Cisco ASA から Firepower Threat Defense バージョン 6.2.2 への移行ガイド

偏向のない言語

この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください

翻訳について

このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。

マニュアルのコンテンツ
このマニュアル内で検索
ご利用いただける言語
Download Options

Book Title

Cisco ASA から Firepower Threat Defense バージョン 6.2.2 への移行ガイド

Chapter Title

変換マッピング

検索結果

Updated:
2018年9月3日

章のタイトル: 変換マッピング

変換マッピング

以下のトピックでは、移行ツールが ASA 設定を Firepower Threat Defense 設定に変換する仕組みについて説明します。

変換マッピングの概要

移行ツールは、次のように ASA 設定を Firepower Threat Defense 設定に変換します。

表 1. 変換マッピングの概要

エンティティ(Entity)

ASA の設定

Firepower Threat Defense の設定

ネットワーク オブジェクト

ネットワーク オブジェクト

ネットワーク オブジェクト グループ

ネストされたネットワーク オブジェクト グループ

ネットワーク オブジェクト

ネットワーク オブジェクト グループ

ネストされたネットワーク オブジェクト グループ

サービス オブジェクト

サービス オブジェクト

サービス オブジェクト グループ

ネストされたサービス オブジェクト グループ

複数のポート オブジェクト

複数のポート オブジェクト グループ

複数またはフラット化されたポート オブジェクト グループ

詳細については、次を参照してください。 サービス オブジェクトおよびサービス グループの変換

アクセス ルール

アクセス ルール

アクセス コントロール ポリシーまたはプレフィルタ ポリシー(選択されているとおり)

NAT ルール

Twice NAT ルール

ネットワーク オブジェクト NAT ルール

手動 NAT ルール

自動 NAT ルール

変換された設定の命名規則

移行ツールは、ASA アクセス ルール、NAT ルール、および関連オブジェクトを Firepower Threat Defense 相当に変換する際に、以下に記載する命名規則を使用します。

オブジェクト名およびオブジェクト グループ名

オブジェクトおよびオブジェクト グループを変換する際、移行ツールは ASA 設定ファイルからのオブジェクトおよびグループの名前を保持します。

次に例を示します。

object network obj1
 host 1.2.3.4
object network obj2
 range 1.2.3.7 1.2.3.10
 subnet 10.83.0.0 255.255.0.0
object-group network obj_group1
 network-object object obj1
 network-object object obj2

ツールは、この設定を obj1 および obj2 という名前のネットワーク オブジェクトと、obj_group1 という名前のネットワーク オブジェクト グループに変換します。

サービス オブジェクトとサービス グループをポート オブジェクトとポート オブジェクト グループに変換する際、ツールでは特定の場合において、次の拡張子を元のオブジェクト名またはグループ名に追加できます。

表 2. 変換されたサービス オブジェクトおよびグループの拡張子

内線番号

追加する理由

_dst

送信元ポートおよび宛先ポートを含むサービス オブジェクトを 2 つのポート オブジェクトに分割します。システムは、変換された宛先ポート データを保存するために使用されるサービス オブジェクトにこの拡張子を追加します。詳細については、送信元ポートと宛先ポートを含むサービス オブジェクトを参照してください。

_src

送信元ポートおよび宛先ポートを含むサービス オブジェクトを 2 つのポート オブジェクトに分割します。システムは、変換された送信元ポート データを保存するために使用されるサービス オブジェクトにこの拡張子を追加します。詳細については、を参照してください。

_#

ネストされたサービス グループを変換します(ネストされたサービス グループの変換 を参照)。

ポリシー名

ASA 設定ファイルには、ASA のホスト名を指定する hostname パラメータが含まれています。移行ツールは、この値を使用して、ファイルを変換するときに作成するポリシーに名前を付けます。

  • アクセス コントロール ポリシー:hostname-AccessPolicy-conversion_date

  • プレフィルタ ポリシー:hostname-PrefilterPolicy-conversion_date

  • NAT ポリシー:hostname-NATPolicy-conversion_date

ルール名

変換されたアクセス コントロール ルール、プレフィルタ ルール、および NAT ルールに対し、システムは次の形式を使用して新しい各ルールに名前を付けます。

ACL_name-#rule_index

引数の説明

  • ACL_name:ルールが属していた ACL の名前。

  • rule_index:ルールが ACL 内の他のルールと比較して変換された順序を指定するシステムによって生成された整数。

次に例を示します。

acl1#1

システムがサービス オブジェクトの変換中に複数のルールに単一のアクセス ルールを展開する必要がある場合、システムは次の拡張子を追加します。

ACL_name#rule_index_sub_index

ここで、追加された # は、拡張された順序における新しいルールの位置を表します。

次に例を示します。

acl1#1_1

acl1#1_2

ルール名が 30 文字より長いとシステムが判断した場合、システムは ACL 名を短縮し、圧縮された名前をチルダ(~)を使用して終了します。

ACL Name~#rule index

たとえば、元の ACL 名が accesslist_for_outbound_traffic の場合、システムは ACL 名を次のように切り捨てます。

accesslist_for_outbound_tr~#1

セキュリティ ゾーン名およびインターフェイス グループ名

移行ツールは、ASA 設定ファイルの access-group コマンドを変換する際に、セキュリティ ゾーンまたはインターフェイス グループ(変換時の選択内容による)を作成することで、コマンド内のイングレスとイーグレスの情報をキャプチャします。ツールは、次の形式を使用して、これらの新しいセキュリティ ゾーンまたはインターフェイス グループに名前を付けます。

ACL_name_interface_name_direction_keyword_zone

引数の説明

  • ACL_nameaccess-group コマンドからの ACL の名前。

  • interface_nameaccess-group コマンドからのインターフェイスの名前。

  • direction_keywordaccess-group コマンドからの方向キーワード(in または out)。

次に例を示します。

access-list acp1 permit tcp any host 209.165.201.3 eq 80
access-group acp1 in interface outside

ツールは、この設定を acp1_outside_in_zone という名前のセキュリティ ゾーンまたはインターフェイス グループに変換します。

Firepower オブジェクトおよびオブジェクト グループに固有のフィールド

Firepower ネットワークおよびポート オブジェクトとポート グループには、ASA オブジェクトおよびグループには存在しないいくつかのフィールドがあります。移行ツールによって、変換されたネットワークおよびポート オブジェクトとポート グループのこれらの Firepower 固有フィールドには次のデフォルト値が読み込まれます。

表 3. Firepower オブジェクトとグループに固有のフィールドに対するデフォルト値

Firepower オブジェクトおよびグループのフィールド

変換済み ASA オブジェクトおよびグループに対するデフォルト値

ドメイン(Domain)

なし

オーバーライド(Override)

いいえ(False)

