புரோஹோஸ்டர் > Блог > நிர்வாகம் > தகவல் பாதுகாப்பு அமைப்புகளை உருவாக்குவதற்கான நவீன தீர்வுகள் - நெட்வொர்க் பாக்கெட் தரகர்கள் (நெட்வொர்க் பாக்கெட் தரகர்)

தகவல் பாதுகாப்பு அமைப்புகளை உருவாக்குவதற்கான நவீன தீர்வுகள் - நெட்வொர்க் பாக்கெட் தரகர்கள் (நெட்வொர்க் பாக்கெட் தரகர்)

தகவல் பாதுகாப்பு தொலைத்தொடர்புகளில் இருந்து அதன் சொந்த பிரத்தியேகங்கள் மற்றும் அதன் சொந்த உபகரணங்களுடன் ஒரு சுயாதீனமான தொழிற்துறையாக பிரிக்கப்பட்டுள்ளது. ஆனால் தொலைத்தொடர்பு மற்றும் இன்ஃபோபஸ் சந்திப்பில் நிற்கும் சிறிய அறியப்பட்ட வகை சாதனங்கள் உள்ளன - பிணைய பாக்கெட் தரகர்கள் (நெட்வொர்க் பாக்கெட் புரோக்கர்), அவை சுமை பேலன்சர்கள், சிறப்பு / கண்காணிப்பு சுவிட்சுகள், போக்குவரத்து திரட்டிகள், பாதுகாப்பு விநியோக தளம், நெட்வொர்க் தெரிவுநிலை மற்றும் பல. ரஷ்ய டெவலப்பர் மற்றும் அத்தகைய சாதனங்களின் உற்பத்தியாளர் என்ற முறையில் நாங்கள் அவற்றைப் பற்றி மேலும் சொல்ல விரும்புகிறோம்.

தகவல் பாதுகாப்பு அமைப்புகளை உருவாக்குவதற்கான நவீன தீர்வுகள் - நெட்வொர்க் பாக்கெட் தரகர்கள் (நெட்வொர்க் பாக்கெட் தரகர்)

நோக்கம் மற்றும் தீர்க்கப்பட வேண்டிய பணிகள்

நெட்வொர்க் பாக்கெட் தரகர்கள் என்பது தகவல் பாதுகாப்பு அமைப்புகளில் மிகப்பெரிய பயன்பாட்டைக் கண்டறிந்த சிறப்பு சாதனங்கள். சுவிட்சுகள், ரவுட்டர்கள் மற்றும் பலவற்றுடன் ஒப்பிடும்போது, ​​சாதன வகுப்பு ஒப்பீட்டளவில் புதியது மற்றும் பொதுவான நெட்வொர்க் உள்கட்டமைப்பில் குறைவாக உள்ளது. இந்த வகை சாதனத்தின் வளர்ச்சியில் முன்னோடி அமெரிக்க நிறுவனமான ஜிகாமன் ஆகும். தற்போது, ​​இந்த சந்தையில் கணிசமாக அதிகமான வீரர்கள் உள்ளனர் (சோதனை அமைப்புகளின் நன்கு அறியப்பட்ட உற்பத்தியாளரின் ஒத்த தீர்வுகள் உட்பட - IXIA), ஆனால் அத்தகைய சாதனங்களின் இருப்பு பற்றி தொழில் வல்லுநர்களின் குறுகிய வட்டம் மட்டுமே இன்னும் தெரியும். மேலே குறிப்பிட்டுள்ளபடி, சொற்களஞ்சியத்தில் கூட தெளிவான உறுதி இல்லை: பெயர்கள் "நெட்வொர்க் வெளிப்படைத்தன்மை அமைப்புகள்" முதல் எளிய "பேலன்சர்கள்" வரை இருக்கும்.

நெட்வொர்க் பாக்கெட் தரகர்களை உருவாக்கும் போது, ​​ஆய்வகங்கள் / சோதனை மண்டலங்களில் செயல்பாடு மற்றும் சோதனையின் வளர்ச்சிக்கான திசைகளை பகுப்பாய்வு செய்வதோடு கூடுதலாக, இந்த வகை உபகரணங்களின் இருப்பு பற்றி சாத்தியமான நுகர்வோருக்கு ஒரே நேரத்தில் விளக்குவது அவசியம் என்பதை நாங்கள் எதிர்கொண்டோம். , அனைவருக்கும் இது பற்றி தெரியாது என்பதால்.

