سوئیچ بای پس شبکه Mylinking™ مدل ML-BYPASS-200
۲*بایپس به همراه ۱*طراحی ماژولار مانیتور، لینکهای ۱۰/۴۰/۱۰۰GE، حداکثر ۶۴۰ گیگابیت بر ثانیه
۱-بررسی اجمالی
با استفاده از سوئیچ بای پس هوشمند Mylinking™:
- کاربران میتوانند تجهیزات امنیتی را به صورت انعطافپذیر نصب/حذف کنند و این امر بر شبکه فعلی تأثیری نخواهد گذاشت و وقفهای ایجاد نخواهد کرد.
- سوئیچ بایپس شبکه Mylinking™ با عملکرد هوشمند تشخیص سلامت، وضعیت کارکرد عادی دستگاه امنیتی سریال را به صورت بلادرنگ رصد میکند. به محض بروز مشکل در عملکرد دستگاه امنیتی سریال، دستگاه حفاظتی به طور خودکار بایپس میشود تا ارتباط عادی شبکه حفظ شود.
- میتوان از فناوری حفاظت ترافیک انتخابی برای استقرار تجهیزات امنیتی پاکسازی ترافیک خاص، فناوری رمزگذاری مبتنی بر تجهیزات ممیزی استفاده کرد. حفاظت از دسترسی سریال را برای نوع ترافیک خاص به طور مؤثر انجام دهید و فشار جابجایی جریان دستگاه سری را تخلیه کنید.
- فناوری حفاظت از ترافیک متعادلشدهی بار میتواند برای استقرار خوشهای دستگاههای سریال امن مورد استفاده قرار گیرد تا نیاز به امنیت سریال در محیطهای با پهنای باند بالا را برآورده کند.
با توسعه سریع اینترنت، تهدید امنیت اطلاعات شبکه روز به روز جدیتر میشود، بنابراین انواع برنامههای حفاظت از امنیت اطلاعات به طور فزایندهای مورد استفاده قرار میگیرند. چه تجهیزات کنترل دسترسی سنتی (فایروال) باشد و چه نوع جدیدی از ابزارهای حفاظتی پیشرفتهتر مانند سیستم پیشگیری از نفوذ (IPS)، پلتفرم مدیریت یکپارچه تهدید (UTM)، سیستم حمله ضد انکار سرویس (Anti-DDoS)، دروازه ضد اسپن، سیستم شناسایی و کنترل ترافیک یکپارچه DPI و بسیاری از دستگاههای امنیتی که به صورت سری در گرههای کلیدی شبکه مستقر شدهاند، پیادهسازی سیاست امنیت دادههای مربوطه برای شناسایی و مقابله با ترافیک قانونی/غیرقانونی را ضروری میکند. با این حال، در عین حال، شبکه کامپیوتری در صورت خرابی، تعمیر و نگهداری، ارتقاء، تعویض تجهیزات و غیره، تأخیر زیادی در شبکه یا حتی اختلال در شبکه ایجاد میکند. در یک محیط برنامه کاربردی شبکه تولیدی بسیار قابل اعتماد، کاربران نمیتوانند آن را تحمل کنند.
ویژگیها و فناوریهای پیشرفته سوئیچ بایپس دو-شبکهای
فناوری حالت محافظتی «SpectFlow» و حالت محافظتی «FullLink» از Mylinking™
فناوری محافظت در برابر سوئیچینگ بای پس سریع Mylinking™
فناوری Mylinking™ «LinkSafeSwitch»
فناوری ارسال/صدور استراتژی پویای «وبسرویس» Mylinking™
فناوری تشخیص هوشمند ضربان قلب Mylinking™
فناوری پیامهای ضربان قلب قابل تعریف Mylinking™
فناوری متعادلسازی بار چند لینکی Mylinking™
فناوری توزیع هوشمند ترافیک Mylinking™
فناوری متعادلسازی بار پویای Mylinking™
فناوری مدیریت از راه دور Mylinking™ (HTTP/WEB، TELNET/SSH، با مشخصههای «EasyConfig/AdvanceConfig»)
راهنمای پیکربندی سوئیچ Network Tap Bypass
بای پساسلات ماژول پورت حفاظتی:
این اسلات را میتوان در ماژول پورت محافظتی BYPASS با سرعت/شماره پورت متفاوت قرار داد. با جایگزینی انواع مختلف ماژولها، میتواند از محافظت BYPASS چندین لینک 10G/40G/100G پشتیبانی کند.
