Mylinking™ Мрежов пакетен брокер плюс вграден байпасен комутатор ML-NPB-M2000
Байпасен модул: 8*10G SFP+ и 4*100GE, Мониторен модул: 16*10GE SFP+ и 4*100GE, Макс. 2.4Tbps
1-Общи прегледи
С бързото развитие на интернет, заплахата за мрежовата информационна сигурност става все по-сериозна, така че все по-широко се използват различни приложения за защита на информацията. Независимо дали става въпрос за традиционно оборудване за контрол на достъпа (защитна стена) или за нов тип по-модерни средства за защита, като система за предотвратяване на прониквания (IPS), унифицирана платформа за управление на заплахи (UTM), система за борба с атаки срещу отказ на услуга (Anti-DDoS), антиспам шлюз, унифицирана система за идентифициране и контрол на трафика DPI, много устройства за сигурност са разположени последователно в ключовите мрежови възли, като съответната политика за сигурност на данните се прилага за идентифициране и справяне с легален/нелегален трафик. В същото време обаче, компютърната мрежа ще генерира голямо мрежово забавяне или дори прекъсване на мрежата в случай на отказ, поддръжка, надстройка, подмяна на оборудване и т.н. в среда с високо надеждни производствени мрежови приложения, което потребителите не могат да понесат.
ML-NPB-M2000 Mylinking™ Network Packet Broker плюс Inline Bypass Switch е проучен и разработен, за да се използва за гъвкаво внедряване на различни видове серийно оборудване за сигурност, като същевременно осигурява висока надеждност на мрежата.
Чрез внедряване на Mylinking™ Network Packet Broker плюс Inline Bypass Switch:
● Потребителите могат гъвкаво да инсталират/деинсталират устройства за защита, без да засягат или прекъсват съществуващата мрежа;
● Разполага с интелигентна функция за откриване на състояние, която следи нормалното работно състояние на свързаните устройства за сигурност в реално време. След като свързано устройство за сигурност се повреди, защитникът автоматично ще го прескочи, за да поддържа нормална мрежова комуникация.
●Технологията за селективна защита на трафика може да се използва за внедряване на специфично оборудване за сигурност за пречистване на трафика, оборудване за одит, базирано на криптиране, и др. Тя ефективно реализира вградена защита на достъпа за специфични типове трафик, разтоварвайки натоварването от обработка на трафика на вградените устройства.
● Технологията за защита на трафика чрез балансиране на натоварването може да се използва за разполагане на сигурни вградени устройства в клъстери, за да се отговори на нуждите от вградена защита в среди с високо натоварване на честотната лента.
● Разполага с SSL прокси възможности, отговарящи на изискванията за мониторинг и анализ на устройства за защита на сигурността за съдържание от данни в открит текст.
● Притежава основни възможности за обработка на трафик, като репликация на трафик, агрегиране, филтриране и етикетиране, както и разширени възможности за обработка на трафик, като дедупликация, маскиране, идентификация на протоколи на приложното ниво и оформяне на трафика.
2-Mylinking™ Network Packet Broker плюс Inline Bypass Switch - разширени функции и технологии
Mylinking™ „SpecFlow“ защитен режим и технология за защитен режим „FullLink“
Технология за защита от превключване Mylinking™ Fast Bypass
Mylinking™ технология „LinkSafeSwitch“
Технология за динамично препращане/издаване на политики Mylinking™ „WebService“
Mylinking™ Интелигентна технология за разпознаване на пакети за сърдечен ритъм
Mylinking™ Технология за дефинируеми пакети за сърдечен ритъм
Mylinking™ Технология за балансиране на натоварването с множество връзки
Mylinking™ Интелигентна технология за разпределение на трафика
Mylinking™ Технология за динамично балансиране на натоварването
Mylinking™ Технология за дистанционно управление (HTTP/WEB, TELNET/SSH, характеристика „EasyConfig/AdvanceConfig“)
3-Ръководство за конфигуриране на Mylinking™ Network Packet Broker плюс Inline Bypass Switch
Както е показано на диаграмата по-горе, цялото устройство се състои от четири модулни слота:
Слотовете за модули SLOT1, SLOT2, SLOT3 и SLOT4 могат да поберат модули за портове за защита BYPASS или модули за портове MONITOR с различни скорости и номера на портове. Чрез замяна на различни модели модули е възможно да се поддържа BYPASS защита за множество 10G/40G/100G връзки, както и разполагане на оборудване за наблюдение Inline Bypass за множество 10G/40G/100G връзки.
Забележка: Както модулът BYPASS, така и модулът MONITOR поддържат гореща смяна.