15-20 ஆண்டுகளுக்கு முன்பு கூட, நெட்வொர்க்கில் சிறிய போக்குவரத்து இருந்தது, அது பெரும்பாலும் முக்கியமற்ற தரவு. ஆனாலும் நீல்சனின் சட்டம் நடைமுறையில் மீண்டும் மூரின் சட்டம்: இணைய இணைப்பு வேகம் ஆண்டுதோறும் 50% அதிகரிக்கிறது. போக்குவரத்தின் அளவும் சீராக வளர்ந்து வருகிறது (வரைபடம் சிஸ்கோவின் 2017 முன்னறிவிப்பைக் காட்டுகிறது, ஆதாரம் சிஸ்கோ விஷுவல் நெட்வொர்க்கிங் இன்டெக்ஸ்: முன்னறிவிப்பு மற்றும் போக்குகள், 2017-2022):

தகவல் பாதுகாப்பு அமைப்புகளை உருவாக்குவதற்கான நவீன தீர்வுகள் - நெட்வொர்க் பாக்கெட் தரகர்கள் (நெட்வொர்க் பாக்கெட் தரகர்)
வேகத்துடன், தகவல் பரிமாற்றத்தின் முக்கியத்துவம் (இது வர்த்தக ரகசியம் மற்றும் மோசமான தனிப்பட்ட தரவு) மற்றும் உள்கட்டமைப்பின் ஒட்டுமொத்த செயல்திறன் ஆகியவை அதிகரித்து வருகின்றன.

அதன்படி, தகவல் பாதுகாப்புத் துறை உருவானது. DDOS தாக்குதல் தடுப்பு அமைப்புகளில் இருந்து IDS, IPS, DLP, NBA, SIEM, Antimailware மற்றும் பலவற்றை உள்ளடக்கிய தகவல் பாதுகாப்பு நிகழ்வு மேலாண்மை அமைப்புகள் வரை, போக்குவரத்து பகுப்பாய்வு (DPI) சாதனங்களின் முழு வரம்பில் தொழில்துறை இதற்கு பதிலளித்துள்ளது. பொதுவாக, இந்த கருவிகள் ஒவ்வொன்றும் சர்வர் பிளாட்ஃபார்மில் நிறுவப்பட்ட மென்பொருளாகும். மேலும், ஒவ்வொரு நிரலும் (பகுப்பாய்வு கருவி) அதன் சொந்த சர்வர் தளத்தில் நிறுவப்பட்டுள்ளது: மென்பொருள் உற்பத்தியாளர்கள் வேறுபட்டவர்கள், மேலும் L7 இல் பகுப்பாய்வு செய்வதற்கு நிறைய கணினி ஆதாரங்கள் தேவைப்படுகின்றன.

தகவல் பாதுகாப்பு அமைப்பை உருவாக்கும்போது, ​​​​பல அடிப்படை பணிகளை தீர்க்க வேண்டியது அவசியம்:

  • உள்கட்டமைப்பிலிருந்து பகுப்பாய்வு அமைப்புகளுக்கு போக்குவரத்தை எவ்வாறு மாற்றுவது? (நவீன உள்கட்டமைப்பில் முதலில் உருவாக்கப்பட்ட SPAN துறைமுகங்கள் அளவு அல்லது செயல்திறனில் போதுமானதாக இல்லை)
  • வெவ்வேறு பகுப்பாய்வு அமைப்புகளுக்கு இடையே போக்குவரத்தை எவ்வாறு விநியோகிப்பது?
  • பகுப்பாய்வியின் ஒரு நிகழ்வின் போதுமான செயல்திறன் இல்லாதபோது, ​​அதில் நுழையும் போக்குவரத்தின் முழு அளவையும் செயலாக்குவதற்கு கணினிகளை அளவிடுவது எப்படி?
  • 40G/100G இடைமுகங்களை எவ்வாறு கண்காணிப்பது (மற்றும் எதிர்காலத்தில் 200G/400G), பகுப்பாய்வுக் கருவிகள் தற்போது 1G/10G/25G இடைமுகங்களை மட்டுமே ஆதரிக்கின்றன?

