CSM 3.x ：设置用户权限和角色

简介

本文档介绍如何为思科安全管理器(CSM)中的用户设置权限和角色。

先决条件

要求

本文档假设CSM已安装且工作正常。

使用的组件

本文档中的信息基于CSM 3.1。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。

规则

有关文档规则的详细信息，请参阅 Cisco 技术提示规则。

设置用户权限

思科安全管理器验证您的用户名和密码，然后您才能登录。经过身份验证后，安全管理器将在应用中建立您的角色。此角色定义您的权限（也称为权限），这些权限是授权您执行的一组任务或操作。如果您未授权执行某些任务或设备，则相关菜单项、目录项和按钮将被隐藏或禁用。此外，系统会显示一条消息，告知您无权查看所选信息或执行所选操作。

安全管理器的身份验证和授权由CiscoWorks服务器或思科安全访问控制服务器(ACS)管理。 默认情况下，CiscoWorks管理身份验证和授权，但您可以使用CiscoWorks常见服务中的AAA模式设置页面切换到Cisco Secure ACS。

使用Cisco Secure ACS的主要优势在于能够使用专用权限集创建高度精细的用户角色（例如，允许用户配置某些策略类型，但不能配置其他类型），以及通过配置网络设备组(NDG)将用户限制到某些设备。

以下主题介绍用户权限：

• 安全管理器权限

• 了解CiscoWorks角色

• 了解Cisco Secure ACS角色

• 安全管理器中权限和角色之间的默认关联

安全管理器权限

安全管理器将权限分为以下类别：

1. View — 允许您查看当前设置。有关详细信息，请参阅查看权限。

2. Modify — 允许您更改当前设置。有关详细信息，请参阅修改权限。

3. Assign — 允许您将策略分配给设备和VPN拓扑。有关详细信息，请参阅分配权限

4. Approve — 允许您批准策略更改和部署作业。有关详细信息，请参阅批准权限。

5. Import — 允许您将已在设备上部署的配置导入到安全管理器中。

6. Deploy — 允许您将配置更改部署到网络中的设备并执行回滚以返回先前部署的配置。

7. 控制 — 允许向设备发出命令，例如ping。

8. Submit — 允许您提交配置更改以供审批。

• 当您选择“修改”、“分配”、“批准”、“导入”、“控制”或“部署”权限时，还必须选择相应的视图权限；否则，安全管理器将无法正常运行。

• 选择修改策略权限时，还必须选择相应的分配和查看策略权限。

• 当您允许将策略对象用作其定义的一部分的策略时，还必须向这些对象类型授予查看权限。例如，如果选择修改路由策略的权限，还必须选择查看网络对象和接口角色的权限，这是路由策略所需的对象类型。

• 如果允许对象将其他对象用作其定义的一部分，则同样适用。例如，如果选择修改用户组的权限，还必须选择查看网络对象、ACL对象和AAA服务器组的权限。

查看权限

安全管理器中的查看（只读）权限分为以下类别：

• 查看策略权限

• 查看对象权限

• 其他视图权限

查看策略权限

安全管理器包括以下策略视图权限：

1. View > Policies > Firewall。允许您查看PIX/ASA/FWSM设备、IOS路由器和Catalyst 6500/7600设备上的防火墙服务策略（位于防火墙下的策略选择器中）。防火墙服务策略的示例包括访问规则、AAA规则和检查规则。

2. View > Policies > Intrusion Prevention System。允许您查看IPS策略（位于IPS下的策略选择器中），包括在IOS路由器上运行的IPS的策略。

3. “视图”>“策略”>“图像”。允许您在“应用IPS更新”向导（位于“工具”>“应用IPS更新”下）中选择特征码更新软件包，但是不允许将该软件包分配给特定设备，除非您还具有“修改”>“策略”>“映像”权限。

4. View > Policies > NAT。允许您查看PIX/ASA/FWSM设备和IOS路由器上的网络地址转换策略。NAT策略的示例包括静态规则和动态规则。

5. View > Policies > Site-to-Site VPN。允许您查看PIX/ASA/FWSM设备、IOS路由器和Catalyst 6500/7600设备上的站点到站点VPN策略。站点到站点VPN策略的示例包括IKE提议、IPsec提议和预共享密钥。

6. View > Policies > Remote Access VPN。允许您查看PIX/ASA/FWSM设备、IOS路由器和Catalyst 6500/7600设备上的远程访问VPN策略。远程访问VPN策略的示例包括IKE提议、IPsec提议和PKI策略。

7. View > Policies > SSL VPN。允许您查看PIX/ASA/FWSM设备和IOS路由器上的SSL VPN策略，例如SSL VPN向导。

8. 查看>策略>接口。允许您查看PIX/ASA/FWSM设备、IOS路由器、IPS传感器和Catalyst 6500/7600设备上的接口策略（位于接口下的策略选择器中）。

   1. 在PIX/ASA/FWSM设备上，此权限涵盖硬件端口和接口设置。

   2. 在IOS路由器上，此权限涵盖基本和高级接口设置，以及其他与接口相关的策略，例如DSL、PVC、PPP和拨号器策略。

   3. 在IPS传感器上，此权限涵盖物理接口和摘要映射。

   4. 在Catalyst 6500/7600设备上，此权限涵盖接口和VLAN设置。

9. View > Policies > Bridging。允许您查看PIX/ASA/FWSM设备上的ARP表策略（位于Platform > Bridging下的Policy选择器中）。

10. View > Policies > Device Administration。允许您在PIX/ASA/FWSM设备、IOS路由器和Catalyst 6500/7600设备上查看设备管理策略（位于Platform > Device Admin下的Policy选择器中）：