3.1-Списък със спецификации на модулите
| Модел на продукта | ФункционалноPпараметри |
| Cхасис | |
| ML-NPB-M2000-CHS/AC | 2U стандартен 19-инчов монтаж за шкаф; максимална консумация на енергия 300W; модулен основен модул с BYPASS защита; 4 слота за модули; 1*RS232 конзолен интерфейс, 1*10/100/1000M RJ45 интерфейс с външно мрежово управление; двойно захранване AC-220V; |
| NT-BYPASS-M2000-CHS/DC | 2U стандартен 19-инчов монтаж в шкаф; максимална консумация на енергия 300W; модулен основен модул с BYPASS защита; 4 слота за модули; 1*RS232 конзолен интерфейс, 1*10/100/1000M RJ45 интерфейс с външно мрежово управление; двойно захранване DC-48V; |
| БАЙПАСMодуле | |
| INL-I8XM8X(LM/SM) | Поддържа 4-посочна 10GE (съвместима с 1G) серийна връзка, с общо 8*10GE интерфейса; поддържа 8*10G SFP+ порта за наблюдение (с изключение на оптичните модули). |
| INL-I4HM2H (LM/SM) | Поддържа двупосочна 100GE (40GE съвместима) серийна защита на връзката, с общо 4*100GE интерфейса; поддържа 2*100GE QSFP28 порта за наблюдение (с изключение на оптичните модули). |
| Модул МОНИТОР | |
| MON-M16X | 16*10GE SFP+ порта за наблюдение (без оптични модули); |
| MON-M16X-CN98 | 16*10GE SFP+ порта за наблюдение (оптичният модул не е включен); оборудван с усъвършенстван функционален енджин, поддържащ разширени функции за обработка на трафик, като например заобикаляне на SSL декриптиране, SSL прокси и дедупликация на трафика; |
| ПОН-М4Ч | 4*100GE QSFP28 порта за наблюдение (оптичните модули не са включени); |
| MON-M4H-CN98 | 4*100GE QSFP28 порта за наблюдение (оптичните модули не са включени); оборудвани с усъвършенстван функционален енджин, поддържащ разширени функции за обработка на трафик, като например заобикаляне на SSL декриптиране, SSL прокси и дедупликация на трафика; |
3.2-Правила за избор на модули
Въз основа на различните изисквания за разполагане на защитени връзки и оборудване за мониторинг, можете гъвкаво да избирате различни конфигурации на модули, за да отговаряте на реалните нужди на вашата среда; моля, следвайте тези правила при избора:
1) Шасито е задължителен компонент и трябва да бъде избрано преди избора на други модули. Моля, изберете и подходящия метод на захранване (AC/DC) според вашите нужди.
2) Устройството поддържа максимум 4 слота за модули; не можете да изберете повече модули от броя на слотовете за конфигурация. Въз основа на гъвкавата комбинация от различни модели модули, устройството може да поддържа серийна защита за до 16 10GE/GE връзки или 8 100GE/40GE връзки.
4-Интелигентни възможности за обработка на трафика
4.1-Вградено внедряване
Специфична вградена защита на трафика
Той поддържаВграден(сериен)режим на защита за специфични типове трафик във всекивграденвръзка.Toпрепращане на някои потребителски зададени типове трафик къмвграденлинк къмВграден Sсигурностустройствоза обработка, а останалият трафик се препраща директно, без да преминава презВграден SсигурностустройствоВ същото време,itизвършва наблюдение в реално време на работното състояние наВграден SсигурностустройствоСлед като бъде открито необичайно състояние на обработка на трафика,itще бъде автоматично изключен от пътя за предаване на трафик, за да се осигури непрекъснатост на мрежовата услуга.
Защита на целия трафик
Той поддържаВграден(сериен)режим на защита за всички видове трафик във всекивграденвръзка.Toпредава целия трафик ввграденлинк къмВграден Sсигурностустройствоза обработка и наблюдение на състоянието на работа на Inline Securityустройствов реално време. След като се установи необичайно състояние на обработка на трафика,itще бъде автоматично изключен от пътя за предаване на трафик, за да се осигури непрекъснатост на мрежовата услуга.
Балансиране на натоварването
Той има интелигентна възможност за балансиране на натоварването на трафика. Когато производителността на обработката на единВграден Sсигурностустройствоне е достатъчно, за да се справи свградентрафик на комуникационна връзка, той може да разпределивграденСвържете трафика към N Monitor интерфейсите чрез конфигуриране на група за балансиране на натоварването. Според MAC, IP информация, номер на порт, протокол и друга информация,itизвършва опционален изход за балансиране на натоварването чрез хеш алгоритъм, така чевградентрафикът от връзки е равномерно разпределен към множествовграденсигурностинструментs за клъстерна обработка, което ефективно подобрява цялостната производителност на обработката навграденсигурностинструментс. За да се адаптира към изискванията на сценарии за приложения с висока честотна лента и голям трафик.
Откриване на пакети за сърдечен ритъм
Той поддържаTxиRxпакети за откриване на пулс чрез връзката нагоре и надолу на свързанитевграденустройства за сигурност и откривавградени инструментиработно състояние и дали процесът на обработка на трафика е нормален. Двупосочният пулспакетмеханизмът за откриване може по-точно да отразява текущото работно състояние навграденсигурностустройствои по-ефективно да осигурят нормалната работа на мрежата.
Може да персонализира параметрите на сърдечния ритъм на всекивграденустройство за сигурност, като например пулсTxинтервал от време, максимално време за повторни опити за пулс, пулсTxпосока и др. Може да открие и прецени състоянието на повреда навграденустройства за сигурност навреме и реализират бързо превключване на защитните връзки.
Пакетите за откриване на пулс са стандартни Ethernet рамки от слой 2. Когато е внедрен прозрачен режим на мост от слой 2 (като IPS/FW), Ethernet рамки от слой 2 ще се препращат нормално без блокиране или изпускане. В същото време може да се поддържат и персонализирани Ethernet пакети за откриване на пулс от слой 2, слой 3 и слой 4, за да се адаптират към някои специални нужди.вграденУстройствата за сигурност обикновено не могат да препращат обикновени Ethernet рамки от слой 2.
Въз основа на горния механизъм, потребителите могат да реализират ефекта от откриването на състоянието на свързаните устройства за сигурност на ниво обслужване, така че да могат да осигурят по-ефективно нормалната работа на услугите за сигурност.
Байпасно превключване
Поддържа много нисък байпаспревключванезабавяне (<8ms) и потребителите почти не усещат въздействието върху мрежата, когато устройството извършва байпаспревключванеВ същото време, специфичната за устройството технология за превключване на връзките може да гарантира, че състоянието на основната връзка не се влияе по време на байпаса.превключванеТази технология ще гарантира, че байпасътпревключванее по-сигурно и няма да доведе до преизчисляване и конвергенция на протокола за топология от слой 2 / слой 3 на защитените връзки, така че да се сведе до минимум въздействието върху потребителската мрежа по време напревключване.
