1. แพ็กเก็ตข้อมูลการเต้นของหัวใจ (Define Heartbeat Packet) คืออะไร?
โดยค่าเริ่มต้น แพ็กเก็ตสัญญาณชีพจรของสวิตช์บายพาสเครือข่าย Mylinking™ Network Tap จะเป็นเฟรมอีเธอร์เน็ตเลเยอร์ 2 เมื่อใช้งานโหมดบริดจ์เลเยอร์ 2 แบบโปร่งใส (เช่น IPS / FW) เฟรมอีเธอร์เน็ตเลเยอร์ 2 จะถูกส่งต่อ บล็อก หรือทิ้งไปตามปกติ ในขณะเดียวกัน สวิตช์บายพาสเครือข่าย Mylinking™ Network Tap รองรับรูปแบบข้อความสัญญาณชีพจรแบบกำหนดเอง เพื่อแก้ไขสถานการณ์ที่อุปกรณ์รักษาความปลอดภัยแบบอนุกรมบางชนิดไม่สามารถส่งต่อเฟรมอีเธอร์เน็ตเลเยอร์ 2 ทั่วไปได้
นอกจากนี้ Mylinking™ Network Tap Bypass Switch ยังรองรับการตรวจจับแพ็กเก็ต Heartbeat โดยอิงตามแท็ก VLAN, ประเภทข้อความแบบกำหนดเอง Layer 3 และ Layer 4 ด้วยกลไกนี้ ผู้ใช้สามารถใช้งานฟังก์ชันทดสอบความปลอดภัยของอุปกรณ์รักษาความปลอดภัยการเชื่อมต่อ เพื่อให้มั่นใจได้ว่าบริการรักษาความปลอดภัยที่เกี่ยวข้องทำงานได้อย่างถูกต้องและมีประสิทธิภาพมากยิ่งขึ้น
สวิตช์บายพาส Network Tap ของ Mylinking™ สามารถรองรับการส่งแพ็กเก็ต Heartbeat ที่แตกต่างกันในทั้งสองทิศทางได้ ตัวอย่างเช่น แพ็กเก็ต Heartbeat ประเภท TCP และ UDP สามารถปรับแต่งได้บน “Strategy Traffic Traction Protector” ตามลักษณะเฉพาะของอุปกรณ์อนุกรม คุณสามารถกำหนดค่าการส่งแพ็กเก็ต Heartbeat ประเภท TCP บนพอร์ตอัปลิงก์ของมอนิเตอร์ A และการส่งแพ็กเก็ต Heartbeat ประเภท UDP บนพอร์ตดาวน์ลิงก์ของมอนิเตอร์ B เพื่อรองรับกลไกการส่งต่อข้อความของอุปกรณ์รักษาความปลอดภัยอนุกรม ฟังก์ชันนี้สามารถรับประกันการเชื่อมต่ออุปกรณ์รักษาความปลอดภัยให้ทำงานได้อย่างปกติอย่างมีประสิทธิภาพมากขึ้น
สวิตช์บายพาสแบบอินไลน์เครือข่าย Mylinking™ ได้รับการวิจัยและพัฒนาขึ้นเพื่อการใช้งานที่ยืดหยุ่นสำหรับอุปกรณ์รักษาความปลอดภัยแบบอนุกรมประเภทต่างๆ ในขณะเดียวกันก็ให้ความน่าเชื่อถือของเครือข่ายในระดับสูง
สวิตช์บายพาสแบบอินไลน์ 2 ช่องสัญญาณ คุณสมบัติและเทคโนโลยีขั้นสูง
เทคโนโลยีโหมดป้องกัน “SpecFlow” และโหมดป้องกัน “FullLink” ของ Mylinking™
เทคโนโลยีป้องกันการสลับบายพาสเร็ว Mylinking™
เทคโนโลยี “LinkSafeSwitch” ของ Mylinking™
เทคโนโลยีการส่งต่อ/ออกกลยุทธ์แบบไดนามิก “WebService” ของ Mylinking™
