Les Cisco Secure Firewall 3130 et 3140 prennent désormais en charge les modules de réseau suivants  

• Module de réseau 2 ports 100G QSFP+ (FPR3K-XNM-2X100G)

Voir : Guide d’installation matérielle de Cisco Secure Firewall 3110, 3120, 3130 et 3140

L’appareil Firepower 9300 prend maintenant en charge les émetteurs-récepteurs optiques suivants :

• QSFP-40/100-SRBD

• QSFP-100G-SR1.2

• QSFP-100G-SM-SR

Sur ces modules de réseau :

• FPR9K-NM-4X100G

• FPR9K-NM-2X100G

• FPR9K-DNM-2X100G

Voir : Guide d’installation du matériel (GIM) pour Cisco Firepower 9300

Les paramètres du profil de rendement disponibles dans la politique des paramètres de la plateforme s’appliquent désormais au Cisco Secure Firewall 3100. Auparavant, cette fonctionnalité était prise en charge sur les Firepower 4100/9300, le Secure Firewall 4200 et sur les plateformes virtuelles de défense contre les menaces.

Vous pouvez désormais déployer, sans l’interface de dépistage, sur Threat Defense Virtual pour Azure et GCP. Auparavant, nous exigions une interface de gestion, une interface de dépistage et au moins deux interfaces de données. Les nouvelles exigences d’interface sont les suivantes :

• Azure : une de gestion, deux de données (maximum de huit)

• GCP : une de gestion, trois de données (maximum de huit)

Restrictions : Cette fonctionnalité n'est prise en charge que pour les nouveaux déploiements. Elle n’est pas prise en charge pour les périphériques mis à niveau.

Voir : Guide de démarrage de Cisco Secure Firewall Threat Defense Virtual

Les services de gestion des périphériques configurés dans les paramètres de la plateforme de défense contre les menaces (NetFlow, accès SSH, hôtes SNMP, serveurs syslog) sont désormais pris en charge sur les interfaces de routage et transfert virtuel (VRF) définies par l’utilisateur.

Restrictions de plateforme : non pris en charge avec les instances de conteneur ou les périphériques en grappe.

Vous pouvez déployer Secure Firewall 3100 en tant qu’appareil unique (mode l'appareil) ou en tant qu’instances de conteneurs multiples (mode multi-instance). Le mode multi-instances vous permet de déployer plusieurs instances de conteneur sur un seul châssis qui agissent comme des périphériques totalement indépendants. Notez qu’en mode multi-instance, vous mettez à niveau le système d’exploitation et le micrologiciel (mise à niveau du châssis) séparément des instances de conteneur (mise à niveau de la défense contre les menaces).

Écrans nouveaux ou modifiés :

• Périphériques > Gestion des périphériques > Ajouter > un châssis

• Périphériques > Gestion des périphériques > Périphérique > Gestionnaire de châssis

• Périphériques > Paramètres de la plateforme > Nouvelle politique > Paramètres de la plateforme du châssis

• Périphériques > Mise à niveau du châssis

Commandes nouvelles ou modifiées de l’interface de commande en ligne de protection contre les menaces : configure multi-instance network ipv4 , configure multi-instance network ipv6

Commandes nouvelles ou modifiées de l’interface de ligne de commande FXOS : create device-manager , set deploymode

Restrictions de plateforme : non pris en charge sur Secure Firewall 3105.

Vous pouvez désormais configurer des grappes de 16 nœuds pour Threat Defense Virtual pour VMware et Threat Defense Virtual pour KVM.

Vous pouvez maintenant configurer le basculement de la cible pour les périphériques virtuels de défense contre les menaces en grappe pour AWS à l’aide d’AWS Gateway Load Balancer (GWLB).

Restrictions de plateforme : non disponibles avec les licences de cinq et dix périphériques.

Vous pouvez désormais utiliser l’interface de ligne de commande pour détecter les incompatibilités de configuration dans les paires à haute disponibilité de la défense contre les menaces.

Commandes CLI nouvelles ou modifiées : show failover config-sync error , show failover config-sync stats

La haute disponibilité (HA) du centre de gestion comprend les améliorations de synchronisation suivantes :

• Les fichiers volumineux de l’historique de configuration peuvent faire échouer la synchronisation dans les réseaux à latence élevée. Pour éviter que cela se produise, les fichiers de l’historique de configuration du périphérique sont maintenant synchronisés en parallèle avec les autres données de configuration. Cette amélioration réduit également le temps de synchronisation.

• Le centre de gestion surveille désormais le processus de synchronisation du fichier de l’historique de configuration et affiche une alerte d’intégrité si la synchronisation expire.

Écrans nouveaux ou modifiés : vous pouvez afficher ces alertes sur les écrans suivants :

• Notifications – Centre de messages – Intégrité

• Integration > Autres intégrations > Haute disponibilité > État (sous Récapitulatif)

Voir : Affichage de l’état de la haute disponibilité de Cisco Firepower Management Center

Vous pouvez désormais surveiller les performances des applications de l’interface WAN sur le tableau de bord Récapitulatif SD-WAN.

Écrans nouveaux ou modifiés : Vue d'ensemble > Récapitulatif SD-WAN, > Surveillance d'application

Incidence sur la mise à niveau. Les connexions admissibles commencent à être déchargées.

Sur le pare-feu Secure Firewall 3100, les connexions IPsec admissibles via l’interface de boucle avec retour VTI sont maintenant déchargées par défaut. Auparavant, cette fonctionnalité n’était prise en charge que sur les interfaces physiques. Cette fonctionnalité est automatiquement activée par la mise à niveau.

Vous pouvez modifier la configuration à l’aide de FlexConfig et de la commande flow-offload-ipsec .

Les améliorations de débogage cryptographique introduites dans la version 7.4.0 s’appliquent désormais à Secure Firewall 3100 et Firepower 4100/9300. Auparavant, elles n’étaient prises en charge que sur Secure Firewall 4200.

Vous pouvez maintenant afficher les détails des interfaces de tunnel virtuel (VTI) des VPN basés sur le routage sur vos périphériques gérés. Vous pouvez également afficher les détails de toutes les interfaces d’accès virtuelles créées dynamiquement des VTI dynamiques.

Écrans nouveaux ou modifiés : Périphérique > Gestion des périphériques > Modifier un périphérique > Interfaces > onglet Tunnels virtuels.

Vous pouvez désormais utiliser FlexConfig pour configurer le routage par détection de transfert bidirectionnel (BFD) sur les interfaces IS-IS physiques, de sous-interface et EtherChannel.

Le centre de gestion comprend désormais les améliorations d’accès « zéro confiance » suivantes :

• Vous pouvez configurer la NAT source pour une application. L’objet réseau ou le groupe d’objets configuré traduit l’adresse IP source de réseau public de la demande entrante en une adresse IP routable à l’intérieur du réseau d’application.

• Vous pouvez résoudre les problèmes de configuration zéro confiance à l’aide de l’outil de dépistage.

Écrans nouveaux ou modifiés : Politiques > Contrôle d’accès, > Application zéro confiance

Commandes CLI nouvelles ou modifiées : show running-config zero-trust , show zero-trust statistics

Voir :

• Créer une application

• Surveiller les sessions Zero TRust (à confiance nulle)

• Référence des commandes de défense contre les menaces de Cisco Secure Firewall

Vous pouvez désormais détecter et gérer le protocole industriel commun (CIP) en utilisant les conditions d’application CIP et Ethernet/IP (ENIP) dans vos politiques de sécurité.

CIP Safety est une extension CIP qui permet le fonctionnement sûr des applications d’automatisation industrielle. L’inspecteur CIP peut désormais détecter les segments CIP Safety dans le trafic CIP. Pour détecter les segments CIP de sécurité, activez l’inspecteur CIP dans la politique d’analyse de réseau du centre de gestion et affectez-le à une politique de contrôle d’accès.

Écrans nouveaux ou modifiés : Politiques > Contrôle d'accès > Modifier une politique > Ajouter une règle > onglet Applications > Recherchez CIP Safety dans la boîte de recherche.

Voir : le Guide de configuration de Snort 3 de Cisco Secure Firewall Management Center

Incidence sur la mise à niveau. Mettre à jour les formulaires d’authentification personnalisés.

Vous pouvez configurer l'authentification active pour un domaine LDAP; un domaine ou une séquence de domaine Microsoft Active Directory. En outre, vous pouvez configurer une règle d’authentification passive pour qu’elle revienne à une authentification active à l’aide d’un domaine ou d’une séquence de domaines. Vous pouvez éventuellement partager des sessions entre des périphériques gérés qui partagent la même politique d’identité dans les règles de contrôle d’accès.

En outre, vous avez la possibilité d’exiger des utilisateurs qu’ils s’authentifient à nouveau lorsqu’ils accèdent au système à l’aide d’un périphérique géré différent de celui auquel ils accédaient précédemment.

Si vous utilisez le type d’authentification de la page de réponse HTTP, après avoir mis à niveau la défense contre les menaces, vous devez ajouter <select name="realm" id="realm"></select> à votre formulaire d’authentification personnalisée. Cela permet à l’utilisateur de choisir entre les domaines.

Restrictions : non pris en charge avec Microsoft Azure Active Directory.

Écrans nouveaux ou modifiés :

• Politiques > Identité > (modifier la politique) > Authentification active > Partager les sessions d'authentification actives entre les pare-feux

• Politique d’identité > (modifier) > Ajouter une règle > Authentification passive > Domaines et paramètres > Utilisez l’authentification active si l’identité passive ou VPN ne peut pas être établie

• Politique d’identité > (modifier) > Ajouter une règle > Authentification active > Domaines et paramètres > Utilisez l’authentification active si l’identité passive ou VPN ne peut pas être établie

Détermine si les utilisateurs doivent ou non s’authentifier lorsque leur session d’authentification est envoyée à un périphérique géré différent de celui auquel ils se sont connectés précédemment. Si votre entreprise exige que les utilisateurs s’authentifient chaque fois qu’ils changent d’emplacement ou de site, vous devez désactiver cette option.

• (Par défaut.) Activez cette option pour permettre aux utilisateurs de s’authentifier sur tout périphérique géré associé à la règle d’identité d’authentification active.

• Désactivez la fonction pour exiger de l’utilisateur qu’il s’authentifie auprès d’un autre périphérique géré, même s’il s’est déjà authentifié auprès d’un autre périphérique géré sur lequel la règle d’authentification active est déployée.

Écrans nouveaux ou modifiés : politiques, > identité > (modifier la politique) > Authentification active > Partagez les sessions d’authentification actives entre les pare-feu

Incidence sur la mise à niveau. Répétez toutes les configurations FlexConfig connexes après la mise à niveau.

