この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
このドキュメントは、Cisco Defense Orchestrator(CDO)でホストされている Cisco Secure Firewall 移行ツールのクラウドバージョンを使用する際に役立ちます。
CDO は、CDO テナントに展開されているクラウド提供型 Firewall Management Center によって管理されている Secure Firewall Threat Defense デバイスに既存のファイアウォール構成を移行するために使用できる Cisco Secure Firewall 移行ツールのクラウドバージョンをホストします。
このガイドは、CDO を使用して Cisco Secure Firewall ASA デバイスと FDM 管理対象 Threat Defense デバイスを管理する場合、または Palo Alto Networks、Check Point、Fortinet ファイアウォールなどのサードパーティ製ファイアウォールを使用していて Cisco Secure Firewall Threat Defense に移行する場合に役立ちます。CDO の Cisco Secure Firewall 移行ツールを使用して、既存のすべてのファイアウォール構成を、クラウド提供型 Firewall Management Center によって管理されている Threat Defense デバイスに移行できます。このドキュメントでは、構成を移行するために必要な作業について説明します。
CDO の移行ツールは、選択した送信元デバイスまたはアップロードした構成ファイルからデバイス構成を抽出し、その構成を検証した後、CDO テナントにプロビジョニングされたクラウド提供型 Firewall Management Center に移行します。移行ツールは、ほとんどの構成をサポートしています。サポートされていない構成は、クラウド提供型 Firewall Management Center で手動で設定する必要があります。サポートされている構成 を参照してください。
で新しい移行を初期化して [起動(Launch)] を実行すると、移行ツールのクラウドインスタンスが新しいブラウザタブで開き、ガイド付きワークフローを使用して移行タスクを実行できます。CDO の移行ツールを使用すると、Cisco Secure Firewall 移行ツールのデスクトップバージョンをダウンロードして維持する必要がなくなります。
CDO でホストされている移行ツールを使用して、次のシスコとサードパーティのファイアウォール構成を Secure Firewall Threat Defense デバイスに移行できます。
Cisco Secure Firewall ASA
Firewall Device Manager で管理されている Secure Firewall Threat Defense
Check Point ファイアウォール
Palo Alto Networks ファイアウォール
Fortinet ファイアウォール
 重要 |
Firewall 移行ツールを使用するには、CDO の管理者またはネットワーク管理者のユーザーロールが必要です。 |
移行ツールは、次の構成をサポートしています。
ネットワークオブジェクトおよびグループ
サービスオブジェクト(送信元と接続先に設定されたものを除く)
参照される ACL および NAT ルール
サービス オブジェクト グループ
(注) |
クラウド提供型 Management Center はネストをサポートしていないため、ネストされたサービス オブジェクト グループの内容は、移行される前に個々のオブジェクトに分割されます。 |
IPv4 および IPv6 FQDN オブジェクトとグループ
IPv6 変換(インターフェイス、スタティックルート、オブジェクト、ACL、および NAT)
入力インターフェイスに適用されるアクセスルール
グローバル ACL
自動 NAT、手動 NAT、およびオブジェクト NAT
スタティックルート、等コストマルチパス(ECMP)ルート、およびポリシーベースルーティング(PBR)
物理インターフェイス
サブインターフェイス
ポート チャネル
仮想トンネルインターフェイス
トランスペアレントモードのブリッジグループ
IP SLA オブジェクト:移行ツールによって作成され、スタティックルートにマッピングされ、移行されます。
時間ベースのオブジェクト
サイト間 VPN
サイト間 VPN:Cisco Secure Firewall 移行ツールが送信元 ASA、FDM 管理対象デバイス、Palo Alto Networks ファイアウォールまたは Fortinet ファイアウォールでクリプトマップ構成を検出すると、それを Management Center VPN にポイントツーポイント トポロジとして移行します
ASA、FDM 管理対象デバイス、Palo Alto Networks ファイアウォール、および Fortinet ファイアウォールからのクリプトマップ(静的/動的)ベースの VPN
ルートベース(VTI)の ASA および FDM VPN
ASA、FDM 管理対象デバイス、Palo Alto Networks ファイアウォール、Fortinet ファイアウォールからの証明書ベースの VPN 移行
重要 |
送信元 ASA、FDM 管理対象デバイス、Palo Alto Networks ファイアウォール、Fortinet ファイアウォールにサイト間 VPN 構成がある場合は、そのデバイスのトラストポイントまたは証明書が クラウド提供型 FMC で手動で設定されていることを確認します。 |
リモートアクセス VPN
SSL および IKEv2 プロトコル
認証方式:[AAAのみ(AAA only)]、[クライアント証明書のみ(Client Certificate only)]、[SAML]、および [AAAとクライアント証明書(AAA and Client Certificate)]
AAA:Radius、ローカル、LDAP、および AD
接続プロファイル、グループポリシー、ダイナミック アクセス ポリシー、LDAP 属性マップ、および証明書マップ
標準および拡張 ACL
カスタム属性および VPN ロードバランシング
重要 |
送信元ファイアウォールでリモートアクセス VPN を設定している場合は、次のタスクが実行されていることを確認します。
|
動的ルートオブジェクト、BGP、および EIGRP
ポリシーリスト
プレフィックスリスト
コミュニティリスト
自律システム(AS)パス
ルートマップ
(注) |
移行ツールは、名前と構成の両方に基づいてすべてのオブジェクトとオブジェクトグループを分析し、同じ名前と構成を持つオブジェクトを再利用しますが、リモートアクセス VPN 構成の XML プロファイルは名前のみを使用して検証されます。 |
詳細については、『Cisco Secure Firewall Migration Tool Compatibility Guide』を参照してください。
Cisco Secure Firewall 移行ツールには、CDO からアクセスするための追加ライセンスは必要ありません。
ただし、移行する 脅威に対する防御 機能の CDO 基本サブスクリプションおよびライセンスが必要です。
|
ステップ 1 |
CDO テナントにログインします。 |
||
|
ステップ 2 |
を選択します。 |
||
|
ステップ 3 |
