変換マッピング

次のトピックでは、移行ツールが Cisco ASA 構成を Firepower Threat Defense 構成に変換する方法について説明します。

変換マッピングの概要

以降ツールは、次のように Cisco ASA 構成を Firepower Threat Defense 構成に変換します。

表 1. 変換マッピングの概要

エンティティ

ASA の設定

Firepower Threat Defense の設定

ネットワーク オブジェクト

ネットワーク オブジェクト

ネットワーク オブジェクト グループ

ネストされたネットワーク オブジェクト グループ

ネットワーク オブジェクト

ネットワーク オブジェクト グループ

ネストされたネットワーク オブジェクト グループ

サービス オブジェクト

サービス オブジェクト

サービス オブジェクト グループ

ネストされたサービス オブジェクト グループ

複数ポートオブジェクト

複数ポートオブジェクトグループ

複数またはフラット化されたポートオブジェクトグループ

詳細については、「サービスオブジェクトとサービスグループの変換」を参照してください。

アクセスルール

アクセスルール

アクセス コントロール ポリシーまたはプレフィルタポリシー(選択されたもの)

NAT ルール

Twice NAT ルール

ネットワークオブジェクト NAT ルール

手動 NAT ルール

自動 NAT ルール

変換した構成の命名規則

移行ツールは、Cisco ASA アクセスルール、NAT ルールおよび、関連オブジェクトを Firepower Threat Defense と同等のものに変換する際に後述されている命名規則を使用します。

オブジェクトとオブジェクトグループ名

オブジェクトとオブジェクトグループを変換する場合、移行ツールは Cisco ASA 構成ファイルからのオブジェクトとグループ名を保持します。

次に例を示します。

object network obj1
 host 1.2.3.4
object network obj2
 range 1.2.3.7 1.2.3.10
 subnet 10.83.0.0 255.255.0.0
object-group network obj_group1
 network-object object obj1
 network-object object obj2

このツールは、この構成を obj1 および obj2 という名前のネットワークオブジェクトに、obj_group1 という名前のネットワーク オブジェクト グループに変換します。

サービスオブジェクトおよびサービスグループをポートオブジェクトおよびポートオブジェクトグループに変換する際、ツールは、特定の場合に、次の拡張子を元のオブジェクトまたはグループ名に付加する場合があります。

表 2. 変換されるサービスオブジェクトとグループの拡張子

内線

不可する理由

_dst

接続元ポートと宛て先ポートがあるサービスオブジェクトを 2 つのポートオブジェクトに分割します。システムは、この拡張子を使用するサービスオブジェクトに付加して、変換された宛て先ポートデータを保存します。詳細については、「送信元ポートと宛て先ポートを含むサービスオブジェクト」を参照してください。

_src

接続元ポートと宛て先ポートがあるサービスオブジェクトを 2 つのポートオブジェクトに分割します。システムは、この拡張子を使用するサービスオブジェクトに付加して、変換された送信元ポートデータを保存します。詳細については、を参照してください。

_#

ネストされたサービスグループを変換します。「ネストされたサービスグループの変換」を参照してください。

ポリシー名

Cisco ASA 構成ファイルには、Cisco ASA に対してホスト名を指定する hostname パラメータが含まれます。移行ツールは、この値を使用して、ファイル変換時に作成するポリシーに名前を付けます。

  • アクセス コントロール ポリシー — hostname-AccessPolicy-conversion_date

  • プレフィルタポリシー — hostname-PrefilterPolicy-conversion_date

  • NAT ポリシー — hostname-NATPolicy-conversion_date

ルール名

変換されたアクセスコントロール、プレフィルタ、および NAT ルールの場合、システムは次の形式を使用して新しい各ルールに名前を付けます。

ACL_name-#rule_index

値は次のとおりです。

  • ACL_name —ルールが属していた ACL の名前。

  • rule_index — ACL 内の他のルールに対して、このルールがどの順序で変換されたかを示すシステム生成の整数。

次に例を示します。

acl1#1

システムが、サービスオブジェクト変換中に単一アクセスルールを複数ルールに拡張する必要がある場合は、システムは拡張子を付加します。

ACL_name#rule_index_sub_index

ここで、付加された # は、展開されたシーケンス内の新しいルールの位置を表します。

次に例を示します。

acl1#1_1

acl1#1_2

ルール名が 30 文字を超えているとシステムが判断した場合、システムはACL 名を短縮し、圧縮された名前をチルダ(~)で終了します。

ACL Name~#rule index

たとえば、元の ACL 名が accesslist_for_outbound_traffic の場合、システムは ACL 名を次のように切り捨てます。

accesslist_for_outbound_tr~#1

セキュリティゾーンとインターフェイスグループ名

移行ツールが、Cisco ASA 構成ファイルで access-group コマンドを変換する際、ツールは、(変換中の選択肢に応じて)セキュリティゾーンまたはインターフェイスグループのいずれかを作成してコマンドのイグレスおよびエングレス情報をキャプチャします。次の形式を使用して、これらの新しいセキュリティゾーンまたはインターフェイスグループに名前を付けます。

ACL_name_interface_name_direction_keyword_zone

値は次のとおりです。

  • ACL_nameaccess-group コマンドの ACL の名前。

  • interface_nameaccess-group コマンドのインターフェイスの名前。

  • direction_keywordaccess-group コマンドの direction キーワード(in または out)。

次に例を示します。

access-list acp1 permit tcp any host 209.165.201.3 eq 80
access-group acp1 in interface outside

ツールは、この構成を acp1_outside_in_zone という名前のセキュリティゾーンまたはインターフェイスグループに変換します。

Firepower オブジェクトおよびオブジェクトグループの固有フィールド

Firepower ネットワークおよびポートオブジェクト/グループには、Cisco ASA オブジェクトとグループに存在しないフィールドがいくつかあります。移行ツールは、変換されたネットワークおよびポートのオブジェクト/グループのこれらの Firepower 固有フィールドに、次のデフォルト値を入力します。