Écrans nouveaux ou modifiés : Objets > Gestion des objets > Serveur AAA, > Groupe de serveurs RADIUS > Ajouter un groupe de serveurs RADIUS, > Fusionner l'ACL téléchargeable avec la paire d'ACL de Cisco AV

Nouvelles commandes CLI :

• sh run aaa-server aaa-server ISE-Server protocol radius merge-dacl after-avpair

• sh run aaa-server aaa-server ISE-Server protocol radius merge-dacl before-avpair

Vous pouvez désormais afficher les alertes sur l’intégrité du châssis pour les périphériques Firepower 4100/9300 en enregistrant le châssis auprès du centre de gestion en tant que périphérique en lecture seule. Vous devez également activer le module d’intégrité de défaillance de la plateforme de pare-feu Threat Defense et appliquer la politique d’intégrité. Les alertes s’affichent dans le centre de messages, le moniteur d’intégrité (dans le volet gauche, sous Périphériques, sélectionnez le châssis) et dans la vue des événements d’intégrité.

Vous pouvez également ajouter un châssis (et afficher les alertes d’intégrité pour) le Cisco Secure Firewall 3100 en mode multi-instance. Pour ces périphériques, vous utilisez le centre de gestion pour gérer le châssis. Mais pour les châssis Firepower 4100/9300, vous devez toujours utiliser le gestionnaire de châssis ou l’interface de ligne de commande de FXOS.

Écrans nouveaux ou modifiés : Devices (périphériques) > Device Management (gestion des périphériques) > Add (ajouter) > Chassis (châssis)

Voir : Ajouter un châssis au centre de gestion

Incidence sur la mise à niveau. Les seuils d’alerte d’utilisation de la mémoire peuvent être abaissés.

Nous avons amélioré la précision de l’utilisation de la mémoire du centre de gestion et avons abaissé les seuils d’alerte par défaut à 88 % pour l'avertissement et 90 % pour le niveau critique. Si vos seuils étaient supérieurs aux nouvelles valeurs par défaut, la mise à niveau les abaisse automatiquement : vous n’avez pas besoin d’appliquer des politiques d’intégrité pour que cette modification ait lieu. Notez que le centre de gestion peut maintenant redémarrer dans des conditions de mémoire système extrêmement critiques si l’arrêt des processus à mémoire élevée ne fonctionne pas.

Vous pouvez également ajouter de nouvelles métriques d’utilisation de la mémoire d’échange à un tableau de bord d’intégrité nouveau ou existant de centre de gestion. Assurez-vous de choisir le groupe de mesures Mémoire.

Écrans nouveaux ou modifiés :

• Système () > Health (intégrité) > Monitoring (supervision) > Firewall Management Center > Add/Edit Dashboard (ajouter/modifier un tableau de bord) > Memory (mémoire)

• Système () > Intégrité > Politique > Politique d'intégrité du centre de gestion > Mémoire

Vous pouvez activer la gestion des changements si votre entreprise doit mettre en œuvre des processus plus formels pour les modifications de configuration, y compris le suivi d’audit et l’approbation officielle avant le déploiement des modifications.

Nous avons ajouté la page System (système)() > Configuration > Change Management (gestion des changements) pour activer la fonctionnalité. Lorsqu’elle est activée, une page System (système)() > Change Management Workflow (flux de travail de la gestion des changements) s’affiche, de même qu’une icône d’accès rapide Ticket (billet)() dans le menu.

Consultez  : Gestion des changements

Incidence sur la mise à niveau du châssis ou de FXOS. Les mises à niveau de micrologiciel entraînent un redémarrage supplémentaire.

Pour les périphériques Firepower 4100/9300, les mises à niveau de FXOS à la version 2.14.1 comprennent désormais des mises à niveau des micrologiciels. Si un composant du micrologiciel sur le périphérique est plus ancien que celui inclus dans l’offre groupée FXOS, la mise à niveau FXOS met également à jour le micrologiciel. Si le micrologiciel est mis à niveau, le périphérique redémarre deux fois, une fois pour FXOS et une autre pour le micrologiciel.

Comme pour les mises à niveau de logiciels et de systèmes d’exploitation, n’apportez pas et ne déployez pas de modifications de configuration pendant la mise à niveau du micrologiciel. Même si le système semble inactif, ne le redémarrez pas ou ne l’éteignez pas manuellement pendant la mise à niveau du micrologiciel.

Voir : CGuide de mise à niveau du micrologiciel Cisco Firepower 4100/9300 FXOS

Vous pouvez générer automatiquement des rapports sur les modifications de configuration après les mises à niveau majeures et de la maintenance du centre de gestion. Cela vous aidera à comprendre les changements que vous êtes sur le point de déployer. Une fois que le système a généré les rapports, vous pouvez les télécharger à partir de l’onglet Tâches dans le centre de messages.

Restrictions de version : uniquement pris en charge pour les mises à niveau du centre de gestion à partir de la version 7.4.1 et ultérieures. Non pris en charge pour les mises à niveau vers la version 7.4.1 ou toute version antérieure.

Écrans nouveaux ou modifiés : System (système)() > Configuration > Upgrade Configuration (mettre à niveau la configuration) > Enable Post-Upgrade Report (activer le rapport après la mise à niveau)

Vous pouvez utiliser l’interface de ligne de commande du centre de gestion pour redémarrer et effacer définitivement les données de son disque dur. Une fois l’effacement terminé, vous pouvez installer une nouvelle image logicielle.

Commandes CLI nouvelles ou modifiées : secure erase

Consultez : Référence de ligne de commande de Cisco Secure Firewall Management Center.

Vous pouvez générer et télécharger des fichiers de dépannage pour chaque périphérique sur la page Périphérique, ainsi que pour tous les nœuds de la grappe sur la page Grappe. Pour une grappe, vous pouvez télécharger tous les fichiers en un seul fichier compressé. Vous pouvez également inclure les journaux de grappe de la grappe pour les nœuds de grappe. Vous pouvez également déclencher la génération de fichiers à partir du menu Devices (périphériques) > Device Management (gestion des périphériques) > More (plus)() > Troubleshoot Files (fichiers de dépannage).

Écrans nouveaux ou modifiés :

• Devices (Périphériques) > Device Management (Gestion des périphériques) > Device (périphérique) > General (Général)

• Périphériques > Gestion des périphériques > Grappe > Général

Si un nœud ne parvient pas à rejoindre la grappe, un fichier de dépannage est automatiquement généré pour ce dernier. Vous pouvez télécharger le fichier à partir de Tâches ou de la page Grappe.

Vous pouvez afficher un ensemble de sorties prédéfinies de l’interface de ligne de commande qui peuvent vous aider à dépanner le périphérique ou la grappe. Vous pouvez également saisir n’importe quelle commande show et voir le résultat.

Écrans nouveaux ou modifiés :Devices (Périphériques) > Device Management (Gestion des périphériques) > Cluster (Grappe) > General (Général)

Si le processus du plan de données plante, le système recharge uniquement ce dernier au lieu de redémarrer le périphérique. En plus du rechargement du processus du plan de données, Snort et quelques autres processus sont également rechargés.

Toutefois, si le processus du plan de données plante pendant le démarrage, le périphérique suit la séquence normale de rechargement/redémarrage, ce qui permet d’éviter une boucle du processus de rechargement.

Cette fonctionnalité est activée par défaut pour les périphériques nouveaux et mis à niveau.

Commandes CLI nouvelles ou modifiées : data-plane quick-reload , no data-plane quick-reload , show data-plane quick-reload status

Plateformes prises en charge : Firepower 1000/2100, Firepower 4100/9300

Restrictions de plateforme : non pris en charge en mode multi-instance.

Voir Référence des commandes de défense contre les menaces de Cisco Secure Firewall et la Référence des commandes de la série Cisco Secure Firewall ASA.

Le module d’intégrité de l’utilisation du disque n’émet plus d’alertes et de vidages fréquents d’événements. Vous pouvez continuer à voir ces alertes après la mise à niveau du centre de gestion jusqu’à ce que vous déployiez des politiques d’intégrité sur les périphériques gérés (arrêt de l’affichage des alertes) ou que vous mettiez à niveau les périphériques vers la version 7.4.1+ (arrêt de l’envoi des alertes).

Nous avons rendu obsolète le module d’intégrité de l’état du tunnel VPN. Utilisez plutôt les tableaux de bord VPN.

Incidence sur la mise à niveau. Répétez toutes les configurations FlexConfig connexes après la mise à niveau.

Cette fonctionnalité est désormais prise en charge dans l’interface Web du centre de gestion.

Ces périphériques prennent en charge les nouveaux modules de réseau suivants :

• Module de réseau 2 ports 100G QSFP+ (FPR4K-XNM-2X100G)

• Module de réseau 4 ports 200G QSFP+ (FPR4K-XNM-4X200G)

Voir : Guide d'installation du matériel Cisco Secure Firewall 4215, 4225 et 4245

Les paramètres de profil de rendement disponibles dans la politique des paramètres de plateforme s’appliquent maintenant à Secure Firewall 4200. Auparavant, cette fonctionnalité était prise en charge uniquement sur les périphériques Firepower 4100/9300 et sur Threat Defense Virtual.

Consultez : Configurer le profil de rendement.

Vous pouvez maintenant migrer facilement les configurations de Firepower 1000/2100 vers Secure Firewall 3100.

Écrans nouveaux ou modifiés  : Périphériques > Gestion des périphériques > Migration

Restrictions de plateforme : migration non prise en charge à partir des périphériques Firepower 1010 ou 1010E.

Consultez À propos de la migration du modèle de Cisco Secure Firewall Threat Defense

Vous pouvez migrer de Cisco Firepower Management Center 4600 vers Cisco Secure Firewall Management Center Virtual pour AWS avec une licence de 300 périphériques.

Voir : Guide d'intégration de Cisco Secure Firewall Management Center

Vous pouvez migrer de Cisco Firepower Management Center 1600/2600/4600 vers Secure Firewall Management Center 1700/2700/4700.

Voir : Guide d'intégration de Cisco Secure Firewall Management Center

Vous pouvez migrer Firepower Management Center 1000/2500/4500 vers Secure Firewall Management Center 1700/2700/4700. Pour la migration, vous devez mettre temporairement à niveau l’ancien centre de gestion de la version 7.0 à la version 7.4.0.

Important

La version 7.4 n’est prise en charge sur les périphériques 1000/2500/4500 que pendant le processus de migration. Vous devez minimiser le délai entre la mise à niveau du centre de gestion et la migration du périphérique.

