プラットフォーム機能

Firepower 1010 用の ASA

Firepower 1010 用の ASA を導入しました。このデスクトップモデルには、組み込みハードウェアスイッチと Power on Ethernet+（PoE+）のサポートが含まれています。

新規/変更されたコマンド：boot system 、clock timezone 、connect fxos admin 、forward interface 、interface vlan 、power inline 、show counters 、show environment 、show interface 、show inventory 、show power inline 、show switch mac-address-table 、show switch vlan 、switchport 、switchport access vlan 、switchport mode 、switchport trunk allowed vlan

新しい/変更された画面：

• [Configuration] > [Device Setup] > [Interface Settings] > [Interfaces] > [Edit] > [Switch Port]

• [Configuration] > [Device Setup] > [Interface Settings] > [Interfaces] > [Edit] > [Power Over Ethernet]

• [Configuration] > [Device Setup] > [Interface Settings] > [Interfaces] > [Add VLAN Interface]

• [Configuration] > [Device Management] > [System Image/Configuration] > [Boot Image/Configuration]

• [Configuration] > [Device Setup] > [System Time] > [Clock]

• [Monitoring] > [Interfaces] > [L2 Switching]

• [Monitoring] > [Interfaces] > [Power Over Ethernet]

Firepower 1120、1140、および 1150 用の ASA

Firepower 1120、1140、および 1150 用の ASA を導入しました。

新規/変更されたコマンド：boot system 、clock timezone 、connect fxos admin 、show counters 、show environment 、show interface 、show inventory

新しい/変更された画面：

• [Configuration] > [Device Management] > [System Image/Configuration] > [Boot Image/Configuration]

• [Configuration] > [Device Setup] > [System Time] > [Clock]

Firepower 2100 アプライアンス モード

Firepower 2100 は、Firepower eXtensible Operating System（FXOS）という基礎となるオペレーティング システムを実行します。Firepower 2100 は、次のモードで実行できます。

• アプライアンス モード（現在はデフォルト）：アプライアンス モードでは、ASA のすべての設定を行うことができます。FXOS CLI からは、高度なトラブルシューティング コマンドのみ使用できます。

• プラットフォーム モード：プラットフォーム モードでは、FXOS で、基本的な動作パラメータとハードウェア インターフェイスの設定を行う必要があります。これらの設定には、インターフェイスの有効化、EtherChannels の確立、NTP、イメージ管理などが含まれます。シャーシマネージャ Web インターフェイスまたは FXOS CLI を使用できます。その後、ASDM または ASA CLI を使用して ASA オペレーティング システムにセキュリティ ポリシーを設定できます。

  9.13(1）にアップグレードしている場合、モードはプラットフォーム モードのままになります。

新規/変更されたコマンド：boot system 、clock timezone 、connect fxos admin 、fxos mode appliance 、show counters 、show environment 、show fxos mode 、show interface 、show inventory

新しい/変更された画面：

• [Configuration] > [Device Management] > [System Image/Configuration] > [Boot Image/Configuration]

• [Configuration] > [Device Setup] > [System Time] > [Clock]

DHCP の予約

ASA DHCP サーバーが DHCP の予約をサポートするようになりました。クライアントの MAC アドレスに基づいて、定義されたアドレスプールから DHCP クライアントにスタティック IP アドレスを割り当てることができます。

新規/変更されたコマンド： dhcpd reserve-address

変更された画面はありません。

ASA 仮想 最小メモリ要件

ASA 仮想 の最小メモリ要件は 2GB です。現在の ASA 仮想 が 2GB 未満のメモリで動作している場合、ASA 仮想 VM のメモリを増やすことなく、以前のバージョンから 9.13(1)にアップグレードすることはできません。また、バージョン 9.13(1) を使用して新しい ASA 仮想 VM を再展開することもできます。

変更されたコマンドはありません。

変更された画面はありません。

ASA 仮想 MSLA サポート

ASA 仮想 は、シスコのマネージド サービス ライセンス契約（MSLA）プログラムをサポートしています。このプログラムは、マネージド ソフトウェア サービスをサード パーティに提供するシスコのお客様およびパートナー向けに設計された、ソフトウェアのライセンスおよび消費のフレームワークです。

MSLA はスマートライセンスの新しい形式で、ライセンス スマート エージェントは時間単位でライセンス権限付与の使用状況を追跡します。

新規/変更されたコマンド：license smart 、mode 、utility 、custom-id 、custom-info 、privacy 、transport type 、transport url 、transport proxy

新規/変更された画面：[Configuration] > [Device Management] > [Licensing] > [Smart Licensing]。

ASA 仮想 柔軟なライセンス

すべての ASA 仮想 ライセンスは、サポートされているすべての ASA 仮想 vCPU/メモリ構成で使用できるようになりました。セキュアクライアント および TLS プロキシのセッション制限は、モデルタイプに関連付けられたプラットフォーム制限ではなく、インストールされた ASA 仮想 プラットフォームの権限付与によって決まります。

新規/変更されたコマンド： show version 、show vm 、show cpu 、show license features

新規/変更された画面：[Configuration] > [Device Management] > [Licensing] > [Smart Licensing]。

AWS の ASA 仮想 での C5 インスタンスのサポート。C4、C3、および M4 インスタンスの拡張サポート

AWS パブリッククラウド上の ASA 仮想 は、C5 インスタンスをサポートするようになりました（c5.large、c5.xlarge、および c5.2xlarge）。

さらに、C4 インスタンス（c4.2xlarge および c4.4xlarge）、C3 インスタンス（c3.2xlarge、c3.4xlarge、および c3.8xlarge）および M4 インスタンス（m4.2xlarge および m4.4xlarge）のサポートが拡張されました。

変更されたコマンドはありません。

変更された画面はありません。

より多くの Azure 仮想マシンサイズをサポートする Microsoft Azure の ASA 仮想

Microsoft Azure パブリッククラウドの ASA 仮想 は、より多くの Linux 仮想マシンサイズをサポートするようになりました。

• Standard_D4、Standard_D4_v2

• Standard_D8_v3

• Standard_DS3、Standard_DS3_v2

• Standard_DS4、Standard_DS4_v2

• Standard_F4、Standard_F4s

• Standard_F8、Standard_F8s

以前のリリースでは、Standard_D3 と Standard_D3_v2 のサイズのみがサポートされていました。

変更されたコマンドはありません。

変更された画面はありません。

DPDK の ASA 仮想 拡張サポート

ASA 仮想 は、Data Plane Development Kit（DPDK）の拡張機能をサポートして、複数の NIC キューのサポートを有効にします。これにより、マルチコア CPU はネットワーク インターフェイスに同時に効率よくサービスを提供できるようになります。

これは、Microsoft Azure と Hyper-v を除くすべての ASA 仮想 ハイパーバイザに適用されます。

変更されたコマンドはありません。

変更された画面はありません。

VMware ESXi 6.7 用の ASA 仮想 サポート

ASA 仮想 仮想プラットフォームは、VMware ESXi 6.7 で動作するホストをサポートしています。vi.ovf および esxi.ovf ファイルに新しい VMware ハードウェア バージョンが追加され、ESXi 6.7 で ASA 仮想 の最適なパフォーマンスと使いやすさを実現しました。

変更されたコマンドはありません。

変更された画面はありません。

ISA 3000 の VLAN 数の増加

Security Plus ライセンスが有効な ISA 3000 について、最大 VLAN 数が 25 から 100 に増えました。

ファイアウォール機能

モバイル端末の場所のロギング（GTP インスペクション）

GTP インスペクションを設定すると、モバイル端末の初期の場所とそれ以降の場所の変更をログに記録できます。場所の変更を追跡すると、不正なローミング請求を識別するのに役立つ場合があります。

新規/変更されたコマンド：location-logging

新規/変更された画面：[Configuration] > [Firewall] > [Objects] > [Inspect Maps] > [GTP]。

GTPv2 および GTPv1 リリース 15 がサポートされています。

システムで GTPv2 3GPP 29.274 V15.5.0 がサポートされるようになりました。GTPv1 の場合、3GPP 29.060 V15.2.0 までサポートしています。新しいサポートでは、2 件のメッセージおよび 53 件の情報要素の認識が追加されています。

変更されたコマンドはありません。

変更された画面はありません。

アドレスとポート変換のマッピング（MAP-T）

アドレスとポートのマッピング (MAP) は、主にサービスプロバイダー (SP) ネットワークで使用する機能です。サービス プロバイダーは、IPv6 専用ネットワーク、MAP ドメインを稼働でき、同時に、IPv4 専用のサブスクライバをサポートし、パブリック インターネット上の IPv4 専用サイトとの通信ニーズに対応します。MAP は、RFC7597、RFC7598、および RFC7599 で定義されています。

新規/変更されたコマンド：basic-mapping-rule 、default-mapping-rule 、ipv4-prefix 、ipv6-prefix 、map-domain 、share-ratio 、show map-domain 、start-port

新規/変更されたコマンド：[Configuration] > [Device Setup] > cgnat map、 [Monitoring] > [Properties] > [Map Domains]

グループごとの AAA サーバー グループとサーバーの制限が増えました。

より多くの AAA サーバー グループを設定できます。シングルコンテキストモードでは、200 個の AAA サーバーグループを設定できます（以前の制限は 100）。マルチコンテキストモードでは、8 個設定できます（以前の制限は 4）。

さらに、マルチコンテキストモードでは、グループごとに 8 台のサーバーを設定できます（以前の制限はグループごとに 4 台のサーバー）。シングル コンテキスト モードのグループごとの制限の 16 は変更されていません。

これらの新しい制限を受け入れるために、次のコマンドが変更されました。aaa-server 、aaa-server host

これらの新しい制限を受け入れるために、AAA 画面が変更されました。

SCCP（Skinny）インスペクションでは、TLS プロキシが廃止されました。

tls-proxy キーワード、および SCCP/Skinny 暗号化インスペクションのサポートは廃止されました。このキーワードは今後のリリースで inspect skinny コマンドから削除される予定です。

VPN 機能

クライアントとしての WebVPN の HSTS サポート

http-headers と呼ばれる WebVPN モードの新しい CLI モードが追加され、WebVPN は、HTTP 参照を HSTS であるホストの HTTPS 参照に変換できるようになりました。ASA からブラウザへの WebVPN 接続用にこのヘッダーを送信する場合、ユーザー エージェントがリソースの埋め込みを許可するかどうかを設定します。

http-headers は次のように設定することも選択できます。x-content-type-options 、x-xss-protection 、hsts-client（クライアントとしての WebVPN の HSTS サポート）、 hsts-server、または content-security-policy 。

新規/変更されたコマンド：webvpn 、show webvpn hsts host (name <hostname&s{253}> | all) 、および clear webvpn hsts host (name <hostname&s{253}> | all) 。

新規/変更された画面：[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Advanced] > [Proxies]。

キー交換用に追加された Diffie-Hellman グループ 15 および 16

Diffie-Hellman グループ 15 および 16 のサポートを追加するために、これらの新しい制限を受け入れるようにいくつかの crypto コマンドが変更されました。

crypto ikev2 policy <index> group <number> および crypto map <map-name> <map-index> set pfs <group>.

show asp table vpn-context 出力の機能強化

デバッグ機能を強化するために、次の VPN コンテキスト カウンタが出力に追加されました。 Lock Err、No SA、IP Ver Err、および Tun Down。

新しい/変更されたコマンド：show asp table vpn-context （出力のみ）。

リモートアクセス VPN の最大セッション制限に達した場合の即時セッション確立

ユーザーが最大セッション（ログイン）制限に達すると、システムはユーザーの最も古いセッションを削除し、削除が完了するのを待ってから新しいセッションを確立します。これにより、最初の試行でユーザーが正常に接続できなくなる可能性があります。この遅延を削除し、削除の完了を待たずにシステムに新しい接続を確立させることができます。

新規/変更されたコマンド：vpn-simultaneous-login-delete-no-delay

新規/変更された画面：[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Group Policies]、[Add/Edit] ダイアログボックス、[General]タブ

ハイ アベイラビリティとスケーラビリティの各機能

デッド接続検出（DCD）の発信側および応答側の情報、およびクラスタ内の DCD のサポート。

デッド接続検出（DCD）を有効にした場合は、show conn detail コマンドを使用して発信側と応答側に関する情報を取得できます。デッド接続検出を使用すると、非アクティブな接続を維持できます。show conn の出力は、エンドポイントがプローブされた頻度が示されます。さらに、DCD がクラスタでサポートされるようになりました。

新しい/変更されたコマンド：show conn （出力のみ）

変更された画面はありません。

クラスタのトラフィック負荷のモニター

クラスタ メンバのトラフィック負荷をモニターできるようになりました。これには、合計接続数、CPU とメモリの使用率、バッファ ドロップなどが含まれます。負荷が高すぎる場合、残りのユニットが負荷を処理できる場合は、ユニットのクラスタリングを手動で無効にするか、外部スイッチのロード バランシングを調整するかを選択できます。この機能は、デフォルトでイネーブルにされています。

新規/変更されたコマンド：debug cluster load-monitor 、load-monitor 、show cluster info load-monitor

新しい/変更された画面：

• [Configuration] > [Device Management] > [High Availability and Scalability] > [ASA Cluster] > [Cluster Configuration] > [Enable Cluster Load Monitor] チェックボックス

• [Monitoring] > [ASA Cluster] > [Cluster Load-Monitoring]

クラスタ結合の高速化

データユニットが制御ユニットと同じ設定の場合、設定の同期をスキップし、結合を高速化します。この機能は、デフォルトでイネーブルにされています。この機能はユニットごとに設定され、制御ユニットからデータユニットには複製されません。

新規/変更されたコマンド：unit join-acceleration 、show cluster info unit-join-acceleration incompatible-config

新規/変更された画面：[Configuration] > [Device Management] > [High Availability and Scalability] > [ASA Cluster] > [Cluster Configuration] > [Enable config sync accelleration] チェックボックス

ルーティング機能

SMTP 設定の機能強化

必要に応じて、プライマリおよびバックアップ インターフェイス名を指定して SMTP サーバーを設定することで、ロギングに使用するルーティング テーブル（管理ルーティング テーブルまたはデータ ルーティング テーブル）を識別するために ASA を有効にできます。インターフェイスが指定されていない場合、ASA は管理ルーティング テーブル ルックアップを参照し、適切なルート エントリが存在しない場合は、データ ルーティング テーブルを参照します。

新規/変更されたコマンド： smtp-server [primary-interface][backup-interface]

NSF 待機タイマーを設定するためのサポート

OSPF ルータは、すべてのネイバーがパケットに含まれているか不明な場合、Hello パケットにアタッチされている EO-TLV に RS ビットを設定することが期待されています。また、隣接関係（アジャセンシー）を維持するためにはルータの再起動が必要です。ただし、RS ビット値は RouterDeadInterval 秒より長くすることはできません。timers nsf wait コマンドは、Hello パケットの RS ビットを RouterDeadInterval 秒未満に設定するために導入されました。

新規/変更されたコマンド： timers nsf wait

TFTP ブロックサイズを設定するためのサポート

TFTP ファイル転送用に固定された一般的なブロックサイズは 512 オクテットです。新しいコマンド tftp blocksize は、より大きなブロックサイズを設定するために導入されました。これにより、TFTP ファイル転送速度が向上します。513 ～ 8192 オクテットのブロックサイズを設定できます。新しいデフォルトのブロックサイズは 1456 オクテットです。このコマンドの no 形式を使用すると、ブロックサイズが古いデフォルト値（512 オクテット）にリセットされます。timers nsf wait コマンドは、Hello パケットの RS ビットを RouterDeadInterval 秒未満に設定するために導入されました。

新規/変更されたコマンド： tftp blocksize

証明書の機能

FIPS ステータスを表示するためのサポート

show running-configuration fips コマンドは、FIPS が有効になっているときにのみ、FIPS のステータスを表示していました。動作状態を確認するために、show fips コマンドが導入されました。このコマンドは、ユーザーが無効状態または有効状態になっている FIPS を有効または無効にしたときに、FIPS のステータスを表示します。このコマンドは、有効化または無効化アクションの後にデバイスを再起動するためのステータスも表示します。

新規/変更されたコマンド： show fips

CRL キャッシュサイズの拡張

大規模な CRL ダウンロードの失敗を防ぐため、キャッシュサイズを拡張し、また、個別の CRL 内のエントリ数の制限を取り除きました。

• マルチ コンテキスト モードの場合、コンテキストごとの合計 CRL キャッシュサイズが 16 MB に増加しました。

• シングル コンテキスト モードの場合、合計 CRL キャッシュサイズが 128 MB に増加しました。

CRL 分散ポイント コマンドの変更

スタティック CDP URL コンフィギュレーション コマンドが削除され、match certificate コマンドに移行しました。

新規/変更されたコマンド：crypto-ca-trustpoint crl と crl url はその他の関連ロジックで削除され、match-certificate override-cdp が導入されました。

新規/変更された画面：[Configuration] > [Device Management] > [Certificate Management] > [CA Certificates]

管理およびトラブルシューティングの機能

Firepower 1000、 Firepower 2100 アプライアンス モードがライセンス評価モードの場合の管理アクセス

ASA には、管理アクセスのみを対象にした 3DES 機能がデフォルトで含まれているので、Smart Software Manager に接続でき、すぐに ASDM を使用することもできます。後に ASA で SSH アクセスを設定する場合は、SSH および SCP を使用することもできます。高度な暗号化を必要とするその他の機能（VPN など）では、最初に Smart Software Manager に登録する必要がある高度暗号化が有効になっている必要があります。

変更されたコマンドはありません。

変更された画面はありません。

追加の NTP 認証アルゴリズム

以前は、NTP 認証では MD5 だけがサポートされていました。ASA は、次のアルゴリズムをサポートするようになりました。

• MD5

• SHA-1

• SHA-256

• SHA-512

• AES-CMAC

新規/変更されたコマンド： ntp authentication-key

新しい/変更された画面：

[Configuration] > [Device Setup] > [System Time] > [NTP] > [Add] ボタン > [Add NTP Server Configuration] ダイアログボックス > [Key Algorithm] ドロップダウンリスト

Firepower 4100/9300 の ASA Security Service Exchange（SSE）テレメトリ サポート

ネットワークで Cisco Success Network を有効にすると、デバイスの使用状況に関する情報と統計情報がシスコに提供され、テクニカル サポートの最適化に使用されます。ASA デバイスで収集されるテレメトリ データには、CPU、メモリ、ディスク、または帯域幅の使用状況、ライセンスの使用状況、設定されている機能リスト、クラスタ/フェールオーバー情報などが含まれます。

新規/変更されたコマンド：service telemetry および show telemetry

新しい/変更された画面：

• [Configuration] > [Device Management] > [Telemetry]

• [Monitoring] > [Properties] > [Telemetry]

事前定義されたリストに応じて最も高いセキュリティから最も低いセキュリティへという順序で SSH 暗号化の暗号を表示

事前定義されたリストに応じて、SSH 暗号化の暗号が最も高いセキュリティから最も低いセキュリティへという順序（中または高）で表示されるようになりました。以前のリリースでは、最も低いものから最も高いものへの順序でリストされており、セキュリティが高い暗号よりも低い暗号が先に表示されていました。

新規/変更されたコマンド： ssh cipher encryption

新しい/変更された画面：

[Configuration] > [Device Management] > [Advanced] > [SSH Ciphers]

show tech-support に追加の出力が含まれている

show tech-support の出力が強化され、次の出力が表示されるようになりました。

show flow-offload info detail

show flow-offload statistics

show asp table socket

新しい/変更されたコマンド：show tech-support （出力のみ）

ドロップ ロケーション情報を含む show-capture asp_drop 出力の機能強化

ASP ドロップ カウンタを使用したトラブルシューティングでは、同じ理由による ASP ドロップがさまざまな場所で使用されている場合は特に、ドロップの正確な位置は不明です。この情報は、ドロップの根本原因を特定する上で重要です。この拡張機能を使用すると、ビルド ターゲット、ASA リリース番号、ハードウェア モデル、および ASLR メモリ テキスト領域などの ASP ドロップの詳細が表示されます（ドロップの位置のデコードが容易になります）。