表 3. Firepower オブジェクト/グループの固有フィールドのデフォルト値

Firepower オブジェクト/グループのフィールド

変換された Cisco ASA オブジェクト/グループのデフォルト値

ドメイン

なし

オーバーライド

False

これらのデフォルト値の詳細については、「表記法」を参照してください。

アクセスルールの変換

移行ツールは、移行中の選択肢に応じて、Cisco ASA アクセスルールを、アクセスコントロールルールまたはプレフィルタルールのいずれかに変換できます。

アクセスルールをアクセスコントロールルールに変換する

Cisco ASA アクセスルールを Firepower Threat Defense アクセスコントロールルールに変換する場合:

  • システムは、変換されたルールを、アクセス コントロール ポリシーのデフォルトルールセクションに追加します。

  • システムでは、[説明(Description)] フィールドの内容は、ルールの [コメント履歴(Comments History)] のエントリとして保持されます。

  • システムは、ルールが変換されたことを示すエントリを、[コメント履歴(Comments History)] に追加します。

  • システムはアクセスコントロールルールのアクションを次のように設定します。

    アクセスルールのアクション

    アクセスコントロールルールのアクション

    許可

    移行中に選択した選択肢に応じて、[許可(Allow)]または [信頼する(Trust)]

    拒否

    ブロック

  • システムは、アクセスコントロールルールの送信元ゾーンおよび接続先ゾーンを次のように設定します。

    ACL タイプ

    送信元ゾーン

    宛先ゾーン

    グローバル(すべてのインターフェイスに適用)

    任意

    任意

    特定のインターフェイスに適用れる

    インポート時に選択するセキュリティゾーン

    任意

  • アクセスルールが非アクティブの場合、ツールは、そのルールを無効なアクセスコントロールルールに変換します。

移行ツールは、次のデフォルトパラメータを使用して変換したルールをアクセス コントロール ポリシーに変換します。

  • システムは、新しいアクセス コントロール ポリシーのデフォルトアクションを [すべてのトラフィックをブロック(Block All Traffic)] に設定します。

  • システムは、アクセス コントロール ポリシーをデフォルトのプレフィルタポリシーに関連付けます。

アクセス コントロール ルール フィールドにマッピングされたアクセスルールフィールド

移行ツールは、次の表に示すように、Cisco ASA アクセスルールのフィールドを Firepower Threat Defense アクセスコントロールルールのフィールドに変換します。

(注)

  • 列 1 のフィールド名(Cisco ASA アクセスルールフィールド)は、ASDM インターフェイスのフィールドラベルに対応しています。

  • 列 2 のフィールド名(Firepower アクセス コントロール ルール フィールド)は、Firepower Management Center インターフェイスのフィールドラベルに対応しています。

表 4. Firepower アクセス コントロール ルール フィールドにマッピングされた Cisco ASA アクセスルールフィールド

Cisco ASA アクセスルールフィールド

Firepower アクセス コントロール ルール フィールド

インターフェイス

同等のフィールドなし

アクション

アクション

ソース

送信元ネットワーク

ユーザー

変換しない、選択されたユーザー条件と同等

セキュリティグループ(送信元)

変換なし、カスタム SGT 条件と同等

接続先

接続先ネットワーク

セキュリティグループ(宛て先)

同等のフィールドなし

サービス

選択した宛て先ポート、事前定義サービスが指定されている場合、変換しない

説明

備考

ロギング/ロギングレベルを有効にする

接続の開始時および接続の終了時にログに記録します。ACE のロギングが、デフォルト以外のロギングレベルで有効な場合、ツールは、接続の開始および切断時の両方で変換されたルールの接続ロギングを有効にします。ACE のロギングが、デフォルトレベルで有効な場合、釣るは、変換されたルールの接続路銀府を無効にします。

ロギング間隔

同等のフィールドなし

ルールの有効化

有効

トラフィックの方向

同等のフィールドなし

送信元サービス

選択した接続元ポート、事前定義サービスが指定されている場合、変換しない

時間範囲

同等のフィールドなし

(注)  
ACE にログレベルが割り当てられたログオプションがある場合、ACE は有効になります。ログレベルの内 ACE は、無効とみなされます。ACE が、デフォルトのログレベルに関連付けられている場合、ACE ログレベルは無効になります。

アクセスコントロールルール固有のフィールド

Firepower Threat Defense アクセス コントロール ルールには、Cisco ASA アクセスルールに存在しないフィールドがいくつか含まれます。移行ツールは、変換されたアクセスコントロールルールのこれらの Firepower 固有フィールドに、次のデフォルト値を入力します。

表 5. アクセスコントロールルールの固有フィールドのデフォルト値

アクセス コントロール ルール フィールド

変換されたアクセスルールのデフォルト値

名前

システム生成(変換した構成の命名規則 を参照)

送信元ゾーン

  • ACL がグローバルに適用される場合、[任意(Any)]

  • ACL が特定のインターフェイスに適用される場合、変換中にツールが作成するセキュリティゾーン

宛先ゾーン

任意(すべてのアクセスコントロールルールのデフォルト値)

選択された VLAN タグ

デフォルト(インポート後に条件を手動で追加できます)

選択したアプリケーションとフィルタ

デフォルト(インポート後に条件を手動で追加できます)

選択された URL

デフォルト(インポート後に条件を手動で追加できます)

アクセスルールをプレフィルタルールに変換する

Cisco ASA アクセスルールを Firepower Threat Defense プレフィルタルールに変換する場合:

  • システムでは、[説明(Description)] フィールドの内容は、ルールの [コメント履歴(Comments History)] のエントリとして保持されます。

  • ルールが変換されたことを示すエントリを、[コメント履歴(Comments History)] に追加します。

  • システムは、プレフィルタルールの [アクション(Action)] を次のように設定します。

    アクセスルールのアクション

    プレフィルタルールのアクション

    許可

    移行中に選択した選択肢に応じて、[fastpath] または [分析(Analyze)]

    拒否

    ブロック

  • システムは、プレフィルタルールの [送信元インターフェイスオブジェクト(Source Interface Objects)][接続先インターフェイスオブジェクト(Destination Interface Objects)] を次のように設定します。

    ACL タイプ

    送信元インターフェイス オブジェクト

    接続先インターフェイス オブジェクト

    グローバル(すべてのインターフェイスに適用)

