网络安全设备的三种管理模式

1、网络安全设备的三种管理模式目前，随着互联网的高速发展，网络已深入到人们生活的各个方面。网络带给人们诸多 好处的同时，也带来了很多隐患。其中，安全问题就是最突出的一个。但是许多信息管理者 和信息用户对网络安全认识不足，他们把大量的时间和精力用于提升网络的性能和效率，结 果导致黑客攻击、恶意代码、邮件炸弹等越来越多的安全威胁。为了防范各种各样的安全问题，许多网络安全产品也相继在网络中得到推广和应用。针 对系统和软件的漏洞，有漏洞扫描产品;为了让因特网上的用户能安全、便捷的访问公司的 内部网络，有SSL VPN和IPSec VPN;为了防止黑客的攻击入侵，有入侵防御系统和入侵检 测系统;而使用范围最

2、为广泛的防火墙，常常是作为网络安全屏障的第一道防线。网络中安 全设备使用的增多，相应的使设备的管理变得更加复杂。下面就通过一则实例，并结合网络 的规模和复杂程度，详细阐述网络中安全设备管理的三种模式。转播到腾讯微博图1网络结构图一、公司网络架构1、总架构单位网络结构图如图1所示。为了确保重要设备的稳定性和冗余性，核心层交换机使用 两台Cisco 4510R，通过Trunk线连接。在接入层使用了多台Cisco 3560-E交换机，图示为 了简洁，只画出了两台。在核心交换机上连接有单位重要的服务器，如DHCP、E-MAIL服 务器、WEB服务器和视频服务器等。单位IP地址的部署，使用的是C类私有1

3、92网段的地 址。其中，DHCP服务器的地址为/24。在网络的核心区域部署有单位的安全设 备，安全设备也都是通过Cisco 3560-E交换机接入到核心交换机4510R上，图1中为了简 洁，没有画出3560-E交换机。2、主要网络设备配置单位网络主要分为业务网和办公网，业务网所使用VLAN的范围是VLAN 21至VLAN 100，办公网所使用的VLAN范围是VLAN 101至VLAN 200。两个网都是通过两台核心交 换机4510交换数据的，但在逻辑上是相互隔离的。单位的服务器都是直接连接到4510上， 所使用的VLAN范围是VLAN 11至VLAN 20。安全设备所使用的VLAN范围是VLA

4、N 2 至 VLAN 10。二、网络安全设备管理的三种模式1、第一种模式：安全管理PC直接与安全设备进行连接转播到腾讯微博图2安全管理PC和安全设备直接相连如图2所示，网络中共有四台安全设备：漏洞扫描、IDS、IPS和防火墙，若要对其中 的一台安全设备进行管理配置，就得把电脑直接连接到安全设备上，这种模式通常有以下两 种连接管理方式：(1)串口连接管理。通过CONSOLE 口直接连接到安全设备上，对其进行本地管理配置。 这也是一种安全、可靠的配置维护方式。当安全设备初次上电、与外部网络连接中断或出现 其它异常情况时，通常采用这种方式配置安全设备。配置步骤如下：将安全管理PC的串口与安全设备的C

5、ONSOLE 口连接，然后在PC机上运行终端仿真 程序，如Windows系统中的超级终端，或者使用SecureCRT应用程序。然后在终端仿真程 序上建立新连接。选择实际连接安全设备时，使用的安全管理PC上的串口，配置终端通信参数，默认情 况下都是：9600波特、8位数据位、1位停止位、无校验、无流控。对安全设备进行上电自检，系统自动进行配置，自检结束后提示用户键入回车，直到出 现命令行提示符。然后就可键入命令，配置安全设备，或者查看其运行状态。上面连接方式中的配置参数，是一般情况下使用较多的一种，但对于不同设备可能会有 不同的设置，例如对于防火墙，联想KingGuard 8000的连接参数就和

6、上面不一致，如图3 所示：转播到腾讯微博图3终端仿真程序连接安全设备的参数设定波特率必须选择38400，而且不能选择“RTS/CTS”。其它的参数都和上面的都一致。这 就要求用这种方式管理配置安全设备时，必须认真查看产品的说明书，不能在终端仿真程序 上，对所有的参数都使用默认的进行配置。(2)WEB方式管理。用这种方式对网络安全设备进行管理，全都是以窗口界面操作的， 比较容易理解和掌握。配置的步骤如下：用网线把安全管理PC的网卡接口，直接连到安全设备的管理接口上。同时，也要对安 全管理PC和安全设备的管理接口的IP地址进行配置，以便让它们位于同一个网段。假如 配置安全管理PC的IP地址是/24

