硬件和虚拟硬件

FMC型号 MC1600、2600 和 4600

我们推出了 Firepower 管理中心型号 MC1600、2600 和 4600。请注意，这些型号也支持 6.3.x。

FMCv（位于 Azure 上）

我们将 Firepower 管理中心虚拟引入到 Microsoft Azure 上。

FTD（位于 Firepower 1010、1120 和 1140 上）

我们推出了 Firepower 1010、1120 和 1140。

FTD（位于 Firepower 4115、4125 和 4145 上）

我们推出了 Firepower 4115、4125 和 4145。

Firepower 9300 SM-40、SM-48 和 SM-56 支持

我们推出了三个安全模块：SM-40、SM-48 和 SM-56。

ASA 和 FTD（位于同一 Firepower 9300 上）

您现在可以在同一个 Firepower 9300 上同时部署 ASA 和 FTD逻辑设备。需要 FXOS 2.6.1。

许可

新许可功能，适用于 ISA 3000

对于 ASA FirePOWER 和 FTD部署，ISA 3000 现支持 URL 过滤和恶意软件许可证及其相关功能。

仅对于 FTD，ISA 3000 现在还支持为经过核准的客户预留特定许可证。

支持的平台： ISA 3000

Firepower 威胁防御 路由

OSPFv2 路由的轮换式（密钥链）身份验证

现在，您可以在配置 OSPFv2 路由时使用轮换式（密钥链）身份验证。

新增/修改的屏幕：

• Objects > Object Management > Key Chain 对象

• Devices > Device Management > edit device > Routing 选项卡 > OSPF settings > Interface 选项卡 > add/edit interface > Authentication 选项

• Devices > Device Management > edit device > Routing 选项卡 > OSPF settings > Area 选项卡 > add/edit area > Virtual Link 子选项卡 > add/edit virtual link > Authentication 选项

支持的平台： FTD

Firepower 威胁防御 加密和 VPN

RA VPN：辅助身份验证

辅助身份验证（也称为双重身份验证）通过使用两个不同的身份验证服务器，为 RA VPN 连接额外添加了一层安全性。启用辅助身份验证后，AnyConnect VPN 用户必须提供两组凭证才能登录 VPN 网关。

RA VPN 支持仅 AAA 和客户端证书以及 AAA 身份验证方法的辅助身份验证。

新增/经修改的屏幕：Devices > VPN > Remote Access > add/edit configuration > Connection Profile > AAA 区域

支持的平台： FTD

站点到站点 VPN：外联网终端的动态 IP 地址

您现在可以配置站点到站点 VPN 以使用外联网终端的动态 IP 地址。在中心辐射型部署中，可以将集线器用作外联网终端。

新增/经修改的屏幕：Devices > VPN > Site To Site > add/edit FTD VPN topology > Endpoints 选项卡 > add endpoint > IP Address 选项

支持的平台： FTD

站点到站点 VPN：用于点对点拓扑的动态加密映射

您现在可以在点对点以及中心辐射型 VPN 拓扑中使用动态加密映射。全网状拓扑仍不支持动态加密映射。

配置拓扑时需指定加密映射类型。确保同时为拓扑中的对等设备之一指定动态 IP 地址。

新增/经修改的屏幕：Devices > VPN > Site To Site > add/edit FTD VPN topology > IPsec 选项卡 > Crypto Map Type 选项

支持的平台： FTD

TLS 加密加速

SSL 硬件加速已重命名为 TLS 加密加速。根据设备的不同，TLS 加密加速可以在软件或硬件中执行。版本 6.4 升级进程会自动在所有符合条件的设备上启用加速，即使先前已手动禁用该功能也不例外。

在大多数情况下，您无法配置此功能；它会自动启用，您无法禁用它。但是，如果您使用的是 Firepower 4100/9300 机箱的多实例功能，则可以为每个模块/安全引擎的一个容器实例启用 TLS 加密加速。加速对其他容器实例禁用，但对本地实例启用。

