คู่มือเกตเวย์ความปลอดภัย
ไมโครซอฟต์ อาซัวร์
pfSense® Plus Firewall/VPN/Router สำหรับ Microsoft Azure คือไฟร์วอลล์แบบมีสถานะ VPN และอุปกรณ์รักษาความปลอดภัย เหมาะสำหรับใช้เป็นจุดสิ้นสุด VPN ทั้งสำหรับอุโมงค์ VPN แบบไซต์ต่อไซต์และเป็นเซิร์ฟเวอร์ VPN การเข้าถึงระยะไกลสำหรับอุปกรณ์มือถือ ฟังก์ชันไฟร์วอลล์แบบเนทีฟพร้อมใช้งานเช่นเดียวกับคุณสมบัติเพิ่มเติมมากมาย เช่น การกำหนดแบนด์วิธ การตรวจจับการบุกรุก การพร็อกซี และอื่นๆ ผ่านทางแพ็คเกจ pfSense Plus สำหรับ Azure มีวางจำหน่ายแล้วใน Azure Marketplace
การเริ่มต้น
1.1การเปิดใช้งานอินสแตนซ์ด้วย NIC เดียว
อินสแตนซ์ของNetgate® pfSense® Plus สำหรับ Azure ที่สร้างขึ้นด้วย NIC เดียวสามารถใช้เป็นตำแหน่งข้อมูล VPN เพื่ออนุญาตการเข้าถึง Azure Virtual Network (VNet) NIC pfSense เดียว
Plus virtual machine (VM) สร้างเฉพาะอินเทอร์เฟซ WAN แต่ยังคงให้ IP สาธารณะและส่วนตัวภายใน Azure
ใน Azure Management Portal ให้เปิดใช้อินสแตนซ์ใหม่ของอุปกรณ์ Netgate pfSense® Plus Firewall/VPN/Router
- จากแดชบอร์ดพอร์ทัล Azure ให้คลิกที่ Marketplace
- ค้นหา and select the Netgate Appliance for Azure.
- ตั้งชื่ออินสแตนซ์ตลอดจนชื่อผู้ใช้ รหัสผ่าน กลุ่มทรัพยากร และภูมิภาค
ชื่อผู้ใช้ที่ป้อนจะถูกสร้างขึ้นเป็นบัญชี pfSense Plus ที่ถูกต้องเมื่อบูตเครื่อง และจะสามารถเข้าสู่ระบบได้ web กุย นอกจากนี้ ผู้ใช้ที่เป็นผู้ดูแลระบบจะต้องตั้งรหัสผ่านเป็นค่าที่ป้อนด้วย
คำเตือน: โดยทั่วไปชื่อผู้ใช้ที่ใช้เพื่อจัดการ pfSense Plus คือผู้ดูแลระบบ แต่ผู้ดูแลระบบเป็นชื่อที่สงวนไว้ซึ่งไม่ได้รับอนุญาตให้ตั้งค่าโดยตัวช่วยสร้างการเตรียมใช้งาน Azure นอกจากนี้ สำหรับการรักษาความปลอดภัยบนคลาวด์ ถือเป็นแนวทางปฏิบัติที่ดีที่สุดในการจำกัดการเข้าถึงสำหรับผู้ใช้รูท ดังนั้นรูทจะถูกล็อคตามค่าเริ่มต้น
- เลือกขนาดอินสแตนซ์
- เลือกประเภทของดิสก์และการตั้งค่าเครือข่าย (เครือข่ายเสมือน ซับเน็ต ที่อยู่ IP สาธารณะ กลุ่มความปลอดภัยของเครือข่าย)
ในการจัดการอุปกรณ์ Netgate pfSense ® Plus คุณควรตรวจสอบให้แน่ใจว่ากลุ่มความปลอดภัยมีกฎเพื่ออนุญาตให้พอร์ต 22 (SSH) และ 443 (HTTPS) เข้าถึงบรรทัดคำสั่งและ Web GUI หากคุณวางแผนที่จะอนุญาตการรับส่งข้อมูลอื่น ให้เพิ่มจุดสิ้นสุดเพิ่มเติม
สำหรับ IPsec ให้อนุญาต สหภาพยูดีพี พอร์ต 500 (ไอเค) และ สหภาพยูดีพี พอร์ต 4500 (แนท-ที)
