思科ASDM7.4(x)版本说明
首次发布日期:2015年3月23日最后更新日期:2015年7月16日本文档包含思科ASA系列的思科ASDM7.4(x)版本信息。
重要说明(第1页)系统要求(第1页)新功能(第7页)升级软件(第15页)遗留的漏洞和已修复的漏洞(第15页)最终用户许可协议(第16页)相关文档(第16页)获取文档和提交服务请求(第16页) 重要说明 统一通信电话代理和公司间媒体引擎代理已弃用—ASA9.4版本不再支持电话代理和IME代理。
系统要求 ASDM客户端操作系统和浏览器要求(第2页)Java和浏览器兼容性(第2页)为ASDM安装身份证书(第6页)增加ASDM配置内存(第6页)ASA和ASDM兼容性(第7页)VPN兼容性(第7页) 思科系统公司
1 思科ASDM7.4(x)版本说明 ASDM客户端操作系统和浏览器要求 下表列出支持的建议用于ASDM的客户端操作系统和Java。
表
1 操作系统和浏览器要求 操作系统 MicrosoftWindows(英文版和日文版):87Server2008Server2012AppleOSX10.4及更高版本 浏览器Explorer是 不支持 Firefox是 是 RedHatEnterpriseLinux5(GNOME或不适用 是 KDE): 桌面版 带工作站选项的桌面版 Safari不支持 是不适用 系统要求 Chrome是 JavaSE插件7.0或更高版本 是(仅限64位版本) 是 7.0或更高版本7.0或更高版本 Java和浏览器兼容性 下表列出了Java、ASDM和浏览器兼容性的兼容性警告。
2 思科ASDM7.4(x)版本说明 系统要求 表
2 Java与ASDM兼容性相关注意事项 Java版本7Update51 条件 ASDMLauncher需要可信证书 备注要继续使用Launcher,请执行以下其中一项操作:将Java升级到Java8或降级到Java7update45或更低版本。
在ASA上安装由已知CA颁发的可信证书。
安装自签证书并使用Java进行注册。
请参阅为ASDM安装身份证书。
或者,使用JavaWebStart。
注意:Java7update51不支持ASDM7.1
(5)及更低版本。
如果您已升级Java,并且无法再启动ASDM以将其升级到7.2版本或更高版本,则可以使用CLI升级ASDM,也可以在Java控制面板中为每个要使用ASDM管理的ASA添加安全性异常。
请参阅“解决方法”一节,网址: /en/download/help/java_blocked.xml 在极少数情况下,使用JavaWebStart时无法加载在线帮助 添加安全性异常后,启动旧版本ASDM,然后升级到7.2或更高版本。
在极少数情况下,启动在线帮助时,浏览器窗口会加载,但内容无法显示。
浏览器报告以下错误:“Unabletoconnect”。
解决方法: 使用ASDMLauncher或: 清除Java运行时参数中的.preferIPv6Addresses=true参数: a.启动Java控制面板。
b.点击Java选项卡。
c.点击View。
d.清除以下参数:.preferIPv6Addresses=true 7Update45 使用不可信证书时,ASDM将显示一条有关缺失“权限”属性的黄色警告
7 ASA需要有强加密许可证 (3DES/AES) e.点击OK,然后点击Apply,再次点击OK。
由于Java中存在的一个漏洞,因此,如果没有在ASA上安装可信证书,您将会在JAR清单中看到指示缺少权限属性的黄色警告。
可忽略此警告。
ASDM7.2或更高版本包含“权限”属性。
为了防止出现该警告,请安装可信证书(由已知CA颁发);或者依次选择Configuration>DeviceManagement>Certificates>IdentityCertificates以在ASA上生成自签证书。
启动ASDM,当出现证书警告时,选中Alwaystrustconnectionstowebsites复选框。
ASDM需要一个与ASA的SSL连接。
您可以向思科申请一个3DES许可证:
1.转至/go/license。
2.点击ContinuetoProductLicenseRegistration。
3.在许可门户中,点击文本字段旁边的GetOtherLicenses。
4.从下拉列表中选择IPS、Crypto、Other...。
5.将ASA键入至SearchbyKeyword字段。
6.在Product列表中选择CiscoASA3DES/AESLicense,然后点击Next。
7.输入ASA的序列号,然后按照提示为ASA申请3DES/AES许可证。
3 思科ASDM7.4(x)版本说明 系统要求 表
2 Java与ASDM兼容性相关注意事项(续) Java版本全部 条件自签证书或不可信证书IPv6 Firefox和Safari ASA上的SSL加密必须包括RC4-MD5和RC4-SHA1,或者在Chrome中禁用SSL虚假启动 Chrome 备注 如果ASA使用自签证书或不可信证书,当使用HTTPS通过IPv6浏览时,Firefox和Safari将无法添加安全性异常。
请访问/show_bug.cgi?
id=633001。
此警告会影响从Firefox或Safari到ASA的所有SSL连接(包括ASDM连接)。
要避免此警告,请为ASA配置由可信证书颁发机构颁发的正确证书。
如果更改ASA上的SSL加密以排除RC4-MD5和RC4-SHA1算法(默认情况下已启用这些算法),Chrome将由于Chrome“SSL虚假启动”功能而无法启动ASDM。
我们建议重新启用其中一种算法(参阅Configuration>DeviceManagement>Advanced>SSLSettings窗格);您也可以根据RunChromiumwithflags使用--disable-ssl-false-start标签在Chrome中禁用SSL虚假启动。
服务器专用IE9OSX 对于服务器专用Explorer9.0,“Donotsaveencryptedpagestodisk”选项在默认情况下处于启用状态(请参阅Tools>Options>Advanced)。
此选项会导致初始ASDM下载失败。
请务必禁用此选项以允许ASDM下载。
在OSX上,第一次运行ASDM时,系统可能会提示您安装Java,根据需要按照提示进行安装。
安装完成后,ASDM将启动。
4 思科ASDM7.4(x)版本说明 系统要求 表
2 Java与ASDM兼容性相关注意事项(续) Java版本全部 条件OSX10.8及更高版本 备注 您需要允许ASDM运行,因为它未使用Apple开发人员ID进行签名。
如果未更改安全首选项,将会出现一个错误屏幕。
1.要允许ASDM运行,请右键点击(或按住Ctrl键并点击)CiscoASDM-IDMLauncher图标,然后选择Open。
2.随即将会出现一个类似的错误屏幕,但您可以通过该屏幕打开ASDM。
点击Open,系统将打开ASDM-IDMLauncher。
5 思科ASDM7.4(x)版本说明 系统要求 为ASDM安装身份证书 使用Java7update51及更高版本时,ASDM启动程序需要可信证书。
满足证书要求的一个简单方法就是安装自签身份证书。
可使用JavaWebStart启动ASDM,直到安装证书。
请参阅为ASDM安装身份证书,以便在ASA上安装用于ASDM的自签身份证书,并向Java注册证书。
增加ASDM配置内存 ASDM最多支持512KB的配置。
如果超出此数量,可能会遇到性能问题。
例如加载配置时,状态对话框显示已完成配置的百分比,但如果有大型配置,它将停止递增并显示为暂停操作,即使ASDM仍可能在处理配置。
如果发生此情况,我们建议考虑增加ASDM系统堆内存。
增加Windows中的ASDM配置内存(第6页)增加Mac操作系统中的ASDM配置内存(第6页) 增加Windows中的ASDM配置内存 要增加ASDM堆内存大小,请通过执行以下程序编辑run.bat文件。
