更新

本章介绍如何执行内容更新。


重要


要升级 管理中心威胁防御 软件或机箱,请参阅管理中心当前正在运行的版本的升级指南:http://www.cisco.com/go/ftd-fmc-upgradehttp://www.cisco.com/go/ftd-fmc-upgrade-74

要升级托管设备,请参阅云交付防火墙管理中心的 Cisco Secure Firewall Threat Defense 升级指南


关于系统更新

使用 管理中心 自身及其 管理的设备升级系统软件。您还可以更新提供高级服务的各种数据库和源。

如果 管理中心 可以访问互联网,系统通常可以直接从思科获取更新。我们建议您尽可能安排或启用自动内容更新。某些更新在初始设置过程中或 在您启用相关功能时自动启用 。您必须自行安排其他更新。完成初始设置后,我们建议您查看所有自动更新,并在必要时进行调整。

表 1. 升级和更新

组件

说明

详细信息

系统软件

主要 软件版本包含新功能、新功能和增强功能。它们可能包括基础设施或架构更改。

维护 版本包含常规漏洞和安全相关修复。行为更改很少见,并且与这些修复相关。

补丁 是按需更新,仅限于具有紧急性的关键修复程序。

热补丁 可以解决特定的客户问题。

直接下载: 仅选择补丁和维护版本,通常在版本可用于手动下载后的一段时间。延迟的长度取决于版本类型、版本采用情况和其他因素。不支持按需升级和计划下载。

 

在版本 7.4.1 中,我们开始支持按需直接下载所有版本(热补丁除外)。但是,不再支持按计划下载维护版本。

计划安装: 仅限修补程序和维护版本,作为计划任务。

卸载: 仅修补程序。

恢复: 仅限 威胁防御 主要版本和维护版本。 管理中心 或经典设备不支持恢复。

重新映像: 仅限主要版本和维护版本。

请参阅: 《适用于管理中心的 Cisco Secure Firewall Threat Defense 升级指南》

漏洞数据库 (VDB)

思科漏洞数据库 (VDB) 包含主机可能易受感染的已知漏洞,以及操作系统、客户端和应用指纹。系统借助 VDB 来确定某个特定主机是否会增加遭受危害的风险。

直接下载: 确认。

计划: 是,作为计划的任务。

卸载:从 VDB 357 开始,您可以安装任何可追溯到 管理中心 的基准 VDB 的 VDB。

请参阅: 更新漏洞数据库 (VDB)

地理位置数据库 (GeoDB)

思科地理位置数据库 (GeoDB) 是一个与可路由的 IP 地址关联的地理数据数据库。

直接下载: 确认。

计划: 是,从其自己的更新页面

卸载: 否。

请参阅: 更新地理位置数据库 (GeoDB)

入侵规则 (SRU/LSP)

入侵规则更新提供全新和更新的入侵规则及预处理器规则、现有规则的修改状态和修改的默认入侵策略设置。

另外,规则更新还可能删除规则,提供新规则类别和默认变量,并修改默认变量值。

直接下载: 确认。

计划: 是,从其自己的更新页面。

卸载: 否。

请参阅: 更新入侵规则

安全情报源

安全情报源是 IP 地址、域名和 URL 的集合,可用于快速过滤与条目匹配的流量。

直接下载: 确认。

计划: 是,来自对象管理器。

卸载: 否。

请参阅: 《Cisco Secure Firewall Management Center 设备配置指南》

新 URL 类别和信誉

URL 过滤可以根据 URL 的一般分类(类别)和风险级别(信誉)控制对网站的访问。

直接下载: 确认。

计划: 是,当您配置集成/云服务时,或作为计划任务。

卸载: 否。

请参阅: 《Cisco Secure Firewall Management Center 设备配置指南》

系统更新的要求和前提条件

型号支持

任意

支持的域

全局 除非另有说明。

用户角色

管理员

系统更新的准则和限制

在更新之前

在更新部署的任何组件(包括入侵规则、VDB 或 GeoDB)之前,请阅读更新随附的版本说明或建议性文本。这些内容提供版本特定的关键信息,包括兼容性、前提条件、新功能、行为更改和警告。

计划的更新

系统以 UTC 时间安排任务(包括更新)。这意味着它们在本地发生的时间取决于日期和您的特定位置。此外,由于更新是以 UTC 为单位进行计划的,因此它们不会针对夏令时、夏令时或您在地点可能观察到的任何季节性调整进行调整。如果受影响,则根据当地时间,计划的更新会在夏天比冬季中的一个小时开始。


重要


我们 强烈 建议您查看计划任务,确保计划的更新在您预期的时间执行。


带宽准则

要升级系统软件或执行就绪性检查,升级包必须位于设备上。升级包大小不同。请确保您的带宽足以将大量数据传输到您管理的设备。请参阅将数据从 Firepower 管理中心下载到受管设备的准则(故障排除技术说明)。

更新漏洞数据库 (VDB)

思科漏洞数据库 (VDB) 包含主机可能易受感染的已知漏洞,以及操作系统、客户端和应用指纹。系统借助 VDB 来确定某个特定主机是否会增加遭受危害的风险。

思科定期发布 VDB 更新。在 管理中心上更新 VDB 及其关联映射所需的时间取决于网络映射中的主机数量。一般说来,将主机数除以 1000,即可估算出执行更新所需的大致时间(分钟)。

管理中心 上的初始设置会自动下载并安装思科提供的最新 VDB,作为一次性操作。它还会安排每周任务,以下载最新可用软件更新,其中包括最新 VDB。我们建议您查看此每周任务,并在必要时进行调整。或者,安排新的周期性任务,以便实际更新 VDB 和/或软件并部署配置。有关详细信息,请参阅漏洞数据库更新自动化

对于 VDB 343+,所有应用检测器信息均可通过 Cisco Secure Firewall 应用检测器来获取。该站点包含一个可搜索的应用检测器数据库。版本说明提供了有关特定 VDB 版本的变更信息。

