この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
このガイドでは、シスコの移行ツールを使用して、ご自身の Cisco ASA からFirePOWER Threat Defense デバイスにファイアウォール ポリシーの設定を移行する方法について説明します。
Cisco ASA では、高度なステートフル ファイアウォールと VPN コンセントレータの機能が提供されます。これは長い間、ファイアウォールの業界標準でした。この製品の詳細については、http://www.cisco.com/go/asaを参照してください。
FirePOWER Threat Defenseは、ファイアウォールの進化における次のステップを表しています。これによって、統合型次世代ファイアウォールおよび次世代 IPS 機能が提供されます。Firepower ソフトウェアのモデルで使用可能な IPS 機能に加えて、ファイアウォールおよびプラットフォーム機能には、サイト間 VPN、堅牢なルーティング、NAT、クラスタリング、およびアプリケーションの可視性とアクセス制御におけるその他の最適化が含まれています。FirePOWER Threat Defenseは、高度なマルウェア防御(AMP)および URL フィルタリングもサポートしています。この製品の詳細については、http://www.cisco.com/go/ngfwを参照してください。
シスコの移行ツールを使用して、ASA 設定内の特定の機能をFirePOWER Threat Defense設定の同等機能に変換することができます。この変換後、ご自身で変換したポリシーを調整して、追加の FirePOWER Threat Defense ポリシーを設定することで、移行を手動で完了させることを推奨します。
ASA 設定を新しい FirePOWER Threat Defenseデバイスに移行したり、FirePOWER Threat Defense デバイスとして更新した後の元の ASA デバイスに移行することができます。
ASA 設定を FirePOWER Threat Defense設定の Firepower Management Center に移行するには、ASA から Firepower Threat Defense への移行ツール イメージを使用して、専用のFirepower Management Center Virtual for VMware を準備します。この専用の Management Centerは、デバイスと通信しません。代わりに、移行ツールを使用して、.cfg または .txt 形式の ASA 設定ファイルを .sfo 形式の Firepower インポート ファイルに変換することができ、そのファイルを実稼働 Management Center にインポートできます。
移行ツールが変換できるのは、ASA 設定形式のデータ(つまり、適切な順序の ASA CLI コマンドのフラット ファイル)のみです。移行ツールを使用すると、システムはファイルの形式を検証します。たとえば、ファイルには、ASA version コマンドが含まれている必要があります。システムがファイルを検証できない場合、変換は失敗します。
移行ツールは、次の ASA デバイスから設定データを移行することができます。
|
サポートされるプラットフォーム |
サポートされる環境 |
|---|---|
|
|
また、ASA デバイスは次の条件を満たしている必要があります。
シングル コンテキスト モードで実行している。
フェールオーバー ペアの一部である場合は、アクティブなユニット。
クラスタの一部である場合は、マスター ユニット。
ASA デバイスは、トランスペアレント モードまたはルーテッド モードで動作できます。
このマニュアルに記載されている移行プロセスには、次の Firepower デバイスが必要です。
専用の Firepower Management Center Virtual for VMwareで実行している移行ツール。
実稼働Firepower Management Center。サポートされるプラットフォームでサポートされる環境を実行している必要があります。
|
サポートされる Firepower Management Center のプラットフォーム |
サポートされる Firepower Management Center の環境 |
|---|---|
|
Firepower Management Center:FS750、FS1500、FS2000、FS3500、FS4000、仮想 |
移行ツールと同じバージョンである必要があります。 |
実稼働FirePOWER Threat Defense デバイス(再イメージ化された ASA デバイス可)。FirePOWER Threat Defenseでサポートされるプラットフォームおよび環境のリストについては、Firepower System Compatibility Guide を参照してください。
このマニュアルに記載されている移行済みの設定を使用するには、基本のFirePOWER Threat Defenseライセンスが必要です。詳細については、http://www.cisco.com/c/en/us/td/docs/security/firepower/roadmap/firepower-licenseroadmap.htmlを参照してください。
