Mylinking™ Network Packet Broker más conmutador de derivación en línea ML-BYPASS-M2000
Módulo de derivación: 8*10G SFP+ y 4*100GE, Módulo de monitorización: 16*10GE SFP+ y 4*100GE, Máx. 2,4 Tbps
1-Información general
Con el rápido desarrollo de Internet, la amenaza a la seguridad de la información en la red se agrava, por lo que se utilizan cada vez más aplicaciones de protección de la seguridad de la información. Ya sea mediante equipos de control de acceso tradicionales (cortafuegos) o nuevos tipos de medios de protección más avanzados como sistemas de prevención de intrusiones (IPS), plataformas unificadas de gestión de amenazas (UTM), sistemas anti-ataques de denegación de servicio (Anti-DDoS), pasarelas anti-spam, sistemas unificados de identificación y control de tráfico DPI, y muchos otros dispositivos de seguridad se implementan en serie en los nodos clave de la red, aplicando la política de seguridad de datos correspondiente para identificar y gestionar el tráfico legal e ilegal. Sin embargo, al mismo tiempo, en un entorno de aplicación de red de alta fiabilidad, la red informática puede generar grandes retrasos o incluso interrupciones en la red en caso de conmutación por error, mantenimiento, actualización, sustitución de equipos, etc., lo que resulta inaceptable para los usuarios.
El ML-BYPASS-M2000 Mylinking™ Network Packet Broker con conmutador de derivación en línea ha sido investigado y desarrollado para permitir el despliegue flexible de diversos tipos de equipos de seguridad en serie, a la vez que proporciona una alta fiabilidad de la red.
Mediante la implementación de Mylinking™ Network Packet Broker más Inline Bypass Switch:
●Los usuarios pueden instalar/desinstalar dispositivos de protección de seguridad de forma flexible sin afectar ni interrumpir la red existente;
● Incorpora una función inteligente de detección de estado para supervisar en tiempo real el funcionamiento normal de los dispositivos de seguridad conectados. Si un dispositivo de seguridad conectado presenta un fallo, el protector lo desactiva automáticamente para mantener la comunicación de red normal.
●La tecnología de protección de tráfico selectiva se puede utilizar para implementar equipos de seguridad de filtrado de tráfico específicos, equipos de auditoría basados en cifrado, etc. Implementa eficazmente la protección de acceso en línea para tipos de tráfico específicos, aliviando la carga de procesamiento de tráfico de los dispositivos en línea.
● La tecnología de protección de tráfico con equilibrio de carga se puede utilizar para implementar dispositivos seguros en línea en clústeres para satisfacer las necesidades de protección de seguridad en línea en entornos con alta presión de ancho de banda.
●Cuenta con capacidades de proxy SSL, cumpliendo con los requisitos de monitoreo y análisis de los dispositivos de protección de seguridad para el contenido de datos en texto plano.
● Posee capacidades básicas de procesamiento de tráfico, como replicación, agregación, filtrado y etiquetado de tráfico, así como capacidades avanzadas de procesamiento de tráfico, como deduplicación, enmascaramiento, identificación de protocolos de capa de aplicación y modelado de tráfico.
2-Mylinking™ Network Packet Broker más conmutador de derivación en línea: funciones y tecnologías avanzadas
Tecnología de modo de protección “SpecFlow” y “FullLink” de Mylinking™
Tecnología de protección de conmutación de derivación rápida Mylinking™
Tecnología Mylinking™ “LinkSafeSwitch”
Tecnología de reenvío/emisión de políticas dinámicas Mylinking™ “WebService”
Tecnología de detección inteligente de paquetes de latidos cardíacos Mylinking™
Mylinking™ Tecnología de paquetes de latidos definibles
Mylinking™ Tecnología de equilibrio de carga multilink
Mylinking™ Tecnología de distribución de tráfico inteligente
Mylinking™ Tecnología de equilibrio de carga dinámico
Mylinking™ Tecnología de administración remota (HTTP/WEB, TELNET/SSH, función “EasyConfig/AdvanceConfig”)
3-Guía de configuración del Mylinking™ Network Packet Broker y del conmutador de derivación en línea
Como se muestra en el diagrama anterior, la unidad completa consta de cuatro ranuras modulares:
Las ranuras SLOT1, SLOT2, SLOT3 y SLOT4 pueden alojar módulos de puerto de protección BYPASS o módulos de puerto MONITOR con diferentes velocidades y número de puertos. Al reemplazar los módulos por modelos distintos, es posible ofrecer protección BYPASS para múltiples enlaces de 10G/40G/100G, así como implementar equipos de monitorización Inline Bypass para dichos enlaces.
Nota: Tanto el módulo BYPASS como el módulo MONITOR admiten la conexión en caliente.
