はじめに
このドキュメントでは、ダウンロード、更新、およびアップグレードの静的ホストで使用するためにCiscoコンテンツセキュリティアプライアンスを設定するために必要なIPアドレスとホストについて説明します。 これらの設定は、ハードウェアまたは仮想Cisco Eメールセキュリティアプライアンス(ESA)、Webセキュリティアプライアンス(WSA)、またはセキュリティ管理アプライアンス(SMA)に使用されます。
スタティック ホストを使用したコンテンツ セキュリティ アプライアンスのダウンロード、アップデートまたはアップグレード
シスコでは、ファイアウォールまたはプロキシの要件が厳しいお客様向けに、スタティックホストを提供しています。ダウンロードと更新に静的ホストを使用するようにアプライアンスを設定する場合、ダウンロードと更新に同じ静的ホストをネットワーク上のファイアウォールとプロキシでも許可する必要があることに注意してください。
ダウンロード、更新、およびアップグレードプロセスに関係するスタティックホスト名、IPアドレス、およびポートは次のとおりです。
- downloads-static.ironport.com
- updates-static.ironport.com
- 208.90.58.25(ポート80)
- 184.94.240.106(ポート80)
GUIによるサービスアップデートの設定
GUIからAsyncOSのダウンロード、アップデート、またはアップグレードの設定を変更するには、次の手順を実行します。
- 更新設定の設定ページに移動します
- WSA: System Administration >アップグレードと更新の設定
- ESA:セキュリティサービス>サービスアップデート
- SMA:システム管理>設定の更新
- [Edit Update Settings....] をクリックします。
- Update Servers (images)セクションで、「Local Update Servers (location of update image files)」を選択します。
- Base URLフィールドにはhttp://downloads-static.ironport.comと入力し、Portフィールドにはポート80を設定します。
- Authentication (optional)フィールドは空白のままにします。
- (*) ESAのみ:Host (McAfee Anti-Virus definitions、PXE Engine updates、Sophos Anti-Virus definitions、IronPort Anti-Spam rules、Outbreak Filters rules、DLP updates、Time zone rules、およびEnrollment Client(URLフィルタリング用の証明書の取得に使用)フィールドにupdates-static.ironport.comと入力します。 (ポート80はオプションです)。
- Update Servers(リスト)セクションとフィールドはすべて、デフォルトのCisco IronPortアップデートサーバに設定したままにします。
- 特定のインターフェイスを介して通信する必要がある場合は、必要に応じて外部通信用のインターフェイスが選択されていることを確認します。 デフォルト設定では自動選択に設定されます。
- 必要に応じて、設定済みのプロキシサーバを確認し、更新します。
- [Submit] をクリックします。
- 右上隅のCommit Changesをクリックします。
- 最後に、Commit Changesをもう一度クリックして、すべての設定変更を確認します。
このドキュメントの「検証」の項に進んでください。
CLIによるupdateconfigの設定
同じ変更は、アプライアンスのCLIから適用できます。 CLIからAsyncOSのダウンロード、更新、またはアップグレードの設定を変更するには、次の手順を実行します。
- CLIコマンドupdateconfigを実行します。
- コマンドSETUPを入力します。
- 設定のために提示される最初のセクションは、「機能キーの更新」です。 「2」を使用します。use own server」と入力し、http://downloads-static.ironport.com:80/と入力します。
- (*) ESAのみ – 設定する2番目のセクションは「Service (images)」です。「2」を使用してください。own server'を使用し、updates-static.ironport.comと入力します。
- 他のすべての設定プロンプトは、デフォルトに設定しておくことができます。
- 特定のインターフェイスを介して通信する必要がある場合は、必要に応じて外部通信用のインターフェイスが選択されていることを確認します。 デフォルト設定は自動に設定されます。
- 必要に応じて、設定済みのプロキシサーバを確認し、更新します。
- Returnキーを押して、メインCLIプロンプトに戻ります。
- CLIコマンドCOMMITを実行して、すべての設定変更を保存します。
このドキュメントの「検証」の項に進んでください。
検証
アップデート
アプライアンスのアップデートを検証するには、CLIから検証するのが最善の方法です。
CLI から、
- updatenowを実行します。
- (*) ESAのみ:updatenow forceを実行すると、すべてのサービスとルールセットを更新できます。
- tail updater_logsを実行します。
「http://updates-static.ironport.com/...」の行に特に注意してください。 これは、通信を通知し、静的アップデータサーバを使用してダウンロードする必要があります。
ESAからのCisco Antispam Engine(CASE)および関連ルールの更新の例:
Wed Aug 2 09:22:05 2017 Info: case was signalled to start a new update
Wed Aug 2 09:22:05 2017 Info: case processing files from the server manifest
Wed Aug 2 09:22:05 2017 Info: case started downloading files
Wed Aug 2 09:22:05 2017 Info: case waiting on download lock
Wed Aug 2 09:22:05 2017 Info: case acquired download lock
Wed Aug 2 09:22:05 2017 Info: case beginning download of remote file "http://updates-static.ironport.com/case/2.0/case/default/1480513074538790"
Wed Aug 2 09:22:07 2017 Info: case released download lock
Wed Aug 2 09:22:07 2017 Info: case successfully downloaded file "case/2.0/case/default/1480513074538790"
Wed Aug 2 09:22:07 2017 Info: case waiting on download lock
