移行の準備

Firewall 移行ツールに関する注意事項と制約事項

チェックポイント構成

チェックポイント構成は、次の要件を満たす必要があります。

移行でサポートされるチェックポイント構成であること（移行がサポートされるプラットフォームを参照）。
移行でサポートされるチェックポイントバージョンであること（移行でサポートされるソフトウェアのバージョンを参照）。

（オプション）ターゲット Threat Defense デバイス

Management Center に移行する場合、ターゲット Threat Defense デバイスが追加される場合と追加されない場合があります。

Threat Defense デバイスへの今後の展開のために、共有ポリシーを Management Center に移行できます。デバイス固有のポリシーを Threat Defense に移行するには、Management Center に追加する必要があります。

ターゲット Threat Defense デバイスは、次の要件を満たす必要があります。
- デバイスが、ハードウェアデバイスの注意事項を満たしている。次を参照： Threat Defense デバイスに関する注意事項と制約事項
- 移行のターゲットとしてサポートされるデバイス（移行がサポートされるプラットフォームを参照）。
- 移行でサポートされる Threat Defense ソフトウェアバージョン（移行でサポートされるソフトウェアのバージョンを参照）。
- Management Center に登録されている Threat Defense デバイス。

Management Center

移行でサポートされる Mangement Center ソフトウェアバージョン（移行でサポートされるソフトウェアのバージョンを参照）。
Check Point の移行でサポートされる Management Center ソフトウェアバージョンは 6.2.3.3 以降です。
チェックポイントインターフェイスから移行する予定のすべての機能を含む Threat Defense 用のスマートライセンスを取得済みおよびインストール済みであること。次を参照してください。
- Cisco.com の「Cisco Smart Accounts」の「Getting Started」セクション。
- Register the Firepower Management Center with the Cisco Smart Software Manager [英語]
- Licensing the Firewall System [英語]

ファイアウォール移行ツール

Firewall 移行ツールの実行に使用するマシンが、要件を満たしていることを確認します（Firewall 移行ツールのプラットフォーム要件を参照）。

Firewall 移行ツールでは、一括プッシュのバッチサイズを次の制限内で構成できます。


構成項目	バッチサイズ制限	デフォルト値
オブジェクト	500	50
ACL	1000	1000
NAT	1000	1000
ルート	1000	1000

（注）

オブジェクトの場合、API バッチサイズは 500 を超えることはできません。Firewall 移行ツールによって値が 50 にリセットされ、一括プッシュが続行されます。

ACL、ルート、および NAT ルールの場合、バッチサイズはそれぞれ 1000 を超えることはできません。Firewall 移行ツールによって値が 1000 にリセットされ、一括プッシュが続行されます。

バッチサイズ制限は、<migration_tool_folder>\app_config.txt にある app_config ファイルで設定できます。

（注）

変更を適用するためにアプリケーションを再起動します。

Firewall 移行ツールから構成のプッシュを開始した後は、移行が完了するまで、Management Center の構成を変更または更新しないでください。

Threat Defense デバイスに関する注意事項と制約事項

チェックポイント構成を Threat Defense に移行することを計画しているときに、次の注意事項と制限事項を考慮してください。

ルート、インターフェイスなど、FTD に既存のデバイス固有構成がある場合、プッシュ移行中に Firewall 移行ツールは自動的にデバイスを消去し、チェックポイント構成から上書きします。

（注）

デバイス（ターゲット FTD）構成データの望ましくない損失を防ぐために、移行前にデバイスを手動で消去することを推奨します。

移行中に、Firewall 移行ツールはインターフェイス構成をリセットします。これらのインターフェイスをポリシーで使用すると、Firewall 移行ツールはそれらをリセットできず、移行は失敗します。

