Кіраўніцтва па шлюзе бяспекі
Microsoft Azure
Брандмаўэр/VPN/маршрутызатар pfSense® Plus для Microsoft Azure - гэта брандмаўэр, VPN і прылада бяспекі з захаваннем стану. Ён падыходзіць для выкарыстання ў якасці канчатковай кропкі VPN як для VPN-тунэляў "сайт-сайт", так і ў якасці сервера VPN аддаленага доступу для мабільных прылад. Даступны ўласныя функцыі брандмаўэра, а таксама мноства дадатковых функцый, такіх як фарміраванне паласы прапускання, выяўленне ўварванняў, проксі-сервер і многае іншае праз пакеты. pfSense Plus для Azure даступны на Azure Marketplace.
ПАЧАТАК
1.1 Запуск асобніка з адной сеткавай картай
Экземпляр Netgate® pfSense® Plus для Azure, створаны з дапамогай адной сеткавай карты, можна выкарыстоўваць у якасці канчатковай кропкі VPN для доступу да віртуальнай сеткі Azure (VNet). Адзіная сеткавая карта pfSense
Плюс віртуальная машына (VM) стварае толькі інтэрфейс WAN, але па-ранейшаму забяспечвае агульнадаступны і прыватны IP у Azure.
На партале кіравання Azure запусціце новы асобнік брандмаўэра/VPN/маршрутызатара Netgate pfSense® Plus.
- На панэлі кіравання партала Azure націсніце Marketplace.
- Пошук and select the Netgate Appliance for Azure.
- Усталюйце імя асобніка, а таксама імя карыстальніка, пароль, групу рэсурсаў і рэгіён.
Уведзенае імя карыстальніка будзе створана ў якасці сапраўднага ўліковага запісу pfSense Plus пасля загрузкі і зможа ўвайсці ў web GUI. Акрамя таго, пароль карыстальніка адміністратара таксама будзе мець уведзенае значэнне.
Папярэджанне: Імя карыстальніка, якое звычайна выкарыстоўваецца для адміністравання pfSense Plus, - admin, але admin - гэта зарэзерваванае імя, якое не дазваляе ўсталёўваць майстар забеспячэння Azure. Таксама для забеспячэння бяспекі ў воблаку лепшай практыкай лічыцца абмежаванне доступу для карыстальніка root, таму root заблакіраваны па змаўчанні.
- абярыце памер асобніка.
- Выберыце тып дыска і налады сеткі (віртуальная сетка, падсетка, публічны IP-адрас, група бяспекі сеткі).
Каб кіраваць прыладай Netgate pfSense ® Plus, вы павінны пераканацца, што група бяспекі змяшчае правілы, якія дазваляюць портам 22 (SSH) і 443 (HTTPS) доступ да каманднага радка і Web GUI. Калі вы плануеце дазволіць іншы трафік, дадайце дадатковыя канчатковыя кропкі.
Для IPsec дазвольце UDP порт 500 (IKE) і UDP порт 4500 (NAT-T).
Для OpenVPN, дазволіць UDP порт 1194.
Націсніце на групу бяспекі сеткі і ўнясіце неабходныя дапаўненні. - Пацвердзіце свой выбар на старонцы зводкі і націсніце OK.
- Звярніце ўвагу на цану на старонцы пакупкі і націсніце "Набыць".
- Пасля таго, як віртуальная машына запусціцца і партал Azure пакажа, што яна з'явілася, вы зможаце атрымаць доступ да web інтэрфейс. Выкарыстоўвайце пароль, які вы ўсталявалі ў працэсе падрыхтоўкі, і карыстальніка адміністратара. Цяпер вы павінны атрымаць доступ да прылады.
1.2 Запуск асобніка з некалькімі сеткавымі інтэрфейсамі.
Экземпляр Netgate® pfSense® Plus для Azure, які мае некалькі сеткавых карт, якія будуць выкарыстоўвацца ў якасці брандмаўэра або шлюза, не можа быць падрыхтаваны на партале Azure webсайты. Каб забяспечыць асобнік некалькімі сеткавымі інтэрфейсамі, вы павінны выкарыстоўваць PowerShell, Azure CLI або шаблон ARM для выканання неабходных задач.
