Ndërmjetësi i Paketave të Rrjetit Mylinking™ plus Ndërprerës Bypass në Rrjetë ML-NPB-M2000
Moduli i anashkalimit: 8*10G SFP+ dhe 4*100GE, Moduli i monitorimit: 16*10GE SFP+ dhe 4*100GE, Maks. 2.4Tbps
1-Përmbledhje
Me zhvillimin e shpejtë të internetit, kërcënimi ndaj sigurisë së informacionit në rrjet po bëhet gjithnjë e më serioz, kështu që një sërë aplikacionesh për mbrojtjen e sigurisë së informacionit përdoren gjithnjë e më gjerësisht. Qoftë pajisje tradicionale të kontrollit të aksesit (firewall) apo një lloj i ri mjetesh mbrojtjeje më të avancuara, siç janë sistemi i parandalimit të ndërhyrjeve (IPS), platforma e unifikuar e menaxhimit të kërcënimeve (UTM), sistemi i sulmeve të shërbimit anti-mohim (Anti-DDoS), porta anti-spam, sistemi i unifikuar i identifikimit dhe kontrollit të trafikut DPI, dhe shumë pajisje sigurie vendosen në seri në nyjet kryesore të rrjetit, duke zbatuar politikën përkatëse të sigurisë së të dhënave për të identifikuar dhe trajtuar trafikun e ligjshëm/të paligjshëm. Në të njëjtën kohë, megjithatë, rrjeti kompjuterik do të gjenerojë një vonesë të madhe të rrjetit ose edhe ndërprerje të rrjetit në rast të dështimit, mirëmbajtjes, përmirësimit, zëvendësimit të pajisjeve etj., në një mjedis aplikimi rrjeti prodhimi shumë të besueshëm, përdoruesit nuk mund ta durojnë dot.
Ndërmjetësi i paketave të rrjetit ML-NPB-M2000 Mylinking™ plus ndërruesi i anashkalimit në linjë është hulumtuar dhe zhvilluar për t'u përdorur për vendosjen fleksibile të llojeve të ndryshme të pajisjeve të sigurisë seriale, duke siguruar njëkohësisht besueshmëri të lartë të rrjetit.
Duke vendosur Mylinking™ Network Packet Broker plus Inline Bypass Switch:
●Përdoruesit mund të instalojnë/çinstalojnë në mënyrë fleksibile pajisjet mbrojtëse të sigurisë pa ndikuar ose ndërprerë rrjetin ekzistues;
● Ka një funksion inteligjent zbulimi të gjendjes për të monitoruar gjendjen normale të punës së pajisjeve të sigurisë të lidhura në kohë reale. Sapo një pajisje sigurie e lidhur të mosfunksionojë, mbrojtësi do të anashkalojë automatikisht për të ruajtur komunikimin normal të rrjetit.
●Teknologjia selektive e mbrojtjes së trafikut mund të përdoret për të vendosur pajisje specifike sigurie për pastrimin e trafikut, pajisje auditimi të bazuara në enkriptim, etj. Ajo zbaton në mënyrë efektive mbrojtjen e aksesit në linjë për lloje specifike trafiku, duke shkarkuar ngarkesën e përpunimit të trafikut nga pajisjet në linjë.
● Teknologjia e mbrojtjes së trafikut të balancimit të ngarkesës mund të përdoret për të vendosur pajisje të sigurta në linjë në grupe për të përmbushur nevojat e mbrojtjes së sigurisë në linjë në mjedise me presion të lartë të bandwidth-it.
●Ka aftësi SSL proxy, duke përmbushur kërkesat e monitorimit dhe analizës së pajisjeve të mbrojtjes së sigurisë për përmbajtjen e të dhënave me tekst të thjeshtë.
● Ai zotëron aftësi bazë të përpunimit të trafikut, të tilla si replikimi, grumbullimi, filtrimi dhe etiketimi i trafikut, si dhe aftësi të avancuara të përpunimit të trafikut, të tilla si deduplikimi, maskimi, identifikimi i protokollit të shtresës së aplikacionit dhe formësimi i trafikut.
2-Ndërmjetësi i Paketave të Rrjetit Mylinking™ plus Ndërprerësi i Zhvendosjes në Linjë Karakteristika dhe Teknologji të Avancuara
Modaliteti i Mbrojtjes Mylinking™ “SpecFlow” dhe Teknologjia e Modalitetit të Mbrojtjes “FullLink”
Teknologjia e Mbrojtjes së Ndërprerjes së Shpejtë Mylinking™
Teknologjia Mylinking™ “LinkSafeSwitch”
Teknologjia e Përcjelljes/Problemeve Dinamike të Politikave Mylinking™ “WebService”
Teknologjia Inteligjente e Zbulimit të Paketave të Rrahjeve të Zemrës Mylinking™
Mylinking™ Teknologjia e Paketave të Rrahjeve të Zemrës e Përcaktueshme
Mylinking™ Teknologjia e Balancimit të Ngarkesës me Shumë Lidhje
Mylinking™ Teknologjia Inteligjente e Shpërndarjes së Trafikut
Mylinking™ Teknologjia e Balancimit Dinamik të Ngarkesës
Mylinking™ Teknologjia e Menaxhimit në Distancë (HTTP/WEB, TELNET/SSH, Karakteristika “EasyConfig/AdvanceConfig”)
3-Udhëzues Konfigurimi për Ndërmjetësin e Paketave të Rrjetit Mylinking™ plus Ndërprerësin e Bypassit në Linjë
Siç tregohet në diagramin e mësipërm, e gjithë njësia përbëhet nga katër vende modulare:
Vendet e moduleve SLOT1, SLOT2, SLOT3 dhe SLOT4 mund të akomodojnë module portash mbrojtjeje BYPASS ose module portash MONITOR me shpejtësi dhe numra portash të ndryshme. Duke zëvendësuar modele të ndryshme të moduleve, është e mundur të mbështetet mbrojtja BYPASS për lidhje të shumëfishta 10G/40G/100G, si dhe vendosja e pajisjeve të monitorimit Inline Bypass për lidhje të shumëfishta 10G/40G/100G.
Shënim: Si moduli BYPASS ashtu edhe moduli MONITOR mbështesin ndërrimin e nxehtë.
