目前,隨著互聯(lián)網(wǎng)的高速發(fā)展,網(wǎng)絡(luò)已深入到人們生活的各個(gè)方面。網(wǎng)絡(luò)帶給人們諸多好處的同時(shí),也帶來了很多隱患。其中,安全問題就是最突出的一個(gè)。但是許多信息管理者和信息用戶對(duì)網(wǎng)絡(luò)安全認(rèn)識(shí)不足,他們把大量的時(shí)間和精力用于提升網(wǎng)絡(luò)的性能和效率,結(jié)果導(dǎo)致黑客攻擊、惡意代碼、郵件炸彈等越來越多的安全威脅。
為了防范各種各樣的安全問題,許多網(wǎng)絡(luò)安全產(chǎn)品也相繼在網(wǎng)絡(luò)中得到推廣和應(yīng)用。針對(duì)系統(tǒng)和軟件的漏洞,有漏洞掃描產(chǎn)品;為了讓因特網(wǎng)上的用戶能安全、便捷的訪問公司的內(nèi)部網(wǎng)絡(luò),有SSL VPN和IPSec VPN;為了防止黑客的攻擊入侵,有入侵防御系統(tǒng)和入侵檢測(cè)系統(tǒng);而使用范圍最為廣泛的防火墻,常常是作為網(wǎng)絡(luò)安全屏障的第一道防線。網(wǎng)絡(luò)中安全設(shè)備使用的增多,相應(yīng)的使設(shè)備的管理變得更加復(fù)雜。下面就通過一則實(shí)例,并結(jié)合網(wǎng)絡(luò)的規(guī)模和復(fù)雜程度,詳細(xì)闡述網(wǎng)絡(luò)中安全設(shè)備管理的三種模式。
▲
圖1 網(wǎng)絡(luò)結(jié)構(gòu)圖
一、公司網(wǎng)絡(luò)架構(gòu)
1、總架構(gòu)
單位網(wǎng)絡(luò)結(jié)構(gòu)圖如圖1所示。為了確保重要設(shè)備的穩(wěn)定性和冗余性,核心層交換機(jī)使用兩臺(tái)Cisco 4510R,通過Trunk線連接。在接入層使用了多臺(tái)Cisco 3560-E交換機(jī),圖示為了簡(jiǎn)潔,只畫出了兩臺(tái)。在核心交換機(jī)上連接有單位重要的服務(wù)器,如DHCP、E-MAIL服務(wù)器、WEB服務(wù)器和視頻服務(wù)器等。單位IP地址的部署,使用的是C類私有192網(wǎng)段的地址。其中,DHCP服務(wù)器的地址為192.168.11.1/24。在網(wǎng)絡(luò)的核心區(qū)域部署有單位的安全設(shè)備,安全設(shè)備也都是通過Cisco 3560-E交換機(jī)接入到核心交換機(jī)4510R上,圖1中為了簡(jiǎn)潔,沒有畫出3560-E交換機(jī)。
2、主要網(wǎng)絡(luò)設(shè)備配置
單位網(wǎng)絡(luò)主要分為業(yè)務(wù)網(wǎng)和辦公網(wǎng),業(yè)務(wù)網(wǎng)所使用VLAN的范圍是VLAN 21至VLAN 100,辦公網(wǎng)所使用的VLAN范圍是VLAN 101至VLAN 200。兩個(gè)網(wǎng)都是通過兩臺(tái)核心交換機(jī)4510交換數(shù)據(jù)的,但在邏輯上是相互隔離的。單位的服務(wù)器都是直接連接到4510上,所使用的VLAN范圍是VLAN 11至VLAN 20。安全設(shè)備所使用的VLAN范圍是VLAN 2至VLAN 10。
二、網(wǎng)絡(luò)安全設(shè)備管理的三種模式
1、第一種模式:安全管理PC直接與安全設(shè)備進(jìn)行連接
▲
圖2 安全管理PC和安全設(shè)備直接相連
如圖2所示,網(wǎng)絡(luò)中共有四臺(tái)安全設(shè)備:漏洞掃描、IDS、IPS和防火墻,若要對(duì)其中的一臺(tái)安全設(shè)備進(jìn)行管理配置,就得把電腦直接連接到安全設(shè)備上,這種模式通常有以下兩種連接管理方式:
(1)串口連接管理。通過CONSOLE口直接連接到安全設(shè)備上,對(duì)其進(jìn)行本地管理配置。這也是一種安全、可靠的配置維護(hù)方式。當(dāng)安全設(shè)備初次上電、與外部網(wǎng)絡(luò)連接中斷或出現(xiàn)其它異常情況時(shí),通常采用這種方式配置安全設(shè)備。配置步驟如下:
將安全管理PC 的串口與安全設(shè)備的CONSOLE口連接,然后在PC機(jī)上運(yùn)行終端仿真程序,如Windows系統(tǒng)中的超級(jí)終端,或者使用SecureCRT應(yīng)用程序。然后在終端仿真程序上建立新連接。
選擇實(shí)際連接安全設(shè)備時(shí),使用的安全管理PC上的串口,配置終端通信參數(shù),默認(rèn)情況下都是:9600 波特、8 位數(shù)據(jù)位、1 位停止位、無校驗(yàn)、無流控。
對(duì)安全設(shè)備進(jìn)行上電自檢,系統(tǒng)自動(dòng)進(jìn)行配置,自檢結(jié)束后提示用戶鍵入回車,直到出現(xiàn)命令行提示符。然后就可鍵入命令,配置安全設(shè)備,或者查看其運(yùn)行狀態(tài)。
上面連接方式中的配置參數(shù),是一般情況下使用較多的一種,但對(duì)于不同設(shè)備可能會(huì)有不同的設(shè)置,例如對(duì)于防火墻,聯(lián)想KingGuard 8000的連接參數(shù)就和上面不一致,如圖3所示:
▲圖3 終端仿真程序連接安全設(shè)備的參數(shù)設(shè)定
波特率必須選擇38400,而且不能選擇“RTS/CTS”。其它的參數(shù)都和上面的都一致。這就要求用這種方式管理配置安全設(shè)備時(shí),必須認(rèn)真查看產(chǎn)品的說明書,不能在終端仿真程序上,對(duì)所有的參數(shù)都使用默認(rèn)的進(jìn)行配置。
(2)WEB方式管理。用這種方式對(duì)網(wǎng)絡(luò)安全設(shè)備進(jìn)行管理,全都是以窗口界面操作的,比較容易理解和掌握。配置的步驟如下:
用網(wǎng)線把安全管理PC的網(wǎng)卡接口,直接連到安全設(shè)備的管理接口上。同時(shí),也要對(duì)安全管理PC和安全設(shè)備的管理接口的IP地址進(jìn)行配置,以便讓它們位于同一個(gè)網(wǎng)段。假如配置安全管理PC的IP地址是192.168.1.2/24,安全設(shè)備管理接口的IP地址是192.168.1.1/24,這樣配置后它們就都位于同一個(gè)網(wǎng)段192.168.1.0/24中。
在安全管理PC的“命令行”中,執(zhí)行命令“ping 192.168.1.1”,看是否能ping通,若不通的話,可能是連接安全管理PC和安全設(shè)備的網(wǎng)線有故障,直到能ping通為止。
開啟安全設(shè)備的本地SSH 服務(wù),并且允許管理賬號(hào)使用SSH。這是因?yàn)閷?duì)大多數(shù)安全設(shè)備的WEB管理都是通過SSH連接設(shè)備的,這樣安全管理PC和安全設(shè)備之間傳輸?shù)臄?shù)據(jù)都是通過加密的,安全性比較高。也就是在安全管理PC的瀏覽器地址欄中只能輸入以“https”開頭的網(wǎng)址。
在安全管理PC的瀏覽器地址欄中輸入https://192.168.1.1回車,輸入用戶名和密碼后就可登陸到網(wǎng)絡(luò)安全設(shè)備的WEB管理界面,對(duì)其參數(shù)和性能進(jìn)行配置。