TiFRONT Security Switch 유해 트래픽 차단으로 클린 네트워크 보장 BYOD 환경에서 액세스 네트워크 가시성 제공 수 백대 이상의 보안스위치를 손쉽고 간편하게 통합관리
보안스위치의 필요성 보안 침해 유형 변화 - 취약한 내부 보안 최근 사용자 PC와 가까운 액세스 네트워크를 노리는 다양한 보안 위협이 늘어나면서 내부 보안의 중요성이 커졌습니다. 또한 개인용 스마트 기기를 업무에 활용하는 BYOD 환경으로 네트워크의 경계가 회사 내부에서 모바일 영역까지 확장됨에 따라, 실시간으로 변화되는 네트워크 보안 위협에 능동적인 대응이 필요합니다. 이를 위한 가장 효율적인 솔루션으로 L2/L3 스위칭과 보안 기능을 동시에 제공하는 보안스위치 도입이 필요합니다. 파이오링크 보안스위치인 TiFRONT Security Switch는 유해 트래픽 차단, DoS/DDoS 방지, ARP 공격 차단, 접근제어 및 사용자 인증 등을 모두 제공하는 내부 위협관리에 최적화된 솔루션입니다. 불특정 다수의 네트워크 접속 또는 BYOD 환경의 관리 통제 어려움 VoIP폰, 웹CCTV 및 사물인터넷(IoT)의 해킹에 따른 도청, 사생활 침해 및 위협 외부로 DoS 공격 과다 트래픽 발생으로 내부망 장애 다양한 액세스 경로를 통한 APT공격 대상 확대 다량의 유해트래픽/DoS 발생에 따른 내부 네트워크 장애 서버, 스토리지 등 내부 서버 침입으로 정보 유출 위협 발생 사내 네트워크 BYOD 확산 VoIP, CCTV 사물 인터넷 (IoT) 공격자 PC 노트북 공유기 스마트폰 스마트패드 USB VoIP폰 CCTV 네비게이션 홈네트워크 복합기 APT 공격 대상 확대 기존 L2/L3 스위치의 한계 보안문제 일반적인 트래픽 전송 위주로 보안 기능이 없거나 미약함. 음성통화(VoIP), 화상(CCTV)에 대한 도청, 정보 유출 차단 불가 인증문제 802.1X 인증 성공/실패 시, VLAN 지원 불가 단순한 개별 인증이나 Fall-back 인증 위주여서 보안상 안전하지 않음. 관리문제 L2/L3 레벨의 장비 관리, 보안설정의 번거로움. 자동화된 보안관리, 제품관리 및 모니터링 없음.
TiFRONT Security Switch 개요 사용자 단말 가까운 곳에서 액세스 네트워크+보안을 위한 솔루션 L2/L3 스위칭 (IPv4 / IPv6) 유해 트래픽 차단 (IPv4 / IPv6) 네트워크 접근제어 중앙집중 통합관리 (TiManager) Managed Switch 기능 지원 DoS, DDoS, Flooding 발생 원천 차단 네트워크 환경 및 단말 속성 기반 통합 인증 수 백대 이상의 보안스위치 동시 관리 확장 L2/L3 기능 지원 Zero-day, Wire-speed 보안 자동화된 단말 구분 및 식별을 통한 가시성 확보 손쉬운 장비 관리 실시간 공격 분석 네트워크 모니터링 내부 위협 관리 최적화 보안스위치 TiFRONT Security Switch 도입 효과 액세스 보안해결 각종 유해 트래픽 실시간 공격 차단 (Zero-day & Wired-speed) 실시간 IP 사용현황 모니터링 음성통화(VoIP), 화상(CCTV)에 대한 도청, 정보 유출 차단 전문보안솔루션(IPS, UTM 등)과 연동하여 에이전트 없이 차단 인증해결 IP / MAC 관리 (비인가 또는 변조된 주소 네트워크 접속 차단) 네트워크 환경 및 단말 속성별 접근 제어 정책 적용(IPT 환경, 다중 사용자 환경) 802.1X 환경에서 강력한 접근 제어 (사용자인증+단말인증) 관리해결 수 백대 보안스위치의 중앙집중 관리 및 쉬운 보안설정, OS 일괄 업데이트 실시간 보안 위협 분석 (유해 트래픽 발생 현황 및 차단 현황) BYOD 환경에서 액세스 네트워크 가시성 제공 (네트워크 현황 및 구성도)
TiFRONT Security Switch 의 특장점 L2/L3 스위칭+보안 Security Switch는 고가의 Managed 스위치 기능을 지원하며, 데이터 트래픽을 전송하는 Extended VLAN, STP, RSTP, PvSTP, QoS, IGMP, LACP 등을 지원합니다. 사용자 단말에서 발생하는 유해 트래픽을 자동으로 탐지 및 차단할 수 있습니다. DoS 발생 방지, Protocol Anomaly, 인증, ARP 공격 방어, IP 관리 등의 다양한 액세스 네트워크 보안기능이 결합되어 있습니다. L2/L3 스위칭 + 유해트래픽 차단 하드웨어 기반 보안 엔진- TiMatrix 스위치는 대용량의 복잡한 트래픽을 빠르고 안정적으로 수집, 검사, 차단할 수 있어야 합니다. Security Switch는 멀티코어 기반의 TiMatrix 보안 엔진을 내장해 차별화된 보안성을 자랑합니다. CORE 1 CORE 2 CORE 3 CORE 4 RT Packet Gathering Security Filter Sensor log TiMatrix Protection Logic 멀티코어(Multi Core)의 병렬적 PIPE처리로 보안 엔진 성능 강화 비인가 공유기 탐지 Security Switch는 내부망에 설치된 NAT(Network Address Translation) 장치를 탐지합니다. 관리자 허가 없이 설치된 공유기를 확인해 내부망 보안을 강화합니다. 비인가 공유기 차단 대용량 로그 버퍼- 블랙박스 기능 장애발생 관리자의 실수 또는 정전사고 시, 모든 상황을 안전하게 보관할 수 있어야 향후 대책 마련이 가능합니다. Security Switch는 블랙박스와 같은 대용량 메모리(128MB)를 별도 장착하여 장기간 로그 보관이 가능합니다. 로그 안전 보관 통합관리 솔루션 제공- TiManager 전문적인 네트워크 지식이 없더라도 쉽고 편리하게 네트워크 상태를 모니터링 하고, 즉각적으로 보안 위협에 대응할 수 있습니다. 수백대의 장비를 통합으로 관리할 수 있어 운영자의 업무 부담을 크게 줄여 주며, Security Switch 장비 구입 시, 무료로 제공하기에 NMS 도입을 위한 추가 투자 비용을 절감할 수 있습니다.
