IBM Cloud Docs
Solicitud de FortiGate Virtual Appliance

Solicitud de FortiGate Virtual Appliance

Puede incluir el servicio Virtual Appliance de FortiGate® con una nueva instancia de VMware Cloud Foundation for Classic - Automated o añadir el servicio a su instancia existente.

Consideraciones al instalar FortiGate Virtual Appliance

Revise las siguientes consideraciones antes de instalar el servicio FortiGate Virtual Appliance:

  • Las máquinas virtuales ( FortiGate, VMs) se implementan en el clúster de gestión o en el clúster de puerta de enlace.

  • Si desea implementar FortiGate-VM16 o FortiGate-VM32, se recomienda que considere la implementación en un clúster de puerta de enlace en lugar de un clúster de gestión debido a los requisitos de recursos. Para obtener más información sobre el dimensionamiento de Fortinet®, consulte FortiGate-VM en VMware ESXi.

  • No puede instalar Juniper® vSRX y FortiGate Virtual Appliance en el mismo clúster de puerta de enlace.

  • La asignación de memoria inicial la determina la selección inicial de CPU. Sin embargo, puede cambiar la asignación de memoria después del despliegue.

  • Para tamaños de despliegue más grandes, como FortiGate-VM16 y FortiGate-VM32, la asignación de CPU inicial se establece en la mitad del límite de tamaño de despliegue para garantizar un despliegue satisfactorio. Después del despliegue, puede cambiar la asignación de CPU hasta el límite de tamaño de despliegue.

  • Cuando se despliegan los dispositivos virtuales de FortiGate Virtual Appliances en la instancia, las reglas de SNAT y de cortafuegos se definen en Gestión de NSX Edge™ Services Gateway (ESG). Además, se definen rutas estáticas en los dispositivos FortiGate Virtual Appliance para permitir las comunicaciones HTTPS de salida desde su instancia hacia la red pública. Estas comunicaciones son necesarias para la activación de la licencia y para adquirir el contenido y las políticas de seguridad más recientes.

  • Para licencias de CPU altas, asegúrese de que tiene suficientes CPU disponibles en el clúster consolidado.

    • Hay disponibles al menos dos servidores ESXi™ de VMware, y cada host activo tiene recursos suficientes para alojar una única máquina virtual de FortiGate.
    • VMware® vSphere alta disponibilidad (HA) tiene recursos suficientes para alojar dos máquinas virtuales ( FortiGate ).

    Debido a los requisitos, debe planificar atentamente el espacio necesario para FortiGate Virtual Appliance. Si es necesario, antes de solicitar FortiGate Virtual Appliance, añada 1 o 2 servidores ESXi a la instancia o reduzca la reserva de CPU de vSphere HA para la migración tras error, o ambas cosas.

En la siguiente tabla, se muestra la configuración de red y el almacenamiento para FortiGate Virtual Appliance, en función de dónde se haya desplegado.

Configuración de redes y almacenamiento
Componente Clúster de gestión Clúster de pasarela
IP de gestión Subred de gestión existente Subred primaria de IBM Cloud®
Almacenamiento Almacén de datos de gestión (vSAN o NFS) Almacén de datos local

Pedido de un dispositivo virtual de FortiGate para nuevas instancias

  1. Cuando pida la instancia, desplácese hasta la sección Servicios adicionales. FortiGate Virtual Appliance pertenece a la categoría Seguridad y cumplimiento de normativas.
  2. Abra la categoría, localice FortiGate Virtual Appliance, y active su interruptor.
  3. Haga clic en Editar para revisar y especificar la información de configuración y, a continuación, haga clic en Guardar.

No puede instalar Juniper® vSRX y FortiGate Virtual Appliance en el mismo clúster de puerta de enlace.

Pedido de un dispositivo virtual de FortiGate para instancias existentes

  1. En la página de detalles de la instancia, haga clic en la pestaña Servicios.
  2. Pulse Añadir para añadir el servicio.
  3. En la página Añadir servicios, localice el servicio FortiGate Virtual Appliance en la sección Seguridad y cumplimiento y active su interruptor.
  4. Haga clic en Editar para revisar y especificar la información de configuración y, a continuación, haga clic en Guardar.

