Mise en route de l'outil de migration Secure Firewall

À propos de l'outil de migration Secure Firewall

Ce guide contient des informations sur comment télécharger l'outil de migration Secure Firewall et terminer la migration. De plus, il vous offre des astuces de résolution de problèmes pour vous aider à résoudre les problèmes de migration que vous pourriez rencontrer.

L'exemple de procédure de migration (Exemple de migration : PANdu vers Threat defense 2100) inclus dans ce livre aide à faciliter la compréhension du processus de migration.

L’outil de migration Cisco Secure Firewall convertit les configurations prises en charge de PAN en une plateforme Cisco Secure Firewall Threat Defense prise en charge. L’outil de migration Cisco Secure Firewall vous permet de migrer automatiquement les fonctions et les politiques de PAN vers défense contre les menaces. Vous devez migrer manuellement toutes les caractéristiques non prises en charge.

L'outil de migration Secure Firewall recueille les informations sur les PAN des , les analyse et les transmet au Cisco Secure Firewall Management Center. Pendant la phase d'analyse, l'outil de migration Secure Firewall génère un rapport de pré-migration qui identifie les éléments suivants :

  • Lignes XML de configuration du PAN contenant des erreurs

  • PAN dresse la liste des lignes PAN XML que l'outil de migration Secure Firewall ne peut pas reconnaître. Signalez les lignes de configuration XML sous la rubrique erreur dans le rapport de pré-migration et dans les journaux de la console ; cela bloque la migration.

S'il y a des erreurs d'analyse, vous pouvez les corriger, télécharger à nouveau une nouvelle configuration, vous connecter à l'appareil de destination, mapper les interfaces aux interfaces défense contre les menaces, mapper les applications, mapper les zones de sécurité et procéder à l'examen et à la validation de votre configuration. Vous pouvez ensuite faire migrer la configuration vers le périphérique de destination.

Console

La console s'ouvre lorsque vous lancez l'outil de migration Secure Firewall. La console fournit des informations détaillés sur la progression de chaque étape dans l'outil de migration Secure Firewall. Le contenu de la console est aussi écrit dans le fichier journal de l'outil de migration Secure Firewall.

La console peut rester ouverte pendant que l'outil de migration Secure Firewall est en marche.


Important
Lorsque vous quittez l'outil de migration Secure Firewall en fermant le navigateur sur lequel l'interface web est en cours d'exécution, la console continue de fonctionner en arrière-plan. Pour sortir complètement de l'outil de migration Secure Firewall, quittez la console en appuyant sur la touche Commande + C sur le clavier.

Journaux

L'outil de migration Secure Firewall crée un journal de chaque migration. Les journaux incluent les détails de ce qui se produit à chaque étape de la migration et peuvent vous aider à déterminer la cause de l'échec d'une migration.

Vous pouvez trouver les fichiers journaux pour l'outil de migration Secure Firewall à l'endroit suivant : <migration_tool_folder>\logs

Ressources

L’outil de migration Cisco Secure Firewall enregistre une copie des rapports prémigration, des rapports postmigration et des configurations PAN , et les consigne dans le dossier des ressources.

Vous pouvez trouver le dossier des ressources à l’emplacement suivant : <migration_tool_folder>\resources

Fichier non analysé

Vous pouvez trouver le fichier analysé à l’emplacement suivant :

<migration_tool_folder>\resources

Recherche dans l'outil de migration Secure Firewall

Vous pouvez rechercher des items dans les tableaux affichés dans l'outil de migration Secure Firewall, tels que ceux sur la page Optimiser, examiner et valider.

Pour rechercher un item dans toute colonne ou rangée, cliquez sur le Search (search icon) au-dessus du tableau et saisissez le terme recherché dans le champ. L'outil de migration Secure Firewall filtres les rangées de tableaux et affiche celles contenant le terme recherché.

Pour rechercher un item dans une seule colonne, saisissez le terme recherché dans le champ Recherche fourni dans l'en-tête de la colonne. L'outil de migration Secure Firewall filtres les rangées de tableaux et affiche celles correspondant au terme recherché.

