思科防火墙销售指南之管理篇(1)

思科公司防火墙管理系统

今天，随着对信息安全的重视，防病毒、防火墙、防入侵等一系列安全产品也在不断进驻企业。由此而来的是，企业的安全管理体制也变得非常复杂。而在安全产品的具体应用中，我们还 面临着安全产品的系统管理的挑战，特别是在网络系统较为复杂，庞大的情况下。
思科公司针对此安全难题，一直在安全产品管理系统上努力，为用户提供系统化，易使用，高效的防火墙安全管理系统：

PDM 防火墙设备管理系统

Cisco PIX Device Manager PDM 可以为大型企业和电信运营商提供他们所需要的功能帮助他们方便地管理Cisco PIX 防火墙。它具有一个直观的图形化用户界面GUI 可以帮助您安装和配置PIX 防火墙，此外它还可以提供各种含有大量信息的实时的和基于历史数据的报告，从而能够深入地了解使用趋势性能状况和安全事件。加密通信功能可以有效地管理本地或者远程的Cisco PIX 防火墙。简而言之PDM 可以简化互联网安全性使它成为一个经济有效的工具，帮助提高生产率和网络安全性，节约时间和资金。

直观的用户界面

向导

PIX Device Manager 提供了一个方便易用的向导，可以帮助您安装一个新的PIX 系统。在PDM 安装向导的帮助下您只需完成几个步骤就可以有效地创建一个基本配置，通过防火墙安全地将分组从内部网络发送到外部网络。直观的下拉菜单和图表可以帮助您方便地添加和删除服务和规则，以及访问其他的功能设置。

图形化用户界面

利用Cisco PIX Device Manager 可以在方便地配置管理和监控整个网络中的安全策略。PDM 的图形化用户界面GUI 为用户提供了一个熟悉的标签式界面，用户只需点击一次就可以访问常用的任务，即使对于新手来说PDM 的鼠标点击式设计也非常简便，缩短了用户的上手时间。PDM 的GUI 有助于大幅度缩短管理时间，最大限度地提高网络安全管理效率，因而可以节约大量的成本。

监控和报告

PDM 可以提供强大的报告和监控工具，帮助查看实时的和历史的数据。管理员可以迅速地查看各种综述网络活动资源，利用率和事件日志的图形化报告，进而分析系统的性能和分析PDM 的日志和通知功能，让安全人员可以及时地发现并阻止可疑的活动。

图形工具

思科PDM 监控工具可以创建图形化的综述报告，显示实时的使用情况安全时间和网络活动。来自于各个图形的数据可以根据所选择的时间段，10 秒快照、最近10 分钟、最近60 分钟、最近12 小时、最近5 天进行显示，并按照所设定的时间间隔刷新，同时查看多个图形的能力。可以进行对比分析系统图，提供关于PIX 防火墙的详细的状态信息，其中包括已用的和空闲的区块内存的使用率和CPU 的使用率。连接图在每秒统计的基础上跟踪连接地址解析身份认证授权和记帐AAA 事务URL 过滤请求等的实时会话和性能监控数据，全面地了解网络连接和活动信息，并且不会被大量的数据所淹没。

系统日志查看工具

思科PDM 所集成的系统日志查看工具可以通过选择所需要的日志等级，查看特定类型的系统日志消息。

嵌入式架构

PDM 的嵌入式设计让客户可以从几乎任何一台计算机上管理他们的Cisco PIX 防火墙，且无论这台计算机用的是什么操作系统。这是今天的很多电子商务应用的一项重要，要求同样PDM 还可以支持现有的大多数主流浏览器，包括Microsoft Internet Explorer 和Netscape Navigator， 因而可以提供统一的体验。

PDM不需要用户安装任何应用，也不需要使用任何插件，一位经过授权的网络管理员可以安全地从一个Web 浏览器管理和监控他们的PIX 防火墙。

加密通信

使用许可

Cisco PIX Device Manager 是Cisco PIX 操作系统6.0以上版本的组成部分，PDM 不需要单独的使用许，由于PDM 只支持加密通信所以用户需要拥有一个DES 或者3DES使用许可。

用户系统需求

VMS 安全统一管理平台

CiscoWorks VPN/安全管理解决方案（VMS）是思科所提供的、最主要的集成化安全管理解决方案，也是思科为了加强网络安全而开发的SAFE蓝图的一个不可或缺的组成部分。CiscoWorks VMS可以通过集成用于配置、监控和诊断企业虚拟专用网（VPN）的Web工具，防火墙，以及基于网络、主机的入侵检测系统（IDS），保护企业的生产率和降低运营成本。CiscoWorks VMS提供了业界第一个强大、可扩展，能够满足各种规模的VPN和安全部署需求的平台和功能集。

