Cisco ASA の新機能

このドキュメントでは、各リリースの新機能を示します。


(注)  

syslog メッセージガイドに、新規、変更済み、および廃止された syslog メッセージを記載しています。


バージョン 9.15 の新機能

ASA 9.15(1)/ASDM 7.15(1) の新機能

リリース:2020 年 11 月 2 日

機能

説明

プラットフォーム機能

パブリッククラウド向け ASAv

次のパブリッククラウドサービスに ASAv を導入しました。

  • Oracle Cloud Infrastrucure(OCI)

  • Google Cloud Platform(GCP)

変更されたコマンドはありません。

変更された画面はありません。

自動スケールに対する ASAv のサポート

ASAv は、次のパブリッククラウドサービスの自動スケールをサポートするようになりました。

  • Amazon Web Services(AWS)

  • Miscrosoft Azure

自動スケーリングは、キャパシティの要件に基づいて ASAv アプリケーションのインスタンス数を増減します。

変更されたコマンドはありません。

変更された画面はありません。

ASAv for Microsoft Azure の Accelerated Networking に対するサポート(SR-IOV)。

Microsoft Azure パブリッククラウド上の ASAv は、Azure の Accelerated Networking(AN)をサポートするようになりました。これにより、VM に対するシングルルート I/O の仮想化(SR-IOV)が可能になり、ネットワーキングのパフォーマンスが大幅に向上しています。

変更されたコマンドはありません。

変更された画面はありません。

ファイアウォール機能

クラスタリングでの PAT アドレス割り当ての変更。PAT プールの flat オプションがデフォルトで有効になり、設定できなくなりました。

PAT アドレスがクラスタのメンバーに配布される方法が変更されます。以前は、アドレスはクラスタのメンバーに配布されていたため、PAT プールにはクラスタメンバーごとに少なくとも 1 つのアドレスが必要でした。マスターは各 PAT プールアドレスを等しいサイズのポートブロックに分割し、それらをクラスタメンバーに配布するようになりました。各メンバーには、同じ PAT アドレスのポートブロックがあります。したがって、通常 PAT に必要な接続量に応じて、PAT プールのサイズを 1 つの IP アドレスにまで減らすことができます。ポートブロックは、1024 ~ 65535 の範囲で 512 ポートのブロック単位で割り当てられます。オプションで、PAT プールルールを設定するときに、このブロック割り当てに予約ポート 1 〜 1023 を含めることができます。たとえば、単一ノードでは PAT プール IP アドレスあたり 65535 個の接続すべてを処理するのに対し、4 ノードクラスタでは、各ノードは 32 個のブロックを取得し、PAT プール IP アドレスあたり 16384 個の接続を処理できます。

この変更の一環として、スタンドアロンまたはクラスタ内での動作に関わりなく、すべてのシステムの PAT プールは、フラットなポート範囲 1023 〜 65535 を使用できるようになりました。以前は、flat オプションを PAT プールルールに含めることで、フラットな範囲をオプションで使用できました。flat キーワードはサポートされなくなりました。PAT プールは常にフラットになります。include-reserve キーワードは、以前は flat のサブキーワードでしたが、PAT プール構成内の独立したキーワードになりました。このオプションを使用すると、PAT プール内に 1 〜 1023 のポート範囲を含めることができます。

ポートブロック割り当てを設定する(block-allocation PAT プールオプション)と、デフォルトの 512 ポートブロックではなく、独自のブロック割り当てサイズが使用されます。また、クラスタ内のシステムの PAT プールに拡張 PAT を設定することはできません。

新規/変更されたコマンド:nat show nat pool

新規/変更された画面:[NAT PAT Pool configuration]

新規インストールでは、デフォルトで XDMCP インスペクションが無効になっています。

以前は、すべてのトラフィックに対して XDMCP インスペクションがデフォルトで有効になっていました。新しいシステムと再イメージ化されたシステムを含む新規インストールでは、XDMCP はデフォルトで無効になっています。このインスペクションが必要な場合は、有効にしてください。アップグレードでは、デフォルトのインスペクション設定を使用して XDMCP インスペクションを有効にしただけでも、XDMCP インスペクションの現在の設定は保持されます。

ルーティング機能

マルチキャスト IGMP インターフェイスの状態制限の 500 から 5000 への引き上げ

マルチキャスト IGMP インターフェイスの状態制限が 500 から 5000 に引き上げられました。

新規/変更されたコマンド: igmp limit

ASDM サポートはありません。

9.12(4) でも同様です。

インターフェイス機能

シングルコンテキストモード用の一意の MAC アドレスの生成に関する ASDM のサポート

ASDM でシングルコンテキストモードの VLAN サブインターフェイス用に一意の MAC アドレスを生成することを有効にできるようになりました。通常、サブインターフェイスはメイン インターフェイスと同じ MAC アドレスを共有します。IPv6 リンクローカル アドレスは MAC アドレスに基づいて生成されるため、この機能により一意の IPv6 リンクローカル アドレスが許可されます。ASA 9.8(3)、9.8(4)、および 9.9(2) で CLI のサポートが追加された。

新規/変更された画面:[Configuration] > [Device Setup] > [Interface Settings] > [Interfaces]

DDNS の Web 更新方式のサポート

DDNS の Web 更新方式を使用するようにインターフェイスを設定できるようになりました。

新規/変更されたコマンド: show ddns update interface show ddns update method web update-url web update-type

新規/変更された画面:[Configuration] > [Device Management] > [DNS] > [Dynamic DNS]

証明書の機能

スタティック CRL 分散ポイント URL をサポートするための match certificate コマンドの変更

静的 CDP URL コンフィギュレーション コマンドでは、CDP を検証中のチェーン内の各証明書に一意にマッピングできます。ただし、このようなマッピングは各証明書で 1 つだけサポートされていました。今回の変更で、静的に設定された CDP を認証用の証明書チェーンにマッピングできるようになりました。

新規/変更されたコマンド:match certificate override cdp

管理およびトラブルシューティングの機能

SDI AAA サーバグループで使用するノードシークレットファイルの RSA Authentication Manager からの手動インポート。

SDI AAA サーバグループで使用するために RSA Authentication Manager からエクスポートしたノードシークレットファイルをインポートできます。

次のコマンドが追加されました。aaa sdi import-node-secret clear aaa sdi node-secret show aaa sdi node-secrets

次の画面が追加されました。[Configuration] > [Device Management] > [Users/AAA] > [AAA SDI]

show fragment コマンドの出力の拡張

show fragment コマンドの出力が拡張され、IP フラグメント関連のドロップとエラーカウンタが含まれるようになりました。

変更されたコマンドはありません。

変更された画面はありません

show tech-support コマンドの出力の拡張

show tech-support コマンドの出力が拡張され、暗号アクセラレータに設定されたバイアスが含まれるようになりました。バイアス値は ssl、ipsec、または balanced になります。

変更されたコマンドはありません。

変更された画面はありません

モニタリング機能

cplane キープアライブ ホールドタイム値の設定のサポート

高い CPU 使用率によって通信が遅延するため、キープアライブイベントへの応答が ASA に到達できず、カード障害によるフェールオーバーが発生します。キープアライブタイムアウト期間と最大キープアライブカウンタ値を設定して、十分な時間と再試行が行われるようにできます。

新規/変更されたコマンド: service-module

次の画面を追加しました。[Configuration] > [Device Management] > [Service Module Settings]

VPN 機能

ネゴシエーション中の SA の絶対値としての最大数設定に対するサポート

ネゴシエーション中の SA の最大数を絶対値として 15000 まで、または最大デバイスキャパシティから得られる最大値を設定できるようになりました(以前はパーセンテージのみが許可されていました)。

新規/変更されたコマンド: crypto ikev2 limit max-in-negotiation-sa value

ASDM サポートはありません。

9.12(4) でも同様です。

WebVPN ハンドラのクロスサイト リクエスト フォージェリ(CSRF)の脆弱性の防止

ASA は、WebVPN ハンドラの CSRF 攻撃に対する保護を提供します。CSRF 攻撃が検出されると、警告メッセージでユーザに通知します。この機能は、デフォルトで有効にされています。

Kerberos Constrained Delegation(KCD)のケルベロスサーバの検証

KCD 用に設定されている場合、ASA は Kerberos キーを取得するために、設定されたサーバとの AD ドメイン参加を開始します。これらのキーは、ASA がクライアントレス SSL VPN ユーザに代わってサービスチケットを要求するために必要です。必要に応じて、ドメイン参加時にサーバのアイデンティティを検証するように ASA を設定できます。

kcd-server コマンドを変更し、validate-server-certificate キーワードを追加しました。

次の画面を変更しました。 [Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Advanced] > [Microsoft KCD Server]

バージョン 9.14 の新機能

ASA 9.14(2) の新機能

リリース:2020 年 11 月 9 日

機能

説明

SNMP 機能

サイト間 VPN 経由の SNMP ポーリング

サイト間 VPN 経由のセキュアな SNMP ポーリングの場合、VPN 設定の一部として外部インターフェイスの IP アドレスを暗号マップアクセスリストに含めます。

ASA 9.14(1.30) の新機能

リリース:2020 年 9 月 23 日

機能

説明

ライセンシング機能

ASAv100 永続ライセンス予約

ASAv100 で製品 ID L-ASAV100SR-K9= を使用した永続ライセンス予約がサポートされるようになりました。注:すべてのアカウントが永続ライセンス予約について承認されているわけではありません。

ASDM 7.14(1.48) の新機能

リリース日:2020 年 4 月 30 日

機能

説明

プラットフォーム機能

ASA 9.12 以前について、ASA 5512-X、5515-X、5585-X、および ASASM に対するサポートが復活

この ASDM リリースでは、9.12 以前を実行している場合、ASA 5512-X、5515-X、5585-X、および ASASM に対するサポートが復活しました。これらのモデルの最終 ASA バージョンは 9.12 です。元の 7.13(1) リリースと 7.14(1) リリースでは、これらのモデルでの後方互換性がブロックされていましたが、このバージョンでは互換性が復活しています。

ASAv 9.14(1.6) の新機能

リリース日:2020 年 4 月 30 日


(注)  

このリリースは、ASAv でのみサポートされます。


機能

説明

プラットフォーム機能

ASAv100 プラットフォーム

ASAv 仮想プラットフォームに、20 Gbps のファイアウォール スループット レベルを提供するハイエンド パフォーマンス モデルの ASAv100 が追加されました。ASAv100 はサブスクリプションベースのライセンスで、期間は 1 年、3 年、または 5 年です。

ASAv100 は、VMware ESXi および KVM でのみサポートされます。

ASA 9.14(1)/ASDM 7.14(1) の新機能

リリース日:2020 年 4 月 6 日

機能

説明

プラットフォーム機能

Firepower 4112 用の ASA

Firepower 4112 用の ASA を導入しました。

変更されたコマンドはありません。

変更された画面はありません。

(注)   

FXOS 2.8(1) が必要です。

ファイアウォール機能

show access-list の出力でポート番号を表示できる。

show access-list コマンドに数値キーワードが追加されました。これを使用すると、アクセス制御エントリの名前ではなくポート番号を表示できます。たとえば、www の代わりに 80 を表示できます。

object-group icmp-type コマンドが非推奨になった。

object-group icmp-type コマンドは、このリリースでも引き続きサポートされますが、推奨されず、将来のリリースで削除される可能性があります。すべての ICMP タイプのオブジェクトをサービス オブジェクト グループに変更し(object-group service )、オブジェクト内で service icmp を指定してください。

Kerberos キー発行局(KDC)認証。

Kerberos キー配布局(KDC)からキータブファイルをインポートできます。システムは、Kerberos サーバを使用してユーザを認証する前にサーバがスプーフィングされていないことを認証できます。KDC 認証を実行するには、Kerberos KDC でホスト/ASA_hostname サービスプリンシパル名(SPN)を設定してから、その SPN のキータブをエクスポートする必要があります。その後に、キータブを ASA にアップロードし、KDC を検証するように Kerberos AAA サーバグループを設定する必要があります。

新規/変更されたコマンド:aaa kerberos import-keytab clear aaa kerberos keytab show aaa kerberos keytab validate-kdc

新規/変更された画面:[構成(Configuration)] > [デバイス管理(Device Management)] > [ユーザ/AAA(Users/AAA)] > [AAA Kerberos][構成(Configuration)] > [デバイス管理(Device Management)] > [ユーザ/AAA(Users/AAA)] > [AAAサーバグループ(AAA Server Groups)]Kerberos サーバグループの [追加/編集(Add/Edit)] ダイアログボックス。

ハイ アベイラビリティとスケーラビリティの各機能

データユニットとの設定の並列同期

制御ユニットでは、デフォルトで設定変更がデータユニットと同時に同期化されるようになりました。以前は、順番に同期が行われていました。

新規/変更されたコマンド: config-replicate-parallel

新規/変更された画面:[Configuration] > [Device Management] > [High Availability and Scalability] > [ASA Cluster] > [Cluster Configuration] > [Enable parallel configuration replicate] チェックボックス

クラスタへの参加失敗や削除のメッセージが、以下に追加されました。 show cluster history

クラスタユニットがクラスタへの参加に失敗した場合や、クラスタを離脱した場合の新しいメッセージが、 show cluster history コマンドに追加されました。

新規/変更されたコマンド: show cluster history

変更された画面はありません。

インターフェイス機能

Firepower 1000 および 2100 の 1GB ファイバインターフェイスで速度の自動ネゴシエーションを無効にできる

自動ネゴシエーションを無効にするように Firepower 1100 または 2100 SFP インターフェイスを設定できるようになりました。10GB インターフェイスの場合、自動ネゴシエーションなしで速度を 1GB に設定できます。速度が 10 GB に設定されているインターフェイスの自動ネゴシエーションは無効にできません。

新規/変更されたコマンド: speed nonegotiate

新規/変更された画面:[構成(Configuration)] > [デバイスの設定(Device Settings)] > [インターフェイス(Interfaces)] > [インターフェイスの編集(Edit Interface)] > [ハードウェアプロパティの構成(Configure Hardware Properties)] > [速度(Speed)]

管理およびトラブルシューティングの機能

新しい connection-data-rate コマンド

この connection-data-rate コマンドは、ASA での個別接続のデータレートの概要を提供するために導入されました。このコマンドを有効にすると、フローごとのデータレートが既存の接続情報とともに提供されます。この情報は、高いデータレートの望ましくない接続を識別してブロックし、最適な CPU 使用率を確保するために役立ちます。

新規/変更されたコマンド:conn data-rate show conn data-rate show conn detail clear conn data-rate

変更された画面はありません。

HTTPS アイドルタイムアウトの設定

ASDM、WebVPN、および他のクライアントを含む、ASA へのすべての HTTPS 接続のアイドルタイムアウトを設定できるようになりました。これまでは、http server idle-timeout コマンドを使用して ASDM アイドルタイムアウトを設定することしかできませんでした。両方のタイムアウトを設定した場合は、新しいコマンドによる設定が優先されます。

新規/変更されたコマンド: http connection idle-timeout

新規/変更された画面:[構成(Configuration)] > [デバイス管理(Device Management)] > [管理アクセス(Management Access)] > [ASDM/HTTPS/Telnet/SSH] > [HTTP設定(HTTP Settings)] > [接続アイドルタイムアウト(Connection Idle Timeout)] チェックボックス。

NTPv4 のサポート

ASA が NTPv4 をサポートするようになりました。

変更されたコマンドはありません。

変更された画面はありません。

新しい clear logging counter コマンド

show logging コマンドは、ASA で設定された各ロギングカテゴリについてログに記録されたメッセージの統計を提供します。clear logging counter コマンドは、ログに記録されたカウンタと統計をクリアするために導入されました。

新規/変更されたコマンド: clear logging counter

変更された画面はありません。

アプライアンスモードの Firepower 1000 および 2100 での FXOS のデバッグコマンドの変更

debug fxos_parser コマンドは簡素化され、FXOS に関して一般に使用されるトラブルシューティング メッセージを提供するようになりました。その他の FXOS デバッグコマンドは、debug menu fxos_parser コマンドの下に移動されました。

新規/変更されたコマンド:debug fxos_parser debug menu fxos_parser

変更された画面はありません。

show tech-support コマンドの拡張

show ssl objects コマンドと show ssl errors コマンドが show tech-support コマンドの出力に追加されました。

新規/変更されたコマンド: show tech-support

変更された画面はありません。

9.12(4) でも同様です。

モニタリング機能

Net-SNMP バージョン 5.7.2 のサポート

ASA は Net-SNMP(IPv4 と IPv6 の両方を使用して SNMP v1、SNMP v2c、および SNMP v3 を実装するために使用されるアプリケーションスイート)を使用しています。

変更されたコマンドはありません。

新規/変更された画面:[構成(Configuration)] > [デバイス管理(Device Management)] > [管理アクセス(Management Access)] > [SNMP]

SNMP の MIB および OID

ASA は、CISCO-REMOTE-ACCESS-MONITOR-MIB のサポートを拡張し、SNMP を介して RADIUS からの認証の拒否/失敗を追跡します。この機能により、次の 3 つの SNMP OID が実装されます。

  • crasNumTotalFailures(失敗の総数)

  • crasNumSetupFailInsufResources(AAA およびその他の内部エラー)

  • crasNumAbortedSessions(中断されたセッション)オブジェクト

ASA は、Advanced Encryption Standard(AES)暗号アルゴリズムのサポートを提供します。この機能により、次の SNMP OID が実装されます。

  • usmAesCfb128Protocol

  • usmNoPrivProtocol

SNMPv3 認証

ユーザ認証に SHA-256 HMAC を使用できるようになりました。

新規/変更されたコマンド:snmp-server user

新規/変更された画面:[構成(Configuration)] > [デバイス管理(Device Management)] > [管理アクセス(Management Access)] > [SNMP]

debug telemetry 表示されていません。

debug telemetry コマンドを使用すると、テレメトリに関連するデバッグメッセージが表示されます。このデバッグは、テレメトリレポートの生成時にエラーの原因を特定するために役立ちます。

新規/変更されたコマンド:debug telemetry show debug telemetry

変更された画面はありません。

VPN 機能

VTI での DHCP リレーサーバのサポート

DHCP リレーサーバを設定して、VTI トンネルインターフェイスを介して DHCP メッセージを転送できるようになりました。

新規/変更されたコマンド:dhcprelay server

新規/変更された画面:[構成(Configuration)] > [デバイス管理(Device Management)] > [DHCP] > [DHCPリレー(DHCP Relay)]

複数ピアクリプトマップの IKEv2 サポート

複数ピアクリプトマップで IKEv2 を設定できるようになりました。トンネル内のピアがダウンすると、IKEv2 はリスト内の次のピアで SA の確立を試みます。

変更されたコマンドはありません。

新規/変更された画面:[構成(Configuration)] > [サイト間VPN(Site-to-Site VPN)] > [詳細設定(Advanced)] > [クリプトマップ(Crypto Maps)] > [IPsecルールの作成/編集(Create / Edit IPsec Rule)] > [トンネルポリシー(クリプトマップ)- 基本(Tunnel Policy (Crypto Map) - Basic)]

複数証明書認証のユーザ名オプション

複数証明書認証で、1 つの証明書(マシン証明書)または 2 つ目の証明書(ユーザ証明書)のどちらからの属性を AAA 認証に使用するのかを指定できるようになりました。

新規/変更されたコマンド:username-from-certificate-choicesecondary-username-from-certificate-choice

新規/変更された画面:

  • [接続プロファイル(Connection Profile)] > [詳細設定(Advanced)] > [認証(Authentication)]

  • [接続プロファイル(Connection Profile)] > [詳細設定(Advanced)] > [セカンダリ認証(Secondary Authentication)]

バージョン 9.13 の新機能

ASDM 7.13(1.101) の新機能

リリース日:2020 年 5 月 7 日

機能

説明

プラットフォーム機能

ASA 9.12 以前について、ASA 5512-X、5515-X、5585-X、および ASASM に対するサポートが復活

この ASDM リリースでは、9.12 以前を実行している場合、ASA 5512-X、5515-X、5585-X、および ASASM に対するサポートが復活しました。これらのモデルの最終 ASA バージョンは 9.12 です。元の 7.13(1) リリースと 7.14(1) リリースでは、これらのモデルでの後方互換性がブロックされていましたが、このバージョンでは互換性が復活しています。

ASA 9.13(1)/ASDM 7.13(1)の新機能

リリース:2019 年 9 月 25 日

機能

説明

プラットフォーム機能

Firepower 1010 用の ASA

Firepower 1010 用の ASA を導入しました。このデスクトップモデルには、組み込みハードウェアスイッチと Power on Ethernet+(PoE+)のサポートが含まれています。

新規/変更されたコマンド:boot system clock timezone connect fxos admin forward interface interface vlan power inline show counters show environment show interface show inventory show power inline show switch mac-address-table show switch vlan switchport switchport access vlan switchport mode switchport trunk allowed vlan

新しい/変更された画面:

  • [Configuration] > [Device Setup] > [Interface Settings] > [Interfaces] > [Edit] > [Switch Port]

  • [Configuration] > [Device Setup] > [Interface Settings] > [Interfaces] > [Edit] > [Power Over Ethernet]

  • [Configuration] > [Device Setup] > [Interface Settings] > [Interfaces] > [Add VLAN Interface]

  • [Configuration] > [Device Management] > [System Image/Configuration] > [Boot Image/Configuration]

  • [Configuration] > [Device Setup] > [System Time] > [Clock]

  • [Monitoring] > [Interfaces] > [L2 Switching]

  • [Monitoring] > [Interfaces] > [Power Over Ethernet]

Firepower 1120、1140、および 1150 用の ASA

Firepower 1120、1140、および 1150 用の ASA を導入しました。

新規/変更されたコマンド:boot system clock timezone connect fxos admin show counters show environment show interface show inventory

新しい/変更された画面:

  • [Configuration] > [Device Management] > [System Image/Configuration] > [Boot Image/Configuration]

  • [Configuration] > [Device Setup] > [System Time] > [Clock]

Firepower 2100 アプライアンス モード

Firepower 2100 は、Firepower eXtensible Operating System(FXOS)という基礎となるオペレーティング システムを実行します。Firepower 2100 は、次のモードで実行できます。

  • アプライアンス モード(現在はデフォルト):アプライアンス モードでは、ASA のすべての設定を行うことができます。FXOS CLI からは、高度なトラブルシューティング コマンドのみ使用できます。

  • プラットフォーム モード:プラットフォーム モードでは、FXOS で、基本的な動作パラメータとハードウェア インターフェイスの設定を行う必要があります。これらの設定には、インターフェイスの有効化、EtherChannels の確立、NTP、イメージ管理などが含まれます。Firepower Chassis Manager Web インターフェイスまたは FXOS CLI を使用できます。その後、ASDM または ASA CLI を使用して ASA オペレーティング システムにセキュリティ ポリシーを設定できます。

    9.13(1)にアップグレードしている場合、モードはプラットフォーム モードのままになります。

新規/変更されたコマンド:boot system clock timezone connect fxos admin fxos mode appliance show counters show environment show fxos mode show interface show inventory

新しい/変更された画面:

  • [Configuration] > [Device Management] > [System Image/Configuration] > [Boot Image/Configuration]

  • [Configuration] > [Device Setup] > [System Time] > [Clock]

DHCP の予約

ASA DHCP サーバが DHCP の予約をサポートするようになりました。クライアントの MAC アドレスに基づいて、定義されたアドレスプールから DHCP クライアントにスタティック IP アドレスを割り当てることができます。

新規/変更されたコマンド: dhcpd reserve-address

変更された画面はありません。

ASAv 最小メモリ要件

ASAv の最小メモリ要件は 2 GB です。現在の ASAv が 2 GB 未満のメモリで動作している場合、ASAv VM のメモリを増やすことなく、以前のバージョンから 9.13(1)にアップグレードすることはできません。また、バージョン 9.13(1)を使用して新しい ASAv VM を再展開することもできます。

変更されたコマンドはありません。

変更された画面はありません。

ASAv MSLA サポート

ASAv は、シスコのマネージド サービス ライセンス契約(MSLA)プログラムをサポートしています。このプログラムは、マネージド ソフトウェア サービスをサード パーティに提供するシスコのお客様およびパートナー向けに設計された、ソフトウェアのライセンスおよび消費のフレームワークです。

MSLA はスマートライセンスの新しい形式で、ライセンス スマート エージェントは時間単位でライセンス権限付与の使用状況を追跡します。

新規/変更されたコマンド:license smart mode utility custom-id custom-info privacy transport type transport url transport proxy

新規/変更された画面:[Configuration] > [Device Management] > [Licensing] > [Smart Licensing]

ASAv の柔軟なライセンス

すべての ASAv ライセンスは、サポートされているすべての ASAv vCPU/メモリ構成で使用できるようになりました。AnyConnect および TLS プロキシのセッション制限は、モデルタイプに関連付けられたプラットフォーム制限ではなく、インストールされた ASAv プラットフォームの権限付与によって決まります。

新規/変更されたコマンド: show version show vm show cpu show license features

新規/変更された画面:[Configuration] > [Device Management] > [Licensing] > [Smart Licensing]

AWS の ASAv での C5 イン[スタンスのサポート。C4、C3、および M4 インスタンスの拡張サポート

AWS パブリッククラウド上の ASAv は、C5 インスタンスをサポートするようになりました(c5.large、c5.xlarge、および c5.2xlarge)。

さらに、C4 インスタンス(c4.2xlarge および c4.4xlarge)、C3 インスタンス(c3.2xlarge、c3.4xlarge、および c3.8xlarge)および M4 インスタンス(m4.2xlarge および m4.4xlarge)のサポートが拡張されました。

変更されたコマンドはありません。

変更された画面はありません。

より多くの Azure 仮想マシンサイズをサポートする Microsoft Azure の ASAv

Microsoft Azure パブリッククラウドの ASAv は、より多くの Linux 仮想マシンサイズをサポートするようになりました。

  • Standard_D4、Standard_D4_v2

  • Standard_D8_v3

  • Standard_DS3、Standard_DS3_v2

  • Standard_DS4、Standard_DS4_v2

  • Standard_F4、Standard_F4s

  • Standard_F8、Standard_F8s

以前のリリースでは、Standard_D3 と Standard_D3_v2 のサイズのみがサポートされていました。

変更されたコマンドはありません。

変更された画面はありません。

DPDK の ASAv 拡張サポート

ASAv は、Data Plane Development Kit(DPDK)の拡張機能をサポートして、複数の NIC キューのサポートを有効にします。これにより、マルチコア CPU はネットワークインターフェイスに同時に効率よくサービスを提供できるようになります。

これは、Microsoft Azure と Hyper-v を除くすべての ASAv ハイパーバイザに適用されます。

(注)   

DPDK のサポートは、リリース ASA 9.10 (1)/ASDM 7.13(1) で導入されました。

変更されたコマンドはありません。

変更された画面はありません。

VMware ESXi 6.7 用の ASAv サポート

ASAv 仮想プラットフォームは、VMware ESXi 6.7 で動作するホストをサポートしています。vi.ovf および esxi.ovf ファイルに新しい VMware ハードウェア バージョンが追加され、ESXi 6.7 で ASAv の最適なパフォーマンスと使いやすさを実現しました。

変更されたコマンドはありません。

変更された画面はありません。

ISA 3000 の VLAN 数の増加

Security Plus ライセンスが有効な ISA 3000 について、最大 VLAN 数が 25 から 100 に増えました。

ファイアウォール機能

モバイル端末の場所のロギング(GTP インスペクション)。

GTP インスペクションを設定すると、モバイル端末の初期の場所とそれ以降の場所の変更をログに記録できます。場所の変更を追跡すると、不正なローミング請求を識別するのに役立つ場合があります。

新規/変更されたコマンド:location-logging

新規/変更された画面:[Configuration] > [Firewall] > [Objects] > [Inspect Maps] > [GTP]

GTPv2 および GTPv1 リリース 15 がサポートされています。

システムで GTPv2 3GPP 29.274 V15.5.0 がサポートされるようになりました。GTPv1 の場合、3GPP 29.060 V15.2.0 までサポートしています。新しいサポートでは、2 件のメッセージおよび 53 件の情報要素の認識が追加されています。

変更されたコマンドはありません。

変更された画面はありません。

アドレスとポート変換のマッピング(MAP-T)

アドレスとポートのマッピング (MAP) は、主にサービスプロバイダー (SP) ネットワークで使用する機能です。サービス プロバイダーは、IPv6 専用ネットワーク、MAP ドメインを稼働でき、同時に、IPv4 専用のサブスクライバをサポートし、パブリック インターネット上の IPv4 専用サイトとの通信ニーズに対応します。MAP は、RFC7597、RFC7598、および RFC7599 で定義されています。

