首页 > 网信动态 > 工控安全 > 正文

七大角度带你彻底看懂Bypass
2022-06-17 10:28:00 来源：李延钰威努特工控安全评论：0 点击：

Bypass作为网关类工控安全产品的必备功能，一直以来因其应用广泛被安全圈所熟知，然而我们对Bypass背后那些事儿也许并不是很了解。Bypass的定义是什么？有什么价值？是怎么触发的？工作原理到底是什么？工业防火墙与传统防火墙的Bypass硬件配置有什么不同？Bypass状态应该在什么时机切换？影响Bypass切换时间的因素有哪些？本文将从七个角度，带各位一步步走近Bypass，对以上问题逐一给出答案。

角度1：Bypass的定义

网关类网络安全设备一般应用在两个或更多的网络之间，安全程序会对通过它的网络报文进行分析，以判断是否有威胁存在，处理完后再按照一定的规则将报文转发出去，而如果这台网络安全设备出现了故障，比如断电或死机后，那连接在这台设备上的所有网络也就彼此失去联系了，在工业场景中，网络中断可能引发重大生产安全事故，边界安全设备发生故障时必须要保证各个网络彼此处于连通状态，此时就必须Bypass出面了。

当上层应用工作异常时，业务流量绕开上层应用，Bypass导通一对网口

角度3：Bypass的工作原理

和触发方式

名词解释

GPIO意为通用输入/输出端口，用户可以通过GPIO口和硬件进行数据交互，控制硬件工作。

名词解释

继电器可以简单理解为一个单刀双掷开关，通过处理器上的GPIO输出高低电平对继电器进行控制，使信号电流经过不同的通路。

威努特工业防火墙全电口支持Bypass

断电状态下防火墙Bypass默认开启；
设备上电后，在操作系统启动之前，上层应用都不能处理转发流量，此时需要通过硬件设计维持Bypass开启状态，直到操作系统完全启动；
操作系统启动后，上层应用运行正常，此时软件开始接管业务流量，Bypass关闭；
威努特工业防火墙上层应用分为业务应用与监控应用。业务应用的运行情况由软件看门狗监控，若软件看门狗超时，说明业务应用发生故障，监控应用将会重启业务应用，在此过程中，业务面无法处理数据流，系统将自动启用Bypass来保障流量的正常转发；
业务应用重启恢复正常后，系统将自动关闭Bypass，此时业务应用将接管数据流，安全能力继续生效；
监控应用的运行情况由硬件看门狗监控，若硬件看门狗超时，说明监控应用故障，此时硬件看门狗将会复位整机，在此过程中安全设备无法处理数据流，系统将自动启用Bypass来保障流量的正常转发；
整机复位后，上层应用恢复正常，系统自动关闭Bypass，安全能力继续生效。

在Bypass触发的全流程中，可以看出威努特工业防火墙Bypass实现方式可以保证产品在整个工作过程中，业务流量都能正常转发，保障工业现场的业务不中断。

威努特工业防火墙Bypass切换时机流程图

角度7：影响Bypass切换时间的因素

软件看门狗超时，说明业务应用处理数据包的能力异常，正常情况下威努特工业防火墙的数据包处理时间小于100µs，而软件看门狗的超时时间在秒级，若一个数据包的处理时间达到秒级，说明数据包处理模块出现异常，需要切换Bypass。

这里需要特别注意的是，软件看门狗的超时时间一般不算进Bypass总切换时间里，原因是威努特工业防火墙采用多核并行处理数据包的模式，其中任何一个核心的软件看门狗超时，都会触发Bypass，只有在全部核心都发生故障的极端情况下，软件看门狗的超时时间才计算进Bypass总切换时间。

硬件看门狗由监控应用进行喂狗操作，不参与数据包处理过程，所以硬件看门狗超时时间也不计算进Bypass总切换时间内。

因素2：继电器物理切换时间

继电器状态切换时，会导致两端端口短暂down掉，根据802.3协议，两端端口需要先协商成up状态，通信才能恢复。物理链路重新协商时间与防火墙两端的网络设备配置有较大关系，下表是交换机不同网络配置下，实测的端口间协商时间和Bypass切换时间数据：

测试组网拓扑图

100ms/次ping包，丢包32个，Bypass总切换时间3.2s

从以上实测数据可看出，当交换机采用默认接口配置时，802.3协议协商端口up状态的时间在3s左右，Bypass总切换时间在3.2s左右；若开启生成树协议或其他影响网络设备之间协商时间的协议，Bypass总切换时间会更长。

经过以上分析，可以得知影响Bypass切换时间的因素有三个：软、硬件看门狗超时时间、继电器物理切换时间和物理链路重新协商时间。

其中因素1、2是工业防火墙切换Bypass状态的时间，一般在10ms以内，因素3是防火墙两端网络设备的物理链路重新协商时间，一般在3s左右。根据以上理论分析和实测数据可以得出结论，一般情况下工业防火墙的Bypass总切换时间≈3s。

