다음 모델이 포함된 Secure Firewall 1200을 도입했습니다.

• Secure Firewall 1210CX, 8x1000BASE-T 포트 포함

• Secure Firewall 1210CP, 8x1000BASE-T 포트, 포트 1/5-1/8은 PoE(power over Ethernet) 지원

• Secure Firewall 1220CX, 1000BASE-T 포트 8개 및 SFP+ 포트 2개 포함

참조: Cisco Secure Firewall 1210CE, 1210CP 및 1220CX 하드웨어 설치 가이드

디바이스 템플릿을 사용하면 사전 프로비저닝된 초기 디바이스 설정(제로 터치 프로비저닝)을 사용하여 여러 브랜치 디바이스를 구축할 수 있습니다. 인터페이스 설정이 서로 다른 여러 디바이스에 구성 변경 사항을 적용하고 기존 디바이스에서 구성 매개변수를 복제할 수도 있습니다.

제한: 디바이스 템플릿을 사용하여 디바이스를 사이트 간 VPN 토폴로지의 스포크로 구성할 수 있지만 허브로는 구성할 수는 없습니다. 디바이스는 여러 허브 앤 스포크 사이트 간 VPN 토폴로지의 일부일 수 있습니다.

신규/수정된 화면: Devices(디바이스) > Template Management(템플릿 관리)

지원되는 플랫폼: Firepower 1000/2100, Secure Firewall 1200/3100. Firepower 2100 지원은 Firewall Threat Defense 7.4.1–7.4.x에만 해당되며, 해당 디바이스에서는 버전 7.6.0을 실행할 수 없습니다.

이제 사용자 정의 VRF(가상 라우팅 및 포워딩) 인터페이스에서 디바이스의 인증, 권한 부여 및 계정(AAA)이 지원됩니다. 기본값은 관리 인터페이스를 사용하는 것입니다.

디바이스 플랫폼 설정에서 이제 VRF 인터페이스가 있는 보안 영역 또는 인터페이스 그룹을 외부 인증 서버와 연결할 수 있습니다.

신규/수정된 화면: Devices(디바이스) > Platform Settings(플랫폼 설정) > External Authentication(외부 인증)

Policy Analyzer & Optimizer는 중복 또는 섀도우 규칙과 같은 변칙 항목에 대한 액세스 제어 정책을 평가하고 발견된 변칙 항목을 수정하는 작업을 수행할 수 있습니다.

이제 Secure Firewall 4200에서 멀티 인스턴스 모드가 지원됩니다.

이제 CLI를 사용하지 않고도 애플리케이션 모드 디바이스를 Firewall Management Center에 등록한 다음 멀티 인스턴스 모드로 변환할 수 있습니다.

신규/수정된 화면:

• Devices(디바이스) > Device Management(디바이스 관리), 다음 디바이스에 대해 추가 () > Convert to Multi-Instance(> 멀티인스턴스로 전환)을 클릭합니다.

• Devices(디바이스) > Device Management(디바이스 관리), 다음, 여러 디바이스를 선택하고 Select Bulk Action(대량 작업 선택) > Convert to Multi-Instance(멀티인스턴스로 전환)를 선택합니다.

참조: 디바이스를 멀티 인스턴스 모드로 변환

Secure Firewall 3100 및 4200의 경우 최대 노드가 8개에서 16개로 증가했습니다.

참조: Secure Firewall 3100/4200 클러스터링

개별 인터페이스는 라우팅에 사용되는 고유의 로컬 IP 주소를 갖는 일반 라우팅 인터페이스입니다. 각 인터페이스의 기본 클러스터 IP 주소는 항상 제어 노드에 속하는 고정 주소입니다. 제어 노드가 변경될 경우 기본 클러스터 IP 주소는 새 제어 노드로 이동되므로, 클러스터는 지속적으로 원활하게 관리됩니다. 로드 밸런싱은 업스트림 스위치에서 별도로 구성해야 합니다.

제한: 컨테이너 인스턴스에는 지원되지 않습니다.