மற்றும் பின்வரும் தொடர்புடைய பணிகள்:

  • செயலாக்கத் தேவையில்லாத, ஆனால் பகுப்பாய்வுக் கருவிகளைப் பெற்று, அவற்றின் வளங்களைப் பயன்படுத்தும் முறையற்ற போக்குவரத்தை எவ்வாறு குறைப்பது?
  • வன்பொருள் சேவை குறிகளுடன் இணைக்கப்பட்ட பாக்கெட்டுகள் மற்றும் பாக்கெட்டுகளை எவ்வாறு கையாள்வது, பகுப்பாய்விற்காக தயாரிப்பது வளம் மிகுந்ததாகவோ அல்லது நம்பமுடியாததாகவோ மாறிவிடும்?
  • பாதுகாப்புக் கொள்கையால் கட்டுப்படுத்தப்படாத போக்குவரத்தின் பகுப்பாய்வுப் பகுதியை எவ்வாறு விலக்குவது (எடுத்துக்காட்டாக, தலையின் போக்குவரத்து).

தகவல் பாதுகாப்பு அமைப்புகளை உருவாக்குவதற்கான நவீன தீர்வுகள் - நெட்வொர்க் பாக்கெட் தரகர்கள் (நெட்வொர்க் பாக்கெட் தரகர்)
அனைவருக்கும் தெரியும், தேவை விநியோகத்தை உருவாக்குகிறது, இந்த தேவைகளுக்கு பதிலளிக்கும் விதமாக, நெட்வொர்க் பாக்கெட் தரகர்கள் உருவாக்கத் தொடங்கினர்.

நெட்வொர்க் பாக்கெட் தரகர்களின் பொதுவான விளக்கம்

நெட்வொர்க் பாக்கெட் தரகர்கள் பாக்கெட் மட்டத்தில் வேலை செய்கிறார்கள், இதில் அவர்கள் சாதாரண சுவிட்சுகளைப் போலவே இருக்கிறார்கள். சுவிட்சுகளிலிருந்து முக்கிய வேறுபாடு என்னவென்றால், நெட்வொர்க் பாக்கெட் தரகர்களில் போக்குவரத்தை விநியோகம் மற்றும் திரட்டுவதற்கான விதிகள் அமைப்புகளால் முழுமையாக தீர்மானிக்கப்படுகின்றன. நெட்வொர்க் பாக்கெட் தரகர்களுக்கு பகிர்தல் அட்டவணைகள் (MAC அட்டவணைகள்) மற்றும் பிற சுவிட்சுகளுடன் (எஸ்டிபி போன்றவை) பரிமாற்ற நெறிமுறைகளை உருவாக்குவதற்கான தரநிலைகள் இல்லை, எனவே அவற்றில் சாத்தியமான அமைப்புகள் மற்றும் புரிந்துகொள்ளக்கூடிய புலங்களின் வரம்பு மிகவும் விரிவானது. ஒரு தரகர் ஒன்று அல்லது அதற்கு மேற்பட்ட உள்ளீட்டு போர்ட்களில் இருந்து அவுட்புட் லோட் பேலன்சிங் அம்சத்துடன் கொடுக்கப்பட்ட அவுட்புட் போர்ட்களுக்கு டிராஃபிக்கை சமமாக விநியோகிக்க முடியும். டிராஃபிக்கை நகலெடுப்பதற்கும், வடிகட்டுவதற்கும், வகைப்படுத்துவதற்கும், நகலெடுப்பதற்கும் மற்றும் மாற்றுவதற்கும் நீங்கள் விதிகளை அமைக்கலாம். இந்த விதிகள் நெட்வொர்க் பாக்கெட் தரகரின் உள்ளீட்டு போர்ட்களின் வெவ்வேறு குழுக்களுக்குப் பயன்படுத்தப்படலாம், அதே போல் சாதனத்திலேயே ஒன்றன் பின் ஒன்றாக தொடர்ச்சியாகப் பயன்படுத்தப்படலாம். ஒரு பாக்கெட் தரகரின் ஒரு முக்கிய நன்மை, முழு ஓட்ட விகிதத்தில் போக்குவரத்தை செயலாக்கும் திறன் மற்றும் அமர்வுகளின் ஒருமைப்பாட்டைப் பாதுகாக்கும் திறன் ஆகும் (ஒரே வகையின் பல டிபிஐ அமைப்புகளுக்கு போக்குவரத்தை சமநிலைப்படுத்தும் விஷயத்தில்).