Firepower 4100/9300 机箱的新 FXOS CLI 命令：

• show hwCrypto

• config hwCrypto

新增的 FTD CLI 命令：

• show crypto accelerator status （取代 system support ssl-hw-status ）

删除的 FTD CLI 命令：

• system support ssl-hw-accel

• system support ssl-hw-status

支持的平台：Firepower 2100 系列、Firepower 4100/9300 机箱

事件、日志记录和分析

针对文件和恶意软件事件系统日志消息的改进

现在可以通过系统日志从受管设备发送完全限定的文件和恶意软件事件数据。

新增/经修改的屏幕：Policies > Access Control > Access Control > add/edit policy > Logging 选项卡 > File and Malware Settings 区域

支持的平台：任意

按 CVE ID 搜索入侵事件

现在可以搜索由于特定 CVE 漏洞而引起的入侵事件。

新增/经修改的屏幕：Analysis > Search

支持的平台： FMC

系统日志中现包括 IntrusionPolicy 字段

入侵事件系统日志消息现在指定触发事件的入侵策略。

支持的平台：任意

思科威胁响应 (CTR) 集成

思科 Threat Response是一款全新的思科云产品，可帮助您快速检测、调查和响应威胁。通过 CTR，您可以联合来自多个产品（包括 Firepower 威胁防御）的数据来分析事件。有关详细信息，请参阅《Firepower 和思科威胁响应集成指南》。

新增/经修改的屏幕：System > Integration > Cloud Services

支持的平台： FTD

Splunk 集成

Splunk 用户可以使用新的独立 Splunk 应用程序 Cisco Firepower App for Splunk分析事件。可用功能受 Firepower 版本的影响。

支持的平台： FMC

管理

VMware 上的 FTDv 默认为 vmxnet3 接口

创建虚拟设备时，VMware 上的 FTDv 现在默认为 vmxnet3 接口。先前，默认值为 e1000。vmxnet3 设备驱动器和网络处理与 ESXi 虚拟机监控程序集成，因此其使用更少的资源并提供更好的网络性能。

支持的平台：VMware 上的 FTDv

能够在管理接口上禁用重复地址检测 (DAD)

启用 IPv6 后，可以禁用 DAD。您可能希望禁用 DAD，因为使用 DAD 可能会导致拒绝服务攻击。如果禁用此设置，则需要手动检查此接口是否未使用已分配的地址。

新增/经修改的屏幕：System > Configuration > Management Interfaces > Interfaces 区域 > edit interface > IPv6 DAD 复选框

支持的平台：FMC、7000 和 8000 系列

能够在管理接口上禁用 ICMPv6 回应应答和目的地不可达消息

启用 IPv6 后，此时您可以禁用 ICMPv6 回应应答和目的地不可达消息。您可能希望禁用这些数据包以防止潜在的拒绝服务攻击。禁用回应应答数据包意味着无法使用 IPv6 ping 到设备管理接口，以进行测试。

新增/修改的屏幕：

System > Configuration > Management Interfaces > ICMPv6

新增/经修改的命令：

• configure network ipv6 destination-unreachable

• configure network ipv6 echo-reply

支持的平台：FMC（仅限 Web 界面）、受管设备（仅限 CLI）

对 RADIUS 服务器上定义的 FTD用户的 Service-Type 属性的支持

对于 FTDCLI 用户的 RADIUS 身份验证，以往，您须预定义 RADIUS 外部身份验证对象中的用户名，且须手动确保该列表匹配 RADIUS 服务器上定义的用户名。现在，您可以使用 Service-Type 属性在 RADIUS 服务器上定义 CLI 用户，亦可同时定义“基本”和“配置”用户角色。要使用此方法，请务必将外部身份验证对象中的外壳访问过滤器留空。

新增/经修改的屏幕：System > Users > External Authentication 选项卡 > add/edit external authentication object > Shell Access Filter

