アップグレードがスケジュールされたタスクを延期する

アップグレードの影響。

アップグレードは、スケジュールされたタスクを延期するようになりました。アップグレード中に開始するようにスケジュールされたタスクは、アップグレード後の再起動の 5 分後に開始されます。

この機能は、バージョン 6.6.3 以降を実行している Firepower アプライアンスでサポートされています。バージョン 6.4.0.10 以降のパッチからアップグレードする場合を除き、バージョン 6.6.3 へのアップグレードはサポートされません。

アプライアンス設定のリソース使用率の正常性モジュール

バージョン 6.7.0 のアップグレードの影響。

バージョン 6.6.3 では、デバイスのメモリ管理が改善され、新しい正常性モジュールであるアプライアンス設定のリソース使用率が導入されています。

モジュールは、展開された設定のサイズに基づき、デバイスのメモリが不足するリスクがある場合にアラートを出します。アラートには、設定に必要なメモリ量と、使用可能なメモリ量を超過した量が示されます。アラートが出た場合は、設定を再評価してください。ほとんどの場合、アクセス制御ルールまたは侵入ポリシーの数または複雑さを軽減できます。詳細については、コンフィギュレーション ガイドの「アクセス制御のベストプラクティス」を参照してください。

アップグレードプロセスにより、すべての正常性ポリシーにこのモジュールが自動的に追加され、有効になります。アップグレード後、正常性ポリシーを管理対象デバイスに適用して、モニタリングを開始します。

プラットフォーム機能

クラウドベースの FTDv 展開の自動スケール

バージョン 6.6.0 では、AWS 自動スケール/Azure 自動スケールのサポートが導入されています。

クラウドベースの展開におけるサーバーレス インフラストラクチャでは、キャパシティのニーズに基づいて、自動スケールグループ内の FTDv インスタンスの数が自動的に調整されます。これには、管理側の FMC との自動登録/登録解除が含まれています。

サポートされているプラットフォーム：FTDv for AWS、FTDv for Azure

Firepower Threat Defense：デバイス管理

DHCP を使用した初期管理インターフェイスの IP アドレスの取得

Firepower 1000/2000 シリーズと ASA-5500-X シリーズのデバイスの場合、管理インターフェイスはデフォルトで DHCP から IP アドレスを取得するようになりました。この変更により、既存のネットワーク上に新しいデバイスを簡単に展開できるようになりました。

この機能は、論理デバイスを展開するときに IP アドレスを設定する Firepower 4100/9300 シャーシではサポートされていません。また、FTDv や ISA 3000 でもサポートされていません。これらについては、引き続きデフォルトで 192.168.45.45 になります。

サポートされているプラットフォーム：Firepower 1000/2000 シリーズ、ASA-5500-X シリーズ

CLI での MTU 値の設定

FTD CLI を使用して、FTD デバイスインターフェイスの MTU（最大伝送単位）値を設定できるようになりました。デフォルト値は 1500 バイトです。MTU の最大値は次のとおりです。

• 管理インターフェイス：1500 バイト

• イベントインターフェイス：9000 バイト

新しい FTD CLI コマンド： configure network mtu

変更された FTD CLI コマンド：mtu-event-channel キーワードと mtu-management-channel キーワードが configure network management-interface コマンドに追加されました。

サポートされるプラットフォーム：FTD

内部 Web サーバーからのアップグレードパッケージの取得

FTD デバイスは、FMC からではなく、独自の内部 Web サーバーからアップグレードパッケージを取得できるようになりました。これは、FMC とそのデバイスの間の帯域幅が制限されている場合に特に役立ちます。また、FMC 上の領域も節約できます。

新規/変更されたページ：[システム（System）] > [更新（Updates）] > [更新のアップロード（Upload Update）] ボタン > [ソフトウェア更新ソースの指定（Specify Software Update Source）] オプション

サポートされるプラットフォーム：FTD

接続ベースのトラブルシューティングの機能拡張

FTD CLI 接続ベースのトラブルシューティングに次の機能拡張が加えられました（デバッギング）。

• debug packet-module trace ：モジュールレベルのパケットトレースを有効にするために追加されました。

• debug packet-condition ：進行中の接続のトラブルシューティングをサポートするように変更されました。

サポートされるプラットフォーム：FTD

Firepower Threat Defense：クラスタリング

マルチインスタンスクラスタ

コンテナインスタンスを使用してクラスタを作成できるようになりました。Firepower 9300 では、クラスタ内の各モジュールに 1 つのコンテナインスタンスを含める必要があります。セキュリティエンジン/モジュールごとに複数のコンテナインスタンスをクラスタに追加することはできません。

クラスタインスタンスごとに同じセキュリティモジュールまたはシャーシモデルを使用することを推奨します。ただし、必要に応じて、同じクラスタ内に異なる Firepower 9300 セキュリティ モジュール タイプまたは Firepower 4100 モデルのコンテナインスタンスを混在させ、一致させることができます。同じクラスタ内で Firepower 9300 と 4100 のインスタンスを混在させることはできません。

新しい FXOS CLI コマンド： set port-type cluster

新規/変更された Chassis Manager ページ：

• [論理デバイス（Logical Devices）] > [クラスタの追加（Add Cluster）]