Pour résumer le processus de migration :

1. Préparation à la mise à niveau et migration Lisez, comprenez et respectez toutes les conditions préalables décrites dans les notes de version, les guides de mise à niveau et le guide de migration. Assurez-vous que l’ancien centre de gestion est prêt à fonctionner : nouvellement déployé, entièrement sauvegardé, bonne intégrité de tous les appareils, etc. Vous devez également configurer le nouveau centre de gestion.

2. Mettez à niveau l’ancien centre de gestion et tous ses périphériques gérés vers la version 7.0.0 au minimum (version 7.0.5 recommandée). Si vous utilisez déjà la version minimale, vous pouvez ignorer cette étape.

3. Mettez à niveau l’ancien centre de gestion vers la version 7.4.0. Décompressez au format .zip (mais ne décompressez pas au format .tar) le paquet de mise à niveau avant de le téléverser sur le centre de gestion. Téléchargement à partir de : Version spéciale.

4. Migrez le centre de gestion comme décrit dans le guide de migration du modèle.

5. Vérifiez la réussite de la migration. Si la migration ne se déroule pas selon vos attentes et que vous souhaitez revenir en arrière, notez que la version 7.4 n’est pas prise en charge pour les opérations générales sur les modèles 1000/2500/4500. Pour rétablir une version prise en charge de l’ancien centre de gestion, vous devez rétablir l’image à la version 7.0, restaurer à partir d’une sauvegarde et réenregistrer les périphériques.

Voir :

• Cisco Secure Firewall Threat Defense Notes de mise à jour

• Guide de mise à niveau de Cisco Firepower Management Center, Version 6.0–7.0

• Guide d'intégration de Cisco Secure Firewall Management Center

Si vous avez des questions ou avez besoin d’aide au cours du processus de migration, communiquez avec Centre d’assistance technique Cisco (TAC).

Vous pouvez migrer des périphériques du centre de gestion Cisco Firepower Management Center 1000/2500/4500 vers Cloud-Delivered Firewall Management Center (centre de gestion de pare-feu en nuage).

Pour migrer des périphériques, vous devez temporairement mettre à niveau le centre de gestion sur site de la version 7.0.3 (7.0.5 recommandé) à la version 7.4.0. Cette mise à niveau temporaire est requise, car les centres de gestion version 7.0 ne prennent pas en charge la migration de périphériques vers le nuage. En outre, seuls les périphériques de défense contre les menaces autonomes et à haute disponibilité exécutant les versions 7.0.3+ (7.0.5 recommandées) sont admissibles à la migration. La migration en grappe n’est pas prise en charge pour le moment.

Important

La version 7.4.0 n’est prise en charge sur les périphériques 1000/2500/4500 que pendant le processus de migration. Vous devez minimiser le délai entre la mise à niveau du centre de gestion et la migration du périphérique.

Pour résumer le processus de migration :

1. Préparation à la mise à niveau et migration Lisez, comprenez et respectez toutes les conditions préalables décrites dans les notes de version, les guides de mise à niveau et le guide de migration.

   Avant d’effectuer la mise à niveau, il est particulièrement important que le centre de gestion sur site soit « prêt à l’emploi », c’est-à-dire qu’il ne gère que les périphériques que vous souhaitez migrer, que l’impact sur la configuration a été évalué (comme l’impact du VPN), qu’il vient d’être déployé et qu’il a été entièrement sauvegardé, que tous les périphériques sont en bon état, etc.

   Vous devez également assurer le provisionnement, la licence et la préparation du détenteur en nuage. Cela doit inclure une politique de journalisation des événements de sécurité; vous ne pouvez pas conserver le centre de gestion sur site pour l’analyse, car il exécutera une version non prise en charge.

2. Mettez à niveau le centre de gestion sur site et tous ses périphériques gérés vers la version 7.0.3 au minimum (version 7.0.5 recommandée).

   Si vous utilisez déjà la version minimale, vous pouvez ignorer cette étape.

3. Mettre à niveau le centre de gestion sur site vers la version 7.4.0.

   Décompressez au format .zip (mais ne décompressez pas au format .tar) le paquet de mise à niveau avant de le téléverser sur le centre de gestion. Téléchargement à partir de : Version spéciale.

4. Intégration du centre de gestion sur site à CDO

5. Migrez tous les périphériques du centre de gestion sur site vers Cloud-Delivered Firewall Management Center (centre de gestion de pare-feu en nuage), comme décrit dans le guide de migration.

   Lorsque vous sélectionnez les périphériques à migrer, assurez-vous de choisir Delete FTD from On-Prem FMC (Supprimer FTD du FMC sur site). Notez que le périphérique n’est pas entièrement supprimé, sauf si vous validez les modifications ou que 14 jours s’écoulent.

6. Vérifiez la réussite de la migration.

   Si la migration ne fonctionne pas comme prévu, vous avez 14 jours pour la rétablir, sinon elle est validée automatiquement. Cependant, notez que la version 7.4.0 n’est pas prise en charge pour les opérations générales. Pour rétablir une version prise en charge du centre de gestion sur site, vous devez supprimer les périphériques migrés, rétablir l’image à la version 7.0.x, restaurer à partir de la sauvegarde et réenregistrer les périphériques.

Voir :

• Cisco Secure Firewall Threat Defense Notes de mise à jour

• Guide de mise à niveau de Cisco Firepower Management Center, Version 6.0–7.0

• Migration du centre de gestion On-Prem Managed Secure Firewall Threat Defense vers le centre de gestion Firewall en nuage

Si vous avez des questions ou avez besoin d’aide au cours du processus de migration, communiquez avec Centre d’assistance technique Cisco (TAC).

Provisionnement sans intervention (également appelé provisionnement à faible intervention) vous permet d’enregistrer des périphériques Firepower 1000/2100 et Secure Firewall 3100 auprès du centre de gestion par numéro de série, sans avoir à effectuer de configuration initiale sur le périphérique. Le centre de gestion s’intègre à SecureX et Security Cloud Control pour cette fonctionnalité.

Écrans nouveaux ou modifiés : Périphériques > Gestion des périphériques > Ajouter > Périphérique > Numéro de série

Restrictions de version : cette fonctionnalité n’est pas prise en charge sur les périphériques Threat Defense versions 7.3.x ou 7.4.0 lorsque le centre de gestion n’est pas accessible de manière publique. L'assistance revient dans la version 7.4.1.

Consultez : Ajouter un périphérique au centre de gestion à l’aide du numéro de série (provisionnement à faible intervention)

Incidence de la mise à niveau. Fusionner les interfaces après la mise à niveau.

Pour les nouveaux périphériques utilisant la version 7.4 ou ultérieure, vous ne pouvez pas utiliser l’ancienne interface de dépistage. Seule l’interface de gestion fusionnée est disponible.

Si vous avez effectué la mise à niveau à la version 7.4 ou une version ultérieure et :

• Vous n'avez pas configuré l'interface de dépistage, alors les interfaces fusionneront automatiquement.

• Vous avez configuré l'interface de dépistage, vous avez alors le choix de fusionner les interfaces manuellement ou de continuer à utiliser l'interface de dépistage séparée. Notez que la prise en charge de l’interface de dépistage sera supprimée dans une version ultérieure. Vous devez donc planifier la fusion des interfaces dès que possible.

Le mode fusionné modifie également le comportement du trafic AAA pour utiliser la table de routage des données par défaut. La table de routage de gestion seule ne peut désormais être utilisée que si vous spécifiez l'interface de gestion seule (y compris la gestion) dans la configuration.

Pour les paramètres de la plateforme, cela signifie :

• Vous ne pouvez plus activer HTTP, ICMP ou SMTP pour le dépistage.

• Pour SNMP, vous pouvez autoriser les hôtes sur la gestion plutôt que sur les dépistages.

• Pour les serveurs Syslog, vous pouvez les atteindre pour la gestion plutôt que pour le dépistage.

• Si les paramètres de plateforme pour les serveurs syslog ou les hôtes SNMP précisent l’interface de dépistage par le nom, vous devez utiliser des politiques de paramètres de plateforme distinctes pour les périphériques fusionnés et non fusionnés.

• Les recherches DNS ne reposent plus sur la table de routage de gestion uniquement si vous ne spécifiez pas d’interfaces.

Écrans nouveaux ou modifiés : Périphériques > Gestion des périphériques > Interfaces

Commandes nouvelles ou modifiées : show management-interface convergence

Consultez  : Fusionner les interfaces de gestion et de dépistage

Vous pouvez maintenant spécifier une adresse IPv6 pour l’interface VXLAN VTEP. IPv6 n’est pas pris en charge pour la liaison de commande de grappe virtuelle de défense contre les menaces ou pour l’encapsulation de Geneve.

Écrans nouveaux ou modifiés :

• Périphériques > Gestion des périphériques > Modifier un périphérique > VTEP > Ajouter un VTEP

• Périphériques > Gestion des périphériques > Modifier les périphériques > Interfaces > Ajouter des interfaces > Interface VNI

Voir : Configurer les interfaces de Geneve

Vous pouvez désormais utiliser des interfaces de boucle avec retour pour AAA, BGP, DNS, HTTP, ICMP, le déchargement de flux IPsec, NetFlow, SNMP, SSH et syslog.

Écrans nouveaux ou modifiés : Périphériques > Gestion des périphériques – Modifier le périphérique – Interfaces – Ajouter des interfaces – Interface de bouclage

Voir  : Configurer les interfaces de boucle avec retour

Vous pouvez créer des objets de groupe d’interface avec des interfaces de gestion uniquement ou de boucle avec retour uniquement. Vous pouvez utiliser ces groupes pour les fonctionnalités de gestion telles que les serveurs DNS, l’accès HTTP ou SSH. Les groupes de boucle avec retour sont disponibles pour toute fonctionnalité qui peut utiliser des interfaces de boucle avec retour. Cependant, il est important de noter que le DNS ne prend pas en charge les interfaces de gestion.

Écrans nouveaux ou modifiés : objets > gestion des objets > interface > Ajouter > Groupe d’interface

Voir : Interface

La haute disponibilité de défense contre les menaces prend désormais en charge l’utilisation d’une interface de données standard pour la communication avec le centre de gestion. Auparavant, seuls les périphériques autonomes prenaient en charge cette fonctionnalité.

Consultez : Utilisation de l'interface de données de la défense contre les menaces FTD pour la gestion

Le tableau de bord du résumé WAN fournit un instantané de vos périphériques WAN et de leurs interfaces. Il fournit des renseignements sur votre réseau WAN et des renseignements sur l’intégrité de vos périphériques, la connectivité de l’interface, le débit des applications et la connectivité VPN. Vous pouvez surveiller les liaisons WAN et prendre des mesures de reprise proactives et rapide.

