平台功能

恢复支持运行 ASA 9.12 及更低版本的 ASA 5512-X、5515-X、5585-X 和 ASASM

此 ASDM 版本恢复支持运行 9.12 或更低版本的 ASA 5512-X、5515-X、5585-X 和 ASASM。这些型号的最终 ASA 版本是 9.12。原始的 7.13(1) 和 7.14(1) 版本禁止向后兼容这些型号；此版本已恢复兼容性。

平台功能

ASAv100 平台

ASAv 虚拟平台添加了高端性能型号 ASAv100，后者提供 20 Gbps 防火墙吞吐量级别。ASAv100 是基于预订的许可证，许可期限为 1 年、3 年或 5 年。

ASAv100 仅在 VMware ESXi 和 KVM 上受支持。

平台功能

用于 Firepower 4112 的 ASA

我们引入了用于 Firepower 4112 的 ASA。

未修改任何命令。

未修改任何菜单项。

防火墙功能

能够在 show access-list 输出中查看端口号。

show access-list 命令现在有数字关键字。您可以使用此命令查看访问控制条目中的端口号而非名称，例如 80 而非 www。

object-group icmp-type 命令已弃用。

虽然此版本仍支持此命令，但 object-group icmp-type 命令已弃用，在未来的版本中可能会删除。请将所有 ICMP 类型的对象更改为服务对象组 (object-group service ) 并在对象内指定 service icmp 。

Kerberos 密钥分发中心 (KDC) 身份验证。

您可以从 Kerberos 密钥分发中心 (KDC) 导入 keytab 文件，并且系统可以验证 Kerberos 服务器没有受欺骗，然后再使用它来验证用户身份。要完成 KDC 验证，您必须在 Kerberos KDC 上设置 host/ASA_hostname 服务主体名称 (SPN)，然后导出该 SPN 的 keytab。然后，您必须将 keytab 上传到 ASA，并配置 Kerberos AAA 服务器组以验证 KDC。

新增/修改的命令：aaa kerberos import-keytab 、clear aaa kerberos keytab 、show aaa kerberos keytab 、validate-kdc

新增/修改的菜单项：配置 > 设备管理 > 用户/AAA > AAA Kerberos、配置 > 设备管理 > 用户/AAA > AAA 服务器组Kerberos 服务器组的添加/编辑对话框。

高可用性和扩展性功能

配置并行同步到数据设备

控制设备现在默认将配置更改并行同步到数据设备。以前，同步是按顺序发生的。

新增/修改的命令：config-replicate-parallel

新增/修改的菜单项：配置 > 设备管理 > 高可用性和扩展性 > ASA 集群 > 集群配置 > 启用并行配置复制复选框

集群加入失败或逐出的消息已添加到 show cluster history

关于集群设备无法加入集群或离开集群的新消息添加到了 show cluster history 命令。

新增/修改的命令：show cluster history

未修改任何菜单项。

接口功能

在 Firepower 1000 和 2100 的 1GB 光纤接口上可禁用速度自动协商

现在，您可以配置 Firepower 1100 或 2100 SFP 接口以禁用自动协商。对于 10GB 接口，您可以将速度配置为 1GB 而无需自动协商；无法对速度设置为 10GB 的接口禁用自动协商。

新增/修改的命令：speed nonegotiate

新增/修改的菜单项：配置 > 设备设置 > 接口 > 编辑接口 > 配置硬件属性 > 速度

管理和故障排除功能

新 connection-data-rate 命令

引入 connection-data-rate 命令是为了提供 ASA 上各个连接的数据速率概览。此命令启用后，每个流的数据速率与现有的连接信息一起提供。此信息有助于识别和阻止不必要的、高数据速率的连接，从而确保优化 CPU 使用率。

新增/修改的命令：conn data-rate 、show conn data-rate 、show conn detail 、clear conn data-rate

未修改任何菜单项。

HTTPS 空闲超时设置

现在，您可以为 ASA 的所有 HTTPS 连接设置空闲超时，包括 ASDM、WebVPN 和其他客户端。以前，使用 http server idle-timeout 命令只能设置 ASDM 空闲超时。如果同时设置两个超时，新命令优先执行。

新增/修改的命令：http connection idle-timeout

新增/修改的菜单项：配置 > 设备管理 > 管理访问 > ASDM/HTTPS/Telnet/SSH > HTTP 设置 > 连接空闲超时复选框。

新 clear logging counter 命令

show logging 命令提供在 ASA 上配置的每个日志类别中已记录消息的统计信息。引入 clear logging counter 命令是为了清除已记录消息计数器和统计信息。

新增/修改的命令：clear logging counter

未修改任何菜单项。

在设备模式下 Firepower 1000 和 2100 上的 FXOS 调试命令更改

debug fxos_parser 命令已经简化，可提供关于 FXOS 的常用故障排除消息。其他 FXOS 调试命令已移动到 debug menu fxos_parser 命令下。

新增/修改的命令：debug fxos_parser 、debug menu fxos_parser

未修改任何菜单项。

监控功能

Net-SNMP 版本 5.7.2 支持

ASA 目前使用 Net-SNMP，这一套应用使用 IPv4 和 IPv6 实施 SNMP v1、SNMP v2c 和 SNMP v3。

未修改任何命令。

新增/修改的菜单项：配置 > 设备管理 > 管理访问 > SNMP

SNMP OID 和 MIB

ASA 增强了对 CISCO-REMOTE-ACCESS-MONITOR-MIB 的支持，以跟踪 RADIUS over SNMP 拒绝/失败的身份验证。此功能实现三个 SNMP OID：

• crasNumTotalFailures（失败总计）

• crasNumSetupFailInsufResources（AAA 和其他内部失败）

• crasNumAbortedSessions（中止的会话）对象

ASA 支持高级加密标准 (AES) 密码算法。此功能实现以下 SNMP OID：

• usmAesCfb128Protocol

• usmNoPrivProtocol

SNMPv3 身份验证

现在，您可以使用 SHA-256 HMAC 验证用户身份。

新增/修改的命令：snmp-server user

新增/修改的菜单项：配置 > 设备管理 > 管理访问 > SNMP

debug telemetry 命令。

您可以使用 debug telemetry 命令显示与遥测相关的调试消息。生成遥测报告时，调试有助于确定出错的原因。

新增/修改的命令：debug telemetry 、show debug telemetry

未修改任何菜单项。

VPN 功能

VTI 上的 DHCP 中继服务器支持

现在，您可以将 DHCP 中继服务器配置为通过 VTI 隧道接口转发 DHCP 消息。

新增/修改的命令：dhcprelay server

新增/修改的菜单项：配置 > 设备管理 > DHCP > DHCP 中继

IKEv2 支持多对等体加密映射

现在，您可以为 IKEv2 配置多对等体加密映射 - 当隧道中的对等体关闭时，IKEv2 尝试与列表中的下一个对等体建立 SA。

未修改任何命令。

新增/修改的菜单项：配置 > 站点间 VPN > 高级 > 加密映射 > 创建/编辑 IPsec 规则 > 隧道策略（加密映射）- 基本

多重证书身份验证的用户名选项

在多重证书身份验证中，您现在可以从第一个（计算机证书）或第二个（用户证书）证书中指定要将哪个证书的属性用于 aaa 身份验证。

新增/修改的命令：username-from-certificate-choice、secondary-username-from-certificate-choice

新增/修改的屏幕：

• 连接配置文件 > 高级 > 身份验证

• 连接配置文件 > 高级 > 辅助身份验证

平台功能

恢复支持运行 ASA 9.12 及更低版本的 ASA 5512-X、5515-X、5585-X 和 ASASM

此 ASDM 版本恢复支持运行 9.12 或更低版本的 ASA 5512-X、5515-X、5585-X 和 ASASM。这些型号的最终 ASA 版本是 9.12。原始的 7.13(1) 和 7.14(1) 版本禁止向后兼容这些型号；此版本已恢复兼容性。

平台功能

用于 Firepower 1010 的 ASA

我们引入了用于 Firepower 1010 的 ASA。此桌面型号包括内置硬件交换机和以太网供电 + （PoE+）支持。

新增/修改的命令：boot system 、clock timezone 、connect fxos admin 、forward interface 、interface vlan 、power inline 、show counters 、show environment 、show interface 、show inventory 、show power inline 、show switch mac-address-table 、show switch vlan 、switchport 、switchport access vlan 、switchport mode 、switchport trunk allowed vlan

新增/修改的屏幕：

• 配置 > 设备设置 > 接口设置 > 接口 > 编辑 > 交换端口

• 配置 > 设备设置 > 接口设置 > 接口 > 编辑 > 关闭以太网电源

• 配置 > 设备设置 > 接口设置 > 接口 > 添加 VLAN 接口

• 配置 > 设备管理 > 系统映像/配置 > 引导映像/配置

• 配置 > 设备设置 > 系统时间 > 时钟

• 监控 > 接口 > L2 交换机

• 监控 > 接口 的 > 以太网供电

位于 Firepower 1120、1140 和 1150 上的 ASA

我们推出了位于 Firepower 1120、1140 和 1150 上的 ASA。

新增/修改的命令：boot system 、clock timezone 、connect fxos admin 、show counters 、show environment 、show interface 、show inventory

新增/修改的屏幕：

• 配置 > 设备管理 > 系统映像/配置 > 引导映像/配置

• 配置 > 设备设置 > 系统时间 > 时钟

Firepower 2100 设备模式

Firepower 2100 运行名为 Firepower 可扩展操作系统 (FXOS) 的底层操作系统。您可以在以下模式下运行 Firepower 2100：

• 设备模式（现在是默认设置）-设备模式允许您配置 ASA 中的所有设置。FXOS CLI 中仅提供高级故障排除命令。

• 平台模式 - 处于平台模式时，您必须在 FXOS 中配置基本的操作参数和硬件接口设置。这些设置包括启用接口、建立 EtherChannel、NTP、映像管理等。您可以使用 Firepower 机箱管理器 web 界面或 FXOS CLI。然后，您可以使用 ASDM 或 ASA CLI 在 ASA 操作系统中配置安全策略。

  如果您要升级到 9.13(1)，该模式将保留在平台模式下。

新增/修改的命令：boot system 、clock timezone 、connect fxos admin 、fxos mode appliance 、show counters 、show environment 、show fxos mode 、show interface 、show inventory

新增/修改的屏幕：

• 配置 > 设备管理 > 系统映像/配置 > 引导映像/配置

• 配置 > 设备设置 > 系统时间 > 时钟

DHCP 预留

ASA DHCP 服务器现在支持 DHCP 预留。您可以根据客户端的 MAC 地址从定义的地址池中将一个静态 IP 地址分配给 DHCP 客户端。

新增/修改的命令：dhcpd reserve-address

未修改任何菜单项。

ASAv 的最低内存要求

ASAv 的最低内存要求为 2GB。如果当前 ASAv 的内存少于 2GB，您将无法在不增加 ASAv VM 内存的情况下，从早期版本升级到 9.13(1)。您也可以使用 9.13(1) 版本重新部署新的 ASAv VM。

未修改任何命令。

未修改任何菜单项。

ASAv MSLA 支持

ASAv 支持思科托管服务许可协议（MSLA）程序，这是一种软件许可和消费体系，专为向第三方提供托管软件服务的思科客户和合作伙伴而设计。

MSLA 是一种新的智能许可形式，其中许可智能代理在时间单位内跟踪许可授权的使用情况。

新增/修改的命令：license smart 、mode 、utility 、custom-id 、custom-info 、privacy 、transport type 、transport url 、transport proxy

修改了菜单项：配置 > 设备管理 > 许可 > 智能许可

ASAv 灵活许可

灵活许可是智能许可的一种新形式，其中可以在受支持的 ASAv vCPU/内存配置中使用任何 ASAv 许可证。AnyConnect 和 TLS 代理的会话限制将由安装的 ASAv 平台授权确定，而不是与型号相关的平台限制。

新增/修改的命令：show version 、show vm 、show cpu 、show license features

修改了菜单项：配置 > 设备管理 > 许可 > 智能许可

AWS 的ASAv 对 C5 实例的支持；对 C4、C3 和 M4 实例的扩展支持

AWS 公有云上的 ASAv 现在支持 C5 实例（c5.large、c5.xlarge 和c5.2xlarge）。

此外，为 C4 实例扩展了支持（c4.2xlarge 和 c4.4xlarge）；C3 实例（c3.2xlarge、c3.4xlarge 和 c3.8xlarge）；和 M4 实例（m4.2xlarge 和 m4.4xlarge）。

未修改任何命令。

未修改任何菜单项。

Microsoft Azure 的 ASAv 支持更多 Azure 虚拟机大小

Microsoft Azure 公有云上的 ASAv 现在支持更多 Linux 虚拟机大小：

• Standard_D4，Standard_D4_v2

• Standard_D8_v3

• Standard_DS3、Standard_DS3_v2

• Standard_DS4、Standard_DS4_v2

• Standard_F4、Standard_F4s

• Standard_F8、Standard_F8s

早期版本仅支持 Standard_D3 和 Standard_D3_v2 大小。

未修改任何命令。

未修改任何菜单项。

ASAv 增强型支持 DPDK

ASAv 支持对数据平面开发工具包（DPDK）的增强，以支持多个 NIC 队列，从而使多核 Cpu 能够同时有效地服务网络接口。

这适用于除 Microsoft Azure 和 Hyper-v 以外的所有 ASAv 虚拟机监控程序。

未修改任何命令。

未修改任何菜单项。

ASAv 支持 VMware ESXi 6.7

ASAv 虚拟平台支持在 VMware ESXi 6.7 上运行的主机。新的 VMware 硬件版本已添加到 vi.ovf 和 esxi.ovf 文件，使 ESXi 6.7 上的 ASAv 能够实现最佳的性能和可用性。

未修改任何命令。

未修改任何菜单项。

为 ISA 3000 增加了 VLAN

拥有增强型安全许可证的 ISA 3000 的最大 VLAN 数量从 25 增加到 100。

防火墙功能

移动站的位置日志记录 （GTP 检测） 。

可以配置 GTP 检测以记录移动站的初始位置和该位置的后续更改。跟踪位置更改有助于识别可能存在的欺诈性漫游费用。

新增/修改的命令：location-logging 。

新建/修改的菜单项: 配置 > 防火墙 > 对象 > 检测映射 > GTP。

支持 GTPv2 和 GTPv1 版本 15。

系统现在支持 GTPv2 3GPP 29.274 V15.5.0。对于 GTPv1，最高支持 3GPP 29.060 V15.2.0。在支持新版本后，系统可以多识别 2 种消息以及 53 种信息元素。

未修改任何命令。

未修改任何菜单项。

映射地址和端口转换(MAP-T)

映射地址和端口（映射）主要是在服务提供商（SP）网络中使用的一项功能。服务提供商可以运行 IPv6 网络、映射域，同时支持 IPv4 用户，以及与公共互联网上的 IPv4 站点通信的需要。映射在 RFC7597、RFC7598 和 RFC7599 中定义。

新增/修改的命令：basic-mapping-rule 、default-mapping-rule 、ipv4-prefix 、ipv6-prefix 、map-domain 、share-ratio 、show map-domain 、start-port 。

新增/修改的命令：配置 > 设备设置 > CGNAT 映射、 监控 > 属性 > 映射域。

每个组增加了 AAA 服务器组和服务器的限制。

您可以配置更多 AAA 服务器组。在单情景模式下，您可以配置 200 AAA 服务器组（前一个限制为100）。在多情景模式下，您可以配置 8（前一个限制为4个）。

此外，在多情景模式下，您可以每组配置 8 个服务器（每个组的前一个限制为 4 个服务器）。单情景模式的每组限制 16，保持不变。

修改了以下命令以接受这些新限制：aaa-server 、aaa-server host 。

修改了 AAA 屏幕以接受这些新的限制。

已弃用用于 SCCP （Skinny）检测的 TLS 代理。

已弃用 tls-proxy 关键字以及对 SCCP/Skinny 加密检测的支持。在未来版本中，将从 inspect skinny 命令中删除该关键字。

VPN 功能

HSTS 支持 WebVPN 作为客户端

添加了称为 http 标头的 WebVPN 模式下的新 CLI 模式，以便 WebVPN 可以将对 HSTS 的主机的 HTTP 引用转换为 HTTPS 引用。在将 WebVPN 连接从 ASA 发送到浏览器时，配置用户代理是否允许嵌入资源。

您可以选择将 http 报头配置为：x-content-type-options 、x-xss-protection 、 hsts-client （HSTS 支持 WebVPN 作为客户端）、hsts-server 或content-security-policy 。

新增/修改的命令：webvpn 、show webvpn hsts host (name <hostname&s{253}> | all) 和 clear webvpn hsts host (name <hostname&s{253}> | all) 。

修改了以下菜单项：配置 > 远程访问 VPN > 无客户端 SSL VPN 访问 > 高级 > 代理

Diffie-hellman 组 15 和 16 添加密钥交换：

要添加对 Diffie-hellman 组 15 和 16 的支持，我们修改了几个 crypto 命令来接受这些新的限制。

crypto ikev2 policy <index> group <number> 和 crypto map <map-name> <map-index> set pfs <group>.

show asp table vpn-context 对输出的增强

为了增强调试功能，这些 vpn 情景计数器已添加到输出中：锁定错误、不使用 SA、IP 版本错误和 Tun 关闭。

新增/修改的命令：show asp table vpn-context （仅输出）

高可用性和扩展性功能

集群中的死连接检测(DCD)和 DCD 支持的发起人和响应方信息。

如果启用死连接检测(DCD)，则可以使用该 show conn detail 命令获取有关发起人和响应方的信息。通过死连接检测，您可以保持非活动连接，并且 show conn 输出会告诉您终端的探测频率。此外，在集群中现在还支持 DCD。

新增/修改的命令：show conn （仅输出）

未修改任何菜单项。

监控集群的流量负载

现在，您可以监控集群成员的流量负载，包括总连接计数、CPU 和内存使用情况以及缓冲区丢弃。如果负载过高，且剩余的设备可以处理负载，您可以选择在设备上手动禁用集群，或调整外部交换机上的负载均衡。默认情况下启用此功能。

新增/修改的命令：debug cluster load-monitor 、load-monitor 、show cluster info load-monitor

新增/修改的屏幕：

• 配置 > 设备管理 > 高可用性和可扩展性 > ASA 集群 > 集群配置 > 启用集群负载监控复选框

• 监控 > ASA 集群 > 集群负载监控

加快加入集群的速度

当数据设备与控制设备具有相同的配置时，它将跳过同步配置步骤并更快加入。默认情况下启用此功能。此功能在每个设备上分别配置，不会从控制设备复制到数据设备。

新增/修改的命令：unit join-acceleration 、show cluster info unit-join-acceleration incompatible-config

新增/修改的菜单项：配置 > 设备管理 > 高可用性和可扩展性 > ASA 集群 > 集群配置 > 启用配置同步加速复选框

路由功能

SMTP 配置增强功能

您可以选择为 SMTP 服务器配置主用和备用接口名称，以使 ASA 能够识别用于日志记录 - 管理路由表或数据路由表。如果未提供接口，ASA 将引用管理路由表查找，如果没有适当的路由条目，则会查看数据路由表。

新增/修改的命令：smtp-server [primary-interface][backup-interface]

支持设置 NSF 等待计时器

如果 OSPF 路由器不知道所有邻居是否在数据包中列出，并且重新启动路由器需要保留邻接关系，则它们会在连接到 Hello 数据包的 EO 中设置 RS 位。但是，RS 位值不能超过 RouterDeadInterval 秒。引入 timers nsf wait 命令，以将呼叫数据包中的 RS 位设置为小于 RouterDeadInterval 秒。

新增/修改的命令：timers nsf wait

支持设置 tftp 块大小

为 tftp 文件传输修复的典型块大小为 512-八位组。引入了一个新命令 tftp blocksize ，以配置更大的区块，从而增强 tftp 文件传输速度。您可以将大小范围从 513 设置为 8192 个八位组。新的默认大小（1456 个八位组）。此命令的 no 形式会将区块重置为较旧的默认值 - 512 个八位组。引入 timers nsf wait 命令，以将呼叫数据包中的 RS 位设置为小于 RouterDeadInterval 秒。

新增/修改的命令：tftp blocksize

证书功能

支持查看 FIPS 状态

show running-configuration fips 命令仅在启用 fips 时显示 FIPS 状态。为了解运行状态，引入了 show fips 命令，在用户启用处于禁用状态的 fips 或禁用处于启用状态的 fips 时，它会显示 fips 状态。此命令还显示启用或禁用操作后重新启动设备的状态。

新增/修改的命令：show fips

CRL 缓存大小已增加

为防止大型 CRL 下载失败，增加了缓存大小，并且删除了单个 CRL 中的条目数限制。

• 在多情景模式下，将每个情景的 CRL 缓存总大小增加到 16 MB。

• 在单一情景模式下，将 CRL 缓存总大小增加到 128 MB。

对 CRL 分发点命令的修改

静态 CDP URL 配置命令将被删除并移至匹配证书命令。

新增/修改的命令 ：crypto-ca-trustpoint crl 、crl url 与其他相关逻辑一起删除。match-certificate override-cdp 引入了。

新建/修改菜单项：配置 > 设备管理 > 证书管理 > CA 证书

管理和故障排除功能

Firepower 1000、Firepower 2100 设备模式处于许可评估模式时的管理访问

ASA 默认情况下包含 3DES 功能，仅用于管理访问，因此您可以连接到许可证颁发机构，还可以立即使用 ASDM。如果之后在 ASA 上配置了 SSH 访问，也可以使用 SSH 和 SCP。其他需要强加密（例如 VPN）的功能必须启用强加密许可证，这要求您先向许可证颁发机构注册。

未修改任何命令。

未修改任何菜单项。

额外 NTP 身份验证算法：

以前，NTP 身份验证仅支持 MD5。现在 ASA 支持以下加密算法：

• MD5

• SHA-1

• SHA-256

• SHA-512

• AES-CMAC

新增/修改的命令：ntp authentication-key

新建/修改的菜单项：

配置 > 设备设置 > 系统时间 > NTP > 添加按钮 > 添加 NTP 服务器配置对话框> 密钥算法下拉列表

适用于 Firepower 4100/9300 的 ASA 安全服务交换（SSE）遥测支持

在您的网络中启用 Cisco Success 网络后，会向 Cisco 提供设备使用信息和统计信息，用于优化技术支持。在 ASA 设备上收集的遥测数据包括 CPU、内存、磁盘或带宽使用情况、许可证使用情况、已配置的功能列表、集群/故障切换信息等。

新增/修改的命令：service telemetry 和 show telemetry

新增/修改的屏幕：

• 配置 > 设备管理 > 遥测

• 监控 > 属性 > 遥测

SSH 加密密码现在按预定义列表的安全性从最高到最低的顺序列出

SSH 加密密码现在按预定义列表（例如中等或高安全性）的安全性从最高到最低的顺序列出。在较早的版本中，它们是按从最低到最高的顺序列出的，这意味着低安全性密码的提议先于高安全性密码。

新增/修改的命令：ssh cipher encryption

新建/修改的菜单项：

配置 > 设备管理 > 高级 > SSH 密码

show tech-support 包括其他输出

show tech-support 的输出已得到增强，可以显示以下内容的输出：

show flow-offload info detail

show flow-offload statistics

show asp table socket

新增/修改的命令：show tech-support （仅输出）

为包含丢失位置信息对 show-capture asp_drop 输出的增强

使用 ASP 丢弃计数器进行故障排除时，丢弃的确切位置是未知的，尤其是在许多不同的地方使用相同的 ASP 丢弃原因时。此信息对于寻找丢失的根本原因至关重要。通过此增强功能，将显示 ASP 丢弃详细信息，例如版本目标、ASA 版本号、硬件型号和 ASLR 内存文本区域（用于促进丢弃位置的解码）。

新增/修改的命令：show-capture asp_drop

修订 debug crypto ca

debug crypto ca transactions 和 debug crypto ca messages 选项经过整合，可将所有适用的内容提供给命令 debug crypto ca 本身。此外，可用调试级别的数量减少到 14。

新增/修改的命令：debug crypto ca

Firepower 1000 和2100 的 FXOS 功能

安全擦除

安全清除功能会清除 SSD 上的所有数据，以便即使在 SSD 本身上使用特殊工具也无法恢复数据。停止使用设备时，应在 FXOS 中执行安全清除。

新增/修改的 FXOS 命令：erase secure (local-mgmt)

