Network Bypass TAP o Network Bypass Switch proporciona paquetes de latidos para dispositivos de seguridad en línea
2*Bypass más 1*Diseño modular de monitor, enlaces 10/40/100GE, máx. 640 Gbps
ElGrifo de derivación de red, también conocido como "Conmutador de derivación de red", brinda la capacidad de administrar la disponibilidad y confiabilidad de su herramienta en línea (IPS, WAF, FW/firewalls) en cualquier momento sin tiempo de inactividad de la red ni afectar la disponibilidad del negocio para mantenimiento o actualizaciones. Un componente crítico para las estrategias de seguridad de TI
Un Network Bypass Tap (Conmutador de derivación de red) tienePaquetes de latidos del corazónque se envían a unDispositivo de seguridad en línea.Estos latidos indican la funcionalidad del dispositivo de seguridad en línea: los latidos regulares significan elOmitir grifoestá funcionando bien.Si los latidos no regresan alOmitir grifoel TAP automáticamente pasa por alto el dispositivo para permitir que los paquetes se envíen, sin importar cuán alto sea el tráfico.También es capaz de detectar el estado del dispositivo, de modo que cuando vuelve a estar en línea, el TAP lo detecta y el tráfico se dirige nuevamente a través del dispositivo.
La "Administración en línea" de Network Bypass Tap le permite implementar nuevas herramientas en un espacio aislado, administrar actualizaciones, instalar parches, realizar mantenimiento o solución de problemas y validar fuera de banda, sin afectar los enlaces de red actuales.
Con nuestra rica experiencia y servicios considerados, hemos sido reconocidos como un proveedor confiable para muchos compradores internacionales de Network Bypass TAP o Network Bypass Switch que proporciona paquetes de latidos para dispositivos de seguridad en línea. Nuestra corporación espera ansiosamente establecer una empresa útil y a largo plazo. interacciones de socios con clientes y empresarios de todo el mundo.
Con nuestra rica experiencia y servicios considerados, hemos sido reconocidos como un proveedor confiable para muchos compradores internacionales porBypass TAP Conmutador de derivación de red, Paquetes de latidos del corazón, Dispositivo de seguridad en línea, Grifo de derivación de redNuestros productos se exportan principalmente al sudeste asiático, Medio Oriente, América del Norte y Europa.Nuestra calidad está seguramente garantizada.Si está interesado en alguno de nuestros artículos o desea hablar sobre un pedido personalizado, no dude en contactarnos.Esperamos establecer relaciones comerciales exitosas con nuevos clientes en todo el mundo en un futuro próximo.
1- Resúmenes
Al implementar Mylinking™ Smart Bypass Switch:
- Los usuarios pueden instalar/desinstalar equipos de seguridad de manera flexible y no afectarán ni interrumpirán la red actual;
- Mylinking™ Network Tap Bypass Switch con función inteligente de detección de salud para monitorear en tiempo real el estado de funcionamiento normal del dispositivo de seguridad en serie; una vez que el dispositivo de seguridad en serie funciona con excepción, la protección se omitirá automáticamente para mantener la comunicación de red normal;
- La tecnología de protección selectiva del tráfico se puede utilizar para implementar equipos de seguridad de limpieza de tráfico específicos y tecnología de cifrado basada en el equipo de auditoría.Llevar a cabo efectivamente la protección de acceso en serie para el tipo de tráfico específico, descargando la presión de manejo de flujo del dispositivo en serie;
- La tecnología Load Balanced Traffic Protection se puede utilizar para la implementación en clúster de dispositivos seriales seguros para satisfacer la necesidad de seguridad serial en entornos de gran ancho de banda.
Con el rápido desarrollo de Internet, la amenaza a la seguridad de la información de la red se está volviendo cada vez más grave, por lo que se utilizan cada vez más una variedad de aplicaciones de protección de la seguridad de la información.Ya sea un equipo de control de acceso tradicional (firewall) o un nuevo tipo de medio de protección más avanzado, como el sistema de prevención de intrusiones (IPS), la plataforma unificada de gestión de amenazas (UTM), el sistema de ataques de servicio anti-denegación (Anti-DDoS), el sistema anti- abarcan Gateway, Sistema Unificado de Control e Identificación de Tráfico DPI, y muchos dispositivos de seguridad se implementan en serie en los nodos clave de la red, la implementación de la política de seguridad de datos correspondiente para identificar y tratar el tráfico legal/ilegal.Sin embargo, al mismo tiempo, la red informática generará un gran retraso en la red o incluso una interrupción de la red en caso de conmutación por error, mantenimiento, actualización, reemplazo de equipos, etc., en un entorno de aplicación de red de producción altamente confiable, los usuarios no pueden soportarlo.
