Commande de FortiGate Virtual Appliance

Vous pouvez inclure le service Virtual Appliance d' FortiGate®, avec une nouvelle instance d' VMware Cloud Foundation for Classic - Automated, ou ajouter le service à votre instance existante.

Remarques relatives à l'installation de FortiGate Virtual Appliance

Passez en revue les remarques suivantes avant d'installer le service FortiGate Virtual Appliance :

Les machines virtuelles d' FortiGate s sont déployées sur le cluster de gestion ou le cluster de passerelle.
Si vous souhaitez déployer FortiGate-VM16 ou FortiGate-VM32, il est recommandé d'envisager un déploiement sur un cluster de passerelle plutôt que sur un cluster de gestion en raison des besoins en ressources. Pour plus d'informations sur le dimensionnement de Fortinet®, voir FortiGate-VM sur VMware ESXi data sheet.
Vous ne pouvez pas installer Juniper® vSRX et FortiGate Virtual Appliance sur le même cluster de passerelle.
L'allocation de mémoire d'origine dépend de votre choix initial concernant les unités centrales. Celle-ci peut cependant être modifiée après le déploiement.
Pour les tailles de déploiement plus grandes, telles que pour FortiGate-VM16 et FortiGate-VM32, l'allocation d'unité centrale initiale correspond à la moitié de la limite de taille de déploiement afin de garantir la réussite du déploiement. Après le déploiement, vous pouvez augmenter l'allocation d'unité centrale jusqu'à la limite de taille de déploiement.
Lorsque vous déployez FortiGate Virtual Appliances dans votre instance, des règles de pare-feu et SNAT sont définies sur la passerelle NSX ESG (Edge™ Services Gateway) de gestion. De plus, des routes statiques sur les dispositifs FortiGate Virtual Appliance sont définies pour permettre les communications HTTPS sortantes de votre instance vers le réseau public. Ces communications sont nécessaires pour l'activation des licences et pour l'acquisition du contenu et des règles de sécurité les plus à jour.
Pour les licences CPU élevées, assurez-vous que vous disposez d'un nombre suffisant de CPU sur le cluster consolidé.
- Au moins deux serveurs ESXi™ d' VMware sont disponibles, et chaque hôte actif dispose de suffisamment de ressources pour héberger une seule machine virtuelle d' FortiGate.
- VMware® vSphere la haute disponibilité (HA) dispose de suffisamment de ressources pour héberger deux machines virtuelles ( FortiGate ).
Compte tenu de ces exigences, vous devez planifier avec soin l'espace nécessaire pour FortiGate Virtual Appliance. Au besoin, avant de commander FortiGate Virtual Appliance, ajoutez 1 à 2 serveurs ESXi à votre instance et/ou réduisez la réservation d'UC de vSphere HA pour basculement.

Le tableau ci-dessous présente la configuration du réseau et du stockage pour votre dispositif FortiGate Virtual Appliance, selon l'endroit où ils sont déployés.

Configuration du réseau et du stockage
Composant	Cluster de gestion	Cluster de passerelles
IP de gestion	Sous-réseau de gestion existant	Sous-réseau principal IBM Cloud®
Stockage	Magasin de données de gestion (vSAN ou NFS)	Magasin de données local

Commander l' FortiGate Virtual Appliance pour de nouvelles instances

Lorsque vous commandez l'instance, descendez jusqu'à la section Services complémentaires. FortiGate Virtual Appliance est dans la catégorie Sécurité et conformité.
Ouvrez la catégorie, localisez FortiGate Virtual Appliance, et activez son interrupteur.
Cliquez sur Editer pour revoir et spécifier les informations de configuration, puis cliquez sur Enregistrer.

Vous ne pouvez pas installer Juniper® vSRX et FortiGate Virtual Appliance sur le même cluster de passerelle.

Commander l' FortiGate Virtual Appliance pour les instances existantes

Sur la page des détails de l'instance, cliquez sur l'onglet Services.
Cliquez sur Ajouter pour ajouter le service.
Sur la page Ajouter des services, localisez le service FortiGate Virtual Appliance dans la section Sécurité et conformité et activez son interrupteur.
Cliquez sur Editer pour revoir et spécifier les informations de configuration, puis cliquez sur Enregistrer.

