Návod k bezpečnostní bráně
Microsoft Azure
pfSense® Plus Firewall/VPN/Router pro Microsoft Azure je stavová brána firewall, VPN a bezpečnostní zařízení. Je vhodný pro použití jako koncový bod VPN pro tunely VPN typu site-to-site i jako server VPN pro vzdálený přístup pro mobilní zařízení. K dispozici je nativní funkce brány firewall a mnoho dalších funkcí, jako je tvarování šířky pásma, detekce narušení, proxy a další prostřednictvím balíčků. pfSense Plus pro Azure je k dispozici na Azure Marketplace.
ZAČÍNÁME
1.1Spuštění instance s jednou NIC
Instanci Netgate® pfSense® Plus pro Azure, která je vytvořena s jednou síťovou kartou, lze použít jako koncový bod VPN pro umožnění přístupu k virtuální síti Azure (VNet). Jediný NIC pfSense
Plus virtuální počítač (VM) vytváří pouze rozhraní WAN, ale stále poskytuje veřejnou a soukromou IP v rámci Azure.
Na Azure Management Portal spusťte novou instanci zařízení Netgate pfSense® Plus Firewall/VPN/Router.
- Na panelu Azure Portal Dashboard klikněte na Marketplace.
- Hledat and select the Netgate Appliance for Azure.
- Nastavte název instance a také uživatelské jméno, heslo, skupinu prostředků a oblast.
Zadané uživatelské jméno bude po spuštění vytvořeno jako platný účet pfSense Plus a budete se moci přihlásit web GUI. Kromě toho bude mít administrátor také své heslo nastavené na zadanou hodnotu.
Varování: Uživatelské jméno, které se obvykle používá ke správě pfSense Plus, je admin, ale admin je vyhrazené jméno, které nelze nastavit pomocí průvodce zřizováním Azure. Také pro zabezpečení cloudu se považuje za nejlepší postup omezit přístup pro uživatele root, takže root je ve výchozím nastavení uzamčen.
- nastavte velikost instance.
- Vyberte typ disku a nastavení sítě (virtuální síť, podsíť, veřejná IP adresa, skupina zabezpečení sítě).
Pro správu zařízení Netgate pfSense ® Plus byste se měli ujistit, že skupina zabezpečení obsahuje pravidla umožňující portům 22 (SSH) a 443 (HTTPS) přístup k příkazovému řádku a Web GUI. Pokud plánujete povolit další provoz, přidejte další koncové body.
U IPsec povolte UDP port 500 (IKE) a UDP port 4500 (NAT-T).
Pro OpenVPN, dovolit UDP přístav 1194.
Klikněte na skupinu zabezpečení sítě a podle potřeby proveďte doplňky. - Potvrďte svůj výběr na stránce Souhrn a klikněte na OK.
- Poznamenejte si cenu na stránce nákupu a klikněte na Koupit.
- Jakmile se virtuální počítač spustí a Azure Portal ukáže, že se objevil, můžete získat přístup k web rozhraní. Použijte heslo, které jste nastavili během procesu zřizování a uživatele s oprávněním správce. Nyní byste měli mít přístup ke spotřebiči.
1.2Spuštění instance s více síťovými rozhraními.
Instanci Netgate® pfSense® Plus pro Azure, která má více síťových karet, které se mají použít jako bránu firewall nebo bránu, nelze zřídit v Azure Portal. webstránky. Chcete-li zřídit instanci s více síťovými rozhraními, musíte k provedení požadovaných úloh použít PowerShell, Azure CLI nebo šablonu ARM.
Tyto postupy jsou zdokumentovány v dokumentaci společnosti Microsoft Azure. Několik odkazů, které tento proces ilustrují:
- Nasaďte PowerShell v rámci klasického modelu nasazení
- Nasaďte pomocí PowerShellu v rámci modelu nasazení Správce prostředků
- Nasaďte pomocí Azure CLI v modelu nasazení Správce prostředků
- Nasaďte pomocí šablon v rámci modelu nasazení Správce prostředků
1.3Podpora pro rozšíření Azure Boot Diagnostics.
Rozšíření Azure Boot Diagnostics nemusí správně fungovat se softwarem Netgate® pfSense ® Plus pro zařízení Azure.
Problémy s touto funkčností byly hlášeny při certifikačním testování zařízení. Následné testování ukázalo, že za určitých okolností funguje. Můžete se pokusit povolit diagnostiku spouštění, ale není to oficiálně podporováno.
Pokud zjistíte, že rozšíření Boot Diagnostics nefunguje správně s vaším Netgate pfSense ®, nezahajujte prosím hovory podpory ani lístky.
Navíc pro virtuální počítač Azure. Toto je známé omezení a není k dispozici žádná náprava
tým zákaznické podpory Azure nebo Netgate.
2.1 Dostupnost na regionálním trhu
Níže uvedené tabulky představují aktuální dostupnost podle regionálního trhu. Pokud požadovaný regionální trh není uveden, podívejte se na dostupnost Microsoft Regions nebo odešlete lístek podpory přímo do Microsoft Azure.
