Descargas, actualizaciones o actualizaciones contentas del dispositivo de seguridad usando un host estático

Introducción

Este documento describe la dirección IP y la recibe necesario para configurar su dispositivo de seguridad del contenido de Cisco para el uso con un host estático para las descargas, las actualizaciones, y las actualizaciones.  Estas configuraciones deben ser utilizadas para el hardware o el dispositivo de seguridad virtual del correo electrónico de Cisco (ESA), el dispositivo de seguridad de la red (WSA), o el dispositivo de la Administración de seguridad (S A).

Descargas, actualizaciones o actualizaciones contentas del dispositivo de seguridad usando un host estático

Cisco ofrece los host estáticos para los clientes que tienen requisitos estrictos del Firewall o del proxy. Es importante observar que si usted configura su dispositivo para utilizar los host estáticos para las descargas y las actualizaciones, los mismos host estáticos para las descargas y las actualizaciones se deben permitir en el Firewall y el proxy en la red también.

Aquí están los hostname, las direcciones IP, y los puertos estáticos que están implicados en la descarga, la actualización, y los procesos de actualización:

• downloads-static.ironport.com
  • 208.90.58.105 (puerto 80)
• updates-static.ironport.com
  • 208.90.58.25 (puerto 80)
  • 184.94.240.106 (puerto 80)

Mantenga la configuración de la actualización vía el GUI

Complete estos pasos para cambiar la descarga, la actualización, o la configuración de la actualización en AsyncOS del GUI:

1. Navegue a la página de configuración de las configuraciones de la actualización
   1. WSA: Configuraciones de la administración del sistema > de la actualización y de la actualización
   2. ESA: Servicios de seguridad > actualizaciones del servicio
   3. S A: Configuraciones de la administración del sistema > de la actualización
2. El tecleo edita las configuraciones de la actualización….
3. En los servidores de actualización (imágenes) seccione, seleccione los “servidores de actualización locales (ubicación de los archivos de imagen de la actualización)”.
4. Para el campo URL de la base, ingrese en http://downloads-static.ironport.com y para el campo de puerto, conjunto para el puerto 80.
5. Deje los campos (opcionales) de la autenticación vacíos.
6. (*) ESA solamente - Para el host (las definiciones del contra virus del McAfee, las actualizaciones del motor PXE, las definiciones del contra virus de Sophos, las reglas del Anti-Spam de IronPort, las reglas de los filtros del brote, las actualizaciones DLP, las reglas del huso horario y el cliente de la inscripción (usados para traer los Certificados para el Filtrado de URL) colocan, ingresan updates-static.ironport.com.  (El puerto 80 es opcional.)
7. Deje la sección de los servidores de actualización (lista) y coloca fijado todo a Cisco IronPort los servidores de actualización predeterminados.
8. Asegúrese de que usted tenga la interfaz seleccionada según las necesidades para la comunicación externa, si procede para comunicar sobre una interfaz específica.  La configuración predeterminada será fijada al auto selecta.
9. Verifique y ponga al día los servidores proxy configurados, si procede.
10. Haga clic en Submit (Enviar).
11. En la esquina superior derecha, cambios del cometer del tecleo.
12. Finalmente, haga clic en los cambios del cometer otra vez para confirmar todos los cambios de configuración.

Proceda a la sección de la verificación de este documento.

Configuración del updateconfig vía el CLI

Los mismos cambios pueden ser aplicados vía el CLI en el dispositivo.  Complete estos pasos para cambiar la descarga, la actualización, o la configuración de la actualización en AsyncOS del CLI:

1. Ejecute el updateconfig del comando CLI.
2. Ingrese en el comando setup.
3. La primera sección presentada para configurar es “teclas de función se pone al día”.  Uso “2. Utilice para poseer el servidor” y para ingresar http://downloads-static.ironport.com:80/.
4. (*) ESA solamente - La segunda sección presentada para configurar es “servicio (imágenes)”.  Uso “2. Utilice para poseer el servidor” y para ingresar updates-static.ironport.com.
5. El resto de los prompts de configuración se pueden dejar determinados para omitir.
6. Asegúrese de que usted tenga la interfaz seleccionada según las necesidades para la comunicación externa, si procede para comunicar sobre una interfaz específica.  La configuración predeterminada será fijada al auto.
7. Verifique y ponga al día el servidor proxy configurado, si procede.
8. Golpee la vuelta para volver al prompt principal CLI.
9. Ejecute el COMETER del comando CLI para salvar todos los cambios de configuración.

Proceda a la sección de la verificación de este documento.

Verificación

Actualizaciones 

Para la verificación de las actualizaciones en el dispositivo es el mejor validar del CLI.

Del CLI:

1. Ejecute el updatenow.
   1. (*) ESA solamente - usted puede funcionar con la fuerza del updatenow para tener todos los servicios y la regla fija la actualización.
2. Ejecute los updater_logs de la cola.

Usted querrá prestar la mucha atención a las siguientes líneas “http://updates-static.ironport.com/..”  Esto debe señalar la comunicación y la descarga con el servidor estático del updater.

