CSM 3.x: Gebruikersrechten en -rollen instellen

Downloadopties

  • PDF     (306.0 KB)
    Met Adobe Reader op diverse apparaten bekijken
Bijgewerkt:14 mei 2007
Document-id:91762

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inleiding

Dit document beschrijft hoe u de machtigingen en rollen voor de gebruikers in Cisco Security Manager (CSM) kunt instellen.

Voorwaarden

Vereisten

Dit document gaat ervan uit dat de CSM geïnstalleerd is en correct werkt.

Gebruikte componenten

De informatie in dit document is gebaseerd op CSM 3.1.

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

Conventies

Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.

Gebruikersrechten instellen

Cisco Security Manager verifieert uw gebruikersnaam en wachtwoord voordat u kunt inloggen. Nadat ze zijn geverifieerd, stelt Security Manager uw rol in de applicatie vast. Deze rol definieert uw rechten (ook wel privileges genoemd), die de set taken of bewerkingen zijn die u mag uitvoeren. Als u niet geautoriseerd bent voor bepaalde taken of apparaten, zijn de verwante menu-items, TOC-items en knoppen verborgen of uitgeschakeld. Daarnaast geeft een bericht aan dat u geen toestemming hebt om de geselecteerde informatie te bekijken of de geselecteerde bewerking uit te voeren.

Verificatie en autorisatie voor Security Manager wordt beheerd door de CiscoWorks-server of de Cisco Secure Access Control Server (ACS). Standaard beheert CiscoWorks verificatie en autorisatie, maar u kunt deze wijzigen in Cisco Secure ACS door de pagina AAA Mode Setup in CiscoWorks Common Services te gebruiken.

De belangrijkste voordelen van het gebruik van Cisco Secure ACS zijn de mogelijkheid om zeer korrelige gebruikersrollen met gespecialiseerde toegangssets te maken (bijvoorbeeld de gebruiker in staat stellen bepaalde beleidstypen te configureren, maar niet andere) en de mogelijkheid om gebruikers te beperken tot bepaalde apparaten door netwerkapparaatgroepen (NDG’s) te configureren.

De volgende onderwerpen beschrijven gebruikerstoestemmingen:

Security Manager-toegangsrechten

Security Manager classificeert rechten in de categorieën zoals getoond:

  1. Weergave—Hier kunt u de huidige instellingen bekijken. Zie Rechten bekijken voor meer informatie.

  2. Wijzigen—Hiermee kunt u de huidige instellingen wijzigen. Zie Rechten wijzigen voor meer informatie.

  3. Toewijzen—Hiermee kunt u beleid toewijzen aan apparaten en VPN-topologieën. Zie Rechten toewijzen voor meer informatie

  4. Goedkeuren—Hiermee kunt u beleidswijzigingen en implementatietaken goedkeuren. Zie Rechten goedkeuren voor meer informatie.

  5. Importeren—Hiermee kunt u de configuraties die al op apparaten zijn geïmplementeerd, importeren in Security Manager.

  6. Implementeren—Hiermee kunt u configuratiewijzigingen in de apparaten in uw netwerk implementeren en terugdraaien uitvoeren om terug te keren naar een eerder geïmplementeerde configuratie.

  7. Controle—Hier kunt u opdrachten geven aan apparaten, zoals pingen.

  8. Verzenden—Hiermee kunt u uw configuratiewijzigingen ter goedkeuring indienen.

  • Wanneer u toestemmingen selecteert wijzigen, toewijzen, goedkeuren, importeren, controleren of opstellen, moet u ook de overeenkomstige weergavetoestemmingen selecteren; Anders werkt Security Manager niet goed.

  • Wanneer u de optie Beleid wijzigen selecteert, moet u ook de bijbehorende toewijzings- en weergavebeleidstoestemmingen selecteren.

  • Wanneer u een beleid toestaat dat beleidsobjecten als deel van zijn definitie gebruikt, moet u ook toegang tot deze objecttypes verlenen. Als u bijvoorbeeld de toestemming selecteert voor het wijzigen van routeringsbeleid, moet u ook de machtigingen selecteren voor het weergeven van netwerkobjecten en interfacerollen, die de objecttypes zijn die vereist zijn voor het routing van beleid.

  • Het zelfde houdt waar wanneer het toestaan van een voorwerp dat andere voorwerpen als deel van zijn definitie gebruikt. Als u bijvoorbeeld de toestemming selecteert voor het wijzigen van gebruikersgroepen, moet u ook de machtigingen selecteren voor het weergeven van netwerkobjecten, ACL-objecten en AAA-servergroepen.

Rechten bekijken

De toegang (read-only) in Security Manager is verdeeld in de categorieën zoals getoond:

Beleidstoegangsrechten bekijken

Security Manager bevat de volgende weergavetoegang voor beleid:

  1. Beeld > Beleid > Firewall. Hier kunt u beleid voor firewalls (in de beleidskiezer onder Firewall) bekijken op PIX/ASA/FWSM-apparaten, IOS-routers en Catalyst 6500/7600-apparaten. Voorbeelden van beleid voor firewallservices zijn toegangsregels, AAA-regels en inspectieregels.

  2. Beeld > Beleid > Inbraakpreventiesysteem. Hier kunt u IPS-beleid bekijken (dat zich in de beleidsselector onder IPS bevindt), inclusief beleid voor IPS dat op IOS-routers wordt uitgevoerd.

  3. Beeld > Beleid > Afbeelding. Hier kunt u een handtekeningupdatepakket selecteren in de wizard IPS-updates toepassen (bevindt zich onder Gereedschappen > IPS-update toepassen), maar u kunt het pakket niet toewijzen aan specifieke apparaten, tenzij u ook beschikt over de toestemming Wijzigen > Beleid > Afbeelding.

  4. Beeld > Beleid > NAT. Hier kunt u het beleid voor netwerkadresomzetting op PIX/ASA/FWSM-apparaten en IOS-routers bekijken. De voorbeelden van NAT-beleid omvatten statische regels en dynamische regels.

  5. Beeld > Beleid > Site-to-Site VPN. Hiermee kunt u site-to-site VPN-beleid bekijken op PIX/ASA/FWSM-apparaten, IOS-routers en Catalyst 6500/7600-apparaten. Voorbeelden van site-to-site VPN-beleid zijn IKE-voorstellen, IPsec-voorstellen en vooraf gedeelde sleutels.

  6. Beeld > Beleid > Externe toegang VPN. Hiermee kunt u het VPN-beleid voor externe toegang bekijken op PIX/ASA/FWSM-apparaten, IOS-routers en Catalyst 6500/7600-apparaten. Voorbeelden van beleid voor externe toegang van VPN zijn IKE-voorstellen, IPsec-voorstellen en PKI-beleid.

  7. Beeld > Beleid > SSL VPN. Hier kunt u SSL VPN-beleid op PIX/ASA/FWSM-apparaten en IOS-routers, zoals de SSL VPN-wizard, bekijken.

  8. Beeld > Beleid > Interfaces. Hier kunt u interfacebeleid (dat zich in de beleidskeuzeschakelaar onder Interfaces bevindt) op PIX/ASA/FWSM-apparaten, IOS-routers, IPS-sensoren en Catalyst 6500/7600-apparaten bekijken.

    1. Op PIX/ASA/FWSM-apparaten heeft deze toestemming betrekking op hardwarepoorten en interface-instellingen.

    2. Op IOS-routers is deze toestemming van toepassing op basis- en geavanceerde interface-instellingen, evenals op andere interfaces gebaseerde beleidsregels, zoals DSL, PVC, PPP en snelkiezer.

    3. Voor IPS-sensoren bestrijkt deze toestemming fysieke interfaces en overzichtskaarten.

    4. Op Catalyst 6500/7600-apparaten dekt deze toestemming interfaces en VLAN-instellingen.

  9. Bekijk > Beleid > Overbrugging. Hier kunt u ARP-tabelbeleid (in de beleidskeuzeschakelaar onder Platform > Bridging) op PIX/ASA/FWSM-apparaten bekijken.

  10. Beeld > Beleid > Apparaatbeheer. Hier kunt u beleid voor apparaatbeheer (in de beleidskeuzeschakelaar onder Platform > Apparaatbeheer) op PIX/ASA/FWSM-apparaten, IOS-routers en Catalyst 6500/7600-apparaten bekijken:

    1. Op PIX/ASA/FWSM-apparaten bevatten voorbeelden beleid voor apparaattoegang, beleid voor servertoegang en beleid voor failover.

    2. Voor IOS-routers omvatten voorbeelden beleid voor apparaattoegang (waaronder lijntoegang), servertoegangsbeleid, AAA en beveiligde apparaatprovisioning.

