プラットフォーム機能

Firepower 1010 用の ASA

Firepower 1010 用の ASA を導入しました。このデスクトップモデルには、組み込みハードウェアスイッチと Power on Ethernet+（PoE+）のサポートが含まれています。

新規/変更されたコマンド：boot system 、clock timezone 、connect fxos admin 、forward interface 、interface vlan 、power inline 、show counters 、show environment 、show interface 、show inventory 、show power inline 、show switch mac-address-table 、show switch vlan 、switchport 、switchport access vlan 、switchport mode 、switchport trunk allowed vlan

Firepower 1120、1140、および 1150 用の ASA

Firepower 1120、1140、および 1150 用の ASA を導入しました。

新規/変更されたコマンド：boot system 、clock timezone 、connect fxos admin 、show counters 、show environment 、show interface 、show inventory

Firepower 2100 アプライアンス モード

Firepower 2100 は、Firepower eXtensible Operating System（FXOS）という基礎となるオペレーティング システムを実行します。Firepower 2100 は、次のモードで実行できます。

• アプライアンス モード（現在はデフォルト）：アプライアンス モードでは、ASA のすべての設定を行うことができます。FXOS CLI からは、高度なトラブルシューティング コマンドのみ使用できます。

• プラットフォーム モード：プラットフォーム モードでは、FXOS で、基本的な動作パラメータとハードウェア インターフェイスの設定を行う必要があります。これらの設定には、インターフェイスの有効化、EtherChannels の確立、NTP、イメージ管理などが含まれます。Firepower Chassis Manager Web インターフェイスまたは FXOS CLI を使用できます。その後、ASDM または ASA CLI を使用して ASA オペレーティング システムにセキュリティ ポリシーを設定できます。

  9.13(1）にアップグレードしている場合、モードはプラットフォーム モードのままになります。

新規/変更されたコマンド：boot system 、clock timezone 、connect fxos admin 、fxos mode appliance 、show counters 、show environment 、show fxos mode 、show interface 、show inventory

DHCP の予約

ASA DHCP サーバが DHCP の予約をサポートするようになりました。クライアントの MAC アドレスに基づいて、定義されたアドレスプールから DHCP クライアントにスタティック IP アドレスを割り当てることができます。

新規/変更されたコマンド： dhcpd reserve-address

ASAv 最小メモリ要件

ASAv の最小メモリ要件は 2GB です。現在の ASAv が 2GB 未満のメモリで動作している場合、ASAv VM のメモリを増やすことなく、以前のバージョンから 9.13(1)にアップグレードすることはできません。また、バージョン 9.13(1) を使用して新しい ASAv VM を再展開することもできます。

変更されたコマンドはありません。

ASAv MSLA サポート

ASAv は、シスコのマネージド サービス ライセンス契約（MSLA）プログラムをサポートしています。このプログラムは、マネージド ソフトウェア サービスをサード パーティに提供するシスコのお客様およびパートナー向けに設計された、ソフトウェアのライセンスおよび消費のフレームワークです。

MSLA はスマートライセンスの新しい形式で、ライセンス スマート エージェントは時間単位でライセンス権限付与の使用状況を追跡します。

新規/変更されたコマンド：license smart 、mode 、utility 、custom-id 、custom-info 、privacy 、transport type 、transport url 、transport proxy

ASAv 柔軟なライセンス

すべての ASAv ライセンスは、サポートされているすべての ASAv vCPU/メモリ構成で使用できるようになりました。AnyConnect および TLS プロキシのセッション制限は、モデルタイプに関連付けられたプラットフォーム制限ではなく、インストールされた ASAv プラットフォームの権限付与によって決まります。

新規/変更されたコマンド： show version 、show vm 、show cpu 、show license features

AWS の ASAv での C5 インスタンスのサポート。C4、C3、および M4 インスタンスの拡張サポート

AWS パブリッククラウド上の ASAv は、C5 インスタンスをサポートするようになりました（c5.large、c5.xlarge、および c5.2xlarge）。

さらに、C4 インスタンス（c4.2xlarge および c4.4xlarge）、C3 インスタンス（c3.2xlarge、c3.4xlarge、および c3.8xlarge）および M4 インスタンス（m4.2xlarge および m4.4xlarge）のサポートが拡張されました。

