سوئیچ بای پس درون خطی شبکه هوشمند چه کاری می‌تواند برای شما انجام دهد؟

۱- بسته‌ی Define Heartbeat چیست؟

بسته‌های Heartbeat سوئیچ Mylinking™ Network Tap Bypass به طور پیش‌فرض روی فریم‌های لایه ۲ اترنت قرار دارند. هنگام استقرار حالت پل‌بندی لایه ۲ شفاف (مانند IPS / FW)، فریم‌های اترنت لایه ۲ معمولاً ارسال، مسدود یا حذف می‌شوند. در عین حال، سوئیچ Mylinking™ Network Tap Bypass از قالب پیام Heartbeat سفارشی پشتیبانی می‌کند تا شرایطی را که برخی از دستگاه‌های امنیتی سریال خاص نمی‌توانند به طور معمول فریم‌های اترنت لایه ۲ معمولی را ارسال کنند، برآورده کند.

و سوئیچ Mylinking™ Network Tap Bypass همچنین از تشخیص بسته Heartbeat بر اساس برچسب VLAN و انواع پیام‌های سفارشی لایه ۳ و لایه ۴ پشتیبانی می‌کند. بر اساس این مکانیسم، کاربر می‌تواند یک تابع تست ایمنی سرویس را برای دستگاه ایمنی اتصال پیاده‌سازی کند تا اطمینان حاصل شود که سرویس‌های امنیتی مربوطه به درستی کار می‌کنند.

سوئیچ بای‌پس شبکه Mylinking™ می‌تواند از مانیتور برای ارسال بسته‌های ضربان قلب مختلف در هر دو جهت پشتیبانی کند. به عنوان مثال، بسته‌های ضربان قلب از نوع TCP و UDP در "محافظ کشش ترافیک استراتژی" با توجه به ویژگی دستگاه سریال سفارشی می‌شوند. می‌توانید ارسال بسته‌های ضربان قلب TCP را در پورت A مانیتور آپ‌لینک و ارسال بسته‌های ضربان قلب UDP را در پورت B مانیتور داون‌لینک پیکربندی کنید تا با مکانیسم ارسال پیام دستگاه امنیتی سریال سازگار شود. این عملکرد می‌تواند رشته را به طور مؤثرتری تضمین کند. تجهیزات ایمنی را به حالت عادی وصل کنید.

سوئیچ بای پس درون خطی شبکه Mylinking™ به منظور استفاده در استقرار انعطاف‌پذیر انواع مختلف تجهیزات امنیتی سریال و در عین حال ارائه قابلیت اطمینان بالای شبکه، مورد تحقیق و توسعه قرار گرفته است.

سوئیچ بای‌پس درون‌خطی دو شبکه‌ای، ویژگی‌ها و فناوری‌های پیشرفته
فناوری حالت محافظتی «SpectFlow» و حالت محافظتی «FullLink» از Mylinking™
فناوری محافظت در برابر سوئیچینگ بای پس سریع Mylinking™
فناوری Mylinking™ «LinkSafeSwitch»
فناوری ارسال/صدور استراتژی پویای «وب‌سرویس» Mylinking™
فناوری تشخیص هوشمند ضربان قلب Mylinking™
فناوری پیام‌های ضربان قلب قابل تعریف Mylinking™
فناوری متعادل‌سازی بار چند لینکی Mylinking™
فناوری توزیع هوشمند ترافیک Mylinking™
فناوری متعادل‌سازی بار پویای Mylinking™
فناوری مدیریت از راه دور Mylinking™ (HTTP/WEB، TELNET/SSH، با مشخصه‌های «EasyConfig/AdvanceConfig»)

۳- کاربرد سوئیچ بای پس درون خطی شبکه (به شرح زیر)

۳.۱ خطر تجهیزات امنیتی درون خطی (IPS / FW)
در ادامه یک حالت استقرار IPS (سیستم پیشگیری از نفوذ) و FW (فایروال) معمولی آمده است. IPS/FW به صورت سری در تجهیزات شبکه (روترها، سوئیچ‌ها و غیره) بین ترافیک از طریق اجرای بررسی‌های امنیتی مستقر می‌شوند و بر اساس سیاست‌های امنیتی مربوطه، آزادسازی یا مسدود کردن ترافیک مربوطه را تعیین می‌کنند تا به اثر دفاع امنیتی دست یابند.

