تكوين مجموعة أجهزة أمان البريد الإلكتروني (ESA)

المقدمة

يوضح هذا المستند كيفية إعداد مجموعة على جهاز Cisco Email Security Appliance (ESA).

المتطلبات الأساسية 

المتطلبات

توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

• كيفية دمج الأجهزة في مجموعة (الإدارة المركزية).
• يجب أن يكون لكافة ESA نفس إصدارات AsyncOS (حتى المراجعة).

ملاحظة: في الإصدار 8.5+ لم يعد مفتاح الإدارة المركزية مطلوبا، كما لم يعد مرئيا عند إضافته لأنه ميزة مدمجة داخل نظام التشغيل AsyncOS.

• إن يخلق أنت مجموعة أن يستعمل ميناء 22 (أسهل أن يشكل) ضمنت أن هناك ما من جدار حماية أو يوجه إصدار بين الأداة على ميناء 22 حركة مرور.
• إذا قمت بإنشاء مجموعة لاستخدام المنفذ 2222 (خدمة إتصالات المجموعة)، فتأكد من عمل قواعد جدار الحماية للسماح بحركة المرور على هذا المنفذ بأن تكون متوفرة دون تفتيش أو مقاطعة.
• يجب القيام بخيارات تكوين نظام المجموعة عبر واجهة سطر الأوامر على ESA ولا يمكن إنشاؤها أو الانضمام إليها في واجهة المستخدم الرسومية.
• إذا أخترت إستخدام اسم مضيف للاتصال، فتأكد من قدرة خوادم DNS المعينة على الأجهزة على حل جميع الأجهزة الأخرى في شبكتك، ومن تعيين عناوين IP التي تحلها أسماء المضيف إلى واجهة تم تكوينها للاستماع إلى منفذ الاتصالات المحدد.
• ضمنت على جهاز قارن، الميناء والخدمة المطلوبة مكنت (SSH أو CCS).

المكونات المستخدمة

لا يقتصر هذا المستند على إصدارات برامج ومكونات مادية معينة.

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

المشكلة

وتكمن المشكلة في تجنب الحاجة المستمرة إلى التعديل على كل جهاز كلما دعت الحاجة إلى تركيز عملية تكوين بين مجموعة كبيرة من أجهزة الإيسا والحفاظ عليها في تزامن.

مجموعات عن وكالة الفضاء الأوروبية

تتيح لك ميزة الإدارة المركزية ل ESA إمكانية إدارة أجهزة متعددة وتكوينها في نفس الوقت، مما يوفر درجة أكبر من الموثوقية والمرونة وقابلية التطوير داخل شبكتك. وهذا يتيح لك إمكانية الإدارة بشكل عام مع الالتزام في الوقت نفسه بالسياسات المحلية. 

يتكون نظام المجموعة من مجموعة من الأجهزة ذات معلومات تكوين مشتركة. ويمكن تقسيم الأجهزة داخل كل نظام مجموعة إلى مجموعات أجهزة، حيث يمكن أن يكون الجهاز الواحد عضوا في مجموعة واحدة فقط في كل مرة. 

يتم تنفيذ مجموعات البيانات في بنية نظير إلى نظير دون أية علاقة أولية/ثانوية. يمكنك تسجيل الدخول إلى أي جهاز للتحكم في المجموعة أو المجموعة بأكملها وإدارتها.  وهذا يسمح للمسؤول بتكوين عناصر مختلفة للنظام على مستوى المجموعة أو على مستوى المجموعة أو لكل جهاز، بناء على المجموعات المنطقية الخاصة بهم

إنشاء نظام المجموعة

بمجرد تلبية جميع المتطلبات، لإنشاء نظام المجموعة، يجب البدء في سطر الأوامر (CLI) الخاص بالجهاز الأول.

تلميح: انسخ التكوين الحالي لديك إحتياطيا على الجهاز قبل تكوين نظام المجموعة. من واجهة المستخدم الرسومية، إدارة النظام>تشكيل مبرد.  قم بإلغاء تحديد مربع كلمة المرور المقنعة واحفظ التكوين محليا على الكمبيوتر.

