تكوين مجموعة أجهزة أمان البريد الإلكتروني (ESA)
المحتويات
المقدمة
يوضح هذا المستند كيفية إعداد مجموعة على جهاز Cisco Email Security Appliance (ESA).
المتطلبات الأساسية
المتطلبات
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
- كيفية دمج الأجهزة في مجموعة (الإدارة المركزية).
- يجب أن يكون لكافة ESA نفس إصدارات AsyncOS (حتى المراجعة).
- إن يخلق أنت مجموعة أن يستعمل ميناء 22 (أسهل أن يشكل) ضمنت أن هناك ما من جدار حماية أو يوجه إصدار بين الأداة على ميناء 22 حركة مرور.
- إذا قمت بإنشاء مجموعة لاستخدام المنفذ 2222 (خدمة إتصالات المجموعة)، فتأكد من عمل قواعد جدار الحماية للسماح بحركة المرور على هذا المنفذ بأن تكون متوفرة دون تفتيش أو مقاطعة.
- يجب القيام بخيارات تكوين نظام المجموعة عبر واجهة سطر الأوامر على ESA ولا يمكن إنشاؤها أو الانضمام إليها في واجهة المستخدم الرسومية.
- إذا أخترت إستخدام اسم مضيف للاتصال، فتأكد من قدرة خوادم DNS المعينة على الأجهزة على حل جميع الأجهزة الأخرى في شبكتك، ومن تعيين عناوين IP التي تحلها أسماء المضيف إلى واجهة تم تكوينها للاستماع إلى منفذ الاتصالات المحدد.
- ضمنت على جهاز قارن، الميناء والخدمة المطلوبة مكنت (SSH أو CCS).
المكونات المستخدمة
لا يقتصر هذا المستند على إصدارات برامج ومكونات مادية معينة.
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
المشكلة
وتكمن المشكلة في تجنب الحاجة المستمرة إلى التعديل على كل جهاز كلما دعت الحاجة إلى تركيز عملية تكوين بين مجموعة كبيرة من أجهزة الإيسا والحفاظ عليها في تزامن.
مجموعات عن وكالة الفضاء الأوروبية
تتيح لك ميزة الإدارة المركزية ل ESA إمكانية إدارة أجهزة متعددة وتكوينها في نفس الوقت، مما يوفر درجة أكبر من الموثوقية والمرونة وقابلية التطوير داخل شبكتك. وهذا يتيح لك إمكانية الإدارة بشكل عام مع الالتزام في الوقت نفسه بالسياسات المحلية.
يتكون نظام المجموعة من مجموعة من الأجهزة ذات معلومات تكوين مشتركة. ويمكن تقسيم الأجهزة داخل كل نظام مجموعة إلى مجموعات أجهزة، حيث يمكن أن يكون الجهاز الواحد عضوا في مجموعة واحدة فقط في كل مرة.
يتم تنفيذ مجموعات البيانات في بنية نظير إلى نظير دون أية علاقة أولية/ثانوية. يمكنك تسجيل الدخول إلى أي جهاز للتحكم في المجموعة أو المجموعة بأكملها وإدارتها. وهذا يسمح للمسؤول بتكوين عناصر مختلفة للنظام على مستوى المجموعة أو على مستوى المجموعة أو لكل جهاز، بناء على المجموعات المنطقية الخاصة بهم
إنشاء نظام المجموعة
بمجرد تلبية جميع المتطلبات، لإنشاء نظام المجموعة، يجب البدء في سطر الأوامر (CLI) الخاص بالجهاز الأول.