手动更新 VDB

使用此程序手动更新 VDB。从 VDB 357 开始,您可以安装任何 VDB,直至 管理中心的基准 VDB。


小心


请勿执行与映射的漏洞相关的任务,直至更新完成。即使消息中心在几分钟内不显示进度或指示更新失败,也不要重启更新。相反,请联系思科 TAC

在大多数情况下,VDB 更新后的第一次部署会重新启动 Snort 进程,从而中断流量检查。系统会在发生这种情况时向您发出警告 (更新的应用检测器和操作系统指纹需要重新启动;漏洞信息不需要)。在此中断期间,流量是被丢弃还是不经进一步检查直接通过,将取决于目标设备处理流量的方式。有关详细信息,请参阅Snort 重启流量行为


开始之前

如果 管理中心 无法访问 思科支持和下载站点,请从 获取更新: https://www.cisco.com/go/firepower-software。选择或搜索您的型号(或选择任何型号 - 对所有 管理中心型号使用相同的 VDB),然后浏览至 覆盖和内容更新 页面。

过程


步骤 1

转到规则更新页面。

  • 版本 7.4.0:系统系统齿轮图标 > 更新 > 产品更新

  • 版本 7.4.1+:系统系统齿轮图标 > 内容更新 (Content Updates) > VDB 更新 (VDB Updates)

步骤 2

选择您希望以什么方式将 VDB 上传到 管理中心

  • 直接下载:点击 下载更新 按钮

  • 手动上传:点击 上传更新,然后点击 选择文件 然后浏览至 VDB。选择文件后,点击 上传

 

在版本 7.4.0 中,点击下载更新 (Download Updates) 还会立即获取部署 的最新维护版本和最新关键修补程序。

步骤 3

安装 VDB。

  1. 在要安装的漏洞和指纹数据库更新旁边,点击 安装 图标(适用于较新的 VDB)或 回滚 图标(适用于较旧的 VDB)。

  2. 选择 管理中心

  3. 点击安装

在消息中心监控更新进度。在更新完成后,系统将使用新的漏洞信息。但您必须先进行部署,已更新的应用检测器和操作系统指纹才会生效。

步骤 4

验证更新是否成功。

VDB 更新页面和 帮助 帮助图标 > 关于 均显示当前版本。


下一步做什么

  • 部署配置更改;请参阅 《Cisco Secure Firewall Management Center 设备配置指南》

  • 如果您基于漏洞、应用检测器或不再可用的指纹进行配置,请检查这些配置以确保按预期处理流量。另请记住,更新 VDB 的计划任务可以撤消回滚。要避免这种情况,请更改计划任务或删除任何较新的 VDB 软件包。

更新地理位置数据库 (GeoDB)

地理位置数据库 (GeoDB) 是可用于根据地理位置查看和过滤流量的数据库。我们会定期更新 GeoDB,您必须定期更新 GeoDB 才能获得准确的地理位置信息。您查看 帮助 帮助图标 > 关于 上的当前版本。

系统随附一个将 IP 地址映射到国家/地区/大洲的 GeoDB 国家/地区代码数据包。我们还提供一个包含背景数据的 IP 数据包。该情景数据包括 其他位置详细信息,以及连接信息,例如 ISP、连接类型、代理类型、域名等。

  • 在版本 7.4.0–7.4.1 中,当系统下载 GeoDB 更新(无论是按需下载还是按计划下载)时,它都会默认下载这两个数据包。如果背景数据对您不重要,您可以通过禁用和删除 IP 包来节省磁盘空间。

  • 在版本 7.4.2+ 中,系统默认只下载国家/地区代码数据包,但如果上下文数据对您很重要且磁盘空间足够大,您也可以将其配置为下载两个数据包。

GeoDB 更新会覆盖之前的任何版本。 管理中心 会自动更新其托管设备,您不需要重新部署。更新 GeoDB 所需的时间取决于您的部署,但最多可能需要 45 分钟,具体取决于更新的大小 - 例如,如果您正在下载并处理一个完整的 IP 数据包。虽然 GeoDB 更新不会中断任何其他系统功能(包括正在进行的地理位置信息收集),但更新执行时的确会占用系统资源。

作为初始配置的一部分,系统会安排每周更新 GeoDB。我们建议您查看此任务,并在必要时进行更改,如 安排 GeoDB 更新

安排 GeoDB 更新

作为初始配置的一部分,系统会安排每周更新 GeoDB。我们建议您查看此任务,并在必要时进行更改,如此程序。

开始之前

确保 管理中心可以访问 思科支持和下载站点

过程


步骤 1

转到 GeoDB 更新页面。

  • 版本 7.4.0:系统系统齿轮图标 > 更新 > 地理位置更新

  • 版本 7.4.1+:系统系统齿轮图标 > 内容更新 > 地理位置更新

步骤 2

IP 包配置 (IP Package Configuration)下,使用 IP 包下载 (IP Package Download) 选项来指定是要仅下载所需的国家/地区代码包,还是还需要 IP 包。

不使用 IP 软件包可节省磁盘空间,但也会消除 IP 地址的情景地理位置数据。如果更改此配置,请点击保存 (Save)

步骤 3

周期性地理位置更新下,选择 启用周期性每周更新...

步骤 4

指定更新开始时间

步骤 5

点击保存 (Save)


手动更新 GeoDB

使用此程序执行按需 GeoDB 更新。

开始之前

如果 管理中心 无法访问 思科支持和下载站点,请从 获取更新: https://www.cisco.com/go/firepower-software。选择或搜索您的型号(或选择任何型号 - 对所有 管理中心型号使用相同的 GeoDB),然后浏览至 覆盖和内容更新 页面。 下载国家/地区代码包和,可选, IP 包。

过程


步骤 1

转到 GeoDB 更新页面。

  • 版本 7.4.0:系统系统齿轮图标 > 更新 > 地理位置更新

  • 版本 7.4.1+:系统系统齿轮图标 > 内容更新 > 地理位置更新

步骤 2

一次性地理位置更新下,选择要如何更新 GeoDB。

  • 直接下载:选择 下载并安装...

