Fireboxen zu WatchGuard Cloud migrieren — Checkliste

Gilt für: Cloud-verwaltete Fireboxen, Lokal verwaltete Fireboxen

Folgen Sie den Schritten dieser Checkliste für die Planung des Wechsels Ihrer lokal verwalteten Fireboxen zu einer Cloud-Verwaltung in WatchGuard Cloud:

Wechsel zu Cloud-Verwaltung planen
WatchGuard Cloud einrichten
Vorlagen and Konfigurationseinstellungen planen und einrichten
Lokal verwaltete Fireboxen von Visibility zu Cloud-verwaltet umwandeln
Fireboxen nach dem Wechsel zu Cloud-Verwaltung testen

Wechsel zu Cloud-Verwaltung planen

Überprüfen Sie die aktuellen Konfigurationen Ihrer lokal verwalteten Firebox und erstellen Sie einen Plan für den Wechsel zu Cloud-Verwaltung.

Schritt	Beschreibung	Abgeschlossen?
1	Überprüfen Sie die unterstützten Funktionen in WatchGuard Cloud. Empfehlung: Wird eine spezielle Funktion noch nicht in WatchGuard Cloud unterstützt, überlegen Sie, ob Sie diese Funktion tatsächlich brauchen. Wenden Sie sich bei Fragen bitte an Ihren Vertreter des technischen Supports.
2	Planen Sie den Umfang Ihres Wechsels zu Cloud-Verwaltung. Empfehlung: Entscheiden Sie anhand der Größe und Komplexität Ihrer Umgebung, ob Sie Ihre Fireboxen schnell und gleichzeitig auf Cloud-Verwaltung umstellen können oder ob Ihre Bereitstellung komplexer ist und eine schrittweise Umstellung erfordert. Definieren Sie Ihre Wartungsfenster basierend auf dem Umfang Ihrer Bereitstellung. Ist Ihr Netzwerk groß oder komplex? Zum Beispiel: Fireboxen mit vielen einzigartigen Regeln, speziellen VPN-Konfigurationen oder älteren VPNs oder einzigartigen Routing-Konfigurationen? Ja — Ihre Fireboxen schrittweise migrieren. Nein — Ihre Fireboxen gleichzeitig migrieren.
3	Legen Sie fest, welche Fireboxen zuerst auf Cloud-Verwaltung umgestellt werden sollen. Erstellen Sie ein Inventarverzeichnis Ihrer Fireboxen und ein Diagramm Ihrer Netzwerktopologie. Gibt es Geräte mit Abhängigkeiten? Empfehlung: Wir empfehlen Ihnen, Ihre Fireboxen in dieser Reihenfolge zu migrieren: Test- oder interne Fireboxen. Fireboxen für Konten, die eine gemeinsame Standardkonfiguration verwenden. Konfigurieren Sie eine Vorlage für die oberste Ebene und verwenden Sie die Funktion zum Kopieren der Konfiguration. Fireboxen mit komplexen Konfigurationen. Migrieren Sie diese Geräte einzeln, um sicherzustellen, dass sie korrekt konfiguriert sind.
4	Identifizieren und dokumentieren Sie die besonderen Anforderungen Ihres Netzwerks. Empfehlung: Einige einzigartige Konfigurationen erfordern möglicherweise eine sorgfältige Planung, bevor Sie zur Cloud-Verwaltung wechseln, z. B.: Spezielle VPN-Konfigurationen oder ältere VPNs, die Sie unterstützen müssen. Einige VPNs müssen möglicherweise neu erstellt werden, nachdem Sie zur Cloud-Verwaltung gewechselt haben. Einzigartige Routing-Konfigurationen für Ihr Netzwerk.
5	Identifizieren Sie Gruppen von Fireboxen mit einer gemeinsamen Konfiguration, die Sie einfach in die Cloud-Verwaltung verschieben können.
6	Speichern Sie eine Sicherungskopie der aktuellen Versionen aller Firebox-Konfigurationen.
7	Erstellen Sie einen Testplan, um Ihre Fireboxen nach dem Wechsel zu Cloud-Verwaltung überprüfen.

