Priročnik za varnostni prehod
Microsoft Azure
Požarni zid/VPN/usmerjevalnik pfSense® Plus za Microsoft Azure je požarni zid, VPN in varnostna naprava s spremljanjem stanja. Primeren je za uporabo kot končna točka VPN za tunele VPN od mesta do mesta in kot strežnik VPN za oddaljeni dostop za mobilne naprave. Na voljo je izvorna funkcija požarnega zidu, kot tudi številne dodatne funkcije, kot so oblikovanje pasovne širine, zaznavanje vdorov, proxy in več prek paketov. pfSense Plus za Azure je na voljo v Azure Marketplace.
ZAČETEK
1.1 Zagon primerka z enim omrežnim vmesnikom
Primerek Netgate® pfSense® Plus za Azure, ki je ustvarjen z enim omrežnim vmesnikom, se lahko uporablja kot končna točka VPN za omogočanje dostopa do navideznega omrežja Azure (VNet). En sam NIC pfSense
Poleg tega navidezni stroj (VM) ustvari le vmesnik WAN, vendar še vedno zagotavlja javni in zasebni IP znotraj Azure.
Na portalu za upravljanje Azure zaženite nov primerek naprave Netgate pfSense® Plus Firewall/VPN/Router.
- Na nadzorni plošči portala Azure kliknite Marketplace.
- Iskanje and select the Netgate Appliance for Azure.
- Nastavite ime instance ter uporabniško ime, geslo, skupino virov in regijo.
Vneseno uporabniško ime bo ob zagonu ustvarjeno kot veljaven račun pfSense Plus in se bo lahko prijavilo v web GUI. Poleg tega bo ime skrbniškega uporabnika tudi geslo nastavljeno na vneseno vrednost.
Opozorilo: Uporabniško ime, ki se običajno uporablja za skrbništvo nad pfSense Plus, je admin, vendar je admin rezervirano ime, ki ga čarovnik za zagotavljanje Azure ne sme nastaviti. Tudi zaradi varnosti v oblaku velja za najboljšo prakso omejitev dostopa za korenskega uporabnika, tako da je koren privzeto zaklenjen.
- izberite velikost primerka.
- Izberite vrsto diska in omrežne nastavitve (navidezno omrežje, podomrežje, javni naslov IP, varnostna skupina omrežja).
Če želite upravljati napravo Netgate pfSense ® Plus, morate zagotoviti, da varnostna skupina vsebuje pravila, ki dovoljujejo vratom 22 (SSH) in 443 (HTTPS) dostop do ukazne vrstice in Web GUI. Če nameravate dovoliti drug promet, dodajte dodatne končne točke.
Za IPsec dovoli UDP vrata 500 (IKE) in UDP vrata 4500 (NAT-T).
Za OpenVPN, dovoli UDP vrata 1194.
Kliknite skupino Omrežna varnost in po potrebi dodajte dodatke. - Potrdite svoje izbire na strani Povzetek in kliknite V redu.
- Zabeležite ceno na strani za nakup in kliknite Nakup.
- Ko se VM zažene in portal Azure pokaže, da se je pojavil, lahko dostopate do web vmesnik. Uporabite geslo, ki ste ga nastavili med postopkom zagotavljanja, in skrbniškega uporabnika. Zdaj bi morali imeti dostop do naprave.
1.2 Zagon primerka z več omrežnimi vmesniki.
Primerka Netgate® pfSense® Plus za Azure, ki ima več NIC-jev, ki naj bi se uporabljali kot požarni zid ali prehod, ni mogoče omogočiti na portalu Azure webstrani. Če želite zagotoviti primerek z več omrežnimi vmesniki, morate uporabiti PowerShell, Azure CLI ali predlogo ARM za izvajanje zahtevanih nalog.
Ti postopki so dokumentirani v Microsoftovi dokumentaciji za azure. Nekaj povezav, ki ponazarjajo ta postopek:
- Razmestite s PowerShell po klasičnem modelu uvajanja
- Razmestite s PowerShell pod modelom uvajanja Resource Manager
- Razmestite z Azure CLI pod modelom uvedbe upravitelja virov
- Razmestite s predlogami pod modelom uvedbe upravitelja virov
1.3 Podpora za razširitev Azure Boot Diagnostics.
Razširitev Azure Boot Diagnostics morda ne bo pravilno delovala s programsko opremo Netgate® pfSense® Plus za napravo Azure.
Med certifikacijskim testiranjem naprave so poročali o težavah s to funkcijo. Naknadno testiranje je pokazalo, da deluje v nekaterih okoliščinah. Lahko poskusite omogočiti diagnostiko zagona, vendar ni uradno podprta.
Zato vas prosimo, da ne kličete podpore ali prijav, če ugotovite, da razširitev Boot Diagnostics ne deluje pravilno z vašim Netgate pfSense ®
Plus za Azure VM. To je znana omejitev in ni na voljo nobenega pravnega sredstva
Azurejeva ekipa za podporo strankam ali Netgate.
2.1 Razpoložljivost na regionalnem trgu
Spodnje tabele predstavljajo trenutno razpoložljivost po regionalnih trgih. Če želenega regionalnega trga ni na seznamu, si oglejte razpoložljivost Microsoftovih regij ali pošljite vstopnico za podporo neposredno Microsoft Azure.