สำหรับ โอเพ่น วีพีเอ็น, อนุญาต สหภาพยูดีพี พอร์ต 1194
คลิกที่กลุ่มความปลอดภัยของเครือข่ายและทำการเพิ่มตามความจำเป็น - ยืนยันการเลือกของคุณในหน้าสรุป และคลิกตกลง
- จดราคาในหน้าการซื้อแล้วคลิกซื้อ
- เมื่อ VM เปิดตัวและพอร์ทัล Azure แสดงว่าได้เกิดขึ้นแล้ว คุณจะสามารถเข้าถึง web อินเตอร์เฟซ. ใช้รหัสผ่านที่คุณตั้งไว้ระหว่างกระบวนการจัดเตรียมและผู้ใช้ที่เป็นผู้ดูแลระบบ ตอนนี้คุณควรจะสามารถเข้าถึงอุปกรณ์ได้แล้ว
1.2การเปิดใช้งานอินสแตนซ์ด้วยอินเทอร์เฟซเครือข่ายหลายรายการ
อินสแตนซ์ของNetgate® pfSense® Plus สำหรับ Azure ที่มี NIC หลายตัวที่จะใช้เป็นไฟร์วอลล์หรือเกตเวย์ไม่สามารถจัดเตรียมในพอร์ทัล Azure webเว็บไซต์ ในการจัดเตรียมอินสแตนซ์ด้วยอินเทอร์เฟซเครือข่ายหลายรายการ คุณต้องใช้ PowerShell, Azure CLI หรือเทมเพลต ARM เพื่อดำเนินงานที่จำเป็น
ขั้นตอนเหล่านี้ได้รับการบันทึกไว้ในเอกสารประกอบ Azure ของ Microsoft ลิงก์บางส่วนที่อธิบายกระบวนการนี้:
- ปรับใช้กับ PowerShell ภายใต้โมเดลการปรับใช้แบบคลาสสิก
- ปรับใช้กับ PowerShell ภายใต้โมเดลการปรับใช้ตัวจัดการทรัพยากร
- ปรับใช้กับ Azure CLI ภายใต้โมเดลการปรับใช้ตัวจัดการทรัพยากร
- ปรับใช้ด้วยเทมเพลตภายใต้โมเดลการปรับใช้ตัวจัดการทรัพยากร
1.3การสนับสนุนส่วนขยาย Azure Boot Diagnostics
ส่วนขยาย Azure Boot Diagnostics อาจทำงานไม่ถูกต้องกับซอฟต์แวร์ Netgate® pfSense ® Plus สำหรับอุปกรณ์ Azure
มีการรายงานปัญหาเกี่ยวกับฟังก์ชันนี้ระหว่างการทดสอบการรับรองของอุปกรณ์ การทดสอบครั้งต่อมาระบุว่าดูเหมือนว่าจะใช้งานได้ในบางสถานการณ์ คุณมีอิสระในการพยายามเปิดใช้งานการวินิจฉัยการบูต แต่ไม่ได้รับการสนับสนุนอย่างเป็นทางการ
ด้วยเหตุนี้ โปรดอย่าเริ่มต้นการโทรหรือตั๋วการสนับสนุน หากคุณพบว่าส่วนขยาย Boot Diagnostics ทำงานไม่ถูกต้องกับ Netgate pfSense ® ของคุณ
บวกกับ Azure VM นี่เป็นข้อจำกัดที่ทราบกันดีอยู่แล้วและไม่มีวิธีแก้ไขใด ๆ
ทีมสนับสนุนลูกค้าของ Azure หรือของ Netgate
2.1ความพร้อมของตลาดระดับภูมิภาค
ตารางด้านล่างนี้แสดงถึงความพร้อมใช้งานในปัจจุบันโดยแยกตามตลาดระดับภูมิภาค หากตลาดระดับภูมิภาคที่ต้องการไม่อยู่ในรายการ โปรดดูความพร้อมใช้งานของภูมิภาคของ Microsoft หรือส่งตั๋วสนับสนุนโดยตรงไปยัง Microsoft Azure
โต๊ะ 1: ภูมิภาคที่พร้อมใช้งานของ Microsoft Azure
| ตลาด | pfSense พลัส |
