思科 Firepower 发行说明,版本 6.4.0.1、 6.4.0.2、6.4.0.3、 6.4.0.4、6.4.0.5 和 6.4.0.6

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

当地语言翻译版本说明

思科可能会在某些地方提供本内容的当地语言翻译版本。请注意,翻译版本仅供参考,如有任何不一致之处,以本内容的英文版本为准。

Book Contents
Find Matches in This Book
语言选择
Download Options

Book Title

思科 Firepower 发行说明,版本 6.4.0.1、 6.4.0.2、6.4.0.3、 6.4.0.4、6.4.0.5 和 6.4.0.6

Chapter Title

升级到版本 6.4.0.x

Results

已更新:
2020年6月16日

Chapter: 升级到版本 6.4.0.x

升级到版本 6.4.0.x

本章提供版本 6.4.0.x的关键和版本特定信息。

您还应该参阅特性和功能,了解有关任何新的、更改的或弃用的特性和功能。

指引和警告: 版本 6.4.0.x

此核对表中包含适用于版本 6.4.0.x修补程序的重要升级指南和警告。此外,确保查看一般指引和警告

表 1. 版本 6.4.0.x 指引
指南 平台 升级自 直接至

升级失败:容器实例上的磁盘空间不足

Firepower 4100/9300

6.4.0.x

更高版本的修补程序

6.5.0

Firepower 1010 设备上的 Etherchannel 可以将出口流量引入黑洞

Firepower 1010

仅 6.4.0

6.4.0.3 至 6.4.0.5

Firepower 1000 系列不支持版本 6.4.0.1 和 6.4.0.2

Firepower 1000 系列

仅 6.4.0

6.4.0.1 或 6.4.0.2

升级失败:容器实例上的磁盘空间不足

部署:使用 FTD 的 Firepower 4100/9300

升级自:版本 6.3.0 至 6.4.0.x

直接到:版本 6.3.0.1 到版本 6.5.0

最常见的情况是在主要升级期间,但在修补过程中,配置了容器实例的 FTD 设备可能会在预检查阶段失败,并出现错误磁盘空间不足的警告。

如果发生这种情况,您可以尝试释放更多的磁盘空间。如果不起作用,请联系思科 TAC

Firepower 1010 设备上的 Etherchannel 可以将出口流量引入黑洞

部署:使用 FTD 的 Firepower 1010

受影响的版本:版本 6.4.0 至 6.4.0.5

相关漏洞: CSCvq81354

我们强烈建议您不要在运行 FTD 版本 6.4.0 到版本 6.4.0.5 的 Firepower 1010 设备上配置 etherchannel。(请注意,此型号不支持版本 6.4.0.1 和 6.4.0.2。)

由于内部流量散列问题,Firepower 1010 设备上的某些 Etherchannel 可能会将某些出口流量引入黑洞。散列计算基于源/目标 IP 地址,因此对于给定的源/目标 IP 而言,行为将一致。也就是说,某些流量会正常工作,有些流量会失败。

我们将在即将推出的 6.4.0 补丁中修复此问题。它也已在版本 6.5.0 中修复。

Firepower 1000 系列不支持版本 6.4.0.1 和 6.4.0.2

部署:Firepower 1000 系列

升级自:版本 6.4.0

直接至:版本 6.4.0.1 或 6.4.0.2

不能将 Firepower 1000 系列设备升级至版本 6.4.0.1 或 6.4.0.2。

一般指引和警告

这些重要的指引和警告适用于所有升级。但这份清单并不全面。如需与升级过程相关的其他重要信息的链接,包括规划升级路径、操作系统升级、准备情况检查、备份、维护窗口等,请参阅升级说明

备份事件和配置数据

我们强烈建议备份到外部位置并验证传输是否成功。在升级设备时,它会清除本地存储的备份。在 FMC 部署中,我们还建议您在升级部署后备份 FMC。这是因为您有一个新的 FMC 备份文件,它 "知道" 其设备已升级。

作为任何备份的第一步,请注意补丁级别和 VDB 版本。这一点很重要,因为如果您需要将备份恢复到新的或重新映像设备,则必须首先将该新设备更新为完全这些版本。您只能从相同型号和 Firepower 版本、具有相同 VDB 的设备还原备份。

