特長と機能

Firepower バージョン 6.4.0 には以下が含まれます。

新機能

次のトピックでは、Firepower バージョン 6.4.0 で使用可能な新機能をリストしています。アップグレードパスが 1 つ以上のメジャーバージョンをスキップする場合は、『Cisco Firepower リリースノート』で過去の新機能リストを参照してください。

Firepower Management Center/Firepower バージョン 6.4.0 の新機能

次の表に、Firepower Management Center を使用して設定された場合に Firepower バージョン 6.4.0 で使用可能な新機能を示します。

表 1. バージョン 6.4.0 の新機能:FMC 導入環境
機能 説明

ハードウェアと仮想ハードウェア

FMC モデル MC1600、2600、および 4600

Firepower Management Center モデル MC1600、2600、および 4600 を導入しました。なお、これらのモデルではバージョン 6.3.x もサポートされています。

FMCv Azure 上

Microsoft Azure 上に Firepower Management Center Virtual を導入しました。

FTD Firepower 1010、1120、1140 上

Firepower 1010、1120、および 1140 を導入しました。

FTD Firepower 4115、4125、および 4145

Firepower 4115、4125、および 4145 が導入されました。

Firepower 9300 SM-40、SM-48、および SM-56 のサポート

新しい 3 つのセキュリティモジュール(SM-40、SM-48、SM-56)を導入しました。

ASA および FTD(同じ Firepower 9300 上)

ASA および FTD 論理デバイスを同じ Firepower 9300 上で展開できるようになりました。FXOS 2.6.1 が必要です。

ライセンス

の新しいライセンス機能 ISA 3000

ASA FirePOWER および FTD の導入環境では、 ISA 3000 は URL フィルタリングおよびマルウェアのライセンスとそれらの関連機能をサポートするようになりました。

FTD のみ、ISA 3000 は、承認された顧客向けに特定のライセンスの予約をサポートするようになりました。

サポートされているプラットフォーム: ISA 3000

Firepower Threat Defense ルーティング

OSPFv2 ルーティングの循環(キーチェーン)認証

OSPFv2 ルーティングを設定すると、循環(キーチェーン)認証を使用できるようになりました。

新規/変更された画面:

  • [オブジェクト(Objects)] > [オブジェクト管理(Object Management)] > [キーチェーン(Key Chain)] オブジェクト

  • [デバイス(Devices)] > [デバイス管理(Device Management)] > [デバイスの編集(edit device)] > [ルーティング(Routing)] タブ > [OSPF 設定(OSPF settings)] > [インターフェイス(Interface)] タブ > [インターフェイスの追加/編集(add/edit interface)] > [認証(Authentication)] オプション

  • [デバイス(Devices)] > [デバイス管理(Device Management)] > [デバイスの編集(edit device)] > [ルーティング(Routing)] タブ > [OSPF 設定(OSPF settings)] > [エリア(Area)] タブ > [エリアの追加/編集(add/edit area)] > [仮想リンク(Virtual Link)] サブタブ > [仮想リンクの追加/編集(add/edit virtual link)]> [認証(Authentication)] オプション

サポートされているプラットフォーム: FTD

Firepower Threat Defense 暗号化と VPN

RA VPN:セカンダリ認証

セカンダリ認証(二重認証とも呼ばれる)は、2 つの異なる認証サーバを使用して、RA VPN 接続にさらにもう 1 つのセキュリティのレイヤを追加します。セカンダリ認証が有効になっている場合、AnyConnect VPN のユーザは VPN ゲートウェイにログインするために 2 組のクレデンシャルを提供する必要があります。

RA VPN は、AAA のみのセカンダリ認証と、クライアント証明書認証方式および AAA 認証方式をサポートします。

新規/変更された画面:[デバイス(Devices)] > [VPN] > [リモートアクセス(Remote Access)] > [設定の追加/編集(add/edit configuration)] > [接続プロファイル(Connection Profile)] > [AAA] 領域

サポートされているプラットフォーム: FTD

サイト間 VPN:エクストラネット エンドポイントのダイナミック IP アドレス

エクストラネット エンドポイントにダイナミック IP アドレスを使用するように、サイト間 VPN を設定できるようになりました。ハブアンドスポーク導入環境では、ハブをエクストラネット エンドポイントとして使用できます。

新規/変更された画面:[デバイス(Devices)] > [VPN] > [サイト間(Site To Site)] > [FTD VPNトポロジの追加/編集(add/edit FTD VPN topology)] > [エンドポイント(Endpoints)] タブ > [エンドポイントの追加(add endpoint)] > [IPアドレス(IP Address)] オプション

サポートされているプラットフォーム: FTD

サイト間 VPN:ポイントツーポイント トポロジのためのダイナミック暗号マップ

ポイントツーポイントおよびハブアンドスポーク VPN トポロジでは、ダイナミック暗号マップを使用できるようになりました。フルメッシュトポロジについては、ダイナミック暗号マップはまだサポートされていません。

トポロジを設定するときは、暗号マップ タイプを指定します。トポロジ内のピアの 1 つに対して、ダイナミック IP アドレスも指定する必要があります。

新規/変更された画面:[デバイス(Devices)] > [VPN] > [サイト間(Site To Site)] > [FTD VPNトポロジの追加/編集(add/edit FTD VPN topology)] > [IPsec] タブ > [暗号マップタイプ(Crypto Map Type)] オプション

サポートされているプラットフォーム: FTD

TLS 暗号化アクセラレーション

SSL ハードウェア アクセラレーションは、TLS 暗号化アクセラレーションに名前が変更されました。デバイスによっては、TLS 暗号化アクセラレーションがソフトウェアまたはハードウェアで実行される場合があります。バージョン 6.4 のアップグレードプロセスでは、この機能を手動で無効にした場合でも、すべての対象デバイスでアクセラレーションが自動的に有効になります。

