Ordine di FortiGate Virtual Appliance
Fine della commercializzazione: A partire dal 31 ottobre 2025, le nuove implementazioni delle offerte VMware Solutions non saranno più disponibili per i nuovi clienti. I clienti esistenti possono continuare a utilizzare ed espandere i loro carichi di lavoro attivi su VMware® su IBM Cloud®. Per ulteriori informazioni, vedere Fine della commercializzazione per VMware su IBM Cloud.
È possibile includere il servizio FortiGate® Virtual Appliance con una nuova istanza VMware Cloud Foundation for Classic - Automated o aggiungere il servizio all'istanza esistente.
Considerazioni sull'installazione di FortiGate Virtual Appliance
Esamina le seguenti considerazioni prima di installare il servizio FortiGate Virtual Appliance:
-
Le macchine virtuali FortiGate sono distribuite sul cluster di gestione o sul cluster gateway.
-
Se si desidera distribuire FortiGate-VM16 o FortiGate-VM32, si consiglia di considerare la distribuzione su un cluster gateway anziché su un cluster di gestione, a causa dei requisiti di risorse. Per ulteriori informazioni sul dimensionamento di Fortinet® , vedere FortiGate-VM sulla scheda tecnica di VMware ESXi.
-
Non è possibile installare il dispositivo virtuale Juniper® vSRX e FortiGate sullo stesso cluster di gateway.
-
L'allocazione iniziale della memoria è determinata dalla selezione iniziale della CPU. Tuttavia, è possibile modificare l'allocazione della memoria dopo la distribuzione.
-
Per le distribuzioni di dimensioni maggiori, come FortiGate-VM16 e FortiGate-VM32, l'allocazione iniziale della CPU è impostata alla metà del limite della dimensione di distribuzione per garantire il successo della distribuzione. Dopo la distribuzione, è possibile modificare l'allocazione della CPU fino al limite delle dimensioni della distribuzione.
-
Quando si distribuiscono le appliance virtuali FortiGate alla propria istanza, le regole SNAT e firewall vengono definite sul Management NSX Edge™ Services Gateway (ESG). Inoltre, vengono definite delle rotte statiche sui dispositivi FortiGate Virtual Appliance per consentire le comunicazioni HTTPS in uscita dalla tua istanza alla rete pubblica. Queste comunicazioni sono necessarie per l'attivazione della licenza e per l'acquisizione delle politiche e dei contenuti di sicurezza più recenti.
-
Per le licenze ad alta CPU, assicurarsi di avere abbastanza CPU disponibili sul cluster consolidato.
- Sono disponibili almeno 2 server VMware ESXi™ e ogni host attivo dispone di risorse sufficienti per ospitare una singola macchina virtuale FortiGate.
- VMware® vSphere high availability (HA) dispone di risorse sufficienti per ospitare due macchine virtuali FortiGate.
A causa dei requisiti, è necessario pianificare attentamente lo spazio necessario per l'appliance virtuale FortiGate. Se necessario, prima di ordinare FortiGate Virtual Appliance, aggiungi 1 - 2 ESXi server alla tua istanza e/o riduci la prenotazione di CPU di vSphere HA per il failover.
La tabella seguente mostra la configurazione della rete e dell'archiviazione per i dispositivi virtuali FortiGate, a seconda del luogo in cui sono distribuiti.
| Componente | Cluster di gestione | Cluster gateway |
|---|---|---|
| IP di gestione | Sottorete di gestione esistente | IBM Cloud® subnet primaria |
| Archiviazione | Archivio dati di gestione (vSAN o NFS) | Archivio dati locale |
Ordinazione di FortiGate Virtual Appliance per nuove istanze
- Quando ordinate l'istanza, scorrete fino alla sezione Servizi aggiuntivi. FortiGate Virtual Appliance rientra nella categoria Sicurezza e conformità.
- Aprire la categoria, individuare FortiGate Virtual Appliance e attivare l'interruttore.
- Fare clic su Modifica per rivedere e specificare le informazioni di configurazione, quindi fare clic su Salva.
Non è possibile installare il dispositivo virtuale Juniper® vSRX e FortiGate sullo stesso cluster di gateway.
Ordinazione di FortiGate Virtual Appliance per istanze esistenti
- Nella pagina dei dettagli dell'istanza, fare clic sulla scheda Servizi.
