跳至主要内容

【转】网络安全设备Bypass功能介绍及分析

网络安全平台厂商往往需要用到一项比较特殊的技术,那就是Bypass,那么到底什么是Bypass呢,Bypass设备又是如何来实现的?下面我就对Bypass技术做一下简单的介绍和说明。

一、 什么是Bypass。
  大家知道,网络安全设备一般都是应用在两个或更多的网络之间,比如内网和外网之间,网络安全设备内的应用程序会对通过他的网络封包来进行分析,以判断是否有威胁存在,处理完后再按照一定的路由规则将封包转发出去,而如果这台网络安全设备出现了故障,比如断电或死机后,那连接这台设备上所以网段也就彼此失去联系了,这个时候如果要求各个网络彼此还需要处于连通状态,那么就必须Bypass出面了。

  Bypas顾名思义,就是旁路功能,也就是说可以通过特定的触发状态(断电或死机)让两个网络不通过网络安全设备的系统,而直接物理上导通。所以有了Bypass后,当网络安全设备故障以后,还可以让连接在这台设备上的网络相互导通,当然这个时候这台网络设备也就不会再对网络中的封包做处理了。

  下面一个图示说明了Bypass的方式。左边是正常状态下,两个网络的封包都经过应用软件处理后再传播。右边是设备处于Bypass后,设备的应用程序已经不再对网络封包处理了。


 
二、 Bypass分类即应用方式:

  Bypass一般按照控制方式或者称为触发方式来分,可以分为以下几个方式

  1、 通过电源触发。这种方式下,一般是在设备没有通电的情况下,Bypass功能打开,如果设备一旦通电后,Bypass立即调整为关闭状态。
  2、 由GPIO来控制。在进入OS后,可以通过GPIO来对特定的端口操作,从而实现对Bypass开关的控制。
  3、 由Watchdog来控制。这种情况实际是对方式2的一种延伸应用,可以通过Watchdog来控制GPIO Bypass程序的启用与关闭,从而实现对Bypass状态的控制。使用这种方式后,平台如果死机就可以由Watchdog来打开Bypass。
在实际的应用中,这3种状态往往是同时存在的,尤其是1和2两种方式。

  下图是研华FWA-3140系列的Bypass状态说明,大家可以参考一下。


  
  在实际的应用中,这3种状态往往是同时存在的,尤其是1和2两种方式。一般的应用方法为:在断电的情况下,设备处于Bypass打开状态,然后设备上电后,由于BIOS可以对Bypass作操作,所以在BIOS接管设备后,Bypass仍然处于打开状态,然后OS启动,当OS启动后,一般会执行GPIO的Bypass程序,将Bypass关闭,这样可以应用程序就可以发挥作用了。也就是说在整个启动过程中,几乎不会造成网络的断开。只有在设备刚刚上电到BIOS接管这短短的2-3秒钟的时间会使网络断开。关于更具体的应用,大家可以参考一下下面这篇文章,这篇文章是以研华FWA-3140为例,做的一个应用,地址为:http://www.panabit.com/document/panabit_bypass.html

三、 Bypass实现的原理分析

  上面简单说明了一下Bypass的控制方式,下面针对Bypass工作原理作一下简要的说明,主要从硬件和软件两个层面来分析。以研华的FWA-3140系列产品为研究对象

  1、 硬件层面。
  在硬件层面上,要实现Bypass,主要使用的就是继电器。这些继电器主要连接两个Bypass网口的各个网口信号线上,下图以其中一根信号线来说明继电器在其中的工作方式。以电源触发为例,当断电的情况下,继电器内的开关将会跳拨到1的状态,即将LAN 1 的RJ45接口上的Rx直接和LAN2 的RJ45 Tx 导通,而当设备上电以后,开关就会导通到2上,这样如果要使LAN1和LAN2 上的网络间通讯,就需要通过这台设备上的应用程序来实现了。 



  2、 软件层面。
  之前在Bypass的分类中谈到了GPIO和Watchdog两种方式来控制、触发Bypass,实际上这两种方式都是对GPIO作操作,然后由GPIO来控制硬件上的继电器作相应的跳转。具体一点,就是相应的GPIO如果被置成高电平,那么继电器就相应的跳转到位置1,相反如果GPIO杯置成了低电平,则继电器就跳转到位置2。以研华FWA-3140为例,下图说明了FWA-3140的GPIO所控制的方式。
  


  以上图为例,如果对GPIO27 的Bit3 写入"0"或"1",就可以对LAN 1/2 所组成的Bypass进行开关的控制,同理如果操作对象为GPIO 28 ,则可以实现对LAN3/4 Bypass的控制。
在DOS下可以用如下的Debug程序来才测试Bypass的控制方法和状态。


  有了上面的实例,就可以完全实现由软件来控制Bypass的状态了。

    另外对于Watchdog Bypass,实际上是在上面的GPIO控制的基础上,增加Watchdog控制Bypass。首先系统激活Watchdog功能,传统上,当Watchdog生效后,系统会Reset ,但如果你使用了Watchdog Bypass功能,则在Watchdog生效后,系统不会Reset,而是将相对应的网口Bypass打开,使设备呈现为Bypass状态。实际是这种Bypass,也是通过GPIO来控制Bypass的,只不过这种情况下,向GPIO写入低电平的工作由Watchdog来执行,不需要另外编程来写GPIO。值得注意的事,如果你使用了Watchdog Bypass,则Watchdog将不能再实现让系统Reset了。以研华FWA-3140为例,FWA-3140在主板上,会有一个3PIN的跳线,如果跳成1-2则Watchdog实现传统的Reset动作,如果将跳线设定为2-3,那么就会选择到Watchdog Bypass功能,这种情况下如果Watchdog生效后,系统就会打开Bypass功能。

