Benoit Verove

Migration de règles avec Smartmove

Blog Post created by Benoit Verove on Oct 12, 2018

Dans tout projet de changement de firewall, la migration de la base de règles est rarement une partie de plaisir...

Smartmove est un petit outil Check Point visant à faciliter la conversion d’une base de règles d’un firewall tiers en base de règles Check Point.

Comment ça marche ? C’est assez simple, utile, mais pas magique.

 

Actuellement, smartmove supporte :

  • Cisco ASA en v8.3 et plus
  • Juniper SRX (v12.1 et plus) et SSG (v6.3 ou plus)
  • Fortinet (v5 et plus)

Téléchargement ici

 

Ci-dessous un petit test avec une configuration ASA.

On exécute smartmove et on choisit le fichier de configuration ASA :

 

 

 

Ici, sur une cinquantaine de règles, on obtient en quelques secondes le résultat :

 

 

Et ça vaut quoi ? C’est plutôt pas mal.

Tout d’abord, jetons un œil aux « conversion issues »

On retrouve essentiellement des objets qui ont été définis dans l’ASA et qui correspondent à des objets prédéfini Check Point. Smartmove les a renommés.

 

 

 

Concernant la policy convertie, on va retrouver plusieurs inline layers qui correspondent à la philosophie ASA de règles par interfaces :

 

 

Pour créer règles et objets via l’API, le script adéquat :

 

 

Vous trouverez tous les détails dans la sk115416

 

Bonnes migrations !

Outcomes