移行について

Firewall 移行ツールについて

資料

本書『Firewall 移行ツールを使用した Check Point ファイアウォールから Threat Defense への移行』に記載のすべての情報は、Firewall 移行ツールの最新バージョンを参照しています。「Cisco.com から Firewall 移行ツールのダウンロード」の手順に従って、最新バージョンの Firewall 移行ツールをダウンロードします。

リリース 2.0 以降では、Firewall 移行ツールは Check Point（CP）構成（r75 ～ r77.30）の FTD への移行をサポートしています。リリース 2.2 以降では、Firewall 移行ツールは Check Point（CP）構成（r80）の FTD への移行をサポートしています。

結果を表示するためのファイアウォール移行ツール

ファイアウォール移行ツール（FMT）は、サポートされているチェックポイント構成をサポートされている Threat Defense プラットフォームに変換します。Firewall 移行ツールを使用すると、サポートされているチェックポイントの機能とポリシーの移行を自動化できます。サポートされていない機能は手動で移行する必要がある場合があります。

Firewall 移行ツールはチェックポイント情報を収集して解析し、最終的に Management Center にプッシュします。解析フェーズ中に、Firewall 移行ツールは、以下を特定する移行前レポートを生成します。

エラーのある Check Point 構成の XML または JSON の行
Check Point には、Firewall 移行ツールが認識できない Check Point XML または JSON の行がリストされています。移行前レポートとコンソールログのエラーセクションの下には、XML または JSON の構成行が記載されています。これにより、移行がブロックされています

解析エラーがある場合は、問題を修正し、新しい構成を再アップロードし、接続先デバイスに接続し、チェックポイントインターフェイスを FTD インターフェイスにマッピングし、セキュリティゾーンとインターフェイスグループをマッピングして、構成の確認と検証に進むことができます。その後、構成を接続先デバイスに移行できます。

Firewall 移行ツールを使用すると、進行状況が保存され、移行プロセス中の 2 つの段階から移行を再開できます。

チェックポイント構成ファイルの解析が正常に完了した後

（注）

解析エラーが発生した場合、または解析前に終了した場合は、 Firewall 移行ツールでアクティビティを最初からやり直す必要があります。

[最適化、確認および検証（Optimize, Review and Validate）] ページ

（注）

この段階で Firewall 移行ツールを終了して再起動すると、[最適化、確認および検証（Optimize, Review and Validate）] ページが表示されます。

コンソール

Firewall 移行ツールを起動すると、コンソールが開きます。コンソールには、Firewall 移行ツールの各ステップの進行状況に関する詳細情報が表示されます。コンソールの内容は、Firewall 移行ツールのログファイルにも書き込まれます。

Firewall 移行ツールが開いていて実行中の間は、コンソールを開いたままにする必要があります。

重要	Firewall 移行ツールを終了するために Web インターフェイスが実行されているブラウザを閉じると、コンソールはバックグラウンドで実行され続けます。Firewall 移行ツールを完全に終了するには、キーボードの Command キー + C を押してコンソールを終了します。

ログ

Firewall 移行ツールは、各移行のログを作成します。ログには、移行の各ステップで発生した内容の詳細が含まれるため、移行が失敗した場合の原因の特定に役立ちます。

Firewall 移行ツールのログファイルは、<migration_tool_folder>\logs にあります。

リソース

Firewall 移行ツールは、移行前レポート、移行後レポート、チェックポイント構成、およびログのコピーを resources フォルダに保存します。

resources フォルダは、<migration_tool_folder>\resources にあります。

未解析ファイル

未解析ファイルは、<migration_tool_folder>\resources にあります。

Firewall 移行ツールでの検索

[最適化、確認および検証（Optimize, Review and Validate）] ページの項目など、Firewall 移行ツールに表示されるテーブル内の項目を検索できます。

テーブルの任意の列または行の項目を検索するには、テーブルの上の検索（ [検索（search）] アイコン）をクリックし、フィールドに検索語を入力します。Firewall 移行ツールはテーブル行をフィルタ処理し、その検索語を含む行のみを表示します。

単一の列で項目を検索するには、列見出しにある [検索（Search）] フィールドに検索語を入力します。Firewall 移行ツールはテーブル行をフィルタ処理し、検索語に一致する行のみを表示します。

ポート

Firewall 移行ツールは、ポート 8321 〜 8331 およびポート 8888 の 12 ポートのうちいずれかのポートで実行されるテレメトリをサポートします。デフォルトでは、Firewall 移行ツールはポート 8888 を使用します。ポートを変更するには、app_config ファイルのポート情報を更新します。更新後、ポートの変更を有効にするために、Firewall 移行ツールを再起動します。app_config ファイルは、<migration_tool_folder>\app_config.txt にあります。

