|
递归 DNS 服务器 (RDNSS) 和 DNS 搜索列表 (DNSSL) 选项,用于向 IPv6 客户端通告 DNS 服务器和域列表
|
10.0.0
|
10.0.0
|
现在,您可以配置递归 DNS 服务器 (RDNSS) 和 DNS 搜索列表 (DNSSL) 选项,以便为使用路由器通告的 SLAAC 客户端提供 DNS 服务器和域。
新增/修改的屏幕:
新增/修改的命令: show ipv6 nd detail , show ipv6 nd ra dns-search-list , show ipv6 nd ra dns server , show ipv6 nd summary
|
|
Secure Firewall 200 硬件交换机支持
|
10.0.0
|
10.0.0
|
Secure Firewall 200 支持将各以太网接口设置为交换机端口或防火墙接口。
|
|
Cisco Secure Firewall 1210CP IEEE 802.3bt 支持(PoE++ 和 Hi-PoE)
|
7.7.0
|
7.7.0
|
请参阅以下与 IEEE 802.3bt 支持相关的改进:
新增/修改的屏幕:
新增/修改的命令:show power inline
|
|
对于带有内置交换机的型号,子接口不能使用 VLAN 1
|
7.6 |
7.6 |
对于带有内置交换机的型号,您无法使用 VLAN 1 创建子接口。VLAN 1 保留用于交换机端口的逻辑 VLAN 接口。
若将 1010 升级至 7.6 或以上版本,且已为子接口分配 VLAN 1,您必须将子接口的 VLAN ID 改为新 VLAN ID。将无法使用 VLAN 1 部署配置。
|
|
Cisco Secure Firewall 通过 GWLB 支持 AWS 上的双臂部署模式
|
7.6 |
7.6 |
Cisco Secure Firewall 支持在 AWS 上使用 GWLB 的双臂部署模式。此模式可使防火墙在进行流量检查后,通过互联网网关直接将互联网流量转发到互联网,同时还可执行网络地址转换 (NAT)。 |
|
Cisco Secure Firewall 1210/1220 硬件交换机支持
|
7.6
|
7.6
|
Cisco Secure Firewall 1210/1220 支持将各以太网接口设置为交换机端口或防火墙接口
|
|
以太网端口 1/5-1/8 上的 Cisco Secure Firewall 1210CP PoE+ 支持
|
7.6 |
7.6
|
Cisco Secure Firewall 1210CP 在以太网端口 1/5-1/8 上支持以太网供电+ (PoE+)。
|
|
VXLAN VTEP IPv6 支持
|
7.4
|
任意
|
现在,您可以为 VXLAN VTEP 接口指定 IPv6 地址。Threat Defense Virtual 集群控制链路或 Geneve 封装不支持 IPv6。
新增/修改的屏幕:
需要 Firewall Threat Defense 7.4 版本。
|
|
环回接口支持 BGP 和管理流量
|
7.4
|
任意
|
您可以将环回接口用于:
-
AAA
-
BGP
-
DNS
-
HTTP
-
ICMP
-
IPsec 流分流
-
NetFlow
-
SNMP
-
SSH
-
系统日志
需要 Firewall Threat Defense 7.4 版本。
|
|
VTI 的环回接口支持。
|
7.3
|
任意
|
您现在可以添加环回接口。环回接口有助于克服路径故障。如果接口发生故障,您可以通过分配给环回接口的 IP 地址来访问所有接口。对于 VTI,除了将环回接口设置为源接口外,还添加了支持以从环回接口继承 IP 地址,而不是静态配置的 IP 地址。
新增/修改的屏幕:
|
|
IPv6 DHCP
|
7.3
|
任意
|
Firewall Threat Defense 现在支持 IPv6 寻址的以下功能:
-
DHCPv6 地址客户端 - Firewall Threat Defense 从 DHCPv6 服务器获取 IPv6 全局地址和可选默认路由。
-
DHCPv6 前缀代理客户端 - Firewall Threat Defense 从 DHCPv6 服务器获取指定的前缀。然后,Firewall Threat Defense 可以使用这些前缀来配置其他 Firewall Threat Defense 接口地址,以便无状态地址自动配置 (SLAAC) 客户端可以自动配置同一网络上的 IPv6 地址。
-
BGP 路由器通告指定的前缀
-
DHCPv6 无状态服务器 - 当 SLAAC 客户端向 Firewall Threat Defense 发送信息请求 (IR) 数据包时,Firewall Threat Defense 会向它们提供域名等其他信息。Firewall Threat Defense 仅接受 IR 数据包,不向客户端分配地址。
新增/修改的屏幕:
新增/修改的命令:show bgp ipv6 unicast, show ipv6 dhcp, show ipv6 general-prefix
|
|
Firewall Threat Defense Virtual 用于 Azure 网关负载均衡器的已配对代理 VXLAN
|
7.3
|
任意
|
您可以为 Azure 中的 Firewall Threat Defense Virtual 配置配对代理模式 VXLAN 接口,以便与 Azure 网关负载均衡器 (GWLB) 配合使用。 Firewall Threat Defense Virtual 通过已配对代理中的 VXLAN 网段在单个 NIC 上定义外部接口和内部接口。
新增/修改的屏幕:
支持的平台:Azure 中的 Firewall Threat Defense Virtual
|
|
VXLAN 支持
|
7.2
|
任意
|
添加了 VXLAN 封装支持。
新增/修改的屏幕:
支持的平台:全部