支持的型号：Firepower 1000 和 2100

可配置的 HTTPS 协议

您可以为 FXOS HTTPS 访问设置 SSL/TLS 版本。

新增/修改的 FXOS 命令：set https access-protocols

支持的型号：平台模式中的 Firepower 2100

针对 IPSec 和 Keyrings 的 FQDN 实施

对于 FXOS，您可以配置 FQDN 实施，使对等体的 FQDN 需要与对等体所提供的 X.509 证书中的 DNS 名称匹配。对于 IPSec，默认情况下会启用实施，但在 9.13(1) 之前创建的连接除外；您必须手动启用这些旧连接的实施。对于 keyrings，所有主机名都必须是 Fqdn，并且不能使用通配符。

新增/修改的 FXOS 命令：set dns、set e-mail、 set fqdn-enforce 、set ip 、set ipv6 、set remote-address 、set remote-ike-id

删除的命令：fi-a-ip 、fi-a-ipv6 、fi-b-ip 、fi-b-ipv6

支持的型号：平台模式中的 Firepower 2100

新 IPSec 密码和算法

我们添加了以下 IKE 和 ESP 密码和算法，以配置 IPSec 隧道对 FXOS 管理流量加密：

• 密码 - aes192。现有密码包括：aes128、aes256、aes128gcm16。

• 伪随机函数 (PRF)（仅限 IKE）— prfsha384、prfsha512、prfsha256。现有 PRF 包括：prfsha1。

• 完整性算法-sha256、sha384、sha512、sha1_160。现有算法包括：sha1。

• Diffie-hellman 组-curve25519、ecp256、ecp384、ecp521、modp3072、modp4096。现有组包括：modp2048。

未修改 FXOS 命令。

支持的型号：平台模式中的 Firepower 2100

SSH 身份验证增强功能

我们为 FXOS 添加了以下 SSH 服务器加密算法：

• aes128-gcm@openssh.com

• aes256-gcm@openssh.com

• chacha20-poly@openssh.com

我们为 FXOS 添加了以下 SSH 服务器密钥交换方法：

• diffie-hellman-group14-sha256

• curve25519-sha256

• curve25519-sha256@libssh.org

• ecdh-sha2-nistp256

• ecdh-sha2-nistp384

• ecdh-sha2-nistp521

新增/修改的 FXOS 命令：set ssh-server encrypt-algorithm 、set ssh-server kex-algorithm

支持的型号：平台模式中的 Firepower 2100

用于 X.509 证书的 EDCS 密钥

现在，您可以将 EDCS 密钥用于 FXOS 证书。以前，仅支持 RSA 密钥。

新增/修改的 FXOS 命令：set elliptic-curve 、set keypair-type

支持的型号：平台模式中的 Firepower 2100

用户密码改进

添加了 FXOS 密码安全改进，包括以下内容：

• 用户密码最多可达 127 个字符。旧限制为 80 个字符。

• 默认情况下，系统会启用强密码。

• 提示设置管理员密码。

• 密码到期。

• 限制密码重复使用。

• 删除了 set change-during-interval 命令 ，并为 set change-interval 、set no-change-interval 和 set history-count 命令添加了 disabled 选项。

新增/修改的 FXOS 命令：set change-during-interval 、set expiration-grace-period 、set expiration-warning-period 、set history-count 、set no-change-interval 、set password 、set password-expiration 、set password-reuse-interval

新增/修改的 Firepower 机箱管理器菜单项：

• 系统 > 用户管理 > 本地用户

• 系统 > 用户管理 > 设置

支持的型号：平台模式中的 Firepower 2100

路由功能

多播 IGMP 接口状态限制从 500 提高到 5000

每个接口的多播 IGMP 状态限制从 500 提高到了 5000。

新增/修改的命令：igmp limit

无 ASDM 支持。

VPN 功能

现在，您可以将最大协商中 SA 配置为不超过 15000 的绝对值或源自最大设备容量的最大值；以前，仅允许百分比。

新增/修改的命令：crypto ikev2 limit max-in-negotiation-sa value

无 ASDM 支持。

平台功能

Firepower 9300 SM-56 支持

引入了以下安全模块：SM-56。

需要 FXOS 2.6.1.157

未修改任何命令。

未修改任何菜单项。

管理功能

仅限在 Admin 情景中设置 SSH 密钥交换模式

您必须在 Admin 情景中设置 SSH 密钥交换；所有其他情景将继承此设置。

新增/修改的命令：ssh key-exchange

新增/修改的菜单项：配置 > 设备管理 > 管理访问 > ASDM/HTTPS/Telnet/SSH > SSH 设置 > DH 密钥交换

ASDM 功能

ASDM 的 OpenJRE 版本

您可以安装使用 OpenJRE 1.8.x 而不是 Oracle JRE 的 ASDM 版本。OpenJRE 版本的文件名为 asdm-openjre-version.bin。

工具 > 首选项选项，用于指定 ASA FirePOWER 模块本地管理文件文件夹

现在，您可以指定安装 ASA FirePOWER 模块本地管理文件的位置。您必须具有已配置位置的读/写权限。

新的/修改后的屏幕：

工具 > 首选项 > SFR 位置向导区域

平台功能

适用于 Firepower 4115、4125 和 4145 的 ASA

我们推出了 Firepower 4115、4125 和 4145。

需要 FXOS 2.6.1。

未修改任何命令。

未修改任何菜单项。

支持在同一个 Firepower 9300 上使用独立的 ASA 和 FTD 模块

您现在可以在同一个 Firepower 9300 上同时部署 ASA 和 FTD 逻辑设备。

需要 FXOS 2.6.1。

未修改任何命令。

未修改任何菜单项。

Firepower 9300 SM-40 和 SM-48 支持

引入了以下两个安全模块：SM-40 和 SM-48。

需要 FXOS 2.6.1。

未修改任何命令。

未修改任何菜单项。

防火墙功能

支持 GTPv1 版本 10.12。

系统现在支持 GTPv1 版本 10.12。以前，系统支持版本 6.1。在支持新版本后，系统可以多识别 25 种 GTPv1 消息以及 66 种信息元素。

此外，系统行为也有所变化。现在，系统可以接受任何未知的消息 ID。而在过去，未知消息会被丢弃并记入日志。

未修改任何命令。

未修改任何菜单项。

思科 Umbrella 增强功能。

您现在可以标识需要绕过思科 Umbrella 的本地域名。发向这些域的 DNS 请求将直接流向 DNS 服务器，而不经过 Umbrella 处理。此外，您还可以标识用于解析 DNS 请求的 Umbrella 服务器。最后，您可以定义 Umbrella 检测策略以实现故障时自动开放，以确保 Umbrella 服务器不可用时，DNS 请求不会被阻止。

新增/修改的命令：local-domain-bypass 、resolver 和 umbrella fail-open 。

新增/修改的菜单项：配置 > 防火墙 > 对象 > Umbrella、配置 > 防火墙 > 对象 > 检测映射 > DNS。

现在，对象组搜索阈值将默认禁用。

在以前，如果您启用对象组搜索功能，此功能将受阈值限制，这是为了防止性能出现下降。该阈值现在默认将被禁用。您可以使用 object-group-search threshold 命令启用该阈值。

新增/修改的命令：object-group-search threshold 。

更改了以下菜单项：配置 > 访问规则 > 高级。

NAT 端口块分配的临时日志。

当对 NAT 启用端口块分配功能后，系统会在端口块创建和删除操作发生时生成系统日志消息。如果启用临时日志，系统会按您指定的时间间隔生成消息 305017。这些消息会报告消息生成时所有已分配的活动端口块，包括协议（ICMP、TCP、UDP、源和目标接口与 IP 地址，以及端口块。

新增/修改的命令：xlate block-allocation pba-interim-logging seconds 。

新增/修改的菜单项：配置 > 防火墙 > 高级 > PAT 端口块分配。

VPN 功能

适用于 debug aaa 的新 condition 选项。

我们为 debug aaa 命令添加了 condition 选项。利用该选项，您可以根据组名、用户名或对等 IP 地址筛选 VPN 调试结果。

新增/修改的命令：debug aaa condition

未修改任何菜单项。

IKEv2 中支持 RSA SHA-1

现在，您可以使用 RSA SHA-1 散列算法为 IKEv2 生成签名。

新增/修改的命令：rsa-sig-sha1

新建/修改的菜单项：

查看 DES 和3DES 加密许可证的默认 SSL 配置以及可用密码

现在，您在有无 3DES 加密许可证的情况下均可查看默认 SSL 配置。此外，您还可以查看设备上支持的所有密码。

新增/修改的命令：show ssl information

未修改任何菜单项。

将子域添加到 webVPN HSTS

允许域所有者提交应包含在网络浏览器的 HSTS 预载列表中的那些域。

新增/修改的命令：hostname(config-webvpn) includesubdomains

新建/修改的菜单项：

配置 > 远程访问 VPN > 无客户端 SSL VPN 访问 > 高级 > 代理 > 启用 HSTS 子域字段

高可用性和扩展性功能

适用于集群的每站点免费 ARP

现在，ASA 可以生成免费 ARP (GARP) 数据包，以确保交换基础设施始终处于最新状态：它将作为每个站点优先级最高的成员，定期生成流向全局 MAC/IP 地址的 GARP 流量。当使用来自集群的各站点 MAC 和 IP 地址数据包使用站点特定的 MAC 地址和 IP 地址时，集群接收的数据包使用全局 MAC 地址和 IP 地址。如果流量不是定期从全局 MAC 地址生成的，您的全局 MAC 地址交换机上可能会出现 MAC 地址超时。发生超时后，以全局 MAC 地址为目标的流量将在整个交换基础设施中进行泛洪，这有可能造成性能和安全问题。当您为每台设备设置站点 ID 和为每个跨区以太网通道设置站点 MAC 地址时，默认情况下会启用 GARP。

新增/修改的命令：site-periodic-garp interval

新增/修改的菜单项：配置 > 设备管理 > 高可用性和可扩展性 > ASA 集群 > 集群配置 > 站点周期 GARP 字段

多情景模式 HTTPS 资源管理

现在，您可以在资源类中设置非 ASDM HTTPS 会话的最大数量。默认情况下，限制设置为每个情景最多 6 个。在所有情景中最多可使用 100 个 HTTPS 会话。

新增/修改的命令：limit-resource http

无 ASDM 支持。

路由功能

OSPF 密钥链支持身份验证

OSPF 可对使用 MD5 密钥邻居和路由更新进行身份验证。在 ASA 中，用于生成 MD5 摘要的密钥没有与之关联的生存期。因此，需要用户干预以定期更改密钥。为克服这种限制，OSPFv2 支持使用轮换密钥进行 MD5 身份验证。

根据密钥链中密钥的接受和发送有效期限，OSPF 进行身份验证、接受或拒绝密钥，形成邻接关系。

新增/修改的命令：accept-lifetime 、area virtual-link authentication 、 cryptographic-algorithm 、key 、key chain 、key-string 、ospf authentication 、send-lifetime

新增/修改的屏幕：

• 配置 > 设备设置 > 密钥链

• 配置 > 设备设置 > 路由 > OSPF > 设置 > 身份验证

• 配置 > 设备设置 > 路由 > OSPF > 设置 > 虚拟链路

证书功能

用于注册 URL 的本地 CA 可配置 FQDN

要使注册 URL 的 FQDN 可配置，而不是使用 ASA 的已配置 FQDN，引入新的 CLI 选项。此新选项将添加到 crypto ca server 的 smpt 模式中。

新增/修改的命令：fqdn

管理、监控和故障排除功能

enable 登录时需要更改密码

enable 默认密码为空。现在，如果您尝试在 ASA 上进入特权 EXEC 模式，系统会要求您将密码改为一个至少包含 3 个字符的值，而不能将密码留空。no enable password 命令今后将不受支持。

在 CLI 中，您可以使用 enable 命令、login 命令（用户权限级别应在 2 级以上）或者 SSH 或 Telnet 会话（如果启用 aaa authorization exec auto-enable ）来进入特权 EXEC 模式。无论使用哪种方法，您都必须设置密码。

但是在登录 ASDM 时，则没有这项更改密码的要求。默认情况下，在 ASDM 中，您无需使用用户名和 enable 密码即可登录。

新增/修改的命令：enable password

未修改任何菜单项。

可配置管理会话限制

现在，您可以配置汇聚管理会话数、每用户管理会话数和每协议管理会话数的最大值。以前，您只能配置汇聚会话数。此功能不会影响控制台会话。需要注意的是，在多情景模式下，如果最大 HTTPS 会话数固定为 5，则无法配置会话数。此外，系统配置中也不再接受 quota management-session 命令，您只能在情景配置中进行此设置。现在，最大汇聚会话数为 15。如果您已将其配置为 0（无限制）或大于 16 的值，在升级设备时，此值会自动更改为 15。

新增/修改的命令：quota management-session 、show quota management-session

新增/修改的菜单项：配置 > 设备管理 > 管理访问 > 管理会话配额

管理权限级别更改通知

现在，在您授予访问权限 (aaa authentication enable console) 或允许直接进行特权 EXEC 访问 (aaa authorization exec auto-enable ) 后，如果用户已分配的访问权限级别在上次登录后发生更改，ASA 会向用户显示通知。

新增/修改的命令：show aaa login-history

新建/修改的菜单项：

状态栏 > 登录历史记录图标

支持对 NTP 使用 IPv6 地址

现在，您在设置 NTP 服务器时可以使用 IPv6 地址。

新增/修改的命令：ntp server

新增/修改的菜单项：配置 > 设备设置 > 系统时间 > NTP > 添加按钮 > 添加 NTP 服务器配置对话框

SSH 增强安全性

请参阅以下 SSH 安全改进：

• 支持 Diffie-Hellman 组 14 SHA256 密钥交换。此设置现在为默认值。先前默认值为组 1 SHA1。

• 支持 HMAC-SHA256 完整性加密。默认值现在是高安全性密码组（仅 hmac-sha2-256）。先前默认值为介质集。

新增/修改的命令：ssh cipher integrity 、ssh key-exchange group dh-group14-sha256

新增/修改的屏幕：

• 配置 > 设备管理 > 管理访问 > ASDM/HTTPS/Telnet/SSH

• 配置 > 设备管理 > 高级 > SSH 密码

允许基于非浏览器的 HTTPS 客户端访问 ASA

您可以允许基于非浏览器的 HTTPS 客户端访问 ASA 上的 HTTPS 服务。默认情况下，允许 ASDM、CSM 和 REST API。

新增/修改的命令：http server basic-auth-client

新增/修改的屏幕。

配置 > 设备管理 > 管理访问 > HTTP 非浏览器客户端支持

仅在集群控制链路上捕获控制平面数据包

现在，您仅可以在集群控制链路上捕获控制平面数据包（无数据平面数据包）。此选项在多情景模式下的系统中很有用，在此模式下，您无法使用 ACL 来匹配流量。

新增/修改的命令：capture interface cluster cp-cluster

新建/修改的菜单项：

向导 > 数据包捕获向导 > 集群选项

debug conn 命令

添加 debug conn 命令是为了提供两个记录连接处理的历史记录机制。第一个历史记录列表是一个记录线程操作的每线程列表。第二个历史记录列表是将操作记录到 conn 组中的列表。启用连接后，连接锁、解锁和删除等处理事件将记录到两个历史记录列表中。当出现问题时，可以使用这两个列表来回顾处理情况，以确定不正确的逻辑。

新增/修改的命令：debug conn

show tech-support 包括其他输出

show tech-support 的输出已得到增强，可以显示以下内容的输出：

• show ipv6 interface

• show aaa-server

• show fragment

新增/修改的命令：show tech-support

ASDM 支持，用于在 SNMP 审核操作期间启用和禁用可用内存和已用内存统计信息的结果

为避免 CPU 资源的过度占用，您可以启用和禁用通过 SNMP 审核操作收集的可用内存和已用内存统计数据的查询。

新增或修改的菜单项：配置 > 设备管理 > 管理访问 > SNMP

在多情景模式下，适用于系统的 ASDM 主窗格的可配置图形更新间隔

对于多情景模式下的系统，您现在可以在“主页”窗格上设置图表更新之间间隔的时间量。

新增/修改的屏幕：

工具 > 首选项 > 系统情景中图形用户时间间隔

平台功能

适用于 Azure 的 ASAv VHD 自定义图像

您现在可以使用思科提供的压缩的 VHD 映像，在 Azure 上创建自定义 ASAv 映像。要使用 VHD 映像进行部署，您需要将 VHD 映像上传到您的 Azure 存储帐户。然后，您可以使用上传的磁盘映像和 Azure 资源管理器模板创建托管映像。Azure 模板是包含资源说明和参数定义的 JSON 文件。

适用于 Azure 的 ASAv

ASAv 在 Azure 中国市场上有售。

ASAv 支持 DPDK

DPDK（数据平面开发工具包）使用轮询模式驱动程序集成到 ASAv 的数据平面。

ISA 3000 支持 FirePOWER 模块版本 6.3

以前支持的版本为 FirePOWER 5.4。

防火墙功能

思科 Umbrella 支持

您可以配置设备将 DNS 请求重定向至思科 Umbrella，以便将您在思科 Umbrella 中定义的企业安全策略应用于用户连接。您可以允许或阻止基于 FQDN 的连接，或者，对于可疑的 FQDN，您可以将用户重定向至思科 Umbrella 智能代理，该代理可以执行 URL 筛选。Umbrella 配置是 DNS 检测策略的一部分。

新增/修改的命令：umbrella 、umbrella-global 、token 、public-key 、timeout edns 、dnscrypt 和 show service-policy inspect dns detail

新增/修改的菜单项：

配置 > 防火墙对象 > 对象 > Umbrella、配置 > 防火墙 > 对象 > 检测映射 > DNS

MSISDN 的 GTP 检测增强功能和选择模式筛选、防重放以及用户防欺骗

您现在可以配置 GTP 检测基于移动站点国际用户目录编号 (MSISDN) 或选择模式丢弃创建 PDP 情景消息。您还可以实施防重放和用户防欺骗。

新增/修改的命令：anti-replay 、gtp-u-header-check 、match msisdn 和 match selection-mode

新增/修改的菜单项：

配置 > 防火墙 > 对象 > 检测映射 > GTP > 添加/编辑对话框

TCP 状态绕行的默认空闲超时

TCP 状态绕行连接的默认空闲超时现在为 2 分钟，而不是 1 小时。

支持从直接转发代理登录页面删除注销按钮。

如果您配置直接转发代理获取用户身份信息（AAA 身份验证侦听器），您现在可以从页面中删除注销按钮。这在用户从 NAT 设备后面连接并且无法按 IP 地址进行区分的情况下非常有用。当一个用户注销时，它会注销该 IP 地址的所有用户。

新增/修改的命令：aaa authentication listener no-logout-button

无 ASDM 支持。

同样适用于 9.8(3)。

Trustsec SXP 连接可配置删除抑制计时器

默认 SXP 连接抑制计时器为 120 秒。现在，您可以配置此计时器，范围介于 120 到 64000 秒之间。

新增/修改的命令：cts sxp delete-hold-down period 、show cts sxp connection brief 和 show cts sxp connections

无 ASDM 支持。

同样适用于 9.8(3)。

支持在透明模式下卸载经过 NAT 的数据流。

如果您使用了数据流分流（flow-offload enable 和 set connection advanced-options flow-offload 命令），分流的数据流现在可以包括在透明模式下需要 NAT 的数据流。

对 Firepower 4100/9300 ASA 逻辑设备透明模式部署的支持

在 Firepower 4100/9300 上部署 ASA 时，您现在可以指定透明模式或路由模式。

新增/修改的 FXOS 命令：enter bootstrap-key FIREWALL_MODE 、set value routed 和 set value transparent

新增/修改的 Firepower 机箱管理器菜单项：

逻辑设备 > 添加设备 > 设置

新增/修改的选项：防火墙模式下拉列表

VPN 功能

对传统 SAML 身份验证的支持

如果您部署的 ASA 包含对 CSCvg65072 的修复，则默认的 SAML 行为是使用嵌入式浏览器，而这在 AnyConnect 4.4 或 4.5 上不受支持。因此，要继续使用 AnyConnect 4.4 或 4.5，您必须启用传统外部浏览器 SAML 身份验证方法。由于安全限制，只能将此选项用作迁移至 AnyConnect 4.6（或更高版本）的临时计划的一部分。此选项在近期将会弃用。

新增/修改的命令：saml external-browser

新建/修改的菜单项：

配置 > 远程接访问 VPN > 网络（客户端）访问 > AnyConnect 连接配置文件页面 > 连接配置文件区域 > 添加按钮 > 添加 AnyConnect 连接配置文件对话框

配置 > 远程访问 VPN > 无客户端 SSL VPN 访问 > 连接配置文件 > 页面 > 连接配置文件区域 > 添加按钮 > 添加无客户端 SSL VPN 连接配置文件对话框

新增/修改的选项：SAML 外部浏览器复选框

同样适用于 9.8(3)。

DTLS 1.2 支持 AnyConnect VPN 远程访问连接。

除了当前支持的 DTLS 1.0（版本号 1.1 未用于 DTLS）之外，DTLS 1.2（如 RFC- 6347 中定义）现在也支持 AnyConnect 远程访问。这适用于除 5506-X、5508-X 和 5516-X 之外的所有 ASA 型号；仅在 ASA 充当服务器而非客户端时应用。DTLS 1.2 支持其他密码，以及所有最新的 TLS/DTLS 密码和更大的 cookie。

新增/修改的命令：show run ssl、show vpn-sessiondb detail anyconnectssl cipher、ssl server-version

新增/修改的菜单项：配置 > 远程访问 VPN > 高级 > SSL 设置

高可用性和扩展性功能

Firepower 4100/9300 的集群控制链路可自定义 IP 地址

默认情况下，集群控制链路使用 127.2.0.0/16 网络。现在，可以在 FXOS 中部署集群时设置网络。机箱根据机箱 ID 和插槽 ID 自动生成每个设备的集群控制链路接口 IP 地址：127.2.chassis_id.slot_id。但是，某些网络部署不允许 127.2.0.0/16 流量通过。因此，您现在可以为 FXOS 中的集群控制链路设置一个自定义的 /16 子网（环回 (127.0.0.0/8) 和组播 (224.0.0.0/4) 地址除外）。

新增/修改的 FXOS 命令：set cluster-control-link network

新增/修改的 Firepower 机箱管理器菜单项：

逻辑设备 > 添加设备 > 集群信息

新增/修改的选项：CCL 子网 IP 字段

按 Firepower 9300 机箱并行加入集群设备

对于 Firepower 9300，此功能可确保机箱中的安全模块同时加入集群，以便在模块之间均匀分配流量。如果某个模块先于其他模块很早加入，它可能会收到超过所需的流量，因为其他模块还无法分担负载。

新增/修改的命令：unit parallel-join

新建/修改的菜单项：

配置 > 设备管理 > 高可用性和可扩展性 > ASA 集群

新增/修改的选项：按机箱并行加入设备区域

集群接口防反跳时间现在应用于从故障状态更改为正常运行状态的接口

在发生接口状态更新时，ASA 会等待 health-check monitor-interface debounce-time 命令或 ASDM 配置 > 设备管理 > 高可用性和可扩展性 > ASA 集群菜单项中指定的毫秒数，然后才将接口标记为发生故障，并将设备从集群中删除。此功能现在应用于从故障状态更改为正常运行状态的接口。例如，对于从故障状态转换为正常运行状态的 EtherChannel（例如，交换机重新加载或交换机启用 EtherChannel）而言，更长的防反跳时间可以防止集群上的接口仅仅因为另一个集群设备在绑定端口时的速度更快便显示为故障状态。

未修改任何命令。

未修改任何菜单项。

Microsoft Azure 管理云中 ASAv 的主用/备用高可用性

Azure 管理云现在支持无状态主用/备用解决方案，可允许主用 ASAv 故障触发系统自动执行故障切换到 Microsoft Azure 公共云中的备用 ASAv。

新增或修改的命令：failover cloud

新增或修改的菜单项：配置 > 设备管理 > 高可用性和可扩展性 > 故障切换

监控 > 属性 > 故障切换 > 状态

监控 > 属性 > 故障切换 > 历史记录

接口功能

show interface ip brief 和 show ipv6 interface 输出增强为可显示 Firepower 2100/4100/9300 的管理引擎关联