新規/変更されたコマンド： show-capture asp_drop

変更内容 debug crypto ca

debug crypto ca transactions および debug crypto ca messages オプションは、すべての該当するコンテンツを debug crypto ca コマンド自体に提供するために統合されています。また、使用可能なデバッグ レベルの数が 14 に削減されました。

新規/変更されたコマンド： debug crypto ca

Firepower 1000 および2100 の FXOS 機能

安全消去

安全消去機能は、SSD 自体で特別なツールを使用してもデータを回復できないように、SSD 上のすべてのデータを消去します。デバイスを使用停止する場合は、FXOS で安全に消去する必要があります。

新規/変更された FXOS コマンド：erase secure （local-mgmt）

サポートされているモデル：Firepower 1000 および 2100

設定可能な HTTPS プロトコル

FXOS HTTPS アクセス用の SSL/TLS のバージョンを設定できます。

新規/変更された FXOS コマンド： set https access-protocols

サポートされているモデル：プラットフォーム モードの Firepower 2100

IPSec およびキーリングの FQDN の適用

FXOS では、ピアの FQDN がそのピアによって提示された x.509 証明書の DNS 名と一致する必要があるように、FQDN の適用を設定できます。IPSec の場合、9.13(1) より前に作成された接続を除き、適用はデフォルトで有効になっています。古い接続への適用は手動で有効にする必要があります。キーリングの場合、すべてのホスト名が FQDN である必要があり、ワイルドカードは使用できません。

新規/変更された FXOS コマンド：set dns、set e-mail、 set fqdn-enforce 、set ip 、set ipv6 、set remote-address 、set remote-ike-id

削除されたコマンド：fi-a-ip 、fi-a-ipv6 、fi-b-ip 、fi-b-ipv6

サポートされているモデル：プラットフォーム モードの Firepower 2100

新しい IPSec 暗号とアルゴリズム

FXOS 管理トラフィックを暗号化する IPSec トンネルを設定するために、次の IKE および ESP 暗号とアルゴリズムが追加されました。

• 暗号：aes192。既存の暗号には、aes128、aes256、aes128gcm16 などがあります。

• 疑似乱数関数（PRF)（IKE のみ）：prfsha384、prfsha512、prfsha256。既存の PRF：prfsha1。

• 整合性アルゴリズム：sha256、sha384、sha512、sha1_160。既存のアルゴリズム：sha1。

• Diffie-Hellman グループ：curve25519、ecp256、ecp384、ecp521、modp3072、modp4096。既存のグループ：modp2048。

変更された FXOS コマンドはありません。

サポートされているモデル：プラットフォーム モードの Firepower 2100

SSH 認証の機能拡張

FXOS では、次の SSH サーバー暗号化アルゴリズムが追加されました。

• aes128-gcm@openssh.com

• aes256-gcm@openssh.com

• chacha20-poly@openssh.com

FXOS では、次の SSH サーバーキー交換方式が追加されました。

• diffie-hellman-group14-sha256

• curve25519-sha256

• curve25519-sha256@libssh.org

• ecdh-sha2-nistp256

• ecdh-sha2-nistp384

• ecdh-sha2-nistp521

新規/変更された FXOS コマンド：set ssh-server encrypt-algorithm 、set ssh-server kex-algorithm

サポートされているモデル：プラットフォーム モードの Firepower 2100

X.509 証明書の EDCS キー

FXOS 証明書に EDCS キーを使用できるようになりました。以前は、RSA キーだけがサポートされていました。

新規/変更された FXOS コマンド：set elliptic-curve 、set keypair-type

サポートされているモデル：プラットフォーム モードの Firepower 2100

ユーザー パスワードの改善

次のような FXOS パスワードセキュリティの改善が追加されました。

• ユーザー パスワードには最大 127 文字を使用できます。古い制限は 80 文字でした。

• デフォルトでは、強力なパスワード チェックが有効になっています。

• 管理者パスワードの設定を求めるプロンプトが表示されます。

• パスワードの有効期限切れ。

• パスワード再利用の制限。

• set change-during-interval コマンドを削除し、set change-interval 、set no-change-interval 、および set history-count コマンドの disabled オプションを追加しました。

新規/変更された FXOS コマンド：set change-during-interval 、set expiration-grace-period 、set expiration-warning-period 、set history-count 、set no-change-interval 、set password 、set password-expiration 、set password-reuse-interval

新規/変更された [Firepower Chassis Manager] 画面：

• [System] > [User Management] > [Local Users] > >

• [System] > [User Management] > [Settings] > >

サポートされているモデル：プラットフォーム モードの Firepower 2100

ルーティング機能

マルチキャスト IGMP インターフェイスの状態制限の 500 から 5000 への引き上げ

マルチキャスト IGMP インターフェイスの状態制限が 500 から 5000 に引き上げられました。

新規/変更されたコマンド： igmp limit

ASDM サポートはありません。

トラブルシューティング機能

show tech-support コマンドの拡張

show ssl objects コマンドと show ssl errors コマンドが show tech-support コマンドの出力に追加されました。

新規/変更されたコマンド： show tech-support

変更された画面はありません。

VPN 機能

ネゴシエーション中の SA の最大数を絶対値として 15000 まで、または最大デバイスキャパシティから得られる最大値を設定できるようになりました（以前はパーセンテージのみが許可されていました）。

新規/変更されたコマンド： crypto ikev2 limit max-in-negotiation-sa value

ASDM サポートはありません。

プラットフォーム機能

Firepower 9300 SM-56 のサポート

セキュリティ モジュール、SM-56 を導入しました。

FXOS 2.6.1.157 が必要です。

変更されたコマンドはありません。

変更された画面はありません。

管理機能

SSH キー交換モードの設定は、管理コンテキストに限定されています。

管理コンテキストでは SSH キー交換を設定する必要があります。この設定は、他のすべてのコンテキストによって継承されます。

新規/変更されたコマンド： ssh key-exchange

新規/変更された画面：[Configuration] > [Device Management] > [Management Access] > [ASDM/HTTPS/Telnet/SSH] > [SSH Settings] > [DH Key Exchange]

ASDM 機能

ASDM の OpenJRE バージョン

OracleJRE ではなく、OpenJRE 1.8.x を使用する ASDM のバージョンをインストールできます。OpenJRE バージョンのファイル名は、asdm-openjre-version.bin です。

[Tools] > [Preferences] オプションで ASA FirePOWER モジュールのローカル管理ファイル フォルダを指定

ASA FirePOWER モジュールのローカル管理ファイルをインストールする場所を指定できるようになりました。設定された場所に対して読み取り/書き込み権限を持っている必要があります。

新規/変更された画面：

[Tools] > [Preferences] > SFR Location ウィザード領域

プラットフォーム機能

Firepower 4115、4125、および 4145 向け ASA

Firepower 4115、4125、および 4145 が導入されました。

FXOS 2.6.1 が必要です。

変更されたコマンドはありません。

変更された画面はありません。

ASA および Threat Defense を同じ Firepower 9300 の別のモジュールでサポート

ASA および Threat Defense 論理デバイスを同じ Firepower 9300 上で展開できるようになりました。

FXOS 2.6.1 が必要です。

変更されたコマンドはありません。

変更された画面はありません。

Firepower 9300 SM-40 および SM-48 のサポート

2 つのセキュリティ モジュール、SM-40 および SM-48 が導入されました。

FXOS 2.6.1 が必要です。

変更されたコマンドはありません。

変更された画面はありません。

ファイアウォール機能

GTPv1 リリース 10.12 のサポート

システムで GTPv1 リリース 10.12 がサポートされるようになりました。以前は、リリース 6.1 がサポートされていました。新しいサポートでは、25 件の GTPv1 メッセージおよび 66 件の情報要素の認識が追加されています。

さらに、動作の変更もあります。不明なメッセージ ID が許可されるようになりました。以前は、不明なメッセージはドロップされ、ログに記録されていました。

変更されたコマンドはありません。

変更された画面はありません。

Cisco Umbrella の強化

Cisco Umbrella をバイパスする必要があるローカル ドメイン名を特定できるようになりました。これらのドメインの DNS 要求は、Umbrella を処理せず DNS サーバーに直接送信されます。また、DNS 要求の解決に使用する Umbrella サーバーも特定できるようになりました。さらに、Umbrella サーバーを使用できない場合は、DNS 要求がブロックされないように、Umbrella インスペクション ポリシーをフェール オープンに定義することができます。

新規/変更されたコマンド：local-domain-bypass 、resolver 、umbrella fail-open

新規/変更された画面：[Configuration] > [Firewall] > [Objects] > [Umbrella]、[Configuration] > [Firewall] > [Objects] > [Inspect Maps] > [DNS]

オブジェクト グループの検索しきい値がデフォルトで無効になりました。

これまではオブジェクト グループの検索が有効になると、この機能によりしきい値が適用され、パフォーマンスの低下を防止していました。そのしきい値が、デフォルトで無効になりました。しきい値は、object-group-search threshold コマンドを使用して有効にできます。

新規/変更されたコマンド：object-group-search threshold

次の画面が変更されました：[Configuration] > [Access Rules] > Advanced

NAT のポート ブロック割り当てに対する暫定ログ

NAT のポート ブロックの割り当てを有効にすると、ポート ブロックの作成および削除中にシステムで syslog メッセージが生成されます。暫定ログの記録を有効にすると、指定した間隔でメッセージ 305017 が生成されます。メッセージは、その時点で割り当てられているすべてのアクティブ ポート ブロックをレポートします（プロトコル（ICMP、TCP、UDP）、送信元および宛先インターフェイス、IP アドレス、ポート ブロックを含む）。

新規/変更されたコマンド：xlate block-allocation pba-interim-logging seconds

新規/変更された画面：[Configuration] > [Firewall] > [Advanced] > [PAT Port Block Allocation]

VPN 機能

debug aaa の新しい condition オプション

condition オプションが debug aaa コマンドに追加されました。このオプションを使用すると、グループ名、ユーザー名またはピア IP アドレスに基づいて VPN デバッグをフィルタ処理できます。

新規/変更されたコマンド： debug aaa condition

変更された画面はありません。

IKEv2 での RSA SHA-1 のサポート

IKEv2 の RSA SHA-1 ハッシュ アルゴリズムを使用して署名を生成できるようになりました。

新規/変更されたコマンド： rsa-sig-sha1

新しい/変更された画面：

DES と3DES の両方の暗号化ライセンス、および使用可能な暗号のデフォルトの SSL 設定を表示します。

3DES 暗号化ライセンスの有無にかかわらず、デフォルトの SSL 設定を表示できるようになりました。さらに、デバイスでサポートされているすべての暗号を表示することもできます。

新規/変更されたコマンド： show ssl information

変更された画面はありません。

webVPN HSTS へのサブドメインの追加

ドメイン所有者は、Web ブラウザの HSTS プリロード リストに含める必要があるドメインを送信できます。

新規/変更されたコマンド： hostname(config-webvpn) includesubdomains

新しい/変更された画面：

[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Advanced] > [Proxies] > [Enable HSTS Subdomains] フィールド

ハイ アベイラビリティとスケーラビリティの各機能

サイトごとのクラスタリング用 Gratuitous ARP

ASA では、Gratuitous ARP（GARP）パケットを生成してスイッチング インフラストラクチャを常に最新の状態に保つようになりました。各サイトの優先順位値が最も高いメンバによって、グローバル MAC/IP アドレスの GARP トラフィックが定期的に生成されます。クラスタから送信されたサイトごとの MAC および IP アドレスとパケットがサイト固有の MAC アドレスおよび IP アドレスを使用するのに対し、クラスタで受信したパケットは、グローバル MAC アドレスおよび IP アドレスを使用します。トラフィックがグローバル MAC アドレスから定期的に生成されない場合、グローバル MAC アドレスのスイッチで MAC アドレスのタイムアウトが発生する可能性があります。タイムアウト後にグローバル MAC アドレスへのトラフィックがスイッチング インフラストラクチャ全体にわたりフラッディングされ、これによりパフォーマンスおよびセキュリティ上の問題が発生することがあります。各スパンド EtherChannel のユニットおよびサイト MAC アドレスごとにサイト ID を設定すると、GARP がデフォルトで有効になります。

新規/変更されたコマンド： site-periodic-garp interval

新規/変更された画面：[Configuration] > [Device Management] > [High Availability and Scalability] > [ASA Cluster] > [Cluster Configuration] > [Site Periodic GARP]フィールド

マルチコンテキストモードの HTTPS リソース管理

リソースクラスの非 ASDM HTTPS セッションの最大数を設定できるようになりました。デフォルトでは、制限はコンテキストあたり最大 6 に設定でき、すべてのコンテキスト全体では最大 100 の HTTPS セッションを使用できます。

新規/変更されたコマンド： limit-resource http

ASDM サポートはありません。

ルーティング機能

認証のための OSPF キー チェーンのサポート

OSPF は、MD5 キーを使用してネイバーおよびルート アップデートを認証します。ASA では、MD5 ダイジェストの生成に使用されるキーには関連付けられている有効期間がありませんでした。したがって、キーを定期的に変更するにはユーザーによる介入が必要でした。この制限を打破するために、OSPFv2 は循環キーを使用した MD5 認証をサポートしています。

キー チェーンのキーの承認と送信の有効期間に基づいて、OSPF 認証でキーおよびフォームの隣接関係を承認または拒否します。

新規/変更されたコマンド：accept-lifetime 、area virtual-link authentication 、cryptographic-algorithm 、key 、key chain 、key-string 、ospf authentication 、send-lifetime

新しい/変更された画面：

• [Configuration] > [Device Setup] > [Key Chain]

• [Configuration] > [Device Setup] > [Routing] > [OSPF] > [Setup] > [Authentication]

• [Configuration] > [Device Setup] > [Routing] > [OSPF] > [Setup] > [Virtual Link]

証明書の機能

登録用 URL のローカル CA を設定可能な FQDN

ASA の構成済み FQDN を使用する代わりに設定可能な登録用 URL の FQDN を作成するため、新しい CLI オプションが導入されました。この新しいオプションは、crypto ca server の smpt モードに追加されます。

新規/変更されたコマンド： fqdn

管理、モニタリング、およびトラブルシューティングの機能

enable ログイン時にパスワードの変更が必要になりました

デフォルトの enable のパスワードは空白です。ASA で特権 EXEC モードへのアクセスを試行する場合に、パスワードを 3 文字以上の値に変更することが必須となりました。空白のままにすることはできません。no enable password コマンドは現在サポートされていません。

CLI で aaa authorization exec auto-enable を有効にすると、enable コマンド、login コマンド（特権レベル 2 以上のユーザー）、または SSH/Telnet セッションを使用して特権 EXEC モードにアクセスできます。これらの方法ではすべて、イネーブル パスワードを設定する必要があります。

このパスワード変更の要件は、ASDM のログインには適用されません。ASDM のデフォルトでは、ユーザー名を使用せず enable パスワードを使用してログインすることができます。

新規/変更されたコマンド： enable password

変更された画面はありません。

管理セッションの設定可能な制限

集約、ユーザー単位、およびプロトコル単位の管理セッションの最大数を設定できます。これまでは、セッションの集約数しか設定できませんでした。この機能がコンソール セッションに影響を与えることはありません。マルチ コンテキスト モードでは HTTPS セッションの数を設定することはできず、最大セッション数は 5 で固定されています。また、quota management-session コマンドはシステム コンフィギュレーションでは受け入れられず、代わりにコンテキスト コンフィギュレーションで使用できるようになっています。集約セッションの最大数が 15 になりました。0（無制限）または 16 以上に設定してアップグレードすると、値は 15 に変更されます。

新規/変更されたコマンド：quota management-session 、show quota management-session

新規/変更された画面：[Configuration] > [Device Management] > [Management Access] > [Management Session Quota]

管理権限レベルの変更通知

有効なアクセス（aaa authentication enable console） を認証するか、または特権 EXEC への直接アクセス（aaa authorization exec auto-enable ）を許可すると、前回のログイン以降に割り当てられたアクセス レベルが変更された場合に ASA からユーザーへ通知されるようになりました。

新規/変更されたコマンド： show aaa login-history

新しい/変更された画面：

[Status] バー > [Login History] アイコン

IPv6 での NTP サポート

NTP サーバーに IPv6 アドレスを指定できるようになりました。

新規/変更されたコマンド： ntp server

新規/変更された画面：[Configuration] > [Device Setup] > [System Time] > [NTP] > [Add] ボタン > [Add NTP Server Configuration] ダイアログ ボックス

SSH によるセキュリティの強化

次の SSH セキュリティの改善を参照してください。

• Diffie-Hellman Group 14 SHA256 キー交換のサポート。この設定がデフォルトになりました。以前のデフォルトは Group 1 SHA1 でした。

• HMAC-SHA256 整合性暗号のサポート。デフォルトは、高セキュリティの暗号セット（hmac-sha2-256 のみ）になりました。以前のデフォルトは中程度のセットでした。

新規/変更されたコマンド：ssh cipher integrity 、ssh key-exchange group dh-group14-sha256

新規/変更された画面：

• [Configuration] > [Device Management] > [Management Access] > [ASDM/HTTPS/Telnet/SSH]

• [Configuration] > [Device Management] > [Advanced] > [SSH Ciphers]

非ブラウザベースの HTTPS クライアントによる ASA へのアクセスの許可

非ブラウザベースの HTTPS クライアントが ASA 上の HTTPS サービスにアクセスできるようにすることができます。デフォルトでは、ASDM、CSM、および REST API が許可されています。

新規/変更されたコマンド： http server basic-auth-client

新規/変更された画面：

[Configuration] > [Device Management] > [Management Access] > [HTTP Non-Browser Client Support]

クラスタ制御リンク上でのみのコントロール プレーン パケットのキャプチャ

クラスタ制御リンク（およびデータ プレーン パケットなし）でのみコントロール プレーン パケットをキャプチャできるようになりました。このオプションは、マルチコンテキスト モードのシステムで、ACL を使用してトラフィックを照合できない場合に役立ちます。

新規/変更されたコマンド： capture interface cluster cp-cluster

新規/変更された画面：

[Wizards] > [Packet Capture Wizard] > [Cluster Option]

debug conn コマンド

接続処理を記録する 2 つの履歴メカニズムを提供するために debug conn コマンドが追加されました。1 つ目の履歴リストはスレッドの操作を記録するスレッドごとのリストです。2 つ目の履歴リストは conn グループに操作を記録するリストです。接続が有効になっている場合、接続のロック、ロック解除、削除などの処理イベントが 2 つの履歴リストに記録されます。問題が発生すると、これら 2 つのリストを使用して不正なロジックを判断する処理で確認することができます。

新規/変更されたコマンド： debug conn

show tech-support に追加の出力が含まれている

show tech-support の出力が拡張され、次の出力が表示されるようになりました。

• show ipv6 interface

• show aaa-server

• show fragment

新規/変更されたコマンド： show tech-support

SNMP ウォーク操作中の空きメモリおよび使用済みメモリの統計情報の結果の有効化および無効化の ASDM サポート

CPU リソースが過剰に使用されないようにするには、SNMP ウォーク操作によって収集された空きメモリと使用済みメモリの統計情報のクエリを有効または無効にすることができます。

新規または変更された画面：[Configuration] > [Device Management] > [Management Access] > [SNMP]

