Cisco Secure Firewall ASA の新機能
このドキュメントでは、各リリースの新機能を示します。
(注) |
syslog メッセージガイドに、新規、変更済み、および廃止された syslog メッセージを記載しています。 |
バージョン 9.20 の新機能
ASA 9.20(2)/ASDM 7.20(2) の新機能
リリース日:2023 年 12 月 13 日
機能 |
説明 |
---|---|
プラットフォーム機能 |
|
Cisco Secure Firewall 3100 における 100GB ネットワークモジュールのサポート |
Cisco Secure Firewall 3100 で 100GB のネットワークモジュールを使用できるようになりました。このモジュールは、Cisco Secure Firewall 4200 でもサポートされています。 |
Cisco Secure Firewall 4200 の接続制限の引き上げ |
最大接続数が引き上げられました。
|
OCI 上の ASAv:追加のインスタンス |
OCI 上の ASA 仮想インスタンスは、最高のパフォーマンスとスループットレベルを達成するために追加のシェイプをサポートするようになりました。 |
ハイ アベイラビリティとスケーラビリティの各機能 |
|
Azure 上の ASAv:ゲートウェイ ロード バランシングによるクラスタリング |
Azure Resource Manager(ARM)テンプレートを使用した Azure での ASA 仮想クラスタリングの展開がサポートされるようになり、ネットワークトラフィックのロードバランシングにゲートウェイロードバランサ(GWLB)を使用するように
ASAv クラスタが設定されています。
新しい/変更されたコマンド: 新しい/変更された画面: |
AWS 上の ASAv:ゲートウェイ ロード バランシングによるクラスタリングの復元力 |
AWS のターゲットグループサービスでターゲット フェールオーバー オプションを設定できます。これにより、仮想インスタンスのフェールオーバーが発生した場合に GWLB が既存のフローを正常なターゲットに転送できます。ASAv クラスタリングでは、各インスタンスがターゲットグループに関連付けられ、ターゲット フェールオーバー オプションが有効になっています。これは、GWLB が異常なターゲットを識別して、ターゲットグループ内のターゲットノードとして識別または登録されている正常なインスタンスにネットワークトラフィックをリダイレクトまたは転送するのに役立ちます。 |
シャーシハートビート障害後にクラスタに再参加するための設定可能な遅延(Firepower 4100/9300) |
デフォルトでは、シャーシハートビート障害から回復すると、ノードはすぐにクラスタに再参加します。ただし、health-check chassis-heartbeat-delay-rejoin コマンドを設定すると、health-check system auto-rejoin コマンドの設定に従って再参加します。 新規/変更されたコマンド: health-check chassis-heartbeat-delay-rejoin 新規/変更された画面: |
show failover statistics にクライアント統計情報を追加 |
フェールオーバー クライアントのパケット統計情報が拡張され、デバッグ機能が向上しました。show failover statistics コマンドは、np-clients (データパスクライアント)および cp-clients (コントロールプレーン クライアント)の情報を表示するように拡張されています。 変更されたコマンド:show failover statistics cp-clients 、show failover statistics np-clients 9.18(4) でも同様です。 |
show failover statistics events に新しいイベントを追加 |
show failover statistics events コマンドが拡張され、アプリケーション エージェントによって通知されるローカル障害(フェールオーバーリンクの稼働時間、スーパーバイザハートビート障害、およびディスクフルの問題)を表示するようになりました。 変更されたコマンド: show failover statistics events 9.18(4) でも同様です。 |
ASA 9.20(1)/ASDM 7.20(1) の新機能
リリース:2023 年 9 月 7 日
(注) |
このリリースは、Cisco Secure Firewall 4200 でのみサポートされます。 |
機能 |
説明 |
---|---|
プラットフォーム機能 |
|
Cisco Secure Firewall 4200 |
Cisco Secure Firewall 4215、4225、および 4245 向けの ASA を導入しました。Cisco Secure Firewall 4200 は、スパンド EtherChannel クラスタリングで最大 8 ユニットをサポートします。ファイアウォールの電源が入っているときに、再起動することなく、同じタイプのネットワークモジュールをホットスワップできます。他のモジュールの変更を行う場合には、再起動が必要です。Cisco Secure Firewall 4200 の 25 Gbps 以上のインターフェイスは、Forward Error Correction と、インストールされている SFP に基づく速度検出をサポートします。SSD は自己暗号化ドライブ(SED)です。SSD が 2 つある場合、ソフトウェア RAID を形成します。管理インターフェイスが 2 つあります。 |
ファイアウォール機能 |
|
sysopt connection tcp-max-unprocessed-seg コマンドの ASDM サポート |
TCP 未処理セグメントの最大数を 6 ~ 24 に設定できます。デフォルト値は 6 です。SIP 電話機が Call Manager に接続していないことを確認したら、未処理の TCP セグメントの最大数を増やすことができます。 新規/変更された画面: |
データプレーンにオフロードされた ASP ルールエンジンのコンパイル。 |
デフォルトでは、ルールベースのポリシー(ACL、NAT、VPN など)に 100 を超えるルール更新がある場合、ASP ルールエンジンのコンパイルはコントロールプレーンではなくデータプレーンにオフロードされます。このオフロードにより、コントロールプレーンで他のタスクを実行する時間が長くなります。 次のコマンドが追加または変更されました。asp rule-engine compile-offload 、show asp rule-engine 。 |
データプレーンのクイックリロード |
データプレーンを再起動する必要がある場合、デバイスを再起動する代わりに、データプレーンプロセスをリロードできるようになりました。データプレーンのクイックリロードを有効にすると、データプレーンとその他のプロセスが再起動されます。 新規/変更されたコマンド:data-plane quick-reload 、show data-plane quick-reload status 。 |
ハイ アベイラビリティとスケーラビリティの各機能 |
|
ASA の高可用性のための偽フェールオーバーの削減 |
ASA 高可用性のデータプレーンに追加のハートビートモジュールが導入されました。このハートビートモジュールは、コントロールプレーンのトラフィックの輻輳や CPU の過負荷が原因で発生する可能性のある、偽フェールオーバーやスプリットブレインシナリオを回避するのに役立ちます。 9.18(4) でも同様です。 |
フローステータスの設定可能なクラスタキープアライブ間隔 |
フローオーナーは、キープアライブ(clu_keepalive メッセージ)と更新(clu_update メッセージ)をディレクタおよびバックアップオーナーに送信して、フローの状態を更新します。キープアライブ間隔を設定できるようになりました。デフォルトは 15 秒で、15 ~ 55 秒の範囲で間隔を設定できます。クラスタ制御リンクのトラフィック量を減らすために長い間隔を設定できます。 新規/変更されたコマンド: clu-keepalive-interval 新規/変更された画面: |
ルーティング機能 |
|
EIGRPv6 |
EIGRP for IPv6 を設定し、それらを個別に管理できるようになりました。各インターフェイスで EIGRP を設定するときは、IPv6 を明示的に有効にする必要があります。 新規/変更されたコマンド:新しく導入されたコマンドは、次のとおりです。ipv6 eigrp 、ipv6 hello-interval eigrp 、ipv6 hold-time eigrp 、ipv6 split-horizon eigrp 、show ipv6 eigrp interface 、show ipv6 eigrp traffic 、show ipv6 eigrp neighbors 、show ipv6 eigrp interface 、ipv6 summary-address eigrp 、show ipv6 eigrp topology 、show ipv6 eigrp events 、show ipv6 eigrp timers 、clear ipv6 eigrp 、および clear ipv6 router eigrp IPv6 をサポートするため、次のコマンドが変更されました。default-metric 、distribute-list prefix-list 、passive-interface 、eigrp log-neighbor-warnings 、eigrp log-neighbor-changes 、eigrp router-id 、および eigrp stub 新規/変更された画面:[セットアップ(Setup)]、[フィルタルール(Filter Rules)]、[インターフェイス(Interface)]、[パッシブインターフェイス(Passive Interface)]、[再配布(Redistribution)]、および [スタティックネイバー(Static Neighbor)] タブ。 、 |
HTTP クライアントによるパスモニタリング |
PBR は、特定の宛先 IP のメトリックではなく、アプリケーションドメインの HTTP クライアントを介したパスモニタリングによって収集されたパフォーマンスメトリック(RTT、ジッター、パケット損失、および MOS)を使用できるようになりました。インターフェイスの HTTP ベースのアプリケーション モニタリング オプションは、デフォルトで有効になっています。HTTP ベースのパスモニタリングは、ネットワーク サービス グループのオブジェクトを使用してインターフェイスで設定できます。モニタリング対象のアプリケーションが搭載され、パスを決定するためのインターフェイスの順序付けを行う一致 ACL を使用して、PBR ポリシーを設定できます。 新規/変更された画面: |
インターフェイス機能 |
|
VXLAN VTEP IPv6 のサポート |
VXLAN VTEP インターフェイスに IPv6 アドレスを指定できるようになりました。IPv6 では、ASA 仮想 クラスタ制御リンクまたは Geneve カプセル化がサポートされていません。 新規/変更されたコマンド:default-mcast-group 、mcast-group 、peer ip 新しい/変更された画面: |
DNS、HTTP、ICMP、IPsec フローオフロードのループバック インターフェイスのサポート |
ループバック インターフェイスを追加して、以下に使用できるようになりました。
|
ライセンス機能 |
|
スマートライセンスや Smart Call Home といったクラウドサービスの IPv6 |
ASA は、スマートライセンスや Smart Call Home などのクラウドサービスの IPv6 をサポートするようになりました。 |
証明書の機能 |
|
OCSP および CRL の IPv6 PKI |
ASA で、IPv4 と IPv6 両方の OCSP および CRL URL をサポートするようになりました。URL で IPv6 を使用する場合は、角カッコで囲む必要があります。
新規/変更されたコマンド:crypto ca trustpointcrl 、cdp url 、ocsp url 新規/変更された画面: |
管理、モニタリング、およびトラブルシューティングの機能 |
|
SNMP syslog のレート制限 |
システム全体のレート制限を設定しない場合、SNMP サーバーに送信される syslog に対して個別にレート制限を設定できるようになりました。 新規/変更されたコマンド: logging history rate-limit |
スイッチのパケットキャプチャ |
スイッチの出力および入力トラフィックパケットをキャプチャするように設定できるようになりました。このオプションは、Secure Firewall 4200 モデルデバイスに対してのみ使用できます。 新しい/変更されたコマンド:
capture capture_name switch interface interface_name [ direction { both | egress | ingress } ] 新規/変更された画面: および |
VPN 機能 |
|
暗号デバッグの機能拡張 |
暗号デバッグの機能拡張は次のとおりです。
新しい/変更されたコマンド:
|
IKEv2 の複数のキー交換 |
ASA は、量子コンピュータ攻撃から IPsec 通信を保護するために、IKEv2 で複数のキー交換をサポートします。 新規/変更されたコマンド: additional-key-exchange |
SAML を使用した セキュアクライアント 接続認証 |
DNS ロードバランシングクラスタでは、SAML 認証を ASA で設定するときに、設定が適用されるデバイスに一意に解決されるローカルベース URL を指定できます。
新規/変更された画面: [設定(Configuration)] > [リモートアクセスVPN(Remote Access VPN)] > [ネットワーク(クライアント)アクセス(Network (Client) Access)] > [安全なクライアント接続プロファイル(Secure Client Connection Profiles)] > [追加/編集(Add/Edit)] > [ベーシック(Basic)] > [SAMLアイデンティティプロバイダー(SAML Identity Provider)] > [管理(Manage)] > [追加/編集(Add/Edit)] |
ASDM 機能 |
|
Windows 11 のサポート |
ASDM は Windows 11 で動作することが確認されています。 |
バージョン 9.19 の新機能
ASDM 7.19(1.95) の新機能
リリース:2023年 7 月 5 日
このリリースに新機能はありません。
ASDM 7.19(1.90) の新機能
リリース日:2023 年 2 月 16 日
このリリースに新機能はありません。
ASA 9.19(1)/ASDM 7.19(1) の新機能
リリース日:2022 年 11 月 29 日
機能 |
説明 |
---|---|
プラットフォーム機能 |
|
Cisco Secure Firewall 3105 |
Cisco Secure Firewall 3105 の ASA を導入しました。 |
Azure ゲートウェイロードバランサを使用した ASA Virtual 自動スケールソリューション |
Microsoft Azure にゲートウェイロードバランサを使用して ASA Virtual 自動スケールソリューションを展開できます。詳細については、インターフェイス機能を参照してください。 |
ファイアウォール機能 |
|
ネットワークサービスグループのサポート |
最大 1024 のネットワーク サービス グループを定義できるようになりました。 |
ハイアベイラビリティとスケーラビリティの各機能 |
|
バイアス言語の除去 |
「Master」と「Slave」という用語を含むコマンド、コマンド出力、syslog メッセージは、「Control」と「Control」に変更されました。 新規/変更されたコマンド:cluster control-node 、enable as-data-node 、prompt 、show cluster history 、show cluster info |
ASA Virtual Amazon Web Services(AWS)クラスタリング |
ASA Virtual は AWS で最大 16 ノードの個別インターフェイスのクラスタリングをサポートします。AWS ゲートウェイロードバランサ の有無にかかわらず、クラスタリングを使用できます。 ASDM サポートはありません。 |
ルーティング機能 |
|
IPv6 の BGP グレースフルリスタート |
IPv6 アドレスファミリの BGP グレースフルリスタートサポートを追加しました。 新規/変更されたコマンド:IPv6 ファミリをサポートするために拡張された既存のコマンド:ha-mode graceful-restart 新規/変更されたコマンド: |
ASDM での BGP トラフィックの ループバック インターフェイス サポート | ASDM は、BGP ネイバーシップのソースインターフェイスとしてループバック インターフェイスの設定をサポートするようになりました。ループバック インターフェイスは、パス障害の克服に役立ちます。
新規/変更された画面: |
インターフェイス機能 |
|
ASA Virtual で IPv6 をサポート |
ASAv は、プライベートおよびパブリック クラウド プラットフォームで IPv6 ネットワークプロトコルをサポートします。 ユーザーは次のことができるようになりました。
|
Azure ゲートウェイロードバランサの ASA Virtual のペアプロキシ VXLAN |
Azure ゲートウェイ ロードバランサ(GWLB)で使用するために、Azure の ASA Virtual のペアプロキシモード VXLAN インターフェイスを構成できます。ASA Virtual は、ペアプロキシの VXLAN セグメントを利用して、単一の NIC に外部インターフェイスと内部インターフェイスを定義します。 新規/変更されたコマンド:external-port、external-segment-id、internal-port、internal-segment-id、proxy paired ASDM サポートはありません。 |
Secure Firewall 3100 固定ポートのデフォルトの前方誤り訂正(FEC)が、25 GB+ SR、CSR、および LR トランシーバの cl74-fc から cl108-rs に変更されました |
Secure Firewall 3100 の固定ポートで FEC を Auto に設定すると、25 GB SR、CSR、および LR トランシーバのデフォルトのタイプが cl74-fc ではなく cl108-rs に設定されるようになりました。 新規/変更されたコマンド: fec 新規/変更された画面: |
ASDM でのループバック インターフェイスのサポート |
ASDM は、ループバック インターフェイスをサポートするようになりました。 新規/変更された画面: |
ライセンス機能 |
|
KVM および VMware 上の ASAv5 の ASA Virtual 永久ライセンス予約のサポート |
デフォルトの PLR ソフトウェア利用資格を上書きし、KVM および VMware に 2GB RAM の ASAv を展開するときに Cisco Smart Software Manager(SSM)に ASAv5 PLR ライセンスを発行するように要求する新しいコマンドを利用できます。RAM の設定に合わせてソフトウェア利用資格を ASAv5 からデフォルトの PLR ライセンスに戻すための <no> 形式を追加することにより、このコマンドを変更できます。 |
管理、モニタリング、およびトラブルシューティングの機能 |
|
CiscoSSH スタックのデフォルト化 |
Cisco SSH スタックがデフォルトで使用されるようになりました。 新規/変更されたコマンド: ssh stack ciscossh 新しい/変更された画面:
|
VPN 機能 |
|
VTI ループバック インターフェイスのサポート |
ループバック インターフェイスを VTI の送信元インターフェイスとして設定できるようになりました。静的に設定された IP アドレスの代わりに、ループバック インターフェイスから IP アドレスを継承するサポートも追加されました。ループバック インターフェイスは、パス障害の克服に役立ちます。インターフェイスがダウンした場合、ループバック インターフェイスに割り当てられた IP アドレスを使用してすべてのインターフェイスにアクセスできます。 新規/変更されたコマンド:tunnel source interface 、ip unnumbered 、ipv6 unnumbered 新規/変更された画面: |
ダイナミック仮想トンネルインターフェイス(ダイナミック VTI)のサポート |
ダイナミック VTI により ASA が強化されました。ハブの複数のスタティック VTI 構成を単一の ダイナミック VTI に置き換えることができます。ハブの構成を変更せずに、新しいスポークをハブに追加できます。ダイナミック VTI はダイナミック(DHCP)スポークをサポートします。 新規/変更されたコマンド:interface virtual-Template、ip unnumbered、ipv6 unnumbered、tunnel protection ipsec policy 新規/変更された画面:[設定(Configuration)] > [デバイスのセットアップ(Device Setup)] > [インターフェイスの設定(Interface Settings)] > [インターフェイス(Interfaces)] > [追加(Add)] > [DVTIインターフェイス(DVTI Interface)] > [詳細(Advanced)] |
EIGRP および OSPF の VTI サポート |
EIGRP および OSPFv2/v3 ルーティングが仮想トンネルインターフェイスでサポートされるようになりました。これらのルーティングプロトコルを使用して、ルーティング情報を共有し、ピア間の VTI ベースの VPN トンネルを介してトラフィックフローをルーティングできます。 |
リモートアクセス VPN の TLS 1.3 |
TLS 1.3 を使用して、リモートアクセス VPN 接続を暗号化できます。 TLS 1.3 では、次の暗号方式のサポートが追加されています。
この機能には、Cisco Secure Client バージョン 5.0.01242 以降が必要です。 新規/変更されたコマンド: sslserver-version、sslclient-version 新規/変更された画面:[設定(Configuration)] > [デバイス管理(Device Management)] > [詳細(Advanced)] > [SSL設定(SSL Settings)] |
IKEv2 サードパーティクライアントのデュアルスタックサポートが追加されました。 |
Cisco Secure Firewall ASA は、IKEv2 サードパーティのリモートアクセス VPN クライアントからのデュアルスタック IP 要求をサポートするようになりました。サードパーティのリモートアクセス VPN クライアントが IPv4 アドレスと IPv6 アドレスの両方を要求した場合、ASA は、複数のトラフィックセレクタを使用して両方の IP バージョンアドレスを割り当てることができます。この機能により、サードパーティのリモートアクセス VPN クライアントは、単一の IPsec トンネルを使用して IPv4 および IPv6 データトラフィックを送信できます。 新規/変更されたコマンド:show crypto ikev2 sa、show crypto ipsec sa、show vpn-sessiondb ra-ikev2-ipsec |
スタティック VTI インターフェイスのトラフィックセレクタ |
スタティック VTI インターフェイスのトラフィックセレクタを割り当てることができるようになりました。 新規/変更されたコマンド:tunnel protection ipsec policy |
バージョン 9.18 の新機能
ASDM 7.18(1.161) の新機能
リリース:2023年 7 月 3 日
このリリースに新機能はありません。
ASA 9.18(4)/ASDM 7.20(1) の新機能
リリース:2023 年10 月 3 日
機能 |
説明 |
---|---|
ハイ アベイラビリティとスケーラビリティの各機能 |
|
ASA の高可用性のための偽フェールオーバーの削減 |
ASA 高可用性のデータプレーンに追加のハートビートモジュールが導入されました。このハートビートモジュールは、コントロールプレーンのトラフィックの輻輳や CPU の過負荷が原因で発生する可能性のある、偽フェールオーバーやスプリットブレインシナリオを回避するのに役立ちます。 9.20(1) でも同様です。 |
show failover statistics にクライアント統計情報を追加 |
フェールオーバー クライアントのパケット統計情報が拡張され、デバッグ機能が向上しました。show failover statistics コマンドは、np-clients (データパスクライアント)および cp-clients (コントロールプレーン クライアント)の情報を表示するように拡張されています。 変更されたコマンド:show failover statistics cp-clients 、show failover statistics dp-clients 9.20(2) でも同様です。 |
show failover statistics events に新しいイベントを追加 |
show failover statistics events コマンドが拡張され、アプリケーション エージェントによって通知されるローカル障害(フェールオーバーリンクの稼働時間、スーパーバイザハートビート障害、およびディスクフルの問題)を表示するようになりました。 変更されたコマンド: show failover statistics events 9.20(2) でも同様です。 |
インターフェイス機能 |
|
FXOS local-mgtm show コマンドの改善 |
FXOS local-mgmt のインターフェイス show コマンドに関する追加項目は次のとおりです。
新規/変更された FXOS コマンド:show portmanager switch tail-drop-allocated buffers all 、show portmanager switch status 、show portmanager switch default-rule-drop-counter |
管理、モニタリング、およびトラブルシューティングの機能 |
|
show tech support の改善 |
次の項目に対して、show tech support への出力が追加されました。
新規/変更されたコマンド: show tech support |
ASA 9.18(3)/ASDM 7.19(1.90) の新機能
リリース日:2023 年 2 月 16 日
機能 |
説明 |
---|---|
プラットフォーム機能 |
|
Firepower 1010E |
Firepower 1010E が導入されました。このモデルは、Power Over Ethernet ポートが搭載されていないことを除き Firepower 1010 と同じです。 7.19(1.90) または 7.18(2.1) での ASDM サポート。ASDM 7.19(1) ではこのモデルをサポートしていません。 9.18(2.218) でも同様。このモデルは 9.19(1) ではサポートされていません。 |
インターフェイス機能 |
|
Secure Firewall 3100 固定ポートのデフォルトの前方誤り訂正(FEC)が、25 GB+ SR、CSR、および LR トランシーバの cl74-fc から cl108-rs に変更されました |
Secure Firewall 3100 の固定ポートで FEC を Auto に設定すると、25 GB SR、CSR、および LR トランシーバのデフォルトのタイプが cl74-fc ではなく cl108-rs に設定されるようになりました。 新規/変更されたコマンド: fec 新規/変更された画面: 9.19(1) および 9.18(2.7) でも同様。 |
VPN 機能 |
|
SAML を使用した AnyConnect 接続認証 |
DNS ロードバランシングクラスタでは、SAML 認証を ASA で設定するときに、設定が適用されるデバイスに一意に解決されるローカルベース URL を指定できます。
新規/変更されたコマンド:local-base-urlurl |
ASA 9.18(2)/ASDM 7.18(1.152) の新機能
リリース日:2022 年 8 月 10 日
機能 |
説明 |
---|---|
インターフェイス機能 |
|
BGP および管理トラフィックのループバックインターフェイスをサポート |
ループバック インターフェイスを追加して、次の機能に使用できるようになりました。
新規/変更されたコマンド:interface loopback 、logging host 、neighbor update-source 、snmp-server host 、ssh 、telnet ASDM サポートはありません。 |
ping コマンドの変更 |
ループバック インターフェイスの ping をサポートするために、ping コマンドの動作が変更されました。コマンドでインターフェイスを指定する場合、送信元 IP アドレスは指定されたインターフェイスの IP アドレスと一致しますが、実際の出力インターフェイスは、データルーティングテーブルを使用したルートルックアップによって決定されます。 新規/変更されたコマンド: ping |
ASDM 7.18(1.152) の新機能
リリース日:2022 年 8 月 2 日
このリリースに新機能はありません。
ASA 9.18(1)/ASDM 7.18(1) の新機能
リリース日:2022 年 6 月 6 日
機能 |
説明 |
||
---|---|---|---|
プラットフォーム機能 |
|||
AWS GuardDuty の ASAv-AWS Security center integration | Amazon GuardDuty サービスを ASAv と統合できるようになりました。この統合ソリューションは、Amazon GuardDuty によって報告された脅威分析データや結果(悪意のある IP アドレス)をキャプチャして処理するのに役立ちます。ASAv で悪意のある IP アドレスを設定およびフィードし、基盤となるネットワークとアプリケーションを保護できます。 | ||
ファイアウォール機能 |
|||
ACL とオブジェクトの前方参照は常に有効にです。さらに、アクセス制御のオブジェクトグループ検索がデフォルトで有効になりました。 |
