特性和功能

Firepower 版本 6.4.0包括:

新功能

以下主题列示了 Firepower 版本 6.4.0中可用的新功能。如果您的升级路径跳过了一个或多个主版本,请参阅思科 Firepower 版本说明查看过去的新功能列表。

Firepower 管理中心/Firepower 版本 6.4.0 中的新增功能

下表列出了在使用 Firepower 管理中心进行配置时 Firepower 版本 6.4.0 中可用的新功能:

表 1. 版本 6.4.0 新增功能:FMC 部署
功能 说明

硬件和虚拟硬件

FMC型号 MC1600、2600 和 4600

我们推出了 Firepower 管理中心型号 MC1600、2600 和 4600。请注意,这些型号也支持 6.3.x。

FMCv(位于 Azure 上)

我们将 Firepower 管理中心虚拟引入到 Microsoft Azure 上。

FTD(位于 Firepower 1010、1120 和 1140 上)

我们推出了 Firepower 1010、1120 和 1140。

FTD(位于 Firepower 4115、4125 和 4145 上)

我们推出了 Firepower 4115、4125 和 4145。

Firepower 9300 SM-40、SM-48 和 SM-56 支持

我们推出了三个安全模块:SM-40、SM-48 和 SM-56。

ASA 和 FTD(位于同一 Firepower 9300 上)

您现在可以在同一个 Firepower 9300 上同时部署 ASA 和 FTD逻辑设备。需要 FXOS 2.6.1。

许可

新许可功能,适用于 ISA 3000

对于 ASA FirePOWER 和 FTD部署,ISA 3000 现支持 URL 过滤和恶意软件许可证及其相关功能。

仅对于 FTDISA 3000 现在还支持为经过核准的客户预留特定许可证。

支持的平台: ISA 3000

Firepower 威胁防御 路由

OSPFv2 路由的轮换式(密钥链)身份验证

现在,您可以在配置 OSPFv2 路由时使用轮换式(密钥链)身份验证。

新增/修改的屏幕:

  • Objects > Object Management > Key Chain 对象

  • Devices > Device Management > edit device > Routing 选项卡 > OSPF settings > Interface 选项卡 > add/edit interface > Authentication 选项

  • Devices > Device Management > edit device > Routing 选项卡 > OSPF settings > Area 选项卡 > add/edit area > Virtual Link 子选项卡 > add/edit virtual link > Authentication 选项

支持的平台: FTD

Firepower 威胁防御 加密和 VPN

RA VPN:辅助身份验证

辅助身份验证(也称为双重身份验证)通过使用两个不同的身份验证服务器,为 RA VPN 连接额外添加了一层安全性。启用辅助身份验证后,AnyConnect VPN 用户必须提供两组凭证才能登录 VPN 网关。

RA VPN 支持仅 AAA 和客户端证书以及 AAA 身份验证方法的辅助身份验证。

新增/经修改的屏幕:Devices > VPN > Remote Access > add/edit configuration > Connection Profile > AAA 区域

支持的平台: FTD

站点到站点 VPN:外联网终端的动态 IP 地址

您现在可以配置站点到站点 VPN 以使用外联网终端的动态 IP 地址。在中心辐射型部署中,可以将集线器用作外联网终端。

新增/经修改的屏幕:Devices > VPN > Site To Site > add/edit FTD VPN topology > Endpoints 选项卡 > add endpoint > IP Address 选项

支持的平台: FTD

站点到站点 VPN:用于点对点拓扑的动态加密映射

您现在可以在点对点以及中心辐射型 VPN 拓扑中使用动态加密映射。全网状拓扑仍不支持动态加密映射。

配置拓扑时需指定加密映射类型。确保同时为拓扑中的对等设备之一指定动态 IP 地址。

新增/经修改的屏幕:Devices > VPN > Site To Site > add/edit FTD VPN topology > IPsec 选项卡 > Crypto Map Type 选项

支持的平台: FTD

TLS 加密加速

SSL 硬件加速已重命名为 TLS 加密加速。根据设备的不同,TLS 加密加速可以在软件或硬件中执行。版本 6.4 升级进程会自动在所有符合条件的设备上启用加速,即使先前已手动禁用该功能也不例外。