    任意

    任意

    特定のインターフェイスに適用れる

    インポート時に選択するインターフェイスグループ

    任意

  • アクセスルールが非アクティブの場合、ツールは、そのルールを無効なプレフィルタルールに変換します。

移行ツールは、次のデフォルトパラメータを使用して変換したルールをプレフィルタポリシーに変換します。

  • システムは、新しいプレフィルタポリシーのデフォルトアクションを [すべてのトンネルトラフィックを分析(Analyze All Tunnel Traffic)] に設定します。

  • システムでは、プレフィルタポリシーと同じ名前のアクセス コントロール ポリシーが作成され、プレフィルタポリシーがそのアクセス コントロール ポリシーに関連付けられます。システムは、新しいアクセス コントロール ポリシーのデフォルトアクションを [すべてのトラフィックをブロック(Block All Traffic)] に設定します。

プレフィルタ ルール フィールドにマッピングされたアクセスルールフィールド

移行ツールは、次の表に示すように、Cisco ASA アクセスルールのフィールドを Firepower Threat Defense プレフィルタルールのフィールドに変換します。

(注)

  • 列 1 のフィールド名(Cisco ASA アクセスルールフィールド)は、ASDM インターフェイスのフィールドラベルに対応しています。

  • 列 2 のフィールド名(Firepower プレフィルタ ルール フィールド)は、Firepower Management Center インターフェイスのフィールドラベルに対応しています。

表 6. Firepower プレフィルタ ルール フィールドにマッピングされた Cisco ASA アクセスルールフィールド

Cisco ASA アクセスルールフィールド

Firepower プレフィルタ ルール フィールド

インターフェイス

同等のフィールドなし

ルールの有効化

有効

アクション

アクション

ソース

送信元ネットワーク

ユーザー

同等のフィールドなし

セキュリティグループ(送信元)

同等のフィールドなし

接続先

接続先ネットワーク

セキュリティグループ(宛て先)

同等のフィールドなし

サービス

選択された送信元ポート

選択された宛て先ポート

説明

備考

ロギング/ロギングレベルを有効にする

接続の開始時および接続の終了時にログに記録します。ACE のロギングが、デフォルト以外のロギングレベルで有効な場合、ツールは、接続の開始および切断時の両方で変換されたルールの接続ロギングを有効にします。ACE のロギングが、デフォルトレベルで有効な場合、釣るは、変換されたルールの接続路銀府を無効にします。

ロギング間隔

同等のフィールドなし

トラフィックの方向

同等のフィールドなし

送信元サービス

選択した接続元ポート、事前定義サービスが指定されている場合、変換しない

時間範囲

同等のフィールドなし

Firepower プレフィルタルール固有のフィールド

Firepower Threat Defense プレフィルタルールには、Cisco ASA アクセスルールに存在しないフィールドがいくつか含まれます。移行ツールは、変換されたプレフィルタルールのこれらの Firepower 固有フィールドに、次のデフォルト値を入力します。

表 7. Firepower プレフィルタルール固有フィールドのデフォルト値

プレフィルタ ルール フィールド

変換されたアクセスルールのデフォルト値

名前

システム生成(変換した構成の命名規則 を参照)

送信元インターフェイス オブジェクト

  • ACL がグローバルに適用される場合、[任意(Any)]

  • ACL が特定のインターフェイスに適用される場合、変換中にツールが作成するインターフェイスグループ

接続先インターフェイス オブジェクト

任意(すべてのプレフィルタルールのデフォルト値)

選択された VLAN タグ

デフォルト(インポート後に条件を手動で追加できます)

アクセスルールのポート引数演算子

拡張済みアクセスルールには、サービスオブジェクトで使用されるものと同じ演算子を使用する port_argument 要素を含めることができます。移行ツールは、アクセスルール内のこれらの演算子をサービスオブジェクトを変換する際に、アクセスルールに、単一のポート引数演算子または複数のポート引数演算子が含まれているかどうかに応じて、同じ演算子に使用する方法とは少しだけ異なる方法で変換します。

次の表に、使用できる演算子および単一演算子の使用例を示します。

表 8. アクセスルールのポート引数演算子

演算子

説明

lt

より小さい。

 
access-list acp1 extended permit tcp any lt 300

gt

より大きい。

 
access-list acp2 extended permit tcp any gt 300

eq

次の値と等しい。

 
access-list acp3 extended permit tcp any eq 300

neq

等しくない。

 
access-list acp4 extended permit tcp any neq 300

range

値の包括範囲。この演算子を使用する場合は、2 つのポート番号を指定します(例:range 100 200)。

 
access-list acp5 extended permit tcp any range 9000 12000

アクセスルールに、単一のポート引数演算子が含まれている場合、移行ツールはアクセスルールを単一アクセスコントロールまたはプレフィルタ規則に次のように変換します。

表 9. アクセスコントロールまたはプレフィルタルールに変換された単一ポート引数演算子を使用するアクセスルール

Op

名前

送信元ゾーン

宛先ゾーン

送信元ネットワーク

宛先ネットワーク

送信元ポート

宛先ポート

アクション

有効

lt

acp1#1

任意

任意

任意

任意

1-299

任意

同等に許可

はい(True)

gt

acp2#1

任意

任意

任意

任意

301-65535

任意

同等に許可

はい(True)

eq

acp3#1

任意

任意

任意

任意

300

任意

同等に許可

はい(True)

neq

acp4#1

任意

任意

任意

任意

1-299、301-65535

任意

同等に許可

はい(True)

range

acp5#1

任意

任意

任意

任意

9000-2000

任意

同等に許可

はい(True)

わかりやすくするために、この表の [元の演算子(Op)] 列を表示しています。これは、アクセスコントロールルールのフィールドには表示されません。

アクセスルールに、複数のポート演算子(例:access-list acp6 extended permit tcp any neq 300 any neq 400)が含まれている場合、移行ツールは、単一のアクセスルールを複数のアクセスコントロールまたはプレフィルタルールに次のように変換します。

