新機能
次のトピックでは、Firepower バージョン 6.4.0 で使用可能な新機能をリストしています。アップグレードパスが 1 つ以上のメジャーバージョンをスキップする場合は、『Cisco Firepower リリースノート』で過去の新機能リストを参照してください。
Firepower Management Center/Firepower バージョン 6.4.0 の新機能
次の表に、Firepower Management Center を使用して設定された場合に Firepower バージョン 6.4.0 で使用可能な新機能を示します。
機能 | 説明 | ||
---|---|---|---|
ハードウェアと仮想ハードウェア |
|||
FMC モデル MC1600、2600、および 4600 |
Firepower Management Center モデル MC1600、2600、および 4600 を導入しました。なお、これらのモデルではバージョン 6.3.x もサポートされています。 |
||
FMCv Azure 上 |
Microsoft Azure 上に Firepower Management Center Virtual を導入しました。 |
||
FTD Firepower 1010、1120、1140 上 |
Firepower 1010、1120、および 1140 を導入しました。 |
||
FTD Firepower 4115、4125、および 4145 |
Firepower 4115、4125、および 4145 が導入されました。 |
||
Firepower 9300 SM-40、SM-48、および SM-56 のサポート |
新しい 3 つのセキュリティモジュール(SM-40、SM-48、SM-56)を導入しました。 |
||
ASA および FTD(同じ Firepower 9300 上) |
ASA および FTD 論理デバイスを同じ Firepower 9300 上で展開できるようになりました。FXOS 2.6.1 が必要です。 |
||
ライセンス |
|||
の新しいライセンス機能 ISA 3000 |
ASA FirePOWER および FTD の導入環境では、 ISA 3000 は URL フィルタリングおよびマルウェアのライセンスとそれらの関連機能をサポートするようになりました。 FTD のみ、ISA 3000 は、承認された顧客向けに特定のライセンスの予約をサポートするようになりました。 サポートされているプラットフォーム: ISA 3000 |
||
Firepower Threat Defense ルーティング |
|||
OSPFv2 ルーティングの循環(キーチェーン)認証 |
OSPFv2 ルーティングを設定すると、循環(キーチェーン)認証を使用できるようになりました。 新規/変更された画面:
サポートされているプラットフォーム: FTD |
||
Firepower Threat Defense 暗号化と VPN |
|||
RA VPN:セカンダリ認証 |
セカンダリ認証(二重認証とも呼ばれる)は、2 つの異なる認証サーバを使用して、RA VPN 接続にさらにもう 1 つのセキュリティのレイヤを追加します。セカンダリ認証が有効になっている場合、AnyConnect VPN のユーザは VPN ゲートウェイにログインするために 2 組のクレデンシャルを提供する必要があります。 RA VPN は、AAA のみのセカンダリ認証と、クライアント証明書認証方式および AAA 認証方式をサポートします。 新規/変更された画面: [設定の追加/編集(add/edit configuration)] > [接続プロファイル(Connection Profile)] > [AAA] 領域 >サポートされているプラットフォーム: FTD |
||
サイト間 VPN:エクストラネット エンドポイントのダイナミック IP アドレス |
エクストラネット エンドポイントにダイナミック IP アドレスを使用するように、サイト間 VPN を設定できるようになりました。ハブアンドスポーク導入環境では、ハブをエクストラネット エンドポイントとして使用できます。 新規/変更された画面: > [FTD VPNトポロジの追加/編集(add/edit FTD VPN topology)] > [エンドポイント(Endpoints)] タブ > [エンドポイントの追加(add endpoint)] > [IPアドレス(IP Address)] オプション サポートされているプラットフォーム: FTD |
||
サイト間 VPN:ポイントツーポイント トポロジのためのダイナミック暗号マップ |
ポイントツーポイントおよびハブアンドスポーク VPN トポロジでは、ダイナミック暗号マップを使用できるようになりました。フルメッシュトポロジについては、ダイナミック暗号マップはまだサポートされていません。 トポロジを設定するときは、暗号マップ タイプを指定します。トポロジ内のピアの 1 つに対して、ダイナミック IP アドレスも指定する必要があります。 新規/変更された画面: > [FTD VPNトポロジの追加/編集(add/edit FTD VPN topology)] > [IPsec] タブ > [暗号マップタイプ(Crypto Map Type)] オプション サポートされているプラットフォーム: FTD |