新規/変更されたコマンド:basic-mapping-rule default-mapping-rule ipv4-prefix ipv6-prefix map-domain share-ratio show map-domain start-port

新規/変更されたコマンド:[Configuration] > [Device Setup] > cgnat map[Monitoring] > [Properties] > [Map Domains]

グループごとの AAA サーバ グループとサーバの制限が増えました。

より多くの AAA サーバ グループを設定できます。シングルコンテキストモードでは、200 個の AAA サーバグループを設定できます(以前の制限は 100)。マルチコンテキストモードでは、8 個設定できます(以前の制限は 4)。

さらに、マルチコンテキストモードでは、グループごとに 8 台のサーバを設定できます(以前の制限はグループごとに 4 台のサーバ)。シングル コンテキスト モードのグループごとの制限の 16 は変更されていません。

これらの新しい制限を受け入れるために、次のコマンドが変更されました。aaa-server aaa-server host

これらの新しい制限を受け入れるために、AAA 画面が変更されました。

SCCP(Skinny)インスペクションでは、TLS プロキシが廃止されました。

tls-proxy キーワード、および SCCP/Skinny 暗号化インスペクションのサポートは廃止されました。このキーワードは今後のリリースで inspect skinny コマンドから削除される予定です。

VPN 機能

クライアントとしての WebVPN の HSTS サポート

http-headers と呼ばれる WebVPN モードの新しい CLI モードが追加され、WebVPN は、HTTP 参照を HSTS であるホストの HTTPS 参照に変換できるようになりました。ASA からブラウザへの WebVPN 接続用にこのヘッダーを送信する場合、ユーザ エージェントがリソースの埋め込みを許可するかどうかを設定します。

http-headers は次のように設定することも選択できます。x-content-type-options x-xss-protection hsts-client(クライアントとしての WebVPN の HSTS サポート)、 hsts-server、または content-security-policy

新規/変更されたコマンド:webvpn show webvpn hsts host (name <hostname&s{253}> | all) 、および clear webvpn hsts host (name <hostname&s{253}> | all)

新規/変更された画面:[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Advanced] > [Proxies]

キー交換用に追加された Diffie-Hellman グループ 15 および 16

Diffie-Hellman グループ 15 および 16 のサポートを追加するために、これらの新しい制限を受け入れるようにいくつかの crypto コマンドが変更されました。

crypto ikev2 policy <index> group <number> および crypto map <map-name> <map-index> set pfs <group>.

show asp table vpn-context 出力の機能強化

デバッグ機能を強化するために、次の VPN コンテキスト カウンタが出力に追加されました。 Lock Err、No SA、IP Ver Err、および Tun Down。

新しい/変更されたコマンド:show asp table vpn-context (出力のみ)。

ハイ アベイラビリティとスケーラビリティの各機能

デッド接続検出(DCD)の発信側および応答側の情報、およびクラスタ内の DCD のサポート。

デッド接続検出(DCD)を有効にした場合は、show conn detail コマンドを使用して発信側と応答側に関する情報を取得できます。デッド接続検出を使用すると、非アクティブな接続を維持できます。show conn の出力は、エンドポイントがプローブされた頻度が示されます。さらに、DCD がクラスタでサポートされるようになりました。

新しい/変更されたコマンド:show conn (出力のみ)

変更された画面はありません。

クラスタのトラフィック負荷のモニタ

クラスタ メンバのトラフィック負荷をモニタできるようになりました。これには、合計接続数、CPU とメモリの使用率、バッファ ドロップなどが含まれます。負荷が高すぎる場合、残りのユニットが負荷を処理できる場合は、ユニットのクラスタリングを手動で無効にするか、外部スイッチのロード バランシングを調整するかを選択できます。この機能は、デフォルトでイネーブルにされています。

新規/変更されたコマンド:debug cluster load-monitor load-monitor show cluster info load-monitor

新しい/変更された画面:

  • [Configuration] > [Device Management] > [High Availability and Scalability] > [ASA Cluster] > [Cluster Configuration] > [Enable Cluster Load Monitor] チェックボックス

  • [Monitoring] > [ASA Cluster] > [Cluster Load-Monitoring]

クラスタ結合の高速化

データユニットが制御ユニットと同じ設定の場合、設定の同期をスキップし、結合を高速化します。この機能は、デフォルトでイネーブルにされています。この機能はユニットごとに設定され、制御ユニットからデータユニットには複製されません。

(注)   

一部の設定コマンドは、クラスタ結合の高速化と互換性がありません。これらのコマンドがユニットに存在する場合、クラスタ結合の高速化が有効になっていても、設定の同期は常に発生します。クラスタ結合の高速化を動作させるには、互換性のない設定を削除する必要があります。show cluster info unit-join-acceleration incompatible-config を使用して、互換性のない設定を表示します。

新規/変更されたコマンド:unit join-acceleration show cluster info unit-join-acceleration incompatible-config

新規/変更された画面:[Configuration] > [Device Management] > [High Availability and Scalability] > [ASA Cluster] > [Cluster Configuration] > [Enable config sync accelleration] チェックボックス

ルーティング機能

SMTP 設定の機能強化

必要に応じて、プライマリおよびバックアップ インターフェイス名を指定して SMTP サーバを設定することで、ロギングに使用するルーティング テーブル(管理ルーティング テーブルまたはデータ ルーティング テーブル)を識別するために ASA を有効にできます。インターフェイスが指定されていない場合、ASA は管理ルーティング テーブル ルックアップを参照し、適切なルート エントリが存在しない場合は、データ ルーティング テーブルを参照します。

新規/変更されたコマンド: smtp-server [primary-interface][backup-interface]

NSF 待機タイマーを設定するためのサポート

OSPF ルータは、すべてのネイバーがパケットに含まれているか不明な場合、Hello パケットにアタッチされている EO-TLV に RS ビットを設定することが期待されています。また、隣接関係(アジャセンシー)を維持するためにはルータの再起動が必要です。ただし、RS ビット値は RouterDeadInterval 秒より長くすることはできません。timers nsf wait コマンドは、Hello パケットの RS ビットを RouterDeadInterval 秒未満に設定するために導入されました。

新規/変更されたコマンド: timers nsf wait

TFTP ブロックサイズを設定するためのサポート

TFTP ファイル転送用に固定された一般的なブロックサイズは 512 オクテットです。新しいコマンド tftp blocksize は、より大きなブロックサイズを設定するために導入されました。これにより、TFTP ファイル転送速度が向上します。513 ~ 8192 オクテットのブロックサイズを設定できます。新しいデフォルトのブロックサイズは 1456 オクテットです。このコマンドの no 形式を使用すると、ブロックサイズが古いデフォルト値(512 オクテット)にリセットされます。timers nsf wait コマンドは、Hello パケットの RS ビットを RouterDeadInterval 秒未満に設定するために導入されました。

新規/変更されたコマンド: tftp blocksize

証明書の機能

FIPS ステータスを表示するためのサポート

show running-configuration fips コマンドは、FIPS が有効になっているときにのみ、FIPS のステータスを表示していました。動作状態を確認するために、show fips コマンドが導入されました。このコマンドは、ユーザが無効状態または有効状態になっている FIPS を有効または無効にしたときに、FIPS のステータスを表示します。このコマンドは、有効化または無効化アクションの後にデバイスを再起動するためのステータスも表示します。

新規/変更されたコマンド: show fips

CRL キャッシュサイズの拡張

大規模な CRL ダウンロードの失敗を防ぐため、キャッシュサイズを拡張し、また、個別の CRL 内のエントリ数の制限を取り除きました。

  • マルチ コンテキスト モードの場合、コンテキストごとの合計 CRL キャッシュサイズが 16 MB に増加しました。

  • シングル コンテキスト モードの場合、合計 CRL キャッシュサイズが 128 MB に増加しました。

CRL 分散ポイント コマンドの変更

スタティック CDP URL コンフィギュレーション コマンドが削除され、match certificate コマンドに移行しました。

新規/変更されたコマンド:crypto-ca-trustpoint crl crl url はその他の関連ロジックで削除され、match-certificate override-cdp が導入されました。

新規/変更された画面:[Configuration] > [Device Management] > [Certificate Management] > [CA Certificates]

スタティック CDP URL は 9.13(1)12 で match certificate コマンドに再導入されました。

管理およびトラブルシューティングの機能

Firepower 1000、 Firepower 2100 アプライアンス モードがライセンス評価モードの場合の管理アクセス

ASA には、管理アクセスのみを対象にしてデフォルトで 3DES 機能が含まれています。したがって、License Authority に接続し、すぐに ASDM を使用することもできます。後に ASA で SSH アクセスを設定する場合は、SSH および SCP を使用することもできます。高度な暗号化を必要とするその他の機能(VPN など)では、最初に License Authority に登録する必要がある高度暗号化ライセンスが有効になっている必要があります。

(注)   

ライセンスを取得する前に高度な暗号化を使用できる機能の設定を試みると(脆弱な暗号化のみ設定している場合でも)、HTTPS 接続はそのインターフェイスでドロップされ、再接続できません。このルールの例外は、管理 1/1 などの管理専用インターフェイスに接続されている場合です。SSH は影響を受けません。HTTPS 接続が失われた場合は、コンソール ポートに接続して ASA を再設定するか、管理専用インターフェイスに接続するか、または高度暗号化機能用に設定されていないインターフェイスに接続することができます。

変更されたコマンドはありません。

変更された画面はありません。

追加の NTP 認証アルゴリズム

以前は、NTP 認証では MD5 だけがサポートされていました。ASA は、次のアルゴリズムをサポートするようになりました。

  • MD5

  • SHA-1

  • SHA-256

  • SHA-512

  • AES-CMAC

新規/変更されたコマンド: ntp authentication-key

新しい/変更された画面:

[Configuration] > [Device Setup] > [System Time] > [NTP] > [Add] ボタン > [Add NTP Server Configuration] ダイアログボックス > [Key Algorithm] ドロップダウンリスト

Firepower 4100/9300 の ASA Security Service Exchange(SSE)テレメトリ サポート

ネットワークで Cisco Success Network を有効にすると、デバイスの使用状況に関する情報と統計情報がシスコに提供され、テクニカル サポートの最適化に使用されます。ASA デバイスで収集されるテレメトリ データには、CPU、メモリ、ディスク、または帯域幅の使用状況、ライセンスの使用状況、設定されている機能リスト、クラスタ/フェールオーバー情報などが含まれます。

新規/変更されたコマンド:service telemetry および show telemetry

新しい/変更された画面:

  • [Configuration] > [Device Management] > [Telemetry]

  • [Monitoring] > [Properties] > [Telemetry]

事前定義されたリストに応じて最も高いセキュリティから最も低いセキュリティへという順序で SSH 暗号化の暗号を表示

事前定義されたリストに応じて、SSH 暗号化の暗号が最も高いセキュリティから最も低いセキュリティへという順序(中または高)で表示されるようになりました。以前のリリースでは、最も低いものから最も高いものへの順序でリストされており、セキュリティが高い暗号よりも低い暗号が先に表示されていました。

新規/変更されたコマンド: ssh cipher encryption

新しい/変更された画面:

[Configuration] > [Device Management] > [Advanced] > [SSH Ciphers]

show tech-support に追加の出力が含まれている

show tech-support の出力が強化され、次の出力が表示されるようになりました。

show flow-offload info detail

show flow-offload statistics

show asp table socket

新しい/変更されたコマンド:show tech-support (出力のみ)

ドロップ ロケーション情報を含む show-capture asp_drop 出力の機能強化

ASP ドロップ カウンタを使用したトラブルシューティングでは、同じ理由による ASP ドロップがさまざまな場所で使用されている場合は特に、ドロップの正確な位置は不明です。この情報は、ドロップの根本原因を特定する上で重要です。この拡張機能を使用すると、ビルド ターゲット、ASA リリース番号、ハードウェア モデル、および ASLR メモリ テキスト領域などの ASP ドロップの詳細が表示されます(ドロップの位置のデコードが容易になります)。

新規/変更されたコマンド: show-capture asp_drop

変更内容 debug crypto ca

debug crypto ca transactions および debug crypto ca messages オプションは、すべての該当するコンテンツを debug crypto ca コマンド自体に提供するために統合されています。また、使用可能なデバッグ レベルの数が 14 に削減されました。

新規/変更されたコマンド: debug crypto ca

Firepower 1000 および2100 の FXOS 機能

安全消去

安全消去機能は、SSD 自体で特別なツールを使用してもデータを回復できないように、SSD 上のすべてのデータを消去します。デバイスを使用停止する場合は、FXOS で安全に消去する必要があります。

新規/変更された FXOS コマンド:erase secure (local-mgmt)

サポートされているモデル:Firepower 1000 および 2100

設定可能な HTTPS プロトコル

FXOS HTTPS アクセス用の SSL/TLS のバージョンを設定できます。

新規/変更された FXOS コマンド: set https access-protocols

サポートされているモデル:プラットフォーム モードの Firepower 2100

IPSec およびキーリングの FQDN の適用

FXOS では、ピアの FQDN がそのピアによって提示された x.509 証明書の DNS 名と一致する必要があるように、FQDN の適用を設定できます。IPSec の場合、9.13(1) より前に作成された接続を除き、適用はデフォルトで有効になっています。古い接続への適用は手動で有効にする必要があります。キーリングの場合、すべてのホスト名が FQDN である必要があり、ワイルドカードは使用できません。

新規/変更された FXOS コマンド:set dnsset e-mailset fqdn-enforce set ip set ipv6 set remote-address set remote-ike-id

削除されたコマンド:fi-a-ip fi-a-ipv6 fi-b-ip fi-b-ipv6

サポートされているモデル:プラットフォーム モードの Firepower 2100

新しい IPSec 暗号とアルゴリズム

FXOS 管理トラフィックを暗号化する IPSec トンネルを設定するために、次の IKE および ESP 暗号とアルゴリズムが追加されました。

  • 暗号:aes192。既存の暗号には、aes128、aes256、aes128gcm16 などがあります。

  • 疑似乱数関数(PRF)(IKE のみ):prfsha384、prfsha512、prfsha256。既存の PRF:prfsha1。

  • 整合性アルゴリズム:sha256、sha384、sha512、sha1_160。既存のアルゴリズム:sha1。

  • Diffie-Hellman グループ:curve25519、ecp256、ecp384、ecp521、modp3072、modp4096。既存のグループ:modp2048。

変更された FXOS コマンドはありません。

サポートされているモデル:プラットフォーム モードの Firepower 2100

SSH 認証の機能拡張

FXOS では、次の SSH サーバ暗号化アルゴリズムが追加されました。

  • aes128-gcm@openssh.com

  • aes256-gcm@openssh.com

  • chacha20-poly@openssh.com

FXOS では、次の SSH サーバキー交換方式が追加されました。

  • diffie-hellman-group14-sha256

  • curve25519-sha256

  • curve25519-sha256@libssh.org

  • ecdh-sha2-nistp256

  • ecdh-sha2-nistp384

  • ecdh-sha2-nistp521

新規/変更された FXOS コマンド:set ssh-server encrypt-algorithm set ssh-server kex-algorithm

サポートされているモデル:プラットフォーム モードの Firepower 2100

X.509 証明書の EDCS キー

FXOS 証明書に EDCS キーを使用できるようになりました。以前は、RSA キーだけがサポートされていました。

新規/変更された FXOS コマンド:set elliptic-curve set keypair-type

サポートされているモデル:プラットフォーム モードの Firepower 2100

ユーザ パスワードの改善

次のような FXOS パスワードセキュリティの改善が追加されました。

  • ユーザ パスワードには最大 127 文字を使用できます。古い制限は 80 文字でした。

  • デフォルトでは、強力なパスワード チェックが有効になっています。

  • 管理者パスワードの設定を求めるプロンプトが表示されます。

  • パスワードの有効期限切れ。

  • パスワード再利用の制限。

  • set change-during-interval コマンドを削除し、set change-interval set no-change-interval 、および set history-count コマンドの disabled オプションを追加しました。

新規/変更された FXOS コマンド:set change-during-interval set expiration-grace-period set expiration-warning-period set history-count set no-change-interval set password set password-expiration set password-reuse-interval

新規/変更された [Firepower Chassis Manager] 画面:

  • [System] > [User Management] > [Local Users]

  • [System] > [User Management] > [Settings]

サポートされているモデル:プラットフォーム モードの Firepower 2100

バージョン 9.12 の新機能

ASA 9.12(4) の新機能

リリース日:2020 年 5 月 26 日

機能

説明

ルーティング機能

マルチキャスト IGMP インターフェイスの状態制限の 500 から 5000 への引き上げ

マルチキャスト IGMP インターフェイスの状態制限が 500 から 5000 に引き上げられました。

新規/変更されたコマンド: igmp limit

ASDM サポートはありません。

トラブルシューティング機能

show tech-support コマンドの拡張

show ssl objects コマンドと show ssl errors コマンドが show tech-support コマンドの出力に追加されました。

新規/変更されたコマンド: show tech-support

変更された画面はありません。

VPN 機能

ネゴシエーション中の SA の絶対値としての最大数設定に対するサポート

ネゴシエーション中の SA の最大数を絶対値として 15000 まで、または最大デバイスキャパシティから得られる最大値を設定できるようになりました(以前はパーセンテージのみが許可されていました)。

新規/変更されたコマンド: crypto ikev2 limit max-in-negotiation-sa value

ASDM サポートはありません。

ASA 9.12(3) の新機能

リリース日:2019 年 11 月 25 日

このリリースに新機能はありません。

ASA 9.12(2)/ASDM 7.12(2) の新機能

リリース日:2019 年 5 月 30 日

機能

説明

プラットフォーム機能

Firepower 9300 SM-56 のサポート

セキュリティ モジュール、SM-56 を導入しました。

FXOS 2.6.1.157 が必要です。

変更されたコマンドはありません。

変更された画面はありません。

管理機能

SSH キー交換モードの設定は、管理コンテキストに限定されています。

管理コンテキストでは SSH キー交換を設定する必要があります。この設定は、他のすべてのコンテキストによって継承されます。

新規/変更されたコマンド: ssh key-exchange

新規/変更された画面:[Configuration] > [Device Management] > [Management Access] > [ASDM/HTTPS/Telnet/SSH] > [SSH Settings] > [DH Key Exchange]

ASDM 機能

ASDM の OpenJRE バージョン

OracleJRE ではなく、OpenJRE 1.8.x を使用する ASDM のバージョンをインストールできます。OpenJRE バージョンのファイル名は、asdm-openjre-version.bin です。

[Tools] > [Preferences] オプションで ASA FirePOWER モジュールのローカル管理ファイル フォルダを指定

ASA FirePOWER モジュールのローカル管理ファイルをインストールする場所を指定できるようになりました。設定された場所に対して読み取り/書き込み権限を持っている必要があります。

新規/変更された画面:

[Tools] > [Preferences] > SFR Location ウィザード領域

ASA 9.12(1)/ASDM 7.12(1) の新機能

リリース:2019 年 3 月 13 日

機能

説明

プラットフォーム機能

Firepower 4115、4125、および 4145 向け ASA

Firepower 4115、4125、および 4145 が導入されました。

FXOS 2.6.1 が必要です。

変更されたコマンドはありません。

変更された画面はありません。

ASA および FTD を同じ Firepower 9300 の別のモジュールでサポート

ASA および FTD 論理デバイスを同じ Firepower 9300 上で展開できるようになりました。

FXOS 2.6.1 が必要です。

変更されたコマンドはありません。

変更された画面はありません。

Firepower 9300 SM-40 および SM-48 のサポート

2 つのセキュリティ モジュール、SM-40 および SM-48 が導入されました。

FXOS 2.6.1 が必要です。

変更されたコマンドはありません。

変更された画面はありません。

ファイアウォール機能

GTPv1 リリース 10.12 のサポート

システムで GTPv1 リリース 10.12 がサポートされるようになりました。以前は、リリース 6.1 がサポートされていました。新しいサポートでは、25 件の GTPv1 メッセージおよび 66 件の情報要素の認識が追加されています。

さらに、動作の変更もあります。不明なメッセージ ID が許可されるようになりました。以前は、不明なメッセージはドロップされ、ログに記録されていました。

変更されたコマンドはありません。

変更された画面はありません。

Cisco Umbrella の強化

Cisco Umbrella をバイパスする必要があるローカル ドメイン名を特定できるようになりました。これらのドメインの DNS 要求は、Umbrella を処理せず DNS サーバに直接送信されます。また、DNS 要求の解決に使用する Umbrella サーバも特定できるようになりました。さらに、Umbrella サーバを使用できない場合は、DNS 要求がブロックされないように、Umbrella インスペクション ポリシーをフェール オープンに定義することができます。

新規/変更されたコマンド:local-domain-bypass resolver umbrella fail-open

新規/変更された画面:[Configuration] > [Firewall] > [Objects] > [Umbrella][Configuration] > [Firewall] > [Objects] > [Inspect Maps] > [DNS]

オブジェクト グループの検索しきい値がデフォルトで無効になりました。

これまではオブジェクト グループの検索が有効になると、この機能によりしきい値が適用され、パフォーマンスの低下を防止していました。そのしきい値が、デフォルトで無効になりました。しきい値は、object-group-search threshold コマンドを使用して有効にできます。

新規/変更されたコマンド:object-group-search threshold

次の画面が変更されました:[Configuration] > [Access Rules] > Advanced

NAT のポート ブロック割り当てに対する暫定ログ

NAT のポート ブロックの割り当てを有効にすると、ポート ブロックの作成および削除中にシステムで syslog メッセージが生成されます。暫定ログの記録を有効にすると、指定した間隔でメッセージ 305017 が生成されます。メッセージは、その時点で割り当てられているすべてのアクティブ ポート ブロックをレポートします(プロトコル(ICMP、TCP、UDP)、送信元および宛先インターフェイス、IP アドレス、ポート ブロックを含む)。

新規/変更されたコマンド:xlate block-allocation pba-interim-logging seconds

新規/変更された画面:[Configuration] > [Firewall] > [Advanced] > [PAT Port Block Allocation]

VPN 機能

debug aaa の新しい condition オプション

condition オプションが debug aaa コマンドに追加されました。このオプションを使用すると、グループ名、ユーザ名またはピア IP アドレスに基づいて VPN デバッグをフィルタ処理できます。

新規/変更されたコマンド: debug aaa condition

変更された画面はありません。

IKEv2 での RSA SHA-1 のサポート

IKEv2 の RSA SHA-1 ハッシュ アルゴリズムを使用して署名を生成できるようになりました。

新規/変更されたコマンド: rsa-sig-sha1

新しい/変更された画面:

DES と3DES の両方の暗号化ライセンス、および使用可能な暗号のデフォルトの SSL 設定を表示します。

3DES 暗号化ライセンスの有無にかかわらず、デフォルトの SSL 設定を表示できるようになりました。さらに、デバイスでサポートされているすべての暗号を表示することもできます。

新規/変更されたコマンド: show ssl information

変更された画面はありません。

webVPN HSTS へのサブドメインの追加

ドメイン所有者は、Web ブラウザの HSTS プリロード リストに含める必要があるドメインを送信できます。

新規/変更されたコマンド: hostname(config-webvpn) includesubdomains

新しい/変更された画面:

[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Advanced] > [Proxies] > [Enable HSTS Subdomains] フィールド

ハイ アベイラビリティとスケーラビリティの各機能

サイトごとのクラスタリング用 Gratuitous ARP

ASA では、Gratuitous ARP(GARP)パケットを生成してスイッチング インフラストラクチャを常に最新の状態に保つようになりました。各サイトの優先順位値が最も高いメンバによって、グローバル MAC/IP アドレスの GARP トラフィックが定期的に生成されます。クラスタから送信されたサイトごとの MAC および IP アドレスとパケットがサイト固有の MAC アドレスおよび IP アドレスを使用するのに対し、クラスタで受信したパケットは、グローバル MAC アドレスおよび IP アドレスを使用します。トラフィックがグローバル MAC アドレスから定期的に生成されない場合、グローバル MAC アドレスのスイッチで MAC アドレスのタイムアウトが発生する可能性があります。タイムアウト後にグローバル MAC アドレスへのトラフィックがスイッチング インフラストラクチャ全体にわたりフラッディングされ、これによりパフォーマンスおよびセキュリティ上の問題が発生することがあります。各スパンド EtherChannel のユニットおよびサイト MAC アドレスごとにサイト ID を設定すると、GARP がデフォルトで有効になります。

新規/変更されたコマンド: site-periodic-garp interval

新規/変更された画面:[Configuration] > [Device Management] > [High Availability and Scalability] > [ASA Cluster] > [Cluster Configuration] > [Site Periodic GARP]フィールド

マルチコンテキストモードの HTTPS リソース管理

リソースクラスの非 ASDM HTTPS セッションの最大数を設定できるようになりました。デフォルトでは、制限はコンテキストあたり最大 6 に設定でき、すべてのコンテキスト全体では最大 100 の HTTPS セッションを使用できます。

新規/変更されたコマンド: limit-resource http

ASDM サポートはありません。

ルーティング機能

認証のための OSPF キー チェーンのサポート

OSPF は、MD5 キーを使用してネイバーおよびルート アップデートを認証します。ASA では、MD5 ダイジェストの生成に使用されるキーには関連付けられている有効期間がありませんでした。したがって、キーを定期的に変更するにはユーザによる介入が必要でした。この制限を打破するために、OSPFv2 は循環キーを使用した MD5 認証をサポートしています。

キー チェーンのキーの承認と送信の有効期間に基づいて、OSPF 認証でキーおよびフォームの隣接関係を承認または拒否します。

新規/変更されたコマンド:accept-lifetime area virtual-link authentication cryptographic-algorithm key key chain key-string ospf authentication send-lifetime

新しい/変更された画面:

  • [Configuration] > [Device Setup] > [Key Chain]

  • [Configuration] > [Device Setup] > [Routing] > [OSPF] > [Setup] > [Authentication]

  • [Configuration] > [Device Setup] > [Routing] > [OSPF] > [Setup] > [Virtual Link]

証明書の機能

登録用 URL のローカル CA を設定可能な FQDN

ASA の構成済み FQDN を使用する代わりに設定可能な登録用 URL の FQDN を作成するため、新しい CLI オプションが導入されました。この新しいオプションは、crypto ca server smpt モードに追加されます。

新規/変更されたコマンド: fqdn

管理、モニタリング、およびトラブルシューティングの機能

enable ログイン時にパスワードの変更が必要になりました

デフォルトの enable のパスワードは空白です。ASA で特権 EXEC モードへのアクセスを試行する場合に、パスワードを 3 文字以上の値に変更することが必須となりました。空白のままにすることはできません。no enable password コマンドは現在サポートされていません。

CLI で aaa authorization exec auto-enable を有効にすると、enable コマンド、login コマンド(特権レベル 2 以上のユーザ)、または SSH/Telnet セッションを使用して特権 EXEC モードにアクセスできます。これらの方法ではすべて、イネーブル パスワードを設定する必要があります。

このパスワード変更の要件は、ASDM のログインには適用されません。ASDM のデフォルトでは、ユーザ名を使用せず enable パスワードを使用してログインすることができます。

新規/変更されたコマンド: enable password

変更された画面はありません。

管理セッションの設定可能な制限

集約、ユーザ単位、およびプロトコル単位の管理セッションの最大数を設定できます。これまでは、セッションの集約数しか設定できませんでした。この機能がコンソール セッションに影響を与えることはありません。マルチ コンテキスト モードでは HTTPS セッションの数を設定することはできず、最大セッション数は 5 で固定されています。また、quota management-session コマンドはシステム コンフィギュレーションでは受け入れられず、代わりにコンテキスト コンフィギュレーションで使用できるようになっています。集約セッションの最大数が 15 になりました。0(無制限)または 16 以上に設定してアップグレードすると、値は 15 に変更されます。

新規/変更されたコマンド:quota management-session show quota management-session

新規/変更された画面:[Configuration] > [Device Management] > [Management Access] > [Management Session Quota]

管理権限レベルの変更通知

有効なアクセス(aaa authentication enable consoleを認証するか、または特権 EXEC への直接アクセス(aaa authorization exec auto-enable )を許可すると、前回のログイン以降に割り当てられたアクセス レベルが変更された場合に ASA からユーザへ通知されるようになりました。

新規/変更されたコマンド: show aaa login-history

新しい/変更された画面:

[Status] バー > [Login History] アイコン

IPv6 での NTP サポート

NTP サーバに IPv6 アドレスを指定できるようになりました。

新規/変更されたコマンド: ntp server

新規/変更された画面:[Configuration] > [Device Setup] > [System Time] > [NTP] > [Add] ボタン > [Add NTP Server Configuration] ダイアログ ボックス

SSH によるセキュリティの強化

次の SSH セキュリティの改善を参照してください。

  • Diffie-Hellman Group 14 SHA256 キー交換のサポート。この設定がデフォルトになりました。以前のデフォルトは Group 1 SHA1 でした。

  • HMAC-SHA256 整合性暗号のサポート。デフォルトは、高セキュリティの暗号セット(hmac-sha2-256 のみ)になりました。以前のデフォルトは中程度のセットでした。

新規/変更されたコマンド:ssh cipher integrity ssh key-exchange group dh-group14-sha256

新規/変更された画面:

  • [Configuration] > [Device Management] > [Management Access] > [ASDM/HTTPS/Telnet/SSH]

  • [Configuration] > [Device Management] > [Advanced] > [SSH Ciphers]

非ブラウザベースの HTTPS クライアントによる ASA へのアクセスの許可

非ブラウザベースの HTTPS クライアントが ASA 上の HTTPS サービスにアクセスできるようにすることができます。デフォルトでは、ASDM、CSM、および REST API が許可されています。

新規/変更されたコマンド: http server basic-auth-client

新規/変更された画面:

[Configuration] > [Device Management] > [Management Access] > [HTTP Non-Browser Client Support]

クラスタ制御リンク上でのみのコントロール プレーン パケットのキャプチャ

クラスタ制御リンク(およびデータ プレーン パケットなし)でのみコントロール プレーン パケットをキャプチャできるようになりました。このオプションは、マルチコンテキスト モードのシステムで、ACL を使用してトラフィックを照合できない場合に役立ちます。

新規/変更されたコマンド: capture interface cluster cp-cluster

新規/変更された画面:

[Wizards] > [Packet Capture Wizard] > [Cluster Option]

debug conn コマンド

接続処理を記録する 2 つの履歴メカニズムを提供するために debug conn コマンドが追加されました。1 つ目の履歴リストはスレッドの操作を記録するスレッドごとのリストです。2 つ目の履歴リストは conn グループに操作を記録するリストです。接続が有効になっている場合、接続のロック、ロック解除、削除などの処理イベントが 2 つの履歴リストに記録されます。問題が発生すると、これら 2 つのリストを使用して不正なロジックを判断する処理で確認することができます。

新規/変更されたコマンド: debug conn

show tech-support に追加の出力が含まれている

show tech-support の出力が拡張され、次の出力が表示されるようになりました。

  • show ipv6 interface

  • show aaa-server

  • show fragment

新規/変更されたコマンド: show tech-support

SNMP ウォーク操作中の空きメモリおよび使用済みメモリの統計情報の結果の有効化および無効化の ASDM サポート

CPU リソースが過剰に使用されないようにするには、SNMP ウォーク操作によって収集された空きメモリと使用済みメモリの統計情報のクエリを有効または無効にすることができます。

新規または変更された画面:[Configuration] > [Device Management] > [Management Access] > [SNMP]

マルチコンテキスト モードのシステムの ASDM [Home] ペインに設定可能なグラフ更新間隔

マルチコンテキスト モードのシステムでは、[Home] ペインのグラフの更新間隔の時間を設定できるようになりました。

新規/変更された画面:

[Tools] > [Preferences] > [Graph User time interval in System Context]

バージョン 9.10 の新機能

ASA 9.10(1)/ASDM 7.10(1) の新機能

リリース日:2018 年 10 月 25 日

機能

説明

プラットフォーム機能

Azure 用の ASAv VHD カスタム イメージ

シスコが提供する圧縮 VHD イメージを使用して、Azure に独自のカスタム ASAv イメージを作成できるようになりました。VHD イメージを使用して展開するには、Azure ストレージ アカウントに VHD イメージをアップロードする必要があります。次に、アップロードしたディスク イメージおよび Azure Resource Manager テンプレートを使用して、管理対象イメージを作成できます。Azure テンプレートは、リソースの説明とパラメータの定義が含まれている JSON ファイルです。

Azure 用 ASAv

ASAv は Azure 中国市場で入手できます。

DPDK の ASAv サポート

DPDK(データプレーン開発キット)は、ポーリングモード ドライバを使用して ASAv のデータプレーンに統合されています。

FirePOWER モジュール バージョン 6.3 の ISA 3000 サポート

以前サポート対象だったバージョンは FirePOWER 5.4 でした。

ファイアウォール機能

Cisco Umbrella サポート

Cisco Umbrella で定義されている エンタープライズ セキュリティ ポリシーをユーザ接続に適用できるように DNS 要求を Cisco Umbrella へリダイレクトするようにデバイスを設定できます。FQDN に基づいて接続を許可またはブロックできます。または、疑わしい FQDN の場合は Cisco Umbrella インテリジェント プロキシにユーザをリダイレクトして URL フィルタリングを実行できます。Umbrella の設定は、DNS インスペクション ポリシーに含まれています。

新規/変更されたコマンド:umbrella umbrella-global token public-key timeout edns dnscrypt show service-policy inspect dns detail

新しい/変更された画面:

[Configuration] > [Firewall] > [Objects] > [Umbrella][Configuration] > [Firewall] > [Objects] > [Inspect Maps] > [DNS]

MSISDN および選択モードのフィルタリング、アンチリプレイ、およびユーザ スプーフィング保護に対する GTP インスペクションの機能拡張

モバイル ステーション国際サブスクライバ電話番号(MSISDN)または選択モードに基づいて PDP コンテキストの作成メッセージをドロップするように GTP インスペクションを設定できるようになりました。また、アンチリプレイとユーザ スプーフィング保護も実装できます。

新規/変更されたコマンド: anti-replay gtp-u-header-check match msisdn match selection-mode

新規/変更された画面:

[Configuration] > [Firewall] > [Objects] > [Inspection Maps] > [GTP] > [Add/Edit] ダイアログボックス

TCP ステート バイパスのデフォルトのアイドル タイムアウト

TCP ステート バイパス接続のデフォルトのアイドル タイムアウトは 1 時間ではなく、2 分になりました。

カットスルー プロキシ ログイン ページからのログアウト ボタンの削除をサポート

ユーザ ID 情報(AAA 認証 リスナー)を取得するようにカットスルー プロキシを設定している場合、ページからログアウト ボタンを削除できるようになりました。これは、ユーザが NAT デバイスの背後から接続し、IP アドレスで識別できない場合に便利です。1 人のユーザがログアウトすると、その IP アドレスのすべてのユーザがログアウトされます。

新規/変更されたコマンド: aaa authentication listener no-logout-button

ASDM サポートはありません。

9.8(3) でも同様。

Trustsec SXP 接続の設定可能な削除ホールド ダウン タイマー

デフォルトの SXP 接続ホールド ダウン タイマーは 120 秒です。このタイマーを 120 ~ 64000 秒に設定できるようになりました。

新規/変更されたコマンド:cts sxp delete-hold-down period show cts sxp connection brief show cts sxp connections

ASDM サポートはありません。

9.8(3) でも同様。

トランスペアレント モードでの NAT'ed フローのオフロードをサポート。

フロー オフロード(flow-offload enable および set connection advanced-options flow-offload コマンド)を使用している場合、トランスペアレント モードで NAT を必要とするフローをオフロードされたフローに含めることができるようになりました。

Firepower 4100/9300 ASA 論理デバイスのトランスペアレント モード展開のサポート

Firepower 4100/9300 に ASA を展開するときに、トランスペアレントまたはルーテッド モードを指定できるようになりました。

新規/変更された FXOS コマンド:enter bootstrap-key FIREWALL_MODE set value routed set value transparent

新規/変更された [Firepower Chassis Manager] 画面:

[Logical Devices] > [Add Device] > [Settings]

新規/変更されたオプション:[Firewall Mode] ドロップダウン リスト

VPN 機能

従来の SAML 認証のサポート

CSCvg65072 の修正とともに ASA を展開すると、SAML のデフォルト動作で、AnyConnect 4.4 または 4.5 ではサポートされていない組み込みブラウザが使用されます。そのため、引き続き AnyConnect 4.4 または 4.5 を使用するには、従来の外部ブラウザで SAML 認証方式を有効にする必要があります。セキュリティ上の制限があるため、このオプションは、AnyConnect 4.6(またはそれ以降)に移行するための一時的な計画の一環としてのみ使用してください。このオプションは近い将来に廃止されます。

新規/変更されたコマンド: saml external-browser

新しい/変更された画面:

[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [AnyConnect Connection Profiles] ページ > [Connection Profiles] 領域 > [Add] ボタン > [Add AnyConnect Connection Profile] ダイアログボックス

[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Connection Profiles] > ページ > [Connection Profiles] 領域 > [Add] ボタン > [Add Clientless SSL VPN Connection Profile] ダイアログボックス

新規および変更されたオプション:[SAML External Browser] チェックボックス

9.8(3) でも同様。

AnyConnect VPN リモート アクセス接続のための DTLS 1.2 サポート

DTLS 1.2(RFC-6347 で規定)では、現在サポートされている DTLS 1.0(バージョン番号 1.1 は DTLS には使用されません)に加えて、AnyConnect リモート アクセスもサポートされるようになりました。これは、5506-X、5508-X、および 5516-X を除くすべての ASA モデルに適用され、ASA がクライアントではなく、サーバとしてのみ機能している場合に適用されます。DTLS 1.2 は、現在のすべての TLS/DTLS 暗号方式と大きな Cookie サイズに加えて、追加の暗号方式をサポートしています。

新規/変更されたコマンド:show run sslshow vpn-sessiondb detail anyconnectssl cipherssl server-version

新規/変更された画面:[Configuration] > [Remote Access VPN] > [Advanced] > [SSL Settings]

ハイ アベイラビリティとスケーラビリティの各機能

Firepower 4100/9300 のクラスタ制御リンクのカスタマイズ可能な IP アドレス

クラスタ制御リンクのデフォルトでは 127.2.0.0/16 ネットワークが使用されます。これで FXOS でクラスタを展開するときにネットワークを設定できます。シャーシは、シャーシ ID およびスロット ID(127.2.chassis_id.slot_id)に基づいて、各ユニットのクラスタ制御リンク インターフェイス IP アドレスを自動生成します。ただし、一部のネットワーク展開では、127.2.0.0/16 トラフィックはパスできません。そのため、ループバック(127.0.0.0/8)およびマルチキャスト(224.0.0.0/4)アドレスを除き、FXOS にクラスタ制御リンクのカスタム /16 サブネットを作成できるようになりました。

新規/変更された FXOS コマンド: set cluster-control-link network

新規/変更された [Firepower Chassis Manager] 画面:

[Logical Devices] > [Add Device] > [Cluster Information]

新規/変更されたオプション:[CCL Subnet IP] フィールド

Firepower 9300 シャーシごとのクラスタ ユニットのパラレル参加

Firepower 9300 の場合、この機能により、シャーシ内のセキュリティ モジュールがクラスタに同時に参加し、トラフィックがモジュール間で均等に分散されるようになります。他のモジュールよりもかなり前に参加したモジュールは、他のモジュールがまだ負荷を共有できないため、必要以上のトラフィックを受信することがあります。

新規/変更されたコマンド: unit parallel-join

新しい/変更された画面:

[Configuration] > [Device Management] > [High Availability and Scalability] > [ASA Cluster]

新規/変更されたオプション:[Parallel Join of Units Per Chassis] エリア

クラスタ インターフェイス デバウンス時間は、ダウン状態から稼働状態に変更するインターフェイスに適用されるようになりました。

インターフェイスのステータス更新が発生すると、ASA はインターフェイスを障害としてマークし、クラスタからユニットを削除するまで health-check monitor-interface debounce-time コマンドまたは ASDM [Configuration] > [Device Management] > [High Availability and Scalability] > [ASA Cluster] 画面で指定されたミリ秒数待機します。この機能は、ダウン状態から稼働状態に変更するインターフェイスに適用されるようになりました。たとえば、ダウン状態から稼働状態に移行している EtherChannel の場合(スイッチがリロードされた、またはスイッチが有効になっている EtherChannel など)、デバウンス時間を長くすることで、他のクラスタ ユニットの方がポートのバンドルが速いという理由だけで、クラスタ ユニット上でインターフェイスがエラー表示されるのを防ぐことができます。

変更されたコマンドはありません。

変更された画面はありません。

Microsoft Azure Government クラウドでの ASAv のアクティブ/バックアップの高可用性

アクティブな ASAv の障害が Microsoft Azure パブリック クラウドのバックアップ ASAv へのシステムの自動フェールオーバーをトリガーするのを許可するステートレスなアクティブ/バックアップ ソリューションが、Azure Government クラウドで使用できるようになりました。

新規または変更されたコマンド:failover cloud

新規または変更された画面:[Configuration] > [Device Management] > [High Availability and Scalability] > [Failover]

[Monitoring] > [Properties] > [Failover] > [Status]

[Monitoring] > [Properties] > [Failover] > [History]

インターフェイス機能

Firepower 2100/4100/9300 のスーパーバイザの関連付けを表示するための show interface ip brief および show ipv6 interface の出力の強化

Firepower 2100/4100/9300 の場合、コマンドの出力は、インターフェイスのスーパーバイザの関連付けステータスを表示するために強化されています。

新規/変更されたコマンド:show interface ip briefshow ipv6 interface

Firepower 2100 では、set lacp-mode コマンドが set port-channel-mode に変更されています。

set lacp-mode コマンドは、Firepower 4100/9300 でのコマンドの使用方法に合わせるために set port-channel-mode に変更されています。

新規/変更された FXOS コマンド: set port-channel-mode

管理、モニタリング、およびトラブルシューティングの機能

Firepower 2100 の NTP 認証のサポート

FXOS で SHA1 NTP サーバ認証を設定できるようになりました。

新規/変更された FXOS コマンド:enable ntp-authentication、set ntp-sha1-key-id、set ntp-sha1-key-string

新規/変更された [Firepower Chassis Manager] 画面:

[Platform Settings] > [NTP]

新規/変更されたオプション:[NTP Server Authentication: Enable] チェックボックス、[Authentication Key] フィールド、[Authentication Value] フィールド

ACL を使用せず IPv6 トラフィックを一致させるためのパケット キャプチャのサポート

capture コマンドの match キーワードを使用する場合、any キーワードは IPv4 トラフィックのみ照合します。IPv4 または IPv6 トラフィックをキャプチャするために、any4any6 キーワードを指定できるようになりました。any キーワードでは、引き続き IPv4 トラフィックのみ照合されます。

新規/変更されたコマンド:capture match

ASDM サポートはありません。

Firepower 2100 の FXOS に対する SSH の公開キー認証のサポート

SSH キーを設定し、パスワード認証の代わりに公開キー認証を使用したり、両方の認証を使用したりできます。

新規/変更された FXOS コマンド:set sshkey

Firepower Chassis Manager のサポートはありません。

GRE および IPinIP カプセル化のサポート

内部インターフェイス上でパケット キャプチャを実行するときに、ICMP、UDP、TCP などでの GRE および IPinIP カプセル化を表示するコマンドの出力が強化されています。

新規/変更されたコマンド:show capture

アプリケーションのキャッシュの割り当てを制限するメモリしきい値を有効にするためのサポート

デバイスの管理性と安定性を維持するためのメモリの予約ができるように、特定のメモリしきい値に達するアプリケーション キャッシュの割り当てを制限することができます。

新規/変更されたコマンド:memory threshold enable、show run memory threshold、clear conf memory threshold

RFC 5424 ロギングのタイムスタンプのサポート

RFC 5424 形式に従ってロギング タイムスタンプを有効にできます。

新規/変更されたコマンド:logging timestamp

TCB-IPS のメモリ使用量を表示するためのサポート

TCB-IPS でのアプリケーション レベルのメモリ キャッシュを表示します。

新規/変更されたコマンド:show memory app-cache

SNMP ウォーク操作中の空きメモリおよび使用済みメモリの統計情報の結果を有効または無効にするためのサポート

CPU リソースが過剰に使用されないようにするには、SNMP ウォーク操作によって収集された空きメモリと使用済みメモリの統計情報のクエリを有効または無効にすることができます。

新規/変更されたコマンド:snmp-server enable oid

ASDM サポートはありません。

バージョン 9.9 の新機能

ASDM 7.9(2.152) の新機能

リリース日:2018 年 5 月 9 日

機能

説明

VPN 機能

従来の SAML 認証のサポート

CSCvg65072 の修正とともに ASA を展開すると、SAML のデフォルト動作で、AnyConnect 4.4 または 4.5 ではサポートされていない組み込みブラウザが使用されます。そのため、引き続き AnyConnect 4.4 または 4.5 を使用するには、従来の外部ブラウザで SAML 認証方式を有効にする必要があります。セキュリティ上の制限があるため、このオプションは、AnyConnect 4.6 に移行するための一時的な計画の一環としてのみ使用してください。このオプションは近い将来に廃止されます。

新しい/変更された画面:

[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [AnyConnect Connection Profiles] ページ > [Connection Profiles] 領域 > [Add] ボタン > [Add AnyConnect Connection Profile] ダイアログボックス

[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Connection Profiles] > ページ > [Connection Profiles] 領域 > [Add] ボタン > [Add Clientless SSL VPN Connection Profile] ダイアログボックス

新規および変更されたオプション:[SAML External Browser] チェックボックス

ASA 9.9(2)/ASDM 7.9(2) の新機能

リリース:2018年3月26日

機能

説明

プラットフォーム機能

VMware ESXi 6.5 用の ASAv サポート

ASAv 仮想プラットフォームは、VMware ESXi 6.5 で動作するホストをサポートしています。vi.ovf および esxi.ovf ファイルに新しい VMware ハードウェア バージョンが追加され、ESXi 6.5 で ASAv の最適なパフォーマンスと使いやすさを実現しました。

変更されたコマンドはありません。

変更された画面はありません。

VMXNET3 インターフェイス用の ASAv サポート

ASAv 仮想プラットフォームは、VMware ハイパーバイザ上の VMXNET3 インターフェイスをサポートしています。

変更されたコマンドはありません。

変更された画面はありません。

初回起動時の仮想シリアル コンソール用の ASAv サポート

ASAv にアクセスして設定するために、仮想 VGA コンソールではなく初回起動時に仮想シリアル コンソールを使用するように ASAv を設定できるようになりました。

新規または変更されたコマンド:console serial

Microsoft Azure 上での高可用性のために複数の Azure サブスクリプションでユーザ定義ルートを更新する ASAv サポート

Azure 高可用性構成で ASAv を構成して、複数の Azure サブスクリプションでユーザ定義ルートを更新できるようになりました。

新規または変更されたコマンド:failover cloud route-table

新規または変更された画面:[Configuration] > [Device Management] > [High Availability and Scalability] > [Failover] > [Route-Table]

VPN 機能

IKEv2 プロトコルに拡張されたリモート アクセス VPN マルチコンテキスト サポート

AnyConnect やサード パーティ製標準ベース IPSec IKEv2 VPN クライアントがマルチコンテキスト モードで稼働する ASA へのリモート アクセス VPN セッションを確立できるように、ASA を構成することをサポートします。

RADIUS サーバへの IPv6 接続

ASA 9.9.2 では、外部 AAA RADIUS サーバへの IPv6 接続がサポートされるようになりました。

BVI サポートのための Easy VPN 拡張

Easy VPN は、ブリッジ型仮想インターフェイス(BVI)を内部セキュア インターフェイスとしてサポートするように拡張され、インターフェイスを内部セキュア インターフェイスとして使用するように直接設定できるようになりました。それ以外の場合は、ASA がセキュリティ レベルを使用して、その内部セキュア インターフェイスを選択します。

また、VPN 管理アクセスがその BVI で有効になっている場合、telnethttpssh などの管理サービスを BVI で設定できるようになりました。非 VPN 管理アクセスの場合は、ブリッジ グループ メンバ インターフェイスでこれらのサービスの設定を続行する必要があります。

新規または変更されたコマンド:vpnclient secure interface [interface-name]、httpstelnetsshmanagement-access

分散型 VPN セッションの改善

  • 分散型 S2S VPN のアクティブ セッションとバックアップ セッションのバランスをとるアクティブ セッションの再配布ロジックが改善されました。また、管理者が入力した単一の cluster redistribute vpn-sessiondb コマンドに対し、バランシング プロセスをバックグラウンドで最大 8 回繰り返すことができます。

  • クラスタ全体のダイナミック リバース ルート インジェクション(RRI)の処理が改善されました。

ハイ アベイラビリティとスケーラビリティの各機能

内部障害発生後に自動的にクラスタに再参加する

以前は、多くのエラー状態によりクラスタ ユニットがクラスタから削除されていました。この問題を解決した後、手動でクラスタに再参加する必要がありました。現在は、ユニットはデフォルトで 5 分、10 分、および 20 分の間隔でクラスタに自動的に再参加を試行します。これらの値は設定できます。内部の障害には、アプリケーション同期のタイムアウト、矛盾したアプリケーション ステータスなどがあります。

新規または変更されたコマンド:health-check system auto-rejoin、show cluster info auto-join

新規または変更された画面:[Configuration] > [Device Management] > [High Availability and Scalability] > [ASA Cluster] > [Auto Rejoin]

ASA 5000-X シリーズに対してインターフェイスを障害としてマークするために設定可能なデバウンス時間

ASA がインターフェイスを障害が発生していると見なし、ASA 5500-X シリーズ上のクラスタからユニットが削除されるまでのデバウンス時間を設定できるようになりました。この機能により、インターフェイスの障害をより迅速に検出できます。デバウンス時間を短くすると、誤検出の可能性が高くなることに注意してください。インターフェイスのステータス更新が発生すると、ASA はインターフェイスを障害としてマークし、クラスタからユニットを削除するまで指定されたミリ秒数待機します。デフォルトのデバウンス時間は 500 ms で、有効な値の範囲は 300 ms ~ 9 秒です。この機能は以前は Firepower 4100/9300 で使用できました。

新規または変更されたコマンド:health-check monitor-interface debounce-time

新規または変更された画面:[Configuration] > [Device Management] > [High Availability and Scalability] > [ASA Cluster]

クラスタの信頼性の高いトランスポート プロトコル メッセージのトランスポートに関連する統計情報の表示

ユニットごとのクラスタの信頼性の高いトランスポート バッファ使用率を確認して、バッファがコントロール プレーンでいっぱいになったときにパケット ドロップの問題を特定できるようになりました。

新規または変更されたコマンド:show cluster info transport cp detail

ピア ユニットからのフェールオーバー履歴の表示

ピア ユニットから、details キーワードを使用して、フェールオーバー履歴を表示できるようになりました。これには、フェールオーバー状態の変更と状態変更の理由が含まれます。

新規または変更されたコマンド:show failover

インターフェイス機能

シングル コンテキスト モード用の一意の MAC アドレス生成

シングル コンテキスト モードで VLAN サブインターフェイスの一意の MAC アドレス生成を有効にできるようになりました。通常、サブインターフェイスはメイン インターフェイスと同じ MAC アドレスを共有します。IPv6 リンクローカル アドレスは MAC アドレスに基づいて生成されるため、この機能により一意の IPv6 リンクローカル アドレスが許可されます。

新規または変更されたコマンド:mac-address auto

ASDM サポートはありません。

9.8(3) と 9.8(4) も同様です。

管理機能

RSA キー ペアによる 3072 ビット キーのサポート

モジュラス サイズを 3072 に設定できるようになりました。

新規または変更されたコマンド:crypto key generate rsa modulus

新規または変更された画面:[Configuration] > [Device Management] > [Certificate Management] > [Identity Certificates]

FXOS ブートストラップ設定によるイネーブル パスワードの設定

Firepower 4100/9300 に ASA を展開すると、ブートストラップ設定のパスワード設定により、イネーブル パスワードと管理者ユーザ パスワードが設定されるようになりました。FXOS バージョン 2.3.1 が必要です。

モニタリング機能とトラブルシューティング機能

SNMP IPv6 のサポート

ASA は、IPv6 経由での SNMP サーバとの通信、IPv6 経由でのクエリとトラップの実行許可、既存の MIB に対する IPv6 アドレスのサポートなど、SNMP over IPv6 をサポートするようになりました。RFC 8096 で説明されているように、次の新しい SNMP IPv6 MIB オブジェクトが追加されました。

  • ipv6InterfaceTable(OID:1.3.6.1.2.1.4.30):インターフェイスごとの IPv6 固有の情報が含まれています。

  • ipAddressPrefixTable(OID:1.3.6.1.2.1.4.32):このエンティティによって学習されたすべてのプレフィックスが含まれています。

  • ipAddressTable(OID:1.3.6.1.2.1.4.34):エンティティのインターフェイスに関連するアドレッシング情報が含まれています。

  • ipNetToPhysicalTable(OID:1.3.6.1.2.1.4.35):IP アドレスから物理アドレスへのマッピングが含まれています。

新規または変更されたコマンド:snmp-server host

(注)   

snmp-server host-group コマンドは IPv6 をサポートしていません。

新規または変更された画面:[Configuration] > [Device Management] > [Management Access] > [SNMP]

単一ユーザ セッションのトラブルシューティングのための条件付きデバッグ

条件付きデバッグ機能は、設定されたフィルタ条件に基づく特定の ASA VPN セッションのログを確認することを支援するようになりました。IPv4 および IPv6 サブネットの「any, any」のサポートが提供されます。

ASDM 7.9(1.151) の新機能

リリース:2018 年 2 月 14 日

このリリースに新機能はありません。

ASA 9.9(1)/ASDM 7.9(1) の新機能

リリース:2017年12月4日

機能

説明

ファイアウォール機能

Ethertype アクセス コントロール リストの変更

EtherType アクセス コントロール リストは、Ethernet II IPX(EII IPX)をサポートするようになりました。さらに、DSAP キーワードに新しいキーワードが追加され、共通 DSAP 値(BPDU(0x42)、IPX(0xE0)、Raw IPX(0xFF)、および ISIS(0xFE))をサポートします。その結果、BPDU または ISIS キーワードを使用する既存の EtherType アクセス コントロール エントリは自動的に DSAP 仕様を使用するように変換され、IPX のルールは 3 つのルール(DSAP IPX、DSAP Raw IPX、および EII IPX)に変換されます。さらに、IPX を EtherType 値として使用するパケット キャプチャは廃止されました。これは、IPX が 3 つの個別の EtherType に対応するためです。

新規/変更されたコマンド:access-list ethertype キーワード eii-ipx および dsap {bpdu | ipx | isis | raw-ipx} が追加されました。capture ethernet-type ipx キーワードはサポートされなくなりました。

新規または変更された画面:[Configuration] > [Firewall] > [Ethertype Rules]

VPN 機能

Firepower 9300 上のクラスタリングによる分散型サイト間 VPN

Firepower 9300 上の ASA クラスタは、分散モードでサイト間 VPN をサポートします。分散モードでは、(集中モードなどの)制御ユニットだけでなく、ASA クラスタのメンバー間で多数のサイト間 IPsec IKEv2 VPN 接続を分散させることができます。これにより、集中型 VPN の機能を超えて VPN サポートが大幅に拡張され、高可用性が実現します。分散型 S2S VPN は、それぞれ最大 3 つのモジュールを含む最大 2 つのシャーシのクラスタ(合計 6 つのクラスタ メンバー)上で動作し、各モジュールは最大約 36,000 のアクティブ セッション(合計 72,000)に対し、最大 6,000 のアクティブ セッション(合計 12,000)をサポートします。

新規または変更されたコマンド:cluster redistribute vpn-sessiondbshow cluster vpn-sessiondbvpn modeshow cluster resource usageshow vpn-sessiondbshow connection detailshow crypto ikev2

新規または変更された画面:

[Monitoring] > [ASA Cluster] > [ASA Cluster] > [VPN Cluster Summary]

[Monitoring] > [VPN] > [VPN Statistics] > [Sessions]

[Configuration] > [Device Management] > [High Availablility and Scalability] > [ASA Cluster]

[Wizards] > [Site-to-Site]

[Monitoring] > [VPN] > [VPN Statistics] > [Sessions]

[Monitoring] > [ASA Cluster] > [ASA Cluster] > [VPN Cluster Summary]

[Monitoring] > [ASA Cluster] > [ASA Cluster] > [System Resource Graphs] > [CPU/Memory]

[Monitoring] > [Logging] > [Real-Time Log Viewer]