    3. Voor IPS-sensoren heeft deze toestemming betrekking op beleid voor apparaattoegang en beleid voor servertoegang.

    4. Op Catalyst 6500/7600-apparaten dekt deze toestemming IDSM-instellingen en VLAN-toegangslijsten.

  11. Beeld > Beleid > Identiteit. Hier kunt u identiteitsbeleid (dat zich in de beleidskeuzeschakelaar onder Platform > Identity bevindt) op Cisco IOS-routers, inclusief 802.1x- en Network Admission Control (NAC)-beleid bekijken.

  12. Beeld > Beleid > Vastlegging. Hier kunt u beleid voor vastlegging bekijken (in de beleidskeuzeschakelaar onder Platform > Vastlegging) op PIX/ASA/FWSM-apparaten, IOS-routers en IPS-sensoren. Voorbeelden van beleid voor vastlegging zijn logboekinstelling, serverinstelling en beleid voor syslog-server.

  13. Beeld > Beleid > Multicast. Hier kunt u multicast-beleid (dat zich in de beleidskiezer onder Platform > Multicast bevindt) op PIX/ASA/FWSM-apparaten bekijken. De voorbeelden van multicast beleid omvatten multicast routing en IGMP-beleid.

  14. Beeld > Beleid > QoS. Hier kunt u QoS-beleid (dat zich in de beleidskiezer onder Platform > Quality-of-Service bevindt) op Cisco IOS-routers bekijken.

  15. Beeld > Beleid > Routing. Hier kunt u routeringsbeleid bekijken (dat zich in de beleidskeuzeschakelaar onder Platform > Routing bevindt) op PIX/ASA/FWSM-apparaten en IOS-routers. Voorbeelden van routeringsbeleid zijn OSPF, RIP en statisch routeringsbeleid.

  16. Beeld > Beleid > Beveiliging. Hier kunt u beveiligingsbeleid (in de beleidskeuzeschakelaar onder Platform > Security) op PIX/ASA/FWSM-apparaten en IPS-sensoren bekijken:

    1. Op PIX/ASA/FWSM-apparaten bevat het beveiligingsbeleid instellingen voor anti-spoofing, fragment en time-out.

    2. Voor IPS-sensoren omvat het beveiligingsbeleid blokkerende instellingen.

  17. Beeld > Beleid > Regels voor servicebeleid. Hier kunt u het beleid voor serviceregels (in de beleidskeuzeschakelaar onder Platform > Servicebeleidsregels) op PIX 7.x/ASA-apparaten bekijken. Voorbeelden zijn prioriteitswachtrijen en IPS, QoS en verbindingsregels.

  18. Beeld > Beleid > Gebruikersvoorkeuren. Hier kunt u het implementatiebeleid (in de beleidskeuzeschakelaar onder Platform > Gebruikersvoorkeuren) op PIX/ASA/FWSM-apparaten bekijken. Dit beleid bevat een optie om alle NAT-vertalingen bij de implementatie te verwijderen.

  19. Beeld > Beleid > Virtueel apparaat. Hier kunt u het beleid van de virtuele sensor op IPS-apparaten bekijken. Dit beleid wordt gebruikt om virtuele sensoren te creëren.

  20. Beeld > Beleid > FlexConfig. Hiermee kunt u FlexConfigurs bekijken. Dit zijn extra CLI-opdrachten en instructies die kunnen worden geïmplementeerd op PIX/ASA/FWSM-apparaten, IOS-routers en Catalyst 6500/7600-apparaten.

Objecttoegangsrechten bekijken

Security Manager bevat de volgende weergavetoegang voor objecten:

  1. Beeld > Objecten > AAA-servergroepen. Hier kunt u AAA-servergroepobjecten bekijken. Deze objecten worden gebruikt in beleidsregels die AAA-services vereisen (verificatie, autorisatie en accounting).

  2. Beeld > Objecten > AAA-servers. Hier kunt u AAA-serverobjecten bekijken. Deze objecten vertegenwoordigen afzonderlijke AAA-servers die zijn gedefinieerd als deel van een AAA-servergroep.

  3. Beeld > Voorwerpen > Toegangscontrolelijsten - Standaard/Uitgebreid. Hier kunt u standaard en uitgebreide ACL-objecten bekijken. Uitgebreide ACL-objecten worden gebruikt voor een verscheidenheid aan beleid, zoals NAT en NAC, en voor het instellen van VPN-toegang. Standaard ACL-objecten worden gebruikt voor beleid zoals OSPF en SNMP, en voor het instellen van VPN-toegang.

  4. Beeld > Objecten > Toegangscontrolelijsten - Web. Hier kunt u web ACL-objecten bekijken. Web ACL-objecten worden gebruikt om inhoudsfiltering uit te voeren in SSL VPN-beleid.

  5. Beeld > Voorwerpen > ASA gebruikersgroepen. Hier kunt u ASA-gebruikersgroepobjecten bekijken. Deze objecten zijn geconfigureerd op ASA security applicaties in Easy VPN, externe toegang VPN en SSL VPN configuraties.

  6. Beeld > Objecten > Categorieën. Hier kunt u categorieobjecten bekijken. Deze objecten helpen u gemakkelijk regels en objecten in regeltabellen te identificeren door het gebruik van kleur.

  7. Beeld > Objecten > Credentials. Hier kunt u credentiële objecten bekijken. Deze objecten worden gebruikt in Easy VPN-configuratie tijdens Uitgebreide IKE-verificatie (Xauth).

  8. Beeld > Objecten > FlexConfigurs. Hiermee kunt u FlexConfig-objecten bekijken. Deze objecten, die configuratieopdrachten met aanvullende instructies voor de scripttaal bevatten, kunnen worden gebruikt om opdrachten te configureren die niet worden ondersteund door de Security Manager-gebruikersinterface.

  9. Bekijk > Objecten > IKE-voorstellen. Hier kunt u IKE-voorstelobjecten bekijken. Deze objecten bevatten de parameters die vereist zijn voor IKE-voorstellen in VPN-beleid voor externe toegang.

  10. Beeld > Voorwerpen > Inspecteren - Klasse Kaarten - DNS. Hier kunt u DNS-klassekaartobjecten bekijken. Deze objecten passen DNS-verkeer aan met specifieke criteria zodat er op dat verkeer handelingen kunnen worden uitgevoerd.

  11. Beeld > Voorwerpen > Inspecteren - Klasse Kaarten - FTP. Hier kunt u FTP-klassentoewijzingsobjecten bekijken. Deze objecten passen FTP-verkeer aan met specifieke criteria zodat acties op dat verkeer kunnen worden uitgevoerd.

  12. Beeld > Voorwerpen > Inspecteren - Klasse Kaarten - HTTP. Hier kunt u HTTP-klassekaartobjecten bekijken. Deze objecten passen HTTP-verkeer aan met specifieke criteria zodat acties op dat verkeer kunnen worden uitgevoerd.

  13. Beeld > Voorwerpen > Inspecteren - Klasse Kaarten - IM. Hier kunt u IM class map-objecten bekijken. Deze objecten passen IM-verkeer aan met specifieke criteria zodat acties op dat verkeer kunnen worden uitgevoerd.

  14. Beeld > Voorwerpen > Inspecteren - Klasse Kaarten - SIP. Hier kunt u SIP-klassentoewijzingsobjecten bekijken. Deze voorwerpen passen SIP verkeer met specifieke criteria aan zodat de acties op dat verkeer kunnen worden uitgevoerd.

  15. Beeld > Objecten > Inspecteren - Beleidskaarten - DNS. Hier kunt u DNS-beleidsmapobjecten bekijken. Deze objecten worden gebruikt om inspectiekaarten voor DNS-verkeer te maken.

  16. Beeld > Objecten > Inspecteren - Beleidskaarten - FTP. Hier kunt u FTP-beleidsmapobjecten bekijken. Deze objecten worden gebruikt om inspectiekaarten voor FTP-verkeer te maken.

  17. Beeld > Voorwerpen > Inspecteren - Beleidskaarten - GTP. Hier kunt u GTP-beleidsmapobjecten bekijken. Deze voorwerpen worden gebruikt om inspectiekaarten voor verkeer te creëren GTP.

  18. Beeld > Objecten > Inspecteren - Beleidskaarten - HTTP (ASA7.1.x/PIX7.1.x/IOS). Hier kunt u HTTP-beleidsmapobjecten bekijken die zijn gemaakt voor ASA/PIX 7.1.x-apparaten en IOS-routers. Deze voorwerpen worden gebruikt om inspectiekaarten voor HTTP-verkeer te maken.

  19. Beeld > Objecten > Inspecteren - Beleidskaarten - HTTP (ASA 7.2/PIX7.2). Hier kunt u HTTP-beleidsmapobjecten bekijken die zijn gemaakt voor ASA 7.2/PIX 7.2-apparaten. Deze voorwerpen worden gebruikt om inspectiekaarten voor HTTP-verkeer te maken.

