管理器域名ssl证书

思科系统公司www.
cisco.
com思科安全管理器4.
7版本说明最初发布日期:2014年8月21日最后更新日期:2016年3月30日安全管理器4.
7现已推出.
SMARTnet注册用户转至http://www.
cisco.
com/go/csmanager,在"支持"(Support)下点击下载此产品的软件(DownloadSoftwareforthisProduct)即可从思科支持网站上获取4.
7版本.
本文档包含以下主题:简介,第1页支持的组件版本和相关软件,第2页新增内容,第3页安装说明,第6页服务包1下载和安装说明,第7页服务包2下载和安装说明,第9页服务包3下载和安装说明,第10页重要说明,第11页警告,第15页后续操作,第27页产品文档,第27页获取文档和提交服务请求,第27页简介注请将本文档与产品文档,第27页中指出的文档结合使用.
另外,用户文档的在线版本在初始发布后有时会有更新.
因此,如果Cisco.
com上的思科安全管理器最终用户指南中包含的信息与产品上下文相关帮助中包含的任何信息不一致,应以前者为准.
2思科安全管理器4.
7版本说明OL-32162-01支持的组件版本和相关软件本文档包含以下产品的版本说明信息:思科安全管理器4.
7-您可以利用思科安全管理器管理思科安全设备上的安全策略.
安全管理器支持集中调配防火墙、VPN和IPS服务,范围覆盖IOS路由器、PIX和ASA安全设备、IPS传感器和模块、Catalyst6500和7600系列ASA服务模块(ASA-SM),以及Catalyst交换机和部分路由器的许多其他服务模块.
(要查看完整设备支持信息,请转至Cisco.
com参阅思科安全管理器兼容性信息.
)另外,安全管理器还支持调配许多针对特定平台的设置,例如接口、路由、身份、QoS、日志记录等.
从仅有几台设备的小型网络到容纳数千台设备的大型网络,安全管理器均可高效地管理各种规模的网络.
安全管理器之所以能实现这样的可扩展性,是因为在设备分组能力方面拥有丰富的功能集合,以及拥有可共享的对象和政策.
AutoUpdateServer4.
7-AutoUpdateServer(AUS)是一个用于升级PIX安全设备软件映像、ASA软件映像、PIX设备管理器(PDM)映像、自适应安全设备管理器(ASDM)映像,以及PIX安全设备和ASA配置文件的工具.
使用自动更新功能,并且采用动态IP地址的安全设备会定期连接AUS,以升级设备配置文件和传送设备与状态信息.
注在使用思科安全管理器4.
7之前,我们建议您先通读本文档.
另外,在安装思科安全管理器4.
7之前,请务必先阅读重要说明,第11页、安装说明,第6页和"InstallationGuideforCiscoSecurityManager4.
7"(思科安全管理器4.
7安装指南).
本文档中列出了可能对产品操作产生影响的问题的ID号码和标题.
另外,本文档中还列出了一些已解决的问题.
如果您在Cisco.
com上访问本文档,则点击任何ID号码即可转至思科缺陷搜索工具(BST)中的版本说明文档.
版本说明文档中包含问题的症状、状态和解决办法信息.

支持的组件版本和相关软件思科安全管理应用套件包含许多组件应用,以及一些可与组件应用结合使用的相关应用.
下表列出了组件应用、相关应用,以及这些应用可以与此版本套件配合使用的版本.
有关这些应用的说明,请参阅"InstallationGuideforCiscoSecurityManager4.
7"(思科安全管理器4.
7安装指南).
注有关可以使用思科安全管理器管理的受支持软件和硬件的详情,请转至Cisco.
com,参阅思科安全管理器兼容性信息下的在线文档"SupportedDevicesandSoftwareVersionsforCiscoSecurityManager"(思科安全管理器支持的设备和软件版本).
表1受支持的组件应用和相关应用版本应用支持版本组件应用思科安全管理器4.
7自动更新服务器4.
7CiscoWorksCommonServices4.
2.
2相关应用CiscoSecurityMonitoring,AnalysisandResponseSystem(CS-MARS)6.
0.
7、6.
1.
13思科安全管理器4.
7版本说明OL-32162-01新增内容新增内容思科安全管理器4.
7服务包3安全管理器4.
7服务包3修复了许多问题.
有关详细信息,请参阅已解决的警告-版本4.
7服务包3,第21页.
除了解决下面列出的漏洞之外,此服务包还提供对互联网控制消息协议(ICMP)的IPv6支持和数据包跟踪器功能.
思科安全管理器4.
7服务包2安全管理器4.
7服务包2修复了许多问题.
有关详细信息,请参阅已解决的警告-版本4.
7服务包2,第22页.
另外,该服务包还支持在运行ASA软件8.
2(2)或更高版本的设备上将IPv6地址配置用作故障转移接口.
思科安全管理器4.
7服务包1安全管理器4.
7服务包1修复了许多问题.
有关详细信息,请参阅已解决的警告-版本4.
7服务包1,第22页.
此服务包还支持以下内容:ASA软件版本9.
2(3)ISE版本1.
3TLS版本1.
2思科安全管理器4.
7除了已经解决的警告问题之外,本版本还包含以下新功能和增强功能:支持更多设备(有关兼容性的详细信息,请参阅"SupportedDevicesandSoftwareVersionsforCiscoSecurityManager4.
7"[思科安全管理器4.
7支持的设备和软件版本]):–ASA9.
1(5)、ASA9.
2(1)、ASA9.
2(2)和ASA9.
3(1)–ASA9.
2(1)+上的思科虚拟安全设备(ASAv)–IPS7.
3(2)适用于Windows的思科安全访问控制服务器(ACS)说明也支持思科安全ACS解决方案引擎4.
1(4).
支持使用思科安全ACS5.
x进行身份验证.
您可以使用其他版本思科安全ACS,不过要将它们配置为非ACSTACACS+服务器.
在ACS模式下配置服务器可提供精细控制,而非ACS配置则无法提供此种精细控制.
4.
2(0)、5.
x思科配置引擎3.
5、3.
5(1)表1受支持的组件应用和相关应用版本(续)应用支持版本4思科安全管理器4.
7版本说明OL-32162-01新增内容为安装了FirePOWER模块的ASA交叉启动至FireSIGHT管理中心.
除了Prime安全管理器外,单点登录配置的GUI元素现在扩展至FireSIGHT管理中心.
支持检测ASA设备上安装的ASAFirePOWER模块.
安全管理器4.
7版本中首次推出了新带外重新同步工具,能够帮助您重新同步或协调带外数据.
该带外重新同步工具是对安全管理器4.
6及更早版本中带外检测工具的扩展,4.
7版本保留了这一工具.
带外重新同步工具的作用是,自动执行将设备上的带外数据传入安全管理器安装这一流程,同时保留您之前建立的策略结构.
在"报告管理器"(ReportManager)内,"系统报告"(SystemReports)>"VPN"文件夹中新增了"连接配置文件报告"(ConnectionProfileReport).
另外,"报告管理器"(ReportManager)内的"用户名"(Username)过滤器现在支持区分大小写,并且可以使用通配符和执行"NOT"运算.
"精简诊断"(LightDiagnostics)支持-自4.
7版本起,安全管理器开始支持一种新的精简诊断变体;这种"精简诊断"(LightDiagnostics)变体只收集基本信息;因此,诊断文件变得更小,诊断速度变得更快.
在4.
7版本中,现有的"一般诊断"(GeneralDiagnostics)变体与在4.
6版本及更早版本中相同.
"共享策略分配"设备过滤器-在4.
7版本中,思科安全管理器为"设备过滤器"(DeviceFilter)添加了一个新的可用过滤选项.
利用这个新选项,可以过滤应用了共享策略的设备.

在安全管理器4.
6及更早版本的"运行状况与性能监控器"(HealthandPerformanceMonitor)中,当为ASA、IPS和VPN生成HPM警报时,系统会向用户发送邮件通知.
此框架在4.
7版本中得到增强,它还会发送SNMP陷阱通知.
具有写入权限的API现已推出.
要了解此API的规格,请参阅http://www.
cisco.
com/c/en/us/support/security/security-manager/products-user-guide-list.
html.

从版本4.
7开始,虚拟自适应安全设备(虚拟ASA)可支持安全管理器提供的所有VPN功能.
加密图-自版本4.
7开始,安全管理器允许在VPN拓扑中为每台对等设备手动配置加密图名称和加密ACL名称.
此功能仅在规则IPsec拓扑中受支持.
支持ASA版本9.
2.
1-在安全管理器4.
7中,您可以允许部分无客户端SSLVPN和AnyConnect用户不必在VPN隧道组中运行思科安全桌面软件.
支持ASA版本9.
3.
1自定义策略属性-安全管理器4.
7能够在动态接入策略中配置自定义属性.
AnyConnect自定义属性支持ASA为添加新客户端控制项提供通用支持,而无需对ASA软件进行升级,从而加快新终端功能的交付和部署速度.
从版本4.
7开始,安全管理器允许您为现有自定义属性类型添加自定义属性数据.
支持AnyConnect版本3.
2-安全管理器版本4.
7为AnyConnect版本3.
2中的ISE安全评估提供支持.
