Cisco Secure Firewall 移行ツールのスタートアップガイド

Cisco Secure Firewall 移行ツールについて

本書に記載されているサンプルの移行手順(「移行例:Azure から Threat defense 2100」)は、移行プロセスに関する理解を促進するのに役立ちます。

Cisco Secure Firewall 移行ツールは、サポートされている Azure 構成をサポートされている Secure Firewall Threat Defense プラットフォームに移行します。Cisco Secure Firewall 移行ツールを使用すると、サポートされている Azure 機能とポリシーを自動的に Firewall Threat Defense に移行できます。


(注)  

移行前レポートで無視された構成について確認し、移行後にそれらを手動で構成する必要があります。

Cisco Secure Firewall 移行ツールは、 Azure 情報を収集し、解析して Secure Firewall Management Center にプッシュします。解析フェーズ中に、Cisco Secure Firewall 移行ツールは、以下を特定する移行前レポートを生成します。

  • 正常に移行できるサポートされている Microsoft Azure 構成要素の概要。

  • エラーがある Azure 構成行

  • 移行で無視される Azure 構成項目


(注)  

解析エラーがある場合は、問題を修正し、新しい構成を再アップロードし、接続先デバイスに接続し、構成の見直しと確認を実行します。その後、構成を接続先デバイスに移行できます。

コンソール

Cisco Secure Firewall 移行ツールを起動すると、コンソールが開きます。コンソールには、Cisco Secure Firewall 移行ツールの各ステップの進行状況に関する詳細情報が表示されます。コンソールの内容は、Cisco Secure Firewall 移行ツールのログファイルにも書き込まれます。

Cisco Secure Firewall 移行ツールが開いていて実行中の間は、コンソールを開いたままにする必要があります。


重要
Cisco Secure Firewall 移行ツールを終了するために Web インターフェイスが実行されているブラウザを閉じると、コンソールはバックグラウンドで実行され続けます。Cisco Secure Firewall 移行ツールを完全に終了するには、キーボードの Command キー + C を押してコンソールを終了します。

ログ

Cisco Secure Firewall 移行ツールは、各移行のログを作成します。ログには、移行の各ステップで発生した内容の詳細が含まれるため、移行が失敗した場合の原因の特定に役立ちます。

Cisco Secure Firewall 移行ツールのログファイルは、<migration_tool_folder>\logs にあります。

リソース

Cisco Secure Firewall 移行ツールは、移行前レポートのコピー、移行後レポートのコピー、Azure 構成、および Resources フォルダ内のログを保存します。

Resources フォルダは、<migration_tool_folder>\resources にあります

未解析ファイル

Cisco Secure Firewall 移行ツールは、未解析ファイルで無視した構成行に関する情報をログに記録します。この Cisco Secure Firewall 移行ツールは、 Azure 構成ファイルを解析する際に、このファイルを作成します。

未解析ファイルは、次の場所にあります。

<migration_tool_folder>\resources

Cisco Secure Firewall 移行ツールでの検索

[最適化、確認および検証(Optimize, Review and Validate)] ウィンドウの項目など、Cisco Secure Firewall 移行ツールに表示されるテーブル内の項目を検索できます。

テーブルの任意の列または行の項目を検索するには、テーブルの上の 検索[検索(search)] アイコン をクリックし、フィールドに検索語を入力します。Cisco Secure Firewall 移行ツールはテーブル行をフィルタ処理し、その検索語を含む行のみを表示します。

単一の列で項目を検索するには、列見出しにある [検索(Search)] フィールドに検索語を入力します。Cisco Secure Firewall 移行ツールはテーブル行をフィルタ処理し、検索語に一致する行のみを表示します。

ポート

Cisco Secure Firewall 移行ツールは、ポート 8321 〜 8331 およびポート 8888 の 12 ポートのうちいずれかのポートで実行されるテレメトリをサポートします。デフォルトでは、Cisco Secure Firewall 移行ツールはポート 8888 を使用します。ポートを変更するには、app_config ファイルのポート情報を更新します。更新後、ポートの変更を有効にするために、Cisco Secure Firewall 移行ツールを再起動します。app_config ファイルは、<migration_tool_folder>\app_config.txt にあります。


(注)  
テレメトリはこれらのポートでのみサポートされているため、ポート 8321 ~ 8331 およびポート 8888 を使用することを推奨します。Cisco Success Network を有効にすると、Cisco Secure Firewall 移行ツールに他のポートを使用できなくなります。

通知センター

移行中にポップアップ表示される成功メッセージ、エラーメッセージ、警告を含むすべての通知は、通知センターでキャプチャされ、[成功(Successes)]、[警告(Warnings)]、および [エラー(Errors)] に分類されます。移行中はいつでも右上隅にある アイコンをクリックして、ポップアップしたさまざまな通知と、それらがツールにポップアップ表示された時刻を確認できます。

