Mylinking™ Network Tap Bypass Switch ML-BYPASS-200
2*Bypass kasama ang 1*Monitor Modular Design, 10/40/100GE Links, Max 640Gbps
1-Mga Pangkalahatang-ideya
Sa pamamagitan ng pag-deploy ng Mylinking™ Smart Bypass Switch:
- Maaaring i-install/i-uninstall ng mga gumagamit ang mga kagamitang pangseguridad nang may kakayahang umangkop at hindi makakaapekto sa kasalukuyang network at interrupt;
- Ang Mylinking™ Network Tap Bypass Switch na may matalinong function sa pag-detect ng kalusugan ay nagbibigay ng real-time na pagsubaybay sa normal na estado ng paggana ng serial security device. Kapag gumana na ang serial security device, awtomatikong magba-bypass ang proteksyon upang mapanatili ang normal na komunikasyon sa network;
- Maaaring gamitin ang piling teknolohiya sa proteksyon ng trapiko upang i-deploy ang mga partikular na kagamitan sa seguridad sa paglilinis ng trapiko, teknolohiya sa pag-encrypt batay sa kagamitan sa pag-audit. Epektibong isinasagawa ang proteksyon ng serial access para sa partikular na uri ng trapiko, na nagbabawas sa presyon ng paghawak ng daloy ng series device;
- Maaaring gamitin ang teknolohiyang Load Balanced Traffic Protection para sa clustered deployment ng mga secure serial device upang matugunan ang pangangailangan para sa serial security sa mga high-bandwidth na kapaligiran.
Dahil sa mabilis na pag-unlad ng Internet, ang banta ng seguridad ng impormasyon sa network ay lalong nagiging seryoso, kaya naman iba't ibang aplikasyon sa proteksyon ng seguridad ng impormasyon ang ginagamit nang mas malawakan. Ito man ay tradisyonal na kagamitan sa pagkontrol ng access (firewall) o isang bagong uri ng mas advanced na paraan ng proteksyon tulad ng intrusion prevention system (IPS), Unified threat management platform (UTM), Anti-denial service attack system (Anti-DDoS), Anti-span Gateway, Unified DPI Traffic Identification and Control System, at maraming security device ang inilalagay nang sunod-sunod sa mga pangunahing node ng network, at ipinapatupad ang kaukulang patakaran sa seguridad ng data upang matukoy at matugunan ang legal/ilegal na trapiko. Kasabay nito, gayunpaman, ang computer network ay lilikha ng malaking pagkaantala sa network o maging ang pagkagambala sa network sa kaso ng pagkabigo, pagpapanatili, pag-upgrade, pagpapalit ng kagamitan at iba pa sa isang lubos na maaasahang kapaligiran ng aplikasyon sa produksyon ng network, hindi ito matiis ng mga gumagamit.
Mga Advanced na Tampok at Teknolohiya ng 2-Network Tap Bypass Switch
Teknolohiya ng Mylinking™ na “SpecFlow” Protection Mode at “FullLink” Protection Mode
Teknolohiya ng Proteksyon sa Mabilis na Paglipat gamit ang Bypass ng Mylinking™
Teknolohiya ng Mylinking™ na “LinkSafeSwitch”
Mylinking™ “WebService” Dynamic na Istratehiya sa Pagpapasa/Teknolohiya ng Isyu
Teknolohiya ng Pagtukoy ng Mensahe sa Tibok ng Puso na Mylinking™
Teknolohiya ng Mylinking™ Definable Heartbeat Messages
Teknolohiya ng Mylinking™ Multi-link Load Balancing
Teknolohiya ng Matalinong Pamamahagi ng Trapiko ng Mylinking™
Teknolohiya ng Dynamic Load Balancing ng Mylinking™
Teknolohiya ng Remote Management ng Mylinking™ (HTTP/WEB, TELNET/SSH, Katangian ng “EasyConfig/AdvanceConfig”)
Gabay sa Pag-configure ng 3-Network Tap Bypass Switch
PAG-BYPASSPuwang ng Module ng Proteksyon Port:
Maaaring ipasok ang puwang na ito sa BYPASS protection port module na may iba't ibang bilis/numero ng port. Sa pamamagitan ng pagpapalit ng iba't ibang uri ng mga module, masusuportahan nito ang proteksyon ng BYPASS ng maraming 10G/40G/100G link.