Ports

L’outil de migration Secure Firewall prend en charge la télémétrie lorsqu’il est exécuté sur l’un de ces 12 ports : les ports 8321-8331 et le port 8888. Par défaut, l'outil de migration Secure Firewall utilise le port 8888 Pour changer le port, mettez à jour l'information dans le fichier app_config Après la mise à jour, assurez-vous de relancer l'outil de migration Secure Firewall pour que le changement de port prenne effet. Vous trouverez le fichier app_config à l’emplacement suivant : <migration_tool_folder>\app_config.txt.


Remarque
Nous vous recommandons d'utiliser les ports 8321-8331 et le port 8888, puisque la télémétrie n'est prise en charge que sur ces ports. Si vous activez le Cisco Success Network, vous ne pouvez pas utiliser un autre port pour l'outil de migration Secure Firewall.

Cisco Success Network (Réseau de succès Cisco)

Cisco Success Network est un service en nuage activé par l’utilisateur. Lorsque vous activez Cisco Success Network, une connexion sécurisée est établie entre l'outil de migration Secure Firewall et Cisco Cloud pour diffuser des informations et des statistiques d’utilisation. La télémétrie en continu fournit un mécanisme permettant de sélectionner des données intéressantes à partir de l'outil de migration Secure Firewall et de les transmettre dans un format structuré à des stations de gestion à distance, ce qui présente les avantages suivants :

  • Pour vous informer des caractéristiques offertes non utilisées qui peuvent améliorer l'efficacité du produit dans votre réseau.

  • Pour vous informer des services de soutien technique supplémentaires et la supervision offerte pour votre produit.

  • Pour aider Cisco à améliorer nos produits.

L'outil de migration Secure Firewall établit et maintient la connexion sécurisée et vous permet de vous inscrire au Cisco Success Network. Vous pouvez éteindre la connexion en tout temps en désactivant le Cisco Success Network, ce qui déconnectera l'appareil du nuage de Cisco Success Network.

Quoi de neuf dans l'outil de migration Secure Firewall

Version

Fonctionnalités prises en charge

6.0

Cette version comprend les nouvelles caractéristiques et améliorations suivantes :

Migration de Cisco Secure Firewall ASA vers Secure Firewall Threat Defense

  • Vous pouvez maintenant faire la migration des configurations WebVPN de votre Cisco Secure Firewall ASA vers les configurations de Cisco Zero Trust Access Policy sur un appareil de protection contre les menaces. Cochez bien la case WebVPN à la page Select Features [sélectionner les fonctions] et jetez un œil au nouvel onglet WebVPN à la page Optimize, Review and Validate Configuration [optimiser, revoir et valider la configuration]. L’appareil de protection contre les menaces et le centre de gestion cible doit fonctionner sur la version 7.4 ou une version ultérieure et doit exécuter Snort3 comme moteur de détection.

  • Vous pouvez désormais procéder à la migration des configurations des protocoles SNMP (Simple Network Management Protocol) et DHCP (Dynamic Host Configuration Protocol) vers un appareil de protection contre les menaces. Cochez bien les cases SNMP et DHCP à la page Select Features [sélectionner les fonctions]. Si vous avez configuré le protocole DHCP sur Cisco Secure Firewall ASA, notez que le serveur DHCP, ou l’agent de relais et les configurations du système DDNS, peuvent également être sélectionnés pour la migration.

  • Vous pouvez désormais effectuer la migration des configurations du routage ECMP (Equal-Cost Multipath) lors de la migration d’un appareil ASA en mode multicontexte vers un contexte unique et fusionné de protection contre les menaces. L’encadré Routes [routes] dans le résumé de l’analyse comprend également des zones ECMP, que vous pouvez valider dans l’onglet Routes [routes] de la page Optimize, Review and Validate Configuration [optimiser, revoir et valider les configurations].

  • Vous pouvez désormais effectuer la migration des tunnels dynamiques à partir de l’interface DVTI (Dynamic Virtual Tunnel Interface), de votre Cisco Secure Firewall ASA vers un appareil de protection contre les menaces. Vous pouvez les faire correspondre à la page Map ASA Interfaces to Security Zones, Interface Groups, and VRFs [mapper les interfaces ASA aux périmètres de sécurité, aux groupes d’interfaces et aux VRF]. Assurez-vous d’avoir un ASA de version 9.19 (x) ou ultérieure pour que s’applique cette fonctionnalité.

