《Cisco路由器和安全设备管理器》由会员分享,可在线阅读,更多相关《Cisco路由器和安全设备管理器(15页珍藏版)》请在金锄头文库上搜索。
1、Cisco 路由器和安全设备管理器路由器和安全设备管理器Cisco SDM 是为基于 Cisco IOS Software 的路由器开发的一种直观 Web 设备管理工具。 它能够通过智能向导简化路由器和安全配置,使客户和 Cisco 合作伙伴不需要了解命令行 界面 (CLI) 就能快速容易地部署配置和监控 Cisco 系统 路由器。许多 Cisco 路由器和 Cisco IOS Software 版本均可以支持 Cisco SDM。有关 Cisco SDM 支持的型号。易用性和内置应用智能易用性和内置应用智能利用 Cisco SDM 用户不但能轻松地在 Cisco 路由器上配置路由、交换、安全
2、和服务质量 (QoS) 服务还能通过性能监控进行主动管理。现在 Cisco SDM 用户可以远程配置和监控 Cisco 路由器而不再需要使用 Cisco IOS Software CLI。Cisco SDM GUI 能够帮助 Cisco IOS Software 的非专家型用户完成日常操作,提供易于使用的智能向导,自动执行路由器 安全管理并通过全面的在线帮助和指导给予用户帮助。Cisco SDM 智能向导指导用户通过系统地配置 LAN、WLAN 和 WAN 接口、防火墙、入侵防 御系统 (IPS) 和 IP Securtiy (IPSec) VPN 来逐步完成路由器和安全配置工作。Cisco
3、SDM 智能向导能够以智能方式检测到错误配置并提出修复建议,例如如果 WAN 接口由 DHCP 定址,则允许动态主机配置协议 (DHCP) 流量通过防火墙。除帮助用户在 Cisco SDM 中输入正确数据的详细步骤外,嵌入在 Cisco SDM 中的在线帮助还提供了相应的背景信息。 用户可能遇到的网络和安全术语及定义包含在在线词汇表中。对于熟悉 Cisco IOS Software 及其安全特性的网络专家,Cisco SDM 提供了能够快速配 置和精确调整路由器安全特性的先进配置工具,以便网络专家能够先审核 Cisco SDM 生成 的命令再提供路由器配置更改方案。Cisco SDM 帮助管理
4、员利用安全套接层 (SSL) 和安全配置 (SSHv2) 协议连接从远程位置 配置和监控路由器(图 1)。利用这种技术能够通过互联网在用户的浏览器与路由器之间 建立安全连接。在分支办公室部署时,可以从公司总部 配置和监控 Cisco SDM 型路由器, 因而能减少分支办公室对高级网络管理员的需要。图 1 利用 SSL 与 Cisco SDM 型路由器相连建立安全远程连接集成式安全配置集成式安全配置部署新的路由器时,可以利用国际计算机安全协会 (ICSA) 和 Cisco 技术支持中心 (TAC) 推荐的最佳实践来使用 Cisco SDM 快速配置 Cisco IOS Software 防火墙。
5、先进的防火墙向导允许高、中、低应用程序防火墙设置的一步部署。Cisco SDM 用户可以配置最强的 VPN 默认值并自动执行安全审计(图 2)。此外,Cisco SDM 用户可以执行防火墙的一步 路由器锁定,并通过一步 VPN 快速部署安全站点到站点连接。Cisco 推荐的与 Cisco SDM 捆绑在一起的 IPS 签名表可以快速部署蠕虫、病毒和协议攻击抵御系统。通过 Cisco SDM 网络准入控制(NAC) 向导,可以简单快速地将 NAC 和客户机安全状态管理集成到现有的网 络基础架构中。图 2 路由器安全审计 调用已经配置好的路由器时,利用 Cisco SDM 用户只需执行一步安全审计
