目前,随着互联网的高速发展,网络已深入到人们生活的各个方面。网络带给人们诸多好处的同时,也带来了很多隐患。其中,安全问题就是最突出的一个。但是许多信息管理者和信息用户对网络安全认识不足,他们把大量的时间和精力用于提升网络的性能和效率,结果导致黑客攻击、恶意代码、邮件炸弹等越来越多的安全威胁。
为了防范各种各样的安全问题,许多网络安全产品也相继在网络中得到推广和应用。针对系统和软件的漏洞,有漏洞扫描产品;为了让因特网上的用户能安全、便捷的访问公司的内部网络,有SSL VPN和IPSec VPN;为了防止黑客的攻击入侵,有入侵防御系统和入侵检测系统;而使用范围最为广泛的防火墙,常常是作为网络安全屏障的第一道防线。网络中安全设备使用的增多,相应的使设备的管理变得更加复杂。下面就通过一则实例,并结合网络的规模和复杂程度,详细阐述网络中安全设备管理的三种模式。
图1 网络结构图
一、公司网络架构
1、总架构
单位网络结构图如图1所示。为了确保重要设备的稳定性和冗余性,核心层交换机使用两台Cisco 4510R,通过Trunk线连接。在接入层使用了多台Cisco 3560-E交换机,图示为了简洁,只画出了两台。在核心交换机上连接有单位重要的服务器,如DHCP、E-MAIL服务器、WEB服务器和视频服务器等。单位IP地址的部署,使用的是C类私有192网段的地址。其中,DHCP服务器的地址为192.168.11.1/24。在网络的核心区域部署有单位的安全设备,安全设备也都是通过Cisco 3560-E交换机接入到核心交换机4510R上,图1中为了简洁,没有画出3560-E交换机。
2、主要网络设备配置
单位网络主要分为业务网和办公网,业务网所使用VLAN的范围是VLAN 21至VLAN 100,办公网所使用的VLAN范围是VLAN 101至VLAN 200。两个网都是通过两台核心交换机4510交换数据的,但在逻辑上是相互隔离的。单位的服务器都是直接连接到4510上,所使用的VLAN范围是VLAN 11至VLAN 20。安全设备所使用的VLAN范围是VLAN 2至VLAN 10。#p#
二、网络安全设备管理的三种模式
1、第一种模式:安全管理PC直接与安全设备进行连接
安全管理PC和安全设备直接相连
图2 安全管理PC和安全设备直接相连
如图2所示,网络中共有四台安全设备:漏洞扫描、IDS、IPS和防火墙,若要对其中的一台安全设备进行管理配置,就得把电脑直接连接到安全设备上,这种模式通常有以下两种连接管理方式:
(1)串口连接管理。通过CONSOLE口直接连接到安全设备上,对其进行本地管理配置。这也是一种安全、可靠的配置维护方式。当安全设备初次上电、与外部网络连接中断或出现其它异常情况时,通常采用这种方式配置安全设备。配置步骤如下:
将安全管理PC 的串口与安全设备的CONSOLE口连接,然后在PC机上运行终端仿真程序,如Windows系统中的超级终端,或者使用SecureCRT应用程序。然后在终端仿真程序上建立新连接。
选择实际连接安全设备时,使用的安全管理PC上的串口,配置终端通信参数,默认情况下都是:9600 波特、8 位数据位、1 位停止位、无校验、无流控。
对安全设备进行上电自检,系统自动进行配置,自检结束后提示用户键入回车,直到出现命令行提示符。然后就可键入命令,配置安全设备,或者查看其运行状态。
上面连接方式中的配置参数,是一般情况下使用较多的一种,但对于不同设备可能会有不同的设置,例如对于防火墙,联想KingGuard 8000的连接参数就和上面不一致,如图3所示:
终端仿真程序连接安全设备的参数设定
图3 终端仿真程序连接安全设备的参数设定
波特率必须选择38400,而且不能选择“RTS/CTS”。其它的参数都和上面的都一致。这就要求用这种方式管理配置安全设备时,必须认真查看产品的说明书,不能在终端仿真程序上,对所有的参数都使用默认的进行配置。
(2)WEB方式管理。用这种方式对网络安全设备进行管理,全都是以窗口界面操作的,比较容易理解和掌握。配置的步骤如下:
用网线把安全管理PC的网卡接口,直接连到安全设备的管理接口上。同时,也要对安全管理PC和安全设备的管理接口的IP地址进行配置,以便让它们位于同一个网段。假如配置安全管理PC的IP地址是192.168.1.2/24,安全设备管理接口的IP地址是192.168.1.1/24,这样配置后它们就都位于同一个网段192.168.1.0/24中。
在安全管理PC的“命令行”中,执行命令“ping 192.168.1.1”,看是否能ping通,若不通的话,可能是连接安全管理PC和安全设备的网线有故障,直到能ping通为止。
开启安全设备的本地SSH 服务,并且允许管理账号使用SSH。这是因为对大多数安全设备的WEB管理都是通过SSH连接设备的,这样安全管理PC和安全设备之间传输的数据都是通过加密的,安全性比较高。也就是在安全管理PC的浏览器地址栏中只能输入以“https”开头的网址。
在安全管理PC的浏览器地址栏中输入https://192.168.1.1回车,输入用户名和密码后就可登陆到网络安全设备的WEB管理界面,对其参数和性能进行配置。
