Configurez la sécurité du courrier électronique et la Gestion de la sécurité de Cisco pour les mises à jour de présentation

Options de téléchargement

  • PDF     (268.2 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (195.0 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (141.2 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:22 avril 2020
ID du document:200393

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Introduction

Ce document décrit le processus pour de bêtas clients, et les appliances pré-provisioned utilisées pour le test, qui doivent améliorer des versions d'AsyncOS et obtenir des mises à jour pour l'exécution ESA et SMA bêta et le test de pré-version.  Ce document concerne directement l'appliance de sécurité du courrier électronique de Cisco (ESA) et l'appliance de Gestion de sécurité Cisco (SMA). Maintenez dans l'esprit, les serveurs de mise en place ne doivent pas être utilisés par des clients de production en série pour la production ESA ou SMA.  Les releases de SYSTÈME D'EXPLOITATION, les règles de services, et les engines de présentation de services varient de la production.

Avant que vous étant, satisfassiez également maintenez dans l'esprit que les permis de production ne pourront pas améliorer pour présenter des releases car ils ne peuvent pas passer la vérification et l'authentification du permis. Une production VLN a une valeur de signature écrite quand le permis pendant la génération, qui appariera le service de permis de production. Les permis d'étape ont une signature distincte écrite seulement pour le service de permis de mise en place.

Conditions préalables

Exigences

  1. L'administrateur a reçu la transmission antérieure concernant la bêta installation ou mises à jour (de SYSTÈME D'EXPLOITATION de pré-version).
  2. Les clients participant test au bêta et de pré-version se sont terminés une bêta application et ils ont lu et ont été d'accord sur un accord de non-divulgation avant le début de bêta.

Composants utilisés

Ce document n'est pas limité à des versions de matériel et de logiciel spécifiques.

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Configurez la sécurité du courrier électronique et la Gestion de la sécurité de Cisco pour les mises à jour de présentation

Remarque: Les clients devraient seulement utiliser le serveur URLs de mise à jour de mise en place s'ils ont accédé au pré-provisionnement par Cisco pour la bêta utilisation (de SYSTÈME D'EXPLOITATION de pré-version) seulement. Si vous n'avez pas un permis valide appliqué pour le bêta usage, votre appliance ne recevra pas des mises à jour des serveurs de mise à jour de mise en place. Ces instructions devraient seulement être utilisées pour de bêtas clients ou par les administrateurs qui participent à l'essai pilote.

Afin de recevoir des mises à jour et des mises à jour de mise en place :

Procédure de connexion au GUI

  1. Choisissez les Services de sécurité > les mises à jour de services > éditent des configurations de mise à jour…
  2. Confirmez que tous les services sont configurés pour utiliser des serveurs de mise à jour d'IronPort Cisco

Procédure de connexion au CLI

  1. Exécutez l'updateconfig de commande
  2. Exécutez le dynamichost masqué de commande secondaire
  3. Sélectionnez une de ces commandes :
    • Pour le matériel ESA/SMA : stage-update-manifests.ironport.com:443
    • Pour ESA/SMA virtuel : stage-stg-updates.ironport.com:443
  4. La presse entrent jusqu'à ce que vous soyez retourné à l'invite principale
  5. Entrez dans la validation afin de sauvegarder toutes les modifications

Vérifiez

La vérification peut être vue dans les updater_logs avec la transmission réussissant pour l'URL approprié d'étape. Du CLI sur l'appliance, écrivez les updater_logs d'étape de grep :

esa.local> updatenow force

Success - Force update for all components requested
esa.local > grep stage updater_logs

Wed Mar 16 18:16:17 2016 Info: internal_cert beginning download of remote file "http://stage-updates.ironport.com/internal_cert/1.0.0/internal_ca.pem/default/100101"
Wed Mar 16 18:16:17 2016 Info: content_scanner beginning download of remote file "http://stage-updates.ironport.com/content_scanner/1.1/content_scanner/default/1132001"
Wed Mar 16 18:16:17 2016 Info: enrollment_client beginning download of remote file "http://stage-updates.ironport.com/enrollment_client/1.0/enrollment_client/default/102057"
Wed Mar 16 18:16:18 2016 Info: support_request beginning download of remote file "http://stage-updates.ironport.com/support_request/1.0/support_request/default/100002"
Wed Mar 16 18:16:18 2016 Info: timezones beginning download of remote file "http://stage-updates.ironport.com/timezones/2.0/zoneinfo/default/2015100"
Wed Mar 16 18:26:19 2016 Info: repeng beginning download of remote file "http://stage-updates.ironport.com/repeng/1.2/repeng_tools/default/1392120079"

S'il y a des erreurs de communication inattendues, entrez dans l'URL&GT; de <stage de fouille afin de vérifier le Domain Name Server (DN).