| อาร์เมเนีย | มีอยู่ |
| ออสเตรเลีย | * |
| ออสเตรีย | มีอยู่ |
| เบลารุส | มีอยู่ |
| เบลเยียม | มีอยู่ |
| บราซิล | มีอยู่ |
| แคนาดา | มีอยู่ |
| โครเอเชีย | มีอยู่ |
| ไซปรัส | มีอยู่ |
| เช็กเกีย | มีอยู่ |
| เดนมาร์ก | มีอยู่ |
| เอสโตเนีย | มีอยู่ |
| ฟินแลนด์ | มีอยู่ |
| ฝรั่งเศส | มีอยู่ |
| ประเทศเยอรมนี | มีอยู่ |
| กรีซ | มีอยู่ |
| ฮังการี | มีอยู่ |
| อินเดีย | มีอยู่ |
| ไอร์แลนด์ | มีอยู่ |
| อิตาลี | มีอยู่ |
| เกาหลี | มีอยู่ |
| ลัตเวีย | มีอยู่ |
| ลิกเตนสไตน์ | มีอยู่ |
| ลิทัวเนีย | มีอยู่ |
| ลักเซมเบิร์ก | มีอยู่ |
| มอลตา | มีอยู่ |
| โมนาโก | มีอยู่ |
| เนเธอร์แลนด์ | มีอยู่ |
| นิวซีแลนด์ | มีอยู่ |
| นอร์เวย์ | มีอยู่ |
ตารางที่ 1 – ต่อจากหน้าที่แล้ว
| ตลาด | pfSense พลัส |
| โปแลนด์ | มีอยู่ |
| โปรตุเกส | มีอยู่ |
| เปอร์โตริโก | มีอยู่ |
| โรมาเนีย | มีอยู่ |
| รัสเซีย | มีอยู่ |
| ซาอุดิอาระเบีย | มีอยู่ |
| เซอร์เบีย | มีอยู่ |
| สโลวาเกีย | มีอยู่ |
| สโลวีเนีย | มีอยู่ |
| แอฟริกาใต้ | มีอยู่ |
| สเปน | มีอยู่ |
| สวีเดน | มีอยู่ |
| สวิตเซอร์แลนด์ | มีอยู่ |
| ไต้หวัน | มีอยู่ |
| ไก่งวง | มีอยู่ |
| สหรัฐอาหรับเอมิเรตส์ | มีอยู่ |
| สหราชอาณาจักร | มีอยู่ |
| ประเทศสหรัฐอเมริกา | มีอยู่ |
* ออสเตรเลียเป็นประเทศที่มีการจัดการของ Microsoft สำหรับการขายผ่านสถานการณ์การซื้อของลูกค้าทั้งหมด ยกเว้นสถานการณ์การซื้อของลูกค้าที่มีข้อตกลงองค์กร
2.2คำถามที่พบบ่อย
2.2.11. ฉันควรตั้งรหัสผ่านหรือใช้คีย์ SSH ระหว่างการจัดเตรียมผู้ใช้ Azure
ขอแนะนำให้ตั้งรหัสผ่าน สิ่งนี้จะให้สิทธิ์การเข้าถึง WebGUI ในขณะที่คีย์ SSH จะอนุญาตให้คุณเข้าถึงพรอมต์คำสั่ง SSH เท่านั้น โดยทั่วไปรายการการกำหนดค่าส่วนใหญ่ในซอฟต์แวร์ Netgate® pfSense ® Plus จะได้รับการควบคุมผ่าน Webกุย หากคุณใช้คีย์ SSH แทนโดยไม่ตั้งใจ คุณสามารถเลือกตัวเลือกเพื่อรีเซ็ตรหัสผ่านผู้ดูแลระบบได้ที่เมนูข้อความที่ปรากฏขึ้นเมื่อคุณ ssh ไปยังอินสแตนซ์ของคุณ จากนั้น Webรหัสผ่าน GUI จะถูกรีเซ็ตเป็น “pfsense” คุณควรอัปเดตรหัสผ่านผู้ดูแลระบบให้เป็นค่าที่ปลอดภัยยิ่งขึ้นทันทีเมื่อคุณเข้าสู่ระบบได้สำเร็จ WebGUI
2.2.22. รองรับการอัพเดตซอฟต์แวร์แบบเรียลไทม์หรือไม่
