Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Bereitstellungshandbuch ist beschrieben, wie Sie die FortiGate-Firewall der nächsten Generation von Fortinet einrichten und verwenden, indem Sie sie als virtuellen Azure-Computer bereitstellen. Darüber hinaus konfigurieren Sie die Microsoft Entra-Katalog-App „FortiGate SSL VPN“, um die VPN-Authentifizierung über Microsoft Entra ID zu ermöglichen.
Einlösen der FortiGate-Lizenz
Das Fortinet-Produkt „FortiGate Next-Generation Firewall“ (FortiGate: Firewall der nächsten Generation) ist als virtueller Computer in Azure IaaS (Infrastructure-as-a-Service) verfügbar. Für diesen virtuellen Computer gibt es zwei Lizenzierungsmodi: „Nutzungsbasierte Bezahlung“ und „Bring Your Own License“ (BYOL).
Wenn Sie eine FortiGate-Lizenz von Fortinet erworben haben, um sie für die BYOL-Option für die VM-Bereitstellung zu verwenden, führen Sie die Einlösung auf der Fortinet-Seite zum Aktivieren von Produkten durch: https://support.fortinet.com. Die sich ergebende Lizenzdatei hat die Dateierweiterung „.lic“.
Herunterladen der Firmware
Zum Zeitpunkt der Artikelerstellung wird die Fortinet FortiGate-Azure-VM nicht mit der für die SAML-Authentifizierung erforderlichen Firmwareversion ausgeliefert. Die aktuelle Version muss von Fortinet abgerufen werden.
- Melden Sie sich bei https://support.fortinet.com/ an.
- Navigieren Sie zu Download>Firmware Images (Herunterladen > Firmwareimages).
- Wählen Sie rechts neben Release Notes (Versionshinweise) die Option Download (Herunterladen) aus.
- Wählen Sie v6.00>6.4>6.4.2 aus.
- Laden Sie FGT_VM64_AZURE-v6-build1723-FORTINET.out herunter, indem Sie in derselben Zeile den HTTPS-Link auswählen.
- Speichern Sie die Datei zur späteren Verwendung.
Bereitstellen des virtuellen FortiGate-Computers
Navigieren Sie zum Azure-Portal, und melden Sie sich bei dem Abonnement an, unter dem Sie den virtuellen FortiGate-Computer bereitstellen möchten.
Erstellen Sie eine neue Ressourcengruppe, oder öffnen Sie die Ressourcengruppe, in der Sie den virtuellen FortiGate-Computer bereitstellen möchten.
Wählen Sie Hinzufügen.
Geben Sie unter Marketplace durchsuchen den Suchbegriff Forti ein. Wählen Sie Fortinet FortiGate Next-Generation Firewall aus.
Wählen Sie den Softwareplan aus („Bring Your Own License“, wenn Sie über eine Lizenz verfügen, andernfalls „Nutzungsbasierte Bezahlung“). Klicken Sie auf Erstellen.
Fügen Sie die VM-Konfiguration ein.
Legen Sie den Authentifizierungstyp auf Kennwort fest, und geben Sie Administratoranmeldeinformationen für den virtuellen Computer ein.
Klicken Sie auf Überprüfen>Erstellen.
Warten Sie, bis die Bereitstellung des virtuellen Computers abgeschlossen ist.
Festlegen einer statischen öffentlichen IP-Adresse und Zuweisen eines vollqualifizierten Domänennamens
Um eine einheitliche Benutzerumgebung zu erhalten, sollten Sie die der FortiGate-VM zugewiesene öffentliche IP-Adresse so festlegen, dass ihre Zuweisung statisch erfolgt. Ordnen Sie sie zusätzlich einem vollqualifizierten Domänennamen (FQDN) zu.
Navigieren Sie zum Azure-Portal, und öffnen Sie die Einstellungen für die FortiGate-VM.
Wählen Sie auf dem Bildschirm Übersicht die öffentliche IP-Adresse aus.
Wählen Sie Statisch>Speichern aus.