||
TLS 暗号化アクセラレーション |
SSL ハードウェア アクセラレーションは、TLS 暗号化アクセラレーションに名前が変更されました。デバイスによっては、TLS 暗号化アクセラレーションがソフトウェアまたはハードウェアで実行される場合があります。バージョン 6.4 のアップグレードプロセスでは、この機能を手動で無効にした場合でも、すべての対象デバイスでアクセラレーションが自動的に有効になります。 ほとんどの場合、この機能を設定することはできません。この機能は自動的に有効になり、無効にすることはできません。ただし、Firepower 4100/9300 シャーシのマルチインスタンス機能を使用している場合は、モジュール/セキュリティエンジンごとに、1 つのコンテナインスタンスに対して TLS 暗号アクセラレーションを有効にすることができます。他のコンテナインスタンスに対してアクセラレーションは無効になっていますが、ネイティブインスタンスには有効になっています。 Firepower 4100/9300 シャーシ向けの新しい FXOS CLI コマンド:
新しい FTD CLI コマンド:
削除された FTD CLI コマンド:
サポートされているプラットフォーム:Firepower 2100 シリーズ、Firepower 4100/9300 シャーシ |
||
イベント、ロギング、および分析 |
|||
ファイルおよびマルウェアイベントの syslog メッセージの改良 |
完全修飾ファイルおよびマルウェアのイベントデータが syslog 経由で管理対象デバイスから送信できるようになりました。 新規/変更された画面: > [ポリシーの追加/編集(add/edit policy)] > [ロギング(Logging)] タブ > [ファイルおよびマルウェアの設定(File and Malware Settings)] 領域 サポートされているプラットフォーム:すべて |
||
CVE ID による侵入イベントの検索 |
特定の CVE エクスプロイトの結果として生成された侵入イベントを検索できるようになりました。 新規/変更された画面: サポートされているプラットフォーム: FMC |
||
[IntrusionPolicy] フィールドが syslog に含まれるようになった |
侵入イベントの syslog メッセージは、イベントをトリガーした侵入ポリシーを指定するようになりました。 サポートされているプラットフォーム:すべて |
||
Cisco Threat Response(CTR)の統合 |
Cisco Threat Response は、脅威の迅速な検出、調査、および対応に役立つ新しい Cisco Cloud を提供しています。CTR を使用すると、Firepower Threat Defense などの複数の製品から集約されたデータを使用してインシデントを分析できます。詳細については、『Firepower and Cisco Threat Response Integration Guide』を参照してください。 新規/変更された画面: サポートされているプラットフォーム: FTD |
||
Splunk の統合 |
Splunk のユーザは、新しい個別の Splunk アプリケーションである Cisco Firepower App for Splunk を使用してイベントを分析できます。どの機能を使用できるかは、Firepower のバージョンによって異なります。 サポートされているプラットフォーム: FMC |
||
管理 |
|||
VMware の FTDv はデフォルトで vmxnet3 インターフェイスに設定される |
VMware 上の FTDv は、仮想デバイスを作成するときにデフォルトで vmxnet3 インターフェイスに設定されるようになりました。以前は、デフォルトは e1000 でした。Vmxnet3 のデバイスドライバとネットワーク処理は ESXi ハイパーバイザと統合されているため、使用するリソースが少なくなり、ネットワークパフォーマンスが向上します。
サポートされているプラットフォーム:VMware 上の FTDv |
||
管理インターフェイスで重複アドレス検出(DAD)を無効にする機能 |
IPv6 を有効にすると、DAD を無効にすることができます。DAD を使用するとサービス拒否攻撃の可能性が拡大するため、DAD は無効にすることができます。この設定を無効にした場合は、すでに割り当てられているアドレスがこのインターフェイスで使用されていないことを手動で確認する必要があります。 新規/変更された画面: [インターフェイスの編集(edit interface)] > [IPv6 DAD] チェックボックス 領域 >サポートされているプラットフォーム:FMC、7000 および 8000 シリーズ |
