Check Point の Threat Defense への移行ワークフロー

エンドツーエンドの手順

次のフローチャートは、Cisco Secure Firewall 移行ツールを使用して、Check Point ファイアウォールを Threat Defense に移行するワークフローを示しています。

ワークスペース

手順

Local Machine

Cisco.com から Cisco Secure Firewall 移行ツールをダウンロードします。詳細な手順については、「Cisco.com からの Cisco Secure Firewall 移行ツールのダウンロード」を参照してください。

Check Point の Web 可視化ツール

(任意)r77 の Check Point 構成ファイルをエクスポートします。r77 の Check Point 構成ファイルをエクスポートするには、r77 の Check Point 構成ファイルのエクスポートを参照してください。Cisco Secure Firewall 移行ツールの Live Connect 機能を使用して r80 の構成ファイルをエクスポートする場合は、手順 5 にスキップします。

Local Machine

ローカルマシンで Cisco Secure Firewall 移行ツールを起動し、要件に基づいて、[送信元ファイアウォールベンダー(Source Firewall Vendor)] ドロップダウンで [Check Point(r75 ~ r77)(Check Point (r75-r77))] または [Check Point(r80 ~ r81)(Check Point (r80-r81))] を選択します。詳細については、「Cisco Secure Firewall 移行ツールの起動」を参照してください。

Cisco Secure Firewall 移行ツール

(任意)Check Point(r75 ~ r77)からデバイス設定をエクスポートします。セキュアゲートウェイ接続を介して、設定エクストラクタを使用して r77 のデバイス設定をエクスポートするには、設定エクストラクタを使用したデバイス設定のエクスポートを参照してください。

Local Machine

(任意)エクスポートされたファイルを圧縮します。r77 用にエクスポートされたすべての構成ファイルを選択し、それらを zip ファイルに圧縮します。詳細な手順については、「エクスポートされたファイルの圧縮」を参照してください。

Local Machine

構成抽出のための Check Point(r80)デバイスの事前設定:Firewall の Live Connect を使用する前に、Check Point(r80)デバイスでログイン情報を構成する必要があります。Check Point(r80)デバイスのログイン情報の事前設定については、「構成抽出のための Check Point(r80)デバイスの事前設定」を参照してください。この手順は、r80 デバイスの構成ファイルの移行を計画している場合にのみ必要です。r77 デバイスの構成を移行する予定の場合は、手順 8 にスキップします。

Cisco Secure Firewall 移行ツール

(任意)ライブ Check Point(r80)に接続し、構成ファイルをエクスポートします。Live Connect 機能を使用して r80 の Check Point 構成ファイルをエクスポートするには、「r80 の Check Point 構成ファイルをエクスポートする手順」を参照してください。

Cisco Secure Firewall 移行ツール

(任意)Check Point 構成ファイルをアップロードします。Check Point 構成ファイルのアップロードの詳細な手順については、「Check Point 構成ファイルのアップロード」を参照してください。

Cisco Secure Firewall 移行ツール

このステップでは、移行の接続先パラメータを指定できます。詳細な手順については、「Cisco Secure Firewall 移行ツールの接続先パラメータの指定」を参照してください。

Security Cloud Control

(オプション)この手順はオプションであり、クラウドで提供される Firewall Management Center を移行先管理センターとして選択した場合にのみ必要です。詳細な手順については、「Cisco Secure Firewall 移行ツールの接続先パラメータの指定、ステップ 1」を参照してください。

Cisco Secure Firewall 移行ツール

移行前レポートをダウンロードした場所に移動し、レポートを確認します。詳細な手順については、「移行前レポートの確認」を参照してください。

Cisco Secure Firewall 移行ツール

Cisco Secure Firewall 移行ツールを使用すると、Check Point 構成を Threat Defense インターフェイスにマッピングできます。詳細な手順については、「Check Point 構成と Cisco Secure Firewall Device Manager Threat Defense インターフェイスのマッピング」を参照してください。

Cisco Secure Firewall 移行ツール

Check Point 構成が正しく移行されるように、Check Point インターフェイスを適切な Threat Defense インターフェイス オブジェクト、セキュリティゾーン、およびインターフェイスグループにマッピングします。詳細な手順については、「セキュリティゾーンとインターフェイスグループへの Check Point インターフェイスのマッピング」を参照してください。

Cisco Secure Firewall 移行ツール

構成を慎重に確認し、それが適切で Threat Defense デバイスの構成内容と一致することを確認します。詳細な手順については、「移行する構成の最適化、確認および検証」を参照してください。

Cisco Secure Firewall 移行ツール

移行プロセスのこのステップでは、移行された構成を管理センターに送信し、移行後レポートをダウンロードできるようにします。詳細な手順については、「移行された構成の Management Center へのプッシュ」を参照してください。

Local Machine

移行後レポートをダウンロードした場所に移動し、レポートを確認します。詳細な手順については、「移行後レポートの確認と移行の完了」を参照してください。

Management Center

移行した構成を管理センターから Threat Defense に展開します。詳細な手順については、「移行後レポートの確認と移行の完了」を参照してください。

移行の前提条件

チェックポイント 構成を移行する前に、次のアクティビティを実行します。

Cisco.com からの Cisco Secure Firewall 移行ツールのダウンロード

始める前に

Cisco.com へのインターネット接続が可能な Windows 10 64 ビットまたは macOS バージョン 10.13 以降のマシンが必要です。

手順

ステップ 1

コンピュータで、Cisco Secure Firewall 移行ツール用のフォルダを作成します。

このフォルダには、他のファイルを保存しないことをお勧めします。Cisco Secure Firewall 移行ツールを起動すると、ログ、リソース、およびその他すべてのファイルがこのフォルダに配置されます。

(注)  

 
Cisco Secure Firewall 移行ツールの最新バージョンをダウンロードする場合は、必ず新しいフォルダを作成し、既存のフォルダは使用しないでください。

ステップ 2

https://software.cisco.com/download/home/286306503/type を参照し、[Firewall移行ツール(Firewall Migration Tool)] をクリックします。

上記のリンクをクリックすると、[Firewall NGFWバーチャル(Firewall NGFW Virtual)] の [Cisco Secure Firewall移行ツール(Firewall Migration Tool)] に移動します。脅威に対する防御 デバイスのダウンロード領域から Cisco Secure Firewall 移行ツールをダウンロードすることもできます。

ステップ 3

Cisco Secure Firewall 移行ツールの最新バージョンを、作成したフォルダにダウンロードします。

Windows 用または macOS マシン用の適切な Cisco Secure Firewall 移行ツール実行可能ファイルをダウンロードします。

次のタスク

Check Point 構成ファイルのエクスポート

Check Point 構成ファイルのエクスポート

次の Check Point 構成をエクスポートできます。

r77 の Check Point 構成ファイルのエクスポート

r77 の Check Point 構成ファイルをエクスポートするには、次の手順を実行します。

Check Point Web Visualization Tool(WVT)を使用した構成のエクスポート
手順

ステップ 1

Check Point Management Server にアクセスできるワークステーションでコマンドプロンプトを開きます。

ステップ 2

Check Point Firewall バージョンに適した Check Point Portal から WVT をダウンロードします。

ステップ 3

WVT zip ファイルを解凍します。

ステップ 4

Check Point WVT ツールが抽出された同じルートフォルダの下に新しいサブフォルダを作成します。

ステップ 5

コマンドプロンプトで、ディレクトリを WVT が保存されているディレクトリに変更し、次のコマンドを実行します。

C:\Web_Visualisation_Tool> cpdb2web.exe [-s management_server] [-u admin_name | -a certificate_file] [-p password] [-o output_file_path] [-t table_names] [-c | -m gateway | -l package_names] [-gr] [-go] [-w Web_Visualization_Tool_installation_directory]

次に例を示します。 

C:\Web_Visualisation_Tool> cpdb2web.exe -s 172.16.0.1  -u admin -p admin123 -o  Outputs

次のコマンドを実行すると、合計 7 つのファイルが Outputs ディレクトリに作成されます。

コマンド

説明

C:\Web_Visualisation_Tool

WVT ツールのルートディレクトリ。

172.16.0.1

Check Point Management Server の IP アドレス。

admin

Check Point Management Server のユーザ名。

Admin123

Check Point Management Server のパスワード。

出力

出力ファイルを保存する相対パス。

(注)  

 
セキュリティポリシーおよび NAT ポリシーファイルの名前は、それぞれ Security_Policy.xml および NAT_Policy.xml である必要があります。ファイル名が異なる場合は、手動で名前を変更します。

複数のセキュリティおよび NAT ポリシーファイルがある場合は、移行する Check Point デバイスの Security_Policy.xml および NAT_Policy.xml ファイルのみを選択して保持してください。

次のタスク

FMT-CP-Config-Extractor_v2.3.4-5381 ツールを使用したデバイス構成のエクスポート

設定エクストラクタを使用したデバイス設定のエクスポート
手順

ステップ 1

[送信元設定の選択(Select Source Configuration)] ページで、[Check Point(r75–r77)] を選択し、[移行の開始(Start Migration)] をクリックします。

ステップ 2

[設定エクストラクタ(Configuration Extractor)] ペインで、Cisco Secure Firewall 移行ツールを使用してポリシーを移行する Check Point Security Gateway への [接続(Connect)] をクリックします。

接続するには、次の情報が必要です。

  1. [IP アドレス(IP Address)]

  2. ポート

  3. Admin Username

  4. Admin Password

  5. エキスパートパスワード

  6. (任意) 仮想 ID 番号

ステップ 3

ローカルマシンにダウンロードされた networking.txt ファイルが表示されるまで待ちます。

次のコマンドは、設定エクストラクタによってバックグラウンドで実行され、networking.txt ファイルとしてダウンロードされます。

  • show hostname

  • show version product

  • show interfaces

  • fw vsx stat

  • show management interface

  • show configuration bonding

  • show configuration bridging

  • show configuration interface

  • show configuration static-route

  • show ipv6-state

  • show configuration ipv6 static-route

  • netstat -rnv

たとえば、172.16.0.1 は、ポリシーを移行する Check Point Firewall Gateway の IP アドレスです。

ステップ 4

仮想 ID を持つ Check Point VSX(Virtual System eXtension)バージョン R77 から構成をエクスポートしようとしている場合、次のコマンドはバックグラウンドで実行されます。

