1- Зүрхний цохилтыг тодорхойлох багц гэж юу вэ?
Mylinking™ Network Tap Bypass-ийн зүрхний цохилтын багцуудыг Ethernet Layer 2 хүрээ рүү өгөгдмөл болгож шилжүүлнэ. Ил тод 2-р давхаргын гүүрний горимыг (IPS / FW гэх мэт) ашиглах үед 2-р түвшний Ethernet фреймүүдийг ихэвчлэн дамжуулж, хааж эсвэл устгадаг. Үүний зэрэгцээ Mylinking™ Network Tap Bypass Switch нь зарим тусгай цуваа хамгаалалтын төхөөрөмжүүд нь энгийн 2-р түвшний Ethernet фрэймүүдийг дамжуулж чадахгүй байгаа нөхцөл байдалд тохирсон зүрхний цохилтын мессежийн форматыг дэмждэг.
Mylinking™ Network Tap Bypass Switch нь VLAN шошго, Layer 3, Layer 4-ийн захиалгат мессежийн төрлүүд дээр тулгуурлан зүрхний цохилтын пакет илрүүлэхийг дэмждэг. Энэ механизм дээр үндэслэн хэрэглэгч холбогдох хамгаалалтын үйлчилгээг зөв ажиллуулахын тулд холболтын аюулгүй байдлын төхөөрөмжийн үйлчилгээний аюулгүй байдлын туршилтын функцийг хэрэгжүүлэх боломжтой.
Mylinking™ Network Tap Bypass Switch нь мониторыг хоёр чиглэлд зүрхний цохилтын өөр өөр багц илгээх боломжтой. Жишээлбэл, TCP болон UDP төрлийн зүрхний цохилтын пакетуудыг цуваа төхөөрөмжийн онцлогоос хамааран "Стратегийн замын хөдөлгөөний хамгаалалт" дээр тохируулсан болно. Цуваа хамгаалалтын төхөөрөмжийн мессеж дамжуулах механизмыг тохируулахын тулд та дээш дамжуулах монитор А порт дээр TCP зүрхний цохилтын багц илгээх, доош холболтын монитор B порт дээр UDP зүрхний цохилтын пакетуудыг илгээх тохиргоог хийж болно. Энэ функц нь мөрийг илүү үр дүнтэй баталгаажуулж чадна. Аюулгүй байдлын төхөөрөмжийг хэвийн ажиллагаанд холбоно.
Mylinking™ Network Inline Bypass Switch нь сүлжээний өндөр найдвартай байдлыг хангахын зэрэгцээ олон төрлийн цуваа хамгаалалтын төхөөрөмжийг уян хатан байрлуулахад ашиглахаар судалж, хөгжүүлсэн.
2-Сүлжээний Inline Bypass Switch Нарийвчилсан шинж чанарууд ба технологиуд
Mylinking™ "SpecFlow" хамгаалалтын горим ба "FullLink" хамгаалалтын горимын технологи
Mylinking™ Fast Bypass Switching Protection Technology
Mylinking™ "LinkSafeSwitch" технологи
Mylinking™ "ВэбҮйлчилгээ" Динамик стратеги дамжуулах/асуудлын технологи
Mylinking™ Зүрхний цохилтын мессежийг илрүүлэх ухаалаг технологи
Mylinking™ Зүрхний цохилтыг тодорхойлох технологи
Mylinking™ Олон холбоосын ачааллыг тэнцвэржүүлэх технологи
Mylinking™ Замын хөдөлгөөний ухаалаг түгээлтийн технологи
Mylinking™ Динамик ачааллыг тэнцвэржүүлэх технологи
Mylinking™ алсаас удирдах технологи(HTTP/WEB, TELNET/SSH, “EasyConfig/AdvanceConfig” шинж чанар)
3-Сүлжээний Inline Bypass Switch програм (дараах байдлаар)
3.1 Дотоод хамгаалалтын тоног төхөөрөмжийн эрсдэл (IPS / FW)
Дараахь нь ердийн IPS (Халдвараас урьдчилан сэргийлэх систем), FW (галт хана) байршуулах горим, IPS / FW нь аюулгүй байдлын хамгаалалтын үр дүнд хүрэхийн тулд харгалзах траффикийг суллах эсвэл хаахыг тодорхойлохын тулд харгалзах аюулгүй байдлын бодлогын дагуу аюулгүй байдлын шалгалтыг хэрэгжүүлэх замаар замын хөдөлгөөний хооронд сүлжээний төхөөрөмжид (чиглүүлэгч, унтраалга гэх мэт) цувралаар байрлуулна.
