1- Que é o paquete Define Heartbeat?
Os paquetes de latexos do conmutador de derivación de tomas de rede Mylinking™ convértense por defecto en tramas Ethernet de capa 2. Ao despregar o modo de ponte de capa 2 transparente (como IPS/FW), as tramas Ethernet de capa 2 normalmente reenvíanse, bloqueanse ou descartanse. Ao mesmo tempo, o conmutador de derivación de tomas de rede Mylinking™ admite un formato de mensaxe de latexos personalizado para adaptarse á situación na que algúns dispositivos de seguridade en serie especiais non poden reenviar tramas Ethernet de capa 2 ordinarias.
E o conmutador de derivación de tomas de rede Mylinking™ tamén admite a detección de paquetes de latexos baseada na etiqueta VLAN e nos tipos de mensaxes personalizadas de capa 3 e 4. Con base neste mecanismo, o usuario pode implementar unha función de proba de seguridade do servizo do dispositivo de seguridade da conexión para facelo máis eficaz e garantir que os servizos de seguridade correspondentes funcionen correctamente.
O conmutador de derivación de toma de rede Mylinking™ pode admitir que o monitor envíe diferentes paquetes de latexos en ambas direccións. Por exemplo, os paquetes de latexos de tipo TCP e UDP personalízanse no "Protector de tracción de tráfico de estratexia", segundo a particularidade do dispositivo serie. Podes configurar o envío de paquetes de latexos TCP no porto A do monitor de enlace ascendente e o envío de paquetes de latexos UDP no porto B do monitor de enlace descendente para acomodar o mecanismo de reenvío de mensaxes do dispositivo de seguridade serie. Esta función pode garantir de forma máis eficaz a cadea. Conecta o equipo de seguridade ao funcionamento normal.
O conmutador de derivación en liña de rede Mylinking™ foi investigado e desenvolvido para ser utilizado para a implementación flexible de varios tipos de equipos de seguridade en serie, proporcionando ao mesmo tempo unha alta fiabilidade da rede.
Funcións e tecnoloxías avanzadas do interruptor de derivación en liña de 2 redes
Modo de protección Mylinking™ “SpecFlow” e tecnoloxía de modo de protección “FullLink”
Tecnoloxía de protección de conmutación de derivación rápida Mylinking™
Tecnoloxía Mylinking™ “LinkSafeSwitch”
Tecnoloxía de reenvío/problema de estratexia dinámica "WebService" de Mylinking™
Tecnoloxía intelixente de detección de mensaxes de latexos cardíacos Mylinking™
Tecnoloxía de mensaxes de latexos definibles Mylinking™
Tecnoloxía de equilibrio de carga multienlace Mylinking™
Tecnoloxía intelixente de distribución de tráfico Mylinking™
Tecnoloxía de equilibrio de carga dinámico Mylinking™
Tecnoloxía de xestión remota Mylinking™ (HTTP/WEB, TELNET/SSH, característica “EasyConfig/AdvanceConfig”)
Aplicación do interruptor de derivación en liña de 3 redes (como se indica a continuación)
3.1 O risco dos equipos de seguridade en liña (IPS/FW)
O seguinte é un modo de despregamento típico de IPS (Sistema de prevención de intrusións) e FW (cortafogos). IPS/FW desprégase en serie cos equipos de rede (routers, switches, etc.) entre o tráfico mediante a implementación de comprobacións de seguridade, segundo a política de seguridade correspondente para determinar a liberación ou o bloqueo do tráfico correspondente, para lograr o efecto de defensa da seguridade.
Ao mesmo tempo, podemos observar IPS/FW como un despregamento en serie do equipo, normalmente despregado en localizacións clave da rede empresarial para implementar a seguridade en serie. A fiabilidade dos dispositivos conectados afecta directamente á dispoñibilidade xeral da rede empresarial. Unha vez que os dispositivos en serie se sobrecargan, fallan, actualizan o software, actualizan as políticas, etc., a dispoñibilidade de toda a rede empresarial verase gravemente afectada. Neste punto, só mediante un corte de rede ou un jumper de derivación físico podemos restaurar a rede, o que afecta seriamente á fiabilidade da rede. IPS/FW e outros dispositivos en serie, por unha banda, melloran o despregamento da seguridade da rede empresarial e, por outra banda, tamén reducen a fiabilidade das redes empresariais, o que aumenta o risco de que a rede non estea dispoñible.
