Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Korzystając z tego przewodnika wdrażania, dowiesz się, jak skonfigurować i pracować z produktem zapory nowej generacji FortiGate fortinet wdrożonym jako maszyna wirtualna platformy Azure. Ponadto skonfigurujesz aplikację FortiGate SSL VPN Firmy Microsoft Entra Gallery w celu zapewnienia uwierzytelniania sieci VPN za pośrednictwem identyfikatora Firmy Microsoft Entra.
Zrealizuj licencję FortiGate
Produkt zapory fortiGate nowej generacji fortigate jest dostępny jako maszyna wirtualna w infrastrukturze jako usłudze (IaaS) platformy Azure. Istnieją dwa tryby licencjonowania dla tej maszyny wirtualnej: płatność zgodnie z rzeczywistym użyciem i bring-your-own-license (BYOL).
Jeśli zakupiono licencję FortiGate firmy Fortinet do użycia z opcją wdrażania maszyny wirtualnej BYOL, zrealizuj ją na stronie aktywacji produktu Fortinet — https://support.fortinet.com. Wynikowy plik licencji będzie miał rozszerzenie .lic.
Pobierz oprogramowanie układowe
W momencie pisania tego artykułu maszyna wirtualna platformy Azure FortiGate fortiGate nie jest dostarczana z wersją oprogramowania układowego wymaganą do uwierzytelniania SAML. Najnowszą wersję należy uzyskać z narzędzia Fortinet.
- Zaloguj się pod adresem https://support.fortinet.com/.
- Przejdź do pozycji Pobierz>obrazy oprogramowania układowego.
- Po prawej stronie pozycji Informacje o wersji wybierz pozycję Pobierz.
- Wybierz pozycję v6.00>6.4>6.4.2.
- Pobierz plik FGT_VM64_AZURE-v6-build1723-FORTINET.out , wybierając link HTTPS w tym samym wierszu.
- Zapisz plik do późniejszego użycia.
Wdrażanie maszyny wirtualnej FortiGate
Przejdź do witryny Azure Portal i zaloguj się do subskrypcji, w której wdrożysz maszynę wirtualną FortiGate.
Utwórz nową grupę zasobów lub otwórz grupę zasobów, w której wdrożysz maszynę wirtualną FortiGate.
Wybierz Dodaj.
W polu Wyszukaj w witrynie Marketplace wprowadź ciąg Forti. Wybierz pozycję Fortinet FortiGate Zapora następnej generacji.
Wybierz plan oprogramowania (bring-your-own-license, jeśli masz licencję lub płatność zgodnie z rzeczywistym użyciem, jeśli nie). Wybierz pozycję Utwórz.
Wypełnij konfigurację maszyny wirtualnej.
Ustaw wartość Typ uwierzytelniania na Hasło i podaj poświadczenia administracyjne dla maszyny wirtualnej.
Wybierz pozycję Przeglądanie + tworzenie>Utwórz.
Poczekaj na zakończenie wdrażania maszyny wirtualnej.
Ustawianie statycznego publicznego adresu IP i przypisywanie w pełni kwalifikowanej nazwy domeny
Aby zapewnić spójne środowisko użytkownika, ustaw publiczny adres IP przypisany do maszyny wirtualnej FortiGate jako statycznie przypisany. Ponadto zamapuj ją na w pełni kwalifikowaną nazwę domeny (FQDN).
Przejdź do witryny Azure Portal i otwórz ustawienia maszyny wirtualnej FortiGate.
Na ekranie Przegląd wybierz publiczny adres IP.
Wybierz pozycję Zapisz statyczne>.
Jeśli jesteś właścicielem publicznie routingu nazwy domeny dla środowiska, w którym jest wdrażana maszyna wirtualna FortiGate, utwórz rekord hosta (A) dla maszyny wirtualnej. Ten rekord mapuje na poprzedni publiczny adres IP, który jest statycznie przypisany.
Tworzenie nowej reguły sieciowej grupy zabezpieczeń dla portu TCP 8443
Przejdź do witryny Azure Portal i otwórz ustawienia maszyny wirtualnej FortiGate.
W menu po lewej stronie wybierz pozycję Sieć. Na liście znajduje się interfejs sieciowy, a wyświetlane są reguły portów wejściowych.
Wybierz pozycję Dodaj regułę portu wejściowego.
Utwórz nową regułę portu przychodzącego dla protokołu TCP 8443.
Wybierz Dodaj.
Tworzenie drugiej wirtualnej karty sieciowej dla maszyny wirtualnej
Aby zasoby wewnętrzne zostały udostępnione użytkownikom, należy dodać drugą wirtualną kartę sieciową do maszyny wirtualnej FortiGate. Sieć wirtualna na platformie Azure, na której znajduje się wirtualna karta sieciowa, musi mieć połączenie routingowe z tymi zasobami wewnętrznymi.
