目前，隨著互聯網的高速發展，網絡已深入到人們生活的各個方面。網絡帶給人們諸多好處的同時，也帶來了很多隱患。其中，安全問題就是最突出的一個。但是許多信息管理者和信息用戶對網絡安全認識不足，他們把大量的時間和精力用于提升網絡的性能和效率，結果導致黑客攻擊、惡意代碼、郵件炸彈等越來越多的安全威脅。

為了防范各種各樣的安全問題，許多網絡安全產品也相繼在網絡中得到推廣和應用。針對系統和軟件的漏洞，有漏洞掃描產品；為了讓因特網上的用戶能安全、便捷的訪問公司的內部網絡，有SSL VPN和IPSec VPN；為了防止黑客的攻擊入侵，有入侵防御系統和入侵檢測系統；而使用范圍最為廣泛的防火墻，常常是作為網絡安全屏障的第一道防線。網絡中安全設備使用的增多，相應的使設備的管理變得更加復雜。下面就通過一則實例，并結合網絡的規模和復雜程度，詳細闡述網絡中安全設備管理的三種模式。

圖1 網絡結構圖

一、公司網絡架構

1、總架構

單位網絡結構圖如圖1所示。為了確保重要設備的穩定性和冗余性，核心層交換機使用兩臺Cisco 4510R，通過Trunk線連接。在接入層使用了多臺Cisco 3560-E交換機，圖示為了簡潔，只畫出了兩臺。在核心交換機上連接有單位重要的服務器，如DHCP、E-MAIL服務器、WEB服務器和視頻服務器等。單位IP地址的部署，使用的是C類私有192網段的地址。其中，DHCP服務器的地址為192.168.11.1/24。在網絡的核心區域部署有單位的安全設備，安全設備也都是通過Cisco 3560-E交換機接入到核心交換機4510R上，圖1中為了簡潔，沒有畫出3560-E交換機。

2、主要網絡設備配置

單位網絡主要分為業務網和辦公網，業務網所使用VLAN的范圍是VLAN 21至VLAN 100，辦公網所使用的VLAN范圍是VLAN 101至VLAN 200。兩個網都是通過兩臺核心交換機4510交換數據的，但在邏輯上是相互隔離的。單位的服務器都是直接連接到4510上，所使用的VLAN范圍是VLAN 11至VLAN 20。安全設備所使用的VLAN范圍是VLAN 2至VLAN 10。#p#

二、網絡安全設備管理的三種模式

1、第一種模式：安全管理PC直接與安全設備進行連接

安全管理PC和安全設備直接相連

圖2 安全管理PC和安全設備直接相連

如圖2所示，網絡中共有四臺安全設備：漏洞掃描、IDS、IPS和防火墻，若要對其中的一臺安全設備進行管理配置，就得把電腦直接連接到安全設備上，這種模式通常有以下兩種連接管理方式：

（1）串口連接管理。通過CONSOLE口直接連接到安全設備上，對其進行本地管理配置。這也是一種安全、可靠的配置維護方式。當安全設備初次上電、與外部網絡連接中斷或出現其它異常情況時，通常采用這種方式配置安全設備。配置步驟如下：

將安全管理PC 的串口與安全設備的CONSOLE口連接，然后在PC機上運行終端仿真程序，如Windows系統中的超級終端，或者使用SecureCRT應用程序。然后在終端仿真程序上建立新連接。

選擇實際連接安全設備時，使用的安全管理PC上的串口，配置終端通信參數，默認情況下都是：9600 波特、8 位數據位、1 位停止位、無校驗、無流控。

對安全設備進行上電自檢，系統自動進行配置，自檢結束后提示用戶鍵入回車，直到出現命令行提示符。然后就可鍵入命令，配置安全設備，或者查看其運行狀態。

上面連接方式中的配置參數，是一般情況下使用較多的一種，但對于不同設備可能會有不同的設置，例如對于防火墻，聯想KingGuard 8000的連接參數就和上面不一致，如圖3所示：

終端仿真程序連接安全設備的參數設定

圖3 終端仿真程序連接安全設備的參數設定

波特率必須選擇38400，而且不能選擇“RTS/CTS”。其它的參數都和上面的都一致。這就要求用這種方式管理配置安全設備時，必須認真查看產品的說明書，不能在終端仿真程序上，對所有的參數都使用默認的進行配置。

（2）WEB方式管理。用這種方式對網絡安全設備進行管理，全都是以窗口界面操作的，比較容易理解和掌握。配置的步驟如下：

用網線把安全管理PC的網卡接口，直接連到安全設備的管理接口上。同時，也要對安全管理PC和安全設備的管理接口的IP地址進行配置，以便讓它們位于同一個網段。假如配置安全管理PC的IP地址是192.168.1.2/24，安全設備管理接口的IP地址是192.168.1.1/24，這樣配置后它們就都位于同一個網段192.168.1.0/24中。

在安全管理PC的“命令行”中，執行命令“ping 192.168.1.1”，看是否能ping通，若不通的話，可能是連接安全管理PC和安全設備的網線有故障，直到能ping通為止。

