All Productsnav_clkallproductsAll Solutionsnav_clkallproducts
SearchBar__icon__search
Marketplacenavbar-searchnavbar-menu
Documents Product Categories Fortinet FortiGate (PAYG) Next-Generation Firewall (4 vCPUs)

Fortinet FortiGate (PAYG) Next-Generation Firewall (4 vCPUs)

Jun 28, 2024
FortiOS - AliCloud Cookbook Version 6.4FORTINET DOCUMENT LIBRARY https://docs.fortinet.com FORTINET VIDEO GUIDE https://video.fortinet.com FORTINET BLOG https://blog.fortinet.com CUSTOMER SERVICE & SUPPORT https://support.fortinet.com FORTINET TRAINING & CERTIFICATION PROGRAM https://www.fortinet.com/support-and-training/training.html NSE INSTITUTE https://training.fortinet.com FORTIGUARD CENTER https://fortiguard.com/ END USER LICENSE AGREEMENT https://www.fortinet.com/doc/legal/EULA.pdf FEEDBACK Email: techdoc@fortinet.com May 15, 2020 FortiOS 6.4 AliCloud Cookbook 01-640-619418-20200515TABLE OF CONTENTS About FortiGate for AliCloud 5 Instance type support 5 Region support 6 Models 6 Licensing 7 Order types 7 Creating a support account 8 Registering and downloading a license 9 Migrating a FortiGate-VM instance between license types 9 Securing instances on AliCloud 11 Configuring a virtual private cloud 11 Subscribing to the FortiGate-VM in the marketplace 13 Configuring routing to the FortiGate-VM on AliCloud 15 Connectivity test 16 Configuring the initial firewall policy on the FortiGate-VM 16 Configuring an ECS worker VM for VNC access 17 Testing malware scan for outgoing traffic 19 Testing application control for outgoing traffic 20 Enabling NAT inbound protection in FortiOS 21 HA for FortiGate-VM on AliCloud 25 Deploying and configuring FortiGate-VM on AliCloud using HAVIP 25 Setting up the VPC 26 Subscribing to the FortiGate-VM in the marketplace 31 Configuring the HAVIP on the AliCloud web console 40 Connectivity test 48 Deploying FortiGate-VM HA on AliCloud using routing tables and EIPs 48 Deploying FortiGate-VM HA on AliCloud between availability zones 57 Configuring FortiGate-VM active-active HA 64 Deploying auto scaling on AliCloud 65 Planning 65 Acronyms 65 Requirements 66 Deployment information 67 Deployment 68 Terraform variables 69 Verify the deployment 71 Destroying the cluster 73 Troubleshooting 74 Debugging cloud-init 74 TableStore destroy time 74 Resource availability 75 Timeout 75 How to reset the master election 75 FortiOS 6.4 AliCloud Cookbook 3 Fortinet Technologies Inc.Appendix 76 FortiGate Autoscale for AliCloud features 76 Architectural diagram 77 Master election 77 Manual deployment of auto scaling on AliCloud 78 Security Fabric connector integration with AliCloud 84 Configuring AliCloud Fabric connector using RAM roles 84 Pipelined automation using AliCloud Function Compute 84 VPN for FortiGate-VM on AliCloud 85 Connecting a local FortiGate to an AliCloud VPC VPN 85 Connecting a local FortiGate to an AliCloud FortiGate via site-to-site VPN 89 Configuring the local FortiGate 90 Configuring the AliCloud FortiGate 93 Change log 98 FortiOS 6.4 AliCloud Cookbook 4 Fortinet Technologies Inc.About FortiGate for AliCloud By combining stateful inspection with a comprehensive suite of powerful security features, FortiGate Next Generation  Firewall technology delivers complete content and network protection. This solution is available for deployment on  AliCloud. In addition to advanced features such as an extreme threat database, vulnerability management, and flow-based  inspection, features including application control, firewall, antivirus, IPS, web filter, and VPN work in concert to identify  and mitigate the latest complex security threats. FortiGate for AliCloud supports active/passive high availability (HA) configuration using highly available virtual IP  addresses (HAVIP). This enables FortiGate synchronization between the primary and secondary nodes for their  configurations and sessions, and when the FortiGate detects a failure, the passive firewall instance becomes active. Highlights of FortiGate for AliCloud include the following:  l Delivers complete content and network protection by combining stateful inspection with a comprehensive suite of  powerful security features.  l IPS technology protects against current and emerging network-level threats. In addition to signature-based threat  detection, IPS performs anomaly-based detection, which alerts users to any traffic that matches attack behavior  profiles.  