Exemple :

esa.local > dig stage-updates.ironport.com


; <<>> DiG 9.8.4-P2 <<>> stage-updates.ironport.com A
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 52577
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;stage-updates.ironport.com. IN A

;; ANSWER SECTION:
stage-updates.ironport.com. 275 IN A 208.90.58.21

;; Query time: 0 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Tue Mar 22 14:31:10 2016
;; MSG SIZE rcvd: 60

Vérifiez que l'appliance peut au telnet au-dessus du port 80, exécutez l'URL&GT; 80 de <stage de telnet de commande.

Exemple :

esa.local > telnet stage-updates.ironport.com 80

Trying 208.90.58.21...
Connected to origin-stage-updates.ironport.com.
Escape character is '^]'.

Retournez

Afin de revenir aux serveurs de mise à jour de production en série, terminez-vous ces étapes :

  1. Écrivez l'updateconfig de commande
  2. Écrivez le dynamichost masqué de commande secondaire
  3. Sélectionnez une de ces commandes :
    • Pour le matériel ESA/SMA : update-manifests.ironport.com:443
    • Pour ESA/SMA virtuel : update-manifests.sco.cisco.com:443
  4. La presse entrent jusqu'à ce que vous soyez retourné à l'invite principale
  5. Exécutez la validation de commande afin de sauvegarder toutes les modifications

Remarque: Les appliances de matériel (C1x0, C3x0, C6x0, et X10x0) devraient SEULEMENT utiliser l'hôte dynamique URLs de stage-update-manifests.ironport.com:443 ou d'update-manifests.ironport.com:443. S'il y a une configuration du cluster avec l'ESA et le vESA, l'updateconfig doit être configuré au niveau d'ordinateur et confirmer que le dynamichost est alors placé en conséquence.

Filtrage des URL

AsyncOS 13.0 et plus vieux

Si le Filtrage URL est configuré et en service sur l'appliance, une fois qu'une appliance a été réorientée pour utiliser l'URL d'étape pour des mises à jour, l'appliance devra également être configurée pour utiliser le serveur de mise en place pour le Filtrage URL :

  1. Accédez à l'appliance par l'intermédiaire du CLI
  2. Écrivez le websecurityadvancedconfig de commande
    • L'étape par la configuration et changent la valeur pour l'option entrent dans l'adresse Internet de service de sécurité Web à v2.beta.sds.cisco.com
  3. Changez la valeur pour l'option écrivent la valeur seuil pour les demandes en attente du par défaut de 50 à 5
  4. Recevez les par défaut pour toutes autres options
  5. La presse entrent jusqu'à ce que vous soyez retourné à l'invite principale
  6. Exécutez la validation de commande afin de sauvegarder toutes les modifications

Retournez

Afin de revenir au service de sécurité Web de production, terminez-vous ces étapes :

  1. Accédez à l'appliance par l'intermédiaire du CLI
  2. Écrivez le websecurityadvancedconfig de commande
    • L'étape par la configuration et changent la valeur pour l'option entrent dans l'adresse Internet de service de sécurité Web à v2.sds.cisco.com
  3. Recevez les par défaut pour toutes autres options
  4. La presse entrent jusqu'à ce que vous soyez retourné à l'invite principale
  5. Exécutez la validation de commande afin de sauvegarder toutes les modifications

AsyncOS 13.5 et plus nouveaux (utilisant des services de Cisco Talos)

Commençant dans AsyncOS 13.5 pour la sécurité du courrier électronique, l'analyse URL de nuage (CUA) a été introduite et a changé les options de websecurityadvancedconfig.  Pendant que l'analyse URL est maintenant exécutée dans le nuage de Talos, l'adresse Internet de services de sécurité Web n'est plus exigée.  Ceci a été remplacé par la commande de talosconfig.  C'est disponible seulement sur la ligne de commande de l'ESA.  

esa.local> talosconfig


Choose the operation you want to perform:
- SETUP - Configure beaker streamline configuration settings
[]> setup

Configured server is: stage_server

Choose the server for streamline service configuration:
1. Stage Server
2. Production Server
[]> 1

Si vous exécutez un permis d'étape, vous devriez être indiqué le serveur d'étape pour des services de Talos.

