CSM 3.x: Configurar Permissão e Funções de Usuário

Opções de download

  • PDF     (306.2 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (91.2 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (103.2 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:14 de maio de 2007
ID do documento:91762

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introdução

Este documento descreve como configurar as permissões e funções para os usuários no Cisco Security Manager (CSM).

Pré-requisitos

Requisitos

Este documento pressupõe que o CSM está instalado e funciona corretamente.

Componentes Utilizados

As informações neste documento são baseadas no CSM 3.1.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Conventions

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Configurar Permissões de Usuário

O Cisco Security Manager autentica seu nome de usuário e senha antes de você fazer login. Depois de serem autenticados, o Gerenciador de segurança estabelece sua função no aplicativo. Essa função define suas permissões (também chamadas de privilégios), que são o conjunto de tarefas ou operações que você está autorizado a executar. Se você não tiver autorização para determinadas tarefas ou dispositivos, os itens de menu, itens de sumário e botões relacionados serão ocultados ou desativados. Além disso, uma mensagem informa que você não tem permissão para exibir as informações selecionadas ou executar a operação selecionada.

A autenticação e a autorização do Security Manager são gerenciadas pelo servidor CiscoWorks ou pelo Cisco Secure Access Control Server (ACS). Por padrão, o CiscoWorks gerencia a autenticação e a autorização, mas você pode alterar para o Cisco Secure ACS usando a página de configuração do modo AAA no CiscoWorks Common Services.

As principais vantagens do uso do Cisco Secure ACS são a capacidade de criar funções de usuário altamente granulares com conjuntos de permissões especializados (por exemplo, permitindo que o usuário configure determinados tipos de política, mas não outros) e a capacidade de restringir usuários a determinados dispositivos configurando grupos de dispositivos de rede (NDGs).

Os tópicos a seguir descrevem as permissões do usuário:

Permissões do Gerenciador de Segurança

O Gerenciador de segurança classifica as permissões nas categorias conforme mostrado:

  1. Exibir—Permite que você exiba as configurações atuais. Para obter mais informações, consulte Exibir permissões.

  2. Modificar — Permite que você altere as configurações atuais. Para obter mais informações, consulte Modificar permissões.

  3. Atribuir — Permite atribuir políticas a dispositivos e topologias VPN. Para obter mais informações, consulte Atribuir permissões

  4. Aprovar — Permite que você aprove alterações de política e jobs de implantação. Para obter mais informações, consulte Aprovar permissões.

  5. Importar — Permite importar as configurações já implantadas nos dispositivos para o Security Manager.

  6. Implantar — Permite que você implante alterações de configuração nos dispositivos da rede e execute a reversão para retornar a uma configuração implantada anteriormente.

  7. Controle — Permite que você emita comandos para dispositivos, como ping.

  8. Enviar — Permite enviar as alterações de configuração para aprovação.

  • Ao selecionar modificar, atribuir, aprovar, importar, controlar ou implantar permissões, você também deve selecionar as permissões de exibição correspondentes; caso contrário, o Security Manager não funcionará corretamente.

  • Ao selecionar modificar permissões de política, você também deve selecionar as permissões de atribuição e exibição de política correspondentes.

  • Quando você permite uma política que usa objetos de política como parte de sua definição, você também deve conceder permissões de exibição a esses tipos de objetos. Por exemplo, se você selecionar a permissão para modificar políticas de roteamento, também deverá selecionar as permissões para exibir objetos de rede e funções de interface, que são os tipos de objeto exigidos pelas políticas de roteamento.

  • O mesmo se aplica quando se permite um objeto que usa outros objetos como parte de sua definição. Por exemplo, se você selecionar a permissão para modificar grupos de usuários, também deverá selecionar as permissões para exibir objetos de rede, objetos ACL e grupos de servidores AAA.

Exibir Permissões

As permissões de exibição (somente leitura) no Gerenciador de segurança são divididas nas categorias mostradas:

Exibir Políticas Permissões

O Gerenciador de segurança inclui as seguintes permissões de exibição para políticas:

  1. Exibir > Políticas > Firewall. Permite exibir políticas de serviço de firewall (localizadas no seletor de Políticas, em Firewall) em dispositivos PIX/ASA/FWSM, roteadores IOS e dispositivos Catalyst 6500/7600. Exemplos de políticas de serviço de firewall incluem regras de acesso, regras AAA e regras de inspeção.

  2. Exibir > Políticas > Sistema de prevenção de intrusão. Permite exibir políticas de IPS (localizadas no seletor de Políticas em IPS), incluindo políticas para IPS em execução em roteadores IOS.

  3. Exibir > Políticas > Imagem. Permite selecionar um pacote de atualização de assinatura no assistente Aplicar atualizações de IPS (localizado em Ferramentas > Aplicar atualização de IPS), mas não permite atribuir o pacote a dispositivos específicos, a menos que você também tenha a permissão Modificar > Políticas > Imagem.

  4. Exibir > Políticas > NAT. Permite que você visualize as políticas de conversão de endereço de rede em dispositivos PIX/ASA/FWSM e roteadores IOS. Exemplos de políticas de NAT incluem regras estáticas e regras dinâmicas.

  5. Exibir > Políticas > VPN Site a Site. Permite que você visualize políticas de VPN site a site em dispositivos PIX/ASA/FWSM, roteadores IOS e dispositivos Catalyst 6500/7600. Exemplos de políticas de VPN site a site incluem propostas IKE, propostas IPsec e chaves pré-compartilhadas.

  6. Exibir > Políticas > VPN de acesso remoto. Permite exibir políticas de VPN de acesso remoto em dispositivos PIX/ASA/FWSM, roteadores IOS e dispositivos Catalyst 6500/7600. Exemplos de políticas de VPN de acesso remoto incluem propostas IKE, propostas IPsec e políticas PKI.

  7. Exibir > Políticas > VPN SSL. Permite exibir políticas de VPN SSL em dispositivos PIX/ASA/FWSM e roteadores IOS, como o assistente de VPN SSL.

  8. Exibir > Políticas > Interfaces. Permite exibir políticas de interface (localizadas no seletor de Políticas, em Interfaces) em dispositivos PIX/ASA/FWSM, roteadores IOS, sensores IPS e dispositivos Catalyst 6500/7600.

    1. Em dispositivos PIX/ASA/FWSM, essa permissão abrange as portas de hardware e as configurações de interface.

    2. Nos roteadores IOS, essa permissão abrange as configurações básicas e avançadas da interface, bem como outras políticas relacionadas à interface, como DSL, PVC, PPP e políticas de discador.

    3. Nos sensores IPS, essa permissão abrange interfaces físicas e mapas de resumo.

    4. Nos dispositivos Catalyst 6500/7600, essa permissão abrange interfaces e configurações de VLAN.

  9. Exibir > Políticas > Bridging. Permite que você visualize as políticas da tabela ARP (localizadas no seletor de Políticas em Plataforma > Bridging) em dispositivos PIX/ASA/FWSM.

  10. Exibir > Políticas > Administração de dispositivos. Permite exibir políticas de administração de dispositivos (localizadas no seletor de Políticas em Plataforma > Administração de Dispositivos) em dispositivos PIX/ASA/FWSM, roteadores IOS e dispositivos Catalyst 6500/7600:

    1. Em dispositivos PIX/ASA/FWSM, os exemplos incluem políticas de acesso de dispositivo, políticas de acesso de servidor e políticas de failover.

    2. Nos roteadores IOS, os exemplos incluem políticas de acesso ao dispositivo (incluindo acesso de linha), políticas de acesso ao servidor, AAA e Provisionamento de dispositivo seguro.