Tabulka 1: Dostupné oblasti Microsoft Azure
| Trh | pfSense Plus |
| Arménie | K dispozici |
| Austrálie | * |
| Rakousko | K dispozici |
| Bělorusko | K dispozici |
| Belgie | K dispozici |
| Brazílie | K dispozici |
| Kanada | K dispozici |
| Chorvatsko | K dispozici |
| Kypr | K dispozici |
| Česko | K dispozici |
| Dánsko | K dispozici |
| Estonsko | K dispozici |
| Finsko | K dispozici |
| Francie | K dispozici |
| Německo | K dispozici |
| Řecko | K dispozici |
| Maďarsko | K dispozici |
| Indie | K dispozici |
| Irsko | K dispozici |
| Itálie | K dispozici |
| Korea | K dispozici |
| Lotyšsko | K dispozici |
| Lichtenštejnsko | K dispozici |
| Litva | K dispozici |
| Lucembursko | K dispozici |
| Malta | K dispozici |
| Monako | K dispozici |
| Nizozemí | K dispozici |
| Nový Zéland | K dispozici |
| Norsko | K dispozici |
Tabulka 1 – pokračování z předchozí stránky.
| Trh | pfSense Plus |
| Polsko | K dispozici |
| Portugalsko | K dispozici |
| Portoriko | K dispozici |
| Rumunsko | K dispozici |
| Rusko | K dispozici |
| Saúdská Arábie | K dispozici |
| Srbsko | K dispozici |
| Slovensko | K dispozici |
| Slovinsko | K dispozici |
| Jižní Afrika | K dispozici |
| Španělsko | K dispozici |
| Švédsko | K dispozici |
| Švýcarsko | K dispozici |
| Tchaj-wan | K dispozici |
| Turecko | K dispozici |
| Spojené arabské emiráty | K dispozici |
| Spojené království | K dispozici |
| Spojené státy | K dispozici |
* Austrálie je zemí spravovanou společností Microsoft pro prodej prostřednictvím všech scénářů nákupu zákazníkem kromě scénáře nákupu zákazníkem podle smlouvy Enterprise Agreement.
2.2 Často kladené otázky
2.2.11. Mám během zřizování uživatelů Azure nastavit heslo nebo použít klíč SSH?
Doporučuje se nastavit heslo. Tím bude udělen přístup k WebGUI, zatímco klíč SSH vám umožní přístup pouze k příkazovému řádku SSH. Většina konfiguračních položek v softwaru Netgate® pfSense® Plus je obvykle ovládána pomocí WebGUI. Pokud místo toho omylem použijete klíč SSH, můžete vybrat možnost resetování hesla správce v textové nabídce, která se zobrazí, když do své instance připojíte ssh. Potom WebHeslo GUI bude resetováno na „pfsense“. Jakmile se úspěšně přihlásíte, měli byste okamžitě aktualizovat heslo správce na bezpečnější hodnotu WebGUI.
2.2.22. Je podporována živá aktualizace softwaru?
Verze v rozsahu 2.2.x by se neměly pokoušet o provedení aktualizace firmwaru. V budoucnu (pfSense 2.3 nebo novější) to možná bude možné, ale v současnosti to není testováno a není podporováno. Protože skutečná systémová konzole není k dispozici, bylo by obtížné definovat definitivní proces obnovy pro selhání během upgradu. Aktuálně doporučeným postupem pro upgrady je zálohování konfigurace pfSense ® Plus ze stávající instance a její obnovení v nové instanci, když je k dispozici upgrade.
2.3 Zdroje podpory
2.3.1 Obchodní podpora
V zájmu udržení nízkých cen není software součástí balíčku podpory. Pro uživatele, kteří potřebují komerční podporu, lze zakoupit Netgate® Global Support na https://www.netgate.com/support.
2.3.2 Podpora komunity
Podpora komunity je dostupná prostřednictvím fóra Newgate.
2.4 Další zdroje
2.4.1 Školení Netgate
Školení Netgate nabízí školicí kurzy pro zvýšení vašich znalostí o produktech a službách pfSense ® Plus. Ať už potřebujete udržet nebo zlepšit bezpečnostní dovednosti svých zaměstnanců nebo nabídnout vysoce specializovanou podporu a zlepšit spokojenost zákazníků; Školení Netgate vás pokryje.
https://www.netgate.com/training
2.4.2 Knihovna zdrojů
Chcete-li se dozvědět více o tom, jak používat vaše zařízení Netgate, a další užitečné zdroje, nezapomeňte si procházet naši knihovnu zdrojů.
https://www.netgate.com/resources
2.4.3 Profesionální služby
Podpora nepokrývá složitější úlohy, jako je konfigurace CARP pro redundanci na více firewallech nebo okruzích, návrh sítě a převod z jiných firewallů na software pfSense ® Plus. Tyto položky jsou nabízeny jako profesionální služby a lze je podle toho zakoupit a naplánovat.
https://www.netgate.com/our-ervices/professional-services.html
2.4.4 Možnosti komunity
Pokud jste se rozhodli nedostávat placený plán podpory, můžete najít pomoc od aktivní a znalé komunity pfSense na našich fórech.
https://forum.netgate.com/
Dokumenty / zdroje
 |
netgate pfSense Plus Firewall/VPN/Router pro Microsoft Azure [pdfUživatelská příručka Microsoft Azure, Security Gateway, Microsoft Azure Security Gateway, pfSense Plus Firewall VPN Router pro Microsoft Azure, pfSense Plus Firewall VPN Router |
