网络安全产品

思科VPN安全管理器

CiscoWorks VPN/安全管理解决方案版本2.2

CiscoWorks VPN/安全管理解决方案(VMS)是思科所提供的、最主要的集成化安全管理解决方案,也是思科为了加强网络安全而开发的SAFE蓝图的一个不可或缺的组成部分。CiscoWorks VMS可以通过集成用于配置、监控和诊断企业虚拟专用网(VPN)的Web工具,防火墙,以及基于网络、主机的入侵检测系统(IDS),保护企业的生产率和降低运营成本。CiscoWorks VMS提供了业界第一个强大、可扩展,能够满足各种规模的VPN和安全部署需求的平台和功能集。

今天的业务挑战和由此导致的安全部署所需要的可扩展性并不只是支持大量的设备。很多客户的员工人数有限,但是必须要管理大量的安全设备。这些客户必须管理安全和网络基础设施;频繁更新很多远程设备;在多个机构参与制定和部署策略时,部署改动控制和审核;在不添加员工人数的情况下增强安全性;或者将远程接入VPN推广到所有员工,并监控VPN服务。

CiscoWorks VMS让客户可以利用下列多层面的可扩展性功能,从一个小型或者大型环境部署安全基础设施:

  • 全面的SAFE蓝图范围。要全面地管理一个SAFE环境,网络管理解决方案必须管理SAFE基础设施组件、支持基于某个设备或者Cisco IOS软件的特性,以及支持多种管理功能。CiscoWorks VMS的一个独特的优势是,它能够在SAFE蓝图的各个组件之间扩展,其中包括防火墙、VPN和基于网络、主机的IDS。CiscoWorks VMS还可以通过一个通用的ACS登录,利用思科安全接入控制服务器(ACS)。CiscoWorks VMS可以通过一个设备(例如Cisco PIX防火墙)或者Cisco IOS软件管理一个功能集。可扩展的管理所包含的内容并不只是配置设备。CiscoWorks VMS可以提供全面的管理范围和设置、监控、诊断网络的功能。
  • 可扩展的平台。CiscoWorks VMS部署了一个具有统一的用户体验的平台,从而可以更加方便地将管理拓展到多个设备。CiscoWorks VMS为用户提供了一个统一的GUI、工作流、ACS登录、规则定义、平台、数据库、引擎等。该平台的一个业界领先的功能是自动更新功能,它使得用户可以方便、迅速地更新大量的设备。自动更新功能让设备——即使是远程和动态寻址设备——定期“连接”一个更新服务器,“获取”最新的安全配置或者Cisco PIX操作系统。自动更新功能对于有效地在间歇连接或动态地址之间拓展远程分支机构防火墙部署非常关键。以前的策略更新方法建立在一种“推送”模式的基础上。但是这种模式是针对已知设备的,并不支持地址未知的远程设备或者并不总是处于工作状态的设备。如果没有自动更新功能,用户就必须采用一个更加繁琐的手动流程来更新每个远程设备。自动更新功能可以大幅度提升那些希望在很多远程和本地办公地点部署设备的机构的可扩展性。除了更加方便、迅速的策略更新以外,自动更新功能还可以提供统一的策略部署
  • 企业运行集成。CiscoWorks VMS让机构可以轻松地把管理集成到他们的业务中。一个运行需求是将策略复制到多个地点。“智能规则”层次化结构可以通过让管理员定义设备群组和部署策略继承,满足这种需求。例如,一个管理员可以为纽约销售部门定义一个设备群组,并将相同的策略迅速、统一地部署到所有其他的销售部门。“命令和控制工作流”功能可以提供改动控制和审核,因而对于那些为网络和安全管理人员建立了多个独立群组的客户极为重要。该解决方案包括生成、批准和部署配置的流程。它可以帮助安全管理人员定义和批准新的策略。网络管理人员稍后可以在他们定期的维护时段部署新的策略。他们可以维护一个改动审核记录。
  • 集中的、基于角色的访问控制(RBAC)。基于角色的访问控制可以帮助机构扩展访问权限。CiscoWorks VMS可以方便地为用户、管理员、设备和应用设置一个统一的ACS登录。CiscoWorks VMS可以让不同的群组拥有针对不同的设备和应用的、各不相同的访问权限。
  • 集成化的基础设施管理。可扩展性要求管理多个组件——不仅仅是防火墙,还包括VPN、基于网络和主机的IDS、路由器和交换机。CiscoWorks VMS不仅可以管理安全基础设施,还可以管理网络基础设施。客户可以通过从一个统一的解决方案管理这些组件而受益。要获得更加全面的信息,还必须具有集成化的监控功能。CiscoWorks VMS可以提供针对Cisco PIX和Cisco IOS系统日志,以及来自于网络和基于主机的IDS的事件的集成化监控功能,并可以提供一定的事件关联功能。