• [インターフェイス（Interfaces）] > [すべてのインターフェイス（All Interfaces）] > [新規追加（Add New）] ドロップダウンメニュー > [サブインターフェイス（Subinterface）] > [タイプ（Type）] フィールド

サポートされるプラットフォーム：Firepower 4100/9300

FTD クラスタでのデータユニットへのパラレル設定同期

FTD クラスタの制御ユニットは、デフォルトでスレーブユニットとの設定変更を同時に同期させるようになりました。以前は、同期が順番に行われていました。

サポートされるプラットフォーム：Firepower 4100/9300

クラスタへの参加の失敗または削除のメッセージを次のコマンドに追加。 show cluster history

クラスタユニットがクラスタへの参加に失敗するか、クラスタを離脱する場合のために、新しいメッセージが show cluster history コマンドに追加されました。

サポートされるプラットフォーム：Firepower 4100/9300

Firepower Threat Defense：ルーティング

仮想ルータと VRF-Lite

複数の仮想ルータを作成して、インターフェイスグループの個別のルーティングテーブルを管理できるようになりました。各仮想ルータには独自のルーティングテーブルがあるため、デバイスを流れるトラフィックを明確に分離できます。

仮想ルータは、Virtual Routing and Forwarding の「Light」バージョンである VRF-Lite を実装しますが、この VRF-Lite は Multiprotocol Extensions for BGP（MBGP）をサポートしていません。

作成できる仮想ルータの最大数は 5 ~ 100 の範囲で、デバイスのモデルによって異なります。完全なリストについては、『Firepower Management Center Configuration Guide』の「 Virtual Routing for Firepower Threat Defense」の章を参照してください。

新規/変更されたページ：[デバイス（Devices）] > [デバイス管理（Device Management）] > [デバイスの編集（edit device）] > [ルーティング（Routing）] タブ

新しい FTD CLI コマンド：show vrf 。

変更された FTD CLI コマンド： [ vrf name | all] キーワードセットを CLI コマンド clear ospf 、clear route 、ping 、show asp table routing 、show bgp 、show ipv6 route 、show ospf 、show route 、show snort counters に追加し、必要に応じて出力が仮想ルータ情報を表示するように変更しました。

サポートされるプラットフォーム：FTD（Firepower 1010 および ISA 3000 を除く）

Firepower Threat Defense：VPN

リモートアクセス VPN 内の DTLS 1.2

Datagram Transport Layer Security（DTLS）1.2 を使用して、RA VPN 接続を暗号化できるようになりました。

FTD プラットフォーム設定を使用して、FTD デバイスが RA VPN サーバーとして動作するときに使用する最小 TLS プロトコルバージョンを指定します。また、DTLS 1.2 を指定する場合は、最小 TLS バージョンとして TLS 1.2 を選択する必要もあります。

Cisco AnyConnect セキュア モビリティ クライアント バージョン 4.7 以降が必要です。

新規/変更されたページ：[デバイス（Devices）] > [プラットフォーム設定（Platform Settings）] > [Threat Defense ポリシーの追加/編集（Add/Edit Threat Defense Policy）] > [SSL] > [DTLS バージョン（DTLS Version）] オプション

サポートされるプラットフォーム：FTD（ASA 5508-X および ASA 5516-X を除く）

複数のピアに対するサイト間 VPN IKEv2 のサポート

IKEv1 と IKEv2 のポイントツーポイント エクストラネットおよびハブアンドスポークトポロジのために、サイト間 VPN 接続にバックアップピアを追加できるようになりました。これまで設定できたのは、IKEv1 ポイントツーポイント トポロジのバックアップピアのみでした。

新規/変更されたページ：[デバイス（Devices）] > [VPN] > [サイト間（Site To Site）] > [ポイントツーポイントまたはハブアンドスポーク FTD VPN トポロジの追加または編集（Add or Edit a Point to Point or Hub and Spoke FTD VPN Topology）] > [エンドポイントの追加（Add Endpoint）] > [IP アドレス（IP Address）] フィールドで、カンマ区切りのバックアップピアがサポートされるようになりました。

サポートされるプラットフォーム：FTD

セキュリティ ポリシー

セキュリティポリシーの使いやすさの向上

バージョン 6.6.0 を使用すると、アクセス制御ルールとプレフィルタルールが簡単に使用できるようになります。次の作業に進んでください。

• 1 回の操作（状態、アクション、ロギング、侵入ポリシーなど）で、複数のアクセス制御ルールの特定の属性を編集します。

  アクセス コントロール ポリシー エディタで、関連するルールを選択し、右クリックして [編集（Edit）] を選択します。

• 複数のパラメータによってアクセス制御ルールを検索します。

  アクセス コントロール ポリシー エディタで、[ルールの検索（Search Rules）] テキストボックスをクリックしてオプションを表示します。

• アクセス制御ルールまたはプレフィルタルール内のオブジェクトの詳細と使用状況を表示します。

  アクセス コントロール ポリシー エディタまたはプレフィルタ ポリシー エディタで、ルールを右クリックし、[オブジェクトの詳細（Object Details）] を選択します。

