目前，隨著互聯(lián)網(wǎng)的高速發(fā)展，網(wǎng)絡(luò)已深入到人們生活的各個(gè)方面。網(wǎng)絡(luò)帶給人們諸多好處的同時(shí)，也帶來(lái)了很多隱患。其中，安全問(wèn)題就是最突出的一個(gè)。但是許多信息管理者和信息用戶對(duì)網(wǎng)絡(luò)安全認(rèn)識(shí)不足，他們把大量的時(shí)間和精力用于提升網(wǎng)絡(luò)的性能和效率，結(jié)果導(dǎo)致黑客攻擊、惡意代碼、郵件炸彈等越來(lái)越多的安全威脅。

為了防范各種各樣的安全問(wèn)題，許多網(wǎng)絡(luò)安全產(chǎn)品也相繼在網(wǎng)絡(luò)中得到推廣和應(yīng)用。針對(duì)系統(tǒng)和軟件的漏洞，有漏洞掃描產(chǎn)品；為了讓因特網(wǎng)上的用戶能安全、便捷的訪問(wèn)公司的內(nèi)部網(wǎng)絡(luò)，有SSL VPN和IPSec VPN；為了防止黑客的攻擊入侵，有入侵防御系統(tǒng)和入侵檢測(cè)系統(tǒng)；而使用范圍最為廣泛的防火墻，常常是作為網(wǎng)絡(luò)安全屏障的第一道防線。網(wǎng)絡(luò)中安全設(shè)備使用的增多，相應(yīng)的使設(shè)備的管理變得更加復(fù)雜。下面就通過(guò)一則實(shí)例，并結(jié)合網(wǎng)絡(luò)的規(guī)模和復(fù)雜程度，詳細(xì)闡述網(wǎng)絡(luò)中安全設(shè)備管理的三種模式。

圖1 網(wǎng)絡(luò)結(jié)構(gòu)圖

一、公司網(wǎng)絡(luò)架構(gòu)

1、總架構(gòu)

單位網(wǎng)絡(luò)結(jié)構(gòu)圖如圖1所示。為了確保重要設(shè)備的穩(wěn)定性和冗余性，核心層交換機(jī)使用兩臺(tái)Cisco 4510R，通過(guò)Trunk線連接。在接入層使用了多臺(tái)Cisco 3560-E交換機(jī)，圖示為了簡(jiǎn)潔，只畫(huà)出了兩臺(tái)。在核心交換機(jī)上連接有單位重要的服務(wù)器，如DHCP、E-MAIL服務(wù)器、WEB服務(wù)器和視頻服務(wù)器等。單位IP地址的部署，使用的是C類私有192網(wǎng)段的地址。其中，DHCP服務(wù)器的地址為192.168.11.1/24。在網(wǎng)絡(luò)的核心區(qū)域部署有單位的安全設(shè)備，安全設(shè)備也都是通過(guò)Cisco 3560-E交換機(jī)接入到核心交換機(jī)4510R上，圖1中為了簡(jiǎn)潔，沒(méi)有畫(huà)出3560-E交換機(jī)。

2、主要網(wǎng)絡(luò)設(shè)備配置

單位網(wǎng)絡(luò)主要分為業(yè)務(wù)網(wǎng)和辦公網(wǎng)，業(yè)務(wù)網(wǎng)所使用VLAN的范圍是VLAN 21至VLAN 100，辦公網(wǎng)所使用的VLAN范圍是VLAN 101至VLAN 200。兩個(gè)網(wǎng)都是通過(guò)兩臺(tái)核心交換機(jī)4510交換數(shù)據(jù)的，但在邏輯上是相互隔離的。單位的服務(wù)器都是直接連接到4510上，所使用的VLAN范圍是VLAN 11至VLAN 20。安全設(shè)備所使用的VLAN范圍是VLAN 2至VLAN 10。#p#

二、網(wǎng)絡(luò)安全設(shè)備管理的三種模式

1、第一種模式：安全管理PC直接與安全設(shè)備進(jìn)行連接

安全管理PC和安全設(shè)備直接相連

圖2 安全管理PC和安全設(shè)備直接相連

如圖2所示，網(wǎng)絡(luò)中共有四臺(tái)安全設(shè)備：漏洞掃描、IDS、IPS和防火墻，若要對(duì)其中的一臺(tái)安全設(shè)備進(jìn)行管理配置，就得把電腦直接連接到安全設(shè)備上，這種模式通常有以下兩種連接管理方式：

