Cisco ASA 9.24.1 - 思科自适应安全设备 (ASA) 软件-优快云博客

Cisco ASA 9.24.1 - 思科自适应安全设备 (ASA) 软件

Cisco Secure Firewall ASA for Firepower Software

请访问原文链接：https://sysin.org/blog/cisco-asa/ 查看最新版。原创作品，转载请保留出处。

作者主页：sysin.org

Cisco Secure Firewall ASA

值得信赖的防火墙与网络安全平台

思科自适应安全设备 (ASA) 软件

成熟的防火墙和网络安全平台

Cisco ASA 系列安全设备可以保护各种规模的公司网络。它可让用户随时随地使用任何设备进行高度安全的数据访问。这些设备 15 年来一直稳健位居防火墙和网络安全的前列 (sysin)，在世界各地部署了超过 100 万个安全设备。

自适应安全设备 ASA 特点和功能

Cisco Adaptive Security Appliance (ASA) 软件是 Cisco ASA 系列的核心操作系统。它为多种形态的 ASA 设备（独立设备、刀片式设备以及虚拟设备）提供企业级防火墙功能，适用于任何分布式网络环境。ASA 软件还可与其他关键安全技术集成，形成全面的解决方案，以满足持续演进的安全需求。

Cisco ASA 软件的优势包括：

提供集成的 IPS、VPN 和统一通信功能
通过高性能、多站点、多节点集群帮助组织提升容量并改进性能
为高弹性应用提供高可用性
实现物理设备与虚拟设备之间的协同
满足网络和数据中心的独特需求
通过 Cisco TrustSec 安全组标签及基于身份的防火墙技术提供上下文感知能力
在每个安全上下文（context）基础上实现动态路由和站点到站点（site-to-site）VPN

Cisco ASA 软件还支持下一代加密标准，包括 Suite B 密码算法集。同时，它还能与 Cisco Cloud Web Security 解决方案集成，提供世界级的基于网页的威胁防护能力。

思科自适应安全虚拟设备 (ASAv)

详见：Cisco ASAv 9.24.1 - 思科自适应安全虚拟设备 (ASAv)

跨物理和虚拟环境扩展安全性

思科自适应安全虚拟设备 (ASAv) 是一款完全重新构想的虚拟安全解决方案。对于思科以应用为中心的基础设施 (ACI) 环境，它支持传统的分层数据中心部署和基于交换矩阵的部署 (sysin)。ASAv 支持跨物理环境、虚拟环境、以应用为中心的环境、SDN 环境和云环境提供一致、透明的安全保护。

ASA Container (ASAc)

运行在容器和云原生环境中的 ASAc。

详见：Cisco ASAc 9.23.1 - 容器环境中的 ASA 防火墙 (ASA Container)

新增功能

ASA 9.24(1)/ASDM 7.24(1) 的新增功能

发布日期：2025 年 12 月 3 日

✅ Platform Features（平台功能）

Secure Firewall 220
· Secure Firewall 220 是一款适用于分支机构和远程办公点的经济型安全设备，在成本与功能间取得平衡。
Secure Firewall 6160、6170
· Secure Firewall 6160 和 6170 是为高需求数据中心和电信网络设计的超高端防火墙，具有卓越的性价比、模块能力和高吞吐量。
ASA Virtual — Grub 引导程序升级到支持 UEFI 和 Secure Boot
· Grub 从 0.94 升级到 2.12，新增对 UEFI 固件（含/不含 Secure Boot）以及传统 BIOS 模式的支持。
· Secure Boot 提供引导级别的恶意软件防护 (sysin)。
· 新部署将使用 GPT 分区格式，替代 MS-DOS 分区。
· 升级后不能切换到 UEFI/Secure Boot；仅新部署可使用该选项。
· 升级到 9.24 后无法降级。升级到更高版本前必须先升级至 9.24。
ASA Virtual AWS 双臂（Dual-arm）集群模式
· 在双臂模式下，检査后的流量将从外部接口直接 NAT 并发送至 Internet Gateway，不再回程经过 GWLB 与 GWLB Endpoint。
· 可减少 2 次流量跳数，并适用于多 VPC 公共出口场景。
· 双臂模式仅支持出口（egress）流量。
ASA Virtual GCP 自动扩缩（Autoscale）集群
· 支持 ASAv30、ASAv50、ASAv100。
ASA Virtual OCI Ampere A1 ARM 实例支持
· 新增 Oracle Cloud Infrastructure Arm 计算形状。
· 注意：在旧版 Hypervisor 上（尤其启用 SR-IOV）可能出现吞吐量下降。
ASA Virtual KVM 流量卸载（Flow Offload）
· 支持在 KVM 的 DPU 上进行流量卸载。
ASA Virtual 支持 Nutanix AOS 6.8
· Nutanix AOS 6.8 支持类似公有云的 VPC 架构。
ASA Virtual 支持 OpenStack Caracal 版本
ASA Virtual 支持 Azure 的 MANA NIC
· 支持的实例：Standard_D8s_v5、Standard_D16s_v5

✅ Firewall Features（防火墙功能）

Secure Firewall 6100 的应用可视化与控制（AVC）
· 允许基于应用（而非 IP/端口）编写访问控制规则。
· AVC 会下载 VDB 创建 network-service 对象与对象组 (sysin)，用于应用分类管理。
· 新增/修改命令：avc、avc download vdb、clear avc、clear object-group、network-service reload、show avc、show service-policy
· 不再允许在 network-service 对象定义中使用 app-id。
· 仅支持 Secure Firewall 6100。

