思科防火墙销售指南之应用篇

今天，随着对信息安全的重视，防病毒、防火墙、防入侵等一系列安全产品也在不断进驻企业。由此而来的是，企业的安全管理体制也变得非常复杂。而在安全产品的具体应用中，我们还面临着安全产品的系统管理的挑战，特别是在网络系统较为复杂，庞大的情况下。

思科公司针对此安全难题，一直在安全产品管理系统上努力，为用户提供系统化，易使用，高效的防火墙安全管理系统：

DM 防火墙设备管理系统

　　Cisco PIX Device Manager PDM 可以为大型企业和电信运营商提供他们所需要的功能帮助他们方便地管理Cisco PIX 防火墙。它具有一个直观的图形化用户界面GUI 可以帮助您安装和配置PIX 防火墙，此外它还可以提供各种含有大量信息的实时的和基于历史数据的报告，从而能够深入地了解使用趋势性能状况和安全事件。加密通信功能可以有效地管理本地或者远程的Cisco PIX 防火墙。简而言之PDM 可以简化互联网安全性使它成为一个经济有效的工具，帮助提高生产率和网络安全性，节约时间和资金。

　　直观的用户界面

　　很多安全漏洞都是由于错误的配置而导致的，因此安全策略的部署必须尽可能方便直观。PDM 所提供的向导鼠标式配置和在线帮助可以降低用户的管理难度，安全人员可以将精力集中于加强网络安全和制定安全策略，而不是管理各种用于执行安全任务的工具。

　　向导

　　IX Device Manager 提供了一个方便易用的向导，可以帮助您安装一个新的PIX 系统。在PDM 安装向导的帮助下您只需完成几个步骤就可以有效地创建一个基本配置，通过防火墙安全地将分组从内部网络发送到外部网络。直观的下拉菜单和图表可以帮助您方便地添加和删除服务和规则，以及访问其他的功能设置。

　　图形化用户界面

　　利用Cisco PIX Device Manager 可以在方便地配置管理和监控整个网络中的安全策略。PDM 的图形化用户界面GUI 为用户提供了一个熟悉的标签式界面，用户只需点击一次就可以访问常用的任务，即使对于新手来说PDM 的鼠标点击式设计也非常简便，缩短了用户的上手时间。PDM 的GUI 有助于大幅度缩短管理时间，最大限度地提高网络安全管理效率，因而可以节约大量的成本。

　　监控和报告

　　DM 可以提供强大的报告和监控工具，帮助查看实时的和历史的数据。管理员可以迅速地查看各种综述网络活动资源，利用率和事件日志的图形化报告，进而分析系统的性能和分析PDM 的日志和通知功能，让安全人员可以及时地发现并阻止可疑的活动。

　　图形工具

　　思科PDM 监控工具可以创建图形化的综述报告，显示实时的使用情况安全时间和网络活动。来自于各个图形的数据可以根据所选择的时间段，10 秒快照、最近10 分钟、最近60 分钟、最近12 小时、最近5 天进行显示，并按照所设定的时间间隔刷新，同时查看多个图形的能力。可以进行对比分析系统图，提供关于PIX 防火墙的详细的状态信息，其中包括已用的和空闲的区块内存的使用率和CPU 的使用率。连接图在每秒统计的基础上跟踪连接地址解析身份认证授权和记帐AAA 事务URL 过滤请求等的实时会话和性能监控数据，全面地了解网络连接和活动信息，并且不会被大量的数据所淹没。

　　系统日志查看工具

　　思科PDM 所集成的系统日志查看工具可以通过选择所需要的日志等级，查看特定类型的系统日志消息。

　　嵌入式架构

　　DM 的嵌入式设计让客户可以从几乎任何一台计算机上管理他们的Cisco PIX 防火墙，且无论这台计算机用的是什么操作系统。这是今天的很多电子商务应用的一项重要，要求同样PDM 还可以支持现有的大多数主流浏览器，包括MicrosoftInternet Explorer 和Netscape Navigator， 因而可以提供统一的体验。