در عین حال، می‌توانیم IPS/FW را به عنوان یک استقرار سریالی از تجهیزات در نظر بگیریم که معمولاً در مکان کلیدی شبکه سازمانی برای پیاده‌سازی امنیت سریال مستقر می‌شوند و قابلیت اطمینان دستگاه‌های متصل به آن مستقیماً بر دسترسی‌پذیری کلی شبکه سازمانی تأثیر می‌گذارد. هنگامی که دستگاه‌های سریال دچار اضافه بار، خرابی، به‌روزرسانی نرم‌افزار، به‌روزرسانی سیاست و غیره شوند، دسترسی‌پذیری کل شبکه سازمانی به شدت تحت تأثیر قرار خواهد گرفت. در این مرحله، ما فقط از طریق قطع شبکه، جامپر بای‌پس فیزیکی می‌توانیم شبکه را بازیابی کنیم که به طور جدی بر قابلیت اطمینان شبکه تأثیر می‌گذارد. IPS/FW و سایر دستگاه‌های سریال از یک سو استقرار امنیت شبکه سازمانی را بهبود می‌بخشند، از سوی دیگر قابلیت اطمینان شبکه‌های سازمانی را نیز کاهش می‌دهند و ریسک عدم دسترسی به شبکه را افزایش می‌دهند.

۳.۲ حفاظت از تجهیزات سری لینک‌های درون‌خطی

«بای‌پس درون‌خطی شبکه» (Network Inline Bypass) به صورت سری بین دستگاه‌های شبکه (روترها، سوئیچ‌ها و غیره) مستقر می‌شود و جریان داده بین دستگاه‌های شبکه دیگر مستقیماً به IPS/FW منتهی نمی‌شود. «بای‌پس درون‌خطی شبکه» به IPS/FW منتهی می‌شود. وقتی IPS/FW به دلیل اضافه بار، خرابی، به‌روزرسانی نرم‌افزار، به‌روزرسانی سیاست و سایر شرایط خرابی، دچار مشکل می‌شود، «بای‌پس درون‌خطی شبکه» از طریق عملکرد تشخیص پیام هوشمند ضربان قلب، دستگاه معیوب را به موقع کشف می‌کند و بنابراین از دستگاه معیوب صرف نظر می‌کند، بدون اینکه در شبکه وقفه‌ای ایجاد شود، تجهیزات شبکه به سرعت و به طور مستقیم متصل می‌شوند تا از شبکه ارتباطی عادی محافظت کنند. هنگام خرابی IPS/FW، بازیابی انجام می‌شود، بلکه از طریق بسته‌های هوشمند ضربان قلب، عملکرد تشخیص به موقع، لینک اصلی را برای بازیابی امنیت بررسی می‌کند.

Mylinking™ “Network Inline Bypass” دارای یک تابع تشخیص پیام ضربان قلب هوشمند و قدرتمند است، کاربر می‌تواند فاصله ضربان قلب و حداکثر تعداد تلاش‌های مجدد را از طریق یک پیام ضربان قلب سفارشی روی IPS/FW برای آزمایش سلامت، سفارشی کند، مانند ارسال پیام بررسی ضربان قلب به پورت بالادست/پایین‌دست IPS/FW و سپس دریافت از پورت بالادست/پایین‌دست IPS/FW، و با ارسال و دریافت پیام ضربان قلب، تشخیص دهد که آیا IPS/FW به طور عادی کار می‌کند یا خیر.

