サポートされている ASA 構成

Cisco Secure Firewall 移行ツールは、次の ASA 構成を完全に移行できます。

• ネットワークオブジェクトおよびグループ

• サービスオブジェクト（送信元と接続先に設定されたサービスオブジェクトを除く）

  （注）	Cisco Secure Firewall 移行ツールは拡張サービスオブジェクト（送信元と接続先の構成）は移行しませんが、参照先の ACL と NAT のルールは完全な機能とともに移行されます。

• サービス オブジェクト グループ（ネストされたサービス オブジェクト グループを除く）

  （注）	Management Center ではネストはサポートされていないため、Cisco Secure Firewall 移行ツールは参照されるルールの内容を拡張します。ただし、ルールは完全な機能とともに移行されます。

• IPv4 および IPv6 FQDN オブジェクトとグループ

• IPv6 変換サポート（インターフェイス、静的ルート、オブジェクト、ACL、および NAT）

• インバウンド方向とグローバル ACL のインターフェイスに適用されるアクセスルール

• 自動 NAT、手動 NAT、およびオブジェクト NAT（条件付き）

• 静的ルート、ECMP ルート、および PBR

• DHCP 設定（サーバー、リレー、および DDNS を含む）

• SNMP

• 物理インターフェイス

• ASA インターフェイス上のセカンダリ VLAN は 脅威に対する防御 に移行されません。

• サブインターフェイス（サブインターフェイス ID は、移行時に常に VLAN ID と同じ番号に設定されます）

• ポート チャネル

• 仮想トンネルインターフェイス（VTI）

• ダイナミック VTI および IPv6

• ブリッジグループ（トランスペアレントモードのみ）

• IP SLA のモニタ

  Cisco Secure Firewall 移行ツールは IP SLA オブジェクトを作成し、オブジェクトを特定の静的ルートにマッピングし、オブジェクトを Management Center に移行します。

  IP SLA モニタでは、モニタリング対象のアドレスへの接続ポリシーを定義し、そのアドレスへのルートの可用性をトラッキングします。静的ルートの可用性は、ICMP エコー要求を送信し、応答を待機することによって、定期的にチェックされます。エコー要求がタイムアウトすると、その静的ルートはルーティングテーブルから削除され、バックアップルートに置き換えられます。SLA モニタリングジョブは、デバイス設定から SLA モニタを削除していない限り、展開後すぐに開始して実行し続けます（つまり、ジョブはエージングアウトしません）。SLA モニタオブジェクトは、IPv4 静的ルートポリシーの [ルートトラッキング（Route Tracking）] フィールドで使用されます。IPv6 ルートでは、ルートトラッキングによって SLA モニタを使用することはできません.

  （注）	IP SLA モニターは、脅威に対する防御 以外のフローではサポートされていません。

• オブジェクトグループの検索

  オブジェクトグループ検索を有効にすると、ネットワークオブジェクトを含むアクセス コントロール ポリシーのメモリ要件が軽減されます。オブジェクトグループ検索を有効にして、脅威に対する防御 でアクセスポリシーによる最適なメモリの使用を実現することをお勧めします。

  （注）	オブジェクトグループ検索は、6.6 より前の Management Center または 脅威に対する防御 のバージョンでは使用できません。 オブジェクトグループ検索は 脅威に対する防御 以外のフローではサポートされていないため、無効になります。

• 時間ベースのオブジェクト

  Cisco Secure Firewall 移行ツールは、アクセスルールで参照される時間ベースオブジェクトを検出すると、その時間ベースオブジェクトを移行し、それぞれのアクセスルールにマッピングします。[構成の確認と検証（Review and Validate Configuration）] ページのルールに対してオブジェクトを確認します。

  時間ベースのオブジェクトは、期間に基づいてネットワークアクセスを許可するアクセスリストタイプです。特定の時刻または特定の曜日に基づいてアウトバウンドトラフィックまたはインバウンドトラフィックを制限する必要がある場合に便利です。