Migration d’un appareil géré par FDM vers Cisco Secure Firewall Threat Defense

  • Vous pouvez désormais effectuer la migration des politiques de sécurité de couche 7, y compris les protocoles SNMP et HTTP, ainsi que les configurations des politiques sur les programmes malveillants et les fichiers de votre appareil géré par FDM vers un appareil de protection contre les menaces. Assurez-vous d’avoir un centre de gestion cible de version 7.4 ou ultérieure et vérifiez que les cases des paramètres de la plateforme et de la politique sur les programmes malveillants et les fichiers à la page Select Features [sélectionner les fonctions] sont bien cochées.

Migration du pare-feu Check Point vers Cisco Secure Firewall Threat Defense

  • Vous pouvez dorénavant effectuer la migration des configurations VPN de site à site (basées sur les politiques) de votre pare-feu Check Point vers un appareil de protection contre les menaces. Notez que cette fonction s’applique aux versions Check Point R80 ou ultérieures, et aux versions 6.7 ou ultérieures du centre de gestion et de Threat Defense. Assurez-vous que la case Site-to-Site VPN Tunnels [tunnels VPN de site à site] est bien cochée à la page Select Features [sélectionner les fonctions]. Notez qu’étant donné qu’il s’agit d’une configuration propre à l’appareil, l’outil de migration n’affiche pas ces configurations si vous décidez de poursuivre sans FTD.

Migration de Fortinet Firewall vers Cisco Secure Firewall Threat Defense

  • Vous pouvez dorénavant optimiser vos listes de contrôle d’accès (ACL) lorsque vous procédez à la migration des configurations d’un pare-feu Fortinet à votre appareil de protection contre les menaces. Utilisez le bouton Optimize ACL [optimiser l’ACL] à la page Optimize, Review and Validate Configuration [optimiser, revoir et valider la configuration] pour consulter la liste des ACL redondantes et dupliquées et pour télécharger le rapport d’optimisation qui détaille l’ACL.

5.0.1 Cette version comprend les nouvelles caractéristiques et améliorations suivantes :

  • L’outil de migration Cisco Secure Firewall prend maintenant en charge la migration de plusieurs contextes de sécurité transparents en mode pare-feu à partir des appareils Cisco Secure Firewall ASA vers les appareils de protection contre les menaces. Vous pouvez fusionner au moins deux contextes transparents en mode pare-feu qui se trouvent dans votre appareil Cisco Secure Firewall ASA à une instance en mode transparent, et procéder ensuite à leur migration.

    Là où au moins un de vos contextes dispose d’une configuration VPN, lors d’un déploiement ASA avec VPN configuré, vous pouvez choisir un seul contexte pour lequel vous souhaitez réaliser la migration de la configuration VPN vers l’appareil cible de protection contre les menaces. À partir des contextes que vous n’avez pas sélectionnés, seule la configuration VPN est ignorée, tandis que toutes les autres configurations font l’objet d’une migration.

    Consultez la rubrique Select the ASA Security Context [sélectionner le contexte de sécurité ASA] pour en savoir plus.

  • Vous pouvez désormais procéder à la migration des configurations VPN de site à site et distantes à partir de vos pare-feu Fortinet et Palo Alto Networks vers la protection contre les menaces au moyen de l’outil de migration Cisco Secure Firewall. Depuis le panneau Select Features [sélectionner les fonctions], choisissez les fonctions VPN à migrer. Consultez la rubrique Specify Destination Parameters for the Secure Firewall Migration Tool [indiquer les paramètres de destination pour l’outil de migration Cisco Secure Firewall] dans les guides Migrating Palo Alto Networks Firewall to Secure Firewall Threat Defense with the Migration Tool [migration du pare-feu Palo Alto Networks vers Cisco Secure Firewall Threat Defense au moyen de l’outil de migration] et Migrating Fortinet Firewall to Secure Firewall Threat Defense with the Migration Tool [migration du pare-feu Fortinet vers Cisco Secure Firewall Threat Defense au moyen de l’outil de migration].

  • Vous pouvez désormais sélectionner au moins un contexte de sécurité routé ou transparent en mode pare-feu à partir de vos appareils Cisco Secure Firewall ASA et procéder à la migration à un ou plusieurs contextes au moyen de l’outil de migration Cisco Secure Firewall.