2- Funciones y tecnologías avanzadas del conmutador de derivación de red
Modo de protección Mylinking™ “SpecFlow” y tecnología de modo de protección “FullLink”
Tecnología de protección de conmutación de derivación rápida Mylinking™
Tecnología Mylinking™ “LinkSafeSwitch”
Mylinking™ “WebService” Tecnología de emisión/reenvío de estrategia dinámica
Tecnología inteligente de detección de mensajes de latidos del corazón Mylinking™
Tecnología de mensajes de latidos definibles Mylinking™
Tecnología de equilibrio de carga multienlace Mylinking™
Tecnología inteligente de distribución de tráfico Mylinking™
Tecnología de equilibrio de carga dinámica Mylinking™
Tecnología de administración remota Mylinking™ (HTTP/WEB, TELNET/SSH, característica “EasyConfig/AdvanceConfig”)
3- Guía de configuración del conmutador de derivación de grifo de red
DERIVACIÓNRanura del módulo del puerto de protección:
Esta ranura se puede insertar en el módulo de puerto de protección BYPASS con diferente velocidad/número de puerto.Al reemplazar diferentes tipos de módulos, puede admitir protección BYPASS de múltiples enlaces 10G/40G/100G.
MONITORRanura para módulo de puerto;
Esta ranura se puede insertar en el módulo del puerto MONITOR con diferentes velocidades/puertos.Puede admitir la implementación de múltiples dispositivos de monitoreo en serie en línea con enlaces 10G/40G/100G reemplazando diferentes modelos.
Reglas de selección de módulos
Según los diferentes enlaces implementados y los requisitos de implementación del equipo de monitoreo, puede elegir de manera flexible diferentes configuraciones de módulos para satisfacer las necesidades reales de su entorno;Siga las siguientes reglas al seleccionar:
1. Los componentes del chasis son obligatorios y debe seleccionarlos antes de seleccionar cualquier otro módulo.Al mismo tiempo, elija diferentes métodos de suministro de energía (CA/CC) según sus necesidades.
2. Toda la máquina admite hasta 2 ranuras para módulos BYPASS y 1 ranura para módulos MONITOR;no puede seleccionar más que el número de ranuras para configurar.Según la combinación del número de ranuras y el modelo del módulo, el dispositivo puede admitir hasta cuatro protecciones de enlace 10GE;o puede admitir hasta cuatro enlaces 40GE;o puede admitir hasta un enlace de 100 GE.
3. El modelo de módulo "BYP-MOD-L1CG" solo se puede insertar en SLOT1 para funcionar correctamente.
4. El módulo tipo "BYP-MOD-XXX" sólo se puede insertar en la ranura del módulo BYPASS;el módulo tipo "MON-MOD-XXX" solo se puede insertar en la ranura del módulo MONITOR para un funcionamiento normal.