مانیتوراسلات ماژول پورت؛
این اسلات را میتوان در ماژول پورت MONITOR با سرعتها/پورتهای مختلف قرار داد. این اسلات میتواند با جایگزینی مدلهای مختلف، از استقرار چندین دستگاه مانیتورینگ سریال آنلاین با لینک 10G/40G/100G پشتیبانی کند.
قوانین انتخاب ماژول
بر اساس لینکهای مختلف مستقر شده و الزامات استقرار تجهیزات نظارتی، میتوانید پیکربندیهای مختلف ماژول را به صورت انعطافپذیر برای برآورده کردن نیازهای واقعی محیط خود انتخاب کنید؛ لطفاً هنگام انتخاب، قوانین زیر را رعایت کنید:
۱. انتخاب اجزای شاسی الزامی است و شما باید قبل از انتخاب هر ماژول دیگری، اجزای شاسی را انتخاب کنید. در عین حال، لطفاً روشهای مختلف تأمین برق (AC/DC) را بر اساس نیاز خود انتخاب کنید.
۲. کل دستگاه تا ۲ اسلات ماژول BYPASS و ۱ اسلات ماژول MONITOR را پشتیبانی میکند؛ شما نمیتوانید بیش از تعداد اسلاتها را برای پیکربندی انتخاب کنید. بر اساس ترکیب تعداد اسلاتها و مدل ماژول، دستگاه میتواند تا چهار محافظ لینک ۱۰GE را پشتیبانی کند؛ یا میتواند تا چهار لینک ۴۰GE را پشتیبانی کند؛ یا میتواند تا یک لینک ۱۰۰GE را پشتیبانی کند.
۳. مدل ماژول "BYP-MOD-L1CG" فقط میتواند در SLOT1 قرار گیرد تا به درستی کار کند.
۴. ماژول نوع "BYP-MOD-XXX" فقط میتواند در شیار ماژول BYPASS قرار گیرد؛ ماژول نوع "MON-MOD-XXX" فقط میتواند برای عملکرد عادی در شیار ماژول MONITOR قرار گیرد.
| مدل محصول | پارامترهای تابع |
| شاسی (میزبان) | |
| ML-BYPASS-M200 | رکمونت استاندارد ۱۹ اینچی ۱U؛ حداکثر مصرف برق ۲۵۰ وات؛ میزبان ماژولار محافظ BYPASS؛ ۲ اسلات ماژول BYPASS؛ ۱ اسلات ماژول مانیتور؛ AC و DC اختیاری؛ |
| ماژول بای پس | |
| BYP-MOD-L2XG(کوچک/کوچک) | پشتیبانی از حفاظت سریال لینک دو طرفه 10GE، رابط 4*10GE، کانکتور LC؛ فرستنده-گیرنده نوری داخلی؛ لینک نوری تک/چندحالته اختیاری، پشتیبانی از 10GBASE-SR/LR؛ |
| BYP-MOD-L2QXG(LM/SM) | پشتیبانی از حفاظت سریال لینک 40GE دو طرفه، رابط 4*40GE، کانکتور LC؛ فرستنده-گیرنده نوری داخلی؛ لینک نوری تک/چند حالته اختیاری، پشتیبانی از 40GBASE-SR4/LR4؛ |
| BYP-MOD-L1CG (LM/SM) | پشتیبانی از حفاظت سریال لینک 1 کاناله 100GE، رابط 2*100GE، کانکتور LC؛ فرستنده-گیرنده نوری داخلی؛ لینک نوری تک حالته اختیاری، پشتیبانی از 100GBASE-SR4/LR4؛ |
| ماژول مانیتور | |
| مون-مد-L16XG | ماژول پورت مانیتورینگ SFP+ با ابعاد 16*10GE؛ بدون ماژول فرستنده-گیرنده نوری؛ |
| مون-مد-L8XG | ماژول پورت مانیتورینگ 8*10GE SFP+؛ بدون ماژول فرستنده-گیرنده نوری؛ |