  • 手动上传:选择 上传和安装..., 然后点击 选择文件 ,然后浏览到您之前下载的 国家代码 包。

步骤 3

IP 包配置下,使用 IP 包下载 选项指定是要仅使用国家/地区代码包,还是要使用 IP 包。

不使用 IP 软件包可节省磁盘空间,但也会消除 IP 地址的情景地理位置数据。请注意,即使您手动上传 GeoDB 数据包,如果您不需要 IP 数据包中的数据,也应禁用此选项。这是因为禁用该选项会删除任何现有/过时的 IP 软件包。

如果更改此配置,请点击保存 (Save)

步骤 4

点击导入 (Import)

在消息中心监控更新进度。

步骤 5

验证更新是否成功。

GeoDB 更新页面和 帮助 帮助图标 > 关于 均显示当前版本。

步骤 6

(可选)如果要手动上传更新,请对 IP 软件包重复此程序。


更新入侵规则

随着新的漏洞被发现, Talos 情报小组 会发布入侵规则更新。这些更新会影响入侵规则、预处理器规则和使用这些规则的策略。入侵规则更新是累加性的,并且思科建议始终导入最新的更新。不能导入与当前安装的规则的版本匹配或早于该版本的入侵规则更新。

入侵规则更新可能提供以下内容:

  • 新的和修改的规则和规则状态 - 规则更新提供新的和更新的入侵和预处理器规则。对于新的规则,每个系统提供的入侵规则中的规则状态可能不同。例如,一个新规则在 Security over Connectivity 入侵策略中可能是启用状态,在 Connectivity over Security 入侵策略中则可能是禁用状态。规则更新也可以更改现有规则的默认状态,或者完全删除现有规则。

  • 新规则类别 - 规则更新可能包括始终添加的新规则类别。

  • 修改的预处理器和高级设置 - 规则更新可能更改系统提供的入侵策略中的高级设置,以及系统提供的网络分析策略中的预处理器设置。它们也可以更新访问控制策略中的高级预处理和性能选项的默认值。

  • 新的和修改的变量 - 规则更新可能修改现有默认变量的默认值,但不会覆盖您的更改。始终会添加新变量。

在多域部署中,可以在任何域中导入本地入侵规则,但是,只能在全局域中从 Talos 导入入侵规则更新。

了解入侵规则更新何时修改策略

入侵规则更新可以影响系统提供的和自定义网络分析策略,以及所有访问控制策略:

  • 系统提供 - 对系统提供的网络分析和入侵策略的更改以及对高级访问控制设置的任何更改将在您更新后重新部署策略时自动生效。

  • 自定义 - 因为每个自定义网络分析和入侵策略都使用系统提供的策略作为其基础,或作为策略链中的事件基础,所以规则更新可以影响自定义网络分析和入侵策略。但是,您可以阻止规则更新自动执行这些更改。这使您能够在独立于规则更新导入的计划中手动更新系统提供的基本策略。无论您的选择(在每个自定义策略基础上实施)如何,更新系统提供的策略都不会覆盖您定制的任何设置。

请注意,导入规则更新会丢弃对网络分析和入侵策略所做的所有已缓存更改。为了方便起见,Rule Updates 页面列出了包含已缓存更改的策略以及做出这些更改的用户。

部署入侵规则更新

为使入侵规则更新所做的更改生效,必须重新部署配置。在导入规则更新时,可以将系统配置为自动重新部署到受影响设备。如果允许入侵规则更新修改系统提供的基本入侵策略,则此方法尤其有用。


小心


虽然在部署时规则更新本身不会重新启动 Snort 进程,但您所做的其他更改可能会重新启动。重启 Snort 会短暂中断所有设备上的流量和检查,包括为高可用性/可扩展性配置的检查。在中断期间,接口配置会确定是丢弃流量还是在不检查的情况下允许流量通过。在不重启 Snort 进行部署时,资源需求可能会导致少量数据包未经检测而被丢弃。


周期性入侵规则更新

可以在 Rule Updates 页面上设置为按日、周或月导入规则更新。

如果部署包括管理中心的高可用性对,则仅在主防御中心上导入更新。辅助管理中心会在常规同步过程中接收规则更新。

入侵规则更新导入中的适用子任务按以下顺序出现:下载、安装、基本策略更新和策略部署。完成一个子任务后,才会开始下一个子任务。

在计划的时间,系统按照在先前步骤中所指定,安装规则更新并部署已更改的配置。在导入之前或导入过程中,可注销或使用 Web 界面执行其他任务。在导入过程中访问时,“规则更新日志”显示 红色状态红色状态图标,此外,您还可以在“规则更新日志”详细视图中查看消息。根据规则更新大小和内容,可能几分钟之后才会显示状态消息。

作为初始配置的一部分,系统会安排每日入侵规则更新。我们建议您查看此任务,并在必要时进行更改,如计划入侵规则更新.

导入本地入侵规则

本地入侵规则是从本地计算机以采用 ASCII 或 UTF-8 编码的纯文本文件形式导入的自定义标准文本规则。可以使用 Snort 用户手册(可在 http://www.snort.org 上获取)中的说明创建本地规则。

在多域部署中,可以在任何域中导入本地入侵规则。可以查看在当前域和祖先域中导入的本地入侵规则。

计划入侵规则更新

作为初始配置的一部分,系统会安排每日入侵规则更新。我们建议您查看此任务,并在必要时进行更改,如此程序。

开始之前

  • 确保更新入侵规则的流程符合您的安全策略。

  • 请考虑更新因带宽约束和 Snort 重启而带给流量和检测的影响。我们建议在维护窗口执行更新。

  • 确保 管理中心可以访问 思科支持和下载站点

过程


步骤 1

转到规则更新页面。

  • 版本 7.4.0:系统系统齿轮图标 > 更新 > 规则更新

  • 版本 7.4.1+:系统系统齿轮图标 > 内容更新 (Content Updates) > 规则更新 (Rule Updates)

步骤 2

重复规则更新导入 (Recurring Rule Update Imports) 下,选中启用重复规则更新导入 (Enable Recurring Rule Update Imports)

步骤 3

指定导入频率 (Import Frequency) 和开始时间。

步骤 4

(可选)选中重新应用所有策略...(Reapply all policies...) 以便在每次更新后部署。

步骤 5

点击保存 (Save)


手动更新入侵规则

使用此程序执行按需入侵规则更新。

开始之前

  • 确保更新入侵规则的流程符合您的安全策略。

  • 请考虑更新因带宽约束和 Snort 重启而带给流量和检测的影响。我们建议在维护窗口执行更新。

  • 如果 管理中心 无法访问 思科支持和下载站点,请从 获取更新: https://www.cisco.com/go/firepower-software。选择或搜索您的型号(或选择任何型号 - 对所有 管理中心型号使用相同的 SRU 或 LSP),然后浏览至 覆盖和内容更新 页面。

过程


步骤 1

转到规则更新页面。

  • 版本 7.4.0:系统系统齿轮图标 > 更新 > 规则更新

  • 版本 7.4.1+:系统系统齿轮图标 > 内容更新 (Content Updates) > 规则更新 (Rule Updates)

步骤 2

一次性规则更新/规则导入下,选择要如何更新入侵规则。

  • 直接下载:选择 下载新规则更新...