6、就能通过与一般 安全漏洞的对比评估出路由器配置的优势和弱点。管理员可以精细调整他们现有的路由器 安全配置,更好地满足他们的企 业需要。Cisco SDM 还可以用于日常操作,例如:监控、 故障管理和故障排除等。路由器配置路由器配置除安全配置外,Cisco SDM 还能帮助用户快速轻松地执行路由器服务配置,例如:LAN WLAN、WLAN 和 WAN 接口配置、动态路由、DHCP 服务器、QoS 策略等等。利用 LAN 配置向导,用户不但能为以太网接口分配 IP 地址和子网掩码,还能启动或禁用 DHCP 服务器。利用 WAN 配置向导,用户可以为 WAN 和互联网接入配置 xDSL、T1/E1、
7、以 太网和 ISDN 接口。另外,对于串行连接,用户还可以实施帧中继、点对点协议 (PPP) 和 高级数据链路控制 (HDLC) 封装。不仅如此,Cisco SDM 还允许配置静态路由和通用动态 路由协议,例如:“开放最短路径优先” (OSPF)、“路由信息协议” (RIP) 第 2 版本和 “增强型内部网关路由选择协议” (EIGRP)。现在利用 Cisco SDM,可以轻松地将 QoS 策略应用到任何 WAN 或 VPN 通道接口。QoS 策 略向导能够自动执行 QoS 策略的 Cisco 体系结构原则,以便有效区分实时应用(语音或 视频)、关键业务应用(结构化查询语言 SQL、Oracl
8、e、Citrix、路由协议等)流量及 其它网络流量(Web 电子邮件等)。借助 Cisco SDM 中基于网络的应用程序识别 (NBAR) 监控,用户能够以可视方式实时检查应用层流量,并不断分析 QoS 策略对各种应用流量的 影响。监控和故障排除监控和故障排除在监控模式下,Cisco SDM 能够以图形方式快速显示重要路由器资源的状态和性能数据, 例如接口状态(正常或不正常)、CPU 和内存使用等(参见 图 3)。对于无线型号, Cisco SDM 全面支持实时 802.11a/b/g 接口统计数据。Cisco SDM 可利用路由器上的集成 式路由和安全特性深入诊断 WAN 和 VPN 连接,
9、并及时排除故障。例如:排除 VPN 连接故 障时,Cisco SDM 将检查从 WAN 接口层到 IPSec Crypto Map 层的路由器配置和连接。测 试每个层次的配置和远程对等连接时,Cisco SDM 将提供成功或失败状态、可能的失败原 因以及 Cisco TAC 提出的修复建议。图 3VPN 故障排除和恢复 Cisco SDM 监控模式不但允许用户检查被 Cisco IOS Software 防火墙拒绝的网络访问企 图次数还可以提供访问防火墙记录。不仅如此,用户还可以监控详细的 VPN 状态信息,例 如:IPSec 通道加密或解密的包数以及 Easy VPN 客户机连接细节。表 1
10、. Cisco SDMv2.2 的特性特性 优点 新硬件支持 EtherSwitch 服务模块:NME-16ES- 1G-P、NME-X-23ES-1G-1P、NME-XD- 24ES-1S-P、NME-XD-48ES-2S-PUSB 快闪键和 USB eTokens (Aladdins eToken) ADSL 2/2+ 和 ISDN HWICs NM-1FE-FX-V2 和 NM-1FE2W-V2自动识别、配置和监控新硬件 USB 闪存文件系统管理、数字证书保存和带 有 USB 标记的安全凭证。 VLAN 干线和以太网子接口配置支持 Cisco 事件控制服务 (ICS)支持 Trend M
11、icro 签名 快速部署和定制零天保护的签名,防止新的 攻击 网络准入控制 (NAC)在路由器上的配置向导和客户机安 全状态管理 简单快速地将 NAC 集成到现有的网络基础框 架中。 应用防火墙 先进的防火墙向导、策略视图、检 查规则编辑器和记录视图 对等项至对等项 (P2P) 应用: BitTorrent、Kazaa、Gnutella、eDonkey即时信息:Yahoo, MSN, AOL协议一致性:HTTP 和 e-mail(简 单邮件传输协议)SMTP、 ESMTP、POP3、和 Internet 消息访 问协议 IMAP) 为快速的安全解决方案部署提供应用层控制 和统一威胁管理 协议异
