セキュアWebアプライアンスのリリース変更

致死量

– システムCPUおよびメモリの要件は、12.0リリース以降から変更されています。

– デフォルトでは、アプライアンスでTLSv1.3が有効になっています。

– 暗号「TLS_AES_256_GCM_SHA384」がデフォルトの暗号リストに追加されます。

- Cisco AsyncOS 12.0リリースは、S680、S690、およびS695プラットフォーム向けに高性能(HP)のWebセキュリティアプライアンスを提供します。 

– 新しいサブコマンドhighperformanceがメインのadvancedproxyconfigコマンドの下に追加され、ハイパフォーマンスモードが有効または無効になります。

- SWAとCisco Threat Response(CTR)ポータルの統合

– アプライアンスはTLSv1.3バージョンをサポートしています。

– 設定ファイルのバックアップ機能が、サブメニュー「Log Subscriptions」から「Configuration File」の「System Administration」に移動します。

– アプライアンスで、HTTPSプロキシのECDSA証明書のアップロードがサポートされるようになりました。

- 新しい診断CLI proxyscannermapサブコマンドがdiagnostic > proxyの下に追加されました。各プロキシと対応するスキャナプロセス間のPIDマッピングを表示します。

– 新しいオプションsearchdetailsがCLIコマンドauthcacheの下に追加されました。

– 新しいサブコマンドCTROBSERVABLEがCLIコマンドreportingconfigの下に追加され、CTR監視可能ベースインデックスを有効または無効にします。

GD

– メインのadvancedproxyconfigコマンドの下に新しいサブコマンドスキャナが追加され、AMPエンジンでスキャンされるMIMEタイプが除外されます。

MD

- TLS 1.2以降のバージョンを使用して、アプライアンスをAMPファイルレピュテーションサーバに接続します。

- AMERICAS（レガシー）cloud-sa.amp.sourcefire.comはアプライアンスで設定できません。

– メインCLIコマンドadvancedproxyconfig > scanners > AMPに「Enter the number of concurrent scans to be supported by AMP」という新しいオプションが追加されました。

メインのCLIコマンドadvancedproxyconfig > scannersで、長時間実行スキャンの削除のデフォルトのスキャン不能判定をタイムアウトに変更したり、その逆を新しいCLIサブコマンドevictionから変更したりできます。 

MD

– アプライアンスのWebユーザインターフェイスでアラートメッセージがトリガーされる 

プロキシのMalloc MemoryがプロキシのMalloc Memoryの制限の90 %を超えると、「Web Proxy」の重大なアラートを受信するように設定されたすべての「アラート受信者」に電子メール通知が送信されます。

– 新しいWebインターフェイスにより、モニタリングレポートとトラッキング Webサービスの新しい外観が提供されます。

MD

MD

– 新しいURLカテゴリ更新通知

MD

MD

- TLSv1.2は、アプライアンス管理Webユーザーインターフェイスではデフォルトで有効になっています

- Session Resumptionはデフォルトで無効になっています。

- CDAのサポート終了を示すメッセージがCDA設定セクションに追加されます。

致死量

- デフォルトでは、Cisco Success Network機能はアプライアンスで有効になっています。 

  – これらのログは、詳細を含むように変更されています。

認証が失敗すると、アクセスログにユーザ名が表示されるようになりました。

認証フレームワークのログには、NTLM、BASIC、SSO（透過）などの失敗した認証プロトコルのクライアントIPアドレスが表示されます

- Cisco AsyncOS 12.5リリースは、S680、S690、およびS695プラットフォーム向けに高性能(HP)のWebセキュリティアプライアンスを提供します。これにより、現在のハイエンドアプライアンスのトラフィックパフォーマンスが向上します。

– アプライアンスで次の機能を有効にしている場合でも、12.5バージョンにアップグレードして、モデル（S680、S690、S695、S680F、S690F、およびS695F）でハイパフォーマンスモードを使用できるようになりました。

• Webトラフィックタップ
• ボリュームと時間のクォータ
• 全体的な帯域幅制限

 - IPスプーフィングプロファイルを作成してルーティングポリシーに追加することで、WebプロキシIPスプーフィングを設定できるようになりました。 

- YouTubeのカスタムURLカテゴリを作成し、YouTubeのカスタムカテゴリにポリシーを設定してセキュアなアクセス制御を実現できるようになりました。

- 新しいWebインターフェイスでは、アプライアンスの現在のステータスと設定を表示する新しいページ([モニタリング] > [システムステータス])がアプライアンスに表示されます。