    1. 在PIX/ASA/FWSM设备上，示例包括设备访问策略、服务器访问策略和故障切换策略。

    2. 在IOS路由器上，示例包括设备访问（包括线路访问）策略、服务器访问策略、AAA和安全设备调配。

    3. 在IPS传感器上，此权限涵盖设备访问策略和服务器访问策略。

    4. 在Catalyst 6500/7600设备上，此权限涵盖IDSM设置和VLAN访问列表。

11. View > Policies > Identity。允许您在Cisco IOS路由器上查看身份策略（位于Platform > Identity下的Policy选择器中），包括802.1x和网络准入控制(NAC)策略。

12. View > Policies > Logging。允许您在PIX/ASA/FWSM设备、IOS路由器和IPS传感器上查看日志记录策略（位于Platform > Logging下的Policy选择器中）。日志记录策略的示例包括日志记录设置、服务器设置和系统日志服务器策略。

13. View > Policies > Multicast。允许您在PIX/ASA/FWSM设备上查看组播策略（位于Platform > Multicast下的Policy selector中）。组播策略的示例包括组播路由和IGMP策略。

14. View > Policies > QoS。允许您在Cisco IOS路由器上查看QoS策略（位于Platform > Quality of Service下的Policy选择器中）。

15. View > Policies > Routing。允许您在PIX/ASA/FWSM设备和IOS路由器上查看路由策略（位于Platform > Routing下的Policy选择器中）。路由策略的示例包括OSPF、RIP和静态路由策略。

16. View > Policies > Security。允许您在PIX/ASA/FWSM设备和IPS传感器上查看安全策略（位于Platform > Security下的Policy选择器中）：

    1. 在PIX/ASA/FWSM设备上，安全策略包括反欺骗、分片和超时设置。

    2. 在IPS传感器上，安全策略包括阻止设置。

17. View > Policies > Service Policy Rules。允许您在PIX 7.x/ASA设备上查看服务策略规则策略（位于Platform > Service Policy Rules下的策略选择器中）。示例包括优先级队列和IPS、QoS以及连接规则。

18. View > Policies > User Preferences。允许您在PIX/ASA/FWSM设备上查看部署策略（位于Platform > User Preferences下的Policy selector）。此策略包含用于清除部署中的所有NAT转换的选项。

19. View > Policies > Virtual Device。允许您查看IPS设备上的虚拟传感器策略。此策略用于创建虚拟传感器。

20. View > Policies > FlexConfig。允许您查看FlexConfigs，这是可以部署到PIX/ASA/FWSM设备、IOS路由器和Catalyst 6500/7600设备的附加CLI命令和说明。

查看对象权限

安全管理器包括以下对象视图权限：

1. View > Objects > AAA Server Groups。允许您查看AAA服务器组对象。这些对象用于需要AAA服务（身份验证、授权和记帐）的策略中。

2. View > Objects > AAA Servers。允许您查看AAA服务器对象。这些对象代表定义为AAA服务器组一部分的各个AAA服务器。

3. 查看>对象>访问控制列表 — 标准/扩展。允许您查看标准ACL对象和扩展ACL对象。扩展ACL对象用于各种策略（例如NAT和NAC）和建立VPN访问。标准ACL对象用于OSPF和SNMP等策略以及建立VPN访问。

4. View > Objects > Access Control Lists - Web。用于查看Web ACL对象。Web ACL对象用于在SSL VPN策略中执行内容过滤。

5. View > Objects > ASA User Groups。允许您查看ASA用户组对象。这些对象在Easy VPN、远程访问VPN和SSL VPN配置的ASA安全设备上配置。

6. 视图>对象>类别。用于查看类别对象。这些对象有助于通过使用颜色轻松地识别规则表中的规则和对象。

7. “视图”>“对象”>“凭证”。允许您查看凭证对象。这些对象在IKE扩展身份验证(Xauth)期间用于Easy VPN配置。

8. 视图>对象> FlexConfigs。允许您查看FlexConfig对象。这些对象包含带有其他脚本语言说明的配置命令，可用于配置安全管理器用户界面不支持的命令。

9. View > Objects > IKE Proposals。允许您查看IKE建议对象。这些对象包含远程访问VPN策略中的IKE建议所需的参数。

10. View > Objects > Inspect - Class Maps - DNS。允许您查看DNS类映射对象。这些对象匹配具有特定条件的DNS流量，以便可以对该流量执行操作。

11. View > Objects > Inspect - Class Maps - FTP。允许您查看FTP类映射对象。这些对象匹配具有特定条件的FTP流量，以便可以对该流量执行操作。

12. 视图>对象>检查 — 类映射 — HTTP。允许您查看HTTP类映射对象。这些对象匹配具有特定条件的HTTP流量，以便可以对该流量执行操作。

13. 查看>对象>检查 — 类映射 — IM。允许您查看IM类映射对象。这些对象与具有特定条件的IM流量匹配，以便可以对该流量执行操作。

14. View > Objects > Inspect - Class Maps - SIP。允许您查看SIP类映射对象。这些对象匹配具有特定条件的SIP流量，以便可以对该流量执行操作。

15. 查看>对象>检查 — 策略映射 — DNS。允许您查看DNS策略映射对象。这些对象用于为DNS流量创建检测映射。

16. 查看>对象>检查 — 策略映射 — FTP。允许您查看FTP策略映射对象。这些对象用于创建FTP流量的检测映射。

17. View > Objects > Inspect - Policy Maps - GTP。允许您查看GTP策略映射对象。这些对象用于为GTP流量创建检测映射。

18. View > Objects > Inspect - Policy Maps - HTTP(ASA7.1.x/PIX7.1.x/IOS)。 允许您查看为ASA/PIX 7.1.x设备和IOS路由器创建的HTTP策略映射对象。这些对象用于为HTTP流量创建检测映射。

19. View > Objects > Inspect - Policy Maps - HTTP(ASA7.2/PIX7.2)。 允许您查看为ASA 7.2/PIX 7.2设备创建的HTTP策略映射对象。这些对象用于为HTTP流量创建检测映射。