表 10. アクセスコントロールに変換された複数ポート引数演算子を使用するアクセスルール

Op

名前

送信元ゾーン

宛先ゾーン

送信元ネットワーク

宛先ネットワーク

送信元ポート

宛先ポート

アクション

有効

neq

acp6#1_1

任意

任意

任意

任意

1-299

1-399

同等に許可

はい(True)

neq

acp6#1_2

任意

任意

任意

任意

301-65535

1-399

同等に許可

はい(True)

neq

acp6#1_3

任意

任意

任意

任意

1-299

401-65535

同等に許可

はい(True)

neq

acp6#1_4

任意

任意

任意

任意

301-65535

401-65535

同等に許可

はい(True)

わかりやすくするために、この表の [元の演算子(Op)] 列を表示しています。これは、アクセスコントロールルールのフィールドには表示されません。

複数のプロトコルを指定するアクセスルール

Cisco ASA では、アクセスルールで送信元と宛て先ポートを構成し、複数プロトコル(例:TCP と UDP)を指定するプロトコルサービスオブジェクトを使用できます。次に例を示します。

object-group protocol TCPUDP
 protocol-object udp
 protocol-object tcp
access-list acp1 extended permit object-group TCPUDP any any

ただし、Firepower システムでは、アクセスコントロールルールとプレフィルタルールのみを次のように構成できます。

  • 送信元ポートと宛て先ポートの両方で、同じプロトコルを指定する必要があります。

  • 宛て先ポートでは複数のプロトコルを指定できますが、送信元ポートでは何も指定する必要はありません。

プロトコル オブジェクト グループ tcp および udp を含むアクセスルールは、サポートされていないルールとして移行されます。そのため、ルールは、「tcp と udp の両方が含まれるオブジェクト グループ プロトコルはサポートされていません」のコメントで無効になります。

NAT ルールの変換

次の表に要約されているように、Cisco ASA 向け NAT と Firepower Threat Defense 向け NAT は、同等機能をサポートします。

表 11. Firepower Threat Defense NAT ポリシーにマッピングされている Cisco ASA NAT ポリシー

Cisco ASA NAT ポリシー

Firepower Threat Defense NAT ポリシー

特性を定義する

Twice NAT

手動 NAT

  • 1 つのルール内で送信元と宛先アドレスの両方を指定します。

  • 直接構成します。

  • ネットワーク オブジェクト グループを使用できます。

  • NAT テーブル内で、手動で順序付けが行われます(自動 NAT ルールの前または後)。

ネットワークオブジェクト NAT

自動NAT

  • 送信元または宛先アドレスのいずれかを指定します。

  • ネットワーク オブジェクトのパラメータとして構成されます。

  • ネットワーク オブジェクト グループを使用できません。

  • NAT テーブルで自動で順序付けされます。

移行ツールは、Cisco ASA NAT 構成を Firepower Threat Defense NAT 構成に変換します。ただし、このツールは、サポートされていないネットワークオブジェクトを使用する Cisco ASA NAT 構成を変換することはできません。その場合、変換は失敗します。

Firepower Threat Defense ルールフィールドにマッピングされた Cisco ASA NAT ルールフィールド

移行ツールは、次の表に示すように、Cisco ASA NAT ルールのフィールドを Firepower Threat Defense NAT ルールのフィールドに変換します。

(注)

  • 列 1 のフィールド名(Cisco ASA NAT ルールフィールド)は、ASDM インターフェイスのフィールドラベルに対応しています。

  • 列 2 のフィールド名(Firepower Threat Defense ルールフィールド)は、Firepower Management Center インターフェイスのフィールドラベルに対応しています。

表 12. Firepower Threat Defense NAT ルールフィールドにマッピングされた Cisco ASA NAT ルールフィールド

Cisco ASA NAT ルールフィールド

Firepower Threat Defense ルールフィールド

元のパケット - 送信元インターフェイス

インターフェイス オブジェクト - 送信元インターフェイス オブジェクト

元のパケット - 送信元アドレス

元のパケット - 元の送信元

元のパケット - 接続先インターフェイス

インターフェイス オブジェクト - 接続先インターフェイス オブジェクト

元のパケット - 宛先アドレス

元のパケット - 元の接続先 - アドレスタイプ

元のパケット - 元の接続先 - ネットワーク

元のパケット - サービス

元のパケット - 元の送信元ポート

元のパケット - 元の宛て先ポート

変換済みパケット - 送信元 NAT タイプ

タイプ

変換済みパケット - 送信元アドレス

変換済みパケット - 変換済み送信元 - アドレスタイプ

変換済みパケット - 変換済み送信元 - ネットワーク

変換済みパケット - 宛先アドレス

変換済みパケット - 変換済み接続先

変換済みパケット - サービス

変換済みパケット - 変換済み送信元ポート

変換済みパケット - 変換済み宛て先ポート

1 対 1 のアドレス変換を使用する

高度 - ネット間マッピング

PAT プール変換済みアドレス

PAT プール - PAT - アドレスタイプ

PAT プール - PAT - ネットワーク

ラウンドロビン

PAT プール - ラウンドロビン割り当てを使用する

PAT の一意性をインターフェイスごとではなく、接続先ごとに拡張する

PAT プール - 拡張済み PAT テーブル

TCP ポートと UDP ポートをフラットな範囲 1024 ~ 65535 に変換する

PAT プール - フラットなポート範囲

1 ~ 1023 の範囲を含める

PAT プール - 予約ポートを含める

ブロック割り当てを有効にする

同等のものはなし

送信元インターフェイス PAT に対して IPv6 を使用する

同等のものはなし

接続先インターフェイス PAT に対して IPv6 を使用する

高度 - IPv6

ルールを有効化する

有効

このルールに一致する DNS 回答の変換

高度 - このルールに一致する DNS 返信を変換する

出力インターフェイスでプロキシ ARP を無効にする

高度 - 接続先インターフェイスで ARP をプロキシしない

出力インターフェイスを特定するためにルートテーブルをルックアップする

同等のものはなし

方向

高度 - 単一方向

説明

説明

ネットワークオブジェクトおよびネットワーク オブジェクト グループ変換

ネットワークオブジェクトおよびネットワーク オブジェクト グループは、IP アドレスまたはホスト名を特定します。Cisco ASA と Firepower Threat Defense の両方では、これらのオブジェクトとグループをアクセスルールと NAT ルールで使用できます。

