目前,隨著互聯網的高速發展,網絡已深入到人們生活的各個方面。網絡帶給人們諸多好處的同時,也帶來了很多隱患。其中,安全問題就是最突出的一個。但是許多信息管理者和信息用戶對網絡安全認識不足,他們把大量的時間和精力用于提升網絡的性能和效率,結果導致黑客攻擊、惡意代碼、郵件炸彈等越來越多的安全威脅。
為了防范各種各樣的安全問題,許多網絡安全產品也相繼在網絡中得到推廣和應用。針對系統和軟件的漏洞,有漏洞掃描產品;為了讓因特網上的用戶能安全、便捷的訪問公司的內部網絡,有SSL VPN和IPSec VPN;為了防止黑客的攻擊入侵,有入侵防御系統和入侵檢測系統;而使用范圍最為廣泛的防火墻,常常是作為網絡安全屏障的第一道防線。網絡中安全設備使用的增多,相應的使設備的管理變得更加復雜。下面就通過一則實例,并結合網絡的規模和復雜程度,詳細闡述網絡中安全設備管理的三種模式。
▲
圖1 網絡結構圖
一、公司網絡架構
1、總架構
單位網絡結構圖如圖1所示。為了確保重要設備的穩定性和冗余性,核心層交換機使用兩臺Cisco 4510R,通過Trunk線連接。在接入層使用了多臺Cisco 3560-E交換機,圖示為了簡潔,只畫出了兩臺。在核心交換機上連接有單位重要的服務器,如DHCP、E-MAIL服務器、WEB服務器和視頻服務器等。單位IP地址的部署,使用的是C類私有192網段的地址。其中,DHCP服務器的地址為192.168.11.1/24。在網絡的核心區域部署有單位的安全設備,安全設備也都是通過Cisco 3560-E交換機接入到核心交換機4510R上,圖1中為了簡潔,沒有畫出3560-E交換機。
2、主要網絡設備配置
單位網絡主要分為業務網和辦公網,業務網所使用VLAN的范圍是VLAN 21至VLAN 100,辦公網所使用的VLAN范圍是VLAN 101至VLAN 200。兩個網都是通過兩臺核心交換機4510交換數據的,但在邏輯上是相互隔離的。單位的服務器都是直接連接到4510上,所使用的VLAN范圍是VLAN 11至VLAN 20。安全設備所使用的VLAN范圍是VLAN 2至VLAN 10。
二、網絡安全設備管理的三種模式
1、第一種模式:安全管理PC直接與安全設備進行連接
▲
圖2 安全管理PC和安全設備直接相連
如圖2所示,網絡中共有四臺安全設備:漏洞掃描、IDS、IPS和防火墻,若要對其中的一臺安全設備進行管理配置,就得把電腦直接連接到安全設備上,這種模式通常有以下兩種連接管理方式:
(1)串口連接管理。通過CONSOLE口直接連接到安全設備上,對其進行本地管理配置。這也是一種安全、可靠的配置維護方式。當安全設備初次上電、與外部網絡連接中斷或出現其它異常情況時,通常采用這種方式配置安全設備。配置步驟如下:
將安全管理PC 的串口與安全設備的CONSOLE口連接,然后在PC機上運行終端仿真程序,如Windows系統中的超級終端,或者使用SecureCRT應用程序。然后在終端仿真程序上建立新連接。
選擇實際連接安全設備時,使用的安全管理PC上的串口,配置終端通信參數,默認情況下都是:9600 波特、8 位數據位、1 位停止位、無校驗、無流控。
對安全設備進行上電自檢,系統自動進行配置,自檢結束后提示用戶鍵入回車,直到出現命令行提示符。然后就可鍵入命令,配置安全設備,或者查看其運行狀態。
上面連接方式中的配置參數,是一般情況下使用較多的一種,但對于不同設備可能會有不同的設置,例如對于防火墻,聯想KingGuard 8000的連接參數就和上面不一致,如圖3所示:
▲圖3 終端仿真程序連接安全設備的參數設定
波特率必須選擇38400,而且不能選擇“RTS/CTS”。其它的參數都和上面的都一致。這就要求用這種方式管理配置安全設備時,必須認真查看產品的說明書,不能在終端仿真程序上,對所有的參數都使用默認的進行配置。
(2)WEB方式管理。用這種方式對網絡安全設備進行管理,全都是以窗口界面操作的,比較容易理解和掌握。配置的步驟如下:
用網線把安全管理PC的網卡接口,直接連到安全設備的管理接口上。同時,也要對安全管理PC和安全設備的管理接口的IP地址進行配置,以便讓它們位于同一個網段。假如配置安全管理PC的IP地址是192.168.1.2/24,安全設備管理接口的IP地址是192.168.1.1/24,這樣配置后它們就都位于同一個網段192.168.1.0/24中。
在安全管理PC的“命令行”中,執行命令“ping 192.168.1.1”,看是否能ping通,若不通的話,可能是連接安全管理PC和安全設備的網線有故障,直到能ping通為止。
開啟安全設備的本地SSH 服務,并且允許管理賬號使用SSH。這是因為對大多數安全設備的WEB管理都是通過SSH連接設備的,這樣安全管理PC和安全設備之間傳輸的數據都是通過加密的,安全性比較高。也就是在安全管理PC的瀏覽器地址欄中只能輸入以“https”開頭的網址。
在安全管理PC的瀏覽器地址欄中輸入https://192.168.1.1回車,輸入用戶名和密碼后就可登陸到網絡安全設備的WEB管理界面,對其參數和性能進行配置。
京公網安備 11010502049343號