Mise en route de l'outil de migration Secure Firewall

À propos de l'outil de migration Secure Firewall

Ce guide contient des informations sur comment télécharger l'outil de migration Secure Firewall et terminer la migration. De plus, il vous offre des astuces de résolution de problèmes pour vous aider à résoudre les problèmes de migration que vous pourriez rencontrer.

L'exemple de procédure de migration (Exemple de migration : ASAdu vers Threat defense 2100) inclus dans ce livre aide à faciliter la compréhension du processus de migration.

L'outil de migration Secure Firewall convertit les configurations des ASA des vers une plateforme défense contre des menaces prise en charge. L'outil de migration Secure Firewall vous permet de migrer automatiquement les fonctionnalités et les politiques des ASA versdéfense contre des menaces. Vous devez migrer manuellement toutes les caractéristiques non prises en charge.

Pour en savoir plus sur les fonctions ASA couramment utilisées et leurs fonctions de défense contre les menaces équivalentes, consultez le guide Cisco Secure Firewall ASA vers Threat Defense Feature Mapping.

L'outil de migration Secure Firewall recueille les informations sur les des , les analyse et les transmet au Cisco Secure Firewall Management Center. Pendant la phase d'analyse, l'outil de migration Secure Firewall génère un rapport de pré-migration qui identifie les éléments suivants :

  • Les items de configuration de l'Appliance de sécurité adaptatif Cisco qui sont pleinement migrés, partiellement migrés, non prises en charge pour la migration et ignorés pour la migration.

  • lignes de configuration avec erreurs, qui répertorie les CLI que l'outil de migration Secure Firewall ne peut pas reconnaître, ce qui bloque la migration.

S'il y a des erreurs d'analyse, vous pouvez y remédier, télécharger à nouveau une nouvelle configuration, vous connecter au dispositif de destination, mapper les interfaces du dispositif géré par aux interfaces défense contre des menaces, mapper les zones de sécurité et les groupes d'interfaces, et procéder à l'examen et à la validation de votre configuration. Vous pouvez ensuite faire migrer la configuration vers le périphérique de destination.

Console

La console s'ouvre lorsque vous lancez l'outil de migration Secure Firewall. La console fournit des informations détaillés sur la progression de chaque étape dans l'outil de migration Secure Firewall. Le contenu de la console est aussi écrit dans le fichier journal de l'outil de migration Secure Firewall.

La console peut rester ouverte pendant que l'outil de migration Secure Firewall est en marche.


Important


Lorsque vous quittez l'outil de migration Secure Firewall en fermant le navigateur sur lequel l'interface web est en cours d'exécution, la console continue de fonctionner en arrière-plan. Pour sortir complètement de l'outil de migration Secure Firewall, quittez la console en appuyant sur la touche Commande + C sur le clavier.

Journaux

L'outil de migration Secure Firewall crée un journal de chaque migration. Les journaux incluent les détails de ce qui se produit à chaque étape de la migration et peuvent vous aider à déterminer la cause de l'échec d'une migration.

Vous pouvez trouver les fichiers journaux pour l'outil de migration Secure Firewall à l'endroit suivant : <migration_tool_folder>\logs

Ressources

L'outil de migration Secure Firewall enregistre une copie des rapports de pré-migration, des rapports de post-migration, des configurations des ASA avec et des journaux dans le dossier des ressources.

Vous pouvez trouver le dossier des ressources à l'endroit suivant : <migration_tool_folder>\resources

Fichier non analysé

Vous pouvez trouver le fichier non analysé à l'endroit suivant : <migration_tool_folder>\resources

Recherche dans l'outil de migration Secure Firewall

Vous pouvez rechercher des items dans les tableaux affichés dans l'outil de migration Secure Firewall, tels que ceux sur la page Optimiser, examiner et valider.

Pour rechercher un item dans toute colonne ou rangée, cliquez sur le Search (search icon) au-dessus du tableau et saisissez le terme recherché dans le champ. L'outil de migration Secure Firewall filtres les rangées de tableaux et affiche celles contenant le terme recherché.

Pour rechercher un item dans une seule colonne, saisissez le terme recherché dans le champ Recherchefourni dans l'en-tête de la colonne. L'outil de migration Secure Firewall filtres les rangées de tableaux et affiche celles correspondant au terme recherché.

Ports

L’outil de migration Secure Firewall prend en charge la télémétrie lorsqu’il est exécuté sur l’un de ces 12 ports : les ports 8321-8331 et le port 8888. Par défaut, l'outil de migration Secure Firewall utilise le port 8888 Pour changer le port, mettez à jour l'information dans le fichier app_config Après la mise à jour, assurez-vous de relancer l'outil de migration Secure Firewall pour que le changement de port prenne effet. Vous trouverez le fichier app_config à l'emplacement suivant : <migration_tool_folder>\app_config.txt.


Remarque


Nous vous recommandons d'utiliser les ports 8321-8331 et le port 8888, puisque la télémétrie n'est prise en charge que sur ces ports. Si vous activez le Cisco Success Network, vous ne pouvez pas utiliser un autre port pour l'outil de migration Secure Firewall.

Cisco Success Network (Réseau de succès Cisco)

Cisco Success Network est un service en nuage activé par l’utilisateur. Lorsque vous activez Cisco Success Network, une connexion sécurisée est établie entre l'outil de migration Secure Firewall et Cisco Cloud pour diffuser des informations et des statistiques d’utilisation. La télémétrie en continu fournit un mécanisme permettant de sélectionner des données intéressantes à partir de l'outil de migration Secure Firewall et de les transmettre dans un format structuré à des stations de gestion à distance, ce qui présente les avantages suivants :

  • Pour vous informer des caractéristiques offertes non utilisées qui peuvent améliorer l'efficacité du produit dans votre réseau.

  • Pour vous informer des services de soutien technique supplémentaires et la supervision offerte pour votre produit.

  • Pour aider Cisco à améliorer nos produits.

L'outil de migration Secure Firewall établit et maintient la connexion sécurisée et vous permet de vous inscrire au Cisco Success Network. Vous pouvez éteindre la connexion en tout temps en désactivant le Cisco Success Network, ce qui déconnectera l'appareil du nuage de Cisco Success Network.

Quoi de neuf dans l'outil de migration Secure Firewall

Version

Fonctionnalités prises en charge

 4.0.2

L'outil de migration Secure Firewall 4.0.2 inclut les nouvelles caractéristiques et améliorations suivantes :

  • Outil de migration Cisco Secure Firewall prend désormais en charge la migration des configurations de filtre VPN de site à site et les objets de la liste d’accès étendu se rapportant à ces configurations lorsque le centre de gestion de destination et les versions de défense contre les menaces sont 7.1 ou ultérieures. Auparavant, les configurations de filtre VPN de site à site n’étaient pas migrées et devaient être configurées manuellement après la migration.

