O TAP ou o conmutador de derivación de rede proporciona paquetes de latidos para dispositivos de seguridade en liña

O/AToque de derivación de rede, tamén coñecido como o "Interruptor de derivación de rede", ofrece a capacidade de xestionar a dispoñibilidade e a fiabilidade da súa ferramenta en liña (IPS, WAF, FW/firewalls) en calquera momento sen tempo de inactividade da rede nin afectar a dispoñibilidade empresarial para mantemento ou actualizacións. Un compoñente fundamental para as estratexias de seguridade de TI

Un interruptor de derivación de rede (Network Bypass Tap) ten unha consistencia consistentePaquetes de latexos cardíacosque se envían a unDispositivo de seguridade en liñaEstes latexos indican a funcionalidade do dispositivo de seguridade en liña: os latexos regulares significan queEvite o TAPfunciona ben. Se os ritmos non volven aoEvite o TAPO TAP ignora automaticamente o dispositivo para permitir o envío dos paquetes, independentemente do nivel de tráfico. Tamén é capaz de detectar o estado do dispositivo, de xeito que cando volve estar en liña, o TAP o detecta e o tráfico volve dirixirse a través do dispositivo.

A opción de derivación de rede "Xestión en liña" permíteche implementar novas ferramentas nun ambiente de probas, xestionar actualizacións, instalar parches, realizar mantemento ou resolución de problemas e validar fóra de banda, sen afectar as conexións de rede actuais.

Coa nosa ampla experiencia e os nosos servizos considerados, fomos recoñecidos como un provedor fiable para moitos compradores internacionais de Network Bypass TAP ou Network Bypass Switch que proporciona paquetes Heartbeats para dispositivos de seguridade en liña. A nosa empresa agarda con impaciencia establecer interaccións de socios empresariais a longo prazo e útiles con clientes e empresarios de todo o mundo.
Coa nosa rica experiencia e os nosos servizos considerados, fomos recoñecidos como un provedor fiable para moitos compradores internacionais paraInterruptor de derivación da rede TAP de derivación, Paquetes de latexos cardíacos, Dispositivo de seguridade en liña, Toque de derivación de redeOs nosos produtos expórtanse principalmente ao sueste asiático, Oriente Medio, América do Norte e Europa. A nosa calidade está garantida. Se estás interesado en algún dos nosos artigos ou queres falar sobre un pedido personalizado, non dubides en contactar connosco. Agardamos poder establecer relacións comerciais exitosas con novos clientes de todo o mundo nun futuro próximo.

1- Visión xeral

Ao implementar o interruptor de derivación intelixente Mylinking™:

• Os usuarios poden instalar/desinstalar equipos de seguridade de forma flexible e non afectará á rede actual nin ás interrupcións;
• Interruptor de derivación de toma de rede Mylinking™ con función intelixente de detección de estado para a monitorización en tempo real do estado de funcionamento normal do dispositivo de seguridade serie. Unha vez que o dispositivo de seguridade serie funciona de forma excepcional, a protección omitirase automaticamente para manter a comunicación de rede normal;
• A tecnoloxía de protección selectiva do tráfico pódese empregar para despregar equipos de seguridade de limpeza do tráfico específicos, tecnoloxía de cifrado baseada no equipo de auditoría. Leva a cabo eficazmente a protección do acceso en serie para o tipo de tráfico específico, descargando a presión de manexo do fluxo do dispositivo en serie;
• A tecnoloxía de protección do tráfico con carga equilibrada pódese empregar para a implementación en clúster de dispositivos serie seguros para satisfacer a necesidade de seguridade serie en entornos de ancho de banda elevado.

Co rápido desenvolvemento de Internet, a ameaza á seguridade da información de rede é cada vez máis grave, polo que unha variedade de aplicacións de protección da seguridade da información úsanse cada vez máis. Xa sexan equipos tradicionais de control de acceso (cortafogos) ou un novo tipo de medios de protección máis avanzados, como o sistema de prevención de intrusións (IPS), a plataforma unificada de xestión de ameazas (UTM), o sistema de ataques antidenegación de servizo (Anti-DDoS), a pasarela anti-span, o sistema unificado de identificación e control de tráfico DPI e moitos dispositivos de seguridade están despregados en serie nos nodos clave da rede, implementando a política de seguridade de datos correspondente para identificar e xestionar o tráfico legal/ilegal. Ao mesmo tempo, con todo, a rede informática xerará un gran atraso na rede ou incluso interrupcións da rede en caso de conmutación por erro, mantemento, actualización, substitución de equipos, etc. nun entorno de aplicacións de rede de produción altamente fiable, os usuarios non o poden soportar.

