¿Qué es el bypass?
El equipo de seguridad de red se usa comúnmente entre dos o más redes, como entre una red interna y una red externa. El equipo de seguridad de red a través de su análisis de paquetes de red, para determinar si existe una amenaza, después de procesarlo de acuerdo con ciertas reglas de enrutamiento para reenviar el paquete y salir, y si el equipo de seguridad de red no funcionó correctamente, por ejemplo, después de un corte de energía o una falla. , los segmentos de red conectados al dispositivo se desconectan entre sí. En este caso, si cada red necesita estar conectada entre sí, entonces debe aparecer Bypass.
La función Bypass, como su nombre lo indica, permite que las dos redes se conecten físicamente sin pasar por el sistema del dispositivo de seguridad de la red a través de un estado de activación específico (fallo de energía o falla). Por lo tanto, cuando falla el dispositivo de seguridad de la red, la red conectada al dispositivo Bypass puede comunicarse entre sí. Por supuesto, el dispositivo de red no procesa paquetes en la red.
¿Cómo clasificar el modo de aplicación Bypass?
El bypass se divide en modos de control o disparo, que son los siguientes
1. Activado por fuente de alimentación. En este modo, la función Bypass se habilita cuando el dispositivo se apaga. Si el dispositivo se enciende, la función Bypass se desactivará inmediatamente.
2. Controlado por GPIO. Después de iniciar sesión en el sistema operativo, puede usar GPIO para operar puertos específicos para controlar el conmutador Bypass.
3. Control por Vigilancia. Esta es una extensión del modo 2. Puede usar Watchdog para controlar la activación y desactivación del programa GPIO Bypass para controlar el estado de Bypass. De esta manera, si la plataforma falla, Watchdog puede abrir el Bypass.
En aplicaciones prácticas, estos tres estados suelen existir al mismo tiempo, especialmente los dos modos 1 y 2. El método de aplicación general es: cuando el dispositivo está apagado, el Bypass está habilitado. Después de encender el dispositivo, el BIOS habilita la derivación. Después de que el BIOS se hace cargo del dispositivo, la derivación aún está habilitada. Apague el Bypass para que la aplicación pueda funcionar. Durante todo el proceso de inicio, casi no hay desconexión de la red.
¿Cuál es la implementación del Principio de Bypass?
1. Nivel de hardware
A nivel de hardware, los relés se utilizan principalmente para lograr el bypass. Estos relés están conectados a cables de señal de los dos puertos de red Bypass. La siguiente figura muestra el modo de funcionamiento del relé utilizando un cable de señal.
Tomemos como ejemplo el disparador de potencia. En caso de falla de energía, el interruptor en el relé saltará al estado 1, es decir, Rx en la interfaz RJ45 de LAN1 se conectará directamente al RJ45 Tx de LAN2, y cuando el dispositivo esté encendido, el interruptor conectarse a 2. De esta manera, si se requiere la comunicación de red entre LAN1 y LAN2, deberá hacerlo a través de una aplicación en el dispositivo.
2. Nivel de software
En la clasificación de Bypass, se menciona GPIO y Watchdog para controlar y activar el Bypass. De hecho, ambas formas operan el GPIO, y luego el GPIO controla el relé en el hardware para realizar el salto correspondiente. Específicamente, si el GPIO correspondiente está configurado en un nivel alto, el relé saltará a la posición 1 correspondientemente, mientras que si la copa GPIO está configurada en un nivel bajo, el relé saltará a la posición 2 correspondientemente.
Para Watchdog Bypass, en realidad se agrega el control Watchdog Bypass sobre la base del control GPIO anterior. Una vez que el mecanismo de vigilancia entre en vigor, configure la acción para omitirla en el BIOS. El sistema activa la función de vigilancia. Una vez que el mecanismo de vigilancia entra en vigor, se habilita la omisión del puerto de red correspondiente y el dispositivo entra en estado de omisión. De hecho, el Bypass también está controlado por GPIO, pero en este caso, la escritura de niveles bajos en GPIO la realiza el Watchdog y no se requiere programación adicional para escribir GPIO.
La función de derivación de hardware es una función obligatoria de los productos de seguridad de red. Cuando el dispositivo se apaga o falla, los puertos internos y externos se conectan físicamente para formar un cable de red. De esta manera, el tráfico de datos puede pasar directamente a través del dispositivo sin verse afectado por el estado actual del dispositivo.
Aplicación de alta disponibilidad (HA):
Mylinking™ proporciona dos soluciones de alta disponibilidad (HA), Activa/En espera y Activa/Activa. La implementación de Active Standby (o activo/pasivo) en herramientas auxiliares para proporcionar conmutación por error desde los dispositivos principales a los de respaldo. Y Activo/Activo implementado en enlaces redundantes para proporcionar conmutación por error cuando falla cualquier dispositivo activo.
Mylinking™ Bypass TAP admite dos herramientas en línea redundantes que se pueden implementar en la solución Activa/En espera. Uno sirve como dispositivo principal o "activo". El dispositivo en espera o "pasivo" aún recibe tráfico en tiempo real a través de la serie Bypass, pero no se considera un dispositivo en línea. Esto proporciona redundancia "Hot Standby". Si el dispositivo activo falla y el Bypass TAP deja de recibir latidos, el dispositivo en espera asume automáticamente el control como dispositivo principal y se conecta inmediatamente.
¿Cuáles son las ventajas que puede obtener con nuestro Bypass?
1-Asigne tráfico antes y después de la herramienta en línea (como WAF, NGFW o IPS) a la herramienta fuera de banda
2-La gestión simultánea de múltiples herramientas en línea simplifica la pila de seguridad y reduce la complejidad de la red
3-Proporciona filtrado, agregación y equilibrio de carga para enlaces en línea
4-Reducir el riesgo de paradas no planificadas
5-Conmutación por error, alta disponibilidad [HA]
Hora de publicación: 23-dic-2021