変更されたコマンドはありません。

より多くの Azure 仮想マシンサイズをサポートする Microsoft Azure の ASAv

Microsoft Azure パブリッククラウドの ASAv は、より多くの Linux 仮想マシンサイズをサポートするようになりました。

• Standard_D4、Standard_D4_v2

• Standard_D8_v3

• Standard_DS3、Standard_DS3_v2

• Standard_DS4、Standard_DS4_v2

• Standard_F4、Standard_F4s

• Standard_F8、Standard_F8s

以前のリリースでは、Standard_D3 と Standard_D3_v2 のサイズのみがサポートされていました。

変更されたコマンドはありません。

DPDK の ASAv 拡張サポート

ASAv は、Data Plane Development Kit（DPDK）の拡張機能をサポートして、複数の NIC キューのサポートを有効にします。これにより、マルチコア CPU はネットワーク インターフェイスに同時に効率よくサービスを提供できるようになります。

これは、Microsoft Azure と Hyper-v を除くすべての ASAv ハイパーバイザに適用されます。

変更されたコマンドはありません。

VMware ESXi 6.7 用の ASAv サポート

ASAv 仮想プラットフォームは、VMware ESXi 6.7 で動作するホストをサポートしています。vi.ovf および esxi.ovf ファイルに新しい VMware ハードウェア バージョンが追加され、ESXi 6.7 で ASAv の最適なパフォーマンスと使いやすさを実現しました。

変更されたコマンドはありません。

ISA 3000 の VLAN 数の増加

Security Plus ライセンスが有効な ISA 3000 について、最大 VLAN 数が 25 から 100 に増えました。

ファイアウォール機能

モバイル端末の場所のロギング（GTP インスペクション）

GTP インスペクションを設定すると、モバイル端末の初期の場所とそれ以降の場所の変更をログに記録できます。場所の変更を追跡すると、不正なローミング請求を識別するのに役立つ場合があります。

新規/変更されたコマンド：location-logging

GTPv2 および GTPv1 リリース 15 がサポートされています。

システムで GTPv2 3GPP 29.274 V15.5.0 がサポートされるようになりました。GTPv1 の場合、3GPP 29.060 V15.2.0 までサポートしています。新しいサポートでは、2 件のメッセージおよび 53 件の情報要素の認識が追加されています。

変更されたコマンドはありません。

アドレスとポート変換のマッピング（MAP-T）

アドレスとポートのマッピング (MAP) は、主にサービスプロバイダー (SP) ネットワークで使用する機能です。サービス プロバイダーは、IPv6 専用ネットワーク、MAP ドメインを稼働でき、同時に、IPv4 専用のサブスクライバをサポートし、パブリック インターネット上の IPv4 専用サイトとの通信ニーズに対応します。MAP は、RFC7597、RFC7598、および RFC7599 で定義されています。

新規/変更されたコマンド：basic-mapping-rule 、default-mapping-rule 、ipv4-prefix 、ipv6-prefix 、map-domain 、share-ratio 、show map-domain 、start-port

グループごとの AAA サーバ グループとサーバの制限が増えました。

より多くの AAA サーバ グループを設定できます。シングルコンテキストモードでは、200 個の AAA サーバグループを設定できます（以前の制限は 100）。マルチコンテキストモードでは、8 個設定できます（以前の制限は 4）。

さらに、マルチコンテキストモードでは、グループごとに 8 台のサーバを設定できます（以前の制限はグループごとに 4 台のサーバ）。シングル コンテキスト モードのグループごとの制限の 16 は変更されていません。

これらの新しい制限を受け入れるために、次のコマンドが変更されました。aaa-server 、aaa-server host

SCCP（Skinny）インスペクションでは、TLS プロキシが廃止されました。

tls-proxy キーワード、および SCCP/Skinny 暗号化インスペクションのサポートは廃止されました。このキーワードは今後のリリースで inspect skinny コマンドから削除される予定です。

VPN 機能

クライアントとしての WebVPN の HSTS サポート

http-headers と呼ばれる WebVPN モードの新しい CLI モードが追加され、WebVPN は、HTTP 参照を HSTS であるホストの HTTPS 参照に変換できるようになりました。ASA からブラウザへの WebVPN 接続用にこのヘッダーを送信する場合、ユーザー エージェントがリソースの埋め込みを許可するかどうかを設定します。

http-headers は次のように設定することも選択できます。x-content-type-options 、x-xss-protection 、hsts-client（クライアントとしての WebVPN の HSTS サポート）、 hsts-server、または content-security-policy 。

