新機能
FMC バージョン 6.7 の新機能
新しい FMC で古いデバイスを管理できますが、常に環境全体を更新することを推奨します。 新しいトラフィック処理機能では、FMC とデバイスの両方で最新のリリースが前提条件となります。 デバイスが明らかに関与していない機能(Web インターフェイスの外観の変更、クラウド統合)では、FMC の最新バージョンのみを必須条件としているにもかかわらず、それが保証されない場合があります。新機能の説明では、バージョンの要件が標準で想定される条件から逸脱している場合は明示しています。
機能 |
説明 |
||
---|---|---|---|
プラットフォーム機能 |
|||
VMware 向け FMCv での高可用性のサポート。 |
VMware 向け FMCv は、高可用性をサポートするようになりました。ハードウェアモデルの場合と同様に、FMCv Web インターフェイスを使用して HA を確立します。 FTD の展開では、2 つの同一ライセンスの FMCv と、各管理対象デバイスに 1 つの FTD 権限が必要です。たとえば、FMCv10 HA ペアで 10 台の FTD デバイスを管理するには、2 つの FMCv10 権限と 10 の FTD 権限が必要です。クラシックデバイス(7000/8000 シリーズ、NGIPSv、ASA FirePOWER)のみを管理している場合は、FMCv 権限は必要ありません。 この機能は、VMware 向け FMCv 2(つまり、2 つのデバイスのみ管理するようにライセンスされた FMCv)ではサポートされていません。 サポートされるプラットフォーム:VMware 向け FMCv 10、25、および 300 |
||
AWS 向け FTDv の自動スケールの改善。 |
バージョン 6.7.0 には、AWS 向け FTDv の次の自動スケールの改善が含まれています。
サポートされているプラットフォーム:AWS の FTDv |
||
Azure 向け FTDv の自動スケールの改善。 |
Azure 向け FTDv の自動スケール ソリューションには、CPU だけでなく、CPU とメモリ(RAM)に基づくスケーリングメトリックのサポートが含まれるようになりました。 サポートされているプラットフォーム:Azure の FTDv |
||
Firepower Threat Defense:デバイス管理 |
|||
データインターフェイスでの FTD の管理。 |
専用の管理インターフェイスではなく、データインターフェイス上の FTD の FMC 管理を設定できるようになりました。 この機能は、本社の FMC からブランチオフィスの FTD を管理し、外部インターフェイスで FTD を管理する必要がある場合に、リモート展開に役立ちます。DHCP を使用して FTD でパブリック IP アドレスを受信する場合は、オプションで Web タイプの更新方式を使用して、インターフェイスのダイナミック DNS(DDNS)を設定できます。DDNS は、FTD の IP アドレスが変更された場合に FMC が完全修飾ドメイン名(FQDN)で FTD に到達できるようにします。
新規/変更されたページ:
新規/変更された FTD CLI コマンド:configure network management-data-interface 、configure policy rollback サポートされるプラットフォーム:FTD |
||
FTD での FMC IP アドレスの更新。 |
FMC IP アドレスを変更する場合に、FTD CLI を使用してデバイスを更新できるようになりました。 新規/変更された FTD CLI コマンド: configure manager edit サポートされるプラットフォーム:FTD |
||
Firepower 4100/9300 の FTD 動作リンク状態と物理リンク状態の同期。 |
Firepower 4100/9300 シャーシでは、FTD 動作リンク状態をデータインターフェイスの物理リンク状態と同期できるようになりました。 現在、FXOS 管理状態がアップで、物理リンク状態がアップである限り、インターフェイスはアップ状態になります。FTD アプリケーション インターフェイスの管理状態は考慮されません。FTD からの同期がない場合は、たとえば、FTD アプリケーションが完全にオンラインになる前に、データインターフェイスが物理的にアップ状態になったり、FTD のシャットダウン開始後からしばらくの間はアップ状態のままになる可能性があります。インラインセットの場合、この状態の不一致によりパケットがドロップされることがあります。これは、FTD が処理できるようになる前に外部ルータが FTD へのトラフィックの送信を開始することがあるためです。 この機能はデフォルトで無効になっており、FXOS の論理デバイスごとに有効にできます。
新規/変更された [Firepower Chassis Manager] ページ:[論理デバイス(Logical Devices)] > [リンク状態の有効化(Enable Link State)] 新規/変更された FXOS コマンド:set link-state-sync enabled 、show interface expand detail サポートされるプラットフォーム:Firepower 4100/9300 |
||
Firepower 1100/2100 シリーズの SFP インターフェイスで、自動ネゴシエーションの無効化がサポートされるようになりました。 |
アップグレードの影響。 フロー制御とリンク ステータス ネゴシエーションを無効化するように Firepower 1100/2100 シリーズ SFP インターフェイスを設定できるようになりました。 以前は、これらのデバイスで SFP インターフェイス速度(1000 または 10000 Mbps)を設定すると、フロー制御とリンク ステータス ネゴシエーションが自動的に有効になり、無効にはできませんでした。 [ネゴシエーションなし(No Negotiate)] を選択して、フロー制御とリンク ステータス ネゴシエーションを無効化できるようになりました。これにより、1 GB SFP インターフェイスまたは 10 GB SFP+ インターフェイスを設定しているかに関係なく、速度は 1000 Mbps に設定されます。10000 Mbps でネゴシエーションを無効化することはできません。 新規/変更されたページ:[デバイス(Devices)] > [デバイス管理(Device Management)] > [インターフェイス(Interfaces)] > [インターフェイスの編集(edit interface)] > [ハードウェア構成(Hardware Configuration)] > [速度(Speed)] サポートされるプラットフォーム:Firepower 1100/2100 シリーズ |
||
Firepower Threat Defense:クラスタリング |
|||
FMC の新しいクラスタ管理機能。 |
FMC を使用して、以前は CLI を使用する必要のあった次のクラスタ管理タスクを実行できるようになりました。
新規/変更されたページ:
サポートされるプラットフォーム:Firepower 4100/9300 |
||
クラスタ導入の高速化。 |
クラスタの展開がより迅速に完了するようになりました。また、ほとんどの導入の失敗も、より迅速に失敗します。 サポートされるプラットフォーム:Firepower 4100/9300 |
||
クラスタリングでの PAT アドレス割り当ての変更。PAT プールの [フラットなポート範囲(Flat Port Range)] オプションがデフォルトで有効になり、設定できなくなりました。 |
