스테이징 업데이트를 위한 Cisco Email Security 및 보안 관리 구성

소개

이 문서에서는 베타 고객 및 테스트에 사용된 사전 프로비저닝된 어플라이언스의 프로세스, AsyncOS 버전을 업그레이드하고 베타 및 사전 릴리스 테스트를 실행하는 ESA 및 SMA에 대한 업데이트를 받아야 하는 프로세스에 대해 설명합니다.  이 문서는 Cisco ESA(Email Security Appliance) 및 Cisco SMA(Security Management Appliance)와 직접 관련이 있습니다. 스테이징 서버는 프로덕션 ESA 또는 SMA에 표준 프로덕션 고객이 사용하지 않습니다.  스테이징 OS 릴리스, 서비스 규칙 및 서비스 엔진은 프로덕션에 따라 다릅니다.

또한 라이센스를 검증하고 인증할 수 없으므로 프로덕션 라이센스는 Stage 릴리스로 업그레이드할 수 없습니다.프로덕션 VLAN은 생성 중에 라이센스가 작성될 때 서명 값을 가지며, 이는 프로덕션 라이센스 서비스와 일치합니다.스테이지 라이센스에는 스테이징 라이센스 서비스에 대해서만 별도의 서명이 작성됩니다.

사전 요구 사항

요구 사항

1. 관리자는 베타(시험판 OS) 설치 또는 업그레이드에 대한 사전 통신을 수신했습니다.
2. 베타 및 사전 출시 테스트에 참여하는 고객은 베타 애플리케이션을 완료했으며 베타 시작 전에 비공개 계약을 읽고 동의한 상태입니다.

사용되는 구성 요소

이 문서는 특정 소프트웨어 및 하드웨어 버전으로 한정되지 않습니다.

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다.이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다.현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.

스테이징 업데이트를 위한 Cisco Email Security 및 보안 관리 구성

참고:고객은 Cisco for Beta(시험판 OS) 사용량만을 통해 사전 프로비저닝에 액세스한 경우에만 스테이징 업데이트 서버 URL을 사용해야 합니다.베타 사용에 유효한 라이센스가 적용되지 않은 경우 어플라이언스는 스테이징 업데이트 서버에서 업데이트를 받지 않습니다.이러한 지침은 베타 고객 또는 베타 테스트에 참여하는 관리자만 사용해야 합니다.

스테이징 업데이트 및 업그레이드를 받으려면

GUI에 로그인

1. Security Services(보안 서비스) > Services Updates(서비스 업데이트) > Edit Update Settings(업데이트 설정 편집)를 선택합니다.
2. 모든 서비스가 Cisco IronPort 업데이트 서버를 사용하도록 구성되었는지 확인합니다.

CLI에 로그인

1. updateconfig 명령 실행
2. 숨겨진 하위 명령 dynamichost 실행
3. 다음 명령 중 하나를 입력합니다.
   • 하드웨어 ESA/SMA의 경우:stage-update-manifests.ironport.com:443
   • 가상 ESA/SMA: stage-stg-updates.ironport.com:443
4. 기본 프롬프트로 돌아갈 때까지 Enter를 누릅니다.
5. 모든 변경 사항을 저장하려면 Commit을 입력합니다.

다음을 확인합니다.

확인은 updater_logs에서 적절한 단계 URL에 대한 통신 성공과 함께 확인할 수 있습니다.어플라이언스의 CLI에서 grep stage updater_logs를 입력합니다.

esa.local> updatenow force

Success - Force update for all components requested
esa.local > grep stage updater_logs

Wed Mar 16 18:16:17 2016 Info: internal_cert beginning download of remote file "http://stage-updates.ironport.com/internal_cert/1.0.0/internal_ca.pem/default/100101"
Wed Mar 16 18:16:17 2016 Info: content_scanner beginning download of remote file "http://stage-updates.ironport.com/content_scanner/1.1/content_scanner/default/1132001"
Wed Mar 16 18:16:17 2016 Info: enrollment_client beginning download of remote file "http://stage-updates.ironport.com/enrollment_client/1.0/enrollment_client/default/102057"
Wed Mar 16 18:16:18 2016 Info: support_request beginning download of remote file "http://stage-updates.ironport.com/support_request/1.0/support_request/default/100002"
Wed Mar 16 18:16:18 2016 Info: timezones beginning download of remote file "http://stage-updates.ironport.com/timezones/2.0/zoneinfo/default/2015100"
Wed Mar 16 18:26:19 2016 Info: repeng beginning download of remote file "http://stage-updates.ironport.com/repeng/1.2/repeng_tools/default/1392120079"

예기치 않은 통신 오류가 있는 경우 dig <stage URL>을 입력하여 DNS(Domain Name Server)를 확인합니다.