在大多数情况下,您无法配置此功能;它会自动启用,您无法禁用它。但是,如果您使用的是 Firepower 4100/9300 机箱的多实例功能,则可以为每个模块/安全引擎的一个容器实例启用 TLS 加密加速。加速对其他容器实例禁用,但对本地实例启用。

Firepower 4100/9300 机箱的新 FXOS CLI 命令:

  • show hwCrypto

  • config hwCrypto

新增的 FTD CLI 命令:

  • show crypto accelerator status (取代 system support ssl-hw-status

删除的 FTD CLI 命令:

  • system support ssl-hw-accel

  • system support ssl-hw-status

支持的平台:Firepower 2100 系列、Firepower 4100/9300 机箱

事件、日志记录和分析

针对文件和恶意软件事件系统日志消息的改进

现在可以通过系统日志从受管设备发送完全限定的文件和恶意软件事件数据。

新增/经修改的屏幕:Policies > Access Control > Access Control > add/edit policy > Logging 选项卡 > File and Malware Settings 区域

支持的平台:任意

按 CVE ID 搜索入侵事件

现在可以搜索由于特定 CVE 漏洞而引起的入侵事件。

新增/经修改的屏幕:Analysis > Search

支持的平台: FMC

系统日志中现包括 IntrusionPolicy 字段

入侵事件系统日志消息现在指定触发事件的入侵策略。

支持的平台:任意

思科威胁响应 (CTR) 集成

思科 Threat Response是一款全新的思科云产品,可帮助您快速检测、调查和响应威胁。通过 CTR,您可以联合来自多个产品(包括 Firepower 威胁防御)的数据来分析事件。有关详细信息,请参阅《Firepower 和思科威胁响应集成指南》

新增/经修改的屏幕:System > Integration > Cloud Services

支持的平台: FTD

Splunk 集成

Splunk 用户可以使用新的独立 Splunk 应用程序 Cisco Firepower App for Splunk分析事件。可用功能受 Firepower 版本的影响。

支持的平台: FMC

管理

VMware 上的 FTDv 默认为 vmxnet3 接口

创建虚拟设备时,VMware 上的 FTDv 现在默认为 vmxnet3 接口。先前,默认值为 e1000。vmxnet3 设备驱动器和网络处理与 ESXi 虚拟机监控程序集成,因此其使用更少的资源并提供更好的网络性能。

 
如果您使用的是 e1000 接口,我们强烈建议您切换。如需详细信息,请参阅《适用于 VMware 的思科虚拟 Firepower 威胁防御入门指南》中有关添加和配置 VMware 接口的说明。

支持的平台:VMware 上的 FTDv

能够在管理接口上禁用重复地址检测 (DAD)

启用 IPv6 后,可以禁用 DAD。您可能希望禁用 DAD,因为使用 DAD 可能会导致拒绝服务攻击。如果禁用此设置,则需要手动检查此接口是否未使用已分配的地址。

新增/经修改的屏幕:System > Configuration > Management Interfaces > Interfaces 区域 > edit interface > IPv6 DAD 复选框

支持的平台:FMC7000 和 8000 系列

能够在管理接口上禁用 ICMPv6 回应应答和目的地不可达消息

启用 IPv6 后,此时您可以禁用 ICMPv6 回应应答和目的地不可达消息。您可能希望禁用这些数据包以防止潜在的拒绝服务攻击。禁用回应应答数据包意味着无法使用 IPv6 ping 到设备管理接口,以进行测试。

新增/修改的屏幕:

System > Configuration > Management Interfaces > ICMPv6

新增/经修改的命令:

  • configure network ipv6 destination-unreachable

  • configure network ipv6 echo-reply

支持的平台:FMC(仅限 Web 界面)、受管设备(仅限 CLI)

对 RADIUS 服务器上定义的 FTD用户的 Service-Type 属性的支持

对于 FTDCLI 用户的 RADIUS 身份验证,以往,您须预定义 RADIUS 外部身份验证对象中的用户名,且须手动确保该列表匹配 RADIUS 服务器上定义的用户名。现在,您可以使用 Service-Type 属性在 RADIUS 服务器上定义 CLI 用户,亦可同时定义“基本”和“配置”用户角色。要使用此方法,请务必将外部身份验证对象中的外壳访问过滤器留空。

新增/经修改的屏幕:System > Users > External Authentication 选项卡 > add/edit external authentication object > Shell Access Filter

