安全网关手册
微软 Azure
适用于 Microsoft Azure 的 pfSense® Plus 防火墙/VPN/路由器是一种状态防火墙、VPN 和安全设备。 它既适合用作站点到站点 VPN 隧道的 VPN 端点,也适合用作移动设备的远程访问 VPN 服务器。 本机防火墙功能以及许多附加功能(例如带宽整形、入侵检测、代理等)都可以通过软件包使用。 Azure 市场中提供 pfSense Plus for Azure。
入门
1.1启动单网卡实例
使用单个 NIC 创建的用于 Azure 的 Netgate® pfSense® Plus 实例可用作 VPN 端点,以允许访问 Azure 虚拟网络 (VNet)。 单网卡 pfSense
Plus 虚拟机 (VM) 仅创建一个 WAN 接口,但仍提供 Azure 内的公共和私有 IP。
在 Azure 管理门户中,启动 Netgate pfSense® Plus 防火墙/VPN/路由器设备的新实例。
- 在 Azure 门户仪表板中,单击 Marketplace。
- 搜索 并选择适用于 Azure 的 Netgate Appliance。
- 设置实例的名称以及用户名、密码、资源组和区域。
输入的用户名将在启动时创建为有效的 pfSense Plus 帐户,并且能够登录到 web 图形用户界面。 此外,管理员用户还将其密码设置为输入的值。
警告: 通常用于管理 pfSense Plus 的用户名是 admin,但 admin 是一个保留名称,不允许由 Azure 预配向导设置。 同样为了云安全,限制 root 用户的访问被认为是最佳实践,因此默认情况下 root 是锁定的。
- 选择实例大小。
- 选择光盘类型和网络设置(虚拟网络、子网、公共 IP 地址、网络安全组)。
要管理 Netgate pfSense ® Plus 设备,您应该确保安全组包含允许端口 22 (SSH) 和 443 (HTTPS) 访问命令行和 Web GUI。 如果您计划允许其他流量,请添加其他端点。
对于 IPsec,允许 UDP 端口 500 (宜家) 和 UDP 端口 4500 (NAT-T)。
为了 OpenVPN, 允许 UDP 端口1194。
单击网络安全组并根据需要进行添加。 - 在“摘要”页面上确认您的选择,然后单击“确定”。
- 记下购买页面上的价格,然后单击购买。
- 一旦 VM 启动并且 Azure 门户显示它已启动,您就可以访问 web 界面。 使用您在配置过程中设置的密码和管理员用户。 您现在应该能够访问该设备。
1.2启动具有多个网络接口的实例。
无法在 Azure 门户中预配具有多个用作防火墙或网关的 NIC 的 Netgate® pfSense® Plus for Azure 实例 web网站。 为了预配具有多个网络接口的实例,您必须使用 PowerShell、Azure CLI 或 ARM 模板来执行所需的任务。
这些过程记录在 Microsoft 的 azure 文档中。 一些说明此过程的链接:
- 在经典部署模型下使用 PowerShell 进行部署
- 在资源管理器部署模型下使用 PowerShell 进行部署
- 在资源管理器部署模型下使用 Azure CLI 进行部署
- 在资源管理器部署模型下使用模板进行部署
1.3 支持 Azure 启动诊断扩展。
Azure 启动诊断扩展可能无法与用于 Azure 设备的 Netgate® pfSense® Plus 软件一起正常运行。
在设备的认证测试期间报告了此功能的问题。 随后的测试表明它似乎在某些情况下工作。 您可以自由尝试启用引导诊断,但它不受官方支持。
因此,如果您发现 Boot Diagnostics 扩展无法与您的 Netgate pfSense® 一起正常运行,请不要拨打支持电话或提出工单
再加上 Azure VM。 这是一个已知的限制,无法从
Azure 的客户支持团队或 Netgate 的。
2.1区域市场可用性
下表代表区域市场的当前可用性。 如果未列出所需的区域市场,请参阅 Microsoft 区域可用性或直接向 Microsoft Azure 提交支持票证。
桌子 1:微软 Azure 可用区域
| 市场 | pfSense Plus |
| 亚美尼亚 | 可用的 |
| 澳大利亚 | * |
| 奥地利 | 可用的 |
| 白俄罗斯 | 可用的 |
| 比利时 | 可用的 |
| 巴西 | 可用的 |
| 加拿大 | 可用的 |
| 克罗地亚 | 可用的 |
