1- ¿Qué es el paquete de definición de latido cardíaco?
Los paquetes de latido del conmutador de derivación de red Mylinking™ utilizan por defecto tramas Ethernet de capa 2. Al implementar el modo de puenteo de capa 2 transparente (como IPS/FW), las tramas Ethernet de capa 2 se reenvían, bloquean o descartan normalmente. Asimismo, el conmutador de derivación de red Mylinking™ admite un formato de mensaje de latido personalizado para solucionar problemas en los que algunos dispositivos de seguridad serial especiales no pueden reenviar tramas Ethernet de capa 2 convencionales.
El conmutador de derivación de red Mylinking™ también admite la detección de paquetes de latido basada en etiquetas VLAN y tipos de mensajes personalizados de capa 3 y capa 4. Gracias a este mecanismo, el usuario puede implementar una función de prueba de seguridad del servicio del dispositivo de seguridad de conexión para garantizar de forma más eficaz el correcto funcionamiento de los servicios de seguridad correspondientes.
El conmutador de derivación de red Mylinking™ permite que el monitor envíe diferentes paquetes de latido en ambas direcciones. Por ejemplo, los paquetes de latido TCP y UDP se personalizan en el "Protector de Tracción de Tráfico Estratégico", según las particularidades del dispositivo serie. Se puede configurar el envío de paquetes de latido TCP en el puerto A del monitor de enlace ascendente y el envío de paquetes de latido UDP en el puerto B del monitor de enlace descendente para adaptarse al mecanismo de reenvío de mensajes del dispositivo de seguridad serie. Esta función garantiza de forma más eficaz la conexión del equipo de seguridad para su funcionamiento normal.
El conmutador de derivación en línea de red Mylinking™ ha sido investigado y desarrollado para permitir el despliegue flexible de diversos tipos de equipos de seguridad en serie, a la vez que proporciona una alta fiabilidad de la red.
2. Conmutador de derivación en línea de red: características y tecnologías avanzadas
Tecnología de modo de protección “SpecFlow” y “FullLink” de Mylinking™
Tecnología de protección de conmutación de derivación rápida Mylinking™
Tecnología Mylinking™ “LinkSafeSwitch”
Tecnología de reenvío/emisión de estrategias dinámicas Mylinking™ “WebService”
Tecnología de detección inteligente de latidos cardíacos Mylinking™
Tecnología de mensajes de latido definibles Mylinking™
Tecnología de equilibrio de carga multilink Mylinking™
Tecnología de distribución de tráfico inteligente Mylinking™
Tecnología de equilibrio de carga dinámico Mylinking™
Tecnología de administración remota Mylinking™ (HTTP/WEB, TELNET/SSH, función “EasyConfig/AdvanceConfig”)
3-Aplicación de interruptor de derivación en línea de red (como se muestra a continuación)
3.1 El riesgo de los equipos de seguridad en línea (IPS/FW)
A continuación se muestra un modo de implementación típico de IPS (Sistema de Prevención de Intrusiones) y FW (Cortafuegos). El IPS/FW se implementa en serie en los equipos de red (enrutadores, conmutadores, etc.) para realizar comprobaciones de seguridad entre el tráfico, de acuerdo con la política de seguridad correspondiente, para determinar si se libera o bloquea dicho tráfico y así lograr el efecto de defensa de seguridad.
Al mismo tiempo, podemos observar que los sistemas IPS/FW, al ser implementadas en serie, suelen desplegarse en ubicaciones clave de la red empresarial para implementar seguridad en serie. La fiabilidad de sus dispositivos conectados afecta directamente a la disponibilidad general de la red. Si los dispositivos en serie se sobrecargan, fallan, se actualizan el software o las políticas, la disponibilidad de toda la red se verá gravemente afectada. En este punto, la única forma de restablecer la red mediante un puente físico o un corte de red es mediante la conexión de un cable, lo que repercute seriamente en su fiabilidad. Si bien los sistemas IPS/FW y otros dispositivos en serie mejoran la seguridad de la red empresarial, también reducen su fiabilidad, aumentando el riesgo de indisponibilidad.
3.2 Protección de equipos de la serie Inline Link
Mylinking™ ” Network Inline Bypass ” se implementa en serie entre dispositivos de red (enrutadores, conmutadores, etc.), y el flujo de datos entre los dispositivos de red ya no conduce directamente al IPS/FW, ” Network Inline Bypass ” al IPS/FW, cuando el IPS/FW falla debido a sobrecarga, bloqueo, actualizaciones de software, actualizaciones de políticas y otras condiciones de falla, el “Network Inline Bypass” a través de la función de detección inteligente de mensajes de latido del corazón descubre oportunamente, y así omite el dispositivo defectuoso, sin interrumpir la premisa de la red, el equipo de red rápido se conecta directamente para proteger la red de comunicación normal; cuando el IPS/FW se recupera de fallas, también a través de la función de detección inteligente de paquetes de latido del corazón, la seguridad de las comprobaciones de seguridad de la red empresarial restaura el enlace original.
Mylinking™ “Network Inline Bypass” cuenta con una potente función inteligente de detección de mensajes de latido. El usuario puede personalizar el intervalo de latido y el número máximo de reintentos, mediante un mensaje de latido personalizado en el IPS/FW para realizar pruebas de estado. Por ejemplo, se envía el mensaje de comprobación de latido al puerto ascendente/descendente del IPS/FW y, a continuación, se recibe desde el puerto ascendente/descendente del IPS/FW, y se determina si el IPS/FW funciona correctamente mediante el envío y la recepción del mensaje de latido.