  • 手动上传:选择 规则更新或文本规则文件...,然后点击 选择文件 并浏览到入侵规则更新。

步骤 3

(可选)选中 重新应用所有策略... 以在更新后部署。

步骤 4

点击导入 (Import)

在消息中心监控更新进度。即使消息中心在几分钟内不显示进度或指示更新失败,也不要重启更新。相反,请联系思科 TAC

步骤 5

验证更新是否成功。

规则更新页面和 帮助 帮助图标 > 关于 均显示当前版本。


下一步做什么

如果您未在更新过程中部署,请立即部署;请参阅 《Cisco Secure Firewall Management Center 设备配置指南》

导入本地入侵规则

使用以下程序导入本地入侵规则。导入的入侵规则以被禁用的状态显示在本地规则类别中。您可以在任何域中执行此任务。

开始之前

  • 请确保您的本地规则文件遵循导入本地入侵规则最佳实践中所述的准则,

  • 并确保导入本地入侵规则的过程符合您的安全策略。

  • 请考虑导入因带宽约束和 Snort 重启而带给流量和检测的影响。我们建议将规则更新安排在维护窗口执行。

过程


步骤 1

转到规则更新页面。

  • 版本 7.4.0:系统系统齿轮图标 > 更新 > 规则更新

  • 版本 7.4.1+:系统系统齿轮图标 > 内容更新 (Content Updates) > 规则更新 (Rule Updates)

  • 任意版本:点击入侵规则编辑器页面 (对象 > 入侵规则) 上的导入规则 (Import Rules)

步骤 2

(可选)删除现有的本地规则。

点击删除所有本地规则,然后确认是否想要将创建和导入的所有入侵规则移至删除的文件夹。

步骤 3

一次性规则更新/规则导入下,选择 规则更新或文本规则文件以上传和安装,然后点击 选择文件 并浏览到您的本地规则文件。

步骤 4

点击 Import

您可以在消息中心监控导入进度。即使消息中心在几分钟内不显示进度或指示更新失败,也不要重启导入。相反,请联系思科 TAC

下一步做什么

导入本地入侵规则最佳实践

导入本地规则文件时,请遵循以下准则:

  • 规则导入程序要求以 ASCII 或 UTF-8 编码的纯文本文件导入所有自定义规则。

  • 文本文件名称可包含字母数字字符和空格,不可包含除下划线 (_)、句号 (.) 和破折号 (-) 以外的其他特殊字符。

  • 系统会导入以一个井号 (#) 开头的本地规则,但它们被标记为已删除。

  • 系统会导入以一个井号 (#) 开头的本地规则,但不会导入以两个井号 (##) 开头的本地规则。

  • 规则不能包含任何转义字符。

  • 在多域部署中,系统将为导入到“全局”域或在该域中创建的规则分配一个为 1 的 GID,并为所有其他域分配一个特定于域的 GID,数值介于 1000 与 2000 之间。

  • 导入本地规则时,不必指定生成器 ID (GID)。如果指定了生成器 ID,则请仅为标准文本规则指定 GID 1。

  • 首次导入规则时,请指定 Snort ID (SID) 或修订版本号。这可避免与其他规则的 SID 发生冲突,包括已删除的规则。系统会自动为规则分配下一个可用的自定义规则 SID(1000000 或更高) 以及版本号 1。

    如果必须导入带有 SID 的规则,则 SID 可以是 1,000,000 或以上的任何唯一数字。

    在多域部署中,如果多个管理员同时导入本地规则,则单个域中的 SID 可能不连续,因为系统已将该序列的中间编号分配给其他域。

  • 导入之前已导入的本地规则的更新版本时,或者重新安装已删除的本地规则时,必须包含由系统分配的 SID 以及高于当前编号的修订版本号。您可以通过编辑规则确定当前或已删除规则的修订版本号。



    删除本地规则时,系统会自动增加修订版本号;这样方便恢复本地规则。所有已删除的本地规则从会从本地规则类别转移到已删除规则类别。


  • 请在高可用性对中的主 管理中心 上导入本地规则,以避免 SID 编号问题。

  • 如果规则包含以下任意一项,则导入失败:

    • 大于 2147483647 的 SID。

    • 长度超过 64 个字符的源或目的端口列表。

    • 在多域部署中,在导入到“全局”域时,GID:SID 组合使用 GID 1 和一个已存在于其他域中的 SID;这表示该组合在版本 6.2.1 之前就已存在。可以使用 GID 1 和一个唯一的 SID 重新导入规则。

  • 如果启用某个导入的本地规则,而该规则将弃用的 threshold 关键字与某个入侵策略中的入侵事件阈值功能结合起来使用,策略验证将会失败。

  • 所有导入的本地规则都会自动保存在本地规则类别中。

  • 系统始终将导入的本地规则设置为禁用状态。必须手动设置本地规则的状态后,才能将其用于入侵策略中。

查看入侵规则更新日志

系统会生成规则更新/导入日志,按时间戳、用户以及每次更新是成功还是失败列出。这些日志包含有关所有更新的规则和组件的详细导入信息;请参阅 入侵规则更新日志详情。使用此程序可查看规则导入日志。请注意,删除导入日志不会删除导入的对象。 在多域部署中,可以查看当前域和任何后代域的数据。不能从更高级别的域或同级域查看数据。

过程


步骤 1

转到规则更新页面。

  • 版本 7.4.0:系统系统齿轮图标 > 更新 > 规则更新

  • 版本 7.4.1+:系统系统齿轮图标 > 内容更新 (Content Updates) > 规则更新 (Rule Updates)