Cisco Success Network

Cisco Success Network はユーザ対応のクラウドサービスです。Cisco Success Network を有効にすると、Cisco Secure Firewall 移行ツールと Cisco Cloud 間にセキュアな接続が確立され、使用状況に関する情報と統計情報がストリーミングされます。テレメトリをストリーミングすることによって、Cisco Secure Firewall 移行ツールからの対象のデータを選択して、それを構造化形式でリモートの管理ステーションに送信するメカニズムが提供されるため、次のメリットが得られます。

  • ネットワーク内の製品の有効性を向上させるために、利用可能な未使用の機能について通知します。

  • 製品に利用可能な、追加のテクニカルサポートサービスとモニタリングについて通知します。

  • シスコ製品の改善に役立ちます。

Cisco Secure Firewall 移行ツールはセキュアな接続を確立および維持し、Cisco Success Network に登録できるようにします。Cisco Success Network を無効にすることで、いつでもこの接続をオフにできます。これにより、デバイスが Cisco Success Network クラウドから接続解除されます。

Cisco Secure Firewall 移行ツールの最新情報

バージョン

サポートされる機能

10.0

このリリースでは、CSF200 シリーズ デバイスの包括的な移行サポートが導入されています。

サポートされる移行:すべて

このリリースへのスムーズな移行を容易にするために設計された Firewall Management Center および Firewall Threat Defense 10.0 の移行サポート。

サポートされる移行:すべて

このリリースでは、テレメトリ機能が大幅に強化され、分析および障害対応のためのデータ収集が改善されています。

サポートされる移行:すべて

このリリースでは、解析パフォーマンスが大幅に強化され、システムの応答性と効率性が向上しています。

サポートされている移行:Check Point ファイアウォールから Firewall Threat Defense へ、Palo Alto Networks ファイアウォールから Firewall Threat Defense へ、ASA ファイアウォールから Firewall Threat Defense への移行。

デュアル ネットワーク アドレス変換(NAT)機能を強化し、ユーザー体験を向上させます。

参照:「Check Point Configuration Support

サポートされる移行:Check Point ファイアウォールから Firewall Threat Defense への移行

7.7.10.4

このパッチリリースにはバグ修正が含まれています。

7.7.10.3

Cisco Secure Firewall 移行ツールは、Firewall Management Center に設定を展開するときに、オブジェクト名または値の重複によって引き起こされる競合を特定できるようになりました。その後ツールは、これらの競合を解決するために適切なアクションを実行するようにユーザーに求めます。

Push the Migrated Configuration to Firewall Management Center」を参照してください。

サポートされる移行:すべて

パフォーマンスを向上させるために、ACL 最適化分析時間が短縮されました。[設定の最適化、確認、検証(Optimize, Review and Validate Configuration)] ウィンドウにバナーが表示され、[ACL最適化(Optimize ACL)] を選択してから [続行(Proceed)] をクリックすると、ACL 最適化分析にかかるおおよその時間が示されます。

参照:「Optimize, Review and Validate the Configuration

サポートされる移行:すべて

[設定の最適化、確認、検証(Optimize, Review and Validate Configuration)] > [ACL最適化(Optimize ACL)] ウィンドウで、無効化された ACL のリストを表示できるようになりました。この機能強化により、移行プロセスがより効率的になります。

参照:「Optimize, Review and Validate the Configuration

サポートされる移行:すべて

移行中の最適化プロセスを合理化するために、Cisco Secure Firewall 移行ツールは、すべての属性が最適化されていることを確認します。[設定の最適化、確認、検証(Optimize, Review and Validate Configuration)] ウィンドウで [検証(Validate)] をクリックすると、欠落している属性が [設定の最適化(Optimize Your Configuration)] ダイアログボックスに表示されます。

参照:「Optimize, Review and Validate the Configuration

サポートされる移行:すべて

7.7.10.2

このパッチリリースにはバグ修正が含まれています。

7.7.10.1

このリリースには、次の新機能が含まれています。

  • Cisco Secure Firewall 移行ツールに、トランスペアレントモードとルーテッドモードのファイアウォール コンテキストを個別に選択するオプションが追加されました。これにより、コンテキストを個別に管理および移行できるようになり、移行プロセス中の柔軟性と制御が向上します。

    参照:「Select the ASA Security Context

    サポートされる移行:Cisco Secure Firewall ASA

  • Secure Firewall 移行ツールの [構成の最適化、確認および検証(Optimize, Review and Validate Configuration)] ウィンドウで、NAT ルールの送信元ゾーンと接続先ゾーンを編集するオプションが追加されました。

