Bypass介绍

2024年4月20日发(作者：)

Bypass介绍

概述

1、

2、

Bypass 翻译成中文在业界主要有两种称法，一种是旁路单元，另一种是旁路保护的意思。

它的优点是：功能实现简单——现有的工控机，都已在以太网电口上实现了硬件Bypass功能，异

常情况下（设备掉电/重启/系统挂死等），设备会通过继电器开关自动将两个以太网端口实现物理

直连，实现报文全通。它的缺点是：①：存在安全隐患——对于UTM设备而言，防火墙是一个基

础模块，而防火墙模块的功能特点就是除非用户配置，否则默认阻断。而Bypass模式下，最基础

的防火墙模块实际上已经被绕过了，任何报文都能通过网关设备，这对于安全性要求较高的用户来

说，是绝对不能接受的。②：应用范围较窄——只能在UTM设备工作在双端口透明模式下才能起

作用，多端口透明桥模式、路由模式或混合模式下，即使启用了Bypass功能也无法确保业务正常

连通。

从以上的讨论可以看出，ByPass模式更适合在专业的IPS产品上应用，因为专业IPS产品的

部署方式已经严格限定为透明模式跨接在一条或多条链路上，每一路输入严格对应到一路输出。同

时，部分刚刚进入UTM领域的厂商，在其UTM产品没有完全稳定之前，也经常采用Bypass功

能，来避免设备不稳定对用户造成的影响，同时降低自身的售后服务压力。

3、

分类

按其实现方式可以分为硬件Bypass和软件Bypass；按其应用模式分为内置Bypass和外置

Bypass。硬件Bypass主要通过跳线来选择开启，软件Bypass主要通过WatchDog或GPIO来

控制实现。Bypass测试属于可靠性测试范畴。

3、Bypass实现的原理分析

以研华的FWA-3140系列产品为研究对象

在硬件层面上，要实现Bypass，主要使用的就是继电器。这些继电器主要连接两个Bypass

网口的各个网口信号线上，下图以其中一根信号线来说明继电器在其中的工作方式。以电源触发为

例，当断电的情况下，继电器内的开关将会跳拨到1的状态，即将LAN 1 的RJ45接口上的Rx

直接和LAN2 的RJ45 Tx 导通，而当设备上电以后，开关就会导通到2上，这样如果要使LAN1

和LAN2 上的网络间通讯，就需要通过这台设备上的应用程序来实现了。

软件层面上实际就是之前在Bypass的分类中谈到了GPIO和Watchdog两种方式来控制、

触发Bypass，实际上这两种方式都是对GPIO作操作，然后由GPIO来控制硬件上的继电器作相

应的跳转。具体一点，就是相应的GPIO如果被置成高电平，那么继电器就相应的跳转到位置1，

相反如果GPIO杯置成了低电平，则继电器就跳转到位置2。以研华FWA-3140为例，下图说明

了FWA-3140的GPIO所控制的方式。