Écrans nouveaux ou modifiés : Vue d'ensemble > Récapitulatif du WAN

Consultez: Tableau de bord récapitulatif du WAN

Le routage basé sur des politiques (PBR) peut désormais utiliser les mesures de performance (RTT, gigue, pertes de paquets et MOS) collectées par la surveillance des chemins par le biais du client HTTP sur le domaine d’application plutôt que les mesures sur une adresse IP de destination spécifique. L’option de surveillance des applications basée sur HTTP est activée par défaut pour l’interface. Vous pouvez configurer une politique PBR avec une correspondance d’ACL pour les applications surveillées et l’ordre des interfaces pour la détermination du chemin.

Écrans nouveaux ou modifiés : Périphériques > Gestion des périphériques > Modifier le périphérique > Modifier l’interface > Surveillance des chemins > case à cocher Enable HTTP Based Application Monitoring (activer la surveillance des applications basées sur HTTP).

Restrictions de plateforme : non pris en charge pour les périphériques en grappe.

Consultez : Configurer les paramètres de surveillance des chemins.

Vous pouvez maintenant classer le trafic réseau en fonction des utilisateurs, des groupes d’utilisateurs et des groupes SGT dans les politiques PBR. Sélectionnez les objets d’identité et SGT lors de la définition des listes de contrôle d’accès étendues pour les politiques PBR.

Écrans nouveaux ou modifiés : Objets > Gestion des objets > Liste d’accès > Étendue > Ajouter/Modifier une liste d’accès étendue > Ajouter/Modifier une entrée de liste d’accès étendue > Utilisateurs et Étiquettes de groupes de sécurité

Consultez : Configurer les objets ACL étendus.

Sur Secure Firewall 4200, les connexions IPsec admissibles via l’interface de boucle avec retour VTI sont déchargées par défaut. Auparavant, cette fonctionnalité était prise en charge pour les interfaces physiques sur Secure Firewall 3100.

Vous pouvez modifier la configuration à l’aide de FlexConfig et de la commande flow-offload-ipsec .

Autres exigences : micrologiciel FPGA 6.2+

Voir : Décharge de flux IPsec

Nous avons apporté les améliorations suivantes au débogage de chiffrement :

• Les archives chiffrées sont maintenant proposées en format texte et binaire.

• Des compteurs SSL supplémentaires sont disponibles pour le débogage.

• Supprimez les règles de chiffrement bloquées du tableau ASP sans redémarrer le périphérique.

Commandes CLI nouvelles ou modifiées : show counters

Vous pouvez maintenant personnaliser Secure Client et déployer ces personnalisations sur la tête de réseau VPN. Voici les personnalisations Secure Client prises en charge :

• Texte et messages de l’interface graphique utilisateur

• Icônes et images

• Scripts

• Binaires

• Transformations personnalisées du programme d’installation

• Transformations localisées du programme d’installation

La défense contre les menaces distribue ces personnalisations au point terminal lorsqu’un utilisateur final se connecte à partir de Secure Client.

Écrans nouveaux ou modifiés :

• Objets > Gestion des objets des objet > VPN > Personnalisation de Secure Client

• >Périphériques > Accès à distance > Modifier la politique VPN > Avancé > Personnalisation de Secure Client

Voir : Personnaliser Cisco Secure Client.

Vous pouvez afficher les détails des sessions IKE et IPsec des nœuds VPN dans un format convivial dans le tableau de bord du VPN de site à site.

Écrans nouveaux ou modifiés : Présentation > VPN de site à site – Sous le gadget Tunnel Status, passez le curseur sur une topologie, cliquez sur View(afficher), puis sur l’onglet CLI Details (détails de l’interface de ligne de commande).

Consultez : Surveillance des VPN de site à site

Les événements de connexion contiennent désormais trois nouveaux champs : Chiffrer l’homologue, Déchiffrer l’homologue et Action VPN. Pour le trafic VPN de site à site basé sur les politiques et le routage, ces champs indiquent si une connexion a été chiffrée ou déchiffrée (ou les deux, pour les connexions en transit) et qui par.

Écrans nouveaux ou modifiés : vue du tableau des > événements de > connexion > d’analyse des événements

Consultez : Surveillance des événements de connexion VPN de site à site

Nous permettons désormais d’exempter plus facilement le trafic VPN de site à site de la traduction NAT.

Écrans nouveaux ou modifiés :

• Activer les exceptions NAT pour un point terminal : périphériques > VPN > site à site > ajouter/modifier un VPN de site à site > ajouter/modifier un point terminal > exempter le trafic VPN de la traduction d’adresses réseau

• Afficher les règles d’exemption de NAT pour les périphériques qui n’ont pas de politique NAT : Périphériques > NAT > Exemptions de NAT

• Afficher les règles d’exemption de NAT pour un seul périphérique : Périphériques > NAT > Politique NAT Threat Defense > Exemptions de NAT

Voir : Exemptions de NAT

Vous pouvez maintenant configurer le redémarrage progressif de BGP pour les réseaux IPv6 sur les périphériques gérés versions 7.3 ou ultérieures.

Écrans nouveaux ou modifiés : Périphériques >gestion des périphériques »

Voir : Configurer les paramètres de voisins BGP

Vous pouvez maintenant configurer un routeur virtuel avec un VTI dynamique pour un VPN de site à site basé sur le routage.

Écrans nouveaux ou modifiés : Périphériques > Gestion des périphériques > Modifier le périphérique > Routage > Propriétés du routeur virtuel > Interfaces VTI dynamiques sous Interfaces disponibles

Restrictions de plateforme : pris en charge uniquement sur les périphériques autonomes ou à haute disponibilité en mode natif. Non pris en charge pour les instances de conteneurs ou les périphériques en grappe.

Consultez : À propos des routeurs virtuels et du VTI dynamique.

Nous avons lancé l’accès zéro confiance, qui vous permet d’authentifier et d’autoriser l’accès à des ressources, des applications ou des données protégées basées sur le Web depuis l’intérieur (sur site) ou l’extérieur (à distance) du réseau à l’aide d’une politique de fournisseur d’identité SAML externe.

La configuration se compose d’une politique d’application à zéro confiance (ZTAP), d’un groupe d’applications et d’applications.

Écrans nouveaux ou modifiés :

• Politiques > Application Zero Trust

• Analysis (analyse) > Connections > Events

• Vue d'ensemble > Tableau de bord > Zero Trust

Commandes CLI nouvelles ou modifiées :

• show running-config zero-trust application

• show running-config zero-trust application-group

• show zero-trust sessions

• show zero-trust statistics

• show cluster zero-trust statistics

• clear zero-trust sessions application

• clear zero-trust sessions user

• clear zero-trust statistics

Le moteur de visibilité chiffrée (EVE) peut désormais :

• Bloquer les communications malveillantes dans le trafic chiffré en fonction du niveau de menace.

• Déterminer les applications client en fonction des processus détectés par EVE.

• Réassembler les paquets client Hello fragmentés à des fins de détection.

Écrans nouveaux ou modifiés : utilisez les paramètres avancés de la politique de contrôle d’accès pour activer la fonctionnalité Encrypted Visibility Engine (Moteur de visibilité chiffrée) et configurez ces paramètres.

Voir  : Moteur de visibilité chiffrée

Vous pouvez désormais exempter des réseaux et des ports spécifiques du contournement ou de la limitation des flux d’éléphants.

Écrans nouveaux ou modifiés :

• Lorsque vous configurez la détection de flux d’éléphants dans les paramètres avancés de la politique de contrôle d’accès, si vous activez l’option Remédiation de flux d’éléphants, vous pouvez maintenant cliquer sur Add Rule (ajouter une règle) et préciser le trafic que vous souhaitez exclure du contournement ou de la limitation.

• Lorsque le système détecte un flux d’éléphants qui est exempté du contournement ou de la limitation, il génère un événement de connexion à mi-flux avec la raison Flux d’éléphants exempté.

Restrictions de plateforme : non pris en charge sur le périphérique Firepower de la gamme 2100.

Une nouvelle API de détecteur Lua est maintenant introduite, qui mappe l’adresse IP, le port et le protocole du tout premier paquet d’une session TCP avec le protocole d’application (AppID de service), l’application client (AppID client) et l’application Web (AppID de charge utile). Cette nouvelle API Lua addHostFirstPktApp est utilisée pour l’amélioration des performances, la réinspection et la détection précoce des attaques dans le trafic. Pour utiliser cette fonctionnalité, vous devez téléverser le détecteur Lua en spécifiant les critères de détection dans les détecteurs avancés de votre détecteur pour application personnalisé.

Voir  : Détecteurs pour applications personnalisé

Incidence de la mise à niveau. Les nouvelles règles des politiques par défaut prennent effet.

Des données sensibles telles que les numéros de sécurité sociale, les numéros de carte de crédit, les courriels, etc. peuvent être divulguées sur Internet, intentionnellement ou accidentellement. La détection des données sensibles est utilisée pour détecter et générer des événements sur d’éventuelles fuites de données sensibles et ne génère des événements que s’il y a un transfert d’une quantité importante de renseignements personnels identifiables (PII). La détection des données sensibles peut masquer les renseignements nominatifs dans la sortie des événements, en utilisant des modèles intégrés.

La désactivation du masquage des données n’est pas prise en charge.

Voir : Règles personnalisées dans Snort 3

Nous avons amélioré l’inspection de JavaScript, qui s’effectue en normalisant JavaScript et des règles de mise en correspondance en fonction du contenu normalisé.

Voir : Guide de configuration Snort 3 deHTTP Inspect Inspector et de Cisco Secure Firewall Management Center.

Le système inclut désormais des informations MITRE (provenant de l’analyse locale des programmes malveillants) dans les événements liés aux fichiers et aux programmes malveillants. Auparavant, cette information n’était disponible que pour les incidents d'intrusion. Vous pouvez afficher les informations MITRE dans la vue des événements classique et unifiée. Notez que la colonne MITRE est masquée par défaut dans les deux vues d’événements.

Voir : Local Malware Analysis et Champs d’événements liés aux fichiers et aux programmes malveillants

Incidence sur la mise à niveau. L’identification de l’application sur les périphériques à mémoire limitée est affectée.

Pour VDB 363+, le système installe maintenant une VDB plus restreinte (également appelée VDB lite) sur les périphériques de mémoire inférieures exécutant Snort 2. Cette plus petite VDB contient les mêmes applications, mais moins de schémas de détection. Les périphériques utilisant la plus petite VDB peuvent ne pas identifier certaines applications par rapport aux périphériques utilisant la VDB complète.

