指引和警告: 版本 6.5.0
此核对表中包含为版本 6.5.0新增的重要升级指引和警告。您还应查看以前发布的指引和警告和一般指引和警告。
| ✓ | 指南 | 平台 | 升级自 | 直接至 |
|---|---|---|---|---|
|
Firepower 1000 系列 |
6.4.0.x |
6.5.0+ |
||
|
FMC |
6.2.3 至 6.4.0. x |
仅限 6.5.0 |
||
|
任意 |
6.2.3 至 6.4.0. x |
仅限 6.5.0 |
||
|
任意 |
6.2.3 至 6.4.0. x |
6.5.0+ |
||
|
FMC |
6.2.3 至 6.4.0. x |
6.5.0+ |
||
|
使用 FDM 的 FTD |
6.2.3 至 6.4.0. x |
6.5.0+ |
||
|
任意 |
6.2.3 至 6.4.0. x |
6.5.0+ |
Firepower 1000 系列设备需要升级后的电源周期
部署:Firepower 1000 系列
升级自:版本 6.4.0.x
直接至:版本 6.5.0+
版本 6.5.0 引入了适用于 Firepower 1000/2100 和 Firepower 4100/9300 系列设备的 FXOS CLI‘安全擦除’功能。
对于 Firepower 1000 系列设备,您必须在升级到版本 6.5.0+ 后重新启动设备,此功能才能正常工作。自动重启不足。其他支持的设备不需要重启电源。
使用版本 6.5.0-120 升级多域 FMC
部署:FMC
升级自:版本 6.2.3 至 6.4.x
直接至:仅版本 6.5.0
相关漏洞: CSCvr47499
如果您的部署使用域(多租户),则 FMC 升级到版本 6.5.0-115(发布于 2019 年 9 月 26 日)将失败,如果在子域中,访问控制策略使用也在子域中创建的自定义网络分析策略作为默认 NAP。
如果出现以下情况,升级不会失败:
-
在子域中,访问控制策略使用在全局域中创建的自定义网络分析策略作为默认 NAP。
-
在子域中,访问控制策略在 NAP 规则中使用自定义 NAP。
在多域部署中,请使用版本 6.5.0-120(发布于 2019 年 10 月 8 日)升级软件包。
 注 |
如果您错误地使用了版本 6.5.0-115,并且升级失败 ,请联系思科 TAC以了解解决问题的步骤并恢复升级。 |
升级失败:具有不同步 NTP 的设备
部署:任意
升级自:版本 6.2.3 至 6.4.x
直接至:仅版本 6.5.0
在升级到版本 6.5.0 之前,必须确保 Firepower 设备与您用于提供时间的任何 NTP 服务器同步。不同步可能会导致升级失败。
在 FMC 部署中,如果时钟不同步超过 10 秒,时间同步状态运行状况模块会发出警报,但您仍应手动进行检查。
要检查时间,请执行以下操作:
-
FMC:选择系统 > 配置 > 时间。
-
设备:使用show time CLI 命令。
升级会将部署分配给北美洲思科云
部署:任意
升级自:版本 6.2.3 至 6.4.x
直接至:版本 6.5.0+
我们现在推出了思科云服务区域。您的部署的区域云用于以下功能:思科防御协调器、思科威胁响应、思科成功网络网络和思科支持诊断功能。
对于 FMC 部署,默认情况下,升级会将您分配给美国(北美)区域。您可以在系统 > 集成 > 云服务页面上更改您的区域。
对于带 FDM 的 FTD,您可以在使用智能许可注册时选择您所在的区域。如果升级已注册的设备,升级会将您分配给美国(北美)区域。要更改区域,必须取消注册并向 思科智能软件管理器(CSSM) 注册。
