运行迁移

从 Cisco.com 下载防火墙迁移工具

开始之前

您必须拥有 Windows 10 64 位或者 macOS 10.13 或更高版本的计算机,并通过互联网连接至 Cisco.com。

过程

步骤 1

在您的计算机上,为防火墙迁移工具创建一个文件夹。

建议您不要在此文件夹中存储任何其他文件。当防火墙迁移工具启动时,它会将日志、资源和所有其他文件置于此文件夹中。

 
每当您下载最新版本的防火墙迁移工具时,请确保创建新文件夹,而不使用现有文件夹。
步骤 2

浏览到 https://software.cisco.com/download/home/286306503/type,然后点击防火墙迁移工具 (Firewall Migration Tool)

上面的链接会引导您进入防火墙 NGFW Virtual 下面的防火墙迁移工具。您还可以从 威胁防御 设备下载区域中下载防火墙迁移工具。

步骤 3

将防火墙迁移工具的最新版本下载到您创建的文件夹中。

下载适用于 Windows 或 macOS 计算机的防火墙迁移工具的相应可执行文件。

启动防火墙迁移工具
当您启动防火墙迁移工具时,会在单独的窗口中打开控制台。进行迁移时,控制台会显示防火墙迁移工具中的当前步骤的进度。如果控制台未显示在屏幕上,则它最有可能隐藏在防火墙迁移工具后。

开始之前

过程

步骤 1

在您的计算机上,导航至已在其中下载防火墙迁移工具的文件夹。

步骤 2

执行以下操作之一:

  • 在您的 Windows 计算机上,双击防火墙迁移工具可执行文件,在 Google Chrome 浏览器中启动它。

    如果出现提示,请点击是 (Yes),以允许防火墙迁移工具对您的系统作出更改。

    防火墙迁移工具会创建所有相关文件并将文件存储在其驻留的文件夹中,包括日志和资源文件夹。

  • 在 Mac 上,将防火墙迁移工具 *.command 文件移动到所需文件夹,启动终端应用,浏览到安装防火墙迁移工具的文件夹并运行以下命令:

    # chmod 750 Firewall_Migration_Tool-version_number.command

    # ./Firewall_Migration_Tool-version_number.command

    防火墙迁移工具会创建所有相关文件并将文件存储在其驻留的文件夹中,包括日志和资源文件夹。

    提示 
    当您尝试打开防火墙迁移工具时,因为没有可识别的开发人员在 Apple 中注册防火墙迁移工具,系统会显示警告对话框。有关无法识别的开发人员打开应用的信息,请参阅无法识别的开发人员打开应用
     

    使用 MAC 终端 zip 方法。
步骤 3

最终用户许可协议 (End User License Agreement) 页面上,如果要与思科共享遥测信息,请点击我同意与思科成功网络共享数据 (I agree to share data with Cisco Success Network),否则请点击我稍后再执行 (I'll do later)

当您同意将统计信息发送到思科成功网络时,系统会提示您使用 Cisco.com 帐户登录。如果您选择不向思科成功网络发送统计信息,则使用本地凭证登录防火墙迁移工具。
步骤 4

在防火墙迁移工具的登录页面上,执行以下操作:

  • 要与思科成功网络共享统计信息,请点击使用 CCO 登录 (Login with CCO) 链接,用您的单点登录凭证登录您的 Cisco.com 帐户。
     
    如果您没有 Cisco.com 帐户,请在 Cisco.com 登录页面上创建帐户。
  • 使用以下默认凭证登录:

    • 用户名 - admin

    • 密码 - Admin123

如果您已使用 Cisco.com 帐户登录,请继续执行步骤 8
步骤 5

重置密码页面上,输入您的旧密码、新密码,然后确认新密码。

新密码必须包含 8 个或更多字符,并且必须包含大写和小写字母、数字和特殊字符。

步骤 6

点击重置 (Reset)
步骤 7

使用新密码登录。

 
如果忘记了密码,请从 <migration_tool_folder> 中删除所有现有数据并重新安装防火墙迁移工具。
步骤 8

查看迁移前核对表并确保您已完成所有列出的项目。

如果您未完成该核对表中的一个或多个项目,请完成所有项目,然后再继续。
步骤 9

点击新迁移 (New Migration)
步骤 10

软件更新检查 (Software Update Check) 屏幕上,如果您不确定自己是否正在运行防火墙迁移工具的最新版本,请点击 Cisco.com 上的链接以验证版本。