Tabela 1: Območja, ki so na voljo Microsoft Azure
| trg | pfSense Plus |
| Armenija | Na voljo |
| Avstralija | * |
| Avstrija | Na voljo |
| Belorusija | Na voljo |
| Belgija | Na voljo |
| Brazilija | Na voljo |
| Kanada | Na voljo |
| Hrvaška | Na voljo |
| Ciper | Na voljo |
| Češka | Na voljo |
| Danska | Na voljo |
| Estonija | Na voljo |
| Finska | Na voljo |
| Francija | Na voljo |
| Nemčija | Na voljo |
| Grčija | Na voljo |
| Madžarska | Na voljo |
| Indija | Na voljo |
| Irska | Na voljo |
| Italija | Na voljo |
| Koreja | Na voljo |
| Latvija | Na voljo |
| Liechtenstein | Na voljo |
| Litva | Na voljo |
| Luksemburg | Na voljo |
| Malta | Na voljo |
| Monako | Na voljo |
| Nizozemska | Na voljo |
| Nova Zelandija | Na voljo |
| Norveška | Na voljo |
Tabela 1 – nadaljevanje s prejšnje strani.
| trg | pfSense Plus |
| Poljska | Na voljo |
| Portugalska | Na voljo |
| Portoriko | Na voljo |
| Romunija | Na voljo |
| Rusija | Na voljo |
| Savdska Arabija | Na voljo |
| Srbija | Na voljo |
| Slovaška | Na voljo |
| Slovenija | Na voljo |
| Južna Afrika | Na voljo |
| Španija | Na voljo |
| Švedska | Na voljo |
| Švica | Na voljo |
| Tajvan | Na voljo |
| Turčija | Na voljo |
| Združeni arabski emirati | Na voljo |
| Združeno kraljestvo | Na voljo |
| Združene države Amerike | Na voljo |
* Avstralija je država, ki jo upravlja Microsoft za prodajo prek vseh scenarijev nakupa strank, razen scenarija nakupa strank pogodbe Enterprise Agreement.
2.2 Pogosta vprašanja
2.2.11. Ali naj nastavim geslo ali uporabim ključ SSH med zagotavljanjem uporabnika Azure?
Priporočljivo je, da nastavite geslo. To bo omogočilo dostop do WebGUI, medtem ko vam bo ključ SSH omogočil samo dostop do ukaznega poziva SSH. Večino konfiguracijskih postavk v programski opremi Netgate® pfSense® Plus običajno nadzirate prek WebGUI. Če namesto tega pomotoma uporabite ključ SSH, lahko izberete možnost ponastavitve skrbniškega gesla v besedilnem meniju, ki se prikaže, ko ssh do svojega primerka. Potem je WebGeslo GUI bo ponastavljeno na »pfsense«. Takoj posodobite skrbniško geslo na bolj varno vrednost, ko se uspešno prijavite v WebGUI.
2.2.22. Ali je podprta posodobitev programske opreme v živo?
Različice v obsegu 2.2.x ne bi smele poskušati izvesti nadgradnje vdelane programske opreme. V prihodnosti (pfSense 2.3 ali novejši) bo to morda mogoče, vendar trenutno ni preizkušeno in ni podprto. Ker prava sistemska konzola ni na voljo, bi bilo težko definirati dokončen postopek obnovitve za napake med nadgradnjami. Trenutno priporočeni postopek za nadgradnje je varnostno kopiranje konfiguracije pfSense ® Plus iz obstoječega primerka in obnovitev na novem primerku, ko bo na voljo nadgradnja.
2.3 Podporni viri
2.3.1 Komercialna podpora
Da bi ohranili nizke cene, programska oprema ni priložena naročnini na podporo. Za uporabnike, ki potrebujejo komercialno podporo, je mogoče kupiti Netgate® Global Support na https://www.netgate.com/support.
2.3.2 Podpora skupnosti
Podpora skupnosti je na voljo prek foruma Newgate.
2.4 Dodatni viri
2.4.1 Usposabljanje Netgate
Netgate training ponuja tečaje usposabljanja za izboljšanje znanja o izdelkih in storitvah pfSense® Plus. Ne glede na to, ali morate ohraniti ali izboljšati varnostne veščine svojega osebja ali ponuditi visoko specializirano podporo in izboljšati zadovoljstvo svojih strank; Usposabljanje Netgate vas bo pokrilo.
https://www.netgate.com/training
2.4.2 Knjižnica virov
Če želite izvedeti več o uporabi vaše naprave Netgate in za druge uporabne vire, pobrskajte po naši knjižnici virov.
https://www.netgate.com/resources
2.4.3 Strokovne storitve
Podpora ne zajema zahtevnejših nalog, kot je konfiguracija CARP za redundanco na več požarnih zidovih ali vezjih, načrtovanje omrežja in pretvorba iz drugih požarnih zidov v programsko opremo pfSense ® Plus. Ti predmeti so na voljo kot profesionalne storitve in jih je mogoče kupiti in ustrezno načrtovati.
https://www.netgate.com/our-ervices/professional-services.html
2.4.4 Možnosti skupnosti
Če ste se odločili, da ne boste prejeli plačanega načrta podpore, lahko poiščete pomoč aktivne in dobro obveščene skupnosti pfSense na naših forumih.
https://forum.netgate.com/
Dokumenti / Viri
 |
Požarni zid/VPN/usmerjevalnik netgate pfSense Plus za Microsoft Azure [pdfUporabniški priročnik Microsoft Azure, Security Gateway, Microsoft Azure Security Gateway, pfSense Plus Firewall VPN Router za Microsoft Azure, pfSense Plus Firewall VPN Router |
