Посібник із шлюзу безпеки
Microsoft Azure
Брандмауер/VPN/маршрутизатор pfSense® Plus для Microsoft Azure — це брандмауер, VPN і пристрій безпеки з контролем стану. Його можна використовувати як кінцеву точку VPN як для VPN-тунелів типу «сайт-сайт», так і як сервер VPN віддаленого доступу для мобільних пристроїв. Доступна власна функція брандмауера, а також багато додаткових функцій, таких як формування пропускної здатності, виявлення вторгнень, проксі-сервер тощо через пакети. pfSense Plus для Azure доступний на Azure Marketplace.
ПОЧАТОК РОБОТИ
1.1 Запуск екземпляра з одним мережевим адаптером
Примірник Netgate® pfSense® Plus для Azure, який створюється за допомогою однієї мережевої карти, можна використовувати як кінцеву точку VPN для доступу до віртуальної мережі Azure (VNet). Єдиний мережевий адаптер pfSense
Крім того, віртуальна машина (VM) створює лише інтерфейс WAN, але все ще надає загальнодоступну та приватну IP-адресу в Azure.
На порталі керування Azure запустіть новий екземпляр пристрою Netgate pfSense® Plus Firewall/VPN/Router.
- На інформаційній панелі порталу Azure натисніть Marketplace.
- шукати і виберіть пристрій Netgate для Azure.
- Встановіть назву екземпляра, а також ім’я користувача, пароль, групу ресурсів і регіон.
Введене ім’я користувача буде створено як дійсний обліковий запис pfSense Plus під час завантаження, і ви зможете увійти до web GUI. Крім того, пароль користувача адміністратора також матиме введене значення.
УВАГА: Зазвичай для адміністрування pfSense Plus використовується ім’я користувача admin, але admin — це зарезервоване ім’я, яке не можна встановлювати майстром надання Azure. Крім того, для безпеки хмари вважається найкращою практикою обмежити доступ для користувача root, тому root заблоковано за замовчуванням.
- виберіть розмір екземпляра.
- Виберіть тип диска та налаштування мережі (віртуальна мережа, підмережа, публічна IP-адреса, група безпеки мережі).
Щоб керувати пристроєм Netgate pfSense ® Plus, ви повинні переконатися, що група безпеки містить правила, які дозволяють портам 22 (SSH) і 443 (HTTPS) отримувати доступ до командного рядка та Web Графічний інтерфейс. Якщо ви плануєте дозволити інший трафік, додайте додаткові кінцеві точки.
Для IPsec дозволити UDP порт 500 (IKE) і UDP порт 4500 (NAT-T).
для OpenVPN, дозволяють UDP порт 1194.
Клацніть групу безпеки мережі та внесіть потрібні доповнення. - Підтвердьте свій вибір на сторінці «Підсумок» і натисніть «ОК».
- Зверніть увагу на ціну на сторінці покупки та натисніть Придбати.
- Коли віртуальна машина запуститься і портал Azure покаже, що вона з’явилася, ви зможете отримати доступ до web інтерфейс. Використовуйте пароль, який ви встановили під час процесу підготовки, і користувача адміністратора. Тепер ви маєте отримати доступ до пристрою.
1.2 Запуск екземпляра з кількома мережевими інтерфейсами.
Екземпляр Netgate® pfSense® Plus для Azure, який має кілька мережевих карток, які мають використовуватися як брандмауер або шлюз, не можна надати на порталі Azure webсайти. Щоб надати екземпляру кілька мережевих інтерфейсів, ви повинні використовувати PowerShell, Azure CLI або шаблон ARM для виконання необхідних завдань.
Ці процедури задокументовані в документації Microsoft Azure. Деякі посилання, які ілюструють цей процес:
- Розгортайте за допомогою PowerShell за класичною моделлю розгортання
- Розгорнути за допомогою PowerShell у моделі розгортання Resource Manager
- Розгортайте за допомогою Azure CLI за моделлю розгортання Resource Manager
- Розгортайте за допомогою шаблонів у моделі розгортання Resource Manager
1.3 Підтримка розширення Azure Boot Diagnostics.
Розширення Azure Boot Diagnostics може не працювати належним чином із програмним забезпеченням Netgate® pfSense ® Plus для пристрою Azure.
Повідомлялося про проблеми з цією функцією під час сертифікаційного тестування пристрою. Подальше тестування показало, що за певних умов він спрацював. Ви можете спробувати ввімкнути діагностику завантаження, але вона офіційно не підтримується.
Таким чином, будь ласка, не ініціюйте дзвінки в службу підтримки або запити, якщо ви виявите, що розширення Boot Diagnostics не працює належним чином із вашим Netgate pfSense ®
Плюс для Azure VM. Це відоме обмеження, яке неможливо вирішити
Служба підтримки клієнтів Azure або Netgate.
2.1 Наявність на регіональному ринку
У наведених нижче таблицях представлено поточну доступність за регіональними ринками. Якщо потрібного регіонального ринку немає в списку, перегляньте інформацію про доступність регіонів Microsoft або надішліть запит у службу підтримки безпосередньо в Microsoft Azure.