Cisco ASA では、1 つのネットワーク オブジェクトには、1 つのホスト、ネットワーク IP アドレス、IP アドレスの範囲、または完全修飾ドメイン名(FQDN)を入れることができます。Firepower システムでは、ネットワークオブジェクトは、FQDNを除き、これらと同じ値をサポートします。

移行ツールは、複数のアクセスルールまたは NAT ルールでオブジェクトが使用されているかどうかにかかわらず、Cisco ASA ネットワークオブジェクトまたはグループを 1 度変換します。

ネットワークオブジェクト変換

変換する各 Cisco ASA ネットワークオブジェクトの場合、移行ツールは、Firepower ネットワークオブジェクトを作成します。

移行ツールは、次のように Cisco ASA ネットワークオブジェクトのフィールドをFirepower ネットワークオブジェクトに変換します。

表 13. Firepower ネットワーク オブジェクト フィールドにマッピングされた Cisco ASA ネットワーク オブジェクト フィールド

Cisco ASA ネットワーク オブジェクト フィールド

Firepower ネットワーク オブジェクト フィールド

名前

システム生成。「変換した構成の命名規則」を参照

タイプ

タイプ

IP バージョン

同等のフィールドなし

IP アドレス(IP Address)

ネットマスク

値(CIDR 表記に含まれる)

説明

説明

オブジェクト NAT アドレス

同等のフィールドなし

例:アクセス制御リストのネットワークオブジェクト

Cisco ASA 構成がいるに次のコマンドが存在する場合:

object network obj1
 host 1.2.3.4
object network obj2
 range 1.2.3.7 1.2.3.10
object network obj3
 subnet 10.83.0.0 255.255.0.0
access-list sample_acl extended permit ip object obj1 object obj2 
access-list sample_acl extended permit ip object obj3 object obj1
access-group gigabitethernet_access_in in interface gigabitethernet1/1

システムはこれらのオブジェクトを次のように変換します。

名前

ドメイン

値(ネットワーク)

タイプ

オーバーライド

obj1

なし

1.2.3.4

ホスト

False

obj2

なし

1.2.3.7-1.2.3.10

アドレス範囲

False

obj3

なし

10.83.0.0/16

ネットワーク

False

例:NAT ルールのネットワークオブジェクト

Cisco ASA 構成ファイルに次のコマンドが存在する場合:

nat (gigabitethernet1/1,gigabitethernet1/2) source static obj1 obj1

システムは、このルールのオブジェクト obj1 を、上記のアクセスルール例のオブジェクト obj1 を変換するのと同じ方法で変換します。

ネットワーク オブジェクト グループ変換

変換する各 Cisco ASA ネットワーク オブジェクト グループの場合、移行ツールは、Firepower ネットワーク オブジェクト グループを作成します。また、グループに含まれるオブジェクトがまだ変換されていない場合は、それらのオブジェクトも変換されます。

移行ツールは、次のように Cisco ASA ネットワークのフィールドをFirepower ネットワーク オブジェクト グループに変換します。

表 14. Firepower ネットワーク オブジェクト グループ フィールドにマッピングされた Cisco ASA ネットワーク オブジェクト グループ フィールド

Cisco ASA ネットワーク オブジェクト グループ フィールド

Firepower ネットワーク オブジェクト グループ フィールド

グループ名

名前

説明

説明

グループ内のメンバー

値(選択したネットワーク)

例:アクセス制御リストのネットワーク オブジェクト グループ

Cisco ASA 構成がいるに次のコマンドが存在する場合:

object network obj1
 host 1.2.3.4
object network obj2
 range 1.2.3.7 1.2.3.10
object network obj3
 subnet 10.83.0.0 255.255.0.0
object-group network obj_group1
 network-object object obj1
 network-object object obj2
 network-object object obj3
access-list sample_acl extended permit ip object-group obj_group1 any
access-group gigabitethernet_access_in in interface gigabitethernet1/1

システムは、次のネットワークグループを作成します。

名前

ドメイン

値(ネットワーク)

タイプ

オーバーライド

obj_group1

なし

obj1

obj2

obj3

グループ

False

関連付けられたオブジェクトがまだ変換されていない場合、システムは ネットワークオブジェクト変換の説明に従ってそれらのオブジェクトを変換します。

例:NAT ルールのネットワーク オブジェクト グループ

Cisco ASA 構成ファイルに次のコマンドが存在する場合:

nat (interface1,interface2) source static obj_group1 obj_group1

システムは、このルールの obj_group1 を 、上記のアクセスルール例で obj_group1 を変換するのと同じ方法で変換します。

サービスオブジェクトとサービスグループの変換

Cisco ASA では、サービスオブジェクトとサービスグループは、プロトコルとポートを指定し、これらのポートを送信元ポートまたは宛て先ポートとして指名します。サービスオブジェクトとグループは、アクセスルールと NAT ルールの両方で使用できます。

Firepower システムでは、ポートオブジェクトとポートオブジェクトグループがプロトコルとポートを指定しますが、オブジェクトをアクセスコントロール、プレフィルタ、または NAT ルールに追加した場合、システムは、これらのポートを接続元ポートまたは宛て先ポートとして指名します。サービスオブジェクトを Firepower システムの同等の機能に変換する場合は、移行ツールを使用して、サービスオブジェクトをポートオブジェクトまたはグループに変換し、関連するアクセスコントロール、プレフィルタ、または NAT ルールに具体的な変更を加えます。結果として、移行ツールは、変換中に単一サービスオブジェクト/サービスグループおよび関連するアクセスルールまたは NAT ルールを複数のポートオブジェクト/グループおよび関連するアクセスコントロール、プレフィルタ、NAT ルールに展開する場合があります。

サービスオブジェクトの変換

移行ツールを使用して、1 つ以上のポートオブジェクトとこれらのポートオブジェクトを参照する 1 つ以上のアクセスコントロールまたはプレフィルタルールを作成して Cisco Cisco ASA サービスオブジェクトを変換します。

