`

网络安全设备Bypass功能介绍及分析

阅读更多

网络安全平台厂商往往需要用到一项比较特殊的技术,那就是Bypass,那么到底什么是Bypass呢,Bypass设备又是如何来实现的?下面我就对Bypass技术做一下简单的介绍和说明。
  一、 什么是Bypass。
   大家知道,网络安全设备一般都是应用在两个或更多的网络之间,比如内网和外网之间,网络安全设备内的应用程序会对通过他的网络封包来进行分析,以判断是 否有威胁存在,处理完后再按照一定的路由规则将封包转发出去,而如果这台网络安全设备出现了故障,比如断电或死机后,那连接这台设备上所以网段也就彼此失 去联系了,这个时候如果要求各个网络彼此还需要处于连通状态,那么就必须Bypass出面了。
  Bypas顾名思义,就是旁路功能,也就是说可 以通过特定的触发状态(断电或死机)让两个网络不通过网络安全设备的系统,而直接物理上导通。所以有了Bypass后,当网络安全设备故障以后,还可以让 连接在这台设备上的网络相互导通,当然这个时候这台网络设备也就不会再对网络中的封包做处理了。
  下面一个图示说明了Bypass的方式。左边是正常状态下,两个网络的封包都经过应用软件处理后再传播。右边是设备处于Bypass后,设备的应用程序已经不再对网络封包处理了。
  
  二、 Bypass分类即应用方式:
  Bypass一般按照控制方式或者称为触发方式来分,可以分为以下几个方式
  1、 通过电源触发。这种方式下,一般是在设备没有通电的情况下,Bypass功能打开,如果设备一旦通电后,Bypass立即调整为关闭状态。
  2、 由GPIO来控制。在进入OS后,可以通过GPIO来对特定的端口操作,从而实现对Bypass开关的控制。
  3、 由Watchdog来控制。这种情况实际是对方式2的一种延伸应用,可以通过Watchdog来控制GPIO Bypass程序的启用与关闭,从而实现对Bypass状态的控制。使用这种方式后,平台如果死机就可以由Watchdog来打开Bypass。
  在实际的应用中,这3种状态往往是同时存在的,尤其是1和2两种方式。
  下图是研华FWA-3140系列的Bypass状态说明,大家可以参考一下。
  
   在实际的应用中,这3种状态往往是同时存在的,尤其是1和2两种方式。一般的应用方法为:在断电的情况下,设备处于Bypass打开状态,然后设备上电 后,由于BIOS可以对Bypass作操作,所以在BIOS接管设备后,Bypass仍然处于打开状态,然后OS启动,当OS启动后,一般会执行GPIO 的Bypass程序,将Bypass关闭,这样可以应用程序就可以发挥作用了。也就是说在整个启动过程中,几乎不会造成网络的断开。只有在设备刚刚上电到 BIOS接管这短短的2-3秒钟的时间会使网络断开。关于更具体的应用,大家可以参考一下下面这篇文章,这篇文章是以研华FWA-3140为例,做的一个 应用,地址为:http://www.panabit.com/document/panabit_bypass.html
  三、 Bypass实现的原理分析
  上面简单说明了一下Bypass的控制方式,下面针对Bypass工作原理作一下简要的说明,主要从硬件和软件两个层面来分析。以研华的FWA-3140系列产品为研究对象
  1、 硬件层面。
   在硬件层面上,要实现Bypass,主要使用的就是继电器。这些继电器主要连接两个Bypass网口的各个网口信号线上,下图以其中一根信号线来说明继 电器在其中的工作方式。以电源触发为例,当断电的情况下,继电器内的开关将会跳拨到1的状态,即将LAN 1 的RJ45接口上的Rx直接和LAN2 的RJ45 Tx 导通,而当设备上电以后,开关就会导通到2上,这样如果要使LAN1和LAN2 上的网络间通讯,就需要通过这台设备上的应用程序来实现了。
  
