1- Зүрхний цохилтын багц гэж юу вэ?
Mylinking™ Network Tap Bypass Switch-ийн зүрхний цохилтын багцууд нь анхдагчаар Ethernet Layer 2 frames болдог. Ил тод Layer 2 гүүрний горимыг (IPS / FW гэх мэт) байршуулах үед Layer 2 Ethernet frames нь ихэвчлэн дамжуулагддаг, хаагддаг эсвэл хаягддаг. Үүний зэрэгцээ, Mylinking™ Network Tap Bypass Switch нь зарим тусгай цуваа аюулгүй байдлын төхөөрөмжүүд ердийн Layer 2 Ethernet frames-ийг дамжуулж чадахгүй нөхцөл байдлыг хангахын тулд зүрхний цохилтын мессежийн өөрчлөн форматыг дэмждэг.
Мөн Mylinking™ Network Tap Bypass Switch нь VLAN шошго, 3-р давхарга болон 4-р давхаргын захиалгат мессежийн төрлүүд дээр суурилсан зүрхний цохилтын пакет илрүүлэлтийг дэмждэг. Энэхүү механизмд үндэслэн хэрэглэгч холбогдох аюулгүй байдлын үйлчилгээ зөв ажиллаж байгаа эсэхийг баталгаажуулахын тулд холболтын аюулгүй байдлын төхөөрөмжийн үйлчилгээний аюулгүй байдлын туршилтын функцийг хэрэгжүүлж болно.
Mylinking™ Сүлжээний Tap Bypass Switch нь мониторыг хоёр чиглэлд өөр өөр зүрхний цохилтын пакетуудыг илгээхийг дэмждэг. Жишээлбэл, TCP болон UDP төрлийн зүрхний цохилтын пакетуудыг цуваа төхөөрөмжийн онцлогоос хамааран "Стратегийн хөдөлгөөний зүтгүүрийн хамгаалагч" дээр тохируулдаг. Та цуваа аюулгүй байдлын төхөөрөмжийн мессеж дамжуулах механизмыг тохируулахын тулд дээш чиглэсэн монитор А порт дээр TCP зүрхний цохилтын пакетуудыг илгээх, доош чиглэсэн монитор B порт дээр UDP зүрхний цохилтын пакетуудыг илгээх тохиргоог хийж болно. Энэ функц нь утсыг илүү үр дүнтэй баталгаажуулж чадна. Аюулгүй байдлын төхөөрөмжийг хэвийн ажиллагаанд холбоно уу.
Mylinking™ сүлжээний шугаман тойрч гарах шилжүүлэгчийг өндөр найдвартай сүлжээг хангахын зэрэгцээ төрөл бүрийн цуваа аюулгүй байдлын тоног төхөөрөмжийг уян хатан байршуулахад ашиглахаар судалж, хөгжүүлсэн.
2-Сүлжээний шугаман тойрч гарах шилжүүлэгчийн дэвшилтэт онцлог ба технологиуд
Mylinking™ “SpecFlow” хамгаалалтын горим болон “FullLink” хамгаалалтын горимын технологи
Mylinking™ Хурдан тойрч гарах шилжилтийн хамгаалалтын технологи
Mylinking™ “LinkSafeSwitch” технологи
Mylinking™ “WebService” Динамик Стратеги Дамжуулах/Асуудлын Технологи
Mylink™ ухаалаг зүрхний цохилтын мессеж илрүүлэх технологи
Mylinking™ тодорхойлогдох зүрхний цохилтын мессежийн технологи
Mylinking™ Олон холбоосын ачааллын тэнцвэржүүлэгч технологи
Mylinking™ Ухаалаг Траффик Түгээх Технологи
Mylinking™ Динамик ачааллын тэнцвэржүүлэлтийн технологи
Mylinking™ Алсын Удирдлагын Технологи (HTTP/WEB, TELNET/SSH, “EasyConfig/AdvanceConfig” шинж чанар)
3-Сүлжээний шугаман тойрч гарах шилжүүлэгчийн програм (дараах байдлаар)
3.1 Шугамын аюулгүй байдлын тоног төхөөрөмжийн (IPS / FW) эрсдэл
Дараах нь ердийн IPS (Халдлагаас урьдчилан сэргийлэх систем), FW (Галт хана) байршуулах горим бөгөөд IPS / FW нь аюулгүй байдлын шалгалтыг хэрэгжүүлснээр сүлжээний тоног төхөөрөмж (чиглүүлэгч, унтраалга гэх мэт) хооронд цуваагаар байршуулагддаг бөгөөд харгалзах аюулгүй байдлын бодлогын дагуу харгалзах урсгалыг суллах эсвэл хаахыг тодорхойлж, аюулгүй байдлын хамгаалалтын үр дүнд хүрдэг.