对于 Firepower 2100/4100/9300，命令输出增强为指示接口的管理引擎关联状态。

新增/修改的命令：show interface ip brief、show ipv6 interface

Firepower 2100 上的 set lacp-mode 命令已更改为 set port-channel-mode

为了与 Firepower 4100/9300 中的命令用法保持一致，set lacp-mode 命令已更改为 set port-channel-mode 。

新增/修改的 FXOS 命令：set port-channel-mode

管理、监控和故障排除功能

在 Firepower 2100 上支持 NTP 身份验证

现在，您可以在 FXOS 中配置 SHA1 NTP 服务器身份验证。

新增/修改的 FXOS 命令：enable ntp-authentication、set ntp-sha1-key-id、set ntp-sha1-key-string

新增/修改的 Firepower 机箱管理器菜单项：

平台设置 > NTP

新增/修改的选项：NTP 服务器身份验证：启用复选框、身份验证密钥字段、身份验证值字段

无需使用 ACL 便可匹配 IPv6 流量的数据包捕获支持

如果您在 capture 命令中使用 match 关键字，则 any 关键字仅匹配 IPv4 流量。现在，您可以指定 any4 和 any6 关键字，以捕获 IPv4 或 IPv6 流量。any 关键字仍旧仅匹配 IPv4 流量。

新增/修改的命令：capture match

无 ASDM 支持。

Firepower 2100 上支持将公共密钥身份验证用于到 FXOS 的 SSH 连接

您可以设置 SSH 密钥，以便改为使用公共密钥身份验证/同时使用密码身份验证。

新增/修改的 FXOS 命令：set sshkey

不支持 Firepower 机箱管理器。

支持 GRE 和 IPinIP 封装

当您在内部接口上执行包捕获时，命令输出现已得到增强，可以显示 ICMP、UDP、TCP 和其他连接中的 GRE 和 IPinIP 封装。

新增/修改的命令：show capture

支持启用内存阈值来限制应用缓存分配

您可以将应用缓存分配限制在特定内存阈值范围内，以便预留充足的内存来保持设备稳定运行且可以管理。

新增/修改的命令：memory threshold enable、show run memory threshold、clear conf memory threshold

支持 RFC 5424 日志记录时间戳

您可以启用 RFC 5424 格式的日志记录时间戳。

新增/修改的命令：logging timestamp

支持显示 TCB-IPS 的内存使用情况

您可以显示用于 TCB-IPS 的应用级内存缓存

新增/修改的命令：show memory app-cache

支持在 SNMP 审核操作期间启用和禁用可用内存和已用内存统计信息的结果

为避免 CPU 资源的过度占用，您可以启用和禁用通过 SNMP 审核操作收集的可用内存和已用内存统计数据的查询。

新增/修改的命令：snmp-server enable oid

无 ASDM 支持。

VPN 功能

对传统 SAML 身份验证的支持

如果您部署的 ASA 包含对 CSCvg65072 的修复，则默认的 SAML 行为是使用嵌入式浏览器，而这在 AnyConnect 4.4 或 4.5 上不受支持。因此，要继续使用 AnyConnect 4.4 或 4.5，您必须启用传统外部浏览器 SAML 身份验证方法。由于安全限制，只能将此选项用作迁移至 AnyConnect 4.6 的临时计划的一部分。此选项在近期将会弃用。

新增/修改的菜单项：

配置 > 远程接访问 VPN > 网络（客户端）访问 > AnyConnect 连接配置文件页面 > 连接配置文件区域 > 添加按钮 > 添加 AnyConnect 连接配置文件对话框

配置 > 远程访问 VPN > 无客户端 SSL VPN 访问 > 连接配置文件 > 页面 > 连接配置文件区域 > 添加按钮 > 添加无客户端 SSL VPN 连接配置文件对话框

新增/修改的选项：SAML 外部浏览器复选框

平台功能

ASAv 支持 VMware ESXi 6.5

ASAv 虚拟平台支持在 VMware ESXi 6.5 上运行的主机。新的 VMware 硬件版本已添加到 vi.ovf 和 esxi.ovf 文件，使 ESXi 6.5 上的 ASAv 能够实现最佳的性能和可用性。

未修改任何命令。

未修改任何菜单项。

ASAv 支持 VMXNET3 接口

ASAv 虚拟平台支持 VMware 虚拟机监控程序上的 VMXNET3 接口。

未修改任何命令。

未修改任何菜单项。

ASAv 在首次启动时支持虚拟串行控制台

现在，您可以配置 ASAv 在首次启动时使用虚拟串行控制台，而不是虚拟 VGA 控制台来访问和配置 ASAv。

新增或修改的命令：console serial

ASAv 支持更新多个 Azure 订用中用户定义的路由，从而在 Microsoft Azure 上实现高可用性

现在，您可以在 Azure 高可用性配置中配置 ASAv，以更新多个 Azure 订用中用户定义的路由。

新增或修改的命令：failover cloud route-table

新增或修改的菜单项：配置 > 设备管理 > 高可用性和可扩展性 > 故障切换 > 路由表

VPN 功能

远程访问 VPN 多情景支持已扩展至 IKEv2 协议

支持配置 ASA，以允许 Anyconnect 和基于标准的第三方 IPSec IKEv2 VPN 客户端建立远程访问 VPN 会话，连接到以多情景模式运行的 ASA。

与 Radius 服务器的 IPv6 连接

ASA 9.9.2 现在支持到外部 AAA Radius 服务器的 IPv6 连接。

实现 BVI 支持的 Easy VPN 增强功能

Easy VPN 已经增强，可支持桥接虚拟接口 (BVI) 作为其内部安全接口，您现在可以直接配置要用作内部安全接口的接口。否则，ASA 会根据安全级别选择其内部安全接口。

此外，如果在 BVI 上启用了 VPN management-access，现在可以在该 BVI 上配置管理服务（例如 telnet、http 和 ssh）。对于非 VPN 管理访问，应在网桥组成员接口上继续配置这些服务。

新增或修改的命令：vpnclient secure interface [interface-name]、https、telnet、ssh、management-access

分布式 VPN 会话的改进

• 改善了用于均衡分布式站点间 VPN 主用和备份会话的主用会话重新分发逻辑。此外，可针对由管理员输入的单一 cluster redistribute vpn-sessiondb 命令，在后台重复执行均衡进程多达八次。

• 改善了跨集群动态反向路由注入 (RRI) 的处理。

高可用性和扩展性功能

内部故障后自动重新加入集群

过去，许多错误条件导致集群设备从集群中移除，并且在解决问题后需要手动重新加入集群。现在，设备默认将尝试以下列时间间隔自动重新加入集群：5 分钟、10 分钟以及 20 分钟。这些值是可配置的。内部故障包括：应用程序同步超时、不一致的应用程序状态等。

新增或修改的命令：health-check system auto-rejoin、show cluster info auto-join

新增或修改的菜单项：配置 > 设备管理 > 高可用性和可扩展性 > ASA 集群 > 自动重新加入

ASA 5000-X 系列可配置防反跳时间，以将接口标记为发生故障

您现在可以在 ASA 5500-X 系列上配置 ASA 将接口视为发生故障并将设备从集群中删除之前经过的防反跳时间。此功能可以加快接口故障检测的速度。请注意，如果配置的防反跳时间较低，会增加误报几率。在发生接口状态更新时，ASA 会等待指定的毫秒数，然后才将接口标记为发生故障，并将设备从集群中删除。默认的防反跳时间是 500 毫秒，该时间的范围是 300 毫秒至 9 秒。此功能之前在 Firepower 4100/9300 上可用。

新增或修改的命令：health-check monitor-interface debounce-time

新增或修改的菜单项：配置 > 设备管理 > 高可用性和可扩展性 > ASA 集群

显示集群可靠传输协议消息的传输相关统计信息

现在，您可以查看每台设备的集群可靠传输缓冲区使用情况，因此您可以确定在控制平面的缓冲区已满时发生的丢包问题。

新增或修改的命令：show cluster info transport cp detail

显示对等设备的故障切换历史记录

现在，您可以使用 details 关键字查看对等设备的故障切换历史记录。这包括故障切换状态更改和发生状态更改的原因。

新增或修改的命令：show failover

接口功能

单情景模式下的唯一 MAC 地址生成

现在，您可以在单情景模式下启用 VLAN 子接口的唯一 MAC 地址生成。正常情况下，子接口与主接口共享同一 MAC 地址。由于 IPv6 链路本地地址是基于 MAC 地址生成的，因此，此功能将允许唯一的 IPv6 链路本地地址。

新增或修改的命令：mac-address auto

无 ASDM 支持。

同样适用于 9.8(3) 和 9.8(4)。

管理功能

RSA 密钥对支持 3072 位密钥

您现在可以将模数长度设为 3072。

新增或修改的命令：crypto key generate rsa modulus

新增或修改的菜单项：配置 > 设备管理 > 证书管理 > 身份证书

FXOS 引导程序配置现在会设置启用密码

在 Firepower 4100/9300 上部署 ASA 时，引导程序配置中的密码设置现在会设置启用密码，以及管理员用户密码。需要 FXOS 版本 2.3.1。

监控和故障排除功能

SNMP IPv6 支持

ASA 现在支持基于 IPv6 的 SNMP，包括通过 IPv6 与 SNMP 服务器通信，允许通过 IPv6 执行查询和陷阱，以及支持现有 MIB 使用 IPv6 地址。我们添加了以下新的 SNMP IPv6 MIB 对象，如 RFC 8096 中所述。

• ipv6InterfaceTable (OID: 1.3.6.1.2.1.4.30) - 包含每个接口 IPv6 特定的信息。

• ipAddressPrefixTable (OID:1.3.6.1.2.1.4.32) - 包含由此实体获知的所有前缀。

• ipAddressTable (OID: 1.3.6.1.2.1.4.34) - 包含与实体接口相关的寻址信息。

• ipNetToPhysicalTable (OID: 1.3.6.1.2.1.4.35) - 包含从 IP 地址到物理地址的映射。

新增或修改的命令：snmp-server host

新增或修改的菜单项：配置 > 设备管理 > 管理访问 > SNMP

利用条件调试来排除单一用户会话故障

条件调试功能现在可帮助您根据设置的筛选器条件来验证特定 ASA VPN 会话的日志。针对 IPv4 和 IPv6 子网提供“any, any”支持。

防火墙功能

Ethertype 访问控制列表更改

EtherType 访问控制列表现在支持以太网 II IPX (EII IPX)。此外，在 DSAP 关键字中增加了新关键字，以支持通用 DSAP 值：BPDU (0x42)、IPX (0xE0)、Raw IPX (0xFF) 和 ISIS (0xFE)。因此，现有的使用 BPDU 或 ISIS 关键字的 EtherType 访问控制条目将被自动转换为使用 DSAP 规范，并且 IPX 的规则将被转换为 3 条规则（DSAP IPX、DSAP Raw IPX 和 EII IPX）。此外，使用 IPX 作为 EtherType 值的数据包捕获已被弃用，因为 IPX 对应于 3 个单独的 EtherType。

新增或修改的命令：access-list ethertype 添加了新的关键字 eii-ipx 和 dsap {bpdu | ipx | isis | raw-ipx} ；capture ethernet-type 不再支持关键字 ipx 。

新增或修改的菜单项：配置 > 防火墙 > Ethertype 规则。

VPN 功能

通过 Firepower 9300 上的集群支持分布式站点到站点 VPN

Firepower 9300 上的 ASA 集群在分布式模式下支持站点到站点 VPN。使用分布式模式能够在 ASA 集群的成员之间分布多个站点间 IPsec IKEv2 VPN 连接，而不仅分布在控制设备上（如集中模式一样）。这将在集中式 VPN 功能的基础上大幅扩展 VPN 支持，并提供高可用性。分布式站点间 VPN 在最多由两个机箱组成的集群上运行，每个机箱最多包含三个模块（集群成员总共包含六个），每个模块最多支持 6K 个活动会话（总共 12K 个），最多支持大约 36K 个活动会话（总共 72K 个）。

新增或修改的命令：cluster redistribute vpn-sessiondb、show cluster vpn-sessiondb、vpn mode、show cluster resource usage、show vpn-sessiondb、show connection detail、show crypto ikev2

新增或修改的菜单项：

监控 > ASA 集群 > ASA 集群 > VPN 集群摘要

监控 > VPN > VPN 统计信息 > 会话

配置 > 设备管理 > 高可用性和可扩展性 > ASA 集群

向导 > 站点到站点

监控 > VPN > VPN 统计信息 > 会话

监控 > ASA 集群 > ASA 集群 > VPN 集群摘要

监控 > ASA 集群 > ASA 集群 > 系统资源图 > CPU/内存

监控 > 日志记录 > 实时日志查看器

高可用性和扩展性功能

Microsoft Azure 中 ASAv 的主用/备份高可用性

无状态主用/备份解决方案，允许主用 ASAv 故障触发系统自动执行故障切换到 Microsoft Azure 公共云中的备份 ASAv。

新增或修改的命令：failover cloud

新增或修改的菜单项：配置 > 设备管理 > 高可用性和可扩展性 > 故障切换

监控 > 属性 > 故障切换 > 状态

监控 > 属性 > 故障切换 > 历史记录

同样适用于 9.8(1.200) 。

改进了 Firepower 机箱运行状况检查故障检测

现在，您可以为机箱运行状况检查配置较低的保持时间：100 毫秒。以前的最小值为 300 毫秒。

新增或修改的命令：app-agent heartbeat interval

无 ASDM 支持。

站点间集群冗余

站点间冗余可确保流量的备份所有者将始终位于不同于该所有者的另一站点。此功能可防范站点发生故障。

新增或修改的命令：site-redundancy、show asp cluster counter change、show asp table cluster chash-table、show conn flag

新增或修改的菜单项：配置 > 设备管理 > 高可用性和可扩展性 > ASA 集群

cluster remove unit 命令行为与 no enable 行为匹配

现在，cluster remove unit 命令将从集群中删除一个设备，直到您手动重新启用集群或重新加载，类似于 no enable 命令。以前，如果从 FXOS 重新部署了引导程序配置，则集群会重新启用。现在，即使重新部署了引导程序配置，仍然保持禁用状态。但是，重新加载 ASA 将重新启用集群。

cluster remove unit

新增或修改的菜单项：配置 > 设备管理 > 高可用性和可扩展性 > ASA 集群

管理、监控和故障排除功能

SSH 版本 1 已弃用

SSH 版本 1 已弃用，未来不再发行。默认设置已从 SSH v1 和 v2 更改为仅 SSH v2。

新增/修改的命令：ssh version

新建/修改的菜单项：

• 配置 > 设备管理 > 管理访问 > ASDM/HTTPS/Telnet/SSH

增强了数据包跟踪器和数据包捕获功能

数据包跟踪器通过以下功能得到增强：

• 在集群设备之间传递数据包时跟踪该数据包。

• 允许模拟数据包传出 ASA。

• 绕过对模拟数据包的安全检查。

• 将模拟数据包视为 IPSec/SSL 解密数据包。

数据包捕获通过以下功能得到增强：

• 在解密后捕获数据包。

• 捕获跟踪并将其保留在永久列表中。

新增或修改的命令：cluster exec capture test trace include-decrypted、cluster exec capture test trace persist、cluster exec clear packet-tracer、cluster exec show packet-tracer id、cluster exec show packet-tracer origin、packet-tracer persist、 packet-tracer transmit、packet-tracer decrypted、packet-tracer bypass-checks

新增或修改的菜单项：

工具 > 数据包跟踪器

添加了集群捕获字段以支持以下选项：解密、保持、绕行检查、传输

在所有会话下拉列表下面的筛选依据视图中添加了两个新选项：来源和来源 ID

监控 > VPN > VPN 统计信息 > 数据包跟踪器和捕获

在“数据包捕获向导”菜单项中添加了 ICMP 捕获字段：向导 > 数据包捕获向导

添加了两个选项包括已解密和保持，以支持 ICMP 捕获。

VPN 功能

将子域添加到 webVPN HSTS

允许域所有者提交应包含在网络浏览器的 HSTS 预载列表中的那些域。

新增/修改的命令：hostname(config-webvpn) includesubdomains

新建/修改的菜单项：

配置 > 远程访问 VPN > 无客户端 SSL VPN 访问 > 高级 > 代理 > 启用 HSTS 子域字段

同样适用于 9.12(1)。

管理功能

允许基于非浏览器的 HTTPS 客户端访问 ASA

您可以允许基于非浏览器的 HTTPS 客户端访问 ASA 上的 HTTPS 服务。默认情况下，允许 ASDM、CSM 和 REST API。许多专业客户端（例如，python 库、curl 和 wget）不支持跨站请求伪造 (CSRF) 基于令牌的身份验证，因此，您需要特别允许这些客户端使用 ASA 基本身份验证方法。出于安全考虑，您应该只允许所需的客户端。

新增/修改的命令：http server basic-auth-client

新增/修改的屏幕。

配置 > 设备管理 > 管理访问 > HTTP 非浏览器客户端支持

同样适用于 9.12(1)。

show tech-support 包括其他输出

show tech-support 的输出已得到增强，可以显示以下内容的输出：

• show ipv6 interface

• show aaa-server

• show fragment

新增/修改的命令：show tech-support

同样适用于 9.12(1)。

支持在 SNMP 审核操作期间启用和禁用可用内存和已用内存统计信息的结果

为避免 CPU 资源的过度占用，您可以启用和禁用通过 SNMP 审核操作收集的可用内存和已用内存统计数据的查询。

新增/修改的命令：snmp-server enable oid

新增或修改的菜单项：配置 > 设备管理 > 管理访问 > SNMP

同样适用于 9.10(1)。

平台功能

现在，Firepower 2100 主用 LED 在备用模式下点亮琥珀色指示灯

以前，主用指示灯在备用模式下处于未点亮状态。

防火墙功能

支持从直接转发代理登录页面删除注销按钮。

如果您配置直接转发代理获取用户身份信息（AAA 身份验证侦听器），您现在可以从页面中删除注销按钮。这在用户从 NAT 设备后面连接并且无法按 IP 地址进行区分的情况下非常有用。当一个用户注销时，它会注销该 IP 地址的所有用户。

新增/修改的命令：aaa authentication listener no-logout-button 。

无 ASDM 支持。

Trustsec SXP 连接可配置删除抑制计时器

默认 SXP 连接抑制计时器为 120 秒。现在，您可以配置此计时器，范围介于 120 到 64000 秒之间。

新增/修改的命令：cts sxp delete-hold-down period 、show cts sxp connection brief 和 show cts sxp connections

无 ASDM 支持。

VPN 功能

对传统 SAML 身份验证的支持

如果您部署的 ASA 包含对 CSCvg65072 的修复，则默认的 SAML 行为是使用嵌入式浏览器，而这在 AnyConnect 4.4 或 4.5 上不受支持。因此，要继续使用 AnyConnect 4.4 或 4.5，您必须启用传统外部浏览器 SAML 身份验证方法。由于安全限制，只能将此选项用作迁移至 AnyConnect 4.6 的临时计划的一部分。此选项在近期将会弃用。

新增/修改的命令：saml external-browser

新建/修改的菜单项：

配置 > 远程接访问 VPN > 网络（客户端）访问 > AnyConnect 连接配置文件页面 > 连接配置文件区域 > 添加按钮 > 添加 AnyConnect 连接配置文件对话框

配置 > 远程访问 VPN > 无客户端 SSL VPN 访问 > 连接配置文件 > 页面 > 连接配置文件区域 > 添加按钮 > 添加无客户端 SSL VPN 连接配置文件对话框

新增/修改的选项：SAML 外部浏览器复选框

接口功能

单情景模式下的唯一 MAC 地址生成

现在，您可以在单情景模式下启用 VLAN 子接口的唯一 MAC 地址生成。正常情况下，子接口与主接口共享同一 MAC 地址。由于 IPv6 链路本地地址是基于 MAC 地址生成的，因此，此功能将允许唯一的 IPv6 链路本地地址。

新增或修改的命令：mac-address auto

无 ASDM 支持。

同样适用于 9.9 (2) 和更高版本。

防火墙功能

Ethertype 访问控制列表更改

EtherType 访问控制列表现在支持以太网 II IPX (EII IPX)。此外，在 DSAP 关键字中增加了新关键字，以支持通用 DSAP 值：BPDU (0x42)、IPX (0xE0)、Raw IPX (0xFF) 和 ISIS (0xFE)。因此，现有的使用 BPDU 或 ISIS 关键字的 EtherType 访问控制条目将被自动转换为使用 DSAP 规范，并且 IPX 的规则将被转换为 3 条规则（DSAP IPX、DSAP Raw IPX 和 EII IPX）。此外，使用 IPX 作为 EtherType 值的数据包捕获已被弃用，因为 IPX 对应于 3 个单独的 EtherType。

9.8(2.9) 和其他临时版本中支持此功能。有关详细信息，请参阅 CSCvf57908。

修改了以下命令：access-list ethertype 添加了新的关键字 eii-ipx 和 dsap {bpdu | ipx | isis | raw-ipx} ；capture ethernet-type 不再支持关键字 ipx 。

修改了以下菜单项：配置 > 防火墙 > Ethertype 规则。

平台功能

适用于 Firepower 2100 系列的 ASA

引入了适用于 Firepower 2110、2120、2130 和 2140 的 ASA。与 Firepower 4100 和 9300 类似，Firepower 2100 运行基本 FXOS 操作系统，然后作为一项应用运行 ASA 操作系统。与 Firepower 4100 和 9300 相比，Firepower 2100 实施可以将 FXOS 更紧密地与 ASA 结合起来（精简了 FXOS 功能、单个设备映像捆绑包、对 ASA 和 FXOS 的简易管理访问）。

FXOS 拥有适用于接口的配置硬件设置，包括创建 EtherChannel 以及 NTP 服务、硬件监控和其他基本功能。您可以使用 Firepower 机箱管理器或 FXOS CLI 进行此配置。ASA 拥有其他所有功能，包括智能许可（不同于 Firepower 4100 和 9300）。ASA 和 FXOS 在管理1/1 接口上都有自己的 IP 地址，您可以从任何数据接口配置 ASA 和 FXOS 实例的管理。

引入了以下命令：connect fxos、fxos https、fxos snmp、fxos ssh、ip-client

引入了以下菜单项：

配置 > 设备管理 > 管理访问 > FXOS 远程管理

美国国防部统一功能批准的产品列表

更新了 ASA，以满足统一功能批准的产品列表 (UC APL) 要求。在此版本中，输入 fips enable 命令时，ASA 将重新加载。在启用故障切换之前，两个故障切换对必须处于相同的 FIPS 模式下。

修改了以下命令：fips enable

ASAv 对 Amazon Web Services M4 实例的支持

现在，可以将 ASAv 作为 M4 实例部署。

未修改任何命令。

未修改任何菜单项。

ASAv5 1.5 GB RAM 功能

从版本 9.7(1) 开始，ASAv5 可能会遇到内存耗尽的情况，这样，某些功能（如启用 AnyConnect 或将文件下载到 ASAv）会失败。现在，您可以将 1.5 GB（从 1 GB 开始增加）的 RAM 分配给 ASAv5。

未修改任何命令。

未修改任何菜单项。

VPN 功能

HTTP 严格传输安全 (HSTS) 信头支持

HSTS 可保护网站免受协议降级攻击和无客户端 SSL VPN 上的 cookie 劫持。它允许 Web 服务器声明网络浏览器（或其他随附的用户代理）只应使用安全的 HTTPS 连接与它进行交互，而不能通过不安全的 HTTP 协议。HSTS 是 IETF 标准跟踪协议，在 RFC 6797 中指定。

引入了以下命令：hsts enable, hsts max-age age_in_seconds

修改了以下菜单项：配置 > 远程访问 VPN > 无客户端 SSL VPN 访问 > 高级 > 代理

接口功能

ASAv50 对 VLAN 的支持

现在，ASAv50 在 SR-IOV 接口的 ixgbe-vf vNIC 上支持 VLAN。

未修改任何命令。

未修改任何菜单项。

高可用性和扩展性功能

Microsoft Azure 中 ASAv 的主用/备份高可用性

无状态主用/备份解决方案，允许主用 ASAv 故障触发系统自动执行故障切换到 Microsoft Azure 公共云中的备份 ASAv。

引入了以下命令：failover cloud

无 ASDM 支持。

平台功能

ASAv50 平台

ASAv 虚拟平台添加了高端性能 ASAv50 平台，该平板台提供了 10 Gbps 防火墙吞吐量级别。ASAv50 需要仅在 Vmware 和 KVM 上受支持的 ixgbe-vf vNIC。