    参照:「Optimize, Review and Validate the Configuration

    サポートされる移行:Cisco Secure Firewall ASA

  • Cisco Secure Firewall 移行ツールが、negate パラメータを使用したアクセス コントロール エントリ(ACE)の移行をサポートするようになりました。

    参照:「Check Point Configuration Support

    サポートされる移行:Check Point Firewall

  • Cisco Secure Firewall 移行ツールは、インライン セキュリティ ゾーンへのインターフェイスマッピングをサポートするようになりました。これにより、きめ細やかなポリシーの適用とトラフィック制御が可能になります。

    参照:「Map PAN Interfaces to Security Zones Interface Groups

    サポートされる移行:Palo Alto Networks ファイアウォール

  • Cisco Secure Firewall 移行ツールを使用して、VLAN タグオブジェクトおよびその他のサポートされているオブジェクトタイプを Threat Defense デバイスに移行できるようになりました。

    参照:「Optimize, Review and Validate the Configuration

    サポートされる移行:Palo Alto Networks ファイアウォール
7.7.10

このリリースには、次の新機能が含まれています。

  • Cisco Secure Firewall 移行ツールを使用して、Microsoft Azure ネイティブファイアウォールから Firewall Threat Defense に設定を移行できるようになりました。詳細と移行手順については、『Migrating Microsoft Azure Native Firewall to Cisco Secure Firewall Threat Defense with the Migration Tool』を参照してください。

  • Cisco Secure Firewall 移行ツールを使用して、Check Point ファイアウォールから Multicloud Defense に設定を移行できるようになりました。詳細と移行手順については、『Migrating Check Point Firewall to Cisco Multicloud Defense with the Migration Tool』を参照してください。

  • Cisco Secure Firewall 移行ツールを使用して、Fortinet ファイアウォールから Multicloud Defense に設定を移行できるようになりました。詳細と移行手順については、『Migrating Fortinet Firewall to Cisco Multicloud Defense with the Migration Tool 』を参照してください。

  • Cisco Secure Firewall 移行ツールが、既存のセキュリティ グループ タグ オブジェクトの設定を検出するようになりました。この検出機能は、特定のタグをユーザー、デバイス、またはシステムに関連付けることでセキュリティポリシーの管理を簡素化し、動的でスケーラブルなアクセス制御を可能にします。

    構成の最適化、確認および検証」を参照してください

    サポートされる移行:Cisco Secure Firewall ASA

  • [設定の最適化、確認、検証(Optimize, Review and Validate Configurations)] ページで、オブジェクトまたはオブジェクトグループを追加、削除、または変更してアクセスルールを編集できるようになりました。

    構成の最適化、確認および検証」を参照してください

    サポートされる移行:すべて

  • 移行前レポートと移行後レポートが強化され、ユーザー体験が向上しました。

    各セクションの CSV ファイルをダウンロードして、詳細な分析を行えるようになりました。移行後レポートに比較チャートが導入され、移行前レポートと移行後レポートでカテゴリごとに設定数を比較できます。

    構成の最適化、確認および検証」を参照してください

    サポートされる移行:すべて
7.7

このリリースには、次の新機能が含まれています。

7.0.1

このリリースには、次の新機能と機能拡張が含まれています。

  • ASA および FDM 管理対象デバイスやサードパーティ製ファイアウォールなどのシスコファイアウォールから Cisco Secure Firewall 1200 シリーズ デバイスに設定を移行できるようになりました。

    Cisco Secure Firewall 1200 Series」を参照してください

  • 複数のサイト間 VPN トンネル設定の事前共有キーを一度に更新できるようになりました。[構成の最適化、確認および検証(Optimize, Review and Validate Configuration)] ページのサイト間 VPN テーブルを Excel シートにエクスポートし、それぞれのセルに事前共有キーを指定して、シートをアップロードします。移行ツールは、Excel から事前共有キーを読み取り、テーブルを更新します。

    構成の最適化、確認および検証」を参照してください

    サポートされる移行:すべて

  • 移行を妨げる誤った設定を無視し、移行の最終プッシュを続行することを選択できるようになりました。以前は、単一のオブジェクトのプッシュがエラーのために失敗した場合でも、移行全体が失敗していました。また、移行を手動で中止してエラーを修正し、移行を再試行することもできるようになりました。

    移行された構成の Management Center へのプッシュ」を参照してください

    サポートされる移行:すべて

  • Secure Firewall 移行ツールは、ターゲットの Threat Defense デバイスの既存のサイト間 VPN 設定を検出し、Management Center にログインせずに削除するかどうかを選択するように求めます。 [いいえ(No)] を選択し、Management Center から手動で削除して移行を続行できます。