Гэтыя працэдуры апісаны ў дакументацыі Microsoft Azure. Некаторыя спасылкі, якія ілюструюць гэты працэс:
- Разгортванне з PowerShell па класічнай мадэлі разгортвання
- Разгортванне з дапамогай PowerShell у рамках мадэлі разгортвання Resource Manager
- Разгортванне з дапамогай Azure CLI у рамках мадэлі разгортвання Resource Manager
- Разгортванне з дапамогай шаблонаў у рамках мадэлі разгортвання Resource Manager
1.3 Падтрымка пашырэння дыягностыкі загрузкі Azure.
Пашырэнне Azure Boot Diagnostics можа не працаваць належным чынам з праграмным забеспячэннем Netgate® pfSense® Plus для прылады Azure.
Падчас сертыфікацыйнага тэсціравання прыбора паведамлялася аб праблемах з гэтай функцыяй. Наступнае тэсціраванне паказала, што пры некаторых абставінах ён, здаецца, працуе. Вы можаце паспрабаваць уключыць дыягностыку загрузкі, але яна афіцыйна не падтрымліваецца.
Калі ласка, не звяртайцеся ў службу падтрымкі і не звяртайцеся ў службу падтрымкі, калі вы выявіце, што пашырэнне Boot Diagnostics не працуе належным чынам з вашым Netgate pfSense ®
Плюс для Azure VM. Гэта вядомае абмежаванне, ад якога няма сродкаў прававой абароны
Служба падтрымкі кліентаў Azure або Netgate.
2.1 Даступнасць на рэгіянальным рынку
Табліцы ніжэй паказваюць бягучую даступнасць па рэгіянальным рынку. Калі патрэбнага рэгіянальнага рынку няма ў спісе, звярніцеся да даступнасці Microsoft Regions або адпраўце заяўку ў службу падтрымкі непасрэдна ў Microsoft Azure.
стол 1: Даступныя рэгіёны Microsoft Azure
| Рынак | pfSense Plus |
| Арменія | Даступны |
| Аўстралія | * |
| Аўстрыя | Даступны |
| Беларусь | Даступны |
| Бельгія | Даступны |
| Бразілія | Даступны |
| Канада | Даступны |
| Харватыя | Даступны |
| Кіпр | Даступны |
| Чэхія | Даступны |
| Данія | Даступны |
| Эстонія | Даступны |
| Фінляндыя | Даступны |
| Францыя | Даступны |
| Нямеччына | Даступны |
| Грэцыя | Даступны |
| Венгрыя | Даступны |
| Індыя | Даступны |
| Ірландыя | Даступны |
| Італія | Даступны |
| Карэя | Даступны |
| Латвія | Даступны |
| Ліхтэнштэйн | Даступны |
| Літва | Даступны |
| Люксембург | Даступны |
| Мальта | Даступны |
| Манака | Даступны |
| Нідэрланды | Даступны |
| Новая Зеландыя | Даступны |
| Нарвегія | Даступны |
Табліца 1 – працяг з папярэдняй старонкі.
| Рынак | pfSense Plus |
| Польшчы | Даступны |
| Партугалія | Даступны |
| Пуэрта-Рыка | Даступны |
| Румынія | Даступны |
| Расія | Даступны |
| Саудаўская Аравія | Даступны |
| Сербія | Даступны |
| Славакія | Даступны |
| Славенія | Даступны |
| Паўднёвая Афрыка | Даступны |
| Іспанія | Даступны |
| Швецыя | Даступны |
| Швейцарыя | Даступны |
| Тайвань | Даступны |
| Турцыя | Даступны |
| Аб'яднаныя Арабскія Эміраты | Даступны |
| Вялікабрытанія | Даступны |
| ЗША | Даступны |
* Аўстралія з'яўляецца краінай, кіраванай Microsoft, для продажаў па ўсіх сцэнарыях пакупкі кліентамі, акрамя сцэнарыя пакупкі кліентамі па Enterprise Agreement.
2.2 Часта задаюць пытанні
2.2.11. Ці варта мне ўсталёўваць пароль або выкарыстоўваць ключ SSH падчас забеспячэння карыстальнікаў Azure?
