지원되는 FDM 매니지드 디바이스 구성

Secure Firewall 마이그레이션 툴은 다음 FDM 매니지드 디바이스 구성을 완전히 마이그레이션할 수 있습니다.

• 네트워크 개체 및 그룹

• 서비스 개체(소스 및 대상에 대해 구성된 서비스 개체 제외)

  참고	Secure Firewall 마이그레이션 툴은 소스 및 대상에 대해 구성된 확장 서비스 개체를 마이그레이션하지 않지만, 참조된 ACL 및 NAT 규칙은 전체 기능으로 마이그레이션됩니다.

• 서비스 개체 그룹(중첩된 서비스 개체 그룹 제외)

  참고	Management Center에서 중첩이 지원되지 않으므로 Secure Firewall 마이그레이션 툴은 참조된 규칙의 내용을 확장합니다. 단, 규칙은 전체 기능을 통해 마이그레이션됩니다.

• IPv4 및 IPv6 FQDN 개체 및 그룹

• IPv6 변환 지원(인터페이스, 정적 경로, 개체, ACL 및 NAT)

• 액세스 제어 정책

• 자동 NAT 및 수동 NAT

• 정적 경로, ECMP 경로

• 물리적 인터페이스

• FDM 매니지드 디바이스 인터페이스의 보조 VLAN은 Threat Defense에 마이그레이션되지 않습니다.

• 하위 인터페이스(하위 인터페이스 ID는 마이그레이션 시 항상 VLAN ID와 동일한 숫자로 설정됨)

• 포트 채널

• Virtual tunnel interface(VTI)

• 브리지 그룹(투명 모드만)

• IP SLA 모니터링

  Secure Firewall 마이그레이션 툴에서 IP SLA 개체를 생성하고, 개체를 특정 정적 경로와 매핑하고, 개체를 Management Center로 마이그레이션합니다.

  IP SLA 모니터는 모니터링되는 주소에 대한 연결 정책을 정의하며, IP 주소에 대한 경로의 가용성을 추적합니다. 정적 경로는 ICMP 에코 요청을 전송하고 응답을 기다리며 주기적으로 가용성을 확인합니다. 에코 요청이 시간 초과되면 정적 경로는 라우팅 테이블에서 제거되고 백업 경로로 교체됩니다. SLA 모니터링 작업은 구축 후 즉시 시작되고 SLA 모니터를 디바이스 구성에서 제거하지 않는 이상 계속 실행됩니다. 즉, 만료되지 않습니다. IP SLA 모니터 개체는 IPv4 정적 경로 정책의 경로 추적 필드에 사용됩니다. IPv6 경로에는 경로 추적을 통해 SLA 모니터를 사용하기 위한 옵션이 없습니다.

• 개체 그룹 검색

  개체 그룹 검색을 활성화하면 네트워크 개체를 포함하는 액세스 컨트롤 정책에 대한 메모리 요구 사항이 감소합니다. Threat Defense의 액세스 정책을 통해 최적의 메모리 사용을 촉진하는 개체 그룹 검색을 활성화하는 것이 좋습니다.

  참고	Management Center 또는 Threat Defense 6.6 이전 버전에서는 개체 그룹 검색을 사용할 수 없습니다. 개체 그룹 검색은 공유 구성 플로우에 대해 지원되지 않으므로 비활성화됩니다. 시간 기반 개체

• 시간 기반 개체

  Secure Firewall 마이그레이션 툴이 액세스 규칙을 참조하는 시간 기반 개체를 탐지하면 Secure Firewall 마이그레이션 툴은 시간 기반 개체를 마이그레이션하고 개별 액세스 규칙과 매핑합니다. Review and Validate Configuration(구성 검토 및 검증) 페이지의 규칙에 따라 개체를 검증합니다.

  시간 기반 개체는 시간 기간을 기준으로 네트워크 액세스를 허용하는 액세스 목록 유형입니다. 특정 시간 또는 요일을 기준으로 아웃바운드 또는 인바운드 트래픽을 제한해야 하는 경우 유용합니다.

