網絡設備管理

網絡安全設備的三種管理模式

目前，隨著互聯網的高速發展，網絡已深入到人們生活的各個方面。網絡帶給人們諸多

好處的同時，也帶來了很多隱患。其中，安全問題就是最突出的一個。但是許多信息管理者

和信息用戶對網絡安全認識不足，他們把大量的時間和精力用于提升網絡的性能和效率，結

果導致黑客攻擊、惡意代碼、郵件炸彈等越來越多的安全威脅。

為了防范各種各樣的安全問題，許多網絡安全產品也相繼在網絡中得到推廣和應用。針

對系統和軟件的漏洞，有漏洞掃描產品;為了讓因特網上的用戶能安全、便捷的訪問公司的

內部網絡，有SSLVPN和IPSecVPN;為了防止黑客的攻擊入侵，有入侵防御系統和入侵檢

測系統;而使用范圍最為廣泛的防火墻，常常是作為網絡安全屏障的第一道防線。網絡中安

全設備使用的增多，相應的使設備的管理變得更加復雜。下面就通過一則實例，并結合網絡

的規模和復雜程度，詳細闡述網絡中安全設備管理的三種模式。

轉播到騰訊微博

圖1網絡結構圖

一、公司網絡架構

1、總架構

單位網絡結構圖如圖1所示。為了確保重要設備的穩定性和冗余性，核心層交換機使用

兩臺Cisco4510R，通過Trunk線連接。在接入層使用了多臺Cisco3560-E交換機，圖示為

了簡潔，只畫出了兩臺。在核心交換機上連接有單位重要的服務器，如DHCP、E-MAIL服

務器、WEB服務器和視頻服務器等。單位IP地址的部署，使用的是C類私有192網段的地

址。其中，DHCP服務器的地址為192.168.11.1/24。在網絡的核心區域部署有單位的安全設

備，安全設備也都是通過Cisco3560-E交換機接入到核心交換機4510R上，圖1中為了簡

潔，沒有畫出3560-E交換機。

2、主要網絡設備配置

單位網絡主要分為業務網和辦公網，業務網所使用VLAN的范圍是VLAN21至VLAN

100，辦公網所使用的VLAN范圍是VLAN101至VLAN200。兩個網都是通過兩臺核心交

換機4510交換數據的，但在邏輯上是相互隔離的。單位的服務器都是直接連接到4510上，

所使用的VLAN范圍是VLAN11至VLAN20。安全設備所使用的VLAN范圍是VLAN2

至VLAN10。

二、網絡安全設備管理的三種模式

1、第一種模式：安全管理PC直接與安全設備進行連接

轉播到騰訊微博

圖2安全管理PC和安全設備直接相連

如圖2所示，網絡中共有四臺安全設備：漏洞掃描、IDS、IPS和防火墻，若要對其中

的一臺安全設備進行管理配置，就得把電腦直接連接到安全設備上，這種模式通常有以下兩

種連接管理方式：

(1)串口連接管理。通過CONSOLE口直接連接到安全設備上，對其進行本地管理配置。

這也是一種安全、可靠的配置維護方式。當安全設備初次上電、與外部網絡連接中斷或出現

其它異常情況時，通常采用這種方式配置安全設備。配置步驟如下：

將安全管理PC的串口與安全設備的CONSOLE口連接，然后在PC機上運行終端仿真

程序，如Windows系統中的超級終端，或者使用SecureCRT應用程序。然后在終端仿真程

序上建立新連接。

選擇實際連接安全設備時，使用的安全管理PC上的串口，配置終端通信參數，默認情

況下都是：9600波特、8位數據位、1位停止位、無校驗、無流控。

對安全設備進行上電自檢，系統自動進行配置，自檢結束后提示用戶鍵入回車，直到出

現命令行提示符。然后就可鍵入命令，配置安全設備，或者查看其運行狀態。

上面連接方式中的配置參數，是一般情況下使用較多的一種，但對于不同設備可能會有

不同的設置，例如對于防火墻，聯想KingGuard8000的連接參數就和上面不一致，如圖3

所示：

轉播到騰訊微博

圖3終端仿真程序連接安全設備的參數設定

波特率必須選擇38400，而且不能選擇“RTS/CTS”。其它的參數都和上面的都一致。這

就要求用這種方式管理配置安全設備時，必須認真查看產品的說明書，不能在終端仿真程序

上，對所有的參數都使用默認的進行配置。

(2)WEB方式管理。用這種方式對網絡安全設備進行管理，全都是以窗口界面操作的，

比較容易理解和掌握。配置的步驟如下：

用網線把安全管理PC的網卡接口，直接連到安全設備的管理接口上。同時，也要對安

全管理PC和安全設備的管理接口的IP地址進行配置，以便讓它們位于同一個網段。假如

配置安全管理PC的IP地址是192.168.1.2/24，安全設備管理接口的IP地址是192.168.1.1/24，

這樣配置后它們就都位于同一個網段192.168.1.0/24中。

在安全管理PC的“命令行”中，執行命令“ping192.168.1.1”，看是否能ping通，若不通

的話，可能是連接安全管理PC和安全設備的網線有故障，直到能ping通為止。

開啟安全設備的本地SSH服務，并且允許管理賬號使用SSH。這是因為對大多數安全

設備的WEB管理都是通過SSH連接設備的，這樣安全管理PC和安全設備之間傳輸的數據

都是通過加密的，安全性比較高。也就是在安全管理PC的瀏覽器地址欄中只能輸入以“https”

