Flux de travail de la migration de Check Point vers Threat Defense

Procédure de bout en bout

L’organigramme suivant illustre le flux de travail pour la migration d’un pare-feu Check Point vers la protection contre les menaces à l’aide de l’outil de migration Cisco Secure Firewall.

Espace de travail

Étapes

Ordinateur local

Téléchargez l’outil de migration Secure Firewall sur Cisco.com. Pour les étapes détaillées, voir Télécharger l'outil de migration Secure Firewall sur Cisco.com

Outil de visualisation Web Check Point

(Facultatif) Exportez le fichier de configuration Check Point pour la version r77 : Pour exporter les fichiers de configuration Check Point vers la version r77, consultez Exporter les fichiers de configuration Check Point pour r77. Si vous avez l’intention d’exporter des fichiers de configuration pour la version 80 au moyen de la fonction Live Connect de l’outil de migration Cisco Secure Firewall, passez à l’étape 5.

Ordinateur local

Lancez l’outil de migration Cisco Secure Firewall sur votre ordinateur local et sélectionnez Check Point (r75–r77) ou Check Point (r80–r81) dans la liste déroulante Source Firewall Vendor [fournisseur du pare-feu source], selon vos besoins. Consultez la section Launch the Secure Firewall Migration Tool [lancer l’outil de migration Cisco Secure Firewall] pour en savoir plus.

Outil de migration Secure Firewall

(Facultatif) Exporter la configuration de l’appareil à partir de Check Point (r75 à r77) : Pour exporter la configuration d’un appareil pour r77 au moyen de l’extracteur de configuration et d’une connexion à une passerelle sécurisée, consultez Exporter la configuration d'un appareil à l'aide d'un extracteur de configuration.

Ordinateur local

(Facultatif) Compresser les fichiers exportés : Sélectionnez les fichiers de configuration exportés pour r77 et compressez-les dans un fichier ZIP. Pour la marche à suivre détaillée, consultez la section Zip the exported files [compressez les fichiers exportés].

Ordinateur local

Préparez les appareils Check Point (r80) pour l’extraction de la configuration : Vous devez configurer les données d’identification sur les appareils Check Point (r80) avant d’utiliser Live Connect sur le pare-feu. Pour préparer les données d’identification sur un appareil Check Point (r80), consultez la section Pre-stage the Check Point (r80) devices for configuration Extraction [préparer les appareil Check Point (r80) pour l’extraction de la configuration]. Cette étape n’est requise que si vous prévoyez de migrer les fichiers de configuration des appareils r80. Si vous prévoyez de migrer la configuration des périphériques r77, passez à l’étape 8.

Outil de migration Secure Firewall

(Facultatif) Connectez-vous à Check Point en direct (r80) et exportez le fichier de configuration : Pour exporter les fichiers de configuration de Check Point pour r80 en utilisant la fonction Live Connect, consultez la procédure pour exporter les fichiers de configuration Check Point pour r80.

Outil de migration Secure Firewall

(Facultatif) Chargez le fichier de configuration Check Point : Pour voir la marche à suivre détaillée du chargement d’un fichier de configuration Check Point, consultez la section Upload the Check Point Configuration File [charger le fichier de configuration Check Point].

Outil de migration Secure Firewall

Durant cette étape, vous pouvez spécifier les paramètres de destination pour la migration. Pour les étapes détaillées, référez-vous à Spécifier les paramètres de destination pour l'outil de migration Secure Firewall .

CDO

(Facultatif) Cette étape est facultative et obligatoire uniquement si vous avez sélectionné le centre de gestion de pare-feu fourni dans le nuage comme centre de gestion de destination. Pour connaître les étapes détaillées, consultez la section Specify Destination Parameters for the Secure Firewall migration tool, step 1 [indiquer les paramètres de destination de l’outil de migration Cisco Secure Firewall, étape 1].

Outil de migration Secure Firewall

Accédez à l’emplacement d’où vous avez téléchargé le rapport préalable à la migration, puis examinez le rapport. Pour les étapes détaillées, référez-vous à Examiner le rapport pré-migration

Outil de migration Secure Firewall

L’outil de migration Cisco Secure Firewall vous permet de mapper la configuration de Check Point avec les interfaces de la protection contre les menaces. Pour connaître la marche à suivre détaillée, consultez la section Map Check Point Configurations with Secure Firewall Device Manager Threat Defense Interfaces [mapper des configurations Check Point avec les interfaces Threat Defense du gestionnaire de l’appareil Cisco Secure Firewall].

Outil de migration Secure Firewall

Pour vous assurer que la configuration Check Point est correctement migrée, mappez les interfaces Check Point avec les objets d’interface de la protection contre les menaces, les périmètres de sécurité et les groupes d’interfaces appropriés. Pour connaître les étapes détaillées, consultez Map Check Point Interfaces to Security Zones and Interface Groups [mapper les interfaces Check Point avec les périmètres de sécurité et les groupes d’interfaces].

Outil de migration Secure Firewall

Optimisez et examinez soigneusement la configuration et vérifiez qu'elle est correcte et qu'elle correspond à la façon dont vous souhaitez configurer le dispositif de défense contre les menaces. Pour les étapes détaillées, référez-vous à Optimiser, examiner et valider la configuration à migrer .

Outil de migration Secure Firewall

Cette étape dans le processus de migration envoie la configuration migrée au centre de gestion et vous permet de télécharger le rapport de post-migration. Pour les étapes détaillées, référez-vous à Transférer la configuration migrée au centre de gestion.

Ordinateur local

Accédez à l’endroit où vous avez téléchargé le rapport de post-migration et examinez le rapport. Pour les étapes détaillées, référez-vous à Examiner le rapport post-migration et terminer la migration.

Centre de gestion

Déployer la configuration migrée du centre de gestion vers la défense contre les menaces. Pour les étapes détaillées, référez-vous à Examiner le rapport post-migration et terminer la migration.

Préalables pour la migration

Avant de faire faire migrer la configuration de votre dispositif Check Pointgéré par , exécutez les activités suivantes :

Télécharger l’outil de migration de pare-feu sécurisé sur Cisco.com

Avant de commencer

Vous devez disposer d'une machine Windows 10 64-bit ou macOS version 10.13 ou supérieure avec une connectivité internet à Cisco.com.

Procédure


Étape 1

Sur votre ordinateur, créez un dossier pour l'outil de migration Secure Firewall

Nous vous recommandons de ne pas stocker d'autres fichiers dans ce dossier. Lorsque vous lancez l'outil de migration Secure Firewall, il place les journaux, ressources et tous les autres fichiers dans ce dossier.

Remarque

 
Peu importe quand vous téléchargez la plus récente version de l'outil de migration Secure Firewall, assurez-vous de créer un nouveau fichier et de ne pas utiliser le dossier actuel.

Étape 2

Naviguez vers https://software.cisco.com/download/home/286306503/type et cliquez sur Outil de migration Firewall

Le lien ci-dessus vous amène à l'outil de migration Secure Firewall sous Firewall NGFW Virtual. Vous pouvez également télécharger l'outil de migration Secure Firewall à partir des zones de téléchargement des appareils défense contre les menaces.

Étape 3

Téléchargez la version la plus récente de l'outil de migration Secure Firewall dans le dossier que vous avez créé.

Téléchargez l'exécutable approprié de l'outil de migration Secure Firewall pour les machines Windows ou macOS.


Prochaine étape

Exporter les fichiers de configuration de Check Point

Exporter les fichiers de configuration de Check Point

Vous pouvez exporter la configuration Check Point pour ce qui suit :

Exporter les fichiers de configuration Check Point pour r77

Pour exporter les fichiers de configuration Check Point pour r77, procédez comme suit :

Exportez la configuration à l'aide de l'outil de visualisation Web de Check Point (WVT)
Procédure

Étape 1

Ouvrez l'invite de commande sur le poste de travail qui a accès au server de gestion Check Point.

Étape 2

Téléchargez WVT à partir du portail Check Point correspondant à la version du pare-feu Check Point.

Étape 3

Décompressez le fichier zip WVT.

Étape 4

Créez un nouveau sous-dossier dans le même dossier racine où l'outil Check Point WVT est extrait.

Étape 5

Dans l’invite de commande, remplacez le répertoire par le répertoire où WVT est stocké et exécutez les commandes suivantes :

C:\Web_Visualisation_Tool> cpdb2web.exe [-s management_server] [-u admin_name | -a certificate_file] [-p password] [-o output_file_path] [-t table_names] [-c | -m gateway | -l package_names] [-gr] [-go] [-w Web_Visualization_Tool_installation_directory]

Par exemple :

C:\Web_Visualisation_Tool> cpdb2web.exe -s 172.16.0.1  -u admin -p admin123 -o  Outputs

Un total de sept fichiers sont crées dans le répertoire Sorties quand ces commandes sont exécutées, où :

Commande

Description

C:\Web_Visualisation_Tool

Le répertoire racine de l'outil WVT.

172.16.0.1

L'adresse IP du serveur de gestion Check Point.

admin

Le nom d'utilisateur du serveur de gestion Check Point.

Admin123

Le mot de passe du serveur de gestion Check Point.

Sorties

Le chemin relatif pour stocker les fichiers de sortie.

Remarque

 
Les noms des fichiers Security Policy et NAT Policy doivent être respectivement Security_Policy.xml et NAT_Policy.xml. Si les noms de fichiers sont différents, renommez-les manuellement.

S'il existe plusieurs fichiers de politique de sécurité et de NAT, assurez-vous de sélectionner et de conserver uniquement les fichiers Security_Policy.xml et NAT_Policy.xml de l'appareil Check Point que vous souhaitez migrer.


Prochaine étape

Exportez la configuration de l'appareil à l'aide de l'outil FMT-CP-Config-Extractor_v2.3.4-5381

Exporter la configuration d'un appareil à l'aide d'un extracteur de configuration
Procédure

Étape 1

Dans la page Choisir la configuration de la source, choisissez Check Point (r75-r77) et cliquez sur Débuter la migration.

Étape 2

Dans le volet Extracteur de configuration, cliquez sur Connexion à la passerelle de sécurité de Check Point pour laquelle les politiques doivent être migrées à l'aide de l'outil de migration Secure Firewall.

Pour vous connecter, vous avez besoin des informations suivantes :

  1. Adresse IP

  2. Port

  3. Nom d’utilisateur administrateur

  4. Mot de passe de l’administrateur

  5. Mot de passe expert

  6. (Facultatif) Numéro d'identification virtuel

Étape 3

Attendez jusqu'à ce que vous voyez un fichier networking.txttéléchargé sur votre machine locale.