ほとんどの場合、この機能を設定することはできません。この機能は自動的に有効になり、無効にすることはできません。ただし、Firepower 4100/9300 シャーシのマルチインスタンス機能を使用している場合は、モジュール/セキュリティエンジンごとに、1 つのコンテナインスタンスに対して TLS 暗号アクセラレーションを有効にすることができます。他のコンテナインスタンスに対してアクセラレーションは無効になっていますが、ネイティブインスタンスには有効になっています。

Firepower 4100/9300 シャーシ向けの新しい FXOS CLI コマンド:

  • show hwCrypto

  • config hwCrypto

新しい FTD CLI コマンド:

  • show crypto accelerator status system support ssl-hw-status の代替)

削除された FTD CLI コマンド:

  • system support ssl-hw-accel

  • system support ssl-hw-status

サポートされているプラットフォーム:Firepower 2100 シリーズ、Firepower 4100/9300 シャーシ

イベント、ロギング、および分析

ファイルおよびマルウェアイベントの syslog メッセージの改良

完全修飾ファイルおよびマルウェアのイベントデータが syslog 経由で管理対象デバイスから送信できるようになりました。

新規/変更された画面:[ポリシー(Policies)] > [アクセス制御(Access Control)] > [アクセスコントロール(Access Control)] > [ポリシーの追加/編集(add/edit policy)] > [ロギング(Logging)] タブ > [ファイルおよびマルウェアの設定(File and Malware Settings)] 領域

サポートされているプラットフォーム:すべて

CVE ID による侵入イベントの検索

特定の CVE エクスプロイトの結果として生成された侵入イベントを検索できるようになりました。

新規/変更された画面:[分析(Analysis)] > [検索(Search)]

サポートされているプラットフォーム: FMC

[IntrusionPolicy] フィールドが syslog に含まれるようになった

侵入イベントの syslog メッセージは、イベントをトリガーした侵入ポリシーを指定するようになりました。

サポートされているプラットフォーム:すべて

Cisco Threat Response(CTR)の統合

Cisco Threat Response は、脅威の迅速な検出、調査、および対応に役立つ新しい Cisco Cloud を提供しています。CTR を使用すると、Firepower Threat Defense などの複数の製品から集約されたデータを使用してインシデントを分析できます。詳細については、『Firepower and Cisco Threat Response Integration Guide』を参照してください。

新規/変更された画面:[システム(System)] > [統合(Integration)] > [クラウドサービス(Cloud Services)]

サポートされているプラットフォーム: FTD

Splunk の統合

Splunk のユーザは、新しい個別の Splunk アプリケーションである Cisco Firepower App for Splunk を使用してイベントを分析できます。どの機能を使用できるかは、Firepower のバージョンによって異なります。

サポートされているプラットフォーム: FMC

管理

VMware の FTDv はデフォルトで vmxnet3 インターフェイスに設定される

VMware 上の FTDv は、仮想デバイスを作成するときにデフォルトで vmxnet3 インターフェイスに設定されるようになりました。以前は、デフォルトは e1000 でした。Vmxnet3 のデバイスドライバとネットワーク処理は ESXi ハイパーバイザと統合されているため、使用するリソースが少なくなり、ネットワークパフォーマンスが向上します。

(注)   
e1000 インターフェイスを使用している場合は、切り替えることを強く推奨します。詳細については、『Cisco Firepower Threat Defense Virtual for VMware Getting Started Guide』の VMware インターフェイスの追加と設定の手順を参照してください。

サポートされているプラットフォーム:VMware 上の FTDv

管理インターフェイスで重複アドレス検出(DAD)を無効にする機能

IPv6 を有効にすると、DAD を無効にすることができます。DAD を使用するとサービス拒否攻撃の可能性が拡大するため、DAD は無効にすることができます。この設定を無効にした場合は、すでに割り当てられているアドレスがこのインターフェイスで使用されていないことを手動で確認する必要があります。

新規/変更された画面:[システム(System)] > [設定(Configuration)] > [管理インターフェイス(Management Interfaces)] > [インターフェイス(Interfaces)] 領域 > [インターフェイスの編集(edit interface)] > [IPv6 DAD] チェックボックス

サポートされているプラットフォーム:FMC7000 および 8000 シリーズ

管理インターフェイス上の ICMPv6 エコー応答と宛先到達不能メッセージを無効にする機能

IPv6 を有効にすると、ICMPv6 エコー応答および宛先到達不能メッセージを無効できるようになりました。これらのパケットを無効にすることで、サービス拒否攻撃の可能性から保護します。エコー応答パケットを無効にすると、デバイスの管理インターフェイスにテスト目的で IPv6 ping を使用できなくなります。

新規/変更された画面:

[システム(System)] > [設定(Configuration)] > [管理インターフェイス(Management Interfaces)] > [ICMPv6]

新規/変更されたコマンド:

  • configure network ipv6 destination-unreachable

  • configure network ipv6 echo-reply

サポートされているプラットフォーム:FMC(Web インターフェイスのみ)、管理対象デバイス(CLI のみ)

RADIUS サーバに定義されている FTD ユーザの Service-Type 属性のサポート

FTD CLI ユーザの RADIUS の認証では、以前は RADIUS 外部認証オブジェクトにユーザ名をあらかじめ定義してから、RADIUS サーバに定義されているユーザ名とリストが一致していることを手動で確認する必要がありました。Service-Type 属性を使用して RADIUS サーバで CLI ユーザを定義できるようになりました。また、Basic と Config の両方のユーザロールも定義できます。このメソッドを使用するには、外部認証オブジェクトのシェルアクセスフィルタを空白のままにしてください。