アクセスグループまたはアクセスルールを設定するときに、まだ存在していない ACL またはネットワークオブジェクトを参照できます。 さらに、オブジェクトグループ検索が新規展開のアクセス制御に対してデフォルトで有効になりました。デバイスをアップグレードしても、引き続きこのコマンドは無効になります。有効にする場合(推奨)、手動で行う必要があります。
forward-reference enable コマンドを削除し、新規展開のデフォルト値を変更して object-group-search access-control を有効にしました。 |
||
ルーティング機能 |
|||
PBR のパスモニタリングメトリック。 |
PBR はメトリックを使用して、トラフィックを転送するための最適なパス(出力インターフェイス)を決定します。パスモニタリングは、メトリックが変更されたモニタリング対象インターフェースを PBR に定期的に通知します。PBR は、モニタリング対象インターフェイスの最新のメトリック値をパス モニタリング データベースから取得し、データパスを更新します。 新規/変更されたコマンド:clear path-monitoring 、policy-route 、show path-monitoring 新規/変更された画面: |
||
インターフェイス機能 |
|||
Cisco Secure Firewall 3100 のフロー制御に対応するためのフレームの一時停止 |
トラフィック バーストが発生している場合、バーストが NIC の FIFO バッファまたは受信リング バッファのバッファリング容量を超えると、パケットがドロップされる可能性があります。フロー制御用のポーズ フレームをイネーブルにすると、このような問題の発生を抑制できます。 新規/変更されたコマンド: flowcontrol send on 新規/変更された画面: |
||
Secure Firewall 3130 および 3140 のブレークアウトポート |
Cisco Secure Firewall 3130 および 3140 の 40 GB インターフェースごとに 4 つの 10 GB ブレークアウトポートを構成できるようになりました。 新規/変更されたコマンド: breakout 新規/変更された画面: |
||
ライセンス機能 |
|||
キャリアライセンスの Secure Firewall 3100 サポート |
キャリアライセンスは、Diameter、GTP/GPRS、SCTP 検査を有効にします。 新規/変更されたコマンド: feature carrier 新規/変更された画面: 。 |
||
証明書の機能 |
|||
相互l LDAPS 認証。 |
ASA が認証のために証明書を要求したときに LDAP サーバーに提示するように ASA のクライアント証明書を設定できます。この機能は、LDAP over SSL を使用する場合に適用されます。LDAP サーバーがピア証明書を要求するように設定されている場合、セキュア LDAP セッションが完了せず、認証/許可要求が失敗します。 新規/変更されたコマンド:ssl-client-certificate 新規/変更された画面: 、LDAP を追加または編集。 |
||
認証:証明書名または SAN の検証 |
機能固有の参照 ID が設定されている場合、ピア証明書 ID は、指定された一致基準 crypto ca reference-identity <name> コマンドで検証されます。ピア証明書のサブジェクト名または SAN に一致するものが見つからない場合、または reference-identity サブモードコマンドで指定された FQDN が解決されない場合、接続は終了します。 reference-identity CLI は、AAA サーバーホスト設定および ddns 設定のサブモードコマンドとして設定されます。 新規/変更されたコマンド:ldap-over-ssl 、ddns update method 、および show update method 。 新しい/変更された画面: |
||
管理、モニタリング、およびトラブルシューティングの機能 |
|||
複数の DNS サーバーグループ |
複数の DNS サーバーグループを使用できるようになりました。1 つのグループがデフォルトで、他のグループを特定のドメインに関連付けることができます。DNS サーバーグループに関連付けられたドメインに一致する DNS 要求は、そのグループを使用します。たとえば、内部の eng.cisco.com サーバー宛てのトラフィックで内部の DNS サーバーを使用する場合は、eng.cisco.com を内部の DNS グループにマッピングできます。ドメインマッピングと一致しないすべての DNS 要求は、関連付けられたドメインを持たないデフォルトの DNS サーバーグループを使用します。たとえば、DefaultDNS グループには、外部インターフェイスで使用可能なパブリック DNS サーバーを含めることができます。 新規/変更されたコマンド:dns-group-map 、dns-to-domain 新規/変更された画面: |
||
ダイナミックログインのレート制限 |
ブロック使用量が指定されたしきい値を超えたときにロギングレートを制限する新しいオプションが追加されました。ブロックの使用量が通常の値に戻るとレート制限が無効になるため、ロギングレートが動的に制限されます。 新規/変更されたコマンド: logging rate-limit 新規/変更された画面: |
||
Secure Firewall 3100 デバイスのパケットキャプチャ |
スイッチパケットをキャプチャするプロビジョニングが追加されました。このオプションは、Secure Firewall 3100 デバイスに対してのみ有効にできます。 新規/変更されたコマンド: capture real-time 新規/変更された画面: |
||
VPN 機能 |
|||
IPsec フローがオフロードされます。 |
Cisco Secure Firewall 3100 では、IPsec フローはデフォルトでオフロードされます。IPsec サイト間 VPN またはリモートアクセス VPN セキュリティ アソシエーション (SA) の初期設定後、IPsec 接続はデバイスのフィールド プログラマブル ゲート アレイ (FPGA) にオフロードされるため、デバイスのパフォーマンスが向上します。 新規/変更されたコマンド:clear flow-offload-ipsec 、flow-offload-ipsec 、show flow-offload-ipsec 新規/変更された画面: |
||
認証用の証明書と SAML |
証明書および SAML 認証用にリモートアクセス VPN 接続プロファイルを設定できます。ユーザーは、SAML 認証/承認が開始される前に、マシン証明書やユーザー証明書を認証するように VPN を設定できます。これは、ユーザー固有の SAML DAP 属性と DAP 証明書属性を使用して実行できます。 新規/変更されたコマンド:authentication saml certificate 、authentication certificate saml 、authentication multiple-certificate saml 新規/変更された画面: |
バージョン 9.17 の新機能
ASDM 7.17(1.155) の新機能
リリース日:2022 年 6 月 28 日
このリリースに新機能はありません。
ASDM 7.17(1.152) の新機能
リリース日:2022 年 2 月 8 日
このリリースに新機能はありません。
ASA 9.17(1)/ASDM 7.17(1) の新機能
リリース日:2021 年 12 月 1 日
機能 |
説明 |
---|---|
プラットフォーム機能 |
|
Cisco Secure Firewall 3100 |
Cisco Secure Firewall 3110、3120、3130、および 3140 の ASA が導入されました。Cisco Secure Firewall 3100 は、スパンド EtherChannel クラスタリングで最大 8 ユニットをサポートします。ファイアウォールの電源が入っているときに、再起動することなく、同じタイプのネットワークモジュールをホットスワップできます。他のモジュールの変更を行う場合には、再起動が必要です。Secure Firewall 3100 25 Gbps インターフェイスは、Forward Error Correction と、インストールされている SFP に基づく速度検出をサポートします。SSD は自己暗号化ドライブ(SED)です。SSD が 2 つある場合、ソフトウェア RAID を形成します。 新規/変更されたコマンド: fec, netmod, speed sfp-detect, raid, show raid, show ssd 新しい/変更された画面: |
自動スケールに対する ASA 仮想 のサポート |
ASA 仮想 は、次のパブリッククラウドサービスの自動スケールをサポートするようになりました。
自動スケーリングは、キャパシティの要件に基づいて ASA 仮想 アプリケーションのインスタンス数を増減します。 |
AWS の ASA 仮想 での拡張インスタンスのサポート |
AWS パブリッククラウド上の ASA 仮想 は、異なる Nitro インスタンスファミリから AWS Nitro システムインスタンスをサポートするようになりました。 AWS 用 ASA 仮想により、次のインスタンスのサポートが追加されています。
サポートされているインスタンスの詳細なリストについては、『Cisco Adaptive Security Virtual Appliance (ASAv) Data Sheet』を参照してください。 |
Azure の ASA 仮想 拡張インスタンスのサポート |
Azure パブリッククラウド上の ASA 仮想 は、次のインスタンスをサポートするようになりました。
サポートされているインスタンスの詳細なリストについては、『Cisco Adaptive Security Virtual Appliance (ASAv) Data Sheet』を参照してください。 |
ASA 仮想 の Intel® QuickAssist テクノロジー(QAT) |
ASA 仮想 は、 Intel QuickAssist(QAT)8970 PCI アダプタを使用する ASA 仮想 展開にハードウェア暗号化アクセラレーションを提供します。ASA 仮想 を使用した ASAv のハードウェア暗号化アクセラレーションは、VMware ESXi および KVM でのみサポートされます。 |
OCI 上の ASA 仮想 に対する Single Root I/O Virtualization(SR-IOV)のサポート。 |
OCI 上の ASA 仮想 に Single Root Input/Output Virtualization(SR-IOV)を実装できるようになりました。SR-IOV により、ASA 仮想 のパフォーマンスを向上させることができます。SR-IOV モードでの vNIC としての Mellanox 5 はサポートされていません。 |
ファイアウォール機能 |
|
変換後(マップ後)の宛先としての完全修飾ドメイン名(FQDN)オブジェクトの Twice NAT サポート |
www.example.com を指定する FQDN ネットワークオブジェクトを、Twice NAT ルールの変換後(マップ後)の宛先アドレスとして使用できます。システムでは、DNS サーバーから返された IP アドレスに基づいてルールが設定されます。 |
ネットワークサービス オブジェクトと、ポリシーベースのルーティングおよびアクセス制御におけるネットワークサービス オブジェクトの使用 |
ネットワークサービス オブジェクトを設定し、それらを拡張アクセス コントロール リストで使用して、ポリシーベース ルーティング ルート マップおよびアクセス コントロール グループで使用できます。ネットワークサービス オブジェクトには、IP サブネットまたは DNS ドメイン名の仕様が含まれ、オプションでプロトコルとポートの仕様が含まれます。これらは、基本的にネットワークオブジェクトとサービスオブジェクトを結合します。この機能には、信頼できる DNS サーバーを定義して、DNS ドメイン名解決が信頼できる送信元から IP アドレスを確実に取得できるようにする機能も含まれています。 次のコマンドが追加または変更されました:access-list extended 、app-id 、clear configure object network-service 、clear configure object-group network-service 、clear dns ip-cache 、clear object 、clear object-group 、debug network-service 、description 、dns trusted-source 、domain 、network-service-member 、network-service reload 、object-group network-service 、object network-service 、policy-route cost 、set adaptive-interface cost 、show asp table classify 、show asp table network-service 、show dns trusted-source 、show dns ip-cache 、show object 、show object-group 、show running-config 、subnet 次の画面が追加または変更されました。
|
ハイ アベイラビリティとスケーラビリティの各機能 |
|
VMware および KVM 用の ASAv30、ASAv50、および ASAv 100 クラスタリング |
ASA 仮想 クラスタリングを使用すると、最大 16 の ASA 仮想 を単一の論理デバイスとしてグループ化できます。クラスタは、単一デバイスのすべての利便性(管理、ネットワークへの統合)を備える一方で、複数デバイスによって高いスループットおよび冗長性を達成します。ASA 仮想 クラスタリングは、ルーテッド ファイアウォール モードの個別インターフェイスモードをサポートします。 スパンドEtherChannelはサポートされていません。ASA 仮想 は、クラスタ制御リンクに VXLAN 仮想インターフェイス(VNI)を使用します。 新規/変更されたコマンド:cluster-interface vni、nve-only cluster、peer-group、show cluster info、show cluster info instance-type、show nve 1 新しい/変更された画面: |
ハイ アベイラビリティ グループまたはクラスタ内のルートのクリア |
以前のリリースでは、clear route コマンドはユニットのルーティングテーブルのみをクリアしました。現在、ハイアベイラビリティ グループまたはクラスタで動作している場合、コマンドはアクティブユニットまたはコントロールユニットでのみ使用でき、グループまたはクラスタ内のすべてのユニットのルーティングテーブルをクリアします。 clear route コマンドが変更されました。 |
インターフェイス機能 |
|
ASA 仮想 の Geneve インターフェイスサポート |
AWS ゲートウェイロードバランサのシングルアームプロキシをサポートするために、ASAv30、ASAv50、および ASAv100 の Geneve カプセル化サポートが追加されました。 新規/変更されたコマンド:debug geneve、debug nve、debug vxlan、encapsulation、packet-tracer geneve、proxy single-arm、show asp drop、show capture、show interface、show nve 新しい/変更された画面: |
Secure Firewall 3100 の自動ネゴシエーションは、1 ギガビット以上のインターフェイスで有効または無効にすることができます。 |
Secure Firewall 3100 の自動ネゴシエーションは、1 ギガビット以上のインターフェイスで有効または無効にすることができます。他のモデルの SFP ポートの場合、no speed nonegotiate オプションは速度を 1000 Mbps に設定します。新しいコマンドは、自動ネゴシエーションと速度を個別に設定できることを意味します。 新規/変更されたコマンド:negotiate-auto 新規/変更された画面:
|
管理およびトラブルシューティングの機能 |
|
起動時間と tmatch コンパイルステータス。 |
show version コマンドには、システムの起動(ブート)にかかった時間に関する情報が含まれるようになりました。設定が大きいほど、システムの起動に時間がかかることに注意してください。 新しい show asp rule-engine コマンドは、tmatch コンパイルのステータスを表示します。Tmatch コンパイルは、アクセスグループ、NAT テーブル、およびその他のいくつかの項目として使用されるアクセスリストに使用されます。これは、非常に大きな ACL と NAT テーブルがある場合には、CPU リソースを消費し、進行中のパフォーマンスに影響を与える可能性がある内部プロセスです。コンパイル時間は、アクセスリスト、NAT テーブルなどのサイズによって異なります。 |
show access-list element-count 出力の拡張と show tech-support コンテンツの強化 |
show access-list element-count の出力は、次のように拡張されています。
さらに、show tech-support 出力には show access-list element-count と show asp rule-engine の出力が含まれます。 |
CiscoSSH スタック |
ASA は、SSH 接続に独自の SSH スタックを使用します。代わりに、OpenSSH に基づく CiscoSSH スタックを使用するように選択できるようになりました。デフォルトスタックは引き続き ASA スタックです。Cisco SSH は次をサポートします。
CiscoSSH スタックは次をサポートしないことに注意してください。
これらの機能が必要な場合は、引き続き ASA SSH スタックを使用する必要があります。 CiscoSSH スタックでは、SCP 機能に若干の変更があります。ASA copy コマンドを使用して SCP サーバとの間でファイルをコピーするには、ssh コマンドを使用して、ASA で SCP サーバサブネット/ホストの SSH アクセスを有効にする必要があります。 新規/変更されたコマンド: ssh stack ciscossh 新しい/変更された画面:
|
パケットトレーサでの PCAP サポート |
パケットトレーサツールで PCAP ファイルを再生し、トレース結果を取得できます。pcap および force は、パケットトレーサでの PCAP の使用をサポートするための 2 つの新しいキーワードです。 新規/変更されたコマンド:packet-tracer input およびshow packet-tracer |
より強力なローカルユーザーと有効なパスワード要件 |
ローカルユーザーと有効なパスワードについて、次のパスワード要件が追加されました。
新規/変更されたコマンド:enable password 、username 新規/変更された画面: |
ローカルユーザーのロックアウトの変更 |
設定可能な回数のログイン試行に失敗すると、ASA はローカルユーザーをロックアウトする場合があります。この機能は、特権レベル 15 のユーザーには適用されませんでした。また、管理者がアカウントのロックを解除するまで、ユーザーは無期限にロックアウトされます。管理者がその前に clear aaa local user lockout コマンドを使用しない限り、ユーザーは 10 分後にロック解除されるようになりました。特権レベル 15 のユーザーも、ロックアウト設定が適用されるようになりました。 新規/変更されたコマンド:aaa local authentication attempts max-fail 、show aaa local user |
SSH および Telnet パスワード変更プロンプト |
ローカルユーザーが SSH または Telnet を使用して ASA に初めてログインすると、パスワードを変更するように求められます。また、管理者がパスワードを変更した後、最初のログインに対してもプロンプトが表示されます。ただし、ASA がリロードすると、最初のログインであっても、ユーザーにプロンプトは表示されません。 VPN などのローカル ユーザー データベースを使用するサービスは、SSH または Telnet ログイン中に変更された場合、新しいパスワードも使用する必要があることに注意してください。 新規/変更されたコマンド: show aaa local user |
モニタリング機能 |
|
SNMP は、ネットワークオブジェクトの形式で複数のホストをグループ化するときに IPv6 をサポートするようになりました |
snmp-server コマンドの host-group コマンドは、IPv6 ホスト、範囲、およびサブネットオブジェクトをサポートするようになりました。 新規/変更されたコマンド: snmp-server host-group |
VPN 機能 |
|
IKEv2 のローカルトンネル ID のサポート |
IKEv2 のローカルトンネルID設定のサポートが追加されました。 新規/変更されたコマンド: set ikev2 local-identity |
DAP 制約による SAML 属性のサポート |
DAP ポリシーの選択に使用できる SAML アサーション属性のサポートが追加されました。また、cisco_group_policy 属性でグループポリシーを指定する機能も導入されています。 |
IDP 設定の複数の SAML トラストポイント |
この機能は、同じエンティティ ID の複数のアプリケーションをサポートするアプリケーションの SAML IDP 設定ごとに、複数の IDP トラストポイントの追加をサポートします。 新規/変更されたコマンド: saml idp-trustpoint <trustpoint-name> |
セキュアクライアント VPN SAML 外部ブラウザ |
VPN SAML 外部ブラウザを設定して、パスワードなしの認証、WebAuthN、FIDO2、SSO、U2F、Cookie の永続性による SAML エクスペリエンスの向上など、追加の認証の選択肢を有効にできるようになりました。リモートアクセス VPN 接続プロファイルのプライマリ認証方式として SAML を使用する場合は、セキュアクライアント クライアントが セキュアクライアント 組み込みブラウザではなく、クライアントのローカルブラウザを使用して Web 認証を実行するように選択できます。このオプションは、VPN 認証と他の企業ログインの間のシングルサインオン(SSO)を有効にします。また、生体認証や Yubikeys など、埋め込みブラウザでは実行できない Web 認証方法をサポートする場合は、このオプションを選択します。 新規/変更されたコマンド: external-browser 新規/変更された画面: |
SAML を使用した VPN ロードバランシング |
ASA は、SAML 認証を使用した VPN ロードバランシングをサポートするようになりました。 |
バージョン 9.16 の新機能
ASA 9.16(4) の新機能
リリース日:2022 年 10 月 13 日
このリリースに新機能はありません。
ASA 9.16(3) の新機能
リリース日:2022 年 4 月 6 日
このリリースに新機能はありません。
ASA 9.16(2) の新機能
リリース:2021 年 8 月 18 日
このリリースに新機能はありません。
ASDM 7.16(1.150) の新機能
リリース:2021 年 6 月 15 日
このリリースに新機能はありません。
ASA 9.16(1)/ASDM 7.16(1) の新機能
リリース日:2021 年 5 月 26 日
機能 |
説明 |
---|---|
ファイアウォール機能 |
|
システム定義の NAT ルールの新しいセクション 0。 |
新しいセクション 0 が NAT ルールテーブルに追加されました。このセクションは、システムの使用に限定されます。システムが正常に機能するために必要なすべての NAT ルールがこのセクションに追加され、これらのルールは作成したルールよりも優先されます。以前は、システム定義のルールがセクション 1 に追加され、ユーザー定義のルールがシステムの適切な機能を妨げる可能性がありました。セクション 0 のルールを追加、編集、または削除することはできませんが、show nat detail コマンド出力に表示されます。 |
デフォルトの SIP インスペクション ポリシー マップは、非 SIP トラフィックをドロップします。 |
SIP インスペクションされるトラフィックでは、現在、デフォルトでは非 SIP トラフィックがドロップされます。以前のデフォルトでは、SIP のインスペクション対象ポートで非 SIP トラフィックが許可されていました。 デフォルトの SIP ポリシーマップが変更され、no traffic-non-sip コマンドが追加されました。 |
GTP インスペクションでドロップされる IMSI プレフィックスを指定する機能です。 |
GTP インスペクションでは、許可する Mobile Country Code/Mobile Network Code(MCC/MNC)の組み合わせを識別するために、IMSI プレフィックス フィルタリングを設定できます。ドロップする MCC/MNC の組み合わせに対して IMSI フィルタリングを実行できるようになりました。これにより、望ましくない組み合わせをリストにして、デフォルトで他のすべての組み合わせを許可することができます。 drop mcc コマンドが追加されました。 次の画面が変更されました:GTP インスペクションマップの [IMSI Prefix Filtering] タブに [Drop] オプションが追加されました。 |
初期接続の最大セグメントサイズ(MSS)を設定します。 |
サービスポリシーを設定して、初期接続制限に達したときに初期接続の SYN cookie を生成するためのサーバーの最大セグメントサイズ(MSS)を設定できます。これは、最大初期接続数も設定するサービスポリシーの場合に意味があります。 新規/変更されたコマンド:set connection syn-cookie-mss 新規/変更された画面:[Add/Edit Service Policy] ウィザードの [Connection Settings] |
多対 1 および 1 対多接続の CPU 使用率とパフォーマンスが向上しました。 |
ダイナミック NAT / PAT およびスキャン脅威検出とホスト統計情報を含む接続を除き、システムは接続の作成時に、ローカルホストオブジェクトを作成せず、ロックすることもなくなりました。これにより、多数の接続を同じサーバー(ロードバランサや Web サーバーなど)に対して確立する場合や、1 つのエンドポイントが多数のリモートホストに接続する場合に、パフォーマンスと CPU 使用率が向上します。 次のコマンドが変更されました:clear local-host (廃止)、 show local-host |
プラットフォーム機能 |
|
VMware ESXi 7.0 用の ASA 仮想 サポート |
ASA 仮想 仮想プラットフォームは、VMware ESXi 7.0 で動作するホストをサポートしています。vi.ovf および esxi.ovf ファイルに新しい VMware ハードウェアバージョンが追加され、ESXi 7.0 で ASA 仮想 の最適なパフォーマンスと使いやすさを実現しました。 変更されたコマンドはありません。 変更された画面はありません。 |
ASA 仮想 の Intel® QuickAssist テクノロジー(QAT) |
ASA 仮想 は、 Intel QuickAssist(QAT)8970 PCI アダプタを使用する ASA 仮想 展開にハードウェア暗号化アクセラレーションを提供します。ASA 仮想 を使用した ASAv のハードウェア暗号化アクセラレーションは、VMware ESXi および KVM でのみサポートされます。 変更されたコマンドはありません。 変更された画面はありません。 |
OpenStack の ASA 仮想 |
ASA 仮想 仮想プラットフォームに OpenStack のサポートが追加されました。 変更されたコマンドはありません。 変更された画面はありません。 |
ハイ アベイラビリティとスケーラビリティの各機能 |
|
Firepower 4100/9300 でのクラスタリングの PAT ポートブロック割り当てが改善されました |
PAT ポートブロック割り当ての改善により、制御ユニットはノードに参加するためにポートを確保し、未使用のポートを積極的に再利用できるようになります。割り当てを最適化するために、cluster-member-limit コマンドを使用して、クラスタ内に配置する予定の最大ノードを設定できます。これにより、制御ユニットは計画されたノード数にポートブロックを割り当てることができ、使用する予定のない追加のノード用にポートを予約する必要がなくなります。デフォルトは 16 ノードです。また、syslog 747046 を監視して、新しいノードに使用できるポートが十分にあることを確認することもできます。 新規/変更されたコマンド:cluster-member-limit 、show nat pool cluster [summary] 、show nat pool ip detail 新規/変更された画面: フィールド |
show cluster history コマンドの改善 |
show cluster history コマンドの出力が追加されました。 新規/変更されたコマンド: show cluster history brief 、show cluster history latest 、show cluster history reverse 、show cluster history time |
Firepower 1140 の最大コンテキスト数が 5 から 10 に増加 |
Firepower 1140 は、最大 10 のコンテキストをサポートするようになりました。 |
証明書の機能 |
|
認定のための Enrollment over Secure Transport(EST) |
ASA は、Enrollment over Secure Transport(EST)を使用した証明書の登録をサポートしています。ただし、EST 登録は、RSA キーおよび ECDSA キーとのみ使用するように設定できます。EST 登録用に設定されたトラストポイント用に EdDSA キーペアを使用することはできません。 新規/変更されたコマンド:enrollment protocol 、crypto ca authenticate 、およびcrypto ca enroll 新規/変更された画面: . |
新しい EdDSA キーのサポート |
