Mylinking™ мрежов байпасен превключвател ML-BYPASS-200
2*Байпас плюс 1*Монитор Модулен дизайн, 10/40/100GE връзки, макс. 640Gbps
1-Общи прегледи
Чрез внедряване на Mylinking™ Smart Bypass Switch:
- Потребителите могат гъвкаво да инсталират/деинсталират оборудване за сигурност и това няма да повлияе на текущата мрежа и да прекъсне работата ѝ;
- Mylinking™ мрежов байпасен превключвател с интелигентна функция за откриване на състояние, която позволява наблюдение в реално време на нормалното работно състояние на серийното устройство за сигурност. След като серийното устройство за сигурност се сблъска с изключение, защитата автоматично ще се байпасира, за да се поддържа нормална мрежова комуникация.
- Технологията за селективна защита на трафика може да се използва за внедряване на специфично оборудване за сигурност при почистване на трафика, технология за криптиране, базирана на оборудване за одит. Ефективно осъществяване на защита на серийния достъп за специфичния тип трафик, като разтоварва налягането при обработка на потока на серийното устройство;
- Технологията за защита на трафика с балансирано натоварване може да се използва за клъстерно внедряване на защитени серийни устройства, за да се отговори на необходимостта от серийна сигурност в среди с висока пропускателна способност.
С бързото развитие на интернет, заплахата за мрежовата информационна сигурност става все по-сериозна, така че все по-широко се използват различни приложения за защита на информацията. Независимо дали става въпрос за традиционно оборудване за контрол на достъпа (защитна стена) или за нов тип по-модерни средства за защита, като система за предотвратяване на прониквания (IPS), унифицирана платформа за управление на заплахи (UTM), система за борба с атаки срещу отказ на услуга (Anti-DDoS), Anti-span Gateway, унифицирана система за идентификация и контрол на трафика DPI, и много други устройства за сигурност са разположени последователно в ключовите мрежови възли, като съответната политика за сигурност на данните се прилага за идентифициране и справяне с легален/нелегален трафик. В същото време обаче, компютърната мрежа ще генерира голямо мрежово забавяне или дори прекъсване на мрежата в случай на отказ, поддръжка, надстройка, подмяна на оборудване и т.н. в среда с високо надеждни производствени мрежови приложения, което потребителите не могат да понесат.
2-мрежов байпасен превключвател Разширени функции и технологии
Mylinking™ „SpecFlow“ защитен режим и технология за защитен режим „FullLink“
Технология за защита от превключване Mylinking™ Fast Bypass
Mylinking™ технология „LinkSafeSwitch“
Mylinking™ „WebService“ технология за динамично пренасочване/издаване
Mylinking™ Интелигентна технология за разпознаване на съобщения за сърдечен ритъм
Mylinking™ технология за дефинирани съобщения за сърдечен ритъм
Mylinking™ технология за балансиране на натоварването с множество връзки
Mylinking™ технология за интелигентно разпределение на трафика
Технология за динамично балансиране на натоварването Mylinking™
Технология за дистанционно управление Mylinking™ (HTTP/WEB, TELNET/SSH, характеристики „EasyConfig/AdvanceConfig“)
Ръководство за конфигуриране на байпасен превключвател с 3 мрежови тапа
БАЙПАССлот за модул на защитен порт:
Този слот може да се постави в модул за BYPASS защита с различна скорост/номер на порт. Чрез замяна на различни видове модули, той може да поддържа BYPASS защита на множество 10G/40G/100G връзки.
МОНИТОРСлот за порт модул;
Този слот може да се постави в модула MONITOR порт с различни скорости/портове. Той може да поддържа внедряване на множество 10G/40G/100G link онлайн серийни устройства за наблюдение чрез замяна на различни модели.
Правила за избор на модули
Въз основа на различните разположени връзки и изискванията за разполагане на оборудване за мониторинг, можете гъвкаво да избирате различни конфигурации на модули, за да отговаряте на реалните нужди на вашата среда; моля, следвайте следните правила при избора:
1. Компонентите на шасито са задължителни и трябва да ги изберете, преди да изберете други модули. Същевременно, моля, изберете различни методи на захранване (AC/DC) според вашите нужди.
2. Цялата машина поддържа до 2 слота за BYPASS модули и 1 слот за MONITOR модул; не можете да изберете повече от броя слотове за конфигуриране. В зависимост от комбинацията от броя слотове и модела на модула, устройството може да поддържа до четири защити на 10GE връзки; или може да поддържа до четири 40GE връзки; или може да поддържа до една 100GE връзка.