新規/変更された画面:[システム(System)] > [ユーザ(Users)] > [外部認証(External Authentication)] タブ > [外部認証オブジェクトの追加/編集(add/edit external authentication object)] > [シェルアクセスフィルタ(Shell Access Filter)]

サポートされているプラットフォーム: FTD

オブジェクトの使用状況の表示

オブジェクトマネージャでネットワーク、ポート、VLAN、または URL オブジェクトが使用されているポリシー、設定、およびその他のオブジェクトを表示できるようになりました。

新規/変更された画面:[オブジェクト(Objects)] > [オブジェクト管理(Object Management)] > でオブジェクトのタイプを選択し [使用状況の検索(Find Usage)](双眼鏡)アイコン

サポートされているプラットフォーム: FMC

署名済みの SRU、VDB、および GeoDB の更新(セキュリティの拡張)

Firepower は正しい更新ファイルを使用していることが確認できるため、バージョン 6.4 以降では署名済みの更新を侵入ルール(SRU)、脆弱性データベース(VDB)、および地理位置情報データベース(GeoDB)に使用します。以前のバージョンでは、引き続き未署名の更新が使用されます。シスコサポートおよびダウンロードサイト から手動で更新をダウンロードしない限り(たとえば、エアギャップ導入環境の場合)、機能の違いはわかりません。

ただし、SRU、VDB、および GeoDB の更新を手動でダウンロードしてインストールする場合は、必ず現在のバージョンに対応した正しいパッケージをダウンロードしてください。バージョン 6.4 以降の署名付きの更新ファイルの先頭は「Sourcefire」ではなく「Cisco」で、末尾は .sh ではなく .sh.REL.tar です。

  • SRU:Cisco_Firepower_SRU-date-build-vrt.sh.REL.tar

  • VDB:Cisco_VDB_Fingerprint_Database-4.5.0-version.sh.REL.tar

  • GeoDB:Cisco_GEODB_Update-date-build.sh.REL.tar

バージョン 5.x ~ 6.3 の更新ファイルでは、引き続き古い命名方式が使用されています。

  • SRU:Sourcefire_Rule_Update-date-build-vrt.sh

  • VDB:Sourcefire_VDB_Fingerprint_Database-4.5.0-version.sh

  • GeoDB:Sourcefire_Geodb_Update-date-build.sh

シスコは、署名なしの更新を必要とするバージョンのサポートが終了するまで、署名付きと署名なしの両方の更新を提供します。 署名付きの(.tar)パッケージは解凍しないでください。

(注)   
古い FMC または ASA FirePOWER デバイスに署名付きの更新を誤ってアップロードした場合は、手動で削除する必要があります。パッケージを残しておくと、ディスク容量が占有されるほか、今後のアップグレードで問題が発生する可能性もあります。

サポートされているプラットフォーム:すべて

管理対象デバイスのスケジュールされたリモートバックアップ

FMC を使用して、特定の管理対象デバイスのリモートバックアップをスケジュールできるようになりました。以前、スケジュールされたバックアップをサポートしていたのは Firepower 7000/8000 シリーズのデバイスのみで、デバイスのローカル GUI を使用する必要がありました。

新規/変更された画面:[システム(System)] > [ツール(Tools)] > [スケジューリング(Scheduling)] > [タスクの追加/編集(add/edit task)] > [ジョブタイプ:バックアップ(Job Type: Backup)] を選択 > [バックアップのタイプ(Backup Type)] を選択

サポートされているプラットフォーム:FTD の物理プラットフォーム、VMware 用 FTDv、Firepower 7000/8000 シリーズ

例外:FTD のクラスタ化されたデバイスまたはコンテナインスタンスはサポートされていません。

モニタリングおよびトラブルシューティング

URL フィルタリングモニタの改善

URL フィルタリング モニタ アラートの時間しきい値を設定できるようになりました。

新規/変更された画面:[システム(System)] > [健全性(Health)] > [ポリシー(Policy)] > [ポリシーの追加/編集(add/edit policy)] > [URLフィルタリングモニタ(URL Filtering Monitor)]

サポートされているプラットフォーム:すべて

アクセス制御ルールと事前フィルタ ルールのヒットカウント

FTD デバイスのアクセス制御ルールと事前フィルタルールのヒットカウントにアクセスできるようになりました。

新規/変更された画面:

  • [ポリシー(Policies)] > [アクセス制御(Access Control)] > [アクセス制御(Access Control)] > [ポリシーの追加/編集(add/edit policy)] > [ヒットカウントの分析(Analyze Hit Counts)]

  • [ポリシー(Policies)] > [アクセス制御(Access Control)] > [事前フィルタ(Prefilter)] > [ポリシーの追加/編集(add/edit policy)] > [ヒットカウントの分析(Analyze Hit Counts)]

新しいコマンド:

  • show rule hits

  • clear rule hits

  • cluster exec show rule hits

  • cluster exec clear rule hits

  • show cluster rule hits

変更されたコマンド:

  • show failover に HA ピア間のヒットカウントの同期に関連するオブジェクトのスタティックカウントが含まれるようになりました。

サポートされているプラットフォーム: FTD

接続ベースのトラブルシューティング

接続ベースのトラブルシューティングまたはデバッグにおいて、モジュール間で一貫したデバッグが提供され、特定の接続について適切なログを収集します。また、レベルベースのデバッグを最大 7 レベルまでサポートし、lina ログと Snort ログで一貫したログ収集メカニズムを使用できます。

新規/変更されたコマンド:

