უსაფრთხოების კარიბჭის სახელმძღვანელო
Microsoft Azure
pfSense® Plus Firewall/VPN/როუტერი Microsoft Azure-ისთვის არის სახელმწიფოებრივ ფაიერ, VPN და უსაფრთხოების მოწყობილობა. ის შესაფერისია როგორც VPN საბოლოო წერტილის გამოსაყენებლად, როგორც საიტიდან საიტის VPN გვირაბებისთვის, ასევე როგორც დისტანციური წვდომის VPN სერვერისთვის მობილური მოწყობილობებისთვის. ხელმისაწვდომია ბუნებრივ კედელის ფუნქცია, ისევე როგორც მრავალი დამატებითი ფუნქცია, როგორიცაა გამტარუნარიანობის ფორმირება, შეჭრის გამოვლენა, პროქსი და სხვა პაკეტების საშუალებით. pfSense Plus for Azure ხელმისაწვდომია Azure Marketplace-ში.
დაწყება
1.1 ინსტანციის გაშვება ერთი NIC-ით
Netgate® pfSense® Plus-ის მაგალითი Azure-ისთვის, რომელიც შექმნილია ერთი NIC-ით, შეიძლება გამოყენებულ იქნას როგორც VPN ბოლო წერტილი, რათა დაუშვას წვდომა Azure ვირტუალურ ქსელში (VNet). სინგლი NIC pfSense
პლუს ვირტუალური მანქანა (VM) მხოლოდ ქმნის WAN ინტერფეისს, მაგრამ მაინც უზრუნველყოფს საჯარო და კერძო IP-ს Azure-ში.
Azure მართვის პორტალში გაუშვით Netgate pfSense® Plus Firewall/VPN/როუტერი მოწყობილობის ახალი ინსტანცია.
- Azure პორტალის Dashboard-დან დააწკაპუნეთ Marketplace-ზე.
- ძიება and select the Netgate Appliance for Azure.
- დააყენეთ ინსტანციის სახელი, ასევე მომხმარებლის სახელი, პაროლი, რესურსების ჯგუფი და რეგიონი.
შეყვანილი მომხმარებლის სახელი შეიქმნება, როგორც მოქმედი pfSense Plus ანგარიში ჩატვირთვისას და შეძლებს შესვლას web GUI. გარდა ამისა, ადმინისტრატორის მომხმარებელი ასევე დააყენებს მის პაროლს შეყვანილ მნიშვნელობაზე.
გაფრთხილება: მომხმარებლის სახელი, რომელიც ჩვეულებრივ გამოიყენება pfSense Plus-ის ადმინისტრირებისთვის არის admin, მაგრამ admin არის რეზერვირებული სახელი, რომლის დაყენება არ არის ნებადართული Azure უზრუნველყოფის ოსტატის მიერ. ასევე ღრუბლოვანი უსაფრთხოებისთვის, საუკეთესო პრაქტიკად ითვლება root მომხმარებლისთვის წვდომის შეზღუდვა, ამიტომ root დაბლოკილია ნაგულისხმევად.
- შლანგი ნიმუშის ზომა.
- აირჩიეთ დისკის ტიპი და ქსელის პარამეტრები (ვირტუალური ქსელი, ქვექსელი, საჯარო IP მისამართი, ქსელის უსაფრთხოების ჯგუფი).
Netgate pfSense ® Plus მოწყობილობის სამართავად, თქვენ უნდა დარწმუნდეთ, რომ უსაფრთხოების ჯგუფი შეიცავს წესებს, რომლებიც საშუალებას აძლევს პორტებს 22 (SSH) და 443 (HTTPS) შევიდნენ ბრძანების ხაზზე და Web სუუ. თუ გეგმავთ სხვა ტრაფიკის დაშვებას, დაამატეთ დამატებითი საბოლოო წერტილები.
IPsec-ისთვის დაუშვით UDP პორტი 500 (IKE) და UDP პორტი 4500 (NAT-T).
ამისთვის OpenVPN, დაუშვას UDP პორტი 1194.
