思科防火墙销售指南之管理篇(2)

运行管理

CiscoWorks VMS可以为网络提供运行管理，帮助网络管理人员执行下列任务：

• 迅速地构建一个全面的网络库存信息记录
  
• 管理设备认证资格信息
  
• 监控和报告硬件、软件、配置和库存的改动
  
• 为多个设备管理和部署配置改动和软件镜像更新
  
• 监控和诊断关键的LAN和WAN资源
  
• 迅速地发现可以通过升级到适当的Cisco IOS软件而用于VPN的设备
  
• 发现拥有硬件加密模块的VPN设备
  
• 以图形的方式比较VPN设备的配置
  
• 通过生成专门定制的系统日志报告，隔离与IPSec有关的问题

服务器规格（最低要求）

服务器硬件

• 配有1GHz或者更快的Pentium处理器的PC兼容计算机
  
• 配有440MHz或者更快的处理器的Sun UltraSPARC 60MP
  
• Sun UltraSPARCIII（Sun Blade 2000工作站或者Sun Fire 280R工作组服务器）
  
• CD-ROM驱动器
  
• 100BASE-T或者更快的连接
  
• 1GB RAM
  
• 9GB可用磁盘驱动器空间
  
• 2GB 虚拟内存
  
• 彩色显示器和支持16位彩色的显卡

服务器操作系统

CiscoWorks VMS需要下列操作系统：

• Windows 2000 Professional、Server和Advanced Server （Service Pack 3）

Java要求

Sun Java插件 1.3.1-b24

客户端要求

硬件

• 配有300MHz或者更快的Pentium处理器的PC兼容计算机
  
• Solaris SPARCstation或Sun Ultra 10

客户端操作系统

• 装有Service Pack 3的Windows 2000 Server 或者 Professional Edition，或者装有Microsoft VM的Windows XP SP1
  
• Solaris 2.8

客户端浏览器

• 基于Windows操作系统的Internet Explorer 6.0 Service Pack 1
  
• Netscape Navigator 4.79，基于装有Service Pack 3的Windows 2000 Server 或者 Professional Edition，或者Windows XP；基于Solaris 2.8的Netscape Navigator 4.76

CiscoWorks SIMS 3.1集中安全信息管理平台
帮助实现安全的网络

随着信息技术的发展，面对新一代的黑客攻击，蠕虫，病毒等安全威胁，建设安全的网络是业界目前所追求的理想目标。那么什么是安全的网络？安全的网络是指能够提供安全连接、安全保证、安全认证、安全抵御以及安全服务，安全感知和管理，具有自我防御能力的网络系统。

单纯从技术的角度而言，目前业界比较认可的安全网络的主要环节包括入侵防护、入侵检测、事件响应和系统灾难恢复。入侵防护主要是在安全风险评估和对安全威胁充分了解的基础上，根据对安全的期望值和目标，制定相应的解决方案。入侵检测主要是通过对网络和主机中各种有关安全信息的采集和及时分析，来发现网络中的入侵行为或异常行为，及时提醒管理员采取响应动作阻止入侵行为的继续。事件响应是当发生安全事件的时候所采取的处理手段，与入侵防护和入侵检测不同，事件响应主要体现为专业人员的服务和安全管理。系统恢复是指如何在数据、系统或者网络由于各种原因受到损害后，尽快恢复损失前的状态。除此之外，风险评估、安全策略和管理规定等，经常也被作为安全保障的重要部分。但是不论有多少环节，要想实现安全的网络，风险评估、策略制定、入侵防护和入侵检测等都是应急响应的准备工作，有了这些准备工作，事件响应才可以及时得到各种必要的审计数据，进行准确的分析，采取措施降低损失或者追踪入侵者的来源等。因此，应急响应实际上将各个环节贯穿起来，使得不同的环节互相配合，共同实现安全网络的最终目标。而应急响应能否在攻击者成功达到目标之前有效地阻止攻击和快速响应，不但取决于安全产品本身采取了什么技术，更取决于使用和管理产品的人以及网络安全信息管理平台。优秀的信息管理分析工具，可以让安全管理人员对网络的安全状态了如指掌，快速行动，真正实现安全网络。下图为安全网络系统模型，可见安全信息管理具有非常重要的作用。

安全信息管理平台涵盖的范围非常广泛，包括风险管理，策略中心，配置管理，事件管理，响应管理、控制系统，知识和情报中心，专家系统等，每个部分都需要严密的设计，相互协作，真正实现一个高效率的，实用的，完整的安全信息集中管理平台。安全管理在安全网络建设的循环中，起到一个承前启后的作用，是实现安全网络的关键，如下图所示

