Prácticas recomendadas para la configuración y migración de cuarentenas de brotes, virus y políticas centralizadas de ESA a SMA

Opciones de descarga

  • PDF     (1.9 MB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (1.3 MB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (1.6 MB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:13 de octubre de 2014
ID del documento:118461

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Introducción

Las siguientes cuarentenas se pueden centralizar colectivamente en un dispositivo de administración de seguridad de Cisco (SMA):

  • Antivirus
  • Brote
  • Cuarentenas de políticas utilizadas para mensajes capturados por:
    • Filtros de mensajes
    • Filtros de contenido
    • Políticas de prevención de pérdida de datos

La centralización de estas cuarentenas ofrece las siguientes ventajas:

  • Los administradores pueden gestionar mensajes en cuarentena desde varios dispositivos de seguridad de correo electrónico (ESA) en una ubicación.
  • Los mensajes en cuarentena se almacenan detrás del firewall en lugar de en la DMZ, lo que reduce el riesgo de seguridad.
  • Las cuarentenas centralizadas se pueden realizar como parte de la funcionalidad de copia de seguridad estándar en el SMA.

Prerequisites

  • SMA que ejecuta 8.1 (Guía del usuario de SMA, capítulo 8, cuarentenas de brotes, virus y políticas centralizadas)
  • ESA que ejecuta 8.0.1 (Guía del usuario de ESA, capítulo 27, Cuarentenas)
  • Firewall: puerto 7025 / TCP (de entrada y de salida) / uso de nombre de host: IP de AsyncOS / Descripción: pasar datos de cuarentena de brotes, virus y políticas entre los dispositivos de seguridad de correo electrónico y el dispositivo de administración de seguridad cuando esta función está centralizada

Configurar


A partir de ESA, en una cuarentena de políticas existente, hay mensajes activos en la cuarentena de políticas:


Para migrar estos mensajes y, a continuación, confiar en que SMA sea el dispositivo activo propietario de la cuarentena de políticas, siga estas instrucciones.

En el SMA, navegue hasta Dispositivo de administración > Servicios centralizados > Cuarentenas de brotes, virus y políticas. Si todavía no está habilitado, haga clic en Habilitar:

Seleccione la interfaz, si corresponde, que está pensada para manejar el tráfico desde el ESA al SMA.  

Nota: el puerto de cuarentena se puede cambiar, pero deberá abrirse si hay una ACL de red/firewall en funcionamiento.

Haga clic en Submit (Enviar). La pantalla se actualizará para mostrar el mensaje "Service enabled" (Servicio habilitado), que se muestra a continuación:

Navegue hasta Dispositivo de administración > Servicios centralizados > Dispositivos de seguridad y agregue la comunicación ESA al SMA:

Haga clic en Agregar dispositivo de correo electrónico.  

Nota: Solo necesita agregar la dirección IP que el SMA utilizará para comunicarse con el ESA. El nombre del dispositivo sólo se utiliza como referencia administrativa.

Asegúrese de establecer conexión y probar conexión. Una vez establecida la conexión del SMA al ESA, se solicitarán el nombre de usuario y la contraseña del administrador. Este es el usuario administrativo y la contraseña del ESA que se está agregando. En función de lo que ya está activo frente a lo que se está añadiendo, los resultados de la prueba pueden variar, pero deben ser similares a:

Asegúrese de enviar y registrar cambios en este punto del SMA.

En este momento, si volviera a visitar el ESA e intentara configurar la sección Servicios centralizados de la cuarentena de políticas, sería similar a lo siguiente:

Los pasos de la migración deben completarse en el SMA. Vuelva al SMA y continúe con la siguiente sección.

Una vez que se haya completado Commit Changes, se activará el Launch Migration Wizard del paso 2:

Seleccione Iniciar Asistente para migración y continúe de la siguiente manera:

Si sólo se va a migrar una cuarentena determinada, elija Custom. En este ejemplo, continuaremos con Automático, que migrará CUALQUIER/TODAS las cuarentenas de políticas del ESA al SMA. Tenga en cuenta que verá el nombre especificado elegido durante el ESA add mencionado anteriormente, seguido de la dirección IP utilizada en la comunicación:

Haga clic en Next y continúe:

Por último, haga clic en Submit y aparecerá la notificación de "Satisfactorio":

Realice los cambios en el SMA.

