集中策略、病毒和爆发隔离区设置和从ESA迁移到SMA的最佳实践
简介
现在,以下隔离区可以集中到思科安全管理设备(SMA)上:
- 防病毒
- 病毒爆发
- 策略隔离区用于以下对象捕获的邮件:
- 邮件过滤器
- 内容过滤器
- 防数据丢失策略
集中这些隔离区具有以下优势:
- 管理员可以在一个位置管理来自多个邮件安全设备(ESA)的隔离邮件。
- 隔离的邮件存储在防火墙后面而不是隔离区,从而降低了安全风险。
- 集中式隔离区可以作为SMA标准备份功能的一部分进行备份。
先决条件
- 运行8.1版的SMA(SMA用户指南,第8章,集中策略、病毒和爆发隔离区)
- 运行8.0.1的ESA(ESA用户指南,第27章,隔离区)
- 防火墙-端口7025/TCP(传入和传出)/主机名使用:AsyncOS IP/说明:集中此功能时,在邮件安全设备和安全管理设备之间传递策略、病毒和爆发隔离区数据
配置
从ESA开始,在现有策略隔离区中,策略隔离区中存在活动邮件:
要迁移这些邮件,然后依靠SMA作为拥有策略隔离区的活动设备,请完成以下说明。
在SMA上,导航到管理设备>集中服务>策略、病毒和爆发隔离区。 如果尚未启用,请点击启用:
选择用于处理从ESA到SMA的流量的接口(如果适用)。
单击“Submit”。屏幕将刷新以显示“服务已启用”消息,如下所示:
导航到管理设备>集中服务>安全设备,然后将ESA通信添加到SMA:
单击Add Email Appliance。
请确保建立连接并测试连接。建立从SMA到ESA的连接后,系统将请求管理员用户名和密码。 这是所添加的ESA的管理用户和密码。 根据已激活与正在添加的内容,测试结果可能会有所不同,但应类似于:
此时,请务必在SMA上提交和提交更改。
此时,如果要重新访问ESA并尝试配置策略隔离区的“集中服务”(Centralized Services)部分,则类似于以下内容:
仍必须在SMA上完成迁移步骤。返回SMA并继续下一部分。
完成提交更改后,第2步中的启动迁移向导?将变为活动状态:
选择Launch Migration Wizard并继续,如下所示:
如果仅要迁移特定隔离区,请选择Custom。在本例中,我们将继续执行自动,以便将任何/所有策略隔离区从ESA迁移到SMA。 请注意,您将看到在前述ESA添加期间选择的指定名称,后面是通信中使用的IP地址:
单击Next,然后继续:
最后,单击Submit,此时将显示“Success”通知:
在SMA上提交更改。
返回ESA,导航至安全服务>策略、病毒和爆发隔离区。SMA上的必备步骤现已确定:
单击Enable?,然后继续:
请注意,此处再次指明了用于通信的正确端口。这些值必须匹配,如果使用了防火墙/网络ACL,则必须打开才能在ESA和SMA之间正确迁移。
单击Submit,最后单击Commit。 信息通知应类似。如果本地隔离区中已有大量邮件,从ESA到SMA处理这些邮件可能需要一些时间:
重新访问SMA,然后导航到管理设备>集中服务>策略、病毒和爆发隔离区。 现在将完成迁移步骤:
确认
此时,策略隔离区从ESA迁移到SMA已完成。对于最终验证,请检查SMA上的策略隔离区:
您应该会看到最初在ESA中列出的相同消息。选择“消息”列中的#超链接,并验证:
如果您查看ESA上的mail_logs,将会显示实际邮件的迁移:
Wed Mar 5 02:48:40 2014 Info: New SMTP DCID 2 interface XX.X.XX.XXX address
YY.Y.YY.YYY port 7025
Wed Mar 5 02:48:40 2014 Info: DCID 2 TLS success protocol TLSv1 cipher RC4-SHA
the.cpq.host
Wed Mar 5 02:49:52 2014 Info: New SMTP DCID 3 interface XX.X.XX.XXX address
YY.Y.YY.YYY port 7025
Wed Mar 5 02:49:52 2014 Info: DCID 3 TLS success protocol TLSv1 cipher RC4-SHA
the.cpq.host
Wed Mar 5 02:50:22 2014 Info: New SMTP DCID 4 interface XX.X.XX.XXX address
YY.Y.YY.YYY port 7025
Wed Mar 5 02:50:22 2014 Info: DCID 4 TLS success protocol TLSv1 cipher RC4-SHA
the.cpq.host
Wed Mar 5 02:50:23 2014 Info: New SMTP DCID 5 interface XX.X.XX.XXX address
YY.Y.YY.YYY port 7025
Wed Mar 5 02:50:23 2014 Info: DCID 5 TLS success protocol TLSv1 cipher RC4-SHA
the.cpq.host
Wed Mar 5 02:50:40 2014 Info: New SMTP DCID 6 interface XX.X.XX.XXX address
YY.Y.YY.YYY port 7025
Wed Mar 5 02:50:40 2014 Info: DCID 6 TLS success protocol TLSv1 cipher RC4-SHA
the.cpq.host
Wed Mar 5 02:50:41 2014 Info: New SMTP DCID 7 interface XX.X.XX.XXX address
YY.Y.YY.YYY port 7025