  • clear packet debugs

  • debug packet start

  • debug packet stop

  • show packet debugs

サポートされているプラットフォーム: FTD

Cisco Success Network の新しいモニタリング機能

Cisco Success Network の次のモニタリング機能を追加しました。

  • CSPA(Cisco Security Packet Analyzer)のクエリ情報

  • FMC で有効になっているコンテキストクロス起動インスタンス

  • TLS/SSL インスペクションイベント

  • Snort の再起動

Cisco Success Network は、テクニカルサポートを提供するために不可欠な使用状況に関する情報と統計情報をシスコに送信します。いつでもオプトインまたはオプトアウトできます。

サポートされているプラットフォーム: FMC

Firepower Management Center REST API

新しい REST API 機能

バージョン 6.4 の機能をサポートするための REST API オブジェクトを追加しました。

  • cloudeventsconfigs:Cisco Threat Response の統合を管理します。

  • ftddevicecluster:シャーシのクラスタリングを管理します。

  • hitcounts:アクセス制御ルールと事前フィルタルールのヒットカウント統計情報を管理します。

  • keychain:OSPFv2 ルーティングの設定時に、認証のローテーションに使用されるキーチェーンオブジェクトを管理します。

  • loggingsettings:アクセス コントロール ポリシーのロギング設定を管理します。

サポートされているプラットフォーム: FMC

OAS に基づく API エクスプローラ

バージョン 6.4 は OpenAPI 仕様(OAS)に基づいて、新しい API エクスプローラを使用します。OAS の一部として、CodeGen を使用してサンプルコードを生成するようになりました。必要に応じて、レガシー API エクスプローラにもアクセスできます。

サポートされているプラットフォーム: FMC

パフォーマンス

Snort 再起動の改善

バージョン 6.4 より以前では、Snort の再起動中、暗号化された接続のうち、「復号しない」 SSL ルールまたはデフォルト ポリシー アクションに一致したものがシステムによってドロップされていました。現在は、大きなフローオフロードまたは Snort preserve-connection を無効にしていない限り、ルーテッド/透過トラフィックはドロップされずにインスペクションなしで通過します。

サポートされているプラットフォーム:Firepower 4100/9300

選択された IPS トラフィックのパフォーマンスの向上

出力最適化は、選択された IPS トラフィックを対象としたパフォーマンス機能です。この機能は、すべての FTD プラットフォームでデフォルトで有効になっています。

バージョン 6.4 のアップグレードプロセスでは、対象デバイスでの出力最適化が有効になります。詳細については、『Cisco Firepower Threat Defense Command Reference』を参照してください。出力最適化に関する問題をトラブルシューティングCisco TACするには、にお問い合わせください。

サポートされているプラットフォーム: FTD

新規/変更されたコマンド:

  • asp inspect-dp egress optimization

  • show asp inspect-dp egress optimization

  • clear asp inspect-dp egress optimization

  • show conn state egress_optimization

SNMP イベントロギングの高速化

外部 SNMP トラップサーバに侵入イベントと接続イベントを送信する際のパフォーマンスが向上しました。

サポートされているプラットフォーム:すべて

展開の高速化

アプライアンスの通信と展開フレームワークが向上しました。

サポートされているプラットフォーム: FTD

アップグレードの高速化

イベントデータベースが向上しました。

サポートされているプラットフォーム:すべて

Firepower Device Manager/FTD バージョン 6.4.0 の新機能

リリース日:2019 年 4 月 24 日

次の表に、Firepower Device Manager を使用して設定された場合に FTD 6.4.0 で使用できる新機能を示します。

表 2.

機能

説明

Firepower 1000 シリーズ デバイス設定

Firepower Device Manager を使用して、Firepower 1000 シリーズ デバイスで Firepower Threat Defense を設定できます。

Power over Ethernet(PoE)ポートを通常のイーサーネットポートとして使用することはできますが、PoE に関連するプロパティを有効にしたり設定することはできないことにご注意ください。

ISA 3000 のハードウェアバイパス

[デバイス(Device)] > [インターフェイス(Interfaces)] ページで ISA 3000 のハードウェアバイパスを設定できるようになりました。リリース 6.3 では、FlexConfig を使用してハードウェアバイパスを設定する必要がありました。FlexConfig を使用している場合は、[インターフェイス(Interfaces)] ページの設定をやり直し、FlexConfig からハードウェア バイパス コマンドを削除してください。ただし、TCP シーケンス番号のランダム化を無効にする専用の FlexConfig の部分は引き続き推奨されます。

FDM CLI コンソールからシステムを再起動およびシャットダウンする機能

FDM で CLI コンソールを使用して reboot コマンドと shutdown コマンドを発行できるようになりました。以前は、システムを再起動またはシャットダウンするために、デバイスへの個別の SSH セッションを開く必要がありました。これらのコマンドを使用するには、管理者権限が必要です。

RADIUS を使用した FTD CLI ユーザの外部認証および認可

FTD CLI にログインするユーザを、外部 RADIUS サーバを使用して認証および許可できます。外部ユーザに構成(管理者)または基本(読み取り専用)のアクセス権を付与できます。

[デバイス(Device)] > [システム設定(System Settings)] > [管理アクセス(Management Access)] ページで、SSH 設定を [AAA設定(AAA Configuration)] タブに追加しました。

ネットワーク範囲オブジェクトとネストされたネットワーク グループ オブジェクトのサポート

IPv4 アドレスまたは IPv6 アドレスの範囲を指定するネットワークオブジェクトと、その他のネットワークグループ(つまりネストされたグループ)を含むネットワーク グループ オブジェクトを作成できるようになりました。

これらの機能を含むようにネットワークオブジェクトとネットワーク グループ オブジェクトの [追加/編集(Add/Edit)] ダイアログボックスを変更し、その種類のアドレス指定がポリシーの文脈の中で合理的か否かを条件として、これらのオブジェクトを使用できるようにさまざまなセキュリティポリシーを変更しました。