  20. Beeld > Voorwerpen > Inspecteren - Beleidskaarten - IM (ASA7.2/PIX7.2). Hiermee kunt u IM-beleidsmapobjecten bekijken die zijn gemaakt voor ASA 7.2/PIX 7.2-apparaten. Deze voorwerpen worden gebruikt om inspectiekaarten voor IM verkeer te creëren.

  21. Beeld > Voorwerpen > Inspecteren - Beleidskaarten - IM (IOS). Hier kunt u IM-beleidsmapobjecten bekijken die voor IOS-apparaten zijn gemaakt. Deze voorwerpen worden gebruikt om inspectiekaarten voor IM verkeer te creëren.

  22. Beeld > Objecten > Inspecteren - Beleidskaarten - SIP. Hier kunt u SIP-beleidsmapobjecten bekijken. Deze voorwerpen worden gebruikt om inspectiekaarten voor het verkeer van SIP te creëren.

  23. Beeld > Voorwerpen > Inspecteren - Reguliere expressies. Hier kunt u reguliere expressieobjecten bekijken. Deze objecten vertegenwoordigen afzonderlijke reguliere expressies die zijn gedefinieerd als deel van een reguliere expressiegroep.

  24. Beeld > Voorwerpen > Inspecteren - Reguliere expressiegroepen. Hier kunt u groepsobjecten voor reguliere expressies bekijken. Deze objecten worden gebruikt door bepaalde klassenkaarten en inspecteren kaarten om tekst binnen een pakket aan te passen.

  25. Beeld > Voorwerpen > Inspecteren - TCP-kaarten. Hier kunt u TCP-kaartobjecten bekijken. Deze objecten passen inspectie op TCP flow in beide richtingen aan.

  26. Beeld > Voorwerpen > Interfacerollen. Hier kunt u interfacerol-objecten bekijken. Deze objecten definiëren benoemingspatronen die meerdere interfaces op verschillende soorten apparaten kunnen vertegenwoordigen. Met interfacerollen kunt u beleid toepassen op specifieke interfaces op meerdere apparaten zonder dat u de naam van elke interface handmatig hoeft te definiëren.

  27. Beeld > Objecten > IPsec-transformatiesets. Hier kunt u ingestelde objecten van de IPsec-transformatieset bekijken. Deze objecten bestaan uit een combinatie van beveiligingsprotocollen, algoritmen en andere instellingen die precies specificeren hoe de gegevens in de IPsec-tunnel versleuteld en geverifieerd zullen worden.

  28. Beeld > Objecten > LDAP-kenmerken. Hier kunt u LDAP attribuut map objecten bekijken. Deze objecten worden gebruikt om aangepaste (door de gebruiker gedefinieerde) kenmerknamen toe te wijzen aan Cisco LDAP-kenmerknamen.

  29. Beeld > Objecten > Netwerken/hosts. Hier kunt u netwerk-/hostobjecten bekijken. Deze objecten zijn logische verzamelingen van IP-adressen die netwerken, hosts of beide vertegenwoordigen. De voorwerpen van het netwerk/van de gastheer laten u toe om beleid te bepalen zonder elk netwerk of gastheer individueel te specificeren.

  30. Beeld > Objecten > PKI-inschrijvingen. Hier kunt u PKI-inschrijvingsobjecten bekijken. Deze objecten definiëren de servers van de certificeringsinstantie (CA) die werken binnen een openbare sleutelinfrastructuur.

  31. Beeld > Objecten > Lijsten voor doorsturen van poorten. Hier kunt u poortvervolgkeuzelijstobjecten bekijken. Deze objecten definiëren de toewijzingen van poortnummers op een externe client naar het IP-adres en de poort van de toepassing achter een SSL VPN-gateway.

  32. Beeld > Objecten > Beveiligde desktopconfiguraties. Hiermee kunt u beveiligde desktop configuratieobjecten bekijken. Deze objecten zijn herbruikbare, benoemde componenten die door SSL VPN beleid kunnen worden van verwijzingen voorzien om een betrouwbaar middel te verstrekken om alle sporen van gevoelige gegevens te elimineren die voor de duur van een SSL VPN zitting worden gedeeld.

  33. Beeld > Voorwerpen > Diensten - Poortlijsten. Hier kunt u poortlijstobjecten bekijken. Deze objecten, die een of meer reeksen van poortnummers bevatten, worden gebruikt om het proces van het maken van serviceobjecten te stroomlijnen.

  34. Beeld > Voorwerpen > Diensten/Servicegroepen Hiermee kunt u service- en servicegroepsobjecten bekijken. Deze objecten zijn gedefinieerde toewijzingen van protocol- en poortdefinities die netwerkservices beschrijven die worden gebruikt door beleid, zoals Kerberos, SSH en POP3.

  35. Beeld > Objecten > Enkelvoudige aanmelding op servers. Hier kunt u objecten op de server met één teken bekijken. Met Single Sign-On (SSO) kunnen SSL VPN-gebruikers eenmaal een gebruikersnaam en wachtwoord invoeren en toegang krijgen tot meerdere beveiligde services en webservers.

  36. Beeld > Objecten > SLA-monitoren. Hier kunt u SLA-monitorobjecten bekijken. Deze objecten worden gebruikt door PIX/ASA security applicaties die versie 7.2 of hoger uitvoeren om route tracking uit te voeren. Deze eigenschap verstrekt een methode om de beschikbaarheid van een primaire route te volgen en een reserveroute te installeren als de primaire route ontbreekt.

  37. Beeld > Objecten > SSL VPN-aanpassingen. Hier kunt u aanpassingsobjecten van SSL VPN bekijken. Deze objecten bepalen hoe u de weergave van SSL VPN-pagina's kunt wijzigen die aan gebruikers worden weergegeven, zoals Login/Logout en Home-pagina's.

  38. Beeld > Objecten > SSL VPN-gateways. Hier kunt u SSL VPN gateway-objecten bekijken. Deze objecten definiëren parameters die het mogelijk maken om de gateway te gebruiken als een proxy voor verbindingen met de beschermde bronnen in uw SSL VPN.

  39. Beeld > Objecten > Stijlobjecten. Hier kunt u stijlenobjecten bekijken. Met deze objecten kunt u stijlelementen configureren, zoals lettertypekenmerken en kleuren, om de weergave van de SSL VPN-pagina aan te passen die aan SSL VPN-gebruikers wordt weergegeven wanneer ze verbinding maken met het security apparaat.

  40. Beeld > Objecten > Tekstobjecten. Hier kunt u tekstobjecten met vrije formulieren bekijken. Deze objecten bestaan uit een naam- en waardepaar, waarbij de waarde uit een enkele string, een lijst van strings of een tabel van strings kan bestaan.

  41. Beeld > Objecten > Tijdbereiken. Hier kunt u tijdbereikobjecten bekijken. Deze objecten worden gebruikt bij het maken van op tijd gebaseerde ACL’s en inspectieregels. Ze worden ook gebruikt bij het definiëren van ASA-gebruikersgroepen om VPN-toegang tot specifieke tijden tijdens de week te beperken.

  42. Beeld > Objecten > Verkeersstromen. Hier kunt u verkeersstroomobjecten bekijken. Deze objecten definiëren specifieke verkeersstromen voor gebruik door PIX 7.x/ASA 7.x-apparaten.

  43. Beeld > Objecten > URL-lijsten. Hier kunt u URL-lijstobjecten bekijken. Deze objecten definiëren de URL's die op de portaalpagina worden weergegeven na een succesvolle aanmelding. Hiermee kunnen gebruikers toegang krijgen tot de bronnen die beschikbaar zijn op SSL VPN-websites wanneer ze in de modus Clientloze toegang werken.

  44. Beeld > Voorwerpen > Gebruikersgroepen. Hier kunt u gebruikersgroepobjecten bekijken. Deze objecten definiëren groepen externe clients die worden gebruikt in eenvoudige VPN-topologieën, externe VPN’s en SSL VPN’s.

  45. Beeld > Objecten > WINT-serverlijsten. Hier kunt u objecten in de WINS-serverlijst bekijken. Deze objecten vertegenwoordigen WINS-servers, die door SSL VPN worden gebruikt om bestanden op externe systemen te openen of te delen.

  46. Beeld > Voorwerpen > Interne - DN-regels. Hier kunt u de DN-regels bekijken die door DN-beleid worden gebruikt. Dit is een intern object dat wordt gebruikt door Security Manager en niet wordt weergegeven in Policy Object Manager.

  47. Beeld > Voorwerpen > Intern - Clientupdates. Dit is een intern object dat vereist is door gebruikersgroepobjecten en niet wordt weergegeven in Policy Object Manager.

  48. Beeld > Voorwerpen > Intern - Standaard ACE's. Dit is een intern object voor standaard toegangscontrole ingangen, die worden gebruikt door ACL-objecten.

  49. Beeld > Objecten > Intern - uitgebreide ACE's. Dit is een intern object voor uitgebreide toegangscontrole ingangen, die worden gebruikt door ACL-objecten.