您可以使用ISE编辑器配置ISE配置文件.
在安全管理器版本4.
7中,您可以创建智能隧道网络对象,并定义是通过隧道传输所有流量,还是允许或禁止通过特定网络传输流量.
利用安全管理器版本4.
7,您可以定义一个用于从证书映射用户名的脚本.
此映射用于指定数字证书中供提取用户名之用的字段.
您可以指定脚本参数,也可以配置自定义LUA脚本.
安全管理器版本4.
7填补了动态接入策略中的空白,所支持的一些功能可以与自适应安全设备管理器软件和托管设备提供的功能相当.
在此版本中,得到增强的属性包括AAA、LDAP、Device、File、Always-onVPN和SessionAction属性.
安全管理器版本4.
7填补了以下组策略空白:–允许AnyConnect在用户登录计算机后立即自动建立VPN会话.
–允许在连接至公司网络时按需要配置最终用户的浏览器的代理设置,并在断开连接后自动恢复为原始配置.
5思科安全管理器4.
7版本说明OL-32162-01新增内容支持在ASA9.
2(1)+上使用边界网关协议(BGP).
BGP是一种自治系统间路由协议.
BGP用于交换互联网的路由信息,并且是互联网运营商(ISP)之间所使用的协议.
对于ASA9.
3(1)+,BGP在L2(EtherChannel类型)和L3(单个接口类型)集群模式下受支持.
支持以下ASA路由策略对象:路由映射、策略列表、前缀列表、AS路径和社区列表.
注对于安全管理器4.
7,路由映射对象只能与BGP、OSPF和OSPFv3路由协议配合使用.
对于ASA9.
2(1)+,OSPF现在支持FastHello数据包功能,从而形成在OSPF网络中实现更快融合的配置.
对于ASA9.
2(1)+,OSPF接口间隔和虚拟链路间隔值的有效范围已更新.
对于ASA9.
2(1)+,添加了新OSPF计时器;弃用了旧OSPF计时器.
对于ASA9.
2(1)+,现在支持使用ACL过滤路由.
对于ASA9.
2(1)+,添加了OSPF重新分发功能.
支持静态Null0路由配置.
静态Null0路由用于将不必要或不想要的流量转发到黑洞.
对于ASA9.
3(1)+,为BGP、OSPFv2和OSPFv3添加了对不间断转发的支持.
支持在ASA9.
2(1)+上使用嵌入式事件管理器(EEM).
EEM功能使您可以调试问题并提供用于故障排除的通用日志记录.
EEM通过执行操作对EEM系统中的事件作出响应.
其中涉及两个组件:EEM触发的事件;用于定义操作的事件管理器小应用程序.
您可以为每个事件管理器小应用程序添加多个事件,从而触发小应用程序调用配置的操作.
对于ASA9.
2(1)+上的AAA服务器组,支持RADIUS动态授权变更(CoA)服务.
在ASA9.
2(1)+设备上使用RADIUS协议时,您可以允许生成RADIUSinterim-accounting-update消息.
目前,仅当VPN隧道连接添加至无客户端VPN会话时,才会生成这些消息.
发生此情况时,将生成记帐更新,以便将新分配的IP地址通知给RADIUS服务器.
在ASA9.
2(1)+设备上使用RADIUS协议时,您可以为RADIUS服务器组启用"仅授权"模式.
启用此模式后,为各台AAA服务器配置的通用密码将不再是必需的,您可以不配置该密码.
对于运行9.
1(5)或更高版本的ASA设备,您现在最多可以配置128台SNMP主机.
添加了对启用EXECshell访问授权的支持.
添加了对自动启用AAA授权的支持.
有足够授权权限的管理员可以通过输入自己的身份验证凭证一次进入特权EXEC模式.
从ASA9.
1(5)开始,您可以将规则引擎配置为在实施规则更改时使用交易模式.
在交易模式中,在编译并准备好使用新规则之前,ASA可以继续使用旧规则.
使用交易模式时,性能不应在规则编译期间降低.
您可以为访问组规则、NAT规则启用交易模式或为两者均启用交易模式.
在ASA9.
1(5)+中支持URL规范化.
URL规范化是包括路径规范化、大小写规范化和方案规范化在内的一项额外安全功能.
系统在比较URL之前,会先对在ACE和门户地址栏中指定的URL进行规范化;在过滤webvpn流量时,会以规范化URL比较结果为依据.
您可以使用"CLI提示"(CLIPrompt)页面自定义ASA7.
2(1)+设备在CLI会话期间使用的提示.
支持对重新定向至安装于ASA中的FirePOWER模块的流量进行配置.
仅适用于使用版本9.
2(1)+的ASA55xx-X设备.
支持挂载点.
挂载点让安全设备可访问通用互联网文件系统(CIFS)或文件传输协议(FTP).
支持配置虚拟HTTP服务器和虚拟Telnet服务器.
6思科安全管理器4.
7版本说明OL-32162-01安装说明有些交换机不支持LACP动态端口优先级(活动链路和备用链路).
从ASA9.
2(1)开始,您可以禁用动态端口优先级,使跨网络EtherChannel具有更高兼容性.
对于ASA9.
2(1)+,EtherChannel现在最多可支持16条活动链路.
安装说明有关具体安装说明和客户端与服务器要求方面的信息,请参阅"InstallationGuideforCiscoSecurityManager4.
7"(思科安全管理器4.
7安装指南).
在安装思科安全管理器4.
7之前,请务必阅读本节列出的说明以及重要说明,第11页.
您可以根据安装指南中"Licensing"(许可)一章的内容确定自己所需的许可证.
(需要怎样的许可证取决于您要执行是全新安装,还是从某个旧版本升级.
)该章还包含对各种可用许可证(例如,标准、专业和评估版本许可证)的介绍.
本章网址为:http://www.
cisco.
com/c/en/us/td/docs/security/security_management/cisco_security_manager/security_manager/4-7/installation/guide/IG/licensing.
html.
STD-TO-PRO(标准至专业)升级会将ST25许可证转换为PRO50许可证,从而能够为50台设备提供支持.
若要为更多设备提供支持,您需要购买必要的增量许可证.

思科从安全管理器版本4.
7开始为API提供临时许可证.
从安全管理器版本4.
7开始,您可以为安全管理器许可证的评估版本应用增量许可证.
请勿修改在产品安装期间建立的casuser(默认服务帐户)或目录权限.
进行上述修改会导致您无法执行以下操作:–登录Web服务器–登录客户端–成功备份所有数据库有关服务器要求、服务器配置和安装后任务方面的重要信息,请参阅"InstallationGuideforCiscoSecurityManager4.
7"(思科安全管理器4.
7安装指南).
另外,"InstallationGuideforCiscoSecurityManager4.
7"(思科安全管理器4.
7安装指南)还提供与操作系统和浏览器支持相关的重要信息.
以下几条列出了在这方面最重要的新支持信息.
服务器设备支持的操作系统如下:–MicrosoftWindowsServer2008R2withSP1Enterprise-64位–MicrosoftWindowsServer2012Standard-64位–MicrosoftWindowsServer2012Datacenter-64位客户端设备支持的操作系统如下:–MicrosoftWindows7SP1Enterprise-64位和32位–MicrosoftWindows8.
1EnterpriseEdition-64位和32位–MicrosoftWindowsServer2008R2withSP1Enterprise-64位–MicrosoftWindowsServer2012Standard-64位–MicrosoftWindowsServer2012Datacenter-64位服务器设备和客户端设备支持的浏览器相同,具体如下:–InternetExplorer8.
x、9.
x或10.
x(但仅限兼容性视图)–支持Firefox15.
0.
1及更高版本(推荐)7思科安全管理器4.
7版本说明OL-32162-01服务包1下载和安装说明您可以直接安装安全管理器服务器软件,也可以在安装了安全管理器的服务器上升级软件.

本版本产品的"InstallationGuideforCiscoSecurityManager"(思科安全管理器安装指南)介绍了支持对哪些旧版本安全管理器进行升级,并提供了与服务器要求、服务器配置和安装后任务相关的重要信息.
您必须先确保安全管理器数据库中不包含任何待处理数据(也就是说,尚未提交至数据库的数据),然后才能成功从旧版本安全管理器升级至安全管理器4.
7.
如果安全管理器数据库中包含待处理数据,您必须在执行之前提交或舍弃所有未提交的更改,然后对数据库进行备份.
本版本产品的"InstallationGuideforCiscoSecurityManager"(思科安全管理器安装指南)包含对数据库执行升级准备工作的完整步骤说明.
我们不支持在运行任何其他Web服务器或数据库服务器(例如,IIS或MS-SQL)的服务器上安装安全管理器.
如果您执意在上述服务器上安装安全管理器,可能会因非预期错误导致无法登录或使用思科安全管理器.
在升级之前,请注意以下重要事项:–确保您要升级的所有应用目前均运行正常,并且您可以创建有效备份(即可正常完成备份流程且备份期间不出现任何错误).
如果应用在升级前运行不正常,则在升级后也可能无法正常运行.
注思科注意到,有些用户对系统进行了不正规且不受支持的修改,从而导致备份流程未能备份已安装的所有CiscoWorks应用.
