[转]网络安全设备Bypass功能介绍及分析 - [网络编程]
版权声明:转载时请以超链接形式标明文章原始出处和作者信息及本声明
http://chenzhuoyou.blogbus.com/logs/35484267.html
网络安全平台厂商往往需要用到一项比较特殊的技术,那就是Bypass,那么到底什么是Bypass呢,Bypass设备又是如何来实现的?下面我就对Bypass技术做一下简单的介绍和说明。
一、 什么是Bypass。
大家知道,网络安全设备一般都是应用在两个或更多的网络之间,比如内网和外网之间,网络安全设备内的应用程序会对通过他的网络封包来进行分析,以判断是否有威胁存在,处理完后再按照一定的路由规则将封包转发出去,而如果这台网络安全设备出现了故障,比如断电或死机后,那连接这台设备上所以网段也就彼此失去联系了,这个时候如果要求各个网络彼此还需要处于连通状态,那么就必须Bypass出面了。
Bypas顾名思义,就是旁路功能,也就是说可以通过特定的触发状态(断电或死机)让两个网络不通过网络安全设备的系统,而直接物理上导通。所以有了 Bypass后,当网络安全设备故障以后,还可以让连接在这台设备上的网络相互导通,当然这个时候这台网络设备也就不会再对网络中的封包做处理了。
下面一个图示说明了Bypass的方式。左边是正常状态下,两个网络的封包都经过应用软件处理后再传播。右边是设备处于Bypass后,设备的应用程序已经不再对网络封包处理了。
二、 Bypass分类即应用方式:
Bypass一般按照控制方式或者称为触发方式来分,可以分为以下几个方式
1、 通过电源触发。这种方式下,一般是在设备没有通电的情况下,Bypass功能打开,如果设备一旦通电后,Bypass立即调整为关闭状态。
2、 由GPIO来控制。在进入OS后,可以通过GPIO来对特定的端口操作,从而实现对Bypass开关的控制。
3、 由Watchdog来控制。这种情况实际是对方式2的一种延伸应用,可以通过Watchdog来控制GPIO Bypass程序的启用与关闭,从而实现对Bypass状态的控制。使用这种方式后,平台如果死机就可以由Watchdog来打开Bypass。
在实际的应用中,这3种状态往往是同时存在的,尤其是1和2两种方式。
下图是研华FWA-3140系列的Bypass状态说明,大家可以参考一下。
在实际的应用中,这3种状态往往是同时存在的,尤其是1和2两种方式。一般的应用方法为:在断电的情况下,设备处于Bypass打开状态,然后设备上电后,由于BIOS可以对Bypass作操作,所以在BIOS接管设备后,Bypass仍然处于打开状态,然后OS启动,当OS启动后,一般会执行GPIO 的Bypass程序,将Bypass关闭,这样可以应用程序就可以发挥作用了。也就是说在整个启动过程中,几乎不会造成网络的断开。只有在设备刚刚上电到 BIOS接管这短短的2-3秒钟的时间会使网络断开。关于更具体的应用,大家可以参考一下下面这篇文章,这篇文章是以研华FWA-3140为例,做的一个应用,地址为:http://www.panabit.com/document/panabit_bypass.html
三、 Bypass实现的原理分析
上面简单说明了一下Bypass的控制方式,下面针对Bypass工作原理作一下简要的说明,主要从硬件和软件两个层面来分析。以研华的FWA-3140系列产品为研究对象
1、 硬件层面。
在硬件层面上,要实现Bypass,主要使用的就是继电器。这些继电器主要连接两个Bypass网口的各个网口信号线上,下图以其中一根信号线来说明继电器在其中的工作方式。以电源触发为例,当断电的情况下,继电器内的开关将会跳拨到1的状态,即将LAN 1 的RJ45接口上的Rx直接和LAN2 的RJ45 Tx 导通,而当设备上电以后,开关就会导通到2上,这样如果要使LAN1和LAN2 上的网络间通讯,就需要通过这台设备上的应用程序来实现了。
2、 软件层面。
之前在Bypass的分类中谈到了GPIO和Watchdog两种方式来控制、触发Bypass,实际上这两种方式都是对 GPIO作操作,然后由GPIO来控制硬件上的继电器作相应的跳转。具体一点,就是相应的GPIO如果被置成高电平,那么继电器就相应的跳转到位置1,相反如果GPIO杯置成了低电平,则继电器就跳转到位置2。以研华FWA-3140为例,下图说明了FWA-3140的GPIO所控制的方式。
以上图为例,如果对GPIO27 的Bit3 写入“0”或“1”,就可以对LAN 1/2 所组成的Bypass进行开关的控制,同理如果操作对象为GPIO 28 ,则可以实现对LAN3/4 Bypass的控制。
在DOS下可以用如下的Debug程序来才测试Bypass的控制方法和状态。
有了上面的实例,就可以完全实现由软件来控制Bypass的状态了。
另外对于Watchdog Bypass,实际上是在上面的GPIO控制的基础上,增加Watchdog控制Bypass。首先系统激活Watchdog功能,传统上,当 Watchdog生效后,系统会Reset ,但如果你使用了Watchdog Bypass功能,则在Watchdog生效后,系统不会Reset,而是将相对应的网口Bypass打开,使设备呈现为Bypass状态。实际是这种 Bypass,也是通过GPIO来控制Bypass的,只不过这种情况下,向GPIO写入低电平的工作由Watchdog来执行,不需要另外编程来写 GPIO。值得注意的事,如果你使用了Watchdog Bypass,则Watchdog将不能再实现让系统Reset了。以研华FWA-3140为例,FWA-3140在主板上,会有一个3PIN的跳线,如果跳成1-2则Watchdog实现传统的Reset动作,如果将跳线设定为2-3,那么就会选择到Watchdog Bypass功能,这种情况下如果Watchdog生效后,系统就会打开Bypass功能。
引用链接:http://www.youxia.org/2008/10/Bypass-JieShao.html
转载于:https://blog.51cto.com/qingsto/765059
[转]网络安全设备Bypass功能介绍及分析 - [网络编程]相关推荐
- 一口气说完网络安全设备的功能和作用
防火墙 防火墙,是在不同网络(如可信任的内部网络和不可信任的公共外部网络)或同一网络的不同安全域之间建立一个安全控制点,通过允许.拒绝或重新定向经过防火墙的数据流,实现对进.出内部网络的服务和访问的审 ...