||
管理インターフェイス上の ICMPv6 エコー応答と宛先到達不能メッセージを無効にする機能 |
IPv6 を有効にすると、ICMPv6 エコー応答および宛先到達不能メッセージを無効できるようになりました。これらのパケットを無効にすることで、サービス拒否攻撃の可能性から保護します。エコー応答パケットを無効にすると、デバイスの管理インターフェイスにテスト目的で IPv6 ping を使用できなくなります。 新規/変更された画面:
新規/変更されたコマンド:
サポートされているプラットフォーム:FMC(Web インターフェイスのみ)、管理対象デバイス(CLI のみ) |
||
RADIUS サーバに定義されている FTD ユーザの Service-Type 属性のサポート |
FTD CLI ユーザの RADIUS の認証では、以前は RADIUS 外部認証オブジェクトにユーザ名をあらかじめ定義してから、RADIUS サーバに定義されているユーザ名とリストが一致していることを手動で確認する必要がありました。Service-Type 属性を使用して RADIUS サーバで CLI ユーザを定義できるようになりました。また、Basic と Config の両方のユーザロールも定義できます。このメソッドを使用するには、外部認証オブジェクトのシェルアクセスフィルタを空白のままにしてください。 新規/変更された画面: > [外部認証オブジェクトの追加/編集(add/edit external authentication object)] > [シェルアクセスフィルタ(Shell Access Filter)] タブサポートされているプラットフォーム: FTD |
||
オブジェクトの使用状況の表示 |
オブジェクトマネージャでネットワーク、ポート、VLAN、または URL オブジェクトが使用されているポリシー、設定、およびその他のオブジェクトを表示できるようになりました。 新規/変更された画面:[オブジェクト(Objects)] > [オブジェクト管理(Object Management)] > でオブジェクトのタイプを選択し [使用状況の検索(Find Usage)](双眼鏡)アイコン サポートされているプラットフォーム: FMC |
||
署名済みの SRU、VDB、および GeoDB の更新(セキュリティの拡張) |
Firepower は正しい更新ファイルを使用していることが確認できるため、バージョン 6.4 以降では署名済みの更新を侵入ルール(SRU)、脆弱性データベース(VDB)、および地理位置情報データベース(GeoDB)に使用します。以前のバージョンでは、引き続き未署名の更新が使用されます。シスコサポートおよびダウンロードサイト から手動で更新をダウンロードしない限り(たとえば、エアギャップ導入環境の場合)、機能の違いはわかりません。 ただし、SRU、VDB、および GeoDB の更新を手動でダウンロードしてインストールする場合は、必ず現在のバージョンに対応した正しいパッケージをダウンロードしてください。バージョン 6.4 以降の署名付きの更新ファイルの先頭は「Sourcefire」ではなく「Cisco」で、末尾は .sh ではなく .sh.REL.tar です。
バージョン 5.x ~ 6.3 の更新ファイルでは、引き続き古い命名方式が使用されています。
シスコは、署名なしの更新を必要とするバージョンのサポートが終了するまで、署名付きと署名なしの両方の更新を提供します。 署名付きの(.tar)パッケージは解凍しないでください。
サポートされているプラットフォーム:すべて |
||
管理対象デバイスのスケジュールされたリモートバックアップ |
FMC を使用して、特定の管理対象デバイスのリモートバックアップをスケジュールできるようになりました。以前、スケジュールされたバックアップをサポートしていたのは Firepower 7000/8000 シリーズのデバイスのみで、デバイスのローカル GUI を使用する必要がありました。 新規/変更された画面: > [タスクの追加/編集(add/edit task)] > [ジョブタイプ:バックアップ(Job Type: Backup)] を選択 > [バックアップのタイプ(Backup Type)] を選択 サポートされているプラットフォーム:FTD の物理プラットフォーム、VMware 用 FTDv、Firepower 7000/8000 シリーズ 例外:FTD のクラスタ化されたデバイスまたはコンテナインスタンスはサポートされていません。 |
||
モニタリングおよびトラブルシューティング |
|||
URL フィルタリングモニタの改善 |
URL フィルタリング モニタ アラートの時間しきい値を設定できるようになりました。 新規/変更された画面: [ポリシーの追加/編集(add/edit policy)] > [URLフィルタリングモニタ(URL Filtering Monitor)] >サポートされているプラットフォーム:すべて |