アップグレードの影響。 PAT アドレスがクラスタのメンバーに配布される方法が変更されます。 以前は、アドレスはクラスタのメンバーに配布されていたため、PAT プールにはクラスタメンバーごとに少なくとも 1 つのアドレスが必要でした。制御は各 PAT プールアドレスを等しいサイズのポートブロックに分割し、それらをクラスタメンバーに配布するようになりました。各メンバーには、同じ PAT アドレスのポートブロックがあります。したがって、通常 PAT に必要な接続量に応じて、PAT プールのサイズを 1 つの IP アドレスにまで減らすことができます。 ポートブロックは、1024 ~ 65535 の範囲で 512 ポートのブロック単位で割り当てられます。オプションで、PAT プールルールを設定するときに、このブロック割り当てに予約ポート 1 〜 1023 を含めることができます。たとえば、単一ノードでは PAT プール IP アドレスあたり 65535 個の接続すべてを処理するのに対し、4 ノードクラスタでは、各ノードは 32 個のブロックを取得し、PAT プール IP アドレスあたり 16384 個の接続を処理できます。 この変更の一環として、スタンドアロンまたはクラスタ内での動作に関わりなく、すべてのシステムの PAT プールは、フラットなポート範囲 1024 〜 65535 を使用できるようになりました。以前は、[Flat Port Range] オプションを PAT プールルール(FTD NAT の [Pat Pool] タブ)で有効化することで、フラットな範囲を使用できました。[フラットなポート範囲(Flat Port Range)] オプションは無視され、PAT プールは常にフラットになります。必要に応じて [Include Reserved Ports] オプションを選択して、PAT プールに 1 〜 1023 のポート範囲を含めることができます。 ポートブロック割り当てを設定する([ブロック割り当て(Block Allocation)] PAT プールオプション)と、デフォルトの 512 ポートブロックではなく、独自のブロック割り当てサイズが使用されます。また、クラスタ内のシステムの PAT プールに拡張 PAT を設定することはできません。 この変更は自動的に有効になります。アップグレードの前後に何もする必要はありません。 サポートされるプラットフォーム:FTD |
||
Firepower Threat Defense:暗号化と VPN |
|||
RA VPN の AnyConnect モジュールサポート。 |
FTD RA VPN で AnyConnect モジュールがサポートされるようになりました。 RA VPN グループポリシーの一部として、ユーザーが Cisco AnyConnect VPN クライアントをダウンロードするときに、さまざまなオプションモジュールをダウンロードしてインストールするように設定できるようになりました。これらのモジュールは、Web セキュリティ、マルウェア保護、オフネットワークローミング保護などのサービスを提供できます。 各モジュールを、AnyConnect プロファイルエディタで作成され、AnyConnect ファイルオブジェクトとして FMC にアップロードされたカスタム設定を含むプロファイルに関連付ける必要があります。 新規/変更されたページ:
サポートされるプラットフォーム:FTD |
||
RA VPN の AnyConnect 管理 VPN トンネル。 |
FTD RA VPN は、エンドユーザーが VPN 接続を確立したときだけでなく、企業のエンドポイントの電源がオンになったときにエンドポイントへの VPN 接続を可能にする AnyConnect 管理 VPN トンネルをサポートするようになりました。 この機能は、オフィスネットワークに VPN を介してユーザーが頻繁に接続しないデバイスに対しては特に、外出中のオフィスのエンドポイントで管理者がパッチ管理を行うのに役立ちます。社内ネットワークの接続を必要とするエンドポイント オペレーティング システム ログイン スクリプトに対するメリットもあります。 サポートされるプラットフォーム:FTD |
||
RA VPN のシングルサインオン。 |
FTD RA VPN は、 SAML 2.0 準拠のアイデンティティ プロバイダー(IdP)で設定されたリモートアクセス VPN ユーザーのシングルサインオン(SSO)をサポートするようになりました。 新規/変更されたページ:
サポートされるプラットフォーム:FTD |
||
RA VPN の LDAP 許可。 |
FTD RA VPN は、LDAP 属性マップを使用した LDAP 認証をサポートするようになりました。 LDAP 属性マップにより、Active Directory(AD)または LDAP サーバーに存在する属性が、シスコの属性名と同一視されるようになります。その後、リモートアクセス VPN 接続の確立中に AD または LDAP サーバーが FTD デバイスに認証を返すと、FTD デバイスは、その情報を使用して、AnyConnect クライアントが接続を完了する方法を調整できます。 サポートされるプラットフォーム:FTD |
||
仮想トンネルインターフェイス(VTI)とルートベースのサイト間 VPN。 |
FTD サイト間 VPN は、仮想トンネルインターフェイス(VTI)と呼ばれる論理インターフェイスをサポートするようになりました。 ポリシーベース VPN の代替策として、仮想トンネルインターフェイスが設定されたピア間に VPN トンネルを作成することができます。これは、各トンネルの終端に IPsec プロファイルが付加されたルートベースの VPN をサポートします。これは、動的または静的なルートの使用が可能です。VTI を使用することにより、静的暗号マップのアクセス リストを設定してインターフェイスにマッピングすることが不要になります。トラフィックは、スタティックルートまたは BGP を使用して暗号化されます。ルーテッド セキュリティ ゾーンを作成し、そこに VTI インターフェイスを追加し、VTI トンネルを介して復号化されたトラフィック制御のアクセス制御ルールを定義できます。 VTI ベースの VPN は、次の間で作成できます。
新規/変更されたページ: サポートされるプラットフォーム:FTD |
||
サイト間 VPN に対するダイナミック RRI サポート。 |
FTD サイト間 VPN は、サイト間 VPN 展開で IKEv2 ベースのスタティック暗号マップでサポートされるダイナミック リバース ルート インジェクション(RRI)をサポートするようになりました。これにより、スタティックルートは、リモート トンネル エンドポイントで保護されているネットワークとホストのルーティングプロセスに自動的に挿入されます。 新規/変更されたページ:サイト間 VPN トポロジにエンドポイントを追加するときの [ダイナミック リバース ルート インジェクションの有効化(Enable Dynamic Reverse Route Injection)] 詳細オプションが追加されました。 サポートされるプラットフォーム:FTD |
||
手動証明書登録の拡張機能。 |
署名済み CA 証明書とアイデンティティ証明書を CA 機関から互いに独立して取得できるようになりました。 証明書署名要求(CSR)を作成し、アイデンティティ証明書を取得するための登録パラメータを保存する PKI 証明書登録オブジェクトに次の変更を行いました。
新規/変更されたページ:[オブジェクト(Objects)] > [オブジェクト管理(Object Management)] > [PKI] > [証明書の登録(Cert Enrollment)] > [証明書の登録の追加(Add Cert Enrollment)] > [CA 情報(CA Information)] > [登録タイプ(Enrollment Type)] > [手動(Manual)] サポートされるプラットフォーム:FTD |
