Mylinking™ Network Packet Broker máis conmutador de derivación en liña ML-BYPASS-M2000
Módulo de derivación: 8*10G SFP+ e 4*100GE, módulo de monitorización: 16*10GE SFP+ e 4*100GE, máx. 2,4 Tbps
1-Visión xeral
Co rápido desenvolvemento de Internet, a ameaza á seguridade da información de rede é cada vez máis grave, polo que unha variedade de aplicacións de protección da seguridade da información úsanse cada vez máis. Xa sexan equipos tradicionais de control de acceso (cortafogos) ou un novo tipo de medios de protección máis avanzados, como o sistema de prevención de intrusións (IPS), a plataforma unificada de xestión de ameazas (UTM), o sistema de ataques antidenegación de servizo (Anti-DDoS), a pasarela antispam, o sistema unificado de identificación e control de tráfico DPI e moitos dispositivos de seguridade están despregados en serie nos nodos clave da rede, implementando a política de seguridade de datos correspondente para identificar e xestionar o tráfico legal/ilegal. Ao mesmo tempo, con todo, a rede informática xerará un gran atraso na rede ou incluso interrupcións da rede en caso de conmutación por erro, mantemento, actualización, substitución de equipos, etc. nun entorno de aplicacións de rede de produción altamente fiable, os usuarios non o poden soportar.
O intermediario de paquetes de rede Mylinking™ ML-BYPASS-M2000 con conmutador de derivación en liña foi investigado e desenvolvido para ser utilizado para a implementación flexible de varios tipos de equipos de seguridade en serie, proporcionando ao mesmo tempo unha alta fiabilidade da rede.
Ao implementar Mylinking™ Network Packet Broker máis Inline Bypass Switch:
●Os usuarios poden instalar/desinstalar dispositivos de protección de seguridade de forma flexible sen afectar nin interromper a rede existente;
● Ten unha función intelixente de detección de estado para monitorizar o estado de funcionamento normal dos dispositivos de seguridade conectados en tempo real. Se un dispositivo de seguridade conectado funciona mal, o protector desviarase automaticamente para manter a comunicación de rede normal.
●A tecnoloxía de protección selectiva do tráfico pódese empregar para despregar equipos de seguridade específicos de depuración do tráfico, equipos de auditoría baseados en cifrado, etc. Implementa eficazmente a protección do acceso en liña para tipos de tráfico específicos, descargando a carga de procesamento do tráfico dos dispositivos en liña.
● A tecnoloxía de protección do tráfico de equilibrio de carga pódese empregar para despregar dispositivos en liña seguros en clústeres para satisfacer as necesidades de protección de seguridade en liña en contornas de alta presión de ancho de banda.
●Ten capacidades de proxy SSL, o que cumpre cos requisitos de monitorización e análise dos dispositivos de protección de seguridade para contido de datos de texto sen formato.
● Posúe capacidades básicas de procesamento de tráfico, como a replicación, a agregación, o filtrado e o etiquetado do tráfico, así como capacidades avanzadas de procesamento de tráfico, como a deduplicación, o enmascaramento, a identificación de protocolos de capa de aplicación e a configuración do tráfico.
2-Mylinking™ Network Packet Broker máis conmutador de derivación en liña Funcións e tecnoloxías avanzadas
Modo de protección Mylinking™ “SpecFlow” e tecnoloxía de modo de protección “FullLink”
Tecnoloxía de protección de conmutación de derivación rápida Mylinking™
Tecnoloxía Mylinking™ “LinkSafeSwitch”
Tecnoloxía de reenvío dinámico de políticas/problemas de Mylinking™ “WebService”
Tecnoloxía intelixente de detección de paquetes de latidos cardíacos Mylinking™
Mylinking™ Tecnoloxía de paquetes de latidos definibles
Mylinking™ Tecnoloxía de balanceamento de carga multiligazón
Mylinking™ Tecnoloxía intelixente de distribución de tráfico
Mylinking™ Tecnoloxía de equilibrio de carga dinámico
Mylinking™ Tecnoloxía de xestión remota (HTTP/WEB, TELNET/SSH, característica “EasyConfig/AdvanceConfig”)
3-Guía de configuración do Mylinking™ Network Packet Broker máis o conmutador de derivación en liña
Como se mostra no diagrama anterior, a unidade completa consta de catro ranuras modulares:
As ranuras para módulos SLOT1, SLOT2, SLOT3 e SLOT4 poden aloxar módulos de portos de protección BYPASS ou módulos de portos MONITOR con diferentes velocidades e números de porto. Ao substituír diferentes modelos de módulos, é posible admitir a protección BYPASS para varias ligazóns de 10G/40G/100G, así como o despregamento de equipos de monitorización de bypass en liña para varias ligazóns de 10G/40G/100G.
Nota: Tanto o módulo BYPASS como o módulo MONITOR admiten a substitución en quente.
