Dans tout projet de changement de firewall, la migration de la base de règles est rarement une partie de plaisir...

Smartmove est un petit outil Check Point visant à faciliter la conversion d’une base de règles d’un firewall tiers en base de règles Check Point.

Comment ça marche ? C’est assez simple, utile, mais pas magique.

Actuellement, smartmove supporte :

• Cisco ASA en v8.3 et plus
• Juniper SRX (v12.1 et plus) et SSG (v6.3 ou plus)
• Fortinet (v5 et plus)

Téléchargement ici

Ci-dessous un petit test avec une configuration ASA.

On exécute smartmove et on choisit le fichier de configuration ASA :

Ici, sur une cinquantaine de règles, on obtient en quelques secondes le résultat :

Et ça vaut quoi ? C’est plutôt pas mal.

Tout d’abord, jetons un œil aux « conversion issues »

On retrouve essentiellement des objets qui ont été définis dans l’ASA et qui correspondent à des objets prédéfini Check Point. Smartmove les a renommés.

Concernant la policy convertie, on va retrouver plusieurs inline layers qui correspondent à la philosophie ASA de règles par interfaces :

Pour créer règles et objets via l’API, le script adéquat :

Vous trouverez tous les détails dans la sk115416

Bonnes migrations !