||
アクセス制御ルールと事前フィルタ ルールのヒットカウント |
FTD デバイスのアクセス制御ルールと事前フィルタルールのヒットカウントにアクセスできるようになりました。 新規/変更された画面:
新しいコマンド:
変更されたコマンド:
サポートされているプラットフォーム: FTD |
||
接続ベースのトラブルシューティング |
接続ベースのトラブルシューティングまたはデバッグにおいて、モジュール間で一貫したデバッグが提供され、特定の接続について適切なログを収集します。また、レベルベースのデバッグを最大 7 レベルまでサポートし、lina ログと Snort ログで一貫したログ収集メカニズムを使用できます。 新規/変更されたコマンド:
サポートされているプラットフォーム: FTD |
||
Cisco Success Network の新しいモニタリング機能 |
Cisco Success Network の次のモニタリング機能を追加しました。
Cisco Success Network は、テクニカルサポートを提供するために不可欠な使用状況に関する情報と統計情報をシスコに送信します。いつでもオプトインまたはオプトアウトできます。 サポートされているプラットフォーム: FMC |
||
Firepower Management Center REST API |
|||
新しい REST API 機能 |
バージョン 6.4 の機能をサポートするための REST API オブジェクトを追加しました。
サポートされているプラットフォーム: FMC |
||
OAS に基づく API エクスプローラ |
バージョン 6.4 は OpenAPI 仕様(OAS)に基づいて、新しい API エクスプローラを使用します。OAS の一部として、CodeGen を使用してサンプルコードを生成するようになりました。必要に応じて、レガシー API エクスプローラにもアクセスできます。 サポートされているプラットフォーム: FMC |
||
パフォーマンス |
|||
Snort 再起動の改善 |
バージョン 6.4 より以前では、Snort の再起動中、暗号化された接続のうち、「復号しない」 SSL ルールまたはデフォルト ポリシー アクションに一致したものがシステムによってドロップされていました。現在は、大きなフローオフロードまたは Snort preserve-connection を無効にしていない限り、ルーテッド/透過トラフィックはドロップされずにインスペクションなしで通過します。 サポートされているプラットフォーム:Firepower 4100/9300 |
||
選択された IPS トラフィックのパフォーマンスの向上 |
出力最適化は、選択された IPS トラフィックを対象としたパフォーマンス機能です。この機能は、すべての FTD プラットフォームでデフォルトで有効になっています。 バージョン 6.4 のアップグレードプロセスでは、対象デバイスでの出力最適化が有効になります。詳細については、『Cisco Firepower Threat Defense Command Reference』を参照してください。出力最適化に関する問題をトラブルシューティングCisco TACするには、にお問い合わせください。 サポートされているプラットフォーム: FTD 新規/変更されたコマンド:
|
||
SNMP イベントロギングの高速化 |
外部 SNMP トラップサーバに侵入イベントと接続イベントを送信する際のパフォーマンスが向上しました。 サポートされているプラットフォーム:すべて |
||
展開の高速化 |
アプライアンスの通信と展開フレームワークが向上しました。 サポートされているプラットフォーム: FTD |
||
アップグレードの高速化 |
イベントデータベースが向上しました。 サポートされているプラットフォーム:すべて |
Firepower Device Manager/FTD バージョン 6.4.0 の新機能
リリース日:2019 年 4 月 24 日
次の表に、Firepower Device Manager を使用して設定された場合に FTD 6.4.0 で使用できる新機能を示します。
機能 |
説明 |
---|---|
Firepower 1000 シリーズ デバイス設定 |
Firepower Device Manager を使用して、Firepower 1000 シリーズ デバイスで Firepower Threat Defense を設定できます。 Power over Ethernet(PoE)ポートを通常のイーサーネットポートとして使用することはできますが、PoE に関連するプロパティを有効にしたり設定することはできないことにご注意ください。 |
ISA 3000 のハードウェアバイパス |
ページで ISA 3000 のハードウェアバイパスを設定できるようになりました。リリース 6.3 では、FlexConfig を使用してハードウェアバイパスを設定する必要がありました。FlexConfig を使用している場合は、[インターフェイス(Interfaces)] ページの設定をやり直し、FlexConfig からハードウェア バイパス コマンドを削除してください。ただし、TCP シーケンス番号のランダム化を無効にする専用の FlexConfig の部分は引き続き推奨されます。 |