    3. Nos sensores IPS, essa permissão abrange as políticas de acesso a dispositivos e as políticas de acesso a servidores.

    4. Nos dispositivos Catalyst 6500/7600, essa permissão abrange as configurações de IDSM e as listas de acesso de VLAN.

  11. Exibir > Políticas > Identidade. Permite exibir políticas de identidade (localizadas no seletor de políticas em Plataforma > Identidade) nos roteadores Cisco IOS, incluindo 802.1x e políticas de Controle de Admissão na Rede (NAC).

  12. Exibir > Políticas > Log. Permite exibir políticas de registro (localizadas no seletor de políticas em Plataforma > Registro) em dispositivos PIX/ASA/FWSM, roteadores IOS e sensores IPS. Exemplos de políticas de registro incluem configuração de registro, configuração de servidor e políticas de servidor syslog.

  13. Exibir > Políticas > Multicast. Permite exibir políticas de multicast (localizadas no seletor de Políticas em Plataforma > Multicast) em dispositivos PIX/ASA/FWSM. Exemplos de políticas multicast incluem o roteamento multicast e as políticas IGMP.

  14. Exibir > Políticas > QoS. Permite que você visualize as políticas de QoS (localizadas no seletor de Políticas em Plataforma > Qualidade de Serviço) nos roteadores Cisco IOS.

  15. Exibir > Políticas > Roteamento. Permite exibir políticas de roteamento (localizadas no seletor de Políticas em Plataforma > Roteamento) em dispositivos PIX/ASA/FWSM e roteadores IOS. Exemplos de políticas de roteamento incluem OSPF, RIP e políticas de roteamento estático.

  16. Exibir > Políticas > Segurança. Permite exibir políticas de segurança (localizadas no seletor de Políticas em Plataforma > Segurança) em dispositivos PIX/ASA/FWSM e sensores IPS:

    1. Em dispositivos PIX/ASA/FWSM, as políticas de segurança incluem configurações de anti-falsificação, fragmento e tempo limite.

    2. Nos sensores IPS, as políticas de segurança incluem configurações de bloqueio.

  17. Exibir > Políticas > Regras de política de serviço. Permite exibir políticas de regra de política de serviço (localizadas no seletor de Política em Plataforma > Regras de Política de Serviço) em dispositivos PIX 7.x/ASA. Os exemplos incluem filas de prioridade e IPS, QoS e regras de conexão.

  18. Exibir > Políticas > Preferências do usuário. Permite exibir a política de Implantação (localizada no seletor de Política em Plataforma > Preferências do Usuário) nos dispositivos PIX/ASA/FWSM. Esta política contém uma opção para limpar todas as conversões de NAT na implantação.

  19. Exibir > Políticas > Dispositivo virtual. Permite que você visualize políticas de sensor virtual em dispositivos IPS. Essa política é usada para criar sensores virtuais.

  20. Exibir > Políticas > FlexConfig. Permite exibir FlexConfigs, que são comandos CLI adicionais e instruções que podem ser implantados em dispositivos PIX/ASA/FWSM, roteadores IOS e dispositivos Catalyst 6500/7600.

Exibir permissões de objetos

O Gerenciador de segurança inclui as seguintes permissões de exibição para objetos:

  1. View > Objects > AAA Server Groups (Exibir > Objetos > Grupos de servidores AAA). Permite exibir objetos de grupo de servidores AAA. Esses objetos são usados em políticas que exigem serviços AAA (autenticação, autorização e contabilidade).

  2. Visualizar > Objetos > Servidores AAA. Permite exibir objetos de servidor AAA. Esses objetos representam servidores AAA individuais que são definidos como parte de um grupo de servidores AAA.

  3. Exibir > Objetos > Listas de Controle de Acesso - Padrão/Estendido. Permite exibir objetos de ACL padrão e estendida. Os objetos da ACL estendida são usados para uma variedade de políticas, como NAT e NAC, e para estabelecer acesso VPN. Os objetos de ACL padrão são usados para políticas como OSPF e SNMP, bem como para estabelecer acesso VPN.

  4. Exibir > Objetos > Listas de Controle de Acesso - Web. Permite exibir objetos da ACL da Web. Os objetos da Web ACL são usados para executar a filtragem de conteúdo nas políticas de VPN SSL.

  5. Exibir > Objetos > Grupos de usuários do ASA. Permite exibir objetos do grupo de usuários do ASA. Esses objetos são configurados nos dispositivos de segurança ASA nas configurações Easy VPN, VPN de acesso remoto e VPN SSL.

  6. Exibir > Objetos > Categorias. Permite exibir objetos de categoria. Esses objetos ajudam a identificar facilmente regras e objetos em tabelas de regras por meio do uso de cores.

  7. Exibir > Objetos > Credenciais. Permite exibir objetos de credencial. Esses objetos são usados na configuração Easy VPN durante a Autenticação Estendida IKE (Xauth).

  8. Exibir > Objetos > FlexConfigs. Permite exibir objetos FlexConfig. Esses objetos, que contêm comandos de configuração com instruções adicionais de linguagem de script, podem ser usados para configurar comandos que não são suportados pela interface de usuário do Security Manager.

  9. Exibir > Objetos > Propostas IKE. Permite exibir objetos de proposta IKE. Esses objetos contêm os parâmetros necessários para propostas IKE em políticas de VPN de acesso remoto.

  10. Exibir > Objetos > Inspecionar - Mapas de classes - DNS. Permite exibir objetos de mapa de classe DNS. Esses objetos correspondem ao tráfego DNS com critérios específicos para que as ações possam ser executadas nesse tráfego.

  11. Exibir > Objetos > Inspecionar - Mapas de classes - FTP. Permite exibir objetos de mapa de classe FTP. Esses objetos correspondem ao tráfego FTP com critérios específicos, de modo que as ações possam ser executadas nesse tráfego.

  12. Exibir > Objetos > Inspecionar - Mapas de classes - HTTP. Permite exibir objetos de mapa de classe HTTP. Esses objetos correspondem ao tráfego HTTP com critérios específicos para que as ações possam ser executadas nesse tráfego.

  13. Exibir > Objetos > Inspecionar - Mapas de classes - IM. Permite exibir objetos de mapa de classe de IM. Esses objetos correspondem ao tráfego IM com critérios específicos para que as ações possam ser executadas nesse tráfego.

  14. Exibir > Objetos > Inspecionar - Mapas de classes - SIP. Permite exibir objetos de mapa de classe SIP. Esses objetos correspondem ao tráfego SIP com critérios específicos para que as ações possam ser executadas nesse tráfego.

  15. Exibir > Objetos > Inspecionar - Mapas de políticas - DNS. Permite exibir objetos de mapa de política DNS. Esses objetos são usados para criar mapas de inspeção para o tráfego DNS.

  16. Exibir > Objetos > Inspecionar - Mapas de Políticas - FTP. Permite exibir objetos de mapa de política de FTP. Esses objetos são usados para criar mapas de inspeção para o tráfego FTP.

  17. Exibir > Objetos > Inspecionar - Mapas de políticas - GTP. Permite exibir objetos de mapa de política GTP. Esses objetos são usados para criar mapas de inspeção para o tráfego GTP.

  18. Exibir > Objetos > Inspecionar - Mapas de Políticas - HTTP (ASA7.1.x/PIX7.1.x/IOS). Permite exibir objetos de mapa de política HTTP criados para dispositivos ASA/PIX 7.1.x e roteadores IOS. Esses objetos são usados para criar mapas de inspeção para o tráfego HTTP.