إنشاء نظام مجموعة عبر SSH

C370.lab> clusterconfig

Do you want to join or create a cluster?
1. No, configure as standalone.
2. Create a new cluster.
3. Join an existing cluster over SSH.
4. Join an existing cluster over CCS.
[1]> 2

Enter the name of the new cluster.
[]> NameOfCluster

Should all machines in the cluster communicate with each other by hostname or
by IP address?
1. Communicate by IP address.
2. Communicate by hostname.
[2]> 1

What IP address should other machines use to communicate with Machine C370.lab?
1. 10.1.1.11 port 22 (SSH on interface Management)
2. Enter an IP address manually
[]> 1

Other machines will communicate with Machine C370.lab using IP address
10.1.1.11 port 22. You can change this by using the COMMUNICATION subcommand
of the clusterconfig command.
New cluster committed: DATE
Creating a cluster takes effect immediately, there is no need to commit.

Cluster NameOfCluster

Choose the operation you want to perform:
- ADDGROUP - Add a cluster group.
- SETGROUP - Set the group that machines are a member of.
- RENAMEGROUP - Rename a cluster group.
- DELETEGROUP - Remove a cluster group.
- REMOVEMACHINE - Remove a machine from the cluster.
- SETNAME - Set the cluster name.
- LIST - List the machines in the cluster.
- CONNSTATUS - Show the status of connections between machines in the cluster.
- COMMUNICATION - Configure how machines communicate within the cluster.
- DISCONNECT - Temporarily detach machines from the cluster.
- RECONNECT - Restore connections with machines that were previously detached.
- PREPJOIN - Prepare the addition of a new machine over CCS.

إنشاء مجموعة عبر CCS

C370.lab> clusterconfig

Do you want to join or create a cluster?
1. No, configure as standalone.
2. Create a new cluster.
3. Join an existing cluster over SSH.
4. Join an existing cluster over CCS.
[1]> 2

Enter the name of the new cluster.
[]> Test

Should all machines in the cluster communicate with each other by hostname or by IP address?
1. Communicate by IP address.
2. Communicate by hostname.
[2]> 1

What IP address should other machines use to communicate with Machine C370.lab?
1. 10.1.1.1 port 22 (SSH on interface Management)
2. Enter an IP address manually
[]> 2

Enter the IP address for Machine C370.lab.
[]> 10.1.1.1

Enter the port (on 10.66.71.120) for Machine C370.lab.
[22]> 2222

وبمجرد الانتهاء من هذه الخطوة، يتوفر لديك نظام مجموعة ويتم نقل جميع التكوينات الخاصة بك من "الجهاز" إلى مستوى نظام المجموعة. هذا هو التكوين الذي ترثه جميع الأجهزة الأخرى عند الانضمام إليها.

الانضمام إلى مجموعة حالية من خلال SSH أو CCS

يغطي هذا القسم كيفية إضافة أي أجهزة جديدة إلى نظام المجموعة الحالي الذي قمت بإنشائه من قبل أو للتو. انضمام إلى نظام مجموعة حالي بأي من الطريقتين متماثلتين في النهج، والنقطة الرئيسية الوحيدة للاختلاف هي أن نظام CCS يتطلب خطوة إضافية لإنهاء هذا النظام للسماح للمجموعة بقبول الجهاز الأحدث.

الانضمام من خلال SSH

ملاحظة: يجب تنفيذ القسم المشار إليه بالخط الغامق في هذه الخطوات التالية بدقة باستخدام بروتوكول طبقة الأمان (SSH)، ويجب ألا تقول نعم لتمكين معيار CCS.

C370.lab> clusterconfig

Do you want to join or create a cluster?
1. No, configure as standalone.
2. Create a new cluster.
3. Join an existing cluster over SSH.
4. Join an existing cluster over CCS.
[1]> 3

While joining a cluster, you will need to validate the SSH host key of the remote machine to which you are joining.  
To get the public host key fingerprint of the remote host, connect to the cluster and run: logconfig -> hostkeyconfig
-> fingerprint.

WARNING: All non-network settings will be lost. System will inherit the values set at the group or cluster mode for 
the non-network settings. Ensure that the cluster settings are compatible with your network settings (e.g. dnsconfig
settings)
Exception:  Centralized Policy, Virus, and Outbreak Quarantine settings are not inherited from the cluster.  
These settings on this machine will remain intact.
Do you want to enable the Cluster Communication Service on C370.lab? [N]>

Enter the IP address of a machine in the cluster.
[]> 10.66.71.120

Enter the remote port to connect to.  This must be the normal admin ssh port, not the CCS port.
[22]>

Enter the name of an administrator present on the remote machine
[admin]>

Enter password:
Please verify the SSH host key for 10.66.71.120:
Public host key fingerprint: d2:6e:36:9b:1d:87:c6:1f:46:ea:59:40:61:cc:3e:ef
Is this a valid key for this host? [Y]>

بعد الفحص، ينضم الجهاز إلى المجموعة بنجاح.

