バイパスとは何ですか?
ネットワーク セキュリティ装置は、通常、内部ネットワークと外部ネットワークの間など、2 つ以上のネットワーク間で使用されます。ネットワーク セキュリティ装置は、ネットワーク パケット分析を通じて、特定のルーティング ルールに従って処理されてパケットが送信された後、ネットワーク セキュリティ装置が故障した場合(たとえば、停電やクラッシュの後)に脅威があるかどうかを判断します。 、デバイスに接続されているネットワーク セグメントが相互に切断されます。この場合、各ネットワークを相互に接続する必要がある場合は、Bypass を表示する必要があります。
バイパス機能は、その名前が示すように、特定のトリガー状態 (停電またはクラッシュ) によってネットワーク セキュリティ デバイスのシステムを経由せずに、2 つのネットワークを物理的に接続できるようにします。したがって、ネットワーク セキュリティ デバイスに障害が発生した場合でも、バイパス デバイスに接続されているネットワークは相互に通信できます。もちろん、ネットワーク デバイスはネットワーク上のパケットを処理しません。
バイパス アプリケーション モードはどのように分類されますか?
バイパスは、次のようなコントロール モードまたはトリガー モードに分かれています。
1. 電源によってトリガーされます。このモードでは、デバイスの電源がオフになったときにバイパス機能が有効になります。デバイスの電源がオンになると、バイパス機能はすぐに無効になります。
2. GPIO によって制御されます。OS にログインした後、GPIO を使用して特定のポートを操作し、バイパス スイッチを制御できます。
3. ウォッチドッグによる制御。これはモード 2 の拡張です。ウォッチドッグを使用して GPIO バイパス プログラムの有効化と無効化を制御し、バイパス ステータスを制御できます。このようにして、プラットフォームがクラッシュした場合、ウォッチドッグによってバイパスを開くことができます。
実際のアプリケーションでは、これら 3 つの状態、特に 2 つのモード 1 と 2 が同時に存在することがよくあります。一般的なアプリケーション方法は次のとおりです。デバイスの電源がオフになると、バイパスが有効になります。デバイスの電源がオンになると、BIOS によってバイパスが有効になります。BIOS がデバイスを引き継いだ後も、バイパスは有効のままです。アプリケーションが動作できるように、バイパスをオフにします。起動プロセス全体を通じて、ネットワークが切断されることはほとんどありません。
バイパス実装の原則は何ですか?
1. ハードウェアレベル
ハードウェア レベルでは、リレーは主にバイパスを実現するために使用されます。これらのリレーは、2 つのバイパス ネットワーク ポートの信号ケーブルに接続されています。次の図は、1 本の信号ケーブルを使用したリレーの動作モードを示しています。
パワートリガーを例に挙げます。停電の場合、リレーのスイッチは状態 1 にジャンプします。つまり、LAN1 の RJ45 インターフェイス上の Rx が LAN2 の RJ45 Tx に直接接続され、デバイスの電源がオンになると、スイッチはこのように、LAN1 と LAN2 の間のネットワーク通信が必要な場合は、デバイス上のアプリケーションを通じてそれを行う必要があります。
2. ソフトウェアレベル
バイパスの分類では、バイパスを制御およびトリガーするために GPIO とウォッチドッグが言及されています。実際、これら 2 つの方法はどちらも GPIO を操作し、GPIO がハードウェア上のリレーを制御して、対応するジャンプを実行します。具体的には、対応する GPIO が高レベルに設定されている場合、リレーはそれに応じて位置 1 にジャンプしますが、GPIO カップが低レベルに設定されている場合、リレーはそれに応じて位置 2 にジャンプします。
Watchdog Bypass については、実際には上記 GPIO 制御をベースに Watchdog 制御 Bypass を追加します。ウォッチドッグが有効になったら、BIOS でアクションをバイパスするように設定します。システムはウォッチドッグ機能を有効にします。ウォッチドッグが有効になると、対応するネットワーク ポートのバイパスが有効になり、デバイスはバイパス状態になります。実際、バイパスも GPIO によって制御されますが、この場合、GPIO へのロー レベルの書き込みはウォッチドッグによって実行され、GPIO を書き込むために追加のプログラミングは必要ありません。
ハードウェアバイパス機能は、ネットワークセキュリティ製品の必須機能です。デバイスの電源がオフになるかクラッシュすると、内部ポートと外部ポートが物理的に接続されてネットワーク ケーブルが形成されます。このようにして、データ トラフィックは、デバイスの現在のステータスに影響されることなく、デバイスを直接通過できます。
高可用性 (HA) アプリケーション:
Mylinking™ は、アクティブ/スタンバイとアクティブ/アクティブという 2 つの高可用性 (HA) ソリューションを提供します。プライマリ デバイスからバックアップ デバイスへのフェイルオーバーを提供する補助ツールへのアクティブ スタンバイ (またはアクティブ/パッシブ) 展開。また、アクティブ/アクティブは冗長リンクに展開され、アクティブ デバイスに障害が発生した場合にフェイルオーバーを提供します。
Mylinking™ Bypass TAP は 2 つの冗長インライン ツールをサポートしており、アクティブ/スタンバイ ソリューションに導入できます。1 つはプライマリまたは「アクティブ」デバイスとして機能します。スタンバイまたは「パッシブ」デバイスは、引き続きバイパス シリーズを通じてリアルタイム トラフィックを受信しますが、インライン デバイスとは見なされません。これにより、「ホット スタンバイ」冗長性が提供されます。アクティブ デバイスに障害が発生し、バイパス TAP がハートビートの受信を停止した場合、スタンバイ デバイスが自動的にプライマリ デバイスとして引き継ぎ、すぐにオンラインになります。
当社のバイパスに基づいて得られる利点は何ですか?
1 - インライン ツール (WAF、NGFW、IPS など) の前後のトラフィックをアウトオブバンド ツールに割り当てます。
2 - 複数のインライン ツールを同時に管理することで、セキュリティ スタックが簡素化され、ネットワークの複雑さが軽減されます。
3 - インライン リンクのフィルタリング、集約、負荷分散を提供します。
4-計画外のダウンタイムのリスクを軽減する
5-フェイルオーバー、高可用性[HA]
投稿時間: 2021 年 12 月 23 日