ASAv 平台上的 SR-IOV

ASAv 虚拟平台支持单个根 I/O 虚拟化 (SR-IOV) 接口，允许多个虚拟机共享主机内的一个 PCIe 网络适配器。ASAv SR-IOV 支持仅在 VMware、KVM 和 AWS 上提供。

ASAv 现在支持自动 ASP 负载均衡

过去只能手动启用和禁用 ASP 负载均衡。

修改了以下命令：asp load-balance per-packet auto

修改了以下菜单项：配置 > 设备管理 > 高级 > ASP 负载均衡

防火墙功能

支持设置 TLS 代理服务器 SSL 密码套件

现在可在 ASA 作为 TLS 代理服务器时设置 SSL 密码套件。过去，您只能在配置 > 设备管理 > 高级 > SSL 设置 > 加密页面中使用 ssl cipher 命令为 ASA 设置全局设置。

引入了以下命令：server cipher-suite

修改了以下菜单项：配置 > 防火墙 > 统一通信 > TLS 代理、“添加/编辑”对话框、服务器配置页面。

ICMP 的全局超时错误

现在可以设置 ASA 在 接收 ICMP echo-reply 数据包后后、删除 ICMP 连接之前的空闲时间。如果禁用了此超时（默认），并且启用了 ICMP 检查，则 ASA 将在接收 echo-reply 后立即删除 ICMP 连接；因此将丢弃为该连接（现已关闭）生成的任何 ICMP 错误。此超时可以延迟删除 ICMP 连接，使您能够接收重要的 ICMP 错误。

添加了以下命令：timeout icmp-error

修改了以下菜单项：配置 > 防火墙 > 高级 > 全局超时。

高可用性和扩展性功能

改进了集群设备运行状态检查故障检测

现在可为设备运行状态检查配置更短的保持时间：最小值为 0.3 秒。过去的最小值为 0.8 秒。此功能可将设备运行状态检查消息传递方案从控制平面中的 keepalives 更改为数据平面中的 heartbeats。使用心跳设置可改进集群的可靠性和响应能力，使其不易受控制平面 CPU 占用和调度延迟所影响。请注意，配置较低的保持时间值会增加集群控制链路消息活动。我们建议您在配置低保持时间值之前先分析网络状况；例如，确保在保持时间/3 范围内通过集群控制链路返回从一台设备到另一台设备的 ping，因为在一个保持时间间隔内有三次心跳消息。如果在将保持时间设置为 0.3 - 0.7 后对 ASA 软件降级，则此设置将恢复为默认的 3 秒，因为新设置不受支持。

修改了以下命令：health-check holdtime、show asp drop cluster counter、show cluster info health details

修改了以下菜单项：配置 > 设备管理 > 高可用性和可扩展性 > ASA 集群

Firepower 4100/9300 机箱 可配置防反跳时间，以将接口标记为发生故障

您现在可以配置 ASA 将接口视为发生故障并将设备从集群中删除之前经过的防反跳时间。此功能可以加快接口故障检测的速度。请注意，如果配置的防反跳时间较低，会增加误报几率。在发生接口状态更新时，ASA 会等待指定的毫秒数，然后才将接口标记为发生故障，并将设备从集群中删除。默认的防反跳时间是 500 毫秒，该时间的范围是 300 毫秒至 9 秒。

新增或修改的命令：health-check monitor-interface debounce-time

新增或修改的菜单项：配置 > 设备管理 > 高可用性和可扩展性 > ASA 集群

VPN 功能

虚拟隧道接口 (VTI) 现在支持 BGP（静态 VTI）。现在可在独立和高可用性模式下使用 IKEv2。可以通过在 IPsec 配置文件中设置信任点来使用基于证书的身份验证。还可以使用 access-group 命令，将 VTI 上的访问列表应用于过滤入口流量。

在 IPsec 配置文件配置模式下引入了以下命令：set trustpoint。

在以下屏幕中引入了几个选项，用于为基于证书的身份验证选择信任点：

配置 > 站点到站点 VPN > 高级 > IPSec 协议（转换集） > IPSec 配置文件 > 添加

默认情况下，将启用移动 IKEv2 (MobIKE)

作为远程访问客户端运行的移动设备在移动时需要透明 IP 地址更改。ASA 上支持 MobIKE 可以不必删除当前的安全关联 (SA) 即可更新当前的 IKE SA。MobIKE 为“始终开启”。

引入了以下命令：ikev2 mobike-rrc。用于启用/禁用返回路由能力检查。

SAML 2.0 SSO 更新

SAML 请求中签名的默认签名方法从 SHA1 更改为 SHA2，并且可以配置首选哪种签名方法：rsa-sha1、rsa-sha256、rsa-sha384 或 rsa-sha512。

更改了 webvpn 模式下的以下命令：可以使用值来配置 saml idp signature。默认设置仍为“禁用”。

我们对以下菜单项进行了更改：配置 > 远程访问 VPN > 无客户端 SSL VPN 访问 > 高级 > 单点登录服务器 > 添加。

我们在 webvpn 模式下更改了以下命令：pre-fill-username 和 secondary-pre-fill-username 可以使用 client 值配置。

AAA 功能

登录历史

默认情况下，登录历史记录将保存 90 天。可以禁用此功能，也可更改持续时间，最多 365 天。仅当为一种或多种管理方法（SSH、ASDM、Telnet 等）启用本地 AAA 身份验证时，此功能才适用于本地数据库中的用户名。

引入了以下命令：aaa authentication login-history、show aaa login-history

引入了以下菜单项：配置 > 设备管理 > 用户/AAA > 登录历史记录

禁止重复使用密码以及禁止使用与某一用户名匹配的密码的密码策略实施

现在，可以禁止重复使用过去的密码（最多 7 代），还可以禁止使用与某一用户名匹配的密码。

引入了以下命令：password-history、password-policy reuse-interval、password-policy username-check

引入了以下菜单项：配置 > 设备管理 > 用户/AAA > 密码策略

对使用 SSH 公钥身份验证的用户和具有密码的用户分别进行单独的身份验证

在 9.6(2) 以前的版本中，您在启用 SSH 公钥身份验证 (ssh authentication ) 时，可以不必明确启用基于本地用户数据库的 AAA SSH 身份验证 (aaa authentication ssh console LOCAL )。在 9.6(2) 中，ASA 要求明确启用 AAA SSH 身份验证。在此版本中，您不再需要明确启用 AAA SSH 身份验证；当您为用户配置 ssh authentication 命令时，默认情况下会为使用此类型身份验证的用户启用本地身份验证。此外，在明确配置 AAA SSH 身份验证时，此配置将仅适用于具有密码的用户名，并且可以使用任何 AAA 服务器类型（例如 aaa authentication ssh console radius_1 ）。例如，某些用户可以使用公钥身份验证（使用本地数据库），而其他用户则可配合使用密码和 RADIUS。

未修改任何命令。

未修改任何菜单项。

同样适用于 9.6(3) 版本。

监控和故障排除功能

在 ASA 崩溃时保存当前运行的数据包捕获

过去，如果 ASA 崩溃，则活动数据包捕获将丢失。现在，在崩溃时会使用文件名 [context_name.]capture_name.pcap 将数据包捕获保存到磁盘 0。

未修改任何命令。

未修改任何菜单项。

管理功能

ASDM 升级工具的新后台服务

ASDM 为工具 > 检查 ASA/ASDM 升级使用新后台服务。未来，思科会终止 ASDM 早期版本使用的旧版服务。

平台功能

使用集成路由和桥接的 ASA 5506-X 系列的新默认配置

ASA 5506-X 系列 将使用一种新默认配置。集成桥接和路由功能为使用外部第 2 层交换机提供了一种替代方法。对于替换 ASA 5505（其中包含硬件交换机）的用户，无需使用其他硬件即可借助此功能将 ASA 5505 替换为 ASA 5506-X 或其他 ASA 型号。

新默认配置包括：

• 千兆以太网 1/1 上的外部接口、来自 DHCP 的 IP 地址

• 内部网桥组 BVI 1，包含 GigabitEthernet ½ (inside1) 至 1/8 (inside7)，IP地址 192.168.1.1

• 内部 --> 外部流量

• 内部 ---> 内部流量（成员接口）

• (ASA 5506W-X) 千兆以太网 1/9 上的 wifi 接口、IP 地址 192.168.10.1

• (ASA 5506W-X) WiFi <--> 内部，WiFi --> 外部流量

• 内部和 wifi 上的客户端的 DHCP 接入点本身及其所有客户端均使用 ASA 作为 DHCP 服务器。

• Management 1/1 接口启用，但未进行其他配置。ASA FirePOWER 模块随后可以使用此接口接入 ASA 内部网络，并将内部接口用作通向互联网的网关。

• ASDM 接入 - 允许内部和 wifi 主机。

• NAT - 从内部、wifi 和管理到外部的所有流量的接口 PAT。

若要升级，您可以使用 configure factory-default 命令清除配置并应用默认值，也可以手动配置 BVI 和网桥组来满足需求。请注意，要使网桥组内能够轻松地进行通信，您需要启用 same-security-traffic permit inter-interface 命令（对于 ASA 5506W-X 默认配置，此命令已存在）。

ISA 3000 上支持报警端口

ISA 3000 支持两个报警输入接口和一个报警输出接口。外部传感器（如门禁传感器）可以连接到报警输入。可以将蜂音器等外部设备连接到报警输出接口。触发的报警通过两个 LED、系统日志、SNMP 陷阱以及连接到报警输出接口的设备传达。您可以配置外部报警说明。另外，也可以指定外部和内部报警的严重性和触发器。可为中继、监控和日志记录配置各种报警。

引入了以下命令：alarm contact description、alarm contact severity、alarm contact trigger、alarm facility input-alarm、alarm facility power-supply rps、alarm facility temperature、alarm facility temperature high、alarm facility temperature low、clear configure alarm、clear facility-alarm output、show alarm settings、show environment alarm-contact。

引入了以下菜单项：

配置 > 设备管理 > 警报端口 > 报警触点

配置 > 设备管理 > 警报端口 > 冗余电源

配置 > 设备管理 > 警报端口 > 温度

监控 > 属性 > 警报 > 警报设置

监控 > 属性 > 警报 > 报警触点

监控 > 属性 > 警报 > 设施警报状态

ASAv10 上的 Microsoft Azure 安全中心支持

Microsoft Azure 是一个使用专用 Microsoft Hyper V 虚拟机监控程序的公共云环境。Microsoft Azure 安全中心是在 Azure 之上的 Microsoft 协调和管理层，可以简化高度安全的公共云基础设施的部署。通过将 ASAv 集成到 Azure 安全中心，系统可以作为防火墙选项来提供 ASAv 以保护 Azure 环境。

ISA 3000 的精确时间协议 (PTP)

ISA 3000 支持 PTP，它是用于某一网络中分布的各个节点的时间同步协议。由于该协议具有硬件时间戳功能，因此它可以提供比其他时间同步协议（如 NTP）更高的精确度。ISA 3000 支持 PTP 转发模式，以及单步、端到端透明时钟。我们向默认配置添加了以下命令，以确保不会将 PTP 流量发送到 ASA FirePOWER 模块进行检查。如果您有现有部署，则需手动添加这些命令：

object-group service bypass_sfr_inspect
  service-object udp destination range 319 320
access-list sfrAccessList extended deny object-group bypass_sfr_inspect any any

引入了以下命令：debug ptp、ptp domain、ptp mode e2etransparent、ptp enable、show ptp clock、show ptp internal-info、show ptp port

引入了以下菜单项：

配置 > 设备管理 > PTP

监控 > 属性 > PTP

ISA 3000 的自动备份和自动恢复

可以使用 pre-set parameters in the backup 和 restore 命令中的预设参数来启用自动备份和/或自动恢复功能。这些功能的使用情形包括从外部介质的初始配置；设备更换；回滚到某一可操作状态。

引入了以下命令：backup-package location、backup-package auto、show backup-package status、show backup-package summary

无 ASDM 支持。

防火墙功能

支持 SCTP 多流重新排序、重组和分段。支持 SCTP 多宿主，其中 SCTP 终端具有一个以上的 IP 地址。

现在，系统完全支持 SCTP 多流重新排序、重组和分段，由此改善了 SCTP 流量的 Diameter 和 M3UA 检测效果。该系统还支持 SCTP 多宿主，其中每个 SCTP 终端都有一个以上的 IP 地址。对于多宿主，该系统可以打开辅助地址的针孔，使您无需编写访问规则即可允许它们访问。必须将每个 SCTP 终端限制为 3 个 IP 地址。

修改了以下命令的输出：show sctp detail 。

未修改任何菜单项。

改进了 M3UA 检查。

M3UA 检查现在支持状态化故障切换、半分布式集群和多宿主。另外，您还可以配置严格应用服务器进程 (ASP) 状态验证和各种消息验证。对于状态故障切换和集群，需要使用严格 ASP 状态验证。

添加或修改了以下命令：clear service-policy inspect m3ua session [assocID id] 、match port sctp 、message-tag-validation 、show service-policy inspect m3ua drop 、show service-policy inspect m3ua endpoint 、show service-policy inspect m3ua session 、show service-policy inspect m3ua table 、strict-asp-state 、timeout session 。

修改了以下菜单项：配置 > 防火墙 > 对象 > 检测映射 > M3UA“添加/编辑”对话框。

TLS 代理和思科统一通信管理器 10.5.2 中支持 TLSv1.2。

现在，您可以将包含 TLS 代理的 TLSv1.2 与思科 Unified Communications Manager 10.5.2 一起用于加密 SIP 或 SCCP 检查。TLS 代理支持作为 client cipher-suite 命令的一部分添加的附加 TLSv1.2 密码套件。

修改了以下命令：client cipher-suite

未修改任何菜单项。

集成路由和桥接

集成路由和桥接提供了在网桥组和路由接口之间路由的功能。网桥组指 ASA 桥接（而非路由）的接口组。ASA 并非真正的网桥，因为 ASA 仍继续充当防火墙：控制接口之间的访问控制，并执行所有常规防火墙检查。以前，您只能在透明防火墙模式下配置网桥组，而无法在网桥组之间路由。通过此功能，可以在路由防火墙模式下配置网桥组，并在网桥组之间以及网桥组与路由接口之间进行路由。网桥组使用网桥虚拟接口 (BVI) 作为网桥组的网关，由此参与路由。如果 ASA 上还有额外接口可分配给网桥组，集成路由和桥接可提供替代使用外部第 2 层交换机的其他方案。在路由模式下，BVI 可以是已命名接口，并可独立于成员接口参与某些功能，例如访问规则和 DHCP 服务器。

路由模式不支持透明模式下支持的以下功能：多情景模式、ASA 集群。以下功能在 BVI 上也不受支持：动态路由和组播路由。

修改了以下命令：access-group、access-list ethertype、arp-inspection、dhcpd、mac-address-table static、mac-address-table aging-time、mac-learn、route、show arp-inspection、show bridge-group、show mac-address-table、show mac-learn

修改了以下菜单项：

配置 > 设备设置 > 接口设置 > 接口

配置 > 设备设置 > 路由 > 静态路由

配置 > 设备管理 > DHCP > DHCP 服务器

配置 > 防火墙 > 访问规则

配置 > 防火墙 > EtherType 规则

VM 属性

您可以根据与 VMware vCenter 管理的 VMware ESXi 环境中的一个或多个虚拟机 (VM) 相关联的属性来定义网络对象，以筛选流量。您可以定义访问控制列表 (ACL)，以便将策略分配给来自共享一项或多项属性的 VM 组的流量。

添加了以下命令：show attribute 。

添加了以下菜单项：

配置 > 防火墙 > VM 属性代理

内部网关协议的过时路由超时

现在您可以配置超时，用于删除内部网关协议（如 OSPF）的陈旧路由。

添加了以下命令：timeout igp stale-route 。

修改了以下菜单项：配置 > 防火墙 > 高级 > 全局超时。

对象组搜索的网络对象限制。

您可以使用 object-group-search access-control 命令来进行对象组搜索，以减少搜索访问规则所需的内存。已启用的对象组搜索不会展开网络或服务对象，而是根据这些组定义搜索匹配的访问规则。

从此版本开始，设备将添加以下限制：对于每个连接，源和目标 IP 地址将根据网络对象进行匹配。如果将源地址匹配的对象数乘以目标地址匹配的对象数结果超过 10,000，则丢弃连接。

此检查是为了防止性能降低。配置规则以防止过多的匹配项。

路由功能

31 位子网掩码

对于路由接口，您可以在 31 位子网上为点对点连接配置 IP 地址。31 位子网只包含 2 个地址；通常，该子网中的第一个和最后一个地址预留用于网络和广播，因此，不可使用包含 2 个地址的子网。但是，如果您有点对点连接，并且不需要网络或广播地址，则 31 位子网是在 IPv4 中保留地址的有用方式。例如，2 个 ASA 之间的故障切换链路只需要 2 个地址；该链路一端传输的任何数据包始终由另一端接收，无需广播。您还可以拥有运行 SNMP 或系统日志的一个直连管理站。网桥组或组播路由的 BVI 不支持此功能。

修改了以下命令：ip address、http、logging host、snmp-server host、ssh

修改了以下菜单项：

配置 > 设备设置 > 接口设置 > 接口 > 添加接口 > 通用

高可用性和扩展性功能

Firepower 4100/9300 机箱上的 ASA 的站点间集群改进

现在，您可以在部署 ASA 集群时为每个 Firepower 4100/9300 机箱配置站点 ID。以前，您必须在 ASA 应用中配置站点 ID；此新功能简化了最初的部署。请注意，您不能再在 ASA 配置中设置站点 ID。此外，为了实现与站点间集群的最佳兼容性，我们建议您升级到 ASA 9.7(1) 和 FXOS 2.1.1，升级版包含对稳定性和性能的多项改进。

修改了以下命令：site-id

修改了以下菜单项：配置 > 设备管理 > 高可用性和扩展性 > ASA 集群 > 集群配置

导向器本地化：数据中心的站点间集群改进

为了提高性能和将流量保存在数据中心站点间集群的某个站点内，您可以启用导向器本地化。新的连接通常实现了负载均衡，并且由特定站点中的集群成员拥有。但是，ASA 会向任意 站点的成员分配导向器角色。导向器本地化支持其他导向器角色：与所有者同一站点的本地导向器和可位于任意站点的全局导向器。将所有者和导向器保留在同一站点可以提高性能。此外，如果原始所有者发生故障，本地导向器将在同一站点选择新的连接所有者。当集群成员收到属于其他站点的连接的数据包时，使用全局导向器。

引入或修改了以下命令：director-localization、show asp table cluster chash、show conn、show conn detail

修改了以下菜单项：配置 > 设备管理 > 高可用性和扩展性 > ASA 集群 > 集群配置

现在，可为故障切换配置接口链路状态监控轮询以加快检测速度

默认情况下，故障切换对中的每个 ASA 都会每隔 500 毫秒检查一次其接口的链接状态。现在，您可以在 300 毫秒和 799 毫秒之间配置轮询间隔；例如，如果将轮询时间设置为 300 毫秒，ASA 则可以更快地检测接口故障并触发故障切换。

引入了以下命令：failover polltime link-state

修改了以下菜单项：配置 > 设备管理 > 高可用性和可扩展性 > 故障切换 > 标准

Firepower 9300 和 4100 上支持使用双向转发检测 (BFD) 进行主用/备用故障切换运行状况监控

您可以针对 Firepower 9300 和 4100 上主用/备用对两台设备之间的故障切换运行状况检查启用双向转发检测 (BFD)。将 BFD 用于运行状况检查比默认健康检查方法更可靠，并且 CPU 占用更少。

引入了以下命令：failover health-check bfd

修改了以下菜单项：配置 > 设备管理 > 高可用性和可扩展性 > 故障切换 > 设置

VPN 功能

用于 IKEv2 静态加密映射的动态 RRI

如果为 crypto map 指定 dynamic ，在成功建立 IPSec 安全关联 (SA) 后将发生动态反向路由注入。根据商定的选择器信息添加路由。在删除 IPSec SA 后，这些路由会被删除。仅在基于静态加密映射的 IKEv2 上支持动态 RRI。

修改了以下命令：crypto map set reverse-route。

修改了以下菜单项：配置 > 远程访问 VPN > 网络（客户端）访问 > 高级 > IPSec > 加密映射 > 添加/编辑 > 隧道策略（加密映射）- 高级

ASA VPN 模块支持虚拟隧道接口 (VTI)

使用新的逻辑接口（称为“虚拟隧道接口 (VTI)”）可增强 ASA VPN 模块，该接口用于向对等体表示 VPN 隧道。这可通过将 IPSec 配置文件连接到隧道的每一端，为基于 VPN 的路由提供支持。使用 VTI 将不再需要配置静态加密映射访问列表并将其映射到接口。

引入了以下命令：crypto ipsec profile、interface tunnel、responder-only、set ikev1 transform-set、set pfs、set security-association lifetime、tunnel destination、tunnel mode ipsec、tunnel protection ipsec profile、tunnel source interface。

引入了以下菜单项：

配置 > 站点到站点 VPN > 高级 > IPSec 协议（转换集） > IPSec 配置文件

配置 > 站点到站点 VPN > 高级 > IPSec 协议（转换集） > IPSec 配置文件 > 添加 > 添加 IPSec 配置文件

配置 > 设备设置 > 接口设置 > 接口 > 添加 > VTI 接口

配置 > 设备设置 > 接口设置 > 接口 > 添加 > VTI 接口 > 通用

配置 > 设备设置 > 接口设置 > 接口 > 添加 > VTI 接口 > 高级

用于 AnyConnect 的基于 SAML 2.0 的 SSO

在专用网络中支持基于 SAML 2.0 的服务提供商 IdP。使用 ASA 作为用户与服务之间的网关，可利用受限的匿名 webvpn 会话来处理 IdP 上的身份验证，并转换 IdP 与用户之间的所有流量。

添加了以下命令：saml idp

修改了以下命令：debug webvpn saml、show saml metadata

修改了以下菜单项：配置 > 远程访问 VPN > 无客户端 SSL VPN 访问 > 高级 > 单点登录服务器 > 添加 SSO 服务器。

CMPv2

为了在无线 LET 网络中担当安全网关设备，ASA 现在支持使用证书管理协议 (CMPv2) 的某些管理功能。

修改了以下命令：enrollment url、keypair、auto-update、crypto-ca-trustpoint、show crypto ca server certificates、show crypto key、show tech-support

修改了以下菜单项：配置 > 远程访问 VPN > 证书管理 > 身份证书 > 添加身份证书

多证书身份验证

现在，您可以使用 AnyConnect SSL 和 IKEv2 客户端协议验证每个会话的多重证书。我们对汇聚身份验证协议进行了扩展，以便定义用于多证书身份验证的协议交换并将此功能用于两种会话类型。

修改了以下命令：authentication {[aaa] [certificate | multiple-certificate] | saml}

修改了以下菜单项：

配置 > 远程访问 VPN > 网络（客户端）访问 > 动态访问策略 > 编辑 AnyConnect 连接配置文件

配置 > 远程访问 VPN > 网络（客户端）访问 > AnyConnect 连接配置文件 > 编辑 AnyConnect 连接配置文件

增加隧道拆分路由限制

AC-SSL 和 AC-IKEv2 的隧道拆分路由限制从 200 增至 1200。IKEv1 限值仍为 200。

Chrome 上的智能隧道支持

现已创建了一种新方法，用于 Mac 和 Windows 设备上的 Chrome 浏览器中的智能隧道支持。Chrome 智能隧道扩展 (Chrome Smart Tunnel Extension) 取代了 Chrome 中不再支持的 Netscape 插件应用程序编程接口 (NPAPI)。如果您在没有安装该扩展的情况下单击了 Chrome 中启用了智能隧道的书签，则系统会将您重定向到 Chrome 网上应用店以获取该扩展。新的 Chrome 安装会将用户定向到 Chrome 网上应用店以下载该扩展。该扩展将从 ASA 下载运行智能隧道所需的二进制文件。除安装新扩展的进程之外，使用智能隧道时，常规书签和应用程序配置均不会改变。

