Udostępnij za pośrednictwem


Przewodnik wdrażania maszyny wirtualnej platformy Azure FortiGate

Korzystając z tego przewodnika wdrażania, dowiesz się, jak skonfigurować i pracować z produktem zapory nowej generacji FortiGate fortinet wdrożonym jako maszyna wirtualna platformy Azure. Ponadto skonfigurujesz aplikację FortiGate SSL VPN Firmy Microsoft Entra Gallery w celu zapewnienia uwierzytelniania sieci VPN za pośrednictwem identyfikatora Firmy Microsoft Entra.

Zrealizuj licencję FortiGate

Produkt zapory fortiGate nowej generacji fortigate jest dostępny jako maszyna wirtualna w infrastrukturze jako usłudze (IaaS) platformy Azure. Istnieją dwa tryby licencjonowania dla tej maszyny wirtualnej: płatność zgodnie z rzeczywistym użyciem i bring-your-own-license (BYOL).

Jeśli zakupiono licencję FortiGate firmy Fortinet do użycia z opcją wdrażania maszyny wirtualnej BYOL, zrealizuj ją na stronie aktywacji produktu Fortinet — https://support.fortinet.com. Wynikowy plik licencji będzie miał rozszerzenie .lic.

Pobierz oprogramowanie układowe

W momencie pisania tego artykułu maszyna wirtualna platformy Azure FortiGate fortiGate nie jest dostarczana z wersją oprogramowania układowego wymaganą do uwierzytelniania SAML. Najnowszą wersję należy uzyskać z narzędzia Fortinet.

  1. Zaloguj się pod adresem https://support.fortinet.com/.
  2. Przejdź do pozycji Pobierz>obrazy oprogramowania układowego.
  3. Po prawej stronie pozycji Informacje o wersji wybierz pozycję Pobierz.
  4. Wybierz pozycję v6.00>6.4>6.4.2.
  5. Pobierz plik FGT_VM64_AZURE-v6-build1723-FORTINET.out , wybierając link HTTPS w tym samym wierszu.
  6. Zapisz plik do późniejszego użycia.

Wdrażanie maszyny wirtualnej FortiGate

  1. Przejdź do witryny Azure Portal i zaloguj się do subskrypcji, w której wdrożysz maszynę wirtualną FortiGate.

  2. Utwórz nową grupę zasobów lub otwórz grupę zasobów, w której wdrożysz maszynę wirtualną FortiGate.

  3. Wybierz Dodaj.

  4. W polu Wyszukaj w witrynie Marketplace wprowadź ciąg Forti. Wybierz pozycję Fortinet FortiGate Zapora następnej generacji.

  5. Wybierz plan oprogramowania (bring-your-own-license, jeśli masz licencję lub płatność zgodnie z rzeczywistym użyciem, jeśli nie). Wybierz pozycję Utwórz.

  6. Wypełnij konfigurację maszyny wirtualnej.

    Zrzut ekranu przedstawiający tworzenie maszyny wirtualnej.

  7. Ustaw wartość Typ uwierzytelniania na Hasło i podaj poświadczenia administracyjne dla maszyny wirtualnej.

  8. Wybierz pozycję Przeglądanie + tworzenie>Utwórz.

  9. Poczekaj na zakończenie wdrażania maszyny wirtualnej.

Ustawianie statycznego publicznego adresu IP i przypisywanie w pełni kwalifikowanej nazwy domeny

Aby zapewnić spójne środowisko użytkownika, ustaw publiczny adres IP przypisany do maszyny wirtualnej FortiGate jako statycznie przypisany. Ponadto zamapuj ją na w pełni kwalifikowaną nazwę domeny (FQDN).

  1. Przejdź do witryny Azure Portal i otwórz ustawienia maszyny wirtualnej FortiGate.

  2. Na ekranie Przegląd wybierz publiczny adres IP.

    Zrzut ekranu przedstawiający sieć VPN PROTOKOŁU SSL dla aplikacji Fortigate.

