Best Practices voor gecentraliseerd beleid, virus en uitbraak quarantaine instellen en migreren van ESA naar SMA
Inleiding
De volgende quarantaine kan nu collectief worden gecentraliseerd op een Cisco Security Management-applicatie (SMA):
- antivirus
- Uitbraak
- Beleidsquarantaine gebruikt voor berichten die worden gevangen door:
- Berichtfilters
- Contentfilters
- Beleidsmaatregelen ter voorkoming van gegevensverlies
Het centraliseren van deze quarantaine biedt de volgende voordelen:
- Beheerders kunnen in quarantaine geplaatste berichten beheren vanuit meerdere e-mail security applicaties (ESA) op één locatie.
- Quarantined berichten worden opgeslagen achter de firewall in plaats van in DMZ, die het veiligheidsrisico vermindert.
- Van gecentraliseerde quarantaine kan een back-up worden gemaakt als onderdeel van de standaard back-upfunctionaliteit op de SMA.
Voorwaarden
- SMA met 8.1 (SMA-gebruikershandleiding, hoofdstuk 8, gecentraliseerd beleid, virussen en uitbraakquarantaine)
- ESA met 8.0.1 (ESA-gebruikersgids, hoofdstuk 27, Quarantines)
- Firewall - poort 7025 / TCP (In en Uit) / Hostname gebruik: AsyncOS IPs / Beschrijving: Pass beleid, virus, en uitbraak quarantaine gegevens tussen e-mail security applicaties en het Security Management apparaat wanneer deze functie is gecentraliseerd
Configureren
Om te beginnen met de ESA, in een bestaande Policy Quarantine, zijn er actieve berichten in de Policy Quarantine:
Voltooi de volgende aanwijzingen om deze berichten te migreren en er vervolgens op te vertrouwen dat de SMA het actieve apparaat is dat eigenaar is van de Policy Quarantine.
Ga op de SMA naar Management-applicatie > Gecentraliseerde services > Policy, Virus en Outbreak Quarantines. Als deze optie nog niet is ingeschakeld, klikt u op Inschakelen:
Selecteer, indien van toepassing, de interface die bedoeld is om het verkeer van de ESE naar de SMA te verwerken.
Klik op Verzenden. Het scherm wordt vernieuwd om het bericht ?Service enabled? weer te geven, zoals hieronder wordt weergegeven:
Navigeren naar Management-applicatie > Gecentraliseerde services > security applicaties en de ESA-communicatie toevoegen aan de SMA:
Klik op E-mail applicatie toevoegen.
Verzeker u ervan dat u de verbinding tot stand brengt en de verbinding test. Bij het tot stand brengen van de verbinding van de SMA met de ESA wordt de gebruikersnaam en het wachtwoord van de beheerder opgevraagd. Dit is de administratieve gebruiker en het wachtwoord van het ESA dat wordt toegevoegd. Op basis van wat al actief is in vergelijking met wat er wordt toegevoegd, kunnen de resultaten van de test afwijken, maar deze moeten vergelijkbaar zijn met:
Verzeker u ervan dat u op dit punt op de SMA wijzigingen wilt indienen en doorvoeren.
Op dit moment, als je opnieuw naar de ESA te gaan en te proberen om de gecentraliseerde services sectie van de Policy Quarantaine te configureren, zou het vergelijkbaar zijn met het volgende:
De migratiestappen moeten nog op de SMA worden voltooid. Ga terug naar de SMA en ga verder met de volgende paragraaf.
Zodra de Commit Changes is voltooid, wordt de Launch Migration Wizard? van stap 2 actief:
Selecteer Migratiewizard starten en ga als volgt verder:
Als slechts een bepaalde quarantaine moet worden gemigreerd, kies Aangepast. In dit voorbeeld gaan we door met Automatic, dat Any/ALL Policy Quarantines van de ESA naar SMA zal migreren. Houd er rekening mee dat de opgegeven naam wordt gekozen tijdens de eerder genoemde ESA add, gevolgd door het IP-adres dat wordt gebruikt in de communicatie:
Klik op Volgende en ga verder:
Klik tot slot op Indienen en de melding "Success" wordt weergegeven.
