はじめに
Cisco Secure Firewall 移行ツールでは、Cisco 適応型セキュリティアプライアンス(ASA)および ASA with FirePOWER Services(FPS)から新しい Cisco Secure Firewall Threat Defense に簡単に移行できます。Cisco Secure Firewall 移行ツールは、サードパーティベンダーの Check Point、Palo Alto Networks、および Fortinet からの移行もサポートしています。
このドキュメントでは、Firewall 移行ツールに関する重要かつリリース固有の情報について説明します。Cisco Secure Firewall のリリースに精通していて、移行プロセスを以前に経験したことがある場合でも、このドキュメントを読み、十分に理解していることを確認してください。
新機能
Firewall リリースバージョン |
新機能 |
||
---|---|---|---|
3.0.1 |
Cisco Secure Firewall 移行ツール 3.0.1 は、以下をサポートします。
|
Firewall 移行ツールの履歴情報については、次を参照してください。
サポートされている構成
移行では、次の設定要素がサポートされています。
-
ネットワークオブジェクトおよびグループ
-
サービスオブジェクト(送信元と接続先に設定されたサービスオブジェクトを除く)
(注)
Firewall 移行ツールは拡張サービスオブジェクト(送信元と接続先の構成)は移行しませんが、参照先の ACL と NAT のルールは完全な機能で移行されます。
-
サービス オブジェクト グループ(ネストされたサービス オブジェクト グループを除く)
(注)
Management Center ではネストはサポートされていないため、Firewall 移行ツールは参照されるルールの内容を展開します。ただし、ルールは完全な機能で移行されます。
-
IPv4 および IPv6 FQDN オブジェクトとグループ
-
IPv6 変換サポート(インターフェイス、静的ルート、オブジェクト、ACL、および NAT)
-
インバウンド方向とグローバル ACL のインターフェイスに適用されるアクセスルール
-
自動 NAT、手動 NAT、およびオブジェクト NAT(条件付き)
-
静的ルートおよび移行されない ECMP ルート
-
物理インターフェイス
-
ASA または ASA with FirePOWER Services インターフェイス上のセカンダリ VLAN は FTD に移行されません。
-
サブインターフェイス(サブインターフェイス ID は移行時の VLAN ID と同じ番号に常に設定されます)
-
ポート チャネル
-
仮想トンネルインターフェイス(VTI)
-
ブリッジグループ(トランスペアレントモードのみ)
-
IP SLA のモニタ
Firewall 移行ツールは IP SLA オブジェクトを作成し、オブジェクトを特定の静的ルートにマッピングし、オブジェクトを FMC に移行します。
(注)
IP SLA モニターは、FTD 以外のフローではサポートされていません。
-
オブジェクトグループの検索
(注)
-
オブジェクトグループ検索は、6.6 より前の FMC または FTD のバージョンでは使用できません。
-
オブジェクトグループ検索は FTD 以外のフローではサポートされていないため、無効になります。
-
-
時間ベースのオブジェクト
(注)
-
送信元の ASA または ASA with FirePOWER Services から送信先の FTD にタイムゾーン構成を手動で移行する必要があります。
-
時間ベースのオブジェクトは FTD 以外のフローではサポートされていないため、無効になります。
-
時間ベースのオブジェクトは FMC バージョン 6.6 以降でサポートされています。
-
-
[Site-to-Site VPN Tunnels]
-
サイト間 VPN:Firewall 移行ツールは、送信元 ASA で暗号マップ構成を検出すると、暗号マップを FMC VPN にポイントツーポイント トポロジとして移行します。
-
ASA からのクリプトマップ(静的/ダイナミック)ベースの VPN
-
ルートベース(VTI)の ASA VPN
-
ASA からの証明書ベースの VPN 移行
-
ASA トラストポイントまたは証明書の FMC への移行は手動で実行する必要があり、また、移行前のアクティビティに含まれている必要があります。
-
-
動的ルートオブジェクト、BGP、および EIGRP
-
[Policy-List]
-
[Prefix-List]
-
Community-List
-
自律システム(AS)パス
-
[Route-Map]
-
-
リモートアクセス VPN
-
SSL と IKEv2 プロトコル
-
認証方式:[AAA only]、[Client Certificate only]、および [AAA + Client Certificate]
-
AAA:Radius、ローカル、LDAP、および AD
-
接続プロファイル、グループポリシー、動的 アクセス ポリシー、LDAP 属性マップ、および証明書マップ
-
標準的な ACL と拡張 ACL
-
移行前のアクティビティの一環として、次の手順を実行します。
-
ASA トラストポイントを PKI オブジェクトとして手動で FMC に移行します。
-
AnyConnect パッケージ、Hostscan ファイル(Dap.xml、Data.xml、Hostscan Package)、外部ブラウザパッケージ、および AnyConnect プロファイルを送信元 ASA から取得します。
-
すべての AnyConnect パッケージを FMC にアップロードします。
-
AnyConnect プロファイルを FMC に直接アップロードするか、または Firewall 移行ツールからアップロードします。
-
Live Connect ASA からプロファイルを取得できるようにするには、ASA で ssh scopy enable コマンドを有効にします。
-
-
-
ACL 最適化
ACL 最適化は、次の ACL タイプをサポートします。
-
冗長 ACL:2 つの ACL の構成とルールのセットが同じ場合、基本以外の ACL を削除してもネットワークに影響はありません。
-
シャドウ ACL:最初の ACL は、2 番目の ACL の設定を完全にシャドウイングします。
(注)
