Cisco Secure Firewall ASA の新機能
このドキュメントでは、各リリースの新機能を示します。
(注) |
syslog メッセージガイドに、新規、変更済み、および廃止された syslog メッセージを記載しています。 |
バージョン 9.20 の新機能
ASA 9.20(2)/ASDM 7.20(2) の新機能
リリース日:2023 年 12 月 13 日
機能 |
説明 |
---|---|
プラットフォーム機能 |
|
Cisco Secure Firewall 3100 における 100GB ネットワークモジュールのサポート |
Cisco Secure Firewall 3100 で 100GB のネットワークモジュールを使用できるようになりました。このモジュールは、Cisco Secure Firewall 4200 でもサポートされています。 |
Cisco Secure Firewall 4200 の接続制限の引き上げ |
最大接続数が引き上げられました。
|
OCI 上の ASAv:追加のインスタンス |
OCI 上の ASA 仮想インスタンスは、最高のパフォーマンスとスループットレベルを達成するために追加のシェイプをサポートするようになりました。 |
ハイ アベイラビリティとスケーラビリティの各機能 |
|
Azure 上の ASAv:ゲートウェイ ロード バランシングによるクラスタリング |
Azure Resource Manager(ARM)テンプレートを使用した Azure での ASA 仮想クラスタリングの展開がサポートされるようになり、ネットワークトラフィックのロードバランシングにゲートウェイロードバランサ(GWLB)を使用するように
ASAv クラスタが設定されています。
新しい/変更されたコマンド: 新しい/変更された画面: |
AWS 上の ASAv:ゲートウェイ ロード バランシングによるクラスタリングの復元力 |
AWS のターゲットグループサービスでターゲット フェールオーバー オプションを設定できます。これにより、仮想インスタンスのフェールオーバーが発生した場合に GWLB が既存のフローを正常なターゲットに転送できます。ASAv クラスタリングでは、各インスタンスがターゲットグループに関連付けられ、ターゲット フェールオーバー オプションが有効になっています。これは、GWLB が異常なターゲットを識別して、ターゲットグループ内のターゲットノードとして識別または登録されている正常なインスタンスにネットワークトラフィックをリダイレクトまたは転送するのに役立ちます。 |
シャーシハートビート障害後にクラスタに再参加するための設定可能な遅延(Firepower 4100/9300) |
デフォルトでは、シャーシハートビート障害から回復すると、ノードはすぐにクラスタに再参加します。ただし、health-check chassis-heartbeat-delay-rejoin コマンドを設定すると、health-check system auto-rejoin コマンドの設定に従って再参加します。 新規/変更されたコマンド: health-check chassis-heartbeat-delay-rejoin 新規/変更された画面: |
show failover statistics にクライアント統計情報を追加 |
フェールオーバー クライアントのパケット統計情報が拡張され、デバッグ機能が向上しました。show failover statistics コマンドは、np-clients (データパスクライアント)および cp-clients (コントロールプレーン クライアント)の情報を表示するように拡張されています。 変更されたコマンド:show failover statistics cp-clients 、show failover statistics np-clients 9.18(4) でも同様です。 |
show failover statistics events に新しいイベントを追加 |
show failover statistics events コマンドが拡張され、アプリケーション エージェントによって通知されるローカル障害(フェールオーバーリンクの稼働時間、スーパーバイザハートビート障害、およびディスクフルの問題)を表示するようになりました。 変更されたコマンド: show failover statistics events 9.18(4) でも同様です。 |
ASA 9.20(1)/ASDM 7.20(1) の新機能
リリース:2023 年 9 月 7 日
(注) |
このリリースは、Cisco Secure Firewall 4200 でのみサポートされます。 |
機能 |
説明 |
---|---|
プラットフォーム機能 |
|
Cisco Secure Firewall 4200 |
Cisco Secure Firewall 4215、4225、および 4245 向けの ASA を導入しました。Cisco Secure Firewall 4200 は、スパンド EtherChannel クラスタリングで最大 8 ユニットをサポートします。ファイアウォールの電源が入っているときに、再起動することなく、同じタイプのネットワークモジュールをホットスワップできます。他のモジュールの変更を行う場合には、再起動が必要です。Cisco Secure Firewall 4200 の 25 Gbps 以上のインターフェイスは、Forward Error Correction と、インストールされている SFP に基づく速度検出をサポートします。SSD は自己暗号化ドライブ(SED)です。SSD が 2 つある場合、ソフトウェア RAID を形成します。管理インターフェイスが 2 つあります。 |
ファイアウォール機能 |
|
sysopt connection tcp-max-unprocessed-seg コマンドの ASDM サポート |
TCP 未処理セグメントの最大数を 6 ~ 24 に設定できます。デフォルト値は 6 です。SIP 電話機が Call Manager に接続していないことを確認したら、未処理の TCP セグメントの最大数を増やすことができます。 新規/変更された画面: |
データプレーンにオフロードされた ASP ルールエンジンのコンパイル。 |
デフォルトでは、ルールベースのポリシー(ACL、NAT、VPN など)に 100 を超えるルール更新がある場合、ASP ルールエンジンのコンパイルはコントロールプレーンではなくデータプレーンにオフロードされます。このオフロードにより、コントロールプレーンで他のタスクを実行する時間が長くなります。 次のコマンドが追加または変更されました。asp rule-engine compile-offload 、show asp rule-engine 。 |
データプレーンのクイックリロード |
データプレーンを再起動する必要がある場合、デバイスを再起動する代わりに、データプレーンプロセスをリロードできるようになりました。データプレーンのクイックリロードを有効にすると、データプレーンとその他のプロセスが再起動されます。 新規/変更されたコマンド:data-plane quick-reload 、show data-plane quick-reload status 。 |
ハイ アベイラビリティとスケーラビリティの各機能 |
|
ASA の高可用性のための偽フェールオーバーの削減 |
ASA 高可用性のデータプレーンに追加のハートビートモジュールが導入されました。このハートビートモジュールは、コントロールプレーンのトラフィックの輻輳や CPU の過負荷が原因で発生する可能性のある、偽フェールオーバーやスプリットブレインシナリオを回避するのに役立ちます。 9.18(4) でも同様です。 |
フローステータスの設定可能なクラスタキープアライブ間隔 |
フローオーナーは、キープアライブ(clu_keepalive メッセージ)と更新(clu_update メッセージ)をディレクタおよびバックアップオーナーに送信して、フローの状態を更新します。キープアライブ間隔を設定できるようになりました。デフォルトは 15 秒で、15 ~ 55 秒の範囲で間隔を設定できます。クラスタ制御リンクのトラフィック量を減らすために長い間隔を設定できます。 新規/変更されたコマンド: clu-keepalive-interval 新規/変更された画面: |
ルーティング機能 |
|
EIGRPv6 |
EIGRP for IPv6 を設定し、それらを個別に管理できるようになりました。各インターフェイスで EIGRP を設定するときは、IPv6 を明示的に有効にする必要があります。 新規/変更されたコマンド:新しく導入されたコマンドは、次のとおりです。ipv6 eigrp 、ipv6 hello-interval eigrp 、ipv6 hold-time eigrp 、ipv6 split-horizon eigrp 、show ipv6 eigrp interface 、show ipv6 eigrp traffic 、show ipv6 eigrp neighbors 、show ipv6 eigrp interface 、ipv6 summary-address eigrp 、show ipv6 eigrp topology 、show ipv6 eigrp events 、show ipv6 eigrp timers 、clear ipv6 eigrp 、および clear ipv6 router eigrp IPv6 をサポートするため、次のコマンドが変更されました。default-metric 、distribute-list prefix-list 、passive-interface 、eigrp log-neighbor-warnings 、eigrp log-neighbor-changes 、eigrp router-id 、および eigrp stub 新規/変更された画面:[セットアップ(Setup)]、[フィルタルール(Filter Rules)]、[インターフェイス(Interface)]、[パッシブインターフェイス(Passive Interface)]、[再配布(Redistribution)]、および [スタティックネイバー(Static Neighbor)] タブ。 、 |
HTTP クライアントによるパスモニタリング |
PBR は、特定の宛先 IP のメトリックではなく、アプリケーションドメインの HTTP クライアントを介したパスモニタリングによって収集されたパフォーマンスメトリック(RTT、ジッター、パケット損失、および MOS)を使用できるようになりました。インターフェイスの HTTP ベースのアプリケーション モニタリング オプションは、デフォルトで有効になっています。HTTP ベースのパスモニタリングは、ネットワーク サービス グループのオブジェクトを使用してインターフェイスで設定できます。モニタリング対象のアプリケーションが搭載され、パスを決定するためのインターフェイスの順序付けを行う一致 ACL を使用して、PBR ポリシーを設定できます。 新規/変更された画面: |
インターフェイス機能 |
|
VXLAN VTEP IPv6 のサポート |
VXLAN VTEP インターフェイスに IPv6 アドレスを指定できるようになりました。IPv6 では、ASA 仮想 クラスタ制御リンクまたは Geneve カプセル化がサポートされていません。 新規/変更されたコマンド:default-mcast-group 、mcast-group 、peer ip 新しい/変更された画面: |
DNS、HTTP、ICMP、IPsec フローオフロードのループバック インターフェイスのサポート |
ループバック インターフェイスを追加して、以下に使用できるようになりました。
|
ライセンス機能 |
|
スマートライセンスや Smart Call Home といったクラウドサービスの IPv6 |
ASA は、スマートライセンスや Smart Call Home などのクラウドサービスの IPv6 をサポートするようになりました。 |
証明書の機能 |
|
OCSP および CRL の IPv6 PKI |
ASA で、IPv4 と IPv6 両方の OCSP および CRL URL をサポートするようになりました。URL で IPv6 を使用する場合は、角カッコで囲む必要があります。
新規/変更されたコマンド:crypto ca trustpointcrl 、cdp url 、ocsp url 新規/変更された画面: |
管理、モニタリング、およびトラブルシューティングの機能 |
|
SNMP syslog のレート制限 |
システム全体のレート制限を設定しない場合、SNMP サーバーに送信される syslog に対して個別にレート制限を設定できるようになりました。 新規/変更されたコマンド: logging history rate-limit |
スイッチのパケットキャプチャ |
スイッチの出力および入力トラフィックパケットをキャプチャするように設定できるようになりました。このオプションは、Secure Firewall 4200 モデルデバイスに対してのみ使用できます。 新しい/変更されたコマンド:
capture capture_name switch interface interface_name [ direction { both | egress | ingress } ] 新規/変更された画面: および |
VPN 機能 |
|
暗号デバッグの機能拡張 |
暗号デバッグの機能拡張は次のとおりです。
新しい/変更されたコマンド:
|
IKEv2 の複数のキー交換 |
ASA は、量子コンピュータ攻撃から IPsec 通信を保護するために、IKEv2 で複数のキー交換をサポートします。 新規/変更されたコマンド: additional-key-exchange |
SAML を使用した セキュアクライアント 接続認証 |
DNS ロードバランシングクラスタでは、SAML 認証を ASA で設定するときに、設定が適用されるデバイスに一意に解決されるローカルベース URL を指定できます。
新規/変更された画面: [設定(Configuration)] > [リモートアクセスVPN(Remote Access VPN)] > [ネットワーク(クライアント)アクセス(Network (Client) Access)] > [安全なクライアント接続プロファイル(Secure Client Connection Profiles)] > [追加/編集(Add/Edit)] > [ベーシック(Basic)] > [SAMLアイデンティティプロバイダー(SAML Identity Provider)] > [管理(Manage)] > [追加/編集(Add/Edit)] |
ASDM 機能 |
|
Windows 11 のサポート |
ASDM は Windows 11 で動作することが確認されています。 |
バージョン 9.19 の新機能
ASDM 7.19(1.95) の新機能
リリース:2023年 7 月 5 日
このリリースに新機能はありません。
ASDM 7.19(1.90) の新機能
リリース日:2023 年 2 月 16 日
このリリースに新機能はありません。
ASA 9.19(1)/ASDM 7.19(1) の新機能
リリース日:2022 年 11 月 29 日
機能 |
説明 |
---|---|
プラットフォーム機能 |
|
Cisco Secure Firewall 3105 |
Cisco Secure Firewall 3105 の ASA を導入しました。 |
Azure ゲートウェイロードバランサを使用した ASA Virtual 自動スケールソリューション |
Microsoft Azure にゲートウェイロードバランサを使用して ASA Virtual 自動スケールソリューションを展開できます。詳細については、インターフェイス機能を参照してください。 |
ファイアウォール機能 |
|
ネットワークサービスグループのサポート |
最大 1024 のネットワーク サービス グループを定義できるようになりました。 |
ハイアベイラビリティとスケーラビリティの各機能 |
|
バイアス言語の除去 |
「Master」と「Slave」という用語を含むコマンド、コマンド出力、syslog メッセージは、「Control」と「Control」に変更されました。 新規/変更されたコマンド:cluster control-node 、enable as-data-node 、prompt 、show cluster history 、show cluster info |
ASA Virtual Amazon Web Services(AWS)クラスタリング |
ASA Virtual は AWS で最大 16 ノードの個別インターフェイスのクラスタリングをサポートします。AWS ゲートウェイロードバランサ の有無にかかわらず、クラスタリングを使用できます。 ASDM サポートはありません。 |
ルーティング機能 |
|
IPv6 の BGP グレースフルリスタート |
IPv6 アドレスファミリの BGP グレースフルリスタートサポートを追加しました。 新規/変更されたコマンド:IPv6 ファミリをサポートするために拡張された既存のコマンド:ha-mode graceful-restart 新規/変更されたコマンド: |
ASDM での BGP トラフィックの ループバック インターフェイス サポート | ASDM は、BGP ネイバーシップのソースインターフェイスとしてループバック インターフェイスの設定をサポートするようになりました。ループバック インターフェイスは、パス障害の克服に役立ちます。
新規/変更された画面: |
インターフェイス機能 |
|
ASA Virtual で IPv6 をサポート |
ASAv は、プライベートおよびパブリック クラウド プラットフォームで IPv6 ネットワークプロトコルをサポートします。 ユーザーは次のことができるようになりました。
|
Azure ゲートウェイロードバランサの ASA Virtual のペアプロキシ VXLAN |
Azure ゲートウェイ ロードバランサ(GWLB)で使用するために、Azure の ASA Virtual のペアプロキシモード VXLAN インターフェイスを構成できます。ASA Virtual は、ペアプロキシの VXLAN セグメントを利用して、単一の NIC に外部インターフェイスと内部インターフェイスを定義します。 新規/変更されたコマンド:external-port、external-segment-id、internal-port、internal-segment-id、proxy paired ASDM サポートはありません。 |
Secure Firewall 3100 固定ポートのデフォルトの前方誤り訂正(FEC)が、25 GB+ SR、CSR、および LR トランシーバの cl74-fc から cl108-rs に変更されました |
Secure Firewall 3100 の固定ポートで FEC を Auto に設定すると、25 GB SR、CSR、および LR トランシーバのデフォルトのタイプが cl74-fc ではなく cl108-rs に設定されるようになりました。 新規/変更されたコマンド: fec 新規/変更された画面: |
ASDM でのループバック インターフェイスのサポート |
ASDM は、ループバック インターフェイスをサポートするようになりました。 新規/変更された画面: |
ライセンス機能 |
|
KVM および VMware 上の ASAv5 の ASA Virtual 永久ライセンス予約のサポート |
デフォルトの PLR ソフトウェア利用資格を上書きし、KVM および VMware に 2GB RAM の ASAv を展開するときに Cisco Smart Software Manager(SSM)に ASAv5 PLR ライセンスを発行するように要求する新しいコマンドを利用できます。RAM の設定に合わせてソフトウェア利用資格を ASAv5 からデフォルトの PLR ライセンスに戻すための <no> 形式を追加することにより、このコマンドを変更できます。 |
管理、モニタリング、およびトラブルシューティングの機能 |
|
CiscoSSH スタックのデフォルト化 |
Cisco SSH スタックがデフォルトで使用されるようになりました。 新規/変更されたコマンド: ssh stack ciscossh 新しい/変更された画面:
|
VPN 機能 |
|
VTI ループバック インターフェイスのサポート |
ループバック インターフェイスを VTI の送信元インターフェイスとして設定できるようになりました。静的に設定された IP アドレスの代わりに、ループバック インターフェイスから IP アドレスを継承するサポートも追加されました。ループバック インターフェイスは、パス障害の克服に役立ちます。インターフェイスがダウンした場合、ループバック インターフェイスに割り当てられた IP アドレスを使用してすべてのインターフェイスにアクセスできます。 新規/変更されたコマンド:tunnel source interface 、ip unnumbered 、ipv6 unnumbered 新規/変更された画面: |
ダイナミック仮想トンネルインターフェイス(ダイナミック VTI)のサポート |
ダイナミック VTI により ASA が強化されました。ハブの複数のスタティック VTI 構成を単一の ダイナミック VTI に置き換えることができます。ハブの構成を変更せずに、新しいスポークをハブに追加できます。ダイナミック VTI はダイナミック(DHCP)スポークをサポートします。 新規/変更されたコマンド:interface virtual-Template、ip unnumbered、ipv6 unnumbered、tunnel protection ipsec policy 新規/変更された画面:[設定(Configuration)] > [デバイスのセットアップ(Device Setup)] > [インターフェイスの設定(Interface Settings)] > [インターフェイス(Interfaces)] > [追加(Add)] > [DVTIインターフェイス(DVTI Interface)] > [詳細(Advanced)] |
EIGRP および OSPF の VTI サポート |
EIGRP および OSPFv2/v3 ルーティングが仮想トンネルインターフェイスでサポートされるようになりました。これらのルーティングプロトコルを使用して、ルーティング情報を共有し、ピア間の VTI ベースの VPN トンネルを介してトラフィックフローをルーティングできます。 |
リモートアクセス VPN の TLS 1.3 |
TLS 1.3 を使用して、リモートアクセス VPN 接続を暗号化できます。 TLS 1.3 では、次の暗号方式のサポートが追加されています。
この機能には、Cisco Secure Client バージョン 5.0.01242 以降が必要です。 新規/変更されたコマンド: sslserver-version、sslclient-version 新規/変更された画面:[設定(Configuration)] > [デバイス管理(Device Management)] > [詳細(Advanced)] > [SSL設定(SSL Settings)] |
IKEv2 サードパーティクライアントのデュアルスタックサポートが追加されました。 |
Cisco Secure Firewall ASA は、IKEv2 サードパーティのリモートアクセス VPN クライアントからのデュアルスタック IP 要求をサポートするようになりました。サードパーティのリモートアクセス VPN クライアントが IPv4 アドレスと IPv6 アドレスの両方を要求した場合、ASA は、複数のトラフィックセレクタを使用して両方の IP バージョンアドレスを割り当てることができます。この機能により、サードパーティのリモートアクセス VPN クライアントは、単一の IPsec トンネルを使用して IPv4 および IPv6 データトラフィックを送信できます。 新規/変更されたコマンド:show crypto ikev2 sa、show crypto ipsec sa、show vpn-sessiondb ra-ikev2-ipsec |
スタティック VTI インターフェイスのトラフィックセレクタ |
スタティック VTI インターフェイスのトラフィックセレクタを割り当てることができるようになりました。 新規/変更されたコマンド:tunnel protection ipsec policy |
バージョン 9.18 の新機能
ASDM 7.18(1.161) の新機能
リリース:2023年 7 月 3 日
このリリースに新機能はありません。
ASA 9.18(4)/ASDM 7.20(1) の新機能
リリース:2023 年10 月 3 日
機能 |
説明 |
---|---|
ハイ アベイラビリティとスケーラビリティの各機能 |
|
ASA の高可用性のための偽フェールオーバーの削減 |
ASA 高可用性のデータプレーンに追加のハートビートモジュールが導入されました。このハートビートモジュールは、コントロールプレーンのトラフィックの輻輳や CPU の過負荷が原因で発生する可能性のある、偽フェールオーバーやスプリットブレインシナリオを回避するのに役立ちます。 9.20(1) でも同様です。 |
show failover statistics にクライアント統計情報を追加 |
フェールオーバー クライアントのパケット統計情報が拡張され、デバッグ機能が向上しました。show failover statistics コマンドは、np-clients (データパスクライアント)および cp-clients (コントロールプレーン クライアント)の情報を表示するように拡張されています。 変更されたコマンド:show failover statistics cp-clients 、show failover statistics dp-clients 9.20(2) でも同様です。 |
show failover statistics events に新しいイベントを追加 |
show failover statistics events コマンドが拡張され、アプリケーション エージェントによって通知されるローカル障害(フェールオーバーリンクの稼働時間、スーパーバイザハートビート障害、およびディスクフルの問題)を表示するようになりました。 変更されたコマンド: show failover statistics events 9.20(2) でも同様です。 |
インターフェイス機能 |
|
FXOS local-mgtm show コマンドの改善 |
FXOS local-mgmt のインターフェイス show コマンドに関する追加項目は次のとおりです。
新規/変更された FXOS コマンド:show portmanager switch tail-drop-allocated buffers all 、show portmanager switch status 、show portmanager switch default-rule-drop-counter |
管理、モニタリング、およびトラブルシューティングの機能 |
|
show tech support の改善 |
次の項目に対して、show tech support への出力が追加されました。
新規/変更されたコマンド: show tech support |
ASA 9.18(3)/ASDM 7.19(1.90) の新機能
リリース日:2023 年 2 月 16 日
機能 |
説明 |
---|---|
プラットフォーム機能 |
|
Firepower 1010E |
Firepower 1010E が導入されました。このモデルは、Power Over Ethernet ポートが搭載されていないことを除き Firepower 1010 と同じです。 7.19(1.90) または 7.18(2.1) での ASDM サポート。ASDM 7.19(1) ではこのモデルをサポートしていません。 9.18(2.218) でも同様。このモデルは 9.19(1) ではサポートされていません。 |
インターフェイス機能 |
|
Secure Firewall 3100 固定ポートのデフォルトの前方誤り訂正(FEC)が、25 GB+ SR、CSR、および LR トランシーバの cl74-fc から cl108-rs に変更されました |
Secure Firewall 3100 の固定ポートで FEC を Auto に設定すると、25 GB SR、CSR、および LR トランシーバのデフォルトのタイプが cl74-fc ではなく cl108-rs に設定されるようになりました。 新規/変更されたコマンド: fec 新規/変更された画面: 9.19(1) および 9.18(2.7) でも同様。 |
VPN 機能 |
|
SAML を使用した AnyConnect 接続認証 |
DNS ロードバランシングクラスタでは、SAML 認証を ASA で設定するときに、設定が適用されるデバイスに一意に解決されるローカルベース URL を指定できます。
新規/変更されたコマンド:local-base-urlurl |
ASA 9.18(2)/ASDM 7.18(1.152) の新機能
リリース日:2022 年 8 月 10 日
機能 |
説明 |
---|---|
インターフェイス機能 |
|
BGP および管理トラフィックのループバックインターフェイスをサポート |
ループバック インターフェイスを追加して、次の機能に使用できるようになりました。
新規/変更されたコマンド:interface loopback 、logging host 、neighbor update-source 、snmp-server host 、ssh 、telnet ASDM サポートはありません。 |
ping コマンドの変更 |
ループバック インターフェイスの ping をサポートするために、ping コマンドの動作が変更されました。コマンドでインターフェイスを指定する場合、送信元 IP アドレスは指定されたインターフェイスの IP アドレスと一致しますが、実際の出力インターフェイスは、データルーティングテーブルを使用したルートルックアップによって決定されます。 新規/変更されたコマンド: ping |
ASDM 7.18(1.152) の新機能
リリース日:2022 年 8 月 2 日
このリリースに新機能はありません。
ASA 9.18(1)/ASDM 7.18(1) の新機能
リリース日:2022 年 6 月 6 日
機能 |
説明 |
||
---|---|---|---|
プラットフォーム機能 |
|||
AWS GuardDuty の ASAv-AWS Security center integration | Amazon GuardDuty サービスを ASAv と統合できるようになりました。この統合ソリューションは、Amazon GuardDuty によって報告された脅威分析データや結果(悪意のある IP アドレス)をキャプチャして処理するのに役立ちます。ASAv で悪意のある IP アドレスを設定およびフィードし、基盤となるネットワークとアプリケーションを保護できます。 | ||
ファイアウォール機能 |
|||
ACL とオブジェクトの前方参照は常に有効にです。さらに、アクセス制御のオブジェクトグループ検索がデフォルトで有効になりました。 |
アクセスグループまたはアクセスルールを設定するときに、まだ存在していない ACL またはネットワークオブジェクトを参照できます。 さらに、オブジェクトグループ検索が新規展開のアクセス制御に対してデフォルトで有効になりました。デバイスをアップグレードしても、引き続きこのコマンドは無効になります。有効にする場合(推奨)、手動で行う必要があります。
forward-reference enable コマンドを削除し、新規展開のデフォルト値を変更して object-group-search access-control を有効にしました。 |
||
ルーティング機能 |
|||
PBR のパスモニタリングメトリック。 |
PBR はメトリックを使用して、トラフィックを転送するための最適なパス(出力インターフェイス)を決定します。パスモニタリングは、メトリックが変更されたモニタリング対象インターフェースを PBR に定期的に通知します。PBR は、モニタリング対象インターフェイスの最新のメトリック値をパス モニタリング データベースから取得し、データパスを更新します。 新規/変更されたコマンド:clear path-monitoring 、policy-route 、show path-monitoring 新規/変更された画面: |
||
インターフェイス機能 |
|||
Cisco Secure Firewall 3100 のフロー制御に対応するためのフレームの一時停止 |
トラフィック バーストが発生している場合、バーストが NIC の FIFO バッファまたは受信リング バッファのバッファリング容量を超えると、パケットがドロップされる可能性があります。フロー制御用のポーズ フレームをイネーブルにすると、このような問題の発生を抑制できます。 新規/変更されたコマンド: flowcontrol send on 新規/変更された画面: |
||
Secure Firewall 3130 および 3140 のブレークアウトポート |
Cisco Secure Firewall 3130 および 3140 の 40 GB インターフェースごとに 4 つの 10 GB ブレークアウトポートを構成できるようになりました。 新規/変更されたコマンド: breakout 新規/変更された画面: |
||
ライセンス機能 |
|||
キャリアライセンスの Secure Firewall 3100 サポート |
キャリアライセンスは、Diameter、GTP/GPRS、SCTP 検査を有効にします。 新規/変更されたコマンド: feature carrier 新規/変更された画面: 。 |
||
証明書の機能 |
|||
相互l LDAPS 認証。 |
ASA が認証のために証明書を要求したときに LDAP サーバーに提示するように ASA のクライアント証明書を設定できます。この機能は、LDAP over SSL を使用する場合に適用されます。LDAP サーバーがピア証明書を要求するように設定されている場合、セキュア LDAP セッションが完了せず、認証/許可要求が失敗します。 新規/変更されたコマンド:ssl-client-certificate 新規/変更された画面: 、LDAP を追加または編集。 |
||
認証:証明書名または SAN の検証 |
機能固有の参照 ID が設定されている場合、ピア証明書 ID は、指定された一致基準 crypto ca reference-identity <name> コマンドで検証されます。ピア証明書のサブジェクト名または SAN に一致するものが見つからない場合、または reference-identity サブモードコマンドで指定された FQDN が解決されない場合、接続は終了します。 reference-identity CLI は、AAA サーバーホスト設定および ddns 設定のサブモードコマンドとして設定されます。 新規/変更されたコマンド:ldap-over-ssl 、ddns update method 、および show update method 。 新しい/変更された画面: |
||
管理、モニタリング、およびトラブルシューティングの機能 |
|||
複数の DNS サーバーグループ |
複数の DNS サーバーグループを使用できるようになりました。1 つのグループがデフォルトで、他のグループを特定のドメインに関連付けることができます。DNS サーバーグループに関連付けられたドメインに一致する DNS 要求は、そのグループを使用します。たとえば、内部の eng.cisco.com サーバー宛てのトラフィックで内部の DNS サーバーを使用する場合は、eng.cisco.com を内部の DNS グループにマッピングできます。ドメインマッピングと一致しないすべての DNS 要求は、関連付けられたドメインを持たないデフォルトの DNS サーバーグループを使用します。たとえば、DefaultDNS グループには、外部インターフェイスで使用可能なパブリック DNS サーバーを含めることができます。 新規/変更されたコマンド:dns-group-map 、dns-to-domain 新規/変更された画面: |
||
ダイナミックログインのレート制限 |
ブロック使用量が指定されたしきい値を超えたときにロギングレートを制限する新しいオプションが追加されました。ブロックの使用量が通常の値に戻るとレート制限が無効になるため、ロギングレートが動的に制限されます。 新規/変更されたコマンド: logging rate-limit 新規/変更された画面: |
||
Secure Firewall 3100 デバイスのパケットキャプチャ |
スイッチパケットをキャプチャするプロビジョニングが追加されました。このオプションは、Secure Firewall 3100 デバイスに対してのみ有効にできます。 新規/変更されたコマンド: capture real-time 新規/変更された画面: |
||
VPN 機能 |
|||
IPsec フローがオフロードされます。 |
Cisco Secure Firewall 3100 では、IPsec フローはデフォルトでオフロードされます。IPsec サイト間 VPN またはリモートアクセス VPN セキュリティ アソシエーション (SA) の初期設定後、IPsec 接続はデバイスのフィールド プログラマブル ゲート アレイ (FPGA) にオフロードされるため、デバイスのパフォーマンスが向上します。 新規/変更されたコマンド:clear flow-offload-ipsec 、flow-offload-ipsec 、show flow-offload-ipsec 新規/変更された画面: |
||
認証用の証明書と SAML |
証明書および SAML 認証用にリモートアクセス VPN 接続プロファイルを設定できます。ユーザーは、SAML 認証/承認が開始される前に、マシン証明書やユーザー証明書を認証するように VPN を設定できます。これは、ユーザー固有の SAML DAP 属性と DAP 証明書属性を使用して実行できます。 新規/変更されたコマンド:authentication saml certificate 、authentication certificate saml 、authentication multiple-certificate saml 新規/変更された画面: |
バージョン 9.17 の新機能
ASDM 7.17(1.155) の新機能
リリース日:2022 年 6 月 28 日
このリリースに新機能はありません。
ASDM 7.17(1.152) の新機能
リリース日:2022 年 2 月 8 日
このリリースに新機能はありません。
ASA 9.17(1)/ASDM 7.17(1) の新機能
リリース日:2021 年 12 月 1 日
機能 |
説明 |
---|---|
プラットフォーム機能 |
|
Cisco Secure Firewall 3100 |
Cisco Secure Firewall 3110、3120、3130、および 3140 の ASA が導入されました。Cisco Secure Firewall 3100 は、スパンド EtherChannel クラスタリングで最大 8 ユニットをサポートします。ファイアウォールの電源が入っているときに、再起動することなく、同じタイプのネットワークモジュールをホットスワップできます。他のモジュールの変更を行う場合には、再起動が必要です。Secure Firewall 3100 25 Gbps インターフェイスは、Forward Error Correction と、インストールされている SFP に基づく速度検出をサポートします。SSD は自己暗号化ドライブ(SED)です。SSD が 2 つある場合、ソフトウェア RAID を形成します。 新規/変更されたコマンド: fec, netmod, speed sfp-detect, raid, show raid, show ssd 新しい/変更された画面: |
自動スケールに対する ASA 仮想 のサポート |
ASA 仮想 は、次のパブリッククラウドサービスの自動スケールをサポートするようになりました。
自動スケーリングは、キャパシティの要件に基づいて ASA 仮想 アプリケーションのインスタンス数を増減します。 |
AWS の ASA 仮想 での拡張インスタンスのサポート |
AWS パブリッククラウド上の ASA 仮想 は、異なる Nitro インスタンスファミリから AWS Nitro システムインスタンスをサポートするようになりました。 AWS 用 ASA 仮想により、次のインスタンスのサポートが追加されています。
サポートされているインスタンスの詳細なリストについては、『Cisco Adaptive Security Virtual Appliance (ASAv) Data Sheet』を参照してください。 |
Azure の ASA 仮想 拡張インスタンスのサポート |
Azure パブリッククラウド上の ASA 仮想 は、次のインスタンスをサポートするようになりました。
サポートされているインスタンスの詳細なリストについては、『Cisco Adaptive Security Virtual Appliance (ASAv) Data Sheet』を参照してください。 |
ASA 仮想 の Intel® QuickAssist テクノロジー(QAT) |
ASA 仮想 は、 Intel QuickAssist(QAT)8970 PCI アダプタを使用する ASA 仮想 展開にハードウェア暗号化アクセラレーションを提供します。ASA 仮想 を使用した ASAv のハードウェア暗号化アクセラレーションは、VMware ESXi および KVM でのみサポートされます。 |
OCI 上の ASA 仮想 に対する Single Root I/O Virtualization(SR-IOV)のサポート。 |
OCI 上の ASA 仮想 に Single Root Input/Output Virtualization(SR-IOV)を実装できるようになりました。SR-IOV により、ASA 仮想 のパフォーマンスを向上させることができます。SR-IOV モードでの vNIC としての Mellanox 5 はサポートされていません。 |
ファイアウォール機能 |
|
変換後(マップ後)の宛先としての完全修飾ドメイン名(FQDN)オブジェクトの Twice NAT サポート |
www.example.com を指定する FQDN ネットワークオブジェクトを、Twice NAT ルールの変換後(マップ後)の宛先アドレスとして使用できます。システムでは、DNS サーバーから返された IP アドレスに基づいてルールが設定されます。 |
ネットワークサービス オブジェクトと、ポリシーベースのルーティングおよびアクセス制御におけるネットワークサービス オブジェクトの使用 |
ネットワークサービス オブジェクトを設定し、それらを拡張アクセス コントロール リストで使用して、ポリシーベース ルーティング ルート マップおよびアクセス コントロール グループで使用できます。ネットワークサービス オブジェクトには、IP サブネットまたは DNS ドメイン名の仕様が含まれ、オプションでプロトコルとポートの仕様が含まれます。これらは、基本的にネットワークオブジェクトとサービスオブジェクトを結合します。この機能には、信頼できる DNS サーバーを定義して、DNS ドメイン名解決が信頼できる送信元から IP アドレスを確実に取得できるようにする機能も含まれています。 次のコマンドが追加または変更されました:access-list extended 、app-id 、clear configure object network-service 、clear configure object-group network-service 、clear dns ip-cache 、clear object 、clear object-group 、debug network-service 、description 、dns trusted-source 、domain 、network-service-member 、network-service reload 、object-group network-service 、object network-service 、policy-route cost 、set adaptive-interface cost 、show asp table classify 、show asp table network-service 、show dns trusted-source 、show dns ip-cache 、show object 、show object-group 、show running-config 、subnet 次の画面が追加または変更されました。
|
ハイ アベイラビリティとスケーラビリティの各機能 |
|
VMware および KVM 用の ASAv30、ASAv50、および ASAv 100 クラスタリング |
ASA 仮想 クラスタリングを使用すると、最大 16 の ASA 仮想 を単一の論理デバイスとしてグループ化できます。クラスタは、単一デバイスのすべての利便性(管理、ネットワークへの統合)を備える一方で、複数デバイスによって高いスループットおよび冗長性を達成します。ASA 仮想 クラスタリングは、ルーテッド ファイアウォール モードの個別インターフェイスモードをサポートします。 スパンドEtherChannelはサポートされていません。ASA 仮想 は、クラスタ制御リンクに VXLAN 仮想インターフェイス(VNI)を使用します。 新規/変更されたコマンド:cluster-interface vni、nve-only cluster、peer-group、show cluster info、show cluster info instance-type、show nve 1 新しい/変更された画面: |
ハイ アベイラビリティ グループまたはクラスタ内のルートのクリア |
以前のリリースでは、clear route コマンドはユニットのルーティングテーブルのみをクリアしました。現在、ハイアベイラビリティ グループまたはクラスタで動作している場合、コマンドはアクティブユニットまたはコントロールユニットでのみ使用でき、グループまたはクラスタ内のすべてのユニットのルーティングテーブルをクリアします。 clear route コマンドが変更されました。 |
インターフェイス機能 |
|
ASA 仮想 の Geneve インターフェイスサポート |
AWS ゲートウェイロードバランサのシングルアームプロキシをサポートするために、ASAv30、ASAv50、および ASAv100 の Geneve カプセル化サポートが追加されました。 新規/変更されたコマンド:debug geneve、debug nve、debug vxlan、encapsulation、packet-tracer geneve、proxy single-arm、show asp drop、show capture、show interface、show nve 新しい/変更された画面: |
Secure Firewall 3100 の自動ネゴシエーションは、1 ギガビット以上のインターフェイスで有効または無効にすることができます。 |
Secure Firewall 3100 の自動ネゴシエーションは、1 ギガビット以上のインターフェイスで有効または無効にすることができます。他のモデルの SFP ポートの場合、no speed nonegotiate オプションは速度を 1000 Mbps に設定します。新しいコマンドは、自動ネゴシエーションと速度を個別に設定できることを意味します。 新規/変更されたコマンド:negotiate-auto 新規/変更された画面:
|
管理およびトラブルシューティングの機能 |
|
起動時間と tmatch コンパイルステータス。 |
show version コマンドには、システムの起動(ブート)にかかった時間に関する情報が含まれるようになりました。設定が大きいほど、システムの起動に時間がかかることに注意してください。 新しい show asp rule-engine コマンドは、tmatch コンパイルのステータスを表示します。Tmatch コンパイルは、アクセスグループ、NAT テーブル、およびその他のいくつかの項目として使用されるアクセスリストに使用されます。これは、非常に大きな ACL と NAT テーブルがある場合には、CPU リソースを消費し、進行中のパフォーマンスに影響を与える可能性がある内部プロセスです。コンパイル時間は、アクセスリスト、NAT テーブルなどのサイズによって異なります。 |
show access-list element-count 出力の拡張と show tech-support コンテンツの強化 |
show access-list element-count の出力は、次のように拡張されています。
さらに、show tech-support 出力には show access-list element-count と show asp rule-engine の出力が含まれます。 |
CiscoSSH スタック |
ASA は、SSH 接続に独自の SSH スタックを使用します。代わりに、OpenSSH に基づく CiscoSSH スタックを使用するように選択できるようになりました。デフォルトスタックは引き続き ASA スタックです。Cisco SSH は次をサポートします。
CiscoSSH スタックは次をサポートしないことに注意してください。
これらの機能が必要な場合は、引き続き ASA SSH スタックを使用する必要があります。 CiscoSSH スタックでは、SCP 機能に若干の変更があります。ASA copy コマンドを使用して SCP サーバとの間でファイルをコピーするには、ssh コマンドを使用して、ASA で SCP サーバサブネット/ホストの SSH アクセスを有効にする必要があります。 新規/変更されたコマンド: ssh stack ciscossh 新しい/変更された画面:
|
パケットトレーサでの PCAP サポート |
パケットトレーサツールで PCAP ファイルを再生し、トレース結果を取得できます。pcap および force は、パケットトレーサでの PCAP の使用をサポートするための 2 つの新しいキーワードです。 新規/変更されたコマンド:packet-tracer input およびshow packet-tracer |
より強力なローカルユーザーと有効なパスワード要件 |
ローカルユーザーと有効なパスワードについて、次のパスワード要件が追加されました。
新規/変更されたコマンド:enable password 、username 新規/変更された画面: |
ローカルユーザーのロックアウトの変更 |
設定可能な回数のログイン試行に失敗すると、ASA はローカルユーザーをロックアウトする場合があります。この機能は、特権レベル 15 のユーザーには適用されませんでした。また、管理者がアカウントのロックを解除するまで、ユーザーは無期限にロックアウトされます。管理者がその前に clear aaa local user lockout コマンドを使用しない限り、ユーザーは 10 分後にロック解除されるようになりました。特権レベル 15 のユーザーも、ロックアウト設定が適用されるようになりました。 新規/変更されたコマンド:aaa local authentication attempts max-fail 、show aaa local user |
SSH および Telnet パスワード変更プロンプト |
ローカルユーザーが SSH または Telnet を使用して ASA に初めてログインすると、パスワードを変更するように求められます。また、管理者がパスワードを変更した後、最初のログインに対してもプロンプトが表示されます。ただし、ASA がリロードすると、最初のログインであっても、ユーザーにプロンプトは表示されません。 VPN などのローカル ユーザー データベースを使用するサービスは、SSH または Telnet ログイン中に変更された場合、新しいパスワードも使用する必要があることに注意してください。 新規/変更されたコマンド: show aaa local user |
モニタリング機能 |
|
SNMP は、ネットワークオブジェクトの形式で複数のホストをグループ化するときに IPv6 をサポートするようになりました |
snmp-server コマンドの host-group コマンドは、IPv6 ホスト、範囲、およびサブネットオブジェクトをサポートするようになりました。 新規/変更されたコマンド: snmp-server host-group |
VPN 機能 |
|
IKEv2 のローカルトンネル ID のサポート |
IKEv2 のローカルトンネルID設定のサポートが追加されました。 新規/変更されたコマンド: set ikev2 local-identity |
DAP 制約による SAML 属性のサポート |
DAP ポリシーの選択に使用できる SAML アサーション属性のサポートが追加されました。また、cisco_group_policy 属性でグループポリシーを指定する機能も導入されています。 |
IDP 設定の複数の SAML トラストポイント |
この機能は、同じエンティティ ID の複数のアプリケーションをサポートするアプリケーションの SAML IDP 設定ごとに、複数の IDP トラストポイントの追加をサポートします。 新規/変更されたコマンド: saml idp-trustpoint <trustpoint-name> |
セキュアクライアント VPN SAML 外部ブラウザ |
VPN SAML 外部ブラウザを設定して、パスワードなしの認証、WebAuthN、FIDO2、SSO、U2F、Cookie の永続性による SAML エクスペリエンスの向上など、追加の認証の選択肢を有効にできるようになりました。リモートアクセス VPN 接続プロファイルのプライマリ認証方式として SAML を使用する場合は、セキュアクライアント クライアントが セキュアクライアント 組み込みブラウザではなく、クライアントのローカルブラウザを使用して Web 認証を実行するように選択できます。このオプションは、VPN 認証と他の企業ログインの間のシングルサインオン(SSO)を有効にします。また、生体認証や Yubikeys など、埋め込みブラウザでは実行できない Web 認証方法をサポートする場合は、このオプションを選択します。 新規/変更されたコマンド: external-browser 新規/変更された画面: |
SAML を使用した VPN ロードバランシング |
ASA は、SAML 認証を使用した VPN ロードバランシングをサポートするようになりました。 |
バージョン 9.16 の新機能
ASA 9.16(4) の新機能
リリース日:2022 年 10 月 13 日
このリリースに新機能はありません。
ASA 9.16(3) の新機能
リリース日:2022 年 4 月 6 日
このリリースに新機能はありません。
ASA 9.16(2) の新機能
リリース:2021 年 8 月 18 日
このリリースに新機能はありません。
ASDM 7.16(1.150) の新機能
リリース:2021 年 6 月 15 日
このリリースに新機能はありません。
ASA 9.16(1)/ASDM 7.16(1) の新機能
リリース日:2021 年 5 月 26 日
機能 |
説明 |
---|---|
ファイアウォール機能 |
|
システム定義の NAT ルールの新しいセクション 0。 |
新しいセクション 0 が NAT ルールテーブルに追加されました。このセクションは、システムの使用に限定されます。システムが正常に機能するために必要なすべての NAT ルールがこのセクションに追加され、これらのルールは作成したルールよりも優先されます。以前は、システム定義のルールがセクション 1 に追加され、ユーザー定義のルールがシステムの適切な機能を妨げる可能性がありました。セクション 0 のルールを追加、編集、または削除することはできませんが、show nat detail コマンド出力に表示されます。 |
デフォルトの SIP インスペクション ポリシー マップは、非 SIP トラフィックをドロップします。 |
SIP インスペクションされるトラフィックでは、現在、デフォルトでは非 SIP トラフィックがドロップされます。以前のデフォルトでは、SIP のインスペクション対象ポートで非 SIP トラフィックが許可されていました。 デフォルトの SIP ポリシーマップが変更され、no traffic-non-sip コマンドが追加されました。 |
GTP インスペクションでドロップされる IMSI プレフィックスを指定する機能です。 |
GTP インスペクションでは、許可する Mobile Country Code/Mobile Network Code(MCC/MNC)の組み合わせを識別するために、IMSI プレフィックス フィルタリングを設定できます。ドロップする MCC/MNC の組み合わせに対して IMSI フィルタリングを実行できるようになりました。これにより、望ましくない組み合わせをリストにして、デフォルトで他のすべての組み合わせを許可することができます。 drop mcc コマンドが追加されました。 次の画面が変更されました:GTP インスペクションマップの [IMSI Prefix Filtering] タブに [Drop] オプションが追加されました。 |
初期接続の最大セグメントサイズ(MSS)を設定します。 |
サービスポリシーを設定して、初期接続制限に達したときに初期接続の SYN cookie を生成するためのサーバーの最大セグメントサイズ(MSS)を設定できます。これは、最大初期接続数も設定するサービスポリシーの場合に意味があります。 新規/変更されたコマンド:set connection syn-cookie-mss 新規/変更された画面:[Add/Edit Service Policy] ウィザードの [Connection Settings] |
多対 1 および 1 対多接続の CPU 使用率とパフォーマンスが向上しました。 |
ダイナミック NAT / PAT およびスキャン脅威検出とホスト統計情報を含む接続を除き、システムは接続の作成時に、ローカルホストオブジェクトを作成せず、ロックすることもなくなりました。これにより、多数の接続を同じサーバー(ロードバランサや Web サーバーなど)に対して確立する場合や、1 つのエンドポイントが多数のリモートホストに接続する場合に、パフォーマンスと CPU 使用率が向上します。 次のコマンドが変更されました:clear local-host (廃止)、 show local-host |
プラットフォーム機能 |
|
VMware ESXi 7.0 用の ASA 仮想 サポート |
ASA 仮想 仮想プラットフォームは、VMware ESXi 7.0 で動作するホストをサポートしています。vi.ovf および esxi.ovf ファイルに新しい VMware ハードウェアバージョンが追加され、ESXi 7.0 で ASA 仮想 の最適なパフォーマンスと使いやすさを実現しました。 変更されたコマンドはありません。 変更された画面はありません。 |
ASA 仮想 の Intel® QuickAssist テクノロジー(QAT) |
ASA 仮想 は、 Intel QuickAssist(QAT)8970 PCI アダプタを使用する ASA 仮想 展開にハードウェア暗号化アクセラレーションを提供します。ASA 仮想 を使用した ASAv のハードウェア暗号化アクセラレーションは、VMware ESXi および KVM でのみサポートされます。 変更されたコマンドはありません。 変更された画面はありません。 |
OpenStack の ASA 仮想 |
ASA 仮想 仮想プラットフォームに OpenStack のサポートが追加されました。 変更されたコマンドはありません。 変更された画面はありません。 |
ハイ アベイラビリティとスケーラビリティの各機能 |
|
Firepower 4100/9300 でのクラスタリングの PAT ポートブロック割り当てが改善されました |
PAT ポートブロック割り当ての改善により、制御ユニットはノードに参加するためにポートを確保し、未使用のポートを積極的に再利用できるようになります。割り当てを最適化するために、cluster-member-limit コマンドを使用して、クラスタ内に配置する予定の最大ノードを設定できます。これにより、制御ユニットは計画されたノード数にポートブロックを割り当てることができ、使用する予定のない追加のノード用にポートを予約する必要がなくなります。デフォルトは 16 ノードです。また、syslog 747046 を監視して、新しいノードに使用できるポートが十分にあることを確認することもできます。 新規/変更されたコマンド:cluster-member-limit 、show nat pool cluster [summary] 、show nat pool ip detail 新規/変更された画面: フィールド |
show cluster history コマンドの改善 |
show cluster history コマンドの出力が追加されました。 新規/変更されたコマンド: show cluster history brief 、show cluster history latest 、show cluster history reverse 、show cluster history time |
Firepower 1140 の最大コンテキスト数が 5 から 10 に増加 |
Firepower 1140 は、最大 10 のコンテキストをサポートするようになりました。 |
証明書の機能 |
|
認定のための Enrollment over Secure Transport(EST) |
ASA は、Enrollment over Secure Transport(EST)を使用した証明書の登録をサポートしています。ただし、EST 登録は、RSA キーおよび ECDSA キーとのみ使用するように設定できます。EST 登録用に設定されたトラストポイント用に EdDSA キーペアを使用することはできません。 新規/変更されたコマンド:enrollment protocol 、crypto ca authenticate 、およびcrypto ca enroll 新規/変更された画面: . |
新しい EdDSA キーのサポート |
新しいキーオプション EdDSA が、既存の RSA および ECDSA オプションに追加されました。 新規/変更されたコマンド:crypto key generate 、crypto key zeroize 、show crypto key mypubkey 新規/変更された画面: |
証明書キーの制限を上書きするコマンド |
認定に SHA1with RSA 暗号化アルゴリズムを使用するためのサポート、および RSA キーサイズが 2048 未満の証明書のサポートが削除されました。crypto ca permit-weak-crypto コマンドを使用して、これらの制限を上書きできます。 新規/変更されたコマンド: crypto ca permit-weak-crypto 新規/変更された画面: 、 、および |
管理およびトラブルシューティングの機能 |
|
SSH セキュリティの改善 |
SSH が次の SSH セキュリティの改善をサポートするようになりました。
新規/変更されたコマンド:crypto key generate eddsa 、crypto key zeroize eddsa 、show crypto key mypubkey、ssh cipher encryption chacha20-poly1305@openssh.com 、ssh key-exchange group {ecdh-sha2-nistp256 | curve25519-sha256} 、ssh key-exchange hostkey 、ssh version 新しい/変更された画面: |
モニタリング機能 |
|
SNMPv3 認証 |
ユーザー認証に SHA-224 および SHA-384 を使用できるようになりました。ユーザー認証に MD5 を使用できなくなりました。 暗号化に DES を使用できなくなりました。 新規/変更されたコマンド:snmp-server user 新規/変更された画面: |
VPN 機能 |
|
スタティック VTI での IPv6 のサポート |
ASA は、仮想トンネルインターフェイス(VTI)の設定で IPv6 アドレスをサポートしています。 VTI トンネル送信元インターフェイスには、トンネルエンドポイントとして使用するように設定できる IPv6 アドレスを設定できます。トンネル送信元インターフェイスに複数の IPv6 アドレスがある場合は、使用するアドレスを指定できます。指定しない場合は、リストの最初の IPv6 グローバルアドレスがデフォルトで使用されます。 トンネルモードは、IPv4 または IPv6 のいずれかです。ただし、トンネルをアクティブにするには、VTI で設定されている IP アドレスタイプと同じである必要があります。IPv6 アドレスは、VTI のトンネル送信元インターフェイスまたはトンネル宛先インターフェイスに割り当てることができます。 新規/変更されたコマンド:tunnel source interface 、tunnel destination 、tunnel mode |
デバイスあたり 1024 個の VTI インターフェイスのサポート |
デバイスに設定できる VTI の最大数が、100 個から 1024 個に増加しました。 プラットフォームが 1024 個を超えるインターフェイスをサポートしている場合でも、VTI の数はそのプラットフォームで設定可能な VLAN の数に制限されます。たとえば、ASA 5510 は 100 個の VLAN をサポートしているため、トンネル数は 100 から設定された物理インターフェイスの数を引いた数になります。 新規/変更されたコマンド:なし 新規/変更された画面:なし |
SSL の DH グループ 15 のサポート |
SSL 暗号化の DH グループ 15 のサポートが追加されました。 新規/変更されたコマンド: ssl dh-group group15 |
IPsec 暗号化の DH グループ 31 のサポート |
IPsec 暗号化の DH グループ 31 のサポートが追加されました。 新規/変更されたコマンド: set pfs |
IKEv2 キューの SA を制限するサポート |
SA-INIT パケットのキュー数を制限するサポートが追加されました。 新規/変更されたコマンド: crypto ikev2 limit queue sa_init |
IPsec 統計情報をクリアするオプション |
IPsec 統計情報をクリアおよびリセットするための CLI が導入されました。 新規/変更されたコマンド:clear crypto ipsec stats およびclear ipsec stats |
バージョン 9.15 の新機能
ASDM 7.15(1.150) の新機能
リリース日:2021 年 2 月 8 日
このリリースに新機能はありません。
ASA 9.15(1)/ASDM 7.15(1) の新機能
リリース:2020 年 11 月 2 日
機能 |
説明 |
---|---|
プラットフォーム機能 |
|
パブリッククラウド向け ASAv |
次のパブリッククラウドサービスに ASAv を導入しました。
変更されたコマンドはありません。 変更された画面はありません。 |
自動スケールに対する ASAv のサポート |
ASAv は、次のパブリッククラウドサービスの自動スケールをサポートするようになりました。
自動スケーリングは、キャパシティの要件に基づいて ASAv アプリケーションのインスタンス数を増減します。 変更されたコマンドはありません。 変更された画面はありません。 |
ASAv for Microsoft Azure の Accelerated Networking に対するサポート(SR-IOV) |
Microsoft Azure パブリッククラウド上の ASAv は、Azure の Accelerated Networking(AN)をサポートするようになりました。これにより、VM に対するシングルルート I/O の仮想化(SR-IOV)が可能になり、ネットワーキングのパフォーマンスが大幅に向上しています。 変更されたコマンドはありません。 変更された画面はありません。 |
ファイアウォール機能 |
|
クラスタリングでの PAT アドレス割り当ての変更。PAT プールの flat オプションがデフォルトで有効になり、設定できなくなりました。 |
PAT アドレスがクラスタのメンバーに配布される方法が変更されます。以前は、アドレスはクラスタのメンバーに配布されていたため、PAT プールにはクラスタメンバーごとに少なくとも 1 つのアドレスが必要でした。マスターは各 PAT プールアドレスを等しいサイズのポートブロックに分割し、それらをクラスタメンバーに配布するようになりました。各メンバーには、同じ PAT アドレスのポートブロックがあります。したがって、通常 PAT に必要な接続量に応じて、PAT プールのサイズを 1 つの IP アドレスにまで減らすことができます。ポートブロックは、1024 ~ 65535 の範囲で 512 ポートのブロック単位で割り当てられます。オプションで、PAT プールルールを設定するときに、このブロック割り当てに予約ポート 1 〜 1023 を含めることができます。たとえば、単一ノードでは PAT プール IP アドレスあたり 65535 個の接続すべてを処理するのに対し、4 ノードクラスタでは、各ノードは 32 個のブロックを取得し、PAT プール IP アドレスあたり 16384 個の接続を処理できます。 この変更の一環として、スタンドアロンまたはクラスタ内での動作に関わりなく、すべてのシステムの PAT プールは、フラットなポート範囲 1023 〜 65535 を使用できるようになりました。以前は、flat オプションを PAT プールルールに含めることで、フラットな範囲をオプションで使用できました。flat キーワードはサポートされなくなりました。PAT プールは常にフラットになります。include-reserve キーワードは、以前は flat のサブキーワードでしたが、PAT プール構成内の独立したキーワードになりました。このオプションを使用すると、PAT プール内に 1 〜 1023 のポート範囲を含めることができます。 ポートブロック割り当てを設定する(block-allocation PAT プールオプション)と、デフォルトの 512 ポートブロックではなく、独自のブロック割り当てサイズが使用されます。また、クラスタ内のシステムの PAT プールに拡張 PAT を設定することはできません。 新規/変更されたコマンド:nat 、show nat pool 新規/変更された画面:[NAT PAT Pool configuration] |
新規インストールでは、デフォルトで XDMCP インスペクションが無効になっています。 |
以前は、すべてのトラフィックに対して XDMCP インスペクションがデフォルトで有効になっていました。新しいシステムと再イメージ化されたシステムを含む新規インストールでは、XDMCP はデフォルトで無効になっています。このインスペクションが必要な場合は、有効にしてください。アップグレードでは、デフォルトのインスペクション設定を使用して XDMCP インスペクションを有効にしただけでも、XDMCP インスペクションの現在の設定は保持されます。 |
ハイ アベイラビリティとスケーラビリティの各機能 |
|
フェールオーバー遅延の無効化 |
ブリッジグループまたは IPv6 DAD を使用する場合、フェールオーバーが発生すると、新しいアクティブユニットは、スタンバイユニットがネットワーキングタスクを完了してスタンバイ状態に移行するまで、最大 3000 ミリ秒待機します。その後、アクティブユニットはトラフィックの受け渡しを開始できます。この遅延を回避するために、待機時間を無効にすると、スタンバイユニットが移行する前にアクティブユニットがトラフィックの受け渡しを開始します。 新規/変更されたコマンド: failover wait-disable 新規または変更された画面: |
ルーティング機能 |
|
マルチキャスト IGMP インターフェイスの状態制限の 500 から 5000 への引き上げ |
マルチキャスト IGMP インターフェイスの状態制限が 500 から 5000 に引き上げられました。 新規/変更されたコマンド: igmp limit ASDM サポートはありません。 9.12(4) でも同様です。 |
インターフェイス機能 |
|
シングルコンテキストモード用の一意の MAC アドレスの生成に関する ASDM のサポート |
ASDM でシングルコンテキストモードの VLAN サブインターフェイス用に一意の MAC アドレスを生成することを有効にできるようになりました。通常、サブインターフェイスはメイン インターフェイスと同じ MAC アドレスを共有します。IPv6 リンクローカル アドレスは MAC アドレスに基づいて生成されるため、この機能により一意の IPv6 リンクローカル アドレスが許可されます。ASA 9.8(3)、9.8(4)、および 9.9(2) で CLI のサポートが追加された。 新規/変更された画面: |
DDNS の Web 更新方式のサポート |
DDNS の Web 更新方式を使用するようにインターフェイスを設定できるようになりました。 新規/変更されたコマンド: show ddns update interface 、show ddns update method 、web update-url 、web update-type 新規/変更された画面: |
証明書の機能 |
|
スタティック CRL 分散ポイント URL をサポートするための match certificate コマンドの変更 |
静的 CDP URL コンフィギュレーション コマンドでは、CDP を検証中のチェーン内の各証明書に一意にマッピングできます。ただし、このようなマッピングは各証明書で 1 つだけサポートされていました。今回の変更で、静的に設定された CDP を認証用の証明書チェーンにマッピングできるようになりました。 新規/変更されたコマンド:match certificate override cdp 、 |
管理およびトラブルシューティングの機能 |
|
SDI AAA サーバーグループで使用するノードシークレットファイルの RSA Authentication Manager からの手動インポート。 |
SDI AAA サーバーグループで使用するために RSA Authentication Manager からエクスポートしたノードシークレットファイルをインポートできます。 次のコマンドが追加されました。aaa sdi import-node-secret 、clear aaa sdi node-secret 、show aaa sdi node-secrets 。 次の画面が追加されました。 。 |
show fragment コマンドの出力の拡張 |
show fragment コマンドの出力が拡張され、IP フラグメント関連のドロップとエラーカウンタが含まれるようになりました。 変更されたコマンドはありません。 変更された画面はありません |
show tech-support コマンドの出力の拡張 |
show tech-support コマンドの出力が拡張され、暗号アクセラレータに設定されたバイアスが含まれるようになりました。バイアス値は ssl、ipsec、または balanced になります。 変更されたコマンドはありません。 変更された画面はありません |
モニタリング機能 |
|
cplane キープアライブ ホールドタイム値の設定のサポート |
高い CPU 使用率によって通信が遅延するため、キープアライブイベントへの応答が ASA に到達できず、カード障害によるフェールオーバーが発生します。キープアライブタイムアウト期間と最大キープアライブカウンタ値を設定して、十分な時間と再試行が行われるようにできます。 新規/変更されたコマンド: service-module 次の画面を追加しました。 |
VPN 機能 |
|
ネゴシエーション中の SA の絶対値としての最大数設定に対するサポート |
ネゴシエーション中の SA の最大数を絶対値として 15000 まで、または最大デバイスキャパシティから得られる最大値を設定できるようになりました(以前はパーセンテージのみが許可されていました)。 新規/変更されたコマンド: crypto ikev2 limit max-in-negotiation-sa value ASDM サポートはありません。 9.12(4) でも同様です。 |
WebVPN ハンドラのクロスサイト リクエスト フォージェリ(CSRF)の脆弱性の防止 |
ASA は、WebVPN ハンドラの CSRF 攻撃に対する保護を提供します。CSRF 攻撃が検出されると、警告メッセージでユーザーに通知します。この機能は、デフォルトで有効にされています。 |
Kerberos Constrained Delegation(KCD)のケルベロスサーバーの検証 |
KCD 用に設定されている場合、ASA は Kerberos キーを取得するために、設定されたサーバーとの AD ドメイン参加を開始します。これらのキーは、ASA がクライアントレス SSL VPN ユーザーに代わってサービスチケットを要求するために必要です。必要に応じて、ドメイン参加時にサーバーのアイデンティティを検証するように ASA を設定できます。 kcd-server コマンドを変更し、validate-server-certificate キーワードを追加しました。 次の画面を変更しました。 |
バージョン 9.14 の新機能
ASA 9.14(4)/ASDM 7.17(1) の新機能
リリース日:2022 年 2 月 2 日
このリリースに新機能はありません。
ASA 9.14(3)/ASDM 7.15(1.150) の新機能
リリース:2021 年 6 月 15 日
このリリースに新機能はありません。
ASA 9.14(2) の新機能
リリース:2020 年 11 月 9 日
機能 |
説明 |
---|---|
SNMP 機能 |
|
サイト間 VPN 経由の SNMP ポーリング |
サイト間 VPN 経由のセキュアな SNMP ポーリングの場合、VPN 設定の一部として外部インターフェイスの IP アドレスを暗号マップアクセスリストに含めます。 |
ASA 9.14(1.30) の新機能
リリース:2020 年 9 月 23 日
機能 |
説明 |
---|---|
ライセンシング機能 |
|
ASAv100 永続ライセンス予約 |
ASAv100 で製品 ID L-ASAV100SR-K9= を使用した永続ライセンス予約がサポートされるようになりました。注:すべてのアカウントが永続ライセンス予約について承認されているわけではありません。 |
ASDM 7.14(1.48) の新機能
リリース日:2020 年 4 月 30 日
機能 |
説明 |
---|---|
プラットフォーム機能 |
|
ASA 9.12 以前について、ASA 5512-X、5515-X、5585-X、および ASASM に対するサポートが復活 |
この ASDM リリースでは、9.12 以前を実行している場合、ASA 5512-X、5515-X、5585-X、および ASASM に対するサポートが復活しました。これらのモデルの最終 ASA バージョンは 9.12 です。元の 7.13(1) リリースと 7.14(1) リリースでは、これらのモデルでの後方互換性がブロックされていましたが、このバージョンでは互換性が復活しています。 |
ASA 仮想 9.14(1.6) の新機能
リリース日:2020 年 4 月 30 日
(注) |
このリリースは、ASA 仮想 でのみサポートされています。 |
機能 |
説明 |
---|---|
プラットフォーム機能 |
|
ASAv100 プラットフォーム |
ASA 仮想 仮想プラットフォームに、20 Gbps のファイアウォール スループット レベルを提供するハイエンド パフォーマンス モデルの ASAv100 が追加されました。ASAv100 はサブスクリプションベースのライセンスで、期間は 1 年、3 年、または 5 年です。 ASAv100 は、VMware ESXi および KVM でのみサポートされます。 |
ASA 9.14(1)/ASDM 7.14(1) の新機能
リリース日:2020 年 4 月 6 日
機能 |
説明 |
||
---|---|---|---|
プラットフォーム機能 |
|||
Firepower 4112 用の ASA |
Firepower 4112 用の ASA を導入しました。 変更されたコマンドはありません。 変更された画面はありません。
|
||
ファイアウォール機能 |
|||
show access-list の出力でポート番号を表示できる。 |
show access-list コマンドに数値キーワードが追加されました。これを使用すると、アクセス制御エントリの名前ではなくポート番号を表示できます。たとえば、www の代わりに 80 を表示できます。 |
||
object-group icmp-type コマンドが非推奨になった。 |
object-group icmp-type コマンドは、このリリースでも引き続きサポートされますが、推奨されず、将来のリリースで削除される可能性があります。すべての ICMP タイプのオブジェクトをサービス オブジェクト グループに変更し(object-group service )、オブジェクト内で service icmp を指定してください。 |
||
Kerberos キー発行局(KDC)認証。 |
Kerberos キー配布局(KDC)からキータブファイルをインポートできます。システムは、Kerberos サーバーを使用してユーザーを認証する前にサーバーがスプーフィングされていないことを認証できます。KDC 認証を実行するには、Kerberos KDC でホスト/ASA_hostname サービスプリンシパル名(SPN)を設定してから、その SPN のキータブをエクスポートする必要があります。その後に、キータブを ASA にアップロードし、KDC を検証するように Kerberos AAA サーバーグループを設定する必要があります。 新規/変更されたコマンド:aaa kerberos import-keytab 、clear aaa kerberos keytab 、show aaa kerberos keytab 、validate-kdc 新規/変更された画面: 、 Kerberos サーバーグループの [追加/編集(Add/Edit)] ダイアログボックス。 |
||
ハイ アベイラビリティとスケーラビリティの各機能 |
|||
データユニットとの設定の並列同期 |
制御ユニットでは、デフォルトで設定変更がデータユニットと同時に同期化されるようになりました。以前は、順番に同期が行われていました。 新規/変更されたコマンド: config-replicate-parallel 新規/変更された画面: チェックボックス |
||
クラスタへの参加失敗や削除のメッセージが、以下に追加されました。 show cluster history |
クラスタユニットがクラスタへの参加に失敗した場合や、クラスタを離脱した場合の新しいメッセージが、 show cluster history コマンドに追加されました。 新規/変更されたコマンド: show cluster history 変更された画面はありません。 |
||
インターフェイス機能 |
|||
Firepower 1000 および 2100 の 1GB ファイバインターフェイスで速度の自動ネゴシエーションを無効にできる |
自動ネゴシエーションを無効にするように Firepower 1100 または 2100 SFP インターフェイスを設定できるようになりました。10GB インターフェイスの場合、自動ネゴシエーションなしで速度を 1GB に設定できます。速度が 10 GB に設定されているインターフェイスの自動ネゴシエーションは無効にできません。 新規/変更されたコマンド: speed nonegotiate 新規/変更された画面: |
||
管理およびトラブルシューティングの機能 |
|||
新しい connection-data-rate コマンド |
この connection-data-rate コマンドは、ASA での個別接続のデータレートの概要を提供するために導入されました。このコマンドを有効にすると、フローごとのデータレートが既存の接続情報とともに提供されます。この情報は、高いデータレートの望ましくない接続を識別してブロックし、最適な CPU 使用率を確保するために役立ちます。 新規/変更されたコマンド:conn data-rate 、show conn data-rate 、show conn detail 、clear conn data-rate 変更された画面はありません。 |
||
HTTPS アイドルタイムアウトの設定 |
ASDM、WebVPN、および他のクライアントを含む、ASA へのすべての HTTPS 接続のアイドルタイムアウトを設定できるようになりました。これまでは、http server idle-timeout コマンドを使用して ASDM アイドルタイムアウトを設定することしかできませんでした。両方のタイムアウトを設定した場合は、新しいコマンドによる設定が優先されます。 新規/変更されたコマンド: http connection idle-timeout 新規/変更された画面: チェックボックス。 |
||
NTPv4 のサポート |
ASA が NTPv4 をサポートするようになりました。 変更されたコマンドはありません。 変更された画面はありません。 |
||
新しい clear logging counter コマンド |
show logging コマンドは、ASA で設定された各ロギングカテゴリについてログに記録されたメッセージの統計を提供します。clear logging counter コマンドは、ログに記録されたカウンタと統計をクリアするために導入されました。 新規/変更されたコマンド: clear logging counter 変更された画面はありません。 |
||
アプライアンスモードの Firepower 1000 および 2100 での FXOS のデバッグコマンドの変更 |
debug fxos_parser コマンドは簡素化され、FXOS に関して一般に使用されるトラブルシューティング メッセージを提供するようになりました。その他の FXOS デバッグコマンドは、debug menu fxos_parser コマンドの下に移動されました。 新規/変更されたコマンド:debug fxos_parser 、debug menu fxos_parser 変更された画面はありません。 |
||
show tech-support コマンドの拡張 |
show ssl objects コマンドと show ssl errors コマンドが show tech-support コマンドの出力に追加されました。 新規/変更されたコマンド: show tech-support 変更された画面はありません。 9.12(4) でも同様です。 |
||
モニタリング機能 |
|||
Net-SNMP バージョン 5.8 のサポート |
ASA は Net-SNMP(IPv4 と IPv6 の両方を使用して SNMP v1、SNMP v2c、および SNMP v3 を実装するために使用されるアプリケーションスイート)を使用しています。 変更されたコマンドはありません。 新規/変更された画面: |
||
SNMP の MIB および OID |
ASA は、CISCO-REMOTE-ACCESS-MONITOR-MIB のサポートを拡張し、SNMP を介して RADIUS からの認証の拒否/失敗を追跡します。この機能により、次の 3 つの SNMP OID が実装されます。
ASA は、Advanced Encryption Standard(AES)暗号アルゴリズムのサポートを提供します。この機能により、次の SNMP OID が実装されます。
|
||
SNMPv3 認証 |
ユーザー認証に SHA-256 HMAC を使用できるようになりました。 新規/変更されたコマンド:snmp-server user 新規/変更された画面: |
||
debug telemetry 表示されていません。 |
debug telemetry コマンドを使用すると、テレメトリに関連するデバッグメッセージが表示されます。このデバッグは、テレメトリレポートの生成時にエラーの原因を特定するために役立ちます。 新規/変更されたコマンド:debug telemetry 、show debug telemetry 変更された画面はありません。 |
||
VPN 機能 |
|||
VTI での DHCP リレーサーバーのサポート |
DHCP リレーサーバーを設定して、VTI トンネルインターフェイスを介して DHCP メッセージを転送できるようになりました。 新規/変更されたコマンド:dhcprelay server 新規/変更された画面: |
||
複数ピアクリプトマップの IKEv2 サポート |
複数ピアクリプトマップで IKEv2 を設定できるようになりました。トンネル内のピアがダウンすると、IKEv2 はリスト内の次のピアで SA の確立を試みます。 変更されたコマンドはありません。 新規/変更された画面: |
||
複数証明書認証のユーザー名オプション |
複数証明書認証で、1 つの証明書(マシン証明書)または 2 つ目の証明書(ユーザー証明書)のどちらからの属性を AAA 認証に使用するのかを指定できるようになりました。 新規/変更されたコマンド:username-from-certificate-choice、secondary-username-from-certificate-choice 新規/変更された画面: |
バージョン 9.13 の新機能
ASDM 7.13(1.101) の新機能
リリース日:2020 年 5 月 7 日
機能 |
説明 |
---|---|
プラットフォーム機能 |
|
ASA 9.12 以前について、ASA 5512-X、5515-X、5585-X、および ASASM に対するサポートが復活 |
この ASDM リリースでは、9.12 以前を実行している場合、ASA 5512-X、5515-X、5585-X、および ASASM に対するサポートが復活しました。これらのモデルの最終 ASA バージョンは 9.12 です。元の 7.13(1) リリースと 7.14(1) リリースでは、これらのモデルでの後方互換性がブロックされていましたが、このバージョンでは互換性が復活しています。 |
ASA 9.13(1)/ASDM 7.13(1)の新機能
リリース:2019 年 9 月 25 日
機能 |
説明 |
||
---|---|---|---|
プラットフォーム機能 |
|||
Firepower 1010 用の ASA |
Firepower 1010 用の ASA を導入しました。このデスクトップモデルには、組み込みハードウェアスイッチと Power on Ethernet+(PoE+)のサポートが含まれています。 新規/変更されたコマンド:boot system 、clock timezone 、connect fxos admin 、forward interface 、interface vlan 、power inline 、show counters 、show environment 、show interface 、show inventory 、show power inline 、show switch mac-address-table 、show switch vlan 、switchport 、switchport access vlan 、switchport mode 、switchport trunk allowed vlan 新しい/変更された画面: |
||
Firepower 1120、1140、および 1150 用の ASA |
Firepower 1120、1140、および 1150 用の ASA を導入しました。 新規/変更されたコマンド:boot system 、clock timezone 、connect fxos admin 、show counters 、show environment 、show interface 、show inventory 新しい/変更された画面: |
||
Firepower 2100 アプライアンス モード |
Firepower 2100 は、Firepower eXtensible Operating System(FXOS)という基礎となるオペレーティング システムを実行します。Firepower 2100 は、次のモードで実行できます。
新規/変更されたコマンド:boot system 、clock timezone 、connect fxos admin 、fxos mode appliance 、show counters 、show environment 、show fxos mode 、show interface 、show inventory 新しい/変更された画面: |
||
DHCP の予約 |
ASA DHCP サーバーが DHCP の予約をサポートするようになりました。クライアントの MAC アドレスに基づいて、定義されたアドレスプールから DHCP クライアントにスタティック IP アドレスを割り当てることができます。 新規/変更されたコマンド: dhcpd reserve-address 変更された画面はありません。 |
||
ASA 仮想 最小メモリ要件 |
ASA 仮想 の最小メモリ要件は 2GB です。現在の ASA 仮想 が 2GB 未満のメモリで動作している場合、ASA 仮想 VM のメモリを増やすことなく、以前のバージョンから 9.13(1)にアップグレードすることはできません。また、バージョン 9.13(1) を使用して新しい ASA 仮想 VM を再展開することもできます。 変更されたコマンドはありません。 変更された画面はありません。 |
||
ASA 仮想 MSLA サポート |
ASA 仮想 は、シスコのマネージド サービス ライセンス契約(MSLA)プログラムをサポートしています。このプログラムは、マネージド ソフトウェア サービスをサード パーティに提供するシスコのお客様およびパートナー向けに設計された、ソフトウェアのライセンスおよび消費のフレームワークです。 MSLA はスマートライセンスの新しい形式で、ライセンス スマート エージェントは時間単位でライセンス権限付与の使用状況を追跡します。 新規/変更されたコマンド:license smart 、mode 、utility 、custom-id 、custom-info 、privacy 、transport type 、transport url 、transport proxy 新規/変更された画面: 。 |
||
ASA 仮想 柔軟なライセンス |
すべての ASA 仮想 ライセンスは、サポートされているすべての ASA 仮想 vCPU/メモリ構成で使用できるようになりました。セキュアクライアント および TLS プロキシのセッション制限は、モデルタイプに関連付けられたプラットフォーム制限ではなく、インストールされた ASA 仮想 プラットフォームの権限付与によって決まります。 新規/変更されたコマンド: show version 、show vm 、show cpu 、show license features 新規/変更された画面: 。 |
||
AWS の ASA 仮想 での C5 インスタンスのサポート。C4、C3、および M4 インスタンスの拡張サポート |
AWS パブリッククラウド上の ASA 仮想 は、C5 インスタンスをサポートするようになりました(c5.large、c5.xlarge、および c5.2xlarge)。 さらに、C4 インスタンス(c4.2xlarge および c4.4xlarge)、C3 インスタンス(c3.2xlarge、c3.4xlarge、および c3.8xlarge)および M4 インスタンス(m4.2xlarge および m4.4xlarge)のサポートが拡張されました。 変更されたコマンドはありません。 変更された画面はありません。 |
||
より多くの Azure 仮想マシンサイズをサポートする Microsoft Azure の ASA 仮想 |
Microsoft Azure パブリッククラウドの ASA 仮想 は、より多くの Linux 仮想マシンサイズをサポートするようになりました。
以前のリリースでは、Standard_D3 と Standard_D3_v2 のサイズのみがサポートされていました。 変更されたコマンドはありません。 変更された画面はありません。 |
||
DPDK の ASA 仮想 拡張サポート |
ASA 仮想 は、Data Plane Development Kit(DPDK)の拡張機能をサポートして、複数の NIC キューのサポートを有効にします。これにより、マルチコア CPU はネットワーク インターフェイスに同時に効率よくサービスを提供できるようになります。 これは、Microsoft Azure と Hyper-v を除くすべての ASA 仮想 ハイパーバイザに適用されます。
変更されたコマンドはありません。 変更された画面はありません。 |
||
VMware ESXi 6.7 用の ASA 仮想 サポート |
ASA 仮想 仮想プラットフォームは、VMware ESXi 6.7 で動作するホストをサポートしています。vi.ovf および esxi.ovf ファイルに新しい VMware ハードウェア バージョンが追加され、ESXi 6.7 で ASA 仮想 の最適なパフォーマンスと使いやすさを実現しました。 変更されたコマンドはありません。 変更された画面はありません。 |
||
ISA 3000 の VLAN 数の増加 |
Security Plus ライセンスが有効な ISA 3000 について、最大 VLAN 数が 25 から 100 に増えました。 |
||
ファイアウォール機能 |
|||
モバイル端末の場所のロギング(GTP インスペクション) |
GTP インスペクションを設定すると、モバイル端末の初期の場所とそれ以降の場所の変更をログに記録できます。場所の変更を追跡すると、不正なローミング請求を識別するのに役立つ場合があります。 新規/変更されたコマンド:location-logging 新規/変更された画面: 。 |
||
GTPv2 および GTPv1 リリース 15 がサポートされています。 |
システムで GTPv2 3GPP 29.274 V15.5.0 がサポートされるようになりました。GTPv1 の場合、3GPP 29.060 V15.2.0 までサポートしています。新しいサポートでは、2 件のメッセージおよび 53 件の情報要素の認識が追加されています。 変更されたコマンドはありません。 変更された画面はありません。 |
||
アドレスとポート変換のマッピング(MAP-T) |
アドレスとポートのマッピング (MAP) は、主にサービスプロバイダー (SP) ネットワークで使用する機能です。サービス プロバイダーは、IPv6 専用ネットワーク、MAP ドメインを稼働でき、同時に、IPv4 専用のサブスクライバをサポートし、パブリック インターネット上の IPv4 専用サイトとの通信ニーズに対応します。MAP は、RFC7597、RFC7598、および RFC7599 で定義されています。 新規/変更されたコマンド:basic-mapping-rule 、default-mapping-rule 、ipv4-prefix 、ipv6-prefix 、map-domain 、share-ratio 、show map-domain 、start-port 新規/変更されたコマンド: 、 |
||
グループごとの AAA サーバー グループとサーバーの制限が増えました。 |
より多くの AAA サーバー グループを設定できます。シングルコンテキストモードでは、200 個の AAA サーバーグループを設定できます(以前の制限は 100)。マルチコンテキストモードでは、8 個設定できます(以前の制限は 4)。 さらに、マルチコンテキストモードでは、グループごとに 8 台のサーバーを設定できます(以前の制限はグループごとに 4 台のサーバー)。シングル コンテキスト モードのグループごとの制限の 16 は変更されていません。 これらの新しい制限を受け入れるために、次のコマンドが変更されました。aaa-server 、aaa-server host これらの新しい制限を受け入れるために、AAA 画面が変更されました。 |
||
SCCP(Skinny)インスペクションでは、TLS プロキシが廃止されました。 |
tls-proxy キーワード、および SCCP/Skinny 暗号化インスペクションのサポートは廃止されました。このキーワードは今後のリリースで inspect skinny コマンドから削除される予定です。 |
||
VPN 機能 |
|||
クライアントとしての WebVPN の HSTS サポート |
http-headers と呼ばれる WebVPN モードの新しい CLI モードが追加され、WebVPN は、HTTP 参照を HSTS であるホストの HTTPS 参照に変換できるようになりました。ASA からブラウザへの WebVPN 接続用にこのヘッダーを送信する場合、ユーザー エージェントがリソースの埋め込みを許可するかどうかを設定します。 http-headers は次のように設定することも選択できます。x-content-type-options 、x-xss-protection 、hsts-client(クライアントとしての WebVPN の HSTS サポート)、 hsts-server、または content-security-policy 。 新規/変更されたコマンド:webvpn 、show webvpn hsts host (name <hostname&s{253}> | all) 、および clear webvpn hsts host (name <hostname&s{253}> | all) 。 新規/変更された画面: 。 |
||
キー交換用に追加された Diffie-Hellman グループ 15 および 16 |
Diffie-Hellman グループ 15 および 16 のサポートを追加するために、これらの新しい制限を受け入れるようにいくつかの crypto コマンドが変更されました。 crypto ikev2 policy <index> group <number> および crypto map <map-name> <map-index> set pfs <group>. |
||
show asp table vpn-context 出力の機能強化 |
デバッグ機能を強化するために、次の VPN コンテキスト カウンタが出力に追加されました。 Lock Err、No SA、IP Ver Err、および Tun Down。 新しい/変更されたコマンド:show asp table vpn-context (出力のみ)。 |
||
リモートアクセス VPN の最大セッション制限に達した場合の即時セッション確立 |
ユーザーが最大セッション(ログイン)制限に達すると、システムはユーザーの最も古いセッションを削除し、削除が完了するのを待ってから新しいセッションを確立します。これにより、最初の試行でユーザーが正常に接続できなくなる可能性があります。この遅延を削除し、削除の完了を待たずにシステムに新しい接続を確立させることができます。 新規/変更されたコマンド:vpn-simultaneous-login-delete-no-delay 新規/変更された画面:[General]タブ 、[Add/Edit] ダイアログボックス、 |
||
ハイ アベイラビリティとスケーラビリティの各機能 |
|||
デッド接続検出(DCD)の発信側および応答側の情報、およびクラスタ内の DCD のサポート。 |
デッド接続検出(DCD)を有効にした場合は、show conn detail コマンドを使用して発信側と応答側に関する情報を取得できます。デッド接続検出を使用すると、非アクティブな接続を維持できます。show conn の出力は、エンドポイントがプローブされた頻度が示されます。さらに、DCD がクラスタでサポートされるようになりました。 新しい/変更されたコマンド:show conn (出力のみ) 変更された画面はありません。 |
||
クラスタのトラフィック負荷のモニター |
クラスタ メンバのトラフィック負荷をモニターできるようになりました。これには、合計接続数、CPU とメモリの使用率、バッファ ドロップなどが含まれます。負荷が高すぎる場合、残りのユニットが負荷を処理できる場合は、ユニットのクラスタリングを手動で無効にするか、外部スイッチのロード バランシングを調整するかを選択できます。この機能は、デフォルトでイネーブルにされています。 新規/変更されたコマンド:debug cluster load-monitor 、load-monitor 、show cluster info load-monitor 新しい/変更された画面:
|
||
クラスタ結合の高速化 |
データユニットが制御ユニットと同じ設定の場合、設定の同期をスキップし、結合を高速化します。この機能は、デフォルトでイネーブルにされています。この機能はユニットごとに設定され、制御ユニットからデータユニットには複製されません。
新規/変更されたコマンド:unit join-acceleration 、show cluster info unit-join-acceleration incompatible-config 新規/変更された画面: チェックボックス |
||
ルーティング機能 |
|||
SMTP 設定の機能強化 |
必要に応じて、プライマリおよびバックアップ インターフェイス名を指定して SMTP サーバーを設定することで、ロギングに使用するルーティング テーブル(管理ルーティング テーブルまたはデータ ルーティング テーブル)を識別するために ASA を有効にできます。インターフェイスが指定されていない場合、ASA は管理ルーティング テーブル ルックアップを参照し、適切なルート エントリが存在しない場合は、データ ルーティング テーブルを参照します。 新規/変更されたコマンド: smtp-server [primary-interface][backup-interface] |
||
NSF 待機タイマーを設定するためのサポート |
OSPF ルータは、すべてのネイバーがパケットに含まれているか不明な場合、Hello パケットにアタッチされている EO-TLV に RS ビットを設定することが期待されています。また、隣接関係(アジャセンシー)を維持するためにはルータの再起動が必要です。ただし、RS ビット値は RouterDeadInterval 秒より長くすることはできません。timers nsf wait コマンドは、Hello パケットの RS ビットを RouterDeadInterval 秒未満に設定するために導入されました。 新規/変更されたコマンド: timers nsf wait |
||
TFTP ブロックサイズを設定するためのサポート |
TFTP ファイル転送用に固定された一般的なブロックサイズは 512 オクテットです。新しいコマンド tftp blocksize は、より大きなブロックサイズを設定するために導入されました。これにより、TFTP ファイル転送速度が向上します。513 ~ 8192 オクテットのブロックサイズを設定できます。新しいデフォルトのブロックサイズは 1456 オクテットです。このコマンドの no 形式を使用すると、ブロックサイズが古いデフォルト値(512 オクテット)にリセットされます。timers nsf wait コマンドは、Hello パケットの RS ビットを RouterDeadInterval 秒未満に設定するために導入されました。 新規/変更されたコマンド: tftp blocksize |
||
証明書の機能 |
|||
FIPS ステータスを表示するためのサポート |
show running-configuration fips コマンドは、FIPS が有効になっているときにのみ、FIPS のステータスを表示していました。動作状態を確認するために、show fips コマンドが導入されました。このコマンドは、ユーザーが無効状態または有効状態になっている FIPS を有効または無効にしたときに、FIPS のステータスを表示します。このコマンドは、有効化または無効化アクションの後にデバイスを再起動するためのステータスも表示します。 新規/変更されたコマンド: show fips |
||
CRL キャッシュサイズの拡張 |
大規模な CRL ダウンロードの失敗を防ぐため、キャッシュサイズを拡張し、また、個別の CRL 内のエントリ数の制限を取り除きました。
|
||
CRL 分散ポイント コマンドの変更 |
スタティック CDP URL コンフィギュレーション コマンドが削除され、match certificate コマンドに移行しました。 新規/変更されたコマンド:crypto-ca-trustpoint crl と crl url はその他の関連ロジックで削除され、match-certificate override-cdp が導入されました。 新規/変更された画面: スタティック CDP URL は 9.13(1)12 で match certificate コマンドに再導入されました。 |
||
管理およびトラブルシューティングの機能 |
|||
Firepower 1000、 Firepower 2100 アプライアンス モードがライセンス評価モードの場合の管理アクセス |
ASA には、管理アクセスのみを対象にした 3DES 機能がデフォルトで含まれているので、Smart Software Manager に接続でき、すぐに ASDM を使用することもできます。後に ASA で SSH アクセスを設定する場合は、SSH および SCP を使用することもできます。高度な暗号化を必要とするその他の機能(VPN など)では、最初に Smart Software Manager に登録する必要がある高度暗号化が有効になっている必要があります。
変更されたコマンドはありません。 変更された画面はありません。 |
||
追加の NTP 認証アルゴリズム |
以前は、NTP 認証では MD5 だけがサポートされていました。ASA は、次のアルゴリズムをサポートするようになりました。
新規/変更されたコマンド: ntp authentication-key 新しい/変更された画面: > [Add NTP Server Configuration] ダイアログボックス > [Key Algorithm] ドロップダウンリスト ボタン |
||
Firepower 4100/9300 の ASA Security Service Exchange(SSE)テレメトリ サポート |
ネットワークで Cisco Success Network を有効にすると、デバイスの使用状況に関する情報と統計情報がシスコに提供され、テクニカル サポートの最適化に使用されます。ASA デバイスで収集されるテレメトリ データには、CPU、メモリ、ディスク、または帯域幅の使用状況、ライセンスの使用状況、設定されている機能リスト、クラスタ/フェールオーバー情報などが含まれます。 新規/変更されたコマンド:service telemetry および show telemetry 新しい/変更された画面: |
||
事前定義されたリストに応じて最も高いセキュリティから最も低いセキュリティへという順序で SSH 暗号化の暗号を表示 |
事前定義されたリストに応じて、SSH 暗号化の暗号が最も高いセキュリティから最も低いセキュリティへという順序(中または高)で表示されるようになりました。以前のリリースでは、最も低いものから最も高いものへの順序でリストされており、セキュリティが高い暗号よりも低い暗号が先に表示されていました。 新規/変更されたコマンド: ssh cipher encryption 新しい/変更された画面:
|
||
show tech-support に追加の出力が含まれている |
show tech-support の出力が強化され、次の出力が表示されるようになりました。 show flow-offload info detail show flow-offload statistics show asp table socket 新しい/変更されたコマンド:show tech-support (出力のみ) |
||
ドロップ ロケーション情報を含む show-capture asp_drop 出力の機能強化 |
ASP ドロップ カウンタを使用したトラブルシューティングでは、同じ理由による ASP ドロップがさまざまな場所で使用されている場合は特に、ドロップの正確な位置は不明です。この情報は、ドロップの根本原因を特定する上で重要です。この拡張機能を使用すると、ビルド ターゲット、ASA リリース番号、ハードウェア モデル、および ASLR メモリ テキスト領域などの ASP ドロップの詳細が表示されます(ドロップの位置のデコードが容易になります)。 新規/変更されたコマンド: show-capture asp_drop |
||
変更内容 debug crypto ca |
debug crypto ca transactions および debug crypto ca messages オプションは、すべての該当するコンテンツを debug crypto ca コマンド自体に提供するために統合されています。また、使用可能なデバッグ レベルの数が 14 に削減されました。 新規/変更されたコマンド: debug crypto ca |
||
Firepower 1000 および2100 の FXOS 機能 |
|||
安全消去 |
安全消去機能は、SSD 自体で特別なツールを使用してもデータを回復できないように、SSD 上のすべてのデータを消去します。デバイスを使用停止する場合は、FXOS で安全に消去する必要があります。 新規/変更された FXOS コマンド:erase secure (local-mgmt) サポートされているモデル:Firepower 1000 および 2100 |
||
設定可能な HTTPS プロトコル |
FXOS HTTPS アクセス用の SSL/TLS のバージョンを設定できます。 新規/変更された FXOS コマンド: set https access-protocols サポートされているモデル:プラットフォーム モードの Firepower 2100 |
||
IPSec およびキーリングの FQDN の適用 |
FXOS では、ピアの FQDN がそのピアによって提示された x.509 証明書の DNS 名と一致する必要があるように、FQDN の適用を設定できます。IPSec の場合、9.13(1) より前に作成された接続を除き、適用はデフォルトで有効になっています。古い接続への適用は手動で有効にする必要があります。キーリングの場合、すべてのホスト名が FQDN である必要があり、ワイルドカードは使用できません。 新規/変更された FXOS コマンド:set dns、set e-mail、 set fqdn-enforce 、set ip 、set ipv6 、set remote-address 、set remote-ike-id 削除されたコマンド:fi-a-ip 、fi-a-ipv6 、fi-b-ip 、fi-b-ipv6 サポートされているモデル:プラットフォーム モードの Firepower 2100 |
||
新しい IPSec 暗号とアルゴリズム |
FXOS 管理トラフィックを暗号化する IPSec トンネルを設定するために、次の IKE および ESP 暗号とアルゴリズムが追加されました。
変更された FXOS コマンドはありません。 サポートされているモデル:プラットフォーム モードの Firepower 2100 |
||
SSH 認証の機能拡張 |
FXOS では、次の SSH サーバー暗号化アルゴリズムが追加されました。
FXOS では、次の SSH サーバーキー交換方式が追加されました。
新規/変更された FXOS コマンド:set ssh-server encrypt-algorithm 、set ssh-server kex-algorithm サポートされているモデル:プラットフォーム モードの Firepower 2100 |
||
X.509 証明書の EDCS キー |
FXOS 証明書に EDCS キーを使用できるようになりました。以前は、RSA キーだけがサポートされていました。 新規/変更された FXOS コマンド:set elliptic-curve 、set keypair-type サポートされているモデル:プラットフォーム モードの Firepower 2100 |
||
ユーザー パスワードの改善 |
次のような FXOS パスワードセキュリティの改善が追加されました。
新規/変更された FXOS コマンド:set change-during-interval 、set expiration-grace-period 、set expiration-warning-period 、set history-count 、set no-change-interval 、set password 、set password-expiration 、set password-reuse-interval 新規/変更された [Firepower Chassis Manager] 画面:
サポートされているモデル:プラットフォーム モードの Firepower 2100 |
バージョン 9.12 の新機能
ASA 9.12(4) の新機能
リリース日:2020 年 5 月 26 日
機能 |
説明 |
---|---|
ルーティング機能 |
|
マルチキャスト IGMP インターフェイスの状態制限の 500 から 5000 への引き上げ |
マルチキャスト IGMP インターフェイスの状態制限が 500 から 5000 に引き上げられました。 新規/変更されたコマンド: igmp limit ASDM サポートはありません。 |
トラブルシューティング機能 |
|
show tech-support コマンドの拡張 |
show ssl objects コマンドと show ssl errors コマンドが show tech-support コマンドの出力に追加されました。 新規/変更されたコマンド: show tech-support 変更された画面はありません。 |
VPN 機能 |
|
ネゴシエーション中の SA の絶対値としての最大数設定に対するサポート |
ネゴシエーション中の SA の最大数を絶対値として 15000 まで、または最大デバイスキャパシティから得られる最大値を設定できるようになりました(以前はパーセンテージのみが許可されていました)。 新規/変更されたコマンド: crypto ikev2 limit max-in-negotiation-sa value ASDM サポートはありません。 |
ASA 9.12(3) の新機能
リリース日:2019 年 11 月 25 日
このリリースに新機能はありません。
ASA 9.12(2)/ASDM 7.12(2) の新機能
リリース日:2019 年 5 月 30 日
機能 |
説明 |
---|---|
プラットフォーム機能 |
|
Firepower 9300 SM-56 のサポート |
セキュリティ モジュール、SM-56 を導入しました。 FXOS 2.6.1.157 が必要です。 変更されたコマンドはありません。 変更された画面はありません。 |
管理機能 |
|
SSH キー交換モードの設定は、管理コンテキストに限定されています。 |
管理コンテキストでは SSH キー交換を設定する必要があります。この設定は、他のすべてのコンテキストによって継承されます。 新規/変更されたコマンド: ssh key-exchange 新規/変更された画面: |
ASDM 機能 |
|
ASDM の OpenJRE バージョン |
OracleJRE ではなく、OpenJRE 1.8.x を使用する ASDM のバージョンをインストールできます。OpenJRE バージョンのファイル名は、asdm-openjre-version.bin です。 |
オプションで ASA FirePOWER モジュールのローカル管理ファイル フォルダを指定 |
ASA FirePOWER モジュールのローカル管理ファイルをインストールする場所を指定できるようになりました。設定された場所に対して読み取り/書き込み権限を持っている必要があります。 新規/変更された画面: 領域 |
ASA 9.12(1)/ASDM 7.12(1) の新機能
リリース:2019 年 3 月 13 日
機能 |
説明 |
---|---|
プラットフォーム機能 |
|
Firepower 4115、4125、および 4145 向け ASA |
Firepower 4115、4125、および 4145 が導入されました。 FXOS 2.6.1 が必要です。 変更されたコマンドはありません。 変更された画面はありません。 |
ASA および 脅威に対する防御 を同じ Firepower 9300 の別のモジュールでサポート |
ASA および 脅威に対する防御 論理デバイスを同じ Firepower 9300 上で展開できるようになりました。 FXOS 2.6.1 が必要です。 変更されたコマンドはありません。 変更された画面はありません。 |
Firepower 9300 SM-40 および SM-48 のサポート |
2 つのセキュリティ モジュール、SM-40 および SM-48 が導入されました。 FXOS 2.6.1 が必要です。 変更されたコマンドはありません。 変更された画面はありません。 |