青色のプラスボタン
すでに 10 個の移行インスタンスがあるときに新しい移行インスタンスを初期化する場合は、既存の移行インスタンスのいずれかを削除します。 |
||
|
ステップ 4 |
CDO は移行の名前を自動的に生成します。自動生成された名前を使用するか、必要に応じて変更できます。 |
||
|
ステップ 5 |
[OK] をクリックし、ステータスが [初期化中(Initializing)] から [移行準備完了(Ready to Migrate)] に変わるまで待ちます。また、移行の準備が整うと、CDO は [通知(Notifications)] ペインに新しいアナウンスを表示します。 |
||
|
ステップ 6 |
新しい移行で、[起動(Launch)] をクリックします。 移行ツールは新しいブラウザタブで開き、認証は必要ありません。
CDO では、[ステータス(Status)] 列にすべての移行のステータスが表示されます。ステータスに基づいて移行をフィルタ処理できます。移行を選択して、作成日時、開始日時、送信元と接続先のデバイス名、作成者などの移行の詳細を右側のペインに表示することもできます。CDO テナントに複数のユーザーがプロビジョニングされている場合は、自分で作成した移行のみを起動できることに注意してください。 |
|
ステップ 1 |
を選択します。 |
|
ステップ 2 |
削除する移行インスタンスで、[アクション(Actions)] ペインの [削除(Delete)] をクリックします。 |
|
ステップ 3 |
[削除(Delete)] をクリックしてアクションを確認します。 |
Cisco Secure Firewall 移行ツールを起動し、[送信元設定の選択(Select Source Configuration)] ページで、[移行の開始(Start Migration)] を使用して移行を開始するか、[デモモード(Demo Mode)] に入るかを選択できます。
デモモードでは、ダミーデバイスを使用してデモ移行を実行し、実際の移行フローがどのようになるかを可視化できます。移行ツールは、[送信元ファイアウォールベンダー(Source Firewall Vendor)] ドロップダウンでの選択に基づいてデモモードをトリガーします。構成ファイルをアップロードするか、ライブデバイスに接続して移行を続行することもできます。デモ FMC デバイスやデモ FTD デバイスなどのデモのソースデバイスとターゲットデバイスを選択して、デモ移行の実行を進められます。
 注意 |
[デモモード(Demo Mode)] を選択すると、既存の移行ワークフローがあれば消去されます。[移行の再開(Resume Migration)] にアクティブな移行があるときにデモモードを使用すると、アクティブな移行は失われ、デモモードを使用した後に最初から再開する必要があります。 |
また、実際の移行ワークフローと同様に、移行前レポートのダウンロードと確認、インターフェイスのマッピング、セキュリティゾーンのマッピング、インターフェイスグループのマッピングなどのすべてのアクションを実行することもできます。ただし、デモ移行は設定の検証までしか実行できません。これはデモモードにすぎないため、選択したデモターゲットデバイスに設定をプッシュすることはできません。検証ステータスと概要を確認し、[デモモードの終了(Exit Demo Mode)] をクリックして [送信元設定の選択(Select Source Configuration)] ページに再度移動し、実際の移行を開始できます。
(注) |
デモモードでは、設定のプッシュを除く Cisco Secure Firewall 移行ツールのすべての機能セットを活用して、実際の移行を行う前にエンドツーエンドの移行手順のトライアルを実行できます。 |
CDO の Cisco Secure Firewall 移行ツールを使用すると、CDO によって管理されているライブ ASA デバイスから、または ASA デバイスから抽出された構成ファイルを使用して、構成を移行できます。移行でサポートされている Cisco Secure Firewall ASA 設定の詳細については、『Migrating Cisco Secure Firewall ASA to Cisco Secure Firewall Threat Defense with the Migration Tool』の「ASA Configuration Support」を参照してください。
ソース構成の選択
CDO から移行インスタンスを起動したら、[ソース構成の選択(Select Source Configuration)] で [Cisco ASA] を選択し、[移行の開始(Start Migration)] をクリックします。ASA 構成ファイルを手動でアップロードするか、[ASAへの接続(Connect to ASA)] ペインにリストされている CDO 管理対象 ASA デバイスのいずれかを選択できます。CDO 管理対象デバイスを選択する場合は、[構成ステータス(Configuration Status)] が [同期済み(Synced)] になっているデバイスのみが移行ツールに表示されることに注意してください。移行するデバイスがリストに表示されない場合は、デバイス構成の変更が最新であり、CDO と同期されているかどうかを確認します。複数のユーザーが同時に 1 つの ASA デバイスをソースデバイスとして選択でき、構成の抽出はシームレスに行われることに注意してください。ASA デバイスに 1 つ以上のセキュリティコンテキストが設定されている場合、移行ツールを使用して、移行するコンテキストを選択できます。すべてのコンテキストを単一のインスタンスにマージしてから移行することもできます。詳細については、「Select the ASA Primary Security Context」を参照してください。
移行ツールは、デバイス構成を解析し、解析された構成を含む概要を表示します。[Next] をクリックします。
ターゲットの選択(Select Target)
[ターゲットの選択(Select Target)] ページでは、CDO テナントでプロビジョニングされたクラウド提供型 Firewall Management Center がデフォルトで選択され、その Management Center によって管理されている 脅威に対する防御 デバイスが一覧表示されます。ASA 構成の移行先の 脅威に対する防御 デバイスを選択するか、[FTDなしで続行(Proceed without FTD)] を選択できます。これらの Threat Defense デバイスは、デバイスが別の移行インスタンスで使用されているかどうかによって、[使用中(In Use)] または [使用可能(Available)] と表示されます。ただし、[デバイスステータスの変更(Change Device Status)] をクリックし、[使用中(In Use)] リストからデバイスを選択し、[続行(Continue)] をクリックすることでオーバーライドを実行できます。これにより、デバイスがターゲットとして選択できるようになります。
注意 |
デバイスのステータスを [使用中(In Use)] から [使用可能(Available)] に変更すると、すでにデバイスを使用している進行中の移行インスタンスに影響します。この操作を行う場合は、慎重に行うことを推奨します。 |
