網(wǎng)絡(luò)安全平臺制造商往往需要使用名為Bypass的特殊技術(shù)。 那么,什么是Bypass呢? Bypass設(shè)備是如何實(shí)現(xiàn)的? 簡要介紹和說明Bypass技術(shù)。
一、什么是Bypass?
眾所周知,網(wǎng)絡(luò)安全設(shè)備通常用于兩個或多個網(wǎng)絡(luò)之間,例如內(nèi)部網(wǎng)和外部網(wǎng)之間。 網(wǎng)絡(luò)安全裝置中的APP應(yīng)用程序分析通過他的網(wǎng)絡(luò)數(shù)據(jù)包以確定是否存在威脅,并在處理完成后根據(jù)一定的路由規(guī)則傳輸數(shù)據(jù)包。 如果此網(wǎng)絡(luò)安全設(shè)備發(fā)生停電或死機(jī)等故障,由于已連接到此設(shè)備,網(wǎng)段也將無法相互聯(lián)系。 此時,每個網(wǎng)絡(luò)必須相互連接
Bypas正如其名,是旁路功能。 這意味著,在特定的觸發(fā)狀態(tài)(斷電或死機(jī))下,兩個網(wǎng)絡(luò)可以直接物理導(dǎo)通,而無需通過網(wǎng)絡(luò)安全設(shè)備系統(tǒng)。 因此,有了Bypass,網(wǎng)絡(luò)安全設(shè)備發(fā)生故障后,連接到該設(shè)備的網(wǎng)絡(luò)也可以相互導(dǎo)通。 當(dāng)然,此時該網(wǎng)絡(luò)設(shè)備不會處理網(wǎng)絡(luò)中的數(shù)據(jù)包。
下圖顯示了Bypass的方法。 左邊是正常狀態(tài),兩個網(wǎng)絡(luò)中的包都由APP應(yīng)用程序軟件處理,然后傳播。 右側(cè)是設(shè)備位于Bypass中后,設(shè)備的APP應(yīng)用程序不再處理網(wǎng)絡(luò)包。
二、Bypass分類即應(yīng)用方式:
Bypass一般以被稱為控制方式或觸發(fā)方式的方式來劃分,可以分為以下方式
1、用電源觸發(fā)。 在這種方式下,通常會在設(shè)備未通電時打開Bypass功能,并在設(shè)備通電后立即將其調(diào)整為關(guān)閉。
2、由GPIO控制。 進(jìn)入操作系統(tǒng)后,可以通過GPIO操作特定端口,從而控制Bypass交換機(jī)。
3、Watchdog控制。 這實(shí)際上是方式2的擴(kuò)展APP應(yīng)用,通過Watchdog可以控制GPIO Bypass程序的有效和無效,控制Bypass的狀態(tài)。 使用這種方式,如果平臺凍結(jié),Watchdog可以打開Bypass。
在實(shí)際應(yīng)用中,這三種狀態(tài)往往同時存在,特別是1和2兩種方式。
下圖為研華FWA-3140系列的Bypass狀態(tài)說明。 請作為參考。
在實(shí)際應(yīng)用中,這三種狀態(tài)往往同時存在,特別是1和2兩種方式。 典型的應(yīng)用方法是,如果關(guān)閉,設(shè)備將處于Bypasson狀態(tài),并且設(shè)備通電后,BIOS可以對Bypass進(jìn)行操作,因此在BIOS接管設(shè)備后,Bypass將保持on狀態(tài),然后操作系統(tǒng)啟動這意味著在啟動過程中網(wǎng)絡(luò)很少斷開。 從設(shè)備通電到BIOS交接之間的短短2-3秒內(nèi),網(wǎng)絡(luò)將斷開。 有關(guān)更具體的應(yīng)用,請參考以下文章。 本文是以研華FWA-3140為例,在http://www.pana bit.com/document/pana bit _ bypass.html中的APP應(yīng)用程序
三. Bypass實(shí)現(xiàn)的原理分析
以上,簡單說明了Bypass的控制方式。 接下來,簡單說明Bypass的工作原理。 主要從硬件和軟件兩個層面進(jìn)行分析。 以研華的FWA-3140系列產(chǎn)品為對象
1、硬件水平。
在硬件層面,為了實(shí)現(xiàn)Bypass,主要使用繼電器。 這些繼電器主要連接在兩個Bypass網(wǎng)口的各網(wǎng)口信號線上。 下圖中,通過任意一條信號線說明了繼電器的動作。 以電源觸發(fā)為例,電源切斷時,繼電器內(nèi)的開關(guān)會跳至1的狀態(tài)。 也就是說,LAN 1的RJ45接口的Rx直接與LAN2的RJ45 Tx導(dǎo)通,設(shè)備通電后開關(guān)導(dǎo)通為2。 這樣,為了實(shí)現(xiàn)LAN 1和LAN2上的網(wǎng)絡(luò)間通信,必須在該設(shè)備上的APP應(yīng)用中實(shí)現(xiàn)。
2、軟件水平。
以前在Bypass的分類中論述了用GPIO和Watchdog兩種方式控制和觸發(fā)Bypass,實(shí)際上都是操作GPIO,GPIO控制硬件上的繼電器并進(jìn)行相應(yīng)的跳躍。 更具體地說,如果相應(yīng)的GPIO被設(shè)置為高電平,繼電器相應(yīng)地跳至位置1;相反,如果GPIO杯被設(shè)置為低電平,繼電器跳至位置2。 以研華FWA-3140為例,下圖顯示了FWA-3140的GPIO是如何控制的。
在上圖的示例中,如果將“0”或“1”寫入GPIO27的Bit3,則可以對由LAN 1/2構(gòu)成的Bypass進(jìn)行開關(guān)控制。 同樣,如果操作對象為GPIO 28,則可以控制LAN3/4 Bypass。
在DOS中,可以使用以下調(diào)試程序測試Bypass的控制方法和狀態(tài)。
在上述示例中,軟件可以完全實(shí)現(xiàn)對Bypass狀態(tài)的控制。
并且關(guān)于Watchdog Bypass,實(shí)際上在上述GPIO控制之外,還追加Watchdog控制Bypass。 首先,系統(tǒng)將啟用Watchdog功能。 傳統(tǒng)上,如果啟用Watchdog,系統(tǒng)將重置,但如果使用Watchdog Bypass功能,則在啟用Watchdog后,系統(tǒng)將不會重置,而是命中相應(yīng)的網(wǎng)格Bypass
開,使設(shè)備呈現(xiàn)為Bypass狀態(tài)。實(shí)際是這種 Bypass,也是通過GPIO來控制Bypass的,只不過這種情況下,向GPIO寫入低電平的工作由Watchdog來執(zhí)行,不需要另外編程來寫 GPIO。值得注意的事,如果你使用了Watchdog Bypass,則Watchdog將不能再實(shí)現(xiàn)讓系統(tǒng)Reset了。以研華FWA-3140為例,F(xiàn)WA-3140在主板上,會有一個3PIN的跳線,如 果跳成1-2則Watchdog實(shí)現(xiàn)傳統(tǒng)的Reset動作,如果將跳線設(shè)定為2-3,那么就會選擇到Watchdog Bypass功能,這種情況下如果Watchdog生效后,系統(tǒng)就會打開Bypass功能。