支持的平台： FTD

查看对象使用情况

现在，您可以通过对象管理器查看使用网络、端口、VLAN 或 URL 对象的策略、设置和其他对象。

新增/经修改的屏幕：Objects > Object Management > choose object type > Find Usage（双筒望远镜）图标

支持的平台： FMC

签名的 SRU、VDB 和 GeoDB 更新（增强的安全性）

因此，Firepower 可以验证您使用的是正确的更新文件，版本 6.4+ 使用签名的入侵规则 (SRU)、漏洞数据库 (VDB) 和地理位置数据库 (GeoDB) 更新。早期版本继续使用未签名的更新。除非您从思科支持和下载站点手动下载更新 - 例如，在物理隔离部署中 - 否则您应该不会察觉到功能上的任何差异。

但是，如果您手动下载并安装 SRU、VDB 和 GeoDB 更新，请确保为当前版本下载正确的软件包。版本 6.4+ 的签名更新文件以“Cisco”（而不是“Sourcefire”）开头，以 .sh.REL.tar（而不是 .sh）结尾：

• SRU：Cisco_Firepower_SRU-日期-内部版本-vrt.sh.REL.tar

• VDB：Cisco_VDB_Fingerprint_Database-4.5.0-版本.sh.REL.tar

• GeoDB：Cisco_GEODB_Update-日期-内部版本.sh.REL.tar

版本 5.x 至 6.3 的更新文件仍然使用旧的命名方案：

• SRU：Sourcefire_Rule_Update-日期-内部版本-vrt.sh

• VDB：Sourcefire_VDB_Fingerprint_Database-4.5.0-版本.sh

• GeoDB：Sourcefire_Geodb_Update-日期-内部版本.sh

我们将同时提供签名和未签名的更新，直到对需要未签名更新的版本的支持结束为止。 不要解压签名的 (.tar) 包。

支持的平台：任意

受管设备的预定远程备份

您现在可以使用 FMC 来预定某些受管设备的远程备份。以前，只有 Firepower 7000/8000 系列设备支持预定备份，且必须使用设备的本地 GUI。

新增/经修改的屏幕：System > Tools > Scheduling > add/edit task > 选择 Job Type: Backup > 选择 Backup Type

支持的平台：FTD物理平台、适用于 VMware 的 FTDv、Firepower 7000/8000 系列

例外：不支持 FTD群集设备或容器实例

监控和故障排除

URL 过滤监控器改进

您可以配置 URL 过滤监控器警报的时间阈值。

新增/经修改的屏幕：System > Health > Policy > add/edit policy > URL Filtering Monitor

支持的平台：任意

访问控制和预过滤规则的命中计数

您现在可以访问您的 FTD 设备上的访问控制和预过滤规则命中计数。

新增/修改的屏幕：

• Policies > Access Control > Access Control > add/edit policy > Analyze Hit Counts

• Policies > Access Control > Prefilter > add/edit policy > Analyze Hit Counts

新增的命令：

• show rule hits

• clear rule hits

• cluster exec show rule hits

• cluster exec clear rule hits

• show cluster rule hits

经修改的命令：

• show failover 现在包含与高可用性对等设备之间的同步命中计数相关的对象静态计数

支持的平台： FTD

基于连接的故障排除

基于连接的故障排除或调试可跨模块提供统一调试，以收集特定连接的相应日志。它还支持最多 7 级的基于级别的调试，并为 lina 和 Snort 日志启用统一的日志收集机制。

新增/经修改的命令：

• clear packet debugs

• debug packet start

• debug packet stop

• show packet debugs

支持的平台： FTD

新的思科成功网络监控功能

新增了以下思科成功网络监控功能：

• CSPA（思科安全数据包分析器）查询信息

• FMC 上启用了上下文交叉启动实例

• TLS/SSL 检查事件

• Snort 重新启动

思科成功网络会将使用情况信息和统计信息发送到思科，这些信息对于为您提供技术支持至关重要。您可以随时选择加入或退出。

支持的平台： FMC

Firepower 管理中心 REST API

新的 REST API 功能

添加了 REST API 对象以支持版本 6.4 的功能：

• cloudeventsconfigs：管理思科威胁响应集成。

• ftddevicecluster：管理机箱群集。

• hitcounts：管理访问控制和预过滤规则的命中计数统计信息。

• keychain：管理配置 OSPFv2 路由时，用于轮换式身份验证的密钥链对象。

• loggingsettings：管理访问控制策略的日志记录设置

支持的平台： FMC

基于 OAS 的 API Explorer

版本 6.4 使用基于 OpenAPI 规范 (OAS) 的 API Explorer。作为 OAS 的一部分，您现在可以使用 CodeGen 生成示例代码。如果愿意，您仍然可以访问旧版 API Explorer。