Erstellen Sie einen Hosteintrag (A) für den virtuellen Computer, wenn Sie über einen öffentlich routingfähigen Domänennamen für die Umgebung verfügen, in der der virtuelle FortiGate-Computer bereitgestellt wird. Dieser Eintrag wird der vorherigen öffentlichen IP-Adresse zugeordnet, die statisch zugewiesen wurde.
Erstellen einer neuen Netzwerksicherheitsgruppen-Eingangsregel für den TCP-Port 8443
Navigieren Sie zum Azure-Portal, und öffnen Sie die Einstellungen für die FortiGate-VM.
Klicken Sie im Menü auf der linken Seite auf Netzwerk. Die Netzwerkschnittstelle wird aufgeführt, und die Regeln für eingehende Ports werden angezeigt.
Wählen Sie Regel für eingehenden Port hinzufügen aus.
Erstellen Sie eine neue Regel für den eingehenden Port für TCP 8443.
Wählen Sie Hinzufügen.
Erstellen einer zweiten virtuellen Netzwerkkarte für die VM
Damit interne Ressourcen für Benutzer verfügbar gemacht werden können, muss der FortiGate-VM eine zweite virtuelle Netzwerkkarte hinzugefügt werden. Das virtuelle Netzwerk in Azure, in dem sich die virtuelle Netzwerkkarte befindet, muss über eine routingfähige Verbindung mit diesen internen Ressourcen verfügen.
Navigieren Sie zum Azure-Portal, und öffnen Sie die Einstellungen für die FortiGate-VM.
Wenn die FortiGate-VM nicht bereits beendet wurde, wählen Sie die Option Beenden aus und warten, bis die VM heruntergefahren wurde.
Klicken Sie im Menü auf der linken Seite auf Netzwerk.
Wählen Sie Netzwerkschnittstelle anfügen aus.
Wählen Sie die Option Netzwerkschnittstelle erstellen und anfügen aus.
Konfigurieren Sie die Eigenschaften für die neue Netzwerkschnittstelle, und wählen Sie anschließend die Option Erstellen aus.
Starten Sie die FortiGate-VM.
Konfigurieren des virtuellen FortiGate-Computers
In den folgenden Abschnitten wird Schritt für Schritt beschrieben, wie Sie die FortiGate-VM einrichten.
Installieren der Lizenz
Gehe zu
https://<address>. Hierbei steht<address>für den vollqualifizierten Domänennamen oder die öffentliche IP-Adresse, die dem virtuellen FortiGate-Computer zugewiesen ist.Setzen Sie den Vorgang trotz etwaiger Zertifikatfehler fort.
Melden Sie sich mit den Administratoranmeldeinformationen an, die während der Bereitstellung des virtuellen FortiGate-Computers bereitgestellt wurden.
Wenn für die Bereitstellung das BYOL-Modell (Bring Your Own License) verwendet wird, wird eine Aufforderung zum Hochladen einer Lizenz angezeigt. Wählen Sie die weiter oben erstellte Lizenzdatei aus, und laden Sie sie hoch. Wählen Sie OK aus, und starten Sie den virtuellen FortiGate-Computer neu.
Melden Sie sich nach dem Neustart erneut mit den Administratoranmeldeinformationen an, um die Lizenz zu überprüfen.
Aktualisieren der Firmware
Gehe zu
https://<address>. Hierbei steht<address>für den vollqualifizierten Domänennamen oder die öffentliche IP-Adresse, die dem virtuellen FortiGate-Computer zugewiesen ist.Setzen Sie den Vorgang trotz etwaiger Zertifikatfehler fort.
Melden Sie sich mit den Administratoranmeldeinformationen an, die während der Bereitstellung des virtuellen FortiGate-Computers bereitgestellt wurden.
Wählen Sie im Menü auf der linken Seite System>Firmware aus.
Wählen Sie unter Firmwareverwaltung die Option Durchsuchen und dann die zuvor heruntergeladene Firmwaredatei aus.
Ignorieren Sie die Warnung, und wählen Sie Backup config and upgrade (Konfiguration sichern und aktualisieren) aus.
Wählen Sie Weiter.
Wählen Sie Speichern aus, wenn Sie zum Speichern der FortiGate-Konfiguration (als CONF-Datei) aufgefordert werden.
