Що таке байпас?
Обладнання мережевої безпеки зазвичай використовується між двома або більше мережами, наприклад, між внутрішньою та зовнішньою мережами. Обладнання мережевої безпеки аналізує мережеві пакети, щоб визначити наявність загрози, після обробки відповідно до певних правил маршрутизації пересилає пакет на вихід. У разі несправності обладнання мережевої безпеки, наприклад, після відключення живлення або аварії, сегменти мережі, підключені до пристрою, відключаються один від одного. У цьому випадку, якщо кожну мережу потрібно підключити одна до одної, має з'явитися функція обходу.
Функція обходу, як випливає з назви, дозволяє двом мережам фізично з'єднуватися, не проходячи через систему пристрою мережевої безпеки через певний стан спрацьовування (відключення живлення або збій). Таким чином, коли пристрій мережевої безпеки виходить з ладу, мережі, підключені до пристрою обходу, можуть взаємодіяти одна з одною. Звичайно, мережевий пристрій не обробляє пакети в мережі.
Як класифікувати режим застосування байпасу?
Байпас поділяється на режими керування або запуску, які є наступними.
1. Активується живленням. У цьому режимі функція байпасу вмикається, коли пристрій вимкнено. Якщо пристрій увімкнено, функція байпасу негайно вимикається.
2. Керується GPIO. Після входу в ОС ви можете використовувати GPIO для керування певними портами, щоб керувати перемикачем байпасу.
3. Керування за допомогою сторожового пристрою. Це розширення режиму 2. Ви можете використовувати сторожовий пристрій для керування ввімкненням та вимкненням програми обходу GPIO для контролю стану обходу. Таким чином, у разі збою платформи сторожовий пристрій може відкрити обхід.
У практичному застосуванні ці три стани часто існують одночасно, особливо два режими 1 та 2. Загальний метод застосування такий: коли пристрій вимкнено, обхід вмикається. Після ввімкнення пристрою обхід вмикається BIOS. Після того, як BIOS бере на себе керування пристроєм, обхід все ще вмикається. Вимкніть обхід, щоб програма могла працювати. Протягом усього процесу запуску майже немає відключень від мережі.
Який принцип реалізації байпасу?
1. Рівень апаратного забезпечення
На апаратному рівні реле в основному використовуються для реалізації байпасу. Ці реле підключені до сигнальних кабелів двох мережевих портів байпасу. На наступному рисунку показано режим роботи реле з використанням одного сигнального кабелю.
Візьмемо, наприклад, тригер живлення. У разі збою живлення перемикач у реле перейде у стан 1, тобто Rx на інтерфейсі RJ45 LAN1 буде безпосередньо підключений до RJ45 Tx LAN2, а коли пристрій увімкнено, перемикач підключиться до 2. Таким чином, якщо потрібен мережевий зв'язок між LAN1 та LAN2, це потрібно зробити через додаток на пристрої.
2. Рівень програмного забезпечення
У класифікації байпасу для керування та запуску байпасу згадуються GPIO та Watchdog. Фактично, обидва ці способи керують GPIO, а потім GPIO керує реле на апаратному забезпеченні, щоб здійснити відповідний стрибок. Зокрема, якщо відповідний GPIO встановлено на високий рівень, реле відповідно перейде в положення 1, тоді як якщо рівень GPIO встановлено на низький рівень, реле відповідно перейде в положення 2.
Для обходу сторожового пристрою фактично додано обхід керування сторожовим пристроєм на основі вищезгаданого керування GPIO. Після того, як сторожовий пристрій набуде чинності, встановіть дію обходу в BIOS. Система активує функцію сторожового пристрою. Після того, як сторожовий пристрій набуде чинності, відповідний обхід мережевого порту вмикається, і пристрій переходить у стан обходу. Фактично, обхід також контролюється GPIO, але в цьому випадку запис низьких рівнів на GPIO виконується сторожовим пристроєм, і для запису GPIO не потрібне додаткове програмування.
Функція апаратного обходу є обов'язковою функцією продуктів мережевої безпеки. Коли пристрій вимкнено або виходить з ладу, внутрішні та зовнішні порти фізично з'єднуються, утворюючи мережевий кабель. Таким чином, трафік даних може проходити безпосередньо через пристрій, не впливаючи на його поточний стан.
Застосунок високої доступності (HA):
Mylinking™ пропонує два рішення високої доступності (HA): Active/Standby та Active/Active. Активний режим очікування (або активний/пасивний) розгортається на допоміжних інструментах для забезпечення резервного перемикання з основного на резервні пристрої. А Active/Active розгортається на резервних каналах для забезпечення резервного перемикання у разі відмови будь-якого активного пристрою.
Mylinking™ Bypass TAP підтримує два резервних вбудованих інструменти, які можна розгорнути в рішенні Active/Standby. Один з них служить основним або "активним" пристроєм. Резервний або "пасивний" пристрій все ще отримує трафік у режимі реального часу через серію Bypass, але не вважається вбудованим пристроєм. Це забезпечує резервування "гарячого резервування". Якщо активний пристрій виходить з ладу і Bypass TAP перестає отримувати сигнали серцебиття, резервний пристрій автоматично бере на себе роль основного пристрою та негайно переходить в режим онлайн.
Які переваги ви можете отримати, використовуючи наш байпас?
1. Розподіліть трафік до та після вбудованого інструменту (наприклад, WAF, NGFW або IPS) для зовнішнього інструменту.
2. Одночасне керування кількома вбудованими інструментами спрощує стек безпеки та зменшує складність мережі.
3. Забезпечує фільтрацію, агрегацію та балансування навантаження для вбудованих посилань
4. Зменшення ризику незапланованих простоїв
5. Відмовостійкість, висока доступність [HA]
Час публікації: 23 грудня 2021 р.