オブジェクトとルールの全文検索オプション

オブジェクトとルールで全文検索を行うことができます。大量の項目を有するポリシーまたはオブジェクトのリストを検索することで、ルールまたはオブジェクト内の任意の場所にある検索文字列を含むすべての項目を検索できます。

ルールを持つすべてのポリシーと [オブジェクト(Object)] リストのすべてのページに検索ボックスを追加しました。さらに、API でサポートされているオブジェクトの GET 呼び出しに filter=fts~search-string オプションを使用して、全文検索に基づいて項目を取得することもできます。

FDM 管理対象 FTD デバイスでサポートされている API バージョンのリストの取得

GET/api/versions(ApiVersions)メソッドを使用して、デバイスでサポートされる API バージョンのリストを取得できます。API クライアントを使用すると、サポートされるバージョンで有効なコマンドと構文を使用したデバイスへの通信および設定を行うことができます。

FTD REST API バージョン 3(v3)

ソフトウェアバージョン 6.4 向けの FTD REST API のバージョン番号が 3 になりました。API の URL の v1/v2 を v3 に置き換える必要があります。v3 の API には、ソフトウェアバージョン 6.4 で追加されたすべての機能に対応する多数の新しいリソースが含まれています。使用しているリソースモデルに変更が加えられている可能性があるため、既存のすべての呼び出しを再評価してください。リソースを表示できる API エクスプローラを開くには、ログインした後に、Firepower Device Manager の URL の最後を /#/api-explorer に変更します。

アクセス制御ルールのヒットカウント

アクセス制御ルールのヒットカウントを表示できるようになりました。ヒットカウントは、接続がルールに一致する頻度を示します。

ヒットカウント情報が含まれるようにアクセス コントロール ポリシーを更新しました。FTD API では、HitCounts リソース、includeHitCounts オプション、および filter=fetchZeroHitCounts オプションを GET アクセスポリシールールのリソースに追加しました。

ダイナミックアドレス指定と証明書認証のためのサイト間 VPN の強化

ピアの認証に事前共有キーではなく証明書を使用したサイト間 VPN 接続を設定できるようになりました。リモートピアに不明な(ダイナミック)IP アドレスがある接続も設定できます。サイト間 VPN ウィザードと IKEv1 ポリシーオブジェクトにオプションを追加しました。

リモートアクセス VPN での RADIUS サーバと認可変更のサポート

RADIUS サーバを使用して、リモートアクセス VPN(RA VPN)ユーザの認証、認可、およびアカウンティングができるようになりました。ダイナミック認証とも呼ばれる認証の変更(CoA)を設定して、Cisco ISE RADIUS サーバの使用時に、認証後にユーザの認証を変更することもできます。

RADIUS サーバとサーバグループオブジェクトに属性を追加し、RA VPN 接続プロファイル内の RADIUS サーバグループを選択できるようになりました。

リモートアクセス VPN の複数の接続プロファイルとグループポリシー

複数の接続プロファイルを設定し、そのプロファイルで使用するグループポリシーを作成できます。

接続プロファイルおよびグループポリシーが別々のページとなるように [デバイス(Device)] > [リモートアクセスVPN(Remote Access VPN)] ページを変更し、グループポリシーを選択できるように RA VPN 接続ウィザードを更新しました。以前はウィザードで設定していた項目の一部は、グループポリシーで設定するようになります。

証明書ベースの 2 番目の認証ソース、およびリモートアクセス VPN での二要素認証のサポート

ユーザ認証に証明書を使用したり、接続を確立する前にユーザを 2 回認証する必要があるセカンダリ認証ソースを設定することができます。2 番目の認証要素として RSA トークンまたは Duo パスコードを使用して二要素認証を設定することもできます。

これらの追加オプションの設定をサポートするように RA VPN 接続ウィザードを更新しました。

複数のアドレス範囲を持つ IP アドレスプールとリモートアクセス VPN 向けの DHCP アドレスプールのサポート

サブネットを指定する複数のネットワークオブジェクトを選択することで、複数のアドレス範囲を持つアドレスプールを設定できるようになりました。さらに、DHCP サーバ内にアドレスプールを設定し、このサーバを使用して RA VPN クライアントにアドレスを提供することもできます。RADIUS を認証に使用する場合は、代替的に RADIUS サーバ内にアドレスプールを設定できます。

これらの追加オプションの設定をサポートするように RA VPN 接続ウィザードを更新しました。必要に応じて、接続プロファイルではなくグループポリシーでアドレスプールを設定できます。

Active Directory レルムの強化

単一のレルムで最大 10 の冗長 Active Directory(AD)サーバを含めることができます。複数のレルムを作成し、不要なレルムを削除することもできます。さらに、レルム内のダウンロードユーザ上限が、以前のリリースの 2,000 から 50,000 にまで増加されました。

複数のレルムとサーバをサポートするように、[オブジェクト(Objects)] > [アイデンティティソース(Identity Sources)] ページを更新しました。レルム内のすべてのユーザにルールを適用するため、アクセス制御のユーザ条件と SSL 復号ルールでレルムを選択することができます。アイデンティティルールと RA VPN 接続プロファイルでレルムを選択することもできます。

ISE サーバの冗長性サポート

パッシブ認証向けの ID ソースとして Cisco Identity Services Engine(ISE)を設定する際に、ISE ハイアベイラビリティ設定がある場合は、セカンダリ ISE サーバを設定できるようになりました。

セカンダリサーバの属性を ISE アイデンティティ オブジェクトに追加しました。

ファイル/マルウェアイベントを外部 syslog サーバに送信

アクセス制御ルールで設定されたファイルポリシーによって生成されるファイル/マルウェアイベントを受信するように、外部 syslog サーバを設定できるようになりました。ファイルイベントはメッセージ ID 430004 を使用し、マルウェアイベントは 430005 を使用します。