无客户端 SSL VPN：所有 Web 界面的会话信息

现在，所有 Web 界面都会显示当前会话的详情，包括用于登录的用户名，以及当前分配的用户权限。这让用户可以了解当前用户会话，还可提高用户的安全性。

无客户端 SSL VPN：Web 应用会话的所有 cookie 的验证

现在，所有 Web 应用都将仅在验证所有与安全相关的 cookie 后才会授予访问权限。在每次请求中，都会在向用户会话授予访问权限之前验证每个具有身份验证令牌或会话 ID 的 cookie。如果同一个请求中有多个会话 cookie，将导致该连接被丢弃。验证失败的 cookie 将被视为无效，并会将该事件添加到审核日志。

AnyConnect：现在，AnyConnect VPN 客户端连接的组策略中支持最大连接时间警告间隔。

警告间隔是达到最大连接时间之前的时间间隔，系统会向用户显示一条消息，提示他们连接将被终止。有效的时间间隔为 1-30 分钟。默认值为 30 分钟。以前无客户端和站点间 VPN 连接支持此功能。

现在，以下命令可以用于 AnyConnect 连接：vpn-session-timeout alert-interval

修改了以下菜单项：配置 > 远程访问 VPN > 网络（客户端）访问 > 组策略 > 添加/编辑 > 通用 > 更多选项，添加了最大连接时间警报间隔字段

AAA 功能

用于 AAA 的 LDAP 和 TACACS+ 服务器支持 IPv6 地址

现在，您可以将 IPv4 或 IPv6 地址用于 LDAP 和 TACACS+ 服务器（用于 AAA）。

修改了以下命令：aaa-server host、test aaa-server

修改了以下菜单项：配置 > 设备管理 > 用户/AAA > AAA 服务器组 > 添加 AAA 服务器组

管理功能

对所有本地 username 和 enable 密码使用 PBKDF2 散列算法

配置中存储的所有长度的本地 username 和 enable 密码都将使用 PBKDF2 (基于密码的密钥派生函数 2) 散列算法。以前，32 个字符或以下的密码使用基于 MD5 的哈希处理方法。已经存在的密码仍将继续使用基于 MD5 的哈希值，但您输入的新密码除外。如需下载指南，请参阅一般操作配置指南中的“软件和配置”一章。

修改了以下命令：enable password、username

修改了以下菜单项：

配置 > 设备设置 > 设备名称/密码 > 启用密码

配置 > 设备管理 > 用户/AAA > 用户账户 > 添加/编辑用户账户 > 身份

许可功能

Firepower 4100/9300 机箱 上的故障切换对的许可变化

只有主用单元能够请求许可权利。过去，两种设备都需请求许可证授权。支持 FXOS 2.1.1。

监控和故障排除功能

traceroute 支持 IPv6 地址

traceroute 命令已修改为接受 IPv6 地址。

修改了以下命令：traceroute

修改了以下菜单项：工具 > Traceroute

对于网桥组成员接口，支持使用 Packet Tracer

现在，对于网桥组成员接口可以使用 Packet Tracer。

我们为 packet-tracer 命令添加了两个新选项：vlan-id 和 dmac

在 packet-tracer 菜单项“工具 > 数据包跟踪器”中添加了 VLAN ID 和目标 MAC 地址字段

系统日志服务器支持 IPv6 地址

现在，您可以使用 IPv6 地址来配置系统日志服务器，以便通过 TCP 和 UDP 记录和发送系统日志。

修改了以下命令：logging host、show running config、show logging

修改了以下菜单项：配置 > 设备管理 > 日志记录 > 系统日志服务器 > 添加系统日志服务器

SNMP OID 和 MIB

作为 ISA 3000 的精确时间协议 (PTP) 的组成部分，ASA 现在支持对应于端到端透明时钟模式的 SNMP MIB 对象支持以下SNMP MIB 对象：

• ciscoPtpMIBSystemInfo

• cPtpClockDefaultDSTable

• cPtpClockTransDefaultDSTable

• cPtpClockPortTransDSTable

手动停止和启动数据包捕获

您现在可以手动停止和开始捕获。

添加/修改的命令：capture stop

添加/修改的菜单项：向导 > 数据包捕获向导 > 运行捕获

添加/修改的选项：开始按钮、停止按钮

AAA 功能

对使用 SSH 公钥身份验证的用户和具有密码的用户分别进行单独的身份验证

在 9.6(2) 以前的版本中，您在启用 SSH 公钥身份验证 (ssh authentication ) 时，可以不必明确启用基于本地用户数据库的 AAA SSH 身份验证 (aaa authentication ssh console LOCAL )。在 9.6(2) 中，ASA 要求明确启用 AAA SSH 身份验证。在此版本中，您不再需要明确启用 AAA SSH 身份验证；当您为用户配置 ssh authentication 命令时，默认情况下会为使用此类型身份验证的用户启用本地身份验证。此外，在明确配置 AAA SSH 身份验证时，此配置将仅适用于具有密码的用户名，并且可以使用任何 AAA 服务器类型（例如 aaa authentication ssh console radius_1 ）。例如，某些用户可以使用公钥身份验证（使用本地数据库），而其他用户则可配合使用密码和 RADIUS。

未修改任何命令。

未修改任何菜单项。

同样适用于 9.8(1) 版本。

平台功能

用于 Firepower 4150 的 ASA

我们引入了用于 Firepower 4150 的 ASA。

需要 FXOS 2.0.1。

未添加或修改任何命令。

未修改任何菜单项。

ASAv 上的热插接口

当系统处于活动状态时，您可以在 ASAv 上添加和删除 Virtio 虚拟接口。当您将新接口添加到 ASAv 时，虚拟机会检测和调配该接口。当您删除现有接口时，虚拟机会释放与该接口关联的所有资源。热插接口仅限于在基于内核的虚拟机 (KVM) 虚拟机监控程序上的 Virtio 虚拟接口。

ASAv10 上提供 Microsoft Azure 支持

Microsoft Azure 是一个使用专用 Microsoft Hyper V 虚拟机监控程序的公共云环境。ASAv 在 Hyper V 虚拟机监控程序的 Microsoft Azure 环境中充当访客。Microsoft Azure 上的 ASAv 支持一个实例类型，即标准 D3。标准 D3 可支持 4 个 vCPU、14 GB 内存和 4 个接口。

同样适用于 9.5(2.200)。

ASAv 的管理 0/0 接口上提供通过流量支持

现在，您可以在 ASAv 的管理 0/0 接口上允许通过流量。过去，仅 Microsoft Azure 上的 ASAv 支持通过流量；现在所有 ASAv 都支持通过流量。您可以选择将此接口配置为仅管理接口，但默认情况下，没有进行此配置。

修改了以下命令：management-only

通用标准认证

更新了 ASA，以满足通用标准要求。请参阅下表中的各行，了解下列为 UCR 2013 认证添加的功能：

• ASDM 的 ASA SSL 服务器模式匹配

• SSL 客户端 RFC 6125 支持：

  • 安全系统日志服务器连接和智能许可连接的参考身份

  • ASA 客户端会检查服务器证书中的“Extended Key Usage”

  • 当 ASA 作为 TLS1.1 和 1.2 的 TLS 客户端时，进行相互身份验证

• PKI 调试消息

• 加密密钥归零验证

• 对 IKEv2 的 IPSec/ESP 传输模式支持

• 新的系统日志消息

防火墙功能

DNS over TCP 检测

您现在可以检测 DNS over TCP 流量 (TCP/53)。

添加了以下命令：tcp-inspection

修改了以下页面：配置 > 防火墙 > 对象 > 检查映射 > DNS 添加/编辑对话框

MTP3 用户适应性 (M3UA) 检测

现在，您可以检测 M3UA 流量，并根据点代码、服务指示器以及消息类和类型应用操作。

添加或修改了以下命令：clear service-policy inspect m3ua {drops | endpoint [IP_address]} 、inspect m3ua 、match dpc 、match opc 、match service-indicator 、policy-map type inspect m3ua 、show asp table classify domain inspect-m3ua 、show conn detail 、show service-policy inspect m3ua {drops | endpoint IP_address} 、ss7 variant 和 timeout endpoint

对于服务策略规则，添加或修改了以下页面：配置 > 防火墙 > 对象 > 检查映射 > M3UA；规则行为 > 协议检查选项卡

NAT (STUN) 检测的会话遍历实用程序

现在，您可以检测 WebRTC 应用程序的 STUN 流量，包括思科 Spark。检测会打开返回流量所需的针孔。

添加或修改了以下命令：inspect stun 、show conn detail 和 show service-policy inspect stun 。

我们向“添加/编辑服务策略”对话框的“规则行为”>“协议检查”选项卡添加了一个选项

思科云 Web 安全的应用层运行状况检查

现在，您可以配置思科云 Web 安全以在确定服务器是否正常时检查云 Web 安全应用的运行状况。通过检查应用运行状况，系统可以在主服务器响应 TCP 三向握手但无法处理请求时，故障切换到备用服务器。这可确保系统更加可靠。

添加了以下命令：health-check application url 和 health-check application timeout 。

修改了以下菜单项：配置 > 设备管理 > 云 Web 安全

路由汇聚的连接抑制超时。

现在，您可以配置在连接使用的路由不再存在或不活动时，系统应保持连接的时间。如果路由在此抑制期间未变为活动状态，连接将被释放。您可以减小抑制计时器，使路由汇聚更快速地进行。但是，默认值 15 秒适合大多数网络，可以防止路由摆动。

添加了以下命令：timeout conn-holddown

修改了以下菜单项：配置 > 防火墙 > 高级 > 全局超时

同样适用于 9.4(3)。

TCP 选项处理的更改

现在，当配置 TCP 映射时，您可以在数据包的 TCP 报头中为 TCP MSS 和 MD5 选项指定操作。此外，对 MSS、timestamp、window-size 和 selective-ack 选项的默认处理已更改。以前，允许这些选项，即使报头中具有指定类型的多个选项也是如此。现在，默认情况下会丢弃包含指定类型的多个选项的数据包。例如，以前允许具有 2 个 timestamp 选项的数据包，而现在将丢弃该数据包。

您可以配置 TCP 映射，以针对 MD5、MSS、selective-ack、timestamp 和 window-size 允许同一类型的多个选项。对于 MD5 选项，以前的默认设置为清除该选项，而现在的默认设置是允许它。您还可以丢弃包含 MD5 选项的数据包。对于 MSS 选项，您可以在 TCP 映射中设置最大分段大小（每个流量类）。所有其他 TCP 选项的默认设置均保持不变：被清除。

修改了以下命令：tcp-options

修改了以下菜单项：配置 > 防火墙 > 对象 > TCP 映射“添加/编辑”对话框

每个网桥组的透明模式最大接口数增加到 64

每个网桥组的最大接口数量已从 4 增加到 64。

未修改任何命令。

未修改任何菜单项。

透明模式下对组播连接的流量卸载支持。

现在，您可以卸载将在透明模式 Firepower 4100 和 9300 系列设备的网络接口卡中直接切换的组播连接。组播卸载仅适用于有且只有两个接口的网桥组。

对于此功能，没有新的命令或 ASDM 菜单项。

可自定义的 ARP 速率限制

您可以设置每秒允许的最大 ARP 数据包数。默认值取决于 ASA 型号。您可以自定义此值以防止 ARP 风暴攻击。

添加了以下命令：arp rate-limit、show arp rate-limit

修改了以下菜单项：配置 > 设备管理 > 高级 > ARP > ARP 静态表

对于 IEEE 802.2 逻辑链路控制数据包的目标服务访问点地址的 Ethertype 规则支持。

现在，您可以为 IEEE 802.2 逻辑链路控制数据包的目标服务访问点地址编写 Ethertype 访问控制规则。添加此支持后，bpdu 关键字与预期流量不再匹配。我们重写了 dsap 0x42 的 bpdu 规则。

修改了以下命令：access-list ethertype

修改了以下菜单项：配置 > 防火墙 > EtherType 规则。

远程访问功能

多情景模式的 Pre-fill/Username-from-cert 功能

AnyConnect SSL 支持已扩展，允许 pre-fill/username-from-certificate 功能 CLI（以前其仅在单情景模式下可用）在多情景模式下也可启用。

未修改任何命令。

未修改任何菜单项。

使用闪存虚拟化实现远程访问 VPN

多情景模式下的远程访问 VPN 现在支持闪存虚拟化。每个情景都可以根据可用的总闪存拥有专用存储空间和共享存储位置：

• 专用存储 - 仅存储与该用户关联且特定于您希望该用户具有的内容的文件。

• 共享存储 - 将文件上传到此空间，并且将其启用后，可供任何用户情景进行读/写访问。

引入了以下命令：limit-resource storage、storage-url

修改了以下菜单项：配置 > 情景管理 > 资源类 > 添加资源类

配置 > 情景管理 > 安全情景

多情景模式下支持 AnyConnect 客户端配置文件

多情景模式下支持 AnyConnect 客户端配置文件。要使用 ASDM 添加新配置文件，您必须要有 AnyConnect 安全移动客户端版本 4.2.00748 或 4.3.03013 及更高版本。

多情景模式下 AnyConnect 连接的有状态故障切换

现在，多情景模式下 AnyConnect 连接支持有状态故障切换

未修改任何命令。

未修改任何菜单项。

多情景模式下支持远程访问 VPN 动态访问策略 (DAP)

现在，可以在多情景模式下按情景配置 DAP。

未修改任何命令。

未修改任何菜单项。

多情景模式下支持远程访问 VPN CoA（授权更改）

现在，可以在多情景模式下按情景配置 CoA。

未修改任何命令。

未修改任何菜单项。

多情景模式下支持远程访问 VPN 本地化

支持全局本地化。只有一组跨不同情景共享的本地化文件。

未修改任何命令。

未修改任何菜单项。

Umbrella 漫游安全模块支持

当没有 VPN 处于活动状态时，您可以选择配置 AnyConnect 安全移动客户端的 Umbrella 漫游安全模块，以获得额外的 DNS 层安全。

未修改任何命令。

修改了以下菜单项：配置 > 远程访问 VPN > 网络（客户端）访问 > AnyConnect 客户端配置文件。

对 IKEv2 的 IPSec/ESP 传输模式支持

现在支持传输模式进行 ASA IKEv2 协商。它可用于替代隧道模式（默认设置）。隧道模式会封装整个 IP 数据包。传输模式只封装 IP 数据包的上层协议。传输模式要求源和目的主机都支持 IPSec，并且只有在隧道的目的对等体是 IP 数据包的最终目的时才可使用。

修改了以下命令：crypto map set ikev2 mode

修改了以下菜单项：配置 > 远程访问 VPN > 网络（客户端）访问 > 高级 > IPSec > IPSec 协议（转换集） > IKEv2 协议 > 添加/编辑

IPsec 内部数据包的按数据包路由查找

默认情况下，按数据包邻接关系查找针对外部 ESP 数据包执行；不会对通过 IPsec 隧道发送的数据包执行查找。在某些网络拓扑中，路由更新更改了内部数据包的路径，但本地 IPsec 隧道仍正常运行时，通过隧道的数据包可能无法正确路由，且无法到达其目的地。要避免此情况，请使用新选项启用对 IPsec 内部数据包的按数据包路由查找功能。

添加了以下命令：crypto ipsec inner-routing-lookup

修改了以下菜单项：配置 > 远程访问 VPN > 网络（客户端）访问 > 高级 > IPSec > 加密映射添加启用 IPSec 内部路由查找复选框。

证书和安全连接功能

ASA 客户端会检查服务器证书中的“Extended Key Usage”

系统日志与智能许可服务器证书必须在“Extended Key Usage”字段中包含“ServerAuth”。否则，连接会失败。

当 ASA 作为 TLS1.1 和 1.2 的 TLS 客户端时，进行相互身份验证

PKI 调试消息

ASA PKI 模块会与 CA 服务器建立连接，例如进行 SCEP 注册、使用 HTTP 进行撤销检查等。所有这些 ASA PKI 交换都将在 debug crypto ca message 5 下记录为调试跟踪。

ASDM 的 ASA SSL 服务器模式匹配

对于通过证书进行身份验证的 ASDM 用户，您现在可以要求证书与证书映射匹配。

修改了以下命令：http authentication-certificate match

修改了以下菜单项：配置 > 设备管理 > 管理访问 > ASDM/HTTPS/Telnet/SSH

安全系统日志服务器连接和智能许可连接的参考身份

TLS 客户端处理现在支持针对 RFC 6125 第 6 节中定义的服务器身份验证的规则。身份验证将在 PKI 验证期间仅针对与系统日志服务器和智能许可服务器的 TLS 连接执行。如果所显示的身份无法与配置的参考身份匹配，则不会建立连接。

添加或修改了以下命令：crypto ca reference-identity、logging host、call home profile destination address

修改了以下菜单项：

配置 > 远程访问 VPN > 高级

配置 > 设备管理 > 日志记录 > 系统日志服务器 > 添加/编辑

配置 > 设备管理 > Smart Call Home

加密密钥归零验证

ASA 加密系统已更新来符合新的密钥归零要求。密钥必须全部重写为零，然后必须读取数据以确认写入成功。

SSH 公钥身份验证改进

在更早的版本中，您在启用 SSH 公钥身份验证 (ssh authentication ) 时，可以不必启用基于本地用户数据库的 AAA SSH 身份验证 (aaa authentication ssh console LOCAL )。该配置现在已修复，您必须明确启用 AAA SSH 身份验证。要禁止用户使用密码而不是私钥，现在您可以创建未定义任何密码的用户名。

修改了以下命令：ssh authentication、username。

修改了以下菜单项：

配置 > 设备管理 > 管理访问 > ASDM/HTTPS/Telnet/SSH

配置 > 设备管理 > 用户/AAA > 用户账户 > 添加/编辑用户账户

接口功能

增加了 Firepower 4100/9300 机箱 上 ASA 的 MTU 大小

可以在 Firepower 4100 和 9300 上将最大 MTU 设置为 9188 字节；以前，最大值为 9000 字节。FXOS 2.0.1.68 及更高版本中支持此 MTU。

修改了以下命令：mtu

修改了以下菜单项：配置 > 设备设置 > 接口设置 > 接口 > 高级

路由功能

双向转发检测 (BFD) 支持

ASA 现在支持 BFD 路由协议。添加了对配置 BFD 模板、接口和映射的支持。还添加了对 BGP 路由协议使用 BFD 的支持。

添加或修改了以下命令：authentication、bfd echo、bfd interval、bfd map、bfd slow-timers、bfd template、bfd-template、clear bfd counters、echo、debug bfd、neighbor fall-over bfd、show bfd drops、show bfd map、show bfd neighbors、show bfd summary

引入或修改了以下菜单项：

配置 > 设备设置 > 路由 > BFD > 模板

配置 > 设备设置 > 路由 > BFD > 接口

配置 > 设备设置 > 路由 > BFD > 映射

配置 > 设备设置 > 路由 > BGP > IPv6 系列 > 邻居

IPv6 DHCP

ASA 现在支持 IPv6 寻址的以下功能：

• DHCPv6 地址客户端 - ASA 从 DHCPv6 服务器获取 IPv6 全局地址和可选默认路由。

• DHCPv6 前缀代理客户端 - ASA 从 DHCPv6 服务器获取指定的前缀。然后，ASA 可使用这些前缀来配置其他 ASA 接口地址，以使无状态地址自动配置 (SLAAC) 客户端可在同一网络上自动配置 IPv6 地址。

• BGP 路由器通告指定的前缀

• DHCPv6 无状态服务器 - 当 SLAAC 客户端向 ASA 发送信息请求 (IR) 数据包时，ASA 会向它们提供域名等其他信息。ASA 仅接受 IR 数据包，不向客户端分配地址。

引入或修改了以下命令：clear ipv6 dhcp statistics、domain-name、dns-server、import、ipv6 address autoconfig、ipv6 address dhcp、ipv6 dhcp client pd、ipv6 dhcp client pd hint、ipv6 dhcp pool、ipv6 dhcp server、network、nis address、nis domain-name、nisp address、nisp domain-name、show bgp ipv6 unicast、show ipv6 dhcp、show ipv6 general-prefix、sip address、sip domain-name、sntp address

引入或修改了以下菜单项：

配置 > 设备设置 > 接口设置 > 接口 > 添加接口 > IPv6

配置 > 设备管理 > DHCP > DHCP 池

配置 > 设备设置 > 路由 > BGP > IPv6 系列 > 网络

监控 > 接口 > DHCP

高可用性和扩展性功能

缩短了使用主用/备用故障切换时从 AnyConnect 进行动态 ACL 同步的时间

当您在故障切换对上使用 AnyConnect 时，将关联的动态 ACL (dACL) 同步到备用设备的时间现在已缩短。以前，对于大量 dACL，同步时间可能需要几小时，在此期间，备用设备会一直忙于同步而不是提供高度可用的备份。

未修改任何命令。

未修改任何菜单项。

许可功能

ASAv 永久许可证保留

在不允许与思科智能软件管理器之间进行通信的高安全性环境中，您可以请求提供 ASAv 永久许可证。在 9.6(2) 中，我们还为 Amazon Web 服务上的 ASAv 添加了对此功能的支持。Microsoft Azure 不支持此功能。

引入了以下命令：license smart reservation、license smart reservation cancel、license smart reservation install、license smart reservation request universal、license smart reservation return

无 ASDM 支持。

同样适用于 9.5(2.200)。

卫星服务器对 ASAv 的支持

如果您的设备出于安全原因无法访问互联网，您可以选择以虚拟机 (VM) 形式安装本地智能软件管理器卫星服务器。

未修改任何命令。

未修改任何菜单项。

适用于 ASAv 短字符串增强的永久许可证保留

由于智能代理的更新（更新至 1.6.4），请求和授权代码现在使用更短的字符串。

未修改任何命令。

未修改任何菜单项。

适用于 Firepower 4100/9300 机箱 上 ASAv 的永久许可证预留

在不允许与思科智能软件管理器之间进行通信的高安全性环境中，您可以为 Firepower 9300 和 Firepower 4100 上的 ASA 请求永久许可证。所有可用许可证授权均包括在永久许可证中，包括标准层、强加密（如果符合条件）、安全情景和运营商许可证。需要 FXOS 2.0.1。

所有配置均在 Firepower 4100/9300 机箱 上执行；无需对 ASA 进行配置。

ASAv 的智能代理升级至 v1.6

智能代理从 1.1 版本升级到 1.6 版本。此升级支持永久许可证保留，同时也支持依据许可证账号中的权限集设置强加密 (3DES/AES) 许可证授权。

引入了以下命令：show license status、show license summary、show license udi、show license usage

修改了以下命令：show license all、show tech-support license

弃用了以下命令：show license cert、show license entitlement、show license pool、show license registration

未更改任何菜单项。

同样适用于 9.5(2.200)。

监控功能

类型为 asp drop 的数据包捕获支持 ACL 和匹配过滤

当您创建类型为 asp drop 的数据包捕获时，现在还可以指定 ACL 或匹配选项来限制捕获范围。

修改了以下命令：capture type asp-drop

未修改任何菜单项。

调查分析增强功能

您可以创建在 ASA 运行的任何进程的核心转储。ASA 还可提取主要 ASA 进程的文本部分，您可以从 ASA 复制该文本部分以进行检查。

修改了以下命令：copy system:text、verify system:text、crashinfo force dump process

未修改任何菜单项。

根据每个连接通过 NetFlow 跟踪数据包计数

添加了两个计数器，它们使 Netflow 用户可以查看在连接的两个方向上发送的第 4 层数据包数。您可以使用这些计数器来确定平均数据包速率和大小，并且更好地预测流量类型、异常和事件。

未修改任何命令。

未修改任何菜单项。

用于故障切换的 SNMP engineID 同步

在故障切换对中，已配对 ASA 的 SNMP engineID 会在两个设备上同步。每个 ASA 都保存了 3 组 engineID：同步 engineID、本地 engineID 和远程 engineID。

SNMPv3 用户也可在创建配置文件以保留本地化 snmp-server user 身份验证和隐私选项时指定 ASA 的 engineID。如果用户不指定本地 engineID，show running-config 输出将显示每位用户的 2 个 engineID。

