1- Зүрхний цохилтыг тодорхойлох багц гэж юу вэ?
Mylinking™ Network Tap Bypass-ийн зүрхний цохилтын багцуудыг Ethernet Layer 2 хүрээ рүү өгөгдмөл болгож шилжүүлнэ. Ил тод 2-р давхаргын гүүрний горимыг (IPS / FW гэх мэт) ашиглах үед 2-р түвшний Ethernet фреймүүдийг ихэвчлэн дамжуулж, хааж эсвэл устгадаг. Үүний зэрэгцээ Mylinking™ Network Tap Bypass Switch нь зарим тусгай цуваа хамгаалалтын төхөөрөмжүүд нь энгийн 2-р түвшний Ethernet фрэймүүдийг дамжуулж чадахгүй байгаа нөхцөл байдалд тохирсон зүрхний цохилтын мессежийн форматыг дэмждэг.
Mylinking™ Network Tap Bypass Switch нь VLAN шошго, Layer 3, Layer 4-ийн захиалгат мессежийн төрлүүд дээр тулгуурлан зүрхний цохилтын пакет илрүүлэхийг дэмждэг. Энэ механизм дээр үндэслэн хэрэглэгч холбогдох хамгаалалтын үйлчилгээг зөв ажиллуулахын тулд холболтын аюулгүй байдлын төхөөрөмжийн үйлчилгээний аюулгүй байдлын туршилтын функцийг хэрэгжүүлэх боломжтой.
Mylinking™ Network Tap Bypass Switch нь мониторыг хоёр чиглэлд зүрхний цохилтын өөр өөр багц илгээх боломжтой. Жишээлбэл, TCP болон UDP төрлийн зүрхний цохилтын пакетуудыг цуваа төхөөрөмжийн онцлогоос хамааран "Стратегийн замын хөдөлгөөний хамгаалалт" дээр тохируулсан болно. Цуваа хамгаалалтын төхөөрөмжийн мессеж дамжуулах механизмыг тохируулахын тулд та дээш дамжуулах монитор А порт дээр TCP зүрхний цохилтын багц илгээх, доош холболтын монитор B порт дээр UDP зүрхний цохилтын пакетуудыг илгээх тохиргоог хийж болно. Энэ функц нь мөрийг илүү үр дүнтэй баталгаажуулж чадна. Аюулгүй байдлын төхөөрөмжийг хэвийн ажиллагаанд холбоно.
Mylinking™ Network Inline Bypass Switch нь сүлжээний өндөр найдвартай байдлыг хангахын зэрэгцээ олон төрлийн цуваа хамгаалалтын төхөөрөмжийг уян хатан байрлуулахад ашиглахаар судалж, хөгжүүлсэн.
2-Сүлжээний Inline Bypass Switch Нарийвчилсан шинж чанарууд ба технологиуд
Mylinking™ "SpecFlow" хамгаалалтын горим ба "FullLink" хамгаалалтын горимын технологи
Mylinking™ Fast Bypass Switching Protection Technology
Mylinking™ "LinkSafeSwitch" технологи
Mylinking™ "ВэбҮйлчилгээ" Динамик стратеги дамжуулах/асуудлын технологи
Mylinking™ Зүрхний цохилтын мессежийг илрүүлэх ухаалаг технологи
Mylinking™ Зүрхний цохилтыг тодорхойлох технологи
Mylinking™ Олон холбоосын ачааллыг тэнцвэржүүлэх технологи
Mylinking™ Замын хөдөлгөөний ухаалаг түгээлтийн технологи
Mylinking™ Динамик ачааллыг тэнцвэржүүлэх технологи
Mylinking™ алсаас удирдах технологи(HTTP/WEB, TELNET/SSH, “EasyConfig/AdvanceConfig” шинж чанар)
3-Сүлжээний Inline Bypass Switch програм (дараах байдлаар)
3.1 Дотоод хамгаалалтын тоног төхөөрөмжийн эрсдэл (IPS / FW)
Дараах нь ердийн IPS (Халдвараас урьдчилан сэргийлэх систем), FW (галт хана) байршуулах горим, IPS / FW нь аюулгүй байдлын шалгалтыг хэрэгжүүлэх замаар замын хөдөлгөөний хооронд сүлжээний төхөөрөмжид (чиглүүлэгч, унтраалга гэх мэт) цувралаар байрлуулсан байна. аюулгүй байдлын хамгаалалтын үр дүнд хүрэхийн тулд харгалзах замын хөдөлгөөнийг чөлөөлөх, хаахыг тодорхойлохын тулд харгалзах аюулгүй байдлын бодлого.