ファイル/マルウェア syslog サーバのオプションを、[デバイス(Device)] > [システム設定(System Settings)] > [ログの設定(Logging Settings)] ページに追加しました。

内部バッファのログおよびカスタムイベントのログフィルタのサポート

システムログの宛先として内部バッファを設定できるようになりました。さらに、イベントログフィルタを作成して、syslog サーバおよび内部バッファのログの宛先に対して生成されるメッセージをカスタマイズできます。

イベント ログ フィルタ オブジェクトを [オブジェクト(Objects)] ページに追加し、オブジェクトを使用する機能を [デバイス(Device)] > [システム設定(System Settings)] > [ログの設定(Logging Settings)] ページに追加しました。内部バッファオプションも [ログの設定(Logging Settings)] ページに追加しました。

Firepower Device Manager の Web サーバ向けの証明書

Firepower Device Manager の設定インターフェイスへの HTTPS 接続に使用される証明書を設定できるようになりました。Web ブラウザがすでに信頼している証明書をアップロードすることで、デフォルトの内部証明書を使用するときに、Untrusted Authority メッセージを回避できます。[デバイス(Device)] > [システム設定(System Settings)] > [管理アクセス(Management Acces)] > [管理Webサーバ(Management Web Server)] ページを追加しました。

Cisco Threat Response のサポート

Cisco Threat Response のクラウドベースのアプリケーションに侵入イベントを送信するようにシステムを設定することができます。Cisco Threat Response は侵入分析に使用できます。

Cisco Threat Response を [デバイス(Device)] > [システム設定(System Settings)] > [クラウドサービス(Cloud Services)] ページに追加しました。

廃止された機能

このトピックでは、Firepower バージョンで廃止された機能とプラットフォームを示します。アップグレードパスが 1 つ以上のメジャーバージョンをスキップする場合は、中間リリースの情報を確認する必要があります。

廃止されたプラットフォームの販売終了およびサポート終了の通知へのリンクを含む、サポートされているすべての Firepower バージョンの詳細な互換性情報については、『Cisco Firepower Compatibility Guide』を参照してください。

バージョン 6.4.0 で廃止された機能

これらの機能はバージョン 6.4.0 で廃止されました。

表 3. バージョン 6.4.0 で廃止された機能
機能 説明

SSL ハードウェア アクセラレーション FTD CLI コマンド

TLS crypto アクセラレーション機能の一部として、次の FTD CLI コマンドを削除しました。

  • system support ssl-hw-accel enable

  • system support ssl-hw-accel disable

  • system support ssl-hw-status

代替手段の詳細については、新しい機能のマニュアルを参照してください。

バージョン 6.3.0 で廃止された機能

これらの機能はバージョン 6.3.0 で廃止されました。

表 4. バージョン 6.3.0 で廃止された機能
機能 説明

復号化のための EMS 拡張機能のサポート(6.3.0 のみ)

バージョン 6.3.0 では、バージョン 6.2.3.8/6.2.3.9 で導入された EMS 拡張機能のサポートが中止されます。つまり、[復号 - 再署名(Decrypt-Resign)] と [復号 - 既知のキー(Decrypt-Known Key)] の両方の SSL ポリシーアクションが、ClientHello ネゴシエーション時に EMS 拡張機能をサポート(よりセキュアな通信が可能)しなくなります。EMS 拡張機能は、 RFC 7627 によって定義されています。

FMC 展開では、この機能は、デバイスのバージョンによって異なります。FMC をバージョン 6.3.0 にアップグレードしても、サポートされるバージョンがデバイスで実行されていれば、サポートは中止されません。ただし、デバイスをバージョン 6.3.0 にデバイスをアップグレードすると、サポートは中止されます。

サポートはバージョン 6.3.0.1 で再導入されています。

パッシブおよびインライン タップ インターフェイスの復号化

バージョン 6.3.0 では、パッシブモードまたはインラインタップモードのインターフェイスでの復号化トラフィックは、GUI を介して設定することはできますが、サポートされなくなりました。暗号化されたトラフィックのインスペクションは必然的に制限されます。

VMware 5.5 のホスティング

バージョン 6.3.0 以降の仮想展開は VMware vSphere/VMware ESXi 5.5 でテストされていません。Firepower ソフトウェアをアップグレードする前に、ホスティング環境をアップグレードすることをお勧めします。

Firepower ソフトウェアを搭載した ASA 5506-X シリーズおよび ASA 5512-X デバイス

これらのモデルでは、Firepower ソフトウェア(FTD と ASA FirePOWER の両方)のバージョン 6.3.0 以降へのアップグレードまたは新規インストールはできません。

  • ASA 5506-X、5506H-X、5506W-X

  • ASA 5512-X

ただし、バージョン 6.3.0 の FMC を使用して、古いデバイス(バージョン 6.1.0 ~ 6.2.3.x)を管理できます。

バージョン 6.2.0 で廃止された機能

これらの機能はバージョン 6.2.0 で廃止されました。

表 5. バージョン 6.2.0 で廃止された機能
機能 説明

ネストされた相関ルール

バージョン 6.2.0 では、ネストされた相関ルールのサポートが終了します。ある相関ルールが別の相関ルールのトリガーとなっている場合、その相関ルールはネストされています。 たとえば、どちらも侵入イベントのトリガーであるルール A とルール B を作成する場合、「ルール A は true」をルール B の制約として使用できます。この設定では、ルール A はルール B 内にネストされています。