إنشاء نظام مجموعة عبر SSH
C370.lab> clusterconfig Do you want to join or create a cluster? 1. No, configure as standalone. 2. Create a new cluster. 3. Join an existing cluster over SSH. 4. Join an existing cluster over CCS. [1]> 2 Enter the name of the new cluster. []> NameOfCluster Should all machines in the cluster communicate with each other by hostname or by IP address? 1. Communicate by IP address. 2. Communicate by hostname. [2]> 1 What IP address should other machines use to communicate with Machine C370.lab? 1. 10.1.1.11 port 22 (SSH on interface Management) 2. Enter an IP address manually []> 1 Other machines will communicate with Machine C370.lab using IP address 10.1.1.11 port 22. You can change this by using the COMMUNICATION subcommand of the clusterconfig command. New cluster committed: DATE Creating a cluster takes effect immediately, there is no need to commit. Cluster NameOfCluster Choose the operation you want to perform: - ADDGROUP - Add a cluster group. - SETGROUP - Set the group that machines are a member of. - RENAMEGROUP - Rename a cluster group. - DELETEGROUP - Remove a cluster group. - REMOVEMACHINE - Remove a machine from the cluster. - SETNAME - Set the cluster name. - LIST - List the machines in the cluster. - CONNSTATUS - Show the status of connections between machines in the cluster. - COMMUNICATION - Configure how machines communicate within the cluster. - DISCONNECT - Temporarily detach machines from the cluster. - RECONNECT - Restore connections with machines that were previously detached. - PREPJOIN - Prepare the addition of a new machine over CCS.
إنشاء مجموعة عبر CCS
C370.lab> clusterconfig Do you want to join or create a cluster? 1. No, configure as standalone. 2. Create a new cluster. 3. Join an existing cluster over SSH. 4. Join an existing cluster over CCS. [1]> 2 Enter the name of the new cluster. []> Test Should all machines in the cluster communicate with each other by hostname or by IP address? 1. Communicate by IP address. 2. Communicate by hostname. [2]> 1 What IP address should other machines use to communicate with Machine C370.lab? 1. 10.1.1.1 port 22 (SSH on interface Management) 2. Enter an IP address manually []> 2 Enter the IP address for Machine C370.lab. []> 10.1.1.1 Enter the port (on 10.66.71.120) for Machine C370.lab. [22]> 2222
وبمجرد الانتهاء من هذه الخطوة، يتوفر لديك نظام مجموعة ويتم نقل جميع التكوينات الخاصة بك من "الجهاز" إلى مستوى نظام المجموعة. هذا هو التكوين الذي ترثه جميع الأجهزة الأخرى عند الانضمام إليها.
الانضمام إلى مجموعة حالية من خلال SSH أو CCS
يغطي هذا القسم كيفية إضافة أي أجهزة جديدة إلى نظام المجموعة الحالي الذي قمت بإنشائه من قبل أو للتو. انضمام إلى نظام مجموعة حالي بأي من الطريقتين متماثلتين في النهج، والنقطة الرئيسية الوحيدة للاختلاف هي أن نظام CCS يتطلب خطوة إضافية لإنهاء هذا النظام للسماح للمجموعة بقبول الجهاز الأحدث.
الانضمام من خلال SSH
C370.lab> clusterconfig Do you want to join or create a cluster? 1. No, configure as standalone. 2. Create a new cluster. 3. Join an existing cluster over SSH. 4. Join an existing cluster over CCS. [1]> 3 While joining a cluster, you will need to validate the SSH host key of the remote machine to which you are joining.
To get the public host key fingerprint of the remote host, connect to the cluster and run: logconfig -> hostkeyconfig -> fingerprint. WARNING: All non-network settings will be lost. System will inherit the values set at the group or cluster mode for
the non-network settings. Ensure that the cluster settings are compatible with your network settings (e.g. dnsconfig settings) Exception: Centralized Policy, Virus, and Outbreak Quarantine settings are not inherited from the cluster.
These settings on this machine will remain intact. Do you want to enable the Cluster Communication Service on C370.lab? [N]> Enter the IP address of a machine in the cluster. []> 10.66.71.120 Enter the remote port to connect to. This must be the normal admin ssh port, not the CCS port. [22]> Enter the name of an administrator present on the remote machine [admin]> Enter password: Please verify the SSH host key for 10.66.71.120: Public host key fingerprint: d2:6e:36:9b:1d:87:c6:1f:46:ea:59:40:61:cc:3e:ef Is this a valid key for this host? [Y]>
بعد الفحص، ينضم الجهاز إلى المجموعة بنجاح.
الانضمام من خلال CCS
هذا نهج مشابه، الفرق الوحيد هو أنه قبل أن تقرر السماح للجهاز الجديد بالدخول إلى المجموعة الحالية، يجب تسجيل الدخول إلى الجهاز النشط في المجموعة.
