新機能
次のトピックでは、Firepower バージョン 6.5.0 で使用可能な新機能をリストしています。アップグレード パスが 1 つ以上のメジャー バージョンをスキップする場合は、『Cisco Firepower リリース ノート』で過去の新機能リストを参照してください。
Firepower Management Center/バージョン 6.5.0 の新機能
次の表に、Firepower Management Center を使用して設定された場合に Firepower バージョン 6.5.0 で使用できる新機能を示します。
機能 | 説明 | ||
---|---|---|---|
ハードウェアと仮想ハードウェア |
|||
Firepower 1150 上の FTD |
Firepower 1150 が導入されました。 |
||
Azure 上の FTDv がより大規模なインスタンスに対応 |
Microsoft Azure に導入した Firepower Threat Defense Virtual で、より大規模なインスタンス D4_v2 および D5_v2 がサポートされるようになりました。 |
||
VMware 上の FMCv 300 |
より大規模な Firepower Management Center Virtual for VMware である FMCv 300 が導入されました。他の FMCv インスタンスで管理できるデバイスは 25 台ですが、この FMCv では最大 300 台のデバイスを管理できます。 FMC モデル移行機能を使用すると、性能が劣るプラットフォームから FMCv 300 に切り替えることができます。 |
||
VMware vSphere/VMware ESXi 6.7 のサポート |
VMware vSphere/VMware ESXi 6.7 に FMCv、FTDv、および NGIPSv 仮想アプライアンスを展開できるようになりました。 |
||
Firepower Threat Defense |
|||
Firepower 1010 ハードウェア スイッチのサポート |
Firepower 1010 で、各イーサネット インターフェイスをスイッチポートまたはファイアウォール インターフェイスとして設定できるようになりました。 新規/変更された画面:
サポートされるプラットフォーム:Firepower 1010 |
||
イーサネット 1/7 およびイーサネット 1/8 での Firepower 1010 PoE+ のサポート |
Firepower 1010 は、イーサネット 1/7 およびイーサネット 1/8 での Power over Ethernet+(PoE+)をサポートするようになりました。 新規/変更された画面:[デバイス(Devices)] > [デバイス管理(Device Management)] > [インターフェイス(Interfaces)] > [物理インターフェイスの編集(Edit Physical Interface)] > [PoE] サポートされるプラットフォーム:Firepower 1010 |
||
キャリアグレード NAT の拡張 |
キャリア グレードまたは大規模 PAT では、NAT に一度に 1 つのポート変換を割り当てさせるのではなく、各ホストにポートのブロックを割り当てることができます(RFC 6888 を参照してください)。 新規/変更された画面: FTD NAT ポリシーの追加/編集 > NAT ルールの追加/編集 > [PATプール(PAT Pool)] タブ > [ブロック割り当て(Block Allocation)] オプション >サポートされているプラットフォーム:すべての FTD デバイス |
||
Firepower 4100/9300 上の複数のコンテナインスタンスの TLS 暗号化アクセラレーション |
Firepower 4100/9300 シャーシ上の複数のコンテナインスタンス(最大 16 個)で TLS 暗号化アクセラレーションがサポートされるようになりました。以前は、モジュール/セキュリティエンジンごとに 1 つのコンテナインスタンスに対してのみ TLS 暗号化アクセラレーションを有効にすることができました。 新しいインスタンスでは、この機能がデフォルトで有効になっています。ただし、アップグレードによって既存のインスタンスのアクセラレーションが有効になることは「ありません」。代わりに、create hw-crypto および scope hw-crypto CLI コマンドを使用してください。詳細については、『Cisco Firepower 4100/9300 FXOS Command Reference』を参照してください。 新しい FXOS CLI コマンド:
削除された FXOS CLI コマンド:
削除された FTD CLI コマンド:
サポートされるプラットフォーム:Firepower 4100/9300 |
||
アクセス制御とイベント分析 |
|||
アクセスコントロールルールのフィルタリング |
