防火墙迁移: NetScreen NS500 to FortiGate

Question

最近，我的任务是完成防火墙从一个旧的NetScreen NS500盒到一个FortiGate设备的迁移(我相信它会是一个60C)。我相信你们中的大多数人都知道，自从Juniper接手之后，NetScreen盒就不再卖了，所以找到文档对我来说有点困难。基本上，我想知道是否有人有任何建议或可能的工具来帮助这个迁移过程。手工操作证明这是一场噩梦！

请注意，我尝试过https://convert.fortinet.com，但是它不支持这个旧的NetScreen配置，但是它确实支持更新的NetScreen配置。如果有某种方式可以使用NetScreen -> Juniper，允许我使用FortiConverter，但这也意味着另一个步骤，这意味着我在迁移过程中会发生更多的变化/错误。

让我知道你们的想法，真的任何建议在这一点上都是好的。

Answer 1

如果我是你，我会尝试在杜松树论坛和Fortinet论坛上发帖。

当您运行旧的、不受支持的版本时，供应商通常不想知道，特别是当您从它们移开时。但是，如果您与Fortinet有一份支持合同(对不起，我对它们不太熟悉)，我会认为您的帐户经理会有所帮助吗？

关于一般的防火墙迁移，10次中有9次，我发现手动更好，尽管更繁琐。当升级是在同一产品线内的版本升级时，供应商提供的最新版本/包将更容易和直接地进行升级。否则，这会更痛苦，需要复制每条规则(为5元组和任何其他信息做笔记)。

祝好运!

Answer 2

“我会支持手动方法，”MarkHillick提到。我曾帮助组织(一个拥有600多个防火墙和数千条规则)迁移到新的防火墙，唯一的方法是手动完成这一工作--提供审查、可审计性、检查规则的所有权和直接的退出计划。

这需要时间，但是试图自动化从遗留的规则库迁移的过程可能不仅会传播现有的弱点，而且会带来更多的缺陷。

Answer 3

尝试两个步骤的过程，可能有来自juniper或论坛的支持从旧的netscreen迁移到最新的netscreen吐露和从最新的netscreen配置迁移到fortinet。

这需要对正确性进行严格的测试。