Aanvullende toegangsrechten voor weergave

Security Manager bevat de volgende extra toegang:

  1. Beeld > Beheer. Hier kunt u de beheerinstellingen van Security Manager bekijken.

  2. Beeld > CLI. Hier kunt u de CLI-opdrachten bekijken die op een apparaat zijn geconfigureerd en de opdrachten bekijken die binnenkort worden geïmplementeerd.

  3. Beeld > Archief Config. Hier kunt u de lijst met configuraties in het configuratie-archief bekijken. U kunt de apparaatconfiguratie of geen CLI-opdrachten bekijken.

  4. Beeld > Apparaten. Hier kunt u apparaten in de apparaatweergave en alle bijbehorende informatie bekijken, waaronder hun apparaatinstellingen, eigenschappen, toewijzingen, enzovoort.

  5. Beeld > Apparaatbeheer. Hiermee kunt u alleen-lezen versies van de apparaatbeheerders voor individuele apparaten starten, zoals de Cisco Router en Security Device Manager (SDM) voor Cisco IOS-routers.

  6. Beeld > Topologie. Hier kunt u kaarten bekijken die zijn geconfigureerd in de kaartweergave.

Rechten wijzigen

Wijzig (lees-schrijf) toestemmingen in de Manager van de Veiligheid zijn verdeeld in de categorieën zoals getoond:

Beleidsrechten wijzigen

Opmerking: wanneer u de beleidstoestemmingen voor wijzigen specificeert, zorg er dan voor dat u ook de bijbehorende toewijzings- en weergavebeleidstoestemmingen hebt geselecteerd.

Security Manager bevat de volgende wijzigingsrechten voor beleid:

  1. Wijzigen > Beleid > Firewall. Hiermee kunt u beleid voor firewalls (in de beleidskeuzeschakelaar onder Firewall) wijzigen op PIX/ASA/FWSM-apparaten, IOS-routers en Catalyst 6500/7600-apparaten. Voorbeelden van beleid voor firewallservices zijn toegangsregels, AAA-regels en inspectieregels.

  2. Wijzigen > Beleid > Inbraakpreventiesysteem. Hier kunt u IPS-beleid (dat zich in de beleidsselector onder IPS bevindt) wijzigen, inclusief beleid voor IPS dat op IOS-routers wordt uitgevoerd. Met deze toestemming kunt u ook handtekeningen afstemmen in de wizard Handtekening bijwerken (onder Gereedschappen > IPS-update toepassen).

  3. Wijzigen > Beleid > Afbeelding. Hier kunt u een handtekeningupdatepakket toewijzen aan apparaten in de wizard IPS-updates toepassen (onder Gereedschappen > IPS-update toepassen). Met deze toestemming kunt u ook instellingen voor automatische updates toewijzen aan specifieke apparaten (die zich bevinden onder Gereedschappen > Beveiligingsbeheer > IPS-updates).

  4. Wijzigen > Beleid > NAT. Hier kunt u het vertaalbeleid voor netwerkadressen wijzigen op PIX/ASA/FWSM-apparaten en IOS-routers. De voorbeelden van NAT-beleid omvatten statische regels en dynamische regels.

  5. Wijzigen > Beleid > Site-to-Site VPN. Hiermee kunt u site-to-site VPN-beleid wijzigen op PIX/ASA/FWSM-apparaten, IOS-routers en Catalyst 6500/7600-apparaten. Voorbeelden van site-to-site VPN-beleid zijn IKE-voorstellen, IPsec-voorstellen en vooraf gedeelde sleutels.

  6. Wijzigen > Beleid > Externe toegang VPN. Hier kunt u beleid voor externe toegang van VPN's wijzigen op PIX/ASA/FWSM-apparaten, IOS-routers en Catalyst 6500/7600-apparaten. Voorbeelden van beleid voor externe toegang van VPN zijn IKE-voorstellen, IPsec-voorstellen en PKI-beleid.

  7. Wijzigen > Beleid > SSL VPN. Hier kunt u SSL VPN-beleid op PIX/ASA/FWSM-apparaten en IOS-routers, zoals de SSL VPN-wizard, wijzigen.

  8. Wijzigen > Beleid > Interfaces. Hier kunt u interfacebeleid (dat zich in de beleidskeuzeschakelaar onder Interfaces bevindt) op PIX/ASA/FWSM-apparaten, IOS-routers, IPS-sensoren en Catalyst 6500/7600-apparaten wijzigen:

    1. Op PIX/ASA/FWSM-apparaten heeft deze toestemming betrekking op hardwarepoorten en interface-instellingen.

    2. Op IOS-routers is deze toestemming van toepassing op basis- en geavanceerde interface-instellingen, evenals op andere interfaces gebaseerde beleidsregels, zoals DSL, PVC, PPP en snelkiezer.

    3. Voor IPS-sensoren bestrijkt deze toestemming fysieke interfaces en overzichtskaarten.

    4. Op Catalyst 6500/7600-apparaten dekt deze toestemming interfaces en VLAN-instellingen.

  9. Wijzigen > Beleid > Overbrugging. Hier kunt u ARP-tabelbeleid (in de beleidskeuzeschakelaar onder Platform > Bridging) op PIX/ASA/FWSM-apparaten wijzigen.

  10. Wijzigen > Beleid > Apparaatbeheer. Hier kunt u beleid voor apparaatbeheer (in de beleidskeuzeschakelaar onder Platform > Apparaatbeheer) wijzigen op PIX/ASA/FWSM-apparaten, IOS-routers en Catalyst 6500/7600-apparaten:

    1. Op PIX/ASA/FWSM-apparaten bevatten voorbeelden beleid voor apparaattoegang, beleid voor servertoegang en beleid voor failover.

    2. Voor IOS-routers omvatten voorbeelden beleid voor apparaattoegang (waaronder lijntoegang), servertoegangsbeleid, AAA en beveiligde apparaatprovisioning.

    3. Voor IPS-sensoren heeft deze toestemming betrekking op beleid voor apparaattoegang en beleid voor servertoegang.

    4. Op Catalyst 6500/7600-apparaten is deze toestemming van toepassing op IDSM-instellingen en VLAN-toegangslijsten.

  11. Wijzigen > Beleid > Identiteit. Hier kunt u identiteitsbeleid (dat zich in de beleidskeuzeschakelaar onder Platform > Identity bevindt) wijzigen op Cisco IOS-routers, inclusief 802.1x- en NAC-beleid (Network Admission Control).

  12. Wijzigen > Beleid > Vastlegging. Hier kunt u beleid voor vastlegging (in de beleidskeuzeschakelaar onder Platform > Vastlegging) wijzigen op PIX/ASA/FWSM-apparaten, IOS-routers en IPS-sensoren. Voorbeelden van beleid voor vastlegging zijn logboekinstelling, serverinstelling en beleid voor syslog-server.

  13. Wijzigen > Beleid > Multicast. Hier kunt u multicast-beleid (dat zich in de beleidskeuzeschakelaar onder Platform > Multicast bevindt) op PIX/ASA/FWSM-apparaten wijzigen. De voorbeelden van multicast beleid omvatten multicast routing en IGMP-beleid.

  14. Wijzigen > Beleid > QoS. Hier kunt u QoS-beleid (dat zich in de beleidskeuzeschakelaar onder Platform > Quality-of-Service bevindt) op Cisco IOS-routers wijzigen.

  15. Wijzigen > Beleid > Routing. Hier kunt u routeringsbeleid (dat zich in de beleidskeuzeschakelaar onder Platform > Routing bevindt) op PIX/ASA/FWSM-apparaten en IOS-routers wijzigen. Voorbeelden van routeringsbeleid zijn OSPF, RIP en statisch routeringsbeleid.

  16. Wijzigen > Beleid > Beveiliging. Hiermee kunt u beveiligingsbeleid (dat zich in de beleidskeuzeschakelaar onder Platform > Security bevindt) op PIX/ASA/FWSM-apparaten en IPS-sensoren wijzigen:

    1. Op PIX/ASA/FWSM-apparaten bevat het beveiligingsbeleid instellingen voor anti-spoofing, fragment en time-out.

    2. Voor IPS-sensoren omvat het beveiligingsbeleid blokkerende instellingen.

  17. Wijzigen > Beleid > Regels voor servicebeleid. Hier kunt u beleid voor serviceregels (in de beleidskeuzeschakelaar onder Platform > Servicebeleidsregels) op PIX 7.x/ASA-apparaten wijzigen. Voorbeelden zijn prioriteitswachtrijen en IPS, QoS en verbindingsregels.

  18. Wijzigen > Beleid > Gebruikersvoorkeuren. Hiermee kunt u het implementatiebeleid (dat zich in de beleidskeuzeschakelaar onder Platform > Gebruikersvoorkeuren bevindt) op PIX/ASA/FWSM-apparaten wijzigen. Dit beleid bevat een optie om alle NAT-vertalingen bij de implementatie te verwijderen.

