Oversigt

FortiADC er en applikationsleveringscontroller udviklet af Fortinet. Det sigter mod at give applikationssikkerhed, trafikstyring og tilgængelighed af applikationer, der kører på servere. ZEVENET har dog en overtag inden for cloud-implementering og tilgængelighed. Man kan oprette en cloud-konto gennem ZVNcloud, eller implementer en node direkte fra AWS eller Microsoft Azure markedsplads.

Hvis du har brug for en mere fleksibel ADC med næste generations sikkerhedsfunktioner, Layer 4 og 7 load balancing, Global load balancing, Link load balancing osv., så hold godt fast. I denne artikel vil vi diskutere FortiADC-koncepter og bruge disse koncepter til at lave lignende konfigurationer i ZEVENET ADC.

Forudsætninger

Her er forudsætningerne før migrering fra FortiADC til ZEVENET ADc.

1. En forekomst af ZEVENET ADC skal installeres på din arbejdsstation, bare metal, virtuelt miljø eller med ZVNcloud. Til on-premise implementering, anmode om en vurdering.
2. Skal have adgang til den grafiske webgrænseflade. Hvis du ikke gør det, så følg dette hurtigt installationsvejledning.
3. Skal være fortrolig med FortiADC og vidende om dets koncepter.
4. Du skal kunne oprette en virtuel server med ZEVENET. Følg denne guide: Layer 4 og Layer 7 Virtual Server Configuration.

Basale koncepter

Link belastningsbalancering: Link load balancing refererer til fordeling af netværkstrafik på tværs af flere WAN forbindelser eller Internetudbydere for at optimere netværkets ydeevne og øge pålideligheden. Pålidelighed opstår ved at bruge uplinks til forskellige internetudbydere til redundans. Hvis en internetudbyder går ned, sker der failover til den tilgængelige tjeneste. ZEVENET leverer et indbygget Uplink failover-system til Link belastningsbalancering igennem DSLB.

Global belastningsbalancering: Global belastningsbalancering refererer til fordeling af netværkstrafik på tværs af flere servere eller ressourcer i forskellige datacentre placeret i forskellige geolokationer for at give en bedre brugeroplevelse for klienter i disse regioner. ZEVENET har en robust løsning til belastningsbalancering på tværs af datacentre ved hjælp af GSLB modul.

Høj tilgængelighed: Høj tilgængelighed er et systems, applikations eller tjenestes evne til at forblive operationelt og tilgængeligt for brugere med minimal nedetid. Man kan opnå høj tilgængelighed ved at bygge failover-mekanismer, som gør det muligt for systemet automatisk at skifte til en backup eller sekundær ressource i tilfælde af en fejl. Man kan opnå HA gennem en Cluster i ZEVENET ADC.

Serverbelastningsbalancering: Henviser til belastningsbalancering af indgående webtrafik inden for et privat lokalt netværk. ZEVENET leverer LSLB modul til belastningsbalancering, inspektion og kontrol af lokal trafik.

Serverpuljer: En serverpulje er en gruppe af rigtige servere, der er konfigureret til at arbejde sammen for at levere en bestemt tjeneste eller applikation. Man kan konfigurere en serverpulje i ZEVENET ADC ved at oprette en Service.

Logning og rapportering: Logning og rapportering giver mulighed for at spore og analysere ydeevnen af ​​en load balancer og serverne i en pulje, herunder information såsom indgående trafik, ressourceforbrug og fejl. ZEVENET leverer et logningssystem igennem System >> Logs. Til indberetning kan man tilgå System >> Meddelelser. Underretningerne omfatter bl emails indberetninger.

Sikkerhed: Alle webbaserede applikationer har brug for sikkerhedssystemer til at overvåge og filtrere indgående trafik til en load balancer for at eliminere ondsindet trafik eller tillade adgang til en specificeret geolocation. Man kan opnå denne funktionalitet gennem IPDS modul ved brug af ZEVENET. Dette modul giver WAF, DoS beskyttelse, en RBLog Sortlister.