| مون-مد-L2CG | ماژول پورت مانیتورینگ QSFP28 با ظرفیت 2*100GE؛ بدون ماژول فرستنده-گیرنده نوری؛ |
| دوشنبه-مد-L8QXG | ماژول پورت مانیتورینگ QSFP+ با فرکانس 8 گیگاهرتز (40GE)؛ بدون ماژول فرستنده-گیرنده نوری؛ |
مشخصات سوئیچ بای پس TAP 4 شبکه
| روش محصول | سوئیچ بای پس سریال ML-BYPASS-M200 | |
| نوع رابط | رابط MGT | رابط مدیریت تطبیقی 1*10/100/1000BASE-T؛ پشتیبانی از مدیریت از راه دور HTTP/IP |
| اسلات ماژول | ۲ * اسلات ماژول بای پس؛ ۱ * اسلات ماژول مانیتور؛ | |
| لینکهایی که حداکثر را پشتیبانی میکنند | دستگاه حداکثر از لینکهای 4*10GE یا 4*40GE یا 1*100GE پشتیبانی میکند | |
| مانیتور | دستگاه از حداکثر 16 پورت مانیتورینگ 10GE یا 8 پورت مانیتورینگ 40GE یا 2 پورت مانیتورینگ 100GE پشتیبانی میکند. | |
| عملکرد | قابلیت پردازش دوطرفه کامل | ۶۴۰ گیگابیت بر ثانیه |
| بر اساس IP/پروتکل/پورت پنج تاپل خاص، محافظت از آبشار ترافیک | پشتیبانی | |
| محافظت آبشاری بر اساس ترافیک کامل | پشتیبانی | |
| متعادلسازی بار چندگانه | پشتیبانی | |
| عملکرد تشخیص ضربان قلب سفارشی | پشتیبانی | |
| پشتیبانی از استقلال بسته اترنت | پشتیبانی | |
| سوئیچ بای پس | پشتیبانی | |
| سوئیچ بای پس بدون فلاش | پشتیبانی | |
| کنسول مدیریت | پشتیبانی | |
| مدیریت آیپی/وب | پشتیبانی | |
| مدیریت SNMP V1/V2C | پشتیبانی | |
| مدیریت TELNET/SSH | پشتیبانی | |
| پروتکل SYSLOG | پشتیبانی | |
| مجوز کاربر | بر اساس مجوز رمز عبور/AAA/TACACS+ | |
| برق | ولتاژ تغذیه نامی | AC-220V/DC-48V【اختیاری】 |
| فرکانس توان نامی | ۵۰ هرتز | |
| جریان ورودی نامی | AC-3A / DC-10A | |
| قدرت نامی | ۱۰۰ وات | |
| محیط زیست | دمای کار | 0-50℃ |
| دمای نگهداری | -20-70℃ | |
| رطوبت کاری | 10٪ -95٪، بدون تراکم | |
| پیکربندی کاربر | پیکربندی کنسول | رابط RS232، 115200، 8، N، 1 |
| رابط MGT خارج از باند | رابط اترنت 1 * 10/100 / 1000M | |
| مجوز رمز عبور | پشتیبانی | |
| ارتفاع شاسی | فضای شاسی (U) | ۱U 19 اینچ، ۴۸۵ میلیمتر * ۴۴.۵ میلیمتر * ۳۵۰ میلیمتر |
۵-کاربرد سوئیچ بای پس TAP شبکه (به شرح زیر)
در ادامه یک حالت استقرار IPS (سیستم پیشگیری از نفوذ) و FW (فایروال) معمولی آمده است. IPS/FW به صورت سری در تجهیزات شبکه (روترها، سوئیچها و غیره) بین ترافیک از طریق اجرای بررسیهای امنیتی مستقر میشوند و بر اساس سیاستهای امنیتی مربوطه، آزادسازی یا مسدود کردن ترافیک مربوطه را تعیین میکنند تا به اثر دفاع امنیتی دست یابند.