步骤 11

点击继续 (Proceed)

下一步做什么

您可以继续执行以下步骤:

从 Fortinet 防火墙导出配置

可以通过以下方式导出 Fortinet 防火墙配置:

从 Fortinet 防火墙 GUI 导出 Fortinet 防火墙配置

按照以下步骤从 Fortinet 防火墙 GUI 提取配置:

过程

步骤 1

从 FortiGate VM64 GUI 中,选择管理 > 配置 > 备份
步骤 2

将备份定向到本地 PC 或 USB 磁盘。

 
如果已启用 VDOM,请指明备份范围是用于整个 FortiGate 配置(全局)还是仅用于特定 VDOM 配置 (VDOM)。
步骤 3

如果备份是 VDOM 配置,请从 VDOM 列表中选择 VDOM 名称。

 
防火墙迁移工具需要未加密的文件才能继续备份过程。
步骤 4

选择确定

Web 浏览器将提示您输入保存配置文件的位置。

配置文件的扩展名为 .conf

下一步做什么

上传 Fortinet 配置文件

从 FortiManager 导出 Fortinet 防火墙配置

您可以从 FortiManager 提取相关设备配置。

过程

步骤 1

登录 FortiManager。
步骤 2

找到您必须运行备份的正确 Fortigate 设备。
步骤 3

配置和安装状态下,选择总修订旁的图标以获取最新版本。

步骤 4

点击下载 (Download),下载新配置文件。

下载的文件是扩展名为 .conf 的文件类型。

下一步做什么

上传 Fortinet 配置文件

上传 Fortinet 配置文件

开始之前

将配置文件从源 Fortinet 设备导出为 .conf.txt
不要上传手工编码的或手动更改的配置文件。文本编辑器会在文件中添加会导致迁移失败的空白行和其他问题。

过程

步骤 1

防火墙迁移工具 上传配置文件。对于大型配置文件,此步骤需要的时间较长。控制台提供一个逐行的进度日志视图,其中包含正在解析的 Fortinet 配置行。如果您没有看到控制台,可以在防火墙迁移工具后的单独窗口中找到它。情景选择 (Context Selection) 部分指定上传的配置是否对应于多情景 Fortinet
步骤 2

查看情景选择 (Context Selection) 部分,选择要迁移的 Fortinet VDOM。

步骤 3

解析摘要部分显示解析状态。

步骤 4

查看 防火墙迁移工具在上传的配置文件中检测和解析的元素的摘要信息。

步骤 5

点击下一步 (Next),选择目标参数。

下一步做什么

指定防火墙迁移工具的目标参数

指定防火墙迁移工具的目标参数

开始之前

  • 获得现场防火墙管理中心的 管理中心 的 IP 地址。

  • 从防火墙迁移工具 3.0 开始,您可以在本地防火墙管理中心或云交付的防火墙管理中心之间选择。

  • 对于云交付的防火墙管理中心,必须如云交付的防火墙管理中心迁移中所述提供区域和 API 令牌。

  • (可选)如果要迁移设备特定的配置(例如接口和路由),请将目标 威胁防御 设备添加到 管理中心。请参阅将设备添加到防火墙管理中心

  • 如果它要求您在检查和验证页面中将 IPS 或文件策略应用于 ACL,我们强烈建议您在迁移之前在 管理中心 上创建策略。使用相同的策略,因为防火墙迁移工具从连接的 管理中心 获取策略。创建新策略并将其分配给多个访问控制列表可能会降低性能,也可能导致推送失败。

过程

步骤 1

选择目标 (Select Target) 屏幕的防火墙管理 (Firewall Management) 部分中,执行以下操作:您可以选择迁移到本地防火墙管理中心或云交付的防火墙管理中心:

  • 要迁移到本地防火墙管理中心,请执行以下操作:

  1. 点击本地 FMC (On-Prem FMC) 单选按钮。

  2. 输入管理中心的 IP 地址或完全限定域名 (FQDN)。

  3. 下拉列表中,选择要迁移到的域。

    如果要迁移到 威胁防御 设备,只能迁移到所选域中可用的 威胁防御 设备。

  4. 点击连接 (Connect) 并继续步骤 2

  • 要迁移到云交付的防火墙管理中心,请执行以下操作:

  1. 点击云交付的 FMC (Cloud-delivered FMC) 单选按钮。

  2. 选择区域并粘贴 CDO API 令牌。有关生成 CDO API 令牌的信息,请参阅云交付的防火墙管理中心迁移

  3. 点击连接 (Connect) 并继续步骤 2
步骤 2

防火墙管理中心登录 (Firewall Management Center Login) 对话框中,输入防火墙迁移工具专用帐户的用户名和密码,然后点击登录 (Login)

防火墙迁移工具将登录到 管理中心,并检索由该 管理中心管理的一系列 威胁防御设备。您可以在控制台中查看此步骤的进度。

步骤 3

点击继续 (Proceed)
步骤 4

选择威胁防御 (Choose Threat Defense) 部分中,执行以下操作之一:

  • 点击选择防火墙威胁防御设备 (Select Firewall Threat Defense Device)下拉列表,然后选中您要迁移 Fortinet 配置的设备。

    选择的 管理中心 域中的设备将按 IP 地址名称列出。

     
    您选择的本地 威胁防御 设备必须至少拥有与您要迁移的 Fortinet 配置相同数目的物理或端口通道接口。威胁防御 设备的容器实例必须至少具有相同数量的物理或端口通道接口和子接口。您必须为设备配置与 Fortinet 配置相同的防火墙模式。但是,两个设备上的这些接口不需要具有相同的名称。

    防火墙迁移工具支持在启用远程部署的情况下将 Fortinet 防火墙迁移到 管理中心威胁防御 6.7 或更高版本。但是,接口和路由必须手动迁移。

  • 点击忽略威胁防御并继续 (Proceed without Threat Defense),将配置迁移到 管理中心

    当您忽略 威胁防御 并继续时,防火墙迁移工具不会将任何配置或策略推送到 威胁防御。因此,作为 威胁防御 设备特定配置的接口和路由以及站点间 VPN 不会迁移。但是,所有其他受支持的配置(共享策略和对象)将迁移,例如 NAT、ACL 和端口对象。远程访问 VPN 是一种共享策略,即使没有威胁防御也可以迁移。

步骤 5

单击继续 (Proceed)

根据迁移的目标,防火墙迁移工具允许您选择要迁移的功能。

步骤 6

点击选择功能 (Select Features) 部分以查看并选择要迁移到目标的功能。

  • 如果要迁移到目标 威胁防御 设备,防火墙迁移工具会自动从设备配置 (Device Configuration)共享配置 (Shared Configuration) 部分的 Fortinet 配置中选择可用于迁移的功能。您可以根据需要进一步修改默认选择。
  • 如果要迁移到 管理中心,防火墙迁移工具会自动从共享配置 (Shared Configuration) 部分的 Fortinet 配置中选择可用于迁移的功能。您可以根据需要进一步修改默认选择。
     
    当您未选择要迁移到的目标 威胁防御 设备时,设备配置部分不可用。
  • 防火墙迁移工具支持目标安全区域,可在迁移期间启用 ACL 的目标区域映射。

    根据源和目标网络对象或组和服务对象或族的性质,当从 Fortinet 迁移至 管理中心 时,此操作可能会导致 ACL 规则爆炸。

  • 如果目标管理中心是 7.2 或更高版本,防火墙迁移工具支持迁移远程访问 VPN。远程访问 VPN 是一种无需威胁防御即可迁移的共享策略。如果选择使用威胁防御进行迁移,则威胁防御版本应为 7.0 或更高版本。

  • (可选)在优化部分中,选择仅迁移引用的对象,以仅迁移访问控制策略和 NAT 策略中引用的对象。
     
    当您选择此选项时,不会迁移 Fortinet 配置中未引用的对象。这可以优化迁移时间并从配置中清除未使用的对象。
步骤 7

点击继续 (Proceed)
步骤 8

规则转换/流程配置 (Rule Conversion/ Process Config)部分中,点击开始转换 (Start Conversion) 以启动转换。

步骤 9

查看防火墙迁移工具转换的元素的摘要。

要检查配置文件是否已成功上传和解析,请在继续迁移之前下载并验证迁移前报告
步骤 10

点击下载报告 (Download Report),并保存迁移前报告 (Pre-Migration Report)