l New Docker application control signatures protect your container environments from newly emerged security  threats. See FortiGate-VM on a Docker environment. Instance type support You can deploy FortiGate-VM (as bring your own license (BYOL)) on AliCloud on all available instances that the  FortiGate-VM listing on the AliCloud marketplace supports. Supported instances on AliCloud for new deployments may  change without notice. For up-to-date information of instance type families, see the following:  l Instance type families  l Fortinet FortiGate (BYOL) Next-Generation Firewall FortiGate-VM (as on-demand or pay-as-you-go (PAYG)) on AliCloud currently supports vCPU-2 and 4 only. For more  information, visit:  l Fortinet FortiGate-VM On-Demand (2 vCore CPU)  l Fortinet FortiGate-VM On-Demand (4 vCore CPU) You can apply a smaller FortiGate-VM license if you are OK with consuming less CPU than is present on your instance.  For details, see FortiGate-VM virtual licenses and resources. FortiOS 6.4 AliCloud Cookbook 5 Fortinet Technologies Inc.About FortiGate for AliCloud Region support FortiGate-VM is available for purchase in all the regions/datacenters that the AliCloud global marketplace covers.  Available regions are:  l Hong Kong  l Asia Pacific SE 1 (Singapore)  l US East 1 (Virginia)  l Asia Pacific NE 1 (Tokyo)  l US West 1 (Silicon Valley)  l EU Central 1 (Frankfurt)  l Middle East 1 (Dubai)  l Asia Pacific SE 2 (Sydney)  l Asia Pacific SE 3 (Kuala Lumpur)  l Asia Pacific SOU 1 (Mumbai)  l Asia Pacific SE 5 (Jakarta)  l North China 1  l North China 2  l China North 3 (Zhangjiakou)  l China North 5 (Huhehaote)  l East China 1  l East China 2  l South China 1 Models FortiGate-VM is available with different CPU and RAM sizes. You can deploy FortiGate-VM on various private and  public cloud platforms. The following table shows the models conventionally available to order, also known as BYOL  models. See Order types on page 7. Model name vCPU Minimum Maximum FG-VM01/01v/01s 1 1 FG-VM02/02v/02s 1 2 FG-VM04/04v/04s 1 4 FG-VM08/08v/08s 1 8 FG-VM16/16v/16s 1 16 FG-VM32/32v/32s 1 32 FG-VMUL/ULv/ULs 1 Unlimited FortiOS 6.4 AliCloud Cookbook 6 Fortinet Technologies Inc.About FortiGate for AliCloud The v-series and s-series do not support virtual domains (VDOMs) by default. To add VDOMs,  you must separately purchase perpetual VDOM addition licenses. You can add and stack  VDOMs up to the maximum supported number after initial deployment. Generally there are RAM size restrictions to FortiGate-BYOL licenses. However, these restrictions are not applicable to  AliCloud deployments. Any RAM size with certain CPU models are allowed. Licenses are based on the number of CPUs  only. For information about each model''s order information, capacity limits, and adding VDOM, see the FortiGate-VM  datasheet. Licensing You must have a license to deploy FortiGate for AliCloud. Order types On AliCloud, there are usually two order types: BYOL and on-demand. BYOL offers perpetual (normal series and v-series) and annual subscription (s-series) licensing as opposed to on- demand. Subscription is month-based whereas PAYG is hour-based. BYOL licenses are available for purchase from  resellers or your distributors, and prices are listed in the publicly available price list which is updated quarterly. BYOL  licensing provides the same ordering practice across all private and public clouds, no matter what the platform is. You  must activate a license for the first time you access the instance from the GUI or CLI before you can start using various  features. On-demand is term-based and has two options: subscription and PAYG. With an on-demand subscription, the  FortiGate-VM becomes available for use immediately after you create the instance. The marketplace product page  mentions hourly/annual term-based prices. In both BYOL and on-demand, cloud vendors charge separately for resource consumption on computing instances,  storage, and so on, without use of software running on top of it (in this case the FortiGate-VM).  l For BYOL, you typically order a combination of products and services including support entitlement. S-series SKUs  contain the VM base and service bundle entitlements for easier ordering. To proceed with licensing a BYOL  deployment, see Registering and downloading a license on page 9.  