目前,隨著互聯網的高速發展,網絡已深入到人們生活的各個方面。網絡帶給人們諸多好處的同時,也帶來了很多隱患。其中,安全問題就是最突出的一個。但是許多信息管理者和信息用戶對網絡安全認識不足,他們把大量的時間和精力用于提升網絡的性能和效率,結果導致黑客攻擊、惡意代碼、郵件炸彈等越來越多的安全威脅。
為了防范各種各樣的安全問題,許多網絡安全產品也相繼在網絡中得到推廣和應用。針對系統和軟件的漏洞,有漏洞掃描產品;為了讓因特網上的用戶能安全、便捷的訪問公司的內部網絡,有SSL VPN和IPSec VPN;為了防止黑客的攻擊入侵,有入侵防御系統和入侵檢測系統;而使用范圍最為廣泛的防火墻,常常是作為網絡安全屏障的第一道防線。網絡中安全設備使用的增多,相應的使設備的管理變得更加復雜。下面就通過一則實例,并結合網絡的規模和復雜程度,詳細闡述網絡中安全設備管理的三種模式。
圖1 網絡結構圖
一、公司網絡架構
1、總架構
單位網絡結構圖如圖1所示。為了確保重要設備的穩定性和冗余性,核心層交換機使用兩臺Cisco 4510R,通過Trunk線連接。在接入層使用了多臺Cisco 3560-E交換機,圖示為了簡潔,只畫出了兩臺。在核心交換機上連接有單位重要的服務器,如DHCP、E-MAIL服務器、WEB服務器和視頻服務器等。單位IP地址的部署,使用的是C類私有192網段的地址。其中,DHCP服務器的地址為192.168.11.1/24。在網絡的核心區域部署有單位的安全設備,安全設備也都是通過Cisco 3560-E交換機接入到核心交換機4510R上,圖1中為了簡潔,沒有畫出3560-E交換機。
2、主要網絡設備配置
單位網絡主要分為業務網和辦公網,業務網所使用VLAN的范圍是VLAN 21至VLAN 100,辦公網所使用的VLAN范圍是VLAN 101至VLAN 200。兩個網都是通過兩臺核心交換機4510交換數據的,但在邏輯上是相互隔離的。單位的服務器都是直接連接到4510上,所使用的VLAN范圍是VLAN 11至VLAN 20。安全設備所使用的VLAN范圍是VLAN 2至VLAN 10。
2、第二種模式:安全管理PC通過交換機管理安全設備
管理PC通過交換機連接到安全設備
圖2 管理PC通過交換機連接到安全設備
如圖2所示,安全設備位于VLAN 2、VLAN 3和VLAN 4中。這時,安全管理PC對位于同一個VLAN中的安全設備進行管理時,只需把安全管理PC直接連接到交換機上,PC和安全設備就都位于同一網段中。在這種模式中,對安全設備的管理,就不能使用“第一種模式”中的用CONSOLE口管理的方法,因為安全管理PC和安全設備沒有直接連接,而是通過交換機間接連接起來的。這種模式下,除了可以用“第一種模式”中的WEB方式對安全設備進行管理配置外,還可以用以下兩種方式對安全設備進行管理配置:
(1)Telnet方式管理。用這種方式對安全設備進行管理時,必須首先保證安全管理PC和安全設備之間有路由可達,并且可以用Telnet 方式登錄到安全設備上。在本例中,安全管理PC和安全設備位于同一個網段,所以滿足用Telnet方式管理的條件。另外,還要在安全設備上進行如下配置,才能采用Telnet 方式對其進行管理。
把一臺電腦的串口連接到安全設備的CONSOLE口上。通過CONSOLE口配置遠程用戶用Telnet方式登錄到安全設備上的用戶名和口令,管理級別,以及所屬服務等。
通過CONSOLE口配置提供Telnet 服務的IP地址,端口號等。
在安全管理PC上的“命令行”中,執行Telnet到網絡安全設備上的命令,然后輸入用戶名和口令,就可以登錄到安全設備上進行管理配置了。
(2)SSH方式管理。當用戶在一個不能保證安全的網絡環境中時,卻要遠程登錄到安全設備上。這時,SSH 特性就可以提供安全的信息保障,以及認證功能,起到保護安全設備不受諸如IP 地址欺詐、明文密碼截取等攻擊。安全管理PC以SSH方式登錄到安全設備之前,通常還要在安全設備上進行如下配置:
通過一臺電腦連接到安全設備的CONSOLE口,或者通過WEB管理方式,登錄到安全設備上。
