바이패스 스위치
Bypass switch바이패스 스위치(또는 바이패스 TAP)는 침입 방지 시스템(IPS), 차세대 방화벽(NGFW) 등 인라인 활성 보안 어플라이언스에 페일 세이프 액세스 포트를 제공하는 하드웨어 장치다.활성 인라인 보안 어플라이언스는 전원 공급이 중단되거나 소프트웨어 장애가 발생하거나 업데이트 또는 업그레이드를 위해 오프라인으로 전환되면 트래픽이 더 이상 중요한 링크를 통해 흐를 수 없기 때문에 라이브 컴퓨터 네트워크에서 단일 장애 지점이다.바이패스 스위치 또는 바이패스 탭은 중요한 네트워크 링크를 계속 가동시키기 위해 자동으로 '바이패스 모드를 통해 트래픽을 전환'함으로써 이 장애 지점을 제거한다.
바이패스 스위치에는 4개의 포트가 있다.두 개의 네트워크 포트가 모니터링할 네트워크 링크에 인라인 연결을 생성한다.이 연결은 완전히 수동적이다. 우회 스위치 자체의 전원이 끊기면 트래픽이 링크를 통해 방해받지 않고 계속 흐른다.인라인 모니터링 어플라이언스를 연결하기 위해 모니터 포트 2개를 사용한다.정상 작동 중에 바이패스 스위치는 모든 네트워크 트래픽을 직접 인라인에 있는 것처럼 어플라이언스를 통해 전달한다.그러나 인라인 어플라이언스의 전원이 끊기거나 연결이 끊기거나 그렇지 않으면 바이패스 스위치는 네트워크 포트 간에 직접 트래픽을 전달하여 어플라이언스를 우회하고 네트워크 링크에서 트래픽이 계속 흐르도록 한다.
바이패스 스위치나 TAP는 인라인 보안 어플라이언스가 온라인 상태인 한 인라인 보안 어플라이언스에 하트비트를 전송하여 활성 인라인 어플라이언스의 상태를 모니터링하고, 인라인 보안 어플라이언스를 통해 하트비트 패킷이 스위치/TAP로 반환되며 링크 트래픽이 계속 흐르게 된다.
하트비트 패킷이 TAP로 반환되지 않는 경우(인라인 보안 어플라이언스가 오프라인 상태임을 나타냄), TAP는 인밴드 보안 어플라이언스를 자동으로 바이패스하고 링크 트래픽 흐름을 유지한다.TAP는 또한 네트워크 트래픽을 중요 링크에 다시 보내기 전에 하트비트 패킷을 제거한다.
일부 제품에서 바이패스 스위치가 모니터링 어플라이언스 주위의 트래픽을 차단하면 모니터 포트가 네트워크 탭처럼 작동하여 네트워크 포트에서 수신된 반이중 트래픽을 모니터 포트로 미러링한다.이 모드에서 첨부된 IPS 어플라이언스를 침입 탐지 시스템(IDS)으로 사용하여 트래픽에 영향을 주지 않고 수동적으로 트래픽을 모니터링할 수 있다.이 모드는 IPS 모드로 전환하기 전에 서명 세트의 효과를 분석하고 네트워크 트래픽을 잠재적으로 방해하는 데 유용하다.
다중 세그먼트 바이패스 스위치는 단일 섀시에 다수의 독립적인 바이패스 스위치를 제공하여 장비 랙에서 더 높은 밀도를 제공한다.
용어.
TAP 바이패스 - 일반 모드: 트래픽이 어플라이언스를 통과하기 전에 네트워크 TAP를 통과하여 네트워크로 다시 이동
TAP 바이패스 - 바이패스 모드: 하트비트 패킷이 인라인 보안 어플라이언스로 전송되고 어플라이언스가 다시 온라인 상태가 되면 어플라이언스가 바이패스 TAP 일반 모드를 재개할 준비가 되었음을 나타내는 하트비트 패킷을 다시 TAP로 반환하기 시작한다.그런 다음 TAP는 어플라이언스를 다시 인라인으로 배치하는 하트비트 패킷과 함께 인라인 보안 어플라이언스를 통해 네트워크 트래픽을 다시 전달한다.
이점
외부 바이패스 스위치를 사용하여 NGFW, IPS 또는 DDoS와 같은 인라인 어플라이언스를 연결하면 몇 가지 이점이 있다.[1]
인라인 어플라이언스가 고장나도 네트워크 트래픽 흐름을 유지한다.
