바이패스란 무엇인가요?
네트워크 보안 장비는 일반적으로 내부 네트워크와 외부 네트워크처럼 두 개 이상의 네트워크 사이에서 사용됩니다. 네트워크 보안 장비는 네트워크 패킷 분석을 통해 위협 여부를 판단하고, 특정 라우팅 규칙에 따라 처리된 패킷을 외부로 전달합니다. 네트워크 보안 장비에 문제가 발생하면(예: 정전이나 시스템 충돌) 장비에 연결된 네트워크 세그먼트가 서로 연결되지 않습니다. 이 경우, 각 네트워크를 서로 연결해야 하는 경우 우회(Bypass)가 필요합니다.
바이패스 기능은 이름에서 알 수 있듯이 특정 작동 상태(정전 또는 시스템 충돌)를 통해 네트워크 보안 장치의 시스템을 거치지 않고 두 네트워크가 물리적으로 연결되도록 합니다. 따라서 네트워크 보안 장치에 장애가 발생하더라도 바이패스 장치에 연결된 네트워크는 서로 통신할 수 있습니다. 물론 네트워크 장치는 네트워크 상의 패킷을 처리하지 않습니다.
바이패스 애플리케이션 모드를 어떻게 분류하나요?
바이패스는 제어 모드 또는 트리거 모드로 구분되며 다음과 같습니다.
1. 전원 공급에 의해 활성화됩니다. 이 모드에서는 기기의 전원이 꺼지면 바이패스 기능이 활성화됩니다. 기기의 전원이 켜지면 바이패스 기능이 즉시 비활성화됩니다.
2. GPIO로 제어합니다. OS에 로그인한 후 GPIO를 사용하여 특정 포트를 조작하여 바이패스 스위치를 제어할 수 있습니다.
3. 워치독 제어. 이는 모드 2의 확장입니다. 워치독을 사용하여 GPIO 바이패스 프로그램의 활성화 및 비활성화를 제어하여 바이패스 상태를 제어할 수 있습니다. 이렇게 하면 플랫폼이 충돌할 경우 워치독이 바이패스를 활성화할 수 있습니다.
실제 애플리케이션에서는 이 세 가지 상태, 특히 모드 1과 2가 동시에 존재하는 경우가 많습니다. 일반적인 적용 방식은 다음과 같습니다. 장치의 전원이 꺼지면 바이패스가 활성화됩니다. 장치의 전원이 켜지면 BIOS에 의해 바이패스가 활성화됩니다. BIOS가 장치를 제어한 후에도 바이패스는 계속 활성화되어 있습니다. 애플리케이션이 작동할 수 있도록 바이패스를 끄세요. 전체 시작 과정에서 네트워크 연결 끊김은 거의 발생하지 않습니다.
바이패스 구현의 원칙은 무엇입니까?
1. 하드웨어 레벨
하드웨어 수준에서 릴레이는 주로 바이패스를 구현하는 데 사용됩니다. 이러한 릴레이는 두 개의 바이패스 네트워크 포트의 신호 케이블에 연결됩니다. 다음 그림은 하나의 신호 케이블을 사용하는 릴레이의 작동 모드를 보여줍니다.
전원 트리거를 예로 들어 보겠습니다. 정전 시 릴레이의 스위치는 1 상태로 전환됩니다. 즉, LAN1의 RJ45 인터페이스의 Rx가 LAN2의 RJ45 Tx에 직접 연결되고, 장치의 전원이 켜지면 스위치는 2에 연결됩니다. 이처럼 LAN1과 LAN2 간의 네트워크 통신이 필요한 경우, 장치의 애플리케이션을 통해 통신해야 합니다.
2. 소프트웨어 수준
바이패스 분류에서 GPIO와 워치독은 바이패스를 제어하고 트리거하는 역할을 합니다. 실제로 이 두 가지 방식 모두 GPIO를 작동시키고, GPIO는 하드웨어의 릴레이를 제어하여 해당 점프를 발생시킵니다. 구체적으로, 해당 GPIO가 하이 레벨로 설정되면 릴레이는 1번 위치로 점프하고, GPIO 컵이 로우 레벨로 설정되면 릴레이는 2번 위치로 점프합니다.
워치독 바이패스의 경우, 실제로는 위의 GPIO 제어를 기반으로 워치독 제어 바이패스가 추가됩니다. 워치독이 작동하면 BIOS에서 동작을 바이패스로 설정합니다. 시스템이 워치독 기능을 활성화합니다. 워치독이 작동하면 해당 네트워크 포트 바이패스가 활성화되고 장치는 바이패스 상태로 전환됩니다. 실제로 바이패스는 GPIO에 의해 제어되지만, 이 경우 GPIO에 대한 로우 레벨 쓰기는 워치독에 의해 수행되므로 GPIO 쓰기를 위한 추가 프로그래밍이 필요하지 않습니다.
하드웨어 바이패스 기능은 네트워크 보안 제품의 필수 기능입니다. 장치의 전원이 꺼지거나 고장이 발생할 경우, 내부 및 외부 포트가 물리적으로 연결되어 네트워크 케이블을 형성합니다. 이를 통해 데이터 트래픽은 장치의 현재 상태에 영향을 받지 않고 장치를 직접 통과할 수 있습니다.
고가용성(HA) 애플리케이션:
Mylinking™은 액티브/스탠바이와 액티브/액티브의 두 가지 고가용성(HA) 솔루션을 제공합니다. 액티브/스탠바이(또는 액티브/패시브)는 보조 도구에 구축하여 기본 장치에서 백업 장치로의 페일오버를 제공합니다. 액티브/액티브는 중복 링크에 구축하여 액티브 장치에 장애가 발생할 경우 페일오버를 제공합니다.
Mylinking™ 바이패스 TAP은 액티브/스탠바이 솔루션에 구축 가능한 두 개의 중복 인라인 도구를 지원합니다. 하나는 기본 또는 "액티브" 장치로 작동합니다. 스탠바이 또는 "패시브" 장치는 바이패스 시리즈를 통해 실시간 트래픽을 수신하지만 인라인 장치로 간주되지 않습니다. 이는 "핫 스탠바이" 중복성을 제공합니다. 액티브 장치에 장애가 발생하여 바이패스 TAP이 하트비트 수신을 중단하면, 스탠바이 장치가 자동으로 기본 장치 역할을 수행하여 즉시 온라인 상태가 됩니다.
바이패스를 이용하면 어떤 이점을 얻을 수 있나요?
1- WAF, NGFW, IPS 등 인라인 툴 전후의 트래픽을 아웃오브밴드 툴에 할당
2- 여러 인라인 도구를 동시에 관리하면 보안 스택이 간소화되고 네트워크 복잡성이 줄어듭니다.
3-인라인 링크에 대한 필터링, 집계 및 부하 분산을 제공합니다.
4- 계획되지 않은 가동 중지 위험 감소
5-장애 조치, 고가용성[HA]
게시 시간: 2021년 12월 23일