Les commandes suivantes sont exécutées en arrière-plan par l'extracteur de configuration et sont téléchargées comme fichier networking.txt :

  • show hostname

  • show version product

  • show interfaces

  • fw vsx stat

  • show management interface

  • show configuration bonding

  • show configuration bridging

  • show configuration interface

  • show configuration static-route

  • show ipv6-state

  • show configuration ipv6 static-route

  • netstat -rnv

Par exemple, 172.16.0.1 est l'adresse IP de la passerelle du pare-feu Check Point pour laquelle les politiques doivent être migrées.

Étape 4

Si vous essayez d'exporter la configuration d'un Check Point VSX (Virtual System eXtension) version R77 ayant un ID virtuel, les commandes suivantes sont exécutées en arrière-plan :

  • show hostname

  • show version product

  • show interfaces

  • fw vsx stat

  • fw vsx stat <vsid>

  • set virtual system <vsid>

    Astuces

     

    vsid indique l'identifiant du système virtuel.

  • fw getifs

  • show management interface

  • show configuration bonding

  • show configuration bridging

  • show configuration interface

  • show configuration static-route

  • show ipv6-state

  • show configuration ipv6 static-route

  • netstat -rnv

Étape 5

Déplacez le fichier .txt vers le dossier Sorties.


Prochaine étape

Compresser les fichiers exportés

Compresser les fichiers exportés
Procédure

Choisissez les huit fichiers (sept de l'outil de visualisation web (WVT) et un fichier .txt de l'extracteur de configuration) et compressez-les dans un fichier zip.

Remarque

 
Avant de compresser les fichiers pour la migration, assurez-vous que les fichiers Security_Policy.xml et NAT_Policy.xml sont pour le périphérique Check Point que vous souhaitez migrer vers la protection contre les menaces.

Remarque

 
.tar ou les autres types de fichiers compressés ne sont pas pris en charge.

Prochaine étape

Téléversez le fichier de configuration Check Point

Exécuter la migration

Lancer l'outil de migration Secure Firewall

Cette tâche s’applique uniquement si vous utilisez la version de bureau de l’outil de migration de pare-feu sécurisé. Si vous utilisez la version en nuage de l’outil de migration hébergé sur CDO, passez à Téléverser le fichier de configuration Check Point .


Remarque


Lorsque vous lancez l'outil de migration Secure Firewall, une console apparaît dans une fenêtre séparée. Au fur et à mesure de la migration, la console affiche la progression de l'étape en cours dans l'outil de migration Secure Firewall. Si vous ne voyez pas la console sur votre écran, il est fort probable qu'elle soit derrière l'outil de migration Secure Firewall.

Avant de commencer

Procédure


Étape 1

Sur votre ordinateur, naviguez jusqu'au dossier où vous avez téléchargé l'outil de migration Secure Firewall.

Étape 2

Effectuez l’une des opérations suivantes :

  • Sur votre machine Windows, double-cliquez sur l'exécutable de l'outil de migration Secure Firewall pour le lancer dans un navigateur Google Chrome.

    Si vous y êtes invité, cliquez sur Oui pour autoriser l'outil de migration Secure Firewall à apporter des modifications à votre système.

    L'outil de migration Secure Firewall crée et stocke tous les fichiers connexes dans le dossier où il réside, y compris les dossiers de journaux et de ressources.

  • Sur votre Mac, déplacez le fichier *.command de l'outil de migration Secure Firewall dans le dossier souhaité, lancez l'application Terminal, naviguez jusqu'au dossier où l'outil de migration Secure Firewall est installé et exécutez les commandes suivantes :

    # chmod 750 Firewall_Migration_Tool-version_number.command

    # ./Firewall_Migration_Tool-version_number.command

    L'outil de migration Secure Firewall crée et stocke tous les fichiers connexes dans le dossier où il réside, y compris les dossiers de journaux et de ressources.

    Astuces

     
    Lorsque vous essayez d'ouvrir l'outil de migration Secure Firewall, vous obtenez une boîte de dialogue d'avertissement car l'outil de migration Secure Firewall n'est pas enregistré auprès d'Apple par un développeur identifié. Pour plus d'informations sur l'ouverture d'une application provenant d'un développeur non identifié, voir Ouvrir une application provenant d'un développeur non identifié.

    Remarque

     

    Utilisez la méthode zip du terminal MAC.

Étape 3

Sur la page Contrat de licence de l'utilisateur final, cliquez sur J'accepte de partager des données avec Cisco Success Network si vous souhaitez partager des informations de télémétrie avec Cisco, sinon cliquez sur Je le ferai plus tard.

Lorsque vous acceptez d'envoyer des statistiques au Cisco Success Network, vous êtes invité à vous connecter à l'aide de votre compte Cisco.com. Les informations d'identification locales sont utilisées pour se connecter à l'outil de migration Secure Firewall si vous choisissez de ne pas envoyer de statistiques à Cisco Success Network.

Étape 4

Sur la page de connexion de l'outil de migration Secure Firewall, effectuez l'une des opérations suivantes :

  • Pour partager des statistiques avec le Cisco Success Network, cliquez sur le lien Se connecter avec CCO pour vous connecter à votre compte Cisco.com à l'aide de vos identifiants de connexion unique. Si vous n'avez pas de compte Cisco.com, créez-le sur la page de connection de Cisco.com.

    Passez à l'étape 8 si vous avez utilisé votre compte Cisco.com pour vous connecter.

  • Si vous avez déployé votre pare-feu dans un réseau isolé qui n’a pas d’accès à Internet, communiquez avec le centre d’assistance technique Cisco pour recevoir une version qui fonctionne avec les identifiants de l’administrateur. Prenez note que cette version n’enverra pas de statistiques d’utilisation à Cisco, et le centre d’assistance technique Cisco peut vous fournir les identifiants.

Étape 5

Sur la page Réinitialiser le mot de passe, entrez l'ancien mot de passe, votre nouveau mot de passe et confirmez le nouveau mot de passe.

Le nouveau mot de passe doit avoir 8 caractères ou plus et doit inclure des lettres en majuscule et en minuscule, des numéros et des caractères spéciaux.

Étape 6

Cliquez sur Réinitialiser.

Étape 7

Connectez-vous avec le nouveau mot de passe.

Remarque

 
Si vous avez oublié le mot de passe, supprimez toutes les données existantes du dossier <migration_tool_folder>et réinstallez l'outil de migration Secure Firewall.

Étape 8

Passez en revue la liste de contrôle de pré-migration et assurez-vous que vous avez rempli tous les points énumérés.

Si vous n'avez pas rempli un ou plusieurs points de la liste de contrôle, ne continuez pas tant que vous ne l'avez pas fait.

Étape 9

Cliquez sur Nouvelle migration.

Étape 10

Sur l'écran de vérification de la mise à jour du logiciel, si vous n'êtes pas sûr d'utiliser la version la plus récente de l'outil de migration Secure Firewall, cliquez sur le lien pour vérifier la version sur Cisco.com.

Étape 11

Cliquez sur Procéder.


Prochaine étape

Vous pouvez procéder à l'étape suivante :

Utilisation du mode de démonstration dans l’outil de migration Cisco Secure Firewall

Lorsque vous lancez l’outil de migration Cisco Secure Firewall et si vous vous trouvez à la page Select Source Configuration [sélectionner la configuration source], vous pouvez choisir d’amorcer une migration au moyen de Start Migration [commencer la migration] ou de saisir Demo Mode [mode de démonstration].

Le mode de démonstration donne l’occasion d’exécuter une migration en démonstration en utilisant des appareils fictifs et de visualiser le processus réel de migration. L’outil de migration déclenche le mode de démonstration en se basant sur votre sélection dans le menu Source Firewall Vendor [fournisseur du pare-feu source]. Vous pouvez également charger un fichier de configuration ou vous connecter à un appareil en direct pour poursuivre la migration. Vous pouvez procéder à la migration en démonstration en choisissant les appareils source et cible utilisés, comme les appareils FMC et FTD.


Mise en garde


Si vous choisissez le mode de démonstration, les processus de migration existants s’effacent, le cas échéant. Si vous utilisez le mode de démonstration pendant qu’une migration est active dans Resume Migration [reprendre la migration], votre migration active est abandonnée et devra être relancée du début lorsque vous en aurez fini avec le mode de démonstration.


Vous pouvez également télécharger et vérifier le rapport prémigration, mapper les interfaces, les périmètres de sécurité et les groupes d’interfaces, et réaliser toutes les autres actions que vous entreprendriez dans un processus de migration réel. Cependant, vous pouvez seulement exécuter une migration en démonstration jusqu’à la validation des configurations. Vous ne pouvez pas pousser les configurations vers les appareils cibles utilisés lors de la démonstration, car il s’agit seulement d’un mode de démonstration. Vous pouvez vérifier l’état de la validation et le résumé, puis cliquez sur Exit Demo Mode [quitter le mode de démonstration] pour retourner à la page Select Source Configuration [sélectionner la configuration source] afin de lancer la véritable migration.


Remarque


Le mode de démonstration vous permet de tirer profit de la totalité de l’ensemble de fonctions de l’outil de migration Cisco Secure Firewall, mais vous ne pouvez pas pousser les configurations, et faire un essai de la procédure de migration de bout en bout avant d’exécuter votre migration réelle.


Exporter les fichiers de configuration Check Point pour r80


Remarque


L'exportation de la configuration Check Point r80 n'est prise en charge uniquement qu'avec la caractéristique Live Connect sur l'outil de migration Secure Firewall.


Pour configurer les identifiants requis pour la migration sur l'appareil Check Point et pour exporter les fichiers de configuration Check Point, effectuez ce qui suit :

Pré-établissez les dispositifs Check Point (r80) pour l'extraction de la configuration à l'aide de Live Connect

Vous pouvez configurer les informations d'identification sur les dispositifs Check Point (r80) avant la migration en suivant l'une des étapes suivantes :

  • Déploiement distribué de Check Point - Lorsque vous disposez d'une passerelle de sécurité Check Point indépendante et d'un gestionnaire de sécurité Check Point.

  • Déploiement Check Point autonome - Lorsque vous disposez d'une passerelle de sécurité Check Point et d'un gestionnaire de sécurité Check Point en tant que dispositif unique.

  • Déploiement Check Point multi-domaine - Lorsque vous disposez d'une passerelle de sécurité Check Point et d'un gestionnaire de sécurité Check Point avec une configuration de déploiement multi-domaine.

