ステップ 1

Cisco ASA デバイスが構成の移行要件を満たしているかどうかを確認するには、「Cisco ASA デバイスの要件」を参照してください。

ステップ 2

エクスポートするアクセス制御リスト（ACL）と NAT ポリシーを特定します。

ステップ 3

できるだけ多くの重要でないルールを構成からプルーニングします。シスコでは、変換前に Cisco ASA 構成の複雑さとサイズを可能な限り軽減することを推奨しています。ACL に含まれているエントリの数を確認するには：

show access-list acl_name | i elements

ステップ 1

サポートから次のいずれかのイメージをダウンロードします。

• Firepower Management Center Virtual for VMware
• Firepower Management Center Virtual for KVM

ステップ 2

該当するガイドの説明に従って、イメージファイルを使用して指名された Firepower Management Center Virtual をインストールします。

ステップ 3

admin ユーザー名を使用してssh 経由で Firepower Management Center に接続します。

ステップ 4

Root Shell にログインします。

sudo su -

ステップ 5

次のコマンドを実行します。

enableMigrationTool.pl

ステップ 1

設定を保存します。

ステップ 2

保存した構成ファイルを、移行ツールからアクセス可能な場所（たとえば、ローカルコンピュータまたはネットワーク上の共有ドライブ）に転送します。

ステップ 1

ブラウザで https://hostname/ にアクセスします。hostname 要素は、移行ツールがインストールされている専用の Firepower Management Center Virtual のホスト名に対応しています。

ステップ 2

admin ユーザーとしてログインします。

ステップ 3

[System] > [Tools] > [Import/Export] を選択します。

ステップ 4

[パッケージのアップロード（Upload Package）] をクリックします。

ステップ 5

[参照（Browse）] をクリックし、Cisco ASA からエクスポートした構成ファイルを選択します。

ステップ 6

[次へ（Next）] をクリックします。

ステップ 7

アクセスルールの変換時にシステムが使用するポリシーを選択します。

• プレフィルタポリシー － アクセスルールをプレフィルタルールに変換します。
• アクセス コントロール ポリシー － アクセスルールをアクセスコントロールルールに変換します。

ステップ 8

プレフィルタポリシーを選択した場合、Permit アクションを持つアクセスルールに対して、システムに割り当てるアクションを選択します。

• Fastpath — アクセスコントロール、ID 要件、レート制限を含む、すべての詳細な検査および制御から一致するトラフィックを免除します。トンネルを高速パス化すると、すべてのカプセル化された接続が高速パス化されます。
• 分析 － トラフィックが残りのアクセスコントロールによって引き続き分析されることを許可します。アクセス制御および関連するディープ インスペクションによって渡された場合、このトラフィックはレート制限も行われる場合があります。

ステップ 9

アクセス コントロール ポリシーを選択した場合、Permit アクションを持つルールに対して、システムに割り当てるアクションを選択します。

• 信頼 － ディープインスペクションやネットワーク検出をせずにトラフィックを通過させます。信頼されたトラフィックは、アイデンティティポリシーによって強制される認証要件、およびレート制限が適用され続けます。
• 許可 － 一致するトラフィックの通過を許可します。許可されるトラフィックには、アイデンティティ ポリシーによって強制される認証要件が適用され続けます。レート制限、および詳細検査（設定されている場合）も適用され続けます。

ステップ 10

[次へ（Next）] を選択します。

ステップ 11

[システム ステータス（System Status）] アイコンをクリックして、メッセージ センターを表示します。

ステップ 12

[タスク（Tasks）] タブをクリックします。

ステップ 13

移行が失敗した場合は、該当するログでエラーメッセージを確認します。詳細については、「変換エラーをトラブルシューティングする」を参照してください。

ステップ 14

移行が成功した場合：

• [.sfo をダウンロード（Download .sfo）] をクリックして、ローカルコンピュータに変換したファイルをコピーします。
• [移行レポート（Migration Report）] をクリックすると、移行レポートを表示できます。

ステップ 15

移行レポートを確認します。

ステップ 1

本運用 Firepower Management Center で、[[System] > [Tools] > [Import/Export]] を選択します。

ステップ 2

[パッケージのアップロード（Upload Package）] をクリックします。

ステップ 3

[ファイルを選択（Choose File）] をクリックし、[参照（browse）] を使用して、ローカルコンピュータ上の適切な .sfo ファイルを選択します。

ステップ 4

[アップロード（Upload）]をクリックします。

ステップ 5

インポートするポリシーを選択します。ポリシーには、以前の移行で選択した選択肢に応じて、アクセス コントロール ポリシー、プレフィルタポリシー、または NAT ポリシーが含まれる場合があります。

ステップ 6

[インポート（Import）] をクリックします。

ステップ 7

[競合をインポート（Import Conflict）] ページで、次の手順を実行します。

• 構成の競合を解決します。Firepower Management Center Configuration Guide の「競合解決をインポート」を参照してください。
• 元の Cisco ASA 構成でインターフェイスごとにルールがグループ化されていた方法を複製するか、そのグループの関連付けを新しいものに置き換えます。これを行うには、次のように、アクセスコントロールルールをセキュリティゾーンに割り当て、プレフィルタルールまたは NAT ルールをインターフェイスグループに割り当てる必要があります。

