コンピュータで、Firewall 移行ツール用のフォルダを作成します。

https://software.cisco.com/download/home/286306503/type を参照し、[Firewall移行ツール（Firewall Migration Tool）] をクリックします。

Firewall 移行ツールの最新バージョンを、作成したフォルダにダウンロードします。

コンピュータで、Firewall 移行ツールをダウンロードしたフォルダに移動します。

次のいずれかを実行します。

• Windows マシンで、Firewall 移行ツールの実行可能ファイルをダブルクリックして、Google Chrome ブラウザで起動します。

  プロンプトが表示されたら、[はい（Yes）] をクリックして、Firewall 移行ツールがシステムに変更を加えることができるようにします。

  Firewall 移行ツールは、すべての関連ファイルを作成し、Firepower 移行ツールの存在するフォルダに保存します（ログおよびリソースのフォルダを含む）。

• Mac では、Firewall 移行ツールの *.command ファイルを目的のフォルダに移動し、ターミナルアプリケーションを起動して、Firewall 移行ツールがインストールされているフォルダを参照し、次のコマンドを実行します。

  # chmod 750 Firewall_Migration_Tool-version_number.command

  # ./Firewall_Migration_Tool-version_number.command

  Firewall 移行ツールは、すべての関連ファイルを作成し、Firepower 移行ツールの存在するフォルダに保存します（ログおよびリソースのフォルダを含む）。

  ヒント	Firewall 移行ツールを開こうとすると、警告ダイアログが表示されます。これは、身元が明らかな開発者によって Firewall 移行ツールが Apple に登録されていないためです。身元不明の開発者によるアプリケーションを開く方法については、「Open an app from an unidentified developer」を参照してください。

  （注）	MAC のターミナルの zip メソッドを使用します。

[エンドユーザライセンス契約（End User License Agreement）] ページで、テレメトリ情報をシスコと共有する場合は、[Cisco Success Network と情報を共有することに同意（I agree to share data with Cisco Success Network）] をクリックし、それ以外の場合は [後で行う（I'll do later）] をクリックします。

Firewall 移行ツールのログインページで、次のいずれかを実行します。

• Cisco Success Network と統計を共有するには、[CCO でログイン（Login with CCO）] リンクをクリックし、シングルサインオンログイン情報を使用して Cisco.com アカウントにログインします。

  （注）	Cisco.com アカウントがない場合は、Cisco.com のログインページで作成します。

• 次のデフォルトログイン情報でログインします。

  • Username：admin

  • Password：Admin123

[パスワードのリセット（Reset Password）] ページで、古いパスワードと新しいパスワードを入力し、新しいパスワードを確認します。

[リセット（Reset）] をクリックします。

新しいパスワードでログインします。

移行前チェックリストを確認し、記載されているすべての項目を完了していることを確認します。

[新規移行（New Migration）] をクリックします。

[ソフトウェアアップデートの確認（Software Update Check）] 画面で、Firewall 移行ツールの最新バージョンを実行しているかどうかが不明な場合は、リンクをクリックし、Cisco.com でバージョンを確認します。

[続行（Proceed）] をクリックします。

[コンテキストの選択（Context Selection）] セクションを確認し、移行する Fortinet VDOM を選択します。

アップロードされた構成ファイルで、ファイアウォール移行ツールが検出および解析した要素の概要を確認します。

[次へ（Next）] をクリックして、ターゲットパラメータを選択します。

[ターゲットの選択（Select Target）] 画面の [Firewall Management Centerに接続（Connect to Firewall Management Center）] セクションで、Firepower Management Center の IP アドレスまたは完全修飾ドメイン名（FQDN）を入力します。

[Domain] ドロップダウンリストで、移行先のドメインを選択します。

[接続（Connect）] をクリックします。

[Firewall Management Centerへのログイン（Firewall Management Center Login）] ダイアログボックスで、Firewall 移行ツール専用アカウントのユーザー名とパスワードを入力し、[ログイン（Login）] をクリックします。