修改了以下命令：snmp-server user

无 ASDM 支持。

同样适用于 9.4(3)。

平台功能

适用于 Firepower 4100 系列 的 ASA

引入了适用于 Firepower 4110、4120 和 4140 的 ASA。

需要 FXOS 1.1.4。

未添加或修改任何命令。

未修改任何菜单项。

ISA 3000 支持 SD 卡

现在，可以使用 SD 卡作为 ISA 3000 上的外部存储。该卡在 ASA 文件系统中显示为 disk3。请注意，即插即用支持需要硬件版本 2.1 和更高版本。可以使用 show module 命令检查硬件版本。

未添加或修改任何命令。

未修改任何菜单项。

ISA 3000 支持双电源

对于 ISA 3000 中的双电源，可在 ASA OS 中将双电源建立为预期配置。如果其中一个电源发生故障，ASA 会发出报警。默认情况下，ASA 需要单一电源，只要其中有一个电源正常工作，它就不会发出报警。

引入了以下命令：power-supply dual

无 ASDM 支持。

防火墙功能

Diameter 检查改进

现在，可以检查 TCP/TLS 上的 Diameter 流量，应用严格的协议一致性检查，并可检查集群模式下的 SCTP 上的 Diameter。

引入或修改了以下命令：client clear-text 、inspect diameter 和 strict-diameter 。

添加或修改了以下菜单项：

配置 > 防火墙 > 对象 > 检查映射 > Diameter

配置 > 防火墙 > 服务策略 添加/编辑向导的规则操作 > 协议检测选项卡

集群模式下的 SCTP 状态检查

SCTP 状态检查现在可在集群模式下进行。还可以在集群模式下配置 SCTP 状态检查旁路。

未添加或修改任何命令。

未修改任何菜单项。

H.323 检查支持在 H.225 SETUP 消息之前发出 H.255 FACILITY 消息，以兼容 H.460.18。

现在，当终端符合 H.460.18 的要求时，可将 H.323 检查策略映射配置为允许在 H.225 SETUP 消息之前发出 H.225 FACILITY 消息。

引入了以下命令：early-message

我们为 H.323 检查策略映射中的 Call Attributes 选项卡添加了一个选项。

安全交换协议 (SXP) 版本 3 支持思科 TrustSec。

ASA 上的思科 Trustsec 现在实施 SXPv3，它可使 SGT 与子网绑定，这种绑定比主机绑定更高效。

引入或修改了以下命令：cts sxp mapping network-map maximum_hosts 、cts role-based sgt-map 、show cts sgt-map 、show cts sxp sgt-map 和 show asp table cts sgt-map 。

修改了以下菜单项：配置 > 防火墙 > 按 TrustSec 标识 和 SGT 映射设置对话框。

Firepower 4100 系列 支持流卸载。

可以识别应从 ASA 中卸载并直接在 Firepower 4100 系列 的 NIC 中切换的流。

需要 FXOS 1.1.4。

未添加或修改任何命令。

未修改任何菜单项。

远程访问功能

IKEv2 分段、RFC-7383 支持

ASA 现在支持 IKEv2 数据包的此标准分段。这将实现与其他 IKEv2 实施（如 Apple、Strongswan 等）的互操作性。ASA 继续支持当前的专有 IKEv2 分段，以保持对不支持 RFC-7383 的思科产品（如 AnyConnect 客户端）的向后兼容性。

引入了以下命令： crypto ikev2 fragmentation 、show running-config crypto ikev2 和 show crypto ikev2 sa detail

Firepower 9300 和 Firepower 4100 系列 上的 VPN 吞吐量性能增强

Firepower 9300 和 Firepower 4100 系列 上的 ASA 安全模块现在支持 crypto engine accelerator-bias 命令。此命令使您能将更多加密核心向 IPSec 或 SSL“偏差”。

修改了以下命令：crypto engine accelerator-bias

未添加或修改任何菜单项。

可配置 SSH 加密和 HMAC 算法。

用户可在执行 SSH 加密管理时选择密码模式，并可配置 HMAC 和加密来改变密钥交换算法。根据您的应用，您可能希望将密码变得更加严格或更不严格。请注意，安全复制的性能部分取决于所使用的加密密码。默认情况下，ASA 会按顺序协商以下其中一种算法：3des-cbc aes128-cbc aes192-cbc aes256-cbc aes128-ctr aes192-ctr aes256-ctr。如果选择建议的第一种算法 (3des-cbc)，则性能会远远慢于 128-cbc 等更高效的算法。例如，要更改所需的密码，请使用 ssh cipher encryption custom aes128-cbc 。

引入了以下命令：ssh cipher encryption, ssh cipher integrity。

引入了以下菜单项：配置 > 设备管理 > 高级 > SSH 密码

同样适用于 9.1(7)、9.4(3) 和 9.5(3) 版本。

IPV6 支持 HTTP 重定向

现在，在为 ASDM 接入或无客户端 SSL VPN 启用 HTTP 重定向到 HTTPS 时，可将已发送的流量重定向到 IPv6 地址。

向以下命令添加了功能：http redirect

向以下菜单项添加了功能：配置 > 设备管理 > HTTP 重定向

同样适用于 9.1(7) 和 9.4(3) 版本。

路由功能

IS-IS 路由

ASA 现在支持中间系统到中间系统 (IS-IS) 路由协议。添加了对使用 IS-IS 路由协议进行路由数据、执行身份验证和重新分发及监控路由信息的支持。

引入了以下命令： advertise passive-only, area-password, authentication key, authentication mode, authentication send-only, clear isis, debug isis, distance, domain-password, fast-flood, hello padding, hostname dynamic, ignore-lsp-errors, isis adjacency-filter, isis advertise prefix, isis authentication key, isis authentication mode, isis authentication send-only, isis circuit-type, isis csnp-interval, isis hello-interval, isis hello-multiplier, isis hello padding, isis lsp-interval, isis metric, isis password, isis priority, isis protocol shutdown, isis retransmit-interval, isis retransmit-throttle-interval, isis tag, is-type, log-adjacency-changes, lsp-full suppress, lsp-gen-interval, lsp-refresh-interval, max-area-addresses, max-lsp-lifetime, maximum-paths, metric, metric-style, net, passive-interface, prc-interval, protocol shutdown, redistribute isis, route priority high, route isis, set-attached-bit, set-overload-bit, show clns, show isis, show router isis, spf-interval, summary-address.

引入了以下菜单项：

配置 > 设备设置 > 路由 > ISIS

监控 > 路由 > ISIS

高可用性和扩展性功能

在路由、跨区以太网通道模式下支持站点特定的 IP 地址

对于使用跨区以太网通道的路由模式下的站点间集群，除了站点特定的 MAC 地址以外，现在还可配置站点特定的 IP 地址。添加站点 IP 地址后，允许您对重叠传输虚拟化 (OTV) 设备使用 ARP 检测来防止通过数据中心互联 (DCI) 传输的全局 MAC 地址的 ARP 响应（可能导致路由问题）。对于无法使用 VACL 来过滤 MAC 地址的某些交换机，需要使用 ARP 检测。

修改了以下命令：mac-address、show interface

修改了以下菜单项：配置 > 设备设置 > 接口设置 > 接口 > 添加/编辑 EtherChannel 接口 > 高级

管理功能

本地 username 和 enable 密码支持更长的密码（最多 127 个字符）

您现在可以创建最多 127 个字符的本地 username 和 enable 密码（过去的限制为 32 个字符）。在创建长度超过 32 个字符的密码时，它将使用 PBKDF2（基于密码的密钥派生功能 2）散列存储在配置中。较短的密码将继续使用基于 MD5 的散列处理方法。

修改了以下命令：enable、username

修改了以下菜单项：

配置 > 设备设置 > 设备名称/密码 > 启用密码

配置 > 设备管理 > 用户/AAA > 用户账户 > 添加/编辑用户账户 > 身份

支持 CISCO-ENHANCED-MEMPOOL-MIB 中的 cempMemPoolTable

现在支持 CISCO-ENHANCED-MEMPOOL-MIB 的 cempMemPoolTable。这是一个内存池表，监控受管系统上所有物理实体的条目。

未添加或修改任何命令。

未修改任何菜单项。

同样适用于 9.1(7) 和 9.4(3) 版本。

REST API 版本 1.3.1

增加了对 REST API 1.3.1 版本的支持。

远程访问功能

可配置 SSH 加密和 HMAC 算法。

用户可在执行 SSH 加密管理时选择密码模式，并可配置 HMAC 和加密来改变密钥交换算法。根据您的应用，您可能希望将密码变得更加严格或更不严格。请注意，安全复制的性能部分取决于所使用的加密密码。默认情况下，ASA 会按顺序协商以下其中一种算法：3des-cbc aes128-cbc aes192-cbc aes256-cbc aes128-ctr aes192-ctr aes256-ctr。如果选择建议的第一种算法 (3des-cbc)，则性能会远远慢于 128-cbc 等更高效的算法。例如，要更改所需的密码，请使用 ssh cipher encryption custom aes128-cbc 。

引入了以下命令：ssh cipher encryption, ssh cipher integrity。

引入了以下菜单项：配置 > 设备管理 > 高级 > SSH 密码

同样适用于 9.1(7) 和 9.4(3) 版本。

平台功能

ASAv10 上提供 Microsoft Azure 支持

Microsoft Azure 是一个使用专用 Microsoft Hyper V 虚拟机监控程序的公共云环境。ASAv 在 Hyper V 虚拟机监控程序的 Microsoft Azure 环境中充当访客。Microsoft Azure 上的 ASAv 支持一个实例类型，即标准 D3。标准 D3 可支持 4 个 vCPU、14 GB 内存和 4 个接口。

许可功能

ASAv 永久许可证保留

在不允许与思科智能软件管理器之间进行通信的高安全性环境中，您可以请求提供 ASAv 永久许可证。

引入了以下命令：license smart reservation、license smart reservation cancel、license smart reservation install、license smart reservation request universal、license smart reservation return

无 ASDM 支持。

智能代理升级至 v1.6

智能代理从 1.1 版本升级到 1.6 版本。此升级支持永久许可证保留，同时也支持依据许可证账号中的权限集设置强加密 (3DES/AES) 许可证授权。

引入了以下命令：show license status、show license summary、show license udi、show license usage

修改了以下命令：show license all、show tech-support license

弃用了以下命令：show license cert、show license entitlement、show license pool、show license registration

未更改任何菜单项。

平台功能

Firepower 9300 上 ASA 的 VPN 支持

防火墙功能

Firepower 9300 上 ASA 的分流支持

您可以识别需从 ASA 中分流并直接在 NIC（位于 Firepower 9300 上）中切换的流量。此功能可提升数据中心中的大数据流性能。

还需要 FXOS 1.1.3。

添加或修改了以下命令：clear flow-offload 、flow-offload enable 、set-connection advanced-options flow-offload 、show conn detail 和 show flow-offload 。

在配置 > 防火墙 > 安全策略规则下添加或编辑规则时，添加或修改了以下菜单项：配置 > 防火墙 > 高级 > 分流引擎、规则行为 > 连接设置选项卡。

高可用性功能

6 个模块的机箱间集群，以及 Firepower 9300 上 ASA 的站点间集群

现在您可利用 FXOS 1.1.3 启用机箱内集群，并扩展至站点间集群。在最多 6 个机箱中最多可以包含 6 个模块。

未修改任何命令。

未修改任何菜单项。

许可功能

为 Firepower 9300 上的 ASA 自动应用的强加密 (3DES) 许可证

对于一般的思科智能软件管理器用户，当他们在 Firepower 9300 上应用注册令牌时，只要符合相应条件，系统会自动启用强加密许可证。

此功能要求具有 FXOS 1.1.3 版本。

删除了以下非卫星配置中的命令：feature strong-encryption

修改了以下菜单项：配置 > 设备管理 > 许可 > 智能许可

平台功能

提供思科 ISA 3000 支持

思科 ISA 3000 是一个装有 DIN 导轨的坚固型工业安全设备。它是一种低功耗、无风扇设备，并配有千兆以太网和专用管理端口。该型号设备中预装了 ASA Firepower 模块。该型号的特殊功能包括自定义的透明模式默认配置，以及允许流量在出现功率损耗时继续通过设备的硬件旁路功能。

引入了以下命令：hardware-bypass, hardware-bypass manual, hardware-bypass boot-delay

修改了以下菜单项：配置 > 设备管理 > 硬件绕过

同样适用于 9.4.(1.225) 版本。

防火墙功能

DCERPC 检测改进和 UUID 过滤

DCERPC 检测现在支持 OxidResolver ServerAlive2 opnum5 消息的 NAT。现在您可根据 DCERPC 消息通用唯一标识 (UUID) 进行过滤，以便重置或记录特定消息类型。新 DCERPC 检测类映射可用于 UUID 过滤。

引入了以下命令：match [not] uuid 。修改了以下命令：class-map type inspect 。

添加了以下菜单项：配置 > 防火墙 > 对象 > 类映射 > DCERPC。

修改了以下菜单项：配置 > 防火墙 > 对象 > 检测映射 > DCERPC。

Diameter 检测

现在您可以检测 Diameter 流量。Diameter 检测需要 Carrier 许可证。

引入或修改了以下命令：class-map type inspect diameter 、diameter 、inspect diameter 、match application-id 、match avp 、match command-code 、policy-map type inspect diameter 、show conn detail 、show diameter 、show service-policy inspect diameter 和 unsupported

添加或修改了以下菜单项：

配置 > 防火墙 > 对象 > 检查映射 > Diameter 和 Diameter AVP

配置 > 防火墙 > 服务策略 添加/编辑向导的规则操作 > 协议检测选项卡

SCTP 检测和访问控制

现在您可以在服务对象、访问控制列表 (ACL) 和访问规则中使用 SCTP 协议和端口规范，并检测 SCTP 流量。SCTP 检查需要 Carrier 许可证。

引入了以下命令：access-list extended 、clear conn protocol sctp 、inspect sctp 、match ppid 、nat static （对象）、policy-map type inspect sctp 、service-object 、service 、set connection advanced-options sctp-state-bypass 、show conn protocol sctp 、show local-host connection sctp 、show service-policy inspect sctp 和 timeout sctp

添加或修改了以下菜单项：

配置 > 防火墙 > 访问规则“添加/编辑”对话框

配置 > 防火墙 > 高级 > ACL 管理器“添加/编辑”对话框

配置 > 防火墙 > 高级 > 全局超时

配置 > 防火墙 > NAT添加/编辑静态网络 NAT 规则、高级 NAT 设置对话框

配置 > 防火墙 > 对象 > 服务对象/组 添加/编辑对话框

配置 > 防火墙 > 对象 > 检测映射 > SCTP

配置 > 防火墙 > 服务策略 添加/编辑向导的规则操作 > 协议检查和连接设置选项卡

现在支持在故障切换和 ASA 集群中增强运营商级 NAT

对于运营商级或大规模 PAT，您可以为每台主机分配端口块，而无需通过 NAT 一次分配一个端口转换（请参阅 RFC 6888）。现在支持在故障切换和 ASA 集群部署中使用此功能。

修改了以下命令：show local-host

未修改任何菜单项。

ASA FirePOWER 6.0 中使用强制网络门户的主动身份验证。

从 ASA FirePOWER 6.0 开始，要使用身份策略启用主动身份验证，需使用强制网络门户功能。

引入或修改了以下命令：captive-portal 、clear configure captive-portal 和 show running-config captive-portal 。

高可用性功能

站点间流移动性的 LISP 检测

思科定位编号分离协议 (LISP) 架构将设备身份与设备位置分离开，并分隔到两个不同的编号空间，使服务器迁移对客户端透明化。ASA 可以通过检测 LISP 流量确定位置更改,并使用此信息进行无缝集群操作；ASA 集群成员检查第一跳路由器与出口隧道路由器 (ETR) 或入口隧道路由器 (ITR) 之间的 LISP 流量，然后将流所有者位置更改为新站点。

引入或修改了以下命令：allowed-eid、clear cluster info flow-mobility counters、clear lisp eid、cluster flow-mobility lisp、debug cluster flow-mobility、debug lisp eid-notify-intercept、flow-mobility lisp、inspect lisp、policy-map type inspect lisp、site-id、show asp table classify domain inspect-lisp、show cluster info flow-mobility counters、show conn、show lisp eid、show service-policy、validate-key

引入或修改了以下菜单项：

配置 > 设备管理 > 高可用性和可扩展性 > ASA 集群 > 集群配置

配置 > 防火墙 > 对象 > 检查映射 > LISP

配置 > 防火墙 > 服务策略规则 > 协议检查

配置 > 防火墙 > 服务策略规则 > 集群

监控 > 路由 > LISP-EID 表

ASA 5516-X 对集群的支持

ASA 5516-X 现在支持由 2 台设备组成的集群。默认情况下，基本许可证中启用 2 台设备的集群。

未修改任何命令。

未修改任何菜单项。

可配置级别集群跟踪条目

默认情况下，所有级别的集群事件都储存在跟踪缓冲区中，包括大量低级事件。要将跟踪事件级别限制为更高级别，您可以设置集群跟踪事件的最低级别。

引入了以下命令：trace-level

未修改任何菜单项。

接口功能

支持将辅助 VLAN 映射到主 VLAN

现在，可以为子接口配置一个或多个辅助 VLAN。当 ASA 接收到辅助 VLAN 的流量时，它会将流量映射到主 VLAN。

引入或修改了以下命令：vlan secondary、show vlan mapping

修改了以下菜单项：配置 > 设备设置 > 接口设置 > 接口

配置 > 设备设置 > 接口设置 > 接口 > 添加接口 > 通用

路由功能

为组播路由提供 PIM 自举路由器 (BSR) 支持

目前，ASA 支持配置静态 RP，为不同的组路由组播流量。对于可能存在多个 RP 的大型复杂网络，ASA 现在支持使用 PIM BSR 选择动态 RP 来支持 RP 移动。

引入了以下命令：clear pim group-map、debug pim bsr、pim bsr-border、pim bsr-candidate、show pim bsr-router、show pim group-map rp-timers

引入了以下菜单项：配置 > 设备设置 > 路由 > 组播 > PIM > Bootstrap 路由器

远程访问功能

支持多情景模式下的远程接入 VPN

现在您可在多情景模式中使用以下远程接入功能：

• AnyConnect 3.x 及更高版本（仅支持 SSL VPN；无 IKEv2 支持）

• 集中式 AnyConnect 映像配置

• AnyConnect 映像升级

• 对 AnyConnect 连接进行情景资源管理

引入了以下命令：limit-resource vpn anyconnect、limit-resource vpn burst anyconnect

修改了以下菜单项：配置 > 情景管理 > 资源类 > 添加资源类

无客户端 SSL VPN 提供基于 SAML 2.0 的单点登录 (SSO) 功能

ASA 充当 SAML 服务提供商。

无客户端 SSL VPN 条件调试

您可以根据过滤条件集进行过滤，以达到调试日志的目的，也可以更好地对其进行分析。

向调试命令中引入了以下添加项：

• [no] debug webvpn condition user <user name>

• [no] debug webvpn condition group <group name>

• [no] debug webvpn condition p-ipaddress <ipv4> [subnet<mask>]

• [no] debug webvpn condition p-ipaddress <ipv6> [prefix<prefix>]

• debug webvpn condition reset

• show debug webvpn condition

• show webvpn debug-condition

默认情况下，无客户端 SSL VPN 为禁用状态。

现在，无客户端 SSL VPN 缓存默认为禁用状态。禁用 SSL VPN 缓存可增强稳定性。若要启用缓存，您必须手动操作。

webvpn
   cache
      no disable

修改了以下命令：cache

修改了以下菜单项：配置 > 远程访问 VPN > 无客户端 SSL VPN 访问 > 高级 > 内容缓存

许可功能

如果服务器证书的颁发层次结构出现更改，思科智能报障服务 (Smart Call Home)/智能许可 (Smart Licensing) 证书需进行验证

智能许可使用 Smart Call Home 基础设施。当 ASA 首次在后台配置智能报障服务的匿名报告时，它会自动创建一个信任点，这个信任点包含颁发过智能报障服务证书的 CA 的证书。ASA 现在支持在服务器证书颁发层次结构出现变更时对证书进行验证；您可以按一定时间间隔定期启用 trustpool 捆绑的自动更新功能。

引入了以下命令：auto-import

修改了以下菜单项：配置 > 远程访问 VPN > 证书管理 > 可信任证书池 > 编辑策略

新运营商许可证

用于替换现有的 GTP/GPRS 许可证的新运营商许可证提供的支持包括 SCTP 和 Diameter 检测。对于 Firepower 9300 上的 ASA，feature mobile-sp 命令将自动迁移到 feature carrier 命令。

引入或修改了以下命令：feature carrier、show activation-key、show license、show tech-support、show version

修改了以下菜单项：配置 > 设备管理 > 许可 > 智能许可

监控功能

SNMP engineID 同步

在一个 HA 对中，已配对 ASA 的 SNMP engineIDs 会在两个设备上同步。每个 ASA 都保存了 3 组 engineID：同步 engineID、本地 engineID 和远程 engineID。

SNMPv3 用户也可在创建配置文件以保留本地化 snmp-server user 身份验证和隐私选项时指定 ASA 的 engineID。如果用户不指定本地 engineID，show running-config 输出将显示每位用户的 2 个 engineID。

修改了以下命令：snmp-server user、no snmp-server user

未修改任何菜单项。

同样适用于 9.4(3) 版本。

show tech support 改进

show tech support 命令现在：

• 包括 dir all-filesystems 输出 - 该输出可在以下情况中起作用：

  • SSL VPN 配置：检查所需资源是否在 ASA 上

  • 故障：检查日期时间戳及是否存在故障文件

• 删除 show kernel cgroup-controller detail 输出 - 此命令输出将保留在 show tech-support detail 的输出中。

修改了以下命令：show tech support

未修改任何菜单项。

同样适用于 9.1(7) 和 9.4(3) 版本。

logging debug-trace 持久性

以前，当您启用 logging debug-trace 以将调试重定向到系统日志服务器时，如果 SSH 连接断开（由于网络连接或超时），调试将被删除。现在，只要 logging 命令有效，调试就会一直存在。

修改了以下命令：logging debug-trace

未修改任何菜单项。

平台功能

支持 ASA FirePOWER 6.0

所有以前支持过的设备型号都支持 ASA FirePOWER 6.0 版本。

从 5512-X 到 5585-X 系列都支持通过 ASDM 管理 ASA FirePOWER 模块。

在模块上运行 6.0 版本时，您可以使用 ASDM 来管理 ASA FirePOWER 模块，而无需使用 Firepower 管理中心 (Firepower Management Center)（以前称为 FireSIGHT 管理中心 (FireSIGHT Management Center)）来进行管理。运行 6.0 版本时，您还可以使用 ASDM 来管理 5506-X、5506H-X、5506W-X、5508-X 和 5516-X 上的模块。

无新增菜单项或命令。

远程访问功能

支持 AnyConnect 4.2 版本

ASDM 可支持 AnyConnect 4.2 版本及网络可视性模块 (NVM)。NVM 可提升企业管理员执行容量和服务规划、审计、合规性和安全分析的能力。NVM 收集终端遥测数据，在系统日志中记录流数据和文件信誉,并导出流记录给收集器（第三方供应商），由其执行文件分析并提供 UI 接口。

修改了以下菜单项：配置 > 远程访问 VPN > 网络（客户端）访问 > AnyConnect 客户端配置文件（一个名为网络可视性服务配置文件的配置新文件)

平台功能

提供 Microsoft Hyper-V 管理引擎支持

扩展 ASAv 虚拟机监控程序配置文件。

支持 ASAv5 低内存

ASAv5 现在只需要 1 GB RAM 即可运行。而此前它需要 2 GB 的内存。对于已部署的 ASAv5s，您应将分配的内存减少至 1 GB，若不进行此操作，系统将显示错误消息提示您使用的内存已超出许可范围。

防火墙功能

GTPv2 检测及对 GTPv0/1 检测的改进

GTP 检测现在可以处理 GTPv2。此外，所有版本的 GTP 检测现在均支持 IPv6 地址。

修改了以下命令：clear service-policy inspect gtp statistics、clear service-policy inspect gtp pdpmcb、clear service-policy inspect gtp request、match message id、show service-policy inspect gtp pdpmcb、show service-policy inspect gtp request、show service-policy inspect gtp statistics、timeout endpoint

弃用了以下命令：timeout gsn

修改了以下菜单项：配置 > 防火墙 > 对象 > 检测图 > GTP

对 IP 选项检测的改进

IP 选项检测现在支持所有可能的 IP 选项。您可以对检测进行调整以允许、清除或丢弃任何标准的或试验性选项，包括尚未定义的选项。还可以为 IP 选项检测图中尚未明确定义的选项设置默认行为。

