Introducción
Este documento describe el procedimiento para migrar el dispositivo de seguridad adaptable de Cisco (ASA) a Cisco Firepower.
Colaboración de Ricardo Vera, ingeniero del TAC de Cisco.
Prerequisites
Requirements
Cisco recomienda que conozca Cisco Firewall Threat Defence (FTD) y Adaptive Security Appliance (ASA).
Componentes Utilizados
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
- PC con Windows con Firepower Migration Tool (FMT) v3.0.1
- Dispositivo de seguridad adaptable (ASA) v9.16.1
- Secure Firewall Management Center (FMCv) v7.0.1
- Secure Firewall Threat Defence Virtual (FTDv) v7.0.1
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
Antecedentes
Los requisitos específicos para este documento incluyen:
- Cisco Adaptive Security Appliance (ASA) versión 8.4 o posterior
- Secure Firewall Management Center (FMCv) versión 6.2.3 o posterior
La herramienta de migración de firewalls admite esta lista de dispositivos:
- Cisco ASA (8.4+)
- Cisco ASA (9.2.2+) con FPS
- Check Point (r75-r77)
- Check Point (r80)
- Fortinet (más de 5,0)
- Palo Alto Networks (6.1+)
Antes de continuar con la migración, tenga en cuenta las directrices y limitaciones de la herramienta de migración del firewall.
Configurar
Diagrama de la red
![Topology - Migration Tool](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/218120-configure-the-secure-firewall-migration-00.png)
Configuration Steps
- Descargue la herramienta de migración de Firepower más reciente de Cisco Software Central:
![Firepower Migration Tool software download](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/218120-configure-the-secure-firewall-migration-01.png)
- Haga clic en el archivo que descargó anteriormente en el equipo.
![Select Firepower application](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/218120-configure-the-secure-firewall-migration-02.png)
Nota: El programa se abre automáticamente y una consola genera automáticamente contenido en el directorio donde ejecutó el archivo.
![Console directory](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/218120-configure-the-secure-firewall-migration-03.png)
![End User License Agreement](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/218120-configure-the-secure-firewall-migration-04.png)
- Después de ejecutar el programa, se abre un navegador web que muestra el "Acuerdo de licencia del usuario final".
- Marque la casilla de verificación para aceptar los términos y condiciones.
- Haga clic en Continuar.
![Firepower Migration Tool user log in](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/218120-configure-the-secure-firewall-migration-05.png)
- Inicie sesión en la herramienta de migración.
- Puede iniciar sesión con la cuenta de CCO o con la cuenta predeterminada local.
- Las credenciales de la cuenta predeterminada local son:
admin/Admin123
![Secure Firewall Vendor selection](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/218120-configure-the-secure-firewall-migration-06.png)
- Seleccione el firewall de origen que desea migrar.
- En este ejemplo, se utiliza Cisco ASA (8.4+) como fuente.
![Extract information](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/218120-configure-the-secure-firewall-migration-07.png)
- Seleccione el método de extracción que se utilizará para obtener la configuración.
- La carga manual requiere que cargue el
Running Config
del ASA en formato ".cfg" o ".txt".
- Conéctese al ASA para extraer configuraciones directamente del firewall.
![Configuration summary](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/218120-configure-the-secure-firewall-migration-08.png)
Nota: Para este ejemplo, conéctese directamente al ASA.
- Se muestra un resumen de la configuración encontrada en el firewall como panel. Haga clic en Siguiente.
![FMCIP Address](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/218120-configure-the-secure-firewall-migration-09.png)
- Seleccione el CSP objetivo que se utilizará en la migración.
- Proporcione la IP del CSP.
- Se abrirá una ventana emergente en la que se le solicitarán las credenciales de inicio de sesión del FMC.
![Select Target and configuration](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/218120-configure-the-secure-firewall-migration-10.png)
- (Opcional) Seleccione el FTD de destino que desea utilizar.
- Si decide migrar a un FTD, seleccione el FTD que desea utilizar.
- Si no desea utilizar un FTD, puede rellenar la casilla de verificación
Proceed without FTD
![Start Conversation](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/218120-configure-the-secure-firewall-migration-11.png)
- Seleccione las configuraciones que desea migrar; las opciones se muestran en las capturas de pantalla.
![Download Report](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/218120-configure-the-secure-firewall-migration-12.png)
- Inicie la conversión de las configuraciones de ASA a FTD.
![Pre-Migration Report](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/218120-configure-the-secure-firewall-migration-13.png)
- Una vez finalizada la conversión, se muestra un panel con el resumen de los objetos que se van a migrar (limitado a la compatibilidad).
- También puede hacer clic en
Download Report
para recibir un resumen de las configuraciones que se van a migrar.
![Map ASA Interfaces](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/218120-configure-the-secure-firewall-migration-14.png)
Ejemplo de informe previo a la migración, como se muestra en la imagen:
![Map Security Zones and Interface Groups](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/218120-configure-the-secure-firewall-migration-15.png)
- Asigne las interfaces ASA a las interfaces FTD de la herramienta de migración.
![Security Zones and Interface Groups auto-created16](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/218120-configure-the-secure-firewall-migration-16.png)
- Crear las zonas de seguridad y los grupos de interfaces para las interfaces en el FTD
![Validate configuration](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/218120-configure-the-secure-firewall-migration-17.png)
La herramienta crea automáticamente las zonas de seguridad (SZ) y los grupos de interfaz (IG), como se muestra en la imagen:
![Push Configuration](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/218120-configure-the-secure-firewall-migration-18.png)
- Revise y valide las configuraciones que se van a migrar en la herramienta de migración.
- Si ya ha terminado de revisar y optimizar las configuraciones, haga clic en
Validate
.
![Push in progress](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/218120-configure-the-secure-firewall-migration-19.png)
- Si el estado de validación es correcto, envíe las configuraciones a los dispositivos de destino.
![Validation status](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/218120-configure-the-secure-firewall-migration-20.png)
Ejemplo de configuración introducida a través de la herramienta de migración, como se muestra en la imagen:
![Deploy](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/218120-configure-the-secure-firewall-migration-21.png)
Ejemplo de migración correcta, como se muestra en la imagen:
![Complete Migration](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/218120-configure-the-secure-firewall-migration-22.png)
- (Opcional) Si ha seleccionado migrar la configuración a un FTD, se requiere una implementación para transferir la configuración disponible del FMC al firewall, a fin de implementar la configuración:
- Inicie sesión en la GUI de FMC.
- Vaya a la
Deploy
ficha.
- Seleccione la implementación para enviar la configuración al firewall.
- Haga clic
Deploy
.
![Deploy tab selected](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/218120-configure-the-secure-firewall-migration-23.png)
Troubleshoot
En esta sección encontrará información que puede utilizar para solucionar problemas de configuración.
Verifique los registros en el directorio donde se colocó el archivo de la herramienta de migración de Firepower, por ejemplo:
Firepower_Migration_Tool_v3.0.1-7373.exe/logs/log_2022-08-18-21-24-46.log