配置用於ASA遷移的安全防火牆遷移工具

簡介

本檔案介紹將思科調適型安全裝置(ASA)遷移至思科Firepower的過程。

作者：Ricardo Vera，思科TAC工程師。

必要條件

需求

思科建議您瞭解思科防火牆威脅防禦(FTD)和自適應安全裝置(ASA)。

採用元件

本文中的資訊係根據以下軟體和硬體版本：

• 具備Firepower遷移工具(FMT)v3.0.1的Windows PC
• 自適應安全裝置(ASA)v9.16.1
• 安全防火牆管理中心(FMCv)v7.0.1
• 安全防火牆威脅防御虛擬(FTDv)v7.0.1

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

背景資訊

本文檔的具體要求包括：

• Cisco Adaptive Security Appliance(ASA)版本8.4或更高版本
• 安全防火牆管理中心(FMCv)版本6.2.3或更高版本

防火牆遷移工具支援以下裝置清單：

• Cisco ASA(8.4+)
• 具備FPS的Cisco ASA(9.2.2+)
• 檢查點(r75-r77)
• 檢查點(r80)
• Fortinet(5.0+)
• Palo Alto Networks(6.1+)

繼續進行遷移之前，請考慮防火牆遷移工具的准則和限制。

設定

網路圖表

配置步驟

1. 從思科軟體中心下載最新的Firepower遷移工具：

2. 按一下您以前下載到電腦的檔案。

附註：該程式會自動開啟，控制檯會在您運行檔案的目錄上自動生成內容。

3. 運行該程式後，它會開啟一個顯示「終端使用者許可協定」的Web瀏覽器。
   1. 選中此覈取方塊接受條款和條件。
   2. 按一下Proceed（繼續）。

4. 登入到遷移工具。
   1. 您可以使用CCO帳戶或本地預設帳戶登入。
      1.       本地預設帳戶憑據為： admin/Admin123

5. 選擇要遷移的源防火牆。
   1. 在本示例中，使用Cisco ASA(8.4+)作為源。

6. 選擇用於獲取配置的提取方法。
   1. 手動上傳需要您上傳 Running Config ASA檔案，格式為「.cfg」或「.txt」。
   2. 連線到ASA以直接從防火牆提取配置。

附註：在本示例中，直接連線到ASA。

7. 在防火牆上找到的配置摘要顯示為儀表板，請按一下下一步。

8. 選擇要用於遷移的目標FMC。
   1. 提供FMC的IP。
      1.       它會開啟一個彈出視窗，提示您輸入FMC的登入憑證。

9. （可選）選擇要使用的目標FTD。
   1. 如果您選擇移轉到FTD，請選擇要使用的FTD。
   2. 如果您不想使用FTD，可以填寫此覈取方塊 Proceed without FTD

10. 選擇要遷移的配置，螢幕截圖上顯示選項。

11. 開始將配置從ASA轉換為FTD。

12. 轉換完成後，它會顯示一個儀表板，其中包含要遷移的對象（僅限於相容性）的摘要。
    1. 您也可以按一下 Download Report 接收要遷移的配置摘要。

遷移前報告示例，如下圖所示：

13. 在遷移工具上將ASA介面與FTD介面對映。

14. 為FTD上的介面建立安全區和介面組

安全區域(SZ)和介面組(IG)由工具自動建立，如下圖所示：

15. 檢視並驗證要在遷移工具上遷移的配置。
    
    1. 如果您已完成配置的複查和最佳化，請按一下 Validate.

16. 如果驗證狀態成功，將配置推送到目標裝置。

通過遷移工具推送的配置示例，如下圖所示：

成功遷移的示例，如下圖所示：

17. (可選)如果選擇將組態移轉到FTD，則需要部署將可用組態從FMC推送到防火牆，才能部署組態：
    1. 登入到FMC GUI。
    2. 導航至 Deploy 頁籤。
    3. 選擇要將配置推送到防火牆的部署。
    4. 按一下 Deploy.

疑難排解

本節提供的資訊可用於對組態進行疑難排解。

驗證放置Firepower遷移工具檔案的目錄中的日誌，例如：

Firepower_Migration_Tool_v3.0.1-7373.exe/logs/log_2022-08-18-21-24-46.log