Exportation à partir d'un déploiement distribué de Check Point
Vous devez configurer les informations d'identification sur les appareils Check Point (r80) avant d'utiliser Live Connect sur l'outil de migration Secure Firewall pour extraire la configuration Check Point.

La procédure de mise à disposition préalable des informations d'identification dans le cadre d'un déploiement distribué de Check Point comprend les étapes suivantes :

Procédure

Étape 1

Créez les éléments suivants sur la passerelle de sécurité de la console Gaia Check Point :

  1. Dans le navigateur Web, ouvrez l'application Gaia Console Check Point via une session HTTPS pour vous connecter à la passerelle de sécurité Check Point.

  2. Naviguez vers l'onglet Gestion de l'utilisateur et choisissez Utilisateurs > Ajoutez.

  3. Dans la fenêtre Ajouter un utilisateur, créez un nouveau nom d'utilisateur et mot de passe avec les détails suivants :

    • Dans la liste déroulante Shell, choisissez /etc/cli.sh.

    • Dans Rôles disponibles, choisissez adminRole.

    • Conservez les valeurs par défaut pour les champs restants.

    • Cliquez sur Ok.

  4. Connectez-vous en SSH à votre passerelle de sécurité Check Point et créez un nouveau mot de passe à l'aide de la commande :

    set expert-password <password>

    Remarque

     
    • Si vous avez déjà configuré le mot de passe expert sur l’appareil Check Point, réutilisez-le.

    • Vous aurez besoin de ces informations d'identification sur la page Connexion à la passerelle de sécurité Check Point, comme indiqué à l'étape 3.

    Une fois que vous avez configuré le mot de passe de l'expert, la mise en place préalable des informations d'identification pour la passerelle Check Point r80 est terminée.

    Pour plus d'informations, référez-vous à l'image 3.

Étape 2

Créez le nom d'utilisateur et le mot de passe sur le gestionnaire de sécurité Check Point pour r80 :

  1. Sur l'application SmartConsole, effectuez ces étapes :

    1. Connectez-vous au gestionnaire de sécurité Check Point.

    2. Naviguez vers Gérer et Paramètres > Permissions et Administrateurs > Administrateurs.

    3. Cliquez sur * pour créer un nouveau nom d'utilisateur et un mot de passe et effectuez ces étapes :

      • Choisissez Méthode d'authentification comme mot de passe Check Point.

      • Cliquez sur Définir un nouveau mot de passe pour définir un nouveau mot de passe.

        Remarque

         

        Assurez-vous de ne pas cocher la case L'utilisateur doit modifier le mot de passe lors de la prochaine connexion.

      • Choisissez Profil de permission comme Super utilisateur.

      • Choisissez l'expiration comme Jamais.

    4. Cliquez sur Publier pour sauvegarder les changements de configuration sur l'application SmartConsole de Check Point.

  2. Sur la console Gaia pour le gestionnaire de sécurité Check Point, effectuez ces étapes :

    Remarque

     

    Assurez-vous que le nom d'utilisateur et le mot de passe que vous créez maintenant est le même que celui créé à l'étape 2a (3)dans l'application SmartConsole.

    1. Dans le navigateur Web, ouvrez l'application Gaia Console via une session HTTPS pour vous connecter à Check Point Security Manager.

    2. Naviguez vers l'onglet Gestion de l'utilisateur et choisissez Utilisateurs > Ajoutez.

    3. Créez un nom d'utilisateur et mot de passe qui est le même que celui créé dans l'étape 2a (3) de l'application SmartConsole

      • Dans la liste déroulante Shell, sélectionnez /bin/bash.

      • Dans la liste déroulante des rôles disponibles, sélectionnez adminRole.

      • Conservez les valeurs par défaut pour les champs restants.

      • Cliquez sur Ok.

    4. Connectez-vous en SSH au gestionnaire de sécurité Check Point et créez un mot de passe expert à l'aide de la commande :

      set expert-password <password>

      Remarque

       
      • Si vous avez déjà configuré le mot de passe expert, vous pouvez utiliser ce mot de passe.

      • Le nom d'utilisateur et le mot de passe créés dans l'étape 2b (3) et l'étape 2a (3) doivent être le même.

    La mise en place préalable des informations d'identification sur Check Point dans le cadre d'un déploiement distribué pour le gestionnaire de sécurité Check Point est terminée.

    Vous aurez besoin de ces informations d'identifiant sur la page Connexion au gestionnaire de sécurité Check Point, tel que montré dans l'étape 4.

Si vous utilisez un port API personnalisé sur le Check Point Smart Manager, voir Port API personnalisé pour Check Point r80


Prochaine étape

Exporter les fichiers de configuration Check Point pour r80

Exportation à partir d'un déploiement autonome de Check Point
Vous devez configurer les informations d'identification sur les appareils Check Point (r80) avant d'utiliser Live Connect sur l'outil de migration Secure Firewall pour extraire la configuration Check Point.

La procédure de mise à disposition préalable des informations d'identification dans le cadre d'un déploiement autonome de Check Point comprend les étapes suivantes :

Procédure

Étape 1

Dans le navigateur Web, ouvrez l'application Gaia Console via une session HTTPS pour vous connecter au dispositif Check Point autonome qui gère à la fois la passerelle de sécurité Check Point et le gestionnaire de sécurité Check Point.

Étape 2

Naviguez vers l'onglet Gestion de l'utilisateur et choisissez Utilisateurs > Ajoutez.

  1. Dans la fenêtre Ajouter un utilisateur, créez un nouveau nom d'utilisateur et mot de passe avec les détails suivants :

    • Dans la liste déroulante Shell, choisissez /etc/cli.sh.

    • Dans la liste déroulante des rôles disponibles, sélectionnez adminRole.

    • Conservez les valeurs par défaut pour les champs restants.

    • Cliquez sur Ok.

    Vous aurez besoin de ces informations d'identification sur la page Connexion à la passerelle de sécurité Check Point, comme indiqué à l'étape 3.

    Pour plus d'informations, référez-vous à l'image 3.

  2. Dans la fenêtre Ajouter un utilisateur, créez un autre nom d'utilisateur et mot de passe avec les détails suivants :

    • Dans la liste déroulante Shell, sélectionnez /bin/bash.

    • Dans la liste déroulante des rôles disponibles, sélectionnez adminRole.

    • Conservez les valeurs par défaut pour les champs restants.

    • Cliquez sur Ok.

Étape 3

Créez les éléments suivants dans l'application SmartConsole pour r80 sur l'appareil Check Point :

Remarque

 

Assurez-vous que le nom d'utilisateur et le mot de passe que vous créérez maintenant sont les mêmes que ceux crées dans la console Check Point Gaia à l'étape précédente.

  1. Connectez-vous à l’application SmartConsole de l’appareil Check Point.

  2. Naviguez vers Gérer et Paramètres > Permissions et Administrateurs > Administrateurs.

  3. Cliquez sur *pour créer un nouveau nom d'utilisateur et mot de passer avec les détails suivants :

    • Choisissez la méthode d'authentification comme mot de passe Check Point.

    • Cliquez sur Définir un nouveau mot de passe pour définir un nouveau mot de passe.

      Remarque

       

      Assurez-vous de ne pas cocher la case L'utilisateur doit modifier le mot de passe lors de la prochaine connexion.

    • Choisissez le profil de permission comme Super utilisateur.

    • Choisissez l'expiration comme Jamais.

    Le nom d'utilisateur et mot de passe que vous avez créé ans l'étape b de l'étape 2 et l'étape c de l'étape 3 doivent être les mêmes.

    Vous aurez besoin de ces informations d'identifiant sur la page Connexion au gestionnaire de sécurité Check Point, tel que montré dans l'étape 4.

  4. Cliquez sur Publier pour sauvegarder les changements de configuration sur l'application SmartConsole de Check Point.

Étape 4

Connectez-vous en SSH au périphérique Check Point et créez un mot de passe expert à l’aide de la commande :

set expert-password <password>

Remarque

 
  • Si vous avez déjà configuré le mot de passe expert sur l’appareil Check Point, réutilisez-le.

  • Le nom d'utilisateur et mot de passe que vous avez créé ans l'étape b de l'étape 2 et l'étape c de l'étape 3 doivent être les mêmes.

La mise en place préalable des informations d'identification sur les dispositifs Check Point dans le cadre d'un déploiement autonome est terminée.

Si vous utilisez un port API personnalisé sur le Check Point Smart Manager, voir Port API personnalisé pour Check Point r80


Prochaine étape

Exporter les fichiers de configuration Check Point pour r80

Exportation d'un déploiement multi-domaine Check Point
Vous devez configurer les informations d'identification sur les appareils Check Point (r80) à l'aide de Live Connect sur l'outil de migration Secure Firewall pour extraire la configuration Check Point.

La procédure de mise à disposition préalable des informations d'identification dans le cadre d'un déploiement multidomaine de Check Point comprend les étapes suivantes :

Procédure

Étape 1

Créez les éléments suivants sur la passerelle de sécurité de la console Gaia Check Point :

  1. Dans le navigateur Web, ouvrez l'application Gaia Console via une session HTTPS pour vous connecter à la passerelle de sécurité Check Point.

  2. Naviguez vers l'onglet Gestion de l'utilisateur et choisissez Utilisateurs > Ajoutez.

  3. Dans la fenêtre Ajouter un utilisateur, créez un nouveau nom d'utilisateur et mot de passe avec les détails suivants :

    • Dans la liste déroulante Shell, choisissez /etc/cli.sh.

    • Dans la liste déroulante des rôles disponibles, sélectionnez adminRole.

    • Conservez les valeurs par défaut pour les champs restants.

    • Cliquez sur Ok.

  4. Connectez-vous en SSH à votre passerelle de sécurité Check Point et créez un nouveau mot de passe à l'aide de la commande :

    set expert-password <password>

    La mise en place préalable des informations d'identification sur la passerelle de sécurité Check Point pour un déploiement multi-domaine est terminée.

  5. (Facultatif) Lors de l'exportation de la configuration d'un dispositif VSX (Virtual System Extension), cochez la case ID du système virtuel pour pouvoir saisir l'ID du système virtuel.

    Illustration 1. Se connecter à la passerelle de sécurité Check Point - Déploiement multi-domaines

Étape 2

Créez le nom d'utilisateur et le mot de passe sur le gestionnaire de sécurité Check Point :

  1. Sur l'application SmartConsole (mds), effectuez ces étapes :

    1. Connectez-vous au gestionnaire de sécurité Check Point.

    2. Naviguez vers Gérer et Paramètres > Permissions et Administrateurs > Administrateurs.

    3. Cliquez sur *pour créer un nouveau nom d'utilisateur et mot de passer avec les détails suivants :

      • Choisissez la méthode d'authentification comme mot de passe Check Point.