新しいキーオプション EdDSA が、既存の RSA および ECDSA オプションに追加されました。 新規/変更されたコマンド:crypto key generate 、crypto key zeroize 、show crypto key mypubkey 新規/変更された画面: |
証明書キーの制限を上書きするコマンド |
認定に SHA1with RSA 暗号化アルゴリズムを使用するためのサポート、および RSA キーサイズが 2048 未満の証明書のサポートが削除されました。crypto ca permit-weak-crypto コマンドを使用して、これらの制限を上書きできます。 新規/変更されたコマンド: crypto ca permit-weak-crypto 新規/変更された画面: 、 、および |
管理およびトラブルシューティングの機能 |
|
SSH セキュリティの改善 |
SSH が次の SSH セキュリティの改善をサポートするようになりました。
新規/変更されたコマンド:crypto key generate eddsa 、crypto key zeroize eddsa 、show crypto key mypubkey、ssh cipher encryption chacha20-poly1305@openssh.com 、ssh key-exchange group {ecdh-sha2-nistp256 | curve25519-sha256} 、ssh key-exchange hostkey 、ssh version 新しい/変更された画面: |
モニタリング機能 |
|
SNMPv3 認証 |
ユーザー認証に SHA-224 および SHA-384 を使用できるようになりました。ユーザー認証に MD5 を使用できなくなりました。 暗号化に DES を使用できなくなりました。 新規/変更されたコマンド:snmp-server user 新規/変更された画面: |
VPN 機能 |
|
スタティック VTI での IPv6 のサポート |
ASA は、仮想トンネルインターフェイス(VTI)の設定で IPv6 アドレスをサポートしています。 VTI トンネル送信元インターフェイスには、トンネルエンドポイントとして使用するように設定できる IPv6 アドレスを設定できます。トンネル送信元インターフェイスに複数の IPv6 アドレスがある場合は、使用するアドレスを指定できます。指定しない場合は、リストの最初の IPv6 グローバルアドレスがデフォルトで使用されます。 トンネルモードは、IPv4 または IPv6 のいずれかです。ただし、トンネルをアクティブにするには、VTI で設定されている IP アドレスタイプと同じである必要があります。IPv6 アドレスは、VTI のトンネル送信元インターフェイスまたはトンネル宛先インターフェイスに割り当てることができます。 新規/変更されたコマンド:tunnel source interface 、tunnel destination 、tunnel mode |
デバイスあたり 1024 個の VTI インターフェイスのサポート |
デバイスに設定できる VTI の最大数が、100 個から 1024 個に増加しました。 プラットフォームが 1024 個を超えるインターフェイスをサポートしている場合でも、VTI の数はそのプラットフォームで設定可能な VLAN の数に制限されます。たとえば、ASA 5510 は 100 個の VLAN をサポートしているため、トンネル数は 100 から設定された物理インターフェイスの数を引いた数になります。 新規/変更されたコマンド:なし 新規/変更された画面:なし |
SSL の DH グループ 15 のサポート |
SSL 暗号化の DH グループ 15 のサポートが追加されました。 新規/変更されたコマンド: ssl dh-group group15 |
IPsec 暗号化の DH グループ 31 のサポート |
IPsec 暗号化の DH グループ 31 のサポートが追加されました。 新規/変更されたコマンド: set pfs |
IKEv2 キューの SA を制限するサポート |
SA-INIT パケットのキュー数を制限するサポートが追加されました。 新規/変更されたコマンド: crypto ikev2 limit queue sa_init |
IPsec 統計情報をクリアするオプション |
IPsec 統計情報をクリアおよびリセットするための CLI が導入されました。 新規/変更されたコマンド:clear crypto ipsec stats およびclear ipsec stats |
バージョン 9.15 の新機能
ASDM 7.15(1.150) の新機能
リリース日:2021 年 2 月 8 日
このリリースに新機能はありません。
ASA 9.15(1)/ASDM 7.15(1) の新機能
リリース:2020 年 11 月 2 日
機能 |
説明 |
---|---|
プラットフォーム機能 |
|
パブリッククラウド向け ASAv |
次のパブリッククラウドサービスに ASAv を導入しました。
変更されたコマンドはありません。 変更された画面はありません。 |
自動スケールに対する ASAv のサポート |
ASAv は、次のパブリッククラウドサービスの自動スケールをサポートするようになりました。
自動スケーリングは、キャパシティの要件に基づいて ASAv アプリケーションのインスタンス数を増減します。 変更されたコマンドはありません。 変更された画面はありません。 |
ASAv for Microsoft Azure の Accelerated Networking に対するサポート(SR-IOV) |
Microsoft Azure パブリッククラウド上の ASAv は、Azure の Accelerated Networking(AN)をサポートするようになりました。これにより、VM に対するシングルルート I/O の仮想化(SR-IOV)が可能になり、ネットワーキングのパフォーマンスが大幅に向上しています。 変更されたコマンドはありません。 変更された画面はありません。 |
ファイアウォール機能 |
|
クラスタリングでの PAT アドレス割り当ての変更。PAT プールの flat オプションがデフォルトで有効になり、設定できなくなりました。 |
PAT アドレスがクラスタのメンバーに配布される方法が変更されます。以前は、アドレスはクラスタのメンバーに配布されていたため、PAT プールにはクラスタメンバーごとに少なくとも 1 つのアドレスが必要でした。マスターは各 PAT プールアドレスを等しいサイズのポートブロックに分割し、それらをクラスタメンバーに配布するようになりました。各メンバーには、同じ PAT アドレスのポートブロックがあります。したがって、通常 PAT に必要な接続量に応じて、PAT プールのサイズを 1 つの IP アドレスにまで減らすことができます。ポートブロックは、1024 ~ 65535 の範囲で 512 ポートのブロック単位で割り当てられます。オプションで、PAT プールルールを設定するときに、このブロック割り当てに予約ポート 1 〜 1023 を含めることができます。たとえば、単一ノードでは PAT プール IP アドレスあたり 65535 個の接続すべてを処理するのに対し、4 ノードクラスタでは、各ノードは 32 個のブロックを取得し、PAT プール IP アドレスあたり 16384 個の接続を処理できます。 この変更の一環として、スタンドアロンまたはクラスタ内での動作に関わりなく、すべてのシステムの PAT プールは、フラットなポート範囲 1023 〜 65535 を使用できるようになりました。以前は、flat オプションを PAT プールルールに含めることで、フラットな範囲をオプションで使用できました。flat キーワードはサポートされなくなりました。PAT プールは常にフラットになります。include-reserve キーワードは、以前は flat のサブキーワードでしたが、PAT プール構成内の独立したキーワードになりました。このオプションを使用すると、PAT プール内に 1 〜 1023 のポート範囲を含めることができます。 ポートブロック割り当てを設定する(block-allocation PAT プールオプション)と、デフォルトの 512 ポートブロックではなく、独自のブロック割り当てサイズが使用されます。また、クラスタ内のシステムの PAT プールに拡張 PAT を設定することはできません。 新規/変更されたコマンド:nat 、show nat pool 新規/変更された画面:[NAT PAT Pool configuration] |
新規インストールでは、デフォルトで XDMCP インスペクションが無効になっています。 |
以前は、すべてのトラフィックに対して XDMCP インスペクションがデフォルトで有効になっていました。新しいシステムと再イメージ化されたシステムを含む新規インストールでは、XDMCP はデフォルトで無効になっています。このインスペクションが必要な場合は、有効にしてください。アップグレードでは、デフォルトのインスペクション設定を使用して XDMCP インスペクションを有効にしただけでも、XDMCP インスペクションの現在の設定は保持されます。 |
ハイ アベイラビリティとスケーラビリティの各機能 |
|
フェールオーバー遅延の無効化 |
ブリッジグループまたは IPv6 DAD を使用する場合、フェールオーバーが発生すると、新しいアクティブユニットは、スタンバイユニットがネットワーキングタスクを完了してスタンバイ状態に移行するまで、最大 3000 ミリ秒待機します。その後、アクティブユニットはトラフィックの受け渡しを開始できます。この遅延を回避するために、待機時間を無効にすると、スタンバイユニットが移行する前にアクティブユニットがトラフィックの受け渡しを開始します。 新規/変更されたコマンド: failover wait-disable 新規または変更された画面: |
ルーティング機能 |
|
マルチキャスト IGMP インターフェイスの状態制限の 500 から 5000 への引き上げ |
マルチキャスト IGMP インターフェイスの状態制限が 500 から 5000 に引き上げられました。 新規/変更されたコマンド: igmp limit ASDM サポートはありません。 9.12(4) でも同様です。 |
インターフェイス機能 |
|
シングルコンテキストモード用の一意の MAC アドレスの生成に関する ASDM のサポート |
ASDM でシングルコンテキストモードの VLAN サブインターフェイス用に一意の MAC アドレスを生成することを有効にできるようになりました。通常、サブインターフェイスはメイン インターフェイスと同じ MAC アドレスを共有します。IPv6 リンクローカル アドレスは MAC アドレスに基づいて生成されるため、この機能により一意の IPv6 リンクローカル アドレスが許可されます。ASA 9.8(3)、9.8(4)、および 9.9(2) で CLI のサポートが追加された。 新規/変更された画面: |
DDNS の Web 更新方式のサポート |
DDNS の Web 更新方式を使用するようにインターフェイスを設定できるようになりました。 新規/変更されたコマンド: show ddns update interface 、show ddns update method 、web update-url 、web update-type 新規/変更された画面: |
証明書の機能 |
|
スタティック CRL 分散ポイント URL をサポートするための match certificate コマンドの変更 |
静的 CDP URL コンフィギュレーション コマンドでは、CDP を検証中のチェーン内の各証明書に一意にマッピングできます。ただし、このようなマッピングは各証明書で 1 つだけサポートされていました。今回の変更で、静的に設定された CDP を認証用の証明書チェーンにマッピングできるようになりました。 新規/変更されたコマンド:match certificate override cdp 、 |
管理およびトラブルシューティングの機能 |
|
SDI AAA サーバーグループで使用するノードシークレットファイルの RSA Authentication Manager からの手動インポート。 |
SDI AAA サーバーグループで使用するために RSA Authentication Manager からエクスポートしたノードシークレットファイルをインポートできます。 次のコマンドが追加されました。aaa sdi import-node-secret 、clear aaa sdi node-secret 、show aaa sdi node-secrets 。 次の画面が追加されました。 。 |
show fragment コマンドの出力の拡張 |
show fragment コマンドの出力が拡張され、IP フラグメント関連のドロップとエラーカウンタが含まれるようになりました。 変更されたコマンドはありません。 変更された画面はありません |
show tech-support コマンドの出力の拡張 |
show tech-support コマンドの出力が拡張され、暗号アクセラレータに設定されたバイアスが含まれるようになりました。バイアス値は ssl、ipsec、または balanced になります。 変更されたコマンドはありません。 変更された画面はありません |
モニタリング機能 |
|
cplane キープアライブ ホールドタイム値の設定のサポート |
高い CPU 使用率によって通信が遅延するため、キープアライブイベントへの応答が ASA に到達できず、カード障害によるフェールオーバーが発生します。キープアライブタイムアウト期間と最大キープアライブカウンタ値を設定して、十分な時間と再試行が行われるようにできます。 新規/変更されたコマンド: service-module 次の画面を追加しました。 |
VPN 機能 |
|
ネゴシエーション中の SA の絶対値としての最大数設定に対するサポート |
ネゴシエーション中の SA の最大数を絶対値として 15000 まで、または最大デバイスキャパシティから得られる最大値を設定できるようになりました(以前はパーセンテージのみが許可されていました)。 新規/変更されたコマンド: crypto ikev2 limit max-in-negotiation-sa value ASDM サポートはありません。 9.12(4) でも同様です。 |
WebVPN ハンドラのクロスサイト リクエスト フォージェリ(CSRF)の脆弱性の防止 |
ASA は、WebVPN ハンドラの CSRF 攻撃に対する保護を提供します。CSRF 攻撃が検出されると、警告メッセージでユーザーに通知します。この機能は、デフォルトで有効にされています。 |
Kerberos Constrained Delegation(KCD)のケルベロスサーバーの検証 |
KCD 用に設定されている場合、ASA は Kerberos キーを取得するために、設定されたサーバーとの AD ドメイン参加を開始します。これらのキーは、ASA がクライアントレス SSL VPN ユーザーに代わってサービスチケットを要求するために必要です。必要に応じて、ドメイン参加時にサーバーのアイデンティティを検証するように ASA を設定できます。 kcd-server コマンドを変更し、validate-server-certificate キーワードを追加しました。 次の画面を変更しました。 |
バージョン 9.14 の新機能
ASA 9.14(4)/ASDM 7.17(1) の新機能
リリース日:2022 年 2 月 2 日
このリリースに新機能はありません。
ASA 9.14(3)/ASDM 7.15(1.150) の新機能
リリース:2021 年 6 月 15 日
このリリースに新機能はありません。
ASA 9.14(2) の新機能
リリース:2020 年 11 月 9 日
機能 |
説明 |
---|---|
SNMP 機能 |
|
サイト間 VPN 経由の SNMP ポーリング |
サイト間 VPN 経由のセキュアな SNMP ポーリングの場合、VPN 設定の一部として外部インターフェイスの IP アドレスを暗号マップアクセスリストに含めます。 |
ASA 9.14(1.30) の新機能
リリース:2020 年 9 月 23 日
機能 |
説明 |
---|---|
ライセンシング機能 |
|
ASAv100 永続ライセンス予約 |
ASAv100 で製品 ID L-ASAV100SR-K9= を使用した永続ライセンス予約がサポートされるようになりました。注:すべてのアカウントが永続ライセンス予約について承認されているわけではありません。 |
ASDM 7.14(1.48) の新機能
リリース日:2020 年 4 月 30 日
機能 |
説明 |
---|---|
プラットフォーム機能 |
|
ASA 9.12 以前について、ASA 5512-X、5515-X、5585-X、および ASASM に対するサポートが復活 |
この ASDM リリースでは、9.12 以前を実行している場合、ASA 5512-X、5515-X、5585-X、および ASASM に対するサポートが復活しました。これらのモデルの最終 ASA バージョンは 9.12 です。元の 7.13(1) リリースと 7.14(1) リリースでは、これらのモデルでの後方互換性がブロックされていましたが、このバージョンでは互換性が復活しています。 |
ASA 仮想 9.14(1.6) の新機能
リリース日:2020 年 4 月 30 日
(注) |
このリリースは、ASA 仮想 でのみサポートされています。 |
機能 |
説明 |
---|---|
プラットフォーム機能 |
|
ASAv100 プラットフォーム |
ASA 仮想 仮想プラットフォームに、20 Gbps のファイアウォール スループット レベルを提供するハイエンド パフォーマンス モデルの ASAv100 が追加されました。ASAv100 はサブスクリプションベースのライセンスで、期間は 1 年、3 年、または 5 年です。 ASAv100 は、VMware ESXi および KVM でのみサポートされます。 |
ASA 9.14(1)/ASDM 7.14(1) の新機能
リリース日:2020 年 4 月 6 日
機能 |
説明 |
||
---|---|---|---|
プラットフォーム機能 |
|||
Firepower 4112 用の ASA |
Firepower 4112 用の ASA を導入しました。 変更されたコマンドはありません。 変更された画面はありません。
|
||
ファイアウォール機能 |
|||
show access-list の出力でポート番号を表示できる。 |
show access-list コマンドに数値キーワードが追加されました。これを使用すると、アクセス制御エントリの名前ではなくポート番号を表示できます。たとえば、www の代わりに 80 を表示できます。 |
||
object-group icmp-type コマンドが非推奨になった。 |
object-group icmp-type コマンドは、このリリースでも引き続きサポートされますが、推奨されず、将来のリリースで削除される可能性があります。すべての ICMP タイプのオブジェクトをサービス オブジェクト グループに変更し(object-group service )、オブジェクト内で service icmp を指定してください。 |
||
Kerberos キー発行局(KDC)認証。 |
Kerberos キー配布局(KDC)からキータブファイルをインポートできます。システムは、Kerberos サーバーを使用してユーザーを認証する前にサーバーがスプーフィングされていないことを認証できます。KDC 認証を実行するには、Kerberos KDC でホスト/ASA_hostname サービスプリンシパル名(SPN)を設定してから、その SPN のキータブをエクスポートする必要があります。その後に、キータブを ASA にアップロードし、KDC を検証するように Kerberos AAA サーバーグループを設定する必要があります。 新規/変更されたコマンド:aaa kerberos import-keytab 、clear aaa kerberos keytab 、show aaa kerberos keytab 、validate-kdc 新規/変更された画面: 、 Kerberos サーバーグループの [追加/編集(Add/Edit)] ダイアログボックス。 |
||
ハイ アベイラビリティとスケーラビリティの各機能 |
|||
データユニットとの設定の並列同期 |
制御ユニットでは、デフォルトで設定変更がデータユニットと同時に同期化されるようになりました。以前は、順番に同期が行われていました。 新規/変更されたコマンド: config-replicate-parallel 新規/変更された画面: チェックボックス |
||
クラスタへの参加失敗や削除のメッセージが、以下に追加されました。 show cluster history |
クラスタユニットがクラスタへの参加に失敗した場合や、クラスタを離脱した場合の新しいメッセージが、 show cluster history コマンドに追加されました。 新規/変更されたコマンド: show cluster history 変更された画面はありません。 |
||
インターフェイス機能 |
|||
Firepower 1000 および 2100 の 1GB ファイバインターフェイスで速度の自動ネゴシエーションを無効にできる |
自動ネゴシエーションを無効にするように Firepower 1100 または 2100 SFP インターフェイスを設定できるようになりました。10GB インターフェイスの場合、自動ネゴシエーションなしで速度を 1GB に設定できます。速度が 10 GB に設定されているインターフェイスの自動ネゴシエーションは無効にできません。 新規/変更されたコマンド: speed nonegotiate 新規/変更された画面: |
||
管理およびトラブルシューティングの機能 |
|||
新しい connection-data-rate コマンド |
この connection-data-rate コマンドは、ASA での個別接続のデータレートの概要を提供するために導入されました。このコマンドを有効にすると、フローごとのデータレートが既存の接続情報とともに提供されます。この情報は、高いデータレートの望ましくない接続を識別してブロックし、最適な CPU 使用率を確保するために役立ちます。 新規/変更されたコマンド:conn data-rate 、show conn data-rate 、show conn detail 、clear conn data-rate 変更された画面はありません。 |
||
HTTPS アイドルタイムアウトの設定 |
ASDM、WebVPN、および他のクライアントを含む、ASA へのすべての HTTPS 接続のアイドルタイムアウトを設定できるようになりました。これまでは、http server idle-timeout コマンドを使用して ASDM アイドルタイムアウトを設定することしかできませんでした。両方のタイムアウトを設定した場合は、新しいコマンドによる設定が優先されます。 新規/変更されたコマンド: http connection idle-timeout 新規/変更された画面: チェックボックス。 |
||
NTPv4 のサポート |
ASA が NTPv4 をサポートするようになりました。 変更されたコマンドはありません。 変更された画面はありません。 |
||
新しい clear logging counter コマンド |
show logging コマンドは、ASA で設定された各ロギングカテゴリについてログに記録されたメッセージの統計を提供します。clear logging counter コマンドは、ログに記録されたカウンタと統計をクリアするために導入されました。 新規/変更されたコマンド: clear logging counter 変更された画面はありません。 |
||
アプライアンスモードの Firepower 1000 および 2100 での FXOS のデバッグコマンドの変更 |
debug fxos_parser コマンドは簡素化され、FXOS に関して一般に使用されるトラブルシューティング メッセージを提供するようになりました。その他の FXOS デバッグコマンドは、debug menu fxos_parser コマンドの下に移動されました。 新規/変更されたコマンド:debug fxos_parser 、debug menu fxos_parser 変更された画面はありません。 |
||
show tech-support コマンドの拡張 |
show ssl objects コマンドと show ssl errors コマンドが show tech-support コマンドの出力に追加されました。 新規/変更されたコマンド: show tech-support 変更された画面はありません。 9.12(4) でも同様です。 |
||
モニタリング機能 |
|||
Net-SNMP バージョン 5.8 のサポート |
ASA は Net-SNMP(IPv4 と IPv6 の両方を使用して SNMP v1、SNMP v2c、および SNMP v3 を実装するために使用されるアプリケーションスイート)を使用しています。 変更されたコマンドはありません。 新規/変更された画面: |
||
SNMP の MIB および OID |
ASA は、CISCO-REMOTE-ACCESS-MONITOR-MIB のサポートを拡張し、SNMP を介して RADIUS からの認証の拒否/失敗を追跡します。この機能により、次の 3 つの SNMP OID が実装されます。
ASA は、Advanced Encryption Standard(AES)暗号アルゴリズムのサポートを提供します。この機能により、次の SNMP OID が実装されます。
|
||
SNMPv3 認証 |
ユーザー認証に SHA-256 HMAC を使用できるようになりました。 新規/変更されたコマンド:snmp-server user 新規/変更された画面: |
||
debug telemetry 表示されていません。 |
debug telemetry コマンドを使用すると、テレメトリに関連するデバッグメッセージが表示されます。このデバッグは、テレメトリレポートの生成時にエラーの原因を特定するために役立ちます。 新規/変更されたコマンド:debug telemetry 、show debug telemetry 変更された画面はありません。 |
||
VPN 機能 |
|||
VTI での DHCP リレーサーバーのサポート |
DHCP リレーサーバーを設定して、VTI トンネルインターフェイスを介して DHCP メッセージを転送できるようになりました。 新規/変更されたコマンド:dhcprelay server 新規/変更された画面: |
||
複数ピアクリプトマップの IKEv2 サポート |
複数ピアクリプトマップで IKEv2 を設定できるようになりました。トンネル内のピアがダウンすると、IKEv2 はリスト内の次のピアで SA の確立を試みます。 変更されたコマンドはありません。 新規/変更された画面: |
||
複数証明書認証のユーザー名オプション |
複数証明書認証で、1 つの証明書(マシン証明書)または 2 つ目の証明書(ユーザー証明書)のどちらからの属性を AAA 認証に使用するのかを指定できるようになりました。 新規/変更されたコマンド:username-from-certificate-choice、secondary-username-from-certificate-choice 新規/変更された画面: |
バージョン 9.13 の新機能
ASDM 7.13(1.101) の新機能
リリース日:2020 年 5 月 7 日
機能 |
説明 |
---|---|
プラットフォーム機能 |
|
ASA 9.12 以前について、ASA 5512-X、5515-X、5585-X、および ASASM に対するサポートが復活 |
この ASDM リリースでは、9.12 以前を実行している場合、ASA 5512-X、5515-X、5585-X、および ASASM に対するサポートが復活しました。これらのモデルの最終 ASA バージョンは 9.12 です。元の 7.13(1) リリースと 7.14(1) リリースでは、これらのモデルでの後方互換性がブロックされていましたが、このバージョンでは互換性が復活しています。 |
ASA 9.13(1)/ASDM 7.13(1)の新機能
リリース:2019 年 9 月 25 日
機能 |
説明 |
||
---|---|---|---|
プラットフォーム機能 |
|||
Firepower 1010 用の ASA |
Firepower 1010 用の ASA を導入しました。このデスクトップモデルには、組み込みハードウェアスイッチと Power on Ethernet+(PoE+)のサポートが含まれています。 新規/変更されたコマンド:boot system 、clock timezone 、connect fxos admin 、forward interface 、interface vlan 、power inline 、show counters 、show environment 、show interface 、show inventory 、show power inline 、show switch mac-address-table 、show switch vlan 、switchport 、switchport access vlan 、switchport mode 、switchport trunk allowed vlan 新しい/変更された画面: |
||
Firepower 1120、1140、および 1150 用の ASA |
Firepower 1120、1140、および 1150 用の ASA を導入しました。 新規/変更されたコマンド:boot system 、clock timezone 、connect fxos admin 、show counters 、show environment 、show interface 、show inventory 新しい/変更された画面: |
||
Firepower 2100 アプライアンス モード |
Firepower 2100 は、Firepower eXtensible Operating System(FXOS)という基礎となるオペレーティング システムを実行します。Firepower 2100 は、次のモードで実行できます。
新規/変更されたコマンド:boot system 、clock timezone 、connect fxos admin 、fxos mode appliance 、show counters 、show environment 、show fxos mode 、show interface 、show inventory 新しい/変更された画面: |
||
DHCP の予約 |
ASA DHCP サーバーが DHCP の予約をサポートするようになりました。クライアントの MAC アドレスに基づいて、定義されたアドレスプールから DHCP クライアントにスタティック IP アドレスを割り当てることができます。 新規/変更されたコマンド: dhcpd reserve-address 変更された画面はありません。 |
||
ASA 仮想 最小メモリ要件 |