Үүний зэрэгцээ бид IPS / FW-ийг цуваа хамгаалалтыг хэрэгжүүлэхийн тулд ихэвчлэн аж ахуйн нэгжийн сүлжээний гол байршилд байрлуулсан тоног төхөөрөмжийг цуваа байршуулах байдлаар ажиглаж болно, түүний холбогдсон төхөөрөмжүүдийн найдвартай байдал нь аж ахуйн нэгжийн сүлжээний нийт хүртээмжид шууд нөлөөлдөг. Цуваа төхөөрөмжүүд хэт ачаалагдах, гацах, програм хангамжийн шинэчлэлт, бодлогын шинэчлэлт гэх мэтээр байгууллагын сүлжээний хүртээмж бүхэлдээ ихээхэн нөлөөлнө. Энэ үед бид зөвхөн сүлжээний тасалдал, физик тойруу холбогчоор дамжуулан сүлжээг сэргээж, сүлжээний найдвартай байдалд ноцтой нөлөөлж чадна. IPS / FW болон бусад цуваа төхөөрөмжүүд нь нэг талаас аж ахуйн нэгжийн сүлжээний хамгаалалтыг сайжруулж, нөгөө талаас байгууллагын сүлжээний найдвартай байдлыг бууруулж, сүлжээний эрсдэлийг нэмэгдүүлдэг.
3.2 Inline Link цувралын тоног төхөөрөмжийн хамгаалалт
Mylinking™ ” Network Inline Bypass ” нь сүлжээний төхөөрөмжүүд (чиглүүлэгч, свич гэх мэт) хооронд цувралаар тавигдсан бөгөөд хэт ачаалал, гэмтэл, програм хангамжийн шинэчлэлт, бодлогын шинэчлэлт, ажлын алдаа, бусад нөхцлөөс болж IPS/FW сүлжээний төхөөрөмжүүдийн хоорондох өгөгдлийн урсгал нь IPS/FW, ” Network Inline Bypass” нь IPS/FW руу шууд чиглэхээ больсон. зүрхний цохилтын мессежийг илрүүлэх функцийг цаг тухайд нь илрүүлэх, улмаар хэвийн харилцаа холбооны сүлжээг хамгаалахын тулд сүлжээний байрыг тасалдуулахгүйгээр хурдан сүлжээний төхөөрөмжийг шууд холбосон алдаатай төхөөрөмжийг алгасах; IPS / FW доголдлыг сэргээх үед, мөн ухаалаг зүрхний цохилтын пакетуудаар дамжуулан функцийг цаг тухайд нь илрүүлэх, анхны холбоосыг ашиглан аж ахуйн нэгжийн сүлжээний аюулгүй байдлыг шалгах.
Mylinking™ “Network Inline Bypass” нь зүрхний цохилтын мессежийг илрүүлэх хүчирхэг ухаалаг функцтэй бөгөөд хэрэглэгч IPS/FW дээрх зүрхний цохилтыг шалгах мессежийг IPS/FW-ийн дээд/доош порт руу илгээж, дараа нь IPS/FW-ийн дээд/доош, FW портоос хүлээн авах гэх мэт IPS/FW дээрх зүрхний цохилтын захиалгат мессежээр дамжуулан зүрхний цохилтын интервал болон дахин оролдлогын хамгийн их тоог тохируулах боломжтой. зүрхний цохилтын мессежийг илгээх, хүлээн авах замаар IPS / FW хэвийн ажиллаж байгаа эсэх.