引入了以下命令：basic-security, commercial-security, default, exp-flow-control, exp-measure, extended-security, imi-traffic-description, quick-start, record-route, timestamp

修改了以下菜单项：配置 > 防火墙 > 对象 > 检测图 > IP 选项

对运营商级 NAT 的改进

对于运营商级或大规模 PAT，您可以为每台主机分配端口块，而无需通过 NAT 一次分配一个端口转换（请参阅 RFC 6888）。

引入了以下命令：xlate block-allocation size、xlate block-allocation maximum-per-host。我们已将关键词 block-allocation 添加到 nat 命令中。

引入了以下菜单项：配置 > 防火墙 > 高级 > PAT 端口块分配。添加了对象 NAT 启用端口块分配并两次添加了 NAT 对话框。

高可用性功能

为路由防火墙模式下的 Spanned EtherChannel 提供站点间集群支持

现在您可以在路由防火墙模式下对 Spanned EtherChannel 使用站点间集群。要避免 MAC 地址摆动，请为每个集群成员配置一个站点 ID，这样就可在站点的设备间共享每个接口的站点特定 MAC 地址。

我们引入或修改了以下命令：site-id、mac-address site-id、show cluster info、show interface

修改了以下菜单项：配置 > 设备管理 > 高可用性和可扩展性 > ASA 集群 > 集群配置

自定义接口或集群控制链路发生故障时的 ASA 集群自动重新加入行为

现在您可以自定义接口或集群控制链路发生故障时的自动重新加入行为。

引入了以下命令：health-check auto-rejoin

引入了以下菜单项：配置 > 设备管理 > 高可用性和可扩展性 > ASA 集群 > 自动重新加入

ASA 集群支持 GTPv1 和 GTPv2

ASA 集群现在支持 GTPv1 和 GTPv2 检测。

未修改任何命令。

未修改任何菜单项。

TCP 连接的集群复制延迟

该功能可以延迟导向器/备份流的创建，从而避免与短期流量相关的“不必要的工作”。

引入了以下命令：cluster replication delay

引入了以下菜单项：配置 > 设备管理 > 高可用性和可扩展性 > ASA 集群复制

同样适用于 Firepower 9300 ASA 安全模块 9.4(1.152) 版本。

禁用 ASA 集群中硬件模块的健康状况监控

默认情况下，当使用集群时，ASA 会监控已安装的硬件模块（例如 ASA FirePOWER 模块）的运行状况。如果您不希望硬件模块故障触发故障切换，则可以禁用模块监控。

修改了以下命令：health-check monitor-interface service-module

修改了以下菜单项：配置 > 设备管理 > 高可用性和可扩展性 > ASA 集群 > 集群接口健康状况监控

在 ASA 5506H 上启用管理 1/1 接口作为故障切换链路

现在您只能在 ASA 5506H 上将管理 1/1 接口配置为故障切换链路。此功能允许您使用设备上的所有其他接口作为数据接口。说明：如果您使用了此功能，便不能使用 ASA Firepower 模块，因为它要求管理 1/1 接口仍作为常规管理接口。

修改了以下命令：failover lan interface、failover link

修改了以下菜单项：配置 > 设备管理 > 高可用性和可扩展性 > 故障切换 > 设置

路由功能

支持 IPv6 策略型路由

策略型路由现在支持 IPv6 地址。

引入了以下命令：set ipv6 next-hop、set default ipv6-next hop、set ipv6 dscp

修改了以下菜单项：

配置 > 设备设置 > 路由 > 路由映射 > 添加路由映射 > 基于策略的路由配置 > 设备设置 > 路由 > 路由映射 > 添加路由映射 > 匹配语句

为策略型路由提供 VXLAN 支持

现在您可以在 VNI 接口中启用策略型路由。

未修改任何命令。

修改了以下菜单项：配置 > 设备设置 > 接口设置 > 接口 > 添加/编辑接口 > 常规

为身份防火墙和思科 TrustSec 提供策略型路由支持

您可以先配置身份防火墙和思科 TrustSec，然后再在策略型路由的路由图中使用身份防火墙和思科 TrustSec ACL。

未修改任何命令。

修改了以下菜单项：配置 > 设备设置 > 路由 > 路由映射 > 添加路由映射 > 匹配语句

仅用于管理的接口的独立路由表

为了使管理流量与数据流量分开并隔离，ASA 现在支持为仅管理接口使用独立路由表。

引入或修改了以下命令：backup、clear ipv6 route management-only、clear route management-only、configure http、configure net、copy、enrollment source、name-server、restore、show asp table route-management-only、show ipv6 route management-only show route management-only

未修改任何菜单项。

支持协议无关组播 - 源特定组播 (PIM-SSM) 直接通过

ASA 现允许 PIM-SSM 数据包在您启用组播路由后直接通过，但有一种情况除外：ASA 是最后一跳路由器时。此功能使得在选择组播组时更加灵活，同时也防止了多种攻击；主机只接收明确请求的数据源发来的流量。

未修改任何命令。

未修改任何菜单项。

远程访问功能

IPv6 VLAN 映射

提供无客户端 SSL VPN SharePoint 2013 支持

为此 SharePoint 新版本增加了支持和一个预定义的应用模板。

修改了以下菜单项：配置 > 远程访问 VPN > 无客户端 SSL VPN 访问 > 门户 > 书签 > 添加书签列表 > 选择书签类型 > 预定义应用模板

无客户端 VPN 动态书签

我们将 CSCO_WEBVPN_DYNAMIC_URL 和 CSCO_WEBVPN_MACROLIST 添加到使用书签时的宏列表中。管理员可利用这些宏配置出可在无客户端用户的门户中生成多个书签链接的单个书签，并静态配置多个书签来利用 LDAP 属性地图提供的大小随机的列表。

修改了以下菜单项：配置 > 远程访问 VPN > 无客户端 SSL VPN 访问 > 门户 > 书签

VPN 标志长度增加

登录后在 VPN 远程客户端门户上显示的整体标志长度已从 500 增至 4000。

修改了以下命令：banner（策略组）。

修改了以下菜单项：配置 > 远程访问 VPN > .... 添加/编辑内部组策略 > 通用参数 > 标志

ASA 5506-X、5506W-X、5506H-X 和 5508-X 上的思科 Easy VPN 客户端

此版本支持在 ASA 5506-X 系列和 ASA 5508-X 型号的设备上使用思科 Easy VPN。当连接到 VPN 头端时，ASA 会充当 VPN 硬件客户端。当一个 ASA 设备连接到 Easy VPN 端口，其下面连接的所有设备（计算机、打印机等）都可通过 VPN 进行通信；这些设备无需单独运行 VPN 客户端。请注意只有一个 ASA 接口可用作 Easy VPN 端口；要使多个设备连接到该端口，您需在该端口安置一个第二层交换机，再将您的设备连接至交换机。

引入了以下命令：vpnclient enable、vpnclient server、vpnclient mode、vpnclient username、vpnclient ipsec-over-tcp、vpnclient management、vpnclient vpngroup、vpnclient trustpoint、vpnclient nem-st-autoconnect、vpnclient mac-exempt

引入了以下菜单项：配置 > VPN > Easy VPN Remote

监控功能

在系统日志消息中显示无效用户名

您现在可以在失败登录尝试的系统日志消息中显示无效用户名。在默认情况下，如果用户名无效或者有效性未知时，用户名会被隐藏。例如当用户意外键入密码而不是用户名时，在生成的系统日志消息中隐藏“用户名”会更为安全。您可能希望利用显示的无效用户名对登录问题进行故障排除。

引入了以下命令：no logging hide username

修改了以下菜单项：配置 > 设备管理 > 日志记录 > 系统日志设置

此功能同样适用于 9.2(4) 和 9.3(3) 版本。

REST API 功能

REST API 1.21 版本

增加了对 REST API 1.2.1 版本的支持。

防火墙功能

路由融合的连接等待超时

现在，您可以配置在连接使用的路由不再存在或不活动时，系统应保持连接的时间。如果路由在此抑制期间未变为活动状态，连接将被释放。您可以减小抑制计时器，使路由汇聚更快速地进行。但是，默认值 15 秒适合大多数网络，可以防止路由摆动。

添加了以下命令：timeout conn-holddown

修改了以下菜单项：配置 > 防火墙 > 高级 > 全局超时

远程访问功能

可配置 SSH 加密和 HMAC 算法。

用户可在执行 SSH 加密管理时选择密码模式，并可配置 HMAC 和加密来改变密钥交换算法。

引入了以下命令：ssh cipher encryption, ssh cipher integrity。

引入了以下菜单项：配置 > 设备管理 > 高级 > SSH 密码

同样适用于 9.1(7) 版本。

IPV6 支持 HTTP 重定向

现在，在为 ASDM 接入或无客户端 SSL VPN 启用 HTTP 重定向到 HTTPS 时，可将已发送的流量重定向到 IPv6 地址。

向以下命令添加了功能：http redirect

向以下菜单项添加了功能：配置 > 设备管理 > HTTP 重定向

同样适用于 9.1(7) 版本。

监控功能

用于故障切换的 SNMP engineID 同步

在故障切换对中，已配对 ASA 的 SNMP engineID 会在两个设备上同步。每个 ASA 都保存了 3 组 engineID：同步 engineID、本地 engineID 和远程 engineID。

SNMPv3 用户也可在创建配置文件以保留本地化 snmp-server user 身份验证和隐私选项时指定 ASA 的 engineID。如果用户不指定本地 engineID，show running-config 输出将显示每位用户的 2 个 engineID。

修改了以下命令：snmp-server user

无 ASDM 支持。

show tech support 改进

show tech support 命令现在：

• 包括 dir all-filesystems 输出 - 该输出可在以下情况中起作用：

  • SSL VPN 配置：检查所需资源是否在 ASA 上

  • 故障：检查日期时间戳及是否存在故障文件

• 删除 show kernel cgroup-controller detail 输出 - 此命令输出将保留在 show tech-support detail 的输出中。

修改了以下命令：show tech support

未修改任何菜单项。

同样适用于 9.1(7) 版本。

支持 CISCO-ENHANCED-MEMPOOL-MIB 中的 cempMemPoolTable

现在支持 CISCO-ENHANCED-MEMPOOL-MIB 的 cempMemPoolTable。这是一个内存池表，监控受管系统上所有物理实体的条目。

未添加或修改任何命令。

未修改任何菜单项。

同样适用于 9.1(7) 版本。

平台功能

提供思科 ISA 3000 支持

思科 ISA 3000 是一个装有 DIN 导轨的坚固型工业安全设备。它是一种低功耗、无风扇设备，并配有千兆以太网和专用管理端口。该型号设备中预装了 ASA Firepower 模块。该型号的特殊功能包括自定义的透明模式默认配置，以及允许流量在出现功率损耗时继续通过设备的硬件旁路功能。

引入了以下命令：hardware-bypass、hardware-bypass manual、hardware-bypass boot-delay、show hardware-bypass

引入了以下菜单项：配置 > 设备管理 > 硬件旁路

hardware-bypass boot-delay 命令不适用于 ASDM 7.5(1) 版本。

此功能不适用于 9.5(1) 版本。

平台功能

Firepower 9300 ASA 安全模块

我们引入了 Firepower 9300 ASA 安全模块。

高可用性功能

Firepower 9300 的机箱内 ASA 集群

最多可对 Firepower 9300 机箱内的 3 个安全模块建立集群。机箱中的所有模块都必须属于该集群。

引入了以下命令：cluster replication delay、debug service-module、management-only individual、show cluster chassis

引入了以下菜单项：配置 > 设备管理 > 高可用性和可扩展性 > ASA 集群复制

许可功能

Firepower 9300 ASA 的思科智能软件许可

我们为 Firepower 9300 ASA 引入了智能软件许可。

引入了以下命令：feature strong-encryption, feature mobile-sp, feature context

修改了以下菜单项：配置 > 设备管理 > 许可 > 智能许可

平台功能

VMware ASAv 不再需要 vCenter 支持

您现在可以使用 vSphere 客户端安装 VMware ASAv，而无需 vCenter，或使用 Day 0 配置安装 OVFTool。

亚马逊网络服务 (AWS) ASAv

您现在可以将 ASAv 与亚马逊网络服务 (AWS) 和 Day 0 配置结合使用。

远程访问功能

支持 AnyConnect 4.1 版本

ASDM 现在支持 AnyConnect 4.1 版本。

修改了以下菜单项：配置 > 远程访问 VPN >网络（客户端）访问 > AnyConnect 客户端配置文件（一个名为 AMP 启用服务配置的新配置文件）

平台功能

ASA 5506W-X、ASA 5506H-X、ASA 5508-X、ASA 5516-X

引入了以下型号：带有无线接入点的 ASA 5506W-X、强化型 ASA 5506H-X、ASA 5508-X 和 ASA 5516-X。

引入了以下命令：hw-module module wlan recover image 和 hw-module module wlan recover image。

未修改任何 ASDM 菜单项。

认证功能

美国国防部统一功能要求 (UCR) 2013 认证

ASA 已更新，符合 DoD UCR 2013 要求。请参阅下表中的各行，了解下列为 UCR 2013 认证添加的功能：

• 定期证书身份验证

• 证书到期警报

• 执行基本约束 CA 标记

• 从证书配置 ASDM 用户名

• ASDM 管理授权

• IKEv2 无效选择器通知配置

• IKEv2 十六进制预共享密钥

FIPS 140-2 认证合规更新

当在 ASA 上启用 FIPS 模式时，将会对 ASA 实施其他限制，以使其符合 FIPS 140-2。限制包括：

• RSA 和 DH 密钥大小限制 - 仅允许使用大小为 2K（2048 位）或以上的 RSA 和 DH 密钥。对于 DH，这意味着不允许使用第 1 组（768 位）、第 2 组（1024 位）和第 5 组（1536 位）密钥。

  注	密钥大小限制禁止 IKEv1 与 FIPS 结合使用。

• 数字签名的散列算法限制 - 仅允许使用 SHA256 或更安全的算法。

• SSH 密码限制 - 允许的密码为：aes128-cbc 或 aes256-cbc。MAC：SHA1

要查看 ASA 的 FIPS 认证状态，请参阅：

http://csrc.nist.gov/groups/STM/cmvp/documents/140-1/140InProcess.pdf

此 PDF 每周更新一次。

有关详细信息，请访问计算机安全部门的计算机安全资源中心网站：

http://csrc.nist.gov/groups/STM/cmvp/inprocess.html

修改了以下命令：fips enable

防火墙功能

改进了多核 ASA 上的 SIP 检查性能。

如果有多条 SIP 信令流通过多核 ASA，表明 SIP 检查性能已经改进。但是，如果您使用的是 TLS、电话或 IME 代理，则不会看到性能改进。

未修改任何命令。

未修改任何菜单项。

取消了对电话代理和 UC-IME 代理的 SIP 检查支持。

配置 SIP 检查后，将无法再使用电话代理或 UC-IME 代理。使用 TLS 代理检查加密流量。

删除了以下命令：phone-proxy 和 uc-ime。从 inspect sip 命令中删除了 phone-proxy 和 uc-ime 关键字。

从 Select SIP Inspect Map 服务策略对话框中删除了 Phone Proxy 和 UC-IME Proxy。

对 ISystemMapper UUID 消息 RemoteGetClassObject opnum3 的 DCERPC 检查支持。

ASA 从版本 8.3 开始支持非 EPM DCERPC 消息，支持 ISystemMapper UUID 消息 RemoteCreateInstance opnum4。此更改扩展了对 RemoteGetClassObject opnum3 消息的支持。

未修改任何命令。

未修改任何菜单项。

每个情景的 SNMP 服务器陷阱主机数没有限制

ASA 支持每个情景的 SNMP 服务器陷阱主机数不受限制。show snmp-server host 命令输出仅显示正在轮询 ASA 的活动主机，以及静态配置的主机。

修改了以下命令：show snmp-server host。

未修改任何菜单项。

VXLAN 数据包检查

ASA 可检查 VXLAN 报头以强制遵守标准格式。

引入了以下命令：inspect vxlan。

修改了以下菜单项：配置 > 防火墙 > 服务策略规则 > 添加服务策略规则 > 规则行为 > 协议检查

IPv6 的 DHCP 监控

您现在可以监控 IPv6 的 DHCP 统计信息和 DHCP 绑定。

引入了以下菜单项：

监控 > 接口 > DHCP > IPV6 DHCP 统计信息监控 > 接口 > DHCP > IPV6 DHCP 绑定。

TLS 会话的默认行为中的 ESMTP 检查更改。

已将 ESMTP 检查的默认设置更改为允许 TLS 会话，这些会话不会被检查。不过，此默认设置适用于新的或重新映像的系统。如果您升级了包括 no allow-tls 的系统，则该命令不会更改。

还在以下早期版本中进行了此默认行为更改：8.4(7.25)、8.5(1.23)、8.6(1.16)、8.7(1.15)、9.0(4.28)、9.1(6.1)、9.2(3.2)、9.3(1.2)、9.3(2.2)。

高可用性功能

阻止在备用 ASA 上生成系统日志

您现在可以阻止在备用设备上生成特定系统日志。

引入了以下命令：no logging message syslog-id standby。

未修改任何菜单项。

按接口启用和禁用 ASA 集群运行状况监控

您现在可以按接口启用或禁用运行状况监控。默认情况下，运行状况监控在所有端口通道冗余接口和单一物理接口上处于启用状态。运行状况监控不在 VLAN 子接口或虚拟接口（例如，VNI 或 BVI）上执行。您不能为集群控制链路配置监控；它始终处于被监控状态。您可能想禁用不重要的接口（例如管理接口）的运行状况检查。

引入了以下命令：health-check monitor-interface。

引入了以下菜单项：配置 > 设备管理 > 高可用性和可扩展性 > ASA 集群 > 集群接口运行状况监控

DHCP 中继的 ASA 集群支持

现在可以在 ASA 集群上配置 DHCP 中继。通过使用客户端 MAC 地址散列，使客户端 DHCP 请求在集群成员中实现了负载均衡。仍然不支持 DHCP 客户端和服务器功能。

引入了以下命令：debug cluster dhcp-relay

未修改任何菜单项。

ASA 集群中的 SIP 检查支持

您现在可以在 ASA 集群上配置 SIP 检查。控制流可以在任何设备上创建（由于负载均衡），但其子数据流必须驻留在同一设备上。不支持 TLS 代理配置。

引入了以下命令：show cluster service-policy

未修改任何菜单项。

路由功能

基于策略的路由

基于策略的路由 (PBR) 是一种机制，基于该机制，流量可以使用 ACL，通过带有指定 QoS 的特定路径进行路由。基于数据包的第 3 层和第 4 层报头的内容，ACL 可以对流量进行分类。管理员通过此解决方案可向不同的流量提供 QoS，在低带宽、低成本永久路径与高带宽、高成本交换式路径之间分发交互式和批处理流量，并允许互联网运营商和其他组织通过明确定义的互联网连接来路由源自各类用户的流量。

引入了以下命令：set ip next-hop verify-availability、set ip next-hop、set ip next-hop recursive、set interface、set ip default next-hop、set default interface、set ip df、set ip dscp、policy-route route-map、show policy-route 和 debug policy-route

引入或修改了以下菜单项：

配置 > 设备设置 > 路由 > 路由映射 > 基于策略的路由配置 > 设备设置 > 路由 > 接口设置 > 接口。

接口功能

VXLAN 支持

增加了 VXLAN 支持，包括 VXLAN 隧道终端 (VTEP) 支持。每个 ASA 或安全情景可以定义一个 VTEP 源接口。

引入了以下命令：debug vxlan、default-mcast-group、encapsulation vxlan、inspect vxlan、interface vni、mcast-group、nve、nve-only、peer ip、segment-id、show arp vtep-mapping、show interface vni、show mac-address-table vtep-mapping、show nve、show vni vlan-mapping、source-interface、vtep-nve、vxlan port

引入了以下菜单项：

配置 > 设备设置 > 接口设置 > 接口 > 添加 > VNI 接口配置 > 设备设置 > 接口设置 > VXLAN

监控功能

EEM 的内存跟踪

添加了一项新的调试功能来记录内存分配和内存使用情况，以响应内存日志记录封装事件。

引入或修改了以下命令：memory logging、show memory logging、show memory logging include、event memory-logging-wrap

修改了以下菜单项：配置 > 设备管理 > 高级 > 嵌入式事件管理器 > 添加事件管理器 Applet > 添加事件管理器 Applet 事件

对崩溃进行故障排除

show tech-support 命令输出和 show crashinfo 命令输出包含最新生成的 50 行系统日志。请注意，必须启用 logging buffer 命令才能出现这些结果。

远程访问功能

支持 ECDHE-ECDSA 密码

TLSv1.2 增加了对以下密码的支持：

• ECDHE-ECDSA-AES256-GCM-SHA384

• ECDHE-RSA-AES256-GCM-SHA384

• DHE-RSA-AES256-GCM-SHA384

• AES256-GCM-SHA384

• ECDHE-ECDSA-AES256-SHA384

• ECDHE-RSA-AES256-SHA384

• ECDHE-ECDSA-AES128-GCM-SHA256

• ECDHE-RSA-AES128-GCM-SHA256

• DHE-RSA-AES128-GCM-SHA256

• RSA-AES128-GCM-SHA256

• ECDHE-ECDSA-AES128-SHA256

• ECDHE-RSA-AES128-SHA256

  注	ECDSA 和 DHE 密码具有最高优先级。

引入了以下命令：ssl ecdh-group。

修改了以下菜单项：配置 > 远程访问 VPN > 高级 > SSL 设置。

无客户端 SSL VPN 会话 Cookie 访问限制

您现在可以防止第三方通过 JavaScript 等客户端侧脚本访问无客户端 SSL VPN 会话 Cookie。

引入了以下命令：http-only-cookie。

引入了以下菜单项：配置 > 远程访问 VPN > 无客户端 SSL VPN 访问 > 高级 > HTTP Cookie。

9.2(3) 中也包含此功能。

使用安全组标记的虚拟桌面访问控制

ASA 现在支持基于安全组标记的策略控制，从而可对内部应用和网站进行无客户端 SSL 远程访问。此功能将 Citrix 的虚拟桌面基础架构 (VDI) 与 XenDesktop 配合使用，将其用作交付控制器和 ASA 的内容转换引擎。

有关详细信息，请参阅以下 Citrix 产品文档：

• 用于 XenDesktop 和 XenApp 的策略：http://support.citrix.com/proddocs/topic/infocenter/ic-how-to-use.html

• 管理 XenDesktop 7 中的策略：http://support.citrix.com/proddocs/topic/xendesktop-7/cds-policies-wrapper-rho.html

• 将组策略编辑器用于 XenDesktop 7 策略：http://support.citrix.com/proddocs/topic/xendesktop-7/cds-policies-use-gpmc.html

为无客户端 SSL VPN 添加了 OWA 2013 的功能支持

无客户端 SSL VPN 支持 OWA 2013 中除以下功能外的新功能：

• 支持平板电脑和智能手机

• 离线模式

• Active Directory 联合身份验证服务 (AD FS) 2.0。ASA 和 AD FS 2.0 无法协商加密协议。

未修改任何命令。

未修改任何菜单项。

为无客户端 SSL VPN 添加了 Citrix XenDesktop 7.5 和 StoreFront 2.5 支持

无客户端 SSL VPN 支持访问 XenDesktop 7.5 和 StoreFront 2.5。

有关 XenDesktop 7.5 的功能的完整列表以及详细信息，请参阅 http://support.citrix.com/proddocs/topic/xenapp-xendesktop-75/cds-75-about-whats-new.html。

有关 StoreFront 2.5 的功能的完整列表以及详细信息，请参阅 http://support.citrix.com/proddocs/topic/dws-storefront-25/dws-about.html。

未修改任何命令。

未修改任何菜单项。

定期证书身份验证

启用定期证书身份验证时，ASA 将存储从 VPN 客户端接收的证书链，并定期对它们进行身份验证。

引入或修改了以下命令：periodic-authentication certificate、revocation-check 和 show vpn-sessiondb

