网络设备管理

网络安全设备的三种管理模式

目前，随着互联网的高速发展，网络已深入到人们生活的各个方面。网络带给人们诸多

好处的同时，也带来了很多隐患。其中，安全问题就是最突出的一个。但是许多信息管理者

和信息用户对网络安全认识不足，他们把大量的时间和精力用于提升网络的性能和效率，结

果导致黑客攻击、恶意代码、邮件炸弹等越来越多的安全威胁。

为了防范各种各样的安全问题，许多网络安全产品也相继在网络中得到推广和应用。针

对系统和软件的漏洞，有漏洞扫描产品;为了让因特网上的用户能安全、便捷的访问公司的

内部网络，有SSLVPN和IPSecVPN;为了防止黑客的攻击入侵，有入侵防御系统和入侵检

测系统;而使用范围最为广泛的防火墙，常常是作为网络安全屏障的第一道防线。网络中安

全设备使用的增多，相应的使设备的管理变得更加复杂。下面就通过一则实例，并结合网络

的规模和复杂程度，详细阐述网络中安全设备管理的三种模式。

转播到腾讯微博

图1网络结构图

一、公司网络架构

1、总架构

单位网络结构图如图1所示。为了确保重要设备的稳定性和冗余性，核心层交换机使用

两台Cisco4510R，通过Trunk线连接。在接入层使用了多台Cisco3560-E交换机，图示为

了简洁，只画出了两台。在核心交换机上连接有单位重要的服务器，如DHCP、E-MAIL服

务器、WEB服务器和视频服务器等。单位IP地址的部署，使用的是C类私有192网段的地

址。其中，DHCP服务器的地址为192.168.11.1/24。在网络的核心区域部署有单位的安全设

备，安全设备也都是通过Cisco3560-E交换机接入到核心交换机4510R上，图1中为了简

洁，没有画出3560-E交换机。

2、主要网络设备配置

单位网络主要分为业务网和办公网，业务网所使用VLAN的范围是VLAN21至VLAN

100，办公网所使用的VLAN范围是VLAN101至VLAN200。两个网都是通过两台核心交

换机4510交换数据的，但在逻辑上是相互隔离的。单位的服务器都是直接连接到4510上，

所使用的VLAN范围是VLAN11至VLAN20。安全设备所使用的VLAN范围是VLAN2

至VLAN10。

二、网络安全设备管理的三种模式

1、第一种模式：安全管理PC直接与安全设备进行连接

转播到腾讯微博

图2安全管理PC和安全设备直接相连

如图2所示，网络中共有四台安全设备：漏洞扫描、IDS、IPS和防火墙，若要对其中

的一台安全设备进行管理配置，就得把电脑直接连接到安全设备上，这种模式通常有以下两

种连接管理方式：

(1)串口连接管理。通过CONSOLE口直接连接到安全设备上，对其进行本地管理配置。

这也是一种安全、可靠的配置维护方式。当安全设备初次上电、与外部网络连接中断或出现

其它异常情况时，通常采用这种方式配置安全设备。配置步骤如下：

将安全管理PC的串口与安全设备的CONSOLE口连接，然后在PC机上运行终端仿真

程序，如Windows系统中的超级终端，或者使用SecureCRT应用程序。然后在终端仿真程

序上建立新连接。

选择实际连接安全设备时，使用的安全管理PC上的串口，配置终端通信参数，默认情

况下都是：9600波特、8位数据位、1位停止位、无校验、无流控。

对安全设备进行上电自检，系统自动进行配置，自检结束后提示用户键入回车，直到出

现命令行提示符。然后就可键入命令，配置安全设备，或者查看其运行状态。

上面连接方式中的配置参数，是一般情况下使用较多的一种，但对于不同设备可能会有

不同的设置，例如对于防火墙，联想KingGuard8000的连接参数就和上面不一致，如图3

所示：

转播到腾讯微博

图3终端仿真程序连接安全设备的参数设定

波特率必须选择38400，而且不能选择“RTS/CTS”。其它的参数都和上面的都一致。这

就要求用这种方式管理配置安全设备时，必须认真查看产品的说明书，不能在终端仿真程序

上，对所有的参数都使用默认的进行配置。

(2)WEB方式管理。用这种方式对网络安全设备进行管理，全都是以窗口界面操作的，

比较容易理解和掌握。配置的步骤如下：

用网线把安全管理PC的网卡接口，直接连到安全设备的管理接口上。同时，也要对安

全管理PC和安全设备的管理接口的IP地址进行配置，以便让它们位于同一个网段。假如

配置安全管理PC的IP地址是192.168.1.2/24，安全设备管理接口的IP地址是192.168.1.1/24，

这样配置后它们就都位于同一个网段192.168.1.0/24中。

在安全管理PC的“命令行”中，执行命令“ping192.168.1.1”，看是否能ping通，若不通

的话，可能是连接安全管理PC和安全设备的网线有故障，直到能ping通为止。

开启安全设备的本地SSH服务，并且允许管理账号使用SSH。这是因为对大多数安全

设备的WEB管理都是通过SSH连接设备的，这样安全管理PC和安全设备之间传输的数据

都是通过加密的，安全性比较高。也就是在安全管理PC的浏览器地址栏中只能输入以“https”

