중앙 집중식 정책, 바이러스 및 Outbreak 격리 설정 및 ESA에서 SMA로의 마이그레이션에 대한 모범 사례

소개

이제 Cisco SMA(Security Management Appliance)에서 다음 격리를 전체적으로 중앙 집중화할 수 있습니다.

• 안티바이러스
• 신종 바이러스
• 에서 포착된 메시지에 사용되는 정책 격리:
  
  • 메시지 필터
  • 콘텐츠 필터
  • 데이터 유출 방지 정책

이러한 격리를 중앙 집중화하면 다음과 같은 이점이 있습니다.

• 관리자는 여러 ESA(Email Security Appliance)의 격리된 메시지를 한 곳에서 관리할 수 있습니다.
• 격리된 메시지는 DMZ가 아닌 방화벽 뒤에 저장되므로 보안 위험이 줄어듭니다.
• 중앙 집중식 격리는 SMA의 표준 백업 기능의 일부로 백업할 수 있습니다.

사전 요구 사항

• 8.1을 실행하는 SMA(SMA 사용 설명서, 8장, 중앙 집중식 정책, 바이러스 및 Outbreak 격리)
• 8.0.1을 실행하는 ESA(ESA 사용 설명서, 27장, 격리)
• 방화벽 - 포트 7025/TCP(In/Out)/호스트 이름 사용: AsyncOS IP/설명: 이 기능이 중앙 집중화된 경우 Email Security Appliance와 Security Management Appliance 간에 정책, 바이러스 및 보안 침해 격리 데이터 전달

구성

ESA부터 기존 정책 격리에 있는 Policy Quarantine(정책 격리)에는 활성 메시지가 있습니다.

이러한 메시지를 마이그레이션한 다음 SMA를 정책 격리를 소유하는 액티브 어플라이언스로 사용하려면 다음 지침을 완료합니다.

SMA에서 Management Appliance(관리 어플라이언스) > Centralized Services(중앙 집중식 서비스) > Policy, Virus and Outbreak Quarantines(정책, 바이러스 및 Outbreak 격리)로 이동합니다. 아직 활성화되지 않은 경우 Enable(활성화)을 클릭합니다.

ESA에서 SMA로의 트래픽을 처리하기 위한 인터페이스(해당되는 경우)를 선택합니다.  

참고: Quarantine Port(격리 포트)를 변경할 수 있지만, 방화벽/네트워크 ACL이 있는 경우 이 포트를 열어야 합니다.

Submit(제출)을 클릭합니다. 화면이 새로 고쳐져 아래에 표시된 ?서비스 활성화? 메시지가 표시됩니다.

Management Appliance(관리 어플라이언스) > Centralized Services(중앙 집중식 서비스) > Security Appliances(보안 어플라이언스)로 이동하고 SMA에 ESA 통신을 추가합니다.

Add Email Appliance를 클릭합니다.  

참고: SMA에서 ESA와 통신하는 데 사용할 IP 주소만 추가하면 됩니다. 어플라이언스 이름은 관리 참조로만 사용됩니다.

반드시 연결을 설정하고 연결을 테스트하십시오. SMA에서 ESA로의 연결이 설정되면 관리자 사용자 이름 및 비밀번호가 요청됩니다. 추가되는 ESA의 관리자 사용자 및 비밀번호입니다. 이미 활성화된 항목과 추가되는 항목을 기준으로 테스트 결과는 다를 수 있지만 다음과 비슷해야 합니다.

SMA의 이 시점에서 변경 사항을 제출 및 커밋해야 합니다.

이때 ESA를 다시 방문하여 정책 격리의 Centralized Services(중앙 서비스) 섹션을 구성하려고 하면 다음과 같습니다.

마이그레이션 단계는 SMA에서 완료해야 합니다. SMA로 돌아가 다음 섹션을 계속합니다.

Commit Changes(변경 사항 커밋)가 완료되면 2단계의 Launch Migration Wizard(마이그레이션 시작 마법사)가 활성화됩니다.

Launch Migration Wizard(마이그레이션 마법사 시작)를 선택하고 다음과 같이 계속합니다.