    構成の最適化、確認および検証」を参照してください

    サポートされる移行:すべて

  • 移行先の Management Center によって管理される Threat Defense デバイスのいずれかに既存のハブアンドスポークトポロジが設定されている場合は、移行ツールから、ターゲットの Threat Defense デバイスをスポークの 1 つとして既存のトポロジに追加できます。Management Center で手動で行う必要はありません。

    構成の最適化、確認および検証」を参照してください

    サポートされる移行:Cisco Secure Firewall ASA

  • サードパーティ製ファイアウォールを移行するときに、高可用性ペアの一部である Threat Defense デバイスをターゲットとして選択できるようになりました。以前は、スタンドアロンの Threat Defense デバイスのみをターゲットデバイスとして選択できました。

    サポートされる移行:Palo Alto Networks、Check Point、および Fortinet ファイアウォールの移行

  • Cisco Secure Firewall 移行ツールは、より強化された直感的なデモモードを提供し、すべてのステップでガイド付きの移行手順が提供されるようになりました。さらに、要件に基づいて選択してテストするターゲット Threat Defense デバイスのバージョンを確認することもできます。

    サポートされる移行:すべて
7.0

このリリースには、次の新機能と機能拡張が含まれています。

Cisco Secure Firewall Threat Defense への Cisco Secure Firewall ASA の移行

  • 移行先の Management Center に Threat Defense の高可用性(HA)ペアを設定し、Cisco Secure Firewall ASA HA ペアから Management Center に設定を移行できるようになりました。[ターゲットの選択(Select Target)] ページで [HAペア設定を続行(Proceed with HA Pair Configuration)] を選択し、アクティブデバイスとスタンバイデバイスを選択します。アクティブな Threat Defense デバイスを選択する場合は、HA ペア設定を成功させるために、Management Center に同一のデバイスがあることを確認してください。詳細については、『Migrating Cisco Secure Firewall ASA to Cisco Secure Firewall Threat Defense with the Migration Tool』の「Specify Destination Parameters for the Secure Firewall Migration Tool」を参照してください。

  • ASA デバイスからサイト間 VPN 設定を移行するときに、Threat Defense デバイスを使用してサイト間ハブアンドスポーク VPN トポロジを設定できるようになりました。[構成の最適化、確認および検証(Optimize, Review and Validate Configuration)] ページの [サイト間VPNトンネル(Site-to-Site VPN Tunnels)] の下にある [ハブアンドスポークトポロジの追加(Add Hub & Spoke Topology)] をクリックします。詳細については、『Migrating Cisco Secure Firewall ASA to Cisco Secure Firewall Threat Defense with the Migration Tool』の「構成の最適化、確認および検証」を参照してください。

Cisco Secure Firewall Threat Defense への Fortinet ファイアウォールの移行

  • Fortinet ファイアウォールから Threat Defense デバイスに、SSL VPN および中央 SNAT 設定の IPv6 および複数のインターフェイスとインターフェイスゾーンを移行できるようになりました。詳細については、『Migrating Fortinet Firewall to Cisco Secure Firewall Threat Defense with the Migration Tool』の「Fortinet Configuration Support」を参照してください。

6.0.1

このリリースには、次の新機能と機能拡張が含まれています。

Cisco Secure Firewall Threat Defense への Cisco Secure Firewall ASA の移行

  • Cisco Secure Firewall ASA から Threat Defense に設定を移行する際に、ネットワークとポートのオブジェクトを最適化できるようになりました。[構成の最適化、確認および検証(Optimize、Review and Validate Configuration)] ページの該当するタブでこれらのオブジェクトを確認し、[オブジェクトとグループの最適化(Optimize Objects and Groups)] をクリックして、移行先の Management Center に移行する前にオブジェクトのリストを最適化します。移行ツールは、同じ値を持つオブジェクトとグループを識別し、どちらを保持するかを選択するように求めます。詳細については、「構成の最適化、確認および検証」を参照してください。

Cisco Secure Firewall Threat Defense への FDM 管理対象デバイスの移行

  • FDM 管理対象デバイスから Threat Defense デバイスに DHCP、DDNS、および SNMPv3 の設定を移行できるようになりました。[機能の選択(Select Features)] ページで、[DHCP] チェックボックスと [サーバー(Server)]、[リレー(Relay)]、および [DDNS] チェックボックスがオンになっていることを確認します。詳細については、「構成の最適化、確認および検証」を参照してください。