思科 Threat Intelligence Director (TID) 行为更改
部署:FMC
升级自:版本 6.2.3 至 6.4.0.x
直接至:版本 6.5.0+
在版本 6.5.0+ 中,TID 阻止/监控可观察对象操作的优先级现在高于使用安全情报黑名单的阻止/监控。
如果配置了阻止TID 可观察对象操作,即使流量也与设置为阻止的安全情报黑名单匹配:
-
连接事件中的安全情报类别是 TID 阻止的变体。
-
系统会生成一个 TID 事件,其中包含被阻止的操作。
如果您配置监控TID 可观察对象操作,即使流量与设置为监控的安全情报黑名单匹配也是如此:
-
连接事件中的安全情报类别是TID 监控器的一种变体
-
系统会生成一个 TID 事件,其中包含被监控的操作。
以前,在上述每种情况下,系统通过分析报告类别,但未生成 TID 事件。
注 |
系统仍会像以前一样有效地处理流量。之前被阻止的流量仍被阻止,并且受监控的流量仍受到监控。这只会更改哪个组件获得‘积分’。您可能还会看到生成了更多 TID 事件。 |
有关同时启用安全情报和 TID 时系统行为的完整信息,请参阅《Firepower 管理中心配置指南》中的 TID-Firepower 管理中心操作优先级信息。
FTD/FDM 升级期间删除历史数据
部署:Firepower 设备管理器
升级自:版本 6.2.3 至 6.4.x
直接至:6.5.0+
由于数据库架构更改,升级期间将删除所有历史报告数据。升级后,无法查询历史数据,也无法在仪表板中查看历史数据。
新 URL 类别和信誉
部署:任意
升级自:版本 6.2.3 至 6.4.0.x
直接至:版本 6.5.0+
思科 Talos 情报小组 (Talos) 引入了新的类别,并对信誉进行了重命名,以对 URL 进行分类和过滤。有关新 URL 类别的说明,请参阅 Talos 情报类别站点。
此外,新增的是未分类和无信誉 URL 的概念,但规则配置选项保持不变:
-
未分类的 URL 可能具有可疑的、中立的、有利的或可信的信誉。
您可以过滤未分类的 URL,但不能通过信誉进一步限制。这些规则将匹配所有未分类的 URL,而不考虑信誉。
请注意,没有任何类别的不受信任规则。否则,系统会将具有不可信信誉的未分类 URL 自动分配给新的恶意站点威胁类别。
-
无信誉 URL 可以属于任何类别。
不能过滤无信誉 URL。规则编辑器中没有“无信誉”选项。但是,您可以使用任何信誉过滤 URL,包括无信誉 URL。这些 URL 也必须按类别进行约束。没有实用程序遵循任意/任意规则。
下表总结了升级的变化。尽管它们是为最小影响而设计的,但不会阻止对大多数客户进行升级后部署,但我们强烈建议您查看这些版本说明和当前的 URL 过滤配置。仔细的规划和准备可以帮助您避免失误,并减少升级后的故障排除时间。
| 变化 | 详细信息 |
|---|---|
|
修改 URL 规则类别。 |
升级会修改 URL 规则以使用新类别集中最接近的等效项,位于以下策略中:
这些更改可能会创建冗余或抢占规则,这会降低性能。如果您的配置包括合并的类别,则您可能会遇到允许或阻止的 URL 有细微更改的情况。 有关类别更改的详细列表,请参阅URL 类别更改。 |
|
重命名 URL 规则信誉。 |
升级会修改 URL 规则以使用新的信誉名称:
|
|
清除 URL 缓存。 |
升级会清除 URL 缓存,其中包含系统先前在云中查找的结果。对于不在本地数据集中的 URL,您的用户可能会暂时遇到访问时间稍长的问题。 |
|
标示“遗留”事件。 |
对于已经记录的事件,升级会将任何关联的 URL 类别和信誉信息标示为遗留。随着时间的推移,这些遗留传统事件将逐渐退出数据库。 |
用于 URL 类别和信誉的升级前操作