（1）串口連接管理。通過(guò)CONSOLE口直接連接到安全設(shè)備上，對(duì)其進(jìn)行本地管理配置。這也是一種安全、可靠的配置維護(hù)方式。當(dāng)安全設(shè)備初次上電、與外部網(wǎng)絡(luò)連接中斷或出現(xiàn)其它異常情況時(shí)，通常采用這種方式配置安全設(shè)備。配置步驟如下：

將安全管理PC 的串口與安全設(shè)備的CONSOLE口連接，然后在PC機(jī)上運(yùn)行終端仿真程序，如Windows系統(tǒng)中的超級(jí)終端，或者使用SecureCRT應(yīng)用程序。然后在終端仿真程序上建立新連接。

選擇實(shí)際連接安全設(shè)備時(shí)，使用的安全管理PC上的串口，配置終端通信參數(shù)，默認(rèn)情況下都是：9600 波特、8 位數(shù)據(jù)位、1 位停止位、無(wú)校驗(yàn)、無(wú)流控。

對(duì)安全設(shè)備進(jìn)行上電自檢，系統(tǒng)自動(dòng)進(jìn)行配置，自檢結(jié)束后提示用戶鍵入回車，直到出現(xiàn)命令行提示符。然后就可鍵入命令，配置安全設(shè)備，或者查看其運(yùn)行狀態(tài)。

上面連接方式中的配置參數(shù)，是一般情況下使用較多的一種，但對(duì)于不同設(shè)備可能會(huì)有不同的設(shè)置，例如對(duì)于防火墻，聯(lián)想KingGuard 8000的連接參數(shù)就和上面不一致，如圖3所示：

終端仿真程序連接安全設(shè)備的參數(shù)設(shè)定

圖3 終端仿真程序連接安全設(shè)備的參數(shù)設(shè)定

波特率必須選擇38400，而且不能選擇“RTS/CTS”。其它的參數(shù)都和上面的都一致。這就要求用這種方式管理配置安全設(shè)備時(shí)，必須認(rèn)真查看產(chǎn)品的說(shuō)明書(shū)，不能在終端仿真程序上，對(duì)所有的參數(shù)都使用默認(rèn)的進(jìn)行配置。

（2）WEB方式管理。用這種方式對(duì)網(wǎng)絡(luò)安全設(shè)備進(jìn)行管理，全都是以窗口界面操作的，比較容易理解和掌握。配置的步驟如下：

用網(wǎng)線把安全管理PC的網(wǎng)卡接口，直接連到安全設(shè)備的管理接口上。同時(shí)，也要對(duì)安全管理PC和安全設(shè)備的管理接口的IP地址進(jìn)行配置，以便讓它們位于同一個(gè)網(wǎng)段。假如配置安全管理PC的IP地址是192.168.1.2/24，安全設(shè)備管理接口的IP地址是192.168.1.1/24，這樣配置后它們就都位于同一個(gè)網(wǎng)段192.168.1.0/24中。

在安全管理PC的“命令行”中，執(zhí)行命令“ping 192.168.1.1”，看是否能ping通，若不通的話，可能是連接安全管理PC和安全設(shè)備的網(wǎng)線有故障，直到能ping通為止。

開(kāi)啟安全設(shè)備的本地SSH 服務(wù)，并且允許管理賬號(hào)使用SSH。這是因?yàn)閷?duì)大多數(shù)安全設(shè)備的WEB管理都是通過(guò)SSH連接設(shè)備的，這樣安全管理PC和安全設(shè)備之間傳輸?shù)臄?shù)據(jù)都是通過(guò)加密的，安全性比較高。也就是在安全管理PC的瀏覽器地址欄中只能輸入以“https”開(kāi)頭的網(wǎng)址。

在安全管理PC的瀏覽器地址欄中輸入https://192.168.1.1回車，輸入用戶名和密碼后就可登陸到網(wǎng)絡(luò)安全設(shè)備的WEB管理界面，對(duì)其參數(shù)和性能進(jìn)行配置。