[FTDなしで続行(Proceed without FTD)] を選択すると、NAT オブジェクト、ACL、およびポートオブジェクトのみがクラウド提供型 Firewall Management Center にプッシュされます。一般的に使用される ASA 機能とそれに相当する Threat Defense 機能の詳細については、『Cisco Secure Firewall ASA to Threat Defense Feature Mapping』ガイドを参照してください。
より詳細なステップで手順を実行する場合は、『Migrating Cisco Secure Firewall ASA to Threat Defense with the Migration Tool』ガイドの「Obtain the ASA Configuration File」に進みます。
|
ワークスペース |
手順 |
|
|---|---|---|
|
|
CDO |
CDO テナントにログインし、 に移動し、青いプラスボタン |
|
|
ASA CLI |
(オプション)ASA 構成ファイルを取得します。ASA CLI から ASA 構成ファイルを取得するには、「Obtain the ASA Configuration File」を参照してください。[ソース構成の選択(Select Source Configuration)] で CDO 管理対象 ASA デバイスを選択する場合は、ステップ 3 に進みます。 |
|
|
ASA CLI |
(オプション)ASA CLI から Public Key Infrastructure(PKI)証明書をエクスポートします。この手順は、サイト間 VPN およびリモートアクセス VPN 設定を ASA から Threat Defense に移行する予定がある場合にのみ必要です。ASA CLI から PKI 証明書をエクスポートするには、「Export PKI Certificate from ASA and Import into Management Center」を参照してください。デバイスにリモートアクセス VPN 設定がない場合、またはサイト間 VPN およびリモートアクセス VPN を移行する予定がない場合は、ステップ 7 に進みます。 |
|
|
ASA CLI |
(オプション)ASA CLI から AnyConnect パッケージおよびプロファイルをエクスポートします。この手順は、リモートアクセス VPN 機能を ASA から Threat Defense に移行する予定がある場合にのみ必要です。AnyConnect パッケージおよびプロファイルを ASA CLI からエクスポートするには、「Retrieve AnyConnect Packages and Profiles」を参照してください。 |
|
|
クラウド提供型 Firewall Management Center |
(オプション)PKI 証明書と AnyConnect パッケージを Management Center にインポートします。PKI 証明書を Management Center にインポートするには、「Export PKI Certificate from ASA and Import into Management Center」のステップ 2 および「Retrieve AnyConnect Packages and Profiles」を参照してください。 |
|
|
CDO |
作成した移行インスタンスのステータスが [移行準備完了(Ready to Migrate)] であることを確認し、[起動(Launch)] をクリックします。Cisco Secure Firewall 移行ツールが新しいブラウザタブで開きます。 |
 |
Cisco Secure Firewall 移行ツール |
(オプション)ASA CLI から取得した ASA 構成ファイルをアップロードします。「Upload the ASA Configuration File」を参照してください。CDO で管理されている ASA デバイスから構成を移行する予定の場合は、ステップ 8 に進みます。 |
|
|
Cisco Secure Firewall 移行ツール |
表示された、CDO テナントによって管理されている ASA デバイスのリストから、構成を移行するデバイスを選択します。ASA デバイスで複数のセキュリティコンテキストを設定している場合は、移行するコンテキストを選択するか、[プライマリコンテキストの選択(Primary Context Selection)] ドロップダウンですべてのコンテキストを 1 つのインスタンスにマージすることを選択します。詳細については、「ASA プライマリ セキュリティ コンテキストの選択」を参照してください。 |
|
|
Cisco Secure Firewall 移行ツール |
[ターゲットの選択(Select Target)] ページでは、CDO テナントでプロビジョニングされたクラウド提供型 Firewall Management Center がデフォルトで選択されています。 |
|
|
Cisco Secure Firewall 移行ツール |
クラウド提供型 Firewall Management Center によって管理されている Threat Defense デバイスのリストからターゲットデバイスを選択するか、[FTDなしで続行(Proceed without FTD)] を選択して続行します。 |
|
|
Cisco Secure Firewall 移行ツール |
移行前レポートをダウンロードして、解析された構成の詳細なサマリーを確認します。詳細な手順については、「移行前レポートの確認」を参照してください。 |
|
|
Cisco Secure Firewall 移行ツール |
FTD インターフェイスと ASA 構成をマッピングします。
ASA と Threat Defense デバイスの物理インターフェイスとポート チャネル インターフェイスの名前は必ずしも同じではないため、ASA インターフェイスのマッピング先のターゲット Threat Defense デバイスのインターフェイスを選択できます。詳細については、「Map ASA Configurations with Secure Firewall Device Manager Threat Defense Interfaces」を参照してください。 |
|
|
Cisco Secure Firewall 移行ツール |
ASA インターフェイスを既存の Threat Defense セキュリティゾーンおよびインターフェイスグループにマッピングします。詳細な手順については、「Map ASA Interfaces to Security Zones and Interface Groups」を参照してください。 |
|
|
Cisco Secure Firewall 移行ツール |
構成の最適化、確認、検証は慎重に行い、ACL、オブジェクト、NAT、インターフェイス、ルート、サイト間 VPN、およびリモートアクセス VPN ルールが、宛先の Threat Defense デバイス向けに設定されていることを確認します。「Optimize, Review and Validate the Configuration」を参照してください。 |
|
|
Cisco Secure Firewall 移行ツール |
構成の検証が成功したら、クラウド提供型 Firewall Management Center に構成をプッシュします。詳細については、「Push the Migrated Configuration to Management Center」を参照してください。 |