  （注）	送信元の ASA からターゲットの FTD にタイムゾーン構成を手動で移行する必要があります。 時間ベースのオブジェクトは 脅威に対する防御 以外のフローではサポートされていないため、無効になります。 時間ベースのオブジェクトは Management Center バージョン 6.6 以降でサポートされています。

• [サイト間 VPN トンネル（Site-to-Site VPN Tunnels）]

  • サイト間 VPN：Cisco Secure Firewall 移行ツールは、送信元 ASA で暗号マップ構成を検出すると、暗号マップを Management Center VPN にポイントツーポイント トポロジとして移行します。

  • ASA からのクリプトマップ（静的/動的）ベースの VPN

  • ルートベース（VTI）の ASA VPN

  • ASA からの証明書ベースの VPN 移行

  • ASA トラストポイントまたは証明書の Management Center への移行は手動で実行する必要があり、また、移行前のアクティビティに含まれている必要があります。

• 動的ルートオブジェクト、BGP、および EIGRP

  • ポリシーリスト

  • プレフィックスリスト

  • コミュニティ リスト

  • 自律システム（AS）パス

• リモートアクセス VPN

  • SSL と IKEv2 プロトコル

  • 認証方式：[AAAのみ（AAA only）]、[クライアント証明書のみ（Client Certificate only）]、および [AAAとクライアント証明書（AAA + Client Certificate）]

  • AAA：Radius、ローカル、LDAP、および AD

  • 接続プロファイル、グループポリシー、動的アクセス ポリシー、LDAP 属性マップ、および証明書マップ

  • 標準 ACL および拡張 ACL

  • RA VPN カスタム属性と VPN ロードバランシング

  • 移行前のアクティビティの一環として、次の手順を実行します。

    • ASA トラストポイントを PKI オブジェクトとして手動で Management Center に移行します。

    • AnyConnect パッケージ、Hostscan ファイル（Dap.xml、Data.xml、Hostscan Package）、外部ブラウザパッケージ、および AnyConnect プロファイルを送信元 ASA から取得します。

    • すべての AnyConnect パッケージを Management Center にアップロードします。

    • AnyConnect プロファイルを Management Center に直接アップロードするか、または Cisco Secure Firewall 移行ツールからアップロードします。

    • Live Connect ASA からプロファイルを取得できるようにするには、ASA で ssh scopy enable コマンドを有効にします。

• WebVPN

  • グループ セキュリティ ポリシー SSL クライアントレス VPN トンネルプロトコル

  • 認証方式としてセキュリティ アサーション マークアップ言語（SAML）を使用する、グループポリシーに関連するトンネルグループ

  • HTTPS ベースのアプリケーション URL を含むトンネルグループ

    （注）	前述の基準が満たされていると、SAML 設定とアプリケーション URL が移行されます。

部分的にサポートされる ASA 構成

Cisco Secure Firewall 移行ツールは、次の ASA 構成の移行を部分的にサポートしています。これらの構成の一部には、詳細オプションを使用するルールが含まれ、それらのオプションなしで移行されます。Management Center がこれらの詳細オプションをサポートしている場合は、移行の完了後に手動で構成できます。

• シビラティ（重大度）や時間間隔など、高度なロギング設定を使用して設定されたアクセス コントロール ポリシー ルール

• トラックオプションを使用して設定された静的ルート

• 証明書ベースの VPN 移行

• 動的ルートオブジェクト、BGP、および EIGRP

  • ルートマップ

未サポートの ASA 構成

Cisco Secure Firewall 移行ツールは、次の ASA 構成の移行をサポートしていません。これらの構成が Management Center でサポートされている場合、移行の完了後に手動で構成できます。