Блокиране на трафика
Когато устройството за сигурност открие незаконни или необичайни сесийни връзки в трафика и трябва да ги блокира навреме, то може да прехване всички определени пакети в трафика нагоре/надолу навграденвръзка, базирана на условията на филтъра за съвпадение на кортежи, за да се гарантира безопасната работа на мрежовите услуги.
Огледало за трафик
В допълнение към защитата на трафика на вградената връзка и устройството за вградена сигурност (като IPS, WAF), всеки огледален трафик на SPAN може също да бъде изведен към системата за наблюдение на сигурността на SPAN (като IDS, APT), така че да отговаря на изискванията за внедряване на SPAN мониторинг на данни за трафика или тестване и проверка на трафика.
SSL прокси
Чрез SSL прокси функцията, оригиналният криптиран пакет се декриптира и изпраща към вградената система за защита, след което декриптираните данни се възстановяват и се изпращат обратно към оригиналната връзка, така че да се предоставят на вградената система за защита, без да се засяга предаването на криптирани данни по оригиналната връзка на потребителя, и да се осъществи наблюдение и анализ на криптираните данни от системата за анализ.
4.2-Разгръщане на SPAN
Репликация на мрежовия трафик
Той поддържаВграден(сериен)режим на защита за специфични типове трафик във всекивграденвръзка.Toпрепращане на някои потребителски зададени типове трафик къмвграденлинк къмВграден Sсигурностустройствоза обработка, а останалият трафик се препраща директно, без да преминава презВграден SсигурностустройствоВ същото време,itизвършва наблюдение в реално време на работното състояние наВграден SсигурностустройствоСлед като бъде открито необичайно състояние на обработка на трафика,itще бъде автоматично изключен от пътя за предаване на трафик, за да се осигури непрекъснатост на мрежовата услуга.
Агрегиране на мрежовия трафик
Оригиналният входен трафик и предварително обработеният трафик могат да бъдат копирани в N-канален сигнал според 1-канален сигнал или копирани в M-канален сигнал след агрегиране на N-канален сигнал при пренасочване със скорост на линия GE, 10GE, 40G и 100G, което перфектно решава нуждите от едновременно разполагане на повече от две многопортови устройства за байпас на слушане в мрежата.
Разпределение/препращане на данни
Класифицира точно входящите метаданни и отхвърля или препраща различни услуги за данни към множество изходи на интерфейса, съгласно предварително зададените от потребителя правила.
Филтриране на пакетни данни
Входните даннитрафикмогат да бъдат класифицирани точно, а различните услуги за данни могат да бъдат в бели или черни списъци, а множество изходи от интерфейса могат да бъдат отхвърляни или пренасочвани. Поддържа гъвкави комбинации въз основа на тип Ethernet, VLAN етикет, IP петкортеж,TCPидентификатор, характеристики на пакетите и други елементи, за да се отговори допълнително на изискванията за внедряване на различно оборудване за мрежова сигурност, анализ на протоколи, анализ на сигнализация и други видове мониторинг на трафика.
Балансиране на натоварването
Балансирането на натоварването на опционалния хеш алгоритъм може да се извърши според характеристиките на вътрешния и външния слой на L2-L4, за да се гарантира целостта на сесията на потока от данни, получен отСПАНустройство за наблюдение. Когато състоянието на връзката се промени, членовете на групата за разтоварване на портове могат гъвкаво да излязат (link DOWN) или да се присъединят (link UP), а групата за разтоварване може автоматично да преразпредели трафика, за да осигури динамично балансиране на натоварването на изходния трафик на порта.
VLAN маркирана
VLAN без етикети
VLAN заменена
Поддържа съвпадение на всяко ключово поле в първите 128 байта на пакет. Потребителят може да персонализира стойността на отместването и дължината и съдържанието на ключовото поле, както и да определи политиката за изходен трафик според потребителската конфигурация.
Временно маркиране
Подкрепено от синхронизирайте NTP сървъра, за да коригирате времето и да запишете съобщението в пакета под формата на относителен времеви етикет с времева маркировка в края на кадъра, с точност до наносекунди
Отстраняване на капсулиране на тунели
Поддържа VxLAN, VLAN, GRE, GTP, MPLS, IPIP заглавката, премахната от оригиналния пакет данни и пренасочен изход.
Разделяне на данни/пакети
Той поддържапакетен отрязъкобработка на оригиналните данни въз основа на входния и изходния интерфейс за трафик на ниво политика (64, 96, 128, 160, 192, 224, 256, 288, 320, 384, 512, 640, 768, 896, 960 байта са опционални), а политиката за изходен трафик може да бъде внедрена според потребителската конфигурация.
Идентифициране на протокол за тунелиране
Поддържа автоматично разпознаване на различни тунелни протоколи, като GTP / GRE / VxLAN / PPTP / L2TP / PPPOE / IPIP. Според потребителската конфигурация, стратегията за изходен трафик може да бъде реализирана според вътрешния или външния слой на тунела.
Приоритет на препращане на пакети
Поддържа дефинирането на приоритета на пакетите данни според важността на услугата на входящия порт, а пакетите с висок приоритет се препращат преференциално на изхода. След като пакетите с висок приоритет бъдат препратени, се препращат други пакети със среден и нисък приоритет. Избягва се алармата на системата за анализ, причинена от липса на важни пакети данни.
Необичайно тревожно
Поддържа аларми за наблюдение в реално време и исторически записи на аларми за тенденциите в трафика на интерфейса, базирани на зададени прагове. Поддържа аларми за наблюдение в реално време и исторически записи на аларми, базирани на състоянието на хардуера на устройството (процесор, памет, температура, вентилатор, захранване и др.).
Горещо архивиране на интерфейса
Поддържа конфигурация на входен интерфейс 1+1 първичен/резервен, конфигурация на изходен интерфейс 1+1 първичен/резервен и група за балансиране на натоварването N+1 първична/резервна конфигурация, за да се постигне висока надеждност в процеса на трафик от входа до изхода.
