1- Define Heartbeat Packet이란 무엇인가요?
Mylinking™ 네트워크 탭 바이패스 스위치의 하트비트 패킷은 기본적으로 이더넷 레이어 2 프레임으로 설정됩니다. IPS/FW와 같은 투명한 레이어 2 브리징 모드를 사용하는 경우, 레이어 2 이더넷 프레임은 일반적으로 전달, 차단 또는 폐기됩니다. 또한, Mylinking™ 네트워크 탭 바이패스 스위치는 일부 특수 직렬 보안 장치가 일반 레이어 2 이더넷 프레임을 정상적으로 전달할 수 없는 상황을 해결하기 위해 사용자 지정 하트비트 메시지 형식을 지원합니다.
Mylinking™ 네트워크 탭 바이패스 스위치는 VLAN 태그, 레이어 3 및 레이어 4 사용자 지정 메시지 유형을 기반으로 하트비트 패킷 감지를 지원합니다. 이 메커니즘을 기반으로 사용자는 연결 보안 장치의 서비스 안전 테스트 기능을 구현하여 해당 보안 서비스의 정상 작동 여부를 더욱 효과적으로 확인할 수 있습니다.
Mylinking™ 네트워크 탭 바이패스 스위치는 모니터가 양방향으로 다양한 하트비트 패킷을 전송할 수 있도록 지원합니다. 예를 들어, TCP 및 UDP 유형의 하트비트 패킷은 "Strategy Traffic Traction Protector"에서 직렬 장치의 특성에 따라 맞춤 설정됩니다. 직렬 보안 장치의 메시지 전달 메커니즘에 맞춰 업링크 모니터 A 포트에서 TCP 하트비트 패킷을 전송하고 다운링크 모니터 B 포트에서 UDP 하트비트 패킷을 전송하도록 구성할 수 있습니다. 이 기능은 문자열을 더욱 효과적으로 보장할 수 있습니다. 안전 장비가 정상 작동하도록 연결하십시오.
Mylinking™ 네트워크 인라인 바이패스 스위치는 높은 네트워크 안정성을 제공하는 동시에 다양한 유형의 직렬 보안 장비를 유연하게 구축하는 데 사용되도록 연구 및 개발되었습니다.
2-네트워크 인라인 바이패스 스위치 고급 기능 및 기술
Mylinking™ “SpecFlow” 보호 모드 및 “FullLink” 보호 모드 기술
Mylinking™ 고속 바이패스 스위칭 보호 기술
Mylinking™ “LinkSafeSwitch” 기술
Mylinking™ "웹 서비스" 동적 전략 전달/발급 기술
Mylinking™ 지능형 하트비트 메시지 감지 기술
Mylinking™ 정의 가능 하트비트 메시지 기술
Mylinking™ 멀티링크 부하 분산 기술
Mylinking™ 지능형 교통 분배 기술
Mylinking™ 동적 부하 분산 기술
Mylinking™ 원격 관리 기술(HTTP/WEB, TELNET/SSH, “EasyConfig/AdvanceConfig” 특성)
3-네트워크 인라인 바이패스 스위치 응용 프로그램(다음과 같음)
3.1 인라인 보안 장비(IPS/FW)의 위험
다음은 전형적인 IPS(침입방지시스템), FW(방화벽) 구축 방식입니다. IPS/FW는 네트워크 장비(라우터, 스위치 등)에 직렬로 구축되어 트래픽 간 보안 검사를 실시하고, 해당 보안 정책에 따라 해당 트래픽을 해제하거나 차단하여 보안 방어 효과를 얻습니다.
IPS/FW는 일반적으로 기업 네트워크의 핵심 위치에 배치되어 직렬 보안을 구현하는 장비의 직렬 배치로 볼 수 있습니다. 연결된 장치의 안정성은 전체 기업 네트워크 가용성에 직접적인 영향을 미칩니다. 직렬 장치에 과부하, 충돌, 소프트웨어 업데이트, 정책 업데이트 등이 발생하면 전체 기업 네트워크 가용성이 크게 영향을 받습니다. 이 경우, 네트워크 차단이나 물리적 우회 점퍼를 통해서만 네트워크를 복구할 수 있으며, 이는 네트워크 안정성에 심각한 영향을 미칩니다. IPS/FW를 비롯한 직렬 장치는 기업 네트워크 보안 구축을 향상시키지만, 다른 한편으로는 기업 네트워크의 안정성을 저하시켜 네트워크 가용성 저하 위험을 증가시킵니다.