 #p#

2、第二種模式：安全管理PC通過(guò)交換機(jī)管理安全設(shè)備

管理PC通過(guò)交換機(jī)連接到安全設(shè)備

圖4 管理PC通過(guò)交換機(jī)連接到安全設(shè)備

如圖4所示，安全設(shè)備位于VLAN 2、VLAN 3和VLAN 4中。這時(shí)，安全管理PC對(duì)位于同一個(gè)VLAN中的安全設(shè)備進(jìn)行管理時(shí)，只需把安全管理PC直接連接到交換機(jī)上，PC和安全設(shè)備就都位于同一網(wǎng)段中。在這種模式中，對(duì)安全設(shè)備的管理，就不能使用“第一種模式”中的用CONSOLE口管理的方法，因?yàn)榘踩芾鞵C和安全設(shè)備沒(méi)有直接連接，而是通過(guò)交換機(jī)間接連接起來(lái)的。這種模式下，除了可以用“第一種模式”中的WEB方式對(duì)安全設(shè)備進(jìn)行管理配置外，還可以用以下兩種方式對(duì)安全設(shè)備進(jìn)行管理配置：

（1）Telnet方式管理。用這種方式對(duì)安全設(shè)備進(jìn)行管理時(shí)，必須首先保證安全管理PC和安全設(shè)備之間有路由可達(dá)，并且可以用Telnet 方式登錄到安全設(shè)備上。在本例中，安全管理PC和安全設(shè)備位于同一個(gè)網(wǎng)段，所以滿足用Telnet方式管理的條件。另外，還要在安全設(shè)備上進(jìn)行如下配置，才能采用Telnet 方式對(duì)其進(jìn)行管理。

把一臺(tái)電腦的串口連接到安全設(shè)備的CONSOLE口上。通過(guò)CONSOLE口配置遠(yuǎn)程用戶用Telnet方式登錄到安全設(shè)備上的用戶名和口令，管理級(jí)別，以及所屬服務(wù)等。

通過(guò)CONSOLE口配置提供Telnet 服務(wù)的IP地址，端口號(hào)等。

在安全管理PC上的“命令行”中，執(zhí)行Telnet到網(wǎng)絡(luò)安全設(shè)備上的命令，然后輸入用戶名和口令，就可以登錄到安全設(shè)備上進(jìn)行管理配置了。

（2）SSH方式管理。當(dāng)用戶在一個(gè)不能保證安全的網(wǎng)絡(luò)環(huán)境中時(shí)，卻要遠(yuǎn)程登錄到安全設(shè)備上。這時(shí)，SSH 特性就可以提供安全的信息保障，以及認(rèn)證功能，起到保護(hù)安全設(shè)備不受諸如IP 地址欺詐、明文密碼截取等攻擊。安全管理PC以SSH方式登錄到安全設(shè)備之前，通常還要在安全設(shè)備上進(jìn)行如下配置：

通過(guò)一臺(tái)電腦連接到安全設(shè)備的CONSOLE口，或者通過(guò)WEB管理方式，登錄到安全設(shè)備上。

在安全設(shè)備上配置SSH服務(wù)器的參數(shù)，如驗(yàn)證方式，驗(yàn)證重復(fù)的次數(shù)和兼容的SSH版本等。

在安全管理PC上運(yùn)行SSH的終端軟件，如SecureCRT應(yīng)用程序。在程序中設(shè)置正確的連接參數(shù)，輸入安全設(shè)備接口的IP 地址，就可與安全設(shè)備建立起連接，然后對(duì)其進(jìn)行配置管理。#p#

3、第三種模式：通過(guò)安全中心服務(wù)器管理安全設(shè)備

通過(guò)安全中心服務(wù)器管理安全設(shè)備

圖5 通過(guò)安全中心服務(wù)器管理安全設(shè)備

如圖5所示，與第一、二種管理模式相比，此種模式把“安全管理PC”升級(jí)成了“安全中心服務(wù)器”。在服務(wù)器上就可以對(duì)網(wǎng)絡(luò)中所有的安全設(shè)備進(jìn)行管理配置，而不用再把安全管理PC逐個(gè)的連接到安全設(shè)備或安全設(shè)備所在VLAN的交換機(jī)上。在這種管理模式中，除了不能直接連接到安全設(shè)備的CONSOLE口上對(duì)其進(jìn)行管理配置外，其它的三種管理方式，WEB、Telnet和SSH在安全中心服務(wù)器上都可以使用。用安全中心服務(wù)器管理配置安全設(shè)備主要存在兩種網(wǎng)絡(luò)環(huán)境：