ハイ アベイラビリティとスケーラビリティの各機能

Microsoft Azure での ASAv のアクティブ/バックアップの高可用性

アクティブな ASAv の障害が Microsoft Azure パブリック クラウドのバックアップ ASAv へのシステムの自動フェールオーバーをトリガーするのを許可するステートレスなアクティブ/バックアップ ソリューション。

新規または変更されたコマンド:failover cloud

新規または変更された画面:[Configuration] > [Device Management] > [High Availability and Scalability] > [Failover]

[Monitoring] > [Properties] > [Failover] > [Status]

[Monitoring] > [Properties] > [Failover] > [History]

バージョン 9.8(1.200) でも同様です。

Firepower シャーシのシャーシ ヘルス チェックの障害検出の向上

シャーシ ヘルス チェックの保留時間をより低い値(100 ms)に設定できるようになりました。以前の最小値は 300 ms でした。

新規または変更されたコマンド:app-agent heartbeat interval

ASDM サポートはありません。

クラスタリングのサイト間冗長性

サイト間の冗長性により、トラフィック フローのバックアップ オーナーは常にオーナーとは別のサイトに置かれます。この機能によって、サイトの障害から保護されます。

新規または変更されたコマンド:site-redundancy、show asp cluster counter change、show asp table cluster chash-table、show conn flag

新規または変更された画面:[Configuration] > [Device Management] > [High Availability and Scalability] > [ASA Cluster]

動作と一致するcluster remove unit コマンドの動作no enable

cluster remove unit コマンドは、no enable コマンドと同様に、クラスタリングまたはリロードを手動で再度有効にするまで、クラスタからユニットを削除するようになりました。以前は、FXOS からブートストラップ設定を再展開すると、クラスタリングが再度有効になりました。無効化されたステータスは、ブートストラップ設定の再展開の場合でも維持されるようになりました。ただし、ASA をリロードすると、クラスタリングが再度有効になります。

新規または変更されたコマンド:cluster remove unit

新規または変更された画面:[Configuration] > [Device Management] > [High Availability and Scalability] > [ASA Cluster]

管理、モニタリング、およびトラブルシューティングの機能

SSH バージョン 1 の廃止

SSH バージョン 1 は廃止され、今後のリリースで削除される予定です。デフォルト設定が SSH v1 と v2 の両方から SSH v2 のみに変更されました。

新規/変更されたコマンド: ssh version

新しい/変更された画面:

  • [Configuration] > [Device Management] > [Management Access] > [ASDM/HTTPS/Telnet/SSH]

強化されたパケット トレーサおよびパケット キャプチャ機能

パケット トレーサは次の機能で強化されました。

  • パケットがクラスタ ユニット間を通過するときにパケットを追跡します。

  • シミュレートされたパケットが ASA から出られるようにします。

  • シミュレートされたパケットのセキュリティ チェックをバイパスします。

  • シミュレートされたパケットを IPsec/SSL で復号化されたパケットとして扱います。

パケット キャプチャは次の機能で強化されました。

  • パケットを復号化した後にキャプチャします。

  • トレースをキャプチャし、永続リストに保持します。

新規または変更されたコマンド:cluster exec capture test trace include-decrypted、cluster exec capture test trace persist、cluster exec clear packet-tracer、cluster exec show packet-tracer id、cluster exec show packet-tracer origin、packet-tracer persist、packet-tracer transmit、packet-tracer decrypted、packet-tracer bypass-checks

新規または変更された画面:

[Tools] > [Packet Tracer]

次のオプションをサポートする [Cluster Capture] フィールドを追加しました:[decrypted]、[persist]、[bypass-checks]、[transmit]

[All Sessions] ドロップダウンリストの下の [Filter By] ビューに 2 つの新しいオプションを追加しました:[Origin] および [Origin-ID]

[Monitoring] > [VPN] > [VPN Statistics] > [Packet Tracer and Capture]

[Packet Capture Wizard] 画面に [ICMP Capture] フィールドを追加しました:[Wizards] > [Packet Capture Wizard]

ICMP キャプチャをサポートする 2 つのオプション、include-decrypted および persist を追加しました。

バージョン 9.8 の新機能

ASA 9.8(4) の新機能

リリース日:2019 年 4 月 24 日

機能

説明

VPN 機能

webVPN HSTS へのサブドメインの追加

ドメイン所有者は、Web ブラウザの HSTS プリロード リストに含める必要があるドメインを送信できます。

新規/変更されたコマンド: hostname(config-webvpn) includesubdomains

新しい/変更された画面:

[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Advanced] > [Proxies] > [Enable HSTS Subdomains] フィールド

9.12(1) でも同様です。

管理機能

非ブラウザベースの HTTPS クライアントによる ASA へのアクセスの許可

非ブラウザベースの HTTPS クライアントが ASA 上の HTTPS サービスにアクセスできるようにすることができます。デフォルトでは、ASDM、CSM、および REST API が許可されています。多くの専門クライアント(python ライブラリ、curl、wget など)は、クロスサイト要求の偽造(CSRF)トークンベースの認証をサポートしていないため、これらのクライアントが ASA 基本認証方式を使用することを明確に許可する必要があります。セキュリティ上の理由から、必要なクライアントのみを許可する必要があります。

新規/変更されたコマンド: http server basic-auth-client

新規/変更された画面:

[Configuration] > [Device Management] > [Management Access] > [HTTP Non-Browser Client Support]

9.12(1) でも同様です。

show tech-support に追加の出力が含まれている

show tech-support の出力が拡張され、次の出力が表示されるようになりました。

  • show ipv6 interface

  • show aaa-server

  • show fragment

新規/変更されたコマンド: show tech-support

9.12(1) でも同様です。

SNMP ウォーク操作中の空きメモリおよび使用済みメモリの統計情報の結果を有効または無効にするためのサポート

CPU リソースが過剰に使用されないようにするには、SNMP ウォーク操作によって収集された空きメモリと使用済みメモリの統計情報のクエリを有効または無効にすることができます。

新規/変更されたコマンド:snmp-server enable oid

新規または変更された画面:[Configuration] > [Device Management] > [Management Access] > [SNMP]

9.10(1) でも同様です。

ASA 9.8(3)/ASDM 7.9(2.152) の新機能

リリース日:2018 年 7 月 2 日

機能

説明

プラットフォーム機能

Firepower 2100 アクティブ LED はスタンバイ モードのときにオレンジ色に点灯するようになりました。

以前は、スタンバイ モード時にはアクティブ LED は点灯していませんでした。

ファイアウォール機能

カットスルー プロキシ ログイン ページからのログアウト ボタンの削除をサポート。

ユーザ ID 情報(AAA 認証 リスナー)を取得するようにカットスルー プロキシを設定している場合、ページからログアウト ボタンを削除できるようになりました。これは、ユーザが NAT デバイスの背後から接続し、IP アドレスで識別できない場合に便利です。1 人のユーザがログアウトすると、その IP アドレスのすべてのユーザがログアウトされます。

新規/変更されたコマンド:aaa authentication listener no-logout-button

ASDM サポートはありません。

Trustsec SXP 接続の設定可能な削除ホールド ダウン タイマー

デフォルトの SXP 接続ホールド ダウン タイマーは 120 秒です。このタイマーを 120 ~ 64000 秒に設定できるようになりました。

新規/変更されたコマンド:cts sxp delete-hold-down period show cts sxp connection brief show cts sxp connections

ASDM サポートはありません。

VPN 機能

従来の SAML 認証のサポート

CSCvg65072 の修正とともに ASA を展開すると、SAML のデフォルト動作で、AnyConnect 4.4 または 4.5 ではサポートされていない組み込みブラウザが使用されます。そのため、引き続き AnyConnect 4.4 または 4.5 を使用するには、従来の外部ブラウザで SAML 認証方式を有効にする必要があります。セキュリティ上の制限があるため、このオプションは、AnyConnect 4.6 に移行するための一時的な計画の一環としてのみ使用してください。このオプションは近い将来に廃止されます。

新規/変更されたコマンド: saml external-browser

新しい/変更された画面:

[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [AnyConnect Connection Profiles] ページ > [Connection Profiles] 領域 > [Add] ボタン > [Add AnyConnect Connection Profile] ダイアログボックス

[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Connection Profiles] > ページ > [Connection Profiles] 領域 > [Add] ボタン > [Add Clientless SSL VPN Connection Profile] ダイアログボックス

新規および変更されたオプション:[SAML External Browser] チェックボックス

インターフェイス機能

シングル コンテキスト モード用の一意の MAC アドレス生成

シングル コンテキスト モードで VLAN サブインターフェイスの一意の MAC アドレス生成を有効にできるようになりました。通常、サブインターフェイスはメイン インターフェイスと同じ MAC アドレスを共有します。IPv6 リンクローカル アドレスは MAC アドレスに基づいて生成されるため、この機能により一意の IPv6 リンクローカル アドレスが許可されます。

新規または変更されたコマンド:mac-address auto

ASDM サポートはありません。

9.9 (2) 以降でも同様です。

ASDM 7.8(2.151) の新機能

リリース:2017年10月12日

機能

説明

ファイアウォール機能

Ethertype アクセス コントロール リストの変更

EtherType アクセス コントロール リストは、Ethernet II IPX(EII IPX)をサポートするようになりました。さらに、DSAP キーワードに新しいキーワードが追加され、共通 DSAP 値(BPDU(0x42)、IPX(0xE0)、Raw IPX(0xFF)、および ISIS(0xFE))をサポートします。その結果、BPDU または ISIS キーワードを使用する既存の EtherType アクセス コントロール エントリは自動的に DSAP 仕様を使用するように変換され、IPX のルールは 3 つのルール(DSAP IPX、DSAP Raw IPX、および EII IPX)に変換されます。さらに、IPX を EtherType 値として使用するパケット キャプチャは廃止されました。これは、IPX が 3 つの個別の EtherType に対応するためです。

この機能は、9.8(2.9) およびその他の暫定リリースでサポートされています。詳細については、CSCvf57908 を参照してください。

次のコマンドが変更されました:access-list ethertype キーワード eii-ipx および dsap {bpdu | ipx | isis | raw-ipx} が追加されました。capture ethernet-type ipx キーワードはサポートされなくなりました。

次の画面が変更されました:[Configuration] > [Firewall] > [Ethertype Rules].

ASA 9.8(2)/ASDM 7.8(2) の新機能

リリース:2017年8月28日

機能

説明

プラットフォーム機能

FirePOWER 2100 シリーズ用の ASA

FirePOWER 2110、2120、2130、2140 用の ASA を導入しました。FirePOWER 4100 および 9300 と同様に、FirePOWER 2100 は基盤の FXOS オペレーティング システムを実行してから、ASA オペレーティング システムをアプリケーションとして実行します。FirePOWER 2100 実装では、FirePOWER 4100 および 9300 よりも緊密に FXOS を ASA と連携させます(軽量な FXOS 機能、単一デバイス イメージ バンドル、ASA および FXOS の両方に対する簡単な管理アクセス)。

FXOS には、EtherChannel の作成、NTP サービス、ハードウェアのモニタリング、およびその他の基本機能を含む、インターフェイスの構成ハードウェア設定があります。この構成では、Firepower Chassis Manager または FXOS CLI を使用できます。ASA には、(FirePOWER 4100 および 9300 とは異なり)スマート ライセンスを含む、その他すべての機能があります。ASA および FXOS はそれぞれ、管理 1/1 インターフェイスでの独自の IP アドレスを持っています。ユーザは、任意のデータ インターフェイスから ASA および FXOS インスタンス両方の管理を設定できます。

次のコマンドが導入されました。connect fxos、fxos https、fxos snmp、fxos ssh、ip-client

次の画面が導入されました。

[Configuration] > [Device Management] > [Management Access] > [FXOS Remote Management]

国防総省(DoD)統合機能認定製品リスト

ASA は、統合機能認定製品リスト(UC APL)の要件に準拠するように更新されました。このリリースでは、fips enable コマンドを入力すると、ASA がリロードされます。フェールオーバーを有効にする前に、両方のフェールオーバー ピアが同じ FIPS モードになっている必要があります。

fips enable コマンドが変更されました。

Amazon Web Services M4 インスタンスの ASAv サポート

ASAv を M4 インスタンスとして展開できるようになりました。

変更されたコマンドはありません。

変更された画面はありません。

ASAv5 1.5 GB RAM 機能

バージョン 9.7(1) 以降、ASAv5 では、AnyConnect の有効化やファイルの ASAv へのダウンロードなどの特定の機能が失敗した場合に、メモリが枯渇することがあります。1.5 GB の RAM を ASAv5 に割り当てられるようになりました(1 GB から増加しました)。

変更されたコマンドはありません。

変更された画面はありません。

VPN 機能

HTTP Strict Transport Security(HSTS)ヘッダーのサポート

HSTS は、クライアントレス SSL VPN でのプロトコル ダウングレード攻撃や Cookie ハイジャックから Web サイトを保護します。これにより Web サーバは、Web ブラウザ(またはその他の準拠しているユーザ エージェント)が Web サーバと通信するにはセキュア HTTPS 接続を使用する必要があり、非セキュアな HTTP プロトコルを使用して通信することはできないことを宣言できます。HSTS は IETF 標準化過程プロトコルであり、RFC 6797 で指定されます。

次のコマンドが導入されました。hsts enable, hsts max-age age_in_seconds

次の画面が変更されました:[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Advanced] > [Proxies]

インターフェイス機能

ASAv50 の VLAN サポート

ASAv50 では、SR-IOV インターフェイスの ixgbe-vf vNIC で VLAN がサポートされるようになりました。

変更されたコマンドはありません。

変更された画面はありません。

ASA 9.8(1.200) の新機能

リリース:2017年7月30日


(注)  

このリリースは、Microsoft Azure の ASAv でのみサポートされます。これらの機能は、バージョン 9.8(2) ではサポートされていません。


機能

説明

ハイ アベイラビリティとスケーラビリティの各機能

Microsoft Azure での ASAv のアクティブ/バックアップの高可用性

アクティブな ASAv の障害が Microsoft Azure パブリック クラウドのバックアップ ASAv へのシステムの自動フェールオーバーをトリガーするのを許可するステートレスなアクティブ/バックアップ ソリューション。

次のコマンドが導入されました。failover cloud

ASDM サポートはありません。

ASDM 7.8(1.150) の新機能

リリース:2017年6月20日

このリリースに新機能はありません。

ASA 9.8(1)/ASDM 7.8(1) の新機能

リリース:2017年5月15日

機能

説明

プラットフォーム機能

ASAv50 プラットフォーム

ASAv 仮想プラットフォームに、10 Gbps のファイアウォール スループット レベルを提供するハイエンド パフォーマンス ASAv50 プラットフォームが追加されました。ASAv50 には ixgbe-vf vNIC が必要です。これは VMware および KVM でのみサポートされます。

ASAv プラットフォームの SR-IOV

ASAv 仮想プラットフォームでは、Single Root I/O Virtualization(SR-IOV)インターフェイスがサポートされます。これにより、複数の VM でホスト内の 1 つの PCIe ネットワーク アダプタを共有できるようになります。ASAv SR-IOV サポートは、VMware、KVM、および AWS でのみ使用可能です。

ASAv での自動 ASP ロード バランシングのサポート

以前は、ASP ロード バランシングは手動でのみ有効または無効にできました。

次のコマンドを変更しました。asp load-balance per-packet-auto

次の画面が変更されました。[Configuration] > [Device Management] > [Advanced] > [ASP Load Balancing]。

ファイアウォール機能

TLS プロキシ サーバの SSL 暗号スイートの設定サポート

ASA が TLS プロキシ サーバとして動作している場合は、SSL 暗号スイートを設定できるようになりました。以前は、[Configuration] > [Device Management] > [Advanced] > [SSL Settings] > [Encryption] ページで ssl cipher コマンドを使用した ASA のグローバル設定のみが可能でした。

次のコマンドが導入されました。 server cipher-suite

次の画面が変更されました。[Configuration] > [Firewall] > [Unified Communications] > [TLS Proxy]、追加/編集ダイアログ ボックス、[Server Configuration] ページ。

ICMP エラーのグローバル タイムアウト

ASA が ICMP エコー応答パケットを受信してから ICMP 接続を削除するまでのアイドル時間を設定できるようになりました。このタイムアウトが無効(デフォルト)で、ICMP インスペクションが有効に設定されている場合、ASA はエコー応答を受信するとすぐに ICMP 接続を削除します。したがって、終了しているその接続に対して生成されたすべての ICMP エラーは破棄されます。このタイムアウトは ICMP 接続の削除を遅らせるので、重要な ICMP エラーを受信することが可能になります。

次のコマンドが追加されました。 timeout icmp-error

[Configuration] > [Firewall] > [Advanced] > [Global Timeouts] の画面が変更されました。

ハイ アベイラビリティとスケーラビリティの各機能

改善されたクラスタ ユニットのヘルス チェック障害検出

ユニット ヘルスチェックの保留時間をより低めの値に設定できます(最小値は .3 秒)以前の最小値は .8 秒でした。この機能は、ユニット ヘルス チェック メッセージング スキームを、コントロール プレーンのキープアライブからデータ プレーンのハートビートに変更します。ハートビートを使用すると、コントロール プレーン CPU のホッギングやスケジューリングの遅延の影響を受けないため、クラスタリングの信頼性と応答性が向上します。保留時間を短く設定すると、クラスタ制御リンクのメッセージング アクティビティが増加することに注意してください。保留時間を短く設定する前にネットワークを分析することをお勧めします。たとえば、ある保留時間間隔の間に 3 つのハートビート メッセージが存在するため、クラスタ制御リンクを介してあるユニットから別のユニットへの ping が保留時間/3 以内に戻ることを確認します。保留時間を 0.3 ~ 0.7 に設定した後に ASA ソフトウェアをダウングレードした場合、新しい設定がサポートされていないので、この設定はデフォルトの 3 秒に戻ります。

次のコマンドを変更しました。health-check holdtime、show asp drop cluster counter、show cluster info health details

次の画面を変更しました。[Configuration] > [Device Management] > [High Availability and Scalability] > [ASA Cluster]

に対してインターフェイスを障害としてマークするために設定可能なデバウンス時間 Firepower 4100/9300 シャーシ

ASA がインターフェイスを障害が発生していると見なし、クラスタからユニットが削除されるまでのデバウンス時間を設定できるようになりました。この機能により、インターフェイスの障害をより迅速に検出できます。デバウンス時間を短くすると、誤検出の可能性が高くなることに注意してください。インターフェイスのステータス更新が発生すると、ASA はインターフェイスを障害としてマークし、クラスタからユニットを削除するまで指定されたミリ秒数待機します。デフォルトのデバウンス時間は 500 ms で、有効な値の範囲は 300 ms ~ 9 秒です。

新規または変更されたコマンド:health-check monitor-interface debounce-time

新規または変更された画面:[Configuration] > [Device Management] > [High Availability and Scalability] > [ASA Cluster]

VPN 機能

VTI での IKEv2、証明書ベース認証、および ACL のサポート

仮想トンネル インターフェイス(VTI)は、BGP(静的 VTI)をサポートするようになりました。スタンドアロン モードとハイ アベイラビリティ モードで、IKEv2 を使用できます。IPsec プロファイルにトラストポイントを設定することにより、証明書ベースの認証を使用できます。また、入力トラフィックをフィルタリングする access-group コマンドを使用して、VTI 上でアクセス リストを適用することもできます。

IPsec プロファイルのコンフィギュレーション モードに次のコマンドが導入されました。set trustpoint

次の画面で、証明書ベース認証のトラストポイントを選択するオプションが導入されました。

[Configuration] > [Site-to-Site VPN] > [Advanced] > [IPsec Proposals (Transform Sets)] > [IPsec Profile] > [Add]

モバイル IKEv2(MobIKE)はデフォルトで有効になっています

リモート アクセス クライアントとして動作するモバイル デバイスは、移動中にトランスペアレント IP アドレスを変更する必要があります。ASA で MobIKE をサポートすることにより、現在の SA を削除せずに現在の IKE セキュリティ アソシエーション(SA)を更新することが可能になります。MobIKE は [always on] に設定されます。

次のコマンドが導入されました。ikev2 mobike-rrc。リターン ルータビリティのチェックを有効または無効にするために使用されます。

SAML 2.0 SSO の更新

SAML 要求におけるシグネチャのデフォルト署名メソッドが SHA1 から SHA2 に変更され、ユーザが rsa-sha1、rsa-sha256、rsa-sha384、rsa-sha512 の中から署名メソッドを選択して設定できるようになりました。

webvpn モードでの saml idp signature コマンドが変更されました。このコマンドには value を設定できます。デフォルトは [disabled] のままです。

次の画面が変更されました。[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Advanced] > [Single Sign On Servers] > [Add]

tunnelgroup webvpn-attributes の変更 pre-fill-username および secondary-pre-fill-username の値が clientless から client に変更されました。

webvpn モードでの pre-fill-username および secondary-pre-fill-username コマンドが変更されました。これらのコマンドには client 値を設定できます。

AAA 機能

ログイン履歴

デフォルトでは、ログイン履歴は 90 日間保存されます。この機能を無効にするか、期間を最大 365 日まで変更できます。1 つ以上の管理メソッド(SSH、ASDM、Telnet など)でローカル AAA 認証を有効にしている場合、この機能はローカル データベースのユーザ名にのみ適用されます。

次のコマンドが導入されました。aaa authentication login-history、show aaa login-history

次の画面が導入されました。[Configuration] > [Device Management] > [Users/AAA] > [Login History]

パスワードの再利用とユーザ名と一致するパスワードの使用を禁止するパスワード ポリシーの適用

最大 7 世代にわたるパスワードの再利用と、ユーザ名と一致するパスワードの使用を禁止できるようになりました。

次のコマンドが導入されました。password-history、password-policy reuse-interval、password-policy username-check

次の画面が変更されました。[Configuration] > [Device Management] > [Users/AAA] > [Password Policy]

SSH 公開キー認証を使用するユーザの認証とパスワードを使用するユーザの認証を区別します。

9.6(2) より前のリリースでは、ローカル ユーザ データベース(ssh authentication )を使用して AAA SSH 認証を明示的に有効にしなくても、SSH 公開キー認証(aaa authentication ssh console LOCAL )を有効にすることができました。9.6(2) では、ASA で AAA SSH 認証を明示的に有効にする必要がありました。このリリースでは、AAA SSH 認証を明示的に有効にする必要はありません。ユーザに対して ssh authentication コマンドを設定すると、このタイプの認証を使用するユーザのローカル認証がデフォルトで有効になります。さらに、明示的に AAA SSH 認証を設定すると、この設定はパスワード付きのユーザ名にのみ適用されます。また、任意の AAA サーバ タイプ (aaa authentication ssh console radius_1 など)を使用できます。たとえば、一部のユーザはローカル データベースを使用して公開キー認証を使用し、他のユーザは RADIUS でパスワードを使用できます。

変更されたコマンドはありません。

変更された画面はありません。

バージョン 9.6(3) でも同様です。

モニタリング機能とトラブルシューティング機能

ASA クラッシュ発生時に実行中のパケット キャプチャの保存

以前は、ASA がクラッシュするとアクティブなパケット キャプチャは失われました。現在は、クラッシュが発生すると、パケット キャプチャは disk 0 に以下のファイル名で保存されます。[context_name.]capture_name.pcap

変更されたコマンドはありません。

変更された画面はありません。

バージョン 9.7 の新機能

ASDM 7.7(1.151) の新機能

リリース:2017年4月28日


(注)  

ASDM 7.7(1.150) は、バグ CSCvd90344 に基づき Cisco.com から削除されました。


機能

説明

管理機能

ASDM アップグレード ツールの新しいバックグラウンド サービス

ASDM は、[Tools] > [Check for ASA/ASDM Upgrades] の新しいバックグラウンド サービスです。Cisco は、前のバージョンの ASDM で使用されていた古いサービスを将来廃止する予定です。

ASA 9.7(1.4)/ASDM 7.7(1) の新機能

リリース:2017年4月4日


(注)  

バージョン 9.7(1) は、バグ CSCvd78303 に基づき Cisco.com から削除されました。


機能

説明

プラットフォーム機能

Integrated Routing and Bridging(IRB; 統合ルーティングおよびブリッジング)を使用した ASA 5506-X シリーズ用の新しいデフォルト設定

新しいデフォルト設定が ASA 5506-X シリーズに使用されます。統合ブリッジングおよびルーティング機能は、外部レイヤ 2 スイッチの使用に代わる手段を提供します。ハードウェア スイッチを含む ASA 5505 を交換するユーザの場合、この機能を使用することにより、追加のハードウェア使用せずに ASA 5505 を ASA 5506-X やその他の ASA モデルに置き換えることができます。

新しいデフォルト設定には次の内容が含まれます。

  • GigabitEthernet 1/1、DHCP からの IP アドレスの外部インターフェイス

  • GigabitEthernet ½(inside1)から 1/8(inside7)、IP アドレス 192.168.1.1 が指定された内部ブリッジグループ BVI 1

  • 内部 --> 外部へのトラフィック フロー

  • 内部 --> メンバー インターフェイス用内部トラフィック フロー

  • (ASA 5506W-X)GigabitEthernet 1/9、IP アドレス 192.168.10.1 の Wi-Fi インターフェイス

  • (ASA 5506W-X) WiFi<--> 内部のトラフィック フロー、WiFi --> 外部へのトラフィック フロー

  • 内部および WiFi 上のクライアントに対する DHCP。アクセス ポイント自体とそのすべてのクライアントが ASA を DHCP サーバとして使用します。

  • 管理 1/1 インターフェイスが稼働しているが、そうでない場合は未設定。ASA FirePOWER モジュールは、このインターフェイスを使用して ASA 内部ネットワークに接続し、内部インターフェイスをインターネットへのゲートウェイとして使用できます。

  • ASDM アクセス:内部ホストと Wi-Fi ホストが許可されます。

  • NAT:内部、WiFi、および管理から外部へのすべてのトラフィックのインターフェイス PAT。

アップグレードする場合、configure factory-default コマンドを使用して設定を消去しデフォルトを適用するか、必要に応じて BVI とブリッジ グループのメンバーを手動で設定することができます。内部ブリッジ グループの通信を簡単に許可するには、same-security-traffic permit inter-interface コマンドを有効にする必要があります(このコマンドは、ASA 5506W-X のデフォルト設定にすでに存在します)。

ISA 3000 でのアラーム ポートのサポート

ISA 3000 は、2 つのアラーム入力インターフェイスと 1 つのアラーム出力インターフェイスをサポートします。ドア センサーなどの外部センサーは、アラーム入力に接続できます。ブザーなどの外部デバイスは、アラーム出力インターフェイスに接続できます。トリガーされたアラームは、2 つの LED、syslog、SNMP トラップを経由し、アラーム出力インターフェイスに接続されたデバイスを介して伝えられます。ユーザは、外部アラームの説明を設定できます。また、外部アラームと内部アラームの重大度とトリガーも指定できます。すべてのアラームは、リレー、モニタリング、およびロギングに設定できます。

次のコマンドが導入されました。alarm contact description、alarm contact severity、alarm contact trigger、alarm facility input-alarm、alarm facility power-supply rps、alarm facility temperature、alarm facility temperature high、alarm facility temperature low、clear configure alarm、clear facility-alarm output、show alarm settings、show environment alarm-contact

次の画面が導入されました。

[Configuration] > [Device Management] > [Alarm Port] > [Alarm Contact]

[Configuration] > [Device Management] > [Alarm Port] > [Redundant Power Supply]

[Configuration] > [Device Management] > [Alarm Port] > [Temperature]

[Monitoring] > [Properties] > [Alarm] > [Alarm Settings]

[Monitoring] > [Properties] > [Alarm] > [Alarm Contact]

[Monitoring] > [Properties] > [Alarm] > [Facility Alarm Status]

ASAv10 での Microsoft Azure Security Center のサポート

Microsoft Azure は、プライベート Microsoft Hyper V ハイパーバイザを使用するパブリック クラウド環境です。Microsoft Azure Security Center は、非常にセキュアなパブリック クラウド インフラストラクチャの導入を簡素化する、Azure 上の Microsoft オーケストレーションおよび管理レイヤです。ASAv を Azure Security Center に統合することにより、Azure 環境を保護するファイアウォール オプションとして ASAv を提供できます。

ISA 3000 用の Precision Time Protocol(PTP)

