取消
用于显示结果
改为搜寻
你的意思是:
取消

从状态防火墙下一代防火墙

从状态防火墙下一代防火墙

我们的一位顾客正在运行的Cisco ASA防火墙(HA)为超过10年,其主要是处理他们的企业分割流量。188bet平台随着时间这些盒子所面临的生活和支持的结束,是什么让客户去为下一代防火墙作为替代选择的结束。作为替代过程中,他们采购了思科火力威胁防御箱。

正如我们在开始迁移规划,我们发现一些挑战如下 -

  • 从静态路由,EIRGP到BGP。
  • 遍历FTD GRE / IPSEC交通。
  • 基于时间的访问控制列表 - 没有解决,因为最新版本6.4.0.9这个机器上运行不支持此功能。等待6.6或以上的稳定版本。
  • s2 VPN等。

身体形象1. png

使用“火力迁移工具”将配置从ASA迁移到FTD,这对于使用迁移前和迁移后报告中列出的所有不支持的配置构建迁移过程非常有帮助。

身体形象2.png身体形象3. png

我们最初的迁移窗口期间不得不面对失败和重新安排迁移。GRE / IPSec流量找出了罪魁祸首未能隧道配对。我们从思科TAC了支持和工程师们相当支持,并进一步通过我们在我们的办公室实验室再现问题做了我们的家庭作业太多。该GRE / IPSec流量受到得到由Snort的在FTD并为这些类型的流量判决检查被丢弃。身体形象5.png

身体形象5.png

在我们改期迁移窗口,我们确切地知道哪些需要做,但仍面临着GRE / IPsec通信同样的问题,通过Snort的越来越下降。最终,30分钟后,我们能够通过微调来解决它的预过滤策略,并允许GRE和ESP与行动快速路径和“清除康涅狄格州”是一个很大的帮助,反弹隧道和交通采取正确的规则。身体形象6.png

分配的迁移窗口时间为4小时,但我们设法在3小时内完成的活动。后来有了很大的挑战,所有的应用程序所有者要检查他们的应用程序,我们只是把我们的手指交叉,因为我们不希望回滚。几乎所有的应用程序工作正常,但据报道像远程分支机构VIOP电话都不会通过,并迅速应用报告的问题几个问题。所有这些问题都涉及到路由,并照顾。据报道其他一些问题涉及到RAVPN的AnyConnect与ISE姿态和Windows登录缓慢,其均与NAT和访问规则对FTD和也的照顾。不断,工作了近26长时间提供给客户更好的体验为他们的下一个营业工作日。

现在有了成功迁移和箱子交给他们的运营团队,我们提供我们指出一些事情了KT会话。

  • 这NGFW预装了先进的功能,如安全情报,URL黑名单和白名单,DNS黑名单和白名单,入侵防御系统和一些更多的功能。188bet平台
  • 这些功能都连接到塔洛斯和snort的云提供网络安全相关的威胁主动分辨率。
  • 因此,他们需要了解的力量和它的能力,并在适当和有效的方式使用它。

“能力越大,责任越大。”

评论

很好解释,必将有很大的帮助,其中民用航空运输协定为被迁移到FTDS。感谢您分享您的经验。

我也有与FTD建立动态IPsec隧道的问题。这不是一次与一个以上的隧道工作。188bet平台站点到站点VPN与动态端点。

创建项目
欢迎

Project Gallery是思科客户和合作伙伴分享他们技术项目故事的地方。

使用注释部分问一个问题,提出建议或只是说做得很好。如果你喜欢的项目,感谢作者通过点击文章最后的帮助按钮!

你最近完成部署了吗?与社区成员分享你的伟大工作!没有什么项目是太大或太小的。点击上面的“创建项目”来发布你自己的项目。

顶级专家
最近6个月
顶级专家