20. View > Objects > Inspect - Policy Maps - IM(ASA7.2/PIX7.2)。 允许您查看为ASA 7.2/PIX 7.2设备创建的IM策略映射对象。这些对象用于为IM流量创建检测映射。

21. View > Objects > Inspect - Policy Maps - IM(IOS)。 允许您查看为IOS设备创建的IM策略映射对象。这些对象用于为IM流量创建检测映射。

22. View > Objects > Inspect - Policy Maps - SIP。允许您查看SIP策略映射对象。这些对象用于为SIP流量创建检测映射。

23. 视图>对象>检查 — 正则表达式。用于查看正则表达式对象。这些对象代表被定义为正则表达式组一部分的各个正则表达式。

24. 视图>对象>检查 — 正则表达式组。用于查看正则表达式组对象。某些类映射和检查映射使用这些对象来匹配数据包中的文本。

25. 查看>对象>检查 — TCP映射。允许您查看TCP映射对象。这些对象在两个方向上自定义对TCP流量的检查。

26. 视图>对象>接口角色。用于查看接口角色对象。这些对象定义可表示不同类型设备上的多个接口的命名模式。通过接口角色，您可以将策略应用于多个设备上的特定接口，而无需手动定义每个接口的名称。

27. View > Objects > IPsec Transform Sets。允许您查看IPsec转换集对象。这些对象包括安全协议、算法和其他设置的组合，这些设置可指定IPsec隧道中的数据如何进行加密和身份验证。

28. “视图”(View)>“对象”(Objects)>“LDAP属性映射”(LDAP Attribute Maps)。允许您查看LDAP属性映射对象。这些对象用于将自定义（用户定义的）属性名称映射到思科LDAP属性名称。

29. View > Objects > Networks/Hosts。可用于查看网络/主机对象。这些对象是代表网络、主机或两者的IP地址的逻辑集合。网络/主机对象使您能够定义策略，而无需单独指定每个网络或主机。

30. 查看>对象> PKI注册。允许您查看PKI注册对象。这些对象定义在公共密钥基础设施内运行的证书颁发机构(CA)服务器。

31. View > Objects > Port Forwarding Lists。允许您查看端口转发列表对象。这些对象定义远程客户端上的端口号到应用IP地址和SSL VPN网关后端口的映射。

32. 查看>对象>安全桌面配置。允许您查看安全桌面配置对象。这些对象是可重用的命名组件，SSL VPN策略可以引用这些组件，以提供可靠的方法，消除在SSL VPN会话期间共享的所有敏感数据跟踪。

33. 查看>对象>服务 — 端口列表。允许您查看端口列表对象。这些对象包含一个或多个端口号范围，用于简化创建服务对象的过程。

34. View > Objects > Services/Service Groups允许您查看服务和服务组对象。这些对象是协议和端口定义的映射，这些定义描述了策略使用的网络服务，例如Kerberos、SSH和POP3。

35. “视图”>“对象”>“单点登录服务器”。允许您查看单点登录服务器对象。单点登录(SSO)允许SSL VPN用户一次性输入用户名和密码，并能够访问多个受保护服务和Web服务器。

36. View > Objects > SLA Monitors。允许您查看SLA监控器对象。运行版本7.2或更高版本的PIX/ASA安全设备使用这些对象来执行路由跟踪。此功能提供了一种跟踪主路由可用性并在主路由失败时安装备用路由的方法。

37. View > Objects > SSL VPN Customizations。允许您查看SSL VPN自定义对象。这些对象定义如何更改向用户显示的SSL VPN页面的外观，如登录/注销和主页。

38. View > Objects > SSL VPN Gateways。允许您查看SSL VPN网关对象。这些对象定义参数，使网关能够用作连接到SSL VPN中受保护资源的代理。

39. “视图”>“对象”>“样式对象”。可用于查看样式对象。这些对象允许您配置样式元素（如字体特征和颜色），以自定义SSL VPN页面的外观，当SSL VPN用户连接到安全设备时，该页面对SSL VPN用户显示。

40. “视图”>“对象”>“文本对象”。用于查看自由格式文本对象。这些对象包括名称和值对，其中值可以是单个字符串、字符串列表或字符串表。

41. 视图>对象>时间范围。用于查看时间范围对象。创建基于时间的ACL和检测规则时，使用这些对象。在定义ASA用户组时，也使用它们来将VPN访问限制在一周内的特定时间。

42. View > Objects > Traffic Flows。允许您查看流量对象。这些对象定义特定流量供PIX 7.x/ASA 7.x设备使用。

43. “视图”>“对象”>“URL列表”。允许您查看URL列表对象。这些对象定义成功登录后在门户页面上显示的URL。这样，用户可以在无客户端访问模式下操作时访问SSL VPN网站上的可用资源。