  19. Wijzigen > Beleid > Virtueel apparaat. Hier kunt u het beleid van de virtuele sensor op IPS-apparaten wijzigen. Gebruik dit beleid om virtuele sensoren te maken.

  20. Wijzigen > Beleid > FlexConfig. Hiermee kunt u FlexConfigurs wijzigen. Dit zijn extra CLI-opdrachten en instructies die kunnen worden geïmplementeerd op PIX/ASA/FWSM-apparaten, IOS-routers en Catalyst 6500/7600-apparaten.

Objecttoegangsrechten wijzigen

Security Manager bevat de volgende weergavetoegang voor objecten:

  1. Wijzigen > Objecten > AAA-servergroepen. Hier kunt u AAA-servergroepobjecten bekijken. Deze objecten worden gebruikt in beleidsregels die AAA-services vereisen (verificatie, autorisatie en accounting).

  2. Wijzigen > Objecten > AAA-servers. Hier kunt u AAA-serverobjecten bekijken. Deze objecten vertegenwoordigen afzonderlijke AAA-servers die zijn gedefinieerd als deel van een AAA-servergroep.

  3. Wijzigen > Objecten > Toegangscontrolelijsten - Standaard/uitgebreid. Hier kunt u standaard en uitgebreide ACL-objecten bekijken. Uitgebreide ACL-objecten worden gebruikt voor een verscheidenheid aan beleid, zoals NAT en NAC, en voor het instellen van VPN-toegang. Standaard ACL-objecten worden gebruikt voor beleid zoals OSPF en SNMP, en voor het instellen van VPN-toegang.

  4. Wijzigen > Objecten > Toegangscontrolelijsten - web. Hier kunt u web ACL-objecten bekijken. Web ACL-objecten worden gebruikt om inhoudsfiltering uit te voeren in SSL VPN-beleid.

  5. Wijzigen > Objecten > ASA-gebruikersgroepen. Hier kunt u ASA-gebruikersgroepobjecten bekijken. Deze objecten zijn geconfigureerd op ASA security applicaties in Easy VPN, externe toegang VPN en SSL VPN configuraties.

  6. Wijzigen > Objecten > Categorieën. Hier kunt u categorieobjecten bekijken. Deze objecten helpen u gemakkelijk regels en objecten in regeltabellen te identificeren door het gebruik van kleur.

  7. Wijzigen > Objecten > Credentials. Hier kunt u credentiële objecten bekijken. Deze objecten worden gebruikt in Easy VPN-configuratie tijdens Uitgebreide IKE-verificatie (Xauth).

  8. Wijzigen > Objecten > FlexConfigurs. Hiermee kunt u FlexConfig-objecten bekijken. Deze objecten, die configuratieopdrachten met aanvullende instructies voor de scripttaal bevatten, kunnen worden gebruikt om opdrachten te configureren die niet worden ondersteund door de Security Manager-gebruikersinterface.

  9. Wijzigen > Objecten > IKE-voorstellen. Hier kunt u IKE-voorstelobjecten bekijken. Deze objecten bevatten de parameters die vereist zijn voor IKE-voorstellen in VPN-beleid voor externe toegang.

  10. Wijzigen > Objecten > Inspecteren - Klasse Kaarten - DNS. Hier kunt u DNS-klassekaartobjecten bekijken. Deze objecten passen DNS-verkeer aan met specifieke criteria zodat er op dat verkeer handelingen kunnen worden uitgevoerd.

  11. Wijzigen > Objecten > Inspecteren - Klasse Kaarten - FTP. Hier kunt u FTP-klassentoewijzingsobjecten bekijken. Deze objecten passen FTP-verkeer aan met specifieke criteria zodat acties op dat verkeer kunnen worden uitgevoerd.

  12. Wijzigen > Objecten > Inspecteren - Klasse Kaarten - HTTP. Hier kunt u HTTP-klassekaartobjecten bekijken. Deze objecten passen HTTP-verkeer aan met specifieke criteria zodat acties op dat verkeer kunnen worden uitgevoerd.

  13. Wijzigen > Objecten > Inspecteren - Klasse Kaarten - IM. Hier kunt u IM class map-objecten bekijken. Deze objecten passen IM-verkeer aan met specifieke criteria zodat acties op dat verkeer kunnen worden uitgevoerd.

  14. Wijzigen > Objecten > Inspecteren - Klasse Kaarten - SIP. Hier kunt u SIP-klassentoewijzingsobjecten bekijken. Deze voorwerpen passen SIP verkeer met specifieke criteria aan zodat de acties op dat verkeer kunnen worden uitgevoerd.

  15. Wijzigen > Objecten > Inspecteren - Beleidskaarten - DNS. Hier kunt u DNS-beleidsmapobjecten bekijken. Deze objecten worden gebruikt om inspectiekaarten voor DNS-verkeer te maken.

  16. Wijzigen > Objecten > Inspecteren - Beleidskaarten - FTP. Hier kunt u FTP-beleidsmapobjecten bekijken. Deze objecten worden gebruikt om inspectiekaarten voor FTP-verkeer te maken.

  17. Wijzigen > Objecten > Inspecteren - Beleidskaarten - HTTP (ASA7.1.x/PIX7.1.x/IOS). Hier kunt u HTTP-beleidsmapobjecten bekijken die zijn gemaakt voor ASA/PIX 7.x-apparaten en IOS-routers. Deze voorwerpen worden gebruikt om inspectiekaarten voor HTTP-verkeer te maken.

  18. Wijzigen > Objecten > Inspecteren - Beleidskaarten - HTTP (ASA 7.2/PIX7.2). Hier kunt u HTTP-beleidsmapobjecten bekijken die zijn gemaakt voor ASA 7.2/PIX 7.2-apparaten. Deze voorwerpen worden gebruikt om inspectiekaarten voor HTTP-verkeer te maken.

  19. Wijzigen > Objecten > Inspecteren - Beleidskaarten - IM (ASA 7.2/PIX7.2). Hiermee kunt u IM-beleidsmapobjecten bekijken die zijn gemaakt voor ASA 7.2/PIX 7.2-apparaten. Deze voorwerpen worden gebruikt om inspectiekaarten voor IM verkeer te creëren.

  20. Wijzigen > Objecten > Inspecteren - Beleidskaarten - IM (IOS). Hier kunt u IM-beleidsmapobjecten bekijken die voor IOS-apparaten zijn gemaakt. Deze voorwerpen worden gebruikt om inspectiekaarten voor IM verkeer te creëren.

  21. Wijzigen > Objecten > Inspecteren - Beleidskaarten - SIP. Hier kunt u SIP-beleidsmapobjecten bekijken. Deze voorwerpen worden gebruikt om inspectiekaarten voor het verkeer van SIP te creëren.

  22. Wijzigen > Objecten > Inspecteren - Reguliere expressies. Hier kunt u reguliere expressieobjecten bekijken. Deze objecten vertegenwoordigen afzonderlijke reguliere expressies die zijn gedefinieerd als deel van een reguliere expressiegroep.

  23. Wijzigen > Objecten > Inspecteren - Reguliere expressiegroepen. Hier kunt u groepsobjecten voor reguliere expressies bekijken. Deze objecten worden gebruikt door bepaalde klassenkaarten en inspecteren kaarten om tekst binnen een pakket aan te passen.

  24. Wijzigen > Objecten > Inspecteren - TCP-kaarten. Hier kunt u TCP-kaartobjecten bekijken. Deze objecten passen inspectie op TCP flow in beide richtingen aan.

  25. Wijzigen > Objecten > Interfacerollen. Hier kunt u interfacerol-objecten bekijken. Deze objecten definiëren benoemingspatronen die meerdere interfaces op verschillende soorten apparaten kunnen vertegenwoordigen. Met interfacerollen kunt u beleid toepassen op specifieke interfaces op meerdere apparaten zonder dat u de naam van elke interface handmatig hoeft te definiëren.

  26. Wijzigen > Objecten > IPsec-transformatiesets. Hier kunt u ingestelde objecten van de IPsec-transformatieset bekijken. Deze objecten bestaan uit een combinatie van beveiligingsprotocollen, algoritmen en andere instellingen die precies specificeren hoe de gegevens in de IPsec-tunnel versleuteld en geverifieerd zullen worden.

  27. Wijzigen > Objecten > LDAP-kenmerkkaarten. Hier kunt u LDAP attribuut map objecten bekijken. Deze objecten worden gebruikt om aangepaste (door de gebruiker gedefinieerde) kenmerknamen toe te wijzen aan Cisco LDAP-kenmerknamen.

  28. Wijzigen > Objecten > Netwerken/hosts. Hier kunt u netwerk-/hostobjecten bekijken. Deze objecten zijn logische verzamelingen van IP-adressen die netwerken, hosts of beide vertegenwoordigen. De voorwerpen van het netwerk/van de gastheer laten u toe om beleid te bepalen zonder elk netwerk of gastheer individueel te specificeren.