検索条件に基づいてアクセスコントロールルールをフィルタ処理できるようになりました。 新規/変更された画面:[ポリシー(Policies)] > [アクセス制御(Access Control)] > [アクセス制御(Access Control)] > ポリシーの追加/編集 > フィルタボタン([フィルタ条件に一致するルールのみを表示(show only rules matching filter criteria)]) サポートされるプラットフォーム: FMC |
||
URL カテゴリまたはレピュテーションの異議申し立て |
URL のカテゴリまたはレピュテーションについて異議を申し立てることができるようになりました。 新規/変更された画面:
サポートされるプラットフォーム: FMC |
||
宛先ベースのセキュリティグループタグ(SGT)を使用したユーザ制御 |
アクセスコントロールルール内の送信元および宛先の両方の一致基準に ISE SGT タグを使用できるようになりました。SGT タグは、ISE によって取得されたタグからホスト/ネットワークへのマッピングです。 新しい接続イベントフィールド:
名前が変更された接続イベントフィールド:
新規/変更された画面:[システム(System)] > [統合(Integration)] > [IDソース(Identity Sources)] > [Identity Services Engine] > [セッションディレクトリのトピック(Session Directory Topic)] および [SXPのトピック(SXP Topic)] 登録オプション サポートされるプラットフォーム:すべて |
||
Cisco Firepower User Agent バージョン 2.5 の統合 |
Firepower バージョン 6.4.0 および 6.5.0 と統合できる Cisco Firepower User Agent バージョン 2.5 がリリースされました。
新規/変更された FMC CLI コマンド: configure user-agent サポートされるプラットフォーム: FMC |
||
packet-profile CLI コマンド |
デバイスがネットワークトラフィックをどのように処理したかに関する統計情報を取得する FTD CLI を使用できるようになりました。プレフィルタポリシーによって高速パス処理されたパケット数、大規模なフローとしてオフロードされたパケット数、アクセス制御(Snort)によって完全に評価されたパケット数などを取得できます。 新しい FTD CLI コマンド:
サポートされるプラットフォーム: FTD |
||
Cisco Threat Response(CTR)の追加イベントタイプ |
Firepower で、CTR にファイルおよびマルウェアイベントや優先度の高い接続イベント(侵入、ファイル、マルウェア、およびセキュリティ インテリジェンス イベントに関連するイベント)を送信できるようになりました。
新規/変更された画面:[システム(System)] > [統合(Integration)] > [クラウドサービス(Cloud Services)] サポートされるプラットフォーム:FTD(syslog 経由または直接統合)および従来のデバイス(syslog 経由) |
||
管理 |
|||
ISA 3000 デバイスの高精度時間プロトコル(PTP)の設定。 |
FlexConfig を使用して、ISA 3000 デバイスで高精度時間プロトコル(PTP)を設定できます。PTP は、パケットベースネットワーク内のさまざまなデバイスのクロックを同期するために開発された時間同期プロトコルです。このプロトコルは、ネットワーク化された産業用の測定および制御システム向けとして特別に設計されています。 FlexConfig オブジェクトに、ptp (インターフェイス モード)コマンド、グローバル コマンド ptp mode e2etransparent 、ptp domain を追加できるようになりました。 新規/変更されたコマンド: show ptp サポートされるプラットフォーム:FTD を使用した ISA 3000 |
||
設定できるドメイン数の増加(マルチテナンシー) |
マルチテナンシーを実装する(管理対象デバイス、設定、およびイベントへのユーザアクセスをセグメント化する)場合、最上位のグローバルドメインの下に、2 つまたは 3 つのレベルで最大 100 個のサブドメインを作成できます。以前は、最大で 50 ドメインでした。 サポートされるプラットフォーム: FMC |
||
ISE 接続ステータスのモニタの機能拡張 |
[ISE接続ステータスのモニタ(ISE Connection Status Monitor)] ヘルスモジュールで、TrustSec SXP(SGT Exchange Protocol)サブスクリプション ステータスに関する問題のアラートが表示されるようになりました。 サポートされるプラットフォーム: FMC |
||
地域のクラウド |
