Cisco Secure Firewall 3130 および 3140 は次のネットワークモジュールをサポートするようになりました。

• 2 ポート 100G QSFP+ ネットワークモジュール（FPR3K-XNM-2X100G）

参照： Cisco Secure Firewall 3100 シリーズ ハードウェア設置ガイド

Firepower 9300 は、次の光トランシーバをサポートするようになりました。

• QSFP-40/100-SRBD

• QSFP-100G-SR1.2

• QSFP-100G-SM-SR

以下のネットワークモジュールでサポート：

• FPR9K-NM-4X100G

• FPR9K-NM-2X100G

• FPR9K-DNM-2X100G

参照：Cisco Firepower 9300 ハードウェア設置ガイド

プラットフォーム設定ポリシーで使用可能なパフォーマンスプロファイル設定が、Cisco Secure Firewall 3100 に適用されるようになりました。以前は、この機能は Firepower 4100/9300、Cisco Secure Firewall 4200、および Firewall Threat Defense Virtual でサポートされていました。

Azure と GCP の Firewall Threat Defense Virtual で診断インターフェイスを使用しないで展開できるようになりました。以前は、1 つの管理インターフェイス、1 つの診断インターフェイス、および少なくとも 2 つのデータインターフェイスが必要でした。新しいインターフェイスの要件：

• Azure：管理 1、データ 2（最大 8）

• GCP：管理 1、データ 3（最大 8）

制約事項：この機能は、新規展開でのみサポートされます。アップグレードされたデバイスではサポートされていません。

参照： Cisco Secure Firewall Threat Defense Virtual スタートアップガイド

Azure の Firewall Threat Defense Virtual を使用して、Microsoft Azure Virtual WAN ハブを介してトラフィックを検査および保護できるようになりました。この統合により、ハブ内のすべてのスポークに一貫して簡単にセキュリティポリシーと設定を適用し、組み込みの拡張性およびロードバランサ機能を活用して最適なパフォーマンスを実現できます。

参照： Cisco Secure Firewall Threat Defense Virtual スタートアップガイド

Firewall Threat Defense プラットフォーム設定（NetFlow、SSH アクセス、SNMP ホスト、syslog サーバー）で設定されたデバイス管理サービスが、ユーザー定義の Virtual Routing and Forwarding（VRF）インターフェイスでサポートされるようになりました。

プラットフォームの制限：コンテナインスタンスまたはクラスタ化されたデバイスではサポートされていません。

Secure Firewall 3100 は、単一のデバイス（アプライアンスモード）または複数のコンテナインスタンス（マルチインスタンスモード）として展開できます。マルチインスタンスモードでは、完全に独立したデバイスとして機能する複数のコンテナインスタンスを 1 つのシャーシに展開できます。マルチインスタンスモードでは、コンテナインスタンスのアップグレード（Firewall Threat Defense のアップグレード）とは別に、オペレーティングシステムとファームウェアがアップグレード対象（シャーシのアップグレード）になることに注意してください。

新規/変更された画面：

• [デバイス（Devices）] > [デバイス管理（Device Management）] > [追加（Add）] > [シャーシ（Chassis）]

• [デバイス（Devices）] > [デバイス管理（Device Management）] > [デバイス（Device）] > [シャーシマネージャ（Chassis Manager）]

• [デバイス（Devices）] > [プラットフォーム設定（Platform Settings）] > [新しいポリシー（New Policy）] > [シャーシプラットフォーム設定（Chassis Platform Settings）]

• [デバイス（Devices）] > [シャーシのアップグレード（Chassis Upgrade）]

新規/変更された Firewall Threat Defense CLI コマンド：configure multi-instance network ipv4 、configure multi-instance network ipv6

新規/変更された FXOS CLI コマンド：create device-manager 、set deploymode

プラットフォームの制限：Cisco Secure Firewall 3105 ではサポートされていません。

VMware の Firewall Threat Defense Virtual と KVM の Firewall Threat Defense Virtual に 16 ノードクラスタを構成できるようになりました。

AWS Gateway Load Balancer（GWLB）を使用して AWS のクラスタ化された Firewall Threat Defense Virtual デバイスのターゲットフェールオーバーを設定できるようになりました。

プラットフォームの制限：5 台および 10 台のデバイスライセンスでは使用できません。

CLI を使用して、Firewall Threat Defense 高可用性ペアの設定の不一致を検出できるようになりました。

新規/変更された CLI コマンド：show failover config-sync error 、show failover config-sync stats

Firewall Management Center 高可用性（HA）には、次の同期機能拡張が含まれています。

• 設定履歴ファイルが大きいと、遅延の大きいネットワークで同期が失敗する可能性があります。これを防ぐために、デバイス設定履歴ファイルは他の設定データと並行して同期されるようになりました。この機能拡張により、同期時間も短縮されます。

• Firewall Management Center は、設定履歴ファイルの同期プロセスをモニターし、同期がタイムアウトした場合に正常性アラートを表示するようになりました。

新規/変更された画面：次の画面でこれらのアラートを確認できます。

• [通知（Notifications）] > [メッセージセンター（Message Center）] > [正常性（Health）]

• [統合（Integration）] > [その他の統合（Other Integrations）] > [高可用性（High Availability）] > [ステータス （Status）]（[概要（Summary）] の下）

[Cisco SD-WANサマリー（SD-WAN Summary）] ダッシュボードで WAN インターフェイス アプリケーションのパフォーマンスをモニターできるようになりました。

新規/変更された画面：[概要（Overview）] > [Cisco SD-WANサマリー（SD-WAN Summary）] > [アプリケーション モニタリング（Application Monitoring）]

参照：「VPN Monitoring and Troubleshooting」

アップグレードの影響。 条件を満たす接続のオフロードが開始されます。

Cisco Secure Firewall 3100 では、VTI ループバック インターフェイスを介した適格な IPsec 接続がデフォルトでオフロードされるようになりました。以前は、この機能は物理インターフェイスでのみサポートされていました。 この機能はアップグレードにより自動的に有効になります。

FlexConfig と flow-offload-ipsec コマンドを使用して構成を変更できます。

バージョン 7.4.0 で導入された暗号デバッグの機能拡張は、Cisco Secure Firewall 3100 および Firepower 4100/9300 に適用されるようになりました。以前は、Cisco Secure Firewall 4200 でのみサポートされていました。

管理対象デバイスのルートベース VPN の仮想トンネルインターフェイス（VTI）の詳細を表示できるようになりました。ダイナミック VTI の動的に作成されたすべての仮想アクセスインターフェイスの詳細も表示できます。

新規/変更された画面：[デバイス（Device）] > [デバイス管理（Device Management）] > [デバイスの編集（Edit a device）] > [インターフェイス（Interfaces）] > [仮想トンネル（Virtual Tunnels）] タブ。

FlexConfig を使用して、物理、サブインターフェイス、および EtherChannel IS-IS インターフェイスで Bidirectional Forwarding Detection（BFD）ルーティングを設定できるようになりました。

参照：「Guidelines for BFD Routing」

Firewall Management Center には、次の Zero Trust アクセスの機能拡張が含まれています。

• アプリケーションの送信元 NAT を設定できます。設定されたネットワークオブジェクトまたはオブジェクトグループは、着信要求のパブリックネットワークの送信元 IP アドレスを、アプリケーション ネットワーク内のルーティング可能な IP アドレスに変換します。

• 診断ツールを使用して、Zero Trust 設定の問題をトラブルシューティングできます。

新規/変更された画面：[ポリシー（Policies）] > [アクセス制御（Access Control）] > [Zero Trustアプリケーション（Zero Trust Application）]

新規/変更された CLI コマンド：show running-config zero-trust 、show zero-trust statistics

セキュリティポリシーで CIP およびイーサネット/IP（ENIP）アプリケーション条件を使用することで、Common Industrial Protocol（CIP）を検出して処理できるようになりました。

CIP Safety は、産業自動化アプリケーションの安全な動作を可能にする CIP 拡張機能です。CIP インスペクタは、CIP トラフィック内の CIP Safety セグメントを検出できるようになりました。CIP Safety セグメントを検出してアクションを実行するには、Firewall Management Center のネットワーク分析ポリシーで CIP インスペクタを有効にし、アクセス コントロール ポリシーに割り当てます。

新規/変更された画面：[ポリシー（Policies）] > [アクセス制御（Access Control）] > [ポリシーの編集（Edit a policy）] > [ルールの追加（Add Rule）] > [アプリケーション（Applications）] タブの順に選択し、検索ボックスで CIP Safety を検索します。

参照：Cisco Secure Firewall Management Center Snort 3 コンフィギュレーション ガイド [英語]

アップグレードの影響。カスタム認証フォームの更新。

LDAP レルム、Microsoft Active Directory レルム、またはレルムシーケンスに対してアクティブ認証を設定できます。さらに、レルムまたはレルムシーケンスを使用してアクティブ認証にフォールバックするパッシブ認証ルールを設定できます。必要に応じて、アクセス制御ルールで同じ ID ポリシーを共有する管理対象デバイス間でセッションを共有できます。