WatchGuard Cloud einrichten

Bevor Sie Ihre Fireboxen auf Cloud-Verwaltung umstellen, richten Sie Ihr WatchGuard Cloud-Konto, Ihre Operatoren und verwalteten Konten ein.

Schritt	Beschreibung	Abgeschlossen?
1	Erstellen Sie ein WatchGuard Cloud-Konto.
2	Fügen Sie Ihrem WatchGuard Cloud-Konto Operatoren hinzu. Operatoren sind Benutzer, die sich bei WatchGuard Cloud anmelden können, um Kontodaten anzuzeigen und zu verwalten, Dienste zu konfigurieren und Berichte einzusehen.
3	Fügen Sie verwaltete Subscriber- und Service-Provider-Konten hinzu. WatchGuard Cloud ist ein mehrmandantenfähiges, mehrstufiges System. Ein Service-Provider-Konto kann Kundenkonten in bis zu fünf Stufen erstellen. Verwalten Sie andere MSPs? Ja — Fügen Sie Ihrem Konto für jeden MSP ein Tier 2-Service-Provider-Konto hinzu. Fügen Sie dem Service-Provider-Konto jedes MSP-verwalteten Kunden Subscriber-Konten hinzu. Nein — Fügen Sie für jeden Kunden, mit dem Sie zusammenarbeiten, ein Subscriber-Konto hinzu. Sie können mehrere Fireboxen für einen Kunden innerhalb eines Subscriber-Kontos verwalten.
4	(Optional) Kontogruppen hinzufügen. Verwenden Sie Kontogruppen, um den Zugriff auf alle oder bestimmte Konten in WatchGuard Cloud zu beschränken. Zur Vereinfachung der Kontozugriffsverwaltung können Sie eine Operator-Berechtigung für die Verwaltung einer Gruppe ähnlicher Konten anstelle jedes einzelnen Kontos zuweisen. Beispiel: Beispielsweise könnten Sie Support-Mitarbeiter haben, die nur einen bestimmten Teil aller Subscriber-Konten verwalten. Sie sollten sicherstellen, dass Sie nur Zugriff auf die von den Operatoren verwalteten Subscriber und nicht auf alle Subscriber in Ihrem WatchGuard Cloud Service-Provider-Konto gewähren. Sie können verschiedene Kontogruppen erstellen und in den Einstellungen für die Support-Operatoren nur den Zugriff auf die entsprechende Kontogruppe zulassen. Verwenden Sie Kontogruppen, um den Zugriff auf alle oder bestimmte Konten in WatchGuard Cloud zu beschränken. Operatoren mit Auditor- und Helpdesk-Rollen können nur Konten in ihrer zugewiesenen Kontogruppe verwalten. Operatoren zu Kontengruppen zuweisen.
5	(Optional) Geräteordner hinzufügen, um Geräte zu organisieren. Ordner ermöglichen Ihnen, den Status und zusammengefasste Daten für Gruppen von Geräten anzuzeigen. Beispiel: Wenn Sie Geräte an mehreren geografischen Standorten haben, können Sie für jeden Standort einen Ordner erstellen. So können Sie den Ordner öffnen und nur die Geräte an diesem Standort sowie eine Zusammenfassung des Status und aggregierte Berichte für diese Geräte anzeigen.
6	Geräte Konten zuweisen. Fireboxen, die von einem Service-Provider aktiviert wurden, erscheinen im Service-Provider-Inventar in WatchGuard Cloud. Nachdem Sie einem Subscriber-Konto eine Firebox zugewiesen haben, erscheint das Gerät in der Liste der Geräte, die Sie diesem Konto hinzufügen können. Um festzulegen, welche Fireboxen bestimmten Subscriber-Konten zugewiesen werden sollen, ordnen Sie Ihr internes POS-System Ihren WatchGuard Cloud Subscriber-Konten zu. Weisen Sie Fireboxen dem entsprechenden Subscriber- oder Service-Provider-Konto zu. Tier-n-Service-Provider können dann Geräte ihren verwalteten Konten zuweisen.
7	Fügen Sie Fireboxen zu WatchGuard Cloud hinzu, um Transparenz und Reporting zu erhalten. Wenn Sie Ihre Firebox für Überwachung und Reporting zur WatchGuard Cloud hinzufügen, können Sie die Firebox-Konfiguration weiterhin lokal über die Fireware Web UI oder den WatchGuard System Manager verwalten. Dies erleichtert später die Umstellung der Firebox auf Cloud-Verwaltung.