Cisco Threat Response の統合、Cisco Support Diagnostics、または Cisco Success Network 機能を使用する場合は、地域クラウドを選択できるようになりました。デフォルトでは、アップグレードによって米国(北米)リージョンに割り当てられます。 新規/変更された画面:[システム(System)] > [統合(Integration)] > [クラウドサービス(Cloud Services)] サポートされているプラットフォーム:FMC、FTD |
||
Cisco Support Diagnostics |
Cisco Support Diagnostics(「シスコのプロアクティブサポート」とも呼ばれる)は、設定および運用上の健全性データをシスコに送信し、自動化された問題検出システムを通じてそのデータを処理して問題をプロアクティブに通知できるようにします。また、この機能により、Cisco TAC は TAC ケースの過程でデバイスから必要な情報を収集することもできます。 アップグレードおよび再イメージ化中に、参加を承諾するか、辞退するかを尋ねられます。また、いつでもオプトインまたはオプトアウトできます。 現時点では、Cisco Support Diagnostics のサポートは一部のプラットフォームに限定されています。 新規/変更された画面:
サポートされるプラットフォーム:FMC および管理対象の Firepower 4100/9300 |
||
FMC モデル移行 |
バックアップおよび復元機能を使用して、FMC が同じモデルでない場合でも、FMC 間で設定とイベントを移行できるようになりました。これにより、組織の拡大、物理実装から仮想実装への移行、ハードウェアの更新など、技術面またはビジネス面の理由による FMC の交換が容易になります。 一般に、ローエンドの FMC からハイエンドの FMC に移行することはできますが、その逆に移行することはできません。KVM および Microsoft Azure からの移行はサポートされていません。また、Cisco Smart Software Manager(CSSM)への登録を解除して再登録する必要があります。 サポート対象の移行先モデルなどの詳細については、『Firepower Management Center モデル移行ガイド』を参照してください。 サポートされるプラットフォーム: FMC |
||
セキュリティと強化 |
|||
FXOS ベースの FTD デバイス上のアプライアンス コンポーネントの安全な消去 |
指定したアプライアンス コンポーネントを安全に消去する FXOS CLI を使用できるようになりました。 新しい FXOS CLI コマンド: erase secure サポートされるプラットフォーム:Firepower 1000/2000、および FTD を搭載した Firepower 4100/9300 シリーズ |
||
初期設定時における FMC |
FMC の初期設定時に、
サポートされるプラットフォーム: FMC |
||
同時ユーザセッション数の制限 |
FMC に同時にログインできるユーザの数を制限できるようになりました。読み取り専用ロール、読み取り/書き込みロール、またはその両方を持つユーザの同時セッション数を制限できます。CLI ユーザは、読み取り/書き込み設定によって制限されることに注意してください。 新規/変更された画面:[システム(System)] > [設定(Configuration)] > [ユーザ設定(User Configuration)] > [許可された最大同時セッション数(Max Concurrent Sessions Allowed)] オプション サポートされるプラットフォーム: FMC |
||
認証済み NTP サーバ |
SHA1 または MD5 対称キー認証を使用して FMC と NTP サーバとの間のセキュアな通信を設定できるようになりました。システムセキュリティのために、この機能を使用することをお勧めします。 新規/変更された画面:[システム(System)] > [設定(Configuration)] > [時刻の同期(Time Synchronization)] サポートされるプラットフォーム: FMC |
||
ユーザビリティ |
|||
初期設定の改善 |
新規および再イメージ化された FMC では、以前の初期設定プロセスがウィザードに置き換えられます。GUI ウィザードを使用すると、初期設定の完了時に FMC に [デバイス管理(Device Management)] ページが表示され、導入環境のライセンシングと設定をすぐに開始できます。 また、設定プロセスでは以下が自動的にスケジュールされます。
タスクは UTC でスケジュールされるため、いつ現地で実行されるかは、日付と場所によって異なります。また、タスクは UTC でスケジュールされるため、サマータイムなど、所在地で実施される場合がある季節調整に合わせて調節されることもありません。このような影響を受ける場合、スケジュールされたタスクは、現地時間を基準とすると、夏期では冬期の場合よりも 1 時間「遅れて」実行されることになります。
