欢迎使用 Firepower 迁移工具
本文档提供思科 Firepower 迁移工具的重要和版本特定信息。即使您熟悉 Firepower 版本,并且在迁移方面积累了经验,也要仔细阅读并理解本文档。
此版本中的新增功能
在此版本中,添加了以下功能:
|
防火墙 |
新增功能 |
||
|---|---|---|---|
|
ASA 和检查点 |
|
||
|
ASA |
|
||
|
Check Point |
|
支持的配置
ASA 迁移支持以下配置元素:
-
网络对象
-
服务对象(在 Firepower 威胁防御中称为端口对象)
-
访问列表
-
NAT 规则
-
接口(例外:冗余、路由模式-BVI、VTI(隧道接口))
注
如果源 ASA 有端口通道接口,则必须在 Firepower 管理中心上创建端口通道接口;系统会自动创建子接口。
-
静态路由(无 SLA 跟踪,不支持动态路由)
-
已路由和透明防火墙模式
-
网络对象和组、ACL 及路由中支持的名称命令参考
检查点迁移支持以下配置元素:
-
接口(物理接口、VLAN 接口和绑定接口)
-
网络对象和组
-
服务对象
-
网络地址转换(隐藏在网关后面的自动 NAT 规则、具有检查点安全网关的手动 NAT 和 IPv6 NAT 规则除外)
-
IPv6 转换支持(接口、静态路由和对象)ACL(适用于 IPv6 且基于区域的 ACL 除外)和 NAT 不受支持
-
全局应用的访问规则,并且支持将全局 ACL 转换为基于区域的 ACL
-
范围为本地且具有逻辑接口的静态路由,通过优先级配置而非值 1 配置的路由除外
-
具有其他日志记录类型的 ACL
支持迁移的软件版本
以下是支持迁移的 和 Firepower 威胁防御 版本:
支持的 Firepower 威胁防御版本
迁移工具建议迁移到正在运行 Firepower 威胁防御版本 6.2.3 及更高版本的设备。
有关思科 Firepower 软件和硬件兼容性的详细信息(包括 Firepower 威胁防御的操作系统和托管环境要求),请参阅思科 Firepower 兼容性指南。
迁移工作流程
注 |
从版本 2.0 开始,迁移工具支持将检查点配置迁移到 FTD。请注意以下重要提示是迁移工作流的一部分。 |
您可以通过遵循以下方法之一来获取用于迁移的 ASA 配置项目:
-
手动上传方法:在单一上下文模式下,使用 show run 命令获取 ASA 配置。在多上下文模式下,使用 show tech 命令获取 ASA 配置
-
从迁移工具连接到 ASA:在多上下文 ASA 中,选择连接到 ASA 后要迁移的上下文,然后选择目标 Firepower 威胁防御设备。当您完成第一个情景的迁移后,重复这些步骤以迁移其他情景 - 连接到 ASA、选择要迁移的情景、选择目标 Firepower 威胁防御设备。
您可以通过手动上传方法获取用于迁移的检查点配置项。要通过手动上传方法收集检查点配置,请执行以下操作:
-
使用检查点 Web 可视化工具 (WVT) 导出配置:打开命令提示符窗口,到保存和提取 WVT 的目录,然后执行以下命令以获取检查点配置:
C:\Web_Visualisation_Tool> cpdb2web.exe [-s management_server] [-u admin_name | -a certificate_file] [-p password] [-o output_file_path] [-t table_names] [-c | -m gateway | -l package_names] [-gr] [-go] [-w Web_Visualization_Tool_installation_directory]
-
使用 FMT-CP 配置提取程序工具导出设备配置:打开 FMT-CP 配置提取程序工具,该工具是工作站上有权访问检查点安全网关的可执行文件 (.exe)。
-
压缩导出的文件:选择所有 8 个文件(Web 可视化工具 (WVT) 中的 7 个文件和 FMT-CP 配置提取程序工具中的一个 .txt 文件)并将其压缩为 Zip 文件。
Firepower 迁移工具功能
Firepower 迁移工具提供以下功能:
-
在迁移过程中进行验证,包括解析和推送操作
-
对象重复使用功能
-
对象冲突解决
-
接口映射
-
自动创建或重用接口对象(如果是安全区域和接口组映射,则为 ASA 名称)
-
支持创建用户定义的安全区域和接口组
-
目标 Firepower 威胁防御设备的子接口限制检查
-
支持的平台
- 虚拟 ASA 到虚拟 FTD
- 相同的硬件迁移(X 到 X 设备的迁移)
- X 到 Y 设备的迁移(Y 的接口数量更大)
迁移报告
Firepower 迁移工具以 HTML 格式提供以下报告及迁移详情:
-
迁移前报告
-
迁移后报告
Firepower 迁移工具的平台要求
迁移工具对基础设施和平台的要求如下:
-
Windows 10 操作系统或者 macOS 10.13 及更高版本
-
作为系统默认浏览器的 Google Chrome
-
每个系统的单一工具实例
-
Firepower 管理中心和 Firepower 威胁防御必须为 6.2.3.3 或更高版本
文档
本发行说明附带以下文档:
-
Firepower 迁移工具发行说明
-
利用 Firepower 迁移工具将 ASA 迁移到 Firepower 威胁防御
-
利用 Firepower 迁移工具将检查点迁移到 Firepower 威胁防御
-
思科 Firepower 迁移工具中使用的开源
尚未解决和已解决的漏洞
可通过思科漏洞搜索工具查看这一版本中尚未解决的漏洞。通过这一基于 Web 的工具,您可以访问思科缺陷追踪系统,其中记录了关于此本产品和其他思科硬件及软件产品的缺陷和漏洞信息。
注 |
已知问题
|
漏洞 ID |
标题 |
|---|---|
|
CSCvr73847 |
迁移工具无法使用交换机端口监视器解析接口配置。 |
|
CSCvr74255 |
未配置本地 VLAN 的中继端口的迁移不正确。 |
|
CSCvr79170 |
命中计数功能在迁移工具中不起作用。 |
|
CSCvr71084 |
影响查看并验证页面上的规则视图的页码负值。 |
|
漏洞 ID |
标题 |
|---|---|
|
CSCvr75397 |
在源网络和/或目标网络中的 ACE 中调用了两个以上的排除组类型对象组后,迁移工具会以错误的转换方式进行迁移。 |
|
CSCvr37116 |
必须在 FMC 6.5 的查看并验证页面中为操作日志定义 Check Point 或 ASA 规则。 对于 ACE 规则,当操作为阻止时,FMC 允许在连接开始时进行日志记录。因此,在查看并验证页面中,将 ACE 规则的日志记录类型更改为“连接结束时进行日志记录”时,FMC 不允许执行导致推送失败的阻止操作。 |
|
CSCvr74191 |
具有加密/VPN 加密操作的 ACE 会导致推送错误,因为迁移工具当前不支持这些操作。 |
|
CSCvr25905 |
将规则迁移为不受支持的规则,而且在 ACE 中找不到引用对象,但当前解析时阻止了引用对象。 |
|
CSCvr25849 |
在源或目标网络内的 ACE 中找到基于身份的对象后,不得支持检查点规则。目前,在 ACE 中发现基于身份的网络对象时,会显示解析错误。 |
|
CSCvr44406 |
具有否定单元属性的检查点 ACE 会作为普通 ACE 进行迁移。 |
反馈