步骤 2

点击 Rule Update Log

步骤 3

(可选)点击日志文件旁边的 视图视图按钮 ,查看任何规则更新的详细信息。


入侵规则更新日志详情


提示


即使是通过在仅显示单个导入文件记录的“规则更新导入日志”(Rule Update Import Log) 详细视图中的工具栏上点击搜索 (Search) 发起搜索,也可以搜索整个规则更新导入日志数据库。确保将时间限制条件设置为包含所有搜索中要包含的对象。


表 2. 入侵规则更新日志详情

字段

说明

操作

指明对对象类型执行了以下其中一项操作:

  • new(对于规则而言,是指第一次把规则存储在此设备上)

  • changed(对于规则更新组成部分或规则而言,规则更新组成部分已被修改,或者规则的版本号更高且 GID 和 SID 相同)

  • collision(对于规则更新组成部分或规则而言,由于版本与设备上的现有组成部分或规则冲突,因此跳过导入)

  • deleted(对于规则而言,已从规则更新删除规则)

  • enabled(对于规则更新编辑而言,已在系统提供的默认策略中启用了预处理器、规则或其他功能)

  • disabled(对于规则而言,已在系统提供的默认策略中禁用规则)

  • drop(对于规则而言,已在系统提供的默认策略中将规则设置为“丢弃并生成事件”[Drop and Generate Events])

  • error(对于规则更新或本地规则文件而言,导入失败)

  • apply(为导入启用了在规则更新导入完成后重新应用所有策略 [Reapply all policies after the rule update import completes] 选项)

默认操作

规则更新定义的默认操作。当导入对象类型是 rule 时,默认操作是 PassAlertDrop。对于所有其他导入对象类型,没有默认操作。

详细信息

组成部分或规则独有的字符串。对于规则、GID、SID 以及已更改规则的上一个版本号,此字段显示为 previously (GID:SID:Rev)。对于未更改的规则,此字段为空白。

其入侵策略可使用更新规则的域。后代域中的入侵策略也可以使用该规则。此字段只存在于多域部署中。

GID

规则的生成器 ID。例如,1(标准文本规则、全局域或旧 GID)或 3(共享对象规则)。

名称

导入对象的名称(对于规则,对应的是规则“消息”[Message] 字段;对于规则更新,对应的是组成部分名称)。

策略

对于导入的规则,此字段显示所有。这表示规则导入成功,并可在所有相应的默认入侵策略中启用。对于其他导入对象类型,此字段为空白。

版本

规则的版本号。

规则更新

规则更新文件名。

SID

规则的 SID。

时间

导入开始的时间和日期。

类型

导入对象的类型,可以是以下类型之一:

  • rule update component(已导入的组成部分,例如规则包或策略包)

  • 规则 (对于规则而言,是指新的或更新后的规则)

  • policy apply(为导入启用了在规则更新导入完成后重新应用所有策略选项)

计数

每条记录的计数 (1)。当表受限时,“计数”(Count) 字段显示在表视图中,而且在默认情况下,“规则更新日志”(Rule Update Log) 详细视图受限于规则更新记录。此字段不可搜索。

系统更新的历史记录

表 3. 版本 7.4.1 的功能

功能

最低 管理中心

最低 威胁防御

详细信息

威胁防御升级

包含在 FXOS 升级中的固件升级。

任意

任意

机箱/FXOS 升级影响。固件升级会导致设备额外重启一次。

对于 Firepower 4100/9300,FXOS 升级到 2.14.1 版现在包括固件升级。如果设备上的任何固件组件比 FXOS 软件包中的旧,则 FXOS 升级也会更新固件。如果固件已升级,设备会重新启动两次 - 一次是因为 FXOS,另一次是因为固件。

与软件和操作系统升级一样,在固件升级期间不要进行或部署配置更改。即使系统显示为非活动状态,也不要在固件升级过程中手动重新启动或关闭。

请参阅: Cisco Firepower 4100/9300 FXOS 固件升级指南

多实例模式下 Cisco Secure Firewall 3100 的机箱升级。

7.4.1

7.4.1

对于多实例模式下的 Cisco Secure Firewall 3100,您可从容器实例(威胁防御升级)单独升级操作系统和固件(机箱升级)。

新增/修改的菜单项:

  • 升级机箱:设备 (Devices) > 机箱升级 (Chassis Upgrade)

  • 升级威胁防御:设备 (Devices) > 威胁防御升级 (Threat Defense Upgrade)

请参阅:《适用于管理中心的 Cisco Secure Firewall Threat Defense 升级指南》

Management Center 升级

在管理中心升级后自动生成配置更改报告。

任意

任意

您可以在主要升级和维护管理中心升级后自动生成配置更改报告。这样有助于您了解即将部署的更改。系统生成报告后,您可以从消息中心的“任务”(Tasks) 选项卡下载报告。

其他版本限制:仅支持从版本 7.4.1+ 升级的管理中心。不支持升级到版本 7.4.1 或更早版本。

新增/修改的屏幕:系统系统齿轮图标 > 配置 (Configuration) > 升级配置 (Upgrade Configuration) > 启用升级后报告 (Enable Post-Upgrade Report)

表 4. 版本 7.4.0 的功能

功能

最低 管理中心

最低 威胁防御

详细信息

管理中心升级:弃用的功能

暂时弃用的功能。

7.4.0

因功能而异

BLAH BLAH BLAH

表 5. 版本 7.3.0 的功能

功能

最低 管理中心

最低 威胁防御

详细信息

威胁防御升级

从思科选择并将升级包直接下载到管理中心。

7.3.0

任意

您现在可以选择要直接下载到管理中心的威胁防御升级包。使用 > 更新 > 产品更新上的新的 下载 更新 子选项卡。

其他版本限制:在版本 7.2.6/7.4.1 中, 此功能被改进的软件包管理系统所取代。

请参阅: 通过管理中心FMC下载升级软件包

将升级包从威胁防御向导上传到管理中心。

7.3.0

任意

现在,您可以使用该向导上传威胁防御升级包或指定升级包位置。以前(根据版本),您使用了系统系统齿轮图标 > 更新 (Updates)系统系统齿轮图标 > 产品升级 (Product Upgrades)