على الجهاز النشط في نظام المجموعة:
(Cluster test)> clusterconfig Cluster test Choose the operation you want to perform: - ADDGROUP - Add a cluster group. - SETGROUP - Set the group that machines are a member of. - RENAMEGROUP - Rename a cluster group. - DELETEGROUP - Remove a cluster group. - REMOVEMACHINE - Remove a machine from the cluster. - SETNAME - Set the cluster name. - LIST - List the machines in the cluster. - CONNSTATUS - Show the status of connections between machines in the cluster. - COMMUNICATION - Configure how machines communicate within the cluster. - DISCONNECT - Temporarily detach machines from the cluster. - RECONNECT - Restore connections with machines that were previously detached. - PREPJOIN - Prepare the addition of a new machine over CCS. []> prepjoin Prepare Cluster Join Over CCS No host entries waiting to be added to the cluster. Choose the operation you want to perform: - NEW - Add a new host that will join the cluster. []> new Enter the hostname of the system you want to add. []> ESA.lab Enter the serial number of the host ESA.lab. []> XXXXXXXXXXXXXX-XXXXXA Enter the user key of the host ESA2.lab. This can be obtained by typing
"clusterconfig prepjoin print" in the CLI on ESA.lab. Press enter on a blank line to finish.
بمجرد إدخال بصمة إصبع SSH (التي يتم الحصول عليها عند تسجيل الدخول إلى الجهاز الذي يحاول الانضمام إلى نظام المجموعة الخاص بك باستخدام الأمرclusterconfig prepjoin print ) في مثال الرمز السابق وإدخال سطر فارغ، فإنها تكمل وصل المقدمة.
ثم يمكنك بدء عملية الانضمام على الجهاز الذي يحاول الانضمام إليه، للرجوع إلى ذلك، سميه ESA2.lab لمطابقة عملية الانضمام إلى الخطوة السابقة.
ESA2.lab> clusterconfig Do you want to join or create a cluster? 1. No, configure as standalone. 2. Create a new cluster. 3. Join an existing cluster over SSH. 4. Join an existing cluster over CCS. [1]> 4 While joining a cluster, you will need to validate the SSH host key of the remote machine to which you are joining.
To get the public host key fingerprint of the remote host, connect to the cluster and run: logconfig -> hostkeyconfig -> fingerprint. WARNING: All non-network settings will be lost. System will inherit the values set at the group or cluster mode for
the non-network settings. Ensure that the cluster settings are compatible with your network settings (e.g. dnsconfig settings) Exception: Centralized Policy, Virus, and Outbreak Quarantine settings are not inherited from the cluster.
These settings on this machine will remain intact. In order to join a cluster over CCS, you must first log in to the cluster and tell it that this system is being added.
On a machine in the cluster, run "clusterconfig -> prepjoin -> new" with the following information and commit. Host: ESA2.lab Serial Number: XXXXXXXXXXXX-XXXXXA User Key: ssh-dss AAAAB3NzaC1kc3.......BrccM= Choose the interface on which to enable the Cluster Communication Service: 1. ClusterInterface (10.1.1.2/24: ESA2.lab) [1]> 1 Enter the port on which to enable the Cluster Communication Service: [2222] Enter the IP address of a machine in the cluster. []> 10.1.1.1 Enter the remote port to connect to. This must be the CCS port on the machine "10.1.1.1",
not the normal admin ssh port. [2222]>وبمجرد التأكد من ذلك، يمكنك الاطلاع على مفتاح SSH-DSS. إذا تطابقت، يمكنك قبول الشروط والانضمام إلى نظام المجموعة بنجاح.
ما تم ترحيله في تكوين نظام المجموعة
ما تم ترحيله في تكوين نظام المجموعةعمليات ترحيل تكوين نظام المجموعة:
- إعدادات النهج التي تم تكوينها
- عوامل تصفية المحتوى
- موارد النص
- قواميس المحتوى
- إعدادات LDAP
- مكافحة البريد العشوائي والفيروسات
- الإعدادات العمومية
- إعدادات المصغي
- إعدادات مسار SMTP
- إعدادات DNS
ما لم يتم ترحيله في تكوين نظام المجموعة
ما لم يتم ترحيله في تكوين نظام المجموعةلا يقوم تكوين نظام المجموعة بالترحيل:
- اسم المضيف المحلي للجهاز.
- واجهات IP التي تم تكوينها.
