First Published: August 14, 2019

Last Updated: March 11, 2020

Firepower 移行ツールにようこそ

このドキュメントでは、Cisco Firepower 移行ツールに関する重要かつリリース固有の情報について説明します。Firepower のリリースに精通していて、移行プロセスを以前に経験したことがある場合でも、このドキュメントをよく読んで理解していることを確認してください。

このリリースの新機能

このリリースでは、次の機能が追加されました。

表 1. このリリースの新機能

Firewall

新機能

ASA と Check Point

  • インターフェイスグループとセキュリティゾーンを手動でマッピングできます。

  • 移行ツールは、移行したルールの ACE カウントを、ターゲットプラットフォームでサポートされている ACE 制限と比較します。

  • 移行ツールの新しい最適化機能を使用すると、検索フィルタを使用して移行結果を迅速に取得できます。

ASA

  • ソース設定が ASA 5505 の場合、デバイス固有の設定(インターフェイスおよびルータ)と共有ポリシー(NAT、ACL、オブジェクト)は、サポートされているターゲット FTD プラットフォームが Firepower Management Center(FMC)バージョン 6.5 以降を備えた Firepower 1010 の場合にのみ移行できます。

    (注)   

    • [Select Device] ドロップダウンリストから、FPR-1010 のみを選択できます。

    • ターゲット FTD が FPR1010 でない場合、またはターゲット Firepower Management Center(FMC)が 6.5 よりも前の場合は、ASA 5505 の移行サポートは共有ポリシーにのみ適用されます。デバイス固有の設定は移行されません。

    • L2 スイッチモード機能は、FTD および FMC のバージョン 6.5 から FPR-1010 で有効になっています。ASA 5505 の設定(デバイス固有の設定と共有ポリシー)を FPR-1010 に移行するには、FTD および FMC のバージョンが 6.5 以降であることを確認します。

    • ASA-SM 移行のサポートは、共有ポリシーのみを対象としています。デバイス固有の設定は移行されません。

  • 移行ツールでは、移行中に次のアクセス制御機能がサポートされています。

    • 宛先セキュリティゾーンの指定:移行中の ACL の宛先ゾーンのマッピングを有効にします。

    • トンネル化されたルールのプレフィルタとしての移行:ASA カプセル化トンネルプロトコルルールをプレフィルタトンネルルールにマッピングします。

  • ポリシーのキャパシティと制限の警告のサポート:移行ツールは、移行したルールの ACE カウントを、ターゲット FTD プラットフォームでサポートされている ACE 制限と比較します。また、移行された ACE の総数がしきい値を超えた場合や、ターゲットデバイスのサポートされている制限のしきい値に近づいている場合は、インジケータと警告メッセージを表示します。

  • CSM 管理対象設定の ACL ルールカテゴリのサポートを提供します。

Check Point

  • Firepower 移行ツールを使用すると、次のサポートされている Check Point 設定要素を Firepower Threat Defense に移行できます。

    • インターフェイス

    • スタティック ルート

    • オブジェクト

    • アクセス コントロール ポリシー

      • グローバルポリシー:このオプションを選択すると、ACL ポリシーの送信元ゾーンと宛先ゾーンが任意のものとして移行されます。

      • ゾーンベースポリシー:このオプションを選択すると、送信元ゾーンと宛先ゾーンは、送信元と宛先のネットワークオブジェクトまたはグループのルーティングメカニズムによる予測ルートルックアップに基づいて導出されます。

        (注)   
        ルートルックアップは静的ルートとダイナミックルートのみ(PBR と NAT を除く)に限定され、送信元と宛先のネットワーク オブジェクト グループの性質によっては、この操作によりルールが急増する可能性があります。

      • ネットワーク アドレス変換

    • Check Point OS バージョン R75、R76、R77、R77.10、R77.20、および R77.30 のサポートを提供します。

サポートされている構成

ASA の移行では、次の設定要素がサポートされています。

  • ネットワーク オブジェクト

  • サービス オブジェクト(Firepower Threat Defense ではポート オブジェクトと呼ばれる)

  • アクセス リスト

  • NAT ルール

  • インターフェイス(例外:冗長、ルーテッド モード BVI、VTI(トンネル インターフェイス))


    (注)  

    送信元 ASA にポート チャネル インターフェイスがある場合は、 Firepower Management Center でポート チャネル インターフェイスを作成する必要があります。サブインターフェイスは自動的に作成されます。

  • 静的ルート(SLA トラックなし、動的ルーティングはサポートされません)

  • ルーテッドおよびトランスペアレント ファイアウォール モード

  • ネットワーク オブジェクトとグループ、ACL、およびルートでサポートされている name コマンド リファレンス

Check Point の移行では、次の設定要素がサポートされています。

  • インターフェイス(物理インターフェイス、VLAN インターフェイス、およびボンドインターフェイス)

  • ネットワークオブジェクトおよびグループ

  • サービス オブジェクト

  • ネットワークアドレス変換(ゲートウェイの背後の自動 NAT ルール、Check Point のセキュリティゲートウェイを持つ手動 NAT、および IPv6 NAT ルールを除く)

  • IPv6 変換のサポート(インターフェイス、静的ルート、オブジェクト)。ACL(IPv6 のゾーンベースを除く)および NAT はサポートされていません

  • グローバルに適用されるアクセスルールと、グローバル ACL をゾーンベース ACL に変換するためのサポート

  • 静的ルート(値 1 以外のプライオリティ設定で設定されたもの、スコープローカルのもの、論理インターフェイスのものを除く)

