この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
以下のトピックでは、移行ツールが ASA 設定を FirePOWER Threat Defense設定に変換する仕組みについて説明します。
移行ツールは、次のように ASA 設定を FirePOWER Threat Defense設定に変換します。
|
エンティティ |
ASA の設定 |
FirePOWER Threat Defenseの設定 |
|---|---|---|
|
ネットワーク オブジェクト |
ネットワーク オブジェクト ネットワーク オブジェクト グループ ネストされたネットワーク オブジェクト グループ |
ネットワーク オブジェクト ネットワーク オブジェクト グループ ネストされたネットワーク オブジェクト グループ |
|
サービス オブジェクト |
サービス オブジェクト サービス オブジェクト グループ ネストされたサービス オブジェクト グループ |
ポート オブジェクト ポート オブジェクト グループ フラット化されたポート オブジェクト グループ |
|
アクセス ルール |
アクセス ルール |
アクセス コントロール ポリシーまたはプレフィルタ ポリシー(選択されているとおり) |
|
NAT ルール |
Twice NAT ルール ネットワーク オブジェクト NAT ルール |
手動 NAT ルール 自動 NAT ルール |
移行ツールは、ASA アクセス ルール、NAT ルール、および関連オブジェクトを FirePOWER Threat Defense相当に変換する際に、以下に記載する命名規則を使用します。
オブジェクトおよびオブジェクト グループを変換する際、移行ツールは ASA 設定ファイルからのオブジェクトおよびグループの名前を保持します。
次に、例を示します。
object network obj1 host 1.2.3.4 object network obj2 range 1.2.3.7 1.2.3.10 subnet 10.83.0.0 255.255.0.0 object-group network obj_group1 network-object object obj1 network-object object obj2
ツールは、この設定を obj1 および obj2 という名前のネットワーク オブジェクトと、obj_group1 という名前のネットワーク オブジェクト グループに変換します。
サービス オブジェクトとサービス グループをポート オブジェクトとポート オブジェクト グループに変換する際、ツールでは特定の場合において、次の拡張子を元のオブジェクト名またはグループ名に追加できます。
|
内線番号 |
追加する理由 |
|---|---|
|
_dst |
送信元ポートおよび宛先ポートを含むサービス オブジェクトを 2 つのポート オブジェクトに分割します。システムは、変換された宛先ポート データを保存するために使用されるサービス オブジェクトにこの拡張子を追加します。詳細については、送信元ポートと宛先ポートを含むサービス オブジェクトを参照してください。 |
|
_src |
送信元ポートおよび宛先ポートを含むサービス オブジェクトを 2 つのポート オブジェクトに分割します。システムは、変換された送信元ポート データを保存するために使用されるサービス オブジェクトにこの拡張子を追加します。詳細については、送信元ポートと宛先ポートを含むサービス オブジェクトを参照してください。 |
|
_# |
ネストされたサービス グループを変換します(ネストされたサービス グループの変換を参照)。 |
ASA 設定ファイルには、ASA のホスト名を指定する hostname パラメータが含まれています。移行ツールは、この値を使用して、ファイルを変換するときに作成するポリシーに名前を付けます。
アクセス コントロール ポリシー:hostname-AccessPolicy-conversion_date
プレフィルタ ポリシー:hostname-PrefilterPolicy-conversion_date
NAT ポリシー:hostname-NATPolicy-conversion_date
変換されたアクセス コントロール ルール、プレフィルタ ルール、および NAT ルールに対し、システムは次の形式を使用して新しい各ルールに名前を付けます。
ACL_name-#rule_index
引数の説明
ACL_name:ルールが属していた ACL の名前。
rule_index:ルールが ACL 内の他のルールと比較して変換された順序を指定するシステムによって生成された整数。
次に、例を示します。
acl1#1
システムがサービス オブジェクトの変換中に複数のルールに単一のアクセス ルールを展開する必要がある場合、システムは次の拡張子を追加します。
ACL_name#rule_index_sub_index
ここで、追加された # は、拡張された順序における新しいルールの位置を表します。
次に、例を示します。
acl1#1_1
acl1#1_2
ルール名が 30 文字より長いとシステムが判断した場合、システムは ACL 名を短縮し、圧縮された名前をチルダ(~)を使用して終了します。
ACL Name~#rule index
たとえば、元の ACL 名が accesslist_for_outbound_traffic の場合、システムは ACL 名を次のように切り捨てます。
accesslist_for_outbound_tr~#1
移行ツールは、ASA 設定ファイルの access-group コマンドを変換する際に、セキュリティ ゾーンまたはインターフェイス グループ(変換時の選択内容による)を作成することで、コマンド内のイングレスとイーグレスの情報をキャプチャします。ツールは、次の形式を使用して、これらの新しいセキュリティ ゾーンまたはインターフェイス グループに名前を付けます。
ACL_name_interface_name_direction_keyword_zone
引数の説明
ACL_name:access-group コマンドからの ACL の名前。
interface_name:access-group コマンドからのインターフェイスの名前。
direction_keyword:access-group コマンドからの方向キーワード(in または out)。
次に例を示します。
access-list acp1 permit tcp any host 209.165.201.3 eq 80 access-group acp1 in interface outside
ツールは、この設定を acp1_outside_in_zone という名前のセキュリティ ゾーンまたはインターフェイス グループに変換します。
Firepower ネットワークおよびポート オブジェクトとポート グループには、ASA オブジェクトおよびグループには存在しないいくつかのフィールドがあります。移行ツールによって、変換されたネットワークおよびポート オブジェクトとポート グループのこれらの Firepower 固有フィールドには次のデフォルト値が読み込まれます。
|
Firepower オブジェクトおよびグループのフィールド |
変換済み ASA オブジェクトおよびグループに対するデフォルト値 |
|---|---|
|
ドメイン(Domain) |
なし |
|
オーバーライド(Override) |
いいえ(False) |
これらのデフォルト値の詳細については、表記法を参照してください。
移行ツールは、移行時にユーザが選択した内容に応じて、ASA アクセス ルールをアクセス コントロール ルールまたはプレフィルタ ルールに変換できます。
ASA アクセス ルールを FirePOWER Threat Defenseアクセス コントロール ルールに変換するように選択した場合:
システムは、変換されたルールを、アクセス コントロール ポリシーの [デフォルト(Default)]ルール セクションに追加します。
システムは、[説明(Description)] フィールドの内容を、ルールの [コメント履歴(Comment History)]にエントリとして保持します。
システムは、変換されたルールを識別するエントリを [コメント履歴(Comment History)]に追加します。
