1. 하트비트 패킷이란 무엇인가요?
Mylinking™ 네트워크 탭 바이패스 스위치의 하트비트 패킷은 기본적으로 이더넷 레이어 2 프레임입니다. IPS/FW와 같은 투명 레이어 2 브리징 모드를 배포할 경우, 레이어 2 이더넷 프레임은 정상적으로 전달, 차단 또는 폐기됩니다. 또한 Mylinking™ 네트워크 탭 바이패스 스위치는 일부 특수 직렬 보안 장치가 일반 레이어 2 이더넷 프레임을 정상적으로 전달할 수 없는 상황을 위해 사용자 지정 하트비트 메시지 형식을 지원합니다.
또한 Mylinking™ 네트워크 탭 바이패스 스위치는 VLAN 태그, 레이어 3 및 레이어 4 사용자 지정 메시지 유형을 기반으로 하는 하트비트 패킷 감지를 지원합니다. 이 메커니즘을 통해 사용자는 연결 보안 장치의 서비스 안전성 테스트 기능을 구현하여 해당 보안 서비스가 제대로 작동하는지 더욱 효과적으로 확인할 수 있습니다.
Mylinking™ 네트워크 탭 바이패스 스위치는 모니터가 양방향으로 서로 다른 하트비트 패킷을 전송할 수 있도록 지원합니다. 예를 들어, TCP 및 UDP 유형의 하트비트 패킷은 직렬 장치의 특성에 따라 "전략적 트래픽 추적 보호기"에서 사용자 정의할 수 있습니다. 업링크 모니터 A 포트에서는 TCP 하트비트 패킷을, 다운링크 모니터 B 포트에서는 UDP 하트비트 패킷을 전송하도록 설정하여 직렬 보안 장치의 메시지 전달 메커니즘에 맞출 수 있습니다. 이 기능은 직렬 연결된 보안 장비의 정상 작동을 더욱 효과적으로 보장할 수 있습니다.
Mylinking™ 네트워크 인라인 바이패스 스위치는 높은 네트워크 신뢰성을 제공하면서 다양한 유형의 직렬 보안 장비를 유연하게 배치할 수 있도록 연구 개발되었습니다.
2. 네트워크 인라인 바이패스 스위치 고급 기능 및 기술
Mylinking™ "SpecFlow" 보호 모드 및 "FullLink" 보호 모드 기술
Mylinking™ 고속 바이패스 스위칭 보호 기술
Mylinking™ "LinkSafeSwitch" 기술
Mylinking™ "웹 서비스" 동적 전략 전달/발행 기술
Mylinking™ 지능형 심장 박동 메시지 감지 기술
Mylinking™ 정의 가능한 하트비트 메시지 기술
Mylinking™ 멀티링크 부하 분산 기술
Mylinking™ 지능형 트래픽 분배 기술
Mylinking™ 동적 부하 분산 기술
Mylinking™ 원격 관리 기술(HTTP/웹, 텔넷/SSH, "EasyConfig/AdvanceConfig" 기능)
3. 네트워크 인라인 바이패스 스위치 적용 사례(아래 참조)
3.1 인라인 보안 장비(IPS/FW)의 위험성
다음은 일반적인 IPS(침입 방지 시스템) 및 FW(방화벽) 구축 모드입니다. IPS/FW는 네트워크 장비(라우터, 스위치 등)에 직렬로 설치되어 트래픽 간의 보안 검사를 수행하고, 해당 보안 정책에 따라 트래픽의 통과 또는 차단을 결정하여 보안 방어 효과를 달성합니다.
동시에, IPS/FW는 기업 네트워크의 핵심 위치에 순차적으로 배치되어 보안을 강화하는 장비로, 연결된 장비들의 신뢰성은 기업 네트워크 전체의 가용성에 직접적인 영향을 미칩니다. 이러한 장비들이 과부하, 고장, 소프트웨어 업데이트, 정책 업데이트 등의 문제로 인해 가동 중단될 경우, 전체 기업 네트워크의 가용성에 심각한 차질이 발생할 수 있습니다. 이 경우, 네트워크 연결을 차단하거나 물리적 우회 연결을 통해 복구하는 방법밖에 없지만, 이는 네트워크의 신뢰성을 크게 저해합니다. IPS/FW를 비롯한 직렬 장비들은 기업 네트워크 보안을 강화하는 동시에 네트워크의 신뢰성을 떨어뜨리고 네트워크 장애 위험을 증가시키는 결과를 초래합니다.
