Manual de pasarela de seguridade
Microsoft Azure
O pfSense® Plus Firewall/VPN/Router para Microsoft Azure é un firewall con estado, VPN e dispositivo de seguridade. É axeitado para o seu uso como punto final VPN tanto para túneles VPN de sitio a sitio como como servidor VPN de acceso remoto para dispositivos móbiles. A funcionalidade nativa de firewall está dispoñible, así como moitas funcións adicionais, como a configuración do ancho de banda, a detección de intrusións, o proxy e moito máis a través de paquetes. pfSense Plus para Azure está dispoñible en Azure Marketplace.
COMEZANDO
1.1 Lanzamento dunha instancia cunha única NIC
Unha instancia de Netgate® pfSense® Plus para Azure que se crea cunha única NIC pódese usar como punto final de VPN para permitir o acceso a unha rede virtual (VNet) de Azure. O único NIC pfSense
Ademais, a máquina virtual (VM) só crea unha interface WAN, pero aínda proporciona IP pública e privada dentro de Azure.
No Azure Management Portal, inicie unha nova instancia do dispositivo Netgate pfSense® Plus Firewall/VPN/Router.
- Desde o panel de control do portal Azure, faga clic en Marketplace.
- Busca and select the Netgate Appliance for Azure.
- Establece o nome da instancia, así como o nome de usuario, o contrasinal, o grupo de recursos e a rexión.
O nome de usuario introducido crearase como unha conta pfSense Plus válida ao iniciarse e poderá iniciar sesión no web GUI. Ademais, o usuario administrador tamén terá o seu contrasinal definido co valor introducido.
Aviso: O nome de usuario que se usa normalmente para administrar pfSense Plus é administrador, pero admin é un nome reservado que o asistente de aprovisionamento de Azure non permite definir. Tamén para a seguridade na nube, considérase a mellor práctica limitar o acceso para o usuario root, polo que o root está bloqueado por defecto.
- escolle o tamaño da instancia.
- Escolla o tipo de disco e a configuración da rede (rede virtual, subrede, enderezo IP público, grupo de seguranza da rede).
Para xestionar o dispositivo Netgate pfSense ® Plus, debe asegurarse de que o grupo de seguridade conteña regras para permitir que os portos 22 (SSH) e 443 (HTTPS) accedan á liña de comandos e Web GUI. Se pensas permitir outro tráfico, engade puntos finais adicionais.
Para IPsec, permita UDP porto 500 (IKE) e UDP porto 4500 (NAT-T).
Para OpenVPN, permitir UDP porto 1194.
Fai clic en Grupo de seguranza de rede e fai engadidos segundo sexa necesario. - Confirma as túas seleccións na páxina Resumo e fai clic en Aceptar.
- Anota o prezo na páxina de compra e fai clic en Comprar.
- Unha vez que se inicie a máquina virtual e o portal de Azure mostra que apareceu, pode acceder ao web interface. Use o contrasinal que definiu durante o proceso de aprovisionamento e o usuario administrador. Agora deberías poder acceder ao dispositivo.
1.2 Lanzamento dunha instancia con varias interfaces de rede.
Non se pode aprovisionar no portal de Azure unha instancia de Netgate® pfSense® Plus para Azure que teña varias NIC que se van usar como firewall ou pasarela. websitios. Para proporcionar unha instancia con varias interfaces de rede, debes usar PowerShell, a CLI de Azure ou un modelo ARM para realizar as tarefas necesarias.
Estes procedementos están documentados na documentación de Microsoft Azure. Algunhas ligazóns que ilustran este proceso:
- Implementa con PowerShell baixo o modelo de implantación clásico
- Implementa con PowerShell baixo o modelo de implantación do Xestor de recursos
- Implementa con Azure CLI baixo o modelo de implantación do Xestor de recursos
- Implementa con modelos baixo o modelo de implantación do Xestor de recursos
1.3 Soporte para a extensión de diagnóstico de arranque de Azure.
É posible que a extensión Azure Boot Diagnostics non funcione correctamente co software Netgate® pfSense ® Plus para a aplicación Azure.
Informes de problemas con esta funcionalidade durante as probas de certificación do aparello. As probas posteriores indicaron que parecía funcionar nalgunhas circunstancias. Podes tentar activar o diagnóstico de arranque, pero non se admite oficialmente.
Polo tanto, non inicie chamadas ou tickets de asistencia técnica se considera que a extensión de diagnóstico de arranque non funciona correctamente co seu Netgate pfSense ®
Ademais para Azure VM. Esta é unha limitación coñecida e non hai ningún remedio dispoñible
Equipo de atención ao cliente de Azure ou Netgate.
2.1 Dispoñibilidade do mercado rexional
As táboas seguintes representan a dispoñibilidade actual por mercado rexional. Se o mercado rexional desexado non aparece na lista, consulte a dispoñibilidade de rexións de Microsoft ou envíe un ticket de soporte directamente a Microsoft Azure.