3.1-Lista de especificaciones del módulo
| Modelo de producto | FuncionalPparámetros |
| CHassis | |
| ML-BYPASS-M2000-CHS/AC | Montaje en rack estándar de 2U y 19 pulgadas; consumo máximo de energía de 300 W; unidad principal con protector BYPASS modular; 4 ranuras para módulos; 1 interfaz de consola RS232, 1 interfaz RJ45 de 10/100/1000M con gestión de red externa; fuente de alimentación dual CA-220 V; |
| NT-BYPASS-M2000-CHS/DC | Montaje en rack estándar de 2U y 19 pulgadas; consumo máximo de energía de 300 W; unidad principal con protector BYPASS modular; 4 ranuras para módulos; 1 interfaz de consola RS232, 1 interfaz RJ45 de 10/100/1000M con gestión de red externa; fuente de alimentación dual de CC-48 V; |
| DERIVACIÓNMmódulo | |
| INL-I8XM8X(LM/SM) | Admite protección de conexión en serie de enlace de 4 vías 10GE (compatible con 1G), con un total de 8 interfaces 10GE; admite 8 puertos de monitorización SFP+ de 10G (excluyendo módulos ópticos). |
| INL-I4HM2H (LM/SM) | Admite protección serial de enlace bidireccional de 100GE (compatible con 40GE), con un total de 4 interfaces de 100GE; admite 2 puertos de monitoreo QSFP28 de 100GE (excluyendo módulos ópticos). |
| Módulo de monitorización | |
| MON-M16X | 16 puertos de monitorización SFP+ de 10 GE (excluyendo los módulos ópticos); |
| MON-M16X-CN98 | 16 puertos de monitorización SFP+ de 10 GE (módulo óptico no incluido); equipado con un motor de funciones avanzado, compatible con funciones avanzadas de procesamiento de tráfico como descifrado SSL de derivación, proxy SSL y deduplicación de tráfico; |
| LUN-M4H | 4 puertos de monitorización QSFP28 de 100 GE (módulos ópticos no incluidos); |
| LUN-M4H-CN98 | 4 puertos de monitorización QSFP28 de 100 GE (módulos ópticos no incluidos); equipado con un motor de funciones avanzado que admite funciones avanzadas de procesamiento de tráfico, como descifrado SSL con derivación, proxy SSL y deduplicación de tráfico; |
3.2-Reglas de selección de módulos
En función de los diferentes enlaces protegidos y los requisitos de despliegue de los equipos de monitorización, puede elegir de forma flexible diferentes configuraciones de módulos para satisfacer las necesidades reales de su entorno; siga estas reglas al seleccionar:
1) El chasis es un componente obligatorio y debe seleccionarse antes de elegir cualquier otro módulo. Asimismo, seleccione el método de alimentación (CA/CC) adecuado según sus necesidades.
2) La unidad admite un máximo de 4 ranuras para módulos; no se pueden seleccionar más módulos que el número de ranuras disponibles para la configuración. Gracias a la combinación flexible de diferentes modelos de módulos, la unidad puede admitir protección serial para hasta 16 enlaces 10GE/GE u 8 enlaces 100GE/40GE.
4-Capacidades de procesamiento de tráfico inteligente
4.1-Implementación en línea
Protección específica en línea para tráfico
Es compatibleEn línea(de serie)modo de protección para tipos de tráfico específicos en cualquieren líneaenlace.Toreenviar algunos tipos de tráfico especificados por el usuario en elen líneaenlace alEn línea Sseguridaddispositivopara su procesamiento, y el resto del tráfico se reenvía directamente sin pasar por elEn línea Sseguridaddispositivo. Al mismo tiempo,itrealiza una monitorización en tiempo real del estado de funcionamiento deEn línea Sseguridaddispositivo. Una vez que se detectó el estado anormal de procesamiento del tráfico,itSe excluirá automáticamente de la ruta de transmisión del tráfico para garantizar la continuidad del servicio de red.
Protección en línea para todo el tráfico
Es compatibleEn línea(de serie)modo de protección para todos los tipos de tráfico en cualquieren líneaenlace.Totransmitir todo el tráfico en elen líneaenlace alEn línea Sseguridaddispositivopara su procesamiento y supervisar el estado de ejecución de la seguridad en línea.dispositivoen tiempo real. Una vez que se detecte el estado anormal de procesamiento del tráfico,itSe excluirá automáticamente de la ruta de transmisión del tráfico para garantizar la continuidad del servicio de red.
Balance de carga
Tiene capacidad de equilibrio de carga de tráfico inteligente. Cuando el rendimiento de procesamiento de un soloEn línea Sseguridaddispositivono es suficiente para lidiar con elen líneaenlazar el tráfico de comunicación, puede asignar elen líneaEnlace el tráfico a las interfaces de N Monitor configurando un grupo de equilibrio de carga. Según la información MAC, IP, número de puerto, protocolo y otra información,itrealiza opcionalmente la salida de equilibrio de carga del algoritmo Hash, de modo que elen líneaEl tráfico de enlace se distribuye uniformemente a múltiplesen líneaseguridadherramientas para el procesamiento en clúster, lo que mejora eficazmente el rendimiento general del procesamiento delen líneaseguridadherramientas. Para adaptarse a los requisitos de escenarios de aplicaciones de alto ancho de banda y gran tráfico.
Detección de paquetes de latidos cardíacos
Es compatibleTxyRxpaquetes de detección de latidos cardíacos a través del enlace ascendente y descendente de la conexiónen líneadispositivos de seguridad y detecta elherramientas en líneaestado de funcionamiento y si el proceso de procesamiento del tráfico es normal. El latido bidireccionalpaqueteEl mecanismo de detección puede reflejar con mayor precisión el estado de funcionamiento actual delen líneaseguridaddispositivoy garantizar de forma más eficaz el funcionamiento normal de la red.
Puede personalizar los parámetros del latido cardíaco de cualquieren líneadispositivo de seguridad, como el latido del corazónTxtiempo de intervalo, número máximo de reintentos de latido cardíaco, latido cardíacoTxdirección, etc. Puede detectar y juzgar el estado de falla deen líneaLos dispositivos de seguridad se activan a tiempo y permiten una conmutación de derivación rápida de los enlaces de protección.
Los paquetes de detección de latidos son tramas Ethernet de capa 2 por defecto. Cuando se implementa el modo de puente de capa 2 transparente (como IPS/FW), las tramas Ethernet de capa 2 se reenviarán normalmente sin bloqueo ni pérdida. Al mismo tiempo, también puede admitir paquetes de detección de latidos Ethernet personalizados de capa 2, capa 3 y capa 4 para adaptarse a algunas necesidades especiales.en líneaLos dispositivos de seguridad normalmente no pueden reenviar tramas Ethernet de capa 2 ordinarias.
Basándose en el mecanismo anterior, los usuarios pueden comprobar el estado de los dispositivos de seguridad conectados en función del nivel de servicio, lo que permite garantizar el funcionamiento normal de los servicios de seguridad de forma más eficaz.