  19. Exibir > Objetos > Inspecionar - Mapas de Políticas - HTTP (ASA7.2/PIX7.2). Permite exibir objetos de mapa de política HTTP criados para dispositivos ASA 7.2/PIX 7.2. Esses objetos são usados para criar mapas de inspeção para o tráfego HTTP.

  20. Exibir > Objetos > Inspecionar - Mapas de Políticas - IM (ASA7.2/PIX7.2). Permite exibir objetos de mapa de política de IM criados para dispositivos ASA 7.2/PIX 7.2. Esses objetos são usados para criar mapas de inspeção para o tráfego IM.

  21. Exibir > Objetos > Inspecionar - Mapas de políticas - IM (IOS). Permite exibir objetos de mapa de política de mensagens instantâneas criados para dispositivos IOS. Esses objetos são usados para criar mapas de inspeção para o tráfego IM.

  22. Exibir > Objetos > Inspecionar - Mapas de Políticas - SIP. Permite exibir objetos de mapa de política SIP. Esses objetos são usados para criar mapas de inspeção para o tráfego SIP.

  23. Exibir > Objetos > Inspecionar - Expressões regulares. Permite exibir objetos de expressão regular. Esses objetos representam expressões regulares individuais definidas como parte de um grupo de expressões regulares.

  24. Exibir > Objetos > Inspecionar - Grupos de expressões regulares. Permite exibir objetos do grupo de expressões regulares. Esses objetos são usados por certos mapas de classe e inspecionam mapas para corresponder o texto dentro de um pacote.

  25. Exibir > Objetos > Inspecionar - Mapas TCP. Permite visualizar objetos de mapa TCP. Esses objetos personalizam a inspeção no fluxo TCP em ambas as direções.

  26. Exibir > Objetos > Funções de interface. Permite exibir objetos de função de interface. Esses objetos definem padrões de nomenclatura que podem representar várias interfaces em diferentes tipos de dispositivos. As funções de interface permitem que você aplique políticas a interfaces específicas em vários dispositivos sem ter que definir manualmente o nome de cada interface.

  27. Exibir > Objetos > Conjuntos de transformação IPsec. Permite exibir objetos do conjunto de transformação IPsec. Esses objetos compreendem uma combinação de protocolos de segurança, algoritmos e outras configurações que especificam exatamente como os dados no túnel IPsec serão criptografados e autenticados.

  28. Exibir > Objetos > Mapas de atributos LDAP. Permite exibir objetos de mapa de atributos LDAP. Esses objetos são usados para mapear nomes de atributo personalizados (definidos pelo usuário) para nomes de atributo LDAP da Cisco.

  29. Exibir > Objetos > Redes/Hosts. Permite exibir objetos de rede/host. Esses objetos são coleções lógicas de endereços IP que representam redes, hosts ou ambos. Os objetos de rede/host permitem que você defina políticas sem especificar cada rede ou host individualmente.

  30. Exibir > Objetos > Inscrições PKI. Permite exibir objetos de inscrição de PKI. Esses objetos definem os servidores da Autoridade de Certificação (CA) que operam em uma infraestrutura de chave pública.

  31. Exibir > Objetos > Listas de encaminhamento de portas. Permite exibir objetos da lista de encaminhamento de portas. Esses objetos definem os mapeamentos de números de porta em um cliente remoto para o endereço IP do aplicativo e a porta atrás de um gateway VPN SSL.

  32. Exibir > Objetos > Configurações de Área de Trabalho Segura. Permite exibir objetos de configuração de área de trabalho segura. Esses objetos são reutilizáveis, componentes nomeados que podem ser referenciados por políticas de VPN SSL para fornecer um meio confiável de eliminar todos os traços de dados confidenciais compartilhados durante uma sessão de VPN SSL.

  33. Exibir > Objetos > Serviços - Listas de portas. Permite exibir objetos da lista de portas. Esses objetos, que contêm um ou mais intervalos de números de porta, são usados para otimizar o processo de criação de objetos de serviço.

  34. Exibir > Objetos > Serviços/Grupos de serviços Permite exibir objetos de serviço e de grupo de serviços. Esses objetos são mapeamentos definidos de definições de protocolo e porta que descrevem serviços de rede usados por políticas, como Kerberos, SSH e POP3.

  35. Exibir > Objetos > Servidores de Signon Único. Permite exibir o logon único em objetos do servidor. O Logon Único (SSO) permite que os usuários de VPN SSL insiram um nome de usuário e uma senha uma vez e possam acessar vários serviços protegidos e servidores Web.

  36. Exibir > Objetos > Monitores de SLA. Permite exibir objetos do monitor de SLA. Esses objetos são usados pelos dispositivos de segurança PIX/ASA que executam a versão 7.2 ou posterior para executar o rastreamento de rota. Este recurso fornece um método para rastrear a disponibilidade de uma rota primária e instalar uma rota alternativa se a rota primária falhar.

  37. Exibir > Objetos > Personalizações de VPN SSL. Permite exibir objetos de personalização de VPN SSL. Esses objetos definem como alterar a aparência das páginas VPN SSL que são exibidas aos usuários, como Login/Logout e Home pages.

  38. Exibir > Objetos > Gateways VPN SSL. Permite exibir objetos de gateway VPN SSL. Esses objetos definem parâmetros que permitem que o gateway seja usado como um proxy para conexões aos recursos protegidos na sua VPN SSL.

  39. Exibir > Objetos > Objetos de estilo. Permite exibir objetos de estilo. Esses objetos permitem que você configure elementos de estilo, como características e cores de fonte, para personalizar a aparência da página VPN SSL que aparece para os usuários de VPN SSL quando eles se conectam ao Security Appliance.

  40. Exibir > Objetos > Objetos de texto. Permite exibir objetos de texto de forma livre. Esses objetos compõem um par de nome e valor, onde o valor pode ser uma única string, uma lista de strings ou uma tabela de strings.

  41. Exibir > Objetos > Intervalos de tempo. Permite exibir objetos de intervalo de tempo. Esses objetos são usados na criação de ACLs com base no tempo e regras de inspeção. Eles também são usados ao definir grupos de usuários do ASA para restringir o acesso VPN a horários específicos durante a semana.

  42. Exibir > Objetos > Fluxos de tráfego. Permite exibir objetos de fluxo de tráfego. Esses objetos definem fluxos de tráfego específicos para uso pelos dispositivos PIX 7.x/ASA 7.x.

  43. Exibir > Objetos > Listas de URL. Permite exibir objetos de lista de URLs. Esses objetos definem os URLs que são exibidos na página do portal após um login bem-sucedido. Isso permite que os usuários acessem os recursos disponíveis em sites de VPN SSL ao operar no modo de acesso sem cliente.

  44. Exibir > Objetos > Grupos de usuários. Permite exibir objetos do grupo de usuários. Esses objetos definem grupos de clientes remotos que são usados em topologias Easy VPN, VPNs de acesso remoto e VPNs SSL.

  45. Exibir > Objetos > Listas de servidores WINS. Permite exibir objetos da lista de servidores WINS. Esses objetos representam servidores WINS, que são usados pela VPN SSL para acessar ou compartilhar arquivos em sistemas remotos.

  46. Exibir > Objetos > Interno - Regras de DN. Permite exibir as regras de DN usadas pelas políticas de DN. Este é um objeto interno usado pelo Gerenciador de Segurança que não aparece no Gerenciador de Objetos de Política.

  47. Exibir > Objetos > Internas - Atualizações do cliente. Este é um objeto interno exigido por objetos de grupo de usuários que não aparece no Gerenciador de objetos de política.

  48. Exibir > Objetos > Interno - ACEs padrão. Este é um objeto interno para entradas de controle de acesso padrão, que são usadas por objetos ACL.

