網絡安全設備Bypass功能分析

絡安全平臺廠商每每須要用到一項比較特殊的技術，那就是Bypass，那麼到底什麼是Bypass呢，Bypass設備又是如何來實現的？下面我就對Bypass技術作一下簡單的介紹和說明。
1、 什麼是Bypass。
你們知道，網絡安全設備通常都是應用在兩個或更多的網絡之間，好比內網和外網之間，網絡安全設備內的應用程序會對經過他的網絡封包來進行分析，以判斷是 否有威脅存在，處理完後再按照必定的路由規則將封包轉發出去，而若是這臺網絡安全設備出現了故障，好比斷電或死機後，那鏈接這臺設備上因此網段也就彼此失 去聯繫了，這個時候若是要求各個網絡彼此還須要處於連通狀態，那麼就必須Bypass出面了。
Bypas顧名思義，就是旁路功能，也就是說可 以經過特定的觸發狀態（斷電或死機）讓兩個網絡不經過網絡安全設備的系統，而直接物理上導通。因此有了Bypass後，當網絡安全設備故障之後，還可讓 鏈接在這臺設備上的網絡相互導通，固然這個時候這臺網絡設備也就不會再對網絡中的封包作處理了。
下面一個圖示說明了Bypass的方式。左邊是正常狀態下，兩個網絡的封包都通過應用軟件處理後再傳播。右邊是設備處於Bypass後，設備的應用程序已經再也不對網絡封包處理了。

2、 Bypass分類即應用方式：
Bypass通常按照控制方式或者稱爲觸發方式來分，能夠分爲如下幾個方式
一、 經過電源觸發。這種方式下，通常是在設備沒有通電的狀況下，Bypass功能打開，若是設備一旦通電後，Bypass當即調整爲關閉狀態。
二、 由GPIO來控制。在進入OS後，能夠經過GPIO來對特定的端口操做，從而實現對Bypass開關的控制。
三、 由Watchdog來控制。這種狀況實際是對方式2的一種延伸應用，能夠經過Watchdog來控制GPIO Bypass程序的啓用與關閉，從而實現對Bypass狀態的控制。使用這種方式後，平臺若是死機就能夠由Watchdog來打開Bypass。
在實際的應用中，這3種狀態每每是同時存在的，尤爲是1和2兩種方式。
下圖是研華FWA-3140系列的Bypass狀態說明，你們能夠參考一下。

在實際的應用中，這3種狀態每每是同時存在的，尤爲是1和2兩種方式。通常的應用方法爲：在斷電的狀況下，設備處於Bypass打開狀態，而後設備上電 後，因爲BIOS能夠對Bypass做操做，因此在BIOS接管設備後，Bypass仍然處於打開狀態，而後OS啓動，當OS啓動後，通常會執行GPIO 的Bypass程序，將Bypass關閉，這樣能夠應用程序就能夠發揮做用了。也就是說在整個啓動過程當中，幾乎不會形成網絡的斷開。只有在設備剛剛上電到 BIOS接管這短短的2-3秒鐘的時間會使網絡斷開。關於更具體的應用，你們能夠參考一下下面這篇文章，這篇文章是以研華FWA-3140爲例，作的一個 應用，地址爲：http://www.panabit.com/document/panabit_bypass.html
3、 Bypass實現的原理分析
上面簡單說明了一下Bypass的控制方式，下面針對Bypass工做原理做一下簡要的說明，主要從硬件和軟件兩個層面來分析。以研華的FWA-3140系列產品爲研究對象
一、 硬件層面。
在硬件層面上，要實現Bypass，主要使用的就是繼電器。這些繼電器主要鏈接兩個Bypass網口的各個網口信號線上，下圖以其中一根信號線來講明繼 電器在其中的工做方式。以電源觸發爲例，當斷電的狀況下，繼電器內的開關將會跳撥到1的狀態，即將LAN 1 的RJ45接口上的Rx直接和LAN2 的RJ45 Tx 導通，而當設備上電之後，開關就會導通到2上，這樣若是要使LAN1和LAN2 上的網絡間通信，就須要經過這臺設備上的應用程序來實現了。

二、 軟件層面。
以前在Bypass的分類中談到了GPIO和Watchdog兩種方式來控制、觸發Bypass，實際上這兩種方式都是對GPIO做操做，而後由 GPIO來控制硬件上的繼電器做相應的跳轉。具體一點，就是相應的GPIO若是被置成高電平，那麼繼電器就相應的跳轉到位置1，相反若是GPIO杯置成了 低電平，則繼電器就跳轉到位置2。以研華FWA-3140爲例，下圖說明了FWA-3140的GPIO所控制的方式。

以上圖爲例，若是對GPIO27 的Bit3 寫入「0」或「1」，就能夠對LAN 1/2 所組成的Bypass進行開關的控制，同理若是操做對象爲GPIO 28 ，則能夠實現對LAN3/4 Bypass的控制。
在DOS下能夠用以下的Debug程序來才測試Bypass的控制方法和狀態。

有了上面的實例，就能夠徹底實現由軟件來控制Bypass的狀態了。
另外對於Watchdog Bypass，其實是在上面的GPIO控制的基礎上，增長Watchdog控制Bypass。首先系統激活Watchdog功能，傳統上，當 Watchdog生效後，系統會Reset ，但若是你使用了Watchdog Bypass功能，則在Watchdog生效後，系統不會Reset，而是將相對應的網口Bypass打開，使設備呈現爲Bypass狀態。實際是這種 Bypass，也是經過GPIO來控制Bypass的，只不過這種狀況下，向GPIO寫入低電平的工做由Watchdog來執行，不須要另外編程來寫 GPIO。值得注意的事，若是你使用了Watchdog Bypass，則Watchdog將不能再實現讓系統Reset了。以研華FWA-3140爲例，FWA-3140在主板上，會有一個3PIN的跳線，如 果跳成1-2則Watchdog實現傳統的Reset動做，若是將跳線設定爲2-3，那麼就會選擇到Watchdog Bypass功能，這種狀況下若是Watchdog生效後，系統就會打開Bypass功能。