Cisco ASAv 9.24.1 - 思科自适应安全虚拟设备 (ASAv)
Cisco® Secure Firewall ASA Virtual (ASAv)
请访问原文链接:https://sysin.org/blog/cisco-asav/ 查看最新版。原创作品,转载请保留出处。
作者主页:sysin.org
思科自适应安全虚拟设备 (ASAv):
Cisco® Secure Firewall ASA Virtual(之前称为 ASAv)为您的组织提供所需性能的灵活选择。Secure Firewall ASA Virtual 是思科广受欢迎的 Secure Firewall ASA 解决方案的虚拟化选项,支持传统物理数据中心以及私有和公有云的安全防护。其可扩展的 VPN 功能为组织资源提供安全访问,并通过世界级安全控制保护工作负载免受日益复杂的威胁。
跨物理和虚拟环境扩展安全性
思科自适应安全虚拟设备 (ASAv) 是一款完全重新构想的虚拟安全解决方案。对于思科以应用为中心的基础设施 (ACI) 环境,它支持传统的分层数据中心部署和基于交换矩阵的部署 (sysin)。ASAv 支持跨物理环境、虚拟环境、以应用为中心的环境、SDN 环境和云环境提供一致、透明的安全保护。
特性和功能
完全独立的解决方案
ASAv 为虚拟化环境提供全面的防火墙功能,帮助保护数据中心流量和多租户架构。由于 ASAv 已经针对数据中心环境进行了优化,因此它支持 vSwitch。因此,ASAv 可以部署在思科数据中心、混合数据中心,甚至可以部署在非思科数据中心,从而显著减少管理开销并提高灵活性和运营效率。
在任何数据中心环境中,Cisco ASAv 均使关键安全功能可以随着业务需求的变化动态扩展,以保护资产。
完全集成的 ACI 安全解决方案
ASAv 已经完全且透明地集成到下一代 ACI 数据中心架构的交换矩阵中。此方法可以消除传统的网络导向型安全解决方案的局限性,从而显著简化调配。
在独立于 ACI 拓扑的环境中,将各项 ASAv 服务作为一个安全资源池进行管理。可以选择这些资源并将其连接到特定的应用或事务,以提供动态、可扩展且基于策略的安全保护。
管理选项
Cisco ASAv 有许多管理选项。
思科安全管理器可以设置、部署和管理物理与虚拟 ASA 设备,包括 Cisco ASA 5500-X 系列下一代防火墙和 ASAv 解决方案。
对于 ACI 部署 (sysin),思科应用策略基础设施控制器 (APIC) 为网络和安全管理提供了单一控制点。它可以将 ASAv 安全解决方案作为一项服务进行调配、管理策略,并监控整个环境,以获得整个分布式基础设施的统一视图。
优势
VPN 汇聚端
Cisco AnyConnect® 客户端让员工能够在任何设备、任何时间安全地远程办公(或在任何地点工作)。为任何用户提供高度安全的企业网络访问,并为 IT 与安全团队提供可视性与控制,以识别访问基础设施的人员和设备 (sysin)。在支持远程工作人员和个人设备时,减轻 IT 与安全团队的压力。Secure Firewall ASA Virtual 支持连接数据中心的站点到站点 VPN。
跨云许可证可移植性
Secure Firewall ASA Virtual 可随处部署——从数据中心到分支机构,再到公有云——并且一个许可证即可在公有或私有云(VMware、KVM、Hyper-V、OpenStack、AWS、Microsoft Azure、Google Cloud Platform、Oracle Cloud Infrastructure 及政府云)间移植。随着时间推移,可在私有与公有云基础设施间扩展、收缩或迁移工作负载,仅需一个许可证。
低干预部署
快速部署额外的 Secure Firewall ASA Virtual 设备 (sysin),以支持应用或 VPN 的意外或季节性激增。通过启动新的虚拟机为远程办公室增加带宽或保护。如果需要更高保护,可选择高性能型号。
新增功能
ASA 9.24(1)/ASDM 7.24(1) 的新增功能
发布日期:2025 年 12 月 3 日
✅ Platform Features(平台功能)
- Secure Firewall 220
· Secure Firewall 220 是一款适用于分支机构和远程办公点的经济型安全设备,在成本与功能间取得平衡。 - Secure Firewall 6160、6170
· Secure Firewall 6160 和 6170 是为高需求数据中心和电信网络设计的超高端防火墙,具有卓越的性价比、模块能力和高吞吐量。 - ASA Virtual — Grub 引导程序升级到支持 UEFI 和 Secure Boot
· Grub 从 0.94 升级到 2.12,新增对 UEFI 固件(含/不含 Secure Boot)以及传统 BIOS 模式的支持。
· Secure Boot 提供引导级别的恶意软件防护 (sysin)。
· 新部署将使用 GPT 分区格式,替代 MS-DOS 分区。
· 升级后不能切换到 UEFI/Secure Boot;仅新部署可使用该选项。
· 升级到 9.24 后无法降级。升级到更高版本前必须先升级至 9.24。 - ASA Virtual AWS 双臂(Dual-arm)集群模式
· 在双臂模式下,检査后的流量将从外部接口直接 NAT 并发送至 Internet Gateway,不再回程经过 GWLB 与 GWLB Endpoint。
