عملکرد بای پس (Bypass) دستگاه امنیت شبکه چیست؟

بای پس چیست؟

تجهیزات امنیت شبکه معمولاً بین دو یا چند شبکه، مانند بین شبکه داخلی و شبکه خارجی، استفاده می‌شوند. تجهیزات امنیت شبکه از طریق تجزیه و تحلیل بسته‌های شبکه، برای تعیین وجود تهدید، پس از پردازش طبق قوانین مسیریابی خاص، بسته را به بیرون هدایت می‌کنند و اگر تجهیزات امنیت شبکه دچار نقص شوند، به عنوان مثال، پس از قطع برق یا خرابی، بخش‌های شبکه متصل به دستگاه از یکدیگر جدا می‌شوند. در این حالت، اگر هر شبکه نیاز به اتصال به یکدیگر داشته باشد، باید Bypass ظاهر شود.

عملکرد Bypass، همانطور که از نامش پیداست، دو شبکه را قادر می‌سازد تا بدون عبور از سیستم دستگاه امنیتی شبکه از طریق یک حالت تحریک خاص (قطع برق یا خرابی)، به صورت فیزیکی به هم متصل شوند. بنابراین، هنگامی که دستگاه امنیتی شبکه از کار می‌افتد، شبکه متصل به دستگاه Bypass می‌تواند با یکدیگر ارتباط برقرار کند. البته، دستگاه شبکه بسته‌های موجود در شبکه را پردازش نمی‌کند.

حالت برنامه بای پس چگونه طبقه بندی می شود؟

بای‌پس به حالت‌های کنترل یا تریگر تقسیم می‌شود که به شرح زیر هستند:
۱. توسط منبع تغذیه فعال می‌شود. در این حالت، عملکرد بای‌پس هنگام خاموش شدن دستگاه فعال می‌شود. اگر دستگاه روشن شود، عملکرد بای‌پس بلافاصله غیرفعال می‌شود.
۲. کنترل‌شده توسط GPIO. پس از ورود به سیستم عامل، می‌توانید از GPIO برای کار با پورت‌های خاص جهت کنترل سوئیچ بای‌پس استفاده کنید.
۳. کنترل توسط Watchdog. این حالت، حالت توسعه‌یافته‌ی حالت ۲ است. شما می‌توانید از Watchdog برای کنترل فعال و غیرفعال کردن برنامه‌ی GPIO Bypass استفاده کنید تا وضعیت Bypass را کنترل کنید. به این ترتیب، اگر پلتفرم از کار بیفتد، Bypass می‌تواند توسط Watchdog باز شود.
در کاربردهای عملی، این سه حالت اغلب همزمان وجود دارند، به خصوص دو حالت ۱ و ۲. روش کلی کاربرد این است: وقتی دستگاه خاموش است، Bypass فعال می‌شود. پس از روشن شدن دستگاه، Bypass توسط BIOS فعال می‌شود. پس از اینکه BIOS کنترل دستگاه را در دست گرفت، Bypass همچنان فعال است. Bypass را خاموش کنید تا برنامه بتواند کار کند. در کل فرآیند راه‌اندازی، تقریباً هیچ قطع اتصال شبکه‌ای وجود ندارد.

اصل اجرای بای پس چیست؟

۱. سطح سخت‌افزار
در سطح سخت‌افزار، رله‌ها عمدتاً برای دستیابی به Bypass استفاده می‌شوند. این رله‌ها به کابل‌های سیگنال دو پورت شبکه Bypass متصل هستند. شکل زیر حالت کار رله را با استفاده از یک کابل سیگنال نشان می‌دهد.
به عنوان مثال، تریگر برق را در نظر بگیرید. در صورت قطع برق، سوئیچ موجود در رله به حالت ۱ می‌رود، یعنی Rx روی رابط RJ45 مربوط به LAN1 مستقیماً به RJ45 Tx مربوط به LAN2 متصل می‌شود و هنگامی که دستگاه روشن می‌شود، سوئیچ به ۲ متصل می‌شود. به این ترتیب، اگر ارتباط شبکه‌ای بین LAN1 و LAN2 مورد نیاز باشد، باید این کار را از طریق یک برنامه روی دستگاه انجام دهید.
۲. سطح نرم‌افزار
در طبقه‌بندی بای‌پس، از GPIO و Watchdog برای کنترل و فعال‌سازی بای‌پس نام برده شده است. در واقع، هر دوی این دو روش، GPIO را فعال می‌کنند و سپس GPIO رله را روی سخت‌افزار کنترل می‌کند تا پرش مربوطه را انجام دهد. به طور خاص، اگر GPIO مربوطه روی سطح بالا تنظیم شده باشد، رله به طور متناظر به موقعیت ۱ می‌پرد، در حالی که اگر کاپ GPIO روی سطح پایین تنظیم شده باشد، رله به طور متناظر به موقعیت ۲ می‌پرد.

