建议您不要在此文件夹中存储任何其他文件。当 Cisco Secure Firewall 迁移工具启动时，它会将日志、资源和所有其他文件置于此文件夹中。

上面的链接会引导您进入防火墙 NGFW Virtual 下面的 Cisco Secure Firewall 迁移工具。您还可以从 威胁防御 设备下载区域中下载 Cisco Secure Firewall 迁移工具。

确保下载适用于 Windows 或 macOS 计算机的 Cisco Secure Firewall 迁移工具的相应可执行文件。

当您同意将统计信息发送到思科成功网络时，系统会提示您使用 Cisco.com 帐户登录。如果您选择不向思科成功网络发送统计信息，则使用本地凭证登录 Cisco Secure Firewall 迁移工具。

新密码必须包含 8 个或更多字符，并且必须包含大写和小写字母、数字和特殊字符。

如果您未完成该核对表中的一个或多个项目，请完成所有项目，然后再继续。

Cisco Secure Firewall 迁移工具会上传配置文件。对于大型配置文件，此步骤需要的时间较长。控制台提供一个逐行的进度日志视图，其中包含正在解析的 配置行。如果您没有看到控制台，可以在 Cisco Secure Firewall 迁移工具后的单独窗口中找到它。

解析摘要部分显示解析状态。

1. 在 ASA IP 地址/主机名字段中，输入管理 IP 地址或主机名（对于单情景 ASA）或 admin 情景的 IP 地址或主机名（对于多情景 ASA）。

2. 在用户名、密码和启用密码字段中，输入相应的管理员登录凭证。

   注	如果 ASA 没有配置启用密码，可以在 Cisco Secure Firewall 迁移工具中将此字段留空。

3. 点击登录 (Login)。

当 Cisco Secure Firewall 迁移工具连接到 ASA 时，它会显示一条成功连接到 ASA 的消息。

选中时，此工具会计算 ASA 规则的使用次数以及自 ASA 运行时间或上次 ASA 重新启动起最后一次使用该规则的时间，并在检查和验证页面上显示此信息。如此可在迁移之前评估规则的有效性和相关性。

Cisco Secure Firewall 迁移工具连接到 ASA 并开始提取配置信息。提取成功完成后，情景选择部分会识别上传的配置对应于单情景还是多情景 ASA。

选中后，此工具将计算自设备正常运行或上次重启以来规则的使用次数和上次使用时间，并在“优化、审查和验证配置”页面上显示此信息。如此可在迁移之前评估规则的有效性和相关性。

• 输入基本 URL：这是您连接到 多云防御 控制器时在浏览器上看到的基本 URL。例如，当您在控制器仪表板中时，复制浏览器上的链接，但不包括 /dashboard 部分。URL 看起来像https://xxxx.mcd.apj.cdo.cisco.com

• 输入租户姓名：您的安全云控制租户的姓名。当您在多云防御窗口中时，从右上角的配置文件下拉菜单中复制它，或者如果您在安全云控制窗口中，则从管理 (Administration) > 常规设置 (General Settings)中复制它。

• 输入 API 密钥 ID：当您通过导航到系统和大客户 > API 密钥创建 API 密钥时多云防御控制器生成的 API 密钥 ID。指定密钥的名称、您的电子邮件地址、您希望 API 密钥具有的角色以及 API 密钥的有效期以生成密钥。默认密钥有效期设置为 365 天。

• 输入 API Key 密码：创建 API Key 时多云防御控制器生成的 API Key 密码。

  注	确保在创建 API 密钥时同时复制 API 密钥 ID和 API 密钥密码。如果您错过复制它们，请删除您创建的 API 密钥，生成一个新的，并确保这次复制它们。

请注意，此迁移不支持源防火墙的其他配置（例如接口和路由）。

要检查配置文件是否已成功上传和解析，请在继续迁移之前下载并验证迁移前报告。

系统也会在 Resources 文件夹中保存迁移前报告的一个副本（与 Cisco Secure Firewall 迁移工具处于相同的位置）。

系统也会在 Resources 文件夹中保存迁移前报告的一个副本（与 Cisco Secure Firewall 迁移工具处于相同的位置）。

迁移前报告包括以下信息：

• 总体摘要 - 用于提取 ASA配置信息或连接到实时 ASA配置的方法。

  可成功迁移到威胁防御的受支持的ASA设备配置元素或多云防御以及为迁移选择的特定功能摘要。

• 有错误的配置行 - 由于Cisco Secure Firewall 迁移工具无法解析而无法成功迁移的配置元素的ASA的详细信息。 在 配置上更正这些错误，导出新配置文件，将新配置文件上传到 Cisco Secure Firewall 迁移工具，然后再继续。