2- Interruptor de derivación de toma de rede Funcións e tecnoloxías avanzadas

Modo de protección Mylinking™ “SpecFlow” e tecnoloxía de modo de protección “FullLink”
Tecnoloxía de protección de conmutación de derivación rápida Mylinking™
Tecnoloxía Mylinking™ “LinkSafeSwitch”
Tecnoloxía de reenvío/problema de estratexia dinámica "WebService" de Mylinking™
Tecnoloxía intelixente de detección de mensaxes de latexos cardíacos Mylinking™
Tecnoloxía de mensaxes de latexos definibles Mylinking™
Tecnoloxía de equilibrio de carga multienlace Mylinking™
Tecnoloxía intelixente de distribución de tráfico Mylinking™
Tecnoloxía de equilibrio de carga dinámico Mylinking™
Tecnoloxía de xestión remota Mylinking™ (HTTP/WEB, TELNET/SSH, característica “EasyConfig/AdvanceConfig”)

3- Guía de configuración do interruptor de derivación de tomas de rede

DERIVACIÓNRanura do módulo de porto de protección:
Esta ranura pódese inserir no módulo de porto de protección BYPASS con diferente velocidade/número de porto. Ao substituír diferentes tipos de módulos, pode admitir a protección BYPASS de varias ligazóns de 10G/40G/100G.

MONITORRanura para módulo de porto;
Esta ranura pódese inserir no módulo de portos MONITOR con diferentes velocidades/portos. Pode admitir a implementación de varios dispositivos de monitorización serie en liña de enlace 10G/40G/100G substituíndo diferentes modelos.

Regras de selección de módulos
En función das diferentes ligazóns despregadas e dos requisitos de despregamento do equipo de monitorización, pode escoller de forma flexible diferentes configuracións de módulos para satisfacer as necesidades reais do seu entorno; siga as seguintes regras ao seleccionar:
1. Os compoñentes do chasis son obrigatorios e debes seleccionalos antes de seleccionar calquera outro módulo. Ao mesmo tempo, escolle diferentes métodos de alimentación (CA/CC) segundo as túas necesidades.
2. A máquina completa admite ata 2 ranuras para módulos BYPASS e 1 ranura para módulos MONITOR; non se pode seleccionar máis ranuras que as que se configuran. En función da combinación do número de ranuras e do modelo do módulo, o dispositivo pode admitir ata catro proteccións de enlace de 10 GE; ou pode admitir ata catro enlaces de 40 GE; ou pode admitir ata un enlace de 100 GE.
3. O modelo de módulo "BYP-MOD-L1CG" só se pode inserir en SLOT1 para funcionar correctamente.
4. O módulo tipo "BYP-MOD-XXX" só se pode inserir na ranura do módulo BYPASS; o módulo tipo "MON-MOD-XXX" só se pode inserir na ranura do módulo MONITOR para o funcionamento normal.

4- Especificacións do interruptor de derivación TAP de rede

5- Aplicación do interruptor de derivación TAP de rede (como se indica a continuación)

O seguinte é un modo de despregamento típico de IPS (Sistema de prevención de intrusións) e FW (cortafogos). IPS/FW desprégase en serie cos equipos de rede (routers, switches, etc.) entre o tráfico mediante a implementación de comprobacións de seguridade, segundo a política de seguridade correspondente para determinar a liberación ou o bloqueo do tráfico correspondente, para lograr o efecto de defensa da seguridade.

Ao mesmo tempo, podemos observar IPS/FW como un despregamento en serie do equipo, normalmente despregado en localizacións clave da rede empresarial para implementar a seguridade en serie. A fiabilidade dos dispositivos conectados afecta directamente á dispoñibilidade xeral da rede empresarial. Unha vez que os dispositivos en serie se sobrecargan, fallan, actualizan o software, actualizan as políticas, etc., a dispoñibilidade de toda a rede empresarial verase gravemente afectada. Neste punto, só mediante un corte de rede ou un jumper de derivación físico podemos restaurar a rede, o que afecta seriamente á fiabilidade da rede. IPS/FW e outros dispositivos en serie, por unha banda, melloran o despregamento da seguridade da rede empresarial e, por outra banda, tamén reducen a fiabilidade das redes empresariais, o que aumenta o risco de que a rede non estea dispoñible.