✅ High Availability and Scalability Features（高可用与可扩展性）

更改 VPN 模式无需重启
· 在分布式模式与集中模式之间切换时不再需要重启。
· 但需先禁用所有节点的集群功能。
数据节点可并发加入集群
· 控制节点以前每次只能接纳一个数据节点。现在默认允许并发加入。
· 若启用 NAT 与 VPN 的分布式模式，则不能使用并发加入。
· 新命令：concurrent-join、show cluster info concurrent-join incompatible-config
集群节点加入时的 MTU Ping 测试增强
· 若初次 MTU Ping 失败，会自动按 1/2、1/4 递减尝试 (sysin)，直到成功。
· 便于确认可用 MTU 或修正交换机 MTU。
· 新命令：show cluster history
高 CPU 时改进的集群链路健康检查
· 当节点 CPU 使用率高时会暂停健康检查，避免误判为不健康。
· 可配置 CPU 阈值。
· 新命令：cpu-healthcheck-threshold
Secure Firewall 6100 支持集群
· 最多可集群 4 个 Secure Firewall 4200 节点（Spanned EtherChannel 或 Individual 模式）。
集群中块耗尽（block depletion）检测
· 发生耗尽时自动收集故障日志并发送 syslog。
· 集群节点会自动离开集群以保持流量转发。
· 可配置崩溃重启。
· 新命令：fault-monitor、block-depletion、block-depletion recovery-action、block-depletion monitor-interval
分布式站点到站点 VPN 模式支持动态 PAT
· 支持动态 PAT，但仍不支持接口 PAT。

✅ Interface Features（接口功能）

IPv6 RDNSS / DNSSL 支持
· 可通过 RA（路由通告）向 SLAAC 客户端提供 DNS 服务器与搜索域。
· 新/改命令：
ipv6 nd ra dns-search-list domain
ipv6 nd ra dns server
show ipv6 nd detail
show ipv6 nd ra dns-search-list
show ipv6 nd ra dns server
show ipv6 nd summary

✅ Administrative, Monitoring, Troubleshooting（管理/监控/排错）

SSH X.509 证书认证（RFC 6187）
· 支持用户通过 X.509v3 证书进行 SSH 登录。
· Firepower 4100/9300 不支持。
· 新命令：aaa authorization exec ssh-x509、ssh authentication method、ssh trustpoint sign、ssh username-from-certificate、validation-usage ssh-client
· 同样适用于 9.20(4)。
AES-256-GCM SSH 加密
· 默认对加密等级 all 与 high 启用。
· 新命令：ssh cipher encryption
· 同样适用于 9.20(4)。
Linux 内核崩溃转储（Crash Dump）
· 默认启用，用于分析内核崩溃根因。
· 新命令：show kernel crash-dump、kernel crash-dump、crashinfoforce kernel-dump
ASA Virtual Root Shell 访问（通过 Consent Token）
· 允许授权用户通过一次性 Token 获得 root shell，无需管理员密码。
· 新命令：consent-token generate-challenge shell-access、consent-token accept-response shell-access

✅ ASDM Features

ASDM 证书认证支持（ASDM Launcher 1.9(10) / ASDM 7.24）
· 现在支持用户证书登录。
· 早期 ASA 版本也可使用此功能。
· 新命令：http authentication-certificate、http username-from-certificate
· 新界面：ASDM Launcher 登录窗口

✅ VPN Features（VPN 功能）

VTI 支持 Cisco TrustSec SGT（SGT over VTI）
· 新命令：cts manual、propagate sgt、policy static sgt
VTI 的 ECMP + BFD 故障检测
· 多个动态 VTI 可加入 ECMP 区域，实现负载均衡。
· BFD 可在毫秒或微秒级检测链路故障。
· 新命令：bfd template、vtemplate-bfd、vtemplate-zone-member、show zone、show conn all、show route
分布式站点到站点 VPN 支持 Loopback 接口
· Loopback 不受物理位置限制 (sysin)，可在不同集群之间迁移并通过路由协议更新。
Secure Firewall 6100 的 IPsec 流量卸载 & DTLS 加速器
· 支持 AES-GCM-128、AES-GCM-256。
ASA Virtual（KVM）支持 IPsec Flow Offload
· 支持在 DPU 上卸载 IPsec 流量。

下载地址

Secure Firewall ASA for Firepower Release 9.24.1

请访问：https://sysin.org/blog/cisco-asa/

File Information	File Name	Release Date	Size
Cisco Adaptive Security Appliance Software for the ISA 3000.	asa9-24-1-lfbff-k8.SPA	03-Dec-2025	219.92 MB
Cisco Adaptive Security Appliance Software	asa9-24-1-smp-k8.bin	03-Dec-2025	463.86 MB
Cisco Adaptive Security Appliance for the Cisco Firepower 1200 Series.	cisco-asa-csf1200.9.24.1.SPA	03-Dec-2025	465.88 MB
Cisco Adaptive Security Appliance for the Cisco Firepower 1000 Series.	cisco-asa-fp1k.9.24.1.SPA	03-Dec-2025	487.77 MB
Cisco Adaptive Security Appliance for the Cisco Firepower 3100 Series.	cisco-asa-fp3k.9.24.1.SPA	03-Dec-2025	745.20 MB
Cisco Adaptive Security Appliance for the Cisco Firepower 4200 Series.	cisco-asa-fp4200.9.24.1.SPA	03-Dec-2025	753.91 MB
Cisco Adaptive Security Appliance CSP package for the Cisco Firepower Series.	cisco-asa.9.24.1.SPA.csp	03-Dec-2025	284.71 MB