• SGT ベースのアクセス コントロール ポリシー ルール

• SGT ベースのオブジェクト

• ユーザベースのアクセス コントロール ポリシー ルール

• ブロック割り当てオプションを使用して構成された NAT ルール

• トンネリング プロトコルベースのアクセス コントロール ポリシー ルール

  （注）	Cisco Secure Firewall 移行ツールと Management Center 6.5 でのプレフィルタのサポート。

• SCTP で構成された NAT ルール

• ホスト ‘0.0.0.0’ で構成された NAT ルール

• SLA トラッキングを使用した DHCP または PPPoE によって取得されたデフォルトルート

• sla monitor schedule

• トランスポートモードの IPsec のトランスフォームセット

• Management Center への ASA トラストポイントの移行

• BGP のトランスペアレント ファイアウォール モード

• ASA WebVPN から Zero Trust アプリケーション（ZTA）ポリシーへの移行では、以下はサポートされません。

  • WebVPN ブックマークのインポート

  • ローカル、RADIUS、および LDAP の認証方式

ASA 設定の制限

送信元 ASA 構成の移行には、次の制限があります。

• Cisco Secure Firewall 移行ツールは、個別の 脅威に対する防御 デバイスとして、ASA からの個々のセキュリティコンテキストの移行をサポートします。

• システム構成は移行されません。

• Cisco Secure Firewall 移行ツールは、50 以上のインターフェイスに適用される単一の ACL ポリシーの移行をサポートしていません。50 以上のインターフェイスに適用される ACL ポリシーは、手動で移行してください。

• 動的ルーティングなど、ASA 構成の一部は 脅威に対する防御 に移行できません。これらの構成は手動で移行してください。

• ブリッジ仮想インターフェイス（BVI）、冗長インターフェイス、またはトンネルインターフェイスを使用するルーテッドモードの ASA デバイスは移行できません。ただし、BVI を使用するトランスペアレントモードの ASA デバイスを移行することはできます。

• Management Center では、ネストされたサービス オブジェクト グループまたはポートグループはサポートされていません。変換の一環として、Cisco Secure Firewall 移行ツールは、参照されているネストされたオブジェクトグループまたはポートグループの内容を展開します。

• Cisco Secure Firewall 移行ツールは、1 つの回線にある送信元ポートと宛先ポートを持つ拡張サービスのオブジェクトまたはグループを、複数の回線にまたがる異なるオブジェクトに分割します。このようなアクセスコントロールルールの参照は、正確に同じ意味の Management Center ルールに変換されます。

• 特定のトンネリングプロトコル（GRE、IP-in-IP、IPv6-in-IP など）を参照しないアクセス制御ルールが送信元 ASA 構成にあり、これらのルールが ASA 上の暗号化されていないトンネルトラフィックに一致する場合、脅威に対する防御 に移行すると、対応するルールは ASA 上と同じようには動作しません。脅威に対する防御 のプレフィルタポリシーで、これらの特定のトンネルルールを作成することを推奨します。

• サポートされるすべての ASA 暗号マップは、ポイントツーポイント トポロジとして移行されます。

• Management Center に同じ名前の AS-Path オブジェクトが表示された場合、移行は次のエラーメッセージで停止します。

  「Management Center で競合する AS-Path オブジェクト名が検出されました。続行するには、Management Center の競合を解決してください。（Conflicting AS-Path object name detected in , please resolve conflict in to proceed further）」

• OSPF および Routing Information Protocol（RIP）から EIGRP への再配布はサポートされていません。

• PBR の場合、ASA の設定にはルートマップがありますが、管理センターはルートマップを使用しません。Cisco Secure Firewall 移行ツールは、インターフェイスに適用されたルートマップ内の構成を移行します。

• 複数のシーケンス番号を持つルートマップの場合、最初のシーケンス番号だけが移行されます。他のすべてのシーケンス番号は無視され、移行前レポートに表示されます。

RA VPN の移行の制限事項

リモートアクセス VPN の移行は、次の制限付きでサポートされています。

• API の制限により、SSL 設定の移行はサポートされていません。

• LDAP サーバーは、暗号化タイプが「なし（none）」として移行されます。

• ポリシーは Management Center 全体に適用されるため、DfltGrpPolicy は移行されません。Management Center で必要な変更を直接行うことができます。