Commande de FortiGate Virtual Appliance pour des instances privées

Lorsque vous commandez FortiGate Virtual Appliance pour des instances qui ne sont pas configurées avec des interfaces publiques, vous devez fournir un serveur proxy pour achever l'installation. Le serveur proxy HTTP doit être configuré et disponible via Virtual Routing and Forwarding (VRF) pour que l'installation de FortiGate Virtual Appliance puisse démarrer.

Pour garantir une opération sans interruption, FortiGate Virtual Appliance doit avoir un accès permanent au serveur de licences FortiGate via Internet. Le dispositif virtuel peut accéder à l'un des noms d'hôte suivants :

update.fortiguard.net
service.fortiguard.net
support.fortinet.com
guard.fortinet.com

Configuration du service FortiGate Virtual Appliance

Lorsque vous commandez le service, indiquez les paramètres suivants :

Nom

Entrez le nom du service.

Connexion réseau FortiGuard

Sélectionnez soit Réseau public soit Réseau privé pour l' FortiGuard. Si le cluster cible est configuré avec des interfaces de réseau privé uniquement ou si le déploiement concerne une zone à zones multiples, seule l'option Réseau privé est disponible. Cette sélection détermine la manière dont l' FortiGuard e contacte le serveur de licences Fortinet pour activer la licence et télécharger les correctifs de sécurité, et n'a pas d'impact sur le plan de données de la charge de travail.

Si vous sélectionnez Réseau privé, spécifiez les paramètres suivants :

Adresse IP du proxy - Adresse IPv4 du serveur proxy.
Numéro de port du proxy - Numéro de port du serveur proxy, en général 8080 ou 3128.
Nom d'utilisateur du proxy - Si vous avez besoin de l'authentification du proxy, entrez le nom d'utilisateur du serveur proxy.
Mot de passe du proxy - Si vous avez besoin de l'authentification du proxy, entrez le mot de passe du serveur proxy.

Taille de déploiement

IBM Cloud® propose les options de taille de déploiement ci-après. Pour un déploiement dans une instance à zones multiples, les options FortiGate-VM16 et FortiGate-VM32 seulement sont disponibles.

FortiGate-VM02 (2 unités centrales virtuelles)
FortiGate-VM04 (4 unités centrales virtuelles)
FortiGate-VM08 (8 unités centrales virtuelles)
FortiGate-VM16 (16 unités centrales virtuelles)
FortiGate-VM32 (32 Unités centrales virtuelles) La taille de déploiement FortiGate-VM32 requiert Cascade Lake 5218 ou supérieur.

Modèle de licence d'abonnement mensuel

Le modèle de licence d'abonnement mensuel pour le service FortiGate Virtual Appliance propose les options suivantes :

Standard FW - Cette offre groupée inclut :
- Pare-feu à états
- La protection du réseau local virtuel et la journalisation avancée
- Règles d'entrée et de sortie FW
- Arrêt du réseau privé virtuel SSL/IPsec
- Un support continu
Standard FW + UTM - Cette offre groupée inclut tous les services de pare-feu standard, en plus du service AMP (Advanced Malware Protection).
- Protection avancée contre les logiciels malveillants
- IPS NGFW et le filtrage Web
- Un antispam
- Contrôle d'application
Standard FW + Enterprise - Cette offre groupée inclut tous les services de pare-feu standard et des services UTM en plus des services suivants :
- CASB (Cloud Access Security Broker) - Ce service offre des fonctions de visibilité, de conformité, de sécurité des données et de protection contre les menaces pour les services basés sur le cloud.
- Sécurité industrielle - Ce service fournit des signatures pour les protocoles ICS/SCADA courants.
- Evaluation de la sécurité - Ce service fournit des fonctions d'audit pour identifier les vulnérabilités critiques et les faiblesses de la configuration, et implémenter des recommandations en matière de meilleures pratiques.

Vous ne pouvez pas changer le modèle de licence d'abonnement mensuel après l'installation du service. Pour changer le modèle de licence d'abonnement mensuel, vous devez supprimer le service existant, puis le réinstaller en sélectionnant une autre option de licence.