Threat Defense デバイスは、スタンドアロンデバイスまたはコンテナインスタンスにすることができます。クラスタまたは高可用性設定の一部であってはなりません。
- ターゲットネイティブ Threat Defense デバイスには、使用する物理データまたはポートチャネルインターフェイスまたはサブインターフェイスがチェックポイントと同数以上必要です（「管理専用」を除く）。そうでない場合は、ターゲット Threat Defense デバイスに必要なタイプのインターフェイスを追加する必要があります。サブインターフェイスは、物理またはポートチャネルのマッピングに基づいて Firewall 移行ツールによって作成されます。
- ターゲット Threat Defense デバイスがコンテナインスタンスである場合、使用する物理インターフェイス、物理サブインターフェイス、ポートチャネルインターフェイス、およびポートチャネルサブインターフェイスがチェックポイントと同数以上必要です（「管理専用」を除く）。そうでない場合は、ターゲット Threat Defense デバイスに必要なタイプのインターフェイスを追加する必要があります。
  - サブインターフェイスは、Firewall 移行ツールでは作成されません。インターフェイスマッピングのみが許可されます。
  - 異なるインターフェイスタイプ間のマッピングは許可されます。たとえば、物理インターフェイスをポートチャネルインターフェイスにマップできます。

Firewall 移行ツールは、チェックポイント構成に基づいて Threat Defense デバイスのネイティブインスタンスにサブインターフェイスを作成できます。移行を開始する前に、ターゲット Threat Defense デバイスでインターフェイスとポートチャネルインターフェイスを手動で作成します。たとえば、チェックポイント構成に次のインターフェイスとポートチャネルが割り当てられている場合は、移行前にそれらをターゲット Threat Defense デバイスで作成する必要があります。

5 つの物理インターフェイス
5 つのポートチャネル
2 つの管理専用インターフェイス

（注）

Threat Defense デバイスのコンテナインスタンスの場合、サブインターフェイスは、Firewall 移行ツールでは作成されません。インターフェイスマッピングのみが許可されます。

Check Point 構成に関する注意事項と制約事項

変換中に、Firepower 移行ツールは、ルールまたはポリシーで使用されるかどうかにかかわらず、サポートされているすべてのオブジェクトおよびルールに対して 1 対 1 のマッピングを作成します。ただし、Firepower 移行ツールには、未使用のオブジェクト（ACL で参照されていないオブジェクト）の移行を除外できる最適化機能があります。

Firepower移行ツールは、サポートされていないオブジェクトとルールを指定どおりに処理します。

サポートされていないオブジェクトとルートは移行されません。
サポートされていない ACL ルールは、無効なルールとして Firepower Management Center に移行されます。

Check Point 構成に関する制約事項

送信元 Check Point 構成の移行には、次の制限があります。

システム構成は移行されません。

ライブファイアウォールと VSX はサポートされていません。

（注）

VSX は、どのバージョンの Check Point についてもサポートされていません。

Check Point VSX からポリシーを移行する場合は、仮想システムに関連する特定のポリシーパッケージをエクスポートしてから（一度に 1 つの仮想システム）、ポリシーを r77.30 または r80 以降のバージョンから FTD に移行できます。

（注）

ファイアウォールの Live Connect は、Check Point（r80）以降のバージョンについてのみサポートされています。

明示的なすべてのセキュリティポリシー（r77.30 以前のバージョンの Security_Policy.xml および r80 以降のバージョンのセキュリティポリシーファイルで利用可能）が、FMC 上の ACP に移行されます。暗黙のルールはエクスポートされる構成に含まれないため、Check Point Smart ダッシュボード上のルールは移行されません。

（注）

Check Point（r80）以降のバージョンでは、L4 セキュリティレイヤポリシーに個別のアプリケーションレイヤポリシーが添付されている場合、Firepower 移行ツールはそれらを「サポートされていない」ものとして移行します。また、そのような場合は、ACE 構成を持つファイルが 2 つ存在します。1 つはセキュリティレイヤに関するファイルで、もう 1 つはアプリケーションレイヤに関するファイルです。Firepower 移行ツールによる移行は、構成 zip ファイルの index.json に含まれている、アクセスレイヤで利用可能な優先順位情報に基づいて行われます。
マルチドメイン展開がセットアップされており、グローバルポリシーとカスタマー管理アドオン（CMA）固有ポリシーを持つ、Check Point バージョン r80 以降の場合、Firepower 移行ツールが Check Point 構成を移行する順序は、送信元構成の順序と少し異なります。また、そのような場合は、ACE 構成を持つファイルが 2 つ存在します。 1 つはグローバルポリシーに関するファイルで、もう 1 つは CMA ポリシーに関するファイルです。ドメインレイヤで構成された ACE は、「サポートされていない」ものとして移行されます。
マルチドメインシステムのドメインレイヤとしてアクションを持つ CMA 用に構成された ACE ルールの順序の定義は、取得された構成では不完全です。そのため、送信元構成の特定の CMA ポリシーにグローバルポリシーが添付されている場合は、取得された構成のルール番号インデックスを検証して、正しい順序になっていることを確認してください。