• Radius サーバーでは、動的認証が有効になっている場合は、AAA サーバー接続は動的ルーティングではなくインターフェイスを介して行う必要があります。インターフェイスなしで動的認証が有効になっている AAA サーバーで ASA 構成が見つかった場合、Cisco Secure Firewall 移行ツールは動的認証を無視します。管理センターでインターフェイスを選択した後に、動的認証を手動で有効にする必要があります。

• トンネルグループの下でアドレスプールを呼び出している間は ASA 構成にインターフェイスを含めることができます。ただし、管理センターではこれはサポートされていません。ASA 構成でインターフェイスが検出された場合、そのインターフェイスは Cisco Secure Firewall 移行ツールで無視され、アドレスプールがインターフェイスなしで移行されます。

• ASA 構成には、トンネルグループの下の DHCP サーバーにキーワード link-selection/subnet-selection を含めることができます。ただし、管理センターではこれはサポートされていません。これらのキーワードを使用して ASA 構成で検出された DHCP サーバーがある場合、それらのサーバーは Cisco Secure Firewall 移行ツールで無視され、DHCP サーバーはキーワードなしでプッシュされます。

• ASA 構成は、トンネルグループの下の認証サーバーグループ、セカンダリ認証サーバーグループ、承認サーバーグループを呼び出す間はインターフェイスを持つことができます。ただし、管理センターではこれはサポートされていません。ASA 構成でインターフェイスが検出された場合、そのインターフェイスは Cisco Secure Firewall 移行ツールで無視され、コマンドはインターフェイスなしでプッシュされます。

• ASA 構成は、リダイレクト ACL を Radius サーバーにマッピングしません。したがって、Cisco Secure Firewall 移行ツールから取得する方法はありません。リダイレクト ACL が ASA で使用される場合、その ACL は空のままになり、管理センターで手動で追加してマッピングする必要があります。

• ASA は vpn-addr-assign のローカル再利用遅延値 0 ～ 720 をサポートします。ただし、管理センターは 0 ～ 480 の値をサポートします。ASA 構成に 480 を超える値が見つかった場合、管理センターでサポートされている最大値の 480 に設定されます。

• 接続プロファイルへの IPv4 プールと DHCP useSecondaryUsernameforSession の設定の構成は、API の問題によりサポートされていません。

• バイパスアクセス制御 sysopt permit-vpn オプションは、RA VPN ポリシーで有効になっていません。ただし、必要に応じて、管理センターから有効にすることができます。

• AnyConnect クライアントモジュールとプロファイルの値は、プロファイルが Cisco Secure Firewall 移行ツールから管理センターにアップロードされた場合にのみ、グループポリシーに従って更新できます。

• 証明書を管理センターに直接マッピングする必要があります。

• IKEv2 パラメータは、デフォルトでは移行されません。それらのパラメータは管理センターを使用して追加する必要があります。

ASA 移行の注意事項

ACL ログオプションの移行は、脅威に対する防御 のベストプラクティスに従います。ルールのログオプションは、送信元 ASA 構成に基づいて有効または無効になります。アクションが deny のルールの場合、Cisco Secure Firewall 移行ツールは接続の開始時にロギングを構成します。アクションが permit の場合、Cisco Secure Firewall 移行ツールは接続の終了時にロギングを構成します。

オブジェクト移行の注意事項

ASA と Threat Defense では、オブジェクトに関する構成上の注意事項が異なります。たとえば、ASA では、複数のオブジェクトに大文字か小文字かが異なるだけの同じ名前を付けることができますが、Threat Defense では、大文字か小文字かに関係なく、各オブジェクトに一意の名前を付ける必要があります。このような違いに対応するために、Cisco Secure Firewall 移行ツールでは、ASA のオブジェクトをすべて分析し、次のいずれかの方法でその移行を処理します。