3.1-Lista e Specifikimeve të Modulit
| Modeli i produktit | FunksionalPparametrat |
| Chasis | |
| ML-NPB-M2000-CHS/AC | Montim standard në raft 19 inç 2U; konsumi maksimal i energjisë 300W; njësia kryesore mbrojtëse modulare BYPASS; 4 vende për module; 1 ndërfaqe konsole RS232, 1 ndërfaqe RJ45 10/100/1000M me menaxhim të rrjetit të jashtëm; furnizim i dyfishtë me energji AC-220V; |
| NT-BYPASS-M2000-CHS/DC | Montim standard në raft 19 inç 2U; konsumi maksimal i energjisë 300W; njësia kryesore mbrojtëse modulare BYPASS; 4 vende për module; 1 ndërfaqe konsole RS232, 1 ndërfaqe RJ45 10/100/1000M me menaxhim të rrjetit të jashtëm; furnizim i dyfishtë me energji DC-48V; |
| BYPASSModul | |
| INL-I8XM8X(LM/SM) | Mbështet mbrojtjen e lidhjes seriale 4-kahëshe 10GE (e pajtueshme me 1G), me një total prej 8 * 10GE ndërfaqesh; mbështet portat e monitorimit 8 * 10G SFP+ (duke përjashtuar modulet optike). |
| INL-I4HM2H (LM/SM) | Mbështet mbrojtje seriale me lidhje 2-kahëshe 100GE (e pajtueshme me 40GE), me një total prej 4 ndërfaqesh * 100GE; mbështet 2 porta monitorimi * 100GE QSFP28 (duke përjashtuar modulet optike). |
| Moduli MONITOR | |
| HËN-M16X | 16 porta monitorimi SFP+ 10GE (duke përjashtuar modulet optike); |
| HËN-M16X-CN98 | 16 porta monitorimi SFP+ 10GE (moduli optik nuk përfshihet); i pajisur me një motor funksionesh të përparuara, që mbështet funksione të përparuara të përpunimit të trafikut, të tilla si dekriptimi i anashkalimit të SSL, proxy SSL dhe deduplikimi i trafikut; |
| E HËNË-M4H | 4 porta monitorimi 100GE QSFP28 (modulet optike nuk përfshihen); |
| HËN-M4H-CN98 | 4 porta monitorimi 100GE QSFP28 (modulet optike nuk përfshihen); të pajisura me një motor funksionesh të përparuara, që mbështet funksione të përparuara të përpunimit të trafikut, të tilla si dekriptimi i anashkalimit të SSL, proxy SSL dhe deduplikimi i trafikut; |
3.2-Rregullat e Përzgjedhjes së Modulit
Bazuar në lidhjet e ndryshme të mbrojtura dhe kërkesat e vendosjes së pajisjeve të monitorimit, ju mund të zgjidhni në mënyrë fleksibile konfigurime të ndryshme të moduleve për të përmbushur nevojat tuaja aktuale të mjedisit; ju lutemi ndiqni këto rregulla kur zgjidhni:
1) Montimi i shasisë është një komponent i detyrueshëm dhe duhet të zgjidhet përpara se të zgjidhni ndonjë modul tjetër. Ju lutemi zgjidhni gjithashtu metodën e duhur të furnizimit me energji (AC/DC) sipas nevojave tuaja.
2) Njësia mbështet një maksimum prej 4 slotesh modulesh; nuk mund të zgjidhni më shumë module sesa numri i sloteve për konfigurim. Bazuar në kombinimin fleksibël të modeleve të ndryshme të moduleve, njësia mund të mbështesë mbrojtje seriale për deri në 16 lidhje 10GE/GE ose 8 lidhje 100GE/40GE.
4-Aftësi Inteligjente të Përpunimit të Trafikut
4.1-Vendosja në linjë
Mbrojtje specifike e trafikut në linjë
Ai mbështetNë linjë (serial)mënyra e mbrojtjes për lloje specifike të trafikut në çdobrenda rreshtitlidhje.Topërcillni disa lloje trafiku të specifikuara nga përdoruesi nëbrenda rreshtitlidhje meNë linjë Ssiguripajisjepër përpunim, dhe pjesa tjetër e trafikut përcillet direkt pa rrjedhur nëpërNë linjë SsiguripajisjeNë të njëjtën kohë,itkryen monitorim në kohë reale të gjendjes së funksionimit tëNë linjë SsiguripajisjePasi të gjendet gjendja jonormale e përpunimit të trafikut,itdo të anashkalohet automatikisht nga rruga e transmetimit të trafikut për të siguruar vazhdimësinë e shërbimit të rrjetit.
Mbrojtje në linjë për të gjithë trafikun
Ai mbështetNë linjë (serial)mënyra e mbrojtjes për të gjitha llojet e trafikut në çdobrenda rreshtitlidhje.Totransmetojë të gjithë trafikun nëbrenda rreshtitlidhje meNë linjë Ssiguripajisjepër përpunimin dhe monitorimin e gjendjes së funksionimit të Sigurisë në linjëpajisjenë kohë reale. Pasi të gjendet gjendja jonormale e përpunimit të trafikut,itdo të anashkalohet automatikisht nga rruga e transmetimit të trafikut për të siguruar vazhdimësinë e shërbimit të rrjetit.
Bilanci i ngarkesës
Ka aftësi inteligjente për balancimin e ngarkesës së trafikut. Kur performanca e përpunimit të një të vetmeNë linjë Ssiguripajisjenuk mjafton për t'u marrë mebrenda rreshtittrafikun e komunikimit të lidhjes, ai mund të ndajëbrenda rreshtitlidh trafikun me ndërfaqet e N Monitor duke konfiguruar një grup balancimi të ngarkesës. Sipas informacionit MAC, IP, numrit të portit, protokollit dhe informacioneve të tjera,itkryen dalje opsionale të balancimit të ngarkesës së algoritmit Hash, në mënyrë qëbrenda rreshtitTrafiku i lidhjeve shpërndahet në mënyrë të barabartë në shumëbrenda rreshtitsigurimjets për përpunimin e klasterit, i cili përmirëson në mënyrë efektive performancën e përgjithshme të përpunimit tëbrenda rreshtitsigurimjets. Për t'u përshtatur me kërkesat e skenarëve të aplikimeve me gjerësi të lartë brezi dhe trafik të madh.
Zbulimi i paketave të rrahjeve të zemrës
Ai mbështetTxdheRxpaketa zbulimi të rrahjeve të zemrës përmes lidhjes lart dhe poshtë të të dhënave të lidhurabrenda rreshtitpajisjet e sigurisë dhe zbulonmjete të integruarastatusin e punës dhe nëse procesi i përpunimit të trafikut është normal. Rrahjet e zemrës dypalëshepakomekanizmi i zbulimit mund të pasqyrojë më saktë gjendjen aktuale të punës sëbrenda rreshtitsiguripajisje, dhe në mënyrë më efektive të sigurojë funksionimin normal të rrjetit.
Mund të personalizojë parametrat e rrahjeve të zemrës të çdobrenda rreshtitpajisje sigurie, siç është rrahja e zemrësTxkoha e intervalit, koha maksimale e ripërsëritjes së rrahjeve të zemrës, rrahjet e zemrësTxdrejtim, etj. Mund të zbulojë dhe gjykojë gjendjen e defektit tëbrenda rreshtitpajisjet e sigurisë në kohë dhe realizojnë ndërrimin e shpejtë të anashkalimit të lidhjeve të mbrojtjes.
Paketat e zbulimit të rrahjeve të zemrës janë korniza standarde të shtresës 2 të Ethernet. Kur vendoset modaliteti transparent i urës së shtresës 2 (siç është IPS/FW), kornizat e Ethernet të shtresës 2 do të përcillen normalisht pa bllokim ose ndërprerje. Në të njëjtën kohë, mund të mbështesë gjithashtu paketa të personalizuara të zbulimit të rrahjeve të zemrës të Ethernet të shtresës 2, shtresës 3 dhe shtresës 4 për t'u përshtatur me disa specifikime.brenda rreshtitPajisjet e sigurisë normalisht nuk mund të përcjellin korniza të zakonshme të shtresës 2 të Ethernet-it.
Bazuar në mekanizmin e mësipërm, përdoruesit mund të realizojnë efektin e zbulimit të shëndetit të nivelit të shërbimit të pajisjeve të sigurisë të lidhura, në mënyrë që të sigurohet funksionimi normal i shërbimeve të sigurisë në mënyrë më efektive.
Ndërrimi i Anashkalimit
Mbështet anashkalim shumë të ulëtndërrimivonesë (<8ms), dhe përdoruesit mezi e ndiejnë ndikimin në rrjet kur pajisja kryen anashkaliminndërrimiNë të njëjtën kohë, teknologjia e ndërrimit të lidhjeve specifike për pajisjen mund të sigurojë që gjendja e lidhjes kryesore të mos ndikohet gjatë anashkalimit.ndërrimiKjo teknologji do të sigurojë që anashkalimindërrimiështë më i sigurt dhe nuk do të shkaktojë rillogaritjen dhe konvergjencën e protokollit të topologjisë së shtresës 2 / shtresës 3 të lidhjeve të mbrojtura, në mënyrë që të minimizohet ndikimi në rrjetin e përdoruesit gjatëndërrimi.