เวอร์ชันในช่วง 2.2.x ไม่ควรพยายามดำเนินการอัพเกรดเฟิร์มแวร์ ในอนาคต (pfSense 2.3 หรือใหม่กว่า) อาจเป็นไปได้ แต่ขณะนี้ยังไม่ผ่านการทดสอบและไม่ได้รับการสนับสนุน เนื่องจากคอนโซลระบบจริงไม่พร้อมใช้งาน กระบวนการกู้คืนขั้นสุดท้ายสำหรับความล้มเหลวระหว่างการอัพเกรดจึงเป็นเรื่องยากในการกำหนด กระบวนการที่แนะนำในปัจจุบันสำหรับการอัปเกรดคือการสำรองข้อมูลการกำหนดค่า pfSense ® Plus จากอินสแตนซ์ที่มีอยู่ และกู้คืนในอินสแตนซ์ใหม่เมื่อมีการอัปเกรด
2.3ทรัพยากรสนับสนุน
2.3.1การสนับสนุนเชิงพาณิชย์
เพื่อรักษาราคาให้ต่ำ ซอฟต์แวร์จึงไม่ได้มาพร้อมกับการสมัครรับการสนับสนุน สำหรับผู้ใช้ที่ต้องการการสนับสนุนเชิงพาณิชย์ สามารถซื้อ Netgate® Global Support ได้ ที่https://www.netgate.com/support.
2.3.2การสนับสนุนชุมชน
การสนับสนุนชุมชนมีอยู่ในฟอรัม Newgate
2.4แหล่งข้อมูลเพิ่มเติม
2.4.1การฝึกอบรม Netgate
การฝึกอบรม Netgate นำเสนอหลักสูตรการฝึกอบรมเพื่อเพิ่มความรู้เกี่ยวกับผลิตภัณฑ์และบริการของ pfSense ® Plus ไม่ว่าคุณจะต้องการรักษาหรือปรับปรุงทักษะด้านความปลอดภัยของพนักงานของคุณ หรือให้การสนับสนุนที่เชี่ยวชาญเป็นพิเศษและปรับปรุงความพึงพอใจของลูกค้า การฝึกอบรม Netgate ช่วยคุณได้
https://www.netgate.com/training
2.4.2ไลบรารีทรัพยากร
หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับวิธีใช้อุปกรณ์ Netgate และแหล่งข้อมูลที่เป็นประโยชน์อื่นๆ โปรดเรียกดูไลบรารีทรัพยากรของเรา
https://www.netgate.com/resources
2.4.3บริการระดับมืออาชีพ
การสนับสนุนไม่ครอบคลุมงานที่ซับซ้อนมากขึ้น เช่น การกำหนดค่า CARP เพื่อความซ้ำซ้อนบนไฟร์วอลล์หรือวงจรหลายตัว การออกแบบเครือข่าย และการแปลงจากไฟร์วอลล์อื่นๆ เป็นซอฟต์แวร์ pfSense ® Plus รายการเหล่านี้นำเสนอเป็นบริการระดับมืออาชีพ และสามารถซื้อและกำหนดเวลาได้
https://www.netgate.com/our-ervices/professional-services.html
2.4.4ตัวเลือกชุมชน
หากคุณเลือกที่จะไม่รับแผนการสนับสนุนแบบชำระเงิน คุณสามารถค้นหาความช่วยเหลือจากชุมชน pfSense ที่กระตือรือร้นและรอบรู้ได้ในฟอรัมของเรา
https://forum.netgate.com/
เอกสาร / แหล่งข้อมูล
 |
netgate pfSense Plus ไฟร์วอลล์/VPN/เราเตอร์สำหรับ Microsoft Azure [พีดีเอฟ] คู่มือการใช้งาน Microsoft Azure, เกตเวย์ความปลอดภัย, เกตเวย์ความปลอดภัย Microsoft Azure, เราเตอร์ VPN ไฟร์วอลล์ pfSense Plus สำหรับ Microsoft Azure, เราเตอร์ VPN ไฟร์วอลล์ pfSense Plus |