• 各 ASA オブジェクトに一意の名前と構成がある場合：Cisco Secure Firewall 移行ツールはオブジェクトを変更せずに正常に移行します。

• ASA オブジェクトの名前に、Management Center でサポートされていない特殊文字が 1 つ以上含まれている場合：Cisco Secure Firewall 移行ツールは、管理センターのオブジェクト命名基準を満たすために、そのオブジェクト名の特殊文字を「_」文字に変更します。

• ASA オブジェクトの名前と構成が Management Center の既存オブジェクトと同じ場合：Cisco Secure Firewall 移行ツールは Secure Firewall Threat Defense 構成に Secure Firewall Management Center オブジェクトを再利用し、ASA オブジェクトを移行しません。

• ASA オブジェクトと Secure Firewall Management Center の既存オブジェクトの名前は同じだが構成は異なる場合：Cisco Secure Firewall 移行ツールはオブジェクトの競合を報告します。これにより、ユーザーは、ASA オブジェクトの名前に一意のサフィックスを追加して競合を解決することで、移行を実行できます。

• 複数の ASA オブジェクトに、大文字か小文字かが異なるだけの同じ名前が付けられている場合：Cisco Secure Firewall 移行ツールは、Secure Firewall Threat Defense のオブジェクト命名基準を満たすように、そのようなオブジェクトの名前を変更します。

重要	Cisco Secure Firewall 移行ツールは、すべてのオブジェクトとオブジェクトグループの名前と構成の両方を分析します。ただし、リモートアクセス VPN 構成の XML プロファイルは、名前のみを使用して分析されます。

（注）	Cisco Secure Firewall 移行ツールは、接続先の Firewall Management Center が 7.1 以降の場合は、不連続ネットワークマスク（ワイルドカードマスク）オブジェクトの移行をサポートします。

ASA example: 
object network wildcard2
subnet 2.0.0.2 255.0.0.255

ASA WebVPN から ZTA への移行に関する注意事項と制約事項

ASA WebVPN から ZTA への移行を試みる前に、次の点をよくお読みください。

• ターゲットの管理センターと Threat Defense デバイスは、バージョン 7.4 以降を実行している必要があります。

• ターゲットの Threat Defense デバイスは、検出エンジンとして Snort3 を使用している必要があります。

• 移行前に、ASA トラストポイント証明書（IdP および事前認証）をターゲット管理センターに手動でアップロードする必要があります。

• 移行前に、アプリケーション SSL 証明書とその秘密キーをターゲット管理センターにアップロードする必要があります。

• ローカル、RADIUS、および LDAP の認証方式はサポートされていません。

• Threat Defense デバイスに割り当てることができる ZTA ポリシーは 1 つだけです。

Threat Defense デバイスに関する注意事項と制約事項

ASA 構成を 脅威に対する防御 に移行する計画を立てている場合は、次の注意事項と制限事項を考慮してください。

• ルート、インターフェイスなど、脅威に対する防御 に既存のデバイス固有の構成がある場合、プッシュ移行中に Cisco Secure Firewall 移行ツールは自動的にデバイスを消去し、ASA 構成から上書きします。

  （注）	デバイス（ターゲット 脅威に対する防御）構成データの望ましくない損失を防ぐために、移行前にデバイスを手動で消去することを推奨します。

  移行中に、Cisco Secure Firewall 移行ツールはインターフェイス構成をリセットします。これらのインターフェイスをポリシーで使用すると、Cisco Secure Firewall 移行ツールはそれらをリセットできず、移行は失敗します。