在升级之前,请执行以下操作。
| 操作 | 详细信息 | ||
|---|---|---|---|
|
请确保您的设备可以访问 Talos 资源。 |
升级后,系统必须能够与以下 Cisco 资源进行通信:
云查询服务还使用以下 IP 地址块:
|
||
|
确定潜在的规则问题。 |
了解即将进行的更改。检查您当前的 URL 过滤配置,并确定您需要执行的升级后操作(请参阅下一部分)。
在 FMC 部署中,我们建议您生成一份访问控制策略报告。它会详述策略当前保存的配置,包括访问控制规则以及从属策略(例如 SSL)中的规则。对于每个 URL 规则,您可以查看当前类别、信誉和关联的规则操作。在 FMC 上,选择 ,然后单击相应策略旁边的报告图标 ( |
)。
URL 类别和声誉的升级后操作
升级后,您应重新检查 URL 过滤配置,并尽快采取以下操作。根据部署类型和升级所做的更改,某些(但不是全部)问题可能会在 GUI 中进行标记。例如,在 FMC/FDM 上的访问控制策略中,您可以点击显示警告(FMC)或显示问题规则(FDM)。
| 操作 | 详细信息 |
|---|---|
|
从规则中删除弃用类别。Required. 列表: 弃用的类别。 |
升级不会修改使用弃用类别的 URL 规则。使用它们的规则将阻止部署。 在 FMC 上,这些规则会被标记。 |
|
创建或修改规则以包含新类别。 列表:新范畴。 |
大多数新类别可识别威胁。强烈建议您使用它们。 在 FMC 上,此升级后不会标记这些新类别,但 Talos 可能会在将来添加其他类别。发生这种情况时,会对新类别进行标记。 |
|
评估由于合并类别而更改的规则。 列表:合并的类别。 |
包含任何受影响类别的每个规则现在都包含所有受影响的类别。如果原始类别与不同的信誉相关联,则新规则与更广泛、更具包容性的信誉相关联。要像以前一样过滤 URL,可能需要修改或删除某些配置;请参阅含合并 URL 类别的规则的指南。 根据您的平台处理规则警告的变化和方式,可能会对更改进行标记。例如,FMC 会标记完全冗余和完全抢占的规则,但不会标记具有部分重叠的规则。 |
|
评估由于划分类别而更改的规则。 列表:拆分类别。 |
升级会将 URL 规则中的每个旧类别替换为映射到旧类别的所有新类别。这不会更改过滤 URL 的方式,但可以修改受影响的规则以利用新粒度。 这些更改不会被标记。 |
|
了解哪些类别经重命名,哪些无更改。 |
虽然不需要采取任何措施,但您应该了解这些更改。 这些更改不会被标记。 |
|
评估如何处理未分类和无信誉的 URL。 |
尽管现在可能会存在未分类的和无信誉的 URL,但仍无法按信誉过滤未分类的 URL,也无法过滤无信誉的 URL。 请确保按未分类的类别或任何信誉过滤的规则按预期运行。 |
含合并 URL 类别的规则的指南
| 指南 | 详细信息 |
|---|---|
|
规则顺序决定与流量匹配的规则 |
在考虑包含相同类别的规则时,请记住流量与列表中包含条件的第一条规则匹配。 |
|
同一规则中的类别与不同规则中的类别 |
如果是合并一个规则中的类别,结果将合并到规则的单个类别中。例如,如果类别 A 和类别 B 合并为类别 AB,并且您有一个同时具有类别 A 和类别 B 的规则,则合并后该规则只有一个类别,即类别 AB。 合并不同规则中的类别将导致合并后每个规则中具有相同类别的单独规则。例如,如果类别 A 和类别 B 合并为类别 AB,并且您有包含类别 A 的规则 1 和包含类别 B 的规则 2,则合并后规则 1 和规则 2 将各自包含类别 AB。您选择如何解决此问题取决于规则顺序、与规则关联的操作和信誉级别、规则中包含的其他 URL 类别,以及规则中包含的非 URL 条件。 |