5.0

  • L’outil de migration Cisco Secure Firewall prend maintenant en charge la migration de plusieurs contextes de sécurité à partir des appareils Cisco Secure Firewall ASA vers les appareils de protection contre les menaces. Vous pouvez choisir d’effectuer la migration de configurations à partir d’un de vos contextes ou fusionner les configurations de tous vos contextes routés en mode pare-feu, et ensuite procéder à leur migration. Un soutien sera bientôt offert pour la fusion des configurations de plusieurs contextes transparents en mode pare-feu. Consultez la rubrique Select the ASA Primary Security Context [sélectionner le contexte de sécurité primaire ASA] pour en savoir plus.

  • L’outil de migration tire maintenant profit de la fonctionnalité de routage et de transfert virtuels afin de reproduire le flux de trafic divisé observé dans un environnement ASA à plusieurs contextes, lequel fera partie de la nouvelle configuration fusionnée. Vous pouvez vérifier le nombre de contextes qu’a détecté l’outil de migration dans un nouvel encadré Contexts [contextes] et pareillement après l’analyse, dans un nouvel encadré VRF de la page Parsed Summary [résumé de l’analyse]. De plus, l’outil de migration affiche les interfaces auxquelles sont mappés ces VRF, à la page Map Interfaces to Security Zones and Interface Groups [mapper les interfaces aux périmètres de sécurité et aux groupes d’interfaces].

  • Vous pouvez désormais essayer l’intégralité du flux de travail de la migration au moyen du nouveau mode de démonstration de l’outil Cisco Secure Firewall et visualiser à quoi ressemble réellement votre migration. Consultez la rubrique Using the Demo Mode in Firewall Migration Tool [utilisation du mode de démonstration de l’outil de migration du pare-feu] pour en savoir plus.

  • Grâce aux nouvelles améliorations et à la correction des problèmes, l’outil de migration Cisco Secure Firewall offre maintenant une expérience améliorée et plus rapide lors de la migration du pare-feu Palo Alto Networks vers Threat Defense.

4.0.3 L’outil de migration Secure Firewall 4.0.3 comprend des corrections de bogues et les nouvelles améliorations suivantes :

  • L’outil de migration offre désormais un écran de mappage d’application amélioré pour la migration des configurations de PAN vers la défense contre les menaces. Reportez-vous à la section Mappage des configurations avec les applications lors de la migration du pare-feu de Palo Alto Networks vers Secure Firewall Threat Defense avec le guide de l’outil de migration pour plus d’informations.

 4.0.2

L'outil de migration Secure Firewall 4.0.2 inclut les nouvelles caractéristiques et améliorations suivantes :

  • Outil de migration Cisco Secure Firewall prend désormais en charge le fractionnement des listes de contrôle d’accès (ACL) avec des applications par règle. Lorsque votre configuration de pare-feu Palo Alto Networks contient des listes de contrôle d’accès (ACL) avec une règle configurée pour plusieurs applications, vous pouvez utiliser l’option Fractionner les listes de contrôle d’accès (ACL) avec les applications par règle pour diviser la règle en plusieurs règles avec une application par règle. L’outil de migration crée de nouvelles règles de sorte qu’une règle soit configurée pour une application, ce qui garantit plus de clarté dans l’examen et la validation de la configuration.

  • L’outil de migration valide désormais la configuration NAT dans votre pare-feu source pour les adresses IP dynamiques ou les adresses de secours de port et migre les configurations uniquement si l’adresse de repli est la même que l’adresse de la zone de destination. En effet, Secure Firewall Management Center ne peut avoir que l’adresse de destination en tant qu’interface IP dynamique ou interface de repli de port.

  • L’outil de migration dispose désormais d’une télémétrie permanente; cependant, vous pouvez désormais choisir d’envoyer des données de télémétrie limitées ou élargies. Les données de télémétrie limitées comprennent peu de points de données, tandis que les données de télémétrie élargies envoient une liste plus détaillée de données de télémétrie. Vous pouvez modifier ce paramètre dans les Paramètres > Envoyer les données de télémétrie à Cisco?.

4.0.1 ou ultérieure

L'outil de migration Secure Firewall 4.0.1 inclut les nouvelles caractéristiques et améliorations suivantes :

  • Le Outil de migration Cisco Secure Firewall prend désormais en charge les règles de traduction d'adresses réseau (NAT) avec des objets de type nom de domaine entièrement qualifié (FQDN) dans la destination traduite lors de la migration vers unecentre de gestion version 7.1 ou supérieure.

