7. 管理服务与应用检测相互协作
Cisco ASA 7.0 版及以上版本包括 30 多种专用检测引擎,用于各种采用超文本传输协议( HTTP)、文件传输协议( FTP)、 GPRS 隧道协议( GTP)、 Sun 远程过程调用( SunRPC)、 H.323和会话启动协议( SIP)等协议的现代应用。 Cisco ASDM 支持智能应用默认设置的点击功能,可快速建立强大的安全配置,保护关键任务型应用和资源免遭误用和隧道攻击。还可对检测服务定义基于信息流的控制,并为管理员提供企业级工具来对应用进行细致的控制。
8. 智能用户界面简化网络集成
Cisco ASDM 可简单、方便地管理 Cisco ASA 和 Cisco PIX 中丰富的网络集成特性。虚拟化功能可在单一安全设备中创建多个安全环境(虚拟防火墙),每个环境有自己的安全策略、逻辑接口和管理域。 Cisco ASDM 采用一个智能虚拟化管理系统,为需要全面了解系统中所有虚拟防火墙和特性的中央系统管理员提供了无限制的访问。各环境的用户都能获得相同的Cisco ASDM 的界面和外观,以及同样丰富的管理和监控功能,但所访问的配置和特性仅限于中央系统管理员为其分配的环境。各环境用户可在管理员创建的安全策略基础上,使用 CiscoASDM 为其虚拟防火墙建立订制配置。
Cisco ASDM 使管理员能全面控制组播路由协议,如协议无依赖型组播( PIM)协议、最短路径优先( OSPF)动态路由协议(如图 17-6 所示)、基于 IEEE 802.1q 的 VLAN 接口和服务质量( QoS)机制。对于新用户,它将智能默认设置和详细的在线帮助相结合,可简化这些网络服务的配置。高级用户则可利用深层特性支持,将 Cisco 安全设备集成入复杂的路由和交换环境中。
9. 安全管理界面提供一致的管理服务
Cisco ASDM 为 Cisco ASA 的所有配置、管理和监控需求提供了一致的解决方案。除了可提供最佳安全和 VPN 服务的丰富的配置和管理选项外,它还提供了一个企业级解决方案,来管理 Cisco ASA 5500/5500-X 系列真正的自适应安全服务。
Cisco ASDM 可帮助企业提高其网络环境的安全级别,通过 Cisco 高级检测和保护安全服务模块( AIP-SSM)简化对各种防御的管理,从而降低运营成本。这些服务提供了针对入侵、网络攻击、拒绝服务( DoS)攻击,以及蠕虫、网络病毒、特洛伊木马、间谍件和广告件等恶意件的防御。 Cisco ASDM 使管理员可迅速配置这些服务,包括流量风险评估和元事件生成器等独特的 Cisco 准确防御技术。 Cisco ASDM 使企业能更为自信地保护网络免遭各种攻击,而且不会有丢弃合法网络流量的风险。
10. 监控和报告工具实现关键业务数据分析
监控工具
Cisco ASDM 在主页上提供了深入的监控和报告服务,以及概览监控功能(如图 17-7 所示)。灵活的分析工具能够创建图形化总结报告,显示实时使用率、安全事件和网络活动。每个图形化报告中的数据都能以订制增量的形式提供,用户可选择 10 s 快照或进行更长时间间隔的分析。同时浏览多个图的能力使用户可并行执行具体评估。各图形能方便地标记,并输出数据以便以后访问。
系统图
提供 Cisco ASA 5500/5500-X 系列自适应安全设备的具体状态信息,包括所用区块和空闲区块、当前内存利用率和 CPU 利用率。
连接图
跟踪实时进程和连接性能监控数据;地址转换;验证、授权和记账( AAA)事务处理; URL 过滤请求等。连接图使管理员可全面了解其网络连接和活动,且不会被过多信息所淹没。
攻击保护系统图
有 16 种不同的图形来显示潜在的恶意活动。攻击特征信息显示 IP、因特网控制信息协议( ICMP)、用户数据报协议( UDP)、 TCP 攻击和 Portmap 请求等活动。这些图形也详细显示了攻击者列表、事件列表、系统统计数据和对于 Cisco AIP-SSM 的诊断。
接口图
提供对安全设备上每个接口的带宽使用率的实时监控。显示内外通信的带宽使用率。用户可浏览分组速率、数目和错误,以及位、字节和冲突数等。
VPN 统计和连接图
通过支持 Cisco IPSec 流量监控 MIB,提供对 VPN 连接的全面显示,每个隧道的具体统计数据,包括隧道正常运行时间和所传输的字节/分组数。
17.1.2 Cisco ASDM 初始化
1. 开始前的准备
在开始运行“ Startup Wizard”(启动向导)之前,先执行下述操作。
① 获得一个 DES 许可证或 3DES-AES 许可证。
运行 ASDM,必须拥有自适应安全设备的 DES 许可证或 3DES-AES 许可证。
② 在 Web 浏览器上启用 Java and Javascript。
③ 搜集下列信息:
在网络中能够识别自适应安全设备的主机名。
外部接口、内部接口和其他接口的 IP 地址信息。
用于 NAT 或 PAT 配置的 IP 地址信息。
DHCP 服务器的 IP 地址范围。
2. 使用“Startup Wizard”初始化
ASDM 使用“ Startup Wizard”简单地初始化自适应安全设备。只需很少的几个步骤,启动向导就可以启用自适应安全设备,实现数据在内部接口和外部接口的安全传输。
① 使用跳线将安装并运行 Cisco ASDM 的管理计算机与 Cisco ASA 的管理接口Mangement 0/0 连接在一起(如图 17-8 所示),或者将计算机与 Cisco ASA 连接至同一网段。ASA 5505 则使用非 Ehterbet 0/0 以外的其他以太网接口。
如果使用 CLI 初始化 Cisco ASA,则应当连接至 Console 端口。
② 配置计算机使用 DHCP 方式,将自动从自适应安全设备获得 IP 地址信息。
自适应安全设备的内部接口默认被指定为 192.168.1.1。
③ 检查前面板的 Power LED 指示灯,如果呈稳定的绿色,则 Cisco 的电源已经开启。另外,再检查 Status LED 指示灯,当呈现为稳定的绿色时,表明系统加电诊断已经顺利完成。同时,当连接正常时, Mangement 接口的 LINK LED 指示灯也应当呈绿色。
④ 运行“ Startup Wi