|
|
Local Machine |
移行後レポートをダウンロードして確認します。移行後レポートに含まれる情報の詳細については、「Review the Post-Migration Report and Complete the Migration」を参照してください。 |
|
|
クラウド提供型 Firewall Management Center |
新規に移行した構成を Threat Defense デバイスに展開します。 |
構成ファイルを使用するか、CDO によって管理されている FDM 管理対象デバイスを選択するだけで、FDM 管理対象デバイスの構成を移行できます。移行でサポートされている FDM 管理対象デバイスの構成の詳細については、『Migrating an FDM-Managed Device to Secure Firewall Threat Defense with the Migration Tool』の「FDM-Managed Device Configuration Support」を参照してください。
ソース構成の選択
CDO から移行インスタンスを起動した後、[ソース構成の選択(Select Source Configuration)] で [Cisco Secure Firewall Device Manager] を選択し、次のオプションのいずれかを選択します。
[Firepower Device Managerの移行(共有構成のみ)(Migrate Firepower Device Manager (Shared Configurations Only))]
[Firepower Device Managerの移行(デバイスおよび共有構成を含む)(Migrate Firepower Device Manager (Includes Device & Shared Configurations))]
[Firepower Device Manager(デバイスおよび共有構成を含む)のFTDデバイス(新しいハードウェア)への移行(Migrate Firepower Device Manager (Includes Device & Shared Configurations) to FTD Device (New Hardware))]
[続行(Continue)] をクリックすると、移行ツールを使用して、FDM 管理対象デバイスの構成ファイルを手動でアップロードするか、CDO によって管理されている FDM 管理対象デバイス([FDMに接続(Connect to FDM)] ペインに一覧表示されます)のいずれかを選択できます。[次へ(Next)] をクリックします。
ターゲットの選択(Select Target)
[ターゲットの選択(Select Target)] ページでは、CDO テナントでプロビジョニングされたクラウド提供型 Firewall Management Center がデフォルトで選択され、その Management Center によって管理されている 脅威に対する防御 デバイスが一覧表示されます。構成の移行先の 脅威に対する防御 デバイスを選択して、移行を続行します。
これらの Threat Defense デバイスは、デバイスが別の移行インスタンスで使用されているかどうかによって、[使用中(In Use)] または [使用可能(Available)] と表示されます。ただし、[デバイスステータスの変更(Change Device Status)] をクリックし、[使用中(In Use)] リストからデバイスを選択し、[続行(Continue)] をクリックすることでオーバーライドを実行できます。これにより、デバイスがターゲットとして選択できるようになります。
注意 |
デバイスのステータスを [使用中(In Use)] から [使用可能(Available)] に変更すると、すでにデバイスを使用している進行中の移行インスタンスに影響します。この操作を行う場合は、慎重に行うことを推奨します。 |
次のフローチャートは、CDO の Firewall 移行ツールを使用して FDM 管理対象デバイスを移行するためのステップごとの手順を示しています。
より詳細なステップで手順を実行する場合は、『Migrating an FDM-managed Device to Secure Firewall Threat Defense with the Migration Tool』ガイドの「Obtain the FDM-managed Device Configuration File」に進みます。
|
ワークスペース |
手順 |
|
|---|---|---|
|
|
CDO |
CDO テナントにログインし、 に移動し、青いプラスボタン |
|
|
デバイスマネージャ CLI |
(オプション)FDM 管理対象デバイス構成ファイルを取得します。デバイスマネージャ CLI から FDM 管理対象デバイス構成ファイルを取得するには、「Obtain the FDM-Managed Device Configuration File」を参照してください。[ソース構成の選択(Select Source Configuration)] で CDO 管理対象 FDM デバイスを選択する場合は、ステップ 3 に進みます。 |
|
|
デバイスマネージャ CLI |
(オプション)PKI 証明書と AnyConnect パッケージおよびプロファイルをエクスポートします。この手順は、サイト間 VPN およびリモートアクセス VPN 機能を FDM 管理対象デバイスから Threat Defense に移行する予定がある場合にのみ必要です。デバイスマネージャ CLI から PKI 証明書をエクスポートするには、「Export PKI Certificate from and Import into Firewall Management Center」のステップ 1 を参照してください。AnyConnect パッケージおよびプロファイルをデバイスマネージャ CLI からエクスポートするには、「Retrieve AnyConnect Packages and Profiles」のステップ 1 を参照してください。サイト間 VPN およびリモートアクセス VPN 構成を移行する予定がない場合は、ステップ 7 に進みます。 |
|
|
クラウド提供型 Firewall Management Center |
(オプション)PKI 証明書と AnyConnect パッケージを Management Center にインポートします。PKI 証明書を Management Center にインポートするには、「Export PKI Certificate from and Import into Firewall Management Center」のステップ 2 および「Retrieve AnyConnect Packages and Profiles」を参照してください。 |
|
|
CDO |
作成した移行インスタンスのステータスが [準備完了(Ready)] であることを確認し、[起動(Launch)] をクリックします。Cisco Secure Firewall 移行ツールが新しいブラウザタブで開きます。 |
|
|
Cisco Secure Firewall 移行ツール |
ソース構成のファイアウォールと移行オプションを選択するには、「Select the Source Configuration Firewall and Migration」を参照してください。 |