サポートされるプラットフォーム：FMC

アクセス コントロール ポリシーのオブジェクトグループ検索

動作中、FTD デバイスは、アクセスルールで使用されるネットワークオブジェクトの内容に基づいて、アクセス制御ルールを複数のアクセスコントロールリストのエントリに展開します。オブジェクトグループ検索を有効にすることで、アクセス制御ルールの検索に必要なメモリを抑えることができます。

オブジェクトグループ検索を有効にした場合、システムによってネットワークオブジェクトは拡張されませんが、オブジェクトグループの定義に基づいて一致するアクセスルールが検索されます。

オブジェクトグループ検索は、ルールがどのように定義されているかや、FMC にどのように表示されるかには影響しません。アクセス制御ルールと接続を照合するときに、デバイスがアクセス制御ルールを解釈して処理する方法のみに影響します。オブジェクトグループ検索はデフォルトで無効になっています。

新規/変更されたページ：[デバイス（Devices）] > [デバイス管理（Device Management）] > [デバイスの編集（Edit Device）] > [デバイス（Device）] タブ > [詳細設定（Advanced Settings）] > [オブジェクトグループ検索（Object Group Search）] オプション

サポートされるプラットフォーム：FTD

アクセス コントロール ポリシーとプレフィルタポリシーの時間ベースのルール

適用するルールの絶対時間または反復時間、あるいは時間範囲を指定できるようになりました。このルールは、トラフィックを処理するデバイスのタイムゾーンに基づいて適用されます。

新規/変更されたページ：

• アクセス コントロール ルール エディタまたはプレフィルタルールエディタ

• [デバイス（Devices）] > [プラットフォーム設定（Platform Settings）] > [Threat Defenseポリシーの追加/編集（Add/Edit Threat Defense Policy）] > [タイムゾーン（Time Zone ）]

• [オブジェクト（Objects）]> [オブジェクト管理（Object Management）] > [時間範囲（Time Range）] と [タイムゾーン（Time Zone）]

サポートされるプラットフォーム：FTD

出力最適化の再有効化

アップグレードの影響。

バージョン 6.6.0 では CSCvs86257 が修正されました。出力最適化が次のような状態だった場合があります。

• 有効になっていたがオフになり、アップグレードするとオンに戻る（機能が有効になっていた場合でも、バージョン 6.4.0 と 6.5.0 の一部のパッチでは出力最適化をオフにしていました）。

• 手動で無効にした場合は、アップグレード後に asp inspect-dp egress-optimization を使用して再度有効にすることをお勧めします。

サポートされるプラットフォーム：FTD

イベントロギングおよび分析

新しいデータストアによるパフォーマンスが向上

アップグレードの影響。

パフォーマンスを向上させるために、バージョン 6.6.0 では、接続およびセキュリティ インテリジェンス イベントに新しいデータストアを使用します。

アップグレードが完了し、FMC がリブートすると、履歴接続イベントとセキュリティ インテリジェンス イベントがバックグラウンドで移行され、リソースが制限されます。FMC モデル、システム負荷、および保存したイベント数に応じて、数時間から最大で 1 日かかることがあります。

履歴イベントは、経過時間ごとに、最新のイベントが最初に以降されます。移行されていないイベントは、クエリ結果やダッシュボードに表示されません。移行が完了する前に接続イベントデータベースの制限に達した場合（アップグレード後のイベントの場合など）、最も古い履歴イベントは移行されません。

イベントの移行の進行状況は、メッセージセンターでモニターできます。

サポートされるプラットフォーム：FMC

URL の接続イベントとセキュリティ インテリジェンス イベントを検索する場合のワイルドカードのサポート

example.com のパターンを持つ URL の接続イベントとセキュリティ インテリジェンス イベントを検索する場合は、ワイルドカードを含めなければならなくなりました。このような検索の場合、具体的には *example.com* を使用します。

サポートされるプラットフォーム：FMC

FTD デバイスを使用した最大 30 万の同時ユーザーセッションのモニタリング

バージョン 6.6.0 では、FTD デバイスモデルの一部で、同時ユーザーセッション（ログイン）のモニタリングが新たにサポートされるようになります。

• 30 万セッション：Firepower 4140、4145、4150、9300

• 15 万セッション：Firepower 2140、4112、4115、4120、4125

他のすべてのデバイスは、2,000 に制限されている ASA FirePOWER を除き、以前の 64,000 の制限を引き続きサポートします。

新しい正常性モジュールでは、ユーザー ID 機能のメモリ使用率が設定可能なしきい値に達したときに、アラートを発行します。また、時間の経過に伴うメモリ使用率のグラフも表示できます。

新規/変更されたページ：

• [システム（System）] > [正常性（Health）] > [ポリシー（Policy）] > [正常性ポリシーを追加または編集（Add or Edit Health Policy）] > [Snort アイデンティティメモリ使用率（Snort Identity Memory Usage）]

• [システム（System）] > [正常性（Health）] > [モニター（Monitor）] > デバイスの選択 > [Snort アイデンティティメモリ使用率（Snort Identity Memory Usage）] モジュールの [グラフ（Graph）] オプション