  • show hostname

  • show version product

  • show interfaces

  • fw vsx stat

  • fw vsx stat <vsid>

  • set virtual system <vsid>

    ヒント

     

    vsid は、仮想システム ID を示します。

  • fw getifs

  • show management interface

  • show configuration bonding

  • show configuration bridging

  • show configuration interface

  • show configuration static-route

  • show ipv6-state

  • show configuration ipv6 static-route

  • netstat -rnv

ステップ 5

.txt ファイルを Outputs フォルダに移動します。

次のタスク

エクスポートされたファイルの圧縮

エクスポートされたファイルの圧縮
手順

8 つすべてのファイル(Web Visualization Tool(WVT)からの 7 つのファイルと、設定エクストラクタからの 1 つの .txt ファイル)を選択し、1 つの zip ファイルに圧縮します。

(注)  

 
移行用のファイルを圧縮する前に、Security_Policy.xml および NAT_Policy.xml のファイルが Threat Defense に移行する Check Point デバイス用であることを確認します。

(注)  

 
.tar またはその他の圧縮ファイルタイプはサポートされていません。
次のタスク

Check Point 構成ファイルのアップロード

移行の実行

Cisco Secure Firewall 移行ツールの起動

このタスクは、デスクトップバージョンの Cisco Secure Firewall 移行ツールを使用している場合にのみ適用されます。Security Cloud Control でホストされている移行ツールのクラウドバージョンを使用している場合は、「Check Point 構成ファイルのアップロード」「」に進みます。


(注)  
Cisco Secure Firewall 移行ツールを起動すると、別のウィンドウでコンソールが開きます。移行が進むのに合わせて、Cisco Secure Firewall 移行ツールの現在のステップの進行状況がコンソールに表示されます。画面にコンソールが表示されない場合は、Cisco Secure Firewall 移行ツールの背後にある可能性があります。

始める前に

手順

ステップ 1

コンピュータで、Cisco Secure Firewall 移行ツールをダウンロードしたフォルダに移動します。

ステップ 2

次のいずれかを実行します。

  • Windows マシンで、Cisco Secure Firewall 移行ツールの実行可能ファイルをダブルクリックして、Google Chrome ブラウザで起動します。

    プロンプトが表示されたら、[はい(Yes)] をクリックして、Cisco Secure Firewall 移行ツールがシステムに変更を加えることができるようにします。

    Cisco Secure Firewall 移行ツールは、すべての関連ファイルを作成し、Cisco Secure Firewall 移行ツールの存在するフォルダに保存します(ログおよびリソースのフォルダを含む)。

  • Mac では、Cisco Secure Firewall 移行ツールの *.command ファイルを目的のフォルダに移動し、ターミナルアプリケーションを起動して、Cisco Secure Firewall 移行ツールがインストールされているフォルダを参照し、次のコマンドを実行します。

    # chmod 750 Firewall_Migration_Tool-version_number.command

    # ./Firewall_Migration_Tool-version_number.command

    Cisco Secure Firewall 移行ツールは、すべての関連ファイルを作成し、Cisco Secure Firewall 移行ツールの存在するフォルダに保存します(ログおよびリソースのフォルダを含む)。

    ヒント

     
    Cisco Secure Firewall 移行ツールを開こうとすると、警告ダイアログが表示されます。これは、身元が明らかな開発者によって Cisco Secure Firewall 移行ツールが Apple に登録されていないためです。身元不明の開発者によるアプリケーションを開く方法については、「開発元が不明な Mac アプリを開く」を参照してください。

    (注)  

     

    MAC のターミナルの zip メソッドを使用します。

ステップ 3

[エンドユーザライセンス契約(End User License Agreement)] ページで、テレメトリ情報をシスコと共有する場合は、[Cisco Success Network と情報を共有することに同意(I agree to share data with Cisco Success Network)] をクリックし、それ以外の場合は [後で行う(I'll do later)] をクリックします。

Cisco Success Network に統計を送信することに同意すると、Cisco.com アカウントを使用してログインするように求められます。Cisco Success Network に統計を送信しないことを選択した場合は、ローカルログイン情報を使用して Cisco Secure Firewall 移行ツールにログインします。

ステップ 4

Cisco Secure Firewall 移行ツールのログインページで、次のいずれかを実行します。

  • Cisco Success Network と統計を共有するには、[CCOでログイン(Login with CCO)] リンクをクリックし、シングルサインオンログイン情報を使用して Cisco.com アカウントにログインします。Cisco.com アカウントがない場合は、Cisco.com のログインページで作成します。

    Cisco.com アカウントを使用してログインしている場合は、ステップ 8 に進みます。

  • インターネットにアクセスできないエアギャップネットワークにファイアウォールを展開した場合は、Cisco TAC に連絡して、管理者のログイン情報で動作するビルドを入手してください。このビルドでは使用状況の統計がシスコに送信されず、TAC がログイン情報を提供できることに注意してください。

ステップ 5

[パスワードのリセット(Reset Password)] ページで、古いパスワードと新しいパスワードを入力し、新しいパスワードを確認します。

新しいパスワードは 8 文字以上で、大文字と小文字、数字、および特殊文字を含める必要があります。

ステップ 6

[リセット(Reset)] をクリックします。

ステップ 7

新しいパスワードでログインします。

(注)  

 
パスワードを忘れた場合は、既存のすべてのデータを <migration_tool_folder> から削除し、Cisco Secure Firewall 移行ツールを再インストールします。

ステップ 8

移行前チェックリストを確認し、記載されているすべての項目を完了していることを確認します。

チェックリストの項目を 1 つ以上完了していない場合は、完了するまで続行しないでください。

ステップ 9

[新規移行(New Migration)] をクリックします。

ステップ 10

[ソフトウェアアップデートの確認(Software Update Check)] 画面で、Cisco Secure Firewall 移行ツールの最新バージョンを実行しているかどうかが不明な場合は、リンクをクリックし、Cisco.com でバージョンを確認します。

ステップ 11

[続行(Proceed)] をクリックします。

次のタスク

次のステップに進むことができます。

Cisco Secure Firewall 移行ツールでのデモモードの使用

Cisco Secure Firewall 移行ツールを起動し、[送信元設定の選択(Select Source Configuration)] ページで、[移行の開始(Start Migration)] を使用して移行を開始するか、[デモモード(Demo Mode)] に入るかを選択できます。

デモモードでは、ダミーデバイスを使用してデモ移行を実行し、実際の移行フローがどのようになるかを可視化できます。移行ツールは、[送信元ファイアウォールベンダー(Source Firewall Vendor)] ドロップダウンでの選択に基づいてデモモードをトリガーします。構成ファイルをアップロードするか、ライブデバイスに接続して移行を続行することもできます。デモ FMC デバイスやデモ FTD デバイスなどのデモのソースデバイスとターゲットデバイスを選択して、デモ移行の実行を進められます。


注意    

[デモモード(Demo Mode)] を選択すると、既存の移行ワークフローがあれば消去されます。[移行の再開(Resume Migration)] にアクティブな移行があるときにデモモードを使用すると、アクティブな移行は失われ、デモモードを使用した後に最初から再開する必要があります。

また、実際の移行ワークフローと同様に、移行前レポートのダウンロードと確認、インターフェイスのマッピング、セキュリティゾーンのマッピング、インターフェイスグループのマッピングなどのすべてのアクションを実行することもできます。ただし、デモ移行は設定の検証までしか実行できません。これはデモモードにすぎないため、選択したデモターゲットデバイスに設定をプッシュすることはできません。検証ステータスと概要を確認し、[デモモードの終了(Exit Demo Mode)] をクリックして [送信元設定の選択(Select Source Configuration)] ページに再度移動し、実際の移行を開始できます。


(注)  

デモモードでは、設定のプッシュを除く Cisco Secure Firewall 移行ツールのすべての機能セットを活用して、実際の移行を行う前にエンドツーエンドの移行手順のトライアルを実行できます。

r80 の Check Point 構成ファイルのエクスポート


(注)  

Check Point r80 構成のエクスポートは、Cisco Secure Firewall 移行ツールの Live Connect 機能でのみサポートされます。

Check Point デバイスで移行のために必要なログイン情報を構成したり、Check Point 構成ファイルをエクスポートしたりするには、次の手順を実行します。

Live Connect を使用した構成抽出のための Check Point(r80)デバイスの事前設定

次のいずれかの手順を使用して、移行前に Check Point(r80)デバイスでログイン情報を構成できます。

分散 Check Point 展開からのエクスポート
Check Point 設定を抽出するには、Cisco Secure Firewall 移行ツールの Live Connect を使用する前に、Check Point(r80)デバイスでログイン情報を構成する必要があります。

分散 Check Point 展開でのログイン情報事前設定手順には、次のステップが含まれます。

手順

ステップ 1

Gaia Console Check Point Security Gateway で、次を作成します。

  1. Web ブラウザで、HTTPS セッション経由で Check Point Gaia Console アプリケーションを開き、Check Point Security Gateway に接続します。

  2. [ユーザー管理(User Management)] タブに移動し、[ユーザー(Users)] > [追加(Add)]を選択します。

  3. [ユーザの追加(Add User)] ウィンドウで、次の詳細を使用して新しいユーザ名とパスワードを作成します。

    • [シェル(Shell)] ドロップダウンから、/etc/cli.sh を選択します。

    • [利用可能なロール(Available Roles)] から、adminRole を選択します。

    • 残りのフィールドはデフォルト値のままにします。

    • [OK] をクリックします。

  4. Check Point Security Gateway に SSH 接続し、次のコマンドを使用して新しいパスワードを作成します。

    set expert-password <password>

    (注)  

     

    • Check Point デバイスでエキスパートパスワードをすでに設定している場合は、それを再利用します。

    • 手順 3 に示すように、[Check Point Security Gateway に接続(Connect to Check Point Security Gateway)] ページでこれらのログイン情報が必要となります。

    エキスパートパスワードを構成したら、Check Point r80 Gateway でのログイン情報の事前設定が完了します。

    詳細については、図 3 を参照してください。

ステップ 2

r80 の Check Point Security Manager でユーザ名とパスワードを作成します。

  1. SmartConsole アプリケーションで、次の手順を実行します。

    1. Check Point Security Manager にログインします。

    2. [Manage and Settings] > [Permissions and Administrators] > [Administrators]に移動します。