开头的网址。

在安全管理PC的浏览器地址栏中输入https://192.168.1.1回车，输入用户名和密码后就

可登陆到网络安全设备的WEB管理界面，对其参数和性能进行配置。

在《网络安全设备的三种管理模式(上)》中，我们分析了网络安全设备的重要性，并介绍了

一种网络安全设备管理模式，即安全管理PC直接与安全设备进行连接。本文我们将继续介

绍另外两种管理模式。

2、第二种模式：安全管理PC通过交换机管理安全设备

▲

图4管理PC通过交换机连接到安全设备

如图4所示，安全设备位于VLAN2、VLAN3和VLAN4中。这时，安全管理PC对

位于同一个VLAN中的安全设备进行管理时，只需把安全管理PC直接连接到交换机上，

PC和安全设备就都位于同一网段中。在这种模式中，对安全设备的管理，就不能使用“第一

种模式”中的用CONSOLE口管理的方法，因为安全管理PC和安全设备没有直接连接，而

是通过交换机间接连接起来的。这种模式下，除了可以用“第一种模式”中的WEB方式对安

全设备进行管理配置外，还可以用以下两种方式对安全设备进行管理配置：

(1)Telnet方式管理。用这种方式对安全设备进行管理时，必须首先保证安全管理PC和

安全设备之间有路由可达，并且可以用Telnet方式登录到安全设备上。在本例中，安全管

理PC和安全设备位于同一个网段，所以满足用Telnet方式管理的条件。另外，还要在安全

设备上进行如下配置，才能采用Telnet方式对其进行管理。

把一台电脑的串口连接到安全设备的CONSOLE口上。通过CONSOLE口配置远程用

户用Telnet方式登录到安全设备上的用户名和口令，管理级别，以及所属服务等。

通过CONSOLE口配置提供Telnet服务的IP地址，端口号等。

在安全管理PC上的“命令行”中，执行Telnet到网络安全设备上的命令，然后输入用户

名和口令，就可以登录到安全设备上进行管理配置了。

(2)SSH方式管理。当用户在一个不能保证安全的网络环境中时，却要远程登录到安全

设备上。这时，SSH特性就可以提供安全的信息保障，以及认证功能，起到保护安全设备

不受诸如IP地址欺诈、明文密码截取等攻击。安全管理PC以SSH方式登录到安全设备之

前，通常还要在安全设备上进行如下配置：

通过一台电脑连接到安全设备的CONSOLE口，或者通过WEB管理方式，登录到安全

设备上。

在安全设备上配置SSH服务器的参数，如验证方式，验证重复的次数和兼容的SSH版

本等。

在安全管理PC上运行SSH的终端软件，如SecureCRT应用程序。在程序中设置正确

的连接参数，输入安全设备接口的IP地址，就可与安全设备建立起连接，然后对其进行配

置管理。

3、第三种模式：通过安全中心服务器管理安全设备

▲图5通过安全中心服务器管理安全设备

如图5所示，与第一、二种管理模式相比，此种模式把“安全管理PC”升级成了“安全中

心服务器”。在服务器上就可以对网络中所有的安全设备进行管理配置，而不用再把安全管

理PC逐个的连接到安全设备或安全设备所在VLAN的交换机上。在这种管理模式中，除了

不能直接连接到安全设备的CONSOLE口上对其进行管理配置外，其它的三种管理方式，

WEB、Telnet和SSH在安全中心服务器上都可以使用。用安全中心服务器管理配置安全设

备主要存在两种网络环境：

(1)安全中心服务器和安全设备管理接口的IP地址不在同一个网段。如图5所示，安全

中心服务器位于VLAN13，IP地址为192.168.13.1/24。而漏洞扫描位于VLAN3中，IP地

址为192.168.3.1，它和安全服务中心服务器的地址位于不同的子网中。如果要让安全服务中

心服务器能访问到漏洞扫描，就必须在两台Cisco4510上添加三层配置，让两个VLAN间

的数据能互相访问。在4510A和4510B上的配置如下所示：

Cisco4510A上的配置：

Cisco4510A(config)#interfacevlan13

Cisco4510A(config-if)#ipaddress192.168.13.252255.255.255.0

//创建vlan13的SVI接口，并指定IP地址

Cisco4510A(config-if)#noshutdown

Cisco4510A(config-if)iphelper-address192.168.11.1

//配置DHCP中继功能

Cisco4510A(config-if)standby13priority150preempt

Cisco4510A(config-if)standby13ip192.168.13.254

//配置vlan13的HSRP参数

Cisco4510A(config)#interfacevlan3

Cisco4510A(config-if)#ipaddress192.168.3.252255.255.255.0

//创建vlan3的SVI接口，并指定IP地址

Cisco4510A(config-if)#noshutdown

Cisco4510A(config-if)iphelper-address192.168.11.1

//配置DHCP中继功能