サポートされるプラットフォーム：上記の FTD デバイス

IBM QRadar との統合

IBM QRadar 向けの新しい Cisco Firepower アプリケーションをイベントデータを表示するための代替手段として使用して、ネットワークへの脅威を分析、ハント、および調査をすることができます。eStreamer が必要です。

詳細については、Integration Guide for the Cisco Firepower App for IBM QRadarを参照してください。

サポートされるプラットフォーム：FMC

管理とトラブルシューティング

設定変更を展開するための新しいオプション

FMC メニューバーの [展開（Deploy）] ボタンが次の機能を追加するオプションが備わったメニューになりました。

• [ステータス（Status）]：デバイスごとに、変更を展開する必要があるかどうか、展開前に解決する必要がある警告またはエラーがあるかどうか、最後の展開が処理中、失敗、正常に完了のうちのどの状態かが表示されます。

• [プレビュー（Preview）]：デバイスに対して最後に展開してから行った、適用可能なすべてのポリシーとオブジェクトの変更が表示されます。

• [展開の選択（Selective Deploy）]：管理対象デバイスに対して展開するポリシーと設定から選択します。

• [展開時間の見積もり（Deploy Time Estimate）]：特定のデバイスに対して展開するためにかかる時間の見積もりが表示されます。すべての展開のみでなく、特定のポリシーや設定の見積もりを表示することができます。

• [履歴（History）]： 以前の展開の詳細が表示されます。

新規/変更されたページ：

• [展開（Deploy）] > [展開（Deployment）]

• [展開（Deploy）] > [展開履歴（Deployment History）]

サポートされるプラットフォーム：FMC

初期設定による VDB の更新と、SRU の更新のスケジュール設定

新規および再イメージ化された FMC では、セットアッププロセスは次のようになりました。

• 最新の脆弱性データベース（VDB）の更新をダウンロードしてインストールします。

• 毎日の侵入ルール（SRU）のダウンロードを有効にします。これらのダウンロード後は、セットアッププロセスで自動展開が有効にならないことに注意してください。ただし、この設定は変更できます。

アップグレードされた FMC は影響を受けません。

新規/変更されたページ：

• [システム（System）] > [更新（Updates）] > [製品の更新（VDB の更新）（Product Updates (VDB updates)）]

• [システム（System）] > [更新（Updates）] > [ルールの更新（SRU の更新）（Rule Updates (SRU updates)）]

サポートされるプラットフォーム：FMC

FMC を復元するための VDB の一致は不要

バックアップからの FMC の復元に交換用 FMC 上に同じ VDB を使用する必要はなくなりました。ただし、復元すると、既存の VDB がバックアップファイル内の VDB に置き換えられます。

サポートされるプラットフォーム：FMC

サブジェクト代替名（SAN）を使用した HTTPS 証明書

SAN を使用して複数のドメイン名または IP アドレスを保護する HTTPS サーバー証明書を要求できるようになりました。SAN の詳細については、RFC 5280、セクション 4.2.1.6 を参照してください。

新規/変更されたページ：[システム（System）] > [設定（Configuration）] > [HTTPS 証明書（HTTPS Certificate）] > [新しい CSR の生成（Generate New CSR）] > [サブジェクト代替名（Subject Alternative Name）] フィールド

サポートされるプラットフォーム：FMC

FMC ユーザーアカウントに関連付けられている実名

FMC ユーザーアカウントを作成または変更するときに、実名を指定できるようになりました。これには、個人名、部署名、またはその他の識別属性を指定できます。

新規/変更されたページ：[システム（System）] > [ユーザー（Users）] > [ユーザー（Users）] > [実名（Real Name）] フィールド

サポートされるプラットフォーム：FMC

追加の FTD プラットフォームでの Cisco Support Diagnostics

アップグレードの影響。

Cisco Support Diagnostics は、すべての FMC および FTD デバイスで完全にサポートされるようになりました。以前は、サポートは FMC、FTD 搭載 Firepower 4100/9300、および Azure 向け FTDv に限定されていました。詳細については、「シスコとのデータの共有」を参照してください。

サポートされるプラットフォーム：FMC、FTD

ユーザビリティ

ライトテーマ

FMC はデフォルトでバージョン 6.5.0 のベータ機能として導入されたライトテーマに設定されます。バージョン 6.6.0 にアップグレードすると、ライトテーマに自動的に切り替わります。これは、ユーザー設定で従来のテーマに戻すことができます。

すべてに返信することはできませんが、ライトテーマについてのフィードバックを歓迎します。[ユーザー設定（User Preferences）] ページのフィードバックリンクを使用するか、fmc-light-theme-feedback@cisco.com からフィードバックをお送りください。

サポートされるプラットフォーム：FMC

アップグレードの残り時間の表示

FMC のメッセージセンターに、アップグレードが完了するまでのおおよその残り時間が表示されるようになりました。これには、リブート時間は含まれません。

新規/変更されたページ：メッセージセンター

サポートされるプラットフォーム：FMC

セキュリティと強化

デフォルトの HTTPS サーバー証明書の更新期限は 800 日

アップグレードの影響。

現在のデフォルトの HTTPS サーバー証明書がすでに 800 日である場合を除き、バージョン 6.6.0 にアップグレードすることで証明書が更新され、有効期限がアップグレード日から 800 日後になりました。今後の更新はすべて、有効期間が 800 日になります。