Cisco Secure Firewall Threat Defense への Fortinet ファイアウォールの移行

  • Fortinet ファイアウォールから Threat Defense デバイスに URL オブジェクトを他のオブジェクトタイプに加えて移行できるようになりました。移行中に、[構成の最適化、確認および検証(Optimize, Review and Validate Configuration)] ページの [オブジェクト(Objects)] ウィンドウの [URLオブジェクト(URL Objects)] タブを確認します。詳細については、「構成の最適化、確認および検証」を参照してください。

Palo Alto Networks ファイアウォールの Cisco Secure Firewall Threat Defense への移行

  • Palo Alto Networks ファイアウォールから Threat Defense デバイスに URL オブジェクトを他のオブジェクトタイプに加えて移行できるようになりました。移行中に、[構成の最適化、確認および検証(Optimize, Review and Validate Configuration)] ページの [オブジェクト(Objects)] ウィンドウの [URLオブジェクト(URL Objects)] タブを必ず確認します。詳細については、「構成の最適化、確認および検証」を参照してください。

Cisco Secure Firewall Threat Defense への Check Point ファイアウォールの移行

  • Check Point ファイアウォールから Threat Defense デバイスにポートオブジェクト、FQDN オブジェクト、およびオブジェクトグループを移行できるようになりました。移行中に、[構成の最適化、確認および検証(Optimize, Review and Validate Configuration)] ページの [オブジェクト(Objects)] ウィンドウを確認します。詳細については、「構成の最適化、確認および検証」を参照してください。

6.0

このリリースには、次の新機能と機能拡張が含まれています。

Cisco Secure Firewall Threat Defense への Cisco Secure Firewall ASA の移行

  • Secure Firewall ASA の WebVPN 設定を、Threat Defense デバイスの Zero Trust Access Policy 設定に移行できるようになりました。[機能の選択(Select Features)] ページで [WebVPN] チェックボックスがオンになっていることを確認し、[設定の最適化、確認、検証(Optimize, Review and Validate Configuration)] ページで新しい [WebVPN] タブを確認します。Threat Defense デバイスとターゲット管理センターは、バージョン 7.4 以降で実行され、検出エンジンとして Snort3 を実行している必要があります。

  • Simple Network Management Protocol(SNMP)および Dynamic Host Configuration Protocol(DHCP)の設定を Threat Defense デバイスに移行できるようになりました。[機能の選択(Select Features)] ページで、[SNMP] および [DHCP] チェックボックスがオンになっていることを確認します。Secure Firewall ASA で DHCP を設定している場合は、DHCP サーバーまたはリレーエージェントと DDNS の設定も移行対象として選択できることに注意してください。

  • マルチコンテキスト ASA デバイスを実行するときに、等コストマルチパス(ECMP)ルーティング設定を単一インスタンスの脅威防御のマージされたコンテキスト移行に移行できるようになりました。解析されたサマリーの [ルート(Routes)] タイルに ECMP ゾーンも含まれるようになりました。[設定の最適化、レビュー、検証(Optimize, Review and Validate Configuration)] ページの [ルート(Routes)] タブで同じことを検証できます。

  • ダイナミック仮想トンネルインターフェイス(DVTI)設定のダイナミックトンネルを Secure Firewall ASA から Threat Defense デバイスに移行できるようになりました。これらは、[セキュリティゾーン、インターフェイスグループ、およびVRFへのASAインターフェイスのマッピング(Map ASA Interfaces to Security Zones, Interface Groups, and VRFs)] ページでマッピングできます。この機能を適用するには、ASA のバージョンが 9.19(x) 以降であることを確認します。

Cisco Secure Firewall Threat Defense への FDM 管理対象デバイスの移行

  • SNMP や HTTP を含むレイヤ 7 セキュリティポリシー、マルウェアおよびファイルポリシー設定を FDM 管理対象デバイスから Threat Defense デバイスに移行できるようになりました。ターゲット管理センターのバージョンが 7.4 以降であること、および [機能の選択(Select Features)] ページの [プラットフォーム設定(Platform Settings)] および [ファイルとマルウェアポリシー(File and Malware Policy)] チェックボックスがオンになっていることを確認します。

Cisco Secure Firewall Threat Defense への Check Point ファイアウォールの移行

  • Check Point ファイアウォールのサイト間 VPN(ポリシーベース)設定を Threat Defense デバイスに移行できるようになりました。この機能は、Check Point R80 以降のバージョン、および Management Center および Threat Defense バージョン 6.7 以降に適用されることに注意してください。[機能の選択(Select Features)] ページで、[サイト間VPNトンネル(Site-to-Site VPN Tunnels)] チェックボックスがオンになっていることを確認します。これはデバイス固有の設定であるため、[FTDなしで続行(Proceed without FTD)] を選択した場合、移行ツールにこれらの設定は表示されないことに注意してください。