Измерване на микровзривове в трафика
Той може да открие времето на възникване, продължителността и честотата на микро-импулсите на трафика в реално време и да осигури запазване на исторически записи на измервания, което предоставя количествено измерими и наблюдаеми средства и основа за отстраняване на неизправности при експлоатация и поддръжка и откриване на загуба на пакети.
Защита от осцилация на интерфейса
Той поддържа откриването и защитата на събития на колебания на връзката нагоре/надолу на всеки интерфейс, така че да се избегне загубата на входен и изходен трафик, причинена от честото свързване нагоре/надолу на интерфейси, и да се подобри стабилността на събирането и пренасочването на трафик.
Изход за капсулиране на тунели
Поддържа капсулиране на тунели тип ERSPAN2, GRE, VXLAN, NVGRE, за да отговори на изискванията на приложението за предаване на събрания трафик към система за отдалечен анализ.
Прекратяване на тунелни пакети
Поддържа функцията за прекратяване на тунелни съобщения. Тази функция позволява конфигуриране на IP адреси/маска и MAC адреси на входния порт за трафик. Тя позволява директно предаване на трафика, който трябва да бъде събран в потребителската мрежа, чрез методи за капсулиране на тунели, като GRE, GTP и VXLAN, към порта за събиране на устройството.
SPAN SSL декриптиране
Поддържа се зареждане на съответното декриптиране на SSL сертификата. След декриптирането на HTTPS криптирани данни за посочения трафик, те ще бъдат пренасочени към back-end системите за мониторинг и анализ, както се изисква. Поддържат се TLS1.0, TLS1.2 и SSL3.0.
Дедупликация на данни/пакети
Поддържана статистическа гранулираност, базирана на порт или на ниво политика, за сравняване на множество данни от източници на колекции и повторения на един и същ пакет данни в определен момент. Потребителите могат да избират различни идентификатори на пакети (dst.ip, src.port, dst.port, tcp.seq, tcp.ack, dst.mac, src.mac, vlan.id).
Маскиране на класифицирана дата
Поддържана гранулираност, базирана на политики, за заместване на всяко ключово поле в суровите данни, за да се постигне целта за защита на чувствителна информация. Политиката за изходен трафик може да бъде внедрена в зависимост от конфигурацията на потребителя.
Идентифициране на протокола на APP слоя
Поддържа идентифициране, извеждане и отхвърляне на протоколи на приложния слой, базирани на режим на съвпадение на DNS/URL. Библиотеката с функции на DPI може да бъде интегрирана за разпознаване, извеждане и отхвърляне на не по-малко от 1800 вида функции на приложния протокол (като аудио и видео, игри, незабавни съобщения, база данни, имейл, P2P и др.), а библиотеката с функции на DPI може да бъде надграждана и актуализирана. При специални нужди може да се извърши и вторична разработка.
Потребителски декапсулиране на пакети
Той поддържа функцията за самодефинирано разкапсулиране на пакети, която може да премахне полетата и съдържанието на капсулирането на всяка позиция от първите 128 байта на пакета и да го изведе.
Оформяне на трафика
В същото време, в изходния интерфейс се използва технология за оформяне на трафика, за да се осигури плавно извеждане на потока от данни към инструмента за анализ, което фундаментално решава проблема със загубата на пакети, причинен от микро-импулси, и избягва необичайната аларма, причинена от загубата на трафик в системата за анализ.
Съвпадение на ключови думи в пакети
След като някое поле в частта с полезния товар на пакета бъде съпоставено и постигнато, свързаният пакет или поток от сесия се препраща и извежда или изхвърля, за да отговори на изискванията за предварителна обработка на специфични данни за трафика.
Отстраняване на капсулиране на тунели
Поддържа изхода на VXLAN, MPLS, GRE, SRV6, FABRICPATCH, GENEVE и други заглавки на пакети в оригиналния пакет данни след отстраняване.
Разтоварване на дълготрайна връзка
Според нуждите на потребителя, всеки поток от сесия може да бъде препратен и изведен според броя на предадените байтове и броя на предадените пакети, а последващият поток от сесия може да бъде отхвърлен, така че да отговаря на изискванията на системата за анализ в някои специфични сценарии, която трябва да получи само част от трафика на потока от сесия, да намали натиска на анализа на трафика и да подобри ефективността на системата за анализ.
Статистически анализ на трафика
Той поддържа статистика за компонентите на всеки трафик на входния интерфейс и може да показва размера на трафика, размера/пропорцията на трафика TOPN на IP адреса, размера/пропорцията на трафика TOPN на категорията на приложен протокол, размера/пропорцията на трафика TOPN на името на приложен протокол и информация за сесията на трафика под формата на диаграми в реално време, както и да осигурява експортиране на статистически резултати в локални файлове. По този начин потребителите могат по-ясно да разберат структурата на всеки събран трафик и да осигурят най-директната база за поддръжка на данни за персонализиране на стратегии за трафик и променящи се бизнес изисквания.
Видимост на трафика - основен анализ на данни
Модулът за основен анализ на функцията за откриване на визуализация на трафика може да показва основна информация за заснетите целеви данни за трафика, като например брой пакети, разпределение на едноадресни/многоадресни/разпръсквателни пакети, номер на сесийна връзка, разпределение на пакетните протоколи и размер на заснетия трафик.
Видимост на трафика - задълбочен анализ на DPI
Модулът за задълбочен анализ на DPI на функцията за откриване на видимост на трафика може да извършва задълбочен анализ на заснетите данни за целевия трафик от множество гледни точки и да представя подробна статистика под формата на графики и таблици.