一部の Check Point 構成（Firepower Threat Defense へのダイナミックルーティングや VPN など）は、Firepower 移行ツールで移行できません。これらの構成は手動で移行してください。
FMC への Check Point ブリッジ、トンネル、およびエイリアスインターフェイスは移行できません。
Firepower Management Center では、ネストされたサービスオブジェクトグループまたはポートグループはサポートされていません。変換の一部として、Firepower 移行ツールは、参照されているネストされたオブジェクトグループまたはポートグループの内容を展開します。
Firepower 移行ツールは、同じオブジェクト内で構成されている送信元ポートと宛先ポートを持つサービスのオブジェクトまたはグループを、複数の回線にまたがる異なるオブジェクトに分割します。このようなアクセスコントロールルールの参照は、正確に同じ意味の Firepower Management Center ルールに変換されます。

Check Point 移行のガイドライン

Check Point ログオプションの移行は、Firepower Threat Defense のベストプラクティスに従います。ルールのログオプションは、送信元 Check Point 構成に基づいて有効または無効になります。アクションが drop または reject のルールの場合、Firepower 移行ツールは接続の開始時にロギングを構成します。アクションが permit の場合、Firepower 移行ツールは接続の終了時にロギングを構成します。

サポートされているチェックポイントの設定

インターフェイス（物理インターフェイス、VLAN インターフェイス、およびボンドインターフェイス）
ネットワークオブジェクトおよびグループ
サービスオブジェクト
ネットワークアドレス変換
IPv6 変換のサポート（インターフェイス、静的ルート、オブジェクト）と IPv6 によるゾーンベース ACL の除外
グローバルに適用されるアクセスルールと、グローバル ACL をゾーンベース ACL に変換するためのサポート
静的ルート（スコープがローカルとして構成され、論理インターフェイスがネクストホップ IP アドレスのない静的ルートの出力インターフェイスとして構成されているルートを除く）
追加のロギングタイプを持つ ACL

（注）

Check Point 内に対応する NAT ルールを持つ Check Point で構成された ACE の場合、Firepower 移行ツールは、対応する移行された ACE ルール内の変換された IP アドレスに対して実際の IP アドレスをマッピングしません。Firepower 移行ツールが IP アドレスをマッピングしないのは、NAT ルールに対する ACE ルールの参照情報が不足しているためです。そのため、FMC 上の移行された ACE および NAT 構成の検証時に、FTD パケットフローに対応する ACE ルールを検証し、それに手動で変更を加える必要があります。

（注）

Firepower 移行ツールはサービスオブジェクト（送信元および宛先と、オブジェクトグループで呼び出されるものと同じタイプのオブジェクトとのポートの組み合わせで構成される）を移行しませんが、参照される ACL ルールは完全な機能で移行されます。

サポートされていない Check Point 構成の詳細については、「サポートされない Check Point 構成」を参照してください。

部分的にサポートされる Check Point 構成

Firepower 移行ツールは、次の Check Point 構成の移行を部分的にサポートしています。これらの構成の一部には、詳細オプションを使用するルールが含まれ、それらのオプションなしで移行できます。Firepower Management Center がこれらの詳細オプションをサポートしている場合は、移行の完了後に手動で構成できます。

