为临时更新配置思科邮件安全和安全管理

简介

本文档介绍测试版客户和用于测试的预调配设备的流程，这些设备需要升级AsyncOS版本并获取运行Beta和预发行版测试的ESA和SMA的更新。  本文档直接涉及思科邮件安全设备(ESA)和思科安全管理设备(SMA)。 请记住，标准生产客户不要使用登台服务器来生产ESA或SMA。  暂存操作系统版本、服务规则和服务引擎因生产而异。

在升级之前，请记住，生产许可证将无法升级到阶段版本，因为它们无法通过许可证的验证和身份验证。生产VLAN在生成许可证时写入了签名值，该签名值将与生产许可证服务匹配。阶段许可证只为阶段许可证服务编写单独的签名。

先决条件

要求

1. 管理员已收到有关试用版（预发行版操作系统）安装或升级的先前通知。
2. 参与Beta和预发行测试的客户已经完成了Beta版应用程序，在开始进行Beta版测试之前，他们已阅读并同意了保密协议。

使用的组件

本文档不限于特定的软件和硬件版本。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。

为临时更新配置思科邮件安全和安全管理

注意：如果客户通过思科获得预调配访问权限仅用于Beta（预发行版OS），则他们应仅使用登台更新服务器URL。如果您没有适用于Beta版使用的有效许可证，设备将不会从暂存更新服务器接收更新。这些说明只适用于Beta客户或参与Beta测试的管理员。

要接收临时更新和升级，请执行以下操作：

登录到GUI

1. 选择安全服务>服务更新>编辑更新设置……
2. 确认所有服务都配置为使用Cisco IronPort更新服务器

登录到CLI

1. 运行命令updateconfig
2. 运行隐藏的子命令dynamichost
3. 输入以下命令之一：
   • 对于硬件ESA/SMA:stage-update-manifests.ironport.com:443
   • 对于虚拟ESA/SMA:stage-stg-updates.ironport.com:443
4. 按Enter键，直到返回主提示符
5. 输入Commit以保存所有更改

验证

在updater_logs中可以看到验证，对相应阶段URL的通信成功。从设备的CLI中，输入grep stage updater_logs:

esa.local> updatenow force

Success - Force update for all components requested
esa.local > grep stage updater_logs

Wed Mar 16 18:16:17 2016 Info: internal_cert beginning download of remote file "http://stage-updates.ironport.com/internal_cert/1.0.0/internal_ca.pem/default/100101"
Wed Mar 16 18:16:17 2016 Info: content_scanner beginning download of remote file "http://stage-updates.ironport.com/content_scanner/1.1/content_scanner/default/1132001"
Wed Mar 16 18:16:17 2016 Info: enrollment_client beginning download of remote file "http://stage-updates.ironport.com/enrollment_client/1.0/enrollment_client/default/102057"
Wed Mar 16 18:16:18 2016 Info: support_request beginning download of remote file "http://stage-updates.ironport.com/support_request/1.0/support_request/default/100002"
Wed Mar 16 18:16:18 2016 Info: timezones beginning download of remote file "http://stage-updates.ironport.com/timezones/2.0/zoneinfo/default/2015100"
Wed Mar 16 18:26:19 2016 Info: repeng beginning download of remote file "http://stage-updates.ironport.com/repeng/1.2/repeng_tools/default/1392120079"

如果存在任何意外的通信错误，请输入dig <stage URL>以验证域名服务器(DNS)。

示例：

esa.local > dig stage-updates.ironport.com


; <<>> DiG 9.8.4-P2 <<>> stage-updates.ironport.com A
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 52577
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;stage-updates.ironport.com. IN A

;; ANSWER SECTION:
stage-updates.ironport.com. 275 IN A 208.90.58.21

;; Query time: 0 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Tue Mar 22 14:31:10 2016
;; MSG SIZE rcvd: 60

验证设备能够通过端口80 telnet，运行命令telnet <stage URL> 80。

示例：

esa.local > telnet stage-updates.ironport.com 80

Trying 208.90.58.21...
Connected to origin-stage-updates.ironport.com.
Escape character is '^]'.