3.3 Política “SpecFlow” Flujo Tracción en línea Protección de la serie
Cuando el dispositivo de red de seguridad solo necesita gestionar el tráfico específico en la protección de seguridad en serie, mediante la función de procesamiento previo de tráfico "Network Inline Bypass" de Mylinking™, a través de la estrategia de filtrado de tráfico para conectar el dispositivo de seguridad, el tráfico "Interesado" se envía directamente al enlace de red, y la "sección de tráfico interesada" se dirige al dispositivo de seguridad en línea para realizar comprobaciones de seguridad. Esto no solo mantendrá la aplicación normal de la función de detección de seguridad del dispositivo de seguridad, sino que también reducirá el flujo ineficiente del equipo de seguridad para gestionar la presión; al mismo tiempo, "Network Inline Bypass" puede detectar el estado de funcionamiento del dispositivo de seguridad en tiempo real. Si el dispositivo de seguridad funciona de forma anómala, el tráfico de datos se desvía directamente para evitar la interrupción del servicio de red.
3.4 Protección en serie con carga equilibrada
El Mylinking™ “Network Inline Bypass” se implementa en serie entre dispositivos de red (enrutadores, conmutadores, etc.). Cuando el rendimiento de procesamiento de un solo IPS/FW no es suficiente para gestionar el tráfico máximo del enlace de red, la función de equilibrio de carga del protector, mediante la agrupación de múltiples clústeres de IPS/FW que procesan el tráfico del enlace de red, puede reducir eficazmente la presión de procesamiento de un solo IPS/FW y mejorar el rendimiento de procesamiento general para satisfacer las exigencias de alto ancho de banda del entorno de implementación.
Mylinking™ “Network Inline Bypass” tiene una potente función de equilibrio de carga, de acuerdo con la etiqueta VLAN de la trama, la información MAC, la información IP, el número de puerto, el protocolo y otra información en la distribución de equilibrio de carga Hash del tráfico para garantizar que cada IPS/FW reciba la integridad de la sesión del flujo de datos.
3.5 Protección de tracción de flujo para equipos en línea de múltiples series (cambio de conexión en serie a conexión en paralelo)
En algunos enlaces clave (como puntos de acceso a Internet o enlaces de intercambio de servidores), la ubicación suele depender de las necesidades de seguridad y del despliegue de múltiples equipos de prueba de seguridad en línea (como cortafuegos, equipos anti-ataques DDoS, cortafuegos de aplicaciones web, equipos de prevención de intrusiones, etc.). La presencia simultánea de varios equipos de detección de seguridad en serie en el enlace aumenta el riesgo de un único punto de fallo, reduciendo la fiabilidad general de la red. Además, el despliegue en línea de los equipos de seguridad mencionados, así como las actualizaciones y sustituciones, pueden provocar interrupciones prolongadas del servicio y una mayor necesidad de interrumpir el proyecto para su correcta implementación.
Al implementar el "Network Inline Bypass" de manera unificada, el modo de implementación de múltiples dispositivos de seguridad conectados en serie en el mismo enlace puede cambiarse del "modo de concatenación física" al "modo de concatenación física y lógica". El enlace en el enlace de un único punto de fallo mejora la fiabilidad del enlace, mientras que el "Network Inline Bypass" en el flujo del enlace, bajo demanda, logra el mismo efecto de procesamiento seguro que el modo original.
Diagrama de despliegue en serie de más de un dispositivo de seguridad simultáneamente:
Diagrama de despliegue del conmutador de derivación en línea de red:
3.6 Basado en la estrategia dinámica de detección y protección de seguridad de la tracción del tráfico
“Network Inline Bypass” Otro escenario de aplicación avanzado se basa en la estrategia dinámica de las aplicaciones de protección y detección de seguridad de la tracción del tráfico, cuyo despliegue se muestra a continuación:
Tomemos como ejemplo el equipo de prueba de seguridad "Protección y detección de ataques anti-DDoS", a través del despliegue de front-end de "Network Inline Bypass" y luego el equipo de protección anti-DDoS y luego conectado a "Network Inline Bypass", en el "protector de tracción" habitual para el reenvío de la cantidad total de tráfico a velocidad de cable al mismo tiempo la salida de espejo de flujo al "dispositivo de protección contra ataques anti-DDoS", una vez detectado para una IP de servidor (o segmento de red IP) después del ataque, el "dispositivo de protección contra ataques anti-DDoS" generará reglas de coincidencia de flujo de tráfico objetivo y las enviará a "Network Inline Bypass" a través de la interfaz de entrega de política dinámica. El "Network Inline Bypass" puede actualizar la "tracción dinámica de tráfico" después de recibir el grupo de reglas de política dinámica "y" inmediatamente "la regla golpea el tráfico del servidor de ataque "tracción" al equipo de "protección y detección de ataques anti-DDoS" para su procesamiento, para ser efectivo después del flujo de ataque y luego reinyectado en la red.
El esquema de aplicación basado en el "Network Inline Bypass" es más fácil de implementar que la inyección de rutas BGP tradicional u otros esquemas de gestión de tráfico, y el entorno depende menos de la red y la fiabilidad es mayor.
“Network Inline Bypass” tiene las siguientes características para admitir la protección de detección de seguridad de políticas dinámicas:
1. "Network Inline Bypass" para proporcionar una interfaz WEBSERVICE que se integre fácilmente con dispositivos de seguridad de terceros, fuera de las reglas establecidas.
2, “Network Inline Bypass” basado en el chip ASIC puro de hardware que reenvía paquetes a velocidad de cable de hasta 10 Gbps sin bloquear el reenvío del conmutador, y “biblioteca de reglas dinámicas de tracción de tráfico” independientemente del número.
3. La función "Network Inline Bypass" incorpora una función BYPASS profesional que, incluso si el protector falla, puede omitir el enlace serial original de inmediato, sin afectar la comunicación normal del enlace original.
Fecha de publicación: 23 de diciembre de 2021