在安全集中信息管理平台中，我们目前所面临的最大挑战之一是，帮助我们做出正确判断的依据被不断增加的、多个厂商的安全设备和多个系统所产生的大量安全信息所淹没。比如一次简单的Smurf攻击，网络入侵监测系统会报警，防火墙会报警，遭受攻击的主机会报警，相关的路由器甚至交换机都会报警，汇聚到安全管理平台就是多次报警，而其实攻击就只有一次。只有能够提供有效管理、隔离和优先处理代表着实际安全威胁的消息自动化处理系统，才可以保证安全响应的时实性，从而才可以在重大的安全灾难来临之前有准确的的应急响应措施。

目前行之有效的安全集中管理关键技术之一是一种称为安全信息管理（SIM）的软件技术，此技术可以搜集和分析网络所面临的各种安全事件数据，提供强大的智能分析和处理能力。

利用这种技术，可以有效地管理不断扩大的安全基础设施和有效监控处理数百万个事件消息。这种技术具有以下特点:

• 提供对于多厂商安全环境的、全面的事件监控
  
• 具有先进的虚拟化功能，实现迅速、直观的安全监控
  
• 具有风险评估能力，可以揭示网络中的任何特定资产的总体风险和网络的安全状态
  
• 对于所在级别的安全操作的全面报告和危害预测，提出智能化的建议
  
• 可以帮助大大提高生产率和降低生产成本

CiscoWorks SIMS 3.1集中安全信息管理平台

思科公司的CiscoWorks SIMS 3.1集中安全信息管理平台正是利用SIM技术，通过四个不同的阶段，搜集、分析、关联来自于整个网络系统的安全事件信息，进行规范化、汇总、关联和虚拟化。

规范化

在规范化阶段，CiscoWorks SIMS 3.1将收集所有的入侵检测系统、防火墙系统、操作系统、应用和防病毒系统的安全事件，并将其转换成一种通用的、便于理解的XML格式。

汇总

在汇总阶段，安全事件将进行汇总，清除过滤掉重复的安全事件数据——安全管理员最终只看到关键的攻击信息。

关联

利用统计关联技术，规范化安全事件，按照资产或者资产群组归入不同的安全事件类别。事件类别可能包括刺探攻击、病毒攻击和拒绝服务攻击等。对于每个资产，CiscoWorks SIMS 3.1可以通过事件的严重程度和资产的价值结合到一起，结合响应的安全威胁指数，以确定安全事件的总体潜在威胁。CiscoWorks SIMS 3.1能够发现那些被基于规则的关联系统所忽视的异常情况，提供完整的安全信息。

虚拟化

CiscoWorks SIMS 3.1提供在一个集中、实时的控制台中显示一个功能强大的、直观、友好、基于Java的图形化界面。

管理面板提供一个实时的网络安全趋势视图，而实时控制台可以利用实时的关联和分析功能，迅速地提供隔离安全攻击的建议和实施手段。

安全风险评估能力

在安全方面，风险评估有助于了解网络系统中的任何一个特定资产的总体风险。风险通常被定义为威胁、危险性和价值的组合，其中：

• 威胁是指任何针对一个系统或资产的异常流量或攻击。无论它是端口扫描攻击还是多次登陆失败，这些记录都将在计算总体风险时被考虑在内。
  
• 价值是衡量任何特定系统或资产的重要性等级。价值是一个由客户针对企业中的每个资产定义的变量。
  
• 危险性是衡量一个针对系统或者资产的攻击获得成功的可能性。

CiscoWorks SIMS 3.1可以结合上述所有因素，为网络中的每个资产计算出一个总体风险指数。还可以生成一份风险评估报告，提供每个资产的必要细节和它的相关风险。通过了解网络中某个特定资产的危险性，就可以采取相应的安全策略。

总之，随着网络建设的安全保障任务变得更加重要，越来越具有挑战性，集中的安全管理平台在其中的角色也越来越重要，各行业的用户也逐渐认同集中安全管理的必要性，纷纷准备实施。 集中的安全管理平台不仅可以帮助降低攻击风险，还有助于在发生攻击时加快响应速度，提高现有的安全团队的工作效率，实现最终的目标－安全的网络。

灵活的部署选项

CiscoWorks SIMS 3.1能够以下列方式订购：

1. 一个纯软件产品。这可以提供部署一个多层服务器架构的灵活性，适用于大型部署。
2. 一个装置产品。包括预装在Cisco 1160硬件平台上的CiscoWorks SIMS 3.1。它可以为客户提供更加方便的安装。

装置产品具有与纯软件启动包相同的功能。该装置包括一个用于监控最多30个设备的使用许可。

如果事件数量较少，用户可以购买附加的使用许可，以监控超过30个设备。装置所能支持的设备的实际数量将取决于多个因素，包括消息频率、保持规定和设备类型。装置具有多种工具，例如用以监控消息频率和软件性能的系统状况监视器。