Volviendo al ESA, navegue hasta Servicios de seguridad > Cuarentenas de brotes, virus y políticas. Ahora se reconocen los pasos necesarios en el SMA:

Haga clic en Enable? y continúe:

Observe que aquí nuevamente se anota el puerto apropiado utilizado para la comunicación. Éstos deben coincidir, y si el firewall/ACL de red está en uso, deben abrirse para permitir la migración adecuada entre el ESA y SMA.

Nota: Si tiene cuarentenas de brotes, virus y políticas configuradas en un ESA, la migración de cuarentenas y todos sus mensajes comienza en cuanto confirma este cambio.

Nota: solo puede haber un proceso de migración en curso en cada momento. No habilite cuarentenas de brotes, virus y políticas centralizadas en otro dispositivo de Email Security hasta que se haya completado la migración anterior.

Haga clic en Submit y, por último, haga clic en Commit. La notificación de información debe ser similar. Si hay un gran número de mensajes que ya están en cuarentena local, estos pueden tardar en procesarse de ESA a SMA:

Vuelva a visitar el SMA y navegue hasta Dispositivo de administración > Servicios centralizados > Cuarentenas de brotes, virus y políticas. Los pasos de la migración se completarán ahora:

Verificación

En este momento, la migración de la cuarentena de políticas del ESA al SMA ha finalizado. Para la verificación final, verifique la cuarentena de políticas en el SMA:

Debería ver los mismos mensajes que aparecían originalmente en el ESA. Seleccione el hipervínculo # en la columna de mensajes y compruebe:

Si observa los mail_logs en el ESA, se presentará la migración de los mensajes reales:

Nota: Observe el uso de la comunicación entre el ESA (XX.X.XX.XXX) y SMA (YY.Y.YY.YYY) a través del puerto 7025.