|
|
Geneve 支持 Firewall Threat Defense Virtual
|
7.1
|
任意
|
为 Firewall Threat Defense Virtual 增加了 Geneve 封装支持,以支持 Amazon Web 服务 (AWS) 网关负载均衡器的单臂代理。AWS 网关负载均衡器将透明网络网关(所有流量都有一个入口和出口点)与负载均衡器相结合,该负载均衡器可分配流量并扩展 Firewall Threat Defense Virtual 以匹配流量需求。
此功能需要使用 Snort 3。
新增/修改的屏幕:
支持的平台:AWS 中的 Firewall Threat Defense Virtual
|
|
31 位子网掩码
|
7.0
|
任意
|
对于路由接口,您可以在 31 位子网上为点对点连接配置 IP 地址。31 位子网只包含 2 个地址;通常,该子网中的第一个和最后一个地址预留用于网络和广播,因此,不可使用包含 2 个地址的子网。但是,如果您有点对点连接,并且不需要网络或广播地址,则
31 位子网是在 IPv4 中保留地址的有用方式。例如,2 个 FTD 之间的故障转移链路只需要 2 个地址;该链路一端传输的任何数据包始终由另一端接收,无需广播。您还可以拥有运行 SNMP 或系统日志的一个直连管理站。网桥组或组播路由的 BVI
不支持此功能。
新增/修改的屏幕:
|
|
Firepower 4100/9300 的 Firewall Threat Defense 运行链路状态与物理链路状态之间的同步
|
6.7
|
任意
|
Firepower 4100/9300 机箱现在可以将 Firewall Threat Defense 运行链路状态与数据接口的物理链路状态同步。目前,只要 FXOS 管理状态为“运行”且物理链路状态为“运行”,接口将处于“运行”状态,而不考虑 Firewall Threat Defense 应用接口管理状态。如果没有从 Firewall Threat Defense同步,数据接口可能在 Firewall Threat Defense 应用完全上线之前处于“Up”物理状态,或者在您启动 Firewall Threat Defense 关闭后的一段时间内保持 “Up” 状态。对于内联集,此状态不匹配可能会导致数据包丢失,因为外部路由器可能会在 Firewall Threat Defense 可以处理流量之前开始向 Firewall Threat Defense 发送流量。该功能默认为禁用状态并可在 FXOS 中按逻辑设备逐一启用。
|
注
|
集群、容器实例或具有 Radware vDP 修饰器的 Firewall Threat Defense 不支持此功能。ASA 也不支持此功能。
|
新增/修改的 Firepower 机箱管理器屏幕:
新增/修改的 FXOS 命令:set link-state-sync enabled、show interface expand detail
支持的平台:Firepower 4100/9300
|
|
Firepower 1010 硬件交换机支持
|
6.5
|
任意
|
Firepower 1010 支持将各以太网接口设置为交换机端口或防火墙接口。
新增/修改的屏幕:
|
|
Firepower 1010 PoE + 支持以太网 1/7 和以太网 1/8
|
6.5
|
任意
|
在被配置为交换机端口时,Firepower 1010 支持以太网接口 1/7 和 1/8 上的增强型以太网供电+ (PoE+)。
新增/修改的屏幕:
|
|
用于容器实例的 VLAN 子接口
|
6.3.0
|
任意
|
要确保灵活使用物理接口,可以在 FXOS 中创建 VLAN 子接口,还可以在多个实例之间共享接口。
新增/修改的 Secure Firewall Management Center菜单项:
图标 > 接口 选项卡
新增/修改的 Cisco Secure Firewall 机箱管理器菜单项:
下拉菜单子接口
新增/修改的 FXOS 命令:create subinterface、set vlan、show interface、show subinterface
支持的平台:Firepower 4100/9300
|
|
用于容器实例的数据共享接口
|
6.3.0
|
任意
|
要确保灵活使用物理接口,可以在多个实例之间共享接口。
新增/修改的 Cisco Secure Firewall 机箱管理器菜单项:
新增/修改的 FXOS 命令:set port-type data-sharing、show interface
支持的平台:Firepower 4100/9300
|
|
集成路由和桥接
|
6.2.0
|
任意
|
集成路由和桥接提供了在网桥组和路由接口之间路由的功能。网桥组是指 Firewall Threat Defense 网桥(而非路由)的接口组。Firewall Threat Defense 并非真正的网桥,因为 Firewall Threat Defense 仍将继续充当防火墙:接口之间实施访问控制,并且部署所有常用防火墙检查。以前,您只能在透明防火墙模式下配置网桥组,而无法在网桥组之间路由。通过此功能,可以在路由防火墙模式下配置网桥组,并在网桥组之间以及网桥组与路由接口之间进行路由。网桥组使用网桥虚拟接口
(BVI) 作为网桥组的网关,由此参与路由。如果 Firewall Threat Defense 上还有额外接口可分配给网桥组,集成路由和桥接可提供替代使用外部第 2 层交换机的其他方案。在路由模式下,BVI 可以是已命名接口,并可独立于成员接口参与某些功能,例如访问规则和 DHCP 服务器。
以下功能在透明模式下受支持,但在路由模式下不受支持:集群。以下功能在 BVI 上也不受支持:动态路由和组播路由。
新增/修改的屏幕:
支持的平台:Firepower 2100 和 Firewall Threat Defense Virtual 以外的所有平台
|