Bllokimi i trafikut
Kur pajisja e sigurisë zbulon lidhje të paligjshme ose jonormale të sesionit në trafik dhe duhet t'i bllokojë ato në kohë, pajisja mund të kapë çdo paketë të specifikuar në trafikun lart/poshtë tëbrenda rreshtitlidhje bazuar në kushtet e filtrit të përputhjes së tuple-it për të siguruar funksionimin e sigurt të shërbimeve të rrjetit.
Pasqyra e Trafikut
Përveç mbrojtjes së trafikut të lidhjes në linjë dhe pajisjes së Sigurisë në linjë (siç janë IPS, WAF), çdo trafik i pasqyruar SPAN mund të transmetohet edhe në sistemin e monitorimit të sigurisë SPAN (siç janë IDS, APT), në mënyrë që të përmbushen kërkesat e vendosjes së monitorimit SPAN të të dhënave të trafikut ose testimit dhe verifikimit të trafikut.
Proxy SSL
Përmes funksionit SSL proxy, paketa origjinale e enkriptuar dekriptohet dhe dërgohet në sistemin e mbrojtjes së sigurisë në linjë, dhe më pas të dhënat e dekriptuara rikthehen dhe dërgohen përsëri në lidhjen origjinale, në mënyrë që të dhënat e dekriptuara të sigurohen në sistemin e mbrojtjes së sigurisë në linjë pa ndikuar në transmetimin e të dhënave të enkriptuara në lidhjen origjinale të përdoruesit, dhe të realizohet monitorimi dhe analiza e të dhënave të enkriptuara nga sistemi i analizës.
4.2-Vendosja e SPAN
Replikimi i Trafikut të Rrjetit
Ai mbështetNë linjë (serial)mënyra e mbrojtjes për lloje specifike të trafikut në çdobrenda rreshtitlidhje.Topërcillni disa lloje trafiku të specifikuara nga përdoruesi nëbrenda rreshtitlidhje meNë linjë Ssiguripajisjepër përpunim, dhe pjesa tjetër e trafikut përcillet direkt pa rrjedhur nëpërNë linjë SsiguripajisjeNë të njëjtën kohë,itkryen monitorim në kohë reale të gjendjes së funksionimit tëNë linjë SsiguripajisjePasi të gjendet gjendja jonormale e përpunimit të trafikut,itdo të anashkalohet automatikisht nga rruga e transmetimit të trafikut për të siguruar vazhdimësinë e shërbimit të rrjetit.
Agregimi i Trafikut të Rrjetit
Trafiku origjinal i hyrjes dhe trafiku i parapërpunuar mund të kopjohen në sinjalin e kanalit N sipas sinjalit 1 kanali ose të kopjohen në sinjalin e kanalit M pas agregimit të sinjalit të kanalit N në përcjelljen e shpejtësisë së linjës GE, 10GE, 40G dhe 100G, gjë që zgjidh në mënyrë të përkryer nevojat e vendosjes së më shumë se dy pajisjeve anashkaluese të dëgjimit me shumë porta në rrjet në të njëjtën kohë.
Shpërndarja/Përcjellja e të Dhënave
Metdatat hyrëse u klasifikuan me saktësi dhe shërbime të ndryshme të të dhënave u hodhën poshtë ose u përcollën në dalje të shumëfishta të ndërfaqes sipas rregullave të paracaktuara të përdoruesit.
Filtrimi i të dhënave të paketave
Të dhënat hyrësetrafikumund të klasifikohet me saktësi, dhe shërbime të ndryshme të të dhënave mund të jenë rregulla në listën e bardhë ose të zezë, dhe daljet e shumëfishta të ndërfaqes mund të hidhen poshtë ose të përcillen. Ai mbështet kombinime fleksibël bazuar në llojin Ethernet, etiketën vlan, pesë-tuple IP,TCPidentifikuesin, karakteristikat e paketave dhe elementë të tjerë për të përmbushur më tej kërkesat e vendosjes së pajisjeve të ndryshme të sigurisë së rrjetit, analizën e protokollit, analizën e sinjalizimit dhe monitorimin tjetër të trafikut.
Bilanci i ngarkesës
Balancimi i ngarkesës së algoritmit opsional Hash mund të kryhet sipas karakteristikave të shtresave të brendshme dhe të jashtme të L2-L4 për të siguruar integritetin e sesionit të rrjedhës së të dhënave të marra ngaSPANpajisje monitorimi. Kur ndryshon gjendja e lidhjes, anëtarët e grupit të portit të shkarkimit mund të dalin (lidhje POSHTË) ose të bashkohen (lidhje LART) në mënyrë fleksibile, dhe grupi i shkarkimit mund të rishpërndajë automatikisht trafikun për të siguruar balancimin dinamik të ngarkesës së trafikut dalës të portit.
VLAN i etiketuar
VLAN i paetiketuar
VLAN u zëvendësua
Mbështet përputhjen e çdo fushe çelësi në 128 bajtët e parë të një pakete. Përdoruesi mund të personalizojë vlerën e zhvendosjes dhe gjatësinë dhe përmbajtjen e fushës çelës, si dhe të përcaktojë politikën e daljes së trafikut sipas konfigurimit të përdoruesit.
Vulosja e kohës
Mbështetur për Sinkronizoni serverin NTP për të korrigjuar kohën dhe për të shkruar mesazhin në paketë në formën e një etikete kohore relative me një shenjë timestamp në fund të kornizës, me saktësi nanosekondash.
Zhveshja e Enkapsulimit të Tunelit
Mbështeti kokën VxLAN, VLAN, GRE, GTP, MPLS, IPIP të hequr në paketën origjinale të të dhënave dhe daljen e përcillur.
Prerja e të dhënave/paketave
Ai mbështetcopëza paketeduke i dhënë të dhënat origjinale bazuar në ndërfaqen e hyrjes dhe daljes së trafikut në nivel politikash (64, 96, 128, 160, 192, 224, 256, 288, 320, 384, 512, 640, 768, 896, 960 bajt janë opsionale), dhe politika e daljes së trafikut mund të zbatohet sipas konfigurimit të përdoruesit.
Identifikimi i Protokollit të Tunelimit
Mbështet identifikimin automatik të protokolleve të ndryshme të tunelimit si GTP / GRE / VxLAN / PPTP / L2TP / PPPOE / IPIP. Sipas konfigurimit të përdoruesit, strategjia e daljes së trafikut mund të zbatohet sipas shtresës së brendshme ose të jashtme të tunelit.
Prioriteti i Përcjelljes së Paketave
Mbështet përcaktimin e përparësisë së paketave të të dhënave sipas rëndësisë së shërbimit në portin hyrës, dhe paketat me përparësi të lartë përcillen me përparësi në dalje. Pasi të përcillen paketat me përparësi të lartë, përcillen paketa të tjera me përparësi të mesme dhe të ulët. Shmangni alarmin e sistemit të analizës të shkaktuar nga humbja e paketave të rëndësishme të të dhënave.
Alarm jonormal
Mbështet monitorimin në kohë reale të alarmeve dhe regjistrimet historike të alarmeve të tendencave të trafikut të ndërfaqes bazuar në vendosjen e pragut. Mbështet monitorimin në kohë reale të alarmeve dhe regjistrimet historike të alarmeve bazuar në gjendjen shëndetësore të pajisjeve të pajisjes (cpu, memoria, temperatura, ventilatori, furnizimi me energji, etj.).