ファイアウォール機能 |
|
GTPv1 リリース 10.12 のサポート |
システムで GTPv1 リリース 10.12 がサポートされるようになりました。以前は、リリース 6.1 がサポートされていました。新しいサポートでは、25 件の GTPv1 メッセージおよび 66 件の情報要素の認識が追加されています。 さらに、動作の変更もあります。不明なメッセージ ID が許可されるようになりました。以前は、不明なメッセージはドロップされ、ログに記録されていました。 変更されたコマンドはありません。 変更された画面はありません。 |
Cisco Umbrella の強化 |
Cisco Umbrella をバイパスする必要があるローカル ドメイン名を特定できるようになりました。これらのドメインの DNS 要求は、Umbrella を処理せず DNS サーバーに直接送信されます。また、DNS 要求の解決に使用する Umbrella サーバーも特定できるようになりました。さらに、Umbrella サーバーを使用できない場合は、DNS 要求がブロックされないように、Umbrella インスペクション ポリシーをフェール オープンに定義することができます。 新規/変更されたコマンド:local-domain-bypass 、resolver 、umbrella fail-open 新規/変更された画面: 、 |
オブジェクト グループの検索しきい値がデフォルトで無効になりました。 |
これまではオブジェクト グループの検索が有効になると、この機能によりしきい値が適用され、パフォーマンスの低下を防止していました。そのしきい値が、デフォルトで無効になりました。しきい値は、object-group-search threshold コマンドを使用して有効にできます。 新規/変更されたコマンド:object-group-search threshold 次の画面が変更されました: |
NAT のポート ブロック割り当てに対する暫定ログ |
NAT のポート ブロックの割り当てを有効にすると、ポート ブロックの作成および削除中にシステムで syslog メッセージが生成されます。暫定ログの記録を有効にすると、指定した間隔でメッセージ 305017 が生成されます。メッセージは、その時点で割り当てられているすべてのアクティブ ポート ブロックをレポートします(プロトコル(ICMP、TCP、UDP)、送信元および宛先インターフェイス、IP アドレス、ポート ブロックを含む)。 新規/変更されたコマンド:xlate block-allocation pba-interim-logging seconds 新規/変更された画面: |
VPN 機能 |
|
debug aaa の新しい condition オプション |
condition オプションが debug aaa コマンドに追加されました。このオプションを使用すると、グループ名、ユーザー名またはピア IP アドレスに基づいて VPN デバッグをフィルタ処理できます。 新規/変更されたコマンド: debug aaa condition 変更された画面はありません。 |
IKEv2 での RSA SHA-1 のサポート |
IKEv2 の RSA SHA-1 ハッシュ アルゴリズムを使用して署名を生成できるようになりました。 新規/変更されたコマンド: rsa-sig-sha1 新しい/変更された画面: |
DES と3DES の両方の暗号化ライセンス、および使用可能な暗号のデフォルトの SSL 設定を表示します。 |
3DES 暗号化ライセンスの有無にかかわらず、デフォルトの SSL 設定を表示できるようになりました。さらに、デバイスでサポートされているすべての暗号を表示することもできます。 新規/変更されたコマンド: show ssl information 変更された画面はありません。 |
webVPN HSTS へのサブドメインの追加 |
ドメイン所有者は、Web ブラウザの HSTS プリロード リストに含める必要があるドメインを送信できます。 新規/変更されたコマンド: hostname(config-webvpn) includesubdomains 新しい/変更された画面: フィールド > [Enable HSTS Subdomains] |
ハイ アベイラビリティとスケーラビリティの各機能 |
|
サイトごとのクラスタリング用 Gratuitous ARP |
ASA では、Gratuitous ARP(GARP)パケットを生成してスイッチング インフラストラクチャを常に最新の状態に保つようになりました。各サイトの優先順位値が最も高いメンバによって、グローバル MAC/IP アドレスの GARP トラフィックが定期的に生成されます。クラスタから送信されたサイトごとの MAC および IP アドレスとパケットがサイト固有の MAC アドレスおよび IP アドレスを使用するのに対し、クラスタで受信したパケットは、グローバル MAC アドレスおよび IP アドレスを使用します。トラフィックがグローバル MAC アドレスから定期的に生成されない場合、グローバル MAC アドレスのスイッチで MAC アドレスのタイムアウトが発生する可能性があります。タイムアウト後にグローバル MAC アドレスへのトラフィックがスイッチング インフラストラクチャ全体にわたりフラッディングされ、これによりパフォーマンスおよびセキュリティ上の問題が発生することがあります。各スパンド EtherChannel のユニットおよびサイト MAC アドレスごとにサイト ID を設定すると、GARP がデフォルトで有効になります。 新規/変更されたコマンド: site-periodic-garp interval 新規/変更された画面: フィールド |
マルチコンテキストモードの HTTPS リソース管理 |
リソースクラスの非 ASDM HTTPS セッションの最大数を設定できるようになりました。デフォルトでは、制限はコンテキストあたり最大 6 に設定でき、すべてのコンテキスト全体では最大 100 の HTTPS セッションを使用できます。 新規/変更されたコマンド: limit-resource http ASDM サポートはありません。 |
ルーティング機能 |
|
認証のための OSPF キー チェーンのサポート |
OSPF は、MD5 キーを使用してネイバーおよびルート アップデートを認証します。ASA では、MD5 ダイジェストの生成に使用されるキーには関連付けられている有効期間がありませんでした。したがって、キーを定期的に変更するにはユーザーによる介入が必要でした。この制限を打破するために、OSPFv2 は循環キーを使用した MD5 認証をサポートしています。 キー チェーンのキーの承認と送信の有効期間に基づいて、OSPF 認証でキーおよびフォームの隣接関係を承認または拒否します。 新規/変更されたコマンド:accept-lifetime 、area virtual-link authentication 、cryptographic-algorithm 、key 、key chain 、key-string 、ospf authentication 、send-lifetime 新しい/変更された画面: |
証明書の機能 |
|
登録用 URL のローカル CA を設定可能な FQDN |
ASA の構成済み FQDN を使用する代わりに設定可能な登録用 URL の FQDN を作成するため、新しい CLI オプションが導入されました。この新しいオプションは、crypto ca server の smpt モードに追加されます。 新規/変更されたコマンド: fqdn |
管理、モニタリング、およびトラブルシューティングの機能 |
|
enable ログイン時にパスワードの変更が必要になりました |
デフォルトの enable のパスワードは空白です。ASA で特権 EXEC モードへのアクセスを試行する場合に、パスワードを 3 文字以上の値に変更することが必須となりました。空白のままにすることはできません。no enable password コマンドは現在サポートされていません。 CLI で aaa authorization exec auto-enable を有効にすると、enable コマンド、login コマンド(特権レベル 2 以上のユーザー)、または SSH/Telnet セッションを使用して特権 EXEC モードにアクセスできます。これらの方法ではすべて、イネーブル パスワードを設定する必要があります。 このパスワード変更の要件は、ASDM のログインには適用されません。ASDM のデフォルトでは、ユーザー名を使用せず enable パスワードを使用してログインすることができます。 新規/変更されたコマンド: enable password 変更された画面はありません。 |
管理セッションの設定可能な制限 |
集約、ユーザー単位、およびプロトコル単位の管理セッションの最大数を設定できます。これまでは、セッションの集約数しか設定できませんでした。この機能がコンソール セッションに影響を与えることはありません。マルチ コンテキスト モードでは HTTPS セッションの数を設定することはできず、最大セッション数は 5 で固定されています。また、quota management-session コマンドはシステム コンフィギュレーションでは受け入れられず、代わりにコンテキスト コンフィギュレーションで使用できるようになっています。集約セッションの最大数が 15 になりました。0(無制限)または 16 以上に設定してアップグレードすると、値は 15 に変更されます。 新規/変更されたコマンド:quota management-session 、show quota management-session 新規/変更された画面: |
管理権限レベルの変更通知 |
有効なアクセス(aaa authentication enable console) を認証するか、または特権 EXEC への直接アクセス(aaa authorization exec auto-enable )を許可すると、前回のログイン以降に割り当てられたアクセス レベルが変更された場合に ASA からユーザーへ通知されるようになりました。 新規/変更されたコマンド: show aaa login-history 新しい/変更された画面: [Status] バー > [Login History] アイコン |
IPv6 での NTP サポート |
NTP サーバーに IPv6 アドレスを指定できるようになりました。 新規/変更されたコマンド: ntp server 新規/変更された画面: ダイアログ ボックス ボタン > [Add NTP Server Configuration] |
SSH によるセキュリティの強化 |
次の SSH セキュリティの改善を参照してください。
新規/変更されたコマンド:ssh cipher integrity 、ssh key-exchange group dh-group14-sha256 新規/変更された画面: |
非ブラウザベースの HTTPS クライアントによる ASA へのアクセスの許可 |
非ブラウザベースの HTTPS クライアントが ASA 上の HTTPS サービスにアクセスできるようにすることができます。デフォルトでは、ASDM、CSM、および REST API が許可されています。 新規/変更されたコマンド: http server basic-auth-client 新規/変更された画面:
|
クラスタ制御リンク上でのみのコントロール プレーン パケットのキャプチャ |
クラスタ制御リンク(およびデータ プレーン パケットなし)でのみコントロール プレーン パケットをキャプチャできるようになりました。このオプションは、マルチコンテキスト モードのシステムで、ACL を使用してトラフィックを照合できない場合に役立ちます。 新規/変更されたコマンド: capture interface cluster cp-cluster 新規/変更された画面:
|
debug conn コマンド |
接続処理を記録する 2 つの履歴メカニズムを提供するために debug conn コマンドが追加されました。1 つ目の履歴リストはスレッドの操作を記録するスレッドごとのリストです。2 つ目の履歴リストは conn グループに操作を記録するリストです。接続が有効になっている場合、接続のロック、ロック解除、削除などの処理イベントが 2 つの履歴リストに記録されます。問題が発生すると、これら 2 つのリストを使用して不正なロジックを判断する処理で確認することができます。 新規/変更されたコマンド: debug conn |
show tech-support に追加の出力が含まれている |
show tech-support の出力が拡張され、次の出力が表示されるようになりました。
新規/変更されたコマンド: show tech-support |
SNMP ウォーク操作中の空きメモリおよび使用済みメモリの統計情報の結果の有効化および無効化の ASDM サポート |
CPU リソースが過剰に使用されないようにするには、SNMP ウォーク操作によって収集された空きメモリと使用済みメモリの統計情報のクエリを有効または無効にすることができます。 新規または変更された画面: |
マルチコンテキスト モードのシステムの ASDM [Home] ペインに設定可能なグラフ更新間隔 |
マルチコンテキスト モードのシステムでは、[Home] ペインのグラフの更新間隔の時間を設定できるようになりました。 新規/変更された画面:
|
バージョン 9.10 の新機能
ASA 9.10(1)/ASDM 7.10(1) の新機能
リリース日:2018 年 10 月 25 日
機能 |
説明 |
---|---|
プラットフォーム機能 |
|
ASA 仮想 用の ASAv VHD カスタムイメージ |
シスコが提供する圧縮 VHD イメージを使用して、Azure に独自のカスタム ASA 仮想 イメージを作成できるようになりました。VHD イメージを使用して展開するには、Azure ストレージ アカウントに VHD イメージをアップロードする必要があります。次に、アップロードしたディスクイメージおよび Azure Resource Manager テンプレートを使用して、管理対象イメージを作成できます。Azure テンプレートは、リソースの説明とパラメータの定義が含まれている JSON ファイルです。 |
Azure 用 ASA 仮想 |
ASA 仮想 は Azure 中国市場で入手できます。 |
DPDK の ASA 仮想 サポート |
DPDK(データプレーン開発キット)は、ポーリングモードドライバを使用して ASA 仮想 のデータプレーンに統合されています。 |
FirePOWER モジュール バージョン 6.3 の ISA 3000 サポート |
以前サポート対象だったバージョンは FirePOWER 5.4 でした。 |
ファイアウォール機能 |
|
Cisco Umbrella サポート |
Cisco Umbrella で定義されている エンタープライズ セキュリティ ポリシーをユーザー接続に適用できるように DNS 要求を Cisco Umbrella へリダイレクトするようにデバイスを設定できます。FQDN に基づいて接続を許可またはブロックできます。または、疑わしい FQDN の場合は Cisco Umbrella インテリジェント プロキシにユーザーをリダイレクトして URL フィルタリングを実行できます。Umbrella の設定は、DNS インスペクション ポリシーに含まれています。 新規/変更されたコマンド:umbrella 、umbrella-global 、token 、public-key 、timeout edns 、dnscrypt 、show service-policy inspect dns detail 新しい/変更された画面: 、 |
MSISDN および選択モードのフィルタリング、アンチリプレイ、およびユーザー スプーフィング保護に対する GTP インスペクションの機能拡張 |
モバイル ステーション国際サブスクライバ電話番号(MSISDN)または選択モードに基づいて PDP コンテキストの作成メッセージをドロップするように GTP インスペクションを設定できるようになりました。また、アンチリプレイとユーザー スプーフィング保護も実装できます。 新規/変更されたコマンド: anti-replay 、gtp-u-header-check 、match msisdn 、match selection-mode 新規/変更された画面: ダイアログボックス |
TCP ステート バイパスのデフォルトのアイドル タイムアウト |
TCP ステート バイパス接続のデフォルトのアイドル タイムアウトは 1 時間ではなく、2 分になりました。 |
カットスルー プロキシ ログイン ページからのログアウト ボタンの削除をサポート |
ユーザー ID 情報(AAA 認証 リスナー)を取得するようにカットスルー プロキシを設定している場合、ページからログアウト ボタンを削除できるようになりました。これは、ユーザーが NAT デバイスの背後から接続し、IP アドレスで識別できない場合に便利です。1 人のユーザーがログアウトすると、その IP アドレスのすべてのユーザーがログアウトされます。 新規/変更されたコマンド: aaa authentication listener no-logout-button ASDM サポートはありません。 9.8(3) でも同様。 |
Trustsec SXP 接続の設定可能な削除ホールド ダウン タイマー |
デフォルトの SXP 接続ホールド ダウン タイマーは 120 秒です。このタイマーを 120 ~ 64000 秒に設定できるようになりました。 新規/変更されたコマンド:cts sxp delete-hold-down period 、show cts sxp connection brief 、show cts sxp connections ASDM サポートはありません。 9.8(3) でも同様。 |
トランスペアレント モードでの NAT'ed フローのオフロードをサポート |
フロー オフロード(flow-offload enable および set connection advanced-options flow-offload コマンド)を使用している場合、トランスペアレント モードで NAT を必要とするフローをオフロードされたフローに含めることができるようになりました。 |
Firepower Firepower 4100/9300 ASA 論理デバイスのトランスペアレントモード展開のサポート |
Firepower 4100/9300 で ASA を展開するときに、トランスペアレントまたはルーテッド モードを指定できるようになりました。 新規/変更された FXOS コマンド:enter bootstrap-key FIREWALL_MODE 、set value routed 、set value transparent 新規/変更された [Firepower Chassis Manager] 画面:
新規/変更されたオプション:[Firewall Mode] ドロップダウン リスト |
VPN 機能 |
|
従来の SAML 認証のサポート |
CSCvg65072 の修正とともに ASA を展開すると、SAML のデフォルト動作で、AnyConnect 4.4 または 4.5 ではサポートされていない組み込みブラウザが使用されます。そのため、引き続き AnyConnect 4.4 または 4.5 を使用するには、従来の外部ブラウザで SAML 認証方式を有効にする必要があります。セキュリティ上の制限があるため、このオプションは、AnyConnect 4.6(またはそれ以降)に移行するための一時的な計画の一環としてのみ使用してください。このオプションは近い将来に廃止されます。 新規/変更されたコマンド: saml external-browser 新しい/変更された画面: [Secure Client AnyConnect接続プロファイル(Secure Client Connection Profiles)] ページ > [接続プロファイル(Connection Profiles)] 領域 > [追加(Add)] ボタン > [Secure Client 接続プロファイルの追加(Add Secure Client AnyConnect Connection Profile)] ダイアログボックス >領域 > [Add] ボタン > [Add Clientless SSL VPN Connection Profile] ダイアログボックス ページ > [Connection Profiles]新規および変更されたオプション:[SAML External Browser] チェックボックス 9.8(3) でも同様。 |
セキュアクライアント VPN リモートアクセス接続のための DTLS 1.2 サポート |
DTLS 1.2(RFC-6347 で規定)では、現在サポートされている DTLS 1.0(バージョン番号 1.1 は DTLS には使用されません)に加えて、 Cisco Secure クライアントの AnyConnect VPN モジュール もサポートされるようになりました。これは、5506-X、5508-X、および 5516-X を除くすべての ASA モデルに適用され、ASA がクライアントではなく、サーバーとしてのみ機能している場合に適用されます。DTLS 1.2 は、現在のすべての TLS/DTLS 暗号方式と大きな Cookie サイズに加えて、追加の暗号方式をサポートしています。 新規/変更されたコマンド:show run ssl、show vpn-sessiondb detail anyconnectssl cipher、ssl server-version 新規/変更された画面: |
ハイ アベイラビリティとスケーラビリティの各機能 |
|
Firepower 4100/9300 のクラスタ制御リンクのカスタマイズ可能な IP アドレス |
クラスタ制御リンクのデフォルトでは 127.2.0.0/16 ネットワークが使用されます。これで FXOS でクラスタを展開するときにネットワークを設定できます。シャーシは、シャーシ ID およびスロット ID(127.2.chassis_id.slot_id)に基づいて、各ユニットのクラスタ制御リンク インターフェイス IP アドレスを自動生成します。ただし、一部のネットワーク展開では、127.2.0.0/16 トラフィックはパスできません。そのため、ループバック(127.0.0.0/8)およびマルチキャスト(224.0.0.0/4)アドレスを除き、FXOS にクラスタ制御リンクのカスタム /16 サブネットを作成できるようになりました。 新規/変更された FXOS コマンド: set cluster-control-link network 新規/変更された [Firepower Chassis Manager] 画面:
新規/変更されたオプション:[CCL Subnet IP] フィールド |
Firepower 9300 シャーシごとのクラスタ ユニットのパラレル参加 |
Firepower 9300 の場合、この機能により、シャーシ内のセキュリティ モジュールがクラスタに同時に参加し、トラフィックがモジュール間で均等に分散されるようになります。他のモジュールよりもかなり前に参加したモジュールは、他のモジュールがまだ負荷を共有できないため、必要以上のトラフィックを受信することがあります。 新規/変更されたコマンド: unit parallel-join 新しい/変更された画面:
新規/変更されたオプション:[Parallel Join of Units Per Chassis] エリア |
クラスタ インターフェイス デバウンス時間は、ダウン状態から稼働状態に変更するインターフェイスに適用されるようになりました。 |
インターフェイスのステータス更新が発生すると、ASA はインターフェイスを障害としてマークし、クラスタからユニットを削除するまで health-check monitor-interface debounce-time コマンドまたは ASDM 画面で指定されたミリ秒数待機します。この機能は、ダウン状態から稼働状態に変更するインターフェイスに適用されるようになりました。たとえば、ダウン状態から稼働状態に移行している EtherChannel の場合(スイッチがリロードされた、またはスイッチが有効になっている EtherChannel など)、デバウンス時間を長くすることで、他のクラスタ ユニットの方がポートのバンドルが速いという理由だけで、クラスタ ユニット上でインターフェイスがエラー表示されるのを防ぐことができます。 変更されたコマンドはありません。 変更された画面はありません。 |
Microsoft Azure Government クラウドでの ASA 仮想 のアクティブ/バックアップの高可用性 |
アクティブな ASA 仮想 の障害が Microsoft Azure パブリッククラウドのバックアップ ASA 仮想 へのシステムの自動フェールオーバーをトリガーするのを許可する、ステートレスなアクティブ/バックアップソリューションが、Azure Government クラウドで使用できるようになりました。 新規または変更されたコマンド:failover cloud 新規または変更された画面:
|
インターフェイス機能 |
|
Firepower 2100/4100/9300 のスーパーバイザの関連付けを表示するための show interface ip brief および show ipv6 interface の出力の強化 |
Firepower 2100/4100/9300 の場合、コマンドの出力は、インターフェイスのスーパーバイザの関連付けステータスを表示するために強化されています。 新規/変更されたコマンド:show interface ip brief、show ipv6 interface |
Firepower 2100 では、set lacp-mode コマンドが set port-channel-mode に変更されています。 |
set lacp-mode コマンドは、Firepower 4100/9300 でのコマンドの使用方法に合わせるために set port-channel-mode に変更されています。 新規/変更された FXOS コマンド: set port-channel-mode |
管理、モニタリング、およびトラブルシューティングの機能 |
|
Firepower 2100 の NTP 認証のサポート |
FXOS で SHA1 NTP サーバー認証を設定できるようになりました。 新規/変更された FXOS コマンド:enable ntp-authentication、set ntp-sha1-key-id、set ntp-sha1-key-string 新規/変更された [Firepower Chassis Manager] 画面:
新規/変更されたオプション:[NTP Server Authentication: Enable] チェックボックス、[Authentication Key] フィールド、[Authentication Value] フィールド |
ACL を使用せず IPv6 トラフィックを一致させるためのパケット キャプチャのサポート |
capture コマンドの match キーワードを使用する場合、any キーワードは IPv4 トラフィックのみ照合します。IPv4 または IPv6 トラフィックをキャプチャするために、any4 と any6 キーワードを指定できるようになりました。any キーワードでは、引き続き IPv4 トラフィックのみ照合されます。 新規/変更されたコマンド:capture match ASDM サポートはありません。 |
Firepower 2100 の FXOS に対する SSH の公開キー認証のサポート |
SSH キーを設定し、パスワード認証の代わりに公開キー認証を使用したり、両方の認証を使用したりできます。 新規/変更された FXOS コマンド:set sshkey Firepower Chassis Manager のサポートはありません。 |
GRE および IPinIP カプセル化のサポート |
内部インターフェイス上でパケット キャプチャを実行するときに、ICMP、UDP、TCP などでの GRE および IPinIP カプセル化を表示するコマンドの出力が強化されています。 新規/変更されたコマンド:show capture |
アプリケーションのキャッシュの割り当てを制限するメモリしきい値を有効にするためのサポート |
デバイスの管理性と安定性を維持するためのメモリの予約ができるように、特定のメモリしきい値に達するアプリケーション キャッシュの割り当てを制限することができます。 新規/変更されたコマンド:memory threshold enable、show run memory threshold、clear conf memory threshold |
RFC 5424 ロギングのタイムスタンプのサポート |
RFC 5424 形式に従ってロギング タイムスタンプを有効にできます。 新規/変更されたコマンド:logging timestamp |
TCB-IPS のメモリ使用量を表示するためのサポート |
TCB-IPS でのアプリケーション レベルのメモリ キャッシュを表示します。 新規/変更されたコマンド:show memory app-cache |
SNMP ウォーク操作中の空きメモリおよび使用済みメモリの統計情報の結果を有効または無効にするためのサポート |
CPU リソースが過剰に使用されないようにするには、SNMP ウォーク操作によって収集された空きメモリと使用済みメモリの統計情報のクエリを有効または無効にすることができます。 新規/変更されたコマンド:snmp-server enable oid ASDM サポートはありません。 |
バージョン 9.9 の新機能
ASDM 7.9(2.152) の新機能
リリース日:2018 年 5 月 9 日
機能 |
説明 |
---|---|
VPN 機能 |
|
従来の SAML 認証のサポート |
CSCvg65072 の修正とともに ASA を展開すると、SAML のデフォルト動作で、AnyConnect 4.4 または 4.5 ではサポートされていない組み込みブラウザが使用されます。そのため、引き続き AnyConnect 4.4 または 4.5 を使用するには、従来の外部ブラウザで SAML 認証方式を有効にする必要があります。セキュリティ上の制限があるため、このオプションは、AnyConnect 4.6 に移行するための一時的な計画の一環としてのみ使用してください。このオプションは近い将来に廃止されます。 新しい/変更された画面: セキュアクライアント ページ > [接続プロファイル(Connection Profiles)] 領域 > [追加(Add)] ボタン > [追加(Add)] セキュアクライアント[接続プロファイル(Connection Profile)] ダイアログ 領域 > [Add] ボタン > [Add Clientless SSL VPN Connection Profile] ダイアログボックス ページ > [Connection Profiles]新規および変更されたオプション:[SAML External Browser] チェックボックス |
ASA 9.9(2)/ASDM 7.9(2) の新機能
リリース:2018年3月26日
機能 |
説明 |
||
---|---|---|---|
プラットフォーム機能 |
|||
VMware ESXi 6.5 用の ASA 仮想 サポート |
ASA 仮想プラットフォームは、VMware ESXi 6.5 で動作するホストをサポートしています。vi.ovf および esxi.ovf ファイルに新しい VMware ハードウェアバージョンが追加され、ESXi 6.5 で ASA 仮想 の最適なパフォーマンスと使いやすさを実現しました。 変更されたコマンドはありません。 変更された画面はありません。 |
||
VMXNET3 インターフェイス用の ASA 仮想 サポート |
ASA 仮想プラットフォームは、VMware ハイパーバイザ上の VMXNET3 インターフェイスをサポートしています。 変更されたコマンドはありません。 変更された画面はありません。 |
||
初回起動時の仮想シリアル コンソール用の ASA 仮想 サポート |
ASA 仮想 にアクセスして設定するために、仮想 VGA コンソールではなく初回起動時に仮想シリアルコンソールを使用するように ASA 仮想 を設定できるようになりました。 新規または変更されたコマンド:console serial |
||
Microsoft Azure 上での高可用性のために複数の Azure サブスクリプションでユーザー定義ルートを更新する ASA 仮想 サポート |
Azure 高可用性構成で ASA 仮想 を構成して、複数の Azure サブスクリプションでユーザー定義ルートを更新できるようになりました。 新規または変更されたコマンド:failover cloud route-table 新規または変更された画面: |
||
VPN 機能 |
|||
IKEv2 プロトコルに拡張されたリモート アクセス VPN マルチコンテキスト サポート |
セキュアクライアント やサードパーティ製標準ベース IPSec IKEv2 VPN クライアントがマルチコンテキストモードで稼働する ASA へのリモートアクセス VPN セッションを確立できるように ASA を設定することをサポートします。 |
||
RADIUS サーバーへの IPv6 接続 |
ASA 9.9.2 では、外部 AAA RADIUS サーバーへの IPv6 接続がサポートされるようになりました。 |
||
BVI サポートのための Easy VPN 拡張 |
Easy VPN は、ブリッジ型仮想インターフェイス(BVI)を内部セキュア インターフェイスとしてサポートするように拡張され、インターフェイスを内部セキュア インターフェイスとして使用するように直接設定できるようになりました。それ以外の場合は、ASA がセキュリティ レベルを使用して、その内部セキュア インターフェイスを選択します。 また、VPN 管理アクセスがその BVI で有効になっている場合、telnet、http、ssh などの管理サービスを BVI で設定できるようになりました。非 VPN 管理アクセスの場合は、ブリッジ グループ メンバ インターフェイスでこれらのサービスの設定を続行する必要があります。 新規または変更されたコマンド:vpnclient secure interface [interface-name]、https、telnet、ssh、management-access |
||
分散型 VPN セッションの改善 |
|
||
ハイ アベイラビリティとスケーラビリティの各機能 |
|||
内部障害発生後に自動的にクラスタに再参加する |
以前は、多くのエラー状態によりクラスタ ユニットがクラスタから削除されていました。この問題を解決した後、手動でクラスタに再参加する必要がありました。現在は、ユニットはデフォルトで 5 分、10 分、および 20 分の間隔でクラスタに自動的に再参加を試行します。これらの値は設定できます。内部の障害には、アプリケーション同期のタイムアウト、矛盾したアプリケーション ステータスなどがあります。 新規または変更されたコマンド:health-check system auto-rejoin、show cluster info auto-join 新規または変更された画面: |
||
ASA 5000-X シリーズに対してインターフェイスを障害としてマークするために設定可能なデバウンス時間 |
ASA がインターフェイスを障害が発生していると見なし、ASA 5500-X シリーズ上のクラスタからユニットが削除されるまでのデバウンス時間を設定できるようになりました。この機能により、インターフェイスの障害をより迅速に検出できます。デバウンス時間を短くすると、誤検出の可能性が高くなることに注意してください。インターフェイスのステータス更新が発生すると、ASA はインターフェイスを障害としてマークし、クラスタからユニットを削除するまで指定されたミリ秒数待機します。デフォルトのデバウンス時間は 500 ms で、有効な値の範囲は 300 ms ~ 9 秒です。この機能は以前は Firepower 4100/9300 で使用できました。 新規または変更されたコマンド:health-check monitor-interface debounce-time 新規または変更された画面: |
||
クラスタの信頼性の高いトランスポート プロトコル メッセージのトランスポートに関連する統計情報の表示 |
ユニットごとのクラスタの信頼性の高いトランスポート バッファ使用率を確認して、バッファがコントロール プレーンでいっぱいになったときにパケット ドロップの問題を特定できるようになりました。 新規または変更されたコマンド:show cluster info transport cp detail |
||
ピア ユニットからのフェールオーバー履歴の表示 |
ピア ユニットから、details キーワードを使用して、フェールオーバー履歴を表示できるようになりました。これには、フェールオーバー状態の変更と状態変更の理由が含まれます。 新規または変更されたコマンド:show failover |
||
インターフェイス機能 |
|||
シングル コンテキスト モード用の一意の MAC アドレス生成 |
シングル コンテキスト モードで VLAN サブインターフェイスの一意の MAC アドレス生成を有効にできるようになりました。通常、サブインターフェイスはメイン インターフェイスと同じ MAC アドレスを共有します。IPv6 リンクローカル アドレスは MAC アドレスに基づいて生成されるため、この機能により一意の IPv6 リンクローカル アドレスが許可されます。 新規または変更されたコマンド:mac-address auto ASDM サポートはありません。 9.8(3) と 9.8(4) も同様です。 |
||
管理機能 |
|||
RSA キー ペアによる 3072 ビット キーのサポート |
モジュラス サイズを 3072 に設定できるようになりました。 新規または変更されたコマンド:crypto key generate rsa modulus 新規または変更された画面: |
||
FXOS ブートストラップ設定によるイネーブル パスワードの設定 |
Firepower 4100/9300 に ASA を展開すると、ブートストラップ設定のパスワード設定により、イネーブル パスワードと管理者ユーザー パスワードが設定されるようになりました。FXOS バージョン 2.3.1 が必要です。 |
||
モニタリング機能とトラブルシューティング機能 |
|||
SNMP IPv6 のサポート |
ASA は、IPv6 経由での SNMP サーバーとの通信、IPv6 経由でのクエリとトラップの実行許可、既存の MIB に対する IPv6 アドレスのサポートなど、SNMP over IPv6 をサポートするようになりました。RFC 8096 で説明されているように、次の新しい SNMP IPv6 MIB オブジェクトが追加されました。
新規または変更されたコマンド:snmp-server host
新規または変更された画面: |
||
単一ユーザー セッションのトラブルシューティングのための条件付きデバッグ |
条件付きデバッグ機能は、設定されたフィルタ条件に基づく特定の ASA VPN セッションのログを確認することを支援するようになりました。IPv4 および IPv6 サブネットの「any, any」のサポートが提供されます。 |
ASDM 7.9(1.151) の新機能
リリース:2018 年 2 月 14 日
このリリースに新機能はありません。
ASA 9.9(1)/ASDM 7.9(1) の新機能
リリース:2017年12月4日
機能 |
説明 |
---|---|
ファイアウォール機能 |
|
Ethertype アクセス コントロール リストの変更 |
EtherType アクセス コントロール リストは、Ethernet II IPX(EII IPX)をサポートするようになりました。さらに、DSAP キーワードに新しいキーワードが追加され、共通 DSAP 値(BPDU(0x42)、IPX(0xE0)、Raw IPX(0xFF)、および ISIS(0xFE))をサポートします。その結果、BPDU または ISIS キーワードを使用する既存の EtherType アクセス コントロール エントリは自動的に DSAP 仕様を使用するように変換され、IPX のルールは 3 つのルール(DSAP IPX、DSAP Raw IPX、および EII IPX)に変換されます。さらに、IPX を EtherType 値として使用するパケット キャプチャは廃止されました。これは、IPX が 3 つの個別の EtherType に対応するためです。 新規/変更されたコマンド:access-list ethertype キーワード eii-ipx および dsap {bpdu | ipx | isis | raw-ipx} が追加されました。capture ethernet-type ipx キーワードはサポートされなくなりました。 新規または変更された画面: |
VPN 機能 |
|
Firepower 9300 上のクラスタリングによる分散型サイト間 VPN |
Firepower 9300 上の ASA クラスタは、分散モードでサイト間 VPN をサポートします。分散モードでは、(集中モードなどの)制御ユニットだけでなく、ASA クラスタのメンバー間で多数のサイト間 IPsec IKEv2 VPN 接続を分散させることができます。これにより、集中型 VPN の機能を超えて VPN サポートが大幅に拡張され、高可用性が実現します。分散型 S2S VPN は、それぞれ最大 3 つのモジュールを含む最大 2 つのシャーシのクラスタ(合計 6 つのクラスタ メンバー)上で動作し、各モジュールは最大約 36,000 のアクティブ セッション(合計 72,000)に対し、最大 6,000 のアクティブ セッション(合計 12,000)をサポートします。 新規または変更されたコマンド:cluster redistribute vpn-sessiondb、show cluster vpn-sessiondb、vpn mode、show cluster resource usage、show vpn-sessiondb、show connection detail、show crypto ikev2 新規または変更された画面: [Monitoring] > [ASA Cluster] > [ASA Cluster] > [VPN Cluster Summary] [Monitoring] > [VPN] > [VPN Statistics] > [Sessions] [Configuration] > [Device Management] > [High Availablility and Scalability] > [ASA Cluster] [Wizards] > [Site-to-Site] [Monitoring] > [VPN] > [VPN Statistics] > [Sessions] [Monitoring] > [ASA Cluster] > [ASA Cluster] > [VPN Cluster Summary] [Monitoring] > [ASA Cluster] > [ASA Cluster] > [System Resource Graphs] > [CPU/Memory] [Monitoring] > [Logging] > [Real-Time Log Viewer] |
ハイ アベイラビリティとスケーラビリティの各機能 |
|
Microsoft Azure での ASA 仮想のアクティブ/バックアップの高可用性 |
アクティブな ASA 仮想 の障害が Microsoft Azure パブリッククラウドのバックアップ ASA 仮想 へのシステムの自動フェールオーバーをトリガーするのを許可する、ステートレスなアクティブ/バックアップソリューション。 新規または変更されたコマンド:failover cloud 新規または変更された画面:
バージョン 9.8(1.200) でも同様です。 |
Firepower シャーシのシャーシ ヘルス チェックの障害検出の向上 |
シャーシ ヘルス チェックの保留時間をより低い値(100 ms)に設定できるようになりました。以前の最小値は 300 ms でした。 新規または変更されたコマンド:app-agent heartbeat interval ASDM サポートはありません。 |
クラスタリングのサイト間冗長性 |
サイト間の冗長性により、トラフィック フローのバックアップ オーナーは常にオーナーとは別のサイトに置かれます。この機能によって、サイトの障害から保護されます。 新規または変更されたコマンド:site-redundancy、show asp cluster counter change、show asp table cluster chash-table、show conn flag 新規または変更された画面: |
動作と一致するcluster remove unit コマンドの動作no enable |
cluster remove unit コマンドは、no enable コマンドと同様に、クラスタリングまたはリロードを手動で再度有効にするまで、クラスタからユニットを削除するようになりました。以前は、FXOS からブートストラップ設定を再展開すると、クラスタリングが再度有効になりました。無効化されたステータスは、ブートストラップ設定の再展開の場合でも維持されるようになりました。ただし、ASA をリロードすると、クラスタリングが再度有効になります。 新規または変更されたコマンド:cluster remove unit 新規または変更された画面: |
管理、モニタリング、およびトラブルシューティングの機能 |
|
SSH バージョン 1 の廃止 |
SSH バージョン 1 は廃止され、今後のリリースで削除される予定です。デフォルト設定が SSH v1 と v2 の両方から SSH v2 のみに変更されました。 新規/変更されたコマンド: ssh version 新しい/変更された画面: |
強化されたパケット トレーサおよびパケット キャプチャ機能 |
パケット トレーサは次の機能で強化されました。
パケット キャプチャは次の機能で強化されました。
新規または変更されたコマンド:cluster exec capture test trace include-decrypted、cluster exec capture test trace persist、cluster exec clear packet-tracer、cluster exec show packet-tracer id、cluster exec show packet-tracer origin、packet-tracer persist、packet-tracer transmit、packet-tracer decrypted、packet-tracer bypass-checks 新規または変更された画面:
次のオプションをサポートする [Cluster Capture] フィールドを追加しました:[decrypted]、[persist]、[bypass-checks]、[transmit] [All Sessions] ドロップダウンリストの下の [Filter By] ビューに 2 つの新しいオプションを追加しました:[Origin] および [Origin-ID]
[Packet Capture Wizard] 画面に [ICMP Capture] フィールドを追加しました: ICMP キャプチャをサポートする 2 つのオプション、include-decrypted および persist を追加しました。 |
バージョン 9.8 の新機能
ASA 9.8(4) の新機能
リリース日:2019 年 4 月 24 日
機能 |
説明 |
---|---|
VPN 機能 |
|
webVPN HSTS へのサブドメインの追加 |
ドメイン所有者は、Web ブラウザの HSTS プリロード リストに含める必要があるドメインを送信できます。 新規/変更されたコマンド: hostname(config-webvpn) includesubdomains 新しい/変更された画面: フィールド > [Enable HSTS Subdomains]9.12(1) でも同様です。 |
管理機能 |
|
非ブラウザベースの HTTPS クライアントによる ASA へのアクセスの許可 |
非ブラウザベースの HTTPS クライアントが ASA 上の HTTPS サービスにアクセスできるようにすることができます。デフォルトでは、ASDM、CSM、および REST API が許可されています。多くの専門クライアント(python ライブラリ、curl、wget など)は、クロスサイト要求の偽造(CSRF)トークンベースの認証をサポートしていないため、これらのクライアントが ASA 基本認証方式を使用することを明確に許可する必要があります。セキュリティ上の理由から、必要なクライアントのみを許可する必要があります。 新規/変更されたコマンド: http server basic-auth-client 新規/変更された画面:
9.12(1) でも同様です。 |
show tech-support に追加の出力が含まれている |
show tech-support の出力が拡張され、次の出力が表示されるようになりました。
新規/変更されたコマンド: show tech-support 9.12(1) でも同様です。 |
SNMP ウォーク操作中の空きメモリおよび使用済みメモリの統計情報の結果を有効または無効にするためのサポート |
CPU リソースが過剰に使用されないようにするには、SNMP ウォーク操作によって収集された空きメモリと使用済みメモリの統計情報のクエリを有効または無効にすることができます。 新規/変更されたコマンド:snmp-server enable oid 新規または変更された画面: 9.10(1) でも同様です。 |
ASA 9.8(3)/ASDM 7.9(2.152) の新機能
リリース日:2018 年 7 月 2 日
機能 |
説明 |
---|---|
プラットフォーム機能 |
|
Firepower 2100 アクティブ LED はスタンバイ モードのときにオレンジ色に点灯するようになりました。 |
以前は、スタンバイ モード時にはアクティブ LED は点灯していませんでした。 |
ファイアウォール機能 |
|
カットスルー プロキシ ログイン ページからのログアウト ボタンの削除をサポート。 |
ユーザー ID 情報(AAA 認証 リスナー)を取得するようにカットスルー プロキシを設定している場合、ページからログアウト ボタンを削除できるようになりました。これは、ユーザーが NAT デバイスの背後から接続し、IP アドレスで識別できない場合に便利です。1 人のユーザーがログアウトすると、その IP アドレスのすべてのユーザーがログアウトされます。 新規/変更されたコマンド:aaa authentication listener no-logout-button 。 ASDM サポートはありません。 |
Trustsec SXP 接続の設定可能な削除ホールド ダウン タイマー |
デフォルトの SXP 接続ホールド ダウン タイマーは 120 秒です。このタイマーを 120 ~ 64000 秒に設定できるようになりました。 新規/変更されたコマンド:cts sxp delete-hold-down period 、show cts sxp connection brief 、show cts sxp connections ASDM サポートはありません。 |
VPN 機能 |
|
従来の SAML 認証のサポート |
CSCvg65072 の修正とともに ASA を展開すると、SAML のデフォルト動作で、AnyConnect 4.4 または 4.5 ではサポートされていない組み込みブラウザが使用されます。そのため、引き続き AnyConnect 4.4 または 4.5 を使用するには、従来の外部ブラウザで SAML 認証方式を有効にする必要があります。セキュリティ上の制限があるため、このオプションは、AnyConnect 4.6 に移行するための一時的な計画の一環としてのみ使用してください。このオプションは近い将来に廃止されます。 新規/変更されたコマンド: saml external-browser 新しい/変更された画面: セキュアクライアント ページ > [接続プロファイル(Connection Profiles)] 領域 > [追加(Add)] ボタン > [追加(Add)] セキュアクライアント[接続プロファイル(Connection Profile)] ダイアログ 領域 > [Add] ボタン > [Add Clientless SSL VPN Connection Profile] ダイアログボックス ページ > [Connection Profiles]新規および変更されたオプション:[SAML External Browser] チェックボックス |
インターフェイス機能 |
|
シングル コンテキスト モード用の一意の MAC アドレス生成 |
シングル コンテキスト モードで VLAN サブインターフェイスの一意の MAC アドレス生成を有効にできるようになりました。通常、サブインターフェイスはメイン インターフェイスと同じ MAC アドレスを共有します。IPv6 リンクローカル アドレスは MAC アドレスに基づいて生成されるため、この機能により一意の IPv6 リンクローカル アドレスが許可されます。 新規または変更されたコマンド:mac-address auto ASDM サポートはありません。 9.9 (2) 以降でも同様です。 |
ASDM 7.8(2.151) の新機能
リリース:2017年10月12日
機能 |
説明 |
---|---|
ファイアウォール機能 |
|
Ethertype アクセス コントロール リストの変更 |
EtherType アクセス コントロール リストは、Ethernet II IPX(EII IPX)をサポートするようになりました。さらに、DSAP キーワードに新しいキーワードが追加され、共通 DSAP 値(BPDU(0x42)、IPX(0xE0)、Raw IPX(0xFF)、および ISIS(0xFE))をサポートします。その結果、BPDU または ISIS キーワードを使用する既存の EtherType アクセス コントロール エントリは自動的に DSAP 仕様を使用するように変換され、IPX のルールは 3 つのルール(DSAP IPX、DSAP Raw IPX、および EII IPX)に変換されます。さらに、IPX を EtherType 値として使用するパケット キャプチャは廃止されました。これは、IPX が 3 つの個別の EtherType に対応するためです。 この機能は、9.8(2.9) およびその他の暫定リリースでサポートされています。詳細については、CSCvf57908 を参照してください。 次のコマンドが変更されました:access-list ethertype キーワード eii-ipx および dsap {bpdu | ipx | isis | raw-ipx} が追加されました。capture ethernet-type ipx キーワードはサポートされなくなりました。 次の画面が変更されました: . |
ASA 9.8(2)/ASDM 7.8(2) の新機能
リリース:2017年8月28日
機能 |
説明 |
---|---|
プラットフォーム機能 |
|
FirePOWER 2100 シリーズ用の ASA |
FirePOWER 2110、2120、2130、2140 用の ASA を導入しました。FirePOWER 4100 および 9300 と同様に、FirePOWER 2100 は基盤の FXOS オペレーティング システムを実行してから、ASA オペレーティング システムをアプリケーションとして実行します。FirePOWER 2100 実装では、FirePOWER 4100 および 9300 よりも緊密に FXOS を ASA と連携させます(軽量な FXOS 機能、単一デバイス イメージ バンドル、ASA および FXOS の両方に対する簡単な管理アクセス)。 FXOS には、EtherChannel の作成、NTP サービス、ハードウェアのモニタリング、およびその他の基本機能を含む、インターフェイスの構成ハードウェア設定があります。この構成では、Firepower Chassis Manager または FXOS CLI を使用できます。ASA には、(FirePOWER 4100 および 9300 とは異なり)スマート ライセンスを含む、その他すべての機能があります。ASA および FXOS はそれぞれ、管理 1/1 インターフェイスでの独自の IP アドレスを持っています。ユーザーは、任意のデータ インターフェイスから ASA および FXOS インスタンス両方の管理を設定できます。 次のコマンドが導入されました。connect fxos、fxos https、fxos snmp、fxos ssh、ip-client 次の画面が導入されました。
|
国防総省(DoD)統合機能認定製品リスト |
ASA は、統合機能認定製品リスト(UC APL)の要件に準拠するように更新されました。このリリースでは、fips enable コマンドを入力すると、ASA がリロードされます。フェールオーバーを有効にする前に、両方のフェールオーバー ピアが同じ FIPS モードになっている必要があります。 fips enable コマンドが変更されました。 |
Amazon Web Services M4 インスタンスサポートの ASA 仮想 |
ASA 仮想 を M4 インスタンスとして展開できるようになりました。 変更されたコマンドはありません。 変更された画面はありません。 |
ASAv5 1.5 GB RAM 機能 |
バージョン 9.7(1) 以降、ASAv5 では、セキュアクライアント の有効化や ASA 仮想 へのファイルのダウンロードなど、特定の機能が失敗した場合にメモリが枯渇することがあります。1.5 GB の RAM を ASAv5 に割り当てられるようになりました(1 GB から増加しました)。 変更されたコマンドはありません。 変更された画面はありません。 |
VPN 機能 |
|
HTTP Strict Transport Security(HSTS)ヘッダーのサポート |
HSTS は、クライアントレス SSL VPN でのプロトコル ダウングレード攻撃や Cookie ハイジャックから Web サイトを保護します。これにより Web サーバーは、Web ブラウザ(またはその他の準拠しているユーザー エージェント)が Web サーバーと通信するにはセキュア HTTPS 接続を使用する必要があり、非セキュアな HTTP プロトコルを使用して通信することはできないことを宣言できます。HSTS は IETF 標準化過程プロトコルであり、RFC 6797 で指定されます。 次のコマンドが導入されました。hsts enable, hsts max-age age_in_seconds 次の画面が変更されました:[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Advanced] > [Proxies] |
インターフェイス機能 |
|
ASAv50 の VLAN サポート |
ASAv50 では、SR-IOV インターフェイスの ixgbe-vf vNIC で VLAN がサポートされるようになりました。 変更されたコマンドはありません。 変更された画面はありません。 |
ASA 9.8(1.200) の新機能
リリース:2017年7月30日
(注) |
このリリースは、Microsoft Azure の ASA 仮想 でのみサポートされます。これらの機能は、バージョン 9.8(2) ではサポートされていません。 |
機能 |
説明 |
---|---|
ハイ アベイラビリティとスケーラビリティの各機能 |
|
Microsoft Azure での ASA 仮想のアクティブ/バックアップの高可用性 |
アクティブな ASA 仮想 の障害が Microsoft Azure パブリッククラウドのバックアップ ASA 仮想 へのシステムの自動フェールオーバーをトリガーするのを許可する、ステートレスなアクティブ/バックアップソリューション。 次のコマンドが導入されました。failover cloud ASDM サポートはありません。 |
ASDM 7.8(1.150) の新機能
リリース:2017年6月20日
このリリースに新機能はありません。
ASA 9.8(1)/ASDM 7.8(1) の新機能
リリース:2017年5月15日
機能 |
説明 |
---|---|
プラットフォーム機能 |
|
ASAv50 プラットフォーム |
ASA 仮想プラットフォームに、10 Gbps のファイアウォール スループット レベルを提供するハイエンド パフォーマンス ASAv50 プラットフォームが追加されました。ASAv50 には ixgbe-vf vNIC が必要です。これは VMware および KVM でのみサポートされます。 |
ASA 仮想プラットフォームの SR-IOV |
ASA 仮想プラットフォームでは、Single Root I/O Virtualization(SR-IOV)インターフェイスがサポートされます。これにより、複数の VM でホスト内の 1 つの PCIe ネットワークアダプタを共有できるようになります。ASA 仮想 SR-IOV サポートは、VMware、KVM、および AWS でのみ使用可能です。 |
自動 ASP ロードバランシングが ASA 仮想 でサポートされるようになりました。 |
以前は、ASP ロード バランシングは手動でのみ有効または無効にできました。 次のコマンドを変更しました。asp load-balance per-packet-auto 次の画面が変更されました。[Configuration] > [Device Management] > [Advanced] > [ASP Load Balancing]。 |
ファイアウォール機能 |
|
TLS プロキシ サーバーの SSL 暗号スイートの設定サポート |
ASA が TLS プロキシ サーバーとして動作している場合は、SSL 暗号スイートを設定できるようになりました。以前は、 ページで ssl cipher コマンドを使用した ASA のグローバル設定のみが可能でした。 次のコマンドが導入されました。 server cipher-suite 次の画面が変更されました。 ページ。 、追加/編集ダイアログ ボックス、[Server Configuration] |
ICMP エラーのグローバル タイムアウト |
ASA が ICMP エコー応答パケットを受信してから ICMP 接続を削除するまでのアイドル時間を設定できるようになりました。このタイムアウトが無効(デフォルト)で、ICMP インスペクションが有効に設定されている場合、ASA はエコー応答を受信するとすぐに ICMP 接続を削除します。したがって、終了しているその接続に対して生成されたすべての ICMP エラーは破棄されます。このタイムアウトは ICMP 接続の削除を遅らせるので、重要な ICMP エラーを受信することが可能になります。 次のコマンドが追加されました。 timeout icmp-error の画面が変更されました。 |
ハイ アベイラビリティとスケーラビリティの各機能 |
|
改善されたクラスタ ユニットのヘルス チェック障害検出 |
ユニット ヘルスチェックの保留時間をより低めの値に設定できます(最小値は .3 秒)以前の最小値は .8 秒でした。この機能は、ユニット ヘルス チェック メッセージング スキームを、コントロール プレーンのキープアライブからデータ プレーンのハートビートに変更します。ハートビートを使用すると、コントロール プレーン CPU のホッギングやスケジューリングの遅延の影響を受けないため、クラスタリングの信頼性と応答性が向上します。保留時間を短く設定すると、クラスタ制御リンクのメッセージング アクティビティが増加することに注意してください。保留時間を短く設定する前にネットワークを分析することをお勧めします。たとえば、ある保留時間間隔の間に 3 つのハートビート メッセージが存在するため、クラスタ制御リンクを介してあるユニットから別のユニットへの ping が保留時間/3 以内に戻ることを確認します。保留時間を 0.3 ~ 0.7 に設定した後に ASA ソフトウェアをダウングレードした場合、新しい設定がサポートされていないので、この設定はデフォルトの 3 秒に戻ります。 次のコマンドを変更しました。health-check holdtime、show asp drop cluster counter、show cluster info health details 次の画面を変更しました。 |
に対してインターフェイスを障害としてマークするために設定可能なデバウンス時間 Firepower 4100/9300 シャーシ |
ASA がインターフェイスを障害が発生していると見なし、クラスタからユニットが削除されるまでのデバウンス時間を設定できるようになりました。この機能により、インターフェイスの障害をより迅速に検出できます。デバウンス時間を短くすると、誤検出の可能性が高くなることに注意してください。インターフェイスのステータス更新が発生すると、ASA はインターフェイスを障害としてマークし、クラスタからユニットを削除するまで指定されたミリ秒数待機します。デフォルトのデバウンス時間は 500 ms で、有効な値の範囲は 300 ms ~ 9 秒です。 新規または変更されたコマンド:health-check monitor-interface debounce-time 新規または変更された画面: |
VPN 機能 |
|
VTI での IKEv2、証明書ベース認証、および ACL のサポート |
仮想トンネル インターフェイス(VTI)は、BGP(静的 VTI)をサポートするようになりました。スタンドアロン モードとハイ アベイラビリティ モードで、IKEv2 を使用できます。IPsec プロファイルにトラストポイントを設定することにより、証明書ベースの認証を使用できます。また、入力トラフィックをフィルタリングする access-group コマンドを使用して、VTI 上でアクセス リストを適用することもできます。 IPsec プロファイルのコンフィギュレーション モードに次のコマンドが導入されました。set trustpoint 次の画面で、証明書ベース認証のトラストポイントを選択するオプションが導入されました。
|
モバイル IKEv2(MobIKE)はデフォルトで有効になっています |
リモート アクセス クライアントとして動作するモバイル デバイスは、移動中にトランスペアレント IP アドレスを変更する必要があります。ASA で MobIKE をサポートすることにより、現在の SA を削除せずに現在の IKE セキュリティ アソシエーション(SA)を更新することが可能になります。MobIKE は [always on] に設定されます。 次のコマンドが導入されました。ikev2 mobike-rrc。リターン ルータビリティのチェックを有効または無効にするために使用されます。 |
SAML 2.0 SSO の更新 |
SAML 要求におけるシグネチャのデフォルト署名メソッドが SHA1 から SHA2 に変更され、ユーザーが rsa-sha1、rsa-sha256、rsa-sha384、rsa-sha512 の中から署名メソッドを選択して設定できるようになりました。 webvpn モードでの saml idp signature コマンドが変更されました。このコマンドには value を設定できます。デフォルトは [disabled] のままです。 次の画面が変更されました。 。 |
tunnelgroup webvpn-attributes の変更 |
pre-fill-username および secondary-pre-fill-username の値を ssl-client から client に変更しました。 webvpn モードでの次のコマンドが変更されました:pre-fill-username および secondary-pre-fill-username は client 値を設定できます。 |
AAA 機能 |
|
ログイン履歴 |
デフォルトでは、ログイン履歴は 90 日間保存されます。この機能を無効にするか、期間を最大 365 日まで変更できます。1 つ以上の管理メソッド(SSH、ASDM、Telnet など)でローカル AAA 認証を有効にしている場合、この機能はローカル データベースのユーザー名にのみ適用されます。 次のコマンドが導入されました。aaa authentication login-history、show aaa login-history 次の画面が導入されました。 |
パスワードの再利用とユーザー名と一致するパスワードの使用を禁止するパスワード ポリシーの適用 |
最大 7 世代にわたるパスワードの再利用と、ユーザー名と一致するパスワードの使用を禁止できるようになりました。 次のコマンドが導入されました。password-history、password-policy reuse-interval、password-policy username-check 次の画面が変更されました。 |
SSH 公開キー認証を使用するユーザーの認証とパスワードを使用するユーザーの認証を区別します。 |
9.6(2) より前のリリースでは、ローカル ユーザー データベース(ssh authentication )を使用して AAA SSH 認証を明示的に有効にしなくても、SSH 公開キー認証(aaa authentication ssh console LOCAL )を有効にすることができました。9.6(2) では、ASA で AAA SSH 認証を明示的に有効にする必要がありました。このリリースでは、AAA SSH 認証を明示的に有効にする必要はありません。ユーザーに対して ssh authentication コマンドを設定すると、このタイプの認証を使用するユーザーのローカル認証がデフォルトで有効になります。さらに、明示的に AAA SSH 認証を設定すると、この設定はパスワード付きのユーザー名にのみ適用されます。また、任意の AAA サーバー タイプ (aaa authentication ssh console radius_1 など)を使用できます。たとえば、一部のユーザーはローカル データベースを使用して公開キー認証を使用し、他のユーザーは RADIUS でパスワードを使用できます。 変更されたコマンドはありません。 変更された画面はありません。 バージョン 9.6(3) でも同様です。 |
モニタリング機能とトラブルシューティング機能 |
|
ASA クラッシュ発生時に実行中のパケット キャプチャの保存 |
以前は、ASA がクラッシュするとアクティブなパケット キャプチャは失われました。現在は、クラッシュが発生すると、パケット キャプチャは disk 0 に以下のファイル名で保存されます。[context_name.]capture_name.pcap。 変更されたコマンドはありません。 変更された画面はありません。 |
バージョン 9.7 の新機能
ASDM 7.7(1.151) の新機能
リリース:2017年4月28日
(注) |
機能 |
説明 |
---|---|
管理機能 |
|
ASDM アップグレード ツールの新しいバックグラウンド サービス |
ASDM は、[Tools] > [Check for ASA/ASDM Upgrades] の新しいバックグラウンド サービスです。Cisco は、前のバージョンの ASDM で使用されていた古いサービスを将来廃止する予定です。 |
ASA 9.7(1.4)/ASDM 7.7(1) の新機能
リリース:2017年4月4日
(注) |
機能 |
説明 |
---|---|
プラットフォーム機能 |
|
Integrated Routing and Bridging(IRB; 統合ルーティングおよびブリッジング)を使用した ASA 5506-X シリーズ用の新しいデフォルト設定 |
新しいデフォルト設定が ASA 5506-X シリーズに使用されます。統合ブリッジングおよびルーティング機能は、外部レイヤ 2 スイッチの使用に代わる手段を提供します。ハードウェア スイッチを含む ASA 5505 を交換するユーザーの場合、この機能を使用することにより、追加のハードウェア使用せずに ASA 5505 を ASA 5506-X やその他の ASA モデルに置き換えることができます。 新しいデフォルト設定には次の内容が含まれます。
アップグレードする場合、configure factory-default コマンドを使用して設定を消去しデフォルトを適用するか、必要に応じて BVI とブリッジ グループのメンバーを手動で設定することができます。内部ブリッジ グループの通信を簡単に許可するには、same-security-traffic permit inter-interface コマンドを有効にする必要があります(このコマンドは、ASA 5506W-X のデフォルト設定にすでに存在します)。 |
ISA 3000 でのアラーム ポートのサポート |
ISA 3000 は、2 つのアラーム入力インターフェイスと 1 つのアラーム出力インターフェイスをサポートします。ドア センサーなどの外部センサーは、アラーム入力に接続できます。ブザーなどの外部デバイスは、アラーム出力インターフェイスに接続できます。トリガーされたアラームは、2 つの LED、syslog、SNMP トラップを経由し、アラーム出力インターフェイスに接続されたデバイスを介して伝えられます。ユーザーは、外部アラームの説明を設定できます。また、外部アラームと内部アラームの重大度とトリガーも指定できます。すべてのアラームは、リレー、モニタリング、およびロギングに設定できます。 次のコマンドが導入されました。alarm contact description、alarm contact severity、alarm contact trigger、alarm facility input-alarm、alarm facility power-supply rps、alarm facility temperature、alarm facility temperature high、alarm facility temperature low、clear configure alarm、clear facility-alarm output、show alarm settings、show environment alarm-contact。 次の画面が導入されました。
|
ASAv10 での Microsoft Azure Security Center のサポート |
Microsoft Azure は、プライベート Microsoft Hyper V ハイパーバイザを使用するパブリック クラウド環境です。Microsoft Azure Security Center は、非常にセキュアなパブリック クラウド インフラストラクチャの導入を簡素化する、Azure 上の Microsoft オーケストレーションおよび管理レイヤです。ASA 仮想 を Azure Security Center に統合することにより、Azure 環境を保護するファイアウォールオプションとして ASA 仮想 を提供できます。 |
ISA 3000 用の Precision Time Protocol(PTP) |
ISA 3000 は PTP(ネットワークに分散したノードの時刻同期プロトコル)をサポートします。PTP は、そのハードウェア タイムスタンプ機能により、NTP などの他の時刻同期プロトコルより高い精度を実現します。ISA 3000 は、ワンステップのエンドツーエンド トランスペアレント クロックに加えて、PTP 転送モードもサポートします。インスペクションのために PTP トラフィックが ASA FirePOWER モジュールに送信されることのないようにするため、デフォルト設定に次のコマンドが追加されました。既存の導入がある場合は、次のコマンドを手動で追加する必要があります。
次のコマンドが導入されました。 debug ptp、ptp domain、ptp mode e2etransparent、ptp enable、show ptp clock、show ptp internal-info、show ptp port 次の画面が導入されました。
|
ISA 3000 の自動バックアップと復元 |
バックアップ コマンドと復元コマンドのプリセット パラメータを使用して、自動バックアップ機能や自動復元機能を有効にできます。これらの機能は、外部メディアからの初期設定、デバイス交換、作動可能状態へのロールバックなどで使用されます。 次のコマンドが導入されました。backup-package location、backup-package auto、show backup-package status、show backup-package summary 次の画面が導入されました。 |
ファイアウォール機能 |
|
SCTP マルチストリーミングの並べ替えとリアセンブル、およびフラグメンテーションのサポート。SCTP エンドポイントに複数の IP アドレスが設定された SCTP マルチホーミングのサポート。 |
このシステムは、SCTP マルチストリーミングの並べ替え、リアセンブル、およびフラグメンテーションを完全にサポートしており、これにより SCTP トラフィックに対する Diameter および M3UA インスペクションの有効性が改善されています。このシステムは、各エンドポイントに複数の IP アドレスが設定された SCTP マルチホーミングもサポートしています。マルチホーミングでは、セカンデリ アドレスに必要なピンホールをシステムが開くので、セカンデリ アドレスを許可するためのアクセス ルールをユーザーが設定する必要はありません。SCTP エンドポイントは、それぞれ 3 つの IP アドレスに制限する必要があります。 show sctp detail コマンドの出力が変更されました。 変更された画面はありません。 |
M3UA インスペクションの改善。 |
M3UA インスペクションは、ステートフル フェールオーバー、半分散クラスタリング、およびマルチホーミングをサポートするようになりました。また、アプリケーション サーバー プロセス(ASP)の状態の厳密な検証や、さまざまなメッセージの検証も設定できます。ASP 状態の厳密な検証は、ステートフル フェールオーバーとクラスタリングに必要です。 次のコマンドが追加または変更されました。clear service-policy inspect m3ua session [assocID id] 、match port sctp 、message-tag-validation 、show service-policy inspect m3ua drop 、show service-policy inspect m3ua endpoint 、show service-policy inspect m3ua session 、show service-policy inspect m3ua table 、strict-asp-state 、timeout session 。 次の画面が変更されました。 [Add/Edit] ダイアログボックス。 |
TLS プロキシでの TLSv1.2、および Cisco Unified Communications Manager 10.5.2 のサポート。 |
暗号化 SIP 用の TLS プロキシでの TLSv1.2、または Cisco Unified Communications Manager 10.5.2 での SCCP インスペクションを使用できるようになりました。TLS プロキシは、client cipher-suite コマンドの一部として追加された TLSv1.2 暗号スイートをサポートします。 次のコマンドが変更されました。 client cipher-suite 変更された画面はありません。 |
Integrated Routing and Bridging(IRB) |
Integrated Routing and Bridging(統合ルーティングおよびブリッジング)は、ブリッジグループとルーテッド インターフェイス間をルーティングする機能を提供します。ブリッジグループとは、ASA がルートの代わりにブリッジするインターフェイスのグループのことです。ASA は、ASA がファイアウォールとして機能し続ける点で本来のブリッジとは異なります。つまり、インターフェイス間のアクセス制御が実行され、通常のファイアウォール検査もすべて実行されます。以前は、トランスペアレント ファイアウォール モードでのみブリッジグループの設定が可能だったため、ブリッジグループ間でのルーティングはできませんでした。この機能を使用すると、ルーテッド ファイアウォール モードのブリッジ グループの設定と、ブリッジグループ間およびブリッジグループとルーテッド インターフェイス間のルーティングを実行できます。ブリッジ グループは、ブリッジ仮想インターフェイス(BVI)を使用して、ブリッジ グループのゲートウェイとして機能することによってルーティングに参加します。そのブリッジグループに指定する ASA 上に別のインターフェイスが存在する場合、Integrated Routing and Bridging(IRB)は外部レイヤ 2 スイッチの使用に代わる手段を提供します。ルーテッド モードでは、BVI は名前付きインターフェイスとなり、アクセス ルールや DHCP サーバーなどの一部の機能に、メンバー インターフェイスとは個別に参加できます。 トランスペアレント モードでサポートされるマルチ コンテキスト モードや ASA クラスタリングの各機能は、ルーテッド モードではサポートされません。マルチキャスト ルーティングとダイナミック ルーティングの機能も、BVI ではサポートされません。 次のコマンドが変更されました。access-group、access-list ethertype、arp-inspection、dhcpd、mac-address-table static、mac-address-table aging-time、mac-learn、route、show arp-inspection、show bridge-group、show mac-address-table、show mac-learn 次の画面が変更されました。
|
VM 属性 |
ネットワーク オブジェクトを定義することにより、VMware vCenter で管理している VMware ESXi 環境の 1 つ以上の仮想マシン(VM)に関連付けられている属性に従ってトラフィックをフィルタリングできます。アクセス コントロール リスト(ACL)を定義して、1 つ以上の属性を共有する VM のグループからのトラフィックにポリシーを指定することができます。 show attribute コマンドが追加されました。 次の画面が追加されました。
|
内部ゲートウェイ プロトコルの古いルートのタイムアウト |
OSPF などの内部ゲートウェイ プロトコルの古いルートを削除するためのタイムアウトを設定できるようになりました。 timeout igp stale-route コマンドが追加されました。 の画面が変更されました。 |
オブジェクト グループ検索に関するネットワーク オブジェクトの制限。 |
object-group-search access-control コマンドを使用してオブジェクト グループ検索を有効にすることで、アクセス ルールの検索に必要なメモリを抑えることができます。オブジェクト グループ検索を有効にした場合、ネットワーク オブジェクトまたはサービス オブジェクトは拡張されませんが、それらのグループの定義に基づいて一致するアクセス ルールが検索されます。 このリリース以降、以下の制限が適用されます。接続ごとに、送信元と宛先の両方の IP アドレスがネットワーク オブジェクトと照合されます。発信元アドレスに一致するオブジェクトの数が、宛先アドレスと一致する数の 1 万倍を超えると接続が切断されます。 このチェックは、パフォーマンスの低下を防止します。一致件数が膨大になることを防ぐためにルールを設定します。 |
ルーティング機能 |
|
31 ビット サブネットマスク |
ルーテッド インターフェイスに関しては、ポイントツーポイント接続向けの 31 ビットのサブネット に IP アドレスを設定できます。31 ビット サブネットには 2 つのアドレスのみが含まれます。通常、サブネットの最初と最後のアドレスはネットワーク用とブロードキャスト用に予約されており、2 アドレス サブネットは使用できません。ただし、ポイントツーポイント接続があり、ネットワーク アドレスやブロードキャスト アドレスが不要な場合は、IPv4 形式でアドレスを保持するのに 31 サブネット ビットが役立ちます。たとえば、2 つの ASA 間のフェールオーバー リンクに必要なアドレスは 2 つだけです。リンクの一方の側から送信されるパケットはすべてもう一方の側で受信され、ブロードキャスティングは必要ありません。また、SNMP や Syslog を実行する管理ステーションを直接接続することもできます。この機能は、ブリッジグループ用の BVI、またはマルチキャストルーティングではサポートされていません。 次のコマンドが変更されました。ip address、http、logging host、snmp-server host、ssh 次の画面が変更されました。
|
ハイ アベイラビリティとスケーラビリティの各機能 |
|
Firepower 4100/9300 シャーシ 上の ASA のサイト間クラスタリングの改善 |
ASA クラスタを展開すると、それぞれの Firepower 4100/9300 シャーシのサイト ID を設定できます。以前は ASA アプリケーション内でサイト ID を設定する必要がありました。この新しい機能は、初期導入を簡単にします。ASA 構成内でサイト ID を設定できなくなったことに注意してください。また、サイト間クラスタリングとの互換性を高めるために、安定性とパフォーマンスに関する複数の改善が含まれる ASA 9.7(1) および FXOS 2.1.1 にアップグレードすることを推奨します。 次のコマンドが変更されました。site-id 次の画面が変更されました。 |
ディレクタ ローカリゼーション:データセンターのサイト間クラスタリングの改善 |
データ センターのパフォーマンスを向上し、サイト間クラスタリングのトラフィックを維持するために、ディレクタ ローカリゼーションを有効にできます。通常、新しい接続は特定のサイト内のクラスタ メンバーによってロード バランスされ、所有されています。しかし、ASA は任意のサイトのメンバーにディレクタ ロールを割り当てます。ディレクタ ローカリゼーションにより、所有者と同じサイトのローカル ディレクタ、どのサイトにも存在可能なグローバル ディレクタという追加のディレクタ ロールが有効になります。所有者とディレクタが同一サイトに存在すると、パフォーマンスが向上します。また、元の所有者が失敗した場合、ローカルなディレクタは同じサイトで新しい接続の所有者を選択します。グローバルなディレクタは、クラスタ メンバーが別のサイトで所有される接続のパケットを受信する場合に使用されます。 次のコマンドが導入または変更されました。director-localization、show asp table cluster chash、show conn、show conn detail 次の画面を変更しました。 |
高速検出の設定が可能な、フェールオーバーのポーリングをモニタリングするインターフェイス リンク ステート |
デフォルトでは、フェールオーバー ペアの ASA は、500 ミリ秒ごとにインターフェイスのリンク ステートをチェックします。ポーリングの間隔を 300 ミリ秒から 799 ミリ秒の間で設定できるようになりました。たとえば、ポーリング時間を 300 ミリ秒に設定すると、ASA はインターフェイス障害やトリガーのフェールオーバーをより迅速に検出できます。 次のコマンドが導入されました。failover polltime link-state 次の画面が変更されました。 |
FirePOWER 9300 および 4100 でのアクティブ/スタンバイ フェールオーバー ヘルス モニタリングで、双方向フォワーディング検出(BFD)がサポートされました。 |
FirePOWER 9300 および 4100 上のアクティブ/スタンバイ ペアの 2 つのユニット間のフェールオーバー ヘルス チェックに対して、双方向フォワーディング検出(BFD)を有効にできるようになりました。ヘルス チェックに BFD を使用すると、デフォルトのヘルスチェックより信頼性が高まり、CPU の使用を抑えることができます。 次のコマンドが導入されました。failover health-check bfd 次の画面が変更されました。 |
VPN 機能 |
|
IKEv2 静的暗号マップ用ダイナミック RRI |
crypto map に dynamic が指定されている場合、IPSec セキュリティ アソシエーション(SA)の確立に成功すると、ダイナミック リバース ルート インジェクションが発生します。ルートは、ネゴシエートされたセレクタの情報に基づいて追加されます。IPsec SA's が削除されると、このルートは削除されます。ダイナミック RRI は、IKEv2 ベースの静的暗号マップでのみサポートされます。 次のコマンドが変更されました。crypto map set reverse-route。 次の画面が変更されました。[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Advanced] > [IPsec] > [Crypto Maps] > [Add/Edit] > [Tunnel Policy (Crypto Maps) - Advanced] |
ASA VPN モジュールの仮想トンネル インターフェイス(VTI)のサポート |
ASA VPN モジュールが、仮想トンネル インターフェイス(VTI)と呼ばれる新しい論理インターフェイスによって強化されており、ピアへの VPN トンネルを表すために使用されます。これは、トンネルの各終端に接続されている IPsec プロファイルを利用したルート ベースの VPN をサポートします。VTI を使用することにより、静的暗号マップのアクセス リストを設定してインターフェイスにマッピングすることが不要になります。 次のコマンドが導入されました。crypto ipsec profile、interface tunnel、responder-only、set ikev1 transform-set、set pfs、set security-association lifetime、tunnel destination、tunnel mode ipsec、tunnel protection ipsec profile、tunnel source interface。 次の画面が導入されました。
|
セキュアクライアント 用 SAML 2.0 ベースの SSO |
SAML 2.0 ベースのサービス プロバイダー IdP が、プライベート ネットワークでサポートされます。ユーザーとサービス間のゲートウェイとして ASA を使用すると、IdP の認証は制限付きの名前非表示 webvpn セッションで処理され、IdP とユーザー間のすべてのトラフィックは変換されます。 次のコマンドが追加されました。saml idp 次のコマンドが変更されました。debug webvpn saml、show saml metadata 次の画面が変更されました。 . |
CMPv2 |
ワイヤレス LTE ネットワークのセキュリティ ゲートウェイ デバイスとして配置できるように、ASA が証明書の管理プロトコル(CMPv2)を使用した特定の管理機能をサポートするようになりました。 次のコマンドが変更されました。enrollment url、keypair、auto-update、crypto-ca-trustpoint、show crypto ca server certificates、show crypto key、show tech-support 次の画面が変更されました。 |
マルチ証明書認証 |
セキュアクライアント SSL クライアントプロトコルと IKEv2 クライアントプロトコルを使用して、セッションごとに複数の認証を検証できるようになりました。マルチ証明書認証のプロトコル交換を定義し、これを両方のセッション タイプで利用できるように、集約認証プロトコルが拡張されました。 次のコマンドが変更されました。authentication {[aaa] [certificate | multiple-certificate] | saml} 次の画面が変更されました。 > [Secure Client] > [接続プロファイル(Connection Profile)] [Secure Client] [接続プロファイル(Connection Profiles)][Secure Client] [接続プロファイル(Connection Profiles)] |
スプリット トンネリング ルーティングの制限の引き上げ |
AC-SSL および AC-IKEv2 のスプリット トンネリング ルートの制限は、200 から 1200 に引き上げられました。IKEv1 の制限は 200 で変わりません。 |
Chrome のスマート トンネル サポート |
Mac デバイスや Windows デバイスの Chrome ブラウザでスマート トンネルをサポートするための新しいメソッドが作成されました。Chrome Smart Tunnel Extension は、Netscape プラグイン アプリケーション プログラム インターフェイス(NPAPI)に代わるものです。NPAPI は、Chrome ではサポートされなくなりました。この拡張プログラムをインストールしていない Chrome でスマート トンネルに対応したブックマークをクリックすると、ユーザーは拡張プログラムを取得できるように Chrome ウェブストアにリダイレクトされます。Chrome を新規インストールする場合、ユーザーは拡張プログラムを取得できるように Chrome ウェブストアに移動されます。この拡張プログラムは、スマート トンネルの実行に必要なバイナリを ASA からダウンロードします。通常のブックマーク、およびスマート トンネルを使用する際のアプリケーション設定は、この新しい拡張プログラムのインストール プロセス以外は変更されません。 |
クライアントレス SSL VPN:すべての Web インターフェイスのセッション情報 |
すべての Web インターフェイスが、ログインに使用されたユーザー名などの現在のセッションの詳細と、現在割り当てられているユーザー権限を表示するようになりました。これは、ユーザーが現在のユーザー セッションを知るのに役立ち、ユーザー セキュリティの向上につながります。 |
クライアントレス SSL VPN:Web アプリケーション セッションのクッキーすべての検証 |
すべての Web アプリケーションは、セキュリティ関連のクッキーすべてを検証してはじめて、アクセス権を付与するようになります。要求があるごとに、認証トークンまたはセッション ID を持つ各クッキーが検証され、その後にユーザー セッションへのアクセスが付与されます。同じ要求に複数のセッション Cookie が含まれている場合、その接続は破棄されます。検証に失敗したクッキーは無効なクッキーとして扱われ、そのイベントは監査ログに追加されます。 |
セキュアクライアント:最大接続時間アラート間隔が、Cisco Secure Client の AnyConnect VPN モジュール の接続に関するグループポリシーでサポートされるようになりました。 |
このアラート間隔は、最大接続時間に達する前に、終了を警告するメッセージをユーザーに表示する間隔を指定します。有効な時間間隔は 1 ~ 30 分です。デフォルトは 30 分です。以前は、クライアントレス接続とサイト間 VPN 接続でサポートされていました。 次のコマンドを接続に使用できるようになりました。 セキュアクライアントvpn-session-timeout alert-interval 次の画面が変更されました。[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Group Policies] > [Add/Edit] > [General] > [More Options]。[Maximum Connect Time Alert Interval] フィールドが追加されました。 |
AAA 機能 |
|
AAA 用 LDAP サーバーおよび TACACS+ サーバーの IPv6 アドレスのサポート |
AAA に使用する LDAP サーバーおよび TACACS+ サーバーで IPv4 アドレスか IPv6 アドレスのいずれかを使用できるようになりました。 次のコマンドが変更されました。aaa-server host、test aaa-server 次の画面が変更されました。 |
管理機能 |
|
すべてのローカル username および enable パスワードに対する PBKDF2 ハッシュ |
長さ制限内のすべてのローカル username および enable パスワードは、PBKDF2(パスワード ベース キー派生関数 2)のハッシュを使用して設定に保存されます。以前は、32 文字以下のパスワードが MD5 ベースのハッシュ メソッドを使用していました。既存のパスワードでは、ユーザーが新しいパスワードを入力しない限り、MD5 ベースのハッシュが引き続き使用されます。ダウングレードのガイドラインについては、『一般操作構成ガイド』の「ソフトウェアおよびコンフィギュレーション」の章を参照してください。 次のコマンドが変更されました。enable password、username 次の画面が変更されました。
|
ライセンシング機能 |
|
Firepower 4100/9300 シャーシ 上のフェールオーバー ペアのライセンス変更 |
アクティブなユニットのみがライセンス権限を要求します。以前は、両方のユニットがライセンスの権限付与を要求していました。FXOS 2.1.1 でサポートされます。 |
モニタリング機能とトラブルシューティング機能 |
|
トレースルート用の IPv6 アドレスのサポート |
traceroute コマンドが変更され、IPv6 アドレスも受け入れられるようになりました。 次のコマンドが変更されました。traceroute 次の画面が変更されました。 |
ブリッジ グループ メンバー インターフェイス用のパケット トレーサのサポート |
ブリッジ グループ メンバー インターフェイスにパケット トレーサを使用できるようになりました。 packet-tracer コマンドに次の 2 つのオプションが追加されました。vlan-id および dmac パケット トレーサの画面に [VLAN ID] および [Destination MAC Address] フィールドが追加されました。 |
syslog サーバーの IPv6 アドレスのサポート |
syslog サーバーに IPv6 アドレスを設定して、TCP や UDP 経由で syslog を記録または送信できるようになりました。 次のコマンドが変更されました。logging host、show running config、show logging 次の画面が変更されました。 |
SNMP の MIB および OID |
ASA は、ISA 3000 の Precision Time Protocol(PTP)の一部として、エンドツーエンド トランスペアレント クロック モードに対応する SNMP MIB オブジェクトをサポートするようになりました。次の SNMP MIB オブジェクトがサポートされます。
|
手動によるパケット キャプチャの停止と開始 |
キャプチャを手動で停止および開始できるようになりました。 追加/変更されたコマンド: capture stop 追加/変更された画面: 追加/変更されたオプション:[Start] ボタン、[Stop] ボタン |
バージョン 9.6 の新機能
ASA 9.6(4)/ASDM 7.9(1) の新機能
リリース:2017年12月13日
このリリースに新機能はありません。
ASA 9.6(3.1)/ASDM 7.7(1) の新機能
リリース:2017年4月3日
(注) |
機能 |
説明 |
---|---|
AAA 機能 |
|
SSH 公開キー認証を使用するユーザーの認証とパスワードを使用するユーザーの認証を区別します。 |
9.6(2) より前のリリースでは、ローカル ユーザー データベース(ssh authentication )を使用して AAA SSH 認証を明示的に有効にしなくても、SSH 公開キー認証(aaa authentication ssh console LOCAL )を有効にすることができました。9.6(2) では、ASA で AAA SSH 認証を明示的に有効にする必要がありました。このリリースでは、AAA SSH 認証を明示的に有効にする必要はありません。ユーザーに対して ssh authentication コマンドを設定すると、このタイプの認証を使用するユーザーのローカル認証がデフォルトで有効になります。さらに、明示的に AAA SSH 認証を設定すると、この設定はパスワード付きのユーザー名にのみ適用されます。また、任意の AAA サーバー タイプ(aaa authentication ssh console radius_1 など)を使用できます。たとえば、一部のユーザーはローカル データベースを使用して公開キー認証を使用し、他のユーザーは RADIUS でパスワードを使用できます。 変更されたコマンドはありません。 変更された画面はありません。 バージョン 9.8(1) でも同様です。 |
ASDM 7.6(2.150) の新機能
リリース:2016年10月12日
このリリースに新機能はありません。
ASA 9.6(2)/ASDM 7.6(2) の新機能
リリース:2016年8月24日
機能 |
説明 |
||
---|---|---|---|
プラットフォーム機能 |
|||
Firepower 4150 用の ASA を導入しました。 |
Firepower 4150 用の ASA を導入しました。 FXOS 2.0.1 が必要です。 追加または変更されたコマンドはありません。 追加または変更された画面はありません。 |
||
ASA 仮想 のホット プラグ インターフェイス |
システムがアクティブの状態で、ASA 仮想 の Virtio 仮想インターフェイスを追加または削除できます。ASA 仮想 に新しいインターフェイスを追加すると、仮想マシンがインターフェイスを検出し、プロビジョニングが行われます。既存のインターフェイスを削除すると、仮想マシンはインターフェイスに関連付けられているリソースを解放します。ホット プラグ インターフェイスはカーネルベース仮想マシン(KVM)のハイパーバイザ上にある Virtio 仮想インターフェイスに制限されます。 |
||
ASAv10 での Microsoft Azure サポート |
Microsoft Azure は、プライベート Microsoft Hyper V ハイパーバイザを使用するパブリック クラウド環境です。ASA 仮想 は、Hyper V ハイパーバイザの Microsoft Azure 環境でゲストとして実行されます。Microsoft Azure 上の ASA 仮想 は、4 つの vCPU、14 GB、4 つのインターフェイスをサポートする Standard D3 の 1 つのインスタンスタイプをサポートします。 バージョン 9.5(2.200) でも同様です。 |
||
ASA 仮想 の管理 0/0 インターフェイスでの通過トラフィックサポート |
ASA 仮想 の管理 0/0 インターフェイスでトラフィックを通過させることができるようになりました。以前は、Microsoft Azure 上の ASA 仮想 のみで通過トラフィックをサポートしていました。今後は、すべての ASA 仮想 で通過トラフィックがサポートされます。任意で、このインターフェイスを管理専用に設定できますが、デフォルトでは管理専用に設定されていません。 次のコマンドが変更されました。 management-only |
||
コモン クライテリア証明書 |
ASA は、コモン クライテリアの要件に適合するように更新されました。この証明書に追加された次の機能については、この表の行を参照してください。
|
||
ファイアウォール機能 |
|||
TCP 経由での DNS インスペクション |
DNS over TCP トラフィック(TCP/53)を検査できるようになりました。 次のコマンドが追加されました。 tcp-inspection 次のページが変更されました。 > [Add/Edit] ダイアログボックス |
||
MTP3 User Adaptation(M3UA)インスペクション |
M3UA トラフィックを検査できるようになりました。また、ポイント コード、サービス インジケータ、およびメッセージのクラスとタイプに基づいてアクションを適用できるようになりました。 次のコマンドが追加または変更されました。clear service-policy inspect m3ua {drops | endpoint [IP_address]} 、inspect m3ua 、match dpc 、match opc 、match service-indicator 、policy-map type inspect m3ua 、show asp table classify domain inspect-m3ua 、show conn detail 、show service-policy inspect m3ua {drops | endpoint IP_address} 、ss7 variant 、timeout endpoint 次のページが追加または変更されました。 、サービス ポリシー ルールの場合は タブ |
||
Session Traversal Utilities for NAT(STUN)インスペクション |
Cisco Spark を含む WebRTC アプリケーションの STUN トラフィックを検査できるようになりました。インスペクションでは、リターン トラフィックに必要なピンホールが開きます。 次のコマンドが追加または変更されました。inspect stun 、show conn detail 、show service-policy inspect stun 次のタブにオプションが追加されました。[Add/Edit Service Policy] ダイアログボックスの [Rule Actions] > [Protocol Inspection] |
||
Cisco クラウド Web セキュリティのアプリケーション層健全性チェック |
サーバーが正常かどうかを判断する際に、クラウド Web セキュリティ アプリケーションの健全性をチェックするように Cisco クラウド Web セキュリティを設定できるようになりました。アプリケーションの健全性を確認することで、プライマリ サーバーが TCP スリーウェイ ハンドシェイクに応答する場合に、システムはバックアップ サーバーにフェールオーバーできますが、要求を処理することはできません。これにより、より信頼性の高いシステムを実現します。 次のコマンドが追加されました。health-check application url 、health-check application timeout 次の画面が変更されました。 |
||
ルートの収束に対する接続ホールドダウン タイムアウト |
接続で使用されているルートがもう存在していない、または非アクティブになったときに、システムが接続を保持する時間を設定できるようになりました。このホールドダウン期間内にルートがアクティブにならない場合、接続は解放されます。ルートの収束がさらに迅速に行われるようにホールドダウン タイマーを短縮することができます。ただし、ほとんどのネットワークでは、ルートのフラッピングを防止するためにデフォルトの 15 秒が適切です。 次のコマンドが追加されました。 timeout conn-holddown 次の画面が変更されました。 バージョン 9.4(3) でも同様です。 |
||
TCP オプション処理の変更 |
TCP マップを設定する際にパケットの TCP ヘッダー内の TCP MSS および MD5 オプションに対するアクションを指定できるようになりました。さらに、MSS、タイムスタンプ、ウィンドウ サイズ、および選択的確認応答オプションのデフォルトの処理が変更されました。以前は、これらのオプションは、ヘッダーに特定のタイプのオプションが 2 つ以上ある場合でも許可されていました。現在は、パケットに特定のタイプのオプションが 2 つ以上含まれている場合、そのパケットはデフォルトでドロップされます。たとえば、以前は 2 つのタイムスタンプ オプションがあるパケットは許可されていましたが、現在はドロップされます。 MD5、MSS、選択的確認応答、タイムスタンプ、およびウィンドウ サイズに対し、同じタイプの複数のオプションを有効にするための TCP マップを設定できます。MD5 オプションの場合、以前のデフォルトではオプションがクリアされたのに対し、現在のデフォルトでは許可されます。また、MD5 オプションを含むパケットをドロップすることもできます。MSS オプションの場合は、TCP マップで最大セグメント サイズを設定できます(トラフィック クラスごとに)。他のすべての TCP オプションのデフォルトに変更はありません。これらはクリアされます。 次のコマンドが変更されました。 tcp-options 次の画面が変更されました。 > [Add/Edit] ダイアログボックス |
||
トランスペアレント モードで、ブリッジ グループごとのインターフェイス数が最大で 64 に増加 |
ブリッジ グループあたりのインターフェイスの最大数が 4 から 64 に拡張されました。 変更されたコマンドはありません。 変更された画面はありません。 |
||
トランスペアレント モードでのマルチキャスト接続のフロー オフロードのサポート |
トランスペアレント モードの Firepower 4100 および 9300 シリーズ デバイスで、NIC に直接切り替えられるマルチキャスト接続をオフロードできるようになりました。マルチキャスト オフロードは、インターフェイスを 2 つだけ含むブリッジ グループに使用できます。 この機能には、新規のコマンドまたは ASDM 画面はありません。 |
||
カスタマイズ可能な ARP レート制限 |
1 秒あたり許可される ARP パケットの最大数を設定できます。デフォルト値は ASA モデルによって異なります。この値は ARP ストーム攻撃を防ぐためにカスタマイズできます。 次のコマンドを追加しました。arp rate-limit、show arp rate-limit 次の画面が変更されました。 |
||
IEEE 802.2 論理リンク制御(LLC)パケットの Destination Service Access Point(DSAP)アドレスに対する Ethertype ルールのサポート |
IEEE 802.2 論理リンク制御パケットの宛先サービス アクセス ポイントのアドレスに対する Ethertype のアクセス制御ルールを作成できるようになりました。この追加により、bpdu キーワードが対象トラフィックに一致しなくなります。dsap 0x42 に対して bpdu ルールを書き換えます。 次のコマンドが変更されました。 access-list ethertype 次の画面が変更されました。 。 |
||
リモート アクセス機能 |
|||
マルチ コンテキスト モードの場合の証明書の事前入力/ユーザー名 |
セキュアクライアント SSL サポートが拡張され、これまでシングルモードでのみ使用可能だった証明書の事前入力とユーザー名取得機能の CLI がマルチコンテキストモードでも有効にできるようになりました。 変更されたコマンドはありません。 変更された画面はありません。 |
||
リモート アクセス VPN のフラッシュ仮想化 |
マルチ コンテキスト モードのリモート アクセス VPN はフラッシュ仮想化をサポートします。使用可能な合計フラッシュに基づき、コンテキストごとにプライベート記憶域と共有ストレージの場所が設定できます。
次のコマンドが導入されました。limit-resource storage、storage-url 次の画面が変更されました。
|
||
マルチコンテキストモードでの セキュアクライアント プロファイルのサポート |
マルチコンテキストモードでの セキュアクライアント プロファイルのサポートASDM を使用して新しいプロファイルを追加するには、Secure Client リリース 4.2.00748 または 4.3.03013 以降が必要です。 |
||
マルチコンテキストモードの セキュアクライアント 接続のステートフル フェールオーバー |
マルチコンテキストモードで セキュアクライアント 接続のステートフル フェールオーバーがサポートされるようになりました。 変更されたコマンドはありません。 変更された画面はありません。 |
||
マルチ コンテキスト モードでリモート アクセス VPN ダイナミック アクセス ポリシー(DAP)がサポートされました。 |
マルチ コンテキスト モードで、コンテキストごとに DAP を設定できるようになりました。 変更されたコマンドはありません。 変更された画面はありません。 |
||
マルチ コンテキスト モードでリモート アクセス VPN CoA(認可変更)がサポートされました。 |
マルチ コンテキスト モードで、コンテキストごとに CoA を設定できるようになりました。 変更されたコマンドはありません。 変更された画面はありません。 |
||
マルチ コンテキスト モードで、リモート アクセス VPN のローカライズがサポートされました。 |
ローカリゼーションがグローバルでサポートされました。複数のコンテキストで共有されるローカリゼーション ファイル セットは 1 つだけです。 変更されたコマンドはありません。 変更された画面はありません。 |
||
Umbrella ローミング セキュリティ モジュールのサポート |
アクティブな VPN がない場合には、DNS 層のセキュリティを強化するため、Secure Client の Umbrella ローミング セキュリティモジュールを設定できます。 変更されたコマンドはありません。 次の画面が変更されました。[セキュアクライアントプロファイル(Profile)] |
||
IKEv2 の IPsec/ESP トランスポート モードのサポート |
ASA IKEv2 ネゴシエーションでトランスポート モードがサポートされるようになりました。これは、トンネル(デフォルト)モードの代わりに使用できます。トンネル モードでは IP パケット全体がカプセル化されます。トランスポート モードでは IP パケットの上位層プロトコルだけがカプセル化されます。トランスポート モードでは、送信元ホストと宛先ホストの両方が IPSec をサポートしている必要があります。また、トランスポート モードは、トンネルの宛先ピアが IP パケットの最終宛先である場合にだけ使用されます。 次のコマンドが変更されました。crypto map set ikev2 mode 次の画面が変更されました。 |
||
IPsec 内部パケットに対するパケット単位のルーティング ルックアップ |
デフォルトでは、外部 ESP パケットに対してはパケット単位の隣接関係(アジャセンシー)ルックアップが行われ、IPsec トンネル経由で送信されるパケットに対してはルックアップが行われません。一部のネットワーク トポロジでは、ルーティング アップデートによって内部パケットのパスが変更され、ローカル IPsec トンネルが引き続きアップ状態である場合、トンネル経由のパケットは正しくルーティングされず、宛先に到達しません。これを防止するには、新しいオプションを使用し、IPsec 内部パケットに対してパケット単位のルーティング ルックアップを有効にします。 次のコマンドが追加されました。crypto ipsec inner-routing-lookup 次の画面に [Enable IPsec Inner Routing Lookup] チェックボックスが追加されました。 |
||
証明書とセキュアな接続の機能 |
|||
ASA クライアントによるサーバー証明書の拡張キーの使用状況確認 |
syslog、スマート ライセンス サーバー証明書は、[Extended Key Usage] フィールドに [ServerAuth ] を含める必要があります。そうしない場合、接続は失敗します。 |
||
ASA が TLS1.1 と 1.2 の TLS クライアントとして動作する際の相互認証 |
サーバーが認証のために ASA からクライアント証明書を要求した場合、ASA はそのインターフェイス用に設定されたクライアント アイデンティティ証明書を送信します。証明書は ssl trust-point コマンドで設定されます。 | ||
PKI デバッグ メッセージ |
ASA PKI モジュールは、SCEP 登録、HTTP を使用した失効チェックなどのために CA サーバーへ接続します。これらすべての ASA PKI 通信はデバッグ追跡のため、debug crypto ca メッセージ 5 を付してログに記録されます。 |
||
ASDM での ASA SSL サーバー モード マッチング |
証明書マップと照合するために、証明書で認証を行う ASDM ユーザーに対して証明書を要求できるようになりました。 次のコマンドを変更しました。http authentication-certificate match 次の画面を変更しました。 |
||
セキュアな syslog サーバーの接続とスマート ライセンシング接続のための参照 ID |
TLS クライアント処理は、RFC 6125 のセクション 6 に定義されるサーバー ID の検証ルールをサポートするようになりました。ID 確認は syslog サーバーとスマート ライセンス サーバーへの TLS 接続の PKI 確認中に行われます。提示された ID が設定されたリファレンス ID と一致しない場合、接続を確立できません。 次のコマンドが追加または変更されました。crypto ca reference-identity、logging host、call home profile destination address 次の画面が変更されました。
|
||
暗号キー抹消検査 |
ASA の暗号化システムは、新しい暗号キー抹消要件に適合するように更新されました。キーはすべてゼロで上書きされ、データを読み出して上書きが正しく行われたか確認する必要があります。 |
||
SSH 公開キー認証の改善 |
以前のリリースでは、ローカル ユーザー データベース( (aaa authentication ssh console LOCAL ))を使用して AAA SSH 認証を有効にしなくても、SSH 公開キー認証((ssh authentication ))を有効にすることができました。この設定は修正されたため、AAA SSH 認証を明示的に有効にする必要があります。ユーザーが秘密キーの代わりにパスワードを使用できないよう、パスワード未定義のユーザー名を作成できるようになりました。 次のコマンドが変更されました。ssh authentication、username 次の画面が変更されました。
|
||
インターフェイス機能 |
|||
Firepower 4100/9300 シャーシ の ASA のMTU サイズ増加 |
Firepower 4100 および 9300 で、最大 MTU を 9188 バイトに設定できます。これまでは 9000 バイトが最大でした。この MTU は FXOS 2.0.1.68 以降でサポートされます。 次のコマンドが変更されました。mtu 次の画面が変更されました。 |
||
ルーティング機能 |
|||
Bidirectional Forwarding Detection(BFD)のサポート |
ASAは、BFD ルーティング プロトコルをサポートするようになりました。BFD テンプレート、インターフェイスおよびマッピングの設定が新たにサポートされました。BFD を使用するための BGP ルーティング プロトコルのサポートも追加されました。 次のコマンドが追加または変更されました。 authentication、bfd echo、bfd interval、bfd map、bfd slow-timers、bfd template、bfd-template、clear bfd counters、echo、debug bfd、neighbor fall-over bfd、show bfd drops、show bfd map、show bfd neighbors、show bfd summary 次の画面が追加または変更されました。
|
||
IPv6 DHCP |
ASA で IPv6 アドレッシングの次の機能がサポートされました。
次のコマンドが追加または変更されました。clear ipv6 dhcp statistics、domain-name、dns-server、import、ipv6 address autoconfig、ipv6 address dhcp、ipv6 dhcp client pd、ipv6 dhcp client pd hint、ipv6 dhcp pool、ipv6 dhcp server、network、nis address、nis domain-name、nisp address、nisp domain-name、show bgp ipv6 unicast、show ipv6 dhcp、show ipv6 general-prefix、sip address、sip domain-name、sntp address 次の画面が追加または変更されました。
|
||
ハイ アベイラビリティとスケーラビリティの各機能 |
|||