44. 视图>对象>用户组。用于查看用户组对象。这些对象定义在Easy VPN拓扑、远程访问VPN和SSL VPN中使用的远程客户端组。

45. View > Objects > WINS Server Lists。允许您查看WINS服务器列表对象。这些对象表示WINS服务器，SSL VPN使用这些服务器来访问或共享远程系统上的文件。

46. View > Objects > Internal - DN Rules。允许您查看DN策略使用的DN规则。这是安全管理器使用的内部对象，不会显示在策略对象管理器中。

47. View > Objects > Internal - Client Updates。这是未显示在策略对象管理器中的用户组对象所需的内部对象。

48. 视图>对象>内部 — 标准ACE。这是ACL对象使用的标准访问控制条目的内部对象。

49. View > Objects > Internal - Extended ACE。这是ACL对象使用的扩展访问控制条目的内部对象。

其他视图权限

安全管理器包括以下附加视图权限：

1. View > Admin。允许您查看安全管理器管理设置。

2. View > CLI。允许您查看设备上配置的CLI命令，并预览将要部署的命令。

3. View > Config Archive。允许您查看配置存档中包含的配置列表。您无法查看设备配置或任何CLI命令。

4. View > Devices。允许您在“设备”视图中查看设备和所有相关信息，包括其设备设置、属性、分配等。

5. View > Device Managers。允许您为单个设备启动设备管理器的只读版本，例如用于Cisco IOS路由器的Cisco路由器和安全设备管理器(SDM)。

6. View > Topology。允许您查看在映射视图中配置的映射。

修改权限

安全管理器中的修改（读写）权限分为以下类别：

• 修改策略权限

• 修改对象权限

• 其他修改权限

修改策略权限

注意：指定修改策略权限时，请确保也选择了相应的分配和查看策略权限。

安全管理器包括以下策略修改权限：

1. Modify > Policies > Firewall。允许您修改PIX/ASA/FWSM设备、IOS路由器和Catalyst 6500/7600设备上的防火墙服务策略（位于防火墙下的策略选择器中）。防火墙服务策略的示例包括访问规则、AAA规则和检查规则。

2. Modify > Policies > Intrusion Prevention System。允许您修改IPS策略（位于IPS下的策略选择器中），包括在IOS路由器上运行的IPS的策略。此权限还允许您在“签名更新”向导（位于“工具”>“应用IPS更新”下）中调整签名。

3. Modify > Policies > Image。允许您在Apply IPS Updates（应用IPS更新）向导（位于Tools > Apply IPS Update）下为设备分配特征码更新软件包。 此权限还允许您将自动更新设置分配给特定设备（位于“工具”>“安全管理器管理”>“IPS更新”下）。

4. Modify > Policies > NAT。允许您修改PIX/ASA/FWSM设备和IOS路由器上的网络地址转换策略。NAT策略的示例包括静态规则和动态规则。

5. Modify > Policies > Site-to-Site VPN。允许您修改PIX/ASA/FWSM设备、IOS路由器和Catalyst 6500/7600设备上的站点到站点VPN策略。站点到站点VPN策略的示例包括IKE提议、IPsec提议和预共享密钥。

6. Modify > Policies > Remote Access VPN。允许您修改PIX/ASA/FWSM设备、IOS路由器和Catalyst 6500/7600设备上的远程访问VPN策略。远程访问VPN策略的示例包括IKE提议、IPsec提议和PKI策略。

7. Modify > Policies > SSL VPN。允许您修改PIX/ASA/FWSM设备和IOS路由器上的SSL VPN策略，例如SSL VPN向导。

8. 修改>策略>接口。允许您修改PIX/ASA/FWSM设备、IOS路由器、IPS传感器和Catalyst 6500/7600设备上的接口策略（位于接口下的策略选择器中）：

   1. 在PIX/ASA/FWSM设备上，此权限涵盖硬件端口和接口设置。

   2. 在IOS路由器上，此权限涵盖基本和高级接口设置，以及其他与接口相关的策略，例如DSL、PVC、PPP和拨号器策略。

   3. 在IPS传感器上，此权限涵盖物理接口和摘要映射。

   4. 在Catalyst 6500/7600设备上，此权限涵盖接口和VLAN设置。

9. Modify > Policies > Bridging。允许您修改PIX/ASA/FWSM设备上的ARP表策略（位于Platform > Bridging下的策略选择器中）。

10. Modify > Policies > Device Administration。允许您修改PIX/ASA/FWSM设备、IOS路由器和Catalyst 6500/7600设备上的设备管理策略（位于Platform > Device Admin下的Policy选择器中）：

    1. 在PIX/ASA/FWSM设备上，示例包括设备访问策略、服务器访问策略和故障切换策略。

    2. 在IOS路由器上，示例包括设备访问（包括线路访问）策略、服务器访问策略、AAA和安全设备调配。

    3. 在IPS传感器上，此权限涵盖设备访问策略和服务器访问策略。

    4. 在Catalyst 6500/7600设备上，此权限涵盖IDSM设置和VLAN访问列表。

11. Modify > Policies > Identity。允许您在Cisco IOS路由器上修改身份策略（位于Platform > Identity下的Policy选择器中），包括802.1x和网络准入控制(NAC)策略。

12. Modify > Policies > Logging。允许您修改PIX/ASA/FWSM设备、IOS路由器和IPS传感器上的日志记录策略（位于Platform > Logging下的Policy选择器中）。日志记录策略的示例包括日志记录设置、服务器设置和系统日志服务器策略。

13. Modify > Policies > Multicast。允许您修改PIX/ASA/FWSM设备上的组播策略（位于Platform > Multicast下的Policy selector中）。组播策略的示例包括组播路由和IGMP策略。

14. Modify > Policies > QoS。允许您修改Cisco IOS路由器上的QoS策略（位于Platform > Quality of Service下的Policy选择器中）。

15. Modify > Policies > Routing。允许您修改PIX/ASA/FWSM设备和IOS路由器上的路由策略（位于Platform > Routing下的Policy选择器中）。路由策略的示例包括OSPF、RIP和静态路由策略。

16. Modify > Policies > Security。允许您修改PIX/ASA/FWSM设备和IPS传感器上的安全策略（位于Platform > Security下的Policy选择器中）：

    1. 在PIX/ASA/FWSM设备上，安全策略包括反欺骗、分片和超时设置。

    2. 在IPS传感器上，安全策略包括阻止设置。

17. Modify > Policies > Service Policy Rules。允许您在PIX 7.x/ASA设备上修改服务策略规则策略（位于Platform > Service Policy Rules下的Policy选择器中）。示例包括优先级队列和IPS、QoS以及连接规则。

18. 修改>策略>用户首选项。允许您修改PIX/ASA/FWSM设备上的部署策略（位于Platform > User Preferences下的Policy选择器中）。此策略包含用于清除部署中的所有NAT转换的选项。