これらのデフォルト値の詳細については、表記法 を参照してください。

アクセス ルールの変換

移行ツールは、移行時にユーザが選択した内容に応じて、ASA アクセス ルールをアクセス コントロール ルールまたはプレフィルタ ルールに変換できます。

アクセス コントロール ルールへのアクセス ルールの変換

ASA アクセス ルールを Firepower Threat Defense アクセス コントロール ルールに変換するように選択した場合:

  • システムは、変換されたルールを、アクセス コントロール ポリシーの [デフォルト(Default)] ルール セクションに追加します。

  • システムは、[説明(Description)] フィールドの内容を、ルールの [コメント履歴(Comment History)] にエントリとして保持します。

  • システムは、変換されたルールを識別するエントリを [コメント履歴(Comment History)] に追加します。

  • システムは、アクセス コントロール ルールの [アクション(Action)] を次のように設定します。

    アクセス ルールのアクション

    アクセス コントロール ルールのアクション

    許可(Permit)

    移行時の選択内容に応じて、[許可(Allow)] または [信頼する(Trust)]

    拒否(Deny)

    ブロック

  • システムは、アクセス コントロール ルールの [送信元ゾーン(Source Zones)] および [宛先ゾーン(Destination Zones)] を次のように設定します。

    ACL タイプ(ACL Type)

    送信元ゾーン(Source Zones)

    宛先ゾーン(Destination Zones)

    グローバル(任意のインターフェイスに適用されます)

    任意(Any)

    任意(Any)

    特定のインターフェイスに適用されます

    インポート時に選択したセキュリティ ゾーン

    任意(Any)

  • アクセス ルールが非アクティブの場合、ツールはそのルールを無効なアクセス コントロール ルールに変換します。

移行ツールは、次のデフォルトのパラメータを使用して、変換されたルールをアクセス コントロール ポリシーに割り当てます。

  • システムは、新しいアクセス コントロール ポリシーのデフォルト アクションを [すべてのトラフィックをブロック(Block All Traffic)] に設定します。

  • システムは、アクセス コントロール ポリシーをデフォルトのプレフィルタ ポリシーに関連付けます。

アクセス コントロール ルール フィールドにマッピングされるアクセス ルール フィールド

移行ツールは、次の表で説明するように、ASA アクセス ルールのフィールドを Firepower Threat Defense アクセス コントロール ルールのフィールドに変換します。

(注)

  • カラム 1(ASA アクセス ルール フィールド)のフィールド名は、ASDM インターフェイスのフィールド ラベルに対応します。

  • カラム 2(Firepower アクセス コントロール ルール フィールド)のフィールド名は、Firepower Management Center インターフェイスのフィールド ラベルに対応します。

表 4. Firepower アクセス コントロール ルール フィールドにマッピングされる ASA アクセス ルール フィールド

ASA アクセス ルール フィールド

Firepower アクセス コントロール ルール フィールド

インターフェイス(Interface)

対応するフィールドなし

操作

操作

ソース(Source)

送信元ネットワーク

ユーザ(User)

変換しません。[選択されたユーザ(Selected Users)] の条件と同等

セキュリティ グループ(送信元)(Security Group (Source))

変換しません。カスタム SGT の条件と同等

[接続先(Destination)]

宛先ネットワーク

セキュリティ グループ(宛先)(Security Group (Destination))

対応するフィールドなし

サービス

[選択済み宛先ポート(Selected Destination Port)]。事前定義済みのサービス オブジェクトが指定されている場合は変換しません。

説明

コメント

ロギング/ロギング レベルを有効にします。

[接続開始時にロギング(Log at Beginning of Connection)]/[接続終了時にロギング(Log at End of Connection)]。ACE で、デフォルト以外のロギング レベルでロギングが有効になっている場合、接続の開始時と終了時の両方で、変換されたルールの接続ロギングがツールによって有効化されます。ACE で、デフォルト レベルでロギングが有効になっている場合、変換されたルールの接続ロギングがツールによって無効化されます。

ロギング間隔(Logging Interval)

対応するフィールドなし

ルールの有効化(Enable Rule)

[有効(Enabled)]

トラフィックの方向

対応するフィールドなし

送信元サービス(Source Service)

[選択済み送信元ポート(Selected Source Port)]。事前定義済みのサービス オブジェクトが指定されている場合は変換しません。

時間範囲(Time Range)

対応するフィールドなし

(注)  
ACE にログ レベルで指定されたログ オプションがあれば有効化されます。ログ レベルのない ACE は無効であると見なされます。デフォルトのログ レベルに関連付けられている場合、ACE のログ レベルは無効です。

アクセス コントロール ルールに固有のフィールド

Firepower Threat Defense アクセス コントロール ルールには、ASA アクセス ルールには存在しないいくつかのフィールドがあります。移行ツールによって、変換されたアクセス コントロール ルールのこれらの Firepower 固有フィールドには次のデフォルト値が読み込まれます。

表 5. Firepower アクセス コントロール ルールに固有のフィールドに対するデフォルト値

アクセス コントロール ルール フィールド

変換されたアクセス ルールのデフォルト値

[名前(Name)]

システムによって生成されます(変換された設定の命名規則 を参照)

送信元ゾーン(Source Zone)

  • ACL がグローバルに適用される場合は、[いずれか(Any)]

  • ACL が特定のインターフェイスに適用される場合は、ツールが変換時に作成するセキュリティ ゾーン

宛先ゾーン(Destination Zone)

[いずれか(Any)](すべてのアクセス コントロール ルールのデフォルト)

選択された VLAN タグ(Selected VLAN Tags)

デフォルトなし(インポートした後に手動で条件を追加できます)

選択されたアプリケーションとフィルタ(Selected Applications and Filters)

デフォルトなし(インポートした後に手動で条件を追加できます)

選択された URL(Selected URLs)

デフォルトなし(インポートした後に手動で条件を追加できます)

プレフィルタ ルールへのアクセス ルールの変換

ASA アクセス ルールを Firepower Threat Defense プレフィルタ ルールに変換するように選択した場合:

  • システムは、[説明(Description)] フィールドの内容を、ルールの [コメント履歴(Comment History)] にエントリとして保持します。

  • 変換されたルールを識別するエントリを [コメント履歴(Comment History)] に追加します。

  • システムは、プレフィルタ ルールの [アクション(Action)] を次のように設定します。

    アクセス ルールのアクション

    プレフィルタ ルールのアクション

    許可(Permit)

    移行時の選択内容に応じて、[高速パス(Fastpath)] または [分析(Analyze)]

    拒否(Deny)

    ブロック

  • システムは、プレフィルタ ルールの [送信元インターフェイス オブジェクト(Source Interface Objects)] および [宛先インターフェイス オブジェクト(Destination Interface Objects)] を次のように設定します。

    ACL タイプ(ACL Type)

    送信元インターフェイス オブジェクト(Source Interface Objects)

    宛先インターフェイス オブジェクト(Destination Interface Objects)