ISA 3000 は PTP(ネットワークに分散したノードの時刻同期プロトコル)をサポートします。PTP は、そのハードウェア タイムスタンプ機能により、NTP などの他の時刻同期プロトコルより高い精度を実現します。ISA 3000 は、ワンステップのエンドツーエンド トランスペアレント クロックに加えて、PTP 転送モードもサポートします。インスペクションのために PTP トラフィックが ASA FirePOWER モジュールに送信されることのないようにするため、デフォルト設定に次のコマンドが追加されました。既存の導入がある場合は、次のコマンドを手動で追加する必要があります。


object-group service bypass_sfr_inspect
  service-object udp destination range 319 320
access-list sfrAccessList extended deny object-group bypass_sfr_inspect any any

次のコマンドが導入されました。 debug ptp、ptp domain、ptp mode e2etransparent、ptp enable、show ptp clock、show ptp internal-info、show ptp port

次の画面が導入されました。

[Configuration] > [Device Management] > [PTP]

[Monitoring] > [Properties] > [PTP]

ISA 3000 の自動バックアップと復元

バックアップ コマンドと復元コマンドのプリセット パラメータを使用して、自動バックアップ機能や自動復元機能を有効にできます。これらの機能は、外部メディアからの初期設定、デバイス交換、作動可能状態へのロールバックなどで使用されます。

次のコマンドが導入されました。backup-package location、backup-package auto、show backup-package status、show backup-package summary

次の画面が導入されました。[Configuration] > [Device Management] > [Auto Backup & Restore Configuration]

ファイアウォール機能

SCTP マルチストリーミングの並べ替えとリアセンブル、およびフラグメンテーションのサポート。SCTP エンドポイントに複数の IP アドレスが設定された SCTP マルチホーミングのサポート。

このシステムは、SCTP マルチストリーミングの並べ替え、リアセンブル、およびフラグメンテーションを完全にサポートしており、これにより SCTP トラフィックに対する Diameter および M3UA インスペクションの有効性が改善されています。このシステムは、各エンドポイントに複数の IP アドレスが設定された SCTP マルチホーミングもサポートしています。マルチホーミングでは、セカンデリ アドレスに必要なピンホールをシステムが開くので、セカンデリ アドレスを許可するためのアクセス ルールをユーザが設定する必要はありません。SCTP エンドポイントは、それぞれ 3 つの IP アドレスに制限する必要があります。

show sctp detail コマンドの出力が変更されました。

変更された画面はありません。

M3UA インスペクションの改善。

M3UA インスペクションは、ステートフル フェールオーバー、半分散クラスタリング、およびマルチホーミングをサポートするようになりました。また、アプリケーション サーバ プロセス(ASP)の状態の厳密な検証や、さまざまなメッセージの検証も設定できます。ASP 状態の厳密な検証は、ステートフル フェールオーバーとクラスタリングに必要です。

次のコマンドが追加または変更されました。clear service-policy inspect m3ua session [assocID id] match port sctp message-tag-validation show service-policy inspect m3ua drop show service-policy inspect m3ua endpoint show service-policy inspect m3ua session show service-policy inspect m3ua table strict-asp-state timeout session

次の画面が変更されました。[Configuration] > [Firewall] > [Objects] > [Inspection Maps] > [M3UA] [Add/Edit] ダイアログボックス。

TLS プロキシでの TLSv1.2、および Cisco Unified Communications Manager 10.5.2 のサポート。

暗号化 SIP 用の TLS プロキシでの TLSv1.2、または Cisco Unified Communications Manager 10.5.2 での SCCP インスペクションを使用できるようになりました。TLS プロキシは、client cipher-suite コマンドの一部として追加された TLSv1.2 暗号スイートをサポートします。

次のコマンドが変更されました。 client cipher-suite

変更された画面はありません。

Integrated Routing and Bridging(IRB)

Integrated Routing and Bridging(統合ルーティングおよびブリッジング)は、ブリッジグループとルーテッド インターフェイス間をルーティングする機能を提供します。ブリッジグループとは、ASA がルートの代わりにブリッジするインターフェイスのグループのことです。ASA は、ASA がファイアウォールとして機能し続ける点で本来のブリッジとは異なります。つまり、インターフェイス間のアクセス制御が実行され、通常のファイアウォール検査もすべて実行されます。以前は、トランスペアレント ファイアウォール モードでのみブリッジグループの設定が可能だったため、ブリッジグループ間でのルーティングはできませんでした。この機能を使用すると、ルーテッド ファイアウォール モードのブリッジ グループの設定と、ブリッジグループ間およびブリッジグループとルーテッド インターフェイス間のルーティングを実行できます。ブリッジグループは、ブリッジ仮想インターフェイス(BVI)を使用してそのブリッジグループのゲートウェイとして機能することにより、ルーティングに参加します。そのブリッジグループに指定する ASA 上に別のインターフェイスが存在する場合、Integrated Routing and Bridging(IRB)は外部レイヤ 2 スイッチの使用に代わる手段を提供します。ルーテッド モードでは、BVI は名前付きインターフェイスとなり、アクセス ルールや DHCP サーバなどの一部の機能に、メンバー インターフェイスとは個別に参加できます。

トランスペアレント モードでサポートされるマルチ コンテキスト モードや ASA クラスタリングの各機能は、ルーテッド モードではサポートされません。マルチキャスト ルーティングとダイナミック ルーティングの機能も、BVI ではサポートされません。

次のコマンドが変更されました。access-group、access-list ethertype、arp-inspection、dhcpd、mac-address-table static、mac-address-table aging-time、mac-learn、route、show arp-inspection、show bridge-group、show mac-address-table、show mac-learn

次の画面が変更されました。

[Configuration] > [Device Setup] > [Interface Settings] > [Interfaces]

[Configuration] > [Device Setup] > [Routing] > [Static Routes]

[Configuration] > [Device Management] > [DHCP] > [DHCP Server]

[Configuration] > [Firewall] > [Access Rules]

[Configuration] > [Firewall] > [EtherType Rules]

VM 属性

ネットワーク オブジェクトを定義することにより、VMware vCenter で管理している VMware ESXi 環境の 1 つ以上の仮想マシン(VM)に関連付けられている属性に従ってトラフィックをフィルタリングできます。アクセス コントロール リスト(ACL)を定義して、1 つ以上の属性を共有する VM のグループからのトラフィックにポリシーを指定することができます。

show attribute コマンドが追加されました。

次の画面が追加されました。

[Configuration] > [Firewall] > [VM Atttribute Agent]

内部ゲートウェイ プロトコルの古いルートのタイムアウト

OSPF などの内部ゲートウェイ プロトコルの古いルートを削除するためのタイムアウトを設定できるようになりました。

timeout igp stale-route コマンドが追加されました。

[Configuration] > [Firewall] > [Advanced] > [Global Timeouts] の画面が変更されました。

オブジェクト グループ検索に関するネットワーク オブジェクトの制限。

object-group-search access-control コマンドを使用してオブジェクト グループ検索を有効にすることで、アクセス ルールの検索に必要なメモリを抑えることができます。オブジェクト グループ検索を有効にした場合、ネットワーク オブジェクトまたはサービス オブジェクトは拡張されませんが、それらのグループの定義に基づいて一致するアクセス ルールが検索されます。

このリリース以降、以下の制限が適用されます。接続ごとに、送信元と宛先の両方の IP アドレスがネットワーク オブジェクトと照合されます。発信元アドレスに一致するオブジェクトの数が、宛先アドレスと一致する数の 1 万倍を超えると接続が切断されます。

このチェックは、パフォーマンスの低下を防止します。一致件数が膨大になることを防ぐためにルールを設定します。

ルーティング機能

31 ビット サブネットマスク

ルーテッド インターフェイスに関しては、ポイントツーポイント接続向けの 31 ビットのサブネット に IP アドレスを設定できます。31 ビット サブネットには 2 つのアドレスのみが含まれます。通常、サブネットの最初と最後のアドレスはネットワーク用とブロードキャスト用に予約されており、2 アドレス サブネットは使用できません。ただし、ポイントツーポイント接続があり、ネットワーク アドレスやブロードキャスト アドレスが不要な場合は、IPv4 形式でアドレスを保持するのに 31 サブネット ビットが役立ちます。たとえば、2 つの ASA 間のフェールオーバー リンクに必要なアドレスは 2 つだけです。リンクの一方の側から送信されるパケットはすべてもう一方の側で受信され、ブロードキャスティングは必要ありません。また、SNMP や Syslog を実行する管理ステーションを直接接続することもできます。この機能は、ブリッジグループまたはマルチキャスト ルーティング用の BVI ではサポートされていません。

次のコマンドが変更されました。ip address、http、logging host、snmp-server host、ssh

次の画面が変更されました。

[Configuration] > [Device Setup] > [Interface Settings] > [Interfaces] > [Add Interface] > [General]

ハイ アベイラビリティとスケーラビリティの各機能

Firepower 4100/9300 シャーシ 上の ASA のサイト間クラスタリングの改善

ASA クラスタを展開すると、それぞれの Firepower 4100/9300 シャーシのサイト ID を設定できます。以前は、ASA アプリケーション内でサイト ID を設定する必要がありました。この新機能により初期展開が簡単になります。ASA 構成内でサイト ID を設定することはできないことに注意してください。また、サイト間クラスタリングとの互換性を高めるために、安定性とパフォーマンスに関する複数の改善が含まれる ASA 9.7(1) および FXOS 2.1.1 にアップグレードすることを推奨します。

次のコマンドが変更されました。site-id

次の画面が変更されました。[Configuration] > [Device Management] > [High Availability and Scalability] > [ASA Cluster] > [Cluster Configuration]

ディレクタ ローカリゼーション:データセンターのサイト間クラスタリングの改善

データ センターのパフォーマンスを向上し、サイト間クラスタリングのトラフィックを維持するために、ディレクタ ローカリゼーションを有効にできます。通常、新しい接続は特定のサイト内のクラスタ メンバーによってロード バランスされ、所有されています。しかし、ASA は任意のサイトのメンバーにディレクタ ロールを割り当てます。ディレクタ ローカリゼーションにより、所有者と同じサイトのローカル ディレクタ、どのサイトにも存在可能なグローバル ディレクタという追加のディレクタ ロールが有効になります。所有者とディレクタが同一サイトに存在すると、パフォーマンスが向上します。また、元の所有者が失敗した場合、ローカルなディレクタは同じサイトで新しい接続の所有者を選択します。グローバルなディレクタは、クラスタ メンバーが別のサイトで所有される接続のパケットを受信する場合に使用されます。

次のコマンドが導入または変更されました。director-localization、show asp table cluster chash、show conn、show conn detail

次の画面を変更しました。[Configuration] > [Device Management] > [High Availability and Scalability] > [ASA Cluster] > [Cluster Configuration]

高速検出の設定が可能な、フェールオーバーのポーリングをモニタリングするインターフェイス リンク ステート

デフォルトでは、フェールオーバー ペアの ASA は、500 ミリ秒ごとにインターフェイスのリンク ステートをチェックします。ポーリングの間隔を 300 ミリ秒から 799 ミリ秒の間で設定できるようになりました。たとえば、ポーリング時間を 300 ミリ秒に設定すると、ASA はインターフェイス障害やトリガーのフェールオーバーをより迅速に検出できます。

次のコマンドが導入されました。failover polltime link-state

次の画面が変更されました。[Configuration] > [Device Management] > [High Availability and Scalability] > [Failover] > [Criteria]

FirePOWER 9300 および 4100 でのアクティブ/スタンバイ フェールオーバー ヘルス モニタリングで、双方向フォワーディング検出(BFD)がサポートされました。

FirePOWER 9300 および 4100 上のアクティブ/スタンバイ ペアの 2 つのユニット間のフェールオーバー ヘルス チェックに対して、双方向フォワーディング検出(BFD)を有効にできるようになりました。ヘルス チェックに BFD を使用すると、デフォルトのヘルスチェックより信頼性が高まり、CPU の使用を抑えることができます。

次のコマンドが導入されました。failover health-check bfd

次の画面が変更されました。[Configuration] > [Device Management] > [High Availability and Scalability] > [Failover] > [Setup]

VPN 機能

IKEv2 静的暗号マップ用ダイナミック RRI

crypto map dynamic が指定されている場合、IPSec セキュリティ アソシエーション(SA)の確立に成功すると、ダイナミック リバース ルート インジェクションが発生します。ルートは、ネゴシエートされたセレクタの情報に基づいて追加されます。IPsec SA's が削除されると、このルートは削除されます。ダイナミック RRI は、IKEv2 ベースの静的暗号マップでのみサポートされます。

次のコマンドが変更されました。crypto map set reverse-route

次の画面が変更されました。[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Advanced] > [IPsec] > [Crypto Maps] > [Add/Edit] > [Tunnel Policy (Crypto Maps) - Advanced]

ASA VPN モジュールの仮想トンネル インターフェイス(VTI)のサポート

ASA VPN モジュールが、仮想トンネル インターフェイス(VTI)と呼ばれる新しい論理インターフェイスによって強化されており、ピアへの VPN トンネルを表すために使用されます。これは、トンネルの各終端に接続されている IPsec プロファイルを利用したルート ベースの VPN をサポートします。VTI を使用することにより、静的暗号マップのアクセス リストを設定してインターフェイスにマッピングすることが不要になります。

次のコマンドが導入されました。crypto ipsec profile、interface tunnel、responder-only、set ikev1 transform-set、set pfs、set security-association lifetime、tunnel destination、tunnel mode ipsec、tunnel protection ipsec profile、tunnel source interface

次の画面が導入されました。

[Configuration] > [Site-to-Site VPN] > [Advanced] > [IPsec Proposals (Transform Sets)] > [IPsec Profile]

[Configuration] > [Site-to-Site VPN] > [Advanced] > [IPsec Proposals (Transform Sets)] > [IPsec Profile] > [Add] > [Add IPsec Profile]

[Configuration] > [Device Setup] > [Interface Settings] > [Interfaces] > [Add] > [VTI Interface]

[Configuration] > [Device Setup] > [Interface Settings] > [Interfaces] > [Add] > [VTI Interface] > [General]

[Configuration] > [Device Setup] > [Interface Settings] > [Interfaces] > [Add] > [VTI Interface] > [Advanced]

AnyConnect 用 SAML 2.0 ベースの SSO

SAML 2.0 ベースのサービス プロバイダー IdP が、プライベート ネットワークでサポートされます。ユーザとサービス間のゲートウェイとして ASA を使用すると、IdP の認証は制限付きの名前非表示 webvpn セッションで処理され、IdP とユーザ間のすべてのトラフィックは変換されます。

次のコマンドが追加されました。saml idp

次のコマンドが変更されました。debug webvpn saml、show saml metadata

次の画面が変更されました。[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Advanced] > [Single Sign On Servers] > [Add SSO Server].

CMPv2

ワイヤレス LTE ネットワークのセキュリティ ゲートウェイ デバイスとして配置できるように、ASA が証明書の管理プロトコル(CMPv2)を使用した特定の管理機能をサポートするようになりました。

次のコマンドが変更されました。enrollment url、keypair、auto-update、crypto-ca-trustpoint、show crypto ca server certificates、show crypto key、show tech-support

次の画面が変更されました。[Configuration] > [Remote Access VPN] > [Certificate Management] > [Identity Certificates] > [Add an Identity Certificate]

マルチ証明書認証

AnyConnect SSL クライアント プロトコルと IKEv2 クライアント プロトコルを使用して、セッションごとに複数の認証を検証できるようになりました。マルチ証明書認証のプロトコル交換を定義し、これを両方のセッション タイプで利用できるように、集約認証プロトコルが拡張されました。

次のコマンドが変更されました。authentication {[aaa] [certificate | multiple-certificate] | saml}

次の画面が変更されました。

[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Dynamic Access Policies] > [Edit AnyConnect Connection Profile]

[Configuration] > [Remote Access VPN] > [Network Client Access] > [AnyConnect Connection Profiles] > [Edit AnyConnect Connection Profiles]

スプリット トンネリング ルーティングの制限の引き上げ

AC-SSL および AC-IKEv2 のスプリット トンネリング ルートの制限は、200 から 1200 に引き上げられました。IKEv1 の制限は 200 で変わりません。

Chrome のスマート トンネル サポート

Mac デバイスや Windows デバイスの Chrome ブラウザでスマート トンネルをサポートするための新しいメソッドが作成されました。Chrome Smart Tunnel Extension は、Netscape プラグイン アプリケーション プログラム インターフェイス(NPAPI)に代わるものです。NPAPI は、Chrome ではサポートされなくなりました。この拡張プログラムをインストールしていない Chrome でスマート トンネルに対応したブックマークをクリックすると、ユーザは拡張プログラムを取得できるように Chrome ウェブストアにリダイレクトされます。Chrome を新規インストールする場合、ユーザは拡張プログラムを取得できるように Chrome ウェブストアに移動されます。この拡張プログラムは、スマート トンネルの実行に必要なバイナリを ASA からダウンロードします。通常のブックマーク、およびスマート トンネルを使用する際のアプリケーション設定は、この新しい拡張プログラムのインストール プロセス以外は変更されません。

クライアントレス SSL VPN:すべての Web インターフェイスのセッション情報

すべての Web インターフェイスが、ログインに使用されたユーザ名などの現在のセッションの詳細と、現在割り当てられているユーザ権限を表示するようになりました。これは、ユーザが現在のユーザ セッションを知るのに役立ち、ユーザ セキュリティの向上につながります。

クライアントレス SSL VPN:Web アプリケーション セッションのクッキーすべての検証

すべての Web アプリケーションは、セキュリティ関連のクッキーすべてを検証してはじめて、アクセス権を付与するようになります。要求があるごとに、認証トークンまたはセッション ID を持つ各クッキーが検証され、その後にユーザ セッションへのアクセスが付与されます。同じ要求に複数のセッション Cookie が含まれている場合、その接続は破棄されます。検証に失敗したクッキーは無効なクッキーとして扱われ、そのイベントは監査ログに追加されます。

AnyConnect:最大接続時間アラート間隔が、AnyConnect VPN Client の接続に関するグループ ポリシーでサポートされるようになりました。

このアラート間隔は、最大接続時間に達する前に、終了を警告するメッセージをユーザに表示する間隔を指定します。有効な時間間隔は 1 ~ 30 分です。デフォルトは 30 分です。以前は、クライアントレス接続とサイト間 VPN 接続でサポートされていました。

次のコマンドは AnyConnect 接続に使用できるようになりました。 vpn-session-timeout alert-interval

次の画面が変更されました。[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Group Policies] > [Add/Edit] > [General] > [More Options]。[Maximum Connect Time Alert Interval] フィールドが追加されました。

AAA 機能

AAA 用 LDAP サーバおよび TACACS+ サーバの IPv6 アドレスのサポート

AAA に使用する LDAP サーバおよび TACACS+ サーバで IPv4 アドレスか IPv6 アドレスのいずれかを使用できるようになりました。

次のコマンドが変更されました。aaa-server host、test aaa-server

次の画面が変更されました。[Configuration] > [Device Management] > [Users/AAA] > [AAA Server Groups] > [Add AAA Server Group]

管理機能

すべてのローカル username および enable パスワードに対する PBKDF2 ハッシュ

長さ制限内のすべてのローカル username および enable パスワードは、PBKDF2(パスワード ベース キー派生関数 2)のハッシュを使用して設定に保存されます。以前は、32 文字以下のパスワードが MD5 ベースのハッシュ メソッドを使用していました。既存のパスワードでは、ユーザが新しいパスワードを入力しない限り、MD5 ベースのハッシュが引き続き使用されます。ダウングレードのガイドラインについては、『一般操作構成ガイド』の「ソフトウェアおよびコンフィギュレーション」の章を参照してください。

次のコマンドが変更されました。enable password、username

次の画面が変更されました。

[Configuration] > [Device Setup] > [Device Name/Password] > [Enable Password]

[Configuration] > [Device Management] > [Users/AAA] > [User Accounts] > [Add/Edit User Account] > [Identity]

ライセンシング機能

Firepower 4100/9300 シャーシ 上のフェールオーバー ペアのライセンス変更

アクティブなユニットのみがライセンス権限を要求します。以前は、両方のユニットがライセンスの権限付与を要求していました。FXOS 2.1.1 でサポートされます。

モニタリング機能とトラブルシューティング機能

トレースルート用の IPv6 アドレスのサポート

traceroute コマンドが変更され、IPv6 アドレスも受け入れられるようになりました。

次のコマンドが変更されました。traceroute

次の画面が変更されました。[Tools] > [Traceroute]

ブリッジ グループ メンバー インターフェイス用のパケット トレーサのサポート

ブリッジ グループ メンバー インターフェイスにパケット トレーサを使用できるようになりました。

packet-tracer コマンドに次の 2 つのオプションが追加されました。vlan-id および dmac

パケット トレーサの画面に [VLAN ID] および [Destination MAC Address] フィールドが追加されました。[Tools] > [Packet Tracer]

syslog サーバの IPv6 アドレスのサポート

syslog サーバに IPv6 アドレスを設定して、TCP や UDP 経由で syslog を記録または送信できるようになりました。

次のコマンドが変更されました。logging host、show running config、show logging

次の画面が変更されました。[Configuration] > [Device Management] > [Logging] > [Syslog Servers] > [Add Syslog Server]

SNMP の MIB および OID

ASA は、ISA 3000 の Precision Time Protocol(PTP)の一部として、エンドツーエンド トランスペアレント クロック モードに対応する SNMP MIB オブジェクトをサポートするようになりました。次の SNMP MIB オブジェクトがサポートされます。

  • ciscoPtpMIBSystemInfo

  • cPtpClockDefaultDSTable

  • cPtpClockTransDefaultDSTable

  • cPtpClockPortTransDSTable

手動によるパケット キャプチャの停止と開始

キャプチャを手動で停止および開始できるようになりました。

追加/変更されたコマンド: capture stop

追加/変更された画面:[Wizards] > [Packet Capture Wizard] > [Run Captures]

追加/変更されたオプション:[Start] ボタン、[Stop] ボタン

バージョン 9.6 の新機能

ASA 9.6(4)/ASDM 7.9(1) の新機能

リリース:2017年12月13日

このリリースに新機能はありません。

ASA 9.6(3.1)/ASDM 7.7(1) の新機能

リリース:2017年4月3日


(注)  

バージョン 9.6(3) は、バグ CSCvd78303 に基づき Cisco.com から削除されました。


機能

説明

AAA 機能

SSH 公開キー認証を使用するユーザの認証とパスワードを使用するユーザの認証を区別します。

9.6(2) より前のリリースでは、ローカル ユーザ データベース(ssh authentication )を使用して AAA SSH 認証を明示的に有効にしなくても、SSH 公開キー認証(aaa authentication ssh console LOCAL )を有効にすることができました。9.6(2) では、ASA で AAA SSH 認証を明示的に有効にする必要がありました。このリリースでは、AAA SSH 認証を明示的に有効にする必要はありません。ユーザに対して ssh authentication コマンドを設定すると、このタイプの認証を使用するユーザのローカル認証がデフォルトで有効になります。さらに、明示的に AAA SSH 認証を設定すると、この設定はパスワード付きのユーザ名にのみ適用されます。また、任意の AAA サーバ タイプ(aaa authentication ssh console radius_1 など)を使用できます。たとえば、一部のユーザはローカル データベースを使用して公開キー認証を使用し、他のユーザは RADIUS でパスワードを使用できます。

変更されたコマンドはありません。

変更された画面はありません。

バージョン 9.8(1) でも同様です。

ASDM 7.6(2.150) の新機能

リリース:2016年10月12日

このリリースに新機能はありません。

ASA 9.6(2)/ASDM 7.6(2) の新機能

リリース:2016年8月24日

機能

説明

プラットフォーム機能

Firepower 4150 用の ASA を導入しました。

Firepower 4150 用の ASA を導入しました。

FXOS 2.0.1 が必要です。

追加または変更されたコマンドはありません。

追加または変更された画面はありません。

ASAv のホット プラグ インターフェイス

システムがアクティブの状態で、ASAv の Virtio 仮想インターフェイスを追加または削除できます。ASAv に新しいインターフェイスを追加すると、仮想マシンがインターフェイスを検出し、プロビジョニングが行われます。既存のインターフェイスを削除すると、仮想マシンはインターフェイスに関連付けられているリソースを解放します。ホット プラグ インターフェイスはカーネルベース仮想マシン(KVM)のハイパーバイザ上にある Virtio 仮想インターフェイスに制限されます。

ASAv10 での Microsoft Azure サポート

Microsoft Azure は、プライベート Microsoft Hyper V ハイパーバイザを使用するパブリック クラウド環境です。ASAv は、Hyper V ハイパーバイザの Microsoft Azure 環境でゲストとして実行されます。Microsoft Azure 上の ASAv は、4 つの vCPU、14 GB、4 つのインターフェイスをサポートする Standard D3 の 1 つのインスタンス タイプをサポートします。

バージョン 9.5(2.200) でも同様です。

ASAv の管理 0/0 インターフェイスでの通過トラフィック サポート

ASAv の管理 0/0 インターフェイスでトラフィックを通過させることができるようになりました。以前は、Microsoft Azure 上の ASAv のみで通過トラフィックをサポートしていました。今後は、すべての ASAv で通過トラフィックがサポートされます。任意で、このインターフェイスを管理専用に設定できますが、デフォルトでは管理専用に設定されていません。

次のコマンドが変更されました。 management-only

コモン クライテリア証明書

ASA は、コモン クライテリアの要件に適合するように更新されました。この証明書に追加された次の機能については、この表の行を参照してください。

  • ASDM での ASA SSL サーバ モード マッチング

  • SSL クライアントの RFC 6125 サポート:

    • セキュアな syslog サーバの接続とスマート ライセンシング接続のための参照 ID

    • ASA クライアントによるサーバ証明書の拡張キーの使用状況確認

    • ASA が TLS1.1 と 1.2 の TLS クライアントとして動作する際の相互認証

  • PKI デバッグ メッセージ

  • 暗号キー抹消検査

  • IKEv2 の IPsec/ESP トランスポート モードのサポート

  • 追加された syslog メッセージ

ファイアウォール機能

TCP 経由での DNS インスペクション

DNS over TCP トラフィック(TCP/53)を検査できるようになりました。

次のコマンドが追加されました。 tcp-inspection

次のページが変更されました。[Configuration] > [Firewall] > [Objects] > [Inspection Maps] > [DNS] > [Add/Edit] ダイアログボックス

MTP3 User Adaptation(M3UA)インスペクション

M3UA トラフィックを検査できるようになりました。また、ポイント コード、サービス インジケータ、およびメッセージのクラスとタイプに基づいてアクションを適用できるようになりました。

次のコマンドが追加または変更されました。clear service-policy inspect m3ua {drops | endpoint [IP_address]} inspect m3ua match dpc match opc match service-indicator policy-map type inspect m3ua show asp table classify domain inspect-m3ua show conn detail show service-policy inspect m3ua {drops | endpoint IP_address} ss7 variant timeout endpoint

次のページが追加または変更されました。[Configuration] > [Firewall] > [Objects] > [Inspection Maps] > [M3UA]、サービス ポリシー ルールの場合は [Rule Action] > [Protocol Inspection] タブ

Session Traversal Utilities for NAT(STUN)インスペクション

Cisco Spark を含む WebRTC アプリケーションの STUN トラフィックを検査できるようになりました。インスペクションでは、リターン トラフィックに必要なピンホールが開きます。

次のコマンドが追加または変更されました。inspect stun show conn detail show service-policy inspect stun

次のタブにオプションが追加されました。[Add/Edit Service Policy] ダイアログボックスの [Rule Actions] > [Protocol Inspection]

Cisco クラウド Web セキュリティのアプリケーション層健全性チェック

サーバが正常かどうかを判断する際に、クラウド Web セキュリティ アプリケーションの健全性をチェックするように Cisco クラウド Web セキュリティを設定できるようになりました。アプリケーションの健全性を確認することで、プライマリ サーバが TCP スリーウェイ ハンドシェイクに応答する場合に、システムはバックアップ サーバにフェールオーバーできますが、要求を処理することはできません。これにより、より信頼性の高いシステムを実現します。

次のコマンドが追加されました。health-check application url health-check application timeout

次の画面が変更されました。[Configuration] > [Device Management] > [Cloud Web Security]

ルートの収束に対する接続ホールドダウン タイムアウト

接続で使用されているルートがもう存在していない、または非アクティブになったときに、システムが接続を保持する時間を設定できるようになりました。このホールドダウン期間内にルートがアクティブにならない場合、接続は解放されます。ルートの収束がさらに迅速に行われるようにホールドダウン タイマーを短縮することができます。ただし、ほとんどのネットワークでは、ルートのフラッピングを防止するためにデフォルトの 15 秒が適切です。