#p#
2、第二种模式:安全管理PC通过交换机管理安全设备
管理PC通过交换机连接到安全设备
图4 管理PC通过交换机连接到安全设备
如图4所示,安全设备位于VLAN 2、VLAN 3和VLAN 4中。这时,安全管理PC对位于同一个VLAN中的安全设备进行管理时,只需把安全管理PC直接连接到交换机上,PC和安全设备就都位于同一网段中。在这种模式中,对安全设备的管理,就不能使用“第一种模式”中的用CONSOLE口管理的方法,因为安全管理PC和安全设备没有直接连接,而是通过交换机间接连接起来的。这种模式下,除了可以用“第一种模式”中的WEB方式对安全设备进行管理配置外,还可以用以下两种方式对安全设备进行管理配置:
(1)Telnet方式管理。用这种方式对安全设备进行管理时,必须首先保证安全管理PC和安全设备之间有路由可达,并且可以用Telnet 方式登录到安全设备上。在本例中,安全管理PC和安全设备位于同一个网段,所以满足用Telnet方式管理的条件。另外,还要在安全设备上进行如下配置,才能采用Telnet 方式对其进行管理。
把一台电脑的串口连接到安全设备的CONSOLE口上。通过CONSOLE口配置远程用户用Telnet方式登录到安全设备上的用户名和口令,管理级别,以及所属服务等。
通过CONSOLE口配置提供Telnet 服务的IP地址,端口号等。
在安全管理PC上的“命令行”中,执行Telnet到网络安全设备上的命令,然后输入用户名和口令,就可以登录到安全设备上进行管理配置了。
(2)SSH方式管理。当用户在一个不能保证安全的网络环境中时,却要远程登录到安全设备上。这时,SSH 特性就可以提供安全的信息保障,以及认证功能,起到保护安全设备不受诸如IP 地址欺诈、明文密码截取等攻击。安全管理PC以SSH方式登录到安全设备之前,通常还要在安全设备上进行如下配置:
通过一台电脑连接到安全设备的CONSOLE口,或者通过WEB管理方式,登录到安全设备上。
在安全设备上配置SSH服务器的参数,如验证方式,验证重复的次数和兼容的SSH版本等。
在安全管理PC上运行SSH的终端软件,如SecureCRT应用程序。在程序中设置正确的连接参数,输入安全设备接口的IP 地址,就可与安全设备建立起连接,然后对其进行配置管理。#p#
3、第三种模式:通过安全中心服务器管理安全设备
通过安全中心服务器管理安全设备
图5 通过安全中心服务器管理安全设备
如图5所示,与第一、二种管理模式相比,此种模式把“安全管理PC”升级成了“安全中心服务器”。在服务器上就可以对网络中所有的安全设备进行管理配置,而不用再把安全管理PC逐个的连接到安全设备或安全设备所在VLAN的交换机上。在这种管理模式中,除了不能直接连接到安全设备的CONSOLE口上对其进行管理配置外,其它的三种管理方式,WEB、Telnet和SSH在安全中心服务器上都可以使用。用安全中心服务器管理配置安全设备主要存在两种网络环境:
(1)安全中心服务器和安全设备管理接口的IP地址不在同一个网段。如图5所示,安全中心服务器位于VLAN 13,IP地址为192.168.13.1/24。而漏洞扫描位于VLAN 3中,IP地址为192.168.3.1,它和安全服务中心服务器的地址位于不同的子网中。如果要让安全服务中心服务器能访问到漏洞扫描,就必须在两台Cisco 4510上添加三层配置,让两个VLAN间的数据能互相访问。在4510A和4510B上的配置如下所示:
Cisco4510A上的配置:
- Cisco4510A(config)#interface vlan 13
- Cisco4510A(config-if)#ip address 192.168.13.252 255.255.255.0
- //创建vlan 13的SVI接口,并指定IP地址
- Cisco4510A(config-if)#no shutdown
- Cisco4510A(config-if)ip helper-address 192.168.11.1
- //配置DHCP中继功能
- Cisco4510A(config-if)standby 13 priority 150 preempt
- Cisco4510A(config-if)standby 13 ip 192.168.13.254
- //配置vlan 13的HSRP参数
- Cisco4510A(config)#interface vlan 3
- Cisco4510A(config-if)#ip address 192.168.3.252 255.255.255.0
- //创建vlan 3的SVI接口,并指定IP地址
- Cisco4510A(config-if)#no shutdown
- Cisco4510A(config-if)ip helper-address 192.168.11.1
- //配置DHCP中继功能
- Cisco4510A(config-if)standby 3 priority 150 preempt
- Cisco4510A(config-if)standby 3 ip 192.168.3.254