システムは、アクセス コントロール ルールの [アクション(Action)]を次のように設定します。
|
アクセス ルールのアクション |
アクセス コントロール ルールのアクション |
|---|---|
|
許可(Permit) |
移行時の選択内容に応じて、[許可(Allow)]または [信頼する(Trust)] |
|
拒否(Deny) |
ブロック |
システムは、アクセス コントロール ルールの [送信元ゾーン(Source Zones)]および [宛先ゾーン(Destination Zones)] を次のように設定します。
|
ACL タイプ(ACL Type) |
送信元ゾーン(Source Zones) |
宛先ゾーン(Destination Zones) |
|---|---|---|
|
グローバル(任意のインターフェイスに適用されます) |
任意(Any) |
任意(Any) |
|
特定のインターフェイスに適用されます |
インポート時に選択したセキュリティ ゾーン |
任意(Any) |
アクセス ルールが非アクティブの場合、ツールはそのルールを無効なアクセス コントロール ルールに変換します。
移行ツールは、次のデフォルトのパラメータを使用して、変換されたルールをアクセス コントロール ポリシーに割り当てます。
システムは、新しいアクセス コントロール ポリシーのデフォルト アクションを [すべてのトラフィックをブロック(Block All Traffic)]に設定します。
システムは、アクセス コントロール ポリシーをデフォルトのプレフィルタ ポリシーに関連付けます。
移行ツールは、次の表で説明するように、ASA アクセス ルールのフィールドを FirePOWER Threat Defenseアクセス コントロール ルールのフィールドに変換します。
(注)
カラム 1(ASA アクセス ルール フィールド)のフィールド名は、ASDM インターフェイスのフィールド ラベルに対応します。
カラム 2(Firepower アクセス コントロール ルール フィールド)のフィールド名は、Firepower Management Centerインターフェイスのフィールド ラベルに対応します。
|
ASA アクセス ルール フィールド |
Firepower アクセス コントロール ルール フィールド |
|---|---|
|
インターフェイス(Interface) |
対応するフィールドなし |
|
操作 |
操作 |
|
ソース(Source) |
送信元ネットワーク |
|
ユーザ(User) |
変換しません。[選択されたユーザ(Selected Users)] の条件と同等 |
|
セキュリティ グループ(送信元)(Security Group (Source)) |
変換しません。カスタム SGT の条件と同等 |
|
[接続先(Destination)] |
宛先ネットワーク |
|
セキュリティ グループ(宛先)(Security Group (Destination)) |
対応するフィールドなし |
|
サービス |
[選択済み宛先ポート(Selected Destination Port)]。事前定義済みのサービス オブジェクトが指定されている場合は変換しません。 |
|
説明 |
コメント |
|
Enable Logging |
変換しません。[接続開始時にロギング(Log at Beginning of Connection)] または [接続終了時にロギング(Log at End of Connection)] と同等 |
|
ログ レベル(Logging Level) |
変換しません。接続イベントのロギングと同等 |
|
ルールの有効化(Enable Rule) |
有効(Enabled) |
|
トラフィックの方向 |
対応するフィールドなし |
|
送信元サービス(Source Service) |
[選択済み送信元ポート(Selected Source Port)]。事前定義済みのサービス オブジェクトが指定されている場合は変換しません。 |
|
ロギング間隔(Logging Interval) |
変換しません。接続イベントのロギングと同等 |
|
時間範囲(Time Range) |
対応するフィールドなし |
FirePOWER Threat Defenseアクセス コントロール ルールには、ASA アクセス ルールには存在しないいくつかのフィールドがあります。移行ツールによって、変換されたアクセス コントロール ルールのこれらの Firepower 固有フィールドには次のデフォルト値が読み込まれます。
|
アクセス コントロール ルール フィールド |
変換されたアクセス ルールのデフォルト値 |
|---|---|
|
[名前(Name)] |
システムによって生成されます(変換された設定の命名規則を参照) |
|
送信元ゾーン(Source Zone) |
|
|
宛先ゾーン(Destination Zone) |
[いずれか(Any)](すべてのアクセス コントロールルールのデフォルト) |
|
選択された VLAN タグ(Selected VLAN Tags) |
デフォルトなし(インポートした後に手動で条件を追加できます) |
|
選択されたアプリケーションとフィルタ(Selected Applications and Filters) |
デフォルトなし(インポートした後に手動で条件を追加できます) |
|
選択された URL(Selected URLs) |
デフォルトなし(インポートした後に手動で条件を追加できます) |
ASA アクセス ルールを FirePOWER Threat Defenseプレフィルタ ルールに変換するように選択した場合:
システムは、[説明(Description)] フィールドの内容を、ルールの [コメント履歴(Comment History)]にエントリとして保持します。
変換されたルールを識別するエントリを [コメント履歴(Comment History)]に追加します。
システムは、プレフィルタ ルールの [アクション(Action)]を次のように設定します。
|
アクセス ルールのアクション |
プレフィルタ ルールのアクション |
|---|---|
|
許可(Permit) |
移行時の選択内容に応じて、[高速パス(Fastpath)]または [分析(Analyze)] |
|
拒否(Deny) |
ブロック |
システムは、プレフィルタ ルールの [送信元インターフェイス オブジェクト(Source Interface Objects)]および [宛先インターフェイス オブジェクト(Destination Interface Objects)] を次のように設定します。
|
ACL タイプ(ACL Type) |
送信元インターフェイス オブジェクト(Source Interface Objects) |
宛先インターフェイス オブジェクト(Destination Interface Objects) |
|---|---|---|
|
グローバル(任意のインターフェイスに適用されます) |
任意(Any) |
任意(Any) |
|
特定のインターフェイスに適用されます |
インポート時に選択したインターフェイス グループ |
任意(Any) |
アクセス ルールが非アクティブの場合、ツールはそのルールを無効なプレフィルタ ルールに変換します。
移行ツールは、次のデフォルトのパラメータを使用して、変換されたルールをプレフィルタ ポリシーに割り当てます。
システムは、新しいプレフィルタ ポリシーのデフォルト アクションを [すべてのトンネル トラフィックを分析(Analyze All Tunnel Traffic)]に設定します。
システムは、プレフィルタ ポリシーと同じ名前のアクセス コントロール ポリシーを作成し、次にプレフィルタ ポリシーをそのアクセス コントロール ポリシーに関連付けます。システムは、新しいアクセス コントロール ポリシーのデフォルト アクションを [すべてのトラフィックをブロック(Block All Traffic)]に設定します。
移行ツールは、次の表で説明するように、ASA アクセス ルールのフィールドを FirePOWER Threat Defenseプレフィルタ ルールのフィールドに変換します。
(注)
カラム 1(ASA アクセス ルール フィールド)のフィールド名は、ASDM インターフェイスのフィールド ラベルに対応します。
