プラットフォーム機能

Cisco Secure Firewall 220

Cisco Secure Firewall 6160、6170

ASA 仮想 Grub ブートローダーが UEFI ファームウェアおよびセキュアブートでアップグレードされました。

Grub ブートローダーの Grub 0.94 から Grub 2.12 へのアップグレードでは、レガシー BIOS モードとともに、セキュアブート機能の有無にかかわらない UEFI ファームウェアをサポートするようになりました。セキュアブート機能により、ブートレベルのマルウェア保護が提供されます。新しい展開では、MS-DOS パーティション分割ディスクの代わりに GPT パーティション分割イメージも使用されます。アップグレードする場合、UEFI およびセキュアブートに変更することはできません。新しい展開でのみ新しいオプションを使用できます。

ASA 仮想 AWS デュアル アーム クラスタリング

デュアルアームモードでは、検査後、ASA 仮想 は NAT を実行し、外部インターフェイスからインターネットゲートウェイを介して直接インターネットにアウトバウンドトラフィックを転送します。アウトバウンドトラフィックは、GWLB と GWLB エンドポイントを往復することなく、検査後にインターネットに直接転送されるため、トラフィックホップが 2 つだけ減少します。この削減は、マルチ VPC 展開に共通の出力パスを提供する場合に特に役立ちます。デュアルアーム展開の場合、出力通信のみがサポートされます。

ASA 仮想 自動スケーリングを使用した GCP クラスタリング

自動スケーリングを使用した GCP クラスタリングが、ASAv30、ASAv50、および ASAv100 でサポートされるようになりました。

ASA 仮想OCI アンペア A1 ARM コンピューティングシェーピング サポート

OCI の新しい形。

ASA 仮想KVM フローオフロード

KVM 用 DPU でフローオフロードがサポートされるようになりました。

ASA 仮想 Nutanix AOS 6.8 のサポート

Nutanix AOS 6.8 では、パブリッククラウドの VPC と同様に VPC がサポートされます。

ASA 仮想 Caracal に対する OpenStack のサポート

ASA 仮想 展開は、OpenStack の Caracal リリースでサポートされています。

ASA 仮想 MANA NIC サポート

ASA 仮想 は、次のインスタンスで、Microsoft Azure の MANA NIC ハードウェアをサポートします。

• Standard_D8s_v5

• Standard_D16s_v5

ファイアウォール機能

Cisco Secure Firewall 6100 のアプリケーションの可視性と制御（AVC）

アプリケーションの可視性と制御（AVC）を使用すると、IP アドレスとポートだけでなく、アプリケーションに基づいてアクセス制御ルールを作成できます。AVC は脆弱性データベース（VDB）をダウンロードします。このデータベースでは、アクセス制御ルールで使用できるネットワークサービスオブジェクトとグループが作成されます。オブジェクトはさまざまなアプリケーションを定義し、グループはアプリケーションカテゴリを定義します。これにより、IP アドレスやポートを指定せずに、アプリケーションまたは接続のクラス全体を簡単にブロックできます。

次のコマンドが導入または変更されました。avc 、avc download vdb 、clear avc 、clear object-group 、network-service reload 、show avc 、show service-policy 。また、ネットワークサービスオブジェクト定義の一部として app-id コマンドを入力することができなくなります。

サポートされているプラットフォーム： Cisco Secure Firewall 6100

ハイ アベイラビリティとスケーラビリティの各機能

VPN モードを変更するための再起動は必要ありません

分散モードと集中型モードの間で VPN モードを変更する場合、再起動は必要なくなりました。ただし、モードを変更する前に、すべてのノードでクラスタリングを無効にする必要があります。

データノードはクラスターに同時に参加できます

以前は、制御ノードで一度に 1 つのデータノードのみがクラスターに参加できました。設定の同期に時間がかかる場合、データノードの結合に時間がかかることがあります。同時結合はデフォルトで有効になっています。NAT および VPN 分散モードが有効になっている場合、同時結合は使用できません。

次のコマンドが追加/変更されました。concurrent-join 、show cluster info concurrent-join incompatible-config

クラスターノード結合での MTU ping テストでは、MTU を小さくすることでより多くの情報が提供されます。

クラスターに参加したノードは、クラスター制御リンク MTU と一致するパケットサイズで制御ノードに ping を送信することで MTU の互換性をチェックします。ping が失敗した場合は、MTU を 2 で割った値を試し、MTU ping が成功するまで 2 で割った値を返しません。通知が生成されるため、MTU を適切な値に修正して再試行できます。スイッチ MTU サイズを推奨値に増やすことを推奨しますが、スイッチ設定を変更できない場合は、クラスター制御リンクの有効な値を使用してクラスターを形成できます。

次のコマンドが追加/変更されました。show cluster history

CPU 使用率が高いクラスター制御リンクの正常性チェックの改善

クラスターノードの CPU 使用率が高い場合、正常性チェックは一時停止され、ノードは異常とはマークされません。正常性チェックを一時停止する CPU 使用率のしきい値を設定できます。

次のコマンドが追加/変更されました。cpu-healthcheck-threshold

Cisco Secure Firewall 6100 でのクラスタリング

最大 4 つの Cisco Secure Firewall 6100 ノードをスパンド EtherChannel または個別インターフェイスモードでクラスター化できます。