      • Cliquez sur Définir un nouveau mot de passe pour définir un nouveau mot de passe.

        Remarque

         

        Assurez-vous de ne pas cocher la case L'utilisateur doit modifier le mot de passe lors de la prochaine connexion.

      • Choisissez le profil de permission comme Super utilisateur multi-domaines.

      • Choisissez l'expiration comme Jamais.

    4. Cliquez sur Publier pour sauvegarder les changements de configuration sur l'application SmartConsole de Check Point.

      Si vous utilisez un port API personnalisé sur le Check Point Smart Manager, voir Port API personnalisé pour Check Point r80

  2. Sur la console Gaia pour le gestionnaire de sécurité Check Point, effectuez ces étapes :

    Remarque

     

    Assurez-vous que le nom d'utilisateur et le mot de passe que vous allez créer est le même que celui créé à l'étape 2a (3)dans l'application SmartConsole.

    1. Dans le navigateur Web, ouvrez l'application Gaia Console via une session HTTPS pour vous connecter à Check Point Security Manager.

    2. Naviguez vers l'onglet Gestion de l'utilisateur et choisissez Utilisateurs > Ajoutez.

    3. Créez un nom d'utilisateur et mot de passe qui est le même que celui créé dans l'étape 2a (3)de l'application SmartConsole

      • Dans la liste déroulante Shell, sélectionnez /bin/bash.

      • Dans la liste déroulante des rôles disponibles, sélectionnez adminRole.

      • Conservez les valeurs par défaut pour les champs restants.

      • Cliquez sur Ok.

    4. Connectez-vous en SSH à votre gestionnaire de sécurité Check Point et créez un nouveau mot de passe à l'aide de la commande :

      set expert-password <password>

      Remarque

       
      • Si vous avez déjà configuré le mot de passe expert sur l’appareil Check Point, réutilisez-le.

      • Le nom d'utilisateur et le mot de passe créés dans l'étape 2a (3) et l'étape 2b (3) doivent être le même.

    La mise en place préalable des informations d'identification sur le gestionnaire de sécurité Check Point dans le cadre d'un déploiement multidomaine est terminée.

    Vous aurez besoin des identifiants pour vous connecter à Live Connect comme dans l'image 2.

    Illustration 2. Se connecter au gestionnaire de sécurité Check Point - Déploiement multi-domaines

    Remarque

     
    • Si vous utilisez un port API personnalisé sur le Check Point Smart Manager, voir Port API personnalisé pour Check Point r80

    • L'extraction du paquet de stratégies globales pour le déploiement multi-domaines n'est pas possible. Par conséquent, les objets, les règles ACE et les règles NAT configurés dans le cadre de la configuration sous Check Point CMA sont uniquement exportés et migrés.


Prochaine étape

Exporter les fichiers de configuration Check Point pour r80

Vous utilisez un port API personnalisé pour Check Point (r80) Security Manager ?

Remarque


Si vous utilisez un port API personnalisé sur le Check Point Smart Manager, effectuez ces actions :

  • Cochez la case Déploiement multidomaine Check Point sur la page Check Point Security Manager de Live Connect.

  • Ajoutez l'adresse IP de Check Point CMA et les détails du port API si vous utilisez le déploiement multidomaine.

  • Gardez l'adresse IP du Check Point Security Manager si c'est un déploiement général et saisissez les détails du port API personnalisé.


Procédure pour exporter les fichiers de configuration Check Point pour r80

Avant de commencer
Il est obligatoire de mettre en place les dispositifs Check Point au préalable. Pour des informations détaillées sur la configuration des informations d'identification sur les dispositifs Check Point (r80) avant la migration, voir Préparer les dispositifs Check Point (r80) pour l'extraction de la configuration en utilisant Live Connect.

Remarque


  • Nous vous recommandons d'utiliser Live Connect pour extraire les configurations Check Point (r80).

  • L'utilisation d'une configuration Check Point (r80) qui n'est pas exportée à l'aide de Live Connect dans l'outil de migration Secure Firewall entraîne la migration de la configuration comme non prise en charge, la migration partielle ou l'échec de la migration.

    Si les informations dans l'exportation de la configuration sont incomplètes, certaines configurations ne sont pas migrées et sont marquées comme non prises en charge.


Pour exporter les fichiers de configuration Check Point pour r80, procédez comme suit :

Procédure

Étape 1

Choisissez Check Point (r80) de la page Choisissez la configuration source.

Étape 2

Cliquez sur Connect (connexion).

Remarque

 
Live Connect est offerte uniquement pour Check Point (r80).

Étape 3

Connectez-vous à la passerelle de sécurité Check Point. Procédez comme suit:

  1. Saisissez les informations suivantes dans la passerelle de sécurité Check Point r80 :

    • Adresse IP

    • Port SSH

    • Nom d’utilisateur administrateur

    • Mot de passe de l’administrateur

    • Mot de passe expert

    Illustration 3. Connectez-vous à la passerelle de sécurité Check Point
  2. Cliquez sur Ouvrir une session.

    L'outil de migration Secure Firewall génère le fichier networking.txt qui contient les configurations spécifiques à l'appareil, telles que les configurations d'interface et de route. Stockez le fichier networking.txt dans un répertoire local pour la session en cours de l'outil de migration Secure Firewall.

Étape 4

Connectez-vous au gestionnaire de sécurité Check Point. Procédez comme suit:

  1. Saisissez les informations suivantes dans le gestionnaire de sécurité Check Point r80 :

    • Adresse IP

    • Port SSH

    • Nom de l'utilisateur de la console Smart

    • Mot de passe de la console Smart

    • Mot de passe expert

    Illustration 4. Connectez-vous au gestionnaire de sécurité Check Point
  2. Cliquez sur Ouvrir une session.

    L'outil de migration Secure Firewall génère le fichier Extracted-objects.json qui capture la configuration complète du réseau et des objets de service disponibles dans le gestionnaire de sécurité Check Point.

    Stockez le fichier Extracted-objects.json dans un répertoire local pour la session actuelle de l'outil de migration Secure Firewall.

Remarque

 

Si vous avez connecté l'outil de migration Secure Firewall au gestionnaire de sécurité Check Point, la liste des paquets de politiques offertes dans le gestionnaire de sécurité Check Point est affichée.

Étape 5

Sélectionnez le Paquet de politique Check Point que vous souhaitez migrer dans la liste Choisir le paquet Check Point, puis cliquez sur Débuter l'extraction.

Illustration 5. Extraire le paquet de politique Check Point

Étape 6

Téléchargez la configuration et procédez avec la migration.

Illustration 6. Extraction de la configuration complète de Check Point pour un déploiement distribué et autonome

Étape 7

Cliquez sur Suivant pour procéder à la migration de la configuration Check Point (r80).


Prochaine étape

Téléversez le fichier de configuration Check Point

Extraire un autre fichier de configuration

Pour extraire un autre fichier de configuration :

  • Cliquez sur Back to source selection [retour à la sélection de la source] afin d’extraire une nouvelle configuration pour un autre paquet de politiques ou de vous connecter à un autre pare-feu Check Point (r80).

  • Téléchargez la configuration actuelle si vous devez migrer plus tard la configuration Check Point (r80) extraite.


    Remarque


    Le fichier de configuration actuel est téléchargé à un emplacement par défaut, défini par le navigateur.


Vous pouvez utiliser l’approche de la chaîne de montage pour extraire la configuration r80 :

  • Exécutez Live Connect pour extraire le fichier de configuration Check Point (r80) pour chaque paquet de pare-feu ou pour différents pare-feu.

  • Créez un référentiel pour plusieurs configurations.

  • Utilisez l’option Start Migration later [lancer la migration plus tard] au moyen d’un chargement manuel afin de poursuivre la migration ultérieurement.

Téléversez le fichier de configuration Check Point

Avant de commencer

Exporter le fichier de configuration en format .zip.

Procédure


Étape 1

Sur l'écran Extraire les informations de configuration, dans la section Téléversement manuel, cliquez sur Téléverser pour téléverser le fichier de configuration Check Point.

Étape 2

Naviguez vers l'endroit où le fichier de configuration est conservé. Le fichier de configuration est extrait pour Check Point (r77) et téléchargé en utilisant Live Connect pour Check Point (r80) Cliquez sur Ouvrir

L'outil de migration Secure Firewall téléverse le fichier de configuration. Pour les fichiers de configuration volumineux, cette étape prend plus de temps.

Le processus d'analyse préalable est maintenant terminé.

La section Résumé de l'analyse affiche le statut de l'analyse.

Étape 3

Examinez le résumé des éléments détectés et analysés par l'outil de migration Secure Firewall dans le fichier de configuration téléversé.

Étape 4

Cliquez sur Suivant pour choisir les paramètres cibles.


Prochaine étape

Préciser les paramètres de destination pour l’outil de migration

Préciser les paramètres de destination pour l’outil de migration Secure Firewall

Avant de commencer

  • Obtenez l'adresse IP de centre de gestion pour le centre de gestion du pare-feu sur place

  • À partir de l'outil de migration Secure Firewall 3.0, vous pouvez choisir entre le centre de gestion des pare-feux sur site et le centre de gestion des pare-feux en nuage.

  • Pour le centre de gestion de pare-feu en nuage, la région et le jeton API doivent être fournis. Pour en savoir plus, consultez le Centre de gestion cible pour la migration pris en charge.

  • (Facultatif) Si vous souhaitez faire migrer des configurations spécifiques à un dispositif, comme des interfaces et des itinéraires, ajoutez le défense contre les menaces cible au centre de centre de gestiongestion. Référez-vous à Ajoutez des dispositifs au Firewall Management Center

  • S'il est nécessaire d'appliquer un IPS ou une politique de fichier à l'ACL dans la page Examiner et valider, nous vous recommandons vivement de créer une politique sur centre de gestion avant la migration. Utilisez la même politique, alors que l'outil de migration Secure Firewall récupère la politique du centre de gestionconnecté. Créer une nouvelle politique et l'assigner à de listes de contrôles d'accès peut dégrader la performance et causer l'échec du transfert.

Procédure


Étape 1

Sur l'écran Sélectionner la cible, dans la section Gestion du pare-feu, procédez comme suit : vous pouvez choisir de migrer vers un centre de gestion de pare-feu sur site ou un centre de gestion de pare-feu en nuage .

