FortiGate Azure Sanal Makine Dağıtım Kılavuzu

Bu dağıtım kılavuzunu kullanarak, Azure Sanal Makinesi olarak dağıtılan Fortinet FortiGate yeni nesil güvenlik duvarı ürününü ayarlamayı ve bunlarla çalışmayı öğreneceksiniz. Ayrıca FortiGate SSL VPN Microsoft Entra Gallery Uygulamasını Microsoft Entra Id aracılığıyla VPN kimlik doğrulaması sağlayacak şekilde yapılandıracaksınız.

FortiGate Lisansını Kullanma

Fortinet FortiGate yeni nesil güvenlik duvarı ürünü, hizmet olarak Azure altyapısında (IaaS) sanal makine olarak kullanılabilir. Bu sanal makine için iki lisans modu vardır: kullandıkça öde ve kendi lisansını getir (KLG).

BYOL sanal makine dağıtım seçeneğiyle kullanmak üzere Fortinet'ten bir FortiGate lisansı satın aldıysanız, fortinet'in ürün etkinleştirme sayfasından kullanın: https://support.fortinet.com. Sonuçta elde edilen lisans dosyası bir .lic dosya uzantısına sahip olacaktır.

Üretici Yazılımını İndir

Fortinet FortiGate Azure VM, yazma sırasında SAML kimlik doğrulaması için gereken üretici yazılımı sürümüyle birlikte gelmez. En son sürüm Fortinet'ten alınmalıdır.

1. adresinde https://support.fortinet.com/oturum açın.
2. Üretici Yazılımı Görüntülerini İndir'e >gidin.
3. Sürüm Notları'nın sağındaki İndir'i seçin.
4. v6.00 6.4> seçin.>
5. Aynı satırdaki HTTPS bağlantısını seçerek FGT_VM64_AZURE-v6-build1723-FORTINET.out dosyasını indirin.
6. Dosyayı daha sonrası için kaydedin.

FortiGate VM'sini dağıtma

1. Azure portalına gidin ve FortiGate sanal makinesini dağıtacağınız abonelikte oturum açın.

2. Yeni bir kaynak grubu oluşturun veya FortiGate sanal makinesini dağıtacağınız kaynak grubunu açın.

3. Ekle'yi seçin.

4. Markette Ara alanına Forti yazın. Fortinet FortiGate Yeni Nesil Güvenlik Duvarı'nı seçin.

5. Yazılım planını seçin (lisansınız varsa kendi lisansını getir veya değilse kullandıkça öde). Oluştur'u belirleyin.

6. VM yapılandırmasını doldurun.

   

7. Kimlik doğrulama türünü Parola olarak ayarlayın ve VM için yönetici kimlik bilgilerini sağlayın.

8. Gözden geçir ve oluştur>Oluştur'u seçin.

9. VM dağıtımının tamamlanmasını bekleyin.

Statik Genel IP adresi ayarlama ve Tam Etki Alanı Adı Atama

Tutarlı bir kullanıcı deneyimi için FortiGate VM'sine atanan genel IP adresini statik olarak atanacak şekilde ayarlayın. Ayrıca, bunu tam etki alanı adıyla (FQDN) eşleyin.

1. Azure portalına gidin ve FortiGate VM ayarlarını açın.

2. Genel Bakış ekranında genel IP adresini seçin.

   

3. Statik Kaydet'i> seçin.

FortiGate VM'sinin dağıtıldığı ortam için genel olarak yönlendirilebilir bir etki alanı adınız varsa, VM için bir Konak (A) kaydı oluşturun. Bu kayıt, statik olarak atanan önceki genel IP adresiyle eşler.

TCP Bağlantı Noktası 8443 için Yeni Bir Gelen Ağ Güvenlik Grubu Kuralı Oluşturma

1. Azure portalına gidin ve FortiGate VM ayarlarını açın.

2. Soldaki menüde Ağ'ı seçin. Ağ arabirimi listelenir ve gelen bağlantı noktası kuralları gösterilir.

3. Gelen bağlantı noktası kuralı ekle’yi seçin.

4. TCP 8443 için yeni bir gelen bağlantı noktası kuralı oluşturun.

   

5. Ekle'yi seçin.

VM için İkinci Bir Sanal NIC Oluşturma

İç kaynakların kullanıcıların kullanımına sunulması için FortiGate VM'sine ikinci bir Sanal NIC eklenmelidir. Sanal NIC'nin bulunduğu Azure'daki Sanal Ağ, bu iç kaynaklara yönlendirilebilir bir bağlantıya sahip olmalıdır.

