Was ist der Bypass?
Netzwerksicherheitsgeräte werden häufig zwischen zwei oder mehreren Netzwerken eingesetzt, beispielsweise zwischen internen und externen Netzwerken. Sie analysieren Netzwerkpakete, um festzustellen, ob eine Bedrohung vorliegt. Nach der Verarbeitung gemäß bestimmter Routing-Regeln werden die Pakete weitergeleitet. Bei Fehlfunktionen der Netzwerksicherheitsgeräte, beispielsweise nach einem Stromausfall oder einem Systemabsturz, werden die mit dem Gerät verbundenen Netzwerksegmente voneinander getrennt. Wenn in diesem Fall die einzelnen Netzwerke miteinander verbunden werden müssen, muss ein Bypass-Verfahren eingesetzt werden.
Die Bypass-Funktion ermöglicht, wie der Name schon sagt, die physische Verbindung zwischen den beiden Netzwerken, ohne dass ein bestimmter Auslösezustand (Stromausfall oder Absturz) das System des Netzwerksicherheitsgeräts passieren muss. Wenn das Netzwerksicherheitsgerät ausfällt, können die mit dem Bypass-Gerät verbundenen Netzwerke daher miteinander kommunizieren. Das Netzwerkgerät verarbeitet selbstverständlich keine Pakete im Netzwerk.
Wie wird der Bypass-Anwendungsmodus klassifiziert?
Bypass ist in Steuer- oder Triggermodi unterteilt, die wie folgt sind
1. Ausgelöst durch die Stromversorgung. In diesem Modus wird die Bypass-Funktion aktiviert, wenn das Gerät ausgeschaltet wird. Beim Einschalten des Geräts wird die Bypass-Funktion sofort deaktiviert.
2. Steuerung über GPIO. Nach der Anmeldung beim Betriebssystem können Sie über GPIO bestimmte Ports bedienen und so den Bypass-Schalter steuern.
3. Steuerung durch Watchdog. Dies ist eine Erweiterung von Modus 2. Mit Watchdog können Sie das GPIO-Bypass-Programm aktivieren und deaktivieren und so den Bypass-Status steuern. Auf diese Weise kann der Bypass bei einem Plattformabsturz durch Watchdog geöffnet werden.
In der Praxis treten diese drei Zustände häufig gleichzeitig auf, insbesondere die beiden Modi 1 und 2. Die allgemeine Anwendungsmethode lautet: Beim Ausschalten des Geräts ist der Bypass aktiviert. Nach dem Einschalten des Geräts wird der Bypass vom BIOS aktiviert. Auch nach der Geräteübernahme durch das BIOS bleibt der Bypass aktiviert. Deaktivieren Sie den Bypass, damit die Anwendung funktionieren kann. Während des gesamten Startvorgangs kommt es nahezu nie zu Netzwerkunterbrechungen.
Was ist das Prinzip der Bypass-Implementierung?
1. Hardwareebene
Auf Hardwareebene werden Relais hauptsächlich zur Bypass-Implementierung eingesetzt. Diese Relais werden an die Signalkabel der beiden Bypass-Netzwerkports angeschlossen. Die folgende Abbildung zeigt die Funktionsweise des Relais mit einem Signalkabel.
Nehmen wir den Stromauslöser als Beispiel. Bei einem Stromausfall springt der Schalter im Relais in den Zustand 1, d. h. Rx auf der RJ45-Schnittstelle von LAN1 wird direkt mit RJ45 Tx von LAN2 verbunden, und wenn das Gerät eingeschaltet wird, wird der Schalter mit 2 verbunden. Wenn also eine Netzwerkkommunikation zwischen LAN1 und LAN2 erforderlich ist, muss dies über eine Anwendung auf dem Gerät erfolgen.
2. Softwareebene
In der Bypass-Klassifizierung werden GPIO und Watchdog zur Steuerung und Auslösung des Bypasses erwähnt. Beide Methoden bedienen den GPIO, der dann das Relais auf der Hardware steuert, um den entsprechenden Sprung auszuführen. Insbesondere springt das Relais bei einem hohen GPIO-Pegel entsprechend in Position 1, bei einem niedrigen GPIO-Pegel entsprechend in Position 2.
Bei der Watchdog-Umgehung wird die Watchdog-Steuerung auf Basis der oben beschriebenen GPIO-Steuerung umgangen. Sobald die Watchdog-Funktion aktiviert ist, wird die Bypass-Aktion im BIOS eingestellt. Das System aktiviert die Watchdog-Funktion. Sobald die Watchdog-Funktion aktiviert ist, wird die entsprechende Netzwerkport-Umgehung aktiviert und das Gerät wechselt in den Bypass-Zustand. Tatsächlich wird die Bypass-Steuerung ebenfalls über GPIO gesteuert, allerdings wird in diesem Fall das Schreiben von Low-Level-Signalen in GPIO vom Watchdog durchgeführt, sodass keine zusätzliche Programmierung zum Schreiben von GPIO erforderlich ist.
Die Hardware-Bypass-Funktion ist eine obligatorische Funktion von Netzwerksicherheitsprodukten. Wenn das Gerät ausgeschaltet wird oder abstürzt, werden die internen und externen Ports physisch zu einem Netzwerkkabel verbunden. Auf diese Weise kann der Datenverkehr direkt durch das Gerät geleitet werden, ohne vom aktuellen Status des Geräts beeinflusst zu werden.
Hochverfügbarkeitsanwendung (HA):
Mylinking™ bietet zwei Hochverfügbarkeitslösungen (HA): Aktiv/Standby und Aktiv/Aktiv. Aktiv/Standby (oder Aktiv/Passiv) wird auf Zusatztools bereitgestellt, um ein Failover von primären auf Backup-Geräte zu ermöglichen. Aktiv/Aktiv wird auf redundanten Links bereitgestellt, um ein Failover zu ermöglichen, wenn ein aktives Gerät ausfällt.
Mylinking™ Bypass TAP unterstützt zwei redundante Inline-Geräte, die in der Aktiv/Standby-Lösung eingesetzt werden können. Eines dient als primäres oder „aktives“ Gerät. Das Standby- oder „passive“ Gerät empfängt weiterhin Echtzeitverkehr über die Bypass-Serie, gilt aber nicht als Inline-Gerät. Dies sorgt für „Hot Standby“-Redundanz. Fällt das aktive Gerät aus und empfängt der Bypass TAP keine Heartbeats mehr, übernimmt das Standby-Gerät automatisch die Funktion des primären Geräts und ist sofort online.
Welche Vorteile bietet Ihnen unser Bypass?
1-Zuweisung des Datenverkehrs vor und nach dem Inline-Tool (wie WAF, NGFW oder IPS) zum Out-of-Band-Tool
2. Die gleichzeitige Verwaltung mehrerer Inline-Tools vereinfacht den Sicherheits-Stack und reduziert die Netzwerkkomplexität
3-Bietet Filterung, Aggregation und Lastausgleich für Inline-Links
4. Reduzieren Sie das Risiko ungeplanter Ausfallzeiten
5-Failover, hohe Verfügbarkeit [HA]
Veröffentlichungszeit: 23.12.2021