Cisco Secure Firewall Threat Defense への Fortinet ファイアウォールの移行

  • Fortinet ファイアウォールから Threat Defense デバイスに設定を移行するときに、アプリケーション アクセス コントロール リスト(ACL)を最適化できるようになりました。[設定の最適化、レビュー、検証(Optimize、Review and Validate Configuration)] ページの [ACLの最適化(Optimize ACL)] ボタンを使用して、冗長 ACL とシャドウ ACL のリストを表示し、最適化レポートをダウンロードして詳細な ACL 情報を表示します。
5.0.1 このリリースには、次の新機能と機能拡張が含まれています。

  • Cisco Secure Firewall 移行ツールは、Cisco Secure Firewall ASA デバイスから Threat Defense デバイスへの複数のトランスペアレント ファイアウォール モードのセキュリティコンテキストの移行をサポートするようになりました。Cisco Secure Firewall ASA デバイス内の 2 つ以上のトランスペアレント ファイアウォール モードのコンテキストをトランスペアレントモードのインスタンスにマージし、それらを移行できます。

    1 つ以上のコンテキストに VPN 設定がある場合の VPN 設定の ASA 展開では、VPN 設定をターゲットの Threat Defense デバイスに移行するコンテキストを 1 つのみ選択できます。選択しなかったコンテキストからは、VPN 設定以外のすべての設定が移行されます。

    詳細については、「ASA セキュリティコンテキストの選択 」を参照してください。

  • Cisco Secure Firewall 移行ツールを使用して、サイト間およびリモートアクセス VPN 設定を Fortinet および Palo Alto Networks ファイアウォールから Threat Defense に移行できるようになりました。[機能の選択(Select Features)] ペインから、移行する VPN 機能を選択します。Migrating Palo Alto Networks Firewall to Secure Firewall Threat Defense with the Migration Tool』および『Migrating Fortinet Firewall to Secure Firewall Threat Defense with the Migration Tool』の「Specify Destination Parameters for the Secure Firewall Migration Tool」セクションを参照してください。

  • Cisco Secure Firewall ASA デバイスから 1 つ以上のルーテッドまたはトランスペアレント ファイアウォール モードのセキュリティコンテキストを選択し、Cisco Secure Firewall 移行ツールを使用してシングルコンテキストまたはマルチコンテキストを移行できるようになりました。
5.0

  • Cisco Secure Firewall 移行ツールは、Cisco Secure Firewall ASA から Threat Defense デバイスへの複数のセキュリティコンテキストの移行をサポートするようになりました。いずれかのコンテキストから設定を移行するか、すべてのルーテッド ファイアウォール モードのコンテキストから設定をマージして移行するかを選択できます。複数のトランスペアレント ファイアウォール モード コンテキストからの設定のマージのサポートは、まもなく利用可能になります。詳細については、「ASA プライマリ セキュリティ コンテキストの選択」を参照してください。

  • 移行ツールは、仮想ルーティングおよび転送(VRF)機能を活用して、マルチコンテキストの ASA 環境で観察される分離されたトラフィックフローを複製します。これは、新たにマージされた設定の一部になります。移行ツールが検出したコンテキストの数は、新しい [コンテキスト(Contexts)] タイルで確認でき、解析後は [解析の概要(Parsed Summary)] ページの新しい [VRF] タイルで確認できます。また移行ツールは、[セキュリティゾーンとインターフェイスグループへのインターフェイスのマッピング(Map Interfaces to Security Zones and Interface Groups)] ページに、これらの VRF がマッピングされているインターフェイスを表示します。

  • Cisco Secure Firewall 移行ツールの新しいデモモードを使用して移行ワークフロー全体を試し、実際の移行がどのようになるかを可視化できるようになりました。詳細については、「ファイアウォール移行ツールでのデモモードの使用」を参照してください。

  • 新しい機能拡張とバグの修正により、Cisco Secure Firewall 移行ツールは、Palo Alto Networks ファイアウォールの Threat Defense への移行に関して、改善された迅速な移行エクスペリエンスをご提供します。
4.0.3 Cisco Secure Firewall 移行ツール 4.0.3 には、バグの修正と、次の新たな拡張機能が含まれています。

  • 移行ツールで、PAN 設定を Threat Defense に移行するための強化された [アプリケーションマッピング(Application Mapping)] 画面が提供されるようになりました。詳細については、『移行ツールを使用した Palo Alto Networks ファイアウォールから Cisco Secure Firewall Threat Defense への移行』ガイドの「構成とアプリケーションのマッピング」を参照してください。

4.0.2

Cisco Secure Firewall 移行ツール 4.0.2 には、次の新機能と拡張機能が含まれています。

  • 移行ツールに常時接続のテレメトリが追加されました。ただし、限定的なテレメトリデータまたは広範なテレメトリデータの送信を選択できるようになっています。限定的なテレメトリデータにデータポイントはほとんど含まれませんが、広範なテレメトリデータは、より詳細なテレメトリデータのリストを送信します。この設定は、 [設定(Settings)] > [テレメトリデータをシスコに送信しますか(Send Telemetry Data to Cisco?)] から変更できます。.