Үүний зэрэгцээ бид IPS / FW-ийг цуваа хамгаалалтыг хэрэгжүүлэхийн тулд ихэвчлэн аж ахуйн нэгжийн сүлжээний гол байршилд байрлуулсан тоног төхөөрөмжийг цуваа байршуулах байдлаар ажиглаж болно, түүний холбогдсон төхөөрөмжүүдийн найдвартай байдал нь аж ахуйн нэгжийн сүлжээний нийт хүртээмжид шууд нөлөөлдөг. Цуваа төхөөрөмжүүд хэт ачаалагдах, гацах, програм хангамжийн шинэчлэлт, бодлогын шинэчлэлт гэх мэтээр байгууллагын сүлжээний хүртээмж бүхэлдээ ихээхэн нөлөөлнө. Энэ үед бид зөвхөн сүлжээний тасалдал, физик тойруу холбогчоор дамжуулан сүлжээг сэргээж, сүлжээний найдвартай байдалд ноцтой нөлөөлж чадна. IPS / FW болон бусад цуваа төхөөрөмжүүд нь нэг талаас аж ахуйн нэгжийн сүлжээний хамгаалалтыг сайжруулж, нөгөө талаас байгууллагын сүлжээний найдвартай байдлыг бууруулж, сүлжээний эрсдэлийг нэмэгдүүлдэг.
3.2 Inline Link цувралын тоног төхөөрөмжийн хамгаалалт
Mylinking™ ” Network Inline Bypass ” нь сүлжээний төхөөрөмжүүд (чиглүүлэгч, свич гэх мэт) хооронд цувралаар тавигдсан бөгөөд сүлжээний төхөөрөмжүүдийн хоорондох өгөгдлийн урсгал нь IPS/FW, ” Network Inline Bypass” нь IPS/FW руу шууд чиглэхээ больсон. Хэт ачаалал, гэмтэл, програм хангамжийн шинэчлэлт, бодлогын шинэчлэл болон бүтэлгүйтлийн бусад нөхцлөөс үүдэлтэй IPS / FW, ухаалаг төхөөрөмжөөр дамжуулан "Сүлжээний Inline Bypass" зүрхний цохилтын мессежийг илрүүлэх функцийг цаг тухайд нь илрүүлэх, улмаар хэвийн харилцаа холбооны сүлжээг хамгаалахын тулд сүлжээний байрыг тасалдуулахгүйгээр хурдан сүлжээний төхөөрөмжийг шууд холбосон алдаатай төхөөрөмжийг алгасах; IPS / FW доголдлыг сэргээх үед, мөн ухаалаг зүрхний цохилтын пакетуудаар дамжуулан функцийг цаг тухайд нь илрүүлэх, анхны холбоосыг ашиглан аж ахуйн нэгжийн сүлжээний аюулгүй байдлыг шалгах.
Mylinking™ "Network Inline Bypass" нь зүрхний цохилтын мессежийг илрүүлэх хүчирхэг ухаалаг функцтэй бөгөөд хэрэглэгч зүрхний цохилтын давтамжийг IPS/FW дээрх захиалгат зүрхний цохилтын мессежээр дамжуулан, тухайлбал зүрхний цохилтын шалгалт илгээх зэргээр тохируулах боломжтой. IPS / FW-ийн дээд / доош порт руу мессеж илгээж, дараа нь IPS / FW-ийн дээд / доош портоос хүлээн авч, шүүнэ. зүрхний цохилтын мессежийг илгээх, хүлээн авах замаар IPS / FW хэвийн ажиллаж байгаа эсэх.