CiscoWorks VMS是从CiscoWorks面板启动的，分为以下几个功能区域：

通过提供多种功能（例如统一的用户体验、自动更新、命令和控制工作流，以及基于角色的访问控制），这些功能区域为用户带来了多层面的可扩展性。

在图1中，CiscoWorks VMS在CiscoWorks面板中显示为一个“抽屉”。

图1

防火墙管理

CiscoWorks VMS可以通过提供下列功能，支持Cisco PIX防火墙的大规模部署：

• “智能规则”的层次化结构和继承
  
• 由用户定义的设备和客户群组（包括嵌套）
  
• 为每个设备和客户群组设定基于全局角色的访问权限和管理员权限，并支持其他CiscoWorks产品和Cisco Secure ACS
  
• 强制性的和缺省的设备设置继承
  
• 指向设备、目录或者自动更新服务器的工作流部署
  
• 界面与Cisco PIX设备管理器类似，但是可以扩展到数千个PIX防火墙
  
• 与其他CiscoWorks网络管理软件紧密集成
  
• 面向思科PIX防火墙的集中管理的、全面的SAFE蓝图范围，包括访问控制、VPN、IDS，以及身份验证、授权和记帐（AAA）

“智能规则”是一种创新的功能，它可以让一个设备或者客户群组中的所有防火墙继承相同的信息（包括访问规则和设置）。“智能规则”让一个用户只需定义一次通用规则，从而可以缩短配置时间、减少管理错误和提高设备的可扩展性。利用“智能规则”，用户只需一次性设置一个通用规则（例如允许所有HTTP流量），就可以将该规则应用到所有的防火墙。“智能规则”还可在单一设备或者客户群组的基础上定义。。

用于防火墙管理的自动更新服务器

CiscoWorks VMS提供了业界第一个防火墙自动更新服务器。它让用户可以为安全和Cisco IPX操作系统的管理采用一种“获取”模式。自动更新服务器可以为远程防火墙网络提供前所未有的可扩展性。自动更新服务器让Cisco PIX防火墙可以定期地、自动地联络更新服务器，获取安全配置、Cisco PIX操作系统和PIX设备管理器（PDM）更新。自动更新服务器支持下列功能：

• 对使用动态主机控制协议（DHCP）的远程Cisco PIX防火墙进行安全管理
  
• 自动地将Cisco PIX OS分布到Cisco PIX防火墙群组
  
• 自动地将思科PDM更新分布到远程防火墙
  
• 定期进行配置验证
  
• 自动更换不准确的或者被改动的配置
  
• 在“启动时间”设置新的防火墙

自动更新服务器是任何一个大规模远程Cisco PIX防火墙部署的一个不可获取的组成部分。自动更新服务器为自动地用新操作系统版本更新所有远程或本地防火墙提供了一个便于使用的解决方案。思科是业界第一个可以提供这种“推送式”的安全策略和操作系统管理模式的供应商。

VPN路由器管理

CiscoWorks VMS包含了用于设置和维护VPN连接的大规模部署的功能，并为建立和部署连接提供了一个鼠标点击式界面。这种应用的目的是在一个集中星型拓扑中实现两点间VPN连接的可扩展配置，从而集中设置多个设备和在VPN路由器上部署互联网密钥交换（IKE）、IP安全（IPSec）隧道策略。

主要功能包括：

• 用于创建IKE和VPN隧道策略的、基于向导的界面
  
• 层次化继承和“智能规则”结构可以体现设备的组织构成和通用设置，简化设备管理
  
• IKE-KA（IKE-Keepalive）或者通用路由封装（GRE）、开放最短路径优先（OSPF）和增强内部网关路由协议（EIGRP）可以为故障转换路由方案提供支持
  
• 集中的、基于角色的访问控制模式可以实现对于用户和帐号的集中管理

安全监控

CiscoWorks VMS所提供的集成化监控功能有助于减少安全监控控制台的个数、减少需要监控的事件的个数和提供更加广泛的安全状态视图。

• 集成化监控功能可用于捕捉、存储、查看、关联和报告来自于SAFE蓝图中的多个设备（例如思科网络IDS、交换机IDS、主机IDS、防火墙和路由器）的事件
  
• 事件关联功能可用于发现无法通过单个事件准确识别的攻击。一个灵活的通知机制和对于关键事件的自动响应也有助于加快采取措施的速度。
  
• 事件查看器可以读取实时的和历史的事件。
  
• 事件都采用了彩色标记，让管理员可以迅速地隔离故障。管理员还可以定义触发通知规则的阈值和时长。
  
• 按需提供的和定时提供的报告可以实现持续的监控。