3.2 인라인 링크 시리즈 장비 보호
Mylinking™ "네트워크 인라인 바이패스"는 네트워크 장치(라우터, 스위치 등) 사이에 직렬로 설치되어, 네트워크 장치 간 데이터 흐름이 IPS/FW를 직접 거치지 않고 "네트워크 인라인 바이패스"를 통해 IPS/FW로 직접 연결되도록 합니다. IPS/FW에 과부하, 충돌, 소프트웨어 업데이트, 정책 업데이트 등의 장애가 발생할 경우, "네트워크 인라인 바이패스"는 지능형 하트비트 메시지 감지 기능을 통해 장애 장치를 즉시 감지하여 장애 장치를 우회하고 네트워크 중단 없이 정상적인 통신 네트워크를 보호합니다. 또한, IPS/FW 장애 복구 시에도 지능형 하트비트 패킷 감지 기능을 통해 장애를 즉시 감지하고 원래 링크를 복원하여 기업 네트워크의 보안을 유지합니다.
Mylinking™의 "네트워크 인라인 바이패스"는 강력한 지능형 하트비트 메시지 감지 기능을 제공합니다. 사용자는 하트비트 간격과 최대 재시도 횟수를 사용자 지정할 수 있으며, IPS/FW에서 사용자 지정 하트비트 메시지를 통해 상태 테스트를 수행할 수 있습니다. 예를 들어, IPS/FW의 업스트림/다운스트림 포트로 하트비트 확인 메시지를 전송하고, IPS/FW의 업스트림/다운스트림 포트에서 해당 메시지를 수신하여 하트비트 메시지의 송수신을 통해 IPS/FW가 정상적으로 작동하는지 판단할 수 있습니다.
3.3 “SpecFlow” 정책 흐름 인라인 트랙션 시리즈 보호
보안 네트워크 장치가 직렬 보안 보호에서 특정 트래픽만 처리하면 되는 경우, Mylinking™의 "네트워크 인라인 바이패스" 트래픽 사전 처리 기능을 통해 트래픽 필터링 전략을 사용하여 연결된 보안 장치 "관련" 트래픽을 네트워크 링크로 직접 되돌려 보내고, "관련 트래픽 구간"만 인라인 보안 장치로 전달하여 안전 점검을 수행하도록 합니다. 이는 보안 장치의 안전 감지 기능이 정상적으로 작동하도록 유지하면서 보안 장비의 처리 부하로 인한 비효율성을 줄여줍니다. 동시에 "네트워크 인라인 바이패스"는 보안 장치의 작동 상태를 실시간으로 감지하여, 보안 장치가 비정상적으로 작동하는 경우 데이터 트래픽을 직접 바이패스하여 네트워크 서비스 중단을 방지합니다.
3.4 부하 분산형 직렬 보호
Mylinking™ "네트워크 인라인 바이패스"는 네트워크 장치(라우터, 스위치 등) 사이에 직렬로 설치됩니다. 단일 IPS/FW의 처리 성능이 네트워크 링크의 최대 트래픽을 감당하기에 부족할 경우, 보호기의 트래픽 부하 분산 기능과 여러 IPS/FW 클러스터의 네트워크 링크 트래픽 "묶음 처리" 기능을 통해 단일 IPS/FW의 처리 부담을 효과적으로 줄이고 전체 처리 성능을 향상시켜 구축 환경의 높은 대역폭 요구 사항을 충족할 수 있습니다.
Mylinking™의 "네트워크 인라인 바이패스"는 강력한 로드 밸런싱 기능을 제공하며, 프레임의 VLAN 태그, MAC 정보, IP 정보, 포트 번호, 프로토콜 등의 정보를 기반으로 해시 로드 밸런싱을 통해 트래픽을 분산하여 각 IPS/FW가 수신하는 데이터 흐름의 세션 무결성을 보장합니다.
