Cisco Security Appliance의 Sophos Anti-virus 업데이트는 Sophos 웹 사이트에서 제공하는 업데이트와 다릅니다.
소개
이 문서에서는 Cisco 보안 어플라이언스의 Sophos Anti-Virus 업데이트가 Sophos 웹 사이트에서 제공하는 업데이트와 다른 이유를 설명합니다.
전제 조건
다음 주제에 대한 지식을 보유하고 있으면 유용합니다.
- Cisco ESA(Email Security Appliance)
- 모든 버전의 AsyncOS
배경
업데이트에는 Sophos Anti-Virus 엔진에 대한 업데이트와 Sophos 바이러스 ID 파일(IDE(Integrated Development Environment) 파일)에 대한 업데이트라는 두 가지 유형이 있습니다.
Sophos Anti-virus 엔진은 AsyncOS 운영 체제에 완전히 통합됩니다. Sophos는 약 매달 새로운 버전의 안티바이러스 검사 엔진을 생성합니다. 새 버전에는 최신 바이러스 정의 및 새로운 유형의 바이러스를 인식하고 알려진 문제를 해결하는 데 필요한 코드 변경 사항이 모두 포함되어 있습니다. 추가 바이러스가 발견되면 Sophos는 IDE 파일이라고 하는 바이러스 ID 파일을 릴리스합니다. 이것들은 90일 미만의 엔진과 함께 작동할 것입니다.
Sophos 업데이트는 C-Series 어플라이언스에서 Cisco AsyncOS에 의해 자동으로 관리됩니다. Sophos에서 엔진의 새 버전을 릴리스하면 Cisco는 QA(품질 보증) 프로세스를 통해 해당 버전을 검증한 다음 Cisco 업데이트 서버에 배치하여 C-Series 어플라이언스에서 자동으로 해당 버전을 다운로드하고 업데이트하도록 합니다. IDE 바이러스 정의 파일이 릴리스되면 이러한 파일은 자동으로 서비스를 통해 이동하고 Sophos에서 릴리스한 후 몇 분 내에 Cisco 업데이트 서버에 배치됩니다.
Sophos IDE 바이러스 시그니처는 유효하며 이전 엔진 버전과 함께 작동합니다. 모든 현재 IDE가 로드되며 Cisco C-Series Appliance에서 실행 중인 엔진 버전에서 작동합니다.
구성
Cisco ESA의 파일이 Sophos에서 직접 사용할 수 있는 파일과 동기화되지 않은 것처럼 보일 수도 있습니다. 이는 Sophos와 대부분의 북미 고객 간의 시간대의 차이로 인해 더욱 복잡해질 수 있습니다. Sophos 웹 사이트는 영국 옥스퍼드 인근의 Sophos 본사에서 관리합니다. 사이트에 게시된 글은 현지 표준 시간대인 GMT로 날짜가 지정됩니다. Sophos IDE 파일의 상관 관계를 확인하는 것은 좀 혼란스럽습니다. 시간 차이가 크면 날짜가 하루 간격으로 떨어져 있는 것처럼 보일 수 있을 뿐만 아니라 Cisco에서는 IDE 파일에 다른 번호 지정 스키마를 사용합니다. Sophos IDE 사이트를 확인하여 IDE가 언제 릴리스되었는지, 그리고 그 날과 그 전날 릴리스된 다른 IDE 수가 얼마인지 확인하면 이러한 파일을 일치시킬 수 있지만, Cisco는 종종 이 사이트에 게시되지 않은 증분 변경 사항을 수집하므로 이 방법이 가장 효율적인 방법이 아닙니다. Cisco는 10분마다 Sophos 웹 사이트를 쿼리합니다. 어플라이언스의 기본 설정은 5분마다 Cisco 다운로드 사이트를 쿼리하는 것입니다. 최악의 경우에는 15분 정도 지연될 것이다.
IDE 파일의 번호 지정 스키마는 날짜입니다. 예를 들어, "Sophos IDE Rules 2004121402 Tue Dec 14 06:27:14 2004"는 12월 14일에 게시된 세 번째 업데이트(0부터 계산하기 시작)와 관련이 있습니다.
Sophos Automatic Update Interval(Sophos 자동 업데이트 간격)을 15분의 기본 설정으로 설정하는 것이 좋습니다. Security Services(보안 서비스)->Anti-Virus(안티바이러스) 페이지에서 웹 기반 GUI를 사용하여 Cisco에서 지속적인 업데이트를 가져오는지 확인합니다. 이 정보는 다음과 같이 antivirusstatus CLI 명령을 사용해도 됩니다.
mail3.example.com> antivirusstatus
SAV Engine Version 4.03
IDE Serial 2006031503
Last Engine Update Tue Mar 14 01:01:49 2006
Last IDE Update Thu Mar 16 06:33:50 2006
Last Update Attempt Thu Mar 16 09:18:51 2006
Last Update Success Thu Mar 16 06:33:50 2006
업데이트에 성공하지 못하면(이 경우 알림 메시지가 표시됨) GUI의 Update Now 버튼 또는 antiviruupdate CLI 명령을 사용하여 수동 업데이트를 시도할 수 있습니다. 업데이트 상태가 안티바이러스 로그 파일에 표시됩니다. 예를 들면 다음과 같습니다.
smtp.example.com> tailCurrently configured logs:
1. "antivirus" Module: thirdparty Format: Anti-Virus
2. "avarchive" Module: mail Format: Anti-Virus Archive
3. "bounces" Module: bounces Format: Bounces
4. "brightmail" Module: thirdparty Format: Symantec Brightmail Anti-Spam
5. "cli_logs" Module: system Format: CLI Audit Logs
6. "error_logs" Module: mail Format: IronPort Text
7. "ftpd_logs" Module: ftpd Format: IronPort Text
8. "gui_logs" Module: gui Format: IronPort Text
9. "mail_logs" Module: mail Format: IronPort Text
10. "rptd_logs" Module: rptd Format: IronPort Text
11. "sntpd_logs" Module: sntpd Format: IronPort Text
12. "status" Module: mail Format: Status Logs
13. "system_logs" Module: system Format: IronPort Text
Enter the number of the log you wish to tail.
[]> 1Press Ctrl-C to stop.
Thu Mar 16 09:08:50 2006 Info: Current IDE serial=2006031503. No update needed.
Thu Mar 16 09:13:50 2006 Info: Checking for Sophos Update
Thu Mar 16 09:13:50 2006 Info: Current SAV engine ver=4.03. No engine update needed
Thu Mar 16 09:13:50 2006 Info: Current IDE serial=2006031503. No update needed.
Thu Mar 16 09:18:50 2006 Info: Checking for Sophos Update
Thu Mar 16 09:18:50 2006 Info: Current SAV engine ver=4.03. No engine update needed
Thu Mar 16 09:18:50 2006 Info: Current IDE serial=2006031503. No update needed.
Thu Mar 16 09:23:50 2006 Info: Checking for Sophos Update
Thu Mar 16 09:23:50 2006 Info: Current SAV engine ver=4.03. No engine update needed
Thu Mar 16 09:23:50 2006 Info: Current IDE serial=2006031503. No update needed.
^C
smtp.example.com>
개정 이력
| 개정 | 게시 날짜 | 의견 |
|---|---|---|
1.0 |
11-Jul-2014 |
최초 릴리스 |
피드백