系统也会在 Resources 文件夹中保存迁移前报告的一个副本(与防火墙迁移工具处于相同的位置)。

下一步做什么

查看迁移前报告

查看迁移前报告

如果您在迁移期间错过下载迁移前报告,请使用以下链接进行下载:

迁移前报告下载终端 — http://localhost:8888/api/downloads/pre_migration_summary_html_format
您只能在 防火墙迁移工具 正在运行时下载报告。

过程

步骤 1

导航到下载迁移前报告的位置。

系统也会在 Resources 文件夹中保存迁移前报告的一个副本(与防火墙迁移工具处于相同的位置)。

步骤 2

打开迁移前报告并仔细检查其内容,以确定可能会导致迁移失败的任何问题。

迁移前报告包括以下信息:

  • 可成功迁移到 威胁防御 的受支持 Fortinet 配置元素以及为迁移选择的特定 Fortinet 功能的摘要

  • 出错的配置行 - 因为防火墙迁移工具无法解析而不能成功迁移的 Fortinet 配置元素的详细信息。在 Fortinet 配置上更正这些错误,导出新配置文件,将新配置文件上传到 防火墙迁移工具,然后再继续。

  • 部分支持的配置 - 仅可部分迁移的 Fortinet 配置元素的详细信息。这些配置元素包括含高级选项的规则和对象,其中的规则或对象可在无高级选项的情况下迁移。查看这些行,验证 管理中心中是否支持高级选项。如果支持,则计划在使用 防火墙迁移工具 完成迁移后手动配置这些选项。

  • 不支持的配置 - 因防火墙迁移工具不支持迁移这些功能而无法迁移的 Fortinet 配置元素的详细信息。查看这些行,验证 管理中心 中是否支持每项功能。如果支持,则计划在使用防火墙迁移工具完成迁移后手动配置这些功能。

  • 忽略的配置 - 因为不受 管理中心防火墙迁移工具支持而被忽略的 Fortinet 配置的详细信息。防火墙迁移工具不会解析这些行。查看这些行,验证 管理中心中是否支持每项功能。如果支持,则计划手动配置这些功能。

有关 管理中心威胁防御 中受支持功能的更多信息,请参阅管理中心配置指南
步骤 3

如果迁移前报告建议执行纠正操作,请在 Fortinet 接口上完成这些纠正操作,重新导出 Fortinet 配置文件,将更新的配置文件上传,然后再继续。

步骤 4

在您的 Fortinet 配置文件成功上传和解析之后,返回到防火墙迁移工具,然后点击下一步 (Next) 以继续迁移。

下一步做什么

映射 Fortinet 接口与 Firepower Threat Defense 接口

通过 Secure Firewall 设备管理器 威胁防御 接口映射 Fortinet 配置

威胁防御 设备必须具有与 Fortinet 配置相同或更多的物理接口和端口通道接口。两个设备上的这些接口不需要具有相同的名称。您可以选择所需的接口映射方式。

映射威胁防御接口屏幕上,防火墙迁移工具将检索 威胁防御 设备上的接口的列表。默认情况下,防火墙迁移工具会根据其接口标识符映射 Fortinet威胁防御 设备中的接口。

Fortinet 接口到 威胁防御 接口的映射因 威胁防御 设备类型而异:

  • 如果目标 威胁防御 为本地类型:

    • 威胁防御 必须具有相同或更多数量的已使用 Fortinet 接口或端口通道 (PC) 数据接口( Fortinet 配置中不包括管理专用接口和子接口)。如果其接口数量较少,请在目标 威胁防御 上添加所需类型的接口。

    • 子接口由防火墙迁移工具根据物理接口或端口通道映射创建。

  • 如果目标 威胁防御 为容器类型:

    • 威胁防御 必须具有相同或更多数量的已使用 Fortinet 接口、物理子接口、端口通道或端口通道子接口( Fortinet 配置中不包括管理专用接口)。如果其接口数量较少,请在目标 威胁防御 上添加所需类型的接口。例如,如果目标 威胁防御 上的物理接口和物理子接口的数量比 Fortinet 的接口数量少 100 个,则可以在目标 威胁防御 上创建更多物理接口或物理子接口。

    • 子接口不是由防火墙迁移工具创建的。物理接口、端口通道或子接口之间仅允许接口映射。

开始之前

确保您已连接到 管理中心 并将目标选择为 威胁防御。有关详细信息,请参阅指定防火墙迁移工具的目标参数
如果要迁移到无 威胁防御 设备的 管理中心,则此步骤不适用。

过程

步骤 1

如果您想要更改接口映射,请点击威胁防御接口名称 (Threat Defense Interface Name) 下拉列表,并选择您想要映射到该 Fortinet 接口的接口。

不能更改管理接口的映射。如果 威胁防御 接口已分配到 Fortinet 接口,则您不能从下拉列表中选择该接口。所有已分配的接口将变为灰色且不可用。

您不需要映射子接口。防火墙迁移工具会在 威胁防御 设备上为 Fortinet 配置中的所有子接口映射子接口。

步骤 2

当您将每个 Fortinet 接口映射到 威胁防御 接口时,请点击下一步 (Next)

下一步做什么

Fortinet 接口映射到相应的 威胁防御 接口对象、安全区和接口组。有关详细信息,请参阅ASA Fortinet 接口映射到安全区和接口组

Fortinet 接口映射到安全区

为确保正确地迁移 Fortinet 配置,您需要将 Fortinet 接口映射到相应的 威胁防御 接口对象、安全区和接口组。在 Fortinet 配置中,访问控制策略和 NAT 策略使用接口名称 (nameif)。在 管理中心中,这些策略使用接口对象。此外,管理中心策略将按以下项分组接口对象:

  • 安全区 - 接口只能属于一个安全区。

防火墙迁移工具支持接口与安全区的一对一映射;当安全区映射到某个接口时,尽管 管理中心 允许,也不可映射到其他接口。有关 管理中心 中的安全区的详细信息,请参阅安全区

过程

步骤 1

要将接口映射到 管理中心 中的安全区和接口组,或映射到在 配置文件中作为安全区类型对象并出现在下拉列表中的安全区和接口组,请执行以下操作:

  1. 安全区栏中,选择该接口的安全区。

  2. 接口组栏中,选择该接口的接口组。

步骤 2

要将接口映射到 管理中心 中的安全区,请在安全区栏中,选择该接口的安全区。

步骤 3

您可以手动映射或自动创建安全区。

要手动映射安全区,请执行以下操作:

  1. 点击添加 SZ (Add SZ)

  2. 添加 SZ (Add SZ) 对话框中,点击添加 (Add) 以添加新的安全区。

  3. 安全区栏中输入安全区名称。允许的最大字符数为 48。

  4. 点击关闭 (Close)

要通过自动创建映射安全区,请执行以下操作:

  1. 点击自动创建 (Auto-Create)

  2. 自动创建对话框中,选中区域映射

  3. 点击自动创建 (Auto-Create)

点击自动创建 (Auto-Create)后,系统会自动映射源防火墙区域。如果 管理中心 上已存在相同的名称区域,则该区域将重新使用。映射页面将对重新使用的区域显示“(A)”。例如,inside "(A)"。

步骤 4

在已将所有接口映射到相应的安全区后,点击下一步 (Next)

优化, 检查和验证要迁移的配置

在将迁移的 Fortinet 配置推送到 管理中心 之前,优化并仔细检查配置并验证它是否正确且与您需要的 威胁防御 设备配置方式匹配。闪烁的选项卡表示您必须执行下一步操作。

此处,防火墙迁移工具会获取 管理中心 上已存在的入侵防御系统 (IPS) 策略和文件策略,并允许您将这些策略与要迁移的访问控制规则相关联。

文件策略是作为整体访问控制配置的一部分供系统用于执行网络高级恶意软件防护和文件控制的一组配置。这种关联保证系统在传递流量中与访问控制规则的条件匹配的文件之前,首先检查该文件。