ASA デバイスにはFirePOWER Threat Defenseデバイスとは異なるライセンスが必要なため、移行ツールはライセンス情報を移行しません。ご使用のFirePOWER Threat Defenseデバイス用の新しいライセンスを購入する必要があります。移行におけるライセンス価格について質問がある場合は、セールス担当者にお問い合わせください。
移行ツールを使用して、次の ASA 機能を移行することができます。
拡張アクセス ルール(インターフェイスへの割り当てと、グローバルな割り当てが可能です)
Twice NAT ルールおよびネットワーク オブジェクト NAT ルール
ツールが変換する拡張アクセス ルールおよび NAT ルールに関連付けられているネットワーク オブジェクトとグループまたはサービス オブジェクトとグループ
ツールが ASA 設定を FirePOWER Threat Defense設定に変換する仕組みについては、変換マッピングの概要 を参照してください。
ASA の設定を移行するときは、次の制限事項に注意してください。
移行ツールは、特定の例外を除き、ほとんどの ACL および NAT の設定をサポートします。サポート対象外の ACL および NAT の設定は次のように処理します。
[変換するが無効にする(Converts but Disables)]:移行ツールは、以下を使用する ACE を完全に変換できません。
時間範囲オブジェクト
完全修飾ドメイン名(FQDN)
ローカル ユーザまたはユーザ グループ
セキュリティ グループ(SGT)オブジェクト
送信元ポートおよび宛先ポート両方についてネストされたサービス グループ
サポート対象外の要素に対して Firepower と同等の機能がないため、これらのルールの特定の要素を変換できません。このような場合、ツールは Firepower と同等のルール要素(たとえば、送信元ネットワーク)を変換し、Firepower と同等でないルール要素(たとえば、時間範囲)を除外し、作成した新しいアクセス コントロール ポリシーまたはプレフィルタ ポリシーでそのルールを無効にします。
無効化された各ルールに対し、システムは (unsupported) をルール名に追加し、システムが移行時にルールを無効にした理由を示すコメントをルールに追加します。ご自身の Firepower Management Center で無効化されたルールをインポートした後、手動でルールを編集または置き換えることで、Firepower システムに正常に展開することができます。
[除外する(Excludes)]:移行ツールは、作成するポリシーから次の設定を除外します:EtherType または WebType ACL、ホストのアドレス名エイリアスを使用する ACE(name コマンドで指定)、および定義済み(デフォルト)サービス オブジェクトを使用する ACE。これらの除外される設定の詳細については、『CLI Book 2: Cisco ASA Series Firewall CLI Configuration Guide』または『ASDM Book 2: Cisco ASA Series Firewall ASDM Configuration Guide』を参照してください。
移行ツールは、このマニュアルで指定されているもの以外の ASA 機能の移行をサポートしません。ツールは ASA 設定ファイルを処理する際に、サポート対象外の機能に関する設定データを無視します。
移行ツールを使用する前に、以下について確認してください。
ASA デバイスが移行に関するすべての要件を満たしている(ASA デバイスの要件を参照)。
ASA 設定ファイルが .cfg または .txt 形式である。
ASA 設定ファイルにはサポート対象の設定のみが含まれており、移行に必要な制限事項を満たしている(移行の制限を参照)。
ASA 設定ファイルには、有効な ASA CLI 設定のみが含まれている。正しくないコマンドまたは不完全なコマンドは続行する前に修正してください。ファイルに無効な設定が含まれている場合、移行は失敗します。
変換された ASA 設定ファイルをインポートするには、Firepower Management Center が、設定を変換する移行ツールと同じバージョンを実行している必要があります。この制約事項は、メジャー リリースとマイナー リリースの両方に適用されます。たとえば、移行ツールはバージョン 6.2 を実行しているが、ファイルをインポートする Firepower Management Center はバージョン 6.1.0.2 を実行している場合は、変換された ASA 設定ファイルをインポートする前に Firepower Management Center 6.2.0 にアップグレードする必要があります。
このマニュアルには、FirePOWER Threat Defense設定に変換される ASA 設定の例が記載されています。これらの例にあるカラムのほとんどは、関連するルール エディタまたはFirepower Management Centerのオブジェクト マネージャのコンポーネントに直接マッピングします。次の表に、Firepower UI コンポーネントに直接マッピングしないカラムを示します。
フィードバック