    グローバル(任意のインターフェイスに適用されます)

    任意(Any)

    任意(Any)

    特定のインターフェイスに適用されます

    インポート時に選択したインターフェイス グループ

    任意(Any)

  • アクセス ルールが非アクティブの場合、ツールはそのルールを無効なプレフィルタ ルールに変換します。

移行ツールは、次のデフォルトのパラメータを使用して、変換されたルールをプレフィルタ ポリシーに割り当てます。

  • システムは、新しいプレフィルタ ポリシーのデフォルト アクションを [すべてのトンネル トラフィックを分析(Analyze All Tunnel Traffic)] に設定します。

  • システムは、プレフィルタ ポリシーと同じ名前のアクセス コントロール ポリシーを作成し、次にプレフィルタ ポリシーをそのアクセス コントロール ポリシーに関連付けます。システムは、新しいアクセス コントロール ポリシーのデフォルト アクションを [すべてのトラフィックをブロック(Block All Traffic)] に設定します。

プレフィルタ ルール フィールドにマッピングされるアクセス ルール フィールド

移行ツールは、次の表で説明するように、ASA アクセス ルールのフィールドを Firepower Threat Defense プレフィルタ ルールのフィールドに変換します。

(注)

  • カラム 1(ASA アクセス ルール フィールド)のフィールド名は、ASDM インターフェイスのフィールド ラベルに対応します。

  • カラム 2(Firepower プレフィルタ ルール フィールド)のフィールド名は、Firepower Management Center インターフェイスのフィールド ラベルに対応します。

表 6. Firepower プレフィルタ ルール フィールドにマッピングされる ASA アクセス ルール フィールド

ASA アクセス ルール フィールド

Firepower プレフィルタ ルール フィールド

インターフェイス(Interface)

対応するフィールドなし

ルールの有効化(Enable Rule)

[有効(Enabled)]

操作

操作

ソース(Source)

送信元ネットワーク

ユーザ(User)

対応するフィールドなし

セキュリティ グループ(送信元)(Security Group (Source))

対応するフィールドなし

[接続先(Destination)]

宛先ネットワーク

セキュリティ グループ(宛先)(Security Group (Destination))

対応するフィールドなし

サービス

選択済み送信元ポート(Selected Source Port)

選択済み宛先ポート(Selected Destination Port)

説明

コメント

ロギング/ロギング レベルを有効にします。

[接続開始時にロギング(Log at Beginning of Connection)]/[接続終了時にロギング(Log at End of Connection)]。ACE で、デフォルト以外のロギング レベルでロギングが有効になっている場合、接続の開始時と終了時の両方で、変換されたルールの接続ロギングがツールによって有効化されます。ACE で、デフォルト レベルでロギングが有効になっている場合、変換されたルールの接続ロギングがツールによって無効化されます。

ロギング間隔(Logging Interval)

対応するフィールドなし

トラフィックの方向

対応するフィールドなし

送信元サービス(Source Service)

[選択済み送信元ポート(Selected Source Port)]。事前定義済みのサービス オブジェクトが指定されている場合は変換しません。

時間範囲(Time Range)

対応するフィールドなし

Firepower プレフィルタ ルールに固有のフィールド

Firepower Threat Defense プレフィルタ ルールには、ASA アクセス ルールには存在しないいくつかのフィールドがあります。移行ツールによって、変換されたプレフィルタ ルールのこれらの Firepower 固有フィールドには次のデフォルト値が読み込まれます。

表 7. Firepower プレフィルタ ルールに固有のフィールドに対するデフォルト値

プレフィルタ ルール フィールド

変換されたアクセス ルールのデフォルト値

[名前(Name)]

システムによって生成されます(変換された設定の命名規則 を参照)

送信元インターフェイス オブジェクト(Source Interface Objects)

  • ACL がグローバルに適用される場合は、[いずれか(Any)]

  • ACL が特定のインターフェイスに適用される場合は、ツールが変換時に作成するインターフェイス グループ

宛先インターフェイス オブジェクト(Destination Interface Objects)

[いずれか(Any)](すべてのプレフィルタ ルールのデフォルト)

選択された VLAN タグ(Selected VLAN Tags)

デフォルトなし(インポートした後に手動で条件を追加できます)

アクセス ルールのポート引数演算子

拡張アクセス ルールには、サービス オブジェクトで使用されるものと同じ演算子を使用する port_argument 要素が含まれている可能性があります。移行ツールは、アクセス ルールに単一のポート引数演算子が含まれているか、または複数のポート引数演算子が含まれているかによって、サービス オブジェクトを変換するときに同じ演算子を変換するのとは若干異なる方法で、アクセス ルール内のこれらの演算子を変換します。

次の表に、使用可能な演算子と、単一演算子の使用例を示します。

表 8. アクセス ルールのポート引数演算子

演算子

説明

lt

次の値より小さい。

 
access-list acp1 extended permit tcp any lt 300

gt

次の値より大きい。

 
access-list acp2 extended permit tcp any gt 300

eq

次の値と等しい。

 
access-list acp3 extended permit tcp any eq 300

neq

次の値と等しくない。

 
access-list acp4 extended permit tcp any neq 300

range

値の包括的な範囲。この演算子を使用する場合は、2 つのポート番号を指定します(例:range 100 200)。

 
access-list acp5 extended permit tcp any range 9000 12000

アクセス ルールに単一のポート引数演算子が含まれている場合、移行ツールは、次のようにアクセス ルールを単一のアクセス コントロール ルールまたはプレフィルタ ルールに変換します。

表 9. アクセス コントロール ルールまたはプレフィルタ ルールに変換される単一のポート引数演算子を含むアクセス ルール

Op

[名前(Name)]

送信元ゾーン

宛先ゾーン

送信元ネットワーク

宛先ネットワーク

送信元ポート

宛先ポート

操作

[有効(Enabled)]

lt

acp1#1

任意(Any)

任意(Any)

任意(Any)

任意(Any)

1 ~ 299

任意(Any)

同等の許可

[はい(True)]

gt

acp2#1

任意(Any)

任意(Any)

任意(Any)

任意(Any)

301 ~ 65535

任意(Any)

同等の許可

[はい(True)]

eq

acp3#1

任意(Any)

任意(Any)

任意(Any)

任意(Any)

300

任意(Any)

同等の許可

[はい(True)]

neq

acp4#1

任意(Any)

任意(Any)

任意(Any)

任意(Any)

1 ~ 299、301 ~ 65535

任意(Any)

同等の許可

[はい(True)]

range

acp5#1

任意(Any)

任意(Any)

任意(Any)

任意(Any)

9000 ~ 2000

任意(Any)

同等の許可

[はい(True)]

この表の [元の演算子(Original Operator)]([Op])列は、わかりやすくするために示されており、アクセス コントロール ルールのフィールドを表すものではありません。