カラム 2(Firepower プレフィルタ ルール フィールド)のフィールド名は、Firepower Management Centerインターフェイスのフィールド ラベルに対応します。
|
ASA アクセス ルール フィールド |
Firepower プレフィルタ ルール フィールド |
|---|---|
|
インターフェイス(Interface) |
対応するフィールドなし |
|
ルールの有効化(Enable Rule) |
有効(Enabled) |
|
操作 |
操作 |
|
ソース(Source) |
送信元ネットワーク |
|
ユーザ(User) |
対応するフィールドなし |
|
セキュリティ グループ(送信元)(Security Group (Source)) |
対応するフィールドなし |
|
[接続先(Destination)] |
宛先ネットワーク |
|
セキュリティ グループ(宛先)(Security Group (Destination)) |
対応するフィールドなし |
|
サービス |
選択済み送信元ポート(Selected Source Port) 選択済み宛先ポート(Selected Destination Port) |
|
説明 |
コメント |
|
Enable Logging |
変換しません。[接続開始時にロギング(Log at Beginning of Connection)] または [接続終了時にロギング(Log at End of Connection)] と同等 |
|
ログ レベル(Logging Level) |
変換しません。接続イベントのロギングと同等 |
|
トラフィックの方向 |
対応するフィールドなし |
|
送信元サービス(Source Service) |
[選択済み送信元ポート(Selected Source Port)]。事前定義済みのサービス オブジェクトが指定されている場合は変換しません。 |
|
ロギング間隔(Logging Interval) |
変換しません。接続イベントのロギングと同等 |
|
時間範囲(Time Range) |
対応するフィールドなし |
FirePOWER Threat Defenseプレフィルタ ルールには、ASA アクセス ルールには存在しないいくつかのフィールドがあります。移行ツールによって、変換されたプレフィルタ ルールのこれらの Firepower 固有フィールドには次のデフォルト値が読み込まれます。
|
プレフィルタ ルール フィールド |
変換されたアクセス ルールのデフォルト値 |
|---|---|
|
[名前(Name)] |
システムによって生成されます(変換された設定の命名規則を参照) |
|
送信元インターフェイス オブジェクト(Source Interface Objects) |
|
|
宛先インターフェイス オブジェクト(Destination Interface Objects) |
[いずれか(Any)](すべてのプレフィルタルールのデフォルト) |
|
選択された VLAN タグ(Selected VLAN Tags) |
デフォルトなし(インポートした後に手動で条件を追加できます) |
拡張アクセス ルールには、サービス オブジェクトで使用されるものと同じ演算子を使用する port_argument 要素が含まれている可能性があります。移行ツールは、アクセス ルールに単一のポート引数演算子が含まれているか、または複数のポート引数演算子が含まれているかによって、サービス オブジェクトを変換するときに同じ演算子を変換するのとは若干異なる方法で、アクセス ルール内のこれらの演算子を変換します。
次の表に、使用可能な演算子と、単一演算子の使用例を示します。
|
演算子 |
説明 |
例 |
|---|---|---|
|
lt |
次の値より小さい。 |
access-list acp1 extended permit tcp any lt 300 |
|
gt |
次の値より大きい。 |
access-list acp2 extended permit tcp any gt 300 |
|
eq |
次の値と等しい。 |
access-list acp3 extended permit tcp any eq 300 |
|
neq |
次の値と等しくない。 |
access-list acp4 extended permit tcp any neq 300 |
|
range |
値の包括的な範囲。この演算子を使用する場合は、2 つのポート番号を指定します(例:range 100 200)。 |
access-list acp5 extended permit tcp any range 9000 12000 |
アクセス ルールに単一のポート引数演算子が含まれている場合、移行ツールは、次のようにアクセス ルールを単一のアクセス コントロール ルールまたはプレフィルタ ルールに変換します。
|
Op |
名前 |
送信元ゾーン |
宛先ゾーン |
送信元ネットワーク |
宛先ネットワーク |
送信元ポート |
宛先ポート |
操作 |
有効(Enabled) |
|---|---|---|---|---|---|---|---|---|---|
|
lt |
acp1#1 |
任意(Any) |
任意(Any) |
任意(Any) |
任意(Any) |
1 ~ 299 |
任意(Any) |
同等の許可 |
はい(True) |
|
gt |
acp2#1 |
任意(Any) |
任意(Any) |
任意(Any) |
任意(Any) |
301 ~ 65535 |
任意(Any) |
同等の許可 |
はい(True) |
|
eq |
acp3#1 |
任意(Any) |
任意(Any) |
任意(Any) |
任意(Any) |
300 |
任意(Any) |
同等の許可 |
はい(True) |
|
neq |
acp4#1 |
任意(Any) |
任意(Any) |
任意(Any) |
任意(Any) |
1 ~ 299、301 ~ 65535 |
任意(Any) |
同等の許可 |
はい(True) |
|
range |
acp5#1 |
任意(Any) |
任意(Any) |
任意(Any) |
任意(Any) |
9000 ~ 2000 |
任意(Any) |
同等の許可 |
はい(True) |
この表の[元の演算子(Original Operator)]([Op])列は、わかりやすくするために示されており、アクセス コントロール ルールのフィールドを表すものではありません。
アクセス ルールに複数のポート演算子(たとえば、access-list acp6 extended permit tcp any neq 300 any neq 400)が含まれている場合、移行ツールは、次のように単一のアクセス ルールを複数のアクセス コントロール ルールまたはプレフィルタ ルールに変換します。
|
Op |
名前 |
送信元ゾーン |
宛先ゾーン |
送信元ネットワーク |
宛先ネットワーク |
送信元ポート |
宛先ポート |
操作 |
有効(Enabled) |
|---|---|---|---|---|---|---|---|---|---|
|
neq |
acp6#1_1 |
任意(Any) |
任意(Any) |
任意(Any) |
任意(Any) |
1 ~ 299 |
1 ~ 399 |
同等の許可 |
はい(True) |
|
neq |
acp6#1_2 |
任意(Any) |
任意(Any) |
任意(Any) |
任意(Any) |
301 ~ 65535 |
1 ~ 399 |
同等の許可 |
はい(True) |
|
neq |
acp6#1_3 |
任意(Any) |
任意(Any) |
任意(Any) |
任意(Any) |
1 ~ 299 |
401 ~ 65535 |
同等の許可 |
はい(True) |
|
neq |
acp6#1_4 |
任意(Any) |
任意(Any) |
任意(Any) |
任意(Any) |
301 ~ 65535 |
401 ~ 65535 |
同等の許可 |
はい(True) |
この表の[元の演算子(Original Operator)]([Op])列は、わかりやすくするために示されており、アクセス コントロール ルールのフィールドを表すものではありません。