அமர்வுகளின் ஒருமைப்பாட்டைப் பாதுகாப்பது என்பது போக்குவரத்து அடுக்கின் (TCP / UDP / SCTP) அமர்வின் அனைத்து பாக்கெட்டுகளையும் ஒரு துறைமுகத்திற்கு மாற்றுவதாகும். இது முக்கியமானது, ஏனெனில் DPI அமைப்புகள் (பொதுவாக ஒரு பாக்கெட் தரகரின் அவுட்புட் போர்ட்டுடன் இணைக்கப்பட்ட சர்வரில் இயங்கும் மென்பொருள்) பயன்பாட்டு மட்டத்தில் போக்குவரத்தின் உள்ளடக்கத்தை பகுப்பாய்வு செய்கிறது, மேலும் ஒரு பயன்பாட்டால் அனுப்பப்பட்ட/பெறப்பட்ட அனைத்து பாக்கெட்டுகளும் ஒரே நிகழ்வில் வர வேண்டும். பகுப்பாய்வி ஒரு அமர்வின் பாக்கெட்டுகள் தொலைந்துவிட்டால் அல்லது வெவ்வேறு டிபிஐ சாதனங்களில் விநியோகிக்கப்பட்டால், ஒவ்வொரு டிபிஐ சாதனமும் முழு உரையை அல்ல, அதிலிருந்து தனிப்பட்ட சொற்களைப் படிக்கும் சூழ்நிலையில் இருக்கும். மேலும், பெரும்பாலும், உரை புரியாது.

இவ்வாறு, தகவல் பாதுகாப்பு அமைப்புகளில் கவனம் செலுத்துவதால், நெட்வொர்க் பாக்கெட் தரகர்கள் டிபிஐ மென்பொருள் அமைப்புகளை அதிவேக தொலைத்தொடர்பு நெட்வொர்க்குகளுடன் இணைக்கவும், அவற்றின் சுமையை குறைக்கவும் உதவும் செயல்பாட்டைக் கொண்டுள்ளனர்: அவை முன் வடிகட்டுதல், வகைப்படுத்துதல் மற்றும் அடுத்தடுத்த செயலாக்கத்தை எளிதாக்குவதற்கு போக்குவரத்தை தயார்படுத்துதல்.

கூடுதலாக, நெட்வொர்க் பாக்கெட் தரகர்கள் பலவிதமான புள்ளிவிவரங்களை வழங்குவதால், நெட்வொர்க்கில் உள்ள பல்வேறு புள்ளிகளுடன் அடிக்கடி இணைக்கப்படுவதால், நெட்வொர்க் உள்கட்டமைப்பின் உடல்நலப் பிரச்சினைகளைக் கண்டறிவதில் அவர்கள் தங்கள் இடத்தைக் காண்கிறார்கள்.