- Cisco Success Network(CSN)機能を使用すると、アプライアンスの機能使用状況に関するテレメトリを収集できます。

- ネットワーク、ログサブスクリプション、およびその他の構成用のREST API。

GD

- TLS 1.0/1.1の廃止：

TLS 1.2以降のバージョンを使用して、アプライアンスをAMPファイルレピュテーションサーバに接続します。AMPファイルレピュテーションサーバリストから南・北・中央アメリカ（レガシー）cloud-sa.amp.sourcefire.comが削除されているため、アプライアンスで南・北・中央アメリカ（レガシー）cloud-sa.amp.sourcefire.comを設定することはできません。

– 認証用のキャッシュサイズの設定(Network > Authentication > Authentication Settings > Credential Cache Options)は、AsyncOS 12.5.1-035以降のバージョンではサポートされていません。

GD

– アラート・メッセージは、アプライアンスのWebユーザー・インターフェイスに表示されます([System Administration] > [Alerts] > [View Top Alerts])。

• プロキシmallocメモリがプロキシmallocメモリ制限の90 %を超えた場合
• mallocメモリの100 %でプロキシが再起動したとき

どちらの場合も、「Webプロキシ」の重大なアラートを受信するように構成されたすべての「アラート受信者」にEメール通知が送信されます。

MD

– バナーに新しいURL Categories Update通知が導入されました。また、今後のURLカテゴリの更新に関する電子メール通知もユーザに送信されます。

MD

MD

MD

- Cisco AsyncOS 12.5.4バージョン以降、アプライアンス管理Webユーザインターフェイスに対してTLSv1.2がデフォルトで有効になっています。

- Cisco AsyncOS 12.5.4バージョンへのアップグレード後は、デフォルトでセッション再開が無効になります。

 - CDAのサポート終了を示すメッセージがCDA設定セクションに追加されます。

MD更新

MD

- Cisco AsyncOS 12.5へのアップグレード後、networktuningコマンドを初めて実行するときに、プロキシプロセスを再起動するように求めるプロンプトが表示される。

MD更新

MD

致死量

– デフォルトでは、HTTP 2.0機能は無効になっています。この機能を有効にするには、<HTTP2>コマンドを使用します。

- AsyncOS 14.0 for Cisco Webセキュリティアプライアンスは、クライアントとサーバでTLSv1.3セッション再開をサポートします。

– これらの証明書の有効期間が変更されます。

• HTTPS
• ISE
• SAAS
• アプライアンス証明書
• デモ/管理証明書

  – ログサブスクリプションのログ名とファイル名が無効なためにアップグレードが失敗すると、アプライアンスのCLIおよびGUIにメッセージが表示されるようになりました。

– デフォルトでは、ポーリング間隔は24時間に設定されています。

– このリリースにアップグレードした後で、ベースDN（ベース識別名）フィールド（[ネットワーク] > [認証] > [レルムの追加]）が空の場合、LDAP認証の開始テストを実行できません。

- Cisco Webセキュリティアプライアンスは、Cisco SecureXとの統合をサポートするようになりました。

- HTTP要求用のカスタムヘッダープロファイルを設定し、ヘッダーリライトプロファイルの下に複数のヘッダーを作成できます。 

- Active Directoryのヘッダーベースの認証スキームを設定できるようになりました。クライアントとWebセキュリティアプライアンスはユーザを認証済みと見なし、認証やユーザクレデンシャルの入力を求めるプロンプトを再度表示しません。X-Authenticated機能は、Webセキュリティアプライアンスがアップストリームデバイスとして動作する場合に動作します。

- 

アプライアンスのシステムステータスダッシュボードが拡張されました。

• Capacityタブ：時間範囲、システムCPUとメモリの使用量、帯域幅とRPS、機能別のCPU使用量、およびクライアント接続とサーバ接続に関する詳細を提供するタブです。

• StatusタブのProxy Traffic Characteristicsには、クライアントとサーバの接続に関する詳細情報が表示されます。

• サービス応答時間に、棒グラフの詳細と以前の日付の凡例データが含まれるようになりました。

– 構成情報を取得し、アプライアンスの構成データに対して変更（現在の情報の変更、新しい情報の追加、エントリの削除など）を行うことができます。また、管理ポリシー、アクセスポリシー、およびバイパスポリシーにREST APIを使用できます

- Cisco AsyncOS 14.0バージョンは、TLSを介したWeb要求および応答に対してHTTP 2.0をサポートします。HTTP 2.0のサポートにはTLS ALPNベースのネゴシエーションが必要で、これはTLS 1.2バージョン以降からのみ使用可能です。

