思科公司防火墻治理系統

今天，隨著對信息安全的重視，防病毒、防火墻、防入侵等一系列安全產品也在不斷進駐企業。由此而來的是，企業的安全治理體制也變得非常復雜。而在安全產品的具體應用中，我們還面臨著安全產品的系統治理的挑戰，非凡是在網絡系統較為復雜，龐大的情況下。
思科公司針對此安全難題，一直在安全產品治理系統上努力，為用戶提供系統化，易使用，高效的防火墻安全治理系統：

PDM 防火墻設備治理系統

Cisco PIX Device Manager PDM 可以為大型企業和電信運營商提供他們所需要的功能幫助他們方便地治理Cisco PIX 防火墻。它具有一個直觀的圖形化用戶界面GUI 可以幫助您安裝和配置PIX 防火墻，此外它還可以提供各種含有大量信息的實時的和基于歷史數據的報告，從而能夠深入地了解使用趨勢性能狀況和安全事件。加密通信功能可以有效地治理本地或者遠程的Cisco PIX 防火墻。簡而言之PDM 可以簡化互聯網安全性使它成為一個經濟有效的工具，幫助提高生產率和網絡安全性，節約時間和資金。

直觀的用戶界面

向導

PIX Device Manager 提供了一個方便易用的向導，可以幫助您安裝一個新的PIX 系統。在PDM 安裝向導的幫助下您只需完成幾個步驟就可以有效地創建一個基本配置，通過防火墻安全地將分組從內部網絡發送到外部網絡。直觀的下拉菜單和圖表可以幫助您方便地添加和刪除服務和規則，以及訪問其他的功能設置。

圖形化用戶界面

利用Cisco PIX Device Manager 可以在方便地配置治理和監控整個網絡中的安全策略。PDM 的圖形化用戶界面GUI 為用戶提供了一個熟悉的標簽式界面，用戶只需點擊一次就可以訪問常用的任務，即使對于新手來說PDM 的鼠標點擊式設計也非常簡便，縮短了用戶的上手時間。PDM 的GUI 有助于大幅度縮短治理時間，最大限度地提高網絡安全治理效率，因而可以節約大量的成本。

監控和報告

PDM 可以提供強大的報告和監控工具，幫助查看實時的和歷史的數據。治理員可以迅速地查看各種綜述網絡活動資源，利用率和事件日志的圖形化報告，進而分析系統的性能和分析PDM 的日志和通知功能，讓安全人員可以及時地發現并阻止可疑的活動。

圖形工具

思科PDM 監控工具可以創建圖形化的綜述報告，顯示實時的使用情況安全時間和網絡活動。來自于各個圖形的數據可以根據所選擇的時間段，10 秒快照、最近10 分鐘、最近60 分鐘、最近12 小時、最近5 天進行顯示，并按照所設定的時間間隔刷新，同時查看多個圖形的能力?？梢赃M行對比分析系統圖，提供關于PIX 防火墻的具體的狀態信息，其中包括已用的和空閑的區塊內存的使用率和CPU 的使用率。連接圖在每秒統計的基礎上跟蹤連接地址解析身份認證授權和記帳AAA 事務URL 過濾請求等的實時會話和性能監控數據，全面地了解網絡連接和活動信息，并且不會被大量的數據所沉沒。

系統日志查看工具

思科PDM 所集成的系統日志查看工具可以通過選擇所需要的日志等級，查看特定類型的系統日志消息。

嵌入式架構

PDM 的嵌入式設計讓客戶可以從幾乎任何一臺計算機上治理他們的Cisco PIX 防火墻，且無論這臺計算機用的是什么操作系統。這是今天的很多電子商務應用的一項重要，要求同樣PDM 還可以支持現有的大多數主流瀏覽器，包括Microsoft Internet EXPlorer 和Netscape Navigator， 因而可以提供統一的體驗。