支持的平台: FTD

查看对象使用情况

现在,您可以通过对象管理器查看使用网络、端口、VLAN 或 URL 对象的策略、设置和其他对象。

新增/经修改的屏幕:Objects > Object Management > choose object type > Find Usage(双筒望远镜)图标

支持的平台: FMC

签名的 SRU、VDB 和 GeoDB 更新(增强的安全性)

因此,Firepower 可以验证您使用的是正确的更新文件,版本 6.4+ 使用签名的入侵规则 (SRU)、漏洞数据库 (VDB) 和地理位置数据库 (GeoDB) 更新。早期版本继续使用未签名的更新。除非您从思科支持和下载站点手动下载更新 - 例如,在物理隔离部署中 - 否则您应该不会察觉到功能上的任何差异。

但是,如果您手动下载并安装 SRU、VDB 和 GeoDB 更新,请确保为当前版本下载正确的软件包。版本 6.4+ 的签名更新文件以“Cisco”(而不是“Sourcefire”)开头,以 .sh.REL.tar(而不是 .sh)结尾:

  • SRU:Cisco_Firepower_SRU-日期-内部版本-vrt.sh.REL.tar

  • VDB:Cisco_VDB_Fingerprint_Database-4.5.0-版本.sh.REL.tar

  • GeoDB:Cisco_GEODB_Update-日期-内部版本.sh.REL.tar

版本 5.x 至 6.3 的更新文件仍然使用旧的命名方案:

  • SRU:Sourcefire_Rule_Update-日期-内部版本-vrt.sh

  • VDB:Sourcefire_VDB_Fingerprint_Database-4.5.0-版本.sh

  • GeoDB:Sourcefire_Geodb_Update-日期-内部版本.sh

我们将同时提供签名和未签名的更新,直到对需要未签名更新的版本的支持结束为止。 不要解压签名的 (.tar) 包。

 
如果您意外将已签名的更新上传到较早的 FMC 或 ASA FirePOWER 设备,则必须手动将其删除。离开软件包会占用磁盘空间,并且还可能导致未来升级出现问题。

支持的平台:任意

受管设备的预定远程备份

您现在可以使用 FMC 来预定某些受管设备的远程备份。以前,只有 Firepower 7000/8000 系列设备支持预定备份,且必须使用设备的本地 GUI。

新增/经修改的屏幕:System > Tools > Scheduling > add/edit task > 选择 Job Type: Backup > 选择 Backup Type

支持的平台:FTD物理平台、适用于 VMware 的 FTDv、Firepower 7000/8000 系列

例外:不支持 FTD群集设备或容器实例

监控和故障排除

URL 过滤监控器改进

您可以配置 URL 过滤监控器警报的时间阈值。

新增/经修改的屏幕:System > Health > Policy > add/edit policy > URL Filtering Monitor

支持的平台:任意

访问控制和预过滤规则的命中计数

您现在可以访问您的 FTD 设备上的访问控制和预过滤规则命中计数。

新增/修改的屏幕:

  • Policies > Access Control > Access Control > add/edit policy > Analyze Hit Counts

  • Policies > Access Control > Prefilter > add/edit policy > Analyze Hit Counts

新增的命令:

  • show rule hits

  • clear rule hits

  • cluster exec show rule hits

  • cluster exec clear rule hits

  • show cluster rule hits

经修改的命令:

  • show failover 现在包含与高可用性对等设备之间的同步命中计数相关的对象静态计数

支持的平台: FTD

基于连接的故障排除

基于连接的故障排除或调试可跨模块提供统一调试,以收集特定连接的相应日志。它还支持最多 7 级的基于级别的调试,并为 lina 和 Snort 日志启用统一的日志收集机制。

新增/经修改的命令:

  • clear packet debugs

  • debug packet start

  • debug packet stop

  • show packet debugs

支持的平台: FTD

新的思科成功网络监控功能

新增了以下思科成功网络监控功能:

  • CSPA(思科安全数据包分析器)查询信息

  • FMC 上启用了上下文交叉启动实例

  • TLS/SSL 检查事件

  • Snort 重新启动

思科成功网络会将使用情况信息和统计信息发送到思科,这些信息对于为您提供技术支持至关重要。您可以随时选择加入或退出。

支持的平台: FMC

Firepower 管理中心 REST API

新的 REST API 功能

添加了 REST API 对象以支持版本 6.4 的功能:

