咨詢電(diàn)話(huà)
400-128-1128
解決方案
網絡安全設備Bypass功能(néng)介紹及♠¶分(fēn)析
2018-10-25
一(yī)、 什(shén)麽是(shì)Bypass。
網絡安全設備一(yī)般都(dōu)是(shì)應用(yòng)>'¥在兩個(gè)或更多(duō)的(de)網絡之間(j♣&÷iān),比如(rú)內(nèi)網和(hé)>€外(wài)網之間(jiān),網絡安全設備內(nèi)的(de)應用"'©↓(yòng)程序會(huì)對(duì)通(tōng)過他(tā)的(★≠de)網絡封包來(lái)進行(xíng)分(f≈♣ēn)析,以判斷是(shì)否有(yǒu)威脅存在,處理(lǐ)完後再按照(≈ zhào)一(yī)定的(de)路(lù)由規則将封包轉發★↔≤出去(qù),而如(rú)果這(zhè)台網絡安全設備出現(xiàn↕ )了(le)故障,比如(rú)斷電(diàn±Ω≈)或死機(jī)後,那(nà)連接這(zhè)台設備上(shàng)所以網段€"©σ也(yě)就(jiù)彼此失去(qù)聯系了(Ω←™∏le),這(zhè)個(gè)時(shí)候♠♦如(rú)果要(yào)求各個(gè)網絡↕₹彼此還(hái)需要(yào)處于連通(tōng)狀态,那(n₩'££à)麽就(jiù)必須Bypass出面了(le)。
Bypas顧名思義,就(jiù)是(shì)旁路(lù)↑±≠功能(néng),也(yě)就(jiù)是(shì)說(shuō™→→✘)可(kě)以通(tōng)過特定的(de)<≤↓$觸發狀态(斷電(diàn)或死機(jī))讓兩個(gè)網絡∏♥δ 不(bù)通(tōng)過網絡安全設備的(δ÷♠de)系統,而直接物(wù)理(lǐ)上(↕γshàng)導通(tōng)。所以有(y∞ ¶↓ǒu)了(le) Bypass後,當網絡安全設備故障以後,還(hái)可(kě•€£)以讓連接在這(zhè)台設備上(shàng)♦£的(de)網絡相(xiàng)互導通(t'≥ōng),當然這(zhè)個(gè)時(shí)候這(zφ↓¶∑hè)台網絡設備也(yě)就(jiù)不•ε<®(bù)會(huì)再對(duì)網絡中的(de)封包₩↔做(zuò)處理(lǐ)了(le)。
二、 Bypass分(fēn)類即應用(yòng)方式:
Bypass一(yī)般按照(zhào)控制(zhì)方✘♥式或者稱為(wèi)觸發方式來(lái)分(f±✔★ēn),可(kě)以分(fēn)為(wèi)以下(xià)幾個(gè✘♠)方式
1、 通(tōng)過電(diàn)源觸發。這(zhè)種方式下(x♥•ià),一(yī)般是(shì)在設備沒有(↔®★yǒu)通(tōng)電(diàn)的(de)情況下(xià),Byp§ &ass功能(néng)打開(kāi),如(rú)果設備一(yī)旦通(tōng€™©γ)電(diàn)後,Bypass立即調整為(wèi)關閉狀态。
2、 由GPIO來(lái)控制(zhì)。在進入OS後,可(k∑> ě)以通(tōng)過GPIO來(lái)對(duδ♦"ì)特定的(de)端口操作(zuò),從(cóng)而實現(xiàn)對(α↓duì)Bypass開(kāi)關的(de)控制(zhì)。
3、 由Watchdog來(lái)控制(zhì)。這(©∑εzhè)種情況實際是(shì)對(duì ∑↓ )方式2的(de)一(yī)種延伸應用(yòng),可(kě)以通(tōn→₽♥πg)過Watchdog來(lái)控制(zhì)'ε₩GPIO Bypass程序的(de)啓用(y™&£☆òng)與關閉,從(cóng)而實現(xiàn)對(duì)Bypa>≈¥&ss狀态的(de)控制(zhì)。使用(yòng)>≤♣★這(zhè)種方式後,平台如(rú)果死機(jī)就(jiù)可(&₹kě)以由Watchdog來(lái)打開(kāi)Bypass。
在實際的(de)應用(yòng)中,這(zhè)3種狀™∏''态往往是(shì)同時(shí)存在的(de),尤其是(shì)1和(hé∏•)2兩種方式。一(yī)般的(de)應用¶±δ(yòng)方法為(wèi):在斷電(diàn)的(de)情況下(÷σxià),設備處于Bypass打開(kāi)狀态,然後設備上(s≥♠£∑hàng)電(diàn)後,由于BIOS可(kě)以對(duì)Bypass ∑作(zuò)操作(zuò),所以在BIOS接管設備後,B₩γ♠ypass仍然處于打開(kāi)狀态,然後OS啓動,當OS啓動後,一 ¥(yī)般會(huì)執行(xíng)GPIO 的(de)Byp¶εφass程序,将Bypass關閉,這(zhè)樣可✘© (kě)以應用(yòng)程序就(jiù)可(kπ•εě)以發揮作(zuò)用(yòng)了(le)。在整個(gè)啓動過程中,幾乎不(bù)會(huì)造成網絡的(de)斷開ε&§λ(kāi)。