· 可减少 2 次流量跳数,并适用于多 VPC 公共出口场景。
· 双臂模式仅支持出口(egress)流量。 - ASA Virtual GCP 自动扩缩(Autoscale)集群
· 支持 ASAv30、ASAv50、ASAv100。 - ASA Virtual OCI Ampere A1 ARM 实例支持
· 新增 Oracle Cloud Infrastructure Arm 计算形状。
· 注意:在旧版 Hypervisor 上(尤其启用 SR-IOV)可能出现吞吐量下降。 - ASA Virtual KVM 流量卸载(Flow Offload)
· 支持在 KVM 的 DPU 上进行流量卸载。 - ASA Virtual 支持 Nutanix AOS 6.8
· Nutanix AOS 6.8 支持类似公有云的 VPC 架构。 - ASA Virtual 支持 OpenStack Caracal 版本
- ASA Virtual 支持 Azure 的 MANA NIC
· 支持的实例:Standard_D8s_v5、Standard_D16s_v5
✅ Firewall Features(防火墙功能)
- Secure Firewall 6100 的应用可视化与控制(AVC)
· 允许基于应用(而非 IP/端口)编写访问控制规则。
· AVC 会下载 VDB 创建 network-service 对象与对象组 (sysin),用于应用分类管理。
· 新增/修改命令:avc、avc download vdb、clear avc、clear object-group、network-service reload、show avc、show service-policy
· 不再允许在 network-service 对象定义中使用app-id。
· 仅支持 Secure Firewall 6100。
✅ High Availability and Scalability Features(高可用与可扩展性)
- 更改 VPN 模式无需重启
· 在分布式模式与集中模式之间切换时不再需要重启。
· 但需先禁用所有节点的集群功能。 - 数据节点可并发加入集群
· 控制节点以前每次只能接纳一个数据节点。现在默认允许并发加入。
· 若启用 NAT 与 VPN 的分布式模式,则不能使用并发加入。
· 新命令:concurrent-join、show cluster info concurrent-join incompatible-config - 集群节点加入时的 MTU Ping 测试增强
· 若初次 MTU Ping 失败,会自动按 1/2、1/4 递减尝试 (sysin),直到成功。
· 便于确认可用 MTU 或修正交换机 MTU。
· 新命令:show cluster history - 高 CPU 时改进的集群链路健康检查
· 当节点 CPU 使用率高时会暂停健康检查,避免误判为不健康。
· 可配置 CPU 阈值。
· 新命令:cpu-healthcheck-threshold - Secure Firewall 6100 支持集群
· 最多可集群 4 个 Secure Firewall 4200 节点(Spanned EtherChannel 或 Individual 模式)。 - 集群中块耗尽(block depletion)检测
· 发生耗尽时自动收集故障日志并发送 syslog。
· 集群节点会自动离开集群以保持流量转发。
· 可配置崩溃重启。
· 新命令:fault-monitor、block-depletion、block-depletion recovery-action、block-depletion monitor-interval - 分布式站点到站点 VPN 模式支持动态 PAT
· 支持动态 PAT,但仍不支持接口 PAT。
✅ Interface Features(接口功能)
- IPv6 RDNSS / DNSSL 支持
· 可通过 RA(路由通告)向 SLAAC 客户端提供 DNS 服务器与搜索域。
· 新/改命令:ipv6 nd ra dns-search-list domainipv6 nd ra dns servershow ipv6 nd detailshow ipv6 nd ra dns-search-listshow ipv6 nd ra dns servershow ipv6 nd summary
✅ Administrative, Monitoring, Troubleshooting(管理/监控/排错)
- SSH X.509 证书认证(RFC 6187)
· 支持用户通过 X.509v3 证书进行 SSH 登录。
· Firepower 4100/9300 不支持。
· 新命令:aaa authorization exec ssh-x509、ssh authentication method、ssh trustpoint sign、ssh username-from-certificate、validation-usage ssh-client
· 同样适用于 9.20(4)。 - AES-256-GCM SSH 加密
· 默认对加密等级 all 与 high 启用。
· 新命令:ssh cipher encryption
· 同样适用于 9.20(4)。 - Linux 内核崩溃转储(Crash Dump)