设备访问

Firepower 设备可以在升级期间或在升级失败时停止传输流量(具体取决于接口配置)。在升级 Firepower 设备之前,请确保来自您所在位置的流量不必遍历设备本身即可访问设备的管理界面。在 Firepower 管理中心部署中,您还必须能够访问 FMC 管理界面而不遍历设备。

签名的升级软件包

因此,Firepower 可以证实您使用的是正确的文件,来自版本 6.2.1+ 的升级包(以及到版本 6.2.1+ 的热补丁)是签名的 tar 档案 (.tar)。早期版本的升级继续使用未签名的包。

当您手动从思科支持和下载站点下载升级包时 - 例如用于重要升级或物理隔离部署 - 确保下载正确的包。 不要解压签名的 (.tar) 包。
上传签名的升级包后,GUI 可能需要几分钟才能加载,因为系统需要对包进行验证。要加快显示速度,可删除不再需要的签名的包。

在 ASA FirePOWER 设备上禁用 ASA REST API

在升级 ASA FirePOWER 模块之前,确保禁用 ASA REST API。否则,升级可能会失败。从 ASA CLI:no rest api agent。可以在卸载后重新启用:rest-api agent

与思科共享数据

一些功能包括与思科共享数据。

在 6.2.3+ 中,思科成功网络会将使用情况信息和统计信息发送到思科,这些信息对于为您提供技术支持至关重要。升级期间,系统可能会要求您接受或拒绝参与。您还可以随时选择加入或退出。

在 6.2.3+ 中,Web 分析跟踪会将非个人可识别使用情况数据发送到思科,包括但不限于页面交互情况、浏览器版本、产品版本、用户位置以及您的 FMC 的管理 IP 地址或主机名。如果要从版本 6.1 升级到 6.2.2.x,升级将启用 Web 分析跟踪。如果您不希望思科收集这些数据,可以在升级后选择退出。(如果是从版本 6.2.3.x或版本 6.3.0.x 升级,升级过程会考虑您当前的设置。)

在 6.5.0+ 中,思科支持诊断 (有时称为思科主动支持)将配置和运行状况数据发送到思科,并通过我们的自动化问题检测系统处理该数据,使我们能够主动通知您的问题。在 TAC 情况下,此功能还允许思科 TAC 从您的设备收集基本信息。升级期间,系统可能会要求您接受或拒绝参与。您还可以随时选择加入或退出。

升级可以导入和自动启用入侵规则

如果新的入侵规则使用您的不受当前 Firepower 版本支持的关键字,则在更新入侵规则数据库 (SRU) 时不会导入该规则。

升级 Firepower 软件并支持这些关键字后,系统将导入新的入侵规则,并且根据 IPS 配置,可以自动启用,从而开始生成事件并影响流量。

受支持的关键字取决于 Firepower 软件随附的 Snort 版本:

  • FMC:依次选择帮助 > 关于

  • 使用 FDM 的 FTD:使用show summary CLI 命令。

  • 使用 ASDM 的 ASA FirePOWER:选择ASA FirePOWER 配置 > 系统信息

您还可以在《Cisco Firepower 兼容性指南》捆绑组件部分找到您的 Snort 版本。

Snort 版本说明包含有关新关键字的详细信息。您可以阅读 Snort 下载页面上的版本说明: https://www.snort.org/downloads

无响应的升级

将更改部署到正在升级的设备或从其部署更改,手动重启正在升级的设备,或者关闭正在升级的设备。请重启正在进行的升级。升级过程在预检查期间可能会显示为非活动;这是预期行为。如果您遇到升级问题,包括升级失败或设备无响应,请联系思科 TAC

要升级的最低版本

只能在当前主版本序列中修补 Firepower 软件。修补程序是累积的,因此始终可以直接跳到最新的修补程序。

表 2. 将 Firepower 软件升级到 6.4.0.x 的最低版本
平台 最低版本

Firepower 管理中心

FMC 部署中的所有受管设备)。

6.4.0

使用 FDM 的 Firepower 威胁防御(所有平台)

6.4.0

使用 ASDM 的 ASA FirePOWER

6.4.0

时间测试和磁盘空间要求

要升级 Firepower 设备,必须具有足够的可用磁盘空间,否则升级会失败。使用 Firepower 管理中心 升级受管设备时,FMC 的 /Volume 分区必须具备额外的磁盘空间来存放设备升级包。此外,您还必须具有足够的时间来执行升级。

