מדריך לשער אבטחה
Microsoft Azure
חומת האש/VPN/נתב pfSense® Plus עבור Microsoft Azure היא חומת אש, VPN ומכשיר אבטחה. הוא מתאים לשימוש כנקודת קצה VPN הן עבור מנהרות VPN מאתר לאתר והן כשרת VPN גישה מרחוק למכשירים ניידים. פונקציונליות חומת אש מקורית זמינה, כמו גם תכונות נוספות רבות כגון עיצוב רוחב פס, זיהוי חדירה, שרת proxy ועוד דרך חבילות. pfSense Plus for Azure זמין ב-Azure Marketplace.
תחילת העבודה
1.1השקת מופע עם NIC יחיד
מופע של Netgate® pfSense® Plus for Azure שנוצר עם NIC יחיד יכול לשמש כנקודת קצה VPN כדי לאפשר גישה לרשת Azure Virtual (VNet). ה-NIC היחיד pfSense
בנוסף, מכונה וירטואלית (VM) יוצרת רק ממשק WAN, אך עדיין מספקת IP ציבורי ופרטי בתוך Azure.
בפורטל הניהול של Azure, הפעל מופע חדש של Netgate pfSense® Plus Firewall/VPN/Router Appliance.
- ממרכז השליטה של פורטל Azure, לחץ על Marketplace.
- חפש and select the Netgate Appliance for Azure.
- הגדר את שם המופע וכן שם משתמש, סיסמה, קבוצת משאבים ואזור.
שם המשתמש שהוזן ייווצר כחשבון pfSense Plus חוקי עם האתחול ויוכל להיכנס ל- web ממשק משתמש. בנוסף, למשתמש האדמין תהיה גם הסיסמה שלו מוגדרת לערך שהוזן.
אַזהָרָה: שם המשתמש המשמש בדרך כלל לניהול pfSense Plus הוא admin, אבל admin הוא שם שמור שאסור להגדיר על ידי אשף ההקצאה של Azure. גם עבור אבטחת ענן, זה נחשב לשיטה הטובה ביותר להגביל את הגישה למשתמש השורש, כך שהשורש נעול כברירת מחדל.
- בחר את גודל המופע.
- בחר את סוג הדיסק ואת הגדרות הרשת (רשת וירטואלית, רשת משנה, כתובת IP ציבורית, קבוצת אבטחת רשת).
כדי לנהל את התקן Netgate pfSense ® Plus, עליך לוודא שקבוצת האבטחה מכילה כללים המאפשרים ליציאות 22 (SSH) ו-443 (HTTPS) לגשת לשורת הפקודה ו Web ממשק משתמש. אם אתה מתכנן לאפשר תנועה אחרת, הוסף נקודות קצה נוספות.
עבור IPsec, אפשר UDP יציאה 500 (IKE) ו UDP יציאה 4500 (NAT-T).
עֲבוּר OpenVPN, לְהַתִיר UDP יציאה 1194.
לחץ על קבוצת אבטחת רשת ובצע תוספות לפי הצורך. - אשר את הבחירות שלך בדף הסיכום ולחץ על אישור.
- שימו לב למחיר בדף הרכישה ולחצו על רכישה.
- לאחר השקת ה-VM ופורטל Azure מראה שהוא עלה, תוכל לגשת ל- web מִמְשָׁק. השתמש בסיסמה שהגדרת במהלך תהליך ההקצאה ובמשתמש המנהל. כעת אתה אמור להיות מסוגל לגשת למכשיר.
1.2השקת מופע עם ממשקי רשת מרובים.
לא ניתן לספק מופע של Netgate® pfSense® Plus for Azure שיש לו מספר NICs שאמורים לשמש כחומות אש או שער לא ניתן לספק בפורטל Azure webאתרים. על מנת לספק מופע עם ממשקי רשת מרובים, עליך להשתמש ב-PowerShell, ב-Azure CLI או בתבנית ARM כדי לבצע את המשימות הנדרשות.
