Migración Cisco ASA → FortiGate sin downtime

Tres razones convergen: (1) Muchos modelos Cisco ASA entraron en End of Life / End of Support en los últimos años (ASA 5500-X serie clásica), lo que significa sin actualizaciones de firmware ni RMA. (2) Cisco Firepower, la línea NGFW que sustituye a ASA, es notablemente más cara y compleja de operar que FortiGate, y la experiencia de usuario ha sido ampliamente criticada. (3) FortiGate ofrece firewall, VPN, SD-WAN, IPS, antivirus, control de aplicaciones y ZTNA en un solo appliance con un coste total (hardware + licencias + mantenimiento) que suele ser un 30-40% más bajo a 3 años.

Para una sede con un solo par de ASA en HA y menos de 200 reglas de firewall, la migración se ejecuta en una ventana de mantenimiento de 2-4 horas nocturnas, con rollback preparado. Para entornos multi-sede con cientos de políticas, VPN site-to-site y SD-WAN, se hace por fases durante 2-4 semanas, con cortes mínimos por sede. Nunca hay un Big Bang: siempre se corre en paralelo antes del corte final.

Sí y no. Fortinet tiene una herramienta oficial (FortiConverter) que traduce automáticamente la sintaxis de ACLs, NAT, objetos de red y rutas de Cisco ASA a FortiGate. Pero la conversión automática rara vez es 100% limpia: objetos duplicados, ACLs redundantes, reglas obsoletas acumuladas con los años y NAT heredados que ya nadie entiende. Nuestro proceso usa FortiConverter como punto de partida y luego revisa regla por regla con el cliente, depurando lo que ya no se usa. El resultado típico: un 20-40% menos de reglas en el FortiGate resultante, más limpio y más rápido de auditar.

Se migran sin problema. FortiGate implementa el estándar IKEv1/IKEv2 completo y es interoperable con cualquier extremo remoto (otro Cisco ASA, un router, otro fabricante...). Durante la migración, configuramos el nuevo FortiGate con las mismas fases 1 y 2 que el ASA, lo levantamos en paralelo con una IP pública alternativa, probamos el túnel, y en el corte solo cambia la IP de origen en el extremo remoto. Minutos de downtime, no horas.

FortiGate soporta VPN SSL (portal y tunnel) y IPsec de cliente con FortiClient, que es equivalente funcional a AnyConnect. Los usuarios finales instalan FortiClient (gratuito para VPN básica) o usan el portal web SSL sin cliente. Para entornos con muchos usuarios remotos, recomendamos FortiClient EMS para gestión centralizada y el módulo ZTNA que permite ir más allá de una VPN tradicional. La transición se hace durante la propia ventana de migración.

En la mayoría de perfiles PYME y mediana empresa, sí. El ahorro viene de tres sitios: (1) El hardware FortiGate es significativamente más barato por gigabit de throughput NGFW. (2) Las licencias FortiGuard (bundle UTP/ATP/Enterprise) son más baratas que las licencias equivalentes de Firepower Threat Defense. (3) El coste operativo: FortiGate se gestiona con una GUI moderna o desde FortiManager, y muchos equipos reportan que tardan la mitad en hacer cambios de política frente a Firepower Management Center. Nosotros te preparamos un análisis TCO a 3 años comparando tu Cisco actual con el FortiGate equivalente, gratis.

Nuestros ingenieros certificados NSE4 y NSE7. Dependiendo del entorno: (a) Migración remota asistida vía VPN/TeamViewer para sedes pequeñas con un técnico del cliente in-situ. (b) Desplazamiento a Madrid o Barcelona para entornos medianos críticos. (c) Proyecto completo con plan de corte, pruebas, rollback y post-migration review para entornos multi-sede. Siempre hay un segundo ingeniero como respaldo durante la ventana de corte.