신규/수정된 화면:

• Devices(디바이스) > Device Management(디바이스 관리) > Add Cluster(클러스터 추가)

• Devices(디바이스) > Device Management(디바이스 관리) > Cluster(클러스터) > Interfaces(인터페이스) / EIGRP / OSPF / OSPFv3 / BGP

• Objects(개체) > Object Management(개체 관리) > Address Pools(주소 풀) > MAC Address Pool(MAC 주소 풀)

참조: Secure Firewall 3100/4200용 클러스터링 및 주소 풀

이제 AWS 지역의 여러 가용성 영역에 Firewall Threat Defense Virtual 가상 클러스터를 구축할 수 있습니다. 그러면 재해 복구 중에 지속적인 트래픽 검사 및 동적 확장(AWS Auto Scaling)이 활성화됩니다.

참조: AWS에서 Threat Defense Virtual 클러스터 구축

이제 GWLB를 사용하여 two-arm 모드로 AWS용 Firewall Threat Defense Virtual을 구축할 수 있습니다. 이를 통해 트래픽 검사 후 인터넷 바인딩 트래픽을 직접 전달할 수 있으며, NAT(네트워크 주소 변환)를 수행할 수 있습니다. Two-arm 모드는 단일 및 다중 VPC 환경에서 지원됩니다.

제한: 클러스터링에서는 지원되지 않습니다.

참조: Secure Firewall Threat Defense Virtual 시작 가이드

이제 Azure 및 GCP에 대해 Firewall Threat Defense Virtual에서 진단 인터페이스 없이 구축할 수 있습니다. 이전에는 하나의 관리 인터페이스, 하나의 진단 인터페이스 및 최소 2개의 데이터 인터페이스가 필요했습니다. 새로운 인터페이스 요구 사항은 다음과 같습니다.

• Azure: 관리 1개, 데이터 2개(최대 8개)

• GCP: 관리 1개, 데이터 3개(최대 8개)

제한: 이 기능은 새 구축에만 지원됩니다. 업그레이드된 디바이스에서는 지원되지 않습니다.

참조: Secure Firewall Threat Defense Virtual 시작 가이드

새 마법사를 사용하면 중앙 집중식 본사와 원격 브랜치 사이트 간에 VPN 터널을 쉽게 구성할 수 있습니다.

신규/수정된 화면: Devices(디바이스) > VPN > Site To Site(사이트 간) > Add(추가) > SD-WAN Topology(SD-WAN 토폴로지)

QUIC 프로토콜에서 실행되는 세션에 적용하도록 암호 해독 정책을 구성할 수 있습니다. QUIC 암호 해독은 기본적으로 비활성화되어 있습니다. 암호 해독 정책별로 QUIC 암호 해독을 선택적으로 활성화하고 QUIC 트래픽에 적용할 암호 해독 규칙을 작성할 수 있습니다. QUIC 연결을 암호 해독하면 시스템에서 침입, 악성코드 또는 기타 문제가 있는지 연결을 검사할 수 있습니다. 또한 액세스 제어 정책의 특정 기준에 따라 해독된 QUIC 연결을 세분화하여 제어 및 필터링할 수도 있습니다.

QUIC 암호 해독을 활성화하는 옵션을 포함하도록 암호 해독 정책 고급 설정을 수정했습니다.

참조: 해독 정책 고급 옵션

새로운 Snort 3 검사기인 snort_ml은 여러 사전 설정 규칙이 없어도 신경망 기반 ML(머신러닝)을 사용하여 알려진 공격 및 0-day 공격을 탐지합니다. 검사기는 HTTP 이벤트를 구독하고 HTTP URI를 찾습니다. HTTP URI는 신경망에서 이를 사용하여 익스플로잇을 탐지합니다(현재 SQL 주입으로 제한됨). 새 검사기는 현재 최대 탐지를 제외한 모든 기본 정책에서 비활성화되어 있습니다.

새로운 침입 규칙인 GID:411 SID:1은 snort_ml이 공격을 탐지하면 이벤트를 생성합니다. 이 규칙은 또한 최대 탐지를 제외한 모든 기본 정책에서 현재 비활성화되어 있습니다.