其他版本限制:在版本 7.2.6/7.4.1 中, 此功能被改进的软件包管理系统所取代。

请参阅: 威胁防御升级

成功升级威胁防御后自动升级到 Snort 3 不再是可选操作。

7.3.0

任意

升级影响。

将威胁防御升级到版本 7.3+ 后,无法再禁用 从 Snort 2 升级到 Snort 3 选项。

在软件升级后,当您部署配置时,所有符合条件的设备将从 Snort 2 升级到 Snort 3。虽然您可以切换回单个设备,但 Snort 2 将在未来版本中被弃用,强烈建议您立即停止使用。

对于因使用自定义入侵或网络分析策略而不符合自动升级条件的设备,我们强烈建议您手动升级到 Snort 3 以提高检测和性能。有关迁移方面的帮助,请参阅适用于您的版本的 《Cisco Secure Firewall Management Center Snort 3 配置指南》

Cisco Secure Firewall 3100 的组合升级和安装包。

7.3.0

7.3.0

重新映像影响。

在版本 7.3 中,我们组合了 Cisco Secure Firewall 3100 的威胁防御安装和升级包,如下所示:

  • 版本 7.1–7.2 安装包:cisco-ftd-fp3k. version.SPA

  • 版本 7.1–7.2 升级包:Cisco_FTD_SSP_FP3K_Upgrade-version-build.sh.REL.tar

  • 版本 7.3+ 组合软件包:Cisco_FTD_SSP_FP3K_Upgrade-version-build.sh.REL.tar

虽然您可以毫无问题地升级威胁防御,但不能直接从较早的威胁防御和 ASA 版本重新映像到威胁防御版本 7.3+。这是由于新映像类型要求进行 ROMMON 更新。要从这些旧版本重新映像,您必须“通过”ASA 9.19+,旧 ROMMON 支持此版本,但也会更新到新 ROMMON。没有单独的 ROMMON 更新程序。

要使用威胁防御版本 7.3+,您可以选择:

内容更新

自动 VDB 下载。

7.3.0

任意

管理中心的初始设置安排了每周下载最新可用软件更新的任务,其中现在包括最新的漏洞数据库 (VDB)。我们建议您查看此每周任务,并在必要时进行调整。或者,安排新的周期性任务,以便实际更新 VDB 和/或软件并部署配置。

新增/修改的屏幕:默认情况下,系统创建的 每周软件下载 计划任务中的 漏洞数据库 复选框现在处于启用状态。

安装任何 VDB。

7.3.0

任意

从 VDB 357 开始,您现在可以安装任何 VDB,直至该管理中心的基准 VDB。

更新 VDB 后,部署配置更改。如果您基于漏洞、应用检测器或不再可用的指纹进行配置,请检查这些配置以确保按预期处理流量。另请记住,更新 VDB 的计划任务可以撤消回滚。要避免这种情况,请更改计划任务或删除任何较新的 VDB 软件包。

新增/修改的屏幕:在 系统系统齿轮图标 > 更新 > 产品更新 > 可用更新 中,如果上传较旧的 VDB,系统将显示新的 回滚 图标,而不是 安装 图标。

表 6. 版本 7.2.0 的功能

功能

详细信息

威胁防御升级

在设备之间复制升级包(“点对点同步”)。

您可以使用 威胁防御 CLI 在设备之间复制升级包,而不是从 管理中心 或内部 Web 服务器将升级包复制到每台设备(“点对点同步”)。这种安全可靠的资源共享通过管理网络进行,但不依赖于 管理中心。每个设备可容纳 5 个数据包并发传输。

此功能支持由同一版本 7.2.x-7.4.x 独立设备 管理中心 管理的版本 7.2.x-7.4.x 独立设备。不支持:

  • 容器实例。

  • 设备高可用性对和集群。这些设备可以在正常同步流程中相互获取软件包。将升级包复制到一个组成员会自动将其同步到所有组成员。

  • 由高可用性 管理中心管理的设备。

  • 云交付的防火墙管理中心管理,但 在分析模式下添加到本地部署 管理中心 的设备。

  • 不同域中的设备或由 NAT 网关分隔的设备

  • 从版本 7.1 或更早版本升级的设备,无论 管理中心 版本如何。

新增/修改的CLI 命令: configure p2psync enable configure p2psync disable show peers show peer details sync-from-peer show p2p-sync-status

成功升级威胁防御后自动升级到 Snort 3。

当您使用版本 7.2+ 管理中心升级到威胁防御版本 7.2+ 时,您现在可以选择是否将 Snort 2 升级到 Snort 3

在软件升级后,当您部署配置时,符合条件的设备将从 Snort 2 升级到 Snort 3。对于因使用自定义入侵或网络分析策略而不符合条件的设备,我们强烈建议您手动升级到 Snort 3 以提高检测和性能。如需帮助,请参阅您的版本的 《Cisco Secure Firewall Management Center Snort 3 配置指南》

版本限制:不支持升级到版本 7.0.x 或 7.1.x

升级单节点集群。

现在,您可以使用设备升级页面(设备 > 设备升级)升级只有一个主用节点的集群。任何已停用的节点也会升级。以前,此类升级会失败。系统更新页面不支持此功能(系统系统齿轮图标更新)。

在这种情况下,也不支持无中断升级。流量和检测的中断取决于单独的主用设备的接口配置,就像使用独立设备一样。

支持的平台:Firepower 4100/9300、Cisco Secure Firewall 3100

从 CLI 恢复威胁防御升级。

如果管理中心和设备之间的通信中断,您现在可以从设备 CLI 恢复威胁防御升级。请注意,在高可用性/可扩展性部署中,当所有设备同时恢复时,恢复更成功。使用 CLI 恢复时,打开所有设备的会话,验证每个设备是否可以恢复,然后同时启动进程。

小心

 

从 CLI 恢复可能会导致设备和管理中心之间的配置不同步,具体取决于您在升级后所做的更改。这可能会导致进一步的通信和部署问题。

新增/修改的CLI 命令: upgrade revert show upgrade revert-info

Management Center 升级

管理中心升级不会自动生成故障排除文件。

为了节省时间和磁盘空间,管理中心升级过程在升级开始前不再自动生成故障排除文件。请注意,设备升级 不受影响 ,并会继续生成故障排除文件。

要为管理中心手动生成故障排除文件,请选择 系统系统齿轮图标 > 运行状况 > 监控,点击左侧面板中的 防火墙管理中心 ,然后 查看系统和故障排除详细信息,然后 生成故障排除文件