在安全設備上配置SSH服務器的參數,如驗證方式,驗證重復的次數和兼容的SSH版本等。
在安全管理PC上運行SSH的終端軟件,如SecureCRT應用程序。在程序中設置正確的連接參數,輸入安全設備接口的IP 地址,就可與安全設備建立起連接,然后對其進行配置管理。
3、第三種模式:通過安全中心服務器管理安全設備
通過安全中心服務器管理安全設備
圖3 通過安全中心服務器管理安全設備
如圖3所示,與第一、二種管理模式相比,此種模式把“安全管理PC”升級成了“安全中心服務器”。在服務器上就可以對網絡中所有的安全設備進行管理配置,而不用再把安全管理PC逐個的連接到安全設備或安全設備所在VLAN的交換機上。在這種管理模式中,除了不能直接連接到安全設備的CONSOLE口上對其進行管理配置外,其它的三種管理方式,WEB、Telnet和SSH在安全中心服務器上都可以使用。用安全中心服務器管理配置安全設備主要存在兩種網絡環境:
(1)安全中心服務器和安全設備管理接口的IP地址不在同一個網段。如圖5所示,安全中心服務器位于VLAN 13,IP地址為192.168.13.1/24。而漏洞掃描位于VLAN 3中,IP地址為192.168.3.1,它和安全服務中心服務器的地址位于不同的子網中。如果要讓安全服務中心服務器能訪問到漏洞掃描,就必須在兩臺Cisco 4510上添加三層配置,讓兩個VLAN間的數據能互相訪問。在4510A和4510B上的配置如下所示:
Cisco4510A上的配置:
Cisco4510A(config)#interface vlan 13
Cisco4510A(config-if)#ip address 192.168.13.252 255.255.255.0
//創建vlan 13的SVI接口,并指定IP地址
Cisco4510A(config-if)#no shutdown
Cisco4510A(config-if)ip helper-address 192.168.11.1
//配置DHCP中繼功能
Cisco4510A(config-if)standby 13 priority 150 preempt
Cisco4510A(config-if)standby 13 ip 192.168.13.254
//配置vlan 13的HSRP參數
Cisco4510A(config)#interface vlan 3
Cisco4510A(config-if)#ip address 192.168.3.252 255.255.255.0
//創建vlan 3的SVI接口,并指定IP地址
Cisco4510A(config-if)#no shutdown
Cisco4510A(config-if)ip helper-address 192.168.11.1
//配置DHCP中繼功能
Cisco4510A(config-if)standby 3 priority 150 preempt
Cisco4510A(config-if)standby 3 ip 192.168.3.254
//配置vlan 3的HSRP參數
Cisco4510B上的配置:
Cisco4510B(config)#interface vlan 13
Cisco4510B(config-if)#ip address 192.168.13.253 255.255.255.0
//創建vlan 13的SVI接口,并指定IP地址
Cisco4510B(config-if)#no shutdown
Cisco4510B(config-if)ip helper-address 192.168.11.1
//配置DHCP中繼功能
Cisco4510B(config-if)standby 13 priority 140 preempt
Cisco4510B(config-if)standby 13 ip 192.168.13.254
//配置vlan 13的HSRP參數
Cisco4510B(config)#interface vlan 3