Үүний зэрэгцээ, бид IPS / FW-г тоног төхөөрөмжийг цуваа байршуулалт гэж ажиглаж болно. Энэ нь ихэвчлэн цуваа аюулгүй байдлыг хэрэгжүүлэхийн тулд байгууллагын сүлжээний гол байршилд байрладаг бөгөөд холбогдсон төхөөрөмжүүдийн найдвартай байдал нь байгууллагын сүлжээний нийт хүртээмжид шууд нөлөөлдөг. Цуваа төхөөрөмжүүд хэт ачаалалтай, эвдрэх, програм хангамжийн шинэчлэлт, бодлогын шинэчлэлт гэх мэт тохиолдолд байгууллагын сүлжээний бүх хүртээмжид ихээхэн нөлөөлнө. Энэ үед бид зөвхөн сүлжээг таслах, физик тойрч гарах холбогчоор дамжуулан сүлжээг сэргээж, сүлжээний найдвартай байдалд ноцтой нөлөөлж чадна. IPS / FW болон бусад цуваа төхөөрөмжүүд нь нэг талаас байгууллагын сүлжээний аюулгүй байдлыг сайжруулж, нөгөө талаас байгууллагын сүлжээний найдвартай байдлыг бууруулж, сүлжээнд нэвтрэх боломжгүй байх эрсдэлийг нэмэгдүүлдэг.
3.2 Шугамын холбоос цувралын тоног төхөөрөмжийн хамгаалалт
Mylinking™ “Сүлжээний шугаман тойрог”-ыг сүлжээний төхөөрөмжүүд (чиглүүлэгч, унтраалга гэх мэт) хооронд цувралаар байрлуулдаг бөгөөд сүлжээний төхөөрөмжүүдийн хоорондох өгөгдлийн урсгал нь IPS / FW руу шууд шилжихээ больж, “Сүлжээний шугаман тойрог”-ыг IPS / FW руу чиглүүлдэг бөгөөд хэт ачаалал, эвдрэл, програм хангамжийн шинэчлэлт, бодлогын шинэчлэлт болон бусад нөхцлөөс болж IPS / FW нь доголдолтой үед “Сүлжээний шугаман тойрог” нь ухаалаг зүрхний цохилтын мессеж илрүүлэх функцээр дамжуулан цаг тухайд нь илрүүлж, улмаар сүлжээний үндсэн үйл ажиллагааг тасалдуулахгүйгээр эвдэрсэн төхөөрөмжийг алгасаж, сүлжээний тоног төхөөрөмжийг шууд холбож, хэвийн харилцаа холбооны сүлжээг хамгаалдаг; IPS / FW доголдлыг сэргээх үед ухаалаг зүрхний цохилтын багцуудыг ашиглан илрүүлэх функцийг цаг тухайд нь илрүүлж, анхны холбоосыг ашиглан байгууллагын сүлжээний аюулгүй байдлыг сэргээдэг.
Mylinking™ “Network Inline Bypass” нь хүчирхэг ухаалаг зүрхний цохилтын мессеж илрүүлэх функцтэй бөгөөд хэрэглэгч IPS/FW дээрх зүрхний цохилтын мессежээр дамжуулан зүрхний цохилтын интервал болон хамгийн их давталтын тоог тохируулах боломжтой бөгөөд зүрхний цохилтын мессежийг IPS/FW-ийн дээд/доод порт руу илгээж, дараа нь IPS/FW-ийн дээд/доод портоос хүлээн авч, зүрхний цохилтын мессежийг илгээж, хүлээн авснаар IPS/FW хэвийн ажиллаж байгаа эсэхийг үнэлэх боломжтой.