3.3 "SpecFlow" Бодлогын урсгалын шугам таталтын цуврал хамгаалалт
Аюулгүй байдлын сүлжээний төхөөрөмж нь зөвхөн цуврал хамгаалалтын хамгаалалтын тодорхой траффиктай ажиллах шаардлагатай үед Mylinking™ ” Network Inline Bypass ” урсгал тус бүрийг боловсруулах функцээр, хамгаалалтын төхөөрөмжийг холбох замын хөдөлгөөний скрининг стратегиар дамжуулан “Санаа зовоосон” урсгалыг буцааж илгээдэг. сүлжээний холбоос руу шууд холбох ба "хөдөлгөөний холбогдох хэсэг" нь аюулгүй байдлын шалгалтыг гүйцэтгэхийн тулд шугамын аюулгүйн төхөөрөмж рүү татах явдал юм. Энэ нь аюулгүй байдлын төхөөрөмжийн аюулгүй байдлыг илрүүлэх функцийн хэвийн хэрэглээг хадгалахаас гадна даралтыг даван туулах аюулгүйн төхөөрөмжийн үр ашиггүй урсгалыг багасгах болно; Үүний зэрэгцээ "Сүлжээний Inline Bypass" нь аюулгүй байдлын төхөөрөмжийн ажиллах нөхцөлийг бодит цаг хугацаанд илрүүлэх боломжтой. Аюулгүй байдлын төхөөрөмж нь сүлжээний үйлчилгээг тасалдуулахгүйн тулд өгөгдлийн урсгалыг шууд тойрч хэвийн бус ажилладаг.
3.4 Ачааллын тэнцвэртэй цуврал хамгаалалт
Mylinking™ "Network Inline Bypass" нь сүлжээний төхөөрөмжүүд (чиглүүлэгч, унтраалга гэх мэт) хооронд цувралаар байрлуулсан. Нэг IPS / FW боловсруулалтын гүйцэтгэл нь сүлжээний холболтын оргил ачааллыг даван туулахад хангалтгүй үед хамгаалалтын замын ачааллыг тэнцвэржүүлэх функц, олон IPS / FW кластер боловсруулах сүлжээний холбоосын урсгалыг "багцлах" нь ганц IPS / үр дүнтэй бууруулах боломжтой. FW боловсруулалтын даралт, байршуулах орчны өндөр зурвасын өргөнийг хангахын тулд нийт боловсруулалтын гүйцэтгэлийг сайжруулах Нэхэмжлэл.
Mylinking™ "Network Inline Bypass" нь фрэймийн VLAN шошго, MAC мэдээлэл, IP мэдээлэл, портын дугаар, протокол болон бусад мэдээллийн дагуу ачааллыг тэнцвэржүүлэх хүчирхэг функцтэй бөгөөд IPS / FW бүрийг хүлээн авахын тулд ачааллыг тэнцвэржүүлэх ачааллын хуваарилалтыг баталгаажуулдаг. өгөгдлийн урсгал Сессийн бүрэн бүтэн байдал.
3.5 Олон цуврал шугамын тоног төхөөрөмжийн урсгалын зүтгүүрийн хамгаалалт (Цуваа холболтыг зэрэгцээ холболт болгон өөрчлөх)
Зарим гол холбоосуудын (интернэтийн цэгүүд, серверийн талбайн солилцооны холбоос гэх мэт) байршил нь ихэвчлэн аюулгүй байдлын функцүүдийн хэрэгцээ болон олон тооны шугаман аюулгүй байдлын туршилтын төхөөрөмж (галт хана, DDOS халдлагын эсрэг төхөөрөмж, WEB програмын галт хана гэх мэт) суурилуулсантай холбоотой байдаг. , халдлагаас урьдчилан сэргийлэх тоног төхөөрөмж гэх мэт), аюулгүй байдлын илрүүлэгч хэд хэдэн төхөөрөмжийг нэгэн зэрэг холбоос дээр цувралаар байрлуулж, нэг цэгийн эвдрэлийн холбоосыг нэмэгдүүлж, аюулгүй байдлын ерөнхий найдвартай байдлыг бууруулдаг. сүлжээ. Дээр дурдсан хамгаалалтын тоног төхөөрөмжийг онлайнаар байршуулах, тоног төхөөрөмжийг шинэчлэх, тоног төхөөрөмжийг солих болон бусад үйлдлүүд нь сүлжээг удаан хугацаанд тасалдуулж, ийм төслүүдийг амжилттай хэрэгжүүлж дуусгахын тулд томоохон хэмжээний төслийг таслах арга хэмжээ авах болно.