در عین حال، میتوانیم IPS/FW را به عنوان یک استقرار سریالی از تجهیزات در نظر بگیریم که معمولاً در مکان کلیدی شبکه سازمانی برای پیادهسازی امنیت سریال مستقر میشوند و قابلیت اطمینان دستگاههای متصل به آن مستقیماً بر دسترسیپذیری کلی شبکه سازمانی تأثیر میگذارد. هنگامی که دستگاههای سریال دچار اضافه بار، خرابی، بهروزرسانی نرمافزار، بهروزرسانی سیاست و غیره شوند، دسترسیپذیری کل شبکه سازمانی به شدت تحت تأثیر قرار خواهد گرفت. در این مرحله، ما فقط از طریق قطع شبکه، جامپر بایپس فیزیکی میتوانیم شبکه را بازیابی کنیم که به طور جدی بر قابلیت اطمینان شبکه تأثیر میگذارد. IPS/FW و سایر دستگاههای سریال از یک سو استقرار امنیت شبکه سازمانی را بهبود میبخشند، از سوی دیگر قابلیت اطمینان شبکههای سازمانی را نیز کاهش میدهند و ریسک عدم دسترسی به شبکه را افزایش میدهند.
۵.۲ حفاظت از تجهیزات سری لینکهای درونخطی
«سوئیچ بایپس» Mylinking™ به صورت سری بین دستگاههای شبکه (روترها، سوئیچها و غیره) مستقر میشود و جریان داده بین دستگاههای شبکه دیگر مستقیماً به IPS/FW منتهی نمیشود، «سوئیچ بایپس» به IPS/FW، هنگامی که IPS/FW به دلیل اضافه بار، خرابی، بهروزرسانی نرمافزار، بهروزرسانی سیاست و سایر شرایط خرابی، دچار مشکل میشود، «سوئیچ بایپس» از طریق عملکرد تشخیص پیام هوشمند ضربان قلب، دستگاه معیوب را به موقع کشف میکند و بنابراین از دستگاه معیوب صرف نظر میکند، بدون اینکه در شبکه وقفهای ایجاد شود، تجهیزات شبکه به سرعت به طور مستقیم متصل میشوند تا از شبکه ارتباطی عادی محافظت کنند. هنگامی که IPS/FW دچار خرابی میشود، بازیابی انجام میشود، بلکه از طریق بستههای هوشمند ضربان قلب، عملکرد تشخیص به موقع، لینک اصلی را برای بازیابی امنیت شبکه سازمانی بررسی میکند.
Mylinking™ "Bypass Switch" دارای یک تابع تشخیص پیام ضربان قلب هوشمند و قدرتمند است، کاربر میتواند فاصله ضربان قلب و حداکثر تعداد تلاشهای مجدد را از طریق یک پیام ضربان قلب سفارشی روی IPS/FW برای آزمایش سلامت، سفارشی کند، مانند ارسال پیام بررسی ضربان قلب به پورت بالادست/پاییندست IPS/FW و سپس دریافت از پورت بالادست/پاییندست IPS/FW، و با ارسال و دریافت پیام ضربان قلب، تشخیص دهد که آیا IPS/FW به طور عادی کار میکند یا خیر.