• 部分支持的配置 - 仅可部分迁移的 ASA 配置元素的详细信息。这些配置元素包括含高级选项的规则和对象，其中的规则或对象可在无高级选项的情况下迁移。查看这些行，验证 多云防御中是否支持高级选项。如果支持，则计划在使用 Cisco Secure Firewall 迁移工具完成迁移后手动配置这些选项。

• 对象和对象组冲突解决- 在您尝试迁移的情景中存在冲突的 ASA 网络和服务对象以及对象、服务和协议对象组的详细信息。要查看有关这些对象冲突的详细信息，请点击 冲突计数的链接；您可以检查冲突的原因，还可以了解迁移工具如何处理冲突。

• 不支持的配置 - 因 Cisco Secure Firewall 迁移工具不支持迁移这些功能而无法迁移的 ASA 配置元素的详细信息。查看这些行，验证 多云防御中是否支持每项功能。如果支持，则计划在使用 Cisco Secure Firewall 迁移工具完成迁移后手动配置这些功能。

• 忽略的配置 - 因为不受 多云防御 或 Cisco Secure Firewall 迁移工具支持而被忽略的 ASA配置的详细信息。Cisco Secure Firewall 迁移工具不会解析这些行。查看这些行，验证 多云防御中是否支持每项功能。如果支持，则计划手动配置这些功能。

• 点击 优化 ACL ，以便让迁移工具识别所有影子和冗余 ACL，并选择是将它们作为已禁用的 ACL 进行迁移，还是将其排除在迁移之外。

  Cisco Secure Firewall 迁移工具 ACL 优化概述

  Cisco Secure Firewall 迁移工具支持从防火墙规则库中识别和隔离可优化（禁用或删除）的 ACL，而不会影响网络功能。

  ACL 优化支持以下 ACL 类型：

  • 冗余 ACL - 当两个 ACL 具有相同的配置和规则集时，删除非基本 ACL 并不会影响网络。例如，如果任意两个规则允许同一个网络上的 FTP 和 IP 流量，而没有为拒绝访问定义规则，则可以删除第一个规则。

  • 影子 ACL - 第一个 ACL 完全镜像第二个 ACL 的配置。如果两个规则具有相似的流量，则第二个规则不会应用于任何流量，因为它稍后会出现在访问列表中。如果两个规则对流量指定了不同的操作，则您可能需要移动阴影规则或编辑两条规则之一，以便实施所需的策略。例如，对于给定的源或目标，基本规则可能会拒绝 IP 流量，而阴影规则可能会允许 FTP 流量。

  在比较 ACL 优化规则时，Cisco Secure Firewall 迁移工具会使用以下参数：

  • 在优化过程中不会考虑已禁用的 ACL。

  • 源 ACL 将扩展为相应的 ACE（内联值），然后对比以下参数：

    • 源和目标网络

    • 源和目标端口

  点击 下载报告 以查看 ACL 名称以及 Excel 文件中列出的相应冗余和阴影 ACL。使用 详细 ACL 信息 表查看更多 ACL 信息。有关 ACL 优化报告的更多信息，请参阅ACL 优化的报告。

  点击“继续”开始优化流程。

• 对于此表中的每个条目，查看映射并验证它们是否正确。

  迁移的访问策略规则使用 ACL 名称作为前缀，并在后面附加 ACL 规则编号，以便更轻松地映射回到配置文件。例如，如果 ACL 被命名为“inside_access”，则 ACL 中的第一个规则（或 ACE）行将命名为“inside_access_#1”。如果因为 TCP 或 UDP 组合、扩展的服务对象或一些其他原因而必须扩展规则，则 Cisco Secure Firewall 迁移工具会在名称中添加编号的后缀。例如，如果 allow 规则扩展为两个迁移规则，它们命名为“inside_access _#1-1”和“inside_access_#1-2”。

  对于包括不受支持对象的任何规则，Cisco Secure Firewall 迁移工具将“_UNSUPPORTED”后缀附加到名称中。

• 如果您不想迁移或希望迁移某些处于禁用状态的 ACL，请选中相应行的复选框，点击 迁移，然后选择相关选项。点击 ”选中所有条目“ 复选框以执行批量更改。

选择以下选项卡并查看映射：

• 网络对象

• 端口对象

• FQDN 对象

• URL 对象

如果要重命名对象，请选中对象行的复选框，点击 操作，然后选择 重命名。点击 ”选中所有条目“ 复选框以执行批量更改。

• 单击“优化对象和组”以在迁移对象之前优化对象列表。迁移工具会识别具有相同值的对象和组，并提示您选择保留哪些对象和组。

• 点击 可将对象从检测到冲突 (Conflict Detected) 列移至保留的对象/组 (Objects/Groups Retained) 列，然后点击 将对象移回原位。请注意，大多数配置中引用的配置以粗体显示。

