Firepower 移行ツールにようこそ

このドキュメントでは、Cisco Firepower 移行ツールに関する重要かつリリース固有の情報について説明します。Firepower のリリースに精通していて、移行プロセスを以前に経験したことがある場合でも、このドキュメントを読み、十分に理解していることを確認してください。

このリリースの新機能

このリリースでは、次の機能が追加されました。

表 1. このリリースの新機能

ファイアウォール

新機能

Fortinet ファイアウォール

  • Fortinet ファイアウォール OS バージョン 5.0 以降をサポートしています。

  • Firepower 移行ツールでは、次の Fortinet 設定要素を Firepower Threat Defense に移行できます。

    • Interfaces

    • ゾーン

    • スタティック ルート

    • ネットワークオブジェクトおよびグループ

    • サービスオブジェクトとグループ

    • アクセス コントロール リスト

    • NAT 依存オブジェクト(IPプール、仮想 IP)

    • NAT ルール

    • VDOM

    • 時間ベースオブジェクト:Firepower 移行ツールは、アクセスルールで参照される時間ベースオブジェクトを検出すると、その時間ベースオブジェクトを移行し、それぞれのアクセスルールにマッピングします。[Review and Validate Configuration] ページのルールに対してオブジェクトを確認します。

      (注)   
      時間ベースのオブジェクトは FMC バージョン 6.6 以降でサポートされています。

(注)  

  • リモート展開が有効になっている FMC/FTD 6.7 以降への ASA、Check Point、FortiNet、Palo Alto Networks ファイアウォールの移行は、Firepower 移行ツールでサポートされています。インターフェイスとルートの移行は手動で行う必要があります。

  • OKTA を使用したシスコのクレデンシャルによる継続的な認証および許可

    以前の Firepower Migration Tool の認証バージョンは、2021 年 5 月から廃止される可能性があります。


Firepower 移行ツールの履歴情報については、次を参照してください。

サポートされている構成

FortiNet ファイアウォールの移行では、次の設定要素がサポートされています。

  • ネットワークオブジェクトとグループ(ワイルドカード FQDN、ワイルドカードマスク、FortiNet ダイナミックオブジェクトを除く)

  • サービス オブジェクト

  • サービス オブジェクト グループ(ネストされたサービス オブジェクト グループを除く)


    (注)  

    Firepower Management Center ではネストはサポートされていないため、Firepower 移行ツールは参照されるルールの内容を拡張します。ただし、ルールは完全な機能で移行されます。
  • IPv4 および IPv6 FQDN オブジェクトとグループ

  • IPv6 変換サポート(インターフェイス、静的ルート、オブジェクト、ACL、および NAT)

  • アクセス ルール

  • NAT ルール

  • 静的ルート、移行されない ECMP ルート

  • 物理インターフェイス

  • サブインターフェイス(サブインターフェイス ID は移行時の VLAN ID と同じ番号に常に設定されます)

  • 集約インターフェイス(ポートチャネル)

  • Firepower 移行ツールは、個別の Firepower Threat Defense デバイスとしての FortiNet ファイアウォールからの個々の VDOM の移行をサポートします。

  • 時間ベースオブジェクト:Firepower 移行ツールは、アクセスルールで参照される時間ベースオブジェクトを検出すると、その時間ベースオブジェクトを移行し、それぞれのアクセスルールにマッピングします。[Review and Validate Configuration] ページのルールに対してオブジェクトを確認します。

    時間ベースのオブジェクトは、期間に基づいてネットワークアクセスを許可するアクセスリストタイプです。特定の時刻または特定の曜日に基づいてアウトバウンドトラフィックまたはインバウンドトラフィックを制限する必要がある場合に便利です。


    (注)  