新規/変更されたコマンド：webvpn 、show webvpn hsts host (name <hostname&s{253}> | all) 、および clear webvpn hsts host (name <hostname&s{253}> | all) 。

キー交換用に追加された Diffie-Hellman グループ 15 および 16

Diffie-Hellman グループ 15 および 16 のサポートを追加するために、これらの新しい制限を受け入れるようにいくつかの crypto コマンドが変更されました。

crypto ikev2 policy <index> group <number> および crypto map <map-name> <map-index> set pfs <group>.

show asp table vpn-context 出力の機能強化

デバッグ機能を強化するために、次の VPN コンテキスト カウンタが出力に追加されました。 Lock Err、No SA、IP Ver Err、および Tun Down。

新しい/変更されたコマンド：show asp table vpn-context （出力のみ）。

リモートアクセス VPN の最大セッション制限に達した場合の即時セッション確立

ユーザーが最大セッション（ログイン）制限に達すると、システムはユーザーの最も古いセッションを削除し、削除が完了するのを待ってから新しいセッションを確立します。これにより、最初の試行でユーザーが正常に接続できなくなる可能性があります。この遅延を削除し、削除の完了を待たずにシステムに新しい接続を確立させることができます。

新規/変更されたコマンド：vpn-simultaneous-login-delete-no-delay

ハイ アベイラビリティとスケーラビリティの各機能

デッド接続検出（DCD）の発信側および応答側の情報、およびクラスタ内の DCD のサポート。

デッド接続検出（DCD）を有効にした場合は、show conn detail コマンドを使用して発信側と応答側に関する情報を取得できます。デッド接続検出を使用すると、非アクティブな接続を維持できます。show conn の出力は、エンドポイントがプローブされた頻度が示されます。さらに、DCD がクラスタでサポートされるようになりました。

新しい/変更されたコマンド：show conn （出力のみ）

クラスタのトラフィック負荷のモニタ

クラスタ メンバのトラフィック負荷をモニタできるようになりました。これには、合計接続数、CPU とメモリの使用率、バッファ ドロップなどが含まれます。負荷が高すぎる場合、残りのユニットが負荷を処理できる場合は、ユニットのクラスタリングを手動で無効にするか、外部スイッチのロード バランシングを調整するかを選択できます。この機能は、デフォルトでイネーブルにされています。

新規/変更されたコマンド：debug cluster load-monitor 、load-monitor 、show cluster info load-monitor

クラスタ結合の高速化

データユニットが制御ユニットと同じ設定の場合、設定の同期をスキップし、結合を高速化します。この機能は、デフォルトでイネーブルにされています。この機能はユニットごとに設定され、制御ユニットからデータユニットには複製されません。

新規/変更されたコマンド：unit join-acceleration 、show cluster info unit-join-acceleration incompatible-config

ルーティング機能

SMTP 設定の機能強化

必要に応じて、プライマリおよびバックアップ インターフェイス名を指定して SMTP サーバを設定することで、ロギングに使用するルーティング テーブル（管理ルーティング テーブルまたはデータ ルーティング テーブル）を識別するために ASA を有効にできます。インターフェイスが指定されていない場合、ASA は管理ルーティング テーブル ルックアップを参照し、適切なルート エントリが存在しない場合は、データ ルーティング テーブルを参照します。

新規/変更されたコマンド： smtp-server [primary-interface][backup-interface]

NSF 待機タイマーを設定するためのサポート

OSPF ルータは、すべてのネイバーがパケットに含まれているか不明な場合、Hello パケットにアタッチされている EO-TLV に RS ビットを設定することが期待されています。また、隣接関係（アジャセンシー）を維持するためにはルータの再起動が必要です。ただし、RS ビット値は RouterDeadInterval 秒より長くすることはできません。timers nsf wait コマンドは、Hello パケットの RS ビットを RouterDeadInterval 秒未満に設定するために導入されました。

新規/変更されたコマンド： timers nsf wait

TFTP ブロックサイズを設定するためのサポート

TFTP ファイル転送用に固定された一般的なブロックサイズは 512 オクテットです。新しいコマンド tftp blocksize は、より大きなブロックサイズを設定するために導入されました。これにより、TFTP ファイル転送速度が向上します。513 ～ 8192 オクテットのブロックサイズを設定できます。新しいデフォルトのブロックサイズは 1456 オクテットです。このコマンドの no 形式を使用すると、ブロックサイズが古いデフォルト値（512 オクテット）にリセットされます。timers nsf wait コマンドは、Hello パケットの RS ビットを RouterDeadInterval 秒未満に設定するために導入されました。

