セキュリティゲートウェイマニュアル
マイクロソフトアジュール
MicrosoftAzure用のpfSense®Plusファイアウォール/VPN/ルーターは、ステートフルファイアウォール、VPN、およびセキュリティアプライアンスです。 これは、サイト間VPNトンネルのVPNエンドポイントとして、およびモバイルデバイスのリモートアクセスVPNサーバーとしての使用に適しています。 パッケージを介した帯域幅シェーピング、侵入検知、プロキシなどの多くの追加機能と同様に、ネイティブファイアウォール機能を利用できます。 pfSense Plus for Azureは、AzureMarketplaceで入手できます。
はじめる
1.1単一のNICを使用したインスタンスの起動
単一のNICで作成されたNetgate®pfSense®PlusforAzureのインスタンスをVPNエンドポイントとして使用して、Azure仮想ネットワーク(VNet)へのアクセスを許可できます。 単一のNICpfSense
さらに、仮想マシン(VM)はWANインターフェイスのみを作成しますが、Azure内でパブリックIPとプライベートIPを提供します。
Azure管理ポータルで、NetgatepfSense®PlusFirewall / VPN/Routerアプライアンスの新しいインスタンスを起動します。
- Azureポータルダッシュボードから、[マーケットプレイス]をクリックします。
- 検索する and select the Netgate Appliance for Azure.
- インスタンスの名前、ユーザー名、パスワード、リソースグループ、およびリージョンを設定します。
入力したユーザー名は、起動時に有効なpfSense Plusアカウントとして作成され、ログインできるようになります。 web GUI。 さらに、管理者ユーザーのパスワードも入力した値に設定されます。
警告: pfSense Plusの管理に通常使用されるユーザー名はadminですが、adminは予約済みの名前であり、Azureプロビジョニングウィザードで設定することはできません。 また、クラウドセキュリティの場合、rootユーザーのアクセスを制限することがベストプラクティスと見なされているため、rootはデフォルトでロックされています。
- インスタンスサイズを選択します。
- ディスクの種類とネットワーク設定(仮想ネットワーク、サブネット、パブリックIPアドレス、ネットワークセキュリティグループ)を選択します。
NetgatepfSense®Plusアプライアンスを管理するには、セキュリティグループにポート22(SSH)および443(HTTPS)がコマンドラインにアクセスできるようにするルールが含まれていることを確認する必要があります。 Web GUI。 他のトラフィックを許可する場合は、エンドポイントを追加します。
IPsecの場合、許可する UDPI ポート500 (IKE) そして UDPI ポート4500 (NAT-T)。
のために オープンVPN、 許可する UDPI ポート1194。
ネットワークセキュリティグループをクリックし、必要に応じて追加します。 - [概要]ページで選択内容を確認し、[OK]をクリックします。
- 購入ページで価格をメモし、[購入]をクリックします。
- VMが起動し、AzureポータルにVMが起動したことが表示されたら、VMにアクセスできます。 web インターフェース。 プロビジョニングプロセス中に設定したパスワードと管理者ユーザーを使用します。 これで、アプライアンスにアクセスできるようになります。
1.2複数のネットワークインターフェースを備えたインスタンスの起動。
ファイアウォールまたはゲートウェイとして使用される複数のNICを持つNetgate®pfSense®PlusforAzureのインスタンスは、Azureポータルでプロビジョニングできません。 webサイト。 複数のネットワークインターフェイスを使用してインスタンスをプロビジョニングするには、PowerShell、Azure CLI、またはARMテンプレートを使用して必要なタスクを実行する必要があります。
これらの手順は、Microsoftの紺碧のドキュメントに記載されています。 このプロセスを説明するいくつかのリンク:
- 従来の展開モデルでPowerShellを使用して展開する
- ResourceManager展開モデルでPowerShellを使用して展開する
- ResourceManagerデプロイメントモデルでAzureCLIを使用してデプロイする
- ResourceManagerデプロイメントモデルでテンプレートを使用してデプロイする
1.3 Azure BootDiagnosticsExtensionのサポート。
Azure Boot Diagnostics拡張機能は、Azureアプライアンス用のNetgate®pfSense®Plusソフトウェアでは正しく機能しない場合があります。
アプライアンスの認証テスト中に、この機能に関する問題が報告されました。 その後のテストでは、特定の状況下で機能するように見えることが示されました。 ブート診断を有効にすることは自由ですが、公式にはサポートされていません。
そのため、Boot Diagnostics拡張機能がNetgatepfSense®で正しく機能していないことがわかった場合は、サポートコールまたはチケットを開始しないでください。
Plus forAzureVM。 これは既知の制限であり、救済策はありません。
AzureのカスタマーサポートチームまたはNetgateの。
2.1地域市場での入手可能性
以下の表は、地域市場ごとの現在の可用性を表しています。 目的の地域の市場がリストにない場合は、Microsoft地域の可用性を参照するか、サポートチケットをMicrosoftAzureに直接送信してください。
テーブル 1:MicrosoftAzureの利用可能なリージョン
| 市場 | pfSense プラス |
| アルメニア | 利用可能 |
| オーストラリア | * |
| オーストリア | 利用可能 |