  • 追加のロギングタイプを持つ ACL

移行でサポートされるソフトウェアのバージョン

移行でサポートされている と Firepower Threat Defense のバージョンは次のとおりです。

サポートされる Firepower Threat Defense のバージョン

移行ツールでは、Firepower Threat Defense のバージョン 6.2.3 以降を実行しているデバイスへの移行が推奨されます。

Firepower Threat Defense のオペレーティングシステムとホスティング環境の要件を含めた Cisco Firepower ソフトウェアとハードウェアの互換性の詳細については、『Cisco Firepower Compatibility Guide』を参照してください。

移行ワークフロー


(注)  
リリース 2.0 以降では、移行ツールは Check Point 設定の FTD への移行をサポートしています。移行ワークフローの一部として、次の重要なヒントに注意してください。

次のいずれかの方式で、移行用の ASA 設定項目を取得できます。

  • 手動アップロード方式:シングルコンテキストモードでは、show run コマンドを使用して ASA 設定を取得します。マルチコンテキストモードでは、show tech コマンドを使用して ASA 設定を取得します。

  • 移行ツールからの ASA への接続:マルチコンテキスト ASA では、ASA に接続した後に移行するコンテキストを選択し、ターゲット Firepower Threat Defense デバイスを選択します。最初のコンテキストの移行が完了したら、手順を繰り返して他のコンテキストを移行します。つまり、ASA に接続して移行するコンテキストを選択し、ターゲット Firepower Threat Defense デバイスを選択します。

手動アップロード方式でのみ、移行用の Check Point 設定項目を取得できます。手動アップロード方式を使用して Check Point 設定を収集するには、次の手順を実行します。

  • Check Point Web Visualization Tool(WVT)を使用した設定のエクスポート:コマンド プロンプト ウィンドウを開いて、WVT が保存および展開されたディレクトリに移動し、次のコマンドを実行して Check Point 設定を取得します。

    C:\Web_Visualisation_Tool> cpdb2web.exe [-s management_server] [-u admin_name | -a certificate_file] [-p password] [-o output_file_path] [-t table_names] [-c | -m gateway | -l package_names] [-gr] [-go] [-w Web_Visualization_Tool_installation_directory]

  • FMT-CP-Config-Extractor_v1.0.3837 ツールを使用したデバイス設定のエクスポート:Check Point のセキュリティゲートウェイにアクセスできるワークステーションで、Windows の実行ファイル(.exe)である FMT-CP-Config-Extractor_v1.0.3837 ツールを開きます。

    このエクストラクタファイルを実行するには、「FMT-CP-Config-Extractor_v1.0.3837」ツールを参照してください。

  • エクスポートされたファイルの圧縮:8 つすべてのファイル(Web VisualizationTool(WVT)からの 7 つのファイルと、FMT-CP-Config-Extractor_v1.0.3837 ツールからの 1 つの .txt ファイル)を選択し、zip ファイルに圧縮します。

移行ツールを使用して Check Point から情報を抽出する必要がある場合は、「Export the Check Point Configuration Files」に進みます。

Firepower 移行ツールの機能

Firepower 移行ツールは、次の機能を提供します。

  • 分析およびプッシュ操作を含む移行全体の検証

  • オブジェクト再利用機能

  • オブジェクト競合の解決

  • インターフェイス マッピング

  • ターゲット Firepower Threat Defense デバイスのサブインターフェイス制限チェック

  • サポートされているプラットフォーム

    :同じハードウェアでの移行(X から X デバイスへの移行)

    :X から Y デバイスへの移行(Y に多数のインターフェイスが存在)

移行レポート

Firepower 移行ツールは、次のレポートを移行の詳細とともに HTML 形式で提供します。

  • 移行前のレポート

  • 移行後のレポート

のプラットフォームの要件 Firepower 移行ツール

移行ツールには、次のインフラストラクチャとプラットフォームの要件があります。

  • Windows 10 オペレーティング システムまたは MacOS バージョン 10.13 以降

  • Google Chrome がシステムのデフォルト ブラウザ

  • システムごとにツールのシングル インスタンス

  • Firepower Management Center と Firepower Threat Defense がバージョン 6.2.3.3 以降であること

資料

このリリースでは次のドキュメントが提供されます。

  • 『Firepower 移行ツール リリース ノート』

  • 『Migrating ASA to Firepower Threat Defense with the Firepower Migration Tool』

  • 『Migrating Check Point to Firepower Threat Defense with the Firepower Migration Tool』

  • 『Open Source Used in Cisco Firepower Migration Tool』

未解決のバグおよび解決されたバグ

このリリースで未解決のバグには、Cisco バグ検索ツールを使用してアクセスできます。この Web ベース ツールから、この製品やその他のシスコハードウェアおよびソフトウェア製品でのバグと脆弱性に関する情報を保守するシスコ バグ トラッキング システムにアクセスできます。


(注)  
Cisco Bug Search Tool にログインしてこのツールを使用するには、Cisco.com アカウントが必要です。アカウントを持っていない場合は、 Cisco.com でアカウントに登録できます。バグ検索ツールの詳細については、「バグ検索ツールのヘルプ(Bug Search Tool Help)」[英語] を参照してください。

Firepower 移行ツールの未解決および解決済みの問題の最新のリストについては、次のダイナミック クエリを使用してください。