|网络数据采集可视化分发解决方案提供商|网络数据采集可视化分发解决方案提供商|网络数据采集可视化分发解决方案提供商|English
首页 关于我们 新闻资讯 产品中心 成功案例 解决方案
合作加盟 | 技术资料 | 联系我们 | English
24小时咨询热线:028-86033675
新闻动态 公司新闻 > 详细介绍
新闻动态
行业动态公司新闻政策法规
返回
无忧解决方案 更多
成都数维基于电子政务云的数据可视化管控解决方案
成都数维基于电子政务云的数据可视化管控解决方案
网络数据可视化管控设备流量清洗解决方案
网络数据可视化管控设备-流量清洗解决方案
网络数据可视化管控设备云计算解决方案
云计算解决方案
网络数据可视化管控设备_LTE/4G解决方案
网络数据可视化管控设备_LTE/4G解决方案
联系我们 详细
公司联系电话:
  (86)028 - 62600928
(86)028 - 84776105
公司传真号码:
  (86)028 - 84776105
公司地址:
  成都市高新区益州大道中段1800号天府软件园4栋2层
NetTAP新一代智能BYPASS 保护器护航网络安全设备部署
时间:2015-09-23    来源:成都数维通信    作者:成都数维通信    点击:6008
 

串接式信息安全防护设备部署所带来的风险

随着互联网的高速发展,网络信息安全所面临的威胁愈发严峻,因此各种信息安全防护措施应用越来越广泛。不论是传统的访问控制设备(防火墙),还是新型的更高级的防护手段如入侵防御系统(IPS)、统一威胁管理平台(UTM)、抗拒绝服务攻击系统(Anti-DDoS、防垃圾邮件网关、统一DPI流量识别与控制系统等,众多的安全防护设备都采用串接方式部署于网络关键节点,对通过的数据报文执行相应的安全策略以识别和处理合法/非法的流量 。但是与此同时,此类串接部署的设备在故障、维护、升级、设备替换等情况下,计算机网络将产生的较大的网络延迟甚至是网络中断,这是在高可靠性生产网应用环境中用户所不能忍受的。

传统BYPASS设备面临的问题

带外心跳检测-心跳状态不能准确反映安全设备真实工作状态


                                             图1

如上图1所示,传统的Bypass交换机一般通过带外的USB或串口或网口发送心跳报文检测被保护设备的健康状况,当检测到被保护设备发生电源故障、当机时,能够主动切换Bypass,绕过故障设备,以保障用户网络通信正常;但当被保护设备系统工作正常,而被保护设备链路中断时(或设备维护、过载、策略更新等情况时),传统的Bypass交换机由于设计的局限性,两者无法通过USB或串口或网口发送心跳报文的方式有效的检测被保护设备链路是否中断,从而导致Bypass交换机不能及时切换,对网络造成长时间中断影响,给用户造成不必要的损失。

基于串口的非标准心跳协议-BYPASS保护器与串接设备间不能通用!

  传统的Bypass交换机一般通过发送心跳报文检测被保护设备的健康状况,心跳报文发送可划分为主动式和被动式,主动式时,传统的Bypass交换机通过USB接口和网口主动监控被保护设备;被动式时,被保护设备主动通过USB接口、网口或者串口定期使用心跳线和传统的Bypass交换机设备进行通信,两者保持心跳一致。

  无论采取主动或被动方式时,都需被保护设备安装相应的第三方软件通过USB接口或串口来请求或应答心跳报文,并且传统Bypass交换机都是基于非标准心跳协议,面对不同的被保护设备时,还需要定制开发Bypass的心跳协议,因此大幅度的降低了设备的易用性和可操作性,同时传统的bypass交换机心跳检测配置复杂繁琐,也常常因人为配置错误,导致心跳检测误判故障,从而错误的切换bypass,对用户网络造成致命的影响,大幅度的降低了用户网络的可靠性。

BYPASS设备无法远程管理-无法远程强制BYPASS排查设备故障

  传统的Bypass交换机一般只支持CLI方式配置管理,由于较弱的可操作性,当用户网络出现故障时,无法通过远程管理的方式强制切换Bypass以排查故障原因,必须指派现场工程师进入机房插拔心跳线或手动的绕过故障,如此的操作方式势必会增加故障排查时间,给用户造成极大的损失。

NetTAP新一代智能BYPASS解决方案带内主动心跳检测技术

-标准L2-L4层数据包心跳检测,无疑兼容所有透明串接设备

 目前市面上的串接安全设备(如UTM、Anti-DDoS、防垃圾邮件网关、统一DPI流量识别与控制系统、IPS、FW等)通常部署于企业网络的关键位置实施串接安全保护,其串接的可靠性直接影响到整个企业网络的可用性,所以串接安全设备基本都采用高安全性、易操作性的透明桥接模式保护企业网络,而NetTAP Bypass保护器的心跳包都是基于标准的以太网L2-L4层封装,当串接部署在透明桥接模式的串接安全设备时,默认的L2-L4层以太网心跳包会被执行正常转发而不会被阻塞或者丢弃,此心跳检测机制无疑兼容所有透明部署的安全串接设备。

-服务级(Network Service Level)的心跳检测精确探测串接设备状态


NetTAP Bypass保护器具备智能的带内主动心跳检测技术,可基于服务级( Network Service Level)的心跳检测以精确探测串接安全设备的健康状态,如图2所示,NetTAP Bypass保护器支持L2-L4层的自定义心跳包,如源目的MAC、以太网类型、源目的IP地址、IP、传输层端口号等,以对部分特殊的串接安全设备实现服务级的健康检测,使之更有效的保障用户网络通信正常

特定数据流(SpecFlow)串接保护技术



3 SpecFlow特定流量串接保护

如上图3所示,当用户需要对特定数据流进行串接保护时,可通过NetTAP Bypass保护器的流量预处理功能,把特殊安全审计设备“不关心的”流量直接送回网络链路,剩余部分再中转至特殊安全审计设备进行安全检查,此部署方式能有效的降低特殊安全审计设备处理压力和“不关心的”流量的通信延迟,同时也避免了特殊安全审计设备直接串接在网络设备之间,其故障发生时,引起企业网络的中断。

NetTAP Bypass保护器可基于L2-L4层协议头标识进行流量类型识别,如基于源/目的MAC地址、源目的IP地址、IP报文类型、传输层协议端口、协议头关键标记等多种匹配条件灵活组合。可灵活定义特定安全设备所感兴趣的指定流量类型进行保护,可广泛应用于特殊安全审计设备(RDP、SSH、数据库审计等)的部署。

负载均衡保护技术



4负载均衡串接保护

如上图4所示,NetTAP Bypass保护器串接部署于网络设备(路由器、交换机等)之间,当单台IPS/FW处理性能不足以应对网络链路峰值流量时,可通过Bypass保护器的流量负载均衡功能,把多台IPS/FW进行“捆绑”集群处理网络链路流量,能够有效的降低单台IPS/FW处理压力,提高整体的处理性能,以适应高带宽的部署环境要求。

NetTAP Bypass保护器具备强大的负载均衡功能,可依据帧的MAC信息、IP信息、端口号、协议等信息进行Hash负载均衡分配流量,以保证每台IPS/FW接收到数据流的会话完整性。

 
返回上一页
 
Copyright @ 2006-2008 成都数维通信技术有限公司 版权所有 All Rights Reserved.
技术支持:成都数维通信技术有限公司
282215147