アクティブ/スタンバイフェールオーバーを使用するときの セキュアクライアント からのダイナミック ACL における同期時間の改善 |
フェールオーバーペアで セキュアクライアント を使用するとき、関連付けられているダイナミック ACL(dACL)におけるスタンバイユニットへの同期時間が改善されました。以前は、大規模な dACL の場合、スタンバイユニットが可用性の高いバックアップを提供するのではなく同期作業で忙しい間は、同期時間が長時間に及ぶことがありました。 変更されたコマンドはありません。 変更された画面はありません。 |
||
ライセンシング機能 |
|||
ASA 仮想 の永続ライセンス予約 |
Cisco Smart Software Manager との通信が許可されていない非常にセキュアな環境では、ASA 仮想 用に永続ライセンスを要求できます。9.6(2) では、Amazon Web サービスの ASA 仮想 向けに、この機能のサポートが追加されました。この機能は Microsoft Azure ではサポートされません。
次のコマンドが導入されました。license smart reservation、license smart reservation cancel、license smart reservation install、license smart reservation request universal、license smart reservation return ASDM サポートはありません。 バージョン 9.5(2.200) でも同様です。 |
||
ASA 仮想 のサテライトサーバーのサポート |
デバイスがセキュリティ上の理由でインターネットにアクセスができない場合、オプションで、仮想マシン(VM)としてローカル Smart Software Manager サテライト サーバーをインストールできます。 変更されたコマンドはありません。 変更された画面はありません。 |
||
ASA 仮想 の短かい文字列の拡張機能向けの永続ライセンス予約 |
スマート エージェント(1.6.4 への)の更新により、要求と認証コードには短い文字列が使用されます。 変更されたコマンドはありません。 変更された画面はありません。 |
||
Firepower 4100/9300 シャーシ 上の ASA の永続ライセンス予約 |
Cisco Smart Software Manager との通信が許可されていない非常にセキュアな環境では、FirePOWER 9300 および FirePOWER 4100 の ASA 用に永続ライセンスを要求できます。永続ライセンスには、標準層、高度暗号化(該当する場合)、セキュリティ コンテキスト、キャリア ライセンスをはじめ、使用可能なすべてのライセンス権限が含まれます。FXOS 2.0.1 が必要です。 すべての設定はFirepower 4100/9300 シャーシで実行され、ASA の設定は不要です。 |
||
ASA 仮想 用スマートエージェントの v1.6 へのアップグレード |
スマート エージェントはバージョン 1.1 からバージョン 1.6 へアップグレードされました。このアップグレードは永続ライセンス予約をサポートするほか、ライセンス アカウントに設定された権限に従って、高度暗号化(3DES/AES)ライセンス権限の設定もサポートします。
次のコマンドが導入されました。show license status、show license summary、show license udi、show license usage 次のコマンドが変更されました。show license all、show tech-support license 次のコマンドが非推奨になりました。 show license cert、show license entitlement、show license pool、show license registration 変更された画面はありません。 バージョン 9.5(2.200) でも同様です。 |
||
モニタリング機能 |
|||
type asp-drop のパケット キャプチャは、ACL と一致フィルタリングをサポートします。 |
asp-drop タイプのパケット キャプチャを作成するとき、ACL または一致するオプションを指定してキャプチャの範囲を制限できるようになりました。 次のコマンドが変更されました。capture type asp-drop 変更された画面はありません。 |
||
フォレンジック分析の強化 |
ASA で実行されているすべてのプロセスのコア ダンプを作成できます。主な ASA プロセスのテキスト セクションを抽出し、検証用にコピーできます。 次のコマンドが変更されました。copy system:text、verify system:text、crashinfo force dump process 変更された画面はありません。 |
||
NetFlow 経由の接続ごとのトラッキング パケット数の追跡 |
NetFlow ユーザーがある接続上で双方向に送受信されるレイヤ 4 パケットの数を確認することを可能にする 2 つのカウンタが追加されました。これらのカウンタを使用して、平均パケット レートおよびサイズを判断し、トラフィック タイプ、異常、イベントをより適切に予測できます。 変更されたコマンドはありません。 変更された画面はありません。 |
||
フェールオーバーの SNMP engineID の同期 |
フェールオーバー ペアでは、一対の ASA の SNMP engineID は両方のユニットで同期されます。ASA ごとに、同期された engineID、ネイティブ engineID、およびリモート engineID による engineID が 3 セット維持されます。 SNMPv3 ユーザーは、ローカライズされた snmp-server user 認証とプライバシー オプションを保存するためのプロファイルを作成するときに ASA の engineID も指定できます。ユーザーがネイティブ engineID を指定しない場合、show running config 出力に engineID がユーザーごとに 2 つずつ表示されます。 次のコマンドが変更されました。snmp-server user ASDM サポートはありません。 バージョン 9.4(3) でも同様です。 |
ASA 9.6(1)/ASDM 7.6(1) の新機能
リリース:2016年3月21日
(注) |
Microsoft Azure サポートを含む ASAv 9.5.2(200) の各機能は 9.6(1) では使用できません。 これらは、9.6(2) では使用可能です。 |
機能 |
説明 |
||
---|---|---|---|
プラットフォーム機能 |
|||
Firepower 4100 シリーズ の ASA |
Firepower 4110、4120、4140 用の ASA を導入しました。 FXOS 1.1.4 が必要です。 追加または変更されたコマンドはありません。 追加または変更された画面はありません。 |
||
ISA 3000 の SD カードのサポート |
ISA 3000 の外部ストレージとして SD カードが使用できるようになりました。カードは、ASA ファイル システムのディスク 3 として表示されます。プラグ アンド プレイをサポートするにはハードウェア バージョン 2.1 以降が必要です。ハードウェア バージョンをチェックするには、show module コマンドを使用します。 追加または変更されたコマンドはありません。 追加または変更された画面はありません。 |
||
ISA 3000 のデュアル電源サポート |
ISA 3000 のデュアル電源では、ASA OS に望ましい構成としてデュアル電源を設定できます。1 つの電源に障害が発生すると、ASA はアラームを発します。デフォルトでは、ASA は単一電源を想定していますが、装備される電源のいずれかが機能しているかぎりアラームを発しません。 次のコマンドが導入されました。power-supply dual 。 ASDM サポートはありません。 |
||
ファイアウォール機能 |
|||
Diameter インスペクションの改善 |
TCP/TLS トラフィック上の Diameter を検査し、厳密なプロトコル準拠チェックを適用し、クラスタ モードで SCTP 上の Diameter を検査できるようになりました。 次のコマンドが導入または変更されました。client clear-text 、inspect diameter 、strict-diameter 。 次の画面が追加または変更されました。
の [Add/Edit] ウィザードの タブ |
||
クラスタ モードでの SCTP ステートフル インスペクション |
SCTP ステートフル インスペクションがクラスタ モードで動作するようになりました。また、クラスタ モードで SCTP ステートフル インスペクション バイパスを設定することもできます。 追加または変更されたコマンドはありません。 追加または変更された画面はありません。 |
||
H.460.18 互換性に関連する H.225 SETUP メッセージの前に着信する H.255 FACILITY メッセージに対する H.323 インスペクションのサポート。 |
H.225 FACILITY メッセージが H.225 SETUP メッセージの前に着信する(これは、エンドポイントが H.460.18 に準拠する場合に発生する場合があります)ことを許可するように H.323 インスペクション ポリシー マップを設定できるようになりました。 次のコマンドが導入されました。early-message 。 H.323 インスペクション ポリシー マップの [Call Attributes] タブにオプションが追加されました。 |
||
Security Exchange Protocol(SXP)バージョン 3 の Cisco TrustSec サポート。 |
ASA の Cisco Trustsec は、ホスト バインディングよりも効率的な SGT とサブネット間のバインディングを可能にする SXPv3 を実装するようになりました。 次のコマンドが導入または変更されました。cts sxp mapping network-map maximum_hosts 、cts role-based sgt-map 、show cts sgt-map 、show cts sxp sgt-map 、show asp table cts sgt-map 。 ダイアログボックスが変更されました。 と [SGT Map Setup] |
||
Firepower 4100 シリーズ のフロー オフロードのサポート。 |
ASA からオフロードされ、Firepower 4100 シリーズ の NIC で直接切り替える必要があるフローを特定できるようになりました。 FXOS 1.1.4 が必要です。 追加または変更されたコマンドはありません。 追加または変更された画面はありません。 |
||
リモート アクセス機能 |
|||
IKEv2 フラグメンテーション、RFC-7383 サポート |
ASA では、IKEv2 パケットのこの標準的なフラグメンテーションがサポートされるようになりました。これにより、Apple、Strongswan など、他の IKEv2 の実装との相互運用性を実現します。ASA は、セキュアクライアントなどの RFC-7383 をサポートしないシスコ製品との後方互換性を保つため、独自の IKEv2 フラグメンテーションを引き続きサポートします。 次のコマンドが導入されました。 crypto ikev2 fragmentation 、show running-config crypto ikev2 、show crypto ikev2 sa detail |
||
Firepower 9300 とFirepower 4100 シリーズでの VPN スループット パフォーマンス強化 |
crypto engine accelerator-bias コマンドが Firepower 9300 と Firepower 4100 シリーズ 上の ASA セキュリティ モジュールでサポートされるようになりました。このコマンドにより、IPSec または SSL に対して暗号コアを「優先的に使用」できます。 次のコマンドが変更されました。 crypto engine accelerator-bias 追加または変更された画面はありません。 |
||
設定可能な SSH 暗号機能と HMAC アルゴリズム |
ユーザーは SSH 暗号化を管理するときに暗号化モードを選択し、さまざまなキー交換アルゴリズムに対して HMAC と暗号化を設定できます。アプリケーションに応じて、暗号の強度を強くしたり弱くする必要がある場合があります。セキュアなコピーのパフォーマンスは暗号化アルゴリズムに一部依存します。デフォルトで、ASA は 3des-cbc aes128-cbc aes192-cbc aes256-cbc aes128-ctr aes192-ctr aes256-ctr の順にアルゴリズムをネゴシエートします。提示された最初のアルゴリズム(3des-cbc)が選択された場合、aes128-cbc などの一層効率的なアルゴリズムが選択された場合よりも大幅にパフォーマンスが低下します。たとえば、提示された暗号方式に変更するには、ssh cipher encryption custom aes128-cbc を使用します。 次のコマンドが導入されました。ssh cipher encryption、ssh cipher integrity。 次の画面が導入されました。 9.1(7) 、9.4(3) および 9.5(3) でも使用可能です。 |
||
IPv6 の HTTP リダイレクト サポート |
ASDM アクセスまたはクライアントレス SSL VPN 用の HTTPS に HTTP リダイレクトを有効にすると、IPv6 アドレスへ送信されるトラフィックもリダイレクトできるようになりました。 次のコマンドに機能が追加されました。http redirect 次の画面に機能が追加されました。 9.1(7) および 9.4(3) でも使用可能です。 |
||
ルーティング機能 |
|||
IS-IS ルーティング |
ASA で Intermediate System to Intermediate System(IS-IS)のルーティング プロトコルがサポートされました。IS-IS ルーティング プロトコルを使用した、データのルーティング、認証の実行、およびルーティング情報の再配布とモニターについて、サポートが追加されました。 次のコマンドを導入しました。 advertise passive-only, area-password, authentication key, authentication mode, authentication send-only, clear isis, debug isis, distance, domain-password, fast-flood, hello padding, hostname dynamic, ignore-lsp-errors, isis adjacency-filter, isis advertise prefix, isis authentication key, isis authentication mode, isis authentication send-only, isis circuit-type, isis csnp-interval, isis hello-interval, isis hello-multiplier, isis hello padding, isis lsp-interval, isis metric, isis password, isis priority, isis protocol shutdown, isis retransmit-interval, isis retransmit-throttle-interval, isis tag, is-type, log-adjacency-changes, lsp-full suppress, lsp-gen-interval, lsp-refresh-interval, max-area-addresses, max-lsp-lifetime, maximum-paths, metric, metric-style, net, passive-interface, prc-interval, protocol shutdown, redistribute isis, route priority high, route isis, set-attached-bit, set-overload-bit, show clns, show isis, show router isis, spf-interval, summary-address. 次の画面が導入されました。 [Configuration] > [Device Setup] > [Routing] > [ISIS] [Monitoring] > [Routing] > [ISIS] |
||
ハイ アベイラビリティとスケーラビリティの各機能 |
|||
ルーテッドおよびスパンド EtherChannel モードのサイト固有の IP アドレスのポート |
スパンド EtherChannel のルーテッド モードでのサイト間クラスタリングの場合、サイト個別の MAC アドレスに加えて、サイト個別の IP アドレスを設定できるようになりました。サイト IP アドレスを追加することにより、グローバル MAC アドレスからの ARP 応答を防止するために、ルーティング問題の原因になりかねない Data Center Interconnect(DCI)経由の移動によるオーバーレイ トランスポート仮想化(OTV)デバイスの ARP 検査を使用することができます。MAC アドレスをフィルタ処理するために VACL を使用できないスイッチには、ARP 検査が必要です。 次のコマンドが変更されました。mac-address、show interface 次の画面を変更しました。 |
||
管理機能 |
|||
ローカルの username および enable パスワードでより長いパスワード(127 文字まで)がサポートされます。 |
127 文字までのローカル username および enable パスワードを作成できます(以前の制限は 32 文字でした)。32 文字以上のパスワードを作成すると、PBKDF2(パスワード ベース キー派生関数 2)のハッシュを使用して設定に保存されます。これよりも短いパスワードは引き続き MD5 ベースのハッシュを使用します。 次のコマンドを変更しました。enable、username 次の画面が変更されました。
|
||
CISCO-ENHANCED-MEMPOOL-MIB の cempMemPoolTable のサポート |
CISCO-ENHANCED-MEMPOOL-MIB の cempMemPoolTable がサポートされました。これは、管理型システムのすべての物理エンティティのメモリプール モニタリング エントリのテーブルです。
追加または変更されたコマンドはありません。 追加または変更された画面はありません。 9.1(7) および 9.4(3) でも使用可能です。 |
||
REST API バージョン 1.3.1 |
REST API バージョン 1.3.1 のサポートが追加されました。 |
バージョン 9.5 の新機能
ASA 9.5(3.9)/ASDM 7.6(2) の新機能
リリース:2017年4月11日
(注) |
機能 |
説明 |
---|---|
リモート アクセス機能 |
|
設定可能な SSH 暗号機能と HMAC アルゴリズム |
ユーザーは SSH 暗号化を管理するときに暗号化モードを選択し、さまざまなキー交換アルゴリズムに対して HMAC と暗号化を設定できます。アプリケーションに応じて、暗号の強度を強くしたり弱くする必要がある場合があります。セキュアなコピーのパフォーマンスは暗号化アルゴリズムに一部依存します。デフォルトで、ASA は 3des-cbc aes128-cbc aes192-cbc aes256-cbc aes128-ctr aes192-ctr aes256-ctr の順にアルゴリズムをネゴシエートします。提示された最初のアルゴリズム(3des-cbc)が選択された場合、aes128-cbc などの一層効率的なアルゴリズムが選択された場合よりも大幅にパフォーマンスが低下します。たとえば、提示された暗号方式に変更するには、ssh cipher encryption custom aes128-cbc を使用します。 次のコマンドが導入されました。ssh cipher encryption、ssh cipher integrity。 次の画面が導入されました。 9.1(7) および 9.4(3) でも使用可能です。 |
ASA 仮想 9.5(2.200)/ASDM 7.5(2.153) の新機能
リリース:2016年1月28日
(注) |
このリリースは、ASA 仮想 のみをサポートします。 |
機能 |
説明 |
||
---|---|---|---|
プラットフォーム機能 |
|||
ASAv10 での Microsoft Azure サポート |
Microsoft Azure は、プライベート Microsoft Hyper V ハイパーバイザを使用するパブリック クラウド環境です。ASA 仮想 は、Hyper V ハイパーバイザの Microsoft Azure 環境でゲストとして実行されます。Microsoft Azure 上の ASA 仮想 は、4 つの vCPU、14 GB、4 つのインターフェイスをサポートする Standard D3 の 1 つのインスタンスタイプをサポートします。 |
||
ライセンシング機能 |
|||
ASA 仮想 の永続ライセンス予約 |
Cisco Smart Software Manager との通信が許可されていない非常にセキュアな環境では、ASA 仮想 用に永続ライセンスを要求できます。
次のコマンドが導入されました。license smart reservation、license smart reservation cancel、license smart reservation install、license smart reservation request universal、license smart reservation return ASDM サポートはありません。 |
||
スマート エージェントの v1.6 へのアップグレード |
スマート エージェントはバージョン 1.1 からバージョン 1.6 へアップグレードされました。このアップグレードは永続ライセンス予約をサポートするほか、ライセンス アカウントに設定された権限に従って、高度暗号化(3DES/AES)ライセンス権限の設定もサポートします。
次のコマンドが導入されました。show license status、show license summary、show license udi、show license usage 次のコマンドが変更されました。show license all、show tech-support license 次のコマンドが非推奨になりました。 show license cert、show license entitlement、show license pool、show license registration 変更された画面はありません。 |
ASA 9.5(2.1)/ASDM 7.5(2) の新機能
リリース:2015年12月14日
(注) |
このリリースは、Firepower 9300 の ASA のみをサポートします。 |
機能 |
説明 |
||
---|---|---|---|
プラットフォーム機能 |
|||
Firepower 9300 での ASA の VPN サポート |
FXOS 1.1.3 では、VPN 機能を設定できるようになりました。 | ||
ファイアウォール機能 |
|||
Firepower 9300 での ASA のフローのオフロード |
ASA からオフロードし、(Firepower 9300 上の)NIC で直接切り替える必要があるフローを特定できるようになりました。これにより、データセンターのより大きなデータ フローのパフォーマンスが向上します。 FXOS 1.1.3 も必要です。 次のコマンドが追加または変更されました。clear flow-offload 、flow-offload enable 、set-connection advanced-options flow-offload 、show conn detail 、show flow-offload 。 次の画面が追加または変更されました: 、 の下でルールを追加または編集する場合の タブ。 |
||
ハイ アベイラビリティ機能 |
|||
Firepower 9300 での 6 モジュールのシャーシ間クラスタリング と ASA のサイト間クラスタリング |
FXOS 1.1.3 では、シャーシ間、さらにサイト間クラスタリングを有効にできます。最大 6 つのシャーシに最大 6 つのモジュールを含めることができます。 変更されたコマンドはありません。 変更された画面はありません。 |
||
ライセンシング機能 |
|||
Firepower 9300 の ASA に高度暗号化(3DES)ライセンスを自動的に適用 |
通常の Cisco Smart Software Manager(SSM)ユーザーの場合、FirePOWER 9300 で登録トークンを適用すると、対象となるお客様には強力な暗号化ライセンスが自動的に有効になります。
この機能には、FXOS 1.1.3 が必要です。 サテライト以外の構成では、次のコマンドが除去されました。feature strong-encryption 次の画面が変更されました。 |
ASA 9.5(2)/ASDM 7.5(2) の新機能
リリース:2015年11月30日
機能 |
説明 |
||
---|---|---|---|
プラットフォーム機能 |
|||
Cisco ISA 3000 サポート |
Cisco ISA 3000 は、DIN レールにマウントされた高耐久型の産業用セキュリティ アプライアンスです。ギガビット イーサネットと専用管理ポートを備えた、低消費電型ファンレス デバイスです。このモデルには ASA Firepower モジュールが事前にインストールされています。このモデルの特別な機能として、カスタマイズされたトランスペアレント モードのデフォルト設定と、電源喪失時もトラフィックがアプライアンスを通過することを可能にするハードウェア バイパス機能があります。 次のコマンドが導入されました。hardware-bypass、hardware-bypass manual、hardware-bypass boot-delay 次の画面が変更されました。 バージョン 9.4(1.225) でも同様です。 |
||
ファイアウォール機能 |
|||
DCERPC インスペクションの改善および UUID フィルタリング |
DCERPC インスペクションは、OxidResolver ServerAlive2 opnum5 メッセージに対して NAT をサポートするようになりました。また、DCERPC メッセージの汎用一意識別子(UUID)でフィルタリングし、特定のメッセージ タイプをリセットするかログに記録できるようになりました。UUID フィルタリング用の新しい DCERPC インスペクション クラス マップがあります。 次のコマンドが導入されました。match [not] uuid 。次のコマンドが変更されました。class-map type inspect 。 の画面が追加されました。 次の画面が変更されました。 。 |
||
Diameter インスペクション |
Diameter トラフィックを検査できるようになりました。Diameter インスペクションには キャリア ライセンスが必要です。 次のコマンドが導入または変更されました。class-map type inspect diameter 、diameter 、inspect diameter 、match application-id 、match avp 、match command-code 、policy-map type inspect diameter 、show conn detail 、show diameter 、show service-policy inspect diameter 、unsupported 次の画面が追加または変更されました。 [Diameter AVP] との [Add/Edit] ウィザードの タブ |
||
SCTP インスペクションとアクセス制御 |
サービス オブジェクト、アクセス コントロール リスト(ACL)とアクセス ルールにて SCTP プロトコルとポートの仕様を使用して、SCTP トラフィックを検査できるようになりました。SCTP インスペクションには キャリア ライセンスが必要です。 次のコマンドが導入されました。access-list extended 、clear conn protocol sctp 、inspect sctp 、match ppid 、nat static (object)、policy-map type inspect sctp 、service-object 、service 、set connection advanced-options sctp-state-bypass 、show conn protocol sctp 、show local-host connection sctp 、show service-policy inspect sctp 、timeout sctp 次の画面が追加または変更されました。 の [Add/Edit] ダイアログ の [Add/Edit] ダイアログ
の [Add/Edit static network object NAT rule] 、[Advanced NAT Settings] ダイアログボックス の [Add/Edit] ダイアログ
の [Add/Edit] ウィサードの と [Connection Settings] タブ |
||
キャリア グレード NAT の強化は、フェールオーバーおよび ASA クラスタリングでサポートされます。 |
キャリア グレードまたは大規模 PAT では、NAT に 1 度に 1 つのポート変換を割り当てさせるのではなく、各ホストにポートのブロックを割り当てることができます(RFC 6888 を参照してください)。この機能は、フェールオーバーおよび ASA クラスタの導入でサポートされます。 次のコマンドが変更されました。show local-host 変更された画面はありません。 |
||
ASA FirePOWER 6.0 でのアクティブ認証向けキャプティブ ポータル。 |
キャプティブ ポータル機能では、ASA FirePOWER 6.0 で始まるアイデンティティ ポリシーを使用してアクティブ認証を有効にする必要があります。 次のコマンドが導入または変更されました。captive-portal 、clear configure captive-portal 、show running-config captive-portal 。 |
||
ハイ アベイラビリティ機能 |
|||
サイト間フロー モビリティの LISP インスペクション |
Cisco Locator/ID Separation Protocol(LISP)のアーキテクチャは、デバイス ID をその場所から 2 つの異なるナンバリング スペースに分離し、サーバーの移行をクライアントに対して透過的にします。ASA は、場所変更の LISP トラフィックを検査し、その情報をシームレスなクラスタリング運用に活用できます。ASA クラスタ メンバーは、最初のホップ ルータと出力トンネル ルータまたは入力トンネル ルータの間の LISP トラフィックを検査し、フロー オーナーの所在場所を新規サイトに変更します。 次のコマンドが導入または変更されました。allowed-eid、clear cluster info flow-mobility counters、clear lisp eid、cluster flow-mobility lisp、debug cluster flow-mobility、debug lisp eid-notify-intercept、flow-mobility lisp、inspect lisp、policy-map type inspect lisp、site-id、show asp table classify domain inspect-lisp、show cluster info flow-mobility counters、show conn、show lisp eid、show service-policy、validate-key 次の画面が導入または変更されました。
|
||
ASA 5516-X でのクラスタリングのサポート |
ASA 5516-X が 2 ユニット クラスタをサポートするようになりました。基本ライセンスでは、2 ユニットのクラスタリングがデフォルトで有効化されています。 変更されたコマンドはありません。 変更された画面はありません。 |
||
クラスタリング トレース エントリの設定可能なレベル |
デフォルトで、すべてのレベルクラスタリング イベントは、多くの下位レベルのイベント以外に、トレース バッファに含まれます。より上位レベルのイベントへのトレースを制限するために、クラスタの最小トレース レベルを設定できます。 次のコマンドが導入されました。trace-level 変更された画面はありません。 |
||
インターフェイス機能 |
|||
セカンデリ VLAN のプライマリ VLAN へのマッピングのサポート |
サブ インターフェイスで、1 つ以上のセカンデリ VLAN を設定できるようになりました。ASA はセカンダリ VLAN でトラフィックを受信すると、そのトラフィックをプライマリ VLAN にマップします。 次のコマンドを導入または変更しました。vlan secondary、show vlan mapping 次の画面が変更されました。
|
||
ルーティング機能 |
|||
マルチキャスト ルーティングの PIM ブートストラップ ルータ(BSR)のサポート |
ASA は、現在、異なるグループにマルチキャスト トラフィックをルーティングするためにスタティック RP を設定できるようサポートしています。複数の RP が存在する可能性のある大規模で複雑なネットワークについては、ASA では RP のモビリティに対応できるよう、PIM BSR を使用したダイナミック RP の選択をサポートします。 次のコマンドが導入されました。clear pim group-map、debug pim bsr、pim bsr-border、pim bsr-candidate、show pim bsr-router、show pim group-map rp-timers 次の画面が導入されました。 |
||
リモート アクセス機能 |
|||
マルチ コンテキスト モードでのリモート アクセス VPN サポート |
次のリモート アクセス機能をマルチ コンテキスト モードで使用できるようになりました。
次のコマンドが導入されました。limit-resource vpn anyconnect、limit-resource vpn burst anyconnect 次の画面が変更されました。 |
||
クライアントレス SSL VPN で SAML 2.0 ベースのシングル サインオン(SSO)機能を提供 |
ASA は、SAML のサービス プロバイダーとして機能します。 |
||
クライアントレス SSL VPN の条件付きデバッグ |
フィルタ条件設定に基づき、フィルタリングによりログをデバッグし、より深く分析できます。 debug コマンドに次の追加が導入されました。
|
||
クライアントレス SSL VPN キャッシュはデフォルトでは無効 |
クライアントレス SSL VPN のキャッシュはデフォルトで無効になりました。クライアントレス SSL VPN キャッシュを無効にすることで安定性が改善します。キャッシュを有効にするには手動で有効にする必要があります。
次のコマンドが変更されました。cache 次の画面が変更されました。 |
||
ライセンシング機能 |
|||
サーバー証明書の発行階層が変更された場合の Smart Call Home/スマート ライセンス証明書の検証 |
スマート ライセンスでは、Smart Call Home インフラストラクチャが使用されます。ASA はバックグラウンドで Smart Call Home 匿名レポートを最初に設定するときに、Call Home サーバー証明書を発行した CA の証明書を含むトラストポイントを自動的に作成します。ASA はサーバー証明書の発行階層が変更された場合の証明書の検証をサポートします。トラストプール バンドルの定期的な自動更新を有効にできます。 次のコマンドが導入されました。auto-import 次の画面が変更されました。 |
||
新しいキャリア ライセンス |
新しいキャリア ライセンスは既存の GTP/GPRS ライセンスを置き換え、SCTP と Diameter インスペクションもサポートします。Firepower 9300 上の ASA の場合、feature mobile-sp コマンドは feature carrier コマンドに自動的に移行します。 次のコマンドが導入または変更されました。feature carrier、show activation-key、show license、show tech-support、show version 次の画面が変更されました。 |
||
モニタリング機能 |
|||
SNMP engineID の同期 |
HA ペアでは、一対の ASA の SNMP engineID は両方のユニットで同期されます。ASA ごとに、同期された engineID、ネイティブ engineID、およびリモート engineID による engineID が 3 セット維持されます。 SNMPv3 ユーザーは、ローカライズされた snmp-server user 認証とプライバシー オプションを保存するためのプロファイルを作成するときに ASA の engineID も指定できます。ユーザーがネイティブ engineID を指定しない場合、show running config 出力に engineID がユーザーごとに 2 つずつ表示されます。 次のコマンドが変更されました。snmp-server user、no snmp-server user 追加または変更された画面はありません。 9.4(3) でも使用可能です。 |
||
show tech support の強化 |
show tech support コマンドは現在次のとおりです。
次のコマンドが変更されました。show tech support 追加または変更された画面はありません。 9.1(7) および 9.4(3) でも使用可能です。 |
||
デバッグ ロギング トレースの永続化 |
以前は、デバッグを syslog サーバーへリダイレクトするために logging debug-trace が有効になっている場合、(ネットワークの接続性またはタイムアウトにより)SSH 接続が切断されるとデバッグは削除されました。しかし、logging コマンドが有効である限りデバッグを永続的に保持されるようになりました。 logging debug-trace コマンドが変更されました。 変更された画面はありません。 |
ASA 9.5(1.5)/ASDM 7.5(1.112) の新機能
リリース:2015年11月11日
機能 |
説明 |
---|---|
プラットフォーム機能 |
|
ASA FirePOWER 6.0 のサポート |
ASA FirePOWER モジュール向けのソフトウェア バージョン 6.0 は、以前からサポートされているすべてのデバイス モデルでサポートされます。 |
5512-X ~ 5585-X 向けの ASDM を介した ASA FirePOWER モジュール管理サポート |
モジュールでバージョン 6.0 の実行時、Management Center(旧称:FireSIGHT Management Center)の代わりに ASDM を使用して、ASA FirePOWER モジュールを管理できます。6.0 を実行している場合は、ASDM で 5506-X、5506H-X 5506W-X、5508-X および 5516-X のモジュールも管理できます。 新しい画面またはコマンドは追加されていません。 |
ASDM 7.5(1.90) の新機能
リリース:2015年10月14日
機能 |
説明 |
---|---|
リモート アクセス機能 |
|
AnyConnect バージョン 4.2 のサポート |
ASDM は、AnyConnect 4.2 およびネットワーク可視性モジュール(NVM)をサポートしています。NVM は、キャパシティとサービスの計画、監査、コンプライアンス、およびセキュリティ分析に関して、企業内管理者の実行能力を向上させます。NVM(ネットワーク可視性モジュール)は、エンドポイントのテレメトリを収集して、フロー データとファイル レピュテーションを syslog に記録し、さらに、ファイルの分析と UI インターフェイスの提供を行うコレクタ(サードパーティ ベンダー)にもフロー レコードをエクスポートします。 次の画面が変更されました。[設定(Configuration)] > [リモートアクセスVPN(Remote Access VPN)] > [ネットワーク(クライアント)アクセス(Network (Client) Access)] > [セキュアクライアント プロファイル(Profile)]([ネットワーク可視性サービスプロファイル(Network Visibility Service Profile)] という新しいプロファイル) |
ASA 仮想 9.5(1.200)/ASDM 7.5(1) の新機能
リリース:2015年8月31日
(注) |
このリリースは、ASA 仮想 のみをサポートします。 |
機能 |
説明 |
---|---|
プラットフォーム機能 |
|
Microsoft Hyper-V スーパーバイザ サポート |
ASA 仮想 のハイパーバイザ ポートフォリオを拡張します。 |
ASAv5 低容量メモリ サポート |
ASAv5 は 1 GB RAM のみでも実行できるようになりました。以前は 2 GB を必要としていました。導入済みの ASAv5 では、ライセンスにより許容される以上のメモリを使用していることを示すエラーが発生するため、割り当て済みメモリを 1 GB に減らす必要があります。 |
ASA 9.5(1)/ASDM 7.5(1) の新機能
リリース:2015年8月12日
(注) |
このバージョンは Firepower 9300 ASA セキュリティ モジュールまたは ISA 3000 をサポートしません。 |
機能 |
説明 |
---|---|
ファイアウォール機能 |
|
GTPv2 インスペクションと GTPv0/1 インスペクションの改善 |
GTP インスペクションは GTPv2 を処理できるようになりました。また、すべてのバージョンの GTP インスペクションで IPv6 アドレスがサポートされるようになりました。 次のコマンドが変更されました。clear service-policy inspect gtp statistics、clear service-policy inspect gtp pdpmcb、clear service-policy inspect gtp request、match message id、show service-policy inspect gtp pdpmcb、show service-policy inspect gtp request、show service-policy inspect gtp statistics、timeout endpoint 次のコマンドが非推奨になりました。timeout gsn 次の画面が変更されました。[Configuration] > [Firewall] > [Objects] > [Inspect Maps] > [GTP]。 |
IP オプション インスペクションの改善 |
IP オプション インスペクションは、すべての有効な IP オプションをサポートするようになりました。まだ定義されていないオプションを含む、標準または試行的なオプションを許可、クリア、またはドロップするようにインスペクションを調整できます。また、IP オプション インスペクション マップで明示的に定義されていないオプションのデフォルトの動作を設定できます。 次のコマンドを導入しました。 basic-security, commercial-security, default, exp-flow-control, exp-measure, extended-security, imi-traffic-description, quick-start, record-route, timestamp 次の画面が変更されました。[Configuration] > [Firewall] > [Objects] > [Inspect Maps] > [IP Options]。 |
キャリア グレード NAT の拡張 |
キャリア グレードまたは大規模 PAT では、NAT に 1 度に 1 つのポート変換を割り当てさせるのではなく、各ホストにポートのブロックを割り当てることができます(RFC 6888 を参照してください)。 次のコマンドが導入されました。xlate block-allocation size、xlate block-allocation maximum-per-host。block-allocation キーワードが nat コマンドに追加されました。 次の画面が導入されました。[Configuration] > [Firewall] > [Advanced] > [PAT Port Block Allocation]。 [Enable Block Allocation] オブジェクト NAT および Twice NAT ダイアログボックスが追加されました。 |
ハイ アベイラビリティ機能 |
|
ルーテッド ファイアウォール モードのスパンド EtherChannel でのサイト間クラスタリング |
ルーテッド モードでは、スパンド EtherChannel サイト間クラスタリングを使用することができます。MAC アドレスのフラッピングを防ぐには、各インターフェイスのサイト別の MAC アドレスがサイトのユニット上で共有できるように、各クラスタ メンバーのサイト ID を設定します。 次のコマンドを導入または変更しました。site-id、mac-address site-id、show cluster info、show interface 次の画面が変更されました。 [Configuration] > [Device Management] > [High Availability and Scalability] > [ASA Cluster] > [Cluster Configuration] |
インターフェイスまたはクラスタ制御リンクが失敗した場合の auto-rejoin 動作の ASA クラスタ のカスタマイズ |
インターフェイスまたはクラスタ制御リンクが失敗した場合、auto-rejoin 動作をカスタマイズできます。 次のコマンドが導入されました。health-check auto-rejoin 次の画面が導入されました。 [Configuration] > [Device Management] > [High Availability and Scalability] > [ASA Cluster] > [Auto Rejoin] |
ASA クラスタは、GTPv1 と GTPv2 をサポートします |
ASA クラスタは、GTPv1 および GTPv2 インスペクションをサポートします。 変更されたコマンドはありません。 変更された画面はありません。 |
TCP 接続のクラスタ複製遅延 |
この機能で、ディレクタ/バックアップ フロー作成の遅延による存続期間が短いフローに関連する「不要な作業」を排除できます。 次のコマンドを導入しました。cluster replication delay 次の画面を導入しました。 バージョン 9.4(1.152) の Firepower 9300 ASA セキュリティ モジュールにも使用できます。 |
ASA クラスタリングのハードウェア モジュールのヘルス モニタリングの無効化 |
クラスタリング使用時、ASA はデフォルトで、設置されているハードウェア モジュール(ASA FirePOWER モジュールなど)のヘルス モニタリングを行います。特定のハードウェア モジュールの障害によってフェールオーバーをトリガーすることが望ましくない場合は、モジュールのモニタリングをディセーブルにできます。 次のコマンドを変更しました。health-check monitor-interface service-module 次の画面が変更されました。[Configuration] > [Device Management] > [High Availability and Scalability] > [ASA Cluster] > [Cluster Interface Health Monitoring] |
ASA 5506H のフェールオーバー リンクとして、管理 1/1 インターフェイスを使用できるようになりました。 |
管理 1/1 インターフェイスは、ASA 5506H に限りフェールオーバー リンクとして設定できるようになりました。この機能により、デバイスの他のインターフェイスをデータ インターフェイスとして使用できます。この機能を使用した場合、ASA FirePOWER モジュールは使用できません。このモジュールでは管理 1/1 インターフェイスを通常の管理インターフェイスとして維持することが必須です。 次のコマンドが変更されました。failover lan interface、failover link 次の画面が変更されました。[Configuration] > [Device Management] > [High Availability and Scalability] > [Failover] > [Setup] |
ルーティング機能 |
|
ポリシーベース ルーティングの IPv6 サポート |
ポリシーベース ルーティングで IPv6 アドレスがサポートされました。 次のコマンドが導入されました。set ipv6 next-hop、set default ipv6-next hop、set ipv6 dscp 次の画面が変更されました。 [Configuration] > [Device Setup] > [Routing] > [Route Maps] > [Add Route Map] > [Policy Based Routing] [Configuration] > [Device Setup] > [Routing] > [Route Maps] > [Add Route Maps] > [Match Clause] |
ポリシーベース ルーティングの VXLAN サポート |
VNI インターフェイスでポリシーベース ルーティングを有効にできるようになりました。 変更されたコマンドはありません。 次の画面が変更されました。[Configuration] > [Device Setup] > [Interface Settings] > [Interfaces] > [Add/Edit Interface] > [General]。 |
アイデンティティ ファイアウォールと Cisco TrustSec でのポリシーベース ルーティングのサポート |
アイデンティティ ファイアウォールと Cisco TrustSec を設定し、ポリシーベース ルーティングのルートマップでアイデンティティ ファイアウォールと Cisco TrustSec ACL を使用できるようになりました。 変更されたコマンドはありません。 次の画面が変更されました。[Configuration] > [Device Setup] > [Routing] > [Route Maps] > [Add Route Maps] > [Match Clause] |
管理専用インターフェイス用の個別のルーティング テーブル |
データ トラフィックから管理トラフィックを区別して分離するため、ASA は管理専用インターフェイス用の個別のルーティング テーブルをサポートしました。 次のコマンドが導入または変更されました。backup、clear ipv6 route management-only、clear route management-only、configure http、configure net、copy、enrollment source、name-server、restore、show asp table route-management-only、show ipv6 route management-only show route management-only 変更された画面はありません。 |
Protocol Independent Multicast Source-Specific Multicast(PIM-SSM)パススルーのサポート |
ASA では、最後のホップ ルータである場合を除いて、マルチキャスト ルーティングが有効になっているときに PIM-SSM パケットが通過できるようになりました。この機能により、さまざまな攻撃から保護すると同時に、マルチキャスト グループをより柔軟に選択できるようになりました。ホストは、明示的に要求された送信元からのトラフィックのみを受信します。 変更されたコマンドはありません。 変更された画面はありません。 |
リモート アクセス機能 |
|
IPv6 VLAN マッピング |
ASA VPN コードは IPv6 の機能を完全にサポートするよう強化されました。管理者による設定の変更は不要です。 |
クライアントレス SSL VPN の SharePoint 2013 サポート |
SharePoint のこの新バージョンが新たにサポートされ、事前定義されているアプリケーションテンプレートが追加されました。 次の画面が変更されました。[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Portal] > [Bookmarks] > [Add Bookmark List] > [Select Bookmark Type] > [Predefined application templates] |
クライアントレス VPN のダイナミック ブックマーク |
ブックマークを使用する際のマクロのリストに CSCO_WEBVPN_DYNAMIC_URL と CSCO_WEBVPN_MACROLIST が追加されました。これらのマクロは、管理者が複数のブックマーク リンクを生成できる単一のブックマークをクライアントレス ユーザーのポータル上で設定し、ブックマークを静的に設定して LDAP 属性マップが提供する任意のサイズのリストを利用できるようにします。 次の画面が変更されました。[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Portal] > [Bookmarks]。 |
VPN バナーの長さの増加 |
VPN リモート クライアント ポータルでのログイン後に表示される全体的なバナーの長さが、500 ~ 4000 文字に増加しました。 次のコマンドが変更されました。banner(グループ ポリシー) 次の画面が変更されました。[Configuration] > [Remote Access VPN] > .... [Add/Edit Internal Group Policy] > [General Parameters] > [Banner]。 |
ASA 5506-X、5506W-X、5506H-X および 5508-X の Cisco Easy VPN クライアント |
このリリースは、ASA 5506-X シリーズでの Cisco Easy VPN の使用をサポートし、かつ ASA 5508-X 用の Cisco Easy VPN をサポートします。ASA は、VPN ヘッドエンドに接続すると VPN ハードウェア クライアントとして機能します。ASA の背後にある Easy VPN ポート上のデバイス(コンピュータ、プリンタなど)は、VPN 経由で通信できます。個別に VPN クライアントを実行する必要はありません。ASA インターフェイス 1 つのみで Easy VPN ポートとして機能できます。このポートに複数のデバイスを接続するには、レイヤ 2 スイッチをこのポート上に配置してから、このスイッチにデバイスを接続します。 次のコマンドが導入されました。vpnclient enable、vpnclient server、vpnclient mode、vpnclient username、vpnclient ipsec-over-tcp、vpnclient management、vpnclient vpngroup、vpnclient trustpoint、vpnclient nem-st-autoconnect、vpnclient mac-exempt 次の画面が導入されました。[Configuration] > [VPN] > [Easy VPN Remote] |
モニタリング機能 |
|
syslog メッセージ内の無効なユーザー名の表示 |
失敗したログイン試行の syslog メッセージに無効なユーザー名を表示できるようになりました。デフォルト設定では、ユーザー名が無効な場合、または有効かどうか不明な場合、ユーザー名は非表示です。たとえば、ユーザーが誤ってユーザー名の代わりにパスワードを入力した場合、結果として生成される syslog メッセージで「ユーザー名」を隠すのが安全です。ログインに関するトラブルシューティングに役立てるために、無効なユーザー名を表示することもできます。 次のコマンドが導入されました。 no logging hide username 次の画面が変更されました。[Configuration] > [Device Management] > [Logging] > [Syslog Setup]。 この機能は、9.2(4) と 9.3(3)でも使用できます。 |
REST API の機能 |
|
REST API バージョン 1.2.1 |
REST API バージョン 1.2.1 のサポートが追加されました。 |
バージョン 9.4 の新機能
ASA 9.4(4.5)/ASDM 7.6(2) の新機能
リリース:2017年4月3日
(注) |
このリリースに新機能はありません。
ASA 9.4(3)/ASDM 7.6(1) の新機能
リリース:2016年4月25日
機能 |
説明 |
||
---|---|---|---|
ファイアウォール機能 |
|||
ルートの収束に対する接続ホールドダウン タイムアウト。 |
接続で使用されているルートがもう存在していない、または非アクティブになったときに、システムが接続を保持する時間を設定できるようになりました。このホールドダウン期間内にルートがアクティブにならない場合、接続は解放されます。ルートの収束がさらに迅速に行われるようにホールドダウン タイマーを短縮することができます。ただし、ほとんどのネットワークでは、ルートのフラッピングを防止するためにデフォルトの 15 秒が適切です。 次のコマンドが追加されました。timeout conn-holddown 次の画面が変更されました。 |
||
リモート アクセス機能 |
|||
設定可能な SSH 暗号機能と HMAC アルゴリズム |
ユーザーは SSH 暗号化を管理するときに暗号化モードを選択し、さまざまなキー交換アルゴリズムに対して HMAC と暗号化を設定できます。 次のコマンドが導入されました。ssh cipher encryption、ssh cipher integrity。 次の画面が導入されました。 9.1(7) でも使用可能です。 |
||
IPv6 の HTTP リダイレクト サポート |
ASDM アクセスまたはクライアントレス SSL VPN 用の HTTPS に HTTP リダイレクトを有効にすると、IPv6 アドレスへ送信されるトラフィックもリダイレクトできるようになりました。 次のコマンドに機能が追加されました。http redirect 次の画面に機能が追加されました。 9.1(7) でも使用可能です。 |
||
モニタリング機能 |
|||
フェールオーバーの SNMP engineID の同期 |
フェールオーバー ペアでは、一対の ASA の SNMP engineID は両方のユニットで同期されます。ASA ごとに、同期された engineID、ネイティブ engineID、およびリモート engineID による engineID が 3 セット維持されます。 SNMPv3 ユーザーは、ローカライズされた snmp-server user 認証とプライバシー オプションを保存するためのプロファイルを作成するときに ASA の engineID も指定できます。ユーザーがネイティブ engineID を指定しない場合、show running config 出力に engineID がユーザーごとに 2 つずつ表示されます。 次のコマンドが変更されました。snmp-server user ASDM サポートはありません。 |
||
show tech support の強化 |
show tech support コマンドは現在次のとおりです。
次のコマンドが変更されました。show tech support 追加または変更された画面はありません。 9.1(7) でも使用可能です。 |
||
CISCO-ENHANCED-MEMPOOL-MIB の cempMemPoolTable のサポート |
CISCO-ENHANCED-MEMPOOL-MIB の cempMemPoolTable がサポートされました。これは、管理型システムのすべての物理エンティティのメモリプール モニタリング エントリのテーブルです。
追加または変更されたコマンドはありません。 追加または変更された画面はありません。 9.1(7) でも使用可能です。 |
ASA 9.4(2.145)/ASDM 7.5(1) の新機能
リリース:2015年11月13日
このリリースに新機能はありません。
(注) |
このリリースは Firepower 9300 ASA セキュリティ モジュールのみをサポートします。 |
ASA 9.4(2)/ASDM 7.5(1) の新機能
リリース:2015年9月24日
このリリースに新機能はありません。
(注) |
ASAv 9.4(1.200) の各機能はこのリリースには含まれません。 |
(注) |
このバージョンは ISA 3000 をサポートしません。 |
ASA 9.4(1.225)/ASDM 7.5(1) の新機能
リリース:2015年9月17日
(注) |
このリリースは Cisco ISA 3000 のみをサポートします。 |
機能 |
説明 |
---|---|
プラットフォーム機能 |
|
Cisco ISA 3000 サポート |
Cisco ISA 3000 は、DIN レールにマウントされた高耐久型の産業用セキュリティ アプライアンスです。ギガビット イーサネットと専用管理ポートを備えた、低消費電型ファンレス デバイスです。このモデルには ASA Firepower モジュールが事前にインストールされています。このモデルの特別な機能として、カスタマイズされたトランスペアレント モードのデフォルト設定と、電源喪失時もトラフィックがアプライアンスを通過することを可能にするハードウェア バイパス機能があります。 次のコマンドが導入されました。hardware-bypass、hardware-bypass manual、hardware-bypass boot-delay、show hardware-bypass 次の画面が導入されました。 hardware-bypass boot-delay コマンドは ASDM 7.5(1) では使用できません。 この機能は、バージョン 9.5(1) では使用できません。 |
ASA 9.4(1.152)/ASDM 7.4(3) の新機能
リリース:2015年7月13日
(注) |
このリリースは、Firepower 9300 の ASA のみをサポートします。 |
機能 |
説明 |
||
---|---|---|---|
プラットフォーム機能 |
|||
Firepower 9300 の ASA セキュリティ モジュール |
Firepower 9300 の ASA セキュリティ モジュールに ASA を導入しました。
|
||
ハイ アベイラビリティ機能 |
|||
Firepower 9300 用シャーシ内 ASA クラスタリング |
FirePOWER 9300 シャーシ内では、最大 3 つのセキュリティ モジュールをクラスタ化できます。シャーシ内のすべてのモジュールは、クラスタに属している必要があります。 次のコマンドを導入しました。cluster replication delay、debug service-module、management-only individual、show cluster chassis 次の画面を導入しました。 |
||
ライセンシング機能 |
|||
Firepower 9300 の ASA のシスコ スマート ソフトウェア ライセンシング |
FirePOWER 9300 に ASA のシスコ スマート ソフトウェア ライセンシングが導入されました。 次のコマンドが導入されました。feature strong-encryption、feature mobile-sp、feature context 次の画面が変更されました。 |
ASA 仮想 9.4(1.200)/ASDM 7.4(2) の新機能
リリース:2015年5月12日
(注) |
このリリースは、ASA 仮想 のみをサポートします。 |
機能 |
説明 |
||
---|---|---|---|
プラットフォーム機能 |
|||
VMware 上の ASA 仮想 では vCenter サポートは不要になりました。 |
vCenter なしで、vSphere クライアントまたは OVFTool のデイゼロ設定を使用して ASA 仮想 を VMware 上にインストールできるようになりました。 |
||
Amazon Web Services(AWS)の ASA 仮想 |
Amazon Web Services(AWS)とデイゼロ設定で ASA 仮想 を使用できるようになりました。
|
ASDM 7.4(2) の新機能
リリース:2015年5月6日
機能 |
説明 |
---|---|
リモート アクセス機能 |
|
AnyConnect バージョン 4.1 のサポート |
ASDM は AnyConnect バージョン 4.1 をサポートするようになりました。 次の画面が変更されました。[設定(Configuration)] > [リモートアクセスVPN(Remote Access VPN)] > [ネットワーク(クライアント)アクセス(Network (Client) Access)] > [セキュアクライアント プロファイル(Profile)]([AMP イネーブラサービスプロファイル(AMP Enabler Service Profile)] という新しいプロファイル) |
ASA 9.4(1)/ASDM 7.4(1) の新機能
リリース:2015年3月30日
機能 |
説明 |
||
---|---|---|---|
プラットフォーム機能 |
|||
ASA 5506W-X、ASA 5506H-X、ASA 5508-X、ASA 5516-X |
ワイヤレス アクセス ポイントを内蔵した ASA 5506W-X、強化された ASA 5506H-X、ASA 5508-X、ASA 5516-X の各モデルが導入されました。 hw-module module wlan recover image、hw-module module wlan recover image の各コマンドが導入されました。 変更された ASDM 画面はありません。 |
||
認定機能 |
|||
国防総省(DoD)統一機能規則(UCR)2013 証明書 |
ASA は、DoD UCR 2013 規則を遵守するように更新されています。この証明書に追加された次の機能については、この表の行を参照してください。
|
||
FIPS 140-2 認証のコンプライアンス更新 |
ASA で FIPS モードを有効にすると、ASA が FIPS 140-2 に準拠するように追加制限が設定されます。次の制限があります。
ASA の FIPS 認証ステータスを表示するには、次の URL を参照してください。 http://csrc.nist.gov/groups/STM/cmvp/documents/140-1/140InProcess.pdf この PDF は毎週更新されます。 詳細については、Computer Security Division Computer Security Resource Center のサイトを参照してください。 http://csrc.nist.gov/groups/STM/cmvp/inprocess.html fips enable コマンドが変更されました。 |
||
ファイアウォール機能 |
|||
複数のコアを搭載した ASA での SIP インスペクションのパフォーマンスが向上。 |
複数のコアで ASA を通過する SIP シグナリングチングが複数存在する場合の SIP インスペクション パフォーマンスが向上しました。ただし、TLS、電話、または IME プロキシを使用する場合、パフォーマンスの向上は見られません。 変更されたコマンドはありません。 変更された画面はありません。 |
||
電話プロキシおよび UC-IME プロキシに対する SIP インスペクションのサポートが削除されました。 |
SIP インスペクションを設定する際、電話プロキシまたは UC-IME プロキシは使用できなくなります。暗号化されたトラフィックを検査するには、TLS プロキシを使用します。 phone-proxy、uc-ime の各コマンドが削除されました。inspect sip コマンドから phone-proxy キーワードと uc-ime キーワードが削除されました。 [Select SIP Inspect Map] サービス ポリシー ダイアログボックスから [Phone Proxy] と [UC-IME Proxy] が削除されました。 |
||
ISystemMapper UUID メッセージ RemoteGetClassObject opnum3 の DCERPC インスペクションのサポート。 |
ASA は、リリース 8.3 で EPM 以外の DCERPC メッセージのサポートを開始し、ISystemMapper UUID メッセージ RemoteCreateInstance opnum4 をサポートしています。この変更により、RemoteGetClassObject opnum3 メッセージまでサポートが拡張されます。 変更されたコマンドはありません。 変更された画面はありません。 |
||
コンテキストごとに無制限の SNMP サーバー トラップ ホスト |
ASA では、コンテキストごとに SNMP サーバーのトラップ ホスト数の制限がありません。show snmp-server host コマンドの出力には ASA をポーリングしているアクティブなホストと、静的に設定されたホストのみが表示されます。 show snmp-server host コマンドが変更されました。 変更された画面はありません。 |
||
VXLAN パケット インスペクション |
ASA は、標準形式に準拠するために VXLAN ヘッダーを検査できます。 inspect vxlan コマンドが導入されました。 次の画面が変更されました。[Configuration] > [Firewall] > [Service Policy Rules] > [Add Service Policy Rule] > [Rule Actions] > [Protocol Inspection] |
||
IPv6 の DHCP モニタリング |
IPv6 の DHCP 統計情報および DHCP バインディングをモニターできます。 次の画面が導入されました。 [Monitoring] > [Interfaces] > [DHCP] > [IPV6 DHCP Statistics Monitoring] > [Interfaces] > [DHCP] > [IPV6 DHCP Binding] |
||
ESMTP インスペクションの TLS セッションでのデフォルトの動作が変更されました。 |
ESMTP インスペクションのデフォルトが、検査されない、TLS セッションを許可するように変更されました。ただし、このデフォルトは新しい、または再イメージングされたシステムに適用されます。no allow-tls を含むシステムをアップグレードする場合、このコマンドは変更されません。 デフォルトの動作の変更は、古いバージョンでも行われました:8.4(7.25)、8.5(1.23)、8.6(1.16)、8.7(1.15)、9.0(4.28)、9.1(6.1)、9.2(3.2)、9.3(1.2)、9.3(2.2)。 |
||
ハイ アベイラビリティ機能 |
|||
スタンバイ ASA での syslog 生成のブロック |
スタンバイ装置で特定の syslog の生成をブロックできます。 no logging message syslog-id standby コマンドが導入されました。 変更された画面はありません。 |
||
インターフェイスごとに ASA クラスタのヘルス モニタリングをイネーブルまたはディセーブル |
ヘルス モニタリングは、インターフェイスごとにイネーブルまたはディセーブルにすることができます。デフォルトでは、ポートチャネル、冗長、および単一のすべての物理インターフェイスでヘルス モニタリングがイネーブルになっています。ヘルス モニタリングは VLAN サブインターフェイス、または VNI や BVI などの仮想インターフェイスでは実行されません。クラスタ制御リンクのモニタリングは設定できません。このリンクは常にモニターされています。たとえば、管理インターフェイスなど、必須以外のインターフェイスのヘルス モニタリングをディセーブルにすることができます。 health-check monitor-interface コマンドが導入されました。 次の画面が変更されました。[Configuration] > [Device Management] > [High Availability and Scalability] > [ASA Cluster] > [Cluster Interface Health Monitoring] |
||
DHCP リレーの ASA クラスタリングのサポート |
ASA クラスタで DHCP リレーを設定できます。クライアントの DHCP 要求は、クライアントの MAC アドレスのハッシュを使用してクラスタ メンバにロードバランスされます。DHCP クライアントおよびサーバー機能はサポートされていません。 debug cluster dhcp-relay コマンドが導入されました。 変更された画面はありません。 |
||
ASA クラスタリングでの SIP インスペクションのサポート |
ASA クラスタで SIP インスペクションを設定できます。制御フローは、任意のユニットで作成できますが(ロード バランシングのため)、その子データ フローは同じユニットに存在する必要があります。TLS プロキシ設定はサポートされていません。 show cluster service-policy コマンドが導入されました。 変更された画面はありません。 |
||
ルーティング機能 |
|||
ポリシーベースルーティング |
ポリシーベース ルーティング(PBR)は、ACL を使用して指定された QoS でトラフィックが特定のパスを経由するために使用するメカニズムです。ACL では、パケットのレイヤ 3 および レイヤ4 ヘッダーの内容に基づいてトラフィックを分類できます。このソリューションにより、管理者は区別されたトラフィックに QoS を提供し、低帯域幅、低コストの永続パス、高帯域幅、高コストのスイッチド パスの間でインタラクティブ トラフィックとバッチ トラフィックを分散でき、インターネット サービス プロバイダーとその他の組織は明確に定義されたインターネット接続を介して一連のさまざまなユーザーから送信されるトラフィックをルーティングできます。 set ip next-hop verify-availability、set ip next-hop、set ip next-hop recursive、set interface、set ip default next-hop、set default interface、set ip df、set ip dscp、policy-route route-map、show policy-route、debug policy-route の各コマンドが導入されました。 次の画面が導入または変更されました。 [Configuration] > [Device Setup] > [Routing] > [Route Maps] > [Policy Based Routing] [Configuration] > [Device Setup] > [Routing] > [Interface Settings] > [Interfaces] |
||
インターフェイス機能 |
|||
VXLAN のサポート |
VXLAN のサポートが追加されました(VXLAN トンネル エンドポイント(VTEP)のサポートを含む)。ASA またはセキュリティ コンテキストごとに 1 つの VTEP 送信元インターフェイスを定義できます。 次のコマンドが導入されました。debug vxlan、default-mcast-group、encapsulation vxlan、inspect vxlan、interface vni、mcast-group、nve、nve-only、peer ip、segment-id、show arp vtep-mapping、show interface vni、show mac-address-table vtep-mapping、show nve、show vni vlan-mapping、source-interface、vtep-nve、vxlan port 次の画面が導入されました。 [Configuration] > [Device Setup] > [Interface Settings] > [Interfaces] > [Add] > [VNI Interface] [Configuration] > [Device Setup] > [Interface Settings] > [VXLAN] |
||
モニタリング機能 |
|||
EEM のメモリ トラッキング |
メモリの割り当てとメモリの使用状況をログに記録してメモリ ロギングのラップ イベントに応答するための新しいデバッグ機能が追加されました。 次のコマンドが導入または変更されました。memory logging、show memory logging、show memory logging include、event memory-logging-wrap 次の画面が変更されました。[Configuration] > [Device Management] > [Advanced] > [Embedded Event Manager] > [Add Event Manager Applet] > [Add Event Manager Applet Event] |
||
トラブルシューティングのクラッシュ |
show tech-support コマンドの出力と show crashinfo コマンドの出力には、生成された syslog の最新 50 行が含まれます。これらの結果を表示できるようにするには、logging buffer コマンドをイネーブルにする必要があります。 |
||
リモート アクセス機能 |
|||
ECDHE-ECDSA 暗号のサポート |
TLSv1.2 では、次の暗号のサポートが追加されています。
ssl ecdh-group コマンドが導入されました。 次の画面が変更されました。[Configuration] > [Remote Access VPN] > [Advanced] > [SSL Settings]。 |
||
クライアントレス SSL VPN セッション Cookie アクセスの制限 |
クライアントレス SSL VPN セッション Cookie が JavaScript などのクライアント側のスクリプトを介してサードパーティからアクセスされないようにすることができます。
http-only-cookie コマンドが導入されました。 次の画面が変更されました。[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Advanced] > [HTTP Cookie]。 この機能は、9.2(3) にもあります。 |
||
セキュリティ グループ タギングを使用した仮想デスクトップのアクセス制御 |
ASA では、内部アプリケーションおよび Web サイトへのクライアントレス SSL リモート アクセス用にセキュリティ グループ タギングベースのポリシー制御をサポートしています。この機能では、配信コントローラおよび ASA のコンテンツ変換エンジンとして XenDesktop による Citrix の仮想デスクトップ インフラストラクチャ(VDI)を使用します。 詳細については、次の Citrix 製品のマニュアルを参照してください。
|
||
クライアントレスSSL VPN に OWA 2013 機能のサポートを追加 |
クライアントレス SSL VPN では、以下を除き、OWA 2013 の新機能をサポートしています。
変更されたコマンドはありません。 変更された画面はありません。 |
||
クライアントレスSSL VPN に Citrix XenDesktop 7.5 および StoreFront 2.5 のサポートを追加 |
クライアントレス SSL VPN では、XenDesktop 7.5 および StoreFront 2.5 のアクセスをサポートしています。 XenDesktop 7.5 の機能の完全なリストと詳細については、http://support.citrix.com/proddocs/topic/xenapp-xendesktop-75/cds-75-about-whats-new.html を参照してください。 StoreFront 2.5 の機能の完全なリストと詳細については、http://support.citrix.com/proddocs/topic/dws-storefront-25/dws-about.html を参照してください。 変更されたコマンドはありません。 変更された画面はありません。 |
||
定期的な証明書認証 |
定期的な証明書認証を有効にすると、ASA は、VPN クライアントから受信した証明書チェーンを保存し、それらを定期的に再認証します。 periodic-authentication certificate、revocation-check, show vpn-sessiondb の各コマンドが導入または変更されました。 次の画面が変更されました。 [Configuration] > [Device Management] > [Certificate Management] > [Identity Certificates] [Configuration] > [Device Management] > [Certificate Management] > [CA Certificates] |
||
証明書有効期限のアラート |
ASA は、トラスト ポイントですべての CA および ID の証明書の有効期限について 24 時間ごとにチェックします。証明書の有効期限がまもなく切れる場合は、syslog がアラートとして発行されます。リマインダおよび繰り返しの間隔を設定できます。デフォルトでは、リマインダは有効期限の 60 日前に開始し、7 日ごとに繰り返されます。 crypto ca alerts expiration コマンドが導入または変更されました。 次の画面が変更されました。 [Configuration] > [Device Management] > [Certificate Management] > [Identity Certificates] [Configuration] > [Device Management] > [Certificate Management] > [CA Certificates] |
||
基本制約 CA フラグの適用 |
デフォルトでは、CA フラグのない証明書を CA 証明書として ASA にインストールできなくなりました。基本制約拡張は、証明書のサブジェクトが CA で、この証明書を含む有効な認証パスの最大深さかどうかを示すものです。必要に応じて、これらの証明書のインストールを許可するように ASA を設定できます。 ca-check コマンドが導入されました。 次の画面が変更されました。[Configuration] > [Device Management] > [Certificate Management] > [CA Certificates] |
||
IKEv2 無効セレクタの通知設定 |
現在、ASA が SA 上で着信パケットを受信し、そのパケットのヘッダー フィールドが SA 用のセレクタに適合しなかった場合、ASA はそのパケットを廃棄します。ピアへの IKEv2 通知の送信をイネーブルまたはディセーブルにすることができます。この通知の送信はデフォルトで無効になっています。
crypto ikev2 notify invalid-selectors コマンドが導入されました。 |
||
16 進数の IKEv2 事前共有キー |
16 進数の IKEv2 事前共有キーを設定できます。 ikev2 local-authentication pre-shared-key hex、ikev2 remote-authentication pre-shared-key hex の各コマンドが導入されました。 |
||
管理機能 |
|||
ASDM 管理認証 |
HTTP アクセスと Telnet および SSH アクセス別に管理認証を設定できるようになりました。 次のコマンドが導入されました。 aaa authorization http console 次の画面が変更されました。[Configuration] > [Device Management] > [Users/AAA] > [AAA Access] > [Authorization] |
||
証明書コンフィギュレーションの ASDM ユーザー名 |
ASDM の証明書認証(http authentication-certificate)を有効にすると、ASDM が証明書からユーザー名を抽出する方法を設定できます。また、ログイン プロンプトでユーザー名を事前に入力して表示できます。 次のコマンドが導入されました。http username-from-certificate 次の画面が導入されました。[Configuration] > [Device Management] > [Management Access] > [HTTP Certificate Rule] |
||
CLI で ? の入力時にヘルプを有効または無効にするための terminal interactive コマンド |
通常、ASA CLI で ? を入力すると、コマンド ヘルプが表示されます。コマンド内にテキストとして ? を入力できるようにするには(たとえば、URL の一部として ? を含めるには)、no terminal interactive コマンドを使用してインタラクティブなヘルプを無効にします。 次のコマンドが導入されました。terminal interactive |
||
REST API の機能 |
|||
REST API バージョン 1.1 |
REST API バージョン 1.1 のサポートが追加されました。 |
||
トークンベース認証が(既存の基本認証に加えて)サポートされるようになりました。 |
クライアントは特定の URL にログイン要求を送信でき、成功すると、(応答ヘッダーに)トークンが返されます。クライアントはさらなる API コールを送信するために、(特別な要求ヘッダー内で)このトークンを使用します。トークンは明示的に無効にするまで、またはアイドル/セッション タイムアウトに到達するまで有効です。 |
||
マルチ コンテキスト モードの限定的なサポート |
REST API エージェントをマルチ コンテキスト モードで有効にできるようになりました。CLI コマンドはシステム コンテキスト モードでのみ発行できます(シングル コンテキスト モードと同じコマンド)。 次のようにパススルー CLI の API コマンドを使用して、コンテキストを設定できます。
context パラメータがない場合、要求は admin コンテキストに向けられたものとみなされます。 |
||
高度な(粒状の)インスペクション |
次のプロトコルの詳細なインスペクションをサポートします。
|
バージョン 9.3 の新機能
ASA 9.3(3)/ASDM 7.4(1) の新機能
リリース:2015年4月22日
機能 |
説明 |
---|---|
プラットフォーム機能 |
|
syslog メッセージ内の無効なユーザー名の表示 |
失敗したログイン試行の syslog メッセージに無効なユーザー名を表示できるようになりました。デフォルト設定では、ユーザー名が無効な場合、または有効かどうか不明な場合、ユーザー名は非表示です。たとえば、ユーザーが誤ってユーザー名の代わりにパスワードを入力した場合、結果として生成される syslog メッセージで「ユーザー名」を隠すのが安全です。ログインに関するトラブルシューティングに役立てるために、無効なユーザー名を表示することもできます。 次のコマンドが導入されました。no logging hide username この機能は、ASDM ではサポートされていません。 この機能は、9.4(1) では使用できません。 |
ASA 9.3(2)/ASDM 7.3(3) の新機能
リリース:2015年2月2日
機能 |
説明 |
---|---|
プラットフォーム機能 |
|
ASA 5506-X の ASA FirePOWER ソフトウェア モジュール |
ASA FirePOWER は ASDM を使用する ASA 5506-X 上で構成できます。別の FireSIGHT Management Center は不要です。ただし、ASDM の代わりに使用することもできます。 次の画面が導入されました。 [Home] > [ASA FirePOWER Dashboard] [Home] > [ASA FirePOWER Reporting] [Configuration] > [ASA FirePOWER Configuration] [Monitoring] > [ASA FirePOWER Monitoring] |
ASA 9.3(2.200)/ASDM 7.3(2) の新機能
リリース:2014年12月18日
(注) |
このリリースは、ASAv のみをサポートします。 |
機能 |
説明 |
---|---|
プラットフォーム機能 |
|
KVM と Virtio がある ASAv |
カーネルベース仮想マシン(KVM)および Virtio 仮想インターフェイス ドライバを使用して ASAv を展開できます。 |
ASA 9.3(2)/ASDM 7.3(2) の新機能
リリース:2014年12月18日
機能 |
説明 |
||
---|---|---|---|
プラットフォーム機能 |
|||
ASA 5506-X |
ASA 5506-X を導入しました。 次のコマンドを導入または変更しました。service sw-reset-button、upgrade rommon、show environment temperature accelerator |
||
ASA 5506-X の ASA FirePOWER ソフトウェア モジュール |
ASA FirePOWER は ASDM を使用する ASA 5506-X 上で構成できます。別の FireSIGHT Management Center は不要です。ただし、ASDM の代わりに使用することもできます。注:この機能には ASA 7.3(3) が必要です。 次の画面が導入されました。 [Home] > [ASA FirePOWER Dashboard] [Home] > [ASA FirePOWER Reporting] [Configuration] > [ASA FirePOWER Configuration] [Monitoring] > [ASA FirePOWER Monitoring] |
||
トラフィック リダイレクション インターフェイスを使用した ASA FirePOWER パッシブ モニタ専用モード |
サービス ポリシーを使用する代わりに、トラフィックをモジュールに送信するようにトラフィック転送インターフェイスを設定できるようになりました。このモードでは、モジュールも ASA もトラフィックに影響を与えません。 traffic-forward sfr monitor-only コマンドを完全にサポートしています。これは、CLI でのみ設定できます。 |
||
ASA 5585-X での混在レベルの SSP |
ASA 5585-X で次の混在レベルの SSP を使用できるようになりました。
要件:スロット 0 で ASA SSP、スロット 1 で ASA FirePOWER SSP |
||
ASA REST API 1.0.1 |
ASA の主要な機能の設定および管理をサポートするために REST API が追加されました。 次のコマンドを導入または変更しました。rest-api image、rest-api agent、show rest-api agent、debug rest-api、show version |
||
ASA イメージの署名と検証のサポート |
ASA イメージは、デジタル署名を使用して署名されるようになりました。デジタル署名は、ASA が起動した後に検証されます。 次のコマンドが導入されました。copy /noverify、verify /image-signature、show software authenticity keys、show software authenticity file、show software authenticity running、show software authenticity development、software authenticity development、software authenticity key add special、software authenticity key revoke special この機能は、ASDM ではサポートされていません。 |
||
加速セキュリティ パス ロード バランシング |
加速セキュリティ パス(ASP)ロード バランシング メカニズムを利用すると、複数の CPU コアでインターフェイス受信リングからパケットを受信して個別に処理できるため、パケット損失が減少し、スループットが改善します。 次のコマンドが導入されました。asp load-balance per-packet-auto 次の画面が導入されました。[Configuration] > [Device Management] > [Advanced] > [ASP Load Balancing] |
||
ファイアウォール機能 |
|||
ACL およびオブジェクトを編集するためのコンフィギュレーション セッション アクセス ルール内でのオブジェクトおよび ACL の前方参照 |
独立したコンフィギュレーション セッションで ACL およびオブジェクトを編集できるようになりました。オブジェクトおよび ACL を前方参照することも可能です。つまり、まだ存在していないオブジェクトや ACL に対するルールおよびアクセス グループを設定することができます。 次のコマンドが導入されました。clear configuration session、clear session、configure session、forward-reference、show configuration session この機能は、ASDM ではサポートされていません。 |
||
信頼検証サービス、NAT66、CUCM 10.5(1)、および Model 8831 Phone に対する SIP のサポート |
SIP インスペクションで信頼検証サービス用サーバを設定できるようになりました。NAT66 も使用できます。SIP インスペクションは CUCM 10.5(1) でテスト済みです。 次のコマンドが導入されました。trust-verification-server 次の画面が導入されました。[Configuration] > [Firewall] > [Objects] > [Inspection Maps] > [SIP] > [Add/Edit SIP Inspect Map] > [Details] > [TVS Server] |
||
CUCM 10.5(1) に対する Unified Communications のサポート |
SIP および SCCP インスペクションのテストと検証が Cisco Unified Communications Manager 10.5(1) を使用して実施されました。 |
||
リモート アクセス機能 |
|||
Citrix VDI に対するブラウザのサポート |
Citrix VDI にアクセスするための HTML 5 ベースのブラウザ ソリューションがサポートされるようになり、デスクトップ上の Citrix Receiver クライアントが不要になりました。 |
||
Mac OSX 10.9 用のクライアントレス SSL VPN |
Mac OSX 10.9 でサポートされているすべてのブラウザでクライアントレス SSL VPN 機能(リライタ、スマート トンネル、プラグインなど)がサポートされるようになりました。 |
||
標準ベースでサードパーティの IKEv2 リモート アクセス クライアントとの相互運用性 |
AnyConnect に加え、標準ベースでサードパーティの IKEv2 リモート アクセス クライアントを介した VPN 接続がサポートされるようになりました。認証では、事前共有キー、証明書、拡張認証プロトコル(EAP)を介したユーザー認証などがサポートされます。 次のコマンドを導入または変更しました。ikev2 remote-authentication、ikev2 local-authentication、clear vpn-sessiondb、show vpn-sessiondb、vpn-sessiondb logoff 次の画面が導入または変更されました。 [Wizards] > [IPsec IKEv2 Remote Access Wizard] [Configuration] > [Remote Access VPN] > [Network (Client) Access] > [IPsec (IKEv2) Connection Profiles] [Configuration] > [Remote Access VPN] > [Network (Client) Access] > [IPsec (IKEv2) Connection Profiles] > [Add/Edit] > [Advanced] > [IPsec] [Monitoring] > [VPN] > [VPN Statistics] > [Sessions] |
||
Transport Layer Security(TLS)バージョン 1.2 のサポート |
TLS バージョン 1.2 がサポートされ、ASDM、クライアントレス SSVPN、および AnyConnect VPN でメッセージを安全に伝送できるようになりました。 次のコマンドを導入または変更しました。ssl client-version、ssl server-version、ssl cipher、ssl trust-point、ssl dh-group、show ssl、show ssl cipher、show vpn-sessiondb 次のコマンドが非推奨になりました。ssl encryption 次の画面が変更されました。 [Configuration] > [Device Management] > [Advanced] > [SSL Settings] [Configuration] > [Remote Access VPN] > [Advanced] > [SSL Settings] |
||
TLS バージョン 1.2 に対する AnyConnect 4.0 のサポート |
AnyConnect 4.0 で TLS バージョン 1.2 がサポートされるようになりました。また、4 つの暗号スイート(DHE-RSA-AES256-SHA256、DHE-RSA-AES128-SHA256、AES256-SHA256、および AES128-SHA256)が追加されました。 |
||
ライセンシング機能 |
|||
ASAv のシスコ スマート ソフトウェア ライセンシング |
Smart Software Licensing では、ライセンスのプールを購入して管理することができます。PAK ライセンスとは異なり、スマート ライセンスは特定のシリアル番号に関連付けられません。各ユニットのライセンス キーを管理しなくても、簡単に ASAv を導入したり導入を終了したりできます。スマート ソフトウェア ライセンスを利用すれば、ライセンスの使用状況と要件をひと目で確認することもできます。 clear configure license、debug license agent、feature tier、http-proxy、license smart、license smart deregister、license smart register、license smart renew、show license、show running-config license、throughput level 各コマンドが導入されました。 次の画面が導入または変更されました。 [Configuration] > [Device Management] > [Licensing] > [Smart License] [Configuration] > [Device Management] > [Smart Call-Home] [Monitoring] > [Properties] > [Smart License] |
||
ハイ アベイラビリティ機能 |
|||
フェールオーバー ペアのスタンバイ装置またはスタンバイ コンテキストのコンフィギュレーション変更のロック |
通常のコンフィギュレーションの同期を除いてスタンバイ装置上で変更ができないように、スタンバイ装置(アクティブ/スタンバイ フェールオーバー)またはスタンバイ コンテキスト(アクティブ/アクティブ フェールオーバー)のコンフィギュレーション変更をロックできるようになりました。 failover standby config-lock コマンドが導入されました。 次の画面が変更になりました。[Configuration] > [Device Management] > [High Availability and Scalability] > [Failover] > [Setup] |
||
内部ネットワーク間に ASA クラスタ ファイアウォールを備えたトランスペアレント モードの ASA クラスタリング サイト間導入 |
各サイトの内部ネットワークとゲートウェイ ルータ間にトランスペアレント モードのクラスタを導入し(AKA イーストウェスト挿入)、サイト間に内部 VLAN を拡張できます。オーバーレイ トランスポート仮想化(OTV)の使用を推奨しますが、ゲートウェイ ルータの重複する MAC アドレスおよび IP アドレスがサイト間で漏えいしないようにする任意の方法を使用できます。HSRP などの First Hop Redundancy Protocol(FHRP)を使用して、同じ仮想 MAC アドレスおよび IP アドレスをゲートウェイ ルータに提供します。 |
||
インターフェイス機能 |
|||
トラフィック ゾーン |
インターフェイスをトラフィック ゾーンにグループ化することで、トラフィックのロード バランシング(等コスト マルチパス(ECMP)ルーティングを使用)、ルートの冗長性、および複数のインターフェイス間での非対称ルーティングを実現できます。
zone、zone-member、show running-config zone、clear configure zone、show zone、show asp table zone、show nameif zone、show conn long、show local-host zone、show route zone、show asp table routing、clear conn zone、clear local-host zone の各コマンドが導入または変更されました。 次の画面が導入または変更されました。 [Configuration] > [Device Setup] > [Interface Parameters] > [Zones] [Configuration] > [Device Setup] > [Interface Parameters] > [Interfaces] |
||
ルーティング機能 |
|||
IPv6 に対する BGP のサポート |
IPv6 のサポートが追加されました。 次のコマンドを導入または変更しました。address-family ipv6、bgp router-id、ipv6 prefix-list、ipv6 prefix-list description、ipv6 prefix-list sequence-number、match ipv6 next-hop、match ipv6 route-source、match ipv6- address prefix-list、set ipv6-address prefix -list、set ipv6 next-hop、set ipv6 next-hop peer-address 次の画面が導入されました。[Configuration] > [Device Setup] > [Routing] > [BGP] > [IPv6 Family] |
||
モニタリング機能 |
|||
SNMP の MIB およびトラップ |
新しい ASA 5506-X をサポートするように CISCO-PRODUCTS-MIB および CISCO-ENTITY-VENDORTYPE-OID-MIB が更新されました。 SNMP の sysObjectID OID および entPhysicalVendorType OID に、新しい製品として ASA 5506-X が追加されました。 ASA で CISCO-CONFIG-MAN-MIB がサポートされるようになりました。以下が可能です。
次のコマンドが変更されました。snmp-server enable traps 次の画面が変更されました。[Configuration] > [Device Management] > [Management Access] > [SNMP] > [Configure Traps] > [SNMP Trap Configuration] |
||
トラブルシューティングに使用するルートのサマリー情報の表示 |
show route-summary コマンドの出力が show tech-support detail コマンドに追加されました。 |
||
管理機能 |
|||
システムのバックアップと復元 |
CLI を使用した、包括的なシステムのバックアップと復元がサポートされるようになりました。 backup および restore コマンドが導入されました。 変更された画面はありません。この機能はすでに ASDM で利用可能です。 |
ASA 9.3(1)/ASDM 7.3(1) の新機能
リリース:2014年7月24日
(注) |
このリリース以降、ASA 5505 はサポートされません。ASA バージョン 9.2 は、ASA 5505 の最終リリースです。 |
機能 |
説明 |
---|---|
ファイアウォール機能 |
|
IPv6 に対する SIP、SCCP、および TLS プロキシのサポート |
SIP、SCCP、および TLS プロキシ(SIP または SCCP を使用)を使用している場合、IPv6 トラフィックを検査できるようになりました。 変更されたコマンドはありません。 変更された ASDM 画面はありません。 |
Cisco Unified Communications Manager 8.6 のサポート |
ASA と Cisco Unified Communications Manager バージョン 8.6 が相互運用されるようになりました(SCCPv21 のサポートを含む)。 変更されたコマンドはありません。 変更された ASDM 画面はありません。 |
アクセス グループおよび NAT に関するルール エンジンのトランザクション コミット モデル |
イネーブルの場合、ルールの編集の完了後、ルールの更新が適用されます。ルールの照合パフォーマンスへの影響はありません。 asp rule-engine transactional-commit、show running-config asp rule-engine transactional-commit、clear configure asp rule-engine transactional-commit の各コマンドが導入されました。 次の画面が導入されました。[Configuration] > [Device Management] > [Advanced] > [Rule Engine]。 |
リモート アクセス機能 |
|
クライアントレス SSL VPN に対する XenDesktop 7 のサポート |
クライアントレス SSL VPN に対する XenDesktop 7 のサポートが追加されました。自動サインオンを含むブックマークを作成する場合に、ランディング ページの URL またはコントロール ID を指定できるようになりました。 変更されたコマンドはありません。 次の画面が変更されました。[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Portal] > [Bookmarks]。 |
AnyConnect カスタム属性の強化 |
カスタム属性では、ASA に組み込まれていない AnyConnect の機能(遅延アップグレードなど)が定義および設定されます。カスタム属性の設定が強化され、複数の値やより大きな値を設定できるようになりました。現在は、カスタム属性のタイプ、名前、および値の指定が必要になっています。また、カスタム属性をダイナミック アクセス ポリシーおよびグループ ポリシーに追加できるようになりました。9.3.x にアップグレードすると、以前に定義したカスタム属性がこの強化された設定フォーマットに更新されます。 anyconnect-custom-attr、anyconnect-custom-data、および anyconnect-custom の各コマンドが導入または変更されました。 次の画面が導入または変更されました。 [Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Advanced] > [AnyConnect Custom Attributes] [Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Advanced] > [AnyConnect Custom Attribute Names] [Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Group Policies] > [Add/Edit] > [Advanced] > [AnyConnect Client] > [Custom Attributes] [Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Dynamic Access Policies] > [Add/Edit] > [AnyConnect Custom Attributes] |
デスクトップ プラットフォームの AnyConnect Identity Extension(ACIDex) |
ACIDex(AnyConnect エンドポイント属性または Mobile Posture とも呼ばれる)は、AnyConnect VPN クライアントがポスチャ情報を ASA に伝える際に使用する方法です。ダイナミック アクセス ポリシーでは、ユーザーの認証にこれらのエンドポイント属性が使用されます。 現在、AnyConnect VPN クライアントには、デスクトップ オペレーティング システム(Windows、Mac OS X、および Linux)のプラットフォーム識別機能が搭載されているほか、DAP で使用可能な MAC アドレス プールが用意されています。 変更されたコマンドはありません。 次の画面が変更されました。 [Configuration] > [Remote Access VPN] > [Dynamic Access Policies] > [Add/Edit] > [Add/Edit (endpoint attribute)]。[Endpoint Attribute Type] では [AnyConnect] を選択します。[Platform] ドロップダウン リストにはオペレーティング システムが追加されています。また、[MAC Address] が [Mac Address Pool] に変更されました。 |
VPN に対する TrustSec SGT の割り当て |
リモート ユーザーが接続するときに、TrustSec セキュリティ グループ タグ(SGT)を ASA の SGT-IP テーブルに追加できるようになりました。 新しい security-group-tag value コマンドが導入されました。 次の画面が導入または変更されました。 [Configuration] > [Remote Access VPN] > [AAA/Local Users] > [Local Users] > [Edit User] > [VPN Policy] [Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Group Policies] > [Add a Policy] |
ハイ アベイラビリティ機能 |
|
クラスタリング内のモジュールのヘルス モニタリングに対するサポートの強化 |
クラスタリング内のモジュールのヘルス モニタリングに対するサポートサポートが強化されました。 show cluster info health コマンドが変更されました。 変更された ASDM 画面はありません。 |
ハードウェア モジュールのヘルス モニタリングの無効化 |
ASA はデフォルトで、インストール済みハードウェア モジュール(ASA FirePOWER モジュールなど)のヘルス モニタリングを行います。特定のハードウェア モジュールの障害によってフェールオーバーをトリガーすることが望ましくない場合は、モジュールのモニタリングをディセーブルにできます。 monitor-interface service-module コマンドが変更されました。 次の画面が変更になりました。[Configuration] > [Device Management] > [High Availability and Scalability] > [Failover] > [Interfaces] |
プラットフォーム機能 |
|
ASP ロード バランシング |
asp load-balance per-packet コマンドの新しい auto オプションを使用すると、ASA の各インターフェイス受信リングで、ASP ロード バランシングのオン/オフをパケットごとに柔軟に切り替えることができます。この自動メカニズムにより、非対称トラフィックが導入されているかどうかを検出し、次の問題を回避することができます。
asp load-balance per-packet auto、show asp load-balance per-packet、show asp load-balance per-packet history、および clear asp load-balance history の各コマンドが導入または変更されました。 変更された ASDM 画面はありません。 |
SNMP MIB |
CISCO-REMOTE-ACCESS-MONITOR-MIB が ASASM をサポートするようになりました。 |
インターフェイス機能 |
|
トランスペアレント モードのブリッジ グループの最大数が 250 に増加 |
ブリッジ グループの最大数が 8 個から 250 個に増えました。シングル モードでは最大 250 個、マルチ モードではコンテキストあたり最大 8 個のブリッジ グループを設定でき、各ブリッジ グループには最大 4 個のインターフェイスを追加できます。 interface bvi および bridge-group コマンドが変更されました。 次の画面が変更されました。 [Configuration] > [Device Setup] > [Interfaces] [Configuration] > [Device Setup] > [Interfaces] > [Add/Edit Bridge Group Interface] [Configuration] > [Device Setup] > [Interfaces] > [Add/Edit Interface] |
ルーティング機能 |
|
ASA クラスタリングに対する BGP のサポート |
ASA クラスタリングに対する BGP のサポートが追加されました。 次の新しいコマンドが導入されました。bgp router-id clusterpool 次の画面が変更されました。[Configuration] > [Device Setup] > [Routing] > [BGP] > [IPv4 Family] > [General] |
ノンストップ フォワーディングに対する BGP のサポート |
ノンストップ フォワーディングに対する BGP のサポートが追加されました。 次の新しいコマンドが導入されました。bgp graceful-restart、neighbor ha-mode graceful-restart 次の画面が変更されました。 [Configuration] > [Device Setup] > [Routing] > [BGP] > [General] [Configuration] > [Device Setup] > [Routing] > [BGP] > [IPv4 Family] > [Neighbor] [Monitoring] > [Routing] > [BGP Neighbors] |
アドバタイズされたマップに対する BGP のサポート |
アドバタイズされたマップに対する BGPv4 のサポートが追加されました。 次の新しいコマンドが導入されました。neighbor advertise-map 次の画面が変更されました。[Configuration] > [Device Setup] > [Routing] > [BGP] > [IPv4 Family] > [Neighbor] > [Add BGP Neighbor] > [Routes]。 |
ノンストップ フォワーディング(NSF)に対する OSPF のサポート |
NSF に対する OSPFv2 および OSPFv3 のサポートが追加されました。 次のコマンドが追加されました。capability、nsf cisco、nsf cisco helper、nsf ietf、nsf ietf helper、nsf ietf helper strict-lsa-checking、graceful-restart、graceful-restart helper、graceful-restart helper strict-lsa-checking 次の画面が追加されました。 [Configuration] > [Device Setup] > [Routing] > [OSPF] > [Setup] > [NSF Properties] [Configuration] > [Device Setup] > [Routing] > [OSPFv3] > [Setup] > [NSF Properties] |
AAA 機能 |
|
レイヤ 2 セキュリティ グループのタグ インポジション |
セキュリティ グループ タギングをイーサネット タギングと組み合わせて使用して、ポリシーを適用できるようになりました。SGT とイーサネット タギング(レイヤ 2 SGT インポジションとも呼ばれる)を利用すると、ASA でシスコ独自のイーサネット フレーミング(イーサネット タイプ 0x8909)を使用して、ギガビット イーサネット インターフェイスでセキュリティ グループ タグを送受信できます。これにより、送信元のセキュリティ グループ タグをプレーン テキストのイーサネット フレームに挿入できます。 cts manual、policy static sgt、propagate sgt、cts role-based sgt-map、show cts sgt-map、packet-tracer、capture、show capture、show asp drop、show asp table classify、show running-config all、clear configure all、および write memory の各コマンドが導入または変更されました。 次の画面が変更されました。 [Configuration] > [Device Setup] > [Interfaces] > [Add Interface] > [Advanced] [Configuration] > [Device Setup] > [Interfaces] > [Add Redundant Interface] > [Advanced] [Configuration] > [Device Setup] > [Add Ethernet Interface] > [Advanced] [Wizards] > [Packet Capture Wizard] [Tools] > [Packet Tracer] |