5.2 Protección de equipos da serie Inline Link

O "Bypass Switch" de Mylinking™ desprégase en serie entre dispositivos de rede (routers, switches, etc.) e o fluxo de datos entre os dispositivos de rede xa non conduce directamente a IPS/FW, senón que o "Bypass Switch" pasa a IPS/FW. Cando o IPS/FW falla debido a sobrecargas, fallos, actualizacións de software, actualizacións de políticas e outras condicións de fallo, o "Bypass Switch" realiza un descubrimento oportuno a través da función intelixente de detección de mensaxes de latexos cardíacos, o que permite o acceso inesperado ao dispositivo defectuoso sen interromper as premisas da rede. O equipo de rede conectado rapidamente protexe a rede de comunicación normal; cando se recupera un fallo de IPS/FW, tamén se realiza a detección oportuna de paquetes de latexos cardíacos intelixentes mediante a función intelixente de detección de paquetes, o enlace orixinal restaura a seguridade da rede empresarial.

Mylinking™ "Bypass Switch" ten unha potente función intelixente de detección de mensaxes de latexos. O usuario pode personalizar o intervalo de latexos e o número máximo de intentos mediante unha mensaxe de latexos personalizada no IPS/FW para probas de estado, como enviar a mensaxe de comprobación do latexo ao porto augas arriba/abaixo do IPS/FW e, a continuación, recibila do porto augas arriba/abaixo do IPS/FW para avaliar se o IPS/FW funciona normalmente enviando e recibindo a mensaxe.

5.3 Fluxo de políticas “SpecFlow” Protección en serie de tracción en liña

Cando o dispositivo de rede de seguridade só precisa xestionar o tráfico específico na protección de seguridade en serie, a través da función de procesamento de tráfico "Bypass Switch" de Mylinking™, a estratexia de filtrado de tráfico para conectar o dispositivo de seguridade é "Concerned". O tráfico "Concerned" envíase de volta directamente á ligazón de rede, e a "sección de tráfico concerned" é atraída ao dispositivo de seguridade en liña para realizar comprobacións de seguridade. Isto non só manterá a aplicación normal da función de detección de seguridade do dispositivo de seguridade, senón que tamén reducirá o fluxo ineficiente do equipo de seguridade para xestionar a presión; ao mesmo tempo, o "Bypass Switch" pode detectar o estado de funcionamento do dispositivo de seguridade en tempo real. O dispositivo de seguridade funciona de forma anormal, evitando o tráfico de datos directamente para evitar a interrupción do servizo de rede.

O Mylinking™ Traffic Bypass Protector pode identificar o tráfico baseándose no identificador da cabeceira da capa L2-L4, como a etiqueta VLAN, o enderezo MAC de orixe/destino, o enderezo IP de orixe, o tipo de paquete IP, o porto do protocolo da capa de transporte, a etiqueta clave da cabeceira do protocolo, etc. Pódese definir de forma flexible unha variedade de combinacións flexibles de condicións de coincidencia para definir os tipos de tráfico específicos que son de interese para un dispositivo de seguridade particular e poden utilizarse amplamente para o despregamento de dispositivos especiais de auditoría de seguridade (RDP, SSH, auditoría de bases de datos, etc.).

5.4 Protección en serie con carga balanceada

O "conmutador de derivación" Mylinking™ desprégase en serie entre dispositivos de rede (routers, conmutadores, etc.). Cando o rendemento de procesamento dun só IPS/FW non é suficiente para facer fronte ao tráfico máximo de enlaces de rede, a función de equilibrio da carga de tráfico do protector, a "agrupación" do tráfico de enlaces de rede de procesamento de varios clústeres IPS/FW, pode reducir eficazmente a presión de procesamento dun só IPS/FW e mellorar o rendemento xeral do procesamento para cumprir coa alta largura de banda do ambiente de despregamento.

