يوضح هذا المستند كيفية إعداد الأذونات والأدوار للمستخدمين في مدير أمان Cisco (CSM).
يفترض هذا المستند أن CSM تم تثبيته ويعمل بشكل صحيح.
تستند المعلومات الواردة في هذا المستند إلى CSM 3.1.
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.
راجع اصطلاحات تلميحات Cisco التقنية للحصول على مزيد من المعلومات حول اصطلاحات المستندات.
يصادق Cisco Security Manager اسم المستخدم وكلمة المرور قبل أن تتمكن من تسجيل الدخول. بعد التصديق عليها، تحدد إدارة الأمان دورك ضمن التطبيق. يحدد هذا الدور الأذونات الخاصة بك (تسمى أيضا الامتيازات)، وهي مجموعة المهام أو العمليات التي يسمح لك بتنفيذها. إذا لم تكن مخولا لأداء مهام أو أجهزة معينة، سيتم إخفاء أو تعطيل عناصر القائمة ذات الصلة وعناصر جدول المحتويات والأزرار. بالإضافة إلى ذلك، تخبرك رسالة بأنه ليس لديك الإذن لعرض المعلومات المحددة أو تنفيذ العملية المحددة.
تتم إدارة المصادقة والتفويض لمدير الأمان إما بواسطة خادم CiscoWorks أو خادم التحكم في الوصول الآمن (ACS) من Cisco. بشكل افتراضي، يدير CiscoWorks المصادقة والتفويض، ولكن يمكنك التغيير إلى ACS الآمن من Cisco باستخدام صفحة إعداد وضع AAA في خدمات CiscoWorks المشتركة.
المزايا الرئيسية لاستخدام مصدر المحتوى الإضافي الآمن من Cisco هي القدرة على إنشاء أدوار مستخدم عالية المستويات باستخدام مجموعات أذون متخصصة (على سبيل المثال، السماح للمستخدم بتكوين أنواع معينة من السياسات ولكن ليس أنواع أخرى) والقدرة على تقييد المستخدمين بأجهزة معينة من خلال تكوين مجموعات أجهزة الشبكة (NDGs).
تصف المواضيع التالية أذون المستخدم:
تصنف إدارة الأمان الأذونات إلى الفئات كما هو موضح:
عرض—يسمح لك بعرض الإعدادات الحالية. للحصول على مزيد من المعلومات، راجع عرض الأذونات.
تعديل—يسمح لك بتغيير الإعدادات الحالية. للحصول على مزيد من المعلومات، راجع تعديل الأذونات.
التعيين — يسمح لك بتعيين السياسات للأجهزة ومخططات الشبكات الخاصة الظاهرية (VPN). للحصول على مزيد من المعلومات، راجع تعيين الأذونات
الموافقة—يسمح لك بالموافقة على تغييرات السياسة ووظائف النشر. للحصول على مزيد من المعلومات، راجع الموافقة على الأذونات.
الاستيراد—يسمح لك باستيراد التكوينات التي تم نشرها بالفعل على الأجهزة في "إدارة الأمان".
النشر—يسمح لك بنشر تغييرات التكوين على الأجهزة في شبكتك وإجراء عملية الاستعادة للعودة إلى تكوين تم نشره مسبقا.
Control—يسمح لك بإصدار أوامر للأجهزة، مثل ping.
إرسال — يسمح لك بإرسال تغييرات التكوين الخاصة بك للموافقة.
عند تحديد أذونات تعديل أو تعيين أو موافقة أو إستيراد أو التحكم أو النشر، يجب أيضا تحديد أذونات العرض المطابقة؛ وإلا، فلن تعمل إدارة الأمان بشكل صحيح.
عند تحديد تعديل أذونات النهج، يجب أيضا تحديد تعيين أذونات النهج المطابقة وعرضها.
عند السماح بنهج يستخدم كائنات النهج كجزء من تعريفه، يجب أيضا منح أذونات العرض لأنواع الكائنات هذه. على سبيل المثال، إذا قمت بتحديد الإذن الخاص بتعديل سياسات التوجيه، فيجب عليك أيضا تحديد الأذونات الخاصة بعرض كائنات الشبكة وأدوار الواجهة، والتي هي أنواع الكائنات المطلوبة بواسطة نهج التوجيه.
نفس الشيء يصدق عند السماح لكائن يستخدم كائنات أخرى كجزء من تعريفه. على سبيل المثال، إذا قمت بتحديد الإذن الخاص بتعديل مجموعات المستخدمين، فيجب عليك أيضا تحديد الأذونات الخاصة بعرض كائنات الشبكة وكائنات قائمة التحكم في الوصول (ACL) ومجموعات خوادم AAA.
يتم تقسيم أذونات العرض (للقراءة فقط) في إدارة الأمان إلى فئات كما هو موضح:
تتضمن إدارة الأمان أذونات العرض التالية للنهج:
عرض > سياسات > جدار الحماية. يسمح لك بعرض سياسات خدمة جدار الحماية (الموجودة في محدد السياسة تحت جدار الحماية) على أجهزة PIX/ASA/FWSM وموجهات IOS وأجهزة Catalyst 6500/7600. وتتضمن أمثلة سياسات خدمة جدار الحماية قواعد الوصول وقواعد AAA وقواعد الفحص.
عرض > سياسات > نظام منع التسلل. يسمح لك بعرض سياسات IPS (الموجودة في محدد السياسة ضمن IPS)، بما في ذلك سياسات IPS التي تعمل على موجهات IOS.
عرض > سياسات > صورة. يتيح لك تحديد حزمة تحديث توقيع في معالج تطبيق تحديثات IPS (الموجود ضمن أدوات > تطبيق تحديث IPS)، ولكنه لا يسمح لك بتعيين الحزمة لأجهزة معينة، إلا إذا كان لديك أيضا تعديل > السياسات > إذن الصورة.
عرض > سياسات > NAT. يتيح لك عرض سياسات ترجمة عنوان الشبكة على أجهزة PIX/ASA/FWSM وموجهات IOS. تتضمن أمثلة سياسات NAT القواعد الثابتة والقواعد الديناميكية.
عرض > سياسات > شبكة VPN من موقع إلى موقع. يتيح لك عرض سياسات VPN من موقع إلى موقع على أجهزة PIX/ASA/FWSM وموجهات IOS وأجهزة Catalyst 6500/7600. وتتضمن أمثلة سياسات الشبكة الخاصة الظاهرية (VPN) من موقع إلى موقع اقتراحات IKE ومقترحات IPsec والمفاتيح المعينة مسبقا.
عرض > سياسات > Remote Access VPN للوصول عن بعد. يتيح لك عرض سياسات VPN للوصول عن بعد على أجهزة PIX/ASA/FWSM وموجهات IOS وأجهزة Catalyst 6500/7600. وتتضمن أمثلة سياسات الشبكة الخاصة الظاهرية (VPN) للوصول عن بعد اقتراحات IKE ومقترحات IPsec وسياسات PKI.
عرض > سياسات > SSL VPN. يسمح لك بعرض سياسات SSL VPN على أجهزة PIX/ASA/FWSM وموجهات IOS، مثل معالج SSL VPN.
عرض > سياسات > الواجهات. يسمح لك بعرض سياسات الواجهة (الموجودة في محدد السياسة ضمن الواجهات) على أجهزة PIX/ASA/FWSM وموجهات IOS وأجهزة إستشعار IPS وأجهزة Catalyst 6500/7600.
في أجهزة PIX/ASA/FWSM، يغطي هذا الإذن منافذ الأجهزة وإعدادات الواجهة.
في موجهات IOS، يغطي هذا الإذن إعدادات الواجهة الأساسية والمتقدمة، بالإضافة إلى السياسات الأخرى المتعلقة بالواجهة، مثل DSL و PVC و PPP وسياسات المتصل.
في أجهزة إستشعار IPS، يغطي هذا الإذن الواجهات المادية والخرائط الملخصة.
في أجهزة Catalyst 6500/7600، يغطي هذا الإذن الواجهات وإعدادات شبكة VLAN.
عرض > سياسات > الربط. يتيح لك عرض سياسات جدول ARP (الموجودة في محدد السياسة ضمن النظام الأساسي > التوصيل) على أجهزة PIX/ASA/FWSM.
عرض > سياسات > إدارة الأجهزة. يسمح لك بعرض سياسات إدارة الأجهزة (الموجودة في محدد السياسة ضمن النظام الأساسي > مسؤول الجهاز) على أجهزة PIX/ASA/FWSM وموجهات IOS وأجهزة Catalyst 6500/7600:
في أجهزة PIX/ASA/FWSM، تتضمن الأمثلة سياسات الوصول إلى الأجهزة وسياسات الوصول إلى الخادم وسياسات تجاوز الفشل.
في موجهات IOS، تتضمن الأمثلة سياسات الوصول إلى الجهاز (بما في ذلك الوصول إلى الخط) وسياسات الوصول إلى الخادم و AAA و Secure Device Provisioning.
في أجهزة إستشعار IPS، يغطي هذا الإذن سياسات الوصول إلى الجهاز ونهج الوصول إلى الخادم.
في أجهزة Catalyst 6500/7600، يغطي هذا الإذن إعدادات IDSM وقوائم الوصول إلى شبكة VLAN.