AAA の Windows NT ドメイン認証の削除 |
リモート アクセス VPN ユーザーに対する NTLM のサポートが削除されました。 次のコマンドが非推奨になりました。aaa-server protocol nt 次の画面が変更されました。[Configuration] > [Remote Access VPN] > [AAA/Local Users] > [AAA Server Groups] > [Add AAA Server Group]。 |
ASDM Identity Certificate Wizard |
最新バージョンの Java を使用している場合、ASDM ランチャにおいて信頼できる証明書が必要になります。証明書の要件は、自己署名付きの ID 証明書をインストールすることによって簡単に満たすことができます。[ASDM Identity Certificate Wizard] を使用すると、自己署名付きの ID 証明書を簡単に作成できます。最初に ASDM を起動したときに信頼できる証明書がない場合、Java Web Start を使用して ASDM を起動するよう要求されます。この新しいウィザードは自動的に開始されます。ID 証明書を作成したら、Java コントロール パネルに登録する必要があります。手順については、https://www.cisco.com/go/asdm-certificate を参照してください。 次の画面が追加されました。[Wizards] > [ASDM Identity Certificate Wizard]。 |
モニタリング機能 |
|
物理インターフェイスの集約トラフィックのモニタリング |
show traffic コマンドの出力が更新され、物理インターフェイス情報の集約トラフィックが含まれるようになりました。この機能をイネーブルにするには、最初に sysopt traffic detailed-statistics コマンドを入力する必要があります。 |
show tech support の強化 |
show tech-support コマンドに show resource usage count all 1 の出力が含まれるようになりました。これには、xlate、conn、inspect、syslog などに関する情報が含まれます。この情報は、パフォーマンスに関する問題を診断するために役立ちます。 次のコマンドが変更されました。show tech support 追加または変更された画面はありません。 |
ASDM は、ボットネット トラフィック フィルタ レポートを PDF ではなく HTML として保存することができます。 |
ASDM はボットネット トラフィック フィルタ レポートを PDF ファイルとして保存できなくなりました。それは代わりに HTML として保存できます。 次の画面が変更されました。[Monitoring] > [Botnet Traffic Filter] |
バージョン 9.2 の新機能
ASA 9.2(4)/ASDM 7.4(3) の新機能
リリース:2015年7月16日
機能 |
説明 |
---|---|
プラットフォーム機能 |
|
syslog メッセージ内の無効なユーザー名の表示 |
失敗したログイン試行の syslog メッセージに無効なユーザー名を表示できるようになりました。デフォルト設定では、ユーザー名が無効な場合、または有効かどうか不明な場合、ユーザー名は非表示です。たとえば、ユーザーが誤ってユーザー名の代わりにパスワードを入力した場合、結果として生成される syslog メッセージで「ユーザー名」を隠すのが安全です。ログインに関するトラブルシューティングに役立てるために、無効なユーザー名を表示することもできます。 次のコマンドが導入されました。no logging hide username 次の画面が変更されました。[Configuration] > [Device Management] > [Logging] > [Syslog Setup]。 |
DHCP 機能 |
|
DHCP リレー サーバは、応答用の DHCP サーバ識別子を確認します。 |
ASA DHCP リレー サーバが不適切な DHCP サーバから応答を受信すると、応答を処理する前に、その応答が適切なサーバからのものであることを確認するようになりました。 |
モニタリング機能 |
|
Xlate カウントへのポーリング可能にする NAT-MIB cnatAddrBindNumberOfEntries および cnatAddrBindSessionCount OID。 |
SNMP の xlate_count および max_xlate_count に、NAT-MIB cnatAddrBindNumberOfEntries および cnatAddrBindSessionCount OID がサポートされるようになりました。 このデータは、show xlate count コマンドと同等です。 変更された ASDM 画面はありません。 8.4(5) および 9.1(5) でも使用可能です。 |
ASA 9.2(3)/ASDM 7.3(1.101) の新機能
リリース:2014年12月15日
機能 |
説明 |
||
---|---|---|---|
リモート アクセス機能 |
|||
クライアントレス SSL VPN セッション Cookie アクセスの制限 |
クライアントレス SSL VPN セッション Cookie が JavaScript などのクライアント側のスクリプトを介してサードパーティからアクセスされないようにすることができます。
次のコマンドが導入されました。http-only-cookie 次の画面が変更されました。[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Advanced] > [HTTP Cookie] |
ASA 9.2(2.4)/ASDM 7.2(2) の新機能
リリース:2014年8月12日
(注) |
バージョン 9.2(2) はビルドの問題により Cisco.com から削除されました。バージョン 9.2(2.4) またはそれ以降にアップグレードしてください。 |
機能 |
説明 |
---|---|
プラットフォーム機能 |
|
ASA 5585-X(すべてのモデル)で適合する ASA FirePOWER SSP ハードウェア モジュールをサポート。 ASA 5512-X ~ ASA 5555-X で ASA FirePOWER ソフトウェア モジュールをサポート。 |
ASA FirePOWER モジュールは、次世代 IPS(NGIPS)、アプリケーションの可視性とコントロール(AVC)、URL フィルタリング、高度なマルウェア保護(AMP)などの次世代ファイアウォール サービスを提供します。このモジュールは、シングルまたはマルチ コンテキスト モードとルーテッドまたはトランスペアレント モードで使用できます。 capture interface asa_dataplane、debug sfr、hw-module module 1 reload、hw-module module 1 reset、hw-module module 1 shutdown、session do setup host ip、session do get-config、session do password-reset、session sfr、sfr、show asp table classify domain sfr、show capture、show conn、show module sfr、show service-policy、sw-module sfr の各コマンドが導入または変更されました。 次の画面が導入されました。 [Home] > [ASA FirePOWER Status] [Wizards] > [Startup Wizard] > [ASA FirePOWER Basic Configuration] [Configuration] > [Firewall > Service Policy Rules] > [Add Service Policy Rule] > [Rule Actions] > [ASA FirePOWER Inspection] |
リモート アクセス機能 |
|
クライアントレス SSL VPN のための Windows 8.1 および Windows 7 上での Internet Explorer 11 ブラウザのサポート |
クライアントレス SSL VPN のための Windows 7 および Windows 8.1 での Internet Explorer 11 のサポートを追加しました。 変更されたコマンドはありません。 変更された画面はありません。 |
ASA 9.2(1)/ASDM 7.2(1) の新機能
リリース:2014年4月24日
(注) |
このリリース以降、ASA 5510、ASA 5520、ASA 5540、ASA 5550、ASA 5580 はサポートされていません。ASA バージョン 9.1 は、これらのモデルの最終リリースです。 |
機能 |
説明 |
||
---|---|---|---|
プラットフォーム機能 |
|||
Cisco 適応セキュリティ仮想アプライアンス(ASAv)は、新しいプラットフォームとして ASA シリーズに追加されました。 |
ASAv は、仮想化環境に包括的なファイアウォール機能を提供し、データセンター トラフィックとマルチテナント環境のセキュリティを強化します。ASAv は、VMware vSphere 上で稼働します。ASDM または CLI を使用して、ASAv を管理およびモニタすることができます。 |
||
ルーティング機能 |
|||
BGP のサポート |
ボーダー ゲートウェイ プロトコル(BGP)をサポートするようになりました。BGP は相互自律システム ルーティング プロトコルです。BGP は、インターネットのルーティング情報を交換するために、インターネット サービス プロバイダー(ISP)間で使用されるプロトコルです。 次のコマンドが導入されました。router bgp、bgp maxas-limit、bgp log-neighbor-changes、bgp transport path-mtu-discovery、bgp fast-external-fallover、bgp enforce-first-as、bgp asnotation dot、timers bgp、bgp default local-preference、bgp always-compare-med、bgp bestpath compare-routerid、bgp deterministic-med、bgp bestpath med missing-as-worst、policy-list、match as-path、match community、match metric、match tag、as-path access-list、community-list、address-family ipv4、bgp router-id、distance bgp、table-map、bgp suppress-inactive、bgp redistribute-internal、bgp scan-time、bgp nexthop、aggregate-address、neighbor、bgp inject-map、show bgp、show bgp cidr-only、show bgp all community、show bgp all neighbors、show bgp community、show bgp community-list、show bgp filter-list、show bgp injected-paths、show bgp ipv4 unicast、show bgp neighbors、show bgp paths、show bgp pending-prefixes、show bgp prefix-list、show bgp regexp、show bgp replication、show bgp rib-failure、show bgp route-map、show bgp summary、show bgp system-config、show bgp update-group、clear route network、maximum-path、network 次のコマンドが変更されました。show route、show route summary、show running-config router、clear config router、clear route all、timers lsa arrival、timers pacing、timers throttle、redistribute bgp。 次の画面が導入されました。 [Configuration] > [Device Setup] > [Routing] > [BGP] [Monitoring] > [Routing] > [BGP Neighbors]、[Monitoring] > [Routing] > [BGP Routes] 次の画面が変更されました。 [設定(Configuration) > [デバイスの設定(Device Setup)] > [ルーティング(Routing)] > [スタティックルート(Static Routes)] > [追加(Add)] > [スタティックルートを追加(Add Static Route)] [Configuration] > [Device Setup] > [Routing] > [Route Maps] > [Add] > [Add Route Map] |
||
Null0 インターフェイス用のスタティック ルート |
トラフィックを Null0 インターフェイスへ送信すると、指定したネットワーク宛のパケットはドロップします。この機能は、BGP の Remotely Triggered Black Hole (RTBH) の設定に役立ちます。 route コマンドが変更されました。 次の画面が変更されました。[Configuration] > [Device Setup] > [Routing] > [Static Routes] > [Add] > [Add Static Route] |
||
Fast Hello に対する OSPF サポート |
OSPF は、Fast Hello パケット機能をサポートしているため、OSPF ネットワークでのコンバージェンスが高速なコンフィギュレーションになります。 次のコマンドが変更されました。ospf dead-interval 次の画面が変更されました。[Configuration] > [Device Setup] > [Routing] > [OSPF] > [Interface] > [Edit OSPF Interface Advanced Properties] |
||
新規 OSPF タイマー |
新しい OSPF タイマーを追加し、古いタイマーを廃止しました。 次のコマンドが導入されました。timers lsa arrival、timers pacing、timers throttle 次のコマンドが削除されました。timers spf、timers lsa-grouping-pacing 次の画面が変更されました。[Configuration] > [Device Setup] > [Routing] > [OSPF] > [Setup] > [Edit OSPF Process Advanced Properties] |
||
ACL を使用する OSPF ルート フィルタリング |
ACL を使用したルート フィルタリングがサポートされるようになりました。 次のコマンドが導入されました。distribute-list 次の画面が追加されました。[Configuration] > [Device Setup] > [Routing] > [OSPF] > [Filtering Rules] > [Add Filter Rules] |
||
OSPF モニタリングの強化 |
OSPF モニタリングの詳細情報が追加されました。 次のコマンドが変更されました。show ospf events、show ospf rib、show ospf statistics、show ospf border-routers [detail]、show ospf interface brief |
||
OSPF 再配布 BGP |
OSPF 再配布機能が追加されました。 次のコマンドが追加されました。redistribute bgp 次の画面が追加されました。[Configuration] > [Device Setup] > [Routing] > [OSPF] > [Redistribution] |
||
EIGRP の [Auto- Summary] |
EIGRP の [Auto-Summary] フィールドはデフォルトでディセーブルになりました。 次の画面が変更されました。[Configuration] > [Device Setup] > [Routing] > [EIGRP] > [Setup] > [Edit EIGRP Process Advanced Properties] |
||
ハイ アベイラビリティ機能 |
|||
トランスペアレント モードでの異なる地理的位置にあるクラスタ メンバのサポート(サイト間) |
トランスペアレント ファイアウォール モードでスパンド EtherChannel モードを使用すると、クラスタ メンバを異なる地理的な場所に配置できるようになりました。ルーテッド ファイアウォール モードのスパンド EtherChannel での Inter-Site クラスタリングはサポートされません。 変更されたコマンドはありません。 変更された ASDM 画面はありません。 |
||
クラスタリングに対するスタティック LACP ポート プライオリティのサポート |
一部のスイッチは、LACP でのダイナミック ポート プライオリティをサポートしていません(アクティブおよびスタンバイ リンク)。ダイナミック ポート プライオリティをディセーブルにすることで、スパンド EtherChannel との互換性を高めることができるようになりました。次の注意事項にも従う必要があります。
clacp static-port-priority コマンドが導入されました。 次の画面が変更されました。[Configuration] > [Device Management] > [High Availability and Scalability] > [ASA Cluster] |
||
クラスタリングのためのスパンド EtherChannel での 32 個のアクティブ リンクのサポート |
ASA EtherChannels は最大 16 個のアクティブ リンクをサポートするようになりました。スパンド EtherChannel ではその機能が拡張されて、vPC の 2 台のスイッチで使用し、ダイナミック ポート プライオリティをディセーブルにした場合、クラスタ全体で最大 32 個のアクティブ リンクをサポートします。スイッチは、16 のアクティブ リンクを持つ EtherChannel をサポートする必要があります(Cisco Nexus 7000 の F2 シリーズ 10 ギガビット イーサネット モジュールなど)。 8 個のアクティブ リンクをサポートする VSS または vPC のスイッチの場合は、スパンド EtherChannel に 16 個のアクティブ リンクを設定できます(各スイッチに接続された 8 個)。従来は、VSS/vPC で使用する場合であっても、スパンド EtherChannel は 8 個のアクティブ リンクと 8 個のスタンバイ リンクしかサポートしませんでした。
clacp static-port-priority コマンドが導入されました。 次の画面が変更されました。[Configuration] > [Device Management] > [High Availability and Scalability] > [ASA Cluster] |
||
ASA 5585-X の 16 のクラスタ メンバのサポート |
ASA 5585-X が 16 ユニット クラスタをサポートするようになりました。 変更されたコマンドはありません。 変更された ASDM 画面はありません。 |
||
Cisco Nexus 9300 でのクラスタリングのサポート |
ASA では、Cisco Nexus 9300 への接続時にクラスタリングをサポートします。 |
||
リモート アクセス機能 |
|||
ISE 許可の変更 |
ISE Change of Authorization(CoA)機能は、認証、認可、およびアカウンティング(AAA)セッションの属性を、セッション確立後に変更するためのメカニズムを提供します。AAA のユーザーまたはユーザー グループのポリシーを変更すると、ISE から ASA へ CoA パケットを直接送信して認証を再初期化し、新しいポリシーを適用できます。インライン ポスチャ実施ポイント(IPEP)で、ASA と確立された各 VPN セッションのアクセス コントロール リスト(ACL)を適用する必要がなくなりました。 エンド ユーザーが VPN 接続を要求すると、ASA はユーザーに対して ISE 認証を実行し、ネットワークへの制限付きアクセスを提供するユーザー ACL を受領します。アカウンティング開始メッセージが ISE に送信され、セッションが登録されます。ポスチャ アセスメントが NAC エージェントと ISE 間で直接行われます。このプロセスは、ASA に透過的です。ISE が CoA の「ポリシー プッシュ」を介して ASA にポリシーの更新を送信します。これにより、ネットワーク アクセス権限を高める新しいユーザー ACL が識別されます。後続の CoA 更新を介し、接続のライフタイム中に追加のポリシー評価が ASA に透過的に行われる場合があります。 次のコマンドが導入されました。dynamic-authorization、authorize-only、debug radius dynamic-authorization 次のコマンドが変更されました。without-csd [anyconnect]、interim-accounting-update [periodic [interval]] 次のコマンドが削除されました。nac-policy、eou、nac-settings 次の画面が変更されました。[Configuration] > [Remote Access VPN] > [AAA/Local Users] > [AAA Server Groups] > [Add/Edit AAA Server Group] |
||
クライアントレス リライタ HTTP 1.1 圧縮処理の改善 |
クライアントが圧縮コンテンツをサポートしておりコンテンツを書き換えられない場合に、サーバから圧縮コンテンツが受け入れられるように、リライタが変更されました。コンテンツを書き換える必要があり、それが圧縮されていると識別される場合、コンテンツは圧縮解除され、書き換えられ、クライアントがサポートしている場合には再圧縮します。 導入または変更されたコマンドはありません。 導入または変更された ASDM 画面はありません。 |
||
OpenSSL のアップグレード |
ASA 上の OpenSSL のバージョンは、バージョン 1.0.1e に更新されます。
導入または変更されたコマンドはありません。 導入または変更された ASDM 画面はありません。 |
||
インターフェイス機能 |
|||
EtherChannel あたり 16 個のアクティブ リンクのサポート |
EtherChannel あたり最大で 16 個のアクティブ リンクを設定できるようになりました。これまでは、8 個のアクティブ リンクと 8 個のスタンバイ リンクが設定できました。スイッチは、16 個のアクティブ リンクをサポート可能である必要があります(たとえば、Cisco Nexus 7000 と F2 シリーズ 10 ギガビット イーサネット モジュール)。
次のコマンドが変更されました。lacp max-bundle および port-channel min-bundle。 次の画面が変更されました。[Configuration] > [Device Setup] > [Interfaces] > [Add/Edit EtherChannel Interface] > [Advanced]。 |
||
最大 MTU が 9198 バイトになりました |
ASA で使用できる最大の MTU は 9198 バイトです(CLI のヘルプでご使用のモデルの正確な最大値を確認してください)。この値にはレイヤ 2 ヘッダーは含まれません。以前は、ASA で 65535 バイトの最大 MTU を指定できましたが、これは不正確であり、問題が発生する可能性がありました。9198 よりも大きいサイズに MTU を設定している場合は、アップグレード時に MTU のサイズが自動的に削減されます。場合によっては、この MTU の変更により MTU の不一致が発生する可能性があります。接続している機器が新しい MTU 値を使用するように設定されていることを確認してください。 次のコマンドが変更されました。mtu 次の画面が変更されました。[Configuration] > [Device Setup] > [Interface Settings] > [Interfaces] > [Edit Interface] > [Advanced] バージョン 9.1(6) でも同様です。 |
||
モニタリング機能 |
|||
Embedded Event Manager(EEM) |
EEM 機能を利用することで、問題をデバッグし、トラブルシューティングに対して汎用ロギングを提供できます。EEM は、EEM システムでアクションを実行してイベントに応答します。2 つの構成要素があります。1 つは EEM がトリガーするイベントであり、もう 1 つはアクションを定義するイベント マネージャ アプレットです。複数のイベントを各イベント マネージャ アプレットに追加でき、イベント マネージャ アプレットではそれがトリガーとなって、設定されているアクションが起動します。 次のコマンドを導入または変更しました。event manager applet、description、event syslog id、event none、event timer、event crashinfo、action cli command、output、show running-config event manager、event manager run、show event manager、show counters protocol eem、clear configure event manager、debug event manager、debug menu eem 次の画面が導入されました。[Configuration] > [Device Management] > [Advanced] > [Embedded Event Manager]、[Monitoring] > [Properties] > [EEM Applets]。 |
||
SNMP のホスト、ホスト グループ、ユーザー リスト |
最大 4000 個までホストを追加できるようになりました。サポートされるアクティブなポーリング先の数は 128 個です。ホスト グループとして追加する個々のホストを示すためにネットワーク オブジェクトを指定できます。1 つのホストに複数のユーザーを関連付けることができます。 snmp-server host-group、snmp-server user-list、show running-config snmp-server、clear configure snmp-server の各コマンドが導入または変更されました。 次の画面が変更されました。[Configuration] > [Device Management] > [Management Access] > [SNMP]。 |
||
SNMP メッセージのサイズ |
SNMP で送信できるメッセージのサイズが 1472 バイトまでに増えました。 |
||
SNMP の MIB および OID |
ASA は、cpmCPUTotal5minRev OID をサポートするようになりました。 SNMP の sysObjectID OID および entPhysicalVendorType OID に、新しい製品として ASAv が追加されました。 新しい ASAv プラットフォームをサポートするよう、CISCO-PRODUCTS-MIB および CISCO-ENTITY-VENDORTYPE-OID-MIB が更新されました。 |
||
管理機能 |
|||
改善されたワンタイム パスワード認証 |
十分な認可特権を持つ管理者は、認証クレデンシャルを一度入力すると特権 EXEC モードに移行できます。auto-enable オプションが aaa authorization exec コマンドに追加されました。 次のコマンドが変更されました。aaa authorization exec。 次の画面が変更されました。[Configuration] > [Device Management] > [Users/AAA] > [AAA Access] > [Authorization]。 |
||
デフォルトでイネーブルになっている Auto Update サーバ証明書の検証 |
Auto Update Server 証明書の確認がデフォルトでイネーブルになりました。新しい設定では、証明書の確認を明示的にディセーブルにする必要があります。証明書の確認をイネーブルにしていなかった場合に、以前のリリースからアップグレードしようとすると、証明書の確認はイネーブルではなく、次の警告が表示されます。
コンフィギュレーションの移行では、検証を行わないように明示的に設定されます。次のコマンドを使用します。 auto-update server no-verification 次のコマンドが変更されました。auto-update server [verify-certificate | no-verification] 次の画面が変更されました。[Configuration] > [Device Management] > [System/Image Configuration] > [Auto Update] > [Add Auto Update Server]。 |
バージョン 9.1 の新機能
ASA 9.1(7.4)/ASDM 7.5(2.153) の新機能
リリース:2016 年 2 月 19 日
(注) |
バージョン 9.1(7) はビルドの問題により Cisco.com から削除されました。バージョン 9.1(7.4) またはそれ以降にアップグレードしてください。 |
機能 |
説明 |
||
---|---|---|---|
リモート アクセス機能 |
|||
クライアントレス SSL VPN セッション Cookie アクセスの制限 |
クライアントレス SSL VPN セッション Cookie が JavaScript などのクライアント側のスクリプトを介してサードパーティからアクセスされないようにすることができます。
http-only-cookie コマンドが導入されました。 次の画面が変更されました。[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Advanced] > [HTTP Cookie]。 この機能は、9.2(3) と 9.4(1)でも使用できます。 |
||
設定可能な SSH 暗号機能と HMAC アルゴリズム |
ユーザーは SSH 暗号化を管理するときに暗号化モードを選択し、さまざまなキー交換アルゴリズムに対して HMAC と暗号化を設定できます。 次のコマンドが導入されました。ssh cipher encryption および ssh cipher integrity ASDM サポートはありません。 |
||
クライアントレス SSL VPN キャッシュはデフォルトでは無効 |
クライアントレス SSL VPN のキャッシュはデフォルトで無効になりました。クライアントレス SSL VPN キャッシュを無効にすることで安定性が改善します。キャッシュを有効にするには手動で有効にする必要があります。
次のコマンドが変更されました。cache 次の画面が変更されました。[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Advanced] > [Content Cache] 9.5(2) でも使用可能です。 |
||
IPv6 の HTTP リダイレクト サポート |
ASDM アクセスまたはクライアントレス SSL VPN 用の HTTPS に HTTP リダイレクトを有効にすると、IPv6 アドレスへ送信されるトラフィックもリダイレクトできるようになりました。 次のコマンドに機能が追加されました。http redirect 次の画面に機能が追加されました。[Configuration] > [Device Management] > [HTTP Redirect] |
||
管理機能 |
|||
show tech support の強化 |
show tech support コマンドは現在次のとおりです。
次のコマンドが変更されました。show tech support 追加または変更された画面はありません。 |
||
CISCO-ENHANCED-MEMPOOL-MIB の cempMemPoolTable のサポート |
CISCO-ENHANCED-MEMPOOL-MIB の cempMemPoolTable がサポートされました。これは、管理型システムのすべての物理エンティティのメモリプール モニタリング エントリのテーブルです。
追加または変更されたコマンドはありません。 追加または変更された画面はありません。 |
ASA 9.1(6)/ASDM 7.1(7) の新機能
リリース:2015年3月2日
機能 |
説明 |
---|---|
インターフェイス機能 |
|
最大 MTU が 9198 バイトになりました |
ASA で使用できる最大の MTU は 9198 バイトです(CLI のヘルプでご使用のモデルの正確な最大値を確認してください)。この値にはレイヤ 2 ヘッダーは含まれません。以前は、ASA で 65535 バイトの最大 MTU を指定できましたが、これは不正確であり、問題が発生する可能性がありました。9198 よりも大きいサイズに MTU を設定している場合は、アップグレード時に MTU のサイズが自動的に削減されます。場合によっては、この MTU の変更により MTU の不一致が発生する可能性があります。接続している機器が新しい MTU 値を使用するように設定されていることを確認してください。 次のコマンドが変更されました。mtu 次の画面が変更されました。[Configuration] > [Device Setup] > [Interface Settings] > [Interfaces] > [Edit Interface] > [Advanced] |
ASA 9.1(5)/ASDM 7.1(6) の新機能
リリース:2014年3月31日
機能 |
説明 |
---|---|
管理機能 |
|
セキュア コピー クライアント |
SCP サーバとの間でファイルを転送するため、ASA は Secure Copy(SCP)クライアントをサポートするようになりました。 ssh pubkey-chain、server (ssh pubkey-chain)、key-string、key-hash、ssh stricthostkeycheck の各コマンドが導入されました。 copy scp コマンドが変更されました。 次の画面が変更されました。 [Tools] > [File Management] > [File Transfer] > [Between Remote Server and Flash] [Configuration] > [Device Management] > [Management Access] > [File Access] > [Secure Copy (SCP) Server] |
改善されたワンタイム パスワード認証 |
十分な認可特権を持つ管理者は、認証クレデンシャルを一度入力すると特権 EXEC モードに移行できます。auto-enable オプションが aaa authorization exec コマンドに追加されました。 次のコマンドが変更されました。aaa authorization exec。 次の画面が変更されました。[Configuration] > [Device Management] > [Users/AAA] > [AAA Access] > [Authorization]。 |
ファイアウォール機能 |
|
アクセス グループに関するルール エンジンのトランザクション コミット モデル |
イネーブルの場合、ルールの編集の完了後、ルールの更新が適用されます。ルールの照合パフォーマンスへの影響はありません。 次のコマンドが導入されました。asp rule-engine transactional-commit、show running-config asp rule-engine transactional-commit、clear configure asp rule-engine transactional-commit 次の画面が導入されました。[Configuration] > [Device Management] > [Advanced] > [Rule Engine]。 |
モニタリング機能 |
|
SNMP のホスト、ホスト グループ、ユーザー リスト |
最大 4000 個までホストを追加できるようになりました。サポートされるアクティブなポーリング先の数は 128 個です。ホスト グループとして追加する個々のホストを示すためにネットワーク オブジェクトを指定できます。1 つのホストに複数のユーザーを関連付けることができます。 snmp-server host-group、snmp-server user-list、show running-config snmp-server、clear configure snmp-server の各コマンドが導入または変更されました。 次の画面が変更されました。[Configuration] > [Device Management] > [Management Access] > [SNMP] |
Xlate カウントへのポーリング可能にする NAT-MIB cnatAddrBindNumberOfEntries および cnatAddrBindSessionCount OID。 |
SNMP の xlate_count および max_xlate_count に、NAT-MIB cnatAddrBindNumberOfEntries および cnatAddrBindSessionCount OID がサポートされるようになりました。 このデータは、show xlate count コマンドと同等です。 変更された ASDM 画面はありません。 8.4(5) でも使用可能です。 |
リモート アクセス機能 |
|
AnyConnect DTLS の単一セッションにおけるパフォーマンスの向上 |
ストリーミング メディアなどの UDP トラフィックは、AnyConnect DTLS 接続経由での送信時に多数のパケットがドロップすることに影響を受けていました。たとえばこれにより、ストリーミング ビデオの再生画質が悪かったり、ストリーミングが完全に停止したりすることがありました。この理由は、フロー制御キューが比較的小さかったことにあります。 DTLS フロー制御キュー サイズを増やし、これを埋め合わせるために管理者暗号キュー サイズを減らしました。TLS セッションでは、この変更に対応するために暗号化コマンドの優先順位が高に変更されました。DTLS と TLS の両方のセッションで、セッションはパケットがドロップした場合でも持続するようになりました。これによりメディア ストリームは閉じられなくなり、ドロップするパケットの数は他の接続方法と必ず同等になります。 変更されたコマンドはありません。 変更された ASDM 画面はありません。 |
Webtype ACL の機能拡張 |
URL 正規化を導入しました。URL 正規化は、パス正規化、ケース正規化、スキーム正規化を含む追加のセキュリティ機能です。ACE とポータル アドレス バーに指定された URL は、比較前に正規化されます。webvpn トラフィック フィルタリングに関する決定を行うためです。 たとえば、https://calo.cisco.com/checkout/Devices をブックマークすると、Web タイプ ACL の下の https://calo.cisco.com/checkout/Devices/* は一致しているように見えます。ただし、URL 正規化が導入されているので、ブックマーク URL と Web タイプ ACL の両方が比較前に正規化されます。この例では、https://calo.cisco.com/checkout/Devices は https://calo.cisco.com/checkout/Devices に正規化され、https://calo.cisco.com/checkout/Devices/* は同じままであるため、その 2 つは一致しません。 要件を満たすため、次の設定が必要です。
変更されたコマンドはありません。 変更された ASDM 画面はありません。 |
ASA 9.1(4)/ASDM 7.1(5) の新機能
リリース:2013年12月9日
機能 |
説明 |
||
---|---|---|---|
リモート アクセス機能 |
|||
HTML5 Websocket のプロキシ化 |
HTML5 Websocket は、クライアントとサーバとの間の持続的接続を提供します。クライアントレス SSL VPN 接続の確立中に、ハンドシェイクはサーバに HTTP アップグレード要求として表示されます。ASA プロキシはこの要求をバックエンドにプロキシ化し、ハンドシェイクが完了した後にリレーを提供するようになりました。ゲートウェイ モードは現在サポートされていません。 変更されたコマンドはありません。 変更された ASDM 画面はありません。 |
||
IKEv2 用の内部 IPv6 |
IPv6 トラフィックは、IPsec/IKEv2 トンネル経由でトンネルできるようになりました。これにより ASA から AnyConnect VPN への接続は完全に IPv6 準拠になります。GRE は、IPv4 と IPv6 の両方のトラフィックがトンネル化されており、クライアントとヘッドエンドの両方が GRE をサポートしている場合に使用されます。単一トラフィック タイプの場合、または GRE がクライアントあるいはヘッドエンドによってサポートされていない場合は、ストレート IPsec を使用します。
show ipsec sa および show vpn-sessiondb detail anyconnect コマンドの出力は、割り当てられた IPv6 アドレスを反映し、IKEv2 デュアル トラフィックの実行時に GRE トランスポート モードのセキュリティ アソシエーションを示すように更新されました。 vpn-filter コマンドを IPv4 および IPv6 ACL に使用することが必要になりました。廃止された ipv6-vpn-filter コマンドが IPv6 ACL を設定するために使用された場合、接続は終了します。 変更された ASDM 画面はありません。 |
||
Citrix サーバ モバイルを実行しているモバイル デバイスには、追加の接続オプションがあります。 |
ASA 経由で Citrix サーバに接続するモバイル デバイスのサポートには、トンネルグループの選択、および承認のための RSA Securid が含まれるようになりました。モバイル ユーザーに別のトンネル グループを選択することを許可すると、管理者は異なる認証方法を使用できます。 Citrix Receiver ユーザーがトンネルグループを選択しないときに VDI 接続用のデフォルトのトンネルグループを設定するために、application-type コマンドが導入されました。特定のグループ ポリシーまたはユーザー用の VDI 設定を無効にするために、none アクションが vdi コマンドに追加されました。 次の画面が変更されました。[Configuration] > [Remote Access VPN] > [Clientliess SSL VPN Access] > [VDI Access] |
||
スプリットトンネリングによる除外 ACL のサポート |
VPN トラフィックのスプリットトンネリングは拡張され、除外および組み込みの両方の ACL をサポートするようになりました。除外 ACL は以前は無視されていました。
変更されたコマンドはありません。 変更された ASDM 画面はありません。 |
||
ハイ アベイラビリティとスケーラビリティの各機能 |
|||
ASA 5500-X でのクラスタリングのサポート |
ASA 5512-X、ASA 5515-X、ASA 5525-X、ASA 5545-X および ASA 5555-X が 2 ユニット クラスタをサポートするようになりました。2 ユニットのクラスタリングは、基本ライセンスではデフォルトでイネーブルになります。ASA 5512-X では Security Plus ライセンスが必要です。 変更されたコマンドはありません。 変更された ASDM 画面はありません。 |
||
ヘルス チェック モニタリングの VSS および vPC によるサポートの強化 |
クラスタ制御リンクが EtherChannel として設定されていて(推奨)、VSS または vPC ペアに接続されている場合、ヘルス チェック モニタリングによって安定性を高めることができます。一部のスイッチ(Nexus 5000 など)では、VSS/vPC の 1 つのユニットがシャットダウンまたは起動すると、そのスイッチに接続されている EtherChannel メンバー インターフェイスが ASA に対してアップと認識される場合がありますが、スイッチ側にはトラフィックが渡されていません。ASA holdtime timeout を低い値(0.8 秒など)に設定した場合、ASA が誤ってクラスタから削除される可能性があり、ASA はキープアライブ メッセージをこれらのいずれかの EtherChannel インターフェイスに送信します。VSS/vPC ヘルス チェック機能をイネーブルにすると、ASA はクラスタ制御リンクのすべての EtherChannel インターフェイスでキープアライブ メッセージをフラッディングして、少なくとも 1 台のスイッチがそれを受信できることを確認します。 health-check [vss-enabled] コマンドが変更されました。 次の画面が変更されました。[Configuration] > [Device Management] > [High Availability and Scalability] > [ASA Cluster] |
||
異なる地理的位置にあるクラスタ メンバのサポート(サイト間)。個別インターフェイス モードのみ |
個別インターフェイス モードを使用すると、クラスタ メンバを異なる地理的な場所に配置できるようになりました。サイト間のガイドラインについては、設定ガイドを参照してください。 変更されたコマンドはありません。 変更された ASDM 画面はありません。 |
||
Cisco Nexus 5000 と Cisco Catalyst 3750-X を使用するクラスタリングのサポート |
ASA では、Cisco Nexus 5000 および Cisco Catalyst 3750-X への接続時にクラスタリングをサポートします。 health-check [vss-enabled] コマンドが変更されました。 次の画面が変更されました。[Configuration] > [Device Management] > [High Availability and Scalability] > [ASA Cluster] |
||
基本的な操作機能 |
|||
DHCP 再バインド機能 |
DHCP 再バインド フェーズに、クライアントはトンネル グループ リスト内の他の DHCP サーバへの再バインドを試行するようになりました。このリリース以前には、DHCP リースの更新に失敗した場合、クライアントは代替サーバへ再バインドしませんでした。 次のコマンドが導入されました。show ip address dhcp lease proxy、show ip address dhcp lease summary、および show ip address dhcp lease server 次の画面が導入されました。[Monitoring] > [Interfaces] > [DHCP]> [DHCP Lease Information] |
||
トラブルシューティング機能 |
|||
crashinfo ダンプには AK47 フレームワーク情報が含まれる |
アプリケーション カーネル層 4 ~ 7(AK47)フレームワーク関連情報は、crashinfo ダンプから入手できます。新しいオプション ak47 が debug menu コマンドに追加され、AK47 フレームワークの問題のデバッグに役立てることができます。crashinfo ダンプのフレームワーク関連情報は次のとおりです。
|
ASA 9.1(3)/ASDM 7.1(4) の新機能
リリース:2013年9月18日
機能 |
説明 |
||
---|---|---|---|
モジュール機能 |
|||
マルチ コンテキスト モードでの ASA CX モジュールのサポート |
ASA でコンテキストごとに ASA CX サービス ポリシーを設定できます。
ASA CX 9.2(1) 以降が必要です。 変更されたコマンドはありません。 変更された ASDM 画面はありません。 |
||
ASA CX SSP-40 および -60 用の ASA 5585-X(SSP-40 および -60 搭載)サポート |
ASA CX SSP-40 および -60 モジュールは、SSP-40 および -60 搭載の ASA 5585-X と一致するレベルで使用できます。 ASA CX 9.2(1) 以降が必要です。 変更されたコマンドはありません。 変更された画面はありません。 |
||
ASA CX バックプレーンでキャプチャされたパケットのフィルタリング |
match または access-list キーワードを capture interface asa_dataplane コマンドとともに使用して、ASA CX バックプレーンでキャプチャされたパケットをフィルタリングできるようになりました。ASA CX モジュールに固有の制御トラフィックは、access-list または match フィルタリングの影響を受けません。ASA はすべての制御トラフィックをキャプチャします。マルチ コンテキスト モードでは、コンテキストごとにパケット キャプチャを設定します。マルチ コンテキスト モードのすべての制御トラフィックが送信されるのはシステム実行スペースだけであることに注意してください。access list または match を使用して制御トラフィックのみのフィルタリングを行うことができないため、これらのオプションはシステム実行スペースでは使用できません。 ASA CX 9.2(1) 以降が必要です。 capture interface asa_dataplane コマンドが変更されました。 新しいオプションとして、[Use backplane channel] が [Packet Capture Wizard] の [Ingress Traffic Selector] 画面と [Egress Selector] 画面に追加されました。これにより ASA CX バックプレーン上でキャプチャされたパケットのフィルタリングが可能になります。 |
||
モニタリング機能 |
|||
メモリの上位 10 ユーザーの表示機能 |
上位割り当て済み bin サイズと割り当て済みの bin サイズごとの上位 10 PC を表示することができます。以前は、この情報を見るためには、複数のコマンド(show memory detail コマンドと show memory binsize コマンド)の入力が必要でした。新しいコマンドにより、メモリの問題の迅速な分析が可能です。 次のコマンドが導入されました。show memory top-usage 変更された ASDM 画面はありません。 8.4(6) でも使用可能です。 |
||
Smart Call Home |
ASA クラスタリングをサポートする新しいタイプの Smart Call Home メッセージを追加しました。 Smart Call Home クラスタリング メッセージは、次の 3 種類のイベントに対してのみ送信されます。
送信される各メッセージには次の情報が含まれています。
次のコマンドが変更されました。show call-home、show running-config call-home 変更された ASDM 画面はありません。 9.0(3) でも使用可能です。 |
||
リモート アクセス機能 |
|||
user-storage value コマンドのパスワードの show コマンドでの暗号化 |
show running-config コマンドを入力すると、user-storage value コマンドのパスワードは暗号化されます。 次のコマンドが変更されました。user-storage value 次の画面が変更されました。[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Group Policies] > [More Options] > [Session Settings] 8.4(6) でも使用可能です。 |
ASA 9.1(2)/ASDM 7.1(3) の新機能
リリース:2013年5月14日
(注) |
8.4(6) で追加された機能は、この表で明示されていない限り、9.1(2) には含まれていません。 |
機能 |
説明 |
||
---|---|---|---|
認定機能 |
|||
FIPS 認定および Common Criteria 認定 |
FIPS 140-2 非専有セキュリティ ポリシーは、Cisco ASA シリーズのレベル 2 FIPS 140-2 検証の一部として更新されました。このシリーズには、Cisco ASA 5505、ASA 5510、ASA 5520、ASA 5540、ASA 5550、ASA 5580、ASA 5512-X、ASA 5515-X、ASA 5525-X、ASA 5545-X、ASA 5555-X、ASA 5585-X、および ASA サービス モジュールが含まれます。 Common Criteria Evaluation Assurance Level 4(EAL4)が更新されました。これにより、Cisco ASA および VPN プラットフォーム ソリューションの特定の Target Of Evaluation(TOE)の基準が提供されます。 |
||
暗号化機能 |
|||
フェールオーバー リンクおよびステート リンクの通信を暗号化する IPsec LAN-to-LAN トンネルのサポート |
フェールオーバー キーに独自の暗号化を使用する代わりに(failover key コマンド)、フェールオーバー リンクおよびステート リンクの暗号化に IPsec LAN-to-LAN トンネルが使用できるようになりました。
failover ipsec pre-shared-key、show vpn-sessiondb の各コマンドが導入または変更されました。 次の画面が変更されました。[Configuration] > [Device Management] > [High Availability] > [Failover] > [Setup]。 |
||
SSL 暗号化用の追加のエフェメラル Diffie-Hellman 暗号 |
ASA で次のエフェメラル Diffie-Hellman(DHE)SSL 暗号スイートがサポートされるようになりました。
これらの暗号スイートは、RFC 3268『Advanced Encryption Standard (AES) Ciphersuites for Transport Layer Security (TLS)』で指定されています。 DHE では完全転送秘密が提供されるため、クライアントでサポートされている場合、DHE は推奨される暗号です。次の制限事項を確認してください。
ssl encryption コマンドが変更されました。 次の画面が変更されました。[Configuration] > [Device Management] > [Advanced] > [SSL Settings] 8.4(4.1) でも使用可能です。 |
||
管理機能 |
|||
ローカル データベースを使用する場合の管理者パスワード ポリシーのサポート |
ローカル データベースを使用して CLI または ASDM アクセスの認証を設定する場合は、指定期間を過ぎるとユーザーにパスワードの変更を要求し、パスワードの最短長と最低変更文字数などのパスワード標準に従うことを要求するパスワード ポリシーを設定できます。 次のコマンドが導入されました。change-password、password-policy lifetime、password-policy minimum changes、password-policy minimum-length、password-policy minimum-lowercase、password-policy minimum-uppercase、password-policy minimum-numeric、password-policy minimum-special、password-policy authenticate enable、clear configure password-policy、show running-config password-policy 次の画面が導入されました。[Configuration] > [Device Management] > [Users/AAA] > [Password Policy] 8.4(4.1) でも使用可能です。 |
||
SSH 公開キー認証のサポート |
ASA への SSH 接続の公開キー認証は、ユーザー単位で有効にできるようになりました。公開キー ファイル(PKF)でフォーマットされたキーまたは Base64 キーを指定できます。PKF キーは、4096 ビットまで使用できます。ASA がサポートする Base64 形式(最大 2048 ビット)では大きすぎるキーについては、PKF 形式を使用します。 次のコマンドが導入されました。ssh authenticaion。 次の画面が導入されました。 [Configuration] > [Device Management] > [Users/AAA] > [User Accounts] > [Edit User Account] > [Public Key Authentication] および [Configuration] > [Device Management] > [Users/AAA] > [User Accounts] > [Edit User Account] > [Public Key Using PKF] 8.4(4.1) でも使用可能。PKF キー形式は 9.1(2) でのみサポートされます。 |
||
SSH の AES-CTR 暗号化 |
ASA での SSH サーバーの実装が、AES-CTR モードの暗号化をサポートするようになりました。 |
||
SSH キー再生成間隔の改善 |
SSH 接続は、接続時間 60 分間またはデータ トラフィック 1 GB ごとに再生成されます。 次のコマンドが導入されました。show ssh sessions detail。 |
||
SSH キー交換の Diffie-Hellman グループ 14 のサポート |
SSH キー交換に Diffie-Hellman グループ 14 が追加されました。これまでは、グループ 1 だけがサポートされていました。 次のコマンドが導入されました。ssh key-exchange。 次の画面が変更されました。[Configuration] > [Device Management] > [Management Access] > [ASDM/HTTPS/Telnet/SSH] 8.4(4.1) でも使用可能です。 |
||
管理セッションの最大数のサポート |
同時 ASDM、SSH、Telnet セッションの最大数を設定できます。 次のコマンドが導入されました。quota management-session、show running-config quota management-session、show quota management-session。 次の画面が導入されました。[Configuration] > [Device Management] > [Management Access] > [Management Session Quota] 8.4(4.1) でも使用可能です。 |
||
ASDM のプリログイン バナーのサポート |
管理者は、ユーザーが管理アクセスのために ASDM にログインする前に表示するメッセージを定義できます。このカスタマイズ可能コンテンツはプリログイン バナーと呼ばれ、特別な要件や重要な情報をユーザーに通知することができます。 |
||
デフォルトの Telnet パスワードが削除されました |
ASA への管理アクセスのセキュリティ向上のために、Telnet のデフォルト ログイン パスワードが削除されました。Telnet を使用してログインする前に、パスワードを手動で設定する必要があります。注:ログイン パスワードが使用されるのは、Telnet ユーザー認証(aaa authentication telnet console コマンド)を設定しない場合の Telnet に対してのみです。 以前はパスワードをクリアすると、ASA がデフォルト「cisco」を復元していました。今ではパスワードをクリアすると、パスワードは削除されるようになりました。 ログイン パスワードは、スイッチから ASASM への Telnet セッションでも使用されます(session コマンドを参照)。最初 ASASM のアクセスでは、ログイン パスワードを設定するまで、service-module session コマンドを使用します。 passwd コマンドが変更されました。 変更された ASDM 画面はありません。 9.0(2) でも使用可能です。 |
||
プラットフォーム機能 |
|||
電源投入時自己診断テスト(POST)のサポート |
ASA は、FIPS 140-2 準拠モードで実行されていない場合でも、起動時の電源投入時自己診断テストを実行します。 AES-GCM/GMAC アルゴリズム、ECDSA アルゴリズム、PRNG、Deterministic Random Bit Generator Validation System(DRBGVS)の変更に対応するために、POST が追加されました。 |
||
疑似乱数生成(PRNG)の改善 |
X9.31 の実装がアップグレードされ、シングルコアの ASA での Network Device Protection Profile(NDPP)に対応するために、3DES 暗号化の代わりに AES-256 の暗号化を使用するようになりました。 |
||
イメージ検証のサポート |
SHA-512 イメージ整合性チェックのサポートが追加されました。 次のコマンドが変更されました。verify 変更された ASDM 画面はありません。 8.4(4.1) でも使用可能です。 |
||
ASA サービス モジュール上でプライベート VLAN のサポート |
ASASM では、プライベート VLAN を使用できます。ASASM にプライマリ VLAN を割り当てると、ASASM は自動的にセカンダリ VLAN トラフィックを処理します。この機能は、ASASM 上での設定は必要ありません。詳細については、スイッチのコンフィギュレーション ガイドを参照してください。 |
||
CPU プロファイルの拡張機能 |
cpu profile activate コマンドが、以下をサポートするようになりました。
次のコマンドが変更されました。cpu profile activate [n-samples] [sample-process process-name] [trigger cpu-usage cpu% [process-name] 変更された ASDM 画面はありません。 8.4(6) でも使用可能です。 |
||
DHCP 機能 |
|||
インターフェイスごとの DHCP リレー サーバ(IPv4 のみ) |
DHCP リレー サーバーをインターフェイスごとに設定できるようになりました。特定のインターフェイスに届いた要求は、そのインターフェイス用に指定されたサーバーに対してのみリレーされます。インターフェイス単位の DHCP リレーでは、IPv6 はサポートされません。 dhcprelay server(インターフェイス設定モード)、clear configure dhcprelay、show running-config dhcprelay の各コマンドが導入または変更されました。 次の画面が変更されました。[Configuration] > [Device Management] > [DHCP] > [DHCP Relay] |
||
DHCP の信頼できるインターフェイス |
DHCP Option 82 を維持するために、インターフェイスを信頼できるインターフェイスとして設定できるようになりました。DHCP Option 82 は、DHCP スヌーピングおよび IP ソース ガードのために、ダウンストリームのスイッチおよびルータによって使用されます。通常、ASA DHCP リレー エージェントが Option 82 をすでに設定した DHCP パケットを受信しても、giaddr フィールド(サーバーにパケットを転送する前に、リレー エージェントによって設定された DHCP リレー エージェント アドレスを指定するフィールド)が 0 に設定されている場合は、ASA はそのパケットをデフォルトで削除します。インターフェイスを信頼できるインターフェイスとして指定することで、Option 82 を維持したままパケットを転送できます。 次のコマンドを導入または変更しました。dhcprelay information trusted、dhcprelay informarion trust-all、show running-config dhcprelay 次の画面が変更されました。[Configuration] > [Device Management] > [DHCP] > [DHCP Relay] |
||
モジュール機能 |
|||
ASA 5585-X のネットワーク モジュール サポート |
ASA 5585-X が、スロット 1 でネットワーク モジュール上の追加インターフェイスをサポートするようになりました。次のオプション ネットワーク モジュールの 1 つまたは 2 つをインストールできます。
8.4(4.1) でも使用可能です。 |
||
ASA 5585-X DC 電源サポート |
ASA 5585-X DC 電源のサポートが追加されました。 8.4(5) でも使用可能です。 |
||
デモンストレーション用 ASA CX モニタリング専用モードのサポート |
デモンストレーション目的でのみ、サービス ポリシー用のモニタリング専用モードをイネーブルにすることができ、元のトラフィックに影響を与えずに、トラフィックのコピーを ASA CX モジュールに転送することができます。 デモンストレーション用のもう 1 つのオプションは、サービス ポリシーの代わりにトラフィック転送をモニタ専用モードで設定することです。トラフィック転送インターフェイスは、ASA をバイパスすることにより、すべてのトラフィックを ASA CX モジュールに直接送信します。 次のコマンドを導入または変更しました。cxsc {fail-close | fail-open} monitor-only、traffic-forward cxsc monitor-only 次の画面が変更されました。[Configuration] > [Firewall] > [Service Policy Rules] > [Add Service Policy Rule] > [Rule Actions] > [ASA CX Inspection] トラフィック転送機能は CLI のみでサポートされます。 |
||
ASA CX モジュールおよび NAT 64 のサポート |
ASA CX モジュールとともに NAT 64 を使用できるようになりました。 変更されたコマンドはありません。 変更された ASDM 画面はありません。 |
||
NetFlow 機能 |
|||
NetFlow フロー更新イベントおよび NetFlow テンプレートの拡張セットのサポート |
フロー更新イベントに加え、NetFlow テンプレートが存在するようになりました。これにより NAT で IP バージョンに変更があるフローと、NAT 後に IPv6 のままである IPv6 フローを追跡できます。 IPv6 変換のサポートのため、2 つの新しいフィールドが追加されました。 いくつかの NetFlow フィールド ID が、IPFIX の同等のものに変更されました。 詳細については、『Cisco ASA Implementation Note for NetFlow Collectors』を参照してください。 |
||
ファイアウォール機能 |
|||
EtherType ACL による IS-IS トラフィック(トランスペアレント ファイアウォール モード)のサポート |
トランスペアレント ファイアウォール モードでは、ASA が EtherType ACL を使用して IS-IS トラフィックを渡すことができるようになりました。 access-list ethertype {permit | deny} is-is コマンドが変更されました。 次の画面が変更されました。[Configuration] > [Device Management] > [Management Access] > [EtherType Rules] 8.4(5) でも使用可能です。 |
||
ハーフ クローズ タイムアウト最小値を 30 秒に削減 |
グローバル タイムアウトおよび接続タイムアウトの両方のハーフ クローズド タイムアウトの最小値は、より優れた DoS 保護を提供するために 5 分から 30 秒に短縮されました。 set connection timeout half-closed、timeout half-closed の各コマンドが変更されました。 次の画面が変更されました。 [Configuration] > [Firewall] > [Service Policy Rules] > [Connection Settings] [Configuration] > [Firewall] > [Advanced] > [Global Timeouts]。 |
||
リモート アクセス機能 |
|||
IKE セキュリティとパフォーマンスの改善 |
IKE v2 に加えて IKE v1 に対して、IPSec-IKE セキュリティ アソシエーション(SA)を制限できます。 次のコマンドが変更されました。crypto ikev1 limit 次の画面が変更されました。[Configuration] > [Site-to-Site VPN] > [Advanced] > [IKE Parameter] |
||
IKE v2 ナンスのサイズが 64 バイトに増加しました。 ASDM 画面または CLI に変更はありません。 |
|||
サイト間 IKE v2 では、新しいアルゴリズムは、子の IPsec SA によって使用される暗号化アルゴリズムが親の IKE より強力でないことを保障します。強力アルゴリズムが IKE レベルに下げられます。 この新しいアルゴリズムはデフォルトでイネーブルです。この機能をディセーブルにしないことを推奨します。 次のコマンドが導入されました。crypto ipsec ikev2 sa-strength-enforcement 変更された ASDM 画面はありません。 |
|||
サイト間の場合は、IPSec データ ベースの再調整をディセーブルにできます。 次のコマンドが変更されました。crypto ipsec security-association 次の画面が変更されました。[Configuration] > [Site-to-Site] > [IKE Parameter] |
|||
ホスト スキャンおよび ASA 相互運用性の改善 |
ホスト スキャンおよび ASA のプロセスが改善され、クライアントから ASA にポスチャ属性が転送できます。つまり、クライアントとの VPN 接続を確立し、ダイナミック アクセス ポリシーを適用するために、ASA はより長い時間を割くことができます。 8.4(5) でも使用可能です。 |
||
クライアントレス SSL VPN:Windows 8 のサポート |
このリリースでは、Windows 8 x86(32 ビット)および Windows 8 x64(64 ビット)オペレーティング システムのサポートが追加されました。 Windows 8 では次のブラウザのみがサポートされます。
次の制限事項を確認してください。
9.0(2) でも使用可能です。 |
||
Cisco Secure Desktop:Windows 8 のサポート |
CSD 3.6.6215 がアップデートされ、プリログイン ポリシーのオペレーティング システムのチェックで Windows 8 が選択できるようになりました。 次の制限事項を確認してください。
9.0(2) でも使用可能です。 |
||
Dynamic Access Policies:Windows 8 のサポート |
ASDM がアップデートされ、DAP オペレーティング システム属性で Windows 8 が選択できるようになりました。 9.0(2) でも使用可能です。 |
||
モニタリング機能 |
|||
NSEL |
フロー トラフィックの定期的なバイト カウンタを提供するために flow-update イベントが導入されました。flow-update イベントが NetFlow コレクタに送信される時間間隔を変更できます。flow-update レコードを送信するコレクタをフィルタリングできます。 次のコマンドを導入または変更しました。flow-export active refresh-interval、flow-export event-type 次の画面が変更されました。 [Configuration] > [Device Management] > [Logging] > [NetFlow] [Configuration] > [Firewall] > [Service Policy Rules] > [Add Service Policy Rule Wizard - Rule Actions] > [NetFlow] > [Add Flow Event] 8.4(5) でも使用可能です。 |
ASA 9.1(1)/ASDM 7.1(1) の新機能
リリース:2012年12月3日
(注) |
8.4(4.x)、8.4(5)、8.4(6)、9.0(2)にない機能は、9.0(1)機能テーブルにない限り 9.1(1)にもありません。 |
機能 |
説明 |
---|---|
モジュール機能 |
|
ASA 5512-X ~ ASA 5555-X に対する ASA CX SSP のサポート |
ASA 5512-X、ASA 5515-X、ASA 5525-X、ASA 5545-X、および ASA 5555-X に対する ASA CX SSP ソフトウェア モジュールのサポートが導入されました。ASA CX ソフトウェア モジュールには、ASA 上に Cisco ソリッド ステート ドライブ(SSD)が必要です。SSD の詳細については、ASA 5500-X のハードウェア ガイドを参照してください。 session cxsc、show module cxsc、sw-module cxsc の各コマンドが変更されました。 変更された画面はありません。 |
バージョン 9.0 の新機能
ASA 9.0(4)/ASDM 7.1(4) の新機能
ASA 9.0(4)/ASDM 7.1(4) には新機能はありませんでした。
ASA 9.0(3)/ASDM 7.1(3) の新機能
リリース:2013年7月22日
(注) |
8.4(4.x)、8.4(5)、8.4(6)にない機能は、9.0(1)機能テーブルにない限り 9.0(3)にもありません。 |
機能 |
説明 |
---|---|
モニタリング機能 |
|
Smart Call Home |
ASA クラスタリングをサポートする新しいタイプの Smart Call Home メッセージを追加しました。 Smart Call Home クラスタリング メッセージは、次の 3 種類のイベントに対してのみ送信されます。
送信される各メッセージには次の情報が含まれています。
|
ASA 9.0(2)/ASDM 7.1(2) の新機能
リリース日:2013 年 2 月 25 日
(注) |
8.4(4.x)、8.4(5)、8.4(6)にない機能は、9.0(1)機能テーブルにない限り 9.0(2)にもありません。 |
機能 |
説明 |
---|---|
リモート アクセス機能 |
|
クライアントレス SSL VPN:Windows 8 のサポート |
このリリースでは、Windows 8 x86(32 ビット)および Windows 8 x64(64 ビット)オペレーティング システムのサポートが追加されました。 Windows 8 では次のブラウザのみがサポートされます。
次の制限事項を確認してください。
|
管理機能 |
|
デフォルトの Telnet パスワードが削除されました |
ASA への管理アクセスのセキュリティ向上のために、Telnet のデフォルト ログイン パスワードが削除されました。Telnet を使用してログインする前に、パスワードを手動で設定する必要があります。注:ログイン パスワードが使用されるのは、Telnet ユーザー認証(aaa authentication telnet console コマンド)を設定しない場合の Telnet に対してのみです。 以前はパスワードをクリアすると、ASA がデフォルト「cisco」を復元していました。今ではパスワードをクリアすると、パスワードは削除されるようになりました。 ログイン パスワードは、スイッチから ASASM への Telnet セッションでも使用されます(session コマンドを参照)。最初 ASASM のアクセスでは、ログイン パスワードを設定するまで、service-module session コマンドを使用します。 passwd コマンドが変更されました。 変更された ASDM 画面はありません。 |
ASA 9.0(1)/ASDM 7.0(1) の新機能
リリース:2012年10月29日
(注) |
8.4(4.x)、8.4(5)、および 8.4(6) で追加された機能は、この表で明示されていない限り、9.0(1) には含まれていません。 |
機能 |
説明 |
||
---|---|---|---|
ファイアウォール機能 |
|||
Cisco TrustSec の統合 |
Cisco TrustSec は、既存の ID 認証インフラストラクチャを基盤とするアクセス コントロール ソリューションです。ネットワーク デバイス間のデータ機密性保持を目的としており、セキュリティ アクセス サービスを 1 つのプラットフォーム上で統合します。Cisco TrustSec ソリューションでは、実行デバイスはユーザー属性とエンドポイント属性の組み合わせを使用して、ロールベースおよびアイデンティティベースのアクセス コントロールを決定します。 このリリースでは、ASA に Cisco TrustSec が統合されており、セキュリティ グループに基づいてポリシーが適用されます。Cisco TrustSec ドメイン内のアクセス ポリシーは、トポロジには依存しません。ネットワーク IP アドレスではなく、送信元および宛先のデバイスのロールに基づいています。 ASA は、セキュリティ グループに基づくその他のタイプのポリシー(アプリケーション インスペクションなど)に対しても Cisco TrustSec ソリューションを活用できます。たとえば、設定するクラス マップの中に、セキュリティ グループに基づくアクセス ポリシーを入れることができます。 次のコマンドが導入または変更されました。access-list extended 、 cts sxp enable 、 cts server-group 、cts sxp default 、cts sxp retry period 、cts sxp reconcile period 、cts sxp connection peer 、cts import-pac 、cts refresh environment-data 、object-group security、security-group 、show running-config cts 、show running-config object-group 、clear configure cts 、clear configure object-group 、show cts 、show object-group 、show conn security-group 、clear cts 、debug cts 次の MIB が導入されました:CISCO-TRUSTSEC-SXP-MIB 次の画面が導入または変更されました。 [Configuration] > [Firewall] > [Identity by TrustSec] [Configuration] > [Firewall] > [Objects] > [Security Groups Object Groups] [Configuration] > [Firewall] > [Access Rules] > [Add Access Rules] [Monitoring] > [Properties] > [Identity by TrustSec] > [PAC] [Monitoring] > [Properties] > [Identity by TrustSec] > [Environment Data] [Monitoring] > [Properties] > [Identity by TrustSec] > [SXP Connections] [Monitoring] > [Properties] > [Identity by TrustSec] > [IP Mappings] [Monitoring] > [Properties] > [Connections] [Tools] > [Packet Tracer] |
||
Cisco クラウド Web セキュリティ(ScanSafe) |
Cisco クラウド Web セキュリティは、Web トラフィックに対してコンテンツ スキャンなどのマルウェア防御サービスを実行します。また、ユーザー アイデンティティに基づいて Web トラフィックのリダイレクトと報告を行うこともできます。
class-map type inspect scansafe、default user group、http[s](パラメータ)、inspect scansafe、license、match user group、policy-map type inspect scansafe、retry-count、scansafe、scansafe general-options、server {primary | backup}、show conn scansafe、show scansafe server、show scansafe statistics、user-identity monitor、whitelist の各コマンドが導入または変更されました。 次の画面が導入または変更されました。 [Configuration] > [Device Management] > [Cloud Web Security] [Configuration] > [Firewall] > [Objects] > [Class Maps] > [Cloud Web Security] [Configuration] > [Firewall] > [Objects] > [Class Maps] > [Cloud Web Security] > [Add/Edit] [Configuration] > [Firewall] > [Objects] > [Inspect Maps] > [Cloud Web Security] [Configuration] > [Firewall] > [Objects] > [Inspect Maps] > [Cloud Web Security] > [Add/Edit] [Configuration] > [Firewall] > [Objects] > [Inspect Maps] >[Cloud Web Security] > [Add/Edit] > [Manage Cloud Web Security Class Maps] [Configuration] > [Firewall] > [Identity Options][Configuration] > [Firewall] > [Service Policy Rules] [Monitoring] > [Properties] > [Cloud Web Security] |
||
ICMP コードによって ICMP トラフィックをフィルタリングするための拡張 ACL とオブジェクト機能拡張 |
ICMP コードに基づいて ICMP トラフィックの許可または拒否ができるようになりました。 次のコマンドを導入または変更しました。access-list extended、service-object、service 次の画面が導入または変更されました。 [Configuration] > [Firewall] > [Objects] > [Service Objects/Groups]、 [Configuration] > [Firewall] > [Access Rule] |
||
ASASM でのユニファイド コミュニケーションのサポート |
ASASM は、すべてのユニファイド コミュニケーション機能をサポートするようになりました。 |
||
逆引き DNS ルックアップ用の NAT のサポート |
NAT ルールがイネーブルにされた DNS インスペクションを使用する IPv4 NAT、IPv6 NAT、および NAT64 を使用する場合、NAT は逆引き DNS ルックアップ用の DNS PTR レコードの変換をサポートするようになりました。 |
||
Per-Session PAT |
Per-session PAT 機能によって PAT のスケーラビリティが向上し、ASA クラスタリングの場合に各メンバ ユニットに独自の PAT 接続を使用できるようになります。Multi-Session PAT 接続は、マスター ユニットに転送してマスター ユニットを所有者とする必要があります。Per-Session PAT セッションの終了時に、ASA からリセットが送信され、即座に xlate が削除されます。このリセットによって、エンド ノードは即座に接続を解放し、TIME_WAIT 状態を回避します。対照的に、Multi-Session PAT では、PAT タイムアウトが使用されます(デフォルトでは 30 秒)。「ヒットエンドラン」トラフィック、たとえば HTTP や HTTPS の場合は、Per-session 機能によって、1 アドレスでサポートされる接続率が大幅に増加することがあります。Per-session 機能を使用しない場合は、特定の IP プロトコルに対する 1 アドレスの最大接続率は約 2000/秒です。Per-session 機能を使用する場合は、特定の IP プロトコルに対する 1 アドレスの接続率は 65535/平均ライフタイムです。 デフォルトでは、すべての TCP トラフィックおよび UDP DNS トラフィックが、Per-session PAT xlate を使用します。Multi-Session PAT のメリットを活用できるトラフィック、たとえば H.323、SIP、Skinny に対して Per-session PAT をディセーブルにするには、Per-session 拒否ルールを作成します。 次のコマンドが導入されました。xlate per-session、clear configure xlate、show running-config xlate 次の画面が導入されました。[Configuration] > [Firewall] > [Advanced] > [Per-Session NAT Rules] |
||
間接接続されたサブネットの ARP キャッシュの追加 |
ASA ARP キャッシュには、直接接続されたサブネットからのエントリだけがデフォルトで含まれています。また、ARP キャッシュに間接接続されたサブネットを含めることができるようになりました。セキュリティ リスクを認識していない場合は、この機能をイネーブルにすることは推奨しません。この機能は、ASA に対するサービス拒否(DoS)攻撃を助長する場合があります。任意のインターフェイスのユーザが大量の ARP 応答を送信して、偽エントリで ASA ARP テーブルがあふれる可能性があります。 次の機能を使用する場合は、この機能を使用する必要がある可能性があります。
arp permit-nonconnected コマンドが導入されました。 次の画面が変更されました。[Configuration] > [Device Management] > [Advanced]> [ARP] > [ARP Static Table]。 8.4(5) でも使用可能です。 |
||
ダイナミック ACL からピンホール メカニズムへの SunRPC の変更 |
これまでは、Sun RPC インスペクションは発信アクセス リストをサポートしません。これは、インスペクション エンジンでセカンダリ接続でなくダイナミック アクセス リストが使用されるためです。 このリリースでは、ASA でダイナミック アクセス リストを設定すると、入力方向のみでサポートされ、ダイナミック ポート宛ての出トラフィックは ASA によってドロップされます。したがって、Sun RPC インスペクションは、ピンホール メカニズムを設定して出力トラフィックをサポートします。Sun RPC インスペクションは、このピンホール メカニズムを使用して発信ダイナミック アクセス リストをサポートします。 8.4(4.1) でも使用可能です。 |
||
インスペクション リセット アクションの変更 |
これまでは、インスペクション エンジン ルールに従って ASA によってパケットがドロップされると、ドロップされたパケットのソース デバイスに RST が 1 つのみ送信されました。この動作により、リソースの問題が発生する可能性があります。 このリリースでは、リセット アクションを使用するようにインスペクション エンジンを設定し、パケットによってリセットがトリガーされると、次の条件で ASA によって TCP リセットが送信されます。
詳細については、ASA コマンド リファレンスの service コマンドを参照してください。 この動作によって、リセット アクションが ASA および内部サーバの接続をリセットすることが確実になります。したがって、DoS 攻撃を防ぎます。外部ホストの場合、ASA はリセットをデフォルトで送信せず、TCP リセットによって情報が公開されません。 8.4(4.1) でも使用可能です。 |
||
サービス ポリシー ルールの最大接続数の引き上げ |
サービス ポリシー ルールの最大接続数が 65535 から 2000000 に引き上げられました。 set connection conn-max、set connection embryonic-conn-max、set connection per-client-embryonic-max、set connection per-client-max の各コマンドが変更されました。 次の画面が変更されました。[Configuration] > [Firewall] > [Service Policy Rules] > [Connection Settings] 8.4(5) でも使用可能です。 |
||
ハイ アベイラビリティとスケーラビリティの各機能 |
|||
ASA 5580 および 5585-X の ASA クラスタリング |
ASA クラスタリングを利用すると、複数の ASA をグループ化して、1 つの論理デバイスにすることができます。クラスタは、単一デバイスのすべての利便性(管理、ネットワークへの統合)を備える一方で、複数デバイスによって高いスループットおよび冗長性を達成します。ASA クラスタリングは、ASA 5580 および ASA 5585-X でサポートされます。1 つのクラスタ内のすべてのユニットが同一モデル、同一ハードウェア仕様であることが必要です。クラスタリングがイネーブルのときにサポートされない機能のリストについては、コンフィギュレーション ガイドを参照してください。 次のコマンドを導入または変更しました。channel-group、clacp system-mac、clear cluster info、clear configure cluster、cluster exec、cluster group、cluster interface-mode、cluster-interface、conn-rebalance、console-replicate、cluster master unit、cluster remove unit、debug cluster、debug lacp cluster、enable(クラスタ グループ)、health-check、ip address、ipv6 address、key(クラスタ グループ)、local-unit、mac-address(インターフェイス)、mac-address pool、mtu cluster、port-channel span-cluster、priority(クラスタ グループ)、prompt cluster-unit、show asp cluster counter、show asp table cluster chash-table、show cluster、show cluster info、show cluster user-identity、show lacp cluster、show running-config cluster 次の画面が導入または変更されました。 [Home] > [Device Dashboard] [Home] > [Cluster Dashboard][Home] > [Cluster Firewall Dashboard] [Configuration] > [Device Management] > [Advanced] > [Address Pools] > [MAC Address Pools] [Configuration] > [Device Management] > [High Availability and Scalability] > [ASA Cluster] Configuration > Device Management > Logging > Syslog Setup > Advanced [Configuration] > [Device Setup] > [Interfaces]> [Add/Edit Interface] > [Advanced] [Configuration] > [Device Setup] > [Interfaces]> [Add/Edit Interface] > [IPv6] [Configuration] > [Device Setup] > [Interfaces] > [Add/Edit EtherChannel Interface] > [Advanced] [Configuration] > [Firewall] > [Advanced] > [Per-Session NAT Rules] [Monitoring] > [ASA Cluster][Monitoring] > [Properties] > [System Resources Graphs] > [Cluster Control Link] [Tools] > [Preferences] > [General] [Tools] > [System Reload] [Tools] > [Upgrade Software from Local Computer] [Wizards] > [High Availability and Scalability Wizard] [Wizards] > [Packet Capture Wizard] [Wizards] > [Startup Wizard] |
||
クラスタリングに対する OSPF、EIGRP、マルチキャスト |
OSPFv2 および OSPFv3 の場合は、バルク同期、ルート同期、およびスパンド EtherChannel がクラスタリング環境でサポートされます。 EIGRP の場合は、バルク同期、ルート同期、およびスパンド EtherChannel がクラスタリング環境でサポートされます。 マルチキャスト ルーティングは、クラスタリングをサポートします。 show route cluster、debug route cluster、show mfib cluster、debug mfib cluster の各コマンドが導入または変更されました。 |
||
クラスタリングのパケット キャプチャ |
クラスタ全体のトラブルシューティングをサポートするには、cluster exec capture コマンドを使用してマスター ユニット上でのクラスタ固有トラフィックのキャプチャをイネーブルにします。これで、クラスタ内のすべてのスレーブ ユニットでも自動的にイネーブルになります。cluster exec キーワードは新しいキーワードであり、capture コマンドの前に置くとクラスタ全体のキャプチャがイネーブルになります。 capture、show capture の各コマンドが変更されました。 次の画面が変更されました。[Wizards] > [Packet Capture Wizard] |
||
クラスタリングに対するロギング |
クラスタ内の各ユニットは、syslog メッセージを個別に生成します。logging device-id コマンドを使用すると、同一または異なるデバイス ID 付きで syslog メッセージを生成することができ、クラスタ内の同一または異なるユニットからのメッセージのように見せることができます。 logging device-id コマンドが変更されました。 次の画面が変更されました。[Configuration] > [Logging] > [Syslog Setup] > [Advanced] > [Advanced Syslog Configuration] |
||
Cisco Nexus 7000 と Cisco Catalyst 6500 を使用するクラスタリングのサポート |
ASA は、Cisco Nexus 7000 および Cisco Catalyst 6500(Supervisor 32、720、および 720-10GE)に接続するときにクラスタリングをサポートします。 |
||
バルク同期中の接続複製レートの設定 |
ステートフル フェールオーバーを使用するときに、ASA で接続がスタンバイ装置に複製されるレートを設定できるようになりました。デフォルトでは、接続は 15 秒間隔でスタンバイ装置に複製されます。ただし、バルク同期が発生すると(たとえば、フェールオーバーを最初にイネーブルにしたときなど)、1 秒あたりの最大接続数の制限のために、大量の接続を同期するのに 15 秒では不十分な場合があります。たとえば、ASA での最大接続数を 800 万とします。800 万の接続を 15 秒間で複製するということは、1 秒あたり約 53.3 万の接続を作成するということです。ただし、1 秒あたりに許可される最大接続数は 30 万です。複製レートが 1 秒あたりの最大接続数以下になるように指定できるようになり、同期期間はすべての接続が同期されるまで調整されます。 failover replication rate rate コマンドが導入されました。 8.4(4.1) および 8.5(1.7) でも使用可能です。 |
||
IPv6 の機能 |
|||
ASA の外部インターフェイスでの IPv6 サポート(VPN 機能用)。 |
このリリースの ASA では、外部インターフェイスへの IPv6 VPN 接続(SSL および IKEv2/IPsec プロトコルを使用)のサポートが追加されています。 このリリースの ASA では、内部インターフェイスでの IPv6 VPN トラフィック(SSL プロトコルを使用)がこれまでと同様にサポートされます。このリリースは、内部インターフェイス上での IKEv2/IPsec プロトコルを提供しません。 |
||
IPv6 のためのリモート アクセス VPN のサポート:IPv6 アドレス割り当てポリシー |
AnyConnect クライアントに IPv4 アドレスと IPv6 アドレスの一方または両方を割り当てるように ASA を設定できます。このようにするには、ASA 上で内部的なアドレス プールを作成するか、ASA 上のローカル ユーザーに専用アドレスを割り当てます。 エンドポイントに両方のタイプのアドレスを割り当てるには、エンドポイントのオペレーティング システムの中でデュアル スタック プロトコルが実装されている必要があります。 クライアントへの IPv6 アドレスの割り当ては、SSL プロトコルに対してサポートされます。この機能は、IKEv2/IPsec プロトコルに対してはサポートされません。 ipv6-vpn-addr-assign、vpn-framed-ipv6-address の各コマンドが導入されました。 次の画面が変更されました。 [Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Address Assignment] > [Assignment Policy] [Configuration] > [Remote Access VPN] > [AAA/Local Users] > [Local Users] > [(Edit local user account)] > [VPN Policy] |
||
IPv6 のためのリモート アクセス VPN のサポート:IPv6 アドレスを使用する DNS サーバのグループ ポリシーへの割り当て |
DNS サーバを、ASA のネットワーク(クライアント)アクセス内部グループ ポリシー内で定義できます。最大 4 個の DNS サーバ アドレス(最大 2 個の IPv4 アドレスと最大 2 個の IPv6 アドレス)を指定できます。 IPv6 アドレスを持つ DNS サーバに VPN クライアントから到達できるのは、SSL プロトコルを使用するようにクライアントが設定されているときです。この機能は、IKEv2/IPsec プロトコルを使用するように設定されたクライアントではサポートされていません。 dns-server value コマンドが変更されました。 次の画面が変更されました。[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Group Policies] > [(Edit group policy)] > [Servers] |
||
IPv6 のためのリモート アクセス VPN のサポート:スプリット トンネリング |
スプリット トンネリングを使用すると、一部のネットワーク トラフィックを VPN トンネルを介して(暗号化あり)ルーティングし、それ以外のネットワーク トラフィックを VPN トンネルの外部で(「暗号化なし」、つまりクリア テキストとして)ルーティングすることができます。IPv6 ネットワーク トラフィックに対してスプリット トンネリングを実行できるようになりました。このようにするには、IPv6 ポリシーを定義し、この中で統合アクセス コントロール ルールを指定します。 IPv6 スプリット トンネリングは、Smart Call Home 機能によって送信されるテレメトリ データで報告されます。IPv4 または IPv6 のいずれかのスプリット トンネリングが有効になっている場合、Smart Call Home レポートのスプリット トンネリングは「有効」と報告されます。テレメトリ データの場合、VPN セッション データベースは、通常はセッション管理で報告される IPv6 データを表示します。 SSL プロトコルを使用するように設定された VPN クライアント用の VPN「トンネル」について、IPv6 トラフィックを含めるか除外するかを指定できます。この機能は、IKEv2/IPsec プロトコルに対してはサポートされません。 ipv6-split-tunnel-policy コマンドが導入されました。 次の画面が変更されました。[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Group Policies] > [(Edit group policy)] > [Advanced] > [Split Tunneling] |
||
IPv6 のためのリモート アクセス VPN のサポート:AnyConnect クライアントのファイアウォール ルール |
クライアント ファイアウォール用のアクセス コントロール ルールは、IPv4 と IPv6 の両方のアドレスのアクセス リスト エントリをサポートします。 IPv6 アドレスが含まれている ACL は、SSL プロトコルを使用するように設定されたクライアントに適用できます。この機能は、IKEv2/IPsec プロトコルに対してはサポートされません。 anyconnect firewall-rule コマンドが変更されました。 次の画面が変更されました。[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Group Policies] > [(Edit group policy)] > [Advanced] > [AnyConnect Client] > [Client Firewall] |
||
IPv6 のためのリモート アクセス VPN のサポート:クライアント プロトコル バイパス |
クライアント プロトコル バイパス機能を使用すると、ASA が IPv6 トラフィックだけを予期しているときの IPv4 トラフィックの管理方法や、IPv4 トラフィックだけを予期しているときの IPv6 トラフィックの管理方法を設定することができます。 AnyConnect クライアントが ASA に VPN 接続するときに、ASA は IPv4 と IPv6 の一方または両方のアドレスを割り当てます。ASA が AnyConnect 接続に IPv4 アドレスまたは IPv6 アドレスだけを割り当てた場合に、ASA が IP アドレスを割り当てなかったネットワーク トラフィックについて、クライアント プロトコル バイパスによってそのトラフィックをドロップさせるか、または ASA をバイパスしてクライアントからの暗号化なし、つまり「クリア テキスト」としての送信を許可するかを設定できるようになりました。 たとえば、IPv4 アドレスのみ AnyConnect 接続に割り当てられ、エンドポイントがデュアル スタックされていると想定してください。このエンドポイントが IPv6 アドレスへの到達を試みたときに、クライアント バイパス プロトコル機能がディセーブルの場合は、IPv6 トラフィックがドロップされますが、クライアント バイパス プロトコルがイネーブルの場合は、IPv6 トラフィックはクライアントからクリア テキストとして送信されます。 この機能は、クライアントが SSL と IKEv2/IPsec プロトコルのどちらを使用するように設定されていても使用できます。 client-bypass-protocol コマンドが導入されました。 次の画面が変更されました。[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Group Policies] > [(Group Policy) Advanced] > [AnyConnect Client] > [Client Bypass Protocol] |
||
IPv6 のためのリモート アクセス VPN のサポート:IPv6 インターフェイス ID とプレフィックス |
ローカル VPN ユーザーに対して専用の IPv6 アドレスを指定できるようになりました。 この機能の利点を活用できるのは、ユーザーが SSL プロトコルを使用するように設定されている場合です。この機能は、IKEv2/IPsec プロトコルに対してはサポートされません。 vpn-framed-ipv6-address コマンドが導入されました。 次の画面が変更されました。[Configuration] > [Remote Access VPN] > [AAA/Local Users] > [Local Users] > [(Edit User)] > [VPN Policy] |
||
IPv6 のためのリモート アクセス VPN のサポート:ASA FQDN の AnyConnect クライアントへの送信 |
AnyConnect クライアントに ASA の FQDN を返すことができます。これは、ロード バランシングおよびセッション ローミングに役立ちます。 この機能は、クライアントが SSL と IKEv2/IPsec プロトコルのどちらを使用するように設定されていても使用できます。 gateway-fqdn コマンドが導入されました。 次の画面が変更されました。[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Group Policies] > [(Edit group policy)] > [Advanced] > [AnyConnect] |
||
IPv6 のためのリモート アクセス VPN のサポート:ASA VPN ロード バランシング |
IPv6 アドレスを持つクライアントは、AnyConnect 接続を行うときに、ASA クラスタのパブリック向け IPv6 アドレスを経由することも、GSS サーバを経由することもできます。同様に、IPv6 アドレスを持つクライアントは、AnyConnect VPN 接続を行うときに、ASA クラスタのパブリック向け IPv4 アドレスを経由することも、GSS サーバを経由することもできます。どちらのタイプの接続も ASA クラスタ内でロード バランシングできます。 IPv6 アドレスを持つクライアントが ASA のパブリック向け IPv4 アドレスに接続できるようにするには、IPv6 から IPv4 へのネットワーク アドレス変換を実行できるデバイスがネットワーク上に存在する必要があります。 この機能は、クライアントが SSL と IKEv2/IPsec プロトコルのどちらを使用するように設定されていても使用できます。 show run vpn load-balancing コマンドが変更されました。 次の画面が変更されました。[Configuration] > [Remote Access VPN] > [Load Balancing] |
||
IPv6 のためのリモート アクセス VPN のサポート: 動的アクセス ポリシーが IPv6 属性をサポート |
ASA 9.0 以降を ASDM 6.8 以降とともに使用するときに、次の属性をダイナミック アクセス ポリシー(DAP)の一部として指定できるようになりました。
この機能は、クライアントが SSL と IKEv2/IPsec プロトコルのどちらを使用するように設定されていても使用できます。 次の画面が変更されました。 [Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Dynamic Access Policies] > [Add] > [Cisco AAA attribute] [Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Dynamic Access Policies] > [Add] > [Device] > [Add Endpoint Attribute] [Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Dynamic Access Policies] > [Network ACL Filters (client)] [Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Dynamic Access Policies] > [Webtype ACL Filters (clientless)] |
||
IPv6 のためのリモート アクセス VPN のサポート: セッション管理 |
セッション管理の出力の Public/Assigned アドレス フィールドに IPv6 アドレスが表示されるのは、AnyConnect 接続、サイトツーサイト VPN 接続、およびクライアントレス SSL VPN 接続の場合です。新しいフィルタ キーワードを追加して出力をフィルタリングし、IPv6(外部または内部)接続だけを表示することができます。IPv6 ユーザー フィルタに対する変更はありません。 この機能を使用できるのは、クライアントが SSL プロトコルを使用するように設定されている場合です。この機能では、IKEv2/IPsec プロトコルはサポートされません。 show vpn-sessiondb コマンドが変更されました。 次の画面が変更されました。[Monitoring] > [VPN] > [VPN Statistics] > [Sessions] |
||
IPv6 用の NAT のサポート |
NAT が IPv6 トラフィックをサポートするようになり、IPv4 と IPv6 の間の変換(NAT64)もサポートされます。IPv4 と IPv6 の間の変換は、トランスペアレント モードではサポートされません。 nat(グローバルおよびオブジェクト ネットワーク コンフィギュレーション モード)、show conn、show nat、show nat pool、show xlate の各コマンドが変更されました。 次の画面が変更されました。 [Configuration] > [Firewall] > [Objects] > [Network Objects/Group] [Configuration] > [Firewall] > [NAT Rules] |
||
DHCPv6 リレー |
DHCP リレーが IPv6 に対してサポートされます。 ipv6 dhcprelay server、ipv6 dhcprelay enable、ipv6 dhcprelay timeout、clear config ipv6 dhcprelay、ipv6 nd managed-config-flag、ipv6 nd other-config-flag、debug ipv6 dhcp、debug ipv6 dhcprelay、show ipv6 dhcprelay binding、clear ipv6 dhcprelay binding、show ipv6 dhcprelay statistics、clear ipv6 dhcprelay statistics の各コマンドが導入されました。 次の画面が変更されました。[Configuration] > [Device Management] > [DHCP] > [DHCP Relay] |
||
OSPFv3 |
OSPFv3 ルーティングが IPv6 に対してサポートされます。OSPFv2 および OSPFv3 に関する次の追加のガイドラインと制限事項に注意してください。 クラスタ
ipv6 ospf cost、ipv6 ospf database-filter all out、ipv6 ospf dead-interval、ipv6 ospf hello-interval、ipv6 ospf mtu-ignore、ipv6 ospf neighbor、ipv6 ospf network、ipv6 ospf priority、ipv6 ospf retransmit-interval、ipv6 ospf transmit-delay、ipv6 router ospf、ipv6 router ospf area、ipv6 router ospf default、ipv6 router ospf default-information、ipv6 router ospf distance、ipv6 router ospf exit、ipv6 router ospf ignore、ipv6 router ospf log-adjacency-changes、ipv6 router ospf no、ipv6 router ospf redistribute、ipv6 router ospf router-id、ipv6 router ospf summary-prefix、ipv6 router ospf timers、area range、area virtual-link、default、default-information originate、distance、ignore lsa mospf、log-adjacency-changes、redistribute、router-id、summary-prefix、timers lsa arrival、timers pacing flood、timers pacing lsa-group、timers pacing retransmission、show ipv6 ospf、show ipv6 ospf border-routers、show ipv6 ospf database-filter、show ipv6 ospf flood-list、show ipv6 ospf interface、show ipv6 ospf neighbor、show ipv6 ospf request-list、show ipv6 ospf retransmission-list、show ipv6 ospf summary-prefix、show ipv6 ospf virtual-links、show ospf、show run ipv6 router、clear ipv6 ospf、clear configure ipv6 router、debug ospfv3 の各コマンドが導入または変更されました。 次の画面が導入されました。 [Configuration] > [Device Setup] > [Routing] > [OSPFv3] > [Setup] [Configuration] > [Device Setup] > [Routing] > [OSPFv3] > [Interface] [Configuration] > [Device Setup] > [Routing] > [OSPFv3] > [Redistribution] [Configuration] > [Device Setup] > [Routing] > [OSPFv3] > [Summary Prefix] [Configuration] > [Device Setup] > [Routing] > [OSPFv3] > [Virtual Link] [Monitoring] > [Routing] > [OSPFv3 LSAs] [Monitoring] > [Routing] > [OSPFv3 Neighbors] |
||
IPv4 および IPv6 の統合 ACL |
ACL で IPv4 および IPv6 アドレスがサポートされるようになりました。送信元および宛先に対して IPv4 および IPv6 アドレスの組み合わせも指定できます。IPv6 固有の ACL は非推奨です。既存の IPv6 ACL は拡張 ACL に移行されます。 IPv6 アドレスが含まれている ACL は、SSL プロトコルを使用するように設定されたクライアントに適用できます。この機能は、IKEv2/IPsec プロトコルに対してはサポートされません。 次のコマンドが変更されました。access-list extended 、access-list webtype ipv6 access-list、ipv6 access-list webtype、ipv6-vpn-filter の各コマンドが削除されました。 次の画面が変更されました。 [Configuration] > [Firewall] > [Access Rules] [Configuration] > [Remote Access VPN] > [Network(Client)Access] > [Group Policies] > [General] > [More Options] |
||
IPv4 および IPv6 の混合オブジェクト グループ |
以前は、ネットワーク オブジェクト グループに含まれているのは、すべて IPv4 アドレスであるか、すべて IPv6 アドレスでなければなりませんでした。現在では、ネットワーク オブジェクト グループが、IPv4 と IPv6 の両方のアドレスの混合をサポートするようになりました。
次のコマンドが変更されました。object-group network - 次の画面が変更されました。[Configuration] > [Firewall] > [Objects] > [Network Objects/Groups] |
||
ネットワーク オブジェクトの IPv6 アドレスの範囲 |
