インターフェイス機能

BGP と管理トラフィックのループバック インターフェイスをサポート

ループバック インターフェイスを追加して、次の機能に使用できるようになりました。

• BGP

• SSH

• SNMP

• Syslog

• AAA

• Telnet

新規/変更されたコマンド：interface loopback 、logging host 、neighbor update-source 、snmp-server host 、ssh 、telnet

プラットフォーム機能

Alibaba の仮想展開

これで、Alibaba Cloud に Secure Firewall ASA Virtual を展開できます。サポートされる機能は次のとおりです。

• QCOW2 イメージパッケージ。

• 基本的な製品の稼働。

• Day-0 構成。

• 公開キーまたはパスワードを使用した SSH。

  デバッグ目的で ASAv にアクセスするための Alibaba UI コンソール。

• Alibaba UI の停止/再起動。

• サポートされているインスタンスタイプ：ecs.g5ne.large、ecs.g5ne.xlarge、ecs.g5ne.2xlarge、ecs.g5ne.4xlarge。

• BYOL ライセンスのサポート。

ファイアウォール機能

ACL とオブジェクトの前方参照は常に有効にです。さらに、アクセス制御のオブジェクトグループ検索がデフォルトで有効になりました。

アクセスグループまたはアクセスルールを設定するときに、まだ存在していない ACL またはネットワークオブジェクトを参照できます。

さらに、オブジェクトグループ検索がアクセス制御に対してデフォルトで有効になりました。アップグレード後、オブジェクトグループ検索を無効にした場合、それは有効になりません。無効にする場合（非推奨）、手動で行う必要があります。

forward-reference enable コマンドを削除し、object-group-search access-control のデフォルトを有効に変更しました。

ルーティング機能

PBR のパスモニタリングメトリック。

PBR はメトリックを使用して、トラフィックを転送するための最適なパス（出力インターフェイス）を決定します。パスモニタリングは、メトリックが変更されたモニタリング対象インターフェースを PBR に定期的に通知します。PBR は、モニタリング対象インターフェイスの最新のメトリック値をパス モニタリング データベースから取得し、データパスを更新します。

新規/変更されたコマンド：clear path-monitoring 、policy-route 、show path-monitoring

インターフェイス機能

Cisco Secure Firewall 3100 のフロー制御に対応するためのフレームの一時停止

トラフィック バーストが発生している場合、バーストが NIC の FIFO バッファまたは受信リング バッファのバッファリング容量を超えると、パケットがドロップされる可能性があります。フロー制御用のポーズ フレームをイネーブルにすると、このような問題の発生を抑制できます。

新規/変更されたコマンド： flowcontrol send on

Secure Firewall 3130 および 3140 のブレークアウトポート

Cisco Secure Firewall 3130 および 3140 の 40 GB インターフェースごとに 4 つの 10 GB ブレークアウトポートを構成できるようになりました。

新規/変更されたコマンド： breakout

ライセンス機能

キャリアライセンスの Secure Firewall 3100 サポート

キャリアライセンスは、Diameter、GTP/GPRS、SCTP 検査を有効にします。

新規/変更されたコマンド： feature carrier

証明書の機能

相互l LDAPS 認証。

ASA が認証のために証明書を要求したときに LDAP サーバーに提示するように ASA のクライアント証明書を設定できます。この機能は、LDAP over SSL を使用する場合に適用されます。LDAP サーバーがピア証明書を要求するように設定されている場合、セキュア LDAP セッションが完了せず、認証/許可要求が失敗します。

新規/変更されたコマンド：ssl-client-certificate

認証：証明書名または SAN の検証

機能固有の参照 ID が設定されている場合、ピア証明書 ID は、指定された一致基準 crypto ca reference-identity <name> コマンドで検証されます。ピア証明書のサブジェクト名または SAN に一致するものが見つからない場合、または reference-identity サブモードコマンドで指定された FQDN が解決されない場合、接続は終了します。

reference-identity CLI は、AAA サーバーホスト設定および ddns 設定のサブモードコマンドとして設定されます。

新規/変更されたコマンド：ldap-over-ssl 、ddns update method 、および show update method 。

管理、モニタリング、およびトラブルシューティングの機能

複数の DNS サーバーグループ

複数の DNS サーバーグループを使用できるようになりました。1 つのグループがデフォルトで、他のグループを特定のドメインに関連付けることができます。DNS サーバーグループに関連付けられたドメインに一致する DNS 要求は、そのグループを使用します。たとえば、内部の eng.cisco.com サーバー宛てのトラフィックで内部の DNS サーバーを使用する場合は、eng.cisco.com を内部の DNS グループにマッピングできます。ドメインマッピングと一致しないすべての DNS 要求は、関連付けられたドメインを持たないデフォルトの DNS サーバーグループを使用します。たとえば、DefaultDNS グループには、外部インターフェイスで使用可能なパブリック DNS サーバーを含めることができます。

新規/変更されたコマンド：dns-group-map 、dns-to-domain

ダイナミックログインのレート制限

ブロック使用量が指定されたしきい値を超えたときにロギングレートを制限する新しいオプションが追加されました。ブロックの使用量が通常の値に戻るとレート制限が無効になるため、ロギングレートが動的に制限されます。

新規/変更されたコマンド： logging rate-limit

Secure Firewall 3100 デバイスのパケットキャプチャ

スイッチパケットをキャプチャするプロビジョニングが追加されました。このオプションは、Secure Firewall 3100 デバイスに対してのみ有効にできます。

新規/変更されたコマンド： capture real-time

VPN 機能

IPsec フローがオフロードされます。

Cisco Secure Firewall 3100 では、IPsec フローはデフォルトでオフロードされます。IPsec サイト間 VPN またはリモートアクセス VPN セキュリティ アソシエーション (SA) の初期設定後、IPsec 接続はデバイスのフィールド プログラマブル ゲート アレイ (FPGA) にオフロードされるため、デバイスのパフォーマンスが向上します。

新規/変更されたコマンド：clear flow-offload-ipsec 、flow-offload-ipsec 、show flow-offload-ipsec

認証用の証明書と SAML

証明書および SAML 認証用にリモートアクセス VPN 接続プロファイルを設定できます。ユーザーは、SAML 認証/承認が開始される前に、マシン証明書やユーザー証明書を認証するように VPN を設定できます。これは、ユーザー固有の SAML DAP 属性と DAP 証明書属性を使用して実行できます。

新規/変更されたコマンド：authentication saml certificate 、authentication certificate saml 、authentication multiple-certificate saml