19. Modify > Policies > Virtual Device。允许您修改IPS设备上的虚拟传感器策略。使用此策略创建虚拟传感器。

20. Modify > Policies > FlexConfig。允许您修改FlexConfigs，这是可以部署到PIX/ASA/FWSM设备、IOS路由器和Catalyst 6500/7600设备的附加CLI命令和说明。

修改对象权限

安全管理器包括以下对象视图权限：

1. Modify > Objects > AAA Server Groups。允许您查看AAA服务器组对象。这些对象用于需要AAA服务（身份验证、授权和记帐）的策略中。

2. Modify > Objects > AAA Servers。允许您查看AAA服务器对象。这些对象代表定义为AAA服务器组一部分的各个AAA服务器。

3. 修改>对象>访问控制列表 — 标准/扩展。允许您查看标准ACL对象和扩展ACL对象。扩展ACL对象用于各种策略（例如NAT和NAC）和建立VPN访问。标准ACL对象用于OSPF和SNMP等策略以及建立VPN访问。

4. Modify > Objects > Access Control Lists - Web。用于查看Web ACL对象。Web ACL对象用于在SSL VPN策略中执行内容过滤。

5. Modify > Objects > ASA User Groups。允许您查看ASA用户组对象。这些对象在Easy VPN、远程访问VPN和SSL VPN配置的ASA安全设备上配置。

6. 修改>对象>类别。用于查看类别对象。这些对象有助于通过使用颜色轻松地识别规则表中的规则和对象。

7. Modify > Objects > Credentials。允许您查看凭证对象。这些对象在IKE扩展身份验证(Xauth)期间用于Easy VPN配置。

8. 修改>对象> FlexConfigs。允许您查看FlexConfig对象。这些对象包含带有其他脚本语言说明的配置命令，可用于配置安全管理器用户界面不支持的命令。

9. Modify > Objects > IKE Proposals。允许您查看IKE建议对象。这些对象包含远程访问VPN策略中的IKE建议所需的参数。

10. 修改>对象>检查 — 类映射 — DNS。允许您查看DNS类映射对象。这些对象匹配具有特定条件的DNS流量，以便可以对该流量执行操作。

11. 修改>对象>检查 — 类映射 — FTP。允许您查看FTP类映射对象。这些对象匹配具有特定条件的FTP流量，以便可以对该流量执行操作。

12. 修改>对象>检查 — 类映射 — HTTP。允许您查看HTTP类映射对象。这些对象匹配具有特定条件的HTTP流量，以便可以对该流量执行操作。

13. 修改>对象>检查 — 类映射 — IM。允许您查看IM类映射对象。这些对象与具有特定条件的IM流量匹配，以便可以对该流量执行操作。

14. 修改>对象>检查 — 类映射 — SIP。允许您查看SIP类映射对象。这些对象匹配具有特定条件的SIP流量，以便可以对该流量执行操作。

15. Modify > Objects > Inspect - Policy Maps - DNS。允许您查看DNS策略映射对象。这些对象用于为DNS流量创建检测映射。

16. 修改>对象>检查 — 策略映射 — FTP。允许您查看FTP策略映射对象。这些对象用于创建FTP流量的检测映射。

17. Modify > Objects > Inspect - Policy Maps - HTTP(ASA7.1.x/PIX7.1.x/IOS)。 允许您查看为ASA/PIX 7.x设备和IOS路由器创建的HTTP策略映射对象。这些对象用于为HTTP流量创建检测映射。

18. Modify > Objects > Inspect - Policy Maps - HTTP(ASA7.2/PIX7.2)。 允许您查看为ASA 7.2/PIX 7.2设备创建的HTTP策略映射对象。这些对象用于为HTTP流量创建检测映射。

19. Modify > Objects > Inspect - Policy Maps - IM(ASA7.2/PIX7.2)。 允许您查看为ASA 7.2/PIX 7.2设备创建的IM策略映射对象。这些对象用于为IM流量创建检测映射。

20. Modify > Objects > Inspect - Policy Maps - IM(IOS)。 允许您查看为IOS设备创建的IM策略映射对象。这些对象用于为IM流量创建检测映射。

21. 修改>对象>检查 — 策略映射 — SIP。允许您查看SIP策略映射对象。这些对象用于为SIP流量创建检测映射。

22. 修改>对象>检查 — 正则表达式。用于查看正则表达式对象。这些对象代表被定义为正则表达式组一部分的各个正则表达式。

23. 修改>对象>检查 — 正则表达式组。用于查看正则表达式组对象。某些类映射和检查映射使用这些对象来匹配数据包中的文本。

24. 修改>对象>检查 — TCP映射。允许您查看TCP映射对象。这些对象在两个方向上自定义对TCP流量的检查。

25. Modify > Objects > Interface Roles。用于查看接口角色对象。这些对象定义可表示不同类型设备上的多个接口的命名模式。通过接口角色，您可以将策略应用于多个设备上的特定接口，而无需手动定义每个接口的名称。

26. Modify > Objects > IPsec Transform Sets。允许您查看IPsec转换集对象。这些对象包括安全协议、算法和其他设置的组合，这些设置可指定IPsec隧道中的数据如何进行加密和身份验证。

27. 修改>对象> LDAP属性映射。允许您查看LDAP属性映射对象。这些对象用于将自定义（用户定义的）属性名称映射到思科LDAP属性名称。

28. Modify > Objects > Networks/Hosts。可用于查看网络/主机对象。这些对象是代表网络、主机或两者的IP地址的逻辑集合。网络/主机对象使您能够定义策略，而无需单独指定每个网络或主机。

29. 修改>对象> PKI注册。允许您查看PKI注册对象。这些对象定义在公共密钥基础设施内运行的证书颁发机构(CA)服务器。

30. Modify > Objects > Port Forwarding Lists。允许您查看端口转发列表对象。这些对象定义远程客户端上的端口号到应用IP地址和SSL VPN网关后端口的映射。

31. Modify > Objects > Secure Desktop Configurations。允许您查看安全桌面配置对象。这些对象是可重用的命名组件，SSL VPN策略可以引用这些组件，以提供可靠的方法，消除在SSL VPN会话期间共享的所有敏感数据跟踪。

