단계 1

컴퓨터에서 Secure Firewall 마이그레이션 툴용 폴더를 생성합니다.

단계 2

https://software.cisco.com/download/home/286306503/type으로 이동하여 Firewall 마이그레이션 툴을 클릭합니다.

단계 3

생성한 폴더에 최신 버전의 Secure Firewall 마이그레이션 툴을 다운로드합니다.

단계 1

컴퓨터에서 Secure Firewall 마이그레이션 툴을 다운로드한 폴더로 이동합니다.

단계 2

다음 중 하나를 수행합니다.

• Windows 시스템에서 Secure Firewall 마이그레이션 툴 실행 파일을 더블 클릭하여 Google Chrome 브라우저에서 실행합니다.

  프롬프트가 표시되면 Yes(예)를 클릭하여 Secure Firewall 마이그레이션 툴에서 시스템을 변경할 수 있도록 허용합니다.

  Secure Firewall 마이그레이션 툴은 Log(로그) 및 Resources(리소스) 폴더를 포함하여 해당 파일이 있는 폴더에 모든 관련 파일을 생성하고 저장합니다.

• Mac에서 Secure Firewall 마이그레이션 툴*.command 파일을 원하는 폴더로 이동하고, 터미널 애플리케이션을 실행하고, Secure Firewall 마이그레이션 툴이 설치된 폴더로 이동한 후 다음 명령을 실행합니다.

  # chmod 750 Firewall_Migration_Tool-version_number.command

  # ./Firewall_Migration_Tool-version_number.command

  Secure Firewall 마이그레이션 툴은 Log(로그) 및 Resources(리소스) 폴더를 포함하여 해당 파일이 있는 폴더에 모든 관련 파일을 생성하고 저장합니다.

  팁	Secure Firewall 마이그레이션 툴을 열려고 하면 확인된 개발자가 Secure Firewall 마이그레이션 툴을 Apple에 등록하지 않았으므로 경고 대화 상자가 표시됩니다. 확인되지 않은 개발자로부터 애플리케이션을 여는 방법에 대한 자세한 내용은 확인되지 않은 개발자의 앱 열기를 참고하십시오.

  참고	MAC 터미널 압축 방법을 사용합니다.

단계 3

Cisco와 텔레메트리 정보를 공유하려는 경우 End User License Agreement(엔드 유저 라이선스 계약) 페이지에서 I agree to share data with Cisco Success Network(Cisco Success Network와 데이터 공유 동의)를 클릭하고, 그렇지 않은 경우 I'll do later(나중에)를 클릭합니다.

단계 4

Secure Firewall 마이그레이션 툴의 로그인 페이지에서 다음 중 하나를 수행합니다.

• Cisco Success Network와 통계를 공유하려면 Login with CCO(CCO로 로그인) 링크를 클릭하여 SSO(Single Sign-On, 단일 인증) 자격 증명으로 Cisco.com 계정에 로그인합니다. Cisco.com 계정이 없는 경우 Cisco.com 로그인 페이지에서 생성합니다.

  Cisco.com 계정을 사용하여 로그인한 경우 8단계로 진행합니다.

• 인터넷 액세스가 불가능한 에어 갭(air-gapped) 네트워크에 방화벽을 구축한 경우 Cisco TAC에 문의하여 관리자 자격 증명을 사용하는 빌드를 받으십시오. 이 빌드는 시스코에 사용량 통계를 보내지 않으며, TAC가 자격 증명을 제공할 수 있습니다.

단계 5

Reset Password(비밀번호 재설정) 페이지에서 이전 비밀번호와 새 비밀번호를 입력하고 확인을 위해 새 비밀번호를 다시 입력합니다.

단계 6

Reset(재설정)을 클릭합니다.

단계 7

새 비밀번호로 로그인합니다.

단계 8

마이그레이션 전 체크리스트를 검토하고 나열된 모든 항목을 완료했는지 확인합니다.

단계 9

New Migration(새 마이그레이션)을 클릭합니다.

단계 10

Secure Firewall 마이그레이션 툴의 최신 버전을 실행하고 있는지 확실하지 않은 경우 Software Update Check(소프트웨어 업데이트 확인) 화면에서 Cisco.com을 통해 버전을 확인하는 링크를 클릭합니다.