Warten Sie, bis die Firmware hochgeladen und angewendet wurde. Warten Sie, bis der virtuelle FortiGate-Computer neu gestartet wurde.
Melden Sie sich nach dem Neustart des virtuellen FortiGate-Computers erneut mit den Administratoranmeldeinformationen an.
Wählen Sie Später aus, wenn Sie zum Einrichten des Dashboards aufgefordert werden.
Wählen Sie OK aus, wenn das Tutorialvideo beginnt.
Ändern des Verwaltungsports in „TCP 8443“
Gehe zu
https://<address>. Hierbei steht<address>für den vollqualifizierten Domänennamen oder die öffentliche IP-Adresse, die dem virtuellen FortiGate-Computer zugewiesen ist.Setzen Sie den Vorgang trotz etwaiger Zertifikatfehler fort.
Melden Sie sich mit den Administratoranmeldeinformationen an, die während der Bereitstellung des virtuellen FortiGate-Computers bereitgestellt wurden.
Wählen Sie im Menü auf der linken Seite die Option System aus.
Ändern Sie unter Administration Settings (Verwaltungseinstellungen) den HTTPS-Port in 8443, und wählen Sie Übernehmen aus.
Nachdem die Änderung übernommen wurde, wird vom Browser versucht, die Verwaltungsseite erneut zu laden. Hierbei tritt aber ein Fehler auf. Ab jetzt lautet die Adresse für die Verwaltungsseite wie folgt:
https://<address>:8443.
Hochladen des SAML-Signaturzertifikats für Microsoft Entra
Gehe zu
https://<address>:8443. Hierbei steht<address>für den vollqualifizierten Domänennamen oder die öffentliche IP-Adresse, die dem virtuellen FortiGate-Computer zugewiesen ist.Setzen Sie den Vorgang trotz etwaiger Zertifikatfehler fort.
Melden Sie sich mit den Administratoranmeldeinformationen an, die während der Bereitstellung des virtuellen FortiGate-Computers bereitgestellt wurden.
Wählen Sie im Menü auf der linken Seite System>Zertifikate aus.
Wählen Sie Import>Remote Certificate (Importieren > Remotezertifikat) aus.
Navigieren Sie zu dem Zertifikat, das bei der benutzerdefinierten FortiGate-App-Bereitstellung im Azure-Mandanten heruntergeladen wurde. Wählen Sie es aus, und wählen Sie anschließend OK aus.
Hochladen und Konfigurieren eines benutzerdefinierten SSL-Zertifikats
Es kann ratsam sein, den virtuellen FortiGate-Computer mit Ihrem eigenen SSL-Zertifikat zu konfigurieren, das den von Ihnen verwendeten vollqualifizierten Domänennamen unterstützt. Wenn Sie Zugriff auf ein SSL-Zertifikat haben, das mit dem privaten Schlüssel im PFX-Format verpackt ist, kann es für diesen Zweck verwendet werden.
Gehe zu
https://<address>:8443. Hierbei steht<address>für den vollqualifizierten Domänennamen oder die öffentliche IP-Adresse, die dem virtuellen FortiGate-Computer zugewiesen ist.Setzen Sie den Vorgang trotz etwaiger Zertifikatfehler fort.
Melden Sie sich mit den Administratoranmeldeinformationen an, die während der Bereitstellung des virtuellen FortiGate-Computers bereitgestellt wurden.
Wählen Sie im Menü auf der linken Seite System>Zertifikate aus.
Wählen Sie Import>Local Certificate>PKCS #12 Certificate (Importieren > Lokales Zertifikat > PKCS #12-Zertifikat) aus.
Navigieren Sie zur PFX-Datei, die das SSL-Zertifikat und den privaten Schlüssel enthält.
Geben Sie das PFX-Kennwort und einen aussagekräftigen Namen für das Zertifikat an. Klicken Sie anschließend auf OK.
Wählen Sie im Menü auf der linken Seite System>Einstellungen aus.
Erweitern Sie unter Administration Settings (Verwaltungseinstellungen) die Liste neben dem HTTPS-Serverzertifikat, und wählen Sie das zuvor importierte SSL-Zertifikat aus.
