1- ¿Qué es el paquete Define Heartbeat?
Los paquetes de latido del conmutador de derivación de red Mylinking™ se configuran por defecto en tramas Ethernet de capa 2. Al implementar un modo de puenteo de capa 2 transparente (como IPS/FW), las tramas Ethernet de capa 2 se reenvían, bloquean o descartan normalmente. Asimismo, el conmutador de derivación de red Mylinking™ admite un formato de mensaje de latido personalizado para adaptarse a la situación en la que algunos dispositivos de seguridad serie especiales no pueden reenviar tramas Ethernet de capa 2 comunes.
El conmutador de derivación de red Mylinking™ también admite la detección de paquetes de latidos basada en etiquetas VLAN y tipos de mensajes personalizados de capa 3 y capa 4. Gracias a este mecanismo, el usuario puede implementar una función de prueba de seguridad del servicio del dispositivo de seguridad de conexión para garantizar de forma más eficaz el correcto funcionamiento de los servicios de seguridad correspondientes.
El conmutador de derivación de red Mylinking™ permite que el monitor envíe diferentes paquetes de latido en ambas direcciones. Por ejemplo, los paquetes de latido TCP y UDP se personalizan en el "Protector de Tracción de Tráfico Estratégico" según las particularidades del dispositivo serie. Puede configurar el envío de paquetes de latido TCP en el puerto A del monitor de enlace ascendente y el envío de paquetes de latido UDP en el puerto B del monitor de enlace descendente para adaptarse al mecanismo de reenvío de mensajes del dispositivo de seguridad serie. Esta función garantiza una cadena más eficaz. Conecte el equipo de seguridad al funcionamiento normal.
El conmutador de derivación en línea de red Mylinking™ está investigado y desarrollado para usarse en la implementación flexible de varios tipos de equipos de seguridad en serie y, al mismo tiempo, proporciona una alta confiabilidad de la red.
Características y tecnologías avanzadas del conmutador de derivación en línea de 2 redes
Tecnología de modo de protección “SpecFlow” y modo de protección “FullLink” de Mylinking™
Tecnología de protección de conmutación de derivación rápida Mylinking™
Tecnología Mylinking™ “LinkSafeSwitch”
Tecnología de reenvío/emisión de estrategia dinámica Mylinking™ “WebService”
Tecnología de detección inteligente de mensajes de latidos del corazón Mylinking™
Tecnología de mensajes de latidos definibles Mylinking™
Tecnología de equilibrio de carga multienlace Mylinking™
Tecnología de distribución inteligente de tráfico Mylinking™
Tecnología de equilibrio de carga dinámico Mylinking™
Tecnología de gestión remota Mylinking™ (HTTP/WEB, TELNET/SSH, característica “EasyConfig/AdvanceConfig”)
Aplicación de conmutador de derivación en línea de 3 redes (como se indica a continuación)
3.1 El riesgo de los equipos de seguridad en línea (IPS/FW)
El siguiente es un modo de implementación típico de IPS (sistema de prevención de intrusiones), FW (cortafuegos), IPS/FW se implementa en serie en los equipos de red (enrutadores, conmutadores, etc.) entre el tráfico a través de la implementación de controles de seguridad, de acuerdo con la política de seguridad correspondiente para determinar la liberación o el bloqueo del tráfico correspondiente, para lograr el efecto de defensa de la seguridad.
Al mismo tiempo, podemos observar IPS/FW como una implementación en serie de equipos, generalmente ubicados en ubicaciones clave de la red empresarial para implementar la seguridad en serie. La confiabilidad de los dispositivos conectados afecta directamente la disponibilidad general de la red empresarial. Si los dispositivos en serie se sobrecargan, fallan o se actualizan el software o las políticas, la disponibilidad de toda la red empresarial se ve gravemente afectada. En este punto, solo mediante cortes de red y puentes de derivación física se puede restaurar la red, lo que afecta gravemente la confiabilidad de la misma. IPS/FW y otros dispositivos en serie, por un lado, mejoran la implementación de la seguridad de la red empresarial, por otro lado, reducen la confiabilidad de las redes empresariales, aumentando el riesgo de que la red no esté disponible.