3.3 “SpecFlow” бодлогын урсгалын шугаман зүтгүүрийн цуврал хамгаалалт
Аюулгүй байдлын сүлжээний төхөөрөмж нь зөвхөн цуваа аюулгүй байдлын хамгаалалтын тодорхой урсгалыг зохицуулах шаардлагатай үед Mylinking™ “Network Inline Bypass” боловсруулалтын функцээр дамжуулан урсгалыг шалгах стратегийн тусламжтайгаар аюулгүй байдлын төхөөрөмжийг холбох замаар урсгалыг шууд сүлжээний холбоос руу илгээдэг бөгөөд холбогдох урсгалын хэсэг нь аюулгүй байдлын шалгалт хийхийн тулд шугамын аюулгүй байдлын төхөөрөмж рүү татагддаг. Энэ нь аюулгүй байдлын төхөөрөмжийн аюулгүй байдлыг илрүүлэх функцийн хэвийн хэрэглээг хадгалахаас гадна даралтыг зохицуулах аюулгүй байдлын төхөөрөмжийн үр ашиггүй урсгалыг бууруулдаг; үүний зэрэгцээ “Network Inline Bypass” нь аюулгүй байдлын төхөөрөмжийн ажиллах нөхцөл байдлыг бодит цаг хугацаанд илрүүлж чаддаг. Аюулгүй байдлын төхөөрөмж нь сүлжээний үйлчилгээг тасалдуулахаас зайлсхийхийн тулд өгөгдлийн урсгалыг шууд тойрч хэвийн бус ажилладаг.
3.4 Ачааллын тэнцвэржүүлсэн цуврал хамгаалалт
Mylinking™ “Сүлжээний шугамын тойрог”-ыг сүлжээний төхөөрөмжүүдийн (чиглүүлэгч, унтраалга гэх мэт) хооронд цувралаар байрлуулдаг. Нэг IPS / FW боловсруулалтын гүйцэтгэл нь сүлжээний холболтын оргил ачааллыг даван туулахад хангалтгүй үед хамгаалагчийн урсгалын ачааллыг тэнцвэржүүлэх функц болох олон IPS / FW кластер боловсруулалтын сүлжээний холболтын урсгалыг “багцлах” нь нэг IPS / FW боловсруулалтын даралтыг үр дүнтэй бууруулж, байршуулалтын орчны өндөр зурвасын өргөнийг хангахын тулд нийт боловсруулалтын гүйцэтгэлийг сайжруулж чадна.
Mylinking™ “Network Inline Bypass” нь хүчирхэг ачааллыг тэнцвэржүүлэх функцтэй бөгөөд frame VLAN шошго, MAC мэдээлэл, IP мэдээлэл, портын дугаар, протокол болон бусад мэдээллийн дагуу урсгалын хэш ачааллыг тэнцвэржүүлэх тархалтын дагуу IPS / FW бүр өгөгдлийн урсгалын бүрэн бүтэн байдлыг хүлээн авч байгаа эсэхийг баталгаажуулдаг.
3.5 Олон цуврал шугаман тоног төхөөрөмжийн урсгалын зүтгүүрийн хамгаалалт (Цуваа холболтыг зэрэгцээ холболт болгон өөрчлөх)
Зарим гол холбоосуудад (жишээлбэл, интернетийн гарцууд, серверийн бүсийн солилцооны холбоос) байршил нь ихэвчлэн аюулгүй байдлын функцүүдийн хэрэгцээ болон олон шугамын аюулгүй байдлын туршилтын тоног төхөөрөмж (галт хана, DDOS халдлагын эсрэг тоног төхөөрөмж, WEB програмын галт хана, халдлагаас урьдчилан сэргийлэх тоног төхөөрөмж гэх мэт)-ийг байршуулах, холбоос дээр олон аюулгүй байдлыг илрүүлэх төхөөрөмжийг нэгэн зэрэг цувралаар ашиглах зэргээс шалтгаалдаг бөгөөд энэ нь нэг цэгийн эвдрэлийн холбоосыг нэмэгдүүлж, сүлжээний нийт найдвартай байдлыг бууруулдаг. Дээр дурдсан аюулгүй байдлын тоног төхөөрөмжийг онлайн байршуулах, тоног төхөөрөмжийг шинэчлэх, тоног төхөөрөмжийг солих болон бусад үйлдлүүд нь сүлжээнд удаан хугацааны үйлчилгээ тасалдах, ийм төслүүдийг амжилттай хэрэгжүүлэхийн тулд төслийг тасалдуулах арга хэмжээ авахад хүргэдэг.