自動設定の変更

アップグレードプロセスは、ネストされたルール(ルール A)からネストされたルール(ルール B)へ設定をコピーしてネストされたルールを削除することで、特定のネストされた相関ルールを「フラット化」します。また、アップグレードは、ホストプロファイル/ユーザ資格とスヌーズ/非アクティブ期間を、ネストされたルールからネストルールへコピーします。

非アクティブ期間を除いて、これらのすべての設定について、設定がネストルールに存在しない場合にのみ、システムはネストされたルールからネストルールへ設定をコピーできます。システムがネストされたルールからネストルールへ非アクティブ期間をコピーするときは、結果として生じるルールがネスト構成にもともと含まれる両方のルールの設定を使用するように、ネストルールの非アクティブ期間を保持します。

アップグレードの失敗の回避

アップグレードする前に、ネストされた相関ルールを「フラット化」できることを確認してください。そうなっていなければ、アップグレードは失敗します。ネストされたルールとネストルールに特定の競合がある場合は、アップグレードによりネストされたルールをフラット化できないことに注意してください。アップグレードの失敗を回避するには、アップグレードの前に、以下のように相関ルールを変更します。

  • ネストされた構成内で 1 つのルールだけがこれらの設定を指定するように、ホスト プロファイル資格、ユーザ資格、スヌーズ期間の設定をネストされたルールまたはネストルールから削除します。

  • 接続トラッカーを任意のネストされたルールから削除します。

  • ホストプロファイル資格、ユーザ資格、スヌーズ期間、非アクティブ期間を、true にする必要がないネストされたルールから削除します。つまり、ネストルール内の OR 演算子を使用して他のルールの条件にリンクされているネストされたルールから、これらの要素を削除します。

廃止された FlexConfig コマンド

いくつかの Firepower Threat Defense の機能は、ASA 設定コマンドを使用して設定されます。バージョン 6.2(FMC 展開)またはバージョン 6.2.3(FDM 展開)以降では、Smart CLI または FlexConfig を使用して、他の方法では Web インターフェイスでサポートされないさまざまな ASA 機能を手動で設定できます。

FTD アップグレードにより、以前に FlexConfig を使用して設定した機能について、GUI またはスマート CLI のサポートが追加されることがあります。これにより、現在使用している FlexConfig コマンドが廃止される可能性があります。既存の設定は引き続き動作し、展開も可能ですが、新しく廃止されたコマンドを使用して FlexConfig オブジェクトを割り当てたり作成したりすることはできなくなります。

アップグレード後、FlexConfig ポリシーおよび FlexConfig オブジェクトを確認してください。廃止されたコマンドが含まれている場合、メッセージは問題を示します。設定をやり直すことをお勧めします。新しい設定を確認したら、問題のある FlexConfig オブジェクトまたは FlexConfig コマンドを削除できます。

Firepower Management Center を使用した FTD

次の表に、廃止された FlexConfig オブジェクトとそれらに関連付けられているテキストオブジェクトを示します。事前定義されたオブジェクトの完全なリストについては、『Firepower Management Center Configuration Guide』を参照してください。

表 6. FMC を使用した FTD:廃止された FlexConfig オブジェクト
非推奨メソッド オブジェクト 詳細 新しいロケーション

6.3.0 以降

FlexConfig オブジェクト:

  • Default_DNS_Configure

関連するテキストオブジェクト:

  • defaultDNSNameServerList

  • defaultDNSParameters

デフォルト DNS グループを設定します。デフォルト DNS グループでは、データインターフェイスの完全修飾ドメイン名を解決する際に使用できる DNS サーバを定義します。これにより、IP アドレスではなくホスト名を使用して、CLI で ping などのコマンドを使用することができます。

FTD プラットフォーム設定ポリシーで、データインターフェイスの DNS を設定します。

6.3.0 以降

FlexConfig オブジェクト:

  • TCP_Embryonic_Conn_Limit

  • TCP_Embryonic_Conn_Timeout

関連するテキストオブジェクト:

  • tcp_conn_misc

  • tcp_conn_limit

  • tcp_conn_timeout

初期接続制限およびタイムアウトを設定して SYN フラッドサービス妨害(DoS)攻撃から保護します。

これらの機能は、FTD サービスポリシーで設定します。ポリシーは、デバイスに割り当てられているアクセス制御ポリシーの [詳細設定(Advanced)] タブで確認できます。

次の表に、バージョン 6.2.3+ で、FDM を使用した FTD で新たに廃止された CLI コマンドの一覧を示します。機能がバージョン 6.2.0 に導入されたときに廃止されたコマンドを含む、廃止されたコマンドの完全なリストについては、『Firepower Management Center Configuration Guide』を参照してください。

表 7. FMC を使用した FTD:廃止された CLI コマンド
非推奨メソッド コマンド 詳細

6.2.3 以降

pager

設定がブロックされます。

Firepower Device Manager を使用した FTD

次の表に、バージョン 6.3.0+ で、FDM を使用した FTD で新たに廃止された CLI コマンドの一覧を示します。機能がバージョン 6.2.3 に導入されたときに廃止されたコマンドを含む、廃止されたコマンドの完全なリストについては、『Cisco Firepower Threat Defense Configuration Guide for Firepower Device Manager』を参照してください。

表 8. FDM を使用した FTD:廃止された CLI コマンド
非推奨メソッド コマンド 詳細

6.3.0 以降

access-list

extended および standard アクセスリストは作成できなくなりました。Smart CLI 拡張アクセスリストまたは標準アクセスリストオブジェクトを使用してこれらの ACL を作成します。その後、それらは、サービス ポリシー トラフィック クラス用の拡張 ACL により、オブジェクト名によって ACL を参照する FlexConfig サポートコマンド(match access-list など)で使用できます。