  3. Wybierz pozycję Zapisz statyczne>.

Jeśli jesteś właścicielem publicznie routingu nazwy domeny dla środowiska, w którym jest wdrażana maszyna wirtualna FortiGate, utwórz rekord hosta (A) dla maszyny wirtualnej. Ten rekord mapuje na poprzedni publiczny adres IP, który jest statycznie przypisany.

Tworzenie nowej reguły sieciowej grupy zabezpieczeń dla portu TCP 8443

  1. Przejdź do witryny Azure Portal i otwórz ustawienia maszyny wirtualnej FortiGate.

  2. W menu po lewej stronie wybierz pozycję Sieć. Na liście znajduje się interfejs sieciowy, a wyświetlane są reguły portów wejściowych.

  3. Wybierz pozycję Dodaj regułę portu wejściowego.

  4. Utwórz nową regułę portu przychodzącego dla protokołu TCP 8443.

    Zrzut ekranu przedstawiający dodawanie reguły zabezpieczeń dla ruchu przychodzącego.

  5. Wybierz Dodaj.

Tworzenie drugiej wirtualnej karty sieciowej dla maszyny wirtualnej

Aby zasoby wewnętrzne zostały udostępnione użytkownikom, należy dodać drugą wirtualną kartę sieciową do maszyny wirtualnej FortiGate. Sieć wirtualna na platformie Azure, na której znajduje się wirtualna karta sieciowa, musi mieć połączenie routingowe z tymi zasobami wewnętrznymi.

  1. Przejdź do witryny Azure Portal i otwórz ustawienia maszyny wirtualnej FortiGate.

  2. Jeśli maszyna wirtualna FortiGate nie została jeszcze zatrzymana, wybierz pozycję Zatrzymaj i poczekaj na zamknięcie maszyny wirtualnej.

  3. W menu po lewej stronie wybierz pozycję Sieć.

  4. Wybierz pozycję Dołącz interfejs sieciowy.

  5. Wybierz pozycję Utwórz i dołącz interfejs sieciowy.

  6. Skonfiguruj właściwości nowego interfejsu sieciowego, a następnie wybierz pozycję Utwórz.

    Zrzut ekranu przedstawiający tworzenie interfejsu sieciowego.

  7. Uruchom maszynę wirtualną FortiGate.

Konfigurowanie maszyny wirtualnej FortiGate

W poniższych sekcjach opisano sposób konfigurowania maszyny wirtualnej FortiGate.

Instalowanie licencji

  1. Przejdź do https://<address>. <address> W tym miejscu jest nazwa FQDN lub publiczny adres IP przypisany do maszyny wirtualnej FortiGate.

  2. Kontynuuj wklej wszelkie błędy certyfikatu.

  3. Zaloguj się przy użyciu poświadczeń administratora podanych podczas wdrażania maszyny wirtualnej FortiGate.

  4. Jeśli wdrożenie korzysta z modelu bring-your-own-license, zostanie wyświetlony monit o przekazanie licencji. Wybierz utworzony wcześniej plik licencji i przekaż go. Wybierz przycisk OK i uruchom ponownie maszynę wirtualną FortiGate.

    Zrzut ekranu przedstawiający licencję maszyny wirtualnej FortiGate.

  5. Po ponownym uruchomieniu zaloguj się ponownie przy użyciu poświadczeń administratora, aby zweryfikować licencję.

Aktualizowanie oprogramowania układowego

  1. Przejdź do https://<address>. <address> W tym miejscu jest nazwa FQDN lub publiczny adres IP przypisany do maszyny wirtualnej FortiGate.

  2. Kontynuuj wklej wszelkie błędy certyfikatu.

  3. Zaloguj się przy użyciu poświadczeń administratora podanych podczas wdrażania maszyny wirtualnej FortiGate.

  4. W menu po lewej stronie wybierz pozycję System>Firmware.

  5. W obszarze Zarządzanie oprogramowaniem układowym wybierz pozycję Przeglądaj i wybierz pobrany wcześniej plik oprogramowania układowego.