（1）安全中心服務(wù)器和安全設(shè)備管理接口的IP地址不在同一個(gè)網(wǎng)段。如圖5所示，安全中心服務(wù)器位于VLAN 13，IP地址為192.168.13.1/24。而漏洞掃描位于VLAN 3中，IP地址為192.168.3.1，它和安全服務(wù)中心服務(wù)器的地址位于不同的子網(wǎng)中。如果要讓安全服務(wù)中心服務(wù)器能訪問(wèn)到漏洞掃描，就必須在兩臺(tái)Cisco 4510上添加三層配置，讓兩個(gè)VLAN間的數(shù)據(jù)能互相訪問(wèn)。在4510A和4510B上的配置如下所示：

Cisco4510A上的配置：

Cisco4510A(config)#interface vlan 13  
Cisco4510A(config-if)#ip address 192.168.13.252 255.255.255.0  
//創(chuàng)建vlan 13的SVI接口，并指定IP地址  
Cisco4510A(config-if)#no shutdown  
Cisco4510A(config-if)ip helper-address 192.168.11.1  
//配置DHCP中繼功能  
Cisco4510A(config-if)standby 13 priority 150 preempt  
Cisco4510A(config-if)standby 13 ip 192.168.13.254  
//配置vlan 13的HSRP參數(shù)  
Cisco4510A(config)#interface vlan 3  
Cisco4510A(config-if)#ip address 192.168.3.252 255.255.255.0  
//創(chuàng)建vlan 3的SVI接口，并指定IP地址  
Cisco4510A(config-if)#no shutdown  
Cisco4510A(config-if)ip helper-address 192.168.11.1  
//配置DHCP中繼功能  
Cisco4510A(config-if)standby 3 priority 150 preempt  
Cisco4510A(config-if)standby 3 ip 192.168.3.254  
//配置vlan 3的HSRP參數(shù)  
Cisco4510B上的配置：  
Cisco4510B(config)#interface vlan 13  
Cisco4510B(config-if)#ip address 192.168.13.253 255.255.255.0  
//創(chuàng)建vlan 13的SVI接口，并指定IP地址  
Cisco4510B(config-if)#no shutdown  
Cisco4510B(config-if)ip helper-address 192.168.11.1  
//配置DHCP中繼功能  
Cisco4510B(config-if)standby 13 priority 140 preempt  
Cisco4510B(config-if)standby 13 ip 192.168.13.254  
//配置vlan 13的HSRP參數(shù)  
Cisco4510B(config)#interface vlan 3  
Cisco4510B(config-if)#ip address 192.168.3.253 255.255.255.0  
//創(chuàng)建vlan 3的SVI接口，并指定IP地址  
Cisco4510B(config-if)#no shutdown  
Cisco4510B(config-if)ip helper-address 192.168.11.1  
//配置DHCP中繼功能  
Cisco4510B(config-if)standby 3 priority 140 preempt  
Cisco4510B(config-if)standby 3 ip 192.168.3.254  
//配置vlan 3的HSRP參數(shù) 

因?yàn)?510和3560-E之間都是Trunk連接，所以在4510A和4510B上進(jìn)行了如上配置后，安全中心服務(wù)器就能訪問(wèn)到漏洞掃描安全設(shè)備。在安全中心服務(wù)器的瀏覽器地址欄中輸入https://192.168.3.1，就能登錄到漏洞掃描設(shè)備上，然后在WEB界面中就可以對(duì)其參數(shù)和性能進(jìn)行配置。

（2）安全中心服務(wù)器和安全設(shè)備管理接口的IP地址都位于同一個(gè)網(wǎng)段中。這種網(wǎng)絡(luò)環(huán)境中，安全中心服務(wù)器要對(duì)安全設(shè)備進(jìn)行管理時(shí)，在路由器或交換機(jī)上需要配置的命令就比較少。也就是在圖5中，只需把交換機(jī)上的配置命令進(jìn)行簡(jiǎn)單的改造，把所有的安全設(shè)備的管理接口的IP地址和安全中心服務(wù)器地址配置到同一個(gè)VLAN中。這樣在Cisco 4510上就不用進(jìn)行三層配置。然后在安全中心服務(wù)器的瀏覽器地址欄中輸入安全設(shè)備的IP地址也能對(duì)各個(gè)安全設(shè)備進(jìn)行管理配置。#p#

三、總結(jié)