참조: Snort 3 검사기 참조

업그레이드 영향. 업그레이드하면 텔레메트리가 활성화됩니다.

위협 추적 텔레메트리를 활성화하여 Talos(Cisco의 위협 정보 팀)이 위협 환경에 대해 더욱 포괄적으로 이해하도록 지원할 수 있습니다. 이 기능을 사용하면 특수 침입 규칙의 이벤트가 Talos로 전송되어 위협을 분석하고, 인텔리전스를 수집하고 더 나은 보호 전략을 개발하는 데 도움이 됩니다. 이 설정은 신규 및 업그레이드된 구축에서 기본적으로 활성화됩니다.

신규/수정된 화면: 시스템() > Configuration(구성) > Intrusion Policy Preferences(침입 정책 환경설정) > Talos Threat Hunting Telemetry(Talos 위협 추적 텔레메트리)

참조: 침입 정책 환경설정

이 기능이 도입되었습니다.

Passive identity agent 버전 1.1은 7.6.0 이상과 호환되며 다음을 추가합니다.

• FQDN, IPv4 또는 IPv6를 사용하여 Passive Identity Agent에서 Secure Firewall Management Center 또는 Security Cloud Control에 연결할 수 있습니다.

• IPv4 및 IPv6 사용자 세션을 Microsoft AD(Active Directory)에서 Firewall Management Center로 전송합니다.

• 문제 해결 로그를 압축할 수 있습니다.

• passive identity agent 소프트웨어를 시작하면 사전 요건 목록이 표시됩니다.

passive identity agent ID 소스가 Microsoft Active Directory(AD)에서 Firewall Management Center로 세션 데이터를 전송합니다. 패시브 ID 에이전트 소프트웨어는 다음에서 지원됩니다.

• Microsoft AD 서버(Windows Server 2008 이상)

• Microsoft AD 도메인 컨트롤러(Windows Server 2008 이상)

• 모니터링할 도메인에 연결된 모든 클라이언트(Windows 8 이상)

참조: 패시브 ID 에이전트를 사용한 사용자 제어.

Dynamic Attributes Connector에서는 이제 AWS 보안 그룹, AWS 서비스 태그 및 Cisco Cyber Vision을 지원합니다.

버전 제한: 온프레미스 Dynamic Attributes Connector 통합의 경우 버전 3.0이 필요합니다.

이제 Microsoft Azure Active Directory(AD) 영역을 사용하여 액티브 및 패시브 인증을 수행할 수 있습니다.

• Azure AD를 사용한 액티브 인증: Azure AD를 종속 포털로 사용합니다.

• Cisco ISE를 사용한 패시브 인증(버전 7.4.0에 도입): Firewall Management Center는 Azure AD에서 그룹을 가져오고 ISE에서 로그인한 사용자 세션 데이터를 가져옵니다.

SAML(Security Assertion Markup Language)을 사용하여 통신 사업자(인증 요청을 처리하는 디바이스)와 ID 제공자(인증 요청을 처리하는 디바이스) 간의 신뢰 관계를 설정합니다.

업그레이드 영향. 업그레이드하기 전에 Microsoft Azure AD 영역을 구성한 경우에는 패시브 인증용으로 구성된 SAML - Azure AD 영역으로 표시됩니다. 모든 이전 사용자 세션 데이터는 유지됩니다.

신규/수정된 화면: Integration(통합) > Other Integrations(기타 통합) > Realms(영역) > Add Realm(영역 추가) > SAML - Azure AD

신규/수정된 CLI 명령: 없음

참조: Microsoft Azure AD (SAML) 영역 생성.

연결 이벤트의 MITRE 및 기타 보강 정보를 사용하면 탐지한 위협에 대한 상황 정보에 쉽게 액세스할 수 있습니다. 여기에는 Talos 및 EVE(암호화된 가시성 엔진)의 정보가 포함됩니다. EVE 보강의 경우 EVE를 활성화해야 합니다.