3.1-Lista de especificacións do módulo
| Modelo de produto | FuncionalParámetros |
| Chassís | |
| ML-BYPASS-M2000-CHS/AC | Montaxe en rack estándar de 19 polgadas de 2U; consumo máximo de enerxía de 300 W; unidade principal con protector BYPASS modular; 4 ranuras para módulos; 1 interface de consola RS232, 1 interface RJ45 10/100/1000 M con xestión de rede externa; fonte de alimentación dual CA-220 V; |
| NT-BYPASS-M2000-CHS/DC | Montaxe en rack estándar de 19 polgadas de 2U; consumo máximo de enerxía de 300 W; unidade principal con protector BYPASS modular; 4 ranuras para módulos; 1 interface de consola RS232, 1 interface RJ45 10/100/1000 M con xestión de rede externa; fonte de alimentación dual de CC de 48 V; |
| DERIVACIÓNMódulo | |
| INL-I8XM8X(LM/SM) | Admite protección de conexión serie de enlace 10GE de 4 vías (compatible con 1G), cun total de 8 interfaces de 10GE; admite 8 portos de monitorización SFP+ de 10G (excluíndo os módulos ópticos). |
| INL-I4HM2H (LM/SM) | Admite protección de enlace serie de 100GE bidireccional (compatible con 40GE), cun total de 4 interfaces de 100GE; admite 2 portos de monitorización QSFP28 de 100GE (excluíndo os módulos ópticos). |
| Módulo MONITOR | |
| MON-M16X | 16 portos de monitorización de 10*GE SFP+ (excluíndo os módulos ópticos); |
| MON-M16X-CN98 | 16 portos de monitorización SFP+ de 10*GE (módulo óptico non incluído); equipado cun motor de funcións avanzado, que admite funcións avanzadas de procesamento de tráfico como o descifrado SSL por derivación, o proxy SSL e a deduplicación de tráfico; |
| LUN-M4H | 4 portos de monitorización QSFP28 de 100 GE (módulos ópticos non incluídos); |
| LUN-M4H-CN98 | 4 portos de monitorización QSFP28 de 100 GE (módulos ópticos non incluídos); equipado cun motor de funcións avanzado que admite funcións avanzadas de procesamento de tráfico como o descifrado SSL por derivación, o proxy SSL e a deduplicación de tráfico; |
3.2-Regras de selección de módulos
En función das diferentes ligazóns protexidas e dos requisitos de despregamento do equipo de monitorización, pode escoller con flexibilidade diferentes configuracións de módulos para satisfacer as necesidades reais do seu entorno; siga estas regras ao seleccionar:
1) O conxunto do chasis é un compoñente obrigatorio e debe seleccionarse antes de escoller calquera outro módulo. Selecciona tamén o método de alimentación axeitado (CA/CC) segundo as túas necesidades.
2) A unidade admite un máximo de 4 ranuras para módulos; non se poden seleccionar máis módulos que o número de ranuras para a configuración. En función da combinación flexible de diferentes modelos de módulos, a unidade pode admitir a protección en serie para ata 16 ligazóns de 10GE/GE ou 8 ligazóns de 100GE/40GE.
4-Capacidades intelixentes de procesamento de tráfico
4.1-Implementación en liña
Protección específica en liña para o tráfico
AdmiteEn liña (serie)modo de protección para tipos de tráfico específicos en calqueraen liñaligazón.Toreenviar algúns tipos de tráfico especificados polo usuario noen liñaligazón aoEn liña Sseguridadedispositivopara o seu procesamento e o resto do tráfico reenvíase directamente sen pasar a través doEn liña SseguridadedispositivoAo mesmo tempo,itrealiza unha monitorización en tempo real do estado de funcionamento deEn liña SseguridadedispositivoUnha vez detectado o estado anormal de procesamento do tráfico,itserán omitidos automaticamente da ruta de transmisión do tráfico para garantir a continuidade do servizo de rede.
Protección en liña para todo o tráfico
AdmiteEn liña (serie)modo de protección para todos os tipos de tráfico en calqueraen liñaligazón.Totransmitir todo o tráfico noen liñaligazón aoEn liña Sseguridadedispositivopara o procesamento e monitorizar o estado de execución da Seguridade en liñadispositivoen tempo real. Unha vez detectado o estado anormal de procesamento do tráfico,itserán omitidos automaticamente da ruta de transmisión do tráfico para garantir a continuidade do servizo de rede.
Balanceo de carga
Ten capacidade intelixente de balanceamento da carga de tráfico. Cando o rendemento de procesamento dun únicoEn liña Sseguridadedispositivonon abonda para facer fronte aoen liñatráfico de comunicación de enlace, pode asignar oen liñavincular o tráfico ás interfaces de N Monitor configurando un grupo de balanceo de carga. Segundo a MAC, a información IP, o número de porto, o protocolo e outra información,itrealiza unha saída opcional de balanceamento de carga do algoritmo Hash, de xeito que oen liñao tráfico de enlaces distribúese uniformemente a variosen liñaseguridadeferramentas para o procesamento en clúster, o que mellora eficazmente o rendemento xeral do procesamento doen liñaseguridadeferramentas. Para adaptarse aos requisitos de escenarios de aplicacións de gran ancho de banda e tráfico elevado.
Detección de paquetes de latidos cardíacos
AdmiteTxeRxpaquetes de detección de latidos cardíacos a través da ligazón ascendente e descendente dos dispositivos conectadosen liñadispositivos de seguridade e detecta asferramentas en liñaestado de funcionamento e se o proceso de procesamento do tráfico é normal. O latexado bidireccionalpaqueteO mecanismo de detección pode reflectir con maior precisión o estado de funcionamento actual doen liñaseguridadedispositivoe garantir de forma máis eficaz o funcionamento normal da rede.
Pode personalizar os parámetros do latexo de calqueraen liñadispositivo de seguridade, como o latido do corazónTxintervalo de tempo, tempos máximos de reintento do latido cardíaco, latido cardíacoTxdirección, etc. Pode detectar e xulgar o estado de fallo deen liñadispositivos de seguridade a tempo e realizar unha conmutación rápida de derivación das ligazóns de protección.
Os paquetes de detección de latexos cardíacos son tramas Ethernet de capa 2 predeterminadas. Cando se desprega o modo de ponte de capa 2 transparente (como IPS/FW), as tramas Ethernet de capa 2 reenviaranse normalmente sen bloqueos nin perdas. Ao mesmo tempo, tamén pode admitir paquetes de detección de latexos cardíacos Ethernet de capa 2, capa 3 e capa 4 personalizados para adaptarse a algunhas características especiais.en liñaOs dispositivos de seguridade normalmente non poden reenviar tramas de capa 2 de Ethernet ordinarias.
Baseándose no mecanismo anterior, os usuarios poden obter o efecto de detección do estado do nivel de servizo dos dispositivos de seguridade conectados, de xeito que poida garantir o funcionamento normal dos servizos de seguridade de forma máis eficaz.