נהלים אלה מתועדים בתיעוד התכלת של מיקרוסופט. כמה קישורים הממחישים תהליך זה:
- פרוס עם PowerShell תחת מודל הפריסה הקלאסי
- פרוס עם PowerShell תחת מודל הפריסה של Resource Manager
- פרוס עם Azure CLI תחת מודל הפריסה של Resource Manager
- פרוס עם תבניות תחת מודל הפריסה של Resource Manager
1.3 תמיכה בהרחבת Azure Boot Diagnostics.
ייתכן שהתוסף Azure Boot Diagnostics לא יפעל כראוי עם תוכנת Netgate® pfSense ® Plus עבור ה-Azure Appliance.
דווחו בעיות בפונקציונליות זו במהלך בדיקת הסמכה של המכשיר. בדיקות שלאחר מכן הצביעו על כך שנראה שזה עובד בנסיבות מסוימות. אתה חופשי לנסות להפעיל אבחון אתחול, אבל זה לא נתמך רשמית.
לפיכך, נא לא ליזום שיחות תמיכה או כרטיסים אם אתה מוצא שהתוסף אתחול אבחון אינו פועל כראוי עם Netgate pfSense ®
בנוסף עבור Azure VM. זוהי מגבלה ידועה ואין תרופה זמינה מ
צוות תמיכת הלקוחות של Azure או של Netgate.
2.1 זמינות שוק אזורי
הטבלאות שלהלן מייצגות את הזמינות הנוכחית לפי שוק אזורי. אם השוק האזורי הרצוי אינו רשום, עיין בזמינות אזורי Microsoft או שלח כרטיס תמיכה ישירות ל-Microsoft Azure.
לוּחַ 1: אזורים זמינים של Microsoft Azure
| שׁוּק | pfSense Plus |
| אַרְמֶנִיָה | זָמִין |
| אוֹסטְרַלִיָה | * |
| אוֹסְטְרֵיָה | זָמִין |
| בלארוס | זָמִין |
| בלגיה | זָמִין |
| בְּרָזִיל | זָמִין |
| קנדה | זָמִין |
| קרואטיה | זָמִין |
| קַפרִיסִין | זָמִין |
| צ'כיה | זָמִין |
| דנמרק | זָמִין |
| אסטוניה | זָמִין |
| פינלנד | זָמִין |
| צָרְפַת | זָמִין |
| גֶרמָנִיָה | זָמִין |
| יָוָן | זָמִין |
| הונגריה | זָמִין |
| הוֹדוּ | זָמִין |
| אירלנד | זָמִין |
| אִיטַלִיָה | זָמִין |
| קוריאה | זָמִין |
| לטביה | זָמִין |
| ליכטנשטיין | זָמִין |
| ליטא | זָמִין |
| לוקסמבורג | זָמִין |
| מלטה | זָמִין |
| מונקו | זָמִין |
| הוֹלַנד | זָמִין |
| ניו זילנד | זָמִין |
| נורבגיה | זָמִין |
טבלה 1 – המשך מהעמוד הקודם.
| שׁוּק | pfSense Plus |
| פּוֹלִין | זָמִין |
| פּוֹרטוּגָל | זָמִין |
| פורטו ריקו | זָמִין |
| רומניה | זָמִין |
| רוּסִיָה | זָמִין |
| ערב הסעודית | זָמִין |
| סרביה | זָמִין |
| סלובקיה | זָמִין |
| סלובניה | זָמִין |
| דרום אפריקה | זָמִין |
| סְפָרַד | זָמִין |
| שבדיה | זָמִין |
| שוויץ | זָמִין |
| טייוואן | זָמִין |
| טוּרְקִיָה | זָמִין |
| איחוד האמירויות הערביות | זָמִין |
| בְּרִיטַנִיָה | זָמִין |
| אַרצוֹת הַבְּרִית | זָמִין |
* אוסטרליה היא מדינה מנוהלת של מיקרוסופט למכירות דרך כל תרחישי רכישת הלקוחות למעט תרחיש רכישת הלקוח בהסכם Enterprise.
