Indhold
Oversigt
Alteon er ADC-virksomhedsproduktet fra Radware, mens DefensePro sikrer sikkerhed og trafikovervågning. Med Radware-produkter som Alteon kan du anerkende dets sikkerhedsfunktioner, fleksibiliteten i implementeringen og dets understøttelse af flere virtualiseringer af alle Radware-apparater på de fleste virtualiseringsplatforme. Men hvorfor skal du så genoverveje dit valg om at bruge en anden ADC? Årsagerne kunne være:
- Mangel på let tilgængelige støttende ressourcer.
- Manglen på open source-projekter til at hjælpe med at forstå platformen og dens funktionalitet.
- Forsinket kundesupport på et tidspunkt, hvor du har brug for det.
- Uanset hvor din virksomhed er baseret, vil du ikke finde omfattende ruter med Alteon på grund af dens begrænsede globale dækning.
Denne artikel vil guide dig til, hvordan du opsætter ZEVENET ADC baseret på Radware-konfigurationer.
Forudsætninger
- En ZEVENET-instans skal være installeret på din pc, bare-metal, virtuelle miljø, eller den skal have en aktiv ZVNcloud-konto. Anmod om en evaluering til on-premise implementering.
- Man skal have adgang til den grafiske webgrænseflade. Hvis du ikke gør det, så følg dette hurtigt Installationsvejledning.
- Man skal være en aktiv bruger af Radware Alteon-serien og være bekendt med de koncepter, vi vil diskutere i afsnittet nedenfor.
- Man skal kunne oprette en virtuel server i ZEVENET load balancer. Her er en hurtig guide: Layer 4 og Layer 7 Virtual Server Configuration.
Basale koncepter
Virtuel tjeneste: En virtuel tjeneste er et program i Alteon ADC, som en klient anmoder om adgang til sine ressourcer. Disse tjenester omfatter HTTP, SNMP, SSH, SIP osv. ZEVENET har 2 typer tjenester, fjerntjenester og lokale tjenester. Få adgang til disse tjenester gennem System >> Tjenester.
Virtuelle servere: Disse er frontvendte servere, der modtager alle anmodninger fra nettet og videresender dem til de tilsvarende tjenester eller backends. Disse har en VIP, Virtual Portog lyttere. En virtuel server i ZEVENET kaldes en Farm.
Høj tilgængelighed: Dette er en tjenestes evne til at forblive aktiv, selv når værtsserveren eller en ADC går ned. Høj tilgængelighed implementeres ved at konfigurere en redundant kopi af master-ADC'en og parre den med masteren. HA i ZEVENET opnås gennem en klynge. Få adgang til klynger ved at klikke System >> Klynge.
Servergruppe: Er en samling af rigtige servere eller virtuelle private servere (VPS), der behandler klientanmodninger. En servergruppe er den samme som underliggende programmer og implementeres gennem en Gårdservice når du bruger ZEVENET.
Rigtige servere: Disse er fysiske eller VPS-værter for en applikation. Disse servere er ansvarlige for at behandle klientanmodninger eller fungere som lager for brugerinput. En rigtig server kaldes en Bagende når du bruger ZEVENET.
Sundhedscheck: Probesignaler sendt til backend-serverne for at kontrollere deres tilgængelighed eller tilgængeligheden af Services. Sundhedstjek er det samme som Farmguardian når du bruger ZEVENET.
Global trafikomdirigering: Omdirigerer trafik fra forskellige geolokationer til det nærmeste datacenter. ZEVENET implementerer global belastningsbalancering gennem GSLB Gård.
Fjernlogning: Bruges til at logge hændelser, der forekommer på ADC'en, til et separat lager eller server. Disse hændelser omfatter problemer, fejl eller data om aktuelle operationer. Man kan konfigurere en ekstern logningsserver på ZEVENET ved at tilgå System >> Tjenester >> Lokal >> Rsyslog.
LinkProof: Bruges når du ønsker at indlæse balance mellem forskellige internetudbydere eller routere. ZEVENET implementerer belastningsbalancering mellem internetudbydere gennem DSLB Farm.
Eksempel på konfigurationer: DDoS og API-beskyttelse
DDOS-angreb er en slags, der er svære at spore, fordi det kræver mere end én strategi at skelne mellem legitim og ondsindet trafik. For at forhindre dine servere i at blive overvældet af en stor mængde upålidelig trafik, tilbyder sikkerhedsværktøjer som ZEVENET IPDS DDoS-beskyttelse igennem; trafikfiltrering, hastighedsbegrænsning, trafikformning og andre forskellige metoder.
I dette afsnit vil vi beskrive konfigurationen af alle former for DoS-beskyttelse ved hjælp af ZEVENET. Disse konfigurationer vil basere på Radware-konfigurationer.
RADWARE konfigurationer
Konfigurer netværket
- Klik på knappen Netværk menupunkt i venstre sidebjælke.
- Klik på knappen + knappen for at tilføje et netværk.
- Tildel en Navn.
- Klik på knappen + knappen igen.
- Vælg din favorit Netværkstype, uanset om det er IPV4 eller IPV6.
- Lad indtastningstypen være som IP maske.
- Indtast Adresse Maske for det netværk.
- Klik på knappen Indsend .
Opret en BDoS-profil
- Klik Netværksbeskyttelse >> BDoS-profiler.