新規/変更されたコマンド： tftp blocksize

証明書の機能

FIPS ステータスを表示するためのサポート

show running-configuration fips コマンドは、FIPS が有効になっているときにのみ、FIPS のステータスを表示していました。動作状態を確認するために、show fips コマンドが導入されました。このコマンドは、ユーザーが無効状態または有効状態になっている FIPS を有効または無効にしたときに、FIPS のステータスを表示します。このコマンドは、有効化または無効化アクションの後にデバイスを再起動するためのステータスも表示します。

新規/変更されたコマンド： show fips

CRL キャッシュサイズの拡張

大規模な CRL ダウンロードの失敗を防ぐため、キャッシュサイズを拡張し、また、個別の CRL 内のエントリ数の制限を取り除きました。

• マルチ コンテキスト モードの場合、コンテキストごとの合計 CRL キャッシュサイズが 16 MB に増加しました。

• シングル コンテキスト モードの場合、合計 CRL キャッシュサイズが 128 MB に増加しました。

CRL 分散ポイント コマンドの変更

スタティック CDP URL コンフィギュレーション コマンドが削除され、match certificate コマンドに移行しました。

新規/変更されたコマンド：crypto-ca-trustpoint crl と crl url はその他の関連ロジックで削除され、match-certificate override-cdp が導入されました。

管理およびトラブルシューティングの機能

Firepower 1000、 Firepower 2100 アプライアンス モードがライセンス評価モードの場合の管理アクセス

ASA には、管理アクセスのみを対象にした 3DES 機能がデフォルトで含まれているので、Smart Software Manager に接続でき、すぐに ASDM を使用することもできます。後に ASA で SSH アクセスを設定する場合は、SSH および SCP を使用することもできます。高度な暗号化を必要とするその他の機能（VPN など）では、最初に Smart Software Manager に登録する必要がある高度暗号化が有効になっている必要があります。

変更されたコマンドはありません。

追加の NTP 認証アルゴリズム

以前は、NTP 認証では MD5 だけがサポートされていました。ASA は、次のアルゴリズムをサポートするようになりました。

• MD5

• SHA-1

• SHA-256

• SHA-512

• AES-CMAC

新規/変更されたコマンド： ntp authentication-key

Firepower 4100/9300 の ASA Security Service Exchange（SSE）テレメトリ サポート

ネットワークで Cisco Success Network を有効にすると、デバイスの使用状況に関する情報と統計情報がシスコに提供され、テクニカル サポートの最適化に使用されます。ASA デバイスで収集されるテレメトリ データには、CPU、メモリ、ディスク、または帯域幅の使用状況、ライセンスの使用状況、設定されている機能リスト、クラスタ/フェールオーバー情報などが含まれます。

新規/変更されたコマンド：service telemetry および show telemetry

事前定義されたリストに応じて最も高いセキュリティから最も低いセキュリティへという順序で SSH 暗号化の暗号を表示

事前定義されたリストに応じて、SSH 暗号化の暗号が最も高いセキュリティから最も低いセキュリティへという順序（中または高）で表示されるようになりました。以前のリリースでは、最も低いものから最も高いものへの順序でリストされており、セキュリティが高い暗号よりも低い暗号が先に表示されていました。

新規/変更されたコマンド： ssh cipher encryption

show tech-support に追加の出力が含まれている

show tech-support の出力が強化され、次の出力が表示されるようになりました。

show flow-offload info detail

show flow-offload statistics

show asp table socket

新しい/変更されたコマンド：show tech-support （出力のみ）

ドロップ ロケーション情報を含む show-capture asp_drop 出力の機能強化

ASP ドロップ カウンタを使用したトラブルシューティングでは、同じ理由による ASP ドロップがさまざまな場所で使用されている場合は特に、ドロップの正確な位置は不明です。この情報は、ドロップの根本原因を特定する上で重要です。この拡張機能を使用すると、ビルド ターゲット、ASA リリース番号、ハードウェア モデル、および ASLR メモリ テキスト領域などの ASP ドロップの詳細が表示されます（ドロップの位置のデコードが容易になります）。