Видимост на трафика - анализ на пропорцията на трафика
● Анализ на пропорциите на протоколите на транспортния слой: като TCP, UDP, ICMP, IGMP, ARP и други пропорции на пакетите и статистика за трафика, както и показване на кръгова диаграма
● Анализ на пропорцията на IP трафика: например статистика за трафика, генерирана от различни IP адреси, класиране на трафика TOP N, базирано на IP адреси, и показване на стълбовидна диаграма
● Анализ на пропорциите на приложенията в DPI: като HTTP, QQ, FTP и други протоколи за приложения, броят на байтовете, статистическото разпределение на комуникационния трафик и показване на кръгова диаграма
Видимост на трафика - анализ на времевата линия на трафика
Съгласно различни условия на филтриране, като IP адрес, порт, протокол на транспортния слой, протокол на приложния слой и друго специфично съдържание, текущите данни за трафика от заснемане на целта могат да бъдат анализирани и представени въз основа на времето за семплиране, а размерът и тенденцията на трафика могат да бъдат заявени чрез преместване на плъзгача за време и мащабиране на статистическата гранулираност, като точността може да достигне до 1 милисекунда.
Видимост на трафика – анализ на таблицата на потока
Според различни условия на филтриране, като например идентификатор на потока, IP адрес, порт, протокол на транспортния слой, протокол на приложния слой и друго специфично съдържание, текущите данни за целевия трафик могат да бъдат анализирани и преброени въз основа на режима на потока на сесията, т.е. подробно представяне на информацията за потока на сесията, включително информацията за петте кортежа на всеки поток, вида на пренасящото приложение, броя и байтовете на предадените пакети и свързания поток от данни. Има и класиране на дисплея въз основа на горната информация. Въз основа на тази информация потребителите могат лесно да избират типовете трафик, които ги интересуват, което им предоставя най-директната основа за формулиране на политики за пренасочване на трафик.
Видимост на трафика – анализ на пакети
Въз основа на различни критерии за филтриране, като например идентификатор на пакет, IP адрес, порт, протокол на транспортния слой, протокол на приложния слой и друго специфично съдържание, заснетите данни за целевия трафик могат да бъдат предоставени с анализ на ниво пакет, включително:
● Анализ на времевия печат на събиране на пакети
● Анализ на ключова информация за пакети, като например sip, dip, smac, dmac, протокол, флаг, TTL, дължина на съобщението, ключови събития
● Анализ на пътя на предаване на пакети и анимационен дисплей, като например: време за препращане, забавяне на препращането, тип препращане (маршрутизиране, комутация, защитна стена, балансиране на натоварването, NAT)
● Обобщение на информацията за пакета и подробен дисплей на структурата
● Анализ на броя на повтарящите се събирания на пакети
Видимост на трафика – прецизен анализ на повреди
Модулът за анализ на повреди на функцията за откриване на видимост на трафика може да осигури различно позициониране на визуален анализ на повреди за заснетите целеви данни за трафика, включително:
● Общ преглед на необичайни данни, като например: резултати от анализ на мрежови услуги, резултати от анализ на необичайни събития, мрежов процес, базиран на анализ на поведението (като например броя на маршрутизиращите устройства, NAT устройства, устройства на защитната стена, устройства за балансиране на натоварването, преминаващи през предаването на пакети)
● Анализ на неуспехите на ниво таблица на потоците, като например типове анормални събития (отхвърлена връзка/неотговаряща връзка/няма пренос на данни/полуотворена връзка/недостижим маршрут на сесията и др.), ● Анализ на неуспехите на ниво пакети, като например: вид анормално събитие (грешка в контролната сума на пакета /TTL 0/ грешка „недостижим“ / грешка в контролната сума на FCS и др.), подробно описание на анормалната информация и подробности за свързания поток от данни
● Анализ на грешки в сигурността, като например: тип необичайно събитие (DDOS атака/блокиране от защитна стена/ARP атака/UDP наводнение/SYN наводнение и др.), подробно описание на необичайна информация и подробности за свързания поток от данни
● Анализ на мрежови повреди, като например: тип анормално събитие (комутационен контур/маршрутизиращ контур/недостъпен път/прекъсване на връзката и др.), подробно описание на анормалната информация и подробности за свързания поток от данни
5-Спецификации на Mylinking™ Network Packet Broker плюс Inline Bypass Switch
| ML-НПБ-M2000 г. Mylinking™ мрежов пакетен брокер плюс вграден байпасен комутатор Функционални спецификации | ||||
| Мрежов интерфейс | Слот за модул | 4 слота за модули BYPASS или MONITOR | ||
| Брой вградени връзки | Поддържа защита за до 16 1G/10G оптични връзки или 8 40G/100G оптични връзки. | |||
| Интерфейс за наблюдение на монитора | Поддържа максимум 64*1G/10GE интерфейса за наблюдение или 16*40G/100G интерфейса за наблюдение. | |||
| Интерфейс за управление извън обхвата | 1*10/100/1000M Ethernet порт; | |||
| Режим на внедряване | Вградено внедряване | Поддръжка | ||
| Разгръщане на SPAN | Поддръжка | |||
| Системни функции | Режим на вградено внедряване | Специфична защита от конкатенация на потоци | Поддръжка | |
| Защита от всички серии поток | Поддръжка | |||
| Балансиране на натоварването | Поддръжка | |||
| Откриване на сърдечен ритъм | Поддръжка | |||
| Превключване на байпас | Поддръжка | |||
| Блокиране на трафика | Поддръжка | |||
| Огледално отражение на трафика | Поддръжка | |||
