انتقال سلس: الترحيل من جدار حماية بالو ألتو إلى Cisco FTD
المقدمة
يصف هذا المستند عملية النقل من جدار حماية Palo Alto إلى نظام Cisco FTD باستخدام الإصدار 6.0 من FMT.
المتطلبات الأساسية
المتطلبات
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
-
تصدير التكوين الجاري تشغيله الحالي من جدار حماية Palo Alto بتنسيق XML (*.xml).
-
الوصول إلى واجهة سطر أوامر (CLI) جدار حماية Palo Alto وتنفيذ الأمر show routing route، ثم حفظ الإخراج كملف نصي (*.txt).
-
ضغط كل من ملف التكوين (*.xml) وملف إخراج التوجيه (*.txt) في أرشيف ZIP واحد (*.zip).
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى الإصدار 8.4.x من جدار حماية Palo Alto أو إصدار أحدث.
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
أداة ترحيل Firepower (FMT)
تساعد ميزة FMT فرق الهندسة على نقل أي جدران حماية موجودة خاصة بالمورد إلى الجيل التالي من جدار الحماية (NGFW)/الحماية ضد تهديد الطاقة النارية (FTD) من Cisco. تأكد من تشغيل أحدث إصدار من FMT، والذي تم تنزيله من موقع Cisco على الويب.
المبادئ التوجيهية للهجرة
1- القائمة المرجعية لما قبل الترحيل
- تأكد من إضافة FTD إلى FMC قبل بدء عملية الترحيل.
- تم إنشاء حساب مستخدم جديد ذي امتيازات إدارية على FMC.
- يجب أن تكون Palo Alto المصدر الذي يشغل ملف التكوين.xml مضغوطة بامتداد .zip.
- يجب أن يحتوي NGFW/FTD على نفس عدد الواجهة المادية أو الفرعية أو قناة المنفذ التي تساوي واجهات جدار حماية Palo Alto.
2 - إستخدام أداة الترحيل
- قم بتنزيل أداة FMT .exe وقم بالتشغيل كمسؤول.
- يتطلب FMT معرف CEC أو حساب مستخدم Cisco لتسجيل الدخول.
- نشر تسجيل دخول ناجح ستعرض الأداة لوحة معلومات حيث يمكنك إختيار مورد جدار الحماية وتحميل الملف المتوافق*.zip؛ راجع الصورة التالية.
- راجعوا الارشادات المقدمة على الجانب الايمن باعتناء قبل المضي في الترحيل.
- انقر فوق بدء الترحيل بمجرد أن تكون مستعدا للبدء.
- قم بتحميل ملف *.zip المحفوظ الذي يحتوي على إعدادات التكوين من جدار حماية Palo Alto.
- بمجرد تحميل ملف التكوين، ستتمكن من مشاهدة ملخص مفصل للمحتويات وانقر فوق التالي؛ ارجع إلى الصورة التالية.
- أدخل عنوان IP الخاص بوحدة التحكم في الإطارات (FMC) وسجل الدخول.
- تبحث الأداة عن FTD نشط تم تسجيله مع FMC.
- أختر FTD الذي ترغب في ترحيله وانقر فوق متابعة، كما هو موضح في الصورة التالية.
- أختر الميزات المحددة للترحيل استنادا إلى متطلبات العميل. لاحظ أن جدران حماية Palo Alto تحتوي على مجموعة ميزات مختلفة مقارنة ب FTD.
- انقر متابعة واستشر الصورة التالية كمرجع.
- سيقوم برنامج FMT بتنفيذ التحويل وفقا لتحديداتك. راجع التغييرات في تقرير ما قبل الترحيل، ثم انقر فوق متابعة. راجع الصورة التالية للحصول على إرشادات.
- قم بتعيين الواجهات من جدار حماية Palo Alto إلى الواجهات الموجودة على FTD. راجع الصورة التالية للحصول على التفاصيل.
ملاحظة: يجب أن يحتوي NGFW/FTD على نفس عدد الواجهة المادية أو الفرعية أو قناة المنفذ التي تساوي واجهات جدار حماية Palo Alto بما في ذلك الواجهات الفرعية.
- حدد التخطيط للمناطق، والذي يمكن تنفيذه يدويا أو باستخدام ميزة الإنشاء التلقائي. من أجل المرئيات، راجع الصورة التالية.
