适用于 Firepower 1010 的 ASA

我们引入了用于 Firepower 1010 的 ASA。此桌面型号包括内置硬件交换机和以太网供电 + （PoE+）支持。

新增/修改的屏幕：

• 配置 > 设备设置 > 接口设置 > 接口 > 编辑 > 交换端口

• 配置 > 设备设置 > 接口设置 > 接口 > 编辑 > 关闭以太网电源

• 配置 > 设备设置 > 接口设置 > 接口 > 添加 VLAN 接口

• 配置 > 设备管理 > 系统映像/配置 > 引导映像/配置

• 配置 > 设备设置 > 系统时间 > 时钟

• 监控 > 接口 > L2 交换机

• 监控 > 接口 的 > 以太网供电

位于 Firepower 1120、1140 和 1150 上的 ASA

我们推出了位于 Firepower 1120、1140 和 1150 上的 ASA。

新增/修改的菜单项：

• 配置 > 设备管理 > 系统映像/配置 > 引导映像/配置

• 配置 > 设备设置 > 系统时间 > 时钟。

Firepower 2100 设备模式

Firepower 2100 运行名为 Firepower 可扩展操作系统 (FXOS) 的底层操作系统。您可以在以下模式下运行 Firepower 2100：

• 设备模式（现在是默认设置）-设备模式允许您配置 ASA 中的所有设置。FXOS CLI 中仅提供高级故障排除命令。

• 平台模式 - 在平台模式时，您必须在 FXOS 中配置基本的操作参数和硬件接口设置。这些设置包括启用接口、建立 EtherChannel、NTP、映像管理等。您可以使用 Firepower 机箱管理器 web 界面或 FXOS CLI。然后，您可以使用 ASDM 或 ASA CLI 在 ASA 操作系统中配置安全策略。

  如果您要升级到 9.13(1)，该模式将保留在平台模式下。

新增/修改的屏幕：

• 配置 > 设备管理 > 系统映像/配置 > 引导映像/配置

• 配置 > 设备设置 > 系统时间 > 时钟

ASAv 的最低内存要求

ASAv 的最低内存要求为 2GB。如果当前 ASAv 的内存少于 2GB，您将无法在不增加 ASAv VM 内存的情况下，从早期版本升级到 9.13(1)。您也可以使用 9.13(1) 版本重新部署新的 ASAv VM。

未修改任何菜单项。

ASAv MSLA 支持

ASAv 支持思科托管服务许可协议（MSLA）程序，这是一种软件许可和消费体系，专为向第三方提供托管软件服务的思科客户和合作伙伴而设计。

MSLA 是一种新的智能许可形式，其中许可智能代理在时间单位内跟踪许可授权的使用情况。

修改了菜单项：配置 > 设备管理 > 许可 > 智能许可

ASAv 灵活许可

灵活许可是智能许可的一种新形式，其中可以在受支持的 ASAv vCPU/内存配置中使用任何 ASAv 许可证。AnyConnect 和 TLS 代理的会话限制将由安装的 ASAv 平台授权确定，而不是与型号相关的平台限制。

修改了菜单项：配置 > 设备管理 > 许可 > 智能许可

AWS 的ASAv 对 C5 实例的支持；对 C4、C3 和 M4 实例的扩展支持

AWS 公有云上的 ASAv 现在支持 C5 实例（c5.large、c5.xlarge 和c5.2xlarge）。

此外，为 C4 实例扩展了支持（c4.2xlarge 和 c4.4xlarge）；C3 实例（c3.2xlarge、c3.4xlarge 和 c3.8xlarge）；和 M4 实例（m4.2xlarge 和 m4.4xlarge）。

