Manlibro pri Sekureca Enirejo
Microsoft Azure
La pfSense® Plus Firewall/VPN/Router por Microsoft Azure estas ŝtata fajroŝirmilo, VPN kaj sekureca aparato. Ĝi taŭgas por uzo kiel VPN-finpunkto kaj por retejo-al-ejaj VPN-tuneloj kaj kiel fora alira VPN-servilo por porteblaj aparatoj. Denaska fajroŝirmilo-funkcio disponeblas same kiel multaj kromaj funkcioj kiel bendolarĝformado, entruddetekto, prokurado kaj pli per pakaĵoj. pfSense Plus por Azure estas havebla en la Azure Marketplace.
KOMENCI
1.1 Lanĉante Kazon kun ununura NIC
Ekzemplo de Netgate® pfSense® Plus por Azure kiu estas kreita kun ununura NIC povas esti uzata kiel VPN-finpunkto por permesi aliron al Azure Virtual Network (VNet). La ununura NIC pfSense
Plus virtuala maŝino (VM) nur kreas WAN-interfacon, sed ankoraŭ disponigas publikan kaj privatan IP en Azure.
En la Azure Administra Portalo, lanĉu novan kazon de la Netgate pfSense® Plus Firewall/VPN/Router-aparato.
- De la Azure-portala Dashboard, alklaku Marketplace.
- Serĉu kaj elektu la Netgate-aparaton por Azure.
- Agordu la nomon de la petskribo kaj ankaŭ uzantnomon, pasvorton, rimedan grupon kaj regionon.
La uzantnomo enigita estos kreita kiel valida pfSense Plus-konto post ekfunkciigo kaj povos ensaluti en la web GUI. Aldone, la administra uzanto ankaŭ havos sian pasvorton agordita al la valoro enigita.
Averto: La uzantnomo kutime uzata por administri pfSense Plus estas administranto, sed administranto estas rezervita nomo, kiu ne rajtas esti agordita de la Azure-provizo-sorĉisto. Ankaŭ por nuba sekureco, estas konsiderata plej bona praktiko limigi aliron por la radika uzanto, do la radiko estas ŝlosita defaŭlte.
- aligu la grandecon de la kazo.
- Elektu la diskotipon kaj retajn agordojn (virtuala reto, subreto, publika IP-adreso, reta sekureca grupo).
Por administri la Netgate pfSense ® Plus-aparaton, vi devas certigi, ke la sekureca grupo enhavas regulojn por permesi al la havenoj 22 (SSH) kaj 443 (HTTPS) aliri la komandlinion kaj Web GUI. Se vi planas permesi alian trafikon, aldonu pliajn finpunktojn.
Por IPsec, permesu UDP haveno 500 (IKE) kaj UDP haveno 4500 (NAT-T).
Por OpenVPN, permesi UDP haveno 1194.
Klaku sur Reta sekureca grupo kaj faru aldonojn laŭbezone. - Konfirmu viajn elektojn sur la paĝo Resumo kaj alklaku OK.
- Notu la prezon sur la aĉetpaĝo kaj alklaku Aĉeti.
- Post kiam la VM lanĉos kaj la Azure-portalo montras, ke ĝi aperis, vi povas aliri la web interfaco. Uzu la pasvorton, kiun vi fiksis dum la provizado kaj la administran uzanton. Vi nun devus povi aliri la aparaton.
1.2 Lanĉo de Kazo kun Multoblaj Retaj Interfacoj.
Ekzemplo de Netgate® pfSense® Plus por Azure, kiu havas plurajn NIC-ojn, kiuj estas uzotaj kiel fajroŝirmilo aŭ enirejo, ne povas esti provizita en la Azure-portalo. webretejoj. Por provizi ekzemplon per pluraj retaj interfacoj, vi devas uzi PowerShell, la Azure CLI aŭ ARM-ŝablonon por plenumi la bezonatajn taskojn.
Ĉi tiuj proceduroj estas dokumentitaj en la lazura dokumentaro de Mikrosofto. Kelkaj ligiloj kiuj ilustras ĉi tiun procezon:
- Deploji kun PowerShell sub la klasika deplojmodelo
- Deploji kun PowerShell sub la deplojmodelo de Resource Manager
- Deploji kun Azure CLI sub la disfalda modelo de Resource Manager
- Deploji kun ŝablonoj sub la disfalda modelo de Resource Manager
1.3 Subteno por la Etendo de Azure Boot Diagnostics.
La etendo de Azure Boot Diagnostics eble ne funkcias ĝuste kun la programaro Netgate® pfSense ® Plus por la Azure-aparato.
Problemoj estis raportitaj kun ĉi tiu funkcio dum atesto de la aparato. Posta testado indikis ke ĝi ŝajnis funkcii sub iuj cirkonstancoj. Vi rajtas provi ebligi ekfunkciigi diagnozon, sed ĝi ne estas oficiale subtenata.
Kiel tia, bonvolu ne iniciati subtenajn vokojn aŭ biletojn se vi trovas, ke la etendo de Boot Diagnostics ne funkcias ĝuste kun via Netgate pfSense ®
Plus por Azure VM. Ĉi tio estas konata limigo kaj neniu rimedo haveblas
La klientsubtena teamo de Azure aŭ tiu de Netgate.
2.1 Regiona Merkata Havebleco
La subaj tabeloj reprezentas la nunan haveblecon laŭ regiona merkato. Se la dezirata regiona merkato ne estas listigita, raportu al la havebleco de Microsoft Regions aŭ sendu subtenan bileton rekte al Microsoft Azure.
