De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.
Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.
Dit document bevat antwoorden op vaak gestelde vragen over het gebruik van externe toegang door Cisco Technical Support op Cisco Content Security Appliance. Dit omvat de Cisco e-mail security applicatie (ESA), Cisco web security applicatie (WSA) en Cisco Security Management applicatie (SMA).
De informatie in dit document is gebaseerd op de Cisco Content Security Appliance die elke versie van AsyncOS uitvoert.
Externe toegang is een Secure Shell (SSH)-verbinding die via een Cisco Content Security Appliance aan een beveiligde host bij Cisco wordt ingeschakeld. Alleen Cisco Customer Assistance kan het apparaat benaderen nadat er een externe sessie is geactiveerd. Externe toegang stelt Cisco Customer Support in staat een apparaat te analyseren. Ondersteuning heeft toegang tot het apparaat via een SSH-tunnel die door deze procedure wordt gecreëerd tussen het apparaat en de server upgrades.ironport.com.
Wanneer een externe toegangsverbinding wordt gestart, opent het apparaat een beveiligde, willekeurige, hoge-bronpoort via een SSH-verbinding op het apparaat naar de geconfigureerde/geselecteerde poort van een van de volgende Cisco Content Security-servers:
IP-adres | schuilnaam | Gebruik |
63.251.108.107 | upgrades.ironport.com | Alle content security applicaties |
63.251.108.107 | c.tunnels.ironport.com | C-Series-apparaten (ESA’s) |
63.251.108.107 | x.tunnels.ironport.com | X-Series-apparaten (ESA) |
63.251.108.107 | m.tunnels.ironport.com | M-Series apparaten (SMA) |
63.251.108.107 | s.tunnels.ironport.com | S-Series apparaten (WSA) |
Het is belangrijk om op te merken dat een firewall van een klant moet worden geconfigureerd om uitgaande verbindingen naar een van de bovengenoemde servers mogelijk te maken. Als uw firewall TCP inspectie heeft toegelaten, zal de tunnel niet opstellen. Poorten die Cisco verbindingen van het apparaat voor de externe toegang zal accepteren zijn:
De externe toegangsverbinding wordt gemaakt met een host-naam en niet met een gecodeerd IP-adres. Hiervoor moet Domain Name Server (DNS) op het apparaat zijn ingesteld om de uitgaande verbinding te kunnen opzetten.
Op een klantnetwerk kunnen sommige protocol-bewuste netwerkapparaten deze verbinding blokkeren vanwege een protocol/poort-mismatch. Sommige Simple Mail Transport Protocol (MTP)-bewuste apparaten kunnen de verbinding ook onderbreken. In gevallen waar er protocol-bewuste apparaten of uitgaande verbindingen zijn geblokkeerd, kan het gebruik van een poort anders dan de standaard (25) vereist zijn. Toegang tot het externe einde van de tunnel is alleen beperkt tot Cisco Customer Support. Zorg ervoor dat u uw firewall/netwerk opnieuw bekijkt voor uitgaande verbindingen wanneer u probeert om externe toegangsverbindingen voor uw apparaat op te zetten of op te lossen.
Opmerking: Wanneer een Cisco Customer Support Engineer-eigenaar via externe toegang op het apparaat is aangesloten, wordt de systeemmelding in het apparaat (SERVICE) weergegeven.
Opmerking: Zorg ervoor dat u de gebruikershandleiding van uw apparaat en de versie van AsyncOS raadpleegt voor instructies over "Externe toegang voor Cisco Technical Support Personeel".
Opmerking: Attachments die per e-mail naar attach@cisco.com worden verstuurd, zijn mogelijk niet veilig op doorreis. Support Case Manager is de door Cisco aanbevolen beveiligde optie om informatie naar uw case te uploaden. U kunt als volgt meer informatie krijgen over de beveiliging en de groottebeperkingen van andere opties voor het uploaden van bestanden: Uploaden van klantbestanden naar Cisco Technical Assistance Center
Identificeer een haven die van het internet kan worden bereikt. Het standaard is port 25, dat in de meeste omgevingen zal werken omdat het systeem ook algemene toegang over die poort vereist om e-mailberichten te verzenden. Aansluitingen via deze poort zijn toegestaan in de meeste firewallconfiguraties.