さらに、以前にアクセスしたデバイスとは別の管理対象デバイスを使用してシステムにアクセスするときに、ユーザーに再認証を要求するオプションがあります。

HTTP 応答ページ認証タイプを使用する場合は、Firewall Threat Defense をアップグレードした後、カスタム認証フォームに <select name="realm" id="realm"></select> を追加する必要があります。これにより、ユーザーはレルムを選択できます。

制限事項：Microsoft Azure Active Directory ではサポートされていません。

新規/変更された画面：

• [ポリシー（Policies）] > [アイデンティティ（Identity）] > （ポリシーの編集） > [アクティブ認証（Active Authentication）] > [ファイアウォール全体でアクティブ認証セッションを共有（Share active authentication sessions across firewalls）]

• [IDポリシー（Identity policy）] > （編集） > [ルールの追加（Add Rule）] > [パッシブ認証（Passive Authentication）] > [レルムと設定（Realms & Settings）] > [パッシブ/VPNアイデンティティを確立できない場合にアクティブ認証を使用（Use active authentication if passive or VPN identity cannot be established）]

• [IDポリシー（Identity policy）] > （編集） > [ルールの追加（Add Rule）] > [アクティブ認証（Active Authentication）] > [レルムと設定（Realms & Settings）] > [パッシブ/VPNアイデンティティを確立できない場合にアクティブ認証を使用（Use active authentication if passive or VPN identity cannot be established）]

以前に接続していたデバイスとは異なる管理対象デバイスに認証セッションが送信されたときに、ユーザーの認証が必要かどうかを決定します。ユーザーがロケーションまたはサイトを変更するたびに認証する必要がある組織の場合は、このオプションを無効にする必要があります。

• (デフォルト) 有効にすると、ユーザーはアクティブな認証アイデンティティルールに関連付けられた管理対象デバイスで認証できます。

• アクティブな認証ルールが展開されている別の管理対象デバイスでユーザーがすでに認証されている場合でも、別の管理対象デバイスでの認証をユーザーに要求する場合は無効にします。

新規/変更された画面：[ポリシー（Policies）] > [アイデンティティ（Identity）] > （ポリシーの編集） > [アクティブ認証（Active Authentication）] > [ファイアウォール全体でアクティブ認証セッションを共有（Share active authentication sessions across firewalls）]

アップグレードの影響。アップグレード後に、関連する FlexConfig をすべてやり直します。

新規/変更された画面：[オブジェクト（Objects）] > [オブジェクト管理（Object Management）] > [AAAサーバー（AAA Server）] > [RADIUSサーバーグループ（RADIUS Server Group）] > [RADIUSサーバーグループの追加（Add RADIUS Server Group）] > [ダウンロード可能ACLとシスコAVペアACLの結合（Merge Downloadable ACL with Cisco AV Pair ACL）]

新しい CLI コマンド：

• sh run aaa-server aaa-server ISE-Server protocol radius merge-dacl after-avpair

• sh run aaa-server aaa-server ISE-Server protocol radius merge-dacl before-avpair

シャーシを読み取り専用デバイスとして Firewall Management Center に登録することで、Firepower 4100/9300 のシャーシレベルのヘルスアラートを表示できるようになりました。また、Firewall Threat Defense プラットフォーム障害のヘルスモジュールを有効にして、ヘルスポリシーを適用する必要があります。アラートは、メッセージセンター、ヘルスモニター（左側のペインの [デバイス（Devices）] でシャーシを選択）、およびヘルスイベントビューに表示されます。

マルチインスタンスモードで Cisco Secure Firewall 3100 のシャーシを追加し、正常性アラートを表示することもできます。これらのデバイスの場合は、Firewall Management Center を使用してシャーシを管理します。ただし、Firepower 4100/9300 シャーシの場合は、シャーシマネージャまたは FXOS CLI を使用する必要があります。

新規/変更された画面：[デバイス（Devices）] > [デバイス管理（Device Management）] > [追加（Add）] > [シャーシ（Chassis）]

アップグレードの影響。メモリ使用量アラートのしきい値が引き下げられる可能性があります。

Firewall Management Center のメモリ使用量の精度が向上し、デフォルトのアラートしきい値が警告は 88%、重大は 90% に引き下げられました。しきい値が新しいデフォルト値よりも高かった場合、アップグレードによって自動的に下げられます。この変更を有効にするために正常性ポリシーを適用する必要はありません。高メモリプロセスを終了できない場合、システムメモリがきわめて少ない状態で Firewall Management Center が再起動する可能性があることに注意してください。

新規または既存の Firewall Management Center の正常性ダッシュボードに新しいスワップメモリ使用状況メトリックを追加することもできます。[メモリ（Memory）] メトリックグループを選択していることを確認します。

新規/変更された画面：

• [システム（System）]（） > [正常性（Health）] > [モニタリング（Monitoring）] > [Firewall Management Center] > [ダッシュボードの追加/編集（Add/Edit Dashboard）] > [メモリ（Memory）]

• [システム（System）]（） > [正常性（Health）] > [ポリシー（Policy）] > [Management Center正常性ポリシー（Management Center Health Policy）] > [メモリ（Memory）]

変更を展開する前の監査追跡や正式な承認など、設定変更に関してより正式なプロセスを実装する必要がある組織の場合は、変更管理を有効にできます。

この機能を有効にするために、[システム（System）]（） > [設定（Configuration）] > [変更管理（Change Management）] ページが追加されました。有効にすると、[システム（System）]（） > [変更管理ワークフロー（Change Management Workflow）] ページが表示され、メニューに新しい [チケット（Ticket）]（）のクイックアクセスアイコンが表示されます。

シャーシ/FXOS アップグレードの影響。ファームウェアのアップグレードにより、余分な再起動が発生します。

Firepower 4100/9300 の場合、バージョン 2.14.1 への FXOS アップグレードにファームウェアのアップグレードが含まれるようになりました。デバイス上のいずれかのファームウェア コンポーネントが FXOS バンドルに含まれているコンポーネントよりも古い場合、FXOS アップグレードによってファームウェアも更新されます。ファームウェアがアップグレードされると、デバイスは 2 回リブートします。1 回は FXOS 用、1 回はファームウェア用です。

ソフトウェアおよびオペレーティングシステムのアップグレードと同様に、ファームウェアのアップグレード中に設定変更を行ったり、展開したりしないでください。システムが非アクティブに見えても、ファームウェアのアップグレード中は手動で再起動またはシャットダウンしないでください。

参照：Cisco Firepower 4100/9300 FXOS ファームウェア アップグレード ガイド

Firewall Management Center のメジャーおよびメンテナンスアップグレード後に、設定変更に関するレポートを自動的に生成できます。このレポートは、展開しようとしている変更を理解するのに役立ちます。レポートが生成されたら、メッセージセンターの [タスク（Tasks）] タブからレポートをダウンロードできます。

バージョンの制限：バージョン 7.4.1 以降の Firewall Management Center のアップグレードでのみサポートされます。バージョン 7.4.1 以前のバージョンへのアップグレードはサポートされていません。

新規/変更された画面：[システム（System）] > [設定（Configuration）] > [設定のアップグレード（Upgrade Configuration）] > [アップグレード後のレポートの有効化（Enable Post-Upgrade Report）]

Firewall Management Center CLI を使用してリブートし、ハードドライブデータを完全に消去できます。消去が完了したら、新しいソフトウェアイメージをインストールできます。

新規/変更された CLI コマンド： secure erase

[デバイス（Device）] ページの各デバイス、および [クラスタ（Cluster）] ページのすべてのクラスタノードのトラブルシューティング ファイルを生成およびダウンロードできます。クラスタの場合、すべてのファイルを単一の圧縮ファイルとしてダウンロードできます。クラスタノードのクラスタのクラスタログを含めることもできます。または、[デバイス（Devices）] > [デバイス管理（Device Management）] > [その他（More）] > > [トラブルシューティングファイル（Troubleshoot Files）] メニューからファイル生成をトリガーできます。

新規/変更された画面：

• [デバイス（Devices）] > [デバイス管理（Device Management）] > [デバイス（Device）] > [全般（General）]

• [デバイス（Devices）] > [デバイス管理（Device Management）] > [クラスタ（Cluster）] > [全般（General）]

ノードがクラスタに参加できない場合、そのノードのトラブルシューティング ファイルが自動的に生成されます。[タスク（Tasks）] または [クラスタ（Cluster）] ページからファイルをダウンロードできます。

デバイスまたはクラスタのトラブルシューティングに役立つ一連の定義済み CLI 出力を表示できます。また、任意の show コマンドを入力して、出力を確認できます。

新規/変更された画面：[デバイス（Devices）] > [デバイス管理（Device Management）] > [クラスタ（Cluster）] > [全般（General）]