    3. * をクリックして新しいユーザ名とパスワードを作成し、次の手順を実行します。

      • [認証方式(Authentication Method)] に [Check Point パスワード(Check Point Password)] を選択します。

      • [Set New Password] をクリックして、新しいパスワードを設定します。

        (注)  

         

        [ユーザは次回ログイン時にパスワードの変更が必要(User Must Change Password on the Next Login)] チェックボックスはオンにしないでください。

      • [権限プロファイル(Permission Profile)] に [スーパーユーザ(Super User)] を選択します。

      • [有効期限(Expiration)] に [なし(Never)] を選択します。

    4. [パブリッシュ(Publish)] をクリックして、Check Point SmartConsole アプリケーションの構成変更を保存します。

  2. Check Point Security Manager の Gaia Console で、次の手順を実行します。

    (注)  

     

    ここで作成するユーザ名とパスワードは、ステップ 2a で SmartConsole アプリケーションで作成したものと同じであること確認してください。

    1. Web ブラウザで、HTTPS セッション経由で Gaia Console アプリケーションを開き、Check Point Security Manager に接続します。

    2. [User Management] タブに移動し、[Users] > [Add]を選択します。

    3. SmartConsole アプリケーションのステップ 2a(3)で作成したものと同じユーザ名とパスワードを作成します。

      • [シェル(Shell)] ドロップダウンから、/bin/bash を選択します。

      • [利用可能なロール(Available Roles)] ドロップダウンから、adminRole を選択します。

      • 残りのフィールドはデフォルト値のままにします。

      • [OK] をクリックします。

    4. Check Point Security Manager に SSH 接続し、次のコマンドを使用してエキスパートパスワードを作成します。

      set expert-password <password>

      (注)  

       

      • エキスパートパスワードをすでに設定している場合は、そのパスワードを使用できます。

      • ステップ 2b(3)ステップ 2a(3) で作成したユーザ名とパスワードは同じである必要があります。

    分散展開の Check Point での、Check Point Security Manager のログイン情報の事前設定が完了しました。

    手順 4 に示すように、[Check Point Security Manager に接続(Connect to Check Point Security Manager)] ページでこれらのログイン情報が必要となります。

Check Point Smart Manager でカスタム API ポートを使用している場合は、「Check Point r80 のカスタム API ポート」を参照してください。

次のタスク

r80 の Check Point 構成ファイルのエクスポート

スタンドアロン Check Point 展開からのエクスポート
Check Point 設定を抽出するには、Cisco Secure Firewall 移行ツールの Live Connect を使用する前に、Check Point(r80)デバイスでログイン情報を構成する必要があります。

スタンドアロン Check Point 展開でのログイン情報事前設定手順には、次のステップが含まれます。

手順

ステップ 1

Web ブラウザで、Gaia Console アプリケーションを開き、Check Point Security Gateway と Check Point Security Manager の両方を管理するスタンドアロン Check Point デバイスに接続します。

ステップ 2

[ユーザー管理(User Management)] タブに移動し、[ユーザー(Users)] > [追加(Add)]を選択します。

  1. [ユーザの追加(Add User)] ウィンドウで、次の詳細を使用して新しいユーザ名とパスワードを作成します。

    • [シェル(Shell)] ドロップダウンから、/etc/cli.sh を選択します。

    • [利用可能なロール(Available Roles)] ドロップダウンから、adminRole を選択します。

    • 残りのフィールドはデフォルト値のままにします。

    • [OK] をクリックします。

    手順 3 に示すように、[Check Point Security Gateway に接続(Connect to Check Point Security Gateway)] ページでこれらのログイン情報が必要となります。

    詳細については、図 3 を参照してください。

  2. [ユーザの追加(Add User)] ウィンドウで、次の詳細を使用して別のユーザ名とパスワードを作成します。

    • [シェル(Shell)] ドロップダウンから、/bin/bash を選択します。

    • [利用可能なロール(Available Roles)] ドロップダウンから、adminRole を選択します。

    • 残りのフィールドはデフォルト値のままにします。

    • [OK] をクリックします。

ステップ 3

Check Point デバイス上の r80 用 SmartConsole アプリケーションで、次を作成します。

(注)  

 

ここで作成するユーザ名とパスワードは、前のステップで Check Point Gaia Console で作成したものと同じであること確認してください。

  1. Check Point デバイスの SmartConsole アプリケーションにログインします。

  2. [Manage and Settings] > [Permissions and Administrators] > [Administrators]に移動します。

  3. * をクリックして、次の詳細を使用して新しいユーザ名とパスワードを作成します。

    • [認証方式(Authentication Method)] に [Check Point パスワード(Check Point Password)] を選択します。

    • [Set New Password] をクリックして、新しいパスワードを設定します。

      (注)  

       

      [ユーザは次回ログイン時にパスワードの変更が必要(User Must Change Password on the Next Login)] チェックボックスはオンにしないでください。

    • [権限プロファイル(Permission Profile)] に[スーパーユーザ(Super User)] を選択します。

    • [有効期限(Expiration)] に [なし(Never)] を選択します。

    ステップ 2 のステップ b とステップ 3 のステップ c で作成したユーザ名とパスワードは同じである必要があります。

    手順 4 に示すように、[Check Point Security Manager に接続(Connect to Check Point Security Manager)] ページでこれらのログイン情報が必要となります。

  4. [パブリッシュ(Publish)] をクリックして、Check Point SmartConsole アプリケーションの構成変更を保存します。

ステップ 4

Check Point デバイスに SSH 接続し、次のコマンドを使用してエキスパートパスワードを作成します。

set expert-password <password>

(注)  

 

  • Check Point デバイスでエキスパートパスワードをすでに設定している場合は、それを再利用します。

  • ステップ 2 のステップ b とステップ 3 のステップ c で作成したユーザ名とパスワードは同じである必要があります。

スタンドアロン展開の Check Point デバイスでのログイン情報の事前設定が完了しました。

Check Point Smart Manager でカスタム API ポートを使用している場合は、「Check Point r80 のカスタム API ポート」を参照してください。

次のタスク

r80 の Check Point 構成ファイルのエクスポート

マルチドメイン Check Point 展開からのエクスポート
Check Point 設定を抽出するには、Cisco Secure Firewall 移行ツールの Live Connect を使用して、Check Point(r80)デバイスでログイン情報を構成する必要があります。

マルチドメイン Check Point 展開でのログイン情報事前設定手順には、次のステップが含まれます。

手順

ステップ 1

Gaia Console Check Point Security Gateway で、次を作成します。

  1. Web ブラウザで、HTTPS セッション経由で Gaia Console アプリケーションを開き、Check Point Security Gateway に接続します。

  2. [User Management] タブに移動し、[Users] > [Add]を選択します。

  3. [ユーザの追加(Add User)] ウィンドウで、次の詳細を使用して新しいユーザ名とパスワードを作成します。

    • [シェル(Shell)] ドロップダウンから、/etc/cli.sh を選択します。

    • [利用可能なロール(Available Roles)] ドロップダウンから、adminRole を選択します。

    • 残りのフィールドはデフォルト値のままにします。

    • [OK] をクリックします。

  4. Check Point Security Gateway に SSH 接続し、次のコマンドを使用して新しいパスワードを作成します。

    set expert-password <password>

    Check Point Security Gateway でのマルチドメイン展開用のログイン情報の事前設定が完了しました。

  5. (任意) Virtual System Extension(VSX)デバイスから構成をエクスポートする場合、[仮想システムID(Virtual System ID)] チェックボックスをオンにして、仮想システム ID を入力できるようにします。

    図 1. Checkpoint Security Gateway への接続:マルチドメイン展開

ステップ 2

Check Point Security Manager でユーザ名とパスワードを作成します。

  1. SmartConsole(mds)アプリケーションで、次の手順を実行します。

    1. Check Point Security Manager にログインします。

    2. [Manage and Settings] > [Permissions and Administrators] > [Administrators]に移動します。

    3. * をクリックして、次の詳細を使用して新しいユーザ名とパスワードを作成します。

      • [認証方式(Authentication Method)] に [Check Point パスワード(Check Point Password)] を選択します。

      • [Set New Password] をクリックして、新しいパスワードを設定します。

        (注)  

         

        [ユーザは次回ログイン時にパスワードの変更が必要(User Must Change Password on the Next Login)] チェックボックスはオンにしないでください。

      • [権限プロファイル(Permission Profile)] に[マルチドメインスーパーユーザ(Multi-domain Super User)] を選択します。

      • [有効期限(Expiration)] に [なし(Never)] を選択します。

    4. [パブリッシュ(Publish)] をクリックして、Check Point SmartConsole アプリケーションの構成変更を保存します。

      Check Point Smart Manager でカスタム API ポートを使用している場合は、「Check Point r80 のカスタム API ポート」を参照してください。

  2. Check Point Security Manager の Gaia Console で、次の手順を実行します。

    (注)  

     

    ここで作成するユーザ名とパスワードは、ステップ 2a(3) で SmartConsole アプリケーションで作成したものと同じであること確認してください。

    1. Web ブラウザで、HTTPS セッション経由で Gaia Console アプリケーションを開き、Check Point Security Manager に接続します。

    2. [User Management] タブに移動し、[Users] > [Add]を選択します。

    3. ステップ 2a(3)で SmartConsole アプリケーションで作成したものと同じユーザ名とパスワードを作成します。

      • [シェル(Shell)] ドロップダウンから、/bin/bash を選択します。

      • [利用可能なロール(Available Roles)] ドロップダウンから、adminRole を選択します。

      • 残りのフィールドはデフォルト値のままにします。

      • [OK] をクリックします。

    4. Check Point Security Manager に SSH 接続し、次のコマンドを使用して新しいパスワードを作成します。

      set expert-password <password>

      (注)  

       

      • Check Point デバイスでエキスパートパスワードをすでに設定している場合は、それを再利用します。

      • ステップ 2a(3)ステップ 2b(3)で作成したユーザ名とパスワードは同じである必要があります。

    マルチドメイン展開の Check Point Security Manager でのログイン情報の事前設定が完了しました。

    Live Connectに接続するには、図 2 のようにログイン情報が必要です。

    図 2. Checkpoint Security Manager への接続:マルチドメイン展開

    (注)  

     

    • Check Point Smart Manager でカスタム API ポートを使用している場合は、「Check Point r80 のカスタム API ポート」を参照してください。

