聯(lián)系安全平臺(tái)制造商通常需要一種特殊的技術(shù): Bypass。 那么,什么是Bypass呢? Bypass設(shè)備是如何實(shí)現(xiàn)的? 簡要介紹和說明Bypass技術(shù)。
一、什么是Bypass?
眾所周知,網(wǎng)絡(luò)安全設(shè)備通常用于兩個(gè)或多個(gè)網(wǎng)絡(luò)之間,例如內(nèi)部網(wǎng)和外部網(wǎng)之間。 網(wǎng)絡(luò)安全裝置中的APP應(yīng)用程序分析通過他的網(wǎng)絡(luò)數(shù)據(jù)包以確定是否存在威脅,并在處理完成后根據(jù)一定的路由規(guī)則傳輸數(shù)據(jù)包。 如果此網(wǎng)絡(luò)安全設(shè)備發(fā)生停電或死機(jī)等故障,由于已連接到此設(shè)備,網(wǎng)段也將無法相互聯(lián)系。 此時(shí),每個(gè)網(wǎng)絡(luò)必須相互連接
Bypas正如其名,是旁路功能。 這意味著,在特定的觸發(fā)狀態(tài)(斷電或死機(jī))下,兩個(gè)網(wǎng)絡(luò)可以直接物理導(dǎo)通,而無需通過網(wǎng)絡(luò)安全設(shè)備系統(tǒng)。 因此,有了Bypass,網(wǎng)絡(luò)安全設(shè)備發(fā)生故障后,連接到該設(shè)備的網(wǎng)絡(luò)也可以相互導(dǎo)通。 當(dāng)然,此時(shí)該網(wǎng)絡(luò)設(shè)備不會(huì)處理網(wǎng)絡(luò)中的數(shù)據(jù)包。
下圖顯示了Bypass的方法。 左邊是正常狀態(tài),兩個(gè)網(wǎng)絡(luò)中的包都由APP應(yīng)用程序軟件處理,然后傳播。 右側(cè)是設(shè)備位于Bypass中后,設(shè)備的APP應(yīng)用程序不再處理網(wǎng)絡(luò)包。
二、Bypass分類即應(yīng)用方式:
Bypass一般以被稱為控制方式或觸發(fā)方式的方式來劃分,可以分為以下方式
1、用電源觸發(fā)。 在這種方式下,通常會(huì)在設(shè)備未通電時(shí)打開Bypass功能,并在設(shè)備通電后立即將其調(diào)整為關(guān)閉。
2、由GPIO控制。 進(jìn)入操作系統(tǒng)后,可以通過GPIO操作特定端口,從而控制Bypass交換機(jī)。
3、Watchdog控制。 這實(shí)際上是方式2的擴(kuò)展APP應(yīng)用,通過Watchdog可以控制GPIO Bypass程序的有效和無效,控制Bypass的狀態(tài)。 使用這種方式,如果平臺(tái)凍結(jié),Watchdog可以打開Bypass。
在實(shí)際應(yīng)用中,這三種狀態(tài)往往同時(shí)存在,特別是1和2兩種方式。
下圖為研華FWA-3140系列的Bypass狀態(tài)說明。 請(qǐng)作為參考。
在實(shí)際應(yīng)用中,這三種狀態(tài)往往同時(shí)存在,特別是1和2兩種方式。 典型的應(yīng)用方法是,如果關(guān)閉,設(shè)備將處于Bypasson狀態(tài),并且設(shè)備通電后,BIOS可以對(duì)Bypass進(jìn)行操作,因此在BIOS接管設(shè)備后,Bypass將保持on狀態(tài),然后操作系統(tǒng)啟動(dòng)這意味著在啟動(dòng)過程中網(wǎng)絡(luò)很少斷開。 從設(shè)備通電到BIOS交接之間的短短2-3秒內(nèi),網(wǎng)絡(luò)將斷開。 有關(guān)更具體的應(yīng)用,請(qǐng)參考以下文章。 本文是以研華FWA-3140為例,在http://www.pana bit.com/document/pana bit _ bypass.html中的APP應(yīng)用程序
三. Bypass實(shí)現(xiàn)的原理分析
以上,簡單說明了Bypass的控制方式。 接下來,簡單說明Bypass的工作原理。 主要從硬件和軟件兩個(gè)層面進(jìn)行分析。 以研華的FWA-3140系列產(chǎn)品為對(duì)象
1、硬件水平。
在硬件層面,為了實(shí)現(xiàn)Bypass,主要使用繼電器。 這些繼電器主要連接在兩個(gè)Bypass網(wǎng)口的各網(wǎng)口信號(hào)線上。 下圖中,通過任意一條信號(hào)線說明了繼電器的動(dòng)作。 以電源觸發(fā)為例,電源切斷時(shí),繼電器內(nèi)的開關(guān)會(huì)跳至1的狀態(tài)。 也就是說,LAN 1的RJ45接口的Rx直接與LAN2的RJ45 Tx導(dǎo)通,設(shè)備通電后開關(guān)導(dǎo)通為2。 這樣,為了實(shí)現(xiàn)LAN 1和LAN2上的網(wǎng)絡(luò)間通信,必須在該設(shè)備上的APP應(yīng)用中實(shí)現(xiàn)。
2、軟件水平。
以前在Bypass的分類中論述了用GPIO和Watchdog兩種方式控制和觸發(fā)Bypass,實(shí)際上都是操作GPIO,GPIO控制硬件上的繼電器并進(jìn)行相應(yīng)的跳躍。 更具體地說,如果相應(yīng)的GPIO被設(shè)置為高電平,繼電器相應(yīng)地跳至位置1;相反,如果GPIO杯被設(shè)置為低電平,繼電器跳至位置2。 以研華FWA-3140為例,下圖顯示了FWA-3140的GPIO是如何控制的。
在上圖的示例中,如果將“0”或“1”寫入GPIO27的Bit3,則可以對(duì)由LAN 1/2構(gòu)成的Bypass進(jìn)行開關(guān)控制。 同樣,如果操作對(duì)象為GPIO 28,則可以控制LAN3/4 Bypass。
在DOS中,可以使用以下調(diào)試程序測(cè)試Bypass的控制方法和狀態(tài)。
在上述示例中,軟件可以完全實(shí)現(xiàn)對(duì)Bypass狀態(tài)的控制。
并且關(guān)于Watchdog Bypass,實(shí)際上在上述GPIO控制之外,還追加Watchdog控制Bypass。 首先,系統(tǒng)將啟用Watchdog功能。 傳統(tǒng)上,如果啟用Watchdog,系統(tǒng)將重置;但是,如果使用Watchdog Bypass功能,則在啟用Watchdog后,系統(tǒng)將不會(huì)重置,而是打開相應(yīng)的網(wǎng)格Bypass,然后將設(shè)備重置實(shí)際上就是這樣的Bypass,由GPIO控制著Bypass。 但是,在這種情況下,向GPIO寫入行級(jí)的工作由Watchdog完成,不需要單獨(dú)編程來寫入GPIO。 值得注意的是,如果使用Watchdog Bypass,Watchdog將無法重置系統(tǒng)。 以研華FWA-3140為例,F(xiàn)WA-3140在主板上,有3PIN的跳線,跳1-2的話Watchdog就能實(shí)現(xiàn)傳統(tǒng)的重置動(dòng)作,跳線設(shè)置為2-3的話watchdog byppog 在這種情況下,當(dāng)Watchdog有效時(shí)
轉(zhuǎn)載于:https://blog.51cto.com/yuntao Liu/494862