3. Модулът модел "BYP-MOD-L1CG" може да се постави само в SLOT1, за да работи правилно.
4. Модул тип "BYP-MOD-XXX" може да се постави само в слота за модул BYPASS; модул тип "MON-MOD-XXX" може да се постави само в слота за модул MONITOR за нормална работа.
| Модел на продукта | Параметри на функцията |
| Шаси (хост) | |
| ML-BYPASS-M200 | 1U стандартен 19-инчов монтаж за шкаф; максимална консумация на енергия 250W; модулен BYPASS протектор; 2 слота за BYPASS модули; 1 слот за MONITOR модул; AC и DC опционално; |
| БАЙПАСЕН МОДУЛ | |
| BYP-MOD-L2XG(ЛМ/СМ) | Поддържа двупосочна 10GE серийна защита, 4*10GE интерфейс, LC конектор; вграден оптичен трансивър; оптична връзка едномодова/многомодова опция, поддържа 10GBASE-SR/LR; |
| BYP-MOD-L2QXG(LM/SM) | Поддържа двупосочна 40GE серийна защита, 4*40GE интерфейс, LC конектор; вграден оптичен трансивър; оптична връзка едномодова/многомодова опция, поддържа 40GBASE-SR4/LR4; |
| BYP-MOD-L1CG (LM/SM) | Поддържа 1 канална 100GE серийна защита на връзката, 2*100GE интерфейс, LC конектор; вграден оптичен трансивър; оптична връзка с единичен многомодов режим (опция), поддържа 100GBASE-SR4/LR4; |
| МОНИТОРСКИ МОДУЛ | |
| MON-MOD-L16XG | 16*10GE SFP+ модул за мониторинг на портове; без оптичен приемо-предавателен модул; |
| MON-MOD-L8XG | 8*10GE SFP+ модул за мониторинг на портове; без оптичен приемо-предавателен модул; |
| MON-MOD-L2CG | 2*100GE QSFP28 модул за мониторинг на портове; без оптичен приемо-предавателен модул; |
| MON-MOD-L8QXG | 8* 40GE QSFP+ модул за мониторинг на портове; без оптичен приемо-предавателен модул; |
Спецификации на 4-мрежовия байпасен превключвател TAP
| Продуктова модалност | ML-BYPASS-M200 сериен байпасен превключвател | |
| Тип интерфейс | MGT интерфейс | 1*10/100/1000BASE-T Адаптивен интерфейс за управление; Поддръжка на отдалечено HTTP/IP управление |
| Слот за модул | 2*Слот за модул BYPASS; 1*Слот за модул MONITOR; | |
| Връзки, поддържащи максимум | Устройството поддържа максимум 4*10GE връзки или 4*40GE връзки или 1*100GE връзки | |
| Монитор | Устройството поддържа максимум 16*10GE мониторингови порта или 8*40GE мониторингови порта или 2*100GE мониторингови порта; | |
| Функция | Възможност за пълна дуплексна обработка | 640Gbps |
| Базирана на каскадна защита на трафика, специфична за IP/протокол/порт, включваща пет кортежа | Поддръжка | |
| Каскадна защита, базирана на пълен трафик | Поддръжка | |
| Балансиране на множеството товари | Поддръжка | |
| Функция за персонализирано отчитане на сърдечен ритъм | Поддръжка | |
| Поддържа независимост от Ethernet пакети | Поддръжка | |
| БАЙПАСЕН ПРЕВКЛЮЧВАЧ | Поддръжка | |
| BYPASS превключвател без светкавица | Поддръжка | |
| УПРАВЛЕНИЕ НА КОНЗОЛИ | Поддръжка | |
| IP/Уеб управление | Поддръжка | |
| SNMP V1/V2C управление | Поддръжка | |
| TELNET/SSH управление | Поддръжка | |
| SYSLOG протокол | Поддръжка | |
| Авторизация на потребителя | Въз основа на оторизация с парола/AAA/TACACS+ | |
| Електрически | Номинално захранващо напрежение | AC-220V/DC-48V【По избор】 |
| Номинална честота на захранването | 50 Hz | |
| Номинален входен ток | AC-3A / DC-10A | |
| Номинална мощност | 100W | |
| Околна среда | Работна температура | 0-50℃ |
| Температура на съхранение | -20-70℃ | |
| Работна влажност | 10%-95%, Без кондензация | |
| Потребителска конфигурация | Конфигурация на конзолата | RS232 интерфейс, 115200, 8, N, 1 |
| Извънобхватен MGT интерфейс | 1*10/100/1000M Ethernet интерфейс | |
| Авторизация с парола | Поддръжка | |
| Височина на шасито | Пространство на шасито (U) | 1U 19 инча, 485 мм * 44,5 мм * 350 мм |
Приложение за 5-мрежов байпасен превключвател TAP (както следва)
Следва типичен режим на внедряване на IPS (система за предотвратяване на прониквания) и FW (защитна стена). IPS/FW се разполагат последователно към мрежовото оборудване (рутери, комутатори и др.) между трафика чрез внедряване на проверки за сигурност. В съответствие със съответната политика за сигурност се определя дали да се освободи или блокира съответният трафик, за да се постигне ефект на защита.
