عمليات تنزيل أو تحديث أو ترقيات جهاز أمان المحتوى باستخدام مضيف ثابت

المقدمة

يصف هذا المستند عنوان (عناوين) IP والأجهزة المضيفة اللازمة لتكوين جهاز أمان المحتوى من Cisco للاستخدام مع مضيف ثابت للتنزيلات والتحديثات والترقيات.  يجب إستخدام هذه التكوينات إما للأجهزة أو جهاز أمان البريد الإلكتروني الظاهري من Cisco (ESA) أو جهاز أمان الويب (WSA) أو جهاز إدارة الأمان (SMA).

عمليات تنزيل أو تحديث أو ترقيات جهاز أمان المحتوى باستخدام مضيف ثابت

توفر Cisco مضيفات ثابتة للعملاء الذين لديهم متطلبات جدار حماية أو وكيل صارمة. من المهم ملاحظة أنه إذا قمت بتكوين الجهاز الخاص بك لاستخدام البيئات المضيفة الثابتة للتنزيلات والتحديثات، فيجب السماح بنفس البيئات المضيفة الثابتة للتنزيلات والتحديثات في جدار الحماية والوكيل على الشبكة أيضا.

هنا اسم المضيف (أسماء) الثابت، وعنوان (عناوين) IP، والمنافذ التي تكون مشتركة في عمليات التنزيل والتحديث والترقية:

• downloads-static.ironport.com
  • 208.90.58.105 (المنفذ 80)
• updates-static.ironport.com
  • 208.90.58.25 (المنفذ 80)
  • 184.94.240.106 (المنفذ 80)

تكوين تحديث الخدمة عبر واجهة المستخدم الرسومية (GUI)

أتمت هذا steps in order to غيرت ال download، تحديث، أو تحسين تشكيل على AsyncOS من ال gui:

1. انتقل إلى صفحة تكوين إعدادات التحديث
   1. WSA: إدارة النظام > إعدادات التحديث والترقية
   2. ESA: خدمات الأمان > تحديثات الخدمة
   3. SMA: إدارة النظام > إعدادات التحديث
2. انقر فوق تحرير إعدادات التحديث....
3. في قسم تحديث الخوادم (الصور)، حدد "تحديث الخوادم المحلية (موقع تحديث ملفات الصور)".
4. دخلت ل القاعدة url مجال، http://downloads-static.ironport.com ولل الميناء مجال، مجموعة للميناء 80.
5. أترك حقول المصادقة (الاختيارية) فارغة.
6. (*) ESA فقط - بالنسبة للمضيف (تعريفات مكافحة الفيروسات من McAfee وتحديثات محرك PXE وتعريفات مكافحة الفيروسات من Sophos وقواعد مكافحة البريد العشوائي من IronPort وقواعد عوامل تصفية التفشي وتحديثات DLP وقواعد المنطقة الزمنية وعميل التسجيل (المستخدم لجلب شهادات لتصفية عنوان URL)، أدخل التحديثات-static.ironport.com.  (المنفذ 80 إختياري.)
7. أترك قسم تحديث الخوادم (القائمة) والحقول المعينة بالكامل إلى خوادم تحديث Cisco IronPort الافتراضية.
8. تأكد من تحديد الواجهة كما هو مطلوب للاتصال الخارجي، إذا كان مطلوبا للاتصال عبر واجهة معينة.  سيتم تعيين التكوين الافتراضي على تحديد تلقائي.
9. تحقق من خوادم الوكيل التي تم تكوينها وتحديثها، إذا لزم الأمر.
10. انقر فوق إرسال.
11. في الزاوية العلوية اليمنى، انقر تأكيد التغييرات.
12. أخيرا، انقر فوق تنفيذ التغييرات مرة أخرى لتأكيد جميع تغييرات التكوين.

انتقل إلى قسم التحقق من هذا المستند.

