バイパスとは何ですか?
ネットワークセキュリティ機器は、内部ネットワークと外部ネットワークなど、2つ以上のネットワーク間で一般的に使用されます。ネットワークセキュリティ機器は、ネットワークパケット解析によって脅威の有無を判断し、特定のルーティングルールに従って処理した後、パケットを外部に転送します。ネットワークセキュリティ機器が故障した場合、例えば停電やクラッシュの後、機器に接続されているネットワークセグメントが互いに切断されます。この場合、各ネットワークが相互に接続する必要がある場合は、バイパス機能が必要になります。
バイパス機能は、その名の通り、特定のトリガー状態(停電やシステム障害など)を経由せずに、2つのネットワークを物理的に接続できるようにする機能です。そのため、ネットワークセキュリティデバイスが故障した場合でも、バイパスデバイスに接続されたネットワーク同士は通信できます。もちろん、ネットワークデバイスはネットワーク上でパケットを処理しません。
バイパスアプリケーションモードはどのように分類されますか?
バイパスは制御モードとトリガーモードに分けられ、それぞれ以下の通りである。
1. 電源供給によってトリガーされます。このモードでは、デバイスの電源がオフになるとバイパス機能が有効になります。デバイスの電源がオンになると、バイパス機能は直ちに無効になります。
2. GPIOによる制御。OSにログイン後、GPIOを使用して特定のポートを操作し、バイパススイッチを制御できます。
3. ウォッチドッグによる制御。これはモード2の拡張機能です。ウォッチドッグを使用して、GPIOバイパスプログラムの有効化と無効化を制御し、バイパス状態を制御できます。このようにして、プラットフォームがクラッシュした場合でも、ウォッチドッグによってバイパスを開くことができます。
実際のアプリケーションでは、これら 3 つの状態、特にモード 1 とモード 2 が同時に存在することがよくあります。一般的なアプリケーション方法は次のとおりです。デバイスの電源がオフのときは、バイパスが有効になります。デバイスの電源がオンになると、BIOS によってバイパスが有効になります。BIOS がデバイスを制御した後も、バイパスは有効なままです。アプリケーションが動作するように、バイパスをオフにします。起動プロセス全体を通して、ネットワークが切断されることはほとんどありません。
バイパス実装の原理とは何ですか?
1. ハードウェアレベル
ハードウェアレベルでは、バイパスを実現するために主にリレーが使用されます。これらのリレーは、2つのバイパスネットワークポートの信号ケーブルに接続されます。次の図は、1本の信号ケーブルを使用したリレーの動作モードを示しています。
電源トリガーを例にとると、停電時にはリレーのスイッチが状態1に切り替わり、LAN1のRJ45インターフェースのRxがLAN2のRJ45 Txに直接接続されます。そして、デバイスの電源がオンになると、スイッチは状態2に戻ります。このように、LAN1とLAN2間のネットワーク通信が必要な場合は、デバイス上のアプリケーションを介して設定する必要があります。
2. ソフトウェアレベル
バイパスの分類において、バイパスの制御とトリガーとしてGPIOとウォッチドッグが挙げられています。実際には、これら2つの方法はいずれもGPIOを操作し、GPIOがハードウェア上のリレーを制御して対応するジャンプ動作を行います。具体的には、対応するGPIOがハイレベルに設定されている場合、リレーは対応する位置1にジャンプし、GPIOがローレベルに設定されている場合、リレーは対応する位置2にジャンプします。
ウォッチドッグバイパスは、実際には上記のGPIO制御をベースにウォッチドッグ制御バイパスを追加したものです。ウォッチドッグが有効になった後、BIOSでバイパス動作を設定します。システムがウォッチドッグ機能をアクティブ化します。ウォッチドッグが有効になった後、対応するネットワークポートのバイパスが有効になり、デバイスはバイパス状態になります。実際には、バイパスもGPIOによって制御されますが、この場合、GPIOへの低レベルの書き込みはウォッチドッグによって実行されるため、GPIOへの書き込みのための追加のプログラミングは必要ありません。
ハードウェアバイパス機能は、ネットワークセキュリティ製品に必須の機能です。デバイスの電源がオフになったり、クラッシュしたりすると、内部ポートと外部ポートが物理的に接続され、ネットワークケーブルを形成します。これにより、データトラフィックはデバイスの現在の状態の影響を受けることなく、デバイスを直接通過できます。
高可用性(HA)アプリケーション:
Mylinking™は、アクティブ/スタンバイとアクティブ/アクティブという2つの高可用性(HA)ソリューションを提供しています。アクティブ/スタンバイ(またはアクティブ/パッシブ)構成は、補助ツールに展開され、プライマリデバイスからバックアップデバイスへのフェイルオーバーを実現します。一方、アクティブ/アクティブ構成は、冗長リンクに展開され、いずれかのアクティブデバイスに障害が発生した場合にフェイルオーバーを実現します。
Mylinking™ Bypass TAPは、2つの冗長なインラインツールをサポートしており、アクティブ/スタンバイ構成で展開できます。1つはプライマリデバイス、つまり「アクティブ」デバイスとして機能します。スタンバイデバイス、つまり「パッシブ」デバイスは、Bypassシリーズを介してリアルタイムのトラフィックを受信しますが、インラインデバイスとはみなされません。これにより、「ホットスタンバイ」冗長性が実現されます。アクティブデバイスが故障し、Bypass TAPがハートビートを受信しなくなった場合、スタンバイデバイスが自動的にプライマリデバイスとして引き継ぎ、すぐにオンラインになります。
当社のバイパスを利用することで得られるメリットは何ですか?
1. インラインツール(WAF、NGFW、IPSなど)の前後のトラフィックをアウトオブバンドツールに割り当てます。
2. 複数のインラインツールを同時に管理することで、セキュリティスタックが簡素化され、ネットワークの複雑さが軽減されます。
3. インラインリンクのフィルタリング、集約、および負荷分散機能を提供します。
4.予期せぬダウンタイムのリスクを軽減する
5.フェイルオーバー、高可用性(HA)
投稿日時:2021年12月23日