- Klik på knappen + .
- Indtast en Profil navn.
- Inden for Indstillinger for beskyttelse mod oversvømmelse, aktiver alle tilgængelige muligheder.
- Inden for Båndbreddeindstillinger, kan du begrænse indgående og udgående trafikbåndbredde til 5000 kbps.
- Inden for kvoteindstillinger, kan du begrænse indgående og udgående TCP-, UDP-, ICMP- og IGMP-indstillinger i procenter.
- Inden for Pakkerapportering og Trace-indstilling, kan du aktivere både afkrydsningsfelter, pakkerapport og pakkesporing.
- Klik på knappen Indsend .
Opret en netværksbeskyttelsespolitik
- Klik Netværksbeskyttelse >> Netværksbeskyttelsespolitikker.
- Klik på knappen + knappen for at tilføje en politik.
- Indtast en Politikens navn.
- Inden for klassifikationer, vælg SRC netværk as enhver.
- Vælg den DST netværk som den du oprettede i det tidligere afsnit.
- Vælg Lederskab as en vej.
- Inden for Handling fanen, skal du vælge den BDoS-profil, du allerede har oprettet.
- Inden for Fanen Pakkerapportering og sporingsindstilling, aktiver Pakkerapportering.
- Klik på knappen Indsend .
- Klik på knappen Opdater politik under menulinjen.
ZEVENET konfigurationer
- Klik IPDS >> DoS >> Opret DoS-regel.
- Indtast en Navn at identificere gården.
- Vælg en Herske fra de fire forudindlæste regler.
- For at anvende denne regel på en gård skal du klikke på Gårde fane.
- Træk og slip gården af interesse fra Tilgængelige gårde til Aktiverede gårde.
- I øverste højre hjørne skal du klikke på den grønne afspilningsknap under handlinger sektion.
- Gentag processen og brug alle fire regler for maksimal DoS-reduktion.
Bemærk:
For reglen, Samlet forbindelsesgrænse pr. Kilde IP, Indtast et tal for at begrænse, hvor mange forbindelser en kilde-IP-adresse kan have.
For reglen, Begræns RST-anmodning pr. Sekund, indtast et tal for at begrænse antallet af RST-anmodninger pr. kilde-IP inden for et sekund. Begrænse Burst Fungerer som en blød grænse, før den faktiske blokering sker.
For videoressourcer, se: Denial of Service-beskyttelse med system til forebyggelse og detektion af indtrængen i ZEVENET
Yderligere sikkerhedskonfigurationer: Site-to-site VPN
A site-to-site VPN (Virtual Private Network) giver organisationer mulighed for at forbinde deres netværk sikkert over internettet. Denne type VPN forbinder typisk to fjernplaceringer, f.eks. et filialkontor, til hovedkvarterets netværk. Site-to-site VPN på ZEVENET bruger protokoller såsom IPsec til at kryptere de data, der transmitteres mellem de to netværk, hvilket sikrer, at det er sikkert og privat.
IPsec bruger to hovedprotokoller til at give sikkerhed: Authentication Header (AH) og Encapsulating Security Payload (ESP). AH giver autentificering og integritetsbeskyttelse for IP-pakker, mens ESP giver fortrolighed, autentificering og integritetsbeskyttelse.
I dette afsnit vil vi konfigurere en Site-to-Site VPN med ZEVENET for at sikre sikkerheden af data, der overføres over internettet mellem to eller flere organisationer i samme virksomhed.
For henvisning til site-to-site VPN-konfigurationer fra Radware, se denne artikel. Sådan konfigureres en Site-to-Site VPN-tunnel gennem LinkProof
Instruktioner:
Opret en VPN-profil
- Klik Netværk >> VPN >> Opret VPN.
- Indtast en passende Navn for at identificere VPN.
- Vælg profilen ZSS (Site til Site).
- Godkendelsesmetoden er som standard en hemmelighed. Indtast en stærk Adgangskode for at beskytte VPN-legitimationsoplysningerne.
Gateway-konfigurationer
- Indtast IP-adresse af den lokale gateway og dens Lokalt net/CIDR*
- Indtast IP-adresse af Remote Gateway ad dens Fjernnet/CIDR*
IKE fase 1-forhandling
- Vælg Godkendelse metode til fase 1.
- Vælg Kryptering metode til fase 1 Forhandling.
- Vælg DH gruppe for fase 1-forhandlingerne.
IKE fase 2 forhandlinger
- Vælg fase protokol for integritet og autentificering.
- Vælg Godkendelse fremgangsmåde.
- Vælg Kryptering algoritme.
- Vælg Diffie-Hellman(DH gruppe).
- Vælg en Tilfældig pseudofunktion at bruge.
- Klik på knappen Indløs knappen for at gemme konfigurationerne.
Bemærk: Sørg for, at du foretager de samme konfigurationer på Remote ADC- eller Datacenter-grenen.
Yderligere ressourcer
Web Application Firewall-konfiguration.
Konfiguration af SSL-certifikater til belastningsbalanceren.
Brug af programmet Let's encrypt til at autogenerere et SSL-certifikat.
Applikations-, sundheds- og netværksovervågning i ZEVENET ADC.
Datalink/Uplink belastningsbalancering Med ZEVENET ADC.
DNS belastningsbalancering med ZEVENET ADC.