|
关联操作 |
如果不同规则中合并的类别与不同操作相关联,那么在合并之后,您可能有两个或更多规则对同一类别具有不同的操作。 |
|
关联的信誉级别 |
如果合并之前,单个规则包含与不同信誉级别关联的类别,则合并的类别将与更具包容性的信誉级别关联。例如,如果类别 A 在特定规则中与任何信誉关联,类别 B 在该规则中与信誉级别 3(具有安全风险的良性站点)关联,则合并后,该规则中的类别 AB 将与任何信誉关联。 |
|
重复及冗余的类别和规则 |
合并后,不同的规则可能具有与不同操作和信誉级别关联的相同类别。 冗余规则可能不是完全重复的,但如果规则序列中有另一个更早的规则与之匹配,则它们可能不再匹配流量。例如,如果您将规则 1 与适用于任何信誉的类别 A 预先合并,将规则 2 与仅适用于信誉 1-3 的类别 B 预先合并,则合并后,规则 1 和规则 2 都将为类别 AB,但如果规则 1 在规则序列中处于靠前的位置,规则 2 永远不会匹配。 在 FMC 上,具有相同类别和信誉的规则将显示警告。但是,这些警告不会指示包含相同类别但信誉不同的规则。 警告:在确定如何解决重复或冗余类别时,考虑规则中的所有条件。 |
|
规则中的其他 URL 类别 |
含合并 URL 的规则还可能包含其他 URL 类别。因此,如果在合并后特定类别重复,可能需要修改而不是删除这些规则。 |
|
规则中的非 URL 条件 |
具有合并 URL 类别的规则还可以包括其他规则条件,例如应用条件。因此,如果在合并后特定类别重复,可能需要修改而不是删除这些规则。 |
下表中的示例使用类别 A 和类别 B,现在合并到类别 AB 中。在两个规则示例中,规则 1 位于规则 2 之前。
| 场景 | 升级前 | 升级后 |
|---|---|---|
|
同一规则中的合并类别 |
规则 1 有类别 A 和类别 B。 |
规则 1 有类别 AB。 |
|
不同规则中的合并类别 |
规则 1 有类别 A。 规则 2 有类别 B。 |
规则 1 有类别 AB。 规则 2 有类别 AB。 具体结果因列表中规则的序列、信誉级别和关联操作而异。在确定如何解决任何冗余时,还应考虑规则中的所有其他条件。 |
|
不同规则中的合并类别具有不同的操作 (信誉相同) |
规则 1 将类别 A 设置为允许。 规则 2 将类别 B 设置为阻止。 (信誉相同) |
规则 1 将类别 AB 设置为允许。 规则 2 将类别 AB 设置为阻止。 规则 1 将匹配此类别的所有流量。 规则 2 将永远不会匹配流量;如果您在合并后显示警告,其会显示警告指示符,因为类别和信誉都相同。 |
|
同一规则中的合并类别具有不同的信誉级别 |
规则 1 包括: 含任何信誉的类别 A 含信誉 1-3 的类别 B |
规则 1 包括含任何信誉的类别 AB。 |
|
不同规则中的合并类别具有不同的信誉级别 |
规则 1 包括含任何信誉的类别 A。 规则 2 包括含信誉 1-3 的类别 B。 |
规则 1 包括含任何信誉的类别 AB。 规则 2 包括含信誉 1-3 的类别 AB。 规则 1 将匹配此类别的所有流量。 规则 2 永远不会匹配流量,但由于信誉不同,您不会看到警告指示符。 |
URL 类别更改
使用此表确定 URL 类别的更改方式。
| 旧类别 | 变化 | 旧类别 | 变化 | |
|---|---|---|---|---|
|
堕胎 |
军事 |
|||
|
滥用药物 |
机动车 |
|||
|
成人和色情 |
音乐 |
|||
|
酒精和烟草 |
新闻与媒体 |
|||
|
僵尸网络 |
裸体 |
|||
|
商业与经济 |
在线贺卡 |
|||
|
作弊程序 |