ネットワーク オブジェクトの IPv6 アドレス範囲を設定できるようになりました。 次のコマンドが変更されました。range - 次の画面が変更されました。[Configuration] > [Firewall] > [Objects] > [Network Objects/Groups] |
||
IPv6 および NAT64 のインスペクションのサポート |
IPv6 トラフィックの DNS インスペクションがサポートされるようになりました。 また、次のインスペクションについて、IPv4 と IPv6 の間の変換がサポートされます。
また、サポートされていないインスペクションが IPv6 トラフィックを受信してドロップしたときに syslog メッセージ(767001)を生成するように、サービス ポリシーを設定できます。 service-policy fail-close コマンドが変更されました。 次の画面が変更されました。[Configuration] > [Firewall] > [Service Policy Rules] > [Add Service Policy Rule Wizard - Service Policy] |
||
リモート アクセス機能 |
|||
クライアントレス SSL VPN:追加サポート |
次のブラウザ、オペレーティング システム、Web テクノロジー、およびアプリケーションのサポートが追加されました。 インターネット ブラウザのサポート:Microsoft Internet Explorer 9、Firefox 4、5、6、7、および 8 オペレーティング システムのサポート:Mac OS X 10.7 Web テクノロジーのサポート:HTML 5 アプリケーションのサポート:SharePoint 2010 |
||
クライアントレス SSL VPN:リライタ エンジンの品質向上 |
クライアントレス SSL VPN リライタ エンジンの品質と有効性が大きく向上しました。その結果、クライアントレス SSL VPN ユーザーのエンドユーザー エクスペリエンスも向上が期待できます。 この機能に関して、追加または変更されたコマンドはありません。 この機能に関して、追加または変更された ASDM 画面はありません。 8.4(4.1) でも使用可能です。 |
||
クライアントレス SSL VPN:Citrix Mobile Receiver |
これは、モバイル デバイス上で実行される Citrix Receiver アプリケーションから XenApp および XenDesktop VDI サーバへの、ASA 経由のセキュア リモート アクセスを実現するための機能です。 ASA が Citrix Receiver と Citrix サーバとの間のプロキシとなる場合は、ユーザーが Citrix 仮想化リソースへの接続を試みるときに、Citrix サーバのアドレスとクレデンシャルの代わりに、ユーザーは ASA の SSL VPN IP アドレスとクレデンシャルを入力します。 vdi コマンドが変更されました。 次の画面が変更されました。[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Group Policy] > [Edit] > [More Options] > [VDI Access] > [Add VDI Server] |
||
クライアントレス SSL VPN:拡張自動サインオン |
この機能は、認証にダイナミック パラメータを必要とする Web アプリケーションのサポートを強化します。 次の画面が変更されました。[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Portal] > [Bookmarks] |
||
クライアントレス SSL VPN:クライアントレス Java リライタ プロキシ サポート |
この機能は、クライアントレス Java プラグインのためのプロキシ サポートを行います(クライアント マシンのブラウザでプロキシが設定されているとき)。 この機能に関して、追加または変更されたコマンドはありません。 この機能に関して、追加または変更された ASDM 画面はありません。 |
||
クライアントレス SSL VPN:Remote File Explorer |
Remote File Explorer は、企業ネットワークを Web ブラウザからブラウズするための機能です。ユーザーが Cisco SSL VPN ポータル ページの [Remote File System] アイコンをクリックすると、アプレットがユーザのシステムで起動され、リモート ファイル システムがツリーとフォルダ形式で表示されます。 この機能に関して、追加または変更されたコマンドはありません。 この機能に関して、追加または変更された ASDM 画面はありません。 |
||
クライアントレス SSL VPN:サーバ証明書の検証 |
この機能は、クライアントレス SSL VPN のサポートを拡張します。リモート HTTPS サイトの SSL サーバ証明書を、信頼済み CA 証明書のリストと比較して検証することができます。 次のコマンドが変更されました。ssl-server-check、crypto、crypto ca trustpool、crl、certificate、revocation-check 次の画面が変更されました。[Configuration] > [Remote Access VPN] > [Certificate Management] > [Trusted Certificate Pool] |
||
AnyConnect のパフォーマンスの向上 |
この機能は、マルチコア プラットフォームでの AnyConnect TLS/DTLS トラフィックのスループット パフォーマンスを高めます。これは SSL VPN データパスを高速化し、AnyConnect、スマート トンネル、およびポート フォワーディングに関して、ユーザーが認識可能なパフォーマンス向上を実現します。 crypto engine accelerator-bias、show crypto accelerator の各コマンドが変更されました。 次の画面が変更されました。[Configuration] > [Remote Access VPN] > [Advanced] > [Crypto Engine] |
||
カスタム属性 |
カスタム属性は、まだ ASDM に追加されていない AnyConnect 機能を定義し、設定します。カスタム属性をグループ ポリシーに追加し、その属性の値を定義します。 AnyConnect 3.1 については、カスタム属性は、AnyConnect Deferred Upgrade をサポートするために使用できます。 カスタム属性の利点は、AnyConnect クライアントが IKEv2/IPsec と SSL のどちらのプロトコルを使用するように設定されていても活用できます。 anyconnect-custom-attr コマンドが追加されました。 新しい画面が追加されました。[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Advanced] > [AnyConnect Custom Attributes] |
||
次世代暗号化 |
National Standards Association(NSA)は、暗号化強度に関する米国連邦規格に従うためにデバイスがサポートする必要がある、一連の暗号化アルゴリズムを定めています。RFC 6379 で Suite B 暗号化スイートが定義されています。NSA Suite B として定義されるアルゴリズムのセットは、全体で 1 つの標準になりつつあるため、AnyConnect IPSec VPN(IKEv2 のみ)および公開キー インフラストラクチャ(PKI)サブシステムでサポートされるようになりました。次世代暗号化(NGE)には、このセットよりも大きなスーパーセットが含まれており、IPsec V3 VPN のための暗号化アルゴリズムが追加されるほか、IKEv2 に対する Diffie-Hellman グループ 14 および 24、および DTLS と IKEv2 に対する RSA 証明書(4096 ビット キー)が追加されています。 次の機能は、Suite B のアルゴリズムをサポートするために ASA に追加されました。
新しい暗号化アルゴリズムが IPsecV3 に対して追加されました。
crypto ikev2 policy、crypto ipsec ikev2 ipsec-proposal、crypto key generate、crypto key zeroize、show crypto key mypubkey、show vpn-sessiondb の各コマンドが導入または変更されました。 次の画面が導入または変更されました。 [Monitor] > [VPN] > [Sessions] [Monitor] > [VPN] > [Encryption Statistics] [Configuration] > [Site-to-Site VPN] > [Certificate Management] > [Identity Certificates] [Configuration] > [Site-to-Site VPN] > [Advanced] > [System Options] [Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Advanced] > [IPsec] > [Crypto Maps] |
||
ASASM での VPN のサポート |
ASASM は、すべての VPN 機能をサポートするようになりました。 |
||
マルチ コンテキスト モード機能 |
|||
マルチ コンテキスト モードのサイトツーサイト VPN |
サイトツーサイト VPN トンネルが、マルチ コンテキスト モードでサポートされるようになりました。 |
||
サイトツーサイト VPN トンネルのための新しいリソース タイプ |
新しいリソース タイプ vpn other と vpn burst other が作成されました。これは、各コンテキストでのサイトツーサイト VPN トンネルの最大数を設定するためです。 limit-resource、show resource types、show resource usage、show resource allocation の各コマンドが変更されました。 次の画面が変更されました。[Configuration] > [Context Management] > [Resource Class] > [Add Resource Class] |
||
セキュリティ コンテキストでのダイナミック ルーティング |
EIGRP と OSPFv2 ダイナミック ルーティング プロトコルが、マルチ コンテキスト モードでサポートされるようになりました。OSPFv3、RIP、およびマルチキャスト ルーティングはサポートされません。 |
||
ルーティング テーブル エントリのための新しいリソース タイプ |
新規リソース クラス routes が作成されました。これは、各コンテキストでのルーティング テーブル エントリの最大数を設定するためです。 limit-resource、show resource types、show resource usage、show resource allocation の各コマンドが変更されました。 次の画面が変更されました。[Configuration] > [Context Management] > [Resource Class] > [Add Resource Class] |
||
マルチ コンテキスト モードのファイアウォール モードの混合がサポートされます。 |
セキュリティ コンテキスごとに個別のファイアウォール モードを設定できます。したがってその一部をトランスペアレント モードで実行し、その他をルーテッド モードで実行することができます。 firewall transparent コマンドが変更されました。 ASDM ではファイアウォール モードを設定できません。コマンドライン インターフェイスを使用する必要があります。 バージョン 8.5(1) でも使用可能です。 |
||
モジュール機能 |
|||
Cisco 7600 スイッチでの ASA サービス モジュールのサポート |
Cisco 7600 シリーズは、ASASM をサポートするようになりました。特定のハードウェアとソフトウェアの要件については、次の URL を参照してください。http://www.cisco.com/en/US/docs/security/asa/compatibility/asamatrx.html |
||
ASA CX SSP-10 と -20 に対する ASA 5585-X サポート |
ASA CX モジュールを使用すると、特定の状況の完全なコンテキストに基づいてセキュリティを強制することができます。このコンテキストには、ユーザーのアイデンティティ(誰が)、ユーザーがアクセスを試みているアプリケーションまたは Web サイト(何を)、アクセス試行の発生元(どこで)、アクセス試行の時間(いつ)、およびアクセスに使用されているデバイスのプロパティ(どのように)が含まれます。ASA CX モジュールを使用すると、フローの完全なコンテキストを抽出して、細分化したポリシーを適用することができます。たとえば、Facebook へのアクセスを許可するが Facebook でのゲームへのアクセスは禁止する、あるいは企業の機密データベースへのアクセスを財務担当者に許可するが他の社員には禁止するといったことが可能です。 capture、cxsc、cxsc auth-proxy、debug cxsc、hw-module module password-reset、hw-module module reload、hw-module module reset、hw-module module shutdown、session do setup host ip、session do get-config、session do password-reset、show asp table classify domain cxsc、show asp table classify domain cxsc-auth-proxy、show capture、show conn、show module、show service-policy の各コマンドが導入または変更されました。 次の画面が導入されました。 [Home] > [ASA CX Status] [Wizards] > [Startup Wizard] > [ASA CX Basic Configuration] [Configuration] > [Firewall > Service Policy Rules] > [Add Service Policy Rule] > [Rule Actions] > [ASA CX Inspection] 8.4(4.1) でも使用可能です。 |
||
SSP-10 および SSP-20 に対する ASA 5585-X デュアル SSP サポート(SSP-40 および SSP-60 に加えて)、デュアル SSP に対する VPN サポート |
ASA 5585-X は、すべての SSP モデルでデュアル SSP をサポートするようになりました(同一シャーシ内で同じレベルの SSP を 2 つ使用できます)。デュアル SSP を使用するときに VPN がサポートされるようになりました。 変更されたコマンドはありません。 変更された画面はありません。 |
バージョン 8.7 の新機能
ASA 8.7(1.1)/ASDM 6.7(1) の新機能
リリース:2012年10月16日
(注) |
バージョン 8.7(1) はビルドの問題により Cisco.com から削除されました。バージョン 8.7(1.1) またはそれ以降にアップグレードしてください。 |
機能 |
説明 |
---|---|
プラットフォーム機能 |
|
ASA 1000V のサポート |
Nexus 1000V スイッチと ASA 1000V のサポートが導入されました。 |
ASA 1000V のクローニング |
VM のクローニングを使用して、現在の配置に ASA 1000V のインスタンスを 1 つ以上追加できます。 |
管理機能 |
|
ASDM モード |
ASA 用の単一 GUI ベースのデバイス マネージャである Adaptive Security Device Manager(ASDM)を使用して、ASA 1000V を設定、管理、およびモニタできます。 |
VNMC モード |
複数のテナント用の GUI ベースのマルチデバイス マネージャである Cisco Virtual Network Management Center(VNMC)を使用して、ASA 1000V を設定および管理できます。 |
XML API |
Cisco VNMC によって提供されるアプリケーション プログラムのインターフェイスである XML API を使用して、ASA 1000V を設定および管理できます。この機能は VNMC モードだけで使用できます。 |
ファイアウォール機能 |
|
Cisco VNMC のアクセスと設定 |
Cisco VNMC のアクセスと設定では、セキュリティ プロファイルを作成する必要があります。ASDM で [Configuration] > [Device Setup] > [Interfaces] ペインを使用して Cisco VNMC へのアクセスを設定できます。Cisco VNMC にアクセスするには、ログインのユーザー名とパスワード、ホスト名、および共有秘密を入力します。その後、セキュリティ プロファイルおよびセキュリティ プロファイル インターフェイスを設定します。VNMC モードでは、CLI を使用して、セキュリティ プロファイルを設定します。 |
セキュリティ プロファイルとセキュリティ プロファイル インターフェイス |
セキュリティ プロファイルは、Cisco VNMC で設定され、Cisco Nexus 1000V VSM で割り当てられたエッジ セキュリティ プロファイルに対応するインターフェイスです。通過トラフィックのポリシーは、これらのインターフェイスと外部インターフェイスに割り当てられます。[Configuration] > [Device Setup] > [Interfaces] ペインを使用してセキュリティ プロファイルを追加できます。名前を追加し、サービス インターフェイスを選択することにより、セキュリティ プロファイルを作成します。ASDM は、Cisco VNMC により、セキュリティ プロファイルを生成し、セキュリティ プロファイル ID を割り当ててから自動的に一意のインターフェイスの名前を生成します。インターフェイス名は、セキュリティ ポリシー コンフィギュレーションで使用されます。 次のコマンドを導入または変更しました。interface security-profile、security-profile、mtu、vpath path-mtu、clear interface security-profile、clear configure interface security-profile、show interface security-profile、show running-config interface security-profile、show interface ip brief、show running-config mtu、show vsn ip binding、show vsn security-profile 次の画面が導入または変更されました。 [Configuration] > [Device Setup] > [Interfaces] [Configuration] > [Device Setup] > [Interfaces] > [Add Security Profile] [Monitoring] > [Interfaces] > [Security Profiles] |
サービス インターフェイス |
サービス インターフェイスは、セキュリティ プロファイル インターフェイスに関連付けられたイーサネット インターフェイスです。内部インターフェイスであることが必要なサービス インターフェイスを 1 つだけ設定できます。 コマンド service-interface security-profile all が導入されました。 次の画面が変更されました。[Configuration] > [Device Setup] > [Interfaces] |
VNMC ポリシー エージェント |
VNMC ポリシー エージェントは ASDM および VNMC モードの両方でポリシー設定をイネーブルにします。HTTPS 経由で Cisco VNMC から XML ベースの要求を受信し、ASA 1000V 設定に変換する Web サーバが含まれます。 次のコマンドが導入されました。vnmc policy-agent、login、shared-secret、registration host、vnmc org、show vnmc policy-agent、show running-config vnmc policy-agent、clear configure vnmc policy-agent 次の画面が変更されました。[Configuration] > [Device Setup] > [Interfaces] |
バージョン 8.6 の新機能
ASA 8.6(1)/ASDM 6.6(1) の新機能
リリース:2012 年 2 月 28 日
(注) |
この ASA ソフトウェア バージョンは、ASA 5512-X、ASA 5515-X、ASA 5525-X、ASA 5545-X、および ASA 5555-X でのみサポートされます。 バージョン 8.6(1) には、8.4(2) のすべての機能と、この表に表示されている機能が含まれています。 8.4(3) で追加された機能は、この表で明示されていない限り、8.6(1) には含まれていません。 |
機能 |
説明 |
||
---|---|---|---|
ハードウェアの機能 |
|||
ASA 5512-X ~ ASA 5555-X のサポート |
ASA 5512-X、ASA 5515-X、ASA 5525-X、ASA 5545-X、および ASA 5555-X のサポートが導入されました。 |
||
IPS 機能 |
|||
ASA 5512-X ~ ASA 5555-X に対する IPS SSP のサポート |
ASA 5512-X、ASA 5515-X、ASA 5525-X、ASA 5545-X、および ASA 5555-X に対する IPS SSP ソフトウェア モジュールのサポートが導入されました。 session、show module、sw-module の各コマンドが導入または変更されました。 変更された画面はありません。 |
||
リモート アクセス機能 |
|||
ブラウザでのクライアントレス SSL VPN のサポート |
ASA は、Microsoft Internet Explorer 9 および Firefox 4 を使用してクライアントレス SSL VPN をサポートするようになりました。 バージョン 8.4(3) でも使用可能です。 |
||
DTLS および TLS における圧縮 |
スループットを向上させるため、シスコは AnyConnect 3.0 以降で DTLS と TLS の圧縮をサポートするようになりました。各トンネリング メソッドは個別に圧縮を構成します。優先設定は SSL と DTLS の両方の圧縮を LZS とすることです。この機能は、従来の VPN クライアントからの移行を強化します。
次のコマンドを導入または変更しました。anyconnect dtls compression [lzs | none] および anyconnect ssl compression [deflate | lzs | none] 次の画面が変更されました。[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Group Policies] > [Edit] > [Edit Internal Group Policy] > [Advanced] > [AnyConnect Client] > [SSL Compression] バージョン 8.4(3) でも使用可能です。 |
||
クライアントレス SSL VPN セッション タイムアウト アラート |
ユーザーの VPN セッションが、無活動またはセッション タイムアウトにより終了することをユーザーに警告するカスタム メッセージを作成できます。 次のコマンドが導入されました。vpn-session-timeout alert-interval、vpn-idle-timeout alert-interval 次の画面が導入されました。 [Remote Access VPN] > [Configuration] > [Clientless SSL VPN Access] > [Portal] > [Customizations] > [Add/Edit] > [Timeout Alerts] [Remote Access VPN] > [Configuration] > [Clientless SSL VPN Access] > [Group Policies] > [Add/Edit General] バージョン 8.4(3) でも使用可能です。 |
||
マルチ コンテキスト モード機能 |
|||
MAC アドレス プレフィックスの自動生成 |
マルチ コンテキスト モードで、ASA が MAC アドレス自動生成のコンフィギュレーションを変換し、デフォルトのプレフィックスを使用できるようになりました。ASA は、インターフェイスの MAC アドレスの最後の 2 バイトに基づいてプレフィックスを自動生成します。この変換は、リロード時または MAC アドレス生成を再度イネーブルにすると、自動的に行われます。生成のプレフィックス方式は、セグメント上で一意の MAC アドレスがより適切に保証されるなど、多くの利点をもたらします。show running-config mac-address コマンドを入力して、自動生成されたプレフィックスを表示できます。プレフィックスを変更する場合、カスタム プレフィックスによって機能を再設定できます。MAC アドレス生成の従来の方法は使用できなくなります。
mac-address auto コマンドが変更されました。 次の画面が変更されました。[Configuration] > [Context Management] > [Security Contexts] |
||
AAA 機能 |
|||
属性あたりの最大 LDAP 値が増加 |
単一の属性に対して ASA が受け取ることができる値の最大数は、1000(デフォルト)から 5000 に増やされました。許可される範囲は 500 ~ 5000 です。設定された制限を超えた応答メッセージを受信した場合、ASA は認証を拒否します。ASA が、1000 を超える値を持つ単一の属性を検出した場合、ASA は情報 syslog 109036 を生成します。属性が 5000 を超える場合、ASA はエラー レベル syslog 109037 を生成します。 次のコマンドが導入されました。ldap-max-value-range number(このコマンドは aaa-server ホスト設定モードで入力します)。 ASDM ではこのコマンドはサポートされません。コマンドライン ツールを使用してコマンドを入力してください。 バージョン 8.4(3) でも使用可能です。 |
||
LDAP 検索結果の下位範囲のサポート |
サーバ設定に応じて、LDAP 検索が多数の値を持つ属性という結果になる場合、値のサブ範囲を返し、ASA が残りの値範囲に対して追加のクエリを開始することを予期することがあります。ASA は残りの範囲に対して複数のクエリを行い、応答を属性値の完全な配列に結合するようになりました。 バージョン 8.4(3) でも使用可能です。 |
||
トラブルシューティング機能 |
|||
show asp table classifier および show asp table filter コマンドの正規表現照合 |
出力をフィルタするために、show asp table classifier と show asp table filter コマンドは正規表現を使用して入力できるようになりました。 次のコマンドが変更されました。show asp table classifier match regex、show asp table filter match regex ASDM ではこのコマンドはサポートされません。コマンドライン ツールを使用してコマンドを入力してください。 バージョン 8.4(3) でも使用可能です。 |
バージョン 8.5 の新機能
ASA 8.5(1.7)/ASDM 6.5(1.101) の新機能
リリース:2012年3月5日
(注) |
解決される特定の問題がある場合にだけ、Cisco.com にポストされた ASA 暫定リリースにアップグレードすることを推奨します。実稼働環境で暫定リリースを実行する場合は、暫定リリースでは対象のテストだけが実行されることに注意してください。暫定リリースは、TAC Web サイトによって十分にサポートされ、通常、次のメンテナンス リリースが使用可能になるまでの期間だけダウンロード サイトに残されます。暫定リリースを実行することを選択した場合、使用可能になったときに、完全にテストされたメンテナンス リリース、または機能リリースにアップグレードすることを強く推奨します。 次のメンテナンスまたは機能リリースの時点で暫定リリース機能についてマニュアルを作成します。各 ASA 暫定リリースの解決済みの警告のリストについては、Cisco.com のソフトウェア ダウンロード サイトから入手可能な暫定リリース ノートを参照してください。 |
機能 |
説明 |
||
---|---|---|---|
ハードウェアの機能 |
|||
Catalyst 6500 スーパーバイザ 2T のサポート |
ASA は、現在、Catalyst 6500 スーパーバイザ 2T と相互運用できます。ハードウェアとソフトウェアの互換性については、次の URL を参照してください。http://www.cisco.com/en/US/docs/security/asa/compatibility/asamatrx.html
|
||
マルチ コンテキスト機能 |
|||
MAC アドレス プレフィックスの自動生成の ASDM サポート |
ASDM は、プレフィックスを指定していない場合に自動生成されたプレフィックスが使用されることを表示するようになりました。 次の画面が変更されました。[Configuration] > [Context Management] > [Security Contexts] |
||
フェールオーバー機能 |
|||
バルク同期中の接続複製レートの設定 |
ステートフル フェールオーバーを使用するときに、ASA で接続がスタンバイ装置に複製されるレートを設定できるようになりました。デフォルトでは、接続は 15 秒間隔でスタンバイ装置に複製されます。ただし、バルク同期が発生すると(たとえば、フェールオーバーを最初にイネーブルにしたときなど)、1 秒あたりの最大接続数の制限のために、大量の接続を同期するのに 15 秒では不十分な場合があります。たとえば、ASA での最大接続数を 800 万とします。800 万の接続を 15 秒間で複製するということは、1 秒あたり約 53.3 万の接続を作成するということです。しかし、1 秒あたりに許可される最大接続数は 30 万です。複製レートが 1 秒あたりの最大接続数以下になるように指定できるようになり、同期期間はすべての接続が同期されるまで調整されます。 failover replication rate rate コマンドが導入されました。 次の画面が変更されました。[Configuration] > [Device Management] > [High Availability] > [Failover] |
ASA 8.5(1.6)/ASDM 6.5(1) の新機能
リリース:2012年1月27日
(注) |
解決される特定の問題がある場合にだけ、Cisco.com にポストされた ASA 暫定リリースにアップグレードすることを推奨します。実稼働環境で暫定リリースを実行する場合は、暫定リリースでは対象のテストだけが実行されることに注意してください。暫定リリースは、TAC Web サイトによって十分にサポートされ、通常、次のメンテナンス リリースが使用可能になるまでの期間だけダウンロード サイトに残されます。暫定リリースを実行することを選択した場合、使用可能になったときに、完全にテストされたメンテナンス リリース、または機能リリースにアップグレードすることを強く推奨します。 次のメンテナンスまたは機能リリースの時点で暫定リリース機能についてマニュアルを作成します。各 ASA 暫定リリースの解決済みの警告のリストについては、Cisco.com のソフトウェア ダウンロード サイトから入手可能な暫定リリース ノートを参照してください。 |
機能 |
説明 |
||
---|---|---|---|
マルチ コンテキスト機能 |
|||
MAC アドレス プレフィックスの自動生成 |
マルチ コンテキスト モードで、ASA が MAC アドレス自動生成のコンフィギュレーションを変換し、デフォルトのプレフィックスを使用できるようになりました。ASA は、バックプレーンの MAC アドレスの最後の 2 バイトに基づいてプレフィックスを自動生成します。この変換は、リロード時または MAC アドレス生成を再度イネーブルにすると、自動的に行われます。生成のプレフィックス方式は、セグメント上で一意の MAC アドレスがより適切に保証されるなど、多くの利点をもたらします。show running-config mac-address コマンドを入力して、自動生成されたプレフィックスを表示できます。プレフィックスを変更する場合、カスタム プレフィックスによって機能を再設定できます。MAC アドレス生成の従来の方法は使用できなくなります。
mac-address auto コマンドが変更されました。 ASDM は変更されませんでした。 |
ASA 8.5(1)/ASDM 6.5(1) の新機能
リリース:2011年7月8日
この ASA および ASDM ソフトウェア バージョンは ASASM 上でのみサポートされます。
バージョン 8.5(1) には、8.4(1) のすべての機能と、この表に表示されている機能が含まれています。ただし、次の機能はペイロード暗号化なしのソフトウェアではサポートされず、このリリースは、ペイロード暗号化機能なしのリリースとしてだけ使用できます。
-
VPN
-
ユニファイド コミュニケーション
8.4(2) で追加された機能は、この表で明示されていない限り、8.5(1) には含まれていません。
機能 |
説明 |
||
---|---|---|---|
ハードウェアの機能 |
|||
ASA サービス モジュールのサポート |
Cisco Catalyst 6500 E スイッチに ASASM のサポートが導入されました。 |
||
ファイアウォール機能 |
|||
マルチ コンテキスト モードのファイアウォール モードの混合がサポートされます。 |
セキュリティ コンテキスごとに個別のファイアウォール モードを設定できます。したがってその一部をトランスペアレント モードで実行し、その他をルーテッド モードで実行することができます。 firewall transparent コマンドが変更されました。 ASDM ではファイアウォール モードを設定できません。コマンドライン インターフェイスを使用する必要があります。 |
||
インターフェイス機能 |
|||
MAC アドレスの自動生成がマルチ コンテキスト モードで、デフォルトでイネーブルになる |
MAC アドレスの自動生成は、マルチ コンテキスト モードで、デフォルトでイネーブルになりました。 mac address auto コマンドが変更されました。 次の画面が変更されました。[System] > [Configuration] > [Context Management] > [Security Contexts] |
||
NAT の機能 |
|||
アイデンティティ NAT の設定が可能なプロキシ ARP およびルート ルックアップ |
アイデンティティ NAT の以前のリリースでは、プロキシ ARP はディセーブルにされ、出力インターフェイスの決定には常にルート ルックアップが使用されていました。これらを設定することはできませんでした。8.4(2) 以降、アイデンティティ NAT のデフォルト動作は他のスタティック NAT コンフィギュレーションの動作に一致するように変更されました。これにより、デフォルトでプロキシ ARP はイネーブルにされ、NAT コンフィギュレーションにより出力インターフェイスが決定されるようになりました(指定されている場合)。これらの設定をそのまま残すこともできますし、個別にイネーブルまたはディセーブルにすることもできます。通常のスタティック NAT のプロキシ ARP をディセーブルにすることもできるようになっています。 8.3 よりも前の設定の場合、8.4(2) 以降への NAT 免除ルール(nat 0 access-list コマンド)の移行には、プロキシ ARP をディセーブルにするキーワード no-proxy-arp およびルート ルックアップを使用するキーワード route-lookup があります。8.3(2) および 8.4(1) への移行に使用された unidirectional キーワードは、移行に使用されなくなりました。8.3(1)、8.3(2)、8.4(1) から 8.4(2) にアップグレードすると、既存機能を保持するため、すべてのアイデンティティ NAT コンフィギュレーションに no-proxy-arp キーワードと route-lookup キーワードが含まれるようになっています。unidirectional キーワードは削除されました。 nat static [no-proxy-arp] [route-lookup](オブジェクト ネットワーク)、および nat source static [no-proxy-arp] [route-lookup](グローバル)コマンドが変更されました。 次の画面が変更されました。 [Configuration] > [Firewall] > [NAT Rules] > [Add/Edit Network Object] > [Advanced NAT Settings] [Configuration] > [Firewall] > [NAT Rules] > [Add/Edit NAT Rule] バージョン 8.4(2) でも使用可能です。 |
||
PAT プールおよびラウンド ロビン アドレス割り当て |
1 つのアドレスの代わりに、PAT アドレスのプールを指定できるようになりました。また、オプションで、PAT アドレスのすべてのポートを使用してからプール内の次のアドレスを使用するのではなく、PAT アドレスのラウンドロビン割り当てをイネーブルにすることもできます。これらの機能は、1 つの PAT アドレスで多数の接続を行っている場合にそれが DoS 攻撃の対象となることを防止するのに役立ちます。またこの機能により、多数の PAT アドレスを簡単に設定できます。
nat dynamic [pat-pool mapped_object [round-robin]](オブジェクト ネットワーク)、および nat source dynamic [pat-pool mapped_object [round-robin]](グローバル)コマンドが変更されました。 次の画面が変更されました。 [Configuration] > [Firewall] > [NAT Rules] > [Add/Edit Network Object] [Configuration] > [Firewall] > [NAT Rules] > [Add/Edit NAT Rule] バージョン 8.4(2) でも使用可能です。 |
||
スイッチ統合機能 |
|||
自動ステート |
スイッチのスーパーバイザ エンジンは、ASA VLAN に関連付けられている物理インターフェイスのステータスに関して、自動ステート メッセージを ASASM に送信できます。たとえば、VLAN に関連付けられているすべての物理インターフェイスがダウンすると、自動ステート メッセージにより、VLAN がダウンしていることが ASA に通知されます。ASA では、この情報を受けて、VLAN をダウンとして宣言し、いずれの側でリンク障害が発生しているかを判別するために通常必要となるインターフェイス モニタリング テストをバイパスできます。自動ステート メッセージングにより、ASA がリンク障害を検出するのに要する時間が大幅に短縮されます(自動ステートがサポートされていない場合の最長 45 秒と比較すると、数ミリ秒も短縮されます)。
次の Cisco IOS コマンドを参照してください。firewall autostate。 |
||
仮想スイッチング システム |
ASASM は、スイッチに設定された場合に VSS をサポートします。ASA 設定は必要ありません。 |
バージョン 8.4 の新機能
ASA 8.4(7)/ASDM 7.1(3) の新機能
リリース:2013年9月3日
ASA 8.4(7)/ASDM 7.1(3) には新機能はありませんでした。
ASA 8.4(6)/ASDM 7.1(2.102) の新機能
リリース:2013年4月29日
機能 |
説明 |
---|---|
モニタリング機能 |
|
メモリの上位 10 ユーザーの表示機能 |
上位割り当て済み bin サイズと割り当て済みの bin サイズごとの上位 10 PC を表示することができます。以前は、この情報を見るためには、複数のコマンド(show memory detail コマンドと show memory binsize コマンド)の入力が必要でした。新しいコマンドにより、メモリの問題の迅速な分析が可能です。 次のコマンドが導入されました。show memory top-usage ASDM の変更はありません。 この機能は、8.5(1)、8.6(1)、8.7(1)、9.0(1)、9.1(1)では、利用できません。 |
CPU プロファイルの拡張機能 |
cpu profile activate コマンドが、以下をサポートするようになりました。
次のコマンドが変更されました。cpu profile activate [n-samples] [sample-process process-name] [trigger cpu-usage cpu% [process-name] ASDM の変更はありません。 この機能は、8.5(1)、8.6(1)、8.7(1)、9.0(1)、9.1(1)では、利用できません。 |
リモート アクセス機能 |
|
user-storage value コマンドのパスワードの show コマンドでの暗号化 |
show running-config コマンドを入力すると、user-storage value コマンドのパスワードは暗号化されます。 次のコマンドが変更されました。user-storage value 次の画面が変更されました。[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Group Policies] > [More Options] > [Session Settings] この機能は、8.5(1)、8.6(1)、8.7(1)、9.0(1)、9.1(1)では、利用できません。 |
ASA 8.4(5)/ASDM 7.0(2) の新機能
リリース:2012年10月31日
機能 |
説明 |
---|---|
ファイアウォール機能 |
|
EtherType ACL による IS-IS トラフィック(トランスペアレント ファイアウォール モード)のサポート |
トランスペアレント ファイアウォール モードでは、ASA が EtherType ACL を使用して IS-IS トラフィックを渡すことができるようになりました。 access-list ethertype {permit | deny} is-is コマンドが変更されました。 次の画面が変更されました。[Configuration] > [Device Management] > [Management Access] > [EtherType Rules] この機能は、8.5(1)、8.6(1)、8.7(1)、9.0(1)、9.1(1)では、利用できません。 |
間接接続されたサブネットの ARP キャッシュの追加 |
ASA ARP キャッシュには、直接接続されたサブネットからのエントリだけがデフォルトで含まれています。また、ARP キャッシュに間接接続されたサブネットを含めることができるようになりました。セキュリティ リスクを認識していない場合は、この機能をイネーブルにすることは推奨しません。この機能は、ASA に対するサービス拒否(DoS)攻撃を助長する場合があります。任意のインターフェイスのユーザが大量の ARP 応答を送信して、偽エントリで ASA ARP テーブルがあふれる可能性があります。 次の機能を使用する場合は、この機能を使用する必要がある可能性があります。
arp permit-nonconnected コマンドが導入されました。 次の画面が変更されました。[Configuration] > [Device Management] > [Advanced]> [ARP] > [ARP Static Table] この機能は、8.5(1)、8.6(1)、または 8.7(1) では使用できません。 |
サービス ポリシー ルールの最大接続数の引き上げ |
サービス ポリシー ルールの最大接続数が 65535 から 2000000 に引き上げられました。 set connection conn-max、set connection embryonic-conn-max、set connection per-client-embryonic-max、set connection per-client-max の各コマンドが変更されました。 次の画面が変更されました。[Configuration] > [Firewall] > [Service Policy Rules] > [Connection Settings] この機能は、8.5(1)、8.6(1)、または 8.7(1) では使用できません。 |
リモート アクセス機能 |
|
ホスト スキャンおよび ASA 相互運用性の改善 |
ホスト スキャンおよび ASA のプロセスが改善され、クライアントから ASA にポスチャ属性が転送できます。つまり、クライアントとの VPN 接続を確立し、ダイナミック アクセス ポリシーを適用するために、ASA はより長い時間を割くことができます。 この機能は、8.5(1)、8.6(1)、8.7(1)、9.0(1)、9.1(1)では、利用できません。 |
Cisco Secure Desktop:Windows 8 のサポート |
CSD 3.6.6215 がアップデートされ、プリログイン ポリシーのオペレーティング システムのチェックで Windows 8 が選択できるようになりました。 次の制限事項を確認してください。
|
Dynamic Access Policies:Windows 8 のサポート |
ASDM がアップデートされ、DAP オペレーティング システム属性で Windows 8 が選択できるようになりました。 |
モニタリング機能 |
|
Xlate カウントへのポーリング可能にする NAT-MIB cnatAddrBindNumberOfEntries および cnatAddrBindSessionCount OID。 |
SNMP の xlate_count および max_xlate_count に、NAT-MIB cnatAddrBindNumberOfEntries および cnatAddrBindSessionCount OID がサポートされるようになりました。 このデータは、show xlate count コマンドと同等です。 この機能は、8.5(1)、8.6(1)、8.7(1)、9.0(1)、9.1(1)では、利用できません。 |
NSEL |
フロー トラフィックの定期的なバイト カウンタを提供するために flow-update イベントが導入されました。flow-update イベントが NetFlow コレクタに送信される時間間隔を変更できます。flow-update レコードを送信するコレクタをフィルタリングできます。 次のコマンドが導入されました。flow-export active refresh-interval 次のコマンドが変更されました。flow-export event-type 次の画面が変更されました。 [Configuration] > [Device Management] > [Logging] > [NetFlow] [Configuration] > [Firewall] > [Service Policy Rules] > [Add Service Policy Rule Wizard - Rule Actions] > [NetFlow] > [Add Flow Event] この機能は、8.5(1)、8.6(1)、8.7(1)、9.0(1)、9.1(1)では、利用できません。 |
ハードウェアの機能 |
|
ASA 5585-X DC 電源サポート |
ASA 5585-X DC 電源のサポートが追加されました。 この機能は、8.5(1)、8.6(1)、8.7(1)、9.0(1)、9.1(1)では、利用できません。 |
ASA 8.4(4.5)/ASDM 6.4(9.103) の新機能
リリース:2012年8月13日
(注) |
バージョン 8.4(4.3) はビルドの問題により Cisco.com から削除されました。バージョン 8.4(4.5) またはそれ以降にアップグレードしてください。 解決される特定の問題がある場合にだけ、Cisco.com にポストされた暫定リリースにアップグレードすることを推奨します。実稼働環境で暫定リリースを実行する場合は、暫定リリースでは対象のテストだけが実行されることに注意してください。暫定リリースは、TAC Web サイトによって十分にサポートされ、次のメンテナンス リリースが使用可能になるまでの期間だけダウンロード サイトに残されます。暫定リリースを実行することを選択した場合、使用可能になったときに、完全にテストされたメンテナンス リリース、または機能リリースにアップグレードすることを強く推奨します。次のメンテナンスまたは機能リリースの時点で暫定リリース機能についてマニュアルを作成します。 各暫定リリースの解決済みの警告のリストについては、Cisco.com のソフトウェア ダウンロード サイトから入手可能な暫定リリース ノートを参照してください。 |
機能 |
説明 |
---|---|
ファイアウォール機能 |
|
間接接続されたサブネットの ARP キャッシュの追加 |
ASA ARP キャッシュには、直接接続されたサブネットからのエントリだけがデフォルトで含まれています。また、ARP キャッシュに間接接続されたサブネットを含めることができるようになりました。セキュリティ リスクを認識していない場合は、この機能をイネーブルにすることは推奨しません。この機能は、ASA に対するサービス拒否(DoS)攻撃を助長する場合があります。任意のインターフェイスのユーザが大量の ARP 応答を送信して、偽エントリで ASA ARP テーブルがあふれる可能性があります。 次の機能を使用する場合は、この機能を使用する必要がある可能性があります。
arp permit-nonconnected コマンドが導入されました。 次の画面が変更されました。[Configuration] > [Device Management] > [Advanced]> [ARP] > [ARP Static Table] この機能は、8.5(1)、8.6(1)、または 8.7(1) では使用できません。 |
モニタリング機能 |
|
Xlate カウントへのポーリング可能にする NAT-MIB cnatAddrBindNumberOfEntries および cnatAddrBindSessionCount OID。 |
SNMP の xlate_count および max_xlate_count に、NAT-MIB cnatAddrBindNumberOfEntries および cnatAddrBindSessionCount OID がサポートされるようになりました。 このデータは、show xlate count コマンドと同等です。 この機能は、8.5(1)、8.6(1)、8.7(1)、9.0(1)、9.1(1)では、利用できません。 |
ASA 8.4(4.1)/ASDM 6.4(9) の新機能
リリース:2012年6月18日
(注) |
バージョン 8.4(4) はビルドの問題により Cisco.com から削除されました。バージョン 8.4(4.1) またはそれ以降にアップグレードしてください。 |
機能 |
説明 |
---|---|
認定機能 |
|
FIPS 認定および Common Criteria 認定 |
Cisco ASA 5500 シリーズのレベル 2 FIPS 140-2 検証の一部として、FIPS 140-2 標準セキュリティ ポリシーが更新されました。Cisco ASA 5505、ASA 5510、ASA 5520、ASA 5540、ASA 5550、ASA 5580、および ASA 5585-X が対象です。 Common Criteria Evaluation Assurance Level 4(EAL4)が更新されました。これにより、Cisco ASA および VPN プラットフォーム ソリューションの特定の Target Of Evaluation(TOE)の基準が提供されます。 この機能は、8.5(1)、8.6(1)、8.7(1)、9.0(1)、9.0(2)、9.1(1) では、利用できません。 |
ローカル データベースを使用する場合の管理者パスワード ポリシーのサポート |
ローカル データベースを使用して CLI または ASDM アクセスの認証を設定する場合は、指定期間を過ぎるとユーザーにパスワードの変更を要求し、パスワードの最短長と最低変更文字数などのパスワード標準に従うことを要求するパスワード ポリシーを設定できます。 次のコマンドを導入または変更しました。change-password、password-policy lifetime、password-policy minimum changes、password-policy minimum-length、password-policy minimum-lowercase、password-policy minimum-uppercase、password-policy minimum-numeric、password-policy minimum-special、password-policy authenticate enable、clear configure password-policy、show running-config password-policy 次の画面が導入されました。[Configuration] > [Device Management] > [Users/AAA] > [Password Policy] この機能は、8.5(1)、8.6(1)、8.7(1)、9.0(1)、9.0(2)、9.1(1) では、利用できません。 |
SSH 公開キー認証のサポート |
ASA への SSH 接続の公開キー認証は、最大 2048 ビットの Base64 キーを使用してユーザー単位で有効にできるようになりました。 次のコマンドが導入されました。ssh authenticaion。 次の画面が導入されました。[Configuration] > [Device Management] > [Users/AAA] > [User Accounts] > [Edit User Account] > [Public Key Authentication] この機能は、8.5(1)、8.6(1)、8.7(1)、9.0(1)、9.0(2)、9.1(1) では、利用できません。 |
SSH キー交換の Diffie-Hellman グループ 14 のサポート |
SSH キー交換に Diffie-Hellman グループ 14 が追加されました。これまでは、グループ 1 だけがサポートされていました。 次のコマンドが導入されました。ssh key-exchange。 次の画面が変更されました。[Configuration] > [Device Management] > [Management Access] > [ASDM/HTTPS/Telnet/SSH] この機能は、8.5(1)、8.6(1)、8.7(1)、9.0(1)、9.0(2)、9.1(1) では、利用できません。 |
管理セッションの最大数のサポート |
同時 ASDM、SSH、Telnet セッションの最大数を設定できます。 次のコマンドが導入されました。quota management-session、show running-config quota management-session、show quota management-session。 次の画面が導入されました。[Configuration] > [Device Management] > [Management Access] > [Management Session Quota] この機能は、8.5(1)、8.6(1)、8.7(1)、9.0(1)、9.0(2)、9.1(1) では、利用できません。 |
SSL 暗号化用の追加のエフェメラル Diffie-Hellman 暗号 |
ASA で次のエフェメラル Diffie-Hellman(DHE)SSL 暗号スイートがサポートされるようになりました。
これらの暗号スイートは、RFC 3268『Advanced Encryption Standard (AES) Ciphersuites for Transport Layer Security (TLS)』で指定されています。 DHE では完全転送秘密が提供されるため、クライアントでサポートされている場合、DHE は推奨される暗号です。次の制限事項を確認してください。
ssl encryption コマンドが変更されました。 次の画面が変更されました。[Configuration] > [Device Management] > [Advanced] > [SSL Settings] この機能は、8.5(1)、8.6(1)、8.7(1)、9.0(1)、9.0(2)、9.1(1) では、利用できません。 |
イメージ検証 |
SHA-512 イメージ整合性チェックのサポートが追加されました。 次のコマンドが変更されました。verify この機能は、8.5(1)、8.6(1)、8.7(1)、9.0(1)、9.0(2)、9.1(1) では、利用できません。 |
疑似乱数生成の向上 |
エントロピー追加のためのハードウェアベースのノイズが、ソフトウェアベースの乱数生成プロセスに追加されました。この変更により、疑似乱数生成(PRNG)はよりランダムになり、攻撃者が繰り返し可能なパターンを入手したり、暗号化および復号化操作で使用される次の乱数を推測したりすることがより困難になります。PRNG の向上のために、次の 2 つの変更が行われました。
次のコマンドが導入されました。show debug menu cts [128 | 129] この機能は、8.5(1)、8.6(1)、8.7(1)、9.0(1)、9.0(2)、9.1(1) では、利用できません。 |
リモート アクセス機能 |
|
クライアントレス SSL VPN:リライタ エンジンの品質向上 |
クライアントレス SSL VPN リライタ エンジンの品質と有効性が大きく向上しました。その結果、クライアントレス SSL VPN ユーザーのエンドユーザー エクスペリエンスも向上が期待できます。 この機能に関して、追加または変更されたコマンドはありません。 この機能に関して、追加または変更された ASDM 画面はありません。 この機能は、8.5(1)、8.6(1)、または 8.7(1) では使用できません。 |
フェールオーバー機能 |
|
バルク同期中の接続複製レートの設定 |
ステートフル フェールオーバーを使用するときに、ASA で接続がスタンバイ装置に複製されるレートを設定できるようになりました。デフォルトでは、接続は 15 秒間隔でスタンバイ装置に複製されます。ただし、バルク同期が発生すると(たとえば、フェールオーバーを最初にイネーブルにしたときなど)、1 秒あたりの最大接続数の制限のために、大量の接続を同期するのに 15 秒では不十分な場合があります。たとえば、ASA での最大接続数を 800 万とします。800 万の接続を 15 秒間で複製するということは、1 秒あたり約 53.3 万の接続を作成するということです。ただし、1 秒あたりに許可される最大接続数は 30 万です。複製レートが 1 秒あたりの最大接続数以下になるように指定できるようになり、同期期間はすべての接続が同期されるまで調整されます。 failover replication rate rate コマンドが導入されました。 この機能は、8.6(1) または 8.7(1) では使用できません。この機能は、8.5(1.7) にもあります。 |
アプリケーション インスペクション機能 |
|
ダイナミック ACL からピンホール メカニズムへの SunRPC の変更 |
これまでは、Sun RPC インスペクションは発信アクセス リストをサポートしません。これは、インスペクション エンジンでセカンダリ接続でなくダイナミック アクセス リストが使用されるためです。 このリリースでは、ASA でダイナミック アクセス リストを設定すると、入力方向のみでサポートされ、ダイナミック ポート宛ての出トラフィックは ASA によってドロップされます。したがって、Sun RPC インスペクションは、ピンホール メカニズムを設定して出力トラフィックをサポートします。Sun RPC インスペクションは、このピンホール メカニズムを使用して発信ダイナミック アクセス リストをサポートします。 この機能は、8.5(1)、8.6(1)、または 8.7(1) では使用できません。 |
インスペクション リセット アクションの変更 |
これまでは、インスペクション エンジン ルールに従って ASA によってパケットがドロップされると、ドロップされたパケットのソース デバイスに RST が 1 つのみ送信されました。この動作により、リソースの問題が発生する可能性があります。 このリリースでは、リセット アクションを使用するようにインスペクション エンジンを設定し、パケットによってリセットがトリガーされると、次の条件で ASA によって TCP リセットが送信されます。
詳細については、ASA コマンド リファレンスの service コマンドを参照してください。 この動作によって、リセット アクションが ASA および内部サーバの接続をリセットすることが確実になります。したがって、DoS 攻撃を防ぎます。外部ホストの場合、ASA はリセットをデフォルトで送信せず、TCP リセットによって情報が公開されません。 この機能は、8.5(1)、8.6(1)、または 8.7(1) では使用できません。 |
モジュール機能 |
|
ASA CX SSP-10 と -20 に対する ASA 5585-X サポート |
ASA CX モジュールを使用すると、特定の状況の完全なコンテキストに基づいてセキュリティを強制することができます。このコンテキストには、ユーザーのアイデンティティ(誰が)、ユーザーがアクセスを試みているアプリケーションまたは Web サイト(何を)、アクセス試行の発生元(どこで)、アクセス試行の時間(いつ)、およびアクセスに使用されているデバイスのプロパティ(どのように)が含まれます。ASA CX モジュールを使用すると、フローの完全なコンテキストを抽出して、細分化したポリシーを適用することができます。たとえば、Facebook へのアクセスを許可するが Facebook でのゲームへのアクセスは禁止する、あるいは企業の機密データベースへのアクセスを財務担当者に許可するが他の社員には禁止するといったことが可能です。 capture、cxsc、cxsc auth-proxy、debug cxsc、hw-module module password-reset、hw-module module reload、hw-module module reset、hw-module module shutdown、session do setup host ip、session do get-config、session do password-reset、show asp table classify domain cxsc、show asp table classify domain cxsc-auth-proxy、show capture、show conn、show module、show service-policy の各コマンドが導入または変更されました。 次の画面が導入されました。 [Home] > [ASA CX Status][Wizards] > [Startup Wizard] > [ASA CX Basic Configuration] [Configuration] > [Firewall > Service Policy Rules] > [Add Service Policy Rule] > [Rule Actions] > [ASA CX Inspection] |
ASA 5585-X のネットワーク モジュール サポート |
ASA 5585-X が、スロット 1 でネットワーク モジュール上の追加インターフェイスをサポートするようになりました。次のオプション ネットワーク モジュールの 1 つまたは 2 つをインストールできます。
この機能は、9.0(1)、9.0(2)、または 9.1(1) では使用できません。 |
ASA 8.4(3)/ASDM 6.4(7) の新機能
リリース:2012 年 1 月 9 日
機能 |
説明 |
||
---|---|---|---|
NAT の機能 |
|||
ラウンドロビン PAT プール割り当てで、既存のホストの同じ IP アドレスを使用する |
ラウンドロビン割り当てで PAT プールを使用するときに、ホストに既存の接続がある場合、そのホストからの後続の接続では、ポートが使用可能であれば同じ PAT IP アドレスが使用されます。 変更されたコマンドはありません。 変更された画面はありません。 この機能は、8.5(1) または 8.6(1) では使用できません。 |
||
PAT プールの PAT ポートのフラットな範囲 |
使用できる場合、実際の送信元ポート番号がマッピング ポートに対して使用されます。ただし、実際のポートが使用できない場合は、デフォルトで、マッピング ポートは実際のポート番号と同じポート範囲(0 ~ 511、512 ~ 1023、および 1024 ~ 65535)から選択されます。そのため、1024 よりも下のポートには、小さい PAT プールのみがあります。 下位ポート範囲を使用するトラフィックが数多くある場合は、PAT プールを使用するときに、サイズが異なる 3 つの層の代わりにフラットなポート範囲を使用するように指定できます。1024 ~ 65535 または 1 ~ 65535 です。 次のコマンドが変更されました。nat dynamic [pat-pool mapped_object [flat [include-reserve]]](オブジェクト ネットワーク設定モード)および nat source dynamic [pat-pool mapped_object [flat [include-reserve]]](グローバル設定モード) 次の画面が変更されました。 [Configuration] > [Firewall] > [NAT Rules] > [Add/Edit Network Object] [Configuration] > [Firewall] > [NAT Rules] > [Add/Edit NAT Rule] この機能は、8.5(1) または 8.6(1) では使用できません。 |
||
PAT プールの拡張 PAT |
各 PAT IP アドレスでは、最大 65535 個のポートを使用できます。65535 個のポートで変換が不十分な場合は、PAT プールに対して拡張 PAT をイネーブルにすることができます。拡張 PAT では、変換情報の宛先アドレスとポートを含め、IP アドレスごとではなく、サービスごとに 65535 個のポートが使用されます。 次のコマンドが変更されました。nat dynamic [pat-pool mapped_object [extended]](オブジェクト ネットワーク設定モード)および nat source dynamic [pat-pool mapped_object [extended]](グローバル設定モード) 次の画面が変更されました。 [Configuration] > [Firewall] > [NAT Rules] > [Add/Edit Network Object] [Configuration] > [Firewall] > [NAT Rules] > [Add/Edit NAT Rule] この機能は、8.5(1) または 8.6(1) では使用できません。 |
||
PAT xlate に対する設定可能なタイムアウト |
PAT xlate がタイムアウトし(デフォルトでは 30 秒後)、ASA が新しい変換用にポートを再使用すると、一部のアップストリーム ルータは、前の接続がアップストリーム デバイスで依然として開いている可能性があるため、この新しい接続を拒否する場合があります。PAT xlate のタイムアウトを、30 秒~ 5 分の範囲内の値に設定できるようになりました。 timeout pat-xlate コマンドが導入されました。 次の画面が変更されました。[Configuration] > [Firewall] > [Advanced] > [Global Timeouts] この機能は、8.5(1) または 8.6(1) では使用できません。 |
||
VPN ピアのローカル IP アドレスを変換してピアの実際の IP アドレスに戻す自動 NAT ルール |
まれに、内部ネットワークで、割り当てられたローカル IP アドレスではなく、VPN ピアの実際の IP アドレスを使用する場合があります。VPN では通常、内部ネットワークにアクセスするために、割り当てられたローカル IP アドレスがピアに指定されます。ただし、内部サーバーおよびネットワーク セキュリティがピアの実際の IP アドレスに基づく場合などに、ローカル IP アドレスを変換してピアの実際のパブリック IP アドレスに戻す場合があります。 この機能は、トンネル グループごとに 1 つのインターフェイスでイネーブルにすることができます。VPN セッションが確立または切断されると、オブジェクト NAT ルールが動的に追加および削除されます。ルールは show nat コマンドを使用して表示できます。
nat-assigned-to-public-ip interface コマンド(トンネル グループ一般属性コンフィギュレーション モード)が導入されました。 ASDM ではこのコマンドはサポートされません。コマンドライン ツールを使用してコマンドを入力してください。 |
||
リモート アクセス機能 |
|||
ブラウザでのクライアントレス SSL VPN のサポート |
ASA は、Microsoft Internet Explorer 9 および Firefox 4 を使用してクライアントレス SSL VPN をサポートするようになりました。 |
||
DTLS および TLS における圧縮 |
スループットを向上させるため、シスコは AnyConnect 3.0 以降で DTLS と TLS の圧縮をサポートするようになりました。各トンネリング メソッドは個別に圧縮を構成します。優先設定は SSL と DTLS の両方の圧縮を LZS とすることです。この機能は、従来の VPN クライアントからの移行を強化します。
次のコマンドを導入または変更しました。anyconnect dtls compression [lzs | none] および anyconnect ssl compression [deflate | lzs | none] 次の画面が変更されました。[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Group Policies] > [Edit] > [Edit Internal Group Policy] > [Advanced] > [AnyConnect Client] > [SSL Compression] |
||
クライアントレス SSL VPN セッション タイムアウト アラート |
ユーザーの VPN セッションが、無活動またはセッション タイムアウトにより終了することをユーザーに警告するカスタム メッセージを作成できます。 次のコマンドが導入されました。vpn-session-timeout alert-interval、vpn-idle-timeout alert-interval 次の画面が導入されました。 [Remote Access VPN] > [Configuration] > [Clientless SSL VPN Access] > [Portal] > [Customizations] > [Add/Edit] > [Timeout Alerts] [Remote Access VPN] > [Configuration] > [Clientless SSL VPN Access] > [Group Policies] > [Add/Edit General] |
||
AAA 機能 |
|||
属性あたりの最大 LDAP 値が増加 |
単一の属性に対して ASA が受け取ることができる値の最大数は、1000(デフォルト)から 5000 に増やされました。許可される範囲は 500 ~ 5000 です。設定された制限を超えた応答メッセージを受信した場合、ASA は認証を拒否します。ASA が、1000 を超える値を持つ単一の属性を検出した場合、ASA は情報 syslog 109036 を生成します。属性が 5000 を超える場合、ASA はエラー レベル syslog 109037 を生成します。 次のコマンドが導入されました。ldap-max-value-range number(このコマンドは aaa-server ホスト設定モードで入力します)。 ASDM ではこのコマンドはサポートされません。コマンドライン ツールを使用してコマンドを入力してください。 |
||
LDAP 検索結果の下位範囲のサポート |
サーバ設定に応じて、LDAP 検索が多数の値を持つ属性という結果になる場合、値のサブ範囲を返し、ASA が残りの値範囲に対して追加のクエリを開始することを予期することがあります。ASA は残りの範囲に対して複数のクエリを行い、応答を属性値の完全な配列に結合するようになりました。 |
||
ASA からの RADIUS アクセス要求パケットおよびアカウンティング要求パケットでの主なベンダー固有属性(VSA)の送信 |
4 つの新しい VSA:Tunnel Group Name(146)および Client Type(150)は、ASA からの RADIUS アクセス要求パケットで送信されます。Session Type(151)および Session Subtype(152)は、ASA からの RADIUS アカウンティング要求パケットで送信されます。4 つのすべての属性が、すべてのアカウンティング要求パケット タイプ(開始、中間アップデート、および終了)に送信されます。RADIUS サーバー(ACS や ISE など)は、認可属性やポリシー属性を強制適用したり、アカウンティングや課金のためにそれらの属性を使用したりできます。 |
||
トラブルシューティング機能 |
|||
show asp table classifier および show asp table filter コマンドの正規表現照合 |
出力をフィルタするために、show asp table classifier と show asp table filter コマンドは正規表現を使用して入力できるようになりました。 次のコマンドが変更されました。show asp table classifier match regex、show asp table filter match regex ASDM ではこのコマンドはサポートされません。コマンドライン ツールを使用してコマンドを入力してください。 |
ASA 8.4(2.8)/ASDM 6.4(5.106) の新機能
リリース:2011年8月31日
(注) |
解決される特定の問題がある場合にだけ、Cisco.com にポストされた ASA 暫定リリースにアップグレードすることを推奨します。実稼働環境で暫定リリースを実行する場合は、暫定リリースでは対象のテストだけが実行されることに注意してください。暫定リリースは、TAC Web サイトによって十分にサポートされ、通常、次のメンテナンス リリースが使用可能になるまでの期間だけダウンロード サイトに残されます。暫定リリースを実行することを選択した場合、使用可能になったときに、完全にテストされたメンテナンス リリース、または機能リリースにアップグレードすることを強く推奨します。 次のメンテナンスまたは機能リリースの時点で暫定リリース機能についてマニュアルを作成します。 各 ASA 暫定リリースの解決済みの警告のリストについては、Cisco.com のソフトウェア ダウンロード サイトから入手可能な暫定リリース ノートを参照してください。 |
機能 |
説明 |
||
---|---|---|---|
リモート アクセス機能 |
|||
ブラウザでのクライアントレス SSL VPN のサポート |
ASA は、Microsoft Internet Explorer 9 および Firefox 4 を使用してクライアントレス SSL VPN をサポートするようになりました。 バージョン 8.2(5.13) および 8.3.2(25) でも使用可能です。 |
||
DTLS および TLS における圧縮 |
スループットを向上させるため、シスコは AnyConnect 3.0 以降で DTLS と TLS の圧縮をサポートするようになりました。各トンネリング メソッドは個別に圧縮を構成します。優先設定は SSL と DTLS の両方の圧縮を LZS とすることです。この機能は、従来の VPN クライアントからの移行を強化します。
次のコマンドを導入または変更しました。anyconnect dtls compression [lzs | none] および anyconnect ssl compression [deflate | lzs | none] 次の画面が変更されました。[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Group Policies] > [Edit] > [Edit Internal Group Policy] > [Advanced] > [AnyConnect Client] > [SSL Compression] バージョン 8.2(5.13) および 8.3.2(25) でも使用可能です。 |
||
クライアントレス SSL VPN セッション タイムアウト アラート |
ユーザーの VPN セッションが、無活動またはセッション タイムアウトにより終了することをユーザーに警告するカスタム メッセージを作成できます。 次のコマンドが導入されました。vpn-session-timeout alert-interval、vpn-idle-timeout alert-interval 次の画面が導入されました。 [Remote Access VPN] > [Configuration] > [Clientless SSL VPN Access] > [Portal] > [Customizations] > [Add/Edit] > [Timeout Alerts] [Remote Access VPN] > [Configuration] > [Clientless SSL VPN Access] > [Group Policies] > [Add/Edit General] |
||
AAA 機能 |
|||
属性あたりの最大 LDAP 値が増加 |
単一の属性に対して ASA が受け取ることができる値の最大数は、1000(デフォルト)から 5000 に増やされました。許可される範囲は 500 ~ 5000 です。設定された制限を超えた応答メッセージを受信した場合、ASA は認証を拒否します。ASA が、1000 を超える値を持つ単一の属性を検出した場合、ASA は情報 syslog 109036 を生成します。属性が 5000 を超える場合、ASA はエラー レベル syslog 109037 を生成します。 次のコマンドが導入されました。ldap-max-value-range number(このコマンドは aaa-server ホスト設定モードで入力します)。 ASDM ではこのコマンドはサポートされません。コマンドライン ツールを使用してコマンドを入力してください。 |
||
LDAP 検索結果の下位範囲のサポート |
サーバ設定に応じて、LDAP 検索が多数の値を持つ属性という結果になる場合、値のサブ範囲を返し、ASA が残りの値範囲に対して追加のクエリを開始することを予期することがあります。ASA は残りの範囲に対して複数のクエリを行い、応答を属性値の完全な配列に結合するようになりました。 |
||
トラブルシューティング機能 |
|||
show asp table classifier および show asp table filter コマンドの正規表現照合 |
出力をフィルタするために、show asp table classifier と show asp table filter コマンドは正規表現を使用して入力できるようになりました。 次のコマンドが変更されました。show asp table classifier match regex、show asp table filter match regex ASDM ではこのコマンドはサポートされません。コマンドライン ツールを使用してコマンドを入力してください。 バージョン 8.2(5.13) および 8.3.2(25) でも使用可能です。 |
ASA 8.4(2)/ASDM 6.4(5) の新機能
リリース:2011 年 6 月 20 日
機能 |
説明 |
||
---|---|---|---|
ファイアウォール機能 |
|||
アイデンティティ ファイアウォール |
通常、ファイアウォールはユーザー アイデンティティを認識せず、したがって、アイデンティティに基づいてセキュリティ ポリシーを適用できません。 ASA のアイデンティティ ファイアウォールでは、ユーザーのアイデンティティに基づいたより細かなアクセス コントロールが実現されます。送信元 IP アドレスではなくユーザー名とユーザー グループ名に基づいて、アクセス ルールとセキュリティ ポリシーを設定できます。ASA は、IP アドレスと Windows Active Directory のログイン情報の関連付けに基づいてセキュリティ ポリシーを適用し、ネットワーク IP アドレスではなくマッピングされたユーザー名を使用してイベントを報告します。 アイデンティティ ファイアウォールは、実際のアイデンティティ マッピングを提供する外部 Active Directory(AD)エージェントとの連携により、Microsoft Active Directory と統合されます。ASA は Windows Active Directory をソースとして使用して、特定の IP アドレスについて最新のユーザー アイデンティティ情報を取得します。 企業では、ユーザーによっては、Web ポータル(カットスルー プロキシ)による認証や VPN を使用した認証など、通常とは異なる認証メカニズムを使用してネットワークにログオンする場合があります。これらの認証方式がアイデンティティに基づくアクセス ポリシーと連携できるようにアイデンティティ ファイアウォールを設定することができます。 次のコマンドを導入または変更しました。user-identity enable、user-identity default-domain、user-identity domain、user-identity logout-probe、user-identity inactive-user-timer、user-identity poll-import-user-group-timer、user-identity action netbios-response-fail、user-identity user-not-found、user-identity action ad-agent-down、user-identity action mac-address-mismatch、user-identity action domain-controller-down、user-identity ad-agent active-user-database、user-identity ad-agent hello-timer、user-identity ad-agent aaa-server、user-identity update import-user、user-identity static user、ad-agent-mode 、dns domain-lookup、dns poll-timer、dns expire-entry-timer、object-group user、show user-identity、show dns、clear configure user-identity、clear dns、debug user-identity、test aaa-server ad-agent 次の画面が導入されました。 [Configuration] > [Firewall] > [Identity Options]。[設定(Configuration)] > [ファイアオール(Firewall)] > [オブジェクト(Objects)] > [ローカルユーザーグループ(Local User Groups)] [Monitoring] > [Properties] > [Identity] 次の画面が変更されました。 [Configuration] > [Device Management] > [Users/AAA] > [AAA Server Groups] > [Add/Edit Server Group] |
||
アイデンティティ NAT の設定が可能なプロキシ ARP およびルート ルックアップ |
アイデンティティ NAT の以前のリリースでは、プロキシ ARP はディセーブルにされ、出力インターフェイスの決定には常にルート ルックアップが使用されていました。これらを設定することはできませんでした。8.4(2) 以降、アイデンティティ NAT のデフォルト動作は他のスタティック NAT コンフィギュレーションの動作に一致するように変更されました。これにより、デフォルトでプロキシ ARP はイネーブルにされ、NAT コンフィギュレーションにより出力インターフェイスが決定されるようになりました(指定されている場合)。これらの設定をそのまま残すこともできますし、個別にイネーブルまたはディセーブルにすることもできます。通常のスタティック NAT のプロキシ ARP をディセーブルにすることもできるようになっています。 8.3 よりも前の設定の場合、8.4(2) 以降への NAT 免除ルール(nat 0 access-list コマンド)の移行には、プロキシ ARP をディセーブルにするキーワード no-proxy-arp およびルート ルックアップを使用するキーワード route-lookup があります。8.3(2) および 8.4(1) への移行に使用された unidirectional キーワードは、移行に使用されなくなりました。8.3(1)、8.3(2)、8.4(1) から 8.4(2) にアップグレードすると、既存機能を保持するため、すべてのアイデンティティ NAT コンフィギュレーションに no-proxy-arp キーワードと route-lookup キーワードが含まれるようになっています。unidirectional キーワードは削除されました。 nat static [no-proxy-arp] [route-lookup](オブジェクト ネットワーク)、および nat source static [no-proxy-arp] [route-lookup](グローバル)コマンドが変更されました。 次の画面が変更されました。 [Configuration] > [Firewall] > [NAT Rules] > [Add/Edit Network Object] > [Advanced NAT Settings] [Configuration] > [Firewall] > [NAT Rules] > [Add/Edit NAT Rule] |
||
PAT プールおよびラウンド ロビン アドレス割り当て |
1 つのアドレスの代わりに、PAT アドレスのプールを指定できるようになりました。また、オプションで、PAT アドレスのすべてのポートを使用してからプール内の次のアドレスを使用するのではなく、PAT アドレスのラウンドロビン割り当てをイネーブルにすることもできます。これらの機能は、1 つの PAT アドレスで多数の接続を行っている場合にそれが DoS 攻撃の対象となることを防止するのに役立ちます。またこの機能により、多数の PAT アドレスを簡単に設定できます。
nat dynamic [pat-pool mapped_object [round-robin]](オブジェクト ネットワーク)、および nat source dynamic [pat-pool mapped_object [round-robin]](グローバル)コマンドが変更されました。 次の画面が変更されました。 [Configuration] > [Firewall] > [NAT Rules] > [Add/Edit Network Object][Configuration] > [Firewall] > [NAT Rules] > [Add/Edit NAT Rule] |
||
IPv6 インスペクション |
サービス ポリシーを設定して IPv6 インスペクションを設定し、拡張ヘッダーに基づいて IPv6 トラフィックを選択的にブロックできます。IPv6 パケットに対しては、早期セキュリティ チェックが実行されます。ASA は、ルータ ヘッダーとノー ネクスト ヘッダーをブロックする一方で、常に、ホップバイホップと宛先オプション タイプの拡張ヘッダーを通過させます。 デフォルトの IPv6 インスペクションをイネーブルにするか、IPv6 インスペクションをカスタマイズできます。IPv6 インスペクションのポリシー マップを定義することによって、IPv6 パケット内で見つかった次のタイプの拡張ヘッダーに基づいて IPv6 パケットを選択的にドロップするように ASA を設定できます。
次のコマンドが変更されました。policy-map type inspect ipv6、verify-header、match header、match header routing-type、match header routing-address count gt、match header count gt 次の画面が導入されました。[Configuration] > [Firewall] > [Objects] > [Inspect Maps] > [IPv6] |
||
リモート アクセス機能 |
|||
ポータル アクセス ルール |
この拡張機能により、カスタマーは、HTTP ヘッダー内に存在するデータに基づいて、クライアントレス SSL VPN セッションを許可または拒否するグローバルなクライアントレス SSL VPN アクセス ポリシーを設定することができます。拒否された場合は、エラー コードがクライアントに返されます。この拒否は、ユーザー認証の前に行われるため、処理リソースの使用が最小限に抑えられます。 次のコマンドが変更されました。webvpn portal-access-rule 次の画面が変更されました。[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Portal] > [Portal Access Rules] バージョン 8.2(5) でも使用可能です。 |
||
Microsoft Outlook Web App 2010 のクライアントレス サポート |
ASA 8.4(2) クライアントレス SSL VPN コア リライタは、Microsoft Outlook Web App 2010 をサポートするようになりました。 |
||
IPsec IKEv2 整合性および PRF のセキュア ハッシュ アルゴリズム SHA-2 サポート |
このリリースでは、ASA への IPsec/IKEv2 AnyConnect セキュア モビリティ クライアント接続の暗号化ハッシュ セキュリティの向上のために、セキュア ハッシュ アルゴリズム SHA-2 がサポートされます。米国政府の要請に基づき、SHA-2 には 256、384、または 512 ビットのダイジェストを生成するハッシュ機能が実装されています。 次のコマンドが変更されました。integrity 、prf, show crypto ikev2 sa detail 、show vpn-sessiondb detail remote 次の画面が変更されました。[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Advanced] > [IPsec] > [IKE Policies] > [Add/Edit IKEv2 Policy (Proposal)] |
||
IPsec IKEv2 でのデジタル署名のセキュア ハッシュ アルゴリズム SHA-2 サポート |
このリリースでは、デジタル証明書を使用する IPsec IKEv2 VPN 接続の認証における SHA-2 準拠の署名アルゴリズムの使用がサポートされます。ハッシュ サイズには、SHA-256、SHA-384、および SHA-512 があります。 IPsec IKEv2 接続の SHA-2 デジタル署名が、AnyConnect セキュア モビリティ クライアント バージョン 3.0.1 以降でサポートされます。 |
||
AnyConnect 用のスプリット トンネル DNS ポリシー |
このリリースには、スプリット トンネルを介して DNS アドレスを解決するために AnyConnect セキュア モビリティ クライアントにプッシュダウンされた新しいポリシーが含まれています。このポリシーは、SSL プロトコルまたは IPsec/IKEv2 プロトコルを使用する VPN 接続に適用され、AnyConnect クライアントに対して VPN トンネルを経由するすべての DNS アドレスを解決するように指示します。DNS 解決に失敗すると、アドレスは未解決のまま残ります。AnyConnect Client は、パブリック DNS サーバー経由でアドレスを解決しようとはしません。 デフォルトでは、この機能はディセーブルになっています。クライアントは、スプリット トンネル ポリシーに従ってトンネル経由で DNS クエリーを送信します。ポリシーは、すべてのネットワークをトンネリング、ネットワーク リストで指定されたネットワークをトンネリング、またはネットワーク リストで指定されたネットワークを除外です。 次のコマンドが導入されました。split-tunnel-all-dns 次の画面が変更されました。[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Group Policies] > [Add/Edit Group Policy] > [Advanced] > [Split Tunneling]([Send All DNS Lookups Through Tunnel] チェックボックスを参照)。 バージョン 8.2(5) でも使用可能です。 |
||
Mobile Posture (以前の名称は AnyConnect Identification Extensions for Mobile Device Detection) |
モバイル デバイスへの VPN 接続の許可または拒否、グループ単位でのモバイル デバイス アクセスのイネーブル化またはディセーブル化、およびモバイル デバイスのポスチャ データに基づいた接続モバイル デバイスに関する情報の収集を実行するように ASA を設定できるようになりました。AnyConnect for iPhone/iPad/iPod バージョン 2.5.x および AnyConnect for Android バージョン 2.4.x の各モバイル プラットフォームでこの機能がサポートされています。 ライセンス要件リモート アクセス コントロールを適用し、モバイル デバイスからポスチャ データを収集するには、AnyConnect Mobile ライセンスと、AnyConnect Essentials または AnyConnect Premium ライセンスのいずれかが ASA にインストールされている必要があります。インストールするライセンスに基づいて次の機能を受け取ります。
AnyConnect Premium ライセンスをインストールする企業は、DAP 属性および他の既存のエンドポイント属性に基づいてサポートされているモバイル デバイスの DAP ポリシーを適用できます。これには、モバイル デバイスからのリモート アクセスの許可または拒否が含まれます。
AnyConnect Essentials ライセンスをインストールする企業は、次の操作を実行できます。
次の画面が変更されました。[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Dynamic Access Policies] > [Add/Edit Endpoint Attributes] > [Endpoint Attribute Type:AnyConnect] バージョン 8.2(5) でも使用可能です。 |
||
SSL SHA-2 デジタル署名 |
デジタル証明書を使用する SSL VPN 接続の認証における SHA-2 準拠の署名アルゴリズムを使用できるようになりました。SHA-2 のサポートには、SHA-256、SHA-384、および SHA-512 の 3 つすべてのハッシュ サイズが含まれます。SHA-2 には AnyConnect 2.5(1) 以降(2.5(2) 以降を推奨)が必要です。このリリースは、他の使用または製品では SHA-2 をサポートしません。 注意:SHA-2 接続のフェールオーバーをサポートするためには、スタンバイ ASA も同じイメージを実行している必要があります。 次のコマンドが変更されました。show crypto ca certificate([Signature Algorithm] フィールドは、署名の生成時に使用されるダイジェスト アルゴリズムを識別します)。 変更された画面はありません。 バージョン 8.2(5) でも使用可能です。 |
||
SHA2 証明書署名による Microsoft Windows 7 と Android ネイティブ VPN クライアントのサポート |
ASA は、L2TP/IPsec プロトコルを使用する場合、Microsoft Windows 7 および Android ネイティブ VPN クライアント用の SHA2 証明書署名サポートをサポートします。 変更されたコマンドはありません。 変更された画面はありません。 バージョン 8.2(5) でも使用可能です。 |
||
group-url 属性をオーバーライドするための証明書のマッピングの有効化/無効化 |
この機能は、接続プロファイルの選択プロセス中に、接続プロファイルのプリファレンスを変更します。デフォルトでは、接続プロファイルで指定された証明書のフィールド値とエンドポイントで使用される証明書のフィールド値が ASA によって照合され、一致した場合は、そのプロファイルが VPN 接続に割り当てられます。このオプションの機能により、エンドポイントが要求したグループ URL を指定する接続プロファイルに対するプリファレンスが変更されます。この新しいオプションにより、管理者は ASA ソフトウェアの数多くの旧リリースによって使用されるグループ URL プリファレンスを利用できます。 次のコマンドが導入されました。tunnel-group-preference 。 次の画面が変更されました。 [Configuration] > [Remote Access VPN] > [Clientless SSL VPN] > [Connection Profiles] [Configuration] > [Remote Access VPN] > [Network (Client) Access] > [AnyConnect Connection Profiles] バージョン 8.2(5) でも使用可能です。 |
||
ASA 5585-X の機能 |
|||
SSP-40 および SSP-60 対応のデュアル SSP のサポート |
SSP-40 および SSP-60 の場合、同じシャーシでレベルが同じ 2 つの SSP を使用できます。レベルが混在した SSP はサポートされていません(たとえば、SSP-40 と SSP-60 の組み合わせはサポートされていません)。各 SSP は個別のコンフィギュレーションおよび管理を持つ独立したデバイスとして動作します。必要に応じて 2 つの SSP をフェールオーバー ペアとして使用できます。
show module、show inventory、show environment の各コマンドが変更されました。 変更された画面はありません。 |
||
IPS SSP-10、-20、-40、および -60 のサポート |
ASA 5585-X 用の IPS SSP-10、-20、-40、および -60 のサポートを導入しました。IPS SSP は対応するレベルの SSP がある場合にのみインストールできます(たとえば SSP-10 や IPS SSP-10)。 バージョン 8.2(5) でも使用可能です。 |
||
CSC SSM の機能 |
|||
CSC SSM サポート |
CSC SSM について、次の機能のサポートが追加されました。
変更されたコマンドはありません。 次の画面が変更されました。 [Configuration] > [Trend Micro Content Security] > [Mail] > [SMTP] [Configuration] > [Trend Micro Content Security] > [Mail] > [POP3] [Configuration] > [Trend Micro Content Security] > [Host/Notification Settings] [Configuration] > [Trend Micro Content Security] > [CSC Setup] > [Host Configuration] |
||
モニタリング機能 |
|||
Smart Call-Home Anonymous Reporting |
顧客は Anonymous Reporting をイネーブルにして、ASA プラットフォームを改善することができるようになりました。Anonymous Reporting により、エラーおよびヘルスに関する最小限の情報をデバイスからシスコに安全に送信できます。 次のコマンドが導入されました。call-home reporting anonymous、call-home test reporting anonymous 次の画面が変更されました。[Configuration] > [Device Monitoring] > [Smart Call-Home] バージョン 8.2(5) でも使用可能です。 |
||
IF-MIB ifAlias OID のサポート |
ASA は、ifAlias OID をサポートするようになりました。IF-MIB をブラウズする際、fAlias OID はインターフェイスの記述に設定済みの値に設定されます。 バージョン 8.2(5) でも使用可能です。 |
||
インターフェイス機能 |
|||
1 ギガビット イーサネット インターフェイスでのフロー制御のポーズ フレームのサポート |
1 ギガビット イーサネット インターフェイスでのフロー制御用の停止(XOFF)フレームを有効化できるようになりました。サポートは以前は 8.2(2) の 10 ギガビット イーサネット インターフェイス用に追加されていました。 flowcontrol コマンドが変更されました。 次の画面が変更されました。 (シングル モード)[Configuration] > [Device Setup] > [Interfaces] > [Add/Edit Interface] > [General] (マルチ モード、システム)[Configuration] > [Interfaces] > [Add/Edit Interface] バージョン 8.2(5) でも使用可能です。 |
||
管理機能 |
|||
SSH セキュリティの向上:SSH のデフォルトのユーザー名はサポートされない |
8.4(2) 以降、pix または asa ユーザー名とログイン パスワードで SSH を使用して ASA に接続することができなくなりました。SSH を使用するには、aaa authentication ssh console LOCAL コマンド(CLI)または [Configuration] > [Device Management] > [Users/AAA] > [AAA Access] > [Authentication (ASDM)] を使用して AAA 認証を設定してから、ローカル ユーザーを定義する必要があります。定義するには、username コマンド(CLI)を入力するか、[Configuration] > [Device Management] > [Users/AAA] > [User Accounts (ASDM)] を選択します。ローカル データベースの代わりに AAA サーバーを認証に使用する場合、ローカル認証もバックアップの手段として設定しておくことをお勧めします。 |
||
ユニファイド コミュニケーション機能 |
|||
ASA Tandberg と H.323 インスペクションとの相互運用性 |
H.323 インスペクションは、双方向ビデオ セッションの双方向信号をサポートするようになりました。この機能拡張により、一方向のビデオ会議での H.323 インスペクションが Tandberg ビデオ電話によってサポートされます。双方向信号をサポートすると、Tandberg 電話はビデオ モードを切り替えることができます(H.263 ビデオ セッションの側を閉じ、高解像度ビデオの圧縮標準である H.264 を使用してセッションを再オープンします)。 変更されたコマンドはありません。 変更された画面はありません。 バージョン 8.2(5) でも使用可能です。 |
||
ルーティング機能 |
|||
バックアップ スタティック ルートを使用する接続のタイムアウト |
同じネットワークへの複数のスタティック ルートが存在しており、それぞれメトリックが異なる場合は、ASA は接続確立時点でメトリックが最良のルートを使用します。より適切なルートが使用可能になった場合は、このタイムアウトによって接続が閉じられるので、その適切なルートを使用して接続を再確立できます。デフォルトは 0 です(接続はタイムアウトしません)。この機能を使用するには、タイムアウトを新しい値に変更します。 timeout floating-conn コマンドが変更されました。 次の画面が変更されました。[Configuration] > [Firewall] > [Advanced] > [Global Timeouts] バージョン 8.2(5) でも使用可能です。 |
||
ASDM 機能 |
|||
Migrate Network Object Group Members |
8.3 以降に移行する場合、ASA は名前付きネットワーク オブジェクトを作成して、一部の機能のインライン IP アドレスを置き換えます。名前付きオブジェクトに加えて、ASDM はコンフィギュレーションで使用されているすべての IP アドレスに対して名前なしオブジェクトを自動的に作成します。これらの自動作成されるオブジェクトは IP アドレスによってのみ識別され、名前がなく、プラットフォーム設定に名前付きオブジェクトとしては存在しません。 移行の一部として名前付きオブジェクトを ASA が作成する場合、合致する非名前付き ASDM 専用オブジェクトは、名前付きオブジェクトに置換されます。唯一の例外は、ネットワーク オブジェクト グループの非名前付きオブジェクトです。ネットワーク オブジェクト グループ内にある IP アドレスの名前付きオブジェクトを ASA が作成する場合、ASDM は非名前付きオブジェクトを維持したまま、重複したオブジェクトを ASDM で作成します。これらのオブジェクトをマージするには、[Tools] > [Migrate Network Object Group Members] を選択します。 次の画面が導入されました。[Tools] > [Migrate Network Object Group Members] 詳細については、「Cisco ASA 5500 Migration to Version 8.3 and Later」を参照してください。 |
ASA 8.4(1.11)/ASDM 6.4(2) の新機能
リリース:2011年5月20日
(注) |
解決される特定の問題がある場合にだけ、Cisco.com にポストされた暫定リリースにアップグレードすることを推奨します。実稼働環境で暫定リリースを実行する場合は、暫定リリースでは対象のテストだけが実行されることに注意してください。暫定リリースは、TAC Web サイトによって十分にサポートされ、次のメンテナンス リリースが使用可能になるまでの期間だけダウンロード サイトに残されます。暫定リリースを実行することを選択した場合、使用可能になったときに、完全にテストされたメンテナンス リリース、または機能リリースにアップグレードすることを強く推奨します。次のメンテナンスまたは機能リリースの時点で暫定リリース機能についてマニュアルを作成します。 各暫定リリースの解決済みの警告のリストについては、Cisco.com のソフトウェア ダウンロード サイトから入手可能な暫定リリース ノートを参照してください。 |
機能 |
説明 |
||
---|---|---|---|
ファイアウォール機能 |
|||
PAT プールおよびラウンド ロビン アドレス割り当て |
1 つのアドレスの代わりに、PAT アドレスのプールを指定できるようになりました。また、オプションで、PAT アドレスのすべてのポートを使用してからプール内の次のアドレスを使用するのではなく、PAT アドレスのラウンドロビン割り当てをイネーブルにすることもできます。これらの機能は、1 つの PAT アドレスで多数の接続を行っている場合にそれが DoS 攻撃の対象となることを防止するのに役立ちます。またこの機能により、多数の PAT アドレスを簡単に設定できます。
nat dynamic [pat-pool mapped_object [round-robin]](オブジェクト ネットワーク)、および nat source dynamic [pat-pool mapped_object [round-robin]](グローバル)コマンドが変更されました。 次の画面が変更されました。 [Configuration] > [Firewall] > [NAT Rules] > [Add/Edit Network Object] [Configuration] > [Firewall] > [NAT Rules] > [Add/Edit NAT Rule] |
ASA 8.4(1)/ASDM 6.4(1) の新機能
リリース:2011 年 1 月 31 日
機能 |
説明 |
||
---|---|---|---|
ハードウェアの機能 |
|||
ASA 5585-X のサポート |
セキュリティ サービス プロセッサ(SSP)-10、-20、-40、および -60 を搭載した ASA 5585-X のサポートが導入されました。
|
||
輸出用のペイロード暗号化なしハードウェア |
ASA 5585-X のペイロード暗号化なしモデルを購入いただけます。輸出先の国によっては、Cisco ASA 5500 シリーズでペイロード暗号化をイネーブルにできません。ASA ソフトウェアは、ペイロード暗号化なしモデルを検出し、次の機能をディセーブルにします。
このモデルでも管理接続用に高度暗号化(3DES/AES)ライセンスをインストールできます。たとえば、ASDM HTTPS/SSL、SSHv2、Telnet、および SNMPv3 を使用できます。ボットネット トラフィック フィルタ(SSL を使用)用のダイナミック データベースをダウンロードすることもできます。 |
||
リモート アクセス機能 |
|||
Android プラットフォーム上の L2TP/IPsec サポート |
L2TP/IPsec プロトコルとネイティブ Android VPN クライアントを使用する場合、Android モバイル デバイスと ASA 5500 シリーズ デバイスとの間の VPN 接続をサポートするようになりました。モバイル デバイスで Android 2.1 以降のオペレーティング システムが使用されている必要があります。 バージョン 8.2(5) でも使用可能です。 |
||
AnyConnect パスワードの UTF-8 文字サポート |
ASA 8.4(1) で使用される AnyConnect 3.0 で、RADIUS/MSCHAP および LDAP プロトコルを使用して送信されるパスワードの UTF-8 文字がサポートされます。 |
||
IKEv2 による IPsec VPN 接続 |
インターネット キー交換バージョン 2(IKEv2)は、インターネット プロトコル セキュリティ(IPsec)トンネルの確立および制御に使用される最新のキー交換プロトコルです。ASA で、すべてのクライアント オペレーティング システムについて、AnyConnect セキュア モビリティ クライアント バージョン 3.0(1) での IKEv2 を使用する IPsec がサポートされるようになりました。 ASA 上で、グループ ポリシーでユーザーに対して IPsec 接続をイネーブルにします。AnyConnect クライアントでは、クライアント プロファイルのサーバ リストに含まれる各 ASA についてプライマリ プロトコル(IPsec または SSL)を指定します。 AnyConnect Essentials ライセンスおよび AnyConnect Premium ライセンスに IKEv2 を使用した IPsec リモート アクセス VPN が追加されました。 Other VPN ライセンス(以前の IPsec VPN)にはサイトツーサイト セッションが追加されました。Other VPN ライセンスは基本ライセンスに含まれています。 次のコマンドが変更されました。vpn-tunnel-protocol 、crypto ikev2 policy 、crypto ikev2 enable 、crypto ipsec ikev2 、crypto dynamic-map 、crypto map 次の画面が変更されました。 [Configure] > [Site-to-Site VPN] > [Connection Profiles] [Configure] > [Remote Access] > [Network (Client) Access] > [AnyConnect Connection Profiles] [Network (Client) Access] > [Advanced] > [IPsec] > [IKE Parameters] > [IKE Policies] [Network (Client) Access] > [Advanced] > [IPsec] > [IKE Parameters] > [IKE Parameters] [Network (Client) Access] > [Advanced] > [IPsec] > [IKE Parameters] > [IKE Proposals] |
||
SSL SHA-2 デジタル署名 |
このリリースは、デジタル証明書を使用する SSL VPN 接続の認証における SHA-2 準拠の署名アルゴリズムをサポートします。SHA-2 のサポートには、SHA-256、SHA-384、および SHA-512 の 3 つすべてのハッシュ サイズが含まれます。SHA-2 には AnyConnect 2.5.1 以降(2.5.2 以降を推奨)が必要です。このリリースは、他の使用または製品では SHA-2 をサポートしません。この機能にはコンフィギュレーションの変更はありません。 注意:SHA-2 接続のフェールオーバーをサポートするためには、スタンバイ ASA も同じイメージを実行している必要があります。この機能をサポートするために、show crypto ca certificate コマンドに署名の生成に使用されるダイジェスト アルゴリズムを指定する [Signature Algorithm] フィールドを追加しました。 |
||
SCEP プロキシ |
SCEP プロキシは、AnyConnect セキュア モビリティ クライアントに自動化されたサードパーティ証明書登録のサポートを提供します。この機能を使用して、エンドポイント接続を認可するデバイス証明書のゼロタッチでのセキュアな展開による AnyConnect のサポート、非企業資産によるアクセスを防止するポリシーの適用、および企業資産の追跡を実行します。この機能には、AnyConnect Premium ライセンスが必要であり、Essentials ライセンスでは使用できません。 次のコマンドが導入または変更されました。crypto ikev2 enable 、scep-enrollment enable 、scep-forwarding-url 、debug crypto ca scep-proxy 、secondary-username-from-certificate 、secondary-pre-fill-username |
||
ホスト スキャン パッケージのサポート |
この機能により、ASA がホスト スキャン パッケージをインストールまたはアップグレードして、ホスト スキャンをイネーブルまたはディセーブルにするために必要なサポートが提供されます。このパッケージは、スタンドアロンのホスト スキャン パッケージか、ASA が AnyConnect 次世代パッケージから抽出するパッケージです。 AnyConnect の以前のリリースでは、エンドポイントのポスチャは Cisco Secure Desktop(CSD)によって決定されました。ホスト スキャンは、CSD にバンドルされていた数多くの機能の 1 つでした。ホスト スキャンが CSD のバンドルから除外されることで、AnyConnect 管理者は、CSD の他の機能とは別にホスト スキャンを自由に更新およびインストールできます。 次のコマンドが導入されました。csd hostscan image path |
||
Kerberos Constrained Delegation(KCD) |
このリリースでは、KCD のプロトコル移行および制約付き委任の拡張機能が ASA に実装されます。KCD により、クライアントレス SSL VPN(WebVPN ともいう)のユーザーは Kerberos で保護された Web サービスへの SSO アクセスが可能になります。このようなサービスやアプリケーションの例として、Outlook Web Access(OWA)、SharePoint、およびインターネット インフォメーション サービス(IIS)があります。 プロトコル移行の実装により、ASA はリモート アクセス ユーザーに代わって Kerberos サービス チケットを取得できるため、ユーザーに Kerberos による KDC への認証を要求しません。代わりに、ユーザーはクライアントレス SSL VPN(WebVPN とも呼ばれる)でサポートされている認証メカニズムのいずれか(デジタル証明書やスマートカードなど)を使用して、ASA に対して認証します。ユーザー認証が完了すると、ASA はユーザーの代わりに代替チケットを要求して取得します。代替チケットは、ASA 用のサービス チケットです。ASA は次に、代替チケットを使用して、リモート アクセス ユーザーの他のサービス チケットを取得できます。 制約付き委任は、委任に対して信頼されたサービス(ASA など)が使用できるネットワーク リソースをドメイン管理者が制限する方法を提供します。このタスクを実行するには、アカウントを設定し、そのアカウントの下でサービスが実行されて、特定のコンピュータ上で実行されているサービスの特定のインスタンスへの委任に対して信頼されるようにします。 次のコマンドが変更されました。kcd-server 、clear aaa 、show aaa 、test aaa-server authentication 次の画面が変更されました。[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Advanced] > [Microsoft KCD Server] |
||
ブラウザでのクライアントレス SSL VPN のサポート |
ASA で、Apple Safari 5 によるクライアントレス SSL VPN がサポートされるようになりました。 |
||
クライアントレス VPN 自動サインオンの機能拡張 |