நெட்வொர்க் பாக்கெட் தரகர்களின் அடிப்படை செயல்பாடுகள்

"அர்ப்பணிப்பு/கண்காணிப்பு சுவிட்சுகள்" என்ற பெயர் அடிப்படை நோக்கத்திலிருந்து எழுந்தது: உள்கட்டமைப்பிலிருந்து போக்குவரத்தை சேகரித்தல் (பொதுவாக செயலற்ற ஆப்டிகல் TAP குழாய்கள் மற்றும் / அல்லது SPAN போர்ட்களைப் பயன்படுத்துதல்) மற்றும் பகுப்பாய்வுக் கருவிகளிடையே விநியோகிக்க. பல்வேறு வகையான அமைப்புகளுக்கு இடையே போக்குவரத்து பிரதிபலிக்கப்படுகிறது (நகல்) மற்றும் அதே வகை அமைப்புகளுக்கு இடையில் சமநிலைப்படுத்தப்படுகிறது. அடிப்படை செயல்பாடுகளில் பொதுவாக L4 (MAC, IP, TCP / UDP போர்ட், முதலியன) வரையிலான புலங்கள் மூலம் வடிகட்டுதல் மற்றும் பல இலகுவாக ஏற்றப்பட்ட சேனல்களை ஒன்று திரட்டுதல் ஆகியவை அடங்கும் (உதாரணமாக, ஒரு DPI அமைப்பில் செயலாக்குவதற்கு).

இந்த செயல்பாடு அடிப்படை பணிக்கான தீர்வை வழங்குகிறது - டிபிஐ அமைப்புகளை பிணைய உள்கட்டமைப்புடன் இணைக்கிறது. பல்வேறு உற்பத்தியாளர்களின் தரகர்கள், அடிப்படை செயல்பாட்டிற்கு மட்டுப்படுத்தப்பட்டு, 32Uக்கு 100 1G இடைமுகங்கள் வரை செயலாக்கத்தை வழங்குகிறார்கள் (அதிகமான இடைமுகங்கள் 1U முன் பேனலில் உடல் ரீதியாக பொருந்தாது). இருப்பினும், அவை பகுப்பாய்வுக் கருவிகளில் சுமையைக் குறைக்க அனுமதிக்காது, மேலும் சிக்கலான உள்கட்டமைப்பிற்கான அடிப்படைச் செயல்பாட்டிற்கான தேவைகளைக் கூட அவர்களால் வழங்க முடியாது: பல சுரங்கங்களில் (அல்லது MPLS குறிச்சொற்கள் பொருத்தப்பட்டவை) விநியோகிக்கப்படும் அமர்வு பல்வேறு நிகழ்வுகளுக்கு சமநிலையற்றதாக இருக்கலாம். பகுப்பாய்வி மற்றும் பொதுவாக பகுப்பாய்விலிருந்து வெளியேறும்.

40/100G இடைமுகங்களைச் சேர்ப்பதோடு, அதன் விளைவாக, செயல்திறனை மேம்படுத்துவதுடன், நெட்வொர்க் பாக்கெட் தரகர்கள், அடிப்படையாக புதிய அம்சங்களை வழங்குவதில் தீவிரமாக வளர்ந்து வருகின்றனர்: உள்ளமைக்கப்பட்ட சுரங்கப்பாதை தலைப்புகளில் சமநிலைப்படுத்துவது முதல் போக்குவரத்து மறைகுறியாக்கம் வரை. துரதிர்ஷ்டவசமாக, அத்தகைய மாதிரிகள் டெராபிட்களில் செயல்திறனைப் பற்றி பெருமை கொள்ள முடியாது, ஆனால் அவை மிகவும் உயர்தர மற்றும் தொழில்நுட்ப ரீதியாக "அழகான" தகவல் பாதுகாப்பு அமைப்பை உருவாக்குவதை சாத்தியமாக்குகின்றன, இதில் ஒவ்வொரு பகுப்பாய்வுக் கருவியும் மிகவும் பொருத்தமான வடிவத்தில் தேவையான தகவல்களை மட்டுமே பெற உத்தரவாதம் அளிக்கிறது. பகுப்பாய்வுக்காக.

நெட்வொர்க் பாக்கெட் தரகர்களின் மேம்பட்ட செயல்பாடுகள்

தகவல் பாதுகாப்பு அமைப்புகளை உருவாக்குவதற்கான நவீன தீர்வுகள் - நெட்வொர்க் பாக்கெட் தரகர்கள் (நெட்வொர்க் பாக்கெட் தரகர்)
1. மேலே குறிபிட்டபடி சுரங்கப்பாதை போக்குவரத்தில் உள்ளமைக்கப்பட்ட தலைப்பு சமநிலை.