未修改任何菜单项。

Microsoft Azure 的 ASAv 支持更多 Azure 虚拟机大小

Microsoft Azure 公有云上的 ASAv 现在支持更多 Linux 虚拟机大小：

• Standard_D4，Standard_D4_v2

• Standard_D8_v3

• Standard_DS3、Standard_DS3_v2

• Standard_DS4、Standard_DS4_v2

• Standard_F4、Standard_F4s

• Standard_F8、Standard_F8s

早期版本仅支持 Standard_D3 和 Standard_D3_v2 大小。

未修改任何菜单项。

ASAv 增强型支持 DPDK

ASAv 支持对数据平面开发工具包（DPDK）的增强，以支持多个 NIC 队列，从而使多核 Cpu 能够同时有效地服务网络接口。

这适用于除 Microsoft Azure 和 Hyper-v 以外的所有 ASAv 虚拟机监控程序。

未修改任何菜单项。

ASAv 支持 VMware ESXi 6.7

ASAv 虚拟平台支持在 VMware ESXi 6.7 上运行的主机。新的 VMware 硬件版本已添加到 vi.ovf 和 esxi.ovf 文件，使 ESXi 6.7 上的 ASAv 能够实现最佳的性能和可用性。

未修改任何菜单项。

防火墙功能

支持 GTPv2 和 GTPv1 版本 15。

系统现在支持 GTPv2 3GPP 29.274 V15.5.0。对于 GTPv1，最高支持 3GPP 29.060 V15.2.0。在支持新版本后，系统可以多识别 2 种消息以及 53 种信息元素。

未修改任何菜单项。

映射地址和端口转换(MAP-T)

映射地址和端口（映射）主要是在服务提供商（SP）网络中使用的一项功能。服务提供商可以运行 IPv6 网络、映射域，同时支持 IPv4 用户，以及与公共互联网上的 IPv4 站点通信的需要。映射在 RFC7597、RFC7598 和 RFC7599 中定义。

新增/修改的命令：配置 > 设备设置 > CGNAT 映射、 监控 > 属性 > 映射域。

每个组增加了 AAA 服务器组和服务器的限制。

您可以配置更多 AAA 服务器组。在单情景模式下，您可以配置 200 AAA 服务器组（前一个限制为100）。在多情景模式下，您可以配置 8（前一个限制为4个）。

此外，在多情景模式下，您可以每组配置 8 个服务器（每个组的前一个限制为 4 个服务器）。单情景模式的每组限制 16，保持不变。

修改了 AAA 屏幕以接受这些新的限制。

已弃用用于 SCCP （Skinny）检测的 TLS 代理。

已弃用 tls-proxy 关键字以及对 SCCP/Skinny 加密检测的支持。在未来版本中，将从 inspect skinny 命令中删除该关键字。

HSTS 支持 WebVPN 作为客户端

添加了称为 http 标头的 WebVPN 模式下的新 CLI 模式，以便 WebVPN 可以将对 HSTS 的主机的 HTTP 引用转换为 HTTPS 引用。在将 WebVPN 连接从 ASA 发送到浏览器时，配置用户代理是否允许嵌入资源。

修改了以下菜单项：配置 > 远程访问 VPN > 无客户端 SSL VPN 访问 > 高级 > 代理

Diffie-hellman 组 15 和 16 添加密钥交换：

要添加对 Diffie-hellman 组 15 和 16 的支持，我们修改了几个 crypto 命令来接受这些新的限制。

crypto ikev2 policy <index> group <number> 和 crypto map <map-name> <map-index> set pfs <group>.

show asp table vpn-context 对输出的增强

为了增强调试功能，这些 vpn 情景计数器已添加到输出中：锁定错误、不使用 SA、IP 版本错误和 Tun 关闭。

新增/修改的命令：show asp table vpn-context （仅输出）

监控群集的流量负载

现在，您可以监控群集成员的流量负载，包括总连接计数、CPU 和内存使用情况以及缓冲区丢弃。如果负载过高，且剩余的设备可以处理负载，您可以选择在设备上手动禁用群集，或调整外部交换机上的负载均衡。默认情况下启用此功能。