このリリースでは、次の機能に対してHTTPS 2.0はサポートされていません。

• Webトラフィックタップ
• 外部DLP
• 全体の帯域幅とアプリケーションの帯域幅

- HTTP 2.0の設定を有効または無効にするための新しいCLIコマンド<HTTP2>が導入されました。アプライアンスのWebユーザインターフェイスでは、HTTP 2.0を有効または無効にしたり、HTTP 2.0のドメインを制限したりすることはできません。

- HTTP 2.0の設定は、Cisco Secure Email and Web Manageではサポートされません

- CLIでは、次のいずれかの機能のデフォルト証明書を使用しようとすると、新しい警告メッセージが表示されます。

• アプライアンス証明書（Webユーザインターフェイスで、Network > Certificate Management > Appliance Certificateの順に移動します）
• クレデンシャル暗号化証明書（Webユーザインターフェイスで、Network > Authentication > Edit Settings > Advancedセクションに移動します）
• HTTPS管理UI証明書（コマンドラインインターフェイスでcertconfig > SETUPを使用）

- certconfigの下に新しいサブコマンドOCSPVALIDATION_FOR_SERVER_CERTが追加されました。この新しいサブコマンドを使用すると、LDAPおよびアップデータサーバ証明書のOCSP検証を有効にできます。証明書の検証が有効な場合、通信に含まれる証明書が失効するとアラートを受信できます。

– アプライアンスと認証サーバ間のポーリング機能を設定するために、新しいCLIコマンドgathereredconfigが追加されました。

– アプライアンスでスマートライセンス機能を設定しながら、管理インターフェイスとデータインターフェイスのいずれかを選択できるようになりました。

致死量

– スマートソフトウェアライセンスを有効にし、WebセキュリティアプライアンスをCisco Smart Software Managerに登録すると、シスコクラウドサービスが提供されます。

(Network > Cloud Service Settings)を選択すると、Cisco Cloud Servicesポータル経由でセキュアWebアプライアンスが自動的に有効化され、登録されます。

– スマートライセンスがアプライアンスに登録されている場合、Cisco Cloud Serviceを無効にしたり、登録を解除したりすることはできません。

– アプライアンスをCisco Smart Software Managerに登録済みで、Cisco Cloud Servicesを設定していない場合、AsyncOS 14.0.1-040にアップグレードすると、Cisco Cloud Servicesは自動的に有効になります。デフォルトでは、地域は南北アメリカとして登録されており、必要に応じて地域（ヨーロッパおよびAPJC）を変更できます。

– スマートライセンスがアプライアンスに登録されている場合、Cisco Cloud Serviceを無効にしたり、登録を解除したりすることはできません。

- Cisco Smart Software Managerポータルで作成されたスマートアカウントの詳細は、CLIのsmartaccountinfoコマンドで表示できます。

- Cisco Cloud Servicesの証明書の有効期限が切れているか、間もなく切れる場合、AsyncOS 14.0.1-040へのアップグレード後に、Cisco Cloud Serviceによって証明書が自動更新されます。

- Cisco Cloud Services証明書が期限切れになった場合、CLIのcloudserviceconfig > fetchcertificateサブコマンドからCisco Talos Intelligence Servicesポータルに新しい証明書をダウンロードできます。

- Cisco Cloud Serviceポータル(CLIでcloudserviceconfig > autoregisterサブコマンド)を使用して、Webセキュリティアプライアンスを自動登録できます。

- CLIのupdateconfig > clientcertificateサブコマンドから、仮想アプライアンスおよびハードウェアアプライアンスの証明書をロードできます。

– バナーに新しいURL Categories Update通知が導入されました。

URLカテゴリの更新に関する電子メール通知もユーザに送信されます。

GD

HP

MD

- Cisco AsyncOS 14.0.2バージョンでは、Appliance Management Web User InterfaceのSystem Administrator > SSL ConfigurationでTLSv1.2がデフォルトで有効になっています。

– セッション再開はデフォルトで無効になっています。

- CDAのサポート終了を示すメッセージがCDA設定セクションに追加されます。

- Test Interfaceドロップダウンリストから、Smart License Registrationのデータまたは管理インターフェイスを選択できるようになりました。

MD

- Cisco AsyncOS 14.0へのアップグレード後、networktuningコマンドを初めて実行するときに、プロキシプロセスを再起動するように求めるプロンプトが表示される。

HP

- Secure Web Applianceが高パフォーマンスモードで動作している場合、ヒープ制限の枯渇により、高い遅延とacceptハンドラが無効になります。これにより、接続数が少なくなります。

