Firepower Management Center/バージョン 6.2.3 の新機能
次の表に、Firepower Management Center を使用して設定された場合に Firepower バージョン 6.2.3 で使用できる新機能を示します。
機能 |
説明 |
||
---|---|---|---|
ハードウェアと仮想ハードウェア |
|||
ISA 3000 の FTD |
管理のために Firepower Device Manager または Firepower Management Center を使用して、ISA 3000 シリーズで Firepower Threat Defense を実行できるようになりました。 ISA 3000 は脅威のライセンスのみをサポートしていることに注意してください。URL フィルタリングやマルウェアのライセンスはサポートしていません。したがって、ISA 3000 では URL フィルタリングやマルウェアのライセンスを必要とする機能は設定できません。ハードウェア バイパスやアラーム ポートなど、ASA でサポートされていた ISA 3000 の特別な機能は、このリリースの Firepower Threat Defense ではサポートされていません。 |
||
VMware ESXi 6.5 のサポート |
Firepower Threat Defense Virtual、Firepower Management Center Virtual、および Firepower NGIPS Virtual が、VMware ESXi 6.5 でサポートされるようになりました。 |
||
Firepower Threat Defense:暗号化と VPN |
|||
SSL ハードウェア アクセラレーション |
特定の FirePOWER 管理対象デバイス モデルでは、パフォーマンスが大幅に向上する、ハードウェアでの SSL 暗号化および復号化のアクセラレーションをサポートしています。SSL ハードウェア アクセラレーションは、サポートするすべてのアプライアンスに対してデフォルトで無効化されています。 サポートされるプラットフォーム:Firepower 4100/9300 |
||
Firepower Threat Defense の VPN の改善 |
証明書の登録操作のノンブロッキング ワーク フローでは、複数の Firepower Threat Defense デバイスで証明書の登録を並行して実行できます。
|
||
Firepower Threat Defense:ハイアベイラビリティとクラスタリング |
|||
Firepower Management Center のハイ アベイラビリティ メッセージ |
Firepower Management Center のハイ アベイラビリティ ペアでは、UI メッセージが改善されています。UI には、Firepower Management Center のペアが確立されている間に、中間ステータス メッセージが表示されるようになり、書き換えられた UI メッセージがより直感的になりました。 |
||
内部エラーの発生後に自動的に Firepower Threat Defense クラスタに再参加 |
以前は、多くの内部エラー状態によって、クラスタ ユニットがクラスタから削除され、ユーザが問題を解決した後で、手動でクラスタに再参加する必要がありました。現在は、ユニットが自動的に、5 分、10 分、20 分の間隔でクラスタに再参加しようとします。内部エラーには、アプリケーション同期のタイムアウト、一貫性のないアプリケーションステータスなどがあります。 新しい/変更されたコマンド:show cluster info auto-join サポートされるプラットフォーム:Firepower 4100/9300 |
||
Firepower Threat Defense のハイ アベイラビリティ強化 |
バージョン 6.2.3 では、ハイア ベイラビリティの Firepower Threat Defense デバイスに関する次の機能が導入されています。
|
||
管理とトラブルシューティング |
|||
Firepower Threat Defense SSH アクセスへの外部認証の追加 |
LDAP または RADIUS を使用して、Firepower Threat Defense への SSH アクセス用に外部認証を設定できるようになりました。 新規/変更された画面: サポートされるプラットフォーム:FTD |
||
脆弱性データベース(VDB)の強化されたインストール |
Firepower Management Center は、VDB をインストールする前に、インストールにより Snort プロセスが再起動し、トラフィック検査が中断され、管理対象デバイスがトラフィックを処理する方法次第でトラフィック フローが中断される可能性があるという警告を表示するようになりました。メンテナンス期間中など、都合の良い期間までインストールをキャンセルすることができます。 次のようなときに警告が表示される可能性があります。
|
||
アップグレード パッケージのプッシュ |
実際のアップグレードを実行する前に、Firepower Management Center から管理対象デバイスにアップグレード パッケージをコピー(またはプッシュ)できるようになりました。帯域幅の使用量が少ない時間帯やアップグレードのメンテナンス期間外でプッシュできるため、この機能は便利です。 ハイア ベイラビリティ デバイス、クラスタ デバイス、またはスタック構成デバイスにプッシュすると、システムは、アップグレード パッケージを最初にアクティブ/マスター/プライマリに送信し、次にスタンバイ/スレーブ/セカンダリに送信します。 新規/変更された画面: |
||
Firepower Threat Defense の保守性 |