الانضمام من خلال CCS

هذا نهج مشابه، الفرق الوحيد هو أنه قبل أن تقرر السماح للجهاز الجديد بالدخول إلى المجموعة الحالية، يجب تسجيل الدخول إلى الجهاز النشط في المجموعة.

على الجهاز النشط في نظام المجموعة:

(Cluster test)> clusterconfig

Cluster test

Choose the operation you want to perform:
- ADDGROUP - Add a cluster group.
- SETGROUP - Set the group that machines are a member of.
- RENAMEGROUP - Rename a cluster group.
- DELETEGROUP - Remove a cluster group.
- REMOVEMACHINE - Remove a machine from the cluster.
- SETNAME - Set the cluster name.
- LIST - List the machines in the cluster.
- CONNSTATUS - Show the status of connections between machines in the cluster.
- COMMUNICATION - Configure how machines communicate within the cluster.
- DISCONNECT - Temporarily detach machines from the cluster.
- RECONNECT - Restore connections with machines that were previously detached.
- PREPJOIN - Prepare the addition of a new machine over CCS.
[]> prepjoin

Prepare Cluster Join Over CCS

No host entries waiting to be added to the cluster.

Choose the operation you want to perform:
- NEW - Add a new host that will join the cluster.
[]> new

Enter the hostname of the system you want to add.
[]> ESA.lab

Enter the serial number of the host ESA.lab.
[]> XXXXXXXXXXXXXX-XXXXXA

Enter the user key of the host ESA2.lab.  This can be obtained by typing 
"clusterconfig prepjoin print" in the CLI on ESA.lab.
Press enter on a blank line to finish.

بمجرد إدخال بصمة إصبع SSH (التي يتم الحصول عليها عند تسجيل الدخول إلى الجهاز الذي يحاول الانضمام إلى نظام المجموعة الخاص بك باستخدام الأمرclusterconfig prepjoin print ) في مثال الرمز السابق وإدخال سطر فارغ، فإنها تكمل وصل المقدمة.

ملاحظة: إذا قمت بتشغيل PREPJOIN الخيار، يلزمك الالتزام بتغييراتك على ESA الأساسي قبل أن تقوم بالتشغيل  clusterconfig  على ESA الثانوي والانضمام إلى هذا الجهاز إلى المجموعة التي تم تكوينها حديثا.  وتتم ملاحظة ذلك من الإخراج عبر العملية: لربط هذا الجهاز بنظام مجموعة بمفاتيح مشتركة مسبقا وتسجيل الدخول إلى جهاز نظام المجموعة وتشغيل clusterconfig > prepjoin > new  الأمر وإدخال التفاصيل التالية commit وتغييراتك.

ثم يمكنك بدء عملية الانضمام على الجهاز الذي يحاول الانضمام إليه، للرجوع إلى ذلك، سميه ESA2.lab لمطابقة عملية الانضمام إلى الخطوة السابقة.

ملاحظة: يوجد مفتاح SSH-DSS في المثال التالي.

ESA2.lab> clusterconfig Do you want to join or create a cluster? 1. No, configure as standalone. 2. Create a new cluster. 3. Join an existing cluster over SSH. 4. Join an existing cluster over CCS. [1]> 4 While joining a cluster, you will need to validate the SSH host key of the remote machine to which you are joining. 
To get the public host key fingerprint of the remote host, connect to the cluster and run: logconfig -> hostkeyconfig -> fingerprint. WARNING: All non-network settings will be lost. System will inherit the values set at the group or cluster mode for 
the non-network settings. Ensure that the cluster settings are compatible with your network settings (e.g. dnsconfig settings) Exception: Centralized Policy, Virus, and Outbreak Quarantine settings are not inherited from the cluster. 
These settings on this machine will remain intact. In order to join a cluster over CCS, you must first log in to the cluster and tell it that this system is being added. 
On a machine in the cluster, run "clusterconfig -> prepjoin -> new" with the following information and commit. Host: ESA2.lab Serial Number: XXXXXXXXXXXX-XXXXXA User Key: ssh-dss AAAAB3NzaC1kc3.......BrccM= Choose the interface on which to enable the Cluster Communication Service: 1. ClusterInterface (10.1.1.2/24: ESA2.lab) [1]> 1 Enter the port on which to enable the Cluster Communication Service: [2222] Enter the IP address of a machine in the cluster. []> 10.1.1.1 Enter the remote port to connect to. This must be the CCS port on the machine "10.1.1.1", 
not the normal admin ssh port. [2222]>

وبمجرد التأكد من ذلك، يمكنك الاطلاع على مفتاح SSH-DSS. إذا تطابقت، يمكنك قبول الشروط والانضمام إلى نظام المجموعة بنجاح.