  49. Exibir > Objetos > Interno - ACEs estendidas. Este é um objeto interno para entradas de controle de acesso estendido, que são usadas por objetos ACL.

Permissões de Exibição Adicionais

O Gerenciador de segurança inclui as seguintes permissões de exibição adicionais:

  1. Exibir > Admin. Permite exibir as configurações administrativas do Gerenciador de segurança.

  2. Exibir > CLI. Permite que você visualize os comandos CLI configurados em um dispositivo e visualize os comandos que estão prestes a serem implantados.

  3. Exibir > Arquivo de configuração. Permite exibir a lista de configurações contidas no arquivo de configuração. Você não pode visualizar a configuração do dispositivo ou qualquer comando CLI.

  4. Exibir > Dispositivos. Permite que você visualize dispositivos na Visualização de dispositivo e todas as informações relacionadas, incluindo suas configurações de dispositivo, propriedades, atribuições e assim por diante.

  5. Exibir > Gerenciadores de dispositivos. Permite iniciar versões somente leitura dos gerenciadores de dispositivos para dispositivos individuais, como o Cisco Router e o Security Device Manager (SDM) para roteadores Cisco IOS.

  6. Exibir > Topologia. Permite exibir mapas configurados na exibição de Mapa.

Modificar permissões

As permissões de modificação (leitura-gravação) no Gerenciador de segurança são divididas nas categorias conforme mostrado:

Modificar permissões de políticas

Observação: ao especificar permissões de modificação de política, certifique-se de que você também tenha selecionado as permissões de atribuição e exibição de política correspondentes.

O Gerenciador de segurança inclui as seguintes permissões de modificação para políticas:

  1. Modificar > Políticas > Firewall. Permite modificar políticas de serviço de firewall (localizadas no seletor de Políticas, em Firewall) em dispositivos PIX/ASA/FWSM, roteadores IOS e dispositivos Catalyst 6500/7600. Exemplos de políticas de serviço de firewall incluem regras de acesso, regras AAA e regras de inspeção.

  2. Modifique > Políticas > Sistema de prevenção de intrusão. Permite modificar políticas de IPS (localizadas no seletor de Políticas em IPS), incluindo políticas para IPS em execução em roteadores IOS. Essa permissão também permite ajustar assinaturas no Assistente de atualização de assinatura (localizado em Ferramentas > Aplicar atualização de IPS).

  3. Modificar > Políticas > Imagem. Permite atribuir um pacote de atualização de assinatura aos dispositivos no assistente Aplicar atualizações de IPS (localizado em Ferramentas > Aplicar atualização de IPS). Essa permissão também permite atribuir configurações de atualização automática a dispositivos específicos (localizados em Ferramentas > Administração do Gerenciador de segurança > Atualizações de IPS).

  4. Modifique > Policies > NAT. Permite modificar as políticas de tradução de endereço de rede em dispositivos PIX/ASA/FWSM e roteadores IOS. Exemplos de políticas de NAT incluem regras estáticas e regras dinâmicas.

  5. Modifique > Políticas > VPN Site a Site. Permite modificar políticas de VPN site a site em dispositivos PIX/ASA/FWSM, roteadores IOS e dispositivos Catalyst 6500/7600. Exemplos de políticas de VPN site a site incluem propostas IKE, propostas IPsec e chaves pré-compartilhadas.

  6. Modifique > Policies > Remote Access VPN. Permite modificar políticas de VPN de acesso remoto em dispositivos PIX/ASA/FWSM, roteadores IOS e dispositivos Catalyst 6500/7600. Exemplos de políticas de VPN de acesso remoto incluem propostas IKE, propostas IPsec e políticas PKI.

  7. Modifique > Policies > SSL VPN. Permite modificar políticas de VPN SSL em dispositivos PIX/ASA/FWSM e roteadores IOS, como o assistente de VPN SSL.

  8. Modificar > Políticas > Interfaces. Permite modificar políticas de interface (localizadas no seletor de Políticas em Interfaces) em dispositivos PIX/ASA/FWSM, roteadores IOS, sensores IPS e dispositivos Catalyst 6500/7600:

    1. Em dispositivos PIX/ASA/FWSM, essa permissão abrange as portas de hardware e as configurações de interface.

    2. Nos roteadores IOS, essa permissão abrange as configurações básicas e avançadas da interface, bem como outras políticas relacionadas à interface, como DSL, PVC, PPP e políticas de discador.

    3. Nos sensores IPS, essa permissão abrange interfaces físicas e mapas de resumo.

    4. Nos dispositivos Catalyst 6500/7600, essa permissão abrange interfaces e configurações de VLAN.

  9. Modifique > Políticas > Bridging. Permite modificar as políticas da tabela ARP (localizadas no seletor de Políticas em Plataforma > Bridging) em dispositivos PIX/ASA/FWSM.

  10. Modifique > Políticas > Administração de dispositivos. Permite modificar políticas de administração de dispositivos (localizadas no seletor de Políticas em Plataforma > Administração de Dispositivos) em dispositivos PIX/ASA/FWSM, roteadores IOS e dispositivos Catalyst 6500/7600:

    1. Em dispositivos PIX/ASA/FWSM, os exemplos incluem políticas de acesso de dispositivo, políticas de acesso de servidor e políticas de failover.

    2. Nos roteadores IOS, os exemplos incluem políticas de acesso ao dispositivo (incluindo acesso de linha), políticas de acesso ao servidor, AAA e Provisionamento de dispositivo seguro.

    3. Nos sensores IPS, essa permissão abrange as políticas de acesso a dispositivos e as políticas de acesso a servidores.

    4. Nos dispositivos Catalyst 6500/7600, essa permissão abrange as configurações de IDSM e a lista de acesso de VLAN.

  11. Modificar > Políticas > Identidade. Permite que você modifique políticas de identidade (localizadas no seletor de Políticas em Plataforma > Identidade) em roteadores Cisco IOS, incluindo políticas 802.1x e Network Admission Control (NAC).

  12. Modifique > Políticas > Registro. Permite modificar as políticas de registro (localizadas no seletor de políticas em Plataforma > Registro) em dispositivos PIX/ASA/FWSM, roteadores IOS e sensores IPS. Exemplos de políticas de registro incluem configuração de registro, configuração de servidor e políticas de servidor syslog.

  13. Modifique > Policies > Multicast. Permite modificar políticas de multicast (localizadas no seletor de Políticas em Plataforma > Multicast) em dispositivos PIX/ASA/FWSM. Exemplos de políticas multicast incluem o roteamento multicast e as políticas IGMP.

  14. Modifique > Políticas > QoS. Permite modificar as políticas de QoS (localizadas no seletor de Políticas em Plataforma > Qualidade de Serviço) nos roteadores Cisco IOS.

  15. Modifique > Políticas > Roteamento. Permite modificar políticas de roteamento (localizadas no seletor de Políticas em Plataforma > Roteamento) em dispositivos PIX/ASA/FWSM e roteadores IOS. Exemplos de políticas de roteamento incluem OSPF, RIP e políticas de roteamento estático.

  16. Modificar > Políticas > Segurança. Permite modificar políticas de segurança (localizadas no seletor de Políticas em Plataforma > Segurança) em dispositivos PIX/ASA/FWSM e sensores IPS:

    1. Em dispositivos PIX/ASA/FWSM, as políticas de segurança incluem configurações de anti-falsificação, fragmento e tempo limite.

    2. Nos sensores IPS, as políticas de segurança incluem configurações de bloqueio.

  17. Modifique > Políticas > Regras de política de serviço. Permite modificar políticas de regra de política de serviço (localizadas no seletor de Política em Plataforma > Regras de Política de Serviço) em dispositivos PIX 7.x/ASA. Os exemplos incluem filas de prioridade e IPS, QoS e regras de conexão.