||
FTD 証明書管理の拡張機能。 |
FTD 証明書管理に次の機能拡張が行われました。
新規/変更されたページ:
サポートされるプラットフォーム:FTD |
||
アクセス制御:URL フィルタリング、アプリケーション制御、およびセキュリティ インテリジェンス |
|||
TLS 1.3(TLS サーバーアイデンティティ検出)で暗号化されたトラフィックの URL フィルタリングとアプリケーション制御。 |
サーバー証明書からの情報を使用して、TLS 1.3 で暗号化されたトラフィックの URL フィルタリングとアプリケーション制御を実行できるようになりました。この機能が動作するためにトラフィックを復号化する必要はありません。
新規/変更されたページ:アクセス コントロール ポリシーの [詳細(Advanced)] タブに [TLS サーバーアイデンティティ検出(TLS Server Identity Discovery)] の警告とオプションが追加されました。 新規/変更された FTD CLI コマンド:show conn detail コマンドの出力に B フラグが追加されました。TLS 1.3 暗号化接続では、このフラグは、アプリケーションおよび URL の検出にサーバー証明書を使用したことを示します。 サポートされるプラットフォーム:FTD |
||
レピュテーションが不明な Web サイトへのトラフィックに対する URL フィルタリング。 |
レピュテーションが不明な Web サイトに対して URL フィルタリングを実行できるようになりました。 新規/変更されたページ:アクセス制御、QoS、および SSL ルールエディタに [不明なレピュテーションに適用(Apply to unknown reputation)] チェックボックスが追加されました。 サポートされるプラットフォーム:FMC |
||
DNS フィルタリングにより URL フィルタリングを強化します。 |
ベータ版。 DNS フィルタリングは、暗号化されたトラフィックを含め(ただしトラフィックを復号化せずに)トランザクションの早い段階で要求されたドメインのカテゴリとレピュテーションを決定することで、URL フィルタリングを強化します。アクセス コントロール ポリシーごとに DNS フィルタリングを有効にし、そのポリシーのすべてのカテゴリ/レピュテーション URL ルールに適用します。
新規/変更されたページ:[全般設定(General Settings)] の下のアクセス コントロール ポリシーの [詳細(Advanced)] タブに [DNS トラフィックへのレピュテーション適用の有効化(Enable reputation enforcement on DNS traffic)] オプションが追加されました。 サポートされるプラットフォーム:FMC |
||
セキュリティ インテリジェンス フィードの更新頻度の短縮。 |
FMC は、5 分または 15 分ごとにセキュリティ インテリジェンス データを更新できるようになりました。以前は、最短更新頻度は 30 分でした。 カスタムフィードでこれらの短い頻度のいずれかを設定する場合は、md5 チェックサムを使用してフィードにダウンロードする更新があるかどうかを判断するようにシステムを設定する必要もあります。 新規/変更されたページ: [オブジェクト(Objects)] > [オブジェクト管理(Object Management)] > [セキュリティ インテリジェンス(Security Intelligence)] > [ネットワークリストとフィード(Network Lists and Feeds)] > [フィードの編集(edit feed)] > [更新頻度(Update Frequency)] に新しいオプションが追加されました。 サポートされるプラットフォーム:FMC |
||
アクセス制御:ユーザー制御 |
|||
ISE/ISE-PIC を使用した pxGrid 2.0。 |
アップグレードの影響。 FMC を ISE/ISE-PIC アイデンティティソースに接続する場合は、pxGrid 2.0 を使用します。まだ pxGrid 1.0 を使用している場合は、ここで切り替えてください。このバージョンは廃止されました。 pxGrid 2.0 で使用するために、バージョン 6.7.0 では Cisco ISE 適応型ネットワーク制御(ANC)修復が導入され、相関ポリシー違反に関連する ISE 設定 ANC ポリシーが適用またはクリアされます。 pxGrid 1.0 で Cisco ISE エンドポイント保護サービス(EPS)修復を使用した場合は、pxGrid 2.0 で ANC 修復を設定して使用します。「誤った」pxGrid を使用している場合、ISE 修復は起動しません。ISE Connection Status Monitor ヘルスモジュールは、不一致を警告します。 サポートされているすべての Firepower バージョン(統合製品を含む)の詳細な互換性情報については、『Cisco Firepower Compatibility Guide』を参照してください。 新規/変更されたページ:
サポートされるプラットフォーム:FMC |
||
レルムシーケンス。 |
レルムを順序付けられたレルムシーケンスにグループ化できるようになりました。 単一のレルムを追加するのと同じ方法で、アイデンティティルールにレルムシーケンスを追加します。アイデンティティルールをネットワークトラフィックに適用すると、システムは指定された順序で Active Directory ドメインを検索します。LDAP レルムのレルムシーケンスは作成できません。 新規/変更されたページ:[システム(System)] > [統合(Integration)] > [レルムシーケンス(Realm Sequences)] サポートされるプラットフォーム:FMC |
||
ISE サブネットフィルタリング。 |
特にメモリの少ないデバイスでは、CLI を使用して、ISE からのユーザーと IP およびセキュリティグループタグ(SGT)と IP のマッピングの受信から、サブネットを除外できるようになりました。 Snort Identity Memory Usage ヘルスモジュールは、メモリ使用率が特定のレベル(デフォルトでは 80%)を超えるとアラートを出します。 新しいデバイス CLI コマンド: configure identity-subnet-filter { add | remove} サポートされるプラットフォーム:FMC 管理対象デバイス |
||
アクセス制御:侵入およびマルウェア防御 |
|||
動的分析のためのファイルの事前分類の改善。 |
アップグレードの影響。 システムは、静的分析の結果(動的要素のないファイルなど)に基づいて、疑わしいマルウェアファイルを動的分析用に送信しないことを決定できるようになりました。 アップグレード後、[Captured Files] テーブルでは、これらのファイルの動的分析ステータスが [Rejected for Analysis] になります。 サポートされるプラットフォーム:FMC |
||
S7Commplus プリプロセッサ。 |
新しい S7Commplus プリプロセッサは、広く受け入れられている S7 産業用プロトコルをサポートします。これを使用して、対応する侵入ルールとプリプロセッサルールを適用し、悪意のあるトラフィックをドロップし、侵入イベントを生成できます。 新規/変更されたページ:
サポートされるプラットフォーム:ISA 3000 を含むすべての FTD デバイス |
||
カスタム侵入ルールのインポートでルール競合の際に警告表示。 |