12、常检测服务 进行快速简单部署的防火墙策略设置的高、 中和低安全级别。 低适于不需要跟踪网络上 P2P 和 IM 应用 程序或检查协议一致性的商业环境 中适于安全非常重要、需要跟踪 IM 和 P2P 应用程序的使用情况并且需要检查 HTTP 和 Email 协议一致性的商业环境。 高适于安全极其重要、需要协议异常检测 服务来断开不一致性 HTTP 和 Email 流量并 防止使用 P2P 和 IM 应用程序的商业环境。 粒度协议检查 到在 TCP 和 UDP 端口上端口(或在策略中选择简单粒度协议的应用程序菜单 端口范围)映射的用户自定义应用 程序 基于威胁的入侵防御 基于威胁的签名分类,方便
13、IPS 部 署 IPS 配置向导、事件观察器 根据可用资源和攻击类别 (Viruses/Worms/Trojans, DoS/DDos 等等)的更为简单、智能的选择 实时报告签名引擎状态 Easy VPN 服务器和远程增强 先进的向导、远程配置更新、网络 拦截、拨号备份和 QoS 支持 集线器型路由器或分支办公室接入路由器上 的“电子工人”或小办公室的可扩展的、易 于管理的、安全的远程访问 动态 DNS基于 HTTP 和基于 IETF 的更新 与现有的 WAN 接口配置向导集成 动态编址路由器的可扩展、远程管理 无需专用、昂贵的静态 IP 地址即可运行商 业服务 可用性改进 来自 IPS 签名
14、引擎的安全设备事件交换 (SDEE) 报警的实时观察器 第 3 层及更高版本的防火墙策略模板 应用防火墙报警记录 简化 IP 地址管理的网络地址转换 (NAT) 向 导 Cisco SDM UI 网页、特性和向导的搜索工具 栏 降低成本降低成本Cisco SDM 适合那些对设备部署和网络管理成本敏感但缺少高技能技术人员的企业分支办 公室和中小型商业机构。利用 Cisco SDM 企业和 Cisco 渠道合作伙伴能够轻松地实施路 由器安全和网络配置。Cisco SDM 生成的 Cisco IOS Software 配置已经过 Cisco TAC 批 准。Cisco SDM 能够通过内置配置检查、
15、专家配置编辑器和有意义的默认值提高网络和安 全管理员的生产率。另外 Cisco SDM 特性还能减少配置出错机会,大大提高网络可靠性。对于建立了大网络的企业,Cisco SDM 能够通过与 Cisco CNS 配置引擎的集成以可扩展的 方式容易地部署路由器。Cisco SDM 生成的 Cisco IOS Software 配置可以导入到 Cisco CNS 配置引擎中,然后以“饼干模子 (cookie cutter)”方式部署到数千台的 Cisco 路由 器。可管理可管理 CPECPE 服务服务Cisco SDM 能够为服务提供商提供非常经济有效的解决方案,以便提供 Cisco 路由器服务 (
16、防火墙、IPSec VPN、入侵防御、WAN 接入、QoS 等)的只读图形视图。而且客户不需要 购买复杂的运行支持系统 (OSS) 软件来提供最终客户视图就能快速提供增值客户端设备 (CPE) 服务。另外,这种解决方案还能为服务提供商最终客户提供本地工具,使他们可以快速解决与 CPE 相关的所有问题,从而减轻网络支持中心的支持负担。Cisco 代理商可以利用 Cisco SDM 为 Cisco 接入路由器的安装基础或新的 Cisco 路由器 客户提供增值安全性、流量整形或可管理 CPE 服务。CiscoCisco SDMSDM 及其它及其它 CiscoCisco 管理应用管理应用Cisco 还提供可以与 Cisco SDM 配合使用的其它设备和网络管理应用。如要显示和监控 Cisco 设备的物理视图,还可以在专用 CiscoWorks 服务器上安装基于 Web 管理应用的 CiscoView。Cisco SDM 与 CiscoView 客户机接口可以共置于同一台工作站上:Cisco SDM 主要用于路由器和