۳.۳ سیاست «SpecFlow» حفاظت از سری کشش درون خطی جریان

هنگامی که دستگاه شبکه امنیتی فقط نیاز به رسیدگی به ترافیک خاص در حفاظت امنیتی سری دارد، از طریق عملکرد پردازش ترافیک Mylinking™ «بای‌پس درون‌خطی شبکه»، از طریق استراتژی غربالگری ترافیک برای اتصال دستگاه امنیتی «مربوط»، ترافیک مستقیماً به لینک شبکه ارسال می‌شود و «بخش ترافیک مربوطه» برای انجام بررسی‌های ایمنی به دستگاه ایمنی درون‌خطی کشیده می‌شود. این امر نه تنها عملکرد عادی تشخیص ایمنی دستگاه ایمنی را حفظ می‌کند، بلکه جریان ناکارآمد تجهیزات ایمنی را برای مقابله با فشار نیز کاهش می‌دهد. در عین حال، «بای‌پس درون‌خطی شبکه» می‌تواند وضعیت کار دستگاه ایمنی را در زمان واقعی تشخیص دهد. دستگاه ایمنی به طور غیرعادی ترافیک داده را مستقیماً دور می‌زند تا از اختلال در سرویس شبکه جلوگیری شود.

۳.۴ حفاظت سری با بار متعادل

«بای‌پس درون‌خطی شبکه» Mylinking™ به صورت سری بین دستگاه‌های شبکه (روترها، سوئیچ‌ها و غیره) مستقر می‌شود. هنگامی که عملکرد پردازشی یک IPS/FW واحد برای مقابله با اوج ترافیک لینک شبکه کافی نیست، عملکرد متعادل‌سازی بار ترافیک محافظ، «بسته‌بندی» ترافیک لینک شبکه پردازش خوشه‌ای IPS/FW چندگانه، می‌تواند به طور مؤثر فشار پردازشی IPS/FW واحد را کاهش دهد و عملکرد پردازش کلی را برای برآورده کردن پهنای باند بالای محیط استقرار بهبود بخشد.
Mylinking™ «بای‌پس درون‌خطی شبکه» دارای یک تابع متعادل‌سازی بار قدرتمند است که بر اساس برچسب VLAN فریم، اطلاعات MAC، اطلاعات IP، شماره پورت، پروتکل و سایر اطلاعات مربوط به توزیع متعادل‌سازی بار هش ترافیک، اطمینان حاصل می‌کند که هر IPS/FW جریان داده دریافتی، یکپارچگی جلسه را تضمین می‌کند.

۳.۵ حفاظت از کشش جریان تجهیزات درون خطی چند سری (تغییر اتصال سریال به اتصال موازی)
در برخی از لینک‌های کلیدی (مانند پریزهای اینترنت، لینک تبادل منطقه سرور) مکان‌یابی اغلب به دلیل نیازهای امنیتی و استقرار چندین تجهیزات تست امنیتی درون خطی (مانند فایروال، تجهیزات ضد حمله DDOS، فایروال برنامه وب، تجهیزات پیشگیری از نفوذ و غیره) انجام می‌شود. چندین تجهیزات تشخیص امنیتی به طور همزمان و به صورت سری روی لینک قرار می‌گیرند تا احتمال خرابی یک نقطه واحد در لینک افزایش یابد و قابلیت اطمینان کلی شبکه کاهش یابد. و در تجهیزات امنیتی فوق‌الذکر، استقرار آنلاین، ارتقاء تجهیزات، تعویض تجهیزات و سایر عملیات، باعث وقفه طولانی مدت در سرویس‌دهی شبکه و کاهش حجم پروژه برای تکمیل اجرای موفقیت‌آمیز چنین پروژه‌هایی می‌شود.
با استقرار «بای‌پس درون‌خطی شبکه» به صورت یکپارچه، می‌توان حالت استقرار چندین دستگاه امنیتی متصل به صورت سری در یک لینک را از «حالت اتصال فیزیکی» به «حالت اتصال فیزیکی، حالت اتصال منطقی» تغییر داد. لینک روی یک نقطه خرابی واحد، قابلیت اطمینان لینک را بهبود می‌بخشد، در حالی که «بای‌پس درون‌خطی شبکه» روی لینک، جریان را بر اساس کشش تقاضا تنظیم می‌کند تا به همان جریان با حالت اصلی اثر پردازش ایمن دست یابد.

