You are here
bypass 有大用
bypass,就是可以通过特定的触发状态(断电或死机)让两个网络不通过网络安全设备的系统,而直接物理上导通,所以有了Bypass后,当网络安全设备故障以后,还可以让连接在这台设备上的网络相互导通,当然这个时候这台网络设备也就不会再对网络中的封包做处理了。
1应用方式
编辑Bypass一般按照控制方式或者称为触发方式来分,可以分为以下几个方式
1、 通过电源触发。这种方式下,一般是在设备没有通电的情况下,Bypass功能打开,如果设备一旦通电后,Bypass立即调整为关闭状态。
2、 由GPIO来控制。在进入OS后,可以通过GPIO来对特定的端口操作,从而实现对Bypass开关的控制。
3、 由Watchdog来控制。这种情况实际是对方式2的一种延伸应用,可以通过Watchdog来控制GPIO Bypass程序的启用与关闭,从而实现对Bypass状态的控制。使用这种方式后,平台如果死机就可以由Watchdog来打开Bypass。
在实际的应用中,这3种状态往往是同时存在的,尤其是1和2两种方式。
一般的应用方法为:在断电的情况下,设备处于Bypass打开状态,然后设备上电后,由于BIOS可以对Bypass作操作,所以在BIOS接管设备后,Bypass仍然处于打开状态,然后OS启动,当OS启动后,一般会执行GPIO的Bypass程序,将Bypass关闭,这样可以应用程序就可以发挥作用了。也就是说在整个启动过程中,几乎不会造成网络的断开。只有在设备刚刚上电到BIOS接管这短短的2-3秒钟的时间可能会使网络断开。
网络智能切换器的作用有:主要保护防止各类网络串接网关设备因意外失效(如硬件故障、电源故障、软件死锁等)而成为单点故障,或在这些网关设备进行升级维护时提供有利帮助,避免了因网络手工切换带来的时间延误和网络运维管理困难,成为网络高可用性运行保障不可缺少的解决方案。
2功能介绍
编辑网络安全设备一般都是应用在两个或更多的网络之间,比如内网和外网之间,网络安全设备内的应用程序会对通过他的网络封包来进行分析,以判断是否有威胁存在,处理完后再按照一定的路由规则将封包转发出去,而如果这台网络安全设备出现了故障,比如断电或死机后,那连接在这台设备上的所有网段也就彼此失去了联系,这个时候如果要求各个网络彼此还需要处于连通状态,那么就必须Bypass出面了。
软件测试过程中出现bypass code,测试未完全开发的软件时,有些功能还未完成,会产生error,通过bypass code,可以忽略及跳过这些error,从而继续其他功能的测试.
1、支持各类网关设备(如:防火墙、IDP、UTM、入侵防御系统IPS、垃圾邮件网关、防病毒网关、专用DDos设备、各领域专用逻辑隔离设备等等)的智能切换,提供标准开发接口(支持windows /Linux/BSD/Unix/Solaries等各类系统设备);
2、纯硬件切换,切换时间短、不影响数据传输速率;
3、可自定义切换临界选择点;
4、支持多种切换方式:自动切换或人工软件切换;
5、确保自身设备安全性,故障时自动直通;
6、指示灯、声音切换告警通知功能;
7、支持多接口自动切换;
8、透明模式、自身无需IP地址;
9、即插即用、不影响网络结构;
10、1U标准工业级机箱设计,平均无故障工作时间MTBF(Mean Time Between Failure)大于4万小时;
11、可应用于网关设备维护、升级、程序调试、设备测试等各阶段,避免网络短时间中断;
12、支持定制单模或多模光纤接口;
3厂家与产品
编辑Bypass在医学中的意思是“导管外科手术中用于使血液或其它体液绕过某一阻塞或病变了的器官的替换管”。如图:
例如:a gastric bypass(胃替代管)。Bypass还有“忽视、不留意”的意思。在本文中,除非特别声明,BYPASS均指带宽管理设备的模块之一,意为“旁路单元” 是指在网络设备失效 (含正常失效和非正常失效两种方式, 正常失效 例如手动切换等方式,非正常失效含义比较广,例如 硬件故障、连接数超过阈值等等,不同产品之间有很大区别。本文不再叙述)BYPASS 模块有两种应用模式 内置与外置
无论内置还是外置BYPASS ,都是为了避免单点故障而引起的网络中断,一旦这些情况出现时,BYPASS将立即启动并保证网络的畅通无阻。某些网络的中断设计要求非常苛刻,甚至是按照*分钟/年来计算的。
内置BYPASS的好处是设备体积小,部署起来方便。外置的好处是单独的设备来作为BYPASS模块 , 一般来说,外置的BYPASS 模块要求设计成无源工作模式,也就是说外置BYPASS 不需要电源供应即可正常工作,这样做的初衷是为了更好的保证稳定性和可靠性 。
我们知道,任何需要电源支持的设备都一定会损坏 , 只是时间的问题而已。看看我们身边的这些电器产品或者网络上使用的设备,几乎毫无例外的都有这个潜在隐患。
根据上面的图示,你会发现 ,外置BYPASS模式 时 ,真正接入网络的是一个无源BYPASS模块,而无源BYPASS本身提供两组接口 ,一组接网络,另外一组接主机。主机才是需要电源供应工作的。
让我们想象一下,当内置与外置两种形式的主机分别损坏的时候,网络都是畅通的。在这个阶段内置与外置还没有任何区别,但接下来,我们必须要更换损坏的设备,这时 ,问题就出现了。内置的设备因为BYPASS模块固化在设备内部,当我们更换设备的时候,就必须重新中断网络,而外置的就不需要,因为主机没有接在网络上,即使更换设备,也无需中断网络。这也是两种模式的最大区别。
一般来说,企业级的网络中断恢复要求相对比较宽松,可以接受内置BYPASS形式,但并不绝对。要根据用户的设计目标来灵活选择。
来自 https://baike.sogou.com/v7552680.htm
网络安全设备Bypass功能介绍及分析_Jim w的博客-程序员ITS201_防火墙bypass功能
一、 什么是Bypass。
网络安全设备一般都是应用在两个或更多的网络之间,比如内网和外网之间,网络安全设备内的应用程序会对通过他的网络封包来进行分析,以判断是否有威胁存在,处理完后再按照一定的路由规则将封包转发出去,而如果这台网络安全设备出现了故障,比如断电或死机后,那连接这台设备上所以网段也就彼此失去联系了,这个时候如果要求各个网络彼此还需要处于连通状态,那么就必须Bypass出面了。
Bypas顾名思义,就是旁路功能,也就是说可以通过特定的触发状态(断电或死机)让两个网络不通过网络安全设备的系统,而直接物理上导通。所以有了 Bypass后,当网络安全设备故障以后,还可以让连接在这台设备上的网络相互导通,当然这个时候这台网络设备也就不会再对网络中的封包做处理了。
二、 Bypass分类即应用方式:
Bypass一般按照控制方式或者称为触发方式来分,可以分为以下几个方式
1、 通过电源触发。这种方式下,一般是在设备没有通电的情况下,Bypass功能打开,如果设备一旦通电后,Bypass立即调整为关闭状态。
2、 由GPIO来控制。在进入OS后,可以通过GPIO来对特定的端口操作,从而实现对Bypass开关的控制。
3、 由Watchdog来控制。这种情况实际是对方式2的一种延伸应用,可以通过Watchdog来控制GPIO Bypass程序的启用与关闭,从而实现对Bypass状态的控制。使用这种方式后,平台如果死机就可以由Watchdog来打开Bypass。
在实际的应用中,这3种状态往往是同时存在的,尤其是1和2两种方式。一般的应用方法为:在断电的情况下,设备处于Bypass打开状态,然后设备上电后,由于BIOS可以对Bypass作操作,所以在BIOS接管设备后,Bypass仍然处于打开状态,然后OS启动,当OS启动后,一般会执行GPIO 的Bypass程序,将Bypass关闭,这样可以应用程序就可以发挥作用了。在整个启动过程中,几乎不会造成网络的断开。