  참고	소스 FDM 매니지드 디바이스에서 대상 FTD로 표준 시간대 구성을 수동으로 마이그레이션해야 합니다.

• 사이트 간 VPN 터널

  • 사이트 간 VPN - Secure Firewall 마이그레이션 툴이 소스 FDM 매니지드 디바이스에서 암호화 맵 구성을 탐지하면 Secure Firewall 마이그레이션 툴은 암호화 맵을 Point-to-Point 토폴로지로 Management Center VPN에 마이그레이션합니다.

  • FDM 매니지드 디바이스의 암호화 맵(정적/유동) 기반 VPN

  • 경로 기반(VTI) 기반 FDM VPN

  • FDM 매니지드 디바이스의 인증서 기반 VPN 마이그레이션

  • Management Center로의 FDM 매니지드 디바이스 트러스트 포인트 또는 인증서 마이그레이션은 수동으로 수행해야 하며, 마이그레이션 전 활동의 일부입니다.

• 유동 경로 개체, BGP 및 EIGRP

  • Policy-List

  • Prefix-List

  • 커뮤니티 목록

  • AS(Autonomous System)-경로

• 원격 액세스 VPN

  • SSL 및 IKEv2 프로토콜

  • 인증 방법 - AAA 전용, 클라이언트 인증서 전용, SAML, AAA, 클라이언트 인증서

  • AAA - Radius, 로컬, LDAP 및 AD

  • 연결 프로파일, 그룹-정책, Dynamic Access Policy, LDAP 속성 맵, 인증서 맵

  • 표준 및 확장 ACL

  • 마이그레이션 전 활동의 일부로 다음을 수행합니다.

    • FDM 매니지드 디바이스 트러스트 포인트를 Management Center에 PKI 개체로 수동 마이그레이션합니다.

    • 소스 FDM 매니지드 디바이스에서 AnyConnect 패키지, Hostscan 파일(Dap.xml, Data.xml, Hostscan 패키지), 외부 브라우저 패키지 및 AnyConnect 프로파일을 검색합니다.

    • 모든 AnyConnect 패키지를 Management Center에 업로드합니다.

    • AnyConnect 프로파일을 Management Center에 직접 업로드하거나 Secure Firewall 마이그레이션 툴에서 업로드합니다.

• 악성코드 및 파일 정책

  • 마이그레이션 툴은 FDM 매니지드 디바이스의 악성코드 및 파일 정책을 액세스 제어 정책의 각 규칙에 추가하며, 이는 대상 Management Center로 푸시합니다.

  • Block Malware All(악성코드 모두 차단) 및 Malware Cloud Look up - No Block(악성코드 클라우드 조회 - 차단 없음)과 같은 기본 파일 정책이 생성됩니다.

• SSL 암호 해독 정책

• SNMP

  • SNMPv1 및 SNMPv2의 경우, Optimize, Review and Validate Configuration(구성 최적화, 검토 및 검증) 페이지에서 커뮤니티 문자열을 수동으로 업데이트해야 합니다.

  • SNMPv3의 경우, Optimize, Review and Validate Configuration(구성 최적화, 검토 및 검증)에서 사용자 인증 및 사용자 암호화 비밀번호를 수동으로 제공해야 합니다.

부분적으로 지원되는 FDM 매니지드 디바이스 구성

Secure Firewall 마이그레이션 툴은 다음 FDM 매니지드 디바이스 구성의 마이그레이션을 부분적으로 지원합니다. 이러한 구성 중 일부에는 고급 옵션을 포함하며 고급 옵션 없이 마이그레이션되는 규칙이 있습니다. Management Center에서 이러한 고급 옵션을 지원하는 경우 마이그레이션이 완료된 후 수동으로 구성할 수 있습니다.

• 심각도 및 시간 간격과 같은 고급 기록 설정으로 구성된 액세스 제어 정책 규칙.