同样,在允许流量继续到达其目标之前,可以使用 IPS 策略作为系统的最后一道防线。入侵策略监管系统如何检测流量是否存在安全违规,并且在内联部署中可以阻止或修改恶意流量。只要系统使用入侵策略来评估流量,它便会使用关联的变量集。变量集中的大多数变量表示入侵规则中常用于识别源和目标 IP 地址及端口的值。您还可以在入侵策略中使用变量表示规则禁止和动态规则状态中的 IP 地址。

要搜索选项卡中的特定配置项,请在列顶部的字段中输入项目名称。表中的行将筛选,仅显示与搜索术语匹配的项目。
默认情况下,内联分组选项处于启用状态。

如果您在优化、检查和验证配置屏幕上关闭了 防火墙迁移工具 防火墙迁移工具,它会保存进度并允许您在以后恢复迁移。如果在进入此屏幕之前关闭,则不会保存您的进度。如果解析后出现故障,防火墙迁移工具会继续从接口映射屏幕重新启动。

防火墙迁移工具 ACL 优化概述

防火墙迁移工具支持从防火墙规则库中识别和隔离可优化(禁用或删除)的 ACL,而不会影响网络功能。

ACL 优化支持以下 ACL 类型:

  • 冗余 ACL - 当两个 ACL 具有相同的配置和规则集时,删除非基本 ACL 并不会影响网络。例如,如果任意两个规则允许同一个网络上的 FTP 和 IP 流量,而没有为拒绝访问定义规则,则可以删除第一个规则。

  • 影子 ACL - 第一个 ACL 完全镜像第二个 ACL 的配置。如果两个规则具有相似的流量,则第二个规则不会应用于任何流量,因为它稍后会出现在访问列表中。如果两个规则对流量指定了不同的操作,则您可能需要移动阴影规则或编辑两条规则之一,以便实施所需的策略。例如,对于给定的源或目标,基本规则可能会拒绝 IP 流量,而阴影规则可能会允许 FTP 流量。

在比较 ACL 优化规则时,防火墙迁移工具 会使用以下参数:


优化仅适用于 ACP 规则操作的 Fortinet

  • 在优化过程中不会考虑已禁用的 ACL。

  • 源 ACL 将扩展为相应的 ACE(内联值),然后对比以下参数:

    • 源和目标区域

    • 源和目标网络

    • 源和目标端口

对象优化

在迁移过程中会考虑以下对象以进行对象优化:

  • 未引用的对象 - 可以选择在迁移开始时不迁移未被引用的对象。

  • 重复对象 - 如果对象已存在于 管理中心 上,则不会创建重复对象,而是重复使用策略。

  • 不一致的对象 - 如果存在名称相似但内容不同的对象,则在迁移推送之前 防火墙迁移工具 会修改对象名称。

ACL 优化的报告

ACL 优化报告中显示以下信息:

  • 摘要表 (Summary Sheet) - 显示 ACL 优化的摘要。

  • 详细 ACL 信息 (Detailed ACL Information) - 显示基础 ACL 的详细信息。每个 ACL 都带有一个 ACL 类型(Shadow 或 Redundant)标记,用于标识基本 ACL 以便进行比较和与优化类别的关联。

将迁移的配置推送到 Cisco Secure Firewall Management Center

如果您还未成功验证配置和解决所有对象冲突,则不能将迁移的 ASA Fortinet 配置推送到 Cisco Secure Firewall Management Center

迁移过程中的此步骤会将迁移的配置发送至 Cisco Secure Firewall Management Center。此步骤不会将配置部署到 Cisco Secure Firewall Threat Defense设备。但在此步骤中会擦除 Cisco Secure Firewall Threat Defense上的任何现有配置。


防火墙迁移工具将迁移的配置发送到 Cisco Secure Firewall Management Center时,不要更改任何配置或部署到任何设备。

过程

步骤 1

验证状态对话框中,查看验证摘要。

步骤 2

点击推送配置 (Push Configuration),将迁移的 ASA Fortinet 配置发送至 Cisco Secure Firewall Management Center

防火墙迁移工具会显示迁移进度的摘要信息。您可以在控制台中查看详细的逐行进度信息,了解正在将哪些组件推送至 Cisco Secure Firewall Management Center
步骤 3

