ASA——下一代防火墙

思科自适应安全设备管理器5.0版

思科®自适应安全设备管理器(ASDM)通过一个直观、易用、基于Web的管理界面,提供了世界级的安全管理和监控服务。结合Cisco ASA 5500系列自适应安全设备和思科PIX?安全设备,思科ASDM提供的智能向导、强大的管理工具和灵活的监控服务,进一步增强思科安全设备套件提供的先进的集成安全和网络功能,从而加速安全设备的部署。其基于Web的安全设计可使用户能随时随地访问Cisco ASA 5500系列自适应安全设备和思科PIX安全设备。

集成化管理解决方案提供了灵活的访问选择

网络上任何支持Java插件的计算机都可直接通过一个Web浏览器访问思科自适应安全设备管理器(ASDM),使安全管理员能迅速、安全地访问自己的Cisco ASA 5500系列自适应安全设备或思科PIX安全设备。它为管理员提供了一个独特的选项——一个可直接从安全设备下载到管理员计算机的、基于Microsoft Windows的全新启动器应用。该应用加速了思科ASDM的启动,提高了管理安全设备的效率。通过运行独立的思科ASDM启动器应用,管理员可从单一管理工作站连接多个安全设备,因此简化了小型企业环境中的管理。

启动向导加速了安全设备的部署

思科ASDM拥有一个启动向导,加速了安全设备部署流程。一系列简单的渐进式配置界面,可帮助管理员快速启动和运行设备,创建使流量能安全地在网络中传输的稳固配置。该启动向导能配置多种可选特性,如动态主机控制协议(DHCP)服务器设置、网络地址转换(NAT)、管理员访问和自动更新。自动更新是一个具革命性意义的远程管理功能,可确保设备配置和软件镜像保持最新状态。

仪表盘为管理员提供了重要的实时系统状态信息

Cisco ASDM 5.0具有一个动态仪表盘,提供全面的系统概述和设备状态统计数据概览(图1)。它可自动检测所配置的思科安全设备;并显示每个设备的软件版本、许可信息和重要统计数据。在复杂的网络环境中,它为管理员提供了实时状态指示灯,此外,它也为强大的分析工具和高级监控功能提供了启动点,这其中包括实时系统日志浏览器,具有模式匹配功能,可根据网络地址、端口号、主机名等过滤系统日志。该版本还提供了一个强大的搜索引擎,可帮助管理员确定在何处配置特定特性,只需点击鼠标即可方便地获得搜索结果。

图1. 思科ASDM主页

思科ASDM主页

强大的安全策略管理降低运营成本

Cisco ASDM 5.0强大的管理服务功能,简化了安全策略定义和持续策略维护,使安全管理员能创建可重复使用的网络和服务对象组,及可实施多项安全策略的策略检测图。它还支持思科ASA软件7.0版和思科PIX安全设备软件7.0版提供的范围广泛的访问控制功能,如基于用户和用户组的访问列表、基于时间的访问列表,以及进/出访问列表。Cisco ASDM 5.0还支持上述两个软件版本中的新增模块化策略框架。这一功能强大、高度灵活的框架使管理员可根据不同条件划分网络流或流量级别,然后向每个流或流量级别应用一套可定制的检测服务、服务质量(QoS)服务和连接服务。这些先进的访问控制和应用检测功能,与易用的持续策略管理服务相配合,可确保各种规模的企业都能获得强大、动态的安全设置。

企业级安全服务可实现基于角色的、安全的管理访问

Cisco ASDM 5.0集成了一系列强大的安全服务,可防止对设备进行未授权管理访问。它支持多种验证管理员的方法,包括通过一个Cisco ASA 5500系列自适应安全设备或思科PIX安全设备上的本地验证数据库或经由一个RADIUS/TACACS服务器进行验证。思科ASDM (运行在管理员计算机上)和安全设备间的所有通信,都通过采用56位数据加密标准(DES)或更安全的168位三重DES(3DES)算法的安全套接字层(SSL)加密。思科ASDM支持多达16级可定制管理访问级别,为管理员和操作人员提供相应的许可级别,来访问所管理的每个思科安全设备(如仅限监控、只读访问配置等)。