عرض > سياسات > الهوية. يسمح لك بعرض سياسات الهوية (الموجودة في محدد السياسة تحت منصة > هوية) على موجهات Cisco IOS، بما في ذلك سياسات 802.1x والتحكم في الدخول إلى الشبكة (NAC).
عرض > السياسات > التسجيل. يسمح لك بعرض سياسات التسجيل (الموجودة في محدد السياسة ضمن النظام الأساسي > التسجيل) على أجهزة PIX/ASA/FWSM وموجهات IOS وأجهزة إستشعار IPS. تتضمن أمثلة سياسات التسجيل إعداد التسجيل، إعداد الخادم، وسياسات خادم syslog.
عرض > سياسات > البث المتعدد. يتيح لك عرض سياسات البث المتعدد (الموجودة في محدد السياسة ضمن النظام الأساسي > البث المتعدد) على أجهزة PIX/ASA/FWSM. تتضمن أمثلة سياسات البث المتعدد توجيه البث المتعدد وسياسات بروتوكول إدارة مجموعات الإنترنت (IGMP).
عرض > سياسات > جودة الخدمة. يتيح لك عرض سياسات جودة الخدمة (الموجودة في محدد السياسة ضمن النظام الأساسي > جودة الخدمة) على موجهات Cisco IOS.
عرض > سياسات > التوجيه. يتيح لك عرض سياسات التوجيه (الموجودة في محدد السياسة ضمن النظام الأساسي > التوجيه) على أجهزة PIX/ASA/FWSM وموجهات IOS. تتضمن أمثلة سياسات التوجيه OSPF، RIP، وسياسات التوجيه الثابتة.
عرض > سياسات > التأمين. يسمح لك بعرض سياسات الأمان (الموجودة في محدد السياسة ضمن النظام الأساسي > الأمان) على أجهزة PIX/ASA/FWSM وأجهزة إستشعار IPS:
في أجهزة PIX/ASA/FWSM، تتضمن سياسات الأمان إعدادات مكافحة الانتحال والتجزئة والتوقف.
في أجهزة إستشعار IPS، تتضمن سياسات الأمان إعدادات الحظر.
عرض > سياسات > قواعد سياسة الخدمة. يسمح لك بعرض سياسات قاعدة سياسة الخدمة (الموجودة في محدد السياسة ضمن النظام الأساسي > قواعد سياسة الخدمة) على أجهزة PIX 7.x/ASA. وتتضمن الأمثلة قوائم الانتظار ذات الأولوية و IPS و QoS وقواعد الاتصال.
عرض > سياسات > تفضيلات المستخدم. يسمح لك بعرض سياسة النشر (الموجودة في محدد السياسة ضمن النظام الأساسي > تفضيلات المستخدم) على أجهزة PIX/ASA/FWSM. يحتوي هذا النهج على خيار لمسح جميع ترجمات NAT أثناء النشر.
عرض > سياسات > الجهاز الظاهري. يتيح لك عرض سياسات المستشعر الظاهري على أجهزة IPS. يتم إستخدام هذا النهج لإنشاء أجهزة إستشعار افتراضية.
عرض > السياسات > FlexConfig. يسمح لك بعرض FlexConfigs، وهي أوامر وتعليمات CLI إضافية يمكن نشرها إلى أجهزة PIX/ASA/FWSM وموجهات IOS وأجهزة Catalyst 6500/7600.
تتضمن إدارة الأمان أذونات العرض التالية للكائنات:
عرض > كائنات > مجموعات خوادم AAA. يتيح لك عرض كائنات مجموعة خوادم AAA. يتم إستخدام هذه الكائنات في السياسات التي تتطلب خدمات AAA (المصادقة والتخويل والمحاسبة).
عرض > كائنات > خوادم AAA. يتيح لك عرض كائنات خادم AAA. تمثل هذه الكائنات خوادم AAA الفردية التي يتم تعريفها كجزء من مجموعة خوادم AAA.
عرض > كائنات > قوائم التحكم في الوصول - قياسي/ممتد. يتيح لك عرض كائنات قوائم التحكم في الوصول (ACL) القياسية والموسعة. يتم إستخدام كائنات قائمة التحكم في الوصول (ACL) الموسعة لمجموعة متنوعة من السياسات، مثل NAT و NAC، ولإنشاء وصول VPN. يتم إستخدام كائنات قائمة التحكم في الوصول (ACL) القياسية لسياسات مثل OSPF و SNMP، بالإضافة إلى إنشاء وصول VPN.
عرض > كائنات > قوائم التحكم في الوصول - الويب. يتيح لك عرض كائنات قوائم التحكم في الوصول (ACL) للويب. يتم إستخدام كائنات قائمة التحكم في الوصول إلى الويب لإجراء تصفية المحتوى في نهج SSL VPN.
عرض > كائنات > مجموعات مستخدمي ASA. السماح بعرض كائنات مجموعة مستخدمي ASA. تم تكوين هذه الكائنات على أجهزة أمان ASA في تكوينات Easy VPN و Remote Access VPN و SSL VPN.
عرض > كائنات > فئات. يسمح لك بعرض كائنات الفئة. تساعدك تلك الكائنات على التعرف بسهولة على القواعد والكائنات في جداول القواعد من خلال إستخدام اللون.
عرض > كائنات > بيانات الاعتماد. السماح بعرض كائنات بيانات الاعتماد. يتم إستخدام هذه الكائنات في تكوين VPN سهل أثناء مصادقة IKE الموسعة (Xauth).
عرض > كائنات > FlexConfigs. يتيح لك عرض كائنات FlexConfig. يمكن إستخدام هذه الكائنات، التي تحتوي على أوامر تكوين مع إرشادات لغة برمجة نصية إضافية، لتكوين الأوامر غير المدعومة بواسطة واجهة مستخدم "إدارة الأمان".
عرض > كائنات > عروض IKE. السماح بعرض كائنات عرض IKE. تحتوي هذه الكائنات على المعلمات المطلوبة لمقترحات IKE في نهج VPN للوصول عن بعد.
عرض > كائنات > فحص - خرائط الفئات - DNS. يتيح لك عرض كائنات خريطة فئة DNS. تطابق هذه الكائنات حركة مرور DNS بمعايير محددة بحيث يمكن تنفيذ الإجراءات على حركة المرور هذه.
عرض > كائنات > فحص - خرائط الفئة - FTP. السماح بعرض كائنات خريطة فئة FTP. تطابق هذه الكائنات حركة مرور FTP بمعايير خاصة حتى يمكن تنفيذ الإجراءات على حركة المرور تلك.
عرض > كائنات > فحص - خرائط الفئات - HTTP. السماح بعرض كائنات خريطة فئة HTTP. تطابق هذه الكائنات حركة مرور HTTP بمعايير محددة بحيث يمكن تنفيذ الإجراءات على حركة المرور هذه.
عرض > كائنات > فحص - خرائط الفئات - المراسلة الفورية. يتيح لك عرض كائنات خريطة فئة المراسلة الفورية. تطابق هذه الكائنات حركة مرور IM بمعايير محددة بحيث يمكن تنفيذ الإجراءات على حركة المرور هذه.
عرض > كائنات > فحص - خرائط الفئة - SIP. يتيح لك عرض كائنات خريطة فئة SIP. تطابق هذه الكائنات حركة مرور SIP بمعايير محددة حتى يمكن تنفيذ الإجراءات على حركة المرور هذه.
عرض > كائنات > فحص - خرائط السياسة - DNS. السماح بعرض كائنات تعيين نهج DNS. يتم إستخدام هذه الكائنات لإنشاء خرائط فحص لحركة مرور DNS.
عرض > كائنات > فحص - خرائط السياسة - FTP. السماح بعرض كائنات مخطط نهج FTP. يتم إستخدام هذه الكائنات لإنشاء خرائط فحص لحركة مرور FTP.
عرض > كائنات > فحص - خرائط السياسة - GTP. يتيح لك عرض كائنات خريطة نهج GTP. تستخدم تلك الكائنات لإنشاء خرائط تفتيش لحركة مرور GTP.
عرض > كائنات > فحص - خرائط السياسة - HTTP (ASA7.1.x/PIX7.1.x/IOS). يسمح لك بعرض كائنات خريطة سياسة HTTP التي تم إنشاؤها لأجهزة ASA/PIX 7.1.x وموجهات IOS. يتم إستخدام هذه الكائنات لإنشاء خرائط فحص لحركة مرور HTTP.
عرض > كائنات > فحص - خرائط السياسة - HTTP (ASA7. 2/PIX7. 2). يسمح لك بعرض كائنات خريطة سياسة HTTP التي تم إنشاؤها لأجهزة ASA 7.2/PIX 7.2. يتم إستخدام هذه الكائنات لإنشاء خرائط فحص لحركة مرور HTTP.
عرض > كائنات > فحص - خرائط السياسة - IM (ASA7. 2/PIX7. 2). يسمح لك بعرض كائنات خريطة سياسة IM التي تم إنشاؤها لأجهزة ASA 7.2/PIX 7.2. يتم إستخدام هذه الكائنات لإنشاء خرائط فحص لحركة مرور المراسلة الفورية.