|
Cisco Secure Firewall 移行ツール |
(オプション)デバイスマネージャ CLI から取得した FDM 管理対象デバイス構成ファイルをアップロードします。「FDM 管理対象デバイス構成ファイルのアップロード」を参照してください。CDO で管理されている FDM 管理対象デバイスから構成を移行する場合は、ステップ 8 に進みます。 |
|
|
Cisco Secure Firewall 移行ツール |
表示された、CDO テナントによって管理されている FDM 管理対象デバイスのリストから、構成を移行するデバイスを選択します。 |
|
|
Cisco Secure Firewall 移行ツール |
[ターゲットの選択(Select Target)] ページでは、CDO テナントでプロビジョニングされたクラウド提供型 Firewall Management Center がデフォルトで選択されています。 |
|
|
Cisco Secure Firewall 移行ツール |
クラウド提供型 Firewall Management Center によって管理されている Threat Defense デバイスのリストからターゲットデバイスを選択するか、[FTDなしで続行(Proceed without FTD)] を選択して続行します。 |
|
|
Cisco Secure Firewall 移行ツール |
移行前レポートをダウンロードして、解析された構成の詳細なサマリーを確認します。詳細な手順については、「移行前レポートの確認」を参照してください。 |
|
|
Cisco Secure Firewall 移行ツール |
FTD インターフェイスと FDM 管理対象デバイス構成をマッピングします。
FDM と Threat Defense デバイスの物理インターフェイスとポート チャネル インターフェイスの名前は必ずしも同じではないため、FDM 管理対象デバイスインターフェイスのマッピング先のターゲット Threat Defense デバイスのインターフェイスを選択できます。詳細については、「Map FDM-managed Device Configurations with Secure Firewall Device Manager Threat Defense Interfaces」を参照してください。 |
|
|
Cisco Secure Firewall 移行ツール |
FDM 管理対象デバイスインターフェイスを既存の Threat Defense セキュリティゾーンおよびインターフェイスグループにマッピングします。詳細な手順については、「Map FDM-managed Interfaces to Security Zones and Interface Groups」を参照してください。 |
|
|
Cisco Secure Firewall 移行ツール |
構成の最適化、確認、検証は慎重に行い、ACL、オブジェクト、NAT、インターフェイス、ルート、サイト間 VPN、およびリモートアクセス VPN ルールが、宛先の Threat Defense デバイス向けに設定されていることを確認します。「Optimize, Review and Validate the Configuration」を参照してください。 |
|
|
Cisco Secure Firewall 移行ツール |
構成の検証が成功したら、クラウド提供型 Firewall Management Center に構成をプッシュします。詳細については、「Push the Migrated Configuration to Management Center」を参照してください。 |
|
|
Local Machine |
移行後レポートをダウンロードして確認します。移行後レポートに含まれる情報の詳細については、「Review the Post-Migration Report and Complete the Migration」を参照してください。 |
|
|
クラウド提供型 Firewall Management Center |
新規に移行した構成を Threat Defense デバイスに展開します。 |
CDO から移行を開始し、後で続行する場合は、[Firewall移行ツール(Firewall migration tool)] タブを閉じることができます。移行を再開する場合は、CDO にログインし、[Firewall移行ツール(Firewall migration tool)] の再開する移行で [起動(Launch)] をクリックします。移行ツールは、移行が実行中だったことを検出するため、中断したところから続行できます。ただし、移行ツールが進行中の移行を検出するには、少なくともソース構成の解析までを実行する必要があります。このステップを実行する前に移行を中断した場合でも、CDO から同じ移行を開始できますが、最初から行う必要があります。
Check Point Firewall 構成を Threat Defense に移行するには、ファイアウォールから構成を手動で抽出するか、移行ツールに組み込まれている設定エクストラクタを使用します。サポートされている Check Point 構成を確認するには、「Check Point Configuration Support」を参照してください。
[送信元ファイアウォールベンダー(Source Firewall Vendor)] ドロップダウンで、移行するファイアウォールのバージョンに基づいて [Check Point(r80 ~ r81)(Check Point (r80-r81))] または [Check Point(r75 ~ r77)(Check Point (r75-r77))] を選択します。[手動設定アップロード(Manual Configuration Upload)] を使用して抽出したファイアウォール設定を手動でアップロードするか、[ライブ接続(Live Connect)] オプションを使用して Check Point Security Gateway に接続し、設定ファイルをエクスポートできます。
(注) |
[ライブ接続(Live Connect)] は [Check Point(r80 ~ r81)(Check Point (r80-r81))] を選択した場合にのみ使用でき、[設定エクストラクタ(Configuration Extractor)] は [Check Point(r75 ~ r77)(Check Point (r75-r77))] を選択した場合にのみ使用できます。 |
[ターゲットの選択(Select Target)] ページでは、CDO テナントでプロビジョニングされたクラウド提供型 Firewall Management Center がデフォルトで選択され、その Management Center によって管理されている 脅威に対する防御 デバイスが一覧表示されます。構成の移行先の 脅威に対する防御 デバイスを選択して、移行を続行します。