단계 11

Proceed(진행)를 클릭합니다.

단계 1

단계 2

Context Selection(컨텍스트 선택) 섹션을 검토하고 마이그레이션할 Fortinet VDOM을 선택합니다.

단계 3

Start Parsing(구문 분석 시작)을 클릭합니다.

단계 4

업로드된 구성 파일에서 Secure Firewall 마이그레이션 툴이 감지하고 구문 분석한 요소에 대한 요약을 검토합니다.

단계 5

Next(다음)를 클릭하여 대상 매개변수를 선택합니다.

단계 1

Select Target(대상 선택) 화면의 Firewall Management(방화벽 관리) 섹션에서 다음을 수행합니다. 온프레미스 Firewall Management Center 또는 클라우드 제공 Firewall Management Center로 마이그레이션하도록 선택할 수 있습니다.

1. On-Prem FMC(온프레미스 FMC) 라디오 버튼을 클릭합니다.

2. Management Center의 IP 주소 또는 FQDN(정규화된 도메인 이름)을 입력합니다.

3. Domain(도메인) 드롭다운 목록에서 마이그레이션할 도메인을 선택합니다.

   Threat Defense 디바이스로 마이그레이션하려는 경우 선택한 도메인에서 사용 가능한 Threat Defense 디바이스로만 마이그레이션할 수 있습니다.

4. Connect(연결)를 클릭하고 2단계로 진행합니다.

1. Cloud 사용 FMC 라디오 버튼을 클릭합니다.

2. 지역을 선택하고 보안 클라우드 제어 API 토큰을 붙여넣습니다. API 토큰을 생성합니다. 보안 클라우드 제어에서 다음 단계를 수행합니다.

   1. 보안 클라우드 제어에 로그인합니다.

   2. 오른쪽 상단에서 Preferences(환경 설정) > General Preferences(일반 환경설정)로 이동하여 My Tokens(내 토큰) 섹션의 API 토큰을 복사합니다.

3. Connect(연결)를 클릭하고 2단계로 진행합니다.

단계 2

Firewall Management Center Login(Firewall Management Center 로그인) 대화 상자에서 Secure Firewall 마이그레이션 툴 전용 계정의 사용자 이름과 비밀번호를 입력하고 Login(로그인)을 클릭합니다.

단계 3

Proceed(진행)를 클릭합니다.

단계 4

Choose FTD(FTD 선택) 섹션에서 다음 중 하나를 수행합니다.

• Select FTD Device(FTD 디바이스 선택) 드롭다운 목록을 클릭하고 Fortinet 구성을 마이그레이션할 디바이스를 선택합니다.

  선택한 Management Center 도메인의 디바이스가 IP Address(IP 주소), Name(이름), Device Model(디바이스 모델) 및 Mode(모드)(라우팅 또는 투명)별로 나열됩니다.

  참고	최소한, 선택하는 Threat Defense 네이티브 디바이스가 마이그레이션하는 Fortinet 컨피그레이션과 동일한 수의 물리적인터페이스 또는 포트 채널 인터페이스를 가져야 합니다. 최소한, Threat Defense 디바이스의 컨테이너 인스턴스가 동일한 수의 물리적 인터페이스 또는 포트 채널 인터페이스 및 하위 인터페이스를 가져야 합니다. Fortinet 컨피그레이션과 동일한 방화벽 모드로 디바이스를 구성해야 합니다. 그러나 이러한 인터페이스가 두 디바이스에서 동일한 이름을 가질 필요는 없습니다.

  참고

  지원되는 대상 Threat Defense 플랫폼이 Management Center 버전 6.5 이상을 사용하는 Firewall 1010인 경우에만 FDM 5505 마이그레이션 지원은 공유 정책에 적용되며 디바이스별 정책에는 적용되지 않습니다. Threat Defense 없이 진행하면 Secure Firewall 마이그레이션 툴이 Threat Defense에 구성 또는 정책을 푸시하지 않습니다. 따라서 Threat Defense 디바이스별 구성인 인터페이스 및 경로, 사이트 간 VPN은 마이그레이션되지 않습니다. 그러나 NAT, ACL 및 포트 개체와 같은 지원되는 다른 모든 컨피그레이션(공유 정책 및 개체)은 마이그레이션됩니다. 원격 액세스 VPN은 공유 정책이며 Threat Defense 없이도 마이그레이션할 수 있습니다.