ASA では、複数のプロトコルを指定するプロトコル サービス オブジェクトを使用するように、アクセス ルールの送信元ポートおよび宛先ポートを設定できます(たとえば、TCP や UDP)。次に、例を示します。
object-group protocol TCPUDP protocol-object udp protocol-object tcp access-list acp1 extended permit object-group TCPUDP any any
ただし、Firepower システムでは、アクセス コントロール ルールまたはプレフィルタ ルールは次のとおりにのみ設定できます。
送信元ポートおよび宛先ポートの両方が同じプロトコルを指定する必要があります。
宛先ポートは複数のプロトコルを指定できますが、送信元ポートは何も指定できません。
プロトコル オブジェクト グループ tcp および udp を含むアクセス ルールは、サポートされていないルールとして移行されます。そのため、ルールはコメント「tcp および udp の両方を含むオブジェクト グループ プロトコルはサポートされていません(Object Group Protocol containing both tcp and udp is not supported)」とともに無効になります。
次の表に要約しているように、ASA 向けの NAT および FirePOWER Threat Defense向けの NAT は、同等の機能をサポートしています。
移行ツールは、ASA NAT 設定をFirePOWER Threat DefenseNAT 設定に変換します。ただし、ツールは、サポートされていないネットワーク オブジェクトを使用している ASA NAT 設定は変換できません。そのような場合、変換は失敗します。
移行ツールは、次の表で説明するように、ASA NAT ルールのフィールドを FirePOWER Threat DefenseNAT ルールのフィールドに変換します。
(注)
カラム 1(ASA NAT ルール フィールド)のフィールド名は、ASDM インターフェイスのフィールド ラベルに対応します。
カラム 2(Firepower Threat Defense ルール フィールド)のフィールド名は、Firepower Management Centerインターフェイスのフィールド ラベルに対応します。
|
ASA NAT ルール フィールド |
FirePOWER Threat Defenseルール フィールド |
|---|---|
|
[元のパケット(Original Packet)] - [送信元インターフェイス(Source Interface)] |
[インターフェイス オブジェクト(Interface Objects)] - [送信元インターフェイス オブジェクト(Source Interface Objects)] |
|
[元のパケット(Original Packet)] - [送信元アドレス(Source Address)] |
[元のパケット(Original Packet)] - [元の送信元(Original Source)] |
|
[元のパケット(Original Packet)] - [宛先インターフェイス(Destination Interface)] |
[インターフェイス オブジェクト(Interface Objects)] - [宛先インターフェイス オブジェクト(Destination Interface Objects)] |
|
[元のパケット(Original Packet)] - [宛先アドレス(Destination Address)] |
[元のパケット(Original Packet)] - [元の宛先(Original Destination)] - [アドレス タイプ(Address Type)] [元のパケット(Original Packet)] - [元の宛先(Original Destination)] - [ネットワーク(Network)] |
|
[元のパケット(Original Packet)] - [サービス(Service)] |
[元のパケット(Original Packet)] - [元の送信元ポート(Original Source Port)] [元のパケット(Original Packet)] - [元の宛先ポート(Original Destination Port)] |
|
[変換されたパケット(Translated Packet)] - [送信元 NAT タイプ(Source NAT Type)] |
タイプ(Type) |
|
[変換されたパケット(Translated Packet)] - [送信元アドレス(Source Address)] |
[変換されたパケット(Translated Packet)] - [変換された送信元(Translated Source)] - [アドレス タイプ(Address Type)] [変換されたパケット(Translated Packet)] - [変換された送信元(Translated Source)] - [ネットワーク(Network)] |
|
[変換されたパケット(Translated Packet)] - [宛先アドレス(Destination Address)] |
[変換されたパケット(Translated Packet)] - [変換された宛先(Translated Destination)] |
|
[変換されたパケット(Translated Packet)] - [サービス(Service)] |
[変換されたパケット(Translated Packet)] - [変換された送信元ポート(Translated Source Port)] [変換されたパケット(Translated Packet)] - [変換された宛先ポート(Translated Destination Port)] |
|
1 対 1 アドレス変換を使用(Use one-to-one address translation) |
[詳細設定(Advanced)] - [Net 間マッピング(Net to Net Mapping)] |
|
PAT プール変換済みアドレス(PAT Pool Translated Address) |
[PAT プール(PAT Pool)] - [PAT] - [アドレス タイプ(Address Type)] [PAT プール(PAT Pool)] - [PAT] - [ネットワーク(Network)] |
|
ラウンドロビン |
[PAT プール(PAT Pool)] - [ラウンド ロビン割り当てを使用(Use Round Robin Allocation)] |
|
インターフェイス単位ではなく宛先単位の拡張 PAT 一意性(Extend PAT uniqueness to per destination instead of per interface) |
[PAT プール(PAT Pool)] - [拡張 PAT テーブル(Extended PAT Table)] |
|
TCP および UDP ポートをフラットな範囲 1024 ~ 65535 に変換する(Translate TCP and UDP ports into flat range 1024-65535) |
[PAT プール(PAT Pool)] - [フラットなポート範囲(Flat Port Range)] |
|
1 ~ 1023 の範囲を含む(Include range 1-1023) |
[PAT プール(PAT Pool)] - [予約ポートを含む(Include Reserve Ports)] |
|
ブロック割り当ての有効化(Enable Block Allocation) |
対応なし |
|
送信元インターフェイス PAT に IPv6 を使用する(Use IPv6 for source interface PAT) |
対応なし |
|
宛先インターフェイス PAT に IPv6 を使用する(Use IPv6 for destination interface PAT) |
[詳細設定(Advanced)] - [IPv6] |
|
ルールの有効化(Enable rule) |
有効(Enable) |
|
このルールに一致する DNS 応答を変換(Translate DNS replies that match this rule) |
[詳細設定(Advanced)] - [このルールに一致する DNS 応答を変換(Translate DNS replies that match this rule)] |
