Безопасность : Многофункциональные устройства защиты Cisco ASA серии 5500

ASA: Пример настройки пересылки сетевого трафика от ASA к CSC-A257SSM

20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв


Содержание


Введение

Этот документ предоставляет пример конфигурации для того, как передать сетевой трафик от многофункционального устройства защиты Cisco ASA серии 5500 (ASA) к Модулю Сервисов безопасности Безопасности содержания и Контроля (SSM CSC).

SSM CSC обеспечивает защиту против вирусов, шпионского ПО, спама и другого нежелательного трафика. Это выполняет это путем сканирования FTP, HTTP, POP3 и трафика SMTP, который отклонен к нему устройством адаптивной безопасности. Чтобы вынудить ASA отклонить трафик к SSM CSC, необходимо использовать Модульную Систему политик.

Документ ASA: Передайте Сетевой трафик от ASA до Примера конфигурации SSM AIP для передачи сетевого трафика, который проходит через многофункциональное устройство защиты Cisco ASA серии 5500 (ASA) к Усовершенствованному Модулю Сервисов безопасности Контроля и Предотвращения (SSM AIP) (IPS) модуль.

Примечание: SSM CSC может просмотреть FTP, HTTP, POP3 и трафик SMTP только, когда порт назначения пакета, который запрашивает соединение, является известным портом для указанного протокола. SSM CSC может просмотреть только эти соединения:

  • FTP - соединения открылись к порту TCP 21

  • Соединения HTTP открылись к порту TCP 80

  • Соединения POP3 открылись к порту TCP 110

  • Соединения SMTP открылись к порту TCP 25

Предварительные условия

Требования

Убедитесь, что вы обеспечили выполнение следующих требований, прежде чем попробовать эту конфигурацию:

  • Основное понимание того, как настроить серию 5500 Cisco ASA, работает под управлением ПО версии 7.1 и позже.

  • SSM CSC был установлен.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного обеспечения и оборудования:

  • ASA 5520 с версией программного обеспечения 7.1 и позже

  • CSC-SSM-10 с версией программного обеспечения 6.1

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Более подробную информацию о применяемых в документе обозначениях см. в описании условных обозначений, используемых в технической документации Cisco.

Общие сведения

SSM CSC поддерживает файл, который содержит профили подписи подозрительного содержания, обновляемого регулярно от сервера обновления в Trend Micro. SSM CSC просматривает трафик, который он получает от устройства адаптивной безопасности и сравнивает его с профилями содержания, которые он получает из Trend Micro. Это тогда вперед легитимное содержание на устройстве адаптивной безопасности для маршрутизации или содержание блоков и отчётов, которое подозрительно.

По умолчанию SSM CSC идет с базовой лицензией, которая предоставляет эти функции:

  • Обнаруживает и принимает меры на вирусах и вредоносном ПО в сетевом трафике

  • Блоки сжались или очень большие файлы, которые превышают указанные параметры

  • Просмотры для и удаляют шпионское ПО, рекламное ПО и другие типы grayware

Кроме того, если это оборудовано Плюс Лицензия, это также выполняет эти задачи:

  • Уменьшает спам, и защитите против мошенничества с фишингом в вашем SMTP и трафике POP3

  • Устанавливает фильтры контента, которые позволяют вам позволить или запретить почтовый трафик, которые содержат ключевые слова или фразы

  • Фильтрует/Блокирует URL, к которым вы не хотите, чтобы пользователи обратились, или URL, которые, как известно, скрылись или злонамеренные цели

Примечание: SSM CSC может просмотреть передачи файла FTP только, когда контроль FTP включен на ASA. По умолчанию контроль FTP включен.

Примечание: SSM CSC не может поддержать Перехват управления при отказе с синхронизацией состояния, потому что SSM CSC не поддерживает информацию о соединении, и поэтому не может предоставить модулю аварийного переключения необходимую информацию для Перехвата управления при отказе с синхронизацией состояния. Соединения, которые просматривает SSM CSC, отброшены, когда устройство безопасности, в котором SSM CSC установлен сбои. Когда резервное устройство адаптивной безопасности становится активным, оно передает просмотренный трафик к SSM CSC, и соединения перезагружены.

Настройка

В сети, в которой устройство адаптивной безопасности развернуто с SSM CSC, вы настраиваете устройство адаптивной безопасности для передачи к SSM CSC только типов трафика, что вы хотите быть просмотренными.

Примечание: Используйте инструмент Command Lookup (только для зарегистрированных пользователей) для того, чтобы получить более подробную информацию о командах, использованных в этом разделе.

ASA - блок-схема SSM CSC

Эта схема показывает поток трафика в ASA и SSM CSC:

http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/99141-asa-traffic-csc-ssm-config-diagram1.gif

В данном примере клиенты могут быть пользователями сети, кто обращается к веб-сайту, загружает файлы от сервера FTP или получает почту из сервера POP3.

В этой конфигурации это то, как трафики:

  1. Клиент инициирует запрос.

  2. Устройство адаптивной безопасности получает запрос и вперед это к Интернету.

  3. Когда запрос содержимого получен, устройство адаптивной безопасности определяет, определяет ли его политика обслуживания этот тип содержимого как тот, который должен быть отклонен к SSM CSC для сканирования и делает так в подходящих случаях.

  4. SSM CSC получает содержание от устройства адаптивной безопасности, просматривает его и сравнивает его с его последним обновлением фильтров контента Trend Micro.

  5. Если содержание подозрительно, SSM CSC блокирует содержание и сообщает о событии. Если содержание не подозрительно, SSM CSC вперед запрос содержимого назад к устройству адаптивной безопасности для маршрутизации.

Начальная настройка CSC

В начальной настройке должны быть настроены несколько параметров. Удостоверьтесь, что вы собрали информацию, требуемую для этих параметров перед началом.

Как первый шаг для настройки SSM CSC запустите Cisco ASDM. По умолчанию можно обратиться к SSM CSC через управление IP-адресами ASA в https://192.168.1.1/. Необходимо гарантировать, что ПК и интерфейс управления ASA находятся в той же сети. Также можно загрузить Модуль запуска ASDM для последующих доступов.

Настройте эти параметры с ASDM:

  1. Однажды в главном окне ASDM, выберите Configuration> Trend Micro Content Security> Wizard Setup и нажмите Launch Setup Wizard.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/99141-asa-traffic-csc-ssm-config-1.gif

  2. Ключ активации:

    Первый шаг для получения ключа активации должен определить Ключ авторизации продукта (PAK), поставленный наряду с продуктом. Это содержит штрихкод и 11 шестнадцатеричных символов. Например, типовой PAK может составить 120106C7D4 А.