அது ஏன் முக்கியம்? ஒன்றாக அல்லது தனித்தனியாக முக்கியமானதாக இருக்கும் 3 அம்சங்களைக் கவனியுங்கள்:

  • குறைந்த எண்ணிக்கையிலான சுரங்கப்பாதைகளின் முன்னிலையில் சீரான சமநிலையை உறுதி செய்தல். தகவல் பாதுகாப்பு அமைப்புகளை இணைக்கும் இடத்தில் 2 சுரங்கங்கள் மட்டுமே இருந்தால், அமர்வை பராமரிக்கும் போது 3 சர்வர் தளங்களில் வெளிப்புற தலைப்புகள் மூலம் அவற்றை சமநிலைப்படுத்த முடியாது. அதே நேரத்தில், நெட்வொர்க்கில் போக்குவரத்து சீரற்ற முறையில் பரவுகிறது, மேலும் ஒவ்வொரு சுரங்கப்பாதையின் திசையும் ஒரு தனி செயலாக்க வசதிக்கு பிந்தையவற்றின் அதிகப்படியான செயல்திறன் தேவைப்படும்;
  • மல்டிசெஷன் நெறிமுறைகளின் அமர்வுகள் மற்றும் ஸ்ட்ரீம்களின் ஒருமைப்பாட்டை உறுதி செய்தல் (உதாரணமாக, FTP மற்றும் VoIP), இதன் பாக்கெட்டுகள் வெவ்வேறு சுரங்கங்களில் முடிந்தது. நெட்வொர்க் உள்கட்டமைப்பின் சிக்கலானது தொடர்ந்து அதிகரித்து வருகிறது: பணிநீக்கம், மெய்நிகராக்கம், நிர்வாகத்தை எளிமைப்படுத்துதல் மற்றும் பல. ஒருபுறம், இது தரவு பரிமாற்றத்தின் அடிப்படையில் நம்பகத்தன்மையை அதிகரிக்கிறது, மறுபுறம், இது தகவல் பாதுகாப்பு அமைப்புகளின் வேலையை சிக்கலாக்குகிறது. சுரங்கப்பாதைகளுடன் ஒரு பிரத்யேக சேனலைச் செயலாக்க பகுப்பாய்விகளின் போதுமான செயல்திறன் இருந்தாலும், சிக்கல் தீர்க்க முடியாததாக மாறிவிடும், ஏனெனில் சில பயனர் அமர்வு பாக்கெட்டுகள் மற்றொரு சேனலில் அனுப்பப்படுகின்றன. மேலும், அவர்கள் இன்னும் சில உள்கட்டமைப்புகளில் அமர்வுகளின் ஒருமைப்பாட்டைக் கவனித்துக்கொள்ள முயற்சித்தால், மல்டிசெஷன் நெறிமுறைகள் முற்றிலும் வேறுபட்ட வழிகளில் செல்லலாம்;
  • MPLS, VLAN, தனிப்பட்ட உபகரண குறிச்சொற்கள் போன்றவற்றின் முன்னிலையில் சமநிலைப்படுத்துதல். உண்மையில் சுரங்கங்கள் அல்ல, ஆயினும்கூட, அடிப்படை செயல்பாடுகளைக் கொண்ட சாதனங்கள் இந்த போக்குவரத்தை IP மற்றும் MAC முகவரிகளின் சமநிலையாகப் புரிந்து கொள்ள முடியாது, மீண்டும் சமநிலை அல்லது அமர்வு ஒருமைப்பாட்டின் சீரான தன்மையை மீறுகிறது.

நெட்வொர்க் பாக்கெட் தரகர் வெளிப்புற தலைப்புகளை பாகுபடுத்தி, உள்ளமை IP தலைப்பு வரை சுட்டிகளை தொடர்ச்சியாக பின்தொடர்கிறார் மற்றும் ஏற்கனவே அதை சமநிலைப்படுத்துகிறார். இதன் விளைவாக, கணிசமான அளவு ஸ்ட்ரீம்கள் உள்ளன (முறையே, இது மிகவும் சமமாக மற்றும் அதிக எண்ணிக்கையிலான தளங்களில் சமநிலையற்றதாக இருக்கலாம்), மேலும் DPI அமைப்பு அனைத்து அமர்வு பாக்கெட்டுகள் மற்றும் மல்டிசெஷன் நெறிமுறைகளின் அனைத்து தொடர்புடைய அமர்வுகளையும் பெறுகிறது.