FDM CLI コンソールからシステムを再起動およびシャットダウンする機能 |
FDM で CLI コンソールを使用して reboot コマンドと shutdown コマンドを発行できるようになりました。以前は、システムを再起動またはシャットダウンするために、デバイスへの個別の SSH セッションを開く必要がありました。これらのコマンドを使用するには、管理者権限が必要です。 |
RADIUS を使用した FTD CLI ユーザの外部認証および認可 |
FTD CLI にログインするユーザを、外部 RADIUS サーバを使用して認証および許可できます。外部ユーザに構成(管理者)または基本(読み取り専用)のアクセス権を付与できます。 タブに追加しました。 ページで、SSH 設定を [AAA設定(AAA Configuration)] |
ネットワーク範囲オブジェクトとネストされたネットワーク グループ オブジェクトのサポート |
IPv4 アドレスまたは IPv6 アドレスの範囲を指定するネットワークオブジェクトと、その他のネットワークグループ(つまりネストされたグループ)を含むネットワーク グループ オブジェクトを作成できるようになりました。 これらの機能を含むようにネットワークオブジェクトとネットワーク グループ オブジェクトの [追加/編集(Add/Edit)] ダイアログボックスを変更し、その種類のアドレス指定がポリシーの文脈の中で合理的か否かを条件として、これらのオブジェクトを使用できるようにさまざまなセキュリティポリシーを変更しました。 |
オブジェクトとルールの全文検索オプション |
オブジェクトとルールで全文検索を行うことができます。大量の項目を有するポリシーまたはオブジェクトのリストを検索することで、ルールまたはオブジェクト内の任意の場所にある検索文字列を含むすべての項目を検索できます。 ルールを持つすべてのポリシーと [オブジェクト(Object)] リストのすべてのページに検索ボックスを追加しました。さらに、API でサポートされているオブジェクトの GET 呼び出しに filter=fts~search-string オプションを使用して、全文検索に基づいて項目を取得することもできます。 |
FDM 管理対象 FTD デバイスでサポートされている API バージョンのリストの取得 |
GET/api/versions(ApiVersions)メソッドを使用して、デバイスでサポートされる API バージョンのリストを取得できます。API クライアントを使用すると、サポートされるバージョンで有効なコマンドと構文を使用したデバイスへの通信および設定を行うことができます。 |
FTD REST API バージョン 3(v3) |
ソフトウェアバージョン 6.4 向けの FTD REST API のバージョン番号が 3 になりました。API の URL の v1/v2 を v3 に置き換える必要があります。v3 の API には、ソフトウェアバージョン 6.4 で追加されたすべての機能に対応する多数の新しいリソースが含まれています。使用しているリソースモデルに変更が加えられている可能性があるため、既存のすべての呼び出しを再評価してください。リソースを表示できる API エクスプローラを開くには、ログインした後に、Firepower Device Manager の URL の最後を /#/api-explorer に変更します。 |
アクセス制御ルールのヒットカウント |
アクセス制御ルールのヒットカウントを表示できるようになりました。ヒットカウントは、接続がルールに一致する頻度を示します。 ヒットカウント情報が含まれるようにアクセス コントロール ポリシーを更新しました。FTD API では、HitCounts リソース、includeHitCounts オプション、および filter=fetchZeroHitCounts オプションを GET アクセスポリシールールのリソースに追加しました。 |
ダイナミックアドレス指定と証明書認証のためのサイト間 VPN の強化 |
ピアの認証に事前共有キーではなく証明書を使用したサイト間 VPN 接続を設定できるようになりました。リモートピアに不明な(ダイナミック)IP アドレスがある接続も設定できます。サイト間 VPN ウィザードと IKEv1 ポリシーオブジェクトにオプションを追加しました。 |
リモートアクセス VPN での RADIUS サーバと認可変更のサポート |
RADIUS サーバを使用して、リモートアクセス VPN(RA VPN)ユーザの認証、認可、およびアカウンティングができるようになりました。ダイナミック認証とも呼ばれる認証の変更(CoA)を設定して、Cisco ISE RADIUS サーバの使用時に、認証後にユーザの認証を変更することもできます。 RADIUS サーバとサーバグループオブジェクトに属性を追加し、RA VPN 接続プロファイル内の RADIUS サーバグループを選択できるようになりました。 |