    Используйте PAK для регистрации SSM CSC при Регистрации Лицензии на продукты (только зарегистрированные клиенты) веб-страница. После регистрации вы получаете ключи активации по электронной почте.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/99141-asa-traffic-csc-ssm-config-2.gif

  3. Параметры IP порта управления:

    Задайте IP-адрес, маску подсети и IP-адрес шлюза для Интерфейса управления CSC.

    Серверы DNS — IP-адрес для Основного сервера DNS.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/99141-asa-traffic-csc-ssm-config-3.gif

  4. Хост и Доменные имена — Задают имя хоста, а также доменное имя SSM CSC.

    Входящий домен — Доменное имя, используемое локальным почтовым сервером в качестве входящего домена электронной почты.

    Примечание: Политика защиты от спама применена только к почтовому трафику, которые входят в этот домен.

    Настройки уведомлений — адрес электронной почты Администратора и IP-адрес e-mail сервер и порт, который будет использоваться для уведомлений.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/99141-asa-traffic-csc-ssm-config-4.gif

  5. Параметры доступа хоста управления:

    Введите IP-адрес и маску для каждой подсети и хоста, который должен иметь управляющего доступ к SSM CSC.

    Примечание: По умолчанию все сети имеют управляющего доступ к SSM CSC. Для целей обеспечения безопасности Cisco рекомендует ограничить доступ к определенным подсетям или хостам управления.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/99141-asa-traffic-csc-ssm-config-5.gif

  6. Новый пароль для SSM CSC:

    Измените пароль по умолчанию, cisco, к новому паролю для управляющего доступ.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/99141-asa-traffic-csc-ssm-config-6.gif

  7. В шаге 6 Мастера настройки CSC задайте тип трафика, который будет просмотрен.

    Устройство адаптивной безопасности отклоняет пакеты к SSM CSC после того, как политика межсетевого экрана применена, но прежде чем пакеты выходят из исходящего интерфейса. Например, пакеты, которые заблокированы списком доступа, не переданы к SSM CSC.

    Настройте политику обслуживания для определения, которые торгуют устройством адаптивной безопасности, должен отклонить к SSM CSC. SSM CSC может просмотреть HTTP, POP3, FTP и трафик SMTP, передаваемый известным портам для тех протоколов.

    Для упрощения процесса начальной конфигурации эта процедура создает политику глобального сервиса, которая отклоняет весь трафик для поддерживаемых протоколов к SSM CSC, и входящему и исходящему. Поскольку сканирование всего трафика, который проникает через устройство адаптивной безопасности, может уменьшить производительность устройства адаптивной безопасности и SSM CSC, вы хотите пересмотреть эту политику безопасности позже. Например, не обычно необходимо просмотреть весь трафик, который прибывает из вашей внутренней сети, потому что это прибывает из надежного источника. При совершенствовании политики обслуживания так, чтобы SSM CSC просмотрел только трафик из недоверяемых источников, можно достигнуть целей безопасности и увеличить производительность устройства адаптивной безопасности и SSM CSC.

    Выполните эти шаги для создания политики глобального сервиса, которая определяет трафик, который будет просмотрен:

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/99141-asa-traffic-csc-ssm-config-7.gif

    1. Нажмите Add для добавления нового типа трафика.

    2. Выберите Global из Интерфейсного выпадающего списка.

    3. Оставьте Источник и набор Полей Назначение Любому.

    4. В Сервисе, нажимают замещающий знак (...) кнопка с зависимой фиксацией. В этом диалоговом окне выберите предопределенный сервис или нажмите Add для определения нового сервиса.

    5. В, Если карта CSC сбои, то область, выбирают, должно ли устройство адаптивной безопасности permit or deny выбранный трафик, если SSM CSC недоступен.

    6. Нажмите OK для возврата к окну Traffic Selection for CSC Scan.

    7. Нажмите кнопку Next.

  8. В шаге 7 Мастера настройки CSC рассмотрите параметры конфигурации, вы ввели для SSM CSC.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/99141-asa-traffic-csc-ssm-config-8.gif

    Если вы удовлетворены этими параметрами настройки, нажмите Finish.

    ASDM показывает сообщение, которое указывает, что устройство CSC теперь активно.

    По умолчанию SSM CSC настроен для выполнения просмотров безопасности содержания, включенных лицензией, которую вы купили, который может включать антивирус, защиту от спама, защиту от фишинга и фильтрацию содержимого. Это также настроено для получения периодических обновлений от сервера обновления Trend Micro.

    Если включено в лицензию вы купили, можно создать пользовательские настройки для Блокирования URL - адреса и фильтрации URL-адресов, а также параметров FTP и электронной почты. Посмотрите Руководство администратора SSM Безопасности содержания и Контроля Cisco для получения дополнительной информации.

Как настроить ASA для отклонения трафика к SSM CSC

Чтобы вынудить ASA отклонить трафик к SSM CSC, необходимо использовать Модульную Систему политик. Выполните эти шаги для выполнения идентификации и диверсии трафика к SSM CSC:

  1. Создайте список доступа, который совпадает с трафиком, который вы хотите просмотренный SSM CSC, для отклонения трафика к SSM CSC, команде with the access-list extended:

    hostname(config)#access-list acl-name extended {deny | permit} protocol src_ip mask dest_ip mask operator port
    
    
  2. Создайте карту классов для определения трафика, который должен быть отклонен к SSM CSC с командой class-map:

    hostname(config)#class-map class_map_name
    
    
  3. Однажды в режиме конфигурации карты классов, используйте команду match access-list для определения трафика с использованием access-list, ранее заданного:

    hostname(config-cmap)#match access-list acl-name
    
    hostname(config-cmap)#exit
    
  4. Создайте карту политик для передачи трафика к SSM CSC с командой policy-map:

    hostname(config)#policy-map policy_map_name
    
    
  5. Однажды в режиме конфигурации карты политик, используйте команду класса для определения карты классов, созданной на предыдущем этапе, который определяет трафик, который будет просмотрен:

    hostname(config-pmap)#class class_map_name
    
    
  6. Однажды в режиме конфигурации класса карты политик, можно настроить их:

    • Если вы хотите принудить предел на клиента для одновременных подключений, которые устройство адаптивной безопасности отклоняет к SSM CSC, используйте команду set connection, следующим образом:

      hostname(config-pmap-c)#set connection per-client-max n
       

      где n является максимальными одновременными подключениями, устройство адаптивной безопасности обеспечивает каждого клиента. Эта команда препятствует тому, чтобы одиночный клиент злоупотребил сервисами SSM CSC или любого сервера, защищенного SSM, который включает предотвращение попыток атак DoS на HTTP, FTP, POP3 или серверы SMTP, которые защищает SSM CSC.