  6. Ignoruj ostrzeżenie i wybierz pozycję Konfiguracja i uaktualnianie kopii zapasowej.

    Zrzut ekranu przedstawiający zarządzanie oprogramowaniem układowym.

  7. Wybierz Kontynuuj.

  8. Po wyświetleniu monitu o zapisanie konfiguracji FortiGate (jako pliku conf) wybierz pozycję Zapisz.

  9. Poczekaj na przekazanie i zastosowanie oprogramowania układowego. Poczekaj na ponowne uruchomienie maszyny wirtualnej FortiGate.

  10. Po ponownym uruchomieniu maszyny wirtualnej FortiGate zaloguj się ponownie przy użyciu poświadczeń administratora.

  11. Po wyświetleniu monitu o skonfigurowanie pulpitu nawigacyjnego wybierz pozycję Później.

  12. Po rozpoczęciu samouczka wideo wybierz przycisk OK.

Zmień port zarządzania na TCP 8443

  1. Przejdź do https://<address>. <address> W tym miejscu jest nazwa FQDN lub publiczny adres IP przypisany do maszyny wirtualnej FortiGate.

  2. Kontynuuj wklej wszelkie błędy certyfikatu.

  3. Zaloguj się przy użyciu poświadczeń administratora podanych podczas wdrażania maszyny wirtualnej FortiGate.

  4. W menu po lewej stronie wybierz pozycję System.

  5. W obszarze Ustawienia administracyjne zmień port HTTPS na 8443, a następnie wybierz pozycję Zastosuj.

  6. Po wprowadzeniu zmiany przeglądarka próbuje ponownie załadować stronę administracyjną, ale kończy się niepowodzeniem. Od tej pory adres strony administracyjnej to https://<address>:8443.

    Zrzut ekranu przedstawiający przekazywanie certyfikatu zdalnego.

Przekazywanie certyfikatu podpisywania SAML firmy Microsoft

  1. Przejdź do https://<address>:8443. <address> W tym miejscu jest nazwa FQDN lub publiczny adres IP przypisany do maszyny wirtualnej FortiGate.

  2. Kontynuuj wklej wszelkie błędy certyfikatu.

  3. Zaloguj się przy użyciu poświadczeń administratora podanych podczas wdrażania maszyny wirtualnej FortiGate.

  4. W menu po lewej stronie wybierz pozycję .

  5. Wybierz pozycję Importuj>certyfikat zdalny.

  6. Przejdź do certyfikatu pobranego z wdrożenia aplikacji niestandardowej FortiGate w dzierżawie platformy Azure. Wybierz ją, a następnie wybierz przycisk OK.

Przekazywanie i konfigurowanie niestandardowego certyfikatu SSL

Możesz skonfigurować maszynę wirtualną FortiGate przy użyciu własnego certyfikatu SSL obsługującego używaną nazwę FQDN. Jeśli masz dostęp do certyfikatu SSL spakowanego przy użyciu klucza prywatnego w formacie PFX, można go użyć do tego celu.

  1. Przejdź do https://<address>:8443. <address> W tym miejscu jest nazwa FQDN lub publiczny adres IP przypisany do maszyny wirtualnej FortiGate.

  2. Kontynuuj wklej wszelkie błędy certyfikatu.

  3. Zaloguj się przy użyciu poświadczeń administratora podanych podczas wdrażania maszyny wirtualnej FortiGate.

  4. W menu po lewej stronie wybierz pozycję .

  5. Wybierz pozycję Importuj>>

  6. Przejdź do . Plik PFX zawierający certyfikat SSL i klucz prywatny.

  7. Podaj element . Hasło PFX i zrozumiała nazwa certyfikatu. Następnie wybierz opcję OK.

  8. W menu po lewej stronie wybierz pozycję >.

  9. W obszarze Ustawienia administracyjne rozwiń listę obok pozycji Certyfikat serwera HTTPS i wybierz zaimportowany wcześniej certyfikat SSL.

