|網絡數據采集可視化分發解決方案提供商|網絡數據采集可視化分發解決方案提供商|網絡數據采集可視化分發解決方案提供商|English
首頁 關於看片网站 新聞資訊 產品中心 成功案例 解決方案
合作加盟 | 技術資料 | 聯係看片网站 | English
24小時谘詢熱線:028-86033675
新聞動態 公司新聞 > 詳細介紹
新聞動態
行業動態公司新聞政策法規
返回
無憂解決方案 更多
成都看片网站基於電子政務雲的數據可視化管控解決方案
成都看片网站基於電子政務雲的數據可視化管控解決方案
網絡數據可視化管控設備流量清洗解決方案
網絡數據可視化管控設備-流量清洗解決方案
網絡數據可視化管控設備雲計算解決方案
雲計算解決方案
網絡數據可視化管控設備_LTE/4G解決方案
網絡數據可視化管控設備_LTE/4G解決方案
聯係看片网站 詳細
公司聯係電話:
  (86)028 - 62600928
(86)028 - 84776105
公司傳真號碼:
  (86)028 - 84776105
公司地址:
  成都市高新區益州大道中段1800號天府軟件園4棟2層
NetTAP新一代智能BYPASS 保護器護航網絡安全設備部署
時間:2015-09-23    來源:成都看片网站通信    作者:成都看片网站通信    點擊:7676
 

串接式信息安全防護設備部署所帶來的風險

隨著互聯網的高速發展,網絡信息安全所麵臨的威脅愈發嚴峻,因此各種信息安全防護措施應用越來越廣泛。不論是傳統的訪問控製設備(防火牆),還是新型的更高級的防護手段如入侵防禦係統(IPS)、統一威脅管理平台(UTM)、抗拒絕服務攻擊係統(Anti-DDoS、防垃圾郵件網關、統一DPI流量識別與控製係統等,眾多的安全防護設備都采用串接方式部署於網絡關鍵節點,對通過的數據報文執行相應的安全策略以識別和處理合法/非法的流量 。但是與此同時,此類串接部署的設備在故障、維護、升級、設備替換等情況下,計算機網絡將產生的較大的網絡延遲甚至是網絡中斷,這是在高可靠性生產網應用環境中用戶所不能忍受的。

傳統BYPASS設備麵臨的問題

帶外心跳檢測-心跳狀態不能準確反映安全設備真實工作狀態


                                             圖1

如上圖1所示,傳統的Bypass交換機一般通過帶外的USB或串口或網口發送心跳報文檢測被保護設備的健康狀況,當檢測到被保護設備發生電源故障、當機時,能夠主動切換Bypass,繞過故障設備,以保障用戶網絡通信正常;但當被保護設備係統工作正常,而被保護設備鏈路中斷時(或設備維護、過載、策略更新等情況時),傳統的Bypass交換機由於設計的局限性,兩者無法通過USB或串口或網口發送心跳報文的方式有效的檢測被保護設備鏈路是否中斷,從而導致Bypass交換機不能及時切換,對網絡造成長時間中斷影響,給用戶造成不必要的損失。

基於串口的非標準心跳協議-BYPASS保護器與串接設備間不能通用!

  傳統的Bypass交換機一般通過發送心跳報文檢測被保護設備的健康狀況,心跳報文發送可劃分為主動式和被動式,主動式時,傳統的Bypass交換機通過USB接口和網口主動監控被保護設備;被動式時,被保護設備主動通過USB接口、網口或者串口定期使用心跳線和傳統的Bypass交換機設備進行通信,兩者保持心跳一致。

  無論采取主動或被動方式時,都需被保護設備安裝相應的第三方軟件通過USB接口或串口來請求或應答心跳報文,並且傳統Bypass交換機都是基於非標準心跳協議,麵對不同的被保護設備時,還需要定製開發Bypass的心跳協議,因此大幅度的降低了設備的易用性和可操作性,同時傳統的bypass交換機心跳檢測配置複雜繁瑣,也常常因人為配置錯誤,導致心跳檢測誤判故障,從而錯誤的切換bypass,對用戶網絡造成致命的影響,大幅度的降低了用戶網絡的可靠性。