Rigtige servere: Rigtige servere er de fysiske eller virtuelle servere, der er en del af en serverpulje og håndterer behandlingen og leveringen af ​​anmodninger. Disse servere er ansvarlige for at køre de applikationer eller tjenester, der leveres til klienter. Rigtige servere er de samme som underliggende programmer i ZEVENET ADC.

Virtuel server: En virtuel server er en frontvendt grænseflade med en lytter, IP og port til at modtage webtrafik og derefter distribuere denne trafik til en passende serverpulje eller service. ZEVENET giver lignende funktionalitet gennem en Farm.

Sundhedscheck: Disse er kommandoer, der overvåger tilgængeligheden af ​​backends og de tjenester, de leverer. De opnår dette ved at køre ICMP eller brugerdefinerede HTTP-kommandoer til sporing af servicetilgængelighed. ZEVENET giver både forudindlæste sundhedsmekanismer og en måde at lave tilpassede sundhedstjek igennem Farmguardian.

Eksempel på konfigurationer: Link belastningsbalancering

Når værtsservere bliver fyldt med processer og anmodninger, skal en udgående strategi, der distribuerer denne trafik gennem flere WAN'er, bruges til at reagere hurtigt på disse anmodninger, hvilket forhindrer en netværksflaskehals og langsommere ydeevne. Denne udgående strategi kræver uplink-belastningsbalancering. Omkostningsmæssigt kan man reducere omkostningerne til internetbåndbredde ved at bruge flere billige internetlinks i stedet for ét højprislink.

Både Zevenet og Fortinet tilbyder Link-belastningsbalancering. Zevenets link load balancer er en del af en ADC-pakke og kommer gennem DSLB modul.

Vi vil konfigurere Active-Active Uplink belastningsbalancering med Zevenet ADC baseret på FortiGate-konfigurationer.

Fortinet konfigurationer

Disse Fortinet-konfigurationer vil fungere som vores base ved migrering af Uplink-konfigurationer fra Fortinet til ZEVENET. Antagelsen er, at du allerede er bekendt med dem, så det bliver nemmere at følge med.

Tilføj gateway-links

1. Klik Link belastningsbalance >> Link gruppe >> Gateway.
2. Indtast en Navn at identificere en router, for eksempel WAN1, WAN2, ISP1 eller ISP2.
3. Indtast routerens IP-adresse.
4. eventuelt Aktiver sundhedstjek.
5. Indstil Indgående båndbredde.
6. Indstil Udgående båndbredde.
7. sæt Indgående spild-tærskel.
8. Indstil udgående spild-tærskel.
9. Klik på knappen Gem .

Tilføj en linkgruppe

1. Klik Link Load Balance >> Link Group.
2. Indtast en Navn at identificere gruppen.
3. Indtast Adressetype som IPV4.
4. For Active-Active-konfigurationer skal du vælge Rutemetode: Vægtet Round Robin.
5. Aktiver Nærhedsrute.

Tilføj linkmedlem

1. Klik på i afsnittet Linkmedlem Opret ny.
2. Indtast en Navn at identificere et medlem.
3. Vælg en Gateway link til det første link.
4. Tildel en vægt af 1 og klik på knappen Gem.
5. Gentag proceduren for at tilføje et 2nd Link-medlem.
6. Klik på knappen Gem knappen for også at gemme linkgruppen.

Tilføj en linkpolitik

1. Klik Link Load Balance >> Link Policy.
2. Vælg den linkgruppe, der tidligere er oprettet som Standard linkgruppe.
3. Klik på knappen Gem .
4. Klik på knappen Opret ny for at tilføje en ny politik.
5. Vælg en Ingress Interface.
6. Vælg Kilde Type som adresse og Kilde som ENHVER.
7. Type Destinationstype som Service og vælg ALLE.
8. Type Gruppetype som linkgruppe og brug den tidligere oprettede gruppe.
9. Klik på knappen Gem .

ZEVENET konfigurationer

I dette afsnit vil vi konfigurere uplink-belastningsbalancering med ZEVENET ADC. Antagelsen er, at du har mindst 2 routere fra forskellige internetudbydere, hvor du vil omdirigere din udgående trafik. Dette afhænger af, om du ønsker en aktiv-aktiv eller aktiv passiv forbindelse.