Vorlagen and Konfigurationseinstellungen planen und einrichten

Nachdem Sie Ihre Fireboxen zur WatchGuard Cloud hinzugefügt haben, richten Sie Vorlagen und Konfigurationseinstellungen für die Geräte ein.

Wir empfehlen Ihnen, Ihre aktuelle Konfiguration zu überprüfen und Ihre Cloud-Konfiguration wie eine neue Bereitstellung zu planen, anstatt Ihre bestehende lokale Konfiguration direkt zu konvertieren.

Schritt	Beschreibung	Abgeschlossen?
1	Überprüfen Sie aktuelle Regeln und Vorlagen, um Möglichkeiten zur Neuorganisation der Anwendung von Einstellungen auf Ihren Geräten zu finden. Empfehlung: Führen Sie den Bericht über die Regelnutzung für das Gerät in WatchGuard Cloud aus: Ermitteln Sie, wie Ihre aktuellen Regeln verwendet werden. Identifizieren Sie nicht verwendete Regeln, die Sie entfernen können. Identifizieren Sie gemeinsame Regeln, die Sie konsolidieren können.
2	Identifizieren Sie gemeinsame Firebox-Regeln und -Dienste, die in Vorlagen zusammengefasst werden sollen. Empfehlung: Verwenden Sie mehrere Vorlagen basierend auf bestimmten Gruppen von Regeln und Diensten. Mit diesem Ansatz können Sie eine Basisvorlage für Standardeinstellungen verwenden, die für alle Geräte gelten, und dann zusätzliche Vorlagen auf bestimmte Fireboxen anwenden, um je nach Bedarf unterschiedliche Regeln und Dienste zu aktivieren.
3	Richten Sie die neue Konfiguration für die Firebox in WatchGuard Cloud ein, bevor Sie zur Cloud-Verwaltung wechseln. Erstellen Sie eine Vorlage auf Service-Provider-Ebene für Standardeinstellungen, die für alle Fireboxen in allen vom Service-Provider verwalteten Konten gelten. Erstellen Sie eine Vorlage auf Subscriber-Ebene für Standardeinstellungen, die für alle Fireboxen in einer speziellen Kundenumgebung gelten. Geräteeinstellungen für gerätespezifische Konfigurationen aktualisieren.
4	Beachten Sie diese zusätzlichen Hinweise: Netzwerkkonfiguration In WatchGuard Cloud ist die Firebox-Netzwerkkonfiguration nach Netzwerken (Extern, Intern, Gast) organisiert. Bei lokal verwalteten Fireboxen ist die Konfiguration nach Netzwerkschnittstellen und Sicherheitszonen (Extern, Vertrauenswürdig, Optional) organisiert. Cloud-verwaltete Fireboxen verfügen nicht über eine optionale Sicherheitszone. Regeln Für Fireboxen, die Sie für Überwachung und Reporting zu WatchGuard Cloud hinzugefügt haben, können Sie den Bericht über die Regelnutzung in WatchGuard Cloud anzeigen, um festzustellen, wie Sie Ihre Regeln derzeit verwenden. Identifizieren Sie Regeln, die Sie bei der Umstellung auf Cloud-Verwaltung beibehalten müssen, und entfernen Sie nicht mehr benötigte Regeln. Suchen Sie nach ähnlichen Regeln, die Sie zusammenführen oder konsolidieren können, um die Anzahl der Regeln zu reduzieren. Cloud-verwaltete Fireboxen verfügen nicht über eine optionale Sicherheitszone. Wenn Ihre bestehenden lokal verwalteten Regeln die optionale Sicherheitszone verwenden, konfigurieren Sie das Netzwerk in WatchGuard Cloud als internes Netzwerk. Sie müssen alle Regeln, die die integrierten Aliasse Any-Trusted/Any-Optional verwenden, neu konfigurieren, damit die Netzwerk-Schnittstellen-Aliasse verwendet werden, wenn Sie nicht möchten, dass beide Netzwerke eine Verbindung zu denselben Ressourcen