Руководство по шлюзу безопасности
Microsoft Azure
Межсетевой экран/VPN/маршрутизатор pfSense® Plus для Microsoft Azure — это брандмауэр с отслеживанием состояния, VPN и устройство безопасности. Он подходит для использования в качестве конечной точки VPN как для VPN-туннелей типа «сеть-сеть», так и в качестве VPN-сервера удаленного доступа для мобильных устройств. Доступны встроенные функции брандмауэра, а также множество дополнительных функций, таких как формирование пропускной способности, обнаружение вторжений, проксирование и многое другое через пакеты. pfSense Plus для Azure доступен в Azure Marketplace.
НАЧИНАЯ
1.1 Запуск экземпляра с одной сетевой картой
Экземпляр Netgate® pfSense® Plus для Azure, созданный с одним сетевым адаптером, можно использовать в качестве конечной точки VPN, чтобы разрешить доступ к виртуальной сети Azure (VNet). Единая сетевая карта pfSense
Кроме того, виртуальная машина (ВМ) создает только интерфейс WAN, но по-прежнему предоставляет общедоступный и частный IP-адрес в Azure.
На портале управления Azure запустите новый экземпляр межсетевого экрана/VPN/маршрутизатора Netgate pfSense® Plus.
- На панели мониторинга портала Azure щелкните Marketplace.
- Искать и выберите Netgate Appliance для Azure.
- Задайте имя экземпляра, а также имя пользователя, пароль, группу ресурсов и регион.
Введенное имя пользователя будет создано как действующая учетная запись pfSense Plus при загрузке, и вы сможете войти в систему. web графический интерфейс Кроме того, для пользователя с правами администратора также будет установлено введенное значение пароля.
Предупреждение: Имя пользователя, обычно используемое для администрирования pfSense Plus, — admin, но admin — это зарезервированное имя, которое не может быть задано мастером подготовки Azure. Также для облачной безопасности рекомендуется ограничить доступ для пользователя root, поэтому root по умолчанию заблокирован.
- выберите размер экземпляра.
- Выберите тип диска и сетевые настройки (виртуальная сеть, подсеть, общедоступный IP-адрес, группа безопасности сети).
Для управления устройством Netgate pfSense ® Plus необходимо убедиться, что группа безопасности содержит правила, разрешающие портам 22 (SSH) и 443 (HTTPS) доступ к командной строке и Web GUI. Если вы планируете разрешить другой трафик, добавьте дополнительные конечные точки.
Для IPsec разрешить УДП порт 500 (АЙК) и УДП порт 4500 (НАТ-Т).
Для ОпенВПН, позволять УДП порт 1194.
Нажмите на группу безопасности сети и внесите необходимые дополнения. - Подтвердите свой выбор на странице «Сводка» и нажмите «ОК».
- Обратите внимание на цену на странице покупки и нажмите «Купить».
- Как только виртуальная машина запустится и портал Azure покажет, что она запущена, вы можете получить доступ к web интерфейс. Используйте пароль, который вы установили в процессе подготовки, и пользователя с правами администратора. Теперь у вас должен быть доступ к устройству.
1.2 Запуск экземпляра с несколькими сетевыми интерфейсами.
Экземпляр Netgate® pfSense® Plus для Azure с несколькими сетевыми адаптерами, которые должны использоваться в качестве брандмауэра или шлюза, не может быть подготовлен на портале Azure. webместа. Чтобы подготовить экземпляр с несколькими сетевыми интерфейсами, необходимо использовать PowerShell, Azure CLI или шаблон ARM для выполнения необходимых задач.
Эти процедуры описаны в документации Microsoft Azure. Некоторые ссылки, которые иллюстрируют этот процесс:
- Развертывание с помощью PowerShell по классической модели развертывания
- Развертывание с помощью PowerShell в рамках модели развертывания Resource Manager.
- Развертывание с помощью Azure CLI в рамках модели развертывания Resource Manager.
- Развертывание с помощью шаблонов в рамках модели развертывания Resource Manager.
1.3Поддержка расширения диагностики загрузки Azure.
Расширение диагностики загрузки Azure может работать неправильно с программным обеспечением Netgate® pfSense® Plus для устройства Azure.
О проблемах с этой функцией сообщалось во время сертификационных испытаний устройства. Последующее тестирование показало, что при некоторых обстоятельствах он работал. Вы можете попытаться включить диагностику загрузки, но официально она не поддерживается.
Поэтому, пожалуйста, не инициируйте звонки в службу поддержки или билеты, если вы обнаружите, что расширение Boot Diagnostics не работает должным образом с вашим Netgate pfSense ®.
Плюс для виртуальной машины Azure. Это известное ограничение, и от
Служба поддержки клиентов Azure или Netgate.
2.1 Доступность на региональном рынке
В приведенных ниже таблицах представлена текущая доступность по региональным рынкам. Если нужный региональный рынок отсутствует в списке, обратитесь к сведениям о доступности регионов Microsoft или отправьте заявку в службу поддержки непосредственно в Microsoft Azure.