Conmutación de derivación
Admite muy bajo índice de derivacióntraspuestaretardo (<8 ms), y los usuarios apenas notan el impacto en la red cuando el dispositivo realiza el bypass.traspuestaAl mismo tiempo, la tecnología de conmutación de enlaces específica del dispositivo puede garantizar que el estado del enlace principal no se vea afectado durante la derivación.traspuestaEsta tecnología garantizará que el bypasstraspuestaes más seguro y no provocará que el protocolo de topología de capa 2/capa 3 de los enlaces protegidos se vuelva a calcular y converja, para minimizar el impacto en la red del usuario durante eltraspuesta.
Bloqueo de tráfico
Cuando el dispositivo de seguridad detecta conexiones de sesión ilegales o anormales en el tráfico y necesita bloquearlas a tiempo, el dispositivo puede interceptar cualquier paquete especificado en el tráfico de subida/bajada delen líneaEnlace basado en las condiciones del filtro de coincidencia de tuplas para garantizar el funcionamiento seguro de los servicios de red.
Espejo de tráfico
Además de la protección del tráfico del enlace en línea y del dispositivo de seguridad en línea (como IPS, WAF), cualquier tráfico duplicado de SPAN también puede enviarse al sistema de monitoreo de seguridad de SPAN (como IDS, APT), para cumplir con los requisitos de implementación del monitoreo de datos de tráfico de SPAN o las pruebas y verificación de tráfico.
Proxy SSL
Mediante la función de proxy SSL, el paquete cifrado original se descifra y se envía al sistema de protección de seguridad en línea. A continuación, los datos descifrados se restauran y se envían de vuelta al enlace original, de manera que se proporcionan al sistema de protección de seguridad en línea sin afectar la transmisión de datos cifrados en el enlace original del usuario, y se permite la monitorización y el análisis de los datos cifrados por parte del sistema de análisis.
4.2-Despliegue de SPAN
Replicación del tráfico de red
Es compatibleEn línea(de serie)modo de protección para tipos de tráfico específicos en cualquieren líneaenlace.Toreenviar algunos tipos de tráfico especificados por el usuario en elen líneaenlace alEn línea Sseguridaddispositivopara su procesamiento, y el resto del tráfico se reenvía directamente sin pasar por elEn línea Sseguridaddispositivo. Al mismo tiempo,itrealiza una monitorización en tiempo real del estado de funcionamiento deEn línea Sseguridaddispositivo. Una vez que se detectó el estado anormal de procesamiento del tráfico,itSe excluirá automáticamente de la ruta de transmisión del tráfico para garantizar la continuidad del servicio de red.
Agregación de tráfico de red
El tráfico de entrada original y el tráfico preprocesado se pueden copiar a una señal de canal N según la señal de canal 1 o copiar a una señal de canal M después de la agregación de la señal de canal N en el reenvío a velocidad de línea GE, 10GE, 40G y 100G, lo que resuelve perfectamente la necesidad de implementar más de dos dispositivos de derivación de escucha de puertos múltiples en la red al mismo tiempo.
Distribución/Reenvío de datos
Clasificó con precisión los metadatos entrantes y descartó o reenvió diferentes servicios de datos a múltiples salidas de interfaz según las reglas predefinidas por el usuario.
Filtrado de datos de paquetes
Los datos de entradatráficose puede clasificar con precisión y se pueden aplicar reglas de lista blanca o lista negra a diferentes servicios de datos, y se pueden descartar o reenviar múltiples salidas de interfaz. Admite una combinación flexible basada en el tipo de Ethernet, la etiqueta VLAN y la quíntupla IP.TCPidentificador, características del paquete y otros elementos para cumplir con los requisitos de implementación de diversos equipos de seguridad de red, análisis de protocolo, análisis de señalización y otras funciones de monitoreo de tráfico.
Balance de carga
El balanceo de carga del algoritmo Hash opcional se puede realizar de acuerdo con las características de la capa interna y externa de L2-L4 para garantizar la integridad de la sesión del flujo de datos recibido por elDURARDispositivo de monitorización. Cuando cambia el estado del enlace, los miembros del grupo de puertos de descarga pueden salir (enlace INACTIVO) o unirse (enlace ACTIVO) de forma flexible, y el grupo de descarga puede redistribuir automáticamente el tráfico para garantizar el equilibrio de carga dinámico del tráfico de salida del puerto.
Etiquetado con VLAN
VLAN sin etiquetar
VLAN reemplazada
Admite la coincidencia de cualquier campo clave en los primeros 128 bytes de un paquete. El usuario puede personalizar el valor de desplazamiento, la longitud y el contenido del campo clave, y determinar la política de salida de tráfico según su configuración.
Sello de tiempo
Apoyado a Sincronizar el servidor NTP para corregir la hora y escribir el mensaje en el paquete en forma de una etiqueta de tiempo relativa con una marca de tiempo al final de la trama, con una precisión de nanosegundos.
Desmontaje de la encapsulación del túnel
Admite la eliminación de la cabecera VxLAN, VLAN, GRE, GTP, MPLS e IPIP en el paquete de datos original y en la salida reenviada.
Segmentación de datos/paquetes
Es compatiblerebanada de paqueteLos datos originales se basan en la interfaz de entrada y salida de tráfico a nivel de política (64, 96, 128, 160, 192, 224, 256, 288, 320, 384, 512, 640, 768, 896, 960 bytes son opcionales), y la política de salida de tráfico se puede implementar de acuerdo con la configuración del usuario.
Identificación del protocolo de tunelización
Admite la identificación automática de varios protocolos de tunelización, como GTP, GRE, VxLAN, PPTP, L2TP, PPPOE e IPIP. Según la configuración del usuario, la estrategia de salida de tráfico se puede implementar en función de la capa interna o externa del túnel.
Prioridad de reenvío de paquetes
Permite definir la prioridad de los paquetes de datos según la importancia del servicio en el puerto de entrada, y los paquetes de alta prioridad se reenvían preferentemente en la salida. Tras el reenvío de los paquetes de alta prioridad, se reenvían los demás paquetes de prioridad media y baja. Esto evita las alarmas del sistema de análisis causadas por la pérdida de paquetes de datos importantes.