在迁移完成后,点击下载报告 (Download Report),下载并保存迁移后报告。

系统也会在 Resources 文件夹中保存迁移前报告的一个副本(与防火墙迁移工具处于相同的位置)。

步骤 4

如果迁移失败,请仔细查看迁移后报告、日志文件和未解析文件,了解是什么原因导致失败。

您也可以联系支持团队进行故障排除。

迁移失败支持

如果迁移不成功,请联系支持部门。

  1. 完成迁移 (Complete Migration) 屏幕上,点击支持 (Support) 按钮。

    系统将显示“帮助”支持页面。

  2. 选中支持捆绑包复选框,然后选择要下载的配置文件。

     
    默认情况下,系统已选择要下载的日志和 dB 文件。

  3. 点击下载 (Download)

    支持捆绑包文件以 .zip 格式下载到您的本地路径。解压缩 Zip 文件夹以查看日志文件、DB 和配置文件。

  4. 点击给我们发送邮件 (Email us),通过电子邮件将故障详细信息发送给技术团队。

    您还可以将下载的支持文件附加到电子邮件中。

  5. 点击访问 TAC 页面 (Visit TAC page),在思科支持页面上创建 TAC 支持请求。

     
    您可以在迁移过程中随时从支持页面提交 TAC 支持请求。

查看迁移后报告并完成迁移

迁移后报告提供了不同类别下的 ACL 计数、ACL 优化以及对配置文件进行优化的整体视图等详细信息。有关详细信息,请参阅优化, 检查和验证要迁移的配置

查看并验证对象:

  • 类别

    • ACL 规则总数(源配置)

    • 考虑优化的 ACL 规则总数。例如,冗余、阴影等。

  • 优化的 ACL 计数给出了优化前后计算得出的 ACL 规则总数。

如果您在迁移期间错过下载迁移后报告,请使用以下链接进行下载:

迁移后报告下载终端 — http://localhost:8888/api/downloads/post_migration_summary_html_format
您只能在 防火墙迁移工具 正在运行时下载报告。

过程

步骤 1

导航至下载了迁移后报告的位置。

步骤 2

打开迁移后报告并仔细检查其内容,了解您的 Fortinet 配置是如何迁移的:

  • 迁移摘要 - 已成功从 Fortinet 迁移到 威胁防御 的配置的摘要信息,其中包括有关 Fortinet 接口、管理中心 主机名和域、目标 威胁防御 设备(如果适用)和已成功迁移的配置元素的信息。

  • 选择性策略迁移 - 设备配置功能、共享配置功能和优化三个类别中可选择迁移的特定 Fortinet 功能的详细信息。

  • Fortinet接口至 FTD 接口映射 - 已成功迁移的接口的详细信息,以及如何将 Fortinet 配置上的接口映射到 威胁防御 设备上的接口。确认这些映射符合您的预期。

     
    本部分不适用于没有目标 威胁防御 设备或者选择迁移接口的迁移。

  • 源接口名称至威胁防御安全区 - 已成功迁移的 Fortinet 逻辑接口和名称的详细信息,以及如何将它们映射到 威胁防御 中的安全区。确认这些映射符合您的预期。

     
    如果选择迁移访问控制列表NAT,则此部分不适用。

  • 对象冲突处理 - 已被确定为与 管理中心 中现有对象冲突的 Fortinet 对象的详细信息。如果对象具有相同的名称和配置,防火墙迁移工具重新使用 管理中心对象。如果对象具有相同名称但具有不同的配置,则重命名这些对象。仔细检查这些对象,并确认已正确解决冲突。

  • 您选择不迁移的访问控制规则、NAT 和路由 - 您选择不让 防火墙迁移工具迁移的规则的详细信息。查看由 防火墙迁移工具禁用且未迁移的这些规则。查看这些行,并验证您选择的所有规则均列在此部分中。如果需要,可以手动配置这些规则。

  • 部分迁移的配置 - 仅部分迁移的 Fortinet 规则的详细信息,包括带有高级选项的规则,其中,在没有高级选项的情况下也可以迁移规则。查看这些行,验证在 管理中心中是否支持高级选项。如果支持,手动配置这些选项。