  • L’outil de migration dispose désormais d’une télémétrie permanente; cependant, vous pouvez désormais choisir d’envoyer des données de télémétrie limitées ou élargies. Les données de télémétrie limitées comprennent peu de points de données, tandis que les données de télémétrie élargies envoient une liste plus détaillée de données de télémétrie. Vous pouvez modifier ce paramètre dans les Paramètres > Envoyer les données de télémétrie à Cisco? .

4.0.1 ou ultérieure

L'outil de migration Secure Firewall 4.0.1 inclut les nouvelles caractéristiques et améliorations suivantes :

L'outil de migration Secure Firewall analyse maintenant tous les objets et groupes d'objets selon leur nom et leur configuration et réutilise les objets qui ont le même nom et configuration. Seuls les objets réseaux et les groupes d'objets réseaux sont analysés selon leur nom et configuration antérieure. À noter que les profils XML dans les VPN d'accès à distance sont toujours valides uniquement à l'aide de leur nom.

4.0

L’outil de migration Secure Firewall 4.0 prend en charge :

  • Migration du routage basé sur la politique (PBR) depuis ASA si le centre de gestion de destination et la version de la défense contre les menaces sont 7.3 ou plus récents.

    Remarque

     

    Pour la migration PBR, la configuration flex existante doit être supprimée du centre de gestion avant de procéder à la migration.

  • Migration des attributs personnalisés du VPN d'accès à distance et de l'équilibrage de charge du VPN à partir d'ASA si le centre de gestion de destination est 7.3 ou plus récent.

    Vous pouvez effectuer la migration VPN de l'accès à distance avec ou sans pare-feu. Cependant, si vous avez choisi d'effectuer la migration avec un pare-feu, la version de la défense contre les menaces doit être 7.0 ou ultérieure.

    Remarque

     

    Pour migrer le VPN d'accès à distance avec un pare-feu ciblé, vous devez sélectionner le pare-feu cible et ajouter l'une des licences suivantes au pare-feu ciblé :

    • AnyConnect Plus

    • AnyConnect Apex

    • AnyConnect VPN seulement

  • Migration des routes ECMP (Equal Cost Multi-Path) depuis ASA si le centre de gestion de destination est 7.1 ou plus récent et que la version de la défense contre les menaces est 6.5 ou plus récente.

3.0.2 L'outil de migration Secure Firewall 3.0.2 inclut des corrections de bogues pour la migration de la configuration VPN d'accès à distance ASA à partir des Centre de gestionversions 7.2 ou supérieures.

3.0.1

L'outil de migration Secure Firewall 3.0.1 supporte :

  • Migration du protocole EIGRP (Enhanced Interior Gateway Routing Protocol) à partir d'ASA si le centre de gestion de destination est en version 7.2 ou ultérieure et si la version de la défense contre les menaces est en version 7.0 ou ultérieure.

    Remarque

     

    Vous ne pouvez pas migrer EIGRP d'ASA et ASA avec FirePOWER Services sans un dispositif de défense contre les menaces.

  • La gamme Cisco Secure Firewall 3100 est prise en charge en tant que périphérique source ou de destination pour les migrations à partir d’ASA.

3.0

L’outil de migration Secure Firewall 3.0 prend en charge :

  • Migration VPN de l'accès à distance à partir de ASA si le centre de gestion de destination est 7.2 ou plus récent. Vous pouvez effectuer la migration VPN AD avec ou sans Secure Firewall Threat Defense. Si vous sélectionnez la migration avec défense contre les menaces, la version de la défense contre les menaces doit être 7.0 ou ultérieure.

  • Automatisation de la clé pré-partagée du VPN site à site à partir de ASA.

  • Les points suivants doivent être effectués dans le cadre de l'activité pré-migration :

    • Les points de confiance de ASA doivent être migrés manuellement vers le centre de gestion en tant qu'objets PKI.

    • Les paquets AnyConnect, les fichiers Hostscan (Dap.xml, Data.xml, Hostscan Package), les paquets External Browser et les profils AnyConnect doivent être récupérés à partir de la source ASA.

    • Les paquets AnyConnect peuvent être téléversés vers le centre de gestion.

    • Les profils AnyConnect doivent être directement téléversés vers le centre de gestion ou à partir de l'outil de migration Secure Firewall.

    • La commande ssh scopy enable doit être activée sur le ASA pour permettre la récupération des profils à partir de l'ASA Live Connect.

  • Migration vers le centre de gestion de pare-feu en nuage à partir d'ASA si le centre de gestion de destination est 7.2 ou plus récent.

2.5.2

L'outil de migration Secure Firewall 2.5.2 permet d'identifier et de séparer les ACL qui peuvent être optimisées (désactivées ou supprimées) de la base de règles du pare-feu sans avoir d'impact sur la fonctionnalité réseau des pare-feu

L'optimisation d'ACL supporte les types d'ACL suivants :

  • ACL redondante: lorsque deux ACL ont le même ensemble de configurations et de règles, la suppression de l’ACL non de base n’aura pas d’incidence sur le réseau.

  • ACL dupliquée: la première ACL masque complètement les configurations de la deuxième ACL.

Remarque

 

L'optimisation est disponible pour le ASA uniquement pour une action découlant d'une règle ACP.

L'outil de migration Secure Firewall 2.5.2 supporte le protocole de passerelle frontière (BGP) et les objets de routage dynamique si la destination centre de gestionest 7.1 ou ultérieure.

2.5.1

L'outil de migration Secure Firewall 2.5.1 supporte le protocole de passerelle frontière (BGP) et les objets de routage dynamique si la destination centre de gestionest 7.1 ou ultérieure.

2,5

L'outil de migration Secure Firewall 2.5 permet d'identifier et de séparer les ACL qui peuvent être optimisées (désactivées ou supprimées) de la base de règles du pare-feu sans avoir d'impact sur la fonctionnalité du réseau.

L'optimisation d'ACL supporte les types d'ACL suivants :

  • ACL redondante: lorsque deux ACL ont le même ensemble de configurations et de règles, la suppression de l’ACL non de base n’aura pas d’incidence sur le réseau.

  • ACL dupliquée: la première ACL masque complètement les configurations de la deuxième ACL.

Remarque

 

L'optimisation n'est disponible pour l'ASA source uniquement pour une action découlant d'une règle ACP.

Prise en charge des objets de type masque de réseau discontinu (masque Wildcard) si la destination centre de gestionest une version 7.1 ou ultérieure.