安装指南中记载的升级流程假设您未破坏系统的预期功能.
如果您要创建的备份不能涵盖所有数据,则在执行更新之前,您有责任确保已掌握所需的所有备份数据.
我们强烈建议您撤消这些不受支持的修改.
否则,您最好不要尝试进行将产品与旧版本安装到相同服务器上的内嵌升级;正确做法是将更新的应用安装到全新的"干净"服务器上并恢复数据库备份.
如果您登录的安全管理器服务器的版本比您运行的客户端高,则系统会显示一条通知并为您提供下载相应客户端版本的选项.
从安全管理器4.
4开始,AUS和安全管理器以并行方式安装,从而加快安装速度.
在您安装安全管理器或AUS时,系统会自动安装CiscoWorksCommonServices4.
2.
2.
当出现任何数据库迁移错误时,系统会弹出错误消息;出现这种情况时,安装可在不停止的情况下继续进行.
为取得最佳性能,建议以50GB的磁盘大小增加幅度解除磁盘分区.
注意不过,频繁解除分区可能会造成坏扇区,最终导致磁盘故障.
从版本4.
4开始,安全管理器在服务器安装程序中添加了Windows防火墙配置脚本.
此脚本能够自动执行打开和关闭必要端口的过程,从而确保Windows防火墙工作的准确性和安全性;采用此脚本的目的在于增强安全管理器服务器的稳健性.
服务包1下载和安装说明要下载和安装服务包1,请按以下步骤操作:注在应用此服务包之前,您必须先在服务器上安装思科安全管理器4.
7FCS版本.
8思科安全管理器4.
7版本说明OL-32162-01服务包1下载和安装说明注意在安装此服务包之前,请先备份以下文件:MDC\ips\etc\sensorupdate.
propertiesMDC\eventing\config\communication.
properties如果您之前修改过这些文件,则安装完服务包后应重新配置这些文件.
步骤1转到http://www.
cisco.
com/go/csmanager,然后在屏幕右侧的"支持"(Support)标题下点击下载此产品的软件(DownloadSoftwareforthisProduct).
步骤2输入用户名和密码,登录Cisco.
com.
步骤3在最右侧一列中点击安全管理器4.
7(SecurityManager4.
7).
步骤4点击安全管理器(CSM)软件(SecurityManager[CSM]Software),然后在最新(Latest)下点击4.
7sp1.
步骤5下载文件fcs-csm-470-sp1-win-k9.
exe.
步骤6要安装服务包,请关闭所有打开的应用(包括思科安全管理器客户端).
步骤7如果服务器上已安装思科安全代理,应依次点击开始>设置>控制面板>管理工具>服务,然后手动停止思科安全代理服务.
步骤8运行先前下载的fcs-csm-470-sp1-win-k9.
exe文件.
步骤9在"安装思科安全管理器4.
7服务包1"(InstallCiscoSecurityManager4.
7ServicePack1)对话框中,点击下一步(Next),然后在下一屏中点击安装(Install).
步骤10安装完更新的文件后,点击完成(Finish)以完成安装.
步骤11在用于连接安全管理器服务器的每台客户端设备上,您必须先通过执行以下步骤来应用服务包,才能使用该客户端连接服务器:a.
如果客户端上已安装思科安全代理,应依次点击开始>设置>控制面板>管理工具>服务,然后手动停止思科安全代理服务.
b.
启动安全管理器客户端.
系统将提示您"下载服务包"(DownloadServicePack).
c.
下载服务包,然后启动下载的文件以应用服务包.
步骤12(可选)转到客户端安装目录并清空缓存,例如/cache.
步骤13(可选)为OpenSSL配置SSL证书或自签证书:a.
停止CSM后台守护程序服务[netstopcrmdmgtd]b.
如果您已自己配置了SSL证书,可以按照以下链接中所述的步骤重新配置证书:http://www.
cisco.
com/c/en/us/td/docs/net_mgmt/ciscoworks_lan_management_solution/4-2/user/guide/admin/admin/appendixcli.
html#wp1016314c.
对于自签证书,请利用命令提示符导航至\MDC\Apache目录,然后执行gencert.
bat文件(其中的是您的安装目录)d.
启动CSM后台守护程序服务[netstartcrmdmgtd]9思科安全管理器4.
7版本说明OL-32162-01服务包2下载和安装说明服务包2下载和安装说明要下载和安装服务包2,请按以下步骤操作:注在应用此服务包之前,您必须先在服务器上安装思科安全管理器4.
7FCS版本.
注意在安装此服务包之前,必须先备份以下文件:MDC\ips\etc\sensorupdate.
propertiesMDC\eventing\config\communication.
properties如果您之前修改过这些文件,则安装完服务包后应重新配置这些文件.
注在恢复数据库备份时,请不要在安装4.
7SP2过程中直接从安全管理器版本4.
7或4.
7SP1版本恢复数据库备份.
正确做法是,将数据库恢复至提取备份时所用的相应版本,然后安装版本4.
7SP2.
步骤1转到http://www.
cisco.
com/go/csmanager,然后在屏幕右侧的"支持"(Support)标题下点击下载此产品的软件(DownloadSoftwareforthisProduct).
步骤2输入用户名和密码,登录Cisco.
com.
步骤3在最右侧一列中点击安全管理器4.
7(SecurityManager4.
7).
步骤4点击安全管理器(CSM)软件(SecurityManager[CSM]Software),然后在最新(Latest)下点击4.
7sp2.
步骤5下载文件fcs-csm-470-sp2-win-k9.
exe.
步骤6要安装服务包,请关闭所有打开的应用(包括思科安全管理器客户端).
步骤7如果服务器上已安装思科安全代理,应依次点击开始>设置>控制面板>管理工具>服务,然后手动停止思科安全代理服务.
步骤8运行先前下载的fcs-csm-470-sp2-win-k9.
exe文件.
步骤9在"安装思科安全管理器4.
7服务包2"(InstallCiscoSecurityManager4.
7ServicePack2)对话框中,点击下一步(Next),然后在下一屏中点击安装(Install).
步骤10安装完更新的文件后,点击完成(Finish)以完成安装.
步骤11在用于连接安全管理器服务器的每台客户端设备上,您必须先通过执行以下步骤来应用服务包,才能使用该客户端连接服务器:a.
如果客户端上已安装思科安全代理,应依次点击开始>设置>控制面板>管理工具>服务,然后手动停止思科安全代理服务.
b.
启动安全管理器客户端.
系统将提示您"下载服务包"(DownloadServicePack).
c.
下载服务包,然后启动下载的文件以应用服务包.
步骤12(可选)转到客户端安装目录并清空缓存,例如/cache.
10思科安全管理器4.
7版本说明OL-32162-01服务包3下载和安装说明步骤13(可选)为OpenSSL配置SSL证书或自签证书:a.
停止CSM后台守护程序服务[netstopcrmdmgtd]b.
如果您已自己配置了SSL证书,可以按照以下链接中所述的步骤重新配置证书:http://www.
cisco.
com/c/en/us/td/docs/net_mgmt/ciscoworks_lan_management_solution/4-2/user/guide/admin/admin/appendixcli.
html#wp1016314c.
对于自签证书,请利用命令提示符导航至\MDC\Apache目录,然后执行gencert.
bat文件(其中的是您的安装目录)d.
启动CSM后台守护程序服务[netstartcrmdmgtd]服务包3下载和安装说明要下载和安装服务包3,请按以下步骤操作:注在应用此服务包之前,您必须先在服务器上安装思科安全管理器4.
7FCS版本.
注意在安装此服务包之前,必须先备份以下文件:MDC\ips\etc\sensorupdate.
propertiesMDC\eventing\config\communication.
properties如果您之前修改过这些文件,则安装完服务包后应重新配置这些文件.
注在恢复数据库备份时,请不要在安装4.
7SP3过程中直接从安全管理器版本4.
7或4.
7SP2版本恢复数据库备份.
正确做法是,将数据库恢复至提取备份时所用的相应版本,然后安装版本4.
7SP3.
步骤1转到http://www.
cisco.
com/go/csmanager,然后在屏幕右侧的"支持"(Support)标题下点击下载此产品的软件(DownloadSoftwareforthisProduct).
步骤2输入用户名和密码,登录Cisco.
com.
步骤3在最右侧一列中点击安全管理器4.
7(SecurityManager4.
7).
步骤4点击安全管理器(CSM)软件(SecurityManager[CSM]Software),然后在最新(Latest)下点击4.
7sp3.
步骤5下载文件fcs-csm-470-sp3-win-k9.
exe.
步骤6要安装服务包,请关闭所有打开的应用(包括思科安全管理器客户端).
步骤7如果服务器上已安装思科安全代理,应依次点击开始>设置>控制面板>管理工具>服务,然后手动停止思科安全代理服务.
步骤8运行先前下载的fcs-csm-470-sp3-win-k9.
exe文件.
步骤9在"安装思科安全管理器4.
7服务包3"(InstallCiscoSecurityManager4.
7ServicePack3)对话框中,点击下一步(Next),然后在下一屏中点击安装(Install).
步骤10安装完更新的文件后,点击完成(Finish)以完成安装.
11思科安全管理器4.
