七大角度带你彻底看懂Bypass
2022-06-17 10:28:00   来源: 李延钰 威努特工控安全   评论:0 点击:

 
Bypass作为网关类工控安全产品的必备功能,一直以来因其应用广泛被安全圈所熟知,然而我们对Bypass背后那些事儿也许并不是很了解。Bypass的定义是什么?有什么价值?是怎么触发的?工作原理到底是什么?工业防火墙与传统防火墙的Bypass硬件配置有什么不同?Bypass状态应该在什么时机切换?影响Bypass切换时间的因素有哪些?本文将从七个角度,带各位一步步走近Bypass,对以上问题逐一给出答案。
 
 
 
 

角度1:Bypass的定义

 
 
 
网关类网络安全设备一般应用在两个或更多的网络之间,安全程序会对通过它的网络报文进行分析,以判断是否有威胁存在,处理完后再按照一定的规则将报文转发出去,而如果这台网络安全设备出现了故障,比如断电或死机后,那连接在这台设备上的所有网络也就彼此失去联系了,在工业场景中,网络中断可能引发重大生产安全事故,边界安全设备发生故障时必须要保证各个网络彼此处于连通状态,此时就必须Bypass出面了。

 

当上层应用工作异常时,业务流量绕开上层应用,Bypass导通一对网口

 
 
 
 

角度3:Bypass的工作原理

和触发方式

 
 
 
  •  

名词解释


 

GPIO意为通用输入/输出端口,用户可以通过GPIO口和硬件进行数据交互,控制硬件工作。

    名词解释

     


     
    继电器可以简单理解为一个单刀双掷开关,通过处理器上的GPIO输出高低电平对继电器进行控制,使信号电流经过不同的通路。
     
     

     

     
     
     

    威努特工业防火墙全电口支持Bypass

     
    • 断电状态下防火墙Bypass默认开启;
    • 设备上电后,在操作系统启动之前,上层应用都不能处理转发流量,此时需要通过硬件设计维持Bypass开启状态,直到操作系统完全启动;
    • 操作系统启动后,上层应用运行正常,此时软件开始接管业务流量,Bypass关闭;
    • 威努特工业防火墙上层应用分为业务应用与监控应用。业务应用的运行情况由软件看门狗监控,若软件看门狗超时,说明业务应用发生故障,监控应用将会重启业务应用,在此过程中,业务面无法处理数据流,系统将自动启用Bypass来保障流量的正常转发;
    • 业务应用重启恢复正常后,系统将自动关闭Bypass,此时业务应用将接管数据流,安全能力继续生效;
    • 监控应用的运行情况由硬件看门狗监控,若硬件看门狗超时,说明监控应用故障,此时硬件看门狗将会复位整机,在此过程中安全设备无法处理数据流,系统将自动启用Bypass来保障流量的正常转发;
    • 整机复位后,上层应用恢复正常,系统自动关闭Bypass,安全能力继续生效。
    在Bypass触发的全流程中,可以看出威努特工业防火墙Bypass实现方式可以保证产品在整个工作过程中,业务流量都能正常转发,保障工业现场的业务不中断。

    威努特工业防火墙Bypass切换时机流程图

     
     
     
     

    角度7:影响Bypass切换时间的因素

     
     

     

     

    软件看门狗超时,说明业务应用处理数据包的能力异常,正常情况下威努特工业防火墙的数据包处理时间小于100µs,而软件看门狗的超时时间在秒级,若一个数据包的处理时间达到秒级,说明数据包处理模块出现异常,需要切换Bypass。

    这里需要特别注意的是,软件看门狗的超时时间一般不算进Bypass总切换时间里,原因是威努特工业防火墙采用多核并行处理数据包的模式,其中任何一个核心的软件看门狗超时,都会触发Bypass,只有在全部核心都发生故障的极端情况下,软件看门狗的超时时间才计算进Bypass总切换时间。

    硬件看门狗由监控应用进行喂狗操作,不参与数据包处理过程,所以硬件看门狗超时时间也不计算进Bypass总切换时间内。

     

    因素2:继电器物理切换时间

     

     

    继电器状态切换时,会导致两端端口短暂down掉,根据802.3协议,两端端口需要先协商成up状态,通信才能恢复。物理链路重新协商时间与防火墙两端的网络设备配置有较大关系,下表是交换机不同网络配置下,实测的端口间协商时间和Bypass切换时间数据:

    测试组网拓扑图

     

    100ms/次ping包,丢包32个,Bypass总切换时间3.2s

    从以上实测数据可看出,当交换机采用默认接口配置时,802.3协议协商端口up状态的时间在3s左右,Bypass总切换时间在3.2s左右;若开启生成树协议或其他影响网络设备之间协商时间的协议,Bypass总切换时间会更长。

    经过以上分析,可以得知影响Bypass切换时间的因素有三个:软、硬件看门狗超时时间、继电器物理切换时间和物理链路重新协商时间。

    其中因素1、2是工业防火墙切换Bypass状态的时间,一般在10ms以内,因素3是防火墙两端网络设备的物理链路重新协商时间,一般在3s左右。根据以上理论分析和实测数据可以得出结论,一般情况下工业防火墙的Bypass总切换时间≈3s。