    Important

     

    Les règles NAT avec des objets FQDN ou des groupes d'objets FQDN dans la source traduite, les règles NAT avec des objets FQDN et des groupes d'objets FQDN à la fois dans la source d'origine et la destination, et les règles NAT avec des groupes d'objets FQDN dans la destination traduite ne sont pas prises en charge.

  • L'optimisation de l'ACL est désormais améliorée pour inclure une nouvelle colonne Application dans le rapport post-migration, qui répertorie les applications optimisées.

3.0.1

  • Pour ASA avec FirePOWER Services, Check Point, Palo Alto Networks et Fortinet, Secure Firewall Série 3100 n'est pris en charge qu'en tant que dispositif de destination.

3.0

L'outil de migration Secure Firewall 3.0 permet de migrer vers le centre de gestion de pare-feu de Palo Alto Networks fourni dans le nuage si le centre de gestion de destination est 7.2 ou plus récent.

2,1

  • Offre le support pour les versions 6.1 x et ultérieures du système d'exploitation PAN

  • L'outil de migration Secure Firewall vous permet de migrer les éléments de configuration PAN suivants vers défense contre les menaces :

    • Interfaces

    • Routes statiques

    • Objets et groupes de réseau

    • Objets de port et groupes de port

    • Listes de contrôle d'accès (Politiques)

    • Zones

    • Applications

    • Règles NAT

  • Capacité de recherche basée sur le contenu qui est activée sur la page Examen et validation

  • Une barre de progression est fournie dans le cadre de l'amélioration de l'interface utilisateur

Licence pour l’outil de migration Secure Firewall

L'application outil de migration Secure Firewall est gratuite et ne requiert pas de licence. Cependant, le centre de gestion doit avoir les licences requises pour les caractéristiques défense contre les menaces correspondantes afin d'enregistrer les appareils défense contre les menaces et d'y déployer les politiques.

Configuration requise pour l'outil de migration Cisco Secure Firewall

L’outil de migration Cisco Secure Firewall a les exigences en matière d’infrastructure et de plateforme suivantes:

  • Fonctionne sur un système d’exploitation Microsoft Windows 10 64-bit ou sur une version macOS 10.13 ou une version récente

  • Google Chrome comme navigateur par défaut du système

  • (Windows) Comporte des paramètres de veille configurés dans la consommation et la veille pour ne jamais mettre l’ordinateur en veille, de sorte que le système ne se met pas en veille lors d’une migration importante

  • (macOS) Comporte des paramètres d’économie d’énergie sont-ils configurés de sorte que l’ordinateur et le disque dur ne se mettent pas en veille lors d’une migration importante

Exigences et conditions préalables pour les appareils Threat Defense

Lorsque vous migrez vers le centre de gestion, il se peut qu'un dispositif de défense contre les menaces cibles y soit ajouté ou non. Vous pouvez faire migrer des stratégies partagées vers un centre de gestion en vue d'un déploiement ultérieur vers un dispositif de défense contre les menaces. Pour faire migrer des stratégies spécifiques à un appareil vers une défense contre les menaces, vous devez l'ajouter au centre de gestion. Tandis que vous envisagez la migration de la configuration de PAN vers la protection contre les menaces, prenez en compte les conditions préalables et les exigences qui suivent :

  • Le dispositif de défense contre les menaces cible doit être enregistré auprès du centre de gestion.

  • Le dispositif de défense contre les menaces peut être un dispositif autonome ou une instance de conteneur. Il ne doit pas faire partie d'un cluster ou d'une configuration de haute disponibilité.

    • Si l’appareil de protection contre les menaces cible est une instance de contenant, il doit utiliser au minimum un nombre égal d’interfaces et de sous-interfaces physiques et d’interfaces et de sous-interfaces de canal de port (sauf pour la gestion seulement) que celui de PAN. Si vous devez ajouter le type nécessaire d’interface sur l’appareil cible de protection contre les menaces.


      Remarque

      • Les sous-interfaces ne sont pas créées par l'outil de migration Secure Firewall, seul le mappage des interfaces est autorisé.

      • Le mappage entre différents types d'interface est autorisé, par exemple : une interface physique peut être mappée à une interface de canal de port.