ASA 仮想 の最小メモリ要件は 2GB です。現在の ASA 仮想 が 2GB 未満のメモリで動作している場合、ASA 仮想 VM のメモリを増やすことなく、以前のバージョンから 9.13(1)にアップグレードすることはできません。また、バージョン 9.13(1) を使用して新しい ASA 仮想 VM を再展開することもできます。 変更されたコマンドはありません。 変更された画面はありません。 |
||
ASA 仮想 MSLA サポート |
ASA 仮想 は、シスコのマネージド サービス ライセンス契約(MSLA)プログラムをサポートしています。このプログラムは、マネージド ソフトウェア サービスをサード パーティに提供するシスコのお客様およびパートナー向けに設計された、ソフトウェアのライセンスおよび消費のフレームワークです。 MSLA はスマートライセンスの新しい形式で、ライセンス スマート エージェントは時間単位でライセンス権限付与の使用状況を追跡します。 新規/変更されたコマンド:license smart 、mode 、utility 、custom-id 、custom-info 、privacy 、transport type 、transport url 、transport proxy 新規/変更された画面: 。 |
||
ASA 仮想 柔軟なライセンス |
すべての ASA 仮想 ライセンスは、サポートされているすべての ASA 仮想 vCPU/メモリ構成で使用できるようになりました。セキュアクライアント および TLS プロキシのセッション制限は、モデルタイプに関連付けられたプラットフォーム制限ではなく、インストールされた ASA 仮想 プラットフォームの権限付与によって決まります。 新規/変更されたコマンド: show version 、show vm 、show cpu 、show license features 新規/変更された画面: 。 |
||
AWS の ASA 仮想 での C5 インスタンスのサポート。C4、C3、および M4 インスタンスの拡張サポート |
AWS パブリッククラウド上の ASA 仮想 は、C5 インスタンスをサポートするようになりました(c5.large、c5.xlarge、および c5.2xlarge)。 さらに、C4 インスタンス(c4.2xlarge および c4.4xlarge)、C3 インスタンス(c3.2xlarge、c3.4xlarge、および c3.8xlarge)および M4 インスタンス(m4.2xlarge および m4.4xlarge)のサポートが拡張されました。 変更されたコマンドはありません。 変更された画面はありません。 |
||
より多くの Azure 仮想マシンサイズをサポートする Microsoft Azure の ASA 仮想 |
Microsoft Azure パブリッククラウドの ASA 仮想 は、より多くの Linux 仮想マシンサイズをサポートするようになりました。
以前のリリースでは、Standard_D3 と Standard_D3_v2 のサイズのみがサポートされていました。 変更されたコマンドはありません。 変更された画面はありません。 |
||
DPDK の ASA 仮想 拡張サポート |
ASA 仮想 は、Data Plane Development Kit(DPDK)の拡張機能をサポートして、複数の NIC キューのサポートを有効にします。これにより、マルチコア CPU はネットワーク インターフェイスに同時に効率よくサービスを提供できるようになります。 これは、Microsoft Azure と Hyper-v を除くすべての ASA 仮想 ハイパーバイザに適用されます。
変更されたコマンドはありません。 変更された画面はありません。 |
||
VMware ESXi 6.7 用の ASA 仮想 サポート |
ASA 仮想 仮想プラットフォームは、VMware ESXi 6.7 で動作するホストをサポートしています。vi.ovf および esxi.ovf ファイルに新しい VMware ハードウェア バージョンが追加され、ESXi 6.7 で ASA 仮想 の最適なパフォーマンスと使いやすさを実現しました。 変更されたコマンドはありません。 変更された画面はありません。 |
||
ISA 3000 の VLAN 数の増加 |
Security Plus ライセンスが有効な ISA 3000 について、最大 VLAN 数が 25 から 100 に増えました。 |
||
ファイアウォール機能 |
|||
モバイル端末の場所のロギング(GTP インスペクション) |
GTP インスペクションを設定すると、モバイル端末の初期の場所とそれ以降の場所の変更をログに記録できます。場所の変更を追跡すると、不正なローミング請求を識別するのに役立つ場合があります。 新規/変更されたコマンド:location-logging 新規/変更された画面: 。 |
||
GTPv2 および GTPv1 リリース 15 がサポートされています。 |
システムで GTPv2 3GPP 29.274 V15.5.0 がサポートされるようになりました。GTPv1 の場合、3GPP 29.060 V15.2.0 までサポートしています。新しいサポートでは、2 件のメッセージおよび 53 件の情報要素の認識が追加されています。 変更されたコマンドはありません。 変更された画面はありません。 |
||
アドレスとポート変換のマッピング(MAP-T) |
アドレスとポートのマッピング (MAP) は、主にサービスプロバイダー (SP) ネットワークで使用する機能です。サービス プロバイダーは、IPv6 専用ネットワーク、MAP ドメインを稼働でき、同時に、IPv4 専用のサブスクライバをサポートし、パブリック インターネット上の IPv4 専用サイトとの通信ニーズに対応します。MAP は、RFC7597、RFC7598、および RFC7599 で定義されています。 新規/変更されたコマンド:basic-mapping-rule 、default-mapping-rule 、ipv4-prefix 、ipv6-prefix 、map-domain 、share-ratio 、show map-domain 、start-port 新規/変更されたコマンド: 、 |
||
グループごとの AAA サーバー グループとサーバーの制限が増えました。 |
より多くの AAA サーバー グループを設定できます。シングルコンテキストモードでは、200 個の AAA サーバーグループを設定できます(以前の制限は 100)。マルチコンテキストモードでは、8 個設定できます(以前の制限は 4)。 さらに、マルチコンテキストモードでは、グループごとに 8 台のサーバーを設定できます(以前の制限はグループごとに 4 台のサーバー)。シングル コンテキスト モードのグループごとの制限の 16 は変更されていません。 これらの新しい制限を受け入れるために、次のコマンドが変更されました。aaa-server 、aaa-server host これらの新しい制限を受け入れるために、AAA 画面が変更されました。 |
||
SCCP(Skinny)インスペクションでは、TLS プロキシが廃止されました。 |
tls-proxy キーワード、および SCCP/Skinny 暗号化インスペクションのサポートは廃止されました。このキーワードは今後のリリースで inspect skinny コマンドから削除される予定です。 |
||
VPN 機能 |
|||
クライアントとしての WebVPN の HSTS サポート |
http-headers と呼ばれる WebVPN モードの新しい CLI モードが追加され、WebVPN は、HTTP 参照を HSTS であるホストの HTTPS 参照に変換できるようになりました。ASA からブラウザへの WebVPN 接続用にこのヘッダーを送信する場合、ユーザー エージェントがリソースの埋め込みを許可するかどうかを設定します。 http-headers は次のように設定することも選択できます。x-content-type-options 、x-xss-protection 、hsts-client(クライアントとしての WebVPN の HSTS サポート)、 hsts-server、または content-security-policy 。 新規/変更されたコマンド:webvpn 、show webvpn hsts host (name <hostname&s{253}> | all) 、および clear webvpn hsts host (name <hostname&s{253}> | all) 。 新規/変更された画面: 。 |
||
キー交換用に追加された Diffie-Hellman グループ 15 および 16 |
Diffie-Hellman グループ 15 および 16 のサポートを追加するために、これらの新しい制限を受け入れるようにいくつかの crypto コマンドが変更されました。 crypto ikev2 policy <index> group <number> および crypto map <map-name> <map-index> set pfs <group>. |
||
show asp table vpn-context 出力の機能強化 |
デバッグ機能を強化するために、次の VPN コンテキスト カウンタが出力に追加されました。 Lock Err、No SA、IP Ver Err、および Tun Down。 新しい/変更されたコマンド:show asp table vpn-context (出力のみ)。 |
||
リモートアクセス VPN の最大セッション制限に達した場合の即時セッション確立 |
ユーザーが最大セッション(ログイン)制限に達すると、システムはユーザーの最も古いセッションを削除し、削除が完了するのを待ってから新しいセッションを確立します。これにより、最初の試行でユーザーが正常に接続できなくなる可能性があります。この遅延を削除し、削除の完了を待たずにシステムに新しい接続を確立させることができます。 新規/変更されたコマンド:vpn-simultaneous-login-delete-no-delay 新規/変更された画面:[General]タブ 、[Add/Edit] ダイアログボックス、 |
||
ハイ アベイラビリティとスケーラビリティの各機能 |
|||
デッド接続検出(DCD)の発信側および応答側の情報、およびクラスタ内の DCD のサポート。 |
デッド接続検出(DCD)を有効にした場合は、show conn detail コマンドを使用して発信側と応答側に関する情報を取得できます。デッド接続検出を使用すると、非アクティブな接続を維持できます。show conn の出力は、エンドポイントがプローブされた頻度が示されます。さらに、DCD がクラスタでサポートされるようになりました。 新しい/変更されたコマンド:show conn (出力のみ) 変更された画面はありません。 |
||
クラスタのトラフィック負荷のモニター |
クラスタ メンバのトラフィック負荷をモニターできるようになりました。これには、合計接続数、CPU とメモリの使用率、バッファ ドロップなどが含まれます。負荷が高すぎる場合、残りのユニットが負荷を処理できる場合は、ユニットのクラスタリングを手動で無効にするか、外部スイッチのロード バランシングを調整するかを選択できます。この機能は、デフォルトでイネーブルにされています。 新規/変更されたコマンド:debug cluster load-monitor 、load-monitor 、show cluster info load-monitor 新しい/変更された画面:
|
||
クラスタ結合の高速化 |
データユニットが制御ユニットと同じ設定の場合、設定の同期をスキップし、結合を高速化します。この機能は、デフォルトでイネーブルにされています。この機能はユニットごとに設定され、制御ユニットからデータユニットには複製されません。
新規/変更されたコマンド:unit join-acceleration 、show cluster info unit-join-acceleration incompatible-config 新規/変更された画面: チェックボックス |
||
ルーティング機能 |
|||
SMTP 設定の機能強化 |
必要に応じて、プライマリおよびバックアップ インターフェイス名を指定して SMTP サーバーを設定することで、ロギングに使用するルーティング テーブル(管理ルーティング テーブルまたはデータ ルーティング テーブル)を識別するために ASA を有効にできます。インターフェイスが指定されていない場合、ASA は管理ルーティング テーブル ルックアップを参照し、適切なルート エントリが存在しない場合は、データ ルーティング テーブルを参照します。 新規/変更されたコマンド: smtp-server [primary-interface][backup-interface] |
||
NSF 待機タイマーを設定するためのサポート |
OSPF ルータは、すべてのネイバーがパケットに含まれているか不明な場合、Hello パケットにアタッチされている EO-TLV に RS ビットを設定することが期待されています。また、隣接関係(アジャセンシー)を維持するためにはルータの再起動が必要です。ただし、RS ビット値は RouterDeadInterval 秒より長くすることはできません。timers nsf wait コマンドは、Hello パケットの RS ビットを RouterDeadInterval 秒未満に設定するために導入されました。 新規/変更されたコマンド: timers nsf wait |
||
TFTP ブロックサイズを設定するためのサポート |
TFTP ファイル転送用に固定された一般的なブロックサイズは 512 オクテットです。新しいコマンド tftp blocksize は、より大きなブロックサイズを設定するために導入されました。これにより、TFTP ファイル転送速度が向上します。513 ~ 8192 オクテットのブロックサイズを設定できます。新しいデフォルトのブロックサイズは 1456 オクテットです。このコマンドの no 形式を使用すると、ブロックサイズが古いデフォルト値(512 オクテット)にリセットされます。timers nsf wait コマンドは、Hello パケットの RS ビットを RouterDeadInterval 秒未満に設定するために導入されました。 新規/変更されたコマンド: tftp blocksize |
||
証明書の機能 |
|||
FIPS ステータスを表示するためのサポート |
show running-configuration fips コマンドは、FIPS が有効になっているときにのみ、FIPS のステータスを表示していました。動作状態を確認するために、show fips コマンドが導入されました。このコマンドは、ユーザーが無効状態または有効状態になっている FIPS を有効または無効にしたときに、FIPS のステータスを表示します。このコマンドは、有効化または無効化アクションの後にデバイスを再起動するためのステータスも表示します。 新規/変更されたコマンド: show fips |
||
CRL キャッシュサイズの拡張 |
大規模な CRL ダウンロードの失敗を防ぐため、キャッシュサイズを拡張し、また、個別の CRL 内のエントリ数の制限を取り除きました。
|
||
CRL 分散ポイント コマンドの変更 |
スタティック CDP URL コンフィギュレーション コマンドが削除され、match certificate コマンドに移行しました。 新規/変更されたコマンド:crypto-ca-trustpoint crl と crl url はその他の関連ロジックで削除され、match-certificate override-cdp が導入されました。 新規/変更された画面: スタティック CDP URL は 9.13(1)12 で match certificate コマンドに再導入されました。 |
||
管理およびトラブルシューティングの機能 |
|||
Firepower 1000、 Firepower 2100 アプライアンス モードがライセンス評価モードの場合の管理アクセス |
ASA には、管理アクセスのみを対象にした 3DES 機能がデフォルトで含まれているので、Smart Software Manager に接続でき、すぐに ASDM を使用することもできます。後に ASA で SSH アクセスを設定する場合は、SSH および SCP を使用することもできます。高度な暗号化を必要とするその他の機能(VPN など)では、最初に Smart Software Manager に登録する必要がある高度暗号化が有効になっている必要があります。
変更されたコマンドはありません。 変更された画面はありません。 |
||
追加の NTP 認証アルゴリズム |
以前は、NTP 認証では MD5 だけがサポートされていました。ASA は、次のアルゴリズムをサポートするようになりました。
新規/変更されたコマンド: ntp authentication-key 新しい/変更された画面: > [Add NTP Server Configuration] ダイアログボックス > [Key Algorithm] ドロップダウンリスト ボタン |
||
Firepower 4100/9300 の ASA Security Service Exchange(SSE)テレメトリ サポート |
ネットワークで Cisco Success Network を有効にすると、デバイスの使用状況に関する情報と統計情報がシスコに提供され、テクニカル サポートの最適化に使用されます。ASA デバイスで収集されるテレメトリ データには、CPU、メモリ、ディスク、または帯域幅の使用状況、ライセンスの使用状況、設定されている機能リスト、クラスタ/フェールオーバー情報などが含まれます。 新規/変更されたコマンド:service telemetry および show telemetry 新しい/変更された画面: |
||
事前定義されたリストに応じて最も高いセキュリティから最も低いセキュリティへという順序で SSH 暗号化の暗号を表示 |
事前定義されたリストに応じて、SSH 暗号化の暗号が最も高いセキュリティから最も低いセキュリティへという順序(中または高)で表示されるようになりました。以前のリリースでは、最も低いものから最も高いものへの順序でリストされており、セキュリティが高い暗号よりも低い暗号が先に表示されていました。 新規/変更されたコマンド: ssh cipher encryption 新しい/変更された画面:
|
||
show tech-support に追加の出力が含まれている |
show tech-support の出力が強化され、次の出力が表示されるようになりました。 show flow-offload info detail show flow-offload statistics show asp table socket 新しい/変更されたコマンド:show tech-support (出力のみ) |
||
ドロップ ロケーション情報を含む show-capture asp_drop 出力の機能強化 |
ASP ドロップ カウンタを使用したトラブルシューティングでは、同じ理由による ASP ドロップがさまざまな場所で使用されている場合は特に、ドロップの正確な位置は不明です。この情報は、ドロップの根本原因を特定する上で重要です。この拡張機能を使用すると、ビルド ターゲット、ASA リリース番号、ハードウェア モデル、および ASLR メモリ テキスト領域などの ASP ドロップの詳細が表示されます(ドロップの位置のデコードが容易になります)。 新規/変更されたコマンド: show-capture asp_drop |
||
変更内容 debug crypto ca |
debug crypto ca transactions および debug crypto ca messages オプションは、すべての該当するコンテンツを debug crypto ca コマンド自体に提供するために統合されています。また、使用可能なデバッグ レベルの数が 14 に削減されました。 新規/変更されたコマンド: debug crypto ca |
||
Firepower 1000 および2100 の FXOS 機能 |
|||
安全消去 |
安全消去機能は、SSD 自体で特別なツールを使用してもデータを回復できないように、SSD 上のすべてのデータを消去します。デバイスを使用停止する場合は、FXOS で安全に消去する必要があります。 新規/変更された FXOS コマンド:erase secure (local-mgmt) サポートされているモデル:Firepower 1000 および 2100 |
||
設定可能な HTTPS プロトコル |
FXOS HTTPS アクセス用の SSL/TLS のバージョンを設定できます。 新規/変更された FXOS コマンド: set https access-protocols サポートされているモデル:プラットフォーム モードの Firepower 2100 |
||
IPSec およびキーリングの FQDN の適用 |
FXOS では、ピアの FQDN がそのピアによって提示された x.509 証明書の DNS 名と一致する必要があるように、FQDN の適用を設定できます。IPSec の場合、9.13(1) より前に作成された接続を除き、適用はデフォルトで有効になっています。古い接続への適用は手動で有効にする必要があります。キーリングの場合、すべてのホスト名が FQDN である必要があり、ワイルドカードは使用できません。 新規/変更された FXOS コマンド:set dns、set e-mail、 set fqdn-enforce 、set ip 、set ipv6 、set remote-address 、set remote-ike-id 削除されたコマンド:fi-a-ip 、fi-a-ipv6 、fi-b-ip 、fi-b-ipv6 サポートされているモデル:プラットフォーム モードの Firepower 2100 |
||
新しい IPSec 暗号とアルゴリズム |
FXOS 管理トラフィックを暗号化する IPSec トンネルを設定するために、次の IKE および ESP 暗号とアルゴリズムが追加されました。
変更された FXOS コマンドはありません。 サポートされているモデル:プラットフォーム モードの Firepower 2100 |
||
SSH 認証の機能拡張 |
FXOS では、次の SSH サーバー暗号化アルゴリズムが追加されました。
FXOS では、次の SSH サーバーキー交換方式が追加されました。
新規/変更された FXOS コマンド:set ssh-server encrypt-algorithm 、set ssh-server kex-algorithm サポートされているモデル:プラットフォーム モードの Firepower 2100 |
||
X.509 証明書の EDCS キー |
FXOS 証明書に EDCS キーを使用できるようになりました。以前は、RSA キーだけがサポートされていました。 新規/変更された FXOS コマンド:set elliptic-curve 、set keypair-type サポートされているモデル:プラットフォーム モードの Firepower 2100 |
||
ユーザー パスワードの改善 |
次のような FXOS パスワードセキュリティの改善が追加されました。
新規/変更された FXOS コマンド:set change-during-interval 、set expiration-grace-period 、set expiration-warning-period 、set history-count 、set no-change-interval 、set password 、set password-expiration 、set password-reuse-interval 新規/変更された [Firepower Chassis Manager] 画面:
サポートされているモデル:プラットフォーム モードの Firepower 2100 |
バージョン 9.12 の新機能
ASA 9.12(4) の新機能
リリース日:2020 年 5 月 26 日
機能 |
説明 |
---|---|
ルーティング機能 |
|
マルチキャスト IGMP インターフェイスの状態制限の 500 から 5000 への引き上げ |
マルチキャスト IGMP インターフェイスの状態制限が 500 から 5000 に引き上げられました。 新規/変更されたコマンド: igmp limit ASDM サポートはありません。 |
トラブルシューティング機能 |
|
show tech-support コマンドの拡張 |
show ssl objects コマンドと show ssl errors コマンドが show tech-support コマンドの出力に追加されました。 新規/変更されたコマンド: show tech-support 変更された画面はありません。 |
VPN 機能 |
|
ネゴシエーション中の SA の絶対値としての最大数設定に対するサポート |
ネゴシエーション中の SA の最大数を絶対値として 15000 まで、または最大デバイスキャパシティから得られる最大値を設定できるようになりました(以前はパーセンテージのみが許可されていました)。 新規/変更されたコマンド: crypto ikev2 limit max-in-negotiation-sa value ASDM サポートはありません。 |
ASA 9.12(3) の新機能
リリース日:2019 年 11 月 25 日
このリリースに新機能はありません。
ASA 9.12(2)/ASDM 7.12(2) の新機能
リリース日:2019 年 5 月 30 日
機能 |
説明 |
---|---|
プラットフォーム機能 |
|
Firepower 9300 SM-56 のサポート |
セキュリティ モジュール、SM-56 を導入しました。 FXOS 2.6.1.157 が必要です。 変更されたコマンドはありません。 変更された画面はありません。 |
管理機能 |
|
SSH キー交換モードの設定は、管理コンテキストに限定されています。 |
管理コンテキストでは SSH キー交換を設定する必要があります。この設定は、他のすべてのコンテキストによって継承されます。 新規/変更されたコマンド: ssh key-exchange 新規/変更された画面: |
ASDM 機能 |
|
ASDM の OpenJRE バージョン |
OracleJRE ではなく、OpenJRE 1.8.x を使用する ASDM のバージョンをインストールできます。OpenJRE バージョンのファイル名は、asdm-openjre-version.bin です。 |
オプションで ASA FirePOWER モジュールのローカル管理ファイル フォルダを指定 |
ASA FirePOWER モジュールのローカル管理ファイルをインストールする場所を指定できるようになりました。設定された場所に対して読み取り/書き込み権限を持っている必要があります。 新規/変更された画面: 領域 |
ASA 9.12(1)/ASDM 7.12(1) の新機能
リリース:2019 年 3 月 13 日
機能 |
説明 |
---|---|
プラットフォーム機能 |
|
Firepower 4115、4125、および 4145 向け ASA |
Firepower 4115、4125、および 4145 が導入されました。 FXOS 2.6.1 が必要です。 変更されたコマンドはありません。 変更された画面はありません。 |
ASA および 脅威に対する防御 を同じ Firepower 9300 の別のモジュールでサポート |
ASA および 脅威に対する防御 論理デバイスを同じ Firepower 9300 上で展開できるようになりました。 FXOS 2.6.1 が必要です。 変更されたコマンドはありません。 変更された画面はありません。 |
Firepower 9300 SM-40 および SM-48 のサポート |
2 つのセキュリティ モジュール、SM-40 および SM-48 が導入されました。 FXOS 2.6.1 が必要です。 変更されたコマンドはありません。 変更された画面はありません。 |
ファイアウォール機能 |
|
GTPv1 リリース 10.12 のサポート |
システムで GTPv1 リリース 10.12 がサポートされるようになりました。以前は、リリース 6.1 がサポートされていました。新しいサポートでは、25 件の GTPv1 メッセージおよび 66 件の情報要素の認識が追加されています。 さらに、動作の変更もあります。不明なメッセージ ID が許可されるようになりました。以前は、不明なメッセージはドロップされ、ログに記録されていました。 変更されたコマンドはありません。 変更された画面はありません。 |
Cisco Umbrella の強化 |
Cisco Umbrella をバイパスする必要があるローカル ドメイン名を特定できるようになりました。これらのドメインの DNS 要求は、Umbrella を処理せず DNS サーバーに直接送信されます。また、DNS 要求の解決に使用する Umbrella サーバーも特定できるようになりました。さらに、Umbrella サーバーを使用できない場合は、DNS 要求がブロックされないように、Umbrella インスペクション ポリシーをフェール オープンに定義することができます。 新規/変更されたコマンド:local-domain-bypass 、resolver 、umbrella fail-open 新規/変更された画面: 、 |
オブジェクト グループの検索しきい値がデフォルトで無効になりました。 |
これまではオブジェクト グループの検索が有効になると、この機能によりしきい値が適用され、パフォーマンスの低下を防止していました。そのしきい値が、デフォルトで無効になりました。しきい値は、object-group-search threshold コマンドを使用して有効にできます。 新規/変更されたコマンド:object-group-search threshold 次の画面が変更されました: |
NAT のポート ブロック割り当てに対する暫定ログ |
NAT のポート ブロックの割り当てを有効にすると、ポート ブロックの作成および削除中にシステムで syslog メッセージが生成されます。暫定ログの記録を有効にすると、指定した間隔でメッセージ 305017 が生成されます。メッセージは、その時点で割り当てられているすべてのアクティブ ポート ブロックをレポートします(プロトコル(ICMP、TCP、UDP)、送信元および宛先インターフェイス、IP アドレス、ポート ブロックを含む)。 新規/変更されたコマンド:xlate block-allocation pba-interim-logging seconds 新規/変更された画面: |
VPN 機能 |
|
debug aaa の新しい condition オプション |
condition オプションが debug aaa コマンドに追加されました。このオプションを使用すると、グループ名、ユーザー名またはピア IP アドレスに基づいて VPN デバッグをフィルタ処理できます。 新規/変更されたコマンド: debug aaa condition 変更された画面はありません。 |
IKEv2 での RSA SHA-1 のサポート |
IKEv2 の RSA SHA-1 ハッシュ アルゴリズムを使用して署名を生成できるようになりました。 新規/変更されたコマンド: rsa-sig-sha1 新しい/変更された画面: |