PDM不需要用戶安裝任何應用，也不需要使用任何插件，一位經過授權的網絡治理員可以安全地從一個Web 瀏覽器治理和監控他們的PIX 防火墻。

加密通信

使用許可

Cisco PIX Device Manager 是Cisco PIX 操作系統6.0以上版本的組成部分，PDM 不需要單獨的使用許，由于PDM 只支持加密通信所以用戶需要擁有一個DES 或者3DES使用許可。

用戶系統需求

VMS 安全統一治理平臺

CiscoWorks VPN/安全治理解決方案（VMS）是思科所提供的、最主要的集成化安全治理解決方案，也是思科為了加強網絡安全而開發的SAFE藍圖的一個不可或缺的組成部分。CiscoWorks VMS可以通過集成用于配置、監控和診斷企業虛擬專用網（VPN）的Web工具，防火墻，以及基于網絡、主機的入侵檢測系統（IDS），保護企業的生產率和降低運營成本。CiscoWorks VMS提供了業界第一個強大、可擴展，能夠滿足各種規模的VPN和安全部署需求的平臺和功能集。

CiscoWorks VMS是從CiscoWorks面板啟動的，分為以下幾個功能區域：

• 防火墻治理
  
• 自動更新服務器
  
• 基于網絡和主機的IDS的治理
  
• VPN路由器治理
  
• 安全監控
  
• VPN監控
  
• 運行治理

通過提供多種功能（例如統一的用戶體驗、自動更新、命令和控制工作流，以及基于角色的訪問控制），這些功能區域為用戶帶來了多層面的可擴展性。

在圖1中，CiscoWorks VMS在CiscoWorks面板中顯示為一個“抽屜”。

圖1

防火墻治理

CiscoWorks VMS可以通過提供下列功能，支持Cisco PIX防火墻的大規模部署：

• “智能規則”的層次化結構和繼續
  
• 由用戶定義的設備和客戶群組（包括嵌套）
  
• 為每個設備和客戶群組設定基于全局角色的訪問權限和治理員權限，并支持其他CiscoWorks產品和Cisco Secure ACS
  
• 強制性的和缺省的設備設置繼續
  
• 指向設備、目錄或者自動更新服務器的工作流部署
  
• 界面與Cisco PIX設備治理器類似，但是可以擴展到數千個PIX防火墻
  
• 與其他CiscoWorks網絡治理軟件緊密集成
  
• 面向思科PIX防火墻的集中治理的、全面的SAFE藍圖范圍，包括訪問控制、VPN、IDS，以及身份驗證、授權和記帳（AAA）

“智能規則”是一種創新的功能，它可以讓一個設備或者客戶群組中的所有防火墻繼續相同的信息（包括訪問規則和設置）。“智能規則”讓一個用戶只需定義一次通用規則，從而可以縮短配置時間、減少治理錯誤和提高設備的可擴展性。利用“智能規則”，用戶只需一次性設置一個通用規則（例如答應所有HTTP流量），就可以將該規則應用到所有的防火墻?！爸悄芤巹t”還可在單一設備或者客戶群組的基礎上定義。。

用于防火墻治理的自動更新服務器

CiscoWorks VMS提供了業界第一個防火墻自動更新服務器。它讓用戶可以為安全和Cisco ipX操作系統的治理采用一種“獲取”模式。自動更新服務器可以為遠程防火墻網絡提供前所未有的可擴展性。自動更新服務器讓Cisco PIX防火墻可以定期地、自動地聯絡更新服務器，獲取安全配置、Cisco PIX操作系統和PIX設備治理器（PDM）更新。自動更新服務器支持下列功能：

• 對使用動態主機控制協議（DHCP）的遠程Cisco PIX防火墻進行安全治理
  
• 自動地將Cisco PIX OS分布到Cisco PIX防火墻群組
  
• 自動地將思科PDM更新分布到遠程防火墻
  
• 定期進行配置驗證
  
• 自動更換不準確的或者被改動的配置
  
• 在“啟動時間”設置新的防火墻

自動更新服務器是任何一個大規模遠程Cisco PIX防火墻部署的一個不可獲取的組成部分。自動更新服務器為自動地用新操作系統版本更新所有遠程或本地防火墻提供了一個便于使用的解決方案。思科是業界第一個可以提供這種“推送式”的安全策略和操作系統治理模式的供給商。

