Cisco Secure Firewall 迁移工具常见问题解答
Q. |
版本 3.0.1 的 Cisco Secure Firewall 迁移工具支持哪些新功能? |
A. |
Cisco Secure Firewall 迁移工具 3.0.1 现在仅支持将 Cisco Secure Firewall 3100 系列作为从 Check Point 迁移的目标设备。 |
Q. |
版本 3.0 的 Cisco Secure Firewall 迁移工具支持哪些新功能? |
A. |
迁移到云交付的防火墙管理中心 |
Q. |
版本 2.5.2 的 Cisco Secure Firewall 迁移工具支持哪些新功能? |
A. |
Check Point 的 ACL 优化。 |
Q. |
从 Check Point 转换到威胁防御有哪些硬件限制? |
A. |
如果配置文件与 Check Point Web 可视化工具以及 FMT-CP-Config-Extractor_v4.0.1-8248 工具兼容,则您应该能够迁移源 Check Point。 |
Q. |
是否可以使用从 Check Point r76SP 导出的配置并将其迁移到 4100 和 6100 Firepower 平台? |
A. |
是。所有平台均支持 r75 至 r77.30。 只要提供了 Check Point Web 可视化工具,就能支持该平台。 |
Q. |
如何处理 Check Point 规则中的否定对象? |
A. |
如果对象属于排除类型对象/组,则 ACL 转换遵循 permit 和 block 组合。尽管不支持排除类型的网络对象/组,但 ACL 支持该转换。例如,在 Check Point ACE 规则引用了排除类型的对象组时。
|
Q. |
Cisco Secure Firewall 迁移工具是否支持带否定单元的 ACE?如果不支持,Cisco Secure Firewall 迁移工具会如何处理这些规则? |
A. |
Cisco Secure Firewall 迁移工具不支持具有否定单元的 ACE,它们通过将 ACE 视为普通 ACE 来进行转换。这些问题将在后续版本中加以解决。 |
Q. |
您看到“未能绑定到数据库。访问被拒绝”错误。您该怎么做? |
A. |
请执行以下操作:
|
Q. |
在通过 Cisco Secure Firewall 迁移工具解析 Check Point 配置时,您会看到解析计数为 0。您该怎么做? |
A. |
执行以下任一步骤:
使用 FMT-CP-Config-Extractor_v4.0.1-8248 工具解压缩 network.txt 文件,并要避免使用手动编码的 network.txt 文件。 或 有可能出于任何原因而在 Check Point 安全网关上启用日志记录,从那里输出的 network.txt 文件会被导出。由于启用了日志记录,在 network.txt 文件中添加的无关信息会导致此类问题。如果是这样,请执行以下操作:
|
Q. |
是否可以使用 VSX 从 Check Point 迁移配置? |
A. |
您可以导出与虚拟系统相关的特定策略包,一次只能从一个虚拟系统导出。例如,当您使用 Web 可视化工具 (r75–r77.30) 导出配置时,它就会导出所有虚拟系统的策略元素。因此,请仅保留要迁移的虚拟系统的 NAT 和策略文件,以及 index.xml、community.xml、network_objects.xml 和 network.txt(从要迁移的策略的安全网关),以便让配置保持完整。 对于 r80,当您通过 Live Connect 连接到 Check Point 安全管理器时,选择特定虚拟系统的策略包,这就是在您选择 Check Point 策略包并推导出配置时要在第 5 步中迁移的策略包。 当您还连接到 Check Point 安全网关时,请提供与 Check Point 策略包对应的正确 Check Point 虚拟系统 Check Point 防火墙包的正确详细信息。 如果仍然遇到问题,请联系思科 TAC 为这些故障创建 TAC 案例。 |
Q. |
您能否手动提取 Check Point (r80) 配置? |
A. |
不能。无法手动提取 Check Point (r80) 配置。使用 Cisco Secure Firewall 迁移工具上的 Live Connect 可导出完整的 r80 配置。当您使用手动变通方法提取配置或使用未在 Cisco Secure Firewall 迁移工具中配置的 Check Point (r80) 配置时,该配置是不完整的,并且也会作为不受支持的配置进行迁移、被部分迁移,甚至导致迁移失败。 有关详细信息,请参阅导出 Check Point r80 配置文件。 |
Q. |
为不同的 Check Point (r80) 部署类型预先配置凭证的方式有哪些? |
A. |
迁移前,您可以通过以下任何一种方式在 Check Point (r80) 设备上配置凭证: |
Q. |
我在 Check Point r80 上为 Check Point 安全管理器使用了自定义 API 端口。我必须怎样做才能完全提取配置? |
A. |
如果您在 Check Point 智能管理器上使用客户 API 端口来使用 Check Point API,请执行以下步骤:
|
Q. |
我有一个 r80.40 版本的 Check Point 网关,并且通过 Live Connect 能够正常提取。但在解析时,我收到了错误消息:“Blocked VSX Feature is UNSUPPORTED in FTD”。我必须怎样做? |
A. |
之所以出现该错误是因为从 Check Point r80.40 开始弃用了 fw vsx stat 命令。在解析 network.txt 文件时,Cisco Secure Firewall 迁移工具在执行 fw vsx stat 命令后将无法对值进行解析。 解决方法是执行以下步骤:
|