• 추적 옵션으로 구성된 정적 경로.

• 인증서 기반 VPN 마이그레이션.

• 유동 경로 개체, EIGRP 및 BGP.

  • Route-Map

지원되지 않는 FDM 매니지드 디바이스 구성

Secure Firewall 마이그레이션 툴은 다음 FDM 매니지드 디바이스 구성의 마이그레이션을 지원하지 않습니다. Management Center에서 이러한 구성을 지원하는 경우 마이그레이션이 완료된 후 수동으로 구성을 구성할 수 있습니다.

• SGT 기반 액세스 제어 정책 규칙

• SGT 기반 개체

• 사용자 기반 액세스 제어 정책 규칙

• 블록 할당 옵션으로 구성된 NAT 규칙

• 지원되지 않는 ICMP 유형 및 코드가 포함된 개체

• 터널링 프로토콜 기반 액세스 제어 정책 규칙

  참고	Secure Firewall 마이그레이션 툴 및 Management Center 6.5에서 사전 필터를 지원합니다.

• SCTP로 구성된 NAT 규칙

• 호스트 '0.0.0.0'으로 구성된 NAT 규칙

• SLA 추적으로 DHCP 또는 PPPoE를 통해 얻은 기본 경로

• SLA 모니터 스케줄

• 전송 모드 IPsec transform-set

• Management Center로의 FDM 매니지드 디바이스 트러스트 포인트 마이그레이션

• BGP용 투명 방화벽 모드

• SNMPv3 사용자 그룹 및 호스트 그룹

FDM 매니지드 디바이스 및 Threat Defense의 개체

FDM 매니지드 디바이스 구성 파일에는 Threat Defense로 마이그레이션할 수 있는 다음과 같은 개체가 포함되어 있습니다.

• 네트워크 개체

• 서비스 개체(Threat Defense에서는 포트 개체라고 함)

• IP SLA 개체

• 시간 기반 개체

• VPN 개체(IKEv1/IKEv2 정책, IKEv1/IKEv2 IPsec-Proposal)

• 유동 경로 개체(정책 목록, 접두사 목록, 커뮤니티 목록, AS 경로, 액세스 목록 및 루트 맵)

• 라우팅 모드에서 지원되는 BGP 및 EIGRP

• RA VPN 개체

• 그룹 정책

• AAA 개체(Radius, SAML, 로컬 영역, AD/LDAP/LDAPS 영역)

• 주소 풀(IPv4 및 IPv6)

• 연결 프로파일

• LDAP 속성 맵

• IKEv2 정책

• IKEv2 IPsec-Proposal

• 인증서 맵

• DAP

• 침입 정책

• 침입 규칙

FDM 매니지드 디바이스 마이그레이션 지침

다음은 Secure Firewall 마이그레이션 툴을 사용하여 FDM 매니지드 디바이스 구성을 마이그레이션하기 위한 지침입니다.

• 각 FDM 매니지드 디바이스 개체에 고유한 이름과 구성이 있음 - Secure Firewall 마이그레이션 툴은 변경 없이 개체를 마이그레이션합니다.

• FDM 매니지드 디바이스 개체의 이름에 Management Center에서 지원하지 않는 특수 문자가 하나 이상 포함되어 있음 - Secure Firewall 마이그레이션 툴은 개체 이름의 특수 문자 이름을 "_" 문자로 변경하여 Management Center 개체 명명 기준을 충족합니다.

• FDM 매니지드 디바이스 개체의 이름과 구성이 Management Center의 기존 개체와 동일 - Secure Firewall 마이그레이션 툴은 Threat Defense 구성을 위해 Management Center 개체를 재사용하고 FDM 매니지드 디바이스 개체를 마이그레이션하지 않습니다.

• 여러 FDM 매니지드 디바이스 개체가 대소문자가 다르지만 이름이 같음 - Secure Firewall 마이그레이션 툴이 Threat Defense 개체 명명 기준에 맞게 이름을 바꿉니다.