データプレーンプロセスがクラッシュした場合、デバイスをリブートする代わりに、データプレーンプロセスのみリロードするようになりました。データプレーンプロセスのリロードに加えて、Snort および他のいくつかのプロセスもリロードされます。

ただし、ブートアップ中にデータプレーンプロセスがクラッシュした場合、デバイスは通常のリロード/リブートシーケンスに従うため、リロードプロセスループの発生を回避できます。

この機能は、新しいデバイスとアップグレードされたデバイスの両方でデフォルトで有効になっています。

新規/変更された CLI コマンド：data-plane quick-reload 、no data-plane quick-reload 、show data-plane quick-reload status

サポートされているプラットフォーム：Firepower 1000/2100、Firepower 4100/9300

プラットフォームの制限：マルチインスタンスモードではサポートされていません。

参照：『Cisco Secure Firewall Threat Defense コマンドリファレンス』および『Cisco Secure Firewall ASA シリーズ コマンド リファレンス』

[ディスク使用量（Disk Usage）] 正常性モジュールは、イベントの頻繁なドレインでアラートを生成しなくなりました。Firewall Management Center のアップグレード後も、正常性ポリシーを管理対象デバイスに展開する（アラートの表示を停止する）か、デバイスをバージョン 7.4.1 以降にアップグレードする（アラートの送信を停止する）まで、アラートが表示され続ける場合があります。

VPN トンネルステータス正常性モジュールは廃止されました。代わりに VPN ダッシュボードを使用します。

アップグレードの影響。アップグレード後に、関連する FlexConfig をすべてやり直します。

この機能は、Firewall Management Center の Web インターフェイスでサポートされるようになりました。

Cisco Secure Firewall 4215、4225、および 4245 を導入しました。

これらのデバイスは、以下の新しいネットワークモジュールをサポートしています。

• 2 ポート 100G QSFP+ ネットワークモジュール（FPR4K-XNM-2X100G）

• 4 ポート 200G QSFP+ ネットワークモジュール（FPR4K-XNM-4X200G）

参照： Cisco Secure Firewall 4200 シリーズ ハードウェア設置ガイド

プラットフォーム設定ポリシーで使用可能なパフォーマンスプロファイル設定が、Cisco Secure Firewall 4200 に適用されるようになりました。以前は、この機能は Firepower 4100/9300 および Firewall Threat Defense Virtual でのみサポートされていました。

Firepower 1000/2100 から Cisco Secure Firewall 3100 に設定を簡単に移行できるようになりました。

新規/変更された画面：[デバイス（Devices）] > [デバイス管理（Device Management）] > [移行（Migrate）]

プラットフォームの制限：Firepower 1010 または 1010E からの移行はサポートされていません。

Firepower Management Center 4600 から Cisco Secure Firewall Management Center for AWS（300 台のデバイスライセンスあり）への移行。

参照： Cisco Secure Firewall Management Center モデル移行ガイド

Firepower Management Center 1600/2600/4600 を Cisco Secure Firewall Management Center 1700/2700/4700 に移行できます。

参照： Cisco Secure Firewall Management Center モデル移行ガイド

Firepower Management Center 1000/2500/4500 をバージョン 7.4.0 Cisco Secure Firewall Management Center 1700/2700/4700 に移行できます。移行するには、古い Firewall Management Center をバージョン 7.0 からバージョン 7.4.0 に一時的にアップグレードする必要があります。

重要	移行はバージョン 7.4.0 との間でのみサポートされ、移行プロセス中はバージョン 7.4.0 は 1000/2500/4500 でのみサポートされます。ソースまたはターゲットを新しいメンテナンスリリースにアップグレードしないでください。Firewall Management Center のアップグレードとデバイスの移行までの間隔は最小限に抑える必要があります。

移行プロセスを要約すると、次のようになります。

1. アップグレードと移行の準備をします。リリースノート、アップグレードガイド、および移行ガイドに記載されているすべての前提条件を読み、理解し、条件を満たしてください。古い Firewall Management Center の移行準備が完了している（新たに展開されいる、完全にバックアップされている、すべてのアプライアンスが正常に動作している、など）ことを確認します。新しい Firewall Management Center もセットアップする必要があります。

2. 古い Firewall Management Center とそのすべての管理対象デバイスを少なくともバージョン 7.0.0 にアップグレードします（7.0.5 を推奨）。すでに最小バージョンを実行している場合は、この手順をスキップできます。

3. 古い Firewall Management Center をバージョン 7.4.0 にアップグレードします。アップグレードパッケージを解凍し（ただし、展開はしない）、Firewall Management Center にアップロードします。Special Release からダウンロードします。

4. モデル移行ガイドの説明に従って、Firewall Management Center を移行します。

5. 移行が成功したことを確認します。移行しても期待どおりに機能せず、元に戻す場合、1000/2500/4500 の一般的な操作ではバージョン 7.4 がサポートされていないことに注意してください。古い Firewall Management Center をサポートされているバージョンに戻すには、バージョン 7.0 に再イメージ化し、バックアップから復元して、デバイスを再登録する必要があります。

参照：

• Cisco Secure Firewall Threat Defense リリースノート

• Cisco Firepower Management Center Upgrade Guide, Version 6.0–7.0

• Cisco Secure Firewall Management Center モデル移行ガイド

移行プロセスの任意の時点で質問がある場合、またはサポートが必要な場合は、Cisco TAC にお問い合わせください。

Firepower Management Center 1000/2500/4500 から クラウド提供型 Firewall Management Centerにデバイスを移行できます。

デバイスを移行するには、オンプレミス Firewall Management Center をバージョン 7.0.3（7.0.5 を推奨）からバージョン 7.4.0 に一時的にアップグレードする必要があります。バージョン 7.0 の Firewall Management Center ではクラウドへのデバイスの移行がサポートされていないため、この一時的なアップグレードが必要です。さらに、バージョン 7.0.3 以降（7.0.5 を推奨）を実行しているスタンドアロンおよび高可用性 Firewall Threat Defense デバイスのみが移行の対象となります。クラスタの移行は現時点ではサポートされていません。

重要	バージョン 7.4.0 は、移行プロセス中に 1000/2500/4500 でのみサポートされます。Firewall Management Center のアップグレードとデバイスの移行までの間隔は最小限に抑える必要があります。

移行プロセスを要約すると、次のようになります。

1. アップグレードと移行の準備をします。リリースノート、アップグレードガイド、および移行ガイドに記載されているすべての前提条件を読み、理解し、条件を満たしてください。

   アップグレードする前に、古い Firewall Management Center の「移行準備ができている」こと、つまり、移行するデバイスのみ管理していること、設定の影響（VPN の影響など）を評価していること、新たに展開されていて、完全にバックアップされていること、すべてのアプライアンスが正常な状態であることなどが特に重要です。

   また、クラウドテナントのプロビジョニング、ライセンス付与、および準備もする必要があります。これには、セキュリティ イベント ロギングの方法を含める必要があります。サポートされていないバージョンが実行されるため、分析のためにオンプレミス Firewall Management Center を保持することはできません。

2. オンプレミス Firewall Management Center とそのすべての管理対象デバイスを少なくともバージョン 7.0.3 にアップグレードします（バージョン 7.0.5 を推奨）。

   すでに最小バージョンを実行している場合は、この手順をスキップできます。

3. オンプレミス Firewall Management Center をバージョン 7.4.0 にアップグレードします。

   アップグレードパッケージを解凍し（ただし、展開はしない）、Firewall Management Center にアップロードします。Special Release からダウンロードします。

4. オンプレミス Firewall Management Center を CDO にオンボードします。

5. 移行ガイドの説明に従って、すべてのデバイスをオンプレミス Firewall Management Center から クラウド提供型 Firewall Management Center に移行します。

   移行するデバイスを選択する場合は、[オンプレミスFMCからFTDを削除する（Delete FTD from On-Prem FMC）] を選択してください。変更をコミットするか、14 日が経過するまで、デバイスは完全には削除されないことに注意してください。

6. 移行が成功したことを確認します。

   移行しても期待どおりに機能しない場合は、14 日以内に戻すことができます。戻さない場合は自動的にコミットされます。ただし、バージョン 7.4.0 は一般的な操作ではサポートされていないことに注意してください。オンプレミス Firewall Management Center をサポートされているバージョンに戻すには、再移行したデバイスを削除し、バージョン 7.0.x に再イメージ化し、バックアップから復元して、デバイスを再登録する必要があります。

参照：

• Cisco Secure Firewall Threat Defense リリースノート

• Cisco Firepower Management Center Upgrade Guide, Version 6.0–7.0

• オンプレミス Management Center 管理対象 Cisco Secure Firewall Threat Defense のクラウド提供型 Firewall Management Center への移行