  원격 구축이 활성화된 상태에서 Management Center 또는 Threat Defense 6.7 이상으로의 Fortinet 방화벽 마이그레이션은 Secure Firewall 마이그레이션 툴에서 지원됩니다. 하지만 인터페이스와 경로는 수동으로 마이그레이션해야 합니다.

• 컨피그레이션을 Management Center로 마이그레이션하려면 Proceed without FTD(FTD 없이 진행)를 클릭합니다.

  Threat Defense 없이 진행하면 Secure Firewall 마이그레이션 툴이 Threat Defense에 구성 또는 정책을 푸시하지 않습니다. 따라서 Threat Defense 디바이스별 구성인 인터페이스 및 라우트, 사이트 간 VPN은 마이그레이션되지 않으며, Management Center에서 수동으로 구성해야 합니다. 그러나 NAT, ACL 및 포트 개체와 같은 지원되는 다른 모든 컨피그레이션(공유 정책 및 개체)은 마이그레이션됩니다. 원격 액세스 VPN은 공유 정책이며 Threat Defense 없이도 마이그레이션할 수 있습니다.

단계 5

Proceed(진행)를 클릭합니다.

단계 6

Select Features(기능 선택) 섹션을 클릭하여 대상으로 마이그레이션할 기능을 검토하고 선택합니다.

• 대상 Threat Defense 디바이스로 마이그레이션하는 경우 Secure Firewall 마이그레이션 툴이 Device Configuration(디바이스 구성) 및 Shared Configuration(공유 구성) 섹션의 Fortinet 구성에서 마이그레이션에 사용할 수 있는 기능을 자동으로 선택합니다. 요구 사항에 따라 기본 선택 항목을 추가로 수정할 수 있습니다.
• Management Center로 마이그레이션하는 경우 Secure Firewall 마이그레이션 툴이 Device Configuration(디바이스 구성) 및 Shared Configuration(공유 구성) 및 Optimization(최적화) 섹션에서 Fortinet 구성에서 마이그레이션에 사용할 수 있는 기능을 자동으로 선택합니다. 요구 사항에 따라 기본 선택 항목을 추가로 수정할 수 있습니다.
• Fortinet 방화벽에서 구성을 마이그레이션할 때 Fortinet 방화벽에 VPN이 구성되어 있는 경우 Select Features(기능 선택) 창에서 다음을 수행해야 합니다.

  • 마이그레이션 툴은 Device Configuration(디바이스 설정)아래에 사이트 간 VPN 기능이 표시됩니다. 요구 사항에 따라 Policy Based (Crypto Map)(정책 기반(암호화 맵)) 또는 Route Based (VTI)(경로 기반(VTI))를 선택합니다.

  • 마이그레이션 툴의 Shared Configuration(공유 구성) 아래에 원격 액세스 VPN 기능이 표시됩니다.

  • SSL VPN 또는 IPsec VPN과 SSL VPN 둘 다 선택합니다.

    참고	사전 공유 키 기반(PSK 기반) 또는 인증서 기반 인증은 원격 액세스 VPN 구성에 대해 Management Center에서 지원되지 않으므로 IPsec VPN만 선택할 수 없습니다.

  Fortinet 방화벽 구성에 사이트 간 및 원격 액세스 VPN이 구성되어 있는 경우, 이는 Select Features(기능 선택) 창에 기본적으로 선택됩니다. 필요한 경우 확인란을 사용하여 선택을 취소합니다.

• Secure Firewall 마이그레이션 툴은 마이그레이션 중에 ACL에 대한 대상 영역의 매핑을 활성화하는 대상 보안 영역을 지원합니다.

  소스 및 대상 네트워크 개체 또는 그룹과 서비스 개체 또는 그룹의 특성에 따라 이 작업으로 인해 Fortinet에서 Management Center로 마이그레이션할 때 ACL 규칙이 급증할 수 있습니다.

• (선택 사항) Optimization(최적화) 섹션에서 Migrate only referenced objects(참조된 개체만 마이그레이션)를 선택하여 액세스 제어 정책 및 NAT 정책에서 참조되는 개체만 마이그레이션합니다.