| ベラルーシ | 利用可能 |
| ベルギー | 利用可能 |
| ブラジル | 利用可能 |
| カナダ | 利用可能 |
| クロアチア | 利用可能 |
| キプロス | 利用可能 |
| チェコ | 利用可能 |
| デンマーク | 利用可能 |
| エストニア | 利用可能 |
| フィンランド | 利用可能 |
| フランス | 利用可能 |
| ドイツ | 利用可能 |
| ギリシャ | 利用可能 |
| ハンガリー | 利用可能 |
| インド | 利用可能 |
| アイルランド | 利用可能 |
| イタリア | 利用可能 |
| 韓国 | 利用可能 |
| ラトビア | 利用可能 |
| リヒテンシュタイン | 利用可能 |
| リトアニア | 利用可能 |
| ルクセンブルク | 利用可能 |
| マルタ | 利用可能 |
| モナコ | 利用可能 |
| オランダ | 利用可能 |
| ニュージーランド | 利用可能 |
| ノルウェー | 利用可能 |
表1 –前のページから続く。
| 市場 | pfSense プラス |
| ポーランド | 利用可能 |
| ポルトガル | 利用可能 |
| プエルトリコ | 利用可能 |
| ルーマニア | 利用可能 |
| ロシア | 利用可能 |
| サウジアラビア | 利用可能 |
| セルビア | 利用可能 |
| スロバキア | 利用可能 |
| スロベニア | 利用可能 |
| 南アフリカ | 利用可能 |
| スペイン | 利用可能 |
| スウェーデン | 利用可能 |
| スイス | 利用可能 |
| 台湾 | 利用可能 |
| 七面鳥 | 利用可能 |
| アラブ首長国連邦 | 利用可能 |
| イギリス | 利用可能 |
| アメリカ合衆国 | 利用可能 |
*オーストラリアは、エンタープライズ契約の顧客購入シナリオを除くすべての顧客購入シナリオで販売されるマイクロソフト管理国です。
2.2よくある質問
2.2.11。 Azureユーザーのプロビジョニング中にパスワードを設定するか、SSHキーを使用する必要がありますか?
パスワードを設定することをお勧めします。 これにより、へのアクセスが許可されます WebGUIに対して、SSHキーはSSHコマンドプロンプトへのアクセスのみを許可します。 Netgate®pfSense®Plusソフトウェアのほとんどの構成アイテムは、通常、 WebGUI。 代わりに誤ってSSHキーを使用した場合は、インスタンスにSSH接続したときに表示されるテキストメニューで管理者パスワードをリセットするオプションを選択できます。 そうして WebGUIパスワードは「pfsense」にリセットされます。 ログインに成功したら、すぐに管理者パスワードをより安全な値に更新する必要があります。 WebGUI。
2.2.22。 ソフトウェアのライブアップデートはサポートされていますか?
2.2.xの範囲のバージョンでは、ファームウェアのアップグレードを実行しないでください。 将来(pfSense 2.3以降)、これは可能になる可能性がありますが、現在テストされておらず、サポートされていません。 実際のシステムコンソールは利用できないため、アップグレード中の障害に対する確実な回復プロセスを定義するのは困難です。 現在推奨されているアップグレードのプロセスは、既存のインスタンスからpfSense®Plus構成をバックアップし、アップグレードが利用可能になったときに新しいインスタンスに復元することです。
2.3サポートリソース
2.3.1コマーシャルサポート
価格を低く抑えるために、ソフトウェアはサポートサブスクリプションにバンドルされていません。 商用サポートが必要なユーザーのために、Netgate®グローバルサポートを購入できます https://www.netgate.com/support.
2.3.2コミュニティサポート
コミュニティサポートは、Newgateフォーラムを通じて利用できます。
2.4追加のリソース
2.4.1ネットゲートトレーニング
Netgateトレーニングは、pfSense®Plus製品およびサービスの知識を高めるためのトレーニングコースを提供します。 スタッフのセキュリティスキルを維持または改善する必要があるか、高度に専門化されたサポートを提供して顧客満足度を向上させる必要があるか。 Netgateトレーニングはあなたをカバーしました。
https://www.netgate.com/training
2.4.2リソースライブラリ
Netgateアプライアンスの使用方法やその他の役立つリソースについて詳しくは、リソースライブラリを参照してください。
https://www.netgate.com/resources
2.4.3プロフェッショナルサービス
サポートは、複数のファイアウォールまたは回路の冗長性のためのCARP構成、ネットワーク設計、他のファイアウォールからpfSense®Plusソフトウェアへの変換などのより複雑なタスクをカバーしていません。 これらのアイテムは専門的なサービスとして提供されており、それに応じて購入およびスケジュールすることができます。
https://www.netgate.com/our-ervices/professional-services.html
2.4.4コミュニティオプション
有料のサポートプランを受け取らないことを選択した場合は、フォーラムでアクティブで知識豊富なpfSenseコミュニティからの支援を見つけることができます。
https://forum.netgate.com/
ドキュメント / リソース
 |
netgate pfSense Plus Firewall / VPN / Router for Microsoft Azure [pdf] ユーザーマニュアル Microsoft Azure、セキュリティゲートウェイ、Microsoft Azureセキュリティゲートウェイ、MicrosoftAzure用のpfSensePlusファイアウォールVPNルーター、pfSensePlusファイアウォールVPNルーター |