| SSL прокси | Поддръжка | |||
| Режим на внедряване на SPAN | Основна обработка на трафика | Репликация/агрегиране/разпределение на трафика | Поддръжка | |
| Балансиране на натоварването | Поддръжка | |||
| Филтриране на трафика въз основа на идентификатор на 5-кортеж от IP/протокол/порт | Поддръжка | |||
| Маркиране/модифициране/изтриване на VLAN | Поддръжка | |||
| Временно маркиране | Поддръжка | |||
| Отстраняване на капсулиране на тунели | Поддръжка | |||
| Разделяне на данни | Поддръжка | |||
| Идентификация на протокола за тунелиране | Поддръжка | |||
| Приоритет за препращане на пакети | Поддръжка | |||
| Предупреждение за необичайно | Поддръжка | |||
| Интерфейс с горещ резервен режим | Поддръжка | |||
| Измерване на микроимпулси | Поддръжка | |||
| Защита от вибрации на интерфейса | Поддръжка | |||
| Изход за капсулиране на тунели | Поддръжка | |||
| Прекратяване на тунелни пакети | Поддръжка | |||
| Разширена обработка на трафика | Заобикаляне на SSL декриптирането | Поддръжка | ||
| Дедупликация на данни | Поддръжка | |||
| Маскиране на данни | Поддръжка | |||
| Идентификация на протокола на приложния слой | Поддръжка | |||
| Персонализирано декапсулиране | Поддръжка | |||
| Оформяне на потока | Поддръжка | |||
| Съвпадение на ключови думи | Поддръжка | |||
| Отстраняване на капсулиране на тунели | Поддръжка | |||
| Разтоварване на дълготрайни връзки | Поддръжка | |||
| Наблюдение на компонентите на потока | Поддръжка | |||
| Диагностика и мониторинг | Мониторинг в реално време | Поддръжка | ||
| Заявка за исторически трафик | Поддръжка | |||
| Заснемане на трафика | Поддръжка | |||
| Откриване на визуализация на трафика | Фундаментален анализ | Поддържа обобщено статистическо показване въз основа на основна информация, като например брой пакети, разпределение на типовете пакети, брой сесийни връзки и разпределение на пакетните протоколи. | ||
| Задълбочен анализ на DPI | Поддържа анализ на дела на протоколите на транспортния слой, дела на unicast, broadcast и multicast, дела на IP трафика и дела на DPI приложенията. Поддържа анализа и представянето на съдържанието на данните въз основа на времето за семплиране и обема на данните. Поддържа анализ на данни и статистика въз основа на потоци от сесии. | |||
| Прецизен анализ на повреди | Поддържа анализ и локализация на повреди, използвайки данни за трафика от различни гледни точки, включително: анализ на поведението при предаване на пакети, анализ на повреди на ниво поток от данни, анализ на повреди на ниво пакети данни, анализ на повреди, свързани със сигурността, и анализ на повреди, свързани с мрежата. | |||
| Капацитет за преработка | 2,4 Tbps | |||
| Управление | Управление на мрежата на КОНЗОЛА | Поддръжка | ||
| Управление на IP/WEB мрежа | Поддръжка | |||
| SNMP управление на мрежата | Поддръжка | |||
| Управление на TELNET/SSH мрежа | Поддръжка | |||
| SYSLOG протокол | Поддръжка | |||
| Централизирано удостоверяване с RADIUS или TADACS+ | Поддръжка | |||
| Функция за удостоверяване на потребителя | Удостоверяване на потребителско име и парола | |||
| Електрически | Номинално захранващо напрежение | AC-220V/DC-48V [По избор] | ||
| Номинална честота на захранването | AC-50HZ | |||
| Номинален входен ток | AC-3A / DC-10A | |||
| Номинална функционална мощност | Максимум 300W | |||
| Околна среда | Работна температура | 0-50℃ | ||
| Температура на съхранение | -20-70℃ | |||
| Работна влажност | 10%-95%, без кондензация | |||
| Конфигурация на потребителя | Конфигурация на конзолата | RS232 интерфейс, 115200, 8, N, 1 | ||
| Удостоверяване с парола | Sподкрепа | |||
| Размер на стелажа | Пространство в стелажа (U) | 2U 444 мм * 88 мм * 670 мм | ||
6-Mylinking™ Мрежов пакетен брокер плюс приложение за вграден байпасен комутатор
6.1TheRриск отРедови SсигурностEоборудване (IPS / FW)
Следва типичен режим на внедряване на IPS (система за предотвратяване на прониквания) и FW (защитна стена). IPS/FW се разполагат последователно към мрежовото оборудване (рутери, комутатори и др.) между трафика чрез внедряване на проверки за сигурност. В съответствие със съответната политика за сигурност се определя дали да се освободи или блокира съответният трафик, за да се постигне ефект на защита.
Следва типичен режим на внедряване на IPS (система за предотвратяване на прониквания) и FW (защитна стена). IPS/FW се разполагат последователно към мрежовото оборудване (рутери, комутатори и др.) между трафика чрез внедряване на проверки за сигурност. В съответствие със съответната политика за сигурност се определя дали да се освободи или блокира съответният трафик, за да се постигне ефект на защита.
6.2 Защита на оборудването от серията Inline Link
Mylinking™ Network Packet Broker плюс Inline Bypass Switch се разполага последователно между мрежови устройства (рутери, комутатори и др.) и потокът от данни между мрежовите устройства вече не води директно към IPS/FW. "Smart Inline Bypass Switch" преминава към IPS/FW. Когато IPS/FW се повреди поради претоварване, срив, актуализации на софтуера, актуализации на политиките и други условия, "Smart Inline Bypass Switch" чрез интелигентна функция за откриване на съобщения за пулсация открива навременно и по този начин пропуска дефектното устройство, без да прекъсва мрежовата предпоставка. Мрежовото оборудване се свързва бързо директно, за да защити нормалната комуникационна мрежа. Когато IPS/FW се повреди, но също така чрез интелигентно откриване на пакети за пулсация, навременното откриване на първоначалната връзка възстановява сигурността на корпоративната мрежа.