丰富的VPN管理将安全连接扩展到业务合作伙伴和远程站点

Cisco ASDM 5.0具有全面的VPN配置功能,包括一个可实现简化配置的智能VPN向导,可帮助企业为站点间VPN部署而建立互联网密钥交换(IKE)和IP安全(IPSec)策略。思科ASDM还为Cisco Easy VPN远程接入VPN集中器服务提供了丰富的管理功能,支持VPN客户端安全状态增强、自动软件升级、VPN集群等特性。在Cisco ASA 5500系列上,思科ASDM集成了全面的Cisco WebVPN管理特性(见图2),使管理员能快速配置和支持Web浏览器发出的远程接入连接,及其本地SSL加密。思科ASDM也提供了先进的VPN监控功能,为管理员提供了大量的统计信息和图形,显示进程正常运行时间、每进程传输数据等参数。

图2. WebVPN配置

 WebVPN配置

全面的管理服务与先进的应用检测相得益彰

思科自适应安全设备软件7.0版和思科PIX安全设备软件7.0版包括30多种专用检测引擎,用于各种采用超文本传输协议(HTTP)(图3)、文件传输协议(FTP)、GPRS隧道协议(GTP)、Sun远程过程调用(SunRPC)、H.323和会话启动协议(SIP)等协议的现代应用。Cisco ASDM 5.0支持智能应用缺省设置的点击功能,可快速建立强大的安全配置,保护关键任务型应用和资源免遭误用和隧道攻击。它可对检测服务定义进行基于信息流的控制,并为管理员提供企业级工具来对应用进行细致的控制。

图3.先进的HTTP检测服务配置

先进的HTTP检测服务配置

智能用户界面简化了复杂网络环境中的集成

Cisco ASDM 5.0可简单、方便地管理Cisco ASA 5500系列自适应安全设备和思科PIX安全设备中丰富的网络集成特性。虚拟化功能可在单一安全设备中创建多个安全环境(虚拟防火墙),每个环境有自己的安全策略、逻辑接口和管理域。思科ASDM采用一个智能虚拟化管理系统,为需要全面了解系统中所有虚拟防火墙和特性的中央系统管理员提供了无限制访问(图4)。各环境的用户都能获得相同的思科ASDM的界面和外观,以及同样丰富的管理和监控功能。但他们所访问的配置和特性仅限于中央系统管理员为其分配的环境。各环境用户可在管理员创建的安全策略基础上,使用思科ASDM为其虚拟防火墙建立定制配置。

图4. 系统管理员的安全环境视图

系统管理员的安全环境视图

思科ASDM使管理员能全面控制组播路由协议,如协议无依赖型组播(PIM)协议、最短路径优先(OSPF)动态路由协议(图5)、基于IEEE 802.1q的VLAN接口和服务质量(QoS)机制。对于新用户,它将智能缺省设置和详细的在线帮助相结合,可简化这些网络服务的配置。高级用户则可利用深层特性支持,将思科安全设备集成入复杂的路由和交换环境中。

图5. 高级OSPF配置

高级OSPF配置

独特的安全管理界面可提供一致的管理服务

Cisco ASDM 5.0为Cisco ASA 5500系列自适应安全设备和思科PIX安全设备的所有配置、管理和监控需求提供了一致的解决方案。除了可提供最佳安全和VPN服务的丰富的配置和管理选项外,它还提供了一个企业级解决方案,来管理Cisco ASA 5500系列真正的自适应安全服务。

思科ASDM可帮助企业提高其网络环境的安全级别,通过思科高级检测和保护安全服务模块(AIP-SSM)简化对各种防御的管理,从而降低运营成本。这些服务提供了针对入侵、网络攻击、拒绝服务(DoS)攻击,以及蠕虫、网络病毒、特洛伊木马、间谍件和广告件等恶意件的防御。思科ASDM使管理员可迅速配置这些服务,包括流量风险评估和元事件生成器等独特的思科准确防御技术(图6)。思科ASDM使企业能更为自信地保护网络免遭各种攻击,而且不会有丢弃合法网络流量的风险。

图6. AIP-SSM事件操作配置

AIP-SSM事件操作配置

增强监控和报告工具可实现重要的关键业务数据分析

监控工具

Cisco ASDM 5.0在新主页上提供了深入的监控和报告服务,以及概览监控功能(图7)。灵活的分析工具能够创建图形化总结报告,显示了实时使用率、安全事件和网络活动。每个图形化报告中的数据都能以定制增量的形式提供,用户可选择10秒快照或进行更长时间间隔的分析。同时浏览多个图的能力使用户可并行执行具体评估。各图形能方便地标记,并输出数据以便未来访问。

图7. 监控

监控

系统图—提供Cisco ASA 5500系列自适应安全设备和思科PIX安全设备的具体状态信息,包括所用区块和空闲区块、当前内存利用率和CPU利用率。

连接图—在每秒基础上,跟踪实时进程和连接性能监控数据;地址转换;验证、授权和记帐(AAA)事务处理;URL过滤请求等。连接图使管理员可全面了解其网络连接和活动,且不会被过多信息所淹没。