Kopje rezervë e nxehtë e ndërfaqes
Ai mbështet konfigurimin primar/në gatishmëri të ndërfaqes hyrëse 1+1, konfigurimin primar/në gatishmëri të ndërfaqes dalëse 1+1 dhe grupin e balancimit të ngarkesës N+1 konfigurimin primar/në gatishmëri për të arritur besueshmëri të lartë në procesin e trafikut nga hyrja në dalje.
Matja e mikroshpërthimeve të trafikut
Mund të zbulojë kohën e ndodhjes, kohëzgjatjen dhe shkallën e shpërthimit të mikro-shpërthimeve të trafikut në kohë reale, dhe të sigurojë ruajtjen e të dhënave historike të matjeve, të cilat ofrojnë mjete dhe bazë të matshme dhe të vëzhgueshme për zgjidhjen e problemeve të funksionimit dhe mirëmbajtjes dhe zbulimin e humbjes së paketave.
Mbrojtja nga Lëkundja e Ndërfaqes
Mbështet zbulimin dhe mbrojtjen e ngjarjeve të lëkundjes së lidhjes lart/poshtë të çdo ndërfaqeje, në mënyrë që të shmanget humbja e trafikut hyrës dhe dalës të shkaktuar nga lidhjet e shpeshta lart/poshtë të ndërfaqeve, dhe të përmirësohet stabiliteti i mbledhjes dhe përcjelljes së trafikut.
Dalja e Enkapsulimit të Tunelit
Ai mbështet enkapsulimin e tunelit të tipit ERSPAN2, GRE, VXLAN, NVGRE të çdo trafiku dhe rezultati të mbledhur për të përmbushur kërkesat e aplikacionit për transmetimin e trafikut të mbledhur në sistemin e analizës në distancë.
Terminimi i Paketave të Tunelit
Mbështet funksionin e terminimit të mesazheve të tunelit. Ky funksion lejon konfigurimin e adresave IP/maskës dhe adresave MAC në portën hyrëse të trafikut. Mundëson transmetimin direkt të trafikut që duhet të mblidhet në rrjetin e përdoruesit përmes metodave të enkapsulimit të tunelit si GRE, GTP dhe VXLAN në portën e mbledhjes së pajisjes.
Dekriptimi i SPAN SSL
Mbështetet ngarkimi i dekriptimit të certifikatës SSL përkatëse. Pas dekriptimit të të dhënave të enkriptuara HTTPS për trafikun e specifikuar, ato do të përcillen në sistemet e monitorimit dhe analizës së prapavijës sipas nevojës. Mbështeten TLS1.0, TLS1.2 dhe SSL3.0
Çdublikimi i të dhënave/paketave
Mbështetje për granularitet statistikor të bazuar në port ose në nivel politikash për të krahasuar të dhëna të shumëfishta burimore të koleksionit dhe përsëritje të të njëjtit paketë të dhënash në një kohë të caktuar. Përdoruesit mund të zgjedhin identifikues të ndryshëm të paketave (dst.ip, src.port, dst.port, tcp.seq, tcp.ack, dst.mac, src.mac, vlan.id)
Maskimi i datës së klasifikuar
Mbështetet granularitet i bazuar në politika për të zëvendësuar çdo fushë kyçe në të dhënat bruto me qëllim arritjen e qëllimit të mbrojtjes së informacionit të ndjeshëm. Sipas konfigurimit të përdoruesit, politika e daljes së trafikut mund të zbatohet.
Identifikimi i Protokollit të Shtresës APP
Mbështet identifikimin, nxjerrjen dhe hedhjen poshtë të Protokolleve të Shtresës së Aplikacionit bazuar në modalitetin e përputhjes DNS/URL. Biblioteka e veçorive DPI mund të integrohet për të njohur, nxjerrë dhe hedhur poshtë jo më pak se 1800 lloje veçorish të protokollit të aplikacionit (siç janë audio dhe video, lojëra, mesazhe të menjëhershme, bazë të dhënash, email, P2P, etj.), dhe biblioteka e veçorive DPI mund të përmirësohet dhe përditësohet. Nëse ka nevoja të veçanta, mund të kryhet edhe zhvillim dytësor.
Dekapsulimi i përcaktuar nga përdoruesi i paketës
Mbështet funksionin e ç'kapsulimit të paketave të vetëpërcaktuara, i cili mund të heqë fushat dhe përmbajtjen e enkapsulimit në çdo pozicion të 128 bajteve të para të paketës dhe ta nxjerrë atë në ekran.
Trafiku Shapping
Në të njëjtën kohë, teknologjia e formësimit të trafikut përdoret në ndërfaqen e daljes për të nxjerrë rrjedhën e të dhënave pa probleme në mjetin e analizës, gjë që zgjidh në thelb fenomenin e humbjes së paketave të shkaktuar nga mikro-shpërthimi dhe shmang alarmin jonormal të shkaktuar nga humbja e trafikut në sistemin e analizës.
Përputhja e Fjalëve Kyçe të Paketave
Pasi çdo përmbajtje fushe në pjesën e ngarkesës së paketës përputhet dhe goditet, paketa ose rrjedha e sesionit e shoqëruar përcillet dhe nxirret ose hidhet poshtë për të përmbushur kërkesat e para-përpunimit të të dhënave specifike të trafikut.
Zhveshja e Enkapsulimit të Tunelit
Mbështet prodhimin e VXLAN, MPLS, GRE, SRV6, FABRICPATCH, GENEVE dhe kokave të tjera të paketave në paketën origjinale të të dhënave pas heqjes.
Shkarkimi i Lidhjes Jetëgjatë
Sipas nevojave të përdoruesit, çdo rrjedhë sesioni mund të përcillet dhe të nxirret në pah sipas numrit të bajteve të transmetuara dhe numrit të paketave të transmetuara, dhe rrjedha pasuese e sesionit mund të fshihet, në mënyrë që të përmbushen kërkesat e sistemit të analizës back-end në disa skenarë specifikë, i cili duhet të marrë vetëm një pjesë të trafikut të rrjedhës së sesionit, të zvogëlojë presionin e analizës së trafikut dhe të përmirësojë efikasitetin e sistemit të analizës.
Analiza Statistikore e Trafikut
Ai mbështet statistikat e komponentëve të çdo trafiku të ndërfaqes hyrëse dhe mund të shfaqë madhësinë e trendit të trafikut, madhësinë/proporcionin e trafikut TOPN të adresës IP, madhësinë/proporcionin e trafikut TOPN të kategorisë së protokollit të aplikacionit, madhësinë/proporcionin e trafikut TOPN të emrit të protokollit të aplikacionit dhe informacionin e sesionit të trafikut në formën e grafikëve në kohë reale, dhe ofron eksportimin e rezultateve statistikore në skedarë lokalë. Kështu, përdoruesit mund ta kuptojnë më qartë strukturën e përbërjes së çdo trafiku të mbledhur dhe të ofrojnë bazën më të drejtpërdrejtë të mbështetjes së të dhënave për përshtatjen e strategjive të trafikut dhe ndryshimin e kërkesave të biznesit.
Dukshmëria e Trafikut - Analiza Bazë e të Dhënave
Moduli i analizës bazë të funksionit të zbulimit të vizualizimit të trafikut mund të tregojë informacionin bazë të të dhënave të trafikut të synuar të kapura, të tilla si numri i paketave, shpërndarja e paketave unicast/multicast/transmetim, numri i lidhjes së sesionit, shpërndarja e protokollit të paketave dhe madhësia e trafikut të kapur.
Dukshmëria e Trafikut - Analiza e Thellë e DPI-së
Moduli i analizës së thellë DPI i funksionit të zbulimit të dukshmërisë së trafikut mund të kryejë analiza të thella të të dhënave të trafikut të synuar të kapura nga perspektiva të shumëfishta dhe të paraqesë statistika të detajuara në formën e grafikëve dhe tabelave.