  2、 软件层面。
   之前在Bypass的分类中谈到了GPIO和Watchdog两种方式来控制、触发Bypass,实际上这两种方式都是对GPIO作操作,然后由 GPIO来控制硬件上的继电器作相应的跳转。具体一点,就是相应的GPIO如果被置成高电平,那么继电器就相应的跳转到位置1,相反如果GPIO杯置成了 低电平,则继电器就跳转到位置2。以研华FWA-3140为例,下图说明了FWA-3140的GPIO所控制的方式。
  
  以上图为例,如果对GPIO27 的Bit3 写入“0”或“1”,就可以对LAN 1/2 所组成的Bypass进行开关的控制,同理如果操作对象为GPIO 28 ,则可以实现对LAN3/4 Bypass的控制。
  在DOS下可以用如下的Debug程序来才测试Bypass的控制方法和状态。
  
  有了上面的实例,就可以完全实现由软件来控制Bypass的状态了。
   另外对于Watchdog Bypass,实际上是在上面的GPIO控制的基础上,增加Watchdog控制Bypass。首先系统激活Watchdog功能,传统上,当 Watchdog生效后,系统会Reset ,但如果你使用了Watchdog Bypass功能,则在Watchdog生效后,系统不会Reset,而是将相对应的网口Bypass打开,使设备呈现为Bypass状态。实际是这种 Bypass,也是通过GPIO来控制Bypass的,只不过这种情况下,向GPIO写入低电平的工作由Watchdog来执行,不需要另外编程来写 GPIO。值得注意的事,如果你使用了Watchdog Bypass,则Watchdog将不能再实现让系统Reset了。以研华FWA-3140为例,FWA-3140在主板上,会有一个3PIN的跳线,如 果跳成1-2则Watchdog实现传统的Reset动作,如果将跳线设定为2-3,那么就会选择到Watchdog Bypass功能,这种情况下如果Watchdog生效后,系统就会打开Bypass功能。

分享到:
评论

相关推荐

    Bypass功能介绍及分析

    大家知道,网络安全设备一般都是应用在两个或更多的网络之间,比如内网和外网之间,网络安全设备内的应用程序会对通过他的网络封包来进行分析,以判断是否有威胁存在,处理完后再按照一定的路由规则将封包转发出去,...

    Bypass介绍及分析

    Bypass能够在特定情况下(通常是设备故障时)自动开启,使数据包绕过网络安全设备内部的处理流程,直接在物理层面上建立连接。这样一来,即使网络安全设备出现问题,也能保证网络间的正常通信。当然,在Bypass状态下...

    Bypass技术介绍

    Bypass技术的主要作用是当网络安全设备出现故障时,能够让连接到这台设备上的网络保持连通状态。Bypass技术可以分为三种类型:电源触发、GPIO控制和Watchdog控制。 一、什么是Bypass? Bypass顾名思义,就是旁路...

    Intel i211网卡和bypass设计

    Intel i211网卡的稳定设计与bypass功能确保了在数据中心和企业级网络环境中的性能与可靠性。其精心设计的电路、控制逻辑和接口标准提供了高效、稳定的数据处理能力。通过MCU控制的bypass设计,能够有效应对网络故障...

    SANGFOR_ACSG4.6Bypass与拦截定位使用指导_201331023.pdf

    深信服ACSG4.6是一款强大的网络安全设备,其Bypass与拦截定位功能是网络管理中的关键工具,主要用来识别和解决数据包被拒绝的问题,从而优化网络配置和提升带宽利用效率。本指南将深入解析这两个功能,帮助用户快速...

    IMS核心网网络安全指标体系研究 (1).pdf

    4. 容灾因素:网络的容灾或Bypass功能对于应对意外设备故障或网络阻断,维持业务连续性至关重要。 论文构建的IMS核心网网络安全指标体系分为5级,从总体评估到分区评估,逐层细化,确保全面评估网络的安全状态。...

    hikvision_CVE-2017-7921_auth_bypass_config_decryptor-main.zip

    标题 "hikvision_CVE-2017-7921_auth_bypass_config_decryptor-main.zip" 指向的是一个与海康威视(Hikvision)设备...同时,这也提醒我们,无论设备品牌如何,定期更新、监控和安全评估都是保护网络安全的必要步骤。

    网络安全设备技术要求.doc

    附件 2017年公司网络安全一期建设工程网络安全设备品牌、性能及参数要求 "序"设备 "数量( "要求品牌"参数及要求 " "号" "套) " " " "1 "下一代防 "1 "深信服、"标准机架式设备,3层吞吐量 8Gbps,7层吞吐量 2Gbps,...