程序
1.转到ASDM安装目录,例如C:\ProgramFiles(x86)\CiscoSystems\ASDM。
2.使用任意文本编辑器编辑run.bat文件。
3.在以“startjavaw.exe”开头的行中,更改前缀为“-Xmx”的参数以指定所需堆大小。
例如,如需768MB内存, 请将参数更改为-Xmx768M;如需1GB内存,请将参数更改为-Xmx1G。
4.保存run.bat文件。
增加Mac操作系统中的ASDM配置内存 要增加ASDM堆内存大小,请通过执行以下程序编辑Info.plist文件。
程序
1.右键点击CiscoASDM-IDM图标,然后选择ShowPackageContents。
2.在Contents文件夹中,双击Info.plist文件。
如果已安装开发人员工具,该文件会在PropertyListEditor中打开。
否则,它将在TextEdit中打开。
3.在Java>VMOptions下方,更改前缀为“-Xmx”的字符串以指定所需堆大小。
例如,如需768MB内存,请将 参数更改为-Xmx768M;如需1GB内存,请将参数更改为-Xmx1G。
6 思科ASDM7.4(x)版本说明
4.如果该文件已锁定,则将看到如下错误: 新功能
5.点击Unlock并保存文件。
如果未看到Unlock对话框,请退出编辑器,右键点击CiscoASDM-IDM图标,选择CopyCiscoASDM-IDM,并将其粘贴到您拥有写入权限的位置,例如桌面。
然后从该副本更改堆大小。
ASA和ASDM兼容性 有关ASA/ASDM软件与硬件要求和兼容性(包括模块兼容性)的信息,请参阅思科ASA兼容性。
VPN兼容性 有关VPN兼容性,请参阅支持的VPN平台,思科ASA5500系列。
新功能 ASA9.4(1.152)/ASDM7.4
(3)的新功能(第8页)ASA9.2
(4)/ASDM7.4
(3)的新功能(第8页)ASA9.4(1.200)/ASDM7.4
(2)中的新功能(第9页)ASA9.4
(1)/ASDM7.4
(2)版本的新功能(第9页)ASA9.4
(1)/ASDM7.4
(1)版本的新功能(第10页)
7 思科ASDM7.4(x)版本说明 新功能 ASA9.4(1.152)/ASDM7.4
(3)的新功能 发布日期:2015年7月13日下表列出了Firepower9300ASA(9.4(1.152)版本/ASDM7.4
(3)版本)的新功能。
注意:此版本仅支持Firepower9300ASA。
表
3 Firepower9300ASA(9.4(1.152)版本/ASDM7.4
(3)版本)的新功能。
特性平台功能Firepower9300ASA安全模块高可用性功能Firepower9300的机箱内ASA集群 说明 我们引入了Firepower9300ASA安全模块。
您最多可在Firepower9300机箱内集群3个安全模块。
机箱中的所有模块都必须属于该集群。
许可功能Firepower9300ASA的思科智能软件许可 我们引入了以下屏幕配置:配置(Configuration)>设备管理(DeviceManagement)>高可用性和可扩展性(HighAvailabilityandScalability)>ASA集群复制(ASAClusterReplication) 我们为Firepower9300ASA引入了智能软件许可。
我们修改了以下屏幕配置:配置(Configuration)>设备管理(DeviceManagement)>许可(Licensing)>智能许可(SmartLicense) ASA9.2
(4)/ASDM7.4
(3)的新功能 发布日期:2014年7月16日下表列出了ASA9.2
(4)版/ASDM7.4
(3)版的新功能。
表
4 ASA9.2
(4)版本/ASDM7.4
(3)版本的新功能 特性平台功能在系统日志消息中显示无效用户名 说明 现在可在失败登录尝试的系统日志消息中显示无效的用户名。
当用户名无效或有效性未知时,默认设置是隐藏用户名。
例如,如果用户意外键入密码而不是用户名,则在结果系统日志消息中隐藏“用户名”更为安全。
您可能希望显示无效的用户名来帮助排除登录问题。
我们引入了以下命令:nologginghideusername。
我们修改了以下屏幕配置:配置(Configuration)>设备管理(DeviceManagement)>日志(Logging)>系统日志设置(SyslogSetup)
8 思科ASDM7.4(x)版本说明 新功能 表
4 ASA9.2
(4)版本/ASDM7.4
(3)版本的新功能(续) 特性 DHCP功能 DHCP中继服务器会验证用于应答的DHCP服务器标识符 监控功能 atAddrBindNumberOfEntries和atAddrBindSessionCountOID将允许Xlatecount轮询 说明 如果ASADHCP中继服务器收到来自错误的DHCP服务器的应答,现在它会验证该应答是否来自正确的服务器,然后对应答做出反应。
添加对atAddrBindNumberOfEntries和atAddrBindSessionCountOID的支持以支持SNMPxlate_count和max_xlate_count。
此数据等同于showxlatecount命令。
未修改任何ASDM屏幕。
此外,还在8.4
(5)和9.1
(5)版本中提供。
ASA9.4(1.200)/ASDM7.4
(2)中的新功能 发布日期:2015年5月12日下表列出了ASAv(9.4(1.200)版本/ASDM7.4
(2)版本)的新功能。
注意:此版本仅支持ASAv。
表
5 ASAv9.4(1.200)/ASDM7.4
(2)中的新功能 特性平台功能VMwareASAv不再需要vCenter支持 亚马逊网络服务(AWS)ASAv 说明 您现在可以使用vSphere客户端安装VMwareASAv,而无需vCenter,或使用Day0配置安装OVFTool。
您现在可以将ASAv与亚马逊网络服务(AWS)和Day0配置结合使用。
注意亚马逊网络服务仅支持ASAv10和ASAv30模式。
ASA9.4
(1)/ASDM7.4
(2)版本的新功能 发布日期:2015年5月6日下表列出了ASDM7.4
(2)版本的新功能。
表
6 ASDM7.4
(2)版本的新功能 特性远程访问功能支持AnyConnect4.1版本 说明 ASDM现在支持AnyConnect4.1版本。
我们修改了以下屏幕配置:配置(Configuration)>远程访问(RemoteessVPN)>网络(客户端)访问(Network(Client)ess)>AnyConnect客户端配置文件(AnyConnectClientProfile)(名为AMP启用服务配置(AMPEnablerServiceProfile)的新配置文件)
9 思科ASDM7.4(x)版本说明 新功能 ASA9.4
(1)/ASDM7.4
(1)版本的新功能 注意:新增、已更改和已弃用的系统日志消息在系统日志消息指南中列出。
发布日期:2015年3月23日下表列出了ASA9.4
(1)版/ASDM7.4
(1)版的新功能。
表
7 ASA9.4
(1)版/ASDM7.4
(1)版的新功能 功能平台功能ASA5506W-
X、ASA5506H-
X、ASA5508-X和ASA5516-
X 认证功能美国国防部统一功能要求(UCR)2013认证 说明 引入了以下型号:带有无线接入点的ASA5506W-
X、强化型ASA5506H-
X、ASA5508-X和ASA5516-
X。
引入了以下命令:hw-modulemodulewlanrecoverimage和hw-modulemodulewlanrecoverimage。
更新了ASA,以满足DoDUCR2013要求。