Conmutación de derivación
Admite bypass moi baixoconmutaciónatraso (<8 ms) e os usuarios apenas poden sentir o impacto na rede cando o dispositivo realiza o bypassconmutaciónAo mesmo tempo, a tecnoloxía de conmutación de enlaces específica do dispositivo pode garantir que o estado do enlace principal non se vexa afectado durante a derivación.conmutaciónEsta tecnoloxía garantirá que a derivaciónconmutacióné máis seguro e non fará que o protocolo de topoloxía de capa 2/capa 3 das ligazóns protexidas recalcule e converxa, para minimizar o impacto na rede de usuarios durante oconmutación.
Bloqueo de tráfico
Cando o dispositivo de seguridade detecta conexións de sesión ilegais ou anormais no tráfico e precisa bloquealas a tempo, o dispositivo pode interceptar calquera paquete especificado no tráfico ascendente/descendente doen liñaligazón baseada nas condicións do filtro de coincidencia de tuplas para garantir o funcionamento seguro dos servizos de rede.
Espello de tráfico
Ademais da protección do tráfico da ligazón en liña e do dispositivo de seguridade en liña (como IPS, WAF), calquera tráfico espelhado de SPAN tamén se pode enviar ao sistema de monitorización de seguridade SPAN (como IDS, APT), para cumprir cos requisitos de despregamento da monitorización SPAN dos datos de tráfico ou das probas e verificación do tráfico.
Proxy SSL
Mediante a función de proxy SSL, o paquete cifrado orixinal descifráase e envíase ao sistema de protección de seguridade en liña e, a continuación, os datos descifrados restáuranse e envíanse de volta á ligazón orixinal, para proporcionar os datos descifrados ao sistema de protección de seguridade en liña sen afectar a transmisión de datos cifrados na ligazón orixinal do usuario e realizar a monitorización e análise dos datos cifrados polo sistema de análise.
4.2-Implementación de SPAN
Replicación do tráfico de rede
AdmiteEn liña (serie)modo de protección para tipos de tráfico específicos en calqueraen liñaligazón.Toreenviar algúns tipos de tráfico especificados polo usuario noen liñaligazón aoEn liña Sseguridadedispositivopara o seu procesamento e o resto do tráfico reenvíase directamente sen pasar a través doEn liña SseguridadedispositivoAo mesmo tempo,itrealiza unha monitorización en tempo real do estado de funcionamento deEn liña SseguridadedispositivoUnha vez detectado o estado anormal de procesamento do tráfico,itserán omitidos automaticamente da ruta de transmisión do tráfico para garantir a continuidade do servizo de rede.
Agregación de tráfico de rede
O tráfico de entrada orixinal e o tráfico preprocesado pódense copiar ao sinal de canal N segundo o sinal de 1 canal ou copiarse ao sinal de canal M despois da agregación do sinal de canal N no reenvío de velocidade de liña GE, 10GE, 40G e 100G, o que resolve perfectamente as necesidades de despregar máis de dous dispositivos de derivación de escoita multiporto na rede ao mesmo tempo.
Distribución/Reenvío de datos
Clasificou os metadatos entrantes con precisión e descartou ou reenviou diferentes servizos de datos a varias saídas de interface segundo as regras predefinidas polo usuario.
Filtrado de paquetes de datos
Os datos de entradatráficopódese clasificar con precisión e os diferentes servizos de datos poden ser regras de lista branca ou lista negra e pódense descartar ou reenviar varias saídas de interface. Admite combinacións flexibles baseadas no tipo de Ethernet, etiqueta VLAN, cinco tuplas IP,TCPidentificador, características dos paquetes e outros elementos para cumprir aínda máis cos requisitos de despregamento de varios equipos de seguridade de rede, análise de protocolos, análise de sinalización e outras funcións de monitorización do tráfico.
Balanceo de carga
O balanceamento de carga do algoritmo Hash opcional pódese levar a cabo segundo as características das capas interna e externa de L2-L4 para garantir a integridade da sesión do fluxo de datos recibido poloESPACIOdispositivo de monitorización. Cando o estado da ligazón cambia, os membros do grupo de portos de descarga poden saír (ligazón DESCENDENTE) ou unirse (ligazón ASCENDENTE) de forma flexible, e o grupo de descarga pode redistribuír automaticamente o tráfico para garantir o equilibrio dinámico da carga do tráfico de saída do porto.
Etiquetado con VLAN
VLAN sen etiquetas
VLAN substituída
Admite a coincidencia de calquera campo clave nos primeiros 128 bytes dun paquete. O usuario pode personalizar o valor de desprazamento, a lonxitude e o contido do campo clave e determinar a política de saída do tráfico segundo a configuración do usuario.
Selado de tempo
Apoiado para sincronizar o servidor NTP para corrixir a hora e escribir a mensaxe no paquete en forma dunha etiqueta de tempo relativa cunha marca de tempo ao final da trama, cunha precisión de nanosegundos
Desencapsulado de túneles
Compatible coa cabeceira VxLAN, VLAN, GRE, GTP, MPLS e IPIP eliminada no paquete de datos orixinal e coa saída reenviada.
Segmentación de datos/paquetes
Admiteporción de paquetesxerando os datos orixinais baseándose na interface de entrada e saída de tráfico a nivel de política (64, 96, 128, 160, 192, 224, 256, 288, 320, 384, 512, 640, 768, 896, 960 bytes son opcionais) e a política de saída de tráfico pódese implementar segundo a configuración do usuario.
Identificación do protocolo de túnel
Compatible coa identificación automática de varios protocolos de túnel como GTP / GRE / VxLAN / PPTP / L2TP / PPPOE / IPIP. Segundo a configuración do usuario, a estratexia de saída do tráfico pódese implementar segundo a capa interna ou externa do túnel.
Prioridade de reenvío de paquetes
Admite a definición da prioridade dos paquetes de datos segundo a importancia do servizo no porto de entrada, e os paquetes de alta prioridade reenvíanse preferentemente na saída. Despois de reenviar os paquetes de alta prioridade, reenvíanse outros paquetes de prioridade media e baixa. Evita a alarma do sistema de análise causada pola falta de paquetes de datos importantes.