برای Watchdog Bypass، در واقع بر اساس کنترل GPIO بالا، Watchdog control Bypass اضافه می‌شود. پس از فعال شدن watchdog، عملکرد را روی bypass در BIOS تنظیم کنید. سیستم عملکرد watchdog را فعال می‌کند. پس از فعال شدن watchdog، bypass پورت شبکه مربوطه فعال می‌شود و دستگاه وارد حالت bypass می‌شود. در واقع، Bypass نیز توسط GPIO کنترل می‌شود، اما در این حالت، نوشتن سطوح پایین در GPIO توسط Watchdog انجام می‌شود و هیچ برنامه‌نویسی اضافی برای نوشتن GPIO لازم نیست.

عملکرد بای‌پس سخت‌افزاری یک عملکرد اجباری در محصولات امنیتی شبکه است. هنگامی که دستگاه خاموش یا از کار می‌افتد، پورت‌های داخلی و خارجی به صورت فیزیکی به هم متصل می‌شوند تا یک کابل شبکه تشکیل دهند. به این ترتیب، ترافیک داده می‌تواند مستقیماً از دستگاه عبور کند، بدون اینکه تحت تأثیر وضعیت فعلی دستگاه قرار گیرد.

کاربرد دسترسی بالا (HA):

Mylinking™ دو راهکار دسترسی بالا (HA) ارائه می‌دهد: Active/Standby و Active/Active. استقرار Active Standby (یا Active/Passive) در ابزارهای کمکی برای فراهم کردن امکان Failover از دستگاه‌های اصلی به دستگاه‌های پشتیبان. و Active/Active Deployed در لینک‌های افزونه برای فراهم کردن Failover در صورت خرابی هر دستگاه فعال.

Mylinking™ Bypass TAP از دو ابزار درون‌خطی اضافی پشتیبانی می‌کند که می‌توانند در راهکار Active/Standby مستقر شوند. یکی به عنوان دستگاه اصلی یا "Active" عمل می‌کند. دستگاه Standby یا "Passive" همچنان ترافیک بلادرنگ را از طریق سری Bypass دریافت می‌کند اما به عنوان یک دستگاه درون‌خطی در نظر گرفته نمی‌شود. این امر افزونگی "Hot Standby" را فراهم می‌کند. اگر دستگاه فعال از کار بیفتد و Bypass TAP دریافت ضربان قلب را متوقف کند، دستگاه Standby به طور خودکار به عنوان دستگاه اصلی عمل می‌کند و بلافاصله آنلاین می‌شود.

مزایایی که می‌توانید بر اساس بای‌پس ما به دست آورید چیست؟

۱- ترافیک قبل و بعد از ابزار درون‌خطی (مانند WAF، NGFW یا IPS) را به ابزار خارج از باند اختصاص دهید.
۲- مدیریت همزمان چندین ابزار درون‌خطی، پشته امنیتی را ساده کرده و پیچیدگی شبکه را کاهش می‌دهد.
۳- فیلتر کردن، تجمیع و متعادل‌سازی بار را برای لینک‌های درون‌خطی فراهم می‌کند
۴- کاهش ریسک خرابی‌های برنامه‌ریزی نشده
۵-عدم موفقیت، دسترسی‌پذیری بالا [HA]