ランクパラメータと ping パラメータを持つ静的ルートは部分的に移行されます。
モード、XOR、アクティブバックアップ、ラウンドロビンタイプのボンドインターフェイスは、Firepower 移行ツールによって FMC の LACP タイプに部分的に移行されます。
物理インターフェイスやボンドインターフェイスといった親インターフェイスの一部であるエイリアスインターフェイス構成、無視される属性および親インターフェイス属性に含まれるエイリアスインターフェイス構成は、そのまま移行されます。
除外タイプのネットワークオブジェクトグループは、ACL を介してサポートされ、意味がそのまま維持されます。
追加ロギングタイプを持つ ACL と時間範囲を持つ ACL。

サポートされない Check Point 構成

Firepower 移行ツールは、次の Check Point 構成をサポートしていません。これらの構成が Firepower Management Center でサポートされている場合、移行の完了後に手動で構成できます。

エイリアス、ブリッジ、6IN4 トンネル、ループバック、および PPPoE インターフェイス
ネットワークオブジェクトとグループ：
- UTM-1 エッジゲートウェイ
- Check Point ホスト
- ゲートウェイクラスタ
- 外部管理ゲートウェイまたはホスト
- オープンセキュリティ拡張機能（OSE）デバイス
- 論理サーバ
- ダイナミックオブジェクト
- VoIP ドメイン
- ゾーン
- CP Security Gateway
- CP 管理サーバ
- 除外タイプのネットワークオブジェクトグループ
サービスオブジェクト：
- RPC
- DCE-RPC
- 複合 TCP
- GTP
- その他の Check Point 固有サービスオブジェクト

次を持つ ACL ポリシー：

サポートされていない ACE アクションタイプ（クライアント認証、セッション認証、ユーザ認証、およびその他のカスタム認証タイプ）は、許可アクションタイプによって移行されますが、無効な状態になります。
アイデンティティベースの ACL ポリシー
IPv6 ルートルックアップによるゾーンベースのポリシー
ユーザベースのアクセスコントロールポリシールール

グローバルマルチドメインシステムルールは移行できません。

（注）

Check Point マルチドメイン展開に含まれるグローバルマルチドメインシステムの設定はエクスポートできません。そのため、特定の CMA に関連する構成は、エクスポートおよび移行のみが可能です。

サポートされていない ICMP タイプおよびコードを持つオブジェクト
トンネリングプロトコルベースのアクセスコントロールポリシールール
暗黙の ACL ルール
否定パラメータを持つ ACE
ゾーンベースの ACE が選択されており、それが 100 を超える値の範囲オブジェクトを持つ場合、ACE のゾーンは移行され、ACE 名と適切なコメントに追加されるルックアップなしの「Any」としてマークされます。
ゾーンベースの ACE が選択されている場合、IPv6 アドレスを持つ ACE のゾーンは、「Any」および適切なコメントによってサポートされない ACE としてマークされます。

サポートされない NAT ルール

Firepower 移行ツールは、次の NAT ルールをサポートしていません。

ゲートウェイの背後に隠れている自動 NAT ルール
Check Point Security Gateway を使用した手動 NAT ルール
デュアルタイプ IP アドレスを持つネットワークオブジェクトを含む手動 NAT ルール
継承されたオブジェクトが IPv6 構成を持つオブジェクトグループを含む手動 NAT ルール
サービスグループを使用した手動 NAT ルール
IPv6 NAT ルール

サポートされない静的ルート

netstat -rnv で出力インターフェイスが見つからない場合の静的ルート
論理ゲートウェイを出口インターフェイスとして持つ静的ルート
ECMP タイプの静的ルート
ローカルスコープ属性を出口インターフェイスとして持つ静的ルート

移行がサポートされるプラットフォーム

ファイアウォール移行ツールを使用した移行では、次のチェックポイントおよび Firepower Threat Defense プラットフォームがサポートされています。サポートされる Firepower Threat Defense プラットフォームの詳細については、『Cisco Firepower Compatibility Guide』を参照してください。

（注）

ファイアウォール移行ツールは、スタンドアロンモードまたは分散 Check Point 構成からスタンドアロン Firepower Threat Defense デバイスへの移行のみをサポートします。

サポートされるターゲット Firepower Threat Defense プラットフォーム

ファイアウォール移行ツールを使用して、Firepower Threat Defense プラットフォームの次のスタンドアロンまたはコンテナインスタンスに送信元チェックポイント構成を移行できます。