攻击保护系统图—有16种不同的图形来显示潜在的恶意活动。攻击特征信息显示IP、互联网控制信息协议(ICMP)、用户数据报协议(UDP)、TCP攻击和Portmap请求等活动。这些图形也详细显示了攻击者列表、事件列表、系统统计数据和对于Cisco AIP-SSM的诊断。

接口图—提供对安全设备上每个接口的带宽使用率的实时监控。显示内外通信的带宽使用率。用户可浏览分组速率、数目和错误,以及位、字节和冲突数等。

VPN统计和连接图—通过支持思科IPSec流量监控MIB,提供对VPN连接的全面显示,每个隧道的具体统计数据,包括隧道正常运行时间和所传输的字节/分组数。

表1列出了Cisco ASDM 5.0的特性和优点

表1. 新特性和优点总结
特性 优点
动态仪表盘
  • 显示具体的设备和许可信息,以快速确定可用的系统和资源
  • 将实时的系统和流量简况与可定制系统日志监控相配合,提供世界级安全管理仪表盘
  • 提供实时的设备监控概览
基于Web的架构
  • 使思科ASDM更方便地与其他基于浏览器的应用共存
  • 通过优化的应用小程序缓存功能,加速思科ASDM的上载
  • 为管理员提供随时随地的访问
可下载思科ASDM启动器
  • 使用户可在基于Microsoft Windows的系统上本地下载和运行思科ASDM
  • 多个思科ASDM启动器实例使管理员能从一个管理工作站同时访问多个Cisco ASA 5500系列自适应安全设备或思科PIX安全设备
  • 自动根据设备上已安装的版本升级启动器软件,在网络中实现一致的安全管理
灵活的配置和软件镜像管理
  • 通过创建目录和移动及删除镜像和配置文件的能力,在主系统上进行高效的文件管理
  • 允许用户直接从其桌面计算机向安全设备上载Cisco ASA 5500系列自适应安全设备、思科PIX安全设备软件镜像和思科ASDM文件
全面的思科自适应安全设备软件7.0版和思科PIX安全设备软件7.0版特性支持
  • 全面支持思科自适应安全设备软件7.0版和思科PIX安全设备软件7.0版中的50多种新特性,如透明防火墙、PIM、QoS和主/主故障恢复,以及OSPF和VLAN等现有特性
  • 增强用户快速配置WebVPN服务的能力,支持Web浏览器发出的远程接入连接及其本地SSL加密。它还可迅速配置和监控VPN负载共享集群。
先进的应用和协议检测配置 为30种专用检测引擎提供了强大的管理和监控功能,这些引擎为大量协议提供了丰富的应用控制安全服务,所包括的协议有:HTTP、FTP、扩展简单邮件传输协议(ESMTP)、域名系统(DNS)、简单网络管理协议(SNMP)、ICMP、SQL*Net、网络文件系统(NFS)、H.323 1-4版、SIP、思科集肤客户端控制协议(SCCP)、实时流传输协议(RTSP)、GTP、互联网定位器服务(ILS)和SunRPC
对于Cisco AIP-SSM的全面管理服务
  • 为管理可实现多种防御服务的Cisco AIP-SSM,提供平稳的集成和支持
  • 通过使用多因素威胁识别和准确防御技术,可实现迅速配置、准确攻击监控和网络威胁防御功能,使企业能更自信地保护其现代网络免遭蠕虫、间谍件和其它恶意件的影响,而且也不会有丢弃合法流量的风险
虚拟化安全服务的世界级管理
  • 可在单一Cisco ASA 5500系列自适应安全设备或思科PIX安全设备中迅速创建多个安全环境(虚拟防火墙),每个环境有自己的一套安全策略、逻辑接口和管理域
  • 使企业能方便地将多个防火墙整合到一个安全设备或故障恢复对中,且能分别管理每个虚拟环境
  • 使服务供应商可通过一对冗余设备提供永续的多租户防火墙服务
强大的安全特性
  • 提供针对未授权访问的保护
  • SSL协议支持提供了高级加密,以及对DES和3DES的支持
  • 提供了16个用户授权级别
  • 包括一个集成的本地验证数据库,经由一个RADIUS或TACACS服务器提供可选验证支持
多语言操作系统支持
  • Cisco ASDM 5.0支持Microsoft Windows操作系统的英文版和日文版

联系我们


网络研讨会:思科ASA 5500系列自适应安全设备SSL VPN版故障排除