  18. Modificar > Políticas > Preferências do usuário. Permite modificar a política de Implantação (localizada no seletor de Política em Plataforma > Preferências do Usuário) em dispositivos PIX/ASA/FWSM. Esta política contém uma opção para limpar todas as conversões de NAT na implantação.

  19. Modifique > Políticas > Dispositivo virtual. Permite modificar políticas de sensor virtual em dispositivos IPS. Use esta política para criar sensores virtuais.

  20. Modificar > Políticas > FlexConfig. Permite modificar FlexConfigs, que são comandos CLI adicionais e instruções que podem ser implantados em dispositivos PIX/ASA/FWSM, roteadores IOS e dispositivos Catalyst 6500/7600.

Modificar permissões de objetos

O Gerenciador de segurança inclui as seguintes permissões de exibição para objetos:

  1. Modifique > Objects > AAA Server Groups. Permite exibir objetos de grupo de servidores AAA. Esses objetos são usados em políticas que exigem serviços AAA (autenticação, autorização e contabilidade).

  2. Modifique > Objetos > Servidores AAA. Permite exibir objetos de servidor AAA. Esses objetos representam servidores AAA individuais que são definidos como parte de um grupo de servidores AAA.

  3. Modificar > Objetos > Listas de Controle de Acesso - Padrão/Estendido. Permite exibir objetos de ACL padrão e estendida. Os objetos da ACL estendida são usados para uma variedade de políticas, como NAT e NAC, e para estabelecer acesso VPN. Os objetos de ACL padrão são usados para políticas como OSPF e SNMP, bem como para estabelecer acesso VPN.

  4. Modificar > Objetos > Listas de Controle de Acesso - Web. Permite exibir objetos da ACL da Web. Os objetos da Web ACL são usados para executar a filtragem de conteúdo nas políticas de VPN SSL.

  5. Modificar > Objetos > Grupos de usuários ASA. Permite exibir objetos do grupo de usuários do ASA. Esses objetos são configurados nos dispositivos de segurança ASA nas configurações Easy VPN, VPN de acesso remoto e VPN SSL.

  6. Modificar > Objetos > Categorias. Permite exibir objetos de categoria. Esses objetos ajudam a identificar facilmente regras e objetos em tabelas de regras por meio do uso de cores.

  7. Modificar > Objetos > Credenciais. Permite exibir objetos de credencial. Esses objetos são usados na configuração Easy VPN durante a Autenticação Estendida IKE (Xauth).

  8. Modificar > Objetos > FlexConfigs. Permite exibir objetos FlexConfig. Esses objetos, que contêm comandos de configuração com instruções adicionais de linguagem de script, podem ser usados para configurar comandos que não são suportados pela interface de usuário do Security Manager.

  9. Modificar > Objetos > Propostas IKE. Permite exibir objetos de proposta IKE. Esses objetos contêm os parâmetros necessários para propostas IKE em políticas de VPN de acesso remoto.

  10. Modificar > Objetos > Inspecionar - Mapas de classes - DNS. Permite exibir objetos de mapa de classe DNS. Esses objetos correspondem ao tráfego DNS com critérios específicos para que as ações possam ser executadas nesse tráfego.

  11. Modificar > Objetos > Inspecionar - Mapas de classes - FTP. Permite exibir objetos de mapa de classe FTP. Esses objetos correspondem ao tráfego FTP com critérios específicos, de modo que as ações possam ser executadas nesse tráfego.

  12. Modificar > Objetos > Inspecionar - Mapas de classes - HTTP. Permite exibir objetos de mapa de classe HTTP. Esses objetos correspondem ao tráfego HTTP com critérios específicos para que as ações possam ser executadas nesse tráfego.

  13. Modificar > Objetos > Inspecionar - Mapas de classes - IM. Permite exibir objetos de mapa de classe de IM. Esses objetos correspondem ao tráfego IM com critérios específicos para que as ações possam ser executadas nesse tráfego.

  14. Modificar > Objetos > Inspecionar - Mapas de classe - SIP. Permite exibir objetos de mapa de classe SIP. Esses objetos correspondem ao tráfego SIP com critérios específicos para que as ações possam ser executadas nesse tráfego.

  15. Modificar > Objetos > Inspecionar - Mapas de políticas - DNS. Permite exibir objetos de mapa de política DNS. Esses objetos são usados para criar mapas de inspeção para o tráfego DNS.

  16. Modificar > Objetos > Inspecionar - Mapas de políticas - FTP. Permite exibir objetos de mapa de política de FTP. Esses objetos são usados para criar mapas de inspeção para o tráfego FTP.

  17. Modificar > Objetos > Inspecionar - Mapas de Políticas - HTTP (ASA7.1.x/PIX7.1.x/IOS). Permite exibir objetos de mapa de política HTTP criados para dispositivos ASA/PIX 7.x e roteadores IOS. Esses objetos são usados para criar mapas de inspeção para o tráfego HTTP.

  18. Modificar > Objetos > Inspecionar - Mapas de Políticas - HTTP (ASA7.2/PIX7.2). Permite exibir objetos de mapa de política HTTP criados para dispositivos ASA 7.2/PIX 7.2. Esses objetos são usados para criar mapas de inspeção para o tráfego HTTP.

  19. Modificar > Objetos > Inspecionar - Mapas de Políticas - IM (ASA7.2/PIX7.2). Permite exibir objetos de mapa de política de IM criados para dispositivos ASA 7.2/PIX 7.2. Esses objetos são usados para criar mapas de inspeção para o tráfego IM.

  20. Modificar > Objetos > Inspecionar - Mapas de políticas - IM (IOS). Permite exibir objetos de mapa de política de mensagens instantâneas criados para dispositivos IOS. Esses objetos são usados para criar mapas de inspeção para o tráfego IM.

  21. Modificar > Objetos > Inspecionar - Mapas de políticas - SIP. Permite exibir objetos de mapa de política SIP. Esses objetos são usados para criar mapas de inspeção para o tráfego SIP.

  22. Modificar > Objetos > Inspecionar - Expressões regulares. Permite exibir objetos de expressão regular. Esses objetos representam expressões regulares individuais definidas como parte de um grupo de expressões regulares.

  23. Modificar > Objetos > Inspecionar - Grupos de expressões regulares. Permite exibir objetos do grupo de expressões regulares. Esses objetos são usados por certos mapas de classe e inspecionam mapas para corresponder o texto dentro de um pacote.

  24. Modificar > Objetos > Inspecionar - Mapas TCP. Permite visualizar objetos de mapa TCP. Esses objetos personalizam a inspeção no fluxo TCP em ambas as direções.

  25. Modifique > Objetos > Funções de interface. Permite exibir objetos de função de interface. Esses objetos definem padrões de nomenclatura que podem representar várias interfaces em diferentes tipos de dispositivos. As funções de interface permitem que você aplique políticas a interfaces específicas em vários dispositivos sem ter que definir manualmente o nome de cada interface.

  26. Modificar > Objetos > Conjuntos de Transformação IPsec. Permite exibir objetos do conjunto de transformação IPsec. Esses objetos compreendem uma combinação de protocolos de segurança, algoritmos e outras configurações que especificam exatamente como os dados no túnel IPsec serão criptografados e autenticados.

  27. Modificar > Objetos > Mapas de atributos LDAP. Permite exibir objetos de mapa de atributos LDAP. Esses objetos são usados para mapear nomes de atributo personalizados (definidos pelo usuário) para nomes de atributo LDAP da Cisco.