  참고	이 옵션을 선택하면 Fortinet 구성에서 참조되지 않는 개체는 마이그레이션되지 않습니다. 이렇게 하면 마이그레이션 시간이 최적화되고 컨피그레이션에서 사용되지 않는 개체가 제거됩니다.

단계 7

Proceed(진행)를 클릭합니다.

단계 8

Rule Conversion/ Process Config(규칙 변환/프로세스 컨피그레이션) 섹션에서 Start Conversion(변환 시작)을 클릭하여 변환을 시작합니다.

단계 9

Secure Firewall 마이그레이션 툴에서 변환한 요소의 요약을 검토합니다.

단계 10

Download Report(보고서 다운로드)를 클릭하고 Pre-Migration Report(마이그레이션 전 보고서)를 저장합니다.

단계 1

Pre-Migration Report(마이그레이션 전 보고서)를 다운로드한 위치로 이동합니다.

단계 2

Pre-Migration Report(마이그레이션 전 보고서)를 열고 내용을 신중하게 검토하여 마이그레이션의 실패를 일으킬 수 있는 문제를 파악합니다.

단계 3

Pre-Migration Report(마이그레이션 전 보고서)에서 시정 조치를 권장하는 경우, 계속하기 전에 Fortinet 인터페이스에서 해당 시정 조치를 완료하고 Fortinet 구성 파일을 다시 내보낸 후 업데이트된 구성 파일을 업로드하십시오.

단계 4

Fortinet 구성 파일이 성공적으로 업로드되고 구문 분석된 후 Secure Firewall 마이그레이션 툴로 돌아가 Next(다음)를 클릭하여 마이그레이션을 계속합니다.

단계 1

인터페이스 매핑을 변경하려면 FTD Interface Name(FTD 인터페이스 이름)의 드롭다운 목록을 클릭하고 해당 Fortinet 인터페이스에 매핑할 인터페이스를 선택합니다.

단계 2

각 Fortinet 인터페이스를 Threat Defense 인터페이스에 매핑했으면 Next(다음)를 클릭합니다.

단계 1

Management Center에 존재하는, 즉 구성 파일에서 보안 영역 유형 개체로 사용 가능하고 드롭다운 목록에서 사용 가능한 보안 영역 및 인터페이스 그룹에 인터페이스를 매핑하려면 다음과 같이 합니다.

1. Security Zones(보안 영역) 열에서 해당 인터페이스의 보안 영역을 선택합니다.

2. Interface Groups(인터페이스 그룹) 열에서 해당 인터페이스의 인터페이스 그룹을 선택합니다.

단계 2

Management Center에 존재하는 보안 영역에 인터페이스를 매핑하려면 Security Zones(보안 영역) 열에서 해당 인터페이스의 보안 영역을 선택합니다.

단계 3

보안 영역을 수동으로 매핑하거나 자동으로 생성할 수 있습니다.

1. Add SZ(SZ 추가)를 클릭합니다.

2. Add SZ(SZ 추가) 대화 상자에서 Add(추가)를 클릭하여 새 보안 영역을 추가합니다.

3. Security Zone(보안 영역) 열에 보안 영역 이름을 입력합니다. 허용되는 최대 문자 수는 48자입니다.

4. Close(닫기)를 클릭합니다.

1. Auto-Create(자동 생성)를 클릭합니다.

2. Auto-Create(자동 생성) 대화 상자에서 Zone Mapping(영역 매핑)을 선택합니다.

3. Auto-Create(자동 생성)를 클릭합니다.

단계 4

모든 인터페이스를 적절한 보안 영역에 매핑했으면 Next(다음)를 클릭합니다.

단계 1

Optimize, Review and Validate Configuration(구성 최적화, 검토 및 검증) 화면에서 Access Control Rules(액세스 제어 규칙)를 클릭하고 다음과 같이 합니다.

1. 테이블의 각 항목에 대해 매핑을 검토하고 올바른지 확인합니다.