クラスタリングでの枯渇モニタリングのブロック

ブロックの枯渇が発生すると、ASA はトラブルシューティングログを収集し、syslog を送信します。クラスタリングでは、他のノードがトラフィックを処理できるように、そのノードはクラスタから離脱します。ASA は、クラッシュおよびリロードを強制して枯渇から回復することもできます。

追加/変更されたコマンド：fault-monitor 、block-depletion 、block-depletion recovery-action 、block-depletion monitor-interval

分散型サイト間 VPN モードのダイナミック PAT サポート

分散型モードでダイナミック PAT がサポートされるようになりました。ただし、インターフェイス PAT はまだサポートされていません。

SNMP の機能拡張

このリリースでは、ENTITY-MIB および IF-MIB のポーリングエクスペリエンスを改善するために、SNMP が強化されました。これらの改善は、Cisco Secure Firewall 4200 および Cisco Secure Firewall 6100 シリーズのプラットフォーム専用です。

インターフェイス機能

DNS サーバーとドメインのリストを IPv6 クライアントにアドバタイズする再帰 DNS サーバー（RDNSS）および DNS 検索リスト（DNSSL）オプション

再帰 DNS サーバー（RDNSS）および DNS 検索リスト（DNSSL）オプションを設定することで、ルータアドバタイズメントを使用して DNS サーバーとドメインを SLAAC クライアントに提供できるようになりました。

新規/変更されたコマンド：ipv6 nd ra dns-search-list domain 、ipv6 nd ra dns server 、show ipv6 nd detail 、show ipv6 nd ra dns-search-list 、 show ipv6 nd ra dns server 、show ipv6 nd summary

管理、モニタリング、およびトラブルシューティングの機能

SSH X.509 証明書認証

X.509v3 証明書を使用して SSH のユーザーを認証できるようになりました（RFC 6187）。

新規/変更されたコマンド：aaa authorization exec ssh-x509 、ssh authentication method 、ssh trustpoint sign、 ssh username-from-certificate 、validation-usage ssh-client

9.20(4) でも同様です。

AES-256-GCM SSH 暗号

ASA は、SSH の AES-256-GCM 暗号をサポートしています。デフォルトでは、暗号化レベル [すべて（all）] と [高（high）] で有効になっています。

新規/変更されたコマンド： ssh cipher encryption

9.20(4) でも同様です。

Linux カーネルクラッシュダンプ

Linux カーネルクラッシュダンプ機能を使用すると、カーネルクラッシュイベントをデバッグし、根本原因を見つけることができます。この機能は、デフォルトでイネーブルにされています。

新規/変更されたコマンド：show kernel crash-dump 、kernel crash-dump 、crashinfoforce kernel-dump

ASA Virtual での同意トークンを使用したルートシェルアクセスのサポート

ASA Virtual は、承認ユーザーが管理者パスワードなしでトラブルシューティングまたは診断の目的で Linux ルートシェルにワンタイムアクセスできるようにする新しい同意トークンメカニズムをサポートします。

新規/変更されたコマンド：consent-token generate-challenge shell-access 、consent-token accept-response shell-access

ASDM 機能

ASDM 証明書認証

ASDM 7.24 に付属している ASDM ランチャー 1.9(10) では、ユーザー証明書認証がサポートされるようになりました。以前は、この機能は Java Web Start でのみサポートされていました（7.18 で廃止）。ASA コマンドが 9.18 で廃止されていないため、ASDM ランチャー 1.9(10) を含む ASDM バージョンを使用する場合は証明書認証を使用するように以前の ASA バージョンを設定できます。

新規/変更されたコマンド：http authentication-certificate 、http username-from-certificate

新規/変更された画面：

• ASDM ランチャーのログインウィンドウ。

VPN 機能

SGT over VTI

VTI トンネルで Cisco TrustSec SGT タグがサポートされるようになりました。

新規/変更されたコマンド：cts manual , propagate sgt、policy static sgt

VTI 向け ECMP および BFD 障害検出のサポート

1 つ以上のダイナミック VTI インターフェイスを Equal-Cost Multi-Path（ECMP）ゾーンに含めることができます。ゾーンを使用すると、スポークへのトラフィックのロードバランシングができます。Bidirectional Forwarding Detection（BFD）リンクの検出が高速になり、障害のある VTI リンクを数ミリ秒またはマイクロ秒単位で検出します。

新規/変更されたコマンド：bfd template 、vtemplate-bfd 、vtemplate-zone-member 、show zone 、show conn all 、show route

分散型サイト間 VPN のループバック インターフェイスのサポート

分散サイト間モードでループバック インターフェイスを使用して、サイト間 VPN トンネルを作成できるようになりました。ロケーションネットワークに関連付けられている外部アドレスとは異なり、ループバック インターフェイスは独立しています。これは、アドレスを別のクラスターに移動し、ルーティングプロトコルを使用して新しい場所をアップストリームルータに伝播できることを意味します。その後、ピアのトラフィックは新しい場所に送信されます。

Cisco Secure Firewall 6100 の IPsec フロー オフロードおよび DTLS 暗号化アクセラレーション

Cisco Secure Firewall 6100 は AES-GCM-128 および AES-GCM-256 暗号のみをサポートします。

KVM上の ASA 仮想 のIPsec フローオフロード

IPSec フローオフロードが KVM の DPU でサポートされるようになりました。