다양한 환경 지원 액세스 네트워크는 사용자 단말이 IT 자원 사용을 위해 가장 먼저 접속하는 구간입니다. 예전에는 액세스 네트워크에 접속하는 단말은 PC 밖에 없었으나 급변하는 IT 환경 속에서 단말의 종류도 PC, 노트북, 무선 AP, 네트워크 프린터, VoIP 전화기 등으로 다변화되고 있습니다. Security Switch는 액세스 네트워크에서 L2/L3 스위칭과 보안 서비스를 수행하면서 다양한 액세스 네트워크 환경에 대응하고 있습니다. 일반/대규모 사용자 환경 VoIP 환경 악성코드 등에서 유발하는 Scanning, Flooding, DoS/DDoS 등의 유해 트래픽 탐지/차단 유해 트래픽의 전사 규모 확산 방지 게이트웨이 단말간 ARP spoofing을 통한 도/감청 방지 유해 트래픽을 선별 차단하여 비즈니스 연속성 확보 허가된 사용자만 네트워크 접속을 허용하는 사용자 인증 Loop를 사전 차단하여 네트워크 안정성 확보 Hybrid VLAN, LLDP 및 LLDP-MED, Voice VLAN, 동적 VLAN 등을 통한 음성 통화 품질 보장 ARP spoofing 탐지/차단을 통한 음성통화 도/감청 방지 악성코드 등에서 유발하는 Scanning, Flooding, DoS/DDoS 등의 유해 트래픽 탐지/차단 유해 트래픽 선별 차단하여 비즈니스 연속성 확보 허가된 사용자만 네트워크 접속을 허용하는 사용자 인증 무선 네트워크 환경 PoE 환경 악성코드 등에서 유발하는 Scanning, Flooding, DoS/DDoS 등의 유해 트래픽 탐지/차단 ARP spoofing 탐지/차단을 통한 도/감청 방지 유해트래픽만 선별 차단하여 서비스 연속성 확보 허가된 사용자만 네트워크 접속을 허용하는 사용자 인증 하나의 라인으로 데이터와 전원을 동시 공급하여 케이블 포설 비용 절감 표준 규격 동시 지원 PoE 스케줄링 통하여 효율적인 전력 사용
자체 보안 기능 날로 증가하는 보안 위협에 안전하게 대응하기 위해서는 외부 공격뿐 아니라 내부 네트워크의 출발점이 되는 액세스 네트워크의 보안 대책이 동시에 수립되어야 합니다. 이를 위한 가장 효율적인 솔루션으로 스위칭과 보안 기능을 동시에 제공하는 보안스위치가 있습니다. 파이오링크 Security Switch는 액세스 네트워크에 대한 보안과제에 완벽히 대응합니다. ARP/IP Spoofing 공격 차단 계정정보탈취, 통화도청으로부터 안전한 네트워크 IP/MAC 기반 접속 통제 비인가 단말로부터 네트워크 사용 제한 사용자 단위로 세밀히 판단하기 때문에 공격자와 변조된 MAC 피해자를 구별하여, 공격자만 차단합니다. Security Switch로 UC환경에서의 통화도청, 사생활 노출 및 정보탈취 등의 위협으로부터 안전한 네트워크를 구성할 수 있습니다. 고정 IP 주소 환경에서 IP/MAC 주소를 기반으로 사용자 인증을 수행하는 IP 관리 기능을 제공합니다. 관리자는 TiManager에서 제공하는 IP 관리 수집모드나 직접 IP/MAC 관리를 통해 단말의 접속상태 및 이력을 확인할 수 있습니다. * 사용자 인증을 위한 RADIUS 서버, NAC 등과 연동 가능 USER A USER B 공격자 미등록IP/MAC 변조된IP/MAC 유/무선 유해 트래픽 확산 차단 트래픽 과부화로 인한 속도 저하, 시스템 마비 방어 Self-loop 방지 안정적인 네트워크 서비스 보장 TCP SYN flooding, UDP flooding, ARP flooding 등 액세스 네트워크를 통과하는 각종 DoS 트래픽으로부터 네트워크 자원을 안전하게 보호합니다. DoS 트래픽이 보안스위치에 감지되면 자동으로 공격트래픽만 차단하게 되므로, 항상 안정적인 서비스 상태를 유지할 수 있습니다. STP 기능을 기본 제공하며, STP를 사용하지 않는 환경이라도 Loop 발생 시 해당 포트를 자동 차단합니다. Loop 점검 패킷은 네트워크 리소스에 부담을 주지 않으며, 차단/해제가 자동으로 이루어져 편리하고 안정적입니다.