（注）

テレメトリはこれらのポートでのみサポートされているため、ポート 8321 ～ 8331 およびポート 8888 を使用することを推奨します。Cisco Success Network を有効にすると、Firewall 移行ツールに他のポートを使用できなくなります。

Firewall 移行ツールの履歴

バージョン

サポートされる機能

2.5.2

Firewall 移行ツール 2.5.2 は、ネットワーク機能に影響を与えることなく、チェックポイントファイアウォールルールベースから最適化（無効化または削除）できる ACL を識別および分離するサポートを提供します。

ACL 最適化は、次の ACL タイプをサポートします。

冗長 ACL：2 つの ACL の構成とルールのセットが同じ場合、基本以外の ACL を削除してもネットワークに影響はありません。
シャドウ ACL：最初の ACL は、2 番目の ACL の設定を完全にシャドウイングします。

（注）

チェックポイントでは ACP ルールアクション対してのみ最適化を使用できます

Firewall 移行ツール 2.5.2 は、宛先の FMC が 7.1 以降の場合、Border Gateway Protocol （BGP）およびダイナミックルートオブジェクトの移行をサポートします

2.2

r80 Check Point OS バージョンをサポートします。
Live Connect が Check Point（r80）デバイスから構成を抽出できるようにします。

r80 では、次のサポートされている Check Point 構成要素を Threat Defense に移行できます。

インターフェイス
スタティックルート
オブジェクト
ネットワークアドレス変換

アクセス制御ポリシー

グローバルポリシー：このオプションを選択すると、ルートルックアップがないため、ACL ポリシーの送信元ゾーンと宛先ゾーンが任意のものとして移行されます。

ゾーンベースポリシー：このオプションを選択すると、送信元ゾーンと宛先ゾーンは、送信元と宛先のネットワークオブジェクトまたはグループのルーティングメカニズムによる予測ルートルックアップに基づいて導出されます。

（注）

ルートルックアップは静的ルートとダイナミックルートのみ（PBR と NAT を除く）に限定され、送信元と宛先のネットワークオブジェクトグループの性質によっては、この操作によりルールが急増する可能性があります。

（注）

ゾーンベースポリシーの IPv6 ルートルックアップはサポートされていません。

2.0

Firewall 移行ツールの新しい最適化機能を使用すると、検索フィルタを使用して移行結果を迅速に取得できます。

Firewall 移行ツールを使用すると、次のサポートされている Check Point 設定要素を Threat Defense に移行できます。

インターフェイス
スタティックルート
オブジェクト

アクセスコントロールポリシー

グローバルポリシー：このオプションを選択すると、ACL ポリシーの送信元ゾーンと宛先ゾーンが任意のものとして移行されます。

（注）

ネットワークアドレス変換

Check Point OS バージョン r75、r76、r77、r77.10、r77.20、および r77.30 のサポートを提供します。

Firewall 移行ツールのライセンス

Firewall 移行ツールアプリケーションは無料であり、ライセンスは必要ありません。ただし、Threat Defense への正常な登録とポリシーの展開のため、Management Center には関連する Threat Defense 機能に必要なライセンスが必要です。

Cisco Success Network

Cisco Success Network はユーザ対応のクラウドサービスです。Cisco Success Network を有効にすると、Firewall 移行ツールと Cisco Cloud 間にセキュアな接続が確立され、使用状況に関する情報と統計情報がストリーミングされます。テレメトリをストリーミングすることによって、Firewall 移行ツールからの対象のデータを選択して、それを構造化形式でリモートの管理ステーションに送信するメカニズムが提供されるため、次のメリットが得られます。

ネットワーク内の製品の有効性を向上させるために、利用可能な未使用の機能について通知します。
製品に利用可能な、追加のテクニカルサポートサービスとモニタリングについて通知します。
シスコ製品の改善に役立ちます。

Firewall 移行ツールは常にセキュアな接続を確立および維持し、Cisco Success Network に登録できるようにします。Cisco Success Network を無効にすることで、いつでもこの接続をオフにできます。これにより、デバイスが Cisco Success Network クラウドから接続解除されます。

Cisco Success Network の有効化と無効化

Firewall 移行ツールの [エンドユーザーライセンス契約（End User License Agreement）] ページで Cisco Success Network と情報を共有することに同意する場合は、Cisco Success Network を有効にします。詳細については、Firewall 移行ツールの起動を参照してください。移行ごとに、Firewall 移行ツールの [設定（Settings）] ボタンから Cisco Success Network を有効または無効にできます。Cisco Success Network と共有される具体的なテレメトリデータの詳細については、Cisco Success Network：テレメトリデータを参照してください。

Firewall 移行ツールを使用した Check Point Firewall から Threat Defense への移行

偏向のない言語

翻訳について

Book Title

Firewall 移行ツールを使用した Check Point Firewall から Threat Defense への移行

Chapter Title