| 塞浦路斯 | 可用的 |
| 捷克 | 可用的 |
| 丹麦 | 可用的 |
| 爱沙尼亚 | 可用的 |
| 芬兰 | 可用的 |
| 法国 | 可用的 |
| 德国 | 可用的 |
| 希腊 | 可用的 |
| 匈牙利 | 可用的 |
| 印度 | 可用的 |
| 爱尔兰 | 可用的 |
| 意大利 | 可用的 |
| 韩国 | 可用的 |
| 拉脱维亚 | 可用的 |
| 列支敦士登 | 可用的 |
| 立陶宛 | 可用的 |
| 卢森堡 | 可用的 |
| 马耳他 | 可用的 |
| 摩纳哥 | 可用的 |
| 荷兰 | 可用的 |
| 新西兰 | 可用的 |
| 挪威 | 可用的 |
表 1 – 接上一页。
| 市场 | pfSense Plus |
| 波兰 | 可用的 |
| 葡萄牙 | 可用的 |
| 波多黎各 | 可用的 |
| 罗马尼亚 | 可用的 |
| 俄罗斯 | 可用的 |
| 沙特阿拉伯 | 可用的 |
| 塞尔维亚 | 可用的 |
| 斯洛伐克 | 可用的 |
| 斯洛文尼亚 | 可用的 |
| 南非 | 可用的 |
| 西班牙 | 可用的 |
| 瑞典 | 可用的 |
| 瑞士 | 可用的 |
| 台湾 | 可用的 |
| 火鸡 | 可用的 |
| 阿拉伯联合酋长国 | 可用的 |
| 英国 | 可用的 |
| 美国 | 可用的 |
* 澳大利亚是 Microsoft 托管的国家/地区,通过除企业协议客户购买方案外的所有客户购买方案进行销售。
2.2 常见问题
2.2.11。 在 Azure 用户预配期间,我应该设置密码还是使用 SSH 密钥?
建议设置密码。 这将授予访问 WebGUI,而 SSH 密钥仅允许您访问 SSH 命令提示符。 Netgate® pfSense® Plus 软件中的大多数配置项通常通过 Web图形用户界面。 如果您不小心使用了 SSH 密钥,您可以在 ssh 到您的实例时出现的文本菜单中选择重置管理员密码的选项。 然后 WebGUI 密码将重置为“pfsense”。 成功登录后,您应立即将管理员密码更新为更安全的值 WebGUI。
2.2.22。 是否支持软件的实时更新?
2.2.x 范围内的版本不应尝试执行固件升级。 在未来(pfSense 2.3 或更高版本),这可能是可能的,但它目前未经测试且不受支持。 由于没有真正的系统控制台,升级过程中的故障恢复过程很难定义。 当前推荐的升级过程是从现有实例备份 pfSense ® Plus 配置,并在升级可用时将其恢复到新实例上。
2.3支持资源
2.3.1商业支持
为了保持低价,该软件未与支持订阅捆绑在一起。 对于需要商业支持的用户,可以购买 Netgate® Global Support 在 https://www.netgate.com/support.
2.3.2社区支持
社区支持可通过 Newgate 论坛获得。
2.4 其他资源
2.4.1Netgate 训练
Netgate 培训提供培训课程,以增加您对 pfSense ® Plus 产品和服务的了解。 您是否需要维护或提高员工的安全技能,或提供高度专业化的支持并提高客户满意度; Netgate 培训为您提供了保障。
https://www.netgate.com/training
2.4.2资源库
要了解有关如何使用 Netgate 设备和其他有用资源的更多信息,请务必浏览我们的资源库。
https://www.netgate.com/resources
2.4.3 专业服务
支持不包括更复杂的任务,例如在多个防火墙或电路上进行冗余的 CARP 配置、网络设计以及从其他防火墙到 pfSense ® Plus 软件的转换。 这些项目是作为专业服务提供的,可以相应地购买和安排。
https://www.netgate.com/our-ervices/professional-services.html
2.4.4 社区选项
如果您选择不获得付费支持计划,您可以在我们的论坛上从活跃且知识渊博的 pfSense 社区寻求帮助。
https://forum.netgate.com/
文件/资源
 |
用于 Microsoft Azure 的 netgate pfSense Plus 防火墙/VPN/路由器 [pdf] 用户手册 Microsoft Azure、安全网关、Microsoft Azure 安全网关、用于 Microsoft Azure 的 pfSense Plus 防火墙 VPN 路由器、pfSense Plus 防火墙 VPN 路由器 |