    • マルチドメイン展開用のグローバル ポリシー パッケージは取得できません。したがって、Check Point CMA の構成の一部として構成されたオブジェクト、ACE ルール、および NAT ルールは、エクスポートおよび移行のみ行われます。

次のタスク

r80 の Check Point 構成ファイルのエクスポート

Check Point(r80)Security Manager にカスタム API ポートを使用しますか。

(注)  

Check Point Smart Manager でカスタム API ポートを使用している場合は、次の手順を実行します。

  • [Check Point Security Manager] ページの [Check Point マルチドメイン展開(Check Point Multi-domain Deployment)] チェックボックスをオンにします。

  • マルチドメイン展開を使用している場合は、Check Point CMA のIP アドレスと API ポートの詳細を追加します。

  • 一般的な展開の Check Point Security Manager の場合、Check Point Security Manager の IP アドレスを保持し、カスタム API ポートの詳細を入力します。

r80 の Check Point 構成ファイルをエクスポートする手順

始める前に
Check Point デバイスで以下を事前設定する必要があります。移行前に Check Point(r80)デバイスでログイン情報を構成する詳細については、「Live Connect を使用した構成抽出のための Check Point(r80)デバイスの事前設定」を参照してください。

(注)  

  • Live Connect を使用して Check Point(r80)構成を抽出することを推奨します。

  • Cisco Secure Firewall 移行ツールで構成されていない Check Point(r80)構成を使用すると、構成がサポート対象外として移行されたり、部分的に移行されたり、移行が失敗したりします。

    構成のエクスポートの情報が不完全な場合、特定の構成は移行されず、サポート対象外としてマークされます。

r80 の Check Point 構成ファイルをエクスポートするには、次の手順を実行します。

手順

ステップ 1

[Select Source Config] ページから [Check Point (r80)] を選択します。

ステップ 2

[接続(Connect)] をクリックします。

(注)  

 
Live Connect は、Check Point(r80)でのみ使用できます。

ステップ 3

Check Point Security Gateway に接続します。次の手順を実行します。

  1. Check Point r80 Security Gateway に次のように入力します。

    • IP アドレス

    • SSH ポート

    • Admin Username

    • Admin Password

    • エキスパートパスワード

    図 3. Check Point Security Gateway への接続

  2. [ログイン(Login)] をクリックします。

    Cisco Secure Firewall 移行ツールは、インターフェイス構成やルート構成などのデバイス固有の構成を含む networking.txt ファイルを生成します。Cisco Secure Firewall 移行ツールの現在のセッションのローカルディレクトリに networking.txt ファイルを保存します。

ステップ 4

Check Point Security Manager に接続します。次の手順を実行します。

  1. Check Point r80 Security Manager に次のように入力します。

    • IP アドレス

    • SSH ポート

    • スマートコンソールのユーザ名

    • スマートコンソールのパスワード

    • エキスパートパスワード

    図 4. Check Point Security Manager への接続

  2. [ログイン(Login)] をクリックします。

    Cisco Secure Firewall 移行ツールは、Check Point Security Manager で使用可能な完全なネットワークおよびサービスオブジェクト構成をキャプチャする Extracted-objects.json ファイルを生成します。

    Cisco Secure Firewall 移行ツールの現在のセッションのローカルディレクトリに Extracted-objects.json ファイルを保存します。

(注)  

 

Cisco Secure Firewall 移行ツールを Check Point Security Manager に接続している場合は、Check Point Security Manager で使用可能なポリシーパッケージのリストが表示されます。

ステップ 5

[Select Check Point Package] リストから移行する Check Point ポリシーパッケージを選択し、[Start Extraction] をクリックします。

図 5. Check Point ポリシーパッケージの抽出

ステップ 6

構成をダウンロードし、移行を続行します。

図 6. 分散展開およびスタンドアロン展開の完全な Check Point 構成の抽出

ステップ 7

[次へ(Next)] をクリックして、Check Point(r80)構成の移行を続行します。
次のタスク

Check Point 構成ファイルのアップロード

別の構成ファイルの取得

別の構成ファイルを取得するには、次の手順を実行します。

  • 別のポリシーパッケージの新しい構成を取得するか、別の Check Point(r80)ファイアウォールに接続するには、[送信元の選択に戻る(Back to source selection)] をクリックします。

  • 取得した Check Point(r80)構成を後で移行する必要がある場合は、現在の構成をダウンロードします。


    (注)  

    現在の構成ファイルは、ブラウザで設定されているデフォルトのダウンロード場所にダウンロードされます。

組立てラインアプローチを使用して、r80 構成を取得できます。

  • Live Connect を実行して、ファイアウォールの各パッケージまたはさまざまなファイアウォールの Check Point(r80)構成ファイルを取得します。

  • 複数の構成のリポジトリを作成します。

  • 後で手動アップロードを使用して移行を続行するには、[後で移行を開始(Start Migration later)] オプションを使用します。

Check Point 構成ファイルのアップロード

始める前に

構成ファイルを .zip 形式でエクスポートします。

手順

ステップ 1

[Extract Config Information] 画面の [Manual Upload] セクションで、[Upload] をクリックして Check Point 構成ファイルをアップロードします。

ステップ 2

構成ファイルが保存されている場所を参照します。Check Point(r77)の構成ファイルが抽出され、Check Point(r80)の Live Connect を使用してダウンロードされます。[開く(Open)] をクリックします。

Cisco Secure Firewall 移行ツールが構成ファイルをアップロードします。大規模な構成ファイルの場合、この手順には時間がかかります。

これで、解析前プロセスが完了しました。

[解析サマリー(Parsed Summary)] セクションに解析ステータスが表示されます。

ステップ 3

アップロードされた構成ファイルで、Cisco Secure Firewall 移行ツールが検出して解析した要素の概要を確認します。

ステップ 4

[次へ(Next)] をクリックして、ターゲットパラメータを選択します。

次のタスク

移行ツールの接続先パラメータの指定

Cisco Secure Firewall 移行ツールの接続先パラメータの指定

始める前に

Security Cloud Controlでホストされるクラウドバージョンの移行ツールを使用している場合は、手順 3 に進んでください。

  • オンプレミス Firewall Management Center の Management Center の IP アドレスを取得します。

  • Cisco Secure Firewall 移行ツール 3.0 以降では、オンプレミスの Firewall Management Center またはクラウド提供型 Firewall Management Center を選択できます。

  • クラウド提供型 Firewall Management Center の場合、リージョンと API トークンを指定する必要があります。詳細については、「サポートされる移行先の管理センター」を参照してください。

  • (任意) インターフェイスやルートなどのデバイス固有の構成を移行する場合は、ターゲット 脅威に対する防御 Management Center に追加します。「Adding Devices to the Firewall Management Center」を参照してください。

  • [確認と検証(Review and Validate)] ページで IPS またはファイルポリシーを ACL に適用する必要がある場合は、移行前に Management Center でポリシーを作成することを強くお勧めします。Cisco Secure Firewall 移行ツールは接続された Management Center からポリシーを取得するため、同じポリシーを使用します。新しいポリシーを作成して複数のアクセス制御リストに割り当てると、パフォーマンスが低下し、プッシュが失敗する可能性があります。

手順

ステップ 1

[ターゲットの選択(Select Target)] 画面の [ファイアウォール管理(Firewall Management)] セクションで、次の手順を実行します。オンプレミスのファイアウォール管理センターまたはクラウド提供型ファイアウォール管理センターへの移行を選択できます。

  • オンプレミスのファイアウォール管理センターに移行するには、次の手順を実行します。

  1. [オンプレミス FMC(On-Prem FMC)] オプションボタンをクリックします。

  2. 管理センターの IP アドレスまたは完全修飾ドメイン名(FQDN)を入力します。

  3. [ドメイン(Domain)] ドロップダウンリストで、移行先のドメインを選択します。

    脅威に対する防御 デバイスに移行する場合は、選択したドメインで使用可能な 脅威に対する防御 デバイスにのみ移行できます。

  4. [接続(Connect)] をクリックして、手順 2 に進みます。

  • クラウド提供型 Firewall Management Center に移行するには、次の手順を実行します。

  1. [クラウド提供型 FMC(Cloud-delivered FMC)] オプションボタンをクリックします。

  2. リージョンを選択し、Security Cloud Control API トークンを貼り付けます。Security Cloud Control から API トークンを生成するため、以下の手順に従います。

    1. Security Cloud Control にログインします。

    2. 右上隅から、[設定(Preferences)] > [一般設定(General Preferences)]に移動し、[マイトークン(My Tokens)] セクションから API トークンをコピーします。

  3. [接続(Connect)] をクリックして、手順 2 に進みます。

ステップ 2

[Firewall Management Centerへのログイン(Firewall Management Center Login)] ダイアログボックスで、Cisco Secure Firewall 移行ツール専用アカウントのユーザー名とパスワードを入力し、[ログイン(Login)] をクリックします。

Cisco Secure Firewall 移行ツールは Management Center にログインし、その Management Center による管理対象 脅威に対する防御 デバイスのリストを取得します。この手順の進行状況はコンソールで確認できます。

ステップ 3

[続行(Proceed)] をクリックします。

ステップ 4

[FTDの選択(Choose FTD)] セクションで、次のいずれかを実行します。

  • [FTDデバイスの選択(Select FTD Device)] ドロップダウンリストをクリックし、 チェックポイント 構成を移行するデバイスをオンにします。

    選択した Management Center ドメイン内のデバイスが、[IPアドレス(IP Address)]、[名前(Name)]、[デバイスモデル(Device Model)]、および [モード(Mode)](ルーテッドまたはトランスペアレント)別に表示されます。

    (注)  

     
    少なくとも、選択するネイティブ 脅威に対する防御 デバイスには、移行する チェックポイント 構成と同じ数の物理インターフェイスまたはポート チャネル インターフェイスが必要です。少なくとも、脅威に対する防御 デバイスのコンテナインスタンスには、同じ数の物理インターフェイスまたはポート チャネル インターフェイスとサブインターフェイスが必要です。 チェックポイント 構成と同じファイアウォールモードでデバイスを構成する必要があります。ただし、これらのインターフェイスは、両方のデバイスで同じ名前である必要はありません。

    (注)  

     