Alarma anormal
Admite rexistros de alarmas de monitorización en tempo real e históricos de alarmas das tendencias do tráfico da interface baseados na configuración do limiar. Admite alarmas de monitorización en tempo real e rexistros históricos de alarmas baseados no estado do hardware do dispositivo (CPU, memoria, temperatura, ventilador, fonte de alimentación, etc.).
Copia de seguridade en quente da interface
Admite a configuración primaria/en espera da interface de entrada 1+1, a configuración primaria/en espera da interface de saída 1+1 e a configuración primaria/en espera do grupo de balanceamento de carga N+1 para lograr unha alta fiabilidade no proceso de tráfico da entrada á saída.
Medición de microrráfagas de tráfico
Pode detectar o tempo de ocorrencia, a duración e a taxa de ráfagas de microráfagas de tráfico en tempo real e proporcionar retención de rexistros de medicións históricas, o que proporciona medios e bases cuantificables e observables para a resolución de problemas de operación e mantemento e a detección de perdas de paquetes.
Protección contra oscilacións da interface
Admite a detección e protección de eventos de oscilación de enlace ascendente/desactivado de calquera interface, para evitar a perda de tráfico de entrada e saída causada por enlaces ascendentes/desactivados frecuentes das interfaces e mellorar a estabilidade da recollida e o reenvío do tráfico.
Saída de encapsulación do túnel
Admite a encapsulación de túneles de tipo ERSPAN2, GRE, VXLAN e NVGRE de calquera tráfico recollido e saída para cumprir cos requisitos da aplicación de transmisión do tráfico recollido a un sistema de análise remoto.
Terminación de paquetes de túnel
Admite a función de terminación de mensaxes de túnel. Esta función permite configurar enderezos IP/máscara e enderezos MAC no porto de entrada de tráfico. Permite a transmisión directa do tráfico que precisa ser recollido na rede do usuario a través de métodos de encapsulación de túneles como GRE, GTP e VXLAN ao porto de recollida do dispositivo.
Descifrado SSL SPAN
Compatible coa carga do descifrado do certificado SSL correspondente. Despois do descifrado dos datos cifrados HTTPS para o tráfico especificado, estes serán reenviados aos sistemas de monitorización e análise do backend segundo sexa necesario. Compatible con TLS1.0, TLS1.2 e SSL3.0
Desduplicación de datos/paquetes
Granularidade estatística baseada en portos ou a nivel de política compatible para comparar varios datos de orixe de recollida e repeticións do mesmo paquete de datos nun momento específico. Os usuarios poden escoller diferentes identificadores de paquetes (dst.ip, src.port, dst.port, tcp.seq, tcp.ack, dst.mac, src.mac, vlan.id)
Enmascaramento de datas clasificadas
Granularidade baseada en políticas compatible para substituír calquera campo clave nos datos brutos co fin de lograr o propósito de protexer a información confidencial. A política de saída do tráfico pódese implementar segundo a configuración do usuario.
Identificación do protocolo de capa de aplicacións
Admite a identificación, a saída e o descarte de protocolos de capa de aplicación baseándose no modo de coincidencia DNS/URL. A biblioteca de funcións DPI pódese integrar para recoñecer, emitir e descartar non menos de 1800 tipos de funcións de protocolos de aplicación (como audio e vídeo, xogos, mensaxería instantánea, bases de datos, correo electrónico, P2P, etc.) e a biblioteca de funcións DPI pódese actualizar e actualizar. Se hai necesidades especiais, tamén se pode levar a cabo un desenvolvemento secundario.
Descapsulación de paquetes definida polo usuario
Admite a función de descapsulación de paquetes autodefinida, que pode eliminar os campos e contidos de encapsulación en calquera posición dos primeiros 128 bytes do paquete e mostralos.
Regulación do tráfico
Ao mesmo tempo, a tecnoloxía de conformación do tráfico utilízase na interface de saída para enviar o fluxo de datos sen problemas á ferramenta de análise, o que resolve fundamentalmente o fenómeno de perda de paquetes causado por microrráfagas e evita a alarma anormal causada pola perda de tráfico no sistema de análise.
Coincidencia de palabras clave de paquetes
Despois de que calquera contido de campo na parte da carga útil do paquete coincida e se atope, o paquete ou fluxo de sesión asociado reenvíase e envíase ou descártase para cumprir cos requisitos de preprocesamento de datos de tráfico específicos.
Desencapsulado de túneles
Admite a saída de VXLAN, MPLS, GRE, SRV6, FABRICPATCH, GENEVE e outras cabeceiras de paquetes no paquete de datos orixinal despois da súa eliminación.
Descarga de conexións de longa duración
Segundo as necesidades do usuario, calquera fluxo de sesión pode ser reenviado e emitido segundo o número de bytes transmitidos e o número de paquetes transmitidos, e o fluxo de sesión posterior pode ser descartado, para cumprir os requisitos do sistema de análise de back-end nalgúns escenarios específicos, que só precisa obter unha parte do tráfico do fluxo de sesión, reducir a presión da análise de tráfico e mellorar a eficiencia do sistema de análise.
Análise estatística do tráfico
Admite as estatísticas dos compoñentes de calquera tráfico de interface de entrada e pode mostrar o tamaño da tendencia do tráfico, o tamaño/proporción TOPN do tráfico do enderezo IP, o tamaño/proporción TOPN do tráfico da categoría do protocolo da aplicación, o tamaño/proporción TOPN do tráfico do nome do protocolo da aplicación e a información da sesión de tráfico en forma de gráficos en tempo real, e proporciona a exportación de resultados estatísticos a ficheiros locais. Deste xeito, os usuarios poden comprender con maior claridade a estrutura da composición de calquera tráfico recollido e proporcionar a base de datos de apoio máis directa para personalizar as estratexias de tráfico e os requisitos empresariais cambiantes.