请参阅下表中的各行,了解下列为UCR2013认证添加的功能: 定期证书身份验证 证书到期警报 执行基本约束CA标记 从证书配置ASDM用户名 IKEv2无效选择器通知配置 FIPS140-2认证合规更新 IKEv2十六进制预共享密钥 当在ASA上启用FIPS模式时,将会对ASA实施其他限制,以使其符合FIPS140-
2。
限制包括: RSA和DH密钥大小限制-仅允许使用大小为2K(2048位)或以上的RSA和DH密钥。
对于DH,这意味着不允许使用第1组(768位)、第2组(1024位)和第5组(1536位)密钥。
注意:密钥大小限制禁止IKEv1与FIPS结合使用。
数字签名的散列算法限制-仅允许使用SHA256或更安全的算法。
SSH密码限制-允许的密码为:aes128-cbc或aes256-cbc。
MAC:SHA1 要查看ASA的FIPS认证状态,请参阅: http://csrc.nist.gov/groups/STM/cmvp/documents/140-1/140InProcess.pdf 此PDF每周更新一次。
有关详细信息,请访问计算机安全部门的计算机安全资源中心网站: 防火墙功能 改进了多核心ASA的SIP检测性能 修改了以下命令:fipsenable 如果有多条SIP信令流通过具有多核心的ASA,则表明SIP检测性能已经过改进。
但是,如果您使用的是TLS、电话或IME代理,则不会看到性能改进。
未修改任何屏幕。
10 思科ASDM7.4(x)版本说明 新功能 表
7 ASA9.4
(1)版/ASDM7.4
(1)版的新功能(续) 功能 取消了对电话代理和UC-IME代理的SIP检测支持 说明 当配置SIP检测后,您将无法再使用电话代理或UC-IME代理。
使用TLS代理检测加密流量。
DCERPC检测支持ISystemMapperUUID消息RemoteGetClassObjectopnum3 每个情景的SNMP服务器陷阱主机数没有限制 从SelectSIPInspectMap服务策略对话框中删除了PhoneProxy和UC-IMEProxy。
ASA从版本8.3开始支持非EPMDCERPC消息,支持ISystemMapperUUID消息RemoteCreateInstanceopnum4。
此更改扩展了对RemoteGetClassObjectopnum3消息的支持。
未修改任何屏幕。
ASA支持每个情景的SNMP服务器陷阱主机数不受限制。
showsnmp-serverhost命令输出仅显示正在轮询ASA的活动主机,以及静态配置的主机。
VXLAN数据包检测 未修改任何屏幕。
ASA可检测VXLAN报头以强制遵守标准格式。
修改了以下屏幕:Configuration>Firewall>ServicePolicyRules>AddServicePolicyRule>RuleActions>ProtocolInspection IPv6的DHCP监控 您现在可以监控IPv6的DHCP统计信息和DHCP绑定。
引入了以下屏幕: 高可用性功能阻止在备用ASA上生成系统日志 Monitoring>Interfaces>DHCP>IPV6DHCPStatisticsMonitoring>Interfaces>DHCP>IPV6DHCPBinding。
您现在可以阻止在备用设备上生成特定系统日志。
按接口启用和禁用ASA集群运行状况监控 未修改任何屏幕。
您现在可以按接口启用或禁用运行状况监控。
默认情况下,运行状况监控在所有端口通道冗余接口和单一物理接口上处于启用状态。
运行状况监控不在VLAN子接口或虚拟接口(例如,VNI或BVI)上执行。
您不能为集群控制链路配置监控;它始终处于被监控状态。
您可能想禁用不重要的接口(例如管理接口)的运行状况检查。
引入了以下屏幕:Configuration>DeviceManagement>HighAvailabilityandScalability>ASACluster>ClusterInterfaceHealthMonitoring DHCP中继的ASA集群支持 现在可以在ASA集群上配置DHCP中继。
通过使用客户端MAC地址散列,使客户端DHCP请求在集群成员中实现了负载均衡。
仍然不支持DHCP客户端和服务器功能。
ASA集群中的SIP检测支持 未修改任何屏幕。
您现在可以在ASA集群上配置SIP检测。
控制流可以在任何设备上创建(由于负载均衡),但其子数据流必须驻留在同一设备上。
不支持TLS代理配置。
路由功能基于策略的路由 未修改任何屏幕。
基于策略的路由(PBR)是一种机制,基于该机制,流量可以使用ACL,通过带有指定QoS的特定路径进行路由。
基于数据包的第3层和第4层报头的内容,ACL可以对流量进行分类。
管理员通过此解决方案可向不同的流量提供QoS,在低带宽、低成本永久路径与高带宽、高成本交换式路径之间分发交互式和批处理流量,并允许互联网运营商和其他组织通过明确定义的互联网连接来路由源自各类用户的流量。
引入或修改了以下屏幕: Configuration>DeviceSetup>Routing>RouteMaps>PolicyBasedRoutingConfiguration>DeviceSetup>Routing>InterfaceSettings>Interfaces。
11 思科ASDM7.4(x)版本说明 新功能 表
7 ASA9.4
(1)版/ASDM7.4
(1)版的新功能(续) 功能接口功能VXLAN支持 说明 增加了VXLAN支持,包括VXLAN隧道终端(VTEP)支持。
每个ASA或安全情景可以定义一个VTEP源接口。
我们引入了以下屏幕配置: Configuration>DeviceSetup>InterfaceSettings>Interfaces>Add>VNIInterfaceConfiguration>DeviceSetup>InterfaceSettings>VXLAN 监控功能EEM的内存跟踪 添加了一项新的调试功能来记录内存分配和内存使用情况,以响应内存日志记录封装事件。
对崩溃进行故障排除 远程访问功能支持ECDHE-ECDSA密码 我们修改了以下屏幕配置:配置(Configuration)>设备管理(DeviceManagement)>高级(Advanced)>嵌入式事件管理器(EmbeddedEventManager)>添加事件管理器小应用程序(AddEventManagerApplet)>添加事件管理器小应用程序事件(AddEventManagerAppletEvent)。
showtech-support命令输出和showcrashinfo命令输出包含最新生成的50行系统日志。
请注意,必须启用loggingbuffer命令才能出现这些结果。
TLSv1.2增加了对以下密码的支持:ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-RSA-AES256-GCM-SHA384 DHE-RSA-AES256-GCM-SHA384 AES256-GCM-SHA384 ECDHE-ECDSA-AES256-SHA384 ECDHE-RSA-AES256-SHA384 ECDHE-ECDSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-GCM-SHA256 DHE-RSA-AES128-GCM-SHA256 RSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES128-SHA256 ECDHE-RSA-AES128-SHA256 注意:ECDSA和DHE密码具有最高优先级。
修改了以下屏幕:Configuration>RemoteessVPN>Advanced>SSLSettings。
12 思科ASDM7.4(x)版本说明 新功能 表
7 ASA9.4
(1)版/ASDM7.4
(1)版的新功能(续) 功能 无客户端SSLVPN会话Cookie访问限制 说明 您现在可以防止第三方通过JavaScript等客户端侧脚本访问无客户端SSLVPN会话Cookie。