古い証明書は、生成日に応じて期限切れになるように設定されていました。

サポートされるプラットフォーム：FMC

Firepower Management Center REST API

新しい REST API 機能

バージョン 6.6.0 の機能をサポートするための次の REST API サービスが追加されました。

• bgp、bgpgeneralsettings、ospfinterface、ospfv2routes、ospfv3interfaces、ospfv3routes、virtualrouters、routemaps、ipv4prefixlists、ipv6prefixlists、aspathlists、communitylists、extendedcommunitylists、standardaccesslists、standardcommunitylists、policylists：ルーティング

• virtualrouters、virtualipv4staticroutes、virtualipv6staticroutes、virtualstaticroutes：仮想ルーティング

• timeranges、globaltimezones、timezoneobjects：時間ベースのルール

• commands：REST API から CLI コマンドの限定的なセットを実行

• pendingchanges：保留中の改善点を展開

古い機能をサポートするために、次の REST API サービスが追加されました。

• intrusionrules、intrusionpolicies：侵入ポリシー

サポートされるプラットフォーム：FMC

拡張アクセスリストの REST API サービス名を変更

アップグレードの影響。

FMC REST API の extendedaccesslist（単数形）サービスは、extendedaccesslists（複数形）になりました。クライアントを更新していることを確認します。古いサービス名を使用すると失敗し、無効な URL エラーが返されます。

要求タイプ：GET

特定の ID に関連付けられている拡張アクセスリストを取得するための URL：

• 旧：/api/fmc_config/v1/domain/{domainUUID}/object/extendedaccesslist/{objectId}

• 新：/api/fmc_config/v1/domain/{domainUUID}/object/extendedaccesslists/{objectId}

すべての拡張アクセスリストを取得するための URL：

• 旧：/api/fmc_config/v1/domain/{domainUUID}/object/extendedaccesslist

• 新：/api/fmc_config/v1/domain/{domainUUID}/object/extendedaccesslists

サポートされるプラットフォーム：FMC

プラットフォーム機能

Amazon Web Services（AWS）クラウド用 FTDv における FDM のサポート。

FDM を使用して AWS クラウド用 FTDv で FTD を設定できます。

Firepower 4112 用 FDM

Firepower 4112 用 FTD が導入されました。

ファイアウォールと IPS の機能

デフォルトでは無効になっている、侵入ルールを有効にする機能。

各システム定義の侵入ポリシーには、デフォルトで無効になっているルールがいくつかあります。以前は、これらのルールのアクションをアラートまたはドロップに変更できませんでした。現在では、デフォルトで無効になっているルールのアクションを変更できるようになりました。

[侵入ポリシー（Intrusion Policy）] ページが変更され、デフォルトで無効になっているルールもすべて表示されるようになりました。また、これらのルールのアクションも編集できます。

侵入ポリシーの侵入検知システム（IDS）モード。

侵入検知システム（IDS）モードで動作するように侵入ポリシーを設定できるようになりました。IDS モードでは、アクティブな侵入ルールは、ルールアクションがドロップであってもアラートのみを発行します。したがって、侵入ポリシーをネットワーク内でアクティブな防御ポリシーにする前に、その侵入ポリシーの動作をモニタリングまたはテストできます。

FDM では、[ポリシー（Policies）] > [侵入（Intrusion）] ページの各侵入ポリシーに、検査モードの表示が追加されました。また [編集（Edit）] リンクが追加され、モードを変更できるようになりました。

FTD API では、IntrusionPolicy リソースに inspectionMode 属性が追加されました。

脆弱性データベース（VDB）、地理位置情報データベース、および侵入ルールの更新パッケージを手動でアップロードするためのサポート。

VDB、地理位置情報データベース、および侵入ルールの更アップデートパッケージを手動で取得し、FDM を使用してワークステーションから FTD デバイスにアップロードできるようになりました。たとえば、FDM で Cisco Cloud から更新を取得できないエアギャップネットワークがある場合でも、必要な更新パッケージを入手できます。

ワークステーションからファイルを選択してアップロードできるように、[デバイス（Device）] > [更新（Updates）] ページが更新されました。

FTD 時間に基づいて制限されているアクセス制御ルールの API サポート。

FTD API を使用して、時間範囲オブジェクトを作成できます。このオブジェクトでは、1 回限りの時間範囲または繰り返しの時間範囲を指定します。オブジェクトはアクセス制御ルールに適用します。時間範囲を使用すると、特定の時間帯または一定期間にわたってトラフィックにアクセス制御ルールを適用して、ネットワークを柔軟に使用できます。FDM を使用して時間範囲を作成したり、適用したりはできません。また、アクセス制御ルールに時間範囲が適用されている場合、FDM は表示されません。

TimeRangeObject、Recurrence、TimeZoneObject、DayLightSavingDateRange、および DayLightSavingDayRecurrence リソースが FTD API に追加されました。時間範囲をアクセス制御ルールに適用するために、timeRangeObjects 属性が accessrules リソースに追加されました。さらに、GlobalTimeZone および TimeZone リソースに変更が加えられました。