  28. Modificar > Objetos > Redes/Hosts. Permite exibir objetos de rede/host. Esses objetos são coleções lógicas de endereços IP que representam redes, hosts ou ambos. Os objetos de rede/host permitem que você defina políticas sem especificar cada rede ou host individualmente.

  29. Modifique > Objetos > Inscrições PKI. Permite exibir objetos de inscrição de PKI. Esses objetos definem os servidores da Autoridade de Certificação (CA) que operam em uma infraestrutura de chave pública.

  30. Modifique > Objetos > Listas de encaminhamento de portas. Permite exibir objetos da lista de encaminhamento de portas. Esses objetos definem os mapeamentos de números de porta em um cliente remoto para o endereço IP do aplicativo e a porta atrás de um gateway VPN SSL.

  31. Modificar > Objetos > Configurações Seguras de Desktop. Permite exibir objetos de configuração de área de trabalho segura. Esses objetos são reutilizáveis, componentes nomeados que podem ser referenciados por políticas de VPN SSL para fornecer um meio confiável de eliminar todos os traços de dados confidenciais compartilhados durante uma sessão de VPN SSL.

  32. Modifique > Objetos > Serviços - Listas de portas. Permite exibir objetos da lista de portas. Esses objetos, que contêm um ou mais intervalos de números de porta, são usados para otimizar o processo de criação de objetos de serviço.

  33. Modifique > Objetos > Serviços/Grupos de serviços. Permite exibir objetos de serviço e de grupo de serviços. Esses objetos são mapeamentos definidos de definições de protocolo e porta que descrevem serviços de rede usados por políticas, como Kerberos, SSH e POP3.

  34. Modificar > Objetos > Servidores de Signon Único. Permite exibir o logon único em objetos do servidor. O Logon Único (SSO) permite que os usuários de VPN SSL insiram um nome de usuário e uma senha uma vez e possam acessar vários serviços protegidos e servidores Web.

  35. Modifique > Objetos > Monitores SLA. Permite exibir objetos do monitor de SLA. Esses objetos são usados pelos dispositivos de segurança PIX/ASA que executam a versão 7.2 ou posterior para executar o rastreamento de rota. Este recurso fornece um método para rastrear a disponibilidade de uma rota primária e instalar uma rota alternativa se a rota primária falhar.

  36. Modifique > Objetos > Personalizações de VPN SSL. Permite exibir objetos de personalização de VPN SSL. Esses objetos definem como alterar a aparência das páginas VPN SSL que são exibidas aos usuários, como Login/Logout e Home pages.

  37. Modifique > Objetos > Gateways VPN SSL. Permite exibir objetos de gateway VPN SSL. Esses objetos definem parâmetros que permitem que o gateway seja usado como um proxy para conexões aos recursos protegidos na sua VPN SSL.

  38. Modificar > Objetos > Objetos de estilo. Permite exibir objetos de estilo. Esses objetos permitem que você configure elementos de estilo, como características e cores de fonte, para personalizar a aparência da página VPN SSL que aparece para os usuários de VPN SSL quando eles se conectam ao Security Appliance.

  39. Modificar > Objetos > Objetos de texto. Permite exibir objetos de texto de forma livre. Esses objetos compõem um par de nome e valor, onde o valor pode ser uma única string, uma lista de strings ou uma tabela de strings.

  40. Modificar > Objetos > Intervalos de tempo. Permite exibir objetos de intervalo de tempo. Esses objetos são usados na criação de ACLs com base no tempo e regras de inspeção. Eles também são usados ao definir grupos de usuários do ASA para restringir o acesso VPN a horários específicos durante a semana.

  41. Modifique > Objetos > Fluxos de tráfego. Permite exibir objetos de fluxo de tráfego. Esses objetos definem fluxos de tráfego específicos para uso pelos dispositivos PIX 7.x/ASA 7.x.

  42. Modifique > Objetos > Listas de URL. Permite exibir objetos de lista de URLs. Esses objetos definem os URLs que são exibidos na página do portal após um login bem-sucedido. Isso permite que os usuários acessem os recursos disponíveis em sites de VPN SSL ao operar no modo de acesso sem cliente.

  43. Modificar > Objetos > Grupos de usuários. Permite exibir objetos do grupo de usuários. Esses objetos definem grupos de clientes remotos que são usados em topologias Easy VPN, VPNs de acesso remoto e VPN SSL

  44. Modificar > Objetos > Listas de servidores WINS. Permite exibir objetos da lista de servidores WINS. Esses objetos representam servidores WINS, que são usados pela VPN SSL para acessar ou compartilhar arquivos em sistemas remotos.

  45. Modificar > Objetos > Interno - Regras de DN. Permite exibir as regras de DN usadas pelas políticas de DN. Este é um objeto interno usado pelo Gerenciador de Segurança que não aparece no Gerenciador de Objetos de Política.

  46. Modificar > Objetos > Internas - Atualizações do cliente. Este é um objeto interno exigido por objetos de grupo de usuários que não aparece no Gerenciador de objetos de política.

  47. Modifique > Objetos > Interno - ACE padrão. Este é um objeto interno para entradas de controle de acesso padrão, que são usadas por objetos ACL.

  48. Modifique > Objetos > Interno - ACE estendido. Este é um objeto interno para entradas de controle de acesso estendido, que são usadas por objetos ACL.

Permissões de Modificação Adicionais

O Gerenciador de segurança inclui as permissões de modificação adicionais conforme mostrado:

  1. Modificar > Admin. Permite modificar as configurações administrativas do Gerenciador de segurança.

  2. Modificar > Arquivo de configuração. Permite modificar a configuração do dispositivo no Arquivo de configuração. Além disso, permite adicionar configurações ao arquivo e personalizar a ferramenta Arquivo de configuração.

  3. Modifique > Dispositivos. Permite adicionar e excluir dispositivos, bem como modificar propriedades e atributos do dispositivo. Para descobrir as políticas no dispositivo que está sendo adicionado, você também deve habilitar a permissão Importar. Além disso, se você habilitar a permissão Modificar > Dispositivos, certifique-se de habilitar também a permissão Atribuir > Políticas > Interfaces.

  4. Modificar > Hierarquia. Permite modificar grupos de dispositivos.

  5. Modificar > Topologia. Permite modificar mapas na exibição de Mapa.

Atribuir permissões

O Gerenciador de segurança inclui as permissões de atribuição de política conforme mostrado:

  1. Atribuir > Políticas > Firewall. Permite atribuir políticas de serviço de firewall (localizadas no seletor de Políticas, em Firewall) a dispositivos PIX/ASA/FWSM, roteadores IOS e dispositivos Catalyst 6500/7600. Exemplos de políticas de serviço de firewall incluem regras de acesso, regras AAA e regras de inspeção.

  2. Atribuir > Políticas > Sistema de prevenção de intrusão. Permite atribuir políticas de IPS (localizadas no seletor de Políticas em IPS), incluindo políticas para IPS em execução em roteadores IOS.

  3. Atribuir > Políticas > Imagem. Esta permissão não está sendo usada no momento pelo Gerenciador de Segurança.

  4. Atribuir > Políticas > NAT. Permite atribuir políticas de conversão de endereço de rede a dispositivos PIX/ASA/FWSM e roteadores IOS. Exemplos de políticas de NAT incluem regras estáticas e regras dinâmicas.

  5. Atribuir > Políticas > VPN Site a Site. Permite atribuir políticas de VPN site a site a dispositivos PIX/ASA/FWSM, roteadores IOS e dispositivos Catalyst 6500/7600. Exemplos de políticas de VPN site a site incluem propostas IKE, propostas IPsec e chaves pré-compartilhadas.