MONITORPuwang ng Modyul ng Daungan;
Maaaring ipasok ang puwang na ito sa module ng MONITOR port na may iba't ibang bilis/port. Kaya nitong suportahan ang maraming 10G/40G/100G link online serial monitoring device deployment sa pamamagitan ng pagpapalit ng iba't ibang modelo.
Mga Panuntunan sa Pagpili ng Modyul
Batay sa iba't ibang naka-deploy na link at mga kinakailangan sa pag-deploy ng kagamitan sa pagsubaybay, maaari kang pumili ng iba't ibang configuration ng module nang may kakayahang umangkop upang matugunan ang iyong aktwal na pangangailangan sa kapaligiran; mangyaring sundin ang mga sumusunod na patakaran kapag pumipili:
1. Ang mga bahagi ng tsasis ay mandatoryo at dapat mong piliin ang mga bahagi ng tsasis bago ka pumili ng anumang iba pang mga modyul. Kasabay nito, mangyaring pumili ng iba't ibang paraan ng supply ng kuryente (AC/DC) ayon sa iyong mga pangangailangan.
2. Ang buong makina ay sumusuporta sa hanggang 2 BYPASS module slot at 1 MONITOR module slot; hindi ka maaaring pumili ng higit sa bilang ng mga slot na iko-configure. Batay sa kombinasyon ng bilang ng mga slot at modelo ng module, ang aparato ay maaaring sumuporta ng hanggang apat na 10GE link protection; o maaari itong sumuporta ng hanggang apat na 40GE link; o maaari itong sumuporta ng hanggang isang 100GE link.
3. Ang modelo ng modyul na "BYP-MOD-L1CG" ay maaari lamang ilagay sa SLOT1 upang gumana nang maayos.
4. Ang uri ng modyul na "BYP-MOD-XXX" ay maaari lamang ilagay sa puwang ng modyul na BYPASS; ang uri ng modyul na "MON-MOD-XXX" ay maaari lamang ilagay sa puwang ng modyul na MONITOR para sa normal na operasyon.
| Modelo ng Produkto | Mga parameter ng tungkulin |
| Tsasis (Host) | |
| ML-BYPASS-M200 | 1U karaniwang 19-pulgadang rackmount; pinakamataas na konsumo ng kuryente 250W; modular na BYPASS protector host; 2 puwang ng BYPASS module; 1 puwang ng MONITOR module; opsyonal na AC at DC; |
| MODYUL NG BYPASS | |
| BYP-MOD-L2XG(LM/SM) | Sinusuportahan ang 2-way 10GE link serial protection, 4*10GE interface, LC connector; built-in na optical transceiver; opsyonal na optical link single/multimode, sinusuportahan ang 10GBASE-SR/LR; |
| BYP-MOD-L2QXG(LM/SM) | Sinusuportahan ang 2-way 40GE link serial protection, 4*40GE interface, LC connector; built-in na optical transceiver; opsyonal na optical link single/multimode, sinusuportahan ang 40GBASE-SR4/LR4; |
| BYP-MOD-L1CG (LM/SM) | Sinusuportahan ang 1 channel na 100GE link serial protection, 2*100GE interface, LC connector; built-in na optical transceiver; opsyonal na optical link single multimode, sinusuportahan ang 100GBASE-SR4/LR4; |
| MODYUL NG MONITOR | |
| MON-MOD-L16XG | 16*10GE SFP+ monitoring port module; walang optical transceiver module; |
| MON-MOD-L8XG | 8*10GE SFP+ monitoring port module; walang optical transceiver module; |
| MON-MOD-L2CG | 2*100GE QSFP28 monitoring port module; walang optical transceiver module; |
| MON-MOD-L8QXG | 8* 40GE QSFP+ monitoring port module; walang optical transceiver module; |
Mga Espesipikasyon ng 4-Network TAP Bypass Switch
| Modalidad ng Produkto | ML-BYPASS-M200 serial Bypass Switch | |
| Uri ng Interface | Interface ng MGT | 1*10/100/1000BASE-T Adaptive management interface; Suportahan ang remote HTTP/IP management |