3.2 Protección de equipos da serie Inline Link
Mylinking™ “Network Inline Bypass” desprégase en serie entre dispositivos de rede (routers, switches, etc.) e o fluxo de datos entre os dispositivos de rede xa non leva directamente a IPS/FW, senón que o “Network Inline Bypass” pasa a IPS/FW. Cando o IPS/FW falla debido a sobrecargas, fallos, actualizacións de software, actualizacións de políticas e outras condicións de fallo, o “Network Inline Bypass” utiliza a función de detección intelixente de mensaxes de latexos para o descubrimento oportuno e, polo tanto, omite o dispositivo defectuoso sen interromper as premisas da rede. O equipo de rede conectado rapidamente protexe a rede de comunicación normal; cando se recupera un fallo de IPS/FW, tamén se realiza a detección oportuna de paquetes de latexos intelixentes mediante a función de detección intelixente de paquetes, a ligazón orixinal restaura a seguridade da rede empresarial.
Mylinking™ “Network Inline Bypass” ten unha potente función intelixente de detección de mensaxes de latexos. O usuario pode personalizar o intervalo de latexos e o número máximo de intentos mediante unha mensaxe de latexos personalizada no IPS/FW para probas de estado, como enviar a mensaxe de comprobación do latexo ao porto augas arriba/abaixo do IPS/FW e, a continuación, recibila do porto augas arriba/abaixo do IPS/FW para avaliar se o IPS/FW funciona normalmente enviando e recibindo a mensaxe.
3.3 Fluxo de políticas “SpecFlow” Protección en serie de tracción en liña
Cando o dispositivo de rede de seguridade só precisa xestionar o tráfico específico na protección de seguridade en serie, a través da función de procesamento de tráfico de Mylinking™ "Network Inline Bypass", a través da estratexia de filtrado de tráfico para conectar o dispositivo de seguridade, o tráfico "en cuestión" envíase de volta directamente á ligazón de rede, e a "sección de tráfico en cuestión" é atraída ao dispositivo de seguridade en liña para realizar comprobacións de seguridade. Isto non só manterá a aplicación normal da función de detección de seguridade do dispositivo de seguridade, senón que tamén reducirá o fluxo ineficiente do equipo de seguridade para xestionar a presión; ao mesmo tempo, a "Network Inline Bypass" pode detectar o estado de funcionamento do dispositivo de seguridade en tempo real. O dispositivo de seguridade funciona de forma anormal, omitindo o tráfico de datos directamente para evitar a interrupción do servizo de rede.
3.4 Protección en serie con carga balanceada
O "Network Inline Bypass" de Mylinking™ desprégase en serie entre dispositivos de rede (routers, switches, etc.). Cando o rendemento de procesamento dun só IPS/FW non é suficiente para facer fronte ao tráfico máximo de enlaces de rede, a función de equilibrio da carga de tráfico do protector, a "agrupación" do tráfico de enlaces de rede de procesamento en clústeres IPS/FW múltiple, pode reducir eficazmente a presión de procesamento dun só IPS/FW e mellorar o rendemento xeral do procesamento para cumprir coa alta largura de banda do ambiente de despregamento.
Mylinking™ “Network Inline Bypass” ten unha potente función de balanceo de carga, segundo a etiqueta VLAN da trama, a información MAC, a información IP, o número de porto, o protocolo e outra información sobre a distribución do balanceo de carga hash do tráfico para garantir a integridade da sesión do fluxo de datos recibido por cada IPS/FW.