アクセス ルールに複数のポート演算子(たとえば、access-list acp6 extended permit tcp any neq 300 any neq 400)が含まれている場合、移行ツールは、次のように単一のアクセス ルールを複数のアクセス コントロール ルールまたはプレフィルタ ルールに変換します。

表 10. アクセス コントロール ルールに変換される複数のポート引数演算子を含むアクセス ルール

Op

[名前(Name)]

送信元ゾーン

宛先ゾーン

送信元ネットワーク

宛先ネットワーク

送信元ポート

宛先ポート

操作

[有効(Enabled)]

neq

acp6#1_1

任意(Any)

任意(Any)

任意(Any)

任意(Any)

1 ~ 299

1 ~ 399

同等の許可

[はい(True)]

neq

acp6#1_2

任意(Any)

任意(Any)

任意(Any)

任意(Any)

301 ~ 65535

1 ~ 399

同等の許可

[はい(True)]

neq

acp6#1_3

任意(Any)

任意(Any)

任意(Any)

任意(Any)

1 ~ 299

401 ~ 65535

同等の許可

[はい(True)]

neq

acp6#1_4

任意(Any)

任意(Any)

任意(Any)

任意(Any)

301 ~ 65535

401 ~ 65535

同等の許可

[はい(True)]

この表の [元の演算子(Original Operator)]([Op])列は、わかりやすくするために示されており、アクセス コントロール ルールのフィールドを表すものではありません。

複数のプロトコルを指定するアクセス ルール

ASA では、複数のプロトコルを指定するプロトコル サービス オブジェクトを使用するように、アクセス ルールの送信元ポートおよび宛先ポートを設定できます(たとえば、TCP や UDP)。次に例を示します。

object-group protocol TCPUDP
 protocol-object udp
 protocol-object tcp
access-list acp1 extended permit object-group TCPUDP any any

ただし、Firepower システムでは、アクセス コントロール ルールまたはプレフィルタ ルールは次のとおりにのみ設定できます。

  • 送信元ポートおよび宛先ポートの両方が同じプロトコルを指定する必要があります。

  • 宛先ポートは複数のプロトコルを指定できますが、送信元ポートは何も指定できません。

プロトコル オブジェクト グループ tcp および udp を含むアクセス ルールは、サポートされていないルールとして移行されます。そのため、ルールはコメント「tcp および udp の両方を含むオブジェクト グループ プロトコルはサポートされていません(Object Group Protocol containing both tcp and udp is not supported)」とともに無効になります。

NAT ルールの変換

次の表に要約しているように、ASA 向けの NAT および Firepower Threat Defense 向けの NAT は、同等の機能をサポートしています。

表 11. Firepower Threat Defense NAT ポリシーにマッピングされる ASA NAT ポリシー

ASA NAT ポリシー

Firepower Threat Defense NAT ポリシー

特性の定義

Twice NAT

手動 NAT

  • 1 つのルールで送信元と宛先両方のアドレスを指定します。

  • 直接設定されます。

  • ネットワーク オブジェクト グループを使用できます。

  • NAT テーブルで手動で順序付けします(自動 NAT ルールの前または後)。

ネットワーク オブジェクト NAT

自動 NAT

  • 送信元アドレスまたは宛先アドレスを指定します。

  • ネットワーク オブジェクトのパラメータとして設定されます。

  • ネットワーク オブジェクト グループは使用できません。

  • NAT テーブルで自動的に順序付けされます。

移行ツールは、ASA NAT 設定を Firepower Threat Defense NAT 設定に変換します。ただし、ツールは、サポートされていないネットワーク オブジェクトを使用している ASA NAT 設定は変換できません。そのような場合、変換は失敗します。

Firepower Threat Defense ルール フィールドにマッピングされる ASA NAT ルール フィールド

移行ツールは、次の表で説明するように、ASA NAT ルールのフィールドを Firepower Threat Defense NAT ルールのフィールドに変換します。

(注)

  • カラム 1(ASA NAT ルール フィールド)のフィールド名は、ASDM インターフェイスのフィールド ラベルに対応します。

  • カラム 2(Firepower Threat Defense ルール フィールド)のフィールド名は、Firepower Management Center インターフェイスのフィールド ラベルに対応します。

表 12. Firepower Threat Defense NAT ルール フィールドにマッピングされる ASA NAT ルール フィールド

ASA NAT ルール フィールド

Firepower Threat Defense ルール フィールド

[元のパケット(Original Packet)] - [送信元インターフェイス(Source Interface)]

[インターフェイス オブジェクト(Interface Objects)] - [送信元インターフェイス オブジェクト(Source Interface Objects)]

[元のパケット(Original Packet)] - [送信元アドレス(Source Address)]

[元のパケット(Original Packet)] - [元の送信元(Original Source)]

[元のパケット(Original Packet)] - [宛先インターフェイス(Destination Interface)]

[インターフェイス オブジェクト(Interface Objects)] - [宛先インターフェイス オブジェクト(Destination Interface Objects)]

[元のパケット(Original Packet)] - [宛先アドレス(Destination Address)]

[元のパケット(Original Packet)] - [元の宛先(Original Destination)] - [アドレス タイプ(Address Type)]

[元のパケット(Original Packet)] - [元の宛先(Original Destination)] - [ネットワーク(Network)]

[元のパケット(Original Packet)] - [サービス(Service)]

[元のパケット(Original Packet)] - [元の送信元ポート(Original Source Port)]

[元のパケット(Original Packet)] - [元の宛先ポート(Original Destination Port)]

[変換されたパケット(Translated Packet)] - [送信元 NAT タイプ(Source NAT Type)]

タイプ(Type)

[変換されたパケット(Translated Packet)] - [送信元アドレス(Source Address)]

[変換されたパケット(Translated Packet)] - [変換された送信元(Translated Source)] - [アドレス タイプ(Address Type)]

[変換されたパケット(Translated Packet)] - [変換された送信元(Translated Source)] - [ネットワーク(Network)]

[変換されたパケット(Translated Packet)] - [宛先アドレス(Destination Address)]

[変換されたパケット(Translated Packet)] - [変換された宛先(Translated Destination)]

[変換されたパケット(Translated Packet)] - [サービス(Service)]

[変換されたパケット(Translated Packet)] - [変換された送信元ポート(Translated Source Port)]

[変換されたパケット(Translated Packet)] - [変換された宛先ポート(Translated Destination Port)]

1 対 1 アドレス変換を使用(Use one-to-one address translation)

[詳細設定(Advanced)] - [Net 間マッピング(Net to Net Mapping)]

PAT プール変換済みアドレス(PAT Pool Translated Address)

[PAT プール(PAT Pool)] - [PAT] - [アドレス タイプ(Address Type)]

[PAT プール(PAT Pool)] - [PAT] - [ネットワーク(Network)]

ラウンドロビン

[PAT プール(PAT Pool)] - [ラウンド ロビン割り当てを使用(Use Round Robin Allocation)]