“Сүлжээний шугаман тойрог”-ыг нэгдсэн байдлаар байрлуулснаар нэг холбоос дээр цуваа холбогдсон олон аюулгүй байдлын төхөөрөмжийг байрлуулах горимыг “физик холболтын горим”-оос “физик холболт, логик холболтын горим” болгон өөрчилж болно. Холбоос дээрх нэг цэгийн эвдрэлийн холбоос нь холбоосын найдвартай байдлыг сайжруулж, харин холбоос дээрх “Сүлжээний шугаман тойрог” нь шаардлагын дагуу урсаж, анхны аюулгүй боловсруулалтын үр нөлөөний горимтой ижил урсгалыг бий болгоно.
Цуврал байршуулалтын диаграммд нэгээс олон аюулгүй байдлын төхөөрөмжийг нэгэн зэрэг ашиглах:
Сүлжээний шугаман тойрч гарах шилжүүлэгчийн байршуулалтын диаграмм:
3.6 Замын хөдөлгөөний зүтгүүрийн аюулгүй байдлыг илрүүлэх хамгаалалтын динамик стратегид үндэслэсэн
“Сүлжээний шугаман тойрч гарах” Өөр нэг дэвшилтэт програмын хувилбар нь замын хөдөлгөөний зүтгүүрийн аюулгүй байдлыг илрүүлэх хамгаалалтын програмуудын динамик стратеги дээр суурилсан бөгөөд доор үзүүлсэн шиг замыг байршуулна:
Жишээлбэл, "DDoS халдлагын эсрэг хамгаалалт ба илрүүлэлт" аюулгүй байдлын туршилтын төхөөрөмжийг "Network Inline Bypass" болон дараа нь DDOS хамгаалалтын тоног төхөөрөмжийг урд талын байршуулалтаар дамжуулан "Network Inline Bypass"-тай холбож, ердийн "Traction protector"-д урсгалын толин тусгалыг "DDOS халдлагын эсрэг хамгаалалтын төхөөрөмж" рүү бүрэн хэмжээгээр дамжуулахын зэрэгцээ урсгалын толин тусгалыг "DDOS халдлагын эсрэг хамгаалалтын төхөөрөмж" рүү дамжуулж, халдлагын дараа серверийн IP хаяг (эсвэл IP сүлжээний сегмент) илэрсэний дараа "DDOS халдлагын эсрэг хамгаалалтын төхөөрөмж" нь зорилтот урсгалын тохируулгын дүрмийг үүсгэж, динамик бодлогын хүргэлтийн интерфэйсээр дамжуулан "Network Inline Bypass" руу илгээнэ. "Network Inline Bypass" нь динамик бодлогын дүрмийн дүрмийн санг хүлээн авсны дараа "хөдөлгөөний таталтын динамик"-ыг шинэчилж, "тэр даруй" дүрэм нь халдлагын серверийн урсгалыг "DDoS халдлагын эсрэг хамгаалалт ба илрүүлэлтийн төхөөрөмж" рүү боловсруулж, халдлагын урсгалын дараа үр дүнтэй болж, дараа нь сүлжээнд дахин оруулна.
“Сүлжээний шугаман тойрог зам” дээр суурилсан хэрэглээний схемийг уламжлалт BGP маршрутын тарилга эсвэл бусад урсгалын зүтгүүрийн схемээс хэрэгжүүлэхэд хялбар бөгөөд орчин нь сүлжээнээс бага хамааралтай бөгөөд найдвартай байдал нь өндөр байдаг.
“Сүлжээний шугамын тойрог зам” нь динамик бодлогын аюулгүй байдлын илрүүлэлтийн хамгаалалтыг дэмжих дараах шинж чанаруудтай:
1. "Сүлжээний шугаман тойрог" нь WEBSERIVCE интерфэйс дээр суурилсан дүрмээс гадуурх, гуравдагч талын аюулгүй байдлын төхөөрөмжүүдтэй хялбар нэгтгэх боломжийг олгодог.
2, Свич дамжуулалтыг хаахгүйгээр 10Gbps хүртэлх утас хурдны пакетуудыг дамжуулах цэвэр ASIC чип дээр суурилсан “Сүлжээний шугамын тойрог зам”, мөн тооноос үл хамааран “замын хөдөлгөөний зүтгүүрийн динамик дүрмийн сан”.
3, "Сүлжээний шугаман тойрог зам" нь мэргэжлийн BYPASS функцийг суурилуулсан бөгөөд хамгаалагч өөрөө эвдэрсэн ч анхны цуваа холболтыг шууд алгасаж чаддаг бөгөөд хэвийн харилцаа холбооны анхны холбоосод нөлөөлөхгүй.
Нийтэлсэн цаг: 2021 оны 12-р сарын 23