開頭的網址。

在安全管理PC的瀏覽器地址欄中輸入https://192.168.1.1回車，輸入用戶名和密碼后就

可登陸到網絡安全設備的WEB管理界面，對其參數和性能進行配置。

在《網絡安全設備的三種管理模式(上)》中，我們分析了網絡安全設備的重要性，并介紹了

一種網絡安全設備管理模式，即安全管理PC直接與安全設備進行連接。本文我們將繼續介

紹另外兩種管理模式。

2、第二種模式：安全管理PC通過交換機管理安全設備

▲

圖4管理PC通過交換機連接到安全設備

如圖4所示，安全設備位于VLAN2、VLAN3和VLAN4中。這時，安全管理PC對

位于同一個VLAN中的安全設備進行管理時，只需把安全管理PC直接連接到交換機上，

PC和安全設備就都位于同一網段中。在這種模式中，對安全設備的管理，就不能使用“第一

種模式”中的用CONSOLE口管理的方法，因為安全管理PC和安全設備沒有直接連接，而

是通過交換機間接連接起來的。這種模式下，除了可以用“第一種模式”中的WEB方式對安

全設備進行管理配置外，還可以用以下兩種方式對安全設備進行管理配置：

(1)Telnet方式管理。用這種方式對安全設備進行管理時，必須首先保證安全管理PC和

安全設備之間有路由可達，并且可以用Telnet方式登錄到安全設備上。在本例中，安全管

理PC和安全設備位于同一個網段，所以滿足用Telnet方式管理的條件。另外，還要在安全

設備上進行如下配置，才能采用Telnet方式對其進行管理。

把一臺電腦的串口連接到安全設備的CONSOLE口上。通過CONSOLE口配置遠程用

戶用Telnet方式登錄到安全設備上的用戶名和口令，管理級別，以及所屬服務等。

通過CONSOLE口配置提供Telnet服務的IP地址，端口號等。

在安全管理PC上的“命令行”中，執行Telnet到網絡安全設備上的命令，然后輸入用戶

名和口令，就可以登錄到安全設備上進行管理配置了。

(2)SSH方式管理。當用戶在一個不能保證安全的網絡環境中時，卻要遠程登錄到安全

設備上。這時，SSH特性就可以提供安全的信息保障，以及認證功能，起到保護安全設備

不受諸如IP地址欺詐、明文密碼截取等攻擊。安全管理PC以SSH方式登錄到安全設備之

前，通常還要在安全設備上進行如下配置：

通過一臺電腦連接到安全設備的CONSOLE口，或者通過WEB管理方式，登錄到安全

設備上。

在安全設備上配置SSH服務器的參數，如驗證方式，驗證重復的次數和兼容的SSH版

本等。

在安全管理PC上運行SSH的終端軟件，如SecureCRT應用程序。在程序中設置正確

的連接參數，輸入安全設備接口的IP地址，就可與安全設備建立起連接，然后對其進行配

置管理。

3、第三種模式：通過安全中心服務器管理安全設備

▲圖5通過安全中心服務器管理安全設備

如圖5所示，與第一、二種管理模式相比，此種模式把“安全管理PC”升級成了“安全中

心服務器”。在服務器上就可以對網絡中所有的安全設備進行管理配置，而不用再把安全管

理PC逐個的連接到安全設備或安全設備所在VLAN的交換機上。在這種管理模式中，除了

不能直接連接到安全設備的CONSOLE口上對其進行管理配置外，其它的三種管理方式，

WEB、Telnet和SSH在安全中心服務器上都可以使用。用安全中心服務器管理配置安全設

備主要存在兩種網絡環境：

(1)安全中心服務器和安全設備管理接口的IP地址不在同一個網段。如圖5所示，安全