DES と3DES の両方の暗号化ライセンス、および使用可能な暗号のデフォルトの SSL 設定を表示します。 |
3DES 暗号化ライセンスの有無にかかわらず、デフォルトの SSL 設定を表示できるようになりました。さらに、デバイスでサポートされているすべての暗号を表示することもできます。 新規/変更されたコマンド: show ssl information 変更された画面はありません。 |
webVPN HSTS へのサブドメインの追加 |
ドメイン所有者は、Web ブラウザの HSTS プリロード リストに含める必要があるドメインを送信できます。 新規/変更されたコマンド: hostname(config-webvpn) includesubdomains 新しい/変更された画面: フィールド > [Enable HSTS Subdomains] |
ハイ アベイラビリティとスケーラビリティの各機能 |
|
サイトごとのクラスタリング用 Gratuitous ARP |
ASA では、Gratuitous ARP(GARP)パケットを生成してスイッチング インフラストラクチャを常に最新の状態に保つようになりました。各サイトの優先順位値が最も高いメンバによって、グローバル MAC/IP アドレスの GARP トラフィックが定期的に生成されます。クラスタから送信されたサイトごとの MAC および IP アドレスとパケットがサイト固有の MAC アドレスおよび IP アドレスを使用するのに対し、クラスタで受信したパケットは、グローバル MAC アドレスおよび IP アドレスを使用します。トラフィックがグローバル MAC アドレスから定期的に生成されない場合、グローバル MAC アドレスのスイッチで MAC アドレスのタイムアウトが発生する可能性があります。タイムアウト後にグローバル MAC アドレスへのトラフィックがスイッチング インフラストラクチャ全体にわたりフラッディングされ、これによりパフォーマンスおよびセキュリティ上の問題が発生することがあります。各スパンド EtherChannel のユニットおよびサイト MAC アドレスごとにサイト ID を設定すると、GARP がデフォルトで有効になります。 新規/変更されたコマンド: site-periodic-garp interval 新規/変更された画面: フィールド |
マルチコンテキストモードの HTTPS リソース管理 |
リソースクラスの非 ASDM HTTPS セッションの最大数を設定できるようになりました。デフォルトでは、制限はコンテキストあたり最大 6 に設定でき、すべてのコンテキスト全体では最大 100 の HTTPS セッションを使用できます。 新規/変更されたコマンド: limit-resource http ASDM サポートはありません。 |
ルーティング機能 |
|
認証のための OSPF キー チェーンのサポート |
OSPF は、MD5 キーを使用してネイバーおよびルート アップデートを認証します。ASA では、MD5 ダイジェストの生成に使用されるキーには関連付けられている有効期間がありませんでした。したがって、キーを定期的に変更するにはユーザーによる介入が必要でした。この制限を打破するために、OSPFv2 は循環キーを使用した MD5 認証をサポートしています。 キー チェーンのキーの承認と送信の有効期間に基づいて、OSPF 認証でキーおよびフォームの隣接関係を承認または拒否します。 新規/変更されたコマンド:accept-lifetime 、area virtual-link authentication 、cryptographic-algorithm 、key 、key chain 、key-string 、ospf authentication 、send-lifetime 新しい/変更された画面: |
証明書の機能 |
|
登録用 URL のローカル CA を設定可能な FQDN |
ASA の構成済み FQDN を使用する代わりに設定可能な登録用 URL の FQDN を作成するため、新しい CLI オプションが導入されました。この新しいオプションは、crypto ca server の smpt モードに追加されます。 新規/変更されたコマンド: fqdn |
管理、モニタリング、およびトラブルシューティングの機能 |
|
enable ログイン時にパスワードの変更が必要になりました |
デフォルトの enable のパスワードは空白です。ASA で特権 EXEC モードへのアクセスを試行する場合に、パスワードを 3 文字以上の値に変更することが必須となりました。空白のままにすることはできません。no enable password コマンドは現在サポートされていません。 CLI で aaa authorization exec auto-enable を有効にすると、enable コマンド、login コマンド(特権レベル 2 以上のユーザー)、または SSH/Telnet セッションを使用して特権 EXEC モードにアクセスできます。これらの方法ではすべて、イネーブル パスワードを設定する必要があります。 このパスワード変更の要件は、ASDM のログインには適用されません。ASDM のデフォルトでは、ユーザー名を使用せず enable パスワードを使用してログインすることができます。 新規/変更されたコマンド: enable password 変更された画面はありません。 |
管理セッションの設定可能な制限 |
集約、ユーザー単位、およびプロトコル単位の管理セッションの最大数を設定できます。これまでは、セッションの集約数しか設定できませんでした。この機能がコンソール セッションに影響を与えることはありません。マルチ コンテキスト モードでは HTTPS セッションの数を設定することはできず、最大セッション数は 5 で固定されています。また、quota management-session コマンドはシステム コンフィギュレーションでは受け入れられず、代わりにコンテキスト コンフィギュレーションで使用できるようになっています。集約セッションの最大数が 15 になりました。0(無制限)または 16 以上に設定してアップグレードすると、値は 15 に変更されます。 新規/変更されたコマンド:quota management-session 、show quota management-session 新規/変更された画面: |
管理権限レベルの変更通知 |
有効なアクセス(aaa authentication enable console) を認証するか、または特権 EXEC への直接アクセス(aaa authorization exec auto-enable )を許可すると、前回のログイン以降に割り当てられたアクセス レベルが変更された場合に ASA からユーザーへ通知されるようになりました。 新規/変更されたコマンド: show aaa login-history 新しい/変更された画面: [Status] バー > [Login History] アイコン |
IPv6 での NTP サポート |
NTP サーバーに IPv6 アドレスを指定できるようになりました。 新規/変更されたコマンド: ntp server 新規/変更された画面: ダイアログ ボックス ボタン > [Add NTP Server Configuration] |
SSH によるセキュリティの強化 |
次の SSH セキュリティの改善を参照してください。
新規/変更されたコマンド:ssh cipher integrity 、ssh key-exchange group dh-group14-sha256 新規/変更された画面: |
非ブラウザベースの HTTPS クライアントによる ASA へのアクセスの許可 |
非ブラウザベースの HTTPS クライアントが ASA 上の HTTPS サービスにアクセスできるようにすることができます。デフォルトでは、ASDM、CSM、および REST API が許可されています。 新規/変更されたコマンド: http server basic-auth-client 新規/変更された画面:
|
クラスタ制御リンク上でのみのコントロール プレーン パケットのキャプチャ |
クラスタ制御リンク(およびデータ プレーン パケットなし)でのみコントロール プレーン パケットをキャプチャできるようになりました。このオプションは、マルチコンテキスト モードのシステムで、ACL を使用してトラフィックを照合できない場合に役立ちます。 新規/変更されたコマンド: capture interface cluster cp-cluster 新規/変更された画面:
|
debug conn コマンド |
接続処理を記録する 2 つの履歴メカニズムを提供するために debug conn コマンドが追加されました。1 つ目の履歴リストはスレッドの操作を記録するスレッドごとのリストです。2 つ目の履歴リストは conn グループに操作を記録するリストです。接続が有効になっている場合、接続のロック、ロック解除、削除などの処理イベントが 2 つの履歴リストに記録されます。問題が発生すると、これら 2 つのリストを使用して不正なロジックを判断する処理で確認することができます。 新規/変更されたコマンド: debug conn |
show tech-support に追加の出力が含まれている |
show tech-support の出力が拡張され、次の出力が表示されるようになりました。
新規/変更されたコマンド: show tech-support |
SNMP ウォーク操作中の空きメモリおよび使用済みメモリの統計情報の結果の有効化および無効化の ASDM サポート |
CPU リソースが過剰に使用されないようにするには、SNMP ウォーク操作によって収集された空きメモリと使用済みメモリの統計情報のクエリを有効または無効にすることができます。 新規または変更された画面: |
マルチコンテキスト モードのシステムの ASDM [Home] ペインに設定可能なグラフ更新間隔 |
マルチコンテキスト モードのシステムでは、[Home] ペインのグラフの更新間隔の時間を設定できるようになりました。 新規/変更された画面:
|
バージョン 9.10 の新機能
ASA 9.10(1)/ASDM 7.10(1) の新機能
リリース日:2018 年 10 月 25 日
機能 |
説明 |
---|---|
プラットフォーム機能 |
|
ASA 仮想 用の ASAv VHD カスタムイメージ |
シスコが提供する圧縮 VHD イメージを使用して、Azure に独自のカスタム ASA 仮想 イメージを作成できるようになりました。VHD イメージを使用して展開するには、Azure ストレージ アカウントに VHD イメージをアップロードする必要があります。次に、アップロードしたディスクイメージおよび Azure Resource Manager テンプレートを使用して、管理対象イメージを作成できます。Azure テンプレートは、リソースの説明とパラメータの定義が含まれている JSON ファイルです。 |
Azure 用 ASA 仮想 |
ASA 仮想 は Azure 中国市場で入手できます。 |
DPDK の ASA 仮想 サポート |
DPDK(データプレーン開発キット)は、ポーリングモードドライバを使用して ASA 仮想 のデータプレーンに統合されています。 |
FirePOWER モジュール バージョン 6.3 の ISA 3000 サポート |
以前サポート対象だったバージョンは FirePOWER 5.4 でした。 |
ファイアウォール機能 |
|
Cisco Umbrella サポート |
Cisco Umbrella で定義されている エンタープライズ セキュリティ ポリシーをユーザー接続に適用できるように DNS 要求を Cisco Umbrella へリダイレクトするようにデバイスを設定できます。FQDN に基づいて接続を許可またはブロックできます。または、疑わしい FQDN の場合は Cisco Umbrella インテリジェント プロキシにユーザーをリダイレクトして URL フィルタリングを実行できます。Umbrella の設定は、DNS インスペクション ポリシーに含まれています。 新規/変更されたコマンド:umbrella 、umbrella-global 、token 、public-key 、timeout edns 、dnscrypt 、show service-policy inspect dns detail 新しい/変更された画面: 、 |
MSISDN および選択モードのフィルタリング、アンチリプレイ、およびユーザー スプーフィング保護に対する GTP インスペクションの機能拡張 |
モバイル ステーション国際サブスクライバ電話番号(MSISDN)または選択モードに基づいて PDP コンテキストの作成メッセージをドロップするように GTP インスペクションを設定できるようになりました。また、アンチリプレイとユーザー スプーフィング保護も実装できます。 新規/変更されたコマンド: anti-replay 、gtp-u-header-check 、match msisdn 、match selection-mode 新規/変更された画面: ダイアログボックス |
TCP ステート バイパスのデフォルトのアイドル タイムアウト |
TCP ステート バイパス接続のデフォルトのアイドル タイムアウトは 1 時間ではなく、2 分になりました。 |
カットスルー プロキシ ログイン ページからのログアウト ボタンの削除をサポート |
ユーザー ID 情報(AAA 認証 リスナー)を取得するようにカットスルー プロキシを設定している場合、ページからログアウト ボタンを削除できるようになりました。これは、ユーザーが NAT デバイスの背後から接続し、IP アドレスで識別できない場合に便利です。1 人のユーザーがログアウトすると、その IP アドレスのすべてのユーザーがログアウトされます。 新規/変更されたコマンド: aaa authentication listener no-logout-button ASDM サポートはありません。 9.8(3) でも同様。 |
Trustsec SXP 接続の設定可能な削除ホールド ダウン タイマー |
デフォルトの SXP 接続ホールド ダウン タイマーは 120 秒です。このタイマーを 120 ~ 64000 秒に設定できるようになりました。 新規/変更されたコマンド:cts sxp delete-hold-down period 、show cts sxp connection brief 、show cts sxp connections ASDM サポートはありません。 9.8(3) でも同様。 |
トランスペアレント モードでの NAT'ed フローのオフロードをサポート |
フロー オフロード(flow-offload enable および set connection advanced-options flow-offload コマンド)を使用している場合、トランスペアレント モードで NAT を必要とするフローをオフロードされたフローに含めることができるようになりました。 |
Firepower Firepower 4100/9300 ASA 論理デバイスのトランスペアレントモード展開のサポート |
Firepower 4100/9300 で ASA を展開するときに、トランスペアレントまたはルーテッド モードを指定できるようになりました。 新規/変更された FXOS コマンド:enter bootstrap-key FIREWALL_MODE 、set value routed 、set value transparent 新規/変更された [Firepower Chassis Manager] 画面:
新規/変更されたオプション:[Firewall Mode] ドロップダウン リスト |
VPN 機能 |
|
従来の SAML 認証のサポート |
CSCvg65072 の修正とともに ASA を展開すると、SAML のデフォルト動作で、AnyConnect 4.4 または 4.5 ではサポートされていない組み込みブラウザが使用されます。そのため、引き続き AnyConnect 4.4 または 4.5 を使用するには、従来の外部ブラウザで SAML 認証方式を有効にする必要があります。セキュリティ上の制限があるため、このオプションは、AnyConnect 4.6(またはそれ以降)に移行するための一時的な計画の一環としてのみ使用してください。このオプションは近い将来に廃止されます。 新規/変更されたコマンド: saml external-browser 新しい/変更された画面: [Secure Client AnyConnect接続プロファイル(Secure Client Connection Profiles)] ページ > [接続プロファイル(Connection Profiles)] 領域 > [追加(Add)] ボタン > [Secure Client 接続プロファイルの追加(Add Secure Client AnyConnect Connection Profile)] ダイアログボックス >領域 > [Add] ボタン > [Add Clientless SSL VPN Connection Profile] ダイアログボックス ページ > [Connection Profiles]新規および変更されたオプション:[SAML External Browser] チェックボックス 9.8(3) でも同様。 |
セキュアクライアント VPN リモートアクセス接続のための DTLS 1.2 サポート |
DTLS 1.2(RFC-6347 で規定)では、現在サポートされている DTLS 1.0(バージョン番号 1.1 は DTLS には使用されません)に加えて、 Cisco Secure クライアントの AnyConnect VPN モジュール もサポートされるようになりました。これは、5506-X、5508-X、および 5516-X を除くすべての ASA モデルに適用され、ASA がクライアントではなく、サーバーとしてのみ機能している場合に適用されます。DTLS 1.2 は、現在のすべての TLS/DTLS 暗号方式と大きな Cookie サイズに加えて、追加の暗号方式をサポートしています。 新規/変更されたコマンド:show run ssl、show vpn-sessiondb detail anyconnectssl cipher、ssl server-version 新規/変更された画面: |
ハイ アベイラビリティとスケーラビリティの各機能 |
|
Firepower 4100/9300 のクラスタ制御リンクのカスタマイズ可能な IP アドレス |
クラスタ制御リンクのデフォルトでは 127.2.0.0/16 ネットワークが使用されます。これで FXOS でクラスタを展開するときにネットワークを設定できます。シャーシは、シャーシ ID およびスロット ID(127.2.chassis_id.slot_id)に基づいて、各ユニットのクラスタ制御リンク インターフェイス IP アドレスを自動生成します。ただし、一部のネットワーク展開では、127.2.0.0/16 トラフィックはパスできません。そのため、ループバック(127.0.0.0/8)およびマルチキャスト(224.0.0.0/4)アドレスを除き、FXOS にクラスタ制御リンクのカスタム /16 サブネットを作成できるようになりました。 新規/変更された FXOS コマンド: set cluster-control-link network 新規/変更された [Firepower Chassis Manager] 画面:
新規/変更されたオプション:[CCL Subnet IP] フィールド |
Firepower 9300 シャーシごとのクラスタ ユニットのパラレル参加 |
Firepower 9300 の場合、この機能により、シャーシ内のセキュリティ モジュールがクラスタに同時に参加し、トラフィックがモジュール間で均等に分散されるようになります。他のモジュールよりもかなり前に参加したモジュールは、他のモジュールがまだ負荷を共有できないため、必要以上のトラフィックを受信することがあります。 新規/変更されたコマンド: unit parallel-join 新しい/変更された画面:
新規/変更されたオプション:[Parallel Join of Units Per Chassis] エリア |
クラスタ インターフェイス デバウンス時間は、ダウン状態から稼働状態に変更するインターフェイスに適用されるようになりました。 |
インターフェイスのステータス更新が発生すると、ASA はインターフェイスを障害としてマークし、クラスタからユニットを削除するまで health-check monitor-interface debounce-time コマンドまたは ASDM 画面で指定されたミリ秒数待機します。この機能は、ダウン状態から稼働状態に変更するインターフェイスに適用されるようになりました。たとえば、ダウン状態から稼働状態に移行している EtherChannel の場合(スイッチがリロードされた、またはスイッチが有効になっている EtherChannel など)、デバウンス時間を長くすることで、他のクラスタ ユニットの方がポートのバンドルが速いという理由だけで、クラスタ ユニット上でインターフェイスがエラー表示されるのを防ぐことができます。 変更されたコマンドはありません。 変更された画面はありません。 |
Microsoft Azure Government クラウドでの ASA 仮想 のアクティブ/バックアップの高可用性 |
アクティブな ASA 仮想 の障害が Microsoft Azure パブリッククラウドのバックアップ ASA 仮想 へのシステムの自動フェールオーバーをトリガーするのを許可する、ステートレスなアクティブ/バックアップソリューションが、Azure Government クラウドで使用できるようになりました。 新規または変更されたコマンド:failover cloud 新規または変更された画面:
|
インターフェイス機能 |
|
Firepower 2100/4100/9300 のスーパーバイザの関連付けを表示するための show interface ip brief および show ipv6 interface の出力の強化 |
Firepower 2100/4100/9300 の場合、コマンドの出力は、インターフェイスのスーパーバイザの関連付けステータスを表示するために強化されています。 新規/変更されたコマンド:show interface ip brief、show ipv6 interface |
Firepower 2100 では、set lacp-mode コマンドが set port-channel-mode に変更されています。 |
set lacp-mode コマンドは、Firepower 4100/9300 でのコマンドの使用方法に合わせるために set port-channel-mode に変更されています。 新規/変更された FXOS コマンド: set port-channel-mode |
管理、モニタリング、およびトラブルシューティングの機能 |
|
Firepower 2100 の NTP 認証のサポート |
FXOS で SHA1 NTP サーバー認証を設定できるようになりました。 新規/変更された FXOS コマンド:enable ntp-authentication、set ntp-sha1-key-id、set ntp-sha1-key-string 新規/変更された [Firepower Chassis Manager] 画面:
新規/変更されたオプション:[NTP Server Authentication: Enable] チェックボックス、[Authentication Key] フィールド、[Authentication Value] フィールド |
ACL を使用せず IPv6 トラフィックを一致させるためのパケット キャプチャのサポート |
capture コマンドの match キーワードを使用する場合、any キーワードは IPv4 トラフィックのみ照合します。IPv4 または IPv6 トラフィックをキャプチャするために、any4 と any6 キーワードを指定できるようになりました。any キーワードでは、引き続き IPv4 トラフィックのみ照合されます。 新規/変更されたコマンド:capture match ASDM サポートはありません。 |
Firepower 2100 の FXOS に対する SSH の公開キー認証のサポート |
SSH キーを設定し、パスワード認証の代わりに公開キー認証を使用したり、両方の認証を使用したりできます。 新規/変更された FXOS コマンド:set sshkey Firepower Chassis Manager のサポートはありません。 |
GRE および IPinIP カプセル化のサポート |
内部インターフェイス上でパケット キャプチャを実行するときに、ICMP、UDP、TCP などでの GRE および IPinIP カプセル化を表示するコマンドの出力が強化されています。 新規/変更されたコマンド:show capture |
アプリケーションのキャッシュの割り当てを制限するメモリしきい値を有効にするためのサポート |
デバイスの管理性と安定性を維持するためのメモリの予約ができるように、特定のメモリしきい値に達するアプリケーション キャッシュの割り当てを制限することができます。 新規/変更されたコマンド:memory threshold enable、show run memory threshold、clear conf memory threshold |
RFC 5424 ロギングのタイムスタンプのサポート |
RFC 5424 形式に従ってロギング タイムスタンプを有効にできます。 新規/変更されたコマンド:logging timestamp |
TCB-IPS のメモリ使用量を表示するためのサポート |
TCB-IPS でのアプリケーション レベルのメモリ キャッシュを表示します。 新規/変更されたコマンド:show memory app-cache |
SNMP ウォーク操作中の空きメモリおよび使用済みメモリの統計情報の結果を有効または無効にするためのサポート |
CPU リソースが過剰に使用されないようにするには、SNMP ウォーク操作によって収集された空きメモリと使用済みメモリの統計情報のクエリを有効または無効にすることができます。 新規/変更されたコマンド:snmp-server enable oid ASDM サポートはありません。 |
バージョン 9.9 の新機能
ASDM 7.9(2.152) の新機能
リリース日:2018 年 5 月 9 日
機能 |
説明 |
---|---|
VPN 機能 |
|
従来の SAML 認証のサポート |
CSCvg65072 の修正とともに ASA を展開すると、SAML のデフォルト動作で、AnyConnect 4.4 または 4.5 ではサポートされていない組み込みブラウザが使用されます。そのため、引き続き AnyConnect 4.4 または 4.5 を使用するには、従来の外部ブラウザで SAML 認証方式を有効にする必要があります。セキュリティ上の制限があるため、このオプションは、AnyConnect 4.6 に移行するための一時的な計画の一環としてのみ使用してください。このオプションは近い将来に廃止されます。 新しい/変更された画面: セキュアクライアント ページ > [接続プロファイル(Connection Profiles)] 領域 > [追加(Add)] ボタン > [追加(Add)] セキュアクライアント[接続プロファイル(Connection Profile)] ダイアログ 領域 > [Add] ボタン > [Add Clientless SSL VPN Connection Profile] ダイアログボックス ページ > [Connection Profiles]新規および変更されたオプション:[SAML External Browser] チェックボックス |
ASA 9.9(2)/ASDM 7.9(2) の新機能
リリース:2018年3月26日
機能 |
説明 |
||
---|---|---|---|
プラットフォーム機能 |
|||
VMware ESXi 6.5 用の ASA 仮想 サポート |
ASA 仮想プラットフォームは、VMware ESXi 6.5 で動作するホストをサポートしています。vi.ovf および esxi.ovf ファイルに新しい VMware ハードウェアバージョンが追加され、ESXi 6.5 で ASA 仮想 の最適なパフォーマンスと使いやすさを実現しました。 変更されたコマンドはありません。 変更された画面はありません。 |
||
VMXNET3 インターフェイス用の ASA 仮想 サポート |
ASA 仮想プラットフォームは、VMware ハイパーバイザ上の VMXNET3 インターフェイスをサポートしています。 変更されたコマンドはありません。 変更された画面はありません。 |
||
初回起動時の仮想シリアル コンソール用の ASA 仮想 サポート |
ASA 仮想 にアクセスして設定するために、仮想 VGA コンソールではなく初回起動時に仮想シリアルコンソールを使用するように ASA 仮想 を設定できるようになりました。 新規または変更されたコマンド:console serial |
||
Microsoft Azure 上での高可用性のために複数の Azure サブスクリプションでユーザー定義ルートを更新する ASA 仮想 サポート |
Azure 高可用性構成で ASA 仮想 を構成して、複数の Azure サブスクリプションでユーザー定義ルートを更新できるようになりました。 新規または変更されたコマンド:failover cloud route-table 新規または変更された画面: |
||
VPN 機能 |
|||
IKEv2 プロトコルに拡張されたリモート アクセス VPN マルチコンテキスト サポート |
セキュアクライアント やサードパーティ製標準ベース IPSec IKEv2 VPN クライアントがマルチコンテキストモードで稼働する ASA へのリモートアクセス VPN セッションを確立できるように ASA を設定することをサポートします。 |
||
RADIUS サーバーへの IPv6 接続 |
ASA 9.9.2 では、外部 AAA RADIUS サーバーへの IPv6 接続がサポートされるようになりました。 |
||
BVI サポートのための Easy VPN 拡張 |
Easy VPN は、ブリッジ型仮想インターフェイス(BVI)を内部セキュア インターフェイスとしてサポートするように拡張され、インターフェイスを内部セキュア インターフェイスとして使用するように直接設定できるようになりました。それ以外の場合は、ASA がセキュリティ レベルを使用して、その内部セキュア インターフェイスを選択します。 また、VPN 管理アクセスがその BVI で有効になっている場合、telnet、http、ssh などの管理サービスを BVI で設定できるようになりました。非 VPN 管理アクセスの場合は、ブリッジ グループ メンバ インターフェイスでこれらのサービスの設定を続行する必要があります。 新規または変更されたコマンド:vpnclient secure interface [interface-name]、https、telnet、ssh、management-access |
||
分散型 VPN セッションの改善 |
|
||