支持的平台： FMC

性能

Snort 重新启动改进

在版本 6.4 之前，Snort 重新启动期间，系统会丢弃与“不解密”SSL 规则或默认策略操作匹配的加密连接。现在，只要您没有禁用大流量负载分流或 Snort 保留连接，已路由/透明流量不经检查即会通过而不会被丢弃。

支持的平台：Firepower 4100/9300

选定 IPS 流量的性能改进

出口优化是针对所选 IPS 流量的性能特征。此功能默认在所有 FTD 平台上启用。

版本 6.4 升级进程可在符合条件的设备上启用出口优化。有关详细信息，请参阅《思科 Firepower 威胁防御命令参考》。要排查与出口优化相关的问题，请联系思科 TAC。

支持的平台： FTD

新增/经修改的命令：

• asp inspect-dp egress optimization

• show asp inspect-dp egress optimization

• clear asp inspect-dp egress optimization

• show conn state egress_optimization

更快的 SNMP 事件记录

将入侵和连接事件发送到外部 SNMP 陷阱服务器时的性能改进。

支持的平台：任意

更快的部署

设备通信和部署框架的改进。

支持的平台： FTD

更快的升级

事件数据库改进。

支持的平台：任意

Firepower 1000 系列设备配置。

您可以在 Firepower 1000 系列设备上使用 Firepower 设备管理器配置 Firepower 威胁防御。

请注意，您可以将以太网供电 (PoE) 端口当做常规以太网端口来进行配置和使用，但您不能启用或配置任何 PoE 相关的属性。

适用于 ISA 3000 的硬件旁路。

现在，您可以在 Device > Interfaces 页面上配置适用于 ISA 3000 的硬件旁路。在版本 6.3 中，您需要使用 FlexConfig 配置硬件旁路。如果您正在使用 FlexConfig，请在 Interfaces 页面上重新配置并从 FlexConfig 中删除硬件旁路命令。但是，我们仍建议保留 FlexConfig 中用于禁用 TCP 序列号随机化的部分。

能够从 FDM CLI 控制台重新启动和关闭系统。

现在，可以通过 FDM 中的 CLI 控制台发出 reboot 和 shutdown 命令。先前，需要打开与设备的单独 SSH 会话，以重新启动或关闭系统。要使用这些命令，必须具有管理员权限。

您现在可以创建指定一系列 IPv4 或 IPv6 地址的网络对象和包括其他网络组（即，嵌套组）的网络组对象。

修改了网络对象和网络组对象 Add/Edit 对话框以增加这些功能，并且修改了安全策略以允许使用这些对象，具体取决于相应类型的地址规范是否适用于策略情景。

您可以在对象和规则中执行全文本搜索。通过搜索包含大量条目的策略或对象列表，您可以找到规则或对象中包含搜索字符串的所有条目。

在具备规则的所有策略中以及 Objects 列表中的所有页面上都添加了一个搜索对话框。此外，您还可以使用 API 内受支持对象 GET 调用中的filter=fts~搜索字符串 选项来根据全文本搜索检索条目。

您可以使用 GET/api/版本 (ApiVersions) 方法获取设备支持的 API 版本列表。您可以在 API 客户端上使用任何受支持版本支持的命令和语法来与设备通信和配置设备。

FTDREST API 版本 3 (v3)。

软件版本 6.4 的 FTDREST API 已升级到第 3 版。必须将 API URL 中的第 1 版/第 2 版替换为第 3 版。第 3 版 API 包括涵盖软件版本 6.4 中所有新增功能的许多新资源。请重新评估所有现有的调用，因为正在使用的资源型号可能已发生更改。要打开 API Explorer（您可以在其中查看资源），登录后请将 Firepower 设备管理器 URL 的末尾改为 /#/api-explorer。

