Was ist der Bypass?
Netzwerksicherheitsgeräte werden häufig zwischen zwei oder mehr Netzwerken eingesetzt, beispielsweise zwischen dem internen und dem externen Netzwerk. Sie analysieren Netzwerkpakete, um festzustellen, ob eine Bedrohung vorliegt. Nach der Verarbeitung gemäß bestimmter Routing-Regeln werden die Pakete weitergeleitet. Bei Fehlfunktionen, beispielsweise nach einem Stromausfall oder einem Systemabsturz, werden die mit dem Gerät verbundenen Netzwerksegmente voneinander getrennt. Wenn in diesem Fall die einzelnen Netzwerke miteinander verbunden werden müssen, ist ein Bypass erforderlich.
Die Bypass-Funktion ermöglicht, wie der Name schon sagt, die physische Verbindung zwischen den beiden Netzwerken, ohne dass ein bestimmter Auslösezustand (Stromausfall oder Absturz) das System des Netzwerksicherheitsgeräts durchläuft. Daher können die mit dem Bypass-Gerät verbundenen Netzwerke bei einem Ausfall des Netzwerksicherheitsgeräts miteinander kommunizieren. Das Netzwerkgerät verarbeitet selbstverständlich keine Pakete im Netzwerk.
Wie wird der Bypass-Anwendungsmodus klassifiziert?
Bypass ist in Steuer- oder Triggermodi unterteilt, die wie folgt sind
1. Ausgelöst durch die Stromversorgung. In diesem Modus wird die Bypass-Funktion aktiviert, wenn das Gerät ausgeschaltet wird. Sobald das Gerät eingeschaltet wird, wird die Bypass-Funktion sofort deaktiviert.
2. Steuerung über GPIO. Nach der Anmeldung beim Betriebssystem können Sie über GPIO bestimmte Ports zur Steuerung des Bypass-Schalters bedienen.
3. Steuerung durch Watchdog. Dies ist eine Erweiterung von Modus 2. Mit Watchdog können Sie das GPIO-Bypass-Programm aktivieren und deaktivieren und so den Bypass-Status steuern. So kann der Bypass bei einem Plattformabsturz durch Watchdog geöffnet werden.
In praktischen Anwendungen treten diese drei Zustände häufig gleichzeitig auf, insbesondere die beiden Modi 1 und 2. Die allgemeine Anwendungsmethode lautet: Beim Ausschalten des Geräts ist der Bypass aktiviert. Nach dem Einschalten des Geräts wird der Bypass vom BIOS aktiviert. Auch nach der Geräteübernahme durch das BIOS bleibt der Bypass aktiviert. Deaktivieren Sie den Bypass, damit die Anwendung ausgeführt werden kann. Während des gesamten Startvorgangs kommt es praktisch nie zu Netzwerkunterbrechungen.
Was ist das Prinzip der Bypass-Implementierung?
1. Hardwareebene
Auf Hardwareebene werden Relais hauptsächlich zur Bypass-Implementierung eingesetzt. Diese Relais sind mit den Signalkabeln der beiden Bypass-Netzwerkports verbunden. Die folgende Abbildung zeigt die Funktionsweise des Relais mit einem Signalkabel.
Nehmen wir den Power-Trigger als Beispiel. Bei einem Stromausfall springt der Schalter im Relais in den Zustand 1, d. h., Rx an der RJ45-Schnittstelle von LAN1 wird direkt mit RJ45 Tx von LAN2 verbunden. Beim Einschalten des Geräts verbindet sich der Schalter mit 2. Wenn also Netzwerkkommunikation zwischen LAN1 und LAN2 erforderlich ist, muss dies über eine Anwendung auf dem Gerät erfolgen.
2. Softwareebene
In der Bypass-Klassifizierung werden GPIO und Watchdog zur Steuerung und Auslösung des Bypasses erwähnt. Beide Methoden bedienen den GPIO, der dann das Relais der Hardware steuert und den entsprechenden Sprung ausführt. Ist der entsprechende GPIO auf High-Pegel eingestellt, springt das Relais entsprechend in Position 1, ist der GPIO hingegen auf Low-Pegel eingestellt, springt das Relais entsprechend in Position 2.
Bei der Watchdog-Umgehung wird die Watchdog-Steuerung auf Basis der oben beschriebenen GPIO-Steuerung umgangen. Sobald die Watchdog-Funktion aktiviert ist, wird die Bypass-Aktion im BIOS eingestellt. Das System aktiviert die Watchdog-Funktion. Sobald die Watchdog-Funktion aktiviert ist, wird die entsprechende Netzwerkport-Umgehung aktiviert und das Gerät wechselt in den Bypass-Zustand. Die Bypass-Steuerung erfolgt zwar ebenfalls über GPIO, in diesem Fall übernimmt jedoch der Watchdog das Schreiben von Low-Pegeln in GPIO, ohne dass zusätzliche Programmierung zum Schreiben von GPIO erforderlich ist.
Die Hardware-Bypass-Funktion ist eine obligatorische Funktion von Netzwerksicherheitsprodukten. Wenn das Gerät ausgeschaltet wird oder abstürzt, werden die internen und externen Ports physisch zu einem Netzwerkkabel verbunden. Auf diese Weise kann der Datenverkehr direkt durch das Gerät geleitet werden, ohne vom aktuellen Status des Geräts beeinflusst zu werden.
Hochverfügbarkeitsanwendung (HA):
Mylinking™ bietet zwei Hochverfügbarkeitslösungen (HA): Aktiv/Standby und Aktiv/Aktiv. Aktiv/Standby (oder Aktiv/Passiv) wird auf Zusatztools bereitgestellt, um ein Failover von primären auf Backup-Geräte zu ermöglichen. Aktiv/Aktiv wird auf redundanten Links bereitgestellt, um ein Failover zu gewährleisten, wenn ein aktives Gerät ausfällt.
Mylinking™ Bypass TAP unterstützt zwei redundante Inline-Geräte, die in der Aktiv/Standby-Lösung eingesetzt werden können. Eines davon dient als primäres bzw. aktives Gerät. Das Standby- bzw. passive Gerät empfängt weiterhin Echtzeitverkehr über die Bypass-Serie, gilt aber nicht als Inline-Gerät. Dies sorgt für „Hot Standby“-Redundanz. Fällt das aktive Gerät aus und empfängt der Bypass TAP keine Heartbeats mehr, übernimmt das Standby-Gerät automatisch die Funktion des primären Geräts und ist sofort online.
Welche Vorteile bietet Ihnen unser Bypass?
1. Weisen Sie den Verkehr vor und nach dem Inline-Tool (wie WAF, NGFW oder IPS) dem Out-of-Band-Tool zu.
2. Die gleichzeitige Verwaltung mehrerer Inline-Tools vereinfacht den Sicherheitsstapel und reduziert die Netzwerkkomplexität
3-Bietet Filterung, Aggregation und Lastausgleich für Inline-Links
4. Reduzieren Sie das Risiko ungeplanter Ausfallzeiten
5-Failover, hohe Verfügbarkeit [HA]
Veröffentlichungszeit: 23.12.2021