内容更新

GeoDB 分为两个软件包。

在 2022 年 5 月,版本 7.2 发布前不久,我们将 GeoDB 拆分为两个包:一个将 IP 地址映射到国家/地区/大洲的国家/地区代码包,以及一个包含与可路由 IP 地址相关的上下文数据的 IP 包。此 IP 包中的情景数据可包括其他位置详细信息,以及连接信息,例如 ISP、连接类型、代理类型、域名等。

如果您的版本 7.2.0–7.2.5 管理中心可以访问互联网,并且您启用定期更新或从 思科支持和下载站点手动启动一次性更新,则系统会自动获取这两个软件包。在版本 7.2.6+/7.4.0+ 中,您可以配置是否希望系统获取 IP 数据包。

如果手动下载更新(例如,在气隙式部署中),则必须单独导入数据包:

  • 国家代码包: Cisco_GEODB_Update-date-build.sh.REL.tar​

  • IP 软件包: Cisco_IP_GEODB_Update-date-build.sh.REL.tar​

帮助 帮助图标 > 关于 列出了系统当前使用的软件包版本。

表 7. 版本 7.1.0 的功能

功能

详细信息

威胁防御升级

恢复成功的设备升级。

您现在可以将主要和维护升级恢复到 FTD。恢复可将软件恢复到上次升级前的状态,也称为 快照。如果在安装补丁后恢复升级,则会恢复补丁以及主要和/或维护升级。

重要

 

如果您认为可能需要恢复,则必须使用 系统系统齿轮图标 > 更新 来升级 FTD。“系统更新”页面是唯一可以启用 成功升级后启用恢复 选项的位置,该选项会将系统配置为在启动升级时保存恢复快照。这与我们通常建议使用 设备 > 设备升级 页面上的向导形成鲜明对比。

容器实例不支持此功能。

最低 FTD 版本:7.1

改进了集群和高可用性设备的升级工作流程。

我们对集群和高可用性设备的升级工作流程进行了以下改进:

  • 升级向导现在可以将集群和高可用性设备正确显示为组,而不是单个设备。系统可以识别、报告和预先要求修复您可能遇到的组相关问题。例如,如果您在 Firepower 机箱管理器上进行了未同步的更改,则无法升级 Firepower 4100/9300 上的集群。

  • 我们提高了将升级包复制到集群和高可用性对的速度和效率。以前,FMC 会按顺序将数据包复制到每个组成员。现在,组成员可以在正常同步过程中相互获取软件包。

  • 您现在可以指定集群中数据设备的升级顺序。控制设备始终最后升级。

表 8. 版本 7.0.0 功能

功能

详细信息

威胁防御升级

改进了 FTD 升级性能和状态报告。

FTD 升级现在更容易、更快、更可靠,并且占用的磁盘空间更少。消息中心的新 升级 选项卡进一步增强了升级状态和错误报告功能。

FTD 设备易于遵循的升级工作流程。

FMC 上的新设备升级页面(设备 > 设备升级)为升级版本 6.4+ FTD 设备提供了一个易于遵循的向导。它将引导您完成重要的升级前阶段,包括选择要升级的设备,将升级包复制到设备,以及兼容性和就绪性检查。

首先,请使用“设备管理”页面上的新 升级 Firepower 软件 操作(设备 > 设备管理 > 选择操作)。

继续操作时,系统会显示有关所选设备的基本信息以及当前的升级相关状态。这包括无法升级的任何原因。如果设备未在向导中“通过”某个阶段,则该阶段不会显示在下一阶段。

如果您离开向导,系统会保留您的进度,但具有管理员访问权限的其他用户可以重置、修改或继续向导。

 

您仍必须使用 系统系统齿轮图标 > 更新 来上传或指定 FTD 升级包的位置。您还必须使用“系统更新”页面升级 FMC 本身以及所有非 FTD 托管设备。

 

在版本 7.0 中,向导无法正确显示集群或高可用性对中的设备。即使必须将这些设备作为一个单元进行选择和升级,向导也会将其显示为独立设备。设备状态和升级就绪性会逐个评估和报告。这意味着一台设备可能会“传递”到下一阶段,而另一台设备则不会。但是,这些设备仍然分组。因此,在一台设备上运行就绪性检查,所有设备上都会运行。在一台设备上启动升级,在所有设备上都会启动升级。

为避免可能的耗时升级失败,请 手动 确保所有组成员都已准备好继续执行向导的下一步,然后再点击 下一步

一次升级更多 FTD 设备。

FTD 升级向导取消了以下限制:

  • 同步设备升级。

    一次可以升级的设备数量现在受管理网络带宽的限制,而不是系统管理同步升级的能力。以前,我们建议不要一次升级超过五台设备。

    重要

     

    只有升级到 FTD 版本 6.7+ 才能看到此改进。如果您要将设备升级到较旧的 FTD 版本(即使您使用的是新的升级向导),我们仍建议您一次限制为五台设备。

  • 按设备型号分组升级。

    现在,只要系统有权访问相应的升级包,您就可以同时为所有 FTD 型号排队和调用升级。

    以前,您需要选择一个升级包,然后使用该包选择要升级的设备。这意味着 只有 共享升级包时,您才能同时升级多台设备。例如,您可以同时升级两台 Firepower 2100 系列设备,但不能同时升级 Firepower 2100 系列和 Firepower 1000 系列。

表 9. 版本 6.7.0 功能

功能

详细信息

威胁防御升级

升级会删除 PCAP 文件以节省磁盘空间。

升级现在会删除本地存储的 PCAP 文件。要升级,您必须拥有足够的可用磁盘空间,否则升级会失败。

改进了 FTD 升级状态报告和取消/重试选项。

您现在可以在“设备管理”页面上查看 FTD 设备升级和就绪性检查的状态,以及升级成功/失败的 7 天历史记录。消息中心还提供增强的状态和错误消息。

在“设备管理”和“消息中心”中点击一下即可访问新的“升级状态”弹出窗口,其中显示详细的升级信息,包括剩余百分比/时间、特定升级阶段、成功/失败数据、升级日志等。

此外,在此弹出窗口中,您可以手动取消失败或正在进行的升级(取消升级),或重试失败的升级(重试升级)。取消升级会将设备恢复到升级前的状态。

 