| Puwang ng Modyul | 2*puwang ng modyul na BYPASS;1*puwang ng modyul na MONITOR; | |
| Mga link na sumusuporta sa maximum | Suporta ng device: maximum na 4*10GE links o 4*40GE links o 1*100GE links | |
| Monitor | Suporta ng device ang maximum na 16*10GE monitoring ports o 8*40GE monitoring ports o 2*100GE monitoring ports; | |
| Tungkulin | Kakayahang magproseso ng buong duplex | 640Gbps |
| Batay sa IP/protocol/port na may limang tuple na partikular na proteksyon sa trapiko | Suporta | |
| Proteksyon ng cascade batay sa buong trapiko | Suporta | |
| Maramihang pagbabalanse ng karga | Suporta | |
| Pasadyang function ng pag-detect ng tibok ng puso | Suporta | |
| Suportahan ang kalayaan ng pakete ng Ethernet | Suporta | |
| SWITCH NG BYPASS | Suporta | |
| BYPASS Switch na walang flash | Suporta | |
| CONSOLE MANAGEMENT | Suporta | |
| IP/WEB MGT | Suporta | |
| SNMP V1/V2C MGT | Suporta | |
| TELNET/SSH MGT | Suporta | |
| Protokol ng SYSLOG | Suporta | |
| Awtorisasyon ng gumagamit | Batay sa awtorisasyon ng password/AAA/TACACS+ | |
| Elektrisidad | Na-rate na boltahe ng suplay | AC-220V/DC-48V【Opsyonal】 |
| Rated na dalas ng kuryente | 50HZ | |
| Na-rate na kasalukuyang input | AC-3A / DC-10A | |
| Rated Power | 100W | |
| Kapaligiran | Temperatura ng Paggawa | 0-50℃ |
| Temperatura ng imbakan | -20-70℃ | |
| Halumigmig sa pagtatrabaho | 10%-95%, Walang kondensasyon | |
| Pag-configure ng gumagamit | Konpigurasyon ng console | RS232 interface, 115200, 8, N, 1 |
| Interface ng MGT na wala sa banda | 1*10/100/1000M na interface ng Ethernet | |
| Awtorisasyon ng password | Suporta | |
| Taas ng Tsasis | Espasyo ng tsasis(U) | 1U 19 pulgada, 485mm * 44.5mm * 350mm |
Aplikasyon para sa 5-Network TAP Bypass Switch (tulad ng sumusunod)
Ang sumusunod ay isang tipikal na IPS (Intrusion Prevention System), FW (Firewall) deployment mode, ang IPS/FW ay inilalagay nang serye sa mga kagamitan sa network (mga router, switch, atbp.) sa pagitan ng trapiko sa pamamagitan ng pagpapatupad ng mga pagsusuri sa seguridad, ayon sa kaukulang patakaran sa seguridad upang matukoy ang paglabas o pagharang sa kaukulang trapiko, upang makamit ang epekto ng depensa sa seguridad.
Kasabay nito, maaari nating maobserbahan ang IPS/FW bilang isang serial deployment ng kagamitan, kadalasang inilalagay sa pangunahing lokasyon ng enterprise network upang ipatupad ang serial security, ang pagiging maaasahan ng mga konektadong device nito ay direktang nakakaapekto sa pangkalahatang availability ng enterprise network. Kapag ang mga serial device ay nag-overload, nag-crash, nag-update ng software, nag-update ng patakaran, atbp., ang buong availability ng enterprise network ay lubos na maaapektuhan. Sa puntong ito, sa pamamagitan lamang ng network cut, physical bypass jumper ay maaaring maibalik ang network, na seryosong nakakaapekto sa pagiging maaasahan ng network. Ang IPS/FW at iba pang serial device sa isang banda ay nagpapabuti sa pag-deploy ng seguridad ng enterprise network, sa kabilang banda ay binabawasan din ang pagiging maaasahan ng mga enterprise network, na nagpapataas ng panganib na hindi magagamit ang network.