  6. Atribuir > Políticas > VPN de acesso remoto. Permite atribuir políticas de VPN de acesso remoto a dispositivos PIX/ASA/FWSM, roteadores IOS e dispositivos Catalyst 6500/7600. Exemplos de políticas de VPN de acesso remoto incluem propostas IKE, propostas IPsec e políticas PKI.

  7. Atribuir > Políticas > VPN SSL. Permite atribuir políticas de VPN SSL a dispositivos PIX/ASA/FWSM e roteadores IOS, como o assistente de VPN SSL.

  8. Atribuir > Políticas > Interfaces. Permite atribuir políticas de interface (localizadas no seletor de Políticas em Interfaces) a dispositivos PIX/ASA/FWSM, roteadores IOS e dispositivos Catalyst 6500/7600:

    1. Em dispositivos PIX/ASA/FWSM, essa permissão abrange as portas de hardware e as configurações de interface.

    2. Nos roteadores IOS, essa permissão abrange as configurações básicas e avançadas da interface, bem como outras políticas relacionadas à interface, como DSL, PVC, PPP e políticas de discador.

    3. Nos dispositivos Catalyst 6500/7600, essa permissão abrange interfaces e configurações de VLAN.

  9. Atribuir > Políticas > Bridging. Permite atribuir diretivas de tabela ARP (localizadas no seletor de diretivas em Plataforma > Bridging) a dispositivos PIX/ASA/FWSM.

  10. Atribuir > Políticas > Administração de dispositivos. Permite atribuir políticas de administração de dispositivos (localizadas no seletor de Políticas em Plataforma > Administração de Dispositivos) a dispositivos PIX/ASA/FWSM, roteadores IOS e dispositivos Catalyst 6500/7600:

    1. Em dispositivos PIX/ASA/FWSM, os exemplos incluem políticas de acesso de dispositivo, políticas de acesso de servidor e políticas de failover.

    2. Nos roteadores IOS, os exemplos incluem políticas de acesso ao dispositivo (incluindo acesso de linha), políticas de acesso ao servidor, AAA e Provisionamento de dispositivo seguro.

    3. Nos sensores IPS, essa permissão abrange as políticas de acesso a dispositivos e as políticas de acesso a servidores.

    4. Nos dispositivos Catalyst 6500/7600, essa permissão abrange as configurações de IDSM e as listas de acesso de VLAN.

  11. Atribuir > Políticas > Identidade. Permite atribuir políticas de identidade (localizadas no seletor de políticas em Plataforma > Identidade) aos roteadores Cisco IOS, incluindo políticas 802.1x e Network Admission Control (NAC).

  12. Atribuir > Políticas > Registro. Permite atribuir políticas de registro (localizadas no seletor de políticas em Plataforma > Registro) a dispositivos PIX/ASA/FWSM e roteadores IOS. Exemplos de políticas de registro incluem configuração de registro, configuração de servidor e políticas de servidor syslog.

  13. Atribua > Policies > Multicast. Permite atribuir políticas multicast (localizadas no seletor de Políticas em Plataforma > Multicast) a dispositivos PIX/ASA/FWSM. Exemplos de políticas multicast incluem o roteamento multicast e as políticas IGMP.

  14. Atribuir > Políticas > QoS. Permite atribuir políticas de QoS (localizadas no seletor de Políticas em Plataforma > Qualidade de Serviço) aos roteadores Cisco IOS.

  15. Atribuir > Políticas > Roteamento. Permite atribuir políticas de roteamento (localizadas no seletor de Políticas em Plataforma > Roteamento) a dispositivos PIX/ASA/FWSM e roteadores IOS. Exemplos de políticas de roteamento incluem OSPF, RIP e políticas de roteamento estático.

  16. Atribuir > Políticas > Segurança. Permite atribuir políticas de segurança (localizadas no seletor de Políticas em Plataforma > Segurança) a dispositivos PIX/ASA/FWSM. As políticas de segurança incluem configurações de anti-falsificação, fragmento e tempo limite.

  17. Atribuir > Políticas > Regras de política de serviço. Permite atribuir políticas de regra de política de serviço (localizadas no seletor de Política em Plataforma > Regras de Política de Serviço) a dispositivos PIX 7.x/ASA. Os exemplos incluem filas de prioridade e IPS, QoS e regras de conexão.

  18. Atribuir > Políticas > Preferências do usuário. Permite atribuir a política Deployment (localizada no seletor Policy em Platform > User Preferences) a dispositivos PIX/ASA/FWSM. Esta política contém uma opção para limpar todas as conversões de NAT na implantação.

  19. Atribuir > Políticas > Dispositivo virtual. Permite atribuir políticas de sensor virtual a dispositivos IPS. Use esta política para criar sensores virtuais.

  20. Atribuir > Políticas > FlexConfig. Permite atribuir FlexConfigs, que são comandos CLI adicionais e instruções que podem ser implantados em dispositivos PIX/ASA/FWSM, roteadores IOS e dispositivos Catalyst 6500/7600.

Observação: ao especificar permissões de atribuição, verifique se você também selecionou as permissões de exibição correspondentes.

Aprovar Permissões

O Gerenciador de segurança fornece as permissões de aprovação conforme mostrado:

  1. Aprovar > CLI. Permite aprovar as alterações de comando CLI contidas em um trabalho de implantação.

  2. Aprovar > Política. Permite aprovar as alterações de configuração contidas nas políticas que foram configuradas em uma atividade de fluxo de trabalho.

Entendendo as funções do CiscoWorks

Quando os usuários são criados no CiscoWorks Common Services, eles recebem uma ou mais funções. As permissões associadas a cada função determinam as operações que cada usuário está autorizado a executar no Gerenciador de Segurança.

Os tópicos a seguir descrevem as funções do CiscoWorks:

Funções Padrão do CiscoWorks Common Services

O CiscoWorks Common Services contém as seguintes funções padrão:

  1. Help Desk — Os usuários do Help desk podem exibir (mas não modificar) dispositivos, políticas, objetos e mapas de topologia.

  2. Operador de Rede — Além de exibir permissões, os operadores de rede podem exibir comandos CLI e configurações administrativas do Gerenciador de Segurança. Os operadores de rede também podem modificar o arquivo de configuração e emitir comandos (como ping) para os dispositivos.

  3. Aprovador — Além de exibir permissões, os aprovadores podem aprovar ou rejeitar trabalhos de implantação. Eles não podem executar a implantação.

  4. Administrador de rede — Os administradores de rede têm permissões completas de exibição e modificação, exceto pela modificação de configurações administrativas. Eles podem descobrir dispositivos e as políticas configuradas nesses dispositivos, atribuir políticas a dispositivos e emitir comandos para dispositivos. Os administradores de rede não podem aprovar atividades ou trabalhos de implantação; no entanto, eles podem implantar trabalhos que foram aprovados por outros.

  5. Administrador do sistema — Os administradores do sistema têm acesso completo a todas as permissões do Gerenciador de segurança, incluindo modificação, atribuição de política, aprovação de atividade e trabalho, descoberta, implantação e emissão de comandos para dispositivos.

Observação: funções adicionais, como dados de exportação, poderão ser exibidas no Common Services se aplicativos adicionais forem instalados no servidor. A função de dados de exportação é para desenvolvedores de terceiros e não é usada pelo Gerenciador de segurança.

Tip:  Embora não seja possível alterar a definição das funções do CiscoWorks, você pode definir quais funções são atribuídas a cada usuário. Para obter mais informações, consulte Atribuição de Funções a Usuários no CiscoWorks Common Services.