Cisco Secure Firewall 移行ツールのライセンス

Cisco Secure Firewall 移行ツールアプリケーションは無料であり、ライセンスは必要ありません。

Cisco Secure Firewall 移行ツールのプラットフォーム要件

Cisco Secure Firewall 移行ツールには、次のインフラストラクチャとプラットフォームの要件があります。

  • Microsoft Windows 10 64 ビット オペレーティング システムまたは macOS バージョン 10.13 以降で実行している

  • Google Chrome がシステムのデフォルトブラウザである

  • (Windows)[Power&Sleep] で [Sleep] 設定が [Never put the PC to Sleep] に設定されているため、大規模な移行プッシュ中にシステムがスリープ状態にならない

  • (macOS)大規模な移行プッシュ中にコンピュータとハードディスクがスリープ状態にならないように [Energy Saver] 設定が構成されている

Threat Defense デバイスの要件および前提条件

Management Center に移行する際は、対象 Threat Defense デバイスを追加することは必須ではありません。ポリシーは、Threat Defense デバイスの今後のデプロイに向けて Management Center に移行できます。

Threat Defense デバイスが Management Center に追加されている場合、Azure 構成を Threat Defense に移行するには、次の要件と前提条件を考慮します。

  • ターゲット Threat Defense デバイスは、管理センターに登録されている必要があります。

  • ターゲットの Threat Defense デバイスは、高可用性構成にすることができます。

  • Threat Defense デバイスは、スタンドアロンデバイスまたはコンテナインスタンスにすることができます。クラスタの一部になることはできません

    • ターゲット Threat Defense デバイスがコンテナインスタンスである場合、最低でも、Azure と同数の物理インターフェイス、物理サブインターフェイス、ポート チャネル インターフェイス、およびポート チャネル サブインターフェイス(「管理専用」を除く)が使用されている必要があります。使用されていない場合、ターゲット Threat Defense デバイスで必要な種類のインターフェイスを追加する必要があります。


      (注)  

      • サブインターフェイスは、Cisco Secure Firewall 移行ツールでは作成されません。インターフェイスマッピングのみが許可されます。

      • 異なるインターフェイスタイプ間のマッピングは許可されます。たとえば、物理インターフェイスをポート チャネル インターフェイスにマップできます。

注意事項と制約事項

Cisco Secure Firewall 移行ツールは、変換中にルールまたはポリシーで使用されるかどうかにかかわらず、サポートされているすべてのオブジェクトおよびルールに対して 1 対 1 のマッピングを作成します。Cisco Secure Firewall 移行ツールには、未使用のオブジェクト(ACL および NAT で参照されていないオブジェクト)の移行を除外できる最適化機能があります。

Cisco Secure Firewall 移行ツールは、サポートされていないオブジェクト、NAT ルール、およびルートを移行しません。

Azure 構成の制限

送信元 Azure 構成の移行には、次の制限があります。

  • インターフェイスとルートの構成を手動で Firewall Threat Defense に移行する必要があります

Azure 移行のガイドライン

送信元構成ファイルは、次のファイルで構成される zip 形式にする必要があります。

  • Azure ポータルからエクスポートされた、template.json ファイル

  • PowerShell を使用してエクスポートされた、IP グループデータで構成された IPGroup.txt ファイル

サポートされている Azure 構成

Cisco Secure Firewall 移行ツールは、次の構成を完全に移行できます。

  • アクセス コントロール リスト

  • ネットワーク オブジェクト

  • サービス オブジェクト

  • ネットワーク オブジェクト グループ

  • 宛先 NAT(D-NAT)

  • FQDN

  • IP グループ

  • URL


(注)  

Firewall Threat Defense で上記の構成を移行するには、Firewall Management Center および のバージョンが 6.6 以降である必要があります。サービスオブジェクトの構成を移行する場合、 のバージョンは 6.4 以降である必要があります。

Threat Defense デバイスに関する注意事項と制約事項

Azure 構成を Firewall Threat Defense に移行するときに、ルート、インターフェイスなど、 デバイスに既存のデバイス固有の構成がある場合、プッシュ移行中に Cisco Secure Firewall 移行ツールは自動的にデバイスを消去し、Azure 構成から上書きします。


