网络安全设备的三种管理模式.pdfVIP

网络安全设备的三种管理模式 目前，随着互联网的高速发展，网络已深入到人们生活的各个方面。网络带给人们诸多 好处的同时，也带来了很多隐患。其中，安全问题就是最突出的一个。但是许多信息管理者 和信息用户对网络安全认识不足，他们把大量的时间和精力用于提升网络的性能和效率，结 果导致黑客攻击、恶意代码、邮件炸弹等越来越多的安全威胁。 为了防范各种各样的安全问题，许多网络安全产品也相继在网络中得到推广和应用。针 对系统和软件的漏洞，有漏洞扫描产品;为了让因特网上的用户能安全、便捷的访问公司的 内部网络，有SSL VPN 和IPSec VPN;为了防止黑客的攻击入侵，有入侵防御系统和入侵检 测系统;而使用范围最为广泛的防火墙，常常是作为网络安全屏障的第一道防线。网络中安 全设备使用的增多，相应的使设备的管理变得更加复杂。下面就通过一则实例，并结合网络 的规模和复杂程度，详细阐述网络中安全设备管理的三种模式。 转播到腾讯微博 图1 网络结构图 一、公司网络架构 1、总架构 单位网络结构图如图1 所示。为了确保重要设备的稳定性和冗余性，核心层交换机使用 两台Cisco 4510R ，通过Trunk 线连接。在接入层使用了多台Cisco 3560-E 交换机，图示为 了简洁，只画出了两台。在核心交换机上连接有单位重要的服务器，如DHCP 、E-MAIL 服 务器、WEB 服务器和视频服务器等。单位IP 地址的部署，使用的是C 类私有192 网段的地 址。其中，DHCP 服务器的地址为/24。在网络的核心区域部署有单位的安全设 备，安全设备也都是通过Cisco 3560-E 交换机接入到核心交换机4510R 上，图1 中为了简 洁，没有画出3560-E 交换机。 2、主要网络设备配置 单位网络主要分为业务网和办公网，业务网所使用VLAN 的范围是VLAN 21 至VLAN 100，办公网所使用的VLAN 范围是VLAN 101 至VLAN 200 。两个网都是通过两台核心交 换机4510 交换数据的，但在逻辑上是相互隔离的。单位的服务器都是直接连接到4510 上， 所使用的VLAN 范围是VLAN 11 至VLAN 20 。安全设备所使用的VLAN 范围是VLAN 2 至VLAN 10 。 二、网络安全设备管理的三种模式 1、第一种模式：安全管理PC 直接与安全设备进行连接 转播到腾讯微博 图2 安全管理PC 和安全设备直接相连 如图2 所示，网络中共有四台安全设备：漏洞扫描、IDS、IPS 和防火墙，若要对其中 的一台安全设备进行管理配置，就得把电脑直接连接到安全设备上，这种模式通常有以下两 种连接管理方式： (1)串口连接管理。通过CONSOLE 口直接连接到安全设备上，对其进行本地管理配置。 这也是一种安全、可靠的配置维护方式。当安全设备初次上电、与外部网络连接中断或出现 其它异常情况时，通常采用这种方式配置安全设备。配置步骤如下： 将安全管理PC 的串口与安全设备的CONSOLE 口连接，然后在PC 机上运行终端仿真 程序，如Windows 系统中的超级终端，或者使用SecureCRT 应用程序。然后在终端仿真程 序上建立新连接。 选择实际连接安全设备时，使用的安全管理PC 上的串口，配置终端通信参数，默认情 况下都是：9600 波特、8 位数据位、1 位停止位、无校验、无流控。 对安全设备进行上电自检，系统自动进行配置，自检结束后提示用户键入回车，直到出 现命令行提示符。然后就可键入命令，配置安全设备，或者查看其运行状态。 上面连接方式中的配置参数，是一般情况下使用较多的一种，但对于不同设备可能会有 不同的设置，例如对于防火墙，联想 KingGuard 8000 的连接参数就和上面不一致，如图3 所示： 转播到腾讯微博 图3 终端仿真程序连接安全设备的参数设定 波特率必须选择38400，而且不能选择“RTS/CTS” 。其它的参数都和上面的都一致。这 就要求用这种方式管理配置安全设备时，必须认真查看产品的说明书，不能在终端仿真程序 上，对所有的参数都使用默认的进行配置。 (2)WEB 方式管理。用这种方式对网络安全设备进行管理，全都是以窗口界面操作的， 比较容易理解和掌握。配置的步骤如下： 用网线把安全管理PC 的网卡接口，直接连到安全设备的