Instruktioner:

Opret aliasnavne

1. Klik Netværk >> Aliaser >> Opret IP-alias.
2. Indtast IP-adresse af den første router.
3. Indtast en Navn der nemt kan identificere det.
4. Klik på knappen Indløs .
5. Gentag processen for at tilføje et aliasnavn til den 2. router.

Opret en DSLB Farm

1. Klik DSLB >> Gårde >> Opret gård.
2. Indtast en Navn for nemt at identificere denne gård.
3. Vælg virtuel IP adresse. Denne IP-adresse vil fungere som gateway for din load balancer.



4. Klik på knappen Indløs knappen for at gemme konfigurationerne.

Opret en tjeneste

1. Klik på Services Tab.
2. For Active-Passive-konfigurationer, Vælg load balancer-planlæggeren som Prioritet: Tilslutninger altid til den mest tilgængelige prio. Til denne konfiguration konfigurerer vi en Active-Active-opsætning. Vi vil bruge Vægt: Tilslutning lineær forsendelse efter vægt.



3. Klik på knappen Indløs knappen for at gemme konfigurationerne.

Tilføj backends

1. I sektionen Backends skal du klikke på Opret backend .
2. Inden for Alias Afsnit, Vælg Alias ​​Navn på den første internetudbyder eller den første router.
3. Vælg grænseflade af den første router.



4. Klik på knappen Indløs .
5. Gentag processen for at tilføje den 2. router. Standarden Prioritet Vægt er 1.



6. Find i øverste højre hjørne handlinger og klik på den grønne afspilningsknap for at aktivere gården.

For flere ressourcer, arkitektur og design om Uplink belastningsbalancering med ZEVENET, læs: Hurtig startvejledning til uplinks belastningsbalancering.

Eksempel på konfigurationer: Sikkerhed (WAAP)/konfigurationer

En WAAP er et sikkerhedssystem, der giver webapplikation og API-beskyttelse mod cybertrusler. WAAP'er bruger avancerede teknologier som automatisering og maskinlæring til at opdage og blokere ondsindet trafik, herunder SQL-injektion, cross-site scripting og andre almindelige angreb. EN WAAP har funktioner som applikationslags firewalls, DoS-beskyttelse og indtrængningsforebyggelse. Disse avancerede funktioner giver en mere robust og omfattende sikkerhedsløsning. ZEVENET Implementerer en WAAP gennem IPDS-modulet.

Vi vil beskrive Fortinet-sikkerhedskonfigurationer med Fortigate, og hvordan man implementerer lignende funktionalitet i ZEVENET. I dette eksempel vil vi fokusere på en WAF.

Fortinet konfigurationer

Dette er de Fortinet-konfigurationer, vi vil basere for at skabe ZEVENET WAF-konfigurationer. For at få adgang til disse konfigurationer skal du installere et separat produkt, FortiGate, som du vil linke til din FortiADC.

Instruktioner

1. Klik System >> Indstillinger.
2. Rul til Inspektionsfunktion afsnit, skift fra Flow-baseret til proxy, og klik på Indløs .
3. Når du har ændret inspektionstilstanden, skal du klikke Sikkerhedspolitikker >> Web Application Firewall.
4. Inden for Underskrifter tabel, skal du aktivere alle former for WAF-beskyttelse ved at klikke på knappen Til/fra. Disse omfatter SQL Injection, Generiske angreb, Trojans, Kendte bedrifter, Dårlig robotOsv
5. Inden for Begrænsninger tabel, gør det muligt for begrænsninger at begrænse Indholdslængde, Header længde, Samlet URL-parameterlængdeOsv
6. Rul ned og Håndhæv HTTP-metodepolitik.
7. Tildel en VIP du vil beskytte ved at klikke Politik og objekter >> Virtuelle IP'er.
8. Tildel en Navn for VIP.
9. Vælg grænseflade hvorpå din ADC VIP er blevet konfigureret.
10. Indtast en Ekstern IP-adresse/område
11. Indtast en Kortlagt IP-adresse/område
12. Klik på knappen OK knappen for at gemme konfigurationerne.
13. Opret en IPV4-politik ved at klikke Politik og objekter >> IPV4-politik.
14. Tildel IPV4-politikken en Navn.
15. Tilføj en Indgående og en Udgående grænseflade.
16. Udover Kilde etiket, vælg Alle.
17. Udover Bestemmelsessted, Skal du vælge VIP Adresse, du har oprettet.
18. Inden for Sikkerhedsprofiler, slå på Web Application Firewall valgmulighed.
19. Inden for Logningsmuligheder, slå til Log tilladt trafik forum Alle Sessioner.
20. Klik på knappen OK .