Firepower 1000 シリーズ
Firepower 2100 シリーズ
Firepower 4100 シリーズ
Firepower 9300 シリーズ（次を含む）：
- SM-24
- SM-36
- SM-40
- SM-44
- SM-48
- SM-56

Firepower Threat Defense Virtual （VMware 上）。VMware ESXi、VMware vSphere Web クライアント、または vSphere スタンドアロンクライアントを使用して展開されていること

ファイアウォール移行ツールは、Firepower Threat Defense Virtual for Microsoft Azure Cloud への移行をサポートしています。

Azure における FTDv の前提条件と事前設定については、「Getting Started with Firepower Threat Defense Virtual and Azure」を参照してください。

ファイアウォール移行ツールは、Firepower Threat Defense Virtual for the AWS Cloud への移行をサポートしています。

AWS クラウドにおける FTDv の前提条件と事前設定については、「Firepower Threat Defense Virtual Prerequisites」を参照してください。

これらの環境ごとに要件に従って事前設定されたファイアウォール移行ツールには、Microsoft Azure または AWS クラウド内の Firepower Management Center に接続し、構成をそのクラウド内の FMC に移行させるためのネットワーク接続が必要です。

（注）

移行を成功させるには、ファイアウォール移行ツールを使用する前に、FMC または FTD を事前設定するための前提条件が満たされている必要があります。

（注）

ファイアウォール移行ツールには、クラウドでホストされるデバイスへのネットワーク接続が必要です。それにより、移行元の構成を抽出したり（ASA Live Connect）、手動でアップロードした構成をクラウド内の FMC に移行させたりします。そのため、前提条件として、ファイアウォール移行ツールを使用する前に、IP ネットワーク接続を事前設定する必要があります。

移行でサポートされるソフトウェアのバージョン

以下は移行でサポートされているチェックポイントおよび Firepower Threat Defense バージョンです。

サポートされている Check Point のバージョン

ファイアウォール移行ツールは、Check Point OS バージョン r75 ～ r77.30 および r80 ～ r80.40 を実行している Firepower Threat Defense への移行をサポートしています。[Select Source] ページで適切な Check Point バージョンを選択します。

（注）

VSX はサポートされていません。

ファイアウォール移行ツールは、Check Point Platform Gaia からの移行をサポートしています。

送信元 Check Point ファイアウォール構成でサポートされている Firepower Management Center のバージョン

Check Point ファイアウォールの場合、ファイアウォール移行ツールは、バージョン 6.2.3.3 以降を実行している Firepower Management Center によって管理される Firepower Threat Defense デバイスへの移行をサポートしています。

（注）

6.7 FTD デバイスへの移行は現在サポートされていません。そのため、デバイスに FMC アクセス用のデータインターフェイスで設定されている場合、移行が失敗する可能性があります。

サポートされる Firepower Threat Defense のバージョン

ファイアウォール移行ツールでは、 Firepower Threat Defense のバージョン 6.5 以降を実行しているデバイスへの移行が推奨されます。

Firepower Threat Defense のオペレーティングシステムとホスティング環境の要件を含めた Cisco Firepower ソフトウェアとハードウェアの互換性の詳細については、『Cisco Firepower Compatibility Guide』を参照してください。

Firewall 移行ツールのプラットフォーム要件

Firewall 移行ツールには、次のインフラストラクチャとプラットフォームの要件があります。

Windows 10 64 ビットオペレーティングシステムまたは macOS バージョン 10.13 以降で実行している
Google Chrome がシステムのデフォルトブラウザである
（Windows）[パワーおよびスリープ（Power＆Sleep）] で [スリープ（Sleep）] 設定が [PC をスリープにしない（Never put the PC to Sleep）] に設定されているため、大規模な移行プッシュ中にシステムがスリープ状態にならない
（macOS）大規模な移行プッシュ中にコンピュータとハードディスクがスリープ状態にならないように [Energy Saver] 設定が構成されている

Firewall 移行ツールを使用した Check Point Firewall から Threat Defense への移行

偏向のない言語

翻訳について

Book Title

Firewall 移行ツールを使用した Check Point Firewall から Threat Defense への移行

Chapter Title