Sikkerhedsgateway manual
Microsoft Azure
pfSense® Plus Firewall/VPN/Router til Microsoft Azure er en stateful firewall, VPN og sikkerhedsanordning. Den er velegnet til brug som et VPN-endepunkt både for site-to-site VPN-tunneler og som en fjernadgang VPN-server til mobile enheder. Native firewall-funktionalitet er tilgængelig, ligesom der er mange ekstra funktioner såsom båndbreddeformning, indtrængningsdetektion, proxy og mere via pakker. pfSense Plus til Azure er tilgængelig på Azure Marketplace.
KOM I GANG
1.1Lancering af en instans med et enkelt NIC
En forekomst af Netgate® pfSense® Plus til Azure, der er oprettet med et enkelt NIC, kan bruges som et VPN-slutpunkt for at give adgang til et Azure Virtual Network (VNet). Den enkelte NIC pfSense
Plus virtuel maskine (VM) opretter kun en WAN-grænseflade, men leverer stadig offentlig og privat IP i Azure.
I Azure Management Portal skal du starte en ny forekomst af Netgate pfSense® Plus Firewall/VPN/Router-enheden.
- Fra Azure Portal Dashboard skal du klikke på Marketplace.
- Søg efter og vælg Netgate-apparatet til Azure.
- Indstil navnet på forekomsten samt brugernavn, adgangskode, ressourcegruppe og region.
Det indtastede brugernavn vil blive oprettet som en gyldig pfSense Plus-konto ved opstart og vil være i stand til at logge ind på web GUI. Derudover vil administratorbrugeren også have sin adgangskode indstillet til den værdi, der er indtastet.
Advarsel: Det brugernavn, der typisk bruges til at administrere pfSense Plus, er admin, men admin er et reserveret navn, der ikke må indstilles af Azure-klargøringsguiden. Også for cloud-sikkerhed anses det for at være bedste praksis at begrænse adgangen for root-brugeren, så roden er låst som standard.
- vælg instansstørrelsen.
- Vælg disktype og netværksindstillinger (virtuelt netværk, undernet, offentlig IP-adresse, netværkssikkerhedsgruppe).
For at administrere Netgate pfSense ® Plus-apparatet skal du sikre dig, at sikkerhedsgruppen indeholder regler, der giver port 22 (SSH) og 443 (HTTPS) adgang til kommandolinjen og Web GUI. Hvis du planlægger at tillade anden trafik, skal du tilføje yderligere endepunkter.
Tillad for IPsec UDP port 500 (IKE) og UDP port 4500 (NAT-T).
For OpenVPN, tillade UDP port 1194.
Klik på Netværkssikkerhedsgruppe og foretag tilføjelser efter behov. - Bekræft dine valg på oversigtssiden, og klik på OK.
- Bemærk prisen på købssiden og klik på Køb.
- Når VM'en starter, og Azure-portalen viser, at den er kommet op, kan du få adgang til web interface. Brug den adgangskode, du har angivet under klargøringsprocessen, og administratorbrugeren. Du skulle nu kunne få adgang til apparatet.
1.2 Start af en instans med flere netværksgrænseflader.
En forekomst af Netgate® pfSense® Plus til Azure, der har flere NIC'er, der skal bruges som en firewall eller gateway, kan ikke klargøres i Azure-portalen webwebsteder. For at klargøre en instans med flere netværksgrænseflader skal du bruge PowerShell, Azure CLI eller en ARM-skabelon til at udføre de krævede opgaver.
Disse procedurer er dokumenteret i Microsofts azure-dokumentation. Nogle links, der illustrerer denne proces:
- Implementer med PowerShell under den klassiske implementeringsmodel
- Implementer med PowerShell under Resource Manager-implementeringsmodellen
- Implementer med Azure CLI under Resource Manager-implementeringsmodellen
- Implementer med skabeloner under Resource Manager-implementeringsmodellen
1.3Support til Azure Boot Diagnostics Extension.
Azure Boot Diagnostics-udvidelsen fungerer muligvis ikke korrekt med Netgate® pfSense® Plus-softwaren til Azure-enheden.
Der blev rapporteret problemer med denne funktionalitet under certificeringstest af apparatet. Efterfølgende test viste, at det så ud til at virke under nogle omstændigheder. Du kan frit forsøge at aktivere opstartsdiagnostik, men det er ikke officielt understøttet.
Som sådan skal du ikke starte supportopkald eller billetter, hvis du opdager, at Boot Diagnostics-udvidelsen ikke fungerer korrekt med din Netgate pfSense ®
Plus til Azure VM. Dette er en kendt begrænsning, og der er ingen afhjælpning tilgængelig fra
Azures kundesupportteam eller Netgates.
2.1 Regional markedstilgængelighed
Tabellerne nedenfor repræsenterer den aktuelle tilgængelighed efter regionalt marked. Hvis det ønskede regionale marked ikke er angivet, skal du se tilgængeligheden for Microsoft Regions eller indsende en supportbillet direkte til Microsoft Azure.