ハイ アベイラビリティとスケーラビリティの各機能 |
|||
内部障害発生後に自動的にクラスタに再参加する |
以前は、多くのエラー状態によりクラスタ ユニットがクラスタから削除されていました。この問題を解決した後、手動でクラスタに再参加する必要がありました。現在は、ユニットはデフォルトで 5 分、10 分、および 20 分の間隔でクラスタに自動的に再参加を試行します。これらの値は設定できます。内部の障害には、アプリケーション同期のタイムアウト、矛盾したアプリケーション ステータスなどがあります。 新規または変更されたコマンド:health-check system auto-rejoin、show cluster info auto-join 新規または変更された画面: |
||
ASA 5000-X シリーズに対してインターフェイスを障害としてマークするために設定可能なデバウンス時間 |
ASA がインターフェイスを障害が発生していると見なし、ASA 5500-X シリーズ上のクラスタからユニットが削除されるまでのデバウンス時間を設定できるようになりました。この機能により、インターフェイスの障害をより迅速に検出できます。デバウンス時間を短くすると、誤検出の可能性が高くなることに注意してください。インターフェイスのステータス更新が発生すると、ASA はインターフェイスを障害としてマークし、クラスタからユニットを削除するまで指定されたミリ秒数待機します。デフォルトのデバウンス時間は 500 ms で、有効な値の範囲は 300 ms ~ 9 秒です。この機能は以前は Firepower 4100/9300 で使用できました。 新規または変更されたコマンド:health-check monitor-interface debounce-time 新規または変更された画面: |
||
クラスタの信頼性の高いトランスポート プロトコル メッセージのトランスポートに関連する統計情報の表示 |
ユニットごとのクラスタの信頼性の高いトランスポート バッファ使用率を確認して、バッファがコントロール プレーンでいっぱいになったときにパケット ドロップの問題を特定できるようになりました。 新規または変更されたコマンド:show cluster info transport cp detail |
||
ピア ユニットからのフェールオーバー履歴の表示 |
ピア ユニットから、details キーワードを使用して、フェールオーバー履歴を表示できるようになりました。これには、フェールオーバー状態の変更と状態変更の理由が含まれます。 新規または変更されたコマンド:show failover |
||
インターフェイス機能 |
|||
シングル コンテキスト モード用の一意の MAC アドレス生成 |
シングル コンテキスト モードで VLAN サブインターフェイスの一意の MAC アドレス生成を有効にできるようになりました。通常、サブインターフェイスはメイン インターフェイスと同じ MAC アドレスを共有します。IPv6 リンクローカル アドレスは MAC アドレスに基づいて生成されるため、この機能により一意の IPv6 リンクローカル アドレスが許可されます。 新規または変更されたコマンド:mac-address auto ASDM サポートはありません。 9.8(3) と 9.8(4) も同様です。 |
||
管理機能 |
|||
RSA キー ペアによる 3072 ビット キーのサポート |
モジュラス サイズを 3072 に設定できるようになりました。 新規または変更されたコマンド:crypto key generate rsa modulus 新規または変更された画面: |
||
FXOS ブートストラップ設定によるイネーブル パスワードの設定 |
Firepower 4100/9300 に ASA を展開すると、ブートストラップ設定のパスワード設定により、イネーブル パスワードと管理者ユーザー パスワードが設定されるようになりました。FXOS バージョン 2.3.1 が必要です。 |
||
モニタリング機能とトラブルシューティング機能 |
|||
SNMP IPv6 のサポート |
ASA は、IPv6 経由での SNMP サーバーとの通信、IPv6 経由でのクエリとトラップの実行許可、既存の MIB に対する IPv6 アドレスのサポートなど、SNMP over IPv6 をサポートするようになりました。RFC 8096 で説明されているように、次の新しい SNMP IPv6 MIB オブジェクトが追加されました。
新規または変更されたコマンド:snmp-server host
新規または変更された画面: |
||
単一ユーザー セッションのトラブルシューティングのための条件付きデバッグ |
条件付きデバッグ機能は、設定されたフィルタ条件に基づく特定の ASA VPN セッションのログを確認することを支援するようになりました。IPv4 および IPv6 サブネットの「any, any」のサポートが提供されます。 |
ASDM 7.9(1.151) の新機能
リリース:2018 年 2 月 14 日
このリリースに新機能はありません。
ASA 9.9(1)/ASDM 7.9(1) の新機能
リリース:2017年12月4日
機能 |
説明 |
---|---|
ファイアウォール機能 |
|
Ethertype アクセス コントロール リストの変更 |
EtherType アクセス コントロール リストは、Ethernet II IPX(EII IPX)をサポートするようになりました。さらに、DSAP キーワードに新しいキーワードが追加され、共通 DSAP 値(BPDU(0x42)、IPX(0xE0)、Raw IPX(0xFF)、および ISIS(0xFE))をサポートします。その結果、BPDU または ISIS キーワードを使用する既存の EtherType アクセス コントロール エントリは自動的に DSAP 仕様を使用するように変換され、IPX のルールは 3 つのルール(DSAP IPX、DSAP Raw IPX、および EII IPX)に変換されます。さらに、IPX を EtherType 値として使用するパケット キャプチャは廃止されました。これは、IPX が 3 つの個別の EtherType に対応するためです。 新規/変更されたコマンド:access-list ethertype キーワード eii-ipx および dsap {bpdu | ipx | isis | raw-ipx} が追加されました。capture ethernet-type ipx キーワードはサポートされなくなりました。 新規または変更された画面: |
VPN 機能 |
|
Firepower 9300 上のクラスタリングによる分散型サイト間 VPN |
Firepower 9300 上の ASA クラスタは、分散モードでサイト間 VPN をサポートします。分散モードでは、(集中モードなどの)制御ユニットだけでなく、ASA クラスタのメンバー間で多数のサイト間 IPsec IKEv2 VPN 接続を分散させることができます。これにより、集中型 VPN の機能を超えて VPN サポートが大幅に拡張され、高可用性が実現します。分散型 S2S VPN は、それぞれ最大 3 つのモジュールを含む最大 2 つのシャーシのクラスタ(合計 6 つのクラスタ メンバー)上で動作し、各モジュールは最大約 36,000 のアクティブ セッション(合計 72,000)に対し、最大 6,000 のアクティブ セッション(合計 12,000)をサポートします。 新規または変更されたコマンド:cluster redistribute vpn-sessiondb、show cluster vpn-sessiondb、vpn mode、show cluster resource usage、show vpn-sessiondb、show connection detail、show crypto ikev2 新規または変更された画面: [Monitoring] > [ASA Cluster] > [ASA Cluster] > [VPN Cluster Summary] [Monitoring] > [VPN] > [VPN Statistics] > [Sessions] [Configuration] > [Device Management] > [High Availablility and Scalability] > [ASA Cluster] [Wizards] > [Site-to-Site] [Monitoring] > [VPN] > [VPN Statistics] > [Sessions] [Monitoring] > [ASA Cluster] > [ASA Cluster] > [VPN Cluster Summary] [Monitoring] > [ASA Cluster] > [ASA Cluster] > [System Resource Graphs] > [CPU/Memory] [Monitoring] > [Logging] > [Real-Time Log Viewer] |
ハイ アベイラビリティとスケーラビリティの各機能 |
|
Microsoft Azure での ASA 仮想のアクティブ/バックアップの高可用性 |
アクティブな ASA 仮想 の障害が Microsoft Azure パブリッククラウドのバックアップ ASA 仮想 へのシステムの自動フェールオーバーをトリガーするのを許可する、ステートレスなアクティブ/バックアップソリューション。 新規または変更されたコマンド:failover cloud 新規または変更された画面:
バージョン 9.8(1.200) でも同様です。 |
Firepower シャーシのシャーシ ヘルス チェックの障害検出の向上 |
シャーシ ヘルス チェックの保留時間をより低い値(100 ms)に設定できるようになりました。以前の最小値は 300 ms でした。 新規または変更されたコマンド:app-agent heartbeat interval ASDM サポートはありません。 |
クラスタリングのサイト間冗長性 |
サイト間の冗長性により、トラフィック フローのバックアップ オーナーは常にオーナーとは別のサイトに置かれます。この機能によって、サイトの障害から保護されます。 新規または変更されたコマンド:site-redundancy、show asp cluster counter change、show asp table cluster chash-table、show conn flag 新規または変更された画面: |
動作と一致するcluster remove unit コマンドの動作no enable |
cluster remove unit コマンドは、no enable コマンドと同様に、クラスタリングまたはリロードを手動で再度有効にするまで、クラスタからユニットを削除するようになりました。以前は、FXOS からブートストラップ設定を再展開すると、クラスタリングが再度有効になりました。無効化されたステータスは、ブートストラップ設定の再展開の場合でも維持されるようになりました。ただし、ASA をリロードすると、クラスタリングが再度有効になります。 新規または変更されたコマンド:cluster remove unit 新規または変更された画面: |
管理、モニタリング、およびトラブルシューティングの機能 |
|
SSH バージョン 1 の廃止 |
SSH バージョン 1 は廃止され、今後のリリースで削除される予定です。デフォルト設定が SSH v1 と v2 の両方から SSH v2 のみに変更されました。 新規/変更されたコマンド: ssh version 新しい/変更された画面: |
強化されたパケット トレーサおよびパケット キャプチャ機能 |
パケット トレーサは次の機能で強化されました。
パケット キャプチャは次の機能で強化されました。
新規または変更されたコマンド:cluster exec capture test trace include-decrypted、cluster exec capture test trace persist、cluster exec clear packet-tracer、cluster exec show packet-tracer id、cluster exec show packet-tracer origin、packet-tracer persist、packet-tracer transmit、packet-tracer decrypted、packet-tracer bypass-checks 新規または変更された画面:
次のオプションをサポートする [Cluster Capture] フィールドを追加しました:[decrypted]、[persist]、[bypass-checks]、[transmit] [All Sessions] ドロップダウンリストの下の [Filter By] ビューに 2 つの新しいオプションを追加しました:[Origin] および [Origin-ID]
[Packet Capture Wizard] 画面に [ICMP Capture] フィールドを追加しました: ICMP キャプチャをサポートする 2 つのオプション、include-decrypted および persist を追加しました。 |
バージョン 9.8 の新機能
ASA 9.8(4) の新機能
リリース日:2019 年 4 月 24 日
機能 |
説明 |
---|---|
VPN 機能 |
|
webVPN HSTS へのサブドメインの追加 |
ドメイン所有者は、Web ブラウザの HSTS プリロード リストに含める必要があるドメインを送信できます。 新規/変更されたコマンド: hostname(config-webvpn) includesubdomains 新しい/変更された画面: フィールド > [Enable HSTS Subdomains]9.12(1) でも同様です。 |
管理機能 |
|
非ブラウザベースの HTTPS クライアントによる ASA へのアクセスの許可 |
非ブラウザベースの HTTPS クライアントが ASA 上の HTTPS サービスにアクセスできるようにすることができます。デフォルトでは、ASDM、CSM、および REST API が許可されています。多くの専門クライアント(python ライブラリ、curl、wget など)は、クロスサイト要求の偽造(CSRF)トークンベースの認証をサポートしていないため、これらのクライアントが ASA 基本認証方式を使用することを明確に許可する必要があります。セキュリティ上の理由から、必要なクライアントのみを許可する必要があります。 新規/変更されたコマンド: http server basic-auth-client 新規/変更された画面:
9.12(1) でも同様です。 |
show tech-support に追加の出力が含まれている |
show tech-support の出力が拡張され、次の出力が表示されるようになりました。
新規/変更されたコマンド: show tech-support 9.12(1) でも同様です。 |
SNMP ウォーク操作中の空きメモリおよび使用済みメモリの統計情報の結果を有効または無効にするためのサポート |
CPU リソースが過剰に使用されないようにするには、SNMP ウォーク操作によって収集された空きメモリと使用済みメモリの統計情報のクエリを有効または無効にすることができます。 新規/変更されたコマンド:snmp-server enable oid 新規または変更された画面: 9.10(1) でも同様です。 |
ASA 9.8(3)/ASDM 7.9(2.152) の新機能
リリース日:2018 年 7 月 2 日
機能 |
説明 |
---|---|
プラットフォーム機能 |
|
Firepower 2100 アクティブ LED はスタンバイ モードのときにオレンジ色に点灯するようになりました。 |
以前は、スタンバイ モード時にはアクティブ LED は点灯していませんでした。 |
ファイアウォール機能 |
|
カットスルー プロキシ ログイン ページからのログアウト ボタンの削除をサポート。 |
ユーザー ID 情報(AAA 認証 リスナー)を取得するようにカットスルー プロキシを設定している場合、ページからログアウト ボタンを削除できるようになりました。これは、ユーザーが NAT デバイスの背後から接続し、IP アドレスで識別できない場合に便利です。1 人のユーザーがログアウトすると、その IP アドレスのすべてのユーザーがログアウトされます。 新規/変更されたコマンド:aaa authentication listener no-logout-button 。 ASDM サポートはありません。 |
Trustsec SXP 接続の設定可能な削除ホールド ダウン タイマー |
デフォルトの SXP 接続ホールド ダウン タイマーは 120 秒です。このタイマーを 120 ~ 64000 秒に設定できるようになりました。 新規/変更されたコマンド:cts sxp delete-hold-down period 、show cts sxp connection brief 、show cts sxp connections ASDM サポートはありません。 |
VPN 機能 |
|
従来の SAML 認証のサポート |
CSCvg65072 の修正とともに ASA を展開すると、SAML のデフォルト動作で、AnyConnect 4.4 または 4.5 ではサポートされていない組み込みブラウザが使用されます。そのため、引き続き AnyConnect 4.4 または 4.5 を使用するには、従来の外部ブラウザで SAML 認証方式を有効にする必要があります。セキュリティ上の制限があるため、このオプションは、AnyConnect 4.6 に移行するための一時的な計画の一環としてのみ使用してください。このオプションは近い将来に廃止されます。 新規/変更されたコマンド: saml external-browser 新しい/変更された画面: セキュアクライアント ページ > [接続プロファイル(Connection Profiles)] 領域 > [追加(Add)] ボタン > [追加(Add)] セキュアクライアント[接続プロファイル(Connection Profile)] ダイアログ 領域 > [Add] ボタン > [Add Clientless SSL VPN Connection Profile] ダイアログボックス ページ > [Connection Profiles]新規および変更されたオプション:[SAML External Browser] チェックボックス |
インターフェイス機能 |
|
シングル コンテキスト モード用の一意の MAC アドレス生成 |
シングル コンテキスト モードで VLAN サブインターフェイスの一意の MAC アドレス生成を有効にできるようになりました。通常、サブインターフェイスはメイン インターフェイスと同じ MAC アドレスを共有します。IPv6 リンクローカル アドレスは MAC アドレスに基づいて生成されるため、この機能により一意の IPv6 リンクローカル アドレスが許可されます。 新規または変更されたコマンド:mac-address auto ASDM サポートはありません。 9.9 (2) 以降でも同様です。 |
ASDM 7.8(2.151) の新機能
リリース:2017年10月12日
機能 |
説明 |
---|---|
ファイアウォール機能 |
|
Ethertype アクセス コントロール リストの変更 |
EtherType アクセス コントロール リストは、Ethernet II IPX(EII IPX)をサポートするようになりました。さらに、DSAP キーワードに新しいキーワードが追加され、共通 DSAP 値(BPDU(0x42)、IPX(0xE0)、Raw IPX(0xFF)、および ISIS(0xFE))をサポートします。その結果、BPDU または ISIS キーワードを使用する既存の EtherType アクセス コントロール エントリは自動的に DSAP 仕様を使用するように変換され、IPX のルールは 3 つのルール(DSAP IPX、DSAP Raw IPX、および EII IPX)に変換されます。さらに、IPX を EtherType 値として使用するパケット キャプチャは廃止されました。これは、IPX が 3 つの個別の EtherType に対応するためです。 この機能は、9.8(2.9) およびその他の暫定リリースでサポートされています。詳細については、CSCvf57908 を参照してください。 次のコマンドが変更されました:access-list ethertype キーワード eii-ipx および dsap {bpdu | ipx | isis | raw-ipx} が追加されました。capture ethernet-type ipx キーワードはサポートされなくなりました。 次の画面が変更されました: . |
ASA 9.8(2)/ASDM 7.8(2) の新機能
リリース:2017年8月28日
機能 |
説明 |
---|---|
プラットフォーム機能 |
|
FirePOWER 2100 シリーズ用の ASA |
FirePOWER 2110、2120、2130、2140 用の ASA を導入しました。FirePOWER 4100 および 9300 と同様に、FirePOWER 2100 は基盤の FXOS オペレーティング システムを実行してから、ASA オペレーティング システムをアプリケーションとして実行します。FirePOWER 2100 実装では、FirePOWER 4100 および 9300 よりも緊密に FXOS を ASA と連携させます(軽量な FXOS 機能、単一デバイス イメージ バンドル、ASA および FXOS の両方に対する簡単な管理アクセス)。 FXOS には、EtherChannel の作成、NTP サービス、ハードウェアのモニタリング、およびその他の基本機能を含む、インターフェイスの構成ハードウェア設定があります。この構成では、Firepower Chassis Manager または FXOS CLI を使用できます。ASA には、(FirePOWER 4100 および 9300 とは異なり)スマート ライセンスを含む、その他すべての機能があります。ASA および FXOS はそれぞれ、管理 1/1 インターフェイスでの独自の IP アドレスを持っています。ユーザーは、任意のデータ インターフェイスから ASA および FXOS インスタンス両方の管理を設定できます。 次のコマンドが導入されました。connect fxos、fxos https、fxos snmp、fxos ssh、ip-client 次の画面が導入されました。
|
国防総省(DoD)統合機能認定製品リスト |
ASA は、統合機能認定製品リスト(UC APL)の要件に準拠するように更新されました。このリリースでは、fips enable コマンドを入力すると、ASA がリロードされます。フェールオーバーを有効にする前に、両方のフェールオーバー ピアが同じ FIPS モードになっている必要があります。 fips enable コマンドが変更されました。 |
Amazon Web Services M4 インスタンスサポートの ASA 仮想 |
ASA 仮想 を M4 インスタンスとして展開できるようになりました。 変更されたコマンドはありません。 変更された画面はありません。 |
ASAv5 1.5 GB RAM 機能 |
バージョン 9.7(1) 以降、ASAv5 では、セキュアクライアント の有効化や ASA 仮想 へのファイルのダウンロードなど、特定の機能が失敗した場合にメモリが枯渇することがあります。1.5 GB の RAM を ASAv5 に割り当てられるようになりました(1 GB から増加しました)。 変更されたコマンドはありません。 変更された画面はありません。 |
VPN 機能 |
|
HTTP Strict Transport Security(HSTS)ヘッダーのサポート |
HSTS は、クライアントレス SSL VPN でのプロトコル ダウングレード攻撃や Cookie ハイジャックから Web サイトを保護します。これにより Web サーバーは、Web ブラウザ(またはその他の準拠しているユーザー エージェント)が Web サーバーと通信するにはセキュア HTTPS 接続を使用する必要があり、非セキュアな HTTP プロトコルを使用して通信することはできないことを宣言できます。HSTS は IETF 標準化過程プロトコルであり、RFC 6797 で指定されます。 次のコマンドが導入されました。hsts enable, hsts max-age age_in_seconds 次の画面が変更されました:[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Advanced] > [Proxies] |
インターフェイス機能 |
|
ASAv50 の VLAN サポート |
ASAv50 では、SR-IOV インターフェイスの ixgbe-vf vNIC で VLAN がサポートされるようになりました。 変更されたコマンドはありません。 変更された画面はありません。 |
ASA 9.8(1.200) の新機能
リリース:2017年7月30日
(注) |
このリリースは、Microsoft Azure の ASA 仮想 でのみサポートされます。これらの機能は、バージョン 9.8(2) ではサポートされていません。 |
機能 |
説明 |
---|---|
ハイ アベイラビリティとスケーラビリティの各機能 |
|
Microsoft Azure での ASA 仮想のアクティブ/バックアップの高可用性 |
アクティブな ASA 仮想 の障害が Microsoft Azure パブリッククラウドのバックアップ ASA 仮想 へのシステムの自動フェールオーバーをトリガーするのを許可する、ステートレスなアクティブ/バックアップソリューション。 次のコマンドが導入されました。failover cloud ASDM サポートはありません。 |
ASDM 7.8(1.150) の新機能
リリース:2017年6月20日
このリリースに新機能はありません。
ASA 9.8(1)/ASDM 7.8(1) の新機能
リリース:2017年5月15日
機能 |
説明 |
---|---|
プラットフォーム機能 |
|
ASAv50 プラットフォーム |
ASA 仮想プラットフォームに、10 Gbps のファイアウォール スループット レベルを提供するハイエンド パフォーマンス ASAv50 プラットフォームが追加されました。ASAv50 には ixgbe-vf vNIC が必要です。これは VMware および KVM でのみサポートされます。 |
ASA 仮想プラットフォームの SR-IOV |
ASA 仮想プラットフォームでは、Single Root I/O Virtualization(SR-IOV)インターフェイスがサポートされます。これにより、複数の VM でホスト内の 1 つの PCIe ネットワークアダプタを共有できるようになります。ASA 仮想 SR-IOV サポートは、VMware、KVM、および AWS でのみ使用可能です。 |
自動 ASP ロードバランシングが ASA 仮想 でサポートされるようになりました。 |
以前は、ASP ロード バランシングは手動でのみ有効または無効にできました。 次のコマンドを変更しました。asp load-balance per-packet-auto 次の画面が変更されました。[Configuration] > [Device Management] > [Advanced] > [ASP Load Balancing]。 |
ファイアウォール機能 |
|
TLS プロキシ サーバーの SSL 暗号スイートの設定サポート |
ASA が TLS プロキシ サーバーとして動作している場合は、SSL 暗号スイートを設定できるようになりました。以前は、 ページで ssl cipher コマンドを使用した ASA のグローバル設定のみが可能でした。 次のコマンドが導入されました。 server cipher-suite 次の画面が変更されました。 ページ。 、追加/編集ダイアログ ボックス、[Server Configuration] |
ICMP エラーのグローバル タイムアウト |
ASA が ICMP エコー応答パケットを受信してから ICMP 接続を削除するまでのアイドル時間を設定できるようになりました。このタイムアウトが無効(デフォルト)で、ICMP インスペクションが有効に設定されている場合、ASA はエコー応答を受信するとすぐに ICMP 接続を削除します。したがって、終了しているその接続に対して生成されたすべての ICMP エラーは破棄されます。このタイムアウトは ICMP 接続の削除を遅らせるので、重要な ICMP エラーを受信することが可能になります。 次のコマンドが追加されました。 timeout icmp-error の画面が変更されました。 |
ハイ アベイラビリティとスケーラビリティの各機能 |
|
改善されたクラスタ ユニットのヘルス チェック障害検出 |
ユニット ヘルスチェックの保留時間をより低めの値に設定できます(最小値は .3 秒)以前の最小値は .8 秒でした。この機能は、ユニット ヘルス チェック メッセージング スキームを、コントロール プレーンのキープアライブからデータ プレーンのハートビートに変更します。ハートビートを使用すると、コントロール プレーン CPU のホッギングやスケジューリングの遅延の影響を受けないため、クラスタリングの信頼性と応答性が向上します。保留時間を短く設定すると、クラスタ制御リンクのメッセージング アクティビティが増加することに注意してください。保留時間を短く設定する前にネットワークを分析することをお勧めします。たとえば、ある保留時間間隔の間に 3 つのハートビート メッセージが存在するため、クラスタ制御リンクを介してあるユニットから別のユニットへの ping が保留時間/3 以内に戻ることを確認します。保留時間を 0.3 ~ 0.7 に設定した後に ASA ソフトウェアをダウングレードした場合、新しい設定がサポートされていないので、この設定はデフォルトの 3 秒に戻ります。 次のコマンドを変更しました。health-check holdtime、show asp drop cluster counter、show cluster info health details 次の画面を変更しました。 |
に対してインターフェイスを障害としてマークするために設定可能なデバウンス時間 Firepower 4100/9300 シャーシ |
ASA がインターフェイスを障害が発生していると見なし、クラスタからユニットが削除されるまでのデバウンス時間を設定できるようになりました。この機能により、インターフェイスの障害をより迅速に検出できます。デバウンス時間を短くすると、誤検出の可能性が高くなることに注意してください。インターフェイスのステータス更新が発生すると、ASA はインターフェイスを障害としてマークし、クラスタからユニットを削除するまで指定されたミリ秒数待機します。デフォルトのデバウンス時間は 500 ms で、有効な値の範囲は 300 ms ~ 9 秒です。 新規または変更されたコマンド:health-check monitor-interface debounce-time 新規または変更された画面: |
VPN 機能 |
|
VTI での IKEv2、証明書ベース認証、および ACL のサポート |
