Cisco Secure Firewall 移行ツールについて
Cisco Secure Firewall 移行ツールを使用すると、Management Center で管理されるサポート対象の Cisco Secure Firewall Threat Defense にファイアウォール設定を移行できます。この移行ツールでは、Cisco Secure Firewall ASA、ASA with FirePOWER Services(FPS)、FDM 管理対象デバイス、および Check Point、Palo Alto Networks、Fortinet のサードパーティ製ファイアウォールからの移行をサポートします。
このドキュメントでは、Cisco Secure Firewall 移行ツールについての重要かつリリース固有の情報について説明します。Cisco Secure Firewall のリリースに精通していて、移行プロセスを以前に経験したことがある場合でも、このドキュメントを読み、十分に理解しておくことをお勧めします。
新機能
|
リリース バージョン |
機能 |
説明 |
|---|---|---|
| 7.7.10 |
移行ツールを使用した Microsoft Azure ネイティブファイアウォールから Cisco Secure Firewall Threat Defense への移行 |
Cisco Secure Firewall 移行ツールを使用して、Microsoft Azure ネイティブファイアウォールから 脅威に対する防御 に設定を移行できるようになりました。詳細と移行手順については、『Migrating Microsoft Azure Native Firewall to Cisco Secure Firewall Threat Defense with the Migration Tool』を参照してください。 |
|
Cisco Multicloud Defense への Check Point ファイアウォールの移行 |
Cisco Secure Firewall 移行ツールを使用して、Check Point ファイアウォールから Multicloud Defense に設定を移行できるようになりました。詳細と移行手順については、『Migrating Check Point Firewall to Cisco Multicloud Defense with the Migration Tool』を参照してください。 |
|
|
Cisco Multicloud Defense への Fortinet ファイアウォールの移行 |
Cisco Secure Firewall 移行ツールを使用して、Fortinet ファイアウォールから Multicloud Defense に設定を移行できるようになりました。詳細と移行手順については、『Migrating Fortinet Firewall to Cisco Multicloud Defense with the Migration Tool 』を参照してください。 |
|
|
セキュリティ グループ タグ オブジェクト識別 |
Cisco Secure Firewall 移行ツールが、既存のセキュリティ グループ タグ オブジェクトの設定を検出するようになりました。この検出機能は、特定のタグをユーザー、デバイス、またはシステムに関連付けることでセキュリティポリシーの管理を簡素化し、動的でスケーラブルなアクセス制御を可能にします。 「構成の最適化、確認および検証」を参照してください サポートされる移行:Cisco Secure Firewall ASA |
|
|
アクセスルールの編集 |
[設定の最適化、確認、検証(Optimize, Review and Validate Configurations)] ページで、オブジェクトまたはオブジェクトグループを追加、削除、または変更してアクセスルールを編集できるようになりました。 「構成の最適化、確認および検証」を参照してください サポートされる移行:すべて |
|
|
移行前および移行後レポートの強化 |
移行前レポートと移行後レポートが強化され、ユーザー体験が向上しました。 各セクションの CSV ファイルをダウンロードして、詳細な分析を行えるようになりました。移行後レポートに比較チャートが導入され、移行前レポートと移行後レポートでカテゴリごとに設定数を比較できます。 「構成の最適化、確認および検証」を参照してください サポートされる移行:すべて |
|
|
7.7.0.1 |
パッチリリース |
このパッチリリースにはバグ修正が含まれています。詳細については、未解決および解決済みの問題を参照してください。 |
|
7.7 |
Cisco Multicloud Defense への Cisco Secure Firewall ASA の移行 |
Cisco Secure Firewall 移行ツールを使用して、Cisco Secure Firewall ASA から Multicloud Defense に設定を移行できるようになりました。 詳細については、『Migrating Cisco Secure Firewall ASA to Cisco Multicloud Defense with the Migration Tool』を参照してください。 Security Cloud Control がホストする移行ツールにおけるこの移行の実行の詳細については、「Migrate Secure Firewall ASA to Multicloud Defense with the Firewall Migration Tool in Firewall in Security Cloud Control」を参照してください。 |