Anormal alarmante
Admite alarmas de monitorización en tiempo real y registros históricos de alarmas de las tendencias del tráfico de la interfaz según la configuración de umbrales. Admite alarmas de monitorización en tiempo real y registros históricos de alarmas según el estado de salud del hardware del dispositivo (CPU, memoria, temperatura, ventilador, fuente de alimentación, etc.).
Copia de seguridad en caliente de la interfaz
Admite una configuración de interfaz de entrada 1+1 primaria/en espera, una configuración de interfaz de salida 1+1 primaria/en espera y una configuración de grupo de equilibrio de carga N+1 primaria/en espera para lograr una alta fiabilidad en el proceso de tráfico desde la entrada hasta la salida.
Medición de microrráfagas de tráfico
Puede detectar en tiempo real la hora de aparición, la duración y la tasa de ráfaga de las microráfagas de tráfico, y proporciona un registro histórico de las mediciones, lo que ofrece medios y bases cuantificables y observables para la resolución de problemas de operación y mantenimiento, así como para la detección de pérdida de paquetes.
Protección contra oscilaciones de interfaz
Permite la detección y protección de eventos de oscilación de enlace (activo/inactivo) de cualquier interfaz, con el fin de evitar la pérdida de tráfico de entrada y salida causada por los frecuentes cambios de enlace de las interfaces y mejorar la estabilidad de la recopilación y el reenvío del tráfico.
Salida de encapsulación de túnel
Admite la encapsulación de túneles de tipo ERSPAN2, GRE, VXLAN y NVGRE para cualquier tráfico recopilado y su salida, con el fin de cumplir con los requisitos de la aplicación para la transmisión del tráfico recopilado a un sistema de análisis remoto.
Terminación de paquetes de túnel
Admite la función de terminación de mensajes de túnel. Esta función permite configurar direcciones IP/máscaras y direcciones MAC en el puerto de entrada de tráfico. Permite la transmisión directa del tráfico que debe recopilarse en la red del usuario mediante métodos de encapsulación de túnel como GRE, GTP y VXLAN hasta el puerto de recopilación del dispositivo.
Descifrado SSL de SPAN
Se admite la carga del certificado SSL correspondiente para su descifrado. Tras el descifrado de los datos cifrados mediante HTTPS para el tráfico especificado, se reenviarán a los sistemas de monitorización y análisis de back-end según sea necesario. Se admiten TLS 1.0, TLS 1.2 y SSL 3.0.
Deduplicación de datos/paquetes
Admite granularidad estadística a nivel de puerto o de política para comparar datos de múltiples fuentes de recopilación y repeticiones del mismo paquete de datos en un momento específico. Los usuarios pueden elegir diferentes identificadores de paquete (dst.ip, src.port, dst.port, tcp.seq, tcp.ack, dst.mac, src.mac, vlan.id).
Enmascaramiento de fecha clasificado
Se admite la granularidad basada en políticas para reemplazar cualquier campo clave en los datos sin procesar con el fin de proteger la información confidencial. Según la configuración del usuario, se puede implementar la política de salida de tráfico.
Identificación del protocolo de capa de aplicación
Admite la identificación, salida y descarte de protocolos de capa de aplicación según el modo de coincidencia DNS/URL. La biblioteca de funciones DPI se puede integrar para reconocer, mostrar y descartar al menos 1800 tipos de protocolos de aplicación (como audio y video, juegos, mensajería instantánea, bases de datos, correo electrónico, P2P, etc.), y se puede actualizar. Si existen necesidades especiales, también se puede realizar un desarrollo secundario.
Desencapsulación de paquetes definida por el usuario
Admite la función de desencapsulación de paquetes autodefinida, que puede eliminar los campos de encapsulación y el contenido en cualquier posición de los primeros 128 bytes del paquete y mostrarlo.
Modelado del tráfico
Al mismo tiempo, se utiliza tecnología de modelado de tráfico en la interfaz de salida para enviar el flujo de datos de manera fluida a la herramienta de análisis, lo que resuelve fundamentalmente el fenómeno de pérdida de paquetes causado por microráfagas y evita la alarma anormal causada por la pérdida de tráfico en el sistema de análisis.
Coincidencia de palabras clave de paquetes
Una vez que se encuentra una coincidencia con el contenido de cualquier campo en la parte de la carga útil del paquete, el paquete o flujo de sesión asociado se reenvía y se emite o se descarta para cumplir con los requisitos de preprocesamiento de los datos de tráfico específicos.
Desmontaje de la encapsulación del túnel
Admite la salida de encabezados de paquetes VXLAN, MPLS, GRE, SRV6, FABRICPATCH, GENEVE y otros en el paquete de datos original después del proceso de eliminación de encabezados.
Descarga de conexión de larga duración
Según las necesidades del usuario, cualquier flujo de sesión puede ser reenviado y generado en función del número de bytes transmitidos y el número de paquetes transmitidos, y el flujo de sesión subsiguiente puede descartarse, para así cumplir con los requisitos del sistema de análisis de back-end en algunos escenarios específicos, que solo necesita obtener una parte del tráfico del flujo de sesión, reduciendo la presión del análisis de tráfico y mejorando la eficiencia del sistema de análisis.
Análisis estadístico del tráfico
Admite estadísticas de los componentes del tráfico de cualquier interfaz de entrada y puede mostrar su tendencia de tamaño de tráfico, tamaño/proporción de TOPN de dirección IP, tamaño/proporción de TOPN de categoría de protocolo de aplicación, tamaño/proporción de TOPN de nombre de protocolo de aplicación e información de sesión de tráfico en forma de gráficos en tiempo real, y permite exportar los resultados estadísticos a archivos locales. De esta manera, los usuarios pueden comprender con mayor claridad la estructura de composición de cualquier tráfico recopilado y obtener la base de datos más directa para personalizar las estrategias de tráfico y adaptarse a los requisitos cambiantes del negocio.
Visibilidad del tráfico: análisis básico de datos
El módulo de análisis básico de la función de detección de visualización de tráfico puede mostrar la información básica de los datos de tráfico objetivo capturados, como el recuento de paquetes, la distribución de paquetes unicast/multicast/broadcast, el número de conexiones de sesión, la distribución del protocolo de paquetes y el tamaño del tráfico capturado.