Przejdź do witryny Azure Portal i otwórz ustawienia maszyny wirtualnej FortiGate.
Jeśli maszyna wirtualna FortiGate nie została jeszcze zatrzymana, wybierz pozycję Zatrzymaj i poczekaj na zamknięcie maszyny wirtualnej.
W menu po lewej stronie wybierz pozycję Sieć.
Wybierz pozycję Dołącz interfejs sieciowy.
Wybierz pozycję Utwórz i dołącz interfejs sieciowy.
Skonfiguruj właściwości nowego interfejsu sieciowego, a następnie wybierz pozycję Utwórz.
Uruchom maszynę wirtualną FortiGate.
Konfigurowanie maszyny wirtualnej FortiGate
W poniższych sekcjach opisano sposób konfigurowania maszyny wirtualnej FortiGate.
Instalowanie licencji
Przejdź do
https://<address>
.<address>
W tym miejscu jest nazwa FQDN lub publiczny adres IP przypisany do maszyny wirtualnej FortiGate.Kontynuuj wklej wszelkie błędy certyfikatu.
Zaloguj się przy użyciu poświadczeń administratora podanych podczas wdrażania maszyny wirtualnej FortiGate.
Jeśli wdrożenie korzysta z modelu bring-your-own-license, zostanie wyświetlony monit o przekazanie licencji. Wybierz utworzony wcześniej plik licencji i przekaż go. Wybierz przycisk OK i uruchom ponownie maszynę wirtualną FortiGate.
Po ponownym uruchomieniu zaloguj się ponownie przy użyciu poświadczeń administratora, aby zweryfikować licencję.
Aktualizowanie oprogramowania układowego
Przejdź do
https://<address>
.<address>
W tym miejscu jest nazwa FQDN lub publiczny adres IP przypisany do maszyny wirtualnej FortiGate.Kontynuuj wklej wszelkie błędy certyfikatu.
Zaloguj się przy użyciu poświadczeń administratora podanych podczas wdrażania maszyny wirtualnej FortiGate.
W menu po lewej stronie wybierz pozycję System>Firmware.
W obszarze Zarządzanie oprogramowaniem układowym wybierz pozycję Przeglądaj i wybierz pobrany wcześniej plik oprogramowania układowego.
Ignoruj ostrzeżenie i wybierz pozycję Konfiguracja i uaktualnianie kopii zapasowej.
Wybierz Kontynuuj.
Po wyświetleniu monitu o zapisanie konfiguracji FortiGate (jako pliku conf) wybierz pozycję Zapisz.
Poczekaj na przekazanie i zastosowanie oprogramowania układowego. Poczekaj na ponowne uruchomienie maszyny wirtualnej FortiGate.
Po ponownym uruchomieniu maszyny wirtualnej FortiGate zaloguj się ponownie przy użyciu poświadczeń administratora.
Po wyświetleniu monitu o skonfigurowanie pulpitu nawigacyjnego wybierz pozycję Później.
Po rozpoczęciu samouczka wideo wybierz przycisk OK.
Zmień port zarządzania na TCP 8443
Przejdź do
https://<address>
.<address>
W tym miejscu jest nazwa FQDN lub publiczny adres IP przypisany do maszyny wirtualnej FortiGate.Kontynuuj wklej wszelkie błędy certyfikatu.
Zaloguj się przy użyciu poświadczeń administratora podanych podczas wdrażania maszyny wirtualnej FortiGate.
W menu po lewej stronie wybierz pozycję System.
W obszarze Ustawienia administracyjne zmień port HTTPS na 8443, a następnie wybierz pozycję Zastosuj.
Po wprowadzeniu zmiany przeglądarka próbuje ponownie załadować stronę administracyjną, ale kończy się niepowodzeniem. Od tej pory adres strony administracyjnej to
https://<address>:8443
.
Przekazywanie certyfikatu podpisywania SAML firmy Microsoft
Przejdź do
https://<address>:8443
.<address>
W tym miejscu jest nazwa FQDN lub publiczny adres IP przypisany do maszyny wirtualnej FortiGate.Kontynuuj wklej wszelkie błędy certyfikatu.
Zaloguj się przy użyciu poświadczeń administratora podanych podczas wdrażania maszyny wirtualnej FortiGate.
W menu po lewej stronie wybierz pozycję .
Wybierz pozycję Importuj>certyfikat zdalny.
Przejdź do certyfikatu pobranego z wdrożenia aplikacji niestandardowej FortiGate w dzierżawie platformy Azure. Wybierz ją, a następnie wybierz przycisk OK.