  • Pour migrer vers un centre de gestion sur place, faites ce qui suit :

  1. Cliquez sur le bouton radio FMC sur place

  2. Saisissez l'adresse IP ou le nom de domaine entièrement qualifié (FQDN) du centre de gestion.

  3. Dans la liste déroulante Domaine, sélectionnez le domaine vers lequel vous effectuez la migration.

    Si vous voulez migrer vers un appareil défense contre les menaces, vous pouvez seulement migrer vers les appareils défense contre les menaces offerts dans le domaine sélectionné.

  4. Cliquez sur Connecter et procédez à l'étape 2.

  • Pour migrer vers un centre de gestion de pare-feu en nuage, faites ce qui suit :

  1. Cliquez sur le bouton radio FMC en nuage.

  2. Choisissez la région et collez le jeton API CDO. Pour générer le jeton API du CO, suivez les étapes ci-dessous :

    1. Connectez-vous au portail CDO

    2. Naviguez vers Paramètres > Paramètres généraux et copiez le jeton API.

  3. Cliquez sur Connecter et procédez à l'étape 2.

Étape 2

Dans la boîte de dialogue Connexion du Centre de gestion du pare-feu, entrez le nom d'utilisateur et le mot de passe du compte dédié à l'outil de migration Secure Firewall, puis cliquez sur Connexion.

L'outil de migration Secure Firewall se connecte au centre de gestion et récupère une liste des appareils défense contre les menacesqui sont gérés parcentre de gestion. Vous pouvez voir la progression de cette étape dans la console.

Étape 3

Cliquez sur Procéder.

Étape 4

Dans la section Choisir la défense contre les menaces, faites l'une de ces choses :

  • Cliquez sur la liste déroulante Sélectionner un dispositif de défense contre les menaces de pare-feu et cochez le dispositif sur lequel vous souhaitez faire migrer la configuration de Check Pointdu .

    Les dispositifs dans le domaine centre de gestionchoisi sont listés par adresse IP et par nom.

    Remarque

     
    Au minimum, le dispositif défense contre les menacesnatif que vous choisissez doit avoir le même nombre d'interfaces physiques ou de canaux de port que la configuration de l'Check Point que vous migrez. Au minimum, l'instance de conteneur du dispositif défense contre les menacesdoit avoir le même nombre d'interfaces et de sous-interfaces physiques ou de canaux de port. Vous devez configurer l'appareil avec le même mode de pare-feu que . Cependant, ces interfaces n'ont pas à avoir le même nom sur les deux dispositifs.

    Remarque

     

    Uniquement lorsque la plateforme de défense contre les menaces cible prise en charge est le Firewall 1010 avec la version 6.5 ou ultérieure du centre de gestion.6.5, la prise en charge de la migration FDM 5505 est applicable pour les politiques partagées et non pour les politiques spécifiques au dispositif. Lorsque vous procédez sans défense contre les menaces, l'outil de migration de Secure Firewall ne transfère aucune configuration ou politique à la défense contre les menaces. Ainsi, les interfaces et les itinéraires, ainsi que le VPN site à site, qui sont des configurations spécifiques aux dispositifs de défense contre les menaces, ne seront pas migrés. Cependant, toutes les autres configurations prises en charge (stratégies et objets partagés), telles que NAT, ACL et objets de port, seront migrées. Le VPN d'accès à distance est une politique partagée et peut être migré même sans défense contre les menaces.

    L'outil de migration Secure Firewall prend en charge la migration du pare-feu Check Point vers la version 6.7 centre de gestion oudéfense contre les menaces ou ultérieure avec l'option de déploiement à distance activée. La migration des interfaces et des itinéraires doit être faite manuellement.

  • Cliquez sur Proceed without FTD (continuer sans FTD) pour amorcer la migration vers centre de gestion.

    Lorsque vous procédez sansdéfense contre les menaces , l'outil de migration de Secure Firewall ne transfère aucune configuration ou politique vers défense contre les menaces. Ainsi, les interfaces et les routes ainsi que le VPN site à site, qui sont des configurations propres à l’appareil défense contre les menaces, ne seront pas migrés et devront être configurés manuellement sur centre de gestion. Cependant, toutes les autres configurations prises en charge (stratégies et objets partagés), telles que NAT, ACL et objets de port, seront migrées. Le VPN d'accès à distance est une politique partagée et peut être migré même sans défense contre les menaces.

Étape 5

Cliquez sur Procéder.

En fonction de la destination vers laquelle vous migrez, l'outil de migration Secure Firewall vous permet de sélectionner les fonctionnalités que vous souhaitez migrer.

Étape 6

Cliquez sur la section Sélectionner les fonctionnalités pour examiner et sélectionner les fonctionnalités que vous souhaitez migrer vers la destination.

  • Si vous effectuez une migration vers un dispositif de destinationdéfense contre les menaces, l'outil de migration Secure Firewall sélectionne automatiquement les fonctionnalités disponibles pour la migration à partir de la configuration de Check Pointdu dans les sections Configuration du dispositif et Configuration partagée. Vous pouvez modifier la sélection par défaut, selon vos besoins.
  • Si vous effectuez une migration vers un centre de gestion, l’outil de migration Cisco Secure Firewall sélectionnera automatiquement les fonctions disponibles pour la migration à partir Check Point dans les sections Device Configuration [configuration de l’appareil], Shared Configuration [configuration partagée] et Optimization [optimisation]. Vous pouvez modifier la sélection par défaut, selon vos besoins.
  • Pour Check Point, sous Configuration partagée, sélectionnez l'option Contrôle d'accès appropriée :

    • Politique globale : lorsque vous sélectionnez cette option, la zone source et les zones de destination de la politique ACL sont migrées comme Any.

    • Politique basée sur les zones : lorsque vous sélectionnez cette option, les zones de source et de destination sont dérivées sur la base de la recherche prédictive d'itinéraires par le biais du mécanisme de routage pour les objets ou groupes de réseaux de source et de destination.

      Remarque

       

      La recherche d'itinéraires est limitée aux itinéraires statiques et aux itinéraires dynamiques (PBR et NAT ne sont pas pris en compte) et, en fonction de la nature des groupes d'objets réseau source et destination, cette opération peut entraîner une explosion des règles.

      L'information de routage est obtenu par le fichier networking.txt . Ce fichier est la sortie de l'outil FMT-CP-Config-Extractor_v4.0.1-8248qui utilise la commande netstat -rnv pour rassembler la table de routage. Pour plus d'informations, référez-vous à Exporter la configuration de l'appareil en utilisant l'outilFMT-CP-Config-Extractor_v4.0.1-8248 .

      La recherche d'itinéraires IPv6 pour les politiques basées sur les zones n'est pas prise en charge dans cette version. Assurez-vous que toutes les règles de la politique globale ou des politiques basées sur les zones soient migrées avec succès.

    Dans Device Configuration [configuration de l’appareil], choisissez les interfaces, les routes et les configurations des tunnels VPN de site à site à migrer à partir de votre pare-feu Check Point. Notez que la migration est possible seulement pour une configuration des tunnels VPN de site à site basée sur les politiques (carte cryptographique).

  • (Facultatif) Dans la section Optimisation, sélectionnez Migrer uniquement les objets référencés pour ne migrer que les objets référencés dans une stratégie de contrôle d'accès et une stratégie NAT.

    Remarque

     
    Lorsque vous sélectionnez cette option, les objets non référencés dans la configuration de l' Check Point de ne seront pas migrés. Cela optimise le temps de migration et nettoie les objets inutilisés de la configuration.

Étape 7

Cliquez sur Procéder.

Étape 8

Dans la section Conversion de règle/Configuration de processus, cliquez sur Débuter la conversion pour initier la conversion.

Étape 9

Examiner le sommaire des éléments que l'outil de migration Secure Firewall a converti.

Pour vérifier si votre fichier de configuration a été téléversé et analysé avec succès, téléchargez et vérifier le rapport de pré-migration avant de continuer avec la migration.

Étape 10

Cliquez sur Télécharger le rapportet sauvegardez le rapport de pré-migration.

Une copie du rapport pré-migration est aussi sauvegardée dans le dossier Ressources au même endroit que l'outil de migration Secure Firewall.


Prochaine étape

Examiner le rapport pré-migration

Examiner le rapport pré-migration

Procédure


Étape 1

Naviguez vers où vous avez téléchargé le rapport pré-migration.

Une copie du rapport pré-migration est aussi sauvegardée dans le dossier Ressources au même endroit que l'outil de migration Secure Firewall.

Étape 2

Ouvrez le rapport pré-migration et examiner attentivement son contenu pour identifier tout problème pouvant causer l'échec de la migration.

Le rapport pré-migration inclut les informations suivantes :

  • Résumé de la migration - Résumé général des éléments de configuration Check Point pris en charge qui peuvent être migrés avec succès vers Firepower Threat Defense. Par exemple, les noms de politiques, le nombre de règles, etc.

  • Détails des erreurs d'analyse - Met en évidence la configuration qui a entraîné un échec de l'analyse. Ceci aide à modifier et mettre à jour la configuration pour un autre essai.

  • Configuration non prise en charge - Liste de tous les éléments de configuration qui ne sont pas pris en charge pour la migration par FMT et qui sont présentés de manière plus détaillée. Par exemple, une boucle avec retour, les interfaces Alias, les objets de domaine.

  • Configuration partiellement prise en charge - Liste de tous les éléments de configuration Check Point qui ne peuvent être que partiellement migrés. Par exemple, les routes statiques avec les paramètres Ping.

  • Configuration ignorée - Liste de tous les éléments de configuration Check Point qui sont ignorés par FMT pendant la migration et qui ne seront pas signalés sur le système cible.

Pour plus d'informations à propos des caractéristiques prises en charge dans centre de gestion et Défense contre les menaces, consultez le Guide de configuration du centre de FMC.

Étape 3

Si le rapport de pré-migration recommande des actions correctives, effectuez ces corrections sur le Check Point, exportez à nouveau le fichier de configuration du Check Point et téléchargez le fichier de configuration mis à jour avant de poursuivre.

Étape 4

Une fois que le fichier de configuration Check Point a été téléchargé et analysé avec succès, revenez à l'outil de migration Secure Firewall et cliquez sur Suivant pour poursuivre la migration.


Mappez les configurations de ,Check Point du pare-feu et de avec les Défense contre les menacesinterfaces.

L'appareil défense contre les menaces doit avoir un nombre d'interfaces physiques et de canaux de port égal ou supérieur à celui utilisé par ASACheck Point. Ces interfaces ne doivent pas avoir les mêmes noms sur les deux appareils. Vous pouvez choisir comment associer les interfaces.