アップグレードされた FMC は影響を受けません。初期設定ウィザードの詳細については、ご使用の FMC モデルの『Getting Started Guide』を参照してください。スケジュールされたタスクの詳細については、『Firepower Management Center Configuration Guide』を参照してください。 サポートされるプラットフォーム: FMC |
||
FMC Web インターフェイスのライトテーマ(試験版) |
システムはデフォルトでクラシックテーマになっていますが、試験版の「ライト」テーマを選択することもできます。
新規/変更された画面:ユーザ名の下にあるドロップダウンリストの [ユーザ設定(User Preferences)] サポートされるプラットフォーム: FMC |
||
オブジェクトの表示に関するユーザビリティの拡張 |
次のように、ネットワーク、ポート、VLAN、および URL オブジェクトに対する「オブジェクトの表示」機能が強化されました。
新規/変更された画面:
サポートされるプラットフォーム: FMC |
||
設定変更の展開に関するユーザビリティの拡張 |
設定変更の展開に関連するエラーと警告の表示が整理されました。すぐに詳細が表示されるのではなく、[クリックしてすべての詳細を表示します(Click to view all details)] をクリックすると、特定のエラーまたは警告に関する詳細情報を表示できるようになりました。 新規/変更された画面:[要求された展開のエラーと警告(Errors and Warnings for Requested Deployment)] ダイアログボックス サポートされるプラットフォーム: FMC |
||
FTD NAT ポリシー管理に関するユーザビリティの拡張 |
FTD NAT の設定時に、次のことが可能になりました。
新規/変更された画面:[デバイス(Devices)] > [NAT] > FTD NAT ポリシーの作成または編集 > [警告を表示(Show Warnings)] および [ページあたりのルール数(Rules Per Page)] オプション サポートされるプラットフォーム: FTD |
||
FMC REST API |
|||
新しい REST API 機能 |
バージョン 6.5.0 の機能をサポートするための次の REST API オブジェクトを追加しました。
古い機能をサポートするための次の REST API オブジェクトを追加しました。
サポートされるプラットフォーム: FMC |
Firepower Device Manager/FTD バージョン 6.5.0 の新機能
リリース:2019 年 9 月 26 日
次の表は、Firepower Device Manager を使用して設定した場合に、FTD 6.5.0 で使用可能な新機能を示しています。
機能 |
説明 |
||
---|---|---|---|
Firepower 4100/9300 での FDM のサポート。 |
FDM を使用して、Firepower 4100/9300 で Firepower Threat Defense を設定できるようになりました。ネイティブインスタンスのみがサポートされています。コンテナインスタンスはサポートされていません。 |
||
Microsoft Azure クラウド用 Firepower Threat Defense 仮想 での FDM のサポート。 |
Firepower Device Manager を使用して、Microsoft Azure クラウド用 Firepower Threat Defense 仮想 で Firepower Threat Defense を設定できます。 |
||
Firepower 1150 でのサポート。 |
Firepower 1150 用の FTD が導入されました。 |
||
Firepower 1010 ハードウェアスイッチのサポート、PoE+ のサポート。 |
Firepower 1010 では、各イーサネット インターフェイスをスイッチポートまたは通常のファイアウォール インターフェイスとして設定できます。各スイッチポートを VLAN インターフェイスに割り当てます。Firepower 1010 は、Ethernet1/7 と Ethernet 1/8 での Power over Ethernet+(PoE+) もサポートしています。 デフォルト設定で、Ethernet1/1 が外部として設定され、Ethernet1/2 ~ 1/8 が内部 VLAN1 インターフェイスのスイッチポートとして設定されるようになりました。バージョン 6.5 にアップグレードしても既存のインターフェイス設定が保持されます。 |
||
インターフェイスのスキャンと置き換え。 |
インターフェイススキャンでは、シャーシ上で追加、削除、または復元されたインターフェイスが検出されます。設定で古いインターフェイスを新しいインターフェイスに置き換えることもできるため、インターフェイスの変更がシームレスに行えます。 |
