Какво е байпасът?
Оборудването за мрежова сигурност обикновено се използва между две или повече мрежи, например между вътрешна и външна мрежа. Оборудването за мрежова сигурност чрез анализ на мрежовите пакети определя дали има заплаха, след което обработва пакета съгласно определени правила за маршрутизиране, за да го препрати навън. В случай на неизправност в оборудването за мрежова сигурност, например след прекъсване на захранването или срив, мрежовите сегменти, свързани към устройството, се изключват един от друг. В този случай, ако всяка мрежа трябва да бъде свързана помежду си, трябва да се появи опцията „Байпас“.
Функцията „Bypass“, както подсказва името, позволява на двете мрежи да се свържат физически, без да преминават през системата на устройството за мрежова сигурност чрез специфично задействащо състояние (прекъсване на захранването или срив). Следователно, когато устройството за мрежова сигурност се повреди, мрежата, свързана с устройството „Bypass“, може да комуникира помежду си. Разбира се, мрежовото устройство не обработва пакети в мрежата.
Как се класифицира режимът на байпасно приложение?
Байпасът е разделен на режими на управление или задействане, които са както следва
1. Задейства се от захранването. В този режим функцията за байпас се активира, когато устройството е изключено. Ако устройството е включено, функцията за байпас ще бъде деактивирана незабавно.
2. Контролира се от GPIO. След като влезете в операционната система, можете да използвате GPIO, за да управлявате специфични портове и да контролирате байпасния превключвател.
3. Контрол от Watchdog. Това е разширение на режим 2. Можете да използвате Watchdog, за да контролирате активирането и деактивирането на програмата GPIO Bypass, за да контролирате състоянието на байпаса. По този начин, ако платформата се срине, байпасът може да бъде отворен от Watchdog.
В практически приложения тези три състояния често съществуват едновременно, особено двата режима 1 и 2. Общият метод на приложение е: когато устройството е изключено, байпасът е активиран. След като устройството е включено, байпасът се активира от BIOS. След като BIOS поеме управлението на устройството, байпасът все още е активиран. Изключете байпаса, за да може приложението да работи. По време на целия процес на стартиране почти няма прекъсване на мрежовата връзка.
Какъв е принципът на внедряване на байпаса?
1. Хардуерно ниво
На хардуерно ниво, релетата се използват главно за постигане на байпас. Тези релета са свързани към сигналните кабели на двата мрежови порта за байпас. Следната фигура показва режима на работа на релето, използвайки един сигнален кабел.
Вземете за пример спусъка на захранването. В случай на прекъсване на захранването, превключвателят в релето ще премине в състояние 1, т.е. Rx на RJ45 интерфейса на LAN1 ще се свърже директно с RJ45 Tx на LAN2, а когато устройството е включено, превключвателят ще се свърже с 2. По този начин, ако е необходима мрежова комуникация между LAN1 и LAN2, трябва да го направите чрез приложение на устройството.
2. Софтуерно ниво
В класификацията на байпаса, GPIO и Watchdog се споменават за управление и задействане на байпаса. Всъщност, и двата начина управляват GPIO, а след това GPIO управлява релето на хардуера, за да извърши съответния скок. По-конкретно, ако съответният GPIO е настроен на високо ниво, релето ще скочи съответно на позиция 1, докато ако GPIO гнездото е настроено на ниско ниво, релето ще скочи съответно на позиция 2.
За байпас на Watchdog, всъщност се добавя байпас на контрола на Watchdog, базиран на горепосочения GPIO контрол. След като Watchdog влезе в сила, задайте действието за байпас в BIOS. Системата активира функцията за watchdog. След като Watchdog влезе в сила, съответният байпас на мрежовия порт се активира и устройството влиза в състояние на байпас. Всъщност, байпасът също се контролира от GPIO, но в този случай записването на ниски нива към GPIO се извършва от Watchdog и не е необходимо допълнително програмиране за записване на GPIO.
Функцията за хардуерно байпасиране е задължителна функция на продуктите за мрежова сигурност. Когато устройството е изключено или се повреди, вътрешните и външните портове се свързват физически, за да образуват мрежов кабел. По този начин трафикът на данни може да преминава директно през устройството, без да бъде засегнат от текущото му състояние.
Приложение с висока достъпност (HA):
Mylinking™ предлага две решения с висока достъпност (HA), Active/Standby и Active/Active. Active/Standby (или активно/пасивно) е внедрен в помощни инструменти, за да осигури превключване от основни към резервни устройства. Active/Active е внедрен в резервни връзки, за да осигури превключване при повреда на някое от активните устройства.
Mylinking™ Bypass TAP поддържа два резервирани вградени инструмента, които могат да бъдат внедрени в решението Active/Standby. Единият служи като основно или „активно“ устройство. Резервното или „пасивното“ устройство все още получава трафик в реално време чрез серията Bypass, но не се счита за вградено устройство. Това осигурява резервиране в „горещ режим на готовност“. Ако активното устройство се повреди и Bypass TAP спре да получава сигнали, резервното устройство автоматично поема ролята на основно устройство и незабавно се включва онлайн.
Какви са предимствата, които можете да получите въз основа на нашия байпас?
1-Разпределете трафика преди и след вградения инструмент (като WAF, NGFW или IPS) към инструмента out-of-band
2-Едновременното управление на множество вградени инструменти опростява стека за сигурност и намалява сложността на мрежата
3-Осигурява филтриране, агрегиране и балансиране на натоварването за вградени връзки
4-Намалете риска от непланиран престой
5-Превключване при срив, висока достъпност [HA]
Време на публикуване: 23 декември 2021 г.