À la page Map FTD Interface [mapper l’interface FTD], l’outil de migration Cisco Secure Firewall récupère une liste des interfaces de l’appareil défense contre les menaces. Par défaut, l'outil de migration Secure Firewall mappe les interfaces dans ASACheck Point avec leet le dispositif défense contre les menaces en fonction de leurs identités d'interface. Par exemple, l'interface « gestion seule » de l'interface du Check Point est automatiquement mappée à l'interface « gestion seule » du défense contre les menacesdispositif et n'est pas modifiable.

Le mappage de l'interface de l' Check Pointavec à l'interface défense contre les menaces diffère en fonction du type de périphérique défense contre les menaces :

  • Si la cible défense contre les menaces est de type natif :

    • Le défense contre les menaces doit avoir un nombre égal ou supérieur d'interfaces Check Point ou d'interfaces de données de canal de port (PC) utilisées (à l'exclusion des interfaces de gestion uniquement et des sous-interfaces dans la configuration de dispositifs gérés par un Check Point). Si le nombre est moindre, ajouter le type d'interface requis sur le défense contre les menaces cible.

    • Les sous-interfaces sont créées par l'outil de migration du pare-feu sécurisé sur la base de l'interface physique ou du mappage du canal de port.

  • Si la cible défense contre les menaces est de type contenant :

    • Le défense contre les menacesdoit avoir un nombre égal ou supérieur d'interfaces Check Pointou de sous-interfaces physiques utilisées, de canal de port ou de sous-interfaces de canal de port (à l'exclusion des interfaces de gestion uniquement et des sous-interfaces dans la configuration de dispositifs gérés par un Check Point). Si le nombre est moindre, ajouter le type d'interface requis sur le défense contre les menaces cible. Par exemple, si le nombre d'interfaces physiques et de sous-interfaces physiques sur la cible défense contre les menaces est inférieur de 100 à celui de l'Check Point , vous pouvez créer des interfaces physiques ou des sous-interfaces physiques supplémentaires sur la cible défense contre les menaces.

    • Les sous-interfaces ne sont pas créés par l'outil de migration Secure Firewall Seul le mappage d'interface est autorisé entre les interfaces physiques, les canaux de port ou les sous-interfaces.

Avant de commencer

Assurez-vous de vous être connecté au centre de gestion et choisi la destination comme défense contre les menaces Pour en savoir plus, consultez Préciser les paramètres de destination pour l’outil de migration Secure Firewall.


Remarque


Cette étape n'est pas applicable si vous migrez vers un centre de gestion sans un dispositif défense contre les menaces.

Procédure


Étape 1

Si vous souhaitez modifier le mappage d’une interface, cliquez sur la liste déroulante du nom de l’interface FTD et choisissez l’interface que vous souhaitez mapper à l’interface de l’ et de l’Check Point.

Vous ne pouvez pas modifier le mappage des interfaces de gestion. Si une interface défense contre les menaces a déjà été attribuée à une interface de périphérique Check Point, vous ne pouvez pas choisir cette interface dans la liste déroulante. Toutes les interfaces sont grisées et indisponibles.

Vous n'avez pas besoin de mapper les sous-interfaces. L'outil de migration Secure Firewall fait correspondre les sous-interfaces du dispositif défense contre les menacesà toutes les sous.

Étape 2

Lorsque vous avez mappé chaque interface de périphérique Check Point à une interfacedéfense contre les menaces, cliquez sur Suivant.


Prochaine étape

Mappez les interfaces des Check Point aux objets d'interface, aux zones de sécurité et aux groupes d'interfaces appropriésdéfense contre les menaces. Pour plus d'informations, voir Mapper Check Pointles interfaces des aux zones de sécurité et aux groupes d'interfaces.

Associez les interfaces Check Point à des zones de sécurité à des groupes d’interfaces

Pour que la configuration de l’, de l’ et Check Point géré par FDM soit migrée correctement, mappez les interfaces de Check Point aux défense contre les menacesobjets d’interface, aux zones de sécurité, aux groupes d’interfaces. Dans une configuration Check Point de , les politiques de contrôle d'accès et les politiques NAT utilisent des noms d'interface (nameif). Dans centre de gestion, ces politiques utilisent des objets d'interface. De plus, les politiques centre de gestion regroupent les objets d'interface ainsi :

  • Zones de sécurité - Une interface ne peut appartenir qu'à une seule zone de sécurité.

  • Groupes d'interfaces - Une interface peut appartenir à plusieurs groupes d'interfaces.

L’outil de migration Cisco Secure Firewall permet le mappage individuel des interfaces avec les zones de sécurité les groupes d’interfaces. Lorsqu’une zone de sécurité ou un groupe d’interfaces est mappé à une interface, il n’est pas disponible pour le mappage à d’autres interfaces, bien que centre de gestion le permette. Pour en savoir plus sur les zones de sécurité et les groupes d’interfaces dans centre de gestion, consultez la section Security Zones and Interface Groups [zones de sécurité et groupes d’interfaces] du guide de configuration d’appareil de Cisco Secure Firewall Management Center.

Procédure


Étape 1

Sur l'écran Mapper les zones de sécurité et les groupes d'interfaces, passez en revue les interfaces, les zones de sécurité et les groupes d'interfaces disponibles.

Étape 2

Pour mapper des interfaces à des zones de sécurité et à des groupes d'interfaces qui existent dans centre de gestion, ou qui sont disponibles dans les fichiers de configuration de des en tant qu'objets de type zone de sécurité et qui sont disponibles dans la liste déroulante, procédez comme suit :

  1. Dans la colonne Zones de sécurité, choisissez la zone de sécurité pour cette interface.

  2. Dans la colonne Groupes d'interface, choisissez le groupe d'interface pour cette interface.

Étape 3

Pour mapper des interfaces à des zones de sécurité et à des groupes d'interfaces qui existent dans centre de gestion, ou qui sont disponibles dans les fichiers de configuration de Check Point (r80) en tant qu'objets de type zone de sécurité et qui sont disponibles dans la liste déroulante, procédez comme suit :

  1. Dans la colonne Zones de sécurité, choisissez la zone de sécurité pour cette interface.

  2. Dans la colonne Groupes d'interface, choisissez le groupe d'interface pour cette interface.

Étape 4

Vous pouvez mapper manuellement ou auto-créer les zones de sécurité et les groupes d'interface.

Étape 5

Pour mapper manuellement les zones de sécurité et les groupes d'interface, faites ce qui suit :

  1. Cliquez sur Ajouter ZS & GI

  2. Dans la boîte de dialogue Ajouter ZS & GI, cliquez sur Ajouter pour ajouter une nouvelle zone de sécurité ou groupe d'interface.

  3. Saisissez le nom de la zone de sécurité dans la colonne Zone de sécurité. Le nombre maximal de caractères est de 48. Vous pouvez, de même, ajouter un groupe d’interfaces.

  4. Cliquez sur Close (Fermer).

Pour mapper les zones de sécurité et les groupes d'interface par auto-création, faites ce qui suit :

  1. Cliquez sur Auto-créer.

  2. Dans la boîte de dialogue Auto-créer, cochez une ou les deux cases Groupes d'interface et Mappage de zone.

  3. Cliquez sur Auto-créer.

L’outil de migration Secure Firewall donne à ces zones de sécurité le même nom que l’interface Check Point, comme à l’extérieur ou à l’intérieur, et affiche un « (A) » après le nom pour indiquer qu’il a été créé par l’outil de migration Secure Firewall. Les groupes d'interface ont un suffixe _ig ajouté, tel que outside_ig ou inside_ig. De plus, les zones de sécurité et les groupes d'interface ont le même mode que l'interface Check Point. Par exemple, si l'interface logique Check Point est mode L3, la zone de sécurité et le groupe d'interface crées pour l'interface sont également en mode L3.

Étape 6

Lorsque vous avez mappé toutes les interfaces aux zones de sécurité et groupes d'interface appropriés, cliquez sur Suivant.


Optimiser, examiner et valider la configuration

Avant de transférer la configuration Check Point de verscentre de gestion, optimisez et examinez soigneusement la configuration et vérifiez qu'elle est correcte et qu'elle correspond à la façon dont vous souhaitez configurer l'appareil défense contre les menaces. Un onglet clignotant indique que vous devez passer à l’action suivante.


Remarque


Si vous fermez l'outil de migration Secure Firewall à l'écran Optimiser, examiner et valider la configuration, cela sauvegarde votre progression et vous permet de continuer la migration plus tard. Si vous fermez l'outil de migration Secure Firewall avant cet écran, votre progression ne sera pas sauvegardée. S'il y a un échec après l'analyse, relancer l'outil de migration Secure Firewall continue à partir de l'écran Mappage des interfaces.


Ici, l’outil de migration Cisco Secure Firewall récupère les politiques du système de prévention des intrusions (IPS) et les politiques des fichiers qui sont déjà présentes dans le centre de gestion et qui vous permet de les associer aux règles de contrôle d’accès que vous migrez.

Une stratégie de fichiers est un ensemble de configurations que le système utilise pour effectuer une protection avancée contre les logiciels malveillants pour les réseaux et le contrôle des fichiers, dans le cadre de votre configuration globale de contrôle d'accès. Cette association fait en sorte qu'avant que le système passe un fichier dans le trafic correspondant aux conditions de la règle de contrôle d'accès, le fichier est d'abord inspecté.

De même, vous pouvez utiliser une politique IPS comme dernière ligne de défense du système avant que le trafic ne soit autorisé à se rendre à destination. Les politiques d'intrusion régissent la manière dont le système inspecte le trafic à la recherche de violations de la sécurité et, dans les déploiements en ligne, peuvent bloquer ou modifier le trafic malveillant. Chaque fois que le système utilise une politique d'intrusion pour évaluer le trafic, il utilise un ensemble de variables associé. La plupart des variables d'un ensemble représentent des valeurs couramment utilisées dans les règles d'intrusion pour identifier les adresses IP et les ports source et destination. Vous pouvez également utiliser des variables dans les politiques d'intrusion pour représenter les adresses IP dans les états de suppression de règles et de règles dynamiques.

Pour rechercher des éléments de configuration spécifiques dans un onglet, saisissez le nom de l'élément dans le champ situé en haut de la colonne. Les rangées du tableau sont filtrées pour afficher seulement les éléments correspondant au terme de recherche.


Remarque


Par défaut, l'option du Groupement en ligne est activée.

Si vous fermez l'outil de migration Secure Firewall à l'écran Optimiser, examiner et valider la configuration, cela sauvegarde votre progression et vous permet de continuer la migration plus tard. Si vous fermez ceci avant cet écran, votre progression ne sera pas sauvegardée. S'il y a un échec après l'analyse, relancer l'outil de migration Secure Firewall continue à partir de l'écran Mappage des interfaces.

