使用静态主机的内容安全设备下载、更新或升级

简介

本文档介绍配置思科内容安全设备以便与静态主机一起用于下载、更新和升级所需的IP地址和主机。 这些配置用于硬件或虚拟思科邮件安全设备(ESA)、网络安全设备(WSA)或安全管理设备(SMA)。

使用静态主机的内容安全设备下载、更新或升级

思科为具有严格防火墙或代理要求的客户提供静态主机。请务必注意，如果将设备配置为使用静态主机进行下载和更新，则防火墙和网络代理中也必须允许相同的静态主机进行下载和更新。

以下是下载、更新和升级过程中涉及的静态主机名、IP地址和端口：

• downloads-static.ironport.com
  • 208.90.58.105（端口80）
• updates-static.ironport.com
  • 208.90.58.25（端口80）
  • 184.94.240.106（端口80）

通过GUI配置服务更新

要从GUI更改AsyncOS上的下载、更新或升级配置，请完成以下步骤：

1. 导航到更新设置配置页面
   1. WSA:系统管理>升级和更新设置
   2. ESA:安全服务>服务更新
   3. SMA:系统管理>更新设置
2. 单击Edit Update Settings....
3. 在更新服务器（映像）部分中，选择“本地更新服务器（更新映像文件的位置）”。
4. 对于Base URL字段，在http://downloads-static.ironport.com中输入，对于Port字段，为端口80设置。
5. 将Authentication(可选)字段留空。
6. (*)仅ESA — 对于主机(McAfee防病毒定义、PXE引擎更新、Sophos防病毒定义、IronPort反垃圾邮件规则、爆发过滤器规则、DLP更新、时区规则和注册客户端（用于为URL过滤获取证书）字段，请输入updates-static.ironport.com。 （端口80是可选的。）
7. 保留Update Servers(list)部分和全部字段设置为默认Cisco IronPort更新服务器。
8. 如果需要通过特定接口进行通信，请确保根据外部通信需要选择接口。 默认配置将设置为Auto Select。
9. 如果需要，验证和更新已配置的代理服务器。
10. 单击 submit。
11. 在右上角，单击Commit Changes。
12. 最后，再次单击Commit Changes以确认所有配置更改。

进入本文档的“验证”部分。

通过CLI配置updateconfig

通过设备上的CLI可以应用相同的更改。 要从CLI更改AsyncOS上的下载、更新或升级配置，请完成以下步骤：

1. 运行CLI命令updateconfig。
2. 输入命令SETUP。
3. 显示的第一个配置部分是“功能密钥更新”。 使用“2.使用自己的服务器”并输入http://downloads-static.ironport.com:80/。
4. (*)仅ESA — 显示的配置第二部分为“服务（映像）”。使用“2.使用自己的服务器”并输入updates-static.ironport.com。
5. 所有其他配置提示都可以保留为默认值。
6. 如果需要通过特定接口进行通信，请确保根据外部通信需要选择接口。 默认配置将设置为Auto。
7. 如果需要，验证和更新已配置的代理服务器。
8. 按return返回至主CLI提示符。
9. 运行CLI命令COMMIT以保存所有配置更改。

进入本文档的“验证”部分。

确认

更新 

要验证设备上的更新，最好通过CLI进行验证。

从 CLI：

1. 运行updatenow。
   1. (*)仅限ESA — 您可以运行updatenow force来更新所有服务和规则集。
2. 运行tail updater_logs。

您需要密切注意以下行“http://updates-static.ironport.com/...”  这应该表示与静态更新程序服务器的通信和下载。

例如，从ESA更新思科反垃圾邮件引擎(CASE)和相关规则：

Wed Aug 2 09:22:05 2017 Info: case was signalled to start a new update
Wed Aug 2 09:22:05 2017 Info: case processing files from the server manifest
Wed Aug 2 09:22:05 2017 Info: case started downloading files
Wed Aug 2 09:22:05 2017 Info: case waiting on download lock
Wed Aug 2 09:22:05 2017 Info: case acquired download lock
Wed Aug 2 09:22:05 2017 Info: case beginning download of remote file "http://updates-static.ironport.com/case/2.0/case/default/1480513074538790"
Wed Aug 2 09:22:07 2017 Info: case released download lock
Wed Aug 2 09:22:07 2017 Info: case successfully downloaded file "case/2.0/case/default/1480513074538790"
Wed Aug 2 09:22:07 2017 Info: case waiting on download lock
Wed Aug 2 09:22:07 2017 Info: case acquired download lock
Wed Aug 2 09:22:07 2017 Info: case beginning download of remote file "http://updates-static.ironport.com/case/2.0/case_rules/default/1501673364679194"
Wed Aug 2 09:22:10 2017 Info: case released download lock
<<<SNIP FOR BREVITY>>>