评论

发表评论

此博客中的热门博文

【转】AMBA、AHB、APB总线简介

AMBA 简介 随着深亚微米工艺技术日益成熟,集成电路芯片的规模越来越大。数字IC从基于时序驱动的设计方法,发展到基于IP复用的设计方法,并在SOC设计中得到了广泛应用。在基于IP复用的SoC设计中,片上总线设计是最关键的问题。为此,业界出现了很多片上总线标准。其中,由ARM公司推出的AMBA片上总线受到了广大IP开发商和SoC系统集成者的青睐,已成为一种流行的工业标准片上结构。AMBA规范主要包括了AHB(Advanced High performance Bus)系统总线和APB(Advanced Peripheral Bus)外围总线。   AMBA 片上总线        AMBA 2.0 规范包括四个部分:AHB、ASB、APB和Test Methodology。AHB的相互连接采用了传统的带有主模块和从模块的共享总线,接口与互连功能分离,这对芯片上模块之间的互连具有重要意义。AMBA已不仅是一种总线,更是一种带有接口模块的互连体系。下面将简要介绍比较重要的AHB和APB总线。 基于 AMBA 的片上系统        一个典型的基于AMBA总线的系统框图如图3所示。        大多数挂在总线上的模块(包括处理器)只是单一属性的功能模块:主模块或者从模块。主模块是向从模块发出读写操作的模块,如CPU,DSP等;从模块是接受命令并做出反应的模块,如片上的RAM,AHB/APB 桥等。另外,还有一些模块同时具有两种属性,例如直接存储器存取(DMA)在被编程时是从模块,但在系统读传输数据时必须是主模块。如果总线上存在多个主模块,就需要仲裁器来决定如何控制各种主模块对总线的访问。虽然仲裁规范是AMBA总线规范中的一部分,但具体使用的算法由RTL设计工程师决定,其中两个最常用的算法是固定优先级算法和循环制算法。AHB总线上最多可以有16个主模块和任意多个从模块,如果主模块数目大于16,则需再加一层结构(具体参阅ARM公司推出的Multi-layer AHB规范)。APB 桥既是APB总线上唯一的主模块,也是AHB系统总线上的从模块。其主要功能是锁存来自AHB系统总...
发表评论
阅读全文

【转】select问题

问: 该串口初始化如下 ioctl(comm2Fd,FIOBAUDRATE,9600) ioctl(comm2Fd,FIOSETOPTIONS,OPT_RAW) 使用如下 FD_ZERO   (&readFds); FD_SET   (comm2Fd,   &readFds);   width   =   comm2Fd   +   1; FD_ISSET   (comm2Fd,   &readFds); FOREVER { if(timeoutvalue==0) { printf("\nselect   start!\n"); selectnum   =   select   (width,   &readFds,   NULL,   NULL,   NULL); printf("\nselect   over!\n"); }                                 ........... } 现在的状况是程序跑一段时间后会死机或这个串口通讯任务死掉,每次死机都是"select   start!"打印出来,而"select   over!"打印不出来,在仅这个串口通讯任务死掉的情况下,用comm1Fd超级终端登陆,查询任务状态,会发现tExcTask任务居然处于挂起状态??? 哪位大哥帮忙分析一下或给予一点提示,小弟不胜感激!! 答: sele...
发表评论
阅读全文

搞笑

1.55岁的周润发宣布死后将捐出99%的财产,什么都不想带走。作家顾晓军评论道:千万不要捐到大陆来,不要害了无辜的官员。 2.发改委成立至今只做过两件事:1)涨价,2)替涨价辩护。 3.目前中国有效的反腐手段有:1夫妻反目;2家中被盗;3情人举报;4狗咬狗,5站错队 4.国外奶粉热销中国的原因:1没有三聚氰胺;2如果有,可以索赔巨款;3如果索赔不成,不会坐牢 5.1955年中国的人均收入是韩国的3.2倍,日本的1.1倍。但经过50多年翻天覆地的增长,2008年中国的人均收入是日本的3%,韩国7%,但韩国、日本从来没宣布自己经济怎么翻番,只有中国是天天说自己翻了很多番。 6.中国人固有一死,或死于地沟油,或死于石灰面粉,或死于结石奶粉,或死于毒疫苗,或死于危房,或死于拆迁,或死于躲猫猫,或死于日记,或死于酒色,或死于车轮下,或死于被自杀……死并不可怕,可怕的是你根本不知道自己是怎么死的! 7.中国不一定是和邻国土地争端最多的国家,但肯定是和本国公民土地争端最多的国家。 8.在谈所谓大国崛起之时,请扪心自问:你的收入崛起没有、你的住房面积崛起没有、你的护照免签国家数量崛起没有、你的食品安全崛起没有、你的医保社保崛起,你的国防力量增强了没有...如果都没有,那么大国再崛起关你P事。 9.日本人冈本真夜1997年的一首歌无耻地抄袭了我们2010年世博会的会歌,太可恶了!!? 10.什么是奇迹?我建了一座豆腐渣大楼,然后雇了150个短工装修,很多人说这房子容易塌,我充耳不闻。结果「哗啦」的塌了,把他们埋在废墟里整整八天八夜,我找人挖开塌坍时,有一百多人活着。这是个奇迹,更奇迹的是我他妈不但无罪,表彰会上我还成了救人的大英雄! 11.统计局宣布:中国城市人均月收入已突破9000人民币大关。拖祖国后腿的请自觉转发。 看到这个消息我不禁黯然神伤,仔细算算,我何止才拖了祖国的大腿,我都扒到祖国的臀部了,对不起,祖国---我是否扯到你的蛋了!! 
发表评论
阅读全文