Lignes directrices et limites relatives à la licence

L’outil de migration Cisco Secure Firewall crée un mappage individuel pour l’ensemble des objets et des règles pris en charge, qu’ils soient utilisés dans une règle ou une politique.L’outil de migration Cisco Secure Firewall offre une caractéristique d’optimisation qui vous permet d’exclure la migration d’objets inutilisés (des objets qui ne sont cités en référence dans aucune ACL ou NAT).

L’outil de migration Cisco Secure Firewall ne migre pas les objets, les règles NAT et les routes qui ne sont pas pris en charge.

Limites de configuration PAN

Voici les limites imposées à la migration de la configuration PAN source :

  • L’outil de migration Cisco Secure Firewall permet la migration des systèmes multi-vsys.

  • La configuration système n'est pas migrée.

  • Les groupes d’objets de service imbriqués ou le groupe de ports ne sont pas pris en charge par le centre de gestion. Dans le cadre de la conversion, l’outil de migration Cisco Secure Firewall étend le contenu du groupe d’objets imbriqués ou du groupe de ports.

  • L’outil de migration Cisco Secure Firewall divise les groupes ou les objets de service étendus aux ports sources et de destination qui se trouvent sur une ligne en différents objets, sur plusieurs lignes. Les références à de telles règles de contrôle d’accès sont converties en règles centre de gestion dont la signification est la même.

Lignes directrices pour la migration de PAN

L'outil de migration Secure Firewall utilise les meilleures pratiques pour les configurations de défense contre les menaces, incluant ceci :

  • La migration de l'option de journalisation ACL suit les meilleures pratiques pour défense contre les menaces. L’option de journalisation pour une règle est activée ou désactivée selon la configuration du PAN source. Pour les règles dont l'action est le refus, l'outil de migration Secure Firewall configure la journalisation au début de la connexion. Si l'action est la permission, l'outil de migration Secure Firewall configure la journalisation à la fin de la connexion.

Configurations de PAN prises en charge

L’outil de migration Cisco Secure Firewall peut totalement migrer les configurations PAN suivantes :

  • Objets et des groupes de réseau

  • Zones (couche 2, couche 3, fil virtuel)

  • Objets de service

  • Groupes d’objets de service, à l’exception des groupes d’objets de service imbriqués


    Remarque
    Puisque l’imbrication n’est pas prise en charge sur le centre de gestion, l’outil de migration Cisco Secure Firewall élargit le contenu des règles référencées. Les règles, toutefois, sont migrées avec toutes les fonctionnalités.

  • Objets et groupes FQDN IPv4 et IPv6

  • Prise en charge de la conversion IPv6 (interface, routes statiques, objets, ACL)

  • Règles d’accès

  • Règles NAT


    Remarque
    Toutes les politiques avec le service comme « application-default » seront migrées comme « any », car défense contre les menaces n’a pas de fonctions équivalentes.

    La source traduite et la destination originale n’ont pas d’objet « any » prédéfini sur centre de gestion. Par conséquent, un objet avec 0.0.0.0/0 nommé Obj_0.0.0.0 sera créé et envoyé.

  • Règles NAT avec un objet FQDN dans la destination traduite, lors de la migration vers Cisco Secure Firewall Threat Defense exécutant la version 7.1 ou une version ultérieure

  • Interfaces physiques

  • Sous-interfaces (l’ID de sous-interface est toujours défini sur le même numéro que l’ID de VLAN lors de la migration)

  • Agrégation des interfaces (canaux de port)

  • Routes statiques, à l’exception de celles configurées avec Next Hop [saut suivant] en tant que routes Next VR [VR suivant] et ECMP qui ne sont pas migrées


    Remarque
    Si le pare-feu source (PAN) a des routes connectées qui sont configurées comme des routes statiques, la transmission échoue. centre de gestion ne vous permet pas de créer des routes statiques pour les routes connectées. Supprimez ces routes et poursuivez la migration.

Remarque
L’interface filaire virtuelle ne sera pas migrée, alors que la zone filaire virtuelle le sera. Vous devez créer manuellement l’interface BVI sur défense contre les menaces après la migration.