|
出力インターフェイスでプロキシ ARP を無効にする(Disable Proxy ARP on egress interface) |
[詳細設定(Advanced)] - [宛先インターフェイスで ARP をプロキシしない(Do not proxy ARP on Destination Interface)] |
|
ルート テーブルを検索して出力インターフェイスを見つける(Lookup route table to locate egress interface) |
対応なし |
|
方向(Direction) |
[詳細設定(Advanced)] - [単方向(Unidirectional)] |
|
説明 |
説明 |
ネットワーク オブジェクトおよびネットワーク オブジェクト グループは、IP アドレスまたはホスト名を識別します。ASA と FirePOWER Threat Defenseの両方で、これらのオブジェクトおよびグループをアクセス ルールと NAT ルールの両方に使用できます。
ASA では、1 つのネットワーク オブジェクトには、1 つのホスト、ネットワーク IP アドレス、IP アドレスの範囲、または完全修飾ドメイン名(FQDN)を入れることができます。Firepower システムでは、ネットワーク オブジェクトは、FQDN を除くこれらの同じ値をサポートしています。
オブジェクトが複数のアクセス ルールまたは NAT ルールで使用されているかどうかにかかわらず、移行ツールは ASA ネットワーク オブジェクトまたはグループを 1 回変換します。
変換する各 ASA ネットワーク オブジェクトに対し、移行ツールは Firepower ネットワーク オブジェクトを作成します。
移行ツールは、次のように ASA ネットワーク オブジェクトのフィールドを Firepower ネットワーク オブジェクトのフィールドに変換します。
|
ASA ネットワーク オブジェクト フィールド |
Firepower ネットワーク オブジェクト フィールド |
|---|---|
|
[名前(Name)] |
システムによって生成されます(を参照) 変換された設定の命名規則 |
|
タイプ(Type) |
タイプ(Type) |
|
IPバージョン |
対応するフィールドなし |
|
[IPアドレス(IP Address)] |
値 |
|
ネットマスク |
[値(Value)](CIDR 表記に含まれている) |
|
説明 |
説明 |
|
オブジェクト NAT アドレス(Object NAT Address) |
対応するフィールドなし |
次のコマンドが ASA 設定ファイルにある場合:
object network obj1 host 1.2.3.4 object network obj2 range 1.2.3.7 1.2.3.10 object network obj3 subnet 10.83.0.0 255.255.0.0 access-list sample_acl extended permit ip object obj1 object obj2 access-list sample_acl extended permit ip object obj3 object obj1 access-group gigabitethernet_access_in in interface gigabitethernet1/1
システムは、これらのオブジェクトを次のように変換します。
|
名前 |
ドメイン |
値(ネットワーク) |
タイプ(Type) |
オーバーライド(Override) |
|---|---|---|---|---|
|
obj1 |
None |
1.2.3.4 |
ホスト |
いいえ(False) |
|
obj2 |
None |
1.2.3.7 ~ 1.2.3.10 |
アドレス範囲(Address Range) |
いいえ(False) |
|
obj3 |
None |
10.83.0.0/16 |
[ネットワーク(Network)] |
いいえ(False) |
次のコマンドが ASA 設定ファイルにある場合:
nat (gigabitethernet1/1,gigabitethernet1/2) source static obj1 obj1
システムは、上記の例でアクセス ルール内のオブジェクト obj1 を変換するのと同じ方法で、このルール内のオブジェクト obj1 を変換します。
変換する各 ASA ネットワーク オブジェクト グループに対し、移行ツールは Firepower ネットワーク オブジェクト グループを作成します。また、グループに含まれているオブジェクトがまだ変換されていない場合は、そのオブジェクトも変換します。
移行ツールは、次のように ASA ネットワーク オブジェクト グループのフィールドを Firepower ネットワーク オブジェクト グループのフィールドに変換します。
|
ASA ネットワーク オブジェクト グループ フィールド |
Firepower ネットワーク オブジェクト グループ フィールド |
|---|---|
|
グループ名(Group Name) |
名前 |
|
説明 |
説明 |
|
グループ内のメンバー(Members In Group) |
値(選択されたネットワーク)(Value (Selected Networks)) |
次のコマンドが ASA 設定ファイルにある場合:
object network obj1 host 1.2.3.4 object network obj2 range 1.2.3.7 1.2.3.10 object network obj3 subnet 10.83.0.0 255.255.0.0 object-group network obj_group1 network-object object obj1 network-object object obj2 network-object object obj3 access-list sample_acl extended permit ip object-group obj_group1 any access-group gigabitethernet_access_in in interface gigabitethernet1/1
システムは、次のネットワーク グループを作成します。
|
名前 |
ドメイン |
値(ネットワーク) |
タイプ(Type) |
オーバーライド(Override) |
|---|---|---|---|---|
|
obj_group1 |
なし |
obj1 obj2 obj3 |
グループ |
いいえ(False) |
関連付けられているオブジェクトがまだ変換されていない場合、ネットワーク オブジェクトの変換で説明するように、システムはそのオブジェクトを変換します。
次のコマンドが ASA 設定ファイルにある場合:
nat (interface1,interface2) source static obj_group1 obj_group1
システムは、上記の例でアクセス ルール内の obj_group1 を変換するのと同じ方法で、このルール内の obj_group1 を変換します。
ASA では、サービス オブジェクトおよびサービス グループがプロトコルとポートを指定し、それらのポートを送信元ポートまたは宛先ポートとして指定します。サービス オブジェクトおよびグループは、アクセス ルールおよび NAT ルールの両方で使用できます。
Firepower システムでは、ポート オブジェクトおよびポート オブジェクト グループがプロトコルとポートを指定しますが、システムがそれらのポートを送信元ポートまたは宛先ポートとして指定するのは、ユーザがオブジェクトをアクセス コントロール ルール、プレフィルタ ルール、または NAT ルールに追加する場合のみです。サービス オブジェクトを Firepower システムの同等機能に変換するために、移行ツールは、サービス オブジェクトをポート オブジェクトまたはポート グループに変換し、関連するアクセス コントロール ルール、プレフィルタ ルール、または NAT ルールに特定の変更を行います。その結果、変換中に、移行ツールは、単一のセキュリティ オブジェクトおよび関連するアクセス ルールまたは NAT ルールを複数のポート オブジェクトとグループおよび関連するアクセス コントロール ルール、プレフィルタ ルール、または NAT ルールに展開する場合があります。
