이러한 디바이스는 다음의 새로운 네트워크 모듈을 지원합니다.

• 2포트 100G QSFP+ 네트워크 모듈(FPR4K-XNM-2X100G)

• 4포트 200G QSFP+ 네트워크 모듈(FPR4K-XNM-4X200G)

참조: Cisco Secure Firewall 4215, 4225 및 4245 하드웨어 설치 가이드

업그레이드 영향. 업그레이드 후 인터페이스를 병합합니다.

7.4 이상 버전을 사용하는 새 디바이스의 경우 레거시 진단 인터페이스를 사용할 수 없습니다. 병합된 관리 인터페이스만 사용할 수 있습니다.

7.4 이상으로 업그레이드하고 다음의 경우:

• 진단 인터페이스에 대한 구성이 없는 경우 인터페이스가 자동으로 병합됩니다.

• 진단 인터페이스에 대한 구성이 있는 경우 인터페이스를 수동으로 병합하거나 별도의 진단 인터페이스를 계속 사용할 수 있습니다. 진단 인터페이스에 대한 지원은 이후 릴리스에서 제거되므로 가능한 빨리 인터페이스를 병합해야 합니다.

병합 모드는 기본적으로 데이터 라우팅 테이블을 사용하도록 AAA 트래픽의 동작을 변경합니다. 관리 전용 라우팅 테이블은 설정에서 관리 전용 인터페이스(관리 포함)를 지정한 경우에만 사용할 수 있습니다.

플랫폼 설정의 경우, 다음을 의미합니다.

• 더 이상 진단을 위해 HTTP, ICMP 또는 SMTP를 활성화할 수 없습니다.

• SNMP의 경우, 진단 대신 관리에서 호스트를 허용할 수 있습니다.

• 시스템 로그 서버의 경우, 진단 대신 관리에서 연결할 수 있습니다.

• 시스템 로그 서버 또는 SNMP 호스트에 대한 플랫폼 설정에서 이름으로 진단 인터페이스를 지정하는 경우, 병합된 디바이스와 병합되지 않은 디바이스에 대해 별도의 플랫폼 설정 정책을 사용해야 합니다.

• 인터페이스를 지정하지 않으면 DNS 조회가 더 이상 관리 전용 라우팅 테이블로 대체되지 않습니다.

신규/수정된 화면: Devices(디바이스) > Device Management(디바이스 관리) > Interfaces(인터페이스)

신규/수정된 명령: show management-interface convergence

참조: 관리 및 진단 인터페이스 병합

관리 전용 또는 루프백 인터페이스로만 인터페이스 그룹 개체를 만들 수 있습니다. DNS 서버, HTTP 액세스 또는 SSH와 같은 관리 기능에 이러한 그룹을 사용할 수 있습니다. 루프백 인터페이스를 활용할 수 있는 모든 기능에 루프백 그룹을 사용할 수 있습니다. 그러나 DNS는 관리 인터페이스를 지원하지 않습니다.

신규/수정된 화면: Objects(개체) > Object Management(개체 관리) > Interface(인터페이스) > Add(추가) > Interface Group(인터페이스 그룹)

참조: 인터페이스

기타 버전 제한: Threat Defense 버전 7.3.x에서는 지원되지 않습니다.

참조: 하트비트 모듈 리던던시(redundancy)

PBR(정책 기반 라우팅)은 이제 특정 대상 IP의 메트릭 대신 애플리케이션 도메인의 HTTP 클라이언트를 통해 경로 모니터링으로 수집된 성능 메트릭(RTT, 지터(Jitter), 패킷 손실 및 MOS)을 사용할 수 있습니다. HTTP 기반 애플리케이션 모니터링 옵션은 인터페이스에 대해 기본적으로 활성화되어 있습니다. 모니터링되는 애플리케이션과 경로 결정에 인터페이스 순서가 있는 일치 ACL을 사용하여 PBR 정책을 구성할 수 있습니다.