開啟安全設備的本地SSH 服務，并且允許管理賬號使用SSH。這是因為對大多數安全設備的WEB管理都是通過SSH連接設備的，這樣安全管理PC和安全設備之間傳輸的數據都是通過加密的，安全性比較高。也就是在安全管理PC的瀏覽器地址欄中只能輸入以“https”開頭的網址。

在安全管理PC的瀏覽器地址欄中輸入https://192.168.1.1回車，輸入用戶名和密碼后就可登陸到網絡安全設備的WEB管理界面，對其參數和性能進行配置。

 #p#

2、第二種模式：安全管理PC通過交換機管理安全設備

管理PC通過交換機連接到安全設備

圖4 管理PC通過交換機連接到安全設備

如圖4所示，安全設備位于VLAN 2、VLAN 3和VLAN 4中。這時，安全管理PC對位于同一個VLAN中的安全設備進行管理時，只需把安全管理PC直接連接到交換機上，PC和安全設備就都位于同一網段中。在這種模式中，對安全設備的管理，就不能使用“第一種模式”中的用CONSOLE口管理的方法，因為安全管理PC和安全設備沒有直接連接，而是通過交換機間接連接起來的。這種模式下，除了可以用“第一種模式”中的WEB方式對安全設備進行管理配置外，還可以用以下兩種方式對安全設備進行管理配置：

（1）Telnet方式管理。用這種方式對安全設備進行管理時，必須首先保證安全管理PC和安全設備之間有路由可達，并且可以用Telnet 方式登錄到安全設備上。在本例中，安全管理PC和安全設備位于同一個網段，所以滿足用Telnet方式管理的條件。另外，還要在安全設備上進行如下配置，才能采用Telnet 方式對其進行管理。

把一臺電腦的串口連接到安全設備的CONSOLE口上。通過CONSOLE口配置遠程用戶用Telnet方式登錄到安全設備上的用戶名和口令，管理級別，以及所屬服務等。

通過CONSOLE口配置提供Telnet 服務的IP地址，端口號等。

在安全管理PC上的“命令行”中，執行Telnet到網絡安全設備上的命令，然后輸入用戶名和口令，就可以登錄到安全設備上進行管理配置了。

（2）SSH方式管理。當用戶在一個不能保證安全的網絡環境中時，卻要遠程登錄到安全設備上。這時，SSH 特性就可以提供安全的信息保障，以及認證功能，起到保護安全設備不受諸如IP 地址欺詐、明文密碼截取等攻擊。安全管理PC以SSH方式登錄到安全設備之前，通常還要在安全設備上進行如下配置：

通過一臺電腦連接到安全設備的CONSOLE口，或者通過WEB管理方式，登錄到安全設備上。

在安全設備上配置SSH服務器的參數，如驗證方式，驗證重復的次數和兼容的SSH版本等。

在安全管理PC上運行SSH的終端軟件，如SecureCRT應用程序。在程序中設置正確的連接參數，輸入安全設備接口的IP 地址，就可與安全設備建立起連接，然后對其進行配置管理。#p#

3、第三種模式：通過安全中心服務器管理安全設備

通過安全中心服務器管理安全設備

圖5 通過安全中心服務器管理安全設備

如圖5所示，與第一、二種管理模式相比，此種模式把“安全管理PC”升級成了“安全中心服務器”。在服務器上就可以對網絡中所有的安全設備進行管理配置，而不用再把安全管理PC逐個的連接到安全設備或安全設備所在VLAN的交換機上。在這種管理模式中，除了不能直接連接到安全設備的CONSOLE口上對其進行管理配置外，其它的三種管理方式，WEB、Telnet和SSH在安全中心服務器上都可以使用。用安全中心服務器管理配置安全設備主要存在兩種網絡環境：

（1）安全中心服務器和安全設備管理接口的IP地址不在同一個網段。如圖5所示，安全中心服務器位于VLAN 13，IP地址為192.168.13.1/24。而漏洞掃描位于VLAN 3中，IP地址為192.168.3.1，它和安全服務中心服務器的地址位于不同的子網中。如果要讓安全服務中心服務器能訪問到漏洞掃描，就必須在兩臺Cisco 4510上添加三層配置，讓兩個VLAN間的數據能互相訪問。在4510A和4510B上的配置如下所示：