Configurations de PAN prises en charge partiellement

L’outil de migration Cisco Secure Firewall prend partiellement en charge les configurations suivantes de PAN pour la migration. Certaines de ces configurations comprennent des règles avec des options avancées qui sont migrées sans ces options. Si centre de gestion prend en charge ces options avancées, vous pouvez les configurer manuellement lorsque la migration sera terminée.

  • Règles des stratégies de contrôle d’accès au moyen des profils

  • Groupe de services qui contient des objets de service avec des protocoles contenant TCP, UDP et SCTP.


    Remarque
    Le type SCTP sera supprimé, et le groupe de services sera migré partiellement.

  • Le groupe d’objets qui contient des objets pris en charge et non pris en charge sera migré, et les objets non pris en charge seront supprimés.

Configurations PAN non prises en charge

L’outil de migration Cisco Secure Firewall ne prend pas en charge les configurations PAN suivantes pour la migration. Si ces configurations sont prises en charge par le centre de gestion, vous pouvez les configurer manuellement lorsque la migration sera terminée.

  • Règles des stratégies de contrôle d’accès basées sur le temps

  • Règles de politique de contrôle d’accès basées sur l’utilisateur

  • Objet de service utilisant le protocole SCTP

  • Objets FQDN commençant par un caractère spécial ou contenant un caractère spécial

  • Noms de domaine complets (FQDN) génériques

  • Règles NAT configurées avec SCTP

  • Règle NAT avec un objet FQDN et un groupe d’objets FQDN dans la source traduite

  • Règle NAT avec un objet FQDN et un groupe d’objets FQDN dans la source et la destination d’origine

  • Règle NAT avec un groupe d’objets FQDN dans la destination traduite

  • NAT IPv6

  • Politiques qui utilisent le filtrage d’URL

Pour configurer les fonctions non prises en charge par défense contre les menaces, consultez le guide de configuration de Threat Defense.


Remarque
Toutes les politiques, prises en charge ou non, sont migrées vers centre de gestion. Les politiques non prises en charge sont migrées comme des politiques désactivées. Vous pouvez activer ces politiques après la solution de contournement ou les configurer selon centre de gestion.

La politique dont le filtrage d’URL des profils, l’identifiant de l’utilisateur, la source et la destination sont rejetés n’est pas prise en charge.

Lignes directrices et limites relatives aux appareils Défense contre les menaces

Si vous prévoyez de migrer votre configuration PAN vers défense contre les menaces, s’il existe des configurations propres à l’appareil sur défense contre les menaces, comme des routes et des interfaces, lors de la migration poussée, l’outil de migration Cisco Secure Firewall nettoie automatiquement l’appareil et remplace la configuration PAN.


Remarque
Afin de prévenir toute perte indésirable de données de l'appareil (cible défense contre les menaces), nous vous recommandons de nettoyer manuellement l'appareil avant la migration.

Plateformes prises en charge pour la migration

Le et les plateformes défense contre les menacessuivantes sont pris en charge pour la migration avec l’outil de migration Cisco Secure Firewall : Pour plus d’informations sur les plateformes défense contre les menaces prises en charge, consultez le Guide de compatibilité de Cisco Secure Firewall.

Plateformes Défense contre les menaces cibles prises en charge

Vous pouvez utiliser l'outil de migration Secure Firewall pour migrer une source vers l'instance autonome ou conteneur suivante des platesdéfense contre les menaces-formes :

  • Firepower de Série 1000

  • Série Firepower 2100

  • Secure Firewall de Série 3100

  • Firepower de série 4100

  • Secure Firewall de Série 4200

  • Série Firepower 9300 qui comprend :

    • SM-24

    • SM-36

    • SM-40

    • SM-44

    • SM-48

    • SM-56

  • Threat Defense sur VMware, déployé à l'aide de VMware ESXi, VMware vSphere Web Client ou le client autonome vSphere

  • Threat Defense Virtual sur Microsoft Azure Cloud ou AWS Cloud


    Remarque

    Pour chacun de ces environnements, une fois préétabli selon les exigences, l'outil de migration Secure Firewall nécessite une connectivité réseau pour se centre de gestionconnecter au nuage Microsoft Azure ou AWS, puis pour faire migrer la configuration vers le centre de gestionnuage.


    Remarque

    Pour que la migration soit réussie, il est nécessaire de procéder à une mise en scène préalable de centre de gestionou de la défense virtuelle contre les menaces avant d'utiliser l'outil de migration Secure Firewall.