スマート トンネルによって、Internet Explorer だけでなく Firefox での HTTP ベースの自動サインオンがサポートされるようになりました。Internet Explorer を使用する場合と同様に、管理者は Firefox ブラウザがクレデンシャルを自動的に送信するホストを決定します。認証方式によっては、管理者が ASA において([Add Smart Tunnel Auto Sign-on Server] ウィンドウで)、ウェブアプリケーションの設定と一致するレルムの文字列を指定することが必要となる場合があります。スマート トンネルでの自動サインオンにもマクロ置換を含むブックマークを使用できるようになりました。 POST プラグインは廃止されました。以前の POST プラグインは、管理者がサインオン マクロを含むブックマークを指定し、POST 要求のポストの前にロードするキックオフ ページを受信できるようにするために作成されました。POST プラグイン アプローチでは、前もって取得されたクッキーおよびその他のヘッダー項目の存在を必要とする要求の通過が許可されました。管理者は、ブックマークの作成時に事前ロード ページを指定して、同じ機能を実現できるようになりました。POST プラグインと同様に、管理者は事前ロード ページの URL と POST 要求の送信先 URL を指定します。 デフォルトの事前設定された SSL VPN ポータルを独自のポータルで置き換えることができるようになりました。これを実行するには、管理者は外部ポータルとして URL を指定します。グループ ポリシー ホームページと異なり、外部ポータルでは、事前ロード ページだけでなく(自動サインオン用の)マクロ置換を含む POST 要求がサポートされます。 次のコマンドを導入または変更しました。smart-tunnel auto-signon 次の画面が導入または変更されました。 [Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Portal] > [Customization] [Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Portal] > [Bookmarks] > [Edit] > [Edit Bookmark] |
||
スマート トンネル アプリケーションのサポートの拡張 |
スマート トンネルには、次のアプリケーションのサポートが追加されました。
ユーザーはスマート トンネルを使用して Microsoft Office Outlook を Microsoft Exchange Server に接続できるようになりました。
ユーザーは、スマート トンネルを使用して、Microsoft Office 2010 アプリケーションおよび Microsoft Sharepoint によるリモート ファイル編集を実行できるようになりました。 |
||
インターフェイス機能 |
|||
EtherChannel サポート(ASA 5510 以降) |
最大 48 個の 802.3ad EtherChannel(1 つあたりのアクティブ インターフェイス 8 個)を設定できます。
channel-group、lacp port-priority、interface port-channel、lacp max-bundle、port-channel min-bundle、port-channel load-balance、lacp system-priority、clear lacp counters、show lacp、show port-channel の各コマンドが導入されました。 次の画面が導入または変更されました。 [Configuration] > [Device Setup] > [Interfaces] [Configuration] > [Device Setup] > [Interfaces] > [Add/Edit EtherChannel Interface] [Configuration] > [Device Setup] > [Interfaces] > [Add/Edit Interface] [Configuration] > [Device Setup] > [EtherChannel] |
||
トランスペアレント モードのブリッジ グループ |
セキュリティ コンテキストのオーバーヘッドを避けたい場合、またはセキュリティ コンテキストを最大限に使用したい場合、インターフェイスをブリッジ グループにグループ化し、各ネットワークに 1 つずつ複数のブリッジ グループを設定できます。ブリッジ グループのトラフィックは他のブリッジ グループから隔離されます。シングル モードでは最大 8 個、マルチ モードではコンテキストあたり最大 8 個のブリッジ グループを設定でき、各ブリッジ グループには最大 4 個のインターフェイスを追加できます。
次のコマンドが導入されました。interface bvi、bridge-group、show bridge-group 次の画面が変更または導入されました。 [Configuration] > [Device Setup] > [Interfaces] [Configuration] > [Device Setup] > [Interfaces] > [Add/Edit Bridge Group Interface][Configuration] > [Device Setup] > [Interfaces] > [Add/Edit Interface] |
||
拡張性機能 |
|||
ASA 5550、5580、および 5585-X でのコンテキストの増加 |
ASA 5550 および ASA 5585-X(SSP-10)では、コンテキストの最大数が 50 から 100 に引き上げられました。ASA 5580 および 5585-X(SSP-20)以降では、コンテキストの最大数が 50 から 250 に引き上げられました。 |
||
ASA 5580 および 5585-X での VLAN 数の増加 |
ASA 5580 および ASA 5585-X では、VLAN の最大数が 250 から 1024 に引き上げられました。 |
||
追加のプラットフォーム サポート |
ASA バージョン 8.4 のサポートされるプラットフォームとして Google Chrome が追加されました。32 ビットと 64 ビット両方のプラットフォームが Windows XP、Vista、および 7 と Mac OS X バージョン 6.0 でサポートされます。 |
||
ASA 5580 および 5585-X での接続数の増加 |
ファイアウォール接続の最大数が次のように引き上げられました。
|
||
ASA 5580 での AnyConnect VPN セッション数の増加 |
AnyConnect VPN セッションの最大数が 5,000 から 10,000 に引き上げられました。 |
||
ASA 5580 での AnyConnect 以外の VPN セッション数の増加 |
AnyConnect 以外の VPN セッションの最大数が 5,000 から 10,000 に引き上げられました。 |
||
ハイ アベイラビリティ機能 |
|||
ダイナミック ルーティング プロトコルによるステートフル フェールオーバー |
アクティブ装置上のダイナミック ルーティング プロトコル(OSPF や EIGRP など)を介して学習されたルートは、スタンバイ装置の Routing Information Base(RIB; ルーティング情報ベース)テーブルに保存されるようになりました。フェールオーバー イベントが発生した場合、ルートがわかっているため、セカンダリ アクティブ装置上のトラフィックは最小限の切断で通過します。ルートは、アクティブ装置上のリンクアップまたはリンクダウン イベントの場合のみ同期されます。スタンバイ装置上でリンクがアップまたはダウンすると、アクティブ装置から送信されたダイナミック ルートが失われることがあります。これは正常な予期された動作です。 次のコマンドが変更されました。show failover、show route、show route failover 変更された画面はありません。 |
||
ユニファイド コミュニケーション機能 |
|||
Unified Communication Wizard への電話プロキシの追加 |
Unified Communications Wizard により、すべての設定が指示され、電話プロキシに必要な側面が自動的に設定されます。このウィザードにより、必要な TLS プロキシが自動的に作成されます。その後、ウィザードの指示に従って Phone Proxy インスタンスを作成し、必要な証明書のインポートとインストールを行います。最後に、Phone Proxy トラフィックの SIP および SCCP インスペクションが自動的にイネーブルになります。 次の画面が変更されました。 [Wizards] > [Unified Communications Wizard] [Configuration] > [Firewall] > [Unified Communications] |
||
UC プロトコル インスペクションの機能拡張 |
SIP インスペクションと SCCP インスペクションの機能拡張により、SCCP v2.0 サポート、SCCP インスペクションにおける GETPORT メッセージのサポート、SIP インスペクションにおける INVITE メッセージの SDP フィールドのサポート、SIP 上での QSIG トンネリングなど、ユニファイド コミュニケーション ソリューションの新機能をサポートします。さらに、Cisco Intercompany Media Engine は Cisco RT Lite 電話とサードパーティ ビデオ エンドポイント(Tandberg など)もサポートします。 変更されたコマンドはありません。 変更された画面はありません。 |
||
インスペクション機能 |
|||
DCERPC の機能拡張 |
DCERPC インスペクションの機能拡張により、RemoteCreateInstance RPC メッセージのインスペクションがサポートされます。 変更されたコマンドはありません。 変更された画面はありません。 |
||
トラブルシューティングとモニタリングの機能 |
|||
SNMP トラップと MIB |
以下の追加のキーワードをサポートします。connection-limit-reached、entity cpu-temperature、cpu threshold rising、entity fan-failure、entity power-supply、ikev2 stop | start、interface-threshold、memory-threshold、nat packet-discard、warmstart entPhysicalTable によって、センサー、ファン、電源、および関連コンポーネントのエントリがレポートされます。 追加の MIB として、ENTITY-SENSOR-MIB、CISCO-ENTITY-SENSOR-EXT-MIB、CISCO-ENTITY-FRU-CONTROL-MIB、CISCO-PROCESS-MIB、CISCO-ENHANCED-MEMPOOL-MIB、CISCO-L4L7MODULE-RESOURCE-LIMIT-MIB、NAT-MIB、EVENT-MIB、EXPRESSION-MIB をサポートします。 追加のトラップとして、warmstart、cpmCPURisingThreshold、mteTriggerFired、cirResourceLimitReached、natPacketDiscard、ciscoEntSensorExtThresholdNotification をサポートします。 snmp cpu threshold rising、snmp interface threshold、snmp-server enable traps コマンドが導入または変更されました。 次の画面が変更されました。[Configuration] > [Device Management] > [Management Access] > [SNMP] |
||
TCP ping の機能拡張 |
ICMP エコー要求がブロックされたユーザーは、TCP ping によって TCP での接続をチェックできます。TCP ping の機能拡張により、ホスト名または IPv4 アドレスに ping を送信する送信元 IP アドレスおよびポートと送信元インターフェイスを指定できます。 次のコマンドが変更されました。ping tcp 次の画面が変更されました。[Tools] > [Ping] |
||
トップ CPU プロセスの表示 |
CPU 上で実行されているプロセスをモニタし、特定のプロセスの CPU 使用率に関する情報を取得できるようになりました。CPU の負荷に関する情報も表示できます。プロセスごと、ログ時間の 5 分前、1 分前、および 5 秒前で表示できます。情報は 5 秒おきに更新されるため、リアルタイムの統計を確認できます。また、ペインには更新ボタンがあるため、手動でいつでもデータを更新できます。 次のコマンドが導入されました。show process cpu-usage sorted 次の画面が導入されました。[Monitoring] > [Properties] > [CPU - Per Process] |
||
一般的な機能 |
|||
パスワード暗号化の可視性 |
パスワードの暗号化をセキュリティ コンテキストで表示できます。 show password encryption コマンドを導入しました。 変更された画面はありません。 |
||
ASDM 機能 |
|||
ASDM アップグレードの機能拡張 |
互換性のない ASA ソフトウェア バージョンを持つデバイスに ASDM がロードされる場合、次のオプションから選択できることがダイアログボックスに表示されます。
変更された画面はありません。 この機能は、すべての ASA バージョンと相互運用性があります。 |
||
ウィザードへの IKEv2 の実装 |
IKEv2 のサポートが AnyConnect VPN Wizard(以前の SSL VPN Wizard)、Clientless SSL VPN Wizard、および Site-to-Site IPsec VPN Wizard(以前の IPSec VPN Wizard)に実装されました。これは、連邦および公共部門の要求に定義された IPsec リモート アクセス要件に準拠するためです。新しいサポートによって、セキュリティの強化とともに、AnyConnect クライアント セッションで使用されるトンネリング プロトコルに関係なく、同じエンド ユーザー エクスペリエンスが提供されます。IKEv2 によって、他のベンダーの VPN クライアントも ASA に接続できます。 次のウィザードが変更されました。Site-to-Site IPsec VPN Wizard、AnyConnect VPN Wizard、Clientless SSL VPN Wizard。 |
||
IPS Startup Wizard の機能拡張 |
ASA 5585-X の IPS SSP では、[IPS Basic Configuration] 画面が Startup Wizard に追加されました。IPS SSP に対するシグニチャ アップデートが、[Auto Update] 画面に追加されました。ASA でクロックが設定されるように、[Time Zone and Clock Configuration] 画面が追加されました。IPS SSP モジュールはそのクロックを ASA から取得します。 次の画面が導入または変更されました。 [Wizards] > [Startup Wizard] > [IPS Basic Configuration] [Wizards] > [Startup Wizard] > [Auto Update] [Wizards] > [Startup Wizard] > [Time Zone and Clock Configuration] |
バージョン 8.3 の新機能
ASA 8.3(2.25)/ASDM 6.4(5.106) の新機能
リリース:2011年8月31日
(注) |
解決される特定の問題がある場合にだけ、Cisco.com にポストされた ASA 暫定リリースにアップグレードすることを推奨します。実稼働環境で暫定リリースを実行する場合は、暫定リリースでは対象のテストだけが実行されることに注意してください。暫定リリースは、TAC Web サイトによって十分にサポートされ、通常、次のメンテナンス リリースが使用可能になるまでの期間だけダウンロード サイトに残されます。暫定リリースを実行することを選択した場合、使用可能になったときに、完全にテストされたメンテナンス リリース、または機能リリースにアップグレードすることを強く推奨します。 次のメンテナンスまたは機能リリースの時点で暫定リリース機能についてマニュアルを作成します。各 ASA 暫定リリースの解決済みの警告のリストについては、Cisco.com のソフトウェア ダウンロード サイトから入手可能な暫定リリース ノートを参照してください。 |
機能 |
説明 |
||
---|---|---|---|
リモート アクセス機能 |
|||
ブラウザでのクライアントレス SSL VPN のサポート |
ASA は、Microsoft Internet Explorer 9 および Firefox 4 を使用してクライアントレス SSL VPN をサポートするようになりました。 バージョン 8.2(5.13) および 8.4.2(8) でも使用可能です。 |
||
DTLS および TLS における圧縮 |
スループットを向上させるため、シスコは AnyConnect 3.0 以降で DTLS と TLS の圧縮をサポートするようになりました。各トンネリング メソッドは個別に圧縮を構成します。優先設定は SSL と DTLS の両方の圧縮を LZS とすることです。この機能は、従来の VPN クライアントからの移行を強化します。
次のコマンドを導入または変更しました。anyconnect dtls compression [lzs | none] および anyconnect ssl compression [deflate | lzs | none] 次の画面が変更されました。[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Group Policies] > [Edit] > [Edit Internal Group Policy] > [Advanced] > [AnyConnect Client] > [SSL Compression] バージョン 8.2(5.13) および 8.4.2(8) でも使用可能です。 |
||
トラブルシューティング機能 |
|||
show asp table classifier および show asp table filter コマンドの正規表現照合 |
出力をフィルタするために、show asp table classifier と show asp table filter コマンドは正規表現を使用して入力できるようになりました。 次のコマンドが変更されました。show asp table classifier match regex、show asp table filter match regex ASDM ではこのコマンドはサポートされません。コマンドライン ツールを使用してコマンドを入力してください。 バージョン 8.2(5.13) および 8.4.2(8) でも使用可能です。 |
ASA 8.3(2)/ASDM 6.3(2) の新機能
リリース:2010年8月2日
機能 |
説明 |
||
---|---|---|---|
モニタリング機能 |
|||
拡張ロギングと接続ブロック |
TCP を使用するように syslog サーバーを設定すると、syslog サーバーを使用できない場合、ASA はサーバーが再び使用可能になるまで syslog メッセージを生成する新しい接続をブロックします(たとえば、VPN、ファイアウォール、カットスルー プロキシ接続)。この機能は、ASA のロギング キューがいっぱいのときにも新しい接続をブロックするように拡張されました。接続は、ロギング キューがクリアされると再開されます。 この機能は、Common Criteria EAL4+ への準拠のために追加されました。必要でない限り、syslog メッセージを送信できない場合でも新しい接続を許可することを推奨します。新しい接続を許可するには、UDP を使用するように syslog サーバを設定するか、または logging permit-hostdown コマンドを使用します。[Configuration] > [Device Management] > [Logging] > [Syslog Servers] ペインで [Allow user traffic to pass when TCP syslog server is down] チェックボックスをオンにします。 次のコマンドが変更されました。show logging 次の syslog メッセージが導入されました。414005、414006、414007、および 414008 変更された ASDM 画面はありませんでした。 |
||
syslog メッセージのフィルタリングとソート |
次のサポートが追加されました。
次の画面が変更されました。 [Monitoring] > [Logging] > [Real-Time Log Viewer] > [View] [Monitoring] > [Logging] > [Log Buffer Viewer] > [View] この機能は、すべての ASA バージョンと相互運用性があります。 |
||
CSC SSM の syslog メッセージのクリア |
[Latest CSC Security Events] ペインで syslog メッセージをクリアするためのサポートが追加されました。 次の画面が変更されました。[Home] > [Content Security] この機能は、すべての ASA バージョンと相互運用性があります。 |
||
リモート アクセス機能 |
|||
2048 ビット RSA 証明書と Diffie-Hellman Group 5(DH5)のパフォーマンスの改善 |
(ASA 5510、ASA 5520、ASA 5540、および ASA 5550 のみ)2048 ビット証明書および DH5 キーなどの大規模なモジュラス演算には、ソフトウェアの代わりにハードウェア処理を有効にすることを強くお勧めします。サイズが大きいキーにソフトウェア処理を使用し続ける場合は、IPsec と SSL VPN 接続の低速セッション確立により、パフォーマンスが大幅に低下することがあります。また、ソフトウェアからハードウェアへの処理の移行時に発生する可能性がある一時的なパケット損失を最小限に抑えるために、使用率が低い期間またはメンテナンス期間にまずハードウェア処理を有効にすることを推奨します。
次のコマンドが導入または変更されました。crypto engine large-mod-accel 、clear configure crypto engine、show running-config crypto engine、および show running-config crypto ASDM で、コマンドライン インターフェイス ツールを使用して、crypto engine large-mod-accel コマンドを入力します。 バージョン 8.2(3) でも使用可能です。 |
||
Microsoft Internet Explorer プロキシのロックダウン制御 |
この機能をイネーブルにすると AnyConnect VPN セッションの間 Microsoft Internet Explorer の接続タブが非表示になります。この機能をディセーブルにすると、[Connections] タブの表示は変更されません。このタブのデフォルト設定は、ユーザーのレジストリ設定に応じて表示または非表示になります。 次のコマンドが導入されました。msie-proxy lockdown ASDM で、コマンドライン インターフェイス ツールを使用して、このコマンドを入力します。 バージョン 8.2(3) でも使用可能です。 |
||
セカンダリ パスワードの強化 |
すべての認証のために共通セカンダリ パスワードの SSL VPN サポートを設定するか、プライマリ パスワードをセカンダリ パスワードとして使用できるようになりました。 次のコマンドが変更されました。secondary-pre-fill-username [use-primary-password | use-common-password] ] 次の画面が変更されました。[Configuration] > [Remote Access VPN] > [Clientless SSL Access] > [Connection Profiles] > [Add/Edit Clientless SSL VPN Connection Profile] > [Advanced] > [Secondary Authentication] |
||
一般的な機能 |
|||
輸出用のペイロード暗号化なしイメージ |
輸出先の国によっては、Cisco ASA 5500 シリーズでペイロード暗号化をイネーブルにできません。バージョン 8.3(2) の場合、次のモデルにペイロード暗号化なしイメージ(asa832-npe-k8.bin)をインストールできるようになりました。
ペイロード暗号化なしイメージで無効にする機能には、次のものが含まれます。
強力な暗号化(3DES/AES)ライセンスをインストールしようとすると、次の警告が表示されます。
|
ASA 8.3(1)/ASDM 6.3(1) の新機能
リリース:2010年3月8日
機能 |
説明 |
||
---|---|---|---|
リモート アクセス機能 |
|||
スマート トンネルの拡張機能 |
ログオフの拡張機能:すべてのブラウザ ウィンドウが閉じると、スマート トンネルからログオフできるようになりました(親アフィニティ)。あるいは、システム トレイの通知アイコンを右クリックすると、ログアウトを確認できます。 トンネル ポリシー:管理者は、VPN ゲートウェイを通過する接続と通過しない接続を指定できます。管理者が許可すれば、エンド ユーザーはスマート トンネルを使用して社内リソースにアクセス中、直接インターネットをブラウズできます。 トンネリングするアプリケーションのコンフィギュレーションの簡素化:スマート トンネルが必要な場合、スマート トンネルにアクセスしてから特定の Web ページにアクセスするというプロセスのリストを設定する必要はありません。ブックマークまたはスタンドアロン アプリケーションの [enable smart tunnel] チェックボックスを使用すると、プロセスを簡単に設定できます。 グループ ポリシー ホーム ページ:管理者はスマート トンネル経由で接続できるよう、ASDM のチェックボックスを使用して、グループ ポリシーでホーム ページを指定できるようになりました。 smart-tunnel network および smart-tunnel tunnel-policy コマンドが導入されました。 次の画面が変更されました。[Configuration] > [Remote Access VPN] > [AAA/Local Users] > [Local Users] > [Edit] > [VPN Policy] > [Clientless SSL VPN] |
||
ブラウザベース VPN で新しくサポートされるプラットフォーム |
リリース 8.3(1) では、新しくサポートされる次のプラットフォームから、ブラウザベース(クライアントレス)の VPN アクセスが可能です。
Firefox 2.x は、今後テストは実施されませんが、ほとんどの場合動作すると考えられます。 リリース 8.3(1) では、Mac OS 10.5 の 64 ビット アプリケーションに対し、ブラウザ ベースのサポートが導入されます。 リリース 8.3(1) は、ブラウザベースの VPN アクセスでサポートされるすべての 32 ビットおよび 64 ビット Windows OS、Mac OS 10.5(Intel プロセッサで稼働中のもののみ)、および Mac OS 10.6.x 上で、スマート トンネル アクセスをサポートするようになりました。ASA は、64 ビット OS 上でのポート転送をサポートしません。 ブラウザベースの VPN アクセスでは、Windows 7、Vista、および Internet Explorer 8 での Web フォルダはサポートされません。 RDP プラグインの ActiveX バージョンは、64 ビット ブラウザに使用できません。
|
||
IKEv1 LAN-to-LAN VPN 接続用の IPv6 サポート |
IPv4 アドレッシングと IPv6 アドレッシングが混在した、またはすべて IPv6 アドレッシングの LAN-to-LAN 接続については、両方のピアが Cisco ASA 5500 シリーズ ASA の場合、および両方の内部ネットワークのアドレッシング方式が一致している場合(両方が IPv4 または両方が IPv6 の場合)は、ASA で VPN トンネルがサポートされます。 具体的には、両方のピアが Cisco ASA 5500 シリーズ ASA の場合、次のトポロジがサポートされます。
isakmp enable、crypto map、crypto dynamic-map、tunnel-group、ipv6-vpn-filter、vpn-sessiondb、show crypto isakmp sa、show crypto ipsec sa、show crypto debug-condition、show debug crypto、show vpn-sessiondb、debug crypto condition、debug menu ike の各コマンドが変更または導入されました。 次の画面が変更または導入されました。 [Wizards] > [IPsec VPN Wizard] > [Configuration] > [Site-to-Site VPN] > [Connection Profiles][Configuration] > [Site-to-Site VPN] > [Connection Profiles] > [Basic] > [Add IPsec Site-to-Site Connection Profile] [Configuration] > [Site-to-Site VPN] > [Group Policies] [Configuration] > [Site-to-Site VPN] > [Group Policies] > [Edit Internal Group Policy] [Configuration] > [Site-to-Site VPN] > [Advanced] > [Crypto Maps] [Configuration] > [Site-to-Site VPN] > [Advanced] > [Crypto Maps] > [Add] > [Create IPsec Rule] [Configuration] > [Site-to-Site VPN] > [Advanced] > [ACL Manager] |
||
AnyConnect プロファイル エディタ用プラグイン |
AnyConnect プロファイル エディタは、AnyConnect 2.5 またはそれ以降のクライアント プロファイル(クライアント機能を制御する設定が含まれる XML ファイル)を設定するために使用できる、便利な GUI ベースの設定ツールです。以前はプロファイル設定は、プロファイル ファイル内の XML タグを編集して手動で変更することしかできませんでした。AnyConnect プロファイル エディタは、ASDM イメージとともにパッケージ化されている anyconnectprof.sgz という名前のプラグイン バイナリ ファイルで、ASA 上のフラッシュ メモリのルート ディレクトリ disk0:/ にインストールされます。この設計では、新しいクライアントのリリースで利用できる新しい AnyConnect 機能と互換性があるエディタを更新できます。 |
||
SSL VPN ポータル カスタマイズ エディタ |
ASDM の新しい [Edit Customization Object] ウィンドウを使用して、クライアント SSL VPN ユーザーに表示される画面をブランド変更してカスタマイズできます。企業のロゴ、テキスト メッセージ、および一般的なレイアウトを含む、ログオン、ポータル、およびログアウト画面をカスタマイズできます。以前は、ASA ソフトウェア イメージにカスタマイズ機能が埋め込まれていました。ASDM に移行することで、この機能の機能拡張は大幅に使いやすくなります。 次の画面が変更されました。[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Portal] > [Customization] |
||
リモート アクセス VPN の使いやすさの向上 |
ASDM は、クライアントレス SSL VPN、AnyConnect SSL VPN リモート アクセス、または ASDM アシスタントを使用する IPsec リモート アクセスを設定するための、手順ごとのガイドを提供しています。ASDM アシスタントは VPN ウィザードよりも包括的であり、利用開始のみを目的として設計されています。 次の画面が変更されました。[Configuration] > [Remote Access VPN] > [Introduction] > [ASDM Assistant] |
||
ファイアウォール機能 |
|||
インターフェイスに依存しないアクセス ポリシー |
1 つのインターフェイスに適用される規則のほか、グローバルに適用されるアクセス規則を設定できるようになりました。コンフィギュレーションでグローバル アクセス ポリシーとインターフェイス固有のアクセス ポリシーの両方が指定されている場合は、グローバル ポリシーの前にインターフェイス固有のポリシーがは評価されます。 access-group global コマンドが変更されました。 次の画面が変更されました。[Configuration] > [Firewall] > [Access Rules] |
||
ネットワークおよびサービス オブジェクト |
名前付きのネットワーク オブジェクトを作成し、ホスト、サブネット、または IP アドレス範囲の代わりにコンフィギュレーションで使用できるようになりました。また、名前付きのサービス オブジェクトを作成し、プロトコルおよびポートの代わりにコンフィギュレーションで使用できるようになりました。オブジェクトの定義は、コンフィギュレーションの他の部分を変更せずに、1 箇所だけを変更することができます。このリリースでは、次の機能でネットワークおよびサービス オブジェクトがサポートされます。
object network、object service、show running-config object、clear configure object、access-list extended、object-group network の各コマンドが変更または導入されました。 次の画面が変更または導入されました。 [Configuration] > [Firewall] > [Objects] > [Network Objects/Groups] [Configuration] > [Firewall] > [Objects] > [Service Objects/Groups] [Configuration] > [Firewall] > [NAT Rules]、[Configuration] > [Firewall] > [Access Rules] |
||
オブジェクト グループ拡張規則の削減 |
パケット分類のパフォーマンスは十分なレベルで維持しつつ、ネットワーク オブジェクト グループの拡張は大幅に削減されました。 show object-group、clear object-group、show access-list の各コマンドが変更されました。 次の画面が変更されました。[Configuration] > [Firewall] > [Access Rules] > [Advanced] |
||
NAT の簡素化 |
NAT コンフィギュレーションは全面的に再設計され、柔軟性と使いやすさが向上しました。自動 NAT を使用して NAT を設定すると、ネットワーク オブジェクトの属性の一部として NAT を設定でき、手動 NAT を使用すると、より高度な NAT オプションを設定できるようになりました。 nat(グローバルおよびオブジェクト ネットワーク コンフィギュレーション モード)、show nat、show nat pool、show xlate、show running-config nat の各コマンドが導入または変更されました。 global、static、nat-control、alias の各コマンドは削除されました。 次の画面が変更または導入されました。 [Configuration] > [Firewall] > [Objects] > [Network Objects/Group] [Configuration] > [Firewall] > [NAT Rules] |
||
アクセス リストでの変換後のアドレスに代わる実際の IP アドレスの使用 |
NAT を使用する場合、多数の機能を実現するために、アクセス リストでマッピング アドレスを使用する必要はなくなりました。次の機能を設定する場合は、常に変換されていない実際のアドレスを使用します。実際のアドレスを使用するということは、NAT コンフィギュレーションが変更された場合にアクセス リストを変更する必要がないことを意味します。 アクセス リストを使用する次のコマンドと機能では、今後は実際の IP アドレスが使用されます。8.3 へのアップグレードを行うと、特に指定のない限り、これらの機能は実際の IP アドレスを使用するよう自動的に移行されます。
|
||
脅威検出の拡張機能 |
高度な統計情報を収集するレート間隔の数値をカスタマイズできるようになりました。デフォルトのレート数は、3 から 1 に変更されました。基本的な統計情報、高度な統計情報、およびスキャン脅威検出用に、メモリの使用方法が改善されました。 threat-detection statistics port number-of-rates、threat-detection statistics protocol number-of-rates、show threat-detection memory の各コマンドが変更されました。 次の画面が変更されました。[Configuration] > [Firewall] > [Threat Detection] |
||
ユニファイド コミュニケーション機能 |
|||
SCCP v19 のサポート |
Cisco Phone Proxy 機能の IP フォン サポートが拡張され、サポート対象 IP フォン リストに SCCP プロトコルのバージョン 19 のサポートが追加されました。 |
||
Cisco Intercompany Media Engine Proxy |
Cisco Intercompany Media Engine(UC-IME)では、企業は VoIP テクノロジーによって実現された高度な機能を使用して、インターネット上でオンデマンドの相互通信ができます。Cisco Intercompany Media Engine では、ピアツーピア、セキュリティ、および SIP プロトコルを使用してビジネス間にダイナミック SIP トランクを作成することにより、異なる企業内の Cisco Unified Communications Manager クラスタの間で企業間フェデレーションを実現できます。企業の集合は、最終的にそれらの間にクラスタ間トランクが存在する 1 つの大きなビジネスであるかのように連携します。 uc-ime、fallback hold-down、fallback monitoring、fallback sensitivity-file、mapping-service listening-interface、media-termination、ticket epoch、ucm address、clear configure uc-ime、debug uc-ime、show running-config uc-ime、inspect sip の各コマンドが変更または導入されました。 次の画面が変更または導入されました。 [Wizards] > [Unified Communications Wizard] > [Cisco Intercompany Media Engine Proxy][Configuration] > [Firewall] > [Unified Communications]、および [UC-IME Proxy] をクリック [Configuration] > [Firewall] > [Service Policy Rules] > [Add/Edit Service Policy Rule] > [Rule Actions] > [Select SIP Inspection Map] |
||
IME 向けの SIP インスペクション サポート |
SIP インスペクションが拡張され、新しい Cisco Intercompany Media Engine(UC-IME)Proxy のサポートが追加されました。 inspect sip コマンドが変更されました。 次の画面が変更されました。[Configuration] > [Firewall] > [Service Policy Rules] > [Add/Edit Service Policy Rule] > [Rule Actions] > [Select SIP Inspection Map] |
||
Unified Communication Wizard |
Unified Communications Wizard は、設定全体を手引きし、Cisco Mobility Advantage プロキシ、Cisco Presence Federation プロキシ、Cisco Intercompany Media Engine プロキシの必要な面を自動的に設定します。さらに、Unified Communications Wizard はプロキシの他の必要な面を自動的に設定します。 次の画面が変更されました。 [Wizards] > [Unified Communications Wizard] [Configuration] > [Firewall] > [Unified Communications] |
||
ユニファイド コミュニケーション機能の強化されたナビゲーション |
[Phone Proxy]、[TLS Proxy]、[CTL File]、および [CTL Provider] ページなどのユニファイド コミュニケーション プロキシ機能は、左側のナビゲーション パネルの [Objects] カテゴリの下から、新しい [Unified Communications] カテゴリに移動しました。さらに、この新しいカテゴリには、新しい Unified Communication Wizard と [UC-IME Proxy] ページが含まれています。 この機能は、すべての ASA バージョンと相互運用性があります。 |
||
ルーティング機能 |
|||
ルート マップ サポート |
ASDM により、スタティック ルートとダイナミック ルートのサポートが強化されました。 次の画面が変更されました。[Configuration] > [Device Setup] > [Routing] > [Route Maps] この機能は、すべての ASA バージョンと相互運用性があります。 |
||
モニタリング機能 |
|||
アクセス リストのヒット数のタイムスタンプ |
指定されたアクセス リストについて、ハッシュ値とヒット数とともにタイムスタンプが表示されます。 show access-list コマンドが変更されました。 次の画面が変更されました。[Configuration] > [Firewall] > [Access Rules] (タイムスタンプは、[Hit] 列のセル上にマウスを置くと表示されます)。 |
||
ASDM のハイ パフォーマンス モニタリング |
ASDM のハイ パフォーマンス モニタリングをイネーブルにすると、ASA 経由で接続されたホストの上位 200 を表示できるようになりました。ホストの各エントリには、ホストの IP アドレスと、ホストによって開始された接続の数が含まれ、このエントリは 120 秒ごとにアップデートされます。 hpm topn enable、clear configure hpm、および show running-config hpm の各コマンドが導入されました。 次の画面が導入されました。[Home] > [Firewall Dashboard] > [Top 200 Hosts] |
||
ライセンシング機能 |
|||
同一でないフェールオーバー ライセンス |
フェールオーバー ライセンスが各ユニット上で同一である必要がなくなりました。両方のユニットで使用するライセンスは、プライマリ ユニットおよびセカンダリ ユニットからの結合されたライセンスです。
show activation-key および show version の各コマンドが変更されました。 次の画面が変更されました。[Configuration] > [Device Management] > [Licensing] > [Activation Key] |
||
スタック可能な時間ベース ライセンス |
時間ベース ライセンスがスタッカブルになりました。多くの場合、時間ベース ライセンスは更新の必要があり、旧ライセンスから新しいライセンスへシームレスに移行する必要があります。時間ベース ライセンスだけで使用される機能では、新しいライセンスが適用される前に、ライセンスの有効期限が切れてしまわないことが特に重要です。ASA では時間ベース ライセンスをスタックできるので、ライセンスの有効期限が切れたり、新しいライセンスを早めにインストールしたために時間が無駄になったりする心配はありません。数値ティアを持つライセンスの場合、スタックできるのは容量が同じライセンスだけです。たとえば、SSL VPN セッション数が 1000 である 2 つの ライセンスはスタック可能です。ライセンスの状態を表示できます。これには show activation-key コマンドを [Configuration] > [Device Management] > [Licensing] > [Activation Key] で使用します。 |
||
Intercompany Media Engine ライセンス |
IME ライセンスが導入されました。 |
||
稼働時間に基づいた時間ベース ライセンス |
時間ベース ライセンスでは、ASA の合計稼働時間に応じてカウント ダウンします。システム クロックはライセンスには影響しません。 |
||
複数の時間ベース ライセンスの同時アクティブ化 |
時間ベース ライセンスを複数インストールできるようになり、同時に機能ごとに 1 つのアクティブなライセンスを保持できるようになりました。 show activation-key および show version の各コマンドが変更されました。 次の画面が変更されました。[Configuration] > [Device Management] > [Licensing] > [Activation Key] |
||
時間ベース ライセンスのアクティブ化と非アクティブ化の個別化 |
コマンドを使用して、時間ベース ライセンスをアクティブ化または非アクティブ化できるようになりました。 activation-key [activate | deactivate] コマンドが変更されました。 次の画面が変更されました。[Configuration] > [Device Management] > [Licensing] > [Activation Key] |
||
一般的な機能 |
|||
マスター パスフレーズ |
マスター パスフレーズ機能を利用すると、プレーン テキスト パスワードを暗号化された形式で安全に保存できます。この機能では、マスター キーを使用して、機能を変更することなく、すべてのパスワードを例外なく暗号化またはマスクできます。 バックアップ/復元機能は、マスター パスフレーズをサポートします。 key config-key password-encryption および password encryption aes の各コマンドが導入されました。 次の画面が導入されました。 [Configuration] > [Device Management] > [Advanced] > [Master Passphrase] [Configuration] > [Device Management] > [Device Administration] > [Master Passphrase] |
||
ASDM 機能 |
|||
Upgrade Software from Cisco.com Wizard |
Upgrade Software from Cisco.com Wizard は変更され、ASDM と ASA をより新しいバージョンに自動的にアップグレードできるようになりました。注意点として、この機能は、シングル モードでのみ使用できます。システム実行スペースでは複数のコンテキスト モードで使用できます。コンテキストでは使用できません。 次の画面が変更されました。[Tools] > [Check for ASA/ASDM Updates] この機能は、すべての ASA バージョンと相互運用性があります。 |
||
バックアップ/復元の機能拡張 |
[Backup Configurations] ペインが並べ替えられ、グループ編成が変更されました。これにより、バックアップするファイルをより簡単に選択できます。[Backup Progress] ペインが追加され、バックアップの進行状況を視覚的に測定できるようになりました。バックアップまたは復元を使用するときにパフォーマンスが大幅に向上していることが表示されます。 次の画面が変更されました。[Tools] > [Backup Configurations] または [Tools] > [Restore Configurations] この機能は、すべての ASA バージョンと相互運用性があります。 |
バージョン 8.2 の新機能
ASA 8.2(5.13)/ASDM 6.4(4.106) の新機能
リリース:2011年9月18日
(注) |
解決される特定の問題がある場合にだけ、Cisco.com にポストされた ASA 暫定リリースにアップグレードすることを推奨します。実稼働環境で暫定リリースを実行する場合は、暫定リリースでは対象のテストだけが実行されることに注意してください。暫定リリースは、TAC Web サイトによって十分にサポートされ、通常、次のメンテナンス リリースが使用可能になるまでの期間だけダウンロード サイトに残されます。暫定リリースを実行することを選択した場合、使用可能になったときに、完全にテストされたメンテナンス リリース、または機能リリースにアップグレードすることを強く推奨します。 次のメンテナンスまたは機能リリースの時点で暫定リリース機能についてマニュアルを作成します。各 ASA 暫定リリースの解決済みの警告のリストについては、Cisco.com のソフトウェア ダウンロード サイトから入手可能な暫定リリース ノートを参照してください。 |
機能 |
説明 |
||
---|---|---|---|
リモート アクセス機能 |
|||
ブラウザでのクライアントレス SSL VPN のサポート |
ASA は、Microsoft Internet Explorer 9 および Firefox 4 を使用してクライアントレス SSL VPN をサポートするようになりました。 バージョン 8.3(2.25) および 8.4.2(8) でも使用可能です。 |
||
DTLS および TLS における圧縮 |
スループットを向上させるため、シスコは AnyConnect 3.0 以降で DTLS と TLS の圧縮をサポートするようになりました。各トンネリング メソッドは個別に圧縮を構成します。優先設定は SSL と DTLS の両方の圧縮を LZS とすることです。この機能は、従来の VPN クライアントからの移行を強化します。
次のコマンドを導入または変更しました。anyconnect dtls compression [lzs | none] および anyconnect ssl compression [deflate | lzs | none] 次の画面が変更されました。[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Group Policies] > [Edit] > [Edit Internal Group Policy] > [Advanced] > [AnyConnect Client] > [SSL Compression] バージョン 8.3(2.25) およびバージョン 8.4.2(8) でも使用可能です。 |
||
トラブルシューティング機能 |
|||
show asp table classifier および show asp table filter コマンドの正規表現照合 |
出力をフィルタするために、show asp table classifier と show asp table filter コマンドは正規表現を使用して入力できるようになりました。 次のコマンドが変更されました。show asp table classifier match regex、show asp table filter match regex ASDM ではこのコマンドはサポートされません。コマンドライン ツールを使用してコマンドを入力してください。 バージョン 8.3(2.25) およびバージョン 8.4.2(8) でも使用可能です。 |
ASA 8.2(5)/ASDM 6.4(3) の新機能
リリース:2011 年 5 月 23 日
機能 |
説明 |
---|---|
モニタリング機能 |
|
Smart Call-Home Anonymous Reporting |
顧客は Anonymous Reporting をイネーブルにして、ASA プラットフォームを改善することができるようになりました。Anonymous Reporting により、エラーおよびヘルスに関する最小限の情報をデバイスからシスコに安全に送信できます。 次のコマンドが導入されました。call-home reporting anonymous、call-home test reporting anonymous 次の画面が変更されました。[Configuration] > [Device Monitoring] > [Smart Call-Home] バージョン 8.4(2) でも使用可能です。 |
IF-MIB ifAlias OID のサポート |
ASA は、ifAlias OID をサポートするようになりました。IF-MIB をブラウズする際、fAlias OID はインターフェイスの記述に設定済みの値に設定されます。 バージョン 8.4(2) でも使用可能です。 |
リモート アクセス機能 |
|
ポータル アクセス ルール |
この拡張機能により、カスタマーは、HTTP ヘッダー内に存在するデータに基づいて、クライアントレス SSL VPN セッションを許可または拒否するグローバルなクライアントレス SSL VPN アクセス ポリシーを設定することができます。拒否された場合は、エラー コードがクライアントに返されます。この拒否は、ユーザー認証の前に行われるため、処理リソースの使用が最小限に抑えられます。 次のコマンドが変更されました。portal-access-rule 次の画面が変更されました。[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Portal] > [Portal Access Rules] バージョン 8.4(2) でも使用可能です。 |
Mobile Posture (以前の名称は AnyConnect Identification Extensions for Mobile Device Detection) |
モバイル デバイスへの VPN 接続の許可または拒否、グループ単位でのモバイル デバイス アクセスのイネーブル化またはディセーブル化、およびモバイル デバイスのポスチャ データに基づいた接続モバイル デバイスに関する情報の収集を実行するように ASA を設定できるようになりました。AnyConnect for iPhone/iPad/iPod バージョン 2.5.x および AnyConnect for Android バージョン 2.4.x の各モバイル プラットフォームでこの機能がサポートされています。ASDM でこれらの属性を設定するために CSD をイネーブルにする必要はありません。 ライセンス要件リモート アクセス コントロールを適用し、モバイル デバイスからポスチャ データを収集するには、AnyConnect Mobile ライセンスと、AnyConnect Essentials または AnyConnect Premium ライセンスのいずれかが ASA にインストールされている必要があります。インストールするライセンスに基づいて次の機能を受け取ります。
AnyConnect Premium ライセンスをインストールする企業は、DAP 属性および他の既存のエンドポイント属性に基づいてサポートされているモバイル デバイスの DAP ポリシーを適用できます。これには、モバイル デバイスからのリモート アクセスの許可または拒否が含まれます。
AnyConnect Essentials ライセンスをインストールする企業は、次の操作を実行できます。
次の画面が変更されました。[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Dynamic Access Policies] > [Add/Edit Endpoint Attributes] > [Endpoint Attribute Type:AnyConnect] バージョン 8.4(2) でも使用可能です。 |
AnyConnect 用のスプリット トンネル DNS ポリシー |
このリリースには、スプリット トンネルを介して DNS アドレスを解決するために AnyConnect セキュア モビリティ クライアントにプッシュダウンされた新しいポリシーが含まれています。このポリシーは、SSL プロトコルまたは IPsec/IKEv2 プロトコルを使用する VPN 接続に適用され、AnyConnect クライアントに対して VPN トンネルを経由するすべての DNS アドレスを解決するように指示します。DNS 解決に失敗すると、アドレスは未解決のまま残ります。AnyConnect Client は、パブリック DNS サーバー経由でアドレスを解決しようとはしません。 デフォルトでは、この機能はディセーブルになっています。クライアントは、スプリット トンネル ポリシーに従ってトンネル経由で DNS クエリーを送信します。ポリシーは、すべてのネットワークをトンネリング、ネットワーク リストで指定されたネットワークをトンネリング、またはネットワーク リストで指定されたネットワークを除外です。 次のコマンドが導入されました。split-tunnel-all-dns 次の画面が変更されました。[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Group Policies] > [Add/Edit Group Policy] > [Advanced] > [Split Tunneling]([Send All DNS Lookups Through Tunnel] チェックボックスを参照)。 バージョン 8.4(2) でも使用可能です。 |
SSL SHA-2 デジタル署名 |
デジタル証明書を使用する SSL VPN 接続の認証における SHA-2 準拠の署名アルゴリズムを使用できるようになりました。SHA-2 のサポートには、SHA-256、SHA-384、および SHA-512 の 3 つすべてのハッシュ サイズが含まれます。SHA-2 には AnyConnect 2.5(1) 以降(2.5(2) 以降を推奨)が必要です。このリリースは、他の使用または製品では SHA-2 をサポートしません。 注意:SHA-2 接続のフェールオーバーをサポートするためには、スタンバイ ASA も同じイメージを実行している必要があります。 次のコマンドが変更されました。show crypto ca certificate([Signature Algorithm] フィールドは、署名の生成時に使用されるダイジェスト アルゴリズムを識別します)。 変更された画面はありません。 バージョン 8.4(2) でも使用可能です。 |
L2TP/IPsec による Android のサポート |
L2TP/IPsec プロトコルとネイティブ Android VPN クライアントを使用する場合、Android モバイル デバイスと ASA 5500 シリーズ デバイスとの間の VPN 接続をサポートするようになりました。モバイル デバイスで Android 2.1 以降のオペレーティング システムが使用されている必要があります。 変更されたコマンドはありません。 変更された画面はありません。 バージョン 8.4(1) でも使用可能です。 |
SHA2 証明書署名による Microsoft Windows 7 と Android ネイティブ VPN クライアントのサポート |
ASA は、L2TP/IPsec プロトコルを使用する場合、Microsoft Windows 7 および Android ネイティブ VPN クライアント用の SHA2 証明書署名サポートをサポートします。 変更されたコマンドはありません。 変更された画面はありません。 バージョン 8.4(2) でも使用可能です。 |
group-url 属性をオーバーライドするための証明書のマッピングの有効化/無効化 |
この機能は、接続プロファイルの選択プロセス中に、接続プロファイルのプリファレンスを変更します。デフォルトでは、接続プロファイルで指定された証明書のフィールド値とエンドポイントで使用される証明書のフィールド値が ASA によって照合され、一致した場合は、そのプロファイルが VPN 接続に割り当てられます。このオプションの機能により、エンドポイントが要求したグループ URL を指定する接続プロファイルに対するプリファレンスが変更されます。この新しいオプションにより、管理者は ASA ソフトウェアの数多くの旧リリースによって使用されるグループ URL プリファレンスを利用できます。 次のコマンドが導入されました。tunnel-group-preference 。 次の画面が変更されました。 [Configuration] > [Remote Access VPN] > [Clientless SSL VPN] > [Connection Profiles] [Configuration] > [Remote Access VPN] > [Network (Client) Access] > [AnyConnect Connection Profiles] バージョン 8.4(2) でも使用可能です。 |
インターフェイス機能 |
|
1 ギガビット イーサネット インターフェイスでのフロー制御のポーズ フレームのサポート |
1 ギガビット イーサネット インターフェイスでのフロー制御用の停止(XOFF)フレームを有効化できるようになりました。サポートは以前は 8.2(2) の 10 ギガビット イーサネット インターフェイス用に追加されていました。 flowcontrol コマンドが変更されました。 次の画面が変更されました。 (シングル モード)[Configuration] > [Device Setup] > [Interfaces] > [Add/Edit Interface] > [General](マルチ モード、システム)[Configuration] > [Interfaces] > [Add/Edit Interface] バージョン 8.4(2) でも使用可能です。 |
ユニファイド コミュニケーション機能 |
|
ASA Tandberg と H.323 インスペクションとの相互運用性 |
H.323 インスペクションは、双方向ビデオ セッションの双方向信号をサポートするようになりました。この機能拡張により、一方向のビデオ会議での H.323 インスペクションが Tandberg ビデオ電話によってサポートされます。双方向信号をサポートすると、Tandberg 電話はビデオ モードを切り替えることができます(H.263 ビデオ セッションの側を閉じ、高解像度ビデオの圧縮標準である H.264 を使用してセッションを再オープンします)。 変更されたコマンドはありません。 変更された画面はありません。 バージョン 8.4(2) でも使用可能です。 |
ルーティング機能 |
|
バックアップ スタティック ルートを使用する接続のタイムアウト |
同じネットワークへの複数のスタティック ルートが存在しており、それぞれメトリックが異なる場合は、ASA は接続確立時点でメトリックが最良のルートを使用します。より適切なルートが使用可能になった場合は、このタイムアウトによって接続が閉じられるので、その適切なルートを使用して接続を再確立できます。デフォルトは 0 です(接続はタイムアウトしません)。この機能を使用するには、タイムアウトを新しい値に変更します。 timeout floating-conn コマンドが変更されました。 次の画面が変更されました。[Configuration] > [Firewall] > [Advanced] > [Global Timeouts] バージョン 8.4(2) でも使用可能です。 |
ASA 8.2(4.4)/ASDM 6.3(5) の新機能
リリース:2011年3月4日
(注) |
解決される特定の問題がある場合にだけ、Cisco.com にポストされた暫定リリースにアップグレードすることを推奨します。実稼働環境で暫定リリースを実行する場合は、暫定リリースでは対象のテストだけが実行されることに注意してください。暫定リリースは、TAC Web サイトによって十分にサポートされ、次のメンテナンス リリースが使用可能になるまでの期間だけダウンロード サイトに残されます。暫定リリースを実行することを選択した場合、使用可能になったときに、完全にテストされたメンテナンス リリース、または機能リリースにアップグレードすることを強く推奨します。次のメンテナンスまたは機能リリースの時点で暫定リリース機能についてマニュアルを作成します。各暫定リリースの解決済みの警告のリストについては、Cisco.com のソフトウェア ダウンロード サイトから入手可能な Cisco ASA 暫定リリース ノートを参照してください。 |
機能 |
説明 |
---|---|
ハードウェアの機能 |
|
ASA 5585-X 対応の IPS SSP-10、-20、-40、および -60 のサポート |
ASA 5585-X 用の IPS SSP-10、-20、-40、および -60 のサポートを導入しました。IPS SSP は対応するレベルの SSP がある場合にのみインストールできます(たとえば SSP-10 や IPS SSP-10)。 |
リモート アクセス機能 |
|
Outlook Web Access 2010 のクライアントレス SSL VPN サポート |
デフォルトでは、クライアント SSL VPN は Outlook Web Access(OWA)2010 トラフィック用のコンテンツ変換(リライト)サポートを提供するようになりました。 変更されたコマンドはありません。 変更された画面はありません。 |
ASA 8.2(4.1)/ASDM 6.3(5) の新機能
リリース:2011年1月18日
(注) |
解決される特定の問題がある場合にだけ、Cisco.com にポストされた暫定リリースにアップグレードすることを推奨します。実稼働環境で暫定リリースを実行する場合は、暫定リリースでは対象のテストだけが実行されることに注意してください。暫定リリースは、TAC Web サイトによって十分にサポートされ、次のメンテナンス リリースが使用可能になるまでの期間だけダウンロード サイトに残されます。暫定リリースを実行することを選択した場合、使用可能になったときに、完全にテストされたメンテナンス リリース、または機能リリースにアップグレードすることを強く推奨します。次のメンテナンスまたは機能リリースの時点で暫定リリース機能についてマニュアルを作成します。各暫定リリースの解決済みの警告のリストについては、Cisco.com のソフトウェア ダウンロード サイトから入手可能な Cisco ASA 暫定リリース ノートを参照してください。 |
機能 |
説明 |
---|---|
リモート アクセス機能 |
|
SSL SHA-2 デジタル署名 |
このリリースは、デジタル証明書を使用する SSL VPN 接続の認証における SHA-2 準拠の署名アルゴリズムをサポートします。SHA-2 のサポートには、SHA-256、SHA-384、および SHA-512 の 3 つすべてのハッシュ サイズが含まれます。SHA-2 には AnyConnect 2.5.1 以降(2.5.2 以降を推奨)が必要です。このリリースは、他の使用または製品では SHA-2 をサポートしません。この機能にはコンフィギュレーションの変更はありません。注意:SHA-2 接続のフェールオーバーをサポートするためには、スタンバイ ASA も同じイメージを実行している必要があります。この機能をサポートするために、show crypto ca certificate コマンドに署名の生成に使用されるダイジェスト アルゴリズムを指定する [Signature Algorithm] フィールドを追加しました。 |
ASA 8.2(4)/ASDM 6.3(5) の新機能
リリース:2010年12月15日
機能 |
説明 |
||
---|---|---|---|
ハードウェアの機能 |
|||
Cisco ASA 5585-X(SSP-10 および SSP-40 搭載)サポート |
セキュリティ サービス プロセッサ(SSP)-10 および -40 を搭載した ASA 5585-X のサポートが導入されました。
|
ASA 8.2(3.9)/ASDM 6.3(4) の新機能
リリース:2010年11月2日
(注) |
解決される特定の問題がある場合にだけ、Cisco.com にポストされた暫定リリースにアップグレードすることを推奨します。実稼働環境で暫定リリースを実行する場合は、暫定リリースでは対象のテストだけが実行されることに注意してください。暫定リリースは、TAC Web サイトによって十分にサポートされ、次のメンテナンス リリースが使用可能になるまでの期間だけダウンロード サイトに残されます。暫定リリースを実行することを選択した場合、使用可能になったときに、完全にテストされたメンテナンス リリース、または機能リリースにアップグレードすることを強く推奨します。次のメンテナンスまたは機能リリースの時点で暫定リリース機能についてマニュアルを作成します。各暫定リリースの解決済みの警告のリストについては、Cisco.com のソフトウェア ダウンロード サイトから入手可能な Cisco ASA 暫定リリース ノートを参照してください。 |
機能 |
説明 |
---|---|
リモート アクセス機能 |
|
SSL SHA-2 デジタル署名 |
このリリースは、デジタル証明書を使用する SSL VPN 接続の認証における SHA-2 準拠の署名アルゴリズムをサポートします。SHA-2 のサポートには、SHA-256、SHA-384、および SHA-512 の 3 つすべてのハッシュ サイズが含まれます。SHA-2 には AnyConnect 2.5.1 以降(2.5.2 以降を推奨)が必要です。このリリースは、他の使用または製品では SHA-2 をサポートしません。この機能にはコンフィギュレーションの変更はありません。注意:SHA-2 接続のフェールオーバーをサポートするためには、スタンバイ ASA も同じイメージを実行している必要があります。この機能をサポートするために、show crypto ca certificate コマンドに署名の生成に使用されるダイジェスト アルゴリズムを指定する [Signature Algorithm] フィールドを追加しました。 |
ASA 8.2(3)/ASDM 6.3(3) と 6.3(4) の新機能
リリース:2010年8月9日
(注) |
ASDM 6.3(4) には新しい機能は含まれていません。それには ASA 5585-X のサポートに必要な警告の修正が含まれています。 |
機能 |
説明 |
||
---|---|---|---|
ハードウェアの機能 |
|||
Cisco ASA 5585-X(SSP-20 および SSP-60 搭載)サポート |
セキュリティ サービス プロセッサ(SSP)-20 および -60 を搭載した ASA 5585-X のサポートが導入されました。
|
||
リモート アクセス機能 |
|||
2048 ビット RSA 証明書と Diffie-Hellman Group 5(DH5)のパフォーマンスの改善 |
(ASA 5510、ASA 5520、ASA 5540、および ASA 5550 のみ)2048 ビット証明書および DH5 キーなどの大規模なモジュラス演算には、ソフトウェアの代わりにハードウェア処理を有効にすることを強くお勧めします。サイズが大きいキーにソフトウェア処理を使用し続ける場合は、IPsec と SSL VPN 接続の低速セッション確立により、パフォーマンスが大幅に低下することがあります。また、ソフトウェアからハードウェアへの処理の移行時に発生する可能性がある一時的なパケット損失を最小限に抑えるために、使用率が低い期間またはメンテナンス期間にまずハードウェア処理を有効にすることを推奨します。
次のコマンドが導入または変更されました。crypto engine large-mod-accel 、clear configure crypto engine、show running-config crypto engine、および show running-config crypto ASDM で、コマンドライン インターフェイス ツールを使用して、crypto engine large-mod-accel コマンドを入力します。 バージョン 8.3(2) でも使用可能です。 |
||
Microsoft Internet Explorer プロキシのロックダウン制御 |
この機能をイネーブルにすると AnyConnect VPN セッションの間 Microsoft Internet Explorer の接続タブが非表示になります。この機能をディセーブルにすると、[Connections] タブの表示は変更されません。このタブのデフォルト設定は、ユーザーのレジストリ設定に応じて表示または非表示になります。 次のコマンドが導入されました。msie-proxy lockdown ASDM で、コマンドライン インターフェイス ツールを使用して、このコマンドを入力します。 |
||
信頼できるネットワーク検出の一時停止と再開 |
この機能により、AnyConnect クライアントはセッション情報と cookie を保持して、セッションがアイドル タイマーの設定時間を超えない限り、ユーザーが退社しても接続はシームレスに復元することができます。この機能には、TND の一時停止と再開をサポートしている AnyConnect リリースが必要です。 |
ASA 8.2(2)/ASDM 6.2(5) の新機能
リリース:2010年1月11日
機能 |
説明 |
||
---|---|---|---|
リモート アクセス機能 |
|||
VPN セッションのレジューム待機のスケーラブル ソリューション |
管理者は、アクティブ状態のユーザー数をトレースし、統計情報を確認できるようになりました。ライセンス キャパシティに到達せず、新規ユーザーがログインできるように、最長時間非アクティブなセッションはアイドルとマークされます(さらに自動的にログオフされます)。 次の画面が変更されました。[Monitoring] > [VPN] > [VPN Statistics] > [Sessions] バージョン 8.0(5) でも使用可能です。 |
||
アプリケーション インスペクション機能 |
|||
IP オプションのインスペクション |
特定の IP オプションを持つどの IP パケットに ASA の通過を許可できるかを設定できるようになりました。IP パケットの IP オプションをクリアして、ASA の通過を許可することもできます。以前は、すべての IP オプションは、いくつかの特別な場合を除いて、デフォルトでは拒否されていました。
次のコマンドが導入されました。policy-map type inspect ip-options、inspect ip-options、eool、nop 次の画面が導入されました。 [Configuration] > [Firewall] > [Objects] > [Inspect Maps] > [IP-Options] [Configuration] > [Firewall] > [Service Policy] > [Add/Edit Service Policy Rule] > [Rule Actions] > [Protocol Inspection] |
||
H.323 エンドポイント間のコール設定のイネーブル化 |
Gatekeeper がネットワーク内にある場合は、H.323 エンドポイント間のコール セットアップをイネーブルにできます。ASA には、RegistrationRequest/RegistrationConfirm(RRQ/RCF)メッセージに基づいてコールのピンホールを開くオプションが含まれています。 これらの RRQ/RCF メッセージはゲートキーパーとの間で送信されるため、コール側エンドポイント IP アドレスは不明であり、ASA は送信元 IP アドレス/ポート 0/0 を通じてピンホールを開けます。デフォルトでは、このオプションは無効になっています。 次のコマンドが導入されました。ras-rcf-pinholes enable (policy-map type inspect h323 > parameters コマンドの下) 次の画面が変更されました。[Configuration] > [Firewall] > [Objects] > [Inspect Maps] > [H.323] > [Details] > [State Checking] バージョン 8.0(5) でも使用可能です。 |
||
ユニファイド コミュニケーション機能 |
|||
モビリティ プロキシ アプリケーションでの Unified Communications Proxy ライセンス不要化 |
モビリティ プロキシに UC Proxy ライセンスが必要なくなりました。 |
||
インターフェイス機能 |
|||
マルチ コンテキスト モードでは、自動生成 MAC アドレスでユーザー設定可能プレフィックスやその他の拡張を使用 |
MAC アドレス形式は、プレフィックスの使用、固定開始値(A2)の使用、およびフェールオーバー ペアでプライマリ装置とセカンダリ装置の MAC アドレスに対して異なるスキームの使用が可能になるように変更されました。 MAC アドレスは現在、リロード間で持続されるようになっています。 コマンド パーサーは現在、自動生成がイネーブルになっているかどうかをチェックします。MAC アドレスを手動でも割り当てることができるようにする場合は、A2 を含む手動 MAC アドレスは開始できません。 コマンド mac-address auto prefix prefix が変更されました。 次の画面が変更されました。[Configuration] > [Context Management] > [Security Contexts] バージョン 8.0(5) でも使用可能です。 |
||
ASA 5580 10 ギガビット イーサネット インターフェイスでのフロー制御のポーズ フレームのサポート |
フロー制御のポーズ(XOFF)フレームをイネーブルにできるようになりました。 flowcontrol コマンドが導入されました。 次の画面が変更されました。 (シングル モード)[Configuration] > [Device Setup] > [Interfaces] > [Add/Edit Interface] > [General] (マルチモード、システム)[設定(Configuration)] > [インターフェイス(Interfaces)] > [インターフェイスを追加または編集(Add/Edit Interface)] |
||
ファイアウォール機能 |
|||
ボットネット トラフィック フィルタの機能拡張 |
ボットネット トラフィック フィルタでは、脅威レベルに基づいた、ブラックリストに記載されているトラフィックの自動ブロッキングがサポートされるようになりました。統計情報およびレポートで、マルウェア サイトのカテゴリおよび脅威レベルも表示できます。レポートは、感染したホストを表示するように拡張されました。上位ホストに対するレポートの 1 時間タイムアウトが削除され、タイムアウトがなくなりました。 dynamic-filter ambiguous-is-black、dynamic-filter drop blacklist、show dynamic-filter statistics、show dynamic-filter reports infected-hosts、および show dynamic-filter reports top コマンドが導入または変更されました。 次の画面が導入または変更されました。 [Configuration] > [Firewall] > [Botnet Traffic Filter] > [Traffic Settings] [Monitoring] > [Botnet Traffic Filter] > [Infected Hosts] |
||
すべてのプロトコルの接続タイムアウト |
アイドル タイムアウトは、TCP だけでなく、すべてのプロトコルに適用するように変更されました。 次のコマンドが変更されました。set connection timeout 次の画面が変更されました。[Configuration] > [Firewall] > [Service Policies] > [Rule Actions] > [Connection Settings] |
||
ルーティング機能 |
|||
ルーティング問題を解決するための DHCP RFC 互換性(rfc3011、rfc3527) |
この拡張では、DHCP RFCs 3011(IPv4 サブネット選択オプション)および 3527(リレー エージェント情報オプションのリンク選択サブオプション)の ASA サポートが導入されました。VPN クライアント用に設定された DHCP サーバごとに、ASA を設定して [Subnet Selection] オプションまたは [Link Selection] オプションを送信できるようになりました。 次のコマンドが変更されました。dhcp-server [subnet-selection | link-selection] 次の画面が変更されました。[Remote Access VPN] > [Network Access] > [IPsec connection profiles] > [Add/Edit] バージョン 8.0(5) でも使用可能です。 |
||
ハイ アベイラビリティ機能 |
|||
フェールオーバー コンフィギュレーションでの IPv6 サポート |
IPv6 はフェールオーバー設定をサポートするようになりました。アクティブとスタンバイの IPv6 アドレスをインターフェイスに割り当て、フェールオーバーとステートフル フェールオーバー インターフェイスに IPv6 アドレスを使用できるようになりました。 次のコマンドが変更されました。failover interface ip、ipv6 address 次の画面が変更されました。 [Configuration] > [Device Management] > [High Availability] > [Failover] > [Setup] [Configuration] > [Device Management] > [High Availability] > [Failover] > [Interfaces] [Configuration] > [Device Management] > [High Availability] > [HA/Scalability Wizard] |
||
スイッチオーバー イベント中のインターフェイスのアップまたはダウン時に通知なし |
通常動作時のリンク アップおよびリンク ダウン遷移と、フェールオーバー中のリンク アップ/ダウン遷移を区別するために、フェールオーバー中にリンク アップトラップまたはリンク ダウン トラップは送信されません。また、フェールオーバー中のリンク アップおよびダウン遷移に関する syslog メッセージも送信されません。 バージョン 8.0(5) でも使用可能です。 |
||
AAA 機能 |
|||
100 AAA サーバ グループ |
最大で 100 の AAA サーバ グループを設定できるようになりました。以前の制限は 15 のサーバ グループでした。 次のコマンドが変更されました。aaa-server 次の画面が変更されました。[Configuration] > [Device Management] > [Users/AAA] > [AAA Server Groups] |
||
モニタリング機能 |
|||
Smart Call Home |
Smart Call Home は、ASA に関する予防的診断およびリアルタイム アラートを提供し、ネットワークの可用性および運用効率を向上させます。顧客と TAC エンジニアは、問題が検出されたときに問題を迅速に解決するために必要なものを入手できます。
次のコマンドが導入されました。call-home、call-home send alert-group、call-home test、call-home send、service call-home、show call-home、show call-home registered-module status 次の画面が導入されました。[Configuration] > [Device Management] > [Smart Call Home] |
ASA 8.2(1)/ASDM 6.2(1) の新機能
リリース:2009年5月6日
Hi
機能 |
説明 |
||
---|---|---|---|
リモート アクセス機能 |
|||
ASDM 認証のワンタイム パスワード サポート |
ASDM では現在、RSA SecurID(SDI)でサポートされているワンタイム パスワード(OTP)を使用して管理者認証がサポートされています。この機能は、スタティック パスワードで認証している管理者に関するセキュリティ上の問題に対処します。 ASDM ユーザー向けの新しいセッション コントロールには、セッション時間とアイドル時間を制限する機能が搭載されています。ASDM 管理者が使用するパスワードがタイムアウトになると、ASDM により管理者の再認証を求めるプロンプトが表示されます。 http server idle-timeout および http server session-timeout というコマンドが導入されました。http server idle-timeout のデフォルト値は 20 分で、1440 分まで増やすことができます。 ASDM で [Configuration] > [Device Management] > [Management Access] > [ASDM/HTTPD/Telnet/SSH] を参照してください。 |
||
Secure Desktop のカスタマイズ |
ASDM を使用して、Secure Desktop バックグラウンド(ロック アイコン)とそのテキスト カラー、および Desktop、Cache Cleaner、Keystroke Logger、Close Secure Desktop の各ウィンドウのダイアログ バナーなど、リモート ユーザーに表示される Secure Desktop ウィンドウをカスタマイズできます。 ASDM で [Configuration] > [CSD Manager] > [Secure Desktop Manager] を参照してください。 |
||
証明書からのユーザー名事前入力 |
ユーザー名事前入力機能により、ユーザー名およびパスワード認証をする場合に、証明書から抽出されたユーザー名の使用がイネーブルになります。この機能がイネーブルな場合、ログイン画面でユーザー名が「あらかじめ入力されて」おり、ユーザーはパスワードの入力だけ求められます。この機能を使用するには、pre-fill username コマンドおよび username-from-certificate コマンドの両方をトンネルグループ コンフィギュレーション モードで設定する必要があります。 ユーザー名事前入力機能は、ユーザ名が 2 つ必要な場合に、二重認証のユーザー名として証明書からプライマリ ユーザー名とセカンダリ ユーザー名を抽出する機能をサポートしているため、二重認証機能はユーザー名事前入力機能と互換性があります。二重認証のためにユーザー名事前入力機能を設定する場合、管理者は次の新しいトンネルグループ汎用属性コンフィギュレーション モード コマンドを使用します。
ASDM で、[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [AnyConnect or Clienltess SSL VPN Connection Profiles] > [Advanced] を参照してください。設定は [Authentication]、[Secondary Authentication]、および [Authorization] の各ペインに表示されています。 |
||
二重認証 |
二重認証機能では、Payment Card Industry Standards Council Data Security Standard に従って、ネットワークへのリモート アクセスに対して 2 つの要素からなる認証を実行します。この機能では、ユーザーはログイン ページで異なる 2 組のログイン クレデンシャルを入力する必要があります。たとえば、プライマリ認証をワンタイム パスワード、セカンダリ認証をドメイン(Active Directory)クレデンシャルとする場合が考えられます。いずれかの認証に失敗すると、接続が拒否されます。 AnyConnect VPN クライアントおよびクライアントレス SSL VPN の両方で二重認証がサポートされています。AnyConnect クライアントでは、Windows コンピュータ(サポート対象 Windows Mobile 装置および Start Before Logon など)、Mac コンピュータ、および Linux コンピュータで二重認証がサポートされています。IPsec VPN クライアント、SVC クライアント、カットスルー プロキシ認証、ハードウェア クライアント認証、および管理認証では二重認証はサポートされていません。 二重認証には、次の新しいトンネルグループ汎用属性コンフィギュレーション モード コマンドが必要です。
ASDM で、[Configuration] > [Remote Access VPN] > [Network (Client) Access or Clientless SSL VPN] > [AnyConnect Connection Profiles] > [Add/Edit] > [Advanced] > [Secondary Authentication] を参照してください。 |
||
AnyConnect Essentials |
AnyConnect Essentials は、別途ライセンス付与される SSL VPN クライアントです。主に ASA で設定され、以下を除く AnyConnect の全機能を提供します。
AnyConnect Essentials クライアントは、Microsoft Windows Vista、Windows Mobile、Windows XP、Windows 2000、Linux、または Macintosh OS X を実行しているリモート エンド ユーザーに Cisco SSL VPN Client の利点をもたらします。 AnyConnect Essentials を設定する場合、管理者は次のコマンドを使用します。 anyconnect-essentials :AnyConnect Essentials 機能をイネーブルにします。この機能が(このコマンドの no 形式を使用して)ディセーブルになった場合、SSL プレミアム ライセンスが使用されます。この機能は、デフォルトでイネーブルにされています。
ASDM で、[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Advanced] > [AnyConnect Essentials License] を参照してください。このペインを表示するため、ASDM の AnyConnect Essentials ライセンスをインストールする必要があります。 |
||
接続プロファイル単位の Cisco Secure Desktop のディセーブル |
Cisco Secure Desktop は、イネーブルになっている場合、自動的にすべてのコンピュータで実行され、ASA への SSL VPN 接続を行います。この新機能により、接続プロファイル単位で、あるユーザーが Cisco Secure Desktop を実行しないようにできます。この機能により、これらのセッションのエンドポイント属性が検出されなくなるため、ダイナミック アクセス ポリシー(DAP)コンフィギュレーションを調整しなければならない場合があります。 CLI:[no] without-csd コマンド
ASDM で、[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Connection Profiles] > [Add or Edit] > [Advanced, Clientless SSL VPN Configuration] または [Configuration] > [Remote Access VPN] > [Network (Client) Access] > [AnyConnect Connection Profiles] > [Add or Edit] > [Advanced] > [SSL VPN] を参照してください。 |
||
接続プロファイルごとの証明書認証 |
以前のバージョンは、ASA インターフェイスごとに証明書認証をサポートしていたため、証明書が必要ない場合でもユーザーは証明書を要求されていました。この新機能により、ユーザーは、接続プロファイル コンフィギュレーションで証明書が必要な場合だけ証明書が要求されます。この機能は自動的に実行されるため、ssl certificate authentication コマンドは必要なくなりましたが、ASA では下位互換性を考え、このコマンドは保持されています。 ASDM で、[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [AnyConnect Connection Profiles] > [Add/Edit] > [Basic] または [Configuration] > [Remote Access VPN] > [Clientless SSL VPN] > [Connection Profiles] > [Add/Edit] > [Basic] を参照してください。 |
||
証明書マッピング向け EKU 拡張機能 |
この機能では、クライアント証明書の Extended Key Usage 拡張機能を確認し、これらの値を使用してクライアントでどの接続プロファイルを使用するべきか判断する、証明書マップを作成する機能が追加されています。クライアントがそのプロファイルに一致しない場合、デフォルト グループが使用されます。証明書が有効かどうか、また接続プロファイルの認証設定により、接続結果が異なります。 extended-key-usage というコマンドが導入されました。 ASDM で、[IPSec Certificate to Connection Maps] > [Rules] ペイン、または [Certificate to SSL VPN Connections Profile Maps] ペインを使用してください。 |
||
Win 2007 Server の SSL VPN SharePoint サポート |
クライアントレス SSL VPN セッションでは現在 Microsoft Office SharePoint Server 2007 がサポートされています。 |
||
SSL VPN セッションの共有ライセンス |
多数の SSL VPN セッションに対する共有ライセンスを購入し、ASA の 1 つを共有ライセンス サーバ、残りをクライアントに設定することで、ASA のグループ間で必要に応じてセッションを共有できます。 license-server コマンド(各種)、show shared license コマンドが導入されました。
ASDM で、[Configuration] > [Device Management] > [Licensing] > [Shared SSL VPN Licenses] を参照してください。[Monitoring] > [VPN] > [Clientless SSL VPN] > [Shared Licenses] も参照してください。 |
||
更新された VPN ウィザード |
VPN ウィザード([Wizards] > [IPSec VPN Wizard] を選択してアクセス可能)は更新されました。IPsec 暗号化と認証(以前の手順 11 の 9)を選択する手順は、ウィザードがそれらの設定のデフォルト値を生成するようになったために削除されました。さらに、IPsec の設定(オプション)を選択する手順には、Perfect Forward Secrecy(PFS)を有効にして Diffie-Hellman Group を設定するための新しいフィールドが含まれるようになりました。 |
||
ファイアウォール機能 |
|||
TCP ステート バイパス |
アップストリーム ルータに非対称ルーティングが設定されており、トラフィックが 2 つの ASA を通過することがある場合は、特定のトラフィックに対して TCP ステート バイパスを設定できます。set connection advanced tcp-state-bypass コマンドが導入されました。 ASDM で、[Configuration] > [Firewall] > [Service Policy Rules] > [Rule Actions] > [Connection Settings] を参照してください。 |
||
Phone Proxy で使用されるメディア終端インスタンスのインターフェイス単位の IP アドレス |
バージョン 8.0(4)では、ASA にグローバル メディア終端アドレス(MTA)を設定していました。バージョン 8.2 では、インターフェイス別に MTA を設定できるようになりました(最低 MTA 数は 2 個)。この機能拡張の結果、旧型 CLI は廃止されました。必要な場合は、引き続き古いコンフィギュレーションを使用できます。ただし、コンフィギュレーションを変更する必要がある場合、新しいコンフィギュレーション方式だけが受け付けられます。古いコンフィギュレーションは復元できません。 ASDM で、[Configuration] > [Firewall] > [Advanced] > [Encrypted Traffic Inspection] > [Media Termination Address] を参照してください。 |
||
Phone Proxy の CTL ファイルの表示 |
Cisco Phone Proxy 機能には、Phone Proxy で使用される CTL ファイルを表示する show ctl-file コマンドが含まれています。show ctl-file コマンドを使用すると、電話プロキシ インスタンスの設定時のデバッグに役立ちます。 このコマンドは ASDM ではサポートされていません。 |
||
Phone Proxy データベースからのセキュアフォン エントリのクリア |
Cisco Phone Proxy 機能には、Phone Proxy データベースのセキュアフォン エントリをクリアする clear phone-proxy secure-phones コマンドが含まれています。セキュア IP 電話では、起動時に必ず CTL ファイルが要求されるため、Phone Proxy により IP 電話をセキュアとマークするデータベースが作成されます。セキュア フォン データベースのエントリは、設定された指定タイムアウト後に(timeout secure-phones コマンドを介して)削除されます。あるいは、clear phone-proxy secure-phones コマンドを使用して、設定したタイムアウトを待たずに Phone Proxy データベースをクリアできます。 このコマンドは ASDM ではサポートされていません。 |
||
H.323 アプリケーション インスペクションでの H.239 メッセージ サポート |
このリリースでは、ASA では H.323 アプリケーション インスペクションの一部として H.239 規格がサポートされています。H.239 は、H.300 シリーズ エンドポイントが 1 回のコールで追加ビデオ チャネルを開くことができる機能を提供する規格です。コールで、エンドポイント(ビデオ電話など)はビデオ用チャネルとデータ プレゼンテーション用チャネルを送信します。H.239 ネゴシエーションは H.245 チャネルで発生します。ASA により、追加メディア チャネルのピンホールが開きます。エンドポイントは、オープン論理チャネル メッセージ(OLC)を使用して新しいチャネルの作成を通知します。メッセージ拡張は H.245 バージョン 13 の一部です。テレプレゼンテーション セッションの復号化と符号化は、デフォルトでイネーブルにされています。H.239 の符号化と復号化は ASN.1 コーダによって実行されます。 ASDM で、[Configuration] > [Firewall] > [Service Policy Rules] > [Add Service Policy Rule Wizard] > [Rule Actions] > [Protocol Inspection] > [H.323 H.225] を参照してください。[Configure] をクリックし、H.323 Inspect Map を選択します。 |
||
エンドポイントから OLCAck が送信されない場合の H.323 エンドポイントの処理 |
H.323 アプリケーション インスペクションが、一般的な H.323 エンドポイントを処理するよう機能拡張されました。機能拡張は、H.239 プロトコル識別情報を持つ extendedVideoCapability OLC を使用しているエンドポイントに影響を与えます。ピアから OLC メッセージ受信後に H.323 エンドポイントから OLCAck が送信されない場合でも、ASA により OLC メディア提案情報がメディア アレイに登録され、(extendedVideoCapability)メディア チャネルのピンホールが開きます。 ASDM で、[Configuration] > [Firewall] > [Service Policy Rules] > [Add Service Policy Rule Wizard] > [Rule Actions] > [Protocol Inspection] > [H.323 H.225] を参照してください。 |
||
トランスペアレント ファイアウォール モードの IPv6 |
トランスペアレント ファイアウォール モードは現在 IPv6 ルーティングに参加しています。このリリース以前は、ASA はトランスペアレント モードでは IPv6 トラフィックを渡せませんでした。現在では、IPv6 管理アドレスをトランスペアレント モードで設定し、IPv6 アクセス リストを作成し、ASA により IPv6 パケットが認識され、渡されるなど、その他の IPv6 機能を設定できます。 特に指定がない限り、すべての IPv6 機能がサポートされています。 ASDM で、[Configuration] > [Device Management] > [Management Access] > [Management IP Address] を参照してください。 |
||
Botnet Traffic Filter |
マルウェアとは、知らないうちにホストにインストールされている悪意のあるソフトウェアです。個人情報(パスワード、クレジット カード番号、キー ストローク、または独自データ)の送信などのネットワーク アクティビティを試みるマルウェアは、マルウェアが既知の不正な IP アドレスへの接続を開始したときにボットネット トラフィック フィルタによって検出できます。Botnet Traffic Filter は、悪意のある既知のドメイン名および IP アドレスを含む動的データベースと、着信接続および発信接続とを照合して、疑わしいアクティビティをすべてログに記録します。また、ローカルの「ブラックリスト」または「ホワイトリスト」に IP アドレスやドメイン名を入力して、スタティック データベースでダイナミック データベースを補完できます。
dynamic-filter コマンド(各種)および inspect dns dynamic-filter-snoop キーワードが導入されました。 ASDM で、[Configuration] > [Firewall] > [Botnet Traffic Filter] を参照してください。 |
||
ASA 5505 の AIP SSC カード |
AIP SSC で ASA 5505 ASA の IPS が提供されます。AIP SSM では仮想センサーはサポートされていない点に注意してください。allow-ssc-mgmt、hw-module module ip、および hw-module module allow-ip コマンドが導入されました。 ASDM で、[Configuration] > [Device Setup] > [SSC Setup] および [Configuration] > [IPS] を参照してください。 |
||
IPS の IPv6 サポート |
トラフィック クラスで match any コマンドを使用し、ポリシー マップで ips コマンドが指定されている場合に、IPv6 トラフィックを AIP SSM または SSC に送信できるようになりました。 ASDM で、[Configuration] > [Firewall] > [Service Policy Rules] を参照してください。 |
||
管理機能 |
|||
SNMP バージョン 3 および暗号化 |
このリリースでは、DES 暗号化、3DES 暗号化、または AES 暗号化、およびサポートされているセキュリティ モデルの中でも最もセキュアな形式である SNMP バージョン 3 をサポートしています。このバージョンにより、User-based Security Model(USM)を使用して認証特性を設定できます。 次のコマンドが導入されました。
次のコマンドが変更されました。
ASDM で、[Configuration] > [Device Management] > [Management Access] > [SNMP] を参照してください。 |
||
NetFlow |
この機能は、ASA 5580 用にバージョン 8.1(1) で導入されました。この機能はこのバージョンによって他のプラットフォームに導入されます。新しい NetFlow 機能では ASA のロギング機能を拡張し、NetFlow プロトコルを介したフローベースのイベントをロギングします。 ASDM では、[Configuration] > [Device Management] > [Logging] > [Netflow] を参照してください。 |
||
ルーティング機能 |
|||
マルチキャスト NAT |
ASA で、グループ アドレスのマルチキャスト NAT がサポートされるようになりました。 |
||
トラブルシューティング機能 |
|||
コアダンプ機能 |
コアダンプは、プログラムが異常終了したときの実行中プログラムのスナップショットです。コアダンプは、エラーを診断またはデバッグし、後でまたはサイト外で分析するためにクラッシュを保存する場合に使用します。Cisco TAC では、ユーザーがコアダンプ機能をイネーブルにして、ASA でのアプリケーションまたはシステムのクラッシュをトラブルシューティングする必要がある場合があります。 コアダンプをイネーブルにする方法について、coredump enable コマンドを参照してください。 |
||
ASDM 機能 |
|||
IPv6 用の ASDM のサポート |
特に指定がない限り、すべての IPv6 機能がサポートされています。 |
||
公開サーバ コンフィギュレーションのサポート |
ASDM を使用して公開サーバを設定できます。これにより、外部インターフェイスに公開するサーバおよびサービスを定義できます。 ASDM で、[Configuration] > [Firewall] > [Public Servers] を参照してください。 |
バージョン 8.1 の新機能
ASA 8.1(2)/ASDM 6.1(5) の新機能
リリース:2008年10月10日
機能 |
説明 |
||
---|---|---|---|
リモート アクセス機能 |
|||
IE 用スマート トンネルを使用した自動サインオン |
この機能を使用すると、WININET 接続のためのログイン クレデンシャルの代替が可能になります。Internet Explorer を含め、ほとんどの Microsoft 製アプリケーションは WININET を使用しています。Mozilla Firefox は WININET を使用していないため、この機能でサポートされません。また、HTTP ベースの認証もサポートされるため、フォームベースの認証はこの機能とともに使用できません。 クレデンシャルは、サービスではなく宛先ホストに静的に関連付けられるため、最初のクレデンシャルが正しくない場合、実行時に動的に修正できません。また、宛先ホストに関連付けられていることから、そのホスト上の一部のサービスへのアクセスを拒否する必要がある場合、自動サインオンがイネーブルになっているホストのサポートは望ましくない場合があります。 スマート トンネル用のグループ自動サインオンを設定するには、自動サインオン サイトのグローバル リストを作成し、次にリストをグループ ポリシーまたはユーザー名に割り当てます。この機能はダイナミック アクセス ポリシーでサポートされません。 ASDM では、[Configuration] > [Firewall] > [Advanced] > [ACL Manager] を参照してください。 |
||
Entrust 証明書のプロビジョニング |
ASDM 6.1.3(バージョン 8.0x と 8.1x を実行するセキュリティ アプライアンスを管理できるバージョン)には、Entrust Web サイトへのリンクが含まれていて、お使いの ASA 用の一時(テスト用)または割引が適用された永続 SSL ID 証明書を申請できます。 ASDM では、[Configuration] > [Remote Access VPN] > [Certificate Management] > [Identity Certificates] > [Enroll ASA SSL VPN head-end with Entrust] を参照してください。 |
||
IKE キー再生成時のユーザー再認証の時間延長 |
フェーズ 1 SA キーの再生成時に、リモート ユーザーに対しクレデンシャルを入力するためにより多くの時間を与えるようにセキュリティ アプライアンスを設定できます。以前は、reauthenticate-on-rekey が IKE トンネルで設定され、フェーズ 1 キー再生成が発生すると、セキュリティ アプライアンスでユーザーに対して認証のためのプロンプトが表示され、クレデンシャルを入力するための時間は約 2 分しかありませんでした。その 2 分間のうちにユーザーがクレデンシャルを入力しないと、トンネルは終了していました。この新機能をイネーブルにすると、トンネルがドロップされるまでにクレデンシャルを入力する時間はより長くなります。合計時間は、キーの再生成が実際に行われる、確立しようとしている新しいフェーズ 1 SA と、期限切れになっている古いフェーズ 1 SA の間の差です。デフォルトのフェーズ 1 キーの再生成時間が設定された状態で、差はおよそ 3 時間(つまりキーの再生成間隔の約 15% です)。 ASDM で、[Configuration] > [Device Management] > [Certificate Management] > [Identity Certificates] を参照してください。 |
||
永続的 IPSec トンネル フロー |
永続的 IPSec トンネル フロー機能をイネーブルにすると、セキュリティ アプライアンスは、トンネルがドロップして回復した後、ステートフル(TCP)トンネル フローを維持し再開します。他のすべてのフローは、トンネルがドロップしたときにドロップされ、新しいトンネルが設定されたときに再確立する必要があります。TCP フローを維持することで、一部の古いアプリケーションや影響を受けやすいアプリケーションは、トンネルが短時間ドロップしても動作し続けることができます。この機能では、IPsec LAN-to-LAN トンネル、およびハードウェア クライアントからのネットワーク拡張モード トンネルをサポートします。IPSec または AnyConnect/SSL VPN リモート アクセス トンネルはサポートしていません。sysopt connection preserve-vpn-flows コマンドを参照してください。このオプションは、デフォルトで無効です。 ASDM で、[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Advanced] > [IPsec] > [System Options] を参照してください。永続的 IPSec トンネル フローをイネーブルにするには、[Preserve stateful VPN flows when the tunnel drops for Network Extension Mode (NEM)] チェックボックスをオンにしてください。 |
||
アクティブ ディレクトリ グループの表示 |
アクティブ ディレクトリ グループの一覧を表示するために、CLI コマンド show ad-groups が追加されました。ASDM ダイナミック アクセス ポリシーでは、管理者がこのコマンドを使用することで、VPN ポリシーを定義するために使用できる MS AD グループの一覧を表示できます。 ASDM で、[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Dynamic Access Policies] > [Add/Edit DAP] > [Add/Edit AAA Attribute] を参照してください。 |
||
Mac OS 上でのスマート トンネル |
スマート トンネルで Mac OS がサポートされるようになりました。 ASDM で、[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Portal] > [Smart Tunnels] を参照してください。 |
||
ファイアウォール機能 |
|||
NetFlow フィルタリング |
トラフィックとイベント タイプに基づいて NetFlow イベントをフィルタリングしてから、さまざまなコレクタにレコードを送信できます。たとえば、すべての flow-create イベントをあるコレクタに記録し、flow-denied イベントを別のコレクタに記録できます。flow-export event-type コマンドを参照してください。 ASDM では、[Configuration] > [Firewall] > [Security Policy] > [Service Policy Rules] > [Add/Edit Service Policy Rule] > [Rule Actions] > [NetFlow] を参照してください。 |
||
NetFlow の遅延フロー作成イベント |
存続期間が短いフローでは、NetFlow 収集装置はフロー作成とティアダウンという 2 つのイベントを認識する場合とは異なり、単一イベントを処理することによるメリットがあります。フロー作成イベントを送信するまでの遅延を設定できるようになりました。タイマーが期限切れになる前にフローが切断された場合は、フロー ティアダウン イベントのみが送信されます。flow-export delay flow-create コマンドを参照してください。
ASDM では、[Configuration] > [Device Management] > [Logging] > [NetFlow] を参照してください。 |
||
QoS トラフィック シェーピング |
ASA などの、ファスト イーサネットを使用してパケットを高速に送信するデバイスが存在し、そのデバイスがケーブル モデムなどの低速デバイスに接続されている場合、ケーブル モデムがボトルネックとなり、ケーブル モデムでパケットが頻繁にドロップされます。回線速度が異なるネットワークを管理するため、固定の低速でパケットを転送するようにセキュリティ アプライアンスを設定できます。shape コマンドを参照してください。 また、crypto ipsec security-association replay コマンドも参照してください。このコマンドでは、IPSec アンチ リプレイ ウィンドウ サイズを設定できます。プライオリティ キューイングには、パケットの並べ替えという副作用があります。IPSec パケットの場合、リプレイ攻撃防止ウィンドウ内にない異常なパケットに対しては、警告 syslog メッセージが生成されます。これらの警告は、プライオリティ キューイングでは誤報となります。この新しいコマンドは、誤報の可能性を防ぎます。 ASDM で、[Configuration] > [Firewall] > [Security Policy] > [Service Policy Rules] > [Add/Edit Service Policy Rule] > [Rule Actions] > [QoS] を参照してください。トラフィック シェーピングでサポートされているトラフィック クラスは、すべてのトラフィックに一致する class-default だけであることに注意してください。 |
||
TCP 正規化の機能拡張 |
特定のパケット タイプに対し、TCP 正規化のアクションを設定できるようになりました。以前は、これらの種類のパケットに対するデフォルトのアクションは、パケットをドロップすることでした。パケットを許可するように TCP ノーマライザを設定できるようになりました。
TCP アウトオブオーダー パケット バッファ タイムアウトを設定することもできます(queue コマンドの timeout キーワード)。以前は、タイムアウトは 4 秒でした。タイムアウトを別の値に設定できるようになりました。 MSS を超えたパケットのデフォルト アクションが、ドロップから許可に変更されました(exceed-mss コマンド)。 次の設定できないアクションが、次のパケット タイプに対してドロップからクリアに変更されました。
ASDM で、[Configuration] > [Firewall] > [Objects] > [TCP Maps] を参照してください。 |
||
TCP 代行受信の統計情報 |
TCP 代行受信する統計情報の収集を、threat-detection statistics tcp-intercept コマンドを使用してイネーブルにし、show threat-detection statistics コマンドを使用して表示できます。 ASDM では、[Configuration] > [Firewall] > [Threat Detection] を参照してください。 |
||
脅威検出排除タイムアウト |
脅威検出の排除タイムアウトを、threat-detection scanning-threat shun duration コマンドを使用して設定できるようになりました。 ASDM では、[Configuration] > [Firewall] > [Threat Detection] を参照してください。 |
||
脅威を検知したときのホスト統計情報の微調整 |
threat-detection statistics host number-of-rate コマンドを使用して、ホスト統計情報の収集量を減らすことができるようになりました。これにより、この機能によるシステムへの影響を軽減します。 ASDM では、[Configuration] > [Firewall] > [Threat Detection] を参照してください。 |
||
プラットフォーム機能 |
|||
VLAN 数の増加 |
ASA 5580 上でサポートされる VLAN 数が 100 から 250 に増加されました。 |
||
名前のないインターフェイスに対する SNMP のサポート |