연결 이벤트에는 2개의 새로운 필드가 있으며, 이는 통합 이벤트 뷰어 및 기본 이벤트 뷰어에서 모두 사용할 수 있습니다.

• MITRE ATT&CK: 진행률 그래프를 클릭하여 전술 및 기술을 포함한 위협 세부 정보를 확장합니다.

• Other Enrichment(기타 보강): EVE에서 제공하는 것을 비롯한 사용 가능한 다른 보강 정보를 보려면 클릭합니다.

새로운 Talos 연결 상태 상태 모듈은 이 기능에 필요한 Talos와의 Firewall Management Center 연결을 모니터링합니다.

Secure Firewall 3100을 단일 디바이스(어플라이언스 모드) 또는 여러 컨테이너 인스턴스(멀티 인스턴스 모드)로 구축할 수 있습니다. 멀티 인스턴스 모드에서는 완전히 독립적인 디바이스 역할을 하는 단일 섀시에 여러 컨테이너 인스턴스를 구축할 수 있습니다. 멀티인스턴스 모드에서는 컨테이너 인스턴스(Firewall Threat Defense 업그레이드)와 별도로 운영 체제 및 펌웨어(섀시 업그레이드)를 업그레이드합니다.

신규/수정된 화면:

• Inventory(재고 목록) > FTD Chassis(FTD 섀시)

• Devices(디바이스) > Device Management(디바이스 관리) > Device(디바이스) > Chassis Manager(섀시 관리자)

• Devices(디바이스) > Platform Settings(플랫폼 설정) > New Policy(새 정책) > Chassis Platform Settings(섀시 플랫폼 설정)

• Devices(디바이스) > Chassis Upgrade(섀시 업그레이드)

신규/수정된 Firewall Threat Defense CLI 명령: configure multi-instance network ipv4 , configure multi-instance network ipv6

신규/수정된 FXOS CLI 명령: create device-manager , set deploymode

플랫폼 제한: Secure Firewall 3105에서 지원되지 않습니다.

참조: Secure Firewall 3100/4200용 멀티인스턴스 모드 사용 및 클라우드 제공 Firewall Management Center용 Cisco Secure Firewall Threat Defense 업그레이드 가이드

이제 민감한 트래픽 및 해독 불가 트래픽에 대한 해독을 우회하기가 더 쉬워져 사용자를 보호하고 성능을 향상시킵니다.

새로운 해독 정책에는 이제 활성화된 경우 금융 또는 의료 등 민감한 URL 범주, 암호 해독 불가한 DN 및 암호 해독이 불가능한 애플리케이션에 대한 해독을 자동으로 우회할 수 있는 사전 정의된 규칙이 포함됩니다. 고유 이름 및 애플리케이션은 자체 해독할 수 없는 TLS/SSL 인증서 피닝을 사용하므로 일반적으로 해독할 수 없습니다.

아웃바운드 해독의 경우 정책 생성의 일부로 이러한 규칙을 활성화/비활성화합니다. 인바운드 해독의 경우 규칙은 기본적으로 비활성화되어 있습니다. 정책을 생성한 후 규칙을 편집하거나, 순서를 변경하거나, 규칙을 완전히 삭제할 수 있습니다.

신규/수정된 화면: Policies(정책) > Access Control(액세스 제어) > Decryption(해독) > Create Decryption Policy(암호화 정책 생성)

참조: 해독 정책 생성

참조: 해독 정책

ISE와 함께 Microsoft Azure AD(Active Directory) 영역을 사용하여 사용자를 인증하고 사용자 제어를 위한 사용자 세션을 가져올 수 있습니다.