只要服务进行通信、下载并成功更新，就会设置您。

服务更新完成后，updater_logs将显示：

Wed Aug 2 09:22:50 2017 Info: case started applying files
Wed Aug 2 09:23:04 2017 Info: case cleaning up base dir [bindir]
Wed Aug 2 09:23:04 2017 Info: case verifying applied files
Wed Aug 2 09:23:04 2017 Info: case updating the client manifest
Wed Aug 2 09:23:04 2017 Info: case update completed
Wed Aug 2 09:23:04 2017 Info: case waiting for new updates

升级

要验证升级通信是否成功和完成，请导航到系统升级页面，然后单击可用升级。如果显示可用版本列表，则说明您的设置已完成。

在CLI中，您只需运行upgrade命令。 如果存在可用的升级，请选择download选项以查看升级清单。

myesa.local> upgrade


Choose the operation you want to perform:
- DOWNLOADINSTALL - Downloads and installs the upgrade image (needs reboot).
- DOWNLOAD - Downloads the upgrade image.
[]> download

Upgrades available.
1. AsyncOS 9.6.0 build 051 upgrade For Email, 2015-09-02 this release is for General Deployment
2. AsyncOS 9.7.0 build 125 upgrade For Email, 2015-10-15. This release is for General Deployment
3. AsyncOS 9.7.1 build 066 upgrade For Email, 2016-02-16. This release is for General Deployment.
4. cisco-sa-20150625-ironport SSH Keys Vulnerability Fix
[4]>

故障排除

更新

更新失败时，设备会发送通知警报。下面是最常见的电邮通知示例：

The updater has been unable to communicate with the update server for at least 1h.

Last message occurred 4 times between Tue Mar 1 18:02:01 2016 and Tue Mar 1 18:32:03 2016.

Version: 9.7.1-066
Serial Number: 888869DFCCCC-3##CV##
Timestamp: 01 Mar 2016 18:52:01 -0500

您将需要测试从设备到指定更新程序服务器的通信。 在本例中，我们关注with downloads-static.ironport.com。 使用telnet时，设备应该能够通过端口80进行开放式通信：

myesa.local> telnet downloads-static.ironport.com 80

Trying 208.90.58.105...
Connected to downloads-static.ironport.com.
Escape character is '^]'.

同样，updates-static.ironport.com也应该如此：

> telnet updates-static.ironport.com 80

Trying 208.90.58.25...
Connected to origin-updates.ironport.com.
Escape character is '^]'.

如果设备有多个接口，您可能希望从CLI运行telnet，并指定接口，以验证是否选择了正确的接口：

> telnet

Please select which interface you want to telnet from.
1. Auto
2. Management (172.18.249.120/24: myesa.local)
[1]>

Enter the remote hostname or IP address.
[]> downloads-static.ironport.com

Enter the remote port.
[25]> 80

Trying 208.90.58.105...
Connected to downloads-static.ironport.com.
Escape character is '^]'.

升级

尝试升级时，您可能会看到以下响应：

No available upgrades. If the image has already been downloaded it has been de-provisioned from the upgrade server. Delete the downloaded image, if any and run upgrade.

您将要查看设备上运行的AsyncOS版本，并查看要升级到的AsyncOS版本的发行版本注释。 可能没有从正在运行的版本到您尝试升级到的版本的升级路径。

如果要升级到热修补程序(HP)、早期部署(ED)或有限部署(LD)AsyncOS版本，可能需要打开支持案例以请求完成适当的调配，以便设备根据需要查看升级路径。

相关信息

• 思科邮件安全设备 — 版本说明
• 思科网络安全设备 — 版本说明
• 思科安全管理设备 — 版本说明
• 技术支持和文档 - Cisco Systems