MD

致死量

– 製品のブランド変更：

• エンドポイント向けAMP、高度なマルウェア防御、AMPは セキュアエンドポイント
• スレッドグリッド（ファイル分析）がマルウェア分析に変更されました

– 誤分類要求はHTTPS経由で送信されるため、セキュリティアラート通知を受信しません。

- Sambaのバージョンがバージョン4.11.15にアップグレードされました。

- Appliance Management WebユーザインターフェイスのSystem Administrator > SSL Configurationで、TLSv1.2がデフォルトで有効になっている。

- AsyncOS 14.5の新規インストールでは、HTTPSプロキシページの期限切れおよび不一致ホスト名証明書設定値が、デフォルトでモニタではなくドロップとして選択されます。

- Secure Web Applianceは、DNSサーバから受信したDNS応答が暗号署名をサポートしていることを検証できるようになりました。

- Secure Web Applianceは、クライアントによって開始される同時接続の数を設定値に制限します。

- AsyncOSリリース14.5では、Cisco WebセキュリティアプライアンスはCisco Secure Web Applianceにブランド変更されました。

– クライアントのWebブラウザにEUNページが表示されると、Decrypt Policyグループ内のアクセスログ決定タグにEUN (End user Notification)が付加されます。

– ポリシーの複製機能を使用すると、ポリシーの設定をコピーまたは複製し、新しいポリシーを作成できます。

– クォータプロファイルで帯域幅の値を構成し、アクセスポリシーURLカテゴリまたは全体的なWebアクティビティのクォータにクォータプロファイルをマップすることで、トラフィック帯域幅を管理できます。

– 管理ポリシー、復号化ポリシー、ルーティングポリシー、IPスプーフィングポリシー、マルウェア対策とレピュテーション、認証レルム、Cisco Smart Softwareライセンス、Cisco UmbrellaシームレスID、アイデンティティサービス、システムセットアップを設定するためのREST API。

- ISE-SXP導入をCisco Secure Web Applianceと統合してパッシブ認証を行うことができます。これにより、SXPを介して公開されるSGTからIPへのアドレスマッピングを含む、定義されたすべてのマッピングを取得できます。

- Cisco UmbrellaシームレスID機能を使用すると、アプライアンスは、認証が成功した後にユーザ識別情報をCisco UmbrellaセキュアWebゲートウェイ(SWG)に渡すことができます。

- CDAのサポート終了を示すメッセージがCDA設定セクションに追加されます。

- Test Interfaceドロップダウンリストから、Smart License Registrationのデータまたは管理インターフェイスを選択できるようになりました。

- Cisco AsyncOS 14.5へのアップグレード後、networktuningコマンドを初めて実行するときに、プロキシプロセスを再起動するように求めるプロンプトが表示される。

GD

- Secure Web Appliance(CWA)のクローンオプションを使用するこれらのポリシーは、Cisco Secure Email and Web Manager(SMA)でも管理できます。

• アクセスポリシー
• 識別プロファイル
• 復号化ポリシー
• ルーティングポリシー

MD

MD

致死量

- AsyncOS 14.6は、Cisco UmbrellaとCisco Secure Web Appliance(SWA)のサポートを提供します。UmbrellaとセキュアWebアプライアンスの統合により、UmbrellaからセキュアWebアプライアンスへの共通のWebポリシーの導入が容易になります。

致死量

- FreeBSDバージョンはFreeBSD 13.0にアップグレードされました。

- Cisco SSLバージョン1.0.2からCisco SSLバージョン1.1.1

- AVC、WBRSD、DCA、BeakerなどのTalosエンジンがアップグレードされました。

- WebrootやMcAfeeなどのスキャナエンジンがアップグレードされました。

- Smart Software Licensing機能に対する次の機能拡張

• ライセンス予約
• デバイスLED変換：Secure Web Applianceをスマートライセンスに登録すると、現在の有効な従来のライセンスがすべてDLC（デバイスLED変換）プロセスによってスマートライセンスに自動的に変換されます。変換されたライセンスは、CSSMポータルの仮想アカウントで更新されます。

– クォータプロファイルで帯域幅の値を構成してトラフィック帯域幅を管理し、クォータプロファイルを復号化ポリシーとアクセスポリシー、URLカテゴリ、または全体的なWebアクティビティのクォータにマッピングできます。

– ポリシーの複製機能を使用すると、ポリシーの設定をコピーまたは複製し、新しいポリシーを作成できます。

– アプリケーション検出および制御(ADC)エンジン： 

アクセプタブルユースポリシー(aup)のコンポーネント。webトラフィックを検査して、アプリケーションに使用されるwebトラフィックをより深く理解し、制御します。