l To purchase on-demand, all you need to do is launch the product on the marketplace. However, you must contact  Fortinet Support with your customer information to obtain support entitlement. See Creating a support account on  page 8. See Support on the marketplace product page. On-demand FortiGate-VM instances do not support the use of virtual domains (VDOMs). If  you plan to use VDOMs, deploy BYOL instances instead. On-demand and BYOL licensing and payment models are not interchangeable. For example,  once you spin up a FortiGate-VM on-demand instance, you cannot inject a BYOL license on  the same VM. Likewise, you cannot convert a FortiGate-VM BYOL instance to on-demand. FortiOS 6.4 AliCloud Cookbook 7 Fortinet Technologies Inc.About FortiGate for AliCloud When using a FortiGate-VM on-demand instance, the FortiOS GUI may display expiry dates for FortiGuard services.  However, these expiries are automatically extended for as long as the on-demand instance''s lifespan. You do not need  to be concerned about the expiry of FortiGuard services. Creating a support account FortiGate for AliCloud supports both on-demand and BYOL licensing models. See Order types on page 7. To make use of Fortinet technical support and ensure products function properly, you must complete certain steps to  activate your entitlement. Our support team can identify your registration in the system thereafter. First, if you do not have a Fortinet account, you can create one. For on-demand deployments, do the following:  1. Deploy and boot up the FortiGate on-demand VM instance and log into the FortiGate GUI management console.  2. On the Dashboard, copy the VM serial number.  3. Go to Fortinet Service & Support and create a new account or log in with an existing account.  4. Go to Asset > Register/Activate to start the registration process.    5. In the Specify Registration Code field, enter the serial number, and select Next to continue registering the  product. Enter your details in the other fields.    6. After completing registration, contact Fortinet Customer Support and provide your FortiGate instance''s serial  number and the email address associated with your Fortinet account.   FortiOS 6.4 AliCloud Cookbook 8 Fortinet Technologies Inc.About FortiGate for AliCloud Registering and downloading a license You can obtain licenses for the BYOL licensing model through any Fortinet partner. If you do not have a partner, contact  jerrywang@fortinet.com for assistance in purchasing a license. After you purchase a license or obtain an evaluation license (60-day term), you receive a PDF with an activation code. To register and download a license:  1. Go to Fortinet Service & Support and create a new account or log in with an existing account.  2. Go to Asset > Register/Activate to start the registration process.  3. In the Registration page, enter the registration code that you received via email, and select Register to access the  registration form.  4. If you register the S-series subscription model, the site prompts you to select one of the following:  a. Click Register to newly register the code to acquire a new serial number with a new license file.  b. Click Renew to renew and extend the licensed period on top of the existing serial number, so that all features  on the VM node continue working uninterrupted upon license renewal.  5. At the end of the registration process, download the license (.lic) file to your computer. You upload this license later  to activate the FortiGate-VM.   After registering a license, Fortinet servers may take up to 30 minutes to fully recognize the new license. When you  upload the license (.lic) file to activate the FortiGate-VM, if you get an error that the license is invalid, wait 30  minutes and try again. Migrating a FortiGate-VM instance between license types When deploying a FortiGate-VM on public cloud, you determine the license type (on-demand or BYOL) during  deployment. The license type is fixed for the VM''s lifetime. The image that you use to deploy the FortiGate-VM on the  public cloud marketplace predetermines the license type. Migrating a FortiGate-VM instance from one license type to another requires a new deployment. You cannot simply  switch license types on the same VM instance. However, you can migrate the configuration between two VMs running  as different license types. There are also FortiOS feature differences between on-demand and BYOL license types. For  example, a FortiGate-VM on-demand instance is packaged with Unified Threat Management protection and does not  support VDOMs, whereas a FortiGate-VM BYOL instance supports greater protection levels and features depending on  its contract. FortiOS 6.4 AliCloud Cookbook 9 Fortinet Technologies Inc.About FortiGate for AliCloud To migrate FortiOS configuration to a FortiGate-VM of another license type:  1. Connect to the FortiOS GUI or CLI and back up the configuration. See Configuration backups.  