¿Cuál es el bypass?
El equipo de seguridad de la red se usa comúnmente entre dos o más redes, como entre la red interna y la red externa. El equipo de seguridad de la red a través de su análisis de paquetes de red, para determinar si existe una amenaza, después de procesarse de acuerdo con ciertas reglas de enrutamiento para reenviar el paquete para salir, y si el equipo de seguridad de la red no funcionó, por ejemplo, después de una falla de energía o bloqueo, los segmentos de red conectados al dispositivo se desconectan entre sí. En este caso, si cada red debe conectarse entre sí, entonces debe aparecer bypass.
La función de derivación, como su nombre lo indica, permite que las dos redes se conecten físicamente sin pasar por el sistema del dispositivo de seguridad de red a través de un estado de activación específico (falla de energía o bloqueo). Por lo tanto, cuando el dispositivo de seguridad de la red falla, la red conectada al dispositivo de derivación puede comunicarse entre sí. Por supuesto, el dispositivo de red no procesa paquetes en la red.
¿Cómo clasificar el modo de aplicación de derivación?
El bypass se divide en modos de control o activador, que son los siguientes
1. Activado por la fuente de alimentación. En este modo, la función de derivación habilita cuando el dispositivo se apagó. Si el dispositivo encendió, la función de derivación se deshabilitará de inmediato.
2. Controlado por GPIO. Después de iniciar sesión en el sistema operativo, puede usar GPIO para operar puertos específicos para controlar el interruptor de derivación.
3. Control de Watchdog. Esta es una extensión del Modo 2. Puede usar el Kinddog para controlar la habilitación y deshabilitación del programa de derivación GPIO para controlar el estado de derivación. De esta manera, si la plataforma se bloquea, Watchdog puede abrir el bypass.
En aplicaciones prácticas, estos tres estados a menudo existen al mismo tiempo, especialmente los dos modos 1 y 2. El método de aplicación general es: cuando el dispositivo está apagado, el bypass está habilitado. Después de encender el dispositivo, el bypass está habilitado por el BIOS. Después de que el BIOS se apodera del dispositivo, el bypass todavía está habilitado. Apague el bypass para que la aplicación pueda funcionar. Durante todo el proceso de inicio, casi no hay desconexión de red.
¿Cuál es el principio de implementación de derivación?
1. Nivel de hardware
En el nivel de hardware, los relés se utilizan principalmente para lograr bypass. Estos relés están conectados a los cables de señal de los dos puertos de red de derivación. La siguiente figura muestra el modo de trabajo del relé usando un cable de señal.
Tome el disparador de potencia como ejemplo. En el caso de la falla de energía, el interruptor en el relé saltará al estado de 1, es decir, RX en la interfaz RJ45 de LAN1 se conectará directamente a RJ45 TX de LAN2, y cuando el dispositivo esté encendido, el conmutador se conectará a 2. De esta manera, si la comunicación de red entre LAN1 y LAN2 es necesario, debe hacerlo a través de una aplicación en el dispositivo.
2. Nivel de software
En la clasificación de Bypass, se menciona GPIO y Watchdog para controlar y activar el bypass. De hecho, ambas dos formas operan el GPIO, y luego el GPIO controla el relé en el hardware para dar el salto correspondiente. Específicamente, si el GPIO correspondiente se establece en alto nivel, el relé saltará a la posición 1 correspondientemente, mientras que si la copa GPIO se establece en un nivel bajo, el relé saltará a la posición 2 correspondientemente.
Para Watchdog Bypass, en realidad se agrega Bypass de control Watchdog sobre la base del control de GPIO anterior. Después de que el perro guardián entra en vigencia, establezca la acción para evitar el BIOS. El sistema activa la función Watchdog. Después de que el Watchdog entra en vigencia, el bypass del puerto de red correspondiente está habilitado y el dispositivo ingresa al estado de derivación. De hecho, el bypass también está controlado por GPIO, pero en este caso, la redacción de niveles bajos a GPIO es realizado por el perro guardián, y no se requiere una programación adicional para escribir GPIO.
La función de derivación de hardware es una función obligatoria de los productos de seguridad de red. Cuando el dispositivo está apagado o bloqueado, los puertos internos y externos están conectados físicamente para formar un cable de red. De esta manera, el tráfico de datos puede pasar directamente a través del dispositivo sin verse afectado por el estado actual del dispositivo.
Aplicación de alta disponibilidad (HA):
MyLinking ™ proporciona dos soluciones de alta disponibilidad (HA), activo/en espera y activo/activo. La implementación activa de espera (o activa/pasiva) en herramientas auxiliares para proporcionar conmutación por error de dispositivos primarios a respaldo. Y el activo/activo implementado en enlaces redundantes para proporcionar conmutación por error cuando cualquier dispositivo activo falla.
MyLinking ™ Bypass Tap admite dos herramientas en línea redundantes, podría implementarse en la solución activa/en espera. Uno sirve como el dispositivo primario o "activo". El dispositivo de espera o "pasivo" todavía recibe tráfico en tiempo real a través de la serie de derivación, pero no se considera un dispositivo en línea. Esto proporciona redundancia de "espera en espera". Si el dispositivo activo falla y el toque de derivación deja de recibir latidos, el dispositivo en espera se hace cargo automáticamente como el dispositivo principal y se pone en línea de inmediato.
¿Cuáles son las ventajas que puede obtener en función de nuestro bypass?
1-Allejar tráfico antes y después de la herramienta en línea (como WAF, NGFW o IPS) a la herramienta fuera de banda
2-manejo de múltiples herramientas en línea simplifica simultáneamente la pila de seguridad y reduce la complejidad de la red
3 proporciona el filtrado, la agregación y el equilibrio de carga para enlaces en línea
4-Reduce el riesgo de tiempo de inactividad no planificado
5-Failover, alta disponibilidad [ha]
Tiempo de publicación: diciembre 23-2021