仮想トンネル インターフェイス(VTI)は、BGP(静的 VTI)をサポートするようになりました。スタンドアロン モードとハイ アベイラビリティ モードで、IKEv2 を使用できます。IPsec プロファイルにトラストポイントを設定することにより、証明書ベースの認証を使用できます。また、入力トラフィックをフィルタリングする access-group コマンドを使用して、VTI 上でアクセス リストを適用することもできます。 IPsec プロファイルのコンフィギュレーション モードに次のコマンドが導入されました。set trustpoint 次の画面で、証明書ベース認証のトラストポイントを選択するオプションが導入されました。
|
モバイル IKEv2(MobIKE)はデフォルトで有効になっています |
リモート アクセス クライアントとして動作するモバイル デバイスは、移動中にトランスペアレント IP アドレスを変更する必要があります。ASA で MobIKE をサポートすることにより、現在の SA を削除せずに現在の IKE セキュリティ アソシエーション(SA)を更新することが可能になります。MobIKE は [always on] に設定されます。 次のコマンドが導入されました。ikev2 mobike-rrc。リターン ルータビリティのチェックを有効または無効にするために使用されます。 |
SAML 2.0 SSO の更新 |
SAML 要求におけるシグネチャのデフォルト署名メソッドが SHA1 から SHA2 に変更され、ユーザーが rsa-sha1、rsa-sha256、rsa-sha384、rsa-sha512 の中から署名メソッドを選択して設定できるようになりました。 webvpn モードでの saml idp signature コマンドが変更されました。このコマンドには value を設定できます。デフォルトは [disabled] のままです。 次の画面が変更されました。 。 |
tunnelgroup webvpn-attributes の変更 |
pre-fill-username および secondary-pre-fill-username の値を ssl-client から client に変更しました。 webvpn モードでの次のコマンドが変更されました:pre-fill-username および secondary-pre-fill-username は client 値を設定できます。 |
AAA 機能 |
|
ログイン履歴 |
デフォルトでは、ログイン履歴は 90 日間保存されます。この機能を無効にするか、期間を最大 365 日まで変更できます。1 つ以上の管理メソッド(SSH、ASDM、Telnet など)でローカル AAA 認証を有効にしている場合、この機能はローカル データベースのユーザー名にのみ適用されます。 次のコマンドが導入されました。aaa authentication login-history、show aaa login-history 次の画面が導入されました。 |
パスワードの再利用とユーザー名と一致するパスワードの使用を禁止するパスワード ポリシーの適用 |
最大 7 世代にわたるパスワードの再利用と、ユーザー名と一致するパスワードの使用を禁止できるようになりました。 次のコマンドが導入されました。password-history、password-policy reuse-interval、password-policy username-check 次の画面が変更されました。 |
SSH 公開キー認証を使用するユーザーの認証とパスワードを使用するユーザーの認証を区別します。 |
9.6(2) より前のリリースでは、ローカル ユーザー データベース(ssh authentication )を使用して AAA SSH 認証を明示的に有効にしなくても、SSH 公開キー認証(aaa authentication ssh console LOCAL )を有効にすることができました。9.6(2) では、ASA で AAA SSH 認証を明示的に有効にする必要がありました。このリリースでは、AAA SSH 認証を明示的に有効にする必要はありません。ユーザーに対して ssh authentication コマンドを設定すると、このタイプの認証を使用するユーザーのローカル認証がデフォルトで有効になります。さらに、明示的に AAA SSH 認証を設定すると、この設定はパスワード付きのユーザー名にのみ適用されます。また、任意の AAA サーバー タイプ (aaa authentication ssh console radius_1 など)を使用できます。たとえば、一部のユーザーはローカル データベースを使用して公開キー認証を使用し、他のユーザーは RADIUS でパスワードを使用できます。 変更されたコマンドはありません。 変更された画面はありません。 バージョン 9.6(3) でも同様です。 |
モニタリング機能とトラブルシューティング機能 |
|
ASA クラッシュ発生時に実行中のパケット キャプチャの保存 |
以前は、ASA がクラッシュするとアクティブなパケット キャプチャは失われました。現在は、クラッシュが発生すると、パケット キャプチャは disk 0 に以下のファイル名で保存されます。[context_name.]capture_name.pcap。 変更されたコマンドはありません。 変更された画面はありません。 |
バージョン 9.7 の新機能
ASDM 7.7(1.151) の新機能
リリース:2017年4月28日
(注) |
機能 |
説明 |
---|---|
管理機能 |
|
ASDM アップグレード ツールの新しいバックグラウンド サービス |
ASDM は、[Tools] > [Check for ASA/ASDM Upgrades] の新しいバックグラウンド サービスです。Cisco は、前のバージョンの ASDM で使用されていた古いサービスを将来廃止する予定です。 |
ASA 9.7(1.4)/ASDM 7.7(1) の新機能
リリース:2017年4月4日
(注) |
機能 |
説明 |
---|---|
プラットフォーム機能 |
|
Integrated Routing and Bridging(IRB; 統合ルーティングおよびブリッジング)を使用した ASA 5506-X シリーズ用の新しいデフォルト設定 |
新しいデフォルト設定が ASA 5506-X シリーズに使用されます。統合ブリッジングおよびルーティング機能は、外部レイヤ 2 スイッチの使用に代わる手段を提供します。ハードウェア スイッチを含む ASA 5505 を交換するユーザーの場合、この機能を使用することにより、追加のハードウェア使用せずに ASA 5505 を ASA 5506-X やその他の ASA モデルに置き換えることができます。 新しいデフォルト設定には次の内容が含まれます。
アップグレードする場合、configure factory-default コマンドを使用して設定を消去しデフォルトを適用するか、必要に応じて BVI とブリッジ グループのメンバーを手動で設定することができます。内部ブリッジ グループの通信を簡単に許可するには、same-security-traffic permit inter-interface コマンドを有効にする必要があります(このコマンドは、ASA 5506W-X のデフォルト設定にすでに存在します)。 |
ISA 3000 でのアラーム ポートのサポート |
ISA 3000 は、2 つのアラーム入力インターフェイスと 1 つのアラーム出力インターフェイスをサポートします。ドア センサーなどの外部センサーは、アラーム入力に接続できます。ブザーなどの外部デバイスは、アラーム出力インターフェイスに接続できます。トリガーされたアラームは、2 つの LED、syslog、SNMP トラップを経由し、アラーム出力インターフェイスに接続されたデバイスを介して伝えられます。ユーザーは、外部アラームの説明を設定できます。また、外部アラームと内部アラームの重大度とトリガーも指定できます。すべてのアラームは、リレー、モニタリング、およびロギングに設定できます。 次のコマンドが導入されました。alarm contact description、alarm contact severity、alarm contact trigger、alarm facility input-alarm、alarm facility power-supply rps、alarm facility temperature、alarm facility temperature high、alarm facility temperature low、clear configure alarm、clear facility-alarm output、show alarm settings、show environment alarm-contact。 次の画面が導入されました。
|
ASAv10 での Microsoft Azure Security Center のサポート |
Microsoft Azure は、プライベート Microsoft Hyper V ハイパーバイザを使用するパブリック クラウド環境です。Microsoft Azure Security Center は、非常にセキュアなパブリック クラウド インフラストラクチャの導入を簡素化する、Azure 上の Microsoft オーケストレーションおよび管理レイヤです。ASA 仮想 を Azure Security Center に統合することにより、Azure 環境を保護するファイアウォールオプションとして ASA 仮想 を提供できます。 |
ISA 3000 用の Precision Time Protocol(PTP) |
ISA 3000 は PTP(ネットワークに分散したノードの時刻同期プロトコル)をサポートします。PTP は、そのハードウェア タイムスタンプ機能により、NTP などの他の時刻同期プロトコルより高い精度を実現します。ISA 3000 は、ワンステップのエンドツーエンド トランスペアレント クロックに加えて、PTP 転送モードもサポートします。インスペクションのために PTP トラフィックが ASA FirePOWER モジュールに送信されることのないようにするため、デフォルト設定に次のコマンドが追加されました。既存の導入がある場合は、次のコマンドを手動で追加する必要があります。
次のコマンドが導入されました。 debug ptp、ptp domain、ptp mode e2etransparent、ptp enable、show ptp clock、show ptp internal-info、show ptp port 次の画面が導入されました。
|
ISA 3000 の自動バックアップと復元 |
バックアップ コマンドと復元コマンドのプリセット パラメータを使用して、自動バックアップ機能や自動復元機能を有効にできます。これらの機能は、外部メディアからの初期設定、デバイス交換、作動可能状態へのロールバックなどで使用されます。 次のコマンドが導入されました。backup-package location、backup-package auto、show backup-package status、show backup-package summary 次の画面が導入されました。 |
ファイアウォール機能 |
|
SCTP マルチストリーミングの並べ替えとリアセンブル、およびフラグメンテーションのサポート。SCTP エンドポイントに複数の IP アドレスが設定された SCTP マルチホーミングのサポート。 |
このシステムは、SCTP マルチストリーミングの並べ替え、リアセンブル、およびフラグメンテーションを完全にサポートしており、これにより SCTP トラフィックに対する Diameter および M3UA インスペクションの有効性が改善されています。このシステムは、各エンドポイントに複数の IP アドレスが設定された SCTP マルチホーミングもサポートしています。マルチホーミングでは、セカンデリ アドレスに必要なピンホールをシステムが開くので、セカンデリ アドレスを許可するためのアクセス ルールをユーザーが設定する必要はありません。SCTP エンドポイントは、それぞれ 3 つの IP アドレスに制限する必要があります。 show sctp detail コマンドの出力が変更されました。 変更された画面はありません。 |
M3UA インスペクションの改善。 |
M3UA インスペクションは、ステートフル フェールオーバー、半分散クラスタリング、およびマルチホーミングをサポートするようになりました。また、アプリケーション サーバー プロセス(ASP)の状態の厳密な検証や、さまざまなメッセージの検証も設定できます。ASP 状態の厳密な検証は、ステートフル フェールオーバーとクラスタリングに必要です。 次のコマンドが追加または変更されました。clear service-policy inspect m3ua session [assocID id] 、match port sctp 、message-tag-validation 、show service-policy inspect m3ua drop 、show service-policy inspect m3ua endpoint 、show service-policy inspect m3ua session 、show service-policy inspect m3ua table 、strict-asp-state 、timeout session 。 次の画面が変更されました。 [Add/Edit] ダイアログボックス。 |
TLS プロキシでの TLSv1.2、および Cisco Unified Communications Manager 10.5.2 のサポート。 |
暗号化 SIP 用の TLS プロキシでの TLSv1.2、または Cisco Unified Communications Manager 10.5.2 での SCCP インスペクションを使用できるようになりました。TLS プロキシは、client cipher-suite コマンドの一部として追加された TLSv1.2 暗号スイートをサポートします。 次のコマンドが変更されました。 client cipher-suite 変更された画面はありません。 |
Integrated Routing and Bridging(IRB) |
Integrated Routing and Bridging(統合ルーティングおよびブリッジング)は、ブリッジグループとルーテッド インターフェイス間をルーティングする機能を提供します。ブリッジグループとは、ASA がルートの代わりにブリッジするインターフェイスのグループのことです。ASA は、ASA がファイアウォールとして機能し続ける点で本来のブリッジとは異なります。つまり、インターフェイス間のアクセス制御が実行され、通常のファイアウォール検査もすべて実行されます。以前は、トランスペアレント ファイアウォール モードでのみブリッジグループの設定が可能だったため、ブリッジグループ間でのルーティングはできませんでした。この機能を使用すると、ルーテッド ファイアウォール モードのブリッジ グループの設定と、ブリッジグループ間およびブリッジグループとルーテッド インターフェイス間のルーティングを実行できます。ブリッジ グループは、ブリッジ仮想インターフェイス(BVI)を使用して、ブリッジ グループのゲートウェイとして機能することによってルーティングに参加します。そのブリッジグループに指定する ASA 上に別のインターフェイスが存在する場合、Integrated Routing and Bridging(IRB)は外部レイヤ 2 スイッチの使用に代わる手段を提供します。ルーテッド モードでは、BVI は名前付きインターフェイスとなり、アクセス ルールや DHCP サーバーなどの一部の機能に、メンバー インターフェイスとは個別に参加できます。 トランスペアレント モードでサポートされるマルチ コンテキスト モードや ASA クラスタリングの各機能は、ルーテッド モードではサポートされません。マルチキャスト ルーティングとダイナミック ルーティングの機能も、BVI ではサポートされません。 次のコマンドが変更されました。access-group、access-list ethertype、arp-inspection、dhcpd、mac-address-table static、mac-address-table aging-time、mac-learn、route、show arp-inspection、show bridge-group、show mac-address-table、show mac-learn 次の画面が変更されました。
|
VM 属性 |
ネットワーク オブジェクトを定義することにより、VMware vCenter で管理している VMware ESXi 環境の 1 つ以上の仮想マシン(VM)に関連付けられている属性に従ってトラフィックをフィルタリングできます。アクセス コントロール リスト(ACL)を定義して、1 つ以上の属性を共有する VM のグループからのトラフィックにポリシーを指定することができます。 show attribute コマンドが追加されました。 次の画面が追加されました。
|
内部ゲートウェイ プロトコルの古いルートのタイムアウト |
OSPF などの内部ゲートウェイ プロトコルの古いルートを削除するためのタイムアウトを設定できるようになりました。 timeout igp stale-route コマンドが追加されました。 の画面が変更されました。 |
オブジェクト グループ検索に関するネットワーク オブジェクトの制限。 |
object-group-search access-control コマンドを使用してオブジェクト グループ検索を有効にすることで、アクセス ルールの検索に必要なメモリを抑えることができます。オブジェクト グループ検索を有効にした場合、ネットワーク オブジェクトまたはサービス オブジェクトは拡張されませんが、それらのグループの定義に基づいて一致するアクセス ルールが検索されます。 このリリース以降、以下の制限が適用されます。接続ごとに、送信元と宛先の両方の IP アドレスがネットワーク オブジェクトと照合されます。発信元アドレスに一致するオブジェクトの数が、宛先アドレスと一致する数の 1 万倍を超えると接続が切断されます。 このチェックは、パフォーマンスの低下を防止します。一致件数が膨大になることを防ぐためにルールを設定します。 |
ルーティング機能 |
|
31 ビット サブネットマスク |
ルーテッド インターフェイスに関しては、ポイントツーポイント接続向けの 31 ビットのサブネット に IP アドレスを設定できます。31 ビット サブネットには 2 つのアドレスのみが含まれます。通常、サブネットの最初と最後のアドレスはネットワーク用とブロードキャスト用に予約されており、2 アドレス サブネットは使用できません。ただし、ポイントツーポイント接続があり、ネットワーク アドレスやブロードキャスト アドレスが不要な場合は、IPv4 形式でアドレスを保持するのに 31 サブネット ビットが役立ちます。たとえば、2 つの ASA 間のフェールオーバー リンクに必要なアドレスは 2 つだけです。リンクの一方の側から送信されるパケットはすべてもう一方の側で受信され、ブロードキャスティングは必要ありません。また、SNMP や Syslog を実行する管理ステーションを直接接続することもできます。この機能は、ブリッジグループ用の BVI、またはマルチキャストルーティングではサポートされていません。 次のコマンドが変更されました。ip address、http、logging host、snmp-server host、ssh 次の画面が変更されました。
|
ハイ アベイラビリティとスケーラビリティの各機能 |
|
Firepower 4100/9300 シャーシ 上の ASA のサイト間クラスタリングの改善 |
ASA クラスタを展開すると、それぞれの Firepower 4100/9300 シャーシのサイト ID を設定できます。以前は ASA アプリケーション内でサイト ID を設定する必要がありました。この新しい機能は、初期導入を簡単にします。ASA 構成内でサイト ID を設定できなくなったことに注意してください。また、サイト間クラスタリングとの互換性を高めるために、安定性とパフォーマンスに関する複数の改善が含まれる ASA 9.7(1) および FXOS 2.1.1 にアップグレードすることを推奨します。 次のコマンドが変更されました。site-id 次の画面が変更されました。 |
ディレクタ ローカリゼーション:データセンターのサイト間クラスタリングの改善 |
データ センターのパフォーマンスを向上し、サイト間クラスタリングのトラフィックを維持するために、ディレクタ ローカリゼーションを有効にできます。通常、新しい接続は特定のサイト内のクラスタ メンバーによってロード バランスされ、所有されています。しかし、ASA は任意のサイトのメンバーにディレクタ ロールを割り当てます。ディレクタ ローカリゼーションにより、所有者と同じサイトのローカル ディレクタ、どのサイトにも存在可能なグローバル ディレクタという追加のディレクタ ロールが有効になります。所有者とディレクタが同一サイトに存在すると、パフォーマンスが向上します。また、元の所有者が失敗した場合、ローカルなディレクタは同じサイトで新しい接続の所有者を選択します。グローバルなディレクタは、クラスタ メンバーが別のサイトで所有される接続のパケットを受信する場合に使用されます。 次のコマンドが導入または変更されました。director-localization、show asp table cluster chash、show conn、show conn detail 次の画面を変更しました。 |
高速検出の設定が可能な、フェールオーバーのポーリングをモニタリングするインターフェイス リンク ステート |
デフォルトでは、フェールオーバー ペアの ASA は、500 ミリ秒ごとにインターフェイスのリンク ステートをチェックします。ポーリングの間隔を 300 ミリ秒から 799 ミリ秒の間で設定できるようになりました。たとえば、ポーリング時間を 300 ミリ秒に設定すると、ASA はインターフェイス障害やトリガーのフェールオーバーをより迅速に検出できます。 次のコマンドが導入されました。failover polltime link-state 次の画面が変更されました。 |
FirePOWER 9300 および 4100 でのアクティブ/スタンバイ フェールオーバー ヘルス モニタリングで、双方向フォワーディング検出(BFD)がサポートされました。 |
FirePOWER 9300 および 4100 上のアクティブ/スタンバイ ペアの 2 つのユニット間のフェールオーバー ヘルス チェックに対して、双方向フォワーディング検出(BFD)を有効にできるようになりました。ヘルス チェックに BFD を使用すると、デフォルトのヘルスチェックより信頼性が高まり、CPU の使用を抑えることができます。 次のコマンドが導入されました。failover health-check bfd 次の画面が変更されました。 |
VPN 機能 |
|
IKEv2 静的暗号マップ用ダイナミック RRI |
crypto map に dynamic が指定されている場合、IPSec セキュリティ アソシエーション(SA)の確立に成功すると、ダイナミック リバース ルート インジェクションが発生します。ルートは、ネゴシエートされたセレクタの情報に基づいて追加されます。IPsec SA's が削除されると、このルートは削除されます。ダイナミック RRI は、IKEv2 ベースの静的暗号マップでのみサポートされます。 次のコマンドが変更されました。crypto map set reverse-route。 次の画面が変更されました。[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Advanced] > [IPsec] > [Crypto Maps] > [Add/Edit] > [Tunnel Policy (Crypto Maps) - Advanced] |
ASA VPN モジュールの仮想トンネル インターフェイス(VTI)のサポート |
ASA VPN モジュールが、仮想トンネル インターフェイス(VTI)と呼ばれる新しい論理インターフェイスによって強化されており、ピアへの VPN トンネルを表すために使用されます。これは、トンネルの各終端に接続されている IPsec プロファイルを利用したルート ベースの VPN をサポートします。VTI を使用することにより、静的暗号マップのアクセス リストを設定してインターフェイスにマッピングすることが不要になります。 次のコマンドが導入されました。crypto ipsec profile、interface tunnel、responder-only、set ikev1 transform-set、set pfs、set security-association lifetime、tunnel destination、tunnel mode ipsec、tunnel protection ipsec profile、tunnel source interface。 次の画面が導入されました。
|
セキュアクライアント 用 SAML 2.0 ベースの SSO |
SAML 2.0 ベースのサービス プロバイダー IdP が、プライベート ネットワークでサポートされます。ユーザーとサービス間のゲートウェイとして ASA を使用すると、IdP の認証は制限付きの名前非表示 webvpn セッションで処理され、IdP とユーザー間のすべてのトラフィックは変換されます。 次のコマンドが追加されました。saml idp 次のコマンドが変更されました。debug webvpn saml、show saml metadata 次の画面が変更されました。 . |
CMPv2 |
ワイヤレス LTE ネットワークのセキュリティ ゲートウェイ デバイスとして配置できるように、ASA が証明書の管理プロトコル(CMPv2)を使用した特定の管理機能をサポートするようになりました。 次のコマンドが変更されました。enrollment url、keypair、auto-update、crypto-ca-trustpoint、show crypto ca server certificates、show crypto key、show tech-support 次の画面が変更されました。 |
マルチ証明書認証 |
セキュアクライアント SSL クライアントプロトコルと IKEv2 クライアントプロトコルを使用して、セッションごとに複数の認証を検証できるようになりました。マルチ証明書認証のプロトコル交換を定義し、これを両方のセッション タイプで利用できるように、集約認証プロトコルが拡張されました。 次のコマンドが変更されました。authentication {[aaa] [certificate | multiple-certificate] | saml} 次の画面が変更されました。 > [Secure Client] > [接続プロファイル(Connection Profile)] [Secure Client] [接続プロファイル(Connection Profiles)][Secure Client] [接続プロファイル(Connection Profiles)] |
スプリット トンネリング ルーティングの制限の引き上げ |
AC-SSL および AC-IKEv2 のスプリット トンネリング ルートの制限は、200 から 1200 に引き上げられました。IKEv1 の制限は 200 で変わりません。 |
Chrome のスマート トンネル サポート |
Mac デバイスや Windows デバイスの Chrome ブラウザでスマート トンネルをサポートするための新しいメソッドが作成されました。Chrome Smart Tunnel Extension は、Netscape プラグイン アプリケーション プログラム インターフェイス(NPAPI)に代わるものです。NPAPI は、Chrome ではサポートされなくなりました。この拡張プログラムをインストールしていない Chrome でスマート トンネルに対応したブックマークをクリックすると、ユーザーは拡張プログラムを取得できるように Chrome ウェブストアにリダイレクトされます。Chrome を新規インストールする場合、ユーザーは拡張プログラムを取得できるように Chrome ウェブストアに移動されます。この拡張プログラムは、スマート トンネルの実行に必要なバイナリを ASA からダウンロードします。通常のブックマーク、およびスマート トンネルを使用する際のアプリケーション設定は、この新しい拡張プログラムのインストール プロセス以外は変更されません。 |
クライアントレス SSL VPN:すべての Web インターフェイスのセッション情報 |
すべての Web インターフェイスが、ログインに使用されたユーザー名などの現在のセッションの詳細と、現在割り当てられているユーザー権限を表示するようになりました。これは、ユーザーが現在のユーザー セッションを知るのに役立ち、ユーザー セキュリティの向上につながります。 |
クライアントレス SSL VPN:Web アプリケーション セッションのクッキーすべての検証 |
すべての Web アプリケーションは、セキュリティ関連のクッキーすべてを検証してはじめて、アクセス権を付与するようになります。要求があるごとに、認証トークンまたはセッション ID を持つ各クッキーが検証され、その後にユーザー セッションへのアクセスが付与されます。同じ要求に複数のセッション Cookie が含まれている場合、その接続は破棄されます。検証に失敗したクッキーは無効なクッキーとして扱われ、そのイベントは監査ログに追加されます。 |
セキュアクライアント:最大接続時間アラート間隔が、Cisco Secure Client の AnyConnect VPN モジュール の接続に関するグループポリシーでサポートされるようになりました。 |
このアラート間隔は、最大接続時間に達する前に、終了を警告するメッセージをユーザーに表示する間隔を指定します。有効な時間間隔は 1 ~ 30 分です。デフォルトは 30 分です。以前は、クライアントレス接続とサイト間 VPN 接続でサポートされていました。 次のコマンドを接続に使用できるようになりました。 セキュアクライアントvpn-session-timeout alert-interval 次の画面が変更されました。[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Group Policies] > [Add/Edit] > [General] > [More Options]。[Maximum Connect Time Alert Interval] フィールドが追加されました。 |
AAA 機能 |
|
AAA 用 LDAP サーバーおよび TACACS+ サーバーの IPv6 アドレスのサポート |
AAA に使用する LDAP サーバーおよび TACACS+ サーバーで IPv4 アドレスか IPv6 アドレスのいずれかを使用できるようになりました。 次のコマンドが変更されました。aaa-server host、test aaa-server 次の画面が変更されました。 |
管理機能 |
|
すべてのローカル username および enable パスワードに対する PBKDF2 ハッシュ |