我们提供内部时间和磁盘空间测试报告以供参考。

关于时间测试

此处给出的时间值基于内部测试。虽然我们报告的是针对特定平台/系列测试的所有升级的最慢时间,但由于多种原因(见下文),您的升级所需的时间可能比提供的时间长。

基本测试条件

  • 部署:值来自于 Firepower 管理中心部署中的测试。这是因为在类似条件下,远程和本地管理设备的原始升级时间相似。

  • 版本:对于主版本升级,我们测试所有先前符合条件的主版本的升级。对于修补程序,我们测试基础版本和前一个修补程序的升级。

  • 型号:大多数情况下,我们测试每个系列中的最低端型号,有时会对系列中的多个型号进行测试。

  • 虚拟设置:我们使用内存和资源的默认设置进行测试。

不包括推送和重新启动

表示 Firepower 升级脚本本身以运行所花费的时间。值不包括将升级包上传到本地受管设备或 FMC 所需的时间,也不包括将升级包从 FMC 复制(推送)到受管设备所需的时间。

FMC部署中,如果 FMC与受管设备之间的带宽不足,可能会延长升级时间甚至导致升级超时。请确保您的带宽足以将大量数据从 FMC传输到其设备。有关详细信息,请参阅将数据从 Firepower 管理中心下载到受管设备的准则(故障排除技术说明)。

值也不包括重新启动、准备情况检查、操作系统升级或配置部署。

时间适用于单个设备

值是按设备提供的。在高可用性或群集配置中,设备一次升级一个可保持操作的连续性,每个设备在升级时以维护模式运行。因此,升级一对设备或整个群集所需的时间比升级独立设备所需的时间长。

请注意,堆叠的 8000 系列设备会同时升级,堆栈在有限的混合版本状态下运行,直到所有设备完成升级。这样做所需的时间应该不会比升级独立设备花费的时间长。

受影响的配置和数据

我们对具有最小配置和流量负载的设备进行了测试。升级时间会随着配置的复杂性、事件数据库的大小以及这些事物是否/如何受到升级的影响而增加。例如,如果您使用大量访问控制规则并且升级需要对这些规则的存储方式进行后端更改,则升级可能需要更长时间。

关于磁盘空间要求

空间估计值在为所有升级报告的值中最大,为:

  • 没有四舍五入(小于 1 MB)。

  • 四舍五入到下一个 1 MB (1 MB - 100 MB)。

  • 四舍五入到下一个 10 MB (100 MB - 1GB)。

  • 四舍五入到下一个 100 MB(大于 1 GB)。

版本 6.4.0.6 的时间和磁盘空间

表 3. 版本 6.4.0.6 的时间和磁盘空间
平台 /Volume 上的空间 / 上的空间 FMC 上的空间 来自 6.4.0 的时间

FMC

5.5 GB

170 MB

-

38 分钟

FMCv:VMware 6.0

3.4 GB

36 MB

-

33 分钟

Firepower 1000 系列

2.4 GB

2.4 GB

530 MB

25 分钟

Firepower 2100 系列

2.4 GB

2.4 GB

500 MB

16 分钟

Firepower 4100 系列

1.8 GB

1.8 GB

310 MB

12 分钟

Firepower 9300

1.8 GB

1.8 GB

310 MB

15 分钟

具有 ASA 5500-X 系列FTD

1.8 GB

110 MB

290 MB

23 分钟

FTDv:VMware 6.0

1.8 GB

110 MB

290 MB

10 分钟

Firepower 7000/8000 系列

3.6 GB

170 MB

650 MB

25 分钟

ASA FirePOWER

4.1 GB

36 MB

590 MB

45 分钟

NGIPSv:VMware 6.0

2.1 GB

150 MB

450 MB

10 分钟

版本 6.4.0.5 的时间和磁盘空间

表 4. 版本 6.4.0.5 的时间和磁盘空间
平台 /Volume 上的空间 / 上的空间 FMC 上的空间 来自 6.4.0 的时间

FMC

5 GB

170 MB

-

39 分钟

FMCv:VMware 6.0

3.7 GB

170 MB

-

27 分钟

Firepower 1000 系列

2.9 GB

2.9 GB

530 MB

26 分钟

Firepower 2100 系列

2.5 GB

2.5 GB

500 MB

16 分钟

Firepower 4100 系列

1.8 GB

1.8 GB

310 MB

12 分钟

Firepower 9300

1.8 GB

1.8 GB

310 MB

11 分钟

具有 ASA 5500-X 系列FTD

1.8 GB

110 MB

290 MB

20 分钟

FTDv:VMware 6.0

1.8 GB

110 MB

290 MB

10 分钟

Firepower 7000/8000 系列

3.6 GB

170 MB

650 MB

26 分钟

ASA FirePOWER

4.1 GB

36 MB

590 MB

45 分钟

NGIPSv:VMware 6.0

2.1 GB

150 MB

450 MB

10 分钟

版本 6.4.0.4 的时间和磁盘空间

表 5. 版本 6.4.0.4 的时间和磁盘空间
平台 /Volume 上的空间 / 上的空间 FMC 上的空间 来自 6.4.0 的时间

FMC

4.4 GB

170 MB

-

35 分钟

FMCv:VMware 6.0

4.8 GB

170 MB

-

31 分钟

Firepower 1000 系列

2.9 GB

2.9 GB

520 MB

28 分钟

Firepower 2100 系列

2.4 GB

2.4 GB

500 MB

10 分钟

Firepower 4100 系列

2 GB

2 GB

310 MB

12 分钟

Firepower 9300

1.7 GB

1.7 GB

310 MB

10 分钟

具有 ASA 5500-X 系列FTD

1.8 GB

110 MB

290 MB

29 分钟

FTDv:VMware 6.0

1.8 GB

110 MB

290 MB

8 分钟

Firepower 7000/8000 系列

3.6 GB

170 MB

650 MB

24 分钟

ASA FirePOWER

4.2 GB

36 MB

600 MB

55 分钟

NGIPSv:VMware 6.0

2.1 GB

150 MB

550 MB

10 分钟

版本 6.4.0.3 的时间和磁盘空间

表 6. 版本 6.4.0.3 的时间和磁盘空间
平台 /Volume 上的空间 / 上的空间 FMC 上的空间 来自 6.4.0 的时间

FMC

3.2 GB

24 MB

-

34 分钟

FMCv:VMware 6.0

2.5 GB

23 MB

-

25 分钟

Firepower 1000 系列

2.9 GB

2.9 GB

520 MB

22 分钟

Firepower 2100 系列

2.4 GB

2.4 GB

500 MB

19 分钟

Firepower 4100 系列

1.7 GB

1.7 GB

310 MB

12 分钟

Firepower 9300

1.7 GB

1.7 GB

310 MB

14 分钟

具有 ASA 5500-X 系列FTD

1.8 GB

110 MB

290 MB

18 分钟

FTDv:VMware 6.0

1.8 GB

110 MB

290 MB

12 分钟

Firepower 7000/8000 系列

1.9 GB

21 MB

370 MB

20 分钟

ASA FirePOWER

2.5 GB

2.5 GB

320 MB

28 分钟

NGIPSv:VMware 6.0

690 MB

21 MB

210 MB

8 分钟

版本 6.4.0.2 的时间和磁盘空间

表 7. 版本 6.4.0.2 的时间和磁盘空间