  10. Wybierz Zastosuj.

  11. Zamknij okno przeglądarki i przejdź do strony https://<address>:8443.

  12. Zaloguj się przy użyciu poświadczeń administratora FortiGate. Powinien zostać wyświetlony prawidłowy certyfikat SSL w użyciu.

Konfigurowanie limitu czasu uwierzytelniania

  1. Przejdź do witryny Azure Portal i otwórz ustawienia maszyny wirtualnej FortiGate.

  2. W menu po lewej stronie wybierz pozycję Konsola szeregowa.

  3. Zaloguj się w konsoli szeregowej przy użyciu poświadczeń administratora maszyny wirtualnej FortiGate.

  4. W konsoli szeregowej uruchom następujące polecenia:

    config system global
    set remoteauthtimeout 60
    end
    

Upewnij się, że interfejsy sieciowe uzyskują adresy IP

  1. Przejdź do https://<address>:8443. <address> W tym miejscu jest nazwa FQDN lub publiczny adres IP przypisany do maszyny wirtualnej FortiGate.

  2. Zaloguj się przy użyciu poświadczeń administratora podanych podczas wdrażania maszyny wirtualnej FortiGate.

  3. W menu po lewej stronie wybierz pozycję Sieć.

  4. W obszarze Sieć wybierz pozycję Interfejsy.

  5. Sprawdź port1 (interfejs zewnętrzny) i port2 (interfejs wewnętrzny), aby upewnić się, że uzyskuje on adres IP z odpowiedniej podsieci platformy Azure. a. Jeśli jeden z portów nie uzyskuje adresu IP z podsieci (za pośrednictwem protokołu DHCP), kliknij prawym przyciskiem myszy port i wybierz polecenie Edytuj. b. Obok pozycji Tryb adresowania upewnij się, że wybrano protokół DHCP . c. Zobaczlct OK.

    Zrzut ekranu przedstawiający adresowanie interfejsu sieciowego.

Upewnij się, że maszyna wirtualna FortiGate ma prawidłową trasę do lokalnych zasobów firmy

Wiele maszyn wirtualnych platformy Azure ma wszystkie interfejsy sieciowe w tej samej sieci wirtualnej (ale być może oddzielne podsieci). Często oznacza to, że oba interfejsy sieciowe mają połączenie z lokalnymi zasobami firmowymi publikowanymi za pośrednictwem rozwiązania FortiGate. Z tego powodu konieczne jest utworzenie niestandardowych wpisów tras, które zapewniają wyjście ruchu z poprawnego interfejsu po utworzeniu żądań dotyczących lokalnych zasobów firmowych.

  1. Przejdź do https://<address>:8443. <address> W tym miejscu jest nazwa FQDN lub publiczny adres IP przypisany do maszyny wirtualnej FortiGate.

  2. Zaloguj się przy użyciu poświadczeń administratora podanych podczas wdrażania maszyny wirtualnej FortiGate.

  3. W menu po lewej stronie wybierz pozycję Sieć.

  4. W obszarze Sieć wybierz pozycję Trasy statyczne.

  5. Wybierz pozycję Utwórz nowy.

  6. Obok pozycji Miejsce docelowe wybierz pozycję Podsieć.

  7. W obszarze Podsieć określ informacje o podsieci, w której znajdują się lokalne zasoby firmowe (takie jak 10.1.0.0/255.255.255.0).

  8. Obok pozycji Adres bramy określ bramę w podsieci platformy Azure, w której jest połączony port2 (na przykład zwykle kończy się to na 1, jak w pliku 10.6.1.1).

  9. Obok pozycji Interfejs wybierz wewnętrzny interfejs sieciowy. port2

  10. Wybierz przycisk OK.

    Zrzut ekranu przedstawiający konfigurowanie trasy.

Konfigurowanie sieci VPN protokołu SSL fortiGate

Wykonaj kroki opisane w temacie Integracja logowania jednokrotnego (SSO) firmy Microsoft z usługą FortiGate SSL VPN