注意:请仅遵照思科TAC的建议使用此功能。
启用此功能会引发安全风险,因为系统在以下无客户端SSLVPN功能不运行时不提供任何警告。
Java插件 Java重写工具 端口转发 文件浏览器 需要桌面应用的Sharepoint功能(例如MSOffice应用) AnyConnectWeb启动 CitrixReceiver、和Xenon 其他不基于浏览器和浏览器插件的应用 引入了以下屏幕:Configuration>RemoteessVPN>ClientlessSSLVPNess>Advanced>HTTPCookie。
使用安全组标记的虚拟桌面访问控制 9.2
(3)中也包含此功能。
ASA现在支持基于安全组标记的策略控制,从而可对内部应用和网站进行无客户端SSL远程访问。
此功能将Citrix的虚拟桌面基础架构(VDI)与配合使用,将其用作交付控制器和ASA的内容转换引擎。
有关详细信息,请参阅以下Citrix产品文档: 用于和XenApp的策略: 管理7中的策略:-7/cds-policies-wrapper -rho.html 将组策略编辑器用于7策略:-7/cds-policies-use-gp mc.html 为无客户端SSLVPN添加了OWA2013功能支持 无客户端SSLVPN支持OWA2013中除以下功能外的新功能:支持平板电脑和智能手机 离线模式 ActiveDirectory联合身份验证服务(ADFS)2.0。
ASA和ADFS2.0无法协商加密协议 为无客户端SSLVPN添加了Citrix7.5和StoreFront2.5支持 未修改任何屏幕。
无客户端SSLVPN支持访问7.5和StoreFront2.5。
有关7.5功能的完整列表以及详细信息,请参阅-75/cds-75-aboutwhats-new.html。
有关StoreFront2.5功能的完整列表以及详细信息,请参阅。
未修改任何屏幕。
13 思科ASDM7.4(x)版本说明 新功能 表
7 ASA9.4
(1)版/ASDM7.4
(1)版的新功能(续) 功能定期证书身份验证 说明 启用定期证书身份验证时,ASA存储从VPN客户端接收的证书链,并且定期重新进行身份验证。
修改了以下屏幕: Configuration>DeviceManagement>CertificateManagement>IdentityCertificatesConfiguration>DeviceManagement>CertificateManagement>CACertificates 证书到期警报 ASA每24小时检查一次信任点中的所有CA和ID证书是否到期。
如果证书即将到期,则会将一条系统日志作为警报发出。
可以配置提醒和重现间隔。
默认情况下,提醒将在到期之前60天启动,每7天重现一次。
修改了以下屏幕: Configuration>DeviceManagement>CertificateManagement>IdentityCertificatesConfiguration>DeviceManagement>CertificateManagement>CACertificates 执行基本约束CA标记 默认情况下,现在不带CA标记的证书无法作为CA证书安装在ASA上。
基本约束扩展标可确定证书的主题是否为CA,及包含此证书的有效证书路径的最大深度。
如果需要,可将ASA配置为允许安装这些证书。
修改了以下屏幕:Configuration>DeviceManagement>CertificateManagement>CACertificates IKEv2无效选择器通知配置 目前,如果ASA在SA上接收到入站数据包,并且数据包的报头字段与SA的选择器不一致,则ASA会丢弃该数据包。
您现在可以启用或禁用向对等方发送IKEv2通知。
默认情况下会禁用发送此通知。
注意:在AnyConnect3.1.06060和更高版本中支持此功能。
IKEv2十六进制预共享密钥管理功能从证书配置ASDM用户名 terminalinteractive命令用于在CLI处输入?
时启用或禁用帮助 您现在可以配置十六进制形式的IKEv2预共享密钥。
修改了以下屏幕:Configuration>Site-to-SiteVPN>ConnectionProfiles 利用此功能,能够通过从证书提取用户名以及使用由用户提供的用户名对ASDM用户进行授权。
引入了以下屏幕:Configuration>DeviceManagement>Managementess>HTTPCertificateRule 修改了以下屏幕:Configuration>DeviceManagement>Users/AAA>AAAess>Authorization通常,当在ASACLI输入?
时,会显示命令帮助。
要支持输入?
作为命令中的文本(例如,将?
加入URL中),可以使用noterminalinteractive命令禁用交互式帮助。
RESTAPI版本1.1 添加了对RESTAPI1.1版的支持。
14 思科ASDM7.4(x)版本说明 升级软件 升级软件 请参阅下表以获取您的版本的升级路径。
某些版本需要先进行临时升级,然后才能升级到最新版本。
注意:除以下例外情况以外,对故障切换和ASA集群的零停机时间升级没有特殊要求。
ASA集群从9.0
(1)或9.1
(1)进行升级:由于CSCue72961,不支持无中断升级。
当前ASA版本8.2(x)8.3(x)8.4
(1)至8.4(4)8.4
(5)及更高版本8.5(1)8.6(1)9.0(1)9.0
(2)或更高版本9.1(1)9.1
(2)或更高版本9.2(x)9.3(x) 首先升级到:8.4(6)8.4(6)8.4
(6)、9.0
(4)或9.1(2)9.0
(4)或9.1(2)9.0
(4)或9.1(2)9.0
(4)或9.1(2)9.1
(2)- 然后升级到:9.4
(1)或更高版本9.4
(1)或更高版本9.4
(1)或更高版本9.4
(1)或更高版本9.4
(1)或更高版本9.4
(1)或更高版本9.4
(1)或更高版本9.4
(1)或更高版本9.4
(1)或更高版本9.4
(1)或更高版本9.4
(1)或更高版本9.4
(1)或更高版本 有关升级的详细步骤,请参阅9.4升级指南。
遗留的漏洞和已修复的漏洞 此版本的遗留的漏洞和已修复的漏洞可通过思科漏洞搜索工具进行查看。
此基于Web的工具可让您访问思科漏洞跟踪系统,该系统维护关于此产品和其他思科硬件和软件产品的漏洞信息。
注意:您必须拥有帐户才能登录并访问思科漏洞搜索工具。
如果没有,您可以注册一个帐户。
有关思科漏洞搜索工具的详细信息,请参阅漏洞搜索工具帮助和常见问题。
遗留的漏洞 每个版本的严重级别为3或更高的遗留漏洞列入以下搜索中:7.4
(3)遗留漏洞搜索7.4
(2)遗留漏洞搜索7.4
(1)遗留漏洞搜索 已修复的漏洞 每个版本的所有已修复漏洞列于以下搜索中:7.4
(3)已修复漏洞搜索7.4
(2)已修复漏洞搜索7.4
(1)已修复漏洞搜索 15 思科ASDM7.4(x)版本说明 最终用户许可协议 最终用户许可协议 有关最终用户许可协议的信息,请访问/go/warranty。
相关文档 有关ASA的详细信息,请参阅思科ASA系列文档导航。
获取文档和提交服务请求 有关获取文档、使用思科缺陷搜索工具(BST)、提交服务请求和收集其他信息的信息,请参阅思科产品文档更新,其网址为:。
订用思科产品文档更新,其中将所有最新及修订的思科技术文档列为RSS源并通过使用阅读器应用将相关内容直接发送至桌面。
RSS源是一种免费服务。
思科和思科徽标是思科和/或其附属公司在美国和其他国家/地区的商标或注册商标。
要查看思科商标列表,请转至此 URL: /go/trademarks。
文中提及的第三方商标为其相应所有者的财产。
“合作伙伴”一词的使用并不意味着思科和任何其他公司 之间存在合作伙伴关系。