Tabel 1: Microsoft Azure tilgængelige regioner
| Marked | pfSense Plus |
| Armenien | Tilgængelig |
| Australien | * |
| Østrig | Tilgængelig |
| Hviderusland | Tilgængelig |
| Belgien | Tilgængelig |
| Brasilien | Tilgængelig |
| Canada | Tilgængelig |
| Kroatien | Tilgængelig |
| Cypern | Tilgængelig |
| Tjekkiet | Tilgængelig |
| Danmark | Tilgængelig |
| Estland | Tilgængelig |
| Finland | Tilgængelig |
| Frankrig | Tilgængelig |
| Tyskland | Tilgængelig |
| Grækenland | Tilgængelig |
| Ungarn | Tilgængelig |
| Indien | Tilgængelig |
| Irland | Tilgængelig |
| Italien | Tilgængelig |
| Korea | Tilgængelig |
| Letland | Tilgængelig |
| Liechtenstein | Tilgængelig |
| Litauen | Tilgængelig |
| Luxembourg | Tilgængelig |
| Malta | Tilgængelig |
| Monaco | Tilgængelig |
| Holland | Tilgængelig |
| New Zealand | Tilgængelig |
| Norge | Tilgængelig |
Tabel 1 – fortsat fra forrige side.
| Marked | pfSense Plus |
| Polen | Tilgængelig |
| Portugal | Tilgængelig |
| Puerto Rico | Tilgængelig |
| Rumænien | Tilgængelig |
| Rusland | Tilgængelig |
| Saudi-Arabien | Tilgængelig |
| Serbien | Tilgængelig |
| Slovakiet | Tilgængelig |
| Slovenien | Tilgængelig |
| Sydafrika | Tilgængelig |
| Spanien | Tilgængelig |
| Sverige | Tilgængelig |
| Schweiz | Tilgængelig |
| Taiwan | Tilgængelig |
| Kalkun | Tilgængelig |
| Forenede Arabiske Emirater | Tilgængelig |
| Storbritannien | Tilgængelig |
| USA | Tilgængelig |
* Australien er et Microsoft-administreret land for salg gennem alle kundekøbsscenarier undtagen Enterprise Agreement-kundekøbsscenariet.
2.2 Ofte stillede spørgsmål
2.2.11. Skal jeg angive en adgangskode eller bruge en SSH-nøgle under Azure-brugerklargøring?
Det anbefales at indstille en adgangskode. Dette vil give adgang til WebGUI, hvorimod en SSH-nøgle kun giver dig adgang til SSH-kommandoprompten. De fleste konfigurationselementer i Netgate® pfSense ® Plus-software styres typisk via WebGUI. Hvis du ved et uheld bruger en SSH-nøgle i stedet, kan du vælge muligheden for at nulstille administratoradgangskoden i tekstmenuen, der vises, når du ssh til din instans. Derefter WebGUI-adgangskoden vil blive nulstillet til "pfsense". Du bør straks opdatere administratoradgangskoden til en mere sikker værdi, når du har logget på WebGUI.
2.2.22. Er en live opdatering af softwaren understøttet?
Versioner i 2.2.x-området bør ikke forsøge at få udført en firmwareopgradering. I fremtiden (pfSense 2.3 eller nyere) kan dette være muligt, men det er i øjeblikket ikke-testet og ikke understøttet. Da en rigtig systemkonsol ikke er tilgængelig, ville en definitiv gendannelsesproces for fejl under opgraderinger være svær at definere. Den aktuelt anbefalede proces for opgraderinger er at sikkerhedskopiere pfSense ® Plus-konfigurationen fra den eksisterende instans og gendanne den på en ny instans, når en opgradering er tilgængelig.
2.3Supportressourcer
2.3.1 Kommerciel support
For at holde priserne lave er softwaren ikke bundtet med et supportabonnement. For brugere, der har brug for kommerciel support, kan Netgate® Global Support købes på https://www.netgate.com/support.
2.3.2 Fællesskabsstøtte
Fællesskabssupport er tilgængelig via Newgate Forum.
2.4Yderligere ressourcer
2.4.1Netgate-træning
Netgate-træning tilbyder træningskurser for at øge din viden om pfSense ® Plus-produkter og -tjenester. Uanset om du skal vedligeholde eller forbedre dit personales sikkerhedsfærdigheder eller tilbyde højt specialiseret support og forbedre din kundetilfredshed; Netgate træning har dækket dig.
https://www.netgate.com/training
2.4.2 Ressourcebibliotek
For at lære mere om, hvordan du bruger din Netgate-enhed og andre nyttige ressourcer, skal du sørge for at gennemse vores ressourcebibliotek.
https://www.netgate.com/resources
2.4.3 Professionelle tjenester
Support dækker ikke mere komplekse opgaver såsom CARP-konfiguration til redundans på flere firewalls eller kredsløb, netværksdesign og konvertering fra andre firewalls til pfSense ® Plus-software. Disse varer tilbydes som professionelle tjenester og kan købes og planlægges i overensstemmelse hermed.
https://www.netgate.com/our-ervices/professional-services.html
2.4.4 Fællesskabsmuligheder
Hvis du valgte ikke at få betalt supportplan, kan du finde hjælp fra det aktive og vidende pfSense-fællesskab på vores fora.
https://forum.netgate.com/
Dokumenter/ressourcer
 |
netgate pfSense Plus Firewall/VPN/Router til Microsoft Azure [pdfBrugermanual Microsoft Azure, Security Gateway, Microsoft Azure Security Gateway, pfSense Plus Firewall VPN Router til Microsoft Azure, pfSense Plus Firewall VPN Router |