신규/수정된 화면:

• Integration(통합) > Other Integrations(기타 통합) > Realms(영역) > Add Realm(영역 추가) > Azure AD

• Integration(통합) > Other Integrations(기타 통합) > Realms(영역) > Actions(작업)(예: 사용자 다운로드, 복사, 편집, 삭제)

지원되는 ISE 버전: 3.0 패치 5 이상, 3.1(모든 패치 레벨), 3.2(모든 패치 레벨)

참조: 영역

이제 디바이스 등록 시 적용할 기본 상태 정책을 선택할 수 있습니다. 상태 정책 페이지에서 정책 이름은 어떤 것이 기본값인지를 나타냅니다. 특정 디바이스 사후 등록에 다른 정책을 사용하려면 해당 정책에서 변경합니다. 기본 디바이스 상태 정책은 삭제할 수 없습니다.

신규/수정된 화면: 시스템() > Health(상태) > Policy(정책) > 추가 () > Set as Default(기본값으로 설정)

이제 섀시를 읽기 전용 디바이스로 Firewall Management Center에 등록하여 Firepower 4100/9300에 대한 섀시 수준 상태 알림을 볼 수 있습니다. 또한 Firewall Threat Defense Platform Faults(플랫폼 결함) 상태 모듈을 활성화하고 상태 정책을 적용해야 합니다. 알림은 메시지 센터, 상태 모니터(왼쪽 창의 Devices(디바이스)에서 섀시 선택), 상태 이벤트 보기에 나타납니다.

또한 멀티 인스턴스 모드에서 Secure Firewall 3100용 섀시를 추가하고 상태 알림을 볼 수 있습니다. 이러한 디바이스의 경우, Firewall Management Center를 사용하여 섀시를 관리합니다. 그러나 Firepower 4100/9300 섀시의 경우에는 섀시 관리자 또는 FXOS CLI를 사용해야 합니다.

신규/수정된 화면: Inventory(재고 목록) > FTD Chassis(FTD 섀시)

참조: 클라우드 제공 Firewall Management Center에 Secure Firewall Threat Defense 온보딩 관련 FAQ

고가용성 쌍에서 장애가 발생한 유닛을 교체할 때 복구가 완료되고 디바이스가 재부팅된 후 더 이상 수동으로 고가용성을 다시 시작할 필요가 없습니다. 구축하기 전에 고가용성이 재개되었는지 확인해야 합니다.

참조: Security Cloud Control 매니지드 디바이스 복원

이제 다른 사용자의 티켓을 인수할 수 있습니다. 이는 티켓이 정책에 대한 다른 업데이트를 차단하고 있고 사용자를 이용할 수 없는 경우에 유용합니다.

이제 해독 정책, DNS 정책, 파일 및 악성코드 정책, 네트워크 검색, 인증서 및 인증서 그룹, 암호 그룹 목록, 고유 이름 개체, 싱크홀 개체 기능이 승인 워크플로우에 포함되었습니다.

참조: 변화 관리

새로운 CPU 및 규칙 프로파일러가 Snort 3 성능 문제를 해결하는 데 도움이 됩니다. 이제 다음을 모니터링할 수 있습니다.

• 패킷을 처리하기 위해 Snort 3 모듈/검사기가 사용한 CPU 시간.

• Snort 3 프로세스에서 사용한 총 CPU를 기준으로 각 모듈이 사용 중인 CPU 리소스.

• Snort 3이 높은 CPU를 사용 중일 때 성능이 불만족스러운 모듈.

• 성능이 불만족스러운 침입 규칙.

신규/수정된 화면: Devices(디바이스) > Troubleshoot(문제 해결) > Snort 3 Profiling(Snort 3 프로파일링)

플랫폼 제한: 컨테이너 인스턴스에는 지원되지 않습니다.

참조: Secure Firewall Threat Defense 디바이스에 대한 고급 문제 해결

참조: 문제 해결

이벤트 로깅 및 애널리틱스 목적으로만 버전 7.2 이상 온프레미스 Firewall Management Center에 클라우드 매니지드 디바이스를 공동 관리할 수 있습니다. 클라우드 제공 Firewall Management Center는 온프레미스 Management Center보다 광범위한 매니지드 디바이스 버전을 지원하므로 디바이스가 "너무 오래되어" 공동 관리하기에 "너무 새로운" 문제가 발생할 수 있습니다.

참조: Cisco Secure Firewall Management Center 호환성 가이드.