移行プロセスの任意の時点で質問がある場合、またはサポートが必要な場合は、Cisco TAC にお問い合わせください。

ゼロ タッチ プロビジョニング（ロータッチプロビジョニングとも呼ばれます）を使用すると、Firepower 1000/2100 および Cisco Secure Firewall 3100 デバイスで初期セットアップを実行することなく、シリアル番号でデバイスを Firewall Management Center に登録できます。Firewall Management Center は、この機能のために SecureX および Security Cloud Control と統合されています。

新規/変更された画面：[デバイス（Devices）] > [デバイス管理（Device Management）] > [追加（Add）] > [デバイス（Device）] > [シリアル番号（Serial Number）]

アップグレードの影響。 アップグレード後にインターフェイスをマージします。

7.4 以降を使用している新しいデバイスの場合、レガシー診断インターフェイスは使用できません。マージされた管理インターフェイスのみを使用できます。

7.4 以降にアップグレードした場合：

• 診断インターフェイスの設定がない場合は、インターフェイスが自動的にマージされます。

• 診断インターフェイスの設定がある場合は、インターフェイスを手動でマージすることも、診断インターフェイスを引き続き個別に使用することもできます。ただし、診断インターフェイスのサポートは今後のリリースで廃止されるため、できるだけ早くインターフェイスをマージしてください。

マージモードでは、デフォルトでデータルーティングテーブルを使用するように AAA トラフィックの動作も変更されます。管理専用ルーティングテーブルは、設定で管理専用インターフェイス（管理を含む）を指定した場合にのみ使用できるようになりました。

プラットフォーム設定の場合、これは次のことを意味します。

• 診断インターフェイスで、HTTP、ICMP、または SMTP を有効にすることはできなくなりました。

• SNMP については、診断インターフェイスではなく管理インターフェイスでホストを許可できます。

• Syslog サーバーについては、診断インターフェイスではなく管理インターフェイスでアクセスできます。

• Syslog サーバーまたは SNMP ホストのプラットフォーム設定で診断インターフェイスが名前で指定されている場合、マージされたデバイスとマージされていないデバイスに別々のプラットフォーム設定ポリシーを使用する必要があります。

• インターフェイスを指定しない場合、DNS ルックアップは管理専用ルーティングテーブルにフォールバックしなくなりました。

新規/変更された画面：[デバイス（Devices）] > [デバイス管理（Device Management）] > [インターフェイス（Interfaces）]

新規/変更されたコマンド： show management-interface convergence

VXLAN VTEP インターフェイスに IPv6 アドレスを指定できるようになりました。IPv6 では、Firewall Threat Defense Virtual クラスタ制御リンクまたは Geneve カプセル化がサポートされていません。

新規/変更された画面：

• [デバイス（Devices）] > [デバイス管理（Device Management）] > [デバイスの編集（Edit Device）] > [VTEP] > [VTEPの追加（Add VTEP）]

• [デバイス（Devices）] > [デバイス管理（Device Management）] > [デバイスの編集（Edit Devices）] > [インターフェイス（Interfaces）] > [インターフェイスの追加（Add Interfaces）] > [VNIインターフェイス（VNI Interface）]

AAA、BGP、DNS、HTTP、ICMP、IPsec フローオフロード、NetFlow、SNMP、SSH、および syslog にループバック インターフェイスを使用できるようになりました。

新規/変更された画面：[デバイス（Devices）] > [デバイス管理（Device Management）] > [デバイスの編集（Edit Device）] > [インターフェイス（Interfaces）] > [インターフェイスの追加（Add Interfaces）] > [ループバック インターフェイス（Loopback Interface）]

管理専用インターフェイスまたはループバック インターフェイスのみを含むインターフェイス グループ オブジェクトを作成でき、作成したグループを DNS サーバー、HTTP アクセス、SSH などの管理機能に使用できます。ループバックグループは、ループバック インターフェイスを利用できるすべての機能で使用できますが、DNS では管理インターフェイスはサポートされていない点に注意してください。

新規/変更された画面：[オブジェクト（Objects）] > [オブジェクト管理（Object Management）] > [インターフェイス（Interface）] > [追加（Add）] > [インターフェイスグループ（Interface Group）]

Firewall Threat Defense 高可用性では、Firewall Management Center との通信に通常のデータインターフェイスを使用できるようになりました。以前は、スタンドアロンデバイスのみがこの機能をサポートしていました。

参照：デバイス管理

WAN サマリーダッシュボードには、WAN デバイスとデバイスのインターフェイスのスナップショットが表示されます。また、WAN ネットワーク、デバイス正常性に関する情報、インターフェイス接続、アプリケーション スループット、および VPN 接続に関するインサイトが表示されます。WAN リンクを監視し、予防的かつ迅速な回復措置を実行できます。

新規/変更された画面：[概要（Overview）] > [WANサマリー（WAN Summary）]

ポリシーベースルーティング（PBR）は、特定の宛先 IP のメトリックではなく、アプリケーションドメインの HTTP クライアントを介したパスモニタリングによって収集された評価指標（RTT、ジッター、パケット損失、および MOS）を使用できるようになりました。インターフェイスの HTTP ベースのアプリケーション モニタリング オプションは、デフォルトで有効になっています。モニタリング対象のアプリケーションが搭載され、パスを決定するためのインターフェイスの順序付けを行う一致 ACL を使用して、PBR ポリシーを設定できます。

新規/変更された画面：[デバイス（Devices）] > [デバイス管理（Device Management）] > [デバイスの編集（Edit Device）] > [インターフェイスの編集（Edit interface）] > [パスモニタリング（Path Monitoring）] > [HTTPベースのアプリケーション モニタリングの有効化（Enable HTTP based Application Monitoring）] チェックボックス。

プラットフォームの制限：クラスタ化されたデバイスではサポートされていません。

アップグレードの影響。 デバイスをアップグレードする前に SGT 伝達を確認します。

ユーザーとユーザーグループ、および PBR ポリシーの SGT に基づいてネットワークトラフィックを分類できるようになりました。PBR ポリシーの拡張 ACL を定義するときに、ID および SGT オブジェクトを選択します。

この機能が実装された結果として、出力インターフェイスが SGT を伝播するように設定されている場合に、Firewall Threat Defense はトラフィックに出力 SGT を追加できることに注意してください。これは、ポリシーベースルーティングを設定していない場合でも、ISE 統合で発生する可能性があります。バージョン 7.4.0 以降、新しいインターフェイスでは、[セキュリティグループタグの伝達（Propagate Security Group Tag）] オプションがデフォルトで無効になっています。 ただし、アップグレードは現在の設定を尊重するため、このオプションは既存のインターフェイスで有効になる場合があります。

重要	ISE アイデンティティソースを設定している場合は、アップグレードの前に、デバイスの物理インターフェイス、冗長インターフェイス、およびサブインターフェイスで [セキュリティグループタグの伝播（Propagate Security Group Tag）] オプションをオンにし、必要に応じて無効にします。ダウンストリームデバイスがタグを処理するように構成されていない場合、トラフィック損失が発生する可能性があります。

新規/変更された画面：[オブジェクト（Objects）] > [オブジェクト管理（Object Management）] > [アクセスリスト（Access List）] > [拡張（Extended）] > [拡張アクセスリストの追加/編集（Add/Edit Extended Access List）] > [拡張アクセスリストエントリの追加/編集（Add/Edit Extended Access List Entry）] > [ユーザー（Users）] および [セキュリティグループタグ（Security Group Tag）]

Cisco Secure Firewall 4200 では、VTI ループバックインターフェイスを介した適格な IPsec 接続がデフォルトでオフロードされます。以前は、この機能は Secure Firewall 3100 の物理インターフェイスでサポートされていました。

FlexConfig と flow-offload-ipsec コマンドを使用して構成を変更できます。

その他の要件：FPGA ファームウェア 6.2 以降

暗号デバッグの機能拡張は次のとおりです。

• 暗号アーカイブは、テキスト形式とバイナリ形式で使用できるようになりました。

• 追加の SSL カウンタをデバッグに使用できます。

• スタックした暗号化ルールは、デバイスを再起動せずに ASP テーブルから削除できます。

新規/変更された CLI コマンド： show counters

Secure Client をカスタマイズして、それらのカスタマイズを VPN ヘッドエンドに展開できるようになりました。サポートされている Secure Client のカスタマイズは次のとおりです。

• GUI テキストとメッセージ

• アイコンとイメージ

• スクリプト

• バイナリ

• Customized Installer Transforms

• Localized Installer Transforms

エンドユーザーが Secure Client から接続すると、Firewall Threat Defense がこれらのカスタマイズをエンドポイントに配布します。

新規/変更された画面：

• [オブジェクト（Objects）] > [オブジェクト管理（Object Management）] > [VPN] > [Secure Clientのカスタマイズ（Secure Client Customization）]

• [デバイス（Device）] > [リモートアクセス（Remote Access）] > [VPNポリシーの編集（Edit VPN policy）] > [詳細設定（Advanced）] > [Secure Clientのカスタマイズ（Secure Client Customization）]

