网络安全设备Bypass功能分析

络安全平台厂商每每须要用到一项比较特殊的技术，那就是Bypass，那么到底什么是Bypass呢，Bypass设备又是如何来实现的？下面我就对Bypass技术作一下简单的介绍和说明。
1、 什么是Bypass。
你们知道，网络安全设备通常都是应用在两个或更多的网络之间，好比内网和外网之间，网络安全设备内的应用程序会对经过他的网络封包来进行分析，以判断是 否有威胁存在，处理完后再按照必定的路由规则将封包转发出去，而若是这台网络安全设备出现了故障，好比断电或死机后，那链接这台设备上因此网段也就彼此失 去联系了，这个时候若是要求各个网络彼此还须要处于连通状态，那么就必须Bypass出面了。
Bypas顾名思义，就是旁路功能，也就是说可 以经过特定的触发状态（断电或死机）让两个网络不经过网络安全设备的系统，而直接物理上导通。因此有了Bypass后，当网络安全设备故障之后，还可让 链接在这台设备上的网络相互导通，固然这个时候这台网络设备也就不会再对网络中的封包作处理了。
下面一个图示说明了Bypass的方式。左边是正常状态下，两个网络的封包都通过应用软件处理后再传播。右边是设备处于Bypass后，设备的应用程序已经再也不对网络封包处理了。

2、 Bypass分类即应用方式：
Bypass通常按照控制方式或者称为触发方式来分，能够分为如下几个方式
一、 经过电源触发。这种方式下，通常是在设备没有通电的状况下，Bypass功能打开，若是设备一旦通电后，Bypass当即调整为关闭状态。
二、 由GPIO来控制。在进入OS后，能够经过GPIO来对特定的端口操做，从而实现对Bypass开关的控制。
三、 由Watchdog来控制。这种状况实际是对方式2的一种延伸应用，能够经过Watchdog来控制GPIO Bypass程序的启用与关闭，从而实现对Bypass状态的控制。使用这种方式后，平台若是死机就能够由Watchdog来打开Bypass。
在实际的应用中，这3种状态每每是同时存在的，尤为是1和2两种方式。
下图是研华FWA-3140系列的Bypass状态说明，你们能够参考一下。

在实际的应用中，这3种状态每每是同时存在的，尤为是1和2两种方式。通常的应用方法为：在断电的状况下，设备处于Bypass打开状态，而后设备上电 后，因为BIOS能够对Bypass做操做，因此在BIOS接管设备后，Bypass仍然处于打开状态，而后OS启动，当OS启动后，通常会执行GPIO 的Bypass程序，将Bypass关闭，这样能够应用程序就能够发挥做用了。也就是说在整个启动过程当中，几乎不会形成网络的断开。只有在设备刚刚上电到 BIOS接管这短短的2-3秒钟的时间会使网络断开。关于更具体的应用，你们能够参考一下下面这篇文章，这篇文章是以研华FWA-3140为例，作的一个 应用，地址为：http://www.panabit.com/document/panabit_bypass.html
3、 Bypass实现的原理分析
上面简单说明了一下Bypass的控制方式，下面针对Bypass工做原理做一下简要的说明，主要从硬件和软件两个层面来分析。以研华的FWA-3140系列产品为研究对象
一、 硬件层面。
在硬件层面上，要实现Bypass，主要使用的就是继电器。这些继电器主要链接两个Bypass网口的各个网口信号线上，下图以其中一根信号线来讲明继 电器在其中的工做方式。以电源触发为例，当断电的状况下，继电器内的开关将会跳拨到1的状态，即将LAN 1 的RJ45接口上的Rx直接和LAN2 的RJ45 Tx 导通，而当设备上电之后，开关就会导通到2上，这样若是要使LAN1和LAN2 上的网络间通信，就须要经过这台设备上的应用程序来实现了。

二、 软件层面。
以前在Bypass的分类中谈到了GPIO和Watchdog两种方式来控制、触发Bypass，实际上这两种方式都是对GPIO做操做，而后由 GPIO来控制硬件上的继电器做相应的跳转。具体一点，就是相应的GPIO若是被置成高电平，那么继电器就相应的跳转到位置1，相反若是GPIO杯置成了 低电平，则继电器就跳转到位置2。以研华FWA-3140为例，下图说明了FWA-3140的GPIO所控制的方式。

以上图为例，若是对GPIO27 的Bit3 写入“0”或“1”，就能够对LAN 1/2 所组成的Bypass进行开关的控制，同理若是操做对象为GPIO 28 ，则能够实现对LAN3/4 Bypass的控制。
在DOS下能够用以下的Debug程序来才测试Bypass的控制方法和状态。

有了上面的实例，就能够彻底实现由软件来控制Bypass的状态了。
另外对于Watchdog Bypass，其实是在上面的GPIO控制的基础上，增长Watchdog控制Bypass。首先系统激活Watchdog功能，传统上，当 Watchdog生效后，系统会Reset ，但若是你使用了Watchdog Bypass功能，则在Watchdog生效后，系统不会Reset，而是将相对应的网口Bypass打开，使设备呈现为Bypass状态。实际是这种 Bypass，也是经过GPIO来控制Bypass的，只不过这种状况下，向GPIO写入低电平的工做由Watchdog来执行，不须要另外编程来写 GPIO。值得注意的事，若是你使用了Watchdog Bypass，则Watchdog将不能再实现让系统Reset了。以研华FWA-3140为例，FWA-3140在主板上，会有一个3PIN的跳线，如 果跳成1-2则Watchdog实现传统的Reset动做，若是将跳线设定为2-3，那么就会选择到Watchdog Bypass功能，这种状况下若是Watchdog生效后，系统就会打开Bypass功能。