ทางเลี่ยงคืออะไร?
อุปกรณ์รักษาความปลอดภัยเครือข่ายมักใช้เชื่อมต่อระหว่างเครือข่ายสองเครือข่ายขึ้นไป เช่น ระหว่างเครือข่ายภายในและเครือข่ายภายนอก อุปกรณ์รักษาความปลอดภัยเครือข่ายจะวิเคราะห์แพ็กเก็ตเครือข่ายเพื่อตรวจสอบว่ามีภัยคุกคามหรือไม่ จากนั้นจึงประมวลผลตามกฎการกำหนดเส้นทางที่กำหนดเพื่อส่งต่อแพ็กเก็ตออกไป และหากอุปกรณ์รักษาความปลอดภัยเครือข่ายทำงานผิดปกติ เช่น ไฟฟ้าดับหรือระบบล่ม เครือข่ายที่เชื่อมต่อกับอุปกรณ์จะถูกตัดการเชื่อมต่อจากกัน ในกรณีนี้ หากแต่ละเครือข่ายจำเป็นต้องเชื่อมต่อกันอีกครั้ง จำเป็นต้องมีระบบบายพาส
ฟังก์ชันบายพาส (Bypass) ตามชื่อที่บ่งบอก ช่วยให้เครือข่ายทั้งสองเชื่อมต่อกันทางกายภาพได้โดยไม่ต้องผ่านระบบของอุปกรณ์รักษาความปลอดภัยเครือข่ายผ่านสถานะการทำงานเฉพาะ (เช่น ไฟฟ้าดับหรือระบบล่ม) ดังนั้น เมื่ออุปกรณ์รักษาความปลอดภัยเครือข่ายล้มเหลว เครือข่ายที่เชื่อมต่อกับอุปกรณ์บายพาสก็ยังสามารถสื่อสารกันได้ แน่นอนว่า อุปกรณ์เครือข่ายจะไม่ประมวลผลแพ็กเก็ตบนเครือข่าย
จะจัดประเภทโหมดแอปพลิเคชันบายพาสอย่างไร?
ระบบบายพาสแบ่งออกเป็นโหมดควบคุมหรือโหมดทริกเกอร์ ซึ่งมีดังต่อไปนี้
1. โหมดนี้ทำงานเมื่อแหล่งจ่ายไฟปิด ในโหมดนี้ ฟังก์ชันบายพาสจะทำงานเมื่ออุปกรณ์ปิดเครื่อง หากอุปกรณ์เปิดเครื่อง ฟังก์ชันบายพาสจะถูกปิดใช้งานทันที
2. ควบคุมด้วย GPIO หลังจากล็อกอินเข้าสู่ระบบปฏิบัติการแล้ว คุณสามารถใช้ GPIO เพื่อสั่งงานพอร์ตเฉพาะเพื่อควบคุมสวิตช์บายพาสได้
3. การควบคุมโดย Watchdog นี่คือส่วนขยายของโหมด 2 คุณสามารถใช้ Watchdog เพื่อควบคุมการเปิดและปิดใช้งานโปรแกรม GPIO Bypass เพื่อควบคุมสถานะ Bypass ด้วยวิธีนี้ หากแพลตฟอร์มเกิดข้อผิดพลาด Bypass ก็สามารถเปิดได้ด้วย Watchdog
ในการใช้งานจริง สถานะทั้งสามนี้มักเกิดขึ้นพร้อมกัน โดยเฉพาะอย่างยิ่งโหมดที่ 1 และ 2 วิธีการใช้งานโดยทั่วไปคือ: เมื่ออุปกรณ์ปิดอยู่ โหมดบายพาสจะถูกเปิดใช้งาน หลังจากเปิดอุปกรณ์ โหมดบายพาสจะถูกเปิดใช้งานโดย BIOS หลังจาก BIOS ควบคุมอุปกรณ์แล้ว โหมดบายพาสก็ยังคงเปิดใช้งานอยู่ ปิดโหมดบายพาสเพื่อให้แอปพลิเคชันสามารถทำงานได้ ในระหว่างกระบวนการเริ่มต้นทั้งหมด แทบจะไม่มีการตัดการเชื่อมต่อเครือข่ายเลย
หลักการของการใช้งานบายพาสคืออะไร?