  • cloudeventsconfigs:管理思科威胁响应集成。

  • ftddevicecluster:管理机箱群集。

  • hitcounts:管理访问控制和预过滤规则的命中计数统计信息。

  • keychain:管理配置 OSPFv2 路由时,用于轮换式身份验证的密钥链对象。

  • loggingsettings:管理访问控制策略的日志记录设置

支持的平台: FMC

基于 OAS 的 API Explorer

版本 6.4 使用基于 OpenAPI 规范 (OAS) 的 API Explorer。作为 OAS 的一部分,您现在可以使用 CodeGen 生成示例代码。如果愿意,您仍然可以访问旧版 API Explorer。

支持的平台: FMC

性能

Snort 重新启动改进

在版本 6.4 之前,Snort 重新启动期间,系统会丢弃与“不解密”SSL 规则或默认策略操作匹配的加密连接。现在,只要您没有禁用大流量负载分流或 Snort 保留连接,已路由/透明流量不经检查即会通过而不会被丢弃。

支持的平台:Firepower 4100/9300

选定 IPS 流量的性能改进

出口优化是针对所选 IPS 流量的性能特征。此功能默认在所有 FTD 平台上启用。

版本 6.4 升级进程可在符合条件的设备上启用出口优化。有关详细信息,请参阅《思科 Firepower 威胁防御命令参考》。要排查与出口优化相关的问题,请联系思科 TAC

支持的平台: FTD

新增/经修改的命令:

  • asp inspect-dp egress optimization

  • show asp inspect-dp egress optimization

  • clear asp inspect-dp egress optimization

  • show conn state egress_optimization

更快的 SNMP 事件记录

将入侵和连接事件发送到外部 SNMP 陷阱服务器时的性能改进。

支持的平台:任意

更快的部署

设备通信和部署框架的改进。

支持的平台: FTD

更快的升级

事件数据库改进。

支持的平台:任意

Firepower 设备管理器/FTD6.4.0 版本中的新增功能

发布日期:2019 年 4 月 24 日

下表列出了在使用 Firepower 设备管理器进行配置时 FTD6.4.0 中可用的新功能:

表 2.

功能

说明

Firepower 1000 系列设备配置。

您可以在 Firepower 1000 系列设备上使用 Firepower 设备管理器配置 Firepower 威胁防御

请注意,您可以将以太网供电 (PoE) 端口当做常规以太网端口来进行配置和使用,但您不能启用或配置任何 PoE 相关的属性。

适用于 ISA 3000 的硬件旁路。

现在,您可以在 Device > Interfaces 页面上配置适用于 ISA 3000 的硬件旁路。在版本 6.3 中,您需要使用 FlexConfig 配置硬件旁路。如果您正在使用 FlexConfig,请在 Interfaces 页面上重新配置并从 FlexConfig 中删除硬件旁路命令。但是,我们仍建议保留 FlexConfig 中用于禁用 TCP 序列号随机化的部分。

能够从 FDM CLI 控制台重新启动和关闭系统。

现在,可以通过 FDM 中的 CLI 控制台发出 reboot shutdown 命令。先前,需要打开与设备的单独 SSH 会话,以重新启动或关闭系统。要使用这些命令,必须具有管理员权限。

使用 RADIUS 对 FTDCLI 用户进行外部身份验证和授权

您可以使用外部 RADIUS 服务器对登录到 FTD CLI 的用户进行身份验证和授权。您可以为外部用户提供配置(管理员)或基本(只读)权限。

Device > System Settings > Management Access 页面上的 AAA Configuration 选项卡中增加了 SSH 配置。

对网络范围对象和嵌套网络组对象的支持。

您现在可以创建指定一系列 IPv4 或 IPv6 地址的网络对象和包括其他网络组(即,嵌套组)的网络组对象。

修改了网络对象和网络组对象 Add/Edit 对话框以增加这些功能,并且修改了安全策略以允许使用这些对象,具体取决于相应类型的地址规范是否适用于策略情景。

对象和规则的全文本搜索选项。

您可以在对象和规则中执行全文本搜索。通过搜索包含大量条目的策略或对象列表,您可以找到规则或对象中包含搜索字符串的所有条目。

在具备规则的所有策略中以及 Objects 列表中的所有页面上都添加了一个搜索对话框。此外,您还可以使用 API 内受支持对象 GET 调用中的filter=fts~搜索字符串 选项来根据全文本搜索检索条目。