32. 修改>对象>服务 — 端口列表。允许您查看端口列表对象。这些对象包含一个或多个端口号范围，用于简化创建服务对象的过程。

33. 修改>对象>服务/服务组。用于查看服务和服务组对象。这些对象是协议和端口定义的映射，这些定义描述了策略使用的网络服务，例如Kerberos、SSH和POP3。

34. Modify > Objects > Single Sign On Servers。允许您查看单点登录服务器对象。单点登录(SSO)允许SSL VPN用户一次性输入用户名和密码，并能够访问多个受保护服务和Web服务器。

35. 修改>对象> SLA监控器。允许您查看SLA监控器对象。运行版本7.2或更高版本的PIX/ASA安全设备使用这些对象来执行路由跟踪。此功能提供了一种跟踪主路由可用性并在主路由失败时安装备用路由的方法。

36. Modify > Objects > SSL VPN Customizations。允许您查看SSL VPN自定义对象。这些对象定义如何更改向用户显示的SSL VPN页面的外观，如登录/注销和主页。

37. 修改>对象> SSL VPN网关。允许您查看SSL VPN网关对象。这些对象定义参数，使网关能够用作连接到SSL VPN中受保护资源的代理。

38. 修改>对象>样式对象。可用于查看样式对象。这些对象允许您配置样式元素（如字体特征和颜色），以自定义SSL VPN页面的外观，当SSL VPN用户连接到安全设备时，该页面对SSL VPN用户显示。

39. 修改>对象>文本对象。用于查看自由格式文本对象。这些对象包括名称和值对，其中值可以是单个字符串、字符串列表或字符串表。

40. 修改>对象>时间范围。用于查看时间范围对象。创建基于时间的ACL和检测规则时，使用这些对象。在定义ASA用户组时，也使用它们来将VPN访问限制在一周内的特定时间。

41. Modify > Objects > Traffic Flows。允许您查看流量对象。这些对象定义特定流量供PIX 7.x/ASA 7.x设备使用。

42. 修改>对象> URL列表。允许您查看URL列表对象。这些对象定义成功登录后在门户页面上显示的URL。这样，用户可以在无客户端访问模式下操作时访问SSL VPN网站上的可用资源。

43. 修改>对象>用户组。用于查看用户组对象。这些对象定义在Easy VPN拓扑、远程访问VPN和SSL VPN中使用的远程客户端组

44. 修改>对象> WINS服务器列表。允许您查看WINS服务器列表对象。这些对象表示WINS服务器，SSL VPN使用这些服务器来访问或共享远程系统上的文件。

45. Modify > Objects > Internal - DN Rules。允许您查看DN策略使用的DN规则。这是安全管理器使用的内部对象，不会显示在策略对象管理器中。

46. 修改>对象>内部 — 客户端更新。这是未显示在策略对象管理器中的用户组对象所需的内部对象。

47. Modify > Objects > Internal - Standard ACE。这是ACL对象使用的标准访问控制条目的内部对象。

48. Modify > Objects > Internal - Extended ACE。这是ACL对象使用的扩展访问控制条目的内部对象。

其他修改权限

安全管理器包括其他修改权限，如下所示：

1. Modify > Admin。允许您修改安全管理器管理设置。

2. Modify > Config Archive。允许您修改配置存档中的设备配置。此外，它还允许您将配置添加到存档并自定义配置存档工具。

3. Modify > Devices。允许您添加和删除设备，以及修改设备属性和属性。要发现正在添加的设备上的策略，还必须启用“导入”权限。此外，如果启用Modify > Devices权限，请确保还启用Assign > Policies > Interfaces权限。

4. 修改>层次结构。允许您修改设备组。

5. Modify > Topology。允许您修改“地图”视图中的地图。

分配权限

安全管理器包括策略分配权限，如下所示：

1. Assign > Policies > Firewall。允许您将防火墙服务策略（位于Firewall下的Policy selector中）分配给PIX/ASA/FWSM设备、IOS路由器和Catalyst 6500/7600设备。防火墙服务策略的示例包括访问规则、AAA规则和检查规则。

2. Assign > Policies > Intrusion Prevention System。允许您分配IPS策略（位于IPS下的策略选择器中），包括在IOS路由器上运行的IPS的策略。

3. Assign > Policies > Image。安全管理器当前未使用此权限。

4. Assign > Policies > NAT。允许将网络地址转换策略分配给PIX/ASA/FWSM设备和IOS路由器。NAT策略的示例包括静态规则和动态规则。

5. Assign > Policies > Site-to-Site VPN。允许您为PIX/ASA/FWSM设备、IOS路由器和Catalyst 6500/7600设备分配站点到站点VPN策略。站点到站点VPN策略的示例包括IKE提议、IPsec提议和预共享密钥。

6. Assign > Policies > Remote Access VPN。允许您为PIX/ASA/FWSM设备、IOS路由器和Catalyst 6500/7600设备分配远程访问VPN策略。远程访问VPN策略的示例包括IKE提议、IPsec提议和PKI策略。

7. Assign > Policies > SSL VPN。允许您将SSL VPN策略分配给PIX/ASA/FWSM设备和IOS路由器，例如SSL VPN向导。

8. 分配>策略>接口。允许您将接口策略（位于Interfaces下的Policy selector中）分配给PIX/ASA/FWSM设备、IOS路由器和Catalyst 6500/7600设备：