عرض > كائنات > فحص - خرائط السياسة - IM (IOS). يسمح لك بعرض كائنات خريطة سياسة IM التي تم إنشاؤها لأجهزة IOS. يتم إستخدام هذه الكائنات لإنشاء خرائط فحص لحركة مرور المراسلة الفورية.
عرض > كائنات > فحص - خرائط السياسة - SIP. السماح بعرض كائنات خريطة نهج SIP. يتم إستخدام هذه الكائنات لإنشاء خرائط فحص لحركة مرور SIP.
عرض > كائنات > فحص - التعابير العادية. يتيح لك عرض كائنات التعبير العادي. تمثل هذه الكائنات تعبيرات نمطية فردية يتم تعريفها كجزء من مجموعة تعبير نمطية.
عرض > كائنات > فحص - مجموعات التعابير العادية. يتيح لك عرض كائنات مجموعة التعبيرات العادية. يتم إستخدام هذه الكائنات من قبل خرائط فئة معينة وفحص الخرائط لمطابقة النص داخل الحزمة.
عرض > كائنات > فحص - خرائط TCP. يتيح لك عرض كائنات خريطة TCP. تقوم هذه الكائنات بتخصيص الفحص على تدفق TCP في كلا الاتجاهين.
عرض > كائنات > أدوار الواجهة. يسمح لك بعرض كائنات دور الواجهة. تعرف تلك الكائنات حشوات التسمية التي يمكن أن تمثل واجهات متعددة على أنواع مختلفة من الأجهزة. تمكنك أدوار الواجهة من تطبيق السياسات على واجهات معينة على أجهزة متعددة دون الاضطرار إلى تعريف اسم كل واجهة يدويا.
عرض > كائنات > مجموعات تحويل IPsec. يتيح لك عرض كائنات مجموعة تحويل IPsec. تتألف هذه الكائنات من مجموعة من بروتوكولات الأمان والخوارزميات والإعدادات الأخرى التي تحدد بدقة كيفية تشفير البيانات الموجودة في نفق IPsec والمصادقة عليها.
عرض > كائنات > خرائط سمات LDAP. يسمح لك بعرض كائنات خريطة سمات LDAP. يتم إستخدام هذه الكائنات لتعيين أسماء سمات مخصصة (معرفة من قبل المستخدم) إلى أسماء سمات LDAP من Cisco.
عرض > كائنات > شبكات/مضيفات. يتيح لك عرض كائنات الشبكة/المضيف. هذه الكائنات هي مجموعات منطقية لعناوين IP التي تمثل الشبكات أو الأجهزة المضيفة أو كليهما. تتيح لك كائنات الشبكة/المضيف تحديد السياسات دون تحديد كل شبكة أو مضيف بشكل منفرد.
عرض > كائنات > عمليات تسجيل PKI. السماح بعرض كائنات تسجيل PKI. تحدد هذه الكائنات خوادم المرجع المصدق (CA) التي تعمل ضمن بنية أساسية لمفتاح عام.
عرض > كائنات > قوائم إعادة توجيه المنافذ. يتيح لك عرض كائنات قائمة إعادة توجيه المنافذ. تقوم هذه الكائنات بتعريف تعيينات أرقام المنافذ على عميل بعيد إلى عنوان IP الخاص بالتطبيق ومنفذ خلف بوابة VPN ل SSL.
عرض > كائنات > تكوينات آمنة لسطح المكتب. يتيح لك عرض كائنات تكوين سطح المكتب الآمنة. هذه الكائنات قابلة لإعادة الاستخدام، والمكونات المسماة التي يمكن الإشارة إليها بواسطة نهج SSL VPN لتوفير وسيلة موثوقة لإزالة جميع آثار البيانات الحساسة التي يتم مشاركتها طوال مدة جلسة عمل SSL VPN.
عرض > كائنات > خدمات - قوائم المنافذ. يتيح لك عرض كائنات قائمة المنافذ. يتم إستخدام هذه الكائنات، والتي تحتوي على نطاق واحد أو أكثر من أرقام المنافذ، لتسهيل عملية إنشاء كائنات الخدمة.
يسمح لك عرض > كائنات > خدمات/مجموعات خدمات بعرض كائنات مجموعة الخدمات والخدمات. يتم تعريف هذه الكائنات بتعريفات البروتوكول والمنافذ التي تصف خدمات الشبكة المستخدمة من قبل السياسات، مثل Kerberos و SSH و POP3.
عرض > كائنات > خوادم تسجيل الدخول الأحادي. يتيح لك عرض تسجيل دخول أحادي لكائنات الخادم. يسمح تسجيل الدخول الأحادي (SSO) لمستخدمي SSL VPN بإدخال اسم المستخدم وكلمة المرور مرة واحدة والقدرة على الوصول إلى خدمات متعددة محمية وخوادم ويب.
عرض > كائنات > شاشات SLA. السماح بعرض كائنات مراقبة SLA. يتم إستخدام هذه الكائنات من قبل أجهزة أمان PIX/ASA التي تشغل الإصدار 7.2 أو إصدار أحدث لتنفيذ تعقب المسار. توفر هذه الميزة طريقة لتعقب توفر مسار أساسي وتثبيت مسار نسخ إحتياطي في حالة فشل المسار الرئيسي.
عرض > كائنات > تخصيصات SSL VPN. يتيح لك عرض كائنات تخصيص SSL VPN. تعرف هذه الكائنات كيفية تغيير مظهر صفحات SSL VPN المعروضة على المستخدمين، مثل تسجيل الدخول/تسجيل الخروج والصفحات الرئيسية.
عرض > كائنات > بوابات SSL VPN. يتيح لك عرض كائنات عبارة SSL VPN. تحدد هذه الكائنات المعلمات التي تمكن من إستخدام البوابة كوكيل للاتصالات بالموارد المحمية في SSL VPN الخاص بك.
عرض > كائنات > كائنات النمط. يتيح لك عرض كائنات النمط. تتيح لك هذه الكائنات تكوين عناصر النمط، مثل خصائص الخط والألوان، لتخصيص مظهر صفحة SSL VPN التي تظهر لمستخدمي SSL VPN عند إتصالهم بجهاز الأمان.
عرض > كائنات > كائنات النص. يتيح لك عرض كائنات النص ذات النموذج الحر. تحتوي هذه الكائنات على زوج اسم وقيمة، حيث يمكن أن تكون القيمة سلسلة واحدة، أو قائمة سلاسل، أو جدول سلاسل.
عرض > كائنات > نطاقات الوقت. يتيح لك عرض كائنات نطاق الوقت. يتم إستخدام هذه الكائنات عند إنشاء قوائم التحكم في الوصول (ACL) المستندة إلى الوقت وقواعد الفحص. كما يتم إستخدامها عند تحديد مجموعات مستخدمي ASA لتقييد وصول VPN إلى أوقات محددة أثناء الأسبوع.
عرض > كائنات > تدفقات حركة مرور البيانات. يتيح لك عرض كائنات تدفق حركة المرور. تحدد هذه الكائنات تدفقات حركة مرور معينة للاستخدام بواسطة أجهزة PIX 7.x/ASA 7.x.
عرض > كائنات > قوائم عنوان الربط. يتيح لك عرض كائنات قائمة عنوان URL. تحدد هذه الكائنات عناوين URL التي يتم عرضها على صفحة المدخل بعد تسجيل الدخول الناجح. ويتيح هذا للمستخدمين الوصول إلى الموارد المتوفرة على مواقع SSL VPN على الويب عند التشغيل في وضع الوصول دون عملاء.
عرض > كائنات > مجموعات المستخدمين. السماح بعرض كائنات مجموعة المستخدمين. تحدد هذه الكائنات مجموعات من العملاء البعيدين الذين يتم إستخدامهم في المخططات سهلة للشبكات الخاصة الظاهرية (VPN) والشبكات الخاصة الظاهرية (VPN) للوصول عن بعد والشبكات الخاصة الظاهرية (VPN) الخاصة ببروتوكول طبقة المقابس الآمنة (SSL).
عرض > كائنات > قوائم خادم WINS. السماح بعرض كائنات قائمة خوادم WINS. تمثل هذه الكائنات خوادم WINS، والتي يتم إستخدامها من قبل SSL VPN للوصول إلى الملفات أو مشاركتها على الأنظمة البعيدة.
عرض > كائنات > داخلي - قواعد DN. يسمح لك بعرض قواعد DN التي تستخدمها نهج DN. هذا كائن داخلي تستخدمه "إدارة الأمان" لا يظهر في "إدارة كائنات النهج".
عرض > كائنات > داخلي - تحديثات العميل. هذا كائن داخلي مطلوب من قبل كائنات مجموعة المستخدمين التي لا تظهر في إدارة كائنات النهج.
عرض > كائنات > داخلي - إدخالات التحكم في الوصول (ACE) القياسية. هذا كائن داخلي لإدخالات التحكم في الوصول القياسية، والتي تستخدمها كائنات قائمة التحكم في الوصول (ACL).
عرض > كائنات > داخلي - إدخالات التحكم في الوصول (ACE) الموسعة. هذا كائن داخلي لإدخالات التحكم في الوصول الموسعة، والتي تستخدمها كائنات قائمة التحكم في الوصول (ACL).