中心服務器位于VLAN13，IP地址為192.168.13.1/24。而漏洞掃描位于VLAN3中，IP地

址為192.168.3.1，它和安全服務中心服務器的地址位于不同的子網中。如果要讓安全服務中

心服務器能訪問到漏洞掃描，就必須在兩臺Cisco4510上添加三層配置，讓兩個VLAN間

的數據能互相訪問。在4510A和4510B上的配置如下所示：

Cisco4510A上的配置：

Cisco4510A(config)#interfacevlan13

Cisco4510A(config-if)#ipaddress192.168.13.252255.255.255.0

//創建vlan13的SVI接口，并指定IP地址

Cisco4510A(config-if)#noshutdown

Cisco4510A(config-if)iphelper-address192.168.11.1

//配置DHCP中繼功能

Cisco4510A(config-if)standby13priority150preempt

Cisco4510A(config-if)standby13ip192.168.13.254

//配置vlan13的HSRP參數

Cisco4510A(config)#interfacevlan3

Cisco4510A(config-if)#ipaddress192.168.3.252255.255.255.0

//創建vlan3的SVI接口，并指定IP地址

Cisco4510A(config-if)#noshutdown

Cisco4510A(config-if)iphelper-address192.168.11.1

//配置DHCP中繼功能

Cisco4510A(config-if)standby3priority150preempt

Cisco4510A(config-if)standby3ip192.168.3.254

//配置vlan3的HSRP參數

Cisco4510B上的配置：

Cisco4510B(config)#interfacevlan13

Cisco4510B(config-if)#ipaddress192.168.13.253255.255.255.0

//創建vlan13的SVI接口，并指定IP地址

Cisco4510B(config-if)#noshutdown

Cisco4510B(config-if)iphelper-address192.168.11.1

//配置DHCP中繼功能

Cisco4510B(config-if)standby13priority140preempt

Cisco4510B(config-if)standby13ip192.168.13.254

//配置vlan13的HSRP參數

Cisco4510B(config)#interfacevlan3

Cisco4510B(config-if)#ipaddress192.168.3.253255.255.255.0

//創建vlan3的SVI接口，并指定IP地址

Cisco4510B(config-if)#noshutdown

Cisco4510B(config-if)iphelper-address192.168.11.1

//配置DHCP中繼功能

Cisco4510B(config-if)standby3priority140preempt

