Что такое байпас?
Оборудование сетевой безопасности обычно используется между двумя или более сетями, например, между внутренней сетью и внешней сетью. Оборудование сетевой безопасности посредством анализа сетевых пакетов определяет наличие угрозы, после обработки в соответствии с определенными правилами маршрутизации пересылает пакет на выход, а также если оборудование сетевой безопасности неисправно, например, после сбоя питания или сбоя. , сегменты сети, подключенные к устройству, отключаются друг от друга. В этом случае, если каждую сеть нужно соединить между собой, то должен появиться Bypass.
Функция обхода, как следует из названия, позволяет двум сетям физически соединяться без прохождения через систему устройства сетевой безопасности определенного состояния срабатывания (сбой питания или сбой). Таким образом, в случае сбоя устройства сетевой безопасности сети, подключенные к обходному устройству, могут взаимодействовать друг с другом. Разумеется, сетевое устройство не обрабатывает пакеты в сети.
Как классифицировать режим приложения обхода?
Байпас разделен на режимы управления и триггера, а именно:
1. Срабатывает от источника питания. В этом режиме функция обхода включается при выключении устройства. Если устройство включено, функция обхода будет немедленно отключена.
2. Управляется GPIO. После входа в ОС вы можете использовать GPIO для управления определенными портами для управления переключателем обхода.
3. Контроль со стороны Watchdog. Это расширение режима 2. Вы можете использовать Watchdog для управления включением и отключением программы обхода GPIO для управления статусом обхода. Таким образом, в случае сбоя платформы обходной путь может быть открыт Watchdog.
В практических приложениях эти три состояния часто существуют одновременно, особенно два режима 1 и 2. Общий метод применения таков: когда устройство выключено, байпас включен. После включения устройства обход включается в BIOS. После того, как BIOS возьмет на себя управление устройством, обход все еще включен. Отключите обход, чтобы приложение могло работать. В течение всего процесса запуска практически не происходит отключения сети.
Каков принцип реализации обхода?
1. Уровень оборудования
На аппаратном уровне реле в основном используются для обхода. Эти реле подключаются к сигнальным кабелям двух портов обходной сети. На следующем рисунке показан режим работы реле с использованием одного сигнального кабеля.
Возьмем, к примеру, силовой триггер. В случае сбоя питания переключатель реле перейдет в состояние 1, то есть Rx на интерфейсе RJ45 LAN1 будет напрямую подключаться к RJ45 Tx LAN2, а когда устройство будет включено, переключатель будет подключитесь к 2. Таким образом, если требуется сетевое соединение между LAN1 и LAN2, вам необходимо сделать это через приложение на устройстве.
2. Уровень программного обеспечения
В классификации обхода упоминаются GPIO и Watchdog для управления и запуска обхода. Фактически, оба этих двух способа используют GPIO, а затем GPIO управляет аппаратным реле для выполнения соответствующего перехода. В частности, если для соответствующего GPIO установлен высокий уровень, реле перейдет в положение 1 соответственно, тогда как если для чашки GPIO установлен низкий уровень, реле перейдет в положение 2 соответственно.
Для обхода сторожевого таймера фактически добавлен обход управления сторожевым таймером на основе управления GPIO, описанного выше. После того, как сторожевой таймер вступит в силу, установите действие для обхода в BIOS. Система активирует функцию сторожевого таймера. После того, как сторожевой таймер вступит в силу, активируется обход соответствующего сетевого порта, и устройство переходит в состояние обхода. На самом деле Bypass также управляется GPIO, но в этом случае запись низких уровней в GPIO осуществляет Watchdog, и для записи GPIO никакого дополнительного программирования не требуется.
Функция аппаратного обхода является обязательной функцией продуктов сетевой безопасности. Когда устройство выключено или выходит из строя, внутренние и внешние порты физически соединяются, образуя сетевой кабель. Таким образом, трафик данных может проходить напрямую через устройство, не подвергаясь влиянию текущего состояния устройства.
Приложение высокой доступности (HA):
Mylinking™ предлагает два решения высокой доступности (HA): «активный/резервный» и «активный/активный». Активное резервное (или активное/пассивное) развертывание вспомогательных инструментов для обеспечения переключения с основного на резервное устройство. А Active/Active развернуто на резервных каналах для обеспечения аварийного переключения в случае сбоя любого активного устройства.
Mylinking™ Bypass TAP поддерживает два резервных встроенных инструмента, которые могут быть развернуты в решении «активный/резервный». Одно служит основным или «активным» устройством. Резервное или «пассивное» устройство по-прежнему получает трафик в реальном времени через серию Bypass, но не считается встроенным устройством. Это обеспечивает резервирование в режиме «горячего резерва». Если активное устройство выходит из строя и обходной TAP перестает получать контрольные сигналы, резервное устройство автоматически становится основным устройством и немедленно подключается к сети.
Какие преимущества вы можете получить, используя наш обходной путь?
1. Распределите трафик до и после встроенного инструмента (например, WAF, NGFW или IPS) для внешнего инструмента.
2. Одновременное управление несколькими встроенными инструментами упрощает стек безопасности и снижает сложность сети.
3. Обеспечивает фильтрацию, агрегирование и балансировку нагрузки для встроенных ссылок.
4-Уменьшите риск незапланированных простоев
5-Отказоустойчивость, высокая доступность [HA]
Время публикации: 23 декабря 2021 г.