"Сүлжээний шугам тойрч гарах"-ыг нэгдсэн байдлаар байрлуулснаар нэг холбоос дээр цувралаар холбогдсон олон хамгаалалтын төхөөрөмжийг байрлуулах горимыг "физик холболтын горим"-оос "физик холболт, логик холболтын горим" болгон өөрчлөх боломжтой. Холбоос дээрх холбоос холбоосын найдвартай байдлыг сайжруулах нэг цэгийн бүтэлгүйтлийн талаар, харин "Сүлжээний шугамын тойрч гарах" холбоосын урсгал дээр эрэлт хэрэгцээ, аюулгүй боловсруулалтын эффектийн анхны горимтой ижил урсгалд хүрэх.
Цуврал байршуулах диаграммд нэгэн зэрэг нэгээс олон хамгаалалтын төхөөрөмж:
Сүлжээний Inline Bypass Switch байршуулах диаграм:
3.6 Замын хөдөлгөөний хөдөлгөөний аюулгүй байдлын илрүүлэх хамгаалалтын динамик стратегид тулгуурласан
“Сүлжээний шугаман дамжих” Өөр нэг дэвшилтэт хэрэглүүрийн хувилбар нь замын хөдөлгөөний аюулгүй байдлыг илрүүлэх хамгаалалтын хэрэглээний динамик стратеги дээр суурилж, доор үзүүлсэн шиг арга замыг байршуулах явдал юм.
Жишээлбэл, "Сүлжээний шугаман тойрч гарах" болон дараа нь DDOS-ийн эсрэг хамгаалалтын төхөөрөмжийг суурилуулж, дараа нь "Сүлжээний шугаман тойрч гарах"-д холбогдсон "Anti-DDoS халдлагаас хамгаалах ба илрүүлэх" аюулгүй байдлын туршилтын төхөөрөмжийг авна уу. ердийн ” Зүтгүүрийн хамгаалагч “хөдөлгөөний хурдыг бүрэн хэмжээгээр дамжуулахын зэрэгцээ урсгалын толин тусгалыг “DDOS халдлагын эсрэг хамгаалах төхөөрөмж” , нэг удаа илрүүлсэн. серверийн IP (эсвэл IP сүлжээний сегмент) халдлагын дараа "DDOS халдлагаас хамгаалах төхөөрөмж" нь зорилтот хөдөлгөөний урсгалд тохирсон дүрмийг бий болгож, динамик бодлого хүргэх интерфэйсээр дамжуулан "Сүлжээний Inline Bypass" руу илгээнэ. "Сүлжээний Inline Bypass" нь динамик бодлогын дүрмийг хүлээн авсны дараа "хөдөлгөөний зүтгүүрийн динамик"-ыг шинэчлэх боломжтой Дүрмийн сан "ба нэн даруй" дүрэм халдлагын серверийн траффикийг DDoS халдлагын эсрэг хамгаалах, илрүүлэх "боловсруулах тоног төхөөрөмж рүү татах" халдлагын дараа үр дүнтэй байх ба дараа нь сүлжээнд дахин оруулах.
"Сүлжээний шугамын тойруу" дээр суурилсан хэрэглээний схем нь уламжлалт BGP маршрутын тарилга эсвэл бусад замын хөдөлгөөний зүтгүүрийн схемээс хэрэгжүүлэхэд хялбар бөгөөд орчин нь сүлжээнээс бага хамааралтай бөгөөд найдвартай байдал нь өндөр байдаг.
"Сүлжээний шугам тойруу" нь динамик бодлогын аюулгүй байдлын илрүүлэлтийн хамгаалалтыг дэмжих дараах шинж чанаруудтай:
1, WEBSERIVCE интерфэйс дээр суурилсан дүрмээс гадуур, гуравдагч талын аюулгүй байдлын төхөөрөмжтэй хялбар нэгтгэх "Сүлжээний Inline Bypass".
2, "Сүлжээний шугамаар тойрч гарах" төхөөрөмж дээр суурилсан цэвэр ASIC чип нь 10Gbps утас хурдтай пакетуудыг шилжүүлэгч дамжуулахыг хориглохгүйгээр дамжуулж, тооноос үл хамааран "хөдөлгөөний зүтгүүрийн динамик дүрмийн сан".
3, "Сүлжээний Inline Bypass" суурилуулсан мэргэжлийн BYPASS функц нь хамгаалагч өөрөө бүтэлгүйтсэн ч гэсэн анхны цуваа холбоосыг нэн даруй алгасах боломжтой бөгөөд ердийн холбооны анхны холболтод нөлөөлөхгүй.
Шуудангийн цаг: 2021 оны 12-р сарын 23