   1. 在PIX/ASA/FWSM设备上，此权限涵盖硬件端口和接口设置。

   2. 在IOS路由器上，此权限涵盖基本和高级接口设置，以及其他与接口相关的策略，例如DSL、PVC、PPP和拨号器策略。

   3. 在Catalyst 6500/7600设备上，此权限涵盖接口和VLAN设置。

9. Assign > Policies > Bridging。允许您将ARP表策略（位于Platform > Bridging下的Policy选择器中）分配到PIX/ASA/FWSM设备。

10. Assign > Policies > Device Administration。允许您将设备管理策略（位于Platform > Device Admin下的Policy选择器中）分配给PIX/ASA/FWSM设备、IOS路由器和Catalyst 6500/7600设备：

    1. 在PIX/ASA/FWSM设备上，示例包括设备访问策略、服务器访问策略和故障切换策略。

    2. 在IOS路由器上，示例包括设备访问（包括线路访问）策略、服务器访问策略、AAA和安全设备调配。

    3. 在IPS传感器上，此权限涵盖设备访问策略和服务器访问策略。

    4. 在Catalyst 6500/7600设备上，此权限涵盖IDSM设置和VLAN访问列表。

11. Assign > Policies > Identity。允许您将身份策略（位于Platform > Identity下的Policy选择器中）分配给Cisco IOS路由器，包括802.1x和网络准入控制(NAC)策略。

12. Assign > Policies > Logging。允许您将日志记录策略（位于Platform > Logging下的Policy选择器中）分配给PIX/ASA/FWSM设备和IOS路由器。日志记录策略的示例包括日志记录设置、服务器设置和系统日志服务器策略。

13. Assign > Policies > Multicast。允许您将组播策略（位于Platform > Multicast下的Policy selector中）分配给PIX/ASA/FWSM设备。组播策略的示例包括组播路由和IGMP策略。

14. Assign > Policies > QoS。允许您将QoS策略（位于Platform > Quality of Service下的Policy选择器中）分配给Cisco IOS路由器。

15. Assign > Policies > Routing。允许您将路由策略（位于Platform > Routing下的Policy选择器中）分配给PIX/ASA/FWSM设备和IOS路由器。路由策略的示例包括OSPF、RIP和静态路由策略。

16. Assign > Policies > Security。允许您向PIX/ASA/FWSM设备分配安全策略（位于Platform > Security下的Policy选择器中）。安全策略包括反欺骗、分片和超时设置。

17. Assign > Policies > Service Policy Rules。允许将服务策略规则策略（位于Platform > Service Policy Rules下的Policy选择器中）分配到PIX 7.x/ASA设备。示例包括优先级队列和IPS、QoS以及连接规则。

18. Assign > Policies > User Preferences。允许您将部署策略（位于Platform > User Preferences下的Policy选择器中）分配到PIX/ASA/FWSM设备。此策略包含用于清除部署中的所有NAT转换的选项。

19. Assign > Policies > Virtual Device。允许您向IPS设备分配虚拟传感器策略。使用此策略创建虚拟传感器。

20. Assign > Policies > FlexConfig。允许您分配FlexConfigs，这是可以部署到PIX/ASA/FWSM设备、IOS路由器和Catalyst 6500/7600设备的附加CLI命令和说明。

注意：指定分配权限时，请确保也选择了相应的视图权限。

批准权限

安全管理器提供批准权限，如下所示：

1. Approve > CLI。允许您批准部署作业中包含的CLI命令更改。

2. Approve > Policy。允许您批准在工作流活动中配置的策略中包含的配置更改。

了解CiscoWorks角色

在CiscoWorks公共服务中创建用户时，会为其分配一个或多个角色。与每个角色关联的权限决定了每个用户有权在安全管理器中执行的操作。

以下主题介绍CiscoWorks角色：

• CiscoWorks Common Services默认角色

• 在CiscoWorks Common Services中为用户分配角色

CiscoWorks Common Services默认角色

CiscoWorks Common Services包含以下默认角色：

1. 帮助台 — 帮助台用户可以查看（但不能修改）设备、策略、对象和拓扑图。

2. Network Operator — 除了查看权限之外，网络操作员还可以查看CLI命令和安全管理器管理设置。网络操作员还可以修改配置存档并向设备发出命令（例如ping）。

3. Approver — 除查看权限外，审批人还可以批准或拒绝部署作业。它们无法执行部署。

4. 网络管理员 — 网络管理员拥有完整的查看和修改权限，但修改管理设置除外。它们可以发现设备以及这些设备上配置的策略，将策略分配给设备，并向设备发出命令。网络管理员无法批准活动或部署作业；但是，他们可以部署其他人批准的作业。

5. 系统管理员 — 系统管理员拥有对所有安全管理器权限的完全访问权限，包括修改、策略分配、活动和作业批准、发现、部署以及向设备发出命令。

注意：如果在服务器上安装了其他应用程序，则在Common Services中可能会显示其他角色（如导出数据）。导出数据角色供第三方开发人员使用，安全管理器不使用此角色。

提示：  虽然无法更改CiscoWorks角色的定义，但您可以定义将哪些角色分配给每个用户。有关详细信息，请参阅在CiscoWorks Common Services中为用户分配角色。

在CiscoWorks Common Services中为用户分配角色

CiscoWorks Common Services使您能够定义将哪些角色分配给每个用户。通过更改用户的角色定义，可以更改此用户有权在安全管理器中执行的操作的类型。例如，如果您指定了“帮助台”角色，则用户只能查看操作，不能修改任何数据。但是，如果您分配了网络操作员角色，用户也可以修改配置存档。您可以为每个用户分配多个角色。

注意：必须在对用户权限进行更改后重新启动安全管理器。

步骤:

1. 在Common Services中，选择Server > Security，然后从TOC中选择Single-Server Trust Management > Local User Setup。

   提示：要从安全管理器中访问“本地用户设置”(Local User Setup)页面，请选择工具(Tools)>安全管理器管理(Security Manager Administration)>服务器安全(Server Security)，然后点击本地用户设置(Local User Setup)。