サイト間 VPN ダッシュボードで、VPN ノードの IKE および IPsec セッションの詳細を使いやすい形式で表示できます。

新規/変更された画面：[概要（Overview ）] > [サイト間VPN（Site to Site VPN）] の順に選択し、[トンネルステータス（Tunnel Status）] ウィジェットの下で、トポロジにカーソルを合わせて [表示（View）] をクリックし、[CLIの詳細（CLI Details）] タブをクリックします。

接続イベントに、[ピアの暗号化（Encrypt Peer）]、[ピアの復号（Decrypt Peer）]、[VPNアクション（VPN Action）] の 3 つの新しいフィールドが含まれるようになりました。ポリシーベースおよびルートベースのサイト間 VPN トラフィックの場合、これらのフィールドにより、接続が暗号化または復号 （またはその両方）されたかどうか、および実行ユーザーが示されます。

新規/変更された画面：[分析（Analysis）] > [接続（Connections）] > [イベント（Events）] > [イベントのテーブルビュー（Table View of Events）]

サイト間 VPN トラフィックを NAT 変換から簡単に免除できるようになりました。

新規/変更された画面：

• エンドポイントの NAT 免除の有効化：[デバイス（Devices）] > [VPN] > [サイト間（Site To Site）] > [サイト間VPNの追加/編集（Add/Edit Site to Site VPN）] > [エンドポイントの追加/編集（Add/Edit Endpoint）] > [ネットワークアドレス変換からVPNトラフィックを免除する（Exempt VPN traffic from network address translation）]

• NAT ポリシーのないデバイスの NAT 免除ルールの表示：[デバイス（Devices）] > [NAT] > [NAT免除（NAT Exemptions）]

• 単一デバイスの NAT 免除ルールの表示：[デバイス（Devices）] > [NAT] > [Threat Defense NATポリシー（Threat Defense NAT Policy）] > [NAT免除（NAT Exemptions）]

管理対象デバイスのバージョン 7.3 以降の IPv6 ネットワークに対しては、BGP グレースフルリスタートを設定できます。

新規/変更された画面：[デバイス（Devices）] > [デバイス管理（Device Management）] > [デバイスの編集（Edit Device）] > [ルーティング（Routing）] > [BGP] > [IPv6] > [ネイバー（Neighbor）] > [ネイバーの追加/編集（Add/Edit Neighbor）]。

ルートベースのサイト間 VPN にダイナミック VTI を使用して仮想ルータを設定できるようになりました。

新規/変更された画面：[使用可能なインターフェイス（Available Interfaces）] の下の [デバイス（Devices）] > [デバイス管理（Device Management）] > [デバイスの編集（Edit Device）] > [ルーティング（Routing）] > [仮想ルータのプロパティ（Virtual Router Properties）] > [ダイナミックVTIインターフェイス（Dynamic VTI interfaces）]

プラットフォームの制限：ネイティブモードのスタンドアロンまたは高可用性デバイスでのみサポートされます。コンテナインスタンスやクラスタ化されたデバイスではサポートされていません。

Zero Trust アクセスにより、外部の SAML アイデンティティ プロバイダー（IdP）ポリシーを使用して、ネットワークの内部（オンプレミス）または外部（リモート）から、保護された Web ベースのリソース、アプリケーションまたはデータへのアクセスを認証および承認できます。

設定では、ゼロトラスト アプリケーション ポリシー、アプリケーショングループ、およびアプリケーションを指定します。

新規/変更された CLI コマンド：

• show running-config zero-trust application

• show running-config zero-trust application-group

• show zero-trust sessions

• show zero-trust statistics

• show cluster zero-trust statistics

• clear zero-trust sessions application

• clear zero-trust sessions user

• clear zero-trust statistics

暗号化された可視性エンジン（EVE）で、次のことができるようになりました。

• 脅威スコアに基づいて暗号化トラフィック内の悪意のある通信をブロックする。

• EVE で検出されたプロセスに基づいてクライアント アプリケーションを判断する。

• 検出のために、フラグメント化された Client Hello パケットを再構成する。

新規/変更された画面：アクセス コントロール ポリシーの詳細設定を使用して EVE を有効にし、これらの設定を行います。

参照： アクセス制御に関するカスタム Snort 3 侵入ポリシー

エレファントフローのバイパスまたはスロットリングから特定のネットワークとポートを免除できるようになりました。

新規/変更された画面：

• アクセス コントロール ポリシーの詳細設定でエレファントフロー検出を構成するときに、[エレファントフローの修復（Elephant Flow Remediation）] オプションを有効にすると、[ルールの追加（Add Rule）] をクリックして、バイパスまたはスロットリングから免除するトラフィックを指定できるようになりました。

• システムがバイパスまたはスロットリングから免除されているエレファントフローを検出すると、[エレファントフローが免除されました（Elephant Flow Exempted）] という理由でフロー中接続イベントを生成します。

プラットフォームの制限：Firepower 2100 シリーズではサポートされていません。

参照： アクセス制御に関するカスタム Snort 3 侵入ポリシー

新しい Lua ディテクタ API が導入され、TCP セッションの最初のパケットの IP アドレス、ポート、およびプロトコルがアプリケーションプロトコル（サービス AppID）、クライアント アプリケーション（クライアント AppID）、および Web アプリケーション（ペイロード AppID）にマッピングされます。この新しい Lua API addHostFirstPktApp は、パフォーマンスの向上、再検査、およびトラフィック内の攻撃の早期検出に使用されます。この機能を使用するには、カスタム アプリケーション ディテクタの高度なディテクタで検出基準を指定して、Lua ディテクタをアップロードする必要があります。

アップグレードの影響。 デフォルトポリシーの新しいルールが有効になります。

社会保障番号、クレジットカード番号、E メールなどの機密データは、インターネットに意図的に、または誤って漏洩される可能性があります。機密データの検出は、機密データの漏洩の可能性を検出してイベントを生成するために使用され、大量の個人識別情報（PII）データが転送された場合にのみイベントを生成します。機密データの検出では、組み込みパターンを使用して、イベントの出力で PII をマスクできます。

データマスキングの無効化はサポートされていません。

参照：「Custom Rules in Snort 3」

JavaScript を正規化し、正規化されたコンテンツに対してルールを照合することで実行される JavaScript インスペクションを改善しました。

参照：「HTTP Inspect Inspector」および Cisco Secure Firewall Management Center Snort 3 コンフィギュレーション ガイド [英語]

ファイルおよびマルウェアイベントに MITRE 情報（ローカルマルウェア分析結果）が含まれるようになりました。以前は、この情報は侵入イベントについてのみ利用可能でした。MITRE 情報は、クラシックイベントビューと統合イベントビューの両方で表示できます。MITRE 列は、両方のイベントビューでデフォルトで非表示になっていることに注意してください。

参照：ネットワークマルウェア保護およびファイルポリシーおよび「File/Malware Events and Network File Trajectory」

Firewall Management Center の上で Cisco Secure Dynamic Attributes コネクタを構成できるようになりました。以前は、スタンドアロン アプリケーションとしてのみ使用できました。

Microsoft Azure Active Directory（Azure AD）レルムと ISE を使用すると、ユーザーを認証したりユーザー制御のためにユーザーセッションを取得したりできます。

新規/変更された画面：

• [統合（Integration）] > [その他の統合（Other Integrations）] > [レルム（Realms）] > [レルムを追加（Add Realm）] > [Azure AD（Azure AD）]

• [統合（Integration）] > [その他の統合（Other Integrations）] > [レルム（ Realms）] > [アクション（Actions）]（ユーザーのダウンロード、コピー、編集、削除など）

サポートされている ISE バージョン：3.0 パッチ 5 以降、3.1（任意のパッチレベル）、3.2（任意のパッチレベル）

アップグレードの影響。アップグレード後に、FlexConfig をやり直します。

NetFlow は、パケットフローの統計情報を提供するシスコアプリケーションの 1 つです。Firewall Management Center の Web インターフェイスを使用して、Firewall Threat Defense デバイスを NetFlow エクスポータとして設定できるようになりました。既存の NetFlow FlexConfig があり、Web インターフェイスで設定をやり直す場合は、廃止された FlexConfig を削除するまで展開できません。

新規/変更された画面：[デバイス（Devices）] > [プラットフォーム設定（Platform Settings）] > [Threat Defense設定ポリシー（Threat Defense Settings policy）] > [NetFlow]

イベントレポートおよび復号ルールマッチングの有用性が向上しました。

• 暗号化された接続の SSL ハンドシェイクが完了していないかどうかを示す新しいSSL ステータス。ログに記録された接続の SSL ハンドシェイクが完了していない場合、接続イベントの [SSLステータス（SSL Status）] 列に「不明（不完全なハンドシェイク）（Unknown (Incomplete Handshake)）」と表示されます。

• 証明書のサブジェクト代替名（SAN）は、強化された復号ルールマッチングの認証局（CA）名を照合するときに使用されるようになりました。

新規/変更された画面：

• [分析（Analysis）] > [接続（Connections）] > [イベント（Events）] > [SSLステータス（SSL Status）]