Dukshmëria e Trafikut - Analiza e Proporcionit të Trafikut
● Analiza e proporcionit të protokollit të shtresës së transportit: si TCP, UDP, ICMP, IGMP, ARP dhe statistika të tjera të proporcionit të paketave dhe trafikut dhe shfaqja e diagramit rrethor
● Analiza e proporcionit të trafikut IP: siç janë statistikat e trafikut të gjeneruara nga adresa të ndryshme IP, renditja e trafikut bazuar në IP TOP N dhe shfaqja e grafikut me shtylla
● Analiza e proporcionit të aplikacionit DPI: si HTTP, QQ, FTP dhe protokolle të tjera aplikacionesh, numri i bajteve, shpërndarja statistikore e trafikut të komunikimit dhe shfaqja në formë grafiku rrethor
Dukshmëria e Trafikut - Analiza e Kohës së Trafikut
Sipas kushteve të ndryshme të filtrimit, siç janë IP, porta, protokolli i shtresës së transportit, protokolli i shtresës së aplikacionit dhe përmbajtje të tjera të specifikuara, të dhënat aktuale të trafikut të kapjes së objektivit mund të analizohen dhe paraqiten bazuar në kohën e marrjes së mostrave, dhe madhësia dhe trendi i trafikut mund të pyeten duke lëvizur rrëshqitësin e kohës dhe shkallëzimin statistikor të granularitetit, dhe saktësia mund të arrijë deri në 1 milisekondë.
Dukshmëria e Trafikut – Analiza e Tabelës së Fluksit
Sipas kushteve të ndryshme të filtrit, siç janë ID-ja e rrjedhës, IP-ja, porta, protokolli i shtresës së transportit, protokolli i shtresës së aplikacionit dhe përmbajtje të tjera të specifikuara, të dhënat aktuale të trafikut të kapur të objektivit mund të analizohen dhe numërohen bazuar në modalitetin e rrjedhës së sesionit, domethënë, prezantimin e detajuar të informacionit të rrjedhës së sesionit, duke përfshirë informacionin me pesë grupe të secilit rrjedhë, llojin e aplikacionit që mbart, numrin dhe bajtet e transmetimit të paketave dhe rrjedhën e të dhënave të lidhura. Dhe ka një ekran renditjeje bazuar në informacionin e mësipërm. Bazuar në këtë informacion, përdoruesit mund të zgjedhin lehtësisht llojet e trafikut që u interesojnë, gjë që ofron bazën më të drejtpërdrejtë për përdoruesit për të formuluar politika të përcjelljes së trafikut.
Dukshmëria e Trafikut – Analiza e Paketave
Bazuar në kritere të ndryshme filtrimi, siç janë ID-ja e paketës, IP-ja, porta, protokolli i shtresës së transportit, protokolli i shtresës së aplikacionit dhe përmbajtje të tjera të specifikuara, të dhënat e trafikut të synuar të kapura mund të ofrohen me një prezantim analize në nivel për paketë, duke përfshirë:
● Analiza e vulës kohore të mbledhjes së paketave
● Analiza e informacionit të paketave kryesore, si p.sh. sip, dip, smac, dmac, protocol, flag, TTL, gjatësia e mesazhit, ngjarjet kryesore
● Analiza e rrugës së transmetimit të paketave dhe shfaqja e animacionit, si: kohët e dërgimit, vonesa e dërgimit, lloji i dërgimit (rrugëtimi, ndërrimi, firewall, balancimi i ngarkesës, NAT)
● Përmbledhje e informacionit të paketës dhe shfaqje e detajuar e strukturës
● Analiza e numrit të mbledhjes së përsëritur të paketave
Dukshmëria e Trafikut – Analizë e Precize e Defekteve
Moduli i analizës së defekteve të funksionit të zbulimit të dukshmërisë së trafikut mund të ofrojë pozicionime të ndryshme të analizës vizuale të defekteve për të dhënat e trafikut të synuar të kapura, duke përfshirë:
● Përmbledhje jonormale, si p.sh.: rezultatet e analizës së shërbimit të rrjetit, rezultatet e analizës së ngjarjeve jonormale, procesi i rrjetit bazuar në analizën e sjelljes (si p.sh. numri i pajisjeve të rrugëzimit, pajisjet NAT, pajisjet firewall, pajisjet e balancimit të ngarkesës të kaluara nga transmetimi i paketave)
● Analiza e dështimeve në nivelin e tabelës së rrjedhës, siç janë llojet e ngjarjeve anormale (lidhja e refuzuar/lidhja nuk përgjigjet/lidhja nuk transmeton të dhëna/lidhja gjysmë e hapur/rruga e seancës nuk është e arritshme, etj.), ● Analiza e dështimeve në nivel pakete, siç janë: lloji i ngjarjes anormale (gabim i kontrollit të paketës /TTL 0/ gabim i paarritshëm /gabim i kontrollit FCS, etj.), përshkrim i detajuar i informacionit anormal dhe detaje të rrjedhës së të dhënave përkatëse.
● Analiza e defekteve të sigurisë, si p.sh.: lloji i ngjarjes jonormale (sulm DDOS/bllokim i firewall-it /sulm ARP/përmbytje UDP/përmbytje SYN, etj.), përshkrim i detajuar i informacionit jonormal dhe detaje të rrjedhës së të dhënave përkatëse
● Analiza e defekteve të rrjetit, si p.sh.: lloji i ngjarjes jonormale (cikël ndërrimi/cikël rrugëzimi/shteg i paarritshëm/ndërprerje lidhjeje, etj.), përshkrim i detajuar i informacionit jonormal dhe detaje të rrjedhës së të dhënave përkatëse
5-Specifikimet e Ndërmjetësit të Paketave të Rrjetit Mylinking™ plus Ndërprerësit të Zhvendosjes në Linjë
| ML-NPB-M2000 Ndërmjetësi i Paketave të Rrjetit Mylinking™ plus Ndërprerësi i Zhvendosjes në Linjë Specifikimet Funksionale | ||||
| Ndërfaqja e rrjetit | Vendndodhja e modulit | 4 vende për module BYPASS ose MONITOR | ||
| Numri i lidhjeve të brendshme | Mbështet mbrojtje për deri në 16 lidhje optike 1G/10G ose 8 lidhje optike 40G/100G. | |||
| Ndërfaqja e monitorimit të monitorit | Mbështet një maksimum prej 64 ndërfaqesh monitorimi 1G/10GE ose 16 ndërfaqesh monitorimi 40G/100G. | |||
| Ndërfaqja e menaxhimit jashtë brezit | 1*portë Ethernet 10/100/1000M; | |||
| Modaliteti i vendosjes | Vendosja në linjë | Mbështetje | ||
| Vendosja e SPAN | Mbështetje | |||
| Funksionet e Sistemit | Modaliteti i vendosjes në linjë | Mbrojtje specifike e bashkimit të rrjedhës | Mbështetje | |
| Mbrojtje e të gjitha serive të rrjedhjes | Mbështetje | |||
| Balancimi i ngarkesës | Mbështetje | |||
| Zbulimi i rrahjeve të zemrës | Mbështetje | |||
| Ndërrimi BYPASS | Mbështetje | |||
| Bllokim trafiku | Mbështetje | |||
| Pasqyrimi i trafikut | Mbështetje | |||