||
インターフェイス表示の向上。 |
ページの構成が改められました。物理インターフェイス、ブリッジグループ、EtherChannel、および VLAN 用のタブが別々に設けられました。任意の対象デバイスモデルについて、モデルに関連するタブのみが表示されます。たとえば、[VLAN] タブは Firepower 1010 モデルでのみ使用できます。また、各インターフェイスの設定と使用方法に関する詳細情報がリストに表示されます。 |
||
ISA 3000 の新しいデフォルト設定。 |
ISA 3000 のデフォルト設定が次のように変更されました。
バージョン 6.5 にアップグレードしても既存のインターフェイス設定が保持されます。 |
||
ASA 5515-X のサポートが終了します。最後にサポートされるリリースは FTD 6.4 です。 |
ASA 5515-X に FTD 6.5 をインストールすることはできません。ASA 5515-X 用に最後にサポートされるリリースは FTD 6.4 です。 |
||
Cisco ISA 3000 デバイスのアクセス制御ルールにおける Common Industrial Protocol(CIP) および Modbus アプリケーション フィルタリングのサポート。 |
Cisco ISA 3000 デバイスで Common Industrial Protocol(CIP) および Modbus プリプロセッサを有効にし、CIP および Modbus アプリケーションのアクセス制御ルールでフィルタを有効にすることができます。CIP アプリケーションの名前はすべて、CIP Write というように「CIP」で始まります。Modbus 用のアプリケーションは 1 つだけです。 プリプロセッサを有効にするには、CLI セッション(SSH またはコンソール)でエキスパートモードに移行し、sudo /usr/local/sf/bin/enable_scada.sh {cip | modbus | both} コマンドを発行する必要があります。展開後にプリプロセッサがオフになるため、展開のたびにこのコマンドを発行する必要があります。 |
||
ISA 3000 デバイスの高精度時間プロトコル(PTP)の設定。 |
FlexConfig を使用して、ISA 3000 デバイスで高精度時間プロトコル(PTP)を設定できます。PTP は、パケットベースネットワーク内のさまざまなデバイスのクロックを同期するために開発された時間同期プロトコルです。このプロトコルは、ネットワーク化された産業用の測定および制御システム向けとして特別に設計されています。 FlexConfig オブジェクトに、ptp および igmp (インターフェイスモード)コマンド、およびグローバルコマンド ptp mode e2etransparent と ptp domain を追加できるようになりました。また、FTD CLI に show ptp コマンドが追加されました。 |
||
EtherChannel(ポートチャネル)インターフェイス。 |
EtherChannel インターフェイス(ポートチャネルとも呼ばれます)を設定できます。
ページが更新され、EtherChannel の作成ができるようになりました。 |
||
FDM からシステムを再起動およびシャットダウンする機能。 |
新しい [再起動/シャットダウン(Reboot/Shutdown)] システム設定ページからシステムを再起動またはシャットダウンできるようになりました。以前は、FDM の CLI コンソールを使用して、あるいは SSH またはコンソールセッションから、reboot および shutdown コマンドを発行する必要がありました。これらコマンドを使用するには、管理者権限が必要です。 |
||
FDM CLI コンソールでの failover コマンドのサポート。 |
FDM CLI コンソールで failover コマンドを発行できるようになりました。 |
||
スタティックルート用のサービスレベル契約(SLA)モニタ。 |
スタティックルートとともに使用するためのサービスレベル契約(SLA)モニタオブジェクトを設定します。SLA モニタを使用すると、スタティックルートの状態を追跡し、失敗したルートを自動的に新しいものに交換できます。SLA モニタオブジェクトを選択できるように、[オブジェクト(Object)] ページに [SLA モニタ(SLA Monitors)] を追加し、スタティックルートを更新しました。 |
||
Smart CLI および FTD API でのルーティングの変更。 |
今回のリリースには、Smart CLI および FTD API でのルーティング設定に対していくつかの変更が追加されています。以前のリリースでは、BGP 用として単一の Smart CLI テンプレートがありました。今回は、BGP(ルーティングプロセス設定)用と BGP 一般設定(グローバル設定)用に別々のテンプレートが用意されました。 FTD API では、新しい BGP 一般設定のメソッドを除いて、すべてのメソッドのパスが変更され、パスに「/virtualrouters」が挿入されました。