2.2 שאלות נפוצות
2.2.11. האם עלי להגדיר סיסמה או להשתמש במפתח SSH במהלך הקצאת משתמש Azure?
מומלץ להגדיר סיסמה. זה יעניק גישה ל- WebGUI, בעוד שמפתח SSH יאפשר לך רק גישה לשורת הפקודה של SSH. רוב פריטי התצורה בתוכנת Netgate® pfSense ® Plus נשלטים בדרך כלל באמצעות Webממשק משתמש. אם אתה משתמש בטעות במפתח SSH במקום זאת, אתה יכול לבחור באפשרות לאפס את סיסמת המנהל בתפריט הטקסט שמופיע כאשר אתה ssh למופע שלך. אז ה Webסיסמת ה-GUI תאופס ל-"pfsense". עליך לעדכן מיד את סיסמת המנהל לערך מאובטח יותר לאחר שנכנסת בהצלחה ל- Webממשק משתמש.
2.2.22. האם עדכון חי של התוכנה נתמך?
גירסאות בטווח 2.2.x לא צריכות לנסות לבצע שדרוג קושחה. בעתיד (pfSense 2.3 ואילך), זה עשוי להיות אפשרי, אבל זה כרגע לא נבדק ולא נתמך. מכיוון שמסוף מערכת אמיתי אינו זמין, תהליך שחזור סופי של כשלים במהלך שדרוגים יהיה קשה להגדיר. התהליך המומלץ כרגע לשדרוגים הוא גיבוי של תצורת pfSense ® Plus מהמופע הקיים ולשחזר אותו במופע חדש כאשר שדרוג זמין.
2.3 משאבי תמיכה
2.3.1 תמיכה מסחרית
על מנת לשמור על מחירים נמוכים, התוכנה אינה מצורפת עם מנוי תמיכה. למשתמשים הזקוקים לתמיכה מסחרית, ניתן לרכוש תמיכה גלובלית של Netgate® בכתובת https://www.netgate.com/support.
2.3.2 תמיכה בקהילה
תמיכה בקהילה זמינה דרך פורום Newgate.
2.4 משאבים נוספים
2.4.1 הדרכה של נטגייט
הדרכה של Netgate מציעה קורסי הדרכה להגדלת הידע שלך במוצרים ובשירותים של pfSense ® Plus. בין אם אתה צריך לשמור או לשפר את כישורי האבטחה של הצוות שלך או להציע תמיכה מיוחדת ולשפר את שביעות רצון הלקוחות שלך; אימון Netgate סיפק אותך.
https://www.netgate.com/training
2.4.2 ספריית משאבים
למידע נוסף על אופן השימוש ב-Netgate שלך ולמשאבים מועילים אחרים, הקפד לעיין בספריית המשאבים שלנו.
https://www.netgate.com/resources
2.4.3 שירותים מקצועיים
התמיכה אינה מכסה משימות מורכבות יותר כגון תצורת CARP עבור יתירות על מספר חומות אש או מעגלים, עיצוב רשת והמרה מחומות אש אחרות לתוכנת pfSense ® Plus. פריטים אלו מוצעים כשירותים מקצועיים וניתנים לרכישה ולתזמון בהתאם.
https://www.netgate.com/our-ervices/professional-services.html
2.4.4אפשרויות קהילה
אם בחרת שלא לקבל תוכנית תמיכה בתשלום, תוכל למצוא עזרה מקהילת pfSense הפעילה ובעלת הידע בפורומים שלנו.
https://forum.netgate.com/
מסמכים / משאבים
 |
netgate pfSense Plus Firewall/VPN/נתב עבור Microsoft Azure [pdfמדריך למשתמש Microsoft Azure, Security Gateway, Microsoft Azure Security Gateway, pfSense Plus Firewall VPN נתב עבור Microsoft Azure, pfSense Plus Firewall VPN Router |