تتضمن إدارة الأمان أذونات العرض الإضافية التالية:
عرض > مسؤول. السماح بعرض الإعدادات الإدارية لإدارة الأمان.
عرض > CLI. يتيح لك عرض أوامر CLI التي تم تكوينها على جهاز ومعاينة الأوامر التي سيتم نشرها.
عرض > تكوين أرشيف. يتيح لك عرض قائمة التكوينات المضمنة في أرشيف التكوين. لا يمكنك عرض تكوين الجهاز أو أي أوامر CLI.
عرض > الأجهزة. يتيح لك عرض الأجهزة الموجودة في عرض الجهاز وجميع المعلومات ذات الصلة، بما في ذلك إعدادات الجهاز وخصائصه وتعييناته وما إلى ذلك.
عرض > مديرو الأجهزة. يسمح لك بتشغيل إصدارات للقراءة فقط من مديري الأجهزة للأجهزة الفردية، مثل موجه Cisco ومدير أجهزة الأمان (SDM) لموجهات Cisco IOS.
عرض > طبولوجيا. يتيح لك عرض الخرائط التي تم تكوينها في طريقة عرض الخريطة.
تنقسم أذونات التعديل (القراءة والكتابة) في إدارة الأمان إلى الفئات كما هو موضح:
ملاحظة: عند تحديد تعديل أذونات النهج، تأكد من تحديد أذونات التعيين المطابقة وعرض النهج أيضا.
تتضمن "إدارة الأمان" الأذونات التالية لتعديل النهج:
تعديل > سياسات > جدار الحماية. يسمح لك بتعديل سياسات خدمة جدار الحماية (الموجودة في محدد السياسة تحت جدار الحماية) على أجهزة PIX/ASA/FWSM وموجهات IOS وأجهزة Catalyst 6500/7600. وتتضمن أمثلة سياسات خدمة جدار الحماية قواعد الوصول وقواعد AAA وقواعد الفحص.
تعديل > سياسات > نظام منع التسلل. يسمح لك بتعديل سياسات IPS (الموجودة في محدد السياسة ضمن IPS)، بما في ذلك سياسات IPS التي تعمل على موجهات IOS. يتيح لك هذا الإذن أيضا ضبط التوقيعات في معالج تحديث التوقيع (الموجود ضمن أدوات > تطبيق تحديث IPS).
تعديل > سياسات > صورة. يسمح لك بتعيين حزمة تحديث توقيع للأجهزة في معالج تطبيق تحديثات IPS (الموجود ضمن أدوات > تطبيق تحديث IPS). يتيح لك هذا الإذن أيضا تعيين إعدادات التحديث التلقائي لأجهزة معينة (الموجودة ضمن أدوات > إدارة الأمان > تحديثات IPS).
تعديل > سياسات > NAT. يتيح لك تعديل سياسات ترجمة عنوان الشبكة على أجهزة PIX/ASA/FWSM وموجهات IOS. تتضمن أمثلة سياسات NAT القواعد الثابتة والقواعد الديناميكية.
تعديل > سياسات > شبكة VPN من موقع إلى موقع. يسمح لك بتعديل سياسات VPN من موقع إلى موقع على أجهزة PIX/ASA/FWSM وموجهات IOS وأجهزة Catalyst 6500/7600. وتتضمن أمثلة سياسات الشبكة الخاصة الظاهرية (VPN) من موقع إلى موقع اقتراحات IKE ومقترحات IPsec والمفاتيح المعينة مسبقا.
تعديل > السياسات > Remote Access VPN. يسمح لك بتعديل سياسات الوصول عن بعد إلى VPN على أجهزة PIX/ASA/FWSM وموجهات IOS وأجهزة Catalyst 6500/7600. وتتضمن أمثلة سياسات الشبكة الخاصة الظاهرية (VPN) للوصول عن بعد اقتراحات IKE ومقترحات IPsec وسياسات PKI.
تعديل > السياسات > SSL VPN. يسمح لك بتعديل سياسات SSL VPN على أجهزة PIX/ASA/FWSM وموجهات IOS، مثل معالج SSL VPN.
تعديل > سياسات > الواجهات. يسمح لك بتعديل سياسات الواجهة (الموجودة في محدد السياسة ضمن الواجهات) على أجهزة PIX/ASA/FWSM وموجهات IOS وأجهزة إستشعار IPS وأجهزة Catalyst 6500/7600:
في أجهزة PIX/ASA/FWSM، يغطي هذا الإذن منافذ الأجهزة وإعدادات الواجهة.
في موجهات IOS، يغطي هذا الإذن إعدادات الواجهة الأساسية والمتقدمة، بالإضافة إلى السياسات الأخرى المتعلقة بالواجهة، مثل DSL و PVC و PPP وسياسات المتصل.
في أجهزة إستشعار IPS، يغطي هذا الإذن الواجهات المادية والخرائط الملخصة.
في أجهزة Catalyst 6500/7600، يغطي هذا الإذن الواجهات وإعدادات شبكة VLAN.
تعديل > سياسات > الربط. يسمح لك بتعديل سياسات جدول ARP (الموجودة في محدد السياسة ضمن النظام الأساسي > التوصيل) على أجهزة PIX/ASA/FWSM.
تعديل > سياسات > إدارة الأجهزة. يسمح لك بتعديل سياسات إدارة الأجهزة (الموجودة في محدد السياسة ضمن النظام الأساسي > مسؤول الجهاز) على أجهزة PIX/ASA/FWSM وموجهات IOS وأجهزة Catalyst 6500/7600:
في أجهزة PIX/ASA/FWSM، تتضمن الأمثلة سياسات الوصول إلى الأجهزة وسياسات الوصول إلى الخادم وسياسات تجاوز الفشل.
في موجهات IOS، تتضمن الأمثلة سياسات الوصول إلى الجهاز (بما في ذلك الوصول إلى الخط) وسياسات الوصول إلى الخادم و AAA و Secure Device Provisioning.
في أجهزة إستشعار IPS، يغطي هذا الإذن سياسات الوصول إلى الجهاز ونهج الوصول إلى الخادم.
في أجهزة Catalyst 6500/7600، يغطي هذا الإذن إعدادات IDSM وقائمة الوصول إلى شبكة VLAN.
تعديل > سياسات > هوية. يسمح لك بتعديل سياسات الهوية (الموجودة في محدد السياسة تحت منصة عمل > هوية) على موجهات Cisco IOS، بما في ذلك سياسات 802.1x والتحكم في الدخول إلى الشبكة (NAC).
تعديل > السياسات > التسجيل. يسمح لك بتعديل سياسات التسجيل (الموجودة في محدد السياسة ضمن النظام الأساسي > التسجيل) على أجهزة PIX/ASA/FWSM وموجهات IOS وأجهزة إستشعار IPS. تتضمن أمثلة سياسات التسجيل إعداد التسجيل، إعداد الخادم، وسياسات خادم syslog.
تعديل > سياسات > البث المتعدد. يسمح لك بتعديل سياسات البث المتعدد (الموجودة في محدد السياسة ضمن النظام الأساسي > البث المتعدد) على أجهزة PIX/ASA/FWSM. تتضمن أمثلة سياسات البث المتعدد توجيه البث المتعدد وسياسات بروتوكول إدارة مجموعات الإنترنت (IGMP).
تعديل > سياسات > جودة الخدمة. يسمح لك بتعديل سياسات جودة الخدمة (الموجودة في محدد السياسة ضمن النظام الأساسي > جودة الخدمة) على موجهات Cisco IOS.
تعديل > سياسات > التوجيه. يسمح لك بتعديل سياسات التوجيه (الموجودة في محدد السياسة ضمن النظام الأساسي > التوجيه) على أجهزة PIX/ASA/FWSM وموجهات IOS. تتضمن أمثلة سياسات التوجيه OSPF، RIP، وسياسات التوجيه الثابتة.
تعديل > سياسات > التأمين. يسمح لك بتعديل سياسات الأمان (الموجودة في محدد السياسة ضمن النظام الأساسي > الأمان) على أجهزة PIX/ASA/FWSM وأجهزة إستشعار IPS:
في أجهزة PIX/ASA/FWSM، تتضمن سياسات الأمان إعدادات مكافحة الانتحال والتجزئة والتوقف.
في أجهزة إستشعار IPS، تتضمن سياسات الأمان إعدادات الحظر.
تعديل > سياسات > قواعد سياسة الخدمة. يسمح لك بتعديل سياسات قاعدة سياسة الخدمة (الموجودة في محدد السياسة ضمن النظام الأساسي > قواعد سياسة الخدمة) على أجهزة PIX 7.x/ASA. وتتضمن الأمثلة قوائم الانتظار ذات الأولوية و IPS و QoS وقواعد الاتصال.
تعديل > سياسات > تفضيلات المستخدم. يسمح لك بتعديل سياسة النشر (الموجودة في محدد السياسة ضمن النظام الأساسي > تفضيلات المستخدم) على أجهزة PIX/ASA/FWSM. يحتوي هذا النهج على خيار لمسح جميع ترجمات NAT أثناء النشر.