(1110R) ©2015年思科系统公司。
版权所有。
16
重要说明(第1页)系统要求(第1页)新功能(第7页)升级软件(第15页)遗留的漏洞和已修复的漏洞(第15页)最终用户许可协议(第16页)相关文档(第16页)获取文档和提交服务请求(第16页) 重要说明 统一通信电话代理和公司间媒体引擎代理已弃用—ASA9.4版本不再支持电话代理和IME代理。
系统要求 ASDM客户端操作系统和浏览器要求(第2页)Java和浏览器兼容性(第2页)为ASDM安装身份证书(第6页)增加ASDM配置内存(第6页)ASA和ASDM兼容性(第7页)VPN兼容性(第7页) 思科系统公司
1 思科ASDM7.4(x)版本说明 ASDM客户端操作系统和浏览器要求 下表列出支持的建议用于ASDM的客户端操作系统和Java。
表
1 操作系统和浏览器要求 操作系统 MicrosoftWindows(英文版和日文版):87Server2008Server2012AppleOSX10.4及更高版本 浏览器Explorer是 不支持 Firefox是 是 RedHatEnterpriseLinux5(GNOME或不适用 是 KDE): 桌面版 带工作站选项的桌面版 Safari不支持 是不适用 系统要求 Chrome是 JavaSE插件7.0或更高版本 是(仅限64位版本) 是 7.0或更高版本7.0或更高版本 Java和浏览器兼容性 下表列出了Java、ASDM和浏览器兼容性的兼容性警告。
2 思科ASDM7.4(x)版本说明 系统要求 表
2 Java与ASDM兼容性相关注意事项 Java版本7Update51 条件 ASDMLauncher需要可信证书 备注要继续使用Launcher,请执行以下其中一项操作:将Java升级到Java8或降级到Java7update45或更低版本。
在ASA上安装由已知CA颁发的可信证书。
安装自签证书并使用Java进行注册。
请参阅为ASDM安装身份证书。
或者,使用JavaWebStart。
注意:Java7update51不支持ASDM7.1
(5)及更低版本。
如果您已升级Java,并且无法再启动ASDM以将其升级到7.2版本或更高版本,则可以使用CLI升级ASDM,也可以在Java控制面板中为每个要使用ASDM管理的ASA添加安全性异常。
请参阅“解决方法”一节,网址: /en/download/help/java_blocked.xml 在极少数情况下,使用JavaWebStart时无法加载在线帮助 添加安全性异常后,启动旧版本ASDM,然后升级到7.2或更高版本。
在极少数情况下,启动在线帮助时,浏览器窗口会加载,但内容无法显示。
浏览器报告以下错误:“Unabletoconnect”。
解决方法: 使用ASDMLauncher或: 清除Java运行时参数中的.preferIPv6Addresses=true参数: a.启动Java控制面板。
b.点击Java选项卡。
c.点击View。
d.清除以下参数:.preferIPv6Addresses=true 7Update45 使用不可信证书时,ASDM将显示一条有关缺失“权限”属性的黄色警告
7 ASA需要有强加密许可证 (3DES/AES) e.点击OK,然后点击Apply,再次点击OK。
由于Java中存在的一个漏洞,因此,如果没有在ASA上安装可信证书,您将会在JAR清单中看到指示缺少权限属性的黄色警告。
可忽略此警告。
ASDM7.2或更高版本包含“权限”属性。
为了防止出现该警告,请安装可信证书(由已知CA颁发);或者依次选择Configuration>DeviceManagement>Certificates>IdentityCertificates以在ASA上生成自签证书。
启动ASDM,当出现证书警告时,选中Alwaystrustconnectionstowebsites复选框。
ASDM需要一个与ASA的SSL连接。
您可以向思科申请一个3DES许可证:
1.转至/go/license。
2.点击ContinuetoProductLicenseRegistration。
3.在许可门户中,点击文本字段旁边的GetOtherLicenses。
4.从下拉列表中选择IPS、Crypto、Other...。
5.将ASA键入至SearchbyKeyword字段。
6.在Product列表中选择CiscoASA3DES/AESLicense,然后点击Next。
7.输入ASA的序列号,然后按照提示为ASA申请3DES/AES许可证。
3 思科ASDM7.4(x)版本说明 系统要求 表
2 Java与ASDM兼容性相关注意事项(续) Java版本全部 条件自签证书或不可信证书IPv6 Firefox和Safari ASA上的SSL加密必须包括RC4-MD5和RC4-SHA1,或者在Chrome中禁用SSL虚假启动 Chrome 备注 如果ASA使用自签证书或不可信证书,当使用HTTPS通过IPv6浏览时,Firefox和Safari将无法添加安全性异常。
请访问/show_bug.cgi?
id=633001。
此警告会影响从Firefox或Safari到ASA的所有SSL连接(包括ASDM连接)。
要避免此警告,请为ASA配置由可信证书颁发机构颁发的正确证书。
如果更改ASA上的SSL加密以排除RC4-MD5和RC4-SHA1算法(默认情况下已启用这些算法),Chrome将由于Chrome“SSL虚假启动”功能而无法启动ASDM。
我们建议重新启用其中一种算法(参阅Configuration>DeviceManagement>Advanced>SSLSettings窗格);您也可以根据RunChromiumwithflags使用--disable-ssl-false-start标签在Chrome中禁用SSL虚假启动。
服务器专用IE9OSX 对于服务器专用Explorer9.0,“Donotsaveencryptedpagestodisk”选项在默认情况下处于启用状态(请参阅Tools>Options>Advanced)。
此选项会导致初始ASDM下载失败。
请务必禁用此选项以允许ASDM下载。
在OSX上,第一次运行ASDM时,系统可能会提示您安装Java,根据需要按照提示进行安装。
安装完成后,ASDM将启动。
4 思科ASDM7.4(x)版本说明 系统要求 表
2 Java与ASDM兼容性相关注意事项(续) Java版本全部 条件OSX10.8及更高版本 备注 您需要允许ASDM运行,因为它未使用Apple开发人员ID进行签名。
如果未更改安全首选项,将会出现一个错误屏幕。
1.要允许ASDM运行,请右键点击(或按住Ctrl键并点击)CiscoASDM-IDMLauncher图标,然后选择Open。
2.随即将会出现一个类似的错误屏幕,但您可以通过该屏幕打开ASDM。
点击Open,系统将打开ASDM-IDMLauncher。
5 思科ASDM7.4(x)版本说明 系统要求 为ASDM安装身份证书 使用Java7update51及更高版本时,ASDM启动程序需要可信证书。
满足证书要求的一个简单方法就是安装自签身份证书。
可使用JavaWebStart启动ASDM,直到安装证书。
请参阅为ASDM安装身份证书,以便在ASA上安装用于ASDM的自签身份证书,并向Java注册证书。
增加ASDM配置内存 ASDM最多支持512KB的配置。
如果超出此数量,可能会遇到性能问题。
例如加载配置时,状态对话框显示已完成配置的百分比,但如果有大型配置,它将停止递增并显示为暂停操作,即使ASDM仍可能在处理配置。
如果发生此情况,我们建议考虑增加ASDM系统堆内存。
增加Windows中的ASDM配置内存(第6页)增加Mac操作系统中的ASDM配置内存(第6页) 增加Windows中的ASDM配置内存 要增加ASDM堆内存大小,请通过执行以下程序编辑run.bat文件。
程序
1.转到ASDM安装目录,例如C:\ProgramFiles(x86)\CiscoSystems\ASDM。