- Per aggiungere il servizio, fare clic su Aggiungi.
- Nella pagina Aggiungi servizi, individuare il servizio FortiGate Virtual Appliance nella sezione Sicurezza e conformità e attivarlo.
- Fare clic su Modifica per rivedere e specificare le informazioni di configurazione, quindi fare clic su Salva.
Ordine di FortiGate Virtual Appliance per le istanze private
Quando ordini FortiGate Virtual Appliance per le istanze che non sono configurate con interfacce pubbliche, devi fornire un server proxy per completare l'installazione. Il server proxy HTTP deve essere configurato e disponibile tramite VRF (Virtual Routing and Forwarding) prima di poter avviare l'installazione di Fortigate Virtual Appliance.
Per garantire il funzionamento continuo, FortiGate Virtual Appliance deve avere un accesso permanente al server delle licenze Fortigate tramite Internet. Il dispositivo virtuale può accedere a uno qualsiasi dei seguenti nomi di host:
update.fortiguard.netservice.fortiguard.netsupport.fortinet.comguard.fortinet.com
Configurazione del servizio FortiGate Virtual Appliance
Quando ordini il servizio, fornisci le seguenti impostazioni.
Nome
Immetti il nome del servizio.
Connessione alla rete FortiGuard
Selezionare Rete pubblica o Rete privata per FortiGuard. Se il cluster di destinazione è configurato con interfacce di rete solo private o l'installazione è per un'istanza multizona, è disponibile solo l'opzione Rete privata. Questa selezione determina il modo in cui FortiGuard contatta il server delle licenze Fortinet per attivare la licenza e scaricare le correzioni di sicurezza, e non ha alcun impatto sul piano dati del carico di lavoro.
Se selezioni Rete privata, specifica le seguenti impostazioni:
- Indirizzo IP proxy- L'indirizzo IPv4 del server proxy.
- Numero di porta proxy- Il numero di porta del server proxy, di solito 8080 o 3128.
- Nome utente proxy- Se si richiede l'autenticazione proxy, inserire il nome utente del server proxy.
- Password proxy- Se si richiede l'autenticazione proxy, inserire la password del server proxy.
Dimensione distribuzione
IBM Cloud® offre le seguenti opzioni di dimensioni di distribuzione.
- Fortigate-VM02 (2 vCPU)
- FortiGate-VM04 (4 vCPU)
- FortiGate-VM08 (8 vCPU)
- FortiGate-VM16 (16 vCPU)
- FortiGate-VM32 (32 vCPUs ). Questa dimensione di distribuzione richiede Cascade Lake 5218 o successivo.
Per la distribuzione su un'istanza multizona, sono disponibili solo FortiGate-VM16 e FortiGate-VM32.
Modello di licenza sottoscrizione mensile
Il modello di licenza di abbonamento mensile per FortiGate Virtual Appliance offre le seguenti opzioni:
- Standard FW- Questo pacchetto comprende:
- Stateful packet inspection
- Protezione VLAN e accesso avanzato
- Regole FW di ingresso e di uscita
- Terminazione VPN SSL/IPSec
- Supporto continuo
- FW standard + UTM- Questo pacchetto include tutti i servizi firewall standard oltre al servizio Advanced Malware Protection (AMP).
- Protezione avanzata malware
- NGFW IPS e filtri web
- Antispam
- Controllo delle applicazioni
- Standard FW + Enterprise- Questo pacchetto include tutti i servizi firewall e UTM standard, oltre ai seguenti servizi:
- CASB (Cloud Access Security Broker)- Questo servizio fornisce visibilità, conformità, sicurezza dei dati e protezione dalle minacce per i servizi basati sul cloud.
- Industrial Security - Questo servizio fornisce firme per i protocolli ICS/SCADA comuni.
- Security Rating - Questo servizio fornisce funzionalità di controllo per identificare vulnerabilità critiche e debolezze di configurazione e per implementare i suggerimenti delle procedure consigliate.
Non è possibile modificare il modello di licenza di abbonamento mensile dopo l'installazione del servizio. Per cambiare il modello di licenza di abbonamento mensile, è necessario eliminare il servizio esistente e reinstallarlo selezionando un'opzione di licenza diversa.