3.3 "SpecFlow" Бодлогын урсгалын шугам таталтын цуврал хамгаалалт
Аюулгүй байдлын сүлжээний төхөөрөмж нь зөвхөн цувралын хамгаалалтын хамгаалалтын тодорхой урсгалыг шийдвэрлэх шаардлагатай үед Mylinking™ ” Network Inline Bypass ” трафик бүрийг боловсруулах функцээр дамжуулан, хамгаалалтын төхөөрөмжийг холбох замын хөдөлгөөний скрининг стратегиар дамжуулан “Траффикийг шууд сүлжээний холбоос руу буцаан илгээж,” холбогдох замын хөдөлгөөний хэсэг нь “аюулгүй байдлын шалгалтыг гүйцэтгэхийн тулд шугамын аюулгүйн төхөөрөмж рүү татдаг. Энэ нь аюулгүй байдлын төхөөрөмжийн аюулгүй байдлыг илрүүлэх функцийн хэвийн хэрэглээг хадгалахаас гадна даралтыг даван туулах аюулгүйн төхөөрөмжийн үр ашиггүй урсгалыг багасгах болно; Үүний зэрэгцээ "Сүлжээний Inline Bypass" нь аюулгүй байдлын төхөөрөмжийн ажиллах нөхцөлийг бодит цаг хугацаанд илрүүлэх боломжтой. Аюулгүй байдлын төхөөрөмж нь сүлжээний үйлчилгээг тасалдуулахгүйн тулд өгөгдлийн урсгалыг шууд тойрч хэвийн бус ажилладаг.
3.4 Ачааллын тэнцвэртэй цуврал хамгаалалт
Mylinking™ "Network Inline Bypass" нь сүлжээний төхөөрөмжүүд (чиглүүлэгч, унтраалга гэх мэт) хооронд цувралаар байрлуулсан. Нэг IPS / FW боловсруулалтын гүйцэтгэл нь сүлжээний холболтын оргил ачааллыг даван туулахад хангалтгүй үед хамгаалалтын замын ачааллыг тэнцвэржүүлэх функц, олон IPS / FW кластер боловсруулах сүлжээний холбоосын урсгалыг "багцлах" нь нэг IPS / FW боловсруулалтын даралтыг үр дүнтэй бууруулж, байршуулах орчны өндөр зурвасын өргөнийг хангахын тулд ерөнхий боловсруулалтын гүйцэтгэлийг сайжруулж чадна.
Mylinking™ "Network Inline Bypass" нь фрэймийн VLAN шошго, MAC мэдээлэл, IP мэдээлэл, портын дугаар, протокол болон бусад мэдээллийн дагуу ачааллыг тэнцвэржүүлэх хүчирхэг функцтэй бөгөөд IPS / FW бүр хүлээн авсан мэдээллийн урсгалын Сеансын бүрэн бүтэн байдлыг баталгаажуулдаг.
3.5 Олон цуврал шугамын тоног төхөөрөмжийн урсгалын зүтгүүрийн хамгаалалт (Цуваа холболтыг зэрэгцээ холболт болгон өөрчлөх)
Зарим гол холбоосуудад (интернетийн цэгүүд, серверийн талбайн солилцооны холбоос гэх мэт) байршил нь ихэвчлэн аюулгүй байдлын функцүүдийн хэрэгцээ, олон тооны шугаман аюулгүй байдлын туршилтын төхөөрөмж (галт хана, DDOS халдлагын эсрэг төхөөрөмж, WEB програмын галт хана, халдлагаас урьдчилан сэргийлэх төхөөрөмж гэх мэт) суурилуулсантай холбоотой байдаг. сүлжээ. Дээр дурдсан хамгаалалтын тоног төхөөрөмжийг онлайнаар байршуулах, тоног төхөөрөмжийг шинэчлэх, тоног төхөөрөмжийг солих болон бусад үйлдлүүд нь сүлжээг удаан хугацаанд тасалдуулж, ийм төслүүдийг амжилттай хэрэгжүүлж дуусгахын тулд томоохон хэмжээний төслийг таслах арга хэмжээ авах болно.