Wed Aug 2 09:22:07 2017 Info: case acquired download lock
Wed Aug 2 09:22:07 2017 Info: case beginning download of remote file "http://updates-static.ironport.com/case/2.0/case_rules/default/1501673364679194"
Wed Aug 2 09:22:10 2017 Info: case released download lock
<<<SNIP FOR BREVITY>>>
サービスが通信し、ダウンロードし、更新が正常に行われる限り、設定は完了します。
サービスの更新が完了すると、updater_logsには次のように表示されます。
Wed Aug 2 09:22:50 2017 Info: case started applying files
Wed Aug 2 09:23:04 2017 Info: case cleaning up base dir [bindir]
Wed Aug 2 09:23:04 2017 Info: case verifying applied files
Wed Aug 2 09:23:04 2017 Info: case updating the client manifest
Wed Aug 2 09:23:04 2017 Info: case update completed
Wed Aug 2 09:23:04 2017 Info: case waiting for new updates
アップグレード
アップグレード通信が成功して完了したことを確認するには、System Upgradeページに移動して、Available Upgradesをクリックします。使用可能なバージョンのリストが表示されたら設定は完了です。
CLIからは、upgradeコマンドを実行するだけです。 利用可能なアップグレードがある場合は、downloadオプションを選択してアップグレードマニフェストを表示します。
myesa.local> upgrade
Choose the operation you want to perform:
- DOWNLOADINSTALL - Downloads and installs the upgrade image (needs reboot).
- DOWNLOAD - Downloads the upgrade image.
[]> download
Upgrades available.
1. AsyncOS 9.6.0 build 051 upgrade For Email, 2015-09-02 this release is for General Deployment
2. AsyncOS 9.7.0 build 125 upgrade For Email, 2015-10-15. This release is for General Deployment
3. AsyncOS 9.7.1 build 066 upgrade For Email, 2016-02-16. This release is for General Deployment.
4. cisco-sa-20150625-ironport SSH Keys Vulnerability Fix
[4]>
トラブルシューティング
アップデート
アップデートが失敗すると、アプライアンスから通知アラートが送信されます。次に、最も一般的に受信される電子メール通知の例を示します。
The updater has been unable to communicate with the update server for at least 1h.
Last message occurred 4 times between Tue Mar 1 18:02:01 2016 and Tue Mar 1 18:32:03 2016.
Version: 9.7.1-066
Serial Number: 888869DFCCCC-3##CV##
Timestamp: 01 Mar 2016 18:52:01 -0500
アプライアンスから指定したアップデータサーバへの通信をテストする必要があります。 この例では、with downloads-static.ironport.comに関する問題です。 telnetを使用して、アプライアンスはポート80経由でオープン通信を行う必要があります。
myesa.local> telnet downloads-static.ironport.com 80
Trying 208.90.58.105...
Connected to downloads-static.ironport.com.
Escape character is '^]'.
同様に、updates-static.ironport.comについても同じことが確認できます。
> telnet updates-static.ironport.com 80
Trying 208.90.58.25...
Connected to origin-updates.ironport.com.
Escape character is '^]'.
アプライアンスに複数のインターフェイスがある場合は、適切なインターフェイスが選択されていることを検証するために、CLIからtelnetを実行してインターフェイスを指定できます。
> telnet
Please select which interface you want to telnet from.
1. Auto
2. Management (172.18.249.120/24: myesa.local)
[1]>
Enter the remote hostname or IP address.
[]> downloads-static.ironport.com
Enter the remote port.
[25]> 80
Trying 208.90.58.105...
Connected to downloads-static.ironport.com.
Escape character is '^]'.
アップグレード
アップグレードしようとすると、次の応答が表示される場合があります。
No available upgrades. If the image has already been downloaded it has been de-provisioned from the upgrade server. Delete the downloaded image, if any and run upgrade.
アプライアンスで実行されているAsyncOSのバージョンと、アップグレード先のAsyncOSのバージョンのリリースノートを確認する必要があります。 実行しているバージョンからアップグレードしようとしているバージョンへのアップグレードパスがない可能性があります。
ホットパッチ(HP)、Early Deployment(ED)、またはLimited Deployment(LD)AsyncOSバージョンにアップグレードする場合は、適切なプロビジョニングが完了するように要求するためにサポートケースをオープンする必要があります。これにより、アプライアンスは必要に応じてアップグレードパスを確認できます。
関連情報