CiscoWorks VMS的功能

CiscoWorks VMS是从CiscoWorks面板启动的,分为以下几个功能区域:

  • 防火墙管理
  • 自动更新服务器
  • 基于网络和主机的IDS的管理
  • VPN路由器管理
  • 安全监控
  • VPN监控
  • 运行管理

通过提供多种功能(例如统一的用户体验、自动更新、命令和控制工作流,以及基于角色的访问控制),这些功能区域为用户带来了多层面的可扩展性。

在图1中,CiscoWorks VMS在CiscoWorks面板中显示为一个“抽屉”。

图1

CiscoWorks VMS在CiscoWorks面板中显示为一个“抽屉”

防火墙管理

CiscoWorks VMS可以通过提供下列功能,支持Cisco PIX防火墙的大规模部署:

  • “智能规则”的层次化结构和继承
  • 由用户定义的设备和客户群组(包括嵌套)
  • 为每个设备和客户群组设定基于全局角色的访问权限和管理员权限,并支持其他CiscoWorks产品和Cisco Secure ACS
  • 强制性的和缺省的设备设置继承
  • 指向设备、目录或者自动更新服务器的工作流部署
  • 界面与Cisco PIX设备管理器类似,但是可以扩展到数千个PIX防火墙
  • 与其他CiscoWorks网络管理软件紧密集成
  • 面向思科PIX防火墙的集中管理的、全面的SAFE蓝图范围,包括访问控制、VPN、IDS,以及身份验证、授权和记帐(AAA)

“智能规则”是一种创新的功能,它可以让一个设备或者客户群组中的所有防火墙继承相同的信息(包括访问规则和设置)。“智能规则”让一个用户只需定义一次通用规则,从而可以缩短配置时间、减少管理错误和提高设备的可扩展性。利用“智能规则”,用户只需一次性设置一个通用规则(例如允许所有HTTP流量),就可以将该规则应用到所有的防火墙。“智能规则”还可在单一设备或者客户群组的基础上定义。如需了解更多关于VMS的防火墙管理功能的信息,请访问:http://www.cisco.com/en/US/products/sw/cscowork/ps3992/index.html

用于防火墙管理的自动更新服务器

CiscoWorks VMS提供了业界第一个防火墙自动更新服务器。它让用户可以为安全和Cisco IPX操作系统的管理采用一种“获取”模式。自动更新服务器可以为远程防火墙网络提供前所未有的可扩展性。自动更新服务器让Cisco PIX防火墙可以定期地、自动地联络更新服务器,获取安全配置、Cisco PIX操作系统和PIX设备管理器(PDM)更新。自动更新服务器支持下列功能:

  • 对使用动态主机控制协议(DHCP)的远程Cisco PIX防火墙进行安全管理
  • 自动地将Cisco PIX OS分布到Cisco PIX防火墙群组
  • 自动地将思科PDM更新分布到远程防火墙
  • 定期进行配置验证
  • 自动更换不准确的或者被改动的配置
  • 在“启动时间”设置新的防火墙

自动更新服务器是任何一个大规模远程Cisco PIX防火墙部署的一个不可获取的组成部分。自动更新服务器为自动地用新操作系统版本更新所有远程或本地防火墙提供了一个便于使用的解决方案。思科是业界第一个可以提供这种“推送式”的安全策略和操作系统管理模式的供应商。如需了解更多关于VMS的自动更新服务器的信息,请访问:http://www.cisco.com/en/US/products/sw/cscowork/ps3993/index.html