新增/修改的屏幕：

• 配置 > 设备管理 > 高可用性和可扩展性 > ASA 群集 > 群集配置 > 启用群集负载监控复选框

• 监控 > ASA 群集 > 群集负载监控

加快加入集群的速度

当从属设备与主设备配置相同时，系统将跳过配置同步操作，从而加快加入集群的速度。此功能默认启用。此功能需要在每部设备上单独配置，而不是从主设备复制到从属设备。

新增/修改的菜单项：配置 > 设备管理 > 高可用性和可扩展性 > ASA 群集 > 群集配置 > 启用配置同步加速复选框

支持设置 NSF 等待计时器

如果 OSPF 路由器不知道所有邻居是否在数据包中列出，并且重新启动路由器需要保留邻接关系，则它们会在连接到 Hello 数据包的 EO 中设置 RS 位。但是，RS 位值不能超过 RouterDeadInterval 秒。引入 timers nsf wait 命令，以将呼叫数据包中的 RS 位设置为小于 RouterDeadInterval 秒。

支持设置 tftp 块大小

为 tftp 文件传输修复的典型块大小为 512-八位组。引入了一个新命令 tftp blocksize ，以配置更大的区块，从而增强 tftp 文件传输速度。您可以将大小范围从 513 设置为 8192 个八位组。新的默认大小（1456 个八位组）。此命令的 no 形式会将区块重置为较旧的默认值 - 512 个八位组。引入 timers nsf wait 命令，以将呼叫数据包中的 RS 位设置为小于 RouterDeadInterval 秒。

支持查看 FIPS 状态

仅当启用 fips 时， show 运行配置 fips命令才会显示 fips 状态。为了了解运行状态，引入了show fips命令，在用户启用或禁用处于禁用或启用状态的 fips 时，它会显示 fips 状态。此命令还显示启用或禁用操作后重新启动设备的状态。

对 CRL 分发点命令的修改

静态 CDP URL 配置命令将被删除并移至匹配证书命令。

新建/修改菜单项：配置 > 设备管理 > 证书管理 > CA 证书

Firepower 1000、Firepower 2100 设备模式处于许可评估模式时的管理访问

ASA 默认情况下包含 3DES 功能，仅用于管理访问，因此您可以连接到许可证颁发机构，还可以立即使用 ASDM。如果之后在 ASA 上配置了 SSH 访问，也可以使用 SSH 和 SCP。其他需要强加密（例如 VPN）的功能必须启用强加密许可证，这要求您先向许可证颁发机构注册。

未修改任何菜单项。

额外 NTP 身份验证算法：

以前，NTP 身份验证仅支持 MD5。现在 ASA 支持以下加密算法：

• MD5

• SHA-1

• SHA-256

• SHA-512

• AES-CMAC

新建/修改的菜单项：

配置 > 设备设置 > 系统时间 > NTP > 添加按钮 > 添加 NTP 服务器配置对话框> 密钥算法下拉列表

适用于 Firepower 4100/9300 的 ASA 安全服务交换（SSE）遥测支持

在您的网络中启用 Cisco Success 网络后，会向 Cisco 提供设备使用信息和统计信息，用于优化技术支持。在 ASA 设备上收集的遥测数据包括 CPU、内存、磁盘或带宽使用情况、许可证使用情况、已配置的功能列表、群集/故障切换信息等。

新增/修改的屏幕：

• 配置 > 设备管理 > 遥测

• 监控 > 属性 > 遥测

show tech-support 包括其他输出

show tech-support 的输出已得到增强，可以显示以下内容的输出：

show flow-offload info detail

show flow-offload statistics

show asp table socket

新增/修改的命令：show tech-support （仅输出）

为包含丢失位置信息对 show-capture asp_drop 输出的增强

使用 ASP 丢弃计数器进行故障排除时，丢弃的确切位置是未知的，尤其是在许多不同的地方使用相同的 ASP 丢弃原因时。此信息对于寻找丢失的根本原因至关重要。通过此增强功能，将显示 ASP 丢弃详细信息，例如版本目标、ASA 版本号、硬件型号和 ASLR 内存文本区域（用于促进丢弃位置的解码）。