これらの Threat Defense デバイスは、デバイスが別の移行インスタンスで使用されているかどうかによって、[使用中(In Use)] または [使用可能(Available)] と表示されます。ただし、[デバイスステータスの変更(Change Device Status)] をクリックし、[使用中(In Use)] リストからデバイスを選択し、[続行(Continue)] をクリックすることでオーバーライドを実行できます。これにより、デバイスがターゲットとして選択できるようになります。[FTDなしで続行(Proceed without FTD)] を選択すると、NAT オブジェクト、ACL、およびポートオブジェクトのみがクラウド提供型 Firewall Management Center にプッシュされます。一般的に使用される ASA 機能とそれに相当する Threat Defense 機能の詳細については、『Cisco Secure Firewall ASA to Threat Defense Feature Mapping』ガイドを参照してください。
注意 |
デバイスのステータスを [使用中(In Use)] から [使用可能(Available)] に変更すると、すでにデバイスを使用している進行中の移行インスタンスに影響します。この操作を行う場合は、慎重に行うことを推奨します。 |
より詳細なステップで移行を実行する場合は、『Migrating Check Point Firewall to Secure Firewall Threat Defense with the Migration Tool』の「Export the Check Point Configuration Files」に進みます。
|
ワークスペース |
手順 |
|
|---|---|---|
|
|
Cisco Defense Orchestrator |
CDO テナントにログインし、 に移動し、青いプラスボタン |
 |
Cisco Defense Orchestrator |
CDO から移行インスタンスを起動し、要件に基づいて、[送信元ファイアウォールベンダー(Source Firewall Vendor)] ドロップダウンで [Check Point(r75 ~ r77)(Check Point (r75-r77))] または [Check Point(r80 ~ r81)(Check Point (r80-r81))] を選択します。 |
|
|
Check Point の Web 可視化ツール |
(任意)r77 の Check Point 構成ファイルをエクスポートします。r77 の Check Point 構成ファイルをエクスポートするには、「Export the Check Point Configuration Files for r77」を参照してください。Cisco Secure Firewall 移行ツールの Live Connect 機能を使用して r80 の構成ファイルをエクスポートする場合は、手順 6 にスキップします。 |
|
|
Cisco Secure Firewall 移行ツール |
(任意)ライブ Check Point(r80)に接続し、構成ファイルをエクスポートします。Live Connect 機能を使用して r80 の Check Point 構成ファイルをエクスポートするには、「Export the Check Point Configuration Files for r80」を参照してください。 |
|
|
Local Machine |
(任意)エクスポートされたファイルを圧縮します。r77 用にエクスポートされたすべての構成ファイルを選択し、それらを zip ファイルに圧縮します。詳細な手順については、「Zip the Exported Files」を参照してください。 |
|
|
Local Machine |
構成抽出のための Check Point(r80)デバイスの事前設定:Live Connect を使用する前に、Check Point(r80)デバイスでログイン情報を構成する必要があります。Check Point(r80)デバイスのログイン情報の事前設定については、「Pre-Stage the Check Point Devices for Configuration Extraction Using Live Connect」を参照してください。この手順は、r80 デバイスの構成ファイルの移行を計画している場合にのみ必要です。 |
|
|
Cisco Secure Firewall 移行ツール |
|
 |
Cisco Secure Firewall 移行ツール |
Cisco Secure Firewall 移行ツールの接続先パラメータを指定します。 |
|
|
Cisco Secure Firewall 移行ツール |
移行前レポートをダウンロードした場所に移動し、レポートを確認します。 |
|
|
Cisco Secure Firewall 移行ツール |
Cisco Secure Firewall 移行ツールを使用すると、Check Point 構成を Threat Defense インターフェイスにマッピングできます。詳細な手順については、「Check Point 構成と Cisco Secure Firewall Device Manager Threat Defense インターフェイスのマッピング」を参照してください。 |
|
|
Cisco Secure Firewall 移行ツール |
Check Point 構成が正しく移行されるように、Check Point インターフェイスを適切な Threat Defense インターフェイス オブジェクト、セキュリティゾーン、およびインターフェイスグループにマッピングします。詳細については、「Map Check Point Interfaces to Security Zones and Interface Groups」を参照してください。 |
|
|
Cisco Secure Firewall 移行ツール |
構成を慎重に確認し、それが適切で Threat Defense デバイスの構成内容と一致することを確認します。詳細な手順については、「移行する構成の最適化、確認および検証」を参照してください。 |
|
|
Cisco Secure Firewall 移行ツール |
移行プロセスのこのステップでは、移行された構成をクラウド提供型 Firewall Management Center に送信し、移行後レポートをダウンロードできるようにします。 |
|
|
Local Machine |
移行後レポートをダウンロードした場所に移動し、レポートを確認します。詳細な手順については、「移行後レポートの確認と移行の完了」を参照してください。 |
|
|
クラウド提供型 Firewall Management Center |
移行された構成をクラウド提供型 Firewall Management Center から Threat Defense に展開します。 |
CDO の Firewall 移行ツールを使用して、Fortinet ファイアウォール構成を、クラウド提供型 Firewall Management Center によって管理されている Threat Defense デバイスに移行できます。Fortinet ファイアウォールから構成ファイルを手動で取得し、移行ツールにアップロードして移行を開始できます。サポートされている Fortinet ファイアウォール構成については、「Fortinet Configuration Support」を参照してください。
[送信元設定の選択(Select Source Configuration)] ページで、[Fortinet(5.0以降)(Fortinet (5.0+))] を選択し、[移行の開始(Start Migration)] をクリックします。[アップロード(Upload)] をクリックして Fortinet 構成ファイルを選択し、[次へ(Next)] をクリックします。