FTD API を使用してルーティングプロセスを設定している場合は、コールを調べて必要に応じて修正してください。 |
||
新しい URL カテゴリおよびレピュテーション データベース。 |
システムは、Cisco Talos とは別の URL データベースを使用します。新しいデータベースでは、URL のカテゴリにいくつかの違いがあります。アップグレードすると、もう存在していないカテゴリがアクセス制御や SSL 復号ルールで使用されている場合、システムはそのカテゴリを適切な新しいカテゴリに置き換えます。変更を有効にするには、アップグレード後に設定を展開します。カテゴリの変更についての詳細は、[保留中の変更(Pending Changes)] ダイアログに表示されます。引き続き希望する結果が得られることを確認するため、URL フィルタリングポリシーを調べることもできます。 アクセス制御ポリシーと SSL 復号ポリシーの [URL] タブ、および ページに URL ルックアップ機能を追加しました。この機能を使用すると、特定の URL に割り当てられているカテゴリを確認できます。同意しない場合は、カテゴリの異議を送信するリンクもあります。このどちらの機能も、URL に関する詳細情報を提供する外部 Web サイトを使用します。 |
||
セキュリティ インテリジェンスでは、ホスト名ではなく IP アドレスを使用する URL 要求に対して IP アドレスの評価が使用されます。 |
HTTP/HTTPS 要求の宛先が、ホスト名ではなく IP アドレスを使用する URL である場合は、ネットワークアドレスリストにある IP アドレスの評価が検索されます。ネットワークおよび URL リストで IP アドレスを重複させる必要はありません。これにより、エンドユーザがプロキシを使用してセキュリティ インテリジェンスの評価のブロックを回避することが困難になります。 |
||
接続イベントおよび優先度の高い侵入/ファイル/マルウェア関連イベントを Cisco Cloud に送信するためのサポート。 |
Cisco Cloud サーバにイベントを送信できます。このサーバから、各種のシスコ クラウドサービスがイベントにアクセスできます。次に、Cisco Threat Response などのクラウドアプリケーションを使用して、イベントを分析したり、デバイスが遭遇した可能性のある脅威を評価したりできます。このサービスを有効にすると、デバイスから、接続イベントおよび優先度の高い侵入/ファイル/マルウェア関連イベントが Cisco Cloud に送信されます。 にある Cisco Threat Response の項目を「Cisco Cloudにイベントを送信(Send Events to the Cisco Cloud)」に変更しました。 |
||
シスコ クラウドサービスのリージョンサポート。 |
スマートライセンスへの登録時に、シスコ クラウド サービス リージョンの選択が求められるようになりました。このリージョンは、Cisco Defense Orchestrator、Cisco Threat Response、Cisco Success Network、および Cisco Cloud を通過するすべてのクラウド機能で使用されます。登録済みデバイスを以前のリリースからアップグレードすると、自動的に US リージョンに割り当てられます。リージョンを変更する必要がある場合は、スマートライセンスを登録解除して、改めて再登録して新しいリージョンを選択する必要があります。 [スマートライセンス(Smart License)] ページと初期デバイス セットアップ ウィザードで、ライセンス登録プロセスにステップを追加しました。また、 ページでもリージョンを確認できます。 |
||
FTD REST API バージョン 4(v4)。 |
ソフトウェアバージョン 6.5 用の FTD REST API のバージョン番号が 4 になりました。API の URL の v1/v2/v3 を v4 に置き換える必要があります。v4 の API には、ソフトウェアバージョン 6.5 で追加されたすべての機能に対応する多数の新しいリソースが含まれています。使用しているリソースモデルに変更が加えられている可能性があるため、既存のすべての呼び出しを再評価してください。リソースを表示できる API エクスプローラを開くには、FDM にログインして、[詳細オプション(More options)] ボタン()をクリックし、[APIエクスプローラ(API Explorer)] を選択します。 |
||
FTD アクセス制御ルールで送信元および宛先の一致基準として使用できる TrustSec セキュリティ グループの API サポート。 |