移行ツールは、次のサービスオブジェクトタイプを変換できます。

  • プロトコル

  • TCP および UDP

  • ICMP/ICMPv6

移行ツールは、Cisco ASA サービスオブジェクトのフィールドを次のように Firepower ポートオブジェクトのフィールドに変換します。

表 15. Firepower ポートオブジェクトフィールドにマッピングされた Cisco ASA サービスオブジェクトフィールド

Cisco ASA サービス オブジェクト フィールド

Cisco ASA サービスオブジェクトタイプ

Firepower ポート オブジェクト フィールド

名前

任意

システム生成(変換した構成の命名規則 を参照)

サービス タイプ

TCP/UDP、ICMP/ICMPv6

プロトコル

プロトコル

プロトコルのみ

プロトコル

説明

任意

同等なし、コンテンツは無視される

宛先ポート/範囲

TCP/UDP のみ

ポート

送信元ポート/範囲

TCP/UDP のみ

ポート

ICMP タイプ

ICMP/ICMPv6 のみ

タイプ

ICMP コード

ICMP/ICMPv6 のみ

コード

サービスオブジェクトのポートリテラル値

Cisco ASA サービスオブジェクトでは、ポート番号ではなくポートリテラル値を指定できます。次に例を示します。

object service http
 service tcp destination eq www

Firepower システムはこれらのポートのリテラル値をサポートしていないため、移行ツールはそれらのポートのリテラル値を、対応するポート番号に変換します。このツールは、上記の例を次のポートオブジェクトに変換します。

名前

タイプ

ドメイン

値(プロトコル/ポート)

オーバーライド

http

オブジェクト

なし

TCP(6)/80

False

ポートリテラル値と関連するポート番号の完全な一覧については、『CLI ブック 1:Cisco ASA シリーズ汎用操作 CLI 構成ガイド』の「TCP および UDP ポート」を参照してください。

サービスオブジェクトのポート引数演算子

Cisco ASA サービスオブジェクトでは、ポート引数で次の演算子を使用できます。

表 16. サービスオブジェクトのポート引数演算子

演算子

説明

lt

より小さい。

 
object service testOperator
 service tcp source lt 100

gt

より大きい。

 
object service testOperator
 service tcp source gt 100

eq

次の値と等しい。

 
object service http-proxy
 service tcp source eq 8080

neq

等しくない。

 
object service testOperator
 service tcp source neq 200

range

値の包括範囲。

 
object service http-proxy
 service tcp source range 9000 12000

移行ツールは、これらの演算子を次のように変換します。

表 17. ポートオブジェクト/グループに変換されるポート引数演算子を持つサービスオブジェクト

オペレータ

変換先

ポートオブジェクト値の例(プロトコル/ポート)

lt

指定数より小さいポート番号の範囲を指定する単一のポートオブジェクト。

 
TCP(6)/1-99

gt

指定数より大きいポート番号の範囲を指定する単一のポートオブジェクト。

 
TCP(6)/101-65535

eq

単一のポート番号を指定する単一のポートオブジェクト。

 
TCP(6)/8080

neq

2 つのポートオブジェクトと 1 つのポートオブジェクトグループ。最初のポートオブジェクトは、指定されたポートよりも低い範囲を指定しています。2 番目のポートオブジェクトは、指定されたポートよりも大きい範囲を指定しています。ポートオブジェクトグループには両方のポートオブジェクトが含まれます。

最初のオブジェクト(testOperator_src_1): 

TCP(6)/1-199

2 番目のオブジェクト(testOperator_src_2): 

TCP(6)/201-65535
オブジェクトグループ(testOperator_src):
testOperator_src_1
testOperator_src_2

range

包括的な値の範囲を指定する単一のポートオブジェクト。

 
TCP(6)/9000-12000

送信元ポートと宛て先ポートを含むサービスオブジェクト

Cisco ASA では、1 つのサービスオブジェクトで送信元ポートと接続先ポートの両方のポートを指定できます。Firepower システムでは、ポートオブジェクトはポート値のみを指定します。アクセスコントロールルールまたはプレフィルタルールでポートオブジェクトを使用するまで、システムはポートを送信元または接続先として指定しません。

この違いに対応するために、移行ツールは、送信元 と接続先 の両方を指定する Cisco ASA サービスオブジェクトを変換するときに、単一のオブジェクトを 2 つのポートオブジェクトに展開します。オブジェクト名に拡張子を追加して宛て先ポートの下の接続先 _src for source ports and _dst を示します。 

object service http-proxy
 service tcp source range 9000 12000 destination eq 8080

ツールは、このサービスオブジェクトを次のポートオブジェクトに変換します。

名前

タイプ

ドメイン

値(プロトコル/ポート)

オーバーライド

http-proxy_src

オブジェクト

なし

TCP(6)/9000-12000

False

http-proxy_dst

オブジェクト

なし

TCP(6)/8080

False

例:プロトコル サービス オブジェクトの変換

Cisco ASA 構成:

object service protocolObj1
 service snp 
 description simple routing

変換先:

表 18. ポートオブジェクト

名前

タイプ

ドメイン

値(プロトコル)

オーバーライド

protocolObj1

オブジェクト

なし

SNP (109)

False

例:TCP/UDP サービスオブジェクトの変換

Cisco ASA の構成:

object service servObj1
 service tcp destination eq ssh

変換先:

表 19. ポートオブジェクト

名前

タイプ

ドメイン

値(プロトコル/ポート)

オーバーライド

servObj1

オブジェクト

なし

TCP(6)/22

False

例:ICMP/ICMPv6 サービス オブジェクトの変換

ICMP

Cisco ASA の構成:

object service servObj1
 service icmp alternate-address 0

変換先:

表 20. ポートオブジェクト

名前

タイプ

ドメイン

値(プロトコル/Type:Code)

オーバーライド

servObj1

オブジェクト

なし

ICMP(1)/代替ホストアドレス:ホストの代替アドレス

False
ICMPv6

Cisco ASA の構成:

object service servObj1
 service icmp6 unreachable 0

変換先:

表 21. ポートオブジェクト

名前

タイプ

ドメイン

値(プロトコル/Type:Code)