Présentation de l'optimisation ACL de l'outil de migration Secure Firewall

L'outil de migration Secure Firewall permet d'identifier et de séparer les ACL qui peuvent être optimisées (désactivées ou supprimées) de la base de règles du pare-feu sans avoir d'impact sur la fonctionnalité du réseau.

L'optimisation d'ACL supporte les types d'ACL suivants :

  • ACL redondante: lorsque deux ACL ont le même ensemble de configurations et de règles, la suppression de l’ACL non de base n’aura pas d’incidence sur le réseau. Par exemple, si deux règles autorisent le trafic FTP et IP sur le même réseau sans qu'aucune règle ne soit définie pour refuser l'accès, la première règle peut être supprimée.

  • ACL dupliquée: la première ACL masque complètement les configurations de la deuxième ACL. Si deux règles ont un trafic similaire, la deuxième règle n'est appliquée à aucun trafic lorsqu'elle apparaît plus loin dans la liste d'accès. Si les deux règles spécifient des actions différentes pour le trafic, vous pouvez soit déplacer la règle masquée, soit modifier l'une des règles pour mettre en œuvre la politique requise. Par exemple, la règle de base peut refuser le trafic IP et la règle masquée peut autoriser le trafic FTP pour une source ou une destination donnée.

L'outil de migration Secure Firewall utilise les paramètres suivants lors de la comparaison des règles pour l'optimisation des ACL :


Remarque


L'optimisation est disponible pour le Check Point uniquement pour une action découlant d'une règle ACP.


  • Les ACL désactivés ne sont pas considérés durant le processus d'optimisation.

  • Les ACLs sources sont développées en ACEs correspondants (valeurs en ligne), puis comparées pour les paramètres suivants :

    • Zones source et de destination

    • Réseau source et de destination

    • Port source et de destination

Cliquez sur Download Report [télécharger le rapport] pour revoir le nom de l’ACL et les ACL redondantes et dupliquées correspondantes figurant dans un fichier Excel. Utilisez la feuille Detailed ACL Information [information détaillée sur les ACL] pour afficher plus de détails sur les ACL.

Optimisation de l'objet

Les objets suivants sont pris en considération lors de l’optimisation des objets dans le cadre du processus de migration :

  • Objets non référencés - Vous pouvez choisir de ne pas migrer les objets non référencés au début de la migration.

  • Objets en double - Si un objet existe déjà sur centre de gestion, au lieu de créer un objet en double, la politique est réutilisée.

  • Objets incohérents - si des objets ont des noms similaires mais un contenu différent, les noms des objets sont modifiés par l'outil de migration Secure Firewall avant la poussée de migration.

Procédure


Étape 1

(Facultatif) Sur l'écran Optimiser, examiner et valider la configuration, cliquez sur Optimiser l'ACL pour exécuter le code d'optimisation et effectuez les opérations suivantes :

  1. Pour télécharger les règles d'optimisation d'ACL, cliquez sur Télécharger.

  2. Sélectionnez les règles et choisissez Actions > Migrer comme désactivé ou Ne pas migrer et appliquez l'une des actions.

  3. Cliquez sur Save (enregistrer).

    L'opération de migration passe de Ne pas migrer à désactivé ou vice-versa.

    Vous pouvez effectuer une sélection en bloc des règles à l'aide des options suivantes

    • Migrer - Pour migrer vers le statut par défaut.

    • Ne pas migrer - Pour ignorer la migration des ACL

    • Migrer comme désactivé - Pour migrer les ACL avec le champ État réglé à Désactiver

    • Migrer comme activé - Pour migrer les ACL avec le champ État réglé à Activer

Étape 2

À la page Optimize, Review and Validate Configuration [optimiser, examiner et valider la configuration], cliquez sur Access Control Rules [règles de contrôle d’accès] et faites comme suit :

  1. Pour chaque entrée dans le tableau, examinez les mappages et vérifiez qu'ils soient corrects.

    Une règle de politique d'accès migrée utilise le nom de l'ACL comme préfixe et y ajoute le numéro de la règle de l'ACL pour faciliter le mappage vers le fichier de configuration Check Point. Par exemple, si une ACL Check Point est nommée « inside_access », la première ligne de règle (ou ACE) de l'ACL sera nommée « inside_access_#1 ». Si une règle doit être étendue en raison de combinaisons TCP ou UDP, d'un objet de service étendu ou pour toute autre raison, l'outil de migration Secure Firewall ajoute un suffixe numéroté au nom. Par exemple, si la règle d'autorisation est développée en deux règles de migration, elles sont nommées « inside_access _#1-1 » et « inside_access_#1-2 ».

    Pour toute règle comprenant un objet non pris en charge, l'outil de migration Secure Firewall ajoute un suffixe « _UNSUPPORTED » au nom.

  2. Si vous ne souhaitez pas migrer une ou plusieurs politiques de liste de contrôle d’accès, cochez la case des lignes concernées, choisissez Actions [actions] > Do not migrate [ne pas migrer], puis Save [enregistrer].

    Toutes les règles que vous choisirez de ne pas migrer sont grisées dans le tableau.

  3. Si vous souhaitez appliquer une politique de fichiers centre de gestionà une ou plusieurs politiques de contrôle d'accès, cochez la case des lignes appropriées, puis sélectionnez Actions > Politique de fichiers.

    Dans la boîte de dialogue Stratégie de fichier, sélectionnez la stratégie de fichier appropriée et appliquez-la aux stratégies de contrôle d'accès sélectionnées, puis cliquez sur Enregistrer.

  4. Si vous souhaitez appliquer une politique IPS centre de gestionà une ou plusieurs politiques de contrôle d'accès, cochez la case des lignes appropriées, puis sélectionnez Actions > Politique de fichiers.

    Dans la boîte de dialogue Politique IPS, sélectionnez la politique IPS appropriée et son ensemble de variables correspondant, appliquez-la aux politiques de contrôle d'accès sélectionnées et cliquez sur Enregistrer.

  5. Si vous souhaitez modifier les options de journalisation d'une règle de contrôle d'accès pour laquelle la journalisation est activée, cochez la case de la ligne correspondante et sélectionnez Actions > Journal.

    Dans la boîte de dialogue Journal, vous pouvez activer l'enregistrement des événements au début ou à la fin d'une connexion, ou les deux. Si vous activez la journalisation, vous devez choisir d'envoyer les événements de connexion soit à l'observateur d'événements, soit au Syslog, soit aux deux. Lorsque vous choisissez d'envoyer les événements de connexion à un serveur syslog, vous pouvez choisir les stratégies syslog déjà configurées sur le centre de gestion dans le menu déroulant Syslog.

  6. Si vous souhaitez modifier les actions pour les règles de contrôle d'accès migrées dans le tableau Contrôle d'accès, cochez la case de la ligne appropriée et sélectionnez Actions > Action découlant d'une règle.

    Astuces

     
    Les politiques IPS et les politiques de fichiers joints à une règle de contrôle d’accès seront automatiquement supprimées pour les actions découlant d’une règle, à l’exception de l’option Allow [autoriser].

    Vous pouvez filtrer le nombre d’ACE dans l’ordre croissant ou décroissant, ou pour voir les résultats égaux, supérieurs et inférieurs.

    Pour effacer les critères de filtrage existants et charger une nouvelle recherche, cliquez sur Effacer le filtre.

    Remarque

     
    L'ordre dans lequel vous triez l'ACL en fonction de l'ACE est uniquement destiné à la visualisation. Les ACL sont transférés selon l'ordre chronologique selon lequel ils se produisent.

Étape 3

Cliquez sur les onglets suivants et examinez les éléments de configuration :

  • Contrôle d’accès

  • Objets (objets de réseau, objets de port)

  • NAT

  • Interfaces

  • Routs

  • Tunnels de réseau privé virtuel (VPN) de site à site

Si vous ne souhaitez pas migrer une ou plusieurs règles NAT ou interfaces de routage, cochez la case des lignes concernées, choisissezActions [actions] > Do not migrate [ne pas migrer], puis Save [enregistrer].

Toutes les règles que vous choisirez de ne pas migrer sont grisées dans le tableau.

Étape 4

Vous pouvez afficher les routes à partir de la zone Routes [routes] et sélectionner les routes que vous ne souhaitez pas migrer, en sélectionnant une entrée et en choisissant Actions [actions] > Do not migrate [ne pas migrer].

Étape 5

À la section Site-to-Site VPN Tunnels [tunnels VPN de site à site], les tunnels VPN des configurations du pare-feu source sont indiqués. Passez en revue les données du tunnel VPN, comme les configurations de l’interface source, du type VPN, IKEv1 et IKEv2 pour chaque ligne, et assurez-vous de fournir les valeurs des clés prépartagées pour toutes les lignes.

Étape 6

(Facultatif) Pour télécharger les détails pour chaque élément de configuration dans la grille, cliquez sur Télécharger.

Étape 7

Après avoir complété votre examen, cliquez sur Valider. Prenez note que les champs obligatoires qui requièrent votre attention clignoteront jusqu’à ce que vous les remplissiez. Vous pourrez cliquer sur le bouton Validate [valider] seulement après que vous aurez rempli tous les champs obligatoires.

Durant la validation, l'outil de migration Secure Firewall se connecte à centre de gestion, examine les objets existants et les compare à une liste d'objets à migrer. Si un objet existe déjà dans centre de gestion, l'outil de migration Secuire Firewall fait ce qui suit :

  • Si un objet a le même nom et configuration, l'outil de migration Secure Firewall réutilise l'objet existant et ne crée pas de nouvel objet dans centre de gestion.

  • Si l'objet a le même nom mais une configuration différente, l'outil de migration Secure Firewall rapporte un conflit d'objet.

Vous pouvez voir la progression de la validation dans la console.

Étape 8

Lorsque la validation est terminée, si la boîte de dialogue Statut de la validation montre un ou plusieurs conflits d'objets, faites ce qui suit :

  1. Cliquez sur Résoudre les conflits

    L'outil de migration Secure Firewall affiche une icône d'avertissement dans l'onglet Objets réseau ou Objets port, ou les deux, selon l'endroit où les conflits d'objets ont été signalés.

  2. Cliquez sur l'onglet et examinez les objets.

  3. Vérifiez l'entrée pour chaque objet qui présente un conflit et sélectionnez Actions > Résoudre les conflits.

  4. Dans la fenêtre Résoudre les conflits, complétez l'action recommandée.

    Par exemple, on pourrait vous demander d'ajouter un suffixe au nom de l'objet pour éviter un conflit avec l'objet centre de gestion existant. Vous pouvez accepter le suffixe par défaut ou le remplacer par un des vôtres.