Périphériques de mémoire inférieure : ASA 5506-X Series, ASA-5508-X, 5512-X, 5515-X, 5516-X, 5525-X, 5545-X

Restrictions de version : la possibilité d’installer une VDB plus petite dépend de la version du centre de gestion, et non des périphériques gérés. Si vous mettez à niveau le centre de gestion d’une version prise en charge vers une version non prise en charge, vous ne pouvez pas installer VDB 363+ si votre déploiement comprend ne serait-ce qu’un seul périphérique de mémoire inférieure. Pour obtenir la liste des versions concernées, consultez CSCwd88641.

Vous pouvez désormais configurer Cisco Secure Dynamic Attributes Connector sur le centre de gestion. Auparavant, il n’était disponible qu’en tant qu’application autonome.

Voir : Cisco Secure Dynamic Attributes Connector

Vous pouvez utiliser un domaine Microsoft Azure Active Directory (Azure AD) avec ISE pour authentifier les utilisateurs et obtenir des sessions d’utilisateur pour le contrôle des utilisateurs.

Écrans nouveaux ou modifiés :

• Intégration > Autres intégrations > Domaines > Ajouter un domaine > Azure AD

• Intégration > Autres intégrations > Domaines > Actions, telles que le téléchargement d’utilisateurs, la copie, la modification et la suppression d’utilisateurs

Versions ISE prises en charge : correctif 3.0 5+, 3.1 (tout niveau de correctif), 3.2 (tout niveau de correctif)

Consultez : Créer un domaine Microsoft Azure Active Directory.

Incidence sur la mise à niveau. Rétablir FlexConfigs après la mise à niveau.

NetFlow est une application de Cisco qui fournit des statistiques sur les flux de paquets. Vous pouvez désormais utiliser l’interface Web du centre de gestion pour configurer des périphériques de défense contre les menaces en tant qu’exportateurs NetFlow. Si vous avez une configuration NetFlow FlexConfig existante et que vous refaites vos configurations dans l’interface Web, vous ne pouvez pas effectuer le déploiement avant d’avoir supprimé les configurations FlexConfig obsolètes.

Écrans nouveaux ou modifiés : Périphériques > Paramètres de la plateforme > Politique de paramètres de défense contre les menaces > NetFlow

Consultez : Configurer NetFlow.

Amélioration de la convivialité du rapport d’événements et de la mise en correspondance des règles de déchiffrement.

• Nouvel état SSL pour indiquer si l’établissement de liaison SSL n’est pas terminé pour une connexion chiffrée. La colonne SSL State de l’événement de connexion affiche « Unknown (Incomplete Handshake) » lorsque l’établissement de liaison SSL de la connexion enregistrée n’est pas terminé.

• Les autres noms de sujet (SAN) des certificats sont désormais utilisés lors de la mise en correspondance des noms des autorités de certification, afin d’améliorer la mise en correspondance des règles de déchiffrement.

Écrans nouveaux ou modifiés :

• Analyse > Connexions > Événements > État SSL

• Analyse > Connexions > Événements liés à la sécurité > État SSL

Consultez : Champs d'événements liés à la connexion et à la sécurité.

Vous pouvez désormais envoyer des mesures et des informations de surveillance de l’intégrité de vos périphériques de défense contre les menaces vers un serveur externe (collecteur gNMI) à l’aide d’OpenConfig. Vous pouvez configurer la défense contre les menaces ou le collecteur pour initier la connexion, qui est chiffrée par TLS.

Écrans nouveaux ou modifiés : Système () > Intégrité > Politique > Politiques Firewall Threat Defense > Paramètres > Télémétrie en continu OpenConfig

Consultez : Envoyer des flux de télémétrie indépendants du fournisseur à l’aide d’OpenConfig

Vous pouvez ajouter plus de 600 nouvelles métriques d’abandon asp (chemin de sécurité accéléré) à un tableau de bord d’intégrité d’appareil nouveau ou existant. Assurez-vous de choisir le groupe de mesures ASP Drops (Abandons ASP).

Écrans nouveaux ou modifiés : Système () > Intégrité > Surveiller > Périphérique

Voir : Utilisation de la commande show asp drop

Vous pouvez diffuser en flux continu les modifications de configuration dans le cadre des données du journal d’audit vers syslog en spécifiant le format des données de configuration et les hôtes. Le centre de gestion prend en charge la sauvegarde et la restauration du journal de configuration d’audit.

Nouvel écran ou écran modifié : Système () > Configuration > Journal d’audit > Envoyer des modifications de configuration

Voir : Transmettre les journaux d’audit à Syslog

Vous pouvez définir des rôles d’utilisateur personnalisés pour faire la différence entre la configuration de prévention des intrusions dans les politiques et les règles de contrôle d’accès et le reste de la politique et des règles de contrôle d’accès. Grâce à ces autorisations, vous pouvez séparer les responsabilités de votre équipe d'administration du réseau et de votre équipe d'administration de la prévention des intrusions.

Lors de la définition des rôles des utilisateurs, vous pouvez sélectionner l'option Policies > Access Control > Access Control Policy > Modify Access Control Policy > Modify Threat Configuration (Politiques > Contrôle d'accès > Politiques de contrôle d'accès > Modifier la politique de contrôle d'accès > Modifier la configuration des menaces) pour autoriser la sélection de la politique de prévention des intrusions, de l’ensemble de variables et de la politique de fichiers dans une règle, la configuration des options avancées pour l’analyse de réseau et de prévention des intrusions, la configuration de la politique de Security Intelligence pour la politique de contrôle d’accès, et les actions de prévention des intrusions dans l’action par défaut de la politique. Vous pouvez utiliser l'option Modify Remaining Access Control Policy Configuration (modifier la configuration de la politique de contrôle d’accès restante) pour contrôler la modification de tous les autres aspects de la politique. Les rôles d’utilisateur prédéfinis existants qui incluaient l’autorisation Modifier la politique de contrôle d’accès continuent de prendre en charge toutes les sous-autorisations; vous devez créer vos propres rôles personnalisés si vous souhaitez appliquer des autorisations granulaires.

Consultez : Créer des rôles d’utilisateur personnalisés.

Auparavant, la défense contre les menaces ne prenait en charge que les URL OCSP IPv4. Désormais, la défense contre les menaces prend en charge les URL OCSP IPv4 et IPv6.

Consultez : Exiger des certificats clients HTTPS valides et Options de révocation de l’objet Inscription de certificats

Le serveur NTP par défaut pour les nouveaux déploiements de centres de gestion a été modifié, passant de sourcefire. Pool.ntp.org à time.cisco.com. Nous vous recommandons d’utiliser le centre de gestion pour purger ses propres périphériques. Vous pouvez mettre à jour le serveur NTP du centre de gestion sur Système () > configuration > Synchronisation de l’heure.

Consultez : Exigences d’accès Internet

Vous pouvez désormais :

• Gérer les licences Smart pour les grappes de défense contre les menaces à partir des Système () > licences Smart . Auparavant, vous deviez utiliser la page Device Management (gestion des périphériques).

  Voir : Licences pour les grappes de périphériques

• Téléchargez un rapport des notifications du centre de messages. Dans le centre de messages, cliquez sur la nouvelle icône Télécharger le rapport, à côté du curseur Afficher les notifications.

  Voir : Gestion des messages système

• Téléchargez un rapport de tous les périphériques enregistrés. Sur Périphériques > Gestion des périphériques, cliquez sur le nouveau lien Download Device List Report (Télécharger le rapport de la liste des périphériques), en haut à droite de la page.

  Voir : Télécharger la liste des périphériques gérés

• Dupliquer des objets de réseau et de port. Dans le gestionnaire d’objets (Objets > Gestion des objets), cliquez sur la nouvelle icône de clonage à côté d’un port ou d’un objet réseau. Vous pouvez ensuite modifier les propriétés du nouvel objet et l’enregistrer sous un nouveau nom.

  Voir : Créer des objets de réseau et Créer des objets de port.

• Créez facilement des tableaux de bord personnalisés de surveillance de l’intégrité et modifiez facilement les tableaux de bord existants.

  Consultez : Corrélation des mesures d’appareil

Sur Cisco Secure Firewall 4200, vous pouvez utiliser un nouveau mot-clé direction avec la commande capture .

Commandes nouvelles ou modifiées de l’interface de ligne de commande : capturecapture_nameswitchinterfaceinterface_name[ direction{ both| egress| ingress} ]

Voir : Référence des commandes de défense contre les menaces de Cisco Secure Firewall

Pour améliorer la continuité des opérations, un Snort qui ne répond pas peut désormais déclencher un basculement à haute disponibilité. Cela se produit parce que le Snort 3 redémarre si le processus ne répond plus. Le redémarrage du processus Snort interrompt brièvement le flux de trafic et l’inspection sur le périphérique. Ce qui, dans les déploiements à haute disponibilité, peut déclencher le basculement. (Dans un déploiement autonome, les configurations d'interface déterminent si le trafic est interrompu ou s'il passe sans inspection pendant l'interruption).

Cette fonction est activée par défaut. Vous pouvez utiliser l’interface de ligne de commande pour le désactiver ou configurer la durée ou le nombre de discussions qui ne répondent pas avant le redémarrage du Snort.

Commandes CLI nouvelles ou modifiées : configure snort3-watchdog

Voir : Référence des commandes de défense contre les menaces de Cisco Secure Firewall

Vous pouvez maintenant configurer les périphériques de défense contre les menaces en tant qu’exportateurs NetFlow à partir de l’interface Web du centre de gestion. Si vous faites cela, vous ne pouvez pas déployer tant que vous n’avez pas supprimé les configurations FlexConfig obsolètes.

Consultez : Configurer NetFlow.

6.4.0.17

7.0.6

7.2.4

7.3.1.1

7.4.0

Incidence sur la mise à niveau. L’identification de l’application sur les périphériques à mémoire limitée est affectée.

Pour VDB 363+, le système installe maintenant une VDB plus restreinte (également appelée VDB lite) sur les périphériques de mémoire inférieures exécutant Snort 2. Cette plus petite VDB contient les mêmes applications, mais moins de schémas de détection. Les périphériques utilisant la plus petite VDB peuvent ne pas identifier certaines applications par rapport aux périphériques utilisant la VDB complète.

Périphériques de mémoire inférieure : ASA 5506-X Series, ASA-5508-X, 5512-X, 5515-X, 5516-X, 5525-X, 5545-X

Restrictions de version : la possibilité d’installer une VDB plus petite dépend de la version du centre de gestion, et non des périphériques gérés. Si vous mettez à niveau le centre de gestion d’une version prise en charge vers une version non prise en charge, vous ne pouvez pas installer VDB 363+ si votre déploiement comprend ne serait-ce qu’un seul périphérique de mémoire inférieure. Pour obtenir la liste des versions concernées, consultez CSCwd88641.