1. Azure portalına gidin ve FortiGate VM ayarlarını açın.

2. FortiGate VM zaten durdurulmadıysa Durdur'u seçin ve VM'nin kapatılmasını bekleyin.

3. Soldaki menüde Ağ'ı seçin.

4. Ağ arabirimi ekle'yi seçin.

5. Ağ arabirimi oluştur ve ekle'yi seçin.

6. Yeni ağ arabiriminin özelliklerini yapılandırın ve oluştur'u seçin.

   

7. FortiGate VM'sini başlatın.

FortiGate VM'sini yapılandırma

Aşağıdaki bölümlerde FortiGate VM'sinin nasıl ayarlanacağı anlatılır.

Lisansı Yükleme

1. Şuraya git: https://<address> . Burada, <address> FortiGate VM'sine atanan FQDN veya genel IP adresi verilmiştir.

2. Tüm sertifika hatalarını aşmaya devam edin.

3. FortiGate VM dağıtımı sırasında sağlanan yönetici kimlik bilgilerini kullanarak oturum açın.

4. Dağıtımda kendi lisansını getir modeli kullanılıyorsa bir lisans yükleme istemi görürsünüz. Daha önce oluşturulan lisans dosyasını seçin ve karşıya yükleyin. Tamam'ı seçin ve FortiGate VM'sini yeniden başlatın.

   

5. Yeniden başlatma işleminden sonra, lisansı doğrulamak için yönetici kimlik bilgileriyle yeniden oturum açın.

Üretici Yazılımını güncelleştirme

1. Şuraya git: https://<address> . Burada, <address> FortiGate VM'sine atanan FQDN veya genel IP adresi verilmiştir.

2. Tüm sertifika hatalarını aşmaya devam edin.

3. FortiGate VM dağıtımı sırasında sağlanan yönetici kimlik bilgilerini kullanarak oturum açın.

4. Soldaki menüde Sistem

5. Üretici Yazılımı Yönetimi'nde Gözat'ı seçin ve daha önce indirilen üretici yazılımı dosyasını seçin.

6. Uyarıyı yoksayın ve Yedekleme yapılandırması ve yükseltme'yi seçin.

   

7. Devam'ı seçin.

8. FortiGate yapılandırmasını (.conf dosyası olarak) kaydetmeniz istendiğinde Kaydet'i seçin.

9. Üretici yazılımının karşıya yüklenmesini ve uygulanmasını bekleyin. FortiGate VM'sinin yeniden başlatılmasını bekleyin.

10. FortiGate VM yeniden başlatıldıktan sonra yönetici kimlik bilgileriyle yeniden oturum açın.

11. Panoyu ayarlamanız istendiğinde Daha sonra'yı seçin.

12. Öğretici videosu başladığında Tamam'ı seçin.

Yönetim Bağlantı Noktasını TCP 8443 olarak değiştirme

1. Şuraya git: https://<address> . Burada, <address> FortiGate VM'sine atanan FQDN veya genel IP adresi verilmiştir.

2. Tüm sertifika hatalarını aşmaya devam edin.

3. FortiGate VM dağıtımı sırasında sağlanan yönetici kimlik bilgilerini kullanarak oturum açın.

4. Soldaki menüde Sistem'i seçin.

5. Yönetim Ayarları'nın altında HTTPS bağlantı noktasını 8443 olarak değiştirin ve Uygula'yı seçin.

6. Değişiklik uygulandıktan sonra tarayıcı yönetim sayfasını yeniden yüklemeyi dener, ancak başarısız olur. Bundan sonra, yönetim sayfası adresi şeklindedir https://<address>:8443.

   

Microsoft Entra SAML İmzalama Sertifikasını karşıya yükleme

1. Şuraya git: https://<address>:8443 . Burada, <address> FortiGate VM'sine atanan FQDN veya genel IP adresi verilmiştir.

2. Tüm sertifika hatalarını aşmaya devam edin.

3. FortiGate VM dağıtımı sırasında sağlanan yönetici kimlik bilgilerini kullanarak oturum açın.

4. Soldaki menüde Sistem

5. Uzak Sertifikayı>.

6. Azure kiracısında FortiGate özel uygulama dağıtımından indirilen sertifikaya göz atın. Seçin ve Tamam'ı seçin.

Özel SSL sertifikalarını karşıya yükleme ve yapılandırma

FortiGate VM'sini kullanmakta olduğunuz FQDN'yi destekleyen kendi SSL sertifikanızla yapılandırmak isteyebilirsiniz. PFX biçiminde özel anahtarla paketlenmiş bir SSL sertifikasına erişiminiz varsa, bu amaçla kullanılabilir.