    サポートされているターゲット Threat Defense プラットフォームが、管理センターバージョン 6.5 以降を備えた Firewall 1010である場合にのみ、FDM 5505 移行サポートは共有ポリシーに適用され、デバイス固有のポリシーには適用されません。Threat Defense なしで続行すると、Cisco Secure Firewall 移行ツールは構成またはポリシーを Threat Defense にプッシュしません。したがって、Threat Defense のデバイス固有の構成であるインターフェイスとルート、およびサイト間 VPN は移行されません。ただし、NAT、ACL、ポートオブジェクトなど、サポートされている他のすべての構成(共有ポリシーとオブジェクト)は移行されます。リモートアクセス VPN は共有ポリシーであり、Threat Defense なしでも移行できます。

    リモート展開が有効になっている Management Center または 脅威に対する防御 6.7 以降への Check Point ファイアウォールの移行は、Cisco Secure Firewall 移行ツールでサポートされています。インターフェイスとルートの移行は手動で行う必要があります。

  • [FTD を使用せず続行(Proceed without FTD)] をクリックして、構成を Management Center に移行します。

    脅威に対する防御 なしで続行すると、Cisco Secure Firewall 移行ツールは 脅威に対する防御 に構成またはポリシーをプッシュしません。したがって、脅威に対する防御 のデバイス固有の校正であるインターフェイスとルート、およびサイト間 VPN は移行されず、Management Center で手動で構成する必要があります。ただし、NAT、ACL、ポートオブジェクトなど、サポートされている他のすべての構成(共有ポリシーとオブジェクト)は移行されます。リモートアクセス VPN は共有ポリシーであり、Threat Defense なしでも移行できます。

ステップ 5

[続行(Proceed)] をクリックします。

移行先に応じて、Cisco Secure Firewall 移行ツールを使用して移行する機能を選択できます。

ステップ 6

[機能の選択(Select Features)] セクションをクリックして、移行先に移行する機能を確認して選択します。

  • 接続先 脅威に対する防御 デバイスに移行する場合、Cisco Secure Firewall 移行ツールは、[デバイスの構成(Device Configuration)] セクションと [共有構成(Shared Configuration)] セクションで、 チェックポイント 構成から移行できる機能を自動的に選択します。要件に応じて、デフォルトの選択をさらに変更できます。
  • Management Center に移行する場合、Cisco Secure Firewall 移行ツールは、[デバイス設定(Device Configuration)]、[共有構成(Shared Configuration)]、および [最適化(Optimization)] セクションで、 チェックポイント 構成から移行できる機能を自動的に選択します。要件に応じて、デフォルトの選択をさらに変更できます。

  • Check Point の場合は、[Shared Configuration] で、関連する [Access Control] オプションを選択します。

    • グローバルポリシー:このオプションを選択すると、ACL ポリシーの送信元ゾーンと宛先ゾーンが任意のものとして移行されます。

    • ゾーンベースポリシー:このオプションを選択すると、送信元ゾーンと宛先ゾーンは、送信元と宛先のネットワークオブジェクトまたはグループのルーティングメカニズムによる予測ルートルックアップに基づいて導出されます。

      (注)  

       

      ルートルックアップは静的ルートと動的ルート(PBR と NAT は考慮されません)に限定され、送信元と宛先のネットワーク オブジェクト グループの性質によっては、この操作によりルールが急増する可能性があります。

      ルーティング情報は、networking.txt ファイルから取得されます。このファイルは、netstat -rnv コマンドを使用してルーティングテーブルを収集する FMT-CP-Config-Extractor_v4.0.1-8248 ツールの出力です。詳細については、「FMT-CP-Config-Extractor_v4.0.1-8248 ツールを使用したデバイス構成のエクスポート」を参照してください。

      このリリースでは、ゾーンベースポリシーの IPv6 ルートルックアップはサポートされていません。グローバルポリシーまたはゾーンベースポリシーのすべてのルールが正常に移行されていることを確認します。

    [デバイス設定(Device Configuration)] で、Check Point ファイアウォールから移行するインターフェイス、ルート、およびサイト間 VPN トンネル設定を選択します。ポリシーベース(クリプトマップ)のサイト間 VPN トンネル設定のみを移行できることに注意してください。

  • (任意)[Optimization] セクションで、[Migrate only referenced objects] を選択して、アクセス コントロール ポリシーと NAT ポリシーで参照されているオブジェクトのみを移行します。

    (注)  

     
    このオプションを選択すると、 チェックポイント 構成内の参照されていないオブジェクトは移行されません。これにより、移行時間が最適化され、未使用のオブジェクトが構成から消去されます。

ステップ 7

[続行(Proceed)] をクリックします。

ステップ 8

[Rule Conversion/ Process Config] セクションで、[Start Conversion] をクリックして変換を開始します。

ステップ 9

Cisco Secure Firewall 移行ツールによって変換された要素の概要を確認します。

構成ファイルが正常にアップロードおよび解析されたかどうかを確認するには、移行を続行する前に移行前レポートをダウンロードして確認します。

ステップ 10

[レポートのダウンロード(Download Report)] をクリックし、移行前レポートを保存します。

移行前レポートのコピーも、Cisco Secure Firewall 移行ツールと同じ場所にある Resources フォルダに保存されます。

次のタスク

移行前レポートの確認

移行前レポートの確認

手順

ステップ 1

移行前レポートをダウンロードした場所に移動します。

移行前レポートのコピーも、Cisco Secure Firewall 移行ツールと同じ場所にある Resources フォルダに保存されます。

ステップ 2

移行前レポートを開き、その内容を慎重に確認して、移行が失敗する原因となる問題を特定します。

移行前レポートには、次の情報が含まれています。

  • [移行の概要(Migration Summary)]:Firepower Threat Defense に正常に移行できる、サポートされる Check Point 構成要素の全体的な概要。たとえば、ポリシー名、ルール数などです。

  • [解析エラーの詳細(Parse Error Details)]:解析エラーの原因となった構成を強調表示します。こうすることで、構成を編集および更新して再試行しやすくなります。

  • [サポートされない構成(Unsupported Configuration)]:FMT による移行がサポートされていないすべての構成アイテムの詳細なリスト。たとえば、ループバック、エイリアスインターフェイス、ドメインオブジェクトなどです。

  • [部分的なサポート構成(Partially Supported Configuration)]:部分的にのみ移行可能なすべての Check Point 構成要素のリスト。たとえば、Ping パラメータを使用した静的ルートなどです。

  • [スキップされる構成(Skipped Configuration)]:移行中に FMT によって無視され、ターゲットシステムに転送されないすべての Check Point 構成要素のリスト。

Management Center および 脅威に対する防御 でサポートされる機能の詳細については、『Firepower Management Center Configuration Guide』を参照してください。

ステップ 3

移行前レポートで修正措置が推奨されている場合は、Check Point で修正を完了し、Check Point 構成ファイルを再度エクスポートしてから、更新された構成ファイルをアップロードし、続行してください。

ステップ 4

Check Point 構成ファイルが正常にアップロードおよび解析されたら、Cisco Secure Firewall 移行ツールに戻り、[次へ(Next)] をクリックして移行を続行します。

チェックポイント ファイアウォール 構成と Threat Defense インターフェイスのマッピング

脅威に対する防御 デバイスには、チェックポイント 構成で使用されている数以上の物理インターフェイスとポート チャネル インターフェイスが必要です。これらのインターフェイスは、両方のデバイスで同じ名前である必要はありません。インターフェイスのマッピング方法を選択できます。

[FTDインターフェイスのマップ(Map FTD Interface)] 画面で、Cisco Secure Firewall 移行ツールは、脅威に対する防御 デバイス上のインターフェイスのリストを取得します。デフォルトでは、Cisco Secure Firewall 移行ツールは チェックポイントのインターフェイスと 脅威に対する防御 デバイスをインターフェイス ID に従ってマッピングします。たとえば、 チェックポイントインターフェイスの「管理専用」インターフェイスは、脅威に対する防御 デバイスの「管理専用」インターフェイスに自動的にマッピングされ、変更できません。

チェックポイント インターフェイスから 脅威に対する防御 インターフェイスへのマッピングは、脅威に対する防御 デバイスタイプによって異なります。

  • ターゲット 脅威に対する防御 がネイティブタイプの場合は次のようになります。

    • 脅威に対する防御 には、使用する チェックポイント インターフェイスまたはポートチャネル(PC)データインターフェイスが同数以上必要です( チェックポイント 構成の管理専用とサブインターフェイスを除く)。同数未満の場合は、ターゲット 脅威に対する防御 に必要なタイプのインターフェイスを追加します。

    • サブインターフェイスは、物理インターフェイスまたはポートチャネルマッピングに基づいて Cisco Secure Firewall 移行ツールによって作成されます。

  • ターゲット 脅威に対する防御 がコンテナタイプの場合は次のようになります。

    • 脅威に対する防御 には、使用する チェックポイント インターフェイス、物理サブインターフェイス、ポートチャネル、またはポート チャネル サブインターフェイスが同数以上必要です( チェックポイント 構成の管理専用を除く)。同数未満の場合は、ターゲット 脅威に対する防御 に必要なタイプのインターフェイスを追加します。たとえば、ターゲット脅威に対する防御 の物理インターフェイスと物理サブインターフェイスの数が チェックポイント での数より 100 少ない場合、ターゲット 脅威に対する防御 に追加の物理または物理サブインターフェイスを作成できます。

    • サブインターフェイスは、Cisco Secure Firewall 移行ツールでは作成されません。物理インターフェイス、ポートチャネル、またはサブインターフェイス間のインターフェイスマッピングのみが許可されます。

始める前に

Management Center に接続し、接続先として 脅威に対する防御 を選択していることを確認します。詳細については、「Cisco Secure Firewall 移行ツールの接続先パラメータの指定」を参照してください。


(注)  
脅威に対する防御 デバイスなしで Management Center に移行する場合、この手順は適用されません。

手順

ステップ 1

インターフェイスマッピングを変更する場合は、[FTDインターフェイス名(FTD Interface Name)] のドロップダウンリストをクリックし、その チェックポイント インターフェイスにマッピングするインターフェイスを選択します。

管理インターフェイスのマッピングは変更できません。脅威に対する防御 インターフェイスがすでに チェックポイント インターフェイスに割り当てられている場合は、ドロップダウンリストからそのインターフェイスを選択できません。割り当て済みのすべてのインターフェイスはグレー表示され、使用できません。