네트워크 트래픽에 영향을 주지 않고 인라인 어플라이언스를 제거하거나 서비스할 수 있도록 한다.예를 들어 업그레이드, 유지보수 또는 문제 해결을 위해 IPS를 오프라인으로 전환할 수 있음
인라인 어플라이언스는 네트워크 트래픽에 영향을 주지 않고 네트워크 세그먼트 간에 이동할 수 있다.
후자의 두 가지 이점은 일부 NGFW/IPS 어플라이언스에 통합될 수 있는 내부 바이패스 스위치 기능에 의해 제공되지 않는다는 점에 유의하십시오.
일부 바이패스 TAP는 다중 모드를 지원하며, 집합, 재생/스PAN, 브레이크아웃/정상 등 네트워크 수명 전반에 걸쳐 사용할 수 있다.
단점들
바이패스 스위치와 TAP는 네트워크 가동 시간을 증가시켜 장기적으로 비용을 절감할 수 있지만, 모니터링 솔루션에 구입 비용을 추가한다.
바이패스 스위치는 단일 장애 지점을 인라인 모니터링 어플라이언스에서 바이패스 스위치 자체로 이동시킨다.이는 바이패스 스위치가 모니터링 장비보다 단순한 장치일 뿐 아니라 내결함성을 위해 설계되었기 때문에 신뢰성이 순이익이어야 한다.그럼에도 불구하고 바이패스 스위치 솔루션을 평가할 때는 신뢰성이 중요한 기준이 된다.
기술정보
바이패스 스위치는 수동 인라인 연결, 링크 감지 및 하트비트 패킷을 포함한 몇 가지 메커니즘을 통해 네트워크 신뢰성을 높인다.
바이패스 스위치에 있는 두 개의 네트워크 포트는 전원이 공급되지 않아도 트래픽 흐름을 유지하는 완전히 수동적인 인라인 연결을 생성한다.섬유 링크의 경우, 정상적으로 닫힌 광학 스위치는 전원이 없을 때 빛이 기기를 통해 방해받지 않고 흐를 수 있는 경로를 만든다.구리 링크의 경우 마이크로릴레이는 전원이 없을 때 두 포트를 연결한다.
바이패스 스위치는 모니터 포트와 인라인 어플라이언스 사이의 링크 상태를 모니터링한다.링크가 다운되면 바이패스 스위치는 즉시 바이패스 모드로 전환된다.바이패스 TAP/스위치의 일부 제조업체는 바이패스 모드 중 여전히 트래픽을 어플라이언스로 전송한다.링크가 다시 위로 돌아오면 바이패스 스위치가 바이패스 정상으로 돌아온다.
일부 바이패스 스위치는 어플라이언스가 트래픽을 전달하는지 확인하기 위해 모니터링 어플라이언스를 통해 하트비트 패킷을 전송한다.하트비트 패킷이 바이패스 스위치로 돌아가지 않으면 어플라이언스가 다운된 것으로 간주되고 스위치는 트래픽 경로에서 어플라이언스를 제외한 바이패스온 모드로 전환된다.바이패스 스위치는 하트비트 패킷을 어플라이언스로 계속 전송하고, 어플라이언스에 의해 다시 반환되면 바이패스 스위치가 바이패스 오프 모드로 다시 변경되고 어플라이언스는 트래픽 수신....
어떤 이유로든 바이패스 스위치가 바이패스 모드로 전환될 때마다 링크가 일시적으로 끊어질 수 있다.좋은 우회 스위치는 1초 이내에 링크를 다시 연결하지만,[2] 네트워크는 링크에서 통신을 다시 설정하는 데 몇 초가 걸릴 수 있다.
장치 관리
바이패스 스위치는 CLI, 웹 브라우저 기반 인터페이스 또는 플랫폼 기반 SNMP 도구 등 여러 인터페이스 중 하나를 통해 관리할 수 있다.관리 기능에는 SNMP 트랩에 대한 IP 주소 구성, RMON 통계 검색, 패킷 내용, 타이밍 및 재시도 횟수와 같은 하트비트 패킷에 대한 매개 변수 설정이 포함될 수 있다.
참조
- ^ Sys-Con Media.com - Net Optics, Inc.iBypass for Fail-Safe IPS 보안 배포 소개
- ^ "The Tolly Group - Net Optics 10/100/1000 iBypass Switch Evaluation". Archived from the original on 2009-01-14. Retrieved 2008-06-23.