  29. Wijzigen > Objecten > PKI-inschrijvingen. Hier kunt u PKI-inschrijvingsobjecten bekijken. Deze objecten definiëren de servers van de certificeringsinstantie (CA) die werken binnen een openbare sleutelinfrastructuur.

  30. Wijzigen > Objecten > lijsten voor poortdoorsturen. Hier kunt u poortvervolgkeuzelijstobjecten bekijken. Deze objecten definiëren de toewijzingen van poortnummers op een externe client naar het IP-adres en de poort van de toepassing achter een SSL VPN-gateway.

  31. Wijzigen > Objecten > Beveiligde desktopconfiguraties. Hiermee kunt u beveiligde desktop configuratieobjecten bekijken. Deze objecten zijn herbruikbare, benoemde componenten die door SSL VPN beleid kunnen worden van verwijzingen voorzien om een betrouwbaar middel te verstrekken om alle sporen van gevoelige gegevens te elimineren die voor de duur van een SSL VPN zitting worden gedeeld.

  32. Wijzigen > Objecten > Services - Poortlijsten. Hier kunt u poortlijstobjecten bekijken. Deze objecten, die een of meer reeksen van poortnummers bevatten, worden gebruikt om het proces van het maken van serviceobjecten te stroomlijnen.

  33. Wijzigen > Objecten > Services/Servicegroepen. Hier kunt u voorwerpen voor service- en servicegroepen bekijken. Deze objecten zijn gedefinieerde toewijzingen van protocol- en poortdefinities die netwerkservices beschrijven die worden gebruikt door beleid, zoals Kerberos, SSH en POP3.

  34. Wijzigen > Objecten > Eenmalige aanmelding bij servers. Hier kunt u objecten op de server met één teken bekijken. Met Single Sign-On (SSO) kunnen SSL VPN-gebruikers eenmaal een gebruikersnaam en wachtwoord invoeren en toegang krijgen tot meerdere beveiligde services en webservers.

  35. Wijzigen > Objecten > SLA-monitoren. Hier kunt u SLA-monitorobjecten bekijken. Deze objecten worden gebruikt door PIX/ASA security applicaties die versie 7.2 of hoger uitvoeren om route tracking uit te voeren. Deze eigenschap verstrekt een methode om de beschikbaarheid van een primaire route te volgen en een reserveroute te installeren als de primaire route ontbreekt.

  36. Wijzigen > Objecten > SSL VPN-aanpassingen. Hier kunt u aanpassingsobjecten van SSL VPN bekijken. Deze objecten bepalen hoe u de weergave van SSL VPN-pagina's kunt wijzigen die aan gebruikers worden weergegeven, zoals Login/Logout en Home-pagina's.

  37. Wijzigen > Objecten > SSL VPN-gateways. Hier kunt u SSL VPN gateway-objecten bekijken. Deze objecten definiëren parameters die het mogelijk maken om de gateway te gebruiken als een proxy voor verbindingen met de beschermde bronnen in uw SSL VPN.

  38. Wijzigen > Objecten > Stijlobjecten. Hier kunt u stijlenobjecten bekijken. Met deze objecten kunt u stijlelementen configureren, zoals lettertypekenmerken en kleuren, om de weergave van de SSL VPN-pagina aan te passen die aan SSL VPN-gebruikers wordt weergegeven wanneer ze verbinding maken met het security apparaat.

  39. Wijzigen > Objecten > Tekstobjecten. Hier kunt u tekstobjecten met vrije formulieren bekijken. Deze objecten bestaan uit een naam- en waardepaar, waarbij de waarde uit een enkele string, een lijst van strings of een tabel van strings kan bestaan.

  40. Wijzigen > Objecten > Tijdbereiken. Hier kunt u tijdbereikobjecten bekijken. Deze objecten worden gebruikt bij het maken van op tijd gebaseerde ACL’s en inspectieregels. Ze worden ook gebruikt bij het definiëren van ASA-gebruikersgroepen om VPN-toegang tot specifieke tijden tijdens de week te beperken.

  41. Wijzigen > Objecten > Verkeersstromen. Hier kunt u verkeersstroomobjecten bekijken. Deze objecten definiëren specifieke verkeersstromen voor gebruik door PIX 7.x/ASA 7.x-apparaten.

  42. Wijzigen > Objecten > URL-lijsten. Hier kunt u URL-lijstobjecten bekijken. Deze objecten definiëren de URL's die op de portaalpagina worden weergegeven na een succesvolle aanmelding. Hiermee kunnen gebruikers toegang krijgen tot de bronnen die beschikbaar zijn op SSL VPN-websites wanneer ze in de modus Clientloze toegang werken.

  43. Wijzigen > Objecten > Gebruikersgroepen. Hier kunt u gebruikersgroepobjecten bekijken. Deze objecten definiëren groepen externe clients die worden gebruikt in eenvoudige VPN-topologieën, externe toegang, VPN’s en SSL VPN

  44. Wijzigen > Objecten > WINT-serverlijsten. Hier kunt u objecten in de WINS-serverlijst bekijken. Deze objecten vertegenwoordigen WINS-servers, die door SSL VPN worden gebruikt om bestanden op externe systemen te openen of te delen.

  45. Wijzigen > Objecten > Interne - DN-regels. Hier kunt u de DN-regels bekijken die door DN-beleid worden gebruikt. Dit is een intern object dat wordt gebruikt door Security Manager en niet wordt weergegeven in Policy Object Manager.

  46. Wijzigen > Objecten > Intern - Clientupdates. Dit is een intern object dat vereist is door gebruikersgroepobjecten en niet wordt weergegeven in Policy Object Manager.

  47. Wijzigen > Objecten > Intern - Standaard ACE. Dit is een intern object voor standaard toegangscontrole ingangen, die worden gebruikt door ACL-objecten.

  48. Wijzigen > Objecten > Intern - uitgebreid ACE. Dit is een intern object voor uitgebreide toegangscontrole ingangen, die worden gebruikt door ACL-objecten.

Aanvullende rechten wijzigen

Security Manager bevat de aanvullende wijzigingsrechten zoals getoond:

  1. Wijzigen > Beheerder. Hiermee kunt u beheerinstellingen van Security Manager wijzigen.

  2. Wijzigen > Archief Config. Hiermee kunt u de apparaatconfiguratie wijzigen in het Configuration Archive. Daarnaast kunt u configuraties toevoegen aan het archief en het hulpprogramma Configuration Archive aanpassen.

  3. Wijzigen > Apparaten. Hiermee kunt u apparaten toevoegen en verwijderen en apparaateigenschappen en -kenmerken wijzigen. Om het beleid op het apparaat te ontdekken dat wordt toegevoegd, moet u ook de toestemming van de Invoer inschakelen. Als u de toestemming Wijzigen > Apparaten inschakelt, zorg er dan voor dat u ook de toestemming Toewijzen > Beleid > Interfaces inschakelt.

  4. Wijzigen > Hiërarchie. Hier kunt u apparaatgroepen wijzigen.

  5. Wijzigen > Topologie. Hier kunt u kaarten wijzigen in de kaartweergave.

Toewijzen van toegangsrechten

Security Manager bevat de rechten voor beleidstoewijzing zoals aangegeven in de afbeelding:

  1. Toewijzen > Beleid > Firewall. Hiermee kunt u beleid voor firewallservices (in de beleidskeuzeschakelaar onder Firewall) toewijzen aan PIX/ASA/FWSM-apparaten, IOS-routers en Catalyst 6500/7600-apparaten. Voorbeelden van beleid voor firewallservices zijn toegangsregels, AAA-regels en inspectieregels.

  2. Wijs toe > Beleid > Inbraakpreventiesysteem. Hier kunt u IPS-beleid (dat zich in de beleidsselector onder IPS bevindt) toewijzen, inclusief beleid voor IPS dat op IOS-routers wordt uitgevoerd.

  3. Wijs toe > Beleid > Afbeelding. Deze toestemming wordt momenteel niet gebruikt door Security Manager.

  4. Toewijzen > Beleid > NAT. Hier kunt u beleid voor netwerkadresomzetting toewijzen aan PIX/ASA/FWSM-apparaten en IOS-routers. De voorbeelden van NAT-beleid omvatten statische regels en dynamische regels.

  5. Wijs > Beleid > Site-to-Site VPN toe. Hiermee kunt u site-to-site VPN-beleid toewijzen aan PIX/ASA/FWSM-apparaten, IOS-routers en Catalyst 6500/7600-apparaten. Voorbeelden van site-to-site VPN-beleid zijn IKE-voorstellen, IPsec-voorstellen en vooraf gedeelde sleutels.

  6. Wijs toe > Beleid > Externe toegang VPN. Hiermee kunt u beleid voor externe toegang en VPN toewijzen aan PIX/ASA/FWSM-apparaten, IOS-routers en Catalyst 6500/7600-apparaten. Voorbeelden van beleid voor externe toegang van VPN zijn IKE-voorstellen, IPsec-voorstellen en PKI-beleid.