파이오링크만의 최첨단 스마트 보안 엔진 : TiMatrix 최대 보안 성능을 위한 고성능 CPU 기반의 멀티코어 보안엔진 내장 유해 트래픽만 선별 차단 관리자의 개입 없이 자동으로 탐지/차단 수행 Wire speed로 보안 서비스 수행, 보안 검사를 위한 트래픽 지연 없음 물리적/논리적 분리 구조 채택하여, 보안 엔진에 장애 발생시에도 일반 L2/L3 스위칭은 정상 동작 Dest. MAC Ingress Port Count Src. MAC Src. IP Interval #Z... #Y #X IPv6 완벽 지원 IPv6 보안확대 Flooding, Dos/DDoS, Scanning, ARP spoofing 등 기존 보안 기능 IPv6로 확대 IPv6 신규보안 Neighbor spoofing, DAD attack, MLD DoS 등 IPv6 전용 신규 보안 기능 추가 IPv6 관리 Telnet, Ping, SSH, ICMP, SNMP, NTP 등 관리 기능 IPv6 지원 IPv6 Routing Static, RIPng, OSPFv3, BGP4+ 등 IPv6 routing 지원 802.1X 환경에서 강력한 접근제어 BYOD가 새로운 IT 트렌드로 확실하게 자리잡고 있는 네트워크 환경에서는 보안 확보를 위한 사용자 인증은 매우 중요합니다. Security Switch는 통합인증을 지원함으로써 보다 안전한 네트워크 구축이 가능합니다. 일반 스위치 : 사용자 환경에 따라 802.1X 인증 MAC 인증 Web 인증 중 하나만 통과되면 네트워크 액세스 허용 (Fall-back 인증 방식) Security Switch : IEEE 802.1X MAC 인증 Web 인증 유형 중 2가지 방식의 인증 방법 결합 단말과 사용자에 대한 인증 절차를 모두 통과해야만 네트워크 액세스를 허용하기 때문에 보다 안전한 네트워크 환경 구축 (Fall-back 인증 및 개별 인증지원) 802.1X 인증 MAC 인증 MAC 인증 WEB 인증 802.1X 인증 WEB 인증 802.1X + or + or 802.1X ID + PW ID PW
솔루션 연동으로 기능 확장 Security Switch는 지능화 되는 보안 위협에 대처하고 기능 확장을 통한 사용자 편의를 높이기 위해 타 솔루션과 연동합니다. 단일 보안 제품으로 모든 보안 위협에 대처할 수 없는 것처럼, 전문 솔루션들은 각자의 역할과 특징을 가지고 있습니다. Security Switch는 여러 보안 솔루션과 연동하여 보안성을 극대화하고 빅데이터 플랫폼 기반의 분석 솔루션과도 연동하는 등 지속적으로 기능을 확장하고 있습니다. 인증서버 및 NAC 연동 강력한 네트워크 액세스 통제를 위해 RADIUS 서버, NAC, 인증 서버 등과 연동하여 ID/Password나 인증서 등의 다양한 사용자 인증 방식으로 구축할 수 있습니다. NAC or 인증 서버 *별도 연동 서버 없이 IP/MAC 주소 조합으로도 사용자 인증 가능 악성코드 탐지 솔루션 및 UTM 연동 악성 코드 탐지, UTM 등의 보안 제품은 탐지만 가능하여 차단을 위해 모든 단말에 별도의 에이전트를 설치해야 하며, 내부에서 전파되는 악성 코드에 대해서는 탐지가 불가능한 한계가 있습니다. Security Switch는 전문 탐지 제품들과 연동하여 악성 코드를 네트워크에서 직접 차단하기 때문에 관리가 편리합니다. *파이오링크는 맥아피 보안 혁신 제휴(SIA) 파트너 프로그램에 가입되어 있으며, Security Switch는 맥아피의 보안관리 솔루션인 epo와 통합되어 있습니다. Internet ➊ 악성코드 유입 ➋ 패킷수집(Tx/Rx) ➌ 악성코드 분석 ➎ 차단 정책 전파 ➍ 분석 결과 전송 탐지 솔루션 ➏ Security Switch에서 차단 Security Switch Security Switch Security Switch McAfee : Network Security Platform, epo FireEye : FireEye MPS Fortinet : FortiGate UTM Palo Alto : Firewall PA Series 공격, 감염 빅데이터 분석 솔루션 Splunk 연동 Security Switch와 빅데이터 분석 솔루션인 Splunk를 함께 운용하는 고객은 Security Switch에서 수집한 다양한 로그를 빅데이터 플랫폼 기반에서 분석 할 수 있습니다. 보안로그, 장비로그, 감사로그 등 액세스 네트워크에서 발생하는 여러 이벤트의 면밀한 분석뿐 아니라 내부 보안 위협에 대한 대처능력도 향상할 수 있을 것입니다. *연동 프로그램은 splunk.com에서 다운 받을 수 있습니다.
