IBM Cloud Docs
Pedindo o FortiGate Virtual Appliance

Pedindo o FortiGate Virtual Appliance

Você pode incluir o serviço do FortiGate® Virtual Appliance em uma nova instância do VMware Cloud Foundation for Classic - Automated ou adicionar o serviço à instância existente.

Considerações ao instalar o FortiGate Virtual Appliance

Revise as considerações a seguir antes de instalar o serviço FortiGate Virtual Appliance:

  • As VMs do FortiGate são implantadas no cluster de gerenciamento ou no cluster de gateway.

  • Se você quiser implementar FortiGate-VM16 ou FortiGate-VM32, é recomendável considerar a implementação em um cluster de gateway em vez de um cluster de gerenciamento devido aos requisitos de recursos. Para obter mais informações sobre o dimensionamento do Fortinet®, consulte FortiGate-VM na VMware ESXi.

  • Você não pode instalar o Juniper® vSRX e o FortiGate Virtual Appliance no mesmo cluster de gateway.

  • A alocação de memória inicial é determinada por sua seleção de CPU inicial. No entanto, é possível mudar a alocação de memória após a implementação.

  • Para tamanhos de implementação maiores, como FortiGate-VM16 e FortiGate-VM32, a alocação inicial da CPU é configurada para metade do limite de tamanho de implementação para garantir uma implementação bem-sucedida. Após a implementação, é possível mudar a alocação da CPU até o limite de tamanho da implementação.

  • Ao implementar o FortiGate Virtual Appliances em sua instância, o SNAT e as regras de firewall são definidos no Management NSX Edge™ Services Gateway (ESG). Além disso, as rotas estáticas nos FortiGate Virtual Appliances são definidas para permitir comunicações HTTPS de saída por meio de sua instância para a rede pública. Essas comunicações são necessárias para a ativação da licença e para adquirir as políticas de segurança e os conteúdos mais atualizados.

  • Para licenças de alta CPU, certifique-se de que haja CPUs suficientes disponíveis no cluster consolidado.

    • Pelo menos 2 servidores VMware ESXi™ estão disponíveis, e cada host ativo tem recursos suficientes para hospedar uma única VM FortiGate.
    • VMware® vSphere alta disponibilidade (HA) tem recursos suficientes para hospedar duas VMs FortiGate.

    Devido aos requisitos, deve-se planejar cuidadosamente o espaço necessário para o FortiGate Virtual Appliance. Se necessário, antes de pedir o FortiGate Virtual Appliance, inclua 1 a 2 servidores ESXi em sua instância ou reduza a reserva de CPU do vSphere HA para failover ou ambos.

A tabela a seguir mostra a configuração de rede e de armazenamento de seu FortiGate Virtual Appliance, de acordo com o local de sua implementação.

Configuração de rede e armazenamento
Componente Cluster de gerenciamento Cluster de gateway
IP de gerenciamento Sub-rede de gerenciamento existente Sub-rede primária do IBM Cloud®
Storage Armazenamento de dados de gerenciamento (vSAN ou NFS) Armazenamento de dados local

Pedido de FortiGate Virtual Appliance para novas instâncias

  1. Quando encomendar a instância, role para baixo até a seção Serviços adicionais. O FortiGate Virtual Appliance está na categoria Segurança e conformidade.
  2. Abra a categoria, localize o FortiGate Virtual Appliance e ative sua chave.
  3. Clique em Edit para revisar e especificar as informações de configuração e, em seguida, clique em Save.

Você não pode instalar o Juniper® vSRX e o FortiGate Virtual Appliance no mesmo cluster de gateway.

Pedido de FortiGate Virtual Appliance para instâncias existentes

  1. Na página de detalhes da instância, clique na guia Services (Serviços ).
  2. Clique em Incluir para incluir o serviço.
  3. Na página Adicionar serviços, localize o serviço FortiGate Virtual Appliance na seção Segurança e conformidade e ative o botão.
  4. Clique em Edit para revisar e especificar as informações de configuração e, em seguida, clique em Save.