เทคโนโลยีตรวจจับข้อความการเต้นของหัวใจอัจฉริยะ Mylinking™
เทคโนโลยีข้อความแสดงจังหวะการเต้นของหัวใจที่กำหนดเองได้ Mylinking™
เทคโนโลยีการปรับสมดุลโหลดแบบหลายลิงก์ Mylinking™
เทคโนโลยีการกระจายปริมาณการใช้งานอัจฉริยะ Mylinking™
เทคโนโลยีการปรับสมดุลโหลดแบบไดนามิก Mylinking™
เทคโนโลยีการจัดการระยะไกล Mylinking™ (HTTP/WEB, TELNET/SSH, คุณลักษณะ “EasyConfig/AdvanceConfig”)
3. การใช้งานสวิตช์บายพาสแบบอินไลน์สำหรับเครือข่าย (ดังต่อไปนี้)
3.1 ความเสี่ยงของอุปกรณ์รักษาความปลอดภัยแบบอินไลน์ (IPS / FW)
ต่อไปนี้เป็นโหมดการติดตั้งระบบป้องกันการบุกรุก (IPS) และไฟร์วอลล์ (FW) ทั่วไป โดย IPS/FW จะถูกติดตั้งแบบอนุกรมกับอุปกรณ์เครือข่าย (เราเตอร์ สวิตช์ ฯลฯ) เพื่อตรวจสอบความปลอดภัยของทราฟฟิกระหว่างกัน และตามนโยบายความปลอดภัยที่เกี่ยวข้อง จะพิจารณาอนุญาตหรือบล็อกทราฟฟิกที่เกี่ยวข้อง เพื่อให้บรรลุผลในการป้องกันความปลอดภัย
ในขณะเดียวกัน เราสามารถมองว่า IPS/FW เป็นอุปกรณ์ที่ติดตั้งแบบอนุกรม ซึ่งมักติดตั้งในตำแหน่งสำคัญของเครือข่ายองค์กร เพื่อใช้มาตรการรักษาความปลอดภัยแบบอนุกรม ความน่าเชื่อถือของอุปกรณ์ที่เชื่อมต่อจะส่งผลโดยตรงต่อความพร้อมใช้งานของเครือข่ายองค์กรโดยรวม เมื่ออุปกรณ์อนุกรมเหล่านี้ทำงานหนักเกินไป เกิดข้อผิดพลาด การอัปเดตซอฟต์แวร์ การอัปเดตนโยบาย ฯลฯ ความพร้อมใช้งานของเครือข่ายองค์กรทั้งหมดจะได้รับผลกระทบอย่างมาก ในจุดนี้ เราทำได้เพียงตัดการเชื่อมต่อเครือข่ายหรือใช้สายเชื่อมต่อแบบบายพาสเพื่อกู้คืนเครือข่าย ซึ่งส่งผลกระทบอย่างร้ายแรงต่อความน่าเชื่อถือของเครือข่าย IPS/FW และอุปกรณ์อนุกรมอื่นๆ ในด้านหนึ่งช่วยเพิ่มความปลอดภัยของเครือข่ายองค์กร ในอีกด้านหนึ่งก็ลดความน่าเชื่อถือของเครือข่ายองค์กรและเพิ่มความเสี่ยงที่เครือข่ายจะไม่สามารถใช้งานได้
3.2 การป้องกันอุปกรณ์ซีรี่ส์ Inline Link
Mylinking™ “Network Inline Bypass” ถูกติดตั้งแบบอนุกรมระหว่างอุปกรณ์เครือข่าย (เราเตอร์ สวิตช์ ฯลฯ) โดยที่การไหลของข้อมูลระหว่างอุปกรณ์เครือข่ายจะไม่ผ่าน IPS/FW โดยตรงอีกต่อไป “Network Inline Bypass” จะเชื่อมต่อไปยัง IPS/FW แทน เมื่อ IPS/FW เกิดความล้มเหลวเนื่องจากโอเวอร์โหลด ขัดข้อง การอัปเดตซอฟต์แวร์ การอัปเดตนโยบาย หรือสภาวะอื่นๆ “Network