  7. Toewijzen > Beleid > SSL VPN. Hier kunt u SSL VPN-beleid toewijzen aan PIX/ASA/FWSM-apparaten en IOS-routers, zoals de SSL VPN-wizard.

  8. Wijs > Beleid > Interfaces toe. Hiermee kunt u interfacebeleid (dat zich in de beleidskeuzeschakelaar onder Interfaces bevindt) toewijzen aan PIX/ASA/FWSM-apparaten, IOS-routers en Catalyst 6500/7600-apparaten:

    1. Op PIX/ASA/FWSM-apparaten heeft deze toestemming betrekking op hardwarepoorten en interface-instellingen.

    2. Op IOS-routers is deze toestemming van toepassing op basis- en geavanceerde interface-instellingen, evenals op andere interfaces gebaseerde beleidsregels, zoals DSL, PVC, PPP en snelkiezer.

    3. Op Catalyst 6500/7600-apparaten dekt deze toestemming interfaces en VLAN-instellingen.

  9. Wijs toe > Beleid > Overbrugging. Hier kunt u ARP-tabelbeleid (in de beleidskeuzeschakelaar onder Platform > Bridging) toewijzen aan PIX/ASA/FWSM-apparaten.

  10. Toewijzen > Beleid > Apparaatbeheer. Hier kunt u beleid voor apparaatbeheer (in de beleidskeuzeschakelaar onder Platform > Apparaatbeheer) toewijzen aan PIX/ASA/FWSM-apparaten, IOS-routers en Catalyst 6500/7600-apparaten:

    1. Op PIX/ASA/FWSM-apparaten bevatten voorbeelden beleid voor apparaattoegang, beleid voor servertoegang en beleid voor failover.

    2. Voor IOS-routers omvatten voorbeelden beleid voor apparaattoegang (waaronder lijntoegang), servertoegangsbeleid, AAA en beveiligde apparaatprovisioning.

    3. Voor IPS-sensoren heeft deze toestemming betrekking op beleid voor apparaattoegang en beleid voor servertoegang.

    4. Op Catalyst 6500/7600-apparaten dekt deze toestemming IDSM-instellingen en VLAN-toegangslijsten.

  11. Toewijzen > Beleid > Identiteit. Hiermee kunt u identiteitsbeleid (dat zich in de beleidskeuzeschakelaar onder Platform > Identity bevindt) toewijzen aan Cisco IOS-routers, inclusief 802.1x- en Network Admission Control (NAC)-beleid.

  12. Toewijzen > Beleid > Vastlegging. Hiermee kunt u logboekbeleid (dat zich in de beleidskeuzeschakelaar onder Platform > Logging bevindt) toewijzen aan PIX/ASA/FWSM-apparaten en IOS-routers. Voorbeelden van beleid voor vastlegging zijn logboekinstelling, serverinstelling en beleid voor syslog-server.

  13. Toewijzen > Beleid > Multicast. Hier kunt u multicast-beleid (dat zich in de beleidskeuzeschakelaar onder Platform > Multicast bevindt) toewijzen aan PIX/ASA/FWSM-apparaten. De voorbeelden van multicast beleid omvatten multicast routing en IGMP-beleid.

  14. Toewijzen > Beleid > QoS. Hier kunt u QoS-beleid (dat zich in de beleidskeuzeschakelaar onder Platform > Quality-of-Service bevindt) toewijzen aan Cisco IOS-routers.

  15. Toewijzen > Beleid > Routing. Hier kunt u routeringsbeleid (dat zich in de beleidskeuzeschakelaar onder Platform > Routing bevindt) toewijzen aan PIX/ASA/FWSM-apparaten en IOS-routers. Voorbeelden van routeringsbeleid zijn OSPF, RIP en statisch routeringsbeleid.

  16. Toewijzen > Beleid > Beveiliging. Hier kunt u beveiligingsbeleid (in de beleidskeuzeschakelaar onder Platform > Security) toewijzen aan PIX/ASA/FWSM-apparaten. Beveiligingsbeleid omvat instellingen voor anti-spoofing, fragment en time-out.

  17. Toewijzen > Beleid > Regels voor servicebeleid. Hier kunt u beleid voor serviceregels (in de beleidskeuzeschakelaar onder Platform > Servicebeleidsregels) toewijzen aan PIX 7.x/ASA-apparaten. Voorbeelden zijn prioriteitswachtrijen en IPS, QoS en verbindingsregels.

  18. Toewijzen > Beleid > Gebruikersvoorkeuren. Hiermee kunt u het implementatiebeleid (dat zich in de beleidskeuzeschakelaar onder Platform > Gebruikersvoorkeuren bevindt) toewijzen aan PIX/ASA/FWSM-apparaten. Dit beleid bevat een optie om alle NAT-vertalingen bij de implementatie te verwijderen.

  19. Toewijzen > Beleid > Virtueel apparaat. Hier kunt u een virtueel sensorbeleid toewijzen aan IPS-apparaten. Gebruik dit beleid om virtuele sensoren te maken.

  20. Toewijzen > Beleid > FlexConfig. Hiermee kunt u FlexConfigurs toewijzen, die aanvullende CLI-opdrachten en instructies zijn die kunnen worden geïmplementeerd op PIX/ASA/FWSM-apparaten, IOS-routers en Catalyst 6500/7600-apparaten.

Opmerking: als u toekenningsrechten specificeert, zorg er dan voor dat u ook de overeenkomstige weergaverechten hebt geselecteerd.

Wachtwoord goedkeuren

Security Manager biedt de goedkeurende rechten zoals aangegeven in de afbeelding:

  1. Goedkeuren > CLI. Hiermee kunt u de wijzigingen in de CLI-opdracht goedkeuren die in een implementatietaak zijn opgenomen.

  2. Goedkeuren > Beleid. Hiermee kunt u de configuratiewijzigingen goedkeuren in het beleid dat in een werkstroomactiviteit is geconfigureerd.

De rol van CiscoWorks begrijpen

Wanneer gebruikers worden gemaakt in CiscoWorks Common Services, worden ze een of meer rollen toegewezen. De rechten die aan elke rol zijn gekoppeld, bepalen welke bewerkingen elke gebruiker mag uitvoeren in Security Manager.

De volgende onderwerpen beschrijven rollen CiscoWorks:

Standaardrollen voor CiscoWorks gemeenschappelijke services

CiscoWorks Common Services bevat de volgende standaardrollen:

  1. De helpdesk-gebruikers van de helpdesk kunnen (maar niet wijzigen) apparaten, beleid, voorwerpen, en topologiekaarten bekijken.

  2. Netwerkbeheerder—Naast de toegang tot de beelden kunnen netwerkoperatoren ook CLI-opdrachten en de beheerinstellingen van Security Manager bekijken. Netwerkbeheerders kunnen ook de opdrachten voor configuratie-, archiefbestand- en problemen (zoals ping) wijzigen in apparaten.

  3. Approver-naast meningstoestemmingen, kunnen taxateurs plaatsingsbanen goedkeuren of verwerpen. Ze kunnen geen implementatie uitvoeren.

  4. Netwerkbeheerder—Netwerkbeheerders hebben volledige toegang tot het scherm en wijzigen van de rechten, behalve voor het wijzigen van de beheerinstellingen. Zij kunnen apparaten en het beleid ontdekken dat op deze apparaten wordt gevormd, beleid aan apparaten toewijzen, en bevelen aan apparaten uitgeven. Netwerkbeheerders kunnen geen activiteiten of implementatietaken goedkeuren; zij kunnen echter wel banen inzetten die door anderen zijn goedgekeurd.

  5. Systeembeheerder—Systeembeheerders hebben volledige toegang tot alle Security Manager-rechten, inclusief wijziging, beleidstoewijzing, activiteit en taakgoedkeuring, detectie, implementatie en het geven van opdrachten aan apparaten.

Opmerking: extra rollen, zoals exportgegevens, kunnen worden weergegeven in de gemeenschappelijke services als er extra toepassingen zijn geïnstalleerd op de server. De rol van de exportgegevens is bedoeld voor externe ontwikkelaars en wordt niet gebruikt door Security Manager.

Tip:  Hoewel u de definitie van CiscoWorks-rollen niet kunt wijzigen, kunt u definiëren welke rollen aan elke gebruiker worden toegewezen. Zie Rollen toewijzen aan gebruikers in CiscoWorks Common Services voor meer informatie.

Rollen toewijzen aan gebruikers in CiscoWorks gemeenschappelijke services

Met CiscoWorks Common Services kunt u definiëren welke rollen aan elke gebruiker worden toegewezen. Door de roldefinitie voor een gebruiker te wijzigen, wijzigt u de soorten bewerkingen die deze gebruiker is geautoriseerd uit te voeren in Security Manager. Als u bijvoorbeeld de Help Desk-rol toewijst, is de gebruiker beperkt tot weergavebewerkingen en kan hij geen gegevens wijzigen. Als u echter de rol Network Operator toewijst, kan de gebruiker ook het configuratie-archief wijzigen. U kunt meerdere rollen toewijzen aan elke gebruiker.