長さ制限内のすべてのローカル username および enable パスワードは、PBKDF2(パスワード ベース キー派生関数 2)のハッシュを使用して設定に保存されます。以前は、32 文字以下のパスワードが MD5 ベースのハッシュ メソッドを使用していました。既存のパスワードでは、ユーザーが新しいパスワードを入力しない限り、MD5 ベースのハッシュが引き続き使用されます。ダウングレードのガイドラインについては、『一般操作構成ガイド』の「ソフトウェアおよびコンフィギュレーション」の章を参照してください。 次のコマンドが変更されました。enable password、username 次の画面が変更されました。
|
ライセンシング機能 |
|
Firepower 4100/9300 シャーシ 上のフェールオーバー ペアのライセンス変更 |
アクティブなユニットのみがライセンス権限を要求します。以前は、両方のユニットがライセンスの権限付与を要求していました。FXOS 2.1.1 でサポートされます。 |
モニタリング機能とトラブルシューティング機能 |
|
トレースルート用の IPv6 アドレスのサポート |
traceroute コマンドが変更され、IPv6 アドレスも受け入れられるようになりました。 次のコマンドが変更されました。traceroute 次の画面が変更されました。 |
ブリッジ グループ メンバー インターフェイス用のパケット トレーサのサポート |
ブリッジ グループ メンバー インターフェイスにパケット トレーサを使用できるようになりました。 packet-tracer コマンドに次の 2 つのオプションが追加されました。vlan-id および dmac パケット トレーサの画面に [VLAN ID] および [Destination MAC Address] フィールドが追加されました。 |
syslog サーバーの IPv6 アドレスのサポート |
syslog サーバーに IPv6 アドレスを設定して、TCP や UDP 経由で syslog を記録または送信できるようになりました。 次のコマンドが変更されました。logging host、show running config、show logging 次の画面が変更されました。 |
SNMP の MIB および OID |
ASA は、ISA 3000 の Precision Time Protocol(PTP)の一部として、エンドツーエンド トランスペアレント クロック モードに対応する SNMP MIB オブジェクトをサポートするようになりました。次の SNMP MIB オブジェクトがサポートされます。
|
手動によるパケット キャプチャの停止と開始 |
キャプチャを手動で停止および開始できるようになりました。 追加/変更されたコマンド: capture stop 追加/変更された画面: 追加/変更されたオプション:[Start] ボタン、[Stop] ボタン |
バージョン 9.6 の新機能
ASA 9.6(4)/ASDM 7.9(1) の新機能
リリース:2017年12月13日
このリリースに新機能はありません。
ASA 9.6(3.1)/ASDM 7.7(1) の新機能
リリース:2017年4月3日
(注) |
機能 |
説明 |
---|---|
AAA 機能 |
|
SSH 公開キー認証を使用するユーザーの認証とパスワードを使用するユーザーの認証を区別します。 |
9.6(2) より前のリリースでは、ローカル ユーザー データベース(ssh authentication )を使用して AAA SSH 認証を明示的に有効にしなくても、SSH 公開キー認証(aaa authentication ssh console LOCAL )を有効にすることができました。9.6(2) では、ASA で AAA SSH 認証を明示的に有効にする必要がありました。このリリースでは、AAA SSH 認証を明示的に有効にする必要はありません。ユーザーに対して ssh authentication コマンドを設定すると、このタイプの認証を使用するユーザーのローカル認証がデフォルトで有効になります。さらに、明示的に AAA SSH 認証を設定すると、この設定はパスワード付きのユーザー名にのみ適用されます。また、任意の AAA サーバー タイプ(aaa authentication ssh console radius_1 など)を使用できます。たとえば、一部のユーザーはローカル データベースを使用して公開キー認証を使用し、他のユーザーは RADIUS でパスワードを使用できます。 変更されたコマンドはありません。 変更された画面はありません。 バージョン 9.8(1) でも同様です。 |
ASDM 7.6(2.150) の新機能
リリース:2016年10月12日
このリリースに新機能はありません。
ASA 9.6(2)/ASDM 7.6(2) の新機能
リリース:2016年8月24日
機能 |
説明 |
||
---|---|---|---|
プラットフォーム機能 |
|||
Firepower 4150 用の ASA を導入しました。 |
Firepower 4150 用の ASA を導入しました。 FXOS 2.0.1 が必要です。 追加または変更されたコマンドはありません。 追加または変更された画面はありません。 |
||
ASA 仮想 のホット プラグ インターフェイス |
システムがアクティブの状態で、ASA 仮想 の Virtio 仮想インターフェイスを追加または削除できます。ASA 仮想 に新しいインターフェイスを追加すると、仮想マシンがインターフェイスを検出し、プロビジョニングが行われます。既存のインターフェイスを削除すると、仮想マシンはインターフェイスに関連付けられているリソースを解放します。ホット プラグ インターフェイスはカーネルベース仮想マシン(KVM)のハイパーバイザ上にある Virtio 仮想インターフェイスに制限されます。 |
||
ASAv10 での Microsoft Azure サポート |
Microsoft Azure は、プライベート Microsoft Hyper V ハイパーバイザを使用するパブリック クラウド環境です。ASA 仮想 は、Hyper V ハイパーバイザの Microsoft Azure 環境でゲストとして実行されます。Microsoft Azure 上の ASA 仮想 は、4 つの vCPU、14 GB、4 つのインターフェイスをサポートする Standard D3 の 1 つのインスタンスタイプをサポートします。 バージョン 9.5(2.200) でも同様です。 |
||
ASA 仮想 の管理 0/0 インターフェイスでの通過トラフィックサポート |
ASA 仮想 の管理 0/0 インターフェイスでトラフィックを通過させることができるようになりました。以前は、Microsoft Azure 上の ASA 仮想 のみで通過トラフィックをサポートしていました。今後は、すべての ASA 仮想 で通過トラフィックがサポートされます。任意で、このインターフェイスを管理専用に設定できますが、デフォルトでは管理専用に設定されていません。 次のコマンドが変更されました。 management-only |
||
コモン クライテリア証明書 |
ASA は、コモン クライテリアの要件に適合するように更新されました。この証明書に追加された次の機能については、この表の行を参照してください。
|
||
ファイアウォール機能 |
|||
TCP 経由での DNS インスペクション |
DNS over TCP トラフィック(TCP/53)を検査できるようになりました。 次のコマンドが追加されました。 tcp-inspection 次のページが変更されました。 > [Add/Edit] ダイアログボックス |
||
MTP3 User Adaptation(M3UA)インスペクション |
M3UA トラフィックを検査できるようになりました。また、ポイント コード、サービス インジケータ、およびメッセージのクラスとタイプに基づいてアクションを適用できるようになりました。 次のコマンドが追加または変更されました。clear service-policy inspect m3ua {drops | endpoint [IP_address]} 、inspect m3ua 、match dpc 、match opc 、match service-indicator 、policy-map type inspect m3ua 、show asp table classify domain inspect-m3ua 、show conn detail 、show service-policy inspect m3ua {drops | endpoint IP_address} 、ss7 variant 、timeout endpoint 次のページが追加または変更されました。 、サービス ポリシー ルールの場合は タブ |
||
Session Traversal Utilities for NAT(STUN)インスペクション |
Cisco Spark を含む WebRTC アプリケーションの STUN トラフィックを検査できるようになりました。インスペクションでは、リターン トラフィックに必要なピンホールが開きます。 次のコマンドが追加または変更されました。inspect stun 、show conn detail 、show service-policy inspect stun 次のタブにオプションが追加されました。[Add/Edit Service Policy] ダイアログボックスの [Rule Actions] > [Protocol Inspection] |
||
Cisco クラウド Web セキュリティのアプリケーション層健全性チェック |
サーバーが正常かどうかを判断する際に、クラウド Web セキュリティ アプリケーションの健全性をチェックするように Cisco クラウド Web セキュリティを設定できるようになりました。アプリケーションの健全性を確認することで、プライマリ サーバーが TCP スリーウェイ ハンドシェイクに応答する場合に、システムはバックアップ サーバーにフェールオーバーできますが、要求を処理することはできません。これにより、より信頼性の高いシステムを実現します。 次のコマンドが追加されました。health-check application url 、health-check application timeout 次の画面が変更されました。 |
||
ルートの収束に対する接続ホールドダウン タイムアウト |
接続で使用されているルートがもう存在していない、または非アクティブになったときに、システムが接続を保持する時間を設定できるようになりました。このホールドダウン期間内にルートがアクティブにならない場合、接続は解放されます。ルートの収束がさらに迅速に行われるようにホールドダウン タイマーを短縮することができます。ただし、ほとんどのネットワークでは、ルートのフラッピングを防止するためにデフォルトの 15 秒が適切です。 次のコマンドが追加されました。 timeout conn-holddown 次の画面が変更されました。 バージョン 9.4(3) でも同様です。 |
||
TCP オプション処理の変更 |
TCP マップを設定する際にパケットの TCP ヘッダー内の TCP MSS および MD5 オプションに対するアクションを指定できるようになりました。さらに、MSS、タイムスタンプ、ウィンドウ サイズ、および選択的確認応答オプションのデフォルトの処理が変更されました。以前は、これらのオプションは、ヘッダーに特定のタイプのオプションが 2 つ以上ある場合でも許可されていました。現在は、パケットに特定のタイプのオプションが 2 つ以上含まれている場合、そのパケットはデフォルトでドロップされます。たとえば、以前は 2 つのタイムスタンプ オプションがあるパケットは許可されていましたが、現在はドロップされます。 MD5、MSS、選択的確認応答、タイムスタンプ、およびウィンドウ サイズに対し、同じタイプの複数のオプションを有効にするための TCP マップを設定できます。MD5 オプションの場合、以前のデフォルトではオプションがクリアされたのに対し、現在のデフォルトでは許可されます。また、MD5 オプションを含むパケットをドロップすることもできます。MSS オプションの場合は、TCP マップで最大セグメント サイズを設定できます(トラフィック クラスごとに)。他のすべての TCP オプションのデフォルトに変更はありません。これらはクリアされます。 次のコマンドが変更されました。 tcp-options 次の画面が変更されました。 > [Add/Edit] ダイアログボックス |
||
トランスペアレント モードで、ブリッジ グループごとのインターフェイス数が最大で 64 に増加 |
ブリッジ グループあたりのインターフェイスの最大数が 4 から 64 に拡張されました。 変更されたコマンドはありません。 変更された画面はありません。 |
||
トランスペアレント モードでのマルチキャスト接続のフロー オフロードのサポート |
トランスペアレント モードの Firepower 4100 および 9300 シリーズ デバイスで、NIC に直接切り替えられるマルチキャスト接続をオフロードできるようになりました。マルチキャスト オフロードは、インターフェイスを 2 つだけ含むブリッジ グループに使用できます。 この機能には、新規のコマンドまたは ASDM 画面はありません。 |
||
カスタマイズ可能な ARP レート制限 |
1 秒あたり許可される ARP パケットの最大数を設定できます。デフォルト値は ASA モデルによって異なります。この値は ARP ストーム攻撃を防ぐためにカスタマイズできます。 次のコマンドを追加しました。arp rate-limit、show arp rate-limit 次の画面が変更されました。 |
||
IEEE 802.2 論理リンク制御(LLC)パケットの Destination Service Access Point(DSAP)アドレスに対する Ethertype ルールのサポート |
IEEE 802.2 論理リンク制御パケットの宛先サービス アクセス ポイントのアドレスに対する Ethertype のアクセス制御ルールを作成できるようになりました。この追加により、bpdu キーワードが対象トラフィックに一致しなくなります。dsap 0x42 に対して bpdu ルールを書き換えます。 次のコマンドが変更されました。 access-list ethertype 次の画面が変更されました。 。 |
||
リモート アクセス機能 |
|||
マルチ コンテキスト モードの場合の証明書の事前入力/ユーザー名 |
セキュアクライアント SSL サポートが拡張され、これまでシングルモードでのみ使用可能だった証明書の事前入力とユーザー名取得機能の CLI がマルチコンテキストモードでも有効にできるようになりました。 変更されたコマンドはありません。 変更された画面はありません。 |
||
リモート アクセス VPN のフラッシュ仮想化 |
マルチ コンテキスト モードのリモート アクセス VPN はフラッシュ仮想化をサポートします。使用可能な合計フラッシュに基づき、コンテキストごとにプライベート記憶域と共有ストレージの場所が設定できます。
次のコマンドが導入されました。limit-resource storage、storage-url 次の画面が変更されました。
|
||
マルチコンテキストモードでの セキュアクライアント プロファイルのサポート |
マルチコンテキストモードでの セキュアクライアント プロファイルのサポートASDM を使用して新しいプロファイルを追加するには、Secure Client リリース 4.2.00748 または 4.3.03013 以降が必要です。 |
||
マルチコンテキストモードの セキュアクライアント 接続のステートフル フェールオーバー |
マルチコンテキストモードで セキュアクライアント 接続のステートフル フェールオーバーがサポートされるようになりました。 変更されたコマンドはありません。 変更された画面はありません。 |
||
マルチ コンテキスト モードでリモート アクセス VPN ダイナミック アクセス ポリシー(DAP)がサポートされました。 |
マルチ コンテキスト モードで、コンテキストごとに DAP を設定できるようになりました。 変更されたコマンドはありません。 変更された画面はありません。 |
||
マルチ コンテキスト モードでリモート アクセス VPN CoA(認可変更)がサポートされました。 |
マルチ コンテキスト モードで、コンテキストごとに CoA を設定できるようになりました。 変更されたコマンドはありません。 変更された画面はありません。 |
||
マルチ コンテキスト モードで、リモート アクセス VPN のローカライズがサポートされました。 |
ローカリゼーションがグローバルでサポートされました。複数のコンテキストで共有されるローカリゼーション ファイル セットは 1 つだけです。 変更されたコマンドはありません。 変更された画面はありません。 |
||
Umbrella ローミング セキュリティ モジュールのサポート |
アクティブな VPN がない場合には、DNS 層のセキュリティを強化するため、Secure Client の Umbrella ローミング セキュリティモジュールを設定できます。 変更されたコマンドはありません。 次の画面が変更されました。[セキュアクライアントプロファイル(Profile)] |
||
IKEv2 の IPsec/ESP トランスポート モードのサポート |
ASA IKEv2 ネゴシエーションでトランスポート モードがサポートされるようになりました。これは、トンネル(デフォルト)モードの代わりに使用できます。トンネル モードでは IP パケット全体がカプセル化されます。トランスポート モードでは IP パケットの上位層プロトコルだけがカプセル化されます。トランスポート モードでは、送信元ホストと宛先ホストの両方が IPSec をサポートしている必要があります。また、トランスポート モードは、トンネルの宛先ピアが IP パケットの最終宛先である場合にだけ使用されます。 次のコマンドが変更されました。crypto map set ikev2 mode 次の画面が変更されました。 |
||
IPsec 内部パケットに対するパケット単位のルーティング ルックアップ |
デフォルトでは、外部 ESP パケットに対してはパケット単位の隣接関係(アジャセンシー)ルックアップが行われ、IPsec トンネル経由で送信されるパケットに対してはルックアップが行われません。一部のネットワーク トポロジでは、ルーティング アップデートによって内部パケットのパスが変更され、ローカル IPsec トンネルが引き続きアップ状態である場合、トンネル経由のパケットは正しくルーティングされず、宛先に到達しません。これを防止するには、新しいオプションを使用し、IPsec 内部パケットに対してパケット単位のルーティング ルックアップを有効にします。 次のコマンドが追加されました。crypto ipsec inner-routing-lookup 次の画面に [Enable IPsec Inner Routing Lookup] チェックボックスが追加されました。 |
||
証明書とセキュアな接続の機能 |
|||
ASA クライアントによるサーバー証明書の拡張キーの使用状況確認 |
syslog、スマート ライセンス サーバー証明書は、[Extended Key Usage] フィールドに [ServerAuth ] を含める必要があります。そうしない場合、接続は失敗します。 |
||
ASA が TLS1.1 と 1.2 の TLS クライアントとして動作する際の相互認証 |
サーバーが認証のために ASA からクライアント証明書を要求した場合、ASA はそのインターフェイス用に設定されたクライアント アイデンティティ証明書を送信します。証明書は ssl trust-point コマンドで設定されます。 | ||
PKI デバッグ メッセージ |
ASA PKI モジュールは、SCEP 登録、HTTP を使用した失効チェックなどのために CA サーバーへ接続します。これらすべての ASA PKI 通信はデバッグ追跡のため、debug crypto ca メッセージ 5 を付してログに記録されます。 |
||
ASDM での ASA SSL サーバー モード マッチング |
証明書マップと照合するために、証明書で認証を行う ASDM ユーザーに対して証明書を要求できるようになりました。 次のコマンドを変更しました。http authentication-certificate match 次の画面を変更しました。 |
||
セキュアな syslog サーバーの接続とスマート ライセンシング接続のための参照 ID |
TLS クライアント処理は、RFC 6125 のセクション 6 に定義されるサーバー ID の検証ルールをサポートするようになりました。ID 確認は syslog サーバーとスマート ライセンス サーバーへの TLS 接続の PKI 確認中に行われます。提示された ID が設定されたリファレンス ID と一致しない場合、接続を確立できません。 次のコマンドが追加または変更されました。crypto ca reference-identity、logging host、call home profile destination address 次の画面が変更されました。
|
||
暗号キー抹消検査 |
ASA の暗号化システムは、新しい暗号キー抹消要件に適合するように更新されました。キーはすべてゼロで上書きされ、データを読み出して上書きが正しく行われたか確認する必要があります。 |
||
SSH 公開キー認証の改善 |
以前のリリースでは、ローカル ユーザー データベース( (aaa authentication ssh console LOCAL ))を使用して AAA SSH 認証を有効にしなくても、SSH 公開キー認証((ssh authentication ))を有効にすることができました。この設定は修正されたため、AAA SSH 認証を明示的に有効にする必要があります。ユーザーが秘密キーの代わりにパスワードを使用できないよう、パスワード未定義のユーザー名を作成できるようになりました。 次のコマンドが変更されました。ssh authentication、username 次の画面が変更されました。
|
||
インターフェイス機能 |
|||
Firepower 4100/9300 シャーシ の ASA のMTU サイズ増加 |
Firepower 4100 および 9300 で、最大 MTU を 9188 バイトに設定できます。これまでは 9000 バイトが最大でした。この MTU は FXOS 2.0.1.68 以降でサポートされます。 次のコマンドが変更されました。mtu 次の画面が変更されました。 |
||
ルーティング機能 |
|||
Bidirectional Forwarding Detection(BFD)のサポート |
ASAは、BFD ルーティング プロトコルをサポートするようになりました。BFD テンプレート、インターフェイスおよびマッピングの設定が新たにサポートされました。BFD を使用するための BGP ルーティング プロトコルのサポートも追加されました。 次のコマンドが追加または変更されました。 authentication、bfd echo、bfd interval、bfd map、bfd slow-timers、bfd template、bfd-template、clear bfd counters、echo、debug bfd、neighbor fall-over bfd、show bfd drops、show bfd map、show bfd neighbors、show bfd summary 次の画面が追加または変更されました。
|
||
IPv6 DHCP |
ASA で IPv6 アドレッシングの次の機能がサポートされました。
次のコマンドが追加または変更されました。clear ipv6 dhcp statistics、domain-name、dns-server、import、ipv6 address autoconfig、ipv6 address dhcp、ipv6 dhcp client pd、ipv6 dhcp client pd hint、ipv6 dhcp pool、ipv6 dhcp server、network、nis address、nis domain-name、nisp address、nisp domain-name、show bgp ipv6 unicast、show ipv6 dhcp、show ipv6 general-prefix、sip address、sip domain-name、sntp address 次の画面が追加または変更されました。
|
||
ハイ アベイラビリティとスケーラビリティの各機能 |
|||
アクティブ/スタンバイフェールオーバーを使用するときの セキュアクライアント からのダイナミック ACL における同期時間の改善 |
フェールオーバーペアで セキュアクライアント を使用するとき、関連付けられているダイナミック ACL(dACL)におけるスタンバイユニットへの同期時間が改善されました。以前は、大規模な dACL の場合、スタンバイユニットが可用性の高いバックアップを提供するのではなく同期作業で忙しい間は、同期時間が長時間に及ぶことがありました。 変更されたコマンドはありません。 変更された画面はありません。 |
||
ライセンシング機能 |
|||
ASA 仮想 の永続ライセンス予約 |
Cisco Smart Software Manager との通信が許可されていない非常にセキュアな環境では、ASA 仮想 用に永続ライセンスを要求できます。9.6(2) では、Amazon Web サービスの ASA 仮想 向けに、この機能のサポートが追加されました。この機能は Microsoft Azure ではサポートされません。
次のコマンドが導入されました。license smart reservation、license smart reservation cancel、license smart reservation install、license smart reservation request universal、license smart reservation return ASDM サポートはありません。 バージョン 9.5(2.200) でも同様です。 |
||
ASA 仮想 のサテライトサーバーのサポート |
デバイスがセキュリティ上の理由でインターネットにアクセスができない場合、オプションで、仮想マシン(VM)としてローカル Smart Software Manager サテライト サーバーをインストールできます。 変更されたコマンドはありません。 変更された画面はありません。 |
||
ASA 仮想 の短かい文字列の拡張機能向けの永続ライセンス予約 |
スマート エージェント(1.6.4 への)の更新により、要求と認証コードには短い文字列が使用されます。 変更されたコマンドはありません。 変更された画面はありません。 |
||
Firepower 4100/9300 シャーシ 上の ASA の永続ライセンス予約 |
Cisco Smart Software Manager との通信が許可されていない非常にセキュアな環境では、FirePOWER 9300 および FirePOWER 4100 の ASA 用に永続ライセンスを要求できます。永続ライセンスには、標準層、高度暗号化(該当する場合)、セキュリティ コンテキスト、キャリア ライセンスをはじめ、使用可能なすべてのライセンス権限が含まれます。FXOS 2.0.1 が必要です。 すべての設定はFirepower 4100/9300 シャーシで実行され、ASA の設定は不要です。 |
||
ASA 仮想 用スマートエージェントの v1.6 へのアップグレード |
スマート エージェントはバージョン 1.1 からバージョン 1.6 へアップグレードされました。このアップグレードは永続ライセンス予約をサポートするほか、ライセンス アカウントに設定された権限に従って、高度暗号化(3DES/AES)ライセンス権限の設定もサポートします。
次のコマンドが導入されました。show license status、show license summary、show license udi、show license usage 次のコマンドが変更されました。show license all、show tech-support license 次のコマンドが非推奨になりました。 show license cert、show license entitlement、show license pool、show license registration 変更された画面はありません。 バージョン 9.5(2.200) でも同様です。 |
||
モニタリング機能 |
|||
type asp-drop のパケット キャプチャは、ACL と一致フィルタリングをサポートします。 |
asp-drop タイプのパケット キャプチャを作成するとき、ACL または一致するオプションを指定してキャプチャの範囲を制限できるようになりました。 次のコマンドが変更されました。capture type asp-drop 変更された画面はありません。 |
||
フォレンジック分析の強化 |
ASA で実行されているすべてのプロセスのコア ダンプを作成できます。主な ASA プロセスのテキスト セクションを抽出し、検証用にコピーできます。 次のコマンドが変更されました。copy system:text、verify system:text、crashinfo force dump process 変更された画面はありません。 |
||
NetFlow 経由の接続ごとのトラッキング パケット数の追跡 |
NetFlow ユーザーがある接続上で双方向に送受信されるレイヤ 4 パケットの数を確認することを可能にする 2 つのカウンタが追加されました。これらのカウンタを使用して、平均パケット レートおよびサイズを判断し、トラフィック タイプ、異常、イベントをより適切に予測できます。 変更されたコマンドはありません。 変更された画面はありません。 |
||
フェールオーバーの SNMP engineID の同期 |
フェールオーバー ペアでは、一対の ASA の SNMP engineID は両方のユニットで同期されます。ASA ごとに、同期された engineID、ネイティブ engineID、およびリモート engineID による engineID が 3 セット維持されます。 SNMPv3 ユーザーは、ローカライズされた snmp-server user 認証とプライバシー オプションを保存するためのプロファイルを作成するときに ASA の engineID も指定できます。ユーザーがネイティブ engineID を指定しない場合、show running config 出力に engineID がユーザーごとに 2 つずつ表示されます。 次のコマンドが変更されました。snmp-server user ASDM サポートはありません。 バージョン 9.4(3) でも同様です。 |
ASA 9.6(1)/ASDM 7.6(1) の新機能
リリース:2016年3月21日
(注) |
Microsoft Azure サポートを含む ASAv 9.5.2(200) の各機能は 9.6(1) では使用できません。 これらは、9.6(2) では使用可能です。 |