Стол 1: Доступные регионы Microsoft Azure
| Рынок | pfSense Плюс |
| Армения | Доступный |
| Австралия | * |
| Австрия | Доступный |
| Беларусь | Доступный |
| Бельгия | Доступный |
| Бразилия | Доступный |
| Канада | Доступный |
| Хорватия | Доступный |
| Кипр | Доступный |
| Чехия | Доступный |
| Дания | Доступный |
| Эстония | Доступный |
| Финляндия | Доступный |
| Франция | Доступный |
| Германия | Доступный |
| Греция | Доступный |
| Венгрия | Доступный |
| Индия | Доступный |
| Ирландия | Доступный |
| Италия | Доступный |
| Корея | Доступный |
| Латвия | Доступный |
| Лихтенштейн | Доступный |
| Литва | Доступный |
| Люксембург | Доступный |
| Мальта | Доступный |
| Монако | Доступный |
| Нидерланды | Доступный |
| Новая Зеландия | Доступный |
| Норвегия | Доступный |
Таблица 1 – продолжение с предыдущей страницы.
| Рынок | pfSense Плюс |
| Польша | Доступный |
| Португалия | Доступный |
| Пуэрто-Рико | Доступный |
| Румыния | Доступный |
| Россия | Доступный |
| Саудовская Аравия | Доступный |
| Сербия | Доступный |
| Словакия | Доступный |
| Словения | Доступный |
| ЮАР | Доступный |
| Испания | Доступный |
| Швеция | Доступный |
| Швейцария | Доступный |
| Тайвань | Доступный |
| Турция | Доступный |
| Объединенные Арабские Эмираты | Доступный |
| Великобритания | Доступный |
| Соединенные Штаты | Доступный |
* Австралия является страной, управляемой корпорацией Майкрософт, для продаж по всем сценариям покупки клиента, кроме сценария покупки клиента по соглашению Enterprise.
2.2Часто задаваемые вопросы
2.2.11. Должен ли я установить пароль или использовать ключ SSH во время подготовки пользователей Azure?
Рекомендуется установить пароль. Это даст доступ к WebGUI, тогда как ключ SSH позволит вам получить доступ только к командной строке SSH. Большинство элементов конфигурации в программном обеспечении Netgate® pfSense® Plus обычно управляются через Webграфический интерфейс Если вместо этого вы случайно используете ключ SSH, вы можете выбрать параметр для сброса пароля администратора в текстовом меню, которое появляется при подключении по ssh к вашему экземпляру. Тогда WebПароль GUI будет сброшен на «pfsense». Вы должны немедленно обновить пароль администратора до более безопасного значения после успешного входа в систему. WebGUI.
2.2.22. Поддерживается ли обновление программного обеспечения в реальном времени?
Версии в диапазоне 2.2.x не должны пытаться выполнить обновление микропрограммы. В будущем (pfSense 2.3 или более поздней версии) это может быть возможно, но в настоящее время это не проверено и не поддерживается. Поскольку реальная системная консоль недоступна, будет сложно определить окончательный процесс восстановления после сбоев во время обновлений. В настоящее время рекомендуемый процесс обновления заключается в резервном копировании конфигурации pfSense® Plus из существующего экземпляра и восстановлении его на новом экземпляре, когда доступно обновление.
2.3 Ресурсы поддержки
2.3.1Коммерческая поддержка
Чтобы сохранить низкие цены, программное обеспечение не поставляется в комплекте с подпиской на поддержку. Для пользователей, которым требуется коммерческая поддержка, можно приобрести глобальную поддержку Netgate®. на https://www.netgate.com/support.
2.3.2 Поддержка сообщества
Поддержка сообщества доступна через форум Newgate.
2.4 Дополнительные ресурсы
2.4.1 Обучение Netgate
Обучение Netgate предлагает учебные курсы для расширения ваших знаний о продуктах и услугах pfSense ® Plus. Если вам нужно поддерживать или улучшать навыки безопасности вашего персонала или предлагать узкоспециализированную поддержку и повышать удовлетворенность ваших клиентов; Обучение Netgate поможет вам.
https://www.netgate.com/training
2.4.2Библиотека ресурсов
Чтобы узнать больше о том, как использовать ваше устройство Netgate, а также о других полезных ресурсах, обязательно просмотрите нашу библиотеку ресурсов.
https://www.netgate.com/resources
2.4.3 Профессиональные услуги
Поддержка не распространяется на более сложные задачи, такие как настройка CARP для резервирования нескольких брандмауэров или каналов, проектирование сети и переход с других брандмауэров на программное обеспечение pfSense® Plus. Эти предметы предлагаются в качестве профессиональных услуг и могут быть приобретены и запланированы соответственно.
https://www.netgate.com/our-ervices/professional-services.html
2.4.4 Параметры сообщества
Если вы решили не получать план платной поддержки, вы можете найти помощь от активного и знающего сообщества pfSense на наших форумах.
https://forum.netgate.com/
Документы/Ресурсы
 |
Брандмауэр/VPN/маршрутизатор netgate pfSense Plus для Microsoft Azure [pdf] Руководство пользователя Microsoft Azure, шлюз безопасности, шлюз безопасности Microsoft Azure, VPN-маршрутизатор pfSense Plus Firewall для Microsoft Azure, VPN-маршрутизатор pfSense Plus Firewall |