ZEVENET konfigurationer

ZEVENET IPDS har ikke kun WAAP-funktioner, men dens Web Application Firewall har Next-Gen WAF-funktioner. IPDS-modulet tilbyder DoS-beskyttelse, en webapplikationsfirewall med robuste funktioner, en RBL og en sortlistepolitik.

Vi vil fokusere på at opsætte en WAF for at beskytte mod OWASP-sårbarhederne i ZEVENET ADC. Som standard kommer ZEVENET med indbyggede regler. Nogle af disse regler inkluderer REQUEST-903-9003-NEXTCLOUD-EXCLUSION-RULES, REQUEST-903-9002-WORDPRESS-EXCLUSION-RULES, REQUEST-931-APPLICATION-ATTACK-RFI osv.

I dette afsnit vil vi lave et tilpasset regelsæt.

Instruktioner

Opret regelsæt

1. Klik IPDS >> WAF >> Regelsæt.
2. Klik på knappen Opret WAF-regelsæt .
3. Tildel en Navn at identificere regelsættet.
4. I boksen Kopier regelsæt felt, kan du vælge fra rullelisten. Til denne demonstration vil vi bruge –Ingen regelsæt–
5. Du kan tildele Standard handling as Afvis: Klip anmodningen og udfør ikke regler tilbage.
6. Klik på knappen Indløs .

Tilføj en regel

1. Efter at have oprettet et regelsæt, skal vi anvende en regel på dette regelsæt. Klik på Regler fane.
2. Klik på knappen Ny regel .
3. Der er 3 Regeltyper, vil vi vælge Handling.
4. Vælg den Fase: Forespørgsel er modtaget.
5. Inden for Resolutioner mark, vælg Afvis: Klip anmodningen og udfør ikke regler tilbage og tilføje til sidst en Beskrivelse for reglen.
6. Klik på knappen Indløs knappen for at gemme konfigurationerne.

Tilføj betingelser

1. Klik på den regel, du lige har oprettet, og rul til Betingelser sektion.
2. Betingelsesafsnittet er, hvor vi specificerer, hvilken type angreb der skal beskyttes mod. Klik på Skab betingelser .
3. Inden for Variabel felt, Vælg metoder eller stier, som et angreb sandsynligvis vil bruge for at få adgang til dine tjenester. I dette eksempel vil vi tilføje REQUEST_URI REQUEST_BODY.
4. Inden for Operatør afsnit, skal du vælge en regel, du ønsker at beskytte dig imod. Nogle af reglerne er verifyCreditCard, verifySSN, validateUTF8Encoding, detectXXS, detectSQLi osv. Til dette eksempel vil vi bruge verifyCreditCard.
5. Til denne operatør skal du tilføje et regulært udtryk i PCRE-format. Forudsat at vi validerer Visa-kort, vil vi bruge det regulære udtryk

   ^4[0-9]{12}(?:[0-9]{3})?$

   i Betjening Mark. Bemærk, at nogle operatører ikke kræver driftsparameteren.

6. Klik på knappen Indløs knappen for at oprette betingelsen.
7. I øverste højre hjørne ved Handling skal du klikke på den grønne afspilningsknap for at aktivere reglen.

Med denne regel på plads, kan du nu tilføje den til den gård, du gerne vil beskytte.
For at lære mere om ZEVENET WAF, læs IPDS | WAF | Opdatering

Yderligere ressourcer

Konfiguration af SSL-certifikater til belastningsbalanceren.
Brug af programmet Let's encrypt til at autogenerere et SSL-certifikat.
DNS belastningsbalancering med ZEVENET ADC.
Beskyttelse mod DDoS-angreb.
Applikations-, sundheds- og netværksovervågning i ZEVENET ADC.