2. Deploy a new FortiGate-VM instance with the desired license type. If deploying a BYOL instance, you must  purchase a new license from a Fortinet reseller. You can apply the license after deployment via the FortiOS GUI.  3. Restore the configuration on the FortiGate-VM instance that you deployed in step 2 as described in Configuration  backups.  4. If you deployed an on-demand instance in step 2, register the license. To receive support for an on-demand  license, you must register the license as described in Creating a support account on page 8. FortiOS 6.4 AliCloud Cookbook 10 Fortinet Technologies Inc.Securing instances on AliCloud This guide describes FortiGate-VM single deployment on AliCloud. This deployment consists of the following steps:  1. Configuring a virtual private cloud on page 11  2. Subscribing to the FortiGate-VM in the marketplace on page 13  3. Configuring routing to the FortiGate-VM on AliCloud on page 15  4. Connectivity test on page 16 Configuring a virtual private cloud To configure a virtual private cloud:  1. Assuming this is a new environment, the first step is to create the virtual private cloud (VPC). In the AliCloud web  console, click Create VPC.    2. Enter the VPC name. Click Create VPC.    3. Click Next Step.    4. You need at least two VSwitches: one for the ECS and one for the FortiGate-VM. Create the ECS VSwitch first as  shown.   FortiOS 6.4 AliCloud Cookbook 11 Fortinet Technologies Inc.Securing instances on AliCloud  5. Click Create More.  6. Configure the VSwitch for the FortiGate-VM as shown, then click Create VSwitch.    7. Click Done. VPC and VSwitch setup is complete. FortiOS 6.4 AliCloud Cookbook 12 Fortinet Technologies Inc.Securing instances on AliCloud Subscribing to the FortiGate-VM in the marketplace To subscribe to the FortiGate-VM in the marketplace:  1. Go to the AliCloud Marketplace and search for Fortinet.  2. Create the FortiGate-VM instance. If you have your own FortiGate-VM license, select the BYOL image. Otherwise,  select the on-demand image.  a. Click Choose Your Plan.  b. This example selects PAYG, Hong Kong, and Zone B for the pricing plan, region, and zone, respectively. Zone  B is the location of the VPC and VSwitches. Click ECS Advance Purchase page to customize the data disk  and VPC information.  c. Add a data disk for logs. It is suggested to use SSD for better performance. FortiOS 6.4 AliCloud Cookbook 13 Fortinet Technologies Inc.Securing instances on AliCloud  d. In the Network section, select TP_FortiVPC and Forti_VSwitchFW. Assign a public IP address to the image.  e. Continue to create the instance.  3. Click Console to return to the ECS instance list.  4. You can see that the VM has been created. Mark down the public IP address and the instance ID for later use. The  instance ID is the FortiGate default password.   FortiOS 6.4 AliCloud Cookbook 14 Fortinet Technologies Inc.Securing instances on AliCloud  5. You must now configure the default security group. Go to Security Groups, then click Configure Rules.    a. Click Quickly Create Rules.  b. Enable ports 80 and 443, then click OK.    6. You can now access the FortiGate-VM in a web browser using the username 
To view the full page, please visit: Fortinet FortiGate (PAYG) Next-Generation Firewall (4 vCPUs) Product Userguide

Fortinet FortiGate (PAYG) Next-Generation Firewall (4 vCPUs)

Fortinet FortiGate allows mitigation of blind spots to improve policy compliance by implementing critical security controls within your AliCloud environment.
Buy now
About Us Privacy Policy Legal Notice List
Alibaba Group Taobao Marketplace Tmall Juhuasuan AliExpress Alibaba.com 1688 Alimama Alitrip YunOS AliTelecom AutoNavi UCWeb Umeng TTPod DDChong DingTalk Alipay UC Union Legal Notice
© 2009-2025 Copyright by Alibaba Cloud All rights reserved