目前，隨著互聯(lián)網(wǎng)的高速發(fā)展，網(wǎng)絡(luò)已深入到人們生活的各個方面。網(wǎng)絡(luò)帶給人們諸多好處的同時，也帶來了很多隱患。其中，安全問題就是最突出的一個。但是許多信息管理者和信息用戶對網(wǎng)絡(luò)安全認識不足，他們把大量的時間和精力用于提升網(wǎng)絡(luò)的性能和效率，結(jié)果導致黑客攻擊、惡意代碼、郵件炸彈等越來越多的安全威脅。

為了防范各種各樣的安全問題，許多網(wǎng)絡(luò)安全產(chǎn)品也相繼在網(wǎng)絡(luò)中得到推廣和應(yīng)用。針對系統(tǒng)和軟件的漏洞，有漏洞掃描產(chǎn)品；為了讓因特網(wǎng)上的用戶能安全、便捷的訪問公司的內(nèi)部網(wǎng)絡(luò)，有SSL VPN和IPSec VPN；為了防止黑客的攻擊入侵，有入侵防御系統(tǒng)和入侵檢測系統(tǒng)；而使用范圍最為廣泛的防火墻，常常是作為網(wǎng)絡(luò)安全屏障的第一道防線。網(wǎng)絡(luò)中安全設(shè)備使用的增多，相應(yīng)的使設(shè)備的管理變得更加復雜。下面就通過一則實例，并結(jié)合網(wǎng)絡(luò)的規(guī)模和復雜程度，詳細闡述網(wǎng)絡(luò)中安全設(shè)備管理的三種模式。

圖1 網(wǎng)絡(luò)結(jié)構(gòu)圖

一、公司網(wǎng)絡(luò)架構(gòu)

1、總架構(gòu)

單位網(wǎng)絡(luò)結(jié)構(gòu)圖如圖1所示。為了確保重要設(shè)備的穩(wěn)定性和冗余性，核心層交換機使用兩臺Cisco 4510R，通過Trunk線連接。在接入層使用了多臺Cisco 3560-E交換機，圖示為了簡潔，只畫出了兩臺。在核心交換機上連接有單位重要的服務(wù)器，如DHCP、E-MAIL服務(wù)器、WEB服務(wù)器和視頻服務(wù)器等。單位IP地址的部署，使用的是C類私有192網(wǎng)段的地址。其中，DHCP服務(wù)器的地址為192.168.11.1/24。在網(wǎng)絡(luò)的核心區(qū)域部署有單位的安全設(shè)備，安全設(shè)備也都是通過Cisco 3560-E交換機接入到核心交換機4510R上，圖1中為了簡潔，沒有畫出3560-E交換機。

2、主要網(wǎng)絡(luò)設(shè)備配置

單位網(wǎng)絡(luò)主要分為業(yè)務(wù)網(wǎng)和辦公網(wǎng)，業(yè)務(wù)網(wǎng)所使用VLAN的范圍是VLAN 21至VLAN 100，辦公網(wǎng)所使用的VLAN范圍是VLAN 101至VLAN 200。兩個網(wǎng)都是通過兩臺核心交換機4510交換數(shù)據(jù)的，但在邏輯上是相互隔離的。單位的服務(wù)器都是直接連接到4510上，所使用的VLAN范圍是VLAN 11至VLAN 20。安全設(shè)備所使用的VLAN范圍是VLAN 2至VLAN 10。#p#

二、網(wǎng)絡(luò)安全設(shè)備管理的三種模式

1、第一種模式：安全管理PC直接與安全設(shè)備進行連接

安全管理PC和安全設(shè)備直接相連

圖2 安全管理PC和安全設(shè)備直接相連

如圖2所示，網(wǎng)絡(luò)中共有四臺安全設(shè)備：漏洞掃描、IDS、IPS和防火墻，若要對其中的一臺安全設(shè)備進行管理配置，就得把電腦直接連接到安全設(shè)備上，這種模式通常有以下兩種連接管理方式：