6.3.0 以降

as-path

スマート CLI AS パスオブジェクトを作成し、それらをスマート CLI BGP オブジェクトで使用して、自律システムパスフィルタを設定します。

6.3.0 以降

community-list

スマート CLI 拡張コミュニティ リスト オブジェクトまたは標準コミュニティ リスト オブジェクトを作成し、それらをスマート CLI BGP オブジェクトで使用して、コミュニティリストフィルタを設定します。

6.3.0 以降

dns-group

[オブジェクト(Objects)] > [DNSグループ(DNS Groups)] を使用して DNS グループを設定し、[デバイス(Device)] > [システム設定(System Settings)] > [DNSサーバ(DNS Server)] を使用してグループを割り当てます。

6.3.0 以降

policy-list

スマート CLI ポリシーリストオブジェクトを作成し、それらをスマート CLI BGP オブジェクトで使用して、ポリシーリストを設定します。

6.3.0 以降

prefix-list

スマート CLI IPv4 プレフィックス リスト オブジェクトを作成し、それらをスマート CLI OSPF オブジェクトまたはスマート CLI BGP オブジェクトで使用して、IPv4 用のプレフィックス リスト フィルタリングを設定します。

6.3.0 以降

route-map

スマート CLI ルートマップオブジェクトを作成し、それらをスマート CLI OSPF オブジェクトまたはスマート CLI BGP オブジェクトで使用して、ルートマップを設定します。

6.3.0 以降

router bgp

BGP には Smart CLI テンプレートを使用します。

FMC メニューの変更

次の表に、変更された Firepower Management Centerメニュー(移動されたページ)を示します。新規および削除されたメニューオプションについては、新機能および廃止された機能のマニュアルを参照してください。

表 9. Firepower Management Center メニューの変更
バージョン 新しいメニューパス 古いメニューパス

6.4.0

[システム(System)] > [統合(Integration)] > [クラウドサービス(Cloud Services)]

[システム(System)] > [統合(Integration)] > [Cisco CSI]

6.3.0

[分析(Analysis)] > [検索(Lookup)] > [Whois]

[分析(Analysis)] > [詳細(Advanced)] > [Whois]

6.3.0

[分析(Analysis)] > [検索(Lookup)] > [位置情報(Geolocation)]

[分析(Analysis)] > [詳細(Advanced)] > [位置情報(Geolocation)]

6.3.0

[分析(Analysis)] > [検索(Lookup)] > [URL]

[分析(Analysis)] > [詳細(Advanced)] > [URL]

6.3.0

[分析(Analysis)] > [カスタム(Custom)] > [カスタムワークフロー(Custom Workflows)]

[分析(Analysis)] > [詳細(Advanced)] > [カスタムワークフロー(Custom Workflows)]

6.3.0

[分析(Analysis)] > [カスタム(Custom)] > [カスタムテーブル(Custom Tables)]

[分析(Analysis)] > [詳細(Advanced)] > [カスタムテーブル(Custom Tables)]

6.3.0

[分析(Analysis)] > [脆弱性(Vulnerabilities)] > [脆弱性(Vulnerabilities)]

[分析(Analysis)] > [ホスト(Hosts)] > [脆弱性(Vulnerabilities)]

6.3.0

[分析(Analysis)] > [脆弱性(Vulnerabilities)] > [サードパーティの脆弱性(Third Party Vulnerabilities)]

[分析(Analysis)] > [ホスト(Hosts)] > [サードパーティの脆弱性(Third-Party Vulnerabilities)]

FMC How-To ウォークスルー

バージョン 6.3.0 では、デバイスのセットアップやポリシー設定などのさまざまな基本タスクについて順を追って説明する、FMC に関するウォークスルー(How-To とも呼ばれる)が導入されています。ブラウザウィンドウの下部にある [How To] をクリックし、ウォークスルーを選択して、手順ごとの説明に従って操作します。


(注)  

ウォークスルーは Firefox および Chrome ブラウザでテストされています。別のブラウザで問題が発生した場合は、Firefox または Chrome に切り替えてください。問題が解消されない場合は、Cisco TAC にお問い合わせください。

次の表に、一般的な問題点と解決策をいくつか示します。ウォークスルーは、右上隅の [x] をクリックするといつでも終了できます。

表 10. ウォークスルーのトラブルシューティング
問題 ソリューション

ウォークスルーを開始するための [How To] リンクが見つからない。

ウォークスルーが有効になっていることを確認します。ユーザ名の下にあるドロップダウンリストから [ユーザ設定(User Preferences)] を選択し、[How-To設定(How-To Settings)] をクリックします。

ウォークスルーが予期しないタイミングで表示される。

ウォークスルーが予期しないタイミングで表示される場合は、ウォークスルーを終了します。

ウォークスルーが突然消えたり終了したりする。

ウォークスルーが消えた場合は、次のようにします。

  • ポインタを移動します。

    FMC で進行中のウォークスルーが表示されなくなることがあります。たとえば、別のトップレベルメニューをポイントすると表示されなくなります。

  • 別のページに移動してもう一度やり直します。

    ポインタを移動しても表示されない場合は、ウォークスルーが終了している可能性があります。

ウォークスルーが FMC と同期していない。

  • 誤った手順から開始される。

  • 進行が早すぎる。

  • 先に進まない。

ウォークスルーが同期していない場合は、次のようにします。

  • 続行します。

    たとえば、フィールドに無効な値を入力してエラーが表示された場合は、ウォークスルーが先に進行することがあります。戻ってエラーを解決してタスクを完了することが必要になる場合があります。

  • ウォークスルーを終了し、別のページに移動してもう一度やり直します。

    場合によっては続行できないこともあります。たとえば、手順の完了後に [次へ(Next)] をクリックしないと、ウォークスルーの終了が必要になる場合があります。