次のコマンドが追加されました。 timeout conn-holddown

次の画面が変更されました。[Configuration] > [Firewall] > [Advanced] > [Global Timeouts]

バージョン 9.4(3) でも同様です。

TCP オプション処理の変更

TCP マップを設定する際にパケットの TCP ヘッダー内の TCP MSS および MD5 オプションに対するアクションを指定できるようになりました。さらに、MSS、タイムスタンプ、ウィンドウ サイズ、および選択的確認応答オプションのデフォルトの処理が変更されました。以前は、これらのオプションは、ヘッダーに特定のタイプのオプションが 2 つ以上ある場合でも許可されていました。現在は、パケットに特定のタイプのオプションが 2 つ以上含まれている場合、そのパケットはデフォルトでドロップされます。たとえば、以前は 2 つのタイムスタンプ オプションがあるパケットは許可されていましたが、現在はドロップされます。

MD5、MSS、選択的確認応答、タイムスタンプ、およびウィンドウ サイズに対し、同じタイプの複数のオプションを有効にするための TCP マップを設定できます。MD5 オプションの場合、以前のデフォルトではオプションがクリアされたのに対し、現在のデフォルトでは許可されます。また、MD5 オプションを含むパケットをドロップすることもできます。MSS オプションの場合は、TCP マップで最大セグメント サイズを設定できます(トラフィック クラスごとに)。他のすべての TCP オプションのデフォルトに変更はありません。これらはクリアされます。

次のコマンドが変更されました。 tcp-options

次の画面が変更されました。[Configuration] > [Firewall] > [Objects] > [TCP Maps] > [Add/Edit] ダイアログボックス

トランスペアレント モードで、ブリッジ グループごとのインターフェイス数が最大で 64 に増加

ブリッジ グループあたりのインターフェイスの最大数が 4 から 64 に拡張されました。

変更されたコマンドはありません。

変更された画面はありません。

トランスペアレント モードでのマルチキャスト接続のフロー オフロードのサポート

トランスペアレント モードの Firepower 4100 および 9300 シリーズ デバイスで、NIC に直接切り替えられるマルチキャスト接続をオフロードできるようになりました。マルチキャスト オフロードは、インターフェイスを 2 つだけ含むブリッジ グループに使用できます。

この機能には、新規のコマンドまたは ASDM 画面はありません。

カスタマイズ可能な ARP レート制限

1 秒あたり許可される ARP パケットの最大数を設定できます。デフォルト値は ASA モデルによって異なります。この値は ARP ストーム攻撃を防ぐためにカスタマイズできます。

次のコマンドを追加しました。arp rate-limit、show arp rate-limit

次の画面が変更されました。[Configuration] > [Device Management] > [Advanced] > [ARP] > [ARP Static Table]

IEEE 802.2 論理リンク制御(LLC)パケットの Destination Service Access Point(DSAP)アドレスに対する Ethertype ルールのサポート

IEEE 802.2 論理リンク制御パケットの宛先サービス アクセス ポイントのアドレスに対する Ethertype のアクセス制御ルールを作成できるようになりました。この追加により、bpdu キーワードが対象トラフィックに一致しなくなります。dsap 0x42 に対して bpdu ルールを書き換えます。

次のコマンドが変更されました。 access-list ethertype

次の画面が変更されました。[Configuration] > [Firewall] > [EtherType Rules]

リモート アクセス機能

マルチ コンテキスト モードの場合の証明書の事前入力/ユーザ名

AnyConnect SSL サポートが拡張され、これまでシングル モードでのみ使用可能だった証明書の事前入力とユーザ名取得機能の CLI がマルチコンテキストモードでも有効にできるようになりました。

変更されたコマンドはありません。

変更された画面はありません。

リモート アクセス VPN のフラッシュ仮想化

マルチ コンテキスト モードのリモート アクセス VPN はフラッシュ仮想化をサポートします。使用可能な合計フラッシュに基づき、コンテキストごとにプライベート記憶域と共有ストレージの場所が設定できます。

  • プライベート記憶域:該当ユーザのみに関連付けられ、該当ユーザ対象コンテンツ固有のファイルを保存します。

  • 共有ストレージ:有効になると、この領域にファイルがアップロードされ、あらゆるユーザ コンテキストが読み取り/書き込みできるようこの領域へのアクセスが許可されます。

次のコマンドが導入されました。limit-resource storage、storage-url

次の画面が変更されました。[Configuration] > [Context Management] > [Resource Class] > [Add Resource Class]

[Configuration] > [Context Management] > [Security Contexts]

マルチ コンテキスト モードでの AnyConnect クライアント プロファイルのサポート

マルチ コンテキスト モードで AnyConnect クライアント プロファイルがサポートされました。ASDM を使用して新しいプロファイルを追加するには、AnyConnect セキュア モビリティ クライアント リリース 4.2.00748 または 4.3.03013 以降が必要です。

マルチ コンテキスト モードの AnyConnect 接続のステートフル フェールオーバー

マルチ コンテキスト モードで AnyConnect 接続のステートフル フェールオーバーがサポートされました。

変更されたコマンドはありません。

変更された画面はありません。

マルチ コンテキスト モードでリモート アクセス VPN ダイナミック アクセス ポリシー(DAP)がサポートされました。

マルチ コンテキスト モードで、コンテキストごとに DAP を設定できるようになりました。

変更されたコマンドはありません。

変更された画面はありません。

マルチ コンテキスト モードでリモート アクセス VPN CoA(認可変更)がサポートされました。

マルチ コンテキスト モードで、コンテキストごとに CoA を設定できるようになりました。

変更されたコマンドはありません。

変更された画面はありません。

マルチ コンテキスト モードで、リモート アクセス VPN のローカライズがサポートされました。

ローカリゼーションがグローバルでサポートされました。複数のコンテキストで共有されるローカリゼーション ファイル セットは 1 つだけです。

変更されたコマンドはありません。

変更された画面はありません。

Umbrella ローミング セキュリティ モジュールのサポート

アクティブな VPN がない場合には、DNS 層のセキュリティを強化するため、AnyConnect セキュア モビリティ クライアントの Umbrella ローミング セキュリティモジュールを設定できます。

変更されたコマンドはありません。

次の画面が変更されました。[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [AnyConnect Client Profile].

IKEv2 の IPsec/ESP トランスポート モードのサポート

ASA IKEv2 ネゴシエーションでトランスポート モードがサポートされるようになりました。これは、トンネル(デフォルト)モードの代わりに使用できます。トンネル モードでは IP パケット全体がカプセル化されます。トランスポート モードでは IP パケットの上位層プロトコルだけがカプセル化されます。トランスポート モードでは、送信元ホストと宛先ホストの両方が IPSec をサポートしている必要があります。また、トランスポート モードは、トンネルの宛先ピアが IP パケットの最終宛先である場合にだけ使用されます。

次のコマンドが変更されました。crypto map set ikev2 mode

次の画面が変更されました。[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Advanced] > [IPsec] > [IPsec Proposals (Transform Sets)] > [IKEv2 proposals] > [Add/Edit]

IPsec 内部パケットに対するパケット単位のルーティング ルックアップ

デフォルトでは、外部 ESP パケットに対してはパケット単位の隣接関係(アジャセンシー)ルックアップが行われ、IPsec トンネル経由で送信されるパケットに対してはルックアップが行われません。一部のネットワーク トポロジでは、ルーティング アップデートによって内部パケットのパスが変更され、ローカル IPsec トンネルが引き続きアップ状態である場合、トンネル経由のパケットは正しくルーティングされず、宛先に到達しません。これを防止するには、新しいオプションを使用し、IPsec 内部パケットに対してパケット単位のルーティング ルックアップを有効にします。

次のコマンドが追加されました。crypto ipsec inner-routing-lookup

次の画面に [Enable IPsec Inner Routing Lookup] チェックボックスが追加されました。[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Advanced] > [IPsec] > [Crypto Maps]

証明書とセキュアな接続の機能

ASA クライアントによるサーバ証明書の拡張キーの使用状況確認

syslog、スマート ライセンス サーバ証明書は、[Extended Key Usage] フィールドに [ServerAuth ] を含める必要があります。そうしない場合、接続は失敗します。

ASA が TLS1.1 と 1.2 の TLS クライアントとして動作する際の相互認証

サーバが認証のために ASA からクライアント証明書を要求した場合、ASA はそのインターフェイス用に設定されたクライアント アイデンティティ証明書を送信します。証明書は ssl trust-point コマンドで設定されます。

PKI デバッグ メッセージ

ASA PKI モジュールは、SCEP 登録、HTTP を使用した失効チェックなどのために CA サーバへ接続します。これらすべての ASA PKI 通信はデバッグ追跡のため、debug crypto ca メッセージ 5 を付してログに記録されます。

ASDM での ASA SSL サーバ モード マッチング

証明書マップと照合するために、証明書で認証を行う ASDM ユーザに対して証明書を要求できるようになりました。

次のコマンドを変更しました。http authentication-certificate match

次の画面を変更しました。[Configuration] > [Device Management] > [Management Access] > [ASDM/HTTPS/Telnet/SSH]

セキュアな syslog サーバの接続とスマート ライセンシング接続のための参照 ID

TLS クライアント処理は、RFC 6125 のセクション 6 に定義されるサーバ ID の検証ルールをサポートするようになりました。ID 確認は syslog サーバとスマート ライセンス サーバへの TLS 接続の PKI 確認中に行われます。提示された ID が設定されたリファレンス ID と一致しない場合、接続を確立できません。

次のコマンドが追加または変更されました。crypto ca reference-identity、logging host、call home profile destination address

次の画面が変更されました。

[Configuration] > [Remote Access VPN] > [Advanced]

[Configuration] > [Device Management] > [Logging] > [Syslog Servers] > [Add/Edit]

[Configuration] > [Device Management] > [Smart Call Home]

暗号キー抹消検査

ASA の暗号化システムは、新しい暗号キー抹消要件に適合するように更新されました。キーはすべてゼロで上書きされ、データを読み出して上書きが正しく行われたか確認する必要があります。

SSH 公開キー認証の改善

以前のリリースでは、ローカル ユーザ データベース( (aaa authentication ssh console LOCAL ))を使用して AAA SSH 認証を有効にしなくても、SSH 公開キー認証((ssh authentication ))を有効にすることができました。この設定は修正されたため、AAA SSH 認証を明示的に有効にする必要があります。ユーザが秘密キーの代わりにパスワードを使用できないよう、パスワード未定義のユーザ名を作成できるようになりました。

次のコマンドが変更されました。ssh authentication、username

次の画面が変更されました。

[Configuration] > [Device Management] > [Management Access] > [ASDM/HTTPS/Telnet/SSH]

[Configuration] > [Device Management] > [Users/AAA] > [User Accounts] > [Add/Edit User Account]

インターフェイス機能

Firepower 4100/9300 シャーシ の ASA のMTU サイズ増加

Firepower 4100 および 9300 で、最大 MTU を 9188 バイトに設定できます。これまでは 9000 バイトが最大でした。この MTU は FXOS 2.0.1.68 以降でサポートされます。

次のコマンドが変更されました。mtu

次の画面が変更されました。[Configuration] > [Device Setup] > [Interface Settings] > [Interfaces] > [Advanced]

ルーティング機能

Bidirectional Forwarding Detection(BFD)のサポート

ASAは、BFD ルーティング プロトコルをサポートするようになりました。BFD テンプレート、インターフェイスおよびマッピングの設定が新たにサポートされました。BFD を使用するための BGP ルーティング プロトコルのサポートも追加されました。

次のコマンドが追加または変更されました。 authentication、bfd echo、bfd interval、bfd map、bfd slow-timers、bfd template、bfd-template、clear bfd counters、echo、debug bfd、neighbor fall-over bfd、show bfd drops、show bfd map、show bfd neighbors、show bfd summary

次の画面が追加または変更されました。

[Configuration] > [Device Setup] > [Routing] > [BFD] > [Template]

[Configuration] > [Device Setup] > [Routing] > [BFD] > [Interface]

[Configuration] > [Device Setup] > [Routing] > [BFD] > [Map]

[Configuration] > [Device Setup] > [Routing] > [BGP] > [IPv6 Family] > [Neighbors]

IPv6 DHCP

ASA で IPv6 アドレッシングの次の機能がサポートされました。

  • DHCPv6 アドレス クライアント:ASA は DHCPv6 サーバから IPv6 グローバル アドレスとオプションのデフォルト ルートを取得します。

  • DHCPv6 プレフィックス委任クライアント:ASA は DHCPv6 サーバから委任プレフィックスを取得します。ASA は、これらのプレフィックスを使用して他の ASA インターフェイスのアドレスを設定し、ステートレス アドレス自動設定(SLAAC)クライアントが同じネットワーク上で IPv6 アドレスを自動設定できるようにします。

  • 委任プレフィックスの BGP ルータ アドバタイズメント

  • DHCPv6 ステートレス サーバ:SLAAC クライアントが ASA に情報要求(IR)パケットを送信すると、ASA はドメインインネームなどの他の情報を SLAAC クライアントに提供します。ASA は、IR パケットを受け取るだけで、クライアントにアドレスを割り当てません。

次のコマンドが追加または変更されました。clear ipv6 dhcp statistics、domain-name、dns-server、import、ipv6 address autoconfig、ipv6 address dhcp、ipv6 dhcp client pd、ipv6 dhcp client pd hint、ipv6 dhcp pool、ipv6 dhcp server、network、nis address、nis domain-name、nisp address、nisp domain-name、show bgp ipv6 unicast、show ipv6 dhcp、show ipv6 general-prefix、sip address、sip domain-name、sntp address

次の画面が追加または変更されました。

[Configuration] > [Device Setup] > [Interface Settings] > [Interfaces] > [Add Interface] > [IPv6]

[Configuration] > [Device Management] > [DHCP] > [DHCP Pool]

[Configuration] > [Device Setup] > [Routing] > [BGP] > [IPv6 Family] > [Networks]

[Monitoring] > [interfaces] > [DHCP]

ハイ アベイラビリティとスケーラビリティの各機能

アクティブ/スタンバイ フェールオーバーを使用するとき、AnyConnect からのダイナミック ACL の同期時間が改善されました。

フェールオーバー ペアで AnyConnect を使用するとき、関連付けられているダイナミック ACL(dACL)のスタンバイ ユニットへの同期時間が改善されました。以前は、大規模な dACL の場合、スタンバイユニットが可用性の高いバックアップを提供するのではなく同期作業で忙しい間は、同期時間が長時間に及ぶことがありました。

変更されたコマンドはありません。

変更された画面はありません。

ライセンシング機能

ASAv の永続ライセンス予約

Cisco Smart Software Manager との通信が許可されていない非常にセキュアな環境では、ASAv 用に永続ライセンスを要求できます。9.6(2) では、Amazon Web サービスの ASAv 向けに、この機能のサポートが追加されました。この機能は Microsoft Azure ではサポートされません。

(注)   

すべてのアカウントがパーマネント ライセンスの予約について承認されているわけではありません。設定を開始する前にこの機能についてシスコの承認があることを確認します。

次のコマンドが導入されました。license smart reservation、license smart reservation cancel、license smart reservation install、license smart reservation request universal、license smart reservation return

ASDM サポートはありません。

バージョン 9.5(2.200) でも同様です。

ASAv のサテライト サーバのサポート

デバイスがセキュリティ上の理由でインターネットにアクセスができない場合、オプションで、仮想マシン(VM)としてローカル Smart Software Manager サテライト サーバをインストールできます。

変更されたコマンドはありません。

変更された画面はありません。

ASAv の短かい文字列の拡張機能向けの永続ライセンス予約

スマート エージェント(1.6.4 への)の更新により、要求と認証コードには短い文字列が使用されます。

変更されたコマンドはありません。

変更された画面はありません。

Firepower 4100/9300 シャーシ 上の ASA の永続ライセンス予約

Cisco Smart Software Manager との通信が許可されていない非常にセキュアな環境では、FirePOWER 9300 および FirePOWER 4100 の ASA 用に永続ライセンスを要求できます。永続ライセンスには、標準層、高度暗号化(該当する場合)、セキュリティ コンテキスト、キャリア ライセンスをはじめ、使用可能なすべてのライセンス権限が含まれます。FXOS 2.0.1 が必要です。

すべての設定はFirepower 4100/9300 シャーシで実行され、ASA の設定は不要です。

ASAv 用スマート エージェントの v1.6 へのアップグレード

スマート エージェントはバージョン 1.1 からバージョン 1.6 へアップグレードされました。このアップグレードは永続ライセンス予約をサポートするほか、ライセンス アカウントに設定された権限に従って、高度暗号化(3DES/AES)ライセンス権限の設定もサポートします。

(注)   

バージョン 9.5 (2.200)からダウングレードした場合、ASAv はライセンス登録状態を保持しません。license smart register idtoken id_token force コマンドを使用し、[Configuration] > [Device Management] > [Licensing] > [Smart Licensing] ページで [Force registration] オプションを指定して再登録する必要があります。Smart Software Manager から ID トークンを取得します。

次のコマンドが導入されました。show license status、show license summary、show license udi、show license usage

次のコマンドが変更されました。show license all、show tech-support license

次のコマンドが非推奨になりました。 show license cert、show license entitlement、show license pool、show license registration

変更された画面はありません。

バージョン 9.5(2.200) でも同様です。

モニタリング機能

type asp-drop のパケット キャプチャは、ACL と一致フィルタリングをサポートします。

asp-drop タイプのパケット キャプチャを作成するとき、ACL または一致するオプションを指定してキャプチャの範囲を制限できるようになりました。

次のコマンドが変更されました。capture type asp-drop

変更された画面はありません。

フォレンジック分析の強化

ASA で実行されているすべてのプロセスのコア ダンプを作成できます。主な ASA プロセスのテキスト セクションを抽出し、検証用にコピーできます。

次のコマンドが変更されました。copy system:text、verify system:text、crashinfo force dump process

変更された画面はありません。

NetFlow 経由の接続ごとのトラッキング パケット数の追跡

NetFlow ユーザがある接続上で双方向に送受信されるレイヤ 4 パケットの数を確認することを可能にする 2 つのカウンタが追加されました。これらのカウンタを使用して、平均パケット レートおよびサイズを判断し、トラフィック タイプ、異常、イベントをより適切に予測できます。

変更されたコマンドはありません。

変更された画面はありません。

フェールオーバーの SNMP engineID の同期

フェールオーバー ペアでは、一対の ASA の SNMP engineID は両方のユニットで同期されます。ASA ごとに、同期された engineID、ネイティブ engineID、およびリモート engineID による engineID が 3 セット維持されます。

SNMPv3 ユーザは、ローカライズされた snmp-server user 認証とプライバシー オプションを保存するためのプロファイルを作成するときに ASA の engineID も指定できます。ユーザがネイティブ engineID を指定しない場合、show running config 出力に engineID がユーザごとに 2 つずつ表示されます。

次のコマンドが変更されました。snmp-server user

ASDM サポートはありません。

バージョン 9.4(3) でも同様です。

ASA 9.6(1)/ASDM 7.6(1) の新機能

リリース:2016年3月21日


(注)  

Microsoft Azure サポートを含む ASAv 9.5.2(200) の各機能は 9.6(1) では使用できません。 これらは、9.6(2) では使用可能です。


機能

説明

プラットフォーム機能

Firepower 4100 シリーズ の ASA

Firepower 4110、4120、4140 用の ASA を導入しました。

FXOS 1.1.4 が必要です。

追加または変更されたコマンドはありません。

追加または変更された画面はありません。

ISA 3000 の SD カードのサポート

ISA 3000 の外部ストレージとして SD カードが使用できるようになりました。カードは、ASA ファイル システムのディスク 3 として表示されます。プラグ アンド プレイをサポートするにはハードウェア バージョン 2.1 以降が必要です。ハードウェア バージョンをチェックするには、show module コマンドを使用します。

追加または変更されたコマンドはありません。

追加または変更された画面はありません。

ISA 3000 のデュアル電源サポート

ISA 3000 のデュアル電源では、ASA OS に望ましい構成としてデュアル電源を設定できます。1 つの電源に障害が発生すると、ASA はアラームを発します。デフォルトでは、ASA は単一電源を想定していますが、装備される電源のいずれかが機能しているかぎりアラームを発しません。

次のコマンドが導入されました。power-supply dual

ASDM サポートはありません。

ファイアウォール機能

Diameter インスペクションの改善

TCP/TLS トラフィック上の Diameter を検査し、厳密なプロトコル準拠チェックを適用し、クラスタ モードで SCTP 上の Diameter を検査できるようになりました。

次のコマンドが導入または変更されました。client clear-text inspect diameter strict-diameter

次の画面が追加または変更されました。

[Configuration] > [Firewall] > [Objects] > [Inspect Maps] > [Diameter]

[Configuration] > [Firewall] > [Service Policy] の [add/edit] ウィザードの [Rule Actions] > [Protocol Inspection] タブ

クラスタ モードでの SCTP ステートフル インスペクション

SCTP ステートフル インスペクションがクラスタ モードで動作するようになりました。また、クラスタ モードで SCTP ステートフル インスペクション バイパスを設定することもできます。

追加または変更されたコマンドはありません。

追加または変更された画面はありません。

H.460.18 互換性に関連する H.225 SETUP メッセージの前に着信する H.255 FACILITY メッセージに対する H.323 インスペクションのサポート。

H.225 FACILITY メッセージが H.225 SETUP メッセージの前に着信する(これは、エンドポイントが H.460.18 に準拠する場合に発生する場合があります)ことを許可するように H.323 インスペクション ポリシー マップを設定できるようになりました。

次のコマンドが導入されました。early-message

H.323 インスペクション ポリシー マップの [Call Attributes] タブにオプションが追加されました。

Security Exchange Protocol(SXP)バージョン 3 の Cisco TrustSec サポート。

ASA の Cisco Trustsec は、ホスト バインディングよりも効率的な SGT とサブネット間のバインディングを可能にする SXPv3 を実装するようになりました。

次のコマンドが導入または変更されました。cts sxp mapping network-map maximum_hosts cts role-based sgt-map show cts sgt-map show cts sxp sgt-map show asp table cts sgt-map

[Configuration] > [Firewall] > [Identity By TrustSec] と [SGT Map Setup] ダイアログボックスが変更されました。

Firepower 4100 シリーズ のフロー オフロードのサポート。

ASA からオフロードされ、Firepower 4100 シリーズ の NIC で直接切り替える必要があるフローを特定できるようになりました。

FXOS 1.1.4 が必要です。

追加または変更されたコマンドはありません。

追加または変更された画面はありません。

リモート アクセス機能

IKEv2 フラグメンテーション、RFC-7383 サポート

ASA では、IKEv2 パケットのこの標準的なフラグメンテーションがサポートされるようになりました。これにより、Apple、Strongswan など、他の IKEv2 の実装との相互運用性を実現します。ASA は、AnyConnect クライアントなどの RFC-7383 をサポートしないシスコ製品との後方互換性を保つため、独自の IKEv2 フラグメンテーションを引き続きサポートします。

次のコマンドが導入されました。 crypto ikev2 fragmentation show running-config crypto ikev2 show crypto ikev2 sa detail

Firepower 9300 とFirepower 4100 シリーズでの VPN スループット パフォーマンス強化

crypto engine accelerator-bias コマンドが Firepower 9300 と Firepower 4100 シリーズ 上の ASA セキュリティ モジュールでサポートされるようになりました。このコマンドにより、IPSec または SSL に対して暗号コアを「優先的に使用」できます。

次のコマンドが変更されました。 crypto engine accelerator-bias

追加または変更された画面はありません。

設定可能な SSH 暗号機能と HMAC アルゴリズム

ユーザは SSH 暗号化を管理するときに暗号化モードを選択し、さまざまなキー交換アルゴリズムに対して HMAC と暗号化を設定できます。アプリケーションに応じて、暗号の強度を強くしたり弱くする必要がある場合があります。セキュアなコピーのパフォーマンスは暗号化アルゴリズムに一部依存します。デフォルトで、ASA は 3des-cbc aes128-cbc aes192-cbc aes256-cbc aes128-ctr aes192-ctr aes256-ctr の順にアルゴリズムをネゴシエートします。提示された最初のアルゴリズム(3des-cbc)が選択された場合、aes128-cbc などの一層効率的なアルゴリズムが選択された場合よりも大幅にパフォーマンスが低下します。たとえば、提示された暗号方式に変更するには、ssh cipher encryption custom aes128-cbc を使用します。

次のコマンドが導入されました。ssh cipher encryption、ssh cipher integrity

次の画面が導入されました。[Configuration] > [Device Management] > [Advanced] > [SSH Ciphers]

9.1(7) 、9.4(3) および 9.5(3) でも使用可能です。

IPv6 の HTTP リダイレクト サポート

ASDM アクセスまたはクライアントレス SSL VPN 用の HTTPS に HTTP リダイレクトを有効にすると、IPv6 アドレスへ送信されるトラフィックもリダイレクトできるようになりました。

次のコマンドに機能が追加されました。http redirect

次の画面に機能が追加されました。[Configuration] > [Device Management] > [HTTP Redirect]

9.1(7) および 9.4(3) でも使用可能です。

ルーティング機能

IS-IS ルーティング

ASA で Intermediate System to Intermediate System(IS-IS)のルーティング プロトコルがサポートされました。IS-IS ルーティング プロトコルを使用した、データのルーティング、認証の実行、およびルーティング情報の再配布とモニタについて、サポートが追加されました。

次のコマンドを導入しました。 advertise passive-only, area-password, authentication key, authentication mode, authentication send-only, clear isis, debug isis, distance, domain-password, fast-flood, hello padding, hostname dynamic, ignore-lsp-errors, isis adjacency-filter, isis advertise prefix, isis authentication key, isis authentication mode, isis authentication send-only, isis circuit-type, isis csnp-interval, isis hello-interval, isis hello-multiplier, isis hello padding, isis lsp-interval, isis metric, isis password, isis priority, isis protocol shutdown, isis retransmit-interval, isis retransmit-throttle-interval, isis tag, is-type, log-adjacency-changes, lsp-full suppress, lsp-gen-interval, lsp-refresh-interval, max-area-addresses, max-lsp-lifetime, maximum-paths, metric, metric-style, net, passive-interface, prc-interval, protocol shutdown, redistribute isis, route priority high, route isis, set-attached-bit, set-overload-bit, show clns, show isis, show router isis, spf-interval, summary-address.

