Bypass技术介绍分析和总结.docxVIP

Bypass 技术介绍 网络安全平台厂商往往需要用到一项比较特殊的技术，那就是 Bypass，那么到底什么是 Bypass 呢，Bypass 设备又是如何来实现的？下面我就对Bypass 技术做一下简单的介绍和说明。 一、 什么是Bypass。 大家知道，网络安全设备一般都是应用在两个或更多的网络之间，比如内网和外网之间， 网络安全设备内的应用程序会对通过他的网络封包来进行分析，以判断 是否有威胁存在，处理完后再按照一定的路由规则将封包转发出去，而如果这台网络安全设备出现了故障，比如断电或死机后，那连接这台设备上所以网段也就彼此 失去联系了，这个时候如果要求各个网络彼此还需要处于连通状态，那么就必须Bypass 出面了。 Bypas 顾名思义，就是旁路功能，也就是说可以通过特定的触发状态（断电或死机）让两个网络不通过网络安全设备的系统，而直接物理上导通。所以有了 Bypass 后，当网络安全设备故障以后，还可以让连接在这台设备上的网络相互导通，当然这个时候这台网络设备也就不会再对网络中的封包做处理了。 下面一个图示说明了Bypass 的方式。左边是正常状态下，两个网络的封包都经过应用软件处理后再传播。右边是设备处于Bypass 后，设备的应用程序已经不再对网络封包处理了。 二、 Bypass 分类即应用方式： Bypass 一般按照控制方式或者称为触发方式来分，可以分为以下几个方式 1、 通过电源触发。这种方式下，一般是在设备没有通电的情况下，Bypass 功能打开， 如果设备一旦通电后，Bypass 立即调整为关闭状态。 2、 由 GPIO 来控制。在进入OS 后，可以通过GPIO 来对特定的端口操作，从而实现对Bypass 开关的控制。 3、由 Watchdog 来控制。这种情况实际是对方式 2 的一种延伸应用，可以通过 Watchdog 来控制GPIO Bypass 程序的启用与关闭，从而实现对 Bypass 状态的控制。使用这种方式后， 平台如果死机就可以由Watchdog 来打开Bypass。 在实际的应用中，这 3 种状态往往是同时存在的，尤其是1 和 2 两种方式。下图是研华FWA-3140 系列的Bypass 状态说明，大家可以参考一下。 在实际的应用中，这 3 种状态往往是同时存在的，尤其是 1 和 2 两种方式。一般的应用方法为：在断电的情况下，设备处于Bypass 打开状态，然后设备上电 后，由于 BIOS 可以对Bypass 作操作，所以在 BIOS 接管设备后，Bypass 仍然处于打开状态，然后 OS 启动，当OS 启动后，一般会执行GPIO 的 Bypass 程序，将 Bypass 关闭，这样可以应用程序就可以发挥作用了。也就是说在整个启动过程中，几乎不会造成网络的断开。只有在设备刚刚上电到 BIOS 接管这短短的 2-3 秒钟的时间会使网络断开。关于更具体的应用，大家可以参考一下下面这篇文章，这篇文章是以研华FWA-3140 为例，做的一个 应用，地址为： /document/panabit_bypass.html 三、 Bypass 实现的原理分析 上面简单说明了一下Bypass的控制方式，下面针对Bypass 工作原理作一下简要的说明， 主要从硬件和软件两个层面来分析。以研华的FWA-3140 系列产品为研究对象 1、 硬件层面。 在硬件层面上，要实现 Bypass，主要使用的就是继电器。这些继电器主要连接两个 Bypass 网口的各个网口信号线上，下图以其中一根信号线来说明 继电器在其中的工作方式。以电源触发为例，当断电的情况下，继电器内的开关将会跳拨到 1 的状态，即将LAN 1 的RJ45 接口上的Rx 直接和LAN2 的 RJ45 Tx 导通，而当设备上电以后，开关就会导通到2 上，这样如果要使LAN1 和 LAN2 上的网络间通讯，就需要通过这台设备上的应用程序来实现了。 2、 软件层面。 之前在Bypass 的分类中谈到了GPIO 和 Watchdog 两种方式来控制、触发Bypass，实际上这两种方式都是对 GPIO 作操作，然后由 GPIO 来控制硬件上的继电器作相应的跳转。具体一点，就是相应的 GPIO 如果被置成高电平，那么继电器就相应的跳转到位置1，相 反如果GPIO 杯置成了低电平，则继电器就跳转到位置2。以研华FWA-3140 为例，下图说明了 FWA-3140 的GPIO 所控制的方式。 以上图为例，如果对 GPIO27 的 Bit3 写入“0”或“1”，就可以对 LAN 1/2 所组成的Bypass 进行开关的控制，同理如果操作对象为GPIO 28 ，则可以实现对LAN3/4 Bypass 的控制。 在 DOS 下可以用如下的Debug 程序来才测试Bypa