Breng uw veranderingen op de SMA.
Ga terug naar de ESA, navigeer naar Security Services > Policy, Virus en Outbreak Quarantines. De noodzakelijke stappen op de SMA worden nu erkend:
Klik op Inschakelen? en ga verder:
Let op, dat hier opnieuw de juiste poort gebruikt voor communicatie wordt genoteerd. Deze moeten overeenkomen en als firewall/netwerk ACL in gebruik is, moet deze worden geopend om een juiste migratie tussen de ESA en SMA mogelijk te maken.
Klik op Indienen en klik tot slot op Toewijzen. Het informatiebericht dient vergelijkbaar te zijn. Als er al een groot aantal berichten in lokale quarantaine zijn, kan het enige tijd duren om deze van ESA tot SMA te verwerken:
Ga opnieuw naar de SMA en navigeer naar Management-applicatie > Gecentraliseerde services > Policy, Virus en Outbreak Quarantines. De migratiestappen worden nu voltooid:
Verificatie
Op dit moment is de migratie van de beleidsquarantaine van de ESA naar de SMA voltooid. Voor definitieve verificatie, controleer de Policy Quarantaine op de SMA:
Je zou dezelfde berichten moeten zien als die oorspronkelijk op de ESA stonden. Selecteer de # hyperlink in de kolom Berichten en controleer:
Als u de mail_logs op de ESA bekijkt, zal de migratie van de daadwerkelijke berichten worden gepresenteerd:
Wed Mar 5 02:48:40 2014 Info: New SMTP DCID 2 interface XX.X.XX.XXX address
YY.Y.YY.YYY port 7025
Wed Mar 5 02:48:40 2014 Info: DCID 2 TLS success protocol TLSv1 cipher RC4-SHA
the.cpq.host
Wed Mar 5 02:49:52 2014 Info: New SMTP DCID 3 interface XX.X.XX.XXX address
YY.Y.YY.YYY port 7025
Wed Mar 5 02:49:52 2014 Info: DCID 3 TLS success protocol TLSv1 cipher RC4-SHA
the.cpq.host
Wed Mar 5 02:50:22 2014 Info: New SMTP DCID 4 interface XX.X.XX.XXX address
YY.Y.YY.YYY port 7025
Wed Mar 5 02:50:22 2014 Info: DCID 4 TLS success protocol TLSv1 cipher RC4-SHA
the.cpq.host
Wed Mar 5 02:50:23 2014 Info: New SMTP DCID 5 interface XX.X.XX.XXX address
YY.Y.YY.YYY port 7025
Wed Mar 5 02:50:23 2014 Info: DCID 5 TLS success protocol TLSv1 cipher RC4-SHA
the.cpq.host
Wed Mar 5 02:50:40 2014 Info: New SMTP DCID 6 interface XX.X.XX.XXX address
YY.Y.YY.YYY port 7025
Wed Mar 5 02:50:40 2014 Info: DCID 6 TLS success protocol TLSv1 cipher RC4-SHA
the.cpq.host
Wed Mar 5 02:50:41 2014 Info: New SMTP DCID 7 interface XX.X.XX.XXX address
YY.Y.YY.YYY port 7025
Wed Mar 5 02:50:41 2014 Info: DCID 7 TLS success protocol TLSv1 cipher RC4-SHA
the.cpq.host
Wed Mar 5 02:50:42 2014 Info: New SMTP DCID 8 interface XX.X.XX.XXX address
YY.Y.YY.YYY port 7025
Wed Mar 5 02:50:42 2014 Info: DCID 8 TLS success protocol TLSv1 cipher RC4-SHA
the.cpq.host