|
Cisco Multicloud Defense への Palo Alto Networks ファイアウォールの移行 |
Cisco Secure Firewall 移行ツールを使用して、Palo Alto Networks ファイアウォールから Multicloud Defense に設定を移行できるようになりました。 詳細については、『Migrating Palo Alto Networks Firewall to Cisco Multicloud Defense with the Migration Tool』を参照してください。 Security Cloud Control がホストする移行ツールにおけるこの移行の実行の詳細については、「Migrate Palo Alto Networks Firewall to Multicloud Defense with the Firewall Migration Tool in Firewall in Security Cloud Control」を参照してください。 |
Cisco Secure Firewall 移行ツールの履歴情報については、次を参照してください。
サポートされている構成
移行では、次の設定要素がサポートされています。
-
ネットワークオブジェクトおよびグループ
-
サービスオブジェクト(送信元と接続先に設定されたサービスオブジェクトを除く)
(注)
Cisco Secure Firewall 移行ツールでは拡張サービスオブジェクト(送信元と接続先の構成)は移行しませんが、参照先の ACL と NAT のルールは完全な機能とともに移行されます。
-
サービス オブジェクト グループ(ネストされたサービス オブジェクト グループを除く)
(注)
Management Center ではネストはサポートされていないため、Cisco Secure Firewall 移行ツールは参照されるルールの内容を展開します。ただし、ルールは完全な機能とともに移行されます。
-
IPv4 および IPv6 FQDN オブジェクトとグループ
-
IPv6 変換サポート(インターフェイス、静的ルート、オブジェクト、ACL、および NAT)
-
インバウンド方向とグローバル ACL のインターフェイスに適用されるアクセスルール
-
自動 NAT、手動 NAT、およびオブジェクト NAT(条件付き)
-
静的ルート、ECMP ルート、および PBR
-
物理インターフェイス
-
ASA または ASA with FirePOWER Services インターフェイス上のセカンダリ VLAN は 脅威に対する防御 に移行されません。
-
サブインターフェイス(サブインターフェイス ID は移行時の VLAN ID と同じ番号に常に設定されます)
-
ポート チャネル
-
仮想トンネルインターフェイス(VTI)
-
ブリッジグループ(トランスペアレントモードのみ)
-
IP SLA のモニタ
Cisco Secure Firewall 移行ツールは IP SLA オブジェクトを作成し、オブジェクトを特定の静的ルートにマッピングして、それらを Management Center に移行します。
(注)
IP SLA モニターは、脅威に対する防御 以外のフローではサポートされていません。
-
オブジェクトグループの検索
(注)
-
オブジェクトグループ検索は、6.6 より前の Management Center または 脅威に対する防御 のバージョンでは使用できません。
-
オブジェクトグループ検索は 脅威に対する防御 以外のフローではサポートされていないため、無効になります。
-
-
時間ベースのオブジェクト
(注)
-
送信元の ASA、ASA with FirePOWER Services、および FDM 管理対象デバイスから送信先の 脅威に対する防御 にタイムゾーン構成を手動で移行する必要があります。
-
時間ベースのオブジェクトは 脅威に対する防御 以外のフローではサポートされていないため、無効になります。
-
時間ベースのオブジェクトは Management Center バージョン 6.6 以降でサポートされています。
-
-
[サイト間 VPN トンネル(Site-to-Site VPN Tunnels)]
-
サイト間 VPN:Cisco Secure Firewall 移行ツールは、送信元 ASA および FDM 管理対象デバイスで暗号マップ構成を検出すると、暗号マップを Management Center VPN にポイントツーポイント トポロジとして移行します。
-
Palo Alto Networks および Fortinet ファイアウォールからのサイト間 VPN
-
ASA および FDM 管理対象デバイスからの暗号マップ(静的/動的)ベース VPN
-
ルートベース(VTI)の ASA および FDM VPN
-