تعديل > سياسات > الجهاز الظاهري. يسمح لك بتعديل نهج المستشعر الظاهري على أجهزة IPS. أستخدم هذا النهج لإنشاء أجهزة إستشعار افتراضية.
تعديل > السياسات > FlexConfig. يسمح لك بتعديل FlexConfigs، وهي أوامر وتعليمات CLI إضافية يمكن نشرها إلى أجهزة PIX/ASA/FWSM وموجهات IOS وأجهزة Catalyst 6500/7600.
تتضمن إدارة الأمان أذونات العرض التالية للكائنات:
تعديل > كائنات > مجموعات خوادم AAA. يتيح لك عرض كائنات مجموعة خوادم AAA. يتم إستخدام هذه الكائنات في السياسات التي تتطلب خدمات AAA (المصادقة والتخويل والمحاسبة).
تعديل > كائنات > خوادم AAA. يتيح لك عرض كائنات خادم AAA. تمثل هذه الكائنات خوادم AAA الفردية التي يتم تعريفها كجزء من مجموعة خوادم AAA.
تعديل > كائنات > قوائم التحكم في الوصول - قياسي/موسع. يتيح لك عرض كائنات قوائم التحكم في الوصول (ACL) القياسية والموسعة. يتم إستخدام كائنات قائمة التحكم في الوصول (ACL) الموسعة لمجموعة متنوعة من السياسات، مثل NAT و NAC، ولإنشاء وصول VPN. يتم إستخدام كائنات قائمة التحكم في الوصول (ACL) القياسية لسياسات مثل OSPF و SNMP، بالإضافة إلى إنشاء وصول VPN.
تعديل > كائنات > قوائم التحكم في الوصول - الويب. يتيح لك عرض كائنات قوائم التحكم في الوصول (ACL) للويب. يتم إستخدام كائنات قائمة التحكم في الوصول إلى الويب لإجراء تصفية المحتوى في نهج SSL VPN.
تعديل > كائنات > مجموعات مستخدمي ASA. السماح بعرض كائنات مجموعة مستخدمي ASA. تم تكوين هذه الكائنات على أجهزة أمان ASA في تكوينات Easy VPN و Remote Access VPN و SSL VPN.
تعديل > كائنات > فئات. يسمح لك بعرض كائنات الفئة. تساعدك تلك الكائنات على التعرف بسهولة على القواعد والكائنات في جداول القواعد من خلال إستخدام اللون.
تعديل > كائنات > بيانات الاعتماد. السماح بعرض كائنات بيانات الاعتماد. يتم إستخدام هذه الكائنات في تكوين VPN سهل أثناء مصادقة IKE الموسعة (Xauth).
تعديل > كائنات > FlexConfigs. يتيح لك عرض كائنات FlexConfig. يمكن إستخدام هذه الكائنات، التي تحتوي على أوامر تكوين مع إرشادات لغة برمجة نصية إضافية، لتكوين الأوامر غير المدعومة بواسطة واجهة مستخدم "إدارة الأمان".
تعديل > كائنات > مقترحات IKE. السماح بعرض كائنات عرض IKE. تحتوي هذه الكائنات على المعلمات المطلوبة لمقترحات IKE في نهج VPN للوصول عن بعد.
تعديل > كائنات > فحص - خرائط الفئة - DNS. يتيح لك عرض كائنات خريطة فئة DNS. تطابق هذه الكائنات حركة مرور DNS بمعايير محددة بحيث يمكن تنفيذ الإجراءات على حركة المرور هذه.
تعديل > كائنات > فحص - خرائط الفئة - FTP. السماح بعرض كائنات خريطة فئة FTP. تطابق هذه الكائنات حركة مرور FTP بمعايير خاصة حتى يمكن تنفيذ الإجراءات على حركة المرور تلك.
تعديل > كائنات > فحص - خرائط الفئة - HTTP. السماح بعرض كائنات خريطة فئة HTTP. تطابق هذه الكائنات حركة مرور HTTP بمعايير محددة بحيث يمكن تنفيذ الإجراءات على حركة المرور هذه.
تعديل > كائنات > فحص - خرائط الفئة - IM. يتيح لك عرض كائنات خريطة فئة المراسلة الفورية. تطابق هذه الكائنات حركة مرور IM بمعايير محددة بحيث يمكن تنفيذ الإجراءات على حركة المرور هذه.
تعديل > كائنات > فحص - خرائط الفئة - SIP. يتيح لك عرض كائنات خريطة فئة SIP. تطابق هذه الكائنات حركة مرور SIP بمعايير محددة حتى يمكن تنفيذ الإجراءات على حركة المرور هذه.
تعديل > كائنات > فحص - خرائط السياسة - DNS. السماح بعرض كائنات تعيين نهج DNS. يتم إستخدام هذه الكائنات لإنشاء خرائط فحص لحركة مرور DNS.
تعديل > كائنات > فحص - خرائط السياسة - FTP. السماح بعرض كائنات مخطط نهج FTP. يتم إستخدام هذه الكائنات لإنشاء خرائط فحص لحركة مرور FTP.
تعديل > كائنات > فحص - خرائط السياسة - HTTP (ASA7.1.x/PIX7.1.x/IOS). يسمح لك بعرض كائنات خريطة سياسة HTTP التي تم إنشاؤها لأجهزة ASA/PIX 7.x وموجهات IOS. يتم إستخدام هذه الكائنات لإنشاء خرائط فحص لحركة مرور HTTP.
تعديل > كائنات > فحص - خرائط السياسة - HTTP (ASA7. 2/PIX7. 2). يسمح لك بعرض كائنات خريطة سياسة HTTP التي تم إنشاؤها لأجهزة ASA 7.2/PIX 7.2. يتم إستخدام هذه الكائنات لإنشاء خرائط فحص لحركة مرور HTTP.
تعديل > كائنات > فحص - خرائط السياسة - IM (ASA7.2/PIX7.2). يسمح لك بعرض كائنات خريطة سياسة IM التي تم إنشاؤها لأجهزة ASA 7.2/PIX 7.2. يتم إستخدام هذه الكائنات لإنشاء خرائط فحص لحركة مرور المراسلة الفورية.
تعديل > كائنات > فحص - خرائط السياسة - IM (IOS). يسمح لك بعرض كائنات خريطة سياسة IM التي تم إنشاؤها لأجهزة IOS. يتم إستخدام هذه الكائنات لإنشاء خرائط فحص لحركة مرور المراسلة الفورية.
تعديل > كائنات > فحص - خرائط السياسة - SIP. السماح بعرض كائنات خريطة نهج SIP. يتم إستخدام هذه الكائنات لإنشاء خرائط فحص لحركة مرور SIP.
تعديل > كائنات > فحص - التعابير العادية. يتيح لك عرض كائنات التعبير العادي. تمثل هذه الكائنات تعبيرات نمطية فردية يتم تعريفها كجزء من مجموعة تعبير نمطية.
تعديل > كائنات > فحص - مجموعات التعابير العادية. يتيح لك عرض كائنات مجموعة التعبيرات العادية. يتم إستخدام هذه الكائنات من قبل خرائط فئة معينة وفحص الخرائط لمطابقة النص داخل الحزمة.
تعديل > كائنات > فحص - خرائط TCP. يتيح لك عرض كائنات خريطة TCP. تقوم هذه الكائنات بتخصيص الفحص على تدفق TCP في كلا الاتجاهين.
تعديل > كائنات > أدوار الواجهة. يسمح لك بعرض كائنات دور الواجهة. تعرف تلك الكائنات حشوات التسمية التي يمكن أن تمثل واجهات متعددة على أنواع مختلفة من الأجهزة. تمكنك أدوار الواجهة من تطبيق السياسات على واجهات معينة على أجهزة متعددة دون الاضطرار إلى تعريف اسم كل واجهة يدويا.
تعديل > كائنات > مجموعات تحويل IPsec. يتيح لك عرض كائنات مجموعة تحويل IPsec. تتألف هذه الكائنات من مجموعة من بروتوكولات الأمان والخوارزميات والإعدادات الأخرى التي تحدد بدقة كيفية تشفير البيانات الموجودة في نفق IPsec والمصادقة عليها.
تعديل > كائنات > خرائط سمات LDAP. يسمح لك بعرض كائنات خريطة سمات LDAP. يتم إستخدام هذه الكائنات لتعيين أسماء سمات مخصصة (معرفة من قبل المستخدم) إلى أسماء سمات LDAP من Cisco.
تعديل > كائنات > شبكات/مضيفات. يتيح لك عرض كائنات الشبكة/المضيف. هذه الكائنات هي مجموعات منطقية لعناوين IP التي تمثل الشبكات أو الأجهزة المضيفة أو كليهما. تتيح لك كائنات الشبكة/المضيف تحديد السياسات دون تحديد كل شبكة أو مضيف بشكل منفرد.
تعديل > كائنات > عمليات تسجيل PKI. السماح بعرض كائنات تسجيل PKI. تحدد هذه الكائنات خوادم المرجع المصدق (CA) التي تعمل ضمن بنية أساسية لمفتاح عام.