基于网络的IDS管理

管理员可以利用CiscoWorks VMS设置网络和交换机的IDS检测器。管理员可以利用群组档案,迅速地设置多个检测器。另外,CiscoWorks VMS中还包含了一种功能更加强大的特征管理功能,从而可以提高检测的准确性和针对性。突出的功能包括:

  • 便于使用、基于Web的界面
  • 可以引导用户完成常见的管理任务的向导
  • 对于网络安全数据库(NSDB)的访问权限,它可以为那些没有IDS安全方面的专业经验的用户提供关于警报的详细信息
  • 定义一个包含群组和子群组的检测器层次化结构的能力,以及利用群组档案同时设置多个检测器的能力
  • 支持从每个控制台部署数百个检测器
  • 可以利用一个强大的关系数据库存储大量的数据

如需了解更多关于VMS的、基于网络的IDS管理功能的信息,请访问:http://www.cisco.com/en/US/products/sw/cscowork/ps3990/index.html

基于主机的IDS管理

CiscoWorks VMS可以为服务器和桌面计算系统(即所谓的“终端”)提供威胁防御功能。VMS与传统的终端安全解决方案的区别在于,它可以在恶意行为发生之前,发现和防御恶意行为,从而消除可能会威胁到企业网络和应用的安全的已知和未知安全风险。因为CiscoWorks VMS采用了行为分析的方法,而不是依赖于特征匹配,因而它的解决方案可以在提供强大保护的同时,降低运营成本。基于主机的IDS管理功能包括:

  • 通过在单个代理中提供主机入侵防御、分布式防火墙、恶意移动代码防御、操作系统完整性保障和审核日志汇总功能,整合和扩展多项终端安全功能
  • 提供针对各种攻击类别(包括端口扫描、缓存移除、特洛伊木马、畸形分组和电子邮件蠕虫)的预防性防御措施
  • 提供对于已知和未知攻击的“零更新”防御
  • 为UNIX和Windows服务器、Windows台式机提供业界领先的保护,让客户可以按照自己的计划安装系统补丁
  • 开放、可扩展的架构可以根据企业策略定义和实施安全性
  • 每个管理器可以扩展到数千个代理,以支持大规模的企业级部署 如需了解更多关于VMS的基于主机的IDS管理功能的信息,请参阅:思科安全代理管理中心产品简介。

VPN路由器管理

CiscoWorks VMS包含了用于设置和维护VPN连接的大规模部署的功能,并为建立和部署连接提供了一个鼠标点击式界面。这种应用的目的是在一个集中星型拓扑中实现两点间VPN连接的可扩展配置,从而集中设置多个设备和在VPN路由器上部署互联网密钥交换(IKE)、IP安全(IPSec)隧道策略。

主要功能包括:

  • 用于创建IKE和VPN隧道策略的、基于向导的界面
  • 层次化继承和“智能规则”结构可以体现设备的组织构成和通用设置,简化设备管理
  • IKE-KA(IKE-Keepalive)或者通用路由封装(GRE)、开放最短路径优先(OSPF)和增强内部网关路由协议(EIGRP)可以为故障转换路由方案提供支持
  • 集中的、基于角色的访问控制模式可以实现对于用户和帐号的集中管理

如需了解关于VMS的VPN路由器管理功能的详细信息,请访问:http://www.cisco.com/en/US/products/sw/cscowork/ps3994/index.html

安全监控

CiscoWorks VMS所提供的集成化监控功能有助于减少安全监控控制台的个数、减少需要监控的事件的个数和提供更加广泛的安全状态视图。

  • 集成化监控功能可用于捕捉、存储、查看、关联和报告来自于SAFE蓝图中的多个设备(例如思科网络IDS、交换机IDS、主机IDS、防火墙和路由器)的事件
  • 事件关联功能可用于发现无法通过单个事件准确识别的攻击。一个灵活的通知机制和对于关键事件的自动响应也有助于加快采取措施的速度。
  • 事件查看器可以读取实时的和历史的事件。
  • 事件都采用了彩色标记,让管理员可以迅速地隔离故障。管理员还可以定义触发通知规则的阈值和时长。
  • 按需提供的和定时提供的报告可以实现持续的监控。