(注)  

デバイス(ターゲット )構成データの損失を防ぐために、移行前にデバイスを手動で消去することを推奨します。

サポートされる移行先の管理センター

Cisco Secure Firewall 移行ツールは、管理センターおよびクラウド提供型 Firewall Management Center によって管理される Threat Defense デバイスへの移行をサポートします。

Management Center

管理センターは強力な Web ベースのマルチデバイスマネージャです。独自のサーバーハードウェア上で、またはハイパーバイザ上の仮想デバイスとして稼働します。移行のためのターゲット管理センターとして、オンプレミス管理センターと仮想管理センターの両方を使用できます。

管理センターは、移行に関する次のガイドラインを満たす必要があります。

  • 移行でサポートされる Management Center ソフトウェアバージョン(移行でサポートされるソフトウェアのバージョンを参照)。

  • Azure の移行でサポートされるクラウド提供型またはオンプレミス Firewall Management Center ソフトウェアのバージョンは 6.6 以降です。

  • Azure インターフェイスから移行する予定の以下に記載されているすべての機能を含む Firewall Threat Defense のスマートライセンスを取得済みおよびインストール済みであること。

    • Cisco.com の「Cisco Smart Accounts」の「Getting Started」セクション。

    • Register the Firepower Management Center with the Cisco Smart Software Manager [英語]

    • Licensing the Firewall System [英語]

    • REST API の Firewall Management Center が有効になっています。

      Firewall Management Center Web インターフェイスで、[システム(System)] > [設定(Configuration)] > [Rest API設定(Rest API Preferences)] > [Rest APIを有効にする(Enable Rest API)]に移動し、[Rest APIを有効にする(Enable Rest API)] チェックボックスをオンにします。


      重要
      REST API を有効にするには、 Firewall Management Center の管理者ユーザーロールが必要です。管理センターのユーザーロールの詳細については、「ユーザーロール」を参照してください。

クラウド提供型 Firewall Management Center

クラウド提供型 Firewall Management Center は、Threat Defense デバイスの管理プラットフォームであり、(旧 Cisco Defense Orchestrator)を介して提供されます。クラウド提供型 Firewall Management Center は、管理センターと同じ機能を多数提供します。

CDO からクラウド提供型 Firewall Management Center にアクセスできます。CDO は、Secure Device Connector(SDC)を介してクラウド提供型 Firewall Management Center に接続します。クラウド提供型 Firewall Management Center の詳細については、「クラウド提供型 Firewall Management Center による Cisco Secure Firewall Threat Defense デバイスの管理」を参照してください。

Cisco Secure Firewall 移行ツールは、移行先の管理センターとしてクラウド提供型 Firewall Management Center をサポートしています。クラウド提供型 Firewall Management Center を移行先の管理センターとして選択するには、CDO の地域を追加し、CDO ポータルから API トークンを生成する必要があります。

CDO の地域

CDO は 3 つの異なる地域で利用でき、地域は URL 拡張子で識別できます。

表 1. CDO の地域と URL

地域

CDO URL

欧州

https://eu.manage.security.cisco.com/

米国

https://us.manage.security.cisco.com/

アジア太平洋、日本、中国

https://apj.manage.security.cisco.com/

オーストラリア

https://au.manage.security.cisco.com/

インド

https://in.manage.security.cisco.com/

移行でサポートされるソフトウェアのバージョン

このトピックでは、移行でサポートされている Cisco Secure Firewall 移行ツール、 Azure および Firewall Threat Defense バージョンを記載しています。

サポートされている Cisco Secure Firewall 移行ツールのバージョン

software.cisco.com に掲載されているバージョンは、当社のエンジニアリングおよびサポート組織によって正式にサポートされているバージョンです。software.cisco.com から最新バージョンの Cisco Secure Firewall 移行ツールをダウンロードすることを強くお勧めします。

送信元の Microsoft Azure ファイアウォール構成でサポートされている Management Center

Azure ファイアウォールの場合、Cisco Secure Firewall 移行ツールは、バージョン 6.6 以降を実行している Management Center によって管理される Management Center デバイスへの移行をサポートしています。

サポートされる Firewall Threat Defense のバージョン

Cisco Secure Firewall 移行ツールでは、 バージョン 6.6 以降および virtual バージョン 7.0 以降を実行しているデバイスへの移行が推奨されています。

のオペレーティングシステムとホスティング環境の要件を含めた Cisco Firewall のソフトウェアとハードウェアの互換性の詳細については、『Cisco Firepower Compatibility Guide』[英語] を参照してください。