获取 FDM 管理 FTD 设备支持的 API 版本列表。

您可以使用 GET/api/版本 (ApiVersions) 方法获取设备支持的 API 版本列表。您可以在 API 客户端上使用任何受支持版本支持的命令和语法来与设备通信和配置设备。

FTDREST API 版本 3 (v3)。

软件版本 6.4 的 FTDREST API 已升级到第 3 版。必须将 API URL 中的第 1 版/第 2 版替换为第 3 版。第 3 版 API 包括涵盖软件版本 6.4 中所有新增功能的许多新资源。请重新评估所有现有的调用,因为正在使用的资源型号可能已发生更改。要打开 API Explorer(您可以在其中查看资源),登录后请将 Firepower 设备管理器 URL 的末尾改为 /#/api-explorer

访问控制规则的命中计数。

您现在可以查看访问控制规则的命中计数。命中计数表示连接与规则匹配的频率。

更新了访问控制策略,在其中加入了命中计数信息。在 FTD API 中的 GET Access Policy Rules 资源中添加了 HitCounts 资源以及 includeHitCountsfilter=fetchZeroHitCounts 选项。

适用于动态编址和证书身份验证的站点间 VPN 增强功能。

您现在可以配置站点间 VPN 连接,从而使用证书而非预共享密钥来进行对等体身份验证。您还可以配置其远程对等体包含未知(动态)IP 地址的连接。在站点间 VPN 向导和 IKEv1 策略对象中新增了一些选项。

支持 RADIUS 服务器和远程接入 VPN 中的授权更改。

您现在可以使用 RADIUS 服务器对远程接入 VPN (RA VPN) 用户进行身份验证、授权和记帐操作 。您还可以配置身份验证更改 (CoA)(也称为动态授权),以便在使用思科 ISE RADIUS 服务器时,可以在身份验证之后更改用户的授权。

在 RADIUS 服务器和服务器组对象中添加一些属性,并使用户能够选择 RA VPN 连接配置文件中的 RADIUS 服务器组。

适用于远程接入 VPN 的多个连接配置文件和组策略。

您可以配置多个连接配置文件,并创建与这些配置文件一起使用的组策略。

调整了 Device > Remote Access VPN 页面,现在连接配置文件和组策略分别位于单独的页面上,此外还更新了 RA VPN 连接向导,以便允许用户选择组策略。此前需在向导中配置的一些项目现在可以在组策略中进行配置。

远程接入 VPN 支持基于证书的辅助身份验证源和双因素身份验证。

您可以使用证书进行用户身份验证,并配置辅助身份验证源,以便用户在建立连接之前必须进行两次身份验证。您还可以配置双因素身份验证,使用 RSA 令牌或 Duo 密码作为第二个因素。

更新了 RA VPN 连接向导,以支持配置这些新增选项。

远程接入 VPN 支持带多个地址范围的 IP 地址池和 DHCP 地址池。

您现在可以选择多个网络对象来指定子网,从而配置拥有多个地址范围的地址池。此外,您还可以在 DHCP 服务器中配置地址池,并使用此服务器为 RA VPN 客户端提供地址。如果您使用 RADIUS 进行授权,您也可以在 RADIUS 服务器中配置地址池。

更新了 RA VPN 连接向导,以支持配置这些新增选项。您可以选择在组策略中而非连接配置文件中配置地址池。

Active Directory 领域的增强功能。

您现在可以在单个领域中添加多达 10 个冗余 Active Directory (AD) 服务器。您还可以创建多个领域,并删除不再需要的领域。此外,单个领域中下载用户的数量限制已从此前版本的 2,000 增加到 50,000。

更新了 Objects > Identity Sources 页面,以支持多个领域和服务器。您可以在访问控制用户标准和 SSL 解密规则中选择领域,从而对此领域中的所有用户应用此规则。您还可以在身份规则和 RA VPN 连接配置文件中选择领域。

ISE 服务器的冗余支持。

在将思科身份服务引擎 (ISE) 配置为被动身份验证的身份源时,如果具有 ISE 高可用性设置,现在可以配置辅助 ISE 服务器。

在 ISE 身份对象中添加了辅助服务器的属性。

发送到外部系统日志服务器的文件/恶意软件事件。

您可以配置要接收文件/恶意软件事件的外部系统日志服务器,这些事件是由访问控制规则配置的文件策略生成的。文件事件使用的消息 ID 为 430004,恶意软件事件则为 430005。