您现在可以查看访问控制规则的命中计数。命中计数表示连接与规则匹配的频率。

更新了访问控制策略，在其中加入了命中计数信息。在 FTD API 中的 GET Access Policy Rules 资源中添加了 HitCounts 资源以及 includeHitCounts 和 filter=fetchZeroHitCounts 选项。

您现在可以配置站点间 VPN 连接，从而使用证书而非预共享密钥来进行对等体身份验证。您还可以配置其远程对等体包含未知（动态）IP 地址的连接。在站点间 VPN 向导和 IKEv1 策略对象中新增了一些选项。

您现在可以使用 RADIUS 服务器对远程接入 VPN (RA VPN) 用户进行身份验证、授权和记帐操作 。您还可以配置身份验证更改 (CoA)（也称为动态授权），以便在使用思科 ISE RADIUS 服务器时，可以在身份验证之后更改用户的授权。

在 RADIUS 服务器和服务器组对象中添加一些属性，并使用户能够选择 RA VPN 连接配置文件中的 RADIUS 服务器组。

您可以配置多个连接配置文件，并创建与这些配置文件一起使用的组策略。

调整了 Device > Remote Access VPN 页面，现在连接配置文件和组策略分别位于单独的页面上，此外还更新了 RA VPN 连接向导，以便允许用户选择组策略。此前需在向导中配置的一些项目现在可以在组策略中进行配置。

您可以使用证书进行用户身份验证，并配置辅助身份验证源，以便用户在建立连接之前必须进行两次身份验证。您还可以配置双因素身份验证，使用 RSA 令牌或 Duo 密码作为第二个因素。

更新了 RA VPN 连接向导，以支持配置这些新增选项。

您现在可以选择多个网络对象来指定子网，从而配置拥有多个地址范围的地址池。此外，您还可以在 DHCP 服务器中配置地址池，并使用此服务器为 RA VPN 客户端提供地址。如果您使用 RADIUS 进行授权，您也可以在 RADIUS 服务器中配置地址池。

更新了 RA VPN 连接向导，以支持配置这些新增选项。您可以选择在组策略中而非连接配置文件中配置地址池。

您现在可以在单个领域中添加多达 10 个冗余 Active Directory (AD) 服务器。您还可以创建多个领域，并删除不再需要的领域。此外，单个领域中下载用户的数量限制已从此前版本的 2,000 增加到 50,000。

更新了 Objects > Identity Sources 页面，以支持多个领域和服务器。您可以在访问控制用户标准和 SSL 解密规则中选择领域，从而对此领域中的所有用户应用此规则。您还可以在身份规则和 RA VPN 连接配置文件中选择领域。

在将思科身份服务引擎 (ISE) 配置为被动身份验证的身份源时，如果具有 ISE 高可用性设置，现在可以配置辅助 ISE 服务器。

在 ISE 身份对象中添加了辅助服务器的属性。

您可以配置要接收文件/恶意软件事件的外部系统日志服务器，这些事件是由访问控制规则配置的文件策略生成的。文件事件使用的消息 ID 为 430004，恶意软件事件则为 430005。

在 Device > System Settings > Logging Settings 页面中添加了文件/恶意软件系统日志服务器选项。

您可以将内部缓冲区配置为系统日志记录的目的地。此外，您可以创建事件日志过滤器，来自定义需要分别为系统日志服务器和内部缓冲区日志记录目的地生成的消息。

在 Objects 页面中添加了 Event Log Filter 对象，并在 Device > System Settings > Logging Settings 页面添加了使用此对象的功能。Logging Settings 页面也添加了内部缓冲区选项。

思科威胁响应支持。

您可以配置系统将入侵事件发送到思科威胁响应基于云的应用。您可以使用思科威胁响应分析入侵事件。

在 Device > System Settings > Cloud Services 页面添加了思科威胁响应。