アクセス コントロール ポリシーのオブジェクトグループ検索。

動作中、FTD デバイスは、アクセスルールで使用されるネットワークオブジェクトの内容に基づいて、アクセス制御ルールを複数のアクセス制御リストのエントリに展開します。オブジェクトグループ検索を有効にすることで、アクセス制御ルールの検索に必要なメモリを抑えることができます。オブジェクトグループ検索を有効にした場合、システムによってネットワークオブジェクトは拡張されませんが、オブジェクトグループの定義に基づいて一致するアクセスルールが検索されます。オブジェクトグループ検索は、アクセスルールがどのように定義されるか、または FDM にどのように表示されるかには影響しません。アクセス制御ルールと接続を照合するときに、デバイスがアクセス制御ルールを解釈して処理する方法のみに影響します。オブジェクトグループ検索はデフォルトで無効になっています。

FDM では、FlexConfig を使用して object-group-search access-control コマンドを有効にする必要があります。

VPN 機能

サイト間 VPN のバックアップピア（FTD API のみ）。

FTD API を使用して、サイト間 VPN 接続にバックアップピアを追加できます。たとえば、2 つの ISP がある場合は、最初の ISP への接続が使用できなくなった場合に、バックアップ ISP にフェールオーバーするように VPN 接続を設定できます。

バックアップピアのもう 1 つの主な用途は、プライマリハブやバックアップハブなど、トンネルのもう一方の端に 2 つの異なるデバイスがある場合です。通常、システムはプライマリハブへのトンネルを確立します。VPN 接続が失敗すると、システムはバックアップハブとの接続を自動的に再確立できます。

SToSConnectionProfile リソースで outsideInterface に対して複数のインターフェイスを指定できるように、FTD API が更新されました。また、BackupPeer リソースと remoteBackupPeers 属性が SToSConnectionProfile リソースに追加されました。

FDM を使用してバックアップピアを設定したり、バックアップピアの存在を FDM に表示したりはできません。

リモートアクセス VPN での Datagram Transport Layer Security（DTLS）1.2 のサポート。

リモートアクセス VPN で DTLS 1.2 を使用できるようになりました。これは、FTD API のみを使用して設定できます。FDM を使用して設定することはできません。ただし、DTLS 1.2 はデフォルトの SSL 暗号グループの一部になったため、グループポリシーの AnyConnect 属性で FDM を使用して DTLS の一般的な使用が可能になりました。DTLS 1.2 は、ASA 5508-X または 5516-X モデルではサポートされていないことに注意してください。

DTLSV1_2 を列挙値として受け入れるように sslcipher リソースの protocolVersion 属性が更新されました。

安全性の低い Diffie-hellman グループ、および暗号化アルゴリズムとハッシュアルゴリズムのサポートを廃止。

次の機能は廃止されており、将来のリリースでは削除されます。VPN で使用するために、IKE プロポーザルまたは IPSec ポリシーでこれらの機能を設定しないでください。これらの機能から移行し、実用可能になったらすぐにより強力なオプションを使用してください。

• Diffie-Hellman グループ：2、5、および 24。

• 強力な暗号化の輸出規制を満たすユーザー向けの暗号化アルゴリズム：DES、3DES、AES-GMAC、AES-GMAC-192、AES-GMAC-256。輸出規制を満たしていないユーザーの場合、DES は引き続きサポートされます（これが唯一のオプションです）。

• ハッシュアルゴリズム：MD5。

ルーティング機能

仮想ルータと Virtual Routing and Forwarding（VRF）-Lite。

複数の仮想ルータを作成して、インターフェイスグループの個別のルーティングテーブルを管理できます。各仮想ルータには独自のルーティングテーブルがあるため、デバイスを流れるトラフィックを明確に分離できます。

仮想ルータは、Virtual Routing and Forwarding の「Light」バージョンである VRF-Lite を実装しますが、この VRF-Lite は Multiprotocol Extensions for BGP（MBGP）をサポートしていません。

[ルーティング（Routing）] ページが変更され、仮想ルータを有効化できるようになりました。有効にすると、[ルーティング（Routing）] ページに仮想ルータのリストが表示されます。仮想ルータごとに個別のスタティックルートとルーティングプロセスを設定できます。

また、 [ vrf name | all] キーワードセットを次の CLI コマンドに追加し、必要に応じて出力が仮想ルータ情報を表示するよう変更しました。clear ospf 、clear route 、ping 、show asp table routing 、show bgp 、show ipv6 route 、show ospf 、show route 、show snort counters

show vrf コマンドが追加されました。

OSPF および BGP の設定を [Routing] ページに移動しました。

以前のリリースでは、スマート CLI を使用して、[詳細設定（Advanced Configuration）] ページで OSPF と BGP を設定しました。これらのルーティングプロセスは、これまでと同様にスマート CLI を使って設定しますが、そのオブジェクトを [ルーティング（Routing）] ページで直接使用できるようになりました。これにより、仮想ルータごとにプロセスを簡単に設定できます。

