Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 3 subscribers
  • Views 2441 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Migration from Checkpoint to Astaro

Akira78
Hello,

I'm planning to migrate my checkpoint 4.1 firewall to Astaro. But I have a very large set of rules (71) and many many objects. Does someone else deal with this problem? (i didn't find anything in this forum about this subject). Perhaps some script or tool have been developed...If at least i can find my objects back in Astaro i can deal with rules....

I've found cp2fwbuilder but i didn't manage to make it works, the output xml file contain only header but no data.

Thanks for your help  


This thread was automatically locked due to age.
Parents
  • 0
    There may be tools to migrate over but a rulebase of only 71 rules isn't really THAT bad to do manually.  Yes, it'll take some time but consider doing it manually.  Why?  It'll give you a good reason to look over the rules and tune them.  I know when I upgraded from 4.1 to NG at one point I did it manually and found it helpful to look over the rules.  I found a lot of weird rules that other admins put in that I was forced to look at and question.  Consider it a sort of audit of sorts. 
Reply
  • 0
    There may be tools to migrate over but a rulebase of only 71 rules isn't really THAT bad to do manually.  Yes, it'll take some time but consider doing it manually.  Why?  It'll give you a good reason to look over the rules and tune them.  I know when I upgraded from 4.1 to NG at one point I did it manually and found it helpful to look over the rules.  I found a lot of weird rules that other admins put in that I was forced to look at and question.  Consider it a sort of audit of sorts. 
Children
  • 0 in reply to SecApp
    I too have been running with CP for a very long time (since v3) .. my client has made the decision to migrate to ASL, and I'm helping them with this, but one major ruleset difference I see is no apparently easy way to use 'negation'.  Eg.  four leg firewall: ext, dmz, int, staging  -- outbound from the dmz is specified as:
    NOT int, NOT staging (meaning can initiate outbound to ext only).

    The main reason for wanting this is to avoid masq'ing internal to internal networks.  I want the actual IP of any internal or staging subnet traffic to show up on the DMZ - for traffic accounting purposes.

    Am I missing something here?   ASL 4.018
    Thanks!
    AP

     
  • 0 in reply to edhacker
    No you're not; if you do a Search, this has been requested. iptables supports a not operator, so I don't think it will be hard for them to implement (but sometimes the death is in the details...).

    Version 5 is coming; let's see if it will have it. In the meantime you will have to use a higher precedence complement rule...