۵.۳ سیاست «SpecFlow» حفاظت از سری کشش درون خطی جریان
هنگامی که دستگاه شبکه امنیتی فقط نیاز به رسیدگی به ترافیک خاص در حفاظت امنیتی سری دارد، از طریق تابع پردازش ترافیک Mylinking™ "Bypass Switch" و از طریق استراتژی غربالگری ترافیک برای اتصال دستگاه امنیتی، ترافیک "Corregent" مستقیماً به لینک شبکه ارسال میشود و "بخش ترافیک مربوطه" برای انجام بررسیهای ایمنی به دستگاه ایمنی درون خطی منتقل میشود. این امر نه تنها عملکرد عادی تشخیص ایمنی دستگاه ایمنی را حفظ میکند، بلکه جریان ناکارآمد تجهیزات ایمنی برای مقابله با فشار را نیز کاهش میدهد. در عین حال، "Bypass Switch" میتواند وضعیت کار دستگاه ایمنی را در زمان واقعی تشخیص دهد. دستگاه ایمنی به طور غیرعادی ترافیک داده را مستقیماً دور میزند تا از اختلال در سرویس شبکه جلوگیری شود.
محافظ عبور ترافیک Mylinking™ میتواند ترافیک را بر اساس شناسه هدر لایه L2-L4، مانند برچسب VLAN، آدرس MAC منبع/مقصد، آدرس IP منبع، نوع بسته IP، پورت پروتکل لایه انتقال، برچسب کلید هدر پروتکل و غیره شناسایی کند. میتوان انواع مختلفی از شرایط تطبیق را به صورت انعطافپذیر تعریف کرد تا انواع ترافیک خاص مورد توجه یک دستگاه امنیتی خاص را تعریف کند و به طور گسترده برای استقرار دستگاههای حسابرسی امنیتی ویژه (RDP، SSH، حسابرسی پایگاه داده و غیره) مورد استفاده قرار گیرد.
۵.۴ حفاظت سری با بار متعادل
"سوئیچ بایپس" Mylinking™ به صورت سری بین دستگاههای شبکه (روترها، سوئیچها و غیره) مستقر میشود. هنگامی که عملکرد پردازشی یک IPS/FW واحد برای مقابله با اوج ترافیک لینک شبکه کافی نیست، عملکرد متعادلسازی بار ترافیک محافظ، "بستهبندی" ترافیک لینک شبکه پردازش خوشهای IPS/FW چندگانه، میتواند به طور موثر فشار پردازشی IPS/FW واحد را کاهش دهد و عملکرد پردازش کلی را برای پاسخگویی به پهنای باند بالای محیط استقرار بهبود بخشد.
Mylinking™ "Bypass Switch" دارای یک تابع متعادلسازی بار قدرتمند است که بر اساس برچسب VLAN فریم، اطلاعات MAC، اطلاعات IP، شماره پورت، پروتکل و سایر اطلاعات مربوط به توزیع متعادلسازی بار هش ترافیک، اطمینان حاصل میکند که هر IPS/FW جریان داده دریافتی را به طور کامل و بینقص دریافت میکند.
۵.۵ حفاظت از کشش جریان تجهیزات درون خطی چند سری (تغییر اتصال سریال به اتصال موازی)
در برخی از لینکهای کلیدی (مانند پریزهای اینترنت، لینک تبادل منطقه سرور) مکانیابی اغلب به دلیل نیازهای امنیتی و استقرار چندین تجهیزات تست امنیتی درون خطی (مانند فایروال، تجهیزات ضد حمله DDOS، فایروال برنامه وب، تجهیزات پیشگیری از نفوذ و غیره) انجام میشود. چندین تجهیزات تشخیص امنیتی به طور همزمان و به صورت سری روی لینک قرار میگیرند تا احتمال خرابی یک نقطه واحد در لینک افزایش یابد و قابلیت اطمینان کلی شبکه کاهش یابد. و در تجهیزات امنیتی فوقالذکر، استقرار آنلاین، ارتقاء تجهیزات، تعویض تجهیزات و سایر عملیات، باعث وقفه طولانی مدت در سرویسدهی شبکه و کاهش حجم پروژه برای تکمیل اجرای موفقیتآمیز چنین پروژههایی میشود.