Wed Mar  5 02:48:40 2014 Info: New SMTP DCID 2 interface XX.X.XX.XXX address
YY.Y.YY.YYY port 7025
Wed Mar  5 02:48:40 2014 Info: DCID 2 TLS success protocol TLSv1 cipher RC4-SHA
the.cpq.host
Wed Mar  5 02:49:52 2014 Info: New SMTP DCID 3 interface XX.X.XX.XXX address
YY.Y.YY.YYY port 7025
Wed Mar  5 02:49:52 2014 Info: DCID 3 TLS success protocol TLSv1 cipher RC4-SHA
the.cpq.host
Wed Mar  5 02:50:22 2014 Info: New SMTP DCID 4 interface XX.X.XX.XXX address
YY.Y.YY.YYY port 7025
Wed Mar  5 02:50:22 2014 Info: DCID 4 TLS success protocol TLSv1 cipher RC4-SHA
the.cpq.host
Wed Mar  5 02:50:23 2014 Info: New SMTP DCID 5 interface XX.X.XX.XXX address
YY.Y.YY.YYY port 7025
Wed Mar  5 02:50:23 2014 Info: DCID 5 TLS success protocol TLSv1 cipher RC4-SHA
the.cpq.host
Wed Mar  5 02:50:40 2014 Info: New SMTP DCID 6 interface XX.X.XX.XXX address
YY.Y.YY.YYY port 7025
Wed Mar  5 02:50:40 2014 Info: DCID 6 TLS success protocol TLSv1 cipher RC4-SHA
the.cpq.host
Wed Mar  5 02:50:41 2014 Info: New SMTP DCID 7 interface XX.X.XX.XXX address
YY.Y.YY.YYY port 7025
Wed Mar  5 02:50:41 2014 Info: DCID 7 TLS success protocol TLSv1 cipher RC4-SHA
the.cpq.host
Wed Mar  5 02:50:42 2014 Info: New SMTP DCID 8 interface XX.X.XX.XXX address
YY.Y.YY.YYY port 7025
Wed Mar  5 02:50:42 2014 Info: DCID 8 TLS success protocol TLSv1 cipher RC4-SHA
the.cpq.host
Wed Mar  5 02:51:01 2014 Info: New SMTP DCID 9 interface XX.X.XX.XXX address
YY.Y.YY.YYY port 7025
Wed Mar  5 02:51:01 2014 Info: DCID 9 TLS success protocol TLSv1 cipher RC4-SHA
the.cpq.host
Wed Mar  5 02:51:01 2014 Info: CPQ listener cpq_listener starting
Wed Mar  5 02:51:01 2014 Info: New SMTP DCID 10 interface XX.X.XX.XXX address
YY.Y.YY.YYY port 7025
Wed Mar  5 02:51:01 2014 Info: DCID 10 TLS success protocol TLSv1 cipher RC4-SHA
the.cpq.host
Wed Mar  5 02:51:02 2014 Info: New SMTP DCID 11 interface XX.X.XX.XXX address
YY.Y.YY.YYY port 7025
Wed Mar  5 02:51:02 2014 Info: DCID 11 TLS success protocol TLSv1 cipher RC4-SHA
the.cpq.host
Wed Mar  5 02:51:02 2014 Info: MID 1 enqueued for transfer to centralized quarantine
"Policy" (content filter _policy_q_in_)
Wed Mar  5 02:51:02 2014 Info: MID 1 queued for delivery
Wed Mar  5 02:51:02 2014 Info: New SMTP DCID 12 interface XX.X.XX.XXX address
YY.Y.YY.YYY port 7025
Wed Mar  5 02:51:02 2014 Info: DCID 12 TLS success protocol TLSv1 cipher RC4-SHA
the.cpq.host
Wed Mar  5 02:51:02 2014 Info: Delivery start DCID 12 MID 1 to RID [0] to Centralized
Policy Quarantine
Wed Mar  5 02:51:02 2014 Info: MID 2 enqueued for transfer to centralized quarantine
"Policy" (content filter _policy_q_in_)
Wed Mar  5 02:51:02 2014 Info: MID 2 queued for delivery
Wed Mar  5 02:51:02 2014 Info: MID 3 enqueued for transfer to centralized quarantine
"Policy" (content filter _policy_q_in_)
Wed Mar  5 02:51:02 2014 Info: MID 3 queued for delivery
Wed Mar  5 02:51:02 2014 Info: Message done DCID 12 MID 1 to RID [0] (centralized
policy quarantine)
Wed Mar  5 02:51:02 2014 Info: MID 1 RID [0] Response 'ok:  Message 1 accepted'
Wed Mar  5 02:51:02 2014 Info: Message finished MID 1 done
Wed Mar  5 02:51:02 2014 Info: MID 1 migrated from all quarantines
Wed Mar  5 02:51:02 2014 Info: Delivery start DCID 12 MID 2 to RID [0] to Centralized
Policy Quarantine
Wed Mar  5 02:51:02 2014 Info: New SMTP DCID 13 interface XX.X.XX.XXX address
YY.Y.YY.YYY port 7025
Wed Mar  5 02:51:02 2014 Info: DCID 13 TLS success protocol TLSv1 cipher RC4-SHA
the.cpq.host
Wed Mar  5 02:51:02 2014 Info: New SMTP DCID 14 interface XX.X.XX.XXX address
YY.Y.YY.YYY port 7025
Wed Mar  5 02:51:02 2014 Info: DCID 14 TLS success protocol TLSv1 cipher RC4-SHA
the.cpq.host
Wed Mar  5 02:51:02 2014 Info: Message done DCID 12 MID 2 to RID [0] (centralized
policy quarantine)
Wed Mar  5 02:51:02 2014 Info: MID 2 RID [0] Response 'ok:  Message 2 accepted'
Wed Mar  5 02:51:02 2014 Info: Message finished MID 2 done
Wed Mar  5 02:51:02 2014 Info: MID 2 migrated from all quarantines
Wed Mar  5 02:51:02 2014 Info: Delivery start DCID 12 MID 3 to RID [0] to Centralized
Policy Quarantine
Wed Mar  5 02:51:02 2014 Info: Message done DCID 12 MID 3 to RID [0] (centralized
policy quarantine)
Wed Mar  5 02:51:02 2014 Info: MID 3 RID [0] Response 'ok:  Message 3 accepted'
Wed Mar  5 02:51:02 2014 Info: Message finished MID 3 done
Wed Mar  5 02:51:02 2014 Info: MID 3 migrated from all quarantines
Wed Mar  5 02:51:02 2014 Info: New SMTP DCID 15 interface XX.X.XX.XXX address
YY.Y.YY.YYY port 7025
Wed Mar  5 02:51:02 2014 Info: DCID 15 TLS success protocol TLSv1 cipher RC4-SHA
the.cpq.host
Wed Mar  5 02:51:07 2014 Info: DCID 12 close