• 点击自动选择 (Auto Select) 以自动选择具有最多引用对象的所有对象和组。但是，您仍然可以手动覆盖自动选择，在列之间移动对象，因为手动选择的优先级更高。

• 点击 Optimize（优化）。迁移工具会执行优化，并显示包含优化数据（包括保留和重复对象）的优化摘要。有关优化报告的详细内容，请参阅迁移后报告。

• 点击继续 (Proceed) 和验证 (Validate)。

  注	未被选择保留的对象和组不会被迁移，而是会被替换为它们所使用的配置中的保留对象，例如在 ACL 配置中。这样可以确保迁移的对象列表得到充分优化，并且不会迁移重复的对象。

在验证期间，Cisco Secure Firewall 迁移工具会连接到 多云防御，检查现有对象，然后将这些对象与要迁移的对象列表进行比较。如果 多云防御 中已存在对象，Cisco Secure Firewall 迁移工具会执行以下操作：

• 如果对象具有相同的名称和配置，Cisco Secure Firewall 迁移工具会重新使用现有对象，而不会在 多云防御 中创建新对象。

• 如果对象具有相同名称但具有不同的配置，Cisco Secure Firewall 迁移工具会报告对象冲突。

您可以在控制台中查看验证进度。

Cisco Secure Firewall 迁移工具会显示迁移进度的摘要信息。您可以在控制台中查看详细的逐行进度信息，了解正在将哪些组件推送至 多云防御。

迁移后报告的副本也保存在与 Cisco Secure Firewall 迁移工具位于同一位置的资源文件夹中。

您也可以联系支持团队进行故障排除。

迁移失败支持

如果迁移不成功，请联系支持部门。

1. 在完成迁移 (Complete Migration) 屏幕上，点击支持 (Support) 按钮。

   系统将显示“帮助”支持页面。

2. 选中支持捆绑包复选框，然后选择要下载的配置文件。

   注	默认情况下，系统已选择要下载的日志和 dB 文件。

3. 点击下载 (Download)。

   支持捆绑包文件以 .zip 格式下载到您的本地路径。解压缩 Zip 文件夹以查看日志文件、DB 和配置文件。

4. 点击给我们发送邮件 (Email us)，通过电子邮件将故障详细信息发送给技术团队。

   您还可以将下载的支持文件附加到电子邮件中。

5. 点击访问 TAC 页面 (Visit TAC page)，在思科支持页面上创建 TAC 支持请求。

   注	您可以在迁移过程中随时从支持页面提交 TAC 支持请求。

1. 迁移摘要— 从源防火墙成功迁移到 多云防御的配置摘要。

2. 对象冲突处理 - 已确定与多云防御中现有对象冲突的对象的详细信息。如果对象具有相同的名称和配置，Cisco Secure Firewall 迁移工具重新使用 多云防御对象。如果对象具有相同名称但具有不同的配置，则重命名这些对象。仔细检查这些对象，并确认已正确解决冲突。

3. 您选择不迁移的访问控制规则 - 您选择不使用 Cisco Secure Firewall 迁移工具迁移的规则的详细信息。查看由 Cisco Secure Firewall 迁移工具禁用且未迁移的这些规则。查看这些行，并验证您选择的所有规则均列在此部分中。如果需要，可以手动配置这些规则。

4. 部分迁移的配置 - 仅部分迁移的规则的详细信息，包括带有高级选项的规则（无需高级选项即可迁移）。查看这些行，验证在 多云防御中是否支持高级选项。如果支持，手动配置这些选项。

5. 不支持的配置 - 未迁移的源防火墙配置元素的详细信息，因为 Cisco Secure Firewall 迁移工具不支持这些功能的迁移。查看这些行，验证 多云防御中是否支持每项功能。如果支持，请在 多云防御中手动配置这些功能。

6. 扩展的访问控制策略规则 - 迁移期间从单点规则扩展到多个多云防御规则的源防火墙访问控制策略规则的详细信息。

7. 对访问控制规则采取的操作

   • 您选择不迁移的访问规则 - 您选择不使用 Cisco Secure Firewall 迁移工具迁移的访问控制规则的详细信息。查看这些行，并验证您选择的所有规则均列在此部分中。如果需要，您可以在 多云防御 中手动配置这些规则。

   • 规则操作有更改的访问规则 - 使用 Cisco Secure Firewall 迁移工具更改了“规则操作”的所有访问控制策略规则的详细信息。规则操作值包括允许、信任、监控、阻止、阻止并重置。查看这些行，并验证您选择的所有规则均列在此部分中。如果需要，您可以在 多云防御 中手动配置这些规则。