インターフェイス単位ではなく宛先単位の拡張 PAT 一意性(Extend PAT uniqueness to per destination instead of per interface)

[PAT プール(PAT Pool)] - [拡張 PAT テーブル(Extended PAT Table)]

TCP および UDP ポートをフラットな範囲 1024 ~ 65535 に変換する(Translate TCP and UDP ports into flat range 1024-65535)

[PAT プール(PAT Pool)] - [フラットなポート範囲(Flat Port Range)]

1 ~ 1023 の範囲を含む(Include range 1-1023)

[PAT プール(PAT Pool)] - [予約ポートを含む(Include Reserve Ports)]

ブロック割り当ての有効化(Enable Block Allocation)

対応なし

送信元インターフェイス PAT に IPv6 を使用する(Use IPv6 for source interface PAT)

対応なし

宛先インターフェイス PAT に IPv6 を使用する(Use IPv6 for destination interface PAT)

[詳細設定(Advanced)] - [IPv6]

ルールの有効化(Enable rule)

有効(Enable)

このルールに一致する DNS 応答を変換(Translate DNS replies that match this rule)

[詳細設定(Advanced)] - [このルールに一致する DNS 応答を変換(Translate DNS replies that match this rule)]

出力インターフェイスでプロキシ ARP を無効にする(Disable Proxy ARP on egress interface)

[詳細設定(Advanced)] - [宛先インターフェイスで ARP をプロキシしない(Do not proxy ARP on Destination Interface)]

ルート テーブルを検索して出力インターフェイスを見つける(Lookup route table to locate egress interface)

対応なし

方向(Direction)

[詳細設定(Advanced)] - [単方向(Unidirectional)]

説明

説明

ネットワーク オブジェクトおよびネットワーク オブジェクト グループの変換

ネットワーク オブジェクトおよびネットワーク オブジェクト グループは、IP アドレスまたはホスト名を識別します。ASA と Firepower Threat Defense の両方で、これらのオブジェクトおよびグループをアクセス ルールと NAT ルールの両方に使用できます。

ASA では、1 つのネットワーク オブジェクトには、1 つのホスト、ネットワーク IP アドレス、IP アドレスの範囲、または完全修飾ドメイン名(FQDN)を入れることができます。Firepower システムでは、ネットワーク オブジェクトは、FQDN を除くこれらの同じ値をサポートしています。

オブジェクトが複数のアクセス ルールまたは NAT ルールで使用されているかどうかにかかわらず、移行ツールは ASA ネットワーク オブジェクトまたはグループを 1 回変換します。

ネットワーク オブジェクトの変換

変換する各 ASA ネットワーク オブジェクトに対し、移行ツールは Firepower ネットワーク オブジェクトを作成します。

移行ツールは、次のように ASA ネットワーク オブジェクトのフィールドを Firepower ネットワーク オブジェクトのフィールドに変換します。

表 13. Firepower ネットワーク オブジェクト フィールドにマッピングされる ASA ネットワーク オブジェクト フィールド

ASA ネットワーク オブジェクト フィールド

Firepower ネットワーク オブジェクト フィールド

[名前(Name)]

システムによって生成されます(を参照) 変換された設定の命名規則

タイプ(Type)

タイプ(Type)

IPバージョン

対応するフィールドなし

[IPアドレス(IP Address)]

ネットマスク

[値(Value)](CIDR 表記に含まれている)

説明

説明

オブジェクト NAT アドレス(Object NAT Address)

対応するフィールドなし

例:アクセス コントロール リストのネットワーク オブジェクト

次のコマンドが ASA 設定ファイルにある場合:

object network obj1
 host 1.2.3.4
object network obj2
 range 1.2.3.7 1.2.3.10
object network obj3
 subnet 10.83.0.0 255.255.0.0
access-list sample_acl extended permit ip object obj1 object obj2 
access-list sample_acl extended permit ip object obj3 object obj1
access-group gigabitethernet_access_in in interface gigabitethernet1/1

システムは、これらのオブジェクトを次のように変換します。

名前

ドメイン

値(ネットワーク)

タイプ

オーバーライド

obj1

None

1.2.3.4

ホスト

いいえ(False)

obj2

None

1.2.3.7 ~ 1.2.3.10

アドレス範囲(Address Range)

いいえ(False)

obj3

None

10.83.0.0/16

[ネットワーク(Network)]

いいえ(False)

例:NAT ルールのネットワーク オブジェクト

次のコマンドが ASA 設定ファイルにある場合:

nat (gigabitethernet1/1,gigabitethernet1/2) source static obj1 obj1

システムは、上記の例でアクセス ルール内のオブジェクト obj1 を変換するのと同じ方法で、このルール内のオブジェクト obj1 を変換します。

ネットワーク オブジェクト グループの変換

変換する各 ASA ネットワーク オブジェクト グループに対し、移行ツールは Firepower ネットワーク オブジェクト グループを作成します。また、グループに含まれているオブジェクトがまだ変換されていない場合は、そのオブジェクトも変換します。

移行ツールは、次のように ASA ネットワーク オブジェクト グループのフィールドを Firepower ネットワーク オブジェクト グループのフィールドに変換します。

表 14. Firepower ネットワーク オブジェクト グループ フィールドにマッピングされる ASA ネットワーク オブジェクト グループ フィールド

ASA ネットワーク オブジェクト グループ フィールド

Firepower ネットワーク オブジェクト グループ フィールド

グループ名(Group Name)

[名前(Name)]

説明

説明

グループ内のメンバー(Members In Group)

値(選択されたネットワーク)(Value (Selected Networks))

例:アクセス コントロール リストのネットワーク オブジェクト グループ

次のコマンドが ASA 設定ファイルにある場合:

object network obj1
 host 1.2.3.4
object network obj2
 range 1.2.3.7 1.2.3.10
object network obj3
 subnet 10.83.0.0 255.255.0.0
object-group network obj_group1
 network-object object obj1
 network-object object obj2
 network-object object obj3
access-list sample_acl extended permit ip object-group obj_group1 any
access-group gigabitethernet_access_in in interface gigabitethernet1/1

システムは、次のネットワーク グループを作成します。

名前

ドメイン

値(ネットワーク)

タイプ

オーバーライド

obj_group1

なし

obj1

obj2

obj3

グループ

いいえ(False)

関連付けられているオブジェクトがまだ変換されていない場合、ネットワーク オブジェクトの変換 で説明するように、システムはそのオブジェクトを変換します。

例:NAT ルールのネットワーク オブジェクト グループ

次のコマンドが ASA 設定ファイルにある場合:

nat (interface1,interface2) source static obj_group1 obj_group1

システムは、上記の例でアクセス ルール内の obj_group1 を変換するのと同じ方法で、このルール内の obj_group1 を変換します。

サービス オブジェクトおよびサービス グループの変換

ASA では、サービス オブジェクトおよびサービス グループがプロトコルとポートを指定し、それらのポートを送信元ポートまたは宛先ポートとして指定します。サービス オブジェクトおよびグループは、アクセス ルールおよび NAT ルールの両方で使用できます。

