Einleitung
In diesem Dokument wird der Prozess für Beta-Kunden und vorab bereitgestellte Appliances beschrieben, die für Tests verwendet werden und AsyncOS-Versionen aktualisieren sowie Updates für ESA und SMA mit Beta und Vorabtests erhalten müssen. Dieses Dokument bezieht sich direkt auf die Cisco Email Security Appliance (ESA) und die Cisco Security Management Appliance (SMA). Beachten Sie, dass die Staging-Server nicht von Standard-Produktionskunden für Produktions-ESA oder SMA verwendet werden dürfen. Staging-Betriebssystem-Versionen, Service-Regeln und Services-Engines unterscheiden sich von Produktion.
Beachten Sie außerdem, dass Production-Lizenzen nicht auf Stage-Versionen aktualisiert werden können, da sie die Verifizierung und Authentifizierung der Lizenz nicht bestehen. Ein Produktions-VLN hat einen Signaturwert, der geschrieben wird, wenn die Lizenz während der Generierung generiert wird, was mit dem Produktions-Lizenzdienst übereinstimmt. Stage-Lizenzen verfügen über eine separate Signatur, die nur für den Staging-Lizenzdienst geschrieben wird.
Voraussetzungen
Anforderungen
- Der Administrator hat bereits Informationen zur Beta-Installation (Pre-Release-Betriebssystem) oder zu Upgrades erhalten.
- Kunden, die an Beta-Tests und Pre-Release-Tests teilnehmen, haben eine Beta-Anwendung abgeschlossen und vor Beta-Start eine Vertraulichkeitsvereinbarung gelesen und akzeptiert.
Verwendete Komponenten
Dieses Dokument ist nicht auf bestimmte Software- und Hardware-Versionen beschränkt.
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.
Konfigurieren von Cisco Email Security und Security Management für die Bereitstellung von Updates
Hinweis: Kunden sollten die Staging-Update-Server-URLs nur verwenden, wenn sie zuvor über die Verwendung von Cisco für Beta-Versionen (Betriebssystem-Vorabversion) auf die Vorabbereitstellung zugegriffen haben. Wenn Sie keine gültige Lizenz für die Betaverwendung beantragt haben, erhält Ihre Appliance keine Updates von den Staging-Aktualisierungsservern. Diese Anweisungen sollten nur für Beta-Kunden oder von Administratoren verwendet werden, die an Beta-Tests teilnehmen.
So erhalten Sie Staging-Updates und -Upgrades:
Anmelden an der GUI
- Wählen Sie Security Services > Services Updates > Edit Update Settings...
- Bestätigen Sie, dass alle Dienste für die Verwendung der Cisco IronPort-Aktualisierungsserver konfiguriert sind.
Anmeldung bei der CLI
- Führen Sie den Befehl updateconfig aus.
- Führen Sie den ausgeblendeten Unterbefehl dynamichost aus.
- Geben Sie einen der folgenden Befehle ein:
- Für Hardware ESA/SMA: stage-update-manifests.ironport.com:443
- Für virtuelle ESA/SMA: stage-stg-updates.ironport.com:443
- Drücken Sie die Eingabetaste, bis Sie wieder zur Haupteingabeaufforderung wechseln
- Geben Sie Commit (Übernehmen) ein, um alle Änderungen zu speichern.
Überprüfung
Die Verifizierung ist in updater_logs sichtbar, wobei die Kommunikation für die entsprechende Stadien-URL erfolgreich ist. Geben Sie über die CLI der Appliance grep stage updater_logs ein:
esa.local> updatenow force
Success - Force update for all components requested
esa.local > grep stage updater_logs
Wed Mar 16 18:16:17 2016 Info: internal_cert beginning download of remote file "http://stage-updates.ironport.com/internal_cert/1.0.0/internal_ca.pem/default/100101"
Wed Mar 16 18:16:17 2016 Info: content_scanner beginning download of remote file "http://stage-updates.ironport.com/content_scanner/1.1/content_scanner/default/1132001"
Wed Mar 16 18:16:17 2016 Info: enrollment_client beginning download of remote file "http://stage-updates.ironport.com/enrollment_client/1.0/enrollment_client/default/102057"
Wed Mar 16 18:16:18 2016 Info: support_request beginning download of remote file "http://stage-updates.ironport.com/support_request/1.0/support_request/default/100002"
Wed Mar 16 18:16:18 2016 Info: timezones beginning download of remote file "http://stage-updates.ironport.com/timezones/2.0/zoneinfo/default/2015100"
Wed Mar 16 18:26:19 2016 Info: repeng beginning download of remote file "http://stage-updates.ironport.com/repeng/1.2/repeng_tools/default/1392120079"
Wenn unerwartete Kommunikationsfehler auftreten, geben Sie dig <stage URL> ein, um den Domain Name Server (DNS) zu überprüfen.
