1- Define Heartbeat Packet คืออะไร?
แพ็กเก็ตสัญญาณฮาร์ตบีตของ Mylinking™ Network Tap Bypass Switch จะใช้เฟรม Ethernet Layer 2 เป็นค่าเริ่มต้น เมื่อใช้งานโหมดบริดจ์เลเยอร์ 2 แบบโปร่งใส (เช่น IPS/FW) เฟรม Ethernet Layer 2 จะถูกส่งต่อ บล็อก หรือทิ้งไปตามปกติ ในขณะเดียวกัน Mylinking™ Network Tap Bypass Switch ยังรองรับรูปแบบข้อความสัญญาณฮาร์ตบีตแบบกำหนดเองเพื่อตอบสนองสถานการณ์ที่อุปกรณ์รักษาความปลอดภัยแบบอนุกรมพิเศษบางรุ่นไม่สามารถส่งต่อเฟรม Ethernet Layer 2 ทั่วไปได้
นอกจากนี้ สวิตช์ Mylinking™ Network Tap Bypass ยังรองรับการตรวจจับแพ็กเก็ตสัญญาณการเต้นของหัวใจโดยอิงตามแท็ก VLAN ประเภทข้อความที่กำหนดเองของเลเยอร์ 3 และเลเยอร์ 4 จากกลไกนี้ ผู้ใช้สามารถใช้ฟังก์ชันการทดสอบความปลอดภัยของบริการของอุปกรณ์ความปลอดภัยการเชื่อมต่อเพื่อให้มีประสิทธิภาพมากขึ้นในการรับรองว่าบริการความปลอดภัยที่เกี่ยวข้องทำงานอย่างถูกต้อง
สวิตช์บายพาสการแตะเครือข่าย Mylinking™ รองรับมอนิเตอร์ในการส่งแพ็กเก็ตสัญญาณหัวใจที่แตกต่างกันในทั้งสองทิศทาง ตัวอย่างเช่น แพ็กเก็ตสัญญาณหัวใจประเภท TCP และ UDP จะถูกปรับแต่งบน "Strategy Traffic Traction Protector" ตามลักษณะเฉพาะของอุปกรณ์อนุกรม คุณสามารถกำหนดค่าการส่งแพ็กเก็ตสัญญาณหัวใจ TCP บนพอร์ตมอนิเตอร์อัปลิงค์ A และการส่งแพ็กเก็ตสัญญาณหัวใจ UDP บนพอร์ตมอนิเตอร์ดาวน์ลิงค์ B เพื่อรองรับกลไกการส่งต่อข้อความของอุปกรณ์รักษาความปลอดภัยแบบอนุกรม ฟังก์ชันนี้สามารถรับประกันสตริงได้อย่างมีประสิทธิภาพมากขึ้น เชื่อมต่ออุปกรณ์ความปลอดภัยกับการทำงานปกติ
Mylinking™ Network Inline Bypass Switch ได้รับการวิจัยและพัฒนาเพื่อใช้งานในการปรับใช้อุปกรณ์รักษาความปลอดภัยแบบอนุกรมประเภทต่างๆ อย่างยืดหยุ่น พร้อมทั้งยังคงความน่าเชื่อถือของเครือข่ายสูง
คุณสมบัติและเทคโนโลยีขั้นสูงของสวิตช์บายพาสอินไลน์ 2 เครือข่าย
เทคโนโลยีโหมดการป้องกัน “SpecFlow” ของ Mylinking™ และเทคโนโลยีโหมดการป้องกัน “FullLink”
เทคโนโลยีป้องกันการสลับบายพาสด่วน Mylinking™
เทคโนโลยี “LinkSafeSwitch” ของ Mylinking™
เทคโนโลยีการส่งต่อ/ออกกลยุทธ์แบบไดนามิก “WebService” Mylinking™
เทคโนโลยีตรวจจับข้อความการเต้นของหัวใจอัจฉริยะ Mylinking™
