安全无小事!近段时间“密码泄露”事件闹得沸沸扬扬，人心惶惶。先是CSDN用户数据库的泄露，这对从事计算机技术工作的人员来说可谓是当头一棒。因为绝大多数IT技术工作者都在CSDN注册过账号，而且几乎都是使用同一个用户名和密码，注册了其它类的技术网站。发生“CSDN用户数据库泄露”事件后，反正我是赶紧把自己在用的许多技术类网站的密码都改了过来。但是刚改完没多久，又出现了天涯、新浪微博等泄密事件。真是防不胜防!

难道互联网上就没有安全的地方了吗?我认为还是有的，要不然也没有这么多人使用互联网。只不过近段时间接二连三暴露的问题太多了。不过，有了问题只要通过各种安全措施把它解决了，同样可以提高互联网的安全性。本文就涉及到企业网络中防火墙设备部署、安装和配置。虽然防火墙不能解决所有的安全问题，但它在网络中的部署也是绝对不能少的。

图1　单位网络架构和防火墙部署图示

一、网络架构和防火墙部署情况

单位网络结构图如图1所示。为了确保重要设备的稳定性和冗余性，核心层交换机使用两台6509-E，通过Trunk线连接。在办公区的接入层使用了多台Cisco 2960交换机，图示为了简洁，只画出了两台。在核心层交换机6509-E上，通过防火墙连接有单位重要的服务器，如FTP、E-MAIL服务器和数据库等。单位IP地址的部署，使用的是C类私有192网段的地址。DHCP服务器的IP地址为192.168.10.1，FTP服务器的IP地址是192.168.5.2。Cisco 6509-E和Cisco 3750之间，以及Cisco 3750和Cisco 2960之间都是Trunk连接。

图1中的橘黄色线表示的是用光纤连接，蓝色线表示的是用双绞线连接。而且从两台6509上分别延伸出来了的两条黄色线，一条竖线和一条横线，它们在拓扑图中其实是对两台6509上端口的一种扩展，并不是这两条线只连接到6509上的一个端口，而是连接了多个端口。这种布局的拓扑图，在结构上就显得更清晰明了。

单位根据部门性质的不同，把各个部门的电脑划入到不同的VLAN中。服务器都位于VLAN 2至VLAN 10中，对应的网络号是192.168.2.0~192.168.10.0，如DHCP服务器位于VLAN 10中，FTP服务器位于VLAN 5中。服务器的IP地址、默认网关和DNS都是静态配置的。VLAN 11至VLAN 150是属于办公部门使用的，对应的网络号是192.168.11.0~192.168.150.0。VLAN号和网络号之间都是对应的。VLAN中的PC都是通过Cisco 2960接入到网络中，3750都是二层配置，三层的配置都在Cisco 6509上，也就是VLAN间的路由都是通过6509完成的。PC的IP地址、默认网关和DNS都是自动从DHCP服务器上获得的，不用手工静态配置。

如图1所示，两台防火墙都是联想Power V防火墙，它们运行的模式都为透明模式，也就是以“桥”模式运行的，本身只需要配置一个管理IP地址，不必占用任何其它的IP资源，也不需要改变用户的拓扑环境，设备的运行对用户来说是“透明”的，在网络设备上进行各种命令的配置时，就当不存在这两个防火墙一样，因为它们是透明模式。它们只对线路上的数据包作安全检查，和安全策略上的限制，本身不会影响网络的整体架构和配置。这种模式在安装和维护防火墙时，相对防火墙的另外一种运行模式——路由模式，来说要简单很多。

Cisco 6509-E和核心区Cisco 2960之间不是Trunk模式连接，而是使用接入模式连接的，也就是两台Cisco 6509-E的Gi3/2位于VLAN 5中，核心区两台Cisco 2960的Gi0/1也位于VLAN 5中。两台6509和两台3750之间，以及办公区中网络设备间的连接情况如下所示：

(责任编辑：)