   마이그레이션된 액세스 정책 규칙은 ACL 이름을 접두사로 사용하고 ACL 정책 ID를 추가하므로 Fortinet 구성 파일에 다시 쉽게 매핑할 수 있습니다. 예를 들어 Fortinet ACL의 이름이 "inside_access"인 경우 ACL의 첫 번째 규칙(또는 ACE) 라인은 "inside_access_# 1"로 지정됩니다. TCP/UDP 조합, 확장된 서비스 개체 또는 기타 사유로 인해 규칙을 확장해야 하는 경우 Secure Firewall 마이그레이션 툴이 이름에 번호가 지정된 접미사를 추가합니다. 예를 들어 허용 규칙이 마이그레이션을 위해 두 개의 규칙으로 확장되는 경우 이름이 "inside_access _#1-1"및 "inside_access_#1-2"로 지정됩니다.

   지원되지 않는 개체를 포함하는 규칙의 경우 Secure Firewall 마이그레이션 툴이 이름에 "_UNSUPPORTED" 접미사를 추가합니다.

2. 하나 이상의 액세스 제어 목록 정책을 마이그레이션하지 않으려면 해당 행의 확인란을 선택하고 Actions(작업) Do not migrate(마이그레이션 하지 않음)을 선택한 다음 Save(저장)를 클릭합니다.

   마이그레이션하지 않도록 선택하는 모든 규칙은 테이블에서 회색으로 표시됩니다.

3. 하나 이상의 액세스 제어 정책에 Management Center 파일 정책을 적용하려면 해당 행의 체크 박스를 선택하고 Actions(작업) > File Policy(파일 정책)를 선택합니다.

   File Policy(파일 정책) 대화 상자에서 적절한 파일 정책을 선택하고 선택한 액세스 제어 정책에 적용한 후 Save(저장)를 클릭합니다.

4. 하나 이상의 액세스 제어 정책에 Management Center IPS 정책을 적용하려면 해당 행의 체크 박스를 선택하고 Actions(작업) > IPS Policy(IPS 정책)를 선택합니다.

   IPS Policy(IPS 정책) 대화 상자에서 적절한 IPS 정책과 해당 변수 집합을 선택하고 선택한 액세스 제어 정책에 적용한 후 Save(저장)를 클릭합니다.

5. 기록이 활성화된 액세스 제어 규칙의 기록 옵션을 변경하려면 해당 행의 체크 박스를 선택하고 Actions(작업) > Log(로그)를 선택합니다.

   Log(로그) 대화 상자에서 연결 시작 또는 종료 시 또는 두 경우에 모두 이벤트 기록을 활성화할 수 있습니다. 기록을 활성화한 경우 Event Viewer(이벤트 뷰어) 또는 Syslog(시스템 로그) 또는 둘 다에 연결 이벤트를 보내도록 선택해야 합니다. 시스템 로그 서버에 연결 이벤트를 전송하도록 선택하는 경우 Syslog(시스템 로그) 드롭다운 메뉴에서 Management Center에 이미 구성된 시스템 로그 정책을 선택할 수 있습니다.

6. 액세스 제어 테이블에서 마이그레이션된 액세스 제어 규칙에 대한 작업을 변경하려면 해당 행의 체크 박스를 선택하고 Actions(작업) > Rule Action(규칙 작업)을 선택합니다.

   팁	액세스 제어 규칙에 연결된 IPS 및 파일 정책은 Allow(허용) 옵션을 제외한 모든 규칙 작업 시 자동으로 제거됩니다.

   오름차순, 내림차순, 같음, 보다 큼, 보다 작음 필터링 순서 시퀀스로 ACE 수를 필터링할 수 있습니다.

   기존 필터 기준을 지우고 새 검색을 로드하려면 Clear Filter(필터 지우기)를 클릭합니다.

   참고	ACE를 기준으로 ACL을 정렬하는 순서는 보기 전용입니다. ACL은 발생한 연대순으로 푸시됩니다.

단계 2

다음 탭을 클릭하고 컨피그레이션 항목을 검토합니다.

단계 3

(선택 사항) 구성을 검토하는 동안 Network Objects(네트워크 개체) 또는 Port Objects(포트 개체) 탭에서 Actions(작업) > Rename(이름 변경)을 선택하여 하나 이상의 네트워크 또는 포트 개체의 이름을 변경할 수 있습니다.

단계 4

Routes(경로) 영역에서 경로를 보고 항목을 선택하고 Actions(작업) > Do not Migration(마이그레이션 안 함)을 선택하여 마이그레이션하지 않을 경로를 선택할 수 있습니다.