打开 HTTP 代理 |
|||
|
计算机和互联网信息 |
寄放域 |
|||
|
计算机和互联网安全 |
付费冲浪 |
|||
|
已确认的垃圾邮件源 |
点对点 |
|||
|
内容交付网络 |
个人网站和博客 |
|||
|
小众和神秘 |
个人存储 |
|||
|
约会 |
哲学和政治宣传 |
|||
|
死网站 |
网络钓鱼和其他欺诈 |
|||
|
动态生成的内容 |
专用 IP 地址 |
|||
|
教育机构 |
代理规避和匿名程序 |
|||
|
娱乐和艺术 |
可疑 |
|||
|
时尚和美容 |
房地产 |
|||
|
金融服务业 |
娱乐和爱好 |
|||
|
食品餐饮 |
参考和研究 |
|||
|
赌博 |
宗教 |
|||
|
游戏 |
搜索引擎 |
|||
|
政府 |
性教育 |
|||
|
毛额 |
共享软件和免费软件 |
|||
|
黑客攻击 |
购物 |
|||
|
仇恨和种族主义 |
社交网络 |
|||
|
健康和医疗 |
社会 |
|||
|
家居和园艺 |
垃圾邮件 URL |
|||
|
狩猎和钓鱼 |
体育 |
|||
|
违法 |
间谍软件和广告软件 |
|||
|
图片和视频搜索 |
流媒体 |
|||
|
个人炒股建议和工具 |
泳衣和内衣 |
|||
|
互联网通信 |
培训和工具 |
|||
|
互联网门户 |
差旅费 |
|||
|
求职 |
未分类 |
|||
|
按键记录器和监控 |
未确认的垃圾邮件源 |
|||
|
童鞋 |
暴力类 |
|||
|
法务 |
武器 |
|||
|
本地信息 |
网络广告 |
|||
|
恶意软件网站 |
基于 Web 的邮件 |
|||
|
大麻 |
Web 托管站点 |
新范畴
这些表列出了全新的 URL 类别,其中大多数都标识了威胁。我们强烈建议您创建或修改 URL 规则以包含新的威胁类别。请注意,某些现有的 URL 类别确实可识别威胁;我们建议您也包括这些。有关这些类别的列表,请参阅 Talos 情报类别站点。
| 新类别 |
|---|
|
动态和住宅 |
| 新威胁类别 |
|---|
|
Bogon |
|
加密劫持 |
|
DNS 隧道 |
|
域生成算法 |
|
动态 DNS |
|
电子银行欺诈 |
|
攻击 |
|
高风险站点和位置 |
|
感染指标 (IOC) |
|
主页广告 |
|
恶意站点 |
|
移动威胁 |
|
新发现的域 |
|
开放邮件中继 |
|
P2P 恶意软件节点 |
|
潜在的 DNS 重新绑定 |
|
TOR 出口节点 |
弃用的类别
升级不会修改使用弃用类别的 URL 规则。这些规则将阻止部署;您应删除或修改它们。
| 弃用的类别 |
|---|
|
未分类 |
|
专用 IP 地址 |
合并的类别
包含任何受影响类别的每个规则现在都包含所有受影响的类别。如果原始类别与不同的信誉相关联,则新规则与更广泛、更具包容性的信誉相关联。要像以前一样过滤 URL,可能需要修改或删除某些配置;请参阅含合并 URL 类别的规则的指南。
我们还强烈建议您创建或修改 URL 规则以包含新指定的威胁类别(垃圾邮件)。
| 旧类别 | 合并后的新类别 |
|---|---|
|
网络广告 |
广告 |
|
付费冲浪 |
|
|
教育机构 |
教育 |
|
培训和工具 |
|
|
暴力类 |
极高 |
|
毛额 |
|
|
政府 |
政府和法律 |
|
法务 |
|
|
滥用药物 |
违禁药物 |
|
大麻 |
|
|
动态生成的内容 |
基础设施 |
|
内容交付网络 |
|
|
黑客攻击 |
黑客攻击 |
|
按键记录器和监控 |
|
|
搜索引擎 |
搜索引擎和门户 |
|
互联网门户 |