| Proxy SSL | Mbështetje | |||
| Modaliteti i vendosjes SPAN | Përpunimi bazë i trafikut | Replikimi/grumbullimi/shpërndarja e trafikut | Mbështetje | |
| Balancimi i ngarkesës | Mbështetje | |||
| Filtrimi i trafikut bazuar në identifikuesin IP/protokolli/porti 5-tuple | Mbështetje | |||
| Etiketimi/modifikimi/fshirja e VLAN-it | Mbështetje | |||
| Vulosja kohore | Mbështetje | |||
| Zhveshja e enkapsulimit të tunelit | Mbështetje | |||
| Prerja e të dhënave | Mbështetje | |||
| Identifikimi i Protokollit të Tunelimit | Mbështetje | |||
| Prioriteti i përcjelljes së paketave | Mbështetje | |||
| Paralajmërim jonormal | Mbështetje | |||
| Ndërfaqja në pritje të nxehtë | Mbështetje | |||
| Matja e mikro-shpërthimit | Mbështetje | |||
| Mbrojtja e lëkundjes së ndërfaqes | Mbështetje | |||
| Dalja e Enkapsulimit të Tunelit | Mbështetje | |||
| Terminimi i paketave të tunelit | Mbështetje | |||
| Përpunim i avancuar i trafikut | Dekriptimi i anashkalimit të SSL-së | Mbështetje | ||
| Dedublikimi i të dhënave | Mbështetje | |||
| Maskimi i të dhënave | Mbështetje | |||
| Identifikimi i protokollit të shtresës së aplikacionit | Mbështetje | |||
| Dekapsulim i personalizuar | Mbështetje | |||
| Formësimi i rrjedhës | Mbështetje | |||
| Përputhja e fjalëve kyçe | Mbështetje | |||
| Zhveshja e enkapsulimit të tunelit | Mbështetje | |||
| Shkarkim i lidhjes afatgjatë | Mbështetje | |||
| Vëzhgimi i komponentëve të rrjedhës | Mbështetje | |||
| Diagnoza dhe monitorimi | Monitorim në kohë reale | Mbështetje | ||
| Pyetje historike për trafikun | Mbështetje | |||
| Kapja e trafikut | Mbështetje | |||
| Zbulimi i vizualizimit të trafikut | Analiza Themelore | Mbështet shfaqjen përmbledhëse statistikore bazuar në informacione bazë siç janë numri i paketave, shpërndarja e llojit të paketave, numri i lidhjeve të sesionit dhe shpërndarja e protokollit të paketave. | ||
| Analizë e Thelluar e DPI-së | Mbështet analizën e proporcionit të protokolleve të shtresës së transportit, proporcionin e unicast, broadcast dhe multicast, proporcionin e trafikut IP dhe proporcionin e aplikacioneve DPI. Mbështet analizën dhe prezantimin e përmbajtjes së të dhënave bazuar në kohën e marrjes së mostrave dhe vëllimin e të dhënave. Mbështet analizën e të dhënave dhe statistikat bazuar në rrjedhat e seancave. | |||
| Analizë e saktë e defekteve | Mbështet analizën dhe lokalizimin e defekteve duke përdorur të dhëna trafiku nga perspektiva të ndryshme, duke përfshirë: analizën e sjelljes së transmetimit të paketave, analizën e defekteve në nivel rrjedhe të dhënash, analizën e defekteve në nivel pakete të dhënash, analizën e defekteve që lidhen me sigurinë dhe analizën e defekteve që lidhen me rrjetin. | |||
| Kapaciteti i përpunimit | 2.4Tbps | |||
| Menaxho | Menaxhimi i Rrjetit CONSOLE | Mbështetje | ||
| Menaxhimi i Rrjetit IP/WEB | Mbështetje | |||
| Menaxhimi i rrjetit SNMP | Mbështetje | |||
| Menaxhimi i rrjetit TELNET/SSH | Mbështetje | |||
| Protokolli SYSLOG | Mbështetje | |||
| Autentifikimi i autorizimit të centralizuar RADIUS ose TADACS+ | Mbështetje | |||
| Funksioni i vërtetimit të përdoruesit | Vërtetimi i emrit të përdoruesit dhe fjalëkalimit | |||
| Elektrike | Tensioni i vlerësuar i furnizimit me energji | AC-220V/DC-48V [Opsionale] | ||
| Frekuenca e fuqisë së vlerësuar | AC-50HZ | |||
| Rryma e hyrjes së vlerësuar | AC-3A / DC-10A | |||
| Fuqia funksionale e vlerësuar | Maksimumi 300W | |||
| Mjedisi | Temperatura e funksionimit | 0-50℃ | ||
| Temperatura e ruajtjes | -20-70℃ | |||
| Lagështia e funksionimit | 10%-95%, pa kondensim | |||
| Konfigurimi i përdoruesit | Konfigurimi i konsolës | Ndërfaqe RS232, 115200, 8, N, 1 | ||
| Autentifikimi me fjalëkalim | Smbështetje | |||
| Madhësia e raftit | Hapësira e raftit (U) | 2U 444mm*88mm*670mm | ||
6-Aplikacioni Mylinking™ i Ndërmjetësit të Paketave të Rrjetit plus Ndërprerësit të Bypass-it në Linjë
6.1I/E/Të/TëRrreziku iInline SsiguriEpajisje (IPS / FW)
Më poshtë është një mënyrë tipike e vendosjes së IPS (Sistemi i Parandalimit të Ndërhyrjeve), FW (Firewall), IPS / FW vendoset në seri me pajisjet e rrjetit (router, switch, etj.) midis trafikut përmes zbatimit të kontrolleve të sigurisë, sipas politikës përkatëse të sigurisë për të përcaktuar lirimin ose bllokimin e trafikut përkatës, për të arritur efektin e mbrojtjes së sigurisë.
Më poshtë është një mënyrë tipike e vendosjes së IPS (Sistemi i Parandalimit të Ndërhyrjeve), FW (Firewall), IPS / FW vendoset në seri me pajisjet e rrjetit (router, switch, etj.) midis trafikut përmes zbatimit të kontrolleve të sigurisë, sipas politikës përkatëse të sigurisë për të përcaktuar lirimin ose bllokimin e trafikut përkatës, për të arritur efektin e mbrojtjes së sigurisë.
6.2 Mbrojtja e Pajisjeve të Serisë Inline Link
Ndërmjetësi i Paketave të Rrjetit Mylinking™ plus Ndërprerësi i Zhvendosjes në Linjë vendoset në seri midis pajisjeve të rrjetit (routerëve, ndërprerësve, etj.), dhe rrjedha e të dhënave midis pajisjeve të rrjetit nuk çon më drejtpërdrejt në IPS / FW, "Smart Inline Bypass Switch" kalon në IPS / FW, kur IPS / FW për shkak të mbingarkesës, rrëzimit, përditësimeve të softuerit, përditësimeve të politikave dhe kushteve të tjera të dështimit, "Smart Inline Bypass Switch" përmes funksionit inteligjent të zbulimit të mesazheve të rrahjeve të zemrës zbulon në kohë, dhe kështu anashkalon pajisjen e dëmtuar, pa ndërprerë premisat e rrjetit, pajisjet e rrjetit lidhen drejtpërdrejt me njëra-tjetrën për të mbrojtur rrjetin normal të komunikimit; kur IPS / FW dështon, por edhe përmes funksionit inteligjent të zbulimit të paketave të rrahjeve të zemrës, lidhja origjinale rivendos sigurinë e kontrollit të sigurisë së rrjetit të ndërmarrjes.
