Безопасность : устройства безопасности электронной почты Cisco ESA

Туннельные часто задаваемые вопросы технической поддержки безопасности содержания

20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (5 января 2016) | Отзыв

Введение

Этот документ предоставляет ответы на часто задаваемые вопросы об использовании Туннелей технической поддержки на устройствах Безопасности содержания Cisco.

Внесенный Крисом Хээгом, специалистом службы технической поддержки Cisco.

Предварительные условия

Требования

Компания Cisco рекомендует предварительно ознакомиться со следующими предметами:

  • Cisco Email Security Appliance (ESA)
  • Cisco Web Security Appliance (WSA)
  • Устройство менеджмента Cisco Security (SMA)
  • AsyncOS

Используемые компоненты

Сведения в этом документе основываются на устройствах Безопасности содержания Cisco, которые выполняют любую версию AsyncOS.

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Что такое Туннели технической поддержки?

Туннели технической поддержки являются соединениями Secure Shell (SSH), которые созданы от устройства Безопасности содержания Cisco до хоста оплота в главном офисе Безопасности содержания Cisco. Туннели позволяют Поддержке Клиента Cisco и Инженерам Приложений анализировать систему и делать восстановления.

Как работают Туннели технической поддержки?

Туннель технической поддержки работает через большинство межсетевых экранов без модификации. Когда туннельное соединение инициирует, устройство делает SSH - подключение от случайного высокого исходного порта до указанного порта одного из них , Cisco защитила серверы:

  •  63.251.108.107 - для более старых сборок AsyncOS
  • upgrades.ironport.com - для более старых сборок AsyncOS
  • c . tunnels.ironport.com - для устройств/ESA Серии C
  • x . tunnels.ironport.com - для устройств/ESA Серии X
  • m.tunnels.ironport.com - для устройств/SMA Серии M
  • s.tunnels.ironport.com - для appliances/WSA Серии S 

Порты, которые доступны на защищенных туннельных серверах Cisco, равняются 22, 25, 53, 80, 443, и 4766. Так как соединение сделано к имени хоста, а не жестко закодированному IP-адресу, активный Сервер доменных имен (DNS) требуется для установления туннеля.

Некоторые осведомленные о протоколе устройства блокируют соединение к несоответствию протокола/порта и некоторому Транспортному протоколу простой почты (SMTP) - осведомленные устройства прерывают соединение. В случаях, где существуют осведомленные о протоколе устройства или исходящие соединения, которые заблокированы, могло бы требоваться использование порта кроме по умолчанию (25). Доступ к удаленному концу туннеля ограничен только Поддержкой Клиента Cisco и Инженерами Приложений.

Примечание: Когда Поддержка Cisco или Инженер Приложений связаны с туннелем, системное приглашение на устройстве включает (СЕРВИС).

Совет: Туннели автоматически пытаются восстановить себя, такой как тогда, когда выход сети из строя происходит или когда перезагружено устройство.

Как я устанавливаю Туннель технической поддержки?

Для установления Туннельного соединения технической поддержки через CLI устройства как пользователь с правами администратора выполните эти шаги:

  1. Введите techsupport команду.

  2. Выберите Tunnel.

  3. Завершите приглашения.

Примечание: При включении туннеля необходимо ввести временный пароль и предоставить его Специалисту службы поддержки Клиента Cisco. Этот пароль не используется непосредственно, но используется для генерации специфичного для машины пароля.

Для установления туннеля от GUI admin устройства выполните эти шаги:

  1. Перейдите к Администрированию системы> Удаленный доступ.

  2. Гарантируйте, что вы проверяете обоих Предоставить удаленный доступ к этому устройству и Инициируете соединение через флажки безопасного туннеля.

  3. Отправьте форму.

Следует отметить, что любой межсетевой экран должен быть настроен для разрешения исходящих соединений upgrades.ironport.com. Если вашему межсетевому экрану включили контроль протокола SMTP, туннель не устанавливает. В этих ситуациях необходимо задать альтернативный порт. Выберите наиболее надлежащий порт из этого списка:

  • 22
  • 53
  • 80
  • 443
  • 4766

Примечание: Порт 25 используется в качестве порта назначения по умолчанию.

Совет: Для отключения туннеля, когда он больше не требуется, введите techsupport команду и выберите Disable.

Как я могу протестировать Туннель технической поддержки на подключение?

Используйте данный пример для выполнения начального теста для подключения через межсетевой экран:

example.run> > telnet upgrades.ironport.com 25

Trying 63.251.108.107...
Connected to 63.251.108.107.
Escape character is '^]'.
SSH-2.0-OpenSSH_6.2 CiscoTunnels1

Почему техническая поддержка Туннелирует не, работают на устройство управления безопасностью (SMA)?


Это не работает в экземплярах, куда SMA размещен в локальную сеть без прямого доступа к Интернету, хотя упомянутые порты, перечисленные перед Туннелем технической поддержки, не установят. В этом случае Туннель технической поддержки может быть включен на ESA вместо этого, и доступ SSH может быть включен на SMA. Это позволяет Поддержке Cisco сначала соединяться через Туннель технической поддержки с ESA и от ESA с SSH к SMA, который требует, чтобы было подключение между ESA и SMA на порту 22.

Установите Доступ SSH через CLI SMA как пользователь Admin

  1. Введите techsupport команду.

  2. Выберите SSHACCESS.

  3. Завершите приглашения.

Примечание: После того, как включенный, окажите Поддержку Cisco серийный номер ESA и SMA, а также сервисного пароля. 



Document ID: 117873