[ターゲットの選択(Select Target)] ページでは、CDO テナントでプロビジョニングされたクラウド提供型 Firewall Management Center がデフォルトで選択され、その Management Center によって管理されている 脅威に対する防御 デバイスが一覧表示されます。構成の移行先の 脅威に対する防御 デバイスを選択して、移行を続行します。
これらの Threat Defense デバイスは、デバイスが別の移行インスタンスで使用されているかどうかによって、[使用中(In Use)] または [使用可能(Available)] と表示されます。ただし、[デバイスステータスの変更(Change Device Status)] をクリックし、[使用中(In Use)] リストからデバイスを選択し、[続行(Continue)] をクリックすることでオーバーライドを実行できます。これにより、デバイスがターゲットとして選択できるようになります。[FTDなしで続行(Proceed without FTD)] を選択すると、NAT オブジェクト、ACL、およびポートオブジェクトのみがクラウド提供型 Firewall Management Center にプッシュされます。一般的に使用される ASA 機能とそれに相当する Threat Defense 機能の詳細については、『Cisco Secure Firewall ASA to Threat Defense Feature Mapping』ガイドを参照してください。
注意 |
デバイスのステータスを [使用中(In Use)] から [使用可能(Available)] に変更すると、すでにデバイスを使用している進行中の移行インスタンスに影響します。この操作を行う場合は、慎重に行うことを推奨します。 |
次のフローチャートは、Fortinet ファイアウォール構成を Threat Defense デバイスに移行するための段階的な手順を示しています。
より詳細なステップで手順を実行する場合は、『Migrating Fortinet Firewall to Secure Firewall Threat Defense with the Migration Tool』ガイドの「Export Fortinet Firewall Configuration from Fortinet Firewall GUI」に進みます。
|
ワークスペース |
手順 |
|
|---|---|---|
 |
Cisco Defense Orchestrator |
CDO テナントにログインし、 に移動し、青いプラスボタン |
|
Cisco Defense Orchestrator |
移行インスタンスの準備ができたら、[起動(Launch)] をクリックし、[Fortinet(5.0以降)(Fortinet (5.0+))] を選択します。 |
|
|
Fortinet ファイアウォール |
Fortinet 構成をローカルシステムにエクスポートします。Fortinet ファイアウォールから構成をエクスポートするには、「Export the Configuration from Fortinet Firewall」を参照してください。 |
|
|
Cisco Secure Firewall 移行ツール |
Fortinet ファイアウォールからエクスポートされた Fortinet 構成ファイルをアップロードします。「Fortinet 構成ファイルのアップロード」を参照してください。 |
|
|
Cisco Secure Firewall 移行ツール |
このステップでは、移行のための接続先パラメータを指定できます。詳細な手順については、「Cisco Secure Firewall 移行ツールの接続先パラメータの指定」を参照してください。 . |
|
|
Cisco Secure Firewall 移行ツール |
移行前レポートをダウンロードした場所に移動し、レポートを確認します。詳細な手順については、「移行前レポートの確認」を参照してください。 |
 |
Cisco Secure Firewall 移行ツール |
Fortinet 構成が正しく移行されるように、Fortinet インターフェイスを適切な Threat Defense インターフェイス オブジェクト、セキュリティゾーン、およびインターフェイスグループにマッピングします。詳細な手順については、「Map Fortinet Firewall Configurations with Secure Firewall Device Manager Threat Defense Interfaces」を参照してください。 |
|
|
Cisco Secure Firewall 移行ツール |
Fortinet インターフェイスを適切なセキュリティゾーンにマッピングします。詳細な手順については、「Map Fortinet Interfaces to Security Zones」をご覧ください。 |
|
|
Cisco Secure Firewall 移行ツール |
構成を慎重に確認し、それが適切で Threat Defense デバイスの構成内容と一致することを確認します。詳細な手順については、移行する「Optimize, Review and Validate the Configuration」を参照してください。 |
|
|
Cisco Secure Firewall 移行ツール |
移行プロセスのこのステップでは、移行された構成をクラウド提供型 Firewall Management Center に送信し、移行後レポートをダウンロードできるようにします。詳細な手順については、「移行された構成の Management Center へのプッシュ」を参照してください。 |
|
|
Local Machine |
移行後レポートをダウンロードした場所に移動し、レポートを確認します。詳細な手順については、「移行後レポートの確認と移行の完了」を参照してください。 |
|
|
Management Center |
移行された構成をクラウド提供型 Firewall Management Center から Threat Defense に展開します。 |
Palo Alto Networks ファイアウォールから設定を移行するには、[送信元ファイアウォールベンダー(Source Firewall Vendor)] ドロップダウンで [Palo Alto Networks(6.1以降)(Palo Alto Networks (6.1+))] を選択し、派生した設定ファイルを Firewall 移行ツールに手動でアップロードします。移行でサポートされている Palo Alto Networks ファイアウォール構成とそれらに関する制限事項については、『Migrating Palo Alto Networks Firewall to Secure Firewall Threat Defense with the Migration Tool』の「Guidelines and Limitations」を参照してください。
[ターゲットの選択(Select Target)] ページでは、CDO テナントでプロビジョニングされたクラウド提供型 Firewall Management Center がデフォルトで選択され、その Management Center によって管理されている 脅威に対する防御 デバイスが一覧表示されます。構成の移行先の 脅威に対する防御 デバイスを選択して、移行を続行します。