三、 Bypass實現(xiàn)的(de)原理(lǐ)分(fē↕↑n)析
1、 硬件(jiàn)層面
在硬件(jiàn)層面上(shàng),要(yào)實現(xiàn)₽βσBypass,主要(yào)使用(yòng)×δ©的(de)就(jiù)是(shì)繼電(di" àn)器(qì)。這(zhè)些(xiēσ↕)繼電(diàn)器(qì)主要(yào)連接兩↕Ω≈÷個(gè)Bypass網口的(de)各個(gè)網口✘≤↑信号線上(shàng),下(xià)圖以其中一(yī)根信号線←Ω來(lái)說(shuō)明(míng)繼電(diàn)器(qì)βσΩ在其中的(de)工(gōng)作(zuò)方式。
以電(diàn)源觸發為(wèi)例,當π®↕斷電(diàn)的(de)情況下(xià),繼電(diàn)器(©∏→$qì)內(nèi)的(de)開(kāi)關将會(hu₽↓≥φì)跳(tiào)撥到(dào)1的(de)狀态,即将LAN 1 的(de)R₩¥♠J45接口上(shàng)的(de)Rx直接和(hé)LAN2 的(de♣≥)RJ45 Tx 導通(tōng),而當設備上(π$≤shàng)電(diàn)以後,開(kāi)關就(jiù)會(huì)導通(t ↑✘δōng)到(dào)2上(shàng),這(zhè)樣如(rú)果要(y±₩★ào)使LAN1和(hé)LAN2 上(shàng)§ 的(de)網絡間(jiān)通(tōng)訊,就∞δ(jiù)需要(yào)通(tōng)過這(zhè)台設備上(shàng)↑ε₩的(de)應用(yòng)程序來(lái)實現(xiàn)了(le)。
2、 軟件(jiàn)層面
之前在Bypass的(de)分(fēn)類中談到(dào)了(le)↕αGPIO和(hé)Watchdog兩種方式來(lái)控制(zhì)、π₹觸發Bypass,實際上(shàng)這(zhè)<↓兩種方式都(dōu)是(shì)對(duì®♥) GPIO作(zuò)操作(zuò),然後由GPIO來(lái)控制(zh>≈★πì)硬件(jiàn)上(shàng)的(de)繼電(diàn)器(qì)作(zuò)相(xiàng)應的(de)≈"₽跳(tiào)轉。具體(tǐ)一(yī)點,就(λ©γγjiù)是(shì)相(xiàng)應的(de)GPIO如(rú)←≤✘果被置成高(gāo)電(diàn)平,那(nà)麽繼電(diàn)器(qì•÷×→)就(jiù)相(xiàng)應的(de)跳(tiào)轉到(dào)ασ£位置1,相(xiàng)反如(rú)果GPIO杯置成了(l☆δe)低(dī)電(diàn)平,則繼電(diàn)器(qì)就(≥δ¶jiù)跳(tiào)轉到(dào)位置2。
對(duì)于Watchdog Bypass,實πγ>際上(shàng)是(shì)在上(shàng)面的(±de)GPIO控制(zhì)的(de)基礎上(shàng<♠₹Ω),增加Watchdog控制(zhì)Bypass。首先在BIOS中設☆✘&£定watchdog生(shēng)效後執行(xíng)動作(zu±γ¶♦ò)為(wèi)bypass,系統激活Wa♦φtchdog功能(néng),則在Watchdog生(←¶shēng)效後,會(huì)将相(xiàng)對(d¶∏₹uì)應的(de)網口Bypass打開(kāi),使設備☆≠>呈現(xiàn)為(wèi)Bypass狀态。實際是(shì)這(zhè)種 λ↑γBypass,也(yě)是(shì)通(tōng)過GPIO來(lái)✔✘控制(zhì)Bypass的(de),隻不(b$∑✔₹ù)過這(zhè)種情況下(xià),向GP×←IO寫入低(dī)電(diàn)平的(de)工(gōng)作(z¥ uò)由Watchdog來(lái)執行(xíng),不(↑¥bù)需要(yào)另外(wài)編程來(lái)寫 GPI★ ♠♣O。
铵泰克網絡安全硬件(jiàn)平台全系列支持第三代網口bypass,支₹ ←∞持自(zì)動切換和(hé)人(rén)工(gōng)軟件(jiàn)切換 <↓方式,可(kě)自(zì)定義切換臨界選≤∏÷擇點,能(néng)很(hěn)好(hǎo)的(de®↕∞)保證數(shù)據傳輸速率,操作(zuò)更方便、智能>¶≤€(néng),能(néng)很(hěn)&×"γ好(hǎo)的(de)保證網絡連續性需。€"