カスタム(ローカル)侵入ルールをインポートする場合、FMC がルールの競合について警告するようになりました。以前は、FMC は競合の原因となるルールをサイレントにスキップしていました。ただし、競合のあるルールのインポートが完全に失敗するバージョン 6.6.0.1 は除きます。 [ルールの更新(Rule Updates)] ページで、ルールのインポートに競合があった場合は、[ステータス(Status)] 列に警告アイコンが表示されます。詳細については、警告アイコンの上にポインタを置いて、ツールチップを参照してください。 既存のルールと同じ SID/リビジョン番号を持つ侵入ルールをインポートしようとすると、競合が発生することに注意してください。カスタムルールの更新バージョンには必ず新しいリビジョン番号を付けてください。FMC コンフィギュレーション ガイドでローカル侵入ルールをインポートするためのベストプラクティスを参考にすることを推奨します。 新規/変更されたページ: に警告アイコンが追加されました。サポートされるプラットフォーム:FMC |
||
アクセス制御:TLS/SSL 暗号解読 |
|||
復号の既知キー TLS/SSL ルールのための ClientHello の変更。 |
アップグレードの影響。 TLS/SSL 復号化を設定した場合、管理対象デバイスが ClientHello メッセージを受信すると、システムはそのメッセージを復号の既知キーアクションを含む TLS/SSL ルールと照合しようとします。以前は、システムは ClientHello メッセージと復号 - 再署名ルールのみを照合していました。 照合は ClientHello メッセージからのデータとキャッシュされたサーバー証明書データからのデータに依存します。メッセージが一致すると、ClientHello メッセージが特定の方法で変更されます。FMC コンフィギュレーション ガイドの「ClientHello メッセージ処理」のトピックを参照してください。 この動作の変更は、アップグレード後に自動的に行われます。復号の既知キー TLS/SSL ルールを使用する場合は、暗号化されたトラフィックが期待どおりに処理されていることを確認します。サポートされているプラットフォーム:すべてのデバイス |
||
イベントロギングおよび分析 |
|||
オンプレミスの Stealthwatch ソリューションによるリモートデータストレージと相互起動。 |
オンプレミスの Stealthwatch ソリューションである Cisco Security Analytics and Logging(On Premises)を使用して、大量の Firepower イベントデータを FMC 以外に保存できるようになりました。 FMC でイベントを表示する場合、リモートデータストレージの場所にあるイベントをすばやく相互起動して表示できます。FMC は syslog を使用して、接続、セキュリティ インテリジェンス、侵入、ファイル、およびマルウェアイベントを送信します。
サポートされるプラットフォーム:FMC |
||
Stealthwatch コンテキスト相互起動リソースを迅速に追加する。 |
FMC の新しいページを使用すると、Stealthwatch アプライアンスのコンテキスト相互起動リソースをすばやく追加できます。 Stealthwatch リソースを追加した後は、一般的なコンテキスト相互起動ページで管理します。ここで、Stealthwatch 以外の相互起動リソースを手動で作成および管理します。 新規/変更されたページ:
サポート対象プラットフォーム:FMC |
||
新しい相互起動オプションフィールドタイプ。 |
次のイベントデータの追加タイプを使用して、外部リソースに相互起動できるようになりました。
新規/変更されたページ:
サポートされるプラットフォーム:FMC |
||
National Vulnerability Database(NVD)が Bugtraq に代わって使用されるようになりました。 |
アップグレードの影響。 Bugtraq 脆弱性データは使用できなくなりました。現在、ほとんどの脆弱性データは NVD から取得されています。この変更をサポートするために、次の変更を行いました。
脆弱性データをエクスポートする場合は、アップグレード後に統合が期待どおりに機能していることを確認します。 サポートされるプラットフォーム:FMC |
||
のアップグレード |
|||
アップグレード前の互換性チェック。 |
アップグレードの影響。 FMC 展開では、より複雑な準備状況チェックを実行したり、アップグレードを試行したりする前に、Firepower アプライアンスがアップグレード前の互換性チェックに合格することが必要になりました。このチェックは、アップグレードが失敗する原因となる問題を検出します。これらをより早期に検出し、続行をブロックするようになりました。 検出は次のとおりです。
インストールするアップグレードパッケージを選択すると、FMC はすべての対象アプライアンスの互換性チェック結果を表示します。新しい [Readiness Check] ページにもこの情報が表示されます。示された問題を修正するまでアップグレードできません。 新規/変更されたページ:
サポートされるプラットフォーム:FMC、FTD |
||
準備状況チェックの改善。 |
アップグレードの影響。 準備状況チェックにより、ソフトウェアをアップグレードするための Firepower アプライアンスの準備状況を評価できます。これらのチェックには、データベースの整合性、ファイルシステムの整合性、設定の整合性、ディスク容量などが含まれます。 FMC をバージョン 6.7.0 にアップグレードすると、FTD のアップグレード準備状況チェックが次のように改善されます。
FMC がバージョン 6.7.0 以上を実行している限り、これらの改善はバージョン 6.3.0 以上からの FTD アップグレードでサポートされます。 新規/変更されたページ:
サポートされるプラットフォーム:FTD |
||
FTD アップグレード ステータス レポートとキャンセル/再試行オプションの改善。 |
アップグレードの影響。 [Device Management] ページで、進行中のデバイスアップグレードと準備状況チェックのステータス、およびアップグレードの成功/失敗の 7 日間の履歴を表示できるようになりました。メッセージセンターでは、拡張ステータスとエラーメッセージも提供されます。 デバイス管理とメッセージセンターの両方からワンクリックでアクセスできる新しい [Upgrade Status] ポップアップに、残りのパーセンテージ/時間、特定のアップグレード段階、成功/失敗データ、アップグレードログなどの詳細なアップグレード情報が表示されます。 また、このポップアップで、失敗したアップグレードまたは進行中のアップグレードを手動でキャンセル([Cancel Upgrade])することも、失敗したアップグレードを再試行([Retry Upgrade])することもできます。アップグレードをキャンセルすると、デバイスはアップグレード前の状態に戻ります。
新規/変更されたページ:
新しい FTD CLI コマンド:
サポートされるプラットフォーム:FTD |
||
アップグレードがスケジュールされたタスクを延期する。 |
アップグレードの影響。 FMC アップグレードは、スケジュールされたタスクを延期するようになりました。アップグレード中に開始するようにスケジュールされたタスクは、アップグレード後の再起動の 5 分後に開始されます。
この機能は、サポートされているバージョンからのすべてのアップグレードでサポートされていることに注意してください。これには、バージョン 6.4.0.10 以降のパッチ、バージョン 6.6.3 以降のメンテナンスリリース、およびバージョン 6.7.0 以降が含まれます。この機能は、サポートされていないバージョンからサポートされているバージョンへのアップグレードではサポートされていません。 サポートされるプラットフォーム:FMC |