VPN路由器治理

CiscoWorks VMS包含了用于設置和維護VPN連接的大規模部署的功能，并為建立和部署連接提供了一個鼠標點擊式界面。這種應用的目的是在一個集中星型拓撲中實現兩點間VPN連接的可擴展配置，從而集中設置多個設備和在VPN路由器上部署互聯網密鑰交換（IKE）、IP安全（IPSec）隧道策略。

主要功能包括：

• 用于創建IKE和VPN隧道策略的、基于向導的界面
  
• 層次化繼續和“智能規則”結構可以體現設備的組織構成和通用設置，簡化設備治理
  
• IKE-KA（IKE-Keepalive）或者通用路由封裝（GRE）、開放最短路徑優先（OSPF）和增強內部網關路由協議（EIGRP）可以為故障轉換路由方案提供支持
  
• 集中的、基于角色的訪問控制模式可以實現對于用戶和帳號的集中治理

安全監控

CiscoWorks VMS所提供的集成化監控功能有助于減少安全監控控制臺的個數、減少需要監控的事件的個數和提供更加廣泛的安全狀態視圖。

• 集成化監控功能可用于捕捉、存儲、查看、關聯和報告來自于SAFE藍圖中的多個設備（例如思科網絡IDS、交換機IDS、主機IDS、防火墻和路由器）的事件
  
• 事件關聯功能可用于發現無法通過單個事件準確識別的攻擊。一個靈活的通知機制和對于要害事件的自動響應也有助于加快采取措施的速度。
  
• 事件查看器可以讀取實時的和歷史的事件。
  
• 事件都采用了彩色標記，讓治理員可以迅速地隔離故障。治理員還可以定義觸發通知規則的閾值和時長。
  
• 按需提供的和定時提供的報告可以實現持續的監控。

運行治理

CiscoWorks VMS可以為網絡提供運行治理，幫助網絡治理人員執行下列任務：

• 迅速地構建一個全面的網絡庫存信息記錄
  
• 治理設備認證資格信息
  
• 監控和報告硬件、軟件、配置和庫存的改動
  
• 為多個設備治理和部署配置改動和軟件鏡像更新
  
• 監控和診斷要害的LAN和WAN資源
  
• 迅速地發現可以通過升級到適當的Cisco IOS軟件而用于VPN的設備
  
• 發現擁有硬件加密模塊的VPN設備
  
• 以圖形的方式比較VPN設備的配置
  
• 通過生成專門定制的系統日志報告，隔離與IPSec有關的問題

服務器規格（最低要求）

服務器硬件

• 配有1GHz或者更快的Pentium處理器的PC兼容計算機
  
• 配有440MHz或者更快的處理器的Sun UltraspARC 60MP
  
• Sun UltraSPARCIII（Sun Blade 2000工作站或者Sun Fire 280R工作組服務器）
  
• CD-ROM驅動器
  
• 100BASE-T或者更快的連接
  
• 1GB RAM
  
• 9GB可用磁盤驅動器空間
  
• 2GB 虛擬內存
  
• 彩色顯示器和支持16位彩色的顯卡

服務器操作系統

CiscoWorks VMS需要下列操作系統：

• windows 2000 PRofessional、Server和Advanced Server （Service Pack 3）

java要求

Sun Java插件 1.3.1-b24

客戶端要求

硬件

• 配有300MHz或者更快的Pentium處理器的PC兼容計算機
  
• Solaris SPARCstation或Sun Ultra 10

客戶端操作系統

• 裝有Service Pack 3的Windows 2000 Server 或者 Professional Edition，或者裝有Microsoft VM的Windows xp SP1
  