    • Используйте команду csc, чтобы управлять, как ASA обрабатывает трафик, когда SSM CSC недоступен:

      hostname(config-pmap-c)#csc {fail-close | fail-open}
       

      где завершение сбоя указывает, что ASA должен заблокировать трафик, если SSM CSC отказывает и напротив, открытый для сбоя указывает, что ASA должен позволить трафик, если отказывает SSM CSC.

      Примечание: Это применяется к трафику, выбранному картой классов только. На другой трафик, не передаваемый SSM CSC, не влияет сбой SSM CSC.

  7. Наконец, примените карту политик глобально или к определенному интерфейсу с командой service-policy:

    hostname(config-pmap-c)#service-policy policy_map_name [global | interface interface_ID]
     

    где interface_ID является названием, назначенным на интерфейс с командой nameif.

    Примечание: Допускается только одна глобальная политика. Можно отвергнуть глобальную политику на интерфейсе с приложением политики обслуживания к тому интерфейсу. К каждому интерфейсу может применяться только одна карта политик.

Схема сети

Эта схема является примером ASA 5500, настроенного для этих параметров:

http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/99141-asa-traffic-csc-ssm-config-9.gif

Сводка схемы сети иллюстрирует их:

  • Соединение HTTP к внешним сетям

  • FTP - соединение от клиентов в устройстве безопасности к серверам вне устройства безопасности

  • Клиенты POP3 от клиентов в устройстве безопасности к серверам вне устройства безопасности.

  • Входящие соединения SMTP, определяемые к внутреннему почтовому серверу

Конфигурация ASA

ASA 5520
ciscoasa(config)#show running-config
: Saved
:
ASA Version 8.0(2) 
!
hostname ciscoasa
domain-name Security.lab.com
enable password 2kxsYuz/BehvglCF encrypted
no names
dns-guard
!
interface GigabitEthernet0/0
 speed 100
 duplex full
 nameif outside
 security-level 0
 ip address 172.30.21.222 255.255.255.0 
!
interface GigabitEthernet0/1
 description INSIDE
 nameif inside
 security-level 100
 ip address 192.168.5.1 255.255.255.0 
!


!--- Output suppressed

access-list csc-acl remark Exclude CSC module traffic from being scanned
access-list csc-acl deny ip host 10.89.130.241 any

!--- In order to improve the performance of the ASA and CSC Module.
!--- Any traffic from CSC Module is excluded from the scanning. 

access-list csc-acl remark Scan Web & Mail traffic

access-list csc-acl permit tcp any any eq www
access-list csc-acl permit tcp any any eq smtp
access-list csc-acl permit tcp any any eq pop3

!

!--- All Inbound and Outbound traffic for WEB, Mail services is scanning. 


access-list csc-acl-ftp permit tcp any any eq ftp

!--- All Inbound and Outbound traffic for FTP service is scanning. 
 
class-map csc-class 
match access-list csc-acl 
!

class-map csc-ftp-class 
match access-list csc-acl-ftp
! 
policy-map global_policy
class csc-class
csc fail-open

class csc-ftp-class
csc fail-open
policy-map global_policy
 class inspection_default

!--- Inspect FTP traffic for scanning.

  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect rsh 
  inspect sqlnet 
  inspect skinny  
  inspect sunrpc 
  inspect xdmcp 
  inspect sip  
  inspect netbios 
  inspect tftp 
  inspect icmp 
  inspect http 
service-policy global_policy global


!--- Output suppressed

Домашняя страница CSC

Настройка CSC

Антивирусное ПО Trend Micro Interscan для SSM CSC Cisco обеспечивает защиту для главных протоколов трафика, таких как SMTP, HTTP, и FTP, а также трафик POP3, чтобы гарантировать, что сотрудники случайно не представляют вирусы от своих персональных почтовых ящиков.

Выберите Configuration> Trend Micro Content Security для открытия SSM CSC. Из Меню конфигурации выберите из этих параметров конфигурации: http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/99141-asa-traffic-csc-ssm-config-10.gif

  • Настройка CSC — Запускает Мастера настройки, чтобы установить и настроить SSM CSC

  • Сеть — Настраивает веб-сканирование, блокирование файла, фильтрацию URL-адресов и Блокирование URL - адреса

  • Почта — Настраивает сканирование, фильтрацию содержимого и предотвращение спама для поступления и выхода электронная почта POP3 и SMTP

  • Передача файла — Настраивает сканирование файла и блокирование

  • Обновления — Планируют обновления для компонентов сканирования безопасности содержания, например, файла образца вируса, механизма просмотра, и т.д

Сеть, Почта, Передача файла и опции Updates описаны более подробно в этих главах:

Данный пример показывает, как настроить SSM CSC для сканирования входящего сообщения SMTP к сети внутренней сети.

Входящие сообщения SMTP отклонены к SSM CSC для сканирования. В данном примере весь трафик снаружи для доступа к внутреннему почтовому серверу (192.168.5.2/24) для сервисов SMTP отклонен к SSM CSC.

access-list csc_inbound extended permit tcp any host 192.168.5.2 eq smtp 

Эти настройки по умолчанию дают вам некоторую защиту для вашего почтового трафика после установки Антивирусного ПО Trend Micro Interscan для SSM CSC Cisco.

Конфигурация SMTP

Конфигурация SMTP Trend Micro

Выполните эти шаги для настройки SSM CSC для сканирования входящего сообщения SMTP с помощью ASDM:

  1. Выберите Configuration> Trend Micro Content Security> Mail in ASDM и нажмите Configure Incoming Scan для отображения окна SMTP Incoming Message Scan/Target.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/99141-asa-traffic-csc-ssm-config-11.gif

  2. Окно берет вас к Антивирусному ПО Trend Micro Interscan для Приглашения регистрации SSM CSC Cisco. Введите Пароль SSM CSC.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/99141-asa-traffic-csc-ssm-config-12.gif

  3. Окно SMTP Incoming Message Scan имеет эти три представления:

    • Цель

    • Действие

    • Уведомление

    Можно переключиться среди представлений при нажатии соответствующей вкладки для получения информации, вы хотите. Активное название вкладки появляется в коричневом тексте; неактивные названия вкладки появляются в черном тексте. Используйте все три вкладки для настройки поиска вирусов входящего трафика SMTP.