Таблиця 1: Доступні регіони Microsoft Azure
| Ринок | pfSense Plus |
| Вірменія | в наявності |
| Австралія | * |
| Австрія | в наявності |
| Білорусь | в наявності |
| Бельгія | в наявності |
| Бразилія | в наявності |
| Канада | в наявності |
| Хорватія | в наявності |
| Кіпр | в наявності |
| Чехія | в наявності |
| Данія | в наявності |
| Естонія | в наявності |
| Фінляндія | в наявності |
| Франція | в наявності |
| Німеччина | в наявності |
| Греція | в наявності |
| Угорщина | в наявності |
| Індія | в наявності |
| Ірландія | в наявності |
| Італія | в наявності |
| Корея | в наявності |
| Латвія | в наявності |
| Ліхтенштейн | в наявності |
| Литва | в наявності |
| Люксембург | в наявності |
| Мальта | в наявності |
| Монако | в наявності |
| Нідерланди | в наявності |
| Нова Зеландія | в наявності |
| Норвегія | в наявності |
Таблиця 1 – продовження з попередньої сторінки.
| Ринок | pfSense Plus |
| Польща | в наявності |
| Португалія | в наявності |
| Пуерто Ріко | в наявності |
| Румунія | в наявності |
| Росія | в наявності |
| Саудівська Аравія | в наявності |
| Сербія | в наявності |
| Словаччина | в наявності |
| Словенія | в наявності |
| Південна Африка | в наявності |
| Іспанія | в наявності |
| Швеція | в наявності |
| Швейцарія | в наявності |
| Тайвань | в наявності |
| Туреччина | в наявності |
| Об'єднані Арабські Емірати | в наявності |
| Велика Британія | в наявності |
| США | в наявності |
* Австралія є країною, керованою корпорацією Майкрософт, для продажу за всіма сценаріями купівлі клієнтами, окрім сценарію купівлі клієнтами Enterprise Agreement.
2.2 Запитання, що часто задаються
2.2.11. Чи варто мені встановлювати пароль або використовувати ключ SSH під час надання доступу користувачам Azure?
Рекомендується встановити пароль. Це надасть доступ до WebGUI, тоді як ключ SSH надасть вам доступ лише до командного рядка SSH. Більшість елементів конфігурації в програмному забезпеченні Netgate® pfSense® Plus зазвичай керуються через WebGUI. Якщо ви випадково використовуєте замість цього ключ SSH, ви можете вибрати опцію скидання пароля адміністратора в текстовому меню, яке з’являється під час підключення до вашого екземпляра через ssh. Потім WebПароль GUI буде скинуто на «pfsense». Вам слід негайно оновити пароль адміністратора до більш безпечного значення, щойно ви успішно ввійдете в систему WebГрафічний інтерфейс.
2.2.22. Чи підтримується оновлення програмного забезпечення в реальному часі?
Версії в діапазоні 2.2.x не повинні намагатися виконати оновлення мікропрограми. У майбутньому (pfSense 2.3 або новішої версії) це може бути можливим, але наразі це неперевірено та не підтримується. Оскільки справжня системна консоль недоступна, остаточний процес відновлення для збоїв під час оновлення буде важко визначити. Рекомендований наразі процес оновлення полягає в тому, щоб створити резервну копію конфігурації pfSense ® Plus із наявного екземпляра та відновити його на новому екземплярі, коли оновлення буде доступним.
2.3 Ресурси підтримки
2.3.1 Комерційна підтримка
Щоб підтримувати ціни на низькому рівні, програмне забезпечення не входить до складу підписки на підтримку. Для користувачів, яким потрібна комерційна підтримка, можна придбати Netgate® Global Support на https://www.netgate.com/support.
2.3.2 Підтримка спільноти
Підтримка спільноти доступна через форум Newgate.
2.4 Додаткові ресурси
2.4.1 Навчання Netgate
Netgate training пропонує навчальні курси для підвищення ваших знань про продукти та послуги pfSense ® Plus. Незалежно від того, чи потрібно вам підтримувати чи покращувати навички безпеки вашого персоналу чи запропонувати вузькоспеціалізовану підтримку та підвищити рівень задоволеності клієнтів; Навчання Netgate допоможе вам.
https://www.netgate.com/training
2.4.2 Бібліотека ресурсів
Щоб дізнатися більше про використання вашого пристрою Netgate та отримати інші корисні ресурси, обов’язково перегляньте нашу бібліотеку ресурсів.
https://www.netgate.com/resources
2.4.3 Професійні послуги
Підтримка не охоплює більш складні завдання, такі як конфігурація CARP для резервування на кількох брандмауерах або схемах, проектування мережі та перетворення інших брандмауерів на програмне забезпечення pfSense® Plus. Ці предмети пропонуються як професійні послуги, їх можна придбати та запланувати відповідно.
https://www.netgate.com/our-ervices/professional-services.html
2.4.4 Параметри спільноти
Якщо ви вирішили не отримувати платний план підтримки, ви можете отримати допомогу від активної та обізнаної спільноти pfSense на наших форумах.
https://forum.netgate.com/
Документи / Ресурси
 |
Брандмауер/VPN/маршрутизатор netgate pfSense Plus для Microsoft Azure [pdfПосібник користувача Microsoft Azure, Security Gateway, Microsoft Azure Security Gateway, pfSense Plus Firewall VPN Router для Microsoft Azure, pfSense Plus Firewall VPN Router |