2.4

La configuration ASA VPN suivante est une migration vers défense contre des menaces:

  • VPN basé sur une carte cryptographique (statique/dynamique) à partir de l'ASA

  • ASA VPN basé sur les routes (VTI)

  • Migration vers un VPN basé sur des certificats à partir d'ASA

Remarque

 
  • Le point de confiance ou les certificats ASA sont migrés manuellement et font partie de l'activité de pré-migration.

  • Les points de confiance ASA doivent être migrés en tant centre de gestionqu'objets PKI. Les objets PKI sont utilisés dans l'outil de migration Secure Firewall lors de la création de topologies VPN basées sur des certificats.

2.3.5.

L'outil de migration Secure Firewall prend en charge la migration des configurations Virtual Tunnel Interface (VTI) suivantes vers défense contre des menacessi la version cible centre de gestionest défense contre des menaces6.7 ou ultérieure :

  • Interface VTI et routes statiques associées

  • Configuration VPN du type d'authentification par clé pré-partagée basée sur la route (VTI) vers centre de gestionet défense contre des menaces.

  • Créez une zone de sécurité routée, ajoutez des interfaces VTI, puis définissez des règles de contrôle d'accès pour le contrôle du trafic décrypté sur le tunnel VTI.

2.3.4

L'outil de migration Secure Firewall vous permet de migrer les éléments de configuration ASA VPN suivants vers défense contre des menaces :

  • Prise en charge de la migration de la configuration VPN de type authentification par clé pré-partagée basée sur une politique (carte cryptographique) vers le centre de gestion.

  • Objets VPN : crée des objets VPN (politique IKEv1/IKEv2, proposition IPsec IKEv1/IKEv2), met en correspondance les objets VPN avec les topologies VPN site à site spécifiques et migre les objets vers le centre de gestion.

    Vérifie les objets VPN par rapport aux règles de la page Examiner et valider la configuration.

  • Topologie VPN site à site - Les configurations liées à la carte cryptographique dans la configuration de l'ASA source sont migrées avec les objets VPN correspondants. La topologie VPN basée sur des règles (carte cryptographique) est prise en charge à partir de la version 6.6 sur centre de gestion.

    Remarque

     
    Dans cette version, l'outil de migration Secure Firewall ne prend en charge que la migration des cartes cryptographiques statiques.

    Toutes les cartes cryptographiques VPN ASA prises en charge seront migrées en tant centre de gestion que topologie point à point.

1.3

  • L'outil de migration Secure Firewall vous permet de vous connecter à un ASA à l'aide des informations d'identification de l'administrateur et de l'option Activer le mot de passe tels qu'ils ont été configurés sur l'ASA.

    Si l'ASA n'est pas configuré avec l'option Activer le mot de passe, vous pouvez laisser le champ vide dans l'outil de migration Secure Firewall.

  • Vous pouvez maintenant configurer la limite de taille des lots pour les envois groupés dans le fichier app_config comme suit :

    • Pour Objets, la taille des lots ne peut pas excéder 500. L'outil de migration Secure Firewall réinitialise la valeur à 50 et procède à l'envoi groupé.

    • Pour les ACL, les routes et les NAT, la taille du lot ne peut pas excéder 1000 chacun. L'outil de migration Secure Firewall réinitialise la valeur à 1000 et procède à l'envoi groupé.

  • L'outil de migration Secure Firewall vous permet d'analyser les configurations gérées par CSM ou ASDM.

    Lorsque vous choisissez d'effacer le regroupement en ligne ou les configurations gérées par ASDM, les objets prédéfinis sont remplacés par le nom réel de l'objet ou du membre.

    Si vous n'effacez pas les configurations gérées par CSM ou ASDM, les noms d'objets prédéfinis seront conservés pour la migration.

  • Fournit une assistance à la clientèle pour le téléchargement des fichiers journaux, des dB et des fichiers de configuration en cas d'échec de la migration. Vous pouvez également déposer un dossier d'assistance auprès de l'équipe technique par courrier électronique.

  • Prise en charge de la migration des configurations IPv6 dans les objets, les interfaces, les ACL, les NAT et les routes.

  • L'outil de migration Secure Firewall vous permet de mapper un nom d'interface ASA à une interface physique sur les types d'objets défense contre des menaces - interfaces physiques, canal de port et sous-interfaces. Par exemple, vous pouvez mapper un canal de port dans ASA à une interface physique dans centre de gestion.

  • L'outil de migration Secure Firewall permet d'ignorer la migration des règles NAT et des interfaces Route sélectionnées. Les versions précédentes de l'outil de migration Secure Firewall offraient cette option uniquement pour les règles de contrôle d'accès.

  • Vous pouvez télécharger les éléments de configuration analysés Contrôle d'accès, NAT, Objets réseau, Objets port, Interface et Routes à partir de l'écran Optimiser, examiner et valider la configuration dans un format Excel ou CSV.

    Remarque

     
    Vous ne pouvez pas importer un fichier CSV.

1,2

  • Prend en charge la migration de centre de gestion 6.3

  • Prend en charge la migration des objets et groupes IPv4 FQDN

  • Prise en charge de la commande show tech-support dans la méthode de téléchargement manuel pour les ASA à contextes multiples.

  • Prise en charge de la migration vers le type de conteneur défense contre des menaces(MI) enregistré sur centre de gestion.

  • Prise en charge du mappage des actions des règles (autoriser, faire confiance, surveiller, bloquer ou bloquer avec réinitialisation) pour les règles de contrôle d'accès migrées dans le tableau Contrôle d'accès.

  • Vérifier la version de l'outil de migration Secure Firewall pour s'assurer que vous utilisez la version la plus récente de l'outil de migration Secure Firewall.

1.1

  • L'envoi groupé pour les objets, NAT, routes statiques réduit de manière significative le temps nécessaire pour pousser la configuration vers un centre de gestion.

  • Extraction de la configuration d'une ASA de production

  • Migration sélective des fonctionnalités (politique partagée et politique spécifique à l'appareil)

  • Optimisation des règles

  • Mettez en correspondance les règles de contrôle d'accès de l'ASA en cours de migration avec une liste de systèmes de prévention des intrusions et de politiques de fichiers configurés sur le centre de gestion.

  • Migrez seulement les objets référées dans les politiques. Cela optimise le temps de migration et nettoie les objets inutilisés durant la configuration.

  • Prise en charge de la migration pour le running-configou sh exécuté à partir de l'un des contextes de données de l'ASA fonctionnant en mode de contexte multiple.