Wählen Sie Übernehmen.
Schließen Sie das Browserfenster, und navigieren Sie zu
https://<address>:8443.Melden Sie sich mit den FortiGate-Administratoranmeldeinformationen an. Nun sollte die Verwendung des richtigen SSL-Zertifikats angezeigt werden.
Konfigurieren des Authentifizierungszeitlimits
Navigieren Sie zum Azure-Portal, und öffnen Sie die Einstellungen für die FortiGate-VM.
Wählen Sie im Menü auf der linken Seite Serielle Konsole aus.
Melden Sie sich mit den Administratoranmeldeinformationen des virtuellen FortiGate-Computers bei der seriellen Konsole an.
Führen Sie in der seriellen Konsole die folgenden Befehle aus:
config system global set remoteauthtimeout 60 end
Sicherstellen des Empfangs von IP-Adressen für Netzwerkschnittstellen
Gehe zu
https://<address>:8443. Hierbei steht<address>für den vollqualifizierten Domänennamen oder die öffentliche IP-Adresse, die dem virtuellen FortiGate-Computer zugewiesen ist.Melden Sie sich mit den Administratoranmeldeinformationen an, die während der Bereitstellung des virtuellen FortiGate-Computers bereitgestellt wurden.
Klicken Sie im Menü auf der linken Seite auf Netzwerk.
Wählen Sie unter „Netzwerk“ die Option Schnittstellen aus.
Sehen Sie sich „port1“ (externe Schnittstelle) und „port2“ (interne Schnittstelle) an, um sicherzustellen, dass hierfür eine IP-Adresse aus dem richtigen Azure-Subnetz empfangen wird. a. Wenn keiner dieser beiden Ports eine IP-Adresse aus dem Subnetz erhält (per DHCP), klicken Sie mit der rechten Maustaste auf den Port und wählen die Option Bearbeiten aus. b. Vergewissern Sie sich, dass unter „Adressierungsmodus“ die Option DHCP ausgewählt ist. c. Wählen Sie OK aus.
Sicherstellen, dass die FortiGate-VM über die richtige Route zu lokalen Unternehmensressourcen verfügt
Bei mehrfach vernetzten Azure-VMs befinden sich alle Netzwerkschnittstellen in demselben virtuellen Netzwerk (aber ggf. in separaten Subnetzen). Häufig bedeutet dies, dass für beide Netzwerkschnittstellen eine Verbindung mit den lokalen Unternehmensressourcen besteht, die über FortiGate veröffentlicht werden. Aus diesem Grund müssen Einträge für benutzerdefinierte Routen erstellt werden, mit denen sichergestellt wird, dass der Datenverkehr von der richtigen Schnittstelle ausgeht, wenn Anforderungen für lokale Unternehmensressourcen gesendet werden.
Gehe zu
https://<address>:8443. Hierbei steht<address>für den vollqualifizierten Domänennamen oder die öffentliche IP-Adresse, die dem virtuellen FortiGate-Computer zugewiesen ist.Melden Sie sich mit den Administratoranmeldeinformationen an, die während der Bereitstellung des virtuellen FortiGate-Computers bereitgestellt wurden.
Klicken Sie im Menü auf der linken Seite auf Netzwerk.
Wählen Sie unter „Netzwerk“ die Option Statische Routen aus.
Wählen Sie Neu erstellen aus.
Wählen Sie unter „Ziel“ die Option Subnetz aus.
Geben Sie unter „Subnetz“ die Informationen des Subnetzes an, in dem sich die lokalen Unternehmensressourcen befinden (wie
10.1.0.0/255.255.255.0).Geben Sie neben „Gatewayadresse“ das Gateway des Azure-Subnetzes an, mit dem „port2“ verbunden ist (z. B. endet dies meist auf „
1“, wie in10.6.1.1).Wählen Sie neben „Schnittstelle“ die interne Netzwerkschnittstelle aus, also
port2.Wählen Sie OK aus.
Konfigurieren des FortiGate SSL VPN
Führen Sie die Schritte unter Tutorial: Integration des einmaligen Anmeldens (Single Sign-On, SSO) von Microsoft Entra mit FortiGate SSL VPN aus.