网络安全设备Bypass功能介绍及分析

一、 什么是Bypass。

      网络安全设备一般都是应用在两个或更多的网络之间，比如内网和外网之间，网络安全设备内的应用程序会对通过他的网络封包来进行分析，以判断是否有威胁存在，处理完后再按照一定的路由规则将封包转发出去，而如果这台网络安全设备出现了故障，比如断电或死机后，那连接这台设备上所以网段也就彼此失去联系了，这个时候如果要求各个网络彼此还需要处于连通状态，那么就必须Bypass出面了。

      Bypas顾名思义，就是旁路功能，也就是说可以通过特定的触发状态（断电或死机）让两个网络不通过网络安全设备的系统，直接物理上导通。所以有了 Bypass后，当网络安全设备故障以后，还可以让连接在这台设备上的网络相互导通，只是这个时候这台网络设备也就不会再对网络中的数据包做处理了。

二、 Bypass分类即应用方式：

     Bypass一般按照控制方式（触发方式）来分，可以分为以下几个方式:

1、 通过电源触发。这种方式下，可以通过BIOS分别配置，power on和power off状态，每一组bypass的状态，打开或关闭。当电源状态发生变化时，bypass会自动切换到设置的状态上。

2、 由GPIO来控制。在进入OS后，可以通过GPIO来对特定的端口操作，从而实现对Bypass开关的控制。

3、 由Watchdog来控制。这种情况实际是对方式2的一种延伸应用，可以通过Watchdog来控制GPIO Bypass程序的启用与关闭，从而实现对Bypass状态的控制。使用这种方式后，配合软件喂狗，可以实现在硬件死机的时候，通过Watchdog来打开Bypass。

     在实际的应用中，这3种状态往往是同时存在的，尤其是1和2两种方式。一般的应用方法为：在断电的情况下，设备处于Bypass打开状态，然后设备上电后，由于BIOS可以对Bypass作操作，所以在BIOS接管设备后，Bypass仍然处于打开状态，然后OS启动，当OS启动后，一般会执行GPIO 的Bypass程序，将Bypass关闭，这样可以应用程序就可以发挥作用。在整个启动过程中，几乎不会造成网络的断开。

三、 Bypass实现的原理分析

1、 硬件层面---电口实现

    在硬件层面上，电口要实现Bypass，主要使用的就是继电器。这些继电器主要连接在两个Bypass网口的各个网口信号线上，下图以其中一根信号线来说明继电器在其中的工作方式。

     以电源触发为例，当断电的情况下（bypass打开），继电器内的开关将会跳拨到1的状态，即将LAN 1 的RJ45接口上的Rx直接和LAN2 的RJ45 Tx 导通，此时LAN1与LAN2直接相当于网线直接连接，对性能无影响。而当设备上电以后（bypass关闭），开关就会导通到2上，数据传输到网卡进行处理/转发。

2、硬件层面---光口实现

     光口要实现Bypass，主要使用的是光开关。原理与电口基本类似，参考下图，正常模式下信号走绿色通道，bypass模式下光信号走红色通道。

3、软件层面

     之前在Bypass的分类中谈到了GPIO和Watchdog两种方式来控制、触发Bypass，实际上这两种方式都是对 GPIO作操作，然后由GPIO来控制硬件上的继电器作相应的跳转。具体一点，就是相应的GPIO如果被置成高电平，那么继电器就相应的跳转到位置1，相反如果GPIO杯置成了低电平，则继电器就跳转到位置2。  

     对于Watchdog Bypass，实际上是在上面的GPIO控制的基础上，增加Watchdog控制Bypass。首先在BIOS中设定watchdog生效后执行动作为bypass,系统激活Watchdog功能，则在Watchdog生效后，会将相对应的网口Bypass打开，使设备呈现为Bypass状态。实际是这种 Bypass，也是通过GPIO来控制Bypass的，只不过这种情况下，向GPIO写入低电平的工作由Watchdog来执行，不需要另外编程来写 GPIO。

    硬件Bypass功能已经是网络安全产品的必备功能，在设备断电，死机时能够直接将两个网络端口物理连通，变成一根网线，这样用户的数据流量可以直接通过设备，而不受设备自身当前状态的影响。