サブインターフェイスをマッピングする必要はありません。Cisco Secure Firewall 移行ツールは、 チェックポイント 構成内のすべてのサブインターフェイスについて 脅威に対する防御 デバイスのサブインターフェイスをマッピングします。

ステップ 2

チェックポイント インターフェイスを 脅威に対する防御 インターフェイスにマッピングしたら、[次へ(Next)] をクリックします。

次のタスク

チェックポイント インターフェイスを適切な 脅威に対する防御 インターフェイスオブジェクト、セキュリティゾーン、およびインターフェイスグループにマッピングします。詳細については、「セキュリティゾーンとインターフェイスグループへの チェックポイント インターフェイスのマッピング」を参照してください。

セキュリティゾーンインターフェイスグループ への チェックポイント インターフェイスのマッピング

チェックポイント 構成が正しく移行されるように、 チェックポイント インターフェイスを適切な 脅威に対する防御 インターフェイス オブジェクト、セキュリティゾーン、インターフェイスグループ にマッピングします。 チェックポイント 構成では、アクセス コントロール ポリシーと NAT ポリシーはインターフェイス名(nameif)を使用します。Management Center では、これらのポリシーはインターフェイス オブジェクトを使用します。さらに、Management Center ポリシーはインターフェイス オブジェクトを次のようにグループ化します。

  • セキュリティ ゾーン:インターフェイスは、1 つのセキュリティ ゾーンにのみ属することができます。

  • インターフェイスグループ:インターフェイスは複数のインターフェイスグループに属することができます。

Cisco Secure Firewall 移行ツールでは、セキュリティゾーンインターフェイスグループ とインターフェイスを 1 対 1 でマッピングできます。セキュリティゾーンまたはインターフェイスグループがインターフェイスにマッピングされている場合、他のインターフェイスへのマッピングには使用できませんが、Management Center では許可されます。 Management Centerのセキュリティゾーンとインターフェイスグループの詳細については、『Cisco Secure Firewall Management Center Device Configuration Guide』「Security Zones and Interface Groups」を参照してください。

手順

ステップ 1

[セキュリティゾーンとインターフェイスグループへのマッピング(Map Security Zones and Interface Groups)] 画面で、使用可能なインターフェイス、セキュリティゾーン、およびインターフェイスグループを確認します。

ステップ 2

セキュリティゾーンおよびインターフェイスグループが Management Center に存在する場合、またはセキュリティ ゾーン タイプ オブジェクトとして 構成ファイルに存在し、ドロップダウンリストで使用可能な場合、これらにインターフェイスをマッピングするには、次の手順を実行します。

  1. [セキュリティゾーン(Security Zones)] 列で、インターフェイスのセキュリティゾーンを選択します。

  2. [インターフェイスグループ(Interface Groups)] 列で、インターフェイスのインターフェイスグループを選択します。

ステップ 3

セキュリティゾーンおよびインターフェイスグループが Management Center に存在する場合、またはセキュリティ ゾーン タイプ オブジェクトとして Check Point(r80)構成ファイルに存在し、ドロップダウンリストで使用可能な場合、これらにインターフェイスをマッピングするには、次の手順を実行します。

  1. [セキュリティゾーン(Security Zones)] 列で、そのインターフェイスのセキュリティゾーンを選択します。

  2. [インターフェイスグループ(Interface Groups)] 列で、そのインターフェイスのインターフェイスグループを選択します。

ステップ 4

セキュリティゾーンとインターフェイスグループは、手動でマッピングすることも自動で作成することもできます。

ステップ 5

セキュリティゾーンとインターフェイスグループを手動でマッピングするには、次の手順を実行します。

  1. [セキュリティゾーンとインターフェイスグループの追加(Add SZ&IG)] をクリックします。

  2. [セキュリティゾーンとインターフェイスグループの追加(Add SZ&IG)] ダイアログボックスで、[追加(Add)] をクリックして新しいセキュリティゾーンまたはインターフェイスグループを追加します。

  3. [セキュリティゾーン(Security Zone)] 列にセキュリティゾーン名を入力します。使用できる最大文字数は 48 です。同様に、インターフェイスグループを追加できます。

  4. [閉じる(Close)] をクリックします。

セキュリティゾーンとインターフェイスグループを自動作成によってマッピングするには、次の手順を実行します。

  1. [自動作成(Auto-Create)] をクリックします。

  2. [自動作成(Auto-Create)] ダイアログボックスで、[インターフェイスグループ(Interface Groups)] または [ゾーンマッピング(Zone Mapping)] のいずれかまたは両方をオンにします。

  3. [自動作成(Auto-Create)] をクリックします。

Cisco Secure Firewall 移行ツールは、これらのセキュリティゾーンに Check Point インターフェイスと同じ名前(outsideinside など)を付け、名前の後に "(A)" を表示して、Cisco Secure Firewall 移行ツールによって作成されたことを示します。インターフェイスグループには、outside_iginside_ig などの _ig サフィックスが追加されます。また、セキュリティゾーンとインターフェイスグループには、Check Point インターフェイスと同じモードがあります。たとえば、Check Point 論理インターフェイスが L3 モードの場合、そのインターフェイス用に作成されたセキュリティゾーンとインターフェイスグループも L3 モードになります。

ステップ 6

すべてのインターフェイスを適切なセキュリティゾーンとインターフェイスグループにマッピングしたら、[次へ(Next)] をクリックします。

最適化、 構成の確認と検証

移行した チェックポイント 構成を Management Center にプッシュする前に、構成を慎重に確認し、それが適切で 脅威に対する防御 デバイスの構成内容と一致することを確認します。点滅しているタブは、次の一連のアクションを実行する必要があることを示しています。


(注)  

[構成の最適化、確認および検証(Optimize, Review and Validate Configuration)] 画面で Cisco Secure Firewall 移行ツールを閉じると、進行状況が保存され、後で移行を再開できます。この画面の前に Cisco Secure Firewall 移行ツールを閉じると、進行状況は保存されません。解析後に障害が発生した場合、[インターフェイスマッピング(Interface Mapping)] 画面から Cisco Secure Firewall 移行ツールを再起動します。

これで、Cisco Secure Firewall 移行ツールは、Management Center にすでに存在する侵入防御システム(IPS)ポリシーとファイルポリシーを取得し、移行するアクセスコントロールルールにそれらを関連付けることができます。

ファイルポリシーは、システムが全体的なアクセス制御設定の一環として、ネットワークの高度なマルウェア防御とファイル制御を実行するために使用する一連の設定です。この関連付けにより、アクセスコントロールルールの条件と一致するトラフィック内のファイルを通過させる前に、システムは必ずファイルを検査するようになります。

同様に、トラフィックが接続先に向かうことを許可する前に、システムの最終防御ラインとして IPS ポリシーを使用できます。侵入ポリシーは、セキュリティ違反に関するトラフィックの検査方法を制御し、インライン展開では、悪意のあるトラフィックをブロックまたは変更することができます。システムが侵入ポリシーを使用してトラフィックを評価する場合、システムは関連付けられた変数セットを使用します。セット内の大部分の変数は、侵入ルールで一般的に使用される値を表し、送信元および宛先の IP アドレスとポートを識別します。侵入ポリシーにある変数を使用して、ルール抑制および動的ルール状態にある IP アドレスを表すこともできます。

タブで特定の構成項目を検索するには、列の上部にあるフィールドに項目名を入力します。テーブルの行はフィルタ処理され、検索語に一致する項目のみが表示されます。


(注)  
デフォルトでは、[インライングループ化(Inline Grouping)] オプションが有効になっています。

[構成の最適化、確認および検証(Optimize, Review and Validate Configuration)] 画面で Cisco Secure Firewall 移行ツールを閉じると、進行状況が保存され、後で移行を再開できます。この画面の前に閉じると、進行状況は保存されません。解析後に障害が発生した場合、[インターフェイスマッピング(Interface Mapping)] 画面から Cisco Secure Firewall 移行ツールを再起動します。

Cisco Secure Firewall 移行ツールの ACL 最適化の概要

Cisco Secure Firewall 移行ツールは、ネットワーク機能に影響を与えることなく、ファイアウォールルールベースから最適化(無効化または削除)できる ACL を識別および分離するサポートを提供します。

ACL 最適化は、次の ACL タイプをサポートします。

  • 冗長 ACL:2 つの ACL の構成とルールのセットが同じ場合、基本以外の ACL を削除してもネットワークに影響はありません。たとえば、2 つのルールが同じネットワーク上で FTP および IP トラフィックを許可し、アクセスを拒否するルールが定義されていない場合、最初のルールを削除できます。

  • シャドウ ACL:最初の ACL は、2 番目の ACL の設定を完全にシャドウイングします。2 つのルールに同様のトラフィックがある場合、2 番目のルールはアクセスリストの後半に表示されるため、どのトラフィックにも適用されません。2 つのルールがトラフィックに対して異なるアクションを指定している場合、シャドウイングされたルールを移動するか、いずれかのルールを編集して必要なポリシーを実装できます。たとえば、特定の送信元または宛先に対して、基本ルールで IP トラフィックを拒否し、シャドウイングされたルールで FTP トラフィックを許可できます。

Cisco Secure Firewall 移行ツールは、ACL 最適化のルールを比較する際に次のパラメータを使用します。


(注)  

チェックポイント ではACP ルールアクションに対してのみ最適化を使用できます

  • 無効化された ACL は、最適化プロセス中に考慮されません。

  • 送信元の ACL は、対応する ACE(インライン値)に展開された後、次のパラメータについて比較されます。

    • 送信元と宛先のゾーン

    • 送信元と宛先のネットワーク

    • 送信元/宛先ポート

[レポートのダウンロード(Download Report)] をクリックして、ACL 名と、対応する冗長 ACL およびシャドウされた ACL を Excel ファイルで表形式で確認します。ACL の詳細情報を表示するには、[詳細なACL情報(Detailed ACL Information)] シートを使用します。

オブジェクトの最適化

次のオブジェクトは、移行プロセス中にオブジェクトの最適化について考慮されます。

  • 未参照のオブジェクト:移行の開始時に、未参照のオブジェクトを移行しないように選択できます。

  • 重複したオブジェクト:オブジェクトがすでに Management Center に存在する場合、重複したオブジェクトを作成する代わりに、ポリシーが再利用されます。