Firepower システムでは、ポート オブジェクトおよびポート オブジェクト グループがプロトコルとポートを指定しますが、システムがそれらのポートを送信元ポートまたは宛先ポートとして指定するのは、ユーザがオブジェクトをアクセス コントロール ルール、プレフィルタ ルール、または NAT ルールに追加する場合のみです。サービス オブジェクトを Firepower システムの同等機能に変換するために、移行ツールは、サービス オブジェクトをポート オブジェクトまたはポート グループに変換し、関連するアクセス コントロール ルール、プレフィルタ ルール、または NAT ルールに特定の変更を行います。その結果、移行ツールは、変換中に単一のサービス オブジェクトとサービス グループ、および関連するアクセス ルールまたは NAT ルールを、複数のポート オブジェクトとグループおよび関連するアクセス コントロール ルール、プレフィルタ ルール、または NAT ルールに展開する場合があります。

サービス オブジェクトの変換

移行ツールは、1 つ以上のポート オブジェクトと、それらのポート オブジェクトを参照する 1 つ以上のアクセス コントロール ルールまたはプレフィルタ ルールを作成することによって、ASA サービス オブジェクトを変換します。

移行ツールは、次のサービス オブジェクト タイプを変換できます。

  • プロトコル

  • TCP/UDP

  • ICMP/ICMPv6

移行ツールは、次のように ASA サービス オブジェクトのフィールドを Firepower ポート オブジェクトのフィールドに変換します。

表 15. Firepower ポート オブジェクト フィールドにマッピングされる ASA サービス オブジェクト フィールド

ASA サービス オブジェクト フィールド

ASA サービス オブジェクト タイプ

Firepower ポート オブジェクト フィールド

[名前(Name)]

任意(Any)

システムによって生成されます(変換された設定の命名規則 を参照)

サービス タイプ(Service Type)

TCP/UDP、ICMP/ICMPv6

プロトコル

プロトコル

プロトコルのみ

プロトコル

説明

任意(Any)

対応なし、コンテンツは破棄されます

宛先ポート/範囲(Destination Port/Range)

TCP/UDP のみ

[ポート(Port)]

送信元ポート/範囲(Source Port/Range)

TCP/UDP のみ

[ポート(Port)]

ICMP タイプ(ICMP Type)

ICMP/ICMPv6 のみ

タイプ(Type)

ICMP コード(ICMP Code)

ICMP/ICMPv6 のみ

コード(Code)

サービス オブジェクトのポート リテラル値

ASA サービス オブジェクトは、ポート番号の代わりにポート リテラル値を指定できます。次に例を示します。

object service http
 service tcp destination eq www

Firepower システムはこれらのポート リテラル値をサポートしていないため、移行ツールは、ポート リテラル値をその値が表すポート番号に変換します。ツールは、上記の例を次のポート オブジェクトに変換します。

名前

タイプ

ドメイン

値(プロトコル/ポート)

オーバーライド

http

オブジェクト

None

TCP(6)/80

いいえ(False)

ポート リテラル値と関連付けられているポート番号の完全なリストについては、『CLI Book 1: Cisco ASA Series General Operations CLI Configuration Guide』の「TCP and UDP Ports」を参照してください。

サービス オブジェクトのポート引数演算子

ASA サービス オブジェクトは、ポート引数に次の演算子を使用できます。

表 16. サービス オブジェクトのポート引数演算子

演算子

説明

lt

次の値より小さい。

 
object service testOperator
 service tcp source lt 100

gt

次の値より大きい。

 
object service testOperator
 service tcp source gt 100

eq

次の値と等しい。

 
object service http-proxy
 service tcp source eq 8080

neq

次の値と等しくない。

 
object service testOperator
 service tcp source neq 200

range

値の包括的な範囲。

 
object service http-proxy
 service tcp source range 9000 12000

移行ツールは、次のようにこれらの演算子を変換します。

表 17. ポート オブジェクトとグループに変換されるポート引数演算子を含むサービス オブジェクト

演算子

変換先

ポート オブジェクト値の例(プロトコル/ポート)

lt

指定した番号未満のポート番号の範囲を指定する単一のポート オブジェクト。

 
TCP(6)/1-99

gt

指定した番号より大きいポート番号の範囲を指定する単一のポート オブジェクト。

 
TCP(6)/101-65535

eq

単一のポート番号を指定する単一のポート オブジェクト。

 
TCP(6)/8080

neq

2 つのポート オブジェクトおよび 1 つのポート オブジェクト グループ。最初のポート オブジェクトは、指定されたポートよりも低い範囲を指定します。2 番目のポート オブジェクトは、指定されたポートよりも高い範囲を指定します。ポート オブジェクト グループには、両方のポート オブジェクトが含まれています。

最初のオブジェクト(testOperator_src_1): 

TCP(6)/1-199

2 番目のオブジェクト(testOperator_src_2): 

TCP(6)/201-65535
オブジェクト グループ(testOperator_src):
testOperator_src_1
testOperator_src_2

range

値の包括的な範囲を指定する単一のポート オブジェクト。

 
TCP(6)/9000-12000

送信元ポートと宛先ポートを含むサービス オブジェクト

ASA では、単一のサービス オブジェクトで、送信元と宛先の両方にポートを指定できます。Firepower システムでは、ポート オブジェクトはポート値のみを指定します。アクセス コントロール ルールまたはプレフィルタ ルールでポート オブジェクトが使用されるまで、システムはポートを送信元または宛先として指定しません。

この違いに対応するために、移行ツールは、送信元と宛先の両方を指定する ASA サービス オブジェクトを変換する際に、単一のオブジェクトを 2 つのポート オブジェクトに展開します。元の指定を示すための拡張子がオブジェクト名に追加されます。送信元ポートの場合は _src、宛先ポートの場合は _dst です。 

object service http-proxy
 service tcp source range 9000 12000 destination eq 8080

ツールは、このサービス オブジェクトを次のポート オブジェクトに変換します。

名前

タイプ

ドメイン

値(プロトコル/ポート)

オーバーライド

http-proxy_src

オブジェクト

None

TCP(6)/9000 ~ 12000

いいえ(False)

http-proxy_dst

オブジェクト

None

TCP(6)/8080

いいえ(False)

例:プロトコル サービス オブジェクトの変換

ASA の設定:

object service protocolObj1
 service snp 
 description simple routing

変換先:

表 18. ポート オブジェクト

名前

タイプ

ドメイン

値(プロトコル)

オーバーライド

protocolObj1

オブジェクト

なし

SNP(109)

いいえ(False)