დააწკაპუნეთ ქსელის უსაფრთხოების ჯგუფზე და საჭიროებისამებრ გააკეთეთ დამატებები. - დაადასტურეთ თქვენი არჩევანი შეჯამების გვერდზე და დააჭირეთ OK.
- შენიშნეთ ფასი შესყიდვის გვერდზე და დააჭირეთ შეძენას.
- მას შემდეგ, რაც VM ამოქმედდება და Azure პორტალი აჩვენებს, რომ ის გამოჩნდა, შეგიძლიათ წვდომა web ინტერფეისი. გამოიყენეთ პაროლი, რომელიც დააწესეთ უზრუნველყოფის პროცესში და ადმინისტრატორის მომხმარებელი. ახლა თქვენ უნდა გქონდეთ წვდომა მოწყობილობაზე.
1.2 ინსტანციის გაშვება მრავალი ქსელის ინტერფეისით.
Netgate® pfSense® Plus-ის მაგალითი Azure-სთვის, რომელსაც აქვს მრავალი NIC, რომელიც უნდა იყოს გამოყენებული, როგორც firewall ან კარიბჭე, ვერ იქნება უზრუნველყოფილი Azure პორტალში. webსაიტები. მრავალი ქსელის ინტერფეისით მაგალითის უზრუნველსაყოფად, თქვენ უნდა გამოიყენოთ PowerShell, Azure CLI ან ARM შაბლონი საჭირო ამოცანების შესასრულებლად.
ეს პროცედურები დოკუმენტირებულია Microsoft-ის Azure დოკუმენტაციაში. რამდენიმე ბმული, რომელიც ასახავს ამ პროცესს:
- განათავსეთ PowerShell-ით კლასიკური განლაგების მოდელის მიხედვით
- განათავსეთ PowerShell-ით რესურსების მენეჯერის განლაგების მოდელის მიხედვით
- განათავსეთ Azure CLI-ით რესურსების მენეჯერის განლაგების მოდელის მიხედვით
- განათავსეთ შაბლონებით რესურსების მენეჯერის განლაგების მოდელის მიხედვით
1.3 Azure Boot Diagnostics გაფართოების მხარდაჭერა.
Azure Boot Diagnostics გაფართოება შეიძლება არ იმუშაოს გამართულად Netgate® pfSense ® Plus პროგრამული უზრუნველყოფის Azure მოწყობილობისთვის.
ამ ფუნქციონალურთან დაკავშირებული პრობლემები დაფიქსირდა მოწყობილობის სერტიფიცირების ტესტირებისას. შემდგომმა ტესტირებამ აჩვენა, რომ ის გარკვეულ პირობებში მუშაობდა. თქვენ თავისუფლად შეგიძლიათ სცადოთ ჩატვირთვის დიაგნოსტიკის ჩართვა, მაგრამ ის ოფიციალურად არ არის მხარდაჭერილი.
როგორც ასეთი, გთხოვთ, ნუ წამოიწყებთ მხარდაჭერის ზარებს ან ბილეთებს, თუ აღმოაჩენთ, რომ Boot Diagnostics გაფართოება არ მუშაობს სწორად თქვენს Netgate pfSense ®-თან
პლუს Azure VM-სთვის. ეს ცნობილი შეზღუდვაა და გამოსავალი არ არის ხელმისაწვდომი
Azure-ის მომხმარებელთა მხარდაჭერის გუნდი ან Netgate-ის.
2.1 რეგიონალური ბაზრის ხელმისაწვდომობა
ქვემოთ მოცემული ცხრილები ასახავს მიმდინარე ხელმისაწვდომობას რეგიონული ბაზრის მიხედვით. თუ სასურველი რეგიონალური ბაზარი არ არის ჩამოთვლილი, იხილეთ Microsoft რეგიონების ხელმისაწვდომობა ან გაგზავნეთ მხარდაჭერის ბილეთი პირდაპირ Microsoft Azure-ში.