7版本说明OL-32162-01重要说明步骤11在用于连接安全管理器服务器的每台客户端设备上,您必须先通过执行以下步骤来应用服务包,才能使用该客户端连接服务器:a.
如果客户端上已安装思科安全代理,应依次点击开始>设置>控制面板>管理工具>服务,然后手动停止思科安全代理服务.
b.
启动安全管理器客户端.
系统将提示您"下载服务包"(DownloadServicePack).
c.
下载服务包,然后启动下载的文件以应用服务包.
步骤12(可选)转到客户端安装目录并清空缓存,例如/cache.
步骤13(可选)为OpenSSL配置SSL证书或自签证书:a.
停止CSM后台守护程序服务[netstopcrmdmgtd]b.
如果您已自己配置了SSL证书,可以按照以下链接中所述的步骤重新配置证书:http://www.
cisco.
com/c/en/us/td/docs/net_mgmt/ciscoworks_lan_management_solution/4-2/user/guide/admin/admin/appendixcli.
html#wp1016314c.
对于自签证书,请利用命令提示符导航至\MDC\Apache目录,然后执行gencert.
bat文件(其中的是您的安装目录)d.
启动CSM后台守护程序服务[netstartcrmdmgtd]重要说明安全管理器4.
7服务包1以下说明和修复适用于安全管理器4.
7服务包1版本:为遵守某些国家/地区的进口法规,Oracle实施提供了一个默认的加密管辖范围策略文件,用于对加密算法的强度加以限制.
如果设备上需要配置或已配置强度更高的算法(例如,将AES配置为256位密钥,将DH组配置为5、14、24),请按以下步骤操作:a.
访问http://www.
oracle.
com/technetwork/,依次点击"下载"(Downloads)>"JavaSE">"适用于JDK/JRE7的Java加密扩展(JCE)无限强度管辖范围策略文件"(JavaCryptographyExtension[JCE]UnlimitedStrengthJurisdictionPolicyFilesforJDK/JRE7),下载无限强度加密策略.
jar文件.
(点击"下载"[Download]按钮并接受许可协议即可下载文件.
)b.
在CSCOpx\MDC\vms\jre\lib\security文件夹中,替换安全管理器服务器的local_policy.
jar和US_export_policy.
jar文件.
c.
重新启动安全管理器服务器.
CSCuh52092-发布此修复后,您可以配置HTML和PDF报告,并通过设置超时时间,让系统在超过预设时间后退出报告生成进程.
您可以配置以下属性:–#generate_activity_report_timeout=10–#generate_activity_pdf_report=true–#generate_activity_html_report=false12思科安全管理器4.
7版本说明OL-32162-01重要说明请按以下步骤操作:a.
在文本编辑器(例如,记事本)中打开$NMSROOT\MDC\athena\config\子目录中的csm.
properties文件.
($NMSROOT是CommonServices安装目录的完整路径名称[默认路径为C:\ProgramFiles(x86)\CSCOpx]).
b.
在csm.
properties文件中搜索上述属性.
c.
删除代码行开头的#字符,启用特定属性.
d.
超时(generate_activity_report_timeout)是PDF和HTML报告生成中的常见设置.
启用并设置超时后,报告生成进程会在设定的时间后停止并释放所有资源.
设置超时(以分钟为单位)时,应以生成报告的平均用时为依据.
我们建议将超时设置为10分钟.
e.
启用generate_activity_pdf_report或generate_activity_html_report,并根据需要将启用的属性设置为"true".
如果两个属性均设置为"true",安全管理器会生成PDF格式的报告.
f.
要禁用某个属性,在该属性代码行开头添加#字符即可.
g.
保存并关闭csm.
properties文件.
h.
依次点击"开始">"程序">"管理工具">"服务",重新启动思科安全管理器后台守护程序管理器服务.
CSCup28957-此修复发布之后,您可以在"活动更改"(ActivityChange)报告中排除所有适用策略的操作列表行.
–排除的操作必须以英文逗号分隔,并且值为空或代码行包含注释时,应包含所有操作.

–排除的操作包括"添加"(Add)、"删除"(Delete)、"修改"(Modify)、"移动"(Move)、"重新排序"(ReOrder)、"分配"(Assign)和"取消分配"(UnAssign).
您不得修改这些操作名称,这些名称应原封不动.
默认情况下,这些操作的值为空,如果您要排除特定操作,请执行以下步骤:a.
在文本编辑器(例如,记事本)中打开$NMSROOT\MDC\athena\config\子目录中的csm.
properties文件.
($NMSROOT是CommonServices安装目录的完整路径名称[默认路径为C:\ProgramFiles(x86)\CSCOpx]).
b.
搜索ActChangeReport.
excludedOperations=c.
使用任意可用选项,添加所需的排除操作:例如:–ActChangeReport.
excludedOperations=ReOrder–ActChangeReport.
excludedOperations=Add,ReOrder–ActChangeReport.
excludedOperations=Add,Modify,Move,ReOrderd.
保存并关闭csm.
properties文件.
e.
依次点击"开始">"程序">"管理工具">"服务",重新启动思科安全管理器后台守护程序管理器服务.
13思科安全管理器4.
7版本说明OL-32162-01重要说明安全管理器4.
7以下说明适用于安全管理器4.
7版本:ASA9.
x支持远程接入VPN使用IPv6,但是4.
10之前的安全管理器版本不支持远程接入VPN使用IPv6.
因此,4.
10之前的安全管理器版本发现不了远程接入VPNIPv6配置.
安全管理器不支持IPv6互联网控制消息协议(ICMP)地址.
它仅支持IPv4ICMP地址.
安全管理器仅将有差别的配置发送给配置引擎并供特定设备获取.
配置引擎并不会向设备推送完整配置.
因此,设备的OSPF、VLAN和故障转移会产生以下行为.
–适用于IOS路由器的OSPF-安全管理器支持运行IOS软件12.
2和更高版本的路由器上的OSPF策略.
不过,安全管理器不支持Catalyst设备上的OSPF策略.
因此,当您配置Catalyst设备中的OSPF策略并在安全管理器中执行发现操作时,发现操作会从完整配置中删除'nopassive-interface'命令.
因此,您会发现安全管理器生成的配置与设备上的配置存在差异.
–VLAN-安全管理器支持发现IOS设备中的VLAN命令,但是不支持VLAN命令的动态行为.
如果VLAN策略中存在由用户造成的更改,安全管理器生成命令时会采用差量配置或完整配置.
换句话说,在普通预览或部署中,安全管理器不会采用完整配置生成VLAN命令.
因此,您会发现安全管理器生成的配置与设备上的配置存在差异.
–适用于防火墙设备(例如,ASA和FWSM)和IOS设备的故障转移策略-安全管理器不支持故障转移设备的动态行为.
也就是说,HA中的主设备采用'failoverlanunitprimary'命令,而辅助设备采用'failoverlanunitsecondary'命令.
发生状态切换时,安全管理器会尝试比较'failoverlanunitprimary'并生成差量配置.
这会导致部署失败.
注安全管理器不支持"动态"CLI命令.
如果CLI命令的语法被修改(例如,由'primary'关键字改为'secondary'),安全管理器将不再支持该命令.
对于集群模式下的ASA设备,安全管理器将整个集群视为一个节点,并使用主集群IP地址管理集群.
集群的主集群IP地址是集群的固定地址,始终属于当前的主设备.
如果主节点更改,集群的SNMP引擎ID也会随之更改.
在发生这种情况时,安全管理器会为使用明文密码配置的所有SNMP服务器用户重新生成CLI.
安全管理器不会为使用加密密码配置的用户重新生成CLI.
您可以使用SNMP页面上的"获取SNMP引擎ID"(GetSNMPEngineID)按钮从当前的集群主设备取回引擎ID.
如果您使用passwordencryptionaes命令启用了密码加密,则将无法使用安全管理器管理IOS或ASA8.
3+设备.
您必须关闭密码加密,然后才能将设备添加至安全管理器资产.
如果您将由安全管理器管理的ASA由8.
2(x)或更低版本升级至8.
3(x)或更高版本,则您必须使用NAT重新发现选项重新发现NAT策略(右键单击设备、选择"发现设备上的策略"[DiscoverPoliciesonDevice(s)],然后仅选择"NAT策略"[NATPolicies]作为要发现的策略类型).
此选项将升级安全管理器配置,在实现与设备配置相符的同时,保留所有现有的共享策略、继承配置、Flex配置等.
ASA设备由8.
4.
x升级至9.
0.
1时,设备策略将转换为统一格式.
您可以使用NAT重新发现选项重新发现统一NAT规则,或者借助安全管理器中的规则转换器,将现有NAT策略转换为统一NAT策略.
有关详细信息,请参阅http://www.
cisco.
com/c/en/us/td/docs/security/security_management/cisco_security_manager/security_manager/4-6/user/guide/CSMUserGuide/porules.
html#pgfId-161507或在线帮助中的"ConvertingIPv4RulestoUnifiedRules"(将IPv4规则转换为统一规则)主题.
如果要以统一的防火墙规则格式管理这些策略,您也可以使用适用于其他防火墙规则(例如,访问规则、AAA规则和检测规则)的规则转换器.
14思科安全管理器4.