Device > System Settings > Logging Settings 页面中添加了文件/恶意软件系统日志服务器选项。

记录到内部缓冲区并支持自定义事件日志过滤器。

您可以将内部缓冲区配置为系统日志记录的目的地。此外,您可以创建事件日志过滤器,来自定义需要分别为系统日志服务器和内部缓冲区日志记录目的地生成的消息。

Objects 页面中添加了 Event Log Filter 对象,并在 Device > System Settings > Logging Settings 页面添加了使用此对象的功能。Logging Settings 页面也添加了内部缓冲区选项。

Firepower 设备管理器 Web 服务器证书。

您现在可以配置用于 HTTPS 连接到 Firepower 设备管理器配置接口的证书。通过上传 Web 浏览器已经信任的证书,可避免使用默认内部证书时获得的“不受信任的颁发机构”的消息。添加了 Device > System Settings > Management Access > Management Web Server 页面。

思科威胁响应支持。

您可以配置系统将入侵事件发送到思科威胁响应基于云的应用。您可以使用思科威胁响应分析入侵事件。

Device > System Settings > Cloud Services 页面添加了思科威胁响应。

已弃用的功能

本主题按 Firepower 版本列示了弃用的功能和平台。如果您的升级路径跳过了一个或多个主版本,必须查看中间版本的信息。

有关所有受支持的 Firepower 版本的详细兼容性信息,包括弃用平台的销售终止和生命周期终止公告的链接,请参阅思科 Firepower 兼容性指南

版本 6.4.0 弃用的功能

这些功能在版本 6.4.0 中被弃用。

表 3. 版本 6.4.0 弃用的功能
功能 说明

SSL 硬件加速 FTD CLI 命令

作为 TLS 加密加速功能的一部分,我们删除了以下 FTD CLI 命令:

  • system support ssl-hw-accel enable

  • system support ssl-hw-accel disable

  • system support ssl-hw-status

有关替换的详细信息,请参阅新功能文档。

版本 6.3.0 弃用的功能

这些功能在版本 6.3.0 中被弃用。

表 4. 版本 6.3.0 弃用的功能
功能 说明

EMS 对于解密的扩展支持(仅 6.3.0)

版本 6.3.0 不再提供 EMS 扩展支持,版本 6.2.3.8/6.2.3.9 中引入了此支持。这意味着解密 - 重新签名解密 - 已知密钥 SSL 策略操作在 ClientHello 协商期间不再支持有助实现更安全通信的 EMS 扩展。EMS 扩展由 RFC 7627 定义。

在 FMC 部署中,此功能取决于设备版本。只要设备运行支持的版本,将 FMC 升级到版本 6.3.0 就不会造成支持中断。但是,将设备升级到版本 6.3.0 会导致支持中断。

版本 6.3.0.1 中重新提供支持。

无源和内联分流接口的解密

版本 6.3.0 不再支持在无源或内联分流模式下解密接口上的流量,即使 GUI 允许您这样配置也不例外。对加密流量的任何检查都必须受到限制。

VMware 5.5 托管

尚未在 VMware vSphere/VMware ESXi 5.5 上测试版本 6.3.0+ 的虚拟部署。我们建议您在升级 Firepower 软件之前升级托管环境。

安装了 Firepower 软件的 ASA 5506-X 系列和 ASA 5512-X 设备

不能在这些型号上升级或全新安装版本 6.3.0+ 的 Firepower 软件(包括 FTD和 ASA FirePOWER):

  • ASA 5506-X、5506H-X、5506W-X

  • ASA 5512-X

但是,您可以通过版本 6.3.0 的 FMC 管理较旧的设备(版本 6.1.0 至 6.2.3.x)。

版本 6.2.0 弃用的功能

这些功能在版本 6.2.0 中被弃用。

表 5. 版本 6.2.0 弃用的功能
功能 说明

嵌套的关联规则

版本 6.2.0 不再支持嵌套的关联规则。如果关联规则用作另一个关联规则的触发器,则关联规则即为嵌套。例如,如果您创建规则 A 和规则 B,这两个规则都会触发入侵事件,则可以使用条件“规则 A 为真”作为规则 B 的限制。在此配置中,规则 A 被视为嵌套在规则 B 内。