（1）串口連接管理。通過CONSOLE口直接連接到安全設(shè)備上，對其進行本地管理配置。這也是一種安全、可靠的配置維護方式。當安全設(shè)備初次上電、與外部網(wǎng)絡(luò)連接中斷或出現(xiàn)其它異常情況時，通常采用這種方式配置安全設(shè)備。配置步驟如下：

將安全管理PC 的串口與安全設(shè)備的CONSOLE口連接，然后在PC機上運行終端仿真程序，如Windows系統(tǒng)中的超級終端，或者使用SecureCRT應(yīng)用程序。然后在終端仿真程序上建立新連接。

選擇實際連接安全設(shè)備時，使用的安全管理PC上的串口，配置終端通信參數(shù)，默認情況下都是：9600 波特、8 位數(shù)據(jù)位、1 位停止位、無校驗、無流控。

對安全設(shè)備進行上電自檢，系統(tǒng)自動進行配置，自檢結(jié)束后提示用戶鍵入回車，直到出現(xiàn)命令行提示符。然后就可鍵入命令，配置安全設(shè)備，或者查看其運行狀態(tài)。

上面連接方式中的配置參數(shù)，是一般情況下使用較多的一種，但對于不同設(shè)備可能會有不同的設(shè)置，例如對于防火墻，聯(lián)想KingGuard 8000的連接參數(shù)就和上面不一致，如圖3所示：

終端仿真程序連接安全設(shè)備的參數(shù)設(shè)定

圖3 終端仿真程序連接安全設(shè)備的參數(shù)設(shè)定

波特率必須選擇38400，而且不能選擇“RTS/CTS”。其它的參數(shù)都和上面的都一致。這就要求用這種方式管理配置安全設(shè)備時，必須認真查看產(chǎn)品的說明書，不能在終端仿真程序上，對所有的參數(shù)都使用默認的進行配置。

（2）WEB方式管理。用這種方式對網(wǎng)絡(luò)安全設(shè)備進行管理，全都是以窗口界面操作的，比較容易理解和掌握。配置的步驟如下：

用網(wǎng)線把安全管理PC的網(wǎng)卡接口，直接連到安全設(shè)備的管理接口上。同時，也要對安全管理PC和安全設(shè)備的管理接口的IP地址進行配置，以便讓它們位于同一個網(wǎng)段。假如配置安全管理PC的IP地址是192.168.1.2/24，安全設(shè)備管理接口的IP地址是192.168.1.1/24，這樣配置后它們就都位于同一個網(wǎng)段192.168.1.0/24中。

在安全管理PC的“命令行”中，執(zhí)行命令“ping 192.168.1.1”，看是否能ping通，若不通的話，可能是連接安全管理PC和安全設(shè)備的網(wǎng)線有故障，直到能ping通為止。

開啟安全設(shè)備的本地SSH 服務(wù)，并且允許管理賬號使用SSH。這是因為對大多數(shù)安全設(shè)備的WEB管理都是通過SSH連接設(shè)備的，這樣安全管理PC和安全設(shè)備之間傳輸?shù)臄?shù)據(jù)都是通過加密的，安全性比較高。也就是在安全管理PC的瀏覽器地址欄中只能輸入以“https”開頭的網(wǎng)址。

在安全管理PC的瀏覽器地址欄中輸入https://192.168.1.1回車，輸入用戶名和密碼后就可登陸到網(wǎng)絡(luò)安全設(shè)備的WEB管理界面，對其參數(shù)和性能進行配置。