Visibilidad del tráfico - Análisis profundo de DPI
El módulo de análisis profundo DPI de la función de detección de visibilidad del tráfico puede realizar un análisis exhaustivo de los datos de tráfico capturados desde múltiples perspectivas y presentar estadísticas detalladas en forma de gráficos y tablas.
Visibilidad del tráfico - Análisis de la proporción de tráfico
● Análisis de la proporción de protocolos de la capa de transporte: como TCP, UDP, ICMP, IGMP, ARP y otros, proporción de paquetes, estadísticas de tráfico y visualización en gráfico circular.
● Análisis de la proporción de tráfico IP: como estadísticas de tráfico generadas por diferentes direcciones IP, clasificación de tráfico basada en IP TOP N y visualización de gráficos de barras.
● Análisis de la proporción de aplicaciones DPI: como HTTP, QQ, FTP y otros protocolos de aplicación, el número de bytes, la distribución estadística del tráfico de comunicación y la visualización en gráfico circular.
Visibilidad del tráfico - Análisis de la cronología del tráfico
Según diferentes condiciones de filtrado, como IP, puerto, protocolo de capa de transporte, protocolo de capa de aplicación y otros contenidos específicos, los datos de tráfico capturados en el objetivo actual se pueden analizar y presentar en función del tiempo de muestreo. El tamaño y la tendencia del tráfico se pueden consultar moviendo el control deslizante de tiempo y ajustando la granularidad estadística, y la precisión puede alcanzar hasta 1 milisegundo.
Visibilidad del tráfico: análisis de la tabla de flujo
Según diferentes condiciones de filtrado, como ID de flujo, IP, puerto, protocolo de capa de transporte, protocolo de capa de aplicación y otros datos específicos, los datos de tráfico capturados se pueden analizar y contabilizar en función del modo de flujo de sesión. Esto incluye la presentación detallada de la información del flujo de sesión, como la información de cinco elementos de cada flujo, el tipo de aplicación que lo transporta, el número y tamaño de los paquetes transmitidos y el flujo de datos asociado. Además, se muestra una clasificación basada en esta información. De esta forma, los usuarios pueden seleccionar fácilmente los tipos de tráfico que les interesan, lo que les proporciona la base más directa para formular políticas de reenvío de tráfico.
Visibilidad del tráfico: análisis de paquetes
En función de diferentes criterios de filtrado, como el ID del paquete, la IP, el puerto, el protocolo de la capa de transporte, el protocolo de la capa de aplicación y otro contenido especificado, los datos de tráfico objetivo capturados pueden proporcionarse con una presentación de análisis a nivel de paquete, que incluye:
● Análisis de la marca de tiempo de recolección de paquetes
● Análisis de información clave de paquetes, como sip, dip, smac, dmac, protocolo, indicador, TTL, longitud del mensaje, eventos clave
● Análisis de la ruta de transmisión de paquetes y visualización de animaciones, tales como: tiempos de reenvío, retardo de reenvío, tipo de reenvío (enrutamiento, conmutación, cortafuegos, equilibrio de carga, NAT)
● Visualización del resumen de la información del paquete y de la estructura detallada.
● Análisis del número de paquetes repetidos recopilados
Visibilidad del tráfico: análisis preciso de fallas
El módulo de análisis de fallos de la función de detección de visibilidad del tráfico puede proporcionar diferentes posiciones de análisis visual de fallos para los datos de tráfico objetivo capturados, entre los que se incluyen:
● Resumen de anomalías, como: resultados del análisis del servicio de red, resultados del análisis de eventos anómalos, análisis del comportamiento del proceso de red (como el número de dispositivos de enrutamiento, dispositivos NAT, dispositivos de firewall, dispositivos de equilibrio de carga que pasan por la transmisión de paquetes).
● Análisis de fallos a nivel de tabla de flujo, como tipos de eventos anómalos (conexión rechazada/conexión sin respuesta/conexión sin transmisión de datos/conexión semiabierta/ruta de sesión inaccesible, etc.). ● Análisis de fallos a nivel de paquete, como: tipo de evento anómalo (error de suma de comprobación del paquete/TTL 0/error de inaccesibilidad/error de suma de comprobación FCS, etc.), descripción detallada de la información anómala y detalles del flujo de datos asociado.
● Análisis de fallos de seguridad, tales como: tipo de evento anómalo (ataque DDOS/bloqueo de firewall/ataque ARP/inundación UDP/inundación SYN, etc.), descripción detallada de la información anómala y detalles del flujo de datos asociado.
● Análisis de fallos de red, tales como: tipo de evento anómalo (bucle de conmutación/bucle de enrutamiento/ruta inaccesible/interrupción de enlace, etc.), descripción detallada de la información anómala y detalles del flujo de datos asociado.
