防火牆轉移設定檔

paloalto fortigate

e222654987 2022-10-07 14:19:53 ‧ 1972 瀏覽

分享至

因為專案關係,需要將設備Fortigate 600D 轉移到Palo alto 3220上面
有比較好解決的方法嗎?

看更多先前的討論...收起先前的討論...

Abbott iT邦研究生 4 級 ‧ 2022-10-07 15:48:52 檢舉

那要看PA 有沒有提供轉換工具，
FG 原廠有提供 .
沒有的話就是人工轉換 .

echochio iT邦高手 1 級 ‧ 2022-10-07 15:49:35 檢舉

慢慢設定
那個 Palo 是代理商拿貨的吧
有些代理商熟 Forti 與 Palo
找你買的SI 請他想辦法
不然 Palo 驗收不過 .......哈

小處成就大事 iT邦研究生 1 級 ‧ 2022-10-07 16:39:31 檢舉

PaloAlto好像有個工具叫做：PaloAlto Expendition
好像是可以協助轉移的工具，但不確定是不是要錢，PaloAlto官方論壇連結如下：
https://live.paloaltonetworks.com/t5/general-topics/palo-alto-expedition-tool-fortigate-configuration-migration/td-p/279735

另外我覺得，你應該會有一段時間是Forti跟PaloAlto的設備都在身邊的時間，個人認為逐步把Forti的設定一條條的建立到PaloAlto上會比用轉移工具來的好，這樣你可以趁這個機會檢視防火牆的設定是不是有冗餘或是需要補強的地方。

hackerlan7 iT邦新手 5 級 ‧ 2022-10-08 11:37:25 檢舉

我之前遇過用工具轉還是會漏
上線才發現少policy 損失很大. 老闆罵得要死

所以最後還是找IS 處理上千條Policy
一條一條的view
你都是走專案模式了驗收條件寫清楚就好了

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

1 個回答

打雜工

iT邦研究生 1 級 ‧ 2022-10-08 15:39:50

可能要先知道PA的命令格式，再用程式解析Fortigate設定備份檔內容，我的經驗是這樣或許能節省相關物件的建立時間，但規則應該還是要一條一條處理；我之前的經驗是處理Fortigate黑名單匯入建規則，但這也是建立在長期都會使用到，且要處理的Fortigate超過10台以上，不然寫程式將黑名單轉成Fortigate的命令列格式，要花的時間不見得划得來，依您的狀況，我個人建議還是一條一條慢慢處理。