• [分析（Analysis）] > [接続（Connections）] > [セキュリティ関連イベント（Security-Related Events）] > [SSLステータス（SSL Status）]

OpenConfig を使用して、メトリックとヘルスモニタリング情報を Firewall Threat Defense デバイスから外部サーバー（gNMI コレクタ）に送信できるようになりました。TLS により暗号化された接続を開始するように Firewall Threat Defense またはコレクタを設定できます。

新規/変更された画面：[システム（System）]（） > [ヘルス（Health）] > [ポリシー（Policy）] > [Firewall Threat Defenseポリシー（Firewall Threat Defense Policies）] > [設定（Settings）] > [OpenConfigストリーミングテレメトリ（OpenConfig Streaming Telemetry）]

新規または既存のデバイス正常性ダッシュボードに、600 を超える新しい ASP（高速セキュリティパス）ドロップメトリックを追加できます。[ASPドロップ（ASP Drops）] メトリックグループを選択していることを確認します。

新規/変更された画面：[システム（System）]（） > [正常性（Health）] > [モニター（Monitor）] > [デバイス（Device）]

参照：「show asp drop Command Usage」

構成データの形式とホストを指定することにより、構成変更を監査ログデータの一部として syslog にストリーミングできます。Firewall Management Center は、監査構成ログのバックアップと復元をサポートしています。

新規/変更された画面：[システム（System）]（） > [設定（Configuration）] > [監査ログ（Audit Log）] > [設定変更の送信（Send Configuration Changes）]。

カスタムユーザーロールを定義して、アクセス コントロール ポリシーおよびルールの侵入設定と、その他のアクセス コントロール ポリシーおよびルールを区別できます。これらのアクセス許可を使用すると、ネットワーク管理チームと侵入管理チームの責任を分離できます。

ユーザーロールを定義するときに、[ポリシー（Policies）] > [アクセス制御（Access Control）] > [アクセスコントロールポリシー（Access Control Policy）] > [アクセスコントロールポリシーの変更（Modify Access Control Policy）] > [脅威設定の変更（Modify Threat Configuration）]オプションを選択して、侵入ポリシー、変数セット、およびルール内のファイルポリシー、ネットワーク分析および侵入ポリシーの詳細オプションの設定、アクセス コントロール ポリシーのセキュリティ インテリジェンス ポリシーの構成、およびポリシーのデフォルトアクションの侵入アクションを選択できるようにします。[残りのアクセスコントロールポリシー設定の変更（Modify Remaining Access Control Policy Configuration）] を使用して、ポリシーの他のすべての側面を編集する機能を制御できます。アクセス コントロール ポリシーの変更権限を含む既存の事前定義されたユーザーロールは、引き続きすべてのサブ権限をサポートします。詳細な権限を適用する場合は、独自のカスタムロールを作成する必要があります。

以前は、Firewall Threat Defense は IPv4 OCSP URL のみをサポートしていました。現在、Firewall Threat Defense は IPv4 と IPv6 両方の OCSP URL をサポートします。

新しい Firewall Management Center の展開では、デフォルトの NTP サーバーは、sourcefire.pool.ntp.org から time.cisco.com に変更されました。Firewall Management Center を使用して、独自のデバイスに時刻を提供することを推奨します。[システム（System）]（） > [設定（Configuration）] > [時刻の同期（Time Synchronization）] で Firewall Management Center の NTP サーバーを更新できます。

次の作業に進んでください。

• [システム（System）]（） > [スマートライセンス（Smart Licenses）] から Firewall Threat Defense クラスタのスマートライセンスを管理します。以前は、[デバイス管理（Device Management）] ページを使用する必要がありました。

• メッセージセンター通知のレポートをダウンロードします。メッセージセンターで、[通知を表示（Show Notifications）] スライダの横にある新しい [レポートのダウンロード（Download Report）] アイコンをクリックします。

• すべての登録済みデバイスのレポートをダウンロードします。[デバイス（Devices）] > [デバイス管理（Device Management）]に移動し、ページの右上にある新しい [デバイスリストレポートのダウンロード（Download Device List Report）] リンクをクリックします。

• ネットワークおよびポートオブジェクトを複製します。オブジェクトマネージャ（[オブジェクト（Objects）] > [オブジェクト管理（Object Management）]）で、ポートまたはネットワークオブジェクトの横にある新しい [クローン（Clone）] アイコン をクリックします。その後、新しいオブジェクトのプロパティを変更し、新しい名前で保存できます。

• カスタム ヘルス モニタリング ダッシュボードを簡単に作成し、既存のダッシュボードを簡単に編集できます。

Secure Firewall 4200 では、 コマンドで新しいdirection キーワードcapture を使用できます。

新規/変更された CLI コマンド：capturecapture_nameswitchinterfaceinterface_name[ direction{ both| egress| ingress} ]

参照： Cisco Secure Firewall Threat Defense コマンドリファレンス

操作の継続性を向上させるために、応答しない Snort が高可用性フェールオーバーをトリガーできるようになりました。これは、プロセスが応答しなくなった場合に Snort 3 が再起動されるようになったために発生します。Snort プロセスを再起動すると、デバイスでのトラフィックフローと検査が一時的に中断され、高可用性展開ではフェールオーバーがトリガーされる可能性があります（スタンドアロン展開では、インターフェイス設定により、中断中にインスペクションせずにトラフィックをドロップするか受け渡すかが決定されます）。

この機能は、デフォルトでイネーブルにされています。CLI を使用してフェールオーバーを無効にするか、Snort を再起動する条件として時間や無応答スレッド数を設定できます。

新規/変更された CLI コマンド： configure snort3-watchdog

参照： Cisco Secure Firewall Threat Defense コマンドリファレンス

Firewall Management Center の Web インターフェイスから、Firewall Threat Defense デバイスを NetFlow エクスポータとして設定できるようになりました。この設定をすると、廃止された FlexConfig を削除するまで展開できません。

Firewall Management Center を使用してデバイスクラスタをバックアップできるようになりました。ただし、パブリッククラウドではバックアップできません。復元するには、デバイス CLI を使用します。

新規/変更された画面：[システム（System）] > [ツール（Tools）] > [バックアップ/復元（Backup/Restore）] > [管理対象デバイスのバックアップ（Managed Device Backup）]

新規/変更されたコマンド： restore remote-manager-backup

Firewall Management Center に直接ダウンロードする Firewall Threat Defense アップグレードパッケージを選択できるようになりました。 > [更新（Updates）] > [製品の更新（Product Updates）]の新しい [の更新のダウンロード（Download Threat Defense Updates）] サブタブを使用します。

バージョンの制限：バージョン 7.2.6/7.4.1 では、この機能は改善されたパッケージ管理システムに置き換えられています。

ウィザードを使用して、Firewall Threat Defense アップグレードパッケージをアップロードしたり、場所を指定したりできるようになりました。以前は（バージョンに応じて）、[システム（System）] > [更新（Updates）] または [システム（System）] > [製品アップグレード（Product Upgrades）] を使用していました。

バージョンの制限：バージョン 7.2.6/7.4.1 では、この機能は改善されたパッケージ管理システムに置き換えられています。

アップグレードの影響。展開すると、対象となるすべてのデバイスが Snort 3 にアップグレードされます。

Firewall Threat Defense をバージョン 7.3 以降にアップグレードすると、[Snort 2からSnort 3にアップグレードする（Upgrade Snort 2 to Snort 3）] オプションは無効化できなくなります。

ソフトウェアのアップグレード後、設定を展開すると、対象となるすべてのデバイスが Snort 2 から Snort 3 にアップグレードされます。個々のデバイスを元に戻すことはできますが、Firewall Threat Defense 7.7 以降では Snort 2 はサポートされていません。すぐに使用を停止する必要があります。

カスタム侵入ポリシーやネットワーク分析ポリシーを使用しているためにデバイスが自動アップグレード対象外になる場合は、検出とパフォーマンスを向上させるために、手動で Snort 3 にアップグレードします。移行のサポートについては、お使いのバージョンの アクセス制御に関するカスタム Snort 3 侵入ポリシー を参照してください。

再イメージ化の影響。

バージョン 7.3 では、次のように、Cisco Secure Firewall 3100 の Firewall Threat Defense のインストールおよびアップグレードパッケージを組み合わせました。

• バージョン 7.1 ～ 7.2 インストールパッケージ：isco-ftd-fp3k.version.SPA

• バージョン 7.1 ～ 7.2 アップグレードパッケージ：Cisco_FTD_SSP_FP3K_Upgrade-version-build.sh.REL.tar