移行ツールは、1 つ以上のポート オブジェクトと、それらのポート オブジェクトを参照する 1 つ以上のアクセス コントロール ルールまたはプレフィルタ ルールを作成することによって、ASA サービス オブジェクトを変換します。
移行ツールは、次のサービス オブジェクト タイプを変換できます。
[プロトコル(Protocol)]
TCP/UDP
ICMP/ICMPv6
移行ツールは、次のように ASA サービス オブジェクトのフィールドを Firepower ポート オブジェクトのフィールドに変換します。
|
ASA サービス オブジェクト フィールド |
ASA サービス オブジェクト タイプ |
Firepower ポート オブジェクト フィールド |
|---|---|---|
|
[名前(Name)] |
任意(Any) |
システムによって生成されます(変換された設定の命名規則を参照) |
|
サービス タイプ(Service Type) |
TCP/UDP、ICMP/ICMPv6 |
[プロトコル(Protocol)] |
|
[プロトコル(Protocol)] |
プロトコルのみ |
[プロトコル(Protocol)] |
|
説明 |
任意(Any) |
対応なし、コンテンツは破棄されます |
|
宛先ポート/範囲(Destination Port/Range) |
TCP/UDP のみ |
[ポート(Port)] |
|
送信元ポート/範囲(Source Port/Range) |
TCP/UDP のみ |
[ポート(Port)] |
|
ICMP タイプ(ICMP Type) |
ICMP/ICMPv6 のみ |
タイプ(Type) |
|
ICMP コード(ICMP Code) |
ICMP/ICMPv6 のみ |
コード(Code) |
ASA サービス オブジェクトは、ポート番号の代わりにポート リテラル値を指定できます。次に、例を示します。
object service http service tcp destination eq www
Firepower システムはこれらのポート リテラル値をサポートしていないため、移行ツールは、ポート リテラル値をその値が表すポート番号に変換します。ツールは、上記の例を次のポート オブジェクトに変換します。
|
名前 |
タイプ(Type) |
ドメイン |
値(プロトコル/ポート) |
オーバーライド(Override) |
|---|---|---|---|---|
|
http |
オブジェクト |
なし |
TCP(6)/80 |
いいえ(False) |
ポート リテラル値と関連付けられているポート番号の完全なリストについては、『CLI Book 1: Cisco ASA Series General Operations CLI Configuration Guide』の「TCP and UDP Ports」を参照してください。
ASA サービス オブジェクトは、ポート引数に次の演算子を使用できます。
|
演算子 |
説明 |
例 |
|---|---|---|
|
lt |
次の値より小さい。 |
object service testOperator service tcp source lt 100 |
|
gt |
次の値より大きい。 |
object service testOperator service tcp source gt 100 |
|
eq |
次の値と等しい。 |
object service http-proxy service tcp source eq 8080 |
|
neq |
次の値と等しくない。 |
object service testOperator service tcp source neq 200 |
|
range |
値の包括的な範囲。 |
object service http-proxy service tcp source range 9000 12000 |
移行ツールは、次のようにこれらの演算子を変換します。
|
演算子 |
変換先 |
ポート オブジェクト値の例(プロトコル/ポート) |
|---|---|---|
|
lt |
指定した番号未満のポート番号の範囲を指定する単一のポート オブジェクト。 |
TCP(6)/1-99 |
|
gt |
指定した番号より大きいポート番号の範囲を指定する単一のポート オブジェクト。 |
TCP(6)/101-65535 |
|
eq |
単一のポート番号を指定する単一のポート オブジェクト。 |
TCP(6)/8080 |
|
neq |
2 つのポート オブジェクトおよび 1 つのポート オブジェクト グループ。最初のポート オブジェクトは、指定されたポートよりも低い範囲を指定します。2 番目のポート オブジェクトは、指定されたポートよりも高い範囲を指定します。ポート オブジェクト グループには、両方のポート オブジェクトが含まれています。 |
最初のオブジェクト(testOperator_src_1): TCP(6)/1-199 2 番目のオブジェクト(testOperator_src_2): TCP(6)/201-65535 testOperator_src_1 testOperator_src_2 |
|
range |
値の包括的な範囲を指定する単一のポート オブジェクト。 |
TCP(6)/9000-12000 |
ASA では、単一のサービス オブジェクトで、送信元と宛先の両方にポートを指定できます。Firepower システムでは、ポート オブジェクトはポート値のみを指定します。アクセス コントロール ルールまたはプレフィルタ ルールでポート オブジェクトが使用されるまで、システムはポートを送信元または宛先として指定しません。
この違いに対応するために、移行ツールは、送信元と宛先の両方を指定する ASA サービス オブジェクトを変換する際に、単一のオブジェクトを 2 つのポート オブジェクトに展開します。元の指定を示すための拡張子がオブジェクト名に追加されます。送信元ポートの場合は _src、宛先ポートの場合は _dst です。
object service http-proxy service tcp source range 9000 12000 destination eq 8080
ツールは、このサービス オブジェクトを次のポート オブジェクトに変換します。
|
名前 |
タイプ(Type) |
ドメイン |
値(プロトコル/ポート) |
オーバーライド(Override) |
|---|---|---|---|---|
|
http-proxy_src |
オブジェクト |
なし |
TCP(6)/9000 ~ 12000 |
いいえ(False) |
|
http-proxy_dst |
オブジェクト |
なし |
TCP(6)/8080 |
いいえ(False) |
ASA の設定:
object service protocolObj1 service snp description simple routing
変換先:
|
名前 |
タイプ(Type) |
ドメイン |
値(プロトコル) |
オーバーライド(Override) |
|---|---|---|---|---|
|
protocolObj1 |
オブジェクト |
なし |
SNP(109) |
いいえ(False) |
ASA の設定:
object service servObj1 service tcp destination eq ssh
変換先:
|
名前 |
タイプ(Type) |
ドメイン |
値(プロトコル/ポート) |
オーバーライド(Override) |
|---|---|---|---|---|
|
servObj1 |
オブジェクト |
なし |
TCP(6)/22 |
いいえ(False) |
ASA の設定:
object service servObj1 service icmp alternate-address 0
変換先:
|
名前 |
タイプ(Type) |
ドメイン |
値(プロトコル/タイプ:コード) |
オーバーライド(Override) |
|---|---|---|---|---|
|
servObj1 |
オブジェクト |
なし |
ICMP(1)/代替ホスト アドレス:ホストの代替アドレス |
いいえ(False) |