Voltooi de volgende stappen om een externe toegangsverbinding via de CLI, als een beheerder, op te zetten:
Externe toegang wordt momenteel ingeschakeld. Het apparaat werkt nu om de beveiligde verbinding naar de beveiligde bastion-host in Cisco tot stand te brengen. Geef zowel het serienummer van het apparaat als de startkabel op die is gegenereerd naar de TAC Engineer die uw case ondersteunt.
Voltooi de volgende stappen om een externe toegangsverbinding via de GUI, als een beheerder, op te zetten:
Externe toegang wordt momenteel ingeschakeld. Het apparaat werkt nu om de beveiligde verbinding naar de beveiligde bastion-host in Cisco tot stand te brengen. Geef zowel het serienummer van het apparaat als de startkabel op die is gegenereerd naar de TAC Engineer die uw case ondersteunt.
Gebruik dit voorbeeld om een eerste test uit te voeren voor de aansluitingen van uw apparaat naar Cisco:
example.run> > telnet upgrades.ironport.com 25
Trying 63.251.108.107...
Connected to 63.251.108.107.
Escape character is '^]'.
SSH-2.0-OpenSSH_6.2 CiscoTunnels1
De connectiviteit kan worden getest voor een van de bovengenoemde poorten: 22, 25, 53, 80, 443 of 4766. Als de connectiviteit niet goed werkt, kunt u een pakketvastlegging moeten uitvoeren om te zien waar de verbinding niet bij uw apparaat/netwerk werkt.
Externe toegang is mogelijk niet mogelijk op een SMA indien de SMA in het lokale netwerk is geplaatst zonder directe toegang tot internet. Bijvoorbeeld, de toegang op afstand kan op een ESA of WSA worden geactiveerd, en SSH toegang kan op de SMA worden geactiveerd. Hiermee kan Cisco-ondersteuning eerst worden aangesloten via externe toegang tot de ESA/WSA, en vervolgens van de ESA/WSA naar de SMA via SSH. Dit vereist connectiviteit tussen de ESA/WSA en de SMA op haven 22.
Opmerking: Zorg ervoor dat u de gebruikershandleiding van uw apparaat en de versie van AsyncOS raadpleegt voor instructies over "Externe toegang tot applicaties zonder directe internetverbinding inschakelen".
Voltooi de volgende stappen om een externe toegangsverbinding via de CLI, als een beheerder, op te zetten:
Externe toegang wordt momenteel ingeschakeld. De CLI uitvoer zal de zaadstring tonen. Verstrek dit aan de Cisco Customer Support Engineer. De CLI-uitvoer geeft ook de verbindingsstatus en de gegevens over de toegang op afstand weer, inclusief het serienummer van het apparaat. Geef dit serienummer op aan de Customer Support Engineer.
Voltooi de volgende stappen om een externe toegangsverbinding via de GUI, als een beheerder, op te zetten:
Externe toegang wordt momenteel ingeschakeld. De GUI-uitvoer geeft u een succesbericht en de startkabel van het apparaat weer. Verstrek dit aan de Cisco Customer Support Engineer. De GUI-uitvoer toont ook de verbindingsstatus en de toegangsgegevens op afstand, inclusief het serienummer van het apparaat. Geef dit serienummer op aan de Customer Support Engineer.
De toegang op afstand uitschakelen voor SSHACCESS is dezelfde stappen als hierboven zijn beschreven.
Als het apparaat geen toegang op afstand kan inschakelen en geen verbinding met upgrades.ironport.com kan maken via een van de genoemde poorten, dient u een pakketvastlegging direct van het apparaat uit te voeren om te bekijken wat de uitgaande verbinding veroorzaakt.
Opmerking: Controleer de gebruikershandleiding van uw apparaat en de versie van AsyncOS voor informatie over "Actie bij een pakketvastlegging".
De Cisco Customer Support Engineer kan vragen om het .pcap-bestand te hebben geleverd om de probleemoplossing te bekijken en te ondersteunen.