Ndërmjetësi i Paketave të Rrjetit Mylinking™ plus Ndërprerësi i Zhvendosjes në Linjë ka një funksion të fuqishëm inteligjent të zbulimit të mesazhit të rrahjeve të zemrës, përdoruesi mund të personalizojë intervalin e rrahjeve të zemrës dhe numrin maksimal të ripërpjekjeve, përmes një mesazhi të personalizuar të rrahjeve të zemrës në IPS / FW për testimin e gjendjes, siç është dërgimi i mesazhit të kontrollit të rrahjeve të zemrës në portin upstream / downstream të IPS / FW, dhe më pas marrja nga porti upstream / downstream i IPS / FW, dhe gjykimi nëse IPS / FW po funksionon normalisht duke dërguar dhe marrë mesazhin e rrahjeve të zemrës.
6.3 Rrjedha e Politikës “SpecFlow” në linjëSiguriaMbrojtja e Serisë
Kur pajisja e rrjetit të sigurisë duhet të merret vetëm me trafikun specifik në mbrojtje të sigurisë në seri, nëpërmjet funksionit të përpunimit të trafikut për çdo trafik Mylinking™ Network Packet Broker plus Inline Bypass Switch, nëpërmjet politikës së shqyrtimit të trafikut për të lidhur pajisjen e sigurisë në linjë, trafiku "i shqetësuar" dërgohet përsëri direkt në lidhjen e rrjetit, dhe "seksioni i trafikut të shqetësuar" tërhiqet në pajisjen e sigurisë në linjë për të kryer kontrolle sigurie. Kjo jo vetëm që do të ruajë zbatimin normal të funksionit të zbulimit të sigurisë të pajisjes së sigurisë, por gjithashtu do të zvogëlojë rrjedhën joefikase të pajisjeve të sigurisë për t'u marrë me presionin; në të njëjtën kohë, "Smart Inline Bypass Switch" mund të zbulojë gjendjen e punës së pajisjes së sigurisë në kohë reale. Pajisja e sigurisë funksionon në mënyrë anormale duke anashkaluar trafikun e të dhënave direkt për të shmangur ndërprerjen e shërbimit të rrjetit.
Ndërmjetësi i Paketave të Rrjetit Mylinking™ plus Ndërprerësi i Zhvendosjes në Linjë mund të identifikojë trafikun bazuar në identifikuesin e kokës së shtresës L2-L4, siç është etiketa VLAN, adresa MAC burim/destinacion, adresa IP burim, lloji i paketës IP, porta e protokollit të shtresës së transportit, etiketa e çelësit të kokës së protokollit e kështu me radhë. Një sërë kombinimesh fleksibël të kushteve të përputhjes mund të përcaktohen në mënyrë fleksibile për të përcaktuar llojet specifike të trafikut që janë me interes për një pajisje të caktuar sigurie dhe mund të përdoren gjerësisht për vendosjen e pajisjeve speciale të auditimit të sigurisë (RDP, SSH, auditimi i bazës së të dhënave, etj.).
6.4Lngarkesë e balancuarSiguria në linjëMbrojtja e Serisë
Ndërmjetësi i Paketave të Rrjetit Mylinking™ plus Ndërprerësi i Zhvendosjes në Linjë vendoset në seri midis pajisjeve të rrjetit (routerëve, ndërprerësve, etj.). Kur performanca e përpunimit të një IPS / FW të vetëm nuk është e mjaftueshme për të përballuar trafikun maksimal të lidhjes së rrjetit, funksioni i balancimit të ngarkesës së trafikut të mbrojtësit, "bashkimi" i trafikut të shumëfishtë të lidhjes së rrjetit të përpunimit të klasterit IPS / FW, mund të zvogëlojë në mënyrë efektive presionin e përpunimit të një IPS / FW të vetëm, duke përmirësuar performancën e përgjithshme të përpunimit për të përmbushur gjerësinë e lartë të brezit të mjedisit të vendosjes.
Mylinking™ Network Packet Broker plus Inline Bypass Switch ka një funksion të fuqishëm balancimi të ngarkesës, sipas etiketës VLAN të kornizës, informacionit MAC, informacionit IP, numrit të portit, protokollit dhe informacioneve të tjera mbi shpërndarjen e balancimit të ngarkesës Hash të trafikut për të siguruar që çdo IPS / FW i marrë të ketë integritetin e sesionit.
6.5Shumë-seriPajisjet në linjë Fi ulëtTpërçarjePmbrojtje(NdryshoFizikeLidhje seriale meLogjikLidhje paralele)
Në disa lidhje kyçe (siç janë prizat e internetit, lidhja e shkëmbimit të zonës së serverit) vendndodhja shpesh është për shkak të nevojave të karakteristikave të sigurisë dhe vendosjes së pajisjeve të shumëfishta të testimit të sigurisë në linjë (siç janë firewall, pajisjet anti-sulm DDOS, firewall i aplikacioneve WEB, pajisjet e parandalimit të ndërhyrjeve, etj.), pajisje të shumëfishta zbulimi sigurie të lidhura njëkohësisht në seri në lidhje për të rritur lidhjen e një pike të vetme dështimi, duke zvogëluar besueshmërinë e përgjithshme të rrjetit. Dhe në vendosjen online të pajisjeve të sigurisë të lartpërmendura, përmirësimet e pajisjeve, zëvendësimi i pajisjeve dhe operacione të tjera, do të shkaktojnë ndërprerje të shërbimit të rrjetit për një kohë të gjatë dhe një prerje të projektit më të madh, veprim për të përfunduar zbatimin me sukses të projekteve të tilla.
Duke vendosur Mylinking™ Network Packet Broker plus Inline Bypass Switch në një mënyrë të unifikuar, mënyra e vendosjes së shumë pajisjeve të sigurisë të lidhura në seri në të njëjtën lidhje mund të ndryshohet nga "Mënyra e Lidhjes Fizike Seriale" në "Mënyra e Lidhjes Fizike Paralele por Logjike Seriale". Kjo zvogëlon në mënyrë efektive burimet e një pike të vetme dështimi në lidhjen seriale dhe përmirëson besueshmërinë e lidhjes. Në të njëjtën kohë, Mylinking™ Network Packet Broker plus Inline Bypass Switch mund të drejtojë trafikun e lidhjes sipas kërkesës, duke arritur të njëjtin efekt të përpunimit të sigurisë së trafikut si mënyra origjinale e lidhjes seriale.
Më shumë se një pajisje sigurie në linjë në të njëjtën kohë në diagramin e vendosjes në seri:
Diagrama e Vendosjes së Ndërmjetësit të Paketave të Rrjetit Mylinking™ plus Ndërprerësit të Zhvendosjes në Linjë:
(Ndrysho lidhjen fizike seriale në lidhje logjike paralele)
6.6Bazuar nëDPolitika dinamike eTraffic InlineSsiguriDmbrojtjePmbrojtje
Mylinking™ Network Packet Broker plus Inline Bypass Switch, një tjetër skenar i avancuar aplikacioni bazohet në politikën dinamike të aplikacioneve të mbrojtjes së zbulimit të sigurisë së tërheqjes së trafikut, vendosja e mënyrës siç tregohet më poshtë:
Merrni për shembull pajisjet e testimit të sigurisë "Mbrojtje dhe zbulim kundër sulmeve Anti-DDoS", përmes vendosjes në front-end të "Smart Bypass Switch" dhe më pas pajisjeve të mbrojtjes anti-DDOS dhe më pas të lidhura me "Smart Bypass Switch", në "Smart Bypass Switch" të zakonshëm për të dërguar sasinë e plotë të trafikut me shpejtësi teli në të njëjtën kohë daljen e pasqyrës së rrjedhës në "Pajisjen e mbrojtjes nga sulmet Anti-DDOS", pasi të zbulohet për një IP të serverit (ose segment IP të rrjetit) pas sulmit, "Pajisja e mbrojtjes nga sulmet Anti-DDOS" do të gjenerojë rregullat e përputhjes së rrjedhës së trafikut të synuar dhe do t'i dërgojë ato te "Smart Bypass Switch" përmes ndërfaqes dinamike të ofrimit të politikave. "Bypass Switch" mund të përditësojë "trafik dinamik" pasi të marrë rregullat dinamike të politikës, grupi i rregullave "dhe menjëherë" rregulli godet "trafikin e serverit të sulmit" tërheqje në "pajisjen e mbrojtjes dhe zbulimit të sulmeve anti-DDoS" për përpunim, për të qenë efektiv pas rrjedhës së sulmit dhe pastaj të riinjektohet në rrjet.