2. 选中现有用户旁边的复选框，然后单击Edit。

3. 在“用户信息”页面上，通过单击复选框选择要分配给此用户的角色。

   有关每个角色的详细信息，请参阅CiscoWorks常见服务默认角色。

4. 单击OK保存更改。

5. 重新启动安全管理器。

了解Cisco Secure ACS角色

与CiscoWorks相比，Cisco Secure ACS在管理安全管理器权限方面提供了更大的灵活性，因为它支持您可以配置的特定于应用的角色。每个角色由一组权限组成，这些权限确定对安全管理器任务的授权级别。在Cisco Secure ACS中，您向每个用户组分配角色（或者也可以向单个用户分配角色），从而使该组中的每个用户能够执行由为该角色定义的权限所授权的操作。

此外，您可以将这些角色分配到Cisco Secure ACS设备组，从而允许在不同设备集上区分权限。

注意：Cisco Secure ACS设备组与安全管理器设备组无关。

以下主题介绍Cisco Secure ACS角色：

• Cisco Secure ACS默认角色

• 自定义Cisco Secure ACS角色

Cisco Secure ACS默认角色

Cisco Secure ACS包含与CiscoWorks相同的角色(请参阅了解CiscoWorks角色)，以及以下附加角色：

1. Security Approver — 安全审批人可以查看（但不能修改）设备、策略、对象、映射、CLI命令和管理设置。此外，安全审批人可以批准或拒绝活动中包含的配置更改。他们不能批准或拒绝部署作业，也不能执行部署。

2. 安全管理员 — 除拥有查看权限外，安全管理员还可以修改设备、设备组、策略、对象和拓扑图。它们还可以将策略分配给设备和VPN拓扑，并执行发现以将新设备导入系统。

3. 网络管理员 — 除了查看权限之外，网络管理员还可以修改配置存档、执行部署并向设备发出命令。

注意：Cisco Secure ACS网络管理员角色中包含的权限与CiscoWorks网络管理员角色中包含的权限不同。有关详细信息，请参阅了解CiscoWorks角色。

与CiscoWorks不同，Cisco Secure ACS允许您自定义与每个安全管理器角色关联的权限。有关修改默认角色的详细信息，请参阅自定义Cisco Secure ACS角色。

注意：必须安装Cisco Secure ACS 3.3或更高版本才能进行安全管理器授权。

自定义Cisco Secure ACS角色

Cisco Secure ACS允许您修改与每个安全管理器角色关联的权限。您还可以通过创建专门的用户角色来定制Cisco Secure ACS，这些角色具有针对特定安全管理器任务的权限。

注意：必须在对用户权限进行更改后重新启动安全管理器。

步骤:

1. 在Cisco Secure ACS中，点击导航栏上的Shared Profile Components。

2. 单击“共享组件”页面上的思科安全管理器。系统将显示为安全管理器配置的角色。

3. 执行以下操作之一：

   • 要创建角色，请单击Add。转到第 4 步。

   • 要修改现有角色，请点击该角色。转到第 5 步。

4. 输入角色名称以及说明（可选）。

5. 选择并取消选中权限树中的复选框以定义此角色的权限

   选中树的一个分支的复选框将选择该分支中的所有权限。例如，选择Assign将选择所有分配权限。

   有关安全管理器权限的完整列表，请参阅安全管理器权限。

   注意：选择修改、批准、分配、导入、控制或部署权限时，还必须选择相应的视图权限；否则，安全管理器将无法正常运行。

6. 单击 Submit 以保存更改。

7. 重新启动安全管理器。

安全管理器中权限和角色之间的默认关联

下表显示了安全管理器权限如何与CiscoWorks常见服务角色和Cisco Secure ACS中的默认角色相关联。

权限	角色
	系统管理员	安全管理员(ACS)	安全审批人(ACS)	网络管理员(CW)	网络管理员(ACS)	审批人		网络操作员	帮助台
查看权限
查看设备	Yes	Yes	Yes	Yes	Yes	Yes	Yes	Yes
查看策略	Yes	Yes	Yes	Yes	Yes	Yes	Yes	Yes
查看对象	Yes	Yes	Yes	Yes	Yes	Yes	Yes	Yes
查看拓扑	Yes	Yes	Yes	Yes	Yes	Yes	Yes	Yes
查看CLI	Yes	Yes	Yes	Yes	Yes	Yes	Yes	无
查看管理员	Yes	Yes	Yes	Yes	Yes	Yes	Yes	无
查看配置存档	Yes	Yes	Yes	Yes	Yes	Yes	Yes	Yes
查看设备管理器	Yes	Yes	Yes	Yes	Yes	Yes	Yes	无
修改权限
修改设备	Yes	Yes	无	Yes	无	无	无	无
修改层次结构	Yes	Yes	无	Yes	无	无	无	无
修改策略	Yes	Yes	无	Yes	无	无	无	无
修改图像	Yes	Yes	无	Yes	无	无	无	无
修改对象	Yes	Yes	无	Yes	无	无	无	无
修改拓扑	Yes	Yes	无	Yes	无	无	无	无
修改管理员	Yes	无	无	无	无	无	无	无
修改配置存档	Yes	Yes	无	Yes	Yes	无	Yes	无
其他权限
分配策略	Yes	Yes	无	Yes	无	无	无	无
批准策略	Yes	无	Yes	无	无	无	无	无
批准CLI	Yes	无	无	无	无	Yes	无	无
发现（导入）	Yes	Yes	无	Yes	无	无	无	无
部署	Yes	无	无	Yes	Yes	无	无	无
控制	Yes	无	无	Yes	Yes	无	Yes	无
提交	Yes	Yes	无	Yes	无	无	无	无

相关信息

• Cisco Security Manager支持页面
• 技术支持和文档 - Cisco Systems