Cisco ASA 構成を Firepower Threat Defense 構成 Firepower Management Center に移行するには、「専用の Firepower Management Center Virtual for VMware を準備するために Cisco ASA から Firepower Threat Defense 以降ツールイメージを使用する」を参照してください。この専用の FMC は、デバイスと通信しません。代わりに、移行ツールを使用して、.cfg または .txt 形式の Cisco ASA 構成ファイルを.sfo 形式の Firepower インポートファイルに変換できます。その後、本運用 FMC をインポートします。

移行ツールは、Cisco ASA 構成形式でデータのみを変換できます（つまり、適切な順番の Cisco ASA CLI コマンドのフラットファイル）。移行ツールを使用すると、システムがファイル形式を検証します。たとえば、ファイルには ASA version コマンドを含める必要があります。システムがファイルを検証できない場合、変換は失敗します。

このドキュメントで説明する移行プロセスでは、次の Firepower デバイスが必要です。

• 専用の Firepower Management Center Virtual for VMware で実行されている移行ツール。

• 本運用 Firepower Management Center。サポートされているプラットフォームでサポートされている環境を実行する必要があります。

  サポートされている Firepower Management Center プラットフォーム	サポートされている Firepower Management Center 環境
  Firepower Management Center：FS750、FS1000、FS1500、FS2000、FS2500、FS3500、FS4000、Virtual	移行ツールと同じバージョンである必要があります。

• 本運用 Firepower Threat Defense デバイス（Cisco ASA デバイスで再イメージ可能）。Firepower Threat Defense でサポートされているプラットフォームと環境の一覧については、「Cisco Firepower Compatibility Guide」を参照してください。

このドキュメントに記載されている移行された構成を使用するには、Base Firepower Threat Defense ライセンスが必要です。詳細については、「http://www.cisco.com/c/en/us/td/docs/security/firepower/roadmap/firepower-licenseroadmap.html」を参照してください。

Cisco ASA デバイスには、Firepower Threat Defense デバイスとは異なるライセンスが必要なため、移行ツールは、ライセンス情報を移行しません。Firepower Threat Defense デバイス向けに新しいライセンスを購入する必要があります。移行コンテキストのライセンス価格については、セールス担当者にお問い合わせください。

移行ツールを使用すると、次の Cisco ASA 機能を移行できます。

• 拡張済みアクセスルール（インターフェイスへの割り当ておよびグローバルな割り当てが可能）

• Twice NAT およびネットワークオブジェクト NAT ルール

• ツールが変換する拡張済みアクセスルールと NAT ルールに関連付けられたネットワークオブジェクト/グループまたはサービスオブジェクト/グループ

このツールが Cisco ASA 構成を Firepower Threat Defense 構成に変換する方法の詳細については、「変換マッピングの概要」を参照してください。

Cisco ASA に移行時は、次の制限に注意します。

Cisco ASA 構成のみ

移行ツールは、Cisco ASA 構成のみを変換します。既存の ASA FirePOWER 構成は変換されません。既存の ASA FirePOWER 構成を Firepower Threat Defense 構成に手動で変換する必要があります。

ACL と ACE の制限

移行ツールが変換できる Cisco ASA 構成ファイルのサイズには具体的な制限はありません。ただし、シスコでは、変換前に Cisco ASA 構成の複雑さとサイズを可能な限り軽減することを推奨しています。複雑なポリシーやルールは、重要なリソースを消費し、パフォーマンスに悪影響を与える可能性があります。Firepower で構成変更をデプロイする際、システムはすべてのルールをまとめて評価し、ターゲット デバイスでネットワーク トラフィックを評価するために使用する拡張基準セットを作成します。それらの基準がターゲットデバイスのリソース（物理メモリ、プロセッサなど）を上回っている場合、そのデバイスに構成をデプロイできません。

適用されるルールとオブジェクトのみ

移行ツールは、インターフェイスに適用される ACL のみを変換します。つまり、Cisco ASA 構成ファイルには、ペアになっているaccess-list および access-group コマンドが含まれます。