Visibilidade do tráfico: análise básica de datos
O módulo de análise básica da función de detección de visualización do tráfico pode mostrar a información básica dos datos de tráfico de destino capturados, como o reconto de paquetes, a distribución de paquetes unicast/multicast/broadcast, o número de conexión de sesión, a distribución do protocolo de paquetes e o tamaño do tráfico capturado.
Visibilidade do tráfico: análise profunda de DPI
O módulo de análise profunda de DPI da función de detección de visibilidade do tráfico pode realizar unha análise exhaustiva dos datos de tráfico obxectivo capturados desde múltiples perspectivas e presentar estatísticas detalladas en forma de gráficos e táboas.
Visibilidade do tráfico: análise da proporción de tráfico
● Análise de proporción de protocolos de capa de transporte: como TCP, UDP, ICMP, IGMP, ARP e outras estatísticas de proporción de paquetes e tráfico e visualización de gráfico circular
● Análise da proporción do tráfico IP: como estatísticas de tráfico xeradas por diferentes enderezos IP, clasificación do tráfico baseada en IP TOP N e visualización de gráficos de barras
● Análise da proporción da aplicación DPI: como HTTP, QQ, FTP e outros protocolos de aplicación, o número de bytes, a distribución estatística do tráfico de comunicación e a visualización do gráfico circular
Visibilidade do tráfico: análise da liña temporal do tráfico
Segundo diferentes condicións de filtrado, como IP, porto, protocolo de capa de transporte, protocolo de capa de aplicación e outros contidos especificados, os datos de tráfico de captura de destino actuais pódense analizar e presentar en función do tempo de mostraxe, e o tamaño e a tendencia do tráfico pódense consultar movendo o control deslizante de tempo e a escala de granularidade estatística, e a precisión pode chegar a 1 milisegundo.
Visibilidade do tráfico: análise da táboa de fluxo
Segundo diferentes condicións de filtro, como o ID do fluxo, o IP, o porto, o protocolo da capa de transporte, o protocolo da capa de aplicación e outros contidos especificados, os datos de tráfico capturados no obxectivo actual pódense analizar e contar en función do modo de fluxo de sesión, é dicir, a presentación detallada da información do fluxo de sesión, incluíndo a información de cinco tuplas de cada fluxo, o tipo de aplicación de transporte, o número e os bytes da transmisión de paquetes e o fluxo de datos asociado. E ten unha visualización de clasificación baseada na información anterior. Con base nesta información, os usuarios poden escoller facilmente os tipos de tráfico que lles interesan, o que proporciona a base máis directa para que os usuarios formulen políticas de reenvío de tráfico.
Visibilidade do tráfico: análise de paquetes
En función de diferentes criterios de filtrado, como o ID do paquete, o IP, o porto, o protocolo da capa de transporte, o protocolo da capa de aplicación e outros contidos especificados, os datos de tráfico de destino capturados poden proporcionarse cunha presentación de análise a nivel de paquete, que inclúe:
● Análise da marca temporal de recollida de paquetes
● Análise da información de paquetes clave, como SIP, DIP, SMAC, DMAC, protocolo, flag, TTL, lonxitude da mensaxe e eventos clave
● Análise da ruta de transmisión de paquetes e visualización de animacións, como: tempos de reenvío, atraso de reenvío, tipo de reenvío (enrutamento, conmutación, firewall, balanceamento de carga, NAT)
● Resumo da información do paquete e visualización detallada da estrutura
● Análise do número de paquetes recollidos repetidamente
Visibilidade do tráfico: análise precisa de fallos
O módulo de análise de fallos da función de detección de visibilidade do tráfico pode proporcionar diferentes posicións de análise de fallos visuais para os datos de tráfico de destino capturados, incluíndo:
● Visión xeral anormal, como: resultados da análise do servizo de rede, resultados da análise de eventos anormais, procesos de rede baseados na análise do comportamento (como o número de dispositivos de enrutamento, dispositivos NAT, dispositivos de firewall, dispositivos de equilibrio de carga que pasan pola transmisión de paquetes)
● Análise de fallos a nivel da táboa de fluxo, como os tipos de eventos anormais (conexión rexeitada/conexión que non responde/conexión sen transmisión de datos/conexión semiaberta/ruta de sesión inalcanzable, etc.), ● Análise de fallos a nivel de paquete, como: tipo de evento anormal (erro de suma de comprobación do paquete/TTL 0/erro inalcanzable/erro de suma de comprobación FCS, etc.), descrición detallada da información anormal e detalles do fluxo de datos asociado.