Cisco4510A上的配置：

Cisco4510A(config)#interface vlan 13  
Cisco4510A(config-if)#ip address 192.168.13.252 255.255.255.0  
//創建vlan 13的SVI接口，并指定IP地址  
Cisco4510A(config-if)#no shutdown  
Cisco4510A(config-if)ip helper-address 192.168.11.1  
//配置DHCP中繼功能  
Cisco4510A(config-if)standby 13 priority 150 preempt  
Cisco4510A(config-if)standby 13 ip 192.168.13.254  
//配置vlan 13的HSRP參數  
Cisco4510A(config)#interface vlan 3  
Cisco4510A(config-if)#ip address 192.168.3.252 255.255.255.0  
//創建vlan 3的SVI接口，并指定IP地址  
Cisco4510A(config-if)#no shutdown  
Cisco4510A(config-if)ip helper-address 192.168.11.1  
//配置DHCP中繼功能  
Cisco4510A(config-if)standby 3 priority 150 preempt  
Cisco4510A(config-if)standby 3 ip 192.168.3.254  
//配置vlan 3的HSRP參數  
Cisco4510B上的配置：  
Cisco4510B(config)#interface vlan 13  
Cisco4510B(config-if)#ip address 192.168.13.253 255.255.255.0  
//創建vlan 13的SVI接口，并指定IP地址  
Cisco4510B(config-if)#no shutdown  
Cisco4510B(config-if)ip helper-address 192.168.11.1  
//配置DHCP中繼功能  
Cisco4510B(config-if)standby 13 priority 140 preempt  
Cisco4510B(config-if)standby 13 ip 192.168.13.254  
//配置vlan 13的HSRP參數  
Cisco4510B(config)#interface vlan 3  
Cisco4510B(config-if)#ip address 192.168.3.253 255.255.255.0  
//創建vlan 3的SVI接口，并指定IP地址  
Cisco4510B(config-if)#no shutdown  
Cisco4510B(config-if)ip helper-address 192.168.11.1  
//配置DHCP中繼功能  
Cisco4510B(config-if)standby 3 priority 140 preempt  
Cisco4510B(config-if)standby 3 ip 192.168.3.254  
//配置vlan 3的HSRP參數 

因為4510和3560-E之間都是Trunk連接，所以在4510A和4510B上進行了如上配置后，安全中心服務器就能訪問到漏洞掃描安全設備。在安全中心服務器的瀏覽器地址欄中輸入https://192.168.3.1，就能登錄到漏洞掃描設備上，然后在WEB界面中就可以對其參數和性能進行配置。

（2）安全中心服務器和安全設備管理接口的IP地址都位于同一個網段中。這種網絡環境中，安全中心服務器要對安全設備進行管理時，在路由器或交換機上需要配置的命令就比較少。也就是在圖5中，只需把交換機上的配置命令進行簡單的改造，把所有的安全設備的管理接口的IP地址和安全中心服務器地址配置到同一個VLAN中。這樣在Cisco 4510上就不用進行三層配置。然后在安全中心服務器的瀏覽器地址欄中輸入安全設備的IP地址也能對各個安全設備進行管理配置。#p#

三、總結

1、以上三種網絡安全設備的管理模式，主要是根據網絡的規模和安全設備的多少，來決定使用那一種管理模式。三種模式之間沒有完全的優劣之分。若是網絡中就一兩臺安全設備，顯然采用第一種模式比較好。只需要一臺安全管理PC就可以。若是采用架設安全中心服務器的話就有些得不償失。如果安全設備較多，并且都分布在不同的網段，那選擇第二種模式就行，用兩三臺安全管理PC管理安全設備，比架設兩臺服務器還是要經濟很多。若是安全設備很多，就采用第三種模式，它至少能給網絡管理員節省很多的時間，因為在一臺服務器上就它就可以對所有的安全設備進行管理。

2、第三種管理模式中，安全中心服務器共使用了兩臺服務器。這主要是因為，在一些大型的網絡中，安全設備不只是有幾臺、十幾臺，有的已達上百臺，或者更多。管理這么多數量的安全設備，完全有必要架設兩臺服務器，保證管理安全設備的穩定性和可靠性。而且，安全中心服務器有時并不僅僅承擔者管理的功能，它有時還要提供安全設備軟件的升級功能。也就是在安全中心服務器上提供一個訪問Internet的接口，所有的安全設備都通過這個接口連接到互聯網上進行升級，例如防火墻系統版本、病毒特征庫的升級，IPS系統版本和特征值的升級等。若安全設備很多，升級數據量就會很大，若用兩臺服務器雙機均衡負載，會大大降低用一臺服務器升級時所面臨巨大數據量的壓力。

3、解決網絡安全問題主要是利用網絡管理措施，保證網絡環境中數據的機密性、完整性和可用性。確保經過網絡傳送的信息，在到達目的地時沒有任何增加、改變、丟失或被非法讀取。而且要從以前單純的以防、堵、隔為主，發展到現在的攻、防結合，注重動態安全。在網絡安全技術的應用上，要注意從正面防御的角度出發，控制好信息通信中數據的加密、數字簽名和認證、授權、訪問等。而從反面要做好漏洞掃描評估、入浸檢測、病毒防御、安全報警響應等。要對網絡安全有一個全面的了解，不僅需要掌握防護方面的知識，也需要掌握檢測和響應環節方面的知識。

最近發生的SONY泄密事件，也再一次給我們敲響了警鐘，網絡安全無小事，網絡安全管理必須從內、外兩方面來防范。計算機網絡最大的不安全，就是自認為網絡是安全的。在安全策略的制定、安全技術的采用和安全保障的獲得，其實很大程度上要取決于網絡管理員對安全威脅的把握。網絡上的威脅時刻存在，各種各樣的安全問題常常會掩蓋在平靜的表面之下，所以網絡安全管理員必須時刻提高警惕，把好網絡安全的每一道關卡。