ASA、FDM 管理対象デバイス、Palo Alto Networks、Fortinet ファイアウォールからの証明書ベースの VPN 移行
-
ASA、FDM 管理対象デバイス、Palo Alto Networks、および Fortinet のトラストポイントまたは証明書の Management Center への移行は手動で実行する必要があり、また、移行前のアクティビティに含まれている必要があります。
-
-
動的ルートオブジェクト、BGP、および EIGRP
-
ポリシーリスト
-
プレフィックスリスト
-
Community-List
-
自律システム(AS)パス
-
[Route-Map]
-
-
リモートアクセス VPN
-
SSL と IKEv2 プロトコル
-
認証方式:[AAA のみ(AAA only)]、[クライアント証明書のみ(Client Certificate only)]、および [AAA とクライアント証明書(AAA + Client Certificate)]
-
AAA:Radius、ローカル、LDAP、および AD
-
接続プロファイル、グループポリシー、動的 アクセス ポリシー、LDAP 属性マップ、および証明書マップ
-
標準的な ACL と拡張 ACL
-
RA VPN カスタム属性と VPN ロードバランシング
-
移行前のアクティビティの一環として、次の手順を実行します。
-
ASA、FDM 管理対象デバイス、Palo Alto Networks、および Fortinet ファイアウォールのトラストポイントを PKI オブジェクトとして手動で Management Center に移行します。
-
AnyConnect パッケージ、Hostscan ファイル(Dap.xml、Data.xml、Hostscan Package)、外部ブラウザパッケージ、および AnyConnect プロファイルを送信元 ASA および FDM 管理対象デバイスから取得します。
-
すべての AnyConnect パッケージを Management Center にアップロードします。
-
AnyConnect プロファイルを Management Center に直接アップロードするか、または Cisco Secure Firewall 移行ツールからアップロードします。
-
Live Connect ASA からプロファイルを取得できるようにするには、ASA で ssh scopy enable コマンドを有効にします。
-
-
-
ACL 最適化
ACL 最適化は、次の ACL タイプをサポートします。
-
冗長 ACL:2 つの ACL の構成とルールのセットが同じ場合、基本以外の ACL を削除してもネットワークに影響はありません。
-
シャドウ ACL:最初の ACL は、2 番目の ACL の設定を完全にシャドウイングします。
(注)
ACL の最適化は現在、Palo Alto Networks と ASA with FirePower Services(FPS)では使用できません。
-
Cisco Secure Firewall 移行ツールのサポートされている構成の詳細については、次を参照してください。
移行ワークフロー
Cisco Secure Firewall 移行ツールの移行ワークフローについては、次を参照してください。
移行レポート
Cisco Secure Firewall 移行ツールは、次のレポートを移行の詳細とともに HTML 形式で提供します。
-
移行前のレポート
-
移行後のレポート
Cisco Secure Firewall 移行ツールの機能
Cisco Secure Firewall 移行ツールは、次の機能を提供します。
-
分析およびプッシュ操作を含む移行全体の検証
-
オブジェクト再利用機能
-
オブジェクト競合の解決
-
インターフェイス マッピング
-
インターフェイス オブジェクトの自動作成または再利用(セキュリティゾーンとインターフェイス グループ マッピングに対する ASA name if)
-
インターフェイス オブジェクトの自動作成または再利用
-
自動ゾーンマッピング
-
ユーザー定義のセキュリティゾーンとインターフェイスグループの作成
-
ユーザー定義のセキュリティゾーンの作成
-
送信先 Threat Defense デバイスのサブインターフェイス制限チェック
-
サポートされるプラットフォーム:
-
ASA Virtual から Threat Defense Virtual へ
-
FDM Virtual から Threat Defense Virtual へ
-
同じハードウェアでの移行(X から X デバイスへの移行)
-
X から Y デバイスへの移行(Y に多数のインターフェイスが存在)
-
-
ACP ルールアクションに対する送信元 ASA、FDM 管理対象デバイス、Fortinet、および Checkpoint の ACL 最適化。
インフラストラクチャとプラットフォームの要件
Cisco Secure Firewall 移行ツールには、次のインフラストラクチャおよびプラットフォームが必要です。
-
Windows 10 64 ビット オペレーティング システムまたは MacOS バージョン 10.13 以降
-
Google Chrome がシステムのデフォルト ブラウザ
ヒント