● Análise de fallos de seguridade, como: tipo de evento anormal (ataque DDOS/bloqueo do cortafuegos/ataque ARP/inundación UDP/INUNDACIÓN SYN, etc.), descrición detallada da información anormal e detalles do fluxo de datos asociado
● Análise de fallos de rede, como: tipo de evento anormal (bucle de conmutación/bucle de enrutamento/ruta inalcanzable/interrupción da ligazón, etc.), descrición detallada da información anormal e detalles do fluxo de datos asociado
5-Especificacións do Mylinking™ Network Packet Broker máis o conmutador de derivación en liña
| ML-DERIVACIÓN-M2000 Mylinking™ Network Packet Broker máis conmutador de derivación en liña Especificacións funcionais | ||||
| Interface de rede | Ranura para módulos | 4 ranuras para módulos BYPASS ou MONITOR | ||
| Número de ligazóns en liña | Admite protección para ata 16 ligazóns ópticas de 1G/10G ou 8 ligazóns ópticas de 40G/100G. | |||
| Interface de monitorización do monitor | Admite un máximo de 64 interfaces de monitorización de 1G/10GE ou 16 interfaces de monitorización de 40G/100G. | |||
| Interface de xestión fóra de banda | 1 porto Ethernet de 10/100/1000 M; | |||
| Modo de despregamento | Implementación en liña | Soporte | ||
| Implementación de SPAN | Soporte | |||
| Funcións do sistema | Modo de despregamento en liña | Protección específica contra a concatenación de fluxos | Soporte | |
| Protección de toda a serie de fluxo | Soporte | |||
| Balanceo de carga | Soporte | |||
| Detección de latexos cardíacos | Soporte | |||
| Conmutación de derivación | Soporte | |||
| Bloqueo de tráfico | Soporte | |||
| Duplicación de tráfico | Soporte | |||
| Proxy SSL | Soporte | |||
| Modo de despregamento SPAN | Procesamento básico do tráfico | Replicación/agregación/distribución do tráfico | Soporte | |
| Balanceo de carga | Soporte | |||
| Filtrado de tráfico baseado no identificador de 5 tuplas de IP/protocolo/porto | Soporte | |||
| Etiquetado/modificación/eliminación de VLAN | Soporte | |||
| Selado de tempo | Soporte | |||
| Desencapsulado de túneles | Soporte | |||
| Segmentación de datos | Soporte | |||
| Identificación do protocolo de túnelización | Soporte | |||
| Prioridade de reenvío de paquetes | Soporte | |||
| Aviso anormal | Soporte | |||
| Interface de espera quente | Soporte | |||
| Medición de microrráfagas | Soporte | |||
| Protección contra oscilacións da interface | Soporte | |||
| Saída de encapsulación do túnel | Soporte | |||
| Terminación de paquetes de túnel | Soporte | |||
| Procesamento avanzado do tráfico | Evite o descifrado SSL | Soporte | ||
| Deduplicación de datos | Soporte | |||
| Enmascaramento de datos | Soporte | |||
| Identificación do protocolo da capa de aplicación | Soporte | |||
| Descapsulación personalizada | Soporte | |||
| Moldeado de fluxo | Soporte | |||
| Coincidencia de palabras clave | Soporte | |||
| Desencapsulado de túneles | Soporte | |||
| Descarga de conexións de longa duración | Soporte | |||
| Observación dos compoñentes do fluxo | Soporte | |||
| Diagnóstico e monitorización | Monitorización en tempo real | Soporte | ||
| Consulta do tráfico histórico | Soporte | |||
| Captura de tráfico | Soporte | |||
| Detección de visualización de tráfico | Análise fundamental | Admite a visualización estatística resumida baseada en información básica como o reconto de paquetes, a distribución do tipo de paquete, o reconto de conexións de sesión e a distribución do protocolo de paquetes. | ||
| Análise en profundidade de DPI | Admite a análise da proporción de protocolos da capa de transporte, a proporción de unicast, broadcast e multicast, a proporción de tráfico IP e a proporción de aplicacións DPI. Admite a análise e presentación do contido de datos en función do tempo de mostraxe e do volume de datos. Admite a análise de datos e as estatísticas baseadas en fluxos de sesión. | |||
| Análise precisa de fallos | Admite a análise e localización de fallos empregando datos de tráfico desde varias perspectivas, incluíndo: análise do comportamento de transmisión de paquetes, análise de fallos a nivel de fluxo de datos, análise de fallos a nivel de paquete de datos, análise de fallos relacionados coa seguridade e análise de fallos relacionados coa rede. | |||
| capacidade de procesamento | 2,4 Tbps | |||
| Xestionar | Xestión de rede da CONSOLA | Soporte | ||
| Xestión de redes IP/WEB | Soporte | |||
| Xestión de rede SNMP | Soporte | |||
| Xestión de redes TELNET/SSH | Soporte | |||
| Protocolo SYSLOG | Soporte | |||
| Autenticación centralizada RADIUS ou TADACS+ | Soporte | |||
| Función de autenticación de usuario | Autenticación de nome de usuario e contrasinal | |||
| Eléctrico | Tensión de alimentación nominal | CA-220 V/CC-48 V [Opcional] | ||
| Frecuencia nominal de potencia | CA-50Hz | |||
| corrente de entrada nominal | CA-3A / CC-10A | |||
| Potencia funcional nominal | Máximo 300 W | |||
| Medio ambiente | Temperatura de funcionamento | 0-50℃ | ||
| Temperatura de almacenamento | -20-70 ℃ | |||
| Humidade de funcionamento | 10%-95%, sen condensación | |||
| Configuración do usuario | Configuración da consola | Interface RS232, 115200, 8, N, 1 | ||
| Autenticación por contrasinal | Sapoio | |||
| Tamaño do bastidor | Espazo en rack (U) | 2U 444 mm * 88 mm * 670 mm | ||
6-Aplicación Mylinking™ Network Packet Broker máis conmutador de derivación en liña
6.1O/ARrisco deEn liña SseguridadeEequipo (IPS / FW)
O seguinte é un modo de despregamento típico de IPS (Sistema de prevención de intrusións) e FW (cortafogos). IPS/FW desprégase en serie cos equipos de rede (routers, switches, etc.) entre o tráfico mediante a implementación de comprobacións de seguridade, segundo a política de seguridade correspondente para determinar a liberación ou o bloqueo do tráfico correspondente, para lograr o efecto de defensa da seguridade.
O seguinte é un modo de despregamento típico de IPS (Sistema de prevención de intrusións) e FW (cortafogos). IPS/FW desprégase en serie cos equipos de rede (routers, switches, etc.) entre o tráfico mediante a implementación de comprobacións de seguridade, segundo a política de seguridade correspondente para determinar a liberación ou o bloqueo do tráfico correspondente, para lograr o efecto de defensa da seguridade.
6.2 Protección de equipos da serie Inline Link
Mylinking™ Network Packet Broker plus Inline Bypass Switch desprégase en serie entre dispositivos de rede (routers, switches, etc.) e o fluxo de datos entre os dispositivos de rede xa non leva directamente a IPS/FW. O "Smart Inline Bypass Switch" funciona a IPS/FW. Cando o IPS/FW falla debido a sobrecargas, fallos, actualizacións de software, actualizacións de políticas e outras condicións de fallo, o "Smart Inline Bypass Switch" realiza un descubrimento oportuno mediante a función intelixente de detección de mensaxes de latexos cardíacos e, polo tanto, omite o dispositivo defectuoso sen interromper as premisas da rede. O equipo de rede conectado rapidamente protexe a rede de comunicación normal; cando se recupera un fallo de IPS/FW, tamén se realiza a detección oportuna mediante a función intelixente de detección de paquetes de latexos cardíacos para restaurar a seguridade da rede empresarial.