以前の SNMP では、nameif コマンドを使用して設定されたインターフェイスに関する情報だけが提供されていました。たとえば、SNMP は、名前が付けられているインターフェイスの IF MIB および IP MIB に関してだけトラップを送信し walk を実行していました。SNMP は拡張され、すべての物理インターフェイスと論理インターフェイスに関する情報を表示するようになりました。nameif コマンドは SNMP を使用してインターフェイスを表示するには不要になりました。 |
ASA 8.1(1)/ASDM 6.1(1) の新機能
リリース:2008年3月1日
機能 |
説明 |
---|---|
Cisco ASA 5580 の導入 |
2 つのモデルで Cisco ASA 5580 が導入されました。
ASDM では、[Home] > [System Resource Status]、および [Home] > [Device Information] > [Environment Status] を参照してください。 |
NetFlow |
新しい NetFlow 機能では ASA のロギング機能を拡張し、NetFlow プロトコルを介したフローベースのイベントをロギングします。この機能と新しい CLI コマンドの詳細については、『Cisco ASA 5580 Adaptive Security Appliance Command Line Configuration Guide』を参照してください。 ASDM では、[Configuration] > [Device Management] > [Logging] > [Netflow] を参照してください。 |
ジャンボ フレーム サポート |
Cisco ASA 5580 では、ジャンボ フレームをサポートするには jumbo-frame reservation コマンドを入力します。ジャンボ フレームとは、標準の最大フレーム サイズである 1518 バイト(レイヤ 2 ヘッダーおよび FCS を含む)を超えるイーサネット パケットのことであり、最大は 9216 バイトになります。イーサネット フレームを処理するためのメモリ容量を増やすことにより、すべてのインターフェイスに対してジャンボ フレームのサポートをイネーブルにできます。ジャンボ フレームにより多くのメモリを割り当てると、アクセス リストなどのその他の機能の最大使用量が制限される場合があります。 ASDM で、[Configuration] > [Device Setup] > [Interfaces] > [Add/Edit Interface] > [Advanced] を確認してください。 |
マルチコア ASA のパケットごとのロード バランシング |
マルチコア ASA の場合、デフォルトの動作は、1 コアのみが一度に 1 つのインターフェイス受信リングからパケットを受け取ることを許可するというものです。asp load-balance per-packet コマンドは、この動作を変更して、複数のコアがインターフェイス受信リングから複数のパケットを受け取り、それらを独立して処理することを許可します。デフォルトの動作は、パケットがすべてのインターフェイス リングで一律に受信されるというシナリオ向けに最適化されています。 次のコマンドが導入されました。asp load-balance per-packet、show asp load-balance |
SIP プロビジョナル メディアのタイムアウト |
SIP 暫定メディアのタイムアウトを、timeout sip-provisional-media コマンドを使用して設定できるようになりました。 ASDM で、[Configuration] > [Firewall] > [Advanced] > [Global Timeouts] を参照してください。 |
アクティベーション キーの詳細 |
show activation key detail コマンドを使用することで、永続的および一時的なアクティベーション キーとそれらで有効な機能を確認できます(事前にインストールされているすべての一時キーとそれらの有効期限日を含む)。 ASDM のシングル コンテキスト モードでは、[Configuration] > [Device Management] > [System Image/Configuration] > [Activation Key] を参照してください。ASDM のマルチ コンテキスト モードでは、[System] > [Configuration] > [Device Management] > [Activation Key] を参照してください。 |
新しい ASDM オンライン ヘルプ エンジン |
ASDM は、オンライン ヘルプの新しい外観をサポートするようになりました。オンライン ヘルプは、左側のブックマーク ペインからユーザーがトピックに基づく選択を維持したまま、右側のペインで主題項目を参照できるようになりました。 |
ASDM CPU コア使用率グラフ |
単一または複数モードで、CPU コア使用率グラフにより、ASDM ホーム ページからコア CPU 使用率の状態を表示できます。 |
ASDM のインテリジェント プラットフォーム管理インターフェイス(IPMI) |
インテリジェント プラットフォーム管理インターフェイス(IPMI)のサポートが追加されました。これによりユーザーは、電源、冷却ファン、プロセッサとシャーシの温度の各状態に関する情報を ASDM ホーム ページから確認できるようになりました。 |
ASDM アシスタント |
ASDM アシスタントは、[View] メニューから利用できるようになりました(以前は [Tools] メニュー)。GUI が変更され、[Search] 機構は簡素化されました。 |
ASDM バックアップと復元の機能強化 |
バックアップと復元の機能強化により、ローカル マシンに設定をバックアップし、必要に応じてサーバにそれらを戻して復元できます。さらに、この機能は SSL VPN 関連のファイルをバックアップします。この機能は、[Tools] > [Backup Configuration] および [Tools] > [Restore Configuration] にあります。 バージョン 8.0 でもサポートされます。 |
ASDM ログ ビューア |
ログ ビューア拡張機能により、syslog メッセージから解析されたソースと宛先のポート情報が表示されます。この情報は、[Monitoring] > [Logging] > [Real-Time Log Viewer] および [Log Buffer] ページで表示されます。 バージョン 8.0 でもサポートされます。 |
ASDM での拡張 VPN 検索 |
キーワードまたはコマンドの入力中に、インテリジェントなヒントを提供する CLI コマンドベース検索機能が追加されました。この検索拡張機能は、[User Accounts]、[Connection Profiles]、[Group Policies] ページにのみ存在します。 バージョン 8.0 でもサポートされます。 |
バージョン 8.0 の新機能
ASA 8.0(5)/ASDM 6.2(3) の新機能
リリース:2009年11月3日
(注) |
バージョン 8.0(5) は PIX セキュリティ アプライアンスでサポートされていません。 |
機能 |
説明 |
---|---|
リモート アクセス機能 |
|
VPN セッションのレジューム待機のスケーラブル ソリューション |
管理者は、アクティブ状態のユーザー数をトレースし、統計情報を確認できるようになりました。ライセンス キャパシティに到達せず、新規ユーザーがログインできるように、最長時間非アクティブなセッションはアイドルとマークされます(さらに自動的にログオフされます)。 ASDM 画面が変更されました。[Monitoring] > [VPN] > [VPN Statistics] > [Sessions] バージョン 8.2(2) でも使用可能です。 |
アプリケーション インスペクション機能 |
|
H.323 エンドポイント間のコール設定のイネーブル化 |
Gatekeeper がネットワーク内にある場合は、H.323 エンドポイント間のコール セットアップをイネーブルにできます。ASA には、RegistrationRequest/RegistrationConfirm(RRQ/RCF)メッセージに基づいてコールのピンホールを開くオプションが含まれています。 これらの RRQ/RCF メッセージはゲートキーパーとの間で送受信されるため、コール エンドポイントの IP アドレスは不明で、セキュリティ アプライアンスが発信元 IP アドレス/ポート 0/0 を通じてピンホールを開きます。デフォルトでは、このオプションは無効になっています。 次のコマンドが導入されました。ras-rcf-pinholes enable H.323 インスペクション ポリシー マップの作成時にパラメータ コンフィギュレーション モードの間このコマンドを使用します。 ASDM 画面が変更されました。[Configuration] > [Firewall] > [Objects] > [Inspect Maps] > [H.323] > [Details] > [State Checking] バージョン 8.2(2) でも使用可能です。 |
インターフェイス機能 |
|
マルチ コンテキスト モードでは、自動生成 MAC アドレスでユーザー設定可能プレフィックスやその他の拡張を使用 |
MAC アドレス形式は、プレフィックスの使用、固定開始値(A2)の使用、およびフェールオーバー ペアでプライマリ装置とセカンダリ装置の MAC アドレスに対して異なるスキームの使用が可能になるように変更されました。 MAC アドレスは現在、リロード間で持続されるようになっています。 コマンド パーサーは現在、自動生成がイネーブルになっているかどうかをチェックします。MAC アドレスを手動でも割り当てることができるようにする場合は、A2 を含む手動 MAC アドレスは開始できません。 コマンド mac-address auto prefix prefix が変更されました。 ASDM 画面が変更されました。[Configuration] > [Context Management] > [Security Contexts] バージョン 8.2(2) でも使用可能です。 |
ハイ アベイラビリティ機能 |
|
スイッチオーバー イベント中のインターフェイスのアップまたはダウン時に通知なし |
通常動作時のリンク アップおよびリンク ダウン遷移と、フェールオーバー中のリンク アップ/ダウン遷移を区別するために、フェールオーバー中にリンク アップトラップまたはリンク ダウン トラップは送信されません。また、フェールオーバー中のリンク アップおよびダウン遷移に関する syslog メッセージも送信されません。 バージョン 8.2(2) でも使用可能です。 |
ルーティング機能 |
|
ルーティング問題を解決するための DHCP RFC 互換性(rfc3011、rfc3527) |
この拡張では、DHCP RFCs 3011(IPv4 サブネット選択オプション)および 3527(リレー エージェント情報オプションのリンク選択サブオプション)の ASA サポートが導入されました。dhcp-server コマンドを使用して設定した各 DHCP サーバに対して、subnet-selection オプションおよび link-selection オプションを送信するか、いずれも送信しないように ASA を設定できるようになりました。 次の ASDM 画面が変更されました。[Remote Access VPN] > [Network Access] > [IPsec connection profiles] > [Add/Edit] バージョン 8.2(2) でも使用可能です。 |
SSM 機能 |
|
ASDM の CSC 6.3 サポート |
ASDM は、メイン ホーム ページ上の [Plus License] リストに [Web Reputation]、[User Group Policies]、および [User ID Settings] を表示します。CSC 6.3 セキュリティ イベント拡張機能が含まれています。これは新しい Web レピュテーション イベントおよびユーザーとグループの識別などです。 |
ASA 8.0(4)/ASDM 6.1(3) の新機能
リリース:2008年8月11日
機能 |
説明 |
---|---|
ユニファイド コミュニケーション機能(1) |
|
電話プロキシ |
フォン プロキシ機能がサポートされています。ASA フォン プロキシは、Metreos Cisco Unified Phone Proxy と同様の機能をサポートしており、SIP インスペクションと強化されたセキュリティが追加でサポートされています。ASA フォン プロキシの主な機能は次のとおりです。
ASDM で、[Configuration] > [Firewall] > [Advanced] > [Encrypted Traffic Inspection] > [Phone Proxy] を参照してください。 |
モビリティ プロキシ |
Cisco Unified Mobility Advantage クライアントとサーバの間のセキュア接続(モビリティ プロキシ)がサポートされます。 Cisco Unified Mobility Advantage ソリューションには、Cisco Unified Mobile Communicator と Cisco Unified Mobility Advantage サーバが含まれています。Cisco Unified Mobile Communicator は、モバイル ハンドセット用の使いやすいソフトウェア アプリケーションであり、エンタープライズ通信アプリケーションとサービスを携帯電話やスマート フォンに拡張します。モビリティ ソリューションを使用することで、通信が円滑になり、企業全体でリアルタイム コラボレーションが可能になります。 このソリューションの ASA は、MMP(旧称 OLWP)プロトコルを検査します。MMP は、Cisco Unified Mobile Communicator と Cisco Unified Mobility Advantage の間の独自プロトコルです。ASA は TLS プロキシとしても機能し、Cisco Unified Mobile Communicator と Cisco Unified Mobility Advantage の間で TLS シグナリングを終端および発信します。 ASDM で、[Configuration] > [Firewall] > [Advanced] > [Encrypted Traffic Inspection] > [TLS Proxy] を参照してください。 |
プレゼンス フェデレーション プロキシ |
Cisco Unified Presence サーバと Cisco/Microsoft Presence サーバの間のセキュア接続(プレゼンス フェデレーション プロキシ)がサポートされます。Presence ソリューションを使用すると、企業は Cisco Unified Presence クライアントを企業ネットワークに安全に接続したり、異なる企業のプレゼンス サーバ間でプレゼンス情報を共有したりできます。 ASA は、インターネットおよび企業内通信のためのプレゼンスを可能にする機能を提供します。SSL 対応の Cisco Unified Presence クライアントは、プレゼンス サーバへの SSL 接続を確立できます。ASA では、サードパーティ製プレゼンス サーバと Cisco Unified Presence サーバの間の通信を含め、サーバ間通信のための SSL 通信が可能です。複数の企業がプレゼンス情報を共有し、IM アプリケーションを使用できます。ASA は、サーバ間の SIP メッセージを検査します。 ASDM で、[Configuration] > [Firewall] > [Service Policy Rules] > [Add/Edit Service Policy Rule] > [Rule Actions] > [Protocol Inspection] または [Configuration] > [Firewall] > [Advanced] > [Encrypted Traffic Inspection] > [TLS Proxy] > [Add] > [Client Configuration] を参照してください。 |
リモート アクセス機能 |
|
IE1 用スマート トンネルを使用した自動サインオン (1) |
この機能を使用すると、WININET 接続のためのログイン クレデンシャルの代替が可能になります。Internet Explorer を含め、ほとんどの Microsoft 製アプリケーションは WININET を使用しています。Mozilla Firefox は WININET を使用していないため、この機能でサポートされません。また、HTTP ベースの認証もサポートされるため、フォームベースの認証はこの機能とともに使用できません。 クレデンシャルは、サービスではなく宛先ホストに静的に関連付けられるため、最初のクレデンシャルが正しくない場合、実行時に動的に修正できません。また、宛先ホストに関連付けられていることから、そのホスト上の一部のサービスへのアクセスを拒否する必要がある場合、自動サインオンがイネーブルになっているホストのサポートは望ましくない場合があります。 スマート トンネル用のグループ自動サインオンを設定するには、自動サインオン サイトのグローバル リストを作成し、次にリストをグループ ポリシーまたはユーザー名に割り当てます。この機能はダイナミック アクセス ポリシーでサポートされません。 ASDM で、[Firewall] > [Advanced] > [ACL Manager] を参照してください。 |
Entrust 証明書のプロビジョニング (1) |
ASDM には、ASA の一時的(テスト用)または割引価格の永続的な SSL 身元証明書を申し込むための、Entrust Web サイトへのリンクが含まれています。 ASDM で、[Configuration] > [Remote Access VPN] > [Certificate Management] > [Identity Certificates] を参照してください。[Enroll ASA SSL VPN head-end with Entrust] をクリックします。 |
IKE キー再生成時のユーザー再認証の時間延長 |
フェーズ 1 SA キーの再生成時に、リモート ユーザーに対しクレデンシャルを入力するためにより多くの時間を与えるようにセキュリティ アプライアンスを設定できます。以前は、reauthenticate-on-rekey が IKE トンネルで設定され、フェーズ 1 キー再生成が発生すると、セキュリティ アプライアンスでユーザーに対して認証のためのプロンプトが表示され、クレデンシャルを入力するための時間は約 2 分しかありませんでした。その 2 分間のうちにユーザーがクレデンシャルを入力しないと、トンネルは終了していました。この新機能をイネーブルにすると、トンネルがドロップされるまでにクレデンシャルを入力する時間はより長くなります。合計時間は、キーの再生成が実際に行われる、確立しようとしている新しいフェーズ 1 SA と、期限切れになっている古いフェーズ 1 SA の間の差です。デフォルトのフェーズ 1 キーの再生成時間が設定された状態で、差はおよそ 3 時間(つまりキーの再生成間隔の約 15% です)。 ASDM で、[Configuration] > [Device Management] > [Certificate Management] > [Identity Certificates] を参照してください。 |
永続的 IPSec トンネル フロー |
永続的 IPSec トンネル フロー機能をイネーブルにすると、セキュリティ アプライアンスは、トンネルがドロップして回復した後、ステートフル(TCP)トンネル フローを維持し再開します。他のすべてのフローは、トンネルがドロップしたときにドロップされ、新しいトンネルが設定されたときに再確立する必要があります。TCP フローを維持することで、一部の古いアプリケーションや影響を受けやすいアプリケーションは、トンネルが短時間ドロップしても動作し続けることができます。この機能は、IPSec の LAN 間トンネルと、ハードウェア クライアントからのネットワーク拡張モード トンネルをサポートしています。IPSec または AnyConnect/SSL VPN リモート アクセス トンネルはサポートしていません。[no] sysopt connection preserve-vpn-flows コマンドを参照してください。このオプションは、デフォルトで無効です。 ASDM で、[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Advanced] > [IPsec] > [System Options] を参照してください。永続的 IPSec トンネル フローをイネーブルにするには、[Preserve stateful VPN flows when the tunnel drops for Network Extension Mode (NEM)] チェックボックスをオンにしてください。 |
アクティブ ディレクトリ グループの表示 |
アクティブ ディレクトリ グループの一覧を表示するために、CLI コマンド show ad-groups が追加されました。ASDM ダイナミック アクセス ポリシーでは、管理者がこのコマンドを使用することで、VPN ポリシーを定義するために使用できる MS AD グループの一覧を表示できます。 ASDM で、[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Dynamic Access Policies] > [Add/Edit DAP] > [Add/Edit AAA Attribute] を参照してください。 |
Mac OS1 上でのスマート トンネル (1) |
スマート トンネルで Mac OS がサポートされるようになりました。 ASDM で、[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Portal] > [Smart Tunnels] を参照してください。 |
ローカル アドレス プールの編集 |
アドレス プールは、目的の接続に影響を与えることなく編集できます。アドレスが使用中でありプールから排除されていない場合、接続は影響を受けません。ただし、使用中のアドレスがプールから除去されている場合、接続はダウンします。 バージョン 7.0(8) および 7.2(4) でも使用可能です。 |
ファイアウォール機能 |
|
QoS トラフィック シェーピング |
ASA などの、ファスト イーサネットを使用してパケットを高速に送信するデバイスが存在し、そのデバイスがケーブル モデムなどの低速デバイスに接続されている場合、ケーブル モデムがボトルネックとなり、ケーブル モデムでパケットが頻繁にドロップされます。回線速度が異なるネットワークを管理するため、固定の低速でパケットを転送するようにセキュリティ アプライアンスを設定できます。shape コマンドを参照してください。また、crypto ipsec security-association replay コマンドも参照してください。このコマンドでは、IPSec アンチ リプレイ ウィンドウ サイズを設定できます。プライオリティ キューイングには、パケットの並べ替えという副作用があります。IPSec パケットの場合、リプレイ攻撃防止ウィンドウ内にない異常なパケットに対しては、警告 syslog メッセージが生成されます。これらの警告は、プライオリティ キューイングでは誤報となります。この新しいコマンドは、誤報の可能性を防ぎます。 ASDM で、[Configuration] > [Firewall] > [Security Policy] > [Service Policy Rules] > [Add/Edit Service Policy Rule] > [Rule Actions] > [QoS] を参照してください。トラフィック シェーピングでサポートされているトラフィック クラスは、すべてのトラフィックに一致する class-default だけであることに注意してください。 バージョン 7.2(4) でも使用可能です。 |
TCP 正規化の機能拡張 |
特定のパケット タイプに対し、TCP 正規化のアクションを設定できるようになりました。以前は、これらの種類のパケットに対するデフォルトのアクションは、パケットをドロップすることでした。パケットを許可するように TCP ノーマライザを設定できるようになりました。
TCP アウトオブオーダー パケット バッファ タイムアウトを設定することもできます(queue コマンドの timeout キーワード)。以前は、タイムアウトは 4 秒でした。タイムアウトを別の値に設定できるようになりました。 MSS を超えたパケットのデフォルト アクションが、ドロップから許可に変更されました(exceed-mss コマンド)。 次の設定できないアクションが、次のパケット タイプに対してドロップからクリアに変更されました。
ASDM で、[Configuration] > [Firewall] > [Objects] > [TCP Maps] を参照してください。 バージョン 7.2(4) でも使用可能です。 |
TCP 代行受信の統計情報 |
TCP 代行受信する統計情報の収集を、threat-detection statistics tcp-intercept コマンドを使用してイネーブルにし、show threat-detection statistics コマンドを使用して表示できます。 ASDM 6.1(5) 以降で、[Configuration] > [Firewall] > [Threat Detection] を参照してください。このコマンドは、ASDM 6.1(3) ではサポートされていませんでした。 |
脅威検出排除タイムアウト |
脅威検出の排除タイムアウトを、threat-detection scanning-threat shun duration コマンドを使用して設定できるようになりました。 ASDM 6.1(5) 以降で、[Configuration] > [Firewall] > [Threat Detection] を参照してください。このコマンドは、ASDM 6.1(3) ではサポートされていませんでした。 |
SIP プロビジョナル メディアのタイムアウト |
SIP 暫定メディアのタイムアウトを、timeout sip-provisional-media コマンドを使用して設定できるようになりました。 ASDM で、[Configuration] > [Firewall] > [Advanced] > [Global Timeouts] を参照してください。 バージョン 7.2(4) でも使用可能です。 |
clear conn コマンド |
clear conn コマンドは、接続を削除するために追加されました。 バージョン 7.0(8) および 7.2(4) でも使用可能です。 |
フラグメントの完全リアセンブル |
fragment コマンドは reassembly full キーワードで拡張され、デバイス経由でルーティングされるフラグメントの完全リアセンブルが可能になりました。デバイスで終端するフラグメントは、常に完全にリアセンブルされます。 バージョン 7.0(8) および 7.2(4) でも使用可能です。 |
Ethertype ACL MAC の機能強化 |
EtherType ACL は、非標準 MAC を許可するように強化されています。既存のデフォルトのルールが保持され、新しいルールを追加する必要はありません。 バージョン 7.0(8) および 7.2(4) でも使用可能です。 |
トラブルシューティングとモニタリングの機能 |
|
capture コマンドの強化 |
capture type asp-drop drop_code コマンドは、all を drop_code として受け入れるようになったので、セキュリティ チェックが原因でドロップされたものを含め、ASA がドロップするすべてのパケットをキャプチャできるようになりました。 バージョン 7.0(8) および 7.2(4) でも使用可能です。 |
show asp drop コマンドの強化 |
カウンタが最後にクリアされた時間を示すタイムスタンプが出力に含まれるようになりました(clear asp drop コマンドを参照)。また、説明の横にドロップ理由のキーワードが表示されるため、そのキーワードを使用して簡単に capture asp-drop コマンドを使用できます。 バージョン 7.0(8) および 8.0(4) でも使用可能です。 |
clear asp table コマンド |
clear asp table コマンドが、show asp table コマンドによるヒット出力をクリアするために追加されました。 バージョン 7.0(8) および 7.2(4) でも使用可能です。 |
show asp table classify hits コマンドの強化 |
hits オプションが show asp table classify コマンドに追加され、asp テーブル カウンタがクリアされた最終時刻を示すタイムスタンプが表示されるようになりました。ゼロと等しくない hits 値があるルールも表示されます。これによりユーザーはどのルールがヒットしたかをすばやく参照できます。特に単純な設定であると show asp table classify コマンドで最終的に何百ものエントリが存在するようになるため便利です。 バージョン 7.0(8) および 8.0(4) でも使用可能です。 |
MIB の機能拡張 |
CISCO-REMOTE-ACCESS-MONITOR-MIB はより完全に実装されます。 8.0(4) でも使用可能です。 |
show perfmon コマンド |
次の速度出力が追加されました。[TCP Intercept Connections Established]、[TCP Intercept Attempts]、[TCP Embryonic Connections Timeout]、および [Valid Connections Rate in TCP Intercept] バージョン 7.0(8) および 7.2(4) でも使用可能です。 |
memory tracking コマンド |
次の新しいコマンドが、このリリースで導入されました。
バージョン 7.0(8) および 7.2(4) でも使用可能です。 |
ルーティング機能 |
|
IPv6 マルチキャスト リスナー ディスカバリ プロトコル v2 サポート |
ASA は、マルチキャスト リスナー ディスカバリ プロトコル(MLD)バージョン 2 をサポートするようになりました。これにより直接接続リンク上のマルチキャスト アドレス リスナーの存在を検出し、特にどのマルチキャスト アドレスがそれらの隣接ノードの対象になるかを検出します。ASA はマルチキャスト アドレス リスナーまたはホストにはなりますが、マルチキャスト ルータにはならず、マルチキャスト リスナー クエリに応答し、マルチキャスト リスナー レポートのみを送信します。 次のコマンドがこの機能をサポートしています。
バージョン 7.2(4) でも使用可能です。 |
プラットフォーム機能 |
|
ASA 5505 に対するネイティブ VLAN サポート |
switchport trunk native vlan コマンドを使用して、ネイティブ VLAN を ASA 5505 トランク ポートに含めることができるようになりました。 ASDM で、[Configuration] > [Device Setup] > [Interfaces] > [Switch Ports] > [Edit] ダイアログを参照してください。 バージョン 7.2(4) でも使用可能です。 |
名前のないインターフェイスに対する SNMP のサポート |
以前の SNMP では、nameif コマンドを使用して設定されたインターフェイスに関する情報だけが提供されていました。たとえば、SNMP は、名前が付けられているインターフェイスの IF MIB および IP MIB に関してだけトラップを送信し walk を実行していました。ASA 5505 には名前のないスイッチ ポートと名前付きの VLAN インターフェイスがあるため、すべての物理インターフェイスと論理インターフェイスに関する情報を表示するように SNMP が拡張されました。SNMP を使用してインターフェイスを表示するために nameif コマンドは必要なくなりました。これらの変更は、ASA 5505 だけでなく、すべてのモデルに影響します。 |
フェールオーバー機能 |
|
failover timeout コマンド |
failover timeout コマンドに、静的固定機能とともに使用されるフェールオーバー ライセンスが不要になりました。 バージョン 7.0(8) および 7.2(4) でも使用可能です。 |
ASDM 機能 |
|
DNS パネルの簡素化 |
ASDM GUI 上の DNS パネルは、使いやすさのために変更されています。[Configuration] > [Device Management] > [DNS] を参照してください。 |
[File Transfer] ダイアログ ボックスの再設計 |
[File Transfer] ダイアログ ボックスでは、ファイルをドラッグアンドドロップできます。このダイアログ ボックスにアクセスするには、[Tools] > [File Management] と進み、それから [File Transfer] をクリックします。 |
ACL ヒット カウンタのクリア |
ACL ヒット カウンタをクリアできる機能が追加されました。[Firewall] > [Advanced] > [ACL Manager] パネルを参照してください。 |
ACL の名前変更 |
ASDM から ACL を名前変更する機能を追加しました。 [Firewall] > [Advanced] > [ACL Manager] パネルを参照してください。 |
1 つのパネルへの ASDM/HTTPS、SSH、Telnet の組み合わせ |
ASDM では、ASDM、HTTPS、SSH、Telnet が 1 つのパネルに統合されています。[Monitoring] > [Properties] > [Device Access] > [ASDM/HTTPS/Telnet/SSH Sessions] パネルを参照してください。 |
ACL マネージャでのすべての標準 ACL の表示 |
すべての標準 ACL を ACL マネージャで表示できるようにする機能が追加されました。 [Firewall] > [Advanced] > [ACL Manager] パネルを参照してください。 |
ASA 8.0(3)/ASDM 6.0(3) の新機能
リリース:2007年11月7日
機能 |
説明 |
---|---|
VPN 機能 |
|
AnyConnect RSA SoftID API の統合 |
AnyConnect VPN クライアントに対し、ユーザー トークン コードを得るための RSA SoftID を使用した直接通信のサポートを提供します。また、接続プロファイル(トンネル グループ)に対し、SoftID メッセージ サポートを指定する機能と、RADIUS プロキシを通じて受信した SDI メッセージに一致する SDI メッセージをセキュリティ アプライアンス上で設定するための機能も提供します。この機能を使用すると、リモート クライアント ユーザーに対して、認証に必要なアクションのための適切なプロンプトが表示され、AnyConnect クライアントが認証に対して正常に応答することが保証されます。 |
IP アドレス再利用の遅延 |
IP アドレスが IP アドレス プールに返された後、IP アドレスの再利用を遅らせます。遅延を増やすことで、IP アドレスがプールに返されてすぐに再割り当てされた場合に、セキュリティ アプライアンスで発生する可能性がある問題を避けることができます。 ASDM で、[Configure] > [Remote Access VPN] > [Network (Client) Access] > [Address Assignment] > [Assignment Policy] を参照してください。 |
クライアントレス SSL VPN キャッシング静的コンテンツの機能拡張 |
クライアント SSL VPN キャッシュ コマンドには次の 2 つの変更があります。 cache-compressed コマンドが非推奨になりました。 新しい cache-static-content コマンドは、すべての静的コンテンツをキャッシュするように ASA を設定します。これはつまり、SSL VPN の書き換えが行われないすべてのキャッシュ可能 Web オブジェクトのことです。これには、画像や PDF ファイルなどのコンテンツが含まれています。 コマンドの構文は次のとおりです。cache-static-content {enable | disable}。デフォルトでは、静的コンテンツ キャッシングが無効になっています。 例:
hostname (config-webvpn-cache) # ASDM で、[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Advanced] > [Content Cache] を参照してください。 バージョン 7.2(3) でも使用可能です。 |
スマート カードの取り外し切断 |
この機能により、セントラル サイトの管理者は、スマート カードを取り外すときにアクティブなトンネルを削除するためのリモート クライアント ポリシーを設定できます。Cisco VPN リモート アクセス ソフトウェア クライアント(IPSec と SSL の両方)は、デフォルトでは、ユーザーが認証に使用されるスマート カードを取り外すときに既存の VPN トンネルを切断します。次の CLI コマンドは、スマート カードが取り外されたときに既存の VPN トンネルを切断します。smartcard-removal-disconnect {enable | disable}。このオプションは、デフォルトで有効です。 ASDM で、[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Group Policies] > [Add/Edit Internal/External Group Policies] > [More Options] を参照してください。 バージョン 7.2(3) でも使用可能です。 |
WebVPN ロード バランシング |
適応型セキュリティ アプライアンスは、ロード バランシングのために FQDN の使用をサポートするようになりました。FQDN を使用して WebVPN ロード バランシングを実行するには、ロード バランシング用に FQDN の使用を有効にし、redirect-fqdn enable コマンドを入力する必要があります。DNS サーバにインターフェイス外の各適応型セキュリティ アプライアンスのエントリを(まだない場合には)追加します。それぞれの適応型セキュリティ アプライアンスの外部 IP アドレスに、ルックアップ用にそのアドレスに関連付けられた DNS エントリが設定されている必要があります。これらの DNS エントリに対しては、逆ルックアップもイネーブルにする必要があります。dns domain-lookup inside コマンドを使用して、適応型セキュリティ アプライアンスで DNS ルックアップをイネーブルにします。inside の部分には、DNS サーバへのルートを持つ任意のインターフェイスを指定します。最後に、適応型セキュリティ アプライアンス上の DNS サーバの IP アドレスを定義する必要があります。次に示すのは、この拡張機能に関連付けられている新しい CLI です。redirect-fqdn {enable | disable}。 ASDM で、[Configuration] > [VPN] > [Load Balancing] を参照してください。 バージョン 7.2(3) でも使用可能です。 |
アプリケーション インスペクション機能 |
|
WAAS と ASA の相互運用性 |
ポリシーマップ クラス設定モードで WAAS インスペクションを有効にするために、inspect waas コマンドが追加されました。この CLI は、機能の設定で柔軟性を最大限にするために、モジュラ ポリシー フレームワークに統合されています。[no] inspect waas コマンドは、デフォルトのインスペクション クラスおよびカスタム クラスマップの下に設定できます。このインスペクション サービスは、デフォルトでイネーブルではありません。 キーワード オプション waas は、WAAS 統計を表示するために、show service-policy inspect コマンドに追加されました。
新しいシステム ログ メッセージは、接続で WAAS 最適化が検出された場合に生成されます。WAAS 最適化接続では、すべての L7 検査サービス(IPS を含む)がバイパスされます。 システム ログの番号と形式: %ASA-6-428001:WAAS confirmed from in_interface:src_ip_addr/src_port to out_interface:dest_ip_addr/dest_port, inspection services bypassed on this connection. WAAS 接続で、新しい接続フラグ「W」が追加されました。show conn detail コマンドは、新しいフラグを反映するように更新されています。 ASDM で、[Configuration] > [Firewall] > [Service Policy Rules] > [Add/Edit Service Policy Rule] > [Rule Actions] > [Protocol Inspection] を参照してください。 バージョン 7.2(3) でも使用可能です。 |
DNS ガードの機能拡張 |
DNS ガードをイネーブルまたはディセーブルにするためのオプションが追加されました。この機能をイネーブルにすると、1 つの DNS 要求に対して 1 つの DNS 応答だけが許可されます。 ASDM で、[Configuration] > [Firewall] > [Objects] > [Inspect maps] > [DNS] を参照してください。 バージョン 7.2(3) でも使用可能です。 |
ESMTP over TLS のサポート |
この拡張機能は、esmtp ポリシー マップに構成パラメータ allow-tls [action log] を追加します。デフォルトでは、このパラメータはイネーブルになっていません。有効にすると、ESMTP インスペクションは 250-STARTTLS エコー応答をサーバからマスクすることも、クライアントから STARTTLS コマンドをマスクすることもありません。サーバが 220 応答コードで応答したら、ESMTP インスペクションはそれ自体がオフになります。そのセッションの ESMTP トラフィックは検査されなくなります。allow-tls action log パラメータが設定されていると、ESMTP セッションで TLS が開始されたときに、syslog メッセージ ASA-6-108007 が生成されます。
allow-tls パラメータに関連付けられたカウンタを表示するための新しい行が show service-policy inspect esmtp コマンドに追加されました。これは allow-tls がポリシー マップで設定されている場合にのみ存在します。デフォルトでは、このパラメータはイネーブルになっていません。
この拡張機能は、allow-tls パラメータの新しいシステム ログ メッセージを追加します。これは esmtp セッションでサーバがクライアントの STARTTLS コマンドに対して 220 応答コードで応答したことを示します。ESMTP インスペクション エンジンでは、この接続のトラフィックは検査されなくなりました。 システム ログの番号と形式: %ASA-6-108007: TLS started on ESMTP session between client <client-side interface-name>:<client IP address>/<client port> and server <server-side interface-name>:<server IP address>/<server port> ASDM で、[Configuration] > [Firewall] > [Objects] > [Inspect Map] > [ESMTP] を参照してください。 バージョン 7.2(3) でも使用可能です。 |
ハイ アベイラビリティ機能 |
|
データプレーン キープアライブ メカニズムの追加 |
ASA を構成して、AIP SSM がアップグレードされた場合に、フェールオーバーを発生させないようにできます。以前のリリースでは、AIP SSM がある 2 つの ASA がフェールオーバーで構成されている場合に AIP SSM ソフトウェアが更新されると、AIP SSM はソフトウェアの更新を有効にするためにリブートまたは再起動を必要とするので、ASA はフェールオーバーをトリガーします。 バージョン 7.0(7) および 7.2(3) でも使用可能です。 |
完全修飾ドメイン名(FQDN)のサポートの機能拡張 |
redirect-fqdn コマンドに、完全修飾ドメイン名(FQDN)または IP アドレスを VPN ロード バランシング クラスタ内のクライアントに送信するためのオプションが追加されました。 ASDM で、[Configuration] > [Device Management] >[High Availability] > [VPN Load Balancing] または [Configuration] > [Remote Access VPN] > [Load Balancing] を参照してください。 |
DHCP 機能 |
|
DHCP クライアント ID の拡張機能 |
ip address dhcp コマンドを使用してインターフェイスの DHCP クライアントをイネーブルにすると、一部の ISP でオプション 61 がインターフェイス MAC アドレスであると見なされます。MAC アドレスが DHCP 要求パケットに含まれていない場合、IP アドレスは割り当てられません。この新しいコマンドを使用して、オプション 61 用にインターフェイス MAC アドレスを含めます。このコマンドを構成しない場合は、クライアント ID は次のようになります。cisco-<MAC>-<interface>-<hostname> 次のコマンドが導入されました。dhcp-client client-id interface interface_name 次の画面が変更されました。[Configuration] > [Device Management] > [DHCP] > [DHCP Server]。次に [Advanced] をクリックします。 バージョン 7.2(3) でも使用可能です。 |
DHCP クライアント ブロードキャスト フラグ |
ip address dhcp コマンドを使用してインターフェイスの DHCP クライアントをイネーブルにすると、DHCP クライアントが検出を送信して IP アドレスを要求するときに、このコマンドを使用して、DHCP パケット ヘッダーでブロードキャスト フラグを 1 に設定できます。DHCP サーバはこのブロードキャスト フラグをリッスンし、フラグが 1 に設定されている場合は応答パケットをブロードキャストします。 no dhcp-client broadcast-flag コマンドを入力すると、ブロードキャスト フラグは 0 に設定され、DHCP サーバは応答パケットを提供された IP アドレスのクライアントにユニキャストします。 DHCP クライアントは、DHCP サーバからブロードキャスト オファーとユニキャスト オファーの両方を受信できます。 次のコマンドが導入されました。dhcp-client broadcast-flag 次の画面が変更されました。[Configuration] > [Device Management] > [DHCP] > [DHCP Server]。次に [Advanced] をクリックします。 |
プラットフォーム機能 |
|
ASA 5510 Security Plus ライセンスにより、ポート 0 と 1 のギガビット イーサネットが可能になります。 |
ASA 5510 ASA は、ポート 0 と 1 の GE(ギガビット イーサネット)を有効にする Security Plus ライセンスを持つようになりました。ライセンスを Base から Security Plus にアップグレードした場合、外部 Ethernet 0/0 および Ethernet 0/1 の容量は、元の FE(ファスト イーサネット)の 100 Mbps から GE の 1000 Mbps に増加します。インターフェイス名は Ethernet 0/0 および Ethernet 0/1 のままです。speed コマンドを使用してインターフェイスの速度を変更します。また、show interface コマンドを使用して各インターフェイスの現在の設定速度を確認します。 バージョン 7.2(3) でも使用可能です。 |
ASA 5505 の増加した VLAN の範囲 |
ASA 5505 ASA は 1 ~ 4090 の範囲の VLAN ID をサポートするようになりました。当初は 1 ~ 1001 の VLAN ID のみがサポートされていました。 バージョン 7.2(3) でも使用可能です。 |
トラブルシューティング機能 |
|
capture コマンドの強化 |
capture コマンドの拡張により、ユーザーはトラフィックをキャプチャし、リアルタイムで表示することができます。コマンド ライン オプションを指定して、個別のアクセス リストを設定する必要なくトラフィックをフィルタすることもできます。この拡張機能では、real-time と 5 タプルの match オプションが追加されます。 capture cap_name [real-time] [dump] [detail [trace] [match prot {host ip | ip mask | any} [{eq | lt | gt} port] {host ip | ip mask | any} [{eq | lt | gt} port]] バージョン 7.2(3) でも使用可能です。 |
ASDM 機能 |
|
ASDM バナー拡張機能 |
適応型セキュリティ アプライアンス ソフトウェアは、ASDM バナーをサポートしています。設定した場合、ASDM を起動すると、このバナー テキストが、続行または切断のためのオプションとともに、ダイアログボックスに表示されます。[Continue] オプションを選択すると、バナーが閉じて通常どおりログインが完了しますが、[Disconnect] オプションを選択するとバナーが閉じて接続が終了します。この機能拡張は顧客に、接続の前に、書面によるポリシー条件の受け入れを求めます。 次に示すのは、この拡張機能に関連付けられている新しい CLI です。 banner {exec | login | motd | asdm} text show banner [exec | login | motd | asdm] clear banner ASDM で、[Configuration] > [Properties] > [Device Administration] > [Banner] を参照してください。 バージョン 7.2(3) でも使用可能です。 |
ASDM のローカリゼーションの機能拡張 |
ASDM は AnyConnect ローカリゼーションをサポートするように機能強化されました。[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [AnyConnect Customization] を参照するか、または [Configuration] > [RemoteAccess] > [Network Access] > [AnyConnect Customization] および [Configuration] > [RemoteAccess] > [Language Localization] > [MST Translation] パネルを参照してください。 |
時間ベース ライセンスの機能拡張 |
[Home] ページで、[Device Dashboard] タブの [License] タブには、時間ベースのライセンスの有効期限が切れるまでの日数が示されています(該当する場合)。 |
Network Objects |
ファイアウォール規則で使用できる真のネットワーク オブジェクトを追加できるようになりました。オブジェクトには名前を付けることができ、オブジェクトを編集すると、その変更はオブジェクトが使用される場所ではどこでも継承されます。また、ルールを作成すると、ルールで指定したネットワークは自動的にネットワーク オブジェクト リストに追加され、どこでもそれらを再利用できます。それらの自動エントリも名前を付けて編集できます。[Configuration] > [Firewall] > [Objects] > [Network Objects/Groups] を参照してください。 |
クライアント ソフトウェアの場所の機能強化 |
クライアント ソフトウェアの場所のリストに、Linux または Mac のシステムからのクライアント更新を許可するためのサポートが追加されました。[Configure] > [Remote Access VPN] > [Language Localization] を参照してください。 バージョン 7.2(3) でも使用可能です。 |
CSC イベントと統計レポートの機能拡張 |
Cisco Content Security and Control(CSC)6.2 ソフトウェアを使用すると、ASDM は新しい Damage Cleanup Services(DCS)機能用のイベントと統計を提供します。DCS はクライアントおよびサーバからマルウェアを削除して、システム レジストリとメモリを修復します。 |
ASA 8.0(2)/ASDM 6.0(2) の新機能
リリース:2007年6月18日
(注) |
8.0(1)/6.0(1) リリースはありませんでした。 |
機能 |
説明 |
---|---|
ルーティング機能 |
|
EIGRP ルーティング |
ASA は、EIGRP ルーティングまたは EIGRP スタブ ルーティングをサポートしています。 |
ハイ アベイラビリティ機能 |
|
フェールオーバー ペアでのリモート コマンド実行 |
フェールオーバー ペアのピア ユニット上で、直接ピアに接続しなくてもコマンドを実行できます。これは、Active/Standby フェールオーバーと Active/Active フェールオーバーの両方で実行可能です。 |
CSM コンフィギュレーションのロールバックのサポート |
フェールオーバー構成において、Cisco Security Manager コンフィギュレーションのロールバック機能のサポートが追加されています。 |
フェールオーバー ペアの Auto Update のサポート |
Auto Update サーバを使用して、フェールオーバー ペアのプラットフォーム イメージとコンフィギュレーションを更新できます。 |
SIP シグナリングのステートフル フェールオーバー |
SIP メディアとシグナリング接続がスタンバイ ユニットに複製されます。 |
冗長インターフェイス |
論理冗長インターフェイスは、アクティブとスタンバイの物理インターフェイスからなるペアです。アクティブ インターフェイスで障害が発生すると、スタンバイ インターフェイスがアクティブになって、トラフィックを通過させ始めます。冗長インターフェイスを設定して ASA の信頼性を高めることができます。この機能は、デバイスレベルのフェールオーバーとは別個のものですが、必要な場合はフェールオーバーとともに冗長インターフェイスも設定できます。最大 8 個の冗長インターフェイス ペアを設定できます。 |
モジュール機能 |
|
AIP SSM を使用した仮想 IPS センサー |
IPS ソフトウェアのバージョン 6.0 以降を実行している AIP SSM では、複数の仮想センサーを実行できます。つまり、AIP SSM に複数のセキュリティ ポリシーを設定することができます。各コンテキストまたはシングル モード適応型セキュリティ アプライアンスを 1 つまたは複数の仮想センサーに割り当てたり、複数のセキュリティ コンテキストを同じ仮想センサーに割り当てることができます。仮想センターの詳細(サポートされている最大センサー数など)については、IPS のマニュアルを参照してください。 |
パスワードのリセット |
SSM ハードウェア モジュールのパスワードをリセットできます。 |
VPN 認証機能(1) |
|
証明書とユーザー名およびパスワード ログインの組み合わせ |
管理者が SSL VPN 接続にログインするには、証明書に加えてユーザー名とパスワードが必要です。 |
内部ドメイン ユーザー名とパスワード |
ワンタイム パスワードなど、ドメイン ユーザー名とパスワード以外のクレデンシャルを使用してログインするユーザーに対し、内部リソースへのアクセスのためのパスワードを提供します。これは、ユーザーがログインするときに入力するパスワードとは別のパスワードです。 |
汎用 LDAP サポート |
これには、OpenLDAP と Novell LDAP が含まれます。認証と認可で使用できる LDAP サポートが拡張されます。 |
オンスクリーン キーボード |
ASA には、ログイン ページと、内部リソースに対する以降の認証要求のためのオンスクリーン キーボード オプションがあります。これは、認証の際に物理的なキーボード上の文字を入力するのではなく、マウスを使用してオンスクリーン キーボード上の文字をクリックするようにユーザーに要求することで、ソフトウェアベースのキーストローク ロガーに対するさらなる保護を実現します。 |
RSA Access Manager で確認される SAML SSO |
ASA は、RSA Access Manager(Cleartrust および Federated Identity Manager)を使用した、シングル サインオン(SSO)のための Security Assertion Markup Language(SAML)プロトコルをサポートしています。 |
NTLMv2 |
バージョン 8.0(2) では、Windows ベースのクライアントに対し、NTLMv2 認証のサポートが追加されています。 |
証明書の機能 |
|
ローカル認証局(CA) |
ブラウザベースおよびクライアントベースの SSL VPN 接続で使用するための、ASA 上の認証局を提供します。 |
OCSP CRL |
SSL VPN の OCSP 失効チェック機能を提供します。 |
Cisco Secure Desktop の機能 |
|
ホスト スキャン |
Cisco AnyConnect またはクライアントレス SSL VPN 接続の完了の条件として、リモート コンピュータは、アンチウイルス アプリケーションとアンチスパイウェア アプリケーション、ファイアウォール、オペレーティング システム、および関連する更新の大幅に拡張されたコレクションをスキャンします。また、任意のレジストリ エントリ、ファイル名、およびプロセス名を指定してスキャン対象にすることもできます。スキャン結果を ASA に送信します。ASA は、ユーザー ログイン クレデンシャルとコンピュータ スキャン結果の両方を使用して、ダイナミック アクセス ポリシー(DAP)を割り当てます。 Advanced Endpoint Assessment ライセンスを使用すると、バージョン要件を満たすように非準拠コンピュータのアップデートを試行する機能を設定して、Host Scan を拡張できます。 シスコは、Host Scan でサポートされるアプリケーションとバージョンの一覧に、Cisco Secure Desktop とは異なるパッケージで、タイムリーなアップデートを提供できます。 |
単純化されたログイン前評価と定期的なチェック |
Cisco Secure Desktop では、離れた場所にある Microsoft Windows コンピュータに対するログイン前チェックと定期的なチェックを簡単に設定できます。Cisco Secure Desktop では、チェックの単純化されたグラフィカルなビューを使用して、エンドポイント チェック条件の追加、変更、削除、条件の設定が可能です。このグラフィカル ビューを使用してチェックのシーケンスの設定、チェックの分岐へのリンク、ログインの拒否、エンドポイント プロファイルの割り当てを行う際、Cisco Secure Desktop Manager は変更内容を XML ファイルに記録します。返された結果と、接続タイプや複数のグループ設定など、他の多数のデータ タイプを使用して、DAP を生成しセッションに適用するように、ASA を設定できます。 |
VPN アクセス ポリシー機能 |
|
ダイナミック アクセス ポリシー(DAP) |
VPN ゲートウェイは動的な環境で動作します。個々の VPN 接続には、頻繁に変更されるイントラネット設定、組織内の各ユーザーが持つさまざまなロール、および設定とセキュリティ レベルが異なるリモート アクセス サイトからのログインなど、複数の変数が影響する可能性があります。VPN 環境でのユーザー認可のタスクは、スタティックな設定のネットワークでの認可タスクよりもかなり複雑です。 ASA ではダイナミック アクセス ポリシー(DAP)によって、これらのさまざまな変数に対処する認可機能を設定できます。ダイナミック アクセス ポリシーは、特定のユーザー トンネルまたはユーザー セッションに関連付ける一連のアクセス コントロール属性を設定して作成します。これらの属性により、複数のグループ メンバーシップやエンドポイント セキュリティの問題に対処します。つまり、ASA では、定義したポリシーに基づき、特定のセッションへのアクセス権が特定のユーザーに付与されます。セキュリティ アプライアンスは、ユーザーが接続するときに、1 つまたは複数の DAP レコードから属性を選択または集約して、DAP を生成します。DAP レコードは、リモート デバイスのエンドポイント セキュリティ情報および認証されたユーザーの AAA 認可情報に基づいて選択されます。選択された DAP レコードは、ユーザー トンネルまたはセッションに適用されます。 |
管理者の区別 |
同じデータベース(RADIUS または LDAP)下で、通常のリモート アクセス ユーザーと管理ユーザを区別できます。TELNET や SSH など、さまざまな方法を使用したコンソールへのアクセスを作成し、管理者に限定することができます。これは、IETF RADIUS サービス タイプ属性に基づいています。 |
プラットフォームの機能拡張 |
|
リモート アクセス VPN 接続のための VLAN のサポート |
グループ レベルまたはユーザー レベルでクライアント トラフィックのマッピング(タギング)をサポートします。この機能は、IPSec および SSL トンネルベースの接続だけでなく、クライアントレスとも互換性があります。 |
ASA 5510 の VPN ロード バランシング |
ロード バランシング サポートが、Security Plus ライセンスを持つ ASA 5510 適応型セキュリティ アプライアンスに拡張されています。 |
暗号化条件付きデバッグ |
ピア IP アドレス、暗号化エンジンの接続 ID、セキュリティ パラメータ インデックス(SPI)などの事前に定義された暗号化条件に基づいて IPSec トンネルをデバッグできます。デバッグ メッセージを特定の IPSec 操作に限定し、デバッグ出力の量を減らすことで、多数のトンネルがある ASA を効果的にトラブルシューティングできます。 |
ブラウザベースの SSL VPN 機能 |
|
拡張されたポータル設計 |
バージョン 8.0(2) には、よりわかりやすく構成され視覚的に魅力のある、拡張されたエンド ユーザー インターフェイスが含まれています。 |
カスタマイゼーション |
ユーザーに見えるすべての内容を、管理者が定義してカスタマイズできます。 |
FTP のサポート |
CIFS(Windows ベース)に加え、FTP 経由でファイルにアクセスできます。 |
プラグイン アプレット |
バージョン 8.0(2) では、事前にインストールされたクライアント アプリケーションを必要としない、TCP ベースのアプリケーションをサポートするフレームワークが追加されています。Java アプレットを使用して、ブラウザ対応の SSL VPN ポータルからこれらのアプリケーションにアクセスできます。当初は TELNET、SSH、RDP、および VNC がサポートされています。 |
スマート トンネル |
スマート トンネルは、ASA をパスウェイとし、ブラウザベースの SSL VPN セッションを使用した、アプリケーションとリモート サイト間の接続です。バージョン 8.0(2) では、スマート トンネル アクセスを許可するアプリケーションを特定し、アプリケーションのパスと、アクセスを許可する前にチェックする、そのチェックサムの SHA-1 ハッシュを指定できます。Lotus SameTime および Microsoft Outlook Express は、スマート トンネル アクセスを許可できるアプリケーションの例です。 スマート トンネル接続を開始するリモート ホストでは、Microsoft Windows Vista、Windows XP、または Windows 2000 が実行されている必要があり、ブラウザで Java と Microsoft ActiveX のいずれかまたは両方が有効になっている必要があります。 |
RSS ニュースフィード |
管理者はクライアントレス ポータルに RSS ニュースフィード情報を埋め込み、会社のニュースやその他の情報をユーザーの画面で表示できます。 |
個人用ブックマークのサポート |
ユーザーは独自のブックマークを定義できます。これらのブックマークはファイル サーバに保存されます。 |
変換の拡張 |
Adobe Flash や Java WebStart など、クライアントレス接続上で複雑な形態の Web コンテンツのサポートがいくつか追加されています。 |
IPv6 |
パブリック IPv4 接続上で IPv6 リソースへのアクセスが許可されます。 |
Web フォルダ |
Windows オペレーティング システムから接続しているブラウザベースの SSL VPN ユーザーは、共有ファイル システムを参照し、各種の操作を実行できます。可能な操作は、フォルダの参照、フォルダとファイルのプロパティの参照、作成、移動、コピー、ローカル ホストからリモート ホストへのコピー、リモート ホストからローカル ホストへのコピー、削除です。Internet Explorer には、いつ Web フォルダにアクセスできるかが表示されます。このフォルダにアクセスすると、別のウィンドウが開いて共有フォルダが表示されます。フォルダおよびドキュメントのプロパティで許可されている場合、ユーザーはここで Web フォルダの機能を実行できます。 |
Microsoft Sharepoint の機能拡張 |
Microsoft Sharepoint の Web Access サポートが拡張され、マシン上で利用可能な Microsoft Office アプリケーションとブラウザが統合され、サーバで共有されているドキュメントを参照、変更、保存できます。バージョン 8.0(2) では、Windows Server 2003 の Windows Sharepoint Services 2.0 がサポートされています。 |
HTTP/HTTPS プロキシ サーバ |
|
PAC サポート |
ブラウザにダウンロードするプロキシ自動設定(PAC)ファイルの URL を指定できます。ダウンロードが完了すると、PAC ファイルは JavaScript 機能を使用して各 URL のプロキシを識別します。 |
プロキシ除外リスト |
ASA が外部プロキシ サーバに送信できる HTTP 要求から除外する URL のリストを設定できます。 |
VPN ネットワーク アクセス コントロール機能 |
|
SSL VPN トンネルのサポート |
ASA では、AnyConnect VPN クライアント セッションを確立するエンドポイントの NAC ポスチャ検証機能が提供されます。 |
監査サービスのサポート |
クライアントがポスチャ検証の要求に応答しない場合は、ASA を設定して、そのクライアントの IP アドレスをオプションの監査サーバに渡すことができます。監査サーバは、ホストのヘルスを評価するために、ホスト IP アドレスを使用してホストを直接調べます。たとえば、ホストのウイルス チェック ソフトウェアがアクティブかつ最新かどうかを確認するためにホストを調べることができます。監査サーバは、リモート ホストとの対話を完了すると、リモート ホストのヘルスを示すトークンをポスチャ検証サーバに渡します。リモート ホストが正常であることを示すトークンを受信すると、ポスチャ検証サーバは、トンネル上のトラフィックに適用するためのネットワーク アクセス ポリシーを ASA に送信します。 |
アプリケーション インスペクション機能 |
|
モジュラ ポリシー フレームワーク検査クラス マップ |
トラフィックは、検査クラス マップ内の複数の一致コマンドのいずれかに一致します。以前は、トラフィックがクラス マップに一致するためには、クラス マップ内のすべての一致コマンドに一致する必要がありました。 |
暗号化されたストリームの AIC と AIC Arch の変更 |
TLS への HTTP 検査を提供し、WebVPN HTTP および HTTPS ストリーム中の AIC/MPF インスペクションが可能です。 |
SCCP および SIP 用の TLS プロキシ(2) |
暗号化されたトラフィックを検査できます。実装には、Cisco CallManager と対話する、SSL で暗号化された VoIP シグナリング、つまり Skinny および SIP が含まれます。 |
CCM 用の SIP の機能拡張 |
シグナリング ピンホールに関して、CCM 5.0 および 6.x との相互運用性が向上しています。 |
SIP 用の IPv6 のサポート |
SIP インスペクション エンジンは IPv6 アドレスをサポートしています。IPv6 アドレスは、URL、Via ヘッダー フィールド、SDP フィールドで使用できます。 |
フル RTSP PAT サポート |
TCP フラグメント リアセンブリのサポート、RTSP に対するスケーラブルな解析ルーチン、RTSP トラフィックを保護するセキュリティ拡張を提供します。 |
アクセス リスト機能 |
|
拡張されたサービス オブジェクト グループ |
TCP サービス、UDP サービス、ICMP タイプ サービス、および任意のプロトコルが混在するサービス オブジェクト グループを設定できます。これにより、特定の ICMP タイプ オブジェクト グループとプロトコル オブジェクト グループが不要になります。拡張されたサービス オブジェクト グループは、ソース サービスと宛先サービスも指定します。アクセス リスト CLI は、この動作をサポートするようになりました。 |
アクセス リストの名前変更機能 |
アクセス リストの名前を変更できます。 |
ライブ アクセス リスト ヒット カウント |
複数のアクセス リストからの ACE のヒット カウントが含まれています。ヒット カウント値は、トラフィックが特定のアクセス ルールにヒットする回数を表します。 |
攻撃防止機能 |
|
適応型セキュリティ アプライアンスへの管理トラフィックの接続制限を設定します。 |
レイヤ 3/4 管理クラス マップでは、set connection コマンドを指定できます。 |
脅威の検出 |
基本的な脅威検出と脅威検出のスキャンを有効にし、DoS 攻撃やスキャン攻撃などの攻撃を監視できます。スキャン攻撃に対しては、攻撃元のホストを自動的に回避できます。また、スキャン脅威統計をイネーブルにし、ホスト、ポート、プロトコル、アクセス リストに対する有効なトラフィックと無効なトラフィックの両方を監視できます。 |
NAT の機能 |
|
トランスペアレント ファイアウォールの NAT サポート |
トランスペアレント ファイアウォールの NAT を設定できます。 |
モニタリング機能 |
|
セキュア ロギング |
SSL または TLS と TCP を使用した syslog サーバへのセキュア接続と、暗号化されたシステム ログ メッセージ コンテンツをイネーブルにできます。PIX シリーズ適応型セキュリティ アプライアンス上ではサポートされません。 |
ASDM 機能 |
|
再設計されたインターフェイス |
論理一貫性とナビゲーションの容易さを提供するために、情報を再編成します。 |
オンスクリーン ヘルプの拡張 |
ASDM には、画面上の機能と設定のオプションの説明があります。これにより他の情報源を参照する必要を減らすことができます。 |
ビジュアル ポリシー エディタ |
ビジュアル ポリシー エディタにより、管理者はアクセス コントロール ポリシーとポスチャ チェックを設定できます。 |
ファイアウォール ダッシュボード |
ホーム ページから、レート制限を超えるトラフィックと、ホスト、アクセス リスト、ポート、またはプロトコルにより許可またはドロップされたトラフィックをモニタすることによって、ネットワークに対する脅威を追跡できるようになりました。 |
アクセシビリティ機能 |
キーボード ナビゲーション、グラフィックスの代替テキスト、および改善されたスクリーン リーダー サポートなどの機能が追加されました。 |
複雑な設定のサポート |
変更を適用しなくても、ペイン間を移動できます。これによりその設定をデバイスに適用する前に、マルチペイン設定を入力できます。 |
Device List |
ASDM は最近アクセスされたデバイスのリストを維持し、デバイスとコンテキストを切り替えることができます。 |
SSL VPN 設定ウィザード |
新しい SSL VPN 設定ウィザードでは、基本 SSL VPN 接続を設定するための手順ごとのガイドが示されます。 |
Startup Wizard の機能拡張 |
Startup Wizard では、インストールされている CSC SSM にトラフィックを渡すように適応型 ASA を設定できるようになりました。 |
ASDM アシスタントの機能強化 |
セキュア音声を設定するアシスタントが追加されました。 |
Packet Capture Wizard |
パケット キャプチャ ウィザードでは、PCAP フォーマットでスニファ トレースを取得およびダウンロードすることができます。 |
サービス ポリシー ルール ウィザード |
IPS 仮想化をサポートするように更新されました。 |
証明書管理の拡張機能 |
証明書管理 GUI は再編成されて簡素化されました。 |
バージョン 7.2 の新機能
ASA 7.2(5)/ASDM 5.2(5) の新機能
リリース:2010年5月11日
ASA 7.2(5)/ASDM 5.2(5) には新機能はありませんでした。
ASA 7.2(4)/ASDM 5.2(4) の新機能
リリース:2008年4月7日
機能 |
説明 |
---|---|
リモート アクセス機能 |
|
ローカル アドレス プールの編集 |
アドレス プールは、目的の接続に影響を与えることなく編集できます。アドレスが使用中でありプールから排除されていない場合、接続は影響を受けません。ただし、使用中のアドレスがプールから除去されている場合、接続はダウンします。 バージョン 7.0(8) および 8.0(4) でも使用可能です。 |
ルーティング機能 |
|
IPv6 マルチキャスト リスナー ディスカバリ プロトコル v2 サポート |
ASA は、マルチキャスト リスナー ディスカバリ プロトコル(MLD)バージョン 2 をサポートするようになりました。これにより直接接続リンク上のマルチキャスト アドレス リスナーの存在を検出し、特にどのマルチキャスト アドレスがそれらの隣接ノードの対象になるかを検出します。ASA はマルチキャスト アドレス リスナーまたはホストにはなりますが、マルチキャスト ルータにはならず、マルチキャスト リスナー クエリに応答し、マルチキャスト リスナー レポートのみを送信します。 次のコマンドがこの機能をサポートしています。
バージョン 8.0(4) でも使用可能です。 |
プラットフォーム機能 |
|
ASA 5505 トランク ポート上のネイティブ VLAN サポート |
トランク ポート上でネイティブ VLAN を使用できます(switchport trunk native vlan コマンドを参照してください)。 ASDM で、[Configuration] > [Device Setup] > [Interfaces] > [Switch Ports] > [Edit] ダイアログを参照してください。 バージョン 8.0(4) でも使用可能です。 |
接続機能 |
|
clear conn コマンド |
clear conn コマンドは、接続を削除するために追加されました。 バージョン 7.0(8) および 8.0(4) でも使用可能です。 |
フラグメントの完全リアセンブル |
fragment コマンドは reassembly full キーワードで拡張され、デバイス経由でルーティングされるフラグメントの完全リアセンブルが可能になりました。デバイスで終端するフラグメントは、常に完全にリアセンブルされます。 バージョン 7.0(8) および 8.0(4) でも使用可能です。 |
QoS トラフィック シェーピング |
ASA などの、ファスト イーサネットを使用してパケットを高速に送信するデバイスが存在し、そのデバイスがケーブル モデムなどの低速デバイスに接続されている場合、ケーブル モデムがボトルネックとなり、ケーブル モデムでパケットが頻繁にドロップされます。回線速度が異なるネットワークを管理するため、固定の低速でパケットを転送するようにセキュリティ アプライアンスを設定できます。shape コマンドを参照してください。また、crypto ipsec security-association replay コマンドも参照してください。このコマンドでは、IPSec アンチ リプレイ ウィンドウ サイズを設定できます。 プライオリティ キューイングには、パケットの並べ替えという副作用があります。IPSec パケットの場合、リプレイ攻撃防止ウィンドウ内にない異常なパケットに対しては、警告 syslog メッセージが生成されます。これらの警告は、プライオリティ キューイングでは誤報となります。この新しい機能は、誤報の可能性を防ぎます。 ASDM で、[Configuration] > [Firewall] > [Security Policy] > [Service Policy Rules] > [Add/Edit Service Policy Rule] > [Rule Actions] > [QoS] を参照してください。トラフィック シェーピングでサポートされているトラフィック クラスは、すべてのトラフィックに一致する class-default だけであることに注意してください。 バージョン 8.0(4) でも使用可能です。 |
ファイアウォール機能 |
|
TCP 正規化の機能拡張 |
特定のパケット タイプに対し、TCP 正規化のアクションを設定できるようになりました。以前は、これらの種類のパケットに対するデフォルトのアクションは、パケットをドロップすることでした。パケットを許可するように TCP ノーマライザを設定できるようになりました。
TCP アウトオブオーダー パケット バッファ タイムアウトを設定することもできます(queue コマンドの timeout キーワード)。以前は、タイムアウトは 4 秒でした。タイムアウトを別の値に設定できるようになりました。 MSS を超えたパケットのデフォルト アクションが、ドロップから許可に変更されました(exceed-mss コマンド)。 次の設定できないアクションが、次のパケット タイプに対してドロップからクリアに変更されました。
ASDM で、[Configuration] > [Global Objects] > [TCP Maps] ペインを参照してください。 バージョン 8.0(4) でも使用可能です。 |
SIP プロビジョナル メディアのタイムアウト |
SIP 暫定メディアのタイムアウトを、timeout sip-provisional-media コマンドを使用して設定できるようになりました。 ASDM で、[Configuration] > [Properties] > [Timeouts] ペインを参照してください。 バージョン 8.0(4) でも使用可能です。 |
Ethertype ACL MAC の機能強化 |
EtherType ACL は、非標準 MAC を許可するように強化されています。既存のデフォルトのルールが保持され、新しいルールを追加する必要はありません。 バージョン 7.0(8) および 8.0(4) でも使用可能です。 |
トラブルシューティングとモニタリングの機能 |
|
capture コマンドの強化 |
capture type asp-drop drop_code コマンドは、all を drop_code として受け入れるようになったので、セキュリティ チェックが原因でドロップされたものを含め、ASA がドロップするすべてのパケットをキャプチャできるようになりました。 バージョン 7.0(8) および 8.0(4) でも使用可能です。 |
MIB の機能拡張 |
CISCO-REMOTE-ACCESS-MONITOR-MIB はより完全に実装されます。 8.0(4) でも使用可能です。 |
show asp drop コマンドの強化 |
カウンタが最後にクリアされた時間を示すタイムスタンプが出力に含まれるようになりました(clear asp drop コマンドを参照)。また、説明の横にドロップ理由のキーワードが表示されるため、そのキーワードを使用して簡単に capture asp-drop コマンドを使用できます。 バージョン 7.0(8) および 8.0(4) でも使用可能です。 |
clear asp table コマンド |
clear asp table コマンドが、show asp table コマンドによるヒット出力をクリアするために追加されました。 バージョン 7.0(8) および 8.0(4) でも使用可能です。 |
show asp table classify hits コマンドの強化 |
hits オプションが show asp table classify コマンドに追加され、asp テーブル カウンタがクリアされた最終時刻を示すタイムスタンプが表示されるようになりました。ゼロと等しくない hits 値があるルールも表示されます。これによりユーザーはどのルールがヒットしたかをすばやく参照できます。特に単純な設定であると show asp table classify コマンドで最終的に何百ものエントリが存在するようになるため便利です。 バージョン 7.0(8) および 8.0(4) でも使用可能です。 |
show perfmon コマンド |
次の速度出力が追加されました。[TCP Intercept Connections Established]、[TCP Intercept Attempts]、[TCP Embryonic Connections Timeout]、および [Valid Connections Rate in TCP Intercept] バージョン 7.0(8) および 8.0(4) でも使用可能です。 |
memory tracking コマンド |
次の新しいコマンドが、このリリースで導入されました。
バージョン 7.0(8) および 8.0(4) でも使用可能です。 |
フェールオーバー機能 |
|
failover timeout コマンド |
failover timeout コマンドに、静的固定機能とともに使用されるフェールオーバー ライセンスが不要になりました。 バージョン 7.0(8) および 8.0(4) でも使用可能です。 |
ASDM 機能 |
|
Network Objects |
ファイアウォール規則で使用できる真のネットワーク オブジェクトを追加できるようになりました。オブジェクトには名前を付けることができ、オブジェクトを編集すると、その変更はオブジェクトが使用される場所ではどこでも継承されます。また、ルールを作成すると、ルールで指定したネットワークは自動的にネットワーク オブジェクト リストに追加され、どこでもそれらを再利用できます。それらの自動エントリも名前を付けて編集できます。[Configuration] > [Objects] > [Network Objects/Groups] を参照してください。 |
強化された ASDM ルール テーブル |
ASDM ルール テーブルは、ポリシーの作成を合理化するように再設計されています。 |
ASA 7.2(3)/ASDM 5.2(3) の新機能
リリース:2007年8月15日
機能 |
説明 |
---|---|
リモート アクセス機能 |
|
WebVPN ロード バランシング |
適応型セキュリティ アプライアンスは、ロード バランシングのために FQDN の使用をサポートするようになりました。FQDN を使用して WebVPN ロード バランシングを実行するには、ロード バランシング用に FQDN の使用を有効にし、redirect-fqdn enable コマンドを入力する必要があります。DNS サーバにインターフェイス外の各適応型セキュリティ アプライアンスのエントリを(まだない場合には)追加します。それぞれの適応型セキュリティ アプライアンスの外部 IP アドレスに、ルックアップ用にそのアドレスに関連付けられた DNS エントリが設定されている必要があります。これらの DNS エントリに対しては、逆ルックアップもイネーブルにする必要があります。dns domain-lookup inside コマンドを使用して、適応型セキュリティ アプライアンスで DNS ルックアップをイネーブルにします。inside の部分には、DNS サーバへのルートを持つ任意のインターフェイスを指定します。最後に、適応型セキュリティ アプライアンス上の DNS サーバの IP アドレスを定義する必要があります。次に示すのは、この拡張機能に関連付けられている新しい CLI です。redirect-fqdn {enable | disable}。 ASDM で、[Configuration] > [VPN] > [Load Balancing] を参照してください。 バージョン 8.0(3) でも使用可能です。 |
クライアントレス SSL VPN キャッシング静的コンテンツの機能拡張 |
クライアント SSL VPN キャッシュ コマンドには次の 2 つの変更があります。 cache-compressed コマンドが非推奨になりました。 新しい cache-static-content コマンドは、すべての静的コンテンツをキャッシュするように ASA を設定します。これはつまり、SSL VPN の書き換えが行われないすべてのキャッシュ可能 Web オブジェクトのことです。これには、画像や PDF ファイルなどのコンテンツが含まれています。 コマンドの構文は次のとおりです。cache-static-content {enable | disable}。デフォルトでは、静的コンテンツ キャッシングが無効になっています。 例:
hostname (config-webvpn-cache) # ASDM で、[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Advanced] > [Content Cache] を参照してください。 バージョン 8.0(3) でも使用可能です。 |
スマート カードの取り外し切断 |
この機能により、セントラル サイトの管理者は、スマート カードを取り外すときにアクティブなトンネルを削除するためのリモート クライアント ポリシーを設定できます。Cisco VPN リモート アクセス ソフトウェア クライアント(IPSec と SSL の両方)は、デフォルトでは、ユーザーが認証に使用されるスマート カードを取り外すときに既存の VPN トンネルを切断します。次の CLI コマンドは、スマート カードが取り外されたときに既存の VPN トンネルを切断します。smartcard-removal-disconnect {enable | disable}。このオプションは、デフォルトで有効です。 ASDM で、[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Group Policies] > [Add/Edit Internal/External Group Policies] > [More Options] を参照してください。 バージョン 8.0(3) でも使用可能です。 |
プラットフォーム機能 |
|
ASA 5510 Security Plus ライセンスにより、ポート 0 と 1 のギガビット イーサネットが可能になります。 |
ASA 5510 ASA は、ポート 0 と 1 の GE(ギガビット イーサネット)を有効にする Security Plus ライセンスを持つようになりました。ライセンスを Base から Security Plus にアップグレードした場合、外部 Ethernet 0/0 および Ethernet 0/1 の容量は、元の FE(ファスト イーサネット)の 100 Mbps から GE の 1000 Mbps に増加します。インターフェイス名は Ethernet 0/0 および Ethernet 0/1 のままです。speed コマンドを使用してインターフェイスの速度を変更します。また、show interface コマンドを使用して各インターフェイスの現在の設定速度を確認します。 バージョン 8.0(3) でも使用可能です。 |
ASA 5505 の増加した VLAN の範囲 |
ASA 5505 ASA は 1 ~ 4090 の範囲の VLAN ID をサポートするようになりました。当初は 1 ~ 1001 の VLAN ID のみがサポートされていました。 バージョン 8.0(3) でも使用可能です。 |
トラブルシューティング機能 |
|
capture コマンドの強化 |
capture コマンドの拡張により、ユーザーはトラフィックをキャプチャし、リアルタイムで表示することができます。コマンド ライン オプションを指定して、個別のアクセス リストを設定する必要なくトラフィックをフィルタすることもできます。この拡張機能では、real-time と 5 タプルの match オプションが追加されます。 capture cap_name [real-time] [dump] [detail [trace] [match prot {host ip | ip mask | any} [{eq | lt | gt} port] {host ip | ip mask | any} [{eq | lt | gt} port]] バージョン 8.0(3) でも使用可能です。 |
アプリケーション インスペクション機能 |
|
ESMTP over TLS のサポート |
この拡張機能は、esmtp ポリシー マップに構成パラメータ allow-tls [action log] を追加します。デフォルトでは、このパラメータはイネーブルになっていません。有効にすると、ESMTP インスペクションは 250-STARTTLS エコー応答をサーバからマスクすることも、クライアントから STARTTLS コマンドをマスクすることもありません。サーバが 220 応答コードで応答したら、ESMTP インスペクションはそれ自体がオフになります。そのセッションの ESMTP トラフィックは検査されなくなります。allow-tls action log パラメータが設定されていると、ESMTP セッションで TLS が開始されたときに、syslog メッセージ ASA-6-108007 が生成されます。
allow-tls パラメータに関連付けられたカウンタを表示するための新しい行が show service-policy inspect esmtp コマンドに追加されました。これは allow-tls がポリシー マップで設定されている場合にのみ存在します。デフォルトでは、このパラメータはイネーブルになっていません。
この拡張機能は、allow-tls パラメータの新しいシステム ログ メッセージを追加します。これは esmtp セッションでサーバがクライアントの STARTTLS コマンドに対して 220 応答コードで応答したことを示します。ESMTP インスペクション エンジンでは、この接続のトラフィックは検査されなくなりました。 システム ログの番号と形式: %ASA-6-108007: TLS started on ESMTP session between client <client-side interface-name>:<client IP address>/<client port> and server <server-side interface-name>:<server IP address>/<server port> ASDM で、[Configuration] > [Firewall] > [Objects] > [Inspect Map] > [ESMTP] を参照してください。 バージョン 8.0(3) でも使用可能です。 |
DNS ガードの機能拡張 |
DNS ガードをイネーブルまたはディセーブルにするためのオプションが追加されました。この機能をイネーブルにすると、1 つの DNS 要求に対して 1 つの DNS 応答だけが許可されます。 ASDM で、[Configuration] > [Firewall] > [Objects] > [Inspect maps] > [DNS] を参照してください。 バージョン 8.0(3) でも使用可能です。 |
WAAS と ASA の相互運用性 |
ポリシーマップ クラス設定モードで WAAS インスペクションを有効にするために、inspect waas コマンドが追加されました。この CLI は、機能の設定で柔軟性を最大限にするために、モジュラ ポリシー フレームワークに統合されています。 [no] inspect waas コマンドは、デフォルトのインスペクション クラスおよびカスタム クラスマップの下に設定できます。このインスペクション サービスは、デフォルトでイネーブルではありません。 キーワード オプション waas は、WAAS 統計を表示するために、show service-policy inspect コマンドに追加されました。
新しいシステム ログ メッセージは、接続で WAAS 最適化が検出された場合に生成されます。WAAS 最適化接続では、すべての L7 検査サービス(IPS を含む)がバイパスされます。 システム ログの番号と形式: %ASA-6-428001:WAAS confirmed from in_interface:src_ip_addr/src_port to out_interface:dest_ip_addr/dest_port, inspection services bypassed on this connection. WAAS 接続で、新しい接続フラグ「W」が追加されました。show conn detail コマンドは、新しいフラグを反映するように更新されています。 ASDM で、[Configuration] > [Firewall] > [Service Policy Rules] > [Add/Edit Service Policy Rule] > [Rule Actions] > [Protocol Inspection] を参照してください。 バージョン 8.0(3) でも使用可能です。 |
DHCP 機能 |
|
DHCP クライアント ID の拡張機能 |
ip address dhcp コマンドを使用してインターフェイスの DHCP クライアントをイネーブルにすると、一部の ISP でオプション 61 がインターフェイス MAC アドレスであると見なされます。MAC アドレスが DHCP 要求パケットに含まれていない場合、IP アドレスは割り当てられません。この新しいコマンドを使用して、オプション 61 用にインターフェイス MAC アドレスを含めます。このコマンドを構成しない場合は、クライアント ID は次のようになります。cisco-<MAC>-<interface>-<hostname> 次のコマンドが導入されました。dhcp-client client-id interface interface_name 次の画面が変更されました。[Configuration] > [Device Management] > [DHCP] > [DHCP Server]。次に [Advanced] をクリックします。 バージョン 8.0(3) でも使用可能です。 |
モジュール機能 |
|
データプレーン キープアライブ メカニズムの追加 |
ASA を構成して、AIP SSM がアップグレードされた場合に、フェールオーバーを発生させないようにできます。以前のリリースでは、AIP SSM がある 2 つの ASA がフェールオーバーで構成されている場合に AIP SSM ソフトウェアが更新されると、AIP SSM はソフトウェアの更新を有効にするためにリブートまたは再起動を必要とするので、ASA はフェールオーバーをトリガーします。 バージョン 7.0(7) および 8.0(3) でも使用可能です。 |
ASDM 機能 |
|
ASDM バナー拡張機能 |
適応型セキュリティ アプライアンス ソフトウェアは、ASDM バナーをサポートしています。設定した場合、ASDM を起動すると、このバナー テキストが、続行または切断のためのオプションとともに、ダイアログボックスに表示されます。[Continue] オプションを選択すると、バナーが閉じて通常どおりログインが完了しますが、[Disconnect] オプションを選択するとバナーが閉じて接続が終了します。この機能拡張は顧客に、接続の前に、書面によるポリシー条件の受け入れを求めます。 次に示すのは、この拡張機能に関連付けられている新しい CLI です。 banner {exec | login | motd | asdm} text show banner [exec | login | motd | asdm] clear banner ASDM で、[Configuration] > [Properties] > [Device Administration] > [Banner] を参照してください。 バージョン 8.0(3) でも使用可能です。 |
Cisco Content Security and Control(CSC)Damage Cleanup Services(DCS)機能のイベントと統計 |
Cisco Content Security and Control(CSC)6.2 ソフトウェアを使用すると、ASDM は新しい Damage Cleanup Services(DCS)機能用のイベントと統計を提供します。DCS はクライアントおよびサーバからマルウェアを削除して、システム レジストリとメモリを修復します。 |
クライアント ソフトウェアの場所 |
クライアント ソフトウェアの場所のリストに、Linux または Mac のシステムからのクライアント更新を許可するためのサポートが追加されました。 ASDM で、[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Advanced] > [IPSec] > [Upload Software] > [Client Software] を参照してください。 バージョン 8.0(3) でも使用可能です。 |
ASA 7.2(2)/ASDM 5.2(2) の新機能
リリース:2006年11月22日
機能 |
説明 |
||
---|---|---|---|
モジュール機能 |
|||
SSM でのパスワードのリセット |
ユーザー「cisco」の AIP-SSM および CSC-SSM のパスワードは、デフォルト値の「cisco」にリセットして戻すことができます。 次のコマンドが追加されました。hw-module module password-reset |
||
AAA 機能 |
|||
HTTP(S)認証チャレンジの柔軟設定 |
新しい aaa authentication listener コマンドにより、ASA は Web ページを認証して、バージョン 7.2(1) で現在使用されているフォームベースのリダイレクト方法を選択できます。 7.2(2) では、7.2(1) より前に使用可能であった、基本 HTTP 認証を使用する選択肢を再導入しました。基本 HTTP および HTTPS 認証では、カスタム ログイン ウィンドウが生成されます。次の場合に、基本 HTTP 認証を使用できます。
基本的な HTTP をサポートするために、virtual http コマンドが復元されました。これは、カスケード認証要求がある場合に、基本認証とともに必要です。 バージョン 7.2(1) では、基本認証はフォーム ベース認証方法に置き換えられました。その方法では HTTP および HTTPS 接続は ASA によりサポートされる認証ページにリダイレクトされます。認証が成功したら、ブラウザは本来意図されていた URL に再度リダイレクトされます。これは、以下を提供するために実行されました。
ワーク ユーザーの永続的なログオン/ログオフ URL。この方式では、aaa authentication が有効になっている各インターフェイス上の ASA で、開かれているポートをリスニングする必要がありません。 |
||
インターフェイス機能 |
|||
VLAN の最大数の増加 |
ASA 5505 適応型セキュリティ アプライアンス上の Security Plus ライセンスに対する VLAN 最大数が、5(3 つのフル機能インターフェイス、1 つのフェールオーバー インターフェイス、1 つのバックアップ インターフェイスに制限されるインターフェイス)から 20 のフル機能インターフェイスに増加されました。また、トランク ポート数も 1 から 8 に増加されました。フル機能のインターフェイスの数が 20 になり、バックアップ ISP インターフェイスを停止するために backup interface コマンドを使用する必要がなくなりました。つまり、バックアップ ISP インターフェイス用にフル機能のインターフェイスを使用できるようになりました。backup interface コマンドは、これまでどおり Easy VPN 設定用に使用できます。 VLAN 制限も増加されました。ASA 5510 適応型セキュリティ アプライアンスでは、Base ライセンスは 10 から 50 に、Security Plus ライセンスは 25 から 100 に増加されました。ASA 5520 適応型セキュリティ アプライアンスでは、100 から 150 に、ASA 5550 適応型セキュリティ アプライアンスでは、200 から 250 に増加されました。 |
||
ASA 5510 基本ライセンスでの物理インターフェイスの追加 |
ASA モデル 5510 上で、使用可能な物理インターフェイスの最大数が、3 + 1 から無制限(5)に変更されています。 |
||
認定機能 |
|||
FIPS 140-2 |
7.2(2) は、FIPS 140 レベル 2 の検証に従っています。 |
||
ASDM 機能 |
|||
マルチキャスト サポート |
次のマルチキャスト コマンドのサポートが追加されました。
|
||
ローカル デモ モード |
ASDM は、ローカル デモ モードでデバイスに接続されていると機能します。 |
ASA 7.2(1)/ASDM 5.2(1) の新機能
リリース:2006年5月31日
機能 |
説明 |
---|---|
プラットフォーム機能 |
|
ASA 5505 サポート |
ASA 5505 は、このリリースで導入されました。ASA 5505 は、小規模オフィス/ホーム オフィス、企業の在宅勤務者向け環境のための新しいモデルであり、内蔵 8 ポート ファスト イーサネット スイッチを備え、Easy VPN、デュアル ISP をサポートします。この他にも多くの機能があります。 ASA 5505 には、IP フォンなどの Power over Ethernet(PoE)デバイスに使用できる PoE スイッチ ポートがあります。ただしこれらのポートは、その用途のみに制限されてはいません。それらはイーサネット スイッチ ポートとしても使用できます。PoE デバイスが接続されていない場合、電力はポートに供給されません。 |
ASA 5550 サポート |
ASA 5550 は、ギガビット クラスのセキュリティ サービスを提供し、信頼性の高い、1RU フォームファクタで大企業およびサービス プロバイダ ネットワーク向けのアクティブ/アクティブ高可用性を可能にします。イーサネットベースおよびファイバベースの両方のインターフェイス形式でギガビット接続を高密度 VLAN 統合に提供する ASA 5550 により、企業はネットワークを多数のハイパフォーマンス ゾーンにセグメント化してセキュリティを向上させることができます。 |
Easy VPN 機能(ASA 5505 のみ) |
|
クライアント モード(ポート アドレス変換とも呼ばれる)およびネットワーク拡張モード |
ASA 5505 にはデフォルト モードはありません。使用するモードを指定する必要があります。 |
自動トンネル開始 |
NEM をサポートしますが、クライアント モードはサポートしません。設定に格納されているグループ名、ユーザー名、およびパスワードを使用してトンネルを開始します。 |
IKE および IPsec のサポート |
ASA 5505 は、事前共有キーおよび証明書(RSA-SIG)をサポートします。ASA は事前共有キーに IKE アグレッシブ モードを、RSA-SIG ベースのキー交換には IKE メイン モードを使用します。Cisco ASA 5505 は、IPsec、IPsec over NAT-T、および IPsec over cTCP セッションを開始できます。 |
セキュア ユニットの認証(SUA) |
動的に生成される認証クレデンシャルまたはトンネル開始時に入力する静的なクレデンシャルを使用した ASA 5505 認証をサポートします。SUA を有効にすると、ユーザーは、ブラウザまたはインタラクティブ CLI を使用して IKE トンネルを手動でトリガーする必要があります。 |
個別のユーザー認証(IUA) |
内部ネットワークでの個々のクライアントの静的およびワンタイム パスワード認証を有効にします。IUA と SUA は相互に独立しています。それらは組み合わせても分離しても機能します。 |
トークンベース認証 |
Security Dynamics(SDI)SecurID ワンタイム パスワードをサポートします。 |
HTTP リダイレクションによる認証 |
SUA またはユーザー名とパスワードが設定されていない場合または IUA が無効な場合に、認証されていない HTTP トラフィックをログイン ページにリダイレクトします。 |
ロード バランシング |
デュアル ISP バックアップで設定されている ASA 5505 は、インターネット ゾーンで使用できる 2 つのイーサネットポートを介して、クラスタベースの VPN ロードバランシングをサポートします。ロードバランシング方式には、着信クライアントの接続先である「仮想ディレクタ」 IP アドレスが関係しています。仮想ディレクタ IP アドレスを共有しているサーバはクラスタを形成します。そこでは 1 つのクラスタ メンバがクラスタ マスターとして機能します。マスターは仮想ディレクタに送信される要求を受け取り、専用 IKE 通知メッセージを使用して、クライアントをクラスタ内の最適なサーバにリダイレクトします。現在の ISAKMP セッションが終了して、新しいセッションが最適なサーバに対して試行されます。 最適なサーバへの接続が失敗した場合、クライアントは(クラスタの仮想ディレクタ IP アドレスで)プライマリ サーバに再接続し、ロードバランシングの手順を繰り返します。プライマリ サーバへの接続が失敗した場合、クライアントは次の設定済みバックアップ サーバ(別のクラスタのマスターである場合もある)までロールオーバーします。 |
フェールオーバー(バックアップ サーバ リストを使用) |
プライマリ サーバに加え、10 台のバックアップ サーバのリストを設定できます。ASA 5505 は、プライマリ サーバとのトンネルを確立しようとします。その試行が失敗すると、ASA 5505 は、バックアップ サーバ リスト内の順番に従って、他の指定されたサーバとのトンネルを確立しようとします。 |
デバイス パススルー |
IP フォン パススルー機能と LEAP パススルーの両方の機能が含まれます。 プリンタや Cisco IP フォンなどの特定のデバイスは、認証を実行できないため IUA に参加できません。デバイス パススルーが有効になっていると、ASA 5505 は、IAU が有効な場合にこれらのデバイスを認証から除外します。 Easy VPN リモート機能は、MAC アドレスの設定済みリストに基づいて、除外するデバイスを識別します。ワイヤレス アクセス ポイントやワイヤレス ノードなど、ワイヤレス デバイスに関連する問題が存在しています。これらのデバイスは、ワイヤレス ノードをネットワークに参加させるために LEAP/PEAP 認証を必要とします。LEAP/PEAP 認証ステージの後になって初めて、ワイヤレス ノードが IUA を実行できるようになります。ASA 5505 も、デバイス パススルーを有効にすると LEAP/PEAP パケットをバイパスします。これによりワイヤレス ノードが IUA に参加できるようになります。 |
IKE モード設定 |
IKE フェーズ I と XAUTH の後に ASA 5505 が要求する属性値を設定できます。セントラル サイトのデバイスは VPN ポリシーをダウンロードし、ASA 5505 はセキュリティ値に基づいて機能を動的に設定します。SUA、クリア保存パスワード、およびバックアップ コンセントレータのリストを除いて、動的機能の設定は、トンネルが確立されている間のみ有効であり続けます。 |
Remote Management |
ASA 5505 の管理を、設定済みの NEM がある外部インターフェイスとのトンネル経由と、暗号化なしの外部インターフェイスに対してサポートします。 |
Easy VPN ピア名の DNS 解決 |
ASA 5505 は、Easy VPN ピア名を DNS サーバで解決します。CLI では、サーバ/クライアントの DNS 名を指定できます。 |
スプリット トンネリング |
クライアントは、セントラル サイトへのトンネリングによってアクセス可能な設定済みのネットワークのリストに基づいて、トンネル経由で送信するトラフィックを決定できます。スプリット トンネル ネットワーク リストにリストされている以外のネットワークを送信先とするトラフィックは、暗号化されずに送信されます。ゼロ長リストは、スプリット トンネリングがなく、すべてのトラフィックがトンネルを経由することを示します。 |
プッシュ バナー |
IUA を使用して認証しようとする個々のユーザーに対して、HTTP フォームで表示する 491 バイト バナー メッセージを設定できます。 |
アプリケーション インスペクション機能 |
|
拡張 ESMTP インスペクション |
この機能により、スパム、フィッシング、不正形式メッセージ攻撃、バッファ オーバーフローおよびアンダーフロー攻撃などの攻撃を検出できます。また、アプリケーション セキュリティとプロトコル準拠により、正常な ESMTP メッセージだけを通し、各種の攻撃の検出や送受信者およびメール中継のブロックも行います。 |
DCERPC インスペクション |
この機能により、DCERPC 検査マップを使用して DCERPC アプリケーション インスペクションに使用されるデフォルト設定値を変更できます。 DCERPC は、Microsoft 社の分散クライアント/サーバ アプリケーションで使われているプロトコルです。このプロトコルによって、ソフトウェア クライアントがサーバにあるプログラムをリモートで実行できるようになります。 通常は、クライアントがウェルノウン ポート番号で接続を受け入れるエンドポイント マッパー(EPM)というサーバに、必要なサービスについて動的に割り当てられるネットワーク情報を問い合わせます。次に、クライアントは、サービスを提供するサーバのインスタンスへのセカンダリ接続をセットアップします。セキュリティ アプライアンスは、適切なポート番号とネットワーク アドレスへのセカンダリ接続を許可し、必要に応じて NAT または PAT を適用します。 |
拡張 NetBIOS インスペクション |
この機能により、NetBIOS アプリケーション インスペクションに使用されるデフォルト設定値を変更できます。 NetBIOS アプリケーション インスペクションでは、NetBIOS ネーム サービス パケットおよび NetBIOS データグラム サービス パケットに埋め込まれている IP アドレスで NAT を実行します。また、プロトコル準拠チェックを行って、さまざまなフィールドの数や長さの整合性を確認します。 |
拡張 H.323 インスペクション |
この機能により、H.323 アプリケーション インスペクションに使用されるデフォルト設定値を変更できます。 H.323 インスペクションは RAS、H.225、H.245 をサポートし、埋め込まれた IP アドレスとポートをすべて変換する機能を備えています。ステートのトラッキングとフィルタリングを実行し、インスペクション機能のアクティベーションをカスケードできます。H.323 インスペクションは、電話番号のフィルタリング、T.120 のダイナミック制御、H.245 のトンネル機能制御、プロトコルのステート トラッキング、H.323 通話時間制限の適用、音声とビデオ制御をサポートします。 |
拡張 DNS インスペクション |
この機能により、メッセージが DNS インスペクション ポリシー マップを使用するパラメータに違反したときのアクションを指定できます。DNS アプリケーション インスペクションは、DNS スプーフィングとキャッシュ ポイズニングを防ぐための DNS メッセージ制御をサポートしています。ユーザーが設定可能なルールによって、DNS ヘッダー、ドメイン名、リソース レコードの TYPE と CLASS に基づいたフィルタリングができます。 |
拡張 FTP インスペクション |
この機能により、FTP アプリケーション インスペクションに使用されるデフォルト設定値を変更できます。 厳密な FTP インスペクションには、セキュリティと制御を向上させるためのコマンド フィルタリングとセキュリティ チェック機能が用意されています。プロトコルとの適合性のインスペクションには、パケットの長さのチェック、デリミタとパケットの形式のチェック、コマンドのターミネータのチェック、およびコマンドの検証が含まれます。 また、ユーザーの値に基づいて FTP 接続をブロックできるので、FTP サイトにダウンロード用のファイルを置き、アクセスを特定のユーザーだけに制限できます。ファイルのタイプ、サーバ名、および他の属性に基づいて、FTP 接続をブロックできます。インスペクション時に FTP 接続が拒否されると、システム メッセージのログが作成されます。 |
拡張 HTTP インスペクション |
この機能により、HTTP アプリケーション インスペクションに使用されるデフォルト設定値を変更できます。 HTTP アプリケーション インスペクションで HTTP のヘッダーと本文をスキャンし、さまざまなデータ チェックができます。これらのチェックで、HTTP 構築、コンテンツ タイプ、トンネル プロトコル、メッセージ プロトコルなどがセキュリティ アプライアンスを通過することを防止します。 HTTP アプリケーション インスペクションでトンネル アプリケーションと ASCII 以外の文字を含む HTTP 要求や応答をブロックして、悪意のあるコンテンツが Web サーバに到達することを防ぎます。HTTP 要求や応答ヘッダーのさまざまな要素のサイズ制限、URL のブロッキング、HTTP サーバ ヘッダー タイプのスプーフィングもサポートされています。 |
拡張 Skinny(SCCP)インスペクション |
この機能により、SCCP(Skinny)アプリケーション インスペクションに使用されるデフォルト設定値を変更できます。 Skinny アプリケーション インスペクションでは、パケット データ、ピンホールの動的開放に埋め込まれている IP アドレスとポート番号を変換します。また、追加のプロトコル準拠チェックと基本的なステート トラッキングも行います。 |
拡張 SIP インスペクション |
この機能により、SIP アプリケーション インスペクションに使用されるデフォルト設定値を変更できます。 SIP は、インターネット会議、テレフォニー、イベント通知、およびインスタント メッセージングに広く使用されているプロトコルです。テキストベースの性質とその柔軟性により、SIP ネットワークは数多くのセキュリティ脅威にさらされます。 SIP アプリケーション インスペクションでは、メッセージ ヘッダーおよび本文のアドレス変換、ポートの動的開放、および基本的な健全性チェックが行われます。アプリケーション セキュリティとプロトコル準拠により、正常な SIP メッセージだけを通し、SIP ベースの攻撃を検出します。 |
インスタント メッセージ(IM)インスペクション |
この機能により、インスタント メッセージ(IM)アプリケーション インスペクションに使用されるデフォルト設定値を変更できます。 インスタント メッセージ(IM)アプリケーション インスペクションで、ネットワーク アクセスの使用量を詳細に制御できます。また、機密情報の漏洩やその他の攻撃からネットワークを守ります。正規表現データベースのさまざまな検索パターンを使って、インスタント メッセージ(IM)プロトコルをフィルタできます。フローが認識されない場合は、syslog が生成されます。 スコープを限定するには、アクセス リストから検査するトラフィック ストリームを指定します。UDP メッセージの場合、対応する UDP ポート番号も設定できます。Yahoo! Messenger および MSN Messenger のインスタント メッセージのインスペクションもサポートされています。 |
MPF ベースの正規表現分類マップ |
この機能により、モジュラ ポリシー フレームワーク クラス マップで正規表現を定義し、match-any 属性を持つ正規表現のグループを照合することができます。正規表現クラス マップを使用して、特定のトラフィックの内容を照合できます。たとえば、HTTP パケット内の URL 文字列の照合が可能です。 |
Radius アカウンティング インスペクション |
この機能により、モバイル課金インフラストラクチャでの過剰請求攻撃から保護することができます。policy-map type inspect radius-accounting コマンドは、このバージョンで導入されました。 |
H.323 用の GKRCS サポート |
ITU-T H.323 勧告には 2 つの制御信号方式が記載されています。それらは Gatekeeper Routed Control Signaling(GKRCS)と Direct Call Signalling(DCS)です。DCS は、Cisco IOS ゲートキーパーによってサポートされます。この機能により、Gatekeeper Routed Control Signaling(GKRCS)制御信号方式サポートが追加されます。 |
Skinny ビデオ サポート |
この機能により、SCCP バージョン 4.1.2 メッセージ サポートが追加され、debug skinny が有効である場合に検査機能によって処理されるメッセージ名が印刷されます。CCM 4.0.1 メッセージがサポートされています。 |
SIP IP アドレス プライバシー |
この機能により、すべてのトランザクション向けにインバウンド SIP パケットに埋め込まれている外部 IP アドレスを保持することができます。ただし電話の実 IP アドレスを非表示にするための REGISTER を除きます(これはプロキシと電話との間で交換されるため)。REGISTER メッセージと REGISTER メッセージへの応答は、そのメッセージが電話とプロキシとの間で交換されるため、この操作からは免除されます。 この機能を有効にすると、SIP ヘッダーの外部 IP アドレスとインバウンド SIP パケットの SDP データが保持されます。ip-address-privacy コマンドを使用してこの機能をオンにします。 |
RTP/RTCP インスペクション |
この機能は埋め込み IP アドレスに対して NAT を実行し、RTP と RTCP トラフィックのピンホールを開きます。Inspects SIP、Skinny、および H.323 で開いたピンホールでは、RTP パケットのみが流れるようにします。悪意のあるアプリケーションが UDP トラフィックを送信して ASA で作成されたピンホールを使用することを防止するために、この機能では RTP と RTCP トラフィックをモニタし、RTP と RTCP パケットの有効性を強制できます。 |
リモート アクセスおよびサイト間 VPN 機能 |
|
ネットワーク アドミッション コントロール |