恢复

要恢复为标准生产更新服务器，请完成以下步骤：

1. 输入命令updateconfig
2. 输入隐藏的子命令dynamichost
3. 输入以下命令之一：
   • 对于硬件ESA/SMA:update-manifests.ironport.com:443
   • 对于虚拟ESA/SMA:update-manifests.sco.cisco.com:443
4. 按Enter键，直到返回主提示符
5. 运行命令Commit以保存所有更改

注意：硬件设备（C1x0、C3x0、C6x0和X10x0）应仅使用stage-update-manifests.ironport.com:443或update-manifests.ironport.com:443的动态主机URL。如果同时使用ESA和vESA进行集群配置，则必须在计算机级别配置updateconfig，并确认随后相应地设置dynamichost。

URL 过滤

AsyncOS 13.0及更高版本

如果设备上配置了URL过滤并正在使用，则设备重定向以使用阶段URL进行更新后，还需要配置设备以使用阶段服务器进行URL过滤：

1. 通过CLI访问设备
2. 输入命令 websecurityadvancedconfig
   • 逐步执行配置，将Enter the Web security service hostname选项的值更改为v2.beta.sds.cisco.com
3. 将选项Enter the threshold value for outstanding requests的值从默认值50更改为5
4. 接受所有其他选项的默认值
5. 按Enter键，直到返回主提示符
6. 运行命令Commit以保存所有更改

恢复

要恢复为生产Web安全服务，请完成以下步骤：

1. 通过CLI访问设备
2. 输入命令websecurityadvancedconfig
   • 逐步执行配置，将Enter the Web security service hostname选项的值更改为v2.sds.cisco.com
3. 接受所有其他选项的默认值
4. 按Enter键，直到返回主提示符
5. 运行命令Commit以保存所有更改

AsyncOS 13.5及更高版本（利用Cisco Talos服务）

从用于邮件安全的AsyncOS 13.5开始，引入了云URL分析(CUA)并更改了websecurityadvancedconfig选项。  由于URL分析现在在Talos云中执行，因此不再需要Web安全服务主机名。  这已被talosconfig命令取代。  这仅在ESA的命令行中可用。  

esa.local> talosconfig


Choose the operation you want to perform:
- SETUP - Configure beaker streamline configuration settings
[]> setup

Configured server is: stage_server

Choose the server for streamline service configuration:
1. Stage Server
2. Production Server
[]> 1

如果您正在运行Stage许可证，您应该指向Talos服务的阶段服务器。

您可以运行talosupdate和talosstatus来请求所有Talos驱动服务的更新和当前状态。

示例：

有关详细信息，请参阅《思科邮件安全设备AsyncOS 13.5用户指南》。

访问思科Talos服务的防火墙设置

您需要打开防火墙上的HTTPS(Out)443端口，以获取以下主机名或IP地址（请参阅下表），将您的电子邮件网关连接到Cisco Talos服务。

主机名	IPv4	IPv6
grpc.talos.cisco.com	146.112.62.0/24	2a04:e4c7:ffff::/48
email-sender-ip-rep-grpc.talos.cisco.com	146.112.63.0/24	2a04:e4c7:fffe::/48
serviceconfig.talos.cisco.com	146.112.255.0/24	-
	146.112.59.0/24	-

Web交互跟踪

网络交互跟踪功能提供有关点击重写的URL的最终用户以及与每个用户点击关联的操作（允许、阻止或未知）的信息。

根据您的要求，可以在以下全局设置页面之一启用Web交互跟踪：

1. 爆发过滤器。跟踪点击由爆发过滤器重写的URL的最终用户
2. URL 过滤.跟踪点击了由策略重写的URL的最终用户（使用内容和邮件过滤器）

如果配置了Web交互跟踪并在使用中，则设备重定向到使用阶段URL进行更新之后，还需要将设备配置为使用暂存聚合器服务器：

1. 通过CLI访问设备
2. 输入命令aggregatorconfig
3. 使用EDIT命令并输入以下值：stage.aggregator.sco.cisco.com
4. 按Enter键，直到返回主提示符
5. 运行Commit以保存所有更改

如果聚合器未配置为暂存，您将通过管理员邮件警报每30分钟看到类似的警报：

Unable to retrieve Web Interaction Tracking information from the Cisco Aggregator Server. Details: Internal Server Error.

或者，通过在CLI上运行displayalerts命令：

20 Apr 2020 08:52:52 -0600 Unable to connect to the Cisco Aggregator Server.
Details: No valid SSL certificate was sent.

恢复

要恢复为标准生产聚合器服务器，请完成以下步骤：

1. 通过CLI访问设备
2. 输入命令aggregatorconfig
3. 使用EDIT命令并输入以下值：aggregator.cisco.com
4. 按Enter键，直到返回主提示符
5. 运行命令Commit以保存所有更改

故障排除

故障排除命令在本文档的“验证”部分中列出。

如果在运行upgrade命令时看到以下内容：

Failure downloading upgrade list.

请验证是否已更改动态主机。  如果这种情况持续下去，请询问并验证您的ESA或SMA是否已正确调配用于试用版或预发行测试。

相关信息

• vESA无法下载和应用反垃圾邮件或防病毒更新
• 技术支持和文档 - Cisco Systems