FTD API を使用して、送信元または宛先のトラフィックの一致基準に TrustSec セキュリティグループを使用したアクセス コントロール ポリシー ルールを設定できます。ISE からセキュリティグループタグ(SGT)のリストがダウンロードされます。SXP の更新がないかをリッスンし、スタティック SGT から IP アドレスへのマッピングを取得するように、システムを設定できます。 GET /object/securitygrouptag メソッドを使用して、ダウンロードしたタグのリストを表示でき、SGTDynamicObject リソースを使用して 1 つ以上のタグを表す動的オブジェクトを作成できます。この動的オブジェクトをアクセス制御ルールで使用して、送信元または宛先のセキュリティ グループに基づくトラフィックの一致基準を定義できます。 セキュリティ グループに関連する ISE オブジェクトまたはアクセス制御ルールに変更を加えると、FDM でそれらのオブジェクトを編集しても変更が保持されます。ただし、FDM でルールを編集する場合、アクセスルールのセキュリティグループの基準を表示することはできません。API を使用してセキュリティグループに基づくアクセスルールを設定する場合は、その後で FDM を使用してアクセス コントロール ポリシーのルールを編集する際に注意が必要です。 AccessRule(sourceDynamicObjects および destinationDynamicObjects 属性)、IdentityServicesEngine(subscribeToSessionDirectoryTopic および subscribeToSxpTopic 属性)、SecurityGroupTag、SGTDynamicObject の各 FTD API リソースを追加または変更しました。 イベントビューアに、送信元と宛先のセキュリティグループタグと名前を列として追加しました。 |
||
FTD API を使用した設定のインポート/エクスポート。 |
FTD API を使用して、デバイス設定のエクスポートや設定ファイルのインポートを行えます。設定ファイルを編集して、インターフェイスに割り当てられている IP アドレスなどの値を変更できます。したがって、インポート/エクスポートを使用して新しいデバイス用のテンプレートを作成できます。そのため、ベースラインの構成をすばやく適用し、新しいデバイスをより迅速にオンラインにすることができます。デバイスのイメージを再作成した後、インポート/エクスポートを使用して設定を復元することもできます。または、単に一連のネットワークオブジェクトや他の項目をデバイスのグループに配布する目的で使用することもできます。 ConfigurationImportExport のリソースとメソッド(/action/configexport、/jobs/configexportstatus、/action/downloadconfigfile、/action/uploadconfigfile、/action/configfiles、/action/configimport、/jobs/configimportstatus)を追加しました。 |
||
カスタムファイルポリシーの作成と選択。 |
FTD API を使用してカスタム ファイル ポリシーを作成し、FDM を使用してアクセス制御ルールでそれらのポリシーを選択することができます。 filepolicies、filetypes、filetypecategories、ampcloudconfig、ampservers、ampcloudconnections の各 FTD API FileAndMalwarePolicies リソースを追加しました。 また、「Block Office Document and PDF Upload, Block Malware Others」と「Block Office Documents Upload, Block Malware Others」の 2 つの定義済みポリシーを削除しました。これらのポリシーを使用している場合は、ユーザが編集できるようにアップグレード中にユーザ定義のポリシーに変換されます。 |
||
FTD API を使用したセキュリティ インテリジェンス DNS ポリシーの設定。 |
FTD API を使用してセキュリティ インテリジェンス DNS ポリシーを設定できます。このポリシーは FDM には表示されません。 domainnamefeeds、domainnamegroups、domainnamefeedcategories、securityintelligencednspolicies の各 SecurityIntelligence リソースを追加しました。 |
||
Duo LDAP を使用したリモートアクセス VPN 二要素認証。 |
リモートアクセス VPN 接続プロファイルの 2 番目の認証ソースとして Duo LDAP を設定し、Duo パスコード、プッシュ通知、または通話を使用して二要素認証を実現できます。FTD API を使用して Duo LDAP のアイデンティティ ソース オブジェクトを作成する必要がありますが、FDM を使用してそのオブジェクトを RA VPN 接続プロファイルの認証ソースとして選択することができます。 duoldapidentitysources のリソースとメソッドを FTD API に追加しました。 |