[続行（Proceed）] をクリックします。

[Choose FTD] セクションで、次のいずれかを実行します。

• [Firewall Threat Defenseデバイスの選択（Select Firewall Threat Defense Device）] ドロップダウンリストをクリックし、 Fortinet 構成を移行するデバイスをオンにします。

  選択した Firepower Management Center ドメイン内のデバイスが、IP アドレスと名前でリストされます。

  （注）	少なくとも、選択するネイティブ Firepower Threat Defense デバイスには、移行する Fortinet 構成と同じ数の物理インターフェイスまたはポート チャネル インターフェイスが必要です。少なくとも、Firepower Threat Defense デバイスのコンテナインスタンスには、同じ数の物理インターフェイスまたはポート チャネル インターフェイスとサブインターフェイスが必要です。 Fortinet 構成と同じファイアウォールモードでデバイスを設定する必要があります。ただし、これらのインターフェイスは、両方のデバイスで同じ名前である必要はありません。

  リモート展開が有効になっている FMC/FTD 6.7 以降への Fortinet ファイアウォールの移行は、Firewall 移行ツールでサポートされています。ただし、インターフェイスとルートの移行は手動で行う必要があります。

• [FTD を使用せず続行（Proceed without FTD）] をクリックして、構成を Firepower Management Center に移行します。

  FTD なしで続行すると、Firewall 移行ツールは FTD に構成またはポリシーをプッシュしません。したがって、Firewall Threat Defense のデバイス固有の構成であるインターフェイスとルート、およびサイト間 VPN は移行されません。ただし、NAT、ACL、ポートオブジェクトなど、サポートされている他のすべての構成（共有ポリシーとオブジェクト）は移行されます。

[続行（Proceed）] をクリックします。

[機能の選択（Select Features）] セクションをクリックして、移行先に移行する機能を確認して選択します。

• 接続先 Firepower Threat Defense デバイスに移行する場合、Firewall 移行ツールは、[デバイス設定（Device Configuration）] セクションと [共有設定（Shared Configuration）] セクションで、 Fortinet 構成から移行できる機能を自動的に選択します。要件に応じて、デフォルトの選択をさらに変更できます。
• Firepower Management Center に移行する場合、Firewall 移行ツールは、[共有設定（Shared Configuration）] セクションで、 Fortinet 構成から移行できる機能を自動的に選択します。要件に応じて、デフォルトの選択をさらに変更できます。

  （注）	[デバイスの構成（Device Configuration）] セクションは、移行先 Firepower Threat Defense デバイスを選択していない場合は使用できません。

• Firewall 移行ツールは、移行中に ACL の宛先ゾーンのマッピングを可能にする、宛先セキュリティゾーンをサポートします。

  送信元および接続先のネットワーク オブジェクト またはグループ、およびサービスオブジェクトまたはグループの性質によっては、Fortinet から FMC への移行時に、この操作によりルールが急増することがあります。

• （任意）[Optimization] セクションで、[Migrate only referenced objects] を選択して、アクセス コントロール ポリシーと NAT ポリシーで参照されているオブジェクトのみを移行します。

  （注）	このオプションを選択すると、 Fortinet 構成内の参照されていないオブジェクトは移行されません。これにより、移行時間が最適化され、未使用のオブジェクトが構成から消去されます。

[続行（Proceed）] をクリックします。

[Rule Conversion/ Process Config] セクションで、[Start Conversion] をクリックして変換を開始します。

Firewall 移行ツールによって変換された要素の概要を確認します。

[レポートのダウンロード（Download Report）] をクリックし、移行前レポートを保存します。

移行前レポートをダウンロードした場所に移動します。

移行前レポートを開き、その内容を慎重に確認して、移行が失敗する原因となる問題を特定します。

移行前レポートで修正措置が推奨されている場合は、 インターフェイス Fortinet で修正を完了し、 Fortinet 構成ファイルを再度エクスポートしてから、更新された構成ファイルをアップロードし、続行してください。