특정 격리만 마이그레이션할 경우 Custom(사용자 지정)을 선택합니다. 이 예에서는 ESA에서 SMA로 ANY/ALL 정책 격리를 마이그레이션하는 Automatic(자동)으로 계속합니다. 앞서 언급한 ESA 추가 과정에서 선택된 지정된 이름과 통신에 사용된 IP 주소가 표시됩니다.

Next(다음)를 클릭하고 계속합니다.

마지막으로 Submit(제출)을 클릭하면 "Success(성공)" 알림이 표시됩니다.

SMA에서 변경 사항을 커밋합니다.

ESA로 돌아가서 Security Services(보안 서비스) > Policy, Virus and Outbreak Quarantines(정책, 바이러스 및 Outbreak 격리)로 이동합니다. 이제 SMA의 필수 단계가 인식됩니다.

Enable(활성화)을 클릭하고 다음을 계속합니다.

여기서 통신에 사용되는 적절한 포트가 다시 표시됩니다. 이는 일치해야 하며, 방화벽/네트워크 ACL이 사용 중인 경우 ESA와 SMA 간의 적절한 마이그레이션을 허용하려면 를 열어야 합니다.

참고: ESA에 정책, 바이러스 및 Outbreak 격리가 구성되어 있는 경우 이 변경 사항을 커밋하자마자 격리 및 모든 메시지의 마이그레이션이 시작됩니다.

참고: 언제든지 하나의 마이그레이션 프로세스만 진행할 수 있습니다. 이전 마이그레이션이 완료될 때까지 다른 Email Security Appliance에서 중앙 집중식 정책, 바이러스 및 Outbreak 격리를 활성화하지 마십시오.

Submit(제출)을 클릭하고 마지막으로 Commit(커밋)을 클릭합니다. 정보 알림은 비슷해야 합니다. 이미 로컬 격리에 많은 메시지가 있는 경우 ESA에서 SMA로 메시지를 처리하는 데 시간이 걸릴 수 있습니다.

SMA를 다시 방문하여 Management Appliance(관리 어플라이언스) > Centralized Services(중앙 집중식 서비스) > Policy, Virus and Outbreak Quarantines(정책, 바이러스 및 Outbreak 격리)로 이동합니다. 이제 마이그레이션 단계가 완료됩니다.

확인

이때 ESA에서 SMA로 정책 격리의 마이그레이션이 완료됩니다. 최종 확인을 위해 SMA의 Policy Quarantine(정책 격리)을 확인합니다.

원래 ESA에 나열된 것과 동일한 메시지가 표시됩니다. 메시지 열에서 # 하이퍼링크를 선택하고 다음을 확인합니다.

ESA의 mail_logs를 보면 실제 메시지의 마이그레이션이 표시됩니다.

참고: 포트 7025를 통해 ESA(XX.X.XX.XXX)와 SMA(YY.Y.YY.YYY) 간의 통신을 사용합니다.