1. Şuraya git: https://<address>:8443 . Burada, <address> FortiGate VM'sine atanan FQDN veya genel IP adresi verilmiştir.

2. Tüm sertifika hatalarını aşmaya devam edin.

3. FortiGate VM dağıtımı sırasında sağlanan yönetici kimlik bilgilerini kullanarak oturum açın.

4. Soldaki menüde Sistem

5. Yerel Sertifikayı> seçin.

6. adresine gidin. SSL sertifikasını ve özel anahtarı içeren PFX dosyası.

7. öğesini sağlayın. PFX parolası ve sertifika için anlamlı bir ad. Ardından Tamam'ı seçin.

8. Soldaki menüde Sistem

9. Yönetim Ayarları'nın altında, HTTPS sunucu sertifikasının yanındaki listeyi genişletin ve daha önce içeri aktarılan SSL sertifikasını seçin.

10. Uygula’yı seçin.

11. Tarayıcı penceresini kapatın ve adresine https://<address>:8443gidin.

12. FortiGate yönetici kimlik bilgileriyle oturum açın. Şimdi kullanımda doğru SSL sertifikasını görmeniz gerekir.

Kimlik doğrulaması zaman aşımını yapılandırma

1. Azure portalına gidin ve FortiGate VM ayarlarını açın.

2. Soldaki menüde Seri Konsol'a tıklayın.

3. FortiGate VM yönetici kimlik bilgileriyle Seri Konsol'da oturum açın.

4. Seri Konsol'da aşağıdaki komutları çalıştırın:

   config system global
   set remoteauthtimeout 60
   end
   

Ağ Arabirimlerinin IP Adresleri Edindiğinden Emin Olun

1. Şuraya git: https://<address>:8443 . Burada, <address> FortiGate VM'sine atanan FQDN veya genel IP adresi verilmiştir.

2. FortiGate VM dağıtımı sırasında sağlanan yönetici kimlik bilgilerini kullanarak oturum açın.

3. Soldaki menüde Ağ'ı seçin.

4. Ağ'ın altında Arabirimler'i seçin.

5. Doğru Azure alt ağından bir IP adresi aldıklarından emin olmak için bağlantı noktası1 (dış arabirim) ve bağlantı noktası2 'yi (iç arabirim) inceleyin. a. Herhangi bir bağlantı noktası alt ağdan (DHCP aracılığıyla) bir IP adresi almıyorsa, bağlantı noktasına sağ tıklayın ve Düzenle'yi seçin. b. Adresleme Modu'nın yanında DHCP'nin seçili olduğundan emin olun. ç. Bkz. Tamam.

   

FortiGate VM'sinde Şirket İçi Şirket Kaynaklarına Doğru Yol Olduğundan Emin Olun

Çok girişli Azure VM'lerinin tüm ağ arabirimleri aynı sanal ağdadır (ancak belki ayrı alt ağlar olabilir). Bu genellikle her iki ağ arabiriminin de FortiGate aracılığıyla yayımlanan şirket içi şirket kaynaklarıyla bağlantısı olduğu anlamına gelir. Bu nedenle, şirket içi şirket kaynaklarına yönelik istekler yapıldığında trafiğin doğru arabirimden çıkmasını sağlayan özel yol girişleri oluşturmak gerekir.

1. Şuraya git: https://<address>:8443 . Burada, <address> FortiGate VM'sine atanan FQDN veya genel IP adresi verilmiştir.

2. FortiGate VM dağıtımı sırasında sağlanan yönetici kimlik bilgilerini kullanarak oturum açın.

3. Soldaki menüde Ağ'ı seçin.

4. Ağ'ın altında Statik Yollar'ı seçin.

5. Yeni Oluştur’u seçin.

6. Hedef'in yanında Alt ağ'ı seçin.

7. Alt ağ altında, şirket içi şirket kaynaklarının bulunduğu alt ağ bilgilerini belirtin (örneğin 10.1.0.0/255.255.255.0).

8. Ağ Geçidi Adresi'nin yanında, bağlantı noktası2'nin bağlı olduğu Azure alt ağındaki ağ geçidini belirtin (örneğin, bu genellikle içinde 1olduğu gibi ile biter10.6.1.1).

9. Arabirim'in yanındaki iç ağ arabirimini port2seçin.

10. Tamam'ı seçin.

    

FortiGate SSL VPN'yi yapılandırma

FortiGate SSL VPN ile Microsoft Entra çoklu oturum açma (SSO) tümleştirmesinde açıklanan adımları izleyin