移行ツールを使用するときは、ブラウザで全画面表示モードを使用することをお勧めします。
-
システムごとに Cisco Secure Firewall 移行ツールのシングルインスタンス
-
Management Center と Threat Defense がバージョン 6.2.3.3 以降であること
(注) |
新しいバージョンをダウンロードする前に、以前のビルドを削除する。 |
未解決および解決済みの問題
未解決の問題
|
不具合 ID |
説明 |
|---|---|
|
Cisco Secure Firewall 移行ツールでの ASA の移行において、次のエラーが表示されます。
|
|
|
ASA の設定の移行がブロックされ、次のエラーが表示されます。 送信元の ASA の設定にエラーがあります。(The source ASA configuration has errors.) |
|
|
Cisco Secure Firewall 移行ツールでの ASA の移行において、RA VPN の移行中に次のエラーが表示されます。 「外部プロキシが LwVPNApi commitwithdomain メソッドを呼び出し、予期しないエラー com.cisco.com.nm.vms.rpc.shared.exception 検証エラーが発生しました(External proxy invoked LwVPNApi commitwithdomain method and ran into an unexpected error com.cisco.com.nm.vms.rpc.shared.exception Validation error)」 |
|
|
Fortinet の設定の移行が失敗し、次のエラーが表示されます。
|
|
|
Cisco Secure Firewall 移行ツールでの ASA の移行において、ダイナミック ルート オブジェクトのプッシュ中にエラーが表示されます。 |
|
|
Cisco Secure Firewall 移行ツールでの ASA の移行において、次のエラーが表示されます。
|
|
|
Cisco Secure Firewall 移行ツールでの ASA の移行において、次のエラーが表示されます。
|
|
|
PAN の設定の移行がブロックされ、「内部サーバーエラー」が表示されます。 |
解決済みの問題
|
不具合 ID |
説明 |
|---|---|
| CSCwn03286 |
ASA の設定の移行において、BGP ネイバーパラメータがマッピングされません。 |
| CSCwn11294 |
Cisco Secure Firewall 移行ツールでの ASA の移行が失敗し、次のエラーが表示されます。
|
| CSCwn22361 |
ASA の設定のパーシングがブロックされ、次のエラーが表示されます。 「送信元の ASA の設定にエラーがあります(The source ASA configuration has errors)」 |
| CSCwn63563 |
PAN の設定の移行がブロックされ、次のエラーが表示されます。
|
| CSCwn64134 |
クラウド提供型 Firewall Management Center に対する FDM 管理対象デバイスの設定のパーシングがブロックされ、次のエラーが表示されます。
|
| CSCwn69489 |
Cisco Secure Firewall 移行ツールでの PAN の移行がブロックされ、次のエラーが表示されます。
|
| CSCwn71976 |
Cisco Secure Firewall 移行ツールでの ASA の移行がブロックされ、次のエラーが表示されます。
|
| CSCwn85186 |
Cisco Secure Firewall 移行ツールでの macOS を使用した ASA の移行において、[設定の最適化、確認、検証(Optimize, Review and Validate Configuration)] ウィンドウにエラーが表示されます。 「タプルインデックスが範囲外です(Tuple index out of range)」 |
| CSCwn85610 |
Multicloud Defense に対する ASA の設定のパーシングが失敗し、次の警告が表示されます。 「FMC 7.2.5 以前のバージョンでは、異なるゲートウェイと同じゲートウェイメトリックを持つ同じネットワークセグメントのルート設定はサポートされていません(FMC 7.2.5 and earlier versions do not support route configuration for the same network segment with different gateways and same gateway metrics)」 |
| CSCwn86448 |
ASA の設定のパーシングがブロックされ、次のエラーが表示されます。 「送信元の ASA の設定にエラーがあります(The source ASA configuration has errors)」 |
| CSCwn95036 |
ASA の設定のパーシングがブロックされ、次のエラーが表示されます。 「charmap」 |
| CSCwo05275 |
Cisco Secure Firewall 移行ツールでの ASA の移行において、Management Center へのレルムオブジェクトのプッシュ中に RA VPN の検証エラーが表示されます。 |