Wed Mar  5 02:48:40 2014 Info: New SMTP DCID 2 interface XX.X.XX.XXX address
YY.Y.YY.YYY port 7025
Wed Mar  5 02:48:40 2014 Info: DCID 2 TLS success protocol TLSv1 cipher RC4-SHA
the.cpq.host
Wed Mar  5 02:49:52 2014 Info: New SMTP DCID 3 interface XX.X.XX.XXX address
YY.Y.YY.YYY port 7025
Wed Mar  5 02:49:52 2014 Info: DCID 3 TLS success protocol TLSv1 cipher RC4-SHA
the.cpq.host
Wed Mar  5 02:50:22 2014 Info: New SMTP DCID 4 interface XX.X.XX.XXX address
YY.Y.YY.YYY port 7025
Wed Mar  5 02:50:22 2014 Info: DCID 4 TLS success protocol TLSv1 cipher RC4-SHA
the.cpq.host
Wed Mar  5 02:50:23 2014 Info: New SMTP DCID 5 interface XX.X.XX.XXX address
YY.Y.YY.YYY port 7025
Wed Mar  5 02:50:23 2014 Info: DCID 5 TLS success protocol TLSv1 cipher RC4-SHA
the.cpq.host
Wed Mar  5 02:50:40 2014 Info: New SMTP DCID 6 interface XX.X.XX.XXX address
YY.Y.YY.YYY port 7025
Wed Mar  5 02:50:40 2014 Info: DCID 6 TLS success protocol TLSv1 cipher RC4-SHA
the.cpq.host
Wed Mar  5 02:50:41 2014 Info: New SMTP DCID 7 interface XX.X.XX.XXX address
YY.Y.YY.YYY port 7025
Wed Mar  5 02:50:41 2014 Info: DCID 7 TLS success protocol TLSv1 cipher RC4-SHA
the.cpq.host
Wed Mar  5 02:50:42 2014 Info: New SMTP DCID 8 interface XX.X.XX.XXX address
YY.Y.YY.YYY port 7025
Wed Mar  5 02:50:42 2014 Info: DCID 8 TLS success protocol TLSv1 cipher RC4-SHA
the.cpq.host
Wed Mar  5 02:51:01 2014 Info: New SMTP DCID 9 interface XX.X.XX.XXX address
YY.Y.YY.YYY port 7025
Wed Mar  5 02:51:01 2014 Info: DCID 9 TLS success protocol TLSv1 cipher RC4-SHA
the.cpq.host
Wed Mar  5 02:51:01 2014 Info: CPQ listener cpq_listener starting
Wed Mar  5 02:51:01 2014 Info: New SMTP DCID 10 interface XX.X.XX.XXX address
YY.Y.YY.YYY port 7025
Wed Mar  5 02:51:01 2014 Info: DCID 10 TLS success protocol TLSv1 cipher RC4-SHA
the.cpq.host
Wed Mar  5 02:51:02 2014 Info: New SMTP DCID 11 interface XX.X.XX.XXX address
YY.Y.YY.YYY port 7025
Wed Mar  5 02:51:02 2014 Info: DCID 11 TLS success protocol TLSv1 cipher RC4-SHA
the.cpq.host
Wed Mar  5 02:51:02 2014 Info: MID 1 enqueued for transfer to centralized quarantine
"Policy" (content filter _policy_q_in_)
Wed Mar  5 02:51:02 2014 Info: MID 1 queued for delivery
Wed Mar  5 02:51:02 2014 Info: New SMTP DCID 12 interface XX.X.XX.XXX address
YY.Y.YY.YYY port 7025
Wed Mar  5 02:51:02 2014 Info: DCID 12 TLS success protocol TLSv1 cipher RC4-SHA
the.cpq.host
Wed Mar  5 02:51:02 2014 Info: Delivery start DCID 12 MID 1 to RID [0] to Centralized
Policy Quarantine
Wed Mar  5 02:51:02 2014 Info: MID 2 enqueued for transfer to centralized quarantine
"Policy" (content filter _policy_q_in_)
Wed Mar  5 02:51:02 2014 Info: MID 2 queued for delivery
Wed Mar  5 02:51:02 2014 Info: MID 3 enqueued for transfer to centralized quarantine
"Policy" (content filter _policy_q_in_)
Wed Mar  5 02:51:02 2014 Info: MID 3 queued for delivery
Wed Mar  5 02:51:02 2014 Info: Message done DCID 12 MID 1 to RID [0] (centralized
policy quarantine)
Wed Mar  5 02:51:02 2014 Info: MID 1 RID [0] Response 'ok:  Message 1 accepted'
Wed Mar  5 02:51:02 2014 Info: Message finished MID 1 done
Wed Mar  5 02:51:02 2014 Info: MID 1 migrated from all quarantines
Wed Mar  5 02:51:02 2014 Info: Delivery start DCID 12 MID 2 to RID [0] to Centralized
Policy Quarantine
Wed Mar  5 02:51:02 2014 Info: New SMTP DCID 13 interface XX.X.XX.XXX address
YY.Y.YY.YYY port 7025
Wed Mar  5 02:51:02 2014 Info: DCID 13 TLS success protocol TLSv1 cipher RC4-SHA
the.cpq.host
Wed Mar  5 02:51:02 2014 Info: New SMTP DCID 14 interface XX.X.XX.XXX address
YY.Y.YY.YYY port 7025
Wed Mar  5 02:51:02 2014 Info: DCID 14 TLS success protocol TLSv1 cipher RC4-SHA
the.cpq.host
Wed Mar  5 02:51:02 2014 Info: Message done DCID 12 MID 2 to RID [0] (centralized
policy quarantine)
Wed Mar  5 02:51:02 2014 Info: MID 2 RID [0] Response 'ok:  Message 2 accepted'
Wed Mar  5 02:51:02 2014 Info: Message finished MID 2 done
Wed Mar  5 02:51:02 2014 Info: MID 2 migrated from all quarantines
Wed Mar  5 02:51:02 2014 Info: Delivery start DCID 12 MID 3 to RID [0] to Centralized
Policy Quarantine
Wed Mar  5 02:51:02 2014 Info: Message done DCID 12 MID 3 to RID [0] (centralized
policy quarantine)
Wed Mar  5 02:51:02 2014 Info: MID 3 RID [0] Response 'ok:  Message 3 accepted'
Wed Mar  5 02:51:02 2014 Info: Message finished MID 3 done
Wed Mar  5 02:51:02 2014 Info: MID 3 migrated from all quarantines
Wed Mar  5 02:51:02 2014 Info: New SMTP DCID 15 interface XX.X.XX.XXX address
YY.Y.YY.YYY port 7025
Wed Mar  5 02:51:02 2014 Info: DCID 15 TLS success protocol TLSv1 cipher RC4-SHA
the.cpq.host
Wed Mar  5 02:51:07 2014 Info: DCID 12 close