平台 /Volume 上的空间 / 上的空间 FMC 上的空间 来自 6.4.0 的时间

FMC

3.1 GB

24 MB

-

39 分钟

FMCv:VMware 6.0

2.5 GB

23 MB

-

24 分钟

Firepower 2100 系列

1.9 GB

1.9 GB

480 MB

19 分钟

Firepower 4100 系列

2.3 GB

2.3 GB

290 MB

11 分钟

Firepower 9300

1.7 GB

1.7 GB

290 MB

11 分钟

具有 ASA 5500-X 系列FTD

1.8 GB

110 MB

270 MB

21 分钟

FTDv:VMware 6.0

1.2 GB

110 MB

270 MB

10 分钟

Firepower 7000/8000 系列

1.9 GB

36 MB

350 MB

20 分钟

ASA FirePOWER

2 GB

21 MB

300 MB

34 分钟

NGIPSv:VMware 6.0

630 MB

21 MB

190 MB

10 分钟

版本 6.4.0.1 的时间和磁盘空间

表 8. 版本 6.4.0.1 的时间和磁盘空间
平台 /Volume 上的空间 / 上的空间 FMC 上的空间 来自 6.4.0 的时间

FMC

1.8 GB

24 MB

-

50 分钟

FMCv:VMware 6.0

1.8 GB

23 MB

-

20 分钟

Firepower 2100 系列

1.4 GB

1.4 GB

300 MB

17 分钟

Firepower 4100 系列

1.1 GB

1.1 GB

95 MB

9 分钟

Firepower 9300

1.1 GB

1.1 GB

95 MB

10 分钟

具有 ASA 5500-X 系列FTD

550 MB

110 MB

76 MB

16 分钟

FTDv:VMware 6.0

550 MB

110 MB

76 MB

15 分钟

Firepower 7000/8000 系列

59 MB

21 MB

2 MB

14 分钟

ASA FirePOWER

85 MB

20 MB

2 MB

30 分钟

NGIPSv:VMware 6.0

45 MB

21 MB

2 MB

10 分钟

流量、检查和设备行为

升级期间必须确定流量和检测中的潜在中断。以下情况下可能出现这种问题:

  • 设备重新启动时。

  • 在设备上升级操作系统或虚拟主机环境时。

  • 在设备上升级 Firepower 软件或卸载修补程序时。

  • 在升级或卸载过程中部署配置更改时(Snort 进程重新启动)。

设备类型、部署类型(独立、高可用性、群集)和接口配置(被动、IPS、防火墙等)决定了中断的性质。我们强烈建议在维护窗口或者中断对部署的影响最小时执行升级或卸载。

FTD升级行为: Firepower 4100/9300 机箱

本部分介绍在升级含 FTDFirepower 4100/9300 机箱时的设备和流量行为。

Firepower 4100/9300 机箱:FXOS 升级

在每个机箱上独立升级 FXOS,即使配置了机箱间群集或高可用性对也是如此。您执行升级的方式会确定设备在 FXOS 升级期间处理流量的方式。

表 9. FXOS 升级期间的流量行为
部署 方法 流量行为

独立式

-

被丢弃

高可用性

最佳实践:在备用设备上更新 FXOS,切换主用对等设备,升级新的备用设备。

不受影响

在备用设备完成升级之前,在主用对等设备上升级 FXOS。

被丢弃,直到一个对等设备处于在线状态

机箱间群集(6.2 及更高版本)

最佳实践:一次升级一个机箱,以便至少有一个模块始终处于在线状态。

不受影响

同时升级机箱,因此在某个时间所有模块都处于关闭状态。

被丢弃,直到至少一个模块处于在线状态

机箱内群集(仅限 Firepower 9300

已启用故障时自动绕过:Bypass: StandbyBypass‑Force。(6.1 及更高版本)

不检查直接通过

已禁用故障时自动绕过:Bypass: Disabled。(6.1 及更高版本)

被丢弃,直到至少一个模块处于在线状态

没有故障时自动旁路模块。

被丢弃,直到至少一个模块处于在线状态

独立式 FTD 设备:Firepower 软件升级

接口配置会确定在升级期间独立设备如何处理流量。

表 10. Firepower 软件升级期间的流量行为:独立式 FTD 设备
接口配置 流量行为

防火墙接口

路由或交换,包括 EtherChannel、冗余、子接口

切换接口也称为桥接组或透明接口。

被丢弃

仅限 IPS 接口

内联集,故障时自动旁路启用:Bypass: StandbyBypass‑Force (6.1+)

可以为以下任意一项:

  • 被丢弃(6.1 至 6.2.2.x)

  • 不检查直接通过(6.2.3 及更高版本)

内联集,已禁用故障时自动旁路:Bypass: Disabled (6.1+)

被丢弃

内联集,没有故障时自动旁路模块

被丢弃

内联集,分流模式

立即传出数据包,不检查副本

被动,ERSPAN 被动

不中断,不检查

高可用性对:Firepower 软件升级

在高可用性对中的设备上升级 Firepower 软件时,流量或检查中不应出现中断。为确保操作的连续性,它们一次升级一个。升级时,设备会在维护模式下运行。

首先升级备用设备。设备会交换角色,然后新的备用设备进行升级。升级完成后,设备的角色保持交换后的状态。如果您想要保留主用/备用角色,请先手动交换角色,然后再进行升级。这样,升级流程会将它们交换回来。

群集:Firepower 软件升级

Firepower 威胁防御群集中的设备上升级 Firepower 软件时,流量或检查中不应出现中断。为确保操作的连续性,它们一次升级一个。升级时,设备会在维护模式下运行。

