Cisco ASA から Firepower Threat Defense へのバージョン 6.2 移行ガイド
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年12月8日
章のタイトル: ASA 設定を FirePOWER Threat Defense設定に移行する
ASA 設定を FirePOWER Threat Defense設定に移行する
- 移行のための ASA の準備
- 移行ツールのインストール
- ASA 設定ファイルの保存
- ASA 設定ファイルの変換
- 変換済み ASA 設定のインポート
- FirePOWER Threat Defenseのインストール
- 移行済みポリシーの設定
移行のための ASA の準備
| ステップ 1 | ASA デバイスが設定の移行に関する要件を満たしていることを確認します(ASA デバイスの要件を参照)。 |
| ステップ 2 | エクスポートするアクセス コントロール リスト(ACL)と NAT ポリシーを確認します。 |
| ステップ 3 | ACL 内にあるエントリの数を確認します。
show access-list acl_name | i elements |
| ステップ 4 | 設定に 2000000 を超える要素が含まれている場合は、できるだけ多くの不要な要素をプルーニングします。 |
移行ツールのインストール
 注意 | 実稼働 Firepower Management Centerに移行ツールをインストールしないでください。このツールの使用は、実稼働デバイスではサポートされません。移行ツールのインストール後は、指定した Firepower Management Centerを再イメージ化することによってのみ、ツールをアンインストールできます。 |
ASA 設定ファイルの保存
移行ツールは、ASA 設定ファイルを .cfg または .txt 形式で変換できます。
| ステップ 1 | 設定を保存します。
この設定を保存するために使用するコマンドは、ASA デバイスのバージョンによって異なる場合があります。詳細については、http://www.cisco.com/c/en/us/td/docs/security/asa/roadmap/asaroadmap.html#pgfId-126642の ASA ドキュメンテーション ロードマップにリストされている、適切なバージョンの ASA 構成ガイドを参照してください。 |
| ステップ 2 | 保存した設定ファイルを移行ツールからアクセスできる場所(たとえば、ローカル コンピュータやネットワーク上の共有ドライブ)に移動します。 |
ASA 設定ファイルの変換
ASA 設定ファイル(.cfg または .txt)を Firepower 設定ファイル(.sfo)に変換するには、次の手順を実行します。
注意 | 移行ツール UI は、Firepower Management CenterUI を拡張したものです。ただし、この手順に記載されている機能のみを実行できます。 |
| ステップ 1 | 移行ツールで、を選択します。 |
| ステップ 2 | [パッケージのアップロード(Upload Package)]をクリックします。 |
| ステップ 3 | [参照(Browse)]をクリックし、ASA からエクスポートした設定ファイルを選択します。 |
| ステップ 4 | [次へ(Next)]をクリックします。 |
| ステップ 5 | アクセス ルールを変換するときにシステムに使用させるポリシーを選択します。
|
| ステップ 6 | [プレフィルタ ポリシー(Prefilter Policy)]を選択した場合は、許可アクションを使用してシステムがアクセス ルールに割り当てるアクションを選択します。
|
| ステップ 7 | [アクセス コントロール ポリシー(Access Control Policy)]を選択した場合は、許可アクションを使用してシステムにルールを割り当てさせるアクションを選択します。
|
| ステップ 8 | システムがサポートされていないルールを処理する方法を指定します。
|
| ステップ 9 | ロギングの有効時にアクセス ルールを変換する際に、システムが割り当てる必要があるアクションを選択します。
|
| ステップ 10 | [次へ(Next)]を選択します。 システムは、移行をタスクとしてキューに登録します。メッセージ センターでタスクのステータスを表示できます。 |
| ステップ 11 | [システム ステータス(System Status)] アイコンをクリックして、メッセージ センターを表示します。 |
| ステップ 12 | [タスク(Tasks)]タブをクリックします。
中間 Firepower Management Centerで実行できるのは移行ツールのタスクのみなので、移行タスクはトップ メッセージとしてリストされます。 |
| ステップ 13 | 移行が失敗した場合は、適切なログでエラー メッセージを確認してください。詳細については、変換失敗のトラブルシューティングを参照してください。 |
| ステップ 14 | 移行が成功した場合:
|
| ステップ 15 | 移行レポートを確認します。
移行レポートには、移行ツールがFirePOWER Threat Defense設定に正常に変換できた、または変換できなかった ASA 設定の概要が示されています。変換に失敗した設定には次のものがあります。
Firepower 同等要素がある変換に失敗した設定の場合は、変換されたポリシーを実稼働 Firepower Management Center にインポートした後に、手動で追加できます。 |
変換失敗のトラブルシューティング
変換が専用の Firepower Management Centerで失敗すると、移行ツールは、トラブルシューティング ファイルにエラー データを記録します。このデータはローカル コンピュータにダウンロードできます。
| ステップ 1 | を選択します。 |
| ステップ 2 | アプライアンス リストの [アプライアンス(Appliance)]列で、専用の Firepower Management Center の名前をクリックします。 |