단계 5

Site-to-Site VPN Tunnels(사이트 간 VPN 터널) 섹션에는 소스 방화벽 구성의 VPN 터널이 나열됩니다. 각 행의 소스 인터페이스, VPN 유형, IKEv1 및 IKEv2 구성과 같은 VPN 터널 데이터를 검토하고 모든 행에 사전 공유 키 값을 제공하는지 확인합니다.

단계 6

여러 사이트 간 VPN 터널 구성이 포함된 구성의 경우 여러 항목에 대한 사전 공유 키를 한 번에 업데이트하려면 아래 단계를 수행합니다.

단계 7

Remote Access VPN(원격 액세스 VPN) 섹션에서는 원격 액세스 VPN에 해당하는 모든 개체가 Fortinet 에서 Management Center로 마이그레이션되며 다음과 같이 표시됩니다.

단계 8

(선택 사항) 그리드의 각 구성 항목에 대한 세부 정보를 다운로드하려면 Download(다운로드)를 클릭합니다.

단계 9

검토를 완료한 후 Validate(검증)를 클릭합니다. 확인이 필요한 필수 필드는 값을 입력할 때까지 계속 깜박입니다. 모든 필수 필드를 입력한 후에만 유효성 검사 버튼이 활성화됩니다.

단계 10

검증이 완료된 후 Validation Status(검증 상태) 대화 상자에 하나 이상의 개체 충돌이 표시되면 다음과 같이 합니다.

1. Resolve Conflicts(충돌 해결)를 클릭합니다.

   Secure Firewall 마이그레이션 툴은 개체 충돌이 보고된 위치에 따라 Network Objects(네트워크 개체) 또는 Port Objects(포트 개체) 탭 중 하나 또는 둘 다에 경고 아이콘을 표시합니다.

2. 탭을 클릭하고 개체를 검토합니다.

3. 충돌이 있는 각 개체의 항목을 확인하고 Actions(작업) > Resolve Conflicts(충돌 해결)를 선택합니다.

4. Resolve Conflicts(충돌 해결) 창에서 권장 작업을 완료합니다.

   예를 들어, 기존 Management Center 개체와의 충돌을 방지하기 위해 개체 이름에 접미사를 추가하라는 메시지가 표시될 수 있습니다. 기본 접미사를 수락하거나 자체 접미사로 대체할 수 있습니다.

5. Resolve(해결)를 클릭합니다.

6. 탭에서 모든 개체 충돌을 해결했으면 Save(저장)를 클릭합니다.

7. Validate(검증)를 클릭하여 컨피그레이션을 재검증하고 모든 개체 충돌이 해결되었는지 확인합니다.

단계 11

검증이 완료되고 Validation Status(검증 상태) 대화 상자에 Successfully Validated(검증 성공) 메시지가 표시되면 마이그레이션된 컨피그레이션을 Management Center에 푸시로 진행합니다.

단계 1

Validation Status(검증 상태) 대화 상자에서 검증 요약을 검토합니다.

단계 2

Push Configuration(구성 푸시)을 클릭하여 마이그레이션된 Fortinet 구성을 Management Center에 보냅니다.

단계 3

마이그레이션이 완료되면 Download Report(보고서 다운로드)를 클릭하여 마이그레이션 후 보고서를 다운로드하고 저장합니다.

단계 4

마이그레이션이 실패한 경우 마이그레이션 후 보고서, 로그 파일, 구문 분석되지 않은 파일을 신중하게 검토하여 실패의 원인을 파악합니다.

단계 1

Post-Migration Report(마이그레이션 후 보고서)를 다운로드한 위치로 이동합니다.

단계 2

마이그레이션 후 보고서를 열고 내용을 신중하게 검토하여 Fortinet 구성이 어떻게 마이그레이션되었는지 파악합니다.

단계 3

Pre-Migration Report(마이그레이션 전 보고서)를 열고 Threat Defense 디바이스에서 수동으로 마이그레이션해야 하는 Fortinet 구성 항목을 기록해 둡니다.

단계 4

Management Center에서 다음과 같이 합니다.