2.使用任意文本编辑器编辑run.bat文件。
3.在以“startjavaw.exe”开头的行中,更改前缀为“-Xmx”的参数以指定所需堆大小。
例如,如需768MB内存, 请将参数更改为-Xmx768M;如需1GB内存,请将参数更改为-Xmx1G。
4.保存run.bat文件。
增加Mac操作系统中的ASDM配置内存 要增加ASDM堆内存大小,请通过执行以下程序编辑Info.plist文件。
程序
1.右键点击CiscoASDM-IDM图标,然后选择ShowPackageContents。
2.在Contents文件夹中,双击Info.plist文件。
如果已安装开发人员工具,该文件会在PropertyListEditor中打开。
否则,它将在TextEdit中打开。
3.在Java>VMOptions下方,更改前缀为“-Xmx”的字符串以指定所需堆大小。
例如,如需768MB内存,请将 参数更改为-Xmx768M;如需1GB内存,请将参数更改为-Xmx1G。
6 思科ASDM7.4(x)版本说明
4.如果该文件已锁定,则将看到如下错误: 新功能
5.点击Unlock并保存文件。
如果未看到Unlock对话框,请退出编辑器,右键点击CiscoASDM-IDM图标,选择CopyCiscoASDM-IDM,并将其粘贴到您拥有写入权限的位置,例如桌面。
然后从该副本更改堆大小。
ASA和ASDM兼容性 有关ASA/ASDM软件与硬件要求和兼容性(包括模块兼容性)的信息,请参阅思科ASA兼容性。
VPN兼容性 有关VPN兼容性,请参阅支持的VPN平台,思科ASA5500系列。
新功能 ASA9.4(1.152)/ASDM7.4
(3)的新功能(第8页)ASA9.2
(4)/ASDM7.4
(3)的新功能(第8页)ASA9.4(1.200)/ASDM7.4
(2)中的新功能(第9页)ASA9.4
(1)/ASDM7.4
(2)版本的新功能(第9页)ASA9.4
(1)/ASDM7.4
(1)版本的新功能(第10页)
7 思科ASDM7.4(x)版本说明 新功能 ASA9.4(1.152)/ASDM7.4
(3)的新功能 发布日期:2015年7月13日下表列出了Firepower9300ASA(9.4(1.152)版本/ASDM7.4
(3)版本)的新功能。
注意:此版本仅支持Firepower9300ASA。
表
3 Firepower9300ASA(9.4(1.152)版本/ASDM7.4
(3)版本)的新功能。
特性平台功能Firepower9300ASA安全模块高可用性功能Firepower9300的机箱内ASA集群 说明 我们引入了Firepower9300ASA安全模块。
您最多可在Firepower9300机箱内集群3个安全模块。
机箱中的所有模块都必须属于该集群。
许可功能Firepower9300ASA的思科智能软件许可 我们引入了以下屏幕配置:配置(Configuration)>设备管理(DeviceManagement)>高可用性和可扩展性(HighAvailabilityandScalability)>ASA集群复制(ASAClusterReplication) 我们为Firepower9300ASA引入了智能软件许可。
我们修改了以下屏幕配置:配置(Configuration)>设备管理(DeviceManagement)>许可(Licensing)>智能许可(SmartLicense) ASA9.2
(4)/ASDM7.4
(3)的新功能 发布日期:2014年7月16日下表列出了ASA9.2
(4)版/ASDM7.4
(3)版的新功能。
表
4 ASA9.2
(4)版本/ASDM7.4
(3)版本的新功能 特性平台功能在系统日志消息中显示无效用户名 说明 现在可在失败登录尝试的系统日志消息中显示无效的用户名。
当用户名无效或有效性未知时,默认设置是隐藏用户名。
例如,如果用户意外键入密码而不是用户名,则在结果系统日志消息中隐藏“用户名”更为安全。
您可能希望显示无效的用户名来帮助排除登录问题。
我们引入了以下命令:nologginghideusername。
我们修改了以下屏幕配置:配置(Configuration)>设备管理(DeviceManagement)>日志(Logging)>系统日志设置(SyslogSetup)
8 思科ASDM7.4(x)版本说明 新功能 表
4 ASA9.2
(4)版本/ASDM7.4
(3)版本的新功能(续) 特性 DHCP功能 DHCP中继服务器会验证用于应答的DHCP服务器标识符 监控功能 atAddrBindNumberOfEntries和atAddrBindSessionCountOID将允许Xlatecount轮询 说明 如果ASADHCP中继服务器收到来自错误的DHCP服务器的应答,现在它会验证该应答是否来自正确的服务器,然后对应答做出反应。
添加对atAddrBindNumberOfEntries和atAddrBindSessionCountOID的支持以支持SNMPxlate_count和max_xlate_count。
此数据等同于showxlatecount命令。
未修改任何ASDM屏幕。
此外,还在8.4
(5)和9.1
(5)版本中提供。
ASA9.4(1.200)/ASDM7.4
(2)中的新功能 发布日期:2015年5月12日下表列出了ASAv(9.4(1.200)版本/ASDM7.4
(2)版本)的新功能。
注意:此版本仅支持ASAv。
表
5 ASAv9.4(1.200)/ASDM7.4
(2)中的新功能 特性平台功能VMwareASAv不再需要vCenter支持 亚马逊网络服务(AWS)ASAv 说明 您现在可以使用vSphere客户端安装VMwareASAv,而无需vCenter,或使用Day0配置安装OVFTool。
您现在可以将ASAv与亚马逊网络服务(AWS)和Day0配置结合使用。
注意亚马逊网络服务仅支持ASAv10和ASAv30模式。
ASA9.4
(1)/ASDM7.4
(2)版本的新功能 发布日期:2015年5月6日下表列出了ASDM7.4
(2)版本的新功能。
表
6 ASDM7.4
(2)版本的新功能 特性远程访问功能支持AnyConnect4.1版本 说明 ASDM现在支持AnyConnect4.1版本。
我们修改了以下屏幕配置:配置(Configuration)>远程访问(RemoteessVPN)>网络(客户端)访问(Network(Client)ess)>AnyConnect客户端配置文件(AnyConnectClientProfile)(名为AMP启用服务配置(AMPEnablerServiceProfile)的新配置文件)
9 思科ASDM7.4(x)版本说明 新功能 ASA9.4
(1)/ASDM7.4
(1)版本的新功能 注意:新增、已更改和已弃用的系统日志消息在系统日志消息指南中列出。
发布日期:2015年3月23日下表列出了ASA9.4
(1)版/ASDM7.4
(1)版的新功能。
表
7 ASA9.4
(1)版/ASDM7.4
(1)版的新功能 功能平台功能ASA5506W-
X、ASA5506H-
X、ASA5508-X和ASA5516-
X 认证功能美国国防部统一功能要求(UCR)2013认证 说明 引入了以下型号:带有无线接入点的ASA5506W-
X、强化型ASA5506H-
X、ASA5508-X和ASA5516-
X。
引入了以下命令:hw-modulemodulewlanrecoverimage和hw-modulemodulewlanrecoverimage。
更新了ASA,以满足DoDUCR2013要求。
请参阅下表中的各行,了解下列为UCR2013认证添加的功能: 定期证书身份验证 证书到期警报 执行基本约束CA标记 从证书配置ASDM用户名 IKEv2无效选择器通知配置 FIPS140-2认证合规更新 IKEv2十六进制预共享密钥 当在ASA上启用FIPS模式时,将会对ASA实施其他限制,以使其符合FIPS140-