7版本说明OL-32162-01重要说明ASA8.
3ACL使用设备的实际IP地址,而非转换的(NAT)地址.
在升级期间,规则会转换为使用实际IP地址.
所以其他设备类型及较旧ASA版本使用ACL中的NAT地址.
ASA8.
3对设备内存的要求比旧ASA版本高.
在升级之前,确保设备满足ASA文档中规定的最低内存要求.
安全管理器将阻止向不满足最低要求的设备进行部署.
如果从安全管理器4.
6升级至4.
7,安全管理器4.
7将增加对以下ASA策略的支持:–路由映射–CLI提示符–虚拟访问–AAAExec授权如果您的设备在旧版安全管理器中使用了不受支持的命令,则这些命令不会随此版本安全管理器的升级自动移到安全管理器.
如果恢复设备的部署,这些命令会从设备中删除,因为它们不属于安全管理器中配置的目标策略.
我们建议您为安全管理器中新添加的属性设置正确的值,从而确保下次部署时能正确调配这些命令.
您也可以在设备中重新发现平台设置;不过,您必须执行必要步骤来保存和恢复分配给设备的所有已共享安全管理器策略.

注如果在ASA上配置了路由映射,并且OSPF策略中使用与此相同的路由映射,则由安全管理器4.
6升级至安全管理器4.
7后,OSPF页面上会显示红色横幅.
要解决此问题,您必须重新发现ASA.
如果您的设备在旧版安全管理器中使用了不受支持的命令,则这些命令不会随此版本安全管理器的升级自动移到安全管理器.
如果恢复设备的部署,这些命令会从设备中删除,因为它们不属于安全管理器中配置的目标策略.
我们建议您为安全管理器中新添加的属性设置正确的值,从而确保下次部署时能正确调配这些命令.
您也可以在设备中重新发现平台设置;不过,您必须执行必要步骤来保存和恢复分配给设备的所有已共享安全管理器策略.

安全管理器4.
7不支持CommonServices中的设备和凭证存储库(DCR)功能.
IPS4500设备系列不支持LACP配置.
在IPS5.
x+设备、Catalyst和ASA服务模块以及路由器网络模块上,安装和签名更新需要CiscoServicesforIPS服务许可证.
不要直接连接数据库,因为这样做会造成性能降低和导致系统异常行为.

不要对数据库执行SQL查询.
如果在线帮助页面在浏览器视图中显示空白,请刷新浏览器.
安全管理器4.
7仅支持思科安全ACS5.
x用于身份验证.
实现身份验证和授权必须使用ACS4.
1(3)、4.
1(4)或4.
2(0).
如果您不管理IPS设备,请考虑执行以下性能调整步骤.
在$NMSROOT\MDC\ips\etc\sensorupdate.
properties中,将packageMonitorInterval的值由初始默认值30,000毫秒改为600,000毫秒,从而降低频率.
执行此步骤能够在一定程度上提升性能.
[$NMSROOT是CommonServices安装目录的完整路径名称,默认路径为C:\ProgramFiles(x86)\CSCOpx.
]安全管理器随附的IPS软件包不包含更新IPS设备所需的软件包文件.
在应用任何更新之前,您必须先从Cisco.
com或本地更新服务器下载IPS软件包.
下载的版本包含所有必需软件包文件,并会替换安全管理器初始安装中包含的不完整文件.
删除了CiscoWorksCommonServices主页上的"许可证管理"(LicenseManagement)链接.
CsmReportServer和CsmHPMServer现在支持64位JRE.
"rsh"服务已改为手动启动模式.
您可以根据需要启动该服务.
15思科安全管理器4.
7版本说明OL-32162-01警告警告本节介绍与此版本相关的未解决警告和已解决警告.
为便于您使用思科缺陷搜索工具(BST)寻找警告,本节中的警告标题均直接提取自缺陷搜索工具数据库.
由于标题字段长度有限,因此警告标题不一定是完整句子.
为尽可能完整简洁地说明问题,警告标题截短了部分用词或标点.
本文对这些标题仅做如下修改:规范产品名称和缩略词的使用.
更正拼写错误和错别字.
注如果您是cisco.
com注册用户,转至https://tools.
cisco.
com/bugsearch即可在cisco.
com上访问思科缺陷搜索工具.
有关缺陷搜索工具的更多信息,请访问帮助页面:http://www.
cisco.
com/web/applicat/cbsshelp/help.
html.
如果您不是cisco.
com注册用户,可以转至以下网站注册:http://tools.
cisco.
com/RPF/register/register.
do本节包含以下主题:未解决警告-版本4.
7,第15页已解决的警告-版本4.
7服务包3,第21页已解决的警告-版本4.
7服务包2,第22页已解决的警告-版本4.
7服务包1,第22页已解决的警告-版本4.
7,第24页已解决的警告-4.
7之前版本,第26页未解决警告-版本4.
7以下警告对此版本有影响并且涵盖在安全管理器4.
7之中.
思科IOS路由器设备警告思科IPS与IOSIPS设备警告客户端和服务器安装警告设备管理、发现和部署警告事件查看器警告防火墙服务警告运行状况和性能监控警告映像管理警告其他警告策略管理警告报告管理器警告VPN设备和配置支持警告16思科安全管理器4.
7版本说明OL-32162-01警告注有些情况下,已知问题可能会不止在一个方面造成影响,例如,PIX设备可能会在部署期间遇到问题.
如果您在某个表中找不到有关特定问题的警告,应将搜索范围扩大至涵盖其他表.
在前述示例中,已知问题可能在"部署"或"PIX/ASA/FWSM配置"表中列出.
表2思科IOS路由器设备警告参考编号说明CSCth95357XE:DeployFailswhenMemoryCriticalNotificationsareChanged(XE:内存告急通知更改时,部署失败)CSCti15944CLI:"dot1xpaeauthenticator"generatedafterdeploymentof802.
1x(CLI:部署802.
1x后生成"dot1xpaeauthenticator")CSCtq12795GenericRouter:AAArulesgettingnegated.
(通用路由器:AAA规则被否定.
)表3思科IPS与IOSIPS设备警告参考编号说明CSCtk36259MU-IPSLicensingpagetakingtoolongforRefresh/CCOUpdateoperation(在多用户IPS许可页面上,刷新/CCO更新操作耗时过长)CSCug68487CSMisn'tclosingalltheHTTPSsessionaspartofconfigdeployment(CSM未在配置部署中关闭所有HTTPS会话)CSCum79301TPtuningsarenotappliedwhensigistunedotherthanstatusfields(调整签名而非状态字段时,未应用TP调整)表4客户端和服务器安装警告参考编号说明CSCtq99125Installation:EvaluationandLicensingoptionsgetenabledsimultaneous(安装:评估和许可选项同时启用)CSCtr71792ETSGJ-CH:CSMLaunchIconsMissingonXPJOSClient(ETSGJ-CH:XPJOS客户端上缺少CSM启动图标)CSCtr72248ETSGJ-CH:Notabletoproceedwithinstallifgoingbacktopreviouspage(ETSGJ-CH:返回前页后无法继续安装)CSCuj65797CSM4.
5SecurityToolspageUIlaunchingIssuesonWin732bitclient(CSM4.
5安全工具页面UI在Win732位客户端上存在启动问题)表5设备管理、发现和部署警告参考编号说明CSCub81927ScalTesting:DBerrorduringdeployment(SCAL测试:部署期间出现数据库错误)CSCuc13848GettingerrorwhilesubmittingaticketforValidation.
(提交待验证申请单时出错.
)CSCup91317ASAv:RediscoveryfailsafterOOBimageUpgrade(ASAv:OOB映像升级后,重新发现失败)17思科安全管理器4.
7版本说明OL-32162-01警告表6事件查看器警告参考编号说明CSCtg57676Internalerrorthrownwhenportlistisusedinserviceobjectfilter.
(服务对象过滤器中使用端口列表时,抛出内部错误.
)CSCtg57745Filteringdoesnotworkwhenonlyprotocolnameisusedinserviceobj.
(服务对象中仅使用协议名称时,无法正常进行过滤.
)CSCtg57839Resultsnotcorrectwhennetworkobjwithnon-contiguousmaskisused.
(使用非邻接掩码网络对象时,结果不正确.
)CSCua81392CSM4.
2-Eventingdirectorydoesnotgetdeleted(CSM4.