Cisco4510B(config-if)standby3ip192.168.3.254

//配置vlan3的HSRP參數

因為4510和3560-E之間都是Trunk連接，所以在4510A和4510B上進行了如上配置

后，安全中心服務器就能訪問到漏洞掃描安全設備。在安全中心服務器的瀏覽器地址欄中輸

入https://192.168.3.1，就能登錄到漏洞掃描設備上，然后在WEB界面中就可以對其參數和

性能進行配置。

(2)安全中心服務器和安全設備管理接口的IP地址都位于同一個網段中。這種網絡環境

中，安全中心服務器要對安全設備進行管理時，在路由器或交換機上需要配置的命令就比較

少。也就是在圖5中，只需把交換機上的配置命令進行簡單的改造，把所有的安全設備的管

理接口的IP地址和安全中心服務器地址配置到同一個VLAN中。這樣在Cisco4510上就不

用進行三層配置。然后在安全中心服務器的瀏覽器地址欄中輸入安全設備的IP地址也能對

各個安全設備進行管理配置。

三、總結

1、以上三種網絡安全設備的管理模式，主要是根據網絡的規模和安全設備的多少，來

決定使用那一種管理模式。三種模式之間沒有完全的優劣之分。若是網絡中就一兩臺安全設

備，顯然采用第一種模式比較好。只需要一臺安全管理PC就可以。若是采用架設安全中心

服務器的話就有些得不償失。如果安全設備較多，并且都分布在不同的網段，那選擇第二種

模式就行，用兩三臺安全管理PC管理安全設備，比架設兩臺服務器還是要經濟很多。若是

安全設備很多，就采用第三種模式，它至少能給網絡管理員節省很多的時間，因為在一臺服

務器上就它就可以對所有的安全設備進行管理。

2、第三種管理模式中，安全中心服務器共使用了兩臺服務器。這主要是因為，在一些

大型的網絡中，安全設備不只是有幾臺、十幾臺，有的已達上百臺，或者更多。管理這么多

數量的安全設備，完全有必要架設兩臺服務器，保證管理安全設備的穩定性和可靠性。而且，

安全中心服務器有時并不僅僅承擔者管理的功能，它有時還要提供安全設備軟件的升級功

能。也就是在安全中心服務器上提供一個訪問Internet的接口，所有的安全設備都通過這個

接口連接到互聯網上進行升級，例如防火墻系統版本、病毒特征庫的升級，IPS系統版本和

特征值的升級等。若安全設備很多，升級數據量就會很大，若用兩臺服務器雙機均衡負載，

會大大降低用一臺服務器升級時所面臨巨大數據量的壓力。

3、解決網絡安全問題主要是利用網絡管理措施，保證網絡環境中數據的機密性、完整

性和可用性。確保經過網絡傳送的信息，在到達目的地時沒有任何增加、改變、丟失或被非

法讀取。而且要從以前單純的以防、堵、隔為主，發展到現在的攻、防結合，注重動態安全。

在網絡安全技術的應用上，要注意從正面防御的角度出發，控制好信息通信中數據的加密、

數字簽名和認證、授權、訪問等。而從反面要做好漏洞掃描評估、入浸檢測、病毒防御、安

全報警響應等。要對網絡安全有一個全面的了解，不僅需要掌握防護方面的知識，也需要掌

握檢測和響應環節方面的知識。

最近發生的SONY泄密事件，也再一次給我們敲響了警鐘，網絡安全無小事，網絡安

全管理必須從內、外兩方面來防范。計算機網絡最大的不安全，就是自認為網絡是安全的。

在安全策略的制定、安全技術的采用和安全保障的獲得，其實很大程度上要取決于網絡管理

員對安全威脅的把握。網絡上的威脅時刻存在，各種各樣的安全問題常常會掩蓋在平靜的表

面之下，所以網絡安全管理員必須時刻提高警惕，把好網絡安全的每一道關卡。