소개
이 문서에서는 다운로드, 업데이트 및 업그레이드를 위해 정적 호스트와 함께 사용하도록 Cisco Content Security Appliance를 구성하는 데 필요한 IP 주소 및 호스트에 대해 설명합니다. 이러한 구성은 하드웨어 또는 가상 Cisco ESA(Email Security Appliance), WSA(Web Security Appliance) 또는 SMA(Security Management Appliance)에 사용됩니다.
정적 호스트를 사용한 Content Security Appliance 다운로드, 업데이트 또는 업그레이드
Cisco는 방화벽 또는 프록시 요구 사항이 엄격한 고객을 위해 고정 호스트를 제공합니다.다운로드 및 업데이트에 정적 호스트를 사용하도록 어플라이언스를 구성하는 경우 네트워크의 방화벽과 프록시에서도 다운로드 및 업데이트에 대해 동일한 정적 호스트를 허용해야 합니다.
다음은 다운로드, 업데이트 및 업그레이드 프로세스와 관련된 고정 호스트 이름, IP 주소 및 포트입니다.
- downloads-static.ironport.com
- updates-static.ironport.com
- 208.90.58.25(포트 80)
- 184.94.240.106(포트 80)
GUI를 통한 서비스 업데이트 컨피그레이션
GUI에서 AsyncOS의 다운로드, 업데이트 또는 업그레이드 컨피그레이션을 변경하려면 다음 단계를 완료합니다.
- 업데이트 설정 구성 페이지로 이동합니다.
- WSA:시스템 관리 > 업그레이드 및 업데이트 설정
- ESA:보안 서비스 > 서비스 업데이트
- SMA:시스템 관리 > 업데이트 설정
- Edit Update Settings(업데이트 설정 편집)를 클릭합니다..
- Update Servers (images)(업데이트 서버(이미지)) 섹션에서 "Local Update Servers (update image files location of update image files)"를 선택합니다.
- Base URL 필드의 경우 http://downloads-static.ironport.com를 입력하고 Port 필드에 port 80을 설정합니다.
- Authentication(인증)(선택 사항) 필드를 비워둡니다.
- (*) ESA에만 해당 - 호스트(McAfee Anti-Virus 정의, PXE 엔진 업데이트, Sophos Anti-Virus 정의, IronPort Anti-Spam 규칙, Outbreak Filters 규칙, DLP 업데이트, 표준 시간대 규칙 및 등록 클라이언트(URL 필터링용 인증서를 가져오는 데 사용됨) 필드에 updates-static.port.ironcom을 입력합니다. 포트 80은 선택 사항입니다.
- Update Servers (list)(업데이트 서버(목록)) 섹션 및 필드 모두 기본 Cisco IronPort 업데이트 서버로 설정된 상태로 둡니다.
- 특정 인터페이스를 통해 통신하는 데 필요한 경우 외부 통신에 필요한 인터페이스를 선택했는지 확인합니다. 기본 컨피그레이션이 자동 선택으로 설정됩니다.
- 필요한 경우 구성된 프록시 서버를 확인하고 업데이트합니다.
- 제출을 클릭합니다.
- 오른쪽 상단 모서리에서 Commit Changes(변경 사항 커밋)를 클릭합니다.
- 마지막으로 Commit Changes(변경 사항 커밋)를 다시 클릭하여 모든 컨피그레이션 변경 사항을 확인합니다.
이 문서의 확인 섹션으로 진행합니다.
CLI를 통한 updateconfig 구성
어플라이언스의 CLI를 통해 동일한 변경 사항을 적용할 수 있습니다. CLI에서 AsyncOS의 다운로드, 업데이트 또는 업그레이드 컨피그레이션을 변경하려면 다음 단계를 완료합니다.
- CLI 명령 updateconfig를 실행합니다.
- SETUP 명령에 를 입력합니다.
- 구성할 첫 번째 섹션은 "기능 키 업데이트"입니다. '2. 자체 서버 사용'을 사용하고 http://downloads-static.ironport.com:80/을 입력합니다.
- (*) ESA만 해당 - 구성할 두 번째 섹션은 "서비스(이미지)"입니다. '2. 자체 서버'를 사용하고 updates-static.ironport.com을 입력하십시오.
- 다른 모든 컨피그레이션 프롬프트는 기본값으로 설정할 수 있습니다.
- 특정 인터페이스를 통해 통신하는 데 필요한 경우 외부 통신에 필요한 인터페이스를 선택했는지 확인합니다. 기본 컨피그레이션이 자동으로 설정됩니다.
- 필요한 경우 구성된 프록시 서버를 확인하고 업데이트합니다.
- Return 키를 눌러 기본 CLI 프롬프트로 돌아갑니다.
- CLI 명령 COMMIT를 실행하여 모든 컨피그레이션 변경 사항을 저장합니다.
이 문서의 확인 섹션으로 진행합니다.
확인
업데이트
어플라이언스에서 업데이트를 확인하려면 CLI에서 확인하는 것이 좋습니다.
CLI에서 다음을 수행합니다.
- updates를 실행합니다.
- (*) ESA에만 해당 - updates force를 실행하여 모든 서비스 및 규칙 집합을 업데이트할 수 있습니다.
- tail updater_logs를 실행합니다.
"http://updates-static.ironport.com/..." 행에 주의하여 주십시오. 이렇게 하면 정적 업데이터 서버와의 통신 및 다운로드에 신호를 보낼 수 있습니다.