Modelo del Producto | Parámetros de función |
Chasis (anfitrión) | |
ML-BYPASS-M200 | Montaje en rack estándar de 1U de 19 pulgadas;consumo máximo de energía 250W;anfitrión protector de BYPASS modular;2 ranuras para módulos BYPASS;1 ranura para módulo MONITOR;CA y CC opcionales; |
MÓDULO DE DESVIACIÓN | |
BYP-MOD-L2XG(LM/SM) | Admite protección serial de enlace 10GE de 2 vías, interfaz 4*10GE, conector LC;transceptor óptico incorporado;enlace óptico monomodo/multimodo opcional, compatible con 10GBASE-SR/LR; |
BYP-MOD-L2QXG(LM/SM) | Admite protección serial de enlace 40GE de 2 vías, interfaz 4*40GE, conector LC;transceptor óptico incorporado;enlace óptico monomodo/multimodo opcional, compatible con 40GBASE-SR4/LR4; |
BYP-MOD-L1CG (LM/SM) | Admite protección serial de enlace 100GE de 1 canal, interfaz 2*100GE, conector LC;transceptor óptico incorporado;enlace óptico multimodo único opcional, compatible con 100GBASE-SR4/LR4; |
MÓDULO DE MONITOREO | |
MON-MOD-L16XG | Módulo de puerto de monitoreo 16*10GE SFP+;sin módulo transceptor óptico; |
MON-MOD-L8XG | Módulo de puerto de monitoreo 8*10GE SFP+;sin módulo transceptor óptico; |
MON-MOD-L2CG | Módulo de puerto de monitoreo 2*100GE QSFP28;sin módulo transceptor óptico; |
MON-MOD-L8QXG | Módulo de puerto de monitoreo 8* 40GE QSFP+;sin módulo transceptor óptico; |
4- Especificaciones del conmutador de derivación TAP de red
Modalidad de Producto | Interruptor de derivación serie ML-BYPASS-M200 | |
Tipo de interfaz | Interfaz MGT | 1*10/100/1000BASE-T Interfaz de gestión adaptable;Admite gestión remota de HTTP/IP |
Ranura del módulo | 2 * ranura para módulo BYPASS ; 1 * ranura para módulo MONITOR ; | |
Enlaces que soportan el máximo | El dispositivo admite un máximo de enlaces de 4*10 GE o enlaces de 4*40 GE o enlaces de 1*100 GE | |
Monitor | El dispositivo admite un máximo de 16 puertos de monitoreo de 10 GE o 8 puertos de monitoreo de 40 GE o 2 puertos de monitoreo de 100 GE; | |
Función | Capacidad de procesamiento dúplex completo | 640 Gbps |
Basado en protección en cascada de tráfico específica de cinco tuplas IP/protocolo/puerto | Apoyo | |
Protección en cascada basada en tráfico completo | Apoyo | |
Equilibrio de carga múltiple | Apoyo | |
Función personalizada de detección de latidos del corazón | Apoyo | |
Admite independencia del paquete Ethernet | Apoyo | |
INTERRUPTOR DE DESVIACIÓN | Apoyo | |
Interruptor BYPASS sin flash | Apoyo | |
GESTIÓN DE CONSOLA | Apoyo | |
GESTIÓN IP/WEB | Apoyo | |
Gestión SNMP V1/V2C | Apoyo | |
GESTIÓN DE TELNET/SSH | Apoyo | |
protocolo SYSLOG | Apoyo | |
Autorización de usuario | Basado en autorización de contraseña/AAA/TACACS+ | |
Eléctrico | Tensión de alimentación nominal | AC-220V/DC-48V【Opcional】 |
Frecuencia de potencia nominal | 50HZ | |
Corriente de entrada nominal | AC-3A/CC-10A | |
Potencia nominal | 100W | |
Ambiente | Temperatura de trabajo | 0-50℃ |
Temperatura de almacenamiento | -20-70℃ | |
Humedad de trabajo | 10%-95%, sin condensación | |
Configuración de usuario | Configuración de la consola | Interfaz RS232,115200,8,N,1 |
Interfaz MGT fuera de banda | 1*10/100/1000M interfaz Ethernet | |
Autorización de contraseña | Apoyo | |
Altura del chasis | Espacio del chasis (U) | 1U 19 pulgadas, 485 mm * 44,5 mm * 350 mm |
5- Aplicación del interruptor de derivación TAP de red (como se muestra a continuación)
El siguiente es un modo de implementación típico de IPS (Sistema de prevención de intrusiones), FW (Firewall). IPS / FW se implementa en serie en los equipos de red (enrutadores, conmutadores, etc.) entre el tráfico mediante la implementación de controles de seguridad, de acuerdo con la política de seguridad correspondiente para determinar la liberación o bloqueo del tráfico correspondiente, para lograr el efecto de defensa de seguridad.
Al mismo tiempo, podemos observar IPS/FW como una implementación en serie del equipo, generalmente implementado en la ubicación clave de la red empresarial para implementar la seguridad en serie; la confiabilidad de sus dispositivos conectados afecta directamente la disponibilidad general de la red empresarial.Una vez que los dispositivos serie se sobrecargan, fallan, se actualizan el software, se actualizan las políticas, etc., la disponibilidad de toda la red empresarial se verá muy afectada.En este punto, solo a través del corte de la red, el puente de derivación física puede restaurar la red, lo que afecta seriamente la confiabilidad de la red.IPS/FW y otros dispositivos seriales, por un lado, mejoran la implementación de la seguridad de la red empresarial y, por otro lado, también reducen la confiabilidad de las redes empresariales, lo que aumenta el riesgo de que la red no esté disponible.