- //配置vlan 3的HSRP参数
- Cisco4510B上的配置:
- Cisco4510B(config)#interface vlan 13
- Cisco4510B(config-if)#ip address 192.168.13.253 255.255.255.0
- //创建vlan 13的SVI接口,并指定IP地址
- Cisco4510B(config-if)#no shutdown
- Cisco4510B(config-if)ip helper-address 192.168.11.1
- //配置DHCP中继功能
- Cisco4510B(config-if)standby 13 priority 140 preempt
- Cisco4510B(config-if)standby 13 ip 192.168.13.254
- //配置vlan 13的HSRP参数
- Cisco4510B(config)#interface vlan 3
- Cisco4510B(config-if)#ip address 192.168.3.253 255.255.255.0
- //创建vlan 3的SVI接口,并指定IP地址
- Cisco4510B(config-if)#no shutdown
- Cisco4510B(config-if)ip helper-address 192.168.11.1
- //配置DHCP中继功能
- Cisco4510B(config-if)standby 3 priority 140 preempt
- Cisco4510B(config-if)standby 3 ip 192.168.3.254
- //配置vlan 3的HSRP参数
因为4510和3560-E之间都是Trunk连接,所以在4510A和4510B上进行了如上配置后,安全中心服务器就能访问到漏洞扫描安全设备。在安全中心服务器的浏览器地址栏中输入https://192.168.3.1,就能登录到漏洞扫描设备上,然后在WEB界面中就可以对其参数和性能进行配置。
(2)安全中心服务器和安全设备管理接口的IP地址都位于同一个网段中。这种网络环境中,安全中心服务器要对安全设备进行管理时,在路由器或交换机上需要配置的命令就比较少。也就是在图5中,只需把交换机上的配置命令进行简单的改造,把所有的安全设备的管理接口的IP地址和安全中心服务器地址配置到同一个VLAN中。这样在Cisco 4510上就不用进行三层配置。然后在安全中心服务器的浏览器地址栏中输入安全设备的IP地址也能对各个安全设备进行管理配置。#p#
三、总结
1、以上三种网络安全设备的管理模式,主要是根据网络的规模和安全设备的多少,来决定使用那一种管理模式。三种模式之间没有完全的优劣之分。若是网络中就一两台安全设备,显然采用第一种模式比较好。只需要一台安全管理PC就可以。若是采用架设安全中心服务器的话就有些得不偿失。如果安全设备较多,并且都分布在不同的网段,那选择第二种模式就行,用两三台安全管理PC管理安全设备,比架设两台服务器还是要经济很多。若是安全设备很多,就采用第三种模式,它至少能给网络管理员节省很多的时间,因为在一台服务器上就它就可以对所有的安全设备进行管理。
2、第三种管理模式中,安全中心服务器共使用了两台服务器。这主要是因为,在一些大型的网络中,安全设备不只是有几台、十几台,有的已达上百台,或者更多。管理这么多数量的安全设备,完全有必要架设两台服务器,保证管理安全设备的稳定性和可靠性。而且,安全中心服务器有时并不仅仅承担者管理的功能,它有时还要提供安全设备软件的升级功能。也就是在安全中心服务器上提供一个访问Internet的接口,所有的安全设备都通过这个接口连接到互联网上进行升级,例如防火墙系统版本、病毒特征库的升级,IPS系统版本和特征值的升级等。若安全设备很多,升级数据量就会很大,若用两台服务器双机均衡负载,会大大降低用一台服务器升级时所面临巨大数据量的压力。
3、解决网络安全问题主要是利用网络管理措施,保证网络环境中数据的机密性、完整性和可用性。确保经过网络传送的信息,在到达目的地时没有任何增加、改变、丢失或被非法读取。而且要从以前单纯的以防、堵、隔为主,发展到现在的攻、防结合,注重动态安全。在网络安全技术的应用上,要注意从正面防御的角度出发,控制好信息通信中数据的加密、数字签名和认证、授权、访问等。而从反面要做好漏洞扫描评估、入浸检测、病毒防御、安全报警响应等。要对网络安全有一个全面的了解,不仅需要掌握防护方面的知识,也需要掌握检测和响应环节方面的知识。
最近发生的SONY泄密事件,也再一次给我们敲响了警钟,网络安全无小事,网络安全管理必须从内、外两方面来防范。计算机网络最大的不安全,就是自认为网络是安全的。在安全策略的制定、安全技术的采用和安全保障的获得,其实很大程度上要取决于网络管理员对安全威胁的把握。网络上的威胁时刻存在,各种各样的安全问题常常会掩盖在平静的表面之下,所以网络安全管理员必须时刻提高警惕,把好网络安全的每一道关卡。