Best Practices für die zentrale Einrichtung von Richtlinien, Virus- und Outbreak-Quarantänen und die Migration von der ESA zur SMA

Download-Optionen

  • PDF     (1.9 MB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (1.3 MB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (1.6 MB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:13. Oktober 2014
Dokument-ID:118461

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Einleitung

Die folgenden Quarantänen können nun kollektiv auf einer Cisco Security Management Appliance (SMA) zentralisiert werden:

  • Anti-Virus
  • Ausbruch
  • Die Richtlinienquarantäne wird für Nachrichten verwendet, die abgefangen werden von:
    • Nachrichtenfilter
    • Content-Filter
    • Richtlinien zum Schutz vor Datenverlust

Die Zentralisierung dieser Quarantänen bietet folgende Vorteile:

  • Administratoren können Nachrichten in Quarantäne von mehreren Email Security Appliances (ESA) an einem Ort verwalten.
  • Nachrichten in Quarantäne werden nicht in der DMZ, sondern hinter der Firewall gespeichert, wodurch das Sicherheitsrisiko verringert wird.
  • Zentrale Quarantänen können als Teil der Standardsicherungsfunktion auf der SMA gesichert werden.

Voraussetzungen

Konfigurieren


Beginnend mit der ESA gibt es in einer vorhandenen Richtlinienquarantäne aktive Nachrichten in der Richtlinienquarantäne:


Gehen Sie wie folgt vor, um diese Nachrichten zu migrieren und sich dann darauf zu verlassen, dass die SMA die aktive Appliance ist, die Besitzer der Richtlinienquarantäne ist.

Navigieren Sie auf der SMA zu Management Appliance > Centralized Services > Policy, Virus and Outbreak Quarantines. Klicken Sie auf Aktivieren, wenn diese Option noch nicht aktiviert ist:

Wählen Sie ggf. die Schnittstelle aus, die den Datenverkehr von der ESA zur SMA verarbeiten soll.  

Hinweis: Der Quarantäne-Port kann geändert werden, er muss jedoch geöffnet werden, wenn eine Firewall-/Netzwerk-ACL vorhanden ist.

Klicken Sie auf Senden. Der Bildschirm wird aktualisiert, um die Meldung "Service aktiviert" anzuzeigen, die weiter unten angezeigt wird:

Navigieren Sie zu Management Appliance > Centralized Services > Security Appliances, und fügen Sie die ESA-Kommunikation zur SMA hinzu:

Klicken Sie auf E-Mail-Appliance hinzufügen.  

Hinweis: Sie müssen nur die IP-Adresse hinzufügen, die die SMA für die Kommunikation mit der ESA verwendet. Der Name der Appliance wird nur als administrative Referenz verwendet.

Stellen Sie sicher, dass Sie die Verbindung herstellen und die Verbindung testen. Beim Herstellen einer Verbindung von der SMA zur ESA werden der Benutzername und das Passwort des Administrators angefordert. Dies ist der administrative Benutzer und das Passwort der ESA, die hinzugefügt wird. Je nachdem, was bereits aktiv ist und was hinzugefügt wird, können die Ergebnisse des Tests variieren, sollten aber ähnlich sein wie:

Stellen Sie sicher, dass Sie an diesem Punkt der SMA Änderungen einreichen und bestätigen.

Wenn Sie die ESA erneut aufrufen und versuchen würden, den Abschnitt "Zentrale Dienste" der Richtlinienquarantäne zu konfigurieren, würde sich dies wie folgt verhalten:

Die Migrationsschritte müssen weiterhin auf der SMA ausgeführt werden. Kehren Sie zur SMA zurück, und fahren Sie mit dem folgenden Abschnitt fort.

Nach Abschluss des Commit Changes wird der Launch Migration Wizard? von Schritt 2 aktiviert:

Wählen Sie Start Migration Wizard (Migrationsassistent starten) aus, und fahren Sie wie folgt fort:

Wenn nur eine bestimmte Quarantäne migriert werden soll, wählen Sie Benutzerdefiniert. In diesem Beispiel fahren wir mit Automatic fort, die ANY/ALL Policy Quarantines von der ESA zu SMA migriert. Bitte beachten Sie, dass der angegebene Name, der während der oben erwähnten ESA-Hinzufügung ausgewählt wurde, gefolgt von der IP-Adresse, die bei der Kommunikation verwendet wurde, angezeigt wird:

Klicken Sie auf Weiter, und fahren Sie fort:

Klicken Sie abschließend auf Submit (Senden), um die Benachrichtigung "Success" anzuzeigen:

Bestätigen Sie Ihre Änderungen auf der SMA.