2。
限制包括: RSA和DH密钥大小限制-仅允许使用大小为2K(2048位)或以上的RSA和DH密钥。
对于DH,这意味着不允许使用第1组(768位)、第2组(1024位)和第5组(1536位)密钥。
注意:密钥大小限制禁止IKEv1与FIPS结合使用。
数字签名的散列算法限制-仅允许使用SHA256或更安全的算法。
SSH密码限制-允许的密码为:aes128-cbc或aes256-cbc。
MAC:SHA1 要查看ASA的FIPS认证状态,请参阅: http://csrc.nist.gov/groups/STM/cmvp/documents/140-1/140InProcess.pdf 此PDF每周更新一次。
有关详细信息,请访问计算机安全部门的计算机安全资源中心网站: 防火墙功能 改进了多核心ASA的SIP检测性能 修改了以下命令:fipsenable 如果有多条SIP信令流通过具有多核心的ASA,则表明SIP检测性能已经过改进。
但是,如果您使用的是TLS、电话或IME代理,则不会看到性能改进。
未修改任何屏幕。
10 思科ASDM7.4(x)版本说明 新功能 表
7 ASA9.4
(1)版/ASDM7.4
(1)版的新功能(续) 功能 取消了对电话代理和UC-IME代理的SIP检测支持 说明 当配置SIP检测后,您将无法再使用电话代理或UC-IME代理。
使用TLS代理检测加密流量。
DCERPC检测支持ISystemMapperUUID消息RemoteGetClassObjectopnum3 每个情景的SNMP服务器陷阱主机数没有限制 从SelectSIPInspectMap服务策略对话框中删除了PhoneProxy和UC-IMEProxy。
ASA从版本8.3开始支持非EPMDCERPC消息,支持ISystemMapperUUID消息RemoteCreateInstanceopnum4。
此更改扩展了对RemoteGetClassObjectopnum3消息的支持。
未修改任何屏幕。
ASA支持每个情景的SNMP服务器陷阱主机数不受限制。
showsnmp-serverhost命令输出仅显示正在轮询ASA的活动主机,以及静态配置的主机。
VXLAN数据包检测 未修改任何屏幕。
ASA可检测VXLAN报头以强制遵守标准格式。
修改了以下屏幕:Configuration>Firewall>ServicePolicyRules>AddServicePolicyRule>RuleActions>ProtocolInspection IPv6的DHCP监控 您现在可以监控IPv6的DHCP统计信息和DHCP绑定。
引入了以下屏幕: 高可用性功能阻止在备用ASA上生成系统日志 Monitoring>Interfaces>DHCP>IPV6DHCPStatisticsMonitoring>Interfaces>DHCP>IPV6DHCPBinding。
您现在可以阻止在备用设备上生成特定系统日志。
按接口启用和禁用ASA集群运行状况监控 未修改任何屏幕。
您现在可以按接口启用或禁用运行状况监控。
默认情况下,运行状况监控在所有端口通道冗余接口和单一物理接口上处于启用状态。
运行状况监控不在VLAN子接口或虚拟接口(例如,VNI或BVI)上执行。
您不能为集群控制链路配置监控;它始终处于被监控状态。
您可能想禁用不重要的接口(例如管理接口)的运行状况检查。
引入了以下屏幕:Configuration>DeviceManagement>HighAvailabilityandScalability>ASACluster>ClusterInterfaceHealthMonitoring DHCP中继的ASA集群支持 现在可以在ASA集群上配置DHCP中继。
通过使用客户端MAC地址散列,使客户端DHCP请求在集群成员中实现了负载均衡。
仍然不支持DHCP客户端和服务器功能。
ASA集群中的SIP检测支持 未修改任何屏幕。
您现在可以在ASA集群上配置SIP检测。
控制流可以在任何设备上创建(由于负载均衡),但其子数据流必须驻留在同一设备上。
不支持TLS代理配置。
路由功能基于策略的路由 未修改任何屏幕。
基于策略的路由(PBR)是一种机制,基于该机制,流量可以使用ACL,通过带有指定QoS的特定路径进行路由。
基于数据包的第3层和第4层报头的内容,ACL可以对流量进行分类。
管理员通过此解决方案可向不同的流量提供QoS,在低带宽、低成本永久路径与高带宽、高成本交换式路径之间分发交互式和批处理流量,并允许互联网运营商和其他组织通过明确定义的互联网连接来路由源自各类用户的流量。
引入或修改了以下屏幕: Configuration>DeviceSetup>Routing>RouteMaps>PolicyBasedRoutingConfiguration>DeviceSetup>Routing>InterfaceSettings>Interfaces。
11 思科ASDM7.4(x)版本说明 新功能 表
7 ASA9.4
(1)版/ASDM7.4
(1)版的新功能(续) 功能接口功能VXLAN支持 说明 增加了VXLAN支持,包括VXLAN隧道终端(VTEP)支持。
每个ASA或安全情景可以定义一个VTEP源接口。
我们引入了以下屏幕配置: Configuration>DeviceSetup>InterfaceSettings>Interfaces>Add>VNIInterfaceConfiguration>DeviceSetup>InterfaceSettings>VXLAN 监控功能EEM的内存跟踪 添加了一项新的调试功能来记录内存分配和内存使用情况,以响应内存日志记录封装事件。
对崩溃进行故障排除 远程访问功能支持ECDHE-ECDSA密码 我们修改了以下屏幕配置:配置(Configuration)>设备管理(DeviceManagement)>高级(Advanced)>嵌入式事件管理器(EmbeddedEventManager)>添加事件管理器小应用程序(AddEventManagerApplet)>添加事件管理器小应用程序事件(AddEventManagerAppletEvent)。
showtech-support命令输出和showcrashinfo命令输出包含最新生成的50行系统日志。
请注意,必须启用loggingbuffer命令才能出现这些结果。
TLSv1.2增加了对以下密码的支持:ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-RSA-AES256-GCM-SHA384 DHE-RSA-AES256-GCM-SHA384 AES256-GCM-SHA384 ECDHE-ECDSA-AES256-SHA384 ECDHE-RSA-AES256-SHA384 ECDHE-ECDSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-GCM-SHA256 DHE-RSA-AES128-GCM-SHA256 RSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES128-SHA256 ECDHE-RSA-AES128-SHA256 注意:ECDSA和DHE密码具有最高优先级。
修改了以下屏幕:Configuration>RemoteessVPN>Advanced>SSLSettings。
12 思科ASDM7.4(x)版本说明 新功能 表
7 ASA9.4
(1)版/ASDM7.4
(1)版的新功能(续) 功能 无客户端SSLVPN会话Cookie访问限制 说明 您现在可以防止第三方通过JavaScript等客户端侧脚本访问无客户端SSLVPN会话Cookie。
注意:请仅遵照思科TAC的建议使用此功能。
