Что такое объездная дорога?
Сетевое оборудование безопасности обычно используется между двумя или более сетями, например, между внутренней и внешней сетью. Сетевое оборудование безопасности, анализируя сетевые пакеты, определяет наличие угрозы, после обработки в соответствии с определенными правилами маршрутизации пересылает пакеты дальше. Если сетевое оборудование безопасности неисправно, например, после отключения электроэнергии или сбоя, сегменты сети, подключенные к устройству, отключаются друг от друга, то для обеспечения связи между сетями необходимо использовать обходной механизм.
Функция обхода, как следует из названия, позволяет двум сетям физически соединяться, минуя систему устройства сетевой безопасности, посредством определенного триггерного состояния (сбой питания или аварийное завершение работы). Таким образом, при отказе устройства сетевой безопасности сети, подключенные к устройству обхода, могут обмениваться данными друг с другом. Разумеется, сетевое устройство не обрабатывает пакеты в сети.
Как классифицировать режим обхода приложения?
Режим обхода делится на режимы управления или запуска, которые описаны ниже.
1. Активируется источником питания. В этом режиме функция обхода включается при выключении устройства. Если устройство включено, функция обхода немедленно отключается.
2. Управление осуществляется через GPIO. После входа в операционную систему вы можете использовать GPIO для управления определенными портами, чтобы контролировать переключатель обхода.
3. Управление с помощью сторожевого таймера. Это расширение режима 2. Вы можете использовать сторожевой таймер для управления включением и выключением программы обхода GPIO, чтобы контролировать состояние обхода. Таким образом, если платформа выйдет из строя, обход может быть открыт с помощью сторожевого таймера.
В практических приложениях эти три состояния часто существуют одновременно, особенно режимы 1 и 2. Общий метод работы следующий: при выключении устройства режим обхода (Bypass) включен. После включения устройства BIOS включает режим обхода. После того, как BIOS берет управление устройством на себя, режим обхода остается включенным. Отключите режим обхода, чтобы приложение могло работать. В течение всего процесса запуска практически не происходит разрывов соединения.
В чём заключается принцип реализации обходного пути?
1. Аппаратный уровень
На аппаратном уровне реле в основном используются для реализации обхода. Эти реле подключаются к сигнальным кабелям двух портов сети обхода. На следующем рисунке показан режим работы реле с использованием одного сигнального кабеля.
В качестве примера рассмотрим триггер питания. В случае отключения электроэнергии переключатель в реле перейдет в состояние 1, то есть Rx на интерфейсе RJ45 LAN1 напрямую подключится к RJ45 Tx LAN2, и при включении устройства переключатель подключится к состоянию 2. Таким образом, если требуется сетевая связь между LAN1 и LAN2, это необходимо реализовать через приложение на устройстве.
2. Уровень программного обеспечения
В классификации обходных режимов упоминаются GPIO и сторожевой таймер для управления и запуска обходного режима. Фактически, оба этих способа работают с GPIO, а затем GPIO управляет реле на аппаратном уровне, обеспечивая соответствующий переключение. В частности, если соответствующий GPIO установлен на высокий уровень, реле переключится в положение 1, а если GPIO установлен на низкий уровень, реле переключится в положение 2.
Для обхода сторожевого таймера фактически добавлено управление обходом на основе управления GPIO, описанное выше. После срабатывания сторожевого таймера в BIOS устанавливается действие «обход». Система активирует функцию сторожевого таймера. После срабатывания сторожевого таймера включается обход соответствующего сетевого порта, и устройство переходит в состояние обхода. Фактически, обход также управляется GPIO, но в этом случае запись низких уровней в GPIO выполняется сторожевым таймером, и для записи в GPIO не требуется дополнительного программирования.
Функция аппаратного обхода является обязательной функцией сетевых продуктов безопасности. При выключении или сбое устройства внутренние и внешние порты физически соединяются, образуя сетевой кабель. Таким образом, трафик данных может напрямую проходить через устройство, не подвергаясь влиянию его текущего состояния.
Приложение с высокой доступностью (HA):
Mylinking™ предлагает два решения для обеспечения высокой доступности (HA): Active/Standby и Active/Active. Решение Active Standby (или active/passive) развертывается на вспомогательных устройствах для обеспечения переключения с основного устройства на резервное. Решение Active/Active развертывается на резервных каналах связи для обеспечения переключения при отказе любого активного устройства.
Mylinking™ Bypass TAP поддерживает два резервных устройства, которые могут быть развернуты в решении Active/Standby. Одно из них служит основным или «активным» устройством. Резервное или «пассивное» устройство продолжает получать трафик в реальном времени через серию Bypass, но не рассматривается как устройство, работающее в режиме реального времени. Это обеспечивает резервирование в режиме «горячего резервирования». Если активное устройство выходит из строя и Bypass TAP перестает получать сигналы подтверждения активности, резервное устройство автоматически берет на себя функции основного устройства и немедленно подключается к сети.
Какие преимущества вы получите, воспользовавшись нашей объездной дорогой?
1. Направьте трафик до и после встроенного инструмента (например, WAF, NGFW или IPS) на внеполосный инструмент.
2. Одновременное управление несколькими встроенными инструментами упрощает стек безопасности и снижает сложность сети.
3. Обеспечивает фильтрацию, агрегацию и балансировку нагрузки для встроенных каналов связи.
4. Снижение риска незапланированных простоев.
5. Отказоустойчивость, высокая доступность [HA]
Дата публикации: 23 декабря 2021 г.