تعديل > كائنات > قوائم إعادة توجيه المنافذ. يتيح لك عرض كائنات قائمة إعادة توجيه المنافذ. تقوم هذه الكائنات بتعريف تعيينات أرقام المنافذ على عميل بعيد إلى عنوان IP الخاص بالتطبيق ومنفذ خلف بوابة VPN ل SSL.
تعديل > كائنات > تكوينات سطح المكتب الآمنة. يتيح لك عرض كائنات تكوين سطح المكتب الآمنة. هذه الكائنات قابلة لإعادة الاستخدام، والمكونات المسماة التي يمكن الإشارة إليها بواسطة نهج SSL VPN لتوفير وسيلة موثوقة لإزالة جميع آثار البيانات الحساسة التي يتم مشاركتها طوال مدة جلسة عمل SSL VPN.
تعديل > كائنات > خدمات - قوائم المنافذ. يتيح لك عرض كائنات قائمة المنافذ. يتم إستخدام هذه الكائنات، والتي تحتوي على نطاق واحد أو أكثر من أرقام المنافذ، لتسهيل عملية إنشاء كائنات الخدمة.
تعديل > كائنات > الخدمات/مجموعات الخدمات. يسمح لك بعرض كائنات مجموعة الخدمات والخدمات. يتم تعريف هذه الكائنات بتعريفات البروتوكول والمنافذ التي تصف خدمات الشبكة المستخدمة من قبل السياسات، مثل Kerberos و SSH و POP3.
تعديل > كائنات > خوادم تسجيل الدخول الأحادي. يتيح لك عرض تسجيل دخول أحادي لكائنات الخادم. يسمح تسجيل الدخول الأحادي (SSO) لمستخدمي SSL VPN بإدخال اسم المستخدم وكلمة المرور مرة واحدة والقدرة على الوصول إلى خدمات متعددة محمية وخوادم ويب.
تعديل > كائنات > شاشات SLA. السماح بعرض كائنات مراقبة SLA. يتم إستخدام هذه الكائنات من قبل أجهزة أمان PIX/ASA التي تشغل الإصدار 7.2 أو إصدار أحدث لتنفيذ تعقب المسار. توفر هذه الميزة طريقة لتعقب توفر مسار أساسي وتثبيت مسار نسخ إحتياطي في حالة فشل المسار الرئيسي.
تعديل > كائنات > تخصيصات SSL VPN. يتيح لك عرض كائنات تخصيص SSL VPN. تعرف هذه الكائنات كيفية تغيير مظهر صفحات SSL VPN المعروضة على المستخدمين، مثل تسجيل الدخول/تسجيل الخروج والصفحات الرئيسية.
تعديل > كائنات > بوابات SSL VPN. يتيح لك عرض كائنات عبارة SSL VPN. تحدد هذه الكائنات المعلمات التي تمكن من إستخدام البوابة كوكيل للاتصالات بالموارد المحمية في SSL VPN الخاص بك.
تعديل > كائنات > كائنات النمط. يتيح لك عرض كائنات النمط. تتيح لك هذه الكائنات تكوين عناصر النمط، مثل خصائص الخط والألوان، لتخصيص مظهر صفحة SSL VPN التي تظهر لمستخدمي SSL VPN عند إتصالهم بجهاز الأمان.
تعديل > كائنات > كائنات النص. يتيح لك عرض كائنات النص ذات النموذج الحر. تحتوي هذه الكائنات على زوج اسم وقيمة، حيث يمكن أن تكون القيمة سلسلة واحدة، أو قائمة سلاسل، أو جدول سلاسل.
تعديل > كائنات > نطاقات الوقت. يتيح لك عرض كائنات نطاق الوقت. يتم إستخدام هذه الكائنات عند إنشاء قوائم التحكم في الوصول (ACL) المستندة إلى الوقت وقواعد الفحص. كما يتم إستخدامها عند تحديد مجموعات مستخدمي ASA لتقييد وصول VPN إلى أوقات محددة أثناء الأسبوع.
تعديل > كائنات > تدفقات حركة مرور البيانات. يتيح لك عرض كائنات تدفق حركة المرور. تحدد هذه الكائنات تدفقات حركة مرور معينة للاستخدام بواسطة أجهزة PIX 7.x/ASA 7.x.
تعديل > كائنات > قوائم عنوان الربط. يتيح لك عرض كائنات قائمة عنوان URL. تحدد هذه الكائنات عناوين URL التي يتم عرضها على صفحة المدخل بعد تسجيل الدخول الناجح. ويتيح هذا للمستخدمين الوصول إلى الموارد المتوفرة على مواقع SSL VPN على الويب عند التشغيل في وضع الوصول دون عملاء.
تعديل > كائنات > مجموعات المستخدمين. السماح بعرض كائنات مجموعة المستخدمين. تحدد هذه الكائنات مجموعات من العملاء البعيدين الذين يتم إستخدامهم في المخططات سهلة للشبكات الخاصة الظاهرية (VPN) والشبكات الخاصة الظاهرية (VPN) للوصول عن بعد والشبكة الخاصة الظاهرية (VPN) لمحولات SSL
تعديل > كائنات > قوائم خادم WINS. السماح بعرض كائنات قائمة خوادم WINS. تمثل هذه الكائنات خوادم WINS، والتي يتم إستخدامها من قبل SSL VPN للوصول إلى الملفات أو مشاركتها على الأنظمة البعيدة.
تعديل > كائنات > داخلي - قواعد DN. يسمح لك بعرض قواعد DN التي تستخدمها نهج DN. هذا كائن داخلي تستخدمه "إدارة الأمان" لا يظهر في "إدارة كائنات النهج".
تعديل > كائنات > داخلي - تحديثات العميل. هذا كائن داخلي مطلوب من قبل كائنات مجموعة المستخدمين التي لا تظهر في إدارة كائنات النهج.
تعديل > كائنات > داخلي - إدخال التحكم في الوصول (ACE) القياسي. هذا كائن داخلي لإدخالات التحكم في الوصول القياسية، والتي تستخدمها كائنات قائمة التحكم في الوصول (ACL).
تعديل > كائنات > داخلي - إدخال التحكم في الوصول (ACE) الموسع. هذا كائن داخلي لإدخالات التحكم في الوصول الموسعة، والتي تستخدمها كائنات قائمة التحكم في الوصول (ACL).
تتضمن "إدارة الأمان" أذونات التعديل الإضافية كما هو موضح:
تعديل > Admin. السماح بتعديل الإعدادات الإدارية لإدارة الأمان.
تعديل > تكوين أرشيف. يسمح لك بتعديل تكوين الجهاز في أرشيف التكوين. وبالإضافة إلى ذلك، فإنها تسمح لك بإضافة تكوينات إلى الأرشيف وتخصيص أداة أرشيف التكوين.
تعديل > الأجهزة. يتيح لك إضافة الأجهزة وحذفها، بالإضافة إلى تعديل خصائص وسمات الجهاز. لاكتشاف النهج الموجودة على الجهاز الذي تتم إضافته، يجب أيضا تمكين إذن الاستيراد. بالإضافة إلى ذلك، إذا قمت بتمكين إذن تعديل > الأجهزة، فتأكد من تمكين إذن التعيين > السياسات > الواجهات.
تعديل > التدرج الهرمي. يسمح لك بتعديل مجموعات الأجهزة.
تعديل > طبولوجيا. يتيح لك تعديل الخرائط في طريقة عرض الخريطة.
تتضمن "إدارة الأمان" أذونات تعيين النهج كما هو موضح:
تعيين > سياسات > جدار الحماية. يسمح لك بتعيين سياسات خدمة جدار الحماية (الموجودة في محدد السياسة تحت جدار الحماية) لأجهزة PIX/ASA/FWSM وموجهات IOS وأجهزة Catalyst 6500/7600. وتتضمن أمثلة سياسات خدمة جدار الحماية قواعد الوصول وقواعد AAA وقواعد الفحص.
تعيين > سياسات > نظام منع التسلل. يسمح لك بتعيين سياسات IPS (الموجودة في محدد السياسة ضمن IPS)، بما في ذلك سياسات IPS التي تعمل على موجهات IOS.
تعيين > سياسات > صورة. هذا الإذن غير مستخدم حاليا من قبل إدارة الأمان.
تعيين > سياسات > NAT. يسمح لك بتعيين سياسات ترجمة عنوان الشبكة لأجهزة PIX/ASA/FWSM وموجهات IOS. تتضمن أمثلة سياسات NAT القواعد الثابتة والقواعد الديناميكية.
تعيين > سياسات > شبكة VPN من موقع إلى موقع. يسمح لك بتعيين سياسات VPN من موقع إلى موقع إلى أجهزة PIX/ASA/FWSM وموجهات IOS وأجهزة Catalyst 6500/7600. وتتضمن أمثلة سياسات الشبكة الخاصة الظاهرية (VPN) من موقع إلى موقع اقتراحات IKE ومقترحات IPsec والمفاتيح المعينة مسبقا.
تعيين > سياسات > Remote Access VPN للوصول عن بعد. يسمح لك بتعيين سياسات الوصول عن بعد إلى VPN لأجهزة PIX/ASA/FWSM وموجهات IOS وأجهزة Catalyst 6500/7600. وتتضمن أمثلة سياسات الشبكة الخاصة الظاهرية (VPN) للوصول عن بعد اقتراحات IKE ومقترحات IPsec وسياسات PKI.