自动配置更改

升级过程通过将被嵌套关联规则(规则 A)中的设置复制到嵌套关联规则(规则 B)并删除被嵌套规则,将某些被嵌套关联规则“展平”。升级过程还会将被嵌套规则中的主机配置文件/用户限定条件和暂停/非活动时段复制到嵌套规则。

对于除非活动时段外的所有这些设置,仅当嵌套规则中缺少相应设置时,系统才可将被嵌套规则中的设置复制到嵌套规则。系统将被嵌套规则中的非活动时段复制到嵌套规则时,它将保留嵌套规则中的非活动时段,以便生成的规则使用最初参与嵌套配置的两个规则中的设置。

避免升级失败

在升级之前,确保嵌套关联规则可以“展平”。否则,升级将失败。请注意,如果被嵌套规则和嵌套规则具有特定类型的冲突,则升级无法展平被嵌套规则。为避免升级失败,请在升级之前修改关联规则:

  • 删除被嵌套规则或嵌套规则中的主机配置文件限定条件、用户限定条件和暂停时段设置,以便被嵌套配置中只有一个规则指定这些设置。

  • 删除任何被嵌套规则中的连接跟踪器。

  • 从不必为真的被嵌套规则中的主机配置文件限定文件、用户限定文件、暂停时段和非活动时段;也就是说,从被嵌套规则中删除使用 OR 运算符链接到嵌套规则中的其他规则条件的元素。

弃用的 FlexConfig 命令

某些 Firepower 威胁防御功能需使用 ASA 配置命令进行配置。从版本 6.2(FMC 部署)或版本 6.2.3(FDM 部署)开始,您可以使用 Smart CLI 或 FlexConfig 手动配置 Web 界面中不支持的各种 ASA 功能。

FTD升级可以为先前使用 FlexConfig 配置的功能添加 GUI 或 Smart CLI 支持。这可以弃用您当前使用的 FlexConfig 命令。虽然现有配置仍然有效,且仍然可以部署,但无法使用新近弃用的命令分配或创建 FlexConfig 对象。

升级后,检查 FlexConfig 策略和对象。如果有任何对象包含已被弃用的命令,则消息会指出问题所在。我们建议您重新进行配置。对新配置感到满意后,可以删除有问题的 FlexConfig 对象或命令。

使用 Firepower 管理中心的 FTD

此表列示了已弃用的 FlexConfig 对象及其关联的文本对象。有关预定义对象的完整列表,请参阅Firepower 管理中心配置指南

表 6. 使用 FMC 的 FTD:弃用的 FlexConfig 对象
弃用 对象 详细信息 新建地点

6.3.0+

FlexConfig 对象:

  • Default_DNS_Configure

关联的文本对象:

  • defaultDNSNameServerList

  • defaultDNSParameters

配置默认 DNS 组,该组定义在数据接口上解析完全限定域名时可以使用的 DNS 服务器。这使您可以使用 CLI 中的命令(如 ping ),并且使用主机名而不是 IP 地址。

FTD平台设置策略中为数据接口配置 DNS。

6.3.0+

FlexConfig 对象:

  • TCP_Embryonic_Conn_Limit

  • TCP_Embryonic_Conn_Timeout

关联的文本对象:

  • tcp_conn_misc

  • tcp_conn_limit

  • tcp_conn_timeout

配置初始连接限制和超时以防止 SYN 洪流拒绝服务 (DoS) 攻击。

FTD服务策略中配置这些功能,您可以在分配给设备的访问控制策略的 Advanced 选项卡上找到该策略。

此表列示了版本 6.2.3+ 中为使用 FDM 的 FTD 新近弃用的 CLI 命令。有关弃用命令的完整列表,包括在版本 6.2.0 中引入功能时弃用的命令,请参阅Firepower 管理中心配置指南

表 7. 使用 FMC 的 FTD:弃用的 CLI 命令
弃用 命令 详细信息

6.2.3+

pager

阻止配置。

使用 Firepower 设备管理器的 FTD

此表列示了版本 6.3.0+ 中为使用 FDM 的 FTD 新近弃用的 CLI 命令。有关弃用命令的完整列表,包括在版本 6.2.3 中引入功能时弃用的命令,请参阅适用于 Firepower 设备管理器的思科 Firepower 威胁防御配置指南