Vous pouvez maintenant utiliser le centre de gestion pour sauvegarder des grappes de périphériques, sauf dans le nuage public. Utilisez l’interface de ligne de commande du périphérique pour la restauration.

Écrans nouveaux ou modifiés : Système () > Outils > , sauvegarde/restauration, > sauvegarde de périphérique géré

Commandes nouvelles ou modifiées : restore remote-manager-backup

Pour plus de renseignements, consultez Sauvegarde/Restauration dans le Guide d’administration.

Vous pouvez maintenant choisir les paquets de mise à niveau de défense contre les menaces que vous souhaitez télécharger directement vers le centre de gestion. Utilisez le nouveau sous-onglet Télécharger les mises à niveau l sur la page Mises à jour > Mises à jour de produit.

Restrictions de version : cette fonctionnalité est remplacée par un système de gestion des paquets amélioré dans les versions 7.2.6 et 7.4.1.

Voir : Télécharger les paquets de mise à niveau avec le centre de gestion

Vous utilisez maintenant l’assistant pour téléverser les paquets de mise à niveau de Threat Defense ou pour préciser leur emplacement. Auparavant (selon la version), vous utilisiez les Système () > mises à niveau ou Système () > mises à niveau de produits.

Restrictions de version : cette fonctionnalité est remplacée par un système de gestion des paquets amélioré dans les versions 7.2.6 et 7.4.1.

Voir : Mise à niveau de la défense contre les menaces

Incidence sur la mise à niveau. Tous les périphériques éligibles sont mis à niveau vers Snort 3 lors du déploiement.

Lorsque vous mettez à niveau de défense contre les menaces à la version 7.3+, vous ne pouvez plus désactiver l’option Mettre à niveau Snort 2 vers Snort 3.

Après la mise à niveau logicielle, tous les périphériques admissibles seront mis à niveau de Snort 2 vers Snort 3 lorsque vous déployez des configurations. Bien qu’il soit possible de rétablir des périphériques individuels, Snort 2 n’est pas pris en charge sur Threat Defense 7.7 et versions ultérieures. Vous devriez cesser de l’utiliser dès à présent.

Pour les périphériques qui ne sont pas éligibles à la mise à niveau automatique, car ils utilisent des politiques de prévention des intrusions ou d’analyse de réseau personnalisées, procédez à une mise à niveau manuelle vers Snort 3 afin d’améliorer la détection et les performances. Pour obtenir de l’aide lors de la migration, consultez Guide de configuration Cisco Secure Firewall Management Center pour Snort 3 pour votre version.

Incidence de la recréation d’image.

Dans la version 7.3, nous avons combiné l’ensemble d’installation et de mise à niveau de Threat Defense pour Secure Firewall 3100, comme suit :

• Paquet d’installation des versions 7.1 à 7.2 : cisco-ftd-fp3k.version.SPA

• Paquet de mise à niveau, versions 7.1 à 7.2 : Cisco_FTD_SSP_FP3K_Upgrade-version-build.sh.REL.tar

• Ensemble combiné version 7.3+ : Cisco_FTD_SSP_FP3K_Upgrade-version-build.sh.REL.tar

Bien que vous puissiez mettre à niveau la défense contre les menaces sans problème, vous ne pouvez pas restaurer l’image des anciennes versions de défense contre les menaces et des versions ASA directement vers la version 7.3+ de défense contre les menaces. Cela est dû à une mise à jour de ROMMON requise par le nouveau type d’image. Pour recréer l’image de ces anciennes versions, vous devez « passer par » ASA 9.19+, qui est pris en charge avec l’ancienne ROMMON, mais aussi les mises à jour de la nouvelle ROMMON. Il n’y a pas de programme de mise à jour de ROMMON distinct.

Pour accéder à la version 7.3+ de défense contre les menaces, vos options sont les suivantes :

• Mise à niveau de la version de défense contre les menaces 7.1 ou 7.2 : uUtilisez le processus de mise à niveau normal.

  Consultez le guide de mise à niveau approprié.

• Recréation de l'image à partir de la version 7.1 ou 7.2 de Defense contre les menaces : en effectuant une recréation d'image vers ASA 9.19+ d’abord, puis vers la version de défense contre les menaces 7.3+.

  voir Défense contre les menaces→ASA : Firepower 1000, 2100 ; Secure Firewall 3100, puis ASA→Threat Defense : Firepower 1000, 2100 Mode l'appareil; Secure Firewall 3100 dans Guide de réimage de Cisco Secure Firewall ASA et Secure Firewall Threat Defense.

• Recréation d’image à partir d’ASA 9.17 ou 9.18 : mise à niveau vers ASA 9.19+ d’abord, puis recréation d'image vers la version de défense contre les menaces 7.3+.

  Reportez-vous à Guide de mise à niveau de Cisco Secure Firewall ASA, puis à ASA→Threat Defense : Firepower 1000, 2100 Mode l'appareil; Secure Firewall 3100 dans Guide de réimage de Cisco Secure Firewall ASA et Secure Firewall Threat Defense.

• Recréation d'image à partir de la défense contre les menaces version 7.3+ : utilise le processus normal de recréation d’image.

  Voir Recréer l’image du système avec une nouvelle version du logiciel dans Guide de dépannage Cisco FXOS pour le Firepower 1000/2100 et Secure Firewall 1200/3100/4200 avec Firepower Threat Defense.

Incidence sur la mise à niveau. Le système se connecte à de nouvelles ressources.

Lors de la communication avec Cisco Smart Software Manager, le centre de gestion se connecte désormais à smartreceive.cisco.com au lieu de Tools.cisco.com.

La configuration initiale du centre de gestion planifie une tâche hebdomadaire pour télécharger les dernières mises à jour logicielles disponibles, qui comprend désormais la dernière base de données de vulnérabilités (VDB). Nous vous recommandons de passer en revue cette tâche hebdomadaire et de l’ajuster si nécessaire. Vous pouvez éventuellement planifier une nouvelle tâche hebdomadaire pour mettre à jour la VDB et déployer les configurations.

Écrans nouveaux ou modifiés : la case à cocher Vulnerability Database (base de données de vulnérabilités) est maintenant activée par défaut dans la tâche planifiée de téléchargement hebdomadaire de logiciel créée par le système.

À partir de la VDB 357, vous pouvez désormais installer n’importe quelle VDB en remontant aussi loin que la VDB de référence pour ce centre de gestion.

Après avoir mis à jour la VDB, déployez les modifications de configuration. Si vous avez basé vos configurations sur des vulnérabilités, des détecteurs d’applications ou des empreintes digitales qui ne sont plus disponibles, examinez ces configurations pour vous assurer que vous gérez le trafic comme prévu. De plus, gardez à l’esprit qu’une tâche planifiée pour mettre à jour la VDB peut annuler une restauration. Pour éviter cela, modifiez la tâche planifiée ou supprimez tous les nouveaux paquets de VDB.

Écrans nouveaux ou modifiés : sur System (système)() > Updates (mises à jour) > Product Updates (mises à jour des produits) > Available Updates (mises à jour disponibles), si vous téléchargez une ancienne VDB, une nouvelle icône Rollback (Restaurer) apparaît à la place de l’icône Install (installer).

Incidence sur la mise à niveau. Répétez toutes les configurations FlexConfig connexes après la mise à niveau.

Vous pouvez désormais utiliser l’interface Web du centre de gestion pour configurer des interfaces en tant qu’interfaces de confiance afin de conserver l’option 82 de DHCP. Ce faisant, ces paramètres remplacent toutes les configurations FlexConfig existantes, bien que vous deviez les supprimer.

L’option 82 DHCP est utilisée par les commutateurs et les routeurs en aval pour la surveillance DHCP et la protection source IP. Normalement, si l’agent de relais DHCP de la défense contre les menaces reçoit un paquet DHCP avec l’option 82 déjà définie, mais que le champ giaddr (qui spécifie l’adresse de l’agent de relais DHCP définie par l’agent de relais avant de transmettre le paquet au serveur) est réglé sur 0, la défense contre les menaces abandonnera ce paquet par défaut. Vous pouvez conserver l’option 82 et transférer le paquet en identifiant une interface comme interface de confiance.

Écrans nouveaux ou modifiés  : Périphériques > Gestion des périphériques > Ajouter/modifier un périphérique > DHCP > Relais DHCP

Autres restrictions de version : non prises en charge avec la version du centre de gestion 7.3.x ou 7.4.0. Si vous mettez à niveau vers une version non prise en charge, refaites vos FlexConfigs.

Consultez : Configurer les agents de relais DHCP.

Vous pouvez désormais créer des groupes de réseaux en plus des objets réseau lors de la modification d’une règle NAT.

Autres restrictions de version : non prises en charge avec la version du centre de gestion 7.3.x ou 7.4.0.

Consultez : Personnalisation des règles NAT pour plusieurs périphériques.

Autres restrictions de version : non prises en charge avec la version 7.3.x du centre de gestion ou de défense contre les menaces.

Voir : Redondance du module heartbeat

Lors d’une sauvegarde de configuration uniquement du centre de gestion active dans une paire à haute disponibilité, le système crée désormais un fichier de sauvegarde unique que vous pouvez utiliser pour restaurer l’une ou l’autre des unités.

Autres restrictions de version : non prises en charge avec la version du centre de gestion 7.3.x ou 7.4.0.

Consultez : Sauvegarde unifiée des centres de gestion en haute disponibilité

Vous pouvez maintenant ouvrir Packet Tracer à partir de la vue unifiée des événements (Analysis > Unified Events). Cliquez sur l'icône de points de suspension (…) à côté de l’événement souhaité et cliquez sur Open in Packet Tracer (Ouvrir dans le traceur de paquets).

Autres restrictions de versions : dans la version 7.2.x, utilisez l’icône de développement (>) au lieu de l’icône de points de suspension. Non pris en charge avec le centre de gestion version 7.3.x ou 7.4.0.

Consultez : Travailler avec la visionneuse d'événements unifiée

Le module d’analyse de l’intégrité du disque signale désormais si les fichiers d’historique de déploiement (restauration) utilisent un espace disque excessif sur le centre de gestion.. Déployer la politique d’intégrité du centre de gestion après la mise à niveau.

Autres restrictions de version : non prises en charge avec la version du centre de gestion 7.3.x ou 7.4.0.

Voir : Alerte sur l’intégrité du disque pour les fichiers historiques de configuration du périphérique

Un nouveau module d’intégrité d’état du serveur d’horloge signale les problèmes de synchronisation NTP. Déployer la politique d’intégrité du centre de gestion après la mise à niveau.

Autres restrictions de version : non prises en charge avec la version du centre de gestion 7.3.x ou 7.4.0.

