為暫存更新配置思科郵件安全和安全管理

簡介

本文檔介紹了測試版客戶和用於測試的預調配裝置的流程，這些客戶需要升級AsyncOS版本，並需要獲取運行Beta和預發佈測試的ESA和SMA的更新。  本檔案直接適用於思科電子郵件安全裝置(ESA)和思科安全管理裝置(SMA)。請記住，暫存伺服器不供標準生產客戶用於生產ESA或SMA。暫存OS版本、服務規則和服務引擎因生產環境而異。

在升級之前，請記住，生產許可證不能升級到Stage版本，因為它們不能透過許可證的驗證和身份驗證。生產VLAN在生成許可證時寫入簽名值，它將與生產許可證服務匹配。暫存許可證具有僅針對暫存許可證服務寫入的單獨簽名。

必要條件

需求

1. 管理員已收到有關beta （發行前作業系統）安裝或升級的先前通訊。
2. 參與Beta版和發行前測試的客戶已經完成了Beta版應用程式，並且在開始Beta版之前已經閱讀並同意了保密協定。

採用元件

本文件所述內容不限於特定軟體和硬體版本。

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路正在作用，請確保您已瞭解任何指令可能造成的影響。

為暫存更新配置思科郵件安全和安全管理

注意：如果客戶透過思科獲得了預調配的許可權，且僅使用測試版（預發行版作業系統），則他們應僅使用臨時更新伺服器URL。如果您沒有適用於Beta版使用的有效許可證，裝置將不會從暫存更新伺服器接收更新。這些說明只能用於Beta客戶或參與Beta測試的管理員。

若要接收暫存更新與升級，請執行下列動作：

登入GUI

1. 選擇安全服務>服務更新>編輯更新設定……
2. 確認所有服務都配置為使用Cisco IronPort更新伺服器

登入到CLI

1. 運行updateconfig命令
2. 運行隱藏子命令dynamichost
3. 輸入以下命令之一：
   • 對於硬體ESA/SMA：stage-update-manifests.ironport.com:443
   • 對於虛擬ESA/SMA：stage-stg-updates.ironport.com:443
4. 按Enter鍵，直到返回主提示符
5. 輸入Commit以儲存所有更改

驗證

驗證可以在updater_logs中看到，並且通訊成功到達了適當的階段URL。從裝置上的CLI中，輸入grep stage updater_logs：

esa.local> updatenow force

Success - Force update for all components requested
esa.local > grep stage updater_logs

Wed Mar 16 18:16:17 2016 Info: internal_cert beginning download of remote file "http://stage-updates.ironport.com/internal_cert/1.0.0/internal_ca.pem/default/100101"
Wed Mar 16 18:16:17 2016 Info: content_scanner beginning download of remote file "http://stage-updates.ironport.com/content_scanner/1.1/content_scanner/default/1132001"
Wed Mar 16 18:16:17 2016 Info: enrollment_client beginning download of remote file "http://stage-updates.ironport.com/enrollment_client/1.0/enrollment_client/default/102057"
Wed Mar 16 18:16:18 2016 Info: support_request beginning download of remote file "http://stage-updates.ironport.com/support_request/1.0/support_request/default/100002"
Wed Mar 16 18:16:18 2016 Info: timezones beginning download of remote file "http://stage-updates.ironport.com/timezones/2.0/zoneinfo/default/2015100"
Wed Mar 16 18:26:19 2016 Info: repeng beginning download of remote file "http://stage-updates.ironport.com/repeng/1.2/repeng_tools/default/1392120079"

如果發生任何意外的通訊錯誤，請輸入dig <stage URL>以驗證域名伺服器(DNS)。

範例：

esa.local > dig stage-updates.ironport.com


; <<>> DiG 9.8.4-P2 <<>> stage-updates.ironport.com A
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 52577
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;stage-updates.ironport.com. IN A

;; ANSWER SECTION:
stage-updates.ironport.com. 275 IN A 208.90.58.21

;; Query time: 0 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Tue Mar 22 14:31:10 2016
;; MSG SIZE rcvd: 60

驗證裝置能否透過埠80使用telnet，請運行telnet <stage URL> 80命令。

範例：

esa.local > telnet stage-updates.ironport.com 80

Trying 208.90.58.21...
Connected to origin-stage-updates.ironport.com.
Escape character is '^]'.