マルチコンテキスト モードのシステムの ASDM [Home] ペインに設定可能なグラフ更新間隔

マルチコンテキスト モードのシステムでは、[Home] ペインのグラフの更新間隔の時間を設定できるようになりました。

新規/変更された画面：

[Tools] > [Preferences] > [Graph User time interval in System Context]

プラットフォーム機能

ASA 仮想 用の ASAv VHD カスタムイメージ

シスコが提供する圧縮 VHD イメージを使用して、Azure に独自のカスタム ASA 仮想 イメージを作成できるようになりました。VHD イメージを使用して展開するには、Azure ストレージ アカウントに VHD イメージをアップロードする必要があります。次に、アップロードしたディスクイメージおよび Azure Resource Manager テンプレートを使用して、管理対象イメージを作成できます。Azure テンプレートは、リソースの説明とパラメータの定義が含まれている JSON ファイルです。

Azure 用 ASA 仮想

ASA 仮想 は Azure 中国市場で入手できます。

DPDK の ASA 仮想 サポート

DPDK（データプレーン開発キット）は、ポーリングモードドライバを使用して ASA 仮想 のデータプレーンに統合されています。

FirePOWER モジュール バージョン 6.3 の ISA 3000 サポート

以前サポート対象だったバージョンは FirePOWER 5.4 でした。

ファイアウォール機能

Cisco Umbrella サポート

Cisco Umbrella で定義されている エンタープライズ セキュリティ ポリシーをユーザー接続に適用できるように DNS 要求を Cisco Umbrella へリダイレクトするようにデバイスを設定できます。FQDN に基づいて接続を許可またはブロックできます。または、疑わしい FQDN の場合は Cisco Umbrella インテリジェント プロキシにユーザーをリダイレクトして URL フィルタリングを実行できます。Umbrella の設定は、DNS インスペクション ポリシーに含まれています。

新規/変更されたコマンド：umbrella 、umbrella-global 、token 、public-key 、timeout edns 、dnscrypt 、show service-policy inspect dns detail

新しい/変更された画面：

[Configuration] > [Firewall] > [Objects] > [Umbrella]、[Configuration] > [Firewall] > [Objects] > [Inspect Maps] > [DNS]

MSISDN および選択モードのフィルタリング、アンチリプレイ、およびユーザー スプーフィング保護に対する GTP インスペクションの機能拡張

モバイル ステーション国際サブスクライバ電話番号（MSISDN）または選択モードに基づいて PDP コンテキストの作成メッセージをドロップするように GTP インスペクションを設定できるようになりました。また、アンチリプレイとユーザー スプーフィング保護も実装できます。

新規/変更されたコマンド： anti-replay 、gtp-u-header-check 、match msisdn 、match selection-mode

新規/変更された画面：

[Configuration] > [Firewall] > [Objects] > [Inspection Maps] > [GTP] > [Add/Edit] ダイアログボックス

TCP ステート バイパスのデフォルトのアイドル タイムアウト

TCP ステート バイパス接続のデフォルトのアイドル タイムアウトは 1 時間ではなく、2 分になりました。

カットスルー プロキシ ログイン ページからのログアウト ボタンの削除をサポート

ユーザー ID 情報（AAA 認証 リスナー）を取得するようにカットスルー プロキシを設定している場合、ページからログアウト ボタンを削除できるようになりました。これは、ユーザーが NAT デバイスの背後から接続し、IP アドレスで識別できない場合に便利です。1 人のユーザーがログアウトすると、その IP アドレスのすべてのユーザーがログアウトされます。

新規/変更されたコマンド： aaa authentication listener no-logout-button

ASDM サポートはありません。

9.8(3) でも同様。

Trustsec SXP 接続の設定可能な削除ホールド ダウン タイマー

デフォルトの SXP 接続ホールド ダウン タイマーは 120 秒です。このタイマーを 120 ～ 64000 秒に設定できるようになりました。

新規/変更されたコマンド：cts sxp delete-hold-down period 、show cts sxp connection brief 、show cts sxp connections

ASDM サポートはありません。

9.8(3) でも同様。

トランスペアレント モードでの NAT'ed フローのオフロードをサポート

フロー オフロード（flow-offload enable および set connection advanced-options flow-offload コマンド）を使用している場合、トランスペアレント モードで NAT を必要とするフローをオフロードされたフローに含めることができるようになりました。

Firepower Firepower 4100/9300 ASA 論理デバイスのトランスペアレントモード展開のサポート

Firepower 4100/9300 で ASA を展開するときに、トランスペアレントまたはルーテッド モードを指定できるようになりました。

新規/変更された FXOS コマンド：enter bootstrap-key FIREWALL_MODE 、set value routed 、set value transparent

新規/変更された [Firepower Chassis Manager] 画面：

[Logical Devices] > [Add Device] > [Settings]

新規/変更されたオプション：[Firewall Mode] ドロップダウン リスト

VPN 機能

従来の SAML 認証のサポート

CSCvg65072 の修正とともに ASA を展開すると、SAML のデフォルト動作で、AnyConnect 4.4 または 4.5 ではサポートされていない組み込みブラウザが使用されます。そのため、引き続き AnyConnect 4.4 または 4.5 を使用するには、従来の外部ブラウザで SAML 認証方式を有効にする必要があります。セキュリティ上の制限があるため、このオプションは、AnyConnect 4.6（またはそれ以降）に移行するための一時的な計画の一環としてのみ使用してください。このオプションは近い将来に廃止されます。

新規/変更されたコマンド： saml external-browser

新しい/変更された画面：

[設定（Configuration）] > [リモートアクセスVPN（Remote Access VPN）] > [ネットワーク（クライアント）アクセス（Network (Client) Access）]> [Secure Client AnyConnect接続プロファイル（Secure Client Connection Profiles）] ページ > [接続プロファイル（Connection Profiles）] 領域 > [追加（Add）] ボタン > [Secure Client 接続プロファイルの追加（Add Secure Client AnyConnect Connection Profile）] ダイアログボックス

[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Connection Profiles] > ページ > [Connection Profiles] 領域 > [Add] ボタン > [Add Clientless SSL VPN Connection Profile] ダイアログボックス

新規および変更されたオプション：[SAML External Browser] チェックボックス

9.8(3) でも同様。

セキュアクライアント VPN リモートアクセス接続のための DTLS 1.2 サポート

DTLS 1.2（RFC-6347 で規定）では、現在サポートされている DTLS 1.0（バージョン番号 1.1 は DTLS には使用されません）に加えて、 Cisco Secure クライアントの AnyConnect VPN モジュール もサポートされるようになりました。これは、5506-X、5508-X、および 5516-X を除くすべての ASA モデルに適用され、ASA がクライアントではなく、サーバーとしてのみ機能している場合に適用されます。DTLS 1.2 は、現在のすべての TLS/DTLS 暗号方式と大きな Cookie サイズに加えて、追加の暗号方式をサポートしています。

新規/変更されたコマンド：show run ssl、show vpn-sessiondb detail anyconnectssl cipher、ssl server-version

新規/変更された画面：[Configuration] > [Remote Access VPN] > [Advanced] > [SSL Settings]

ハイ アベイラビリティとスケーラビリティの各機能

Firepower 4100/9300 のクラスタ制御リンクのカスタマイズ可能な IP アドレス

クラスタ制御リンクのデフォルトでは 127.2.0.0/16 ネットワークが使用されます。これで FXOS でクラスタを展開するときにネットワークを設定できます。シャーシは、シャーシ ID およびスロット ID（127.2.chassis_id.slot_id）に基づいて、各ユニットのクラスタ制御リンク インターフェイス IP アドレスを自動生成します。ただし、一部のネットワーク展開では、127.2.0.0/16 トラフィックはパスできません。そのため、ループバック（127.0.0.0/8）およびマルチキャスト（224.0.0.0/4）アドレスを除き、FXOS にクラスタ制御リンクのカスタム /16 サブネットを作成できるようになりました。

新規/変更された FXOS コマンド： set cluster-control-link network

新規/変更された [Firepower Chassis Manager] 画面：

[Logical Devices] > [Add Device] > [Cluster Information]

新規/変更されたオプション：[CCL Subnet IP] フィールド

Firepower 9300 シャーシごとのクラスタ ユニットのパラレル参加

Firepower 9300 の場合、この機能により、シャーシ内のセキュリティ モジュールがクラスタに同時に参加し、トラフィックがモジュール間で均等に分散されるようになります。他のモジュールよりもかなり前に参加したモジュールは、他のモジュールがまだ負荷を共有できないため、必要以上のトラフィックを受信することがあります。

新規/変更されたコマンド： unit parallel-join

新しい/変更された画面：

[Configuration] > [Device Management] > [High Availability and Scalability] > [ASA Cluster]

新規/変更されたオプション：[Parallel Join of Units Per Chassis] エリア

クラスタ インターフェイス デバウンス時間は、ダウン状態から稼働状態に変更するインターフェイスに適用されるようになりました。

インターフェイスのステータス更新が発生すると、ASA はインターフェイスを障害としてマークし、クラスタからユニットを削除するまで health-check monitor-interface debounce-time コマンドまたは ASDM [Configuration] > [Device Management] > [High Availability and Scalability] > [ASA Cluster] 画面で指定されたミリ秒数待機します。この機能は、ダウン状態から稼働状態に変更するインターフェイスに適用されるようになりました。たとえば、ダウン状態から稼働状態に移行している EtherChannel の場合（スイッチがリロードされた、またはスイッチが有効になっている EtherChannel など）、デバウンス時間を長くすることで、他のクラスタ ユニットの方がポートのバンドルが速いという理由だけで、クラスタ ユニット上でインターフェイスがエラー表示されるのを防ぐことができます。

変更されたコマンドはありません。

変更された画面はありません。

Microsoft Azure Government クラウドでの ASA 仮想 のアクティブ/バックアップの高可用性

アクティブな ASA 仮想 の障害が Microsoft Azure パブリッククラウドのバックアップ ASA 仮想 へのシステムの自動フェールオーバーをトリガーするのを許可する、ステートレスなアクティブ/バックアップソリューションが、Azure Government クラウドで使用できるようになりました。

新規または変更されたコマンド：failover cloud

新規または変更された画面：[Configuration] > [Device Management] > [High Availability and Scalability] > [Failover]

[Monitoring] > [Properties] > [Failover] > [Status]

[Monitoring] > [Properties] > [Failover] > [History]

インターフェイス機能

Firepower 2100/4100/9300 のスーパーバイザの関連付けを表示するための show interface ip brief および show ipv6 interface の出力の強化

Firepower 2100/4100/9300 の場合、コマンドの出力は、インターフェイスのスーパーバイザの関連付けステータスを表示するために強化されています。

新規/変更されたコマンド：show interface ip brief、show ipv6 interface

Firepower 2100 では、set lacp-mode コマンドが set port-channel-mode に変更されています。

set lacp-mode コマンドは、Firepower 4100/9300 でのコマンドの使用方法に合わせるために set port-channel-mode に変更されています。

新規/変更された FXOS コマンド： set port-channel-mode

管理、モニタリング、およびトラブルシューティングの機能

Firepower 2100 の NTP 認証のサポート

FXOS で SHA1 NTP サーバー認証を設定できるようになりました。

新規/変更された FXOS コマンド：enable ntp-authentication、set ntp-sha1-key-id、set ntp-sha1-key-string

新規/変更された [Firepower Chassis Manager] 画面：

[Platform Settings] > [NTP]

新規/変更されたオプション：[NTP Server Authentication: Enable] チェックボックス、[Authentication Key] フィールド、[Authentication Value] フィールド

ACL を使用せず IPv6 トラフィックを一致させるためのパケット キャプチャのサポート

capture コマンドの match キーワードを使用する場合、any キーワードは IPv4 トラフィックのみ照合します。IPv4 または IPv6 トラフィックをキャプチャするために、any4 と any6 キーワードを指定できるようになりました。any キーワードでは、引き続き IPv4 トラフィックのみ照合されます。

新規/変更されたコマンド：capture match

ASDM サポートはありません。

Firepower 2100 の FXOS に対する SSH の公開キー認証のサポート

SSH キーを設定し、パスワード認証の代わりに公開キー認証を使用したり、両方の認証を使用したりできます。

新規/変更された FXOS コマンド：set sshkey

Firepower Chassis Manager のサポートはありません。

GRE および IPinIP カプセル化のサポート

内部インターフェイス上でパケット キャプチャを実行するときに、ICMP、UDP、TCP などでの GRE および IPinIP カプセル化を表示するコマンドの出力が強化されています。

新規/変更されたコマンド：show capture

アプリケーションのキャッシュの割り当てを制限するメモリしきい値を有効にするためのサポート

デバイスの管理性と安定性を維持するためのメモリの予約ができるように、特定のメモリしきい値に達するアプリケーション キャッシュの割り当てを制限することができます。

新規/変更されたコマンド：memory threshold enable、show run memory threshold、clear conf memory threshold

RFC 5424 ロギングのタイムスタンプのサポート

RFC 5424 形式に従ってロギング タイムスタンプを有効にできます。

新規/変更されたコマンド：logging timestamp

TCB-IPS のメモリ使用量を表示するためのサポート

TCB-IPS でのアプリケーション レベルのメモリ キャッシュを表示します。

新規/変更されたコマンド：show memory app-cache

SNMP ウォーク操作中の空きメモリおよび使用済みメモリの統計情報の結果を有効または無効にするためのサポート

CPU リソースが過剰に使用されないようにするには、SNMP ウォーク操作によって収集された空きメモリと使用済みメモリの統計情報のクエリを有効または無効にすることができます。

新規/変更されたコマンド：snmp-server enable oid

ASDM サポートはありません。

VPN 機能

従来の SAML 認証のサポート

CSCvg65072 の修正とともに ASA を展開すると、SAML のデフォルト動作で、AnyConnect 4.4 または 4.5 ではサポートされていない組み込みブラウザが使用されます。そのため、引き続き AnyConnect 4.4 または 4.5 を使用するには、従来の外部ブラウザで SAML 認証方式を有効にする必要があります。セキュリティ上の制限があるため、このオプションは、AnyConnect 4.6 に移行するための一時的な計画の一環としてのみ使用してください。このオプションは近い将来に廃止されます。

新しい/変更された画面：

[設定（Configuration）] > [リモートアクセスVPN（Remote Access VPN）] > [ネットワーク（クライアント）アクセス（Network (Client) Access）]セキュアクライアント[接続プロファイル（Connection Profiles）] ページ > [接続プロファイル（Connection Profiles）] 領域 > [追加（Add）] ボタン > [追加（Add）] セキュアクライアント[接続プロファイル（Connection Profile）] ダイアログ

[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Connection Profiles] > ページ > [Connection Profiles] 領域 > [Add] ボタン > [Add Clientless SSL VPN Connection Profile] ダイアログボックス

新規および変更されたオプション：[SAML External Browser] チェックボックス

プラットフォーム機能

VMware ESXi 6.5 用の ASA 仮想 サポート

ASA 仮想プラットフォームは、VMware ESXi 6.5 で動作するホストをサポートしています。vi.ovf および esxi.ovf ファイルに新しい VMware ハードウェアバージョンが追加され、ESXi 6.5 で ASA 仮想 の最適なパフォーマンスと使いやすさを実現しました。

変更されたコマンドはありません。

変更された画面はありません。

VMXNET3 インターフェイス用の ASA 仮想 サポート

ASA 仮想プラットフォームは、VMware ハイパーバイザ上の VMXNET3 インターフェイスをサポートしています。

変更されたコマンドはありません。

変更された画面はありません。

初回起動時の仮想シリアル コンソール用の ASA 仮想 サポート

ASA 仮想 にアクセスして設定するために、仮想 VGA コンソールではなく初回起動時に仮想シリアルコンソールを使用するように ASA 仮想 を設定できるようになりました。

新規または変更されたコマンド：console serial

Microsoft Azure 上での高可用性のために複数の Azure サブスクリプションでユーザー定義ルートを更新する ASA 仮想 サポート

Azure 高可用性構成で ASA 仮想 を構成して、複数の Azure サブスクリプションでユーザー定義ルートを更新できるようになりました。

新規または変更されたコマンド：failover cloud route-table

新規または変更された画面：[Configuration] > [Device Management] > [High Availability and Scalability] > [Failover] > [Route-Table]

VPN 機能

IKEv2 プロトコルに拡張されたリモート アクセス VPN マルチコンテキスト サポート

セキュアクライアント やサードパーティ製標準ベース IPSec IKEv2 VPN クライアントがマルチコンテキストモードで稼働する ASA へのリモートアクセス VPN セッションを確立できるように ASA を設定することをサポートします。

RADIUS サーバーへの IPv6 接続

ASA 9.9.2 では、外部 AAA RADIUS サーバーへの IPv6 接続がサポートされるようになりました。

BVI サポートのための Easy VPN 拡張

Easy VPN は、ブリッジ型仮想インターフェイス（BVI）を内部セキュア インターフェイスとしてサポートするように拡張され、インターフェイスを内部セキュア インターフェイスとして使用するように直接設定できるようになりました。それ以外の場合は、ASA がセキュリティ レベルを使用して、その内部セキュア インターフェイスを選択します。

また、VPN 管理アクセスがその BVI で有効になっている場合、telnet、http、ssh などの管理サービスを BVI で設定できるようになりました。非 VPN 管理アクセスの場合は、ブリッジ グループ メンバ インターフェイスでこれらのサービスの設定を続行する必要があります。

新規または変更されたコマンド：vpnclient secure interface [interface-name]、https、telnet、ssh、management-access

分散型 VPN セッションの改善

• 分散型 S2S VPN のアクティブ セッションとバックアップ セッションのバランスをとるアクティブ セッションの再配布ロジックが改善されました。また、管理者が入力した単一の cluster redistribute vpn-sessiondb コマンドに対し、バランシング プロセスをバックグラウンドで最大 8 回繰り返すことができます。

• クラスタ全体のダイナミック リバース ルート インジェクション（RRI）の処理が改善されました。

ハイ アベイラビリティとスケーラビリティの各機能

内部障害発生後に自動的にクラスタに再参加する

以前は、多くのエラー状態によりクラスタ ユニットがクラスタから削除されていました。この問題を解決した後、手動でクラスタに再参加する必要がありました。現在は、ユニットはデフォルトで 5 分、10 分、および 20 分の間隔でクラスタに自動的に再参加を試行します。これらの値は設定できます。内部の障害には、アプリケーション同期のタイムアウト、矛盾したアプリケーション ステータスなどがあります。

新規または変更されたコマンド：health-check system auto-rejoin、show cluster info auto-join

新規または変更された画面：[Configuration] > [Device Management] > [High Availability and Scalability] > [ASA Cluster] > [Auto Rejoin]

ASA 5000-X シリーズに対してインターフェイスを障害としてマークするために設定可能なデバウンス時間

ASA がインターフェイスを障害が発生していると見なし、ASA 5500-X シリーズ上のクラスタからユニットが削除されるまでのデバウンス時間を設定できるようになりました。この機能により、インターフェイスの障害をより迅速に検出できます。デバウンス時間を短くすると、誤検出の可能性が高くなることに注意してください。インターフェイスのステータス更新が発生すると、ASA はインターフェイスを障害としてマークし、クラスタからユニットを削除するまで指定されたミリ秒数待機します。デフォルトのデバウンス時間は 500 ms で、有効な値の範囲は 300 ms ～ 9 秒です。この機能は以前は Firepower 4100/9300 で使用できました。

新規または変更されたコマンド：health-check monitor-interface debounce-time

新規または変更された画面：[Configuration] > [Device Management] > [High Availability and Scalability] > [ASA Cluster]