მაგიდა 1: Microsoft Azure ხელმისაწვდომი რეგიონები
| ბაზარი | pfSense Plus |
| სომხეთი | ხელმისაწვდომია |
| ავსტრალია | * |
| ავსტრია | ხელმისაწვდომია |
| ბელორუსია | ხელმისაწვდომია |
| ბელგია | ხელმისაწვდომია |
| ბრაზილია | ხელმისაწვდომია |
| კანადა | ხელმისაწვდომია |
| ხორვატია | ხელმისაწვდომია |
| კვიპროსი | ხელმისაწვდომია |
| ჩეხეთი | ხელმისაწვდომია |
| დანია | ხელმისაწვდომია |
| ესტონეთი | ხელმისაწვდომია |
| ფინეთი | ხელმისაწვდომია |
| საფრანგეთი | ხელმისაწვდომია |
| გერმანია | ხელმისაწვდომია |
| საბერძნეთი | ხელმისაწვდომია |
| უნგრეთი | ხელმისაწვდომია |
| ინდოეთი | ხელმისაწვდომია |
| ირლანდია | ხელმისაწვდომია |
| იტალია | ხელმისაწვდომია |
| კორეა | ხელმისაწვდომია |
| ლატვია | ხელმისაწვდომია |
| ლიხტენშტეინი | ხელმისაწვდომია |
| ლიტვა | ხელმისაწვდომია |
| ლუქსემბურგი | ხელმისაწვდომია |
| მალტა | ხელმისაწვდომია |
| მონაკო | ხელმისაწვდომია |
| ნიდერლანდები | ხელმისაწვდომია |
| ახალი ზელანდია | ხელმისაწვდომია |
| ნორვეგია | ხელმისაწვდომია |
ცხრილი 1 – გაგრძელდა წინა გვერდიდან.
| ბაზარი | pfSense Plus |
| პოლონეთი | ხელმისაწვდომია |
| პორტუგალია | ხელმისაწვდომია |
| პუერტო რიკო | ხელმისაწვდომია |
| რუმინეთი | ხელმისაწვდომია |
| რუსეთი | ხელმისაწვდომია |
| საუდის არაბეთი | ხელმისაწვდომია |
| სერბეთი | ხელმისაწვდომია |
| სლოვაკეთი | ხელმისაწვდომია |
| სლოვენია | ხელმისაწვდომია |
| სამხრეთ აფრიკა | ხელმისაწვდომია |
| ესპანეთი | ხელმისაწვდომია |
| შვედეთი | ხელმისაწვდომია |
| შვეიცარია | ხელმისაწვდომია |
| ტაივანი | ხელმისაწვდომია |
| თურქეთი | ხელმისაწვდომია |
| არაბთა გაერთიანებული საამიროები | ხელმისაწვდომია |
| გაერთიანებული სამეფო | ხელმისაწვდომია |
| შეერთებული შტატები | ხელმისაწვდომია |
* ავსტრალია არის Microsoft-ის მართული ქვეყანა, რომელიც იყიდება კლიენტების შესყიდვის ყველა სცენარის მიხედვით, გარდა საწარმოთა ხელშეკრულების კლიენტის შესყიდვის სცენარისა.
2.2 ხშირად დასმული კითხვები
2.2.11. უნდა დავაყენო პაროლი ან გამოვიყენო SSH კლავიში Azure მომხმარებლის უზრუნველყოფის დროს?
რეკომენდებულია პაროლის დაყენება. ეს მისცემს წვდომას WebGUI, მაშინ როდესაც SSH კლავიში მხოლოდ SSH ბრძანების სტრიქონზე წვდომის საშუალებას მოგცემთ. Netgate® pfSense® Plus პროგრამული უზრუნველყოფის კონფიგურაციის ელემენტების უმეტესობა, როგორც წესი, კონტროლდება WebGUI. თუ სანაცვლოდ შემთხვევით იყენებთ SSH კლავიშს, შეგიძლიათ აირჩიოთ ადმინისტრატორის პაროლის გადატვირთვის ვარიანტი ტექსტურ მენიუში, რომელიც გამოჩნდება ssh თქვენს მაგალითზე. Შემდეგ WebGUI პაროლი აღდგება „pfsense“-ზე. თქვენ დაუყოვნებლივ უნდა განაახლოთ ადმინისტრატორის პაროლი უფრო უსაფრთხო მნიშვნელობით, მას შემდეგ რაც წარმატებით შეხვალთ სისტემაში Webსუუ.