首先升级一个或多个从属安全模块,然后升级主模块。升级时,安全模块在维护模式下运行。

在主安全模块升级期间,尽管流量检查和处理通常会继续,但系统会停止记录事件。升级完成后,在日志记录关闭期间处理的流量事件显示有不同步的时间戳。但是,如果日志记录关闭较长时间,则系统可能会删除最早事件,然后再记录事件。
从版本 6.2.0、6.2.0.1 或 6.2.0.2 升级机箱间群集会导致从群集中删除每个模块时,流量检查中出现 2-3 秒的流量中断。流量在此中断期间丢弃还是不进一步检查而直接通过,取决于设备处理流量的方式。

高可用性和集群无中断升级要求

执行无中断升级具有以下其他要求。

流负载分流:由于在流负载分流功能中修复了漏洞,因此 FXOS 和 FTD 的一些组合不支持流负载分流;请参阅思科 Firepower 兼容性指南。要在高可用性或集群部署中执行无中断升级,必须确保始终运行兼容的组合。

如果您的升级路径包括将 FXOS 升级到 2.2.2.91、2.3.1.130 或更高版本(包括 FXOS 2.4.1. x、2.6.1. x 等),请使用此路径:

1. 将 FTD 升级到 6.2.2.2 或更高版本。

2. 将 FXOS 升级到 2.2.2.91、2.3.1.130 或更高版本。

3. 将 FTD 升级到您的最终版本。

例如,如果您运行的是 FXOS 2.2.2.17/FTD 6.2.2.0,并且要升级到 FXOS 2.6.1/FTD 6.4.0,则可以执行以下操作:

1. 将 FTD 升级到 6.2.2.5。

2. 将 FXOS 升级到 2.6.1。

3. 将 FTD 升级到 6.4.0。

版本 6.1.0 升级:将 FTD 高可用性对无故障升级到版本 6.1.0 需要一个预安装包。有关详细信息,请参阅Firepower 系统发行说明 6.1.0 版预安装包

部署过程中的流量行为

升级过程中,您需要多次部署配置。如果在升级后立即进行首次部署,Snort 通常会重启。该进程在其他部署期间不重启,除非您在部署之前修改特定策略或设备配置。有关详细信息,请参阅 Firepower 管理中心配置指南中的在部署或激活时重启 Snort 进程的配置

在部署时,资源需求可能会导致少量数据包未经检测而被丢弃。此外,重启 Snort 进程会中断所有 Firepower 设备上的流量检查,包括为 HA/可伸缩性配置的检查。在中断期间,接口配置会确定是丢弃流量还是在不检查的情况下允许流量通过。

表 11. FTD 部署过程中的流量行为
接口配置 流量行为

防火墙接口

路由或交换,包括 EtherChannel、冗余、子接口

切换接口也称为桥接组或透明接口。

被丢弃

仅限 IPS 接口

内联集,已启用或禁用 Failsafe (6.0.1-6.1.0.x)

不检查直接通过

如果已禁用 Failsafe,并且 Snort 处于繁忙而非关闭状态,则系统可能会丢弃一些数据包。

内联集,Snort Fail Open: Down:已禁用(6.2 及更高版本)

被丢弃

内联集,Snort Fail Open: Down:启用 (6.2+)

不检查直接通过

内联集,分流模式

立即传出数据包,不检查副本

被动,ERSPAN 被动

不中断,不检查

FTD升级行为:其他设备

本部分介绍在 Firepower 1000/2100 系列、ASA 5500-X 系列、 ISA 3000、和 FTDv上升级 Firepower 威胁防御时的设备和流量行为。

独立式 FTD 设备:Firepower 软件升级

接口配置会确定在升级期间独立设备如何处理流量。

表 12. Firepower 软件升级期间的流量行为:独立式 FTD 设备
接口配置 流量行为

防火墙接口

路由或交换,包括 EtherChannel、冗余、子接口

切换接口也称为桥接组或透明接口。

被丢弃

仅限 IPS 接口

内联集,故障时自动旁路启用:Bypass: StandbyBypass‑Force (6.1+)

可以为以下任意一项:

  • 被丢弃(6.1 至 6.2.2.x)

  • 不检查直接通过(6.2.3 及更高版本)

内联集,已禁用故障时自动旁路:Bypass: Disabled (6.1+)