クラスタの信頼性の高いトランスポート プロトコル メッセージのトランスポートに関連する統計情報の表示

ユニットごとのクラスタの信頼性の高いトランスポート バッファ使用率を確認して、バッファがコントロール プレーンでいっぱいになったときにパケット ドロップの問題を特定できるようになりました。

新規または変更されたコマンド：show cluster info transport cp detail

ピア ユニットからのフェールオーバー履歴の表示

ピア ユニットから、details キーワードを使用して、フェールオーバー履歴を表示できるようになりました。これには、フェールオーバー状態の変更と状態変更の理由が含まれます。

新規または変更されたコマンド：show failover

インターフェイス機能

シングル コンテキスト モード用の一意の MAC アドレス生成

シングル コンテキスト モードで VLAN サブインターフェイスの一意の MAC アドレス生成を有効にできるようになりました。通常、サブインターフェイスはメイン インターフェイスと同じ MAC アドレスを共有します。IPv6 リンクローカル アドレスは MAC アドレスに基づいて生成されるため、この機能により一意の IPv6 リンクローカル アドレスが許可されます。

新規または変更されたコマンド：mac-address auto

ASDM サポートはありません。

9.8(3) と 9.8(4) も同様です。

管理機能

RSA キー ペアによる 3072 ビット キーのサポート

モジュラス サイズを 3072 に設定できるようになりました。

新規または変更されたコマンド：crypto key generate rsa modulus

新規または変更された画面：[Configuration] > [Device Management] > [Certificate Management] > [Identity Certificates]

FXOS ブートストラップ設定によるイネーブル パスワードの設定

Firepower 4100/9300 に ASA を展開すると、ブートストラップ設定のパスワード設定により、イネーブル パスワードと管理者ユーザー パスワードが設定されるようになりました。FXOS バージョン 2.3.1 が必要です。

モニタリング機能とトラブルシューティング機能

SNMP IPv6 のサポート

ASA は、IPv6 経由での SNMP サーバーとの通信、IPv6 経由でのクエリとトラップの実行許可、既存の MIB に対する IPv6 アドレスのサポートなど、SNMP over IPv6 をサポートするようになりました。RFC 8096 で説明されているように、次の新しい SNMP IPv6 MIB オブジェクトが追加されました。

• ipv6InterfaceTable（OID：1.3.6.1.2.1.4.30）：インターフェイスごとの IPv6 固有の情報が含まれています。

• ipAddressPrefixTable（OID：1.3.6.1.2.1.4.32）：このエンティティによって学習されたすべてのプレフィックスが含まれています。

• ipAddressTable（OID：1.3.6.1.2.1.4.34）：エンティティのインターフェイスに関連するアドレッシング情報が含まれています。

• ipNetToPhysicalTable（OID：1.3.6.1.2.1.4.35）：IP アドレスから物理アドレスへのマッピングが含まれています。

新規または変更されたコマンド：snmp-server host

新規または変更された画面：[Configuration] > [Device Management] > [Management Access] > [SNMP]

単一ユーザー セッションのトラブルシューティングのための条件付きデバッグ

条件付きデバッグ機能は、設定されたフィルタ条件に基づく特定の ASA VPN セッションのログを確認することを支援するようになりました。IPv4 および IPv6 サブネットの「any, any」のサポートが提供されます。

ファイアウォール機能

Ethertype アクセス コントロール リストの変更

EtherType アクセス コントロール リストは、Ethernet II IPX（EII IPX）をサポートするようになりました。さらに、DSAP キーワードに新しいキーワードが追加され、共通 DSAP 値（BPDU（0x42）、IPX（0xE0）、Raw IPX（0xFF）、および ISIS（0xFE））をサポートします。その結果、BPDU または ISIS キーワードを使用する既存の EtherType アクセス コントロール エントリは自動的に DSAP 仕様を使用するように変換され、IPX のルールは 3 つのルール（DSAP IPX、DSAP Raw IPX、および EII IPX）に変換されます。さらに、IPX を EtherType 値として使用するパケット キャプチャは廃止されました。これは、IPX が 3 つの個別の EtherType に対応するためです。

新規/変更されたコマンド：access-list ethertype キーワード eii-ipx および dsap {bpdu | ipx | isis | raw-ipx} が追加されました。capture ethernet-type ipx キーワードはサポートされなくなりました。

新規または変更された画面：[Configuration] > [Firewall] > [Ethertype Rules]

VPN 機能

Firepower 9300 上のクラスタリングによる分散型サイト間 VPN

Firepower 9300 上の ASA クラスタは、分散モードでサイト間 VPN をサポートします。分散モードでは、（集中モードなどの）制御ユニットだけでなく、ASA クラスタのメンバー間で多数のサイト間 IPsec IKEv2 VPN 接続を分散させることができます。これにより、集中型 VPN の機能を超えて VPN サポートが大幅に拡張され、高可用性が実現します。分散型 S2S VPN は、それぞれ最大 3 つのモジュールを含む最大 2 つのシャーシのクラスタ（合計 6 つのクラスタ メンバー）上で動作し、各モジュールは最大約 36,000 のアクティブ セッション（合計 72,000)に対し、最大 6,000 のアクティブ セッション（合計 12,000）をサポートします。

新規または変更されたコマンド：cluster redistribute vpn-sessiondb、show cluster vpn-sessiondb、vpn mode、show cluster resource usage、show vpn-sessiondb、show connection detail、show crypto ikev2

新規または変更された画面：

[Monitoring] > [ASA Cluster] > [ASA Cluster] > [VPN Cluster Summary]

[Monitoring] > [VPN] > [VPN Statistics] > [Sessions]

[Configuration] > [Device Management] > [High Availablility and Scalability] > [ASA Cluster]

[Wizards] > [Site-to-Site]

[Monitoring] > [VPN] > [VPN Statistics] > [Sessions]

[Monitoring] > [ASA Cluster] > [ASA Cluster] > [VPN Cluster Summary]

[Monitoring] > [ASA Cluster] > [ASA Cluster] > [System Resource Graphs] > [CPU/Memory]

[Monitoring] > [Logging] > [Real-Time Log Viewer]

ハイ アベイラビリティとスケーラビリティの各機能

Microsoft Azure での ASA 仮想のアクティブ/バックアップの高可用性

アクティブな ASA 仮想 の障害が Microsoft Azure パブリッククラウドのバックアップ ASA 仮想 へのシステムの自動フェールオーバーをトリガーするのを許可する、ステートレスなアクティブ/バックアップソリューション。

新規または変更されたコマンド：failover cloud

新規または変更された画面：[Configuration] > [Device Management] > [High Availability and Scalability] > [Failover]

[Monitoring] > [Properties] > [Failover] > [Status]

[Monitoring] > [Properties] > [Failover] > [History]

バージョン 9.8(1.200) でも同様です。

Firepower シャーシのシャーシ ヘルス チェックの障害検出の向上

シャーシ ヘルス チェックの保留時間をより低い値（100 ms）に設定できるようになりました。以前の最小値は 300 ms でした。

新規または変更されたコマンド：app-agent heartbeat interval

ASDM サポートはありません。

クラスタリングのサイト間冗長性

サイト間の冗長性により、トラフィック フローのバックアップ オーナーは常にオーナーとは別のサイトに置かれます。この機能によって、サイトの障害から保護されます。

新規または変更されたコマンド：site-redundancy、show asp cluster counter change、show asp table cluster chash-table、show conn flag

新規または変更された画面：[Configuration] > [Device Management] > [High Availability and Scalability] > [ASA Cluster]

動作と一致するcluster remove unit コマンドの動作no enable

cluster remove unit コマンドは、no enable コマンドと同様に、クラスタリングまたはリロードを手動で再度有効にするまで、クラスタからユニットを削除するようになりました。以前は、FXOS からブートストラップ設定を再展開すると、クラスタリングが再度有効になりました。無効化されたステータスは、ブートストラップ設定の再展開の場合でも維持されるようになりました。ただし、ASA をリロードすると、クラスタリングが再度有効になります。

新規または変更されたコマンド：cluster remove unit

新規または変更された画面：[Configuration] > [Device Management] > [High Availability and Scalability] > [ASA Cluster]

管理、モニタリング、およびトラブルシューティングの機能

SSH バージョン 1 の廃止

SSH バージョン 1 は廃止され、今後のリリースで削除される予定です。デフォルト設定が SSH v1 と v2 の両方から SSH v2 のみに変更されました。

新規/変更されたコマンド： ssh version

新しい/変更された画面：

• [Configuration] > [Device Management] > [Management Access] > [ASDM/HTTPS/Telnet/SSH]

強化されたパケット トレーサおよびパケット キャプチャ機能

パケット トレーサは次の機能で強化されました。

• パケットがクラスタ ユニット間を通過するときにパケットを追跡します。

• シミュレートされたパケットが ASA から出られるようにします。

• シミュレートされたパケットのセキュリティ チェックをバイパスします。

• シミュレートされたパケットを IPsec/SSL で復号化されたパケットとして扱います。

パケット キャプチャは次の機能で強化されました。

• パケットを復号化した後にキャプチャします。

• トレースをキャプチャし、永続リストに保持します。

新規または変更されたコマンド：cluster exec capture test trace include-decrypted、cluster exec capture test trace persist、cluster exec clear packet-tracer、cluster exec show packet-tracer id、cluster exec show packet-tracer origin、packet-tracer persist、packet-tracer transmit、packet-tracer decrypted、packet-tracer bypass-checks

新規または変更された画面：

[Tools] > [Packet Tracer]

次のオプションをサポートする [Cluster Capture] フィールドを追加しました：[decrypted]、[persist]、[bypass-checks]、[transmit]

[All Sessions] ドロップダウンリストの下の [Filter By] ビューに 2 つの新しいオプションを追加しました：[Origin] および [Origin-ID]

[Monitoring] > [VPN] > [VPN Statistics] > [Packet Tracer and Capture]

[Packet Capture Wizard] 画面に [ICMP Capture] フィールドを追加しました：[Wizards] > [Packet Capture Wizard]

ICMP キャプチャをサポートする 2 つのオプション、include-decrypted および persist を追加しました。

VPN 機能

webVPN HSTS へのサブドメインの追加

ドメイン所有者は、Web ブラウザの HSTS プリロード リストに含める必要があるドメインを送信できます。

新規/変更されたコマンド： hostname(config-webvpn) includesubdomains

新しい/変更された画面：

[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Advanced] > [Proxies] > [Enable HSTS Subdomains] フィールド

9.12(1) でも同様です。

管理機能

非ブラウザベースの HTTPS クライアントによる ASA へのアクセスの許可

非ブラウザベースの HTTPS クライアントが ASA 上の HTTPS サービスにアクセスできるようにすることができます。デフォルトでは、ASDM、CSM、および REST API が許可されています。多くの専門クライアント（python ライブラリ、curl、wget など）は、クロスサイト要求の偽造（CSRF）トークンベースの認証をサポートしていないため、これらのクライアントが ASA 基本認証方式を使用することを明確に許可する必要があります。セキュリティ上の理由から、必要なクライアントのみを許可する必要があります。

新規/変更されたコマンド： http server basic-auth-client

新規/変更された画面：

[Configuration] > [Device Management] > [Management Access] > [HTTP Non-Browser Client Support]

9.12(1) でも同様です。

show tech-support に追加の出力が含まれている

show tech-support の出力が拡張され、次の出力が表示されるようになりました。

• show ipv6 interface

• show aaa-server

• show fragment

新規/変更されたコマンド： show tech-support

9.12(1) でも同様です。

SNMP ウォーク操作中の空きメモリおよび使用済みメモリの統計情報の結果を有効または無効にするためのサポート

CPU リソースが過剰に使用されないようにするには、SNMP ウォーク操作によって収集された空きメモリと使用済みメモリの統計情報のクエリを有効または無効にすることができます。

新規/変更されたコマンド：snmp-server enable oid

新規または変更された画面：[Configuration] > [Device Management] > [Management Access] > [SNMP]

9.10(1) でも同様です。

プラットフォーム機能

Firepower 2100 アクティブ LED はスタンバイ モードのときにオレンジ色に点灯するようになりました。

以前は、スタンバイ モード時にはアクティブ LED は点灯していませんでした。

ファイアウォール機能

カットスルー プロキシ ログイン ページからのログアウト ボタンの削除をサポート。

ユーザー ID 情報（AAA 認証 リスナー）を取得するようにカットスルー プロキシを設定している場合、ページからログアウト ボタンを削除できるようになりました。これは、ユーザーが NAT デバイスの背後から接続し、IP アドレスで識別できない場合に便利です。1 人のユーザーがログアウトすると、その IP アドレスのすべてのユーザーがログアウトされます。

新規/変更されたコマンド：aaa authentication listener no-logout-button 。

ASDM サポートはありません。

Trustsec SXP 接続の設定可能な削除ホールド ダウン タイマー

デフォルトの SXP 接続ホールド ダウン タイマーは 120 秒です。このタイマーを 120 ～ 64000 秒に設定できるようになりました。

新規/変更されたコマンド：cts sxp delete-hold-down period 、show cts sxp connection brief 、show cts sxp connections

ASDM サポートはありません。

VPN 機能

従来の SAML 認証のサポート

CSCvg65072 の修正とともに ASA を展開すると、SAML のデフォルト動作で、AnyConnect 4.4 または 4.5 ではサポートされていない組み込みブラウザが使用されます。そのため、引き続き AnyConnect 4.4 または 4.5 を使用するには、従来の外部ブラウザで SAML 認証方式を有効にする必要があります。セキュリティ上の制限があるため、このオプションは、AnyConnect 4.6 に移行するための一時的な計画の一環としてのみ使用してください。このオプションは近い将来に廃止されます。

新規/変更されたコマンド： saml external-browser

新しい/変更された画面：

[設定（Configuration）] > [リモートアクセスVPN（Remote Access VPN）] > [ネットワーク（クライアント）アクセス（Network (Client) Access）]セキュアクライアント[接続プロファイル（Connection Profiles）] ページ > [接続プロファイル（Connection Profiles）] 領域 > [追加（Add）] ボタン > [追加（Add）] セキュアクライアント[接続プロファイル（Connection Profile）] ダイアログ

[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Connection Profiles] > ページ > [Connection Profiles] 領域 > [Add] ボタン > [Add Clientless SSL VPN Connection Profile] ダイアログボックス

新規および変更されたオプション：[SAML External Browser] チェックボックス

インターフェイス機能

シングル コンテキスト モード用の一意の MAC アドレス生成

シングル コンテキスト モードで VLAN サブインターフェイスの一意の MAC アドレス生成を有効にできるようになりました。通常、サブインターフェイスはメイン インターフェイスと同じ MAC アドレスを共有します。IPv6 リンクローカル アドレスは MAC アドレスに基づいて生成されるため、この機能により一意の IPv6 リンクローカル アドレスが許可されます。

新規または変更されたコマンド：mac-address auto

ASDM サポートはありません。

9.9 (2) 以降でも同様です。

ファイアウォール機能

Ethertype アクセス コントロール リストの変更

EtherType アクセス コントロール リストは、Ethernet II IPX（EII IPX）をサポートするようになりました。さらに、DSAP キーワードに新しいキーワードが追加され、共通 DSAP 値（BPDU（0x42）、IPX（0xE0）、Raw IPX（0xFF）、および ISIS（0xFE））をサポートします。その結果、BPDU または ISIS キーワードを使用する既存の EtherType アクセス コントロール エントリは自動的に DSAP 仕様を使用するように変換され、IPX のルールは 3 つのルール（DSAP IPX、DSAP Raw IPX、および EII IPX）に変換されます。さらに、IPX を EtherType 値として使用するパケット キャプチャは廃止されました。これは、IPX が 3 つの個別の EtherType に対応するためです。

この機能は、9.8(2.9) およびその他の暫定リリースでサポートされています。詳細については、CSCvf57908 を参照してください。

次のコマンドが変更されました：access-list ethertype キーワード eii-ipx および dsap {bpdu | ipx | isis | raw-ipx} が追加されました。capture ethernet-type ipx キーワードはサポートされなくなりました。

次の画面が変更されました：[Configuration] > [Firewall] > [Ethertype Rules].

プラットフォーム機能

FirePOWER 2100 シリーズ用の ASA

FirePOWER 2110、2120、2130、2140 用の ASA を導入しました。FirePOWER 4100 および 9300 と同様に、FirePOWER 2100 は基盤の FXOS オペレーティング システムを実行してから、ASA オペレーティング システムをアプリケーションとして実行します。FirePOWER 2100 実装では、FirePOWER 4100 および 9300 よりも緊密に FXOS を ASA と連携させます（軽量な FXOS 機能、単一デバイス イメージ バンドル、ASA および FXOS の両方に対する簡単な管理アクセス）。

FXOS には、EtherChannel の作成、NTP サービス、ハードウェアのモニタリング、およびその他の基本機能を含む、インターフェイスの構成ハードウェア設定があります。この構成では、Firepower Chassis Manager または FXOS CLI を使用できます。ASA には、（FirePOWER 4100 および 9300 とは異なり）スマート ライセンスを含む、その他すべての機能があります。ASA および FXOS はそれぞれ、管理 1/1 インターフェイスでの独自の IP アドレスを持っています。ユーザーは、任意のデータ インターフェイスから ASA および FXOS インスタンス両方の管理を設定できます。

次のコマンドが導入されました。connect fxos、fxos https、fxos snmp、fxos ssh、ip-client

次の画面が導入されました。

[Configuration] > [Device Management] > [Management Access] > [FXOS Remote Management]

国防総省（DoD）統合機能認定製品リスト

ASA は、統合機能認定製品リスト（UC APL）の要件に準拠するように更新されました。このリリースでは、fips enable コマンドを入力すると、ASA がリロードされます。フェールオーバーを有効にする前に、両方のフェールオーバー ピアが同じ FIPS モードになっている必要があります。

fips enable コマンドが変更されました。

Amazon Web Services M4 インスタンスサポートの ASA 仮想

ASA 仮想 を M4 インスタンスとして展開できるようになりました。

変更されたコマンドはありません。

変更された画面はありません。

ASAv5 1.5 GB RAM 機能

バージョン 9.7(1) 以降、ASAv5 では、セキュアクライアント の有効化や ASA 仮想 へのファイルのダウンロードなど、特定の機能が失敗した場合にメモリが枯渇することがあります。1.5 GB の RAM を ASAv5 に割り当てられるようになりました（1 GB から増加しました）。

変更されたコマンドはありません。

変更された画面はありません。

VPN 機能

HTTP Strict Transport Security（HSTS）ヘッダーのサポート

HSTS は、クライアントレス SSL VPN でのプロトコル ダウングレード攻撃や Cookie ハイジャックから Web サイトを保護します。これにより Web サーバーは、Web ブラウザ（またはその他の準拠しているユーザー エージェント）が Web サーバーと通信するにはセキュア HTTPS 接続を使用する必要があり、非セキュアな HTTP プロトコルを使用して通信することはできないことを宣言できます。HSTS は IETF 標準化過程プロトコルであり、RFC 6797 で指定されます。

次のコマンドが導入されました。hsts enable, hsts max-age age_in_seconds

次の画面が変更されました：[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Advanced] > [Proxies]

インターフェイス機能

ASAv50 の VLAN サポート

ASAv50 では、SR-IOV インターフェイスの ixgbe-vf vNIC で VLAN がサポートされるようになりました。

変更されたコマンドはありません。

変更された画面はありません。

ハイ アベイラビリティとスケーラビリティの各機能

Microsoft Azure での ASA 仮想のアクティブ/バックアップの高可用性

アクティブな ASA 仮想 の障害が Microsoft Azure パブリッククラウドのバックアップ ASA 仮想 へのシステムの自動フェールオーバーをトリガーするのを許可する、ステートレスなアクティブ/バックアップソリューション。

