IBM Cloud Docs
订购 FortiGate Virtual Appliance

订购 FortiGate Virtual Appliance

您可以在新的 VMware Cloud Foundation for Classic - Automated 实例中包含 FortiGate® 虚拟设备服务,或将该服务添加到现有实例中。

安装 FortiGate Virtual Appliance 时的注意事项

安装 FortiGate Virtual Appliance 服务之前,请查看以下注意事项:

  • FortiGate 虚拟机部署在管理群集或网关群集上。

  • 如果要部署 FortiGate-VM16 或 FortiGate-VM32,由于资源需求,建议考虑在网关群集上部署,而不是在管理群集上部署。 有关 Fortinet® 大小的更多信息,请参阅 VMware ESXi 数据表上的 FortiGate-VM

  • 您不能在同一个网关群集上安装瞻博网络® vSRX 和 FortiGate 虚拟设备。

  • 初始内存分配由初始 CPU 选择决定。 不过,您可以在部署后更改内存分配。

  • 对于较大的部署规模,如 FortiGate-VM16 和 FortiGate-VM32,初始 CPU 分配设置为部署规模限制的一半,以确保成功部署。 部署后,您可以更改 CPU 分配,但不得超过部署规模限制。

  • 当您将 FortiGate 虚拟设备部署到您的实例时,SNAT和防火墙规则将在管理NSX Edge™服务网关(ESG)上定义。 此外,还会定义 FortiGate Virtual Appliance 上的静态路由,以允许实例到公用网络的出站 HTTPS 通信。 需要这些通信才能激活许可证,并获取最新更新的安全策略和内容。

  • 对于高 CPU 许可,请确保合并群集中有足够的可用 CPU。

    • 至少有 2 台 VMware ESXi™ 服务器可用,且每台活动主机都有足够的资源承载单个 FortiGate 虚拟机。
    • vSphere 高可用性(HA)有足够的资源来托管两个 FortiGate 虚拟机。

    由于这些要求,您必须仔细规划 FortiGate 虚拟设备所需的空间。 如果需要,在订购 FortiGate Virtual Appliance 之前,请向实例添加 1 到 2 个 ESXi 服务器和/或减少用于故障转移的 vSphere HA CPU 保留量。

下表显示了FortiGate虚拟设备的网络和存储配置,具体取决于它们的部署位置。

网络和存储配置
组件 管理集群 网关集群
管理 IP 现有管理子网 IBM Cloud® 主子网
存储器 管理数据存储(vSAN 或 NFS) 本地数据存储

订购 FortiGate 新实例的虚拟设备

  1. 订购实例 时,向下滚动到附加服务部分。 FortiGate虚拟设备属于安全性和合规性类别。
  2. 打开类别,找到 FortiGate虚拟设备,并打开其开关。
  3. 单击 Edit 查看并指定 配置信息,然后单击 Save

您不能在同一个网关群集上安装瞻博网络® vSRX 和 FortiGate 虚拟设备。

为现有实例订购 FortiGate 虚拟设备

  1. 在实例详情页面上,点击 “服务”选项卡
  2. 单击 添加 添加服务。
  3. 添加服务页面上,在安全和合规性部分找到 FortiGate虚拟设备服务,并打开其开关。
  4. 单击 Edit 查看并指定 配置信息,然后单击 Save

为专用实例订购 FortiGate Virtual Appliance

为未配置公共接口的实例订购 FortiGate Virtual Appliance 时,必须提供代理服务器以完成安装。 HTTP 代理服务器必须已配置并通过虚拟路由和转发 (VRF) 可用,才能开始安装 Fortigate Virtual Appliance。

要确保持续运行,FortiGate Virtual Appliance 必须可通过因特网持久访问 Fortigate 许可证服务器。 虚拟设备可以访问以下任何主机名:

  • update.fortiguard.net
  • service.fortiguard.net
  • support.fortinet.com
  • guard.fortinet.com

FortiGate Virtual Appliance 服务配置

订购此服务时,请提供以下设置。

名称

输入服务名称。

FortiGuard 网络连接

为 FortiGuard 选择公共网络专用网络。 如果目标群集配置了专用网络接口,或部署了多区实例,则只有 Private network 选项可用。 此选择决定了 FortiGuard 如何与Fortinet许可证服务器联系,以激活许可证并下载安全补丁,它不会影响工作负载数据平面。

如果选择专用网络,请指定以下设置:

  • 代理IP地址——代理服务器的 IPv4 地址。
  • 代理服务器端口 - 代理服务器的端口,通常为8080或3128。
  • 代理用户名 ——如果您需要代理认证,请输入代理服务器的用户名。
  • 代理服务器密码 ——如果您需要代理服务器验证,请输入代理服务器的密码。

部署大小

IBM Cloud® 提供以下部署规模选项。 对于在多区实例上的部署,只有 FortiGate-VM16 和 FortiGate-VM32 可用。

  • Fortigate-VM02(2 个 vCPU)
  • FortiGate-VM04(4 个 vCPU)
  • FortiGate-VM08(8 个 vCPU)
  • FortiGate-VM16(16 个 vCPU)
  • FortiGate-VM32(32 个 vCPU) FortiGate-VM32 部署规模需要 Cascade Lake 5218 或更高版本。

按月预订许可证模型

FortiGate 虚拟设备的月度订阅许可模式提供以下选项:

  • 标准 FW- 该捆绑包包括以下内容。
    • 有状态封包检查
    • VLAN 保护和高级日志记录
    • 入口和出口 FW 规则
    • SSL/IPSec VPN 终止
    • 持续支持
  • 标准FW + UTM ——此组合包括所有标准防火墙服务以及高级恶意软件防护(AMP)服务。
    • 高级恶意软件防护
    • NGFW IPS 和 Web 过滤
    • 反垃圾邮件
    • 应用程序控件
  • 标准防火墙+企业版该套餐包括所有标准防火墙和UTM服务,以及以下服务:
    • CASB(云访问安全代理)——这项服务为基于云的服务提供可视性、合规性、数据安全性和威胁防护。
    • 工业安全——这项服务为常见的ICS/SCADA协议提供签名。
    • 安全评级——这项服务提供审计功能,用于识别关键漏洞和配置缺陷,并实施最佳实践建议。

安装服务后,您无法更改月度订阅许可模式。 要更改月度订阅许可模式,您必须删除现有服务,然后选择不同的许可选项重新安装服务。