启用此功能会引发安全风险,因为系统在以下无客户端SSLVPN功能不运行时不提供任何警告。
Java插件 Java重写工具 端口转发 文件浏览器 需要桌面应用的Sharepoint功能(例如MSOffice应用) AnyConnectWeb启动 CitrixReceiver、和Xenon 其他不基于浏览器和浏览器插件的应用 引入了以下屏幕:Configuration>RemoteessVPN>ClientlessSSLVPNess>Advanced>HTTPCookie。
使用安全组标记的虚拟桌面访问控制 9.2
(3)中也包含此功能。
ASA现在支持基于安全组标记的策略控制,从而可对内部应用和网站进行无客户端SSL远程访问。
此功能将Citrix的虚拟桌面基础架构(VDI)与配合使用,将其用作交付控制器和ASA的内容转换引擎。
有关详细信息,请参阅以下Citrix产品文档: 用于和XenApp的策略: 管理7中的策略:-7/cds-policies-wrapper -rho.html 将组策略编辑器用于7策略:-7/cds-policies-use-gp mc.html 为无客户端SSLVPN添加了OWA2013功能支持 无客户端SSLVPN支持OWA2013中除以下功能外的新功能:支持平板电脑和智能手机 离线模式 ActiveDirectory联合身份验证服务(ADFS)2.0。
ASA和ADFS2.0无法协商加密协议 为无客户端SSLVPN添加了Citrix7.5和StoreFront2.5支持 未修改任何屏幕。
无客户端SSLVPN支持访问7.5和StoreFront2.5。
有关7.5功能的完整列表以及详细信息,请参阅-75/cds-75-aboutwhats-new.html。
有关StoreFront2.5功能的完整列表以及详细信息,请参阅。
未修改任何屏幕。
13 思科ASDM7.4(x)版本说明 新功能 表
7 ASA9.4
(1)版/ASDM7.4
(1)版的新功能(续) 功能定期证书身份验证 说明 启用定期证书身份验证时,ASA存储从VPN客户端接收的证书链,并且定期重新进行身份验证。
修改了以下屏幕: Configuration>DeviceManagement>CertificateManagement>IdentityCertificatesConfiguration>DeviceManagement>CertificateManagement>CACertificates 证书到期警报 ASA每24小时检查一次信任点中的所有CA和ID证书是否到期。
如果证书即将到期,则会将一条系统日志作为警报发出。
可以配置提醒和重现间隔。
默认情况下,提醒将在到期之前60天启动,每7天重现一次。
修改了以下屏幕: Configuration>DeviceManagement>CertificateManagement>IdentityCertificatesConfiguration>DeviceManagement>CertificateManagement>CACertificates 执行基本约束CA标记 默认情况下,现在不带CA标记的证书无法作为CA证书安装在ASA上。
基本约束扩展标可确定证书的主题是否为CA,及包含此证书的有效证书路径的最大深度。
如果需要,可将ASA配置为允许安装这些证书。
修改了以下屏幕:Configuration>DeviceManagement>CertificateManagement>CACertificates IKEv2无效选择器通知配置 目前,如果ASA在SA上接收到入站数据包,并且数据包的报头字段与SA的选择器不一致,则ASA会丢弃该数据包。
您现在可以启用或禁用向对等方发送IKEv2通知。
默认情况下会禁用发送此通知。
注意:在AnyConnect3.1.06060和更高版本中支持此功能。
IKEv2十六进制预共享密钥管理功能从证书配置ASDM用户名 terminalinteractive命令用于在CLI处输入?
时启用或禁用帮助 您现在可以配置十六进制形式的IKEv2预共享密钥。
修改了以下屏幕:Configuration>Site-to-SiteVPN>ConnectionProfiles 利用此功能,能够通过从证书提取用户名以及使用由用户提供的用户名对ASDM用户进行授权。
引入了以下屏幕:Configuration>DeviceManagement>Managementess>HTTPCertificateRule 修改了以下屏幕:Configuration>DeviceManagement>Users/AAA>AAAess>Authorization通常,当在ASACLI输入?
时,会显示命令帮助。
要支持输入?
作为命令中的文本(例如,将?
加入URL中),可以使用noterminalinteractive命令禁用交互式帮助。
RESTAPI版本1.1 添加了对RESTAPI1.1版的支持。
14 思科ASDM7.4(x)版本说明 升级软件 升级软件 请参阅下表以获取您的版本的升级路径。
某些版本需要先进行临时升级,然后才能升级到最新版本。
注意:除以下例外情况以外,对故障切换和ASA集群的零停机时间升级没有特殊要求。
ASA集群从9.0
(1)或9.1
(1)进行升级:由于CSCue72961,不支持无中断升级。
当前ASA版本8.2(x)8.3(x)8.4
(1)至8.4(4)8.4
(5)及更高版本8.5(1)8.6(1)9.0(1)9.0
(2)或更高版本9.1(1)9.1
(2)或更高版本9.2(x)9.3(x) 首先升级到:8.4(6)8.4(6)8.4
(6)、9.0
(4)或9.1(2)9.0
(4)或9.1(2)9.0
(4)或9.1(2)9.0
(4)或9.1(2)9.1
(2)- 然后升级到:9.4
(1)或更高版本9.4
(1)或更高版本9.4
(1)或更高版本9.4
(1)或更高版本9.4
(1)或更高版本9.4
(1)或更高版本9.4
(1)或更高版本9.4
(1)或更高版本9.4
(1)或更高版本9.4
(1)或更高版本9.4
(1)或更高版本9.4
(1)或更高版本 有关升级的详细步骤,请参阅9.4升级指南。
遗留的漏洞和已修复的漏洞 此版本的遗留的漏洞和已修复的漏洞可通过思科漏洞搜索工具进行查看。
此基于Web的工具可让您访问思科漏洞跟踪系统,该系统维护关于此产品和其他思科硬件和软件产品的漏洞信息。
注意:您必须拥有帐户才能登录并访问思科漏洞搜索工具。
如果没有,您可以注册一个帐户。
有关思科漏洞搜索工具的详细信息,请参阅漏洞搜索工具帮助和常见问题。
遗留的漏洞 每个版本的严重级别为3或更高的遗留漏洞列入以下搜索中:7.4
(3)遗留漏洞搜索7.4
(2)遗留漏洞搜索7.4
(1)遗留漏洞搜索 已修复的漏洞 每个版本的所有已修复漏洞列于以下搜索中:7.4
(3)已修复漏洞搜索7.4
(2)已修复漏洞搜索7.4
(1)已修复漏洞搜索 15 思科ASDM7.4(x)版本说明 最终用户许可协议 最终用户许可协议 有关最终用户许可协议的信息,请访问/go/warranty。
相关文档 有关ASA的详细信息,请参阅思科ASA系列文档导航。
获取文档和提交服务请求 有关获取文档、使用思科缺陷搜索工具(BST)、提交服务请求和收集其他信息的信息,请参阅思科产品文档更新,其网址为:。
订用思科产品文档更新,其中将所有最新及修订的思科技术文档列为RSS源并通过使用阅读器应用将相关内容直接发送至桌面。
RSS源是一种免费服务。
思科和思科徽标是思科和/或其附属公司在美国和其他国家/地区的商标或注册商标。
要查看思科商标列表,请转至此 URL: /go/trademarks。
文中提及的第三方商标为其相应所有者的财产。
“合作伙伴”一词的使用并不意味着思科和任何其他公司 之间存在合作伙伴关系。
(1110R) ©2015年思科系统公司。
版权所有。
16
声明:
该资讯来自于互联网网友发布,如有侵犯您的权益请联系我们。