5.2 Protección del equipo de la serie Inline Link
Mylinking™ " Bypass Switch " se implementa en serie entre dispositivos de red (enrutadores, conmutadores, etc.), y el flujo de datos entre dispositivos de red ya no conduce directamente a IPS/FW, "Bypass Switch" a IPS/FW, cuando el IPS / FW debido a sobrecarga, falla, actualizaciones de software, actualizaciones de políticas y otras condiciones de falla, el "Bypass Switch" a través de la función de detección inteligente de mensajes de latido del corazón del descubrimiento oportuno y, por lo tanto, omite el dispositivo defectuoso, sin interrumpir la premisa de la red. el equipo de red rápida conectado directamente para proteger la red de comunicación normal;cuando la recuperación de fallos IPS / FW, sino también a través de paquetes de latidos inteligentes Detección de la función de detección oportuna, el enlace original para restaurar la seguridad de los controles de seguridad de la red empresarial.
Mylinking™ "Bypass Switch" tiene una poderosa función inteligente de detección de mensajes de latido, el usuario puede personalizar el intervalo de latido y el número máximo de reintentos, a través de un mensaje de latido personalizado en el IPS/FW para pruebas de salud, como enviar el mensaje de verificación de latido al puerto ascendente/descendente de IPS/FW, y luego recibir desde el puerto ascendente/descendente de IPS/FW, y juzgar si IPS/FW está funcionando normalmente enviando y recibiendo el mensaje de latido.
5.3 Protección de la serie de tracción en línea de flujo de política “SpecFlow”
Cuando el dispositivo de red de seguridad solo necesita lidiar con el tráfico específico en la protección de seguridad en serie, a través de la función de procesamiento de tráfico "Bypass Switch" de Mylinking™, a través de la estrategia de detección de tráfico para conectar el dispositivo de seguridad, el tráfico "preocupado" se devuelve directamente al enlace de red, y la" sección de tráfico en cuestión "es tracción al dispositivo de seguridad en línea para realizar controles de seguridad.Esto no sólo mantendrá la aplicación normal de la función de detección de seguridad del dispositivo de seguridad, sino que también reducirá el flujo ineficiente del equipo de seguridad para lidiar con la presión;al mismo tiempo, el "interruptor de derivación" puede detectar el estado de funcionamiento del dispositivo de seguridad en tiempo real.El dispositivo de seguridad funciona de manera anormal y evita el tráfico de datos directamente para evitar la interrupción del servicio de red.
Mylinking™ Traffic Bypass Protector puede identificar el tráfico basándose en el identificador del encabezado de la capa L2-L4, como la etiqueta VLAN, la dirección MAC de origen/destino, la dirección IP de origen, el tipo de paquete IP, el puerto del protocolo de la capa de transporte, la etiqueta clave del encabezado del protocolo, etc. en.Se puede definir una variedad de combinaciones flexibles de condiciones coincidentes para definir los tipos de tráfico específicos que son de interés para un dispositivo de seguridad en particular y se pueden usar ampliamente para la implementación de dispositivos de auditoría de seguridad especiales (RDP, SSH, auditoría de bases de datos, etc.) .
5.4 Protección en serie con carga equilibrada
El "Bypass Switch" Mylinking™ se implementa en serie entre dispositivos de red (enrutadores, conmutadores, etc.).Cuando el rendimiento de procesamiento de un único IPS/FW no es suficiente para hacer frente al tráfico máximo del enlace de red, la función de equilibrio de carga de tráfico del protector, la "agrupación" de múltiples tráficos de enlace de red de procesamiento de clústeres IPS/FW, puede reducir eficazmente el rendimiento de procesamiento de un único IPS/FW. La presión de procesamiento de FW mejora el rendimiento general del procesamiento para cumplir con el gran ancho de banda del entorno de implementación.