　　PDM不需要用户安装任何应用，也不需要使用任何插件，一位经过授权的网络管理员可以安全地从一个Web 浏览器管理和监控他们的PIX 防火墙。

　　加密通信

　　思科PDM 可以利用加密套接层SSL 协议对PIX 防火墙和浏览器之间的通信进行高等级的加密，利用56 位的数据加密标准DES， 或者更加安全的168 位三重DES 3DES，以确保与远程PIX 防火墙的通信的安全性。与Telnet 类似PDM 让您可以用一个有效的用户名和密码保护访问权限这可以在PIX 防火墙上，或者通过一个身份认证服务器实现。

　　使用许可

　　Cisco PIX Device Manager 是Cisco PIX 操作系统6.0以上版本的组成部分，PDM 不需要单独的使用许，由于PDM 只支持加密通信所以用户需要拥有一个DES 或者3DES使用许可。

　　用户系统需求

　　MS 安全统一管理平台

　　CiscoWorks VPN/安全管理解决方案（VMS）是思科所提供的、最主要的集成化安全管理解决方案，也是思科为了加强网络安全而开发的SAFE蓝图的一个不可或缺的组成部分。CiscoWorks VMS可以通过集成用于配置、监控和诊断企业虚拟专用网（VPN）的Web工具，防火墙，以及基于网络、主机的入侵检测系统（IDS），保护企业的生产率和降低运营成本。CiscoWorks VMS提供了业界第一个强大、可扩展，能够满足各种规模的VPN和安全部署需求的平台和功能集。

　　CiscoWorks VMS是从CiscoWorks面板启动的，分为以下几个功能区域：

　　防火墙管理

　　自动更新服务器

　　基于网络和主机的IDS的管理

　　VPN路由器管理

　　安全监控

　　VPN监控

　　运行管理

　　通过提供多种功能（例如统一的用户体验、自动更新、命令和控制工作流，以及基于角色的访问控制），这些功能区域为用户带来了多层面的可扩展性。

　　在图1中，CiscoWorks VMS在CiscoWorks面板中显示为一个“抽屉”。

　　图1

　　

　　

　　防火墙管理

　　CiscoWorks VMS可以通过提供下列功能，支持Cisco PIX防火墙的大规模部署：

　　“智能规则”的层次化结构和继承

　　由用户定义的设备和客户群组（包括嵌套）

　　为每个设备和客户群组设定基于全局角色的访问权限和管理员权限，并支持其他CiscoWorks产品和Cisco Secure ACS

　　强制性的和缺省的设备设置继承

　　指向设备、目录或者自动更新服务器的工作流部署

　　界面与Cisco PIX设备管理器类似，但是可以扩展到数千个PIX防火墙

　　与其他CiscoWorks网络管理软件紧密集成

　　面向思科PIX防火墙的集中管理的、全面的SAFE蓝图范围，包括访问控制、VPN、IDS，以及身份验证、授权和记帐（AAA）

　　“智能规则”是一种创新的功能，它可以让一个设备或者客户群组中的所有防火墙继承相同的信息（包括访问规则和设置）。“智能规则”让一个用户只需定义一次通用规则，从而可以缩短配置时间、减少管理错误和提高设备的可扩展性。利用“智能规则”，用户只需一次性设置一个通用规则（例如允许所有HTTP流量），就可以将该规则应用到所有的防火墙。“智能规则”还可在单一设备或者客户群组的基础上定义。。

　　用于防火墙管理的自动更新服务器

　　CiscoWorks VMS提供了业界第一个防火墙自动更新服务器。它让用户可以为安全和Cisco IPX操作系统的管理采用一种“获取”模式。自动更新服务器可以为远程防火墙网络提供前所未有的可扩展性。自动更新服务器让Cisco PIX防火墙可以定期地、自动地联络更新服务器，获取安全配置、Cisco PIX操作系统和PIX设备管理器（PDM）更新。自动更新服务器支持下列功能：