Atribuindo funções a usuários no CiscoWorks Common Services

O CiscoWorks Common Services permite que você defina quais funções são atribuídas a cada usuário. Alterando a definição de função de um usuário, você altera os tipos de operações que este usuário está autorizado a executar no Gerenciador de Segurança. Por exemplo, se você atribuir a função Help Desk, o usuário ficará limitado a exibir operações e não poderá modificar nenhum dado. No entanto, se você atribuir a função de operador de rede, o usuário também poderá modificar o arquivo de configuração. Você pode atribuir várias funções a cada usuário.

Observação: você deve reiniciar o Security Manager após fazer alterações nas permissões do usuário.

Procedimento:

  1. No Common Services, selecione Server > Security e, em seguida, Single-Server Trust Management > Local User Setup no Sumário.

    Dica: para acessar a página Configuração de usuário local no Gerenciador de segurança, selecione Ferramentas > Administração do gerenciador de segurança > Segurança do servidor e clique em Configuração de usuário local.

  2. Marque a caixa de seleção ao lado de um usuário existente e clique em Editar.

  3. Na página Informações do Usuário, selecione as atribuições a serem designadas a este usuário clicando nas caixas de seleção.

    Para obter mais informações sobre cada função, consulte Funções Padrão do CiscoWorks Common Services.

  4. Clique em OK para salvar suas alterações.

  5. Reinicie o Gerenciador de Segurança.

Entendendo as funções do Cisco Secure ACS

O Cisco Secure ACS oferece maior flexibilidade para gerenciar permissões do Security Manager do que o CiscoWorks, pois suporta funções específicas de aplicativo que podem ser configuradas. Cada função é formada por um conjunto de permissões que determinam o nível de autorização para tarefas do Gerenciador de Segurança. No Cisco Secure ACS, você atribui uma função a cada grupo de usuários (e, opcionalmente, também a usuários individuais), o que permite que cada usuário nesse grupo execute as operações autorizadas pelas permissões definidas para essa função.

Além disso, você pode atribuir essas funções aos grupos de dispositivos do Cisco Secure ACS, permitindo que as permissões sejam diferenciadas em diferentes conjuntos de dispositivos.

Observação: os grupos de dispositivos Cisco Secure ACS são independentes dos grupos de dispositivos do Security Manager.

Os tópicos a seguir descrevem as funções do Cisco Secure ACS:

Funções padrão do Cisco Secure ACS

O Cisco Secure ACS inclui as mesmas funções que o CiscoWorks (consulte Entendendo as funções do CiscoWorks), além destas funções adicionais:

  1. Aprovador de segurança — Os aprovadores de segurança podem exibir (mas não modificar) dispositivos, políticas, objetos, mapas, comandos CLI e configurações administrativas. Além disso, os aprovadores de segurança podem aprovar ou rejeitar as alterações de configuração contidas em uma atividade. Eles não podem aprovar ou rejeitar o trabalho de implantação, nem executar a implantação.

  2. Administrador de segurança — Além de ter permissões de visualização, os administradores de segurança podem modificar dispositivos, grupos de dispositivos, políticas, objetos e mapas de topologia. Eles também podem atribuir políticas a dispositivos e topologias VPN e executar a descoberta para importar novos dispositivos para o sistema.

  3. Administrador de rede — Além de exibir permissões, os administradores de rede podem modificar o arquivo de configuração, executar a implantação e emitir comandos para dispositivos.

Observação: as permissões contidas na função de administrador de rede do Cisco Secure ACS são diferentes daquelas contidas na função de administrador de rede do CiscoWorks. Para obter mais informações, consulte Como Compreender as Funções do CiscoWorks.

Ao contrário do CiscoWorks, o Cisco Secure ACS permite que você personalize as permissões associadas a cada função do Security Manager. Para obter mais informações sobre como modificar as funções padrão, consulte Personalizando funções do Cisco Secure ACS.

Observação: o Cisco Secure ACS 3.3 ou posterior deve estar instalado para autorização do Security Manager.

Personalizando funções do Cisco Secure ACS

O Cisco Secure ACS permite que você modifique as permissões associadas a cada função do Security Manager. Você também pode personalizar o Cisco Secure ACS criando funções de usuário especializadas com permissões direcionadas a tarefas específicas do Security Manager.

Observação: você deve reiniciar o Security Manager após fazer alterações nas permissões do usuário.

Procedimento:

  1. No Cisco Secure ACS, clique em Shared Profile Components na barra de navegação.

  2. Clique em Cisco Security Manager na página Componentes compartilhados. As funções configuradas para o Gerenciador de Segurança são exibidas.

  3. Escolha fazer entre o seguinte:

    • Para criar uma função, clique em Adicionar. Vá para a Etapa 4.

    • Para modificar uma função existente, clique na função. Vá para a Etapa 5.

  4. Informe um nome para a atribuição e, opcionalmente, uma descrição.

  5. Marque e desmarque as caixas de seleção na árvore de permissões para definir as permissões para esta função

    Marcar a caixa de seleção de uma ramificação da árvore seleciona todas as permissões nessa ramificação. Por exemplo, selecionar Atribuir seleciona todas as permissões de atribuição.

    Para obter uma lista completa de permissões do Gerenciador de Segurança, consulte Permissões do Gerenciador de Segurança.

    Observação: ao selecionar modificar, aprovar, atribuir, importar, controlar ou implantar permissões, você também deve selecionar as permissões de exibição correspondentes; caso contrário, o Security Manager não funcionará corretamente.

  6. Clique em Enviar para salvar suas alterações.

  7. Reinicie o Gerenciador de Segurança.

Associações Padrão entre Permissões e Funções no Gerenciador de Segurança

Esta tabela mostra como as permissões do Gerenciador de Segurança são associadas às funções do CiscoWorks Common Services e às funções padrão no Cisco Secure ACS.

Permissões Funções
System Admin Administrador de segurança (ACS) Aprovador de segurança (ACS) Administrador de rede (CW) Administrador de rede (ACS) Aprovador Operador de rede Help desk
Exibir Permissões
Exibir dispositivo Yes Yes Yes Yes Yes Yes Yes Yes
Exibir política Yes Yes Yes Yes Yes Yes Yes Yes
Exibir Objetos Yes Yes Yes Yes Yes Yes Yes Yes
Exibir Topologia Yes Yes Yes Yes Yes Yes Yes Yes
Exibir CLI Yes Yes Yes Yes Yes Yes Yes No
Exibir administrador Yes Yes Yes Yes Yes Yes Yes No
Exibir arquivo de configuração Yes Yes Yes Yes Yes Yes Yes Yes
Exibir gerenciadores de dispositivos Yes Yes Yes Yes Yes Yes Yes No
Modificar permissões
Modificar dispositivo Yes Yes No Yes No No No No
Modificar Hierarquia Yes Yes No Yes No No No No
Modificar política Yes Yes No Yes No No No No
Modificar imagem Yes Yes No Yes No No No No
Modificar objetos Yes Yes No Yes No No No No
Modificar Topologia Yes Yes No Yes No No No No
Modificar administrador Yes No No No No No No No
Modificar arquivo de configuração Yes Yes No Yes Yes No Yes No
Permissões Adicionais
Atribuir política Yes Yes No Yes No No No No
Aprovar política Yes No Yes No No No No No
Aprovar CLI Yes No No No No Yes No No
Descobrir (Importar) Yes Yes No Yes No No No No
Implantar Yes No No Yes Yes No No No
Controle Yes No No Yes Yes No Yes No
Enviar Yes Yes No Yes No No No No

Informações Relacionadas

Histórico de revisões

Revisão Data de publicação Comentários
1.0
14-May-2007
Versão inicial

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Este documento se refere a estes produtos