三、 Bypass实现的原理分析
1、 硬件层面
在硬件层面上,要实现Bypass,主要使用的就是继电器。这些继电器主要连接两个Bypass网口的各个网口信号线上,下图以其中一根信号线来说明继电器在其中的工作方式。
以电源触发为例,当断电的情况下,继电器内的开关将会跳拨到1的状态,即将LAN 1 的RJ45接口上的Rx直接和LAN2 的RJ45 Tx 导通,而当设备上电以后,开关就会导通到2上,这样如果要使LAN1和LAN2 上的网络间通讯,就需要通过这台设备上的应用程序来实现了。
2、 软件层面
之前在Bypass的分类中谈到了GPIO和Watchdog两种方式来控制、触发Bypass,实际上这两种方式都是对 GPIO作操作,然后由GPIO来控制硬件上的继电器作相应的跳转。具体一点,就是相应的GPIO如果被置成高电平,那么继电器就相应的跳转到位置1,相反如果GPIO杯置成了低电平,则继电器就跳转到位置2。
对于Watchdog Bypass,实际上是在上面的GPIO控制的基础上,增加Watchdog控制Bypass。首先在BIOS中设定watchdog生效后执行动作为bypass,系统激活Watchdog功能,则在Watchdog生效后,会将相对应的网口Bypass打开,使设备呈现为Bypass状态。实际是这种 Bypass,也是通过GPIO来控制Bypass的,只不过这种情况下,向GPIO写入低电平的工作由Watchdog来执行,不需要另外编程来写 GPIO。
硬件Bypass功能已经是网络安全产品的必备功能,在设备断电,死机时能够直接将内,外两个端口物理连通,变成一根网线,这样用户的数据流量可以直接通过设备,而不受设备自身当前状态的影响。
来自 https://its201.com/article/weixin_42414349/83511073
网络安全设备Bypass功能介绍及分析
络安全平台厂商往往需要用到一项比较特殊的技术,那就是Bypass,那么到底什么是Bypass呢,Bypass设备又是如何来实现的?下面我就对Bypass技术做一下简单的介绍和说明。
一、 什么是Bypass。
大家知道,网络安全设备一般都是应用在两个或更多的网络之间,比如内网和外网之间,网络安全设备内的应用程序会对通过他的网络封包来进行分析,以判断是否有威胁存在,处理完后再按照一定的路由规则将封包转发出去,而如果这台网络安全设备出现了故障,比如断电或死机后,那连接这台设备上所以网段也就彼此失去联系了,这个时候如果要求各个网络彼此还需要处于连通状态,那么就必须Bypass出面了。
Bypas顾名思义,就是旁路功能,也就是说可以通过特定的触发状态(断电或死机)让两个网络不通过网络安全设备的系统,而直接物理上导通。所以有了 Bypass后,当网络安全设备故障以后,还可以让连接在这台设备上的网络相互导通,当然这个时候这台网络设备也就不会再对网络中的封包做处理了。
下面一个图示说明了Bypass的方式。左边是正常状态下,两个网络的封包都经过应用软件处理后再传播。右边是设备处于Bypass后,设备的应用程序已经不再对网络封包处理了。
二、 Bypass分类即应用方式:
Bypass一般按照控制方式或者称为触发方式来分,可以分为以下几个方式
1、 通过电源触发。这种方式下,一般是在设备没有通电的情况下,Bypass功能打开,如果设备一旦通电后,Bypass立即调整为关闭状态。
2、 由GPIO来控制。在进入OS后,可以通过GPIO来对特定的端口操作,从而实现对Bypass开关的控制。
3、 由Watchdog来控制。这种情况实际是对方式2的一种延伸应用,可以通过Watchdog来控制GPIO Bypass程序的启用与关闭,从而实现对Bypass状态的控制。使用这种方式后,平台如果死机就可以由Watchdog来打开Bypass。