新增/修改的命令：show-capture asp_drop

修订 debug crypto ca

debug crypto ca transactions 和 debug crypto ca messages 选项经过整合，可将所有适用的内容提供给命令 debug crypto ca 本身。此外，可用调试级别的数量减少到 14。

新增/修改的命令：debug crypto ca

Firepower 1000 和2100 的 FXOS 功能

安全擦除

安全清除功能会清除 SSD 上的所有数据，以便即使在 SSD 本身上使用特殊工具也无法恢复数据。停止使用设备时，应执行安全清除。

新增/修改的命令：erase secure (local-mgmt)

支持的型号：Firepower 1000 和 2100

可配置的 HTTPS 协议

您可以为 HTTPS 访问设置 SSL/TLS 版本。

新增/修改的命令：set https access-protocols

支持的型号：平台模式中的 Firepower 2100

针对 IPSec 和 Keyrings 的 FQDN 实施

您可以配置 FQDN 实施，使对等体的 FDQN 需要与对等体所提供的 X.509 证书中的 DNS 名称匹配。对于 IPSec，默认情况下会启用实施，但在 9.13(1) 之前创建的连接除外;您必须手动启用这些旧连接的实施。对于 keyrings，所有主机名都必须是 Fqdn，并且不能使用通配符。

新增/修改的命令：set dns、set e-mail、 set fqdn-enforce 、set ip 、set ipv6 、set remote-address 、set remote-ike-id

删除的命令：fi-a-ip 、fi-a-ipv6 、fi-b-ip 、fi-b-ipv6

支持的型号：平台模式中的 Firepower 2100

新 IPSec 密码和算法

添加了以下 IKE 和 ESP 密码和算法（不可配置）：

• 密码 - aes192。现有密码包括：aes128、aes256、aes128gcm16。

• 伪随机函数(PRF)（仅限 IKE）-prfsha384、prfsha512、prfsha256。现有 PRFs 包括：prfsha1。

• 完整性算法-sha256、sha384、sha512、sha1_160。现有算法包括：sha1。

• Diffie-hellman 组-curve25519、ecp256、ecp384、ecp521、modp3072、modp4096。现有组包括：modp2048。

支持的型号：平台模式中的 Firepower 2100

SSH 身份验证增强功能

添加了以下 SSH 服务器加密 algoritghms：

• aes128-gcm@openssh.com

• aes256-gcm@openssh.com

• chacha20-poly@openssh.com

添加了以下 SSH 服务器密钥交换方法：

• diffie-hellman-group14-sha256

• curve25519-sha256

• curve25519-sha256@libssh.org

• ecdh-sha2-nistp256

• ecdh-sha2-nistp384

• ecdh-sha2-nistp521

新增/修改的命令：set ssh-server encrypt-algorithm 、set ssh-server kex-algorithm 。

支持的型号：平台模式中的 Firepower 2100

用于 X.509 证书的 EDCS 密钥

现在，您可以将 EDCS 密钥用于证书。以前，仅支持 RSA 密钥。

新增/修改的命令：set elliptic-curve 、set keypair-type 。

支持的型号：平台模式中的 Firepower 2100

用户密码改进

添加了密码安全改进，包括以下内容：

• 用户密码最多可达 127 个字符。旧限制为 80 个字符。

• 系统会启用强密码。

• 提示设置管理员密码。

• 密码到期。

• 限制密码重复使用。

新增/修改的屏幕：

• 系统 > 用户管理 > 本地用户

• 系统 > 用户管理 > 设置

支持的型号：平台模式中的 Firepower 2100