 #p#

2、第二種模式：安全管理PC通過交換機管理安全設(shè)備

管理PC通過交換機連接到安全設(shè)備

圖4 管理PC通過交換機連接到安全設(shè)備

如圖4所示，安全設(shè)備位于VLAN 2、VLAN 3和VLAN 4中。這時，安全管理PC對位于同一個VLAN中的安全設(shè)備進行管理時，只需把安全管理PC直接連接到交換機上，PC和安全設(shè)備就都位于同一網(wǎng)段中。在這種模式中，對安全設(shè)備的管理，就不能使用“第一種模式”中的用CONSOLE口管理的方法，因為安全管理PC和安全設(shè)備沒有直接連接，而是通過交換機間接連接起來的。這種模式下，除了可以用“第一種模式”中的WEB方式對安全設(shè)備進行管理配置外，還可以用以下兩種方式對安全設(shè)備進行管理配置：

（1）Telnet方式管理。用這種方式對安全設(shè)備進行管理時，必須首先保證安全管理PC和安全設(shè)備之間有路由可達，并且可以用Telnet 方式登錄到安全設(shè)備上。在本例中，安全管理PC和安全設(shè)備位于同一個網(wǎng)段，所以滿足用Telnet方式管理的條件。另外，還要在安全設(shè)備上進行如下配置，才能采用Telnet 方式對其進行管理。

把一臺電腦的串口連接到安全設(shè)備的CONSOLE口上。通過CONSOLE口配置遠程用戶用Telnet方式登錄到安全設(shè)備上的用戶名和口令，管理級別，以及所屬服務(wù)等。

通過CONSOLE口配置提供Telnet 服務(wù)的IP地址，端口號等。

在安全管理PC上的“命令行”中，執(zhí)行Telnet到網(wǎng)絡(luò)安全設(shè)備上的命令，然后輸入用戶名和口令，就可以登錄到安全設(shè)備上進行管理配置了。

（2）SSH方式管理。當用戶在一個不能保證安全的網(wǎng)絡(luò)環(huán)境中時，卻要遠程登錄到安全設(shè)備上。這時，SSH 特性就可以提供安全的信息保障，以及認證功能，起到保護安全設(shè)備不受諸如IP 地址欺詐、明文密碼截取等攻擊。安全管理PC以SSH方式登錄到安全設(shè)備之前，通常還要在安全設(shè)備上進行如下配置：

通過一臺電腦連接到安全設(shè)備的CONSOLE口，或者通過WEB管理方式，登錄到安全設(shè)備上。

在安全設(shè)備上配置SSH服務(wù)器的參數(shù)，如驗證方式，驗證重復的次數(shù)和兼容的SSH版本等。

在安全管理PC上運行SSH的終端軟件，如SecureCRT應(yīng)用程序。在程序中設(shè)置正確的連接參數(shù)，輸入安全設(shè)備接口的IP 地址，就可與安全設(shè)備建立起連接，然后對其進行配置管理。#p#

3、第三種模式：通過安全中心服務(wù)器管理安全設(shè)備

通過安全中心服務(wù)器管理安全設(shè)備

圖5 通過安全中心服務(wù)器管理安全設(shè)備

如圖5所示，與第一、二種管理模式相比，此種模式把“安全管理PC”升級成了“安全中心服務(wù)器”。在服務(wù)器上就可以對網(wǎng)絡(luò)中所有的安全設(shè)備進行管理配置，而不用再把安全管理PC逐個的連接到安全設(shè)備或安全設(shè)備所在VLAN的交換機上。在這種管理模式中，除了不能直接連接到安全設(shè)備的CONSOLE口上對其進行管理配置外，其它的三種管理方式，WEB、Telnet和SSH在安全中心服務(wù)器上都可以使用。用安全中心服務(wù)器管理配置安全設(shè)備主要存在兩種網(wǎng)絡(luò)環(huán)境：