在实际的应用中,这3种状态往往是同时存在的,尤其是1和2两种方式。
下图是研华FWA-3140系列的Bypass状态说明,大家可以参考一下。
在实际的应用中,这3种状态往往是同时存在的,尤其是1和2两种方式。一般的应用方法为:在断电的情况下,设备处于Bypass打开状态,然后设备上电后,由于BIOS可以对Bypass作操作,所以在BIOS接管设备后,Bypass仍然处于打开状态,然后OS启动,当OS启动后,一般会执行GPIO 的Bypass程序,将Bypass关闭,这样可以应用程序就可以发挥作用了。
也就是说在整个启动过程中,几乎不会造成网络的断开。只有在设备刚刚上电到 BIOS接管这短短的2-3秒钟的时间会使网络断开。关于更具体的应用,大家可以参考一下下面这篇文章,这篇文章是以研华FWA-3140为例,做的一个应用,地址为:http://www.panabit.com/document/panabit_bypass.html
三、 Bypass实现的原理分析
上面简单说明了一下Bypass的控制方式,下面针对Bypass工作原理作一下简要的说明,主要从硬件和软件两个层面来分析。以研华的FWA-3140系列产品为研究对象
1、 硬件层面。
在硬件层面上,要实现Bypass,主要使用的就是继电器。这些继电器主要连接两个Bypass网口的各个网口信号线上,下图以其中一根信号线来说明继电器在其中的工作方式。
以电源触发为例,当断电的情况下,继电器内的开关将会跳拨到1的状态,即将LAN 1 的RJ45接口上的Rx直接和LAN2 的RJ45 Tx 导通,而当设备上电以后,开关就会导通到2上,这样如果要使LAN1和LAN2 上的网络间通讯,就需要通过这台设备上的应用程序来实现了。
2、 软件层面。
之前在Bypass的分类中谈到了GPIO和Watchdog两种方式来控制、触发Bypass,实际上这两种方式都是对 GPIO作操作,然后由GPIO来控制硬件上的继电器作相应的跳转。具体一点,就是相应的GPIO如果被置成高电平,那么继电器就相应的跳转到位置1,相反如果GPIO杯置成了低电平,则继电器就跳转到位置2。以研华FWA-3140为例,下图说明了FWA-3140的GPIO所控制的方式。
以上图为例,如果对GPIO27 的Bit3 写入“0”或“1”,就可以对LAN 1/2 所组成的Bypass进行开关的控制,同理如果操作对象为GPIO 28 ,则可以实现对LAN3/4 Bypass的控制。
在DOS下可以用如下的Debug程序来才测试Bypass的控制方法和状态。
有了上面的实例,就可以完全实现由软件来控制Bypass的状态了。
另外对于Watchdog Bypass,实际上是在上面的GPIO控制的基础上,增加Watchdog控制Bypass。首先系统激活Watchdog功能,传统上,当 Watchdog生效后,系统会Reset ,但如果你使用了Watchdog Bypass功能,则在Watchdog生效后,系统不会Reset,而是将相对应的网口Bypass打开,使设备呈现为Bypass状态。实际是这种 Bypass,也是通过GPIO来控制Bypass的,只不过这种情况下,向GPIO写入低电平的工作由Watchdog来执行,不需要另外编程来写 GPIO。
值得注意的事,如果你使用了Watchdog Bypass,则Watchdog将不能再实现让系统Reset了。以研华FWA-3140为例,FWA-3140在主板上,会有一个3PIN的跳线,如果跳成1-2则Watchdog实现传统的Reset动作,如果将跳线设定为2-3,那么就会选择到Watchdog Bypass功能,这种情况下如果Watchdog生效后,系统就会打开Bypass功能。
来自 https://netsecurity.51cto.com/art/200910/159948.htm