Pedindo o FortiGate Virtual Appliance para instâncias privadas

Ao pedir o FortiGate Virtual Appliance para instâncias que não estão configuradas com interfaces públicas, deve-se fornecer um servidor proxy para concluir a instalação. O servidor proxy HTTP deve ser configurado e estar disponível por meio do Virtual Routing and Forwarding (VRF) antes que a instalação do FortiGate Virtual Appliance possa ser iniciada.

Para assegurar a operação continuada, o FortiGate Virtual Appliance deve ter acesso persistente ao servidor de licença FortiGate por meio da Internet. O dispositivo virtual pode acessar qualquer um dos nomes dos hosts a seguir:

  • update.fortiguard.net
  • service.fortiguard.net
  • support.fortinet.com
  • guard.fortinet.com

Configuração do serviço FortiGate Virtual Appliance

Quando você pedir o serviço, forneça as configurações a seguir.

Nome

Insira o nome do serviço.

Conexão de rede do FortiGuard

Selecione Rede pública ou Rede privada para FortiGuard. Se o cluster de destino estiver configurado com interfaces de rede privadas somente ou a implementação for para uma instância multizona, apenas a opção Rede privada está disponível. Essa seleção determina como o FortiGuard entra em contato com o servidor de licenças da Fortinet para ativar a licença e fazer o download das correções de segurança, e não afeta o plano de dados da carga de trabalho.

Se você selecionar Rede privada, especifique as configurações a seguir:

  • Endereço IP do proxy - O endereço do Protocolo da Internet versão 4 do servidor proxy.
  • Número da porta de proxy - O número da porta do servidor proxy; geralmente 8080 ou 3128.
  • Nome de usuário do proxy - Se a autenticação de proxy for necessária, insira o nome de usuário do servidor proxy.
  • Senha do proxy - Se a autenticação de proxy for necessária, insira a senha do servidor proxy.

Tamanho da implementação

A IBM Cloud® fornece as opções de tamanho de implementação a seguir. Para a implementação em uma instância multizona, apenas o FortiGate-VM16 e o FortiGate-VM32 estão disponíveis.

  • FortiGate-VM02 (2 vCPUs)
  • FortiGate-VM04 (4 vCPUs)
  • FortiGate-VM08 (8 vCPUs)
  • FortiGate-VM16 (16 vCPUs)
  • FortiGate-VM32 (32 vCPUs) O tamanho de implementação FortiGate-VM32 requer o Cascade Lake 5218 ou superior.

Modelo de licença de assinatura mensal

O modelo de licença de assinatura mensal para o FortiGate Virtual Appliance oferece as opções a seguir:

  • FW padrão - Este pacote configurável incluirá o seguinte.
    • Inspeção do pacote stateful
    • Proteção de VLAN e criação de log avançada
    • Regras de FW de entrada e saída
    • Término da VPN SSL/IPSec
    • Suporte contínuo
  • FW + UTM padrão - Este pacote configurável inclui todos os serviços de firewall padrão, além do serviço Advanced Malware Protection (AMP).
    • Proteção contra malware avançada
    • IPS NGFW e filtragem da web
    • Antispam
    • Controle do aplicativo
  • Padrão FW + Enterprise Este pacote configurável inclui todos os serviços de firewall padrão e UTM, além dos serviços a seguir:
    • CASB (Cloud Access Security Broker) - Este serviço fornece visibilidade, conformidade, segurança de dados e proteção contra ameaças para serviços baseados em nuvem.
    • Segurança Industrial - Este serviço fornece assinaturas para protocolos comuns de ICS/SCADA.
    • Classificação de segurança - Este serviço fornece recursos de auditoria para identificar vulnerabilidades críticas e fragilidades de configuração e recomendações de implementação de boas práticas.

Não é possível mudar o modelo de licença de assinatura mensal após a instalação do serviço. Para mudar o modelo de licença de assinatura mensal, deve-se excluir o serviço existente e reinstalá-lo selecionando uma opção de licença diferente.