（1）安全中心服務(wù)器和安全設(shè)備管理接口的IP地址不在同一個網(wǎng)段。如圖5所示，安全中心服務(wù)器位于VLAN 13，IP地址為192.168.13.1/24。而漏洞掃描位于VLAN 3中，IP地址為192.168.3.1，它和安全服務(wù)中心服務(wù)器的地址位于不同的子網(wǎng)中。如果要讓安全服務(wù)中心服務(wù)器能訪問到漏洞掃描，就必須在兩臺Cisco 4510上添加三層配置，讓兩個VLAN間的數(shù)據(jù)能互相訪問。在4510A和4510B上的配置如下所示：

Cisco4510A上的配置：

Cisco4510A(config)#interface vlan 13  
Cisco4510A(config-if)#ip address 192.168.13.252 255.255.255.0  
//創(chuàng)建vlan 13的SVI接口，并指定IP地址  
Cisco4510A(config-if)#no shutdown  
Cisco4510A(config-if)ip helper-address 192.168.11.1  
//配置DHCP中繼功能  
Cisco4510A(config-if)standby 13 priority 150 preempt  
Cisco4510A(config-if)standby 13 ip 192.168.13.254  
//配置vlan 13的HSRP參數(shù)  
Cisco4510A(config)#interface vlan 3  
Cisco4510A(config-if)#ip address 192.168.3.252 255.255.255.0  
//創(chuàng)建vlan 3的SVI接口，并指定IP地址  
Cisco4510A(config-if)#no shutdown  
Cisco4510A(config-if)ip helper-address 192.168.11.1  
//配置DHCP中繼功能  
Cisco4510A(config-if)standby 3 priority 150 preempt  
Cisco4510A(config-if)standby 3 ip 192.168.3.254  
//配置vlan 3的HSRP參數(shù)  
Cisco4510B上的配置：  
Cisco4510B(config)#interface vlan 13  
Cisco4510B(config-if)#ip address 192.168.13.253 255.255.255.0  
//創(chuàng)建vlan 13的SVI接口，并指定IP地址  
Cisco4510B(config-if)#no shutdown  
Cisco4510B(config-if)ip helper-address 192.168.11.1  
//配置DHCP中繼功能  
Cisco4510B(config-if)standby 13 priority 140 preempt  
Cisco4510B(config-if)standby 13 ip 192.168.13.254  
//配置vlan 13的HSRP參數(shù)  
Cisco4510B(config)#interface vlan 3  
Cisco4510B(config-if)#ip address 192.168.3.253 255.255.255.0  
//創(chuàng)建vlan 3的SVI接口，并指定IP地址  
Cisco4510B(config-if)#no shutdown  
Cisco4510B(config-if)ip helper-address 192.168.11.1  
//配置DHCP中繼功能  
Cisco4510B(config-if)standby 3 priority 140 preempt  
Cisco4510B(config-if)standby 3 ip 192.168.3.254  
//配置vlan 3的HSRP參數(shù) 

因為4510和3560-E之間都是Trunk連接，所以在4510A和4510B上進行了如上配置后，安全中心服務(wù)器就能訪問到漏洞掃描安全設(shè)備。在安全中心服務(wù)器的瀏覽器地址欄中輸入https://192.168.3.1，就能登錄到漏洞掃描設(shè)備上，然后在WEB界面中就可以對其參數(shù)和性能進行配置。

（2）安全中心服務(wù)器和安全設(shè)備管理接口的IP地址都位于同一個網(wǎng)段中。這種網(wǎng)絡(luò)環(huán)境中，安全中心服務(wù)器要對安全設(shè)備進行管理時，在路由器或交換機上需要配置的命令就比較少。也就是在圖5中，只需把交換機上的配置命令進行簡單的改造，把所有的安全設(shè)備的管理接口的IP地址和安全中心服務(wù)器地址配置到同一個VLAN中。這樣在Cisco 4510上就不用進行三層配置。然后在安全中心服務(wù)器的瀏覽器地址欄中輸入安全設(shè)備的IP地址也能對各個安全設(shè)備進行管理配置。#p#

三、總結(jié)