• バージョン 7.3 以降の統合パッケージ：Cisco_FTD_SSP_FP3K_Upgrade-version-build.sh.REL.tar

Firewall Threat Defense は問題なくアップグレードできますが、古い Firewall Threat Defense および Cisco ASA バージョンから Firewall Threat Defense バージョン 7.3 以上に直接再イメージ化することはできません。これは、新しいイメージタイプに必要な ROMMON アップデートが原因です。これらの古いバージョンから再イメージ化するには、古い ROMMON でサポートされているだけでなく新しい ROMMON への更新も行う、ASA 9.19 以上を「通過」する必要があります。個別の ROMMON アップデータはありません。

Firewall Threat Defense バージョン 7.3 以上にするには、次のオプションがあります。

• Firewall Threat Defense バージョン 7.1 または 7.2 からのアップグレード — 通常のアップグレードプロセスを使用します。

  該当するアップグレードガイドを参照してください。

• Firewall Threat Defense バージョン 7.1 または 7.2 からの再イメージ化 — 最初に Cisco ASA 9.19 以上に再イメージ化してから、Firewall Threat Defense バージョン 7.3 以上に再イメージ化します。

  『Cisco Secure Firewall ASA および Secure Firewall Threat Defense 再イメージ化ガイド』の「Threat Defense→ASA: Firepower 1000, 2100; Secure Firewall 3100」、次に「ASA→Threat Defense: Firepower 1000, 2100 Appliance Mode; Secure Firewall 3100」を参照してください。

• ASA 9.17 または 9.18 からの再イメージ化 — 最初に ASA 9.19 以上にアップグレードしてから、Firewall Threat Defense バージョン 7.3 以上に再イメージ化します。

  『Cisco Secure Firewall ASA アップグレードガイド』を参照し、次に『Cisco Secure Firewall ASA および Secure Firewall Threat Defense 再イメージ化ガイド』の「ASA→Threat Defense: Firepower 1000, 2100 Appliance Mode; Secure Firewall 3100」を参照してください。

• Firewall Threat Defense バージョン 7.3 以上からの再イメージ化 — 通常の再イメージ化プロセスを使用します。

  『Cisco FXOS 障害対応ガイド（Firepower Threat Defense 向け）』の「Reimage the System with a New Software Version」を参照してください。

Firewall Management Center の初期設定では、最新の脆弱性データベース（VDB）を含むようになった、利用可能な最新のソフトウェア更新をダウンロードするための週次タスクがスケジュールされています。この週次タスクを確認し、必要に応じて調整することをお勧めします。必要に応じて、VDB を実際に更新し、構成を展開する新しい週次タスクをスケジュールしてください。

新規/変更された画面：システムで作成された [週次ソフトウェアダウンロード（Weekly Software Download）] のスケジュールされたタスクで、[脆弱性データベース（Vulnerability Database）] チェックボックスがデフォルトで有効になりました。

VDB 357 以降、その Firewall Management Center の基準 VDB までさかのぼって任意の VDB をインストールできます。

VDB を更新したら、構成の変更を展開します。利用できなくなった脆弱性、アプリケーションディテクタ、またはフィンガープリントに基づいて設定を行っている場合は、それらの設定を調べて、トラフィックが期待どおりに処理されていることを確認します。また、VDB を更新するためのスケジュールされたタスクは、ロールバックを取り消すことができることに注意してください。これを回避するには、スケジュールされたタスクを変更するか、新しい VDB パッケージを削除します。

新しい/変更された画面：[システム（System）]（） > [更新（Updates）] > [製品アップデート（Product Updates）] > [利用可能なアップデート（Available Updates）]で、古い VDB をアップロードすると、[インストール（Install）] アイコンの代わりに新しい [ロールバック（Rollback）] アイコンが表示されます。

アップグレードの影響。アップグレード後に、関連する FlexConfig をすべてやり直します。

DHCP Option 82 を維持するために、Firewall Management Center Web インターフェイスを使用して、インターフェイスを信頼できるインターフェイスとして設定できるようになりました。このように設定すると既存の FlexConfig が上書きされますが、削除する必要があります。

DHCP Option 82 は、DHCP スヌーピングおよび IP ソース ガードのために、ダウンストリームのスイッチおよびルータによって使用されます。通常、Firewall Threat Defense DHCP リレーエージェントが Option 82 をすでに設定した DHCP パケットを受信しても、giaddr フィールド（サーバーにパケットを転送する前に、リレーエージェントによって設定された DHCP リレーエージェントアドレスを指定するフィールド）が 0 に設定されている場合は、Firewall Threat Defense はそのパケットをデフォルトで削除します。インターフェイスを信頼できるインターフェイスとして指定することで、Option 82 を維持したままパケットを転送できます。

新規/変更された画面：[デバイス（Devices）] > [デバイス管理（Device Management）] > [デバイスの追加/編集（Add/Edit Device）] > [DHCP] > [DHCPリレー（DHCP Relay）]

NAT ルールの編集時に、ネットワークオブジェクトに加えてネットワークグループを作成できるようになりました。

高可用性ペアのアクティブ Firewall Management Center の設定だけのバックアップを実行すると、いずれかのユニットの復元に使用できる単一のバックアップファイルが作成されるようになりました。

統合イベントビュー（[分析（Analysis）] > [統合イベント（Unified Events）]）からパケットトレーサを開けるようになりました。目的のイベントの横にある省略記号アイコン（[...]）をクリックし、[パケットトレーサで開く（Open in Packet Tracer）] をクリックします。

バージョンの制限：バージョン 7.2.x では、省略記号アイコンの代わりに [展開（Expand）] アイコン（[>]）を使用します。

Disk Usage 正常性モジュールは、展開履歴（ロールバック）ファイルが Firewall Management Center で過剰なディスク容量を使用している場合にアラートを発行するようになりました。アップグレード後に Firewall Management Center の正常性ポリシーを展開します。

新しい Time Server Status 正常性モジュールは、NTP 同期に関する問題を報告します。アップグレード後に Firewall Management Center の正常性ポリシーを展開します。

前回の展開以降の設定変更に関するレポートを生成、表示、および（zip ファイルとして）ダウンロードできます。

• ポリシー内の追加、変更、または削除、あるいはデバイスに展開されるオブジェクトをプレビューする各デバイスのポリシー変更レポート。

• ポリシー変更レポート生成のステータスに基づいて各デバイスを分類する統合レポート。

これは、Firewall Management Center または Firewall Threat Defense デバイスのいずれかのアップグレード後に特に役立ち、展開する前にアップグレードによって加えられた変更を確認できます。

新規/変更された画面：[展開（Deploy）] > [高度な展開（Advanced Deploy）]。

デバイスのロールバックのために保持する展開履歴ファイルの数を最大 10（デフォルト）まで設定できるようになったため、Firewall Management Center のディスク容量を節約できます。

新規/変更された画面：[展開（Deploy）] > [展開履歴（Deployment History）] > [展開設定（Deployment Setting）] > [構成バージョン設定（Configuration Version Setting）]

新しいアップグレードページでは、アップグレードの選択、ダウンロード、管理、および展開全体への適用が容易になります。これには、Firewall Management Center、Firewall Threat Defense、およびすべての古い NGIPSv/ASA FirePOWER デバイスが含まれます。このページには、現在の展開に適用されるすべてのアップグレードパッケージが、特にマークされた推奨リリースとともに一覧表示されます。パッケージを選択してシスコから簡単に直接ダウンロードしたり、パッケージを手動でアップロードおよび削除したりできます。

リスト/直接ダウンロード アップグレード パッケージを取得するには、インターネットアクセスが必要です。インターネットアクセスがない場合は、手動管理に限定されます。適切なメンテナンスリリースのアプライアンスが少なくとも 1 つある（またはパッチを手動でアップロードした）場合を除き、パッチは表示されません。ホットフィックスは手動でアップロードする必要があります。

新規/変更された画面：

• [システム（System）]（） > [製品のアップグレード（Product Upgrades）] では、Firewall Management Center とすべての管理対象デバイスをアップグレードし、アップグレードパッケージを管理します。

• [システム（System）]（） > [コンテンツの更新（Content Updates）] で、侵入ルール、VDB、および GeoDB を更新できるようになりました。

• [デバイス（Devices）] > [脅威防御のアップグレード（Threat Defense Upgrade）] を選択すると、Firewall Threat Defense アップグレードウィザードに直接移動します。

• [システム（System）]（） > [ユーザー（Users）] > [ユーザーロール（User Role）] > [ユーザーロールの作成（Create User Role）] > [メニューベースの権限（Menu-Based Permissions）] を使用すると、[製品のアップグレード（Product Upgrades）]（システムソフトウェア）へのアクセスを許可せずに、[コンテンツの更新（Content Updates）]（VDB、GeoDB、侵入ルール）へのアクセスを許可できます。

廃止された画面/オプション：

• [システム（System）]（） > [更新（Updates）] は廃止されました。Firewall Threat Defense のすべてのアップグレードでウィザードが使用されるようになりました。

• Firewall Threat Defense アップグレードウィザードの [アップグレードパッケージの追加（Add Upgrade Package）] ボタンは、新しいアップグレードページへの [アップグレードパッケージの管理（Manage Upgrade Packages）] リンクに置き換えられました。