ما تم ترحيله في تكوين نظام المجموعة

عمليات ترحيل تكوين نظام المجموعة:

• إعدادات النهج التي تم تكوينها
• عوامل تصفية المحتوى
• موارد النص
• قواميس المحتوى
• إعدادات LDAP
• مكافحة البريد العشوائي والفيروسات
• الإعدادات العمومية
• إعدادات المصغي
• إعدادات مسار SMTP
• إعدادات DNS

ما لم يتم ترحيله في تكوين نظام المجموعة

لا يقوم تكوين نظام المجموعة بالترحيل:

• اسم المضيف المحلي للجهاز.
• واجهات IP التي تم تكوينها.
• تم تكوين جداول التوجيه.
• تكوين عزل البريد العشوائي المحلي.
• عمليات التهيئة المحلية للحجر الصحي خاصة بالسياسة والفيروسات وتفشيه
• الإعدادات تحت websecurityadvancedconfig  الأمر في سطر الأوامر (للإصدارات 8.5 والإصدارات الأحدث). 

كيف يتم تكوين المجموعات في مجموعة ESA

وفي بعض السيناريوهات، يمكن أن يشترط على عدد قليل من الكيانات الفضائية الأوروبية العاملة في المجموعة أن تعمل بطريقة معينة أكثر من غيرها. لتحقيق ذلك، لا تحتاج إلى إنشاء نظام مجموعة جديد ويمكنك متابعة إنشاء مجموعات.

لإنشاء مجموعات، قم بإنشائها من واجهة سطر الأوامر (CLI) ل ESA. لبدء التكوين، أستخدم الأمر clusterconfig --> ADDGROUP :

(machine esalab.cisco.com)> clsterconfig 

يقتصر هذا الأمر على وضع "نظام المجموعة".  هل ترغب في التبديل إلى وضع "نظام المجموعة"؟ [Y]>

مجموعة Cisco

أختر العملية التي تريد تنفيذها:

- إضافة مجموعة - إضافة مجموعة نظام مجموعة.

- setGroup - قم بتعيين المجموعة التي تنتمي إليها الأجهزة.

- Renameggroup - إعادة تسمية مجموعة نظام مجموعة.

- DeleteGroup - إزالة مجموعة نظام مجموعة.

- RemoveAmachine - إزالة جهاز من المجموعة.

- تعيين اسم نظام المجموعة.

- سرد الأجهزة الموجودة في نظام المجموعة.

- CONSTATUS - إظهار حالة الاتصالات بين الأجهزة في نظام المجموعة.

- الاتصال - تكوين كيفية اتصال الأجهزة داخل المجموعة.

- قطع الاتصال - فصل الأجهزة مؤقتا عن نظام المجموعة.

- إعادة الاتصال - إستعادة الاتصالات بالأجهزة التي تم فصلها سابقا.

- إعداد إضافة جهاز جديد على CCS.

[]> مجموعة إضافية

أدخل اسم مجموعة نظام المجموعة الجديدة المراد إنشاؤها.

[]> New_Group

تم إنشاء مجموعة نظام المجموعة New_Group.

لإضافة ESAs من المجموعة الحالية إلى المجموعة الجديدة التي تم إنشاؤها، أستخدم الأمر setGroup: 

(machine esalab.cisco.com)> clsterconfig

يقتصر هذا الأمر على وضع "نظام المجموعة".  هل ترغب في التبديل إلى وضع "نظام المجموعة"؟ [Y]>

مجموعة Cisco

أختر العملية التي تريد تنفيذها:

- إضافة مجموعة - إضافة مجموعة نظام مجموعة.

- setGroup - قم بتعيين المجموعة التي تنتمي إليها الأجهزة.

- Renameggroup - إعادة تسمية مجموعة نظام مجموعة.

- DeleteGroup - إزالة مجموعة نظام مجموعة.

- RemoveAmachine - إزالة جهاز من المجموعة.