관리 기능 스태킹 (Stacking) 확장성 및 탁월한 복원력 Security Switch는 스택 기술이 적용되어 뛰어난 확장성 및 우수한 복원력을 지원합니다. 하나의 관리 IP 주소로 최대 8대 스위치들을 통합 관리 할 수 있으며, Virtual Chassis 당 최대 192개의 기가비트 포트를 제공합니다. 기존 스택에 새로운 스위치 유닛을 추가할 경우, 해당 유닛의 소프트웨어 및 설정 파일이 자동으로 동기화 됩니다. 뿐만 아니라, 장애 때문에 유닛을 교체해야 할 때도 대체된 새 유닛이 자동으로 동기화되는 이점을 가지고 있습니다. * 스태킹 지원 전용 모델별도 이중화 구성 (Redundancy) 네트워크 가용성 유지 비관리형 (STP 미지원) 스위치와 이중화 구성 시, 랜 케이블을 이중으로 구성합니다. 만약 한 케이블에 장애가 생기더라도 나머지 한 개가 Active 되면서 네트워크 중단을 예방하여 가용성을 유지시킵니다. STP 미지원 스위치 링 보호 스위칭 (ERPS) Ethernet Ring Protection Switching F 링으로 구성된 네트워크에서의 임의의 링크를 차단함으로써 루프를 방지하는 기능입니다. (링 구성은 단일 링, 다중 링으로 구성 가능) P Master S 유해 트래픽 Web Alert 설정 액세스 차단 알림 및 자체 점검 유도 유해 트래픽이 TiMatrix에 의해 탐지되면, 발생한 호스트에게 인터넷 접속 차단 내용을 알려주는 기능입니다. 사용자 웹 브라우저에 경고창을 띄워 유해 트래픽 송신 내용을 표시하고 사용자로 하여금 자체 점검을 수행하도록 지원합니다. (국/영/일문 선택 가능)
TiManager : 통합 관리 솔루션 전문지식 없이도 손쉬운 보안설정 및 장비관리 유해트래픽 차단 및 발생현황 파악 비인가 단말의 내부 네트워크 접속 제어 실시간 IP 사용현황 모니터링 수 백대 이상의 보안스위치 중앙집중 관리 네트워크 복잡도 해소 및 가시성 확대 실시간 모니터링 세밀한 보안 설정 실시간 트래픽, 보안침해 상태뿐 아니라 보안스위치, 사용자 IP 현황을 TiManager로 한눈에 파악할 수 있습니다. 보안로그, 장비상태 로그 및 네트워크 구성상태 등을 실시간 확인할 수 있습니다. Security Switch에 개별 그룹별 보안 정책 설정을 내릴 수 있습니다. 포트별 보안정책 설정으로 사용하는 IP/MAC 포트를 지정하여 사용시간을 제한하거나 접속을 허용 차단할 수 있습니다. 사용자 IP 관리 다양한 리포트 어느 보안스위치의 몇 번 포트에 어떤 IP로 누가 언제 사용했는지 실시간 파악 할 수 있습니다. IP/MAC기반 사용자 인증으로 IP자원 관리 및 단말의 접속 통제 및 이력 조회가 가능합니다. 보안스위치와 등록된 IP정보에 대한 보고서를 발행합니다. 수십~수백대의 스위치와 각 포트에 연결된 IP 정보를 트래픽 상태, 보안상태,장비상태 등의 보고서로 출력 가능합니다. TiManager 서버 권장사양 TiFRONT Security Switch CPU 메모리 디스크 운영 체제 소프트웨어 환경 100대 이하 Intel Core i5 이상 3GB 이상 HDD 200GB 이상 101 ~ 512대 Intel Core i5 이상 4GB 이상 SSD 128GB 513 ~ 1024대 Intel Core i5 이상 8GB 이상 SSD 256GB 이상 Windows 7 Professional/Ultimate(32/64bit), Windows Server 2003(32/64bit), Windows Server 2008(32/64bit) Microsoft.NET Framework 3.5, MS-SQL 2008 또는 PostgreSQL 9.2 * Windows XP, Windows 7 Home 버전 지원 불가