オーバーライド

servObj1

オブジェクト

なし

IPV6-ICMP (58)/接続先到達不能:接続先へのルートなし

False

サービスグループの変換

移行ツールは、ポートオブジェクトグループを作成し、それらのポートオブジェクトグループを関連するアクセスコントロールルールまたはプレフィルタルールに関連付けることにより、Cisco ASA サービスグループを変換します。

移行ツールは、次のサービスグループタイプを変換できます。

  • プロトコル

  • TCP および UDP

  • ICMP/ICMPv6

移行ツールは、Cisco ASA サービスオブジェクトのフィールドを次のように Firepower ポートオブジェクトのフィールドに変換します。

表 22. Firepower ポートオブジェクトフィールドにマッピングされた Cisco ASA サービスグループフィールド

Cisco ASA サービスグループフィールド

ポート グループ オブジェクト フィールド

名前

システム生成(変換した構成の命名規則 を参照)

説明

説明

グループ内のメンバー

選択したポート

ネストされたサービスグループの変換

Cisco ASA は、ネストされたサービスグループ(つまりその他のサービスグループを含むサービスグループ)をサポートします。Firepower システムは、ネストされたポートグループをサポートしませんが、複数のグループを単一のアクセスコントロールルールまたはプレフィルタ規則に関連付けることで、同様の機能を実現できます。ネストされたサービスグループを変換する場合、移行ツールはグループ構造を「フラット化」し、最も内側のサービスオブジェクトおよびグループをポートオブジェクトおよびポートオブジェクトグループに変換し、それらの変換されたグループをアクセスコントロールルールまたはプレフィルタルールに関連付けます。

1 つのアクセスコントロールルールまたはプレフィルタルールに最大 50 のポートオブジェクトを関連付けることができます。新しいポートオブジェクト数が 50 を超えると、このツールは、すべての新しいポートオブジェクトをルールに関連付けるまで、重複アクセスコントロールルールまたはプレフィルタルールを作成します。

送信元サービスと接続先サービスの両方として使用される、ネストされたサービスオブジェクトを含む Firepower システムルールはサポートされません。


object-group service http-8081 tcp
 port-object eq 80
 port-object eq 81

object-group service http-proxy tcp
 port-object eq 8080

object-group service all-http tcp
 group-object http-8081
 group-object http-proxy

access-list FMC_inside extended permit tcp host 33.33.33.33 object-group all-http host 33.33.33.33 object-group all-http

上記の例では、サービスオブジェクト http-8081 および http-proxy all-http サービスグループ内にネストされています。

このようなシナリオでは、ポートオブジェクトに関連するルールは無視されます。システムは、オブジェクトをインポートしますが、関連するアクセスコントロールまたはプレフィルタルールを無効にし、「送信元と接続先の両方でネストされたサービスグループはサポートされていません」のコメントをルールに追加します。

変換中にシステムが作成する場合がある変換されたサービスオブジェクト、サービスグループおよび任意の重複ルールにツールが使用する命名規則の詳細については、「変換した構成の命名規則」を参照してください。

Cisco ASA の構成:

object-group service legServGroup1 tcp
	port-object eq 78
	port-object eq 79
object-group service legServGroup2 tcp
	port-object eq 80
	port-object eq 81
object-group service legacyServiceNestedGrp tcp
	group-object legServGroup1
	group-object legServGroup2
access-list  acp1 extended permit tcp  3.4.5.0  255.255.255.0  5.6.7.0 255.255.255.0 object-group legacyServiceNestedGrp
access-group acp1 global

変換先:

表 23. ポートオブジェクトグループ

名前

タイプ

ドメイン

値(プロトコル/ポート)

オーバーライド

legServGroup1_1

オブジェクト

なし

TCP(6)/78

False

legServGroup1_2

オブジェクト

なし

TCP(6)/79

False

legServGroup2_1

オブジェクト

なし

TCP(6)/80

False

legServGroup2_2

オブジェクト

なし

TCP(6)/81

False

legServGroup1

グループ

なし

legServGroup1_1

legServGroup1_2

False

legServGroup2

グループ

なし

legServGroup2_1

legServGroup2_2

False
表 24. アクセスコントロールルールまたはプレフィルタルール

名前

送信元ゾーン

宛先ゾーン

送信元ネットワーク

宛先ネットワーク

送信元ポート

宛先ポート

アクション

有効

acp1#1

任意

任意

3.4.5.0/24

5.6.7.0/24

TCP(6)

legServGroup1

legServGroup2

同等に許可

True

例:プロトコル サービス グループの変換

Cisco ASA の構成:

object-group protocol TCPUDP
 protocol-object udp
 protocol-object tcp

変換先:

表 25. ポート オブジェクトおよびグループ

名前

タイプ

ドメイン

値(プロトコル/ポート)

オーバーライド

TCPUDP_1

オブジェクト

なし

TCP(6)

False

TCPUDP_2

オブジェクト

なし

UDP(17)

False

TCPUDP

グループ

なし

TCPUDP_1

TCPUDP_2

False

例:TCP/UDP サービスグループの変換

グループ作成時に作成されるオブジェクト

Cisco ASA では、サービスグループの作成時にその場でオブジェクトを作成できます。これらのオブジェクトは、サービスオブジェクトとして分類されますが、Cisco ASA 構成ファイルのエントリは、object service ではなく、port-object を使用します。これらのオブジェクトは、個別に作成されたいため、移行ツールは、グループ作成とは別に作成されたオブジェクトの命名規則とは若干異なる命名規則が使用されます。

Cisco ASA の構成:

object-group service servGrp5 tcp-udp
 port-object eq 50
 port-object eq 55

変換先:

表 26. ポート オブジェクトおよびグループ

名前

タイプ

ドメイン

値(プロトコル/ポート)

オーバーライド

servGrp5_1

オブジェクト

なし

TCP(6)/50

False

servGrp5_2

オブジェクト

なし

TCP(6)/55

False

servGrp5

グループ

なし

servGrp5_1

servGrp5_2

False
グループから個別に作成されたオブジェクト

Cisco ASA の構成:

object service servObj1
 service tcp destination eq ssh 
object service servObj2
 service udp destination eq 22 
object service servObj3
 service tcp destination eq telnet 
object-group service servGrp1
 service-object object servObj1 
 service-object object servObj2 
 service-object object servObj3