3.2 인라인 링크 시리즈 장비 보호
Mylinking™ "네트워크 인라인 바이패스"는 네트워크 장치(라우터, 스위치 등) 사이에 직렬로 배포되며, 네트워크 장치 간의 데이터 흐름이 더 이상 IPS/FW로 직접 이어지지 않습니다. "네트워크 인라인 바이패스"는 IPS/FW로, 과부하, 충돌, 소프트웨어 업데이트, 정책 업데이트 및 기타 장애 조건으로 인해 IPS/FW가 실패할 때 "네트워크 인라인 바이패스"는 지능형 하트비트 메시지 감지 기능을 통해 적시에 발견하고 오류가 있는 장치를 건너뛰고 네트워크 전제를 중단하지 않고 빠르게 네트워크 장비를 직접 연결하여 정상적인 통신 네트워크를 보호합니다. IPS/FW 장애가 복구될 때뿐만 아니라 지능형 하트비트 패킷 감지 기능을 통해 적시에 발견하고 원래 링크를 복원하여 기업 네트워크의 보안을 검사합니다.
Mylinking™ "네트워크 인라인 바이패스"는 강력한 지능형 하트비트 메시지 감지 기능을 갖추고 있어, 사용자는 하트비트 간격과 최대 재시도 횟수를 사용자 정의할 수 있으며, 사용자 정의 하트비트 메시지를 통해 IPS/FW의 상태를 테스트할 수 있습니다. 예를 들어, 하트비트 확인 메시지를 IPS/FW의 업스트림/다운스트림 포트로 보낸 다음 IPS/FW의 업스트림/다운스트림 포트에서 하트비트 메시지를 수신하고, 하트비트 메시지를 보내고 수신하여 IPS/FW가 정상적으로 작동하는지 판단할 수 있습니다.
3.3 "SpecFlow" 정책 흐름 인라인 트랙션 시리즈 보호
보안 네트워크 장비가 직렬 보안 보호에서 특정 트래픽만 처리해야 하는 경우, Mylinking™의 "네트워크 인라인 바이패스" 트래픽 처리 기능을 통해 트래픽 검사 전략을 통해 보안 장비의 "해당" 트래픽을 네트워크 링크로 직접 전송하고, "해당 트래픽 구간"을 인라인 안전 장비로 연결하여 안전 점검을 수행합니다. 이를 통해 안전 장비의 안전 감지 기능의 정상적인 작동을 유지할 뿐만 아니라, 안전 장비의 부하 처리에 따른 비효율적인 흐름을 줄일 수 있습니다. 동시에 "네트워크 인라인 바이패스"는 안전 장비의 작동 상태를 실시간으로 감지할 수 있습니다. 안전 장비는 비정상적으로 작동하는 경우 데이터 트래픽을 직접 우회하여 네트워크 서비스 중단을 방지합니다.
3.4 부하 분산 시리즈 보호
Mylinking™ "네트워크 인라인 바이패스"는 네트워크 장치(라우터, 스위치 등) 간에 직렬로 구축됩니다. 단일 IPS/FW 처리 성능으로는 네트워크 링크 최대 트래픽을 감당하기에 부족할 경우, 프로텍터의 트래픽 부하 분산 기능인 여러 IPS/FW 클러스터를 "묶어" 네트워크 링크 트래픽을 처리함으로써 단일 IPS/FW의 처리 부담을 효과적으로 줄이고, 전체 처리 성능을 향상시켜 구축 환경의 높은 대역폭 요구를 충족할 수 있습니다.
Mylinking™ "네트워크 인라인 바이패스"는 강력한 부하 분산 기능을 갖추고 있어 프레임 VLAN 태그, MAC 정보, IP 정보, 포트 번호, 프로토콜 및 기타 정보에 따라 해시 부하 분산 트래픽을 분배하여 각 IPS/FW가 수신한 데이터 흐름 세션 무결성을 보장합니다.