예:

esa.local > dig stage-updates.ironport.com


; <<>> DiG 9.8.4-P2 <<>> stage-updates.ironport.com A
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 52577
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;stage-updates.ironport.com. IN A

;; ANSWER SECTION:
stage-updates.ironport.com. 275 IN A 208.90.58.21

;; Query time: 0 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Tue Mar 22 14:31:10 2016
;; MSG SIZE rcvd: 60

어플라이언스가 포트 80을 통해 텔넷할 수 있는지 확인하고 telnet <stage URL> 80 명령을 실행합니다.

예:

esa.local > telnet stage-updates.ironport.com 80

Trying 208.90.58.21...
Connected to origin-stage-updates.ironport.com.
Escape character is '^]'.

되돌리기

표준 프로덕션 업데이트 서버로 돌아가려면 다음 단계를 완료하십시오.

1. updateconfig 명령을 입력합니다.
2. 숨겨진 하위 명령 dynamichost를 입력합니다.
3. 다음 명령 중 하나를 입력합니다.
   • 하드웨어 ESA/SMA의 경우:update-manifests.ironport.com:443
   • 가상 ESA/SMA의 경우: update-manifests.sco.cisco.com:443
4. 기본 프롬프트로 돌아갈 때까지 Enter를 누릅니다.
5. 모든 변경 사항을 저장하려면 Commit 명령을 실행합니다.

참고:하드웨어 어플라이언스(C1x0, C3x0, C6x0 및 X10x0)는 stage-update-manifests.ironport.com:443 또는 update-manifests.ironport.com:443의 동적 호스트 URL만 사용해야 합니다. ESA및 vESA를 모두 포함하는 클러스터 컨피그레이션이 있는 경우 업데이트 시스템 레벨에서를 구성해야 합니다. 그런 다음 동적 호스트가 적절하게 설정됩니다.

URL 필터링

AsyncOS 13.0 이상

어플라이언스에서 URL 필터링이 구성되고 사용 중인 경우, 어플라이언스가 업데이트에 스테이지 URL을 사용하도록 리디렉션되면 어플라이언스도 URL 필터링에 스테이징 서버를 사용하도록 구성해야 합니다.

1. CLI를 통해 어플라이언스에 액세스
2. 명령을 입력합니다. 웹 보안고급 구성
   • 구성을 단계별로 진행하고 옵션 값 변경 웹 보안 서비스 호스트 이름을 v2.beta.sds.cisco.com으로 입력합니다.
3. 옵션 값 변경 미처리 요청의 임계값을 기본값 50에서 5로 입력합니다.
4. 다른 모든 옵션에 대한 기본값 적용
5. 기본 프롬프트로 돌아갈 때까지 Enter를 누릅니다.
6. 모든 변경 사항을 저장하려면 Commit 명령을 실행합니다.

되돌리기

프로덕션 웹 보안 서비스로 돌아가려면 다음 단계를 완료하십시오.

1. CLI를 통해 어플라이언스 액세스
2. websecurityadvancedconfig 명령을 입력합니다.
   • 구성을 단계별로 진행하고 옵션 값 변경 웹 보안 서비스 호스트 이름을 v2.sds.cisco.com으로 입력합니다.
3. 다른 모든 옵션에 대한 기본값 적용
4. 기본 프롬프트로 돌아갈 때까지 Enter를 누릅니다.
5. 모든 변경 사항을 저장하려면 Commit 명령을 실행합니다.

