Что такое байпас?
Оборудование сетевой безопасности обычно используется между двумя или более сетями, например, между внутренней и внешней сетями. Сетевое оборудование безопасности анализирует сетевые пакеты, определяет наличие угроз и, обрабатывая их в соответствии с определёнными правилами маршрутизации, перенаправляет пакеты. В случае неисправности оборудования сетевой безопасности, например, после отключения питания или аварии, сегменты сети, подключённые к устройству, отключаются друг от друга. В этом случае, если требуется соединение сетей, необходимо использовать обходной путь.
Функция Bypass, как следует из названия, обеспечивает физическое соединение двух сетей без прохождения через систему сетевого устройства безопасности через определённое состояние (отказ питания или сбой). Таким образом, при отказе сетевого устройства безопасности сети, подключённые к устройству Bypass, могут взаимодействовать друг с другом. Конечно, сетевое устройство не обрабатывает пакеты в сети.
Как классифицировать режим обхода приложений?
Обход делится на режимы управления или запуска, которые перечислены ниже.
1. Активируется при подаче питания. В этом режиме функция Bypass активируется при выключении устройства. При включении устройства функция Bypass немедленно отключается.
2. Управление через GPIO. После входа в ОС вы можете использовать GPIO для управления определёнными портами и переключателем байпаса.
3. Управление с помощью сторожевого таймера. Это расширение режима 2. Вы можете использовать сторожевой таймер для управления включением и выключением программы обхода GPIO, чтобы контролировать состояние обхода. Таким образом, в случае сбоя платформы обход может быть открыт с помощью сторожевого таймера.
На практике эти три состояния часто существуют одновременно, особенно режимы 1 и 2. Общий принцип работы следующий: при выключении устройства режим Bypass включён. После включения устройства режим Bypass включается BIOS. После того, как BIOS перехватывает управление устройством, режим Bypass остаётся включённым. Отключите режим Bypass, чтобы приложение могло работать. В течение всего процесса запуска разрывов сети практически не происходит.
В чем заключается реализация принципа обхода?
1. Аппаратный уровень
На аппаратном уровне для реализации байпаса в основном используются реле. Эти реле подключаются к сигнальным кабелям двух сетевых портов байпаса. На следующем рисунке показан режим работы реле с одним сигнальным кабелем.
Возьмём в качестве примера триггер питания. В случае отключения питания переключатель реле перейдёт в состояние 1, то есть Rx на интерфейсе RJ45 LAN1 напрямую подключится к RJ45 Tx LAN2, а при включении устройства переключатель подключится к 2. Таким образом, если требуется сетевое взаимодействие между LAN1 и LAN2, это необходимо сделать через приложение на устройстве.
2. Уровень программного обеспечения
В классификации байпаса упоминаются GPIO и сторожевой таймер для управления и запуска байпаса. Фактически, оба этих способа управляют GPIO, который затем управляет реле на аппаратном уровне для выполнения соответствующего переключения. В частности, если соответствующий GPIO установлен на высокий уровень, реле перейдет в положение 1, тогда как если на выводе GPIO установлен на низкий уровень, реле перейдет в положение 2.
Для обхода сторожевого таймера фактически добавлен обход управления сторожевым таймером на основе управления GPIO, описанного выше. После срабатывания сторожевого таймера установите действие обхода в BIOS. Система активирует функцию сторожевого таймера. После срабатывания сторожевого таймера включается обход соответствующего сетевого порта, и устройство переходит в состояние обхода. Фактически, обход также управляется GPIO, но в этом случае запись низких уровней в GPIO выполняется сторожевым таймером, и для записи GPIO не требуется дополнительного программирования.
Функция аппаратного обхода (Bypass) является обязательной функцией сетевых продуктов безопасности. При отключении питания или выходе устройства из строя внутренние и внешние порты физически соединяются, образуя сетевой кабель. Таким образом, трафик данных может проходить через устройство напрямую, независимо от его текущего состояния.
Применение высокой доступности (HA):
Mylinking™ предлагает два решения высокой доступности (HA): «Активный/Резервный» и «Активный/Активный». Развертывание «Активного резерва» (или «Активного/Пассивного») на вспомогательных устройствах для обеспечения отказоустойчивости с основных устройств на резервные. Развертывание «Активного/Активного» на резервных каналах связи для обеспечения отказоустойчивости при отказе любого активного устройства.
Mylinking™ Bypass TAP поддерживает два резервных встроенных устройства и может быть развернут в решении «активный/резервный». Одно из них служит основным или «активным» устройством. Резервное или «пассивное» устройство продолжает получать трафик в режиме реального времени через устройства Bypass, но не считается встроенным устройством. Это обеспечивает «горячее резервирование». Если активное устройство выходит из строя и Bypass TAP перестает получать сигналы тактового импульса, резервное устройство автоматически берет на себя функции основного устройства и немедленно подключается к сети.
Какие преимущества вы можете получить, воспользовавшись нашим Bypass?
1. Распределите трафик до и после встроенного инструмента (например, WAF, NGFW или IPS) для внешнего инструмента.
2. Одновременное управление несколькими встроенными инструментами упрощает стек безопасности и снижает сложность сети.
3. Обеспечивает фильтрацию, агрегацию и балансировку нагрузки для встроенных ссылок.
4. Снизьте риск незапланированных простоев
5-Отказоустойчивость, высокая доступность [HA]
Время публикации: 23 декабря 2021 г.