herstellen. Überprüfen Sie die Proxy-Aktionen in Ihrer lokal verwalteten Konfiguration. Aufgrund der Performance-Verbesserungen der neuesten Firebox-Modelle und der im Laufe der Zeit veränderten Eigenschaften des Internet- und Netzwerkverkehrs sind viele der in Policy Manager und Fireware Web UI verfügbaren Proxy-Aktionsoptionen nicht mehr erforderlich. In WatchGuard Cloud können Sie keine Proxy-Aktionen anpassen. Wenn Sie derzeit Ihre Proxy-Aktionen ändern, empfehlen wir Ihnen, die Funktionen Ausnahmen und First Run-Regeln in WatchGuard Cloud zu verwenden. Die First Run-Regeln in WatchGuard Cloud entsprechen der Verwendung von Paketfiltern, um Kern-Proxy-Regeln auf lokal verwalteten Fireboxes zu überschreiben. Subscription Services Cloud-verwaltete Fireboxen verfügen über eine Ausnahmekonfiguration, die von allen Regeln verwendet wird. Überprüfen Sie die aktuellen Ausnahmen für Ihren Subskription Service und fassen Sie diese in einer einzigen Liste für Ihre Cloud-verwalteten Fireboxen zusammen. In WatchGuard Cloud können Sie keine Ausnahmen basierend auf einer Gruppe oder einem Benutzer erstellen. Wenn Sie solche Ausnahmen erstellen müssen, verwenden Sie stattdessen First Run-Regeln. Branch-Office-VPNs (BOVPNs) Stellen Sie fest, ob Ihre aktuelle Umgebung komplexe VPNs oder ältere VPN-Konfigurationen enthält, die Sie beibehalten müssen. Viele ältere Einstellungen für BOVPN sind in WatchGuard Cloud nicht verfügbar. WatchGuard Cloud verwendet VIF (Virtual Interface) BOVPNs (auch als routingbasierte BOVPNs bekannt). WatchGuard Cloud unterstützt bisher keine regelbasiertes BOVPNs, die von lokal verwalteten Fireboxen zur Anwendung kommen. Um Störungen und längere Ausfallzeiten zu minimieren, planen Sie Ihre VPN-Hub-and-Spoke-Konfigurationen sorgfältig, bevor Sie mit der Umstellung auf Cloud-Verwaltung beginnen. Planen Sie längere Ausfallzeiten ein, wenn Sie die VPN-Firebox Ihres Hauptsitzes auf Cloud-Verwaltung umstellen und anschließend ändern Sie Ihre Spoke-VPN-Fireboxen. Sie müssen Ihre BOVPNs neu konfigurieren, nachdem Sie eine Firebox auf Cloud-Verwaltung umgestellt haben, aber die Konfiguration eines BOVPNs ist in WatchGuard Cloud wesentlich schneller. Wenn Sie vorhaben, Ihre Spoke-VPN-Fireboxen auf Cloud-Verwaltung umzustellen, bevor Sie die Firebox Ihres Hauptsitzes ändern, können Sie eine Konfiguration für Cloud-verwaltete zu lokal verwalteten Fireboxen oder für BOVPN von Drittanbietern von den Spoke-VPN-Fireboxen zu den lokal verwalteten Hub-VPN-Fireboxen erstellen. Wenn Sie schließlich die Hub-VPN-Firebox auf Cloud-Verwaltung umstellen, können Sie die BOVPN-Verbindungen als Cloud-verwaltete zu Cloud-verwaltete BOVPN-Konfiguration neu erstellen. Weitere Informationen finden Sie unter BOVPNs für Cloud-verwaltete Fireboxen verwalten. Mobile VPNs WatchGuard Cloud unterstützt mobiles VPN with SSL oder IKEv2. Mobile VPN with L2TP und IPSec werden nicht unterstützt. Mobile VPNs sollten nach der Umstellung auf Cloud-Verwaltung wieder normal funktionieren, aber stellen Sie sicher, dass die Cloud-Konfiguration mit der vorherigen Konfiguration übereinstimmt. Stellen Sie sicher, dass Sie einen Plan zur Behebung von Fehlkonfigurationen haben, wenn Sie zur Cloud-Verwaltung wechseln.