    • 送信元の FortiNet からターゲットの FTD にタイムゾーン設定を手動で移行する必要があります。

    • 時間ベースのオブジェクトは非 FTD フローではサポートされていないため、無効になります。

    • 時間ベースのオブジェクトは FMC バージョン 6.6 以降でサポートされています。


    FortiNet のハードウェアまたはソフトウェアスイッチの論理インターフェイスは、FTD L3 インターフェイスとして移行されます。Firepower 移行ツールを使用してハードウェアまたはソフトウェアスイッチ メンバー インターフェイスは移行されません。


    (注)  

    6.7 FTD デバイスへの移行は現在サポートされていません。そのため、デバイスに FMC アクセス用のデータインターフェイスで設定されている場合、移行が失敗する可能性があります。

Firepower 移行ツールのサポートされている設定の詳細については、次を参照してください。

移行ワークフロー

Fortinet ファイアウォールの場合

デバイスが FortiManager で管理されている場合は、Fortinet ファイアウォールから設定を抽出する必要があります。関連するデバイス設定は FortiManager から抽出することもできます。

詳細については、 『Fortinet User Guide』の「Export Fortinet Firewall Configuration from Fortinet Firewall GUI」および「Export Fortinet Firewall Configuration from Fortimanager」のトピックを参照してください。

Firepower 移行ツールの移行ワークフローの詳細については、次を参照してください。

移行レポート

Firepower 移行ツールは、次のレポートを移行の詳細とともに HTML 形式で提供します。

  • 移行前のレポート

  • 移行後のレポート

Firepower 移行ツールの機能

Firepower 移行ツールは、次の機能を提供します。

  • 分析およびプッシュ操作を含む移行全体の検証

  • オブジェクト再利用機能

  • オブジェクト競合の解決

  • インターフェイス マッピング

  • ターゲット Firepower Threat Defense デバイスのサブインターフェイス制限チェック

  • サポートされているプラットフォーム

    :同じハードウェアでの移行(X から X デバイスへの移行)

    :X から Y デバイスへの移行(Y に多数のインターフェイスが存在)

のプラットフォームの要件 FirePOWER 移行ツール

Firepower 移行ツールには、次のインフラストラクチャとプラットフォームの要件があります。

  • Windows 10 64 ビット オペレーティング システムまたは MacOS バージョン 10.13 以降

  • Google Chrome がシステムのデフォルト ブラウザ

  • システムごとに Firepower 移行ツールのシングルインスタンス

  • Firepower Management Center と Firepower Threat Defense がバージョン 6.2.3.3 以降であること


(注)  

新しいバージョンをダウンロードする前に、以前のビルドを削除する。

資料

このリリースでは次のドキュメントが提供されます。

  • 『Firepower 移行ツール リリース ノート』

  • 『Migrating ASA to Firepower Threat Defense with the Firepower Migration Tool』

  • 『Migrating Check Point Firewall to Firepower Threat Defense with the Firepower Migration Tool』

  • 『Migrating Palo Alto Networks Firewall to Firepower Threat Defense with the Firepower Migration Tool』

  • Migrating Fortinet Firewall to Firepower Threat Defense with the Firepower Migration Tool

  • Navigating the Cisco Firepower Migration Tool Documentation

  • Cisco Firepower Migration Tool Compatibility Guide

  • Cisco Firepower Migration Tool Error Messages

  • 『Open Source Used in Cisco Firepower Migration Tool』

未解決のバグおよび解決されたバグ

このリリースで未解決のバグには、Cisco バグ検索ツールを使用してアクセスできます。この Web ベース ツールから、この製品やその他のシスコハードウェアおよびソフトウェア製品でのバグと脆弱性に関する情報を保守するシスコ バグ トラッキング システムにアクセスできます。


(注)  

Cisco Bug Search Tool にログインしてこのツールを使用するには、Cisco.com アカウントが必要です。アカウントを持っていない場合は、 Cisco.com でアカウントに登録できます。バグ検索ツールの詳細については、「バグ検索ツールのヘルプ(Bug Search Tool Help)」[英語] を参照してください。

Firepower 移行ツールの未解決および解決済みの問題の最新のリストについては、次のダイナミック クエリを使用してください。