次の画面が導入されました。

[Configuration] > [Device Setup] > [Routing] > [ISIS]

[Monitoring] > [Routing] > [ISIS]

ハイ アベイラビリティとスケーラビリティの各機能

ルーテッドおよびスパンド EtherChannel モードのサイト固有の IP アドレスのポート

スパンド EtherChannel のルーテッド モードでのサイト間クラスタリングの場合、サイト個別の MAC アドレスに加えて、サイト個別の IP アドレスを設定できるようになりました。サイト IP アドレスを追加することにより、グローバル MAC アドレスからの ARP 応答を防止するために、ルーティング問題の原因になりかねない Data Center Interconnect(DCI)経由の移動によるオーバーレイ トランスポート仮想化(OTV)デバイスの ARP 検査を使用することができます。MAC アドレスをフィルタ処理するために VACL を使用できないスイッチには、ARP 検査が必要です。

次のコマンドが変更されました。mac-address、show interface

次の画面を変更しました。[Configuration] > [Device Setup] > [Interface Settings] > [Interfaces] > [Add/Edit EtherChannel Interface] > [Advanced]

管理機能

ローカルの username および enable パスワードでより長いパスワード(127 文字まで)がサポートされます。

127 文字までのローカル username および enable パスワードを作成できます(以前の制限は 32 文字でした)。32 文字以上のパスワードを作成すると、PBKDF2(パスワード ベース キー派生関数 2)のハッシュを使用して設定に保存されます。これよりも短いパスワードは引き続き MD5 ベースのハッシュを使用します。

次のコマンドを変更しました。enable、username

次の画面が変更されました。

[Configuration] > [Device Setup] > [Device Name/Password] > [Enable Password]

[Configuration] > [Device Management] > [Users/AAA] > [User Accounts] > [Add/Edit User Account] > [Identity]

CISCO-ENHANCED-MEMPOOL-MIB の cempMemPoolTable のサポート

CISCO-ENHANCED-MEMPOOL-MIB の cempMemPoolTable がサポートされました。これは、管理型システムのすべての物理エンティティのメモリプール モニタリング エントリのテーブルです。

(注)   

CISCO-ENHANCED-MEMPOOL-MIB は 64 ビットのカウンタを使用して、プラットフォーム上の 4 GB 以上のメモリのレポーティングをサポートします。

追加または変更されたコマンドはありません。

追加または変更された画面はありません。

9.1(7) および 9.4(3) でも使用可能です。

REST API バージョン 1.3.1

REST API バージョン 1.3.1 のサポートが追加されました。

バージョン 9.5 の新機能

ASA 9.5(3.9)/ASDM 7.6(2) の新機能

リリース:2017年4月11日


(注)  

バージョン 9.5(3) は、バグ CSCvd78303 に基づき Cisco.com から削除されました。


機能

説明

リモート アクセス機能

設定可能な SSH 暗号機能と HMAC アルゴリズム

ユーザは SSH 暗号化を管理するときに暗号化モードを選択し、さまざまなキー交換アルゴリズムに対して HMAC と暗号化を設定できます。アプリケーションに応じて、暗号の強度を強くしたり弱くする必要がある場合があります。セキュアなコピーのパフォーマンスは暗号化アルゴリズムに一部依存します。デフォルトで、ASA は 3des-cbc aes128-cbc aes192-cbc aes256-cbc aes128-ctr aes192-ctr aes256-ctr の順にアルゴリズムをネゴシエートします。提示された最初のアルゴリズム(3des-cbc)が選択された場合、aes128-cbc などの一層効率的なアルゴリズムが選択された場合よりも大幅にパフォーマンスが低下します。たとえば、提示された暗号方式に変更するには、ssh cipher encryption custom aes128-cbc を使用します。

次のコマンドが導入されました。ssh cipher encryption、ssh cipher integrity

次の画面が導入されました。[Configuration] > [Device Management] > [Advanced] > [SSH Ciphers]

9.1(7) および 9.4(3) でも使用可能です。

ASAv 9.5(2.200)/ASDM 7.5(2.153) の新機能

リリース:2016年1月28日


(注)  

このリリースは、ASAv のみをサポートします。


機能

説明

プラットフォーム機能

ASAv10 での Microsoft Azure サポート

Microsoft Azure は、プライベート Microsoft Hyper V ハイパーバイザを使用するパブリック クラウド環境です。ASAv は、Hyper V ハイパーバイザの Microsoft Azure 環境でゲストとして実行されます。Microsoft Azure 上の ASAv は、4 つの vCPU、14 GB、4 つのインターフェイスをサポートする Standard D3 の 1 つのインスタンス タイプをサポートします。

ライセンシング機能

ASAv の永続ライセンス予約

Cisco Smart Software Manager との通信が許可されていない非常にセキュアな環境では、ASAv 用に永続ライセンスを要求できます。

(注)   

すべてのアカウントがパーマネント ライセンスの予約について承認されているわけではありません。設定を開始する前にこの機能についてシスコの承認があることを確認します。

次のコマンドが導入されました。license smart reservation、license smart reservation cancel、license smart reservation install、license smart reservation request universal、license smart reservation return

ASDM サポートはありません。

スマート エージェントの v1.6 へのアップグレード

スマート エージェントはバージョン 1.1 からバージョン 1.6 へアップグレードされました。このアップグレードは永続ライセンス予約をサポートするほか、ライセンス アカウントに設定された権限に従って、高度暗号化(3DES/AES)ライセンス権限の設定もサポートします。

(注)   

バージョン 9.5 (2.200)からダウングレードした場合、ASAv はライセンス登録状態を保持しません。license smart register idtoken id_token force コマンドを使用し、[Configuration] > [Device Management] > [Licensing] > [Smart Licensing] ページで [Force registration] オプションを指定して再登録する必要があります。Smart Software Manager から ID トークンを取得します。

次のコマンドが導入されました。show license status、show license summary、show license udi、show license usage

次のコマンドが変更されました。show license all、show tech-support license

次のコマンドが非推奨になりました。 show license cert、show license entitlement、show license pool、show license registration

変更された画面はありません。

ASA 9.5(2.1)/ASDM 7.5(2) の新機能

リリース:2015年12月14日


(注)  

このリリースは、Firepower 9300 の ASA のみをサポートします。


機能

説明

プラットフォーム機能

Firepower 9300 での ASA の VPN サポート

FXOS 1.1.3 では、VPN 機能を設定できるようになりました。

ファイアウォール機能

Firepower 9300 での ASA のフローのオフロード

ASA からオフロードし、(Firepower 9300 上の)NIC で直接切り替える必要があるフローを特定できるようになりました。これにより、データセンターのより大きなデータ フローのパフォーマンスが向上します。

FXOS 1.1.3 も必要です。

次のコマンドが追加または変更されました。clear flow-offload flow-offload enable set-connection advanced-options flow-offload show conn detail show flow-offload

次の画面が追加または変更されました:[Configuration] > [Firewall] > [Advanced] > [Offload Engine][Configuration] > [Firewall] > [Service Policy Rules] の下でルールを追加または編集する場合の [Rule Actions] > [Connection Settings] タブ。

ハイ アベイラビリティ機能

Firepower 9300 での 6 モジュールのシャーシ間クラスタリング と ASA のサイト間クラスタリング

FXOS 1.1.3 では、シャーシ間、さらにサイト間クラスタリングを有効にできます。最大 6 つのシャーシに最大 6 つのモジュールを含めることができます。

変更されたコマンドはありません。

変更された画面はありません。

ライセンシング機能

Firepower 9300 の ASA に高度暗号化(3DES)ライセンスを自動的に適用

通常の Cisco Smart Software Manager(SSM)ユーザの場合、FirePOWER 9300 で登録トークンを適用すると、対象となるお客様には強力な暗号化ライセンスが自動的に有効になります。

(注)   

スマート ソフトウェア マネージャ サテライトが導入されている場合、ASDM や他の高度暗号機能を使用するには、ASA の展開後に ASA CLI を使用して、高度暗号化ライセンスを有効にする必要があります。

この機能には、FXOS 1.1.3 が必要です。

サテライト以外の構成では、次のコマンドが除去されました。feature strong-encryption

次の画面が変更されました。[Configuration] > [Device Management] > [Licensing] > [Smart License]

ASA 9.5(2)/ASDM 7.5(2) の新機能

リリース:2015年11月30日

機能

説明

プラットフォーム機能

Cisco ISA 3000 サポート

Cisco ISA 3000 は、DIN レールにマウントされた高耐久型の産業用セキュリティ アプライアンスです。ギガビット イーサネットと専用管理ポートを備えた、低消費電型ファンレス デバイスです。このモデルには ASA Firepower モジュールが事前にインストールされています。このモデルの特別な機能として、カスタマイズされたトランスペアレント モードのデフォルト設定と、電源喪失時もトラフィックがアプライアンスを通過することを可能にするハードウェア バイパス機能があります。

次のコマンドが導入されました。hardware-bypass、hardware-bypass manual、hardware-bypass boot-delay

次の画面が変更されました。[Configuration] > [Device Management] > [Hardware Bypass]

バージョン 9.4(1.225) でも同様です。

ファイアウォール機能

DCERPC インスペクションの改善および UUID フィルタリング

DCERPC インスペクションは、OxidResolver ServerAlive2 opnum5 メッセージに対して NAT をサポートするようになりました。また、DCERPC メッセージの汎用一意識別子(UUID)でフィルタリングし、特定のメッセージ タイプをリセットするかログに記録できるようになりました。UUID フィルタリング用の新しい DCERPC インスペクション クラス マップがあります。

次のコマンドが導入されました。match [not] uuid 。次のコマンドが変更されました。class-map type inspect

[Configuration] > [Firewall] > [Objects] > [Class Maps] > [DCERPC] の画面が追加されました。

次の画面が変更されました。[Configuration] > [Firewall] > [Objects] > [Inspect Maps] > [DCERPC]

Diameter インスペクション

Diameter トラフィックを検査できるようになりました。Diameter インスペクションには キャリア ライセンスが必要です。

次のコマンドが導入または変更されました。class-map type inspect diameter diameter inspect diameter match application-id match avp match command-code policy-map type inspect diameter show conn detail show diameter show service-policy inspect diameter unsupported

次の画面が追加または変更されました。

[Configuration] > [Firewall] > [Objects] > [Inspect Maps] > [Diameter][Diameter AVP]

[Configuration] > [Firewall] > [Service Policy] の [add/edit] ウィザードの [Rule Actions] > [Protocol Inspection] タブ

SCTP インスペクションとアクセス制御

サービス オブジェクト、アクセス コントロール リスト(ACL)とアクセス ルールにて SCTP プロトコルとポートの仕様を使用して、SCTP トラフィックを検査できるようになりました。SCTP インスペクションには キャリア ライセンスが必要です。

次のコマンドが導入されました。access-list extended clear conn protocol sctp inspect sctp match ppid nat static (object)、policy-map type inspect sctp service-object service set connection advanced-options sctp-state-bypass show conn protocol sctp show local-host connection sctp show service-policy inspect sctp timeout sctp

次の画面が追加または変更されました。

[Configuration] > [Firewall] > [Access Rules] の [add/edit] ダイアログ

[Configuration] > [Firewall] > [Advanced] > [ACL Manager] の [add/edit] ダイアログ

[Configuration] > [Firewall] > [Advanced] > [Global Timeouts]

[Configuration] > [Firewall] > [NAT] の [add/edit static network object NAT rule] 、[Advanced NAT Settings] ダイアログボックス

[Configuration] > [Firewall] > [Objects] > [Service Objects/Groups] の [add/edit] ダイアログ

[Configuration] > [Firewall] > [Objects] > [Inspect Maps] > [SCTP]

[Configuration] > [Firewall] > [Service Policy] の [add/edit] ウィサードの [Rule Actions] > [Protocol Inspection] と [Connection Settings] タブ

キャリア グレード NAT の強化は、フェールオーバーおよび ASA クラスタリングでサポートされます。

キャリア グレードまたは大規模 PAT では、NAT に 1 度に 1 つのポート変換を割り当てさせるのではなく、各ホストにポートのブロックを割り当てることができます(RFC 6888 を参照してください)。この機能は、フェールオーバーおよび ASA クラスタの導入でサポートされます。

次のコマンドが変更されました。show local-host

変更された画面はありません。

ASA FirePOWER 6.0 でのアクティブ認証向けキャプティブ ポータル。

キャプティブ ポータル機能では、ASA FirePOWER 6.0 で始まるアイデンティティ ポリシーを使用してアクティブ認証を有効にする必要があります。

次のコマンドが導入または変更されました。captive-portal clear configure captive-portal show running-config captive-portal

ハイ アベイラビリティ機能

サイト間フロー モビリティの LISP インスペクション

Cisco Locator/ID Separation Protocol(LISP)のアーキテクチャは、デバイス ID をその場所から 2 つの異なるナンバリング スペースに分離し、サーバの移行をクライアントに対して透過的にします。ASA は、場所変更の LISP トラフィックを検査し、その情報をシームレスなクラスタリング運用に活用できます。ASA クラスタ メンバーは、最初のホップ ルータと出力トンネル ルータまたは入力トンネル ルータの間の LISP トラフィックを検査し、フロー オーナーの所在場所を新規サイトに変更します。

次のコマンドが導入または変更されました。allowed-eid、clear cluster info flow-mobility counters、clear lisp eid、cluster flow-mobility lisp、debug cluster flow-mobility、debug lisp eid-notify-intercept、flow-mobility lisp、inspect lisp、policy-map type inspect lisp、site-id、show asp table classify domain inspect-lisp、show cluster info flow-mobility counters、show conn、show lisp eid、show service-policy、validate-key

次の画面が導入または変更されました。

[Configuration] > [Device Management] > [High Availability and Scalability] > [ASA Cluster] > [Cluster Configuration]

[Configuration] > [Firewall] > [Objects] > [Inspect Maps] > [LISP]

[Configuration] > [Firewall] > [Service Policy Rules] > [Protocol Inspection]

[Configuration] > [Firewall] > [Service Policy Rules] > [Cluster]

[Monitoring] > [Routing] > [LISP-EID Table]

ASA 5516-X でのクラスタリングのサポート

ASA 5516-X が 2 ユニット クラスタをサポートするようになりました。基本ライセンスでは、2 ユニットのクラスタリングがデフォルトで有効化されています。

変更されたコマンドはありません。

変更された画面はありません。

クラスタリング トレース エントリの設定可能なレベル

デフォルトで、すべてのレベルクラスタリング イベントは、多くの下位レベルのイベント以外に、トレース バッファに含まれます。より上位レベルのイベントへのトレースを制限するために、クラスタの最小トレース レベルを設定できます。

次のコマンドが導入されました。trace-level

変更された画面はありません。

インターフェイス機能

セカンデリ VLAN のプライマリ VLAN へのマッピングのサポート

サブ インターフェイスで、1 つ以上のセカンデリ VLAN を設定できるようになりました。ASA はセカンダリ VLAN でトラフィックを受信すると、そのトラフィックをプライマリ VLAN にマップします。

次のコマンドを導入または変更しました。vlan secondary、show vlan mapping

次の画面が変更されました。[Configuration] > [Device Setup] > [Interface Settings] > [Interfaces]

[Configuration] > [Device Setup] > [Interface Settings] > [Interfaces] > [Add Interface] > [General]

ルーティング機能

マルチキャスト ルーティングの PIM ブートストラップ ルータ(BSR)のサポート

ASA は、現在、異なるグループにマルチキャスト トラフィックをルーティングするためにスタティック RP を設定できるようサポートしています。複数の RP が存在する可能性のある大規模で複雑なネットワークについては、ASA では RP のモビリティに対応できるよう、PIM BSR を使用したダイナミック RP の選択をサポートします。

次のコマンドが導入されました。clear pim group-map、debug pim bsr、pim bsr-border、pim bsr-candidate、show pim bsr-router、show pim group-map rp-timers

次の画面が導入されました。[Configuration] > [Device Setup] > [Routing] > [Multicast] > [PIM] > [Bootstrap Router]

リモート アクセス機能

マルチ コンテキスト モードでのリモート アクセス VPN サポート

次のリモート アクセス機能をマルチ コンテキスト モードで使用できるようになりました。

  • AnyConnect 3.x 以降(SSL VPN のみ、IKEv2 はサポートしません)

  • 中央集中型 AnyConnect イメージ設定

  • AnyConnect イメージのアップグレード

  • AnyConnect 接続のコンテキスト リソース管理

(注)   

マルチ コンテキスト モードでは AnyConnect Apex ライセンスが必要です。デフォルトやレガシーのライセンスは使用できません。

次のコマンドが導入されました。limit-resource vpn anyconnect、limit-resource vpn burst anyconnect

次の画面が変更されました。[Configuration] > [Context Management] > [Resource Class] > [Add Resource Class]

クライアントレス SSL VPN で SAML 2.0 ベースのシングル サインオン(SSO)機能を提供

ASA は、SAML のサービス プロバイダーとして機能します。

クライアントレス SSL VPN の条件付きデバッグ

フィルタ条件設定に基づき、フィルタリングによりログをデバッグし、より深く分析できます。

debug コマンドに次の追加が導入されました。

  • [no] debug webvpn condition user <user name>

  • [no] debug webvpn condition group <group name>

  • [no] debug webvpn condition p-ipaddress <ipv4> [subnet<mask>]

  • [no] debug webvpn condition p-ipaddress <ipv6> [prefix<prefix>]

  • debug webvpn condition reset

  • show debug webvpn condition

  • show webvpn debug-condition

クライアントレス SSL VPN キャッシュはデフォルトでは無効

クライアントレス SSL VPN のキャッシュはデフォルトで無効になりました。クライアントレス SSL VPN キャッシュを無効にすることで安定性が改善します。キャッシュを有効にするには手動で有効にする必要があります。


webvpn
   cache
      no disable

次のコマンドが変更されました。cache

次の画面が変更されました。[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Advanced] > [Content Cache]

ライセンシング機能

サーバ証明書の発行階層が変更された場合の Smart Call Home/スマート ライセンス証明書の検証

スマート ライセンスでは、Smart Call Home インフラストラクチャが使用されます。ASA はバックグラウンドで Smart Call Home 匿名レポートを最初に設定するときに、Call Home サーバ証明書を発行した CA の証明書を含むトラストポイントを自動的に作成します。ASA はサーバ証明書の発行階層が変更された場合の証明書の検証をサポートします。トラストプール バンドルの定期的な自動更新を有効にできます。

次のコマンドが導入されました。auto-import

次の画面が変更されました。[Configuration] > [Remote Access VPN] > [Certificate Management] > [Trusted Certificate Pool] > [Edit Policy]

新しいキャリア ライセンス

新しいキャリア ライセンスは既存の GTP/GPRS ライセンスを置き換え、SCTP と Diameter インスペクションもサポートします。Firepower 9300 上の ASA の場合、feature mobile-sp コマンドは feature carrier コマンドに自動的に移行します。

次のコマンドが導入または変更されました。feature carrier、show activation-key、show license、show tech-support、show version

次の画面が変更されました。[Configuration] > [Device Management] > [Licensing] > [Smart License]

モニタリング機能

SNMP engineID の同期

HA ペアでは、一対の ASA の SNMP engineID は両方のユニットで同期されます。ASA ごとに、同期された engineID、ネイティブ engineID、およびリモート engineID による engineID が 3 セット維持されます。

SNMPv3 ユーザは、ローカライズされた snmp-server user 認証とプライバシー オプションを保存するためのプロファイルを作成するときに ASA の engineID も指定できます。ユーザがネイティブ engineID を指定しない場合、show running config 出力に engineID がユーザごとに 2 つずつ表示されます。

次のコマンドが変更されました。snmp-server user、no snmp-server user

追加または変更された画面はありません。

9.4(3) でも使用可能です。

show tech support の強化

show tech support コマンドは現在次のとおりです。

  • dir all-filesystems の出力が含まれます。この出力は次の場合に役立つことがあります。

    • SSL VPN コンフィギュレーション:必要なリソースが ASA にあるかどうかを確認します。

    • クラッシュ:クラッシュ ファイルの日付のタイムスタンプと存在を確認します。

  • show kernel cgroup-controller detail の出力の削除:このコマンド出力は show tech-support detail の出力内に残されます。

次のコマンドが変更されました。show tech support

追加または変更された画面はありません。

9.1(7) および 9.4(3) でも使用可能です。

デバッグ ロギング トレースの永続化

以前は、デバッグを syslog サーバへリダイレクトするために logging debug-trace が有効になっている場合、(ネットワークの接続性またはタイムアウトにより)SSH 接続が切断されるとデバッグは削除されました。しかし、logging コマンドが有効である限りデバッグを永続的に保持されるようになりました。

logging debug-trace コマンドが変更されました。

変更された画面はありません。

ASA 9.5(1.5)/ASDM 7.5(1.112) の新機能

リリース:2015年11月11日

機能

説明

プラットフォーム機能

ASA FirePOWER 6.0 のサポート

ASA FirePOWER モジュール向けのソフトウェア バージョン 6.0 は、以前からサポートされているすべてのデバイス モデルでサポートされます。

5512-X ~ 5585-X 向けの ASDM を介した ASA FirePOWER モジュール管理サポート

モジュールでバージョン 6.0 の実行時、Firepower Management Center(旧称:FireSIGHT Management Center)の代わりに ASDM を使用して、ASA FirePOWER モジュールを管理できます。6.0 を実行している場合は、ASDM で 5506-X、5506H-X 5506W-X、5508-X および 5516-X のモジュールも管理できます。

新しい画面またはコマンドは追加されていません。

ASDM 7.5(1.90) の新機能

リリース:2015年10月14日

機能

説明

リモート アクセス機能

AnyConnect バージョン 4.2 のサポート

ASDM は、AnyConnect 4.2 およびネットワーク可視性モジュール(NVM)をサポートしています。NVM は、キャパシティとサービスの計画、監査、コンプライアンス、およびセキュリティ分析に関して、企業内管理者の実行能力を向上させます。NVM(ネットワーク可視性モジュール)は、エンドポイントのテレメトリを収集して、フロー データとファイル レピュテーションを syslog に記録し、さらに、ファイルの分析と UI インターフェイスの提供を行うコレクタ(サードパーティ ベンダー)にもフロー レコードをエクスポートします。

次の画面が変更されました。[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [AnyConnect Client Profile]([Network Visibility Service Profile] という新しいプロファイル)

ASAv 9.5(1.200)/ASDM 7.5(1) の新機能

リリース:2015年8月31日


(注)  

このリリースは、ASAv のみをサポートします。


機能

説明

プラットフォーム機能

Microsoft Hyper-V スーパーバイザ サポート

ASAv のハイパーバイザ ポートフォリオを拡張します。

ASAv5 低容量メモリ サポート

ASAv5 は 1 GB RAM のみでも実行できるようになりました。以前は 2 GB を必要としていました。導入済みの ASAv5 では、ライセンスにより許容される以上のメモリを使用していることを示すエラーが発生するため、割り当て済みメモリを 1 GB に減らす必要があります。

ASA 9.5(1)/ASDM 7.5(1) の新機能

リリース:2015年8月12日


(注)  

このバージョンは Firepower 9300 ASA セキュリティ モジュールまたは ISA 3000 をサポートしません。


機能

説明

ファイアウォール機能

GTPv2 インスペクションと GTPv0/1 インスペクションの改善

GTP インスペクションは GTPv2 を処理できるようになりました。また、すべてのバージョンの GTP インスペクションで IPv6 アドレスがサポートされるようになりました。

次のコマンドが変更されました。clear service-policy inspect gtp statistics、clear service-policy inspect gtp pdpmcb、clear service-policy inspect gtp request、match message id、show service-policy inspect gtp pdpmcb、show service-policy inspect gtp request、show service-policy inspect gtp statistics、timeout endpoint

次のコマンドが非推奨になりました。timeout gsn

次の画面が変更されました。[Configuration] > [Firewall] > [Objects] > [Inspect Maps] > [GTP]。

IP オプション インスペクションの改善

IP オプション インスペクションは、すべての有効な IP オプションをサポートするようになりました。まだ定義されていないオプションを含む、標準または試行的なオプションを許可、クリア、またはドロップするようにインスペクションを調整できます。また、IP オプション インスペクション マップで明示的に定義されていないオプションのデフォルトの動作を設定できます。

次のコマンドを導入しました。 basic-security, commercial-security, default, exp-flow-control, exp-measure, extended-security, imi-traffic-description, quick-start, record-route, timestamp

次の画面が変更されました。[Configuration] > [Firewall] > [Objects] > [Inspect Maps] > [IP Options]。

キャリア グレード NAT の拡張

キャリア グレードまたは大規模 PAT では、NAT に 1 度に 1 つのポート変換を割り当てさせるのではなく、各ホストにポートのブロックを割り当てることができます(RFC 6888 を参照してください)。

次のコマンドが導入されました。xlate block-allocation size、xlate block-allocation maximum-per-hostblock-allocation キーワードが nat コマンドに追加されました。

次の画面が導入されました。[Configuration] > [Firewall] > [Advanced] > [PAT Port Block Allocation]。 [Enable Block Allocation] オブジェクト NAT および Twice NAT ダイアログボックスが追加されました。

ハイ アベイラビリティ機能

ルーテッド ファイアウォール モードのスパンド EtherChannel でのサイト間クラスタリング

ルーテッド モードでは、スパンド EtherChannel サイト間クラスタリングを使用することができます。MAC アドレスのフラッピングを防ぐには、各インターフェイスのサイト別の MAC アドレスがサイトのユニット上で共有できるように、各クラスタ メンバーのサイト ID を設定します。

次のコマンドを導入または変更しました。site-id、mac-address site-id、show cluster info、show interface

次の画面が変更されました。 [Configuration] > [Device Management] > [High Availability and Scalability] > [ASA Cluster] > [Cluster Configuration]

インターフェイスまたはクラスタ制御リンクが失敗した場合の auto-rejoin 動作の ASA クラスタ のカスタマイズ

インターフェイスまたはクラスタ制御リンクが失敗した場合、auto-rejoin 動作をカスタマイズできます。

次のコマンドが導入されました。health-check auto-rejoin

次の画面が導入されました。 [Configuration] > [Device Management] > [High Availability and Scalability] > [ASA Cluster] > [Auto Rejoin]

ASA クラスタは、GTPv1 と GTPv2 をサポートします

ASA クラスタは、GTPv1 および GTPv2 インスペクションをサポートします。

変更されたコマンドはありません。

変更された画面はありません。

TCP 接続のクラスタ複製遅延

この機能で、ディレクタ/バックアップ フロー作成の遅延による存続期間が短いフローに関連する「不要な作業」を排除できます。

次のコマンドを導入しました。cluster replication delay

次の画面を導入しました。[Configuration] > [Device Management] > [High Availability and Scalability] > [ASA Cluster Replication]

バージョン 9.4(1.152) の Firepower 9300 ASA セキュリティ モジュールにも使用できます。

ASA クラスタリングのハードウェア モジュールのヘルス モニタリングの無効化

クラスタリング使用時、ASA はデフォルトで、設置されているハードウェア モジュール(ASA FirePOWER モジュールなど)のヘルス モニタリングを行います。特定のハードウェア モジュールの障害によってフェールオーバーをトリガーすることが望ましくない場合は、モジュールのモニタリングをディセーブルにできます。

次のコマンドを変更しました。health-check monitor-interface service-module

次の画面が変更されました。[Configuration] > [Device Management] > [High Availability and Scalability] > [ASA Cluster] > [Cluster Interface Health Monitoring]

ASA 5506H のフェールオーバー リンクとして、管理 1/1 インターフェイスを使用できるようになりました。

管理 1/1 インターフェイスは、ASA 5506H に限りフェールオーバー リンクとして設定できるようになりました。この機能により、デバイスの他のインターフェイスをデータ インターフェイスとして使用できます。この機能を使用した場合、ASA FirePOWER モジュールは使用できません。このモジュールでは管理 1/1 インターフェイスを通常の管理インターフェイスとして維持することが必須です。

次のコマンドが変更されました。failover lan interface、failover link

次の画面が変更されました。[Configuration] > [Device Management] > [High Availability and Scalability] > [Failover] > [Setup]

ルーティング機能

ポリシーベース ルーティングの IPv6 サポート

ポリシーベース ルーティングで IPv6 アドレスがサポートされました。

次のコマンドが導入されました。set ipv6 next-hop、set default ipv6-next hop、set ipv6 dscp

次の画面が変更されました。

[Configuration] > [Device Setup] > [Routing] > [Route Maps] > [Add Route Map] > [Policy Based Routing] [Configuration] > [Device Setup] > [Routing] > [Route Maps] > [Add Route Maps] > [Match Clause]

ポリシーベース ルーティングの VXLAN サポート

VNI インターフェイスでポリシーベース ルーティングを有効にできるようになりました。

変更されたコマンドはありません。

次の画面が変更されました。[Configuration] > [Device Setup] > [Interface Settings] > [Interfaces] > [Add/Edit Interface] > [General]。

アイデンティティ ファイアウォールと Cisco TrustSec でのポリシーベース ルーティングのサポート

アイデンティティ ファイアウォールと Cisco TrustSec を設定し、ポリシーベース ルーティングのルートマップでアイデンティティ ファイアウォールと Cisco TrustSec ACL を使用できるようになりました。

変更されたコマンドはありません。

次の画面が変更されました。[Configuration] > [Device Setup] > [Routing] > [Route Maps] > [Add Route Maps] > [Match Clause]

管理専用インターフェイス用の個別のルーティング テーブル

データ トラフィックから管理トラフィックを区別して分離するため、ASA は管理専用インターフェイス用の個別のルーティング テーブルをサポートしました。

次のコマンドが導入または変更されました。backup、clear ipv6 route management-only、clear route management-only、configure http、configure net、copy、enrollment source、name-server、restore、show asp table route-management-only、show ipv6 route management-only show route management-only

変更された画面はありません。

Protocol Independent Multicast Source-Specific Multicast(PIM-SSM)パススルーのサポート

ASA では、最後のホップ ルータである場合を除いて、マルチキャスト ルーティングが有効になっているときに PIM-SSM パケットが通過できるようになりました。この機能により、さまざまな攻撃から保護すると同時に、マルチキャスト グループをより柔軟に選択できるようになりました。ホストは、明示的に要求された送信元からのトラフィックのみを受信します。

変更されたコマンドはありません。

変更された画面はありません。

リモート アクセス機能

IPv6 VLAN マッピング

ASA VPN コードは IPv6 の機能を完全にサポートするよう強化されました。管理者による設定の変更は不要です。

クライアントレス SSL VPN の SharePoint 2013 サポート

SharePoint のこの新バージョンが新たにサポートされ、事前定義されているアプリケーションテンプレートが追加されました。

次の画面が変更されました。[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Portal] > [Bookmarks] > [Add Bookmark List] > [Select Bookmark Type] > [Predefined application templates]