3.5 다중 시리즈 인라인 장비 흐름 견인 보호(직렬 연결을 병렬 연결로 변경)
일부 주요 링크(예: 인터넷, 서버 영역 교환 링크)의 경우, 보안 기능의 필요성과 여러 보안 테스트 장비(예: 방화벽, DDOS 공격 방지 장비, 웹 애플리케이션 방화벽, 침입 방지 장비 등)의 인라인 배치로 인해 링크에 여러 보안 탐지 장비가 동시에 직렬로 배치되는 경우가 많습니다. 이는 링크의 단일 장애 지점을 증가시켜 네트워크의 전반적인 안정성을 저하시킵니다. 또한, 위에서 언급한 보안 장비의 온라인 배치, 장비 업그레이드, 장비 교체 등의 작업은 네트워크의 장기적인 서비스 중단을 초래하고, 이러한 프로젝트의 성공적인 구현을 위한 대규모 프로젝트 감축을 초래합니다.
"네트워크 인라인 바이패스"를 통합적으로 배치함으로써 동일 링크에 직렬로 연결된 여러 보안 장치의 배치 모드를 "물리적 연결 모드"에서 "물리적 연결, 논리적 연결 모드"로 변경할 수 있습니다. 단일 장애 지점의 링크에 대한 링크는 링크의 안정성을 향상시키는 반면, "네트워크 인라인 바이패스"는 링크의 흐름에 대한 수요에 따른 견인력을 제공하여 원래 모드와 동일한 흐름으로 안전한 처리 효과를 얻을 수 있습니다.
직렬 배치 다이어그램에서 동시에 두 개 이상의 보안 장치:
네트워크 인라인 바이패스 스위치 배포 다이어그램:
3.6 교통량 추적 보안 감지 보호의 동적 전략 기반
"네트워크 인라인 바이패스" 또 다른 고급 응용 프로그램 시나리오는 트래픽 추적 보안 감지 보호 응용 프로그램의 동적 전략을 기반으로 하며, 배포 방식은 아래와 같습니다.
예를 들어 "안티-DDoS 공격 보호 및 탐지" 보안 테스트 장비를 예로 들면, 프런트엔드에 "네트워크 인라인 바이패스"를 구축하고 안티-DDoS 보호 장비를 연결한 후 "네트워크 인라인 바이패스"에 연결합니다. 일반적인 "트랙션 프로텍터"에서 전체 트래픽을 유선 속도로 전송하는 동시에 플로우 미러 출력을 "안티-DDoS 공격 보호 장치"로 출력합니다. 공격이 감지되면 서버 IP(또는 IP 네트워크 세그먼트)에 대한 "안티-DDoS 공격 보호 장치"가 대상 트래픽 플로우 매칭 규칙을 생성하여 동적 정책 전달 인터페이스를 통해 "네트워크 인라인 바이패스"로 전송합니다. "네트워크 인라인 바이패스"는 동적 정책 규칙 풀을 수신한 후 "트래픽 트랙션 동적"을 업데이트하고 즉시 "규칙"을 공격 서버 트래픽 "트랙션"에 적용하여 "안티-DDoS 공격 보호 및 탐지" 장비로 처리하여 공격 플로우가 발생한 후 네트워크에 다시 주입되도록 합니다.
"네트워크 인라인 바이패스"를 기반으로 하는 애플리케이션 방안은 기존의 BGP 경로 주입이나 기타 트래픽 추적 방안보다 구현이 간편하고, 환경에 대한 네트워크 의존도가 낮고 안정성이 더 높습니다.
"네트워크 인라인 바이패스"는 동적 정책 보안 탐지 보호를 지원하기 위해 다음과 같은 특징을 가지고 있습니다.
1. "네트워크 인라인 바이패스"는 WEBSERIVCE 인터페이스 기반 외부 규칙을 제공하며, 타사 보안 장치와 쉽게 통합됩니다.
2. 하드웨어 순수 ASIC 칩을 기반으로 스위치 전달을 차단하지 않고 최대 10Gbps의 와이어 속도 패킷을 전달하는 "네트워크 인라인 바이패스"와 개수에 관계없이 "트래픽 트랙션 동적 규칙 라이브러리"를 제공합니다.
3. "네트워크 인라인 바이패스" 내장 전문 바이패스 기능으로 보호기 자체에 장애가 발생하더라도 원래 직렬 링크를 즉시 바이패스할 수 있으며, 원래 링크의 정상적인 통신에 영향을 미치지 않습니다.
게시 시간: 2021년 12월 23일