Vuelva a visitar el ESA y se mostrará lo siguiente al ver las cuarentenas de brotes, virus y políticas:

El siguiente paso de la verificación es enviar un nuevo mensaje de prueba a través del ESA que será capturado para la cuarentena de políticas. Si observamos mail_logs en el ESA, observe la línea resaltada que indica la transferencia de ESA a SMA a través de 7025, que indica la cuarentena de políticas:

Wed Mar  5 02:57:47 2014 Info: Start MID 4 ICID 6
Wed Mar  5 02:57:47 2014 Info: MID 4 ICID 6 From: <robsherw.cisco@gmail.com>
Wed Mar  5 02:57:47 2014 Info: MID 4 ICID 6 RID 0 To: <robsherw@cisco.com>
Wed Mar  5 02:57:47 2014 Info: MID 4 Message-ID
'<7642E61C-4BA2-432E-A524-E163EA0B9753@gmail.com>'
Wed Mar  5 02:57:47 2014 Info: MID 4 Subject 'NEW FUNNY'
Wed Mar  5 02:57:47 2014 Info: MID 4 ready 525 bytes from
<robsherw.cisco@gmail.com>
Wed Mar  5 02:57:47 2014 Info: MID 4 matched all recipients for per-recipient
policy DEFAULT in the inbound table
Wed Mar  5 02:57:47 2014 Info: MID 4 enqueued for transfer to centralized
quarantine "Policy" (content filter _policy_q_in_)
Wed Mar  5 02:57:47 2014 Info: MID 4 queued for delivery
Wed Mar  5 02:57:47 2014 Info: New SMTP DCID 16 interface XX.X.XX.XXX address
YY.Y.YY.YYY port 7025
Wed Mar  5 02:57:47 2014 Info: DCID 16 TLS success protocol TLSv1 cipher RC4-SHA
the.cpq.host
Wed Mar  5 02:57:47 2014 Info: Delivery start DCID 16 MID 4 to RID [0] to Centralized
Policy Quarantine
Wed Mar  5 02:57:47 2014 Info: Message done DCID 16 MID 4 to RID [0] (centralized
policy quarantine)
Wed Mar  5 02:57:47 2014 Info: MID 4 RID [0] Response 'ok:  Message 4 accepted'
Wed Mar  5 02:57:47 2014 Info: Message finished MID 4 done
Wed Mar  5 02:57:52 2014 Info: DCID 16 close

Vuelva a visitar la cuarentena de políticas mencionada anteriormente en el SMA; el nuevo mensaje de prueba también se encuentra ahora en cuarentena:

Información Relacionada

Historial de revisiones

Revisión Fecha de publicación Comentarios
1.0
13-Oct-2014
Versión inicial
TAC Authored

Con la colaboración de ingenieros de Cisco

¿Resultó útil este documento?

FeedbackComentarios

Contacte a Cisco

Este documento se aplica a estos productos