В същото време, IPS/FW може да се разглежда като серийно внедряване на оборудване, обикновено разположено на ключови места в корпоративната мрежа, за да се реализира серийна сигурност. Надеждността на свързаните към него устройства пряко влияе върху цялостната наличност на корпоративната мрежа. Претоварване, срив на серийните устройства, актуализации на софтуера, актуализации на политиките и др., значително влияят на наличността на цялата корпоративна мрежа. В този случай, само чрез прекъсване на мрежата и физически байпас джъмпер, мрежата може да бъде възстановена, което сериозно влияе на надеждността ѝ. IPS/FW и други серийни устройства, от една страна, подобряват внедряването на сигурността на корпоративната мрежа, а от друга страна намаляват надеждността на корпоративните мрежи, увеличавайки риска мрежата да не е налична.
5.2 Защита на оборудването от серията Inline Link
Mylinking™ „Bypass Switch“ се свързва последователно между мрежови устройства (рутери, комутатори и др.) и потокът от данни между мрежовите устройства вече не води директно към IPS/FW. „Bypass Switch“ преминава към IPS/FW. Когато IPS/FW се повреди поради претоварване, срив, актуализации на софтуера, актуализации на политиките и други условия, „Bypass Switch“ чрез интелигентна функция за откриване на съобщения „heartbeat“ своевременно открива дефектните устройства и по този начин пропуска техния проблем, без да се прекъсва мрежовата работа. Мрежовото оборудване е бързо свързано директно към мрежата, за да се защити нормалната комуникация. Когато IPS/FW се повреди, но чрез интелигентно откриване на пакети „heartbeat“ своевременно, оригиналната връзка се възстановява от проверки за сигурност на корпоративната мрежа.
Mylinking™ "Bypass Switch" има мощна интелигентна функция за откриване на съобщения за пулс. Потребителят може да персонализира интервала на пулса и максималния брой повторни опити чрез персонализирано съобщение за пулс на IPS/FW за тестване на състоянието, като например изпращане на съобщение за проверка на пулса до upstream/downstream порта на IPS/FW и след това получаване от upstream/downstream порта на IPS/FW, като по този начин преценява дали IPS/FW работи нормално, като изпраща и получава съобщение за пулс.
5.3 Защита на серията за линейно сцепление на политиката „SpecFlow“
Когато мрежовото устройство за сигурност трябва да обработва само специфичен трафик в серийна защита, чрез функцията за обработка на трафика Mylinking™ „Bypass Switch“ и стратегията за скрининг на трафика, свързано със защитното устройство, „съответният“ трафик се връща директно към мрежовата връзка и „съответната секция на трафика“ се свързва с вграденото устройство за безопасност, за да се извършат проверки за безопасност. Това не само ще поддържа нормалното приложение на функцията за откриване на безопасност на защитното устройство, но и ще намали неефективния поток на защитното оборудване за справяне с напрежението; в същото време „Bypass Switch“ може да открие работното състояние на защитното устройство в реално време. При необичайна работа защитното устройство директно заобикаля трафика на данни, за да се избегне прекъсване на мрежовата услуга.
Mylinking™ Traffic Bypass Protector може да идентифицира трафика въз основа на идентификатора на заглавката на L2-L4 слоя, като например VLAN таг, MAC адрес на източник/дестинация, IP адрес на източника, тип IP пакет, порт на протокола на транспортния слой, етикет на ключа на заглавката на протокола и т.н. Разнообразие от гъвкави комбинации от условия на съвпадение могат да бъдат дефинирани гъвкаво, за да се определят специфичните типове трафик, които представляват интерес за конкретно устройство за сигурност, и могат да бъдат широко използвани за внедряване на специални устройства за одит на сигурността (RDP, SSH, одит на бази данни и др.).
