Bypass介绍.doc

Bypass介绍 概述功能实现简单——现有的工控机，都已在以太网电口上实现了硬件Bypass功能，异常情况下（设备掉电/重启/系统挂死等），设备会通过继电器开关自动将两个以太网端口实现物理直连，实现报文全通。①：存在安全隐患——对于UTM设备而言，防火墙是一个基础模块，而防火墙模块的功能特点就是除非用户配置，否则默认阻断。而Bypass模式下，最基础的防火墙模块实际上已经被绕过了，任何报文都能通过网关设备，这对于安全性要求较高的用户来说，是绝对不能接受的。②：应用范围较窄——只能在UTM设备工作在双端口透明模式下才能起作用，多端口透明桥模式、路由模式或混合模式下，即使启用了Bypass功能也无法确保业务正常连通。从以上的讨论可以看出，ByPass模式更适合在专业的IPS产品上应用，因为专业IPS产品的部署方式经严格限定为透明模式跨接在一条或多条链路上，每一路输入严格对应到一路输出。同时，部分刚刚进入UTM领域的厂商，在其UTM产品没有完全稳定之前，也经常采用Bypass功能，来避免设备不稳定对用户造成的影响，同时降低自身的售后服务压力。　　软件层面上实际就是之前在Bypass的分类中谈到了GPIO和Watchdog两种方式来控制、触发Bypass，实际上这两种方式都是对GPIO作操作，然后由GPIO来控制硬件上的继电器作相应的跳转。具体一点，就是相应的GPIO如果被置成高电平，那么继电器就相应的跳转到位置1，相反如果GPIO杯置成了低电平，则继电器就跳转到位置2。以研华FWA-3140为例，下图说明了FWA-3140的GPIO所控制的方式。　　　　以上图为例，如果对GPIO27 的Bit3 写入“0”或“1”，就可以对LAN 1/2 所组成的Bypass进行开关的控制，同理如果操作对象为GPIO 28 ，则可以实现对LAN3/4 Bypass的控制。在DOS下可以用如下的Debug程序来才测试Bypass的控制方法和状态。 LAN 1/2 Bypass A:\debug -o 48f 13 LAN 3/4 Bypass A:\debug -o 48f 0b LAN 1/23/4 Bypass A:\debug -o 48f 03 　　有了上面的实例，就可以完全实现由软件来控制Bypass的状态了。　　另外对于Watchdog Bypass，实际上是在上面的GPIO控制的基础上，增加Watchdog控制Bypass。首先系统激活Watchdog功能，传统上，当Watchdog生效后，系统会Reset ，但如果你使用了Watchdog Bypass功能，则在Watchdog生效后，系统不会Reset，而是将相对应的网口Bypass打开，使设备呈现为Bypass状态。实际是这种Bypass，也是通过GPIO来控制Bypass的，只不过这种情况下，向GPIO写入低电平的工作由Watchdog来执行，不需要另外编程来写GPIO。值得注意的事，如果你使用了Watchdog Bypass，则Watchdog将不能再实现让系统Reset了。以研华FWA-3140为例，FWA-3140在主板上，会有一个3PIN的跳线，如果跳成1-2则Watchdog实现传统的Reset动作，如果将跳线设定为2-3，那么就会选择到Watchdog Bypass功能，这种情况下如果Watchdog生效后，系统就会打开Bypass功能。 应用层流控设备，为了达到控制效果，主要以桥接(inline)方式部署在网络出口，由此带来了系统的单点故障，为了保证高可用性，解决方案就是网卡的Lan Bypass。当设备故障时，自动接通网络原有链路，保证网络正常工作。 Lan Bypass是很多网络设备厂商近几年特别关注、必备的基本功能；早期有些厂商自己设计制作了板卡电路，用于实现硬件的Bypass功能，随着网络安全平台供应商对硬件系统的完善，在工业级主板中，集成了Bypass功能，为设备制造商带来了方便。目前，稍加注意，就能选择到板载Bypass功能的主板。 要做到真正实用的Bypass，在购买主板或整机前，需要仔细选择与确认！！所有板载Bypass的主板，基本能实现断电Bypass和用户程序控制Bypass的开和关，但是仅满足这两点还不够。板载Bypass功能的同时，主板往往带有Watchdog功能，Wtachdog初始设计的基本用途是控制系统重启，可以在在BIOS中设定，也可以通过监护程序控制，监护程序执行的是喂狗动作，如在一个时间周期内，不断给定时器刷新时间，Watchdog就不发出重启指令，如果系统超时，例如系统宕机时，Watchdog不能正常工作，则发出系统重启指令。系统重启不是我们所需要的，有可能重启后再次重启，造成循环的短时间重复断网，这是运营商不