||
アップグレードでディスク容量を節約するために PCAP ファイルが削除される。 |
アップグレードの影響。 Firepower アプライアンスをアップグレードするには、十分な空きディスク容量が必要です。これがない場合、アップグレードは失敗します。アップグレードにより、ローカルに保存された PCAP ファイルが削除されるようになりました。 サポートされるプラットフォーム:すべて |
||
展開とポリシー管理 |
|||
設定のロール バック。 |
ベータ版。 FTD デバイスの設定を「ロールバック」して、以前に展開した設定に置き換えることができるようになりました。
新規/変更されたページ:[Deploy] > [Deployment History] > [Rollback] 列とアイコン。 サポートされるプラットフォーム:FTD |
||
侵入およびファイルポリシーを(アクセス コントロール ポリシーとは無関係に)展開する。 |
依存する変更がない限り、アクセス コントロール ポリシーとは無関係に侵入ポリシーとファイルポリシーを選択して展開できるようになりました。 新規/変更されたページ:[展開(Deploy)] > [展開(Deployment)] サポートされるプラットフォーム:FMC |
||
アクセス制御ルールのコメントの検索。 |
アクセス制御ルールのコメント内で検索できるようになりました。 新規/変更されたページ:アクセス コントロール ポリシー エディタで、[検索ルール(Search Rules)] ドロップダウンダイアログに [コメント(Comments)] フィールドが追加されました。 サポートされるプラットフォーム:FMC |
||
FTD NAT ルールの検索とフィルタリング。 |
FTD NAT ポリシーでルールを検索して、IP アドレス、ポート、オブジェクト名などに基づいてルールを検索できるようになりました。検索結果には部分一致が含まれます。条件で検索すると、ルールテーブルがフィルタリングされ、一致するルールのみが表示されます。 新規/変更されたページ:FTD NAT ポリシーを編集するときに、ルールテーブルの上に検索フィールドが追加されました。 サポートされるプラットフォーム:FTD |
||
アクセス コントロール ポリシーとプレフィルタポリシー間のルールのコピーおよび移動。 |
あるアクセス コントロール ポリシーから別のアクセス コントロール ポリシーにアクセス制御ルールをコピーできます。アクセス コントロール ポリシーとそれに関連付けられたプレフィルタポリシーの間でルールを移動することもできます。 新規/変更されたページ:アクセス コントロール ポリシー エディタおよびプレフィルタ ポリシー エディタで、各ルールの右クリックメニューに [Copy] および [Move] オプションが追加されました。 サポートされるプラットフォーム:FMC |
||
オブジェクト一括インポート。 |
カンマ区切り値(CSV)ファイルを使用して、ネットワーク、ポート、URL、VLAN タグ、および識別名オブジェクトを FMC に一括インポートできるようになりました。 制限事項および特定のフォーマット手順については、FMC コンフィギュレーション ガイドの「再利用可能なオブジェクト」の章を参照してください。 新規/変更されたページ:[オブジェクト(Objects)] > [オブジェクト管理(Object Management)] > [オブジェクトタイプの選択(choose an object type)] > [オブジェクトタイプの追加(Add Object Type)] > [オブジェクトのインポート(Import Object)] サポートされるプラットフォーム:FMC |
||
アクセス制御およびプレフィルタポリシーのインターフェイス オブジェクトの最適化。 |
特定の FTD デバイスでインターフェイス オブジェクトの最適化を有効にできるようになりました。 展開時に、アクセス制御とプレフィルタポリシーで使用されるインターフェイスグループとセキュリティゾーンは、送信元/宛先インターフェイスペアごとに個別のルールを生成します。インターフェイス オブジェクトの最適化を有効にすると、システムはアクセス制御/プレフィルタルールごとに 1 つのルールを展開します。これにより、デバイス設定の簡素化および展開のパフォーマンス向上が可能になります。 インターフェイス オブジェクトの最適化はデフォルトで無効になっています。これを有効にする場合は、[Object Group Search] も有効にする必要があります。これは、ネットワークオブジェクトに加えてインターフェイス オブジェクトにも適用されるようになり、デバイスのメモリ使用量を削減できます。 新規/変更されたページ: チェックボックス セクション > [インターフェイス オブジェクトの最適化(Interface Object Optimization)]サポートされるプラットフォーム:FTD |
||
管理とトラブルシューティング |
|||
FMC シングルサインオン。 |
FMC は、サードパーティの SAML 2.0 準拠アイデンティティ プロバイダー(IdP)で設定された外部ユーザーのシングルサインオン(SSO)をサポートするようになりました。IdP のユーザーまたはグループロールを FMC ユーザーロールにマッピングできます。 新規/変更されたページ: サポートされるプラットフォーム:FMC |
||
FMC ログアウトの遅延。 |
FMC からログアウトする場合、自動的に 5 秒間のカウントダウンが行われます。[ログアウト(Log Out)] を再度クリックすると、すぐにログアウトできます。 サポートされるプラットフォーム:FMC |
||
FTD コンテナインスタンスのバックアップと復元。 |
FMC を使用してバージョン 6.7.0 以降の FTD コンテナインスタンスをバックアップおよび復元できるようになりました。 サポートされるプラットフォーム:Firepower 4100/9300 |
||
ヘルスモニタリングの強化。 |
ヘルスモニタリングが次のように拡張されました。
サポートされるプラットフォーム:FMC |
||
ヘルスモジュールの更新。 |
CPU 使用率ヘルスモジュールが 4 つの新しいモジュールに置き換わりました。
メモリ使用量を追跡するために、次のヘルスモジュールが追加されました。
統計情報を追跡するために、次のヘルスモジュールが追加されました。
サポートされるプラットフォーム:FMC |
||
メッセージセンターの検索。 |
メッセージセンターで現在のビューをフィルタリングできるようになりました。 新規/変更されたページ:メッセージセンターの [Show Notifications] スライダに [Filter] アイコンとフィールドが追加されました。 サポートされるプラットフォーム:FMC |
||
ユーザビリティとパフォーマンス |
|||
Dusk テーマ。 |
ベータ版。 FMC Web インターフェイスのデフォルトは Light テーマですが、新しい Dusk テーマを選択することもできます。
新規/変更されたページ:ユーザー名の下にあるドロップダウンリストの [ユーザー設定(User Preferences)] サポートされるプラットフォーム:FMC |
||
FMC メニューの検索。 |
FMC メニューを検索できるようになりました。 新規/変更されたページ:[Deploy] メニューの左側にある [FMC] メニューバーに [Search] アイコンとフィールドが追加されました。 サポートされるプラットフォーム:FMC |
||
Firepower Management Center REST API |
|||
新しい REST API サービス。 |