| CSCwo06735 |
クラウド提供型 Firewall Management Center への ASA の移行がブロックされ、次のエラーが表示されます。
|
| CSCwo09247 |
クラウド提供型 Firewall Management Center に対する Palo Alto Networks(PAN)の設定ファイルのパーシングがスタックします。 |
| CSCwo39627 |
Cisco Secure Firewall 移行ツールでの ASA の移行がブロックされ、次のエラーが表示されます。 「ra vpn のプッシュ中にエラーが発生しました(Error while pushing ra vpn)」 |
| CSCwo45105 |
ASA の設定のパーシングがブロックされ、次のエラーが表示されます。 「送信元の ASA の設定にエラーがあります(The source ASA configuration has errors)」 |
| CSCwo60666 |
Cisco Secure Firewall 移行ツールでの ASA の移行がブロックされ、次のエラーが表示されます。
|
| CSCwo67182 |
FDM 管理対象デバイスの設定のパーシングがブロックされ、次のエラーが表示されます。 「送信元の FDM の設定にエラーがあります(The source FDM configuration has errors)」 |
| CSCwo71787 |
ASA の設定のパーシングがブロックされ、次のエラーが表示されます。 「送信元の ASA の設定にエラーがあります(The source ASA configuration has errors)」 |
| CSCwo73351 |
ASA の移行において、Cisco Secure Firewall 移行ツールが ACL を間違った順序で移行します。 |
| CSCwo73361 |
Cisco Secure Firewall 移行ツールでの ASA の移行が、[設定の最適化、確認、検証(Optimize, Review and Validate Configuration)] ウィンドウでスタックします。 |
| CSCwo74726 |
Cisco Secure Firewall 移行ツールでの ASA の移行がブロックされ、次のエラーが表示されます。
|
| CSCwo75831 |
FDM 管理対象デバイスの移行がブロックされ、次のエラーが表示されます。
|
| CSCwo75973 |
ASA の設定のパーシングがブロックされ、次のエラーが表示されます。 「NoneType」オブジェクトに属性「lower」がありません('NoneType' object has no attribute 'lower')」 |
| CSCwo77563 |
ASA の設定のパーシングがブロックされ、次のエラーが表示されます。 「NoneType」オブジェクトに属性「group」がありません('NoneType' object has no attribute 'group')」 |
| CSCwo78589 |
Cisco Secure Firewall 移行ツールでの ASA の移行において、クラウド提供型 Firewall Management Center の RA VPN 接続プロファイルを検出できません。 |
| CSCwo78916 |
Check Point(r80-r81)の移行でスタティックルートが移行されません。 |
| CSCwo78952 |
Cisco Secure Firewall 移行ツールでの ASA の移行がブロックされ、次のエラーが表示されます。
|
| CSCwo79149 |
ASA の移行ですべての BGP ネイバーが移行されません。 |
| CSCwo82777 |
クラウド提供型 Firewall Management Center に対する FDM が管理する Threat Defense 1120 デバイスのバージョン 7.2.7 の移行が失敗しました。失敗したものの、デバイスは クラウド提供型 Firewall Management Center に登録されました。しかし、インターフェイスへのセキュリティゾーンのマッピングとスタティックルートの設定が、クラウド提供型 Firewall Management Center のユーザーインターフェイスにありませんでした。 |
|
宛先ポートが設定されていない ASA の移行の場合、Cisco Secure Firewall 移行ツールは NAT の宛先ポートを追加します。 |
|
|
Threat Defense デバイスで BGP または EIGRP ポリシーを設定した ASA の移行がブロックされ、次のエラーが表示されます。
|
|
|
Cisco Secure Firewall 移行ツールでの ASA の移行がブロックされ、次のエラーが表示されます。
|
|
|
Cisco Secure Firewall 移行ツールでの ASA の移行がブロックされ、次のエラーが表示されます。
|
|
|
Cisco Secure Firewall 移行ツールでの ASA の移行において、次のエラーが表示されます。
|
|
|