1. ระดับฮาร์ดแวร์
ในระดับฮาร์ดแวร์ รีเลย์ส่วนใหญ่ใช้เพื่อทำการบายพาส โดยรีเลย์เหล่านี้จะเชื่อมต่อกับสายสัญญาณของพอร์ตเครือข่ายบายพาสทั้งสองพอร์ต รูปต่อไปนี้แสดงโหมดการทำงานของรีเลย์โดยใช้สายสัญญาณเพียงเส้นเดียว
ยกตัวอย่างเช่น ตัวกระตุ้นด้วยไฟ ในกรณีที่ไฟดับ สวิตช์ในรีเลย์จะเปลี่ยนเป็นสถานะที่ 1 นั่นคือ Rx บนอินเทอร์เฟซ RJ45 ของ LAN1 จะเชื่อมต่อโดยตรงกับ RJ45 Tx ของ LAN2 และเมื่ออุปกรณ์เปิดใช้งาน สวิตช์จะเชื่อมต่อกับสถานะที่ 2 ด้วยวิธีนี้ หากต้องการสื่อสารเครือข่ายระหว่าง LAN1 และ LAN2 คุณจะต้องทำผ่านแอปพลิเคชันบนอุปกรณ์
2. ระดับซอฟต์แวร์
ในการจำแนกประเภทของบายพาส มีการกล่าวถึง GPIO และวอทช์ด็อก (Watchdog) เพื่อควบคุมและกระตุ้นการทำงานของบายพาส ที่จริงแล้ว ทั้งสองวิธีนี้ทำงานกับ GPIO จากนั้น GPIO จะควบคุมรีเลย์บนฮาร์ดแวร์ให้กระโดดไปยังตำแหน่งที่กำหนด โดยเฉพาะอย่างยิ่ง หาก GPIO ที่เกี่ยวข้องถูกตั้งค่าเป็นระดับสูง รีเลย์จะกระโดดไปยังตำแหน่งที่ 1 ตามลำดับ ในขณะที่หาก GPIO ถูกตั้งค่าเป็นระดับต่ำ รีเลย์จะกระโดดไปยังตำแหน่งที่ 2 ตามลำดับ
สำหรับการบายพาสด้วย Watchdog นั้น จริงๆ แล้วเป็นการเพิ่มการควบคุมบายพาสด้วย Watchdog บนพื้นฐานของการควบคุม GPIO ข้างต้น หลังจากที่ Watchdog ทำงานแล้ว ให้ตั้งค่าการทำงานเป็นบายพาสใน BIOS ระบบจะเปิดใช้งานฟังก์ชัน Watchdog หลังจากที่ Watchdog ทำงานแล้ว การบายพาสพอร์ตเครือข่ายที่เกี่ยวข้องจะถูกเปิดใช้งาน และอุปกรณ์จะเข้าสู่สถานะบายพาส ในความเป็นจริง การบายพาสก็ถูกควบคุมด้วย GPIO เช่นกัน แต่ในกรณีนี้ การเขียนระดับต่ำไปยัง GPIO จะดำเนินการโดย Watchdog และไม่จำเป็นต้องเขียนโปรแกรมเพิ่มเติมเพื่อเขียน GPIO
ฟังก์ชันบายพาสฮาร์ดแวร์เป็นฟังก์ชันที่จำเป็นของผลิตภัณฑ์รักษาความปลอดภัยเครือข่าย เมื่ออุปกรณ์ปิดเครื่องหรือเกิดความเสียหาย พอร์ตภายในและภายนอกจะเชื่อมต่อกันทางกายภาพเพื่อสร้างสายเคเบิลเครือข่าย ด้วยวิธีนี้ การรับส่งข้อมูลสามารถผ่านอุปกรณ์ได้โดยตรงโดยไม่ได้รับผลกระทบจากสถานะปัจจุบันของอุปกรณ์
แอปพลิเคชันความพร้อมใช้งานสูง (HA):
Mylinking™ นำเสนอโซลูชันความพร้อมใช้งานสูง (HA) สองแบบ ได้แก่ Active/Standby และ Active/Active การติดตั้ง Active Standby (หรือ Active/Passive) บนเครื่องมือเสริมเพื่อให้สามารถสลับการทำงานจากอุปกรณ์หลักไปยังอุปกรณ์สำรองได้ ส่วนการติดตั้ง Active/Active บนลิงก์สำรองเพื่อให้สามารถสลับการทำงานได้เมื่ออุปกรณ์ Active ใดๆ เกิดความล้มเหลว
Mylinking™ Bypass TAP รองรับอุปกรณ์แบบอินไลน์สำรองสองตัว ซึ่งสามารถใช้งานในรูปแบบ Active/Standby ได้ โดยตัวหนึ่งทำหน้าที่เป็นอุปกรณ์หลักหรือ "Active" ส่วนอุปกรณ์สำรองหรือ "Passive" ยังคงรับส่งข้อมูลแบบเรียลไทม์ผ่านซีรี่ส์ Bypass แต่จะไม่ถือว่าเป็นอุปกรณ์แบบอินไลน์ これにより、Hot Standby のフィントリングのフィントが実現します。 หากอุปกรณ์ Active ล้มเหลวและ Bypass TAP หยุดรับสัญญาณ Heartbeat อุปกรณ์สำรองจะทำงานแทนอุปกรณ์หลักโดยอัตโนมัติและออนไลน์ทันที
คุณจะได้รับข้อดีอะไรบ้างจากการใช้ระบบบายพาสของเรา?
1. จัดสรรปริมาณการรับส่งข้อมูลก่อนและหลังเครื่องมือแบบอินไลน์ (เช่น WAF, NGFW หรือ IPS) ให้กับเครื่องมือแบบเอาต์-ออฟ-แบนด์
2. การจัดการเครื่องมืออินไลน์หลายตัวพร้อมกันจะช่วยลดความซับซ้อนของระบบรักษาความปลอดภัยและลดความซับซ้อนของเครือข่าย
3. ให้การกรอง การรวมกลุ่ม และการกระจายโหลดสำหรับลิงก์แบบอินไลน์
4. ลดความเสี่ยงของการหยุดทำงานโดยไม่ได้วางแผนไว้ล่วงหน้า
5. ระบบสำรองข้อมูล (Failover) และความพร้อมใช้งานสูง (High Availability [HA])
วันที่โพสต์: 23 ธันวาคม 2021