Táboa 1: Rexións dispoñibles de Microsoft Azure
| Mercado | pfSense Plus |
| Armenia | Dispoñible |
| Australia | * |
| Austria | Dispoñible |
| Bielorrusia | Dispoñible |
| Bélxica | Dispoñible |
| Brasil | Dispoñible |
| Canadá | Dispoñible |
| Croacia | Dispoñible |
| Chipre | Dispoñible |
| Chequia | Dispoñible |
| Dinamarca | Dispoñible |
| Estonia | Dispoñible |
| Finlandia | Dispoñible |
| Francia | Dispoñible |
| Alemaña | Dispoñible |
| Grecia | Dispoñible |
| Hungría | Dispoñible |
| India | Dispoñible |
| Irlanda | Dispoñible |
| Italia | Dispoñible |
| Corea | Dispoñible |
| Letonia | Dispoñible |
| Liechtenstein | Dispoñible |
| Lituania | Dispoñible |
| Luxemburgo | Dispoñible |
| Malta | Dispoñible |
| Mónaco | Dispoñible |
| Países Baixos | Dispoñible |
| Nova Zelandia | Dispoñible |
| Noruega | Dispoñible |
Táboa 1 -continuou da páxina anterior.
| Mercado | pfSense Plus |
| Polonia | Dispoñible |
| Portugal | Dispoñible |
| Porto Rico | Dispoñible |
| Romanía | Dispoñible |
| Rusia | Dispoñible |
| Arabia Saudita | Dispoñible |
| Serbia | Dispoñible |
| Eslovaquia | Dispoñible |
| Eslovenia | Dispoñible |
| Sudáfrica | Dispoñible |
| España | Dispoñible |
| Suecia | Dispoñible |
| Suíza | Dispoñible |
| Taiwán | Dispoñible |
| Turquía | Dispoñible |
| Emiratos Árabes Unidos | Dispoñible |
| Reino Unido | Dispoñible |
| Estados Unidos | Dispoñible |
* Australia é un país xestionado por Microsoft para as vendas a través de todos os escenarios de compra de clientes, excepto o escenario de compra de clientes do contrato de empresa.
2.2 Preguntas frecuentes
2.2.11. ¿Debo establecer un contrasinal ou usar unha clave SSH durante o aprovisionamento de usuarios de Azure?
Recoméndase establecer un contrasinal. Isto permitirá o acceso ao WebGUI, mentres que unha chave SSH só che permitirá acceder ao símbolo do sistema SSH. A maioría dos elementos de configuración do software Netgate® pfSense ® Plus adoitan controlarse mediante o WebGUI. Se usas accidentalmente unha chave SSH, podes seleccionar a opción para restablecer o contrasinal do administrador no menú de texto que aparece cando envías ssh á túa instancia. Despois o WebO contrasinal da GUI restablecerase a "pfsense". Debería actualizar inmediatamente o contrasinal do administrador a un valor máis seguro unha vez que inicie sesión con éxito no WebGUI.
2.2.22. Admítese unha actualización en directo do software?
As versións do rango 2.2.x non deberían tentar executar unha actualización do firmware. No futuro (pfSense 2.3 ou posterior), isto pode ser posible, pero actualmente non está probado e non é compatible. Dado que unha consola do sistema real non está dispoñible, un proceso de recuperación definitivo dos fallos durante as actualizacións sería difícil de definir. O proceso recomendado actualmente para as actualizacións é facer unha copia de seguridade da configuración de pfSense ® Plus desde a instancia existente e restaurala nunha nova instancia cando exista unha actualización dispoñible.
2.3 Recursos de apoio
2.3.1 Apoio comercial
Para manter os prezos baixos, o software non se inclúe cunha subscrición de soporte. Para os usuarios que necesiten asistencia comercial, pódese mercar Netgate® Global Support en https://www.netgate.com/support.
2.3.2 Apoio comunitario
O apoio da comunidade está dispoñible a través do Newgate Forum.
2.4 Recursos adicionais
2.4.1 Adestramento de Netgate
A formación de Netgate ofrece cursos de formación para aumentar o seu coñecemento dos produtos e servizos pfSense ® Plus. Se precisa manter ou mellorar as habilidades de seguridade do seu persoal ou ofrecer soporte altamente especializado e mellorar a satisfacción do seu cliente; O adestramento de Netgate ten cuberto.
https://www.netgate.com/training
2.4.2 Biblioteca de recursos
Para obter máis información sobre como usar o seu dispositivo Netgate e para obter outros recursos útiles, asegúrese de navegar pola nosa biblioteca de recursos.
https://www.netgate.com/resources
2.4.3 Servizos profesionais
O soporte non cobre tarefas máis complexas como a configuración de CARP para a redundancia en varios firewalls ou circuítos, o deseño de rede e a conversión doutros firewalls ao software pfSense ® Plus. Estes artigos ofrécense como servizos profesionais e pódense mercar e programar en consecuencia.
https://www.netgate.com/our-ervices/professional-services.html
2.4.4 Opcións da comunidade
Se elixiches non recibir un plan de asistencia de pago, podes atopar axuda da comunidade activa e informada de pfSense nos nosos foros.
https://forum.netgate.com/
Documentos/Recursos
 |
netgate pfSense Plus Firewall/VPN/Router para Microsoft Azure [pdfManual do usuario Microsoft Azure, Security Gateway, Microsoft Azure Security Gateway, pfSense Plus Firewall VPN Router para Microsoft Azure, pfSense Plus Firewall VPN Router |