ESA를 다시 방문하면 Policy(정책), Virus(바이러스), Outbreak Quarantines(Outbreak 격리)를 볼 때 다음 항목이 표시됩니다.

검증의 다음 단계는 ESA를 통해 정책 격리를 위해 포착될 새 테스트 메시지를 전송하는 것입니다. ESA에서 mail_logs를 보면, 강조 표시된 줄에 7025를 통한 ESA에서 SMA로의 전송이 표시되어 Policy Quarantine(정책 격리)을 나타냅니다.

Wed Mar  5 02:57:47 2014 Info: Start MID 4 ICID 6
Wed Mar  5 02:57:47 2014 Info: MID 4 ICID 6 From: <robsherw.cisco@gmail.com>
Wed Mar  5 02:57:47 2014 Info: MID 4 ICID 6 RID 0 To: <robsherw@cisco.com>
Wed Mar  5 02:57:47 2014 Info: MID 4 Message-ID
'<7642E61C-4BA2-432E-A524-E163EA0B9753@gmail.com>'
Wed Mar  5 02:57:47 2014 Info: MID 4 Subject 'NEW FUNNY'
Wed Mar  5 02:57:47 2014 Info: MID 4 ready 525 bytes from
<robsherw.cisco@gmail.com>
Wed Mar  5 02:57:47 2014 Info: MID 4 matched all recipients for per-recipient
policy DEFAULT in the inbound table
Wed Mar  5 02:57:47 2014 Info: MID 4 enqueued for transfer to centralized
quarantine "Policy" (content filter _policy_q_in_)
Wed Mar  5 02:57:47 2014 Info: MID 4 queued for delivery
Wed Mar  5 02:57:47 2014 Info: New SMTP DCID 16 interface XX.X.XX.XXX address
YY.Y.YY.YYY port 7025
Wed Mar  5 02:57:47 2014 Info: DCID 16 TLS success protocol TLSv1 cipher RC4-SHA
the.cpq.host
Wed Mar  5 02:57:47 2014 Info: Delivery start DCID 16 MID 4 to RID [0] to Centralized
Policy Quarantine
Wed Mar  5 02:57:47 2014 Info: Message done DCID 16 MID 4 to RID [0] (centralized
policy quarantine)
Wed Mar  5 02:57:47 2014 Info: MID 4 RID [0] Response 'ok:  Message 4 accepted'
Wed Mar  5 02:57:47 2014 Info: Message finished MID 4 done
Wed Mar  5 02:57:52 2014 Info: DCID 16 close

이전에 언급한 SMA의 정책 격리를 다시 방문하십시오. 이제 새 테스트 메시지도 격리됩니다.

관련 정보

• ESA 중앙 집중식 정책, 바이러스 및 PVO(Outbreak Quarantine)를 활성화할 수 없습니다.
• Cisco Email Security Appliance − 엔드 유저 가이드
• 기술 지원 및 문서 − Cisco Systems