바이패스란 무엇인가요?
네트워크 보안 장비는 일반적으로 내부 네트워크와 외부 네트워크처럼 둘 이상의 네트워크 사이에 사용됩니다. 네트워크 보안 장비는 네트워크 패킷 분석을 통해 위협 여부를 판단하고, 특정 라우팅 규칙에 따라 처리한 후 패킷을 외부로 전달합니다. 만약 네트워크 보안 장비에 오작동이 발생할 경우, 예를 들어 정전이나 시스템 오류로 인해 장비에 연결된 네트워크 세그먼트 간의 연결이 끊어질 수 있습니다. 이 경우, 각 네트워크가 서로 연결되어야 하므로 우회 경로가 필요합니다.
바이패스 기능은 이름에서 알 수 있듯이, 특정 상황(전원 장애 또는 시스템 오류)이 발생하면 네트워크 보안 장치를 거치지 않고 두 네트워크가 물리적으로 직접 연결될 수 있도록 합니다. 따라서 네트워크 보안 장치에 장애가 발생하더라도 바이패스 장치에 연결된 네트워크는 서로 통신할 수 있습니다. 물론, 네트워크 보안 장치는 네트워크 상의 패킷을 처리하지 않습니다.
바이패스 애플리케이션 모드는 어떻게 분류하나요?
바이패스는 제어 모드와 트리거 모드로 나뉘며, 그 종류는 다음과 같습니다.
1. 전원 공급에 의해 작동됩니다. 이 모드에서는 기기의 전원이 꺼지면 바이패스 기능이 활성화됩니다. 기기의 전원이 켜지면 바이패스 기능은 즉시 비활성화됩니다.
2. GPIO로 제어. 운영체제에 로그인한 후 GPIO를 사용하여 특정 포트를 조작함으로써 바이패스 스위치를 제어할 수 있습니다.
3. 워치독 제어. 이는 모드 2의 확장입니다. 워치독을 사용하여 GPIO 바이패스 프로그램의 활성화 및 비활성화를 제어함으로써 바이패스 상태를 관리할 수 있습니다. 이렇게 하면 플랫폼이 충돌하는 경우 워치독을 통해 바이패스를 활성화할 수 있습니다.
실제 사용 환경에서는 이 세 가지 상태, 특히 모드 1과 모드 2가 동시에 존재하는 경우가 많습니다. 일반적인 사용 방법은 다음과 같습니다. 장치 전원이 꺼진 상태에서는 바이패스가 활성화됩니다. 장치 전원이 켜지면 BIOS에서 바이패스를 활성화합니다. BIOS가 장치 제어를 시작한 후에도 바이패스는 계속 활성화된 상태로 유지됩니다. 애플리케이션이 정상적으로 작동하려면 바이패스를 비활성화해야 합니다. 전체 시작 과정 동안 네트워크 연결이 끊어지는 경우는 거의 없습니다.
바이패스 구현의 원리는 무엇인가요?
1. 하드웨어 수준
하드웨어 수준에서 바이패스를 구현하기 위해 주로 릴레이가 사용됩니다. 이 릴레이는 두 개의 바이패스 네트워크 포트의 신호 케이블에 연결됩니다. 다음 그림은 하나의 신호 케이블을 사용한 릴레이의 작동 방식을 보여줍니다.
전원 트리거를 예로 들어 설명하겠습니다. 전원이 차단되면 릴레이의 스위치는 1 상태로 전환됩니다. 즉, LAN1의 RJ45 인터페이스의 Rx가 LAN2의 RJ45 Tx에 직접 연결됩니다. 장치에 전원이 공급되면 스위치는 2 상태로 전환됩니다. 따라서 LAN1과 LAN2 간의 네트워크 통신이 필요한 경우, 장치에 설치된 애플리케이션을 통해 통신을 수행해야 합니다.
2. 소프트웨어 수준
바이패스 방식 분류에서 GPIO와 워치독은 바이패스를 제어하고 작동시키는 데 사용되는 방법으로 언급됩니다. 실제로 이 두 가지 방식 모두 GPIO를 사용하며, GPIO는 하드웨어의 릴레이를 제어하여 해당 위치로 점프하도록 합니다. 구체적으로, 해당 GPIO가 하이 레벨로 설정되면 릴레이는 1번 위치로 점프하고, GPIO가 로우 레벨로 설정되면 릴레이는 2번 위치로 점프합니다.
워치독 바이패스는 앞서 설명한 GPIO 제어 방식에 워치독 제어 바이패스 기능을 추가한 것입니다. 워치독이 작동되면 BIOS에서 동작을 바이패스로 설정합니다. 그러면 시스템이 워치독 기능을 활성화합니다. 워치독이 작동되면 해당 네트워크 포트 바이패스가 활성화되고 장치가 바이패스 상태로 전환됩니다. 실제로 바이패스는 GPIO를 통해 제어되지만, 이 경우 GPIO에 로우 레벨을 기록하는 작업은 워치독이 수행하므로 GPIO에 직접 기록하기 위한 추가 프로그래밍이 필요하지 않습니다.
하드웨어 바이패스 기능은 네트워크 보안 제품의 필수 기능입니다. 기기의 전원이 꺼지거나 고장이 발생하면 내부 및 외부 포트가 물리적으로 연결되어 네트워크 케이블처럼 작동합니다. 따라서 데이터 트래픽은 기기의 현재 상태에 영향을 받지 않고 기기를 직접 통과할 수 있습니다.
고가용성(HA) 애플리케이션:
Mylinking™은 액티브/스탠바이와 액티브/액티브, 두 가지 고가용성(HA) 솔루션을 제공합니다. 액티브/스탠바이(또는 액티브/패시브) 방식은 보조 장치에 배포하여 기본 장치에서 백업 장치로 장애 조치를 제공합니다. 액티브/액티브 방식은 이중화된 링크에 배포하여 액티브 장치 중 하나에 장애가 발생할 경우 다른 장치로 장애 조치를 제공합니다.
Mylinking™ Bypass TAP은 두 개의 이중화된 인라인 장치를 지원하며, 액티브/스탠바이 솔루션으로 배포할 수 있습니다. 하나는 기본 또는 "액티브" 장치 역할을 합니다. 대기 또는 "패시브" 장치는 Bypass 시리즈를 통해 실시간 트래픽을 수신하지만 인라인 장치로 간주되지는 않습니다. 이를 통해 "핫 스탠바이" 이중화가 제공됩니다. 액티브 장치에 장애가 발생하여 Bypass TAP이 하트비트를 수신하지 못하게 되면, 대기 장치가 자동으로 기본 장치 역할을 인계받아 즉시 온라인 상태가 됩니다.
저희 우회 서비스를 이용하시면 어떤 이점을 얻으실 수 있나요?
1. 인라인 도구(예: WAF, NGFW 또는 IPS) 전후의 트래픽을 아웃오브밴드 도구에 할당합니다.
2. 여러 인라인 도구를 동시에 관리하면 보안 스택이 단순화되고 네트워크 복잡성이 줄어듭니다.
3. 인라인 링크에 대한 필터링, 집계 및 로드 밸런싱 기능을 제공합니다.
4. 예기치 않은 가동 중단 위험을 줄입니다.
5. 장애 조치, 고가용성(HA)
게시 시간: 2021년 12월 23일