  • Prise en charge de la version 10.13 ou ultérieure du système d'exploitation Mac

  • Prise en charge de la modification des actions de journalisation (activation ou désactivation, journalisation au début ou à la fin) pour les règles de contrôle d'accès migrées.

  • Migration vers défense contre des menacesdes appareils configurés dans des domaines sur le centre de gestion.

  • Possibilité d'effectuer des modifications en bloc pour les noms d'objets.

  • Prise en charge de la télémétrie avec Cisco Success Network

1.0

  • Validation tout au long de la migration, y compris les opérations d’analyse et de poussée

  • Possibilité de réutilisation des objets

  • Résolution des conflits d’objets

  • Mappage d’interface

  • Autocréation ou réutilisation d'objets d'interface (nom ASA si à la zone de sécurité et mappage de groupe d'interface)

  • Prise en charge de la migration en bloc des listes de contrôle d'accès (ACL)

Licence pour l’outil de migration Secure Firewall

L'application outil de migration Secure Firewall est gratuite et ne requiert pas de licence. Cependant, le centre de gestion doit avoir les licences requises pour les caractéristiques défense contre des menaces correspondantes afin d'enregistrer les appareils défense contre des menaces et d'y déployer les politiques.

Configuration requise pour l'outil de migration Cisco Secure Firewall

L’outil de migration Cisco Secure Firewall a les exigences en matière d’infrastructure et de plateforme suivantes:

  • Fonctionne sur un système d’exploitation Microsoft Windows 10 64-bit ou sur une version macOS 10.13 ou une version récente

  • Google Chrome comme navigateur par défaut du système

  • (Windows) Comporte des paramètres de veille configurés dans la consommation et la veille pour ne jamais mettre l’ordinateur en veille, de sorte que le système ne se met pas en veille lors d’une migration importante

  • (macOS) Comporte des paramètres d’économie d’énergie sont-ils configurés de sorte que l’ordinateur et le disque dur ne se mettent pas en veille lors d’une migration importante

Exigences et conditions préalables pour le fichier de configuration d'ASA

Vous pouvez obtenir un fichier de configuration soit manuellement ou en vous connectant à un en fonction à partir de l'outil de migration Secure Firewall.

Le fichier de configuration que vous devez importer manuellement dans l'outil de migration Secure Firewall doit rencontrer les pré-requis suivants :

  • Possède une configuration en cours d'exécution qui est exportée d'un appareil dans une configuration en mode unique ou dans un contexte spécifique d'une configuration en mode contexte multiple. Consultez Exporter le fichier de configuration.

  • Comprend le numéro de version.

  • Contient uniquement les configurations CLI de valides.

  • Ne contient pas d'erreurs de syntaxe.

  • Possède une extension de fichier de .cfg ou .txt.

  • Utilise un encodage de fichier UTF-8

  • N'a pas été codé à la main ou modifié manuellement. Si vous modifiez la configuration du pare-feu, nous vous recommandons de tester le fichier de configuration modifié sur l'appareil pare-feu pour vous assurer que sa configuration soit valide.

  • Ne contient pas le mot clé « --Plus-- » comme texte.

Exigences et conditions préalables pour les appareils Threat Defense

Lorsque vous migrez vers le centre de gestion, il se peut qu'un dispositif de défense contre les menaces cibles y soit ajouté ou non. Vous pouvez faire migrer des stratégies partagées vers un centre de gestion en vue d'un déploiement ultérieur vers un dispositif de défense contre les menaces. Pour faire migrer des stratégies spécifiques à un appareil vers une défense contre les menaces, vous devez l'ajouter au centre de gestion. Lorsque vous planifiez la migration de votre configuration de dispositifs gérés par le vers la défense contre les menaces, tenez compte des exigences et des conditions préalables suivantes :

  • Le dispositif de défense contre les menaces cible doit être enregistré auprès du centre de gestion.

  • Le dispositif de défense contre les menaces peut être un dispositif autonome ou une instance de conteneur. Il ne doit pasfaire partie d'un cluster ou d'une configuration de haute disponibilité.

    • Le dispositif de défense contre les menaces natif cible doit avoir au moins un nombre égal d'interfaces physiques de données et de canaux de port utilisées (à l'exclusion des interfaces de gestion uniquement et des sous-interfaces) à celui du  ; si ce n'est pas le cas, vous devez ajouter le type d'interface requis sur le dispositif de défense contre les menaces cible. Les sous-interfaces sont créées par l'outil de migration Secure Firewall sur la base d'un mappage physique ou d'un mappage de canaux de ports.

    • Si le dispositif de défense contre les menaces cible est une instance de conteneur, il doit au moins disposer d'un nombre égal d'interfaces physiques, de sous-interfaces physiques, d'interfaces de canal de port et de sous-interfaces de canal de port utilisées (à l'exception de "gestion uniquement") à celui du dispositif géré par  ; si ce n'est pas le cas, vous devez ajouter le type d'interface requis sur le dispositif de défense contre les menaces cible.


      Remarque


      • Les sous-interfaces ne sont pas créées par l'outil de migration Secure Firewall, seul le mappage des interfaces est autorisé.

      • Le mappage entre différents types d'interface est autorisé, par exemple : une interface physique peut être mappée à une interface de canal de port.


Assistance à la configuration

Configurations prises en charge

L'outil de migration Secure Firewall peut totalement migrer les configurations suivantes :

  • Objets et des groupes de réseau

  • Objets de service, à l’exception des objets de service configurés pour une source et une destination


    Remarque


    Bien que l’outil de migration de pare-feu sécurisé ne migre pas les objets de service élargis (configurés pour une source et une destination), les règles ACL et NAT référencées sont migrées avec toutes leurs fonctionnalités.
  • Groupes d’objets de service, à l’exception des groupes d’objets de service imbriqués


    Remarque


    Puisque l’imbrication n’est pas prise en charge sur le centre de gestion, l’outil de migration Cisco Secure Firewall élargit le contenu des règles référencées. Les règles sont toutefois migrées avec toutes les fonctionnalités.
  • Objets et groupes FQDN IPv4 et IPv6

  • Prise en charge de la conversion IPv6 (interface, routes statiques, objets, ACL et NAT)

  • Règles d'accès appliquées aux interfaces dans la direction entrante et ACL globales

  • NAT automatique, NAT manuel et NAT d’objet (conditionnel)

  • Routes statiques, Routes ECMP et PBR

  • Interfaces physiques

  • VLANs secondaires sur les interfaces non migrées vers Défense contre les menaces.