2.2.22. მხარდაჭერილია პროგრამული უზრუნველყოფის პირდაპირი განახლება?
ვერსიები 2.2.x დიაპაზონში არ უნდა შეეცადონ განახორციელონ პროგრამული უზრუნველყოფის განახლება. მომავალში (pfSense 2.3 ან უფრო ახალი), ეს შეიძლება იყოს შესაძლებელი, მაგრამ ამჟამად ის არ არის გამოცდილი და მხარდაჭერილი. იმის გამო, რომ რეალური სისტემის კონსოლი მიუწვდომელია, განახლებების დროს წარუმატებლობის აღდგენის საბოლოო პროცესი ძნელი იქნება განისაზღვროს. ამჟამად რეკომენდირებული პროცესი განახლებისთვის არის pfSense ® Plus კონფიგურაციის სარეზერვო ასლის შექმნა არსებული ინსტანციიდან და მისი აღდგენა ახალ ინსტანციაზე, როდესაც განახლება ხელმისაწვდომია.
2.3 მხარდაჭერის რესურსები
2.3.1 კომერციული მხარდაჭერა
დაბალი ფასების შესანარჩუნებლად, პროგრამული უზრუნველყოფა არ არის შეფუთული მხარდაჭერის გამოწერით. მომხმარებლებისთვის, რომლებსაც ესაჭიროებათ კომერციული მხარდაჭერა, შეგიძლიათ შეიძინოთ Netgate® Global Support https://www.netgate.com/support.
2.3.2 საზოგადოების მხარდაჭერა
საზოგადოების მხარდაჭერა ხელმისაწვდომია Newgate ფორუმის მეშვეობით.
2.4დამატებითი რესურსები
2.4.1 Netgate ტრენინგი
Netgate ტრენინგი გთავაზობთ ტრენინგ კურსებს pfSense ® Plus პროდუქტებისა და სერვისების შესახებ თქვენი ცოდნის გაზრდისთვის. გჭირდებათ თუ არა შეინარჩუნოთ ან გააუმჯობესოთ თქვენი პერსონალის უსაფრთხოების უნარები, ან შესთავაზოთ მაღალ სპეციალიზებულ მხარდაჭერას და გააუმჯობესოთ თქვენი მომხმარებლის კმაყოფილება; Netgate-ის ტრენინგმა გაგაშუქა.
https://www.netgate.com/training
2.4.2 რესურსების ბიბლიოთეკა
იმისათვის, რომ შეიტყოთ მეტი, თუ როგორ გამოიყენოთ თქვენი Netgate მოწყობილობა და სხვა სასარგებლო რესურსები, დარწმუნდით, რომ დაათვალიერეთ ჩვენი რესურსების ბიბლიოთეკა.
https://www.netgate.com/resources
2.4.3 პროფესიული მომსახურება
მხარდაჭერა არ მოიცავს უფრო რთულ ამოცანებს, როგორიცაა CARP კონფიგურაცია ზედმეტად მრავალ ფეიერვალზე ან სქემებზე, ქსელის დიზაინსა და სხვა ფეიერვოლებიდან pfSense ® Plus პროგრამულ უზრუნველყოფაზე გადაქცევას. ეს ნივთები შემოთავაზებულია როგორც პროფესიონალური მომსახურება და მათი შეძენა და დაგეგმვა შესაძლებელია.
https://www.netgate.com/our-ervices/professional-services.html
2.4.4 თემის პარამეტრები
თუ არჩეული გაქვთ არ მიიღოთ ფასიანი მხარდაჭერის გეგმა, შეგიძლიათ იპოვოთ დახმარება აქტიური და მცოდნე pfSense საზოგადოებისგან ჩვენს ფორუმებზე.
https://forum.netgate.com/
დოკუმენტები / რესურსები
 |
netgate pfSense Plus Firewall/VPN/როუტერი Microsoft Azure-ისთვის [pdf] მომხმარებლის სახელმძღვანელო Microsoft Azure, უსაფრთხოების კარიბჭე, Microsoft Azure უსაფრთხოების კარიბჭე, pfSense Plus Firewall VPN როუტერი Microsoft Azure-სთვის, pfSense Plus Firewall VPN როუტერი |