Рэкамендуецца ўсталяваць пароль. Гэта дасць доступ да WebGUI, у той час як ключ SSH дазволіць вам атрымаць доступ толькі да каманднага радка SSH. Большасць элементаў канфігурацыі ў праграмным забеспячэнні Netgate® pfSense® Plus звычайна кіруюцца праз WebGUI. Калі вы выпадкова выкарыстаеце замест гэтага ключ SSH, вы можаце выбраць опцыю для скіду пароля адміністратара ў тэкставым меню, якое з'яўляецца пры ўваходзе ў ваш асобнік па SSH. Затым WebПароль GUI будзе скінуты да «pfsense». Вы павінны неадкладна абнавіць пароль адміністратара на больш бяспечнае значэнне, як толькі вы паспяхова ўвайшлі ў сістэму WebGUI.
2.2.22. Ці падтрымліваецца жывое абнаўленне праграмнага забеспячэння?
Версіі ў дыяпазоне 2.2.x не павінны спрабаваць выканаць абнаўленне прашыўкі. У будучыні (pfSense 2.3 або больш позняй версіі) гэта можа быць магчыма, але ў цяперашні час гэта не праверана і не падтрымліваецца. Паколькі сапраўдная сістэмная кансоль недаступная, канчатковы працэс аднаўлення пры збоях падчас абнаўлення будзе цяжка вызначыць. У цяперашні час рэкамендуемы працэс для абнаўлення заключаецца ў стварэнні рэзервовай копіі канфігурацыі pfSense ® Plus з існуючага асобніка і яе аднаўленні на новым экземпляры, калі абнаўленне стане даступным.
2.3 Рэсурсы падтрымкі
2.3.1 Камерцыйная падтрымка
Каб падтрымліваць цэны на нізкім узроўні, праграмнае забеспячэнне не пастаўляецца ў камплекце з падпіскай на падтрымку. Для карыстальнікаў, якім патрэбна камерцыйная падтрымка, можна набыць Netgate® Global Support на https://www.netgate.com/support.
2.3.2 Падтрымка супольнасці
Падтрымка супольнасці даступная праз форум Newgate.
2.4 Дадатковыя рэсурсы
2.4.1 Навучанне Netgate
Netgate training прапануе навучальныя курсы для пашырэння вашых ведаў аб прадуктах і паслугах pfSense ® Plus. Ці трэба вам падтрымліваць або паляпшаць навыкі бяспекі вашага персаналу або прапаноўваць вузкаспецыялізаваную падтрымку і павышаць задаволенасць кліентаў; Навучанне Netgate дапаможа вам.
https://www.netgate.com/training
2.4.2 Бібліятэка рэсурсаў
Каб даведацца больш пра тое, як карыстацца прыладай Netgate, а таксама атрымаць іншыя карысныя рэсурсы, абавязкова праглядзіце нашу бібліятэку рэсурсаў.
https://www.netgate.com/resources
2.4.3 Прафесійныя паслугі
Падтрымка не распаўсюджваецца на больш складаныя задачы, такія як канфігурацыя CARP для рэзервавання некалькіх брандмаўэраў або ланцугоў, праектаванне сеткі і пераўтварэнне іншых брандмаўэраў у праграмнае забеспячэнне pfSense® Plus. Гэтыя прадметы прапануюцца як прафесійныя паслугі і могуць быць набыты і запланаваны адпаведна.
https://www.netgate.com/our-ervices/professional-services.html
2.4.4 Параметры супольнасці
Калі вы вырашылі не атрымліваць платны план падтрымкі, вы можаце знайсці дапамогу ў актыўнай і дасведчанай супольнасці pfSense на нашых форумах.
https://forum.netgate.com/
Дакументы / Рэсурсы
 |
Брандмаўэр/VPN/маршрутызатар netgate pfSense Plus для Microsoft Azure [pdfКіраўніцтва карыстальніка Microsoft Azure, шлюз бяспекі, шлюз бяспекі Microsoft Azure, pfSense Plus Firewall VPN-маршрутызатар для Microsoft Azure, pfSense Plus Firewall VPN-маршрутызатар |