2-无法删除事件目录)CSCuh16940IPSsubscriptionisnotgettingclosedwhenunmonitoringthedevice(未监控设备时,IPS订阅不会关闭)CSCuh38244P2E:EventsarenotfilteredproperlyifACEhasmulipleservices(P2E:ACE有多个服务时,事件无法得到正确过滤)CSCui01213Changing"Timefield"byhighlightingthevalueisnotinsertingproperly(通过突出显示值更改"时间字段"时无法正确插入)表7防火墙服务警告参考编号说明CSCtf32208DeploymentfailswithACEeditinACLBB(在ACLBB中修改ACE时,部署失败)CSCtg80500Manual-NAT:needvalidationfor"neq"operatorinstaticNAT(手动NAT:需要验证静态NAT中的"neq"运算符)CSCti08077systemcontextConfigfilediscoveryfailswithASA5580platform(在使用ASA5580平台时,系统情境配置文件发现失败)CSCtl10613Int:ASA5580/85shouldsupportmax1034intallocationtocontext(接口:ASA5580/85最多支持向情境分配1034个接口)CSCto67515ASA/ASASMFailovercommandsnotnegated(ASA/ASASM故障转移命令未被否定)CSCto80002UID:DeploymentfailswhendomainisusedinACLandisdeleted(UID:当域在ACL中使用并被删除时,部署失败)CSCtq04794NAT:DeploymentisfailingforobjectNATforTranslateDNSrule(NAT:使用转换DNS规则时,对象NAT部署失败)CSCtq20997NAT:SubnetCannotbeusedasmappedSourceinDynamicNATpolicy(NAT:子网无法在动态NAT策略中用作映射来源)CSCtq24069UID:repeatedACLdeltawithACLmatchprotocolinspection(UID:使用ACL匹配协议检测时,出现重复ACL差量)CSCtq36739NAT:SameMappedaddresscannotbeusedtoperformbothNATandPAT(NAT:相同映射地址无法同时用于执行NAT和PAT)CSCtq63721UID:orderofAAAservernegation/appending_1ondiscoveryshouldmodify(UID:应修改AAA服务器否定/附加_1的顺序)18思科安全管理器4.
7版本说明OL-32162-01警告CSCtq82588DiscoveryfailsfordevicewithscansafeAAAinCSM4.
1(CSM4.
1中,采用ScanSafeAAA配置的设备发现失败)CSCtr12016ETSGJ-CH:JapaneseUsernotdisplayedinIdentityUserGroupUI(ETSGJ-CH:身份用户组UI中不显示日语用户)CSCtr12155ETSGJ-CH:JapaneseUserGroupshowsNameasSquareblocksinJOSClient(ETSGJ-CH:日语用户组名称在JOS客户的中显示为方块)CSCtr25092ETSGJ-CH:Pop-upforwrongbindinIdentityneedstoberevisited(ETSGJ-CH:弹出窗口要求重新访问错误捆绑的身份)CSCtr25195ETSGJ-CH:Domainnamewithspecialcharactersarepermitted(ETSGJ-CH:允许使用包含特殊字符的域名)CSCtr30676Deploymentfailswhenhttpaccountingbannerfromfileisconfigured(配置来自文件的http记帐横幅时,部署失败)CSCtr71998ETSGJ-CH:Incrementalpop-upforawrongMACinCat6kASA-SMFailover(ETSGJ-CH:因Cat6kASA-SM故障转移中错误MAC而显示的弹出窗口增多)CSCts25221EditACLinIdentityPolicy-CSMgeneratesincorrectorderofcli(编辑身份策略中的ACL-CSM产生的cli顺序错误)CSCtw48451OverrideBBarenotmappingwithBBsusedinimportrules(覆盖BB与导入规则中使用的BB不对应)CSCty77037RemoveunreferencedObject-Groupoptioncancausedeploymenterror(删除未参考的对象组选项导致部署出错)CSCud37752ASAImageDowngradeFrom9.
0to8.
4.
4ContainXlateRulesinPreview(从9.
0降级至8.
4.
4的ASA映像在预览中包含Xlate规则)CSCuj99884Globalsearchdoesnotdisplaydefaultinspectionrulepresentindevice(全局搜索不显示设备中存在的默认检测规则)CSCuo15620WebACL:URLValidationisnothappeningwiththeaddedACLobject(WebACL:添加的ACL对象无法进行URL验证)CSCup33218[OOB]AvoidRuleSplittingduringOOBRe-synch([OOB]在OOB重新同步期间避免规则分割)CSCup76874[OOB]ChangeInSectionStructureAfterRe-SynchforModifiedACL([OOB]修改的ACL重新同步后,节结构改变)CSCup77926RedbannerErrorinasa921postupgradefromcsm4.
5(从CSM4.
5升级后,ASA921中出现红色横幅错误)CSCuq19631RouteMapeditisnotworkingproperly.
(无法正确编辑路由映射.
)CSCuq23825Prefix-list/As-Pathmodificationandroute-mapdeletenotinoneactivity(前缀列表/AS路径修改和路由映射删除不位于一个活动中)表7防火墙服务警告(续)参考编号说明19思科安全管理器4.
7版本说明OL-32162-01警告表8运行状况和性能监控警告参考编号说明CSCtt95667FW:CertificatesshouldbedisplayedaspartofNonVPNViews(FW:证书应显示为非VPN视图的一部分)CSCtx48130VPN:SitetoSiteVPNtunneldetailsnotproperwithdynamiccryptomap8.
4(VPN:使用动态加密图8.
4,站到站VPN隧道详情不正确)CSCue50284TunnelAlerts:TrapsNotProcessediftheRemoteSubnetisaHost(隧道警报:远程子网为主机时,不处理陷阱)CSCuo10773Perf:HPMClientLagIssueafterleavingitidleforlongtime(性能:HPM客户端长时间闲置后发生延迟问题)表9映像管理警告参考编号说明CSCup89988ASAv:ImageUpgradeFailsforVirtualASA(ASAv:虚拟ASA映像升级失败)CSCuq01829ReloadWait:ImageloadingfailingfromIMwithanactiveVPNtunnel(重新加载等待:使用主动VPN隧道从IM加载映像失败)表10其他警告参考编号说明CSCtq99617CSMUIunresponsiveforalongperiodinMUtesting(CSMUI在MU测试中长时间无响应)CSCuh86712Devicestateisnotchangedasrediscoveringthechanges(重新发现更改后,设备状态不改变)CSCui32627AddingIPtoclusterpoolisnotgettingupdatedinlogrelayfilter(添加到集群池的IP在logrelay过滤器中未更新)CSCui78433Flickeringissue:IPIntelandViewStatisticsrefresh/otherflows(闪烁问题:IP智能窗口和查看统计数据刷新/其他流程)CSCuj25254NotabletocrosslaunchfrmCSM-PRSMifusernamestartswithboldletter(用户名以粗体字母开头时,无法交叉启动frmCSM-PRSM)CSCuj50087Imageisremovingfromthelistafterviewingtheconfigfile(查看配置文件后,映像文件从列表中删除)CSCuj60513Logrelay:Warningcanbegivenwhenoneuserchangesimpactingotheruser(Logrelay:一个用户所做的更改对其他用户产生影响时,可能会显示警告)CSCul96498DeviceStatusviewisnotgettingautorefreshedwheninundockview(在非固定视图中,设备状态视图不自动刷新)CSCul97177DevicefilterisnotworkinginOOBdetectionwindow(设备过滤器在OOB检测窗口中无法正常使用)CSCun70866DiscrepancyindisplayingGeoipScheduledownloadtimings(显示Geoip计划下载时间时出现差异)20思科安全管理器4.
7版本说明OL-32162-01警告CSCuo06326CrosslaunchtoDCwithIPv6addressdoesnotworkwith2browsers(使用2个浏览器时,无法通过IPv6地址交叉启动DC)CSCuo29366NeedpropervalidationerrormessagewithinvaliddataforBB(BB数据无效时,显示"需要适当验证"错误消息)表11策略管理警告参考编号说明CSCud86519CSMdeploymenterrorwithanObject(对象CSM部署错误)CSCuh40492ConfigurationdifferencesinOOBdetectionnotshownexactly(未精确显示OOB检测中的配置差异)CSCun24271MutualusageofPBinmultiuserscenarioshowingexceptionsinmessage(在多用户情景中,多用户使用策略包在消息中显示例外)CSCup00905SmartTunnelNetworkListBB:OverridenValuesNotImported(智能隧道网络列表BB:未导入覆盖的值)表12报告管理器警告参考编号说明CSCuo48915VPNUserrpt:Couldn'tdothecolumnsortingbasedonlogin/logouttime(VPN用户RPT:无法根据登录/注销时间对列排序)CSCuq28564Upgrade:IssueinshowingpreupgradedatainVPNUserreport(升级:在VPN用户报告中显示升级前数据存在问题)表13VPN设备和配置支持警告参考编号说明CSCtq67354previewfails,rulename(SSLVPN->othersett->contentrewrite)havingspace(预览失败,规则名称[SSLVPN->othersett->contentrewrite]含空格)CSCtq86149deploymentfails:existingVirtualTemplateintwithtypeserial-Ezvpn(部署失败:现有虚拟模板接口采用串行类型-Ezvpn)CSCtr06681previewfails:ifSSOnameisgivenwithspaces(预览失败:提供的SSO名称含空格)CSCtr28222IPSecProposalisnotdiscovered,ifDVTI/VRFisconfiguredinISR(如果在ISR中配置DVTI/VRF,无法发现IPSec提案)CSCts30832PreviewfailedduetoFQDNaclBBusedingrouppolicy.
(因为在组策略中使用FQDNaclBB,预览失败.
)CSCub82270CSMdeletestheexistingACLwhenchangingprotectednw/Spk2Spkconnecti(更改受保护nw/Spk2Spk连接时,CSM删除现有ACL)CSCub89125PKInodeunderRemoteAccessVPNtobeenabled(远程接入VPN下的PKI节点启用)表10其他警告(续)参考编号说明21思科安全管理器4.