AsyncOS 13.5 이상(Cisco Talos Services 활용)

AsyncOS 13.5 for Email Security부터 CUA(Cloud URL Analysis)가 도입되고 websecurityadvancedconfig 옵션을 변경했습니다.  이제 Talos 클라우드에서 URL 분석이 수행되므로 웹 보안 서비스 호스트 이름이 더 이상 필요하지 않습니다.  이는 talosconfig 명령으로 대체되었습니다.  이는 ESA의 명령줄에서만 사용할 수 있습니다.  

esa.local> talosconfig


Choose the operation you want to perform:
- SETUP - Configure beaker streamline configuration settings
[]> setup

Configured server is: stage_server

Choose the server for streamline service configuration:
1. Stage Server
2. Production Server
[]> 1

Stage 라이센스를 실행 중인 경우 Talos 서비스용 Stage Server를 가리켜야 합니다.

talosupdate 및 talosstatus를 실행하여 모든 Talos 기반 서비스의 업데이트 및 현재 상태를 요청할 수 있습니다.

예:

자세한 내용은 AsyncOS 13.5 for Cisco Email Security Appliances 사용 설명서를 참조하십시오.

Cisco Talos 서비스에 액세스하기 위한 방화벽 설정

이메일 게이트웨이를 Cisco Talos 서비스에 연결하려면 다음 호스트 이름 또는 IP 주소에 대해 방화벽에서 HTTPS(출력) 443 포트를 열어야 합니다(아래 표 참조).

호스트 이름	IPv4	IPv6
grpc.talos.cisco.com	146.112.62.0/24	2a04:e4c7:ffff::/48
email-sender-ip-rep-grpc.talos.cisco.com	146.112.63.0/24	2a04:e4c7:fffe::/48
serviceconfig.talos.cisco.com	146.112.255.0/24	-
	146.112.59.0/24	-

웹 상호 작용 추적

웹 상호 작용 추적 기능은 재작성된 URL을 클릭한 최종 사용자 및 각 사용자 클릭과 관련된 작업(허용, 차단 또는 알 수 없음)에 대한 정보를 제공합니다.

요구 사항에 따라 전역 설정 페이지 중 하나에서 웹 상호 작용 추적을 활성화할 수 있습니다.

1. Outbreak Filter입니다.Outbreak Filter에서 재작성된 URL을 클릭한 최종 사용자 추적
2. URL 필터링.정책에 의해 재작성된 URL을 클릭한 최종 사용자 추적(콘텐츠 및 메시지 필터 사용)

웹 상호 작용 추적이 구성 및 사용 중인 경우 어플라이언스가 업데이트에 단계 URL을 사용하도록 리디렉션되면 스테이징 어그리게이터 서버를 사용하도록 어플라이언스를 구성해야 합니다.

1. CLI를 통해 어플라이언스에 액세스
2. aggregatorconfig 명령을 입력합니다.
3. EDIT 명령을 사용하여 다음 값을 입력합니다.stage.aggregator.sco.cisco.com
4. 기본 프롬프트로 돌아갈 때까지 Enter를 누릅니다.
5. 모든 변경 사항을 저장하려면 Commit 실행

Aggregator가 스테이징을 위해 구성되지 않은 경우 Admin 이메일 알림을 통해 30분마다 비슷한 알림이 표시됩니다.

Unable to retrieve Web Interaction Tracking information from the Cisco Aggregator Server. Details: Internal Server Error.

또는 CLI에서 displayalerts 명령을 실행하여 다음을 수행합니다.

20 Apr 2020 08:52:52 -0600 Unable to connect to the Cisco Aggregator Server.
Details: No valid SSL certificate was sent.

되돌리기

표준 프로덕션 Aggregator 서버로 돌아가려면 다음 단계를 완료하십시오.

1. CLI를 통해 어플라이언스 액세스
2. aggregatorconfig 명령을 입력합니다.
3. EDIT 명령을 사용하고 다음 값을 입력합니다. aggregator.cisco.com
4. 기본 프롬프트로 돌아갈 때까지 Enter를 누릅니다.
5. 모든 변경 사항을 저장하려면 Commit 명령을 실행합니다.

문제 해결

문제 해결 명령은 이 문서의 "확인" 섹션에 나열됩니다.

upgrade 명령을 실행할 때 다음 사항이 표시되는 경우

Failure downloading upgrade list.

동적 호스트를 변경했는지 확인하십시오.  이 작업이 계속되는 경우, ESA 또는 SMA가 베타 또는 사전 릴리스 테스트에 대해 올바르게 프로비저닝되었는지 묻고 검증하십시오.

관련 정보

• vESA는 안티스팸 또는 안티바이러스 업데이트를 다운로드 및 적용할 수 없음
• 기술 지원 및 문서 − Cisco Systems