Kehren Sie zur ESA zurück, und navigieren Sie zu Security Services > Policy, Virus and Outbreak Quarantines. Die erforderlichen Schritte auf der SMA wurden jetzt erkannt:

Klicken Sie auf Aktivieren?, und fahren Sie fort:

Beachten Sie, dass auch hier der richtige Port für die Kommunikation angegeben ist. Diese müssen übereinstimmen und bei Verwendung einer Firewall-/Netzwerk-ACL geöffnet werden, damit eine ordnungsgemäße Migration zwischen der ESA und der SMA möglich ist.

Hinweis: Wenn Sie auf einer ESA Richtlinien-, Virus- und Outbreak-Quarantäne konfiguriert haben, beginnt die Migration der Quarantänen und aller zugehörigen Nachrichten, sobald Sie diese Änderung bestätigen.

Hinweis: Es kann jeweils nur ein Migrationsprozess durchgeführt werden. Aktivieren Sie erst nach Abschluss der Migration die zentrale Quarantäne für Richtlinien, Viren und Outbreaks auf einer anderen E-Mail Security Appliance.

Klicken Sie auf Senden, und klicken Sie abschließend auf Bestätigen. Die Info-Benachrichtigung sollte ähnlich sein. Wenn sich bereits eine große Anzahl von Nachrichten in der lokalen Quarantäne befindet, kann die Verarbeitung dieser Nachrichten von der ESA zur SMA einige Zeit in Anspruch nehmen:

Rufen Sie die SMA erneut auf, und navigieren Sie zu Management Appliance > Centralized Services > Policy, Virus and Outbreak Quarantines. Die Migrationsschritte sind jetzt wie folgt abgeschlossen:

Verifizierung

Zu diesem Zeitpunkt ist die Migration der Richtlinienquarantäne von der ESA zur SMA abgeschlossen. Die letzte Überprüfung finden Sie unter Richtlinienquarantäne auf der SMA:

Es sollten dieselben Meldungen angezeigt werden, die ursprünglich auf der ESA aufgeführt waren. Klicken Sie auf den Hyperlink # in der Spalte mit den Nachrichten, und überprüfen Sie:

Wenn Sie sich die mail_logs auf der ESA ansehen, wird die Migration der eigentlichen Nachrichten dargestellt:

Hinweis: Beachten Sie die Verwendung der Kommunikation zwischen der ESA (XX.X.XX.XXX) und SMA (YY.Y.YY.YYY) über Port 7025.