Mylinking™ Network Packet Broker плюс Inline Bypass Switch има мощна интелигентна функция за откриване на съобщения за пулс. Потребителят може да персонализира интервала на пулсиране и максималния брой повторни опити чрез персонализирано съобщение за пулсиране на IPS/FW за тестване на състоянието, например да изпрати съобщение за проверка на пулса до upstream/downstream порта на IPS/FW и след това да го получи от upstream/downstream порта на IPS/FW и да прецени дали IPS/FW работи нормално, като изпраща и получава съобщението за пулсиране.
6.3 Вграден поток на политиката „SpecFlow“СигурностСерийна защита
Когато мрежовото устройство за сигурност трябва да обработва само специфичен трафик чрез последователна защита, чрез функцията за обработка на трафика Mylinking™ Network Packet Broker плюс Inline Bypass Switch, чрез политиката за скрининг на трафика, за да се свърже вграденото устройство за сигурност, „съответният“ трафик се изпраща обратно директно към мрежовата връзка и „секцията със съответния трафик“ се предава към вграденото устройство за безопасност за извършване на проверки за безопасност. Това не само ще поддържа нормалното приложение на функцията за откриване на безопасност на устройството за безопасност, но и ще намали неефективния поток на оборудването за безопасност за справяне с напрежението; в същото време „Smart Inline Bypass Switch“ може да открие работното състояние на устройството за безопасност в реално време. Устройството за безопасност работи анормално, заобикаляйки трафика на данни директно, за да се избегне прекъсване на мрежовата услуга.
Мрежовият пакетен брокер Mylinking™ плюс Inline Bypass Switch може да идентифицира трафика въз основа на идентификатора на заглавката на L2-L4 слоя, като например VLAN таг, MAC адрес на източник/дестинация, IP адрес на източника, тип IP пакет, порт на протокола на транспортния слой, таг на ключ на заглавката на протокола и т.н. Разнообразие от гъвкави комбинации от условия на съвпадение могат да бъдат дефинирани гъвкаво, за да се определят специфичните типове трафик, които представляват интерес за конкретно устройство за сигурност, и могат да бъдат широко използвани за внедряване на специални устройства за одит на сигурността (RDP, SSH, одит на бази данни и др.).
6.4Lбалансиран товарВградена сигурностСерийна защита
Мрежовият брокер на пакети Mylinking™ плюс Inline Bypass Switch се разполага последователно между мрежови устройства (рутери, комутатори и др.). Когато производителността на обработка на един IPS/FW не е достатъчна, за да се справи с пиковия трафик на мрежовата връзка, функцията за балансиране на натоварването на трафика на протектора, „обединяването“ на множество клъстери за обработка на мрежова връзка от IPS/FW, може ефективно да намали натоварването от обработка на един IPS/FW и да подобри цялостната производителност на обработка, за да отговори на изискванията за висока пропускателна способност на средата за внедряване.
Mylinking™ Network Packet Broker плюс Inline Bypass Switch има мощна функция за балансиране на натоварването, която въз основа на VLAN тага на рамката, MAC информацията, IP информацията, номера на порта, протокола и друга информация за Hash балансира натоварването, разпределяйки трафика, за да гарантира целостта на сесията на получения от всеки IPS/FW поток от данни.
6.5МногосерийниВградено оборудване FнискоTфракцияPзащита(ПромянаФизическиСерийна връзка къмЛогичноПаралелна връзка)
В някои ключови връзки (като интернет контакти, връзки за обмен на сървърни зони) местоположението често се дължи на нуждите от функции за сигурност и разполагането на множество вградени устройства за тестване на сигурността (като защитна стена, оборудване против DDoS атаки, защитна стена за уеб приложения, оборудване за предотвратяване на прониквания и др.). Много устройства за откриване на сигурност, свързани едновременно последователно по връзката, увеличават вероятността от повреда на връзката и намаляват общата надеждност на мрежата. В гореспоменатите онлайн операции, внедряването на оборудване за сигурност, обновяването на оборудването, подмяната на оборудване и други операции могат да доведат до продължително прекъсване на мрежата и по-големи прекъсвания на проекта, необходими за успешното му изпълнение.
Чрез унифицирано внедряване на Mylinking™ Network Packet Broker плюс Inline Bypass Switch, режимът на внедряване на множество устройства за сигурност, свързани последователно на една и съща връзка, може да бъде променен от „Режим на физическа серийна връзка“ на „Режим на физическа паралелна връзка, но логическа серийна връзка“. Това ефективно намалява източниците на единична точка на повреда в серийната връзка и подобрява надеждността на връзката. В същото време, Mylinking™ Network Packet Broker плюс Inline Bypass Switch може да насочва трафика на връзката при поискване, постигайки същия ефект на обработка на сигурността на трафика като оригиналния режим на серийна връзка.
Диаграма за последователно разполагане на повече от едно вградено устройство за сигурност едновременно:
Диаграма на внедряването на Mylinking™ Network Packet Broker плюс Inline Bypass Switch:
(Променете физическата серийна връзка на логическата паралелна връзка)
6.6Въз основа наDдинамична политика наTВграден трафикSсигурностDизборPзащита
Mylinking™ Network Packet Broker плюс Inline Bypass Switch, друг усъвършенстван сценарий на приложение, е базиран на динамичната политика на приложенията за защита от откриване и сцепление на трафика, като внедряването е показано по-долу:
Вземете например оборудването за тестване на сигурността „Защита и откриване на анти-DDoS атаки“. Чрез внедряването на front-end оборудването „Smart Bypass Switch“ и след това оборудването за защита срещу DDoS атаки, свързано към „Smart Bypass Switch“, в обичайния „Smart Bypass Switch“ за пренасочване на пълния обем трафик с висока скорост едновременно с огледалния изход на потока към „Устройството за защита срещу DDoS атаки“. След като бъде открит IP адрес на сървър (или IP сегмент от мрежата) след атаката, „Устройството за защита срещу DDoS атаки“ ще генерира правила за съвпадение на целевия трафик и ще ги изпрати към „Smart Bypass Switch“ чрез интерфейса за динамично доставяне на политики. „Bypass Switch“ може да актуализира „динамиката на сцеплението на трафика“ след получаване на динамичните правила за политики и незабавно „правилото“ да „сцеплението“ на трафика на атакуващия сървър към оборудването за защита и откриване на анти-DDoS атаки за обработка, за да бъде ефективно след атаката и след това да се реинжектира в мрежата.