3.5 Protección contra a tracción do fluxo de equipos en liña multiserie (cambiar a conexión en serie a conexión en paralelo)
Nalgúns enlaces clave (como puntos de conexión a Internet, enlaces de intercambio de áreas de servidores), a localización adoita deberse ás necesidades de funcións de seguridade e ao despregamento de varios equipos de probas de seguridade en liña (como cortafuegos, equipos antiataques DDOS, cortafuegos de aplicacións WEB, equipos de prevención de intrusións, etc.), varios equipos de detección de seguridade ao mesmo tempo en serie na ligazón para aumentar a conexión dun único punto de fallo, reducindo a fiabilidade xeral da rede. E no despregamento en liña de equipos de seguridade mencionados anteriormente, as actualizacións de equipos, a substitución de equipos e outras operacións, provocarán unha interrupción do servizo da rede durante un longo período de tempo e un corte de proxectos máis grandes para completar a implementación exitosa destes proxectos.
Ao implementar o "Network Inline Bypass" dun xeito unificado, o modo de implementación de varios dispositivos de seguridade conectados en serie na mesma ligazón pode cambiar de "modo de concatenación física" a "modo de concatenación física, concatenación lóxica". A ligazón nun único punto de fallo mellora a fiabilidade da ligazón, mentres que o "Network Inline Bypass" no fluxo de tracción baixo demanda na ligazón consegue o mesmo fluxo co modo orixinal de efecto de procesamento seguro.
Diagrama de despregamento de máis dun dispositivo de seguridade ao mesmo tempo en serie:
Diagrama de despregamento do conmutador de derivación en liña de rede:
3.6 Baseado na estratexia dinámica de protección da detección da seguridade da tracción do tráfico
"Bypass en liña de rede": Outro escenario de aplicación avanzada baséase na estratexia dinámica das aplicacións de protección e detección de seguridade de tracción do tráfico, cuxo despregamento se mostra a continuación:
Tomemos como exemplo o equipo de probas de seguridade de "protección e detección de ataques anti-DDoS", mediante o despregamento front-end de "Network Inline Bypass" e, a continuación, o equipo de protección anti-DDOS e, a continuación, conectado a "Network Inline Bypass", no habitual "Protector de tracción" para reenviar a velocidade do cable a cantidade total de tráfico ao mesmo tempo, a saída do espello de fluxo ao "dispositivo de protección contra ataques anti-DDOS". Unha vez detectada unha IP do servidor (ou segmento de rede IP) despois do ataque, o "dispositivo de protección contra ataques anti-DDOS" xerará as regras de coincidencia do fluxo de tráfico de destino e envialas a "Network Inline Bypass" a través da interface de entrega de políticas dinámicas. O "Network Inline Bypass" pode actualizar a "dinámica de tracción do tráfico" despois de recibir as regras de política dinámica "Agrupación de regras" e "a regra alcanza inmediatamente o tráfico do servidor de ataque "tracción ao equipo de protección e detección de ataques anti-DDoS" para o seu procesamento, para que sexa efectivo despois do fluxo de ataque e logo se volva inxectar na rede.
O esquema de aplicación baseado na "derivación en liña de rede" é máis doado de implementar que a inxección de rutas BGP tradicional ou outros esquemas de tracción de tráfico, e o ambiente depende menos da rede e a fiabilidade é maior.
"Network Inline Bypass" ten as seguintes características para admitir a protección dinámica de detección de seguranza de políticas:
1, "Bypass en liña de rede" para proporcionar fóra das regras baseado na interface WEBSERVICE, integración sinxela con dispositivos de seguridade de terceiros.
2, "Bypass en liña de rede" baseado no chip ASIC puro de hardware que reenvía paquetes a velocidade de cable de ata 10 Gbps sen bloquear o reenvío do conmutador e "biblioteca de regras dinámicas de tracción de tráfico" independentemente do número.
3, a función de derivación profesional integrada "Network Inline Bypass" permite, mesmo se o propio protector falla, omitir a ligazón serie orixinal inmediatamente, sen afectar a ligazón orixinal da comunicación normal.
Data de publicación: 23 de decembro de 2021