| ステップ 3 | [トラブルシューティング ファイルの生成(Generate Troubleshooting Files)]をクリックします。 |
| ステップ 4 | [すべてのデータ(All Data)]チェックボックスをオンにします。 |
| ステップ 5 | [生成(Generate)]をクリックします。 システムは、トラブルシューティング ファイルの生成をタスクとしてキューに登録します。 |
| ステップ 6 | タスクの進捗をメッセージ センターで表示して追跡します。 |
| ステップ 7 | システムがトラブルシューティング ファイルを生成し、タスク ステータスが [完了(Completed)]に変ったら、[クリックして生成されたファイルを取得(Click to retrieve generated files)] をクリックします。 |
| ステップ 8 | TAC の指示に従って、トラブルシューティング ファイルをシスコに送信します。 |
変換済み ASA 設定のインポート
Firepower Management Centerのマルチドメイン展開では、システムは、変換された ASA 設定を、それをインポートするドメインに割り当てます。インポート時に、変換されたオブジェクトの [ドメイン(Domain)]フィールドに値が読み込まれます。
| ステップ 1 | 実稼働 Firepower Management Center で、 を選択します。 | ||||||||||||||||
| ステップ 2 | [パッケージのアップロード(Upload Package)]をクリックします。 | ||||||||||||||||
| ステップ 3 | [ファイルの選択(Choose File)]をクリックし、参照を使用してローカル コンピュータ上の適切な .sfo ファイルを選択します。 | ||||||||||||||||
| ステップ 4 | [アップロード(Upload)]をクリックします。 | ||||||||||||||||
| ステップ 5 | インポートするポリシーを選択します。ポリシーには、以前の移行の選択内容に応じて、アクセス コントロール ポリシー、プレフィルタ ポリシー、または NAT ポリシーが含まれている場合があります。 | ||||||||||||||||
| ステップ 6 | [インポート(Import)]をクリックします。 システムによってファイルが分析され、[インポートの競合(Import Conflict)] ページが表示されます。 | ||||||||||||||||
| ステップ 7 | [インポートの競合(Import Conflict)] ページで:
| ||||||||||||||||
| ステップ 8 | [インポート(Import)]をクリックします。 インポートが完了すると、メッセージ センターに移動させるメッセージが表示されます。 | ||||||||||||||||
| ステップ 9 | [システム ステータス(System Status)] アイコンをクリックして、メッセージ センターを表示します。 | ||||||||||||||||
| ステップ 10 | [タスク(Tasks)]タブをクリックします。 | ||||||||||||||||
| ステップ 11 | インポート タスクのリンクをクリックして、インポート レポートをダウンロードします。 |
FirePOWER Threat Defenseのインストール
|
移行済みポリシーの設定
この手順では、移行されたポリシーをFirepower Management Centerに設定するための手順の概要について説明します。各手順の詳細については、Firepower Management Center Configuration Guideで関連する手順を参照してください。
| ステップ 1 | FirePOWER Threat Defenseデバイスのインターフェイスを、変換プロセス中に作成されたセキュリティ ゾーンまたはインターフェイス グループに割り当てます。
| ||||||||||||
| ステップ 2 | ASA アクセス ルールをアクセス コントロール ポリシーに移行した場合:
| ||||||||||||
| ステップ 3 | ASA アクセス ルールをプレフィルタ ポリシーに移行した場合:
| ||||||||||||
| ステップ 4 | NAT ポリシーを移行した場合:
| ||||||||||||
| ステップ 5 | 必要に応じて、Application Visibility and Control、侵入からの保護、URL フィルタリング、および高度なマルウェア防御(AMP)を含む、次世代ファイアウォール機能を設定します。 | ||||||||||||
| ステップ 6 | 設定変更を展開します。設定変更の展開を参照してください。 |
設定変更の展開
移行した設定を展開するには、次の手順を使用します。展開プロセスの詳細については、『Firepower Management Center Configuration Guide』の「Deploying Configuration Changes」を参照してください。
| ステップ 1 | Firepower Management Centerメニュー バーで、[展開(Deploy)] をクリックします。
[ポリシーの展開(Deploy Policies)] ダイアログに、設定の期限が切れているデバイスがリストされます。ダイアログの上部の [バージョン(Version)]は、最後に設定変更を行った時期を示します。デバイス テーブルの [現在のバージョン(Current Version)]列は、変更を各デバイスに最後に展開した時期を示します。 |
| ステップ 2 | 設定変更を展開するデバイスを特定して選択します。 |
| ステップ 3 | [展開(Deploy)]をクリックします。 |
| ステップ 4 | 変更の展開時にエラーまたは警告が出された場合には、次の選択肢があります。 |
)をクリックします。システムは、期限切れのポリシーをインデックス(
)アイコンでマーキングします。 
フィードバック