구축 사례 본사 및 공장 네트워크의 중앙집중 관리 네트워크 복잡도 해소 및 가시성 증대 도입배경 및 요구사항 사업 확장 때마다 네트워크 구성을 바꾸다 보니 관리나 구성이 복잡해졌습니다. 임의로 허브나 외부 단말을 연결하는 것도 문제라 장애 발생 지점을 찾기 어려웠죠. 보령제약은 네트워크 인프라가 구축된 지 10년이 넘어가면서 장애가 자주 발생하게 됐는데, 관리조직에서 장애발생 지점이나 원인을 쉽게 파악하지 못했다. 그 동안 사업이 확장되면서 필요 시 마다 네트워크 구성도 스위치와 허브를 이용해 확장해 사용했으며, 직원들이 업무 편의를 위해 임의로 허브를 구입해 사용하다 보니 네트워크 가시성이 급격히 낮아졌다. 이 때문에 장애관리나 보안위협 관리가 어려운 상황이었다. 게다가 ARP spoofing과 DDoS 공격도 자주 일어나 이러한 문제를 해결할 수 있는 방법을 찾고 있었다. 그러나 각각의 공격을 막는 포인트 솔루션은 관리복잡성이 더 높아진다는 우려가 있어 배제했다. 이때 보안스위치가 PC와 네트워크를 함께 보호할 수 있어 관리 포인트가 줄어들고, 의심되는 공격 패킷을 차단할 수 있어 보령제약이 찾는 조건에 맞는 것으로 판단했다. 제공솔루션 Security Switch는 전문지식이 없어도 손쉽게 운영이 가능하여 관리 업무가 크게 줄었습니다. 파이오링크의 Security Switch는 L2/L3 스위치에 보안 기능을 추가한 장비로, 네트워크 구성 변경이 필요 없고, PC에 에이전트를 설치하지 않고 PC를 보호할 수 있다. 유무선 유해 트래픽을 네트워크에서 차단해 ARP spoofing, TCP/UDP flooding 공격 등을 막는다. IP기반 및 인증서버 연동으로 단말의 접속상태와 이력을 세밀하게 통제할 수 있으며, PoE 기능이 포함돼 IPT 구축이 가능하다. 악성코드 탐지 솔루션과 연동해 좀비PC방지뿐만 아니라 APT공격을 예방할 수 있다. 보령제약이 Security Switch를 선택한 이유는 인터넷 전화 보안과 DDoS, ARP spoofing 등을 방지하기 위해서다. Security Switch는 PC에 가깝게 설치되는 네트워크 보안장비로, 네트워크와 엔드포인트를 함께 보호할 수 있다. PC로 유입되는 트래픽이 악성코드를 갖고 있는지 파악해 좀비PC가 되는 것을 막고, 유해 트래픽을 찾아 DDoS 공격을 방어할 수 있다. 또한 복잡한 케이블 연결로 셀프루프(Self-loop) 되는 문제는 PC와 가까운 L2 위치에서 막는 것이 더 효과적이다. Security Switch의 강점은 PC와 네트워크에 대한 공격을 방어할 수 있다는 것뿐 아니라 관리와 운영이 편하다는 점도 있다. 보령제약은 본사와 안산공장, 그리고 전국 지사로 분산돼 있다. 본사뿐 아니라 전국 단위로 분산된 시스템에 대한 공격을 방어하기 위해서는 중앙관리 환경이 필요하며, 별도의 교육 없이 쉽게 정책을 설정하고 적용할 수 있는 솔루션이 필요했다. Security Switch는 이러한 요구에 가장 적합한 솔루션이었다. 본사, 지사, 공장 등 분산된 환경에서도 중앙집중 관리와 개별 정책 설정이 가능하여 편리합니다. 구축 효과 Security Switch를 통해 중앙집중적인 관리가 가능하고, 네트워크나 보안 전문지식이 없어도 쉽게 관리할 수 있다는 점이 가장 큰 효과이다. 이전에는 장애가 발생했을 때 장애지점을 찾을 수 없어 건물 전체를 샅샅이 살펴보면서 장애지점을 눈으로 확인해야 했다. Security Switch는 중앙관리 콘솔을 제공해주기 때문에 장애 지점과 원인을 즉시 파악하고 조치를 취할 수 있다. 스위치 기반 장비이기 때문에 스위치의 장애를 미리 알려준다는 점도 중요하다. 이전에는 말단의 스위치까지 관리하기 어려웠지만, Security Switch는 말단의 스위치 운영상황을 파악하고 장애 발생 가능성이 높을 때 미리 알려주기 때문에 장애예방이 가능하다. 또한 Security Switch 구축 후 이전에 파악하지 못했던 공격을 파악할 수 있어 보안정책을 수립하는데 많은 도움이 되고 있다. DoS나 ARP spoofing 발생뿐 아니라 Looping과 같은 케이블 장애 등은 발생 즉시 인지하기 어렵지만, Security Switch가 관련 보고서와 경고를 주기 때문에 공격에 대한 빠른 대응이 가능하다. 현재 본사 및 안산공장에 도입되었으며, 향후 전국 지사에도 도입할 예정이다. * 본 도입사례는 월간 네트워크타임즈(www.datanet.co.kr) 통권 234호(2013년 2월호) Case Study에 소개되었습니다.