ネットワーク アドミッション コントロール(NAC)は、その状態に基づいてピアを検証できます。このメソッドは、ポスチャ検証(PV)と呼ばれます。PV には、ピアが最新パッチでアプリケーションを実行していることの確認と、リモート ホスト上で稼働しているウイルス対策ファイル、パーソナル ファイアウォール ルール、または侵入保護ソフトウェアが最新であることの確認を含めることができます。 ASA でネットワーク アドミッション コントロールを設定する前に、NAC 用に Access Control Server(ACS)を設定しておく必要があります。 NAC オーセンティケータとして、ASA は次のことを行います。
ACS クライアントとして、ASA は次のものをサポートします。
ASA 上の NAC は、Cisco IOS レイヤ 3 デバイス(ルータなど)上の NAC とは異なります。後者ではルータがルーティングされたトラフィックに基づいて PV をトリガーします。NAC で有効にされた ASA は、PV のトリガーとして IPsec VPN セッションを使用します。NAC で設定された Cisco IOS ルータは、インターセプト ACL を使用して、特定のネットワークを宛先としているトラフィックに基づいて PV をトリガーします。外部デバイスは VPN セッションを開始せずに ASA の背後にあるネットワークにアクセスできないので、ASA に PV トリガーとしてのインターセプト ACL は必要ありません。PV 中に、ピアからのすべての IPsec トラフィックは、ピアのグループに対して設定されたデフォルトの ACL に従います。 Cisco VPN 3000 Concentrator Series とは異なり、ASA 上の NAC は、ステートレス フェールオーバー、トンネル グループのすべての NAC セッションの初期化、トンネル グループ内のすべての NAC セッションの再検証、および各トンネル用に設定されたポスチャ検証免除リストをサポートします。ASA 上の NAC は、非 VPN トラフィック、IPv6、セキュリティ コンテキスト、および WebVPN をサポートしません。 デフォルトでは、NAC はディセーブルになっています。これはグループ ポリシー ベースで有効にすることができます。 |
L2TP Over IPsec |
Layer 2 Tunneling Protocol(L2TP; レイヤ 2 トンネリング プロトコル)は、リモート クライアントがパブリック IP ネットワークを使用して、企業のプライベート ネットワーク サーバと安全に通信できるようにする VPN トンネリング プロトコルです。L2TP は、データのトンネリングに PPP over UDP(ポート 1701)を使用します。L2TP は、クライアント/サーバ モデルを基本にしています。機能は L2TP ネットワーク サーバ(LNS)と L2TP アクセス コンセントレータ(LAC)に分かれています。LNS は、通常、ルータなどのネットワーク ゲートウェイで実行されます。一方、LAC は、ダイヤルアップのネットワーク アクセス サーバ(NAS)や、Microsoft Windows 2000 などの L2TP クライアントが搭載された PC で実行されます。 L2TP/IPsec は、単一のプラットフォームで IPsec VPN サービスとファイアウォール サービスとともに L2TP VPN ソリューションを展開および管理する機能を提供します。 リモート アクセスのシナリオで、IPsec を使用する L2TP を設定する最大の利点は、リモート ユーザーがゲートウェイや専用回線を使わずにパブリック IP ネットワークを介して VPN にアクセスできることです。これにより、実質的にどの場所からでも POTS を使用してリモート アクセスが可能になります。この他に、VPN にアクセスするクライアントは Windows 2000 で Microsoft ダイヤルアップ ネットワーク(DUN)を使用するだけでよいという利点もあります。Cisco VPN Client ソフトウェアなど、追加のクライアント ソフトウェアは必要ありません。 |
OCSP サポート |
Online Certificate Status Protocol(OCSP)は、X.509 デジタル証明書の失効状態を取得するために、CRL への代替を提供します。クライアントに、大規模なことが多い完全な証明書失効リストのダウンロードを要求するのではなく、OCSP が、特定の証明書の状態を照会する検証機関に基づいて証明書の状態をローカライズします。 |
NAT の背後の複数の L2TP Over IPsec クライアント |
セキュリティ アプライアンスは、1 つ以上の NAT デバイスの背後にある複数のクライアントにリモート アクセス L2TP-over-IPsec 接続を正常に確立できます。これは複数の L2TP over IPsec クライアントがセントラル オフィスと安全に通信する必要がある、一般的な SOHO/ブランチ オフィス環境での L2TP over IPsec 接続の信頼性を高めます。 |
Nokia モバイル認証サポート |
リモート アクセス用に、ハンドヘルド Nokia 92xx Communicator シリーズ携帯電話デバイスを使用して VPN を確立できます。これらのデバイスが使用する認証プロトコルは、IKE Challenge/Response for Authenticated Cryptographic Keys(CRACK)プロトコルです。 |
Zonelabs Integrity Server |
Zone Labs Integrity System を展開するネットワーク内の ASA は、リモート VPN クライアントに対してセキュリティ ポリシーを適用するように設定できます。この場合、ASA は、ゾーン ラボ整合性サーバとリモート クライアントとの間のエッジ ゲートウェイです。Zone Labs Integrity サーバとリモート クライアント上の Zone Labs Personal Firewall により、クライアントがプライベート ネットワーク リソースにアクセスする前に、リモート クライアントは一元管理されたセキュリティ ポリシーに確実に準拠します。サーバとクライアントとの間でセキュリティ ポリシー情報を渡すように ASA を設定して、クライアント接続を維持するかまたは閉じて、サーバ接続障害を回避します。さらにオプションで、整合性サーバと ASA の両方の SSL 証明書認証を要求するようにします。 |
ハイブリッド XAUTH |
ASA とリモート ユーザーの間の IKE セキュリティを強化するハイブリッド認証を構成できます。この機能を使用する場合、IKE フェーズ I には 2 つの手順が必要です。ASA はまず、標準公開キー技法を使用してリモート VPN ユーザーに認証し、一方向認証である IKE セキュリティ アソシエーションを確立します。次に、XAUTH 交換がリモート VPN ユーザーを認証します。この拡張認証では、サポートされているいずれかの認証方式を使用できます。ハイブリッド XAUTH は、ASA 認証にデジタル証明書を使用し、リモート VPN ユーザー認証に RADIUS、TACACS+、SecurID などのさまざまな方式を使用することができます。 |
IPsec フラグメント化およびリアセンブリ統計 |
IPsec 関連のフラグメンテーションとリアセンブルの問題のデバッグに役立つ、追加の IPsec フラグメンテーションとリアセンブル統計をモニタできます。新しい統計は、IPsec 処理の前後でのフラグメンテーションと再アセンブリに関する情報を提供します。 |
WebVPN 用のインスペクション IPS、CSC、URL のフィルタリング |
この機能は、クライアントレス モードとポート転送モードで、WebVPN トラフィックのインスペクション、IPS、およびトレンドマイクロのサポートを追加します。SVC モードのサポートは以前から存在しています。すべてのモードで、トレンドマイクロと IPS エンジンはトリガーされます(設定されている 場合)。 WebSense と N2H2 のサポートを使用した URL/FTP/HTTPS/Java/Activex フィルタリングも追加されました。DNS 検査は DNS 要求に対してトリガーされます。 ポート転送モードで、WebSense と N2H2 サポートを使用したフィルタリング メカニズムを備えた HTTP、SMTP、FTP、および DNS インスペクションが追加されました。 |
ルーティング機能 |
|
アクティブ RIP サポート |
ASA は、RIP バージョン 1 および 2 をサポートしています。ASA でイネーブルにすることができる RIP ルーティング プロセスは 1 つだけです。RIP ルーティング プロセスを有効にすると、RIP はすべてのインターフェイス上で有効になります。デフォルトでは、セキュリティ アプライアンスは RIP バージョン 1 アップデートを送信し、RIP バージョン 1 およびバージョン 2 アップデートを受け取ります。 インターフェイスで受け入れる RIP のバージョンを指定するには、インターフェイス コンフィギュレーション モードで rip receive version コマンドを使用します。 |
スタンバイ ISP サポート |
この機能によって、プライマリ ISP へのリンクに失敗した場合にリンク スタンバイ ISP を設定できます。プライマリ ルートの可用性の判断と、プライマリ ルートが失敗したときにセカンダリ ルートを有効にするのにスタティック ルーティングとオブジェクト トラッキングを使用します。 |
PPPoE Client |
Point-to-Point Protocol over Ethernet(PPPoE)は、イーサネットと PPP という広く受け入れられている 2 つの標準を結合して、IP アドレスをクライアント システムに割り当てる認証方式を提供します。一般的な PPPoE クライアントは、DSL やケーブル サービスなどのリモート ブロードバンド接続によって ISP に接続されているパーソナル コンピュータです。ISP は、既存のリモート アクセス インフラストラクチャを使用して高速ブロードバンド アクセスをサポートするためと、顧客の使い勝手向上のために、PPPoE を配置します。 |
動的 DNS サポート |
動的 DNS(DDNS)更新メソッドを作成して、必要な頻度で DNS サーバ上のリソース レコード(RR)を更新するように設定できます。 DDNS は DHCP を補完し、ユーザーが動的かつ透過的に再利用可能な IP アドレスをクライアントに割り当てることができるようにします。DDNS は、DNS サーバ上で、名前からアドレスへのマッピングと、アドレスから名前へのマッピングを動的に更新して同期します。このバージョンを使用すると、ASA は、DNS レコード更新の IETF 標準をサポートします。 |
スタティック ルート トラッキング |
スタティック ルート トラッキング機能には、スタティック ルートの使用可能状況を追跡し、プライマリ ルートがダウンした場合のバックアップ ルートをインストールするための方式が用意されています。 clear configure sla、frequency, num-packets、request-data-size、show sla monitor、show running-config sla、sla monitor、sla monitor schedule, threshold、timeout、tos、track rtr の各コマンドが導入されました。 次の画面が導入または変更されました。 [Configuration] > [Device Setup] > [Routing] > [Static Routes] > [Add Static Route] [Configuration] > [Device Setup] > [Routing] > [Static Routes] > [Add Static Route] > [Route Monitoring Options] |
マルチキャスト ルーティング拡張 |
マルチキャスト ルーティングの拡張機能では、マルチキャスト境界を定義できます。これにより同じ IP アドレスを持つ RP があるドメインは、PIM プロセスをより適正に制御するために PIM ネイバーをフィルタしたり、混合の双方向およびスパースモードのネットワークをサポートするために PIM bidir ネイバーをフィルタしたりして、相互にリークしないようにします。 |
拡張 DNS ドメイン名の使用 |
AAA サーバを設定するとき、また ping、traceroute、および copy コマンドを使用するときにも、www.example.com のような DNS ドメイン名を使用できます。 |
非暗号化トラフィックのインターフェイス内通信 |
VPN トラフィックだけでなくすべてのトラフィックが、同じインターフェイスに入って同じインターフェイスから出ることが許可されるようになりました。 |
IPv6 アドレスの IPv6 セキュリティ拡張機能 |
この機能では、直接接続ホストの IPv6 アドレスに対してアドレスのインターフェイス識別子部分に Modified EUI-64 形式を使用することを要求するように、セキュリティ アプライアンスを設定できます。 |
マルチ コンテキスト モード機能 |
|
プライベートと自動 MAC アドレスの割り当ておよび複数コンテキスト モードの生成 |
各インターフェイスに、プライベート MAC アドレス(フェールオーバー用のアクティブとスタンバイの両方)を割り当てることができます。複数のコンテキスト モードに対して、共有コンテキスト インターフェイスの固有の MAC アドレスを自動的に生成できます。これによりコンテキストへのパケットの分類はより信頼性が高くなります。 新しい mac-address auto コマンドでは、各共有コンテキスト インターフェイスにプライベート MAC アドレスを自動的に割り当てることができます。 |
セキュリティ コンテキストのリソース管理 |
特定のコンテキストが使用しているリソースが多すぎることが原因で、他のコンテキストが接続を拒否されるといった現象が発生した場合は、コンテキストあたりのリソースの使用量を制限するようにリソース管理を設定できます。 |
システムからのすべてのコンテキスト構成の保存 |
write memory all コマンドを使用して、システム実行スペースからすべてのコンテキスト設定を一度に保存できるようになりました。 |
ハイ アベイラビリティ機能 |
|
1 秒未満のフェールオーバー |
この機能では、1 秒未満の障害を検出して応答するようにフェールオーバーを設定できます。 |
構成可能なプロンプト |
この機能により、ユーザーは、show failover コマンドを入力しなくても、セキュリティ アプライアンスのフェールオーバー ステータスを表示して出力を解析できます。この機能によりユーザーは、フェールオーバー ユニットのシャーシ スロット番号を表示できます。以前は、プロンプトによって、ホスト名、セキュリティ コンテキスト、および設定モードのみが反映されていました。プロンプト コマンドは、この機能のサポートを提供します。 |
ファイアウォール機能 |
|
汎用入力レート制限 |
この機能は、ASA 上、またはファイアウォールの特定のインスペクション エンジン上でのサービス拒否(DoS)攻撃を防止します。7.0 リリースは、出口レート制限(ポリシング)機能をサポートし、このリリースでは、入力レート制限機能は現在の出口ポリシング機能を拡張します。 police コマンドはこの機能のために拡張されています。 |
通過トラフィックと管理アクセスの認証は VPN クライアントで以前サポートされていたすべてのサーバをサポートする |
ファイアウォール認証にはすべてのサーバ タイプを使用できます。ただし次の例外があります。HTTP フォーム プロトコルは、WebVPN ユーザーに対してのみシングル サインオン認証をサポートし、SDI は HTTP 管理アクセスではサポートされません。 |
デッド接続検出(DCD) |
この機能により、適応型セキュリティ アプライアンスはデッド接続を自動的に検出して期限切れにします。以前のバージョンでは、デッド接続はタイムアウトにならず、無限のタイムアウトが付与されていました。多数のデッド接続がセキュリティ アプライアンスを圧倒していないことを確認するために、手動の介入が必要でした。この機能により、まだトラフィックを処理できる接続には干渉することなく、デッド接続を検出して自動的に期限切れにします。set connection timeout および show service-policy コマンドは DCD サポートを提供します。 |
WCCP |
Web Cache Communication Protocol(WCCP)機能により、WCCP サービス グループとリダイレクト Web キャッシュ トラフィックを指定できます。この機能は、選択したタイプのトラフィックを Web キャッシュ エンジンのグループに透過的にリダイレクトして、リソースの使用状況を最適化し、応答時間を短縮します。 |
フィルタリング機能 |
|
セキュア コンピューティング(N2H2)のための URL フィルタリング拡張機能 |
この機能により、長い URL、HTTPS、FTP フィルタリングを、Websense(現在のベンダー)および N2H2(Secure Computing によって購入されたベンダー)の両方を使用して有効にできます。以前このコードは、このタイプのフィルタリングを提供するために Websense ベンダーのみを有効にしていました。url-block、url-server、および filter コマンドが、この機能をサポートします。 |
管理機能とトラブルシューティング機能 |
|
自動更新 |
セキュリティ アプライアンスは、Auto Update クライアントとして設定されていることに加え、Auto Update サーバとして設定されるようになりました。既存の client-update コマンド(VPN クライアントの更新にも使用される)は、新しい Auto Update サーバ機能をサポートするように拡張され、クライアントとして設定されているセキュリティアプライアンスを更新するためにセキュリティ アプライアンスが必要とする新しいキーワードと引数が含まれます。Auto Update クライアントとして設定されているセキュリティ アプライアンスでは、引き続き auto-update コマンドを使用して、セキュリティ アプライアンスが Auto Update サーバとの通信に必要なパラメータを設定します。 |
管理トラフィック用のモジュラ ポリシー フレームワークのサポート |
to-the-security-appliance トラフィック用にレイヤ 3/4 クラス マップを定義できるようになりました。これにより管理トラフィックに対して特別なアクションを実行できます。このバージョンでは、RADIUS アカウンティング トラフィックを検査できます。 |
traceroute |
traceroute コマンドでは、パケットのルートをその宛先までトレースできます。 |
Packet Tracer |
パケット トレーサ ツールにより、動作が期待どおりであるかを確認するために、ASA 経由でパケットの寿命を追跡できます。 packet-tracer コマンドは、パケットに関する詳細情報、およびセキュリティ アプライアンスによるパケットの処理方法を提供します。コンフィギュレーションからのコマンドが原因でパケットがドロップしたのではない場合、packet-tracer コマンドにより、原因に関する情報が表示されます。 ASDM の新しい特許出願中のパケット トレーサ ツールにより、アニメーション化されたパケット フロー モデルで、動作が期待どおりであるかどうかを確認するために、ASA 経由でパケットの寿命を簡単に追跡できます。さらに、ネットワーク設計がどれほど複雑であってもトラブルシューティングを簡素化できます。このツールは、送信元と宛先の IP アドレスなどのパケットの属性に、パケットのさまざまなフェーズおよび関連設定の視覚的表現を備えます。これにはシングル クリックでアクセスできます。各フェーズについて、パケットがドロップされているかまたは許可されているかを表示します。 |
ASDM 機能 |
|
強化された ASDM ルール テーブル |
ASDM ルール テーブルは、ポリシーの作成を合理化するように再設計されています。CLI とより密接にマップする簡素化されたルール作成に加えて、このルール テーブルは、スーパーネッティングや、インターフェイス以外にも関連付けられているオブジェクト グループの使用などの、ほとんどの設定シナリオをサポートします。ASDM の位置と ASDM グループの使用は、ルールの作成を単純化するために削除されました。以下を実行できるようになりました。
|
High Availability and Scalability Wizard |
High Availability and Scalability Wizard は、アクティブ/アクティブ、アクティブ/スタンバイ フェールオーバーと VPN ロード バランシングの設定を簡素化するために使用されます。ウィザードもピア デバイスをインテリジェントに設定します。 |
Syslog の拡張機能 |
syslog の拡張機能には、次のものが含まれています。
|
NAT ルール |
NAT ルールの作成が簡素化されました。 |
オブジェクト グループ サポート |
ネットワーク、サービス、プロトコル、ICMP タイプのオブジェクト グループを ASDM は完全にサポートするようになりました。 |
名前付き IP アドレス |
IP アドレスに関連する名前を作成する機能が存在するようになりました。 |
ASDM アシスタント |
新しい ASDM アシスタントは、AAA サーバ、ロギング フィルタ、SSL VPN クライアント、および他の機能を設定するための、タスク志向ガイダンスを提供しています。新しいガイドをアップロードすることもできます。 |
コンテキスト管理 |
コンテキスト管理が向上しました。これにはコンテキスト キャッシュや拡張性の向上が含まれます。 |
インスペクション マップ |
定義済みの低、中、高のセキュリティ設定により、検査マップの作成と管理は簡素化されます。 |
バージョン 7.1 の新機能
ASA 7.1(2)/ASDM 5.1(2) の新機能
リリース:2006年3月15日
ASA 7.1(2)/ASDM 5.1(2) には新機能はありませんでした。
ASA 7.1(1)/ASDM 5.1(1) の新機能
リリース:2006年2月6日
機能 |
説明 |
||
---|---|---|---|
プラットフォーム機能 |
|||
Content Security and Control(CSC)SSM のサポート |
シスコの Anti-X ソリューションの不可欠な部分である CSC SSM は、業界最先端の脅威保護とコンテンツ コントロールをインターネット エッジで提供します。これにより、総合的なウイルス対策、スパイウェア対策、ファイル ブロック、スパム対策、フィッシング対策、URL ブロッキングとフィルタリング、およびコンテンツ フィルタリング サービスが提供されます。CSC SSM サービス モジュールは、次の主要な要素によって企業がより効果的にそのネットワークを保護したり、ネットワークの可用性を向上させたり、従業員の生産性を向上させたりするのに役立ちます。
|
||
VPN の一般的機能 |
|||
Cisco Secure Desktop |
Cisco Secure Desktop(CSD)はオプションの Windows ソフトウェア パッケージであり、ASA にインストールして、SSL VPN へのアクセスを要求してクライアント コンピュータのセキュリティを検証し、接続時には安全であることを確認し、切断後にセッションのすべてのトレースを削除します。 Microsoft Windows を実行しているリモート PC が ASA に接続した後に、CSD は自動インストールされ、IP アドレスと特定のファイルの存在、レジストリ キー、および証明書を使用して PC の接続元の場所のタイプを特定します。ユーザー認証に続いて、CSD はアクセス権を付与するための条件としてオプションの基準を使用します。これらの基準には、PC 上で実行するオペレーティング システム、ウイルス対策ソフトウェア、スパイウェア対策ソフトウェア、パーソナル ファイアウォールなどがあります。 PC がネットワークに接続しているときにセキュリティを確保するには、Microsoft Windows XP および Windows 2000 クライアント上で稼働する CSD アプリケーションである Secure Desktop により、セッション中にユーザーが実行できる操作を制限します。管理者権限を持つリモート ユーザーの場合、Secure Desktop は 168 ビット Triple Data Encryption Standard(3DES)を使用して、関連があるかまたは SSL VPN セッション中にダウンロードされたデータやファイルを暗号化します。特権が低いリモート ユーザーは、Rivest Cipher 4(RC4)暗号化アルゴリズムを使用します。セッションを閉じるときに、Secure Desktop はファイルの安全な削除についての米国国防総省(DoD)のセキュリティ標準を使用して、リモート PC からのすべてのデータを上書きおよび削除します。このクリーンアップにより、リモート ユーザーがログアウトするかまたは SSL VPN セッションがタイムアウトした後に、cookie、ブラウザの履歴、一時ファイル、およびダウンロードされたコンテンツは完全に残らなくなります。CSD は、それ自体をクライアント PC からアンインストールします。 Cache Cleaner は、セッションが終了するとクライアント キャッシュを消去しますが、Windows XP、Windows 2000、Windows 9x、Linux、および Apple Macintosh OS X クライアントをサポートします。 |
||
CSD ホスト チェックに基づくカスタマイズされたアクセス コントロール |
Cisco Secure Desktop がインストールされている適応型セキュリティ アプライアンスは、代替グループ ポリシーを指定できます。ASA では、この属性を使用して、次のようにリモート CSD クライアントへのアクセス権を制限します。
この属性は、適用される代替グループ ポリシーの名前を指定します。グループ ポリシーを選択して、アクセス権限を、デフォルト グループ ポリシーに関連付けられているアクセス権限と区別します。デフォルト値は DfltGrpPolicy です。
|
||
SSL VPN Client |
SSL VPN クライアントは、ネットワーク管理者がリモート コンピュータに IPSec VPN クライアントをインストールして設定しなくても、リモート ユーザーが IPSec VPN クライアントの接続性の利点を活用できる VPN トンネリング テクノロジーです。SVC は、リモート コンピュータに既存の SSL 暗号化および ASA の WebVPN ログインおよび認証を使用します。 SVC セッションを確立するには、リモート ユーザーがブラウザで ASA の WebVPN インターフェイスの IP アドレスを入力し、ブラウザはそのインターフェイスに接続し、WebVPN ログイン画面を表示します。ユーザーがログインと認証を完了し、ユーザーが SVC を必要としていることを ASA が確認すると、ASA は SVC をリモート コンピュータにダウンロードします。ASA が、SVC を使用するオプションがユーザーにあると確認した場合、ASA は、SVC のインストールをスキップするリンクをユーザー画面に表示するとともに、SVC をリモート コンピュータにダウンロードします。 ダウンロードが完了すると、SVC はインストールと設定を実行します。接続が終了すると(設定に応じて)、SVC はリモート コンピュータに保持されるか、またはリモート コンピュータからアンインストールされます。 |
||
WebVPN 機能とパフォーマンスの最適化 |
このバージョンでは、WebVPN パフォーマンスと機能は次のコンポーネントからも拡張されます。
|
||
WebVPN 用の Citrix サポート |
WebVPN ユーザーは Citrix MetaFrame サービスにアクセスするために、ASA への接続を使用できるようになりました。この設定では、ASA は Citrix セキュア ゲートウェイとして機能します。したがって、Citrix セキュア ゲートウェイを使用しないモードで動作するように Citrix Web Interface ソフトウェアを設定する必要があります。リモート ユーザーが完全修飾ドメイン名(FQDN)を使用して接続する ASA インターフェイス上に SSL 証明書をインストールします。この機能は、SSL 証明書の共通名(CN)として IP アドレスを指定すると機能しません。リモート ユーザーは、ASA と通信するために FQDN の使用を試行します。リモート PC は、DNS または System32\drivers\etc\hosts ファイル内のエントリを使用して、FQDN を解決できる必要があります。最後に、functions コマンドを使用して Citrix を有効にします。 |
||
WebVPN の PDA サポート |
WebVPN は Pocket PC 2003 または Windows Mobile X からアクセスできます。PDA ユーザーの場合、これによりプライベート ネットワークへのアクセスはさらに簡便になります。この機能は設定が不要です。 |
||
CIFS ファイル用の文字エンコーディングの WebVPN サポート |
WebVPN は、目的の言語での共通インターネット ファイル システム ファイルの適切な表示を保証するために、ポータル ページのオプションの文字エンコーディングをサポートするようになりました。文字エンコードは、日本語のシフト JIS 文字を含む、次の Web ページで指定された文字セットをサポートします。 http://www.iana.org/assignments/character-sets WebVPN ポータル ページでリモート ユーザーに送信するためにエンコードする文字セットを指定するには、character-encoding コマンドを使用します。デフォルトでは、リモート ブラウザに設定されたエンコード タイプが、WebVPN ポータル ページの文字セットを決定します。 character-encoding 属性は、デフォルトでは、すべての WebVPN ポータル ページに継承されるグローバルな設定です。ただし、特定の CIFS サーバから WebVPN ポータル ページのエンコードを指定するには、file-encoding コマンドを使用できます。このため、これ以外の文字の符合化が必要な各 CIFS サーバに対し、異なるファイル符号化値を使用できます。 CIFS サーバに適切な文字エンコーディングを、広域的には webvpn character-encoding 属性によって、個別的には file-encoding の上書きによってマッピングすることで、ページと同様にファイル名やディレクトリ パスを適切にレンダリングすることが必要な場合には、CIFS ページの正確な処理と表示が可能になります。
|
||
WebVPN と SSL VPN クライアント接続の圧縮 |
圧縮により、転送するパケットのサイズは縮小され、特にリモート アクセスに使用されるダイヤルアップ モデムやハンドヘルド デバイスなどとの帯域幅に制限がある接続の場合に、通信のパフォーマンスは向上します。 圧縮は、WebVPN と SVC 接続に対してデフォルトでは有効です。ASDM または CLI コマンドを使用して圧縮を設定できます。 すべての WebVPN または SVC 接続の圧縮は、グローバル設定モードから compression コマンドで無効にできます。 グループ ポリシーまたはユーザー名 webvpn モードで、WebVPN 接続の場合は http-comp コマンドを、SVC 接続の場合は svc compression コマンドを使用して、特定のグループまたはユーザーの圧縮を無効にできます。 |
||
WebVPN および SVC 接続のアクティブ/スタンバイ ステートフル フェールオーバー |
フェールオーバー時には、サービスの継続のため、セカンダリのスタンバイ セキュリティ アプライアンスとの WebVPN 接続、SVC 接続、IPSec 接続が再確立されます。アクティブ/スタンバイ フェールオーバーには、各接続に 1 対 1 のアクティブ/スタンバイの一致が必要です。 フェールオーバーに設定されたセキュリティ アプライアンスは、WebVPN ユーザーに関する認証情報を、スタンバイ セキュリティ アプライアンスと共有します。したがって、フェールオーバー後に、WebVPN ユーザーは再認証の必要はありません。 SVC 接続の場合、フェールオーバー後に、SVC は自動的にスタンバイ セキュリティアプライアンスと再接続します。 |
||
WebVPN カスタマイゼーション |
ユーザーがセキュリティ アプライアンスに接続するときに表示される WebVPN ページをカスタマイズしたり、WebVPN ホーム ページをユーザーごと、グループごと、またはトンネルごとのグループ ベースでカスタマイズしたりできます。ユーザーまたはグループは、セキュリティ アプライアンスが認証した後に WebVPN のカスタム ホーム ページを参照します。 カスケード スタイル シート(CSS)パラメータを使用できます。簡単にカスタマイズするには、ASDM を使用することを推奨します。ASDM には、色見本やプレビュー機能など、スタイルの要素を設定するための便利な機能があります。 |
||
自動アプレット ダウンロード |
WebVPN を介したリモート アプリケーションを実行するには、ユーザーは WebVPN ホーム ページの [Start Application Access] をクリックしてポート転送 Java アプレットをダウンロードして開始します。アプリケーション アクセスを簡単にして開始時間を短縮するために、ユーザーが WebVPN に初めてログインしたときに、自動的にこのポート転送アプレットをダウンロードするように WebVPN を設定できるようになりました。 |
||
認証と承認の VPN 機能 |
|||
無効にされたアカウントのオーバーライド |
AAA サーバからのアカウント無効指示をオーバーライドして、ログオンするユーザーを何らかの方法で許可するように ASA を設定できます。 次のコマンドが導入されました。override account disabled |
||
LDAP サポート |
セキュリティ アプライアンスを設定して、IPSec VPN ユーザー、SSL VPN クライアント、WebVPN ユーザーを、LDAP ディレクトリ サーバに対して認証および認可することができます。認証中、セキュリティ アプライアンスは、VPN ユーザの LDAP サーバへのクライアント プロキシとして機能し、プレーン テキストまたは Simple Authentication and Security Layer(SASL)プロトコルのいずれかを使って LDAP サーバに対する認証を行います。セキュリティ アプライアンスでは、LDAP V3 または V2 準拠のすべてのディレクトリ サーバをサポートします。これはパスワード管理を、Sun Microsystems JAVA System Directory Server および Microsoft Active Directory サーバ上だけでサポートします。 |
||
パスワード管理 |
パスワードの期限切れが近づいたときにエンド ユーザーに警告するように ASA を設定できます。この機能を設定すると、リモート ユーザーがログインするときに、ASA は、ユーザーの現在のパスワードの有効期限が近づいていること、または期限が切れていることを通知します。それから ASA は、ユーザーがパスワードを変更できるようにします。現行のパスワードが失効していない場合、ユーザーはそのパスワードを使用してログインし続けることができます。このコマンドは、このような通知機能をサポートする RADIUS、RADIUS 対応 NT サーバ、LDAP サーバなどの AAA サーバで有効です。RADIUS または LDAP 認証が設定されていない場合、ASA ではこのコマンドが無視されます。 このコマンドは、パスワードが失効するまでの日数を変更するものではなく、ASA がユーザーに対してパスワード失効の警告を開始してから失効するまでの日数を指定するものである点に注意してください。デフォルト値は 14 日間です。 LDAP サーバの認証の場合のみ、保留期限についてユーザーに警告を開始するまでの、特定の期限日数を指定できます。 次のコマンドが導入されました。password management |
||
シングル サインオン(SSO) |
シングル サインオン(SSO)のサポートによって、WebVPN ユーザーはユーザー名とパスワードを 1 回だけ入力して、複数の保護されているサービスおよび Web サーバにアクセスできます。SSO の設定時に次の方法から選択できます。
|
||
トンネル グループおよびグループ ポリシー VPN の機能 |
|||
WebVPN トンネル グループのタイプ |
このバージョンは、WebVPN トンネル グループを追加します。これにより WebVPN 固有の属性を持つトンネル グループを設定できます。この属性には使用する認証メソッド、ユーザー GUI に適用する WebVPN カスタマイズ、使用する DNS グループ、代替グループ名(エイリアス)、グループ URL、CIFS の名前解決に使用する NBNS サーバ、およびリモート CSD クライアントへのアクセス権を制限するために CSD ユーザに適用する代替グループ ポリシーなどが含まれます。 |
||
WebVPN のグループ ベースの DNS 設定 |
グループ下にある DNS サーバのリストを定義できます。ユーザーに利用可能な DNS サーバのリストは、ユーザーが割り当てられているグループに応じて異なります。WebVPN トンネル グループに使用する DNS サーバを指定できます。デフォルト値は DefaultDNS です。 |
||
WebVPN ユーザーの新しいログイン ページ オプション |
ユーザーがログインに使用するトンネル グループを選択できるユーザー ログイン ページを表示するように、WebVPN を設定することもできます。このオプションを設定すると、ログイン ページには、グループを選択するためのドロップ ダウン メニューを表示する追加のフィールドが表示されます。ユーザーは、選択したグループに対して認証されます。 |
||
グループ別名およびグループ URL |
1 つ以上の代替名を作成して、1 つ以上のグループ エイリアスを指定することによりトンネル グループを参照できます。ここで指定するグループ エイリアスは、ユーザーのログイン ページにあるドロップダウン リストに表示されます。各グループに複数のエイリアスを指定することも、エイリアスを指定しないことも可能です。トンネル グループの実際の名前をこのリストに表示する場合は、その名前をエイリアスとして指定します。この機能は、同じグループが「Devtest」や「QA」などの複数の通常名で指定されている場合に便利です。 グループの URL を指定すると、ユーザーがログイン時にグループを選択する必要がなくなります。ユーザーがログインすると、ASA は、tunnel-group-policy テーブル内のユーザーの着信 URL またはアドレスを検索します。URL が見つかり、さらにこの機能が有効になっている場合、ASA は適切なサーバを自動的に選択して、ユーザー名およびパスワード フィールドだけをログイン ウィンドウでユーザに表示します。URL が無効な場合、グループのドロップダウン リストも表示され、ユーザーは選択を行う必要があります。 1 つのグループに対して複数の URL を設定できます。または、URL を設定しないこともできます。各 URL は個別に有効または無効にできます。各 URL に別の仕様(group-url コマンド)を使用する必要があります。URL 全体を指定する必要がありますが、HTTP または HTTPS プロトコルのいずれかを使用できます。 複数のグループに同じ URL を関連付けることはできません。ASA では、URL の一意性を検証してから、トンネル グループに対する URL を受け入れます。 |
||
ASDM 機能 |
|||
CSC SSM の管理およびモニタ サポート |
ASDM バージョン 5.1 は、トレンドマイクロの HTML ベース設定パネルのシンプルさと、ASDM の創意工夫とを併せ持つ業界初のソリューションです。これにより、一貫したポリシーが確実に適用され、完全なプロビジョニング、設定、CSC SSM によって提供される豊富な統合脅威管理機能のためのプロセス モニタが簡素化されます。新しい CSC SSM ホーム ページと新しいモニタリング パネルによる、補完的なモニタリング ソリューションを提供します。CSC SSM をインストールすると、メインの ASDM ホームページが自動的に更新され、新しい CSC SSM パネルが表示されます。これは、脅威、電子メール ウイルス、ライブ イベント、および重要なモジュール統計(最後にインストールされたソフトウェア/署名の更新、システム リソースなど)の履歴ビューを提供します。ASDM のモニタリング セクション内では、豊富な分析ツールにより、脅威、ソフトウェア更新、リソース グラフなどを詳細に確認できます。Live Security Event Monitor は、新しいトラブルシューティングおよびモニタリング ツールであり、スキャンやブロックされた電子メール メッセージ、識別されたウイルス/ワーム、検出された攻撃などをリアルタイムで更新します。管理者には、正規表現文字列の一致を使用してメッセージをフィルタするオプションが付与されます。これにより、特定の攻撃のタイプとメッセージに絞り込んで詳細に分析できます。 |
||
Syslog to Access Rule Correlation |
この ASDM リリースは、日常的なセキュリティ管理とトラブルシューティング アクティビティを大幅に強化する、新しい Syslog to Access Rule Correlation を導入しています。この動的ツールを使用して、セキュリティ管理者は一般的な設定の問題と、ほとんどのユーザーおよびネットワーク接続の問題を迅速に解決できます。ユーザーは [Real-Time Syslog Viewer] パネル内の syslog メッセージを選択でき、パネルの上部の [Create] ボタンをクリックするだけで、その特定の syslog のアクセス制御オプションを呼び出すことができます。インテリジェントなデフォルト値により、設定プロセスは簡単に済みます。これによりビジネスクリティカルな機能の運用効率と応答時間が改善されます。Syslog to Access Rule Correlation ツールは、ユーザー設定のアクセス ルールによって呼び出される syslog メッセージへの直感的なビューも提供しています。 |
||
カスタマイズされた Syslog のカラーリング |
ASDM は、syslog レベルに応じて syslog メッセージを色別にグループ化できるようにすることで、迅速なクリティカル システム メッセージの識別と簡便な syslog モニタリングを実現できます。ユーザーは、デフォルトの色付けオプションを選択することも、識別しやすいように固有に色付けされた syslog プロファイルを作成することもできます。 |
||
ASDM および WebVPN インターフェイス |
ASDM と WebVPN は、同時に同じインターフェイス上で実行できるようになりました。 |
||
ASDM デモ モード |
ASDM デモ モード初期サポート。 |
バージョン 7.0 の新機能
ASA 7.0(8)/ASDM 5.0(8) と ASDM 5.0(9) の新機能
リリース:2008年6月2日
(注) |
ASDM 5.0(9) には新しい機能は含まれていません。警告の修正のみが含まれています。 |
機能 |
説明 |
---|---|
ファイアウォール機能 |
|
Ethertype ACL MAC の機能強化 |
EtherType ACL は、非標準 MAC を許可するように強化されています。既存のデフォルトのルールが保持され、新しいルールを追加する必要はありません。 バージョン 7.2(4) および 8.0(4) でも使用可能です。 |
リモート アクセス機能 |
|
ローカル アドレス プールの編集 |
アドレス プールは、目的の接続に影響を与えることなく編集できます。アドレスが使用中でありプールから排除されていない場合、接続は影響を受けません。ただし、使用中のアドレスがプールから除去されている場合、接続はダウンします。 バージョン 7.2(4) および 8.0(4) でも使用可能です。 |
接続機能 |
|
clear conn コマンド |
clear conn コマンドは、接続を削除するために追加されました。 バージョン 7.2(4) および 8.0(4) でも使用可能です。 |
フラグメントの完全リアセンブル |
fragment コマンドは reassembly full キーワードで拡張され、デバイス経由でルーティングされるフラグメントの完全リアセンブルが可能になりました。デバイスで終端するフラグメントは、常に完全にリアセンブルされます。 バージョン 7.2(4) および 8.0(4) でも使用可能です。 |
トラブルシューティングとモニタリングの機能 |
|
capture コマンドの強化 |
capture type asp-drop drop_code コマンドは、all を drop_code として受け入れるようになったので、セキュリティ チェックが原因でドロップされたものを含め、ASA がドロップするすべてのパケットをキャプチャできるようになりました。 バージョン 7.2(4) および 8.0(4) でも使用可能です。 |
show asp drop コマンドの強化 |
カウンタが最後にクリアされた時間を示すタイムスタンプが出力に含まれるようになりました(clear asp drop コマンドを参照)。また、説明の横にドロップ理由のキーワードが表示されるため、そのキーワードを使用して簡単に capture asp-drop コマンドを使用できます。 バージョン 7.2(4) および 8.0(4) でも使用可能です。 |
clear asp table コマンド |
clear asp table コマンドが、show asp table コマンドによるヒット出力をクリアするために追加されました。 バージョン 7.2(4) および 8.0(4) でも使用可能です。 |
show asp table classify hits コマンドの強化 |
hits オプションが show asp table classify コマンドに追加され、asp テーブル カウンタがクリアされた最終時刻を示すタイムスタンプが表示されるようになりました。ゼロと等しくない hits 値があるルールも表示されます。これによりユーザーはどのルールがヒットしたかをすばやく参照できます。特に単純な設定であると show asp table classify コマンドで最終的に何百ものエントリが存在するようになるため便利です。 バージョン 7.2(4) および 8.0(4) でも使用可能です。 |
show perfmon コマンド |
次の速度出力が追加されました。[TCP Intercept Connections Established]、[TCP Intercept Attempts]、[TCP Embryonic Connections Timeout]、および [Valid Connections Rate in TCP Intercept] バージョン 7.2(4) および 8.0(4) でも使用可能です。 |
memory tracking コマンド |
次の新しいコマンドが、このリリースで導入されました。
バージョン 7.2(4) および 8.0(4) でも使用可能です。 |
フェールオーバー機能 |
|
failover timeout コマンド |
failover timeout コマンドに、静的固定機能とともに使用されるフェールオーバー ライセンスが不要になりました。 バージョン 7.2(4) および 8.0(4) でも使用可能です。 |
ユーザービリティ機能 |
|
show access-list の出力 |
拡張アクセス リストの出力は、読みやすいようにインデントされています。 バージョン 7.2(4) および 8.0(4) でも使用可能です。 |
show arp の出力 |
透過的なファイアウォール モードでは、ARP エントリが静的に設定されたか動的に学習されたかを把握しておくことが必要な場合があります。ARP インスペクションは、ダイナミック ARP エントリがすでに学習されている場合には、正当なホストからの ARP 応答をドロップします。ARP インスペクションは静的 ARP エントリでのみ動作します。show arp コマンドは、各エントリでそれが動的であれば経過時間を示すようになりました。ただし静的である場合には示しません。 [Monitoring] > [Interfaces] > [ARP Table] を参照してください。 バージョン 7.2(4) および 8.0(4) でも使用可能です。 |
show conn コマンド |
「ローカル」と「外部」ではなく、送信元と宛先の概念を使用するように、構文が簡易化されました。新しい構文では、送信元アドレスが入力された最初のアドレスで、宛先が 2 番目のアドレスです。以前の構文では、foreign や port などのキーワードを使用して宛先アドレスおよびポートを設定していました。 |
ASDM 機能 |
|
フラグメント オプションのサポート |
ASDM は、ASDM 経由でルーティングされたパケットを再構成するフラグメント オプションをサポートするようになりました。 この機能を設定するには、[Configuration] > [Properties] > [Advanced] > [Fragment] を参照してください。 |
ASA 7.0(7)/ASDM 5.0(7) の新機能
リリース:2007年7月9日
機能 |
説明 |
---|---|
モジュール機能 |
|
データプレーン キープアライブ メカニズムの追加 |
ASA を構成して、AIP SSM がアップグレードされた場合に、フェールオーバーを発生させないようにできます。以前のリリースでは、AIP SSM がある 2 つの ASA がフェールオーバーで構成されている場合に AIP SSM ソフトウェアが更新されると、AIP SSM はソフトウェアの更新を有効にするためにリブートまたは再起動を必要とするので、ASA はフェールオーバーをトリガーします。 バージョン 7.2(3) および 8.0(3) でも使用可能です。 |
ASA 7.0(6)/ASDM 5.0(6) の新機能
リリース:2006年8月22日
ASA 7.0(6)/ASDM 5.0(6) には新機能はありませんでした。
ASA 7.0(5)/ASDM 5.0(5) の新機能
リリース:2006年4月14日
機能 |
説明 |
---|---|
アプリケーション インスペクション機能 |
|
DNS ガードを制御するコマンド |
DNS ガード機能を制御できるようになりました。7.0(5) よりも前のリリースでは、DNS インスペクションの設定に関係なく、DNS Guard 機能は常にイネーブルになります。
このコマンドは、DNS 検査が無効である(no inspect dns)インターフェイス上でのみ有効です。DNS インスペクションがイネーブルになっている場合、DNS Guard 機能は常に実行されます。 次のコマンドが導入されました。dns guard |
拡張 IPSEC インスペクション |
IKE フローの存在に基づいて ESP フローのための特定のピンホールを開く機能が、強化された IPSec 検査機能によって提供されます。この機能は、MPF インフラストラクチャ内で他の検査とともに設定できます。結果として生じる ESP フローのアイドルタイムアウトは、静的に 10 分で設定されています。許可できる ESP フローの数の上限はありません。 次のコマンドが導入されました。inspect ipsec-pass-thru |
ファイアウォール機能 |
|
拒否された TCP パケットの RST を無効にするコマンド |
TCP パケットが拒否されると、パケットが高セキュリティ インターフェイスから低セキュリティ インターフェイスに送信されるときに、適応型セキュリティ アプライアンスは常にリセットを送信します。service resetinbound コマンドは、TCP パケットが低レベルから高レベルのセキュリティ インターフェイスへの移動時に拒否されたときのリセット送信を有効または無効にするために使用します。service resetinbound コマンドは、パケットが高レベルから低レベルのセキュリティ インターフェイスへの移動時に拒否されたときの RESET 送信を制御するために使用します。既存の service resetinbound コマンドは追加のインターフェイス オプションを取るように拡張されました。 次のコマンドが導入されました。service resetoutbound、service resetinbound |
プラットフォーム機能 |
|
接続数と VLAN 数の増加 |
最大接続数と VLAN が次の数まで増加しました。
|
管理機能 |
|
ローカル データベースでのパスワードの伸張 |
ユーザー名と有効化パスワードの長さ制限が、ローカル データベースで 16 から 32 に増やされました。 |
show interface および show traffic コマンドの機能拡張 |
show interface および show traffic の両方のコマンドで表示されるトラフィック統計情報が、入力、出力、およびドロップで 1 分の速度と 5 分の速度をサポートするようになりました。速度は、最後の 2 つのサンプリング ポイント間の差分として計算されます。1 分の速度と 5 分の速度に対して、1 分タイマーと 5 分タイマーがそれぞれの速度に対して常に実行されます。新しい表示の例は次のとおりです。
|
ASA 7.0(4)/ASDM 5.0(4) の新機能
リリース:2005年10月15日
(注) |
7.0(3)/5.0(3) リリースはありませんでした。 |
機能 |
説明 |
||
---|---|---|---|
プラットフォーム機能 |
|||
4GE SSM のサポート |
4GE セキュリティ サービス モジュール(SSM)は、適応型セキュリティ アプライアンス用のオプション I/O カードです。4GE SSM は、セキュリティ アプライアンスで利用可能な総数のポートを展開し、イーサネット(RJ-45)または SFP(光ファイバー)接続の 4 つの追加ポートを提供します。 |
||
VPN 機能 |
|||
WebVPN キャプチャ機能 |
WebVPN キャプチャ機能により、WebVPN 接続では正しく表示されない Web サイトに関する情報を記録できます。キャプチャ コマンドで WebVPN キャプチャ機能を有効にできます。ただしセキュリティ アプライアンスのパフォーマンスに悪影響があることに注意してください。したがって、トラブルシューティングに必要な情報をキャプチャした後は、必ずこの機能を無効にしてください。 |
||
VPN トンネル経由の自動更新 |
このリリースでは、auto-update server コマンドに新しい source 引数があり、これにより管理アクセスで使用され management-access コマンドで指定された VPN トンネルなどのインターフェイスを指定できます。 auto-update server url [source interface ] [verify-certificate ] |
||
HTTP プロキシ アプレット |
HTTP プロキシは、HTTP と HTTPS の両方の接続をサポートするインターネット プロキシです。HTTP プロキシ コードは、すべてのブラウザ HTTP/S 要求を新しいプロキシ設定にリダイレクトするために、ブラウザのプロキシ設定を動的に変更します。これにより Java アプレットはブラウザのプロキシとして引き継ぐことができます。 HTTP プロキシは、ポートフォワーディング(アプリケーション アクセス)機能と組み合わせて、または単独で使用できます。
Windows XP を実行しているいくつかの古いコンピュータで、RunOnce レジストリ キーは、Internet Explorer でプロキシ設定を変更しようとするとポート転送 HTTP プロキシ機能がエラーとなるために使用できません。 レジストリは手動変更できます。レジストリを手動で変更するには、次の手順を実行します。
このユーザーまたはグループ ポリシーに対してファイル アクセスとファイル ブラウジング、MAPI プロキシ、HTTP プロキシ、および WebVPN 上での URL 入力を設定するには、WebVPN モードで functions コマンドを使用します。 |
||
IPSec VPN:カスケード ACL のサポートを追加します。 |
カスケード ACL とは、拒否 ACE を挿入することで、ACL の評価をバイパスし、暗号マップ セット内の次の ACL の評価を再開するものです。各クリプト マップを別の IPSec 設定に関連付けることができるため、拒否 ACE を使用して対応するクリプト マップの詳細な評価から特別なトラフィックを除外し、特別なトラフィックを別のクリプト マップの permit 文と一致させて別のセキュリティを提供または要求できます。暗号 ACL に割り当てられているシーケンス番号によって、クリプト マップ セット内の評価の順序が決まります。 |
||
トラブルシューティングとモニタリングの機能 |
|||
crashinfo の拡張機能 |
crashinfo コマンドからの出力には、ASA に接続しているすべてのユーザーが参照することが適切でない機密情報が含まれている場合があります。新しい crashinfo console disable コマンドを使用して、コンソール上に表示される出力を抑制できます。 |
||
syslog メッセージのレート制限 |
ロギング レートの制限により、システム ログ メッセージを生成する速度を制限できます。指定した時間間隔の間に生成されるシステム メッセージの数を制限できます。 すべてのメッセージ、単一のメッセージ ID、メッセージ ID の範囲、または特定の重大度レベルがあるすべてのメッセージのメッセージ生成レートを制限できます。システム ログ メッセージの生成レートを制限するには、logging rate-limit コマンドを使用します。 |
||
ファイアウォール機能 |
|||
モジュラ ポリシー フレームワークを使用した接続タイムアウト |
新しい set connection timeout コマンドにより、経過したらアイドル状態の TCP 接続が切断される、タイムアウト期間を構成できます。 |
||
ダウンロード可能な ACL 拡張機能 |
RADIUS サーバに送信されたダウンロード可能な ACL 要求が、Message-Authenticator 属性を使用して有効なソースから来たものであることを確認するための新しい機能が追加されました。 ダウンロード可能な ACL の名前が含まれているユーザー名属性を持つ RADIUS 認証要求を受信すると、Cisco Secure ACS は Message-Authenticator 属性をチェックして要求を認証します。Message-Authenticator 属性の存在により、ダウンロード可能な ACL 名がネットワーク アクセスの不正取得に悪用されることが防止されます。Message-Authenticator 属性とその使用方法は、RFC 2869「RADIUS Extensions」で定義されています。この文書は、http://www.ietf.org で入手できます。 |
||
ダウンロード可能な ACL でのワイルドカードからネットワーク マスクへの変換 |
VPN 3000 コンセントレータや Cisco IOS ルータなどの一部の Cisco 製品では、ネットワーク マスクの代わりにワイルドカードを使用して、ダウンロード可能な ACL を設定する必要があります。他方、Cisco ASA 5500 適応型セキュリティ アプライアンスは、ネットワーク マスクを使用してダウンロード可能な ACL を設定する必要があります。この新しい機能によって、ASA はワイルドカードをネットマスクに内部的に変換できます。ワイルドカード ネットマスク表現の変換により、RADIUS サーバ上のダウンロード可能な ACL のコンフィギュレーションを変更することなく、Cisco VPN 3000 Series Concentrator 用に記述されたダウンロード可能な ACL を ASA で使用できます。 ACL ネットマスク変換は、acl-netmask-convert コマンドを使用してサーバごとに設定できます。このコマンドは AAA サーバ設定モードで使用できます。 |
||
アプリケーション インスペクション機能 |
|||
GSN 間での GTP ロード バランシングのサポート |
ASA が GTP インスペクションを実行する場合、デフォルトで ASA は、GTP 要求で指定されていない GSN からの GTP 応答をドロップします。これは、GSN のプール間でロードバランシングを使用して、GPRS の効率とスケーラビリティを高めているときに発生します。GSN プーリングのサポートを有効にするには、permit response コマンドを使用します。このコマンドは、GTP 要求がどの GSN に送信されたかにかかわらず、指定された GSN のセットの中のいずれかからの応答を許可するように ASA を設定します。 |
ASA 7.0(2)/ASDM 5.0(2) の新機能
リリース:2005年7月22日
ASA 7.0(2)/ASDM 5.0(2) には新機能はありませんでした。
ASA 7.0(1)/ASDM 5.0(1) の新機能
リリース:2005年5月31日
機能 |
説明 |
||
---|---|---|---|
プラットフォーム機能 |
|||
ASA 5500 シリーズのサポート |
ASA 5500 シリーズのサポートが導入されました。これには ASA 5510、ASA 5520、ASA 5540 の各モデルのサポートも含まれています。 |
||
ファイアウォール機能 |
|||
透過的ファイアウォール(レイヤ 2 ファイアウォール) |
この機能により、レイヤ 2 デバイスに類似したセキュアなブリッジング モードで ASA を展開して、保護されたネットワーク用の機能豊富なレイヤ 2 ~ 7 ファイアウォール セキュリティ サービスを提供できます。これにより企業は、ネットワークの再アドレッシングを必要とせずに、既存のネットワーク環境にこの ASA を展開できます。ASA は、保護されたネットワークの両端のデバイスに対して完全に「非表示」にできますが、管理者は専用 IP アドレス(別のインターフェイス上でホスト可能)によって管理できます。管理者は、レイヤ 2 デバイスとプロトコルに対するアクセス コントロール用に、標準 ACL に加えて、非 IP(EtherType)ACL を指定できます。 次のコマンドが導入されました。arp-inspection、firewall、mac-address-table、および mac-learn |
||
セキュリティ コンテキスト(仮想ファイアウォール) |
この機能により、単一のアプライアンスで複数のセキュリティ コンテキスト(仮想ファイアウォール)を作成できるようになりました。各コンテキストはセキュリティ ポリシー、論理インターフェイス、および管理ドメインの独自のセットを持ちます。これにより企業は、単一の物理アプライアンスに複数のファイアウォールを簡便に統合しながら、これらの仮想インスタンスを引き続き個別に管理することもできます。これらの機能は、無制限(UR)またはフェールオーバー(FO)ライセンスがある ASA でのみ使用可能です。これはライセンス機能であり、サポートされている複数層のセキュリティ コンテキスト(2、5、10、20、および 50)があります。 次のコマンドが導入されました。admin-context、context(および context のサブコマンド)、changeto、および mode |
||
アウトバウンド ACL |
この機能により、管理者は、アウトバウンド ACL および時間ベース ACL のサポートを追加することによって(既存のインバウンド ACL サポート上に構築)、アクセス コントロール ポリシーを定義する際の柔軟性を向上できます。これらの新機能を使用して、管理者は、トラフィックがインターフェイスを出入りするときにアクセス コントロールを適用できるようになりました。時間ベースのアクセス コントロール リストにより、管理者は特定の ACL エントリがいつアクティブであるかを定義することによって、リソースの使用をより細かく制御できます。新しいコマンドにより、管理者は時間範囲を定義して、それらの時間範囲を特定の ACL に適用できます。 |
||
時間ベース ACL |
既存の多用途の access-list グローバル設定コマンドは time-range コマンドにより拡張されました。time-range グローバル設定コマンドを使用して定義された、時間ベースのポリシーを指定します。さらに、access-group グローバル設定コマンドは、アウトバウンド ACL を設定するために out キーワードをサポートしています。 |
||
ACL エントリの有効化/無効化 |
この機能は、ACL エントリを削除したり置き換えたりする必要なく ACL をテストおよび微調整できる、便利なトラブルシューティング ツールを提供します。 |
||
EtherType アクセス コントロール |
この機能には、パケットの EtherType に基づいてパケット フィルタリングおよびロギングを実行するための、非常に強力なサポートが含まれています。透過的なファイアウォールとして動作するときに、非 IP プロトコルの許可または拒否を非常に柔軟に決定できます。 |
||
モジュラ ポリシー フレームワーク |
この機能により、非常に柔軟で拡張可能な次世代モジュラ ポリシー フレームワークが導入されます。これにより、管理者定義の条件に基づく特定のフローを識別し、一連のサービスをそのフローに適用する(ファイアウォール/インスペクション ポリシー、VPN ポリシー、QoS ポリシーなど)、フローベースのポリシーを構築できます。これにより、トラフィック フローに対するきめ細かい制御と、それらに対して実行されるサービスは大幅に向上します。さらにこの新しいフレームワークにより、インスペクション エンジンでのフロー固有の設定が可能になります(以前のリリースではグローバル)。 次のコマンドが導入されました。class-map、policy-map、および service-policy |
||
TCP セキュリティ エンジン |
この機能は、プロトコルとアプリケーション層への攻撃の検出を支援する、いくつかの新しい基礎機能を導入します。TCP ストリームの再アセンブルは、パケットを完全なパケット ストリームに再アセンブルしてそのストリームの分析を実行することによって、一連のパケット全体にわたる攻撃を検出できます。TCP トラフィックの正規化により、拡張フラグやオプションのチェック、再送パケットでのデータ改ざんの検出、TCP パケットのチェックサム検証などを含む攻撃を検出する追加の手法が提供されます。 グローバル設定コマンドでの set connection advanced-options および tcp-map グローバル設定コマンドの使用により、広範な TCP セキュリティ ポリシーを設定できます。 |
||
アウトバウンド低遅延キューイング(LLQ)およびポリシング |
この機能では、低遅延キューイング(LLQ)およびトラフィック ポリシングのサポート(エンドツーエンド ネットワーク QoS ポリシーがある機能のサポート)により、厳しいサービス品質(QoS)要件があるアプリケーションをサポートします。有効である場合、各インターフェイスはアウトバウンド トラフィック用に 2 つのキューを維持します。1 つは遅延の影響を受けやすいトラフィック用(音声や市場データなど)、もう 1 つは遅延を許容できるトラフィック用(ファイル転送など)です。一連の設定パラメータにより、キューのパフォーマンスを最適化できます。 QoS 機能は、次のコマンドを使用して管理されます。police、priority、priority-queue、queue-limit、および tx-ring-limit |
||
アプリケーション インスペクション機能 |
|||
拡張 HTTP インスペクション エンジン |
この機能は Web トラフィックのディープ分析を導入しています。これにより幅広い Web ベースの攻撃からの保護を強化するために、HTTP セッションをきめ細かく制御できます。さらに、この新しい HTTP インスペクション エンジンにより、インスタント メッセージング アプリケーション、ピアツーピア ファイル共有アプリケーション、およびポート 80 または HTTP トランザクションに使用されるポート経由でトンネリングを試行するアプリケーションを管理制御できます。提供される機能には、RFC 準拠の適用、HTTP コマンドの承認と適用、応答検証、多目的インターネット メール拡張機能(MIME)タイプの検証とコンテンツ コントロール、Uniform Resource Identifier(URI)の長さの適用などがあります。 ユーザーは、http-map グローバル設定コマンドを使用し、それをマップ名の仕様をサポートするために拡張されている inspect http 設定モード コマンドに適用することで、拡張 HTTP インスペクション ポリシーを定義できます。 |
||
FTP インスペクション エンジン |
この機能には、新しいコマンド フィルタ サポートを提供する FTP インスペクション エンジンが含まれています。以前にサポートされていた FTP セキュリティ サービス(プロトコル異常検出、プロトコル ステート トラッキング、NAT/PAT サポート、および動的ポート開放など)に基づいて構築すると、バージョン 7.0 では 9 つの異なる FTP コマンドの使用を細かく制御でき、ユーザー/グループが FTP セッションで実行できる操作が強制されます。さらにバージョン 7.0 は、FTP サーバ クローキング機能を導入しており、ASA 経由でアクセスするユーザーから FTP サーバのタイプとバージョンを隠します。 |
||
ESMTP インスペクション エンジン |
この機能は、SMTP(ESMTP)プロトコルのサポートを追加した SMTP(RFC 821)機能に基づいて構築されており、RFC 1869 で定義されているさまざまなコマンドを特色としています。サポートされているコマンドには、AUTH、DATA、EHLO、ETRN、HELO、HELP、MAIL、NOOP、QUIT、RCPT、RSET、SAML、SEND、SOML、および VRFY が含まれています(他のすべてのコマンドは、追加のセキュリティ レベルを提供するために自動的にブロックされます)。 inspect esmtp グローバル設定コマンドは、SMTP および ESMTP トラフィック用のインスペクション サービスを提供します。 |
||
SunRPC / NIS+ インスペクション エンジン |
SunRPC インスペクション エンジンでは、NIS + および SunRPC サービスに対するサポートが向上しています。固有の拡張として、ポートマッパー v2、RPCBind v3 と v4 のすべての 3 バージョンの検索サービスのサポートが含まれています。 SunRPC / NIS+ インスペクション エンジンを設定するには、inspect sunrpc および sunrpc-server グローバル設定コマンドを使用します。 |
||
ICMP インスペクション エンジン |
この機能は、ICMP インスペクション エンジンを導入します。このエンジンにより、ICMP 接続のステートフル トラッキングを提供し、エコー要求と応答とを一致させることで、ICMP を安全に使用できます。ICMP エラー メッセージには追加の制御を使用できます。これは確立された接続に対してのみ許可されます。このリリースには、NAT ICMP エラー メッセージの機能が導入されました。 inspect icmp および inspect icmp error コマンドを使用して ICMP インスペクション エンジンを設定します。 |
||
モバイル ワイヤレス環境のための GTP インスペクション エンジン |
この機能により、GPRS トンネリング プロトコル(GTP)を使用してパケット交換データ サービスを提供する、3G モバイル ワイヤレス環境を保護するための新しいインスペクション エンジンが導入されます。これらの新しい拡張 GTP インスペクション サービスにより、モバイル サービス プロバイダにはローミング パートナーとの安全なインタラクションが許可され、モバイル管理者には IMSI プレフィックス、APN 値などの GTP 固有パラメータに基づく堅牢なフィルタリング機能が提供されます。これはライセンスで供与される機能です。 ポリシーマップ設定モードの inspect gtp コマンドと gtp-map グローバル設定コマンドは、バージョン 7.0 で導入された新機能です。GTP の詳細および GTP インスペクション ポリシーの設定の詳細な手順については、『CLI Configuration Guide』の「Managing GTP Inspection」を参照してください。activation-key exec コマンドを使用して、GTP アクティベーション キーをインストールすることが必要になる場合があります。 |
||
H.323 インスペクション エンジン |
H.323 インスペクション エンジンは、T.38 プロトコルのサポートを追加します。これは、Fax over IP(FoIP)のセキュア通信を可能にする ITU 標準です。リアルタイムおよびストアアンドフォワードの両方の FAX 方式がサポートされます。H.323 インスペクション エンジンは、現在サポートされている Direct Call Signaling(DCS)メソッドに加えて、Gatekeeper Routed Call Signaling(GKRCS)をサポートします。ITU 標準に基づいた GKRCS サポートにより、ASA は H.323 ゲートキーパー間で直接交換されるコール シグナリング メッセージを処理できます。 |
||
H.323 バージョン 3 および 4 のサポート |
このリリースは、H.323 バージョン 3 および 4 メッセージ用に NAT と PAT をサポートし、特に H.323 v3 の機能であるワン コール シグナリング チャネル上での複数コールをサポートします。 |
||
SIP インスペクション エンジン |
この機能は、セッション開始プロトコル(SIP)ベース インスタント メッセージング クライアント(Microsoft Windows Messenger など)のサポートを追加します。拡張には、RFC 3428 と RFC 3265 で説明されている機能のサポートが含まれます。 |
||
SIP を使用するインスタント メッセージングのためのサポート |
フィックスアップ SIP は、Windows Messenger RTC Client バージョン 4.7.0105 を使用する Windows XP のみで、インスタント メッセージング(IM)チャット機能をサポートするようになりました。 |
||
構成可能な SIP UDP インスペクション エンジン |
これは、非セッション情報プロトコル(SIP)パケットが SIP UDP ポートを使用するときに削除されるのではなく、ASA を通過するための CLI 対応ソリューションを提供します。 |
||
MGCP インスペクション エンジン |
この機能には、MGCP プロトコルの NAT と PAT をサポートする MGCP インスペクション エンジンが含まれています。これにより、VoIP プロトコルとして MGCP バージョン 0.1 または 1.0 が組み込まれている分散コール処理環境で、シームレスなセキュリティ統合が確保されます。 ポリシー マップ設定モードの inspect mgcp コマンドと mgcp-map グローバル設定コマンドにより、ユーザーは MGCP インスペクション ポリシーを設定できます。 |
||
RTSP インスペクション エンジン |
この機能は、リアルタイム ストリーミング プロトコル(RTSP)の NAT サポートを導入します。これにより Cisco IP/TV、Apple Quicktime、および RealNetworks RealPlayer などのストリーミング アプリケーションは、NAT 境界をまたいで透過的に作動できます。 |
||
SNMP インスペクション エンジン |
他の新しいインスペクション エンジンと同様に、policy-map 設定モードの inspect snmp コマンドおよび snmp-map グローバル設定コマンドにより、ユーザーは SNMP インスペクション ポリシーを設定できます。 |
||
H.323 および SIP インスペクション エンジンのポート アドレス変換(PAT) |
このリリースでは、ポート アドレス変換(PAT)のサポートを追加することによって、既存の H.323 および SIP インスペクション エンジンのサポートを強化します。H.323 と SIP を使用する PAT のサポートの追加により、顧客は単一のグローバル アドレスを使用してそのネットワーク アドレス空間を展開できます。 |
||
Skinny 用の PAT |
この機能により、Cisco IP Phone は、PAT で設定されている場合に ASA を介して Cisco CallManager と通信できます。これは、ASA の背後の Skinny IP フォンが VPN を介して企業サイトで CallManager と通話するというリモート アクセス環境で特に重要です。 |
||
ILS インスペクション エンジン |
この機能は、ILS および Lightweight Directory Access Protocol(LDAP)の NAT をサポートするために、Internet Locator Service(ILS)のフィックスアップを提供します。また、このフィックスアップの追加により、ASA は Microsoft NetMeeting による H.323 セッションの確立をサポートします。Microsoft NetMeeting、SiteServer、および Active Directory の各製品は、ディレクトリ サービスである ILS を活用して、エンドポイントの登録および場所を提供します。ILS は、LDAP プロトコルをサポートし、LDAPv2 準拠です。 |
||
構成可能な RAS インスペクション エンジン |
この機能には、H.323 RAS(登録、許可、状態)フィックスアップをオフにするオプションが含まれており、設定すると、構成内にこのオプションが表示されます。これにより、顧客は RAS トラフィックがない場合、RAS メッセージを検査したくない場合、または UDP ポート 1718 と 1719 を使用する他のアプリケーションがある場合に、RAS フィックスアップをオフにできます。 |
||
CTIQBE インスペクション エンジン |
TAPI/JTAPI フィックスアップとしても知られているこの機能は、NAT、PAT、および双方向 NAT をサポートする Computer Telephony Interface Quick Buffer Encoding(CTIQBE)プロトコル インスペクション モジュールを組み込んでいます。これにより、Cisco IP SoftPhone や他の Cisco TAPI/JTAPI アプリケーションは、ASA を介したコール セットアップや音声トラフィックのために Cisco CallManager と正常に連携して通信します。 このリリースは inspect ctiqbe 2748 コマンドをサポートします。 |
||
MGCP インスペクション エンジン |
このリリースでは、Media Gateway Control Protocol(MGCP)1.0 のサポートを追加しています。これによりコール エージェントと VoIP メディア ゲートウェイとの間のメッセージは、安全な方法で ASA をパススルーできます。 inspect mgcp コマンドを参照してください。 |
||
TFTP インスペクション エンジンを設定する機能 |
TFTP インスペクション エンジンを設定する機能により、TFTP プロトコルを検査し、TFTP クライアントとサーバ間のファイル転送を許可するように、必要であれば、接続および xlate を動的に作成します。具体的には、フィックスアップは TFTP 読み取り要求(RRQ)、書き込み要求(WRQ)、およびエラー通知(ERROR)を検査します。
|
||
フィルタリング機能 |
|||
URL フィルタリング パフォーマンスにおける改善 |
この機能により、ASA と Websense サーバとの間の通信チャネルの改善によって処理できる同時の URL の数は大幅に増えます。 既存の url-server グローバル設定コマンドは、connections キーワードをサポートして、使用されるプール内の TCP 接続の数を指定するようになりました。 |
||
URL フィルタリングの機能拡張 |
このリリースでは、最大 1159 バイトまでの URL の N2H2 URL フィルタリング サービスをサポートしています。 Websense の場合、長い URL フィルタリングは、4096 バイトの長さまでの URL に対してサポートされています。 さらに、このリリースは Web サーバからの応答が N2H2 または Websense フィルタリング サービス サーバからの応答よりも速い場合に、その応答をバッファに格納する設定オプションを提供します。このコマンドにより、Web サーバの応答を 2 回ロードすることがなくなります。 |
||
IPSec VPN 機能 |
|||
不完全暗号マップの機能強化 |
すべてのスタティック クリプト マップでアクセス リストと IPSec ピアを定義する必要があります。いずれかが欠落している場合、暗号マップは不完全と見なされ、警告メッセージが出力されます。完全暗号マップに一致しないトラフィックはスキップされ、次のエントリが試行されます。フェールオーバー hello パケットは、不完全暗号マップ チェックからは除外されます。 |
||
スポーク間 VPN サポート |
この機能により、暗号化されたトラフィックは同じインターフェイスを出入りできるので、スポーク間(およびクライアント間)VPN 通信のサポートが向上します。さらに、スプリットトンネル リモート アクセス接続は ASA の外部インターフェイスで終端できるようになりました。これによりリモート アクセス ユーザー VPN トンネルからのインターネット宛てトラフィックは、着信と同じインターフェイスから発信できるようになりました(ファイアウォール ルールの適用後)。 same-security-traffic コマンドは、スポーク間 VPN サポートを有効にする intra-interface キーワードを指定して使用すると、トラフィックが同じインターフェイスで出入りすることを許可します。 |
||
VPN 経由の OSPF ダイナミック ルーティング |
OSPF のサポートは、IPSec VPN トンネルを介してネイバーをサポートするように拡張されています。これにより ASA は、他の OSPF ピアへの VPN トンネルを介した動的ルーティング更新をサポートできます。OSPF hello はユニキャストであり、RFC に準拠した方法で、識別されたネイバーにトンネルを経て転送するために暗号化されます。 インターフェイス設定モードの ospf network point-to-point non-broadcast コマンドは、総合的な OSPF 動的ルーティング サービスを拡張して、IPSec VPN トンネル経由でネイバーをサポートし、VPN 接続ネットワークのためのネットワークの信頼性を向上させます。 |
||
リモート管理の機能拡張 |
この機能により管理者は、リモート ASA の内部インターフェイス IP アドレスを使用して、VPN トンネル経由でファイアウォールをリモート管理できます。実際には、管理者は管理アクセスのために、どの ASA インターフェイスでも定義できます。この機能は、動的 IP アドレスを必要とする ASDM、SSH、Telnet、SNMP などをサポートします。この機能は、ブロードバンド環境にとって大きなメリットとなります。 |
||
X.509 証明書サポート |
X.509 証明書のサポートは、ASA で大幅に改善されており、n 層の証明書チェーニング(複数レベルの認証局階層がある環境)のサポート、手動登録(オフライン認証局がある環境)、および 4096 ビット RSA キーのサポートを追加します。バージョン 7.0 には、Cisco IOS ソフトウェアで導入された新しい認証局である、軽量 X.509 認証局のサポートも含まれています。これは PKI 対応のサイト間 VPN 環境のロールアウトを簡素化するために設計されています。 |
||
Easy VPN サーバ |
このリリースは、Cisco Easy VPN サーバをサポートします。Cisco Easy VPN サーバは、既存の VPN ヘッドエンドとシームレスに機能するように設計されています。これにより Cisco VPN クライアントをサポートし、Cisco Easy VPN サーバで VPN 構成を一元化することでクライアントの管理オーバーヘッドを最小限に抑えます。Cisco Easy VPN サーバ製品の例としては、Cisco VPN Client v3.x 以上、Cisco VPN 3002 Hardware Client などがあります。
|
||
Easy VPN サーバのロード バランシング サポート |
ASA 5500 ASA は、クラスタベースのコンセントレータ ロード バランシングに参加できます。これは、最も利用されていないコンセントレータへの自動リダイレクトによる、VPN 3000 シリーズのコンセントレータ ロード バランシングをサポートします。 |
||
バックアップ Easy VPN サーバ情報の動的ダウンロード |
ヘッドエンドで定義されているバックアップ コンセントレータのリストのダウンロードをサポートします。 この機能は次のコマンドをサポートします。vpngroup group_name backup-server {{ip1 [ip2... ip10]} | clear-client-cfg} |
||
Easy VPN インターネット アクセス ポリシー |
ASA は、保護されたネットワーク上のユーザーに対してインターネット アクセス ポリシーに関して Easy VPN リモート デバイスとして使用される ASA の動作を変更します。新しい動作は、Easy VPN サーバでスプリット トンネリングが有効な場合に実行されます。スプリット トンネリングは、ユーザーが VPN トンネルを使用せずに、クリア テキスト セッションで ASA を介して接続してインターネットにアクセスできるようにする機能です。 Easy VPN リモート デバイスとして使用される ASA は、スプリット トンネリング ポリシーをダウンロードし、Easy VPN サーバに初めて接続するときにそれをローカル フラッシュ メモリに保存します。ポリシーがスプリット トンネリングを有効にする場合、ASA で保護されたネットワークに接続しているユーザーは、Easy VPN サーバへの VPN トンネルの状態に関係なくインターネットに接続できます。 |
||
証明書識別名の確認 |
この機能により、サイト間でいずれか VPN ピアとして、またはリモート アクセス展開の Easy VPN サーバとして機能する適応型セキュリティ アプライアンスは、管理者指定条件への証明書の照合を検証できます。 |
||
手動トンネル制御ユーザー認証およびトンネル状態用の Easy VPN Web インターフェイス |
ユーザーレベルの認証と保護されたユニット認証の導入により、ASA は、ASA を介して VPN トンネルまたは非保護ネットワークへのアクセス試行時にユーザーに提供された新しい Web ページを使用して、資格情報の入力、トンネルの接続と切断、および接続のモニタができます。これは Easy VPN サーバ機能にのみ適用されます。 |
||
ユーザーレベル認証 |
ASA の内部ネットワーク上での(IP アドレス ベースの)クライアントの個別認証をサポートします。静的およびワンタイム パスワード(OTP)認証の両方のメカニズムがサポートされます。これは Web ベースのインターフェイスにより実行されます。 この機能は vpn-group-policy コマンドにサポートを追加します。 |
||
セキュア ユニットの認証 |
この機能により、動的に生成された認証資格情報を使用して、Easy VPN リモート(VPN ハードウェア クライアント)デバイスを認証できます。 |
||
柔軟な Easy VPN 管理ソリューション |
外部インターフェイスを使用した ASA の管理には、VPN トンネル経由でのトラフィックのフローは必要ありません。すべての NMS トラフィックをトンネル経由でフローするように要求したり、このポリシーを微調整したりする柔軟性が得られます。 |
||
VPN クライアント セキュリティ ポスチャの適用 |
この機能により、VPN 接続の開始時に、VPN クライアント セキュリティ ポスチャ チェックを実行する機能が導入されました。機能には承認されたホストベースのセキュリティ製品(Cisco Security Agent などの)の適用や、そのバージョン番号、ポリシー、および状態(有効/無効)の検証が含まれます。 IKE トンネルのネゴシエーション時にセキュリティ アプライアンスが VPN クライアントにプッシュするパーソナル ファイアウォール ポリシーを設定するには、グループ ポリシー コンフィギュレーション モードで client-firewall コマンドを使用します。 |
||
VPN クライアントの更新 |
クライアントの更新パラメータを設定および変更するには、tunnel-group ipsec-attributes コンフィギュレーション モードで client update コマンドを使用します。 |
||
オペレーティング システムとタイプ別の VPN クライアント ブロック |
この機能では、クライアントのタイプ、インストールされているオペレーティング システムのバージョン、および VPN クライアント ソフトウェアのバージョンに基づいて接続が許可されている、さまざまなタイプの VPN クライアント(ソフトウェア クライアント、ルータ、VPN 3002、および PIX)を制限する機能を追加します。非準拠のユーザーが接続しようとした場合、それらのユーザーは、非準拠ユーザーからの接続を特別に許可するグループに転送することができます。 ASA を通して IPSec 経由で接続できるリモート アクセス クライアントのタイプとバージョンを制限するルールを設定するには、グループ ポリシー コンフィギュレーション モードで client-access-rule コマンドを使用します。 |
||
Movian VPN クライアント サポート |
この機能は、ハンドヘルド(PocketPC および Palm)ベースの Movian VPN クライアントのサポートを導入し、ネットワークへのアクセスをモバイル従業員とビジネス パートナーに安全に拡張します。 Perfect Forward Secrecy をネゴシエートするための Diffie-Hellman Group 7(ECC)の新しいサポートがバージョン 7.0 に追加されました。このオプションは、MovianVPN クライアントを対象としたものですが、D-H Group 7(ECC)をサポートする他のクライアントでも使用できます。 |
||
VPN NAT 透過機能 |
この機能は、サイト間とリモート アクセス IPSec ベース VPN のサポートを、空港、ホテル、ワイヤレス ホット スポット、およびブロードバンド環境などの、NAT または PAT を実装するネットワーク環境にまで拡張します。バージョン 7.0 ではさらに、Cisco TCP と User Datagram Protocol(UDP)NAT トラバーサル方式のサポートも追加されました。これは NAT/PAT 境界を経由する安全なトラバーサルのための、IETF UDP ラッパー メカニズムの既存サポートの補完方式です。 NAT トラバーサル ポリシーを設定するときの追加のオプションについては、isakmp グローバル設定コマンドを参照してください。 |
||
IKE Syslog サポート |
この機能は、IKE syslog サポートの小規模な拡張機能と、スケーラブルな VPN トラブルシューティングのための限定セットの IKE イベント トレーシング機能を導入します。これらの拡張機能が追加され、新しい syslog メッセージの生成と改善された ISAKMP コマンドの制御が可能になりました。 |
||
Diffie-Hellman(DH)Group 5 のサポート |
このリリースは、Group 5 の識別子が付与されている 1536 ビット MODP Group をサポートします。 |
||
Advanced Encryption Standard(AES) |
この機能は、新しい国際暗号化標準を使用してサイト間およびリモート アクセス VPN 接続を保護するためのサポートを追加します。これはさらにサポートされるすべての ASA モデルに対するソフトウェアベースの AES サポートと、新しい VAC+ カード経由のハードウェア アクセラレーション AES を提供します。 |
||
アドレス プールを使用してネットマスクを割り当てるための新しい機能 |
この機能により、各アドレス プールのサブネット マスクを定義し、その情報をクライアントに渡すことができるようになりました。 |
||
暗号化エンジンの既知解テスト(KAT) |
関数 KAT は、ASA 暗号化エンジンのインスタンスをテストするためのものです。このテストは、ASA の起動時に毎回、フラッシュ メモリから設定を読み取る前に実行されます。KAT は、ASA 上で現行ライセンスの有効な暗号アルゴリズムに対して実行されます。 |
||
カスタム バックアップ コンセントレータ タイムアウト |
この機能は、VPN ヘッドエンドへの ASA の接続試行での設定可能なタイムアウトを設定します。これにより、リストの次のバックアップ コンセントレータへのロールオーバーに関係する遅延を制御します。 この機能は vpngroup コマンドをサポートします。 |
||
WebVPN 機能 |
|||
Web ブラウザ(WebVPN)経由のリモート アクセス |
バージョン 7.0(1) は、単一のルーティング モードで、ASA 5500 シリーズ セキュリティ アプライアンス上の WebVPN をサポートします。WebVPN によってユーザーは、Web ブラウザを使用してセキュリティ アプライアンスへのセキュアなリモート アクセス VPN トンネルを確立できます。ソフトウェアまたはハードウェア クライアントは必要ありません。WebVPN によって、幅広い Web リソースや、Web 対応アプリケーションとレガシー アプリケーションの両方に、HTTPS インターネット サイトに到達できるほとんどのコンピュータから簡単にアクセスできます。WebVPN では、Secure Sockets Layer プロトコルとその後継である Transport Layer Security(SSL/TLS1)を使用して、リモート ユーザーと、セントラル サイトで設定した特定のサポート対象内部リソース間のセキュアな接続が提供されます。セキュリティ アプライアンスはプロキシ処理が必要な接続を認識し、HTTP ユーザーは認証サブシステムと通信してユーザーを認証します。 |
||
CIFS |
WebVPN は、共通インターネット ファイル システムをサポートしています。これによりリモート ユーザーは、セントラル サイトで事前に設定された NT/アクティブ ディレクトリ ファイル サーバおよび共有をブラウズしてアクセスできます。CIFS は TCP/IP 経由で実行され、名前解決に DNS と NetBIOS を使用します。 |
||
ポート転送 |
WebVPN ポート転送(アプリケーション アクセスとも呼ばれる)により、リモート ユーザーは SSL VPN 接続を介して TCP アプリケーションを使用できます。 |
||
|
WebVPN は、IMAP4S、POP3S、SMTPS、MAPI、Web メールなどの電子メールを使用するいくつかの方法をサポートします。
WebVPN により、リモート ユーザーは、SSL 接続を介して IMAP4、POP3、および SMTP 電子メール プロトコルを使用できます。
WebVPN は MAPI をサポートします。これは MS Outlook Exchange ポート転送による電子メールへのリモート アクセスです。MS Outlook Exchange はリモート コンピュータにインストールされている必要があります。
Web 電子メールとは、MS Outlook Web Access for Exchange 2000、Exchange 5.5、および Exchange 2003 のことです。中央サイトに MS Outlook Exchange Server が必要です。 |
||
ルーティング機能 |
|||
IPv6 インスペクション、アクセス コントロール、および管理 |
この機能は、IP バージョン 6(IPv6)インスペクション、アクセス コントロール、および管理のサポートを導入します。完全ステートフル インスペクションは、専用 IPv6 モードとデュアル スタック IPv4/IPv6 モードの両方での Through-the-box IPv6 トラフィック用に提供されています。さらに、ASA を純粋な IPv6 環境に展開して、SSHv2、Telnet、HTTP、および ICMP を含むプロトコルの、IPv6 to-the-box 管理トラフィックをサポートできます。バージョン 7.0 で IPv6 トラフィックをサポートするインスペクション エンジンには、HTTP、FTP、SMTP、UDP、TCP、ICMP が含まれます。 |
||
DHCP オプション 66 および 150 サポート |
この機能は、ASA の内部インターフェイスで DHCP サーバを拡張して、TFTP アドレス情報をサービス提供先の DHCP クライアントに提供します。この実装は、DHCP オプション 66 要求に対しては 1 つの TFTP サーバで、DHCP オプション 150 要求には最大で 2 つのサーバで応答します。 DHCP オプション 66 および 150 は、IP フォン設定の残りの部分をダウンロードするために必要な Cisco CallManager 連絡先情報を提供することによって、Cisco IP Phone と Cisco SoftPhone のリモート展開を簡略化します。 |
||
複数のインターフェイス上の DHCP サーバ サポート |
このリリースでは、希望数の統合 Dynamic Host Configuration Protocol(DHCP)サーバを、任意のインターフェイス上で設定できます。DHCP クライアントは、外部インターフェイス上でのみ設定できます。DHCP リレー エージェントは、任意のインターフェイス上で設定できます。ただし、DHCP サーバと DHCP リレー エージェントは同じ ASA 上に同時に設定できませんが、DHCP クライアントと DHCP リレー エージェントは同時に設定できます。 次のコマンドが変更されました。dhcpd address |
||
マルチキャスト サポート |
PIM スパース モードが追加され、PIM-SM を使用してマルチキャスト ツリーの作成に直接参加できるようになりました。この機能は、IGMP 転送とクラス D アクセス コントロール ポリシーと ACL のために、既存のマルチキャスト サポートを拡張します。PIM-SM は、マルチキャスト環境における透過モード操作の代替を提供します。 pim コマンドと multicast-routing コマンドにより、この機能の show mrib EXEC コマンドに加え、新しい機能のサポートが追加されました。 |
||
インターフェイス機能 |
|||
複数のインターフェイスの一般的なセキュリティ レベル |
この機能は、一般的なセキュリティ レベルを共有する複数のインターフェイスを有効にすることで、セキュリティ レベルのポリシー構造を拡張します。これにより、共通のセキュリティ ポリシー(たとえば同じ DMZ に接続されている 2 つのポート、または 1 ネットワーク内での複数のゾーン/部門など)を持つインターフェイスを許可して、共通のセキュリティ レベルを共有することで、簡略化されたポリシーの展開が可能になります。同じセキュリティ レベルのインターフェイス間の通信は、各インターフェイスの ACL によって制御されます。 同じセキュリティ レベルで設定されているインターフェイス間でトラフィックを有効にするには、same-security-traffic コマンドと inter-interface キーワードを参照してください。 |
||
show interface コマンド |
show interface コマンドには表示バッファ カウンタがあります。 |
||
専用アウトオブバンド管理インターフェイス |
management-only 設定コマンドは、インターフェイス設定モードで導入され、デバイスへの専用アウトオブバンド管理アクセスを有効にします。 |
||
GE ハードウェア速度設定への変更 |
ギガビット イーサネット カードは、TBI または GMII モードのハードウェアによって構成できます。TBI モードは、半二重をサポートしません。GMII モードは、半二重と全二重の両方をサポートします。ASA で使用されるすべての i8255x コントローラは TBI 用に構成されており、半二重モードをサポートできないので、半二重設定は削除されます。 |
||
VLAN ベースの仮想インターフェイス |
802.1Q VLAN サポートでは、ASA の柔軟な管理とプロビジョニングが可能です。この機能により、物理インターフェイスから IP インターフェイスを分離できます(これにより取り付けられているインターフェイス カードの数には関係なく論理 IP インターフェイスを構成することが可能になります)。さらに、IEEE 802.1Q タグを適切に処理できます。 次のコマンドが導入されました。vlan |
||
NAT の機能 |
|||
オプションのアドレス変換サービス |
この機能では、ネットワーク トラフィックのフローを許可する前に、実施されているアドレス変換ポリシーの以前の要件を除去することによって、ASA の展開を簡素化します。今では、アドレス変換を必要とするホストとネットワークのみが、構成されたアドレス翻訳ポリシーを持つ必要があります。この機能は、新しい設定オプションである「nat-control」を導入しています。これにより、NAT を増分的に有効にできます。 バージョン 7.0 では、nat-control コマンドを導入しており、ソフトウェアの以前のバージョンからアップグレードする顧客の現在の行動が維持されます。設定が消去されている新しいセキュリティ アプライアンスまたはデバイスの場合、トラフィックがセキュリティ アプライアンスを通過するには、デフォルトは NAT ポリシーを必要としません。 |
||
ハイ アベイラビリティ機能 |
|||
非対称ルーティング サポートを使用したアクティブ/アクティブのフェールオーバー |
この機能は、受賞歴がある ASA の高可用性アーキテクチャに基づいて構築されており、アクティブ/アクティブ フェールオーバーのサポートを導入します。これにより、2 つのライセンス供与された UR または 1 つの UR と 1 つの FO-AA のライセンス供与された ASA がフェールオーバー ペアとして動作することができ、両方は非対称ルーティング サポートで同時にアクティブにトラフィックを渡します。アクティブ/アクティブ フェールオーバー機能は、このソフトウェア リリースのセキュリティ コンテキスト機能を活用します。そこではフェールオーバー ペアの各 ASA が 1 つのコンテキストに対してアクティブになり、残りに対しては逆対称ペアとしてスタンバイになります。バージョン 7.0 で取り組んでいる別の主要な顧客課題は、非対称ルーティング サポートです。これにより顧客は、拡張ルーティング トポロジで有効になります。そこではパケットが 1 つの ISP から入り、別の ISP から出て、それらの環境を保護するために ASA を展開します(バージョン 7.0 で導入された非対称ルーティング サポートを活用します)。 アクティブ/アクティブ機能をサポートするために、failover active コマンドは group キーワードで拡張されており、このソフトウェア リリースはフェールオーバー グループ設定モードを導入します。さらに、インターフェイス設定モードの asr-group コマンドは、非対称ルーティングでアクティブ/アクティブ ソリューションを環境に拡張します。 |
||
VPN ステートフル フェールオーバー |
この機能は、VPN 接続用のステートフル フェールオーバーを導入しており、受賞歴のあるファイアウォール フェールオーバー サービスを補完します。すべてセキュリティ アソシエーション(SA)の状態情報と鍵関連情報は、高度な復元力がある VPN ソリューションを提供する、フェールオーバー ペア メンバー間で自動的に同期されます。 デバイスが単一ルーティング モードで動作する場合、VPN ステートフル フェールオーバーは暗黙で有効になります。VPN ステートフル フェールオーバー操作および統計の詳細ビューを含む show failover EXEC コマンドに加え、show isakmp sa、show ipsec sa、および show vpnd-sessiondb コマンドには、アクティブとスタンバイの両方のユニットにおけるトンネルに関する情報があります。 |
||
フェールオーバーの機能拡張 |
この機能はフェールオーバー機能を拡張するので、ASA フェールオーバー ペアのスタンバイ ユニットは、仮想 MAC アドレスを使用するように構成できます。これはフェールオーバー ペアの両方の ASA で同時に障害が発生して、スタンバイ ユニットのみが操作可能であるというあまり起きることがない状況で、ASA フェールオーバー ペアに接続されたデバイスでの潜在的な「古い」ARP エントリの問題を排除します。 |
||
show failover コマンド |
この新しい機能は、フェールオーバーの最後のオカレンスを表示する show failover コマンドを強化します。 |
||
HTTP のフェールオーバー サポート |
この機能は failover replicate http および show failover コマンドをサポートし、ステートフル フェールオーバー環境での HTTP セッションのステートフル複製ができます。 HTTP レプリケーションを有効にすると、show failover コマンドは failover replicate http コマンドを表示します。 |
||
ゼロダウンタイム ソフトウェア アップグレード |
この機能により、ネットワーク アップタイムやユニット間の接続に影響を与えずに、顧客はフェールオーバー ペアのソフトウェアのアップグレードを実行できます。バージョン 7.0 は、ASA フェールオーバーのペア間でのバージョン間状態共有機能を導入しています。これにより顧客は、(アクティブ/スタンバイ フェールオーバー環境、またはペアがオーバーサブスクライブされていないアクティブ/アクティブ環境(各ペア メンバーの負荷が 50% 超)の)ペアをフローするトラフィックに影響を与えることなく、メンテナンス リリースへのソフトウェア アップグレードを実行できます(バージョン 7.0(1) を 7.0(2) にアップグレードするなど)。 |
||
一般的な高可用性における機能強化 |
この機能には、フェールオーバー操作と、フェールオーバー操作におけるより高速なフェールオーバーの遷移、スケーラビリティの向上、および一層の堅牢性を提供する構成に対する、多くの重要な拡張機能が含まれています。 このリリースでは次の新しいコマンドが導入されました。failover interface-policy、failover polltime、および failover reload-standby |
||
トラブルシューティングとモニタリングの機能 |
|||
SNMP サポートの向上 |
この機能は、SNMPv2c のサポートを追加します。これは、64 ビット カウンタ(ギガビット イーサネット インターフェイス上のパケット カウンタに役立つ)や、MIB データの一括転送のサポートなどの新しいサービスを提供します。さらに、バージョン 7.0 には SNMPv2 MIB(RFC 1907)、IF-MIB(RFC 1573 と 2233)、および Cisco IPSec フロー モニタリング MIB が含まれており、トンネル稼働時間、転送済みバイト/パケットなどの VPN フロー統計への完全な可視性を付与します。 |
||
SNMP を使用した CPU 使用率モニタリング |
この機能は、SNMP による ASA CPU 使用率のモニタリングをサポートします。CPU 使用率情報は、show cpu [usage] コマンドによって ASA 上で引き続き直接入手できますが、SNMP は他のネットワーク管理ソフトウェアとの統合を提供します。 |
||
SNMP の機能拡張 |
ASA プラットフォーム固有のオブジェクト ID のサポートが、SNMP mib-2.system.sysObjectID 変数に追加されています。これにより ASA に対する CiscoView サポートが有効になります。 |
||
フラッシュ メモリのスタック トレース |
この機能により、スタック トレースを非揮発性フラッシュ メモリに格納して、デバッグ/トラブルシューティング目的で後から取得できるようにします。 |
||
ICMP Ping サービス |
この機能は、IPv6 アドレスのサポートを含む、ping(ICMP エコー)サービスへのいくつかの追加機能を導入します。ping コマンドも拡張オプションをサポートしており、それにはデータ パターン、DF ビット、リピート数、データグラム サイズ、間隔、冗長出力、サイズのスイープ範囲などがあります。 既存の ping EXEC コマンドは、さまざまなキーワードとパラメータで拡張されており、ネットワーク接続問題のトラブルシューティングに役立ちます。これはさらに対話型モードの操作のサポートを提供します。 |
||
システム正常性のモニタリングおよび診断サービス |
この機能は、システム操作のモニタリングを向上させ、潜在的なネットワークおよび ASA の問題を分離できます。show resource および show counters コマンドは、アプライアンスおよびセキュリティのコンテキストのリソース使用率に関する詳細情報と、詳細統計情報を提供します。CPU 使用率をモニタするために、新しい show cpu EXEC コマンドと、show process cpu-hog EXEC コマンドを使用できます。潜在的なソフトウェアの欠陥を分離するために、ソフトウェアは checkheaps コマンドと、関連する show EXEC コマンドを導入しています。最後に、ブロック(パケット)利用についてのより良い理解を得るために、show blocks EXEC コマンドは、システムのブロック キューイングと利用に関する広範な分析ツールを提供します。 |
||
デバッグ サービス |
debug コマンドが改善され、それぞれのデバッグをサポートする多くの新機能が取り込まれました。さらに、デバッグ出力が制限なくすべての仮想端末でサポートされるようになりました。つまり、特定の機能のデバッグ出力を有効にすると、出力を制限なく表示できます。明らかなこととして、出力はそれが有効とされていたセッションに制限されます。最後に、セキュリティ ポリシーによって許可されておりユーザーが実行したい場合には、logging コマンドを利用してデバッグ出力を syslog を介して送信することができます。 |
||
SSL デバッグのサポート |
Secure Sockets Layer(SSL)プロトコルのサポートは、debug コマンドに追加されます。SSL は、クライアントと ASDM および ASA などのサーバとの間の認証と暗号化通信用のプロトコルです。 |
||
Packet Capture |
このリリースでは、パケット キャプチャをサポートしています。ASA パケット キャプチャは、ASA によって受け入れられたまたはブロックされたすべてのトラフィックをスニッフィングしたり「見たり」する機能を提供します。パケット情報をキャプチャしたら、コンソール上でそれを表示して、TFTP サーバを使用してネットワークを介してファイルに転送するか、またはセキュア HTTP を使用して Web ブラウザを介してアクセスすることを選択できます。ただし ASA は、同じネットワーク セグメント上でそれ自体に関係のないトラフィックをキャプチャせず、このパケット キャプチャ機能には、ファイル システム、DNS 名前解決、または無作為検出モードのサポートは含まれません。 ユーザーは capture コマンドを指定して、循環バッファでパケット キャプチャを格納できるようになりました。このキャプチャは、管理者によって停止されるまでパケットをバッファに書き込み続けます。 ASA は、ISAKMP トラフィックのキャプチャと新しい加速セキュリティ パス(ASP)によってドロップされたパケットのキャプチャを行う機能をサポートすることで、デバイスの操作を診断するユーザーの能力を向上させる追加サポートを導入します。 既存の capture コマンドは新しい type キーワードとパラメータによって拡張され、ISAKMP、パケット ドロップ、および指定された理由ストリングに一致するパケット ドロップをキャプチャします。 |
||
show tech コマンド |
この機能は、追加の診断情報を含めるために、現在の show tech コマンドの出力を拡張します。 |
||
管理機能 |
|||
フラッシュ メモリでの複数の設定の保存 |
このリリースは、管理者がセキュリティ アプライアンスの複数の設定を格納できる、新しいフラッシュ ファイル システムを ASA 上に導入しています。これは、設定ミスが発生した場合に設定のロールバックを実行できます。この新しいファイル システム上のファイルを管理するためのコマンドが導入されています。
boot config グローバル設定コマンドでは、起動時に使用すべき設定ファイルを指定できます。 |
||
Secure Asset Recovery |
この機能により、service password recovery コマンドが ASA 設定にない場合には、設定データ、証明書、および鍵関連情報を復元できないようにできます(顧客は引き続きアセットを復元できます)。物理的なセキュリティが理想的ではない場合に、悪意ある人物が個人の機密性の高い設定データにアクセスすることを防ぐためには、この機能が役に立ちます。 |
||
スケジュールされたシステムのリロード(再起動) |
管理者は、特定の時刻または現在時刻からのオフセットのいずれかで、ASA のリロードをスケジュールできるようになりました。これにより、ネットワークのダウンタイムをスケジュールして、近づいている再起動についてリモート アクセス VPN ユーザーに通知することがさらに簡単になりました。 |
||
コマンドライン インターフェイス(CLI)の利便性 |
この機能は、改善された使いやすさと共通のユーザー エクスペリエンスのために、コマンド補完、オンライン ヘルプ、エイリアスなど、多くの人気のある Cisco IOS ソフトウェア コマンドライン サービスを組み込むことによって、CLI「ユーザ エクスペリエンス」を向上させます。 |
||
コマンドライン インターフェイス(CLI)アクティベーション キー管理 |
この機能により、システム モニタ モードを使用したり、新しいイメージの TFTP を実行したりせずに、ASA コマンドライン インターフェイス(CLI)から新しいアクティベーション キーを入力できます。さらに、ASA CLI は、show version コマンドを入力すると、現在実行されているアクティベーション キーを表示します。 |
||
show version コマンド |
show version コマンド出力には、Max Physical interfaces と Max interfaces の 2 つのインターフェイス関連行が備えられました。最大インターフェイス数は、物理および仮想インターフェイス数の合計です。 |
||
AAA 機能 |
|||
AAA 統合 |
簡易化された VPN ユーザーの認証のための、Kerberos、NT Domain、および RSA SecurID を含む認証サービスとの(別の RADIUS/TACACS+ サーバを必要としない)、バージョン 7.0(1) のネイティブな統合。このリリースでは、ASA への管理アクセスのトラッキングと、管理セッション中に行われた構成変更すべてをトラッキングするための、TACACS+AAA アカウンティング レコードを生成する機能も導入されました。 |
||
管理アクセスのための AAA フォールバック |
この機能により、認証および承認要求を ASA 上のローカル ユーザー データベースにフォールバックすることができます。要件と設計は、Cisco IOS ソフトウェアのような、ASA の「メソッド リスト」サポートとの将来の互換性に寄与し、ローカル フォールバック メソッドの追加を提供します。 |
||
AAA 統合機能拡張 |
この機能により、簡易化されたユーザーと管理者の認証のための、Kerberos、LDAP、および RSA SecurID を含む認証サービスとの(別の RADIUS/TACACS+ サーバを必要としない)ネイティブな統合が導入されます。この機能では、ASA への管理アクセスのトラッキングと、管理セッション中に行われた構成変更すべてをトラッキングするための、TACACS+AAA アカウンティング レコードを生成する機能も導入されました。 |
||
Secure HyperText Transfer Protocol(HTTPS)認証プロキシ |
この機能は、HTTP セッションを安全に認証する ASA の機能を拡張し、HTTPS 認証プロキシのサポートを追加します。HTTP セッションの認証を安全に設定するには、aaa authentication secure-http-client コマンドを使用します。HTTPS セッションのセキュア認証を設定するには、aaa authentication include https または aaa authentication include tcp/0 コマンドを使用します。 このリリースでは、aaa authentication include tcp/0 コマンドを含む構成は、HTTPS 認証プロキシ機能を継承します。これはデフォルトではバージョン 6.3 以降のコード アップグレードにより有効になります。 |
||
ダウンロード可能アクセス コントロール リスト(ACL) |
この機能は、Access Control Server(ACS)から ASA への ACL のダウンロードをサポートします。これにより AAA サーバ上でユーザごとのアクセス リストを構成して、ユーザーごとのアクセス リスト認証を提供し、それを ACS から ASA にダウンロードできるようにします。 この機能は、RADIUS サーバでのみサポートされ、TACACS+ サーバではサポートされません。 |
||
AAA 認証のための新しい Syslog メッセージング |
この機能は、サービス ポートを使用する前に、ユーザーに認証を促す新しい AAA syslog メッセージを導入します。 |
||
per-user-override |
この機能により、ユーザーは新しいキーワード per-user-override を access-group コマンドに指定できます。このキーワードを指定すると、ユーザーに関連付けられた、ユーザーごとのアクセスリスト(AAA 認証でダウンロードされた)の許可/拒否状態で、access-group アクセスリストの許可/拒否状態を上書きできます。 |
||
ネットワークおよび VPN アクセス用のローカル ユーザー認証データベース |
この機能により、ASA ローカル ユーザー名データベースを使用して、トラフィックに対してカットスルーおよび VPN(xauth を使用する)を実行できます(外部 AAA サーバによる既存の認証に追加する代替として)。 サーバ タグ変数は、値 LOCAL を受け入れて、ローカル データベースを使用してカットスルー プロキシ認証をサポートするようになりました。 |
||
ASDM 機能 |
|||
動的ダッシュボード(ASDM ホーム ページ) |
|
||
Real-time Log Viewer |
|
||
改善された Java Web ベース アーキテクチャ |
|
||
ダウンロード可能 ASDM ランチャ(Microsoft Windows 2000 または XP オペレーティング システムのみ) |
|
||
複数の言語のオペレーティング システム サポート |
英語と日本語の両方のバージョンの Microsoft Windows オペレーティング システムをサポートします。 |