نمودار استقرار سری بیش از یک دستگاه امنیتی به طور همزمان:

نمودار استقرار سوئیچ بای پس درون خطی شبکه:

۳.۶ بر اساس استراتژی پویای حفاظت از تشخیص امنیت ترافیک
«بای‌پس درون‌خطی شبکه» یکی دیگر از سناریوهای پیشرفته‌ی کاربردی است که بر اساس استراتژی پویای برنامه‌های حفاظتی، تشخیص و ردیابی ترافیک بنا شده است و به روشی که در زیر نشان داده شده است، پیاده‌سازی می‌شود:

برای مثال، تجهیزات تست امنیتی «حفاظت و تشخیص حمله ضد DDoS» را در نظر بگیرید، از طریق استقرار جلویی «بای‌پس درون‌خطی شبکه» و سپس تجهیزات حفاظت ضد DDOS و سپس اتصال به «بای‌پس درون‌خطی شبکه»، در حالت معمول «محافظ کشش» به میزان کامل ترافیک سیمی-سرعتی ارسال می‌شود و همزمان خروجی آینه جریان به «دستگاه حفاظت حمله ضد DDOS» ارسال می‌شود. پس از شناسایی برای یک IP سرور (یا بخش شبکه IP) پس از حمله، دستگاه حفاظت حمله ضد DDOS قوانین تطبیق جریان ترافیک هدف را تولید کرده و آنها را از طریق رابط تحویل سیاست پویا به «بای‌پس درون‌خطی شبکه» ارسال می‌کند. «بای‌پس درون‌خطی شبکه» می‌تواند پس از دریافت قوانین سیاست پویا، «کشش ترافیک پویا» را به‌روزرسانی کند و بلافاصله «قانون» ترافیک سرور حمله را به «تجهیزات حفاظت و تشخیص حمله ضد DDoS» برای پردازش ارسال کند تا پس از جریان حمله مؤثر باشد و سپس دوباره به شبکه تزریق شود.

طرح کاربردی مبتنی بر «بای‌پس درون‌خطی شبکه» نسبت به تزریق مسیر سنتی BGP یا سایر طرح‌های کشش ترافیک، پیاده‌سازی آسان‌تری دارد و محیط وابستگی کمتری به شبکه دارد و قابلیت اطمینان آن بالاتر است.

«بای‌پس درون‌خطی شبکه» دارای ویژگی‌های زیر برای پشتیبانی از حفاظت در برابر تشخیص امنیت با سیاست پویا است:
۱. «بای‌پس درون‌خطی شبکه» برای فراهم کردن امکان ادغام آسان با دستگاه‌های امنیتی شخص ثالث، خارج از قوانین مبتنی بر رابط WEBSERIVCE.
۲، «بای‌پس درون‌خطی شبکه» مبتنی بر تراشه ASIC سخت‌افزاری خالص که بسته‌های با سرعت سیمی تا ۱۰ گیگابیت بر ثانیه را بدون مسدود کردن ارسال سوئیچ ارسال می‌کند، و «کتابخانه قوانین پویای کشش ترافیک» صرف نظر از تعداد.
۳. «بای‌پس درون‌خطی شبکه» با عملکرد حرفه‌ای بای‌پس داخلی، حتی در صورت خرابی خود محافظ، می‌تواند بلافاصله لینک سریال اصلی را بای‌پس کند و بر لینک اصلی ارتباط عادی تأثیری نمی‌گذارد.