네트워크 장애 해소 및 액세스 보안 구성 변경 없이 기존 L2스위치를 Security Switch로 교체했습니다. DoS 같은 유해트래픽으로 인한 네트워크 장애문제가 해소되었습니다. 도입배경 및 요구사항 한국산업기술시험원에서는 내부 PC들의 바이러스 감염으로 좀비 PC 활동 및 네트워크 다운, L2 스위치 성능 문제점을 가지고 있었다. 바이러스에 감염된 PC들의 공격으로 네트워크를 다운시키는 문제, L2 스위치 Down문제 등을 해결하기 위해 여러 가지 솔루션을 검토하던 중 Access Level 보안을 강화할 수 있는 L2 보안스위치를 검토하였으며 파이오링크 L2 보안스위치를 일정기간 데모를 통해 좀비 PC로부터 발생되는 DOS Attack에 효과적으로 대응할 수 있다고 판단이 되어 솔루션 도입을 결정하게 되었다. 구축 효과 - 백본 스위치와 각 층간 스위치 사이의 링크를 1Gbps로 구축함으로 사용자 트래픽 증가에도 영향 없이 안정적인 네트워크 제공 - 각 층별 스위치는 TiFRONT-F26 모델을 이용하여 사용자 PC와 1:1로 모든 사용자 PC의 Access를 제어 할 수 있는 환경 구성 - TiManager 서버를 통해 L2 보안스위치의 정책을 일괄 적용하고 모니터링을 통해 공격 PC나, 이상 트래픽 발생 PC에 대해 신속한 대응 가능하게 됨 - 사용자가 연결되는 액세스 스위치는 DDOS 공격 트래픽을 탐지 및 차단하여 좀비PC 의 활동을 차단하고, ARP Spoofing 등의 공격을 미연에 차단하여 백본 스위치의 부하를 줄여줌 전국에 설치된 수 백대 이상 주요 보안스위치를 동시에 관리합니다. 교육청과 산하 교육기관의 대규모 네트워크 연결 마스터 관리 시스템 TiManager 하나로 전국 시/도/구에 설치된 수백 대 이상의 Security Switch를 동시에 관리 할 수 있습니다. 또한 학교 자체적으로 층별, 교실별 보안 정책을 별도 설정할 수 있습니다. 시청과 읍/면/동사무소 IPT망 구축사업 시청과 동사무소들을 연결하는 IPT 구축 사업으로 070전화, 유/무선 AP 등을 위해 PoE 기능이 있는 Security Switch 보안스위치로 구축하였습니다. PoE 모델로 별도의 전원 공급 장치 설치 없이 전원과 데이터를 동시 전송 가능하고, 통합보안관제 시스템 TiManager로 시청과 동사무소의 통합 또는 개별 보안 관리가 가능해졌습니다. VoIP 전화 교체로 ARP spoofing 및 기타 인터넷 공격을 함께 차단하고 있습니다. 통합망 라우터 2중화 보안장비 시청 구성 동사무소 구성 TiManager 1동 사무소 TiManager TiManager 2동 사무소
제품 사양 소프트웨어 기능 Port Management Autonego/Speed/duplex Flow control Smart Port Redundancy VLAN Port-based/Protocol/MAC/Voice/Subnet VLAN 802.1Q Hybrid VLAN Private VLAN Ingress/Egress tagging Max VLAN (4K) 802.1ad VLAN Stacking (QinQ) Spanning Tree STP, RSTP, MSTP, PvST+, RPvST+ MAC learning MAC address aging MAC filtering Duplicate MAC address learning prevention Reserve MAC learning prevention Static entry support Independent VLAN learning Max. MAC entry (16K/32K) Port Mirroring Port Mirroring (N:N) Link Aggregation LACP Link trunking LACP load balancing Trunk groups (8) Members per group (8) Static Trunk load balancing 장애 link에 대한 traffic 절체 Static routing Dynamic routing (optional) Anomalous traffic Protocol Anomaly Authentication Port Protection Accounting 기타보안 L3 IPv4/IPv6 Static routing (ECMP/Blackhole) IPv4 RIPv1/v2, OSPFv2, BGPv4, VRRP, PIM-SM/SSM IPv6 OSPFv3, RIPng, BGP+ IPv6 6to4 tunneling and ISATAP 보안 One-to-One flooding, Random flooding, IP scanning, Port scanning, IP spoofing, ARP spoofing, Neighbor spoofing, MAC flooding, counting & logging IPv4/IPv6 보안 기능 지원 자동 탐지/차단 및 해지 Source MAC/IP별 차단 탐지 예외 설정 DAD attack, Land attack, Teardrop attack, L4 source port range이상, same port(sport/dport), TCP flag이상, TCP fragments, ICMP fragments, Smurf 802.1X, MAC auth, Web auth, Multi-step 통합인증, Fall-back 인증 802.1X auth VLAN/Unauthorized-VLAN RADIUS, TACACS+ Storm control Max. MAC 지정 Login/Logout 기록 명령어 수행 기록 IP Source Guard, Dynamic ARP Inspection, Embedded RADIUS, 비인가 공유기 Detection, 단말 탐지 기능, DHCP filtering, NetBIOS filtering, Self loop detect, System Access security, Web alert, 실시간 보안 Syslog L2 IGMP snooping QoS ACL PoE Jumbo Frame ERPS 연동제품 SNMP CLI Interface EMS Interface Authentication User관리 설정 및 OS관리 Logging Monitoring Stacking Other Join/Leave, Multicast group (1K), v1/v2/v3 L2, L3, L4 