Wat is de bypass?
Netwerkbeveiligingsapparatuur wordt vaak gebruikt tussen twee of meer netwerken, bijvoorbeeld tussen een intern en een extern netwerk. De netwerkbeveiligingsapparatuur analyseert netwerkpakketten om te bepalen of er een bedreiging is. Na verwerking volgens bepaalde routeringsregels worden de pakketten doorgestuurd. Als de netwerkbeveiligingsapparatuur echter defect raakt, bijvoorbeeld door een stroomstoring of een crash, waardoor de netwerksegmenten die met het apparaat verbonden zijn, van elkaar losgekoppeld raken, is een bypass-functie nodig om de verbindingen tussen de netwerken te herstellen.
De bypass-functie maakt, zoals de naam al aangeeft, een fysieke verbinding tussen de twee netwerken mogelijk zonder dat het netwerkbeveiligingsapparaat ertussen komt, mits er een specifieke triggerconditie optreedt (stroomuitval of crash). Hierdoor kunnen de netwerken die met de bypass-functie zijn verbonden, met elkaar communiceren wanneer het netwerkbeveiligingsapparaat uitvalt. Uiteraard verwerkt het netwerkbeveiligingsapparaat zelf geen pakketten op het netwerk.
Hoe classificeer je de Bypass-toepassingsmodus?
De bypass-modus is onderverdeeld in een besturingsmodus en een triggermodus, die als volgt zijn:
1. Geactiveerd door de voeding. In deze modus wordt de bypass-functie ingeschakeld wanneer het apparaat is uitgeschakeld. Als het apparaat wordt ingeschakeld, wordt de bypass-functie onmiddellijk uitgeschakeld.
2. Bediening via GPIO. Na het inloggen op het besturingssysteem kunt u GPIO gebruiken om specifieke poorten aan te sturen en zo de bypass-schakelaar te bedienen.
3. Controle via Watchdog. Dit is een uitbreiding van modus 2. U kunt de Watchdog gebruiken om het in- en uitschakelen van het GPIO Bypass-programma te regelen en zo de Bypass-status te beheren. Op deze manier kan de Bypass, als het platform crasht, door de Watchdog worden geopend.
In de praktijk bestaan deze drie toestanden vaak tegelijkertijd, met name de modi 1 en 2. De algemene toepassingsmethode is als volgt: wanneer het apparaat wordt uitgeschakeld, is de bypass ingeschakeld. Nadat het apparaat is ingeschakeld, wordt de bypass door het BIOS ingeschakeld. Nadat het BIOS de controle over het apparaat heeft overgenomen, blijft de bypass ingeschakeld. Schakel de bypass uit zodat de applicatie kan werken. Tijdens het gehele opstartproces is er vrijwel geen netwerkonderbreking.
Wat is het principe van bypass-implementatie?
1. Hardwareniveau
Op hardwareniveau worden relais voornamelijk gebruikt om bypass te realiseren. Deze relais zijn verbonden met signaalkabels van de twee bypass-netwerkpoorten. De volgende afbeelding toont de werking van het relais met één signaalkabel.
Neem bijvoorbeeld de stroomtrigger. Bij stroomuitval springt de schakelaar in het relais naar stand 1, wat betekent dat de Rx-poort op de RJ45-interface van LAN1 rechtstreeks verbonden wordt met de Tx-poort van de RJ45-interface van LAN2. Wanneer het apparaat weer wordt ingeschakeld, schakelt de schakelaar terug naar stand 2. Op deze manier moet netwerkcommunicatie tussen LAN1 en LAN2 via een applicatie op het apparaat tot stand worden gebracht.
2. Softwareniveau
Bij de classificatie van bypasses worden GPIO en watchdog genoemd als methoden om de bypass te besturen en te activeren. In feite bedienen beide methoden de GPIO, die vervolgens het relais in de hardware aanstuurt om de bijbehorende sprong te maken. Concreet: als de betreffende GPIO op een hoog niveau wordt gezet, springt het relais naar positie 1, terwijl als de GPIO op een laag niveau wordt gezet, het relais naar positie 2 springt.
Voor Watchdog Bypass wordt feitelijk een Watchdog-besturingsbypass toegevoegd bovenop de hierboven beschreven GPIO-besturing. Nadat de watchdog actief is, wordt de actie ingesteld op bypass in de BIOS. Het systeem activeert dan de watchdog-functie. Nadat de watchdog actief is, wordt de bijbehorende netwerkpoortbypass ingeschakeld en gaat het apparaat naar de bypass-status. In feite wordt de bypass ook via GPIO aangestuurd, maar in dit geval wordt het schrijven van lage niveaus naar de GPIO uitgevoerd door de watchdog, waardoor er geen extra programmering nodig is om GPIO te schrijven.
De hardware-bypassfunctie is een essentiële functie van netwerkbeveiligingsproducten. Wanneer het apparaat is uitgeschakeld of vastloopt, worden de interne en externe poorten fysiek met elkaar verbonden en vormen ze een netwerkkabel. Op deze manier kan dataverkeer rechtstreeks door het apparaat lopen zonder beïnvloed te worden door de huidige status van het apparaat.
Toepassing voor hoge beschikbaarheid (HA):
Mylinking™ biedt twee oplossingen voor hoge beschikbaarheid (HA): Active/Standby en Active/Active. De Active/Standby-oplossing (of actieve/passieve oplossing) wordt ingezet op hulpapparaten om failover te bieden van primaire naar back-upapparaten. De Active/Active-oplossing wordt ingezet op redundante verbindingen om failover te bieden wanneer een actief apparaat uitvalt.
Mylinking™ Bypass TAP ondersteunt twee redundante inline tools en kan worden ingezet in een Active/Standby-oplossing. Eén ervan fungeert als het primaire of "actieve" apparaat. Het standby- of "passieve" apparaat ontvangt nog steeds realtime verkeer via de Bypass-serie, maar wordt niet beschouwd als een inline apparaat. Dit biedt "Hot Standby"-redundantie. Als het actieve apparaat uitvalt en de Bypass TAP geen heartbeats meer ontvangt, neemt het standby-apparaat automatisch de rol van primair apparaat over en komt direct online.
Welke voordelen kunt u behalen met onze bypass?
1. Wijs het verkeer vóór en na de inline-tool (zoals WAF, NGFW of IPS) toe aan de out-of-band-tool.
2. Het gelijktijdig beheren van meerdere inline tools vereenvoudigt de beveiligingsstack en vermindert de complexiteit van het netwerk.
3. Biedt filtering, aggregatie en taakverdeling voor inline links.
4. Verminder het risico op ongeplande uitval.
5-Failover, hoge beschikbaarheid [HA]
Geplaatst op: 23 december 2021
