Bypass介绍.docVIP

Bypass介绍 概述功能实现简单——现有的工控机，都已在以太网电口上实现了硬件Bypass功能，异常情况下（设备掉电/重启/系统挂死等），设备会通过继电器开关自动将两个以太网端口实现物理直连，实现报文全通。①：存在安全隐患——对于UTM设备而言，防火墙是一个基础模块，而防火墙模块的功能特点就是除非用户配置，否则默认阻断。而Bypass模式下，最基础的防火墙模块实际上已经被绕过了，任何报文都能通过网关设备，这对于安全性要求较高的用户来说，是绝对不能接受的。②：应用范围较窄——只能在UTM设备工作在双端口透明模式下才能起作用，多端口透明桥模式、路由模式或混合模式下，即使启用了Bypass功能也无法确保业务正常连通。从以上的讨论可以看出，ByPass模式更适合在专业的IPS产品上应用，因为专业IPS产品的部署方式经严格限定为透明模式跨接在一条或多条链路上，每一路输入严格对应到一路输出。同时，部分刚刚进入UTM领域的厂商，在其UTM产品没有完全稳定之前，也经常采用Bypass功能，来避免设备不稳定对用户造成的影响，同时降低自身的售后服务压力。　　软件层面上实际就是之前在Bypass的分类中谈到了GPIO和Watchdog两种方式来控制、触发Bypass，实际上这两种方式都是对GPIO作操作，然后由GPIO来控制硬件上的继电器作相应的跳转。具体一点，就是相应的GPIO如果被置成高电平，