신규/수정된 화면: Devices(디바이스) > Device Management(디바이스 관리) > Edit device(디바이스 편집) > Edit interface(인터페이스 편집) > Path Monitoring(경로 모니터링) > Enable HTTP based Application Monitoring(HTTP 기반 애플리케이션 모니터링 활성화) 체크 박스.

플랫폼 제한: 클러스터된 디바이스에서는 지원되지 않습니다.

참조: 경로 모니터링 설정 구성

이제 사용자 및 사용자 그룹과 PBR 정책의 SGT를 기준으로 네트워크 트래픽을 분류할 수 있습니다. PBR 정책에 대한 확장 ACL을 정의하는 동안 ID 및 SGT 개체를 선택할 수 있습니다.

신규/수정된 화면: Objects(개체) > Object Management(개체 관리) > Access List(액세스 목록) > Extended(확장) > Add/Edit Extended Access List(확장 액세스 목록 추가/편집) > Add/Edit Extended Access List Entry(확장 액세스 목록 항목 추가/편집) > Users(사용자) 및 Security Group Tag(보안 그룹 태그)

참조: 확장 ACL 개체 구성

Secure Firewall 4200에서는 VTI 루프백 인터페이스를 통한 적격 IPsec 연결이 기본적으로 오프로드됩니다. 이전에는 이 기능이 Secure Firewall 3100의 물리적 인터페이스에 지원되었습니다.

FlexConfig 및 flow-offload-ipsec 명령을 사용하여 구성을 변경할 수 있습니다.

기타 요구 사항: FPGA 펌웨어 6.2 이상

참조: IPSec 플로우 오프로드

암호화 디버깅이 다음과 같이 개선되었습니다.

• 암호화 아카이브는 이제 텍스트 및 바이너리 형식으로 제공됩니다.

• 추가 SSL 카운터를 디버깅에 사용할 수 있습니다.

• 디바이스를 재부팅하지 않고 ASP 테이블에서 중단된 암호화 규칙을 제거합니다.

신규/수정된 CLI 명령: show counters

이제 Secure Client를 사용자 지정하고 이러한 사용자 지정 값을 VPN 헤드엔드에 구축할 수 있습니다. 지원되는 Secure Client 사용자 지정은 다음과 같습니다.

• GUI 텍스트 및 메시지

• 아이콘 및 이미지

• 스크립트

• 이진

• 맞춤형 설치 프로그램 변환

• 현지화된 설치 프로그램 변환

Threat Defense는 최종 사용자가 Secure Client에서 연결할 때 이러한 사용자 지정을 엔드포인트에 배포합니다.

신규/수정된 화면:

• Objects(개체) > Object Management(개체 관리) > VPN > Secure Client Customization(Secure Client 사용자 지정)

• Devices(디바이스) > Remote Access(원격 액세스) > Edit VPN policy(VPN 정책 편집) > Advanced(고급) > Secure Client Customization(Secure Client 사용자 지정)

참조: Secure Client 사용자 지정

이제 NAT 변환에서 사이트 간 VPN 트래픽을 보다 쉽게 제외할 수 있게 되었습니다.

신규/수정된 화면:

• 엔드포인트에 대한 NAT 제외 활성화: Devices(디바이스) > VPN > Site To Site(사이트 간) > Add/Edit Site to Site VPN(사이트 간 VPN 추가/편집) > Add/Edit Endpoint(엔드포인트 추가/편집) > Exempt VPN traffic from network address translation(네트워크 주소 변환에서 VPN 트래픽 제외)

• NAT 정책이 없는 디바이스에 대한 NAT 제외 규칙 보기: Devices(디바이스) > NAT > NAT Exemptions(NAT 제외)

• 단일 디바이스에 대한 NAT 제외 규칙 보기: Devices(디바이스) > NAT > Threat Defense NAT Policy(Threat Defense NAT 정책) > NAT Exemptions(NAT 제외)

참조: NAT 제외

사이트 간 VPN 대시보드에서 VPN 노드의 IKE 및 IPsec 세션 세부 정보를 사용자 친화적인 형식으로 볼 수 있습니다.