BYPASS設備無法遠程管理-無法遠程強製BYPASS排查設備故障

  傳統的Bypass交換機一般隻支持CLI方式配置管理,由於較弱的可操作性,當用戶網絡出現故障時,無法通過遠程管理的方式強製切換Bypass以排查故障原因,必須指派現場工程師進入機房插拔心跳線或手動的繞過故障,如此的操作方式勢必會增加故障排查時間,給用戶造成極大的損失。

NetTAP新一代智能BYPASS解決方案帶內主動心跳檢測技術

-標準L2-L4層數據包心跳檢測,無疑兼容所有透明串接設備

 目前市麵上的串接安全設備(如UTM、Anti-DDoS、防垃圾郵件網關、統一DPI流量識別與控製係統、IPS、FW等)通常部署於企業網絡的關鍵位置實施串接安全保護,其串接的可靠性直接影響到整個企業網絡的可用性,所以串接安全設備基本都采用高安全性、易操作性的透明橋接模式保護企業網絡,而NetTAP Bypass保護器的心跳包都是基於標準的以太網L2-L4層封裝,當串接部署在透明橋接模式的串接安全設備時,默認的L2-L4層以太網心跳包會被執行正常轉發而不會被阻塞或者丟棄,此心跳檢測機製無疑兼容所有透明部署的安全串接設備。

-服務級(Network Service Level)的心跳檢測精確探測串接設備狀態


NetTAP Bypass保護器具備智能的帶內主動心跳檢測技術,可基於服務級( Network Service Level)的心跳檢測以精確探測串接安全設備的健康狀態,如圖2所示,NetTAP Bypass保護器支持L2-L4層的自定義心跳包,如源目的MAC、以太網類型、源目的IP地址、IP、傳輸層端口號等,以對部分特殊的串接安全設備實現服務級的健康檢測,使之更有效的保障用戶網絡通信正常

特定數據流(SpecFlow)串接保護技術



3 SpecFlow特定流量串接保護

如上圖3所示,當用戶需要對特定數據流進行串接保護時,可通過NetTAP Bypass保護器的流量預處理功能,把特殊安全審計設備“不關心的”流量直接送回網絡鏈路,剩餘部分再中轉至特殊安全審計設備進行安全檢查,此部署方式能有效的降低特殊安全審計設備處理壓力和“不關心的”流量的通信延遲,同時也避免了特殊安全審計設備直接串接在網絡設備之間,其故障發生時,引起企業網絡的中斷。

NetTAP Bypass保護器可基於L2-L4層協議頭標識進行流量類型識別,如基於源/目的MAC地址、源目的IP地址、IP報文類型、傳輸層協議端口、協議頭關鍵標記等多種匹配條件靈活組合。可靈活定義特定安全設備所感興趣的指定流量類型進行保護,可廣泛應用於特殊安全審計設備(RDP、SSH、數據庫審計等)的部署。

負載均衡保護技術



4負載均衡串接保護

如上圖4所示,NetTAP Bypass保護器串接部署於網絡設備(路由器、交換機等)之間,當單台IPS/FW處理性能不足以應對網絡鏈路峰值流量時,可通過Bypass保護器的流量負載均衡功能,把多台IPS/FW進行“捆綁”集群處理網絡鏈路流量,能夠有效的降低單台IPS/FW處理壓力,提高整體的處理性能,以適應高帶寬的部署環境要求。

NetTAP Bypass保護器具備強大的負載均衡功能,可依據幀的MAC信息、IP信息、端口號、協議等信息進行Hash負載均衡分配流量,以保證每台IPS/FW接收到數據流的會話完整性。

 
返回上一頁
 
Copyright @ 2006-2008 成都看片网站通信技術有限公司 版權所有 All Rights Reserved.
技術支持:成都看片网站通信技術有限公司
282215147