Wed Mar  5 02:48:40 2014 Info: New SMTP DCID 2 interface XX.X.XX.XXX address
YY.Y.YY.YYY port 7025
Wed Mar  5 02:48:40 2014 Info: DCID 2 TLS success protocol TLSv1 cipher RC4-SHA
the.cpq.host
Wed Mar  5 02:49:52 2014 Info: New SMTP DCID 3 interface XX.X.XX.XXX address
YY.Y.YY.YYY port 7025
Wed Mar  5 02:49:52 2014 Info: DCID 3 TLS success protocol TLSv1 cipher RC4-SHA
the.cpq.host
Wed Mar  5 02:50:22 2014 Info: New SMTP DCID 4 interface XX.X.XX.XXX address
YY.Y.YY.YYY port 7025
Wed Mar  5 02:50:22 2014 Info: DCID 4 TLS success protocol TLSv1 cipher RC4-SHA
the.cpq.host
Wed Mar  5 02:50:23 2014 Info: New SMTP DCID 5 interface XX.X.XX.XXX address
YY.Y.YY.YYY port 7025
Wed Mar  5 02:50:23 2014 Info: DCID 5 TLS success protocol TLSv1 cipher RC4-SHA
the.cpq.host
Wed Mar  5 02:50:40 2014 Info: New SMTP DCID 6 interface XX.X.XX.XXX address
YY.Y.YY.YYY port 7025
Wed Mar  5 02:50:40 2014 Info: DCID 6 TLS success protocol TLSv1 cipher RC4-SHA
the.cpq.host
Wed Mar  5 02:50:41 2014 Info: New SMTP DCID 7 interface XX.X.XX.XXX address
YY.Y.YY.YYY port 7025
Wed Mar  5 02:50:41 2014 Info: DCID 7 TLS success protocol TLSv1 cipher RC4-SHA
the.cpq.host
Wed Mar  5 02:50:42 2014 Info: New SMTP DCID 8 interface XX.X.XX.XXX address
YY.Y.YY.YYY port 7025
Wed Mar  5 02:50:42 2014 Info: DCID 8 TLS success protocol TLSv1 cipher RC4-SHA
the.cpq.host
Wed Mar  5 02:51:01 2014 Info: New SMTP DCID 9 interface XX.X.XX.XXX address
YY.Y.YY.YYY port 7025
Wed Mar  5 02:51:01 2014 Info: DCID 9 TLS success protocol TLSv1 cipher RC4-SHA
the.cpq.host
Wed Mar  5 02:51:01 2014 Info: CPQ listener cpq_listener starting
Wed Mar  5 02:51:01 2014 Info: New SMTP DCID 10 interface XX.X.XX.XXX address
YY.Y.YY.YYY port 7025
Wed Mar  5 02:51:01 2014 Info: DCID 10 TLS success protocol TLSv1 cipher RC4-SHA
the.cpq.host
Wed Mar  5 02:51:02 2014 Info: New SMTP DCID 11 interface XX.X.XX.XXX address
YY.Y.YY.YYY port 7025
Wed Mar  5 02:51:02 2014 Info: DCID 11 TLS success protocol TLSv1 cipher RC4-SHA
the.cpq.host
Wed Mar  5 02:51:02 2014 Info: MID 1 enqueued for transfer to centralized quarantine
"Policy" (content filter _policy_q_in_)
Wed Mar  5 02:51:02 2014 Info: MID 1 queued for delivery
Wed Mar  5 02:51:02 2014 Info: New SMTP DCID 12 interface XX.X.XX.XXX address
YY.Y.YY.YYY port 7025
Wed Mar  5 02:51:02 2014 Info: DCID 12 TLS success protocol TLSv1 cipher RC4-SHA
the.cpq.host
Wed Mar  5 02:51:02 2014 Info: Delivery start DCID 12 MID 1 to RID [0] to Centralized
Policy Quarantine
Wed Mar  5 02:51:02 2014 Info: MID 2 enqueued for transfer to centralized quarantine
"Policy" (content filter _policy_q_in_)
Wed Mar  5 02:51:02 2014 Info: MID 2 queued for delivery
Wed Mar  5 02:51:02 2014 Info: MID 3 enqueued for transfer to centralized quarantine
"Policy" (content filter _policy_q_in_)
Wed Mar  5 02:51:02 2014 Info: MID 3 queued for delivery
Wed Mar  5 02:51:02 2014 Info: Message done DCID 12 MID 1 to RID [0] (centralized
policy quarantine)
Wed Mar  5 02:51:02 2014 Info: MID 1 RID [0] Response 'ok:  Message 1 accepted'
Wed Mar  5 02:51:02 2014 Info: Message finished MID 1 done
Wed Mar  5 02:51:02 2014 Info: MID 1 migrated from all quarantines
Wed Mar  5 02:51:02 2014 Info: Delivery start DCID 12 MID 2 to RID [0] to Centralized
Policy Quarantine
Wed Mar  5 02:51:02 2014 Info: New SMTP DCID 13 interface XX.X.XX.XXX address
YY.Y.YY.YYY port 7025
Wed Mar  5 02:51:02 2014 Info: DCID 13 TLS success protocol TLSv1 cipher RC4-SHA
the.cpq.host
Wed Mar  5 02:51:02 2014 Info: New SMTP DCID 14 interface XX.X.XX.XXX address
YY.Y.YY.YYY port 7025
Wed Mar  5 02:51:02 2014 Info: DCID 14 TLS success protocol TLSv1 cipher RC4-SHA
the.cpq.host
Wed Mar  5 02:51:02 2014 Info: Message done DCID 12 MID 2 to RID [0] (centralized
policy quarantine)
Wed Mar  5 02:51:02 2014 Info: MID 2 RID [0] Response 'ok:  Message 2 accepted'
Wed Mar  5 02:51:02 2014 Info: Message finished MID 2 done
Wed Mar  5 02:51:02 2014 Info: MID 2 migrated from all quarantines
Wed Mar  5 02:51:02 2014 Info: Delivery start DCID 12 MID 3 to RID [0] to Centralized
Policy Quarantine
Wed Mar  5 02:51:02 2014 Info: Message done DCID 12 MID 3 to RID [0] (centralized
policy quarantine)
Wed Mar  5 02:51:02 2014 Info: MID 3 RID [0] Response 'ok:  Message 3 accepted'
Wed Mar  5 02:51:02 2014 Info: Message finished MID 3 done
Wed Mar  5 02:51:02 2014 Info: MID 3 migrated from all quarantines
Wed Mar  5 02:51:02 2014 Info: New SMTP DCID 15 interface XX.X.XX.XXX address
YY.Y.YY.YYY port 7025
Wed Mar  5 02:51:02 2014 Info: DCID 15 TLS success protocol TLSv1 cipher RC4-SHA
the.cpq.host
Wed Mar  5 02:51:07 2014 Info: DCID 12 close