  タイプ	ソース	次の場合、このゾーンまたはグループを選択します。
  システム生成のセキュリティゾーン/インターフェイスグループ	移行ツールは、変換中にこのセキュリティゾーン/インターフェイスグループを自動作成します。	元の Cisco ASA 構成のインターフェイスごとにルールがグループ化された方法を複製します。
  変換された Cisco ASA 構成をインポートする前に作成されたセキュリティゾーン/インターフェイスグループ	変換された Cisco ASA 構成をインポートする前にこのセキュリティゾーン/インターフェイスグループを作成します。	ルールを、Firepower Management Center ですでに既存するセキュリティゾーン/インターフェイスグループに関連付けます。
  インポートプロセス中にその場で作成されたセキュリティゾーン/インターフェイスグループ	ルール一式の横にあるドロップダウンリストで、[新規...（New...）] を選択して、このセキュリティゾーン/インターフェイスグループを作成します。	ルールを、Firepower Management Center の新しいセキュリティゾーン/インターフェイスグループに関連付けます。

  ヒント	ルール一致機の横にある矢印を使用して、セットに関する追加情報を展開します。

  （注）

  移行ツールはインターフェイス構成を変換しません。デバイスを手動で追加し、変換された Cisco ASA 構成をインポートした後、それらのデバイスのインターフェイスを構成する必要があります。ただし、このインポート手順により、ACL または NAT ポリシーと単一のエンティティ（セキュリティゾーンまたはインターフェイスグループ）との関連付けを保持し、新しい Firepower Threat Defense デバイスのインターフェイスとすぐに関連付けることができます。セキュリティゾーン/インターフェイスグループとインターネットへの関連付けの詳細については、「移行したポリシーを構成する」を参照してください。

ステップ 8

[インポート（Import）] をクリックします。

ステップ 9

[システム状態（System Status）] アイコンをクリックして、メッセージセンターを表示します。

ステップ 10

[タスク（Tasks）] タブをクリックします。

ステップ 11

インポートレポートをダウンロードするには、インポートタスク内のリンクをクリックします。

次の表に記載されている適切なクイックスタートガイドを使用して Firepower Threat Defense をインストールします。

ステップ 1

Firepower Threat Defense デバイスのインターフェイスを変換プロセス中に作成されたインターフェイスグループのセキュリティゾーンに割り当てます。

ステップ 2

Cisco ASA アクセスルールをアクセス コントロール ポリシーに移行する場合：

• 必要に応じて、無効なルールを有効または無効にし、ポリシーのルールを調整、追加、削除できます。またルールの順番を変更できます。たとえば、別の送信元プロトコルおよび接続先プロトコルまたは複数のプロトコルを指定するルールを変更する場合は、「複数のプロトコルを指定するアクセスルール」を参照してください。
• 必要に応じて、ツールが変換しない Cisco ASA パラメータに Firepower と同等の機能を構成します。

  Access Rule パラメータ	Access Control Rule パラメータ
  ユーザー	選択されたユーザー条件
  セキュリティグループ（送信元）	カスタム SGT 条件

• アクセス コントロール ポリシーを Firepower Threat Defense デバイスに割り当てます。

ステップ 3

Cisco ASA アクセスルールをプレフィルタポリシーに移行する場合：

• 必要に応じて、無効なルールを有効または無効にし、ポリシーのルールを調整、追加、削除できます。またルールの順番を変更できます。たとえば、別の送信元プロトコルおよび接続先プロトコルまたは複数のプロトコルを指定するルールを変更する場合は、「複数のプロトコルを指定するアクセスルール」を参照してください。
• 必要に応じて、ツールが変換しない Cisco ASA パラメータに Firepower と同等の機能を構成します。

  Access Rule パラメータ	Prefilter Rule パラメータ
  ユーザー	選択されたユーザー条件
  セキュリティグループ（送信元）	カスタム SGT 条件

• 変換中にシステムが作成するアクセス コントロール ポリシーを構成するか、プレフィルタポリシーを別のアクセス コントロール ポリシーに関連付けます。

  警告	移行ツールは、移行済みアクセス コントロール ポリシーのデフォルトアクションを [すべてのトラフィックをブロック（Block All Traffic）] に設定します。これは、ACL における暗黙の拒否と同等の設定です。移行したプレフィルタポリシーがある別のアクセス コントロール ポリシーを使用する場合は、デフォルトの [すべてのトラフィックをブロック（Block All Traffic）] に設定することを検討します。そうしないと、セキュリティホールが生じる場合があります。

• 関連するアクセス コントロール ポリシーを Firepower Threat Defense デバイスに割り当てます。

ステップ 4

NAT ポリシーを移行した場合：

• 必要に応じて、無効なルールを有効または無効にし、ポリシーのルールを調整、追加、削除できます。またルールの順番を変更できます。
• NAT ポリシーを Firepower Threat Defense デバイスに割り当てます。

ステップ 5

必要に応じて、アプリケーションの可視性と制御、侵入保護、URL フィルタ処理、Cisco Advanced Malware Protection（AMP）を含む NGFW 機能を構成します。

ステップ 6

設定変更を展開します。設定変更をデプロイするを参照してください。