部署：使用 FTD 的 Firepower 1010

受影响的版本：版本 6.4.0 至 6.4.0.5

相关漏洞： CSCvq81354

我们强烈建议您不要在运行 FTD version 6.4.0 to version 6.4.0.5 的 Firepower 1010 设备上配置 etherchannel。（请注意，此型号不支持版本 6.4.0.1 和 6.4.0.2。）

由于内部流量散列问题，Firepower 1010 设备上的某些 Etherchannel 可能会将某些出口流量引入黑洞。散列计算基于源/目标 IP 地址，因此对于给定的源/目标 IP 而言，行为将一致。也就是说，某些流量会正常工作，有些流量会一直失败。

我们将在即将推出的 6.4.0.x 补丁中修复此问题。它也已在版本 6.5.0 中修复。

部署：使用 FTD 的 Firepower 4100/9300

升级自：版本 6.3.0 至 6.4.0.x

直接到：版本 6.3.0.1 到版本 6.5.0

最常见的情况是在主要升级期间，但在修补过程中，配置了容器实例的 FTD 设备可能会在预检查阶段失败，并出现错误磁盘空间不足的警告。

如果发生这种情况，您可以尝试释放更多的磁盘空间。如果不起作用，请联系思科 TAC。

部署：7000/8000 系列、ASA FirePOWER 和 NGIPSv

相关漏洞：CSCvp42398

升级自：版本 6.2.3 至 6.3.0.x

直接至：仅版本 6.4.0

以下情况不能将 NGIPS 设备升级到版本 6.4.0：

• 设备之前运行版本 6.2.3.12，然后

• 您卸载了版本 6.2.3.12 的修补程序，或者已升级到版本 6.3.0.x。

  这也包括您卸载版本 6.2.3.12 的修补程序并升级到版本 6.3.0.x 的情况。

如果这是您目前的情况，请联系思科 TAC。

部署：Firepower 2100 系列、Firepower 4100/9300 机箱

升级自：版本 6.1.0 至 6.3.x

直接至：版本 6.4.0+

部署：使用 FTD 的 Firepower 4100/9300

升级自：版本 6.1.x

直接至：仅版本 6.4.0

与其他 FMC 管理的设备不同，您无法在 Firepower 4100/9300 系列设备上直接将 Firepower 威胁防御软件从版本 6.1 升级到 6.4。这是因为 FXOS 2.6.1 与 FTD 版本 6.1 不兼容，但对版本 6.4 而言必要。

我们建议将 FXOS 2.3.1 上的版本 6.2.3 作为中间版本，并记住先升级 FXOS。不要将版本 6.3 用作中间版本；请参阅 Firepower 发行说明（版本 6.3.0）中的指导原则和警告。

部署：任意

升级自：版本 6.2.3.x

直接至：版本 6.3.0+

版本 6.3.0 新功能 - 您可以通过 GUI 为 URL 过滤缓存配置超时值。要尽量减少与过时数据匹配的 URL 实例，可以将缓存中的 URL 设置为过期。如果您与思科 TAC 合作为 URL 过滤缓存指定超时值，则升级可能会更改该值。

升级完成后：

• FMC：选择 System > Integration，单击 Cisco CSI 选项卡，评估 Cached URLs Expire 设置。

• FDM：选择 System Settings > Traffic Settings > URL Filtering Preferences，评估 URL Time to Live 设置。

部署：FMC、7000/8000 系列设备、NGIPSv

升级自：版本 6.1.0 至 6.1.0.6、版本 6.2.0 至 6.2.0.6、版本 6.2.1、版本 6.2.2 至 6.2.2.4，以及版本 6.2.3 至 6.2.3.4

直接至：版本 6.3.0+

如果是从上方列出的任一 Firepower 版本升级，无法对列出的型号运行准备情况检查。发生这种情况的原因是，准备情况检查过程与较新的升级包不兼容。

部署： Firepower 威胁防御为远程访问 VPN 配置

升级自：版本 6.2.x

直接至：版本 6.3+

版本 6.3 更改了隐藏选项的默认设置，sysopt connection permit-vpn 。升级可能导致远程访问 VPN 停止传送流量。如果发生这种情况，请采用以下任一方法：

• 创建配置 sysopt connection permit-vpn 命令的 FlexConfig 对象。此命令的新默认值是 no sysopt connection permit-vpn 。