5.2 Proteksyon ng Kagamitan sa Inline Link Series
Ang Mylinking™ na "Bypass Switch" ay ginagamit nang serye sa pagitan ng mga network device (mga router, switch, atbp.), at ang daloy ng data sa pagitan ng mga network device ay hindi na direktang patungo sa IPS/FW, ang "Bypass Switch" naman ay patungo sa IPS/FW. Kapag ang IPS/FW ay dahil sa overload, pag-crash, pag-update ng software, pag-update ng patakaran, at iba pang mga kondisyon ng pagkabigo, ang "Bypass Switch" ay gumagamit ng intelligent heartbeat message detection function para sa napapanahong pagtuklas, at sa gayon ay malampasan ang sirang device, nang hindi naaantala ang premise ng network, ang mabilis na network equipment na direktang nakakonekta ay maaaring protektahan ang normal na communication network; kapag ang IPS/FW ay nabigo, maaari ring mabilis na matukoy ang function sa pamamagitan ng intelligent heartbeat packets detection, at maibalik ang seguridad ng enterprise network security checks.
Ang Mylinking™ "Bypass Switch" ay may makapangyarihang intelligent heartbeat message detection function, maaaring i-customize ng user ang heartbeat interval at ang maximum na bilang ng mga retries, sa pamamagitan ng custom heartbeat message sa IPS/FW para sa health testing, tulad ng pagpapadala ng heartbeat check message sa upstream/downstream port ng IPS/FW, at pagkatapos ay tumanggap mula sa upstream/downstream port ng IPS/FW, at husgahan kung ang IPS/FW ay gumagana nang normal sa pamamagitan ng pagpapadala at pagtanggap ng heartbeat message.
5.3 Patakaran ng “SpecFlow” para sa Proteksyon ng Inline Traction Series ng Daloy
Kapag ang security network device ay kailangan lamang humarap sa partikular na trapiko sa serye ng proteksyon sa seguridad, sa pamamagitan ng Mylinking™ traffic per-processing function, sa pamamagitan ng traffic screening strategy upang ikonekta ang security device na "Nababahalang" trapiko ay direktang ibinabalik sa network link, at ang "nababahalang traffic section" ay dinadala sa in-line safety device upang magsagawa ng mga safety check. Hindi lamang nito mapapanatili ang normal na aplikasyon ng safety detection function ng safety device, kundi mababawasan din ang hindi mahusay na daloy ng safety equipment upang harapin ang pressure; kasabay nito, maaaring matukoy ng "Bypass Switch" ang kondisyon ng paggana ng safety device sa real time. Ang safety device ay gumagana nang abnormally na direktang nilalampasan ang data traffic upang maiwasan ang pagkaantala ng serbisyo ng network.
Kayang tukuyin ng Mylinking™ Traffic Bypass Protector ang trapiko batay sa L2-L4 layer header identifier, tulad ng VLAN tag, source / destination MAC address, source IP address, IP packet type, transport layer protocol port, protocol header key tag, at iba pa. Maaaring tukuyin nang may kakayahang umangkop ang iba't ibang kombinasyon ng pagtutugma ng mga kondisyon upang matukoy ang mga partikular na uri ng trapiko na interesado sa isang partikular na security device at maaaring malawakang gamitin para sa pag-deploy ng mga espesyal na security auditing device (RDP, SSH, database auditing, atbp.).
5.4 Proteksyon sa Serye na Balanseng Karga
Ang Mylinking™ "Bypass Switch" ay inilalagay nang serye sa pagitan ng mga network device (mga router, switch, atbp.). Kapag ang isang performance ng pagproseso ng IPS / FW ay hindi sapat upang makayanan ang peak traffic ng network link, ang traffic load balancing function ng protector, ang "bundling" ng maraming IPS / FW cluster processing network link traffic, ay maaaring epektibong mabawasan ang single IPS / FW processing pressure, mapabuti ang pangkalahatang performance ng pagproseso upang matugunan ang mataas na bandwidth ng deployment environment.
Ang Mylinking™ "Bypass Switch" ay may makapangyarihang function ng load balancing, ayon sa frame VLAN tag, impormasyon ng MAC, impormasyon ng IP, numero ng port, protocol at iba pang impormasyon tungkol sa Hash load balancing distribution ng trapiko upang matiyak na ang bawat IPS/FW ay nakatanggap ng data flow at integridad ng Session.