次のコマンドが導入されました。failover cloud

ASDM サポートはありません。

プラットフォーム機能

ASAv50 プラットフォーム

ASA 仮想プラットフォームに、10 Gbps のファイアウォール スループット レベルを提供するハイエンド パフォーマンス ASAv50 プラットフォームが追加されました。ASAv50 には ixgbe-vf vNIC が必要です。これは VMware および KVM でのみサポートされます。

ASA 仮想プラットフォームの SR-IOV

ASA 仮想プラットフォームでは、Single Root I/O Virtualization（SR-IOV）インターフェイスがサポートされます。これにより、複数の VM でホスト内の 1 つの PCIe ネットワークアダプタを共有できるようになります。ASA 仮想 SR-IOV サポートは、VMware、KVM、および AWS でのみ使用可能です。

自動 ASP ロードバランシングが ASA 仮想 でサポートされるようになりました。

以前は、ASP ロード バランシングは手動でのみ有効または無効にできました。

次のコマンドを変更しました。asp load-balance per-packet-auto

次の画面が変更されました。[Configuration] > [Device Management] > [Advanced] > [ASP Load Balancing]。

ファイアウォール機能

TLS プロキシ サーバーの SSL 暗号スイートの設定サポート

ASA が TLS プロキシ サーバーとして動作している場合は、SSL 暗号スイートを設定できるようになりました。以前は、[Configuration] > [Device Management] > [Advanced] > [SSL Settings] > [Encryption] ページで ssl cipher コマンドを使用した ASA のグローバル設定のみが可能でした。

次のコマンドが導入されました。 server cipher-suite

次の画面が変更されました。[Configuration] > [Firewall] > [Unified Communications] > [TLS Proxy]、追加/編集ダイアログ ボックス、[Server Configuration] ページ。

ICMP エラーのグローバル タイムアウト

ASA が ICMP エコー応答パケットを受信してから ICMP 接続を削除するまでのアイドル時間を設定できるようになりました。このタイムアウトが無効（デフォルト）で、ICMP インスペクションが有効に設定されている場合、ASA はエコー応答を受信するとすぐに ICMP 接続を削除します。したがって、終了しているその接続に対して生成されたすべての ICMP エラーは破棄されます。このタイムアウトは ICMP 接続の削除を遅らせるので、重要な ICMP エラーを受信することが可能になります。

次のコマンドが追加されました。 timeout icmp-error

[Configuration] > [Firewall] > [Advanced] > [Global Timeouts] の画面が変更されました。

ハイ アベイラビリティとスケーラビリティの各機能

改善されたクラスタ ユニットのヘルス チェック障害検出

ユニット ヘルスチェックの保留時間をより低めの値に設定できます（最小値は .3 秒）以前の最小値は .8 秒でした。この機能は、ユニット ヘルス チェック メッセージング スキームを、コントロール プレーンのキープアライブからデータ プレーンのハートビートに変更します。ハートビートを使用すると、コントロール プレーン CPU のホッギングやスケジューリングの遅延の影響を受けないため、クラスタリングの信頼性と応答性が向上します。保留時間を短く設定すると、クラスタ制御リンクのメッセージング アクティビティが増加することに注意してください。保留時間を短く設定する前にネットワークを分析することをお勧めします。たとえば、ある保留時間間隔の間に 3 つのハートビート メッセージが存在するため、クラスタ制御リンクを介してあるユニットから別のユニットへの ping が保留時間/3 以内に戻ることを確認します。保留時間を 0.3 ～ 0.7 に設定した後に ASA ソフトウェアをダウングレードした場合、新しい設定がサポートされていないので、この設定はデフォルトの 3 秒に戻ります。

次のコマンドを変更しました。health-check holdtime、show asp drop cluster counter、show cluster info health details

次の画面を変更しました。[Configuration] > [Device Management] > [High Availability and Scalability] > [ASA Cluster]

に対してインターフェイスを障害としてマークするために設定可能なデバウンス時間 Firepower 4100/9300 シャーシ

ASA がインターフェイスを障害が発生していると見なし、クラスタからユニットが削除されるまでのデバウンス時間を設定できるようになりました。この機能により、インターフェイスの障害をより迅速に検出できます。デバウンス時間を短くすると、誤検出の可能性が高くなることに注意してください。インターフェイスのステータス更新が発生すると、ASA はインターフェイスを障害としてマークし、クラスタからユニットを削除するまで指定されたミリ秒数待機します。デフォルトのデバウンス時間は 500 ms で、有効な値の範囲は 300 ms ～ 9 秒です。

新規または変更されたコマンド：health-check monitor-interface debounce-time

新規または変更された画面：[Configuration] > [Device Management] > [High Availability and Scalability] > [ASA Cluster]

VPN 機能

仮想トンネル インターフェイス（VTI）は、BGP（静的 VTI）をサポートするようになりました。スタンドアロン モードとハイ アベイラビリティ モードで、IKEv2 を使用できます。IPsec プロファイルにトラストポイントを設定することにより、証明書ベースの認証を使用できます。また、入力トラフィックをフィルタリングする access-group コマンドを使用して、VTI 上でアクセス リストを適用することもできます。

IPsec プロファイルのコンフィギュレーション モードに次のコマンドが導入されました。set trustpoint

次の画面で、証明書ベース認証のトラストポイントを選択するオプションが導入されました。

[Configuration] > [Site-to-Site VPN] > [Advanced] > [IPsec Proposals (Transform Sets)] > [IPsec Profile] > [Add]

モバイル IKEv2（MobIKE）はデフォルトで有効になっています

リモート アクセス クライアントとして動作するモバイル デバイスは、移動中にトランスペアレント IP アドレスを変更する必要があります。ASA で MobIKE をサポートすることにより、現在の SA を削除せずに現在の IKE セキュリティ アソシエーション（SA）を更新することが可能になります。MobIKE は [always on] に設定されます。

次のコマンドが導入されました。ikev2 mobike-rrc。リターン ルータビリティのチェックを有効または無効にするために使用されます。

SAML 2.0 SSO の更新

SAML 要求におけるシグネチャのデフォルト署名メソッドが SHA1 から SHA2 に変更され、ユーザーが rsa-sha1、rsa-sha256、rsa-sha384、rsa-sha512 の中から署名メソッドを選択して設定できるようになりました。

webvpn モードでの saml idp signature コマンドが変更されました。このコマンドには value を設定できます。デフォルトは [disabled] のままです。

次の画面が変更されました。[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Advanced] > [Single Sign On Servers] > [Add]。

pre-fill-username および secondary-pre-fill-username の値を ssl-client から client に変更しました。

webvpn モードでの次のコマンドが変更されました：pre-fill-username および secondary-pre-fill-username は client 値を設定できます。

AAA 機能

ログイン履歴

デフォルトでは、ログイン履歴は 90 日間保存されます。この機能を無効にするか、期間を最大 365 日まで変更できます。1 つ以上の管理メソッド（SSH、ASDM、Telnet など）でローカル AAA 認証を有効にしている場合、この機能はローカル データベースのユーザー名にのみ適用されます。

次のコマンドが導入されました。aaa authentication login-history、show aaa login-history

次の画面が導入されました。[Configuration] > [Device Management] > [Users/AAA] > [Login History]

パスワードの再利用とユーザー名と一致するパスワードの使用を禁止するパスワード ポリシーの適用

最大 7 世代にわたるパスワードの再利用と、ユーザー名と一致するパスワードの使用を禁止できるようになりました。

次のコマンドが導入されました。password-history、password-policy reuse-interval、password-policy username-check

次の画面が変更されました。[Configuration] > [Device Management] > [Users/AAA] > [Password Policy]

SSH 公開キー認証を使用するユーザーの認証とパスワードを使用するユーザーの認証を区別します。

9.6(2) より前のリリースでは、ローカル ユーザー データベース（ssh authentication ）を使用して AAA SSH 認証を明示的に有効にしなくても、SSH 公開キー認証（aaa authentication ssh console LOCAL ）を有効にすることができました。9.6(2) では、ASA で AAA SSH 認証を明示的に有効にする必要がありました。このリリースでは、AAA SSH 認証を明示的に有効にする必要はありません。ユーザーに対して ssh authentication コマンドを設定すると、このタイプの認証を使用するユーザーのローカル認証がデフォルトで有効になります。さらに、明示的に AAA SSH 認証を設定すると、この設定はパスワード付きのユーザー名にのみ適用されます。また、任意の AAA サーバー タイプ （aaa authentication ssh console radius_1 など）を使用できます。たとえば、一部のユーザーはローカル データベースを使用して公開キー認証を使用し、他のユーザーは RADIUS でパスワードを使用できます。

変更されたコマンドはありません。

変更された画面はありません。

バージョン 9.6(3) でも同様です。

モニタリング機能とトラブルシューティング機能

ASA クラッシュ発生時に実行中のパケット キャプチャの保存

以前は、ASA がクラッシュするとアクティブなパケット キャプチャは失われました。現在は、クラッシュが発生すると、パケット キャプチャは disk 0 に以下のファイル名で保存されます。[context_name.]capture_name.pcap。

変更されたコマンドはありません。

変更された画面はありません。

管理機能

ASDM アップグレード ツールの新しいバックグラウンド サービス

ASDM は、[Tools] > [Check for ASA/ASDM Upgrades] の新しいバックグラウンド サービスです。Cisco は、前のバージョンの ASDM で使用されていた古いサービスを将来廃止する予定です。

プラットフォーム機能

Integrated Routing and Bridging（IRB; 統合ルーティングおよびブリッジング）を使用した ASA 5506-X シリーズ用の新しいデフォルト設定

新しいデフォルト設定が ASA 5506-X シリーズに使用されます。統合ブリッジングおよびルーティング機能は、外部レイヤ 2 スイッチの使用に代わる手段を提供します。ハードウェア スイッチを含む ASA 5505 を交換するユーザーの場合、この機能を使用することにより、追加のハードウェア使用せずに ASA 5505 を ASA 5506-X やその他の ASA モデルに置き換えることができます。

新しいデフォルト設定には次の内容が含まれます。

• GigabitEthernet 1/1、DHCP からの IP アドレスの外部インターフェイス

• GigabitEthernet ½（inside1）から 1/8（inside7）、IP アドレス 192.168.1.1 が指定された内部ブリッジグループ BVI 1

• 内部 --> 外部へのトラフィック フロー

• 内部 --> メンバー インターフェイス用内部トラフィック フロー

• （ASA 5506W-X）GigabitEthernet 1/9、IP アドレス 192.168.10.1 の Wi-Fi インターフェイス

• （ASA 5506W-X） WiFi<--> 内部のトラフィック フロー、WiFi --> 外部へのトラフィック フロー

• 内部および WiFi 上のクライアントに対する DHCP。アクセス ポイント自体とそのすべてのクライアントが ASA を DHCP サーバーとして使用します。

• 管理 1/1 インターフェイスが稼働しているが、そうでない場合は未設定。ASA FirePOWER モジュールは、このインターフェイスを使用して ASA 内部ネットワークに接続し、内部インターフェイスをインターネットへのゲートウェイとして使用できます。

• ASDM アクセス：内部ホストと Wi-Fi ホストが許可されます。

• NAT：内部、WiFi、および管理から外部へのすべてのトラフィックのインターフェイス PAT。

アップグレードする場合、configure factory-default コマンドを使用して設定を消去しデフォルトを適用するか、必要に応じて BVI とブリッジ グループのメンバーを手動で設定することができます。内部ブリッジ グループの通信を簡単に許可するには、same-security-traffic permit inter-interface コマンドを有効にする必要があります（このコマンドは、ASA 5506W-X のデフォルト設定にすでに存在します）。

ISA 3000 でのアラーム ポートのサポート

ISA 3000 は、2 つのアラーム入力インターフェイスと 1 つのアラーム出力インターフェイスをサポートします。ドア センサーなどの外部センサーは、アラーム入力に接続できます。ブザーなどの外部デバイスは、アラーム出力インターフェイスに接続できます。トリガーされたアラームは、2 つの LED、syslog、SNMP トラップを経由し、アラーム出力インターフェイスに接続されたデバイスを介して伝えられます。ユーザーは、外部アラームの説明を設定できます。また、外部アラームと内部アラームの重大度とトリガーも指定できます。すべてのアラームは、リレー、モニタリング、およびロギングに設定できます。

次のコマンドが導入されました。alarm contact description、alarm contact severity、alarm contact trigger、alarm facility input-alarm、alarm facility power-supply rps、alarm facility temperature、alarm facility temperature high、alarm facility temperature low、clear configure alarm、clear facility-alarm output、show alarm settings、show environment alarm-contact。

次の画面が導入されました。

[Configuration] > [Device Management] > [Alarm Port] > [Alarm Contact]

[Configuration] > [Device Management] > [Alarm Port] > [Redundant Power Supply]

[Configuration] > [Device Management] > [Alarm Port] > [Temperature]

[Monitoring] > [Properties] > [Alarm] > [Alarm Settings]

[Monitoring] > [Properties] > [Alarm] > [Alarm Contact]

[Monitoring] > [Properties] > [Alarm] > [Facility Alarm Status]

ASAv10 での Microsoft Azure Security Center のサポート

Microsoft Azure は、プライベート Microsoft Hyper V ハイパーバイザを使用するパブリック クラウド環境です。Microsoft Azure Security Center は、非常にセキュアなパブリック クラウド インフラストラクチャの導入を簡素化する、Azure 上の Microsoft オーケストレーションおよび管理レイヤです。ASA 仮想 を Azure Security Center に統合することにより、Azure 環境を保護するファイアウォールオプションとして ASA 仮想 を提供できます。

ISA 3000 用の Precision Time Protocol（PTP）

ISA 3000 は PTP（ネットワークに分散したノードの時刻同期プロトコル）をサポートします。PTP は、そのハードウェア タイムスタンプ機能により、NTP などの他の時刻同期プロトコルより高い精度を実現します。ISA 3000 は、ワンステップのエンドツーエンド トランスペアレント クロックに加えて、PTP 転送モードもサポートします。インスペクションのために PTP トラフィックが ASA FirePOWER モジュールに送信されることのないようにするため、デフォルト設定に次のコマンドが追加されました。既存の導入がある場合は、次のコマンドを手動で追加する必要があります。

object-group service bypass_sfr_inspect
  service-object udp destination range 319 320
access-list sfrAccessList extended deny object-group bypass_sfr_inspect any any

次のコマンドが導入されました。 debug ptp、ptp domain、ptp mode e2etransparent、ptp enable、show ptp clock、show ptp internal-info、show ptp port

次の画面が導入されました。

[Configuration] > [Device Management] > [PTP]

[Monitoring] > [Properties] > [PTP]

ISA 3000 の自動バックアップと復元

バックアップ コマンドと復元コマンドのプリセット パラメータを使用して、自動バックアップ機能や自動復元機能を有効にできます。これらの機能は、外部メディアからの初期設定、デバイス交換、作動可能状態へのロールバックなどで使用されます。

次のコマンドが導入されました。backup-package location、backup-package auto、show backup-package status、show backup-package summary

次の画面が導入されました。[Configuration] > [Device Management] > [Auto Backup & Restore Configuration]

ファイアウォール機能

SCTP マルチストリーミングの並べ替えとリアセンブル、およびフラグメンテーションのサポート。SCTP エンドポイントに複数の IP アドレスが設定された SCTP マルチホーミングのサポート。

このシステムは、SCTP マルチストリーミングの並べ替え、リアセンブル、およびフラグメンテーションを完全にサポートしており、これにより SCTP トラフィックに対する Diameter および M3UA インスペクションの有効性が改善されています。このシステムは、各エンドポイントに複数の IP アドレスが設定された SCTP マルチホーミングもサポートしています。マルチホーミングでは、セカンデリ アドレスに必要なピンホールをシステムが開くので、セカンデリ アドレスを許可するためのアクセス ルールをユーザーが設定する必要はありません。SCTP エンドポイントは、それぞれ 3 つの IP アドレスに制限する必要があります。

show sctp detail コマンドの出力が変更されました。

変更された画面はありません。

M3UA インスペクションの改善。

M3UA インスペクションは、ステートフル フェールオーバー、半分散クラスタリング、およびマルチホーミングをサポートするようになりました。また、アプリケーション サーバー プロセス（ASP）の状態の厳密な検証や、さまざまなメッセージの検証も設定できます。ASP 状態の厳密な検証は、ステートフル フェールオーバーとクラスタリングに必要です。

次のコマンドが追加または変更されました。clear service-policy inspect m3ua session [assocID id] 、match port sctp 、message-tag-validation 、show service-policy inspect m3ua drop 、show service-policy inspect m3ua endpoint 、show service-policy inspect m3ua session 、show service-policy inspect m3ua table 、strict-asp-state 、timeout session 。

次の画面が変更されました。[Configuration] > [Firewall] > [Objects] > [Inspection Maps] > [M3UA] [Add/Edit] ダイアログボックス。

TLS プロキシでの TLSv1.2、および Cisco Unified Communications Manager 10.5.2 のサポート。

暗号化 SIP 用の TLS プロキシでの TLSv1.2、または Cisco Unified Communications Manager 10.5.2 での SCCP インスペクションを使用できるようになりました。TLS プロキシは、client cipher-suite コマンドの一部として追加された TLSv1.2 暗号スイートをサポートします。

次のコマンドが変更されました。 client cipher-suite

変更された画面はありません。

Integrated Routing and Bridging（IRB）

Integrated Routing and Bridging（統合ルーティングおよびブリッジング）は、ブリッジグループとルーテッド インターフェイス間をルーティングする機能を提供します。ブリッジグループとは、ASA がルートの代わりにブリッジするインターフェイスのグループのことです。ASA は、ASA がファイアウォールとして機能し続ける点で本来のブリッジとは異なります。つまり、インターフェイス間のアクセス制御が実行され、通常のファイアウォール検査もすべて実行されます。以前は、トランスペアレント ファイアウォール モードでのみブリッジグループの設定が可能だったため、ブリッジグループ間でのルーティングはできませんでした。この機能を使用すると、ルーテッド ファイアウォール モードのブリッジ グループの設定と、ブリッジグループ間およびブリッジグループとルーテッド インターフェイス間のルーティングを実行できます。ブリッジ グループは、ブリッジ仮想インターフェイス（BVI）を使用して、ブリッジ グループのゲートウェイとして機能することによってルーティングに参加します。そのブリッジグループに指定する ASA 上に別のインターフェイスが存在する場合、Integrated Routing and Bridging（IRB）は外部レイヤ 2 スイッチの使用に代わる手段を提供します。ルーテッド モードでは、BVI は名前付きインターフェイスとなり、アクセス ルールや DHCP サーバーなどの一部の機能に、メンバー インターフェイスとは個別に参加できます。

トランスペアレント モードでサポートされるマルチ コンテキスト モードや ASA クラスタリングの各機能は、ルーテッド モードではサポートされません。マルチキャスト ルーティングとダイナミック ルーティングの機能も、BVI ではサポートされません。

次のコマンドが変更されました。access-group、access-list ethertype、arp-inspection、dhcpd、mac-address-table static、mac-address-table aging-time、mac-learn、route、show arp-inspection、show bridge-group、show mac-address-table、show mac-learn

次の画面が変更されました。

[Configuration] > [Device Setup] > [Interface Settings] > [Interfaces]

[Configuration] > [Device Setup] > [Routing] > [Static Routes]

[Configuration] > [Device Management] > [DHCP] > [DHCP Server]

[Configuration] > [Firewall] > [Access Rules]

[Configuration] > [Firewall] > [EtherType Rules]

