バイパスとは何ですか?
ネットワークセキュリティ機器は、内部ネットワークと外部ネットワークの間など、2つ以上のネットワーク間で一般的に使用されます。ネットワークセキュリティ機器は、ネットワークパケットを分析することで脅威の有無を判断し、特定のルーティングルールに従って処理した後、パケットを転送して外部に送信します。ネットワークセキュリティ機器に障害が発生した場合、例えば停電やクラッシュなどにより、機器に接続されたネットワークセグメントが相互に切断されます。このような場合、各ネットワークを相互に接続する必要がある場合は、バイパスが必要になります。
バイパス機能は、その名の通り、特定のトリガー状態(停電またはクラッシュ)を介し、ネットワークセキュリティデバイスのシステムを経由せずに2つのネットワークを物理的に接続することを可能にします。そのため、ネットワークセキュリティデバイスに障害が発生した場合でも、バイパスデバイスに接続されたネットワークは相互に通信できます。もちろん、ネットワークデバイスはネットワーク上のパケットを処理しません。
バイパス アプリケーション モードをどのように分類しますか?
バイパスは、次の制御モードまたはトリガーモードに分かれています。
1. 電源供給によって起動します。このモードでは、デバイスの電源がオフになるとバイパス機能が有効になります。デバイスの電源がオンになると、バイパス機能は直ちに無効になります。
2. GPIOによる制御。OSにログイン後、GPIOを使用して特定のポートを操作し、バイパススイッチを制御できます。
3. ウォッチドッグによる制御。これはモード2の拡張です。ウォッチドッグを使用してGPIOバイパスプログラムの有効化と無効化を制御し、バイパス状態を制御できます。これにより、プラットフォームがクラッシュした場合でも、ウォッチドッグによってバイパスが開かれます。
実際のアプリケーションでは、これらの3つの状態、特にモード1とモード2が同時に存在することがよくあります。一般的な適用方法は次のとおりです。デバイスの電源がオフになると、バイパスが有効になります。デバイスの電源がオンになると、BIOSによってバイパスが有効になります。BIOSがデバイスを制御した後も、バイパスは有効なままです。アプリケーションが動作できるように、バイパスをオフにします。起動プロセス全体を通して、ネットワークが切断されることはほとんどありません。
バイパス実装の原則とは何ですか?
1. ハードウェアレベル
ハードウェアレベルでは、バイパスを実現するためにリレーが主に使用されます。これらのリレーは、2つのバイパスネットワークポートの信号ケーブルに接続されます。次の図は、1本の信号ケーブルを使用したリレーの動作モードを示しています。
電源トリガーを例に挙げましょう。停電が発生した場合、リレー内のスイッチは状態1に切り替わります。つまり、LAN1のRJ45インターフェースのRxがLAN2のRJ45 Txに直接接続され、デバイスの電源が投入されると、スイッチは2に接続されます。このように、LAN1とLAN2間のネットワーク通信が必要な場合は、デバイス上のアプリケーションを通じて通信を行う必要があります。
2. ソフトウェアレベル
バイパスの分類において、GPIOとウォッチドッグはバイパスの制御とトリガーとして言及されています。実際には、これら2つの方法はどちらもGPIOを操作し、GPIOはハードウェア上のリレーを制御して対応するジャンプを実行します。具体的には、対応するGPIOがハイレベルに設定されている場合、リレーは対応するポジション1にジャンプし、GPIOカップがローレベルに設定されている場合、リレーは対応するポジション2にジャンプします。
ウォッチドッグバイパスは、実際には上記のGPIO制御をベースにウォッチドッグ制御バイパスを追加します。ウォッチドッグが有効になった後、BIOSでバイパス動作を設定します。システムはウォッチドッグ機能を起動します。ウォッチドッグが有効になると、対応するネットワークポートのバイパスが有効になり、デバイスはバイパス状態になります。実際にはバイパスもGPIOによって制御されますが、この場合、GPIOへの低レベルの書き込みはウォッチドッグによって行われ、GPIOへの書き込みのための追加プログラミングは必要ありません。
ハードウェアバイパス機能は、ネットワークセキュリティ製品に必須の機能です。デバイスの電源がオフまたはクラッシュした場合、内部ポートと外部ポートが物理的に接続され、ネットワークケーブルが形成されます。これにより、データトラフィックはデバイスの現在の状態に影響を受けることなく、デバイスを直接通過できます。
高可用性 (HA) アプリケーション:
Mylinking™は、アクティブ/スタンバイとアクティブ/アクティブの2つの高可用性(HA)ソリューションを提供します。アクティブ/スタンバイ(またはアクティブ/パッシブ)は、補助ツールへの導入により、プライマリデバイスからバックアップデバイスへのフェイルオーバーを実現します。アクティブ/アクティブは、冗長リンクへの導入により、アクティブデバイスに障害が発生した場合にフェイルオーバーを実現します。
Mylinking™ Bypass TAPは、2つの冗長インラインツールをサポートし、アクティブ/スタンバイソリューションに導入できます。1つはプライマリデバイス(「アクティブ」デバイス)として機能します。スタンバイデバイス(「パッシブ」デバイス)は、Bypassシリーズを介してリアルタイムトラフィックを受信しますが、インラインデバイスとはみなされません。これにより、「ホットスタンバイ」冗長性が実現されます。アクティブデバイスに障害が発生し、Bypass TAPがハートビートの受信を停止した場合、スタンバイデバイスが自動的にプライマリデバイスとして動作を引き継ぎ、直ちにオンラインになります。
弊社のバイパスによって得られる利点は何ですか?
1-インラインツール(WAF、NGFW、IPSなど)の前後のトラフィックをアウトオブバンドツールに割り当てる
2-複数のインラインツールを同時に管理することで、セキュリティスタックが簡素化され、ネットワークの複雑さが軽減されます。
3-インラインリンクのフィルタリング、集約、負荷分散を提供します
4-計画外のダウンタイムのリスクを軽減
5-フェイルオーバー、高可用性[HA]
投稿日時: 2021年12月23日