Voir : Synchronisation de l’heure et modules d’intégrité

Vous pouvez générer, afficher et télécharger (sous forme de fichier compressé) les rapports suivants sur les modifications de configuration depuis votre dernier déploiement :

• Un rapport sur les modifications de politique pour chaque périphérique qui présente un aperçu des ajouts, des modifications ou des suppressions dans la politique ou des objets qui doivent être déployés sur le périphérique.

• Un rapport consolidé qui classe chaque périphérique en fonction de l’état de la génération de rapport sur les modifications de politique.

Cela est particulièrement utile après la mise à niveau du centre de gestion ou des périphériques de défense contre les menaces, afin que vous puissiez voir les modifications apportées par la mise à niveau avant de procéder au déploiement.

Écrans nouveaux ou modifiés : Deploy > Advanced Deploy (Déployer > Déploiement avancé).

Autres restrictions de version : non prises en charge avec la version du centre de gestion 7.3.x ou 7.4.0.

Consultez : Télécharger le rapport sur les modifications de politiques pour plusieurs périphériques.

Vous pouvez désormais définir le nombre de fichiers d’historique de déploiement à conserver pour la restauration du périphérique, jusqu’à dix (valeur par défaut). Cela peut vous aider à économiser de l’espace disque sur le centre de gestion.

Écrans nouveaux ou modifiés : Déployer > Historique de déploiement () > Paramètres de déploiement > paramètres de version de configuration

Autres restrictions de version : non prises en charge avec la version du centre de gestion 7.3.x ou 7.4.0.

Consultez : Définir le nombre de versions de configuration.

Une nouvelle page de mise à niveau facilite le choix, le téléchargement, la gestion et l’application des mises à niveau à l’ensemble de votre déploiement. Cela concerne le centre de gestion, les périphériques de défense contre les menaces et tout ancien périphérique NGIPSv/ASA FirePOWER. La page répertorie tous les paquets de mise à niveau qui s’appliquent à votre déploiement actuel, avec des versions suggérées spécialement indiquées. Vous pouvez facilement choisir et télécharger directement des paquets de Cisco, ainsi que téléverser et supprimer manuellement des paquets.

Un accès Internet est nécessaire pour récupérer la liste et télécharger directement des paquets de mise à niveau. Sinon, vous êtes limité à une gestion manuelle. Les correctifs ne sont pas répertoriés, sauf si vous avez au moins un périphérique à la version de maintenance appropriée (ou si vous avez téléchargé le correctif manuellement). Vous devez téléverser manuellement les correctifs.

Écrans nouveaux ou modifiés :

• System (système)() > Product Upgrades (mises à niveaux de produits) vous permettent désormais de mettre à niveau le centre de gestion et tous les périphériques gérés, ainsi que de gérer les packages de mise à niveau.

• System (système)() > Content Updates (mises à jour de contenu) vous permettent désormais de mettre à jour les règles de prévention des intrusions, la VDB et la GeoDB.

• Devices (Périphériques) > Threat Defense Upgrade (Mise à niveau de la défense contre les menaces) vous permet d'accéder directement à l'assistant de mise à niveau de la défense contre les menaces.

• System (système)() > Users (utilisateurs) > User Role (rôle d’utilisateur) > Create User Role (créer un rôle d’utilisateur) > Menu-Based Permissions (autorisations basées sur le menu) vous permettent désormais d’accorder l’accès aux Content Updates (mises à jour de contenu) (VDB, GeoDB, règles de prévention des intrusions) sans permettre l’accès aux Product Upgrades (mises à niveau de produits) (logiciel du système)).

Écrans ou options obsolètes :

• System (système)() > Updates (mises à jour) sont obsolètes. Toutes les mises à niveau de la défense contre les menaces utilisent désormais l'assistant.

• Le bouton Add Upgrade Package (ajouter un paquet de mise à niveau) de l’assistant de mise à niveau de Threat Defense a été remplacé par un lien Gérer les paquets de mise à niveau vers la nouvelle page de mise à niveau.

Autres restrictions de version : non prises en charge avec la version du centre de gestion 7.3.x ou 7.4.0.

Voir : Guide pour le centre de gestion de Cisco Secure Firewall Threat Defense Upgrade

Vous pouvez maintenant activer le retour arrière à partir de l’assistant de mise à niveau de Threat Defense.

Autres restrictions de version : vous devez mettre à niveau Threat Defense vers la version 7.1. Non pris en charge avec le centre de gestion version 7.3.x ou 7.4.0.

Voir : Guide pour le centre de gestion de Cisco Secure Firewall Threat Defense Upgrade

Utilisez l’assistant pour sélectionner les périphériques à mettre à niveau.

Vous pouvez désormais utiliser l’assistant de mise à niveau de Threat Defense pour sélectionner ou affiner les périphériques à mettre à niveau. Dans l’assistant, vous pouvez basculer l’affichage entre les périphériques sélectionnés, les candidats à la mise à niveau restants, les périphériques non admissibles (avec les motifs), les périphériques qui ont besoin du paquet de mise à niveau, etc. Auparavant, vous ne pouviez utiliser que la page de gestion des périphériques et le processus était beaucoup moins flexible.

Voir : Guide pour le centre de gestion de Cisco Secure Firewall Threat Defense Upgrade

La dernière page de l’assistant de mise à niveau de Defense Defense vous permet désormais de surveiller la progression de la mise à niveau. Cela s’ajoute à la capacité de surveillance existante sous l’onglet Mise à niveau sur la page de gestion des périphériques et sur le centre de messages. Notez que tant que vous n’avez pas commencé un nouveau flux de mise à niveau, la mise à niveau des périphériques > Threat Defense vous ramène à cette dernière page de l’assistant, où vous pouvez afficher l’état détaillé de la mise à niveau du périphérique en cours (ou la plus récente).

Autres restrictions de version : non prises en charge avec la version du centre de gestion 7.3.x ou 7.4.0.

Voir : Guide pour le centre de gestion de Cisco Secure Firewall Threat Defense Upgrade

L’assistant de mise à niveau de la défense contre les menaces prend désormais en charge les mises à niveau sans surveillance, à l’aide d’un nouveau menu Unattended Mode (Mode sans surveillance). Il vous suffit de sélectionner la version cible et les périphériques que vous souhaitez mettre à niveau, de spécifier quelques options de mise à niveau et de partir. Vous pouvez même vous déconnecter ou fermer le navigateur.

Voir : Guide pour le centre de gestion de Cisco Secure Firewall Threat Defense Upgrade

Nous autorisons désormais les flux de travail de mise à niveau simultanée par différents utilisateurs, pourvu que vous mettez à niveau différents périphériques. Le système vous empêche de mettre à niveau des périphériques déjà présents dans le flux de travail d'une autre personne. Auparavant, un seul flux de travail de mise à niveau était autorisé à la fois pour tous les utilisateurs.

Voir : Guide pour le centre de gestion de Cisco Secure Firewall Threat Defense Upgrade

Vous pouvez désormais ignorer la génération automatique des fichiers de dépannage avant les mises à niveau majeures et de maintenance en désactivant la nouvelle option Generate troubleshooting files before upgrade begins (Générer les fichiers de dépannage avant le début de la mise à niveau). Cela permet de gagner du temps et de l’espace disque.

Pour générer manuellement des fichiers de dépannage pour un périphérique Threat Defense, choisissez System (système)() > Health (intégrité) > Monitor (moniteur), cliquez sur le périphérique dans le panneau de gauche, sur View System & Troubleshoot Details (afficher les détails du système et du dépannage), puis sur Generate Troubleshooting Files (générer les fichiers de résolution de problèmes).

Voir : Guide pour le centre de gestion de Cisco Secure Firewall Threat Defense Upgrade

Le centre de gestion vous informe désormais lorsqu’une nouvelle version suggérée est disponible. Si vous ne souhaitez pas effectuer la mise à niveau tout de suite, vous pouvez demander au système de vous le rappeler ultérieurement, ou différer les rappels jusqu’à la prochaine version suggérée. La nouvelle page de mise à niveau indique également les versions suggérées.

Autres restrictions de version : non prises en charge avec la version du centre de gestion 7.3.x ou 7.4.0.

Voir : Nouvelles fonctionnalités de Cisco Secure Firewall Management Center par version

Une nouvelle page de démarrage et un nouvel assistant de mise à niveau facilitent la mise à niveau du centre de gestion. Après avoir utilisé System (système)() > Product Upgrades (mises à jour de produits) pour obtenir le package de mise à niveau approprié sur le centre de gestion, cliquez sur Upgrade (mettre à niveau) pour commencer.

Autres restrictions de version : uniquement pris en charge pour les mises à niveau du centre de gestion à partir de la version 7.2.6/7.4.1 et ultérieures. Non pris en charge pour les mises à niveau à partir de la version 7.3.x ou 7.4.0.

Voir : Guide pour le centre de gestion de Cisco Secure Firewall Threat Defense Upgrade

Sauf indication contraire dans les notes de version du correctif ou dans le TAC de Cisco, vous n’avez pas besoin d’interrompre la synchronisation pour installer un correctif sur les centres de gestion à haute disponibilité.

Autres restrictions de version : non prises en charge avec la version du centre de gestion 7.3.x ou 7.4.0.

Voir : Guide pour le centre de gestion de Cisco Secure Firewall Threat Defense Upgrade

Incidence sur la mise à niveau. Le système se connecte à de nouvelles ressources.

Le centre de gestion a modifié son emplacement de téléchargement direct pour les paquets de mise à niveau logicielle de sourcefire.com à amazonaws.com.

Autres restrictions de version : non prises en charge avec la version du centre de gestion 7.3.x ou 7.4.0.

Consultez : Exigences d’accès Internet

Incidence sur la mise à niveau. Les tâches de téléchargement planifiées cessent de récupérer les versions de maintenance.

La tâche planifiée Télécharger la dernière mise à jour ne télécharge plus les versions de maintenance; désormais, elle télécharge uniquement les derniers correctifs applicables et les mises à jour de VDB. Pour télécharger directement les versions de maintenance (et principales) vers le centre de gestion, utilisez System (système)() > Product Upgrades (mises à niveau de produits).

Autres restrictions de version : non prises en charge avec la version du centre de gestion 7.3.x ou 7.4.0.

Consultez : Automatisation des mises à jour logicielles.

Vous pouvez maintenant activer et désactiver l’optimisation des objets de contrôle d’accès à partir de l’interface Web du centre de gestion.

