防火墙功能

新增的系统定义的 NAT 规则的第 0 部分。

向 NAT 规则表添加了新的第 0 部分。此部分专门供系统使用。系统正常运行所需的任何 NAT 规则都添加到此部分，这些规则优先于您创建的任何规则。以前，系统定义的规则添加到第 1 部分，用户定义的规则可能会干扰系统的正常运行。您无法添加、编辑或删除第 0 部分中的规则，但您会在 show nat detail 命令输出中看到这些规则。

默认 SIP 检测策略映射会丢弃非 SIP 流量。

对于 SIP 检查的流量，现在默认为丢弃非 SIP 流量。以前的默认设置是允许在检查 SIP 的端口上允许非 SIP 流量。

我们更改了默认 SIP 策略映射以包含 no traffic-non-sip 命令。

能够指定要在 GTP 检测中丢弃的 IMSI 前缀。

通过 GTP 检测，您可以配置 IMSI 前缀过滤，以识别允许的移动国家/地区代码/移动网络代码 (MCC/MNC) 组合。现在，您可以对要丢弃的 MCC/MNC 组合执行 IMSI 过滤。这样，您可以列出不需要的组合，并默认允许所有其他组合。

添加了以下命令：drop mcc 。

配置初期连接的最大分段大小 (MSS)

您可以配置服务策略，以在达到初期连接限制时为初期连接的 SYN-Cookie 设置服务器最大分段大小 (MSS)。这对于还设置初期连接最大值的服务策略非常重要。

新增/修改的命令：set connection syn-cookie-mss 。

改进了多对一和一对多连接的 CPU 使用率和性能。

系统在创建连接时，不再创建本地主机对象并锁定它们，但涉及动态 NAT/PAT 和扫描威胁检测和主机统计信息的连接除外。在许多连接将连接到同一服务器（例如负载平衡器或 Web 服务器）或一个终端与许多远程主机建立连接的情况下，这会提高性能和 CPU 使用率。

我们更改了以下命令：clear local-host （已弃用）、show local-host

平台功能

ASAv 支持 VMware ESXi 7.0

ASAv 虚拟平台支持在 VMware ESXi 7.0 上运行的主机。新的 VMware 硬件版本已添加到 vi.ovf 和 esxi.ovf 文件，使 ESXi 7.0 上的 ASAv 能够实现最佳的性能和可用性。

未修改任何命令。

未修改任何菜单项。

ASAv 上的 Intel QuickAssist 技术 (QAT)

对于使用 Intel QuickAssist (QAT) 8970 PCI 适配器的 ASAv 部署，ASAv 支持硬件加密加速。仅在 VMware ESXi 和 KVM 上支持使用 QAT 的 ASAv 的硬件加密加速。

未修改任何命令。

未修改任何菜单项。

OpenStack 上的 ASAv

ASAv 虚拟平台增加了对 OpenStack 的支持。

未修改任何命令。

未修改任何菜单项。

高可用性和扩展性功能

群集成员限制

如果您明确知道集群中的设备数少于最大设备数（即 16 台），建议您设置实际计划的设备数。设置最大单位可让群集更好地管理资源。例如，如果您使用端口地址翻译 (PAT)，则控制设备可以将端口块分配给计划的成员数，并且不必为您不打算使用的额外设备预留端口。

新增/修改的命令：cluster-member-limit

show cluster history 命令改进

我们为 show cluster history 命令添加了其他输出。

新增/修改的命令：show cluster history brief 、show cluster history latest 、show cluster history reverse 、show cluster history time

Firepower 1140 最大情景数从 5 增加到 10

Firepower 1140 现在最多支持 10 个情景。

证书功能

用于认证的安全传输注册 (EST)

ASA 支持使用 Enrollment over Secure Transport (EST) 进行证书注册。但是，您可以配置为仅对 RSA 和 ECDSA 密钥使用 EST 注册。对于为 EST 注册配置的信任点，不能使用 EdDSA 密钥对。