如需了解更多关于VMS的安全监控组件的信息,请访问:http://www.cisco.com/en/US/products/sw/cscowork/ps3991/index.html

VPN监控

CiscoWorks VMS所提供的、基于Web的管理工具让网络管理员可以搜集、存储和查看关于针对远程接入或者两点间VPN终端的IPSec VPN连接的信息。通过一个便于使用的面板可以查看多个设备。这个面板能通过一个Web浏览器进行设置。该面板可以提供下列功能:

  • 提供关于实时内存使用情况、每个设备的CPU占用率、活动隧道和活动进程的系统资源数据。这些数据让管理员可以轻松地找出具有潜在性能问题的设备和使用率最高的设备。
  • 让管理员可以查看目前的和长期的分组速率和丢包率,这有助于确定可供利用的多余容量,或者迅速地发现瓶颈和设备吞吐量问题。
  • 通过事件日志指明存在长期问题的设备;根据一组全局和针对特定设备的阈值评估关键的设备和VPN统计数据,在事件日志中记录异常情况。
  • 提供重要的常用指标的图示。设备性能对比提供了VPN性能的短期趋势的全局视图,让管理员可以在问题导致严重故障之前发现它们。

如需了解更多关于VMS的VPN监控组件的信息,请访问:http://www.cisco.com/en/US/products/sw/cscowork/ps2326/index.html

运行管理

CiscoWorks VMS可以为网络提供运行管理,帮助网络管理人员执行下列任务:

  • 迅速地构建一个全面的网络库存信息记录
  • 管理设备认证资格信息
  • 监控和报告硬件、软件、配置和库存的改动
  • 为多个设备管理和部署配置改动和软件镜像更新
  • 监控和诊断关键的LAN和WAN资源
  • 迅速地发现可以通过升级到适当的Cisco IOS软件而用于VPN的设备
  • 发现拥有硬件加密模块的VPN设备
  • 以图形的方式比较VPN设备的配置
  • 通过生成专门定制的系统日志报告,隔离与IPSec有关的问题

如需了解更多关于VMS的运行管理功能的信息,请访问:http://www.cisco.com/en/US/products/sw/cscowork/ps2073/index.html

服务器规格(最低要求)

服务器硬件

  • 配有1GHz或者更快的Pentium处理器的PC兼容计算机
  • 配有440MHz或者更快的处理器的Sun UltraSPARC 60MP
  • Sun UltraSPARCIII(Sun Blade 2000工作站或者Sun Fire 280R工作组服务器)
  • CD-ROM驱动器
  • 100BASE-T或者更快的连接
  • 1GB RAM
  • 9GB可用磁盘驱动器空间
  • 2GB 虚拟内存
  • 彩色显示器和支持16位彩色的显卡

服务器操作系统

CiscoWorks VMS需要下列操作系统:

  • Windows 2000 Professional、Server和Advanced Server (Service Pack 3)
    注意:在使用Advanced Server时,必须关闭终端服务。
      装有补丁的Sun Solaris 2.8:
      109742已被108528-13取代
      109322已被108827-15取代
      109279已被108528-13取代
      108991已被108827-15取代

Java要求

Sun Java插件 1.3.1-b24

客户端要求

硬件

  • 配有300MHz或者更快的Pentium处理器的PC兼容计算机
  • Solaris SPARCstation或Sun Ultra 10

客户端操作系统

  • 装有Service Pack 3的Windows 2000 Server 或者 Professional Edition,或者装有Microsoft VM的Windows XP SP1
  • Solaris 2.8

客户端浏览器

  • 基于Windows操作系统的Internet Explorer 6.0 Service Pack 1
  • Netscape Navigator 4.79,基于装有Service Pack 3的Windows 2000 Server 或者 Professional Edition,或者Windows XP;基于Solaris 2.8的Netscape Navigator 4.76

CiscoWorks防火墙管理中心和CiscoWorks VPN路由器管理中心都支持Internet Explorer 6.0,但是不支持Netscape Navigator。而IDS管理中心和安全监控中心不仅可以支持Internet Explorer,同时也支持Netscape Navigator。

联系我们