変換先:

表 27. ポート オブジェクトおよびグループ

名前

タイプ

ドメイン

値(プロトコル/ポート)

オーバーライド

servObj1

オブジェクト

なし

TCP(6)/22

False

servObj2

オブジェクト

なし

UDP(17)/22

False

servObj3

オブジェクト

なし

TCP(6)/23

False

servGrp1

グループ

なし

servObj1

servObj2

servObj3

False

例:ICMP/ICMPv6 サービスグループの変換

ICMP

Cisco ASA の構成:

object-group icmp-type servGrp4
 icmp-object echo-reply

変換先:

表 28. ポート オブジェクトおよびグループ

名前

タイプ

ドメイン

値(プロトコル/ポート)

オーバーライド

servGrp4_1

オブジェクト

なし

ICMP(1)/Echo Reply

False

servGrp4

グループ

なし

servGrp4_1

False
ICMPv6

Cisco ASA の構成:

object-group service servObjGrp3
 service-object icmp6 packet-too-big
 service-object icmp6 parameter-problem

変換先:

表 29. ポート オブジェクトおよびグループ

名前

タイプ

ドメイン

値(プロトコル/ポート)

オーバーライド

servObjGrp3_1

オブジェクト

なし

IPV6-ICMP(58)/2

False

servObjGrp3_2

オブジェクト

なし

IPV6-ICMP(58)/4

False

servObjGrp3

グループ

なし

servObjGrp3_1

servObjGrp3_2

False

アクセスグループの変換

Cisco ASA で、ACL を適用するには、CLI で access-group コマンドを入力するか、ASDM アクセルルールエディタで、[適用(Apply)] を選択します。これらの操作を実行すると、Cisco ASA 構成ファイルで access-group エントリが生成されます(以下の例を参照)。

access-group コマンドは、システムが ACL を適用するインターフェイスと、システムがインターフェイスでインバウンド(イングレス)トラフィックまたはアウトバウンド(エグレス)トラフィックに ACL を適用するかどうかを指定します。

Firepower システムで同等の機能を構成するには、次の手順を実行します。

  • セキュリティゾーンを作成し、セキュリティゾーンをインターフェイスに関連付け、そのセキュリティゾーンを送信元ゾーン条件(インバウンドトラフィックの場合)または宛先ゾーン条件(アウトバウンドトラフィックの場合)としてアクセスコントロールルールに追加します。

  • インターフェイスグループを作成し、インターフェイスグループをインターフェイスに関連付け、インターフェイスグループを送信元インターフェイス グループ条件(インバウンドトラフィックの場合)または宛先インターフェイス グループ条件(アウトバウンドトラフィックの場合)としてプレフィルタルールに追加します。

access-group コマンドを変換する場合、移行ツールは、セキュリティゾーンまたはインターフェイスグループを作成し、関連するアクセスコントロールルールまたはプレフィルタルールの条件としてセキュリティゾーンとインターフェイスグループを追加することにより、入力情報と出力情報を取得します。ただし、移行ツールは、セキュリティゾーンまたはインターフェイスグループの名前のインターフェイス情報を保持しますが、関連するインターフェイスまたはデバイス構成は変換しません。これらの構成は、変換されたポリシーのインポート後に手動で追加する必要があります。変換されたポリシーをインポートした後、ポリシーをデバイスに、セキュリティゾーンまたはインターフェイス グループをインターフェイスに、手動で関連付ける必要があります。

ACL を変換する際、システムは、特定のインターフェースに適用されるルールのに、グローバルに適用されるルールを配置します。

特別な事例

Cisco ASA 構成が単一 ACL をイングレスインターフェイスとエグレスインターフェイスの両方に適用する場合、ツールは、ACL を変換して、2 つのセットのアクセスコントロールルールとプレフィルタルールに変換します。

  • 一連のイングレスルール(有効)

  • 一連のエグレスルール(無効)

Cisco ASA 構成が単一 ACL をグローバルおよび特定のインターフェイスに適用する場合、ツールは、ACL を変換して、2 つのセットのアクセスコントロールルールとプレフィルタルールに変換します。

  • 特定のインターフェイスに関連付けられた一連のルール(有効)

  • 送信元ゾーンと宛先ゾーンが [任意(Any)] に設定された一連のルール(有効)

例:グローバルに適用された ACL

Cisco ASA の構成:

access-list global_access extended permit ip any any 
access-group global_access global

移行ツールは、この構成を次に変換します。

表 30. アクセスコントロールルールまたはプレフィルタルール

名前

送信元ゾーン/インターフェイスグループ

宛先ゾーン/インターフェイスグループ

送信元ネットワーク

宛先ネットワーク

送信元ポート

宛先ポート

アクション

有効

global_access#1

任意

任意

任意

任意

任意

任意

同等に許可

はい(True)

例:特定のインターフェイスに適用された ACL

Cisco ASA の構成:

access-list acp1 permit tcp any host 209.165.201.3 eq 80
access-group acp1 in interface outside

次の例では、access-group コマンドによって、acp1 という ACLを outside というインターフェイス上のインバウンドトラフィックに適用します。

移行ツールは、この構成を次に変換します。

表 31. セキュリティゾーン/インターフェイスグループ

名前

インターフェイスタイプ

ドメイン

選択したインターフェイス

acp1_outside_in_zone

  • ルーテッド(Cisco ASA デバイスがルーテッドモードで実行されている場合)

  • スイッチ(Cisco ASA デバイスが透過モードで実行されている場合)

なし

任意
表 32. アクセスコントロールルールまたはプレフィルタルール

名前

送信元ゾーン/インターフェイスグループ

宛先ゾーン/インターフェイスグループ

送信元ネットワーク

宛先ネットワーク

送信元ポート

宛先ポート

アクション

有効

acp1#1

acp1_outside_in_zone

任意

任意

209.165.201.3

任意

TCP(6)/80

同等に許可

True