  外部用户无法在远程接入 VPN 地址池中伪造 IP 地址，因此这种允许 VPN 流量的方法较为安全。但它的缺点是，VPN 流量得不到检测，也就是说不会对流量应用入侵和文件保护、URL 过滤或其他高级功能。

• 创建访问控制规则以允许来自远程接入 VPN 地址池的连接。

  此方法可确保对 VPN 流量进行检测，并将高级服务应用于连接。但它的缺点是，有可能造成外部用户伪造 IP 地址，进而获得访问内部网络的权限。

部署： Firepower 管理中心型号 FMC 1000、2500 和 4500

升级自：版本 6.2.0 至 6.2.3.7

直接至：版本 6.3.0+

在将 FMC1000、MC2500 或 MC4500 从版本 6.2.0 到 6.2.3.7 升级到版本 6.3.0+ 之前，必须应用预安装修复程序。或者，您也可以升级到版本 6.2.3.8+。请勿将此修复程序应用于其他 FMC 型号或版本。

此修复程序（或补丁）将 RAID 控制器的固件更新为 24.12.1-0411 版本。如果没有更新固件，则运行版本 6.3.0+ 的受影响的升级版 FMC 可能会遇到性能问题。

注	在某些情况下，即使您运行的是受影响的版本，您的固件也可能已是最新的。在这种情况下，修复程序失败，显示错误：映像文件的版本比控制器上的版本低。控制器未刷新。如果您看到此消息，则无需此修复程序即可安全地进行升级。 要在应用修复程序之前仔细检查固件版本，请访问 FMC 上的 Linux shell （也称为专家模式）并运行以下命令： sudo storcli/c0 show | Grep "FW version"。

此修复程序可从思科支持和下载站点获取，与您主要版本的升级和安装包在同一位置。通过常规升级页面 (System > Updates) 应用热补丁。

部署：任意

升级自：版本 6.1 至 6.2.3.x

直接至：版本 6.3+

为提高安全性，在版本 6.3 中，我们更新了支持的密码和加密算法列表，以实现安全的 SSH 访问。如果由于密码错误导致 SSH 客户端无法与 Firepower 设备连接，请将客户端更新到最新版本。

部署：Firepower 管理中心

升级自：版本 6.1 至 6.2.3.x

直接至：版本 6.3+

在版本 6.3 中，安全情报配置支持应用程序检测和识别。如果在当前部署中禁用了发现，升级进程可能会再次启用它。在不需要的情况下禁用发现（例如，在仅限 IPS 的部署中）可以提高性能。

要禁用发现，您必须：

• 从网络发现策略中删除所有规则。

• 仅使用简单的、基于网络的条件执行访问控制：区域、IP 地址、VLAN 标记和端口。不要执行任何类型的应用程序、用户、URL 或地理位置控制。

• （全新）通过从访问控制策略的安全情报配置中删除所有白名单和黑名单（包括默认全局名单）来禁用基于网络和 URL 的安全情报。

• （全新）通过删除或禁用关联的 DNS 策略中的所有规则（包括 DNS 的默认全局白名单和 DNS 规则的全局黑名单）来禁用基于 DNS 的安全情报。

部署：任意

升级自：版本 6.1.0 至 6.2.3.x，使用 VDB 299+

直接至：版本 6.3.0+

如果在使用漏洞数据库 (VDB) 299 或更高版本时升级，则升级过程会出现问题，使得您在升级后无法使用 CIP 检测。这包括从 2018 年 6 月到现在发布的每个 VDB，甚至是最新的 VDB。

