Перехід з одного міжмережевого екрана на інший майже ніколи не зводиться до простої заміни пристрою, і є класичним випадком «головного болю» для IT-команди. На практиці інженери стикаються з необхідністю перенести сотні, а іноді й тисячі правил, політик, налаштувань NAT, VPN-тунелів та маршрутів, які роками накопичувалися в інфраструктурі. Ручне перенесення цієї конфігурації з одного вендора на іншого — це не лише тижні монотонної роботи, але й величезний ризик людської помилки, яка може призвести до зупинки бізнес-процесів або утворення критичних вразливостей в інфраструктурі.

Для уникнення таких ризиків Fortinet пропонує FortiConverter - сервіс автоматизованого перенесення конфігурацій на FortiGate, який дозволяє автоматично транслювати конфігурації сторонніх виробників у формат, сумісний з операційною системою FortiOS. Замість того, щоб вручну переписувати кожне правило доступу, IT-персонал отримує готову, оптимізовану конфігурацію, яку залишається лише перевірити та застосувати. Це радикально прискорює процес переходу та нівелює вплив «людського фактора».

FortiConverter підтримує міграцію з переважної більшості популярних платформ на ринку: Cisco (ASA, PIX, IOS, FTD), Check Point, Palo Alto Networks, HPE Juniper Networks, SonicWall, Sophos, Forcepoint, WatchGuard, Huawei, Arista (Untangle Firewall) та багатьох інших. Звісно, FortiConverter підтримує міграцію не лише з third-party firewall-вендорів, а й з існуючих FortiGate на нові моделі.

Існує кілька форматів використання FortiConverter. Це може бути одноразовий сервіс перенесення конфігурації, окремий програмний інструмент для виконання міграції, а також професійні послуги за участю спеціалістів, адаптовані під потреби замовника.  Пакет підписок Enterprise bundle включає в себе однократне використання  FortiConverter Service. Проте навіть без використання цієї піддписки можливо отримати безкоштовні  opt-in license на FortiConverter Service, якщо йдеться про  FortiGate-to-FortiGate міграцію. Якщо безкоштовна opt-in ліцензія не підходить (наприклад міграція з іншого вендора) або сервіс не включений у bundle, тоді купується окремий FortiConverter Service contract для цільового пристрою.

 

Кейс нашого замовника

Мета: заміна застарілого міжмережевого екрану FortiGate 500E на файєрвол сучасного покоління FortiGate 200G.

Оскільки ці моделі мають різну апаратну архітектуру та набір інтерфейсів, пряме перенесення конфігураційного файлу було неможливе. Для автоматизації процесу адаптації конфігурації було використано хмарний сервіс FortiConverter Service, доступний замовнику в рамках пакету підписок Enterprise Protection. Детальний план кожного етапу переходу був розроблений фахівцями LanTek (у статті подана його скорочена версія, яка дозволяє зрозуміти принцип роботи сервісу).

На підготовчому етапі необхідно було  виконати наступні дії:

  • Зареєструвати новий пристрій FortiGate 200G під корпоративним обліковим записом, використовуючи його серійний номер.
  • Активувати ліцензію Enterprise Protection. Ця дія автоматично розблокує доступ до сервісу FortiConverter Service Portal для цього облікового запису.
  • Оновити прошивку FortiGate 200G до останньої стабільної (mature) версії. Зафіксувати версію ПЗ FortiGate 500E, оскільки її треба буде вказати при конвертації.
  • Створити резервну копію (backup) FG-500E
  • Вивантажити локальні сертифікати (за наявності) та зберегти у надійному місці всі ключові паролі.
  • Моделі FG-500E та FG-200G мають різну конфігурацію портів. Тому також необхідно було заповнити таблицю відповідності інтерфейсів.

 

На етапі конвертації конфігурації потрібно:

  1. Увійти на портал FortiConverter Service Portal, використовуючи облікові дані з FortiCloud.
  2. Створити нову заявку на конвертацію (Create Ticket). У параметрах заявки вказати:

        Source Device: FortiGate 500E (та завантажити файл резервної копії конфігурації, отриманий на підготовчому етапі).

        Target Device: Вибрати зареєстрований FortiGate 200G зі списку та вказати цільову версію FortiOS (встановлену на новому пристрої).

  1. Встановити відповідність інтерфейсів: використовуючи вбудований майстер порталу та підготовлену раніше таблицю, зіставити старі інтерфейси з новими.
  2. Надіслати конфігурацію на аналіз та генерацію.
  3. Завантажити готовий файл конфігурації для FG-200G.

Далі було виконано завантаження згенерованої конфігурації на FortiGate 200G, перевірка коректного перенесення політик, маршрутів, об’єктів та VPN-тунелів, оновлення паролів.

 Важливо зазначити, що увесь процес перенесення конфігурації, включно з підготовчим етапом, у нашому випадку зайняв декілька годин, а безпосередньо етап конвертації – менше години по часу (зазвичай це може займати до 1 робочого дня).

Цінність  FortiConverter  для мережевих інженерів і системних адміністраторів в тому, що цей інструмент, який дозволяє змістити фокус з механічного “перенабору” конфігурації на реальну технічну роботу: перевірку логіки сегментації, оптимізацію політик, корекцію правил та планування cutover. До того ж, з’являється можливість зробити перехід більш прогнозованим за строками та краще оцінювати обсяг робіт.

Заміна корпоративного фаєрвола більше не повинна бути "страшним сном" для інженерного складу. Завдяки FortiConverter Service міграція перетворюється на структурований, швидкий та безпечний технічний процес.  А для бізнесу це напряму трансформується у менший downtime-ризик, швидший запуск нового рішення і нижче навантаження на IT команду.