Inline Bypass” จะตรวจจับข้อความ Heartbeat อัจฉริยะเพื่อตรวจจับได้ทันท่วงที และข้ามอุปกรณ์ที่ผิดพลาดไปโดยไม่ขัดจังหวะเครือข่าย ทำให้สามารถเชื่อมต่ออุปกรณ์เครือข่ายโดยตรงเพื่อปกป้องการสื่อสารของเครือข่ายตามปกติได้อย่างรวดเร็ว นอกจากนี้ เมื่อ IPS/FW ล้มเหลวและกำลังกู้คืน ระบบก็จะตรวจจับแพ็กเก็ต Heartbeat อัจฉริยะเพื่อกู้คืนการเชื่อมต่อเดิมและตรวจสอบความปลอดภัยของเครือข่ายองค์กรได้เช่นกัน
Mylinking™ “Network Inline Bypass” มีฟังก์ชันตรวจจับข้อความชีพจรแบบอัจฉริยะที่มีประสิทธิภาพ ผู้ใช้สามารถปรับแต่งช่วงเวลาชีพจรและจำนวนครั้งการลองใหม่สูงสุดได้ ผ่านข้อความชีพจรแบบกำหนดเองบน IPS/FW สำหรับการทดสอบสถานะ เช่น ส่งข้อความตรวจสอบชีพจรไปยังพอร์ตอัปสตรีม/ดาวน์สตรีมของ IPS/FW จากนั้นรับข้อความจากพอร์ตอัปสตรีม/ดาวน์สตรีมของ IPS/FW และตัดสินว่า IPS/FW ทำงานปกติหรือไม่โดยการส่งและรับข้อความชีพจร
3.3 นโยบาย “SpecFlow” การไหลของระบบป้องกันการลื่นไถลแบบอินไลน์
เมื่ออุปกรณ์เครือข่ายรักษาความปลอดภัยจำเป็นต้องจัดการกับทราฟฟิกเฉพาะในระบบป้องกันความปลอดภัยแบบอนุกรมเท่านั้น ฟังก์ชันการประมวลผลทราฟฟิกแบบ "Network Inline Bypass" ของ Mylinking™ จะใช้กลยุทธ์การคัดกรองทราฟฟิกเพื่อส่งทราฟฟิก "ที่เกี่ยวข้อง" ของอุปกรณ์รักษาความปลอดภัยกลับไปยังลิงก์เครือข่ายโดยตรง และ "ส่วนของทราฟฟิกที่เกี่ยวข้อง" จะถูกส่งต่อไปยังอุปกรณ์รักษาความปลอดภัยแบบอินไลน์เพื่อทำการตรวจสอบความปลอดภัย วิธีนี้ไม่เพียงแต่จะรักษาการทำงานปกติของฟังก์ชันการตรวจจับความปลอดภัยของอุปกรณ์รักษาความปลอดภัยเท่านั้น แต่ยังช่วยลดภาระการทำงานที่ไม่เกิดประสิทธิภาพของอุปกรณ์รักษาความปลอดภัยอีกด้วย ในขณะเดียวกัน "Network Inline Bypass" ยังสามารถตรวจจับสภาพการทำงานของอุปกรณ์รักษาความปลอดภัยแบบเรียลไทม์ได้ หากอุปกรณ์รักษาความปลอดภัยทำงานผิดปกติ ทราฟฟิกข้อมูลจะถูกส่งต่อไปยังอุปกรณ์รักษาความปลอดภัยโดยตรงเพื่อหลีกเลี่ยงการหยุดชะงักของบริการเครือข่าย
3.4 การป้องกันแบบอนุกรมที่สมดุลโหลด