Beispiel:
esa.local > dig stage-updates.ironport.com
; <<>> DiG 9.8.4-P2 <<>> stage-updates.ironport.com A
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 52577
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;stage-updates.ironport.com. IN A
;; ANSWER SECTION:
stage-updates.ironport.com. 275 IN A 208.90.58.21
;; Query time: 0 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Tue Mar 22 14:31:10 2016
;; MSG SIZE rcvd: 60
Stellen Sie sicher, dass die Appliance über Port 80 telnet ausführen kann. Führen Sie dazu den Befehl telnet <stage URL> 80 aus.
Beispiel:
esa.local > telnet stage-updates.ironport.com 80
Trying 208.90.58.21...
Connected to origin-stage-updates.ironport.com.
Escape character is '^]'.
Zurücksetzen
Führen Sie die folgenden Schritte aus, um zu den Standard-Produktions-Aktualisierungsservern zurückzukehren:
- Geben Sie den Befehl updateConfig ein.
- Geben Sie den ausgeblendeten Unterbefehl dynamichost ein.
- Geben Sie einen der folgenden Befehle ein:
- Für Hardware ESA/SMA: update-manifests.ironport.com:443
- Für virtuelle ESA/SMA: update-manifests.sco.cisco.com:443
- Drücken Sie die Eingabetaste, bis Sie wieder zur Haupteingabeaufforderung wechseln
- Führen Sie den Befehl Commit aus, um alle Änderungen zu speichern.
Hinweis: Hardware-Appliances (C1x0, C3x0, C6x0 und X10x0) sollten NUR die dynamischen Host-URLs von stage-update-manifests.ironport.com:443 oder update-manifests.ironport.com:443 verwenden. Wenn eine Cluster-Konfiguration mit der ESA und vESA vorliegt, muss die Updatekonfiguration auf Computerebene konfiguriert werden und bestätigen, dass dynamichost entsprechend eingestellt ist.
URL-Filterung
AsyncOS 13.0 und älter
Wenn die URL-Filterung auf der Appliance konfiguriert ist und verwendet wird, muss die Appliance nach der Umleitung einer Appliance zur Verwendung der Stadien-URL für Updates auch zur Verwendung des Stagingservers für die URL-Filterung konfiguriert werden:
- Zugriff auf die Appliance über die CLI
- Geben Sie den Befehl WebsicherheitErweiterteKonfiguration
- Nehmen Sie einen Schritt durch die Konfiguration vor, und ändern Sie den Wert für die Option Geben Sie den Hostnamen des Websicherheitsdiensts unter v2.beta.sds.cisco.com ein.
- Ändern Sie den Wert für die Option Geben Sie den Schwellenwert für ausstehende Anfragen von standardmäßig 50 in 5 ein.
- Akzeptieren Sie Standardwerte für alle anderen Optionen.
- Drücken Sie die Eingabetaste, bis Sie wieder zur Haupteingabeaufforderung wechseln
- Führen Sie den Befehl Commit aus, um alle Änderungen zu speichern.
Zurücksetzen
Führen Sie die folgenden Schritte aus, um zum Produktionswebsicherheitsdienst zurückzukehren:
- Zugriff auf die Appliance über CLI
- Geben Sie den Befehl websecurityadvancedconfig ein.
- Nehmen Sie einen Schritt durch die Konfiguration vor, und ändern Sie den Wert für die Option Geben Sie den Hostnamen des Websicherheitsdiensts unter v2.sds.cisco.com ein.
- Akzeptieren Sie Standardwerte für alle anderen Optionen.
- Drücken Sie die Eingabetaste, bis Sie wieder zur Haupteingabeaufforderung wechseln
- Führen Sie den Befehl Commit aus, um alle Änderungen zu speichern.
AsyncOS 13.5 und neuere Versionen (mit Cisco Talos Services)
Ab AsyncOS 13.5 für E-Mail-Sicherheit wurde die Cloud URL Analysis (CUA) eingeführt und die websecurityadvancedconfig-Optionen geändert. Da die URL-Analyse jetzt in der Talos-Cloud durchgeführt wird, ist der Hostname der Websicherheitsdienste nicht mehr erforderlich. Dies wurde durch den Befehl talosconfig ersetzt. Diese Funktion steht nur in der Befehlszeile der ESA zur Verfügung.
esa.local> talosconfig
Choose the operation you want to perform:
- SETUP - Configure beaker streamline configuration settings
[]> setup
Configured server is: stage_server
Choose the server for streamline service configuration:
1. Stage Server
2. Production Server
[]> 1
Wenn Sie eine Stage-Lizenz ausführen, sollten Sie auf den Stage Server für Talos-Dienste zeigen.