    Нажмите Target, чтобы позволить вам определять область действия, на которое действуется.

    Просмотр Входящего сообщения SMTP включен по умолчанию.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/99141-asa-traffic-csc-ssm-config-13.gif

  4. В разделе Сканирования По умолчанию Все поддающиеся сканированию файлы выбраны по умолчанию. Это просматривает независимо от расширений файла.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/99141-asa-traffic-csc-ssm-config-14.gif

  5. Настройте обработку сжатого файла SMTP для входящей почты.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/99141-asa-traffic-csc-ssm-config-15.gif

    Настройте для пропуска сканирования сжатых файлов, когда один из них будет истинен:

    • Распакованное количество файла больше, чем 200.

    • Распакованный размер файла превышает 20 МБ.

    • Количество уровней сжатия превышает три.

    • Соотношение размера распакованного или сжатого файла больше, чем от 100 до 1.

    • Сжатые файлы превышают заданные критерии сканирования.

    Модифицируйте параметры по умолчанию Распакованного количества файла как 300 и Распакованный размер файла как 30 МБ.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/99141-asa-traffic-csc-ssm-config-16.gif

  6. В Просмотре для раздела Spyware/Grayware этих окон, который показали в шаге 5, выбирают типы grayware, который вы хотите обнаруженный Антивирусным ПО Trend Micro Interscan для SSM CSC Cisco. Посмотрите онлайновую справку для описания каждого типа перечисленного grayware.

    Нажмите Save для включения новой конфигурации

  7. Нажмите вкладку Action, которая позволяет вам определять действие для исполнения, когда обнаружена угроза. Примеры действий являются чистыми или удаляют.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/99141-asa-traffic-csc-ssm-config-17.gif

    Эти значения являются действием по умолчанию, взятым для входящих почт.

    • Для сообщений с разделом Обнаружения Вируса/Вредоносного ПО — Чистят сообщение или прикрепление, в котором вредоносное ПО было обнаружено, и если сообщение или прикрепление uncleanable, удалите его.

      http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/99141-asa-traffic-csc-ssm-config-18.gif

    • Для Обнаружений Spyware/Grayware — Это файлы, которые будут отправлены, если сообщения SMTP, в которых обнаружены шпионское ПО или grayware.

      Нажмите Save для включения новой конфигурации

  8. Нажмите вкладку Notification, которая позволяет вам составлять сообщение с уведомлением, а также определять, кто уведомлен относительно события и действия.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/99141-asa-traffic-csc-ssm-config-19.gif

    Если вы удовлетворены настройкой уведомления по умолчанию, никакие дальнейшие действия не требуются. Но, можно рассмотреть параметры уведомления и решить, хотите ли вы изменить настройки по умолчанию. Например, когда угроза безопасности была обнаружена в сообщении электронной почты, можно передать уведомление администратору. Для SMTP можно также уведомить отправителя или получателя.

    Установите флажки Администратора и Получателя для почтового уведомления. Можно также адаптировать текст по умолчанию в сообщении с уведомлением к чему-то более соответствующему организации такой как в этом снимке экрана.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/99141-asa-traffic-csc-ssm-config-20.gif

  9. Во Встроенном разделе Уведомлений окна выберите один из перечисленных параметров, ни одного или обоих.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/99141-asa-traffic-csc-ssm-config-21.gif

    В нашем примере выберите Risk free message и введите свое собственное сообщение в предоставленном поле.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/99141-asa-traffic-csc-ssm-config-22.gif

    Нажмите Save для включения новой конфигурации.

Конфигурация HTTP

Сканирование

После установки по умолчанию ваш трафик HTTP и трафик FTP просмотрены для вирусов, червей и Троянских коней. Вредоносное ПО, такое как шпионское ПО и другой grayware требует изменения конфигурации, прежде чем они будут обнаружены.

Эти настройки по умолчанию дают вам некоторую защиту для вашего Веба - трафика и трафика FTP после установки Антивирусного ПО Trend Micro Interscan для SSM CSC Cisco. Можно изменить эти настройки. Например, можно предпочесть использовать Просмотр указанной опцией расширений файла, а не Всеми Поддающимися сканированию Файлами для вредоносного обнаружения. Прежде чем вы внесете изменения, рассмотрите онлайновую справку для получения дополнительной информации об этих выборах.

После установки возможно, что вы хотите обновить настройки дополнительной настройки для получения максимальной защиты для Веба - трафика и трафика FTP. Если бы вы купили Плюс Лицензия, которая называет вас получать Блокирование URL - адреса, защиту от фишинга и функциональность фильтрации URL-адресов, то необходимо настроить эти дополнительные характеристики.

Выполните эти шаги для настройки SSM CSC для сканирования сообщения HTTP с ASDM:

  1. Нажмите Web (HTTP) на странице Trend Micro, и это веб-сообщение окно Scan имеет четыре представления:

    • Цель

    • Сканирование веб-почты

    • Действие

    • Уведомление

    Нажмите соответствующую вкладку для получения информации, которую вы хотите для коммутации среди представлений. Активное название вкладки появляется в коричневом тексте; неактивные названия вкладки появляются в черном тексте. Используйте все вкладки для настройки поиска вирусов Веба - трафика.

    Нажмите Target, чтобы позволить вам определять область действия, на которое должен действоваться.

    • Просмотр сообщения HTTP включен по умолчанию.

    • Включенный с использованием Всех Поддающихся сканированию Файлов как метод сканирования.

    • Сеть (HTTP) обработка сжатого файла для загрузки от сети — Настроенный для пропуска сканирования сжатых файлов, когда один из них истинен:

      • Распакованное количество файла больше, чем 200.

      • Распакованный размер файла превышает 30 МБ.

      • Количество уровней сжатия превышает три.

      • Соотношение размера распакованного или сжатого файла больше, чем от 100 до 1.

      http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/99141-asa-traffic-csc-ssm-config-23.gif

    Для сканирования Веб-почты — Настроенный для сканирования узлов Веб-почты для Yahoo, AOL, MSN и Google.

  2. Большая обработка Файла

    Целевые вкладки на окнах HTTP Scanning и FTP Scanning позволяют вам определять размер самой большой загрузки, которую вы хотите просмотренный. Например, можно указать, что загрузка, менее чем 20 МБ просмотрены, но не просмотрена загрузка, больше, чем 20 МБ.

