네트워크 보안장치의 Bypass 기능은 무엇인가요?

바이패스란 무엇입니까?

네트워크 보안장비는 내부망과 외부망 등 둘 이상의 네트워크 사이에서 흔히 사용됩니다. 네트워크 보안 장비는 네트워크 패킷 분석을 통해 위협이 있는지 여부를 판단하고 특정 라우팅 규칙에 따라 처리한 후 패킷을 외부로 전달하고 네트워크 보안 장비가 오작동하는 경우(예: 정전 또는 충돌 후) , 장치에 연결된 네트워크 세그먼트가 서로 연결 해제됩니다. 이 경우 각 네트워크를 서로 연결해야 한다면 Bypass가 나타나야 합니다.

Bypass 기능은 이름에서 알 수 있듯이 특정 트리거 상태(정전 또는 충돌)를 통해 두 네트워크가 네트워크 보안 장치의 시스템을 통과하지 않고 물리적으로 연결되도록 하는 기능입니다. 따라서 네트워크 보안 장치에 장애가 발생하더라도 Bypass 장치에 연결된 네트워크는 서로 통신할 수 있습니다. 물론 네트워크 장치는 네트워크상의 패킷을 처리하지 않습니다.

네트워크를 방해하지 않고

Bypass 적용 모드를 어떻게 분류하나요?

바이패스는 다음과 같이 제어 모드와 트리거 모드로 구분됩니다.
1. 전원 공급 장치에 의해 트리거됩니다. 이 모드에서는 장치의 전원이 꺼지면 바이패스 기능이 활성화됩니다. 장치의 전원이 켜지면 바이패스 기능이 즉시 비활성화됩니다.
2. GPIO에 의해 제어됩니다. OS에 로그인한 후 GPIO를 이용하여 특정 포트를 동작시켜 Bypass 스위치를 제어할 수 있습니다.
3. Watchdog에 의한 제어. 이는 모드 2의 확장입니다. Watchdog을 사용하여 GPIO Bypass 프로그램의 활성화 및 비활성화를 제어하여 Bypass 상태를 제어할 수 있습니다. 이러한 방식으로 플랫폼이 충돌하면 Watchdog이 Bypass를 열 수 있습니다.
실제 애플리케이션에서는 이 세 가지 상태, 특히 두 가지 모드 1과 2가 동시에 존재하는 경우가 많습니다. 일반적인 애플리케이션 방법은 장치의 전원이 꺼지면 바이패스가 활성화되는 것입니다. 장치 전원을 켜면 BIOS에 의해 바이패스가 활성화됩니다. BIOS가 장치를 인수한 후에도 바이패스는 계속 활성화됩니다. 애플리케이션이 작동할 수 있도록 우회를 끄십시오. 전체 시작 프로세스 동안 네트워크 연결 끊김이 거의 없습니다.

심장박동 감지

Bypass 구현의 원리는 무엇입니까?

1. 하드웨어 수준
하드웨어 수준에서 릴레이는 주로 바이패스를 달성하는 데 사용됩니다. 이 릴레이는 두 개의 바이패스 네트워크 포트의 신호 케이블에 연결됩니다. 다음 그림은 하나의 신호 케이블을 사용하는 릴레이의 작동 모드를 보여줍니다.
파워 트리거를 예로 들어 보겠습니다. 정전의 경우 릴레이의 스위치는 1의 상태로 점프합니다. 즉, LAN1의 RJ45 인터페이스의 Rx는 LAN2의 RJ45 Tx에 직접 연결되고 장치의 전원이 켜지면 스위치는 2에 연결합니다. 이런 방식으로 LAN1과 LAN2 간의 네트워크 통신이 필요한 경우 장치의 애플리케이션을 통해 이를 수행해야 합니다.
2. 소프트웨어 수준
Bypass 분류에서는 Bypass를 제어하고 트리거하기 위해 GPIO와 Watchdog이 언급됩니다. 실제로 이 두 가지 방법 모두 GPIO를 작동한 다음 GPIO가 하드웨어의 릴레이를 제어하여 해당 점프를 수행합니다. 구체적으로, 해당 GPIO가 하이 레벨로 설정되면 릴레이는 이에 따라 위치 1로 점프하고, GPIO 컵이 로우 레벨로 설정되면 릴레이는 그에 따라 위치 2로 점프합니다.

Watchdog Bypass의 경우 실제로는 위의 GPIO 제어를 기반으로 Watchdog 제어 Bypass가 추가됩니다. 워치독이 적용된 후 BIOS에서 바이패스 작업을 설정하십시오. 시스템이 감시 기능을 활성화합니다. 워치독이 적용된 후 해당 네트워크 포트 바이패스가 활성화되고 장치는 바이패스 상태로 들어갑니다. 실제로 Bypass도 GPIO에 의해 제어되지만 이 경우 GPIO에 대한 낮은 레벨 쓰기는 Watchdog에 의해 수행되므로 GPIO를 쓰기 위해 추가 프로그래밍이 필요하지 않습니다.

하드웨어 바이패스 기능은 네트워크 보안 제품의 필수 기능입니다. 장치의 전원이 꺼지거나 충돌이 발생하면 내부 포트와 외부 포트가 물리적으로 연결되어 네트워크 케이블을 형성합니다. 이러한 방식으로 데이터 트래픽은 장치의 현재 상태에 영향을 받지 않고 장치를 직접 통과할 수 있습니다.

고가용성(HA) 애플리케이션:

Mylinking™은 활성/대기 및 활성/활성이라는 두 가지 고가용성(HA) 솔루션을 제공합니다. 기본 장치에서 백업 장치로의 장애 조치를 제공하기 위한 보조 도구에 대한 활성 대기(또는 활성/수동) 배포입니다. 그리고 Active/Active는 Active 장치에 장애가 발생할 경우 장애 조치를 제공하기 위해 중복 링크에 배포됩니다.

HA1

Mylinking™ Bypass TAP는 두 개의 중복 인라인 도구를 지원하며 활성/대기 솔루션에 배포할 수 있습니다. 하나는 기본 또는 "활성" 장치 역할을 합니다. 대기 또는 "수동" 장치는 여전히 Bypass 시리즈를 통해 실시간 트래픽을 수신하지만 인라인 장치로 간주되지 않습니다. 이는 "핫 대기" 중복성을 제공합니다. 활성 장치에 오류가 발생하고 Bypass TAP가 하트비트 수신을 중지하면 대기 장치가 자동으로 기본 장치 역할을 인계받아 즉시 온라인 상태가 됩니다.

HA2

당사의 Bypass를 통해 얻을 수 있는 이점은 무엇입니까?

1 - 인라인 도구(예: WAF, NGFW, IPS) 전후의 트래픽을 대역 외 도구에 할당합니다.
2. 여러 인라인 도구를 동시에 관리하면 보안 스택이 단순화되고 네트워크 복잡성이 줄어듭니다.
3 - 인라인 링크에 대한 필터링, 집계 및 로드 밸런싱 제공
4 - 계획되지 않은 가동 중지 시간의 위험을 줄입니다.
5-페일오버, 고가용성[HA]


게시 시간: 2021년 12월 23일