"Сүлжээний Inline Bypass"-ыг нэгдсэн байдлаар байрлуулснаар нэг холбоос дээр цувралаар холбогдсон олон хамгаалалтын төхөөрөмжийг байрлуулах горимыг "физик холболтын горим"-оос "физик холболт, логик холболтын горим" болгон өөрчлөх боломжтой. аюулгүй боловсруулалтын эффектийн анхны горимтой ижил урсгалд хүрэх.
Цуврал байршуулах диаграммд нэгэн зэрэг нэгээс олон хамгаалалтын төхөөрөмж:
Сүлжээний Inline Bypass Switch байршуулах диаграм:
3.6 Замын хөдөлгөөний хөдөлгөөний аюулгүй байдлын илрүүлэх хамгаалалтын динамик стратегид тулгуурласан
“Сүлжээний шугаман дамжих” Өөр нэг дэвшилтэт хэрэглүүрийн хувилбар нь замын хөдөлгөөний аюулгүй байдлыг илрүүлэх хамгаалалтын хэрэглээний динамик стратеги дээр суурилж, доор үзүүлсэн шиг арга замыг байршуулах явдал юм.
Жишээлбэл, "Сүлжээний Inline Bypass" болон дараа нь DDOS-ийн эсрэг хамгаалалтын тоног төхөөрөмжийг суурилуулж, дараа нь "Сүлжээний Inline Bypass" -д холбогдсон "Traction Protector"-д ердийн байдлаар "Traction protector"-д холбогдсоноор "Anti-DDoS халдлагаас хамгаалах, илрүүлэх" аюулгүй байдлын туршилтын төхөөрөмжийг авна уу. серверийн IP (эсвэл IP сүлжээний сегмент) халдлагын дараа "DDOS халдлагаас хамгаалах төхөөрөмж" нь зорилтот хөдөлгөөний урсгалд тохирсон дүрмийг бий болгож, динамик бодлого хүргэх интерфэйсээр дамжуулан "Сүлжээний Inline Bypass" руу илгээнэ. "Сүлжээний Inline Bypass" нь динамик бодлогын дүрмийг хүлээн авсны дараа "хөдөлгөөний зүтгүүрийн динамик" -ыг шинэчлэх боломжтой Дүрмийн сан "ба нэн даруй" дүрэм нь халдлагын серверийн траффикийг "татах" DDoS халдлагын эсрэг хамгаалалт, илрүүлэх "боловсруулах тоног төхөөрөмж, халдлагын дараа үр дүнтэй байх ба дараа нь сүлжээнд дахин оруулах.
"Сүлжээний шугамын тойруу" дээр суурилсан хэрэглээний схем нь уламжлалт BGP маршрутын тарилга эсвэл бусад замын хөдөлгөөний зүтгүүрийн схемээс хэрэгжүүлэхэд хялбар бөгөөд орчин нь сүлжээнээс бага хамааралтай бөгөөд найдвартай байдал нь өндөр байдаг.
"Сүлжээний шугам тойруу" нь динамик бодлогын аюулгүй байдлын илрүүлэлтийн хамгаалалтыг дэмжих дараах шинж чанаруудтай:
1, WEBSERIVCE интерфэйс дээр суурилсан дүрмээс гадуур, гуравдагч талын аюулгүй байдлын төхөөрөмжтэй хялбар нэгтгэх "Сүлжээний Inline Bypass".
2, "Сүлжээний шугамаар тойрч гарах" төхөөрөмж дээр суурилсан цэвэр ASIC чип нь 10Gbps утас хурдтай пакетуудыг шилжүүлэгч дамжуулахыг хориглохгүйгээр дамжуулж, тооноос үл хамааран "хөдөлгөөний зүтгүүрийн динамик дүрмийн сан".
3, "Сүлжээний Inline Bypass" суурилуулсан мэргэжлийн BYPASS функц нь хамгаалагч өөрөө бүтэлгүйтсэн ч гэсэн анхны цуваа холбоосыг нэн даруй алгасах боломжтой бөгөөд ердийн холбооны анхны холболтод нөлөөлөхгүй.
Шуудангийн цаг: 2021 оны 12-р сарын 23