  • 一貫しないオブジェクト:名前が似ていても内容が異なるオブジェクトがある場合、オブジェクト名は移行プッシュの前に Cisco Secure Firewall 移行ツールで変更されます。

手順

ステップ 1

(オプション)[構成の最適化、確認および検証(Optimize, Review and Validate Configuration)] 画面で、[アクセス制御(Access Control)] > [ACP]の [ACLの最適化(Optimize ACL)] をクリックして最適化コードを実行し、以下の操作を実行します。

  1. 特定された ACL 最適化ルールをダウンロードするには、[レポートのダウンロード(Download Report)] をクリックします。

  2. ルールを選択し、[アクション(Actions)] > [無効として移行(Migrate as disabled)] または [移行しない(Do not migrate)] を選択して、いずれかのアクションを適用します。

  3. [保存(Save)] をクリックします。

    移行操作が [移行しない(Do not migrate)] から [無効として移行(Migrate as disabled)] またはその逆に変わります。

    次のオプションを使用して、ルールの一括選択を実行できます。

    • [移行(Migrate)]:デフォルトの状態で移行します。

    • [移行しない(Do not migrate)]:ACL の移行を無視します。

    • [無効として移行(Migrate as disabled)]:[状態(State)] フィールドが [無効(Disable)] に設定されている ACL を移行します。

    • [有効として移行(Migrate as enabled)]:[状態(State)] フィールドが [有効(Enable)] に設定されている ACL を移行します。

ステップ 2

[設定の最適化、確認、および検証(Optimize, Review and Validate Configuration)] 画面で、[アクセス制御ルール(Access Control Rules)] をクリックし、次の手順を実行します。

  1. テーブル内の各エントリについて、マッピングを確認し、それらが正しいことを確認します。

    移行されたアクセスポリシールールは、プレフィックスとして ACL 名を使用し、それに ACL ルール番号を追加することで、チェックポイント 構成ファイルにマッピングしやすくします。たとえば、チェックポイント ACL の名前が "inside_access" の場合、ACL の最初のルール(または ACE)行の名前は "inside_access_#1" になります。TCP または UDP の組み合わせ、拡張サービスオブジェクト、またはその他の理由でルールを拡張する必要がある場合、Cisco Secure Firewall 移行ツールは名前に番号付きサフィックスを追加します。たとえば、許可ルールが移行のために 2 つのルールへ拡張される場合、それらのルールには "inside_access_#1-1" と "inside_access_#1-2" という名前が付けられます。

    サポートされていないオブジェクトを含むルールの場合、Cisco Secure Firewall 移行ツールは名前に "_UNSUPPORTED" というサフィックスを追加します。

  2. 1 つ以上のアクセス制御リストポリシーを移行しない場合は、ポリシーのボックスをオンにして行を選択し、[アクション(Actions)] > [移行しない(Do not migrate)]を選択して、[保存(Save)] をクリックします。

    移行しないことを選択したすべてのルールは、テーブルでグレー表示されます。

  3. Management Center ファイルポリシーを 1 つ以上のアクセス コントロール ポリシーに適用する場合は、該当する行のボックスをオンにし、[アクション(Actions)] > [ファイルポリシー(File Policy)] を選択します。

    [ファイルポリシー(File Policy)] ダイアログで、適切なファイルポリシーを選択し、選択したアクセス コントロール ポリシーに適用して、[保存(Save)] をクリックします。

  4. Management Center IPS ポリシーを 1 つ以上のアクセス コントロール ポリシーに適用する場合は、該当する行のボックスをオンにし、[アクション(Actions)] > [IPS ポリシー(IPS Policy)] を選択します。

    [IPS ポリシー(IPS Policy)] ダイアログで、適切な IPS ポリシーと対応する変数セットを選択し、選択したアクセス コントロール ポリシーに適用して、[保存(Save)] をクリックします。

  5. ロギングが有効になっているアクセスコントロールルールのロギングオプションを変更する場合は、該当する行のボックスをオンにし、[アクション(Actions)] > [ログ(Log)] を選択します。

    [ログ(Log)] ダイアログでは、接続の開始時または終了時、またはその両方でイベントのロギングを有効にできます。ロギングを有効にする場合は、接続イベントをイベントビューアまたは Syslog のいずれか、または両方に送信することを選択する必要があります。接続イベントを syslog サーバに送信することを選択した場合、Management Center ですでに構成されている syslog ポリシーを [Syslog] ドロップダウンメニューから選択できます。

  6. [アクセスコントロール(Access Control)] テーブル内の移行されたアクセスコントロールルールのアクションを変更する場合は、該当する行のボックスをオンにし、[アクション(Actions)] > [ルールアクション(Rule Action)] を選択します。

    ヒント

     
    アクセス制御ルールにアタッチされている IPS およびファイルのポリシーは、[許可(Allow)] オプションを除くすべてのルールアクションに対して自動的に削除されます。

    ACE カウントは、昇順、降順、等しい、大なり、および小なりのフィルタリング順序シーケンスでフィルタ処理できます。

    フィルタリング条件をクリアするには、[フィルタのクリア(Clear Filter)] をクリックします。

    (注)  

     
    ACE に基づいた ACL のソート順序は、表示のみを目的としています。ACL は、発生した時間順に基づいてプッシュされます。

ステップ 3

次のタブをクリックし、構成項目を確認します。

  • アクセス制御(Access Control)

  • オブジェクト(Objects)(ネットワークオブジェクト(Network Objects)、ポートオブジェクト(Port Objects)、URLオブジェクト(URL Objects))

  • NAT

  • インターフェイス(Interfaces)

  • ルート(Routes)

  • サイト間 VPN トンネル(Site-to-Site VPN Tunnels)

1 つ以上の NAT ルールまたはルートインターフェイスを移行しない場合は、該当する行のボックスをオンにし、[アクション(Actions)] > [移行しない(Do not migrate)] を選択して、[保存(Save)] をクリックします。

移行しないことを選択したすべてのルールは、テーブルでグレー表示されます。

ステップ 4

エントリを選択して[アクション(Actions)] > [移行しない(Do not migrate)]を選択することで、[ルート(Routes)] エリアからルートを表示し、移行しないルートを選択できます。

ステップ 5

[サイト間VPNトンネル(Site-to-Site VPN Tunnels)] セクションに、送信元ファイアウォール設定からの VPN トンネルが一覧表示されます。各行の [送信元インターフェイス(Source Interface)]、[VPNタイプ(VPN Type)]、[IKEv1] および [IKEv2] の設定などの VPN トンネルデータを確認し、すべての行に事前共有キーの値を指定していることを確認します。

ステップ 6

複数のサイト間 VPN トンネル設定を含む設定で、複数のエントリの事前共有キーを一度に更新するには、次の手順に従います。

  • 事前共有キーを更新するサイト間 VPN 設定エントリを選択します。

  • ダウンロード()をクリックして、テーブルを編集可能な Excel シートにエクスポートします。

  • 各 VPN 設定に対してそれぞれの列に事前共有キーを入力し、ファイルを保存します。IKEv1 と IKEv2 の両方のバージョンの IKE を含む VPN 設定の場合は、カンマで区切られた 2 つの値を列に入力します。

  • アップロード()をクリックします。移行ツールは Excel のエントリを読み取り、VPN 設定の対応する事前共有キー列に自動的に追加します。

    (注)  

     

    一括更新の一部として更新されなかった事前共有キーを更新するには、エントリを選択して [アクション(Actions)] > [事前共有キーの更新(Update Pre-Shared Key)]を選択するデフォルトの方法を使用するか、Excel をエクスポートしてキーを更新し、インポートします。

ターゲットの Threat Defense デバイスにすでにサイト間 VPN トポロジが設定されている場合、移行ツールはそれを検出し、削除するかどうかを選択するように求めます。削除することを選択した場合は、Management Center にログインして手動で削除しなくても、移行ツールによって削除されます。[いいえ(No)] を選択した場合、移行を続行するには、ターゲットの Threat Defense デバイスの既存の VPN 設定を手動で削除する必要があります。

ステップ 7

(任意)グリッド内の各構成項目の詳細をダウンロードするには、[ダウンロード(Download)] をクリックします。

ステップ 8

確認が完了したら、[検証(Validate)] をクリックします。注意が必要な必須フィールドは、値を入力するまで点滅し続けることに注意してください。[検証(Validate)] ボタンは、すべての必須フィールドに入力した後にのみ有効になります。

検証中、Cisco Secure Firewall 移行ツールは Management Center に接続し、既存のオブジェクトを確認し、それらのオブジェクトを移行対象オブジェクトのリストと比較します。オブジェクトがすでに Management Center に存在する場合、Cisco Secure Firewall 移行ツールは次の処理を実行します。

  • オブジェクトの名前と構成が同じ場合、Cisco Secure Firewall 移行ツールは既存のオブジェクトを再利用し、Management Center に新しいオブジェクトを作成しません。

  • オブジェクトの名前が同じで構成が異なる場合、Cisco Secure Firewall 移行ツールはオブジェクトの競合を報告します。

検証の進行状況はコンソールで確認できます。

ステップ 9

検証が完了し、[検証ステータス(Validation Status)] ダイアログボックスに 1 つ以上のオブジェクトの競合が表示された場合は、次の手順を実行します。

  1. [競合の解決(Resolve Conflicts)] をクリックします。

    Cisco Secure Firewall 移行ツールは、オブジェクトの競合が報告された場所に応じて、[ネットワークオブジェクト(Network Objects)] タブまたは [ポートオブジェクト(Port Objects)] タブのいずれかまたは両方に警告アイコンを表示します。

  2. タブをクリックし、オブジェクトを確認します。

  3. 競合がある各オブジェクトのエントリを確認し、[アクション(Actions)] > [競合の解決(Resolve Conflicts)] を選択します。

  4. [競合の解決(Resolve Conflicts)] ウィンドウで、推奨アクションを実行します。

    たとえば、既存の Management Center オブジェクトとの競合を避けるために、オブジェクト名にサフィックスを追加するように求められる場合があります。デフォルトのサフィックスを受け入れるか、独自のサフィックスに置き換えることができます。