|
|
性教育 |
性教育 |
|
堕胎 |
|
|
已确认的垃圾邮件源 |
垃圾邮件(威胁类别) |
|
垃圾邮件 URL |
|
|
未确认的垃圾邮件源 |
|
|
娱乐和爱好 |
体育和娱乐网站 |
|
体育 |
拆分类别
升级会将 URL 规则中的每个旧类别替换为映射到旧类别的所有新类别。升级后,您可以修改受影响的规则以利用新粒度。
| 旧的单一类别 | 新的拆分类别 |
|---|---|
|
成人和色情 |
色情 |
|
成人 |
|
|
酒精和烟草 |
酒类 |
|
烟草 |
|
|
商业与经济 |
商业和工业 |
|
手机 |
|
|
计算机和互联网信息 |
软件更新 |
|
计算机和互联网 |
|
|
SaaS 和 B2B |
|
|
在线会议 |
|
|
计算机和互联网安全 |
计算机安全 |
|
个人 VPN |
|
|
小众和神秘 |
超过正常范围 |
|
占星 |
|
|
娱乐和艺术 |
艺术 |
|
娱乐 |
|
|
赌博 |
赌博 |
|
彩票 |
|
|
家居和园艺 |
自然 |
|
DIY 项目 |
|
|
违法 |
非法活动 |
|
虐童内容 |
|
|
非法下载 |
|
|
互联网通信 |
互联网电话服务 |
|
聊天和即时消息 |
|
|
个人网站和博客 |
个人网站 |
|
在线社区 |
|
|
个人存储 |
在线存储和备份 |
|
文件传输服务 |
|
|
参考和研究 |
科技 |
|
社会科学 |
|
|
社交网络 |
社交网络 |
|
职业社交网络 |
|
|
社会 |
社会文化 |
|
非政府组织 |
|
|
基于 Web 的邮件 |
基于 Web 的电子邮件 |
|
组织电子邮件 |
重命名的类别
虽然不需要采取任何措施,但您应该了解这些更改。我们强烈建议您创建或修改 URL 规则,以包括新指定的威胁类别(僵尸网络、开放 HTTP 代理、网络钓鱼)。
| 旧类别名称 | 新类别名称 |
|---|---|
|
僵尸网络 |
僵尸网络(威胁类别) |
|
作弊程序 |
欺诈和剽窃 |
|
死网站 |
不可操作 |
|
时尚和美容 |
时尚 |
|
金融服务业 |
财经 |
|
食品餐饮 |
餐饮 |
|
仇恨和种族主义 |
仇恨言论 |
|
健康和医疗 |
健康和营养 |
|
狩猎和钓鱼 |
正在查找 |
|
图片和视频搜索 |
照片搜索和图片 |
|
个人炒股建议和工具 |
在线交易 |
|
童鞋 |
儿童安全 |
|
本地信息 |
参考 |
|
机动车 |
交通运输业 |
|
音乐 |
流式音频 |
|
新闻与媒体 |
新闻 |
|
裸体 |
非色情裸体 |
|
在线贺卡 |
数字明信片 |
|
打开 HTTP 代理 |
开放式 HTTP 代理(威胁类别) |
|
点对点 |
对等文件传输 |
|
哲学和政治宣传 |
政治 |
|
网络钓鱼和其他欺诈 |
网络钓鱼 (威胁类别) |
|
代理规避和匿名程序 |
规避过滤网站 |
|
可疑 |
幽默 |
|
共享软件和免费软件 |
免费软件和共享软件 |
|
流媒体 |
流视频 |
|
泳衣和内衣 |
女用内衣和泳装 |
|
Web 托管站点 |
Web 托管 |
未更改的类别
虽然不需要采取任何措施,但您应该了解这些更改。我们强烈建议您创建或修改 URL 规则以包含新指定的威胁类别(恶意软件站点、间谍软件和广告软件)。
| 未更改的类别 |
|---|
|
约会 |
|
游戏 |
|
求职 |
|
军事 |
|
寄放域 |
|
房地产 |
|
宗教 |
|
购物 |
|
差旅费 |
|
武器 |
| 未更改威胁类别 |
|---|
|
恶意软件站点(威胁类别) |
|
间谍软件和广告软件(威胁类别) |
反馈