تكوين UpdateConfig عبر واجهة سطر الأوامر

يمكن تطبيق التغييرات نفسها عبر واجهة سطر الأوامر (CLI) على الجهاز.  أكمل الخطوات التالية لتغيير تكوين التنزيل أو التحديث أو الترقية على AsyncOS من واجهة سطر الأوامر:

1. قم بتشغيل أمر CLI updateconfig.
2. أدخل في إعداد الأمر.
3. المقطع الأول المقدم للتكوين هو "تحديثات مفتاح الميزة".  أستخدم '2. أستخدم الخادم الخاص' وأدخل http://downloads-static.ironport.com:80/.
4. (*) ESA فقط - القسم الثاني المقدم للتكوين هو "الخدمة (الصور)". أستخدم '2. أستخدم الخادم الخاص' وأدخل Update-static.ironport.com.
5. ويمكن ترك جميع مطالبات التكوين الأخرى معينة على الوضع الافتراضي.
6. تأكد من تحديد الواجهة كما هو مطلوب للاتصال الخارجي، إذا كان مطلوبا للاتصال عبر واجهة معينة.  سيتم تعيين التكوين الافتراضي على تلقائي.
7. تحقق من خادم الوكيل الذي تم تكوينه وتحديثه، إذا لزم الأمر.
8. اضغط مفتاح الرجوع للعودة إلى مطالبة واجهة سطر الأوامر الرئيسية.
9. قم بتشغيل أمر CLI COMMIT لحفظ جميع تغييرات التكوين.

انتقل إلى قسم التحقق من هذا المستند.

التحقق

التحديثات 

للتحقق من التحديثات على الجهاز، من الأفضل التحقق من صحة الأمر من واجهة سطر الأوامر.

من واجهة سطر الأوامر:

1. تشغيل التحديث.
   1. (*) ESA فقط - يمكنك تشغيل قوة التحديث Update للحصول على تحديث كافة الخدمات ومجموعات القواعد.
2. قم بتشغيل محدث_log.

سوف ترغب في إيلاء اهتمام وثيق للأسطر التالية http://updates-static.ironport.com/...  يجب أن يشير هذا إلى الاتصال والتنزيل مع خادم التحديث الثابت.

على سبيل المثال، من ESA الذي يقوم بتحديث محرك مكافحة البريد العشوائي (CASE) من Cisco والقواعد المرتبطة به:

Wed Aug 2 09:22:05 2017 Info: case was signalled to start a new update
Wed Aug 2 09:22:05 2017 Info: case processing files from the server manifest
Wed Aug 2 09:22:05 2017 Info: case started downloading files
Wed Aug 2 09:22:05 2017 Info: case waiting on download lock
Wed Aug 2 09:22:05 2017 Info: case acquired download lock
Wed Aug 2 09:22:05 2017 Info: case beginning download of remote file "http://updates-static.ironport.com/case/2.0/case/default/1480513074538790"
Wed Aug 2 09:22:07 2017 Info: case released download lock
Wed Aug 2 09:22:07 2017 Info: case successfully downloaded file "case/2.0/case/default/1480513074538790"
Wed Aug 2 09:22:07 2017 Info: case waiting on download lock
Wed Aug 2 09:22:07 2017 Info: case acquired download lock
Wed Aug 2 09:22:07 2017 Info: case beginning download of remote file "http://updates-static.ironport.com/case/2.0/case_rules/default/1501673364679194"
Wed Aug 2 09:22:10 2017 Info: case released download lock
<<<SNIP FOR BREVITY>>>

طالما تقوم الخدمة بالاتصال والتنزيلات، ثم تقوم بالتحديثات بنجاح، فإنه يتم ضبطك.

بمجرد اكتمال تحديث الخدمة، سيظهر updater_log:

Wed Aug 2 09:22:50 2017 Info: case started applying files
Wed Aug 2 09:23:04 2017 Info: case cleaning up base dir [bindir]
Wed Aug 2 09:23:04 2017 Info: case verifying applied files
Wed Aug 2 09:23:04 2017 Info: case updating the client manifest
Wed Aug 2 09:23:04 2017 Info: case update completed
Wed Aug 2 09:23:04 2017 Info: case waiting for new updates

الترقيات

للتحقق من نجاح اتصال الترقية واكتمالها، انتقل إلى صفحة ترقية النظام وانقر فوق الترقيات المتاحة. إذا تم عرض قائمة الإصدارات المتوفرة، يكون الإعداد قد اكتمل.