结语

引文

Bypass是可以通过特定的触发状态，让两个网络不通过网络安全设备的系统，而直接在物理上导通。

角度2：Bypass的价值和意义

当上层应用工作正常时，业务流量经过上层应用，Bypass处于关闭状态

Bypass功能通过在安全设备故障时直接导通一对网口，来保障业务网络的高可用性，其硬件底层通过继电器来实现。继电器连通一对网口的上下行两根信号线，由于RJ45以太网口由8根信号线构成，一般来说一对千兆网口的Bypass需要8个继电器实现。值得注意的是，当Bypass开启时，由于业务流量不再被上层应用分析，安全设备的安全能力将不会生效。

触发Bypass本质上是控制继电器的通断，一般来说触发Bypass有三种方式。

通过电源触发：设备未通电的状态下，Bypass功能默认开启，设备通电后，在操作系统完全启动之前，上层应用不具备处理转发流量的能力，故此时需要通过硬件设计维持Bypass功能开启，直到操作系统启动且上层应用运行正常；
通过GPIO控制触发：操作系统启动，进入应用程序后，可通过GPIO控制继电器通断，实现对Bypass开关的触发；

通过看门狗(Watch Dog)触发：这种方式是方式2的延伸，通过软、硬件看门狗可保障设备故障时Bypass自动切换到开启状态，保障业务流量的正常转发。

看门狗从本质上来说是一个定时器，一般有一个输入和一个输出，其中输入叫做喂狗，输出可控制喂狗超时后的执行动作。

继电器实物图

角度4：继电器工作原理

电磁继电器结构示意图

如上图所示，电磁继电器主要由弹簧、衔铁、铁芯、电磁绕组、动断触点、动合触点构成，随GPIO输出的电平不同，继电器的两个触点接触，将信号流导通到不同通路上去。

当GPIO输出低电位时继电器的动断触点闭合，直接导通两个网口，Bypass开启；

当GPIO输出高电位时继电器的动合触点闭合，使流量进入处理器，Bypass关闭。

继电器与Bypass的工作机制对应

角度5：威努特工业防火墙和

传统防火墙Bypass硬件配置的区别

威努特工业防火墙采用Fail Open可靠性设计，最高配备88个继电器，全电口支持Bypass，最大程度上保障业务连续性，传统防火墙不支持或少数端口支持Bypass，对业务连续性要求不高，两种防火墙在硬件配置上差别巨大。

传统防火墙无继电器，不支持Bypass

角度6：威努特工业防火墙

Bypass切换时机流程

- Bypass在切换时网络通信将会短暂断开，所以切换的时间越短越好，影响Bypass切换时间的因素可以总结为下述公式：
  Bypass总切换时间=软、硬件看门狗超时时间+继电器物理切换时间+物理链路重新协商时间
  
  因素1：软、硬件看门狗超时时间
  
  当看门狗超时后，GPIO将直接控制继电器的动断触点或动合触点闭合，这个过程速度极快，一般不会超过10ms；
  当设备硬件故障时，如设备断电的情况下，继电器由于失去电源供应，也将直接恢复到低电位状态，该过程速度也非常快，一般不会超过10ms。
  
  因素3：物理链路重新协商时间
  
  *交换机的STP功能耗时一般在30s左右
  
  工业防火墙作为边界上的安全设备，全端口、全时保障业务持续可用是第一要务，这是工业防火墙最基本的“操守”，因此无论是硬件成本代价还是软件主动设计都是必不可少的投入。威努特长期专注于工控领域，洞悉工业场景的痛点，通过深度思考和自主创新设计，将产品特性做到极致，为工业客户带来最适用的产品与方案，切实保障工业场景下的网络安全。

相关热词搜索：工业互联网安全

上一篇：国家能源局发布《电力行业网络安全管理办法（修订征求意见稿）》
下一篇：派拓网络：在工业4.0时代下企业如何制定完善的安全战略

版权声明：本站内容除特别声明的原创文章之外，转载内容只为传递更多信息，并不代表本网站赞同其观点。转载的所有的文章、图片、音/视频文件等资料的版权归版权所有权人所有。本站采用的非本站原创文章及图片等内容无法一一联系确认版权者。如涉及作品内容、版权和其它问题，请及时通过电子邮件或电话通知我们，以便迅速采取适当措施，避免给双方造成不必要的经济损失。联系电话：010-82306116；邮箱：aet@chinaaet.com。

分享到：收藏

七大角度带你彻底看懂Bypass
2022-06-17 10:28:00 来源：李延钰威努特工控安全评论：0 点击：

频道总排行

频道本月排行

七大角度带你彻底看懂Bypass 2022-06-17 10:28:00 来源： 李延钰 威努特工控安全 评论：0 点击：

延伸阅读：

频道总排行

频道本月排行

七大角度带你彻底看懂Bypass
2022-06-17 10:28:00 来源：李延钰威努特工控安全评论：0 点击：