- تعيين ملف تعريف حظر التطبيق الخاص بك. بما أن هذا هو جهاز معملي بدون تخطيط تطبيق، يمكنك الاستمرار بالإعدادات الافتراضية التي يمكن متابعتها. طقطقت بعد ذلك، وأرجع الصورة يزود.
- تحسين قوائم التحكم في الوصول (ACL) والكائنات والواجهات والمسارات حسب الحاجة. بما أن هذا إعداد معملي بأقل التكوينات، فيمكنك المتابعة بالخيارات الافتراضية. ثم انقر التحقق، مشيرا إلى الصورة التالية.
- بعد التحقق بنجاح، يكون التكوين جاهزا للنشر إلى FTD المستهدف. راجع الصورة التالية للحصول على مزيد من التعليمات.
- سيقوم "تكوين الدفع" بحفظ التكوينات التي تم ترحيلها في FMC وسيتم نشرها في FTD تلقائيا.
- في حال حدوث أي مشكلة أثناء الترحيل، يرجى فتح دعوى مركز المساعدة الفنية للحصول على مزيد من المساعدة.
3 - الوظيفة - التحقق من صحة الترحيل
- التحقق من صحة التكوين على FTD و FMC.
- إختبار قوائم التحكم في الوصول الخاصة بالجهاز، والسياسة، والاتصال، والميزات المتقدمة الأخرى.
- قم بإنشاء نقطة التراجع قبل إجراء أي تغييرات.
- إختبار الترحيل في بيئة المختبر قبل Go-Live في بيئة الإنتاج.
مشكلات معروفة
1. الواجهات المفقودة على FTD
- قم بتسجيل الدخول إلى واجهة سطر الأوامر ل Palo Alto ونفذ show interface all. يجب أن يكون لديك عدد من الواجهات في FTD مساو أو أكثر.
- قم بإنشاء عدد يساوي أو أكثر من الواجهات - إما واجهة فرعية أو قناة منفذ أو واجهة مادية عبر واجهة المستخدم الرسومية (GUI) ل FMC.
- انتقل إلى جهاز واجهة المستخدم الرسومية (GUI) ل FMC > إدارة الجهاز، انقر فوق FTD حيث يتم إنشاء الواجهة المطلوبة. تحت قارن قسم، من القائمة المنسدلة بالركن الأيمن أختر إنشاء واجهة فرعية/BVI وفقا لذلك وأنشئ الواجهة وربط الواجهات المقابلة. قم بحفظ التكوين ومزامنته إلى الجهاز.
- تحقق من إنشاء الواجهات على FTD من خلال تنفيذ عرض عرض موجز ip للواجهة ومتابعته في الترحيل لتعيين الواجهة.
2. جدول التوجيه
- تحقق من جدول التوجيه على جدار حماية Palo Alto من خلال تنفيذ ملخص show routing أو show route.
- قبل ترحيل المسارات إلى "برنامج الإرسال فائق السرعة (FTD)"، تحقق من الجدول واختر المسارات المطلوبة وفقا لاحتياجات المشروع.
- قم بتدوين نفس جدول التوجيه في FTD بواسطة إظهار المسار الكل وعرض ملخص المسار.
3. تحسين
- تحسين لوحة الكائنات متدرجة للخارج، في بعض الأحيان يجب عليك إنشاء كائن يدوي في FMC وتخطيطه. لعرض الكائن في FTD، أستخدم show running | في الكائنات وفي بالو ألتو، أستخدم عرض عنوان <اسم الكائن>.
- يتطلب ترحيل التطبيقات مراجعة جدار حماية Palo Alto قبل الترحيل، كما أن برنامج الإرسال فائق السرعة (FTD) يحتوي على جهاز IPS مخصص أو يمكنك تمكين الميزة في برنامج الإرسال فائق السرعة (FTD) حتى تحتاج إلى تخطيط مهمة ترحيل التطبيق وفقا لمتطلبات العميل.
- يجب التحقق من تكوين جدار حماية Palo Alto من خلال show running nat-policy ويجب أن يكون لديك نهج NAT مخصص في FTD، والذي يمكن عرضه في FTD بواسطة show running nat.
القرار
تم ترحيل جدار حماية Palo Alto بنجاح إلى Cisco FTD بمساعدة FMT. في حالة حدوث أي مشكلة بعد الترحيل على FTD ولأستكشاف الأخطاء وإصلاحها، افتح حالة مركز المساعدة الفنية (TAC) بشكل إضافي.
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
11-May-2025
|
الإصدار الأولي |
التعليقات