Sie können talosupdate und talosstatus ausführen, um eine Aktualisierung und den aktuellen Status aller von Talos betriebenen Dienste anzufordern.
Beispiel:
Weitere Informationen finden Sie im Benutzerhandbuch für AsyncOS 13.5 für Cisco Email Security Appliances.
Firewall-Einstellungen für den Zugriff auf Cisco Talos Services
Sie müssen den HTTPS (Out) 443-Port der Firewall für die folgenden Hostnamen oder IP-Adressen öffnen (siehe Tabelle unten), um Ihr E-Mail-Gateway mit den Cisco Talos-Services zu verbinden.
Hostname |
IPv4 |
IPv6 |
grpc.talos.cisco.com |
146.112.62.0/24 |
2a04:e4c7:ffff::/48 |
email-sender-ip-rep-grpc.talos.cisco.com |
146.112.63.0/24 |
2a04:e4c7:fffe::/48 |
serviceconfig.talos.cisco.com |
146.112.255.0/24 |
- |
|
146.112.59.0/24 |
- |
Web-Interaktionsnachverfolgung
Die Funktion zur Verfolgung von Webinteraktionen liefert Informationen über die Endbenutzer, die auf neu geschriebene URLs geklickt haben, und die Aktion (erlaubt, blockiert oder unbekannt), die mit jedem Benutzerklick verbunden ist.
Abhängig von Ihren Anforderungen können Sie die Web-Interaktionsüberwachung auf einer der globalen Einstellungsseiten aktivieren:
- Outbreak-Filter: Nachverfolgung von Endbenutzern, die auf durch Outbreak-Filter umgeschriebene URLs geklickt haben
- URL-Filterung. Nachverfolgung von Endbenutzern, die auf URLs geklickt haben, die von Richtlinien umgeschrieben wurden (mithilfe von Inhalts- und Nachrichtenfiltern)
Wenn die Nachverfolgung der Webinteraktion konfiguriert und in Betrieb ist, muss eine Appliance nach der Umleitung zur Verwendung der Stadien-URL für Updates ebenfalls für die Verwendung des Staging-Aggregator-Servers konfiguriert werden:
- Zugriff auf die Appliance über die CLI
- Geben Sie den Befehl aggregatorconfig ein.
- Geben Sie mithilfe des Befehls EDIT den folgenden Wert ein: stage.aggregator.sco.cisco.com
- Drücken Sie die Eingabetaste, bis Sie wieder zur Haupteingabeaufforderung wechseln
- Führen Sie Commit aus, um alle Änderungen zu speichern.
Wenn der Aggregator nicht für das Staging konfiguriert ist, werden alle 30 Minuten ähnliche Warnungen über Admin-E-Mail-Warnungen angezeigt:
Unable to retrieve Web Interaction Tracking information from the Cisco Aggregator Server. Details: Internal Server Error.
Oder führen Sie den Befehl displayAlerts in der CLI aus:
20 Apr 2020 08:52:52 -0600 Unable to connect to the Cisco Aggregator Server.
Details: No valid SSL certificate was sent.
Zurücksetzen
Führen Sie die folgenden Schritte aus, um zum Aggregator-Standardserver für die Produktion zurückzukehren:
- Zugriff auf die Appliance über CLI
- Geben Sie den Befehl aggregatorconfig ein.
- Verwenden Sie den Befehl EDIT, und geben Sie folgenden Wert ein: aggregator.cisco.com
- Drücken Sie die Eingabetaste, bis Sie wieder zur Haupteingabeaufforderung wechseln
- Führen Sie den Befehl Commit aus, um alle Änderungen zu speichern.
Fehlerbehebung
Befehle zur Fehlerbehebung sind im Abschnitt "Überprüfen" dieses Dokuments aufgeführt.
Wenn bei der Ausführung des Upgrade-Befehls Folgendes angezeigt wird:
Failure downloading upgrade list.
Überprüfen Sie, ob Sie den dynamischen Host geändert haben. Wenn dies so weiter geht, fragen Sie nach, und bestätigen Sie, dass Ihre ESA oder SMA für Beta- oder Vorabtests korrekt bereitgestellt wurde.
Zugehörige Informationen