3.5 다중 직렬 인라인 장비 유량 견인 보호 (직렬 연결을 병렬 연결로 변경)
인터넷 접속 지점이나 서버 영역 교환 링크와 같은 주요 링크에는 보안 기능 및 다수의 보안 테스트 장비(방화벽, DDoS 공격 방지 장비, 웹 애플리케이션 방화벽, 침입 방지 장비 등)를 직렬로 설치해야 하는 경우가 많습니다. 이러한 경우, 여러 보안 탐지 장비를 동시에 링크에 설치하면 링크의 단일 장애 지점이 증가하여 네트워크의 전반적인 신뢰성이 저하됩니다. 또한, 이러한 보안 장비의 온라인 설치, 업그레이드, 교체 등의 작업은 네트워크 서비스 중단 시간을 길게 만들고, 프로젝트의 성공적인 완료를 위해 대규모 프로젝트 중단을 초래할 수 있습니다.
"네트워크 인라인 바이패스"를 통합적으로 적용함으로써, 동일 링크에 직렬로 연결된 여러 보안 장치의 배치 모드를 "물리적 연결 모드"에서 "물리적 연결 및 논리적 연결 모드"로 변경할 수 있습니다. 이를 통해 링크의 단일 장애 지점을 제거하여 링크의 신뢰성을 향상시키는 동시에, "네트워크 인라인 바이패스"를 통해 링크 흐름에 필요한 동력을 공급하여 기존 모드와 동일한 수준의 안전한 처리 효과를 제공합니다.
여러 개의 보안 장치를 직렬로 연결하여 동시에 설치하는 방법:
네트워크 인라인 바이패스 스위치 설치 다이어그램:
3.6 동적 전략 기반의 교통 견인 안전 감지 보호
"네트워크 인라인 바이패스"는 또 다른 고급 응용 시나리오로, 트래픽 유입 보안 탐지 및 보호 애플리케이션의 동적 전략을 기반으로 하며, 배포 방식은 아래와 같습니다.
예를 들어, "DDoS 공격 방지 및 탐지" 보안 테스트 장비를 생각해 보겠습니다. 프런트엔드에 "네트워크 인라인 바이패스"를 설치하고, 그 뒤에 DDoS 공격 방지 장비를 연결한 다음, 다시 "네트워크 인라인 바이패스"에 연결합니다. 그러면 일반적인 "트래픽 프로텍터"에서 모든 트래픽을 와이어 속도로 전달하는 동시에, 흐름 미러링 출력을 "DDoS 공격 방지 장치"로 보냅니다. 서버 IP(또는 IP 네트워크 세그먼트)에 대한 공격이 감지되면, "DDoS 공격 방지 장치"는 대상 트래픽 흐름에 대한 일치 규칙을 생성하여 동적 정책 전달 인터페이스를 통해 "네트워크 인라인 바이패스"로 전송합니다. "네트워크 인라인 바이패스"는 동적 정책 규칙을 수신한 후 "트래픽 동적"을 업데이트하고, 공격 서버 트래픽에 대한 규칙을 적용하여 즉시 "DDoS 공격 방지 및 탐지" 장비로 트래픽을 전달하여 처리합니다. 이렇게 하면 공격 흐름이 차단된 후 네트워크에 다시 유입됩니다.
"네트워크 인라인 바이패스" 기반 애플리케이션 방식은 기존의 BGP 경로 주입이나 다른 트래픽 유도 방식보다 구현이 간편하고, 네트워크 환경에 대한 의존도가 낮아 신뢰성이 높습니다.
"네트워크 인라인 바이패스"는 동적 정책 보안 탐지 보호를 지원하기 위해 다음과 같은 특징을 갖습니다.
1. "네트워크 인라인 바이패스"는 웹서비스 인터페이스를 기반으로 규칙 외부 접근을 제공하며, 타사 보안 장치와의 손쉬운 통합을 지원합니다.
2. 하드웨어 순수 ASIC 칩 기반의 "네트워크 인라인 바이패스"는 스위치 포워딩을 차단하지 않고 최대 10Gbps의 와이어 속도 패킷을 포워딩하며, 트래픽 양에 관계없이 "트래픽 견인 동적 규칙 라이브러리"를 제공합니다.
3. "네트워크 인라인 바이패스"에 내장된 전문적인 바이패스 기능은 보호기 자체에 고장이 발생하더라도 기존 직렬 링크를 즉시 우회하여 정상적인 통신에 영향을 미치지 않습니다.
게시 시간: 2021년 12월 23일