これらの Threat Defense デバイスは、デバイスが別の移行インスタンスで使用されているかどうかによって、[使用中(In Use)] または [使用可能(Available)] と表示されます。ただし、[デバイスステータスの変更(Change Device Status)] をクリックし、[使用中(In Use)] リストからデバイスを選択し、[続行(Continue)] をクリックすることでオーバーライドを実行できます。これにより、デバイスがターゲットとして選択できるようになります。[FTDなしで続行(Proceed without FTD)] を選択すると、NAT オブジェクト、ACL、およびポートオブジェクトのみがクラウド提供型 Firewall Management Center にプッシュされます。一般的に使用される ASA 機能とそれに相当する Threat Defense 機能の詳細については、『Cisco Secure Firewall ASA to Threat Defense Feature Mapping』ガイドを参照してください。
注意 |
デバイスのステータスを [使用中(In Use)] から [使用可能(Available)] に変更すると、すでにデバイスを使用している進行中の移行インスタンスに影響します。この操作を行う場合は、慎重に行うことを推奨します。 |
より詳細なステップで移行を実行する場合は、『Migrating Check Point Firewall to Secure Firewall Threat Defense with the Migration Tool』の「Export the Check Point Configuration Files」に進みます。
|
ワークスペース |
手順 |
|
|---|---|---|
|
|
Cisco Defense Orchestrator |
CDO テナントにログインし、 に移動し、青いプラスボタン |
|
|
Cisco Defense Orchestrator |
CDO から移行インスタンスを起動し、[Palo Alto Networks(6.1以降)(Palo Alto Networks (6.1+))] を選択します。 |
|
|
Palo Alto Networks ファイアウォール |
構成ファイルのエクスポート:Palo Alto Networks ファイアウォールから構成をエクスポートするには、「Palo Alto Networks からの構成のエクスポート」を参照してください。 |
|
|
Cisco Secure Firewall 移行ツール |
|
|
|
Cisco Secure Firewall 移行ツール |
移行前レポートをダウンロードした場所に移動し、レポートを確認します。詳細な手順については、「移行前レポートの確認」を参照してください。 |
 |
Cisco Secure Firewall 移行ツール |
PAN 構成が正しく移行されるように、PAN インターフェイスを適切な Threat Defense インターフェイス オブジェクト、セキュリティゾーン、およびインターフェイスグループにマッピングします。詳細な手順については、「Map PAN Firewall Configurations with Secure Firewall Management Center Threat Defense Interfaces」を参照してください。 |
|
|
Cisco Secure Firewall 移行ツール |
PAN インターフェイスを適切なセキュリティゾーンにマッピングします。詳細な手順については、「Map PAN interfaces to security zones」を参照してください。 |
|
|
Cisco Secure Firewall 移行ツール |
PAN 構成を対応するターゲットアプリケーションにマッピングできます。詳細な手順については、「Map Configurations with Applications」を参照してください。 |
|
|
Cisco Secure Firewall 移行ツール |
構成を慎重に確認し、それが適切で Threat Defense デバイスの構成内容と一致することを確認します。詳細な手順については、「移行する構成の最適化、確認および検証」を参照してください。 |
|
|
Cisco Secure Firewall 移行ツール |
移行プロセスのこのステップでは、移行された構成を管理センターに送信し、移行後レポートをダウンロードできるようにします。詳細な手順については、「Push the Migrated Configuration to Cloud-Delivered Firewall Management Center」を参照してください。 |
|
|
Local Machine |
移行後レポートをダウンロードした場所に移動し、レポートを確認します。詳細な手順については、「移行後レポートの確認と移行の完了」を参照してください。 |
|
|
クラウド提供型 Firewall Management Center |
移行した構成を管理センターから Threat Defense に展開します。 |
CDO の Cisco Secure Firewall 移行ツールを使用したサードパーティ製ファイアウォールの移行の詳細については、要件に基づいて次のドキュメントを参照してください。
Firewall 移行ツールに関する最新の機能とリリース固有の情報については、『Cisco Secure Firewall Migration Tool Release Notes』を参照してください。
(注) |
Cisco Defense Orchestrator は、Cisco Secure Firewall 移行ツールの最新バージョンをホストしています。 |
Check Point ファイアウォールの構成を Threat Defense に移行するには、『Migrating a Check Point Firewall to Threat Defense』ガイドの「Export the Check Point Configuration Files」を参照してください。
Palo Alto Networks ファイアウォールの構成を Threat Defense に移行するには、『Migrating a Palo Alto Networks Firewall to Threat Defense』ガイドの「Export the Configuration from Palo Alto Networks Firewall」を参照してください。
Fortinet ファイアウォールの構成を Threat Defense に移行するには、『Migrating a Fortinet Firewall to Threat Defense』ガイドの「Export the Configuration from Fortinet Firewall」を参照してください。
重要 |
ASA および FDM 管理対象デバイスの移行とは異なり、サードパーティ製ファイアウォール構成を Threat Defense に移行する場合は、手動で抽出した構成ファイルのみをアップロードできます。 |
Cisco Secure Firewall 移行ツールとすべての関連ドキュメントに関する全体的な情報については、『Cisco Secure Firewall Migration Tool』を参照してください。
をクリックして、新しい移行インスタンスを初期化します。
フィードバック