ビュー:

インストール/アップグレードについて

IWSS 6.5 Patch 3は、ご利用の環境に応じて以下2つのパッケージをご提供しております。
サポートするOSの詳細につきましては、システム要件をご参照ください。
新規インストール手順、アップグレード手順につきましては、インストールガイドの3章をご参照ください。
 

■新規インストールパッケージ

RedHat Enterprise Linux 8.x向け環境専用の新規インストールパッケージです。
当該パッケージのインストールのみで、IWSS 6.5 Patch 3をインストールできます。

 
■アップグレードパッケージ

RedHat Enterprise Linux 7.xでIWSS 6.5 Patch 3未満をご利用の環境向けのアップグレードパッケージです。
当該パッケージの適用には、事前にPatch 2 Critical Patch 1433の適用が必要です。
また、Patch 3のシステム要件上、RedHat Enterprise Linux 7.6, 7.8, 7.9をご利用の環境のみPatch 3へアップグレードいただくことが可能です。
上記以外のRedHat Enterprise Linux 7.xの環境で適用を試みた場合、適用時に以下のエラーが管理画面に表示されて適用に失敗いたします。

「[ERR-PAT-0022]   このパッチには、別のパッチを先にインストールする必要があります。テクニカルサポートにお問い合わせください。」
 

 

設定の移行について

IWSS 6.5 Patch 3は、以下の設定ファイルのインポートをサポートしています。
そのため、「既存のInterScan Web Security Virtual Appliance 6.5(以下、IWSVA 6.5)から、新規導入したIWSS 6.5 Patch 3環境への移行」や「既存のRedHat Enterprise Linux 7.xのIWSS 6.5から、新規導入したIWSS 6.5 Patch 3環境への移行」が可能です。
  • InterScan Web Security Suite 6.5 Linux版 Patch 2
  • InterScan Web Security Suite 6.5 Linux版 Patch 3
  • InterScan Web Security Virtual Appliance 6.5 Service Pack 2
  • InterScan Web Security Virtual Appliance 6.5 Service Pack 3
  • ・ログファイルやレポートファイルは、設定ファイルではないため引き継がれません。詳しくは、管理者ガイドの「設定のバックアップと復元」の項をご参照ください。
  • ・管理者ガイドは、Download Cetnerより入手できます。
  • ・IWSVA 6.5で使用可能な「透過ブリッジモード」「透過ブリッジ高可用性モード」「WCCPモード」はIWSS 6.5ではご利用できません。

設定ファイルのエクスポート/インポート方法(IWSS 6.5/IWSVA 6.5共通)

設定ファイルのエクスポートは、管理コンソール [管理] > [設定のバックアップ/復元] > [バックアップ用設定ファイルパッケージの生成]から実行できます。(以下画面の青枠)

同様に設定ファイルのインポートは、管理コンソール [管理] > [設定のバックアップ/復元] > [設定ファイルの復元]から実行できます。(以下画面の赤枠)


ご注意:画面はIWSVA 6.5 SP2の画面になります。IWSVA 6.5 SP3、IWSS 6.5においても「設定のバックアップ/復元」画面の構成は同様です。
  • ・IWSVAの設定ファイルのインポートは、日本語版のIWSVAからのみサポートされます。
  • ・IWSVA 6.5で使用可能な「透過ブリッジモード」「透過ブリッジ高可用性モード」「WCCPモード」はIWSS 6.5ではご利用できません。

IWSS Patch 3をご利用にあたっての注意事項

1. アップグレード前の設定バックアップの実施

IWSS 6.5 Patch 3未満からPatch 3へアップグレードパッケージを使用してのアップグレードでは、Patch 3の機能実装の都合上、ロールバック機能をご用意しておりません。アップグレードの前に、事前にIWSS管理画面の [管理] > [設定のバックアップ/ 復元] から設定バックアップの取得をお願いします。また、VMWare などの仮想マシンにてご利用の場合は、ハイパーバイザのスナップショット機能などを利用して、アップグレード前の状態のバックアップを取得することをご検討ください。

2.サポートするLDAPサーバの変更について

IWSS 6.5 Patch 3から、サポート対象のLDAPサーバから「Sun Java System Directory Server」と「Novell eDirectory」が除外されます。当該LDAPサーバをご利用のお客様におかれましては、ご不便をお掛けいたしますが、サポート対象である「Active Directory」または「OpenLDAP」の利用をご検討ください。
システム要件につきましては、こちらをご参照ください。

3.アプレット/ActiveX対策ポリシーについて

JavaアプレットおよびActiveXそのものの廃止またはサポート終了予定の状況に伴い、アプレット/ActiveX対策ポリシー機能はIWSS 6.5 Patch 3から廃止となります。管理画面の項目[HTTP] > [アプレット/ActiveX対策]はIWSS 6.5 Patch 3には存在いたしません。

4.アプリケーション制御機能の実装変更について

IWSS 6.5 Patch 3から、アプリケーション制御機能を提供するコンポーネントの1つであるappdサービスが廃止になります。こちらに伴い、管理画面の以下の項目が廃止となります。
アプリケーション制御機能ポリシー、その他の帯域幅ログおよびレポート情報の出力には影響ありません。

・[システムステータス] > [帯域幅制御 - アップストリーム]
・[システムステータス] > [帯域幅制御 - ダウンストリーム]
・[アプリケーション制御] > [設定]
 