- تعيين اسم نظام المجموعة.

- سرد الأجهزة الموجودة في نظام المجموعة.

- CONSTATUS - إظهار حالة الاتصالات بين الأجهزة في نظام المجموعة.

- الاتصال - تكوين كيفية اتصال الأجهزة داخل المجموعة.

- قطع الاتصال - فصل الأجهزة مؤقتا عن نظام المجموعة.

- إعادة الاتصال - إستعادة الاتصالات بالأجهزة التي تم فصلها سابقا.

- إعداد إضافة جهاز جديد على CCS.

[]> SetGroup

أختر الجهاز المطلوب نقله إلى مجموعة مختلفة.  افصل الأجهزة المتعددة بالفواصل.

1. esalab.cisco.com (مجموعة ESA_GROUP)

[1]> 1

أختر المجموعة التي يجب أن يكون esalab.cisco.com عضوا فيها.

1- مجموعة ESA

2. New_Group

[1]> 2

esalab.cisco.com إلى مجموعة new_group.

لإعادة تسمية مجموعة حالية في نظام المجموعة ESA، أستخدم الأمر RENAMEGROUP:

(machine esalab.cisco.com)> clsterconfig

يقتصر هذا الأمر على وضع "نظام المجموعة".  هل ترغب في التبديل إلى وضع "نظام المجموعة"؟ [Y]>

مجموعة Cisco

أختر العملية التي تريد تنفيذها:

- إضافة مجموعة - إضافة مجموعة نظام مجموعة.

- setGroup - قم بتعيين المجموعة التي تنتمي إليها الأجهزة.

- Renameggroup - إعادة تسمية مجموعة نظام مجموعة.

- DeleteGroup - إزالة مجموعة نظام مجموعة.

- RemoveAmachine - إزالة جهاز من المجموعة.

- تعيين اسم نظام المجموعة.

- سرد الأجهزة الموجودة في نظام المجموعة.

- CONSTATUS - إظهار حالة الاتصالات بين الأجهزة في نظام المجموعة.

- الاتصال - تكوين كيفية اتصال الأجهزة داخل المجموعة.

- قطع الاتصال - فصل الأجهزة مؤقتا عن نظام المجموعة.

- إعادة الاتصال - إستعادة الاتصالات بالأجهزة التي تم فصلها سابقا.

- إعداد إضافة جهاز جديد على CCS.

[]> Renameggroup

أختر المجموعة التي ترغب في إعادة تسميتها.

1- مجموعة ESA

2. New_Group

[1]> 2

أدخل الاسم الجديد للمجموعة.

[new_group]> cluster_group

تمت إعادة تسمية New_Group للمجموعة إلى Cluster_Group.

لحذف مجموعة حالية من مجموعة ESA، أستخدم الأمر  DELETEGROUP

(machine esalab.cisco.com)> clsterconfig

يقتصر هذا الأمر على وضع "نظام المجموعة".  هل ترغب في التبديل إلى وضع "نظام المجموعة"؟ [Y]>

مجموعة Cisco

أختر العملية التي تريد تنفيذها:

- إضافة مجموعة - إضافة مجموعة نظام مجموعة.

- setGroup - قم بتعيين المجموعة التي تنتمي إليها الأجهزة.

- Renameggroup - إعادة تسمية مجموعة نظام مجموعة.

- DeleteGroup - إزالة مجموعة نظام مجموعة.

- RemoveAmachine - إزالة جهاز من المجموعة.

- تعيين اسم نظام المجموعة.

- سرد الأجهزة الموجودة في نظام المجموعة.

- CONSTATUS - إظهار حالة الاتصالات بين الأجهزة في نظام المجموعة.

- الاتصال - تكوين كيفية اتصال الأجهزة داخل المجموعة.

- قطع الاتصال - فصل الأجهزة مؤقتا عن نظام المجموعة.

- إعادة الاتصال - إستعادة الاتصالات بالأجهزة التي تم فصلها سابقا.

- إعداد إضافة جهاز جديد على CCS.

[]> Deletegroup

أختر المجموعة التي ترغب في إزالتها.

1. Cluster_Group

2- فريق وكالة الفضاء الأوروبية

[1]> 1

أختر المجموعة التي يجب نقل الأجهزة الموجودة في Cluster_Group إليها.

1- مجموعة ESA

[1]> 1

تمت إزالة cluster_group للمجموعة.

معلومات ذات صلة

• الدعم الفني والتنزيلات من Cisco