ASA の設定:
object service servObj1 service icmp6 unreachable 0
変換先:
|
名前 |
タイプ(Type) |
ドメイン |
値(プロトコル/タイプ:コード) |
オーバーライド(Override) |
|---|---|---|---|---|
|
servObj1 |
オブジェクト |
なし |
IPV6-ICMP (58)/宛先到達不能:接続先へのルートなし |
いいえ(False) |
移行ツールは、関連するアクセス コントロール ルールまたはプレフィルタ ルールを使用して、ポート オブジェクト グループおよび関連するポート オブジェクト グループを作成することで、ASA サービス グループを変換します。
移行ツールは、次のサービス グループ タイプを変換できます。
[プロトコル(Protocol)]
TCP/UDP
ICMP/ICMPv6
移行ツールは、次のように ASA サービス オブジェクトのフィールドを Firepower ポート オブジェクトのフィールドに変換します。
|
ASA サービス グループ フィールド |
ポート オブジェクト グループ フィールド |
|---|---|
|
[名前(Name)] |
システムによって生成されます(変換された設定の命名規則を参照) |
|
説明 |
説明 |
|
グループ内のメンバー(Members In Group) |
選択したポート(Selected Ports) |
ASA は、ネストされたサービス グループ(つまり、他のサービス グループを含むサービス グループ)をサポートしています。Firepower システムは、ネストされたポート オブジェクト グループをサポートしていませんが、複数のグループを単一のアクセス コントロール ルールまたはプレフィルタ ルールに関連付けることで同等の機能を実現できます。ネストされたサービス グループを変換する場合、移行ツールはグループ構造をフラット化し、最深部のサービス オブジェクトおよびグループをポート オブジェクトおよびポート オブジェクト グループに変換し、それらの変換されたグループをアクセス コントロール ルールまたはプレフィルタ ルールに関連付けます。
最大 50 のポート オブジェクトを単一のアクセス コントロール ルールまたはプレフィルタ ルールに関連付けることができます。新しいポート オブジェクトの数が 50 を超えると、ツールによって、新しいすべてのポート オブジェクトがルールに関連付けられるまで、重複アクセス コントロール ルールまたはプレフィルタ ルールが作成されます。
送信元と宛先両方のサービスとして使用されるネストされたサービス オブジェクトを含む Firepower システムのルールはサポートされていません。
object-group service http-8081 tcp port-object eq 80 port-object eq 81 object-group service http-proxy tcp port-object eq 8080 object-group service all-http tcp group-object http-8081 group-object http-proxy access-list FMC_inside extended permit tcp host 33.33.33.33 object-group all-http host 33.33.33.33 object-group all-http
上記の例では、サービス オブジェクト http-8081 および http-proxy は all-http サービス グループ内にネストされます。
このようなシナリオでは、ポート オブジェクトに関連するルールは無視されます。システムは、オブジェクトをインポートしますが、関連するアクセス コントロール ルールまたはプレフィルタ ルールは無効にし、次のコメントをルールに追加します。Nested service groups at both Source and Destination are not supported。
変換されたサービス オブジェクト、サービス グループ、およびシステムが変換時に作成する可能性がある重複ルールに対しツールが使用する命名規則の説明については、を参照してください。 変換された設定の命名規則
ASA の設定:
object-group service legServGroup1 tcp port-object eq 78 port-object eq 79 object-group service legServGroup2 tcp port-object eq 80 port-object eq 81 object-group service legacyServiceNestedGrp tcp group-object legServGroup1 group-object legServGroup2 access-list acp1 extended permit tcp 3.4.5.0 255.255.255.0 5.6.7.0 255.255.255.0 object-group legacyServiceNestedGrp access-group acp1 global
変換先:
|
名前 |
タイプ(Type) |
ドメイン |
値(プロトコル/ポート) |
オーバーライド(Override) |
|---|---|---|---|---|
|
legServGroup1_1 |
オブジェクト |
なし |
TCP(6)/78 |
いいえ(False) |
|
legServGroup1_2 |
オブジェクト |
なし |
TCP(6)/79 |
いいえ(False) |
|
legServGroup2_1 |
オブジェクト |
なし |
TCP(6)/80 |
いいえ(False) |
|
legServGroup2_2 |
オブジェクト |
なし |
TCP(6)/81 |
いいえ(False) |
|
legServGroup1 |
グループ |
なし |
legServGroup1_1 legServGroup1_2 |
いいえ(False) |
|
legServGroup2 |
グループ |
なし |
legServGroup2_1 legServGroup2_2 |
いいえ(False) |
|
名前 |
送信元ゾーン |
宛先ゾーン |
送信元ネットワーク |
宛先ネットワーク |
送信元ポート |
宛先ポート |
操作 |
有効(Enabled) |
|---|---|---|---|---|---|---|---|---|
|
acp1#1 |
任意(Any) |
任意(Any) |
3.4.5.0/24 |
5.6.7.0/24 |
TCP(6) |
legServGroup1 legServGroup2 |
同等の許可 |
はい(True) |
ASA の設定:
object-group protocol TCPUDP protocol-object udp protocol-object tcp
変換先:
|
名前 |
タイプ(Type) |
ドメイン |
値(プロトコル/ポート) |
オーバーライド(Override) |
|---|---|---|---|---|
|
TCPUDP_1 |
オブジェクト |
なし |
TCP(6) |
いいえ(False) |
|
TCPUDP_2 |
オブジェクト |
なし |
UDP(17) |
いいえ(False) |
|
TCPUDP |
グループ |
なし |
TCPUDP_1 TCPUDP_2 |
いいえ(False) |
ASA では、サービス グループの作成中にオブジェクトをその場で作成できます。これらのオブジェクトは、サービス オブジェクトとして分類されますが、ASA 設定ファイル内のエントリは object service の代わりに port-object を使用します。これらのオブジェクトは個別に作成されないため、移行ツールは、グループの作成とは関係なく作成されるオブジェクト用のものとは若干異なる命名規則を使用します。
ASA の設定:
object-group service servGrp5 tcp-udp port-object eq 50 port-object eq 55
変換先:
|
名前 |
タイプ(Type) |
ドメイン |
値(プロトコル/ポート) |
オーバーライド(Override) |