VM 属性

ネットワーク オブジェクトを定義することにより、VMware vCenter で管理している VMware ESXi 環境の 1 つ以上の仮想マシン（VM）に関連付けられている属性に従ってトラフィックをフィルタリングできます。アクセス コントロール リスト（ACL）を定義して、1 つ以上の属性を共有する VM のグループからのトラフィックにポリシーを指定することができます。

show attribute コマンドが追加されました。

次の画面が追加されました。

[Configuration] > [Firewall] > [VM Atttribute Agent]

内部ゲートウェイ プロトコルの古いルートのタイムアウト

OSPF などの内部ゲートウェイ プロトコルの古いルートを削除するためのタイムアウトを設定できるようになりました。

timeout igp stale-route コマンドが追加されました。

[Configuration] > [Firewall] > [Advanced] > [Global Timeouts] の画面が変更されました。

オブジェクト グループ検索に関するネットワーク オブジェクトの制限。

object-group-search access-control コマンドを使用してオブジェクト グループ検索を有効にすることで、アクセス ルールの検索に必要なメモリを抑えることができます。オブジェクト グループ検索を有効にした場合、ネットワーク オブジェクトまたはサービス オブジェクトは拡張されませんが、それらのグループの定義に基づいて一致するアクセス ルールが検索されます。

このリリース以降、以下の制限が適用されます。接続ごとに、送信元と宛先の両方の IP アドレスがネットワーク オブジェクトと照合されます。発信元アドレスに一致するオブジェクトの数が、宛先アドレスと一致する数の 1 万倍を超えると接続が切断されます。

このチェックは、パフォーマンスの低下を防止します。一致件数が膨大になることを防ぐためにルールを設定します。

ルーティング機能

31 ビット サブネットマスク

ルーテッド インターフェイスに関しては、ポイントツーポイント接続向けの 31 ビットのサブネット に IP アドレスを設定できます。31 ビット サブネットには 2 つのアドレスのみが含まれます。通常、サブネットの最初と最後のアドレスはネットワーク用とブロードキャスト用に予約されており、2 アドレス サブネットは使用できません。ただし、ポイントツーポイント接続があり、ネットワーク アドレスやブロードキャスト アドレスが不要な場合は、IPv4 形式でアドレスを保持するのに 31 サブネット ビットが役立ちます。たとえば、2 つの ASA 間のフェールオーバー リンクに必要なアドレスは 2 つだけです。リンクの一方の側から送信されるパケットはすべてもう一方の側で受信され、ブロードキャスティングは必要ありません。また、SNMP や Syslog を実行する管理ステーションを直接接続することもできます。この機能は、ブリッジグループ用の BVI、またはマルチキャストルーティングではサポートされていません。

次のコマンドが変更されました。ip address、http、logging host、snmp-server host、ssh

次の画面が変更されました。

[Configuration] > [Device Setup] > [Interface Settings] > [Interfaces] > [Add Interface] > [General]

ハイ アベイラビリティとスケーラビリティの各機能

Firepower 4100/9300 シャーシ 上の ASA のサイト間クラスタリングの改善

ASA クラスタを展開すると、それぞれの Firepower 4100/9300 シャーシのサイト ID を設定できます。以前は ASA アプリケーション内でサイト ID を設定する必要がありました。この新しい機能は、初期導入を簡単にします。ASA 構成内でサイト ID を設定できなくなったことに注意してください。また、サイト間クラスタリングとの互換性を高めるために、安定性とパフォーマンスに関する複数の改善が含まれる ASA 9.7(1) および FXOS 2.1.1 にアップグレードすることを推奨します。

次のコマンドが変更されました。site-id

次の画面が変更されました。[Configuration] > [Device Management] > [High Availability and Scalability] > [ASA Cluster] > [Cluster Configuration]

ディレクタ ローカリゼーション：データセンターのサイト間クラスタリングの改善

データ センターのパフォーマンスを向上し、サイト間クラスタリングのトラフィックを維持するために、ディレクタ ローカリゼーションを有効にできます。通常、新しい接続は特定のサイト内のクラスタ メンバーによってロード バランスされ、所有されています。しかし、ASA は任意のサイトのメンバーにディレクタ ロールを割り当てます。ディレクタ ローカリゼーションにより、所有者と同じサイトのローカル ディレクタ、どのサイトにも存在可能なグローバル ディレクタという追加のディレクタ ロールが有効になります。所有者とディレクタが同一サイトに存在すると、パフォーマンスが向上します。また、元の所有者が失敗した場合、ローカルなディレクタは同じサイトで新しい接続の所有者を選択します。グローバルなディレクタは、クラスタ メンバーが別のサイトで所有される接続のパケットを受信する場合に使用されます。

次のコマンドが導入または変更されました。director-localization、show asp table cluster chash、show conn、show conn detail

次の画面を変更しました。[Configuration] > [Device Management] > [High Availability and Scalability] > [ASA Cluster] > [Cluster Configuration]

高速検出の設定が可能な、フェールオーバーのポーリングをモニタリングするインターフェイス リンク ステート

デフォルトでは、フェールオーバー ペアの ASA は、500 ミリ秒ごとにインターフェイスのリンク ステートをチェックします。ポーリングの間隔を 300 ミリ秒から 799 ミリ秒の間で設定できるようになりました。たとえば、ポーリング時間を 300 ミリ秒に設定すると、ASA はインターフェイス障害やトリガーのフェールオーバーをより迅速に検出できます。

次のコマンドが導入されました。failover polltime link-state

次の画面が変更されました。[Configuration] > [Device Management] > [High Availability and Scalability] > [Failover] > [Criteria]

FirePOWER 9300 および 4100 でのアクティブ/スタンバイ フェールオーバー ヘルス モニタリングで、双方向フォワーディング検出（BFD）がサポートされました。

FirePOWER 9300 および 4100 上のアクティブ/スタンバイ ペアの 2 つのユニット間のフェールオーバー ヘルス チェックに対して、双方向フォワーディング検出（BFD）を有効にできるようになりました。ヘルス チェックに BFD を使用すると、デフォルトのヘルスチェックより信頼性が高まり、CPU の使用を抑えることができます。

次のコマンドが導入されました。failover health-check bfd

次の画面が変更されました。[Configuration] > [Device Management] > [High Availability and Scalability] > [Failover] > [Setup]

VPN 機能

IKEv2 静的暗号マップ用ダイナミック RRI

crypto map に dynamic が指定されている場合、IPSec セキュリティ アソシエーション（SA）の確立に成功すると、ダイナミック リバース ルート インジェクションが発生します。ルートは、ネゴシエートされたセレクタの情報に基づいて追加されます。IPsec SA's が削除されると、このルートは削除されます。ダイナミック RRI は、IKEv2 ベースの静的暗号マップでのみサポートされます。

次のコマンドが変更されました。crypto map set reverse-route。

次の画面が変更されました。[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Advanced] > [IPsec] > [Crypto Maps] > [Add/Edit] > [Tunnel Policy (Crypto Maps) - Advanced]

ASA VPN モジュールの仮想トンネル インターフェイス（VTI）のサポート

ASA VPN モジュールが、仮想トンネル インターフェイス（VTI）と呼ばれる新しい論理インターフェイスによって強化されており、ピアへの VPN トンネルを表すために使用されます。これは、トンネルの各終端に接続されている IPsec プロファイルを利用したルート ベースの VPN をサポートします。VTI を使用することにより、静的暗号マップのアクセス リストを設定してインターフェイスにマッピングすることが不要になります。

次のコマンドが導入されました。crypto ipsec profile、interface tunnel、responder-only、set ikev1 transform-set、set pfs、set security-association lifetime、tunnel destination、tunnel mode ipsec、tunnel protection ipsec profile、tunnel source interface。

次の画面が導入されました。

[Configuration] > [Site-to-Site VPN] > [Advanced] > [IPsec Proposals (Transform Sets)] > [IPsec Profile]

[Configuration] > [Site-to-Site VPN] > [Advanced] > [IPsec Proposals (Transform Sets)] > [IPsec Profile] > [Add] > [Add IPsec Profile]

[Configuration] > [Device Setup] > [Interface Settings] > [Interfaces] > [Add] > [VTI Interface]

[Configuration] > [Device Setup] > [Interface Settings] > [Interfaces] > [Add] > [VTI Interface] > [General]

[Configuration] > [Device Setup] > [Interface Settings] > [Interfaces] > [Add] > [VTI Interface] > [Advanced]

セキュアクライアント 用 SAML 2.0 ベースの SSO

SAML 2.0 ベースのサービス プロバイダー IdP が、プライベート ネットワークでサポートされます。ユーザーとサービス間のゲートウェイとして ASA を使用すると、IdP の認証は制限付きの名前非表示 webvpn セッションで処理され、IdP とユーザー間のすべてのトラフィックは変換されます。

次のコマンドが追加されました。saml idp

次のコマンドが変更されました。debug webvpn saml、show saml metadata

次の画面が変更されました。[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Advanced] > [Single Sign On Servers] > [Add SSO Server].

CMPv2

ワイヤレス LTE ネットワークのセキュリティ ゲートウェイ デバイスとして配置できるように、ASA が証明書の管理プロトコル（CMPv2）を使用した特定の管理機能をサポートするようになりました。

次のコマンドが変更されました。enrollment url、keypair、auto-update、crypto-ca-trustpoint、show crypto ca server certificates、show crypto key、show tech-support

次の画面が変更されました。[Configuration] > [Remote Access VPN] > [Certificate Management] > [Identity Certificates] > [Add an Identity Certificate]

マルチ証明書認証

セキュアクライアント SSL クライアントプロトコルと IKEv2 クライアントプロトコルを使用して、セッションごとに複数の認証を検証できるようになりました。マルチ証明書認証のプロトコル交換を定義し、これを両方のセッション タイプで利用できるように、集約認証プロトコルが拡張されました。

次のコマンドが変更されました。authentication {[aaa] [certificate | multiple-certificate] | saml}

次の画面が変更されました。

[設定（Configuration）] > [リモートアクセスVPN（Remote Access VPN）] > [ネットワーク（クライアント）アクセス（Network (Client) Access）] > [ダイナミックアクセスポリシー（Dynamic Access Policies）] > [Edit（編集）] > [Secure Client] > [接続プロファイル（Connection Profile）]

[設定（Configuration）] > [リモートアクセスVPN（Remote Access VPN）] > [ネットワーククライアントアクセス（Network Client Access）] > [Secure Client] [接続プロファイル（Connection Profiles）] > [編集（Edit）] [Secure Client] [接続プロファイル（Connection Profiles）]

スプリット トンネリング ルーティングの制限の引き上げ

AC-SSL および AC-IKEv2 のスプリット トンネリング ルートの制限は、200 から 1200 に引き上げられました。IKEv1 の制限は 200 で変わりません。

Chrome のスマート トンネル サポート

Mac デバイスや Windows デバイスの Chrome ブラウザでスマート トンネルをサポートするための新しいメソッドが作成されました。Chrome Smart Tunnel Extension は、Netscape プラグイン アプリケーション プログラム インターフェイス（NPAPI）に代わるものです。NPAPI は、Chrome ではサポートされなくなりました。この拡張プログラムをインストールしていない Chrome でスマート トンネルに対応したブックマークをクリックすると、ユーザーは拡張プログラムを取得できるように Chrome ウェブストアにリダイレクトされます。Chrome を新規インストールする場合、ユーザーは拡張プログラムを取得できるように Chrome ウェブストアに移動されます。この拡張プログラムは、スマート トンネルの実行に必要なバイナリを ASA からダウンロードします。通常のブックマーク、およびスマート トンネルを使用する際のアプリケーション設定は、この新しい拡張プログラムのインストール プロセス以外は変更されません。

クライアントレス SSL VPN：すべての Web インターフェイスのセッション情報

すべての Web インターフェイスが、ログインに使用されたユーザー名などの現在のセッションの詳細と、現在割り当てられているユーザー権限を表示するようになりました。これは、ユーザーが現在のユーザー セッションを知るのに役立ち、ユーザー セキュリティの向上につながります。

クライアントレス SSL VPN：Web アプリケーション セッションのクッキーすべての検証

すべての Web アプリケーションは、セキュリティ関連のクッキーすべてを検証してはじめて、アクセス権を付与するようになります。要求があるごとに、認証トークンまたはセッション ID を持つ各クッキーが検証され、その後にユーザー セッションへのアクセスが付与されます。同じ要求に複数のセッション Cookie が含まれている場合、その接続は破棄されます。検証に失敗したクッキーは無効なクッキーとして扱われ、そのイベントは監査ログに追加されます。

セキュアクライアント：最大接続時間アラート間隔が、Cisco Secure Client の AnyConnect VPN モジュール の接続に関するグループポリシーでサポートされるようになりました。

このアラート間隔は、最大接続時間に達する前に、終了を警告するメッセージをユーザーに表示する間隔を指定します。有効な時間間隔は 1 ～ 30 分です。デフォルトは 30 分です。以前は、クライアントレス接続とサイト間 VPN 接続でサポートされていました。

次のコマンドを接続に使用できるようになりました。 セキュアクライアントvpn-session-timeout alert-interval

次の画面が変更されました。[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Group Policies] > [Add/Edit] > [General] > [More Options]。[Maximum Connect Time Alert Interval] フィールドが追加されました。

AAA 機能

AAA 用 LDAP サーバーおよび TACACS+ サーバーの IPv6 アドレスのサポート

AAA に使用する LDAP サーバーおよび TACACS+ サーバーで IPv4 アドレスか IPv6 アドレスのいずれかを使用できるようになりました。

次のコマンドが変更されました。aaa-server host、test aaa-server

次の画面が変更されました。[Configuration] > [Device Management] > [Users/AAA] > [AAA Server Groups] > [Add AAA Server Group]

管理機能

すべてのローカル username および enable パスワードに対する PBKDF2 ハッシュ

長さ制限内のすべてのローカル username および enable パスワードは、PBKDF2（パスワード ベース キー派生関数 2）のハッシュを使用して設定に保存されます。以前は、32 文字以下のパスワードが MD5 ベースのハッシュ メソッドを使用していました。既存のパスワードでは、ユーザーが新しいパスワードを入力しない限り、MD5 ベースのハッシュが引き続き使用されます。ダウングレードのガイドラインについては、『一般操作構成ガイド』の「ソフトウェアおよびコンフィギュレーション」の章を参照してください。

次のコマンドが変更されました。enable password、username

次の画面が変更されました。

[Configuration] > [Device Setup] > [Device Name/Password] > [Enable Password]

[Configuration] > [Device Management] > [Users/AAA] > [User Accounts] > [Add/Edit User Account] > [Identity]

ライセンシング機能

Firepower 4100/9300 シャーシ 上のフェールオーバー ペアのライセンス変更

アクティブなユニットのみがライセンス権限を要求します。以前は、両方のユニットがライセンスの権限付与を要求していました。FXOS 2.1.1 でサポートされます。

モニタリング機能とトラブルシューティング機能

トレースルート用の IPv6 アドレスのサポート

traceroute コマンドが変更され、IPv6 アドレスも受け入れられるようになりました。

次のコマンドが変更されました。traceroute

次の画面が変更されました。[Tools] > [Traceroute]

ブリッジ グループ メンバー インターフェイス用のパケット トレーサのサポート

ブリッジ グループ メンバー インターフェイスにパケット トレーサを使用できるようになりました。

packet-tracer コマンドに次の 2 つのオプションが追加されました。vlan-id および dmac

パケット トレーサの画面に [VLAN ID] および [Destination MAC Address] フィールドが追加されました。[Tools] > [Packet Tracer]

syslog サーバーの IPv6 アドレスのサポート

syslog サーバーに IPv6 アドレスを設定して、TCP や UDP 経由で syslog を記録または送信できるようになりました。

次のコマンドが変更されました。logging host、show running config、show logging

次の画面が変更されました。[Configuration] > [Device Management] > [Logging] > [Syslog Servers] > [Add Syslog Server]

SNMP の MIB および OID

ASA は、ISA 3000 の Precision Time Protocol（PTP）の一部として、エンドツーエンド トランスペアレント クロック モードに対応する SNMP MIB オブジェクトをサポートするようになりました。次の SNMP MIB オブジェクトがサポートされます。

• ciscoPtpMIBSystemInfo

• cPtpClockDefaultDSTable

• cPtpClockTransDefaultDSTable

• cPtpClockPortTransDSTable

手動によるパケット キャプチャの停止と開始

キャプチャを手動で停止および開始できるようになりました。

追加/変更されたコマンド： capture stop

追加/変更された画面：[Wizards] > [Packet Capture Wizard] > [Run Captures]

追加/変更されたオプション：[Start] ボタン、[Stop] ボタン

AAA 機能

SSH 公開キー認証を使用するユーザーの認証とパスワードを使用するユーザーの認証を区別します。

9.6(2) より前のリリースでは、ローカル ユーザー データベース（ssh authentication ）を使用して AAA SSH 認証を明示的に有効にしなくても、SSH 公開キー認証（aaa authentication ssh console LOCAL ）を有効にすることができました。9.6(2) では、ASA で AAA SSH 認証を明示的に有効にする必要がありました。このリリースでは、AAA SSH 認証を明示的に有効にする必要はありません。ユーザーに対して ssh authentication コマンドを設定すると、このタイプの認証を使用するユーザーのローカル認証がデフォルトで有効になります。さらに、明示的に AAA SSH 認証を設定すると、この設定はパスワード付きのユーザー名にのみ適用されます。また、任意の AAA サーバー タイプ（aaa authentication ssh console radius_1 など）を使用できます。たとえば、一部のユーザーはローカル データベースを使用して公開キー認証を使用し、他のユーザーは RADIUS でパスワードを使用できます。

変更されたコマンドはありません。

変更された画面はありません。

バージョン 9.8(1) でも同様です。

プラットフォーム機能

Firepower 4150 用の ASA を導入しました。

Firepower 4150 用の ASA を導入しました。

FXOS 2.0.1 が必要です。

追加または変更されたコマンドはありません。

追加または変更された画面はありません。

ASA 仮想 のホット プラグ インターフェイス

システムがアクティブの状態で、ASA 仮想 の Virtio 仮想インターフェイスを追加または削除できます。ASA 仮想 に新しいインターフェイスを追加すると、仮想マシンがインターフェイスを検出し、プロビジョニングが行われます。既存のインターフェイスを削除すると、仮想マシンはインターフェイスに関連付けられているリソースを解放します。ホット プラグ インターフェイスはカーネルベース仮想マシン（KVM）のハイパーバイザ上にある Virtio 仮想インターフェイスに制限されます。

ASAv10 での Microsoft Azure サポート

Microsoft Azure は、プライベート Microsoft Hyper V ハイパーバイザを使用するパブリック クラウド環境です。ASA 仮想 は、Hyper V ハイパーバイザの Microsoft Azure 環境でゲストとして実行されます。Microsoft Azure 上の ASA 仮想 は、4 つの vCPU、14 GB、4 つのインターフェイスをサポートする Standard D3 の 1 つのインスタンスタイプをサポートします。

バージョン 9.5(2.200) でも同様です。

ASA 仮想 の管理 0/0 インターフェイスでの通過トラフィックサポート

ASA 仮想 の管理 0/0 インターフェイスでトラフィックを通過させることができるようになりました。以前は、Microsoft Azure 上の ASA 仮想 のみで通過トラフィックをサポートしていました。今後は、すべての ASA 仮想 で通過トラフィックがサポートされます。任意で、このインターフェイスを管理専用に設定できますが、デフォルトでは管理専用に設定されていません。