เทคโนโลยีข้อความการเต้นของหัวใจที่กำหนดได้ Mylinking™
เทคโนโลยีการปรับสมดุลโหลดแบบมัลติลิงก์ Mylinking™
เทคโนโลยีการกระจายปริมาณการรับส่งข้อมูลอัจฉริยะ Mylinking™
เทคโนโลยีการปรับสมดุลโหลดแบบไดนามิก Mylinking™
เทคโนโลยีการจัดการระยะไกล Mylinking™ (HTTP/WEB, TELNET/SSH, คุณลักษณะ “EasyConfig/AdvanceConfig”)
แอปพลิเคชั่นสวิตช์บายพาสอินไลน์ 3 เครือข่าย (ดังต่อไปนี้)
3.1 ความเสี่ยงของอุปกรณ์รักษาความปลอดภัยแบบอินไลน์ (IPS / FW)
ต่อไปนี้เป็นโหมดการปรับใช้ IPS (ระบบป้องกันการบุกรุก) ทั่วไป, FW (ไฟร์วอลล์) โดย IPS / FW จะถูกปรับใช้แบบอนุกรมไปยังอุปกรณ์เครือข่าย (เราเตอร์ สวิตช์ ฯลฯ) ระหว่างการรับส่งข้อมูลผ่านการดำเนินการตรวจสอบความปลอดภัย ตามนโยบายความปลอดภัยที่เกี่ยวข้อง เพื่อกำหนดการปล่อยหรือการบล็อกการรับส่งข้อมูลที่เกี่ยวข้อง เพื่อให้บรรลุผลของการป้องกันความปลอดภัย
ในเวลาเดียวกัน เราสามารถสังเกต IPS / FW เป็นการปรับใช้อุปกรณ์แบบอนุกรม ซึ่งโดยปกติจะปรับใช้ในตำแหน่งสำคัญของเครือข่ายองค์กรเพื่อนำความปลอดภัยแบบอนุกรมมาใช้ ความน่าเชื่อถือของอุปกรณ์ที่เชื่อมต่อจะส่งผลโดยตรงต่อความพร้อมใช้งานของเครือข่ายองค์กรโดยรวม เมื่ออุปกรณ์อนุกรมโอเวอร์โหลด ขัดข้อง อัปเดตซอฟต์แวร์ อัปเดตนโยบาย ฯลฯ ความพร้อมใช้งานของเครือข่ายองค์กรทั้งหมดจะได้รับผลกระทบอย่างมาก ณ จุดนี้ เราทำได้เพียงตัดเครือข่าย จัมเปอร์บายพาสทางกายภาพเท่านั้นที่จะทำให้เครือข่ายได้รับการคืนค่า ซึ่งส่งผลกระทบอย่างร้ายแรงต่อความน่าเชื่อถือของเครือข่าย IPS / FW และอุปกรณ์อนุกรมอื่นๆ ช่วยปรับปรุงการปรับใช้ความปลอดภัยเครือข่ายองค์กรในแง่หนึ่ง ในทางกลับกัน ยังลดความน่าเชื่อถือของเครือข่ายองค์กรอีกด้วย ทำให้ความเสี่ยงที่เครือข่ายจะไม่พร้อมใช้งานเพิ่มขึ้น
3.2 การป้องกันอุปกรณ์ซีรีส์ Inline Link
Mylinking™ ” Network Inline Bypass ” ถูกนำไปใช้แบบเป็นชุดระหว่างอุปกรณ์เครือข่าย (เราเตอร์ สวิตช์ ฯลฯ) และการไหลของข้อมูลระหว่างอุปกรณ์เครือข่ายจะไม่นำไปสู่ IPS/FW โดยตรงอีกต่อไป ” Network Inline Bypass ” ไปยัง IPS/FW เมื่อ IPS/FW เกิดจากการโอเวอร์โหลด ความผิดพลาด การอัพเดตซอฟต์แวร์ อัพเดตนโยบาย และเงื่อนไขอื่นๆ ของความล้มเหลว ” Network Inline Bypass ” ผ่านฟังก์ชันตรวจจับข้อความการเต้นของหัวใจอัจฉริยะของการค้นพบอย่างทันท่วงที และจึงข้ามอุปกรณ์ที่ผิดพลาดได้ โดยไม่รบกวนสถานที่ตั้งของเครือข่าย อุปกรณ์เครือข่ายที่รวดเร็วเชื่อมต่อโดยตรงเพื่อปกป้องเครือข่ายการสื่อสารปกติ เมื่อการกู้คืน IPS/FW ล้มเหลว แต่ยังผ่านการตรวจจับแพ็คเก็ตการเต้นของหัวใจอัจฉริยะของฟังก์ชันการตรวจจับอย่างทันท่วงที ลิงก์เดิมเพื่อคืนความปลอดภัยของการตรวจสอบความปลอดภัยเครือข่ายองค์กร
Mylinking™ “Network Inline Bypass” มีฟังก์ชั่นตรวจจับข้อความการเต้นของหัวใจอัจฉริยะที่ทรงพลัง ผู้ใช้สามารถปรับแต่งช่วงเวลาการเต้นของหัวใจและจำนวนครั้งสูงสุดของการลองซ้ำได้ผ่านข้อความการเต้นของหัวใจที่กำหนดเองบน IPS / FW สำหรับการทดสอบสุขภาพ เช่น ส่งข้อความตรวจสอบการเต้นของหัวใจไปยังพอร์ตต้นน้ำ/ปลายน้ำของ IPS / FW จากนั้นรับจากพอร์ตต้นน้ำ/ปลายน้ำของ IPS / FW และตัดสินว่า IPS / FW ทำงานปกติหรือไม่โดยการส่งและรับข้อความการเต้นของหัวใจ
3.3 นโยบาย "SpecFlow" การป้องกันซีรีส์แรงดึงแบบอินไลน์
เมื่ออุปกรณ์เครือข่ายความปลอดภัยจำเป็นต้องจัดการกับการรับส่งข้อมูลเฉพาะในระบบป้องกันความปลอดภัยแบบอนุกรมเท่านั้น ผ่านฟังก์ชัน "Network Inline Bypass" ของ Mylinking™ การรับส่งข้อมูลต่อการประมวลผล ผ่านกลยุทธ์การคัดกรองการรับส่งข้อมูลเพื่อเชื่อมต่ออุปกรณ์ความปลอดภัย "ที่เกี่ยวข้อง" การรับส่งข้อมูลจะถูกส่งกลับไปยังลิงก์เครือข่ายโดยตรง และ "ส่วนการรับส่งข้อมูลที่เกี่ยวข้อง" จะถูกดึงไปยังอุปกรณ์ความปลอดภัยแบบอินไลน์เพื่อทำการตรวจสอบความปลอดภัย ซึ่งจะไม่เพียงแต่รักษาการใช้งานปกติของฟังก์ชันการตรวจจับความปลอดภัยของอุปกรณ์ความปลอดภัยเท่านั้น แต่ยังลดการไหลที่ไม่มีประสิทธิภาพของอุปกรณ์ความปลอดภัยเพื่อจัดการกับแรงกดดัน ในเวลาเดียวกัน "Network Inline Bypass" ยังสามารถตรวจจับสภาพการทำงานของอุปกรณ์ความปลอดภัยได้แบบเรียลไทม์ อุปกรณ์ความปลอดภัยทำงานโดยข้ามการรับส่งข้อมูลโดยตรงเพื่อหลีกเลี่ยงการหยุดชะงักของบริการเครือข่าย
3.4 การป้องกันซีรีย์สมดุลโหลด