Centre de gestion des cibles pour la migration pris en charge

L'outil de migration Secure Firewall prend en charge la migration vers des dispositifs de défense contre les menaces gérés par le centre de gestion et le centre de gestion de pare-feu en nuage.

Centre de gestion

Le centre de gestion est un puissant gestionnaire multi-appareils basé sur le Web qui fonctionne sur son propre matériel de serveur, ou comme un appareil virtuel sur un hyperviseur. Vous pouvez utiliser le centre de gestion sur site et le centre de gestion virtuel comme centre de gestion cible pour la migration.

Le centre de gestion devrait rencontrer les critères suivants pour la migration :

  • La version du logiciel du Centre de gestion qui est prise en charge pour la migration, comme décrit dans Versions logicielles prises en charge pour la migration.

  • La version du logiciel centre de gestion qui est prise en charge pour la migration pour PAN est 6.1.x et les versions ultérieures.

  • Vous avez obtenu et installé des licences intelligentes défense contre les menacesqui incluent toutes les fonctionnalités que vous prévoyez de migrer depuis ASA PAN, comme décrit ci-dessous :

Cloud-Delivered Firewall Management Center (centre de gestion de pare-feu en nuage)

Le centre de gestion de pare-feu, disponible dans le nuage, est une plateforme de gestion pour les dispositifs de défense contre les menaces et est fourni par Cisco Defense Orchestrator Le centre de gestion de pare-feu en nuage offre un grand nombre de fonctions identiques à celles d'un centre de gestion.

Vous pouvez accéder au centre de gestion des pare-feux dans le nuage à partir de CDO. Le CDO se connecte au centre de gestion des pare-feux en nuage par l'intermédiaire du Secure Device Connector (SDC). Pour plus d'informations sur le centre de gestion des pare-feux dans le nuage, voir Gestion des périphériques Cisco Secure Firewall Threat Defense avec le centre de gestion des pare-feux dans le nuage.

L'outil de migration Secure Firewall prend en charge le centre de gestion de pare-feu fourni dans le nuage en tant que centre de gestion de destination pour la migration. Pour sélectionner le centre de gestion de pare-feu fourni par le cloud comme centre de gestion de destination pour la migration, vous devez ajouter la région CDO et générer le jeton API à partir du portail CDO.

Régions CDO

CDO est offert dans trois régions différentes et les régions peuvent être identifiés avec l'extension URL.

Tableau 1. Régions CDO et URL

Région

URL CDO

Région de l'Europe

https://defenseorchestrator.eu/

Région des É-U

https://defenseorchestrator.com/

Région APJC

https://www.apj.cdo.cisco.com/

Versions logicielles prises en charge pour la migration

Les outils de migration Secure Firewall, et les versions défense contre les menacespour la migration sont les suivants :

Versions prises en charge de l'outil de migration Secure Firewall

Les versions affichées sur software.cisco.com sont les versions officiellement supportées par nos organisations d'ingénierie et de support. Nous vous recommandons vivement de télécharger la dernière version de l'outil de migration Secure Firewall à partir de software.cisco.com.

Versions de pare-feu de Palo Alto Networks prises en charge

L'outil de migration Cisco Secure Firewall prend en charge la migration vers défense contre les menaces le système d'exploitation du pare-feu PAN version 6.1.x et version plus récente.

Versions Centre de gestion prises en charge pour la configuration source du pare-feu PAN

Pour le pare-feu PAN, l’outil de migration Cisco Secure Firewall prend en charge la migration vers un périphérique centre de gestion géré par uncentre de gestion qui exécute la version 6.2.3.3 ou une version récente.


Remarque
La migration vers l’appareil défense contre les menaces6.7 n’est pas actuellement prise en charge. Par conséquent, la migration peut échouer si le périphérique est configuré avec une interface de données pour l’accès centre de gestion.

Versions Défense contre les menaces prises en charge

L'outil de migration Secure Firewall recommande de migrer vers un appareil fonctionnant défense contre les menaces avec la version 6.5 ou une version ultérieure.

Pour des informations détaillées sur la compatibilité du logiciel et du matériel du pare-feu Cisco, y compris les exigences en matière de système d'exploitation et d'environnement d'hébergement, pour défense contre les menaces, voir le Guide de compatibilité du pare-feu Cisco.