次のコマンドが変更されました。 management-only

コモン クライテリア証明書

ASA は、コモン クライテリアの要件に適合するように更新されました。この証明書に追加された次の機能については、この表の行を参照してください。

• ASDM での ASA SSL サーバー モード マッチング

• SSL クライアントの RFC 6125 サポート：

  • セキュアな syslog サーバーの接続とスマート ライセンシング接続のための参照 ID

  • ASA クライアントによるサーバー証明書の拡張キーの使用状況確認

  • ASA が TLS1.1 と 1.2 の TLS クライアントとして動作する際の相互認証

• PKI デバッグ メッセージ

• 暗号キー抹消検査

• IKEv2 の IPsec/ESP トランスポート モードのサポート

• 追加された syslog メッセージ

ファイアウォール機能

TCP 経由での DNS インスペクション

DNS over TCP トラフィック（TCP/53）を検査できるようになりました。

次のコマンドが追加されました。 tcp-inspection

次のページが変更されました。[Configuration] > [Firewall] > [Objects] > [Inspection Maps] > [DNS] > [Add/Edit] ダイアログボックス

MTP3 User Adaptation（M3UA）インスペクション

M3UA トラフィックを検査できるようになりました。また、ポイント コード、サービス インジケータ、およびメッセージのクラスとタイプに基づいてアクションを適用できるようになりました。

次のコマンドが追加または変更されました。clear service-policy inspect m3ua {drops | endpoint [IP_address]} 、inspect m3ua 、match dpc 、match opc 、match service-indicator 、policy-map type inspect m3ua 、show asp table classify domain inspect-m3ua 、show conn detail 、show service-policy inspect m3ua {drops | endpoint IP_address} 、ss7 variant 、timeout endpoint

次のページが追加または変更されました。[Configuration] > [Firewall] > [Objects] > [Inspection Maps] > [M3UA]、サービス ポリシー ルールの場合は [Rule Action] > [Protocol Inspection] タブ

Session Traversal Utilities for NAT（STUN）インスペクション

Cisco Spark を含む WebRTC アプリケーションの STUN トラフィックを検査できるようになりました。インスペクションでは、リターン トラフィックに必要なピンホールが開きます。

次のコマンドが追加または変更されました。inspect stun 、show conn detail 、show service-policy inspect stun

次のタブにオプションが追加されました。[Add/Edit Service Policy] ダイアログボックスの [Rule Actions] > [Protocol Inspection]

Cisco クラウド Web セキュリティのアプリケーション層健全性チェック

サーバーが正常かどうかを判断する際に、クラウド Web セキュリティ アプリケーションの健全性をチェックするように Cisco クラウド Web セキュリティを設定できるようになりました。アプリケーションの健全性を確認することで、プライマリ サーバーが TCP スリーウェイ ハンドシェイクに応答する場合に、システムはバックアップ サーバーにフェールオーバーできますが、要求を処理することはできません。これにより、より信頼性の高いシステムを実現します。

次のコマンドが追加されました。health-check application url 、health-check application timeout

次の画面が変更されました。[Configuration] > [Device Management] > [Cloud Web Security]

ルートの収束に対する接続ホールドダウン タイムアウト

接続で使用されているルートがもう存在していない、または非アクティブになったときに、システムが接続を保持する時間を設定できるようになりました。このホールドダウン期間内にルートがアクティブにならない場合、接続は解放されます。ルートの収束がさらに迅速に行われるようにホールドダウン タイマーを短縮することができます。ただし、ほとんどのネットワークでは、ルートのフラッピングを防止するためにデフォルトの 15 秒が適切です。

次のコマンドが追加されました。 timeout conn-holddown

次の画面が変更されました。[Configuration] > [Firewall] > [Advanced] > [Global Timeouts]

バージョン 9.4(3) でも同様です。

TCP オプション処理の変更

TCP マップを設定する際にパケットの TCP ヘッダー内の TCP MSS および MD5 オプションに対するアクションを指定できるようになりました。さらに、MSS、タイムスタンプ、ウィンドウ サイズ、および選択的確認応答オプションのデフォルトの処理が変更されました。以前は、これらのオプションは、ヘッダーに特定のタイプのオプションが 2 つ以上ある場合でも許可されていました。現在は、パケットに特定のタイプのオプションが 2 つ以上含まれている場合、そのパケットはデフォルトでドロップされます。たとえば、以前は 2 つのタイムスタンプ オプションがあるパケットは許可されていましたが、現在はドロップされます。

MD5、MSS、選択的確認応答、タイムスタンプ、およびウィンドウ サイズに対し、同じタイプの複数のオプションを有効にするための TCP マップを設定できます。MD5 オプションの場合、以前のデフォルトではオプションがクリアされたのに対し、現在のデフォルトでは許可されます。また、MD5 オプションを含むパケットをドロップすることもできます。MSS オプションの場合は、TCP マップで最大セグメント サイズを設定できます（トラフィック クラスごとに）。他のすべての TCP オプションのデフォルトに変更はありません。これらはクリアされます。

次のコマンドが変更されました。 tcp-options

次の画面が変更されました。[Configuration] > [Firewall] > [Objects] > [TCP Maps] > [Add/Edit] ダイアログボックス

トランスペアレント モードで、ブリッジ グループごとのインターフェイス数が最大で 64 に増加

ブリッジ グループあたりのインターフェイスの最大数が 4 から 64 に拡張されました。

変更されたコマンドはありません。

変更された画面はありません。

トランスペアレント モードでのマルチキャスト接続のフロー オフロードのサポート

トランスペアレント モードの Firepower 4100 および 9300 シリーズ デバイスで、NIC に直接切り替えられるマルチキャスト接続をオフロードできるようになりました。マルチキャスト オフロードは、インターフェイスを 2 つだけ含むブリッジ グループに使用できます。

この機能には、新規のコマンドまたは ASDM 画面はありません。

カスタマイズ可能な ARP レート制限

1 秒あたり許可される ARP パケットの最大数を設定できます。デフォルト値は ASA モデルによって異なります。この値は ARP ストーム攻撃を防ぐためにカスタマイズできます。

次のコマンドを追加しました。arp rate-limit、show arp rate-limit

次の画面が変更されました。[Configuration] > [Device Management] > [Advanced] > [ARP] > [ARP Static Table]

IEEE 802.2 論理リンク制御（LLC）パケットの Destination Service Access Point（DSAP）アドレスに対する Ethertype ルールのサポート

IEEE 802.2 論理リンク制御パケットの宛先サービス アクセス ポイントのアドレスに対する Ethertype のアクセス制御ルールを作成できるようになりました。この追加により、bpdu キーワードが対象トラフィックに一致しなくなります。dsap 0x42 に対して bpdu ルールを書き換えます。

次のコマンドが変更されました。 access-list ethertype

次の画面が変更されました。[Configuration] > [Firewall] > [EtherType Rules]。

リモート アクセス機能

マルチ コンテキスト モードの場合の証明書の事前入力/ユーザー名

セキュアクライアント SSL サポートが拡張され、これまでシングルモードでのみ使用可能だった証明書の事前入力とユーザー名取得機能の CLI がマルチコンテキストモードでも有効にできるようになりました。

変更されたコマンドはありません。

変更された画面はありません。

リモート アクセス VPN のフラッシュ仮想化

マルチ コンテキスト モードのリモート アクセス VPN はフラッシュ仮想化をサポートします。使用可能な合計フラッシュに基づき、コンテキストごとにプライベート記憶域と共有ストレージの場所が設定できます。

• プライベート記憶域：該当ユーザーのみに関連付けられ、該当ユーザー対象コンテンツ固有のファイルを保存します。

• 共有ストレージ：有効になると、この領域にファイルがアップロードされ、あらゆるユーザー コンテキストが読み取り/書き込みできるようこの領域へのアクセスが許可されます。

次のコマンドが導入されました。limit-resource storage、storage-url

次の画面が変更されました。[Configuration] > [Context Management] > [Resource Class] > [Add Resource Class]

[Configuration] > [Context Management] > [Security Contexts]

マルチコンテキストモードでの セキュアクライアント プロファイルのサポート

マルチコンテキストモードでの セキュアクライアント プロファイルのサポートASDM を使用して新しいプロファイルを追加するには、Secure Client リリース 4.2.00748 または 4.3.03013 以降が必要です。

マルチコンテキストモードの セキュアクライアント 接続のステートフル フェールオーバー

マルチコンテキストモードで セキュアクライアント 接続のステートフル フェールオーバーがサポートされるようになりました。

変更されたコマンドはありません。

変更された画面はありません。

マルチ コンテキスト モードでリモート アクセス VPN ダイナミック アクセス ポリシー（DAP）がサポートされました。

マルチ コンテキスト モードで、コンテキストごとに DAP を設定できるようになりました。

変更されたコマンドはありません。

変更された画面はありません。

マルチ コンテキスト モードでリモート アクセス VPN CoA（認可変更）がサポートされました。

マルチ コンテキスト モードで、コンテキストごとに CoA を設定できるようになりました。

変更されたコマンドはありません。

変更された画面はありません。

マルチ コンテキスト モードで、リモート アクセス VPN のローカライズがサポートされました。

ローカリゼーションがグローバルでサポートされました。複数のコンテキストで共有されるローカリゼーション ファイル セットは 1 つだけです。

変更されたコマンドはありません。

変更された画面はありません。

Umbrella ローミング セキュリティ モジュールのサポート

アクティブな VPN がない場合には、DNS 層のセキュリティを強化するため、Secure Client の Umbrella ローミング セキュリティモジュールを設定できます。

変更されたコマンドはありません。

次の画面が変更されました。[設定（Configuration）] > [リモートアクセスVPN（Remote Access VPN）] > [ネットワーク（クライアント）アクセス（Network (Client) Access）] > [プロファイル（Profile）] セキュアクライアント

IKEv2 の IPsec/ESP トランスポート モードのサポート

ASA IKEv2 ネゴシエーションでトランスポート モードがサポートされるようになりました。これは、トンネル（デフォルト）モードの代わりに使用できます。トンネル モードでは IP パケット全体がカプセル化されます。トランスポート モードでは IP パケットの上位層プロトコルだけがカプセル化されます。トランスポート モードでは、送信元ホストと宛先ホストの両方が IPSec をサポートしている必要があります。また、トランスポート モードは、トンネルの宛先ピアが IP パケットの最終宛先である場合にだけ使用されます。

次のコマンドが変更されました。crypto map set ikev2 mode

次の画面が変更されました。[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Advanced] > [IPsec] > [IPsec Proposals (Transform Sets)] > [IKEv2 proposals] > [Add/Edit]

IPsec 内部パケットに対するパケット単位のルーティング ルックアップ

デフォルトでは、外部 ESP パケットに対してはパケット単位の隣接関係（アジャセンシー）ルックアップが行われ、IPsec トンネル経由で送信されるパケットに対してはルックアップが行われません。一部のネットワーク トポロジでは、ルーティング アップデートによって内部パケットのパスが変更され、ローカル IPsec トンネルが引き続きアップ状態である場合、トンネル経由のパケットは正しくルーティングされず、宛先に到達しません。これを防止するには、新しいオプションを使用し、IPsec 内部パケットに対してパケット単位のルーティング ルックアップを有効にします。

次のコマンドが追加されました。crypto ipsec inner-routing-lookup

次の画面に [Enable IPsec Inner Routing Lookup] チェックボックスが追加されました。[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Advanced] > [IPsec] > [Crypto Maps]

証明書とセキュアな接続の機能

ASA クライアントによるサーバー証明書の拡張キーの使用状況確認

syslog、スマート ライセンス サーバー証明書は、[Extended Key Usage] フィールドに [ServerAuth ] を含める必要があります。そうしない場合、接続は失敗します。

ASA が TLS1.1 と 1.2 の TLS クライアントとして動作する際の相互認証

PKI デバッグ メッセージ

ASA PKI モジュールは、SCEP 登録、HTTP を使用した失効チェックなどのために CA サーバーへ接続します。これらすべての ASA PKI 通信はデバッグ追跡のため、debug crypto ca メッセージ 5 を付してログに記録されます。

ASDM での ASA SSL サーバー モード マッチング

証明書マップと照合するために、証明書で認証を行う ASDM ユーザーに対して証明書を要求できるようになりました。

次のコマンドを変更しました。http authentication-certificate match

次の画面を変更しました。[Configuration] > [Device Management] > [Management Access] > [ASDM/HTTPS/Telnet/SSH]

セキュアな syslog サーバーの接続とスマート ライセンシング接続のための参照 ID

TLS クライアント処理は、RFC 6125 のセクション 6 に定義されるサーバー ID の検証ルールをサポートするようになりました。ID 確認は syslog サーバーとスマート ライセンス サーバーへの TLS 接続の PKI 確認中に行われます。提示された ID が設定されたリファレンス ID と一致しない場合、接続を確立できません。

次のコマンドが追加または変更されました。crypto ca reference-identity、logging host、call home profile destination address

次の画面が変更されました。

[Configuration] > [Remote Access VPN] > [Advanced]

[Configuration] > [Device Management] > [Logging] > [Syslog Servers] > [Add/Edit]

[Configuration] > [Device Management] > [Smart Call Home]

暗号キー抹消検査

ASA の暗号化システムは、新しい暗号キー抹消要件に適合するように更新されました。キーはすべてゼロで上書きされ、データを読み出して上書きが正しく行われたか確認する必要があります。

SSH 公開キー認証の改善

以前のリリースでは、ローカル ユーザー データベース（ (aaa authentication ssh console LOCAL )）を使用して AAA SSH 認証を有効にしなくても、SSH 公開キー認証（(ssh authentication )）を有効にすることができました。この設定は修正されたため、AAA SSH 認証を明示的に有効にする必要があります。ユーザーが秘密キーの代わりにパスワードを使用できないよう、パスワード未定義のユーザー名を作成できるようになりました。

次のコマンドが変更されました。ssh authentication、username

次の画面が変更されました。

[Configuration] > [Device Management] > [Management Access] > [ASDM/HTTPS/Telnet/SSH]

[Configuration] > [Device Management] > [Users/AAA] > [User Accounts] > [Add/Edit User Account]

インターフェイス機能

Firepower 4100/9300 シャーシ の ASA のMTU サイズ増加

Firepower 4100 および 9300 で、最大 MTU を 9188 バイトに設定できます。これまでは 9000 バイトが最大でした。この MTU は FXOS 2.0.1.68 以降でサポートされます。

次のコマンドが変更されました。mtu

次の画面が変更されました。[Configuration] > [Device Setup] > [Interface Settings] > [Interfaces] > [Advanced]

ルーティング機能

Bidirectional Forwarding Detection（BFD）のサポート

ASAは、BFD ルーティング プロトコルをサポートするようになりました。BFD テンプレート、インターフェイスおよびマッピングの設定が新たにサポートされました。BFD を使用するための BGP ルーティング プロトコルのサポートも追加されました。

次のコマンドが追加または変更されました。 authentication、bfd echo、bfd interval、bfd map、bfd slow-timers、bfd template、bfd-template、clear bfd counters、echo、debug bfd、neighbor fall-over bfd、show bfd drops、show bfd map、show bfd neighbors、show bfd summary

次の画面が追加または変更されました。

[Configuration] > [Device Setup] > [Routing] > [BFD] > [Template]

[Configuration] > [Device Setup] > [Routing] > [BFD] > [Interface]

[Configuration] > [Device Setup] > [Routing] > [BFD] > [Map]

[Configuration] > [Device Setup] > [Routing] > [BGP] > [IPv6 Family] > [Neighbors]

IPv6 DHCP

ASA で IPv6 アドレッシングの次の機能がサポートされました。

• DHCPv6 アドレス クライアント：ASA は DHCPv6 サーバーから IPv6 グローバル アドレスとオプションのデフォルト ルートを取得します。

• DHCPv6 プレフィックス委任クライアント：ASA は DHCPv6 サーバーから委任プレフィックスを取得します。ASA は、これらのプレフィックスを使用して他の ASA インターフェイスのアドレスを設定し、ステートレス アドレス自動設定（SLAAC）クライアントが同じネットワーク上で IPv6 アドレスを自動設定できるようにします。

• 委任プレフィックスの BGP ルータ アドバタイズメント

• DHCPv6 ステートレス サーバー：SLAAC クライアントが ASA に情報要求（IR）パケットを送信すると、ASA はドメインインネームなどの他の情報を SLAAC クライアントに提供します。ASA は、IR パケットを受け取るだけで、クライアントにアドレスを割り当てません。

次のコマンドが追加または変更されました。clear ipv6 dhcp statistics、domain-name、dns-server、import、ipv6 address autoconfig、ipv6 address dhcp、ipv6 dhcp client pd、ipv6 dhcp client pd hint、ipv6 dhcp pool、ipv6 dhcp server、network、nis address、nis domain-name、nisp address、nisp domain-name、show bgp ipv6 unicast、show ipv6 dhcp、show ipv6 general-prefix、sip address、sip domain-name、sntp address

次の画面が追加または変更されました。

[Configuration] > [Device Setup] > [Interface Settings] > [Interfaces] > [Add Interface] > [IPv6]

[Configuration] > [Device Management] > [DHCP] > [DHCP Pool]

[Configuration] > [Device Setup] > [Routing] > [BGP] > [IPv6 Family] > [Networks]

[Monitoring] > [interfaces] > [DHCP]

ハイ アベイラビリティとスケーラビリティの各機能

アクティブ/スタンバイフェールオーバーを使用するときの セキュアクライアント からのダイナミック ACL における同期時間の改善

フェールオーバーペアで セキュアクライアント を使用するとき、関連付けられているダイナミック ACL（dACL）におけるスタンバイユニットへの同期時間が改善されました。以前は、大規模な dACL の場合、スタンバイユニットが可用性の高いバックアップを提供するのではなく同期作業で忙しい間は、同期時間が長時間に及ぶことがありました。

変更されたコマンドはありません。

変更された画面はありません。

ライセンシング機能

ASA 仮想 の永続ライセンス予約

Cisco Smart Software Manager との通信が許可されていない非常にセキュアな環境では、ASA 仮想 用に永続ライセンスを要求できます。9.6(2) では、Amazon Web サービスの ASA 仮想 向けに、この機能のサポートが追加されました。この機能は Microsoft Azure ではサポートされません。

次のコマンドが導入されました。license smart reservation、license smart reservation cancel、license smart reservation install、license smart reservation request universal、license smart reservation return

ASDM サポートはありません。

バージョン 9.5(2.200) でも同様です。

ASA 仮想 のサテライトサーバーのサポート

デバイスがセキュリティ上の理由でインターネットにアクセスができない場合、オプションで、仮想マシン（VM）としてローカル Smart Software Manager サテライト サーバーをインストールできます。

変更されたコマンドはありません。

変更された画面はありません。

ASA 仮想 の短かい文字列の拡張機能向けの永続ライセンス予約

スマート エージェント（1.6.4 への）の更新により、要求と認証コードには短い文字列が使用されます。

変更されたコマンドはありません。

変更された画面はありません。

Firepower 4100/9300 シャーシ 上の ASA の永続ライセンス予約

Cisco Smart Software Manager との通信が許可されていない非常にセキュアな環境では、FirePOWER 9300 および FirePOWER 4100 の ASA 用に永続ライセンスを要求できます。永続ライセンスには、標準層、高度暗号化（該当する場合）、セキュリティ コンテキスト、キャリア ライセンスをはじめ、使用可能なすべてのライセンス権限が含まれます。FXOS 2.0.1 が必要です。

すべての設定はFirepower 4100/9300 シャーシで実行され、ASA の設定は不要です。

ASA 仮想 用スマートエージェントの v1.6 へのアップグレード

スマート エージェントはバージョン 1.1 からバージョン 1.6 へアップグレードされました。このアップグレードは永続ライセンス予約をサポートするほか、ライセンス アカウントに設定された権限に従って、高度暗号化（3DES/AES）ライセンス権限の設定もサポートします。

次のコマンドが導入されました。show license status、show license summary、show license udi、show license usage

次のコマンドが変更されました。show license all、show tech-support license

次のコマンドが非推奨になりました。 show license cert、show license entitlement、show license pool、show license registration