新機能と既存の機能をサポートするために、次の FMC REST API サービス/操作が追加されました。 認可サービス:
ヘルスサービス:
展開サービス:
デバイスサービス:
統合サービス:
ポリシーサービス:
サービスの更新:
サポートされるプラットフォーム:FMC |
FDM バージョン 6.7 の新機能
機能 |
説明 |
||
---|---|---|---|
プラットフォーム機能 |
|||
ASA 5525-X、5545-X、5555-X でのサポートが終了します。最後にサポートされていたリリースは FTD 6.6 です。 |
FTD 6.7 を ASA 5525-X、5545-X、5555-X にインストールすることはできません。これらのモデルで最後にサポートされていたリリースは FTD 6.6 です。 |
||
ファイアウォールと IPS の機能 |
|||
アクセス制御ルールの照合のための TLS サーバーアイデンティティ検出 |
TLS 1.3 証明書は暗号化されます。TLS 1.3 で暗号化されたトラフィックで、アプリケーションまたは URL フィルタリングを使用するアクセスルールに対応するには、システムが TLS 1.3 証明書を復号する必要があります。暗号化された接続が適切なアクセス制御ルールに適合していることを確認するため、[TLS Server Identity Discovery] を有効にすることを推奨します。この設定では、証明書のみが復号されます。接続は暗号化されたままになります。 [Access Control Settings]()ボタンとダイアログボックスが ページに追加されました。 |
||
外部の信頼できる CA 証明書のグループ |
SSL 復号ポリシーで使用される信頼できる CA 証明書のリストをカスタマイズできるようになりました。デフォルトでは、ポリシーはすべてのシステム定義の信頼できる CA 証明書を使用しますが、カスタムグループを作成して証明書を追加したり、デフォルトグループを独自のより制限されたグループに置き換えることができます。 ページに証明書グループが追加され、SSL 復号ポリシー設定を変更して証明書グループを選択できるようにしました。 |
||
パッシブ ID ルールの Active Directory レルムシーケンス |
Active Directory(AD)サーバーとそのドメインの番号付きリストであるレルムシーケンスを作成し、パッシブ認証 ID ルールで使用できます。レルムシーケンスは、複数の AD ドメインをサポートしている状況で、ユーザーベースのアクセス制御を実行するときに役立ちます。各 AD ドメインの個別のルールを記述する代わりに、すべてのドメインを対象とする単一のルールを作成できます。シーケンス内の AD レルムの順序は、ID の競合が発生した場合に、その競合を解決するために使用されます。 FTD API に RealmSequence リソースが追加されました。また IdentityRule リソースには、アクションとしてパッシブ認証を使用するルールのレルムとしてレルム シーケンス オブジェクトを選択する機能が追加されました。 ページに AD レルム シーケンス オブジェクトが追加され、そのオブジェクトをパッシブ認証アイデンティティルールのレルムとして選択できるようになりました。 |
||
TrustSec セキュリティグループタグ(SGT)グループオブジェクトの FDM サポートと、アクセス制御ルールでのそれらの使用 |
FTD 6.5 では、SGT グループオブジェクトを設定し、それらをアクセス制御ルールの一致基準として使用するためのサポートが FTD API に追加されました。さらに、ISE によってパブリッシュされた SXP トピックをリッスンするように ISE アイデンティティ オブジェクトを変更できます。これらの機能を FDM で直接設定できるようになりました。 新しいオブジェクトである SGT グループが追加され、それらを選択および表示できるようにアクセス制御ポリシーが更新されました。また、サブスクライブするトピックの明示的な選択を含むように ISE オブジェクトを変更しました。 |
||
Snort 3.0 のサポート |
新しいシステムでは、Snort 3.0 がデフォルトの検査エンジンです。古いリリースから 6.7 にアップグレードした場合、アクティブな検査エンジンは Snort 2.0 のままですが、Snort 3.0 に切り替えることができます。このリリースでは、Snort 3.0 は、仮想ルータ、時間ベースのアクセス制御ルール、または TLS 1.1 以下の接続の復号化をサポートしていません。これらの機能が必要ない場合にのみ Snort 3.0 を有効にしてください。Snort 2.0 と Snort 3.0 の間を自由に切り替えることができるため、必要に応じて、変更を元に戻すことができます。バージョンを切り替えるたびにトラフィックが中断されます。 グループに Snort のバージョンを切り替える機能が追加されました。FTD API では、IntrusionPolicy リソースアクション/toggleinspectionengine が追加されました。 ページの [侵入ルール(Intrusion Rules)]さらに、Snort 3 ルールパッケージの更新で追加、削除、または変更された侵入ルールを示す新しい監査イベント、ルール更新イベントがあります。 |
||
Snort 3 のカスタム侵入ポリシー |
Snort 3 を検査エンジンとして使用している場合は、カスタム侵入ポリシーを作成できます。これに対し、Snort 2 を使用する場合にのみ、事前定義されたポリシーを使用できます。カスタム侵入ポリシーを使用すると、ルールのグループを追加または削除し、グループレベルでセキュリティレベルを変更して、グループ内のルールのデフォルトアクション(無効化、アラート、またはドロップ)を効率的に変更できます。Snort 3 の侵入ポリシーを使用すると、Cisco Talos 提供の基本ポリシーを編集することなく、IPS/IDS システムの動作をより詳細に制御できます。 侵入ポリシーを一覧表示するように ページが変更されました。新しいポリシーを作成したり、既存のポリシーを表示または編集(グループの追加/削除、セキュリティレベルの割り当て、ルールのアクションの変更など)することができます。複数のルールを選択し、それらのアクションを変更することもできます。さらに、アクセス制御ルールでカスタム侵入ポリシーを選択できます。 |
||
侵入イベント用の複数の syslog サーバー |
侵入ポリシー用に複数の syslog サーバーを設定できます。侵入イベントは各 syslog サーバーに送信されます。 侵入ポリシー設定ダイアログボックスに、複数の syslog サーバーオブジェクトを選択する機能が追加されました。 |
||
URL レピュテーション照合にレピュテーションが不明なサイトを含めることが可能です |
URL カテゴリのトラフィック一致基準を設定し、レピュテーション範囲を選択する場合に、レピュテーションが不明な URL をレピュテーション照合に含めることができます。 アクセス制御ルールと SSL 復号ルールの URL レピュテーション基準に [レピュテーションが不明なサイトを含める(Include Sites with Unknown Reputation)] チェックボックスが追加されました。 |
||
VPN 機能 |
|||
仮想トンネルインターフェイス(VTI)とルートベースのサイト間 VPN |