5.WMIDaemonサービス(WMI、DC Agent機能)の廃止

IWSS 6.5 Patch 3から、Active Directory向けのLDAP認証補助サービスとして利用されていたWMIDaemonサービスが廃止となります。こちらに記載のとおり「使用することで逆に認証遅延を引き起こしてしまう」といった事例が散見される等の背景から、廃止の方向となりました。
LDAP認証において、Active Directoryは引き続きサポートしております。

6.HTTPS復号化における、デフォルトの証明書のRSAキー長について

iOS 13/macOS 10.15以降で強化された証明書セキュリティ要件に対応するため、IWSS 6.5 Patch 2 build 1399以降で、"HTTPS復号化における証明書のRSAキー長"を自動的に2048bitに変更する対応を行っております。Patch 3へのアップグレードで、当該RSAキー長の設定は引き継がれます。
一方、RedHat Enterprise Linux 8向けの新規インストールパッケージで導入した環境では、当該RSAキー長が本来の初期値である1024bitになっております。2048bitで運用される場合はこちらをご参照ください。

7. 「設定の複製」機能利用時のご注意

管理画面の[管理] > [一般設定] > [複製の設定]にて、複数のIWSSサーバに設定を複製できる機能「設定の複製」がご利用いただけます。ただし、以下2つのサーバが混在する環境で当該機能をご利用する場合、それぞれのサーバの管理画面のデフォルトTLS/SSL証明書が異なっていることに起因し、当該機能が正しく動作いたしません。

・Patch 3 新規インストールパッケージでインストールしたIWSSサーバ(RedHat Enterprise Linux 8.xの環境)
・Patch 3 アップグレードパッケージでPatch 3へアップグレードしたIWSSサーバ

該当する環境で「設定の複製」機能をご利用の場合は、こちら の対処の実施をお願いいたします。

8.RedHat Linux 8.xをご利用の場合のglibc-langpack-enのインストール(2022/8/18追記)

RedHat Enterprise Linux 8.xをご利用の場合、Hotfix/Patch/Critical Patch適用時のパッケージ検証処理で、Linuxにglibc-langpack-enがインストールされている必要があります。
未インストールの場合、Hotfix/Patch/Critical Patchの適用時に管理コンソールにパッチ検証に失敗した旨のメッセージが表示され、適用に失敗いたします。
Hotfix/Patch/Critical Patch適用前に、yum installコマンド等でのインストールをお願いします。

9.アップグレードパッケージ適用時に cronスケジュール が上書きされる事象について(2022/11/25追記)

IWSS 6.5 Patch 3未満からPatch 3へアップグレードパッケージを使用してのアップグレードでは、以下のファイルが上書きされ、 アップグレード前のrootユーザのcronスケジュールが一部上書きされる事象が確認されております。

・/var/spool/cron/root
 

アップグレードパッケージをご利用されるお客様には、お手数をおかけしますが以下手順で対応をお願い致します。

■回避方法
  1. Patch 3 アップグレードパッケージ適用前に、rootユーザでIWSSのCLIコンソールにログインし、以下コマンドの結果を記録します。
    # crontab -l
  2. Patch 3 アップグレードパッケージを適用します。
  3. Patch 3 アップグレード後、rootユーザで以下コマンドを実行してcrontabを編集し、手順1.で記録した内容を手動で追記します。
    # crontab -e

なお、既にアップグレードパッケージを適用後で、適用前の cronスケジュール の記録が残っていない場合は以下をご参照下さい。

■アップグレードパッケージ適用前の cronスケジュール の確認方法

以下3つのいずれかの方法にて、アップグレードパッケージ適用前の cronスケジュールをご確認頂けます。

a)「1. アップグレード前の設定バックアップの実施」で取得したバックアップファイルを解凍します。
解凍されたファイル配下の/Configurations/root ファイルにcronスケジュールがテキストで記載されております。
バックアップファイル: IWSS6.5_Config.tar(※)
rootユーザのcronスケジュール: IWSS6.5_Config.tar/Configurations/root
※設定エクスポート時に /var/iwss/migration/export/ 配下に生成されます

b)ハイパーバイザにてスナップショットを取得されていた場合、スナップショットをアップグレードパッケージ適用前まで戻し、crontab -l コマンドにてcronスケジュールをご確認頂けます。

c)アップグレードパッケージ適用前に取得したシステム情報ファイルを弊社サポート窓口までご提供いただけましたら、取得当時のcronスケジュールをお調べ致します。

 

よくあるお問い合わせ

Q1.IWSS 6.5 Patch 3未満とIWSS 6.5 Patch 3の間で処理性能に差異はありますでしょうか。Patch 3へのアップグレードにあたり、サーバ増設等の必要性があるかが気になっております。

処理性能に差異はございません。引き続き、こちらの自動チューニング設定が適用されます。
アップグレードに伴い、特に製品側では処理性能の変更に伴うサーバ増設や増強の要件はございません。
注意点としまして、こちらの機能改善で、デフォルトで脅威検索用の一時領域として1.5GBのメモリ領域が追加使用されるよう設定されております。メモリの空き容量を懸念される場合は、予め1.5GB以上のメモリ容量の増加をご検討ください。

Q2.既存のIWSVA 6.5 SP2/SP3からの移行を検討しております。移行にあたって、IWSS 6.5 Patch 3との間で処理性能に差異はありますでしょうか。

IWSVA 6.5 SP2/SP3とIWSS 6.5では、適用される自動チューニングに差異があります。
こちらの自動チューニング情報をご参照のうえ、必要となるIWSS 6.5のサーバ数およびサーバのリソース(CPU/メモリ)をご検討ください。