신규/수정된 화면: Overview(개요) > Site to Site VPN(사이트 간 VPN) > Tunnel Status(터널 상태) 위젯 아래에서 토폴로지에 마우스 포인터를 올려 View(보기)를 클릭한 다음 CLI Details(CLI 세부 정보) 탭 클릭.

참조: 사이트 간 VPN 모니터링

외부의 SAML IdP(Identity Provider) 정책을 사용하여 네트워크 내부(온프레미스) 또는 외부(원격)에서 보호된 웹 기반 리소스, 애플리케이션, 데이터에 대한 액세스를 인증하고 권한을 부여할 수 있는 Zero Trust Access를 도입했습니다.

구성은 ZTAP(Zero Trust 애플리케이션 정책), 애플리케이션 그룹 및 애플리케이션으로 이루어집니다.

신규/수정된 화면:

• Policies(정책) > Zero Trust Application(Zero Trust 애플리케이션)

• Analysis(분석) > Connections(연결) > Events(이벤트)

• Overview(개요) > Dashboard(대시보드) > Zero Trust

신규/수정된 CLI 명령:

• show running-config zero-trust application

• show running-config zero-trust application-group

• show zero-trust sessions

• show zero-trust statistics

• show cluster zero-trust statistics

• clear zero-trust sessions application

• clear zero-trust sessions user

• clear zero-trust statistics

이제 매니지드 디바이스 버전 7.3 이상에서 IPv6 네트워크에 대한 BGP 정상 재시작을 구성할 수 있습니다.

신규/수정된 화면: Devices(디바이스) > Device Management(디바이스 관리) > Edit device(디바이스 편집) > Routing(라우팅) > BGP > IPv6 > Neighbor(인접 항목) > Add/Edit Neighbor(인접 항목 추가/편집).

참조: BGP 인접 항목 설정 구성

이제 경로 기반 사이트 간 VPN에 대해 동적 VTI를 사용하여 가상 라우터를 구성할 수 있습니다.

신규/수정된 화면: Devices(디바이스) > Device Management(디바이스 관리) > Edit Device(디바이스 편집) > Routing(라우팅) > Virtual Router Properties(가상 라우터 특성) > Available Interfaces(사용 가능한 인터페이스) 아래의 Dynamic VTI interfaces(동적 VTI 인터페이스)

플랫폼 제한: 네이티브 모드 독립형 또는 고가용성 디바이스에서만 지원됩니다. 컨테이너 인스턴스 또는 클러스터된 디바이스에서는 지원되지 않습니다.

참조: 가상 라우터 및 동적 VTI 정보

EVE(암호화된 가시성 엔진)에서 이제 다음을 수행할 수 있습니다.

• 위협 점수를 기반으로 암호화된 트래픽의 악의적인 통신을 차단합니다.

• EVE에서 탐지된 프로세스를 기반으로 클라이언트 애플리케이션을 결정합니다.

• 탐지를 위해 조각화된 Client Hello 패킷을 리어셈블합니다.

신규/수정된 화면: 액세스 제어 정책의 고급 설정을 사용하여 EVE를 활성화하고 이러한 설정을 구성합니다.

참조: 암호화된 가시성 엔진

이제 특정 네트워크 및 포트가 엘리펀트 플로우를 우회하거나 제한하지 않도록 제외할 수 있습니다.

신규/수정된 화면:

• 액세스 제어 정책의 고급 설정에서 엘리펀트 플로우 탐지를 구성할 때 Elephant Flow Remediation(엘리펀트 플로우 교정) 옵션을 활성화하는 경우, 이제 Add Rule(규칙 추가)을 클릭하여 우회하거나 제한하지 않도록 제외할 트래픽을 지정할 수 있습니다.

• 시스템에서 우회하거나 제한하지 않도록 제외되는 엘리펀트 플로우를 탐지하면 Elephant Flow Exempted(엘리펀트 플로우 제외)라는 이유와 함께 중간 플로우 연결 이벤트를 생성합니다.

플랫폼 제한: Firepower 2100 Series에서는 지원되지 않습니다.

JavaScript를 표준화하고 표준화된 콘텐츠에 대해 규칙을 매칭하여 JavaScript 검사를 개선했습니다.