  • Sous-interfaces (l’ID de sous-interface est toujours défini sur le même numéro que l’ID de VLAN lors de la migration)

  • canaux de port

  • Virtual tunnel interface (VTI)

  • Groupes de ponts (mode transparent uniquement)

  • IP SLA Monitor

    L’outil de migration Cisco Secure Firewall crée des objets IP SLA, mappe les objets avec les routes statiques spécifiques et fait migrer ces objets vers centre de gestion.

    Le moniteur SLA IP définit une stratégie de connectivité à une adresse IP surveillée et suit la disponibilité d’une route vers l’adresse IP. La disponibilité des routes statiques est vérifiée périodiquement en envoyant des demandes d'écho ICMP et en attendant la réponse. Si les demandes d'écho sont dépassées, les routes statiques sont supprimées de la table de routage et remplacées par une route de secours. Les tâches de surveillance SLA démarrent immédiatement après le déploiement et continuent de s'exécuter à moins que vous ne supprimiez le moniteur SLA de la configuration de l'appareil, c'est-à-dire qu'elles ne vieillissent pas. Les objets du moniteur IP SLA sont utilisés dans le champ Route Tracking d'une stratégie de route statique IPv4. Les routes IPv6 n’ont pas la possibilité d’utiliser le moniteur SLA via le suivi de route.


    Remarque


    IP SLA Monitor n’est pas pris en charge pour les non-fluxDéfense contre les menaces.
  • Recherche groupée d’objets

    L’activation de la recherche de groupe d’objets réduit les besoins en mémoire pour les stratégies de contrôle d’accès qui incluent des objets réseau. Nous vous recommandons d'activer la recherche par groupe d'objets qui permet d'optimiser l'utilisation de la mémoire par la politique d'accès sur Défense contre les menaces.


    Remarque


    • La recherche de groupe d’objets n’est pas disponible pour la version antérieure à 6.6.centre de gestionDéfense contre les menaces

    • La recherche de groupe d’objets ne sera pas prise en charge pour les non-flux et sera désactivée.Défense contre les menaces


  • Objets temporels

    Lorsque l'outil de migration Secure Firewall détecte des objets temporels référencés par des règles d'accès, il migre les objets temporels et les associe aux règles d'accès correspondantes. Vérifier les objets par rapport aux règles dans la page Examiner et valider la configuration.

    Les objets temporels sont des types de listes d'accès qui autorisent l'accès au réseau sur la base d'une période de temps. Il est utile lorsque vous devez imposer des restrictions au trafic sortant ou entrant en fonction d'une heure particulière de la journée ou de certains jours de la semaine.


    Remarque


    • Vous devez migrer manuellement la configuration du fuseau horaire du vers le FTD cible

    • L’objet temporel n’est pas pris en charge pour les non-flux et sera désactivé.Défense contre les menaces

    • Les objets temporels sont pris en charge sur les versions 6.6 et ultérieures.centre de gestion


  • Tunnels de réseau privé virtuel (VPN) de site à site

    • VPN site à site - Lorsque l'outil de migration Secure Firewall détecte une configuration de carte cryptographique dans le source, l'outil de migration Secure Firewall migre la carte cryptographique vers le VPN centre de gestion en tant que topologie point à point.

    • VPN basé sur une carte cryptographique (statique/dynamique) à partir de l'ASA

    • VPN ASA basé sur les routes (VTI)

    • Migration vers un VPN basé sur des certificats à partir d'ASA

    • La migration des points de confiance ou des certificats ASA vers le centre de gestiondoit être effectuée manuellement et fait partie de l'activité de pré-migration.

  • Objets de routage dynamique, BGP et EIGRP

    • Liste de politiques

    • Liste des préfixes

    • Liste de communautés

    • Chemin du système autonome (AS)

  • VPN d’accès à distance

    • Protocoles SSL et IKEv2

    • Méthodes d’authentification : AAA uniquement, certificat client uniquement, SAML, AAA et certificat client

    • AAA - Radius, Local, LDAP et AD.

    • Profils de connexion, stratégies de groupe, Dynamic Access Policy, mappage des attributs LDAP et mappage des certificats

    • ACL standard et élargi

    • Attributs personnalisés de RA VPN et équilibrage de charge VPN

    • Dans le cadre des activités préalables à la migration, effectuez les opérations suivantes:

      • Migrez manuellement les points de confiance ASA verscentre de gestion les objets PKI.

      • Récupérez les paquets AnyConnect, les fichiers Hostscan (Dap.xml, Data.xml, Hostscan Package), les paquets External Browser et les profils AnyConnect doivent être récupérés à partir de la source ASA.

      • Chargez tous les packages AnyConnect sur lecentre de gestion.

      • Chargez les profils AnyConnect directement vers centre de gestion ou à partir de l’outil de migration Cisco Secure Firewall.

      • Activez la commande ssh scopy enable sur l’ASA pour permettre la récupération des profils à partir de l’ASA Live Connect.

Configurations partiellement prises en charge

L'outil de migration Secure Firewall prend partiellement en charge les configurations suivantes pour migration : Certaines de ces configurations comprennent des règles avec des options avancées qui sont migrées sans ces options. Si le centre de gestion prend en charge ces options avancées, vous pouvez les configurer manuellement lorsque la migration sera terminée.

  • Règles de politique de contrôle d'accès configurées avec des paramètres de journalisation avancés, tels que la gravité et l'intervalle de temps.

  • Routes statiques qui sont configurées avec l'option de suivi.

  • Migration vers un VPN basé sur des certificats.

  • Objets de routage dynamique, EIGRP et BGP

    • Route-Carte

Configurations non prises en charge

L'outil de migration Secure Firewall ne prend pas en charge les configurations suivantes pour la migration : Si ces configurations sont prises en charge dans le centre de gestion, vous pouvez les configurer manuellement lorsque la migration sera complétée.

  • Règles de politique de contrôle d’accès basées sur SGT

  • Objets basés sur SGT

  • Règles de politique de contrôle d’accès basées sur l’utilisateur

  • Règles NAT configurées avec l’option d’allocation de bloc

  • Objets dont le type et le code ICMP ne sont pas pris en charge

  • Règles de contrôle d'accès basées sur le protocole de tunnellisation


    Remarque


    Prise en charge d'un préfiltre sur l'outil de migration Secure Firewall et centre de gestion 6.5.
  • Règles NAT configurées avec SCTP

  • Règles NAT configurées avec l’hôte « 0.0.0.0 »

  • Route par défaut obtenue par DHCP ou PPPoE avec suivi SLA

  • Calendrier du suivi SLA

  • Mode de transport IPsec transform-set

  • Migration du point de confiance ASA vers centre de gestion

  • Mode de pare-feu transparent pour BGP

Lignes directrices et limites relatives à la licence

Durant la conversion, l'outil de migration Secure Firewall crée un mappage un-à-un de tous les objets et règles supportés, qu'ils soient utilisés en tant que règle ou politique. L'outil de migration Secure Firewall offre une caractéristique d'optimisation qui vous permet d'exclure la migration d'objets inutilisés (des objets non référencés dans quelconques ACL ou NAT)

L'outil de migration Secure Firewall traite les objets et règles non supportés comme suit :

  • Les objets et règles NAT non supportés ne sont pas migrés.