5-Especificaciones del Mylinking™ Network Packet Broker y del conmutador de derivación en línea
| ML-DERIVACIÓN-M2000 Mylinking™ Network Packet Broker más conmutador de derivación en línea Especificaciones funcionales | ||||
| Interfaz de red | Ranura del módulo | 4 ranuras para módulos de derivación o monitorización | ||
| Número de enlaces en línea | Admite la protección de hasta 16 enlaces ópticos de 1G/10G o de 8 enlaces ópticos de 40G/100G. | |||
| Interfaz de monitorización del monitor | Admite un máximo de 64 interfaces de monitorización de 1G/10GE o 16 interfaces de monitorización de 40G/100G. | |||
| Interfaz de gestión fuera de banda | 1 puerto Ethernet de 10/100/1000M; | |||
| Modo de despliegue | Implementación en línea | Apoyo | ||
| Despliegue de SPAN | Apoyo | |||
| Funciones del sistema | Modo de despliegue en línea | Protección de concatenación de flujo específico | Apoyo | |
| Protección de toda la serie de flujo | Apoyo | |||
| Balanceo de carga | Apoyo | |||
| detección de latidos cardíacos | Apoyo | |||
| Conmutación de derivación | Apoyo | |||
| Bloqueo de tráfico | Apoyo | |||
| Reflejo de tráfico | Apoyo | |||
| Proxy SSL | Apoyo | |||
| Modo de despliegue SPAN | Procesamiento básico del tráfico | Replicación/agregación/distribución de tráfico | Apoyo | |
| Balanceo de carga | Apoyo | |||
| Filtrado de tráfico basado en un identificador de 5 elementos: IP/protocolo/puerto. | Apoyo | |||
| Etiquetado/modificación/eliminación de VLAN | Apoyo | |||
| Marcado de tiempo | Apoyo | |||
| Desmontaje del encapsulado del túnel | Apoyo | |||
| Segmentación de datos | Apoyo | |||
| Identificación del protocolo de tunelización | Apoyo | |||
| Prioridad de reenvío de paquetes | Apoyo | |||
| Advertencia anormal | Apoyo | |||
| Interfaz en espera activa | Apoyo | |||
| Medición de microráfagas | Apoyo | |||
| Protección contra oscilaciones de interfaz | Apoyo | |||
| Salida de encapsulación de túnel | Apoyo | |||
| Terminación de paquetes de túnel | Apoyo | |||
| Procesamiento avanzado del tráfico | Omitir el descifrado SSL | Apoyo | ||
| Eliminación de datos duplicados | Apoyo | |||
| Enmascaramiento de datos | Apoyo | |||
| Identificación del protocolo de la capa de aplicación | Apoyo | |||
| Descapsulación personalizada | Apoyo | |||
| Modelado del flujo | Apoyo | |||
| Coincidencia de palabras clave | Apoyo | |||
| Desmontaje del encapsulado del túnel | Apoyo | |||
| Descarga de conexión de larga duración | Apoyo | |||
| Observación de componentes de flujo | Apoyo | |||
| Diagnóstico y seguimiento | Monitoreo en tiempo real | Apoyo | ||
| Consulta de tráfico histórico | Apoyo | |||
| Captura de tráfico | Apoyo | |||
| detección de visualización de tráfico | Análisis fundamental | Admite la visualización de estadísticas resumidas basadas en información básica como el número de paquetes, la distribución del tipo de paquete, el número de conexiones de sesión y la distribución del protocolo de paquetes. | ||
| Análisis en profundidad de DPI | Admite el análisis de la proporción de protocolos de capa de transporte, la proporción de unidifusión, difusión y multidifusión, la proporción de tráfico IP y la proporción de aplicaciones DPI. Admite el análisis y la presentación del contenido de los datos en función del tiempo de muestreo y el volumen de datos. Admite el análisis de datos y las estadísticas en función de los flujos de sesión. | |||
| Análisis preciso de fallas | Admite el análisis y la localización de fallos utilizando datos de tráfico desde diversas perspectivas, entre las que se incluyen: análisis del comportamiento de transmisión de paquetes, análisis de fallos a nivel de flujo de datos, análisis de fallos a nivel de paquete de datos, análisis de fallos relacionados con la seguridad y análisis de fallos relacionados con la red. | |||
| Capacidad de procesamiento | 2,4 Tbps | |||
| Administrar | CONSOLA Gestión de red | Apoyo | ||
| Gestión de redes IP/WEB | Apoyo | |||
| Gestión de redes SNMP | Apoyo | |||
| Gestión de redes TELNET/SSH | Apoyo | |||
| Protocolo SYSLOG | Apoyo | |||
| Autenticación de autorización centralizada RADIUS o TADACS+ | Apoyo | |||
| Función de autenticación de usuario | Autenticación de nombre de usuario y contraseña | |||
| Eléctrico | Tensión nominal de alimentación | CA-220V/CC-48V [Opcional] | ||
| Frecuencia de potencia nominal | CA-50 Hz | |||
| Corriente de entrada nominal | CA-3A / CC-10A | |||
| Potencia funcional nominal | Máximo 300 W | |||
| Ambiente | Temperatura de funcionamiento | 0-50℃ | ||
| Temperatura de almacenamiento | -20-70℃ | |||
| Humedad de funcionamiento | 10%-95%, sin condensación | |||
| Configuración de usuario | Configuración de la consola | Interfaz RS232, 115200, 8, N, 1 | ||
| autenticación de contraseña | Ssoporte | |||
| Tamaño del estante | Espacio en rack (U) | 2U 444 mm*88 mm*670 mm | ||
6-Aplicación Mylinking™ Network Packet Broker más conmutador de derivación en línea
6.1ElRriesgo deEn línea SseguridadEequipo (IPS / FW)
A continuación se muestra un modo de implementación típico de IPS (Sistema de Prevención de Intrusiones) y FW (Cortafuegos). El IPS/FW se implementa en serie en los equipos de red (enrutadores, conmutadores, etc.) para realizar comprobaciones de seguridad entre el tráfico, de acuerdo con la política de seguridad correspondiente, para determinar si se libera o bloquea dicho tráfico y así lograr el efecto de defensa de seguridad.
A continuación se muestra un modo de implementación típico de IPS (Sistema de Prevención de Intrusiones) y FW (Cortafuegos). El IPS/FW se implementa en serie en los equipos de red (enrutadores, conmutadores, etc.) para realizar comprobaciones de seguridad entre el tráfico, de acuerdo con la política de seguridad correspondiente, para determinar si se libera o bloquea dicho tráfico y así lograr el efecto de defensa de seguridad.
6.2 Protección de equipos de la serie Inline Link
El Mylinking™ Network Packet Broker más el conmutador de derivación en línea se implementan en serie entre dispositivos de red (enrutadores, conmutadores, etc.), y el flujo de datos entre los dispositivos de red ya no conduce directamente al IPS/FW, sino al "Conmutador de derivación en línea inteligente" para IPS/FW, cuando el IPS/FW falla debido a sobrecarga, bloqueo, actualizaciones de software, actualizaciones de políticas u otras condiciones, el "Conmutador de derivación en línea inteligente" mediante la función de detección de mensajes de latido inteligente descubre oportunamente, y así omite el dispositivo defectuoso, sin interrumpir la red principal, conectando rápidamente el equipo de red directamente para proteger la red de comunicación normal; cuando el IPS/FW se recupera de una falla, también mediante la función de detección de paquetes de latido inteligente, se realiza una detección oportuna, restaurando el enlace original para garantizar la seguridad de la red empresarial.