Wenn Sie die Richtlinien, Viren und Outbreak-Quarantänen anzeigen, sehen Sie sich erneut die ESA an, und es wird Folgendes angezeigt:

Der nächste Schritt der Überprüfung besteht darin, eine neue Testnachricht über die ESA zu senden, die für die Richtlinienquarantäne abgefangen wird. Wenn Sie sich mail_logs auf der ESA ansehen, sehen Sie die hervorgehobene Zeile, die die Übertragung von der ESA auf SMA über 7025 anzeigt, und die die Policy Quarantine angibt:

Wed Mar  5 02:57:47 2014 Info: Start MID 4 ICID 6
Wed Mar  5 02:57:47 2014 Info: MID 4 ICID 6 From: <robsherw.cisco@gmail.com>
Wed Mar  5 02:57:47 2014 Info: MID 4 ICID 6 RID 0 To: <robsherw@cisco.com>
Wed Mar  5 02:57:47 2014 Info: MID 4 Message-ID
'<7642E61C-4BA2-432E-A524-E163EA0B9753@gmail.com>'
Wed Mar  5 02:57:47 2014 Info: MID 4 Subject 'NEW FUNNY'
Wed Mar  5 02:57:47 2014 Info: MID 4 ready 525 bytes from
<robsherw.cisco@gmail.com>
Wed Mar  5 02:57:47 2014 Info: MID 4 matched all recipients for per-recipient
policy DEFAULT in the inbound table
Wed Mar  5 02:57:47 2014 Info: MID 4 enqueued for transfer to centralized
quarantine "Policy" (content filter _policy_q_in_)
Wed Mar  5 02:57:47 2014 Info: MID 4 queued for delivery
Wed Mar  5 02:57:47 2014 Info: New SMTP DCID 16 interface XX.X.XX.XXX address
YY.Y.YY.YYY port 7025
Wed Mar  5 02:57:47 2014 Info: DCID 16 TLS success protocol TLSv1 cipher RC4-SHA
the.cpq.host
Wed Mar  5 02:57:47 2014 Info: Delivery start DCID 16 MID 4 to RID [0] to Centralized
Policy Quarantine
Wed Mar  5 02:57:47 2014 Info: Message done DCID 16 MID 4 to RID [0] (centralized
policy quarantine)
Wed Mar  5 02:57:47 2014 Info: MID 4 RID [0] Response 'ok:  Message 4 accepted'
Wed Mar  5 02:57:47 2014 Info: Message finished MID 4 done
Wed Mar  5 02:57:52 2014 Info: DCID 16 close

Gehen Sie erneut auf die zuvor erwähnte Richtlinienquarantäne auf der SMA zu, da sich die neue Testnachricht nun ebenfalls in Quarantäne befindet:

Zugehörige Informationen

Revisionsverlauf

Überarbeitung Veröffentlichungsdatum Kommentare
1.0
13-Oct-2014
Erstveröffentlichung
TAC Authored

Beiträge von Cisco Ingenieuren

War dieses Dokument hilfreich?

FeedbackFeedback

Cisco kontaktieren

Dieses Dokument gilt für folgende Produkte.