  • Les règles ACL non supportées sont migrées comme des règles désactivés dans le centre de gestion.

  • Les ACL sortantes ne sont pas prises en charge et ne seront pas migrées verscentre de gestion. Si le pare-feu source comporte des ACL sortantes, ceci sera signalé dans la section ignorée du rapport pré-migration.

  • Toutes les cartes cryptographiques VPN prises en charge seront migrées en tant quecentre de gestion topologie point à point.

  • Les topologies VPN cryptographiques non supportées ou incomplètes ne seront pas migrées.

Limites de configuration

La migration de votre configuration source a les limites suivantes :

  • L'outil de migration Secure Firewall prend en charge la migration des contextes de sécurité individuels à partir du en tant qu'appareils séparésDéfense contre les menaces.

  • La configuration système n'est pas migrée.

  • L'outil de migration Secure Firewall ne supporte pas la migration d'une seule politique ACL qui est appliqué sur plus de 50 interfaces. Faites migrer manuellement les politiques ACL étant appliquées à 50 interfaces ou plus.

  • Vous ne pouvez pas migrer certaines configurations, par exemple, le routage dynamique vers Défense contre les menaces. Migrez manuellement ces configurations.

  • Vous ne pouvez pas faire migrer des appareils en mode routée avec une interface virtuelle de point (BVI), une interface redondante ou une interface tunnelisée. Par contre, vous pouvez faire migrer des appareils en mode transparent avec le BVI.

  • Les groupes d'objets de service imbriqués ou les groupes de ports ne sont pas pris en charge sur le centre de gestion. Dans le cadre de la conversion, l'outil de migration Secure Firewall étend le contenu du groupe objet imbriqué ou du groupe de port.

  • L'outil de migration Secure Firewall divise l'objet ou les groupes de service étendus avec la source et les ports de destination qui se trouvent sur une ligne en différents objets sur plusieurs lignes. Les références à de telles règles de contrôle d'accès sont converties en centre de gestionrègles avec la même signification.

  • Si la configuration source à des règles de contrôle d'accès qui ne réfèrent pas à des protocoles de tunnelage spécifique (comme GRE, IP-dans-IP et IP6-dans-IP), mais que ces règles correspondent à un trafic de tunnelage non crypté sur le , alors, en migration vers le Défense contre les menaces, les règles correspondantes ne se comporteront pas de la même manière qu'elles le font sur le . Nous vous conseillons de créer des règles de tunnelage spécifique pour celles-ci dans la politique Préfiltrage, sur le Défense contre les menaces.

  • Les cartes cryptographiques supportées sont migrées comme topologie point par point.

  • Si un objet AS-Path portant le même nom apparaîtcentre de gestion, la migration s'arrête avec le message d'erreur suivant :

    « Conflit de noms d'objets AS-Path détecté dans centre de gestion, veuillez résoudre le conflit dans centre de gestion pour continuer »

  • La redistribution d'OSPF et du protocole d'information de routage (RIP) vers EIGRP n'est pas supportée.

  • Pour PBR, la configuration de l'ASA comporte des cartes de routage alors que le centre de gestion n'utilise pas de cartes de routage. L'outil de migration Secure Firewall fait migrer la configuration dans une carte de routage appliquée à une interface.

  • Pour les cartes de routage avec de multiples numéros de séquence, seul le premier numéro de séquence sera migré. Tous les autres numéros de séquence seront ignorés et montrés dans le rapport de pré-migration.

Limites pour la migration AD VPN

La migration d'accès à distance VPN est supporté avec les limites suivantes :

  • La migration des paramètres SSL n'est pas prise en charge en raison des limitations de l'API.

  • Le serveur LDAP est migré avec le type de chiffrement « aucun ».

  • DfltGrpPolicy n'est pas migré puisque la politique n'est pas applicable pour tout le centre de gestion. Vous pouvez faire les changements nécessaires directement sur le centre de gestion.

  • Pour un serveur radius, si l'autorisation dynamique est activée, la connectivité du serveur AAA doit être assurée par une interface et non par le routage dynamique. Si ASAune configuration est trouvée avec un serveur AAA dont l'autorisation dynamique est activée sans interface, l'outil de migration Secure Firewall ignore l'autorisation dynamique. Vous devez activer manuellement l'autorisation dynamique après avoir choisi une interface dans le centre de gestion.

  • La configuration de ASApeut avoir une interface tout en appelant l'ensemble des adresses sous le groupe tunnel. Mais la même chose n'est pas supportée dans le centre de gestion. Si une interface est détectée dans la configuration ASA, elle est ignorée par l'outil de migration Secure Firewall et l'ensemble des adresses est migré sans l'interface.

  • ASA peut avoir un mot-clé link-selection/subnet-selection pour le serveur dhcp sous le groupe de tunnels. Mais la même chose n'est pas supportée dans le centre de gestion. Si un serveur dhcp est détectée dans la configuration ASA avec ces mots-clés, cela est ignoré par l'outil de migration Secure Firewall et le serveur dhcp est transféré sans les mots-clés

  • La configuration ASApeut avoir une interface tout en appelant le groupe de serveurs d'authentification, le groupe de serveurs d'authentification secondaire, le groupe de serveurs d'autorisation sous le groupe de tunnels. Mais la même chose n'est pas supportée dans le centre de gestion. Si une interface est détectée dans la configuration ASA, elle est ignorée par l'outil de migration Secure Firewall et les commandes sont transférés sans l'interface.

  • La configuration ASAn'associe pas Redirect ACL à un serveur radius. Donc, il est impossible de le récupérer à partir de l'outil de migration Secure Firewall. Si rediriger l'ACL est utilisé dans ASA, cela est donc laissé vide et vous devez ajouter et l'associer manuellement dans le centre de gestion.

  • ASA supporte une valeur de 0 - 720 pour le délai de réutilisation locale de vpn-addr-assign. Mais le centre de gestion supporte une valeur de 0 - 480. Si une valeur plus haute que 480 est trouvée dans la configuration de ASA, elle est réglée à la valeur supportée maximum de 480 dans le centre de gestion.

  • La configuration de l'ensemble IPv4 et des paramètres DHCP useSecondaryUsernameforSession dans le profil de connexion n'est pas prise en charge en raison de problèmes d'API.