1. Threat Defense 디바이스에 대해 마이그레이션된 컨피그레이션을 검토하여 다음을 비롯한 모든 예상 규칙 및 기타 컨피그레이션 항목이 마이그레이션되었는지 확인합니다.

   • ACL(액세스 제어 목록)

   • NAT(Network Address Translation) 규칙

   • 포트 및 네트워크 개체

   • 경로

   • 인터페이스

2. 마이그레이션되지 않은 부분적으로 지원되는 항목 및 규칙, 지원되지 않는 항목 및 규칙, 무시된 항목 및 규칙, 비활성화된 항목 및 규칙을 모두 구성합니다.

   이러한 항목 및 규칙에 대한 정보는 Management Center 컨피그레이션 가이드를 참고하십시오. 다음은 수동 구성이 필요한 컨피그레이션 항목의 예입니다.

   • Threat Defense의 플랫폼 설정에 설명된 SSH 및 HTTPS 액세스를 포함한 플랫폼 설정

   • 시스템 로그 구성에 설명된 시스템 로그 설정

   • Threat Defense 라우팅 개요에 설명된 동적 라우팅

   • FlexConfig 정책에 설명된 서비스 정책

   • Threat Defense VPN에 설명된 VPN 컨피그레이션

   • 연결 기록에 설명된 연결 로그 설정

단계 5

검토를 완료한 후 마이그레이션된 컨피그레이션을 Management Center에서 Threat Defense 디바이스로 구축합니다.

단계 1

마이그레이션할 소스 Fortinet에서 전역 또는 VDOM별 컨피그레이션의 사본을 저장합니다.

단계 2

네트워크에 Firepower 2100 Series 디바이스를 구축하고 인터페이스를 연결한 다음 어플라이언스의 전원을 켭니다.

단계 3

Management Center에서 관리할 Firepower 2100 Series 디바이스를 등록합니다.

단계 4

(선택 사항) 소스 Fortinet 컨피그레이션에 집계 인터페이스가 있는 경우 대상 Firepower 2100 Series 디바이스에서 포트 채널(EtherChannels)을 생성합니다.

단계 5

https://software.cisco.com/download/home/286306503/type에서 Secure Firewall 마이그레이션 툴의 최신 버전을 다운로드하여 실행합니다.

단계 6

Secure Firewall 마이그레이션 툴을 실행하고 대상 매개변수를 지정할 때 Management Center에 등록한 Firepower 2100 Series 디바이스를 선택하십시오.

단계 7

Fortinet 인터페이스와 Threat Defense 인터페이스를 매핑합니다.

단계 8

논리적 인터페이스를 보안 영역에 매핑하는 동안 Auto-Create(자동 생성)를 클릭하여 Secure Firewall 마이그레이션 툴이 새 보안 영역을 생성하도록 허용합니다. 기존 보안 영역을 사용하려면 Fortinet 논리적 인터페이스를 보안 영역에 수동으로 매핑합니다.

단계 9

이 가이드의 지침에 따라 마이그레이션할 컨피그레이션을 순차적으로 검토 및 검증한 다음 컨피그레이션을 Management Center로 푸시합니다.

단계 10

마이그레이션 후 보고서를 검토하고 Threat Defense 에 다른 컨피그레이션을 수동으로 설정하고 구축한 다음 마이그레이션을 완료합니다.

단계 11

마이그레이션을 계획하는 동안 생성한 테스트 계획을 사용하여 Firepower 2100 Series 디바이스를 테스트합니다.

단계 1

주변 스위칭 인프라에서 ARP(Address Resolution Protocol) 캐시를 지웁니다.

단계 2

주변 스위칭 인프라에서 Firepower 2100 Series 디바이스 인터페이스 IP 주소에 대한 기본 ping 테스트를 수행하여 액세스 가능한지 확인합니다.

단계 3

레이어 3 라우팅이 필요한 디바이스에서 Firepower 2100 Series 디바이스 인터페이스 IP 주소에 대한 기본 ping 테스트를 수행합니다.

단계 4

Firepower 2100 Series 디바이스에 새 IP 주소를 할당하고 에 할당된 IP 주소를 재사용하지 않는 경우 다음 단계를 수행합니다.

단계 5

Firepower 2100 디바이스에 대해 관리 Management Center 내에서 포괄적인 테스트 계획을 실행하고 로그를 모니터링합니다.