El producto de firewall de nueva generación FortiGate de Fortinet está disponible como una máquina virtual en infraestructura como servicio (IaaS) de Azure.
Con este nuevo producto, nos podemos ahorrar el coste de la infraestructura necesaria para proteger nuestra red, así como el mantenimiento, pudiendo dedicar ese presupuesto a otras partes de nuestro negocio.
Existen dos modelos de licencia para esta máquina virtual: pay per use y Bring Your Own License (BYOL).
Si has comprado una licencia de FortiGate para usarla con la opción BYOL, deberás canjearla desde la página de activación del producto de Fortinet: https://support.fortinet.com.
Aunque Microsoft y Fortigate han aunado fuerzas para integrar Fortigate-VM en Azure, si queremos tener la ultimísima versión de Fortigate deberemos descargarla e instalarla manualmente.
- Iniciamos sesión en https://support.fortinet.com/.
- Vamos a Download > Firmware Images y seleccionamos Download.
- Selecciona v6.00 > 6.4 > 6.4.2.
- Para descargar el FGT_VM64_AZURE-v6-build1723-FORTINET.out, seleccionamos el vínculo HTTPS.
- Guardamos el archivo.
Una vez hemos descargado el archivo de instalación, vamos a instalarlo en Azure.
- Vamos a Azure Portal e inicia sesión en la suscripción en la que vas a implementar la máquina virtual de FortiGate.
- Creamos o abrimos el grupo de recursos en el que vas a implementar la máquina virtual de FortiGate.
- Seleccionamos Agregar.
- En Buscar en Marketplace, buscamos Fortinet y seleccionamos Fortinet FortiGate Next-Generation Firewall.
- Selecciona el plan de software (Bring Your Own License si tienes una licencia o pago por uso de lo contrario). Seleccionamos Crear.
- Rellena la configuración de la máquina virtual.
7. Elegimos Contraseña como Tipo de autenticación y ponemos un usuario y una contraseña para iniciar sesión en la VM.
8. Pulsamos Revisar + crear > Crear y esperamos a que la implementación de la máquina virtual se complete.
Para evitar problemas futuros, vamos a establecer la dirección IP pública asignada a la VM de FortiGate para que se asigne de forma estática. Además, le daremos un nombre de dominio completo (FQDN).
- En Azure Portal abrimos la configuración de la máquina virtual de FortiGate.
- En la pantalla Información general, seleccionamos la dirección IP pública.
3. Seleccionamos Estática > Guardar.
Si poseemos un nombre de dominio enrutable públicamente para el entorno en el que se va a implementar la VM de FortiGate, creamos un registro de host (A) para la VM. Este registro se asigna a la dirección IP pública anterior que está asignada estáticamente.
- En Azure Portal abrimos la configuración de nuestra máquina virtual de FortiGate y seleccionamos Redes. Se mostraran la interfaz de red y las reglas del puerto de entrada.
- Seleccionamos Agregar regla de puerto de entrada y creamos una nueva regla de puerto de entrada para TCP 8443.
Para que los recursos internos estén disponibles para los usuarios, se debe agregar una segunda NIC virtual a la máquina virtual de FortiGate. La red virtual de Azure en la que reside la NIC virtual debe tener una conexión enrutable a esos recursos internos.
- Nos vamos a Azure Portal y abra la configuración de la máquina virtual de FortiGate.
- Si aún no se ha detenido la máquina virtual de FortiGate, seleccionamos Detener y espere a que se cierre la máquina virtual.
- En el menú de la izquierda, seleccionamos Redes.
- Seleccionamos Asociar interfaz de red.
- Seleccionamos Crear y asociar una interfaz de red.
- Configure las propiedades de la nueva interfaz de red y, a continuación, seleccionamos Crear.
7. Inicie la máquina virtual de FortiGate.
Las secciones siguientes le guiarán a través de la configuración de la VM de FortiGate.
Instalación de la licencia
- Nos vamos a https://<address>. Aquí, <address> es el FQDN o la dirección IP pública asignada a la VM de FortiGate.
- Nos da errores de certificado, pasamos de ellos y continuamos.
- Iniciamos sesión con las credenciales de administrador proporcionadas durante la implementación de la VM de FortiGate.