Fortinet 構成ファイルが正常にアップロードおよび解析されたら、ファイアウォール移行ツールに戻り、[次へ（Next）] をクリックして移行を続行します。

インターフェイスマッピングを変更する場合は、[Threat Defenseインターフェイス名（Threat Defense Interface Name）] のドロップダウンリストをクリックし、その Fortinet インターフェイスにマッピングするインターフェイスを選択します。

各 Fortinet インターフェイスを Firepower Threat Defense インターフェイスにマッピングしたら、[次へ（Next）] をクリックします。

セキュリティゾーンおよびインターフェイスグループが Firepower Management Center に存在する場合、またはセキュリティ ゾーン タイプ オブジェクトとして 構成ファイルに存在し、ドロップダウンリストで使用可能な場合、これらにインターフェイスをマッピングするには、次の手順を実行します。

1. [セキュリティゾーン（Security Zones）] 列で、そのインターフェイスのセキュリティゾーンを選択します。

2. [インターフェイスグループ（Interface Groups）] 列で、そのインターフェイスのインターフェイスグループを選択します。

Firepower Management Center に存在するセキュリティゾーンにインターフェイスをマッピングするには、[セキュリティゾーン（Security Zones）] 列で、そのインターフェイスのセキュリティゾーンを選択します。

セキュリティゾーンは、手動でマッピングすることも自動で作成することもできます。

1. [セキュリティゾーンの追加（Add SZ）] をクリックします。

2. [セキュリティゾーンの追加（Add SZ）] ダイアログボックスで、[追加（Add）] をクリックして新しいセキュリティゾーンを追加します。

3. [セキュリティゾーン（Security Zone）] 列にセキュリティゾーン名を入力します。使用できる最大文字数は 48 です。

4. [閉じる（Close）] をクリックします。

1. [自動作成（Auto-Create）] をクリックします。

2. [自動作成（Auto-Create）] ダイアログボックスで、[ゾーンマッピング（Zone Mapping）] をオンにします。

3. [自動作成（Auto-Create）] をクリックします。

すべてのインターフェイスを適切なセキュリティゾーンにマッピングしたら、[Next] をクリックします。

（オプション）[構成の最適化、確認および検証（Optimize, Review and Validate Configuration）] 画面で、[ACLの最適化（Optimize ACL）] をクリックして最適化コードを実行し、以下の操作を実行します。

1. [はい（Yes）] をクリックして、ACL の最適化を続行します。特定された移行の冗長 ACL ルールとシャドウ ACL ルールが表示されます。

   ACL 最適化の分析にかかる時間は、移行元の構成ファイルのサイズによって異なります。予測時間が表示されます。

   最適化が考慮された ACL ルールの合計数の概要を示すレポートが表示されます。最適化レポートとそのコンポーネントの詳細については、ACL 最適化のレポートを参照してください。

   [冗長ACL（Redundant ACL）] および [シャドウACL（Shadow ACL）] タブは、ACL 最適化レポートにデータがある場合にのみ表示されます。

   ACL は、[冗長ACL（Redundant ACL）] と [シャドウACL（Shadow ACL）] 両方の異なる基本ルールに表示されます。

   （注）	冗長またはシャドー ACL の下に表示される ACL エントリは、基本 ACL とは見なされません。

2. 特定された ACL 最適化ルールをダウンロードするには、[ダウンロード（Download）] をクリックします。

3. ルールを選択し、[アクション（Actions）] > [無効として移行（Migrate as disabled）] または [移行しない（Do not migrate）] を選択して、いずれかのアクションを適用します。

4. [保存（Save）] をクリックします。

   移行操作が [移行しない（Do not migrate）] から [無効として移行（Migrate as disabled）] またはその逆に変わります。

   次のオプションを使用して、ルールの一括選択を実行できます。

   • [移行（Migrate）：デフォルトの状態で移行します。

   • [移行しない（Do not migrate）]：ACL の移行を無視します。

   • [無効として移行（Migrate as disabled）]：[状態（State）] フィールドが [無効（Disable）] に設定されている ACL を移行します。

   • [有効として移行（Migrate as enabled）]：[状態（State）] フィールドが [有効（Enable）] に設定されている ACL を移行します。