AsyncOS 15.0では、AVCまたはADCエンジンを使用してWebトラフィックを監視できます。デフォルトでは、AVCは有効になっています。ADCエンジンは高性能モードをサポートします。

- ADC設定用のREST API

– 管理者は、デフォルトのユーザ名v3get以外のカスタムSNMPv3ユーザ名の設定を選択できます。

– カスタムヘッダーの最大長は16kです。

– セキュアトンネルインターフェイスとリモートアクセス接続を選択するオプション。

GD

-デバイス主導の変換 – スマートライセンスでSecure Web Applianceを登録すると、現在の有効な従来のライセンスはすべて、DLC（デバイス主導の変換）プロセスによって自動的にスマートライセンスに変換されます。変換されたライセンスは、CSSMポータルの仮想アカウントで更新されます。

  – デフォルトでは、AVCは有効になっています。 

- Cisco SSLバージョン1.0.2からCisco SSLバージョン1.1.1

- AVC、WBRSD、DCA、BeakerなどのTalosエンジンがアップグレードされました。

 - WebrootやMcAfeeなどのスキャナエンジンがアップグレードされました。

- FreeBSD 13.0はCisco SSLバージョン1.1.1とのみ互換性があります。

FreeBSD 13.0へのSSH接続でサポートできるのは、Cisco SSH互換の暗号、MacおよびKexアルゴリズムだけです。

- AsyncOS15.0 GDリリースの一部として、Secure Web ApplianceのDCA機能が無効になっています。このバージョンにアップグレードした後で、セキュリティサービス>アクセプタブルユースコントロールの順に選択し、DCAチェックボックスをオンにすると、この機能を有効にできます。

- マルチプロキシSWA(S690、S695、S1000V)では、プロキシMallocメモリのSNMP OIDに対するSNMPWALK/SNMPGET操作はサポートされていません。

– ライセンス予約：Cisco Smart Software Manager(CSSM)ポータルに接続しなくても、Secure Web Applianceで有効になっている機能のライセンスを予約できます。これは主に、インターネットや外部デバイスと通信することなく、セキュリティの高いネットワーク環境にセキュアなWebアプライアンスを導入するユーザにとって有益です。

 - クォータプロファイルで帯域幅の値を構成し、クォータプロファイルを復号化ポリシーおよびアクセスポリシーのURLカテゴリまたは全体的なWebアクティビティのクォータにマッピングすることで、トラフィック帯域幅を管理できます。

 - クローンポリシー機能を使用すると、ポリシーの設定をコピーまたはクローンし、新しいポリシーを作成できます。

- Application Discovery and Control(ADC)エンジンをサポートします。これは、アクセプタブルユースポリシーコンポーネントであり、Webトラフィックを検査して、アプリケーションに使用されるWebトラフィックをより深く理解し、制御します。

これで、AVCまたはADCエンジンのいずれかを使用してWebトラフィックを監視できます。

- ADCエンジンは高性能モードをサポートします。

- REST APIを使用して、アプライアンスのアクセスポリシー設定データの設定情報の取得、および変更（現在の情報の変更、新しい情報の追加、エントリの削除など）の実行が可能になりました。

-Adminでは、デフォルトのユーザ名v3get以外のカスタムSNMPv3ユーザ名の設定を選択できます。

- Web要求に対するカスタムヘッダーの最大長は16kです。

- セキュアなトンネルインターフェイスとリモートアクセス接続を選択するオプション

HP

次の不具合に対する修正が含まれています。

Cisco Bug ID CSCvz26149
Cisco Bug ID CSCwf78874
Cisco Bug ID CSCwf84371
Cisco Bug ID CSCwh31573
Cisco Bug ID CSCwh37834
Cisco Bug ID CSCwh41379
Cisco Bug ID CSCwh48523
Cisco Bug ID CSCwh71926

致死量

- AsyncOS 15.1以降のリリースでは、スマートソフトウェアライセンスが必須です。

- Cisco UmbrellaとCisco Secure Web Applianceの統合により、UmbrellaからSecure Web Applianceへの共通のWebポリシーの導入が容易になります。また、Umbrellaダッシュボードを使用してポリシーを設定し、ログを表示できます。

バージョン

11.8.X（2015年9月）

12.0.X（2015年9月）

12.5.X（2015年9月）

14.0.X（2015年9月）

14.5.X（2015年9月）

14.6.X（2015年9月）

15.0.X（2015年9月）

freebsd

10.4

10.4

10.4

11.2

11.2

11.2

13.0