被丢弃

内联集,没有故障时自动旁路模块

被丢弃

内联集,分流模式

立即传出数据包,不检查副本

被动,ERSPAN 被动

不中断,不检查

高可用性对:Firepower 软件升级

在高可用性对中的设备上升级 Firepower 软件时,流量或检查中不应出现中断。为确保操作的连续性,它们一次升级一个。升级时,设备会在维护模式下运行。

首先升级备用设备。设备会交换角色,然后新的备用设备进行升级。升级完成后,设备的角色保持交换后的状态。如果您想要保留主用/备用角色,请先手动交换角色,然后再进行升级。这样,升级流程会将它们交换回来。

部署过程中的流量行为

升级过程中,您需要多次部署配置。如果在升级后立即进行首次部署,Snort 通常会重启。该进程在其他部署期间不重启,除非您在部署之前修改特定策略或设备配置。有关详细信息,请参阅 Firepower 管理中心配置指南中的在部署或激活时重启 Snort 进程的配置

在部署时,资源需求可能会导致少量数据包未经检测而被丢弃。此外,重启 Snort 进程会中断所有 Firepower 设备上的流量检查,包括为 HA/可伸缩性配置的检查。在中断期间,接口配置会确定是丢弃流量还是在不检查的情况下允许流量通过。

表 13. FTD 部署过程中的流量行为
接口配置 流量行为

防火墙接口

路由或交换,包括 EtherChannel、冗余、子接口

切换接口也称为桥接组或透明接口。

被丢弃

仅限 IPS 接口

内联集,已启用或禁用 Failsafe (6.0.1-6.1.0.x)

不检查直接通过

如果已禁用 Failsafe,并且 Snort 处于繁忙而非关闭状态,则系统可能会丢弃一些数据包。

内联集,Snort Fail Open: Down:已禁用(6.2 及更高版本)

被丢弃

内联集,Snort Fail Open: Down:启用 (6.2+)

不检查直接通过

内联集,分流模式

立即传出数据包,不检查副本

被动,ERSPAN 被动

不中断,不检查

Firepower 7000/8000 系列升级行为

以下部分介绍升级 Firepower 7000/8000 系列设备时的设备和流量行为。

独立式 7000/8000 系列:Firepower 软件升级

接口配置会确定在升级期间独立设备如何处理流量。

表 14. 升级时的流量行为:独立式 7000/8000 系列
接口配置 流量行为

内联,已启用硬件绕过 (Bypass Mode: Bypass)

不检查直接通过,但是流量会在以下两个时间点短暂中断:

  • 升级过程开始时,链路关闭并重新开启(振荡),网卡切换到硬件绕过模式。

  • 升级完成后,链路再次出现振荡,网卡退出硬件绕过模式。终端重新连接并与设备接口重新建立链路后,检查会恢复。

内联,没有硬件绕过模块,或已禁用硬件绕过模式 (Bypass Mode: Non‑Bypass)

被丢弃

内联,分流模式

立即传出数据包,不检查副本

被动

不中断,不检查

路由式、交换式

被丢弃

7000/8000 系列高可用性对:Firepower 软件升级

在高可用性对中升级设备(或设备堆叠)时,流量流或检查不应出现中断。为确保操作的连续性,它们一次升级一个。升级时,设备会在维护模式下运行。

首先升级哪一个对等设备取决于您的部署:

  • 路由式或交换式:优先升级备用设备。设备会交换角色,然后新的备用设备进行升级。升级完成后,设备的角色保持交换后的状态。如果您想要保留主用/备用角色,请先手动交换角色,然后再进行升级。这样,升级流程会将它们交换回来。

  • 纯访问控制:优先升级主用设备。升级完成后,主用设备和备用设备保持其原有角色。

8000 系列堆栈:Firepower 软件升级

在 8000 系列堆栈中,设备同时进行升级。在主设备完成其升级并且堆栈恢复操作之前,流量都会受到影响,就像堆栈是一个独立设备一样。在所有设备完成升级之前,堆栈会在一个受限的混合版本状态下运行。

部署过程中的流量行为

升级过程中,您需要多次部署配置。如果在升级后立即进行首次部署,Snort 通常会重启。该进程在其他部署期间不重启,除非您在部署之前修改特定策略或设备配置。有关详细信息,请参阅 Firepower 管理中心配置指南中的在部署或激活时重启 Snort 进程的配置

在部署时,资源需求可能会导致少量数据包未经检测而被丢弃。此外,重启 Snort 进程会中断所有 Firepower 设备上的流量检查,包括为 HA/可伸缩性配置的检查。在中断期间,接口配置会确定是丢弃流量还是在不检查的情况下允许流量通过。