Przekazywanie i konfigurowanie niestandardowego certyfikatu SSL
Możesz skonfigurować maszynę wirtualną FortiGate przy użyciu własnego certyfikatu SSL obsługującego używaną nazwę FQDN. Jeśli masz dostęp do certyfikatu SSL spakowanego przy użyciu klucza prywatnego w formacie PFX, można go użyć do tego celu.
Przejdź do
https://<address>:8443
.<address>
W tym miejscu jest nazwa FQDN lub publiczny adres IP przypisany do maszyny wirtualnej FortiGate.Kontynuuj wklej wszelkie błędy certyfikatu.
Zaloguj się przy użyciu poświadczeń administratora podanych podczas wdrażania maszyny wirtualnej FortiGate.
W menu po lewej stronie wybierz pozycję .
Wybierz pozycję Importuj>>
Przejdź do . Plik PFX zawierający certyfikat SSL i klucz prywatny.
Podaj element . Hasło PFX i zrozumiała nazwa certyfikatu. Następnie wybierz opcję OK.
W menu po lewej stronie wybierz pozycję >.
W obszarze Ustawienia administracyjne rozwiń listę obok pozycji Certyfikat serwera HTTPS i wybierz zaimportowany wcześniej certyfikat SSL.
Wybierz Zastosuj.
Zamknij okno przeglądarki i przejdź do strony
https://<address>:8443
.Zaloguj się przy użyciu poświadczeń administratora FortiGate. Powinien zostać wyświetlony prawidłowy certyfikat SSL w użyciu.
Konfigurowanie limitu czasu uwierzytelniania
Przejdź do witryny Azure Portal i otwórz ustawienia maszyny wirtualnej FortiGate.
W menu po lewej stronie wybierz pozycję Konsola szeregowa.
Zaloguj się w konsoli szeregowej przy użyciu poświadczeń administratora maszyny wirtualnej FortiGate.
W konsoli szeregowej uruchom następujące polecenia:
config system global set remoteauthtimeout 60 end
Upewnij się, że interfejsy sieciowe uzyskują adresy IP
Przejdź do
https://<address>:8443
.<address>
W tym miejscu jest nazwa FQDN lub publiczny adres IP przypisany do maszyny wirtualnej FortiGate.Zaloguj się przy użyciu poświadczeń administratora podanych podczas wdrażania maszyny wirtualnej FortiGate.
W menu po lewej stronie wybierz pozycję Sieć.
W obszarze Sieć wybierz pozycję Interfejsy.
Sprawdź port1 (interfejs zewnętrzny) i port2 (interfejs wewnętrzny), aby upewnić się, że uzyskuje on adres IP z odpowiedniej podsieci platformy Azure. a. Jeśli jeden z portów nie uzyskuje adresu IP z podsieci (za pośrednictwem protokołu DHCP), kliknij prawym przyciskiem myszy port i wybierz polecenie Edytuj. b. Obok pozycji Tryb adresowania upewnij się, że wybrano protokół DHCP . c. Zobaczlct OK.
Upewnij się, że maszyna wirtualna FortiGate ma prawidłową trasę do lokalnych zasobów firmy
Wiele maszyn wirtualnych platformy Azure ma wszystkie interfejsy sieciowe w tej samej sieci wirtualnej (ale być może oddzielne podsieci). Często oznacza to, że oba interfejsy sieciowe mają połączenie z lokalnymi zasobami firmowymi publikowanymi za pośrednictwem rozwiązania FortiGate. Z tego powodu konieczne jest utworzenie niestandardowych wpisów tras, które zapewniają wyjście ruchu z poprawnego interfejsu po utworzeniu żądań dotyczących lokalnych zasobów firmowych.
Przejdź do
https://<address>:8443
.<address>
W tym miejscu jest nazwa FQDN lub publiczny adres IP przypisany do maszyny wirtualnej FortiGate.Zaloguj się przy użyciu poświadczeń administratora podanych podczas wdrażania maszyny wirtualnej FortiGate.
W menu po lewej stronie wybierz pozycję Sieć.
W obszarze Sieć wybierz pozycję Trasy statyczne.
Wybierz pozycję Utwórz nowy.
Obok pozycji Miejsce docelowe wybierz pozycję Podsieć.
W obszarze Podsieć określ informacje o podsieci, w której znajdują się lokalne zasoby firmowe (takie jak
10.1.0.0/255.255.255.0
).Obok pozycji Adres bramy określ bramę w podsieci platformy Azure, w której jest połączony port2 (na przykład zwykle kończy się to na
1
, jak w pliku10.6.1.1
).Obok pozycji Interfejs wybierz wewnętrzny interfejs sieciowy.
port2
Wybierz przycisk OK.
Konfigurowanie sieci VPN protokołu SSL fortiGate
Wykonaj kroki opisane w temacie Integracja logowania jednokrotnego (SSO) firmy Microsoft z usługą FortiGate SSL VPN