Wed Mar 5 02:50:41 2014 Info: DCID 7 TLS success protocol TLSv1 cipher RC4-SHA
the.cpq.host
Wed Mar 5 02:50:42 2014 Info: New SMTP DCID 8 interface XX.X.XX.XXX address
YY.Y.YY.YYY port 7025
Wed Mar 5 02:50:42 2014 Info: DCID 8 TLS success protocol TLSv1 cipher RC4-SHA
the.cpq.host
Wed Mar 5 02:51:01 2014 Info: New SMTP DCID 9 interface XX.X.XX.XXX address
YY.Y.YY.YYY port 7025
Wed Mar 5 02:51:01 2014 Info: DCID 9 TLS success protocol TLSv1 cipher RC4-SHA
the.cpq.host
Wed Mar 5 02:51:01 2014 Info: CPQ listener cpq_listener starting
Wed Mar 5 02:51:01 2014 Info: New SMTP DCID 10 interface XX.X.XX.XXX address
YY.Y.YY.YYY port 7025
Wed Mar 5 02:51:01 2014 Info: DCID 10 TLS success protocol TLSv1 cipher RC4-SHA
the.cpq.host
Wed Mar 5 02:51:02 2014 Info: New SMTP DCID 11 interface XX.X.XX.XXX address
YY.Y.YY.YYY port 7025
Wed Mar 5 02:51:02 2014 Info: DCID 11 TLS success protocol TLSv1 cipher RC4-SHA
the.cpq.host
Wed Mar 5 02:51:02 2014 Info: MID 1 enqueued for transfer to centralized quarantine
"Policy" (content filter _policy_q_in_)
Wed Mar 5 02:51:02 2014 Info: MID 1 queued for delivery
Wed Mar 5 02:51:02 2014 Info: New SMTP DCID 12 interface XX.X.XX.XXX address
YY.Y.YY.YYY port 7025
Wed Mar 5 02:51:02 2014 Info: DCID 12 TLS success protocol TLSv1 cipher RC4-SHA
the.cpq.host
Wed Mar 5 02:51:02 2014 Info: Delivery start DCID 12 MID 1 to RID [0] to Centralized
Policy Quarantine
Wed Mar 5 02:51:02 2014 Info: MID 2 enqueued for transfer to centralized quarantine
"Policy" (content filter _policy_q_in_)
Wed Mar 5 02:51:02 2014 Info: MID 2 queued for delivery
Wed Mar 5 02:51:02 2014 Info: MID 3 enqueued for transfer to centralized quarantine
"Policy" (content filter _policy_q_in_)
Wed Mar 5 02:51:02 2014 Info: MID 3 queued for delivery
Wed Mar 5 02:51:02 2014 Info: Message done DCID 12 MID 1 to RID [0] (centralized
policy quarantine)
Wed Mar 5 02:51:02 2014 Info: MID 1 RID [0] Response 'ok: Message 1 accepted'
Wed Mar 5 02:51:02 2014 Info: Message finished MID 1 done
Wed Mar 5 02:51:02 2014 Info: MID 1 migrated from all quarantines
Wed Mar 5 02:51:02 2014 Info: Delivery start DCID 12 MID 2 to RID [0] to Centralized
Policy Quarantine
Wed Mar 5 02:51:02 2014 Info: New SMTP DCID 13 interface XX.X.XX.XXX address
YY.Y.YY.YYY port 7025
Wed Mar 5 02:51:02 2014 Info: DCID 13 TLS success protocol TLSv1 cipher RC4-SHA
the.cpq.host
Wed Mar 5 02:51:02 2014 Info: New SMTP DCID 14 interface XX.X.XX.XXX address
YY.Y.YY.YYY port 7025
Wed Mar 5 02:51:02 2014 Info: DCID 14 TLS success protocol TLSv1 cipher RC4-SHA
the.cpq.host
