Что такое обход?
Оборудование сетевой безопасности обычно используется между двумя или более сетями, например, между внутренней сетью и внешней сетью. Оборудование сетевой безопасности посредством анализа сетевых пакетов определяет, есть ли угроза, после обработки в соответствии с определенными правилами маршрутизации пересылает пакет наружу, и если оборудование сетевой безопасности неисправно, например, после сбоя питания или аварии, сегменты сети, подключенные к устройству, отключаются друг от друга. В этом случае, если каждая сеть должна быть подключена друг к другу, то должен появиться обход.
Функция Bypass, как следует из названия, позволяет физически соединить две сети, не проходя через систему сетевого устройства безопасности через определенное состояние срабатывания (отказ питания или сбой). Таким образом, когда сетевое устройство безопасности выходит из строя, сети, подключенные к устройству Bypass, могут взаимодействовать друг с другом. Конечно, сетевое устройство не обрабатывает пакеты в сети.
Как классифицировать режим обхода приложений?
Обход делится на режимы управления или запуска, которые перечислены ниже.
1. Срабатывает от питания. В этом режиме функция Bypass включается при выключении устройства. Если устройство включено, функция Bypass немедленно отключается.
2. Управляется GPIO. После входа в ОС вы можете использовать GPIO для управления определенными портами для управления переключателем Bypass.
3. Управление с помощью Watchdog. Это расширение режима 2. Вы можете использовать Watchdog для управления включением и выключением программы GPIO Bypass для управления статусом Bypass. Таким образом, если платформа выйдет из строя, Bypass может быть открыт с помощью Watchdog.
В практических приложениях эти три состояния часто существуют одновременно, особенно два режима 1 и 2. Общий метод применения таков: когда устройство выключено, Bypass включен. После включения устройства Bypass включается BIOS. После того, как BIOS берет на себя управление устройством, Bypass все еще включен. Отключите Bypass, чтобы приложение могло работать. В течение всего процесса запуска практически не происходит отключений сети.
Какова реализация принципа обхода?
1. Уровень оборудования
На аппаратном уровне реле в основном используются для реализации байпаса. Эти реле подключаются к сигнальным кабелям двух сетевых портов байпаса. На следующем рисунке показан рабочий режим реле с использованием одного сигнального кабеля.
Возьмем в качестве примера триггер питания. В случае сбоя питания переключатель в реле перейдет в состояние 1, то есть Rx на интерфейсе RJ45 LAN1 напрямую подключится к RJ45 Tx LAN2, а когда устройство будет включено, переключатель подключится к 2. Таким образом, если требуется сетевое соединение между LAN1 и LAN2, вам нужно сделать это через приложение на устройстве.
2. Уровень программного обеспечения
В классификации Bypass упоминаются GPIO и Watchdog для управления и запуска Bypass. Фактически, оба этих способа управляют GPIO, а затем GPIO управляет реле на оборудовании, чтобы выполнить соответствующий переход. В частности, если соответствующий GPIO установлен на высокий уровень, реле перейдет в положение 1 соответственно, тогда как если чашка GPIO установлена на низкий уровень, реле перейдет в положение 2 соответственно.
Для обхода сторожевого таймера фактически добавляется контроль сторожевого таймера Обход на основе управления GPIO выше. После того, как сторожевой таймер вступит в силу, установите действие на обход в BIOS. Система активирует функцию сторожевого таймера. После того, как сторожевой таймер вступит в силу, включается соответствующий обход сетевого порта и устройство переходит в состояние обхода. Фактически, обход также управляется GPIO, но в этом случае запись низких уровней в GPIO выполняется сторожевым таймером, и для записи GPIO не требуется никакого дополнительного программирования.
Функция аппаратного обхода является обязательной функцией сетевых продуктов безопасности. Когда устройство выключено или выходит из строя, внутренние и внешние порты физически соединяются, образуя сетевой кабель. Таким образом, трафик данных может напрямую проходить через устройство, не подвергаясь влиянию текущего состояния устройства.
Применение высокой доступности (HA):
Mylinking™ предоставляет два решения высокой доступности (HA): Active/Standby и Active/Active. Развертывание Active Standby (или активное/пассивное) для вспомогательных инструментов для обеспечения отказоустойчивости с основных устройств на резервные. И Active/Active Deployed для резервных соединений для обеспечения отказоустойчивости при отказе любого активного устройства.
Mylinking™ Bypass TAP поддерживает два резервных встроенных инструмента, которые могут быть развернуты в решении Active/Standby. Один служит в качестве основного или «активного» устройства. Резервное или «пассивное» устройство по-прежнему получает трафик в реальном времени через серию Bypass, но не считается встроенным устройством. Это обеспечивает резервирование «горячего резерва». Если активное устройство выходит из строя и Bypass TAP перестает получать сигналы сердцебиения, резервное устройство автоматически берет на себя функции основного устройства и немедленно подключается к сети.
Какие преимущества вы можете получить, воспользовавшись нашим обходом?
1. Распределите трафик до и после встроенного инструмента (например, WAF, NGFW или IPS) для внешнего инструмента.
2. Одновременное управление несколькими встроенными инструментами упрощает стек безопасности и снижает сложность сети.
3-Обеспечивает фильтрацию, агрегацию и балансировку нагрузки для встроенных ссылок
4-Снижение риска незапланированных простоев
5-Отказоустойчивость, высокая доступность [HA]
Время публикации: 23 декабря 2021 г.