중요사항	Secure Firewall 마이그레이션 툴은 모든 개체 및 개체 그룹의 이름과 구성을 전부 분석합니다. 그러나 원격 액세스 VPN 구성의 XML 프로파일은 이름만 사용하여 분석됩니다.

FDM 매니지드 디바이스 구성 제한 사항

소스 FDM 매니지드 디바이스 구성을 마이그레이션하는 경우 다음과 같은 제한 사항이 있습니다.

• 지원되지 않는 개체 및 NAT 규칙은 마이그레이션되지 않습니다.

• 지원되지 않는 ACL 규칙은 비활성화된 규칙으로 Management Center에 마이그레이션됩니다.

• 지원되는 모든 FDM 매니지드 디바이스 암호화 맵 VPN은 Management Center Point-to-Point 토폴로지로 마이그레이션됩니다.

• 지원되지 않거나 불완전한 정적 암호화 맵 VPN 토폴로지는 마이그레이션되지 않습니다.

• 일부 FDM 매니지드 디바이스 구성(예: 유동 라우팅을 Threat Defense로 마이그레이션)은 마이그레이션할 수 없습니다. 이러한 컨피그레이션은 수동으로 마이그레이션해야 합니다.

• 중첩된 서비스 개체 그룹 또는 포트 그룹은 Management Center에서 지원되지 않습니다. 변환 과정에서 Secure Firewall 마이그레이션 툴은 참조된 중첩 개체 그룹 또는 포트 그룹의 콘텐츠를 확장합니다.

• Secure Firewall 마이그레이션 툴은 한 라인에 있는 소스 및 대상 포트를 포함한 확장 서비스 개체 또는 그룹을 여러 라인에 걸친 서로 다른 개체로 분할합니다. 이러한 액세스 제어 규칙에 대한 참조는 정확히 동일한 의미의 Management Center 규칙으로 변환됩니다.

• 소스 FDM 매니지드 디바이스 구성에 특정 터널링 프로토콜(예: GRE, IP-in-IP 및 IPv6-in-IP)을 참조하지 않는 액세스 제어 규칙이 있지만 이러한 규칙이 FDM 매니지드 디바이스의 암호화되지 않은 터널 트래픽과 일치하는 경우, Threat Defense로 마이그레이션 시 해당 규칙이 FDM 매니지드 디바이스에서와 동일한 방식으로 동작하지 않습니다. Threat Defense에서 사전 필터 정책에 이에 대한 특정 터널 규칙을 생성하는 것이 좋습니다.

• 지원되는 FDM 매니지드 디바이스 암호화 맵은 Point-to-Point 토폴로지로 마이그레이션됩니다.

• Management Center에 동일한 이름의 AS 경로 개체가 표시되면 다음 오류 메시지와 함께 마이그레이션이 중지됩니다.

  "충돌하는 AS 경로 개체 이름이 Management Center에서 탐지되었습니다. 계속 진행하려면 Management Center의 충돌을 해결하십시오."

• 경로 맵 개체가 Secure Firewall 마이그레이션 툴을 사용하여 부분적으로 마이그레이션됩니다. API 제한으로 인해 match 및 set 절은 지원되지 않습니다.

• ID 정책, SSL 정책, 보안 인텔리전스, SGT 및 사용자 기반 규칙과 같은 레이어 7 정책은 API 제한으로 인해 마이그레이션되지 않습니다.

RA VPN 마이그레이션에 대한 제한 사항

원격 액세스 VPN 마이그레이션은 다음과 같은 제한 사항과 함께 지원됩니다.

• 사용자 지정 속성, SSL 설정 및 VPN 로드 밸런싱 마이그레이션은 API 제한으로 인해 지원되지 않습니다.

• LDAP 서버가 암호화 유형이 "none(없음)"인 상태로 마이그레이션됩니다.

• 정책이 전체 Management Center에 적용되므로 DfltGrpPolicy는 마이그레이션되지 않습니다. Management Center에서 직접 필요한 변경을 수행할 수 있습니다.