ACL の最適化は現在、Palo Alto Networks と ASA with FirePower Services(FPS)では使用できません。
-
Firepower 移行ツールのサポートされている構成の詳細については、次を参照してください。
移行ワークフロー
Firewall 移行ツールの移行ワークフローについては、次を参照してください。
移行レポート
Firewall 移行ツールは、次のレポートを移行の詳細とともに HTML 形式で提供します。
-
移行前のレポート
-
移行後のレポート
Cisco Secure Firewall 移行ツールの機能
Firewall 移行ツールは、次の機能を提供します。
-
分析およびプッシュ操作を含む移行全体の検証
-
オブジェクト再利用機能
-
オブジェクト競合の解決
-
インターフェイス マッピング
-
送信先 Threat Defense デバイスのサブインターフェイス制限チェック
-
サポートされているプラットフォーム
:同じハードウェアでの移行(X から X デバイスへの移行)
:X から Y デバイスへの移行(Y に多数のインターフェイスが存在)
-
ACP ルールアクションに対する送信元 ASA、Fortinet、および Checkpoint の ACL 最適化。
インフラストラクチャとプラットフォームの要件
Firewall 移行ツールには、次のインフラストラクチャとプラットフォームの要件があります。
-
Windows 10 64 ビット オペレーティング システムまたは MacOS バージョン 10.13 以降
-
Google Chrome がシステムのデフォルト ブラウザ
-
システムごとに Firewall 移行ツールのシングルインスタンス
-
Management Center と Threat Defense がバージョン 6.2.3.3 以降であること
(注) |
新しいバージョンをダウンロードする前に、以前のビルドを削除する。 |
未解決および解決済みの問題
未解決の問題
不具合 ID |
説明 |
---|---|
Firewall 移行ツール 3.0 以降では、ダイナミック暗号マップがサイト間 VPN の一部として移行されない。 |
|
拡張アクセスリストオブジェクトの RA VPN のプッシュ失敗。 |
|
RA VPN のローカルレルムを設定できない。 |
|
Firepower 移行ツールでセキュリティゾーン/IG 名を複製できない。 |
|
特定のキーワードを使用して構成ファイルの名前が指定されていない場合、解析エラーが発生する。 |
解決済みの問題
不具合 ID |
説明 |
---|---|
ASA、ASA with FirePOWER Services、Palo Alto Networks、Check Point、および Fortinet に対する Firepower 3100 シリーズのサポート。 |
|
ダイナミック アクセス ポリシーと HostScan データプロファイルのアップロードで、xml ファイルタイプのみを許可する必要がある。 |
|
IPv4 プールに範囲ではなく単一のホストが含まれている場合、RA VPN の移行で解析エラーが発生する。 |
|
RA VPN の移行時、IKE ポリシーと IPSEC/IKEV2 パラメータが有効にならない。 |
|
Management Center または Threat Defense バージョン 6.7.x および 7.0.x 以降では、ルートベース VPN の移行がサポートされない。 |
|
Firewall 移行ツールが、Management Center または Threat Defense の VLAN サブインターフェイスを有効なマッピングとして識別しない。 |
|
空のオブジェクト値に対する Fortinet 構成の解析エラー。 |
|
Firewall 移行ツール 3.0 が、[Optimize, Review and Validate Configuration] ページで AnyConnect パッケージの自動入力に失敗する。 |
|
Firewall 移行ツールを再起動しないと、[Optimize, Review and Validate Configuration] ページからアップロードされたパッケージファイルを取得できない。 |
|
グループオブジェクトがオブジェクト グループ ユーザーの下に設定されている場合、Firepower 移行ツールで解析エラーが発生する。 |
|
Firepower 移行ツールが、手動作成されたゾーンか自動作成されたゾーンかに関係なく、セキュリティゾーンをさらに作成してインターフェイスにマッピングする。 |
|
認証ポートが 0 ~ 65535 の場合、AAA RADIUS サーバーが移行にデフォルトポートを使用できない。 |
未解決の警告および解決済みの警告
このリリースで未解決の警告には、Cisco バグ検索ツールを使用してアクセスできます。この Web ベース ツールから、この製品やその他のシスコハードウェアおよびソフトウェア製品でのバグと脆弱性に関する情報を保守するシスコ バグ トラッキング システムにアクセスできます。
(注) |
Cisco Bug Search Tool にログインしてこのツールを使用するには、Cisco.com アカウントが必要です。アカウントを持っていない場合は、 Cisco.com でアカウントに登録できます。バグ検索ツールの詳細については、「Bug Search Tool(BST)ヘルプおよび FAQ」を参照してください。 |
Firewall 移行ツールの未解決および解決済みの警告の最新リストについては、次のダイナミッククエリを使用してください。
資料
このリリースでは次のドキュメントが提供されます。
-
Migrating ASA Firewall to Firewall Threat Defense with the Secure Firewall Migration Tool
-
Migrating Check Point Firewall to Firewall Threat Defense with the Secure Firewall Migration Tool
-
Migrating Fortinet Firewall to Firewall Threat Defense with the Secure Firewall Migration Tool
-
Navigating the Cisco Secure Firewall Migration Tool Documentation