    Кроме того, вы можете:

    • Задайте большие загрузки, которые будут отправлены без сканирования, которое может представить угрозу безопасности.

    • Укажите, что удалены загрузки, больше, чем указанный предел.

    По умолчанию программное обеспечение CSC-SSM указывает, что просмотрены файлы, меньшие, чем 50 МБ. Модифицируйте как 75 МБ. Файлы, которые составляют 75 МБ и больше, отправлены, не просматривая клиенту запроса.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/99141-asa-traffic-csc-ssm-config-24.gif

    Сканирование задержанного

    Опция сканирования задержанного не активирована по умолчанию. Когда включено, эта функция позволяет вам начинать загружать данные, не просматривая всю загрузку. В то время как все тело информации просмотрено, сканирование задержанного позволяет вам начинать просматривать данные без длительного ожидания.

    Примечание: Если вы не включаете опцию сканирования задержанного, то можно столкнуться с неуспешным обновлением через модуль CSC.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/99141-asa-traffic-csc-ssm-config-25.gif

    Примечание: Когда отсрочено сканирование включено, непросмотренная часть информации может представить угрозу безопасности.

    Примечание: Трафик, который перемещается через HTTPS, не может быть просмотрен для вирусов и других угроз программным обеспечением CSC-SSM.

    Если отсрочено сканирование не включено, все содержание загрузки должно быть просмотрено, прежде чем это будет представлено вам. Но, некоторое клиентское программное обеспечение может испытать таймаут из-за времени, требуемого собирать достаточные сетевые пакеты для создания завершенных файлов для сканирования. Эта таблица суммирует преимущества и недостатки каждого метода.

    Method Преимущество Недостаток
    Сканирование задержанного включено Предотвращает времена ожидания клиента Может представить угрозу безопасности
    Сканирование задержанного отключено Более безопасный. Весь файл просмотрен для угроз безопасности прежде чем быть представленным вам. Может привести к клиенту, испытывающему таймаут, прежде чем загрузка будет завершена

    Просмотр для Spyware и Grayware

    Grayware является категорией программного обеспечения, которое может быть легитимным, нежелательным, или злонамеренным. В отличие от угроз, таких как вирусы, черви и Троянские кони, grayware не заражают, реплицируют или уничтожают данные, но они могут нарушить вашу конфиденциальность. Примеры grayware включают шпионское ПО, рекламное ПО и программные средства удаленного доступа.

    Шпионское ПО или grayware обнаружение не включены по умолчанию. Необходимо настроить эту функцию в этих окнах для обнаружения шпионского ПО и других форм шпионского ПО и другого grayware в трафике веб-и передачи файла:

    Нажмите Save для обновления конфигурации.

  3. Можно переключиться к вкладке Scanning Webmail для сканирования узлов Веб-почты для Yahoo, AOL, MSN и Google.

    Примечание: Если вы выбираете просматривать только Веб-почту, сканирование HTTP ограничено узлами, заданными на вкладке Webmail Scanning веб-окна (HTTP)> Scanning> HTTP Scanning. Другой трафик HTTP не просмотрен. Настроенные узлы просмотрены, пока вы не удаляете их при нажатии значка Trashcan.

    В Поле имени введите точное имя веб-сайта, ключевое слово URL и строку для определения узла Веб-почты.

    Примечание: Просмотрены прикрепления к сообщениям, которыми управляют на Веб-почте.

    Нажмите Save для обновления конфигурации.

  4. Можно переключиться к вкладке Action для конфигурации Обнаружения Вируса/Вредоносного ПО и Обнаружений Spyware/Grayware.

    • Сеть (HTTP) загружает для файлов, в которых вирус/вредоносное ПО обнаружен — Чистят загружаемый файл или файл, в котором было обнаружено вредоносное ПО. Если uncleanable, удалите файл.

    • Сеть (HTTP) загрузки и передачи файла (FTP) для файлов, в которых шпионское ПО или grayware обнаружены — Файлы, удалена.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/99141-asa-traffic-csc-ssm-config-26.gif

  5. Сеть (HTTP) загружает, когда вредоносное ПО обнаружено — встроенное уведомление вставлено в браузер, который сообщает, что Антивирусное ПО Trend Micro Interscan для SSM CSC просмотрело файл, который вы пытаетесь передать, и обнаружил угрозу безопасности.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/99141-asa-traffic-csc-ssm-config-27.gif

Блокирование файла

В левом раскрывающемся меню нажмите File Blocking.

Эта опция активирована по умолчанию; однако, необходимо задать типы файлов, которые вы хотите заблокированный. Блокирование файла помогает вам принуждать свою организационную политику для интернет-использования и других вычислительных ресурсов в течение рабочего времени. Например, ваша компания не позволяет загружать музыки, обоих из-за проблем эффективности работы сотрудника, а также юридических вопросов.

http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/99141-asa-traffic-csc-ssm-config-28.gif

  • На целевой вкладке окна File Blocking проверьте флажок Executable для блокирования .exe.

  • Можно задать дополнительные типы файла расширением файла. Проверьте, что Блок задал флажок расширений файла для активации этой опции.

  • Затем введите дополнительные типы файла в Расширения файла, чтобы заблокировать поле и нажмите Add. В этом примере. файлы mpg заблокированы.

    Нажмите Save, когда вы закончены для обновления конфигурации.

Установите флажок Уведомления администратора для передачи сообщений по умолчанию в текстовом поле.

Нажмите вкладку Notification для сигнального сообщения.

http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/99141-asa-traffic-csc-ssm-config-29.gif

Блокирование URL - адреса

В этом разделе описываются функцию Блокирования URL - адреса и включает эти темы:

Примечание: Эта функция требует Плюс Лицензия.

Функция Блокирования URL - адреса помогает вам препятствовать тому, чтобы сотрудники обратились к запрещенным веб-сайтам. Например, возможно, что вы хотите заблокировать некоторые сайты, потому что политика в вашей организации запрещает доступ к службам знакомств, онлайн сервисам покупок или наступательным узлам.

Можно также заблокировать сайты, которые, как известно, совершают мошенничество, такое как фишинг. Фишинг является способом, используемым преступниками, которые передают сообщения электронной почты, которые, кажется, от легитимной организации, которые запрашивают вас показать частную информацию, такую как номера банковских счетов. Этот образ показывает пример сообщения электронной почты, используемого для фишинга.

http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/99141-asa-traffic-csc-ssm-config-30.gif

По умолчанию Блокирование URL - адреса включено. Но, только сайты в файле TrendMicro PhishTrap образца заблокированы, пока вы не задаете дополнительные узлы для блокирования.