変更された画面はありません。

バージョン 9.5(2.200) でも同様です。

モニタリング機能

type asp-drop のパケット キャプチャは、ACL と一致フィルタリングをサポートします。

asp-drop タイプのパケット キャプチャを作成するとき、ACL または一致するオプションを指定してキャプチャの範囲を制限できるようになりました。

次のコマンドが変更されました。capture type asp-drop

変更された画面はありません。

フォレンジック分析の強化

ASA で実行されているすべてのプロセスのコア ダンプを作成できます。主な ASA プロセスのテキスト セクションを抽出し、検証用にコピーできます。

次のコマンドが変更されました。copy system:text、verify system:text、crashinfo force dump process

変更された画面はありません。

NetFlow 経由の接続ごとのトラッキング パケット数の追跡

NetFlow ユーザーがある接続上で双方向に送受信されるレイヤ 4 パケットの数を確認することを可能にする 2 つのカウンタが追加されました。これらのカウンタを使用して、平均パケット レートおよびサイズを判断し、トラフィック タイプ、異常、イベントをより適切に予測できます。

変更されたコマンドはありません。

変更された画面はありません。

フェールオーバーの SNMP engineID の同期

フェールオーバー ペアでは、一対の ASA の SNMP engineID は両方のユニットで同期されます。ASA ごとに、同期された engineID、ネイティブ engineID、およびリモート engineID による engineID が 3 セット維持されます。

SNMPv3 ユーザーは、ローカライズされた snmp-server user 認証とプライバシー オプションを保存するためのプロファイルを作成するときに ASA の engineID も指定できます。ユーザーがネイティブ engineID を指定しない場合、show running config 出力に engineID がユーザーごとに 2 つずつ表示されます。

次のコマンドが変更されました。snmp-server user

ASDM サポートはありません。

バージョン 9.4(3) でも同様です。

プラットフォーム機能

Firepower 4100 シリーズ の ASA

Firepower 4110、4120、4140 用の ASA を導入しました。

FXOS 1.1.4 が必要です。

追加または変更されたコマンドはありません。

追加または変更された画面はありません。

ISA 3000 の SD カードのサポート

ISA 3000 の外部ストレージとして SD カードが使用できるようになりました。カードは、ASA ファイル システムのディスク 3 として表示されます。プラグ アンド プレイをサポートするにはハードウェア バージョン 2.1 以降が必要です。ハードウェア バージョンをチェックするには、show module コマンドを使用します。

追加または変更されたコマンドはありません。

追加または変更された画面はありません。

ISA 3000 のデュアル電源サポート

ISA 3000 のデュアル電源では、ASA OS に望ましい構成としてデュアル電源を設定できます。1 つの電源に障害が発生すると、ASA はアラームを発します。デフォルトでは、ASA は単一電源を想定していますが、装備される電源のいずれかが機能しているかぎりアラームを発しません。

次のコマンドが導入されました。power-supply dual 。

ASDM サポートはありません。

ファイアウォール機能

Diameter インスペクションの改善

TCP/TLS トラフィック上の Diameter を検査し、厳密なプロトコル準拠チェックを適用し、クラスタ モードで SCTP 上の Diameter を検査できるようになりました。

次のコマンドが導入または変更されました。client clear-text 、inspect diameter 、strict-diameter 。

次の画面が追加または変更されました。

[Configuration] > [Firewall] > [Objects] > [Inspect Maps] > [Diameter]

[Configuration] > [Firewall] > [Service Policy] の [Add/Edit] ウィザードの [Rule Actions] > [Protocol Inspection] タブ

クラスタ モードでの SCTP ステートフル インスペクション

SCTP ステートフル インスペクションがクラスタ モードで動作するようになりました。また、クラスタ モードで SCTP ステートフル インスペクション バイパスを設定することもできます。

追加または変更されたコマンドはありません。

追加または変更された画面はありません。

H.460.18 互換性に関連する H.225 SETUP メッセージの前に着信する H.255 FACILITY メッセージに対する H.323 インスペクションのサポート。

H.225 FACILITY メッセージが H.225 SETUP メッセージの前に着信する（これは、エンドポイントが H.460.18 に準拠する場合に発生する場合があります）ことを許可するように H.323 インスペクション ポリシー マップを設定できるようになりました。

次のコマンドが導入されました。early-message 。

H.323 インスペクション ポリシー マップの [Call Attributes] タブにオプションが追加されました。

Security Exchange Protocol（SXP）バージョン 3 の Cisco TrustSec サポート。

ASA の Cisco Trustsec は、ホスト バインディングよりも効率的な SGT とサブネット間のバインディングを可能にする SXPv3 を実装するようになりました。

次のコマンドが導入または変更されました。cts sxp mapping network-map maximum_hosts 、cts role-based sgt-map 、show cts sgt-map 、show cts sxp sgt-map 、show asp table cts sgt-map 。

[Configuration] > [Firewall] > [Identity By TrustSec] と [SGT Map Setup] ダイアログボックスが変更されました。

Firepower 4100 シリーズ のフロー オフロードのサポート。

ASA からオフロードされ、Firepower 4100 シリーズ の NIC で直接切り替える必要があるフローを特定できるようになりました。

FXOS 1.1.4 が必要です。

追加または変更されたコマンドはありません。

追加または変更された画面はありません。

リモート アクセス機能

IKEv2 フラグメンテーション、RFC-7383 サポート

ASA では、IKEv2 パケットのこの標準的なフラグメンテーションがサポートされるようになりました。これにより、Apple、Strongswan など、他の IKEv2 の実装との相互運用性を実現します。ASA は、セキュアクライアントなどの RFC-7383 をサポートしないシスコ製品との後方互換性を保つため、独自の IKEv2 フラグメンテーションを引き続きサポートします。

次のコマンドが導入されました。 crypto ikev2 fragmentation 、show running-config crypto ikev2 、show crypto ikev2 sa detail

Firepower 9300 とFirepower 4100 シリーズでの VPN スループット パフォーマンス強化

crypto engine accelerator-bias コマンドが Firepower 9300 と Firepower 4100 シリーズ 上の ASA セキュリティ モジュールでサポートされるようになりました。このコマンドにより、IPSec または SSL に対して暗号コアを「優先的に使用」できます。

次のコマンドが変更されました。 crypto engine accelerator-bias

追加または変更された画面はありません。

設定可能な SSH 暗号機能と HMAC アルゴリズム

ユーザーは SSH 暗号化を管理するときに暗号化モードを選択し、さまざまなキー交換アルゴリズムに対して HMAC と暗号化を設定できます。アプリケーションに応じて、暗号の強度を強くしたり弱くする必要がある場合があります。セキュアなコピーのパフォーマンスは暗号化アルゴリズムに一部依存します。デフォルトで、ASA は 3des-cbc aes128-cbc aes192-cbc aes256-cbc aes128-ctr aes192-ctr aes256-ctr の順にアルゴリズムをネゴシエートします。提示された最初のアルゴリズム（3des-cbc）が選択された場合、aes128-cbc などの一層効率的なアルゴリズムが選択された場合よりも大幅にパフォーマンスが低下します。たとえば、提示された暗号方式に変更するには、ssh cipher encryption custom aes128-cbc を使用します。

次のコマンドが導入されました。ssh cipher encryption、ssh cipher integrity。

次の画面が導入されました。[Configuration] > [Device Management] > [Advanced] > [SSH Ciphers]

9.1(7) 、9.4(3) および 9.5(3) でも使用可能です。

IPv6 の HTTP リダイレクト サポート

ASDM アクセスまたはクライアントレス SSL VPN 用の HTTPS に HTTP リダイレクトを有効にすると、IPv6 アドレスへ送信されるトラフィックもリダイレクトできるようになりました。

次のコマンドに機能が追加されました。http redirect

次の画面に機能が追加されました。[Configuration] > [Device Management] > [HTTP Redirect]

9.1(7) および 9.4(3) でも使用可能です。

ルーティング機能

IS-IS ルーティング

ASA で Intermediate System to Intermediate System（IS-IS）のルーティング プロトコルがサポートされました。IS-IS ルーティング プロトコルを使用した、データのルーティング、認証の実行、およびルーティング情報の再配布とモニターについて、サポートが追加されました。

次のコマンドを導入しました。 advertise passive-only, area-password, authentication key, authentication mode, authentication send-only, clear isis, debug isis, distance, domain-password, fast-flood, hello padding, hostname dynamic, ignore-lsp-errors, isis adjacency-filter, isis advertise prefix, isis authentication key, isis authentication mode, isis authentication send-only, isis circuit-type, isis csnp-interval, isis hello-interval, isis hello-multiplier, isis hello padding, isis lsp-interval, isis metric, isis password, isis priority, isis protocol shutdown, isis retransmit-interval, isis retransmit-throttle-interval, isis tag, is-type, log-adjacency-changes, lsp-full suppress, lsp-gen-interval, lsp-refresh-interval, max-area-addresses, max-lsp-lifetime, maximum-paths, metric, metric-style, net, passive-interface, prc-interval, protocol shutdown, redistribute isis, route priority high, route isis, set-attached-bit, set-overload-bit, show clns, show isis, show router isis, spf-interval, summary-address.

次の画面が導入されました。

[Configuration] > [Device Setup] > [Routing] > [ISIS]

[Monitoring] > [Routing] > [ISIS]

ハイ アベイラビリティとスケーラビリティの各機能

ルーテッドおよびスパンド EtherChannel モードのサイト固有の IP アドレスのポート

スパンド EtherChannel のルーテッド モードでのサイト間クラスタリングの場合、サイト個別の MAC アドレスに加えて、サイト個別の IP アドレスを設定できるようになりました。サイト IP アドレスを追加することにより、グローバル MAC アドレスからの ARP 応答を防止するために、ルーティング問題の原因になりかねない Data Center Interconnect（DCI）経由の移動によるオーバーレイ トランスポート仮想化（OTV）デバイスの ARP 検査を使用することができます。MAC アドレスをフィルタ処理するために VACL を使用できないスイッチには、ARP 検査が必要です。

次のコマンドが変更されました。mac-address、show interface

次の画面を変更しました。[Configuration] > [Device Setup] > [Interface Settings] > [Interfaces] > [Add/Edit EtherChannel Interface] > [Advanced]

管理機能

ローカルの username および enable パスワードでより長いパスワード（127 文字まで）がサポートされます。

127 文字までのローカル username および enable パスワードを作成できます（以前の制限は 32 文字でした）。32 文字以上のパスワードを作成すると、PBKDF2（パスワード ベース キー派生関数 2）のハッシュを使用して設定に保存されます。これよりも短いパスワードは引き続き MD5 ベースのハッシュを使用します。

次のコマンドを変更しました。enable、username

次の画面が変更されました。

[Configuration] > [Device Setup] > [Device Name/Password] > [Enable Password]

[Configuration] > [Device Management] > [Users/AAA] > [User Accounts] > [Add/Edit User Account] > [Identity]

CISCO-ENHANCED-MEMPOOL-MIB の cempMemPoolTable のサポート

CISCO-ENHANCED-MEMPOOL-MIB の cempMemPoolTable がサポートされました。これは、管理型システムのすべての物理エンティティのメモリプール モニタリング エントリのテーブルです。

追加または変更されたコマンドはありません。

追加または変更された画面はありません。

9.1(7) および 9.4(3) でも使用可能です。

REST API バージョン 1.3.1

REST API バージョン 1.3.1 のサポートが追加されました。

リモート アクセス機能

設定可能な SSH 暗号機能と HMAC アルゴリズム

ユーザーは SSH 暗号化を管理するときに暗号化モードを選択し、さまざまなキー交換アルゴリズムに対して HMAC と暗号化を設定できます。アプリケーションに応じて、暗号の強度を強くしたり弱くする必要がある場合があります。セキュアなコピーのパフォーマンスは暗号化アルゴリズムに一部依存します。デフォルトで、ASA は 3des-cbc aes128-cbc aes192-cbc aes256-cbc aes128-ctr aes192-ctr aes256-ctr の順にアルゴリズムをネゴシエートします。提示された最初のアルゴリズム（3des-cbc）が選択された場合、aes128-cbc などの一層効率的なアルゴリズムが選択された場合よりも大幅にパフォーマンスが低下します。たとえば、提示された暗号方式に変更するには、ssh cipher encryption custom aes128-cbc を使用します。

次のコマンドが導入されました。ssh cipher encryption、ssh cipher integrity。

次の画面が導入されました。[Configuration] > [Device Management] > [Advanced] > [SSH Ciphers]

9.1(7) および 9.4(3) でも使用可能です。

プラットフォーム機能

ASAv10 での Microsoft Azure サポート

Microsoft Azure は、プライベート Microsoft Hyper V ハイパーバイザを使用するパブリック クラウド環境です。ASA 仮想 は、Hyper V ハイパーバイザの Microsoft Azure 環境でゲストとして実行されます。Microsoft Azure 上の ASA 仮想 は、4 つの vCPU、14 GB、4 つのインターフェイスをサポートする Standard D3 の 1 つのインスタンスタイプをサポートします。

ライセンシング機能

ASA 仮想 の永続ライセンス予約

Cisco Smart Software Manager との通信が許可されていない非常にセキュアな環境では、ASA 仮想 用に永続ライセンスを要求できます。

次のコマンドが導入されました。license smart reservation、license smart reservation cancel、license smart reservation install、license smart reservation request universal、license smart reservation return

ASDM サポートはありません。

スマート エージェントの v1.6 へのアップグレード

スマート エージェントはバージョン 1.1 からバージョン 1.6 へアップグレードされました。このアップグレードは永続ライセンス予約をサポートするほか、ライセンス アカウントに設定された権限に従って、高度暗号化（3DES/AES）ライセンス権限の設定もサポートします。

次のコマンドが導入されました。show license status、show license summary、show license udi、show license usage

次のコマンドが変更されました。show license all、show tech-support license

次のコマンドが非推奨になりました。 show license cert、show license entitlement、show license pool、show license registration

変更された画面はありません。

プラットフォーム機能

Firepower 9300 での ASA の VPN サポート

ファイアウォール機能

Firepower 9300 での ASA のフローのオフロード

ASA からオフロードし、（Firepower 9300 上の）NIC で直接切り替える必要があるフローを特定できるようになりました。これにより、データセンターのより大きなデータ フローのパフォーマンスが向上します。

FXOS 1.1.3 も必要です。

次のコマンドが追加または変更されました。clear flow-offload 、flow-offload enable 、set-connection advanced-options flow-offload 、show conn detail 、show flow-offload 。

次の画面が追加または変更されました：[Configuration] > [Firewall] > [Advanced] > [Offload Engine]、[Configuration] > [Firewall] > [Service Policy Rules] の下でルールを追加または編集する場合の [Rule Actions] > [Connection Settings] タブ。

ハイ アベイラビリティ機能

Firepower 9300 での 6 モジュールのシャーシ間クラスタリング と ASA のサイト間クラスタリング

FXOS 1.1.3 では、シャーシ間、さらにサイト間クラスタリングを有効にできます。最大 6 つのシャーシに最大 6 つのモジュールを含めることができます。

変更されたコマンドはありません。

変更された画面はありません。

ライセンシング機能

Firepower 9300 の ASA に高度暗号化（3DES）ライセンスを自動的に適用

通常の Cisco Smart Software Manager（SSM）ユーザーの場合、FirePOWER 9300 で登録トークンを適用すると、対象となるお客様には強力な暗号化ライセンスが自動的に有効になります。

この機能には、FXOS 1.1.3 が必要です。

サテライト以外の構成では、次のコマンドが除去されました。feature strong-encryption

次の画面が変更されました。[Configuration] > [Device Management] > [Licensing] > [Smart License]

プラットフォーム機能

Cisco ISA 3000 サポート

Cisco ISA 3000 は、DIN レールにマウントされた高耐久型の産業用セキュリティ アプライアンスです。ギガビット イーサネットと専用管理ポートを備えた、低消費電型ファンレス デバイスです。このモデルには ASA Firepower モジュールが事前にインストールされています。このモデルの特別な機能として、カスタマイズされたトランスペアレント モードのデフォルト設定と、電源喪失時もトラフィックがアプライアンスを通過することを可能にするハードウェア バイパス機能があります。

次のコマンドが導入されました。hardware-bypass、hardware-bypass manual、hardware-bypass boot-delay

次の画面が変更されました。[Configuration] > [Device Management] > [Hardware Bypass]

バージョン 9.4(1.225) でも同様です。

ファイアウォール機能

DCERPC インスペクションの改善および UUID フィルタリング

DCERPC インスペクションは、OxidResolver ServerAlive2 opnum5 メッセージに対して NAT をサポートするようになりました。また、DCERPC メッセージの汎用一意識別子（UUID）でフィルタリングし、特定のメッセージ タイプをリセットするかログに記録できるようになりました。UUID フィルタリング用の新しい DCERPC インスペクション クラス マップがあります。

次のコマンドが導入されました。match [not] uuid 。次のコマンドが変更されました。class-map type inspect 。

[Configuration] > [Firewall] > [Objects] > [Class Maps] > [DCERPC] の画面が追加されました。

次の画面が変更されました。[Configuration] > [Firewall] > [Objects] > [Inspect Maps] > [DCERPC]。

Diameter インスペクション

Diameter トラフィックを検査できるようになりました。Diameter インスペクションには キャリア ライセンスが必要です。

次のコマンドが導入または変更されました。class-map type inspect diameter 、diameter 、inspect diameter 、match application-id 、match avp 、match command-code 、policy-map type inspect diameter 、show conn detail 、show diameter 、show service-policy inspect diameter 、unsupported

次の画面が追加または変更されました。

[Configuration] > [Firewall] > [Objects] > [Inspect Maps] > [Diameter] と [Diameter AVP]

[Configuration] > [Firewall] > [Service Policy] の [Add/Edit] ウィザードの [Rule Actions] > [Protocol Inspection] タブ

SCTP インスペクションとアクセス制御

サービス オブジェクト、アクセス コントロール リスト（ACL）とアクセス ルールにて SCTP プロトコルとポートの仕様を使用して、SCTP トラフィックを検査できるようになりました。SCTP インスペクションには キャリア ライセンスが必要です。

次のコマンドが導入されました。access-list extended 、clear conn protocol sctp 、inspect sctp 、match ppid 、nat static (object)、policy-map type inspect sctp 、service-object 、service 、set connection advanced-options sctp-state-bypass 、show conn protocol sctp 、show local-host connection sctp 、show service-policy inspect sctp 、timeout sctp

次の画面が追加または変更されました。

[Configuration] > [Firewall] > [Access Rules] の [Add/Edit] ダイアログ

[Configuration] > [Firewall] > [Advanced] > [ACL Manager] の [Add/Edit] ダイアログ

[Configuration] > [Firewall] > [Advanced] > [Global Timeouts]

[Configuration] > [Firewall] > [NAT] の [Add/Edit static network object NAT rule] 、[Advanced NAT Settings] ダイアログボックス

[Configuration] > [Firewall] > [Objects] > [Service Objects/Groups] の [Add/Edit] ダイアログ

[Configuration] > [Firewall] > [Objects] > [Inspect Maps] > [SCTP]

[Configuration] > [Firewall] > [Service Policy] の [Add/Edit] ウィサードの [Rule Actions] > [Protocol Inspection] と [Connection Settings] タブ

キャリア グレード NAT の強化は、フェールオーバーおよび ASA クラスタリングでサポートされます。

キャリア グレードまたは大規模 PAT では、NAT に 1 度に 1 つのポート変換を割り当てさせるのではなく、各ホストにポートのブロックを割り当てることができます（RFC 6888 を参照してください）。この機能は、フェールオーバーおよび ASA クラスタの導入でサポートされます。

次のコマンドが変更されました。show local-host

変更された画面はありません。