表 15. 部署期间的流量行为:7000/8000 系列
接口配置 流量行为

内联,Failsafe 已启用或已禁用

不检查直接通过

如果已禁用 Failsafe,并且 Snort 处于繁忙而非关闭状态,则系统可能会丢弃一些数据包。

内联,分流模式

立即传出数据包,副本绕过 Snort

被动

不中断,不检查

路由式、交换式

被丢弃

ASA FirePOWER升级行为

在 Firepower 软件升级期间(包括在您部署会导致 Snort 进程重启的某些配置时),模块处理流量的方式由用于将流量重定向到 ASA FirePOWER 模块的 ASA 服务策略决定。

表 16. ASA FirePOWER 升级期间的流量行为
流量重定向策略 流量行为

故障时打开 (sfr fail-open )

不检查直接通过

故障时关闭 (sfr fail-close )

被丢弃

仅监控 (sfr {fail-close}|{fail-open} monitor-only )

立即传出数据包,不检查副本

ASA FirePOWER部署过程中的流量行为

Snort 进程重启时的流量行为与升级 ASA FirePOWER 模块时相同。

升级过程中,您需要多次部署配置。如果在升级后立即进行首次部署,Snort 通常会重启。该进程在其他部署期间不重启,除非您在部署之前修改特定策略或设备配置。有关详细信息,请参阅 Firepower 管理中心配置指南中的在部署或激活时重启 Snort 进程的配置

在部署时,资源需求可能会导致少量数据包未经检测而被丢弃。此外,重启 Snort 进程会中断流量检查。在中断期间,您的服务策略会确定是丢弃流量还是在不检查的情况下允许流量通过。

NGIPSv升级行为

本部分介绍在升级 NGIPSv时的设备和流量行为。

Firepower 软件升级

接口配置决定了NGIPSv在升级期间如何处理流量。

表 17. NGIPSv升级期间的流量行为
接口配置 流量行为

内联

被丢弃

内联,分流模式

立即传出数据包,不检查副本

被动

不中断,不检查

部署过程中的流量行为

升级过程中,您需要多次部署配置。如果在升级后立即进行首次部署,Snort 通常会重启。该进程在其他部署期间不重启,除非您在部署之前修改特定策略或设备配置。有关详细信息,请参阅 Firepower 管理中心配置指南中的在部署或激活时重启 Snort 进程的配置

在部署时,资源需求可能会导致少量数据包未经检测而被丢弃。此外,重启 Snort 进程会中断流量检查。在中断期间,接口配置会确定是丢弃流量还是在不检查的情况下允许流量通过。

表 18. NGIPSv部署过程中的流量行为
接口配置 流量行为

内联,Failsafe 已启用或已禁用

不检查直接通过

如果已禁用 Failsafe,并且 Snort 处于繁忙而非关闭状态,则系统可能会丢弃一些数据包。

内联,分流模式

立即传出数据包,副本绕过 Snort

被动

不中断,不检查

升级程序包

思科支持和下载站点上提供了升级包。

不要解压签名的 (.tar) 包。

表 19. 升级包 版本 6.4.0.x
平台 数据包

FMC/FMCv

Cisco_Firepower_Mgmt_Center_Patch-版本-内部版本.sh.REL.tar

Firepower 1000 系列

Cisco_FTD_SSP_FP1K_Patch-版本-内部版本.sh.REL.tar

Firepower 2100 系列

Cisco_FTD_SSP_FP2K_Patch-版本-内部版本.sh.REL.tar

Firepower 4100/9300 机箱

Cisco_FTD_SSP_Patch-版本-内部版本.sh.REL.tar

ASA 5500-X 系列,含 FTD

ISA 3000,含 FTD

Firepower 威胁防御虚拟

Cisco_FTD_Patch-版本-内部版本.sh.REL.tar

Firepower 7000/8000 系列

Cisco_Firepower_NGIPS_Appliance_Patch-版本-内部版本.sh.REL.tar

ASA FirePOWER

Cisco_Network_Sensor_Patch-版本-内部版本.sh.REL.tar

NGIPSv

Cisco_Firepower_NGIPS_Virtual_Patch-版本-内部版本.sh.REL.tar

此文档是否有帮助?

Feedback反馈

联系我们