تعيين > سياسات > SSL VPN. يسمح لك بتعيين سياسات SSL VPN لأجهزة PIX/ASA/FWSM وموجهات IOS، مثل معالج SSL VPN.
تعيين > سياسات > الواجهات. يسمح لك بتعيين سياسات الواجهة (الموجودة في محدد السياسة ضمن الواجهات) لأجهزة PIX/ASA/FWSM وموجهات IOS وأجهزة Catalyst 6500/7600:
في أجهزة PIX/ASA/FWSM، يغطي هذا الإذن منافذ الأجهزة وإعدادات الواجهة.
في موجهات IOS، يغطي هذا الإذن إعدادات الواجهة الأساسية والمتقدمة، بالإضافة إلى السياسات الأخرى المتعلقة بالواجهة، مثل DSL و PVC و PPP وسياسات المتصل.
في أجهزة Catalyst 6500/7600، يغطي هذا الإذن الواجهات وإعدادات شبكة VLAN.
تعيين > سياسات > الربط. يسمح لك بتعيين سياسات جدول ARP (الموجودة في محدد السياسة ضمن النظام الأساسي > الربط) إلى أجهزة PIX/ASA/FWSM.
تعيين > سياسات > إدارة الأجهزة. يسمح لك بتعيين سياسات إدارة الأجهزة (الموجودة في محدد السياسة ضمن النظام الأساسي > مسؤول الجهاز) لأجهزة PIX/ASA/FWSM وموجهات IOS وأجهزة Catalyst 6500/7600:
في أجهزة PIX/ASA/FWSM، تتضمن الأمثلة سياسات الوصول إلى الأجهزة وسياسات الوصول إلى الخادم وسياسات تجاوز الفشل.
في موجهات IOS، تتضمن الأمثلة سياسات الوصول إلى الجهاز (بما في ذلك الوصول إلى الخط) وسياسات الوصول إلى الخادم و AAA و Secure Device Provisioning.
في أجهزة إستشعار IPS، يغطي هذا الإذن سياسات الوصول إلى الجهاز ونهج الوصول إلى الخادم.
في أجهزة Catalyst 6500/7600، يغطي هذا الإذن إعدادات IDSM وقوائم الوصول إلى شبكة VLAN.
تعيين > سياسات > هوية. يسمح لك بتعيين سياسات الهوية (الموجودة في محدد السياسة ضمن النظام الأساسي > الهوية) لموجهات Cisco IOS، بما في ذلك سياسات 802.1x والتحكم في الدخول إلى الشبكة (NAC).
تعيين > سياسات > تسجيل الدخول. يسمح لك بتعيين سياسات التسجيل (الموجودة في محدد السياسة ضمن النظام الأساسي > التسجيل) لأجهزة PIX/ASA/FWSM وموجهات IOS. تتضمن أمثلة سياسات التسجيل إعداد التسجيل، إعداد الخادم، وسياسات خادم syslog.
تعيين > سياسات > البث المتعدد. يسمح لك بتعيين سياسات البث المتعدد (الموجودة في محدد السياسة ضمن النظام الأساسي > البث المتعدد) لأجهزة PIX/ASA/FWSM. تتضمن أمثلة سياسات البث المتعدد توجيه البث المتعدد وسياسات بروتوكول إدارة مجموعات الإنترنت (IGMP).
تعيين > سياسات > جودة الخدمة. يسمح لك بتعيين سياسات جودة الخدمة (الموجودة في محدد السياسة ضمن النظام الأساسي > جودة الخدمة) لموجهات Cisco IOS.
تعيين > سياسات > التوجيه. يسمح لك بتعيين سياسات التوجيه (الموجودة في محدد السياسة ضمن النظام الأساسي > التوجيه) لأجهزة PIX/ASA/FWSM وموجهات IOS. تتضمن أمثلة سياسات التوجيه OSPF، RIP، وسياسات التوجيه الثابتة.
تعيين > سياسات > التأمين. يسمح لك بتعيين سياسات الأمان (الموجودة في محدد السياسة ضمن النظام الأساسي > الأمان) لأجهزة PIX/ASA/FWSM. تتضمن سياسات الأمان إعدادات منع الانتحال والتجزئة والتعطيل.
تعيين > سياسات > قواعد سياسة الخدمة. يسمح لك بتعيين سياسات قاعدة سياسة الخدمة (الموجودة في محدد السياسة ضمن النظام الأساسي > قواعد سياسة الخدمة) لأجهزة PIX 7.x/ASA. وتتضمن الأمثلة قوائم الانتظار ذات الأولوية و IPS و QoS وقواعد الاتصال.
تعيين > سياسات > تفضيلات المستخدم. يسمح لك بتعيين سياسة النشر (الموجودة في محدد السياسة ضمن النظام الأساسي > تفضيلات المستخدم) لأجهزة PIX/ASA/FWSM. يحتوي هذا النهج على خيار لمسح جميع ترجمات NAT أثناء النشر.
تعيين > سياسات > الجهاز الظاهري. يسمح لك بتعيين سياسات المستشعر الظاهري لأجهزة IPS. أستخدم هذا النهج لإنشاء أجهزة إستشعار افتراضية.
تعيين > سياسات > FlexConfig. يسمح لك بتعيين FlexConfigs، والتي هي أوامر وتعليمات CLI إضافية يمكن نشرها إلى أجهزة PIX/ASA/FWSM وموجهات IOS وأجهزة Catalyst 6500/7600.
ملاحظة: عند تحديد تعيين الأذونات، تأكد من تحديد أذونات العرض المطابقة أيضا.
توفر "إدارة الأمان" أذونات الموافقة كما هو موضح:
الموافقة > CLI. السماح بالموافقة على تغييرات أمر واجهة سطر الأوامر (CLI) المضمنة في مهمة نشر.
الموافقة > السياسة. يسمح لك باعتماد تغييرات التكوين المضمنة في السياسات التي تم تكوينها في نشاط سير العمل.
عند إنشاء المستخدمين في خدمات CiscoWorks المشتركة، يتم تعيين دور واحد أو أكثر لهم. تحدد الأذونات المقترنة بكل دور العمليات التي يسمح لكل مستخدم بتنفيذها في إدارة الأمان.
تصف المواضيع التالية أدوار CiscoWorks:
تحتوي خدمات CiscoWorks المشتركة على الأدوار الافتراضية التالية:
مكتب المساعدة — يمكن لمستخدمي مكتب المساعدة عرض (وليس تعديل) الأجهزة والسياسات والكائنات وخرائط المخطط.
عامل تشغيل الشبكة—بالإضافة إلى عرض الأذونات، يمكن لمشغلي الشبكة عرض أوامر CLI والإعدادات الإدارية لإدارة الأمان. كما يمكن لمشغلي الشبكة تعديل أرشيف التكوين وإصدار الأوامر (مثل ping) إلى الأجهزة.
المعتمد—بالإضافة إلى عرض الأذونات، يمكن للمعتمدين الموافقة على مهام النشر أو رفضها. لا يمكنهم القيام بعملية النشر.
مسؤول الشبكة—يتمتع مسؤولو الشبكة بعرض كامل لأذونات وتعديلها، باستثناء تعديل الإعدادات الإدارية. يمكنهم اكتشاف الأجهزة والنهج التي تم تكوينها على هذه الأجهزة، وتعيين السياسات للأجهزة، وإصدار الأوامر للأجهزة. يتعذر على مسؤولي الشبكة الموافقة على الأنشطة أو مهام النشر؛ ومع ذلك، يمكنهم نشر الوظائف التي تمت الموافقة عليها من قبل الآخرين.
System Administrator—يتمتع مسؤولو النظام بحق الوصول الكامل إلى جميع أذونات Security Manager، بما في ذلك التعديل وتعيين السياسة والنشاط والموافقة على الوظيفة والاكتشاف والنشر وإصدار الأوامر إلى الأجهزة.
ملاحظة: قد يتم عرض أدوار إضافية، مثل بيانات التصدير، في "الخدمات المشتركة" في حالة تثبيت تطبيقات إضافية على الخادم. دور بيانات التصدير خاص بالمطورين من جهات خارجية ولا تستخدمه إدارة الأمان.
تلميح: على الرغم من أنه لا يمكنك تغيير تعريف أدوار CiscoWorks، يمكنك تحديد الأدوار التي يتم تعيينها لكل مستخدم. للحصول على مزيد من المعلومات، راجع تعيين أدوار للمستخدمين في خدمات CiscoWorks المشتركة.
تتيح لك خدمات CiscoWorks المشتركة تحديد الأدوار التي يتم تعيينها لكل مستخدم. بتغيير تعريف الدور لمستخدم ما، يمكنك تغيير أنواع العمليات المخول هذا المستخدم تنفيذها في "إدارة الأمان". على سبيل المثال، إذا قمت بتعيين دور "مكتب المساعدة"، فسيقتصر عرض العمليات على المستخدم ولن يتمكن من تعديل أية بيانات. ومع ذلك، إذا قمت بتعيين دور عامل تشغيل الشبكة، فيمكن للمستخدم أيضا تعديل أرشيف التكوين. يمكنك تعيين أدوار متعددة لكل مستخدم.