Mylinking™ Network Packet Broker plus Inline Bypass Switch ten unha potente función intelixente de detección de mensaxes de latexos. O usuario pode personalizar o intervalo de latexos e o número máximo de intentos mediante unha mensaxe de latexos personalizada no IPS/FW para probas de estado, como enviar a mensaxe de comprobación do latexo ao porto augas arriba/abaixo do IPS/FW e, a continuación, recibila do porto augas arriba/abaixo do IPS/FW e xulgar se o IPS/FW funciona normalmente enviando e recibindo a mensaxe de latexos.
6.3 Fluxo de políticas “SpecFlow” en liñaSeguridadeProtección en serie
Cando o dispositivo de rede de seguridade só precisa xestionar o tráfico específico na protección de seguridade en serie, a través da función de procesamento de tráfico Mylinking™ Network Packet Broker máis o conmutador de derivación en liña, a través da política de filtrado de tráfico para conectar o dispositivo de seguridade en liña. O tráfico "en cuestión" envíase de volta directamente á ligazón de rede, e a "sección de tráfico en cuestión" diríxese ao dispositivo de seguridade en liña para realizar comprobacións de seguridade. Isto non só manterá a aplicación normal da función de detección de seguridade do dispositivo de seguridade, senón que tamén reducirá o fluxo ineficiente do equipo de seguridade para xestionar a presión; ao mesmo tempo, o "conmutador de derivación intelixente en liña" pode detectar o estado de funcionamento do dispositivo de seguridade en tempo real. O dispositivo de seguridade funciona de forma anormal e evita o tráfico de datos directamente para evitar a interrupción do servizo de rede.
O Mylinking™ Network Packet Broker plus Inline Bypass Switch pode identificar o tráfico baseándose no identificador da cabeceira da capa L2-L4, como a etiqueta VLAN, o enderezo MAC de orixe/destino, o enderezo IP de orixe, o tipo de paquete IP, o porto do protocolo da capa de transporte, a etiqueta clave da cabeceira do protocolo, etc. Pódese definir de forma flexible unha variedade de combinacións flexibles de condicións de coincidencia para definir os tipos de tráfico específicos que son de interese para un dispositivo de seguridade particular e poden utilizarse amplamente para o despregamento de dispositivos especiais de auditoría de seguridade (RDP, SSH, auditoría de bases de datos, etc.).
6.4Lcarga equilibradaSeguridade en liñaProtección en serie
O Mylinking™ Network Packet Broker plus Inline Bypass Switch desprégase en serie entre dispositivos de rede (routers, switches, etc.). Cando o rendemento de procesamento dun só IPS/FW non é suficiente para facer fronte ao tráfico máximo de enlaces de rede, a función de equilibrio da carga de tráfico do protector, a "agrupación" de varios tráficos de enlaces de rede de procesamento en clúster IPS/FW, pode reducir eficazmente a presión de procesamento dun só IPS/FW e mellorar o rendemento xeral do procesamento para cumprir coa alta largura de banda do ambiente de despregamento.
Mylinking™ Network Packet Broker plus Inline Bypass Switch ten unha potente función de balanceo de carga, segundo a etiqueta VLAN da trama, a información MAC, a información IP, o número de porto, o protocolo e outra información sobre a distribución do balanceo de carga hash do tráfico para garantir a integridade da sesión do fluxo de datos recibido por cada IPS/FW.
6.5MultiserieEquipamento en liña FbaixoTraciónPprotección(CambiarFísicoConexión en serie aLóxicoConexión en paralelo)
Nalgúns enlaces clave (como puntos de conexión a Internet, enlaces de intercambio de áreas de servidores), a localización adoita deberse ás necesidades de funcións de seguridade e ao despregamento de varios equipos de probas de seguridade en liña (como cortafuegos, equipos antiataques DDOS, cortafuegos de aplicacións WEB, equipos de prevención de intrusións, etc.), varios equipos de detección de seguridade ao mesmo tempo en serie na ligazón para aumentar a conexión dun único punto de fallo, reducindo a fiabilidade xeral da rede. E no despregamento en liña de equipos de seguridade mencionados anteriormente, as actualizacións de equipos, a substitución de equipos e outras operacións, provocarán unha interrupción do servizo da rede durante un longo período de tempo e un corte de proxectos máis grandes para completar a implementación exitosa destes proxectos.
Ao despregar o Mylinking™ Network Packet Broker máis o Inline Bypass Switch dun xeito unificado, o modo de despregamento de varios dispositivos de seguridade conectados en serie na mesma ligazón pode cambiarse de "Modo de conexión en serie física" a "Conexión paralela física pero modo de conexión en serie lóxica". Isto reduce eficazmente as fontes de punto único de fallo na ligazón en serie e mellora a fiabilidade da ligazón. Ao mesmo tempo, Mylinking™ Network Packet Broker máis o Inline Bypass Switch poden guiar o tráfico da ligazón baixo demanda, conseguindo o mesmo efecto de procesamento de seguridade do tráfico que o modo de conexión en serie orixinal.