回覆

要恢復為標準生產更新伺服器，請完成以下步驟：

1. 輸入命令updateconfig
2. 輸入隱藏子命令dynamichost
3. 輸入以下命令之一：
   • 對於硬體ESA/SMA：update-manifests.ironport.com:443
   • 對於虛擬ESA/SMA：update-manifests.sco.cisco.com:443
4. 按Enter鍵，直到返回主提示符
5. 運行Commit命令以儲存所有更改

注意：硬體裝置（C1x0、C3x0、C6x0和X10x0）應僅使用stage-update-manifests.ironport.com:443或update-manifests.ironport.com:443的動態主機URL。如果存在包含ESA和vESA的集群配置，則必須在電腦級別配置updateconfig，並確認然後相應地設定dynamichost。

URL篩選

AsyncOS 13.0及更高版本

如果裝置上已配置並正在使用URL過濾，則裝置被重定向到使用階段URL進行更新後，還需要將該裝置配置為使用階段伺服器進行URL過濾：

1. 透過CLI訪問裝置
2. 輸入命令 websecurityadvancedconfig
   • 逐步執行配置，然後將Enter the Web security service hostname選項的值更改為v2.beta.sds.cisco.com
3. 將選項「輸入未完成請求的閾值」的值從預設值更改為5
4. 接受所有其他選項的預設值
5. 按Enter鍵，直到返回主提示符
6. 運行Commit 命令以儲存所有更改

回覆

要恢復為生產Web安全服務，請完成以下步驟：

1. 透過CLI訪問裝置
2. 輸入命令websecurityadvancedconfig
   • 逐步執行配置，然後將Enter the Web security service hostname選項的值更改為v2.sds.cisco.com
3. 接受所有其他選項的預設值
4. 按Enter鍵，直到返回主提示符
5. 運行Commit命令以儲存所有更改

AsyncOS 13.5及更高版本（使用Cisco Talos服務）

從AsyncOS 13.5郵件安全版本開始，引入了雲URL分析(CUA)，並更改了websecurityadvancedconfig選項。  由於現在已在Talos雲中執行URL分析，因此不再需要網路安全服務主機名。  此問題已由talosconfig命令替代。  這僅在ESA的命令列中可用。  

esa.local> talosconfig


Choose the operation you want to perform:
- SETUP - Configure beaker streamline configuration settings
[]> setup

Configured server is: stage_server

Choose the server for streamline service configuration:
1. Stage Server
2. Production Server
[]> 1

如果您正在執行Stage授權，您應該指向Talos服務的Stage伺服器。

您可以運行talosupdate和talosstatus來請求所有Talos驅動的服務的更新和當前狀態。

範例：

有關詳細資訊，請參閱《Cisco Email Security Appliance AsyncOS 13.5使用手冊》。

訪問Cisco Talos服務的防火牆設定

您需要為以下主機名或IP地址（請參閱下表）在防火牆上打開HTTPS（輸出） 443埠，將您的電子郵件網關連線到Cisco Talos服務。

主機名	IPv4	IPv6
grpc.talos.cisco.com	146.112.62.0/24	2a04：e4c7：ffff：：/48
email-sender-ip-rep-grpc.talos.cisco.com	146.112.63.0/24	2a04：e4c7：fffe：：/48
serviceconfig.talos.cisco.com	146.112.255.0/24	-
	146.112.59.0/24	-

Web互動追蹤

Web互動追蹤功能會提供按一下重新寫入的URL的一般使用者資訊，以及與每個使用者按一下相關聯的動作（允許、封鎖或不明）。

視您的需求而定，您可以在下列其中一個全域設定頁面上啟用Web互動追蹤：

1. 爆發過濾器。跟蹤點選由爆發過濾器重寫的URL的終端使用者
2. URL篩選。跟蹤點選了由策略重寫的URL的終端使用者（使用內容和郵件過濾器）

如果配置了Web互動跟蹤並在使用中，則裝置被重定向到使用階段URL進行更新後，還需要將該裝置配置為使用階段聚合器伺服器：

1. 透過CLI訪問裝置
2. 輸入命令aggregatorconfig
3. 使用EDIT命令並輸入以下值：stage.aggregator.sco.cisco.com
4. 按Enter鍵，直到返回主提示符
5. 運行Commit以儲存所有更改

如果聚合器未配置為暫存，您將透過管理員電子郵件警報每30分鐘看到一次類似的警報：

Unable to retrieve Web Interaction Tracking information from the Cisco Aggregator Server. Details: Internal Server Error.

或者，透過在CLI上運行displayalerts命令：

20 Apr 2020 08:52:52 -0600 Unable to connect to the Cisco Aggregator Server.
Details: No valid SSL certificate was sent.

回覆

要恢復為標準生產Aggregator伺服器，請完成以下步驟：

1. 透過CLI訪問裝置
2. 輸入命令aggregatorconfig
3. 使用EDIT命令並輸入以下值：aggregator.cisco.com
4. 按Enter鍵，直到返回主提示符
5. 運行Commit命令以儲存所有更改

疑難排解

故障排除命令在本文檔的「驗證」部分中列出。

如果在運行upgrade命令時看到以下內容：

Failure downloading upgrade list.

請驗證您是否已更改動態主機。  如果這種情況持續發生，請詢問並驗證您的ESA或SMA是否已正確調配用於Beta或發行前測試。

相關資訊

• vESA無法下載並應用反垃圾郵件或防病毒更新
• 技術支援與文件 - Cisco Systems