header based classification QoS marking & Remarking QoS queuing & scheduling - Cos Queue mapping - 8 CoS Queues per port - Scheduling by SPQ/WRR/DRR - Drop precedence - Congestion Avoidance Ingress rate-limiting (per port/per flow) Egress rate-limiting (per port) Diffserv Shaping & packet drop policy Min./Max. BW guarantee L2/L3/L4 based filtering VLAN ACL ACL filter naming Time-Based ACL PoE+ 표준 지원 (802.3at) Port별 enable/disable Port별 공급전력 우선순위 설정 PoE 동작현황 모니터링 Port별 PoE 전원 차단 기능 PoE 전원 스케쥴링 supported supported 융합보안 McAfee : Network Security Platform, epo FireEye : Malware Protection System Fortnet : FortiGate UTM Palo Alto : Firewall PA Series 관리 SNMP v1/v2c Public MIB (System, Interface, IP address, UCD, Router(RFC-1213), Protocol(TCP, UDP, SNMP, ICMP), RFC1573 Private Interface MIB) Private MIB (Learning MAC table, 보안 설정) SNMP Trap (Authentication, Port Link up/down) IPv6 MIB Telnet, SSH, Console SNMP, Syslog, SSH RADIUS, TACACS+ Password 기반 user login, Login timeout 설정, Multi user, User별 권한, Multi-configure OS update via TFTP/FTP Syslog server, Monitoring, Log 임계치 관리, Log 백업, System/Security log Port statistics, CPU/Memory usage, Fan, Watchdog, Temperature sensor RMON sflow supported DHCP server/relay, LLDP, LLDP-MED, UDLD, USB 인터페이스 지원, Multi OS, Technical-assist
L2 스위치 TiFRONT F26 F26P G2408 G2408P G24 G24P Switch Fabric 28.8Gbps 100Gbps 72Gbps Forwarding Rate 13.09Mpps 35.71Mpps 71.43Mpps 메모리(RAM) 512MB 512MB 512MB 플래시 메모리 160MB (OS 32MB, Log Buffer 128MB) 256MB (OS 128MB, Log Buffer 128MB) 160MB (OS 32MB, Log Buffer 128MB) 인터페이스 24 x 10/100BASE-T, 2 x 1G dual combo : Copper & Fiber 10 x 10/100/1000BASE-T, 2 x 1000BASE-X 24 x 10/100/1000BASE-T, (4 x combo included : 1000BASE-X SFP) 입력전원 100~240VAC, 50/60Hz(Free Voltage) PoE 전원 Dual Single Single Dual 소비전력(Max.) 24.3W(S) / 24.9W(D) 40.8W(D) 27.5W(S) 36.7W(S) 39.3W(S) / 39.6W(D) 41.12W(D) 크기(WxDxH) 440 350 44mm 220 290 44mm 220 350 44mm 440 350 44mm 무게 4.0Kg(S) / 4.2Kg(D) 5.0Kg(D) 2.9Kg(S) 3.6Kg(S) 4.0Kg(S) / 4.2Kg(D) 5.2Kg(D) EMC 인증 KC(Class A) / VCCI(Class A) IPv6 IPv6 ready logo(phase-Ⅱ) RoHS RoHS Compliant 보안 인증 CC 2.0 (ELA2) TiFRONT G2128 G2128P G2424 G2424P G48 G48P Switch Fabric 72Gbps 152Gbps 200Gbps Forwarding Rate 83.33Mpps 83.33Mpps 142.86Mpps 메모리(RAM) 512MB 플래시 메모리 256MB (OS 128MB, Log Buffer 128MB) 256MB (OS 128MB, Log Buffer 128MB) 160MB (OS 32MB, Log Buffer 128MB) 인터페이스 24 x 10/100/1000BASE-T (4 x combo included: 1000BASE-X SFP), 4 x 1000BASE-X (Stacking 2ports) 24 x 10/100/1000BASE-T (4 x combo included: 1000BASE-X SFP), 4 x 1000BASE-X (Stacking 2ports) 48 x 10/100/1000BASE-T (4 x combo included: 1000BASE-X SFP) 입력전원 100~240VAC, 50/60Hz(Free Voltage) PoE 전원 Dual 소비전력(Max.) 67.7W(S) / 102.7W(D) 82.8W(S) / 114.7W(D) 40.1W(S) / 40.5W(D) 65.4W(S) / 89.1W(D) 75.2W(S) / 75.4W(D) 95W(D) 크기(WxDxH) 440 350 44mm 440 475 44mm 440 395 44mm 440 475 44mm 440 350 44mm 440 475 44mm 무게 4.3Kg(S) / 4.5Kg(D) 6.7Kg(S) / 7.7Kg(D) 4.6Kg(S) / 4.8Kg(D) 6.5Kg(S) / 7.7Kg(D) 4.3Kg(S) / 4.6Kg(D) 7Kg(D) EMC 인증 KC(Class A) / VCCI(Class A) IPv6 IPv6 ready logo(phase-Ⅱ) RoHS RoHS Compliant 보안 인증 CC 2.0 (ELA2)