OSPF および BGP スマート CLI オブジェクトは、[詳細設定（Advanced Configuration）] ページでは使用できなくなりました。6.6 にアップグレードする前に、これらのオブジェクトを設定した場合は、アップグレード後に [ルーティング（Routing）] ページでそれらのオブジェクトを見つけることができます。

高可用性機能

高可用性（HA）ペアのスタンバイ装置にログインする外部認証ユーザーの制限を削除。

以前は、外部認証されたユーザーは HA ペアのスタンバイユニットに直接ログインできませんでした。スタンバイユニットへのログインが可能になる前は、ユーザーは最初にアクティブ装置にログインしてから、設定を展開する必要がありました。

この制約は削除されました。外部認証されたユーザーは、有効なユーザー名/パスワードを提供している限り、アクティブ装置にログインしていない場合でも、スタンバイ装置にログインできます。

FTD API の BreakHAStatus リソースによって、インターフェイスがどのように処理されるかが変更。

以前は、clearIntfs クエリパラメータを含めて、高可用性（HA）設定を中断するデバイス上のインターフェイスの動作ステータスを制御できました。

バージョン 6.6 以降では、clearIntfs クエリパラメータの代わりに使用する新しい属性 interfaceOption があります。この属性は、アクティブノードで使用する場合はオプションですが、非アクティブノードで使用する場合は必須です。次の 2 つのオプションのいずれかを選択できます。

• DISABLE_INTERFACES（デフォルト）：スタンバイデバイス（またはこのデバイス）上のすべてのデータインターフェイスが無効になります。

• ENABLE_WITH_STANDBY_IP：インターフェイスにスタンバイ IP アドレスを設定すると、スタンバイデバイス（またはこのデバイス）上のインターフェイスがスタンバイアドレスを使用するよう再設定されます。スタンバイアドレスを持たないインターフェイスはすべて無効になります。

デバイスが正常なアクティブ/スタンバイ状態になっているときにアクティブノードで [HAの中断（Break HA）] を使用すると、この属性がスタンバイノードのインターフェイスに適用されます。アクティブ/アクティブまたは一時停止などのその他の状態では、この属性が中断を開始するノードに適用されます。

clearIntfs クエリパラメータを使用する場合、clearIntfs=true は interfaceOption = DISABLE_INTERFACES のように動作します。つまり、clearIntfs=true のアクティブ/スタンバイペアを中断すると、両方のデバイスが無効にはならなくなり、スタンバイデバイスのみが無効になります。

FDM を使用して HA を中断すると、インターフェイスオプションには常に DISABLE_INTERFACES が設定されます。スタンバイ IP アドレスを使用してインターフェイスを有効にすることはできません。異なる結果が必要な場合は、API エクスプローラから API コールを使用します。

高可用性の問題の直近の失敗理由を [高可用性（High Availability）] ページに表示。

高可用性（HA）が何らかの理由で失敗した場合（アクティブデバイスが使用できなくなり、スタンバイデバイスにフェールオーバーするなど）、直近の失敗の理由がプライマリデバイスとセカンダリデバイスのステータス情報の下に表示されます。この情報には、イベントの UTC 時刻が含まれます。

インターフェイス機能

PPPoE のサポート。

ルーテッドインターフェイスの PPPoE を設定できるようになりました。PPPoE は、ハイアベイラビリティ ユニットではサポートされません。

新規/変更された画面：[デバイス（Device）] > [インターフェイス（Interfaces）] > [編集（Edit）] > [IPv4 アドレス（IPv4 Address）] > [タイプ（Type）] > [PPPoE]

新規/変更されたコマンド：show vpdn group、show vpdn username、show vpdn session pppoe state

デフォルトでは DHCP クライアントとして機能する管理インターフェイス。

管理インターフェイスは、192.168.45.45 IP アドレスを使用する代わりに、デフォルトでは DHCP から IP アドレスを取得するように設定されています。この変更により、既存のネットワークに FTD を簡単に展開できるようになりました。この機能は、Firepower 4100/9300（論理デバイスを展開するときに IP アドレスを設定する）と FTDv および ISA 3000（現在も 192.168.45.45 IP アドレスを使用）を除くすべてのプラットフォームに適用されます。管理インターフェイス上の DHCP サーバーも有効にならなくなりました。

デフォルト（192.168.1.1）では、デフォルトの内部 IP アドレスに引き続き接続できます。

FDM 管理接続の HTTP プロキシサポート。

FDM 接続で使用するために、管理インターフェイスの HTTP プロキシを設定できるようになりました。手動およびスケジュールされたデータベースの更新を含むすべての管理接続は、プロキシを通過します。

設定するための [システム設定（System Setting）] > [HTTPプロキシ（HTTP Proxy）] ページが追加されました。さらに、HTTPProxy リソースが FTD API に追加されました。

管理インターフェイスの MTU の設定。

管理インターフェイスの MTU を最大 1500 バイトに設定できるようになりました。デフォルト値は 1500 バイトです。

新規/変更されたコマンド：configure network mtu、configure network management-interface mtu-management-channel