Opmerking: U moet Security Manager opnieuw opstarten nadat u wijzigingen hebt aangebracht in de gebruikersrechten.

Procedure:

  1. In de Gemeenschappelijke Diensten, selecteert u Server > Beveiliging, en vervolgens selecteert u Single-Server Trust Management > Local User Setup in de inhoudsopgave.

    Tip: Als u de pagina Local User Setup wilt bereiken vanuit Security Manager, selecteert u Gereedschappen > Beveiligingsbeheer > Serverbeveiliging en klikt u vervolgens op Local User Setup.

  2. Selecteer het aankruisvakje naast een bestaande gebruiker en klik vervolgens op Bewerken.

  3. Selecteer op de pagina Gebruikersinformatie de rollen die u aan deze gebruiker wilt toewijzen door op de selectievakjes te klikken.

    Zie Standaardrollen voor CiscoWorks voor meer informatie over elke rol.

  4. Klik op OK om de wijzigingen op te slaan.

  5. Start Security Manager opnieuw.

De betekenis van Cisco Secure ACS-rollen

Cisco Secure ACS biedt grotere flexibiliteit voor het beheer van machtigingen voor Security Manager dan CiscoWorks omdat het toepassingsspecifieke rollen ondersteunt die u kunt configureren. Elke rol bestaat uit een reeks toestemmingen die het niveau van vergunning aan de taken van de Manager van de Veiligheid bepalen. In Cisco Secure ACS kent u een rol toe aan elke gebruikersgroep (en optioneel ook aan afzonderlijke gebruikers), waardoor elke gebruiker in die groep de bewerkingen kan uitvoeren die zijn geautoriseerd door de machtigingen die voor die rol zijn gedefinieerd.

Daarnaast kunt u deze rollen toewijzen aan Cisco Secure ACS-apparaatgroepen, zodat de rechten op verschillende sets apparaten kunnen worden onderscheiden.

Opmerking: Cisco Secure ACS-apparaatgroepen zijn onafhankelijk van Security Manager-apparaatgroepen.

De volgende onderwerpen beschrijven Cisco Secure ACS-rollen:

Cisco Secure ACS-standaardrollen

Cisco Secure ACS omvat dezelfde rollen als CiscoWorks (zie CiscoWorks-rollen begrijpen) en deze extra rollen:

  1. Beveiligingsbeoordelaars—beveiligingsbeoordelaars kunnen apparaten, beleid, objecten, kaarten, CLI-opdrachten en beheerinstellingen bekijken (maar niet wijzigen). Bovendien kunnen beveiligingsbeoordelaars de configuratiewijzigingen in een activiteit goedkeuren of afwijzen. Ze kunnen de implementatietaak niet goedkeuren of afwijzen, noch kunnen ze de implementatie uitvoeren.

  2. Beveiligingsbeheerder—Naast het hebben van toegang, kunnen beveiligingsbeheerders apparaten, apparaatgroepen, beleid, objecten en topologiekaarten wijzigen. Zij kunnen ook beleid aan apparaten en VPN-topologieën toewijzen en ontdekking uitvoeren om nieuwe apparaten in het systeem te importeren.

  3. Netwerkbeheerder—Naast de toegang tot de beelden kunnen netwerkbeheerders het configuratie-archief wijzigen, implementaties uitvoeren en opdrachten aan apparaten uitgeven.

Opmerking: de machtigingen in de rol van Cisco Secure ACS-netwerkbeheerder zijn anders dan die in de rol van CiscoWorks-netwerkbeheerder. Zie CiscoWorks-rollen begrijpen voor meer informatie.

In tegenstelling tot CiscoWorks kunt u met Cisco Secure ACS de machtigingen aanpassen die aan elke Security Manager-rol zijn gekoppeld. Zie Cisco Secure ACS-rollen aanpassen voor meer informatie over het wijzigen van de standaardrollen.

Opmerking: Cisco Secure ACS 3.3 of hoger moet worden geïnstalleerd voor Security Manager-autorisatie.

Cisco beveiligde ACS-rollen aanpassen

Cisco Secure ACS stelt u in staat de machtigingen te wijzigen die aan elke Security Manager-rol zijn gekoppeld. U kunt Cisco Secure ACS ook aanpassen door gespecialiseerde gebruikersrollen te maken met machtigingen die zijn gericht op bepaalde Security Manager-taken.

Opmerking: U moet Security Manager opnieuw opstarten nadat u wijzigingen hebt aangebracht in de gebruikersrechten.

Procedure:

  1. Klik in Cisco Secure ACS op Shared Profile Components (gedeelde profielcomponenten) op de navigatiebalk.

  2. Klik op Cisco Security Manager op de pagina Gedeelde componenten. De rollen die voor Security Manager zijn geconfigureerd, worden weergegeven.

  3. Voer een van de volgende handelingen uit:

    • Klik op Toevoegen om een rol te maken. Ga naar stap 4.

    • Als u een bestaande rol wilt wijzigen, klikt u op de rol. Ga naar stap 5.

  4. Voer een naam in voor de rol en eventueel een beschrijving.

  5. Selecteer en deselecteer de aankruisvakjes in de rechtenstructuur om de rechten voor deze rol te definiëren

    Als u het aankruisvakje voor een tak van de boom selecteert, worden alle rechten in die tak geselecteerd. Als u bijvoorbeeld Toewijzen selecteert, worden alle toewijzingsrechten geselecteerd.

    Zie Beveiligingsbeheerdersrechten voor een volledige lijst met Security Manager-rechten.

    Opmerking: wanneer u toestemmingen voor wijzigen, goedkeuren, toewijzen, importeren, controleren of implementeren selecteert, moet u ook de bijbehorende toestemming voor het weergeven selecteren; Anders werkt Security Manager niet goed.

  6. Klik op Verzenden om uw wijzigingen op te slaan.

  7. Start Security Manager opnieuw.

Standaard associaties tussen toegangsrechten en rollen in Security Manager

Deze tabel laat zien hoe Security Manager-rechten zijn gekoppeld aan CiscoWorks Common Services-rollen en de standaardrollen in Cisco Secure ACS.

Rechten Rollen
Systeembeheerder Security Admin (ACS) Security Approver (ACS) Netwerkbeheerder (CW) Netwerkbeheerder (ACS) fiatteur Netwerkbeheerder Helpdesk
Rechten bekijken
Apparaat bekijken Ja Ja Ja Ja Ja Ja Ja Ja
Bekijk het beleid Ja Ja Ja Ja Ja Ja Ja Ja
Objecten bekijken Ja Ja Ja Ja Ja Ja Ja Ja
Topologie bekijken Ja Ja Ja Ja Ja Ja Ja Ja
CLI bekijken Ja Ja Ja Ja Ja Ja Ja Nee
Beheerder bekijken Ja Ja Ja Ja Ja Ja Ja Nee
Archief van Config bekijken Ja Ja Ja Ja Ja Ja Ja Ja
Apparaatbeheerders bekijken Ja Ja Ja Ja Ja Ja Ja Nee
Rechten wijzigen
Apparaat wijzigen Ja Ja Nee Ja Nee Nee Nee Nee
Hiërarchie wijzigen Ja Ja Nee Ja Nee Nee Nee Nee
Beleid wijzigen Ja Ja Nee Ja Nee Nee Nee Nee
Afbeelding wijzigen Ja Ja Nee Ja Nee Nee Nee Nee
Objecten wijzigen Ja Ja Nee Ja Nee Nee Nee Nee
Topologie wijzigen Ja Ja Nee Ja Nee Nee Nee Nee
Beheer wijzigen Ja Nee Nee Nee Nee Nee Nee Nee
Archief Config wijzigen Ja Ja Nee Ja Ja Nee Ja Nee
Aanvullende rechten
Toekenningsbeleid Ja Ja Nee Ja Nee Nee Nee Nee
Beleid goedkeuren Ja Nee Ja Nee Nee Nee Nee Nee
CLI goedkeuren Ja Nee Nee Nee Nee Ja Nee Nee
Detecteren (importeren) Ja Ja Nee Ja Nee Nee Nee Nee
Implementeren Ja Nee Nee Ja Ja Nee Nee Nee
Regeling Ja Nee Nee Ja Ja Nee Ja Nee
Verzenden Ja Ja Nee Ja Nee Nee Nee Nee

Gerelateerde informatie

Revisiegeschiedenis

Revisie Publicatiedatum Opmerkingen
1.0
14-May-2007
Eerste vrijgave

Was dit document nuttig?

FeedbackFeedback

Contact Cisco

Dit document is van toepassing op deze producten