VPN 接続プロファイルのローカルインターフェイスとして仮想トンネルインターフェイスを使用して、ルートベースのサイト間 VPN を作成できるようになりました。ルートベースのサイト間 VPN を使用すると、VPN 接続プロファイルを一切変更することなく、ルーティングテーブルを変更するだけで、特定の VPN 接続で保護されたネットワークを管理できます。リモートネットワークの追跡を継続し、前述の変更に対応して VPN 接続プロファイルを更新する必要はありません。その結果、クラウド サービス プロバイダーや大企業の VPN 管理が簡素化されます。 インターフェイスのリストのページに [仮想トンネルインターフェイス(Virtual Tunnel Interfaces)] タブが追加され、VTI をローカルインターフェイスとして使用できるように、サイト間 VPN ウィザードが更新されました。 |
||
FTD リモート アクセス VPN 接続を行うための Hostscan およびダイナミック アクセス ポリシー(DAP)の API サポート |
Hostscan パッケージとダイナミック アクセス ポリシー(DAP)ルール XML ファイルをアップロードし、XML ファイルを作成するよう DAP ルールを設定することで、接続中のエンドポイントのステータスに関連する属性に基づいてグループポリシーをリモートユーザーに割り当てる方法を制御することができます。Cisco Identity Services Engine(ISE)がない場合は、これらの機能を使用して認可変更を実行できます。Hostscan のアップロードと DAP の設定は FTD API を使用してのみ行えます。FDM を使用して設定することはできません。Hostscan および DAP の使用方法の詳細については、AnyConnect のマニュアルを参照してください。 dapxml、hostscanpackagefiles、hostscanxmlconfigs、ravpns の各 FTD API オブジェクトモデルを追加または変更しました。 |
||
外部 CA 証明書の証明書失効チェックの有効化 |
FTD API を使用して、特定の外部 CA 証明書の証明書失効チェックを有効にすることができます。失効チェックは、リモートアクセス VPN で使用される証明書に特に役立ちます。FDM を使用して証明書の失効チェックを設定することはできません。FTD API を使用する必要があります。 ExternalCACertificate リソースに revocationCheck、crlCacheTime、および oscpDisableNonce 属性が追加されました。 |
||
安全性の低い Diffie-Hellman グループ、および暗号化アルゴリズムとハッシュアルゴリズムのサポートがなくなりました |
6.6 で廃止されていた以下の機能が削除されました。それらを IKE プロポーザルまたは IPsec ポリシーで引き続き使用している場合は、アップグレード後にそれらを置き換えないと、設定変更を展開できません。VPN が正しく機能するように、サポートされる DH および暗号化アルゴリズムにアップグレードする前に VPN 設定を変更することをお勧めします。
|
||
リモートアクセス VPN 用のカスタムポート |
リモートアクセス VPN(RA VPN)接続に使用するポートを設定できます。RA VPN に使用されているインターフェイスで FDM に接続する必要がある場合は、RA VPN 接続のポート番号を変更できます。FDM が使用するポート 443 は、デフォルトの RA VPN ポートでもあります。 RA VPN ウィザードのグローバル設定ステップが更新され、ポート設定が追加されました。 |
||
リモートアクセス VPN を認証するための SAML サーバーのサポート |
SAML 2.0 サーバーをリモートアクセス VPN の認証ソースとして設定できます。サポートされている SAML サーバーは次のとおりです:Duo。 ページでのアイデンティティソースとして SAML サーバーが追加され、それを使用できるようにリモートアクセス VPN 接続プロファイルが更新されました。 |
||
AnyConnect モジュールプロファイルの FTD API サポート |
FTD API を使用して、AMP イネーブラ、ISE ポスチャ、Umbrella といった AnyConnect で使用されるモジュールプロファイルをアップロードできます。これらのプロファイルは、AnyConnect プロファイル エディタ パッケージからインストールできるオフライン プロファイル エディタを使用して作成する必要があります。 AnyConnectClientProfile モデルに anyConnectModuleType 属性が追加されました。最初はモジュールプロファイルを使用する AnyConnect クライアント プロファイル オブジェクトを作成できますが、FDM で作成されたオブジェクトを変更して正しいモジュールタイプを指定するには、依然として API を使用する必要があります。 |
||
ルーティング機能 |
|||
スマート CLI による EIGRP のサポート |
以前のリリースでは、FlexConfig を使用して、[Advanced Configuration] ページで EIGRP を設定しました。今回、[Routing] ページでスマート CLI を直接使用して EIGRP を設定するようになりました。 FlexConfig を使用して EIGRP を設定した場合は、リリース 6.7 にアップグレードするときに、FlexConfig ポリシーから FlexConfig オブジェクトを削除してから、スマート CLI オブジェクトで設定を再作成する必要があります。スマート CLI の更新が完了するまでは、参照用に EIGRP FlexConfig オブジェクトを保持できます。設定は自動的に変換されません。 [Routing] ページに EIGRP スマート CLI オブジェクトが追加されました。 |
||
インターフェイス機能 |
|||
ISA 3000 ハードウェアバイパスの持続性 |
永続化オプションを使用して、ISA 3000 インターフェイスペアのハードウェアバイパスを有効にできるようになりました。電源が回復した後、ハードウェアバイパスは手動で無効にするまで有効のままになります。持続性のないハードウェアバイパスを有効にすると、電源が回復した後にハードウェアバイパスが自動的に無効になります。ハードウェアバイパスが無効になっていると、短時間のトラフィック中断が発生する可能性があります。永続化オプションを使用すると、トラフィックの短時間の中断が発生するタイミングを制御できます。 新規/変更された画面: |
||
Firepower 4100/9300 における FTD 動作リンク状態と物理リンク状態の同期 |
Firepower 4100/9300 シャーシでは、FTD 動作リンク状態をデータインターフェイスの物理リンク状態と同期できるようになりました。現在、FXOS 管理状態がアップで、物理リンク状態がアップである限り、インターフェイスはアップ状態になります。FTD アプリケーション インターフェイスの管理状態は考慮されません。FTD からの同期がない場合は、たとえば、FTD アプリケーションが完全にオンラインになる前に、データインターフェイスが物理的にアップ状態になったり、FTD のシャットダウン開始後からしばらくの間はアップ状態のままになる可能性があります。この機能はデフォルトで無効になっており、FXOS の論理デバイスごとに有効にできます。
新規/変更された Firepower Chassis Manager 画面:[論理デバイス(Logical Devices)] > [リンク状態の有効化(Enable Link State)] 新規/変更された FXOS コマンド:set link-state-sync enabled、show interface expand detail サポートされているプラットフォーム: Firepower 4100/9300 |
||