|---|---|---|---|---|
|
servGrp5_1 |
オブジェクト |
なし |
TCP(6)/50 |
いいえ(False) |
|
servGrp5_2 |
オブジェクト |
なし |
TCP(6)/55 |
いいえ(False) |
|
servGrp5 |
グループ |
なし |
servGrp5_1 servGrp5_2 |
いいえ(False) |
ASA の設定:
object service servObj1 service tcp destination eq ssh object service servObj2 service udp destination eq 22 object service servObj3 service tcp destination eq telnet object-group service servGrp1 service-object object servObj1 service-object object servObj2 service-object object servObj3
変換先:
|
名前 |
タイプ(Type) |
ドメイン |
値(プロトコル/ポート) |
オーバーライド(Override) |
|---|---|---|---|---|
|
servObj1 |
オブジェクト |
なし |
TCP(6)/22 |
いいえ(False) |
|
servObj2 |
オブジェクト |
なし |
UDP(17)/22 |
いいえ(False) |
|
servObj3 |
オブジェクト |
なし |
TCP(6)/23 |
いいえ(False) |
|
servGrp1 |
グループ |
なし |
servObj1 servObj2 servObj3 |
いいえ(False) |
ASA の設定:
object-group icmp-type servGrp4 icmp-object echo-reply
変換先:
|
名前 |
タイプ(Type) |
ドメイン |
値(プロトコル/ポート) |
オーバーライド(Override) |
|---|---|---|---|---|
|
servGrp4_1 |
オブジェクト |
なし |
ICMP(1)/Echo 応答 |
いいえ(False) |
|
servGrp4 |
グループ |
なし |
servGrp4_1 |
いいえ(False) |
ASA の設定:
object-group service servObjGrp3 service-object icmp6 packet-too-big service-object icmp6 parameter-problem
変換先:
|
名前 |
タイプ(Type) |
ドメイン |
値(プロトコル/ポート) |
オーバーライド(Override) |
|---|---|---|---|---|
|
servObjGrp3_1 |
オブジェクト |
なし |
IPV6-ICMP(58)/2 |
いいえ(False) |
|
servObjGrp3_2 |
オブジェクト |
なし |
IPV6-ICMP(58)/4 |
いいえ(False) |
|
servObjGrp3 |
グループ |
なし |
servObjGrp3_1 servObjGrp3_2 |
いいえ(False) |
ASA で ACL を適用するには、CLI で access-group コマンドを入力するか、または ASDM アクセス ルール エディタで [適用(Apply)]を選択します。これらの操作はどちらも、ASA 設定ファイル内に access-group エントリを生成します(次の例を参照)。
access-group コマンドは、システムが ACL を適用するインターフェイスと、システムがそのインターフェイスのインバウンド(入力)またはアウトバウンド(出力)トラフィックのどちらに ACL を適用するかを指定します。
Firepower システムで同等の機能を設定するには、次の手順を実行します。
セキュリティ ゾーンを作成し、セキュリティ ゾーンをインターフェイスに関連付け、セキュリティ ゾーンを送信元ゾーン条件(着信トラフィック用)または宛先ゾーン条件(発信トラフィック用)としてアクセス コントロール ルールに追加します。
インターフェイス グループを作成し、インターフェイス グループをインターフェイスに関連付け、インターフェイス グループを送信元インターフェイス グループ条件(着信トラフィック用)または宛先インターフェイス グループ条件(発信トラフィック用)としてプレフィルタ ルールに追加します。
access-group コマンドを変換すると、移行ツールは、セキュリティ ゾーンまたはインターフェイス グループを作成し、セキュリティ ゾーンおよびインターフェイス グループを関連するアクセス コントロール ルールまたはプレフィルタ ルールに条件として追加することで、イングレスとイーグレスの情報をキャプチャします。ただし、移行ツールは、セキュリティ ゾーンまたはインターフェイス グループの名前にインターフェイス情報を保持しますが、関連付けられているインターフェイスまたはデバイスの設定は変換しないので、変換されたポリシーをインポートした後に手動で追加する必要があります。変換されたポリシーをインポートした後、ポリシーをデバイスに、セキュリティ ゾーンまたはインターフェイス グループをインターフェイスに手動で関連付ける必要があります。
ACL を変換すると、ルールが特定のインターフェイスに適用された後でシステムはグローバルに適用されるルールを配置します。
ASA の設定によって、単一の ACL が入力と出力両方のインターフェイスに適用される場合、ツールは ACL をアクセス コントロール ルールまたはプレフィルタ ルールの次の 2 つのセットに変換します。
入力ルールのセット(有効)
出力ルールのセット(無効)
ASA の設定によって、単一の ACL がグローバルに適用され、かつ特定のインターフェイスにも適用される場合、ツールは ACL をアクセス コントロール ルールまたはプレフィルタ ルールの次の 2 つのセットに変換します。
特定のインターフェイスに関連付けられているルールのセット(有効)
送信元と宛先のゾーンが [いずれか(Any)]に設定されているルールのセット(有効)
ASA の設定:
access-list global_access extended permit ip any any access-group global_access global
移行ツールはこの設定を以下に変換します。
|
名前 |
送信元ゾーン/Int Grp |
宛先ゾーン/Int Grp |
送信元ネットワーク |
宛先ネットワーク |
送信元ポート |
宛先ポート |
操作 |
有効(Enabled) |
|---|---|---|---|---|---|---|---|---|
|
global_access#1 |
任意(Any) |
任意(Any) |
任意(Any) |
任意(Any) |
任意(Any) |
任意(Any) |
同等の許可 |
はい(True) |
ASA の設定:
access-list acp1 permit tcp any host 209.165.201.3 eq 80 access-group acp1 in interface outside
この例では、access-group コマンドは、acp1 という名前の ACL を outside という名前のインターフェイスの着信トラフィックに適用しています。
移行ツールはこの設定を以下に変換します。
|
名前 |
インターフェイス タイプ |
ドメイン |
選択されたインターフェイス |
|---|---|---|---|
|
acp1_outside_in_zone |
|
None |
任意(Any) |
|
名前 |
送信元ゾーン/Int Grp |
宛先ゾーン/Int Grp |
送信元ネットワーク |
宛先ネットワーク |
送信元ポート |
宛先ポート |
操作 |
有効(Enabled) |
|---|---|---|---|---|---|---|---|---|
|
acp1#1 |
acp1_outside_in_zone |
任意(Any) |
任意(Any) |
209.165.201.3 |
任意(Any) |
TCP(6)/80 |
同等の許可 |
はい(True) |
フィードバック