  5. Cliquez sur Résoudre

  6. Lorsque vous avez résolu tous les conflits d'objet sur un onglet, cliquez sur Sauvegarder

  7. Cliquez sur Validerpour revalider la confirmation et confirmer que vous avez résolu tous les conflits d'objet.

Étape 9

Lorsque la validation est terminée et que la boîte de dialogue Statut de la validation affiche le message Validé avec succès, continuez avec Transférer la configuration migrée vers Centre de gestion


Transférer la configuration migrée vers Centre de gestion

Vous ne pouvez pas pousser la configuration de Check Point migré avec un vers centre de gestionsi vous n'avez pas validé la configuration et résolu tous les conflits d'objets.

Cette étape dans le processus de migration envoie la configuration migrée vers centre de gestion. Elle ne déploie pas la configuration vers l'appareil Défense contre les menaces. Cependant, toute configuration existante sur le Défense contre les menaces est supprimée durant cette étape.


Remarque


Ne faites pas de changements de configuration ou ne déployez pas vers tout appareil pendant que l'outil de migration Secure Firewall envoie la configuration migrée vers centre de gestion.

Procédure


Étape 1

Dans la boîte de dialogue Statut de validation, examinez le sommaire de la validation.

Étape 2

Cliquez sur Transférer la configuration pour envoyer la configuration du dispositif migré Check Point à centre de gestion.

L'outil de migration Secure Firewall affiche un sommaire de la progression de la migration. Vous pouvez voir la progression détaillée, ligne par ligne des composants étant transférés vers centre de gestion dans la console.

Étape 3

Une fois la migration terminée, cliquez sur Télécharger le rapportpour télécharger et sauvegarder le rapport post-migration.

Une copie du rapport post-migration est également sauvegardée dans le dossier Ressources au même endroit que l'outil de migration Secure Firewall

Étape 4

Si la migration a échoué, examinez attentivement le rapport post-migration, le fichier journal et le fichier non analysé pour comprendre la cause de l'échec.

Vous pouvez également contacter l'équipe de soutien technique pour la résolution de problèmes.

Assistance à l'échec de migration

Si votre migration a échoué, contactez le soutien technique.

  1. Sur l'écran Migration terminée, cliquez sur le bouton Soutien technique.

    La page de soutien technique apparaît.

  2. Cochez la case Offre groupée de soutien, puis sélectionnez les fichiers de configuration à télécharger.

    Remarque

     
    Les fichiers journaux et dB sont choisis pour téléchargement par défaut.
  3. Cliquez sur Télécharger.

    Le fichier d'assistance est téléchargé sous la forme d'un fichier .zip dans votre chemin d'accès local. Extrayez le dossier Zip pour voir les fichiers journaux, la base de données et les fichiers de configuration.

  4. Cliquez sur Envoyer pour envoyer les détails de la panne à l'équipe technique.

    Vous pouvez aussi joindre les fichiers d'assistance téléchargés à votre courriel.

  5. Cliquez sur Visiter la page TAC pour créer une demande TAC dans la page de soutien de Cisco

    Remarque

     
    Vous pouvez soumettre une demande TAC en tout temps durant la migration à partir de la page de soutien technique.

Examiner le rapport de post-migration pour Check Point et terminer la migration

Procédure


Étape 1

Naviguez vers où vous avez téléchargé le rapport post-migration.

Étape 2

Ouvrez le rapport de post-migration et examinez attentivement son contenu pour comprendre comment la configuration de votre ASA a été migrée :

  • Résumé de la migration - Un résumé de la configuration qui a été migrée avec succès de Check Point à Firepower Threat Defense.

  • Migration sélective des politiques - Des détails sur les fonctionnalités Check Point spécifiques sélectionnées pour la migration et le mappage d'interface sont disponibles.

  • Conversions des migrations - Détails des conversions et des transferts incluant ce qui suit :

    • Gestion des objets de réseau/service

    • Liste des configurations partiellement migrées avec les raisons

    • Liste des configurations non prises en charge avec motif

    • Règles de contrôle d'accès étendues


Désinstaller l'outil de migration Secure Firewall

Tous les composants sont stockés dans le même dossier que l'outil de migration Secure Firewall.

Procédure


Étape 1

Naviguez jusqu'au dossier où vous avez téléchargé l'outil de migration Secure Firewall.

Étape 2

Si vous voulez sauvegarder les journaux, coupez ou copiez et coller le dossier journal vers un endroit différent.

Étape 3

Si vous voulez sauvegarder les rapports pré-migration et les rapports post-migration, coupez ou copiez et collez le dossier ressources vers un endroit différent.

Étape 4

Supprimez le dossier où vous avez placé l'outil de migration Secure Firewall.

Astuces

 
Le fichier journal est associée avec la fenêtre de la console. Si la fenêtre de la console pour l'outil de migration Secure Firewall est ouverte, le fichier journal et le dossier ne peuvent pas être supprimés.

Exemple de migration : avec vers Threat Defense 2100


Remarque


Créez un plan test que vous pouvez exécuter sur le dispositif cible une fois la migration terminée.


Tâches de la fenêtre de pré-maintenance

Avant de commencer

Assurez-vous d'avoir installé et déployé un centre de gestion Pour plus d'informations, consultez le Guide d'installation du matériel du centre de gestion approprié et le Guide de démarrage du centre de gestion approprié.

Procédure


Étape 1

Utilisez l'outil de visualisation Web et FMT-CP-Config-Extractor_v4.0.1-8248 l'outil Check Point pour collecter les configurations des dispositifs Check Point que vous essayez de migrer et enregistrez une copie des fichiers de configuration Check Point.

Étape 2

Examinez le fichier zip de la configuration de Check Point.

Étape 3

Déployez l'appareil Série Firepower 2100 dans votre réseau, connectez les interfaces et mettez l'appareil sous tension.

Pour plus d'informations, consultez le Guide de démarrage rapide Cisco Threat Defense pour la série 2100 en utilisant le centre de gestion.

Étape 4

Inscrivez l'appareil Série Firepower 2100 qui sera géré par le centre de gestion.

Pour plus d'informations, consultez Ajouter des appareils au centre de gestion.

Étape 5

(Facultatif) Si votre configuration source Check Point possède des interfaces de liaison, créez des canaux de port (EtherChannels) sur l'appareil cibleSérie Firepower 2100.

Pour plus d'informations, consultez Configurez des EtherChannels et les interfaces redondantes.

Étape 6

Téléchargez et exécutez la version la plus récente de l'outil de migration Secure Firewall de https://software.cisco.com/download/home/286306503/type.

Pour en savoir plus, consultez Télécharger l’outil de migration de pare-feu sécurisé sur Cisco.com.

Étape 7

Lorsque vous lancez l'outil de migration Secure Firewall et que vous spécifiez les paramètres de destination, assurez-vous de sélectionner l'appareil Série Firepower 2100que vous avez enregistré vers le centre de gestion.

Pour en savoir plus, consultez Préciser les paramètres de destination pour l’outil de migration Secure Firewall.

Étape 8

Mappez les ASA les Check Point interfaces avec les interfaces Défense contre les menaces.

Remarque

 
L'outil de migration Secure Firewall vous permet de mapper un d'interface Check Point au type Défense contre les menacesd'interface.

Par exemple, vous pouvez mapper une interface de liaison dans Check Point à une interface physique dans Défense contre les menaces.

Pour plus d'informations, voir Mapper les Check Pointinterfaces des dispositifs gérés par avec les interfaces de défense contre les menaces.

Étape 9

Lors du mappage des interfaces logiques aux zones de sécurité, cliquez sur Création automatique pour permettre à l'outil de migration Secure Firewall de créer de nouvelles zones de sécurité. Pour utiliser les zones de sécurité existantes, mappez manuellement les interfaces logiques de aux zones de sécurité.

Pour plus d'informations, voir Mapper Check Pointles interfaces logiques des aux zones de sécurité et aux groupes d'interfaces.

Étape 10

Suivez les instructions de ce guide pour examiner et valider de manière séquentielle la configuration à migrer, puis pour pousser la configuration vers le centre de gestion.

Étape 11

Examinez le rapport post-migration, installez manuellement et déployez les autres configurations vers le Défense contre les menaces et complétez la migration.

Pour plus de renseignements, consultez la section Examiner le rapport de post-migration pour Check Point et terminer la migration.

Étape 12

Testez l'appareil Série Firepower 2100 à l'aide du plan de test que vous avez créé lors de la planification de la migration.


Tâches de la fenêtre de maintenance

Avant de commencer

Assurez-vous d'avoir complété toutes les tâches devant être effectuées avant la fenêtre d'entretien. Consultez Tâches de la fenêtre de pré-maintenance.

Procédure


Étape 1

Connectez-vous à la passerelle de sécurité Check Point via la console Gaia

Étape 2

Arrêtez les interfaces Check Point de la passerelle de sécurité prévue via la console Gaia.

Étape 3

(Facultatif) Accédez au centre de gestion et configurez le routage dynamique, les paramètres de plate-forme et les autres fonctions qui ne sont pas migrées par l'outil de migration Secure Firewall et qui sont nécessaires manuellement pour le dispositif Firepower 2100 Series.

Étape 4

Effacez le cache du protocole de résolution d'adresses (ARP) sur l'infrastructure de commutation environnante

Étape 5

Effectuez des tests ping de base depuis l'infrastructure de commutation environnante jusqu'aux adresses IP de l'interface de l'appareil Série Firepower 2100, afin de vous assurer qu'elles sont accessibles.

Étape 6

Effectuez des tests de ping de base à partir d'appareils qui nécessitent un routage de couche 3 vers les adresses IP de l'interface de l'appareil Série Firepower 2100.

Étape 7

Si vous attribuez une nouvelle adresse IP à l'appareil Série Firepower 2100 et ne réutilisez pas l'adresse IP attribuée à l'appareil Check Point géré par , procédez comme suit :

  1. Mettez à jour toutes les routes statiques qui réfèrent aux adresses IP afin qu'elles puissent maintenant pointer vers l'adresse IP de l'appareil Série Firepower 2100.

  2. Si vous utilisez des protocoles de routage, assurez-vous que les voisins voient l'adresse IP de l'appareil Série Firepower 2100 comme le prochain saut vers les destinations attendues.

Étape 8

Exécutez un plan de test complet et surveillez les journaux dans le cadre de la gestion de centre de gestion pour votre appareil Firepower 2100.