7版本说明OL-32162-01警告已解决的警告-版本4.
7服务包3思科安全管理器4.
7服务包3中已解决了客户发现或之前版本说明中存在的以下警告.
CSCud61707PKIdeploymentfailedwithtrustpointnotenrollederrorforASA9.
0(PKI部署失败,ASA9.
0信任点未注册错误)CSCum00081DiscoveryissueforIKEv2AuthpolicywhenchangedfromPSKtoPKI(由PSK改为PKI时,IKEv2身份验证策略存在发现问题)CSCun33192IOSSSLVPN:negationofssltrustpointcli(IOSSSLVPN:否定SSL信任点cli)CSCun52538existingIPsecproposalsaredeletedwhenanewtungrpiscreatedviawiz(通过向导创建新隧道组时,现有IPsec提案被删除)CSCup04598DevicehastoberedeployedtochangeCryptoMaponMultiTopology(必须重新部署设备,以更改多拓扑上的加密图)CSCup95990Browserproxy:Incorrectcliwhenremovingentryfromtheexceptionlist(浏览器代理:从例外列表删除条目时,cli出错)CSCuq25585ActivityValidationForDifferentCryptoMapNameofMultiTopology(多拓扑不同加密图名称的活动验证)表13VPN设备和配置支持警告(续)参考编号说明参考编号说明CSCut29478CSMclientmemoryleakageinjavaw.
exeprocess(javaw.
exe进程中CSM客户端内存泄漏)CSCuv35928CSM-Error"Parentpolicyislocked"whenmodifyinginheritedpolicies(CSM-修改继承策略时出现"父策略已锁定"错误)CSCuv39677Translatedsourceshows",0"valueinActivityReport(转换后来源在活动报告中显示",0"值)CSCuu43022CSM-FlexConfigpermissionswithTerminalServices(CSM-终端服务中的Flex配置权限)CSCut87333CSM4.
7cp2ICMPdoesnotsupportIPv6Addressses(CSM4.
7cp2ICMP不支持IPv6地址)CSCut65297CSM-unabletodopacket-tracerwithIPv6addresses(CSM-无法对IPv6地址进行数据包跟踪)CSCuu12847CSM-ICMPIPv6Support(CSM-ICMPIPv6支持)CSCuu18236CSM-ICMPIPv6warningcommandstolineupwithASA(CSM-与ASA结合的ICMPIPv6警告命令)CSCuv26167EvaluationofvmsforOpenSSLJuly2015vulnerability(针对OpenSSL2015年7月漏洞对VMS的评估)22思科安全管理器4.
7版本说明OL-32162-01警告已解决的警告-版本4.
7服务包2思科安全管理器4.
7服务包2中已解决了客户发现或之前版本说明中存在的以下警告.
已解决的警告-版本4.
7服务包1思科安全管理器4.
7服务包1中已解决了客户发现或之前版本说明中存在的以下警告.
参考编号说明CSCub97603CSMshouldallowconfiguringasecondaryIPv6addressonASAinterface(CSM应允许在ASA接口上配置一个辅助IPv6地址)CSCur23742CSMfailstodeployclass-mapwhenaccess-listisused(使用访问列表时,CMS无法部署类别图)CSCut76507CSM4.
8CSMfailstodeployclass-mapwhenaccess-listisused(使用访问列表时,CSM4.
8CSM无法部署类别图)CSCut59655Multi-contextASAdiscoveryfailingon4.
7(多情境ASA发现功能在4.
7上失败)CSCus59205CSM:IPSLicensesshow"Nonretrievable-Invalidusernameandpassword"(CSM:IPS许可证显示"无法获取-用户名和密码无效")CSCuq26685Notabletoeditaspecificobject-groupintheCSMv4.
5(无法编辑CSMv4.
5中的特定对象组)CSCut07447CSM4.
7CP2:CSMsending"nospeednonegotiate"forfiberinterface(CSM4.
7CP2:CSM向光纤接口发送"无速度协商")CSCus42723(CSCut45947)OpenSSLPSIRTCSCut22499IncorrectdeltachangesforCSMdeploymenttoASR(CSM向ASR部署的错误差量更改)CSCut60126Re-discoveryfailsonCSMafterupgradeofASAto9.
2(2)(ASA升级到9.
2(2)后,在CSM上重新发现失败)CSCut03558CSM4.
7:Previewconfigurationfailswhileparsinggroup-object(CSM4.
7:解析组对象时,预览配置失败)参考编号说明CSCud11355CSMServerneedstosupportTLSv1.
2(CSM服务器需要支持TLSv1.
2)CSCus82037Supportfor"http-only-cookie"cliforASA9.
2(3)(支持9.
2(3)的"仅httpcookie"cli)CSCur29069CiscoSecurityManager:evaluationofSSLv3POODLEvulnerability(思科安全管理器:评估SSLv3POODLE漏洞)CSCus88379CSM:-Import/ExportperlscriptnotworkingonnondefaultHTTPSport(CSM:无法通过非默认HTTPS端口导入/导出perl脚本)CSCus12592CSM4.
7supportforISE1.
3(CSM4.
7支持ISE1.
3)23思科安全管理器4.
7版本说明OL-32162-01警告CSCuq75832CSM4.
7EditingOSPFinterfacesindeviceview(CSM4.
7在设备视图中编辑OSPF接口)CSCup63069CSM4.
6EventManager'gotopolicy'failsfornoneUnifiedACLsASA9.
x(对于非统一ACLASA9.
x,CSM4.
6事件管理器"转至策略"失败)CSCuq30700CSMpushing"management-only"oninterfaceswitha"management"alias(CSM使用"管理"别名在接口上推送"仅管理")CSCup58780CSM:EventManagement/Viewer[PartitionPurgeRoutine]-Failedtodelete(CSM:事件管理器/查看器[PartitionPurgeRoutine]-无法删除)CSCup91495CSM4.
6HPMstartupissuewhenVPNalertingisenabled(启用VPN警报时,CSM4.
6HPM出现启动问题)CSCuq01831CSM:EventViewerError"Thisoperationcannotbeperformed"(CSM:事件查看器错误"无法执行此操作")CSCul51205ImageManagernotusingcorrectusercredentials(映像管理器使用的用户凭证不正确)CSCup91522CSM4.
6AdditionalTunnelsdisplayedwhenSNMPquerytodevicefails(SNMP对设备的查询失败后,显示CSM4.
6额外隧道)CSCuh52092CSM4.
3SP1:tomcat.
exespikesduringchangereportgeneration(CSM4.
3SP1:tomcat.
exe在生成更改报告期间产生尖峰)CSCup70309CSMInconsistencyinsharedpolicyaccess-rules.
(共享策略访问规则中CSM不一致.
)CSCup28957AbilitytoexcludelinenumberchangesfromActivityReport(可以从活动报告排除行号更改)CSCur13055CSM4.
7removesospfhello-intervalanddead-intervalsettings(CSM4.
7删除OSPFhello间隔和dead间隔)CSCup70029CSM:InspectionRulepolicyforScansafehasnoHTTPS(CSM:Scansafe的检测规则策略没有HTTPS)CSCup70098CSM:ScansafeInspectionRulepolicyhavenochangesindeltaconfig(CSM:Scansafe检测规则策略在差量配置中无变化)CSCuq64605Eventviewershowsincorrecteventifsortsevent(在对事件排序时,事件查看器显示错误事件)CSCup91482ASA/FWSM:IPV6ACLRemovedonDiscovery(ASA/FWSM:IPV6ACL在发现时被删除)CSCur08936UnabletoimportpoliciesinCSM4.
6(无法在CSM4.
6中导入策略)CSCul96691CmfDatabaseengineservicewasdisabledafterafailedscheduledbackup(计划的备份失败后,Cmf数据库引擎服务被禁用)CSCuq52900CSM4.
6SP1DeployswrongSNMPv3password(CSM4.
6SP1部署错误的SNMPv3密码)CSCur54703csm4.
7andospfredistributestaticandmetric-type1(csm4.
7和ospf静态重新分发和指标类型1)CSCup02863CSMPreviewconfigfailswith"network-objectobjectnull"exception(CSM预览配置失败,出现"network-objectobjectnull"例外)CSCur82360CSM:UnabletogenerateVPNreportsaftertheupgrade(CSM:升级后无法生成VPN报告)参考编号说明24思科安全管理器4.
7版本说明OL-32162-01警告已解决的警告-版本4.
7本版本中已解决了客户发现或之前版本说明中存在的以下警告.
CSCur76940Deploymentreportcan'tbegeneratedinHTMLformat(无法生成HTML格式的部署报告)CSCus14411Validationerrorwhileapplyinginterfacerolewithoverride(通过覆盖应用接口角色时出现验证错误)CSCus19784CSMdeploysmanagement-onlyundernon-managementinterface(CSM在非管理接口下部署"仅管理")CSCur89878CSM:ZBFdeploymentfailsduetoinvalidaccess-groupusedinclass-map.
(CSM:因为在类别图中使用的访问组无效,ZBF部署失败.