3.2 Protección de equipos de la serie Inline Link
Mylinking™ ” Network Inline Bypass ” se implementa en serie entre dispositivos de red (enrutadores, conmutadores, etc.), y el flujo de datos entre dispositivos de red ya no conduce directamente a IPS / FW, ” Network Inline Bypass ” a IPS / FW, cuando el IPS / FW debido a sobrecarga, bloqueo, actualizaciones de software, actualizaciones de políticas y otras condiciones de falla, el “Network Inline Bypass ” a través de la función de detección de mensajes de latido inteligente del descubrimiento oportuno y, por lo tanto, omite el dispositivo defectuoso, sin interrumpir la premisa de la red, el equipo de red rápido conectado directamente para proteger la red de comunicación normal; cuando la recuperación de fallas de IPS / FW, pero también a través de paquetes de latido inteligente Detección de detección oportuna de la función, el enlace original para restaurar la seguridad de los controles de seguridad de la red empresarial.
Mylinking™ “Network Inline Bypass” tiene una potente función de detección de mensajes de latidos inteligente, el usuario puede personalizar el intervalo de latidos y el número máximo de reintentos, a través de un mensaje de latidos personalizado en el IPS/FW para pruebas de estado, como enviar el mensaje de verificación de latidos al puerto ascendente/descendente del IPS/FW, y luego recibir desde el puerto ascendente/descendente del IPS/FW, y juzgar si el IPS/FW está funcionando normalmente enviando y recibiendo el mensaje de latidos.
3.3 Protección de series de tracción en línea del flujo de políticas “SpecFlow”
Cuando el dispositivo de red de seguridad solo necesita gestionar el tráfico específico en la protección de seguridad en serie, a través de la función de procesamiento de tráfico "Bypass en línea de red" de Mylinking™, mediante la estrategia de filtrado de tráfico para conectar el dispositivo de seguridad "En cuestión" se envía de vuelta directamente al enlace de red, y la "sección de tráfico en cuestión" se dirige al dispositivo de seguridad en línea para realizar comprobaciones de seguridad. Esto no solo mantendrá la aplicación normal de la función de detección de seguridad del dispositivo de seguridad, sino que también reducirá el flujo ineficiente del equipo de seguridad para gestionar la presión; al mismo tiempo, el "Bypass en línea de red" puede detectar el estado de funcionamiento del dispositivo de seguridad en tiempo real. El dispositivo de seguridad funciona de forma anómala y desvía directamente el tráfico de datos para evitar la interrupción del servicio de red.
3.4 Protección de serie con equilibrio de carga
El "Bypass de red en línea" de Mylinking™ se implementa en serie entre dispositivos de red (routers, switches, etc.). Cuando el rendimiento de procesamiento de un solo IPS/FW no es suficiente para gestionar el tráfico pico del enlace de red, la función de equilibrio de carga de tráfico del protector, que agrupa el procesamiento del tráfico del enlace de red en múltiples clústeres IPS/FW, puede reducir eficazmente la presión de procesamiento de un solo IPS/FW y mejorar el rendimiento general del procesamiento para satisfacer las necesidades de alto ancho de banda del entorno de implementación.
Mylinking™ “Network Inline Bypass” tiene una potente función de equilibrio de carga, de acuerdo con la etiqueta VLAN del marco, la información MAC, la información IP, el número de puerto, el protocolo y otra información sobre la distribución del equilibrio de carga Hash del tráfico para garantizar que cada IPS/FW reciba la integridad de la sesión del flujo de datos.