· 默认启用,用于分析内核崩溃根因。
· 新命令:show kernel crash-dump、kernel crash-dump、crashinfoforce kernel-dump - ASA Virtual Root Shell 访问(通过 Consent Token)
· 允许授权用户通过一次性 Token 获得 root shell,无需管理员密码。
· 新命令:consent-token generate-challenge shell-access、consent-token accept-response shell-access
✅ ASDM Features
- ASDM 证书认证支持(ASDM Launcher 1.9(10) / ASDM 7.24)
· 现在支持用户证书登录。
· 早期 ASA 版本也可使用此功能。
· 新命令:http authentication-certificate、http username-from-certificate
· 新界面:ASDM Launcher 登录窗口
✅ VPN Features(VPN 功能)
- VTI 支持 Cisco TrustSec SGT(SGT over VTI)
· 新命令:cts manual、propagate sgt、policy static sgt - VTI 的 ECMP + BFD 故障检测
· 多个动态 VTI 可加入 ECMP 区域,实现负载均衡。
· BFD 可在毫秒或微秒级检测链路故障。
· 新命令:bfd template、vtemplate-bfd、vtemplate-zone-member、show zone、show conn all、show route - 分布式站点到站点 VPN 支持 Loopback 接口
· Loopback 不受物理位置限制 (sysin),可在不同集群之间迁移并通过路由协议更新。 - Secure Firewall 6100 的 IPsec 流量卸载 & DTLS 加速器
· 支持 AES-GCM-128、AES-GCM-256。 - ASA Virtual(KVM)支持 IPsec Flow Offload
· 支持在 DPU 上卸载 IPsec 流量。
下载地址
Secure Firewall ASA Virtual Release 9.24.1
| File Information | File Name | Release Date | Size |
|---|---|---|---|
| Cisco Adaptive Security Appliance Software | asa9-24-1-smp-k8.bin | 03-Dec-2025 | 463.86 MB |
| Cisco Adaptive Security Virtual Appliance qcow2 package for the Cisco ASAv Virtual Firewall. | asav9-24-1.qcow2 | 03-Dec-2025 | 777.50 MB |
| Cisco Adaptive Security Virtual Appliance VMWare Package for the Cisco ASAv Virtual Firewall. | asav9-24-1.zip | 03-Dec-2025 | 386.02 MB |
Secure Firewall ASDM Release 7.24.1
| File Information | File Name | Release Date | Size |
|---|---|---|---|
| Cisco Adaptive Security Device Manager for ASA 9.8-9.24 requires Oracle JRE. | asdm-7241.bin | 03-Dec-2025 | 155.14 MB |
| Cisco Adaptive Security Device Manager for ASA 9.8-9.24 integrated with OpenJRE. | asdm-openjre-7241.bin | 03-Dec-2025 | 224.22 MB |
Secure Firewall ASA Virtual (ASAv) Release 9.24.1
相关产品:
- Cisco ASA 9.24.1 - 思科自适应安全设备 (ASA) 软件
- Cisco ASAv 9.24.1 - 思科自适应安全虚拟设备 (ASAv)
- Cisco ASAc 9.23.1 - 容器环境中的 ASA 防火墙 (ASA Container)
- Cisco Secure Firewall Threat Defense Virtual 7.7.11 - 思科下一代防火墙虚拟设备 (FTDv)
- Cisco Secure Firewall Management Center Virtual 7.7.11 - 思科防火墙管理中心 (FMCv)
- Cisco Secure Firewall Threat Defense Virtual 10.0.0 - 思科下一代防火墙虚拟设备 (FTDv)
- Cisco Secure Firewall Management Center Virtual 10.0.0 - 思科防火墙管理中心 (FMCv)