5.4 Серийна защита с балансирано натоварване
Mylinking™ "Bypass Switch" се разполага последователно между мрежови устройства (рутери, комутатори и др.). Когато производителността на обработката на един IPS/FW не е достатъчна за справяне с пиковия трафик на мрежовата връзка, функцията за балансиране на натоварването на трафика на протектора, "обединяването" на множество IPS/FW клъстери за обработка на трафик на мрежовата връзка, може ефективно да намали натоварването от обработката на един IPS/FW и да подобри цялостната производителност на обработката, за да отговори на изискванията за висока пропускателна способност на средата за внедряване.
Mylinking™ "Bypass Switch" има мощна функция за балансиране на натоварването, която въз основа на VLAN тага на рамката, MAC информацията, IP информацията, номера на порта, протокола и друга информация за Hash балансира натоварването, разпределяйки трафика, за да гарантира целостта на сесията на получения от всеки IPS/FW поток от данни.
5.5 Защита от сцепление на многосерийно вградено оборудване (промяна на серийната връзка с паралелна връзка)
В някои ключови връзки (като интернет контакти, връзки за обмен на сървърни зони) местоположението често се дължи на нуждите от функции за сигурност и разполагането на множество вградени устройства за тестване на сигурността (като защитна стена, оборудване против DDoS атаки, защитна стена за уеб приложения, оборудване за предотвратяване на прониквания и др.). Много устройства за откриване на сигурност, свързани едновременно последователно по връзката, увеличават вероятността от повреда на връзката и намаляват общата надеждност на мрежата. В гореспоменатите онлайн операции, внедряването на оборудване за сигурност, обновяването на оборудването, подмяната на оборудване и други операции могат да доведат до продължително прекъсване на мрежата и по-големи прекъсвания на проекта, необходими за успешното му изпълнение.
Чрез унифицирано внедряване на „Байпасния превключвател“, режимът на внедряване на множество устройства за сигурност, свързани последователно на една и съща връзка, може да се промени от „режим на физическо свързване“ на „режим на физическо свързване, логическо свързване“. Връзката на връзката на единична точка на повреда подобрява надеждността на връзката, докато „Байпасният превключвател“ на връзката осигурява сцепление при поискване, за да се постигне същият поток с оригиналния режим на безопасна обработка.
Диаграма за последователно разполагане на повече от едно устройство за сигурност едновременно:
Диаграма на разполагане на байпасния превключвател Mylinking™ Network TAP:
5.6 Въз основа на динамичната стратегия за защита от откриване и сцепление при движение
„Байпасен превключвател“ Друг усъвършенстван сценарий на приложение е базиран на динамичната стратегия на приложенията за защита от откриване и сцепление на трафика, като разгръщането е показано по-долу:
Вземете например оборудването за тестване на сигурността „Защита и откриване на анти-DDoS атаки“. Чрез внедряването на предния край на „Bypass Switch“ и след това оборудването за защита срещу DDoS атаки, свързано към „Bypass Switch“, в обичайния „Traction protector“ (защита за сцепление) пълният обем трафик, пренасочващ скоростта на кабела, едновременно с огледалния изход на потока към „устройството за защита срещу DDoS атаки“. След като бъде открит IP адрес на сървър (или IP сегмент от мрежата) след атаката, устройството за защита срещу DDoS атаки ще генерира правила за съвпадение на целевия трафик и ще ги изпрати към „Bypass Switch“ чрез интерфейса за динамично доставяне на политики. „Bypass Switch“ може да актуализира „динамиката на сцеплението на трафика“ след получаване на динамичните правила за политики и незабавно да „удари“ правилото за „сцеплението на трафика“ на атакуващия сървър към оборудването за защита и откриване на анти-DDoS атаки за обработка, за да бъде ефективно след атаката и след това да се инжектира отново в мрежата.
Схемата на приложение, базирана на "Bypass Switch", е по-лесна за внедряване от традиционното BGP инжектиране на маршрути или друга схема за привличане на трафик, а околната среда е по-малко зависима от мрежата и надеждността е по-висока.
„Bypass Switch“ има следните характеристики за поддръжка на защита с динамично откриване на политики за сигурност:
1, „Байпасен превключвател“, който осигурява лесна интеграция с устройства за сигурност на трети страни, базирани на WEBSERIVCE интерфейс, извън правилата.
2, „Байпасен превключвател“, базиран на хардуерен чист ASIC чип, препращащ до 10Gbps пакети със скорост на кабела, без да блокира пренасочването на превключвателя, и „библиотека с динамични правила за сцепление на трафика“, независимо от броя.
3, "Bypass Switch" вградена професионална BYPASS функция, дори ако самият протектор се повреди, може да заобиколи незабавно оригиналната серийна връзка, без да засяга оригиналната връзка за нормална комуникация.