リモートアクセス VPN の複数の接続プロファイルとグループポリシー |
複数の接続プロファイルを設定し、そのプロファイルで使用するグループポリシーを作成できます。 接続プロファイルおよびグループポリシーが別々のページとなるように ページを変更し、グループポリシーを選択できるように RA VPN 接続ウィザードを更新しました。以前はウィザードで設定していた項目の一部は、グループポリシーで設定するようになります。 |
証明書ベースの 2 番目の認証ソース、およびリモートアクセス VPN での二要素認証のサポート |
ユーザ認証に証明書を使用したり、接続を確立する前にユーザを 2 回認証する必要があるセカンダリ認証ソースを設定することができます。2 番目の認証要素として RSA トークンまたは Duo パスコードを使用して二要素認証を設定することもできます。 これらの追加オプションの設定をサポートするように RA VPN 接続ウィザードを更新しました。 |
複数のアドレス範囲を持つ IP アドレスプールとリモートアクセス VPN 向けの DHCP アドレスプールのサポート |
サブネットを指定する複数のネットワークオブジェクトを選択することで、複数のアドレス範囲を持つアドレスプールを設定できるようになりました。さらに、DHCP サーバ内にアドレスプールを設定し、このサーバを使用して RA VPN クライアントにアドレスを提供することもできます。RADIUS を認証に使用する場合は、代替的に RADIUS サーバ内にアドレスプールを設定できます。 これらの追加オプションの設定をサポートするように RA VPN 接続ウィザードを更新しました。必要に応じて、接続プロファイルではなくグループポリシーでアドレスプールを設定できます。 |
Active Directory レルムの強化 |
単一のレルムで最大 10 の冗長 Active Directory(AD)サーバを含めることができます。複数のレルムを作成し、不要なレルムを削除することもできます。さらに、レルム内のダウンロードユーザ上限が、以前のリリースの 2,000 から 50,000 にまで増加されました。 複数のレルムとサーバをサポートするように、 ページを更新しました。レルム内のすべてのユーザにルールを適用するため、アクセス制御のユーザ条件と SSL 復号ルールでレルムを選択することができます。アイデンティティルールと RA VPN 接続プロファイルでレルムを選択することもできます。 |
ISE サーバの冗長性サポート |
パッシブ認証向けの ID ソースとして Cisco Identity Services Engine(ISE)を設定する際に、ISE ハイアベイラビリティ設定がある場合は、セカンダリ ISE サーバを設定できるようになりました。 セカンダリサーバの属性を ISE アイデンティティ オブジェクトに追加しました。 |
ファイル/マルウェアイベントを外部 syslog サーバに送信 |
アクセス制御ルールで設定されたファイルポリシーによって生成されるファイル/マルウェアイベントを受信するように、外部 syslog サーバを設定できるようになりました。ファイルイベントはメッセージ ID 430004 を使用し、マルウェアイベントは 430005 を使用します。 ファイル/マルウェア syslog サーバのオプションを、 ページに追加しました。 |
内部バッファのログおよびカスタムイベントのログフィルタのサポート |
システムログの宛先として内部バッファを設定できるようになりました。さらに、イベントログフィルタを作成して、syslog サーバおよび内部バッファのログの宛先に対して生成されるメッセージをカスタマイズできます。 イベント ログ フィルタ オブジェクトを [オブジェクト(Objects)] ページに追加し、オブジェクトを使用する機能を ページに追加しました。内部バッファオプションも [ログの設定(Logging Settings)] ページに追加しました。 |
Firepower Device Manager の Web サーバ向けの証明書 |
Firepower Device Manager の設定インターフェイスへの HTTPS 接続に使用される証明書を設定できるようになりました。Web ブラウザがすでに信頼している証明書をアップロードすることで、デフォルトの内部証明書を使用するときに、Untrusted Authority メッセージを回避できます。 ページを追加しました。 |
Cisco Threat Response のサポート |
Cisco Threat Response のクラウドベースのアプリケーションに侵入イベントを送信するようにシステムを設定することができます。Cisco Threat Response は侵入分析に使用できます。 Cisco Threat Response を ページに追加しました。 |