- [智能座舱]小鹏G9语音新功能介绍与分析
自从2020年小鹏P7上市后,其搭载的全场景语音交互系统就成为车载语音交互产品的标杆.小鹏G9发布也带来了语音系统的升级.因为目前市面上还没办法体验到最新的系统,本文根据B站的体验视频,对小鹏G9上的 ...
- 常见的网络安全设备及功能汇总
态势感知与安全运营平台 态势感知与安全运营平台以大数据平台为基础,通过收集多元. 异构的海量日志,利用关联分析.机器学习.威胁情报等技术,帮助 企业持续监测网络安全态势,实现从被动防御向积极防御的进阶 ...
- ACRA功能介绍与分析
ACRA概述 介绍 在Android开源库和开源项目一文中,介绍了不少开源项目.其中ACRA是一个Android平台程序崩溃信息收集的开源库,用于嵌入到Android Project中,当该程序崩溃的 ...
- 【湃哒星说安全】后渗透协同平台 Cobalt Strike 常用功能介绍与分析
0x00 背景 在开展渗透测试项目时,渗透测试工程师会使用大量的渗透测试框架以及工具,如Cobalt Strike.它提供了灵活性强.可用性高.可高度定制的攻击开发和执行环境,同时其具备端口扫描和木马 ...
- TCP介绍及TCP网络编程
一.TCP头部结构: ①16位端口号及16位目的端口号:告知主机该报文段来自哪里(源端口)要传给那个上层协议或应用程序(目的端口). ②32位序号:一次TCP通信过程中某一个传输方向上的字节流的每个字 ...
- 网络安全工程师的简单介绍
网络安全工程师的细分方向: 专门做渗透测试 专门做安全分析 专门做威胁分析 专门做取证 专门做维护,加固之类的 总体来说,网络安全工程师主要工作:1.分析网络现状 2.出现网络攻击或者安全事件的时候 ...
- python php 全双工,Python网络编程之使用select实现socket全双工异步通信功能
这篇文章主要介绍了Python网络编程使用select实现socket全双工异步通信功能,在这里分享给大家,有需要的朋友可以参考下 本文实例讲述了Python网络编程使用select实现socket全 ...
- 医院三级综合医院网络安全设备介绍
导语 根据2018年4月国家卫生健康委员会规划与信息司.国家卫生健康委员会统计信息中心所颁布的<全国医院信息化建设标准(试行)>中的各项条例,各等级的医院应当部署完善的信息化基础设备. 其 ...
- 【网络安全】常见的网路安全设备及功能作用总结
常见的网路安全设备及功能作用总结 一. WAF 应用防火墙 二.IDS 入侵检测系统: 三.IPS 入侵防御系统(入侵检测+入侵防御) 四.SOC 安全运营中心 五.SIEM 信息安全和事件管理 六. ...
最新文章
- 【转】卡尔曼滤波算法详细推导(相当值得一看)
- java单元测试总结
- 无重复字符的最长子串—leetcode3
- 机器学习实战(十)利用K-means算法对未标注数据分组
- 利用Jackson的JsonFilter来实现动态过滤数据列(数据列权限控制)
- php无法连接mysql(selinux)
- 关于用C#编写ActiveX控件1
- 追求--MarsCoara
- 网络连接正常,IE不能打开网页的全面解决方法
- bandgap带隙基准电路设计,cadence,
- 常用贴片器件正负极区分
- 暗影精灵6触摸板驱动安装
- SpringBoot 中dependencies飘红
- esp分区中的EFI启动项文件有什么用
- Cesium|xt3d加载中国地形
- 百度索引是什么如何增加索引
- 使用单链表来判断字符串是否为回文字符串
- [数仓笔记]数据建模
- ps提示:不能完成“视频帧到图层”命令,因为DynamicLink不可用
- Linux目录和文件管理