Mylinking™ “Network Inline Bypass” ถูกนำไปใช้งานแบบเป็นชุดระหว่างอุปกรณ์เครือข่าย (เราเตอร์ สวิตช์ ฯลฯ) เมื่อประสิทธิภาพการประมวลผล IPS / FW เดียวไม่เพียงพอที่จะรับมือกับปริมาณการใช้งานสูงสุดของลิงก์เครือข่าย ฟังก์ชันการปรับสมดุลโหลดของตัวป้องกัน การ “รวม” ของปริมาณการใช้งานลิงก์เครือข่ายการประมวลผลคลัสเตอร์ IPS / FW หลายรายการ สามารถลดแรงกดดันในการประมวลผล IPS / FW เดียวได้อย่างมีประสิทธิภาพ ปรับปรุงประสิทธิภาพการประมวลผลโดยรวมให้ตรงตามแบนด์วิดท์สูงของสภาพแวดล้อมการใช้งาน
Mylinking™ “Network Inline Bypass” มีฟังก์ชันการปรับสมดุลโหลดที่ทรงพลังตามแท็ก VLAN ของเฟรม ข้อมูล MAC ข้อมูล IP หมายเลขพอร์ต โปรโตคอล และข้อมูลอื่นๆ เกี่ยวกับการกระจายการรับส่งข้อมูลแบบปรับสมดุลโหลดแฮชเพื่อให้แน่ใจว่า IPS / FW แต่ละตัวได้รับความสมบูรณ์ของเซสชันการไหลของข้อมูล
3.5 การป้องกันการไหลแบบอินไลน์ของอุปกรณ์หลายซีรีส์ (เปลี่ยนการเชื่อมต่อแบบอนุกรมเป็นการเชื่อมต่อแบบขนาน)
ในลิงก์สำคัญบางแห่ง (เช่น ช่องทางอินเทอร์เน็ต ลิงก์แลกเปลี่ยนพื้นที่เซิร์ฟเวอร์) มักเกิดจากความต้องการคุณสมบัติด้านความปลอดภัยและการติดตั้งอุปกรณ์ทดสอบความปลอดภัยแบบอินไลน์หลายตัว (เช่น ไฟร์วอลล์ อุปกรณ์ป้องกันการโจมตี DDOS ไฟร์วอลล์แอปพลิเคชันเว็บ อุปกรณ์ป้องกันการบุกรุก ฯลฯ) อุปกรณ์ตรวจจับความปลอดภัยหลายตัวพร้อมกันในซีรีส์บนลิงก์เพื่อเพิ่มการเชื่อมโยงของจุดล้มเหลวจุดเดียว ทำให้ความน่าเชื่อถือโดยรวมของเครือข่ายลดลง และในการติดตั้งอุปกรณ์ความปลอดภัยแบบออนไลน์ การอัปเกรดอุปกรณ์ การเปลี่ยนอุปกรณ์ และการดำเนินการอื่นๆ ดังกล่าวข้างต้น จะทำให้เครือข่ายหยุดชะงักในการให้บริการเป็นเวลานาน และต้องมีการดำเนินการตัดโครงการขนาดใหญ่เพื่อให้การดำเนินการโครงการดังกล่าวเสร็จสมบูรณ์
ด้วยการใช้งาน “Network Inline Bypass” ในลักษณะรวมศูนย์ โหมดการใช้งานของอุปกรณ์ความปลอดภัยหลายตัวที่เชื่อมต่อแบบอนุกรมบนลิงก์เดียวกันสามารถเปลี่ยนจาก “โหมดการเชื่อมต่อทางกายภาพ” เป็น “โหมดการเชื่อมต่อทางกายภาพ, การเชื่อมต่อเชิงตรรกะ” ลิงก์บนลิงก์ของจุดล้มเหลวจุดเดียวเพื่อปรับปรุงความน่าเชื่อถือของลิงก์ ในขณะที่ “Network Inline Bypass” บนลิงก์การไหลตามความต้องการ เพื่อให้บรรลุการไหลเดียวกันกับโหมดเดิมของผลการประมวลผลที่ปลอดภัย
ไดอะแกรมการติดตั้งอุปกรณ์รักษาความปลอดภัยมากกว่าหนึ่งเครื่องในเวลาเดียวกันในชุด:
ไดอะแกรมการปรับใช้สวิตช์บายพาสอินไลน์เครือข่าย:
3.6 บนพื้นฐานของกลยุทธ์ไดนามิกของการตรวจจับความปลอดภัยการยึดเกาะถนน