Lokal verwaltete Fireboxen von Visibility zu Cloud-verwaltet umwandeln

Nachdem Sie die Firebox-Konfiguration in WatchGuard Cloud erstellt haben, stellen Sie Ihre Firebox auf Cloud-Verwaltung um. Die Firebox erhält die neue Cloud-Konfiguration, wenn sie eine Verbindung zu WatchGuard Cloud herstellt.

Bis Sie die erste Konfigurationsbereitstellung in WatchGuard Cloud abgeschlossen haben, können Sie das Gerät weiterhin lokal über die Fireware Web UI oder WatchGuard System Manager verwalten.

Schritt	Beschreibung	Abgeschlossen?
1	Ändern Sie die lokal verwaltete Firebox zu Cloud-Verwaltung. (Optional) Konfigurationseinstellungen aus einer vorhandenen Cloud-verwalteten Firebox kopieren während der Umstellung auf Cloud-Verwaltung. Dies ist hilfreich, wenn Fireboxen in einem verwalteten Konto dieselben Konfigurationseinstellungen auf Geräteebene haben.
2	(Optional) Importieren Sie die Einstellungen aus der Konfigurationsdatei einer lokal verwalteten Firebox, nachdem das Gerät auf Cloud-Verwaltung umgestellt wurde. Sie können folgende Einstellungen importieren: Aliasse, Ausnahmen, Routen, blockierte Ports, blockierte Seiten, Dimension-Server, Syslog-Server, Technologie-Integrationen

Schritt

Beschreibung

Abgeschlossen?

Ändern Sie die lokal verwaltete Firebox zu Cloud-Verwaltung.

(Optional) Konfigurationseinstellungen aus einer vorhandenen Cloud-verwalteten Firebox kopieren während der Umstellung auf Cloud-Verwaltung. Dies ist hilfreich, wenn Fireboxen in einem verwalteten Konto dieselben Konfigurationseinstellungen auf Geräteebene haben.

(Optional) Importieren Sie die Einstellungen aus der Konfigurationsdatei einer lokal verwalteten Firebox, nachdem das Gerät auf Cloud-Verwaltung umgestellt wurde.

Sie können folgende Einstellungen importieren: Aliasse, Ausnahmen, Routen, blockierte Ports, blockierte Seiten, Dimension-Server, Syslog-Server, Technologie-Integrationen

Fireboxen nach dem Wechsel zu Cloud-Verwaltung testen

Nachdem Sie Ihre Firebox auf Cloud-Verwaltung umgestellt haben, testen Sie das Gerät, um sicherzustellen, dass Ihre Firebox wie erwartet funktioniert.

Schritt	Beschreibung	Abgeschlossen?
1	Führen Sie Ihren Testplan aus, um sicherzustellen, dass der Wechsel zu Cloud-Verwaltung korrekt funktioniert. Stellen Sie sicher, dass alle Geräte im Netzwerk kommunizieren können. Grundlegende Internet-Verbindungstests, kritische Unternehmensanwendungen, Verbindungen zu internen Ressourcen, Routing und VPNs.