Vous pouvez exécuter le talosupdate et le talosstatus pour demander une mise à jour et un état actuel de tous les services pilotés par Talos.

Exemple :

Le pour en savoir plus, voient le guide utilisateur pour AsyncOS 13.5 pour des appliances de sécurité du courrier électronique de Cisco.

Paramètres du pare-feu pour accéder à des services de Cisco Talos

Vous devez ouvrir le port 443 HTTPS () sur le Pare-feu pour les adresses Internet ou les adresses IP suivantes (référez-vous à la table ci-dessous) pour connecter votre passerelle d'email aux services de Cisco Talos.

Nom de l'hôte IPv4 IPv6
grpc.talos.cisco.com 146.112.62.0/24 2a04:e4c7:ffff::/48
email-sender-ip-rep-grpc.talos.cisco.com 146.112.63.0/24 2a04:e4c7:fffe::/48
serviceconfig.talos.cisco.com 146.112.255.0/24 -
  146.112.59.0/24 -

Cheminement d'interaction de Web

La fonctionnalité de suivi d'interaction de Web fournit des informations au sujet des utilisateurs qui ont cliqué sur l'URLs en fonction réécrit et l'action (laissé, bloqué, ou inconnu) associée avec chaque clic d'utilisateur.

Selon vos conditions requises, vous pouvez activer l'interaction de Web dépistant sur une des pages de paramètres généraux :

  1. Filtres d'épidémie. Dépistez les utilisateurs qui ont cliqué sur l'URLs réécrit par des filtres d'épidémie
  2. Filtrage URL. Dépistez les utilisateurs qui ont cliqué sur l'URLs réécrit par des stratégies (utilisant des filtres de contenu et de message)

Si le cheminement d'interaction de Web est configuré et en service, une fois qu'une appliance a été réorientée pour utiliser l'URL d'étape pour des mises à jour, l'appliance devra également être configurée pour utiliser le serveur d'agrégateur de mise en place :

  1. Accédez à l'appliance par l'intermédiaire du CLI
  2. Écrivez l'aggregatorconfig de commande
  3. Utilisez la commande d'ÉDITER et écrivez cette valeur : stage.aggregator.sco.cisco.com
  4. La presse entrent jusqu'à ce que vous soyez retourné à l'invite principale
  5. Exécutez la validation afin de sauvegarder toutes les modifications

Si l'agrégateur n'est pas configuré pour la présentation, vous verrez que semblable alerte toutes les 30 minutes par l'intermédiaire des alertes par courrier électronique d'admin :

Unable to retrieve Web Interaction Tracking information from the Cisco Aggregator Server. Details: Internal Server Error.

Ou, en s'exécutant les displayalerts commandent sur le CLI :

20 Apr 2020 08:52:52 -0600 Unable to connect to the Cisco Aggregator Server.
Details: No valid SSL certificate was sent.

Retournez

Afin de revenir au serveur d'agrégateur de production en série, terminez-vous ces étapes :

  1. Accédez à l'appliance par l'intermédiaire du CLI
  2. Écrivez l'aggregatorconfig de commande
  3. Utilisez la commande d'ÉDITER et écrivez cette valeur : aggregator.cisco.com
  4. La presse entrent jusqu'à ce que vous soyez retourné à l'invite principale
  5. Exécutez la validation de commande afin de sauvegarder toutes les modifications

Dépanner

Des commandes de dépannage sont répertoriées dans « vérifient » la section de ce document.

Si vous voyez le suivant en exécutant la commande de mise à jour :

Failure downloading upgrade list.

Vérifiez s'il vous plaît que vous avez changé l'hôte dynamique.  Si ceci continue, veuillez demandent et valident que votre ESA ou SMA provisioned correctement pour test le bêta ou de pré-version.

Informations connexes

TAC Authored

Contribution d’experts de Cisco

  • John Hess
    Sécurité du courrier électronique de Cisco
  • Robert Sherwin
    Sécurité du courrier électronique de Cisco

Ce document vous est-il utile?

FeedbackCommentaires

Contacter Cisco

Ce document s’applique à ces produits