7、，安全设备管理接口的IP地址是/24, 这样配置后它们就都位于同一个网段/24中。在安全管理PC的“命令行”中，执行命令“ping ”，看是否能ping通，若不通 的话，可能是连接安全管理PC和安全设备的网线有故障，直到能ping通为止。开启安全设备的本地SSH服务，并且允许管理账号使用SSH。这是因为对大多数安全 设备的WEB管理都是通过SSH连接设备的，这样安全管理PC和安全设备之间传输的数据 都是通过加密的，安全性比较高。也就是在安全管理PC的浏览器地址栏中只能输入以“https” 开头的网址。在安全管理PC的浏览器地址栏中输入回车，输入用户名和密码后就 可登陆到网络安全设备的WEB管理

8、界面，对其参数和性能进行配置。在网络安全设备的三种管理模式(上)中，我们分析了网络安全设备的重要性，并介绍了 一种网络安全设备管理模式，即安全管理PC直接与安全设备进行连接。本文我们将继续介 绍另外两种管理模式。2、第二种模式：安全管理PC通过交换机管理安全设备图4管理PC通过交换机连接到安全设备如图4所示，安全设备位于VLAN 2、VLAN 3和VLAN 4中。这时，安全管理PC对 位于同一个VLAN中的安全设备进行管理时，只需把安全管理PC直接连接到交换机上， PC和安全设备就都位于同一网段中。在这种模式中，对安全设备的管理，就不能使用“第一 种模式”中的用CONSOLE 口管理的方法，因

9、为安全管理PC和安全设备没有直接连接，而 是通过交换机间接连接起来的。这种模式下，除了可以用第一种模式”中的WEB方式对安 全设备进行管理配置外，还可以用以下两种方式对安全设备进行管理配置：Telnet方式管理。用这种方式对安全设备进行管理时，必须首先保证安全管理PC和 安全设备之间有路由可达，并且可以用Telnet方式登录到安全设备上。在本例中，安全管 理PC和安全设备位于同一个网段，所以满足用Telnet方式管理的条件。另外，还要在安全 设备上进行如下配置，才能采用Telnet方式对其进行管理。把一台电脑的串口连接到安全设备的CONSOLE 口上。通过CONSOLE 口配置远程用 户用Te

10、lnet方式登录到安全设备上的用户名和口令，管理级别，以及所属服务等。通过CONSOLE 口配置提供Telnet服务的IP地址，端口号等。在安全管理PC上的“命令行”中，执行Telnet到网络安全设备上的命令，然后输入用户 名和口令，就可以登录到安全设备上进行管理配置了。SSH方式管理。当用户在一个不能保证安全的网络环境中时，却要远程登录到安全 设备上。这时，SSH特性就可以提供安全的信息保障，以及认证功能，起到保护安全设备 不受诸如IP地址欺诈、明文密码截取等攻击。安全管理PC以SSH方式登录到安全设备之 前，通常还要在安全设备上进行如下配置：通过一台电脑连接到安全设备的CONSOLE 口，

11、或者通过WEB管理方式，登录到安全 设备上。在安全设备上配置SSH服务器的参数，如验证方式，验证重复的次数和兼容的SSH版 本等。在安全管理PC上运行SSH的终端软件，如SecureCRT应用程序。在程序中设置正确 的连接参数，输入安全设备接口的IP地址，就可与安全设备建立起连接，然后对其进行配 置管理。3、第三种模式：通过安全中心服务器管理安全设备图5通过安全中心服务器管理安全设备如图5所示，与第一、二种管理模式相比，此种模式把“安全管理PC”升级成了“安全中 心服务器”。在服务器上就可以对网络中所有的安全设备进行管理配置，而不用再把安全管 理PC逐个的连接到安全设备或安全设备所在VLAN的