TiFRONT GX24N GX24PN GX2424 GX2424P GX24M GX2448 GX2448P Switch Fabric Forwarding Rate 메모리(RAM) 플래시 메모리 인터페이스 입력전원 PoE 전원 소비전력(Max.) 크기(WxDxH) 무게 EMC 인증 IPv6 RoHS 보안 인증 152Gbps 131Mpps 256MB (OS 128MB, Log Buffer 128MB) 24 x 10/100/1000BASE-T (4 x combo included: 1000BASE-X SFP), 2 x 10G SFP+ (Uplink & Stacking) 59.4W(S) / 62.6W(D) 75.7W(D) 440 350 44mm Dual 440 475 44mm 4.1Kg(S) / 4.4Kg(D) 7.1Kg(D) 152Gbps 190.48Mpps 152Gbps 131Mpps 256Gbps 261.91Mpps 256MB (OS 128MB, Log Buffer 128MB) 256MB (OS 128MB, Log Buffer 128MB) 256MB (OS 128MB, Log Buffer 128MB) 24 x 10/100/1000BASE-T 8 x 10/100/1000Base-T 모듈 또는 48 x 10/100/1000BASE-T, (4 x combo included: 1000BASE-X SFP), 8 x 1000Base-X SFP 모듈 (3개의 모듈구성), 4 x 10G SFP+ 4 x 10G SFP+ (Stacking 2ports) 2 x 10G SFP+ (Uplink & Stacking) 100~240VAC, 50/60Hz(Free Voltage) 49.9W(S) / 50.1W(D) 74.8W(S) / 99.0W(D) 55.8W(S) / 55.9W(D) 440 395 44mm 4.5Kg(S) / 4.8Kg(D) 440 475 44mm 6.7Kg(S) / 7.7Kg(D) 440 350 44mm 4.3Kg(S) / 4.6Kg(D) KC(Class A) / VCCI(Class A) IPv6 ready logo(phase-Ⅱ) RoHS Compliant CC 2.0 (ELA2) 57.1W(S) / 57.4W(D) 84.1W(S) / 108.8W(D) 440 395 44mm 440 475 44mm 5.1Kg(S) / 5.3Kg(D) 7.4Kg(S) / 8.4Kg(D) L3 스위치 TiFRONT G3128 G3128P G3424 G3424P GX3424 GX3424P GX3424M Switch Fabric Forwarding Rate 메모리(RAM) 72Gbps 83.33Mpps 512MB 152Gbps 83.33Mpps 152Gbps 190.48Mpps 152Gbps 131Mpps 플래시 메모리 256MB (OS 128MB, Log Buffer 128MB) 256MB (OS 128MB, Log Buffer 128MB) 256MB (OS 128MB, Log Buffer 128MB) 256MB (OS 128MB, Log Buffer 128MB) 인터페이스 24 x 10/100/1000BASE-T 24 x 10/100/1000BASE-T 24 x 10/100/1000BASE-T 8 x 10/100/1000Base-T 모듈 또는 (4 x combo included: 1000BASE-X SFP), (4 x combo included: 1000BASE-X SFP), (4 x combo included: 1000BASE-X SFP), 8 x 1000Base-X SFP 모듈 (3개의 모듈구성), 4 x 1000BASE-X (Stacking 2ports) 4 x 1000BASE-X (Stacking 2ports) 4 x 10G SFP+ (Stacking 2ports) 2 x 10G SFP+ (Uplink & Stacking) 입력전원 PoE 전원 소비전력(Max.) 크기(WxDxH) 무게 EMC 인증 IPv6 RoHS 100~240VAC, 50/60Hz(Free Voltage) 67.7W(S) / 102.7W(D) 82.8W(S) / 114.7W(D) 40.1W(S) / 40.5W(D) 65.4W(S) / 89.1W(D) 49.9W(S) / 50.1W(D) 74.8W(S) / 99.0W(D) 55.8W(S) / 55.9W(D) 440 350 44mm 440 475 44mm 440 395 44mm 440 475 44mm 440 395 44mm 440 475 44mm 440 350 44mm 4.3Kg(S) / 4.5Kg(D) 6.7Kg(S) / 7.7Kg(D) 4.6Kg(S) / 4.8Kg(D) 6.5Kg(S) / 7.7Kg(D) 4.5Kg(S) / 4.8Kg(D) 6.7Kg(S) / 7.7Kg(D) 4.3Kg(S) / 4.6Kg(D) KC(Class A) / VCCI(Class A) IPv6 ready logo(phase-Ⅱ) RoHS Compliant
파이오링크는 클라우드 데이터센터 최적화 전문기업입니다. 데이터센터의 폭주하는 트래픽, 클라우드, 빅데이터의 급변하는 네트워크 인프라에서 서비스의 가용성, 성능, 보안, 관리를 최적화합니다. 늘어난 모바일 기기와 스마트워크 환경에서 서비스 응답을 신속하게 처리하고, 기업의 서버 집중화, 가상화 환경에서 고객 데이터 및 기업 기밀 자료를 보호합니다. IT자원의 효율성으로 모든 애플리케이션 사용을 보장하고 강력한 보안과 모니터링을 통한 가시성으로 사용자의 만족도와 신뢰도를 높여 드립니다. 애플리케이션 딜리버리 컨트롤러(ADC) 네트워크 가용성 및 성능 최적화, IT 투자 효율성 증대 PAS-K 웹 애플리케이션 방화벽 비정상적인 웹 트래픽 차단, 웹사이트 안전과 정보보호 WEBFRONT-K 보안스위치 네트워크 내부 위협 관리를 위한 보안스위치 Security Switch SDN 스위치 쉽고 빠른 네트워크 운영관리를 위한 오픈플로우 지원 스위치 TiFLOW (주)파이오링크 이 문서의 내용은 제품의 성능 및 기능 향상, 인쇄상의 오류 수정 등으로 인해 사전 예고 없이 변경될 수 있습니다. 이미지는 실제와 다를 수 있습니다. 기재되어 있는 회사, 제품 및 서비스 이름은 각 사의 상표 또는 서비스 표시입니다. 제품은 공인 파트너를 통해 구매할 수 있으며 당사 영업부서 또는 홈페이지에서 확인할 수 있습니다. 대표전화 : 02-2025-6900 www.piolink.com M1-E10