変更された画面はありません。

ライセンシング機能

スマートライセンシングとクラウドサービスの登録は分離され、登録を個別に管理可能

スマート ライセンス アカウントではなく、セキュリティアカウントを使用して、クラウドサービスを登録できるようになりました。Cisco Defense Orchestrator を使用してデバイスを管理する場合は、セキュリティアカウントを使用して登録することを推奨します。スマートライセンシングから登録解除せずに、クラウドサービスから登録解除することもできます。

[システム設定（System Settings）] > [クラウドサービス（Cloud Services）] ページの動作を変更し、クラウドサービスから登録解除する機能を追加しました。さらに、このページから Web 分析機能が削除されました。この機能は、[システム設定（System Settings）] > [Web分析（Web Analytics）] ページに移動しました。FTD API では、新しい動作を反映するように CloudServices リソースが変更されました。

パーマネントライセンス予約のサポート。

インターネットへのパスがないエアギャップネットワークがある場合は、スマートライセンスのために Cisco Smart Software Manager（CSSM）に直接登録することはできません。この場合は、ユニバーサル パーマネント ライセンス予約（PLR）モードを使用できるようになりました。このモードでは、CSSM との直接通信を必要としないライセンスを適用できます。エアギャップネットワークがある場合は、アカウント担当者に問い合わせて、CSSM アカウントでユニバーサル PLR モードを使用して必要なライセンスを取得することを許可するように依頼してください。ISA 3000 はユニバーサル PLR をサポートしていません。

[デバイス（Device）] > [スマートライセンス（Smart License）] ページに、PLR モードに切り替えたり、ユニバーサル PLR ライセンスをキャンセルしたりして登録解除する機能が追加されました。FTD API では、PLRAuthorizationCode、PLRCode、PLRReleaseCode、PLRRequestCode の新しいリソースと、PLRRequestCode、InstallPLRCode、および CancelReservation のアクションが追加されました。

管理およびトラブルシューティングの機能

ISA 3000 デバイスの高精度時間プロトコル（PTP）設定用 FDM 直接サポート。

FDM を使用して、ISA 3000 デバイスで高精度時間プロトコル（PTP）を設定できます。PTP は、パケットベースネットワーク内のさまざまなデバイスのクロックを同期するために開発された時間同期プロトコルです。このプロトコルは、ネットワーク化された産業用の測定および制御システム向けとして特別に設計されています。以前のリリースでは、PTP を設定するために FlexConfig を使用する必要がありました。

同じ [システム設定（System Settings）] ページの PTP と NTP をグループ化し、[システム設定（System Settings）] > [NTP] ページの名前を [タイムサービス（Time Services）] に変更しました。また、PTP リソースが FTD API に追加されました。

FDM 管理 Web サーバー証明書の信頼チェーン検証。

FDM Web サーバーの非自己署名証明書を設定する場合は、すべての中間証明書とルート証明書を信頼チェーンに含める必要があります。システムはチェーン全体を検証します。

[デバイス（Device）] > [システム設定（System Settings）] > [管理アクセス（Management Access）] ページの [管理Webサーバー（Management Web Server）] タブに、チェーン内の証明書を選択する機能が追加されました。

バックアップファイルの暗号化のサポート。

パスワードを使用して、バックアップファイルを暗号化できるようになりました。暗号化されたバックアップを復元するには、正しいパスワードを指定する必要があります。

定期的なジョブ、スケジュール済みジョブ、および手動ジョブのバックアップファイルを暗号化するかどうかを選択し、復元時にパスワードを提供する機能が、[デバイス（Device）] > [バックアップと復元（Backup and Restore）] ページに追加されました。また、encryptArchive 属性と encryptionKey 属性が BackupImmediate と BackupSchedule リソースに追加され、encryptionKey が FTD API の RestoreImmediate リソースに追加されました。

クラウドサービスで使用するために Cisco Cloud に送信するイベントを選択するサポート。

Cisco Cloud にイベントを送信するようデバイスを設定すると、送信するイベントのタイプ（侵入、ファイル/マルウェア、接続）を選択できるようになりました。接続イベントの場合、すべてのイベントを送信することも、優先順位の高いイベント（侵入、ファイル、またはマルウェアイベントをトリガーする接続に関連するもの、またはセキュリティ インテリジェンス ブロッキング ポリシーと一致するもの）を送信することもできます。

[Cisco Cloudへのイベントの送信を有効にする（Send Events to the Cisco Cloud Enable）] ボタンが機能するよう変更されました。この機能は、[システム設定（System Settings）] > [クラウドサービス（Cloud Services）] ページにあります。

FTD REST API バージョン 5（v5）。

ソフトウェアバージョン 6.6 用の FTD REST API のバージョン番号が 5 になりました。API URL の v1/v2/v3/v4 を v5 に置き換える必要があります。または、優先的に /latest/ を使用して、デバイスでサポートされている最新の API バージョンを使用していることを示します。

v5 の API には、ソフトウェアバージョン 6.6 で追加されたすべての機能に対応する多数の新しいリソースが含まれています。使用しているリソースモデルに変更が加えられている可能性があるため、既存のすべての呼び出しを再評価してください。リソースを表示できる API エクスプローラを開くには、FDM にログインして、[詳細オプション（More options）] ボタン（）をクリックし、[APIエクスプローラ（API Explorer）] を選択します。