ระบบ “Network Inline Bypass” ของ Mylinking™ ถูกติดตั้งแบบอนุกรมระหว่างอุปกรณ์เครือข่าย (เราเตอร์ สวิตช์ ฯลฯ) เมื่อประสิทธิภาพการประมวลผลของ IPS/FW ตัวเดียวไม่เพียงพอต่อปริมาณการรับส่งข้อมูลสูงสุดของลิงก์เครือข่าย ฟังก์ชันการกระจายโหลดการรับส่งข้อมูลของอุปกรณ์ป้องกัน จะทำการ “รวมกลุ่ม” การประมวลผลลิงก์เครือข่ายของ IPS/FW หลายตัวเข้าด้วยกัน ซึ่งจะช่วยลดภาระการประมวลผลของ IPS/FW ตัวเดียวได้อย่างมีประสิทธิภาพ และเพิ่มประสิทธิภาพการประมวลผลโดยรวมให้ตรงตามข้อกำหนดของสภาพแวดล้อมการใช้งานที่มีแบนด์วิดท์สูง
Mylinking™ “Network Inline Bypass” มีฟังก์ชันการกระจายโหลดที่มีประสิทธิภาพ โดยจะกระจายการรับส่งข้อมูลแบบแฮชตามแท็ก VLAN ของเฟรม ข้อมูล MAC ข้อมูล IP หมายเลขพอร์ต โปรโตคอล และข้อมูลอื่นๆ เพื่อให้มั่นใจว่า IPS/FW แต่ละตัวได้รับข้อมูลที่มีความสมบูรณ์ของเซสชัน
3.5 การป้องกันการไหลของอุปกรณ์แบบอินไลน์หลายอนุกรม (เปลี่ยนการเชื่อมต่อแบบอนุกรมเป็นการเชื่อมต่อแบบขนาน)
ในการเชื่อมต่อที่สำคัญบางส่วน (เช่น จุดเชื่อมต่ออินเทอร์เน็ต จุดเชื่อมต่อแลกเปลี่ยนข้อมูลเซิร์ฟเวอร์) ตำแหน่งที่ตั้งมักถูกกำหนดขึ้นเนื่องจากความต้องการด้านความปลอดภัยและการติดตั้งอุปกรณ์ทดสอบความปลอดภัยแบบอินไลน์หลายตัว (เช่น ไฟร์วอลล์ อุปกรณ์ป้องกันการโจมตี DDOS ไฟร์วอลล์แอปพลิเคชันเว็บ อุปกรณ์ป้องกันการบุกรุก ฯลฯ) การติดตั้งอุปกรณ์ตรวจจับความปลอดภัยหลายตัวพร้อมกันแบบอนุกรมบนการเชื่อมต่อจะเพิ่มจุดอ่อนของการเชื่อมต่อ ลดความน่าเชื่อถือโดยรวมของเครือข่าย และในการติดตั้งอุปกรณ์รักษาความปลอดภัยดังกล่าว การอัปเกรดอุปกรณ์ การเปลี่ยนอุปกรณ์ และการดำเนินการอื่นๆ จะทำให้เครือข่ายหยุดชะงักเป็นเวลานาน และต้องมีการตัดโครงการขนาดใหญ่เพื่อให้การดำเนินโครงการสำเร็จลุล่วงไปด้วยดี
ด้วยการใช้งาน “Network Inline Bypass” ในลักษณะที่เป็นเอกภาพ โหมดการใช้งานของอุปกรณ์รักษาความปลอดภัยหลายตัวที่เชื่อมต่อแบบอนุกรมบนลิงก์เดียวกันสามารถเปลี่ยนจาก “โหมดการเชื่อมต่อทางกายภาพ” เป็น “โหมดการเชื่อมต่อทางกายภาพและตรรกะ” เพื่อเพิ่มความน่าเชื่อถือของลิงก์ที่มีจุดล้มเหลวเพียงจุดเดียว ในขณะที่ “Network Inline Bypass” จะดึงการไหลของข้อมูลตามความต้องการบนลิงก์ เพื่อให้ได้ผลลัพธ์การประมวลผลที่ปลอดภัยเช่นเดียวกับโหมดเดิม
แผนภาพการติดตั้งอุปกรณ์รักษาความปลอดภัยแบบอนุกรมที่แสดงอุปกรณ์รักษาความปลอดภัยมากกว่าหนึ่งตัวพร้อมกัน:
แผนภาพการติดตั้งสวิตช์บายพาสแบบอินไลน์ในเครือข่าย:
3.6 อิงตามกลยุทธ์เชิงพลวัตของการตรวจจับและป้องกันความปลอดภัยในการขับเคลื่อนการจราจร
“การบายพาสแบบอินไลน์ของเครือข่าย” อีกหนึ่งสถานการณ์การใช้งานขั้นสูงนั้นอยู่บนพื้นฐานของกลยุทธ์แบบไดนามิกในการตรวจจับและป้องกันความปลอดภัยของการรับส่งข้อมูล โดยมีวิธีการใช้งานดังแสดงด้านล่าง:
ยกตัวอย่างเช่น อุปกรณ์ทดสอบความปลอดภัย “การป้องกันและตรวจจับการโจมตี DDoS” โดยการติดตั้ง “Network Inline Bypass” ไว้ที่ส่วนหน้า จากนั้นเชื่อมต่ออุปกรณ์ป้องกัน DDoS เข้ากับ “Network Inline Bypass” จากนั้น “Traction protector” จะทำการส่งต่อปริมาณการรับส่งข้อมูลด้วยความเร็วสูงสุดตามปกติ และในขณะเดียวกันก็ส่งข้อมูลไปยัง “อุปกรณ์ป้องกัน DDoS” เมื่อตรวจพบการโจมตีที่ IP เซิร์ฟเวอร์ (หรือส่วนของเครือข่าย IP) “อุปกรณ์ป้องกัน DDoS” จะสร้างกฎการจับคู่การรับส่งข้อมูลเป้าหมายและส่งไปยัง “Network Inline Bypass” ผ่านอินเทอร์เฟซการส่งนโยบายแบบไดนามิก “Network Inline Bypass” สามารถอัปเดต “traffic traction dynamic” หลังจากได้รับกฎนโยบายแบบไดนามิกแล้ว และจะส่งกฎนั้นไปยัง “อุปกรณ์ป้องกันและตรวจจับการโจมตี DDoS” เพื่อประมวลผลทันที เพื่อให้การโจมตีมีผลและส่งกลับเข้าสู่เครือข่ายอีกครั้ง
รูปแบบการใช้งานที่อิงตาม "Network Inline Bypass" นั้นง่ายต่อการใช้งานมากกว่าการฉีดเส้นทาง BGP แบบดั้งเดิมหรือรูปแบบการดึงทราฟฟิกอื่นๆ และสภาพแวดล้อมนั้นพึ่งพาเครือข่ายน้อยกว่าและมีความน่าเชื่อถือสูงกว่า
“Network Inline Bypass” มีคุณลักษณะดังต่อไปนี้เพื่อรองรับการตรวจจับและป้องกันความปลอดภัยตามนโยบายแบบไดนามิก:
1. “การบายพาสแบบอินไลน์เครือข่าย” เพื่อให้สามารถเข้าถึงข้อมูลภายนอกโดยไม่ต้องอิงตามกฎเกณฑ์บนอินเทอร์เฟซเว็บเซอร์วิส ทำให้สามารถผสานรวมกับอุปกรณ์รักษาความปลอดภัยของบุคคลที่สามได้อย่างง่ายดาย
2. “Network Inline Bypass” ซึ่งใช้ชิป ASIC บริสุทธิ์ในการส่งต่อแพ็กเก็ตความเร็วสูงสุด 10Gbps โดยไม่ปิดกั้นการส่งต่อของสวิตช์ และ “ไลบรารีของกฎการดึงทราฟฟิกแบบไดนามิก” โดยไม่คำนึงถึงจำนวน
3. “Network Inline Bypass” เป็นฟังก์ชัน BYPASS ระดับมืออาชีพในตัว แม้ว่าตัวป้องกันเองจะล้มเหลว ก็สามารถบายพาสลิงก์อนุกรมเดิมได้ทันที โดยไม่ส่งผลกระทบต่อการสื่อสารปกติของลิงก์เดิม
วันที่โพสต์: 23 ธันวาคม 2021