     

     
     
     
     

      结语  

     
     
     
     
     

     引文 

     
     
     
    Bypass是可以通过特定的触发状态,让两个网络不通过网络安全设备的系统,而直接在物理上导通。
     
     
     
     

    角度2:Bypass的价值和意义

     
     
     

    当上层应用工作正常时,业务流量经过上层应用,Bypass处于关闭状态

    图片
     
    Bypass功能通过在安全设备故障时直接导通一对网口,来保障业务网络的高可用性,其硬件底层通过继电器来实现。继电器连通一对网口的上下行两根信号线,由于RJ45以太网口由8根信号线构成,一般来说一对千兆网口的Bypass需要8个继电器实现。值得注意的是,当Bypass开启时,由于业务流量不再被上层应用分析,安全设备的安全能力将不会生效。
    触发Bypass本质上是控制继电器的通断,一般来说触发Bypass有三种方式。
    • 通过电源触发:设备未通电的状态下,Bypass功能默认开启,设备通电后,在操作系统完全启动之前,上层应用不具备处理转发流量的能力,故此时需要通过硬件设计维持Bypass功能开启,直到操作系统启动且上层应用运行正常;

    • 通过GPIO控制触发:操作系统启动,进入应用程序后,可通过GPIO控制继电器通断,实现对Bypass开关的触发;

     
    • 通过看门狗(Watch Dog)触发:这种方式是方式2的延伸,通过软、硬件看门狗可保障设备故障时Bypass自动切换到开启状态,保障业务流量的正常转发。

    看门狗从本质上来说是一个定时器,一般有一个输入和一个输出,其中输入叫做喂狗,输出可控制喂狗超时后的执行动作。
    继电器实物图

     

     
     
     
     

    角度4:继电器工作原理

     
     
     
    电磁继电器结构示意图
    如上图所示,电磁继电器主要由弹簧、衔铁、铁芯、电磁绕组、动断触点、动合触点构成,随GPIO输出的电平不同,继电器的两个触点接触,将信号流导通到不同通路上去。
    当GPIO输出低电位时继电器的动断触点闭合,直接导通两个网口,Bypass开启;
    当GPIO输出高电位时继电器的动合触点闭合,使流量进入处理器,Bypass关闭。

    继电器与Bypass的工作机制对应

     
     
     
     

    角度5:威努特工业防火墙和

    传统防火墙Bypass硬件配置的区别

     
     
    威努特工业防火墙采用Fail Open可靠性设计,最高配备88个继电器,全电口支持Bypass,最大程度上保障业务连续性,传统防火墙不支持或少数端口支持Bypass,对业务连续性要求不高,两种防火墙在硬件配置上差别巨大。

    图片

    图片

     

    传统防火墙无继电器,不支持Bypass

     
     
     
     

    角度6:威努特工业防火墙

    Bypass切换时机流程

     
     
      •  
        图片
         
        Bypass在切换时网络通信将会短暂断开,所以切换的时间越短越好,影响Bypass切换时间的因素可以总结为下述公式:

        Bypass总切换时间=软、硬件看门狗超时时间+继电器物理切换时间+物理链路重新协商时间

         

        因素1:软、硬件看门狗超时时间

         

         

         

        当看门狗超时后,GPIO将直接控制继电器的动断触点或动合触点闭合,这个过程速度极快,一般不会超过10ms;

        当设备硬件故障时,如设备断电的情况下,继电器由于失去电源供应,也将直接恢复到低电位状态,该过程速度也非常快,一般不会超过10ms。

         

        因素3:物理链路重新协商时间

        图片

         

        *交换机的STP功能耗时一般在30s左右

        图片
         

         

         

         

        工业防火墙作为边界上的安全设备,全端口、全时保障业务持续可用是第一要务,这是工业防火墙最基本的“操守”, 因此无论是硬件成本代价还是软件主动设计都是必不可少的投入。威努特长期专注于工控领域,洞悉工业场景的痛点,通过深度思考和自主创新设计,将产品特性做到极致,为工业客户带来最适用的产品与方案,切实保障工业场景下的网络安全。

    相关热词搜索:工业互联网安全

    上一篇:国家能源局发布《电力行业网络安全管理办法(修订征求意见稿)》
    下一篇:派拓网络:在工业4.0时代下企业如何制定完善的安全战略

    本站内容除特别声明的原创文章之外,转载内容只为传递更多信息,并不代表本网站赞同其观点。转载的所有的文章、图片、音/视频文件等资料的版权归版权所有权人所有。本站采用的非本站原创文章及图片等内容无法一一联系确认版权者。如涉及作品内容、版权和其它问题,请及时通过电子邮件或电话通知我们,以便迅速采取适当措施,避免给双方造成不必要的经济损失。联系电话:010-82306116;邮箱:aet@chinaaet.com。
    分享到: 收藏