با استقرار "سوئیچ بای پس" به صورت یکپارچه، حالت استقرار چندین دستگاه امنیتی متصل به صورت سری در یک لینک میتواند از "حالت اتصال فیزیکی" به "حالت اتصال فیزیکی، حالت اتصال منطقی" تغییر یابد. لینک روی یک نقطه خرابی واحد برای بهبود قابلیت اطمینان لینک، در حالی که "سوئیچ بای پس" روی لینک جریان را بر اساس کشش تقاضا تنظیم میکند، تا به همان جریان با حالت اصلی اثر پردازش ایمن دست یابد.
نمودار استقرار سری بیش از یک دستگاه امنیتی به طور همزمان:
نمودار استقرار سوئیچ بایپس TAP شبکه Mylinking™:
۵.۶ مبتنی بر استراتژی پویای حفاظت از تشخیص امنیت ترافیک
«سوئیچ بای پس» یکی دیگر از سناریوهای پیشرفته کاربردی است که بر اساس استراتژی پویای برنامههای حفاظتی، تشخیص و ردیابی ترافیک طراحی شده است و به روشی که در زیر نشان داده شده است، پیادهسازی میشود:
برای مثال، تجهیزات تست امنیتی «حفاظت و تشخیص حمله ضد DDoS» را در نظر بگیرید، برای مثال، از طریق استقرار جلویی «سوئیچ بای پس» و سپس تجهیزات حفاظت ضد DDOS و سپس اتصال به «سوئیچ بای پس»، در حالت معمول «محافظ کشش» به میزان کامل ترافیک سیمی-سرعتی ارسال میشود و همزمان خروجی آینه جریان به «دستگاه حفاظت حمله ضد DDOS» ارسال میشود. پس از شناسایی برای یک IP سرور (یا بخش شبکه IP) پس از حمله، دستگاه حفاظت حمله ضد DDOS قوانین تطبیق جریان ترافیک هدف را تولید کرده و آنها را از طریق رابط تحویل سیاست پویا به «سوئیچ بای پس» ارسال میکند. «سوئیچ بای پس» میتواند پس از دریافت قوانین سیاست پویا، «کشش ترافیک پویا» را بهروزرسانی کند و بلافاصله «قانون» ترافیک سرور حمله را به «تجهیزات حفاظت و تشخیص حمله ضد DDoS» برای پردازش ارسال کند تا پس از جریان حمله مؤثر باشد و سپس دوباره به شبکه تزریق شود.
طرح کاربردی مبتنی بر «سوئیچ بایپس» نسبت به تزریق مسیر سنتی BGP یا سایر طرحهای کشش ترافیک، پیادهسازی آسانتری دارد و محیط وابستگی کمتری به شبکه دارد و قابلیت اطمینان آن بالاتر است.
«سوئیچ بایپس» برای پشتیبانی از حفاظت در برابر تشخیص امنیت با سیاست پویا، ویژگیهای زیر را دارد:
۱. «سوئیچ بایپس» برای ارائهی امکانی فراتر از قوانین مبتنی بر رابط WEBSERIVCE و ادغام آسان با دستگاههای امنیتی شخص ثالث.
۲. «سوئیچ بایپس» مبتنی بر تراشه ASIC سختافزاری خالص که بستههای با سرعت سیمی تا ۱۰ گیگابیت بر ثانیه را بدون مسدود کردن ارسال سوئیچ، و «کتابخانه قوانین پویای کشش ترافیک» صرف نظر از تعداد، ارسال میکند.
۳. «سوئیچ بای پس» با عملکرد حرفهای بای پس داخلی، حتی اگر خود محافظ خراب شود، میتواند بلافاصله لینک سریال اصلی را بای پس کند، بر لینک اصلی ارتباط عادی تأثیری نمیگذارد.