Ejemplo, de un ESA que pone al día el motor de Cisco Antispam (CASO) y las reglas asociadas:

Wed Aug 2 09:22:05 2017 Info: case was signalled to start a new update
Wed Aug 2 09:22:05 2017 Info: case processing files from the server manifest
Wed Aug 2 09:22:05 2017 Info: case started downloading files
Wed Aug 2 09:22:05 2017 Info: case waiting on download lock
Wed Aug 2 09:22:05 2017 Info: case acquired download lock
Wed Aug 2 09:22:05 2017 Info: case beginning download of remote file "http://updates-static.ironport.com/case/2.0/case/default/1480513074538790"
Wed Aug 2 09:22:07 2017 Info: case released download lock
Wed Aug 2 09:22:07 2017 Info: case successfully downloaded file "case/2.0/case/default/1480513074538790"
Wed Aug 2 09:22:07 2017 Info: case waiting on download lock
Wed Aug 2 09:22:07 2017 Info: case acquired download lock
Wed Aug 2 09:22:07 2017 Info: case beginning download of remote file "http://updates-static.ironport.com/case/2.0/case_rules/default/1501673364679194"
Wed Aug 2 09:22:10 2017 Info: case released download lock
<<<SNIP FOR BREVITY>>>

Mientras el servicio comunique, las descargas, y entonces con éxito las actualizaciones, le fijan.

Una vez que se completa la actualización del servicio, los updater_logs mostrarán:

Wed Aug 2 09:22:50 2017 Info: case started applying files
Wed Aug 2 09:23:04 2017 Info: case cleaning up base dir [bindir]
Wed Aug 2 09:23:04 2017 Info: case verifying applied files
Wed Aug 2 09:23:04 2017 Info: case updating the client manifest
Wed Aug 2 09:23:04 2017 Info: case update completed
Wed Aug 2 09:23:04 2017 Info: case waiting for new updates

Actualizaciones

Para verificar que la comunicación de la actualización sea acertada y complete, navegue a la página de la actualización del sistema y haga clic las actualizaciones disponibles. Si la lista de visualizaciones disponibles de las versiones, entonces su configuración es completa.

Del CLI, usted puede funcionar con simplemente el comando upgrade.  Elija la opción de la descarga para ver la actualización evidente, si hay actualizaciones disponibles.

myesa.local> upgrade


Choose the operation you want to perform:
- DOWNLOADINSTALL - Downloads and installs the upgrade image (needs reboot).
- DOWNLOAD - Downloads the upgrade image.
[]> download

Upgrades available.
1. AsyncOS 9.6.0 build 051 upgrade For Email, 2015-09-02 this release is for General Deployment
2. AsyncOS 9.7.0 build 125 upgrade For Email, 2015-10-15. This release is for General Deployment
3. AsyncOS 9.7.1 build 066 upgrade For Email, 2016-02-16. This release is for General Deployment.
4. cisco-sa-20150625-ironport SSH Keys Vulnerability Fix
[4]>

Resolución de problemas

Actualizaciones

El dispositivo envía las alertas de la notificación cuando las actualizaciones fallan. Aquí está un ejemplo de la notificación por correo electrónico lo más comúnmente posible recibida:

The updater has been unable to communicate with the update server for at least 1h.

Last message occurred 4 times between Tue Mar 1 18:02:01 2016 and Tue Mar 1 18:32:03 2016.

Version: 9.7.1-066
Serial Number: 888869DFCCCC-3##CV##
Timestamp: 01 Mar 2016 18:52:01 -0500

Usted querrá probar la comunicación del dispositivo al servidor especificado del updater.  En este caso, nos referimos a downloads-static.ironport.com.  Usando el telnet, el dispositivo debe tener comunicación abierta sobre el puerto 80:

myesa.local> telnet downloads-static.ironport.com 80

Trying 208.90.58.105...
Connected to downloads-static.ironport.com.
Escape character is '^]'.

Asimismo, lo mismo se deben ver para updates-static.ironport.com:

> telnet updates-static.ironport.com 80

Trying 208.90.58.25...
Connected to origin-updates.ironport.com.
Escape character is '^]'.

Si su dispositivo tiene interfaces múltiples, usted puede desear ejecutar el telnet del CLI, y especifica la interfaz, para validar que la interfaz apropiada está seleccionada:

> telnet

Please select which interface you want to telnet from.
1. Auto
2. Management (172.18.249.120/24: myesa.local)
[1]>

Enter the remote hostname or IP address.
[]> downloads-static.ironport.com

Enter the remote port.
[25]> 80

Trying 208.90.58.105...
Connected to downloads-static.ironport.com.
Escape character is '^]'.

Actualizaciones

Al intentar actualizar, usted puede ver la respuesta siguiente:

No available upgrades. If the image has already been downloaded it has been de-provisioned from the upgrade server. Delete the downloaded image, if any and run upgrade.

Usted querrá revisar la versión de AsyncOS que se esté ejecutando en el dispositivo y también revisar los Release Note de la versión de AsyncOS a la cual usted está actualizando.  Es posible que no hay un trayecto de actualización de la versión que usted está funcionando con a la versión usted está intentando actualizar a.

Si usted está actualizando a una corrección caliente (HP), al Early Deployment (ED), o a la versión de AsyncOS de la instrumentación limitada (LD), usted puede necesitar abrir un caso de soporte para pedir el aprovisionamiento apropiado se completa, para que su dispositivo vea el trayecto de actualización según las necesidades.

Información Relacionada

• Dispositivo de seguridad del correo electrónico de Cisco - Release Note
• Dispositivo de seguridad de la red de Cisco - Release Note
• Dispositivo de la Administración del Cisco Security - Release Note
• Soporte Técnico y Documentación - Cisco Systems