In diesem Dokument wird erläutert, warum sich die Sophos Anti-Virus-Updates auf der Cisco Security Appliance von den auf der Sophos-Website verfügbaren Updates unterscheiden.
Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:
Es gibt zwei Arten von Updates: Updates für das Sophos Anti-Virus-Modul und Updates für die Sophos Virus-Identitätsdateien (IDE-Dateien (Integrated Development Environment)).
Das Sophos Anti-Virus-Modul ist vollständig in das Betriebssystem AsyncOS integriert. Sophos generiert ungefähr jeden Monat eine neue Version seiner Anti-Virus-Scan-Engine. Die neue Version enthält sowohl aktuelle Virusdefinitionen als auch alle Code-Änderungen, die erforderlich sind, um neue Typen von Viren zu erkennen und bekannte Probleme zu beheben. Wenn weitere Viren entdeckt werden, veröffentlicht Sophos Virusidentitätsdateien, die als IDE-Dateien bezeichnet werden. Diese werden mit Motoren funktionieren, die weniger als 90 Tage alt sind.
Sophos-Updates werden automatisch von Cisco AsyncOS in der Appliance der C-Serie verwaltet. Sobald Sophos neue Versionen ihrer Engine veröffentlicht, qualifiziert Cisco diese über einen Qualitätssicherungsprozess und installiert sie auf den Cisco Update-Servern, sodass sie von Ihrer Appliance der C-Serie automatisch heruntergeladen und aktualisiert werden. Wenn IDE-Virusdefinitionsdateien veröffentlicht werden, durchlaufen diese automatisch den Service und werden innerhalb weniger Minuten nach ihrer Veröffentlichung durch Sophos auf den Cisco Update-Servern platziert.
Sophos IDE-Virensignaturen sind gültig und funktionieren mit den vorherigen Modulversionen. Alle aktuellen IDEs werden geladen und funktionieren mit der in der Appliance der Cisco C-Serie ausgeführten Engine-Version.
Manchmal scheinen die Dateien auf der Cisco ESA nicht mit den direkt von Sophos verfügbaren Dateien zu synchronisieren. Dies kann durch den Zeitzonenunterschied zwischen Sophos und den meisten nordamerikanischen Kunden noch komplizierter werden. Die Sophos-Website wird von der Zentrale von Sophos in der Nähe von Oxford im Vereinigten Königreich verwaltet. Die Postings auf der Website sind mit der lokalen Zeitzone, GMT datiert. Es ist etwas verwirrend, Sophos IDE-Dateien zu korrelieren. Der große Zeitunterschied führt nicht nur häufig dazu, dass die Datumsangaben einen Tag auseinander liegen, sondern Cisco verwendet auch ein anderes Nummerierungsschema für die IDE-Dateien. Sie können versuchen, diese Dateien abzugleichen, indem Sie die Sophos-IDE-Site überprüfen, um zu sehen, wann eine IDE veröffentlicht wurde und wie viele andere an diesem Tag und am Tag davor veröffentlicht wurden. Da Cisco jedoch häufig inkrementelle Änderungen aufnimmt, die nicht auf dieser Website veröffentlicht wurden, ist dies nicht die effizienteste Methode. Cisco fragt die Sophos-Website alle 10 Minuten ab. Die Standardeinstellung für eine Appliance besteht darin, die Cisco Download-Site alle fünf Minuten abzufragen. Im schlimmsten Fall wird es eine 15-minütige Verzögerung.
Das Nummerierungsschema für die IDE-Dateien ist das Datum. Zum Beispiel korreliert "Sophos IDE Rules 2004121402 Di Dez 14 06:27:14 2004" mit dem dritten Update (Start Count from Zero) vom 14. Dezember, das hier veröffentlicht wurde.
Cisco empfiehlt, das automatische Aktualisierungsintervall von Sophos auf die Standardeinstellung von 15 Minuten festzulegen. Vergewissern Sie sich über die webbasierte Benutzeroberfläche auf der Seite Security Services->Anti-Virus, dass Sie fortlaufende Updates von Cisco erhalten. Diese Informationen sind auch über den CLI-Befehl antivirusstatus verfügbar, z. B.:
mail3.example.com> antivirusstatus
SAV Engine Version 4.03
IDE Serial 2006031503
Last Engine Update Tue Mar 14 01:01:49 2006
Last IDE Update Thu Mar 16 06:33:50 2006
Last Update Attempt Thu Mar 16 09:18:51 2006
Last Update Success Thu Mar 16 06:33:50 2006
Wenn Ihre Updates nicht erfolgreich sind (Sie erhalten in diesem Fall eine Warnmeldung), können Sie ein manuelles Update über die Schaltfläche Jetzt aktualisieren in der grafischen Benutzeroberfläche oder über den CLI-Befehl antivirusupdate versuchen. Der Status des Updates wird in der Antivirus-Protokolldatei angezeigt. Beispiele:
smtp.example.com> tailCurrently configured logs:
1. "antivirus" Module: thirdparty Format: Anti-Virus
2. "avarchive" Module: mail Format: Anti-Virus Archive
3. "bounces" Module: bounces Format: Bounces
4. "brightmail" Module: thirdparty Format: Symantec Brightmail Anti-Spam
5. "cli_logs" Module: system Format: CLI Audit Logs
6. "error_logs" Module: mail Format: IronPort Text
7. "ftpd_logs" Module: ftpd Format: IronPort Text
8. "gui_logs" Module: gui Format: IronPort Text
9. "mail_logs" Module: mail Format: IronPort Text
10. "rptd_logs" Module: rptd Format: IronPort Text
11. "sntpd_logs" Module: sntpd Format: IronPort Text
12. "status" Module: mail Format: Status Logs
13. "system_logs" Module: system Format: IronPort Text
Enter the number of the log you wish to tail.
[]> 1Press Ctrl-C to stop.
Thu Mar 16 09:08:50 2006 Info: Current IDE serial=2006031503. No update needed.
Thu Mar 16 09:13:50 2006 Info: Checking for Sophos Update
Thu Mar 16 09:13:50 2006 Info: Current SAV engine ver=4.03. No engine update needed
Thu Mar 16 09:13:50 2006 Info: Current IDE serial=2006031503. No update needed.
Thu Mar 16 09:18:50 2006 Info: Checking for Sophos Update
Thu Mar 16 09:18:50 2006 Info: Current SAV engine ver=4.03. No engine update needed
Thu Mar 16 09:18:50 2006 Info: Current IDE serial=2006031503. No update needed.
Thu Mar 16 09:23:50 2006 Info: Checking for Sophos Update
Thu Mar 16 09:23:50 2006 Info: Current SAV engine ver=4.03. No engine update needed
Thu Mar 16 09:23:50 2006 Info: Current IDE serial=2006031503. No update needed.
^C
smtp.example.com>
Überarbeitung | Veröffentlichungsdatum | Kommentare |
---|---|---|
1.0 |
11-Jul-2014 |
Erstveröffentlichung |