Manuale del gateway di sicurezza
Microsoft Azure
pfSense® Plus Firewall/VPN/Router per Microsoft Azure è un firewall con stato, VPN e un'appliance di sicurezza. È adatto per l'uso come endpoint VPN sia per tunnel VPN da sito a sito che come server VPN di accesso remoto per dispositivi mobili. Sono disponibili funzionalità firewall native, così come molte funzionalità aggiuntive come modellazione della larghezza di banda, rilevamento delle intrusioni, proxy e altro tramite pacchetti. pfSense Plus per Azure è disponibile nell'Azure Marketplace.
INIZIARE
1.1Avvio di un'istanza con una singola scheda NIC
Un'istanza di Netgate® pfSense® Plus per Azure creata con una singola scheda NIC può essere utilizzata come endpoint VPN per consentire l'accesso a una rete virtuale di Azure (VNet). La singola scheda di rete pfSense
Inoltre la macchina virtuale (VM) crea solo un'interfaccia WAN, ma fornisce comunque IP pubblico e privato in Azure.
Nel portale di gestione di Azure avviare una nuova istanza dell'appliance Netgate pfSense® Plus Firewall/VPN/Router.
- Dalla dashboard del portale di Azure fare clic su Marketplace.
- Cercare and select the Netgate Appliance for Azure.
- Imposta il nome dell'istanza, nonché nome utente, password, gruppo di risorse e regione.
Il nome utente inserito verrà creato come account pfSense Plus valido all'avvio e sarà in grado di accedere a web GUI. Inoltre, anche la password dell'utente amministratore sarà impostata sul valore immesso.
Avvertimento: Il nome utente in genere utilizzato per amministrare pfSense Plus è admin, ma admin è un nome riservato che non può essere impostato dalla procedura guidata di provisioning di Azure. Anche per la sicurezza del cloud, è considerata una buona pratica limitare l'accesso per l'utente root, quindi quest'ultimo è bloccato per impostazione predefinita.
- scegli la dimensione dell'istanza.
- Scegli il tipo di disco e le impostazioni di rete (rete virtuale, sottorete, indirizzo IP pubblico, gruppo di sicurezza di rete).
Per gestire l'appliance Netgate pfSense ® Plus è necessario assicurarsi che il gruppo di sicurezza contenga regole per consentire alle porte 22 (SSH) e 443 (HTTPS) di accedere alla riga di comando e Web GUI. Se prevedi di consentire altro traffico, aggiungi ulteriori endpoint.
Per IPsec, consenti UDP porta 500 (IKE) E UDP porta 4500 (NAT-T).
Per Apri VPN, permettere UDP porta 1194.
Fare clic su Gruppo di sicurezza di rete e apportare le aggiunte necessarie. - Conferma le selezioni nella pagina Riepilogo e fai clic su OK.
- Annota il prezzo nella pagina di acquisto e fai clic su Acquista.
- Una volta avviata la VM e visualizzato il portale di Azure, è possibile accedere al file web interfaccia. Utilizza la password impostata durante il processo di provisioning e l'utente amministratore. Ora dovresti essere in grado di accedere all'appliance.
1.2Avvio di un'istanza con più interfacce di rete.
Non è possibile effettuare il provisioning di un'istanza di Netgate® pfSense® Plus per Azure che dispone di più NIC da utilizzare come firewall o gateway nel portale di Azure websiti. Per eseguire il provisioning di un'istanza con più interfacce di rete, è necessario utilizzare PowerShell, l'interfaccia della riga di comando di Azure o un modello ARM per eseguire le attività richieste.
Queste procedure sono documentate nella documentazione di Azure di Microsoft. Alcuni link che illustrano questo processo:
- Distribuisci con PowerShell secondo il modello di distribuzione classico
- Distribuire con PowerShell nel modello di distribuzione Resource Manager
- Distribuire con l'interfaccia della riga di comando di Azure nel modello di distribuzione Resource Manager
- Distribuire con modelli nel modello di distribuzione Resource Manager
1.3Supporto per l'estensione Diagnostica di avvio di Azure.
L'estensione Azure Boot Diagnostics potrebbe non funzionare correttamente con il software Netgate® pfSense ® Plus per l'appliance Azure.
Sono stati segnalati problemi con questa funzionalità durante il test di certificazione dell'appliance. Test successivi hanno indicato che sembrava funzionare in alcune circostanze. Sei libero di provare ad abilitare la diagnostica di avvio, ma non è ufficialmente supportato.
Pertanto, non avviare chiamate o ticket di supporto se scopri che l'estensione Boot Diagnostics non funziona correttamente con il tuo Netgate pfSense ®
Plus per VM di Azure. Questa è una limitazione nota e non è disponibile alcun rimedio
Il team di assistenza clienti di Azure o quello di Netgate.
2.1 Disponibilità sul mercato regionale
Le tabelle seguenti rappresentano l'attuale disponibilità per mercato regionale. Se il mercato regionale desiderato non è elencato, fai riferimento alla disponibilità delle regioni Microsoft o invia un ticket di supporto direttamente a Microsoft Azure.
