网络安全平台厂商往往要使用到一项比较特殊的技术，那就是Bypass，那么到底什么是Bypass呢，Bypass设备又是如何来实现的？下面我就对Bypass技术做一下简单的介绍和说明。

  大家知道，网络安全设备一般都是应用在两个或更多的网络之间，比如内网和外网之间，网络安全设备内的应用程序会对通过他的网络封包来做多元化的分析，以判断是否有威胁存在，处理完后再按照一定的路由规则将封包转发出去，而如果这台网络安全设备出现了故障，比如断电或死机后，那连接这台设备上所以网段也就彼此失去联系了，这样一个时间段如果要求各个网络彼此还需要处于连通状态，那么就必须Bypass出面了。

  Bypas顾名思义，就是旁路功能，也就是说能够最终靠特定的触发状态（断电或死机）让两个网络不通过网络安全设备的系统，而直接物理上导通。所以有了 Bypass后，当网络安全设备故障以后，还可以让连接在这台设备上的网络相互导通，当然这样一个时间段这台网络设备也就不会再对网络中的封包做处理了。

  下面一个图示说明了Bypass的方式。左边是正常状态下，两个网络的封包都经过应用软件处理后再传播。右边是设备处于Bypass后，设备的应用程序已不再对网络封包处理了。

  1、 通过电源触发。这种方式下，一般是在设备没有通电的情况下，Bypass功能打开，若设备一旦通电后，Bypass立即调整为关闭状态。

  2、 由GPIO来控制。在进入OS后，能够最终靠GPIO来对特定的端口操作，以此来实现对Bypass开关的控制。

  3、 由Watchdog来控制。这种情况实际是对方式2的一种延伸应用，能够最终靠Watchdog来控制GPIO Bypass程序的启用与关闭，以此来实现对Bypass状态的控制。用这种方式后，平台如果死机就可以由Watchdog来打开Bypass。

  下图是研华FWA-3140系列的Bypass状态说明，你们可以参考一下。

  在实际的应用中，这3种状态往往是同时存在的，尤其是1和2两种方式。一般的应用方法为：在断电的情况下，设备处于Bypass打开状态，然后设备上电后，由于BIOS可以对Bypass作操作，所以在BIOS接管设备后，Bypass仍然处于打开状态，然后OS启动，当OS启动后，一般会执行GPIO 的Bypass程序，将Bypass关闭，这样可以应用程序就可以发挥作用了。

  也就是说在整个启动过程中，几乎不会造成网络的断开。只有在设备刚刚上电到 BIOS接管这短短的2-3秒钟的时间会使网络断开。关于更具体的应用，大家可以借鉴一下下面这篇文章，这篇文章是以研华FWA-3140为例，做的一个应用，地址为：

  上面简单说明了一下Bypass的控制方式，下面针对Bypass工作原理作一下简要的说明，主要从硬件和软件两个层面来分析。以研华的FWA-3140系列产品为研究对象

  在硬件层面上，要实现Bypass，主要使用的就是继电器。这些继电器主要连接两个Bypass网口的各个网口信号线上，下图以其中一根信号线来说明继电器在其中的工作方式。

  以电源触发为例，当断电的情况下，继电器内的开关将会跳拨到1的状态，即将LAN 1 的RJ45接口上的Rx直接和LAN2 的RJ45 Tx 导通，而当设备上电以后，开关就会导通到2上，这样如果要使LAN1和LAN2 上的网络间通讯，就一定要通过这台设备上的应用程序来实现了。

  之前在Bypass的分类中谈到了GPIO和Watchdog两种方式来控制、触发Bypass，实际上这两种方式都是对 GPIO作操作，然后由GPIO来控制硬件上的继电器作相应的跳转。具体一点，就是相应的GPIO如果被置成高电平，那么继电器就相应的跳转到位置1，相反如果GPIO杯置成了低电平，则继电器就跳转到位置2。以研华FWA-3140为例，下图说明了FWA-3140的GPIO所控制的方式。

  以上图为例，如果对GPIO27 的Bit3 写入“0”或“1”，就可以对LAN 1/2 所组成的Bypass进行开关的控制，同理如果操作对象为GPIO 28 ，则能轻松实现对LAN3/4 Bypass的控制。

  在DOS下可以用如下的Debug程序来才测试Bypass的操控方法和状态。

  另外对于Watchdog Bypass，其实就是在上面的GPIO控制的基础上，增加Watchdog控制Bypass。首先系统激活Watchdog功能，传统上，当 Watchdog生效后，系统会Reset ，但如果你使用了Watchdog Bypass功能，则在Watchdog生效后，系统不会Reset，而是将相对应的网口Bypass打开，使设备呈现为Bypass状态。实际是这种 Bypass，也是通过GPIO来控制Bypass的，只不过这样的一种情况下，向GPIO写入低电平的工作由Watchdog来执行，不需要另外编程来写 GPIO。

  全球高性能网络安全领导厂商Fortinet，宣布其业界最具智能且功能最强大的下一代防火墙(NGFW：nextgenerationfirewall)系列新产品，已添增一名新成员－FortiGate3600C的功能丰富，将能为大规模的公司与安全服务提供商(MSSPs)，提供业界最先进的网络安全防护。

  “新一代的安全威胁和法规标准的压力，正迫使企业重新审视和计算风险管理措施。”WatchGuard科技负责世界(亚太欧洲中东非洲)销售的副总裁TerryHass说道：“既要降低IT成本和复杂性，又要增加保护力度，无疑是一项挑战。对成长中企业、中型企业和机构来说，他们要的是灵活的、可扩展的、价格合适的有力安全保护，而WatchGuardXTM5系列正是适合他们的理想选择。”

  Fortinet宣布推出APT(高级持续性威胁)防护设备FortiSandbox3000D。FortiSandbox产品具有独特的双重沙盒技术、动态威胁智能系统、实时控制面板与丰富的报告功能，并且能与Fortinet的多功能安全平台FortiGateNGFW设备和邮件安全设备FortiMail联动部署。