Cisco Secure Firewall 移行ツールでの ASA の移行が、[設定の最適化、確認、検証(Optimize, Review and Validate Configuration)] > [リモートアクセスVPN(Remote Access VPN)] ウィンドウで AAA のキーの Excel シートをアップロードしているときブロックされ、次のエラーが表示されます。 「1 つ以上のエントリの Key または Confirm_key が同じではありません(Key or Confirm_key not the same for one or more entries)」 |
|
|
Cisco Secure Firewall 移行ツールでの ASA の移行において、RA VPN のプッシュ中に次のエラーが表示されます。 「文字列のフォーマット中に一部の引数が変換されませんでした(not all arguments converted during string formatting)」 |
|
|
Cisco Secure Firewall 移行ツールでの ASA の移行において、設定の検証中に次のエラーが表示されます。
|
|
|
Cisco Secure Firewall 移行ツールでの Fortinet の移行において、URL オブジェクトのプッシュ中にエラーが表示されます。 |
|
|
Cisco Secure Firewall 移行ツールでの Fortinet バージョン 5.0 の移行が、[設定の最適化、確認、検証(Optimize, Review and Validate Configuration)] ウィンドウで AnyConnect のファイルかトラストポイントいずれかの詳細を取得しているときに応答しなくなります。 |
|
|
Cisco Secure Firewall 移行ツールでの FDM 管理対象デバイスの移行において、次のエラーがスローされます。
|
|
|
デフォルトのスタティックルートは ASA の移行では無視されます。 |
|
|
FDM 管理対象デバイスの移行設定のパーシングがブロックされました。 |
|
|
Cisco Secure Firewall 移行ツールでの ASA の移行では、検証ページから s2s VPN トロポジを削除できず、インターフェイスのクリーンアップ中に次のエラーメッセージが表示されます。 「仮想トンネルインターフェイスのクリーニング中にエラーが発生しました(Error while cleaning Virtual Tunnel interfaces)」 |
|
|
Cisco Secure Firewall 移行ツールでの ASA の移行において、次のエラーがスローされます。 「アクセスルールのプッシュ中にブロックエラーが発生しました:リストインデックスが範囲外です(Blocked Error while pushing access rule: list index out of range)」 |
未解決の警告および解決済みの警告
このリリースで未解決の警告には、Cisco バグ検索ツールを使用してアクセスできます。この Web ベースツールから、この製品やその他のシスコハードウェアおよびソフトウェア製品でのバグと脆弱性に関する情報を保守するシスコ バグ トラッキング システムにアクセスできます。
(注) |
Cisco Bug Search Tool にログインしてこのツールを使用するには、Cisco.com アカウントが必要です。アカウントを持っていない場合は、 Cisco.com でアカウントに登録できます。バグ検索ツールの詳細については、「Bug Search Tool(BST)ヘルプおよび FAQ」を参照してください。 |
Cisco Secure Firewall 移行ツールの未解決および解決済みの警告の最新リストについては、未解決の警告および解決済みの警告ダイナミッククエリを使用してください。
関連資料
-
Navigating the Cisco Secure Firewall Migration Tool Documentation
-
Migrating ASA Firewall to Firewall Threat Defense with the Secure Firewall Migration Tool
-
移行ツールを使用した Cisco Secure Firewall Threat Defense への FDM 管理対象デバイスの移行
-
Migrating Check Point Firewall to Firewall Threat Defense with the Secure Firewall Migration Tool
-
Migrating Fortinet Firewall to Firewall Threat Defense with the Secure Firewall Migration Tool
-
Migrating Cisco Secure Firewall ASA to Cisco Multicloud Defense with the Migration Tool
-
Migrating Palo Alto Networks Firewall to Cisco Multicloud Defense with the Migration Tool
フィードバック