Wed Mar 5 02:51:02 2014 Info: Message done DCID 12 MID 2 to RID [0] (centralized
policy quarantine)
Wed Mar 5 02:51:02 2014 Info: MID 2 RID [0] Response 'ok: Message 2 accepted'
Wed Mar 5 02:51:02 2014 Info: Message finished MID 2 done
Wed Mar 5 02:51:02 2014 Info: MID 2 migrated from all quarantines
Wed Mar 5 02:51:02 2014 Info: Delivery start DCID 12 MID 3 to RID [0] to Centralized
Policy Quarantine
Wed Mar 5 02:51:02 2014 Info: Message done DCID 12 MID 3 to RID [0] (centralized
policy quarantine)
Wed Mar 5 02:51:02 2014 Info: MID 3 RID [0] Response 'ok: Message 3 accepted'
Wed Mar 5 02:51:02 2014 Info: Message finished MID 3 done
Wed Mar 5 02:51:02 2014 Info: MID 3 migrated from all quarantines
Wed Mar 5 02:51:02 2014 Info: New SMTP DCID 15 interface XX.X.XX.XXX address
YY.Y.YY.YYY port 7025
Wed Mar 5 02:51:02 2014 Info: DCID 15 TLS success protocol TLSv1 cipher RC4-SHA
the.cpq.host
Wed Mar 5 02:51:07 2014 Info: DCID 12 close
重新访问ESA,查看策略、病毒、爆发隔离区时将显示以下内容:
验证的下一步是通过ESA发送新的测试邮件,系统将捕获该邮件以进行策略隔离。在ESA上查看mail_logs,注意突出显示的line表示通过7025从ESA传输到SMA,表示Policy Quarantine:
Wed Mar 5 02:57:47 2014 Info: Start MID 4 ICID 6
Wed Mar 5 02:57:47 2014 Info: MID 4 ICID 6 From: <robsherw.cisco@gmail.com>
Wed Mar 5 02:57:47 2014 Info: MID 4 ICID 6 RID 0 To: <robsherw@cisco.com>
Wed Mar 5 02:57:47 2014 Info: MID 4 Message-ID
'<7642E61C-4BA2-432E-A524-E163EA0B9753@gmail.com>'
Wed Mar 5 02:57:47 2014 Info: MID 4 Subject 'NEW FUNNY'
Wed Mar 5 02:57:47 2014 Info: MID 4 ready 525 bytes from
<robsherw.cisco@gmail.com>
Wed Mar 5 02:57:47 2014 Info: MID 4 matched all recipients for per-recipient
policy DEFAULT in the inbound table
Wed Mar 5 02:57:47 2014 Info: MID 4 enqueued for transfer to centralized
quarantine "Policy" (content filter _policy_q_in_)
Wed Mar 5 02:57:47 2014 Info: MID 4 queued for delivery
Wed Mar 5 02:57:47 2014 Info: New SMTP DCID 16 interface XX.X.XX.XXX address
YY.Y.YY.YYY port 7025
Wed Mar 5 02:57:47 2014 Info: DCID 16 TLS success protocol TLSv1 cipher RC4-SHA
the.cpq.host
Wed Mar 5 02:57:47 2014 Info: Delivery start DCID 16 MID 4 to RID [0] to Centralized
Policy Quarantine
Wed Mar 5 02:57:47 2014 Info: Message done DCID 16 MID 4 to RID [0] (centralized
policy quarantine)
Wed Mar 5 02:57:47 2014 Info: MID 4 RID [0] Response 'ok: Message 4 accepted'
Wed Mar 5 02:57:47 2014 Info: Message finished MID 4 done
Wed Mar 5 02:57:52 2014 Info: DCID 16 close
重新访问之前提到的SMA上的策略隔离区,新的测试消息现在也在隔离区中:
相关信息
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
1.0 |
13-Oct-2014 |
初始版本 |
反馈