2. போக்குவரத்து மாற்றம்.
அதன் திறன்களின் அடிப்படையில் பரந்த செயல்பாடுகளில் ஒன்று, துணை செயல்பாடுகளின் எண்ணிக்கை மற்றும் அவற்றின் பயன்பாட்டிற்கான விருப்பங்கள் பல:

  • பேலோடை நீக்குகிறது, இதில் பாக்கெட் தலைப்புகள் மட்டுமே பாகுபடுத்திக்கு அனுப்பப்படும். பகுப்பாய்வுக் கருவிகள் அல்லது போக்குவரத்து வகைகளுக்கு இது பொருத்தமானது, இதில் பாக்கெட்டுகளின் உள்ளடக்கங்கள் பங்கு வகிக்காது அல்லது பகுப்பாய்வு செய்ய முடியாது. எடுத்துக்காட்டாக, மறைகுறியாக்கப்பட்ட ட்ராஃபிக்கிற்கு, அளவுரு பரிமாற்றத் தரவு (யார், யாருடன், எப்போது, ​​எவ்வளவு) ஆர்வமாக இருக்கலாம், அதே சமயம் பேலோட் என்பது உண்மையில் பகுப்பாய்வியின் சேனல் மற்றும் கம்ப்யூட்டிங் வளங்களை ஆக்கிரமிக்கும் குப்பையாகும். கொடுக்கப்பட்ட ஆஃப்செட்டில் இருந்து பேலோட் துண்டிக்கப்படும் போது மாறுபாடுகள் சாத்தியமாகும் - இது பகுப்பாய்வுக் கருவிகளுக்கு கூடுதல் வாய்ப்பை வழங்குகிறது;
  • detunneling, அதாவது சுரங்கங்களை குறிக்கும் மற்றும் அடையாளம் காணும் தலைப்புகளை அகற்றுதல். பகுப்பாய்வு கருவிகளின் சுமையை குறைத்து அவற்றின் செயல்திறனை அதிகரிப்பதே குறிக்கோள். ஒரு நிலையான ஆஃப்செட் அல்லது டைனமிக் ஹெடர் பகுப்பாய்வு மற்றும் ஒவ்வொரு பாக்கெட்டுக்கான ஆஃப்செட் நிர்ணயம் ஆகியவற்றின் அடிப்படையில் டிடன்னெலிங் செய்யப்படலாம்;
  • சில பாக்கெட் தலைப்புகளை அகற்றுதல்: MPLS குறிச்சொற்கள், VLAN, மூன்றாம் தரப்பு உபகரணங்களின் குறிப்பிட்ட துறைகள்;
  • தலைப்புகளின் பகுதியை மறைத்தல், எடுத்துக்காட்டாக, போக்குவரத்து அநாமதேயத்தை உறுதிப்படுத்த ஐபி முகவரிகளை மறைத்தல்;
  • பாக்கெட்டில் சேவைத் தகவலைச் சேர்த்தல்: நேர முத்திரைகள், உள்ளீட்டு போர்ட், போக்குவரத்து வகுப்பு லேபிள்கள் போன்றவை.

3. இரட்டிப்பு - பகுப்பாய்வுக் கருவிகளுக்கு அனுப்பப்படும் மீண்டும் மீண்டும் போக்குவரத்து பாக்கெட்டுகளை சுத்தம் செய்தல். உள்கட்டமைப்புடன் இணைப்பதன் தனித்தன்மையின் காரணமாக நகல் பாக்கெட்டுகள் பெரும்பாலும் நிகழ்கின்றன - போக்குவரத்து பல பகுப்பாய்வு புள்ளிகளைக் கடந்து அவை ஒவ்வொன்றிலிருந்தும் பிரதிபலிக்கும். முழுமையற்ற TCP பாக்கெட்டுகளை மீண்டும் அனுப்புவதும் உள்ளது, ஆனால் அவற்றில் நிறைய இருந்தால், இவை நெட்வொர்க்கின் தரத்தை கண்காணிப்பதற்கான கூடுதல் கேள்விகள், அதில் உள்ள தகவல் பாதுகாப்புக்காக அல்ல.