예를 들어 ESA에서 Cisco CASE(AntiSpam Engine) 및 관련 규칙을 업데이트하는 경우
Wed Aug 2 09:22:05 2017 Info: case was signalled to start a new update
Wed Aug 2 09:22:05 2017 Info: case processing files from the server manifest
Wed Aug 2 09:22:05 2017 Info: case started downloading files
Wed Aug 2 09:22:05 2017 Info: case waiting on download lock
Wed Aug 2 09:22:05 2017 Info: case acquired download lock
Wed Aug 2 09:22:05 2017 Info: case beginning download of remote file "http://updates-static.ironport.com/case/2.0/case/default/1480513074538790"
Wed Aug 2 09:22:07 2017 Info: case released download lock
Wed Aug 2 09:22:07 2017 Info: case successfully downloaded file "case/2.0/case/default/1480513074538790"
Wed Aug 2 09:22:07 2017 Info: case waiting on download lock
Wed Aug 2 09:22:07 2017 Info: case acquired download lock
Wed Aug 2 09:22:07 2017 Info: case beginning download of remote file "http://updates-static.ironport.com/case/2.0/case_rules/default/1501673364679194"
Wed Aug 2 09:22:10 2017 Info: case released download lock
<<<SNIP FOR BREVITY>>>
서비스가 통신, 다운로드 및 성공적으로 업데이트되는 한 사용자가 설정됩니다.
서비스 업데이트가 완료되면 updater_logs에 다음이 표시됩니다.
Wed Aug 2 09:22:50 2017 Info: case started applying files
Wed Aug 2 09:23:04 2017 Info: case cleaning up base dir [bindir]
Wed Aug 2 09:23:04 2017 Info: case verifying applied files
Wed Aug 2 09:23:04 2017 Info: case updating the client manifest
Wed Aug 2 09:23:04 2017 Info: case update completed
Wed Aug 2 09:23:04 2017 Info: case waiting for new updates
업그레이드
업그레이드 통신이 성공하고 완료되었는지 확인하려면 System Upgrade 페이지로 이동하여 Available Upgrades(사용 가능한 업그레이드)를 클릭합니다.사용 가능한 버전 목록이 표시되면 설정이 완료된 것입니다.
CLI에서 upgrade 명령을 실행하면 됩니다. 사용 가능한 업그레이드가 있는 경우 업그레이드 매니페스트를 보려면 다운로드 옵션을 선택합니다.
myesa.local> upgrade
Choose the operation you want to perform:
- DOWNLOADINSTALL - Downloads and installs the upgrade image (needs reboot).
- DOWNLOAD - Downloads the upgrade image.
[]> download
Upgrades available.
1. AsyncOS 9.6.0 build 051 upgrade For Email, 2015-09-02 this release is for General Deployment
2. AsyncOS 9.7.0 build 125 upgrade For Email, 2015-10-15. This release is for General Deployment
3. AsyncOS 9.7.1 build 066 upgrade For Email, 2016-02-16. This release is for General Deployment.
4. cisco-sa-20150625-ironport SSH Keys Vulnerability Fix
[4]>
문제 해결
업데이트
업데이트가 실패할 경우 어플라이언스가 알림 알림을 전송합니다.다음은 가장 일반적으로 수신되는 이메일 알림의 예입니다.
The updater has been unable to communicate with the update server for at least 1h.
Last message occurred 4 times between Tue Mar 1 18:02:01 2016 and Tue Mar 1 18:32:03 2016.
Version: 9.7.1-066
Serial Number: 888869DFCCCC-3##CV##
Timestamp: 01 Mar 2016 18:52:01 -0500
어플라이언스에서 지정된 업데이터 서버로의 통신을 테스트합니다. 이 경우 downloads-static.ironport.com이 걱정됩니다. 텔넷을 사용하여 어플라이언스는 포트 80을 통해 열린 통신을 가져야 합니다.
myesa.local> telnet downloads-static.ironport.com 80
Trying 208.90.58.105...
Connected to downloads-static.ironport.com.
Escape character is '^]'.
마찬가지로 updates-static.ironport.com에서도 동일한 기능을 확인해야 합니다.
> telnet updates-static.ironport.com 80
Trying 208.90.58.25...
Connected to origin-updates.ironport.com.
Escape character is '^]'.
어플라이언스에 여러 인터페이스가 있는 경우 CLI에서 텔넷을 실행하고 인터페이스를 지정하여 올바른 인터페이스가 선택되었는지 확인할 수 있습니다.
> telnet
Please select which interface you want to telnet from.
1. Auto
2. Management (172.18.249.120/24: myesa.local)
[1]>
Enter the remote hostname or IP address.
[]> downloads-static.ironport.com
Enter the remote port.
[25]> 80
Trying 208.90.58.105...
Connected to downloads-static.ironport.com.
Escape character is '^]'.
업그레이드
업그레이드를 시도할 때 다음 응답이 표시될 수 있습니다.
No available upgrades. If the image has already been downloaded it has been de-provisioned from the upgrade server. Delete the downloaded image, if any and run upgrade.
어플라이언스에서 실행 중인 AsyncOS의 버전을 검토하고 업그레이드 중인 AsyncOS 버전의 릴리스 정보를 검토합니다. 실행 중인 버전에서 업그레이드하려는 버전으로 업그레이드 경로가 없을 수 있습니다.
HP(Hot Patch), ED(Early Deployment) 또는 LD(Limited Deployment) AsyncOS 버전으로 업그레이드하는 경우, 어플라이언스에서 필요에 따라 업그레이드 경로를 확인하기 위해 적절한 프로비저닝이 완료되도록 요청하려면 지원 케이스를 열어야 할 수 있습니다.
관련 정보