- تم تكوين جداول التوجيه.
- تكوين عزل البريد العشوائي المحلي.
- عمليات التهيئة المحلية للحجر الصحي خاصة بالسياسة والفيروسات وتفشيه
- الإعدادات تحت
websecurityadvancedconfig الأمر في سطر الأوامر (للإصدارات 8.5 والإصدارات الأحدث).
ملاحظة: إذا كان لديك عوامل تصفية محتوى تشير إلى عمليات عزل غير موجودة، يتم إبطالها حتى يتم تكوين "عزل النهج المشار إليه" على الجهاز.
كيف يتم تكوين المجموعات في مجموعة ESA
كيف يتم تكوين المجموعات في مجموعة ESAوفي بعض السيناريوهات، يمكن أن يشترط على عدد قليل من الكيانات الفضائية الأوروبية العاملة في المجموعة أن تعمل بطريقة معينة أكثر من غيرها. لتحقيق ذلك، لا تحتاج إلى إنشاء نظام مجموعة جديد ويمكنك متابعة إنشاء مجموعات.
ملاحظة: تعطي التكوينات التي يتم إجراؤها على مستوى المجموعة الأولوية على تكوين مستوى المجموعة.
لإنشاء مجموعات، قم بإنشائها من واجهة سطر الأوامر (CLI) ل ESA. لبدء التكوين، أستخدم الأمر clusterconfig --> ADDGROUP :
(machine esalab.cisco.com)> clsterconfig
يقتصر هذا الأمر على وضع "نظام المجموعة". هل ترغب في التبديل إلى وضع "نظام المجموعة"؟ [Y]>
مجموعة Cisco
أختر العملية التي تريد تنفيذها:
- إضافة مجموعة - إضافة مجموعة نظام مجموعة.
- setGroup - قم بتعيين المجموعة التي تنتمي إليها الأجهزة.
- Renameggroup - إعادة تسمية مجموعة نظام مجموعة.
- DeleteGroup - إزالة مجموعة نظام مجموعة.
- RemoveAmachine - إزالة جهاز من المجموعة.
- تعيين اسم نظام المجموعة.
- سرد الأجهزة الموجودة في نظام المجموعة.
- CONSTATUS - إظهار حالة الاتصالات بين الأجهزة في نظام المجموعة.
- الاتصال - تكوين كيفية اتصال الأجهزة داخل المجموعة.
- قطع الاتصال - فصل الأجهزة مؤقتا عن نظام المجموعة.
- إعادة الاتصال - إستعادة الاتصالات بالأجهزة التي تم فصلها سابقا.
- إعداد إضافة جهاز جديد على CCS.
[]> مجموعة إضافية
أدخل اسم مجموعة نظام المجموعة الجديدة المراد إنشاؤها.
[]> New_Group
تم إنشاء مجموعة نظام المجموعة New_Group.
لإضافة ESAs من المجموعة الحالية إلى المجموعة الجديدة التي تم إنشاؤها، أستخدم الأمر setGroup:
(machine esalab.cisco.com)> clsterconfig
يقتصر هذا الأمر على وضع "نظام المجموعة". هل ترغب في التبديل إلى وضع "نظام المجموعة"؟ [Y]>
مجموعة Cisco
أختر العملية التي تريد تنفيذها:
- إضافة مجموعة - إضافة مجموعة نظام مجموعة.
- setGroup - قم بتعيين المجموعة التي تنتمي إليها الأجهزة.
- Renameggroup - إعادة تسمية مجموعة نظام مجموعة.
- DeleteGroup - إزالة مجموعة نظام مجموعة.
- RemoveAmachine - إزالة جهاز من المجموعة.
- تعيين اسم نظام المجموعة.
- سرد الأجهزة الموجودة في نظام المجموعة.
- CONSTATUS - إظهار حالة الاتصالات بين الأجهزة في نظام المجموعة.
- الاتصال - تكوين كيفية اتصال الأجهزة داخل المجموعة.
- قطع الاتصال - فصل الأجهزة مؤقتا عن نظام المجموعة.
- إعادة الاتصال - إستعادة الاتصالات بالأجهزة التي تم فصلها سابقا.
- إعداد إضافة جهاز جديد على CCS.