  5. [解決(Resolve)] をクリックします。

  6. タブ上のすべてのオブジェクトの競合を解決したら、[保存(Save)] をクリックします。

  7. [検証(Validate)] をクリックして構成を再検証し、すべてのオブジェクトの競合を解決したことを確認します。

ステップ 10

検証が完了し、[検証ステータス(Validation Status)] ダイアログボックスに「Successfully Validated」というメッセージが表示されたら、移行された構成の以下へのプッシュ: Management Centerに進みます。

移行された構成の以下へのプッシュ: Management Center

構成の検証に成功せず、すべてのオブジェクトの競合を解決していない場合は、移行された チェックポイント 構成を Management Center にプッシュできません。

移行プロセスのこのステップでは、移行された構成を Management Center に送信します。脅威に対する防御 デバイスに構成を展開しません。ただし、脅威に対する防御 上の既存の構成はこのステップで消去されます。


(注)  
Cisco Secure Firewall 移行ツールが移行された構成を Management Center に送信している間は、構成を変更したり、デバイスに展開したりしないでください。

手順

ステップ 1

[検証ステータス(Validation Status)] ダイアログボックスで、検証の概要を確認します。

ステップ 2

[構成のプッシュ(Push Configuration)] をクリックして、移行した チェックポイント 構成を Management Center に送信します。

Cisco Secure Firewall 移行ツールに、移行の進行状況の概要が表示されます。コンソールに、Management Center にプッシュされているコンポーネントの詳細な進行状況を行ごとに表示できます。

(注)  

 

一括設定プッシュの実行中にエラーのある設定がある場合、移行ツールは警告をスローし、移行を中止してエラーを手動で修正するか、誤った設定を除外して移行を続行することを求めます。エラーのある設定を表示してから、[移行の続行(Continue with migration)] または [中止(Abort)] を選択できます。移行を中止する場合は、トラブルシューティング バンドルをダウンロードし、分析のために Cisco TAC と共有できます。

移行を続行する場合は、移行ツールは移行を部分的に成功した移行として扱います。移行後レポートをダウンロードして、プッシュエラーが原因で移行されなかった設定のリストを表示できます。

ステップ 3

移行が完了したら、[レポートのダウンロード(Download Report)] をクリックして、移行後レポートをダウンロードして保存します。

移行後レポートのコピーも、Cisco Secure Firewall 移行ツールと同じ場所にある Resources フォルダに保存されます。

ステップ 4

移行が失敗した場合は、移行後レポート、ログファイル、および未解析ファイルを慎重に確認して、失敗の原因を把握します。

トラブルシューティングについては、サポートチームに問い合わせることもできます。

移行の失敗のサポート

移行に失敗する場合は、サポートにお問い合わせください。

  1. [移行完了(Complete Migration)] 画面で、[サポート(Support)] ボタンをクリックします。

    ヘルプサポートページが表示されます。

  2. [サポートバンドル(Support Bundle)] チェックボックスをオンにして、ダウンロードする構成ファイルを選択します。

    (注)  

     
    ログファイルと DB ファイルは、デフォルトでダウンロード用に選択されています。

  3. [ダウンロード(Download)] をクリックします。

    サポートバンドルファイルは、ローカルパスに .zip としてダウンロードされます。Zip フォルダを抽出して、ログファイル、DB、および構成ファイルを表示します。

  4. [Email us] をクリックして、テクニカルチームに障害の詳細を電子メールで送信します。

    ダウンロードしたサポートファイルを電子メールに添付することもできます。

  5. [TAC ページに移動(Visit TAC page)] をクリックして、シスコのサポートページで TAC ケースを作成します。

    (注)  

     
    TAC ケースは、移行中にいつでもサポートページからオープンできます。

Check Point の移行後レポートの確認と移行の完了

手順

ステップ 1

移行後レポートをダウンロードした場所に移動します。

ステップ 2

移行後レポートを開き、その内容を慎重に確認して、ASA 構成がどのように移行されたかを理解します。

  • [移行の概要(Migration Summary)]:Check Point から Firepower Threat Defense に正常に移行された構成の概要。

  • [選択的ポリシー移行(Selective Policy Migration)]:移行およびインターフェースマッピングのために選択された、特定の Check Point 機能の詳細を確認できます。

  • [移行の変換(Migration Conversions)]:以下を含む変換とプッシュの詳細:

    • ネットワーク/サービスオブジェクトの処理

    • 部分的に移行された構成のリストと理由

    • サポートされていない構成のリストと理由

    • 拡張されたアクセス制御ルール

Cisco Secure Firewall 移行ツールのアンインストール

すべてのコンポーネントは、Cisco Secure Firewall 移行ツールと同じフォルダに保存されます。

手順

ステップ 1

Cisco Secure Firewall 移行ツールを配置したフォルダに移動します。

ステップ 2

ログを保存する場合は、log フォルダを切り取りまたはコピーして別の場所に貼り付けます。

ステップ 3

移行前レポートと移行後レポートを保存する場合は、resources フォルダを切り取りまたはコピーして別の場所に貼り付けます。

ステップ 4

Cisco Secure Firewall 移行ツールを配置したフォルダを削除します。

ヒント

 
ログファイルはコンソールウィンドウに関連付けられています。Cisco Secure Firewall 移行ツールのコンソールウィンドウが開いている場合、ログファイルとフォルダは削除できません。

移行例: チェックポイント から Threat Defense 2100 へ


(注)  

移行の完了後にターゲットデバイスで実行できるテスト計画を作成します。

メンテナンス期間前のタスク

始める前に

Management Center をインストールして展開していることを確認します。詳細については、適切な『Management Center Hardware Installation Guide』[英語] および適切な『Management Center Getting Started Guide』[英語] を参照してください。

手順

ステップ 1

Check Point Web Visualization Tool および FMT-CP-Config-Extractor_v4.0.1-8248 ツールを使用して、移行しようとしている Check Point デバイス構成を収集し、Check Point 構成ファイルのコピーを保存します。

ステップ 2

Check Point 構成 zip ファイルを確認します。

ステップ 3

ネットワークに Firepower 2100 シリーズ デバイスを展開し、インターフェイスを接続してアプライアンスの電源をオンにします。

詳細については、『Cisco Threat Defense for the 2100 Series Using Management Center Quick Start Guide』[英語] を参照してください。

ステップ 4

Management Center によって管理される Firepower 2100 シリーズ デバイスを登録します。

詳細については、「Add Devices to the Management Center」を参照してください。

ステップ 5

(任意)送信元 チェックポイント 構成に結合インターフェイスがある場合は、ターゲット Firepower 2100 シリーズ デバイスでポートチャネル(EtherChannel)を作成します。

詳細については、「Configure EtherChannels and Redundant Interfaces」を参照してください。

ステップ 6

Cisco Secure Firewall 移行ツールの最新バージョンを https://software.cisco.com/download/home/286306503/type からダウンロードして実行します。

詳細については、Cisco.com からの Cisco Secure Firewall 移行ツールのダウンロードを参照してください。

ステップ 7

Cisco Secure Firewall 移行ツールを起動し、接続先パラメータを指定する場合は、Management Center に登録した Firepower 2100 シリーズ デバイスを選択します。

詳細については、Cisco Secure Firewall 移行ツールの接続先パラメータの指定を参照してください。

ステップ 8

チェックポイント インターフェイスを 脅威に対する防御 インターフェイスにマッピングします。

(注)  

 
Cisco Secure Firewall 移行ツールを使用すると、 チェックポイント インターフェイスタイプを 脅威に対する防御 インターフェイスタイプにマッピングできます。

たとえば、Check Point の結合インターフェイスを 脅威に対する防御 の物理インターフェイスにマッピングできます。

詳細については、「 チェックポイント インターフェイスと Threat Defense インターフェイスのマッピング」を参照してください。

ステップ 9

論理インターフェイスをセキュリティゾーンにマッピングするときに、[自動作成(Auto-Create)] をクリックして、Cisco Secure Firewall 移行ツールで新しいセキュリティゾーンを作成できるようにします。既存のセキュリティゾーンを使用するには、手動で チェックポイント 論理インターフェイスをセキュリティゾーンにマッピングします。

詳細については、「セキュリティゾーンとインターフェイスグループへの チェックポイント 論理インターフェイスのマッピング」を参照してください。

ステップ 10

このガイドの手順に従って、移行する構成を順に確認および検証し、構成を Management Center にプッシュします。

ステップ 11

移行後レポートを確認し、手動で他の構成をセットアップして 脅威に対する防御 に展開し、移行を完了します。

詳細については、「Check Point の移行後レポートの確認と移行の完了」を参照してください。

ステップ 12

移行の計画時に作成したテスト計画を使用して、Firepower 2100 シリーズ デバイスをテストします。

メンテナンス期間のタスク

始める前に

メンテナンスウィンドウの前に実行する必要があるすべてのタスクが完了していることを確認します。「メンテナンス期間前のタスク」を参照してください。

手順

ステップ 1

Gaia Console を介して Check Point Security Gateway に接続します。

ステップ 2

Gaia Console を介して目的の Security Gateway の Check Point インターフェイスをシャットダウンします。

ステップ 3

(任意)Management Center にアクセスし、Cisco Secure Firewall 移行ツールによって移行されない動的ルーティング、プラットフォーム設定、およびその他の機能を、手動で Firepower 2100 シリーズ デバイス用に構成します。

ステップ 4

周辺スイッチング インフラストラクチャの Address Resolution Protocol(ARP)キャッシュをクリアします。

ステップ 5

周辺スイッチング インフラストラクチャから Firepower 2100 シリーズ デバイスインターフェイスの IP アドレスに対して基本的な ping テストを実行し、アクセス可能であることを確認します。

ステップ 6

Firepower 2100 シリーズ デバイスインターフェイスの IP アドレスに対するレイヤ 3 ルーティングが必要なデバイスから基本的な ping テストを実行します。

ステップ 7

Firepower 2100 シリーズ デバイスに新しい IP アドレスを割り当て、 チェックポイント に割り当てられた IP アドレスを再利用しない場合は、次の手順を実行します。

  1. IP アドレスを参照する静的ルートを更新し、Firepower 2100 シリーズ デバイスの IP アドレスを指すようにします。

  2. ルーティングプロトコルを使用している場合は、ネイバーが Firepower 2100 シリーズ デバイスの IP アドレスを予期される接続先のネクストホップとして認識していることを確認します。

ステップ 8

包括的なテスト計画を実行し、 Firepower 2100 デバイスの管理 Management Center 内でログをモニタリングします。