- Si has elegido Bring Your Own License, veras una alerta para cargar la licencia. Selecciona el archivo de licencia .lic y súbelo. Selecciona Aceptar y reinicia la máquina de FortiGate.
5. Después del reinicio, Iniciamos sesión de nuevo con las credenciales de administrador para validar la licencia.
- Nos vamos a https://<address>. Aquí, <address> es el FQDN o la dirección IP pública asignada a la VM de FortiGate.
- Continúamos después de los errores de certificado.
- Iniciamos sesión con las credenciales de administrador proporcionadas durante la implementación de la VM de FortiGate.
- En el menú de la izquierda, seleccionamos System > Firmware.
- En Firmware Management, hacemos clic en Browse y seleccionamos el archivo de firmware descargado anteriormente.
- Ignoramos la advertencia y hacemos clic en Backup config and upgrade.
7. Seleccionamos Continuar.
8. Nos pedirá que guardemos la configuración de FortiGate (como un archivo .conf). Le damos a guardar.
9. Cuando se aplique el firmware esperamos a que se reinicie la VM de FortiGate y volvemos a iniciar sesión.
10. Dejamos para más adelante la configuración del panel (clic en Later).
11. Cuando comience el vídeo del tutorial, seleccionamos OK.
- Nos vamos a https://<address>. (<address> es el FQDN o la dirección IP pública asignada a la VM de FortiGate).
- Continúamos después de los errores de certificado.
- Iniciamos sesión con las credenciales de administrador proporcionadas durante la creación de la VM de FortiGate.
- En el menú de la izquierda, seleccionamos System.
- En Administration Settings, cambiamos el puerto HTTPS a 8443 y seleccionamos Apply.
- Una vez que se aplique el cambio, el explorador intentará recargar la página de administración, pero se producirá un error. A partir de ahora, la dirección de esta página es https://<address>:8443.
- Nos vamos a https://<address>:8443. Aquí, <address> es el FQDN o la dirección IP pública asignada a la VM de FortiGate.
- Continúanos después de los errores de certificado.
- Iniciamos sesión con las credenciales de administrador proporcionadas durante la implementación de la VM de FortiGate.
- En el menú de la izquierda, seleccionamos System > Certificates.
- Seleccionamos Importar > Certificado remoto.
- Busque el certificado descargado de la implementación de la aplicación personalizada FortiGate en el inquilino de Azure. Selecciónamos y pulsamos OK.
Las máquinas virtuales de Azure de host múltiple tienen todas las interfaces de red en la misma red virtual (pero quizás distintas subredes). Esto suele significar que ambas interfaces de red tienen una conexión a los recursos corporativos locales que se publican mediante FortiGate. Por esta razón, es necesario crear entradas de rutas personalizadas que garanticen que el tráfico sale de la interfaz correcta cuando se realizan solicitudes de recursos corporativos locales.
- Nos vamos a https://<address>:8443. Aquí, <address> es el FQDN o la dirección IP pública asignada a la VM de FortiGate.
- Iniciamos sesión con las credenciales de administrador proporcionadas durante la implementación de la máquina virtual de FortiGate.
- En el menú de la izquierda, seleccionamos Redes.
- En Red, seleccionamos Rutas estáticas.
- Seleccionamos Crear nuevo.
- Junto a Destino, seleccionamos Subred.
- En Subred, especificamos la información de subred en la que residen los recursos corporativos locales (por ejemplo, 10.1.0.0/255.255.255.0).
- Junto a Dirección de puerta de enlace, escribimos la puerta de enlace en la subred de Azure a la que está conectado el puerto 2.
- Junto a Interfaz, seleccionamos la interfaz de red interna, el puerto 2.
- Seleccionamos Aceptar.
Como podemos comprobar, es una tarea tediosa, que requiere de conocimientos de Microsoft Azure, así como también del funcionamiento del sistema operativo FortiOS de Fortinet.
Por fortuna, existe una amplia oferta de formación de estos dos campos. En Nextraining, ofrecemos cursos y certificaciones oficiales de Microsoft, que permiten mejorar nuestras competencias para poder continuar siendo competitivos.
También disponemos de cursos oficiales de Fortinet, que permiten ampliar los conocimientos sobre los sistemas Fortigate, para aprender a proteger nuestro negocio y poder dedicarnos a cosas más importantes.