)CSCus43939NoValueNetworkBBValidationLevelpropertythrowserrorforunifiedrules(NoValueNetworkBBValidationLevel属性对统一规则抛出错误)CSCuq56721media-typedoesnotexistinshowrun,causingCSMdeploymentstofail(showrun中不存在媒体类型,导致CSM部署失败)CSCuq21511UsernameFromCertScriptPolicyViewdoesnotshowthescriptsproperly(证书脚本策略视图中的用户名显示的脚本不正确)参考编号说明参考编号说明CSCse93193AddVPN-PKIenhancementforterminalenrollment(为终端注册添加VPN-PKI增强功能)CSCsl42198address-poolunderASAuser-groupisnotsupported+otherenhancements(不支持ASK用户组下的地址池+其他增强功能)CSCsy95299Bannermotdfirstemptylinecannotberemoved(不能删除问候报文横幅第一行空行)CSCtb17772CSM:ENHTodetectchangesandimportjustthechanges.
(CSM:增强更改检测功能,并且仅导入更改.
)CSCtb68104ENH:NotifyuserwhentheymodifyasharedobjectinCSM(增强:用户修改了CSM中的共享对象后,向用户发送通知)CSCtg54222EventingRestore:Restorefailingorpartiallysucceedinginsomecases(事件恢复:恢复失败,有时仅部分事件恢复成功)CSCud93498CSM4.
3-SSLVPNMissingtheoptiontoconfiguretheparametersforSSO(CSM4.
3-SSLVPN缺少为SSO配置参数的选项)CSCud93515CSM4.
3-VPN-ip/networkmissingforsmarttunneledapplicationconfig(CSM4.
3-VPN-缺少智能隧道应用可配置的ip/网络)CSCuh31093ENH:CSMneedstobeabletocreate"username_from_cert.
xml"file(增强:CSM需要能够创建"username_from_cert.
xml"文件)CSCuh53309dmgtd.
execausesbluescreenontheCSMServer(dmgtd.
exe导致CSM服务器蓝屏)CSCui60252CSM4.
3MisleadingInformationinCommonServices(CSM4.
3在CommonServices中显示误导性信息)25思科安全管理器4.
7版本说明OL-32162-01警告CSCui94177CSM4.
4doesnotsupport"time-range"(CSM4.
4不支持"时间范围")CSCuj59706CSM4.
4deploysIOSNTPconfigurationinworngcommandorder(CSM4.
4以错误的命令顺序部署IOSNTP配置)CSCuj65553CSM4.
5InstallationCommandButtonsappeargarbled(CSM4.
5安装命令按钮显示乱码)CSCuj65593CSM4.
5InstallationButtonAppearsGarbled(CSM4.
5安装按钮显示乱码)CSCul70104CSMdoesnotproperlydisableisakmpkeepalives(CSM未能正确禁用isakmpkeepalive功能)CSCum03347CSM:DeploymentValidationFailsifASAnameifContains"("or")"Chars(CSM:ASAnameif包含"("或")"字符时,部署验证失败)CSCum61701CSM4.
4ActivityandTicketfieldcannotbealteredindependently(在CSM4.
4中,无法独立更改活动和申请单字段)CSCum87972Can'texecutebackuponCSM4.
4SP1(无法在CSM4.
4SP1上执行备份)CSCum91828SecurityNotification:EventArchival-Eventdatadeletedbeforearchival(安全通知:事件归档-归档前删除事件数据)CSCum92428CSMshouldhandleNPEinServiceSplitter.
java(CSM应在ServiceSplitter.
java中处理NPE)CSCun00643CSMreportshitcountsnotforallACEinFWSM(CSM报告的命中计数不涵盖FWSM中的所有ACE)CSCun04177CSM4.
5doesnotreporthitcountforsomeACEwithobj-grouponASA(CSM4.
5不报告ASA上某些有对象组的ACE的命中计数)CSCun05594HPMstatusesnotshowingproperdevicestatesinConfigManager(HPM状态在配置管理器中显示错误设备状态)CSCun06578CSMEventViewerhangsforseveralhours.
(CSM事件查看器挂起数小时.
)CSCun13807CSMtryingtonegateunmanagedVPNconfig(CSM尝试否定未受管理的VPN配置)CSCun14649OSPFv3:AddRangeandVirtualLinkTableEmptyonGUI(OSPFv3:在GUI上添加空范围和虚拟链路表)CSCun29381CSM4.
5:RawACEtablecontentdoesnotmatchwiththeselectedACL(CSM4.
5:原始ACE表内容与所选的ACL不符)CSCun36357CSM:CannotLogintoClientAppAfterUpgradingto4.
5+(CSM:升级到4.
5+后,无法登录客户端应用)CSCun48049SupportofdhcprelayserverperinterfaceonASA(在ASA上支持dhcprelayserverperinterface)CSCun55888CSMdoesnotdeploychangedNetworkobjectnameinSharedpolicy(CSM在共享策略中未部署更改的网络对象名称)CSCun65303CSM4.
5-WarningsrelatedtoIOSMethodTypewhendeployingonASA(CSM4.
5-在ASA上部署时,与IOSMethodType相关的警告)CSCun94866SecurityManager:CSMfailstofindunusedobjectsforallpolicytypes.
(安全管理器:CSM无法找到所有策略类型未使用的对象.
)CSCuo03654CSM4.
5Wrongsrc/dstaddressACEsshowupin"ShowHitCountDetails"("显示命中计数"中显示错误的来源/目标地址ACE)CSCuo18730CSMbackupschedulerscriptgenerateswrongbatchfileforbackup(CSM备份安排程序脚本生成错误的批处理备份文件)参考编号说明26思科安全管理器4.
7版本说明OL-32162-01警告已解决的警告-4.
7之前版本要获取之前版本解决的警告的列表,请参阅以下文档:http://www.
cisco.
com/c/en/us/support/security/security-manager/products-release-notes-list.
htmlCSCuo19842CSM4.
5CP02Deploys"nomopenabled"underIOS15.
2Interfaces(CSM4.
5CP02在IOS15.
2接口下部署"nomopenabled")CSCuo20820Unabletoinstall3rdpartyBase64encodedX.
509certificateonCSM4.
5(无法在CSM4.
5上安装第三方Base64编码X.
509证书)CSCuo30084307CSM:ASAchildNATmovedouttobeparent(307CSM:ASA子项NAT移至父项)CSCuo54170CSMdeploysmanagement-onlytoASAmanagementport-channelsub-interface(CSM为ASA管理端口通道子接口部署"仅管理")CSCuo54275CSMremoverouterACLruleswithnestedserviceobject-group(CSM删除含嵌套服务对象组的ACL规则)CSCuo55452CSM4.
6failstoparseinterface-specificdhcprelayconfigonASASM(CSM4.
6无法解析ASASM上针对特定接口的dhcprelay配置)CSCuo55556CSMfailstovalidateidentityusergroupwithaspaceinbetween(CSM无法验证含空格的身份用户组)CSCuo56467CiscoSecurityManagerwronglynegates'mac-addressauto'commandonASA(思科安全管理器在ASA上错误否定"mac-addressauto"命令)CSCuo66187CSMapprovingactivitycauseServerBusyorUnavailable(CSM批准活动导致服务器忙碌或不可用)CSCuo73552SecurityManagerdoesn'tallowusertoconfigureasymmetricvpnkeys(安全管理器不允许用户配置不对称VPN密钥)CSCuo79712CSM:originalcustomsignatureisdeletedaftersavebutton(CSM:按"保存"按钮后,原始自定义签名被删除)CSCup01683CSM4.
6incorrectlyrequiresclusterIPpoolforspanned-etherchannel(在CSM4.
6中,跨网络EtherChannel错误地要求集群IP池)CSCup02800CSM4.
5:Deploymentfailingduetojava.
lang.
NullPointerException(CSM4.
5:java.
lang.
NullPointerException导致部署失败)CSCup10456DOC-CSMRunCSMclientwith"runasadministrator"whenUACisenabled(文档-CSM:在启用UAC时,"以管理员身份运行"CSM客户端)CSCup13423CSMusageofDM_INLINE_NETWORK_objects(CSM使用DM_INLINE_NETWORK_对象)CSCup44842CSM:CsmReportServerProcessMaximumHeapSizeInfoIncorrectinDoc(CSM:文档中的CsmReportServer进程最大堆大小信息不正确)CSCup67375CSM-CannotEditNTPServerConfigurationforASAafterPolicyCreation(CSM-创建策略后,无法为ASA编辑NTP服务器配置)CSCup93631DOC:CSMreportsOOBeveniftheorderofconfigchanges(文档:即使配置顺序更改,CSM仍报告OOB)CSCuq02522CSM:5515-IPS7.
3.
2discoveryfailswithSignatureThreatProfileError(CSM:5515-IPS7.
3.
2发现失败,出现签名威胁配置文件错误)参考编号说明27思科安全管理器4.
7版本说明OL-32162-01后续操作后续操作产品文档有关本版本支持文档的完整列表,请参与针对本版本的文档导读:GuidetoUserDocumentationforCiscoSecurityManager(思科安全管理器用户文档导读)http://www.
cisco.
com/c/en/us/support/security/security-manager/products-documentation-roadmaps-list.
html其中归纳了本版本安全管理器的支持文档集合,并提供对各文档内容的摘要.