Firepower 1100 および 2100 SFP インターフェイスで、自動ネゴシエーションの無効化がサポートされるようになりました |
自動ネゴシエーションを無効にするように Firepower 1100 および 2100 SFP インターフェイスを設定できるようになりました。10GB インターフェイスの場合、自動ネゴシエーションなしで速度を 1GB に設定できます。速度が 10GB に設定されているインターフェイスの自動ネゴシエーションは無効にできません。 新規/変更画面:[Device] > [Interfaces] > [Edit Interface] > [Advanced Options] > [Speed]サポートされるプラットフォーム:Firepower 1100 および 2100 |
||
管理およびトラブルシューティングの機能 |
|||
失敗した FTD ソフトウェアのアップグレードをキャンセルし、以前のリリースに戻す機能 |
FTD のメジャー ソフトウェア アップグレードが失敗するか、正常に機能しない場合は、アップグレードインストールの実行時の状態にデバイスを戻すことができます。 FDM の [System Upgrade] パネルにアップグレードを元に戻す機能が追加されました。アップグレード時に、FDM ログイン画面にアップグレードステータスが表示され、アップグレードが失敗した場合にキャンセルしたり元に戻すためのオプションが表示されます。FTD API に CancelUpgrade、RevertUpgrade、RetryUpgrade、および UpgradeRevertInfo リソースが追加されました。 FTD CLI に show last-upgrade status 、show upgrade status 、show upgrade revert-info 、upgrade cancel 、upgrade revert 、upgrade cleanup-revert 、および upgrade retry コマンドが追加されました。 |
||
データインターフェイス上の FDM/FTD API アクセス用のカスタム HTTPS ポート |
データインターフェイスで FDM または FTD API アクセスに使用する HTTPS ポートを変更できます。ポートをデフォルトの 443 から変更することにより、管理アクセスと同じデータインターフェイスで設定されているその他の機能(リモートアクセス VPN など)の競合を回避できます。管理インターフェイスの管理アクセス HTTPS ポートは変更できないことに注意してください。 ページにポートを変更する機能が追加されました。 |
||
Firepower 1000 および 2100 シリーズ デバイス上の Cisco Defense Orchestrator のロータッチプロビジョニング |
Cisco Defense Orchestrator(CDO)を使用して新しい FTD デバイスを管理する予定がある場合、デバイス セットアップ ウィザードを完了することなく、または FDM にログインすることさえなく、デバイスを追加できるようになりました。 新しい Firepower 1000 および 2100 シリーズ デバイスは、最初に Cisco Cloud に登録され、CDO で簡単に要求できます。CDO に入ると、CDO からデバイスをすぐに管理できます。このロータッチプロビジョニングでは、物理デバイスと直接やりとりする必要性が最小限に抑えられ、ネットワクデバイスに関する経験が浅い従業員が勤務するリモートオフィスなどの場所にとって理想的です。 Firepower 1000 および 2100 シリーズ デバイスの初期プロビジョニング方法が変更されました。また、 ページに自動登録が追加されました。これにより、FDM を使用して以前に管理していたアップグレード済みデバイスおよびその他のデバイスのプロセスを手動で開始できます。 |
||
SNMP 設定の FTD API サポート |
FTD API を使用して FDM または CDO 管理対象 FTD デバイスで SNMP バージョン 2c または 3 を設定できます。 API リソースの SNMPAuthentication、SNMPHost、SNMPSecurityConfiguration、SNMPServer、SNMPUser、SNMPUserGroup、SNMPv2cSecurityConfiguration、および SNMPv3SecurityConfiguration が追加されました。
|
||
システムに保持されるバックアップファイルの最大数が 10 から 3 に減少 |
システムでは、10 個ではなく最大 3 個のバックアップファイルがシステムに保持されます。新しいバックアップが作成されると、最も古いバックアップファイルが削除されます。必要な場合にシステムを回復するために必要なバージョンを入手できるように、バックアップファイルは異なるシステムにダウンロードしてください。 |
||
FTD API バージョンの後方互換性 |
FTD バージョン 6.7 以降、ある機能の API リソースモデルがリリース間で変更されない場合、FTD API は古い API バージョンに基づくコールを受け入れることができます。機能モデルが変更された場合でも、古いモデルを新しいモデルに変換する論理的な方法があれば、古いコールが機能します。たとえば、v4 コールを v5 システムで受け入れることができます。コールのバージョン番号として「latest(最新)」を使用する場合、「古い」コールは、このシナリオでは v5 コールとして解釈されるため、下位互換性を利用するかどうかは、API コールの構築方法によって決まります。 |
||
FTD REST API バージョン 6(v6) |
ソフトウェアバージョン 6.7 用の FTD REST API はバージョン 6 です。API URL の v6 を使用するか、優先的に /latest/ を使用して、デバイスでサポートされている最新の API バージョンを使用していることを示せます。 使用しているリソースモデルに変更が加えられている可能性があるため、既存のすべての呼び出しを再評価してください。リソースを表示できる API エクスプローラを開くには、FDM にログインして、[詳細オプション(More options)] ボタン()をクリックし、[APIエクスプローラ(API Explorer)] を選択します。 |
バージョン 6.7 の新しいハードウェアと仮想プラットフォーム
機能 |
説明 |
---|---|
新しい仮想環境。 |
次の環境に FMCv および FTDv が導入されました。
|
新しい侵入ルールとキーワード
アップグレードにより侵入ルールをインポートして自動的に有効化が可能です。
侵入ルールを更新(SRU/LSP)すると、新規および更新された侵入ルールとプリプロセッサルール、既存のルールに対して変更された状態、および変更されたデフォルトの侵入ポリシーの設定が提供されます。現在のバージョンでサポートされていないキーワードが新しい侵入ルールで使用されている場合、SRU/LSP を更新しても、そのルールはインポートされません。
アップグレードし、これらのキーワードがサポートされると、新しい侵入ルールがインポートされ、IPS の設定に応じて自動的に有効化できるため、イベントの生成とトラフィックフローへの影響を開始できます。
Snort のバージョンを確認するには、互換性ガイドの「バンドルされたコンポーネント」の項を参照するか、次のコマンドのいずれかを使用します。
-
FMC: を選択します。
-
FDM:show summary CLI コマンドを使用します。
Snort リリースノートには、新しいキーワードの詳細が含まれています。https://www.snort.org/downloads でSnort ダウンロードページのリリースノートを参照できます。