3.5 Protección de tracción de flujo de equipos en línea multiseries (cambio de conexión en serie a conexión en paralelo)
En algunos enlaces clave (como puntos de acceso a Internet y enlaces de intercambio de área de servidor), la ubicación suele deberse a la necesidad de funciones de seguridad y al despliegue de múltiples equipos de prueba de seguridad en línea (como cortafuegos, equipos anti-DDOS, cortafuegos de aplicaciones web, equipos de prevención de intrusiones, etc.). La instalación simultánea de varios equipos de detección de seguridad en serie en el enlace aumenta la probabilidad de un único punto de fallo, lo que reduce la fiabilidad general de la red. Además, en el despliegue en línea de equipos de seguridad, las actualizaciones, el reemplazo y otras operaciones mencionadas anteriormente pueden provocar interrupciones prolongadas del servicio de la red y la necesidad de un recorte de proyecto de mayor envergadura para su correcta implementación.
Al implementar el “Bypass en línea de red” de manera unificada, el modo de implementación de múltiples dispositivos de seguridad conectados en serie en el mismo enlace se puede cambiar de “modo de concatenación física” a “modo de concatenación física, modo de concatenación lógica”. El enlace en el enlace de un solo punto de falla para mejorar la confiabilidad del enlace, mientras que el “Bypass en línea de red” en el enlace fluye bajo demanda de tracción, para lograr el mismo flujo con el modo original de efecto de procesamiento seguro.
Diagrama de implementación de más de un dispositivo de seguridad al mismo tiempo en serie:
Diagrama de implementación del conmutador de derivación en línea de red:
3.6 Basado en la estrategia dinámica de protección de detección de seguridad de tracción de tráfico
“Bypass en línea de red” Otro escenario de aplicación avanzado se basa en la estrategia dinámica de las aplicaciones de protección de detección de seguridad de tracción de tráfico, la implementación de la forma que se muestra a continuación:
Por ejemplo, el equipo de pruebas de seguridad para la detección y protección contra ataques DDoS, mediante la implementación en el front-end de un "Network Inline Bypass" y la conexión de un equipo de protección anti-DDoS a dicho "Network Inline Bypass", permite que el "Protector de Tracción" reenvíe todo el tráfico a velocidad de cable, al mismo tiempo que refleja la salida del flujo al "Dispositivo de Protección Anti-DDoS". Una vez detectado un ataque IP (o segmento de red IP) en un servidor, el "Dispositivo de Protección Anti-DDoS" generará las reglas de coincidencia del flujo de tráfico objetivo y las enviará al "Network Inline Bypass" a través de la interfaz de entrega de políticas dinámicas. El "Network Inline Bypass" puede actualizar la "Dinámica de Tracción de Tráfico" tras recibir las reglas de política dinámicas (el "Grupo de Reglas") e inmediatamente transferirá la tracción del tráfico del servidor atacado al "Dispositivo de Protección Anti-DDoS" para su procesamiento, para que sea efectiva después del ataque y se reinyecte en la red.
El esquema de aplicación basado en “Network Inline Bypass” es más fácil de implementar que la inyección de ruta BGP tradicional u otro esquema de tracción de tráfico, y el entorno es menos dependiente de la red y la confiabilidad es mayor.
“Network Inline Bypass” tiene las siguientes características para admitir la protección de detección de seguridad de políticas dinámicas:
1, “Bypass en línea de red” para proporcionar fuera de las reglas basadas en la interfaz WEBSERIVCE, fácil integración con dispositivos de seguridad de terceros.
2, “Bypass en línea de red” basado en el hardware de chip ASIC puro que reenvía paquetes a velocidad de cable de hasta 10 Gbps sin bloquear el reenvío del conmutador y “biblioteca de reglas dinámicas de tracción de tráfico” independientemente del número.
3. La función BYPASS profesional incorporada "Bypass en línea de red" permite, incluso si el protector falla, omitir el enlace serial original inmediatamente, sin afectar el enlace original de comunicación normal.
Hora de publicación: 23 de diciembre de 2021