El Mylinking™ Network Packet Broker plus Inline Bypass Switch tiene una potente función inteligente de detección de mensajes de latido. El usuario puede personalizar el intervalo de latido y el número máximo de reintentos, mediante un mensaje de latido personalizado en el IPS/FW para realizar pruebas de estado. Por ejemplo, se envía el mensaje de comprobación de latido al puerto ascendente/descendente del IPS/FW y, a continuación, se recibe desde el puerto ascendente/descendente del IPS/FW, y se determina si el IPS/FW funciona correctamente mediante el envío y la recepción del mensaje de latido.
6.3 Flujo de políticas “SpecFlow” en líneaSeguridadProtección en serie
Cuando el dispositivo de red de seguridad solo necesita gestionar el tráfico específico en la protección de seguridad en serie, mediante la función de preprocesamiento de tráfico del Mylinking™ Network Packet Broker y el conmutador de derivación en línea, a través de la política de filtrado de tráfico para conectar el dispositivo de seguridad en línea, el tráfico "preocupado" se envía directamente al enlace de red, y la "sección de tráfico preocupante" se dirige al dispositivo de seguridad en línea para realizar comprobaciones de seguridad. Esto no solo mantendrá la aplicación normal de la función de detección de seguridad del dispositivo de seguridad, sino que también reducirá el flujo ineficiente del equipo de seguridad para gestionar la presión; al mismo tiempo, el "Conmutador de derivación en línea inteligente" puede detectar el estado de funcionamiento del dispositivo de seguridad en tiempo real. Si el dispositivo de seguridad funciona de forma anómala, desvía directamente el tráfico de datos para evitar la interrupción del servicio de red.
El Mylinking™ Network Packet Broker y el conmutador de derivación en línea pueden identificar el tráfico basándose en el identificador de encabezado de capa L2-L4, como la etiqueta VLAN, la dirección MAC de origen/destino, la dirección IP de origen, el tipo de paquete IP, el puerto del protocolo de capa de transporte, la etiqueta de clave de encabezado de protocolo, etc. Se puede definir una variedad de condiciones de coincidencia y combinaciones flexibles para definir los tipos de tráfico específicos de interés para un dispositivo de seguridad en particular, y puede utilizarse ampliamente para la implementación de dispositivos especiales de auditoría de seguridad (RDP, SSH, auditoría de bases de datos, etc.).
6.4Load balanceadoSeguridad en líneaProtección en serie
El Mylinking™ Network Packet Broker con conmutador de derivación en línea se implementa en serie entre dispositivos de red (enrutadores, conmutadores, etc.). Cuando el rendimiento de procesamiento de un solo IPS/FW no es suficiente para gestionar el tráfico máximo del enlace de red, la función de equilibrio de carga del protector, mediante la agrupación de múltiples clústeres de IPS/FW que procesan el tráfico del enlace de red, puede reducir eficazmente la presión de procesamiento de un solo IPS/FW y mejorar el rendimiento general del procesamiento para satisfacer las necesidades de alto ancho de banda del entorno de implementación.
El Mylinking™ Network Packet Broker plus Inline Bypass Switch tiene una potente función de equilibrio de carga, de acuerdo con la etiqueta VLAN de la trama, la información MAC, la información IP, el número de puerto, el protocolo y otra información en la distribución de equilibrio de carga Hash del tráfico para garantizar que cada IPS/FW reciba la integridad de la sesión del flujo de datos.
6.5Serie múltipleEquipos en línea FbajoTfracciónPprotección(CambiarFísicoConexión en serie aLógicoConexión paralela)
En algunos enlaces clave (como puntos de acceso a Internet o enlaces de intercambio de servidores), la ubicación suele depender de las necesidades de seguridad y del despliegue de múltiples equipos de prueba de seguridad en línea (como cortafuegos, equipos anti-ataques DDoS, cortafuegos de aplicaciones web, equipos de prevención de intrusiones, etc.). La presencia simultánea de varios equipos de detección de seguridad en serie en el enlace aumenta el riesgo de un único punto de fallo, reduciendo la fiabilidad general de la red. Además, el despliegue en línea de los equipos de seguridad mencionados, así como las actualizaciones y sustituciones, pueden provocar interrupciones prolongadas del servicio y una mayor necesidad de interrumpir el proyecto para su correcta implementación.
Al implementar de forma unificada el Mylinking™ Network Packet Broker y el conmutador de derivación en línea, se puede cambiar el modo de implementación de múltiples dispositivos de seguridad conectados en serie en el mismo enlace, pasando del modo de conexión en serie física al modo de conexión en paralelo física con conexión en serie lógica. Esto reduce eficazmente los puntos únicos de fallo en el enlace en serie y mejora su fiabilidad. Al mismo tiempo, el Mylinking™ Network Packet Broker y el conmutador de derivación en línea pueden gestionar el tráfico del enlace según sea necesario, logrando el mismo efecto de procesamiento de seguridad del tráfico que el modo de conexión en serie original.