||
FTD リモートアクセス VPN 接続の認可に使用する LDAP 属性マップの API サポート。 |
カスタムの LDAP 属性マップを使用して、リモートアクセス VPN の LDAP 認証を強化することができます。LDAP 属性マップにより、顧客固有の LDAP 属性名および値がシスコの属性名および値と同等になります。これらのマッピングを使用して、LDAP 属性値に基づいてユーザにグループポリシーを割り当てることができます。これらのマップは FTD API を使用してのみ設定できます。FDM を使用して設定することはできません。ただし、API を使用してこれらのオプションを設定すれば、後で FDM で Active Directory のアイデンティティソースを編集して設定を保存できます。 LdapAttributeMap、LdapAttributeMapping、LdapAttributeToGroupPolicyMapping、LDAPRealm、LdapToCiscoValueMapping、LdapToGroupPolicyValueMapping、RadiusIdentitySource の各 FTD API オブジェクトモデルを追加または変更しました。 |
||
FTD サイト間 VPN 接続におけるリバース ルート インジェクションとセキュリティ アソシエーション(SA)のライフタイムの API サポート。 |
FTD API を使用して、サイト間 VPN 接続のリバース ルート インジェクションを有効にすることができます。逆ルート注入(RRI)とは、リモート トンネル エンドポイントによって保護されているネットワークおよびホストのルーティング プロセスに、スタティック ルートを自動的に組み込む機能です。デフォルトでは、スタティック RRI が有効になっており、接続の設定時にルートが追加されます。ダイナミック RRI は無効になっています。ダイナミック RRI では、セキュリティ アソシエーション(SA)が確立されたときにのみルートが挿入され、その後 SA が切断されたときにルートが削除されます。ダイナミック RRI は IKEv2 接続でのみサポートされています。 また、接続のセキュリティ アソシエーション(SA)のライフタイムを秒単位または送信キロバイト単位で設定することもできます。ライフタイムを期限なしに設定することもできます。デフォルトのライフタイムは、28,800 秒(8 時間)および 4,608,000 キロバイト(10 メガバイト/秒で 1 時間)です。ライフタイムに到達すると、エンドポイントで新しいセキュリティ アソシエーションと秘密キーがネゴシエートされます。 FDM を使用してこれらの機能を設定することはできません。ただし、API を使用してこれらのオプションを設定すると、後で FDM で接続プロファイルを編集して設定を保存できます。 dynamicRRIEnabled、ipsecLifetimeInSeconds、ipsecLifetimeInKiloBytes、ipsecLifetimeUnlimited、rriEnabled の各属性を SToSConnectionProfile リソースに追加しました。 |
||
IKE ポリシーの Diffie-Hellman グループ 14、15、および 16 のサポート。 |
DH グループ 14 を使用するように IKEv1 ポリシーを設定し、DH グループ 14、15、および 16 を使用するように IKEv2 ポリシーを設定できるようになりました。IKEv1 を使用している場合は、グループ 2 と 5 が今後のリリースで削除されるため、すべてのポリシーを DH グループ 14 にアップグレードしてください。また、IKEv2 ポリシーで DH グループ 24 を使用したり、IKE バージョンで MD5 を使用したりしないでください。これらも今後のリリースで削除されます。 |
||
変更を展開する際のパフォーマンスの向上。 |
システムの強化により、アクセス制御ルールを追加、編集、または削除した場合に、以前のリリースと比べて変更がより迅速に展開されるようになりました。 フェールオーバー用のハイ アベイラビリティ グループに設定しているシステムでは、展開した変更をスタンバイデバイスに同期させるプロセスが改良され、同期がより迅速に完了するようになりました。 |
||
システムダッシュボード上の CPU およびメモリ使用率の計算の改善。 |
CPU とメモリの使用率を計算する方法が改善され、システムダッシュボードに表示される情報に、デバイスの実際の状態がより正確に反映されるようになりました。 |
||
FTD 6.5 にアップグレードした場合に履歴レポートデータは使用できなくなる。 |
既存のシステムを FTD 6.5 にアップグレードした場合、データベーススキーマの変更のために履歴レポートデータが使用できなくなります。そのため、アップグレード前の時点における使用状況データはダッシュボードに表示されません。 |