Co je to obchvat?
Zařízení pro síťovou bezpečnost se běžně používá mezi dvěma nebo více sítěmi, například mezi interní a externí sítí. Zařízení pro síťovou bezpečnost analyzují síťové pakety, aby zjistily, zda existuje hrozba. Poté, co jsou zpracovány podle určitých směrovacích pravidel, pakety přepošlou k odeslání. Pokud zařízení pro síťovou bezpečnost nefunguje správně, například po výpadku napájení nebo havárii, jsou segmenty sítě připojené k zařízení vzájemně odpojeny. V tomto případě, pokud je třeba, aby se obě sítě vzájemně propojily, musí se zobrazit možnost Bypass.
Funkce Bypass, jak název napovídá, umožňuje oběma sítím fyzické propojení bez nutnosti průchodu systémem síťového bezpečnostního zařízení v důsledku specifického spouštěcího stavu (výpadek napájení nebo havárie). Pokud tedy síťové bezpečnostní zařízení selže, sítě připojené k bypassovému zařízení mohou vzájemně komunikovat. Síťové zařízení samozřejmě nezpracovává pakety v síti.
Jak se klasifikuje režim bypassové aplikace?
Bypass je rozdělen do řídicích nebo spouštěcích režimů, které jsou následující
1. Spouštěno napájením. V tomto režimu se funkce bypass aktivuje při vypnutí zařízení. Pokud se zařízení zapne, funkce bypass se okamžitě deaktivuje.
2. Ovládáno pomocí GPIO. Po přihlášení do operačního systému můžete pomocí GPIO ovládat konkrétní porty a přepínat bypass.
3. Ovládání pomocí Watchdogu. Toto je rozšíření režimu 2. Watchdog můžete použít k ovládání aktivace a deaktivace programu GPIO Bypass pro řízení stavu Bypassu. Tímto způsobem může být Bypass otevřen pomocí Watchdogu v případě havárie platformy.
V praktických aplikacích tyto tři stavy často existují současně, zejména dva režimy 1 a 2. Obecný způsob aplikace je následující: když je zařízení vypnuto, je bypass povolen. Po zapnutí zařízení je bypass povolen systémem BIOS. Poté, co systém BIOS převezme zařízení, je bypass stále povolen. Vypněte bypass, aby aplikace mohla fungovat. Během celého procesu spouštění nedochází téměř k žádnému odpojení od sítě.
Jaký je princip implementace bypassu?
1. Úroveň hardwaru
Na hardwarové úrovni se relé používají hlavně k dosažení bypassu. Tato relé jsou připojena k signálovým kabelům dvou síťových portů bypassu. Následující obrázek znázorňuje pracovní režim relé s použitím jednoho signálního kabelu.
Vezměte si jako příklad spouštěč napájení. V případě výpadku napájení se spínač v relé přepne do stavu 1, tj. Rx na rozhraní RJ45 sítě LAN1 se přímo připojí k RJ45 Tx sítě LAN2 a po zapnutí zařízení se spínač připojí k 2. Pokud je tedy vyžadována síťová komunikace mezi sítěmi LAN1 a LAN2, je třeba ji provést pomocí aplikace v zařízení.
2. Úroveň softwaru
V klasifikaci bypassu se pro řízení a spouštění bypassu zmiňují GPIO a Watchdog. Ve skutečnosti oba tyto dva způsoby ovládají GPIO a GPIO poté ovládá relé na hardwaru, aby provedl odpovídající skok. Konkrétně, pokud je odpovídající GPIO nastaven na vysokou úroveň, relé přeskočí do odpovídající polohy 1, zatímco pokud je úroveň GPIO nastavena na nízkou úroveň, relé přeskočí do odpovídající polohy 2.
Pro obcházení hlídacího modulu (Watchdog Bypass) je ve skutečnosti přidáno obcházení řízení hlídacího modulu (Watchdog control Bypass) na základě výše uvedeného ovládání GPIO. Po aktivaci hlídacího modulu (Watchdog) se v BIOSu nastaví akce na obcházení (bypass). Systém aktivuje funkci hlídacího modulu (Watchdog). Po aktivaci hlídacího modulu se povolí obcházení odpovídajícího síťového portu a zařízení přejde do stavu obcházení (bypass). Ve skutečnosti je obcházení (Bypass) také řízeno GPIO, ale v tomto případě zápis nízkých úrovní do GPIO provádí hlídací modul (Watchdog) a pro zápis GPIO není nutné žádné další programování.
Funkce hardwarového bypassu je povinnou funkcí produktů pro síťovou bezpečnost. Když je zařízení vypnuto nebo selže, interní a externí porty se fyzicky propojí a vytvoří síťový kabel. Tímto způsobem může datový provoz procházet přímo zařízením, aniž by byl ovlivněn jeho aktuálním stavem.
Aplikace s vysokou dostupností (HA):
Mylinking™ nabízí dvě řešení s vysokou dostupností (HA), Active/Standby a Active/Active. Aktivní pohotovostní (nebo aktivní/pasivní) řešení je nasazeno na pomocné nástroje pro zajištění failoveru z primárního na záložní zařízení. A Active/Active je nasazeno na redundantní linky pro zajištění failoveru v případě selhání jakéhokoli aktivního zařízení.
Mylinking™ Bypass TAP podporuje dva redundantní inline nástroje, které lze nasadit v řešení Active/Standby. Jeden slouží jako primární neboli „aktivní“ zařízení. Standby neboli „pasivní“ zařízení stále přijímá provoz v reálném čase prostřednictvím řady Bypass, ale není považováno za inline zařízení. To zajišťuje redundanci „Hot Standby“. Pokud aktivní zařízení selže a Bypass TAP přestane přijímat signály heartbeat, záložní zařízení automaticky převezme funkci primárního zařízení a okamžitě se přepne do režimu online.
Jaké výhody můžete získat na základě našeho bypassu?
1. Přidělte provoz před a za inline nástrojem (například WAF, NGFW nebo IPS) nástroji out-of-band.
2. Současná správa více inline nástrojů zjednodušuje bezpečnostní stack a snižuje složitost sítě.
3-Poskytuje filtrování, agregaci a vyvažování zátěže pro vložené odkazy
4. Snižte riziko neplánovaných prostojů
5-Failover, vysoká dostupnost [HA]
Čas zveřejnění: 23. prosince 2021