Cisco4510B(config-if)#ip address 192.168.3.253 255.255.255.0
//創建vlan 3的SVI接口,并指定IP地址
Cisco4510B(config-if)#no shutdown
Cisco4510B(config-if)ip helper-address 192.168.11.1
//配置DHCP中繼功能
Cisco4510B(config-if)standby 3 priority 140 preempt
Cisco4510B(config-if)standby 3 ip 192.168.3.254
//配置vlan 3的HSRP參數
因為4510和3560-E之間都是Trunk連接,所以在4510A和4510B上進行了如上配置后,安全中心服務器就能訪問到漏洞掃描安全設備。在安全中心服務器的瀏覽器地址欄中輸入https://192.168.3.1,就能登錄到漏洞掃描設備上,然后在WEB界面中就可以對其參數和性能進行配置。
(2)安全中心服務器和安全設備管理接口的IP地址都位于同一個網段中。這種網絡環境中,安全中心服務器要對安全設備進行管理時,在路由器或交換機上需要配置的命令就比較少。也就是在圖5中,只需把交換機上的配置命令進行簡單的改造,把所有的安全設備的管理接口的IP地址和安全中心服務器地址配置到同一個VLAN中。這樣在Cisco 4510上就不用進行三層配置。然后在安全中心服務器的瀏覽器地址欄中輸入安全設備的IP地址也能對各個安全設備進行管理配置。
三、總結
1、以上三種網絡安全設備的管理模式,主要是根據網絡的規模和安全設備的多少,來決定使用那一種管理模式。三種模式之間沒有完全的優劣之分。若是網絡中就一兩臺安全設備,顯然采用第一種模式比較好。只需要一臺安全管理PC就可以。若是采用架設安全中心服務器的話就有些得不償失。如果安全設備較多,并且都分布在不同的網段,那選擇第二種模式就行,用兩三臺安全管理PC管理安全設備,比架設兩臺服務器還是要經濟很多。若是安全設備很多,就采用第三種模式,它至少能給網絡管理員節省很多的時間,因為在一臺服務器上就它就可以對所有的安全設備進行管理。
2、第三種管理模式中,安全中心服務器共使用了兩臺服務器。這主要是因為,在一些大型的網絡中,安全設備不只是有幾臺、十幾臺,有的已達上百臺,或者更多。管理這么多數量的安全設備,完全有必要架設兩臺服務器,保證管理安全設備的穩定性和可靠性。而且,安全中心服務器有時并不僅僅承擔者管理的功能,它有時還要提供安全設備軟件的升級功能。也就是在安全中心服務器上提供一個訪問Internet的接口,所有的安全設備都通過這個接口連接到互聯網上進行升級,例如防火墻系統版本、病毒特征庫的升級,IPS系統版本和特征值的升級等。若安全設備很多,升級數據量就會很大,若用兩臺服務器雙機均衡負載,會大大降低用一臺服務器升級時所面臨巨大數據量的壓力。
3、解決網絡安全問題主要是利用網絡管理措施,保證網絡環境中數據的機密性、完整性和可用性。確保經過網絡傳送的信息,在到達目的地時沒有任何增加、改變、丟失或被非法讀取。而且要從以前單純的以防、堵、隔為主,發展到現在的攻、防結合,注重動態安全。在網絡安全技術的應用上,要注意從正面防御的角度出發,控制好信息通信中數據的加密、數字簽名和認證、授權、訪問等。而從反面要做好漏洞掃描評估、入浸檢測、病毒防御、安全報警響應等。要對網絡安全有一個全面的了解,不僅需要掌握防護方面的知識,也需要掌握檢測和響應環節方面的知識。
最近發生的SONY泄密事件,也再一次給我們敲響了警鐘,網絡安全無小事,網絡安全管理必須從內、外兩方面來防范。計算機網絡最大的不安全,就是自認為網絡是安全的。在安全策略的制定、安全技術的采用和安全保障的獲得,其實很大程度上要取決于網絡管理員對安全威脅的把握。網絡上的威脅時刻存在,各種各樣的安全問題常常會掩蓋在平靜的表面之下,所以網絡安全管理員必須時刻提高警惕,把好網絡安全的每一道關卡。
京公網安備 11010502049343號