Блокирование от через вкладку локального списка

Выполните эти шаги для настройки Блокирования URL - адреса от вкладки Via Local List:

  1. Выберите Configuration> Trend Micro Content Security> Web in ASDM и нажмите Configure URL Blocking для отображения окна URL Blocking.

  2. На вкладке Via Local List окна URL Blocking введите URL, которые вы хотите заблокировать в Match field. Можно задать точное название веб-сайта, ключевое слово URL и строку.

  3. Нажмите Block после каждой записи для перемещения URL в Черный список. Нажмите Do Not Block для добавления записи в Исключения Черного списка для определения записи как исключения. Записи остаются, как заблокировано или исключения, пока вы не удаляете их.

    Примечание: Можно также импортировать черный список и список исключений. Импортированный файл должен быть в определенном формате. Посмотрите онлайновую справку для инструкций.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/99141-asa-traffic-csc-ssm-config-31.gif

Блокирование от через файл образца (PhishTrap) вкладка

Выполните эти шаги для настройки файла URL, блокирующегося от Через Файл Образца (PhishTrap) Вкладка:

  1. Выберите Configuration> Trend Micro Content Security> Web in ASDM и щелкните по Настраивать ссылке Блокирования URL - адреса для отображения окна URL Blocking.

  2. Затем нажмите вкладку Via Pattern File (PhishTrap).

  3. По умолчанию файл образца Trend Micro PhishTrap обнаруживает и блокирует известные сайты фишинга, узлы шпионского ПО, узлы сообщника вируса, которые являются узлами, привязанными к известному использованию и векторам болезни, которые являются веб-сайтами, которые существуют только в злонамеренных целях. Используйте Отправление Потенциального URL Фишинга для полей TrendLabs для отправки узлов, что вы думаете, должен быть добавлен к файлу образца PhishTrap. Если такое действие гарантировано, TrendLabs оценивает узел и может добавить узел к этому файлу.

  4. Нажмите вкладку Notification для рассмотрения текста сообщения по умолчанию, которое появляется в браузере, когда попытка предпринята для доступа к заблокированному сайту. Онлайновая справка показывает пример. Выделите и переопределите его для настройки сообщения по умолчанию.

  5. Нажмите Save, когда вы закончены для обновления конфигурации.

Фильтрация URL-адресов

Существует два важных раздела, которые будут обсуждены здесь.

  • Параметры настройки фильтрации

  • Правила фильтрации

    URL, определенные на окнах URL Blocking, описанных ранее, или всегда позволяются или всегда запрещаются. Функция фильтрации URL-адресов, однако, позволяет вам фильтровать URL в категориях, которые можно планировать для предоставления доступа в течение определенных времен, определенных как досуг, и запретить доступ в течение рабочего времени.

    Примечание: Эта функция требует Плюс Лицензия.

    Это шесть категорий фильтрации URL-адресов:

    • Запрещенный компанией

    • Не работают отнесенные

    • Темы исследования

    • Бизнес-функция

    • Клиент определен

    • Другие

По умолчанию запрещенные компанией сайты заблокированы и во время работают и во время досуги.

Параметры настройки фильтрации

Выполните эти шаги для настройки функции фильтрации URL-адресов:

  1. Выберите Configuration> Trend Micro Content Security> Web in ASDM и нажмите Configure URL Filtering Settings для отображения Окна настроек Фильтрации URL-адресов.

  2. На вкладке URL Categories рассмотрите перечисленные подкатегории и классификации по умолчанию, назначенные на каждую категорию видеть, являются ли присвоения соответствующими вашей организации. Например, Запрещенные наркотики подкатегория запрещенной Компанией категории. Если ваша организация является финансовой компанией, возможно, что вы хотите оставить эту категорию классифицированной, как запрещено компанией. Проверьте флажок Illegal Drugs, чтобы позволить фильтровать для узлов, отнесенных к запрещенным наркотикам. Но, если ваша организация является правительственной организацией, необходимо реклассифицировать подкатегорию Запрещенных наркотиков к категории функции Business. Посмотрите онлайновую справку для получения дополнительной информации о реклассификации.

  3. После того, как вы рассмотрели и совершенствовали классификации подкатегорий, проверьте cвязанную подкатегорию для включения всех подкатегорий, для которых вы хотите фильтровать выполненный.

  4. Если существуют узлы в некоторых включенных подкатегориях, что вы не хотите фильтруемый, нажимаете вкладку URL Filtering Exceptions.

  5. Введите URL, которые вы хотите исключить из просачивания Match field. Можно задать точное название веб-сайта, ключевое слово URL и строку.

  6. Нажмите Add после каждой записи для перемещения URL в Не Фильтр Следующий список Узлов. Записи остаются как исключения, пока вы не удаляете их.

    Примечание: Можно также импортировать список исключений. Импортированный файл должен быть в определенном формате. Посмотрите онлайновую справку для инструкций.

  7. Нажмите вкладку Schedule для определения дней недели и часов дня, который нужно считать рабочим временем. Время, не определяемое как рабочее время, автоматически определяется как досуг.

  8. Нажмите Save для обновления конфигурации фильтрации URL-адресов.

  9. Нажмите вкладку Reclassify URL для отправки подозрительных URL TrendLabs для оценки.

Правила фильтрации

После того, как вы назначили подкатегории URL на корректные категории для вашей организации, определили исключения (если таковые имеются) и создали работу и список досуга, назначьте правила фильтрации, которые определяют, когда категория фильтрует.

Выполните эти шаги для присвоения правил фильтрации URL-адресов:

  1. Выберите Configuration> Trend Micro Content Security> Web in ASDM и щелкните по Настраивать ссылке Правил Фильтрации URL-адресов для отображения окна URL Filtering Rules.

  2. Для каждой из этих шести основных категорий задайте, заблокированы ли URL в той категории, и если так, в течение рабочего времени, досуга или обоих. Посмотрите онлайновую справку для получения дополнительной информации.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/99141-asa-traffic-csc-ssm-config-32.gif
  3. Нажмите Save для обновления конфигурации.

    Примечание: Для Фильтрации URL-адресов для работы правильно модуль SSM CSC должен быть в состоянии передать запросы HTTP к сервису Trend Micro. Если HTTP прокси требуется, выберите Update> Proxy Settings для настройки параметра прокси. Компонент Фильтрации URL-адресов не поддерживает прокси SOCKS4.