[]> SetGroup
أختر الجهاز المطلوب نقله إلى مجموعة مختلفة. افصل الأجهزة المتعددة بالفواصل.
1. esalab.cisco.com (مجموعة ESA_GROUP)
[1]> 1
أختر المجموعة التي يجب أن يكون esalab.cisco.com عضوا فيها.
1- مجموعة ESA
2. New_Group
[1]> 2
esalab.cisco.com إلى مجموعة new_group.
لإعادة تسمية مجموعة حالية في نظام المجموعة ESA، أستخدم الأمر RENAMEGROUP:
(machine esalab.cisco.com)> clsterconfig
يقتصر هذا الأمر على وضع "نظام المجموعة". هل ترغب في التبديل إلى وضع "نظام المجموعة"؟ [Y]>
مجموعة Cisco
أختر العملية التي تريد تنفيذها:
- إضافة مجموعة - إضافة مجموعة نظام مجموعة.
- setGroup - قم بتعيين المجموعة التي تنتمي إليها الأجهزة.
- Renameggroup - إعادة تسمية مجموعة نظام مجموعة.
- DeleteGroup - إزالة مجموعة نظام مجموعة.
- RemoveAmachine - إزالة جهاز من المجموعة.
- تعيين اسم نظام المجموعة.
- سرد الأجهزة الموجودة في نظام المجموعة.
- CONSTATUS - إظهار حالة الاتصالات بين الأجهزة في نظام المجموعة.
- الاتصال - تكوين كيفية اتصال الأجهزة داخل المجموعة.
- قطع الاتصال - فصل الأجهزة مؤقتا عن نظام المجموعة.
- إعادة الاتصال - إستعادة الاتصالات بالأجهزة التي تم فصلها سابقا.
- إعداد إضافة جهاز جديد على CCS.
[]> Renameggroup
أختر المجموعة التي ترغب في إعادة تسميتها.
1- مجموعة ESA
2. New_Group
[1]> 2
أدخل الاسم الجديد للمجموعة.
[new_group]> cluster_group
تمت إعادة تسمية New_Group للمجموعة إلى Cluster_Group.
لحذف مجموعة حالية من مجموعة ESA، أستخدم الأمر DELETEGROUP
(machine esalab.cisco.com)> clsterconfig
يقتصر هذا الأمر على وضع "نظام المجموعة". هل ترغب في التبديل إلى وضع "نظام المجموعة"؟ [Y]>
مجموعة Cisco
أختر العملية التي تريد تنفيذها:
- إضافة مجموعة - إضافة مجموعة نظام مجموعة.
- setGroup - قم بتعيين المجموعة التي تنتمي إليها الأجهزة.
- Renameggroup - إعادة تسمية مجموعة نظام مجموعة.
- DeleteGroup - إزالة مجموعة نظام مجموعة.
- RemoveAmachine - إزالة جهاز من المجموعة.
- تعيين اسم نظام المجموعة.
- سرد الأجهزة الموجودة في نظام المجموعة.
- CONSTATUS - إظهار حالة الاتصالات بين الأجهزة في نظام المجموعة.
- الاتصال - تكوين كيفية اتصال الأجهزة داخل المجموعة.
- قطع الاتصال - فصل الأجهزة مؤقتا عن نظام المجموعة.
- إعادة الاتصال - إستعادة الاتصالات بالأجهزة التي تم فصلها سابقا.
- إعداد إضافة جهاز جديد على CCS.
[]> Deletegroup
أختر المجموعة التي ترغب في إزالتها.
1. Cluster_Group
2- فريق وكالة الفضاء الأوروبية
[1]> 1
أختر المجموعة التي يجب نقل الأجهزة الموجودة في Cluster_Group إليها.
1- مجموعة ESA
[1]> 1
تمت إزالة cluster_group للمجموعة.
ملاحظة: عند إضافة/إزالة أجهزة في نظام المجموعة، يتم تطبيق التغييرات فورا على الأجهزة بدون commit. حيث أنه بالنسبة لمجموعات ESA، يتم تطبيق أي إجراءات متعلقة بها على ESA فقط بعد commit.
معلومات ذات صلة
معلومات ذات صلة محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
3.0 |
09-Apr-2024 |
تقويم |
1.0 |
12-Dec-2016 |
الإصدار الأولي |
التعليقات