12、交换机上。在这种管理模式中，除了 不能直接连接到安全设备的CONSOLE 口上对其进行管理配置外，其它的三种管理方式，WEB、Telnet和SSH在安全中心服务器上都可以使用。用安全中心服务器管理配置安全设 备主要存在两种网络环境：(1)安全中心服务器和安全设备管理接口的IP地址不在同一个网段。如图5所示，安全 中心服务器位于VLAN 13，IP地址为/24。而漏洞扫描位于VLAN 3中，IP地 址为，它和安全服务中心服务器的地址位于不同的子网中。如果要让安全服务中 心服务器能访问到漏洞扫描，就必须在两台Cisco 4510上添加三层配置，让两个VLAN间 的数据能互相访问。在4510A和45

13、10B上的配置如下所示：Cisco4510A上的配置：Cisco4510A(config)#interface vlan 13Cisco4510A(config-if)#ip address 52 创建vlan 13的SVI接口，并指定IP地址Cisco4510A(config-if)#no shutdownCisco4510A(config-if)ip helper-address /配置DHCP中继功能Cisco4510A(config-if)standby 13 priority 150 preemptCisco4510A(config-if)standby 13 ip 54/配置vla

14、n 13的HSRP参数Cisco4510A(config)#interface vlan 3Cisco4510A(config-if)#ip address 52 创建vlan 3的SVI接口，并指定IP地址Cisco4510A(config-if)#no shutdownCisco4510A(config-if)ip helper-address /配置DHCP中继功能Cisco4510A(config-if)standby 3 priority 150 preemptCisco4510A(config-if)standby 3 ip 54/配置vlan 3的HSRP参数Cisco4510B

15、上的配置：Cisco4510B(config)#interface vlan 13Cisco4510B(config-if)#ip address 53 创建vlan 13的SVI接口，并指定IP地址Cisco4510B(config-if)#no shutdownCisco4510B(config-if)ip helper-address /配置DHCP中继功能Cisco4510B(config-if)standby 13 priority 140 preemptCisco4510B(config-if)standby 13 ip 54/配置vlan 13的HSRP参数Cisco4510B(

16、config)#interface vlan 3Cisco4510B(config-if)#ip address 53 创建vlan 3的SVI接口，并指定IP地址Cisco4510B(config-if)#no shutdownCisco4510B(config-if)ip helper-address /配置DHCP中继功能Cisco4510B(config-if)standby 3 priority 140 preemptCisco4510B(config-if)standby 3 ip 54/配置vlan 3的HSRP参数因为4510和3560-E之间都是Trunk连接，所以在4510

17、A和4510B上进行了如上配置 后，安全中心服务器就能访问到漏洞扫描安全设备。在安全中心服务器的浏览器地址栏中输 入，就能登录到漏洞扫描设备上，然后在WEB界面中就可以对其参数和 性能进行配置。(2)安全中心服务器和安全设备管理接口的IP地址都位于同一个网段中。这种网络环境 中，安全中心服务器要对安全设备进行管理时，在路由器或交换机上需要配置的命令就比较 少。也就是在图5中，只需把交换机上的配置命令进行简单的改造，把所有的安全设备的管 理接口的IP地址和安全中心服务器地址配置到同一个VLAN中。这样在Cisco 4510上就不 用进行三层配置。然后在安全中心服务器的浏览器地址栏中输入安全设备的

18、IP地址也能对 各个安全设备进行管理配置。三、总结1、以上三种网络安全设备的管理模式，主要是根据网络的规模和安全设备的多少，来 决定使用那一种管理模式。三种模式之间没有完全的优劣之分。若是网络中就一两台安全设 备，显然采用第一种模式比较好。只需要一台安全管理PC就可以。若是采用架设安全中心 服务器的话就有些得不偿失。如果安全设备较多，并且都分布在不同的网段，那选择第二种 模式就行，用两三台安全管理PC管理安全设备，比架设两台服务器还是要经济很多。若是 安全设备很多，就采用第三种模式，它至少能给网络管理员节省很多的时间，因为在一台服 务器上就它就可以对所有的安全设备进行管理。2、第三种管理模式中，安全中心服务器共使用了两台服务器。这主要是因为，在一些 大型的网络中，安全设备不只是有几台、十几台，有的已达上百台，或者更多。管理这么多 数量的安全设备，完全有必要架设两台服务器，保证管理安全设备的稳定性和可靠性。而且， 安全中心服务器有时并不仅仅承担者管理的功能，它有时还要提供安全设备软