  • L'option de contournement du contrôle d'accès sysopt permit-vpn n'est pas activée dans le cadre de la politique AD VPN. Par contre, si nécessaire, vous pouvez l'activer à partir du centre de gestion.

  • Les valeurs du module client AnyConnect et du profil peuvent être mises à jour dans le cadre de la stratégie de groupe uniquement lorsque les profils sont téléchargés depuis l'outil de migration Secure Firewall vers le centre de gestion.

  • Vous devez associer les certificats directement dans le centre de gestion.

  • Les paramètres IKEv2 ne sont pas migrés par défaut. Vous devez les ajouter dans le centre de gestion.

Lignes directrices pour la migration vers l'ASA

La migration de l'option de journalisation ACL suit les meilleures pratiques pour Défense contre les menaces. L'option de journalisation pour une règle est activée ou désactivée selon la configuration de la source ASA Pour les règles dont l'action est le refus, l'outil de migration Secure Firewall configure la journalisation au début de la connexion. Si l'action est la permission, l'outil de migration Secure Firewall configure la journalisation à la fin de la connexion.

Lignes directrices pour la migration d'objets

et défense contre les menaces ont des lignes directrices de configuration différentes pour les objets. Par exemple, un ou plusieurs objets peuvent avoir le même nom dans avec un nom d'objet en minuscule et l'autre nom d'objet en majuscule, mais chaque objet doit avoir un nom unique, peu importe le scénario dans défense contre les menaces Pour accommoder de telles différences, l'outil de migration Secure Firewall analyse tous les objets et s'occupe de leur migration d'une des manières suivantes :

  • Chaque objet a un nom et une configuration unique — L'outil de migration Secure Firewall migre les objets avec succès sans changements.

  • Le nom d'un objet inclut un ou plusieurs caractères spéciaux qui ne sont pas supportés par le centre de gestion— L'outil de migration Secure Firewall renomme les caractères spéciaux dans le nom de l'objet avec un caractère « _ » pour rencontrer le critère de dénomination d'objets du centre de gestion.

  • Un objet a le même nom et configuration qu'un objet existant dans le centre de gestion— L'outil de migration Cisco Secure Firewall Management CenterSecure Firewall réutilise l'objet pour la Cisco Secure Firewall Threat Defenseconfiguration et ne migre pas l'objet.

  • Un objet a le même nom mais une configuration différente d'un objet existant Cisco Secure Firewall Management Centerdans — L'outil de migration Secure Firewall rapporte un conflit d'objet et vous permet de résoudre le conflit en ajoutant un suffixe unique au nom de l'objet pour des besoins de migration.

  • De multiples objets ont le même nom mais dans des scénarios différents — L'outil de migration Secure Firewall renomme de tels objets pour rencontrer le Cisco Secure Firewall Threat Defensecritère de dénomination de l'objet


Important


L'outil de migration Secure Firewall analyse le nom et la configuration de tous les objets et groupes d'objets. Par contre, les profils XML dans les configurations VPN d'accès à distance sont analysés uniquement par le nom.



Remarque


L'outil de migration Secure Firewall prend en charge la migration d'objets de masques de réseau discontigus (masques Wildcard) si le Centre de gestion du pare-feu de destination est la version 7.1 ou une version ultérieure.


ASA example: 
object network wildcard2
subnet 2.0.0.2 255.0.0.255

Lignes directrices et limites relatives aux appareils Défense contre les menaces

Lorsque vous prévoyez de migrer votre configuration ASAvers défense contre des menaces, tenez compte des lignes directrices et des limitations suivantes :

  • S'il existe des configurations spécifiques à l'appareil, telles que défense contre des menaces des routes, des interfaces, etc., lors de la migration push, l'outil de migration Secure Firewall nettoie automatiquement l'appareil et remplace la configuration ASA.


    Remarque


    Afin de prévenir toute perte indésirable de données de l'appareil (cible défense contre des menaces), nous vous recommandons de nettoyer manuellement l'appareil avant la migration.

    Durant la migration, l'outil de migration Secure Firewall réinitialise la configuration de l'interface. Si vous utilisez ces interfaces dans des politiques, l'outil de migration Secure Firewall ne peut pas les réinitialiser et ainsi donc, la migration échoue.

  • L'outil de migration Secure Firewall peut créer des sous-interfaces sur l'instance native de l'appareil défense contre des menacesen fonction de la ASAconfiguration de . Créez manuellement des interfaces et de interfaces de canaux de port sur l'appareil défense contre des menacescible avant de débuter la migration Par exemple, si votre configuration ASA est affectée aux interfaces et canaux de port suivants, vous devez les créer sur le dispositif défense contre des menaces cible avant la migration :

    • Cinq interfaces physiques

    • Cinq canaux de port

    • Deux interfaces de gestion uniquement


    Remarque


    Pour les instances de conteneurs de dispositifs défense contre des menaces, les sous-interfaces ne sont pas créées par l'outil de migration Secure Firewall, seul le mappage d'interface est autorisé.
  • L'outil de migration Secure Firewall peut créer des sous-interfaces et des interfaces virtuelles Bridge-Group (mode transparent) sur défense contre des menacesl'instance native du dispositif basé sur la configuration ASA. Créez manuellement des interfaces et de interfaces de canaux de port sur l'appareil défense contre des menacescible avant de débuter la migration Par exemple, si votre configuration ASA est affectée aux interfaces et canaux de port suivants, vous devez les créer sur le dispositif défense contre des menaces cible avant la migration :

    • Cinq interfaces physiques

    • Cinq canaux de port

    • Deux interfaces de gestion uniquement


    Remarque


    Pour les instances de conteneurs de dispositifs défense contre des menaces, les sous-interfaces ne sont pas créées par l'outil de migration Secure Firewall, seul le mappage d'interface est autorisé.

Plateformes prises en charge pour la migration

Le et les plateformes défense contre des menacessuivantes sont pris en charge pour la migration avec l’outil de migration Cisco Secure Firewall : Pour plus d’informations sur les plateformes défense contre des menaces prises en charge, consultez le Guide de compatibilité de Cisco Secure Firewall.


Remarque


L’outil de migration de Cisco Secure Firewall prend en charge la migration des périphériques ASA vers un périphérique défense contre des menaces autonome uniquement.