Конфигурация FTP

Конфигурация FTP Trend Micro

После установки по умолчанию ваш трафик FTP просмотрен для вирусов, червей и Троянских коней. Вредоносное ПО, такое как шпионское ПО и другой grayware требует изменения конфигурации, прежде чем они будут обнаружены.

Передача файла (FTP) сканирование передач файла — Позволила использовать Все Поддающиеся сканированию Файлы в качестве метода сканирования.

http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/99141-asa-traffic-csc-ssm-config-33.gif

Выполните шаги, данные на странице File Blocking для Трафика HTTP.

http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/99141-asa-traffic-csc-ssm-config-34.gif

Выполните шаги, данные на странице File Blocking для Трафика HTTP.

http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/99141-asa-traffic-csc-ssm-config-35.gif

Проверка

Воспользуйтесь данным разделом для проверки правильности функционирования вашей конфигурации.

Средство Output Interpreter (OIT) (только для зарегистрированных клиентов) поддерживает определенные команды show. Несмотря на то, что OIT может использоваться для просмотра анализа некоторых выходных данных команды show, эти команды показа в настоящее время не совместимы с этим программным средством.

  • show module Для проверки статуса SSM, например:

    ciscoasa#show module
    Mod Card Type                                    Model              Serial No. 
    --- -------------------------------------------- ------------------ -----------
      0 ASA 5520 Adaptive Security Appliance         ASA5520            JMX090000B7
      1 ASA 5500 Series Security Services Module-20  ASA-SSM-20         JAF10333331
    
    Mod MAC Address Range                 Hw Version   Fw Version   Sw Version     
    --- --------------------------------- ------------ ------------ ---------------
      0 0014.c482.5151 to 0014.c482.5155  1.1          1.0(10)0     8.0(2)
      1 000b.fcf8.012c to 000b.fcf8.012c  1.0          1.0(10)0     Trend Micro InterScan Security Module Version 6.0
    
    Mod SSM Application Name           Status           SSM Application Version
    --- ------------------------------ ---------------- --------------------------
      1 Trend Micro InterScan Security Up               Version 6.0
    
    Mod Status             Data Plane Status     Compatibility
    --- ------------------ --------------------- -------------
      0 Up Sys             Not Applicable         
      1 Up                 Up
  • команда "show module" 1 подробные данные — Использование подробное ключевое слово для просмотра дополнительных сведений для SSM, например:

    ciscoasa#show module 1 details
    Getting details from the Service Module, please wait...
    ASA 5500 Series Security Services Module-20
    Model:              ASA-SSM-20
    Hardware version:   1.0
    Serial Number:      JAF10333331
    Firmware version:   1.0(10)0
    Software version:   Trend Micro InterScan Security Module Version 6.0
    App. name:          Trend Micro InterScan Security Module
    App. version:       Version 6.0
    Data plane Status:  Up
    Status:             Up
    HTTP Service:       Up
    Mail Service:       Up
    FTP Service:        Up
    Activated:          Yes
    Mgmt IP addr:       172.30.21.235
    Mgmt web port:      8443
  • команда "show module" slot_num восстанавливается — Определяет, существует ли конфигурация восстановления для SSM. Если конфигурация восстановления существует для SSM, ASA отображает его. Пример:

    ciscoasa#show module 1 recover
    Module 1 recover parameters. . .
    Boot Recovery Image: Yes
    Image URL:           tftp://10.21.18.1/ids-oldimg
    Port IP Address:     172.30.21.10
    Port Mask:          255.255.255.0
    Gateway IP Address:  172.30.21.254

См. Проверку Начальной настройки для получения дополнительной информации о том, как проверить, что Антивирусное ПО Trend Micro Interscan для SSM CSC Cisco работает правильно.

Устранение неполадок

В этом разделе описывается процесс устранения неполадок конфигурации. См. Устранение проблем Антивирусного ПО Trend Micro Interscan для SSM CSC Cisco для получения дополнительной информации о том, как устранить неполадки больше на SSM CSC.

Доступ в Интернет

Проблема

CSC неспособен обратиться к Интернету через интерфейс управления ASA, или CSC неспособен получить обновления от сервера Тенденции до Интернета..

Решение

Интерфейс управления настраивает с командой management-only и заставляет ее только принять трафик к или от ASA, не через нее. Поэтому удалите команду management-only, и Выражение NAT для трафика управления к внешней стороне тогда позволяет Интернету для CSC обновлять.

Спам, не обнаруживаемый

Проблема

CSC неспособен обнаружить SPAM.

Решение

Необходимо включить опцию для защиты от спама, которая не включена по умолчанию. Плюс Лицензия должен быть установлен, и параметры настройки DNS должны быть корректными для сетевой, Почтовой Репутации для защиты от спама для функционирования правильно. См. Включение SMTP и Фильтрации спама POP3 для получения дополнительной информации.

Ошибки нарушения лицензии

Проблема

Модуль CSC показывает ошибки нарушения лицензии и сообщает о большем количестве хостов, чем, что находится в сети. Ошибка License violation has been detected on the InterScan for CSC SSM замечена в модуле CSC. Как может быть решена эта ошибка?

Решение

Переместите все интерфейсы кроме внешней глобальной сети (WAN) (уровень безопасности 0) к высшим уровням безопасности.

Проблема производительности

Проблема

Входящий трафик SMTP стал очень медленным. Внутренний почтовый сервер иногда получает ответ от сервера, который занимает несколько минут или два для получения.

Решение

Вы возможно сталкиваетесь с медленной передачей из-за поврежденных пакетов. Попробуйте данный пример, который может решить вопрос.


!--- Creates a new tcp map and allows for 100 out
 of order packets

tcp-map localmap       
 queue-limit 100    

!--- This is the class that defines traffic to sent to 
the csc-module. The name you use can be different.
Sets the localmap parameters to flow matching the class map.

policy-map global_policy
 class csc-class            
  set connection advanced-options localmap

Проблема

Сканирование HTTP не работало и отобразило эту ошибку:

Error: Failed to rate URL, rc=-723

Решение

Когда SSM CSC испытывает затруднения связаться с Серверами Trend Micro, это сообщение об ошибках генерируется. Это может произойти, когда существует задержка в сети или если SSM CSC слишком занят для обработки запросов подключения. Максимальные одновременные подключения на CSC-SSM-10 - приблизительно 500. В этом случае для указанного периода, количество соединений возможно превзошло ограничение максимального значения. См. Таблицу 2 в Модуле Сервисов безопасности Безопасности содержания и Контроля за серией 5500 Cisco ASA для получения дополнительной информации об ограничениях соединения.