1、以上三種網(wǎng)絡(luò)安全設(shè)備的管理模式，主要是根據(jù)網(wǎng)絡(luò)的規(guī)模和安全設(shè)備的多少，來(lái)決定使用那一種管理模式。三種模式之間沒(méi)有完全的優(yōu)劣之分。若是網(wǎng)絡(luò)中就一兩臺(tái)安全設(shè)備，顯然采用第一種模式比較好。只需要一臺(tái)安全管理PC就可以。若是采用架設(shè)安全中心服務(wù)器的話就有些得不償失。如果安全設(shè)備較多，并且都分布在不同的網(wǎng)段，那選擇第二種模式就行，用兩三臺(tái)安全管理PC管理安全設(shè)備，比架設(shè)兩臺(tái)服務(wù)器還是要經(jīng)濟(jì)很多。若是安全設(shè)備很多，就采用第三種模式，它至少能給網(wǎng)絡(luò)管理員節(jié)省很多的時(shí)間，因?yàn)樵谝慌_(tái)服務(wù)器上就它就可以對(duì)所有的安全設(shè)備進(jìn)行管理。

2、第三種管理模式中，安全中心服務(wù)器共使用了兩臺(tái)服務(wù)器。這主要是因?yàn)?，在一些大型的網(wǎng)絡(luò)中，安全設(shè)備不只是有幾臺(tái)、十幾臺(tái)，有的已達(dá)上百臺(tái)，或者更多。管理這么多數(shù)量的安全設(shè)備，完全有必要架設(shè)兩臺(tái)服務(wù)器，保證管理安全設(shè)備的穩(wěn)定性和可靠性。而且，安全中心服務(wù)器有時(shí)并不僅僅承擔(dān)者管理的功能，它有時(shí)還要提供安全設(shè)備軟件的升級(jí)功能。也就是在安全中心服務(wù)器上提供一個(gè)訪問(wèn)Internet的接口，所有的安全設(shè)備都通過(guò)這個(gè)接口連接到互聯(lián)網(wǎng)上進(jìn)行升級(jí)，例如防火墻系統(tǒng)版本、病毒特征庫(kù)的升級(jí)，IPS系統(tǒng)版本和特征值的升級(jí)等。若安全設(shè)備很多，升級(jí)數(shù)據(jù)量就會(huì)很大，若用兩臺(tái)服務(wù)器雙機(jī)均衡負(fù)載，會(huì)大大降低用一臺(tái)服務(wù)器升級(jí)時(shí)所面臨巨大數(shù)據(jù)量的壓力。

3、解決網(wǎng)絡(luò)安全問(wèn)題主要是利用網(wǎng)絡(luò)管理措施，保證網(wǎng)絡(luò)環(huán)境中數(shù)據(jù)的機(jī)密性、完整性和可用性。確保經(jīng)過(guò)網(wǎng)絡(luò)傳送的信息，在到達(dá)目的地時(shí)沒(méi)有任何增加、改變、丟失或被非法讀取。而且要從以前單純的以防、堵、隔為主，發(fā)展到現(xiàn)在的攻、防結(jié)合，注重動(dòng)態(tài)安全。在網(wǎng)絡(luò)安全技術(shù)的應(yīng)用上，要注意從正面防御的角度出發(fā)，控制好信息通信中數(shù)據(jù)的加密、數(shù)字簽名和認(rèn)證、授權(quán)、訪問(wèn)等。而從反面要做好漏洞掃描評(píng)估、入浸檢測(cè)、病毒防御、安全報(bào)警響應(yīng)等。要對(duì)網(wǎng)絡(luò)安全有一個(gè)全面的了解，不僅需要掌握防護(hù)方面的知識(shí)，也需要掌握檢測(cè)和響應(yīng)環(huán)節(jié)方面的知識(shí)。

最近發(fā)生的SONY泄密事件，也再一次給我們敲響了警鐘，網(wǎng)絡(luò)安全無(wú)小事，網(wǎng)絡(luò)安全管理必須從內(nèi)、外兩方面來(lái)防范。計(jì)算機(jī)網(wǎng)絡(luò)最大的不安全，就是自認(rèn)為網(wǎng)絡(luò)是安全的。在安全策略的制定、安全技術(shù)的采用和安全保障的獲得，其實(shí)很大程度上要取決于網(wǎng)絡(luò)管理員對(duì)安全威脅的把握。網(wǎng)絡(luò)上的威脅時(shí)刻存在，各種各樣的安全問(wèn)題常常會(huì)掩蓋在平靜的表面之下，所以網(wǎng)絡(luò)安全管理員必須時(shí)刻提高警惕，把好網(wǎng)絡(luò)安全的每一道關(guān)卡。