Firewall Threat Defense アップグレードウィザードからの復元を有効化できます。

バージョンの制限：Firewall Threat Defense をバージョン 7.1 以降にアップグレードする必要があります。Firewall Management Center バージョン 7.3.x または 7.4.0 ではサポートされていません。

ウィザードを使用して、アップグレードするデバイスを選択します。

Firewall Threat Defense アップグレードウィザードを使用して、アップグレードするデバイスを選択できるようになりました。ウィザード上で、選択したデバイス、残りのアップグレード候補、対象外のデバイス（および理由）、アップグレードパッケージが必要なデバイスなどの間でビューを切り替えることができます。以前は、[デバイス管理（Device Management）] ページしか使用できず、プロセスの柔軟性が大幅に低くなっていました。

Firewall Threat Defense アップグレードウィザードの最終ページで、アップグレードの進行状況をモニターできるようになりました。この機能は、[デバイス管理（Device Management）] ページの [アップグレード（Upgrade）] タブおよび Management Center の既存のモニタリング機能に追加されます。新しいアップグレードフローを開始していない限り、[デバイス（Devices）] > [Threat Defenseアップグレード（Threat Defense Upgrade）]によってこのウィザードの最後のページに戻り、現在の（または最後に完了した）デバイスのアップグレードの詳細なステータスを確認できます。

Firewall Threat Defense アップグレードウィザードは、新しい [無人モード（Unattended Mode）] メニューを使用して無人アップグレードをサポートするようになりました。アップグレードするターゲットバージョンとデバイスを選択し、いくつかのアップグレードオプションを指定して、その場から離れるだけです。ログアウトしたり、ブラウザを閉じたりすることもできます。

異なるデバイスをアップグレードする限り、異なるユーザーによる同時アップグレードワークフローが可能になりました。このシステムにより、すでに他の誰かのワークフローにあるデバイスをアップグレードすることはできません。以前は、すべてのユーザーで一度に 1 つのアップグレードワークフローのみが許可されていました。

新しい [アップグレード開始前にトラブルシューティングファイルを生成する（Generate troubleshooting files before upgrade begins）] オプションを無効にすることで、メジャーアップグレードおよびメンテナンスアップグレードの前にトラブルシューティング ファイルを自動生成することをスキップできるようになりました。これにより、時間とディスク容量を節約できます。

Firewall Threat Defense デバイスのトラブルシューティング ファイルを手動で生成するには、[システム（System）]（） > [正常性（Health）] > [モニター（Monitor）] を選択し、左側のパネルでデバイスをクリックし、[システムおよびトラブルシューティングの詳細を表示（View System & Troubleshoot Details）]、[トラブルシューティングファイルの生成（Generate Troubleshooting Files）] をクリックします。

新しい推奨リリースが利用可能になると、Firewall Management Center から通知されるようになりました。今すぐアップグレードしない場合は、後でシステムに通知するか、次の推奨リリースまでリマインダを延期できます。新しいアップグレードページには、推奨リリースも示されます。

参照： Cisco Secure Firewall Management Center の新機能（リリース別）

新しいアップグレード開始ページとウィザードにより、Firewall Management Center のアップグレードを簡単に実行できます。[システム（System）]（） > [製品のアップグレード（Product Upgrades）] を使用して、Firewall Management Center で適切なアップグレードパッケージを入手したら、[アップグレード（Upgrade）] をクリックして開始します。

バージョンの制限：バージョン 7.2.6/7.4.1 以降の Firewall Management Center のアップグレードでのみサポートされます。バージョン 7.3.x または 7.4.0 からのアップグレードではサポートされていません。

参照： Firewall Management Center 向け Cisco Secure Firewall Threat Defense アップグレードガイド

ホットフィックス リリース ノートに特に記載されていない、または Cisco TAC から指示されていない限り、高可用性 Firewall Management Center にホットフィックスをインストールするために同期を一時停止する必要はありません。

アップグレードの影響。システムは新しいリソースに接続します。

Firewall Management Center では、ソフトウェア アップグレード パッケージの直接ダウンロードの場所が sourcefire.com から amazonaws.com に変更されています。

Firewall Management Center の Web インターフェイスからアクセス制御オブジェクトの最適化を有効化または無効化できるようになりました。

新規/変更された画面：[システム（System）]（） > [設定（Configuration）] > [アクセスコントロールの設定（Access Control Preferences）] > [オブジェクトの最適化（Object Optimization）]

バージョンの制限：アクセス制御オブジェクトの最適化は、バージョン 7.2.4 ～ 7.2.5 および 7.4.0 にアップグレードまたは再イメージ化されたすべての Firewall Management Center で自動的に有効になり、バージョン 7.3.x にアップグレードまたは再イメージ化されたすべての Firewall Management Center で自動的に無効になります。バージョン 7.2.6 以降/7.4.1 以降に再イメージ化された Firewall Management Center のデフォルトでは設定可能であり、有効になっていますが、これらのリリースにアップグレードする際には現在の設定が保持されます。

ping を実行して、すべてのクラスタノードがクラスタ制御リンクを介して相互に到達できることを確認できます。ノードがクラスタに参加できない主な原因の 1 つは、クラスタ制御リンクの設定が正しくないことです。たとえば、クラスタ制御リンクの MTU が、接続しているスイッチの MTU よりも大きい値に設定されている可能性があります。

新規/変更された画面：[デバイス（Devices）] > [デバイス管理（Device Management）] > [その他（More）] > [クラスタのライブステータス（Cluster Live Status）]

操作の継続性を向上させるために、Snort によるメモリ使用が過剰な場合、高可用性フェールオーバーをトリガーできるようになりました。これは、プロセスのメモリ使用が過剰な場合に Snort 3 が再起動されるようになったためです。Snort プロセスを再起動すると、デバイスでのトラフィックフローと検査が一時的に中断され、高可用性展開ではフェールオーバーがトリガーされる可能性があります（スタンドアロン展開では、インターフェイス設定により、中断中にインスペクションせずにトラフィックをドロップするか受け渡すかが決定されます）。

この機能は、デフォルトでイネーブルにされています。CLI を使用して無効にしたり、メモリしきい値を設定したりできます。

プラットフォームの制限：クラスタ化されたデバイスではサポートされていません。

新規/変更された CLI コマンド：configure snort3 memory-monitor 、show snort3 memory-monitor-status

参照： Cisco Secure Firewall Threat Defense コマンドリファレンス

Snort 3 コアダンプの頻度を設定できるようになりました。Snort がクラッシュするたびにコアダンプを生成する代わりに、次回 Snort がクラッシュしたときにのみコアダンプを生成できます。または、過去 1 日あるいは 1 週間以内にクラッシュが発生していない場合に生成します。

Snort 3 コアダンプは、スタンドアロンデバイスではデフォルトで無効になっています。高可用性およびクラスタ化されたデバイスの場合、デフォルトの頻度が毎回ではなく 1 日に 1 回になりました。

新規/変更された CLI コマンド：configure coredump snort3 、show coredump

参照： Cisco Secure Firewall Threat Defense コマンドリファレンス

MAC アドレステーブルの不整合に起因するパケット損失は、デバッグ機能に影響を与える可能性があります。Cisco Secure Firewall 3100/4200 は、これらのドロップされたパケットをキャプチャできるようになりました。

新規/変更された CLI コマンド：capture コマンドの [drop{ disable| mac-filter} ] 。

参照： Cisco Secure Firewall Threat Defense コマンドリファレンス

アップグレードの影響。スケジュールされたダウンロードタスクは、メンテナンスリリースの取得を停止します。

[最新の更新のダウンロード（Download Latest Update）] スケジュール済みタスクでは、メンテナンスリリースはダウンロードされなくなり、適用可能な最新のパッチと VDB の更新のみがダウンロードされるようになりました。メンテナンス（およびメジャー）リリースを Firewall Management Center に直接ダウンロードするには、[システム（System）]（） > [製品のアップグレード（Product Upgrades）] を使用します。

アップグレードの影響。アップグレード後に、関連する FlexConfig をすべてやり直します。

DHCP Option 82 を維持するために、Firewall Management Center Web インターフェイスを使用して、インターフェイスを信頼できるインターフェイスとして設定できるようになりました。このように設定すると既存の FlexConfig が上書きされますが、削除する必要があります。

アップグレードの影響。アップグレード後にインターフェイスを同期する必要がある場合があります。

場合によっては、インターフェイスが正しく設定され、デバイス上で機能している場合でも、Firewall Management Center でインターフェイスの設定が欠落していることがあります。これが発生し、さらに Firewall Management Center が実行されている場合は次のようになります。

• バージョン 7.2.5：[インターフェイス（Interfaces）] ページでデバイスを編集して同期するまで展開がブロックされます。

• バージョン 7.2.6 以降/7.4.1 以降：展開は警告付きで許可されますが、最初に同期しないとインターフェイス設定を編集できません。