[Review and Validate Configuration] 画面で、[Access Control Rules] をクリックし、次の手順を実行します。最適化、

1. テーブル内の各エントリについて、マッピングを確認し、それらが正しいことを確認します。

   移行されたアクセスポリシールールは、プレフィックスとして ACL 名を使用し、それに ACL ポリシー ID を追加することで、Fortinet 構成ファイルにマッピングしやすくします。たとえば、Fortinet ACL の名前が "inside_access" の場合、ACL の最初のルール（または ACE）行の名前は "inside_access_#1" になります。TCP/UDP の組み合わせ、拡張サービスオブジェクト、またはその他の理由でルールを拡張する必要がある場合、ファイアウォール移行ツールは名前に番号付きサフィックスを追加します。たとえば、許可ルールが移行のために 2 つのルールへ拡張される場合、それらのルールには "inside_access_#1-1" と "inside_access_#1-2" という名前が付けられます。

   サポートされていないオブジェクトを含むルールの場合、ファイアウォール移行ツールは名前に "_UNSUPPORTED" というサフィックスを追加します。

2. 1 つ以上のアクセス制御リストポリシーを移行しない場合は、該当する行のボックスをオンにし、[アクション（Actions）] > [移行しない（Do not migrate）] を選択して、[保存（Save）] をクリックします。

   移行しないことを選択したすべてのルールは、テーブルでグレー表示されます。

3. Firepower Management Center ファイルポリシーを 1 つ以上のアクセス コントロール ポリシーに適用する場合は、該当する行のボックスをオンにし、[アクション（Actions）] > [ファイルポリシー（File Policy）] を選択します。

   [File Policy] ダイアログで、適切なファイルポリシーを選択し、選択したアクセス コントロール ポリシーに適用して、[Save] をクリックします。

4. Firepower Management Center IPS ポリシーを 1 つ以上のアクセス コントロール ポリシーに適用する場合は、該当する行のボックスをオンにし、[アクション（Actions）] > [IPS ポリシー（IPS Policy）] を選択します。

   [IPS Policy] ダイアログで、適切な IPS ポリシーと対応する変数セットを選択し、選択したアクセス コントロール ポリシーに適用して、[Save] をクリックします。

5. ロギングが有効になっているアクセスコントロールルールのロギングオプションを変更する場合は、該当する行のボックスをオンにし、[アクション（Actions）] > [ログ（Log）] を選択します。

   [Log] ダイアログでは、接続の開始時または終了時、またはその両方でイベントのロギングを有効にできます。ロギングを有効にする場合は、接続イベントをイベントビューアまたは Syslog のいずれか、または両方に送信することを選択する必要があります。接続イベントを syslog サーバに送信することを選択した場合、Firepower Management Center ですでに構成されている syslog ポリシーを [Syslog] ドロップダウンメニューから選択できます。

6. [アクセスコントロール（Access Control）] テーブル内の移行されたアクセスコントロールルールのアクションを変更する場合は、該当する行のボックスをオンにし、[アクション（Actions）] > [ルールアクション（Rule Action）] を選択します。

   ヒント	アクセスコントロールルールにアタッチされている IPS およびファイルのポリシーは、[許可（Allow）] オプションを除くすべてのルールアクションに対して自動的に削除されます。

   ACE カウントを、昇順、降順、等しい、大なり、および小なりのフィルタリング順序シーケンスでフィルタリングできるようになりました。

   フィルタリング条件をクリアするには、[フィルタのクリア（Clear Filter）] をクリックします。

   （注）	ACE に基づいた ACL のソート順序は、表示のみを目的としています。ACL は、発生した時間順に基づいてプッシュされます。

次のタブをクリックし、構成項目を確認します。

（任意）構成の確認中に、[ネットワークオブジェクト（Network Objects）] タブまたは [ポートオブジェクト（Port Objects）] タブで [アクション（Actions）] > [名前の変更（Rename）] を選択して、ネットワークオブジェクトまたはポートオブジェクトの名前を変更することができます。