“Network Inline Bypass” สถานการณ์การใช้งานขั้นสูงอีกกรณีหนึ่งนั้นอิงตามกลยุทธ์แบบไดนามิกของแอปพลิเคชันการป้องกันการตรวจจับความปลอดภัยการยึดเกาะของการจราจร โดยการใช้งานนั้นจะแสดงดังแสดงด้านล่าง:
ตัวอย่างเช่น อุปกรณ์ทดสอบความปลอดภัย "การป้องกันและตรวจจับการโจมตี DDoS" ผ่านการปรับใช้ฟรอนต์เอนด์ของ "Network Inline Bypass" จากนั้นอุปกรณ์ป้องกัน DDoS จากนั้นเชื่อมต่อกับ "Network Inline Bypass" ใน "Traction Protector" ตามปกติ "ถึงปริมาณการรับส่งข้อมูลเต็มความเร็วของสายในเวลาเดียวกัน มิเรอร์การไหลจะส่งออกไปยัง "อุปกรณ์ป้องกันการโจมตี DDoS" เมื่อตรวจพบ IP ของเซิร์ฟเวอร์ (หรือเซกเมนต์เครือข่าย IP) หลังจากการโจมตี "อุปกรณ์ป้องกันการโจมตี DDoS" จะสร้างกฎการจับคู่การไหลของข้อมูลเป้าหมายและส่งไปยัง "Network Inline Bypass" ผ่านอินเทอร์เฟซการส่งมอบนโยบายแบบไดนามิก "Network Inline Bypass" สามารถอัปเดต "Traction Traffic Dynamic Traffic" หลังจากได้รับกฎนโยบายแบบไดนามิก "และกฎจะโจมตีเซิร์ฟเวอร์โจมตีทันที "Traction Traffic Dynamic Traffic" ไปยังอุปกรณ์ "ป้องกันและตรวจจับการโจมตี DDoS" เพื่อประมวลผล เพื่อให้มีประสิทธิผลหลังจากการโจมตี จากนั้นจึงฉีดกลับเข้าไปในเครือข่าย
รูปแบบการใช้งานที่ใช้ "Network Inline Bypass" นั้นง่ายต่อการนำไปใช้งานมากกว่าการฉีดเส้นทาง BGP แบบดั้งเดิมหรือรูปแบบการรับส่งข้อมูลอื่นๆ และสภาพแวดล้อมก็ขึ้นอยู่กับเครือข่ายน้อยลง และความน่าเชื่อถือก็สูงขึ้นด้วย
“Network Inline Bypass” มีคุณลักษณะต่อไปนี้เพื่อรองรับการป้องกันการตรวจจับความปลอดภัยนโยบายแบบไดนามิก:
1. "Network Inline Bypass" เพื่อให้ใช้งานได้นอกเหนือกฎเกณฑ์โดยใช้อินเทอร์เฟซ WEBSERIVCE และสามารถบูรณาการกับอุปกรณ์ความปลอดภัยของบริษัทอื่นได้อย่างง่ายดาย
2. “Network Inline Bypass” ที่ใช้ชิป ASIC ฮาร์ดแวร์บริสุทธิ์ในการส่งต่อแพ็คเก็ตความเร็วสายสูงสุดถึง 10 Gbps โดยไม่บล็อกการส่งต่อสวิตช์ และ “ไลบรารีกฎไดนามิกการดึงดูดการรับส่งข้อมูล” โดยไม่คำนึงถึงจำนวน
3. “Network Inline Bypass” มีฟังก์ชั่น BYPASS ในตัวแบบมืออาชีพ แม้ว่าตัวป้องกันเองจะล้มเหลว ก็สามารถข้ามลิงก์อนุกรมเดิมได้ทันที โดยไม่ส่งผลกระทบต่อลิงก์การสื่อสารเดิม
เวลาโพสต์: 23-12-2021