1、以上三種網(wǎng)絡(luò)安全設(shè)備的管理模式，主要是根據(jù)網(wǎng)絡(luò)的規(guī)模和安全設(shè)備的多少，來決定使用那一種管理模式。三種模式之間沒有完全的優(yōu)劣之分。若是網(wǎng)絡(luò)中就一兩臺安全設(shè)備，顯然采用第一種模式比較好。只需要一臺安全管理PC就可以。若是采用架設(shè)安全中心服務(wù)器的話就有些得不償失。如果安全設(shè)備較多，并且都分布在不同的網(wǎng)段，那選擇第二種模式就行，用兩三臺安全管理PC管理安全設(shè)備，比架設(shè)兩臺服務(wù)器還是要經(jīng)濟很多。若是安全設(shè)備很多，就采用第三種模式，它至少能給網(wǎng)絡(luò)管理員節(jié)省很多的時間，因為在一臺服務(wù)器上就它就可以對所有的安全設(shè)備進行管理。

2、第三種管理模式中，安全中心服務(wù)器共使用了兩臺服務(wù)器。這主要是因為，在一些大型的網(wǎng)絡(luò)中，安全設(shè)備不只是有幾臺、十幾臺，有的已達上百臺，或者更多。管理這么多數(shù)量的安全設(shè)備，完全有必要架設(shè)兩臺服務(wù)器，保證管理安全設(shè)備的穩(wěn)定性和可靠性。而且，安全中心服務(wù)器有時并不僅僅承擔者管理的功能，它有時還要提供安全設(shè)備軟件的升級功能。也就是在安全中心服務(wù)器上提供一個訪問Internet的接口，所有的安全設(shè)備都通過這個接口連接到互聯(lián)網(wǎng)上進行升級，例如防火墻系統(tǒng)版本、病毒特征庫的升級，IPS系統(tǒng)版本和特征值的升級等。若安全設(shè)備很多，升級數(shù)據(jù)量就會很大，若用兩臺服務(wù)器雙機均衡負載，會大大降低用一臺服務(wù)器升級時所面臨巨大數(shù)據(jù)量的壓力。

3、解決網(wǎng)絡(luò)安全問題主要是利用網(wǎng)絡(luò)管理措施，保證網(wǎng)絡(luò)環(huán)境中數(shù)據(jù)的機密性、完整性和可用性。確保經(jīng)過網(wǎng)絡(luò)傳送的信息，在到達目的地時沒有任何增加、改變、丟失或被非法讀取。而且要從以前單純的以防、堵、隔為主，發(fā)展到現(xiàn)在的攻、防結(jié)合，注重動態(tài)安全。在網(wǎng)絡(luò)安全技術(shù)的應(yīng)用上，要注意從正面防御的角度出發(fā)，控制好信息通信中數(shù)據(jù)的加密、數(shù)字簽名和認證、授權(quán)、訪問等。而從反面要做好漏洞掃描評估、入浸檢測、病毒防御、安全報警響應(yīng)等。要對網(wǎng)絡(luò)安全有一個全面的了解，不僅需要掌握防護方面的知識，也需要掌握檢測和響應(yīng)環(huán)節(jié)方面的知識。

最近發(fā)生的SONY泄密事件，也再一次給我們敲響了警鐘，網(wǎng)絡(luò)安全無小事，網(wǎng)絡(luò)安全管理必須從內(nèi)、外兩方面來防范。計算機網(wǎng)絡(luò)最大的不安全，就是自認為網(wǎng)絡(luò)是安全的。在安全策略的制定、安全技術(shù)的采用和安全保障的獲得，其實很大程度上要取決于網(wǎng)絡(luò)管理員對安全威脅的把握。網(wǎng)絡(luò)上的威脅時刻存在，各種各樣的安全問題常常會掩蓋在平靜的表面之下，所以網(wǎng)絡(luò)安全管理員必須時刻提高警惕，把好網(wǎng)絡(luò)安全的每一道關(guān)卡。