Wed Mar 5 02:51:01 2014 Info: New SMTP DCID 9 interface XX.X.XX.XXX address
YY.Y.YY.YYY port 7025
Wed Mar 5 02:51:01 2014 Info: DCID 9 TLS success protocol TLSv1 cipher RC4-SHA
the.cpq.host
Wed Mar 5 02:51:01 2014 Info: CPQ listener cpq_listener starting
Wed Mar 5 02:51:01 2014 Info: New SMTP DCID 10 interface XX.X.XX.XXX address
YY.Y.YY.YYY port 7025
Wed Mar 5 02:51:01 2014 Info: DCID 10 TLS success protocol TLSv1 cipher RC4-SHA
the.cpq.host
Wed Mar 5 02:51:02 2014 Info: New SMTP DCID 11 interface XX.X.XX.XXX address
YY.Y.YY.YYY port 7025
Wed Mar 5 02:51:02 2014 Info: DCID 11 TLS success protocol TLSv1 cipher RC4-SHA
the.cpq.host
Wed Mar 5 02:51:02 2014 Info: MID 1 enqueued for transfer to centralized quarantine
"Policy" (content filter _policy_q_in_)
Wed Mar 5 02:51:02 2014 Info: MID 1 queued for delivery
Wed Mar 5 02:51:02 2014 Info: New SMTP DCID 12 interface XX.X.XX.XXX address
YY.Y.YY.YYY port 7025
Wed Mar 5 02:51:02 2014 Info: DCID 12 TLS success protocol TLSv1 cipher RC4-SHA
the.cpq.host
Wed Mar 5 02:51:02 2014 Info: Delivery start DCID 12 MID 1 to RID [0] to Centralized
Policy Quarantine
Wed Mar 5 02:51:02 2014 Info: MID 2 enqueued for transfer to centralized quarantine
"Policy" (content filter _policy_q_in_)
Wed Mar 5 02:51:02 2014 Info: MID 2 queued for delivery
Wed Mar 5 02:51:02 2014 Info: MID 3 enqueued for transfer to centralized quarantine
"Policy" (content filter _policy_q_in_)
Wed Mar 5 02:51:02 2014 Info: MID 3 queued for delivery
Wed Mar 5 02:51:02 2014 Info: Message done DCID 12 MID 1 to RID [0] (centralized
policy quarantine)
Wed Mar 5 02:51:02 2014 Info: MID 1 RID [0] Response 'ok: Message 1 accepted'
Wed Mar 5 02:51:02 2014 Info: Message finished MID 1 done
Wed Mar 5 02:51:02 2014 Info: MID 1 migrated from all quarantines
Wed Mar 5 02:51:02 2014 Info: Delivery start DCID 12 MID 2 to RID [0] to Centralized
Policy Quarantine
Wed Mar 5 02:51:02 2014 Info: New SMTP DCID 13 interface XX.X.XX.XXX address
YY.Y.YY.YYY port 7025
Wed Mar 5 02:51:02 2014 Info: DCID 13 TLS success protocol TLSv1 cipher RC4-SHA
the.cpq.host
Wed Mar 5 02:51:02 2014 Info: New SMTP DCID 14 interface XX.X.XX.XXX address
YY.Y.YY.YYY port 7025
Wed Mar 5 02:51:02 2014 Info: DCID 14 TLS success protocol TLSv1 cipher RC4-SHA
the.cpq.host
Wed Mar 5 02:51:02 2014 Info: Message done DCID 12 MID 2 to RID [0] (centralized
policy quarantine)
Wed Mar 5 02:51:02 2014 Info: MID 2 RID [0] Response 'ok: Message 2 accepted'
Wed Mar 5 02:51:02 2014 Info: Message finished MID 2 done
Wed Mar 5 02:51:02 2014 Info: MID 2 migrated from all quarantines
Wed Mar 5 02:51:02 2014 Info: Delivery start DCID 12 MID 3 to RID [0] to Centralized