　　对使用动态主机控制协议（DHCP）的远程Cisco PIX防火墙进行安全管理

　　自动地将Cisco PIX OS分布到Cisco PIX防火墙群组

　　自动地将思科PDM更新分布到远程防火墙

　　定期进行配置验证

　　自动更换不准确的或者被改动的配置

　　在“启动时间”设置新的防火墙

　　自动更新服务器是任何一个大规模远程Cisco PIX防火墙部署的一个不可获取的组成部分。自动更新服务器为自动地用新操作系统版本更新所有远程或本地防火墙提供了一个便于使用的解决方案。思科是业界第一个可以提供这种“推送式”的安全策略和操作系统管理模式的供应商。

　　VPN路由器管理

　　CiscoWorks VMS包含了用于设置和维护VPN连接的大规模部署的功能，并为建立和部署连接提供了一个鼠标点击式界面。这种应用的目的是在一个集中星型拓扑中实现两点间VPN连接的可扩展配置，从而集中设置多个设备和在VPN路由器上部署互联网密钥交换（IKE）、IP安全（IPSec）隧道策略。

　　主要功能包括：

　　用于创建IKE和VPN隧道策略的、基于向导的界面

　　层次化继承和“智能规则”结构可以体现设备的组织构成和通用设置，简化设备管理

　　IKE-KA（IKE-Keepalive）或者通用路由封装（GRE）、开放最短路径优先（OSPF）和增强内部网关路由协议（EIGRP）可以为故障转换路由方案提供支持

　　集中的、基于角色的访问控制模式可以实现对于用户和帐号的集中管理

　　安全监控

　　CiscoWorks VMS所提供的集成化监控功能有助于减少安全监控控制台的个数、减少需要监控的事件的个数和提供更加广泛的安全状态视图。

　　集成化监控功能可用于捕捉、存储、查看、关联和报告来自于SAFE蓝图中的多个设备（例如思科网络IDS、交换机IDS、主机IDS、防火墙和路由器）的事件

　　事件关联功能可用于发现无法通过单个事件准确识别的攻击。一个灵活的通知机制和对于关键事件的自动响应也有助于加快采取措施的速度。

　　事件查看器可以读取实时的和历史的事件。

　　事件都采用了彩色标记，让管理员可以迅速地隔离故障。管理员还可以定义触发通知规则的阈值和时长。

　　按需提供的和定时提供的报告可以实现持续的监控。

　　运行管理

　　CiscoWorks VMS可以为网络提供运行管理，帮助网络管理人员执行下列任务：

　　迅速地构建一个全面的网络库存信息记录

　　管理设备认证资格信息

　　监控和报告硬件、软件、配置和库存的改动

　　为多个设备管理和部署配置改动和软件镜像更新

　　监控和诊断关键的LAN和WAN资源

　　迅速地发现可以通过升级到适当的Cisco IOS软件而用于VPN的设备

　　发现拥有硬件加密模块的VPN设备

　　以图形的方式比较VPN设备的配置

　　通过生成专门定制的系统日志报告，隔离与IPSec有关的问题

　　服务器规格（最低要求）

　　服务器硬件

　　配有1GHz或者更快的Pentium处理器的PC兼容计算机

　　配有440MHz或者更快的处理器的SunUltraSPARC 60MP

　　un UltraSPARCIII（Sun Blade 2000工作站或者Sun Fire 280R工作组服务器）

　　CD-ROM驱动器

　　100BASE-T或者更快的连接

　　GB RAM

　　9GB可用磁盘驱动器空间

　　GB 虚拟内存

　　彩色显示器和支持16位彩色的显卡

　　服务器操作系统

　　CiscoWorks VMS需要下列操作系统：

　　Windows 2000 Professional、Server和Advanced Server （Service Pack 3）

　　Java要求

　　un Java插件 1.3.1-b24

　　客户端要求

　　硬件

　　配有300MHz或者更快的Pentium处理器的PC兼容计算机

　　Solaris SPARCstation或Sun Ultra 10

　　客户端操作系统

　　装有Service Pack 3的Windows 2000 Server 或者 Professional Edition，或者装有Microsoft VM的Windows XP SP1