Diagrama de despregamento de máis dun dispositivo de seguridade en liña ao mesmo tempo en serie:
Diagrama de despregamento do Mylinking™ Network Packet Broker máis o conmutador de derivación en liña:
(Cambiar a conexión serie física a conexión paralela lóxica)
6.6Baseado noDpolítica dinámica deTtráfico en liñaSseguridadeDecciónPprotección
Mylinking™ Network Packet Broker plus Inline Bypass Switch, outro escenario de aplicación avanzada, baséase na política dinámica das aplicacións de protección da detección de seguridade da tracción do tráfico, despregando o método que se mostra a continuación:
Por exemplo, o equipo de probas de seguridade "Protección e detección de ataques anti-DDoS" utiliza o despregamento frontal do "Smart Bypass Switch" e, a continuación, o equipo de protección anti-DDOS, conectado ao "Smart Bypass Switch", que permite ao "Smart Bypass Switch" conectar o tráfico a velocidade de cable ao mesmo tempo que o fluxo de saída do espello ao "Dispositivo de protección contra ataques anti-DDOS" se envía ao "Dispositivo de protección contra ataques anti-DDOS". Unha vez detectado o enderezo IP dun servidor (ou segmento de rede IP) despois do ataque, o "Dispositivo de protección contra ataques anti-DDOS" xerará as regras de coincidencia do fluxo de tráfico de destino e envialas ao "Smart Bypass Switch" a través da interface de entrega de políticas dinámicas. O "Bypass Switch" pode actualizar a "dinámica de tracción do tráfico" despois de recibir as regras de política dinámica e "axudar inmediatamente a regra ao tráfico do servidor de ataque e "atraer ao equipo de protección e detección de ataques anti-DDoS" para o seu procesamento, para que o fluxo de ataque sexa efectivo e logo se volva inxectar na rede.
O esquema de aplicación baseado no "Smart Bypass Switch" é máis doado de implementar que a inxección de rutas BGP tradicional ou outro esquema de tracción de tráfico, e o ambiente depende menos da rede e a fiabilidade é maior.
O "Interruptor de derivación intelixente" ten as seguintes características para soportar a protección dinámica de detección de seguridade de políticas:
1. "Interruptor de derivación intelixente" para proporcionar fóra das regras baseado na interface WEBSERVICE, integración sinxela con dispositivos de seguridade de terceiros.
2. "Interruptor de derivación intelixente" baseado no chip ASIC puro de hardware que reenvía paquetes a velocidade de cable de ata 100 Gbps sen bloquear o reenvío do interruptor e "biblioteca de regras dinámicas de tracción de tráfico" independentemente do número.
3. A función de derivación profesional integrada "Interruptor de derivación intelixente", mesmo se o propio protector falla, tamén pode omitir a ligazón serie orixinal inmediatamente, sen afectar a ligazón orixinal da comunicación normal.
6.7Duplicación de tráfico serie en liñapara a seguridade fóra de banda (en liña + SPAN)
O Mylinking™ Network Packet Broker plus Inline Bypass Switch adoita implementarse na rede de TI ou na rede de plataformas na nube dun cliente para proporcionar protección en liña para os dispositivos WAF/IPS e a ligazón orixinal. Os usuarios tamén poden ter requisitos adicionais para as probas, a verificación ou a implementación de dispositivos de monitorización de bypass, o que fai necesaria a adquisición de datos de tráfico nesta ligazón.
Polo tanto, usando a función de duplicación de tráfico do Mylinking™ Network Packet Broker máis o conmutador de derivación en liña, o tráfico da ligazón serie en liña pódese duplicar desde o porto do monitor, como se mostra na seguinte figura:
O diagrama seguinte ilustra un escenario de aplicación ampliado de tráfico de enlace en liña e tráfico de portos con espello do conmutador. Isto permite a protección do tráfico de enlace en liña sen verse afectado polo tráfico de portos con espello do conmutador. O sistema de análise IDS pode adquirir simultaneamente tanto o tráfico de enlace en liña como o tráfico de portos con espello do conmutador. O método de despregamento móstrase no diagrama seguinte:
6.8Desduplicación de datos/paquetesAplicación
Como se mostra na estrutura de despregamento da aplicación anterior, para garantir a integridade da recollida de datos orixinal ao longo de toda a ligazón, algúns paquetes de datos idénticos poden recollerse varias veces dentro dunha única ruta. Isto leva a un aumento das falsas alarmas e retransmisións no sistema backend, o que aumenta a sobrecarga de rendemento do sistema de análise e afecta á precisión e á eficacia da análise. Segundo a solución, primeiro, os paquetes de datos duplicados que se deduplican en diferentes nodos de captura. Só se reenvía un paquete de datos ao sistema de análise de rendemento da rede NPM de backend e ao sistema de análise de rendemento da aplicación APM, o que aforra o rendemento do sistema de análise e mellora a eficiencia e a precisión da análise.
6.9Datos/PaqueteEtiqueta VLANndoAplicación
No entorno de rede que se mostra no diagrama anterior, a solución úsase para etiquetar os datos brutos de diferentes dispositivos de rede e nodos de enlace. Cando se produce tráfico ou paquetes de datos anormais na rede, o equipo de análise de backend pode localizar de forma rápida e precisa a orixe dos datos anormais rastrexándoos en función das etiquetas de datos.
6.10 Tráfico de redeHorario unificadoAplicación
No entorno de rede que se mostra no diagrama anterior, varios datos de enlace de orixe de 10GE, 25GE, 40GE e 100GE introdúcense completamente no Mylinking™ Network Packet Broker máis o conmutador de derivación en liña mediante a división óptica ou o espello de portos. Despois, o filtrado e a división do tráfico utilízanse para enviar diferentes datos de servizo a diferentes dispositivos de sistemas de monitorización e seguridade de rede fóra de banda de backend. Cando as anomalías dos paquetes de rede ou as flutuacións anormais do tráfico requiren intervención manual, a captura de paquetes en tempo real e a análise dos paquetes de datos orixinais pódense realizar inmediatamente para axudar aos usuarios a analizar e localizar rapidamente o fallo.
6.11RedeAnálise de visibilidade dos datos de tráficoAplicación
Pode presentar calquera dato detectado e capturado dun xeito multidimensional e multiperspectivo a través dunha interface interactiva gráfica e de texto intuitiva, incluíndo a estrutura da composición do tráfico, a distribución do protocolo da aplicación, a distribución do tráfico de todos os nodos da rede, a ruta de transmisión de datos, a detección de eventos anormais, a localización precisa dos fallos dos elementos/enlaces da rede, o estado da interacción das mensaxes, a tendencia de desenvolvemento do tráfico e outros aspectos para a súa monitorización e análise, co fin de establecer unha plataforma de recollida de datos e seguridade completa, visible e controlable para as redes empresariais.
