解決方案
網(wǎng)絡(luò)安全設(shè)備Bypass功能介紹及分析
2018-10-25


一、 什么是Bypass。

網(wǎng)絡(luò)安全設(shè)備一般都是應(yīng)用在兩個或更多的網(wǎng)絡(luò)之間,比如內(nèi)網(wǎng)和外網(wǎng)之間,網(wǎng)絡(luò)安全設(shè)備內(nèi)的應(yīng)用程序會對通過他的網(wǎng)絡(luò)封包來進(jìn)行分析,以判斷是否有威脅存在,處理完后再按照一定的路由規(guī)則將封包轉(zhuǎn)發(fā)出去,而如果這臺網(wǎng)絡(luò)安全設(shè)備出現(xiàn)了故障,比如斷電或死機(jī)后,那連接這臺設(shè)備上所以網(wǎng)段也就彼此失去聯(lián)系了,這個時候如果要求各個網(wǎng)絡(luò)彼此還需要處于連通狀態(tài),那么就必須Bypass出面了。

Bypas顧名思義,就是旁路功能,也就是說可以通過特定的觸發(fā)狀態(tài)(斷電或死機(jī))讓兩個網(wǎng)絡(luò)不通過網(wǎng)絡(luò)安全設(shè)備的系統(tǒng),而直接物理上導(dǎo)通。所以有了 Bypass后,當(dāng)網(wǎng)絡(luò)安全設(shè)備故障以后,還可以讓連接在這臺設(shè)備上的網(wǎng)絡(luò)相互導(dǎo)通,當(dāng)然這個時候這臺網(wǎng)絡(luò)設(shè)備也就不會再對網(wǎng)絡(luò)中的封包做處理了。

二、 Bypass分類即應(yīng)用方式:

Bypass一般按照控制方式或者稱為觸發(fā)方式來分,可以分為以下幾個方式

1、 通過電源觸發(fā)。這種方式下,一般是在設(shè)備沒有通電的情況下,Bypass功能打開,如果設(shè)備一旦通電后,Bypass立即調(diào)整為關(guān)閉狀態(tài)。

2、 由GPIO來控制。在進(jìn)入OS后,可以通過GPIO來對特定的端口操作,從而實現(xiàn)對Bypass開關(guān)的控制。

3、 由Watchdog來控制。這種情況實際是對方式2的一種延伸應(yīng)用,可以通過Watchdog來控制GPIO Bypass程序的啟用與關(guān)閉,從而實現(xiàn)對Bypass狀態(tài)的控制。使用這種方式后,平臺如果死機(jī)就可以由Watchdog來打開Bypass。

在實際的應(yīng)用中,這3種狀態(tài)往往是同時存在的,尤其是1和2兩種方式。一般的應(yīng)用方法為:在斷電的情況下,設(shè)備處于Bypass打開狀態(tài),然后設(shè)備上電后,由于BIOS可以對Bypass作操作,所以在BIOS接管設(shè)備后,Bypass仍然處于打開狀態(tài),然后OS啟動,當(dāng)OS啟動后,一般會執(zhí)行GPIO 的Bypass程序,將Bypass關(guān)閉,這樣可以應(yīng)用程序就可以發(fā)揮作用了。在整個啟動過程中,幾乎不會造成網(wǎng)絡(luò)的斷開。

三、 Bypass實現(xiàn)的原理分析

1、 硬件層面

在硬件層面上,要實現(xiàn)Bypass,主要使用的就是繼電器。這些繼電器主要連接兩個Bypass網(wǎng)口的各個網(wǎng)口信號線上,下圖以其中一根信號線來說明繼電器在其中的工作方式。

以電源觸發(fā)為例,當(dāng)斷電的情況下,繼電器內(nèi)的開關(guān)將會跳撥到1的狀態(tài),即將LAN 1 的RJ45接口上的Rx直接和LAN2 的RJ45 Tx 導(dǎo)通,而當(dāng)設(shè)備上電以后,開關(guān)就會導(dǎo)通到2上,這樣如果要使LAN1和LAN2 上的網(wǎng)絡(luò)間通訊,就需要通過這臺設(shè)備上的應(yīng)用程序來實現(xiàn)了。


2、 軟件層面

之前在Bypass的分類中談到了GPIO和Watchdog兩種方式來控制、觸發(fā)Bypass,實際上這兩種方式都是對 GPIO作操作,然后由GPIO來控制硬件上的繼電器作相應(yīng)的跳轉(zhuǎn)。具體一點(diǎn),就是相應(yīng)的GPIO如果被置成高電平,那么繼電器就相應(yīng)的跳轉(zhuǎn)到位置1,相反如果GPIO杯置成了低電平,則繼電器就跳轉(zhuǎn)到位置2。

對于Watchdog Bypass,實際上是在上面的GPIO控制的基礎(chǔ)上,增加Watchdog控制Bypass。首先在BIOS中設(shè)定watchdog生效后執(zhí)行動作為bypass,系統(tǒng)激活Watchdog功能,則在Watchdog生效后,會將相對應(yīng)的網(wǎng)口Bypass打開,使設(shè)備呈現(xiàn)為Bypass狀態(tài)。實際是這種 Bypass,也是通過GPIO來控制Bypass的,只不過這種情況下,向GPIO寫入低電平的工作由Watchdog來執(zhí)行,不需要另外編程來寫 GPIO。


硬件Bypass功能已經(jīng)是網(wǎng)絡(luò)安全產(chǎn)品的必備功能,在設(shè)備斷電,死機(jī)時能夠直接將內(nèi),外兩個端口物理連通,變成一根網(wǎng)線,這樣用戶的數(shù)據(jù)流量可以直接通過設(shè)備,而不受設(shè)備自身當(dāng)前狀態(tài)的影響。


銨泰克網(wǎng)絡(luò)安全硬件平臺全系列支持第三代網(wǎng)口bypass,支持自動切換和人工軟件切換方式,可自定義切換臨界選擇點(diǎn),能很好的保證數(shù)據(jù)傳輸速率,操作更方便、智能,能很好的保證網(wǎng)絡(luò)連續(xù)性需。