クライアントレス VPN のダイナミック ブックマーク

ブックマークを使用する際のマクロのリストに CSCO_WEBVPN_DYNAMIC_URL と CSCO_WEBVPN_MACROLIST が追加されました。これらのマクロは、管理者が複数のブックマーク リンクを生成できる単一のブックマークをクライアントレス ユーザのポータル上で設定し、ブックマークを静的に設定して LDAP 属性マップが提供する任意のサイズのリストを利用できるようにします。

次の画面が変更されました。[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Portal] > [Bookmarks]。

VPN バナーの長さの増加

VPN リモート クライアント ポータルでのログイン後に表示される全体的なバナーの長さが、500 ~ 4000 文字に増加しました。

次のコマンドが変更されました。banner(グループ ポリシー)

次の画面が変更されました。[Configuration] > [Remote Access VPN] > .... [Add/Edit Internal Group Policy] > [General Parameters] > [Banner]。

ASA 5506-X、5506W-X、5506H-X および 5508-X の Cisco Easy VPN クライアント

このリリースは、ASA 5506-X シリーズでの Cisco Easy VPN の使用をサポートし、かつ ASA 5508-X 用の Cisco Easy VPN をサポートします。ASA は、VPN ヘッドエンドに接続すると VPN ハードウェア クライアントとして機能します。ASA の背後にある Easy VPN ポート上のデバイス(コンピュータ、プリンタなど)は、VPN 経由で通信できます。個別に VPN クライアントを実行する必要はありません。ASA インターフェイス 1 つのみで Easy VPN ポートとして機能できます。このポートに複数のデバイスを接続するには、レイヤ 2 スイッチをこのポート上に配置してから、このスイッチにデバイスを接続します。

次のコマンドが導入されました。vpnclient enable、vpnclient server、vpnclient mode、vpnclient username、vpnclient ipsec-over-tcp、vpnclient management、vpnclient vpngroup、vpnclient trustpoint、vpnclient nem-st-autoconnect、vpnclient mac-exempt

次の画面が導入されました。[Configuration] > [VPN] > [Easy VPN Remote]

モニタリング機能

syslog メッセージ内の無効なユーザ名の表示

失敗したログイン試行の syslog メッセージに無効なユーザ名を表示できるようになりました。デフォルト設定では、ユーザ名が無効な場合、または有効かどうか不明な場合、ユーザ名は非表示です。たとえば、ユーザが誤ってユーザ名の代わりにパスワードを入力した場合、結果として生成される syslog メッセージで「ユーザ名」を隠すのが安全です。ログインに関するトラブルシューティングに役立てるために、無効なユーザ名を表示することもできます。

次のコマンドが導入されました。 no logging hide username

次の画面が変更されました。[Configuration] > [Device Management] > [Logging] > [Syslog Setup]。

この機能は、9.2(4) と 9.3(3)でも使用できます。

REST API の機能

REST API バージョン 1.2.1

REST API バージョン 1.2.1 のサポートが追加されました。

バージョン 9.4 の新機能

ASA 9.4(4.5)/ASDM 7.6(2) の新機能

リリース:2017年4月3日


(注)  

バージョン 9.4(4) は、バグ CSCvd78303 のため、Cisco.com から削除されました。


このリリースに新機能はありません。

ASA 9.4(3)/ASDM 7.6(1) の新機能

リリース:2016年4月25日

機能

説明

ファイアウォール機能

ルートの収束に対する接続ホールドダウン タイムアウト。

接続で使用されているルートがもう存在していない、または非アクティブになったときに、システムが接続を保持する時間を設定できるようになりました。このホールドダウン期間内にルートがアクティブにならない場合、接続は解放されます。ルートの収束がさらに迅速に行われるようにホールドダウン タイマーを短縮することができます。ただし、ほとんどのネットワークでは、ルートのフラッピングを防止するためにデフォルトの 15 秒が適切です。

次のコマンドが追加されました。timeout conn-holddown

次の画面が変更されました。[Configuration] > [Firewall] > [Advanced] > [Global Timeouts]

リモート アクセス機能

設定可能な SSH 暗号機能と HMAC アルゴリズム

ユーザは SSH 暗号化を管理するときに暗号化モードを選択し、さまざまなキー交換アルゴリズムに対して HMAC と暗号化を設定できます。

次のコマンドが導入されました。ssh cipher encryption、ssh cipher integrity

次の画面が導入されました。[Configuration] > [Device Management] > [Advanced] > [SSH Ciphers]

9.1(7) でも使用可能です。

IPv6 の HTTP リダイレクト サポート

ASDM アクセスまたはクライアントレス SSL VPN 用の HTTPS に HTTP リダイレクトを有効にすると、IPv6 アドレスへ送信されるトラフィックもリダイレクトできるようになりました。

次のコマンドに機能が追加されました。http redirect

次の画面に機能が追加されました。[Configuration] > [Device Management] > [HTTP Redirect]

9.1(7) でも使用可能です。

モニタリング機能

フェールオーバーの SNMP engineID の同期

フェールオーバー ペアでは、一対の ASA の SNMP engineID は両方のユニットで同期されます。ASA ごとに、同期された engineID、ネイティブ engineID、およびリモート engineID による engineID が 3 セット維持されます。

SNMPv3 ユーザは、ローカライズされた snmp-server user 認証とプライバシー オプションを保存するためのプロファイルを作成するときに ASA の engineID も指定できます。ユーザがネイティブ engineID を指定しない場合、show running config 出力に engineID がユーザごとに 2 つずつ表示されます。

次のコマンドが変更されました。snmp-server user

ASDM サポートはありません。

show tech support の強化

show tech support コマンドは現在次のとおりです。

  • dir all-filesystems の出力が含まれます。この出力は次の場合に役立つことがあります。

    • SSL VPN コンフィギュレーション:必要なリソースが ASA にあるかどうかを確認します。

    • クラッシュ:クラッシュ ファイルの日付のタイムスタンプと存在を確認します。

  • show kernel cgroup-controller detail の出力の削除:このコマンド出力は show tech-support detail の出力内に残されます。

次のコマンドが変更されました。show tech support

追加または変更された画面はありません。

9.1(7) でも使用可能です。

CISCO-ENHANCED-MEMPOOL-MIB の cempMemPoolTable のサポート

CISCO-ENHANCED-MEMPOOL-MIB の cempMemPoolTable がサポートされました。これは、管理型システムのすべての物理エンティティのメモリプール モニタリング エントリのテーブルです。

(注)   

CISCO-ENHANCED-MEMPOOL-MIB は 64 ビットのカウンタを使用して、プラットフォーム上の 4 GB 以上のメモリのレポーティングをサポートします。

追加または変更されたコマンドはありません。

追加または変更された画面はありません。

9.1(7) でも使用可能です。

ASA 9.4(2.145)/ASDM 7.5(1) の新機能

リリース:2015年11月13日

このリリースに新機能はありません。


(注)  

このリリースは Firepower 9300 ASA セキュリティ モジュールのみをサポートします。


ASA 9.4(2)/ASDM 7.5(1) の新機能

リリース:2015年9月24日

このリリースに新機能はありません。


(注)  

ASAv 9.4(1.200) の各機能はこのリリースには含まれません。



(注)  

このバージョンは ISA 3000 をサポートしません。


ASA 9.4(1.225)/ASDM 7.5(1) の新機能

リリース:2015年9月17日


(注)  

このリリースは Cisco ISA 3000 のみをサポートします。


機能

説明

プラットフォーム機能

Cisco ISA 3000 サポート

Cisco ISA 3000 は、DIN レールにマウントされた高耐久型の産業用セキュリティ アプライアンスです。ギガビット イーサネットと専用管理ポートを備えた、低消費電型ファンレス デバイスです。このモデルには ASA Firepower モジュールが事前にインストールされています。このモデルの特別な機能として、カスタマイズされたトランスペアレント モードのデフォルト設定と、電源喪失時もトラフィックがアプライアンスを通過することを可能にするハードウェア バイパス機能があります。

次のコマンドが導入されました。hardware-bypass、hardware-bypass manual、hardware-bypass boot-delay、show hardware-bypass

次の画面が導入されました。[Configuration] > [Device Management] > [Hardware Bypass]

hardware-bypass boot-delay コマンドは ASDM 7.5(1) では使用できません。

この機能は、バージョン 9.5(1) では使用できません。

ASA 9.4(1.152)/ASDM 7.4(3) の新機能

リリース:2015年7月13日


(注)  

このリリースは、Firepower 9300 の ASA のみをサポートします。


機能

説明

プラットフォーム機能

Firepower 9300 の ASA セキュリティ モジュール

Firepower 9300 の ASA セキュリティ モジュールに ASA を導入しました。

(注)   

Firepower Chassis Manager 1.1.1 は Firepower 9300 の ASA セキュリティ モジュールの VPN 機能(サイト間またはリモート アクセス)を一切サポートしません。

ハイ アベイラビリティ機能

Firepower 9300 用シャーシ内 ASA クラスタリング

FirePOWER 9300 シャーシ内では、最大 3 つセキュリティ モジュールをクラスタ化できます。シャーシ内のすべてのモジュールは、クラスタに属している必要があります。

次のコマンドを導入しました。cluster replication delay、debug service-module、management-only individual、show cluster chassis

次の画面を導入しました。[Configuration] > [Device Management] > [High Availability and Scalability] > [ASA Cluster Replication]

ライセンシング機能

Firepower 9300 の ASA のシスコ スマート ソフトウェア ライセンシング

FirePOWER 9300 に ASA のシスコ スマート ソフトウェア ライセンシングが導入されました。

次のコマンドが導入されました。feature strong-encryption、feature mobile-sp、feature context

次の画面が変更されました。[Configuration] > [Device Management] > [Licensing] > [Smart License]

ASAv 9.4(1.200)/ASDM 7.4(2) の新機能

リリース:2015年5月12日


(注)  

このリリースは、ASAv のみをサポートします。


機能

説明

プラットフォーム機能

VMware 上の ASAv では vCenter サポートは不要になりました。

vCenter なしで、vSphere クライアントまたは OVFTool のデイゼロ設定を使用して ASAv を VMware 上にインストールできるようになりました。

Amazon Web Services(AWS)の ASAv

Amazon Web Services(AWS)とデイゼロ設定で ASAv を使用できるようになりました。

(注)   

Amazon Web Services は ASAv10 と ASAv30 のモデルのみをサポートします。

ASDM 7.4(2) の新機能

リリース:2015年5月6日

機能

説明

リモート アクセス機能

AnyConnect バージョン 4.1 のサポート

ASDM は AnyConnect バージョン 4.1 をサポートするようになりました。

次の画面が変更されました。[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [AnyConnect Client Profile]([AMP Enabler Service Profile] という新しいプロファイル)

ASA 9.4(1)/ASDM 7.4(1) の新機能

リリース:2015年3月30日

機能

説明

プラットフォーム機能

ASA 5506W-X、ASA 5506H-X、ASA 5508-X、ASA 5516-X

ワイヤレス アクセス ポイントを内蔵した ASA 5506W-X、強化された ASA 5506H-X、ASA 5508-X、ASA 5516-X の各モデルが導入されました。

hw-module module wlan recover imagehw-module module wlan recover image の各コマンドが導入されました。

変更された ASDM 画面はありません。

認定機能

国防総省(DoD)統一機能規則(UCR)2013 証明書

ASA は、DoD UCR 2013 規則を遵守するように更新されています。この証明書に追加された次の機能については、この表の行を参照してください。

  • 定期的な証明書認証

  • 証明書有効期限のアラート

  • 基本制約 CA フラグの適用

  • 証明書コンフィギュレーションの ASDM ユーザ名

  • ASDM 管理認証

  • IKEv2 無効セレクタの通知設定

  • 16 進数の IKEv2 事前共有キー

FIPS 140-2 認証のコンプライアンス更新

ASA で FIPS モードを有効にすると、ASA が FIPS 140-2 に準拠するように追加制限が設定されます。次の制限があります。

  • RSA および DH キー サイズの制限:RSA および DH キー 2K(2048 ビット)以上のみが許可されます。DH の場合、これはグループ 1(768 ビット)、2(1024 ビット)、5(1536 ビット)が許可されないことを意味します。

    (注)   

    キー サイズの制限により、FIPS での IKEv1 の使用が無効になります。

  • デジタル署名のハッシュ アルゴリズムの制限:SHA 256 以上のみが許可されます。

  • SSH 暗号の制限:許可された暗号は aes128-cbc または aes256-cbc です。MAC は SHA1 です。

ASA の FIPS 認証ステータスを表示するには、次の URL を参照してください。

http://csrc.nist.gov/groups/STM/cmvp/documents/140-1/140InProcess.pdf

この PDF は毎週更新されます。

詳細については、Computer Security Division Computer Security Resource Center のサイトを参照してください。

http://csrc.nist.gov/groups/STM/cmvp/inprocess.html

fips enable コマンドが変更されました。

ファイアウォール機能

複数のコアを搭載した ASA での SIP インスペクションのパフォーマンスが向上。

複数のコアで ASA を通過する SIP シグナリングチングが複数存在する場合の SIP インスペクション パフォーマンスが向上しました。ただし、TLS、電話、または IME プロキシを使用する場合、パフォーマンスの向上は見られません。

変更されたコマンドはありません。

変更された画面はありません。

電話プロキシおよび UC-IME プロキシに対する SIP インスペクションのサポートが削除されました。

SIP インスペクションを設定する際、電話プロキシまたは UC-IME プロキシは使用できなくなります。暗号化されたトラフィックを検査するには、TLS プロキシを使用します。

phone-proxyuc-ime の各コマンドが削除されました。inspect sip コマンドから phone-proxy キーワードと uc-ime キーワードが削除されました。

[Select SIP Inspect Map] サービス ポリシー ダイアログボックスから [Phone Proxy] と [UC-IME Proxy] が削除されました。

ISystemMapper UUID メッセージ RemoteGetClassObject opnum3 の DCERPC インスペクションのサポート。

ASA は、リリース 8.3 で EPM 以外の DCERPC メッセージのサポートを開始し、ISystemMapper UUID メッセージ RemoteCreateInstance opnum4 をサポートしています。この変更により、RemoteGetClassObject opnum3 メッセージまでサポートが拡張されます。

変更されたコマンドはありません。

変更された画面はありません。

コンテキストごとに無制限の SNMP サーバ トラップ ホスト

ASA では、コンテキストごとに SNMP サーバのトラップ ホスト数の制限がありません。show snmp-server host コマンドの出力には ASA をポーリングしているアクティブなホストと、静的に設定されたホストのみが表示されます。

show snmp-server host コマンドが変更されました。

変更された画面はありません。

VXLAN パケット インスペクション

ASA は、標準形式に準拠するために VXLAN ヘッダーを検査できます。

inspect vxlan コマンドが導入されました。

次の画面が変更されました。[Configuration] > [Firewall] > [Service Policy Rules] > [Add Service Policy Rule] > [Rule Actions] > [Protocol Inspection]

IPv6 の DHCP モニタリング

IPv6 の DHCP 統計情報および DHCP バインディングをモニタできます。

次の画面が導入されました。

[Monitoring] > [Interfaces] > [DHCP] > [IPV6 DHCP Statistics Monitoring] > [Interfaces] > [DHCP] > [IPV6 DHCP Binding]

ESMTP インスペクションの TLS セッションでのデフォルトの動作が変更されました。

ESMTP インスペクションのデフォルトが、検査されない、TLS セッションを許可するように変更されました。ただし、このデフォルトは新しい、または再イメージングされたシステムに適用されます。no allow-tls を含むシステムをアップグレードする場合、このコマンドは変更されません。

デフォルトの動作の変更は、古いバージョンでも行われました:8.4(7.25)、8.5(1.23)、8.6(1.16)、8.7(1.15)、9.0(4.28)、9.1(6.1)、9.2(3.2)、9.3(1.2)、9.3(2.2)。

ハイ アベイラビリティ機能

スタンバイ ASA での syslog 生成のブロック

スタンバイ装置で特定の syslog の生成をブロックできます。

no logging message syslog-id standby コマンドが導入されました。

変更された画面はありません。

インターフェイスごとに ASA クラスタのヘルス モニタリングをイネーブルまたはディセーブル

ヘルス モニタリングは、インターフェイスごとにイネーブルまたはディセーブルにすることができます。デフォルトでは、ポートチャネル、冗長、および単一のすべての物理インターフェイスでヘルス モニタリングがイネーブルになっています。ヘルス モニタリングは VLAN サブインターフェイス、または VNI や BVI などの仮想インターフェイスでは実行されません。クラスタ制御リンクのモニタリングは設定できません。このリンクは常にモニタされています。たとえば、管理インターフェイスなど、必須以外のインターフェイスのヘルス モニタリングをディセーブルにすることができます。

health-check monitor-interface コマンドが導入されました。

次の画面が変更されました。[Configuration] > [Device Management] > [High Availability and Scalability] > [ASA Cluster] > [Cluster Interface Health Monitoring]

DHCP リレーの ASA クラスタリングのサポート

ASA クラスタで DHCP リレーを設定できます。クライアントの DHCP 要求は、クライアントの MAC アドレスのハッシュを使用してクラスタ メンバにロードバランスされます。DHCP クライアントおよびサーバ機能はサポートされていません。

debug cluster dhcp-relay コマンドが導入されました。

変更された画面はありません。

ASA クラスタリングでの SIP インスペクションのサポート

ASA クラスタで SIP インスペクションを設定できます。制御フローは、任意のユニットで作成できますが(ロード バランシングのため)、その子データ フローは同じユニットに存在する必要があります。TLS プロキシ設定はサポートされていません。

show cluster service-policy コマンドが導入されました。

変更された画面はありません。

ルーティング機能

ポリシーベースルーティング

ポリシーベース ルーティング(PBR)は、ACL を使用して指定された QoS でトラフィックが特定のパスを経由するために使用するメカニズムです。ACL では、パケットのレイヤ 3 および レイヤ4 ヘッダーの内容に基づいてトラフィックを分類できます。このソリューションにより、管理者は区別されたトラフィックに QoS を提供し、低帯域幅、低コストの永続パス、高帯域幅、高コストのスイッチド パスの間でインタラクティブ トラフィックとバッチ トラフィックを分散でき、インターネット サービス プロバイダーとその他の組織は明確に定義されたインターネット接続を介して一連のさまざまなユーザから送信されるトラフィックをルーティングできます。

set ip next-hop verify-availability、set ip next-hop、set ip next-hop recursive、set interface、set ip default next-hop、set default interface、set ip df、set ip dscp、policy-route route-map、show policy-route、debug policy-route の各コマンドが導入されました。

次の画面が導入または変更されました。

[Configuration] > [Device Setup] > [Routing] > [Route Maps] > [Policy Based Routing]
[Configuration] > [Device Setup] > [Routing] > [Interface Settings] > [Interfaces]

インターフェイス機能

VXLAN のサポート

VXLAN のサポートが追加されました(VXLAN トンネル エンドポイント(VTEP)のサポートを含む)。ASA またはセキュリティ コンテキストごとに 1 つの VTEP 送信元インターフェイスを定義できます。

次のコマンドが導入されました。debug vxlan、default-mcast-group、encapsulation vxlan、inspect vxlan、interface vni、mcast-group、nve、nve-only、peer ip、segment-id、show arp vtep-mapping、show interface vni、show mac-address-table vtep-mapping、show nve、show vni vlan-mapping、source-interface、vtep-nve、vxlan port

次の画面が導入されました。

[Configuration] > [Device Setup] > [Interface Settings] > [Interfaces] > [Add] > [VNI Interface]
[Configuration] > [Device Setup] > [Interface Settings] > [VXLAN]

モニタリング機能

EEM のメモリ トラッキング

メモリの割り当てとメモリの使用状況をログに記録してメモリ ロギングのラップ イベントに応答するための新しいデバッグ機能が追加されました。

次のコマンドが導入または変更されました。memory logging、show memory logging、show memory logging include、event memory-logging-wrap

次の画面が変更されました。[Configuration] > [Device Management] > [Advanced] > [Embedded Event Manager] > [Add Event Manager Applet] > [Add Event Manager Applet Event]

トラブルシューティングのクラッシュ

show tech-support コマンドの出力と show crashinfo コマンドの出力には、生成された syslog の最新 50 行が含まれます。これらの結果を表示できるようにするには、logging buffer コマンドをイネーブルにする必要があります。

リモート アクセス機能

ECDHE-ECDSA 暗号のサポート

TLSv1.2 では、次の暗号のサポートが追加されています。

  • ECDHE-ECDSA-AES256-GCM-SHA384

  • ECDHE-RSA-AES256-GCM-SHA384

  • DHE-RSA-AES256-GCM-SHA384

  • AES256-GCM-SHA384

  • ECDHE-ECDSA-AES256-SHA384

  • ECDHE-RSA-AES256-SHA384

  • ECDHE-ECDSA-AES128-GCM-SHA256

  • ECDHE-RSA-AES128-GCM-SHA256

  • DHE-RSA-AES128-GCM-SHA256

  • RSA-AES128-GCM-SHA256

  • ECDHE-ECDSA-AES128-SHA256

  • ECDHE-RSA-AES128-SHA256

    (注)   

    優先度が最も高いのは ECDSA 暗号および DHE 暗号です。

ssl ecdh-group コマンドが導入されました。

次の画面が変更されました。[Configuration] > [Remote Access VPN] > [Advanced] > [SSL Settings]。

クライアントレス SSL VPN セッション Cookie アクセスの制限

クライアントレス SSL VPN セッション Cookie が JavaScript などのクライアント側のスクリプトを介してサードパーティからアクセスされないようにすることができます。

(注)   

この機能は、Cisco TAC から使用を推奨された場合のみ使用してください。このコマンドをイネーブルにすると、次のクライアントレス SSL VPN 機能が警告なしで動作しなくなるため、セキュリティ上のリスクが発生します。

  • Java プラグイン

  • Java リライタ

  • ポートフォワーディング。

  • ファイルブラウザ

  • デスクトップ アプリケーション(Microsoft Office アプリケーションなど)を必要とする Sharepoint 機能

  • AnyConnect Web 起動

  • Citrix Receiver、XenDesktop、および Xenon

  • その他の非ブラウザ ベース アプリケーションおよびブラウザプラグインベースのアプリケーション

http-only-cookie コマンドが導入されました。

次の画面が変更されました。[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Advanced] > [HTTP Cookie]。

この機能は、9.2(3) にもあります。

セキュリティ グループ タギングを使用した仮想デスクトップのアクセス制御

ASA では、内部アプリケーションおよび Web サイトへのクライアントレス SSL リモート アクセス用にセキュリティ グループ タギングベースのポリシー制御をサポートしています。この機能では、配信コントローラおよび ASA のコンテンツ変換エンジンとして XenDesktop による Citrix の仮想デスクトップ インフラストラクチャ(VDI)を使用します。

詳細については、次の Citrix 製品のマニュアルを参照してください。

クライアントレスSSL VPN に OWA 2013 機能のサポートを追加

クライアントレス SSL VPN では、以下を除き、OWA 2013 の新機能をサポートしています。

  • タブレットおよびスマートフォンのサポート

  • オフライン モード

  • Active Directory Federation Services(AD FS)2.0. ASA および AD FS 2.0 は、暗号化プロトコルをネゴシエートできません。

変更されたコマンドはありません。

変更された画面はありません。

クライアントレスSSL VPN に Citrix XenDesktop 7.5 および StoreFront 2.5 のサポートを追加

クライアントレス SSL VPN では、XenDesktop 7.5 および StoreFront 2.5 のアクセスをサポートしています。

XenDesktop 7.5 の機能の完全なリストと詳細については、http://support.citrix.com/proddocs/topic/xenapp-xendesktop-75/cds-75-about-whats-new.html を参照してください。

StoreFront 2.5 の機能の完全なリストと詳細については、http://support.citrix.com/proddocs/topic/dws-storefront-25/dws-about.html を参照してください。

変更されたコマンドはありません。

変更された画面はありません。

定期的な証明書認証

定期的な証明書認証を有効にすると、ASA は、VPN クライアントから受信した証明書チェーンを保存し、それらを定期的に再認証します。

periodic-authentication certificate、revocation-check, show vpn-sessiondb の各コマンドが導入または変更されました。

次の画面が変更されました。

[Configuration] > [Device Management] > [Certificate Management] > [Identity Certificates]
[Configuration] > [Device Management] > [Certificate Management] > [CA Certificates]

証明書有効期限のアラート

ASA は、トラスト ポイントですべての CA および ID の証明書の有効期限について 24 時間ごとにチェックします。証明書の有効期限がまもなく切れる場合は、syslog がアラートとして発行されます。リマインダおよび繰り返しの間隔を設定できます。デフォルトでは、リマインダは有効期限の 60 日前に開始し、7 日ごとに繰り返されます。

crypto ca alerts expiration コマンドが導入または変更されました。

次の画面が変更されました。

[Configuration] > [Device Management] > [Certificate Management] > [Identity Certificates]
[Configuration] > [Device Management] > [Certificate Management] > [CA Certificates]

基本制約 CA フラグの適用

デフォルトでは、CA フラグのない証明書を CA 証明書として ASA にインストールできなくなりました。基本制約拡張は、証明書のサブジェクトが CA で、この証明書を含む有効な認証パスの最大深さかどうかを示すものです。必要に応じて、これらの証明書のインストールを許可するように ASA を設定できます。

ca-check コマンドが導入されました。

次の画面が変更されました。[Configuration] > [Device Management] > [Certificate Management] > [CA Certificates]

IKEv2 無効セレクタの通知設定

現在、ASA が SA 上で着信パケットを受信し、そのパケットのヘッダー フィールドが SA 用のセレクタに適合しなかった場合、ASA はそのパケットを廃棄します。ピアへの IKEv2 通知の送信をイネーブルまたはディセーブルにすることができます。この通知の送信はデフォルトで無効になっています。

(注)   

この機能は、AnyConnect 3.1.06060 以降でサポートされています。

crypto ikev2 notify invalid-selectors コマンドが導入されました。

16 進数の IKEv2 事前共有キー

16 進数の IKEv2 事前共有キーを設定できます。

ikev2 local-authentication pre-shared-key hexikev2 remote-authentication pre-shared-key hex の各コマンドが導入されました。

管理機能

ASDM 管理認証

HTTP アクセスと Telnet および SSH アクセス別に管理認証を設定できるようになりました。

次のコマンドが導入されました。 aaa authorization http console

次の画面が変更されました。[Configuration] > [Device Management] > [Users/AAA] > [AAA Access] > [Authorization]

証明書コンフィギュレーションの ASDM ユーザ名

ASDM の証明書認証http authentication-certificateを有効にすると、ASDM が証明書からユーザ名を抽出する方法を設定できます。また、ログイン プロンプトでユーザ名を事前に入力して表示できます。

次のコマンドが導入されました。http username-from-certificate

次の画面が導入されました。[Configuration] > [Device Management] > [Management Access] > [HTTP Certificate Rule]

CLI で ? の入力時にヘルプを有効または無効にするための terminal interactive コマンド

通常、ASA CLI で ? を入力すると、コマンド ヘルプが表示されます。コマンド内にテキストとして ? を入力できるようにするには(たとえば、URL の一部として ? を含めるには)、no terminal interactive コマンドを使用してインタラクティブなヘルプを無効にします。

次のコマンドが導入されました。terminal interactive

REST API の機能

REST API バージョン 1.1

REST API バージョン 1.1 のサポートが追加されました。

トークンベース認証が(既存の基本認証に加えて)サポートされるようになりました。

クライアントは特定の URL にログイン要求を送信でき、成功すると、(応答ヘッダーに)トークンが返されます。クライアントはさらなる API コールを送信するために、(特別な要求ヘッダー内で)このトークンを使用します。トークンは明示的に無効にするまで、またはアイドル/セッション タイムアウトに到達するまで有効です。

マルチ コンテキスト モードの限定的なサポート

REST API エージェントをマルチ コンテキスト モードで有効にできるようになりました。CLI コマンドはシステム コンテキスト モードでのみ発行できます(シングル コンテキスト モードと同じコマンド)。

次のようにパススルー CLI の API コマンドを使用して、コンテキストを設定できます。


https://<asa_admin_context_ip>/api/cli?context=<context_name>

context パラメータがない場合、要求は admin コンテキストに向けられたものとみなされます。

高度な(粒状の)インスペクション