• Solaris 2.8

客戶端瀏覽器

• 基于Windows操作系統的Internet Explorer 6.0 Service Pack 1
  
• Netscape Navigator 4.79，基于裝有Service Pack 3的Windows 2000 Server 或者 Professional Edition，或者Windows XP；基于Solaris 2.8的Netscape Navigator 4.76

CiscoWorks SIMS 3.1集中安全信息治理平臺
幫助實現安全的網絡

隨著信息技術的發展，面對新一代的黑客攻擊，蠕蟲，病毒等安全威脅，建設安全的網絡是業界目前所追求的理想目標。那么什么是安全的網絡？安全的網絡是指能夠提供安全連接、安全保證、安全認證、安全抵御以及安全服務，安全感知和治理，具有自我防御能力的網絡系統。

單純從技術的角度而言，目前業界比較認可的安全網絡的主要環節包括入侵防護、入侵檢測、事件響應和系統災難恢復。入侵防護主要是在安全風險評估和對安全威脅充分了解的基礎上，根據對安全的期望值和目標，制定相應的解決方案。入侵檢測主要是通過對網絡和主機中各種有關安全信息的采集和及時分析，來發現網絡中的入侵行為或異常行為，及時提醒治理員采取響應動作阻止入侵行為的繼續。事件響應是當發生安全事件的時候所采取的處理手段，與入侵防護和入侵檢測不同，事件響應主要體現為專業人員的服務和安全治理。系統恢復是指如何在數據、系統或者網絡由于各種原因受到損害后，盡快恢復損失前的狀態。除此之外，風險評估、安全策略和治理規定等，經常也被作為安全保障的重要部分。但是不論有多少環節，要想實現安全的網絡，風險評估、策略制定、入侵防護和入侵檢測等都是應急響應的預備工作，有了這些預備工作，事件響應才可以及時得到各種必要的審計數據，進行準確的分析，采取措施降低損失或者追蹤入侵者的來源等。因此，應急響應實際上將各個環節貫穿起來，使得不同的環節互相配合，共同實現安全網絡的最終目標。而應急響應能否在攻擊者成功達到目標之前有效地阻止攻擊和快速響應，不但取決于安全產品本身采取了什么技術，更取決于使用和治理產品的人以及網絡安全信息治理平臺。優秀的信息治理分析工具，可以讓安全治理人員對網絡的安全狀態了如指掌，快速行動，真正實現安全網絡。下圖為安全網絡系統模型，可見安全信息治理具有非常重要的作用。

安全信息治理平臺涵蓋的范圍非常廣泛，包括風險治理，策略中心，配置治理，事件治理，響應治理、控制系統，知識和情報中心，專家系統等，每個部分都需要嚴密的設計，相互協作，真正實現一個高效率的，實用的，完整的安全信息集中治理平臺。安全治理在安全網絡建設的循環中，起到一個承前啟后的作用，是實現安全網絡的要害，如下圖所示

在安全集中信息治理平臺中，我們目前所面臨的最大挑戰之一是，幫助我們做出正確判定的依據被不斷增加的、多個廠商的安全設備和多個系統所產生的大量安全信息所沉沒。比如一次簡單的Smurf攻擊，網絡入侵監測系統會報警，防火墻會報警，遭受攻擊的主機會報警，相關的路由器甚至交換機都會報警，匯聚到安全治理平臺就是多次報警，而其實攻擊就只有一次。只有能夠提供有效治理、隔離和優先處理代表著實際安全威脅的消息自動化處理系統，才可以保證安全響應的時實性，從而才可以在重大的安全災難來臨之前有準確的的應急響應措施。

目前行之有效的安全集中治理要害技術之一是一種稱為安全信息治理（SIM）的軟件技術，此技術可以搜集和分析網絡所面臨的各種安全事件數據，提供強大的智能分析和處理能力。

利用這種技術，可以有效地治理不斷擴大的安全基礎設施和有效監控處理數百萬個事件消息。這種技術具有以下特點:

• 提供對于多廠商安全環境的、全面的事件監控
  
• 具有先進的虛擬化功能，實現迅速、直觀的安全監控
  
• 具有風險評估能力，可以揭示網絡中的任何特定資產的總體風險和網絡的安全狀態
  
• 對于所在級別的安全操作的全面報告和危害猜測，提出智能化的建議
  
• 可以幫助大大提高生產率和降低生產成本

CiscoWorks SIMS 3.1集中安全信息治理平臺

思科公司的CiscoWorks SIMS 3.1集中安全信息治理平臺正是利用SIM技術，通過四個不同的階段，搜集、分析、關聯來自于整個網絡系統的安全事件信息，進行規范化、匯總、關聯和虛擬化。

規范化

在規范化階段，CiscoWorks SIMS 3.1將收集所有的入侵檢測系統、防火墻系統、操作系統、應用和防病毒系統的安全事件，并將其轉換成一種通用的、便于理解的xml格式。

匯總

在匯總階段，安全事件將進行匯總，清除過濾掉重復的安全事件數據——安全治理員最終只看到要害的攻擊信息。

關聯

利用統計關聯技術，規范化安全事件，按照資產或者資產群組歸入不同的安全事件類別。事件類別可能包括刺探攻擊、病毒攻擊和拒絕服務攻擊等。對于每個資產，CiscoWorks SIMS 3.1可以通過事件的嚴重程度和資產的價值結合到一起，結合響應的安全威脅指數，以確定安全事件的總體潛在威脅。CiscoWorks SIMS 3.1能夠發現那些被基于規則的關聯系統所忽視的異常情況，提供完整的安全信息。

虛擬化

CiscoWorks SIMS 3.1提供在一個集中、實時的控制臺中顯示一個功能強大的、直觀、友好、基于Java的圖形化界面。

治理面板提供一個實時的網絡安全趨勢視圖，而實時控制臺可以利用實時的關聯和分析功能，迅速地提供隔離安全攻擊的建議和實施手段。

安全風險評估能力

在安全方面，風險評估有助于了解網絡系統中的任何一個特定資產的總體風險。風險通常被定義為威脅、危險性和價值的組合，其中：

• 威脅是指任何針對一個系統或資產的異常流量或攻擊。無論它是端口掃描攻擊還是多次登陸失敗，這些記錄都將在計算總體風險時被考慮在內。
  
• 價值是衡量任何特定系統或資產的重要性等級。價值是一個由客戶針對企業中的每個資產定義的變量。
  
• 危險性是衡量一個針對系統或者資產的攻擊獲得成功的可能性。

CiscoWorks SIMS 3.1可以結合上述所有因素，為網絡中的每個資產計算出一個總體風險指數。還可以生成一份風險評估報告，提供每個資產的必要細節和它的相關風險。通過了解網絡中某個特定資產的危險性，就可以采取相應的安全策略。

總之，隨著網絡建設的安全保障任務變得更加重要，越來越具有挑戰性，集中的安全治理平臺在其中的角色也越來越重要，各行業的用戶也逐漸認同集中安全治理的必要性，紛紛預備實施。 集中的安全治理平臺不僅可以幫助降低攻擊風險，還有助于在發生攻擊時加快響應速度，提高現有的安全團隊的工作效率，實現最終的目標－安全的網絡。

靈活的部署選項

CiscoWorks SIMS 3.1能夠以下列方式訂購：

1. 一個純軟件產品。這可以提供部署一個多層服務器架構的靈活性，適用于大型部署。
2. 一個裝置產品。包括預裝在Cisco 1160硬件平臺上的CiscoWorks SIMS 3.1。它可以為客戶提供更加方便的安裝。

裝置產品具有與純軟件啟動包相同的功能。該裝置包括一個用于監控最多30個設備的使用許可。

假如事件數量較少，用戶可以購買附加的使用許可，以監控超過30個設備。裝置所能支持的設備的實際數量將取決于多個因素，包括消息頻率、保持規定和設備類型。裝置具有多種工具，例如用以監控消息頻率和軟件性能的系統狀況監視器。