新規/変更されたコマンド： show-capture asp_drop

変更内容 debug crypto ca

debug crypto ca transactions および debug crypto ca messages オプションは、すべての該当するコンテンツを debug crypto ca コマンド自体に提供するために統合されています。また、使用可能なデバッグ レベルの数が 14 に削減されました。

新規/変更されたコマンド： debug crypto ca

Firepower 1000 および2100 の FXOS 機能

安全消去

安全消去機能は、SSD 自体で特別なツールを使用してもデータを回復できないように、SSD 上のすべてのデータを消去します。デバイスを使用停止する場合は、FXOS で安全に消去する必要があります。

新規/変更された FXOS コマンド：erase secure （local-mgmt）

サポートされているモデル：Firepower 1000 および 2100

設定可能な HTTPS プロトコル

FXOS HTTPS アクセス用の SSL/TLS のバージョンを設定できます。

新規/変更された FXOS コマンド： set https access-protocols

サポートされているモデル：プラットフォーム モードの Firepower 2100

IPSec およびキーリングの FQDN の適用

FXOS では、ピアの FQDN がそのピアによって提示された x.509 証明書の DNS 名と一致する必要があるように、FQDN の適用を設定できます。IPSec の場合、9.13(1) より前に作成された接続を除き、適用はデフォルトで有効になっています。古い接続への適用は手動で有効にする必要があります。キーリングの場合、すべてのホスト名が FQDN である必要があり、ワイルドカードは使用できません。

新規/変更された FXOS コマンド：set dns、set e-mail、 set fqdn-enforce 、set ip 、set ipv6 、set remote-address 、set remote-ike-id

削除されたコマンド：fi-a-ip 、fi-a-ipv6 、fi-b-ip 、fi-b-ipv6

サポートされているモデル：プラットフォーム モードの Firepower 2100

新しい IPSec 暗号とアルゴリズム

FXOS 管理トラフィックを暗号化する IPSec トンネルを設定するために、次の IKE および ESP 暗号とアルゴリズムが追加されました。

• 暗号：aes192。既存の暗号には、aes128、aes256、aes128gcm16 などがあります。

• 疑似乱数関数（PRF)（IKE のみ）：prfsha384、prfsha512、prfsha256。既存の PRF：prfsha1。

• 整合性アルゴリズム：sha256、sha384、sha512、sha1_160。既存のアルゴリズム：sha1。

• Diffie-Hellman グループ：curve25519、ecp256、ecp384、ecp521、modp3072、modp4096。既存のグループ：modp2048。

変更された FXOS コマンドはありません。

サポートされているモデル：プラットフォーム モードの Firepower 2100

SSH 認証の機能拡張

FXOS では、次の SSH サーバ暗号化アルゴリズムが追加されました。

• aes128-gcm@openssh.com

• aes256-gcm@openssh.com

• chacha20-poly@openssh.com

FXOS では、次の SSH サーバキー交換方式が追加されました。

• diffie-hellman-group14-sha256

• curve25519-sha256

• curve25519-sha256@libssh.org

• ecdh-sha2-nistp256

• ecdh-sha2-nistp384

• ecdh-sha2-nistp521

新規/変更された FXOS コマンド：set ssh-server encrypt-algorithm 、set ssh-server kex-algorithm

サポートされているモデル：プラットフォーム モードの Firepower 2100

X.509 証明書の EDCS キー

FXOS 証明書に EDCS キーを使用できるようになりました。以前は、RSA キーだけがサポートされていました。

新規/変更された FXOS コマンド：set elliptic-curve 、set keypair-type

サポートされているモデル：プラットフォーム モードの Firepower 2100

ユーザー パスワードの改善

次のような FXOS パスワードセキュリティの改善が追加されました。

• ユーザー パスワードには最大 127 文字を使用できます。古い制限は 80 文字でした。

• デフォルトでは、強力なパスワード チェックが有効になっています。

• 管理者パスワードの設定を求めるプロンプトが表示されます。

• パスワードの有効期限切れ。

• パスワード再利用の制限。

• set change-during-interval コマンドを削除し、set change-interval 、set no-change-interval 、および set history-count コマンドの disabled オプションを追加しました。

新規/変更された FXOS コマンド：set change-during-interval 、set expiration-grace-period 、set expiration-warning-period 、set history-count 、set no-change-interval 、set password 、set password-expiration 、set password-reuse-interval

サポートされているモデル：プラットフォーム モードの Firepower 2100