尽管我们一直建议您在升级后将漏洞数据库 (VDB) 更新到最新版本，但这一做法在这种情况下尤为重要。

要检查您是否受到此问题的影响，请尝试使用基于 CIP 的应用程序条件配置访问控制规则。如果在规则编辑器中找不到任何 CIP 应用程序，请手动更新 VDB。

部署：任意

升级自：版本 6.1 至 6.2.3.x

直接至：版本 6.3.0+

对于入侵变量集中的网络变量，排除的任何 IP 地址必须为包含的 IP 地址的子集。此表显示了有效和无效配置的示例。

在版本 6.3.0 之前，您可以使用此类无效配置成功保存网络变量。现在，这些配置会阻止部署并显示错误：变量集有无效的排除值。

如果发生这种情况，识别并编辑错误配置的变量集，然后重新部署。请注意，您可能必须编辑变量集引用的网络对象和组。

部署：Firepower 管理中心

升级自：版本 6.1.0 至 6.2.3.x

直接至：版本 6.3.0+

版本 6.3.0 更改并集中了系统通过系统日志记录连接和入侵事件的方式。您可以在访问控制策略中的新 Logging 选项卡上访问这些设置。

升级不会更改连接事件日志记录的现有设置。但是，您可能会突然开始通过系统日志收到预期外的入侵事件。这是因为在升级到版本 6.3.0+ 之后，入侵策略会将系统日志事件发送到新 Logging 选项卡上的目标。（在版本 6.3.0 之前，您可以在入侵策略中配置系统日志警报，以将事件发送到受管设备本身 [而非外部主机] 的系统日志。）

此外，NGIPS 设备（7000/8000 系列、ASA FirePOWER、NGIPSv）发送的消息现在使用 RFC 5425 中指定的 ISO 8601 时间戳格式。

部署： Firepower 管理中心

升级自：版本 6.1.0 至 6.2.2.x

直接至：版本 6.2.3 至 6.4.0

版本 6.2.3 限制您可以在报告部分中使用或包括的结果数，如下所示。对于表格和详细信息视图，您可以在 PDF 报告中包括比 HTML/CSV 报告少的记录。

如果在升级 Firepower 管理中心之前，报告模板中的某个部分指定的结果数大于 HTML/CSV 最大值，则升级进程会将该设置降至新的最大值。

对于生成 PDF 报告的报告模板，如果在任何模板部分中超过 PDF 限制，升级过程会将输出格式更改为 HTML。要继续生成 PDF，请将结果限制降低到 PDF 最大值。如果您在升级后执行此操作，则将输出格式设置回 PDF。

部署： Firepower 威胁防御群集

升级自：版本 6.1.x

直接至：版本 6.2.3 至 6.4.0

Firepower 威胁防御版本 6.1.x 群集不支持站点间群集（您可以从版本 6.2.0 开始使用 FlexConfig 配置站点间功能）。

如果在 FXOS 2.1.1 中部署或重新部署了版本 6.1.x 群集，并且输入了（不受支持的）站点 ID 值，请在升级之前删除 FXOS 中每个设备上的站点 ID（设置为 0）。否则，升级后设备将无法重新加入群集。

如果已经升级，请从每个设备中删除站点 ID，然后重新建立群集。要查看或更改站点 ID，请参阅《思科 FXOS CLI 配置指南》。

部署：FMC

升级自：6.1.x

直接至： 6.2.0+

版本 6.2.0+ 中的新访问控制策略默认从最新的入侵规则更新 (SRU) 获取其基于延迟的性能设置。此行为受 Apply Settings From 选项控制。要配置此选项，请编辑或创建访问控制策略，单击 Advanced，然后编辑基于延迟的性能设置。

升级到版本 6.2.0+ 后，系统将根据当前（版本 6.1.x）配置设置新选项。如果您的当前设置是：

• 默认：新选项设置为 Installed Rule Update。在升级后部署时，系统将使用最新 SRU 中基于延迟的性能设置。流量处理可能会发生变化，具体取决于最新 SRU 指定的内容。

• 自定义：新选项设置为 Custom。系统保留其当前的性能设置。由于此选项，行为应该不会有任何更改。

我们建议您在升级之前查看配置。在版本 6.1.x FMC Web 界面中，如前所述查看策略的基于延迟的性能设置，并查看 Revert to Defaults 按钮是否变暗。如果按钮变暗，表示您使用的是默认设置。如果其处于活动状态，则表示您已配置自定义设置。

部署：使用 FMC 的 FTD

升级自：版本 6.1.x

直接至：版本 6.2+

在 6.2 版本中，Snort 故障时自动打开的配置将取代 FMC 管理的 Firepower 威胁防御设备上的故障保护选项。虽然故障保护允许您在 Snort 忙碌时丢弃流量，但当 Snort 关闭时，流量会自动通过而不会接受检查。借助 Snort 故障时自动打开功能，您可以丢弃此流量。

升级 FTD 设备时，其新的 Snort 故障时自动打开设置取决于旧的故障保护设置，如下所示。虽然新配置不应更改流量处理，我们仍建议您在升级之前考虑是启用还是禁用故障保护。

请注意，Snort 故障时自动打开需要在设备上安装版本 6.2。如果您管理的是版本 6.1.x 的设备，FMC Web 界面会显示故障保护选项。