Cisco4510A(config-if)standby3priority150preempt

Cisco4510A(config-if)standby3ip192.168.3.254

//配置vlan3的HSRP参数

Cisco4510B上的配置：

Cisco4510B(config)#interfacevlan13

Cisco4510B(config-if)#ipaddress192.168.13.253255.255.255.0

//创建vlan13的SVI接口，并指定IP地址

Cisco4510B(config-if)#noshutdown

Cisco4510B(config-if)iphelper-address192.168.11.1

//配置DHCP中继功能

Cisco4510B(config-if)standby13priority140preempt

Cisco4510B(config-if)standby13ip192.168.13.254

//配置vlan13的HSRP参数

Cisco4510B(config)#interfacevlan3

Cisco4510B(config-if)#ipaddress192.168.3.253255.255.255.0

//创建vlan3的SVI接口，并指定IP地址

Cisco4510B(config-if)#noshutdown

Cisco4510B(config-if)iphelper-address192.168.11.1

//配置DHCP中继功能

Cisco4510B(config-if)standby3priority140preempt

Cisco4510B(config-if)standby3ip192.168.3.254

//配置vlan3的HSRP参数

因为4510和3560-E之间都是Trunk连接，所以在4510A和4510B上进行了如上配置

后，安全中心服务器就能访问到漏洞扫描安全设备。在安全中心服务器的浏览器地址栏中输

入https://192.168.3.1，就能登录到漏洞扫描设备上，然后在WEB界面中就可以对其参数和

性能进行配置。

(2)安全中心服务器和安全设备管理接口的IP地址都位于同一个网段中。这种网络环境

中，安全中心服务器要对安全设备进行管理时，在路由器或交换机上需要配置的命令就比较

少。也就是在图5中，只需把交换机上的配置命令进行简单的改造，把所有的安全设备的管

理接口的IP地址和安全中心服务器地址配置到同一个VLAN中。这样在Cisco4510上就不

用进行三层配置。然后在安全中心服务器的浏览器地址栏中输入安全设备的IP地址也能对

各个安全设备进行管理配置。

三、总结

1、以上三种网络安全设备的管理模式，主要是根据网络的规模和安全设备的多少，来

决定使用那一种管理模式。三种模式之间没有完全的优劣之分。若是网络中就一两台安全设

备，显然采用第一种模式比较好。只需要一台安全管理PC就可以。若是采用架设安全中心

服务器的话就有些得不偿失。如果安全设备较多，并且都分布在不同的网段，那选择第二种

模式就行，用两三台安全管理PC管理安全设备，比架设两台服务器还是要经济很多。若是

安全设备很多，就采用第三种模式，它至少能给网络管理员节省很多的时间，因为在一台服

务器上就它就可以对所有的安全设备进行管理。

2、第三种管理模式中，安全中心服务器共使用了两台服务器。这主要是因为，在一些

大型的网络中，安全设备不只是有几台、十几台，有的已达上百台，或者更多。管理这么多

数量的安全设备，完全有必要架设两台服务器，保证管理安全设备的稳定性和可靠性。而且，

安全中心服务器有时并不仅仅承担者管理的功能，它有时还要提供安全设备软件的升级功

能。也就是在安全中心服务器上提供一个访问Internet的接口，所有的安全设备都通过这个

接口连接到互联网上进行升级，例如防火墙系统版本、病毒特征库的升级，IPS系统版本和

特征值的升级等。若安全设备很多，升级数据量就会很大，若用两台服务器双机均衡负载，

会大大降低用一台服务器升级时所面临巨大数据量的压力。

3、解决网络安全问题主要是利用网络管理措施，保证网络环境中数据的机密性、完整

性和可用性。确保经过网络传送的信息，在到达目的地时没有任何增加、改变、丢失或被非

法读取。而且要从以前单纯的以防、堵、隔为主，发展到现在的攻、防结合，注重动态安全。

在网络安全技术的应用上，要注意从正面防御的角度出发，控制好信息通信中数据的加密、

数字签名和认证、授权、访问等。而从反面要做好漏洞扫描评估、入浸检测、病毒防御、安

全报警响应等。要对网络安全有一个全面的了解，不仅需要掌握防护方面的知识，也需要掌

握检测和响应环节方面的知识。

最近发生的SONY泄密事件，也再一次给我们敲响了警钟，网络安全无小事，网络安

全管理必须从内、外两方面来防范。计算机网络最大的不安全，就是自认为网络是安全的。

在安全策略的制定、安全技术的采用和安全保障的获得，其实很大程度上要取决于网络管理

员对安全威胁的把握。网络上的威胁时刻存在，各种各样的安全问题常常会掩盖在平静的表

面之下，所以网络安全管理员必须时刻提高警惕，把好网络安全的每一道关卡。