修改了以下菜单项：

配置 > 设备管理 > 证书管理 > 身份证书配置> 设备管理 > 证书管理 > CA 证书

证书到期警报

ASA 每 24 小时检查一次信任点中的所有 CA 和 ID 证书是否到期。如果证书即将到期，则会将一条系统日志作为警报发出。可以配置提醒和重现间隔。默认情况下，提醒将在到期之前 60 天启动，每 7 天重现一次。

引入或修改了以下命令：crypto ca alerts expiration

修改了以下菜单项：

配置 > 设备管理 > 证书管理 > 身份证书配置> 设备管理 > 证书管理 > CA 证书

执行基本约束 CA 标记

默认情况下，不带 CA 标志的证书现在不能作为 CA 证书安装在 ASA 上。基本约束扩展标可确定证书的主题是否为 CA，及包含此证书的有效证书路径的最大深度。如果需要，可将 ASA 配置为允许安装这些证书。

引入了以下命令：ca-check

修改了以下菜单项：配置 > 设备管理 > 证书管理 > CA 证书

IKEv2 无效选择器通知配置

目前，如果 ASA 在 SA 上接收到入站数据包，并且数据包的报头字段与 SA 的选择器不一致，则 ASA 会丢弃该数据包。您现在可以启用或禁用向对等方发送 IKEv2 通知。默认情况下会禁用发送此通知。

引入了以下命令：crypto ikev2 notify invalid-selectors

IKEv2 十六进制预共享密钥

您现在可以配置十六进制形式的 IKEv2 预共享密钥。

引入了以下命令：ikev2 local-authentication pre-shared-key hex 和 ikev2 remote-authentication pre-shared-key hex

管理功能

ASDM 管理授权

现在可以单独为 HTTP 访问与 Telnet 和 SSH 访问配置管理授权。

引入了以下命令：aaa authorization http console

修改了以下菜单项：配置 > 设备管理 > 用户/AAA > AAA 访问 > 授权

从证书配置 ASDM 用户名

当启用 ASDM 证书身份验证 (http authentication-certificate) 时，可以配置 ASDM 从证书提取用户名的方式；还可以在出现登录提示时启用用户名预填充功能。

引入了以下命令：http username-from-certificate

引入了以下菜单项：配置 > 设备管理 > 管理访问 > HTTP 证书规则。

terminal interactive 命令用于在 CLI 中输入 ? 时启用或禁用帮助

通常，在 ASA CLI 中输入 ? 时，会显示命令帮助。要能输入 ? 作为命令中的文本（例如，将 ? 加入 URL 中），可以使用 no terminal interactive 命令禁用交互式帮助。

引入了以下命令：terminal interactive

REST API 功能

REST API 版本 1.1

添加了对 REST API 1.1 版的支持。

对基于令牌的授权的支持（除了现有的基本授权之外）

客户端可以将登录请求发送到特定 URL；如果发送成功，则会返回令牌（在响应报头中）。之后，客户端会将此令牌（在特殊请求报头中）用于发送其他 API 调用。在明确失效或到达空闲/会话超时之前，令牌一直有效。

有限的多情景支持

REST API 代理现在可以在多情景模式下启用；CLI 命令仅可以在系统情景模式下发出（与单情景模式的命令相同）。

直通 CLI API 命令可以用于配置任何情景，如下所示。

https://<asa_admin_context_ip>/api/cli?context=<context_name>

如果 context 参数不存在，则假设该请求会被定向到 admin 情景。

高级（精细）检测

支持对以下协议进行精细检查：

• DNS over UDP

• HTTP

• ICMP

• ICMP ERROR

• RTSP

• SIP

• FTP

• DCERPC

• IP Options

• NetBIOS Name Server over IP

• SQL*Net

平台功能

在系统日志消息中显示无效用户名

您现在可以在失败登录尝试的系统日志消息中显示无效用户名。在默认情况下，如果用户名无效或者有效性未知时，用户名会被隐藏。例如当用户意外键入密码而不是用户名时，在生成的系统日志消息中隐藏“用户名”会更为安全。您可能希望利用显示的无效用户名对登录问题进行故障排除。

引入了以下命令：no logging hide username

ASDM 中不支持此功能。

此功能在版本 9.4(1) 中不可用。

平台功能

ASA 5506-X 的 ASA FirePOWER 软件模块

在 ASA 5506-X 上，可以使用 ASDM 配置 ASA FirePOWER；无需单独的 FireSIGHT 管理中心，虽然可以用一个管理中心来代替 ASDM。

引入了以下菜单项：

主页 > ASA FirePOWER 控制面板

主页 > ASA FirePOWER 报告

配置 > ASA FirePOWER 配置

监控 > ASA FirePOWER 监控

平台功能

使用 KVM 和 Virtio 部署 ASAv

您可以使用基于内核的虚拟机 (KVM) 和 Virtio 虚拟接口驱动程序部署 ASAv。

平台功能

ASA 5506-X

引入了 ASA 5506-X。

引入或修改了以下命令：service sw-reset-button、upgrade rommon、show environment temperature accelerator

ASA 5506-X 的 ASA FirePOWER 软件模块

在 ASA 5506-X 上，可以使用 ASDM 配置 ASA FirePOWER；无需单独的 FireSIGHT 管理中心，虽然可以用一个管理中心来代替 ASDM。注意：此功能要求具有 ASA 7.3(3)。

引入了以下菜单项：

主页 > ASA FirePOWER 控制面板

主页 > ASA FirePOWER 报告

配置 > ASA FirePOWER 配置

监控 > ASA FirePOWER 监控

使用流量重定向接口的 ASA FirePOWER 被动仅监控模式

现在可以将流量转发接口配置为向模块发送流量，以代替使用服务策略。在这种模块下，模块和 ASA 都不会影响流量。

完全支持以下命令：traffic-forward sfr monitor-only。仅可在 CLI 中进行此配置。

ASA 5585-X 中的混合级别 SSP

现在，您可以在 ASA 5585-X 中使用以下混合级别 SSP：

• ASA SSP-10/ASA FirePOWER SSP-40

• ASA SSP-20/ASA FirePOWER SSP-60

要求：ASA SSP 在插槽 0 中，ASA FirePOWER SSP 在插槽 1 中

ASA REST API 1.0.1

增加了 REST API 来支持 ASA 的配置和管理主要功能。

引入或修改了以下命令：rest-api image、rest-api agent、show rest-api agent、debug rest-api、show version

支持 ASA 映像签名和验证

现在，ASA 映像使用数字签名进行签名。启动 ASA 后，系统将对数字签名进行验证。

引入了以下命令：copy /noverify、verify /image-signature、show software authenticity keys、show software authenticity file、show software authenticity running、show software authenticity development、software authenticity development、software authenticity key add special、software authenticity key revoke special

ASDM 中不支持此功能。

加速安全路径负载均衡

加速安全路径 (ASP) 负载均衡机制允许 CPU 的多个核心接收并独立处理来自接口接收环的数据包，从而降低丢包率并提高吞吐量。

引入了以下命令：asp load-balance per-packet-auto

引入了以下菜单项：配置 > 设备管理 > 高级 > ASP 负载均衡

防火墙功能

用于编辑 ACL 和对象的配置会话。

向前引用访问规则中的对象和 ACL。

现在，可以在单独的配置会话中编辑 ACL 和对象。还可以向前引用对象和 ACL，也就是说，可以为尚未存在的对象或 ACL 配置规则和访问组。

引入了以下命令：clear configuration session、clear session、configure session、forward-reference、show configuration session

ASDM 中不支持此功能。

适用于信任验证服务、NAT66、CUCM 10.5(1) 和 8831 型号电话的 SIP 支持。

现在，可以在 SIP 检测中配置信任验证服务服务器。还可以使用 NAT66。使用 CUCM 10.5(1) 对 SIP 检测进行了测试。

引入了以下命令：trust-verification-server。

引入了以下菜单项：配置 > 防火墙 > 对象 > 检查映射 > SIP > 添加/编辑 SIP 检查映射 > 细节 > TVS 服务器

对 CUCM 10.5(1) 的统一通信支持

使用思科统一通信管理器 10.5(1) 测试和验证了 SIP 和 SCCP 检验。

远程访问功能

Citrix VDI 的浏览器支持

现在，您可以使用基于 HTML 5 的浏览器解决方案访问 Citrix VDI，而无需在桌面设备上安装 Citrix Receiver 客户端。

用于 Mac OSX 10.9 的无客户端 SSL VPN

现在，我们在 Mac OSX 10.9 支持的所有浏览器上支持无客户端 SSL VPN 功能（例如重写程序、智能隧道和插件）。

与基于标准的第三方之间的互操作性，IKEv2 远程访问客户端

现在，我们通过基于标准的第三方 IKEv2 远程访问客户端（不仅仅是 AnyConnect）支持 VPN 连接。身份验证支持包括预共享密钥、证书以及通过可扩展身份验证协议 (EAP) 进行的用户身份验证。

引入或修改了以下命令：ikev2 remote-authentication、ikev2 local-authentication、clear vpn-sessiondb、show vpn-sessiondb、vpn-sessiondb logoff

引入或修改了以下菜单项：

向导 > IPSec IKEv2 远程访问向导。

配置 > 远程访问 VPN > 网络（客户端）访问 > IPSec (IKEv2) 连接配置文件

配置 > 远程访问 VPN > 网络（客户端）访问 > IPSec (IKEv2) 连接配置文件 > 添加/编辑 > 高级 > IPSec

监控 > VPN > VPN 统计信息 > 会话

传输层安全 (TLS) 1.2 支持

现在，我们支持使用 TLS 版本 1.2 进行 ASDM、无客户端 SSVPN 和 AnyConnect VPN 的安全消息传送。

引入或修改了以下命令：ssl client-version、ssl server-version、ssl cipher、ssl trust-point、ssl dh-group、show ssl、show ssl cipher、show vpn-sessiondb

弃用了以下命令：ssl encryption

修改了以下菜单项：

配置 > 设备管理 > 高级 > SSL 设置

配置 > 远程访问 VPN > 高级 > SSL 设置

AnyConnect 4.0 支持 TLS 版本 1.2

现在，AnyConnect 4.0 支持 TLS 版本 1.2，增加了以下四种密码套件：DHE-RSA-AES256-SHA256、DHE-RSA-AES128-SHA256、AES256-SHA256 和 AES128-SHA256。

许可功能

适用于 ASAv 的思科智能软件许可

通过智能软件许可，您可以购买和管理许可证池。与 PAK 许可证不同，智能许可证未绑定到特定序列号。您可以轻松部署或停用 ASA，而不必管理每台设备的许可密钥。通过智能软件许可，您还可以直观地了解许可证使用情况和需求。

引入了以下命令：clear configure license、debug license agent、feature tier、http-proxy、license smart、license smart deregister、license smart register、license smart renew、show license、show running-config license、throughput level

引入或修改了以下菜单项：

配置 > 设备管理 > 许可 > 智能许可

配置 > 设备管理 > Smart Call-Home

监控 > 属性 > 智能许可证

高可用性功能

锁定故障切换对中的备用设备或备用情景上的配置更改

现在可以锁定备用设备（主用/备用故障切换）或备用情景（主用/主用故障切换）上的配置更改，因此，除了正常的配置同步之外，将无法在备用设备上做出更改。

引入了以下命令：failover standby config-lock

修改了以下菜单项：配置 > 设备管理 > 高可用性和可扩展性 > 故障切换 > 设置

通过在内部网络之间设置 ASA 集群防火墙进行透明模式的 ASA 集群站点间部署

您现在可以在每个站点上的内部网络和网关路由器之间部署透明模式的集群（AKA 东西插入），并在站点之间扩展内部 VLAN。建议使用重叠传输虚拟化 (OTV)，但您可以使用任何可确保网关路由器的重叠 MAC 地址和 IP 地址在站点之间不泄漏的方法。使用 HSRP 等第一跃点冗余协议 (FHRP) 为网关路由器提供相同的虚拟 MAC 和 IP 地址。

接口功能

流量区域

您可以将接口集合到一个流量区域以实现流量负载均衡（使用等价多路径 (ECMP) 路由）、路由冗余以及多个接口之间的非对称路由。

引入或修改了以下命令：zone、zone-member、show running-config zone、clear configure zone、show zone、show asp table zone、show nameif zone、show conn long、show local-host zone、show route zone、show asp table routing、clear conn zone、clear local-host zone

引入或修改了以下菜单项：

配置 > 设备设置 > 接口参数 > 区域

配置 > 设备设置 > 接口参数 > 接口

路由功能

IPv6 的 BGP 支持

我们添加了对 IPv6 的支持。

引入或修改了以下命令：address-family ipv6、bgp router-id、ipv6 prefix-list、ipv6 prefix-list description、ipv6 prefix-list sequence-number、match ipv6 next-hop、match ipv6 route-source、match ipv6- address prefix-list、set ipv6-address prefix -list、set ipv6 next-hop、set ipv6 next-hop peer-address

引入了以下菜单项：配置 > 设备设置 > 路由 > BGP > IPv6 系列

监控功能

SNMP MIB 和陷阱

CISCO-PRODUCTS-MIB 和 CISCO-ENTITY-VENDORTYPE-OID-MIB 均已更新，以支持新的 ASA 5506-X。

ASA 5506-X 已作为新产品添加到 SNMP sysObjectID OID 和 entPhysicalVendorType OID 中。

ASA 现在支持 CISCO-CONFIG-MAN-MIB，它使您能够执行以下操作：

• 了解已为特定配置输入的命令。

• 在运行配置发生更改后通知 NMS。

• 跟踪与上一次更改或保存运行配置相关的时间戳。

• 跟踪命令的其他更改，例如，终端详细信息和命令源。

修改了以下命令：snmp-server enable traps

修改了以下菜单项：配置 > 设备管理 > 管理访问 > SNMP > 配置陷阱 > SNMP 陷阱配置

显示用于故障排除的路由摘要信息

show tech-support detail 命令中增加了 show route-summary 命令输出。

管理功能

系统备份和恢复

现在，我们支持使用 CLI 进行完整的系统备份和恢复。

引入了以下命令：backup、restore

未修改任何菜单项。此功能已在 ASDM 中提供。

防火墙功能

对 IPv6 的 SIP、SCCP 和 TLS 代理支持

现在使用 SIP、SCCP 和 TLS 代理（使用 SIP 或 SCCP）时可检查 IPv6 流量。

未修改任何命令。

未修改任何 ASDM 菜单项。

支持思科统一通信管理器 8.6

ASA 现在可与思科统一通信管理器 8.6 版本互操作（包括 SCCPv21 支持）。

未修改任何命令。

未修改任何 ASDM 菜单项。

适用于访问组和 NAT 的基于规则引擎的事务提交模型

一经启用，规则更新在规则编译完成后即可得以应用；不会影响规则匹配性能。

引入了以下命令：asp rule-engine transactional-commit、show running-config asp rule-engine transactional-commit、clear configure asp rule-engine transactional-commit

引入了以下菜单项：配置 > 设备管理 > 高级 > 规则引擎

远程访问功能

支持将 XenDesktop 7 用于无客户端 SSL VPN

我们添加了对 XenDesktop 7 的支持，可将其用于无客户端 SSL VPN。在自动登录状态下创建书签时，您现在可以指定登录页面 URL 或控制 ID。

未修改任何命令。

修改了以下菜单项：配置 > 远程访问 VPN > 无客户端 SSL VPN 访问 > 门户 > 书签

AnyConnect 自定义属性增强功能

自定义属性用于定义和配置 ASA 中未包含的 AnyConnect 功能，例如延迟升级。自定义属性配置已得到增强，以允许多个值和更长的值，而且现在需要其类型、名称和值的规格。这些属性现在可以添加到动态访问策略和组策略。升级到 9.3.x 后，以前定义的自定义属性将更新至此增强配置格式。

引入或修改了以下命令：anyconnect-custom-attr、anyconnect-custom-data 和 anyconnect-custom

引入或修改了以下菜单项：

配置 > 远程访问 VPN > 网络（客户端）访问 > 高级 > AnyConnect 自定义属性

配置 > 远程访问 VPN > 网络（客户端）访问 > 高级 > AnyConnect 自定义属性名称

配置 > 远程访问 VPN > 网络（客户端）访问 > 组策略 > 添加/编辑 > 高级 > AnyConnect 客户端 > 自定义属性

配置 > 远程访问 VPN > 网络（客户端）访问 > 动态访问策略 > 添加/编辑 > AnyConnect 自定义属性

适用于桌面平台的 AnyConnect Identity Extensions (ACIDex)

ACIDex 是指 AnyConnect 终端属性（也称为移动终端安全评估），AnyConnect VPN 客户端会使用这些属性与 ASA 进行终端安全评估信息通信。动态访问策略使用这些终端属性向用户进行授权。

现在，AnyConnect VPN 客户端可为桌面操作系统（Windows、Mac OS X 和 Linux）提供平台识别，并支持可供 DAP 使用的 MAC 地址池。

未修改任何命令。

我们修改了以下菜单项：配置 > 远程访问 VPN > 动态访问策略 > 添加/编辑 > 添加/编辑（终端属性），对于终端属性类型，选择 AnyConnect。此外，平台下拉列表中添加了更多操作系统，“MAC 地址”也已改为 MAC 地址池。

针对 VPN 的 TrustSec SGT 分配

现在，当远程用户连接到设备时，系统会向 ASA 上的 SGT-IP 表添加 TrustSec 安全组标记 (SGT)。

引入了以下新命令：security-group-tag value

引入或修改了以下菜单项：

配置 > 远程访问 VPN > AAA/本地用户 > 本地用户 > 编辑用户 > VPN 策略

配置 > 远程访问 VPN > 网络（客户端）访问 > 组策略 > 添加策略

高可用性功能

增强了对集群中模块运行状况监控的支持

我们增强了对集群中模块运行状况监控的支持。

修改了以下命令：show cluster info health

未修改任何 ASDM 菜单项。

禁用硬件模块的运行状况监控

默认情况下，ASA 会监控 ASA FirePOWER 模块等已安装硬件模块的运行状况。如果您不希望硬件模块故障触发故障切换，则可以禁用模块监控。

修改了以下命令：monitor-interface service-module

修改了以下菜单项：配置 > 设备管理 > 高可用性和可扩展性 > 故障切换 > 接口

平台功能

ASP 负载均衡

asp load-balance per-packet 命令中新增的 auto 选项使 ASA 能够以自适应方式在每个接口接收环上开启和关闭每数据包 ASP 负载均衡。这一自动机制可检测是否引入了不对称的流量，有助于避免以下问题：

• 因偶发的流量高峰而造成溢出

• 因大量流量过度订用特定接口接收环而造成溢出

• 因相对严重过载的接口接收环而造成溢出（这种情况下，一个核心无法维持负载）

引入或修改了以下命令：asp load-balance per-packet auto、show asp load-balance per-packet、show asp load-balance per-packet history 和 clear asp load-balance history

未修改任何 ASDM 菜单项。

SNMP MIB

CISCO-REMOTE-ACCESS-MONITOR-MIB 现在支持 ASASM。

接口功能

透明模式的网桥组最大数量增加到 250

网桥组最大数量从 8 个增加到 250 个网桥组。在单情景模式和多情景模式的每个情景中，最多可配置 250 个网桥组，每组最多 4 个接口。

修改了以下命令：interface bvi、bridge-group

修改了以下菜单项：

配置 > 设备设置 > 接口

配置 > 设备设置 > 接口 > 添加/编辑网桥组接口

配置 > 设备设置 > 接口 > 添加/编辑接口

路由功能

BGP 对 ASA 集群的支持

增加了对 BGP 用于 ASA 集群的支持。

引入了以下新命令：bgp router-id clusterpool

修改了以下菜单项：配置 > 设备设置 > 路由 > BGP > IPv4 系列 > 通用

不间断转发的 BGP 支持

添加了对 BGP 不间断转发的支持。

引入了以下新命令：bgp graceful-restart、neighbor ha-mode graceful-restart

修改了以下菜单项：

配置 > 设备设置 > 路由 > BGP > 通用

配置 > 设备设置 > 路由 > BGP > IPv4 系列 > 邻居

监控 > 路由 > BGP 邻居

通告映射的 BGP 支持

添加了对 BGPv4 通告映射的支持。

引入了以下新命令：neighbor advertise-map

修改了以下菜单项：配置 > 设备设置 > 路由 > BGP > IPv4 系列 > 邻居 > 添加 BGP 邻居 > 路由

OSPF 支持不间断转发 (NSF)

添加了对 NSF 的 OSPFv2 和 OSPFv3 支持。

添加了以下命令：capability、nsf cisco、nsf cisco helper、nsf ietf、nsf ietf helper、nsf ietf helper strict-lsa-checking、graceful-restart、graceful-restart helper、graceful-restart helper strict-lsa-checking

添加了以下菜单项：

配置 > 设备设置 > 路由 > OSPF > 设置 > NSF 属性

配置 > 设备设置 > 路由 > OSPFv3 > 设置 > NSF 属性

AAA 功能

第 2 层安全组标记实施

现在，可以使用结合了以太网标记的安全组标记来实施策略。SGT 加以太网标记，也称为第 2 层 SGT 强制，使 ASA 能够使用思科专有以太网帧 (Ether Type 0x8909) 在千兆以太网接口上发送和接收安全组标记，从而将源安全组标记插入纯文本以太网帧。

引入或修改了以下命令：cts manual、policy static sgt、propagate sgt、cts role-based sgt-map、show cts sgt-map、packet-tracer、capture、show capture、show asp drop、show asp table classify、show running-config all、clear configure all 和 write memory

修改了以下菜单项：

配置 > 设备设置 > 接口 > 添加接口 > 高级

配置 > 设备设置 > 接口 > 添加冗余接口 > 高级

配置 > 设备设置 > 添加以太网接口 > 高级

向导 > 数据包捕获向导

工具 > 数据包跟踪器

删除 AAA Windows NT 域身份验证

取消了对远程访问 VPN 用户的 NTLM 支持。

弃用了以下命令：aaa-server protocol nt

修改了以下菜单项：配置 > 远程访问 VPN > AAA/本地用户 > AAA 服务器组 > 添加 AAA 服务器组

ASDM 身份证书向导

使用当前 Java 版本时，ASDM 启动程序需要可信任证书。满足证书要求的一个简单方法就是安装自签身份证书。ASDM 身份证书向导可简化创建自签名身份证书的过程。首次启动 ASDM 且没有可信任证书时，系统会提示通过 Java Web Start 启动 ASDM。这时，这个新向导会自动启动。创建身份证书后，您需要将其注册至 Java 控制面板。有关说明，请参阅 https://www.cisco.com/go/asdm-certificate。

添加了以下菜单项：向导 > ASDM 身份证书向导

监控功能

监控物理接口的汇聚流量

show traffic 命令输出经过更新，现在包括物理接口汇聚流量信息。要启用此功能，必须先输入 sysopt traffic detailed-statistics 命令。

show tech support 改进

show tech support 命令现在包括 show resource usage count all 1 输出，包括有关转换、连接、检查、系统日志等的信息。这些信息有助于诊断性能问题。

修改了以下命令：show tech support

未修改任何菜单项。

ASDM 可以将僵尸网络流量过滤器报告保存为 HTML 而不是 PDF

ASDM 不能再将僵尸网络流量过滤器报告保存为 PDF 文件；可以改为将其保存为 HTML。

修改了以下菜单项：监控 > 僵尸网络流量过滤器

平台功能

在系统日志消息中显示无效用户名

您现在可以在失败登录尝试的系统日志消息中显示无效用户名。在默认情况下，如果用户名无效或者有效性未知时，用户名会被隐藏。例如当用户意外键入密码而不是用户名时，在生成的系统日志消息中隐藏“用户名”会更为安全。您可能希望利用显示的无效用户名对登录问题进行故障排除。

引入了以下命令：no logging hide username

修改了以下菜单项：配置 > 设备管理 > 日志 > 系统日志设置

DHCP 功能

DHCP 中继服务器会验证用于应答的 DHCP 服务器标识符

如果 ASA DHCP 中继服务器收到来自错误的 DHCP 服务器的应答，现在它会验证该应答是否来自正确的服务器，然后对应答做出反应。

监控功能

NAT-MIB cnatAddrBindNumberOfEntries 和 cnatAddrBindSessionCount OID 将允许 Xlate count 轮询。

添加对 NAT-MIB cnatAddrBindNumberOfEntries 和 cnatAddrBindSessionCount OID 的支持以支持 SNMP xlate_count 和 max_xlate_count。

此数据等同于 show xlate count 命令。