• Radius 서버의 경우 유동 권한 부여가 활성화되면 AAA 서버 연결은 유동 라우팅이 아닌 인터페이스를 통해 이루어져야 합니다. 인터페이스 없이 유동 권한 부여가 활성화된 AAA 서버에서 FDM 매니지드 디바이스 구성이 발견되면 Secure Firewall 마이그레이션 툴은 유동 권한 부여를 무시합니다. Management Center에서 인터페이스를 선택한 후 유동 권한 부여를 수동으로 활성화해야 합니다.

• 우회 액세스 제어 sysopt permit-vpn 옵션은 RA VPN 정책에서 활성화되지 않습니다. 그러나 필요한 경우 Management Center에서 활성화할 수 있습니다.

• 프로파일이 Secure Firewall 마이그레이션 툴에서 Management Center로 업로드된 경우에만 AnyConnect 클라이언트 모듈 및 프로파일 값을 그룹 정책에 따라 업데이트할 수 있습니다.

• Management Center에서 직접 인증서를 매핑해야 합니다.

• IKEv2 매개변수는 기본적으로 마이그레이션되지 않습니다. Management Center를 통해 추가해야 합니다.

Management Center

Management Center는 자체 서버 하드웨어에서 실행되거나 하이퍼바이저에서 가상 디바이스로 실행되는 강력한 웹 기반 다중 디바이스 관리자입니다. 온프레미스 및 가상 Management Center를 모두 마이그레이션을 위한 대상 Management Center로 사용할 수 있습니다.

Management Center는 마이그레이션에 대한 다음 지침을 충족해야 합니다.

• 마이그레이션에 지원되는 소프트웨어 버전에 설명된 대로 마이그레이션에 지원되는 Management Center 소프트웨어 버전.

• 다음에 설명된 대로 인터페이스에서 마이그레이션하려는 모든 기능을 포함하는 Threat Defense용 스마트 라이선스를 얻고 설치해야 합니다.

  • Cisco.com에 있는 Cisco 스마트 어카운트의 Getting Started(시작하기) 섹션

  • Cisco Smart Software Manager에 Firewall Management Center를 등록합니다.

  • Firewall 시스템 라이선싱

  • Management Center에서 REST API를 활성화해야 합니다.

    Management Center 웹 인터페이스에서 System(시스템) > Configuration(구성) > Rest API Preferences(Rest API 환경 설정) > Enable Rest API(Rest API 활성화)로 이동하여 Enable Rest API(Rest API 활성화) 확인란을 선택합니다.

    중요사항	REST API를 활성화하려면 Management Center에서 관리자 사용자 역할이 있어야 합니다. Management Center 사용자 역할에 대한 자세한 내용은 User Roles(사용자 역할)를 참조하십시오.

클라우드 제공 Firewall Management Center

클라우드 제공 Firewall Management Center는 Threat Defense 디바이스를 위한 관리 플랫폼이며, Cisco Defense Orchestrator를 통해 제공됩니다. 클라우드 제공 Firewall Management Center는 Management Center와 동일한 여러 기능을 제공합니다.

CDO에서 클라우드 제공 Firewall Management Center에 액세스할 수 있습니다. CDO는 SDC(Secure Device Connector)를 통해 클라우드 제공 Firewall Management Center에 연결합니다. 클라우드 제공 Firewall Management Center에 대한 자세한 내용은 클라우드 제공 Firewall Management Center를 사용하여 Cisco Secure Firewall Threat Defense 디바이스 관리를 참고하십시오.

Secure Firewall 마이그레이션 툴은 클라우드 제공 Firewall Management Center를 마이그레이션 대상 Management Center로 지원합니다. 마이그레이션 대상 Management Center로 클라우드 제공 Firewall Management Center를 선택하려면 CDO 지역을 추가하고 CDO 포털에서 API 토큰을 생성해야 합니다.