Миграция с Cisco ASA на FortiGate: пошаговое руководство

Опубликовано: 30 Марта 2026 | Время чтения: 10 минут | Автор: Сетевой интегратор ООО «Альфаком»

Тысячи российских компаний до сих пор эксплуатируют Cisco ASA — надёжные, но морально устаревшие межсетевые экраны без функций NGFW. Уход Cisco с российского рынка сделал вопрос миграции не просто актуальным, а стратегически необходимым. FortiGate — наиболее логичная замена: схожая архитектура политик, богатая функциональность и реальная поставка оборудования в Россию.

В этом руководстве разберём миграцию пошагово: от аудита текущей конфигурации ASA до финального переключения трафика.

Параллельная работа ASA и FortiGate в период миграции позволяет переключаться без простоя.

Шаг 1. Аудит конфигурации Cisco ASA

Перед началом работ нужно полностью задокументировать текущую конфигурацию. Экспортируйте конфиг командой show running-config и составьте таблицу:

Сетевые объекты и группы (object network, object-group)
Access Control Lists (ACL) — правила доступа
NAT-правила (static, dynamic)
VPN-туннели — IPsec Site-to-Site и AnyConnect Remote Access
Routing — статические маршруты, OSPF/BGP если используется

                Инструмент Fortinet: Для автоматического конвертирования конфигурации ASA существует бесплатный Fortinet Migration Tool. Он конвертирует объекты, ACL и часть NAT-правил автоматически. Скачать можно в личном кабинете на support.fortinet.com.
            

Шаг 2. Выбор модели FortiGate

Подбирайте FortiGate исходя из реальной нагрузки, а не номинала ASA. Ключевые параметры для сравнения:

Firewall Throughput — пропускная способность без инспекции
NGFW Throughput — с включёнными IPS и App Control
Concurrent Sessions — количество одновременных сессий
SSL-VPN пользователи — если используете AnyConnect

Cisco ASA 5506-X соответствует уровню FortiGate 60F/80F. ASA 5516-X — FortiGate 100F/101F. ASA 5525-X и выше — FortiGate 200F и старше.

Шаг 3. Параллельная установка FortiGate

Не заменяйте ASA сразу — установите FortiGate параллельно. Подключите его к тем же сегментам сети через дополнительные порты коммутатора (в режиме span/mirror для мониторинга) или напрямую к провайдеру через дополнительный IP.

На этом этапе FortiGate работает в режиме наблюдения: вы настраиваете политики, тестируете NAT и проверяете маршрутизацию, пока трафик идёт через ASA.

Важно: Не отключайте ASA до тех пор, пока все VPN-туннели не будут подняты на FortiGate и не пройдут полноценное тестирование. VPN-миграция — самый рискованный этап.

Шаг 4. Перенос политик и объектов

После конвертации через Migration Tool проверьте каждую группу политик вручную:

Убедитесь, что все сетевые объекты (адреса, группы) созданы в Policy & Objects → Addresses
Проверьте сервисы и порты в Policy & Objects → Services
Сверьте NAT-правила в Policy & Objects → Virtual IPs и IP Pools
Настройте Security Profiles (IPS, AV, Web Filter) — аналогов в ASA нет, это новые возможности

Шаг 5. Миграция VPN-туннелей

IPsec Site-to-Site туннели переносятся через VPN → IPsec Wizard. Параметры шифрования (Phase 1 / Phase 2) должны совпадать с настройками на удалённой стороне.

Если используется AnyConnect — FortiGate заменяет его на SSL-VPN с FortiClient. Пользователи устанавливают FortiClient вместо AnyConnect. Аутентификация через AD/LDAP настраивается в User & Authentication → LDAP Servers.

Шаг 6. Финальное переключение

Когда всё протестировано, переключение занимает 5–15 минут:

Переключите внешний IP провайдера на интерфейс FortiGate (или измените маршрут на пограничном роутере)
Убедитесь, что трафик пошёл через FortiGate (мониторинг в Dashboard → FortiView)
Держите ASA включённым ещё 24–48 часов как резерв
После стабилизации — ASA можно вывести из эксплуатации