참조: HTTP 검사기 및 Cisco Secure Firewall Management Center Snort 3 구성 가이드

이제 Management Center에서 Cisco Secure Dynamic Attributes Connector를 구성할 수 있습니다. 이전에는 독립형 애플리케이션으로만 사용할 수 있었습니다.

참조: Cisco Secure Dynamic Attributes Connector

NetFlow는 패킷 플로우에 대한 통계를 제공하는 Cisco IOS 애플리케이션입니다. 이제 Management Center 웹 인터페이스를 사용하여 Threat Defense 디바이스를 NetFlow 엑스포터로 구성할 수 있습니다. 기존 NetFlow FlexConfig가 있고 웹 인터페이스에서 구성을 다시 실행하는 경우, 더 이상 사용되지 않는 FlexConfig를 제거할 때까지 구축할 수 없습니다.

신규/수정된 화면: Devices(디바이스) > Platform Settings(플랫폼 설정) > Threat Defense Settings Policy(Threat Defense 설정 정책) > NetFlow

참조: NetFlow 구성

600개가 넘는 새로운 asp(가속화된 보안 경로) 삭제 메트릭을 새 디바이스 상태 대시보드 또는 기존 디바이스 상태 대시보드에 추가할 수 있습니다. ASP Drops(ASP 삭제) 메트릭 그룹을 선택해야 합니다.

신규/수정된 화면: 시스템 ( ) > Health(상태) > Monitor(모니터) > Device(디바이스)

참조: show asp drop 명령 사용법

이전에는 Threat Defense가 IPv4 OCSP URL만 지원했습니다. 이제 Threat Defense는 IPv4 및 IPv6 OCSP URL을 모두 지원합니다.

참조: 인증서 등록 개체 해지 옵션

이제 다음을 수행할 수 있습니다.

• 시스템 ( ) > 스마트 라이선스에서 Threat Defense 클러스터용 스마트 라이선싱을 관리합니다. 이전에는 Device Management(디바이스 관리) 페이지를 사용해야 했습니다.

  참조: 클러스터링용 라이선스

• Message Center 알림에 대한 보고서를 다운로드합니다. 메시지 센터에서 Show Notifications(알림 표시) 슬라이더 옆에 있는 새로운 Download Report(보고서 다운로드) 아이콘을 클릭합니다.

  참조: 시스템 메시지 관리.

• 등록된 모든 디바이스에 대한 보고서를 다운로드합니다. Devices(디바이스) > Device Management(디바이스 관리)에서 페이지 오른쪽 상단에 있는 새로운 Download Device List Report(디바이스 목록 보고서 다운로드) 링크를 클릭합니다.

  참조: 매니지드 디바이스 목록 다운로드.

• 사용자 지정 상태 모니터링 대시보드를 쉽게 생성하고 기존 대시보드를 편리하게 편집합니다.

  참조: 디바이스 메트릭 연계

Secure Firewall 4200에서는 capture 명령과 함께 새로운 direction 키워드를 사용할 수 있습니다.

신규/수정된 CLI 명령: capturecapture_nameswitchinterfaceinterface_name[ direction{ both| egress| ingress} ]

참조: Cisco Secure Firewall Threat Defense 명령 참조

이제 Management Center 웹 인터페이스에서 Threat Defense 디바이스를 NetFlow 엑스포터로 구성할 수 있습니다. 이렇게 하면 더 이상 사용되지 않는 FlexConfig를 제거할 때까지 구축할 수 없습니다.

참조: NetFlow 구성

디스크 사용량 상태 모듈은 더 이상 높은 비관리 디스크 사용량에 대해 알림을 전송하지 않습니다. 매니지드 디바이스에 상태 정책을 구축하거나(알림 표시 중지), 디바이스를 버전 7.0.6, 7.2.4 또는 7.4로 업그레이드(알림 전송 중지)할 때까지 이러한 알림은 계속 표시될 수 있습니다.

나머지 디스크 사용량 알림에 대한 자세한 내용은 디스크 사용량 및 이벤트 드레인 상태 모니터 알림을 참고하십시오.