新增/修改的命令：enrollment protocol 、crypto ca authenticate 和 crypto ca enroll 。

支持新的 EdDSA 密钥

新的密钥选项 EdDSA 已添加到现有 RSA 和 ECDSA 选项中。

新增/修改的命令：crypto key generate 、crypto key zeroize 、show crypto key mypubkey

覆盖证书密钥限制的命令

不再支持使用 SHA1 和 RSA 加密算法进行认证，并且不再支持 RSA 密钥大小小于 2048 的证书。您可以使用 crypto ca permit-weak-crypto 命令覆盖这些限制。

新增/修改的命令：crypto ca permit-weak-crypto

管理和故障排除功能

SSH 安全性改进

SSH 现在支持以下安全性改进：

• 主机密钥格式 - crypto key generate {eddsa | ecdsa} . 除了 RSA，我们还增加了对 EdDSA 和 ECDSA 主机密钥的支持。如果密钥存在，ASA 会尝试按以下顺序使用：EdDSA、ECDSA，然后是 RSA。如果使用 ssh key-exchange hostkey rsa 命令将 ASA 显式配置为使用 RSA 密钥，则必须生成 2048 位或更高位的密钥。为了实现升级兼容性，仅当使用默认主机密钥设置时，ASA才会使用较小的RSA主机密钥。RSA支持将在更高版本中删除。

• 密钥交换算法 - ssh key-exchange group {ecdh-sha2-nistp256 | curve25519-sha256}

• 加密算法 - ssh cipher encryption {chacha20-poly1305@openssh.com | aes128-gcm@openssh.com}

• 不再支持 SSH 版本 1 - 已删除 ssh version 命令。

新增/修改的命令：crypto key generate eddsa 、crypto key zeroize eddsa 、show crypto key mypubkey、ssh cipher encryption {chacha20-poly1305@openssh.com | aes128-gcm@openssh.com} 、ssh key-exchange group {ecdh-sha2-nistp256 | curve25519-sha256} 、ssh key-exchange hostkey 、ssh version

监控功能

SNMPv3 身份验证

您现在可以使用 SHA-224 和 SHA-384 进行用户身份验证。您不能再使用 MD5 进行用户身份验证。

您不能再使用 DES 进行加密。

新增/修改的命令：snmp-server user

VPN 功能

在静态 VTI 上支持 IPv6

ASA 在虚拟隧道接口 (VTI) 配置中支持 IPv6 地址。

VTI 隧道源接口可以具有 IPv6 地址，您可以将其配置为用作隧道终端。如果隧道源接口有多个 IPv6 地址，您可以指定要使用的地址，否则默认使用列表中的第一个 IPv6 全局地址。

隧道模式可以是 IPv4 或 IPv6，但必须与 VTI 上配置的 IP 地址类型相同，隧道才能处于活动状态。IPv6 地址可以分配给 VTI 中的隧道源或隧道目标接口。

新增/修改的命令：tunnel source interface 、tunnel destination 、tunnel mode

支持每个设备 1024 个 VTI 接口

要在设备上配置的最大VTI数量已从 100 增加到 1024。

即使平台支持超过 1024 个接口，VTI 计数也限于该平台上可配置的 VLAN 数量。例如，ASA 5510 支持 100 个VLAN，隧道计数为 100 减去配置的物理接口数。

新增/修改的命令：无

在 SSL 中支持 DH 组 15

已为 DH 组 15 添加了对 SSL 加密的支持。

新增/修改的命令：ssl dh-group group15

支持 DH 组 31 进行 IPsec 加密

已添加对 DH 组 31 的 IPsec 加密支持。

新增/修改的命令：set pfs

支持限制 IKEv2 队列中的 SA

增加了支持以限制 SA-INIT 数据包中的队列数量。

新增/修改的命令：crypto ikev2 limit queue sa_init

用于清除 IPsec 统计信息的选项

引入了 CLI 以清除和重置 IPsec 统计信息。

新增/修改的命令：clear crypto ipsec stats 和 clear ipsec stats 。