オブジェクトが、アクティブに適用される ACL または NAT ルールのいずれかに関連付けられている場合、移行ツールは、そのオブジェクトのみを変換します。つまり、Cisco ASA 構成ファイルには、適切に関連付けられている object、access-list、access-group および nat コマンドが含まれます。ネットワークオブジェクトとサービスオブジェクトのみを移行できません。

サポートされていない ACL および NAT 構成

移行ツールは、具体的な例外を除き、ほとんどの ACL および NAT 構成をサポートしています。サポートされていない ACL および NAT 構成は次のように処理されます。

[変換するが無効にする（Converts but Disables）] － 移行ツールは次を使用する ACE を完全に変換できません。

• 時間範囲オブジェクト

• 完全修飾ドメイン名（FQDN）

• ローカルユーザーとユーザーグループ

• セキュリティグループ（SGT）オブジェクト

• 送信元ポートと宛て先ポートの両方に対するネストされたサービスグループ

  サポート対象外の要素に対して Firepower の同等の機能がないため、これらのルールの特定の要素は変換できません。これらの場合、ツールは Firepower の同等のものがあるルール要素（ソースネットワークなど）を変換し、Firepower の同等のものがないルール要素（時間範囲など）を除外し、作成される新しいアクセス コントロール ポリシーまたはプレフィルタポリシーでルールを無効にします。

  Cisco ASA 構成から移行されるエグレス ACL ルールは、サポートされないルールです。これらは無効な状態で表示されます。

  無効化された各ルールの場合、システムはルール名に (unsupported) と追加し、移行中にルールが無効化された理由を示すコメントもルールに追加します。 で無効化されたルールをインポートしたら、Firepower Management CenterFirepower システムでデプロイメントを成功させるためにルールを手動で編集したり、置き換えたりできます。

[除外（Excludes）] － 移行ツールは、作成するポリシーから、EtherType ACL または WebType ACL、ホストアドレス名のエイリアスを使用する ACE（name コマンドで指定）、事前定義された（デフォルト）サービスオブジェクトを使用する ACE の構成を除外します。これらの除外された構成の詳細については、『CLI ブック 2：Cisco ASA シリーズファイアウォール CLI 構成ガイド』または『ASDM ブック 2：Cisco ASA シリーズファイアウォール ASDM 構成ガイド』を参照してください。

サポートされていないその他の Cisco ASA 構成

移行ツールは、このドキュメントで指定されていない Cisco ASA 機能の移行をサポートしていません。このツールは、Cisco ASA 構成ファイルを処理する際に、サポートされていない機能の構成データを無視します。

移行ツールを使用する前に、次を確認します。

• Cisco ASA デバイスが移行のすべての条件を満たしているかを確認するには、「Cisco ASA デバイスの要件」を参照してください。

• Cisco ASA 構成ファイルは、.cfg または .txt のいずれかの形式です。

• Cisco ASA 構成ファイルには、サポートされている構成のみが含まれます。移行に必要な制限を満たしていることを確認するには、「移行制限」を参照してください。

• Cisco ASA 構成ファイルには、有効な Cisco ASA CLI 構成のみを含めます。続行する前に、誤ったコマンドまたは不完全なコマンドを修正します。ファイルに無効な構成が含まれている場合、移行は失敗します。

• 変換された Cisco ASA 構成ファイルをインポートするには、Firepower Management Center を構成を変換する移行ツールと同じバージョンで実行する必要があります。この制限は、メジャーリリースとマイナーリリースの両方で適用されます。たとえば、移行ツールがバージョン 6.2.1 を実行していて、ファイルをインポートする Firepower Management Center がバージョン 6.1.0.2 を実行している場合、変換した Cisco ASA 構成ファイルをインポートする前に、Firepower Management Center 6.2.1 にアップグレードする必要があります。

このドキュメントでは、Firepower Threat Defense 構成に変換された Cisco ASA 構成の例を示します。これらの例のほとんどの列は、関連するルールエディタまたは Firepower Management Center のオブジェクトマネージャのコンポーネントに直接マップします。次の表に、Firepower UI コンポーネントに直接マッピングされない列を示します。