为了能够手动取消或重试失败的升级,您必须禁用新的自动取消选项,该选项在您使用 FMC 升级 FTD 设备时显示: 在升级失败时自动取消并回滚到以前的版本。启用选项后,设备会在升级失败时自动恢复到升级前的状态。

补丁不支持自动取消。在高可用性或集群部署中,自动取消会单独应用于每个设备。也就是说,如果一台设备上的升级失败,则仅恢复该设备。

新增/修改的屏幕:

  • 系统系统齿轮图标 > 更新 > 产品更新 > 可用更新 > 安装 图标用于 FTD 升级软件包

  • 设备 > 设备管理 > 升级

  • 消息中心 > 任务

新增/修改的 CLI 命令: show upgrade status detail show upgrade status continuous show upgrade status upgrade cancel upgrade retry

内容更新

规则冲突时,自定义入侵规则导入会发出警告。

现在,当您导入自定义(本地)入侵规则时,FMC 会向您发出规则冲突警告。以前,系统会以静默方式跳过导致冲突的规则 - 版本 6.6.0.1 除外,其中包含冲突的规则导入将完全失败。

在“规则更新”页面上,如果规则导入发生冲突,则“状态”列中会显示警告图标。有关详细信息,请将鼠标指针悬停在警告图标上,然后阅读工具提示。

请注意,当您尝试导入与现有规则具有相同 SID/修订号的入侵规则时,会发生冲突。您应始终确保自定义规则的更新版本具有新的修订版本号。

新增/修改的屏幕:我们在 系统系统齿轮图标 > 更新 > 规则更新中添加了一个警告图标。

表 10. 版本 6.6.0 功能

功能

详细信息

威胁防御升级

从内部 Web 服务器获取 FTD 升级包。

FTD 设备现在可以从您自己的内部 Web 服务器而不是从 FMC 获取升级包。这在 FMC 及其设备之间的带宽有限时尤其有用。它还可以节省 FMC 的空间。

 

此功能仅支持运行版本 6.6+ 的 FTD 设备。它不支持升级 版本 6.6,也不支持 FMC 或经典设备。

新增/修改的屏幕:我们在上传升级包的页面中添加了 指定软件更新源 选项。

内容更新

在初始设置期间自动更新 VDB。

设置新的或重新映像的 FMC 时,系统会自动尝试更新漏洞数据库 (VDB)。

这是一次性操作。如果 FMC 已接入互联网,我们建议您安排自动定期下载和安装 VDB 更新的任务。

表 11. 版本 6.5.0 的功能

功能

详细信息

内容更新

自动软件下载和 GeoDB 更新。

当您设置新的或重新映像的 FMC 时,系统会自动安排:

  • 为 FMC 及其托管设备下载软件更新的每周任务。

  • GeoDB 的每周更新。

任务是在 UTC 中安排的,这意味着它们在本地发生的时间取决于日期和您的特定位置。此外,由于任务是以 UTC 为单位进行计划的,因此它们不会针对夏令时、夏令时或您在地点可能观察到的任何季节性调整进行调整。如果您受到影响,则根据当地时间,安排的任务在夏季要比冬季“晚”一个小时。我们建议您查看自动安排的配置,并在必要时对其进行调整。

表 12. 版本 6.4.0 功能

功能

详细信息

Management Center 升级

升级会推迟计划任务。

管理中心 升级流程现在会推迟计划任务。任何计划在升级期间开始的任务都将在升级后重新启动后五分钟开始。

 

在开始任何升级之前,您仍必须确保运行任务已完成。在升级开始时运行的任务会停止,成为失败的任务,且不能恢复。

请注意,受支持的版本进行的所有升级均支持此功能。这包括 6.4.0.10 及更高版本补丁、版本 6.6.3 及更高维护版本以及版本 6.7.0+。从不支持的版本升级支持的版本时,不支持此功能。

内容更新

签名的 SRU、VDB 和 GeoDB 更新。

因此,系统可以验证您使用的是正确的更新文件,版本 6.4+ 使用签名的入侵规则 (SRU)、漏洞数据库 (VDB) 和地理位置数据库 (GeoDB) 更新。早期版本继续使用未签名的更新。

除非您从思科支持和下载站点手动下载更新 - 例如,在物理隔离部署中 - 否则您应该不会察觉到功能上的任何差异。但是,如果您手动下载并安装 SRU、VDB 和 GeoDB 更新,请确保为当前版本下载正确的软件包。

签名更新文件以“Cisco”(而不是“Sourcefire”)开头,以 .sh.REL.tar(而不是 .sh)结尾,如下所示:

  • SRU:Cisco_Firepower_SRU-日期-内部版本-vrt.sh.REL.tar

  • VDB:Cisco_VDB_Fingerprint_Database-4.5.0-版本.sh.REL.tar

  • GeoDB:Cisco_GEODB_Update-日期-内部版本.sh.REL.tar

我们将同时提供签名和未签名的更新,直到对需要未签名更新的版本的支持结束为止。不要解压签名的 (.tar) 包。如果您意外将已签名的更新上传到较早的 FMC 或 ASA FirePOWER 设备,则必须手动将其删除。离开软件包会占用磁盘空间,并且还可能导致未来升级出现问题。

表 13. 版本 6.2.3 的功能

功能

详细信息

设备升级

升级前,将升级包复制到托管设备。

现在,您可以在运行实际升级之前,将升级包从 FMC 复制(或推送)到托管设备。这是非常有用的,因为您可以在“升级维护”窗口之外的低带宽使用时间内推送。

当您推送到高可用性、群集或可堆叠设备时,系统首先将升级包发送到活动/主要/首要设备,然后再发送到备用/数据/辅助设备。

新增/修改的屏幕: 系统系统齿轮图标 > 更新

内容更新

在 VDB 更新之前, FMC 会重新启动警告。

现在 FMC 会警告您漏洞数据库 (VDB) 更新会重新启动 Snort 进程。这会中断流量检查,并且可能会中断流量,具体取决于受管设备处理流量的方式。您可以取消安装,直到更方便的时间,例如在维护窗口期间。

可能会出现以下警告:

  • 下载并手动安装 VDB 后。

  • 当您创建计划任务来安装 VDB 时。

  • VDB 在后台安装,例如,在之前安排的任务期间,或作为软件升级的一部分。