　　Solaris 2.8

　　客户端浏览器

　　基于Windows操作系统的Internet Explorer 6.0 Service Pack 1

　　Netscape Navigator 4.79，基于装有Service Pack 3的Windows 2000 Server 或者 Professional Edition，或者Windows XP；基于Solaris 2.8的Netscape Navigator 4.76

　　CiscoWorks SIMS 3.1集中安全信息管理平台

　　帮助实现安全的网络

　　随着信息技术的发展，面对新一代的黑客攻击，蠕虫，病毒等安全威胁，建设安全的网络是业界目前所追求的理想目标。那么什么是安全的网络？安全的网络是指能够提供安全连接、安全保证、安全认证、安全抵御以及安全服务，安全感知和管理，具有自我防御能力的网络系统。

　　单纯从技术的角度而言，目前业界比较认可的安全网络的主要环节包括入侵防护、入侵检测、事件响应和系统灾难恢复。入侵防护主要是在安全风险评估和对安全威胁充分了解的基础上，根据对安全的期望值和目标，制定相应的解决方案。入侵检测主要是通过对网络和主机中各种有关安全信息的采集和及时分析，来发现网络中的入侵行为或异常行为，及时提醒管理员采取响应动作阻止入侵行为的继续。事件响应是当发生安全事件的时候所采取的处理手段，与入侵防护和入侵检测不同，事件响应主要体现为专业人员的服务和安全管理。系统恢复是指如何在数据、系统或者网络由于各种原因受到损害后，尽快恢复损失前的状态。除此之外，风险评估、安全策略和管理规定等，经常也被作为安全保障的重要部分。但是不论有多少环节，要想实现安全的网络，风险评估、策略制定、入侵防护和入侵检测等都是应急响应的准备工作，有了这些准备工作，事件响应才可以及时得到各种必要的审计数据，进行准确的分析，采取措施降低损失或者追踪入侵者的来源等。因此，应急响应实际上将各个环节贯穿起来，使得不同的环节互相配合，共同实现安全网络的最终目标。而应急响应能否在攻击者成功达到目标之前有效地阻止攻击和快速响应，不但取决于安全产品本身采取了什么技术，更取决于使用和管理产品的人以及网络安全信息管理平台。优秀的信息管理分析工具，可以让安全管理人员对网络的安全状态了如指掌，快速行动，真正实现安全网络。下图为安全网络系统模型，可见安全信息管理具有非常重要的作用。

　　

　　

　　安全信息管理平台涵盖的范围非常广泛，包括风险管理，策略中心，配置管理，事件管理，响应管理、控制系统，知识和情报中心，专家系统等，每个部分都需要严密的设计，相互协作，真正实现一个高效率的，实用的，完整的安全信息集中管理平台。安全管理在安全网络建设的循环中，起到一个承前启后的作用，是实现安全网络的关键，如下图所示

　　

　　

　　在安全集中信息管理平台中，我们目前所面临的最大挑战之一是，帮助我们做出正确判断的依据被不断增加的、多个厂商的安全设备和多个系统所产生的大量安全信息所淹没。比如一次简单的Smurf攻击，网络入侵监测系统会报警，防火墙会报警，遭受攻击的主机会报警，相关的路由器甚至交换机都会报警，汇聚到安全管理平台就是多次报警，而其实攻击就只有一次。只有能够提供有效管理、隔离和优先处理代表着实际安全威胁的消息自动化处理系统，才可以保证安全响应的时实性，从而才可以在重大的安全灾难来临之前有准确的的应急响应措施。

　　目前行之有效的安全集中管理关键技术之一是一种称为安全信息管理（SIM）的软件技术，此技术可以搜集和分析网络所面临的各种安全事件数据，提供强大的智能分析和处理能力。

　　

　　

　　利用这种技术，可以有效地管理不断扩大的安全基础设施和有效监控处理数百万个事件消息。这种技术具有以下特点:

　　提供对于多厂商安全环境的、全面的事件监控

　　具有先进的虚拟化功能，实现迅速、直观的安全监控

　　具有风险评估能力，可以揭示网络中的任何特定资产的总体风险和网络的安全状态

　　对于所在级别的安全操作的全面报告和危害预测，提出智能化的建议

　　可以帮助大大提高生产率和降低生产成本

　　CiscoWorks SIMS 3.1集中安全信息管理平台

　　思科公司的CiscoWorks SIMS 3.1集中安全信息管理平台正是利用SIM技术，通过四个不同的阶段，搜集、分析、关联来自于整个网络系统的安全事件信息，进行规范化、汇总、关联和虚拟化。

　　规范化

　　在规范化阶段，CiscoWorks SIMS 3.1将收集所有的入侵检测系统、防火墙系统、操作系统、应用和防病毒系统的安全事件，并将其转换成一种通用的、便于理解的XML格式。

　　汇总

　　在汇总阶段，安全事件将进行汇总，清除过滤掉重复的安全事件数据——安全管理员最终只看到关键的攻击信息。

　　关联

　　利用统计关联技术，规范化安全事件，按照资产或者资产群组归入不同的安全事件类别。事件类别可能包括刺探攻击、病毒攻击和拒绝服务攻击等。对于每个资产，CiscoWorks SIMS 3.1可以通过事件的严重程度和资产的价值结合到一起，结合响应的安全威胁指数，以确定安全事件的总体潜在威胁。CiscoWorks SIMS 3.1能够发现那些被基于规则的关联系统所忽视的异常情况，提供完整的安全信息。

　　虚拟化

　　CiscoWorks SIMS 3.1提供在一个集中、实时的控制台中显示一个功能强大的、直观、友好、基于Java的图形化界面。

　　

　　

　　管理面板提供一个实时的网络安全趋势视图，而实时控制台可以利用实时的关联和分析功能，迅速地提供隔离安全攻击的建议和实施手段。

　　安全风险评估能力

　　在安全方面，风险评估有助于了解网络系统中的任何一个特定资产的总体风险。风险通常被定义为威胁、危险性和价值的组合，其中：

　　威胁是指任何针对一个系统或资产的异常流量或攻击。无论它是端口扫描攻击还是多次登陆失败，这些记录都将在计算总体风险时被考虑在内。

　　价值是衡量任何特定系统或资产的重要性等级。价值是一个由客户针对企业中的每个资产定义的变量。

　　危险性是衡量一个针对系统或者资产的攻击获得成功的可能性。

　　CiscoWorks SIMS 3.1可以结合上述所有因素，为网络中的每个资产计算出一个总体风险指数。还可以生成一份风险评估报告，提供每个资产的必要细节和它的相关风险。通过了解网络中某个特定资产的危险性，就可以采取相应的安全策略。

　　总之，随着网络建设的安全保障任务变得更加重要，越来越具有挑战性，集中的安全管理平台在其中的角色也越来越重要，各行业的用户也逐渐认同集中安全管理的必要性，纷纷准备实施。 集中的安全管理平台不仅可以帮助降低攻击风险，还有助于在发生攻击时加快响应速度，提高现有的安全团队的工作效率，实现最终的目标－安全的网络。

　　灵活的部署选项

　　CiscoWorks SIMS 3.1能够以下列方式订购：

　　. 一个纯软件产品。这可以提供部署一个多层服务器架构的灵活性，适用于大型部署。

　　. 一个装置产品。包括预装在Cisco 1160硬件平台上的CiscoWorks SIMS 3.1。它可以为客户提供更加方便的安装。

　　装置产品具有与纯软件启动包相同的功能。该装置包括一个用于监控最多30个设备的使用许可。

　　如果事件数量较少，用户可以购买附加的使用许可，以监控超过30个设备。装置所能支持的设备的实际数量将取决于多个因素，包括消息频率、保持规定和设备类型。装置具有多种工具，例如用以监控消息频率和软件性能的系统状况监视器。