例:TCP/UDP サービス オブジェクトの変換

ASA の設定:

object service servObj1
 service tcp destination eq ssh

変換先:

表 19. ポート オブジェクト

名前

タイプ

ドメイン

値(プロトコル/ポート)

オーバーライド

servObj1

オブジェクト

なし

TCP(6)/22

いいえ(False)

例:ICMP/ICMPv6 サービス オブジェクトの変換

ICMP

ASA の設定:

object service servObj1
 service icmp alternate-address 0

変換先:

表 20. ポート オブジェクト

名前

タイプ

ドメイン

値(プロトコル/タイプ:コード)

オーバーライド

servObj1

オブジェクト

なし

ICMP(1)/代替ホスト アドレス:ホストの代替アドレス

いいえ(False)
ICMPv6

ASA の設定:

object service servObj1
 service icmp6 unreachable 0

変換先:

表 21. ポート オブジェクト

名前

タイプ

ドメイン

値(プロトコル/タイプ:コード)

オーバーライド

servObj1

オブジェクト

なし

IPV6-ICMP (58)/宛先到達不能:接続先へのルートなし

いいえ(False)

サービス グループの変換

移行ツールは、関連するアクセス コントロール ルールまたはプレフィルタ ルールを使用して、ポート オブジェクト グループおよび関連するポート オブジェクト グループを作成することで、ASA サービス グループを変換します。

移行ツールは、次のサービス グループ タイプを変換できます。

  • プロトコル

  • TCP/UDP

  • ICMP/ICMPv6

移行ツールは、次のように ASA サービス オブジェクトのフィールドを Firepower ポート オブジェクトのフィールドに変換します。

表 22. Firepower ポート オブジェクト フィールドにマッピングされる ASA サービス グループ フィールド

ASA サービス グループ フィールド

ポート オブジェクト グループ フィールド

[名前(Name)]

システムによって生成されます(変換された設定の命名規則 を参照)

説明

説明

グループ内のメンバー(Members In Group)

選択したポート(Selected Ports)

ネストされたサービス グループの変換

ASA は、ネストされたサービス グループ(つまり、他のサービス グループを含むサービス グループ)をサポートしています。Firepower システムは、ネストされたポート オブジェクト グループをサポートしていませんが、複数のグループを単一のアクセス コントロール ルールまたはプレフィルタ ルールに関連付けることで同等の機能を実現できます。ネストされたサービス グループを変換する場合、移行ツールはグループ構造をフラット化し、最深部のサービス オブジェクトおよびグループをポート オブジェクトおよびポート オブジェクト グループに変換し、それらの変換されたグループをアクセス コントロール ルールまたはプレフィルタ ルールに関連付けます。

最大 50 のポート オブジェクトを単一のアクセス コントロール ルールまたはプレフィルタ ルールに関連付けることができます。新しいポート オブジェクトの数が 50 を超えると、ツールによって、新しいすべてのポート オブジェクトがルールに関連付けられるまで、重複アクセス コントロール ルールまたはプレフィルタ ルールが作成されます。

送信元と宛先両方のサービスとして使用されるネストされたサービス オブジェクトを含む Firepower システムのルールはサポートされていません。


object-group service http-8081 tcp
 port-object eq 80
 port-object eq 81

object-group service http-proxy tcp
 port-object eq 8080

object-group service all-http tcp
 group-object http-8081
 group-object http-proxy

access-list FMC_inside extended permit tcp host 33.33.33.33 object-group all-http host 33.33.33.33 object-group all-http

上記の例では、サービス オブジェクト http-8081 および http-proxyall-http サービス グループ内にネストされます。

このようなシナリオでは、ポート オブジェクトに関連するルールは無視されます。システムは、オブジェクトをインポートしますが、関連するアクセス コントロール ルールまたはプレフィルタ ルールは無効にし、次のコメントをルールに追加します。Nested service groups at both Source and Destination are not supported

変換されたサービス オブジェクト、サービス グループ、およびシステムが変換時に作成する可能性がある重複ルールに対しツールが使用する命名規則の説明については、を参照してください。 変換された設定の命名規則

ASA の設定:

object-group service legServGroup1 tcp
	port-object eq 78
	port-object eq 79
object-group service legServGroup2 tcp
	port-object eq 80
	port-object eq 81
object-group service legacyServiceNestedGrp tcp
	group-object legServGroup1
	group-object legServGroup2
access-list  acp1 extended permit tcp  3.4.5.0  255.255.255.0  5.6.7.0 255.255.255.0 object-group legacyServiceNestedGrp
access-group acp1 global

変換先:

表 23. ポート オブジェクト グループ

名前

タイプ

ドメイン

値(プロトコル/ポート)

オーバーライド

legServGroup1_1

オブジェクト

None

TCP(6)/78

いいえ(False)

legServGroup1_2

オブジェクト

なし

TCP(6)/79

いいえ(False)

legServGroup2_1

オブジェクト

None

TCP(6)/80

いいえ(False)

legServGroup2_2

オブジェクト

None

TCP(6)/81

いいえ(False)

legServGroup1

グループ

なし

legServGroup1_1

legServGroup1_2

いいえ(False)

legServGroup2

グループ

なし

legServGroup2_1

legServGroup2_2

いいえ(False)
表 24. アクセス コントロール ルールまたはプレフィルタ ルール

[名前(Name)]

送信元ゾーン

宛先ゾーン

送信元ネットワーク

宛先ネットワーク

送信元ポート

宛先ポート

操作

[有効(Enabled)]

acp1#1

任意(Any)

任意(Any)

3.4.5.0/24

5.6.7.0/24

TCP(6)

legServGroup1

legServGroup2

同等の許可

[はい(True)]

例:プロトコル サービス グループの変換

ASA の設定:

object-group protocol TCPUDP
 protocol-object udp
 protocol-object tcp

変換先:

表 25. ポート オブジェクトおよびグループ

名前

タイプ

ドメイン

値(プロトコル/ポート)

オーバーライド

TCPUDP_1

オブジェクト

なし

TCP(6)

いいえ(False)

TCPUDP_2

オブジェクト

なし

UDP(17)

いいえ(False)

TCPUDP

グループ

なし

TCPUDP_1

TCPUDP_2

いいえ(False)

例:TCP/UDP サービス グループの変換

グループの作成時に作成されるオブジェクト

ASA では、サービス グループの作成中にオブジェクトをその場で作成できます。これらのオブジェクトは、サービス オブジェクトとして分類されますが、ASA 設定ファイル内のエントリは object service の代わりに port-object を使用します。これらのオブジェクトは個別に作成されないため、移行ツールは、グループの作成とは関係なく作成されるオブジェクト用のものとは若干異なる命名規則を使用します。

ASA の設定:

object-group service servGrp5 tcp-udp
 port-object eq 50
 port-object eq 55

変換先:

表 26. ポート オブジェクトおよびグループ

名前

タイプ

ドメイン

値(プロトコル/ポート)

オーバーライド

servGrp5_1

オブジェクト

なし

TCP(6)/50

いいえ(False)

servGrp5_2

オブジェクト

なし

TCP(6)/55

いいえ(False)

servGrp5

グループ

なし

servGrp5_1

servGrp5_2

いいえ(False)
グループから独立して作成されるオブジェクト

ASA の設定:

object service servObj1
 service tcp destination eq ssh 
object service servObj2
 service udp destination eq 22 
object service servObj3
 service tcp destination eq telnet 
object-group service servGrp1
 service-object object servObj1 
 service-object object servObj2 
 service-object object servObj3

変換先:

表 27. ポート オブジェクトおよびグループ

名前

タイプ

ドメイン

値(プロトコル/ポート)

オーバーライド

servObj1

オブジェクト

なし

TCP(6)/22

いいえ(False)

servObj2

オブジェクト

なし

UDP(17)/22

いいえ(False)

servObj3

オブジェクト

なし

TCP(6)/23

いいえ(False)

servGrp1

グループ

なし

servObj1

servObj2

servObj3

いいえ(False)

例:ICMP/ICMPv6 サービス グループの変換

ICMP

ASA の設定:

object-group icmp-type servGrp4
 icmp-object echo-reply

変換先:

表 28. ポート オブジェクトおよびグループ

名前

タイプ

ドメイン

値(プロトコル/ポート)

オーバーライド

servGrp4_1

オブジェクト

なし

ICMP(1)/Echo 応答

いいえ(False)

servGrp4

グループ

なし

servGrp4_1

いいえ(False)
ICMPv6

ASA の設定:

object-group service servObjGrp3
 service-object icmp6 packet-too-big
 service-object icmp6 parameter-problem

変換先:

表 29. ポート オブジェクトおよびグループ

名前

タイプ

ドメイン

値(プロトコル/ポート)

オーバーライド

servObjGrp3_1

オブジェクト

なし

IPV6-ICMP(58)/2

いいえ(False)

servObjGrp3_2

オブジェクト

なし

IPV6-ICMP(58)/4

いいえ(False)

servObjGrp3

グループ

なし

servObjGrp3_1

servObjGrp3_2

いいえ(False)

アクセス グループの変換

ASA で ACL を適用するには、CLI で access-group コマンドを入力するか、または ASDM アクセス ルール エディタで [適用(Apply)] を選択します。これらの操作はどちらも、ASA 設定ファイル内に access-group エントリを生成します(次の例を参照)。

access-group コマンドは、システムが ACL を適用するインターフェイスと、システムがそのインターフェイスのインバウンド(入力)またはアウトバウンド(出力)トラフィックのどちらに ACL を適用するかを指定します。

Firepower システムで同等の機能を設定するには、次の手順を実行します。

  • セキュリティ ゾーンを作成し、セキュリティ ゾーンをインターフェイスに関連付け、セキュリティ ゾーンを送信元ゾーン条件(着信トラフィック用)または宛先ゾーン条件(発信トラフィック用)としてアクセス コントロール ルールに追加します。

  • インターフェイス グループを作成し、インターフェイス グループをインターフェイスに関連付け、インターフェイス グループを送信元インターフェイス グループ条件(着信トラフィック用)または宛先インターフェイス グループ条件(発信トラフィック用)としてプレフィルタ ルールに追加します。

access-group コマンドを変換すると、移行ツールは、セキュリティ ゾーンまたはインターフェイス グループを作成し、セキュリティ ゾーンおよびインターフェイス グループを関連するアクセス コントロール ルールまたはプレフィルタ ルールに条件として追加することで、イングレスとイーグレスの情報をキャプチャします。ただし、移行ツールは、セキュリティ ゾーンまたはインターフェイス グループの名前にインターフェイス情報を保持しますが、関連付けられているインターフェイスまたはデバイスの設定は変換しないので、変換されたポリシーをインポートした後に手動で追加する必要があります。変換されたポリシーをインポートした後、ポリシーをデバイスに、セキュリティ ゾーンまたはインターフェイス グループをインターフェイスに手動で関連付ける必要があります。

ACL を変換すると、ルールが特定のインターフェイスに適用された後でシステムはグローバルに適用されるルールを配置します。

特殊ケース

ASA の設定によって、単一の ACL が入力と出力両方のインターフェイスに適用される場合、ツールは ACL をアクセス コントロール ルールまたはプレフィルタ ルールの次の 2 つのセットに変換します。

  • 入力ルールのセット(有効)

  • 出力ルールのセット(無効)

ASA の設定によって、単一の ACL がグローバルに適用され、かつ特定のインターフェイスにも適用される場合、ツールは ACL をアクセス コントロール ルールまたはプレフィルタ ルールの次の 2 つのセットに変換します。

  • 特定のインターフェイスに関連付けられているルールのセット(有効)

  • 送信元と宛先のゾーンが [いずれか(Any)] に設定されているルールのセット(有効)

例:グローバルに適用される ACL

ASA の設定:

access-list global_access extended permit ip any any 
access-group global_access global

移行ツールはこの設定を以下に変換します。

表 30. アクセス コントロール ルールまたはプレフィルタ ルール

[名前(Name)]

送信元ゾーン/Int Grp

宛先ゾーン/Int Grp

送信元ネットワーク

宛先ネットワーク

送信元ポート

宛先ポート

操作

[有効(Enabled)]

global_access#1

任意(Any)

任意(Any)

任意(Any)

任意(Any)

任意(Any)

任意(Any)

同等の許可

[はい(True)]

例:特定のインターフェイスに適用される ACL

ASA の設定:

access-list acp1 permit tcp any host 209.165.201.3 eq 80
access-group acp1 in interface outside

この例では、access-group コマンドは、acp1 という名前の ACL を outside という名前のインターフェイスの着信トラフィックに適用しています。

移行ツールはこの設定を以下に変換します。

表 31. セキュリティ ゾーン/インターフェイス グループ

[名前(Name)]

インターフェイス タイプ

ドメイン

選択されたインターフェイス

acp1_outside_in_zone

  • ルーテッド(ASA デバイスがルーテッド モードで動作している場合)

  • スイッチド(ASA デバイスがトランスペアレント モードで動作している場合)

None

任意(Any)
表 32. アクセス コントロール ルールまたはプレフィルタ ルール

[名前(Name)]

送信元ゾーン/Int Grp

宛先ゾーン/Int Grp

送信元ネットワーク

宛先ネットワーク

送信元ポート

宛先ポート

操作

[有効(Enabled)]

acp1#1

acp1_outside_in_zone

任意(Any)

任意(Any)

209.165.201.3

任意(Any)

TCP(6)/80

同等の許可

[はい(True)]

このドキュメントは役に立ちましたか?

Feedbackフィードバック

シスコに問い合わせ