平台功能

Firepower 1010E

我们推出了 Firepower 1010E。此型号与 Firepower 1010 相同，但它没有以太网供电端口。

7.19(1.90) 或 7.18(2.1) 中的 ASDM 支持。ASDM 7.19(1) 不支持此模型。

同样适用于 9.18(2.218)。9.19(1) 不支持此模型。

接口功能

Cisco Secure Firewall 3100 固定端口上的默认前向纠错 (FEC) 从第 74 条 FC-FEC 更改为第 108 条 RS-FEC，适用于 25 GB+ SR、CSR 和 LR 收发器。

当您在安全防火墙 3100 固定端口上将 FEC 设置为自动时，对于 25 GB SR、CSR 和 LR 收发器，默认类型现在设置为 cl108-rs 而不是 cl74-fc。

新增/修改的命令：fec

同样适用于 9.19(1) 和 9.18(2.7)。

接口功能

环回接口支持 BGP 和管理流量

您现在可以添加环回接口并用于以下功能：

• BGP

• SSH

• SNMP

• 系统日志

• AAA

• Telnet

新增/修改的命令： interface loopback 、 logging host 、 neighbor update-source 、 snmp-server host 、 ssh 、 telnet

平台功能

阿里巴巴虚拟部署

您现在可以在阿里云上部署 Secure Firewall ASA Virtual。支持以下功能：

• QCOW2 映像包。

• 基本产品调配。

• Day 0 配置。

• 使用公钥或密码的 SSH。

  Alibaba UI 控制台，用于访问 ASA 以进行任何调试。

• 阿里巴巴 UI 停止/重启。

• 支持的实例类型：ecs.g5ne.large、ecs.g5ne.xlarge、ecs.g5ne.2xlarge 和 ecs.g5ne.4xlarge。

• BYOL 许可证支持。

防火墙功能

始终启用 ACL 和对象的转发引用。此外，默认情况下，为访问控制启用对象组搜索。

在配置访问组或访问规则时，可以引用尚不存在的 ACL 或网络对象。

此外，默认情况下，为 新 部署的访问控制启用对象组搜索。升级设备将继续禁用此命令。如果要启用它（推荐），必须手动执行此操作。

我们删除了 forward-reference enable 命令，并将 object-group-search access-control 新部署的默认设置更改为已启用。

路由功能

PBR 中的路径监控指标。

PBR 会使用指标来确定转发流量的最佳路径（出口接口）。路径监控会定期向 PBR 通知其指标已更改的受监控接口。PBR 会从路径监控数据库中检索受监控接口的最新指标值，并更新数据路径。

新增/修改的命令：clear path-monitoring 、policy-route 、show path-monitoring

接口功能

为 Cisco Secure Firewall 3100 暂停流量控制的帧

如果流量激增，数据包会在激增量超过 NIC 上的 FIFO 缓冲区的缓冲容量且接收环缓冲的情况下发生中断。启用暂停帧来进行流量控制可缓解此问题。

新增/修改的命令：flowcontrol send on

安全防火墙 3130 和 3140 的分支端口

您现在可以为 Cisco Secure Firewall 3130 和 3140 上的每个 40GB 接口配置四个 10GB 分支端口。

新增/修改的命令：breakout

许可证功能

安全防火墙 3100 支持运营商许可证

运营商许可证启用 Diameter、GTP/GPRS、SCTP 检测。

新增/修改的命令：feature carrier

证书功能

相互 LDAPS 身份验证。

您可以为 ASA 配置客户端证书，以便在请求证书进行身份验证时提供给 LDAP 服务器。此功能在通过 SSL 使用 LDAP 时适用。如果 LDAP 服务器配置为需要对等证书，则安全 LDAP 会话将无法完成，并且身份验证/授权请求将失败。

新增/修改的命令：ssl-client-certificate 。

身份验证：验证证书名称或 SAN

配置特定于功能的引用身份时，将使用下指定的匹配条件验证对等证书身份 crypto ca reference-identity <name> 子模式命令。如果在对等证书使用者名称/SAN 中找不到匹配项，或者如果使用 reference-identity 子模式命令指定的 FQDN 无法解析，则连接将终止

reference-identity CLI 配置为 aaa-server 主机配置和 ddns 配置的子模式命令。

新增/修改的命令： ldap-over-ssl 、 ddns update method 和 show update method 。

管理、监控和故障排除功能

多个 DNS 服务器组

您现在可以使用多个 DNS 服务器组：一个组是默认值，而其他组可以与特定域相关联。与 DNS 服务器组关联的域匹配的 DNS 请求将使用该组。例如，如果您希望发往内部 eng.cisco.com 服务器的流量使用内部 DNS 服务器，则可以将 eng.cisco.com 映射到内部 DNS 组。与域映射不匹配的所有 DNS 请求都将使用没有关联域的默认 DNS 服务器组。例如，DefaultDNS 组可以包括外部接口上可用的公共 DNS 服务器。

新增/修改的命令： dns-group-map 、dns-to-domain

动态日志记录速率限制

添加了一个新选项，用于在块使用量超过指定阈值时限制日志记录速率。它会动态限制日志记录速率，因为当块使用率恢复到正常值时，速率限制将被禁用。

新增/修改的命令：logging rate-limit

安全防火墙 3100 设备的数据包捕获

添加了用于捕获交换机数据包的规定。只能为安全防火墙 3100 设备启用此选项。

新增/修改的命令：capture real-time

VPN 功能

IPsec 流分流。

在 Secure Firewall 3100上，默认情况下会分流 IPsec 流。初始设置 IPsec 站点间 VPN 或远程访问 VPN 安全关联 (SA) 后，IPsec 连接将被分流到设备中的现场可编程门阵列 (FPGA)，这应该会提高设备性能。

新增/修改的命令：clear flow-offload-ipsec 、flow-offload-ipsec 、show flow-offload-ipsec

用于身份验证的证书和 SAML

配置证书和 SAML 身份验证的远程访问 VPN 连接配置文件。用户可以配置 VPN 设置，以在启动 SAML 身份验证/授权之前对计算机证书或用户证书进行身份验证。这可以使用 DAP 证书属性以及用户特定的 SAML DAP 属性来完成。

新增/修改的命令：authentication saml certificate 、authentication certificate saml 、authentication multiple-certificate saml