Solicitud de FortiGate Virtual Appliance para instancias privadas

Al solicitar FortiGate Virtual Appliance para instancias que no estén configuradas con interfaces públicas, debe proporcionar un servidor proxy para completar la instalación. El servidor proxy HTTP debe configurarse y estar disponible a través de VRF (Direccionamiento virtual y reenvío) para que se pueda iniciar la instalación de FortiGate Virtual Appliance.

Para garantizar un funcionamiento continuado, FortiGate Virtual Appliance debe tener acceso persistente al servidor de licencias de FortiGate a través de Internet. El dispositivo virtual puede acceder a cualquiera de los siguientes nombres de host:

  • update.fortiguard.net
  • service.fortiguard.net
  • support.fortinet.com
  • guard.fortinet.com

Configuración del servicio FortiGate Virtual Appliance

Al solicitar el servicio, proporcione los valores siguientes:

Nombre

Especifique el nombre de servicio.

Conexión de red de FortiGuard

Seleccione Red pública o Red privada para FortiGuard. Si el clúster de destino se configura con interfaces de red solo privadas o el despliegue es para una instancia multizona, solo está disponible la opción Red privada. Esta selección determina cómo se comunica FortiGuard con el servidor de licencias de Fortinet para activar la licencia y descargar las correcciones de seguridad, y no afecta al plano de datos de carga de trabajo.

Si selecciona Red privada, especifique los siguientes valores:

  • Dirección IP de proxy: la dirección IPv4 del servidor proxy.
  • Número de puerto proxy: número de puerto del servidor proxy, normalmente 8080 o 3128.
  • Nombre de usuario del proxy: si requiere autenticación de proxy, especifique el nombre de usuario del servidor proxy.
  • Contraseña del proxy: si requiere autenticación de proxy, especifique la contraseña del servidor proxy.

Tamaño del despliegue

IBM Cloud® proporciona las siguientes opciones de tamaño de despliegue. Para el despliegue en una instancia multizona, solo están disponibles FortiGate-VM16 y FortiGate-VM32.

  • Fortigate-VM02 (2 vCPU)
  • FortiGate-VM04 (4 vCPU)
  • FortiGate-VM08 (8 vCPU)
  • FortiGate-VM16 (16 vCPU)
  • FortiGate-VM32 (32 vCPUs) El tamaño de despliegue de FortiGate-VM32 requiere Cascade Lake 5218 o superior.

Modelo de licencia de suscripción mensual

El modelo de licencia de suscripción mensual para FortiGate Virtual Appliance ofrece las siguientes opciones:

  • FW estándar: este paquete incluye lo siguiente.
    • Inspección de paquetes con estado
    • Protección de VLAN y registro avanzado
    • Reglas de FW de entrada y salida
    • Terminación de VPN SSL/IPSec
    • Soporte continuo
  • FW estándar + UTM: este paquete incluye todos los servicios de cortafuegos estándar además del servicio de protección avanzada de malware (AMP).
    • Protección de malware avanzada
    • NGFW IPS y filtros web
    • Anticorreo basura
    • Control de aplicaciones
  • Standard FW + Enterprise Este paquete incluye todos los servicios de cortafuegos estándar y los servicios UTM, además de los siguientes servicios:
    • CASB (Cloud Access Security Broker): este servicio proporciona visibilidad, conformidad, seguridad de datos y protección de amenazas para servicios basados en la nube.
    • Seguridad industrial: este servicio proporciona firmas para los protocolos ICS/SCADA más comunes.
    • Evaluación de seguridad: este servicio ofrece funciones de auditoría para detectar debilidades de configuración y vulnerabilidades críticas e implementar las mejores prácticas recomendadas.

No puede cambiar el modelo de licencia de suscripción mensual después de la instalación del servicio. Para cambiar el modelo de licencia de suscripción mensual, debe suprimir el servicio existente y volver a instalarlo seleccionando una opción de licencia distinta.