プラットフォーム機能
|
Cisco Secure Firewall 1230、1240、および 1250(ラックマウント)。
|
|
Cisco Secure Firewall 1210CP IEEE 802.3bt のサポート(PoE++ および Hi-PoE)。
|
IEEE 802.3bt のサポートに関連する次の改善が行われました。
-
PoE++ と Hi-PoE:ポートあたり最大 90 W。
-
シングルシグネチャおよびデュアルシグネチャの受電デバイス(PD)。
-
パワーバジェットが先着順で行われます。
-
show power inline にパワーバジェットフィールドが追加されました。
新しい/変更された画面:
新規/変更されたコマンド: show power inline
|
AWS、Azure、GCP のインスタンス。
|
次のファミリから Threat Defense Virtual のインスタンスを追加しました。
-
AWS(Amazon Web Services):C6i、C6a
-
Azure(Microsoft Azure):Dv4、Dv5
-
GCP(Google Cloud Platform):E2、N1、N2D、C2D
参照: Cisco Secure Firewall Threat Defense Virtual スタートアップガイド
|
ISO ベースの cloud-init シーディングを使用した VMware 向け Threat Defense Virtual の自動プロビジョニング。
|
|
ファイアウォールと IPS の機能
|
インラインセットのハードウェアバイパスのサポート。
|
デバイスモデルがハードウェアバイパスをサポートしている場合、サポートされているインターフェイスを含むインラインセットに設定できるようになりました。
インラインセット設定に [バイパス(Bypass)] オプションが追加されました。
|
廃止:Snort 2
|
アップグレードの影響。Snort 2 デバイスはアップグレードできません。 Snort 2 は廃止されました。Snort 2 デバイスをバージョン 7.7.0 以降にアップグレードすることはできません。show snort counters および show snort preprocessor-memory-usage コマンドと同様、Snort 2 に切り替える機能は削除されました。
アップグレードする前に、Snort 3 に切り替えてください。現在のバージョンに対応するガイドの「侵入ポリシー」の章を参照してください: Cisco Secure Firewall Device Manager 設定ガイド。
|
管理機能
|
カスタムログインページ。
|
デバイス マネージャのログイン ページはカスタマイズできます。これには、ログイン ページに画像やテキストを追加することが含まれます。たとえば、免責事項と警告を含めて、ユーザーにログイン前の同意を求めることができます。このテキストは、SSH セッションでも表示されます。
ページが追加されました。
|
Google リモートプロシージャコール(gRPC)を使用したカスタム ストリーミング テレメトリ。
|
Google リモートプロシージャコール(gRPC)を使用してデータを収集する外部テレメトリコレクタに、システムの正常性とテレメトリデータを送信するようにデバイスを設定できます。その後、テレメトリコレクタを使用してデバイスをモニターし、カスタム
テレメトリ ソリューションと統合できます。
この機能を設定するには、 API を使用します(/devicesettings/default/telemetrystreamingconfig)。
|
Performance
|
高可用性 Threat Defense の迅速なフェールオーバー。
|
Threat Defense の高可用性フェールオーバーにより、新しいアクティブデバイスが MAC アドレスエントリごとにマルチキャストパケットを生成して、すべてのブリッジ グループ インターフェイスに送信し、アップストリームスイッチにルーティングテーブルを更新させます。このタスクは、データプレーンで非同期的に実行され、コントロールプレーンでの重要なフェールオーバータスクに特権が与えられるようになりました。これにより、フェールオーバーが迅速になり、ダウンタイムが減少します。
|
広帯域幅で暗号化されたアプリケーション トラフィックは、侵入インスペクションを不要なものとしてバイパスします。
|
特定の広帯域幅の暗号化されたアプリケーション トラフィックは、接続が許可ルールに一致する場合でも、侵入インスペクションを不要なものとしてバイパスするようになりました。侵入ルール(LSP)と脆弱性データベース(VDB)の更新により、バイパスされるアプリケーションが変更される可能性がありますが、現時点では、AnyConnect、IPsec、iCloud
プライベート リレー、QUIC(HTTP/3 を含む)、Secure RTCP になっています。
|
FlexConfig を使用した、ブロックの枯渇からの Threat Defense の自動回復の設定。
|
サービスの中断によるダウンタイムを減らすために、新しい障害マネージャによりブロックの枯渇がモニターされて、必要に応じてデバイスが自動的にリロードされます。高可用性展開では、これによりフェールオーバーがトリガーされます。障害モニタリングは、新しいデバイスとアップグレードされたデバイスで自動的に有効になります。無効にするには、FlexConfig
を使用します。
新規/変更された FlexConfig コマンド:
-
fault-monitor block-depletion recovery-action { none| reload}
none を指定すると、自動リロードはオフになりますが、障害モニタリングはオフになりません。これを行うには、no fault-monitoring を使用します。
-
fault-monitor block-depletion monitor-interval seconds
新規/変更された Threat Defense CLI コマンド:show fault-monitor block-depletion{ status| statistics}
|
トラブルシューティング
|
CPU プロファイラにアプリケーション識別の統計が含まれる。
|
CPU プロファイラに、アプリケーション識別の統計が含まれるようになりました。CPU プロファイリング(cpu profile activate )を有効にすると、特定のアプリケーション トラフィックの処理で使用されるリソースを確認できるようになりました。
新規/変更された CLI コマンド:system support appid-cpu-profiling status 、system support appid-cpu-profiling dump
参照: Cisco Secure Firewall Threat Defense コマンドリファレンス
|
新しい IP フロー統計。
|
Cisco TAC の指示で脅威防御デバイスから IP フロー統計を収集する際に、新しい all パラメータは追加の統計(ポート、プロトコル、アプリケーション、累積遅延、および検査時間)を、指定されたファイルにログ記録します。
新規/変更されたコマンド:system support flow-ip-profiling start flow-ip-file filename all { enable| disable}
Cisco Secure Firewall Threat Defense コマンドリファレンスを参照してください。
|
セキュリティと強化
|
Threat Defense CLI の Basic ユーザーのユーザー権限の制限。
|
Threat Defense CLI の Basic ユーザー権限の範囲が dig、ping、traceroute の各コマンドに制限されるようになりました。Basic 権限を持つユーザーを作成した場合は、そのユーザーを Config 権限に変更する必要があるかどうかを判断してください。ユーザーの権限レベルを変更するには、configure user access コマンドを使用します。
参照: Cisco Secure Firewall Threat Defense コマンドリファレンス
|
すべての RADIUS 応答に Message-Authenticator 属性が必要です。
|
アップグレードの影響。アップグレード後、既存のサーバーに対して有効にします。
すべての RADIUS 応答で Message-Authenticator 属性を要求できるようになりました。これにより、Threat Defense VPN ゲートウェイで、RA VPN 用でもデバイス自体へのアクセス用でも、RADIUS サーバーからのすべての応答を安全に検証できるようになります。
新しい RADIUS サーバーでは、[すべてのRADIUS応答にメッセージオーセンティケータを要求(Require Message-Authenticator for all RADIUS Responses)] オプションがデフォルトで有効になっています。既存のサーバーでも有効にすることを推奨します。無効にすると、ファイアウォールが攻撃にさらされる可能性があります。
新しい CLI コマンド:message-authenticator-required
バージョンの制限:バージョン 7.0.7 以降/7.7.0 以降が必要です。
|