Возможный обходной путь для этого должен ограничить одновременные подключения. См. Предельные Соединения Через SSM CSC для получения дополнительной информации.

Почтовая проблема

Проблема

Правовая оговорка на электронных почтах не может быть удалена из почт в случае необходимости, и также шрифты не могут быть изменены в почтовой правовой оговорке. Почему делает это происходит?

Решение

Не возможно удалить правовую оговорку из части исходящей почты на SSM CSC. Кроме того, вы не можете изменить шрифт правовой оговорки, так как это не поддерживается на SSM CSC.

Проблема трафика

Проблема

Вы неспособны мешать трафику быть переданными от ASA до SSM CSC. Как это может быть решено?

Решение

Чтобы мешать трафику быть переданным ASA от SSM CSC, Администратор должен удалить политику обслуживания из интерфейса ни с какой командой service-policy :

hostname(config-pmap-c)#no service-policy policy_map_name [global | interface interface_ID]

Проблема обновления образца Grayware

Проблема

Это сообщение об ошибках зарегистрировано на модуле CSC.

GraywarePattern : Pattern Update: Unable to get the pattern information. Pattern Update: The download file was unsuccessful for ActiveUpdate was unable to unzip the downloaded patch packages. The zip file may be corrupted. This can happen due to an unstable network connection. Please try downloading the file again.. The error code is 24.

AntiVirusPattern : Pattern Update: The download file was unsuccessful for ActiveUpdate was unable to unzip the downloaded patch packages. The zip file may be corrupted. This can happen due to an unstable network connection. Please try downloading the file again.. The error code is 24.

Как может быть решено это сообщение об ошибках?

Решение

Эта проблема отнесена к идентификатору ошибки Cisco CSCtc37947 (только зарегистрированные клиенты) и идентификатор ошибки Cisco CSCsk10777 (только зарегистрированные клиенты). Переустановите SSM CSC или обновите код к 6.2.x для решения этого вопроса. Также удаление временных файлов, созданных для автоматического обновления на корневой учетной записи CSC, может решить вопрос. Перезапустите сервисы после того, как вы переустановите SSM CSC или обновите код.

Проблема трафика HTTPS

Проблема

Вы неспособны заблокировать Трафик HTTPS через SSM CSC. Как может быть заблокирован Трафик HTTPS?

Решение

SSM CSC не может заблокировать Трафик HTTPS, потому что это не может глубоко осмотреть пакеты в связи с к шифрованию SSL на нем.

Неспособный обойти трафик от Контроля CSC

Если вы добавляете инструкции deny для рассматриваемых диапазонов сети к ACL, используемому для аналогичного трафика для передачи к модулю, трафик может быть обойден от Контроля CSC.

Неспособный регистрировать весь трафик HTTP, который проходит через SSM CSC

CSC не может регистрировать весь трафик, но только отображает информацию, блокируют/фильтруют попытки.

Ошибка при обновлении CSC

Сообщение об ошибках [ERR-PAT-0002] The update system cannot decompress the update file, and cannot continue. This message is for diagnostic purposes only. Customers - please contact Technical Support появляется при обновлении CSC. Когда файл .bin используется вместо .pkg файла, это сообщение об ошибках замечено. Когда .pkg файл используется, проблема не происходит.

Ошибка, в то время как CSC, автоматически обновляющий подписи

Проблема:

Когда CSC делает автоматическое обновление, это получило это сообщение.

Anti-spam pattern 17462 was successfully downloaded and installed. Unable to copy file. You must manually copy file /opt/trend/isvw/temp/AU/piranhacache/* to path /opt/trend/isvw/lib/mail/cache.

Решение:

Это - известная ошибка проблемы с CSC код Trendmicro. Дефект был подан для этого и для завершенных подробных данных. См. идентификатор ошибки Cisco CSCtc37947 (только зарегистрированные клиенты). Обновите CSC к 03.06.1172 (2) или позже для избавлений от проблемы.

Модуль CSC не в состоянии показывать системные журналы

Проблема:

После обновления к 6.3.1172.4, мог бы отказать сервис LogServer на модуле CSC, и администратор получает это почтовое уведомление: LogServer has recently stopped on InterScan for CSC SSM. Please contact Customer Support for assistance.

Решение:

Существует две опции как обходной путь:

  1. Установка техническая сборка исправляет.

    Свяжитесь с Центром технической поддержки Cisco (только зарегистрированные клиенты) для получения информации о том, как установить эту сборку.

  2. Повторно захватите образ устройство к более старой версии.

    См. Повторно захватывание образ SSM CSC для полной информации об этом процессе.

См. идентификатор ошибки Cisco CSCtl21378 (только зарегистрированные клиенты) для получения дополнительной информации.

Лог-сервер CSC сталкивается с бесконечным циклом и останавливается резко

Проблема:

Лог-сервер модуля CSC сталкивается с одним бесконечным циклом и останавливается резко.

Решение:

Эта проблема происходит из-за идентификатора ошибки Cisco CSCtl21378. См. CSCtl21378 (только зарегистрированные клиенты) для получения дополнительной информации.

Команды для устранения неполадок

Средство Output Interpreter (OIT) (только для зарегистрированных клиентов) поддерживает определенные команды show. Используйте OIT для просмотра анализа выходных данных команды show.

См. Устранение проблем Антивирусного ПО Trend Micro Interscan для SSM CSC Cisco для получения дополнительной информации о том, как решить различные проблемы SSM CSC.

Примечание: Обратитесь к документу Важная информация о командах отладки, прежде чем использовать команды debug.

  • debug module-boot — Показывает сообщения отладки о процессе загрузки SSM.

  • завершение модуля 1 hw-module — Завершение SSM

  • hw-module module 1 reset — Перезагрузите SSM

Примечание: %ASA-3-421001: поток TCP от inside:172.22.50.112/1718 до outside:XX.XX.XX.XX/80 пропущен, потому что Безопасность содержания и Контрольная карта имеют сообщение об ошибках, сообщение журнала, которое появляется, когда модуль CSC становится полностью безразличным.

Примечание: Используйте эту команду для сброса модуля.

ASA#hw-module module 1 reset

The module in slot 1 should be shut down before 
resetting it or loss of configuration may occur.
Reset module in slot 1? [confirm]

(Confirm it at this point by 'return'.)

См. Справочник по командам для получения дополнительной информации об этой команде.


Дополнительные сведения


Document ID: 99141