5.5 Proteksyon sa Traksyon ng Daloy ng Kagamitang Inline na Multi-serye (Baguhin ang Serial na Koneksyon patungong Parallel na Koneksyon)
Sa ilang mahahalagang link (tulad ng mga Internet outlet, server area exchange link), ang lokasyon ay kadalasang dahil sa mga pangangailangan ng mga tampok ng seguridad at ang pag-deploy ng maraming in-line security testing equipment (tulad ng firewall, anti-DDOS attack equipment, WEB application firewall, intrusion prevention equipment, atbp.), ang sabay-sabay na paggamit ng maraming security detection equipment sa link ay nagpapataas ng iisang point of failure, na binabawasan ang pangkalahatang reliability ng network. At sa nabanggit na online deployment ng security equipment, pag-upgrade ng kagamitan, pagpapalit ng kagamitan, at iba pang operasyon, ay magdudulot ng matagal na pagkaantala ng serbisyo sa network at mas malaking proyekto para makumpleto ang matagumpay na pagpapatupad ng mga naturang proyekto.
Sa pamamagitan ng pag-deploy ng "Bypass Switch" sa isang pinag-isang paraan, ang deployment mode ng maraming security device na konektado nang serye sa iisang link ay maaaring mabago mula sa "physical concatenation mode" patungo sa "physical concatenation, logical concatenation mode". Ang link sa link ng isang solong punto ng pagkabigo ay upang mapabuti ang pagiging maaasahan ng link, habang ang "bypass switch" sa link ay dumadaloy nang on demand, upang makamit ang parehong daloy sa orihinal na mode ng ligtas na epekto sa pagproseso.
Higit sa isang aparatong pangseguridad nang sabay-sabay sa diagram ng pag-deploy ng serye:
Diagram ng Pag-deploy ng Mylinking™ Network TAP Bypass Switch:
5.6 Batay sa Dinamikong Istratehiya ng Proteksyon sa Pagtuklas ng Seguridad ng Traksyon ng Trapiko
"Bypass Switch" Ang isa pang advanced na senaryo ng aplikasyon ay batay sa dynamic na estratehiya ng mga aplikasyon ng proteksyon sa pagtukoy ng seguridad sa trapiko, ang pag-deploy ng paraan tulad ng ipinapakita sa ibaba:
Halimbawa, ang kagamitan sa pagsubok ng seguridad na "Anti-DDoS attack protection and detection", sa pamamagitan ng front-end deployment ng "Bypass Switch" at pagkatapos ay ang kagamitan sa proteksyon laban sa DDOS at pagkatapos ay ikinokonekta sa "Bypass Switch", sa karaniwang "Traction protector" hanggang sa buong dami ng trapiko na may wire-speed forwarding, kasabay nito ang output ng flow mirror sa "anti-DDOS attack protection device", kapag natukoy ang isang server IP (o IP network segment) pagkatapos ng pag-atake, ang "anti-DDOS attack protection device" ay bubuo ng mga patakaran sa pagtutugma ng daloy ng trapiko ng target at ipapadala ang mga ito sa "Bypass Switch" sa pamamagitan ng dynamic policy delivery interface. Maaaring i-update ng "Bypass Switch" ang "traffic traction dynamic" pagkatapos matanggap ang dynamic policy rules Rule pool at agad na "tamaan ang patakaran sa trapiko ng attack server" sa kagamitan sa "anti-DDoS attack protection and detection" para sa pagproseso, upang maging epektibo pagkatapos ng daloy ng pag-atake at pagkatapos ay muling i-inject sa network.
Ang iskema ng aplikasyon batay sa "Bypass Switch" ay mas madaling ipatupad kaysa sa tradisyonal na BGP route injection o iba pang iskema ng traction ng trapiko, at ang kapaligiran ay hindi gaanong umaasa sa network at mas mataas ang pagiging maaasahan.
Ang "Bypass Switch" ay may mga sumusunod na katangian upang suportahan ang proteksyon sa pagtukoy ng seguridad ng dynamic policy:
1, "Bypass Switch" upang magbigay ng lampas sa mga patakaran batay sa WEBSERIVCE interface, madaling pagsasama sa mga third-party na security device.
2, "Bypass Switch" batay sa hardware na purong ASIC chip na nagpapasa ng hanggang 10Gbps na wire-speed packets nang hindi hinaharangan ang pagpapasa ng switch, at "traffic traction dynamic rule library" anuman ang numero.
3, may built-in na propesyonal na BYPASS function na "Bypass Switch", kahit na masira ang protector mismo, maaari rin itong agad na ma-bypass ang orihinal na serial link, at hindi nakakaapekto sa orihinal na link ng normal na komunikasyon.