من ال CLI، أنت يستطيع ببساطة ركضت التحسين أمر.  أختر خيار التنزيل لعرض بيان الترقية، إذا كانت هناك ترقيات متوفرة.

myesa.local> upgrade


Choose the operation you want to perform:
- DOWNLOADINSTALL - Downloads and installs the upgrade image (needs reboot).
- DOWNLOAD - Downloads the upgrade image.
[]> download

Upgrades available.
1. AsyncOS 9.6.0 build 051 upgrade For Email, 2015-09-02 this release is for General Deployment
2. AsyncOS 9.7.0 build 125 upgrade For Email, 2015-10-15. This release is for General Deployment
3. AsyncOS 9.7.1 build 066 upgrade For Email, 2016-02-16. This release is for General Deployment.
4. cisco-sa-20150625-ironport SSH Keys Vulnerability Fix
[4]>

استكشاف الأخطاء وإصلاحها

التحديثات

يرسل الجهاز تنبيهات إعلام عند فشل التحديثات. فيما يلي مثال على إعلام البريد الإلكتروني الأكثر شيوعا الذي تم إستقباله:

The updater has been unable to communicate with the update server for at least 1h.

Last message occurred 4 times between Tue Mar 1 18:02:01 2016 and Tue Mar 1 18:32:03 2016.

Version: 9.7.1-066
Serial Number: 888869DFCCCC-3##CV##
Timestamp: 01 Mar 2016 18:52:01 -0500

ستحتاج إلى إختبار الاتصال من الجهاز إلى خادم التحديث المحدد.  وفي هذه الحالة، فإننا نشعر بالقلق على الموقع with downloads-static.ironport.com.  باستخدام Telnet، يجب أن يحتوي الجهاز على اتصال مفتوح عبر المنفذ 80:

myesa.local> telnet downloads-static.ironport.com 80

Trying 208.90.58.105...
Connected to downloads-static.ironport.com.
Escape character is '^]'.

وعلى نحو مماثل، ينبغي لنا أن نرى نفس الشيء على موقع الويب updates-static.ironport.com:

> telnet updates-static.ironport.com 80

Trying 208.90.58.25...
Connected to origin-updates.ironport.com.
Escape character is '^]'.

إذا كان الجهاز يتضمن واجهات متعددة، فقد ترغب في تشغيل Telnet من واجهة سطر الأوامر، وتعيين الواجهة، للتحقق من تحديد الواجهة المناسبة:

> telnet

Please select which interface you want to telnet from.
1. Auto
2. Management (172.18.249.120/24: myesa.local)
[1]>

Enter the remote hostname or IP address.
[]> downloads-static.ironport.com

Enter the remote port.
[25]> 80

Trying 208.90.58.105...
Connected to downloads-static.ironport.com.
Escape character is '^]'.

الترقيات

عند محاولة الترقية، قد ترى الاستجابة التالية:

No available upgrades. If the image has already been downloaded it has been de-provisioned from the upgrade server. Delete the downloaded image, if any and run upgrade.

ستحتاج إلى مراجعة إصدار AsyncOS الذي يتم تشغيله على الجهاز ومراجعة ملاحظات الإصدار الخاصة بإصدار AsyncOS الذي تقوم بالترقية إليه.  من المحتمل أنه لا يوجد مسار ترقية من الإصدار الذي تقوم بتشغيله إلى الإصدار الذي تحاول الترقية إليه.

إذا كنت تقوم بالترقية إلى إصدار Hot Patch (HP) أو Early Deployment (ED) أو Limited Deployment (LD) من إصدار AsyncOS، فقد تحتاج إلى فتح حالة دعم لطلب اكتمال الإمداد المناسب، لكي يرى الجهاز مسار الترقية حسب الحاجة.

معلومات ذات صلة

• جهاز Cisco Email Security Appliance - ملاحظات الإصدار
• جهاز أمان الويب من Cisco - ملاحظات الإصدار
• جهاز إدارة الأمان من Cisco - ملاحظات الإصدار
• الدعم التقني والمستندات - Cisco Systems