    上网行为管理系统产品介绍及竞争分析教材.ppt

    - 支持硬件BYPASS功能,确保网络在设备故障时仍能保持连通。 3. 网御ACM产品典型应用部署方式: - 透明网桥部署:不影响现有网络架构,提供全面监控和管理。 - 路由部署:全面启用各项功能,包括路由、负载均衡...

    网络安全设备技术要求(1).doc

    附件 2017年公司网络安全一期建设工程网络安全设备品牌、性能及参数要求 "序"设备 "数量( "要求品牌"参数及要求 " "号" "套) " " " "1 "下一代防 "1 "深信服、"标准机架式设备,3层吞吐量 8Gbps,7层吞吐量 2Gbps,...

    上网行为管理系统产品介绍及竞争分析教材.pptx

    - 支持硬件BYPASS功能,保证网络在设备故障时仍能保持连通。 3. 功能特性: - 身份认证:通过用户身份验证,确保只有授权用户可以访问网络资源。 - 流量管理:通过QoS策略,限制或优先保证特定应用的带宽使用。 ...

    IP-GUARD安全网关快速部署指南(web管理界面).pdf

    总结而言,IP-GUARD安全网关快速部署指南为用户提供了全面而详细的部署流程,无论是设备选择、管理端口配置,还是BYPASS功能、网络接入位置确定,再到具体设备配置步骤,都旨在帮助用户尽快地搭建起企业网络安全的...

    南京理工大学科技成果——工业互联网络漏洞检测与攻击图自动生成系统.pdf

    12. 设备支持硬件 BYPASS 功能,当设备出现异常断电等行为时自动触发硬件 BYPASS 功能,避免因单点故障导致网络流量中断等。 系统特色: 1. 全面的工业互联网络安全解决方案,提供了从漏洞检测到攻击图自动生成的...

    AV_EDR 绕过红队村 PT-BR.pdf

    【网络安全渗透测试】中的【AV/EDR Bypass 技术】详解 在网络安全领域,保护系统免受恶意攻击是至关重要的。其中,【Endpoint Detection and Response (EDR)】和【Antivirus (AV)】是两种常见的防护手段。本文将...

    2016年度AF高级认证培训检测题目参考答案(汇总).doc

    本文档汇总了2016年度AF高级认证培训检测的相关题目及参考答案,涉及多个网络安全领域的知识点,包括设备管理、DDoS防护、XSS与SQL注入、网页防篡改、用户登录权限、僵尸网络攻击、高可用性、产品部署排错以及风险...

    数据流量优化及带宽管理解决方案.ppt

    总结来说,这个数据流量优化及带宽管理解决方案集成了流量分析、带宽管理、安全防护、用户认证、行为审计等多种功能,旨在解决网络中的流量不均、带宽浪费、安全风险等问题,为企业和运营商提供了一个全面优化网络...

    IDC 信息安全管理系统

    - Bypass功能切换时间:独立式EU设备在串接时的bypass功能切换时间小于20ms。 #### 四、应用场景与部署方式 - **应用场景**:ISMS系统适用于IDC机房的不同规模,支持串接部署和并接部署两种模式。 - **串接部署*...

    数据流量优化其带宽管理解决方案.ppt

    4. **网络安全和行为管理**:包含病毒和黑客攻击的防护,以及访问审计和行为分析,以确保网络环境的安全。 5. **用户认证和计费**:通过RADIUS和微软域控等认证方式,结合流量和时间计费,支持客户端和WEB认证,...

Global site tag (gtag.js) - Google Analytics