Écrans nouveaux ou modifiés : System (système) > Configuration > Access Control Preferences (préférences de contrôle d’accès) > Object Optimization (optimisation des objets)

Autres restrictions de version : l’optimisation des objets de contrôle d’accès est automatiquement activée sur tous les centres de gestion mis à niveau ou recréés vers les versions 7.2.4 à 7.2.5 et 7.4.0, et automatiquement désactivée sur tous les centres de gestion mis à niveau ou recréés vers la version 7.3.x. Elle est configurable et activée par défaut pour les centres de gestion dont l'image a été recrée en version 7.2.6 et ultérieures /7.4.1 et ultérieures, mais respecte votre paramètre actuel lorsque vous passez à ces versions.

Vous pouvez vérifier que tous les nœuds de la grappe peuvent communiquer entre eux sur la liaison de commande de grappe en effectuant un ping. L'une des principales causes de l'échec d'un nœud à rejoindre la grappe est une configuration incorrecte de la liaison de commande de la grappe; par exemple, la MTU de la liaison de commande de la grappe peut être plus élevée que les MTU des commutateurs de connexion.

Écrans nouveaux ou modifiés : Devices (périphériques) > Device Management (gestion des périphériques) > More (plus)() > Cluster Live Status (état en direct de la grappe)

Autres restrictions de version : non prises en charge avec la version du centre de gestion 7.3.x ou 7.4.0.

Pour améliorer la continuité des opérations, une utilisation excessive de la mémoire par lSnort peut désormais déclencher un basculement à haute disponibilité. Cela se produit parce que Snort 3 redémarre si le processus utilise trop de mémoire. Le redémarrage du processus Snort interrompt brièvement le flux de trafic et l’inspection sur le périphérique. Ce qui, dans les déploiements à haute disponibilité, peut déclencher le basculement. (Dans un déploiement autonome, les configurations d'interface déterminent si le trafic est interrompu ou s'il passe sans inspection pendant l'interruption).

Cette fonction est activée par défaut. Vous pouvez utiliser l’interface de ligne de commande pour le désactiver ou configurer le seuil de mémoire.

Restrictions de plateforme : non pris en charge avec les périphériques en grappe.

Commandes CLI nouvelles ou modifiées : configure snort3 memory-monitor , show snort3 memory-monitor-status

Autres restrictions de version : non pris en charge avec le centre de gestion ou la version 7.3.x de Threat Defense 7.3.x ou 7.4.0.

Voir : Référence des commandes de défense contre les menaces de Cisco Secure Firewall

Vous pouvez maintenant définir la fréquence des vidages de mémoire de Snort 3. Au lieu de générer un vidage de la mémoire à chaque plantage Snort, vous pouvez en générer un lors du prochain plantage Snort uniquement. Vous pouvez également en générer un si un plantage ne s’est pas produit au cours du dernier jour ou de la semaine.

Les vidages de mémoire de Snort 3 sont désactivés par défaut pour les périphériques autonomes. Pour les périphériques à haute disponibilité et en grappe, la fréquence par défaut est désormais une fois par jour.

Commandes CLI nouvelles ou modifiées : configure coredump snort3 , show coredump

Autres restrictions de version : non pris en charge avec le centre de gestion ou la version 7.3.x de Threat Defense 7.3.x ou 7.4.0.

Voir : Référence des commandes de défense contre les menaces de Cisco Secure Firewall

Les pertes de paquets résultant d’incohérences dans le tableau d’adresses MAC peuvent avoir une incidence sur vos capacités de débogage. Le pare-feu Secure Firewall 3100/4200 peut désormais capturer ces paquets abandonnés.

Commandes CLI nouvelles ou modifiées : [drop{ disable| mac-filter} ] dans la commande capture .

Autres restrictions de version : non pris en charge avec le centre de gestion ou la version 7.3.x de Threat Defense 7.3.x ou 7.4.0.

Voir : Référence des commandes de défense contre les menaces de Cisco Secure Firewall

Incidence sur la mise à niveau. Répétez toutes les configurations FlexConfig connexes après la mise à niveau.

Vous pouvez désormais utiliser l’interface Web du centre de gestion pour configurer des interfaces en tant qu’interfaces de confiance afin de conserver l’option 82 de DHCP. Ce faisant, ces paramètres remplacent toutes les configurations FlexConfig existantes, bien que vous deviez les supprimer.

Autres restrictions de version : cette fonctionnalité n’est pas prise en charge avec la version du centre de gestion 7.3.x ou 7.4.0. Si vous mettez à niveau vers une version non prise en charge, refaites également vos FlexConfigs.

Consultez : Configurer les agents de relais DHCP.

Incidence sur la mise à niveau. Vous devrez peut-être synchroniser les interfaces après la mise à niveau.

Dans certains cas, le centre de gestion peut manquer une configuration pour une interface même si l’interface est correctement configurée et fonctionne sur le périphérique. Si cela se produit et que votre centre de gestion exécute :

• Version 7.2.5 : le déploiement est bloqué jusqu’à ce que vous modifiez le périphérique et synchronisez à partir de la page Interfaces

• Versions 7.2.6+/7.4.1+ : le déploiement est autorisé avec un avertissement, mais vous ne pouvez pas modifier les paramètres de l’interface sans synchroniser au préalable.

Autres restrictions de version : non prises en charge avec la version du centre de gestion 7.3.x ou 7.4.0. Le centre de gestion ne bloque pas le déploiement et ne vous avertit pas des configurations manquantes. Vous pouvez toujours synchroniser les interfaces manuellement si vous rencontrez un problème.

Une nouvelle interface utilisateur expérimentale est disponible pour la stratégie de contrôle d’accès. Vous pouvez continuer à utiliser l’interface utilisateur existante ou essayer la nouvelle interface utilisateur.

La nouvelle interface comporte à la fois un affichage sous forme de tableau et de grille pour la liste de règles, la capacité d’afficher ou de masquer des colonnes, une recherche améliorée, un défilement sans fin, une vue plus claire du flux de paquets lié aux politiques associées à la politique de contrôle d’accès, et une fonction ajouter/modifier la boîte de dialogue pour créer des règles. Vous pouvez facilement basculer entre la nouvelle et l’ancienne interface utilisateur lors de la modification d’une politique de contrôle d’accès.

Remarque

La nouvelle interface ne comporte pas toutes les fonctionnalités disponibles dans l’interface existante et peut se heurter à des problèmes de performance lors de l’affichage d’un grand nombre de règles. Si vous rencontrez des problèmes avec la nouvelle interface utilisateur, revenez à l’ancienne. De plus, Centre d’assistance technique Cisco (TAC) apprécie vos commentaires. Si votre entreprise le permet, vous pouvez nous aider à améliorer cette fonctionnalité en vous assurant que l’analyse Web est activée : Système () > Configuration > Web Analytics (analyse Web).

Pour en savoir plus, consultez Politiques de contrôle d’accès.

Commandes CLI nouvelles ou modifiées : configure p2psync enable , configure p2psync disable , show peers , show peer details , sync-from-peer , show p2p-sync-status

Lorsque vous utilisez un centre de gestion de la version 7.2+ pour mettre à niveau Threat Defense à la version 7.2 ou ultérieure, vous pouvez désormais choisir de mettre à niveau Snort 2 vers Snort 3.

Après la mise à niveau logicielle, les périphériques admissibles seront mis à niveau de Snort 2 vers Snort 3 lorsque vous déployez des configurations. Pour les périphériques qui ne sont pas admissibles, car ils utilisent des stratégies d’intrusion ou d’analyse de réseau personnalisées, nous vous recommandons fortement de mettre à niveau manuellement Snort 3 pour une détection et une amélioration améliorées. Pour obtenir de l’aide, consultez Guide de configuration Cisco Secure Firewall Management Center pour Snort 3 pour votre version.

Restrictions de version : non pris en charge pour les mises à niveau de Threat Defense vers la version 7.0.x ou 7.1.x.

Vous pouvez désormais utiliser la page de mise à niveau des périphériques (Périphériques > Mise à niveau de périphériques pour mettre à niveau les grappes avec un seul nœud actif. Tous les nœuds désactivés sont également mis à niveau. Auparavant, ce type de mise à niveau échouait. Cette fonction n’est pas prise en charge à partir de la page des mises à jour du système (System (système)()Updates (mises à jour)).

Les mises à niveau rapides ne sont pas non plus prises en charge dans ce cas. Les interruptions du flux de trafic et de l’inspection dépendent des configurations d’interface de la seule unité active, tout comme pour les périphériques autonomes.

Plateformes prises en charge : Firepower 4100/9300, Secure Firewall 3100

Vous pouvez désormais annuler les mises à niveau de la défense contre les menaces à partir de l’interface de ligne de commande du périphérique si les communications entre le centre de gestion et le périphérique sont interrompues. Notez que dans les déploiements à haute disponibilité et évolutivité, la restauration est plus réussie lorsque toutes les unités sont restaurées simultanément. Lors du rétablissement à l’aide de l’interface de ligne de commande, ouvrez des sessions avec toutes les unités, vérifiez que le rétablissement est possible sur chacune, puis démarrez les processus en même temps.

Mise en garde

Le fait de revenir de l’interface de ligne de commande peut entraîner la désynchronisation des configurations entre le périphérique et le centre de gestion, en fonction de ce que vous avez modifié après la mise à niveau. Cela peut entraîner d’autres problèmes de communication et de déploiement.

Commandes CLI nouvelles ou modifiées : upgrade revert , show upgrade revert-info .

Pour économiser du temps et de l’espace disque, le processus de mise à niveau du centre de gestion ne génère plus automatiquement les fichiers de dépannage avant le début de la mise à niveau. Notez que les mises à niveau de périphériques ne sont pas affectées et continuent de générer des fichiers de dépannage.

Pour générer manuellement des fichiers de dépannage pour le centre de gestion, choisissez System (système)() > Health (intégrité) > Monitor (moniteur), cliquez sur Firewall Management Center dans le panneau de gauche, sur View System & Troubleshoot Details (afficher les détails du système et du dépannage), puis sur Generate Troubleshooting Files (générer les fichiers de résolution de problèmes).

En mai 2022, nous avons scindé la base de données GeoDB en deux ensembles : un ensemble de codes de pays qui mappe les adresses IP aux pays/continents, et un ensemble d’adresses IP qui contient des données contextuelles supplémentaires associées aux adresses IP routables. En janvier 2024, nous avons arrêté de fournir le paquet IP. Cela permet d’économiser de l’espace disque et n’affecte en aucun cas les règles de géolocalisation ou la gestion du trafic. Toutes les données contextuelles sont maintenant obsolètes et la mise à niveau vers les versions ultérieures supprime le paquet IP. Les options permettant de télécharger le paquet IP ou d’afficher les données contextuelles n’ont aucun effet et sont supprimées dans les versions ultérieures.