• Cisco Secure Firewall 移行ツールは、ASA 構成に基づいて 脅威に対する防御 デバイスのネイティブインスタンスにサブインターフェイスを作成できます。移行を開始する前に、ターゲット 脅威に対する防御 デバイスでインターフェイスとポート チャネル インターフェイスを手動で作成します。たとえば、ASA 構成に次のインターフェイスとポートチャネルが割り当てられている場合は、移行前にそれらをターゲット 脅威に対する防御 デバイス上に作成する必要があります。

  • 5 つの物理インターフェイス

  • 5 つのポートチャネル

  • 2 つの管理専用インターフェイス

  （注）	脅威に対する防御 デバイスのコンテナインスタンスの場合、サブインターフェイスは、Cisco Secure Firewall 移行ツールでは作成されません。インターフェイスマッピングのみが許可されます。

• Cisco Secure Firewall 移行ツールは、ASA 構成に基づいて 脅威に対する防御 デバイスのネイティブインスタンスに、サブインターフェイスとブリッジグループ仮想インターフェイス（トランスペアレントモード）を作成できます。移行を開始する前に、ターゲット 脅威に対する防御 デバイスでインターフェイスとポート チャネル インターフェイスを手動で作成します。たとえば、ASA 構成に次のインターフェイスとポートチャネルが割り当てられている場合は、移行前にそれらをターゲット 脅威に対する防御 デバイス上に作成する必要があります。

  • 5 つの物理インターフェイス

  • 5 つのポートチャネル

  • 2 つの管理専用インターフェイス

  （注）	脅威に対する防御 デバイスのコンテナインスタンスの場合、サブインターフェイスは、Cisco Secure Firewall 移行ツールでは作成されません。インターフェイスマッピングのみが許可されます。

Management Center

管理センターは強力な Web ベースのマルチデバイスマネージャです。独自のサーバーハードウェア上で、またはハイパーバイザ上の仮想デバイスとして稼働します。移行のためのターゲット管理センターとして、オンプレミス管理センターと仮想管理センターの両方を使用できます。

管理センターは、移行に関する次のガイドラインを満たす必要があります。

• 移行でサポートされる Management Center ソフトウェアバージョン（移行でサポートされるソフトウェアのバージョンを参照）。

• ASA インターフェイスから移行する予定のすべての機能を含む 脅威に対する防御 用のスマートライセンスを取得済みおよびインストール済みであること。次を参照してください。

  • Cisco.com の「Cisco Smart Accounts」の「Getting Started」セクション。

  • Register the Firepower Management Center with the Cisco Smart Software Manager [英語]

  • Licensing the Firewall System [英語]

  • REST API の Management Center が有効になっています。

    Management Center Web インターフェイスで、[システム（System）] > [設定（Configuration）] > [Rest API設定（Rest API Preferences）] > [Rest APIを有効にする（Enable Rest API）]に移動し、[Rest APIを有効にする（Enable Rest API）] チェックボックスをオンにします。

    重要	REST API を有効にするには、 Management Center の管理者ユーザーロールが必要です。管理センターのユーザーロールの詳細については、「ユーザーロール」を参照してください。

クラウド提供型 Firewall Management Center

クラウド提供型 Firewall Management Center は、Threat Defense デバイスの管理プラットフォームであり、Cisco Defense Orchestrator を介して提供されます。クラウド提供型 Firewall Management Center は、管理センターと同じ機能を多数提供します。

CDO からクラウド提供型 Firewall Management Center にアクセスできます。CDO は、Secure Device Connector（SDC）を介してクラウド提供型 Firewall Management Center に接続します。クラウド提供型 Firewall Management Center の詳細については、「クラウド提供型 Firewall Management Center による Cisco Secure Firewall Threat Defense デバイスの管理」を参照してください。

Cisco Secure Firewall 移行ツールは、移行先の管理センターとしてクラウド提供型 Firewall Management Center をサポートしています。クラウド提供型 Firewall Management Center を移行先の管理センターとして選択するには、CDO リージョンを追加し、CDO ポータルから API トークンを生成する必要があります。