实例解读:网络安全设备的三种管理模式(上)

日期: 2011-06-15 作者:seasunw 来源:TechTarget中国

目前,随着互联网的高速发展,网络已深入到人们生活的各个方面。网络带给人们诸多好处的同时,也带来了很多隐患。其中,安全问题就是最突出的一个。但是许多信息管理者和信息用户对网络安全认识不足,他们把大量的时间和精力用于提升网络的性能和效率,结果导致黑客攻击、恶意代码、邮件炸弹等越来越多的安全威胁。

  为了防范各种各样的安全问题,许多网络安全产品也相继在网络中得到推广和应用。针对系统和软件的漏洞,有漏洞扫描产品;为了让因特网上的用户能安全、便捷的访问公司的内部网络,有SSL VPN和IPSec VPN;为了防止黑客的攻击入侵,有入侵防御系统和入侵检测系统;而使用范围最为广泛的防火墙,常常是作为网络安……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

目前,随着互联网的高速发展,网络已深入到人们生活的各个方面。网络带给人们诸多好处的同时,也带来了很多隐患。其中,安全问题就是最突出的一个。但是许多信息管理者和信息用户对网络安全认识不足,他们把大量的时间和精力用于提升网络的性能和效率,结果导致黑客攻击、恶意代码、邮件炸弹等越来越多的安全威胁。

  为了防范各种各样的安全问题,许多网络安全产品也相继在网络中得到推广和应用。针对系统和软件的漏洞,有漏洞扫描产品;为了让因特网上的用户能安全、便捷的访问公司的内部网络,有SSL VPN和IPSec VPN;为了防止黑客的攻击入侵,有入侵防御系统和入侵检测系统;而使用范围最为广泛的防火墙,常常是作为网络安全屏障的第一道防线。网络中安全设备使用的增多,相应的使设备的管理变得更加复杂。下面就通过一则实例,并结合网络的规模和复杂程度,详细阐述网络中安全设备管理的三种模式。

网络结构图

图1 网络结构图

  一、公司网络架构

  1、总架构

  单位网络结构图如图1所示。为了确保重要设备的稳定性和冗余性,核心层交换机使用两台Cisco 4510R,通过Trunk线连接。在接入层使用了多台Cisco 3560-E交换机,图示为了简洁,只画出了两台。在核心交换机上连接有单位重要的服务器,如DHCP、E-MAIL服务器、WEB服务器和视频服务器等。单位IP地址的部署,使用的是C类私有192网段的地址。其中,DHCP服务器的地址为192.168.11.1/24。在网络的核心区域部署有单位的安全设备,安全设备也都是通过Cisco 3560-E交换机接入到核心交换机4510R上,图1中为了简洁,没有画出3560-E交换机。

  2、主要网络设备配置

  单位网络主要分为业务网和办公网,业务网所使用VLAN的范围是VLAN 21至VLAN 100,办公网所使用的VLAN范围是VLAN 101至VLAN 200。两个网都是通过两台核心交换机4510交换数据的,但在逻辑上是相互隔离的。单位的服务器都是直接连接到4510上,所使用的VLAN范围是VLAN 11至VLAN 20。安全设备所使用的VLAN范围是VLAN 2至VLAN 10。

  二、网络安全设备管理的三种模式

  1、第一种模式:安全管理PC直接与安全设备进行连接

安全管理PC和安全设备直接相连

图2 安全管理PC和安全设备直接相连

  如图2所示,网络中共有四台安全设备:漏洞扫描、IDS、IPS和防火墙,若要对其中的一台安全设备进行管理配置,就得把电脑直接连接到安全设备上,这种模式通常有以下两种连接管理方式:

  (1)串口连接管理。通过CONSOLE口直接连接到安全设备上,对其进行本地管理配置。这也是一种安全、可靠的配置维护方式。当安全设备初次上电、与外部网络连接中断或出现其它异常情况时,通常采用这种方式配置安全设备。配置步骤如下:

  • 将安全管理PC 的串口与安全设备的CONSOLE口连接,然后在PC机上运行终端仿真程序,如Windows系统中的超级终端,或者使用SecureCRT应用程序。然后在终端仿真程序上建立新连接。
  • 选择实际连接安全设备时,使用的安全管理PC上的串口,配置终端通信参数,默认情况下都是:9600 波特、8 位数据位、1 位停止位、无校验、无流控。
  • 对安全设备进行上电自检,系统自动进行配置,自检结束后提示用户键入回车,直到出现命令行提示符。然后就可键入命令,配置安全设备,或者查看其运行状态。

  上面连接方式中的配置参数,是一般情况下使用较多的一种,但对于不同设备可能会有不同的设置,例如对于防火墙,联想KingGuard 8000的连接参数就和上面不一致,如图3所示:

终端仿真程序连接安全设备的参数设定

图3 终端仿真程序连接安全设备的参数设定

  波特率必须选择38400,而且不能选择“RTS/CTS”。其它的参数都和上面的都一致。这就要求用这种方式管理配置安全设备时,必须认真查看产品的说明书,不能在终端仿真程序上,对所有的参数都使用默认的进行配置。

  (2)WEB方式管理。用这种方式对网络安全设备进行管理,全都是以窗口界面操作的,比较容易理解和掌握。配置的步骤如下:

  • 用网线把安全管理PC的网卡接口,直接连到安全设备的管理接口上。同时,也要对安全管理PC和安全设备的管理接口的IP地址进行配置,以便让它们位于同一个网段。假如配置安全管理PC的IP地址是192.168.1.2/24,安全设备管理接口的IP地址是192.168.1.1/24,这样配置后它们就都位于同一个网段192.168.1.0/24中。
  • 在安全管理PC的“命令行”中,执行命令“ping 192.168.1.1”,看是否能ping通,若不通的话,可能是连接安全管理PC和安全设备的网线有故障,直到能ping通为止。
  • 开启安全设备的本地SSH 服务,并且允许管理账号使用SSH。这是因为对大多数安全设备的WEB管理都是通过SSH连接设备的,这样安全管理PC和安全设备之间传输的数据都是通过加密的,安全性比较高。也就是在安全管理PC的浏览器地址栏中只能输入以“https”开头的网址。
  • 在安全管理PC的浏览器地址栏中输入https://192.168.1.1回车,输入用户名和密码后就可登陆到网络安全设备的WEB管理界面,对其参数和性能进行配置。

作者

seasunw
seasunw

相关推荐