Mylinking™ "Bypass Switch" tiene una potente función de equilibrio de carga, según la etiqueta VLAN del marco, información MAC, información IP, número de puerto, protocolo y otra información sobre la distribución del tráfico de equilibrio de carga Hash para garantizar que cada IPS/FW reciba datos. Integridad de la sesión de flujo.
5.5 Protección de tracción de flujo de equipos en línea multiserie (cambiar la conexión en serie a una conexión en paralelo)
En algunos enlaces clave (como puntos de venta de Internet, enlaces de intercambio de áreas de servidores), la ubicación a menudo se debe a las necesidades de funciones de seguridad y al despliegue de múltiples equipos de prueba de seguridad en línea (como cortafuegos, equipos de ataque anti-DDOS, cortafuegos de aplicaciones WEB). , equipos de prevención de intrusiones, etc.), múltiples equipos de detección de seguridad al mismo tiempo en serie en el enlace para aumentar el enlace de un único punto de falla, lo que reduce la confiabilidad general de la red.Y en el despliegue en línea de equipos de seguridad mencionado anteriormente, las actualizaciones de equipos, el reemplazo de equipos y otras operaciones, provocarán que la red se interrumpa durante mucho tiempo y se requieran acciones de corte de proyectos más grandes para completar la implementación exitosa de dichos proyectos.
Al implementar el "Bypass Switch" de manera unificada, el modo de implementación de múltiples dispositivos de seguridad conectados en serie en el mismo enlace se puede cambiar de "modo de concatenación física" a "modo de concatenación física, modo de concatenación lógica" El enlace en el enlace de un único punto de falla para mejorar la confiabilidad del enlace, mientras que el "interruptor de derivación" en el flujo del enlace según la tracción de la demanda, para lograr el mismo flujo con el modo original de efecto de procesamiento seguro.
Diagrama de implementación de más de un dispositivo de seguridad al mismo tiempo en serie:
Diagrama de implementación del conmutador de derivación TAP de red Mylinking™:
5.6 Basado en la estrategia dinámica de protección de detección de seguridad de tracción del tráfico
"Bypass Switch" Otro escenario de aplicación avanzada se basa en la estrategia dinámica de las aplicaciones de protección de detección de seguridad de tracción del tráfico, y su implementación se muestra a continuación:
Tomemos como ejemplo el equipo de prueba de seguridad "Protección y detección de ataques anti-DDoS", mediante la implementación frontal del "Bypass Switch" y luego el equipo de protección anti-DDOS y luego conectado al "Bypass Switch", de la forma habitual. Protector de tracción "para reenviar la cantidad total de tráfico a velocidad de cable al mismo tiempo que el flujo refleja la salida al" dispositivo de protección contra ataques anti-DDOS ", una vez detectado para una IP del servidor (o segmento de red IP) después del ataque", anti -El dispositivo de protección contra ataques DDOS "generará las reglas de coincidencia del flujo de tráfico objetivo y las enviará al" Bypass Switch "a través de la interfaz de entrega de políticas dinámicas.El "Bypass Switch" puede actualizar la "dinámica de tracción del tráfico" después de recibir las reglas de políticas dinámicas del grupo de reglas "e inmediatamente" la regla golpea la tracción del tráfico del servidor de ataque "al equipo de" protección y detección de ataques anti-DDoS "para su procesamiento, para ser efectivo después del flujo de ataque y luego reinyectado en la red.
El esquema de aplicación basado en el "Bypass Switch" es más fácil de implementar que la inyección de ruta BGP tradicional u otro esquema de tracción de tráfico, y el entorno depende menos de la red y la confiabilidad es mayor.
"Bypass Switch" tiene las siguientes características para admitir la protección de detección de seguridad de políticas dinámicas:
1, "Bypass Switch" para proporcionar fuera de las reglas basadas en la interfaz WEBSERIVCE, una fácil integración con dispositivos de seguridad de terceros.
2, "Bypass Switch" basado en el chip ASIC puro de hardware que reenvía paquetes de velocidad de cable de hasta 10 Gbps sin bloquear el reenvío de conmutadores y "biblioteca de reglas dinámicas de tracción de tráfico" independientemente del número.
3, función BYPASS profesional integrada "Bypass Switch", incluso si el propio protector falla, también puede omitir el enlace serial original inmediatamente, no afecta el enlace original de comunicación normal.