Схемата на приложение, базирана на "Smart Bypass Switch", е по-лесна за внедряване от традиционното BGP инжектиране на маршрути или друга схема за сцепление на трафика, а околната среда е по-малко зависима от мрежата и надеждността е по-висока.
„Smart Bypass Switch“ има следните характеристики за поддръжка на динамична защита от откриване на политики:
1. "Smart Bypass Switch" за осигуряване на лесна интеграция с устройства за сигурност на трети страни, базирани на WEBSERIVCE интерфейс, извън правилата.
2. „Интелигентен байпасен превключвател“, базиран на хардуерен чист ASIC чип, препращащ пакети със скорост до 100 Gbps без блокиране на пренасочването на превключвателя, и „библиотека с динамични правила за сцепление на трафика“, независимо от броя.
3. "Smart Bypass Switch" - вградена професионална функция за BYPASS, която може да заобиколи незабавно оригиналната серийна връзка, дори ако самият протектор се повреди, без да влияе на оригиналната връзка за нормална комуникация.
6.7Вградено огледално отразяване на сериен трафикза външна сигурност (вградена + SPAN)
Mylinking™ Network Packet Broker плюс Inline Bypass Switch обикновено се разполага в IT мрежата или облачната платформа на клиента, за да осигури вградена защита за WAF/IPS устройства и оригиналната връзка. Потребителите могат също да имат допълнителни изисквания за тестване, проверка или внедряване на устройства за наблюдение на байпаса, което налага получаване на данни за трафика по тази връзка.
Следователно, използвайки функцията за огледално отразяване на трафика на Mylinking™ Network Packet Broker плюс Inline Bypass Switch, трафикът на вградената серийна връзка може да бъде огледален от мониторния порт, както е показано на следната фигура:
Диаграмата по-долу илюстрира разширен сценарий на приложение на трафик на вградени връзки и трафик на огледални портове на комутатора. Това позволява защита на трафика на вградени връзки, без да бъде засегнат от трафик на огледални портове на комутатора. Системата за анализ на IDS може едновременно да получава както трафик на вградени връзки, така и трафик на огледални портове на комутатора. Методът на внедряване е показан на диаграмата по-долу:
6.8Дедупликация на данни/пакетиПриложение
Както е показано в структурата за внедряване на приложението по-горе, за да се гарантира целостта на оригиналното събиране на данни по цялата връзка, някои идентични пакети данни могат да бъдат събирани многократно в рамките на един път. Това води до увеличаване на фалшивите аларми и повторните предавания в backend системата, увеличавайки натоварването на системата за анализ и влияейки върху точността и ефективността на анализа. Въз основа на решението, първо се извършва дедуплицирането на дублирани пакети данни в различни възли за събиране. Само един пакет данни се препраща към backend NPM системата за анализ на производителността на мрежата и APM системата за анализ на производителността на приложението, като по този начин се спестява производителността на системата за анализ и се подобрява ефективността и точността на анализа.
6.9Данни/ПакетVLAN етикетингПриложение
В мрежовата среда, показана на диаграмата по-горе, решението се използва за маркиране на сурови данни от различни мрежови устройства и свързващи възли. Когато в мрежата възникне необичаен трафик или пакети данни, оборудването за анализ на backend може бързо и точно да локализира източника на необичайните данни, като проследи обратно въз основа на етикетите на данните.
6.10 Мрежов трафикУнифициран графикПриложение
В мрежовата среда, показана на диаграмата по-горе, множество данни от 10GE, 25GE, 40GE и 100GE изходни връзки се въвеждат изцяло в Mylinking™ Network Packet Broker плюс Inline Bypass Switch, използвайки оптично разделяне или огледално отчитане на портове. След това се използват филтриране и разделяне на трафика за извеждане на различен трафик на сервизни данни към различни устройства за извънбюджетно мрежово наблюдение и сигурност. Когато аномалии в мрежовите пакети или необичайни колебания в трафика изискват ръчна намеса, заснемането и анализът на оригиналните пакети данни в реално време могат да се извършват незабавно, за да се помогне на потребителите бързо да анализират и локализират повредата.
6.11МрежаАнализ на видимостта на данните за трафикаПриложение
Той може да представи всички открити и заснети данни по многоизмерен и многоперспективен начин чрез удобен за потребителя графичен и текстов интерактивен интерфейс, включително структура на трафика, разпределение на протокола на приложението, разпределение на трафика на всички мрежови възли, път на предаване на данни, откриване на анормални събития, точно местоположение на повреди на мрежови елементи/връзки, състояние на взаимодействие на съобщения, тенденция в развитието на трафика и други аспекти за наблюдение и анализ, така че да се създаде цялостна, видима и контролируема платформа за събиране на данни и сигурност за корпоративни мрежи.
Категории продукти
-
Mylinking™ Мрежов пакетен брокер (NPB) ML-NPB-4810P
-
Mylinking™ Мрежов пакетен брокер (NPB) ML-NPB-54...
-
Mylinking™ Мрежов пакетен брокер (NPB) ML-NPB-3210+
-
Mylinking™ Мрежов пакетен брокер (NPB) ML-NPB-6410+
-
Mylinking™ Мрежов пакетен брокер (NPB) ML-NPB-3210L
-
Mylinking™ Мрежов пакетен брокер (NPB) ML-NPB-2410