Skema e aplikimit e bazuar në "Smart Bypass Switch" është më e lehtë për t'u zbatuar sesa injektimi tradicional i rrugës BGP ose skema të tjera të tërheqjes së trafikut, dhe mjedisi është më pak i varur nga rrjeti dhe besueshmëria është më e lartë.
"Smart Bypass Switch" ka karakteristikat e mëposhtme për të mbështetur mbrojtjen dinamike të zbulimit të sigurisë së politikave:
1. "Smart Bypass Switch" për të ofruar integrim të lehtë me pajisjet e sigurisë të palëve të treta, jashtë rregullave, bazuar në ndërfaqen WEBSERIVCE.
2. "Smart Bypass Switch" bazuar në çipin ASIC të pastër hardware që përcjell paketa me shpejtësi teli deri në 100 Gbps pa bllokuar përcjelljen e switch-it, dhe "bibliotekë rregullash dinamike të tërheqjes së trafikut" pavarësisht nga numri.
3. Funksioni profesional BYPASS i integruar "Smart Bypass Switch", edhe nëse vetë mbrojtësi dështon, mund të anashkalojë menjëherë lidhjen origjinale seriale, pa ndikuar në lidhjen origjinale të komunikimit normal.
6.7Pasqyrimi i Trafikut Serial në Rrjetpër Siguri Jashtë Bandës (Inline + SPAN)
Ndërmjetësi i Paketave të Rrjetit Mylinking™ plus Ndërprerësi i Zhvendosjes në Linjë zakonisht vendoset në rrjetin IT ose rrjetin e platformës cloud të një klienti për të ofruar mbrojtje në linjë për pajisjet WAF/IPS dhe lidhjen origjinale. Përdoruesit gjithashtu mund të kenë kërkesa shtesë për testimin, verifikimin ose vendosjen e pajisjeve të monitorimit të anashkalimit, duke bërë të nevojshme marrjen e të dhënave të trafikut në këtë lidhje.
Prandaj, duke përdorur funksionin e pasqyrimit të trafikut të Mylinking™ Network Packet Broker plus Inline Bypass Switch, trafiku i lidhjes seriale inline mund të pasqyrohet nga porta e monitorimit, siç tregohet në figurën e mëposhtme:
Diagrama më poshtë ilustron një skenar të zgjeruar aplikimi të trafikut të lidhjeve në linjë dhe trafikut të porteve të pasqyruara nga switch-i. Kjo lejon mbrojtjen e trafikut të lidhjeve në linjë pa u prekur nga trafiku i porteve të pasqyruara nga switch-i. Sistemi i analizës IDS mund të marrë njëkohësisht si trafikun e lidhjeve në linjë ashtu edhe trafikun e porteve të pasqyruara nga switch-i. Metoda e vendosjes tregohet në diagramin më poshtë:
6.8Çdublikimi i të dhënave/paketaveAplikacioni
Siç tregohet në strukturën e vendosjes së aplikacionit më sipër, për të siguruar integritetin e mbledhjes origjinale të të dhënave përgjatë të gjithë lidhjes, disa paketa identike të të dhënave mund të mblidhen shumë herë brenda një rruge të vetme. Kjo çon në rritje të alarmeve të rreme dhe ritransmetimeve në sistemin backend, duke rritur mbingarkesën e performancës së sistemit të analizës dhe duke ndikuar në saktësinë dhe efektivitetin e analizës. Bazuar në zgjidhje, së pari, paketat e të dhënave të dyfishta të cilat çduplikohen në nyje të ndryshme kapëse. Vetëm një paketë të dhënash përcillet në sistemin e analizës së performancës së rrjetit NPM të backend dhe sistemin e analizës së performancës së aplikacionit APM, duke kursyer kështu performancën e sistemit të analizës dhe duke përmirësuar efikasitetin dhe saktësinë e analizës.
6.9Të dhëna/PaketëEtiketa VLANdukeAplikacioni
Në mjedisin e rrjetit të treguar në diagramin më sipër, zgjidhja përdoret për të etiketuar të dhënat e papërpunuara nga pajisje të ndryshme të rrjetit dhe nyjet e lidhjes. Kur ndodhin trafik ose paketa të dhënash jonormale në rrjet, pajisjet e analizës së prapavijës mund të lokalizojnë shpejt dhe me saktësi burimin e të dhënave jonormale duke i gjurmuar ato bazuar në etiketat e të dhënave.
6.10 Trafiku i RrjetitOrari i UnifikuarAplikacioni
Në mjedisin e rrjetit të treguar në diagramin më sipër, të dhëna të shumta të lidhjes burimore 10GE, 25GE, 40GE dhe 100GE futen plotësisht në Ndërmjetësin e Paketave të Rrjetit Mylinking™ plus Ndërprerësin e Bypass-it në Linjë duke përdorur ndarjen optike ose pasqyrën e portit. Pastaj, filtrimi dhe ndarja e trafikut përdoren për të nxjerrë trafik të ndryshëm të të dhënave të shërbimit në pajisje të ndryshme të sistemit të monitorimit dhe sigurisë së rrjetit jashtë brezit. Kur anomalitë e paketave të rrjetit ose luhatjet jonormale të trafikut kërkojnë ndërhyrje manuale, kapja e paketave në kohë reale dhe analiza e paketave origjinale të të dhënave mund të kryhet menjëherë për të ndihmuar përdoruesit të analizojnë dhe lokalizojnë shpejt defektin.
6.11RrjetiAnaliza e Dukshmërisë së të Dhënave të TrafikutAplikacioni
Mund të paraqesë çdo të dhënë të zbuluar dhe të kapur në një mënyrë shumëdimensionale dhe shumëperspektive përmes një ndërfaqeje interaktive grafike dhe teksti miqësore për përdoruesit, duke përfshirë strukturën e përbërjes së trafikut, shpërndarjen e protokollit të aplikacionit, shpërndarjen e trafikut të të gjitha nyjeve të rrjetit, rrugën e transmetimit të të dhënave, zbulimin e ngjarjeve anormale, vendndodhjen e saktë të defekteve të elementit/lidhjes së rrjetit, statusin e ndërveprimit të mesazheve, trendin e zhvillimit të trafikut dhe aspekte të tjera për monitorim dhe analizë, në mënyrë që të krijojë një platformë gjithëpërfshirëse, të dukshme dhe të kontrollueshme të mbledhjes së të dhënave dhe sigurisë për rrjetet e ndërmarrjeve.
Kategoritë e produkteve
-
Ndërmjetësi i Paketave të Rrjetit Mylinking™ (NPB) ML-NPB-4810P
-
Ndërmjetësi i Paketave të Rrjetit Mylinking™ (NPB) ML-NPB-54...
-
Ndërmjetësi i Paketave të Rrjetit Mylinking™ (NPB) ML-NPB-3210+
-
Ndërmjetësi i Paketave të Rrjetit Mylinking™ (NPB) ML-NPB-6410+
-
Ndërmjetësi i Paketave të Rrjetit Mylinking™ (NPB) ML-NPB-3210L
-
Ndërmjetësi i Paketave të Rrjetit Mylinking™ (NPB) ML-NPB-2410