バージョン 6.2.3 では、 show fail over CLI コマンドが改善されています。新しいキーワード -history を使用すると、トラブルシューティングに役立つ詳細が表示されます。
|
||
デバイス一覧のソート |
ページで、[View by] ドロップダウンリストを使用して、グループ、ライセンス、モデル、またはアクセス コントロール ポリシーのいずれかのカテゴリでデバイス一覧をソートして表示できます。マルチドメイン導入では、ドメイン(その導入のデフォルトの表示カテゴリ)を基準にソートして表示することもできます。デバイスはリーフ ドメインに属している必要があります。 |
||
監査ログの改善 |
監査ログは、Firepower Threat Defense Platform 設定の ページでポリシーが変更されたかどうかを示します。 |
||
FTD CLI コマンドの更新 |
Firepower Threat Defense デバイスの CLI コマンドの asa_mgmt_plane オプションと asa_dataplane オプションは、management-plane と data-plane にそれぞれ名前が変更されています。 |
||
Cisco Success Network |
アップグレードの影響。 Cisco Success Network は、テクニカルサポートを提供するために不可欠な使用状況に関する情報と統計情報をシスコに送信します。 アップグレード中に、参加を承諾するか、辞退するかを尋ねられます。また、いつでもオプトインまたはオプトアウトできます。 |
||
Web 分析トラッキング |
アップグレードの影響。 Web 分析のトラッキングは、これに限定されませんが、ページでの操作、ブラウザのバージョン、製品のバージョン、ユーザの場所、FMC の管理 IP アドレスまたはホスト名を含む、個人を特定できない使用状況データをシスコに送信します。 バージョン 6.2.3 にアップグレードすると、Web 分析トラッキングが有効になります。このデータの収集を拒否する場合は、アップグレード後にオプトアウトできます。 |
||
Performance |
|||
ポリシー展開の再起動の改善 |
バージョン 6.2.3 の機能強化として、Snort プロセスを再起動する設定が削減されました。Firepower Threat Defense デバイスでは、設定の展開により Snort プロセスが再起動し、トラフィック検査が中断され、管理対象デバイスがトラフィックを処理する方法次第でトラフィック フローが中断される可能性がある場合、展開の前に、管理 UI が警告を出すようになりました。 再起動の動作は、Firepower Device Manager を使用して管理されているデバイスでは異なることに注意してください。詳細については、Firepower Device Manager/FTD バージョン 6.2.3 の新機能 を参照してください。 |
||
ポリシー適用時のトラフィック ドロップ |
バージョン 6.2.3 では、configure snort preserve-connection {enable | disable} コマンドが Firepower Threat Defense CLI に追加されています。このコマンドは、Snort プロセスがダウンした場合に、ルーテッド インターフェイスとトランスペアレント インターフェイスで既存の接続を維持するかどうかを決定します。コマンドを無効にすると、Snort がダウンして、Snort が再開するまでドロップされたままになると、新規または既存のすべての接続がドロップされます。コマンドを有効にした場合、すでに許可されている接続は確立されたままですが、Snort が再び使用可能になるまで新しい接続を確立できません。 Firepower Device Manager で管理されている Firepower Threat Defense デバイスでは、このコマンドを永続的に無効にできないことに注意してください。次の設定の展開時に設定がデフォルトに戻ると、既存の接続がドロップされることがあります。 |
||
ローエンド アプライアンスのメモリ容量の増加 |
バージョン 6.1.0.7、6.2.0.5、6.2.2.2、および 6.2.3 では、Firepower ローエンド アプライアンスのメモリ容量が増加しています。これにより、ヘルス アラートの数が削減されます。 |
||
ISE pxGrid ディスカバリの高速化 |
ハイ アベイラビリティの ISE pxGrid に障害が発生した場合、または到達不能になった場合、Firepower Management Center は、新しいアクティブ pxGrid をより迅速に検出できるようになりました。 |
||
FMC REST API |
|||
Firepower Management Center REST API の改善 |
新しい Firepower Management Center REST API は、ASA FirePOWER から Firepower Threat Defense への移行時に、NAT ルール、スタティック ルーティング設定、および対応するオブジェクトに対する CRUD(作成、取得、アップグレード、削除)操作の使用をサポートしています。 NAT 用に新しく導入された API
Cisco ACI に Firepower Threat Defense デバイスを展開する場合、API を使用すると、APIC コントローラを介して、適切なスタティック ルートを適切に追加できるほか、特定のサービス グラフに必要なその他の設定も追加できます。また、API により、Firepower Threat Defense を ACI に挿入する最も柔軟性の高い方法である、PBR サービス グラフの挿入も可能になります。 スタティック ルート用に新しく導入された API
|