  • 不支持的配置 - 因防火墙迁移工具不支持迁移这些功能而未被迁移的 Fortinet 配置元素的详细信息。查看这些行,验证 威胁防御中是否支持每项功能。如果支持,请在 管理中心中手动配置这些功能。

  • 展开访问控制策略规则 - 在迁移期间已从一个 Fortinet Point 规则扩展到多个 威胁防御 规则的 Fortinet 访问控制策略规则的详细信息。

  • 对访问控制规则采取的操作

    • 您选择不迁移的访问规则 - 您选择不让 防火墙迁移工具迁移的 Fortinet 访问控制规则的详细信息。查看这些行,并验证您选择的所有规则均列在此部分中。如果需要,可以手动配置这些规则。

    • 规则操作有更改的访问规则 - 使用 防火墙迁移工具更改了“规则操作”的所有访问控制策略规则的详细信息。规则操作值包括允许、信任、监控、阻止、阻止并重置。查看这些行,并验证您选择的所有规则均列在此部分中。如果需要,可以手动配置这些规则。

    • 应用了 IPS 策略和变量集的访问控制规则 - 应用了 IPS 策略的所有 Fortinet 访问控制策略规则的详细信息。仔细查看这些规则并确定 威胁防御 是否支持此功能。

    • 应用了文件策略的访问控制规则 - 应用了文件策略的所有 Fortinet 访问控制策略规则的详细信息。仔细查看这些规则并确定 威胁防御 是否支持此功能。

    • 规则“日志”设置有更改的访问控制规则 - 使用 防火墙迁移工具更改了“日志设置”的 Fortinet 访问控制规则的详细信息。日志设置值包括 False、事件查看器、系统日志。查看这些行,并验证您选择的所有规则均列在此部分中。如果需要,可以手动配置这些规则。

 
未迁移的不受支持的规则可能导致出现问题,使得不必要的流量通过您的防火墙。建议您在 管理中心中配置一个规则来确保 威胁防御阻止此类流量。
 

如果它要求您在检查和验证页面中将 IPS 或文件策略应用于 ACL,则强烈建议您在迁移之前在管理中心上创建策略。使用相同的策略,因为 防火墙迁移工具 从连接的管理中心获取策略。创建新策略并将其分配给多个策略可能会降低性能,也可能导致推送失败。

有关 管理中心威胁防御中的受支持功能的更多信息,请参阅管理中心配置指南,版本 6.2.3
步骤 3

打开迁移前报告,并记下您必须在 威胁防御 设备上手动迁移的任何 Fortinet 配置项目。

步骤 4

管理中心中,执行以下操作:

  1. 查看 威胁防御设备的迁移配置,确认所有预期规则和其他配置项目(包括以下内容)均已迁移:

    • 访问控制列表 (ACL)

    • 网络地址转换规则

    • 端口和网络对象

    • 路由

    • 接口

    • 动态路由对象

  2. 配置所有未迁移的部分受支持、不受支持、已忽略和已禁用的配置项目和规则。

    有关如何配置这些项目和规则的信息,请参阅管理中心配置指南 。以下是需要手动配置的配置项目的示例:

步骤 5

完成检查之后,将已迁移的配置从 管理中心 部署到 威胁防御 设备。

验证迁移后报告中是否正确反映了不支持和部分支持的规则的数据。

防火墙迁移工具将策略分配到 威胁防御设备。验证运行配置中是否反映了更改。为帮助您识别已迁移的策略,这些策略的描述信息中包括 Fortinet 配置的主机名。

卸载防火墙迁移工具

所有组件均存储在与防火墙迁移工具相同的文件夹中。

过程

步骤 1

导航至在其中放置防火墙迁移工具的文件夹。
步骤 2

如果要保存日志,请剪切或复制 log 文件夹并粘贴到另一个位置。

步骤 3

如果要保存迁移前报告和迁移后报告,请剪切或复制 resources 文件夹并粘贴到另一个位置。

步骤 4

删除在其中放置防火墙迁移工具的文件夹。

提示 
日志文件与控制台窗口相关联。只要防火墙迁移工具的控制台窗口处于打开状态,就无法删除日志文件和文件夹。