ملاحظة: يجب إعادة تشغيل "إدارة الأمان" بعد إجراء تغييرات على أذونات المستخدم.
الإجراء:
في الخدمات المشتركة، حدد الخادم > التأمين، ثم حدد إدارة ثقة الخادم الواحد > إعداد المستخدم المحلي من مركز العمليات التكتيكية.
تلميح: للوصول إلى صفحة إعداد المستخدم المحلي من داخل إدارة الأمان، حدد أدوات > إدارة الأمان > أمان الخادم، ثم انقر فوق إعداد المستخدم المحلي.
حدد خانة الاختيار المجاورة لمستخدم موجود، ثم انقر فوق تحرير.
في صفحة "معلومات المستخدم"، حدد الأدوار التي سيتم تعيينها لهذا المستخدم بالنقر فوق خانات الاختيار.
للحصول على مزيد من المعلومات حول كل دور، راجع الأدوار الافتراضية لخدمات CiscoWorks المشتركة.
انقر فوق موافق لحفظ التغييرات التي قمت بها.
إعادة تشغيل إدارة الأمان.
يوفر مصدر المحتوى الإضافي الآمن من Cisco مرونة أكبر لإدارة أذون مدير الأمان من تلك التي توفرها CiscoWorks لأنها تدعم الأدوار الخاصة بالتطبيق التي يمكنك تكوينها. يتكون كل دور من مجموعة من الأذونات التي تحدد مستوى التخويل إلى مهام "إدارة الأمان". في Cisco Secure ACS، تقوم بتعيين دور لكل مجموعة مستخدمين (واختياريا، للمستخدمين الأفراد أيضا)، مما يمكن كل مستخدم في تلك المجموعة من تنفيذ العمليات المصرح بها من خلال الأذونات المحددة لذلك الدور.
وبالإضافة إلى ذلك، يمكنك تعيين هذه الأدوار إلى مجموعات أجهزة Cisco ACS الآمنة، مما يسمح بتمييز الأذونات على مجموعات مختلفة من الأجهزة.
ملاحظة: مجموعات أجهزة ACS الآمنة من Cisco مستقلة عن مجموعات أجهزة إدارة الأمان.
تصف المواضيع التالية أدوار Cisco Secure ACS:
يتضمن Cisco Secure ACS نفس أدوار CiscoWorks (راجع فهم أدوار CiscoWorks)، بالإضافة إلى الأدوار الإضافية التالية:
Security Approver (نهج الأمان) - يمكن للمعتمدين على الأمان عرض (وليس تعديل) الأجهزة والسياسات والكائنات والخرائط وأوامر CLI والإعدادات الإدارية. بالإضافة إلى ذلك، يمكن لمقرضي الأمان الموافقة على تغييرات التكوين المضمنة في نشاط ما أو رفضها. ولا يمكنهم الموافقة على مهمة النشر أو رفضها، كما أنهم لا يستطيعون القيام بعملية النشر.
Security Administrator—بالإضافة إلى توفر أذونات عرض، يمكن لمسؤولي الأمان تعديل الأجهزة ومجموعات الأجهزة والنهج والكائنات وخرائط المخطط. كما يمكنها تعيين سياسات للأجهزة ومخططات الشبكات الخاصة الظاهرية (VPN)، وإجراء الاكتشاف لاستيراد أجهزة جديدة إلى النظام.
مسؤول الشبكة—بالإضافة إلى عرض الأذونات، يمكن لمسئولي الشبكة تعديل أرشيف التكوين وإجراء النشر وأوامر الإصدار للأجهزة.
ملاحظة: تختلف الأذونات الواردة في دور مسؤول شبكة ACS الآمن من Cisco عن تلك الواردة في دور مسؤول شبكة CiscoWorks. للحصول على مزيد من المعلومات، راجع فهم أدوار CiscoWorks.
على عكس CiscoWorks، يتيح لك مصدر المحتوى الإضافي الآمن من Cisco تخصيص الأذونات المرتبطة بكل دور مدير أمان. للحصول على مزيد من المعلومات حول تعديل الأدوار الافتراضية، راجع تخصيص أدوار ACS الآمنة من Cisco.
ملاحظة: يجب تثبيت Cisco Secure ACS 3.3 أو إصدار أحدث لتفويض إدارة الأمان.
يتيح لك مصدر المحتوى الإضافي الآمن من Cisco تعديل الأذونات المرتبطة بكل دور لإدارة الأمان. يمكنك أيضا تخصيص مصدر المحتوى الإضافي الآمن من Cisco من خلال إنشاء أدوار مستخدم متخصصة بأذونات تستهدف مهام معينة لإدارة الأمان.
ملاحظة: يجب إعادة تشغيل "إدارة الأمان" بعد إجراء تغييرات على أذونات المستخدم.
الإجراء:
في Cisco Secure ACS، انقر على مكونات ملف التعريف المشترك على شريط التنقل.
انقر فوق مدير الأمان من Cisco في صفحة المكونات المشتركة. يتم عرض الأدوار التي تم تكوينها لإدارة الأمان.
قم بتنفيذ أحد الأمور التالية:
لإنشاء دور، انقر فوق إضافة. انتقل إلى الخطوة 4.
لتعديل دور موجود، انقر فوق الدور. انتقل إلى الخطوة 5.
أدخل اسما للدور، واختياريا، وصفا.
قم بتحديد وإلغاء تحديد مربعات التأشير في شجرة الأذون لتعريف أذون هذا الدور
تحديد خانة الاختيار لفرع من الشجرة يحدد كل الأذونات في هذا الفرع. على سبيل المثال، تحديد تعيين يحدد كل أذون التعيين.
للحصول على قائمة كاملة بأذونات إدارة الأمان، راجع أذونات إدارة الأمان.
ملاحظة: عند تحديد أذونات تعديل أو موافقة أو تعيين أو إستيراد أو التحكم أو النشر، يجب أيضا تحديد أذونات العرض المطابقة؛ وإلا، فلن تعمل إدارة الأمان بشكل صحيح.
انقر فوق إرسال لحفظ التغييرات التي أجريتها.
إعادة تشغيل إدارة الأمان.
يوضح هذا الجدول كيفية إرتباط أذونات إدارة الأمان بأدوار الخدمات المشتركة من CiscoWorks والأدوار الافتراضية في ACS الآمن من Cisco.
أذونات | الأدوار | ||||||||
---|---|---|---|---|---|---|---|---|---|
مسؤول النظام | مدير الأمان (ACS) | معتمد الأمان (ACS) | Network Admin (CW) | مسؤول الشبكة (ACS) | الموافق | عامل تشغيل الشبكة | مكتب المساعدة | ||
عرض الأذونات | |||||||||
عرض الجهاز | نعم | نعم | نعم | نعم | نعم | نعم | نعم | نعم | |
عرض النهج | نعم | نعم | نعم | نعم | نعم | نعم | نعم | نعم | |
عرض الكائنات | نعم | نعم | نعم | نعم | نعم | نعم | نعم | نعم | |
عرض المخطط | نعم | نعم | نعم | نعم | نعم | نعم | نعم | نعم | |
عرض واجهة سطر الأوامر | نعم | نعم | نعم | نعم | نعم | نعم | نعم | لا | |
View admin | نعم | نعم | نعم | نعم | نعم | نعم | نعم | لا | |
عرض أرشيف التكوين | نعم | نعم | نعم | نعم | نعم | نعم | نعم | نعم | |
عرض مديري الأجهزة | نعم | نعم | نعم | نعم | نعم | نعم | نعم | لا | |
تعديل الأذونات | |||||||||
تعديل الجهاز | نعم | نعم | لا | نعم | لا | لا | لا | لا | |
تعديل التدرج الهرمي | نعم | نعم | لا | نعم | لا | لا | لا | لا | |
تعديل النهج | نعم | نعم | لا | نعم | لا | لا | لا | لا | |
تعديل الصورة | نعم | نعم | لا | نعم | لا | لا | لا | لا | |
تعديل الكائنات | نعم | نعم | لا | نعم | لا | لا | لا | لا | |
تعديل المخطط | نعم | نعم | لا | نعم | لا | لا | لا | لا | |
تعديل المسؤول | نعم | لا | لا | لا | لا | لا | لا | لا | |
تعديل أرشيف التكوين | نعم | نعم | لا | نعم | نعم | لا | نعم | لا | |
أذونات إضافية | |||||||||
تعيين النهج | نعم | نعم | لا | نعم | لا | لا | لا | لا | |
الموافقة على النهج | نعم | لا | نعم | لا | لا | لا | لا | لا | |
الموافقة على واجهة سطر الأوامر | نعم | لا | لا | لا | لا | نعم | لا | لا | |
اكتشاف (إستيراد) | نعم | نعم | لا | نعم | لا | لا | لا | لا | |
النشر | نعم | لا | لا | نعم | نعم | لا | لا | لا | |
سيطرة | نعم | لا | لا | نعم | نعم | لا | نعم | لا | |
إرسال | نعم | نعم | لا | نعم | لا | لا | لا | لا |
المراجعة | تاريخ النشر | التعليقات |
---|---|---|
1.0 |
14-May-2007 |
الإصدار الأولي |