Diagrama de despliegue de más de un dispositivo Inline Security simultáneamente en serie:
Diagrama de implementación del Mylinking™ Network Packet Broker con conmutador de derivación en línea:
(Cambiar la conexión serie física a una conexión paralela lógica)
6.6Basado en elDPolítica dinámica deTtráfico en líneaSseguridadDprotecciónPprotección
Mylinking™ Network Packet Broker más Inline Bypass Switch, otro escenario de aplicación avanzado se basa en la política dinámica de aplicaciones de protección de detección de seguridad de tracción de tráfico, el despliegue de la forma que se muestra a continuación:
Tomemos como ejemplo el equipo de prueba de seguridad "Protección y detección de ataques DDoS", a través del despliegue de front-end de "Smart Bypass Switch" y luego el equipo de protección anti-DDoS y luego conectado al "Smart Bypass Switch", en el "Smart Bypass Switch" habitual para el reenvío de todo el tráfico a velocidad de cable y al mismo tiempo la salida de espejo de flujo al "Dispositivo de protección contra ataques DDoS", una vez detectado para una IP de servidor (o segmento de red IP) después del ataque, el "Dispositivo de protección contra ataques DDoS" generará reglas de coincidencia de flujo de tráfico objetivo y las enviará al "Smart Bypass Switch" a través de la interfaz de entrega de política dinámica. El "Bypass Switch" puede actualizar la "tracción dinámica de tráfico" después de recibir el grupo de reglas de política dinámica "y" inmediatamente "la regla golpea el tráfico del servidor atacante "tracción" al "equipo de protección y detección de ataques DDoS" para su procesamiento, para que sea efectivo después del flujo de ataque y luego se vuelva a inyectar en la red.
El esquema de aplicación basado en el "Smart Bypass Switch" es más fácil de implementar que la inyección de rutas BGP tradicional u otros esquemas de gestión de tráfico, y el entorno depende menos de la red y la fiabilidad es mayor.
El "Interruptor de derivación inteligente" tiene las siguientes características para admitir la protección de detección de seguridad de políticas dinámicas:
1. El "Interruptor de derivación inteligente" permite eludir las normas basándose en la interfaz WEBSERVICE y facilita la integración con dispositivos de seguridad de terceros.
2. "Interruptor de derivación inteligente" basado en el chip ASIC puro de hardware que reenvía paquetes a velocidad de cable de hasta 100 Gbps sin bloquear el reenvío del conmutador, y "biblioteca de reglas dinámicas de tracción de tráfico" independientemente del número.
3. El "Interruptor de derivación inteligente" incorpora una función de derivación profesional que, incluso si el protector falla, puede derivar el enlace serial original de inmediato, sin afectar la comunicación normal del enlace original.
6.7Duplicación de tráfico serie en líneapara seguridad fuera de banda (en línea + SPAN)
El Mylinking™ Network Packet Broker con conmutador de derivación en línea se implementa normalmente en la red informática o plataforma en la nube del cliente para proporcionar protección en línea a los dispositivos WAF/IPS y al enlace original. Los usuarios también pueden tener requisitos adicionales para probar, verificar o implementar dispositivos de monitorización de derivación, lo que requiere la adquisición de datos de tráfico en este enlace.
Por lo tanto, utilizando la función de duplicación de tráfico del Mylinking™ Network Packet Broker más el conmutador de derivación en línea, el tráfico del enlace serie en línea se puede duplicar desde el puerto de monitorización, como se muestra en la siguiente figura:
El siguiente diagrama ilustra un escenario de aplicación extendido del tráfico de enlace en línea y el tráfico de puerto duplicado del conmutador. Esto permite la protección del tráfico de enlace en línea sin que se vea afectado por el tráfico de puerto duplicado del conmutador. El sistema de análisis IDS puede adquirir simultáneamente tanto el tráfico de enlace en línea como el tráfico de puerto duplicado del conmutador. El método de implementación se muestra en el siguiente diagrama:
6.8Deduplicación de datos/paquetesSolicitud
Como se muestra en la estructura de despliegue de la aplicación anterior, para garantizar la integridad de la recopilación de datos original a lo largo de todo el enlace, algunos paquetes de datos idénticos pueden recopilarse varias veces dentro de una misma ruta. Esto genera un aumento de falsas alarmas y retransmisiones en el sistema de backend, incrementando la sobrecarga de rendimiento del sistema de análisis y afectando la precisión y eficacia del mismo. Según la solución propuesta, primero se eliminan los paquetes de datos duplicados en diferentes nodos de captura. Solo se envía un paquete de datos al sistema de análisis de rendimiento de red NPM de backend y al sistema de análisis de rendimiento de la aplicación APM, lo que optimiza el rendimiento del sistema de análisis y mejora la eficiencia y precisión del mismo.
6.9Datos/PaqueteEtiquetado VLANingSolicitud
En el entorno de red que se muestra en el diagrama anterior, la solución se utiliza para etiquetar los datos sin procesar de diferentes dispositivos de red y nodos de enlace. Cuando se produce tráfico o paquetes de datos anómalos en la red, el equipo de análisis de backend puede localizar de forma rápida y precisa el origen de los datos anómalos mediante el rastreo basado en las etiquetas de datos.
6.10 Tráfico de redHorario unificadoSolicitud
En el entorno de red que se muestra en el diagrama anterior, los datos de múltiples enlaces de origen de 10GE, 25GE, 40GE y 100GE se introducen completamente en el Mylinking™ Network Packet Broker con conmutador de derivación en línea mediante división óptica o duplicación de puertos. A continuación, se utilizan filtros y división de tráfico para enviar diferentes datos de servicio a distintos dispositivos de sistemas de seguridad y monitorización de red fuera de banda. Cuando las anomalías en los paquetes de red o las fluctuaciones anormales del tráfico requieren intervención manual, se puede realizar de inmediato la captura y el análisis de los paquetes de datos originales en tiempo real para ayudar a los usuarios a analizar y localizar rápidamente el fallo.
6.11RedAnálisis de visibilidad de datos de tráficoSolicitud
Puede presentar cualquier dato detectado y capturado de forma multidimensional y desde múltiples perspectivas a través de una interfaz gráfica y de texto interactiva y fácil de usar, incluyendo la estructura de composición del tráfico, la distribución del protocolo de aplicación, la distribución del tráfico de todos los nodos de la red, la ruta de transmisión de datos, la detección de eventos anómalos, la ubicación precisa de fallas en elementos/enlaces de la red, el estado de interacción de mensajes, la tendencia de desarrollo del tráfico y otros aspectos para el monitoreo y análisis, con el fin de establecer una plataforma integral, visible y controlable de recopilación de datos y seguridad para redes empresariales.