Tablo 1: Microsoft Azure Disponeblaj Regionoj
| Merkato | pfSense Plus |
| Armenio | Disponebla |
| Aŭstralio | * |
| Aŭstrio | Disponebla |
| Belorusio | Disponebla |
| Belgio | Disponebla |
| Brazilo | Disponebla |
| Kanado | Disponebla |
| Kroatio | Disponebla |
| Kipro | Disponebla |
| Ĉeĥio | Disponebla |
| Danio | Disponebla |
| Estonio | Disponebla |
| Finnlando | Disponebla |
| Francio | Disponebla |
| Germanujo | Disponebla |
| Grekio | Disponebla |
| Hungario | Disponebla |
| Barato | Disponebla |
| Irlando | Disponebla |
| Italio | Disponebla |
| Koreio | Disponebla |
| Latvio | Disponebla |
| Liĥtenŝtejno | Disponebla |
| Litovio | Disponebla |
| Luksemburgio | Disponebla |
| Malto | Disponebla |
| Monako | Disponebla |
| Nederlando | Disponebla |
| Nov-Zelando | Disponebla |
| Norvegio | Disponebla |
Tabelo 1 – daŭrigis de la antaŭa paĝo.
| Merkato | pfSense Plus |
| Pollando | Disponebla |
| Portugalio | Disponebla |
| Porto-Riko | Disponebla |
| Rumanio | Disponebla |
| Rusio | Disponebla |
| Saud-Arabio | Disponebla |
| Serbio | Disponebla |
| Slovakio | Disponebla |
| Slovenio | Disponebla |
| Sudafriko | Disponebla |
| Hispanio | Disponebla |
| Svedio | Disponebla |
| Svislando | Disponebla |
| Tajvano | Disponebla |
| Turkio | Disponebla |
| Unuiĝintaj Arabaj Emirlandoj | Disponebla |
| Unuiĝinta Reĝlando | Disponebla |
| Usono | Disponebla |
* Aŭstralio estas Mikrosofto Administrita Lando por vendoj per ĉiuj klientaĉetscenaroj krom la Enterprise Agreement klienta aĉetscenaro.
2.2 Oftaj Demandoj
2.2.11. Ĉu mi agordu pasvorton aŭ uzi SSH-ŝlosilon dum Azure-uzantprovizo?
Oni rekomendas agordi pasvorton. Ĉi tio donos aliron al la WebGUI, dum SSH-ŝlosilo nur permesos al vi aliron al la komando de SSH. Plej multaj agordaj eroj en Netgate® pfSense ® Plus-programaro estas kutime kontrolitaj per la WebGUI. Se vi hazarde uzas SSH-ŝlosilon anstataŭe, vi povas elekti la opcion restarigi la administran pasvorton ĉe la teksta menuo, kiu aperas kiam vi ssh al via petskribo. Tiam la WebGUI-pasvorto estos rekomencigita al "pfsense". Vi devas tuj ĝisdatigi la administran pasvorton al pli sekura valoro post kiam vi sukcese ensalutis en la WebGUI.
2.2.22. Ĉu reala ĝisdatigo de la programaro estas subtenata?
Versioj en la gamo 2.2.x ne devus provi ekzekuti firmware-ĝisdatigon. Estontece (pfSense 2.3 aŭ poste), tio eble estos ebla, sed ĝi estas nuntempe neprovita kaj nesubtenata. Ĉar reala sistema konzolo ne haveblas, definitiva reakiro por misfunkciadoj dum ĝisdatigoj estus malfacile difinebla. La nuntempe rekomendita procezo por ĝisdatigoj estas sekurkopii la agordon de pfSense ® Plus de la ekzistanta kazo kaj restarigi ĝin sur nova kazo kiam ĝisdatigo disponeblas.
2.3 Subtenaj Rimedoj
2.3.1Komerca Subteno
Por konservi prezojn malaltaj, la programaro ne estas kunligita kun subtena abono. Por uzantoj kiuj bezonas komercan subtenon, Netgate® Global Support povas esti aĉetita ĉe https://www.netgate.com/support.
2.3.2 Komunuma Subteno
Komunuma subteno haveblas per la Newgate Forumo.
2.4Pliaj Rimedoj
2.4.1 Netgate-Trejnado
Netgate-trejnado ofertas trejnajn kursojn por pliigi vian scion pri pfSense ® Plus-produktoj kaj servoj. Ĉu vi bezonas konservi aŭ plibonigi la sekurecajn kapablojn de via personaro aŭ oferti tre specialan subtenon kaj plibonigi vian klientan kontenton; Netgate-trejnado kovras vin.
https://www.netgate.com/training
2.4.2 Biblioteko de Rimedoj
Por lerni pli pri kiel uzi vian Netgate-aparaton kaj por aliaj helpemaj rimedoj, nepre trarigardu nian Rimedan Bibliotekon.
https://www.netgate.com/resources
2.4.3Profesiaj Servoj
Subteno ne kovras pli kompleksajn taskojn kiel ekzemple CARP-agordo por redundo sur multoblaj fajromuroj aŭ cirkvitoj, reto-dezajno kaj konvertiĝo de aliaj fajromuroj al pfSense ® Plus programaro. Ĉi tiuj aĵoj estas ofertitaj kiel profesiaj servoj kaj povas esti aĉetitaj kaj planitaj laŭe.
https://www.netgate.com/our-ervices/professional-services.html
2.4.4 Komunumaj Opcioj
Se vi elektis ne ricevi pagitan subtenan planon, vi povas trovi helpon de la aktiva kaj sperta komunumo pfSense en niaj forumoj.
https://forum.netgate.com/
Dokumentoj/Rimedoj
 |
netgate pfSense Plus Firewall/VPN/Router por Microsoft Azure [pdf] Uzanto-manlibro Microsoft Azure, Security Gateway, Microsoft Azure Security Gateway, pfSense Plus Firewall VPN Router por Microsoft Azure, pfSense Plus Firewall VPN Router |