表 8. 使用 FDM 的 FTD:弃用的 CLI 命令
弃用 命令 详细信息

6.3.0+

access-list

不能再创建 extended standard 访问列表。使用智能 CLI 扩展访问列表或标准访问列表对象创建这些 ACL。然后,可以在按对象名称引用 ACL 且支持 FlexConfig 的命令中使用,例如带扩展 ACL 的 match access-list 用于服务策略流量类别。

6.3.0+

as-path

创建智能 CLI AS 路径对象,并将其用于智能 CLI BGP 对象,以配置自治系统路径过滤器。

6.3.0+

community-list

创建智能 CLI 扩展社区列表或标准社区列表对象,并将其用于智能 CLI BGP 对象,以配置社区列表过滤器。

6.3.0+

dns-group

使用 Objects > DNS Groups 配置 DNS 组,并使用 Device > System Settings > DNS Server 分配这些组。

6.3.0+

policy-list

创建智能 CLI 策略列表对象,并将其用于智能 CLI BGP 对象,以配置策略列表。

6.3.0+

prefix-list

创建智能 CLI IPv4 前缀列表对象,并将其用于智能 CLI OSPF 或 BGP 对象,以配置 IPv4 前缀列表过滤。

6.3.0+

route-map

创建智能 CLI 路由映射对象,并将其用于智能 CLI OSPF 或 BGP 对象,以配置路由映射。

6.3.0+

router bgp

使用适用于 BGP 的 Smart CLI 模板。

FMC 菜单更改

此表列示了更改后的 Firepower 管理中心菜单(页面更改)。有关新增和删除的菜单选项,请参阅新功能和弃用功能文档。

表 9. Firepower 管理中心菜单更改
版本 新菜单路径 旧菜单路径

6.4.0

System > Integration > Cloud Services

System > Integration > Cisco CSI

6.3.0

Analysis > Lookup > Whois

Analysis > Advanced > Whois

6.3.0

Analysis > Lookup > Geolocation

Analysis > Advanced > Geolocation

6.3.0

Analysis > Lookup > URL

Analysis > Advanced > URL

6.3.0

Analysis > Custom > Custom Workflows

Analysis > Advanced > Custom Workflows

6.3.0

Analysis > Custom > Custom Tables

Analysis > Advanced > Custom Tables

6.3.0

Analysis > Vulnerabilities > Vulnerabilities

Analysis > Hosts > Vulnerabilities

6.3.0

Analysis > Vulnerabilities > Third-Party Vulnerabilities

Analysis > Hosts > Third-Party Vulnerabilities

FMC 操作方法演练

版本 6.3.0 引入 FMC 上的演练(也称为使用方法),该演练将指导您完成各种基本任务,例如设备设置和策略配置。仅需单击浏览器窗口底部的使用方法,选择某一演练,然后按照分步说明进行操作。



演练已在 Firefox 和 Chrome 浏览器上进行了测试。如果您在使用其他浏览器时遇到问题,我们会要求您切换到 Firefox 或 Chrome。如果问题持续存在,请联系 Cisco TAC。

下表列出了一些常见的问题和解决方案。要在任何时候结束演练,请单击右上角的 x

表 10. 故障排除演练
问题 解决方案

找不到使用方法链接来启动演练。

请确保演练已启用。在用户名下面的下拉列表中,选择用户首选项,然后单击方法设置

当您不期望时,系统会显示演练。

如果在您不期望的情况下出现本演练, 会结束本演练。

演练突然消失或退出。

如果演练消失,请执行以下操作:

  • 移动指针。

    有时,FMC 会停止显示正在进行的演练。例如,指向不同的顶级菜单可以实现这种情况。

  • 导航到其他页面,然后重试。

    如果移动指针不起作用,则本演练可能会退出。

演练与 FMC 不同步:

  • 从错误的步骤开始。

  • 过早进行。

  • 不会进行。

如果演练不同步,您可以执行以下操作:

  • 尝试继续。

    例如,如果在字段中输入的值无效,并且 FMC 显示错误,则演练可能会提前进行。您可能需要返回并解决该错误以完成任务。

  • 结束本演练,导航至其他页面,然后重试。

    有时,您无法继续。例如,如果在完成某一步后未单击下一步,则可能需要结束本演练。