4. மேம்பட்ட வடிகட்டுதல் அம்சங்கள் - கொடுக்கப்பட்ட ஆஃப்செட்டில் குறிப்பிட்ட மதிப்புகளைத் தேடுவது முதல் தொகுப்பு முழுவதும் கையெழுத்து பகுப்பாய்வு வரை.

5. NetFlow/IPFIX தலைமுறை - போக்குவரத்தை கடந்து செல்வது மற்றும் பகுப்பாய்வு கருவிகளுக்கு மாற்றுவது பற்றிய பரந்த அளவிலான புள்ளிவிவரங்களின் தொகுப்பு.

6. SSL போக்குவரத்தின் மறைகுறியாக்கம், சான்றிதழ் மற்றும் விசைகள் முதலில் பிணைய பாக்கெட் தரகரில் ஏற்றப்படும் என்று வழங்கப்படுகிறது. ஆயினும்கூட, இது பகுப்பாய்வு கருவிகளை கணிசமாக இறக்குவதற்கு உங்களை அனுமதிக்கிறது.

இன்னும் பல செயல்பாடுகள் உள்ளன, பயனுள்ள மற்றும் சந்தைப்படுத்தல், ஆனால் முக்கிய, ஒருவேளை, பட்டியலிடப்பட்டுள்ளன.

கண்டறிதல் அமைப்புகளை (ஊடுருவல்கள், DDOS தாக்குதல்கள்) அவற்றின் தடுப்புக்கான அமைப்புகளாக உருவாக்குதல், அதே போல் செயலில் உள்ள DPI கருவிகளை அறிமுகப்படுத்துதல், செயலற்ற (TAP அல்லது SPAN போர்ட்கள் மூலம்) செயலில் இருந்து ("இடைவெளியில்") மாறுதல் திட்டத்தில் மாற்றம் தேவைப்பட்டது. ) இந்த சூழ்நிலை நம்பகத்தன்மைக்கான தேவைகளை அதிகரித்தது (ஏனென்றால் இந்த விஷயத்தில் ஒரு தோல்வி முழு நெட்வொர்க்கையும் சீர்குலைக்க வழிவகுக்கிறது, மேலும் தகவல் பாதுகாப்பின் மீதான கட்டுப்பாட்டை இழப்பது மட்டுமல்லாமல்) மற்றும் ஆப்டிகல் கப்ளர்களை ஆப்டிகல் பைபாஸ்களுடன் மாற்றுவதற்கு வழிவகுத்தது. கணினி தகவல் பாதுகாப்பின் செயல்திறனில் பிணையத்தின் செயல்திறனைச் சார்ந்திருப்பதன் சிக்கலைத் தீர்க்கவும்), ஆனால் முக்கிய செயல்பாடு மற்றும் அதற்கான தேவைகள் அப்படியே இருந்தன.

டிசைன் மற்றும் சர்க்யூட்ரி முதல் உட்பொதிக்கப்பட்ட மென்பொருள் வரை 100G, 40G மற்றும் 10G இடைமுகங்களுடன் DS இன்டக்ரிட்டி நெட்வொர்க் பாக்கெட் புரோக்கர்களை உருவாக்கியுள்ளோம். மேலும், மற்ற பாக்கெட் தரகர்களைப் போலல்லாமல், உள்ளமைக்கப்பட்ட சுரங்கப்பாதை தலைப்புகளுக்கான மாற்றியமைத்தல் மற்றும் சமநிலைப்படுத்தும் செயல்பாடுகள் முழு போர்ட் வேகத்தில் எங்கள் வன்பொருளில் செயல்படுத்தப்படுகின்றன.

தகவல் பாதுகாப்பு அமைப்புகளை உருவாக்குவதற்கான நவீன தீர்வுகள் - நெட்வொர்க் பாக்கெட் தரகர்கள் (நெட்வொர்க் பாக்கெட் தரகர்)

ஆதாரம்: www.habr.com

கருத்தைச் சேர்