Tavolo 1: Aree disponibili di Microsoft Azure
| Mercato | pfSense Plus |
| Armenia | Disponibile |
| Australia | * |
| Austria | Disponibile |
| Bielorussia | Disponibile |
| Belgio | Disponibile |
| Brasile | Disponibile |
| Canada | Disponibile |
| Croazia | Disponibile |
| Cipro | Disponibile |
| Repubblica Ceca | Disponibile |
| Danimarca | Disponibile |
| Estonia | Disponibile |
| Finlandia | Disponibile |
| Francia | Disponibile |
| Germania | Disponibile |
| Grecia | Disponibile |
| Ungheria | Disponibile |
| India | Disponibile |
| Irlanda | Disponibile |
| Italia | Disponibile |
| Corea | Disponibile |
| Lettonia | Disponibile |
| Liechtenstein | Disponibile |
| Lituania | Disponibile |
| Lussemburgo | Disponibile |
| Malta | Disponibile |
| Monaco | Disponibile |
| Paesi Bassi | Disponibile |
| Nuova Zelanda | Disponibile |
| Norvegia | Disponibile |
Tabella 1 – continua dalla pagina precedente.
| Mercato | pfSense Plus |
| Polonia | Disponibile |
| Portogallo | Disponibile |
| Portorico | Disponibile |
| Romania | Disponibile |
| Russia | Disponibile |
| Arabia Saudita | Disponibile |
| Serbia | Disponibile |
| Slovacchia | Disponibile |
| Slovenia | Disponibile |
| Sudafrica | Disponibile |
| Spagna | Disponibile |
| Svezia | Disponibile |
| Svizzera | Disponibile |
| Taiwan | Disponibile |
| Tacchino | Disponibile |
| Emirati Arabi Uniti | Disponibile |
| Regno Unito | Disponibile |
| Stati Uniti | Disponibile |
*L'Australia è un Paese gestito da Microsoft per le vendite in tutti gli scenari di acquisto da parte dei clienti, ad eccezione dello scenario di acquisto da parte dei clienti con contratto Enterprise.
2.2 Domande frequenti
2.2.11. Devo impostare una password o usare una chiave SSH durante il provisioning degli utenti di Azure?
Si consiglia di impostare una password. Ciò garantirà l'accesso a WebGUI, mentre una chiave SSH ti consentirà solo di accedere al prompt dei comandi SSH. La maggior parte degli elementi di configurazione nel software Netgate® pfSense ® Plus sono generalmente controllati tramite WebGUI. Se invece utilizzi accidentalmente una chiave SSH, puoi selezionare l'opzione per reimpostare la password dell'amministratore nel menu di testo visualizzato quando accedi tramite ssh alla tua istanza. Poi il WebLa password della GUI verrà reimpostata su "pfsense". Dovresti aggiornare immediatamente la password dell'amministratore con un valore più sicuro una volta effettuato l'accesso con successo WebGUI.
2.2.22. È supportato un aggiornamento in tempo reale del software?
Le versioni della gamma 2.2.x non dovrebbero tentare di eseguire un aggiornamento del firmware. In futuro (pfSense 2.3 o successivo), ciò potrebbe essere possibile, ma al momento non è testato e non è supportato. Poiché non è disponibile una vera console di sistema, sarebbe difficile definire un processo di ripristino definitivo per i guasti durante gli aggiornamenti. Il processo attualmente consigliato per gli aggiornamenti consiste nel eseguire il backup della configurazione di pfSense ® Plus dall'istanza esistente e ripristinarla su una nuova istanza quando è disponibile un aggiornamento.
2.3 Risorse di supporto
2.3.1Supporto commerciale
Per mantenere bassi i prezzi, il software non è fornito in bundle con un abbonamento di supporto. Per gli utenti che necessitano di supporto commerciale è possibile acquistare Netgate® Global Support su https://www.netgate.com/support.
2.3.2Supporto della comunità
Il supporto della comunità è disponibile tramite il Forum di Newgate.
2.4 Risorse aggiuntive
2.4.1Formazione Netgate
Netgate training offre corsi di formazione per approfondire la tua conoscenza dei prodotti e servizi pfSense ® Plus. Che tu abbia bisogno di mantenere o migliorare le competenze in materia di sicurezza del tuo personale o di offrire un supporto altamente specializzato e migliorare la soddisfazione del tuo cliente; La formazione Netgate ti copre.
https://www.netgate.com/training
2.4.2Libreria di risorse
Per saperne di più su come utilizzare l'appliance Netgate e per altre risorse utili, assicurati di consultare la nostra Libreria di risorse.
https://www.netgate.com/resources
2.4.3 Servizi professionali
Il supporto non copre attività più complesse come la configurazione CARP per la ridondanza su più firewall o circuiti, la progettazione della rete e la conversione da altri firewall al software pfSense ® Plus. Questi articoli sono offerti come servizi professionali e possono essere acquistati e programmati di conseguenza.
https://www.netgate.com/our-ervices/professional-services.html
2.4.4Opzioni della community
Se hai scelto di non ricevere il piano di supporto a pagamento, puoi trovare aiuto nella comunità attiva e competente di pfSense sui nostri forum.
https://forum.netgate.com/
Documenti / Risorse
 |
netgate pfSense Plus Firewall/VPN/Router per Microsoft Azure [pdf] Manuale d'uso Microsoft Azure, Security Gateway, Microsoft Azure Security Gateway, pfSense Plus Firewall VPN Router per Microsoft Azure, pfSense Plus Firewall VPN Router |