（任意）グリッド内の各構成項目の詳細をダウンロードするには、[ダウンロード（Download）] をクリックします。

確認が完了したら、[確定（Validate）] をクリックします。

検証が完了し、[検証ステータス（Validation Status）] ダイアログボックスに 1 つ以上のオブジェクトの競合が表示された場合は、次の手順を実行します。

1. [競合の解決（Resolve Conflicts）] をクリックします。

   ファイアウォール移行ツールは、オブジェクトの競合が報告された場所に応じて、[ネットワークオブジェクト（Network Objects）] タブまたは [ポートオブジェクト（Port Objects）] タブのいずれかまたは両方に警告アイコンを表示します。

2. タブをクリックし、オブジェクトを確認します。

3. 競合がある各オブジェクトのエントリを確認し、[アクション（Actions）] > [競合の解決（Resolve Conflicts）] を選択します。

4. [競合の解決（Resolve Conflicts）] ウィンドウで、推奨アクションを実行します。

   たとえば、既存の Firepower Management Center オブジェクトとの競合を避けるために、オブジェクト名にサフィックスを追加するように求められる場合があります。デフォルトのサフィックスを受け入れるか、独自のサフィックスに置き換えることができます。

5. [解決（Resolve）] をクリックします。

6. タブ上のすべてのオブジェクトの競合を解決したら、[保存（Save）] をクリックします。

7. [確定（Validate）] をクリックして構成を再検証し、すべてのオブジェクトの競合を解決したことを確認します。

検証が完了し、[Validation Status] ダイアログボックスに「Successfully Validated」というメッセージが表示されたら、移行された構成の以下へのプッシュ： Firepower Management Centerに進みます。

[検証ステータス（Validation Status）] ダイアログボックスで、検証の概要を確認します。

[構成のプッシュ（Push Configuration）] をクリックして、移行された ASA Fortinet 構成を Firepower Management Center に送信します。

移行が完了したら、[レポートのダウンロード（Download Report）] をクリックして、移行後レポートをダウンロードして保存します。

移行が失敗した場合は、移行後レポート、ログファイル、および未解析ファイルを慎重に確認して、失敗の原因を把握します。

移行後レポートをダウンロードした場所に移動します。

移行後レポートを開き、その内容を慎重に確認して、 Fortinet 構成がどのように移行されたかを理解します。

移行前レポートを開き、Firepower Threat Defense デバイスで手動で移行する必要がある Fortinet 構成項目をメモします。

Firepower Management Center で、次の手順を実行します。

1. Firepower Threat Defense デバイスの移行された構成を確認し、次を含むすべての期待されるルールおよびその他の構成項目が移行されたことを確認します。

   • アクセス制御リスト（ACL）

   • ネットワークアドレス変換規則

   • ポートおよびネットワークオブジェクト

   • ルート（Routes）

   • インターフェイス

   • [動的ルートオブジェクト（Dynamic-Route-Objects）]

2. 一部がサポートされている、サポートされていない、無視された、無効化された、および移行されなかったすべての構成項目とルールを構成します。

   これらの項目とルールを構成する方法の詳細については、『Firepower Management Center Configuration Guide』を参照してください。手動構成が必要な構成項目の例を次に示します。

   • プラットフォーム設定（SSH および HTTPS アクセスを含む）（「Platform Settings for Firepower Threat Defense」を参照）

   • Syslog 設定（「Configure Syslog」を参照）

   • ダイナミックルーティング（「Routing Overview for Firepower Threat Defense」を参照）

   • サービスポリシー（「FlexConfig Policies」を参照）

   • VPN 構成（「Firepower Threat Defense VPN」を参照）

   • 接続ログ設定（「Connection Logging」を参照）

確認が完了したら、Firepower Management Center から Firepower Threat Defense デバイスに移行された構成を展開します。

Firewall 移行ツールを配置したフォルダに移動します。

ログを保存する場合は、log フォルダを切り取りまたはコピーして別の場所に貼り付けます。

移行前レポートと移行後レポートを保存する場合は、resources フォルダを切り取りまたはコピーして別の場所に貼り付けます。

Firewall 移行ツールを配置したフォルダを削除します。