Plateformes ASA source prises en charge

Vous pouvez utiliser l’outil de migration de Cisco Secure Firewall pour migrer la configuration à partir des plateformes ASA à contexte unique ou à contexte multiple suivantes :

  • ASA 5510

  • ASA 5520

  • ASA 5540

  • ASA 5550

  • ASA 5580

  • ASA 5506

  • ASA 5506W-X

  • ASA 5506H-X

  • ASA 5508-X

  • ASA 5512-X

  • ASA 5515-X

  • ASA 5516-X

  • ASA 5525-X

  • ASA 5545-X

  • ASA 5555-X

  • ASA 5585-X avec ASA uniquement (l’outil de migration de Cisco Secure Firewall ne fait pas migrer la configuration à partir de )Module ASA FirePOWER

  • Firepower de Série 1000

  • Série Firepower 2100

  • Secure Firewall de Série 3100

  • Firepower de série 4100

  • Série Firepower 9300

    • SM-24

    • SM-36

    • SM-40

    • SM-44

    • SM-48

    • SM-56

  • ASA virtuel sur VMware, déployé à l’aide de VMware ESXi, du client Web VMware vSphere ou du client autonome vSphere

Plateformes Défense contre les menaces cibles prises en charge

Vous pouvez utiliser l'outil de migration Secure Firewall pour migrer une source ASA vers l'instance autonome ou conteneur suivante des platesdéfense contre des menaces-formes :

  • ASA 5506

  • ASA 5506W-X

  • ASA 5506H-X

  • ASA 5508-X

  • ASA 5512-X

  • ASA 5515-X

  • ASA 5516-X

  • ASA 5525-X

  • ASA 5545-X

  • ASA 5555-X

  • Firepower de Série 1000

  • Série Firepower 2100

  • Secure Firewall de Série 3100

  • Firepower de série 4100

  • Série Firepower 9300 qui comprend :

    • SM-24

    • SM-36

    • SM-40

    • SM-44

    • SM-48

    • SM-56

  • Threat Defense sur VMware, déployé à l'aide de VMware ESXi, VMware vSphere Web Client ou le client autonome vSphere

  • Threat Defense Virtual sur Microsoft Azure Cloud ou AWS Cloud


    Remarque



    Pour chacun de ces environnements, une fois préétabli selon les exigences, l'outil de migration Secure Firewall nécessite une connectivité réseau pour se centre de gestionconnecter au nuage Microsoft Azure ou AWS, puis pour faire migrer la configuration vers le centre de gestionnuage.


    Remarque


    Pour que la migration soit réussie, il est nécessaire de procéder à une mise en scène préalable de centre de gestionou de la défense virtuelle contre les menaces avant d'utiliser l'outil de migration Secure Firewall.



    Remarque


    L'outil de migration Secure Firewall nécessite une connectivité réseau à tout appareil hébergé dans le nuage pour extraire la configuration source (ASA Live Connect) ou faire migrer la configuration téléchargée manuellement verscentre de gestion dans le nuage. Par conséquent, la connectivité du réseau IP doit être établie au préalable avant d'utiliser l'outil de migration Secure Firewall.


Centre de gestion des cibles pour la migration pris en charge

L'outil de migration Secure Firewall prend en charge la migration vers des dispositifs de défense contre les menaces gérés par le centre de gestion et le centre de gestion de pare-feu en nuage.

Centre de gestion

Le centre de gestion est un puissant gestionnaire multi-appareils basé sur le Web qui fonctionne sur son propre matériel de serveur, ou comme un appareil virtuel sur un hyperviseur. Vous pouvez utiliser le centre de gestion sur site et le centre de gestion virtuel comme centre de gestion cible pour la migration.

Le centre de gestion devrait rencontrer les critères suivants pour la migration :

Cloud-Delivered Firewall Management Center (centre de gestion de pare-feu en nuage)

Le centre de gestion de pare-feu, disponible dans le nuage, est une plateforme de gestion pour les dispositifs de défense contre les menaces et est fourni par Cisco Defense Orchestrator Le centre de gestion de pare-feu en nuage offre un grand nombre de fonctions identiques à celles d'un centre de gestion.

Vous pouvez accéder au centre de gestion des pare-feux dans le nuage à partir de CDO. Le CDO se connecte au centre de gestion des pare-feux en nuage par l'intermédiaire du Secure Device Connector (SDC). Pour plus d'informations sur le centre de gestion des pare-feux dans le nuage, voir Gestion des périphériques Cisco Secure Firewall Threat Defense avec le centre de gestion des pare-feux dans le nuage.

L'outil de migration Secure Firewall prend en charge le centre de gestion de pare-feu fourni dans le nuage en tant que centre de gestion de destination pour la migration. Pour sélectionner le centre de gestion de pare-feu fourni par le cloud comme centre de gestion de destination pour la migration, vous devez ajouter la région CDO et générer le jeton API à partir du portail CDO.

Régions CDO

CDO est offert dans trois régions différentes et les régions peuvent être identifiés avec l'extension URL.

Tableau 1. Régions CDO et URL

Région

URL CDO

Région de l'Europe

https://defenseorchestrator.eu/

Région des É-U

https://defenseorchestrator.com/

Région APJC

https://www.apj.cdo.cisco.com/

Versions logicielles prises en charge pour la migration

Les outils de migration Secure Firewall, ASA et les versions défense contre des menacespour la migration sont les suivants :

Versions prises en charge de l'outil de migration Secure Firewall

Les versions affichées sur software.cisco.com sont les versions officiellement supportées par nos organisations d'ingénierie et de support. Nous vous recommandons vivement de télécharger la dernière version de l'outil de migration Secure Firewall à partir de software.cisco.com.

Versions ASA prises en charge

L’outil de migration Cisco Secure Firewall prend en charge la migration à partir d’un périphérique qui exécute le logiciel ASA version 8.4 ou plus récente.

Versions Centre de gestion prises en charge pour la configuration ASA source

Pour ASA, l’outil de migration Cisco Secure Firewall prend en charge la migration vers un périphérique défense contre des menaces géré par centre de gestion qui exécute la version 6.2.3 ou 6.2.3+.


Remarque


Certaines fonctionnalités ne sont prises en charge que dans les versions récentes de centre de gestion et défense contre des menaces.

Remarque


Pour optimiser les temps de migration, nous vous recommandons de passer centre de gestionà la version suggérée ici : software.cisco.com/downloads.

Versions Défense contre les menaces prises en charge

L'outil de migration Secure Firewall recommande de migrer vers un appareil fonctionnant défense contre des menacesavec la version 6.5 ou une version ultérieure.

Pour des informations détaillées sur la compatibilité du logiciel et du matériel du pare-feu Cisco, y compris les exigences en matière de système d'exploitation et d'environnement d'hébergement, pour défense contre des menaces, voir le Guide de compatibilité du pare-feu Cisco.

Documentation associée

Cette section résume l’ASA de la documentation relative à la migration de Défense contre les menaces.