Mylinking™ "Bypass Switch" ten unha potente función de balanceo de carga, segundo a etiqueta VLAN da trama, a información MAC, a información IP, o número de porto, o protocolo e outra información sobre a distribución do balanceo de carga hash do tráfico para garantir a integridade da sesión do fluxo de datos recibido por cada IPS/FW.

5.5 Protección contra a tracción do fluxo de equipos en liña multiserie (cambiar a conexión en serie a conexión en paralelo)
Nalgúns enlaces clave (como puntos de conexión a Internet, enlaces de intercambio de áreas de servidores), a localización adoita deberse ás necesidades de funcións de seguridade e ao despregamento de varios equipos de probas de seguridade en liña (como cortafuegos, equipos antiataques DDOS, cortafuegos de aplicacións WEB, equipos de prevención de intrusións, etc.), varios equipos de detección de seguridade ao mesmo tempo en serie na ligazón para aumentar a conexión dun único punto de fallo, reducindo a fiabilidade xeral da rede. E no despregamento en liña de equipos de seguridade mencionados anteriormente, as actualizacións de equipos, a substitución de equipos e outras operacións, provocarán unha interrupción do servizo da rede durante un longo período de tempo e un corte de proxectos máis grandes para completar a implementación exitosa destes proxectos.

Ao despregar o "Interruptor de derivación" dun xeito unificado, o modo de despregamento de varios dispositivos de seguridade conectados en serie na mesma ligazón pode cambiarse de "modo de concatenación física" a "modo de concatenación física e concatenación lóxica". A ligazón nun único punto de fallo mellora a fiabilidade da ligazón, mentres que o "interruptor de derivación" no fluxo de tracción baixo demanda na ligazón consegue o mesmo fluxo co modo orixinal de efecto de procesamento seguro.

Diagrama de despregamento de máis dun dispositivo de seguridade ao mesmo tempo en serie:

Diagrama de despregamento do conmutador de derivación TAP de rede Mylinking™:

5.6 Baseado na estratexia dinámica de protección da detección da seguridade da tracción do tráfico
"Interruptor de derivación" Outro escenario de aplicación avanzada baséase na estratexia dinámica das aplicacións de protección da detección de seguridade da tracción do tráfico, o despregamento do xeito que se mostra a continuación:

Tomemos como exemplo o equipo de probas de seguridade de "protección e detección de ataques anti-DDoS", mediante o despregamento frontal do "Bypass Switch" e, a continuación, o equipo de protección anti-DDOS e, a continuación, conectado ao "Bypass Switch", no habitual "Protector de tracción" ata a cantidade total de tráfico a velocidade de cable, enviando ao mesmo tempo a saída do espello de fluxo ao "Dispositivo de protección contra ataques anti-DDOS". Unha vez detectado un enderezo IP do servidor (ou segmento de rede IP) despois do ataque, o "Dispositivo de protección contra ataques anti-DDOS" xerará as regras de coincidencia do fluxo de tráfico de destino e envialas ao "Bypass Switch" a través da interface de entrega de políticas dinámicas. O "Bypass Switch" pode actualizar a "dinámica de tracción do tráfico" despois de recibir as regras de política dinámica e "o conxunto de regras" e inmediatamente "a regra alcanza o tráfico do servidor de ataque "tracción ao equipo de protección e detección de ataques anti-DDoS" para o seu procesamento, para que sexa efectivo despois do fluxo de ataque e logo se volva inxectar na rede.

O esquema de aplicación baseado no "Bypass Switch" é máis doado de implementar que a inxección de rutas BGP tradicional ou outros esquemas de tracción de tráfico, e o ambiente depende menos da rede e a fiabilidade é maior.

"Bypass Switch" ten as seguintes características para soportar a protección de detección de seguridade de políticas dinámicas:
1, "Interruptor de derivación" para proporcionar fóra das regras baseado na interface WEBSERVICE, integración sinxela con dispositivos de seguridade de terceiros.
2, "Conmutador de derivación" baseado no chip ASIC puro de hardware que reenvía paquetes a velocidade de cable de ata 10 Gbps sen bloquear o reenvío do conmutador e "biblioteca de regras dinámicas de tracción de tráfico" independentemente do número.
3, función de derivación profesional integrada "Interruptor de derivación", mesmo se falla o propio protector, tamén pode omitir a ligazón serie orixinal inmediatamente, sen afectar a ligazón orixinal da comunicación normal.