Policy Quarantine
Wed Mar 5 02:51:02 2014 Info: Message done DCID 12 MID 3 to RID [0] (centralized
policy quarantine)
Wed Mar 5 02:51:02 2014 Info: MID 3 RID [0] Response 'ok: Message 3 accepted'
Wed Mar 5 02:51:02 2014 Info: Message finished MID 3 done
Wed Mar 5 02:51:02 2014 Info: MID 3 migrated from all quarantines
Wed Mar 5 02:51:02 2014 Info: New SMTP DCID 15 interface XX.X.XX.XXX address
YY.Y.YY.YYY port 7025
Wed Mar 5 02:51:02 2014 Info: DCID 15 TLS success protocol TLSv1 cipher RC4-SHA
the.cpq.host
Wed Mar 5 02:51:07 2014 Info: DCID 12 close
Bekijk de ESA, en het volgende wordt nu gepresenteerd bij het bekijken van de Policy, Virus, Outbreak Quarantines:
De volgende stap van verificatie is het verzenden van een nieuw testbericht door de ESA die zal worden gevangen voor beleidsquarantaine. Wanneer u e-mail_logs op de ESA bekijkt, ziet u de gemarkeerde regel die de overdracht van ESA naar SMA via 7025 aangeeft, die de beleidsquarantaine aangeeft:
Wed Mar 5 02:57:47 2014 Info: Start MID 4 ICID 6
Wed Mar 5 02:57:47 2014 Info: MID 4 ICID 6 From: <robsherw.cisco@gmail.com>
Wed Mar 5 02:57:47 2014 Info: MID 4 ICID 6 RID 0 To: <robsherw@cisco.com>
Wed Mar 5 02:57:47 2014 Info: MID 4 Message-ID
'<7642E61C-4BA2-432E-A524-E163EA0B9753@gmail.com>'
Wed Mar 5 02:57:47 2014 Info: MID 4 Subject 'NEW FUNNY'
Wed Mar 5 02:57:47 2014 Info: MID 4 ready 525 bytes from
<robsherw.cisco@gmail.com>
Wed Mar 5 02:57:47 2014 Info: MID 4 matched all recipients for per-recipient
policy DEFAULT in the inbound table
Wed Mar 5 02:57:47 2014 Info: MID 4 enqueued for transfer to centralized
quarantine "Policy" (content filter _policy_q_in_)
Wed Mar 5 02:57:47 2014 Info: MID 4 queued for delivery
Wed Mar 5 02:57:47 2014 Info: New SMTP DCID 16 interface XX.X.XX.XXX address
YY.Y.YY.YYY port 7025
Wed Mar 5 02:57:47 2014 Info: DCID 16 TLS success protocol TLSv1 cipher RC4-SHA
the.cpq.host
Wed Mar 5 02:57:47 2014 Info: Delivery start DCID 16 MID 4 to RID [0] to Centralized
Policy Quarantine
Wed Mar 5 02:57:47 2014 Info: Message done DCID 16 MID 4 to RID [0] (centralized
policy quarantine)
Wed Mar 5 02:57:47 2014 Info: MID 4 RID [0] Response 'ok: Message 4 accepted'
Wed Mar 5 02:57:47 2014 Info: Message finished MID 4 done
Wed Mar 5 02:57:52 2014 Info: DCID 16 close
Bekijk de eerder genoemde Policy Quarantine op de SMA, de nieuwe testbericht is nu ook in quarantaine:
Gerelateerde informatie
Revisiegeschiedenis
| Revisie | Publicatiedatum | Opmerkingen |
|---|---|---|
1.0 |
13-Oct-2014 |
Eerste vrijgave |
FeedbackContact Cisco
- Een ondersteuningscase openen
- (Vereist een Cisco-servicecontract)