סקירה כללית

FortiADC הוא בקר אספקת יישומים שפותח על ידי Fortinet. מטרתו היא לספק אבטחת יישומים, ניהול תעבורה וזמינות של יישומים הפועלים בשרתים. עם זאת, ל-ZEVENET יש יד על העליונה בפריסה וזמינות בענן. אפשר ליצור חשבון ענן דרך ZVNCloud, או לפרוס צומת ישירות מ AWS או מיקרוסופט תכלת זירת מסחר.

אם אתם זקוקים ל-ADC גמיש יותר עם תכונות אבטחה מהדור הבא, איזון עומסים בשכבות 4 ו-7, איזון עומסים גלובלי, איזון עומסים קישור וכו', תחזיקו חזק. במאמר זה, נדון במושגים של FortiADC ונשתמש במושגים הללו כדי ליצור תצורות דומות ב-ZEVENET ADC.

תנאים מוקדמים

להלן התנאים המוקדמים לפני המעבר מ-FortiADC ל-ZEVENET ADc.

1. יש להתקין מופע של ZEVENET ADC על תחנת העבודה שלך, מתכת חשופה, בסביבה וירטואלית או עם ZVNCloud. לפריסה מקומית, לבקש הערכה.
2. חייבת להיות בעלת גישה לממשק הגרפי של האינטרנט. אם לא, עקוב אחר זה מהר מדריך התקנה.
3. חייב להכיר את FortiADC ובקיא במושגים שלה.
4. אתה חייב להיות מסוגל ליצור שרת וירטואלי עם ZEVENET. עקוב אחר המדריך הזה: תצורת שרת וירטואלי של שכבה 4 ושכבה 7.

מושגים בסיסיים

איזון עומסי קישור: איזון עומסי קישור מתייחס לחלוקת תעבורת רשת על פני מספר רב של תעבורת רשת WAN חיבורים או ספקיות אינטרנט כדי לייעל את ביצועי הרשת ולהגביר את האמינות. אמינות נוצרת על ידי שימוש בקישורים למעלה לספקי אינטרנט שונים לצורך יתירות. אם ספק שירותי אינטרנט אחד נופל, מתרחש מעבר כשל לשירות הזמין. ZEVENET מספקת מערכת Uplink מובנית לאיזון עומסים באמצעות קישור DSLB.

איזון עומסים גלובלי: איזון עומסים גלובלי מתייחס להפצת תעבורת רשת על פני מספר שרתים או משאבים במרכזי נתונים שונים הממוקמים במיקומים גיאוגרפיים שונים כדי לספק חווית משתמש טובה יותר עבור לקוחות באזורים אלה. ל-ZEVENET יש פתרון חזק לאיזון עומסים בין מרכזי נתונים באמצעות GSLB מודול.

זמינות גבוהה: זמינות גבוהה היא היכולת של מערכת, אפליקציה או שירות להישאר תפעוליים ונגישים למשתמשים עם זמן השבתה מינימלי. ניתן להשיג זמינות גבוהה באמצעות בניית מנגנוני כשל, המאפשרים למערכת לעבור אוטומטית למשאב גיבוי או משני במקרה של תקלה. אפשר להשיג HA באמצעות א אשכול ב-ZEVENET ADC.

איזון עומסי שרת: הכוונה לאיזון עומסים של תעבורת אינטרנט נכנסת בתוך רשת מקומית פרטית. ZEVENET מספקת את LSLB מודול לאיזון עומסים, בדיקה ובקרה על תעבורה מקומית.

בריכות שרתים: מאגר שרתים הוא קבוצה של שרתים אמיתיים המוגדרים לעבוד יחד כדי לספק שירות או יישום ספציפי. אפשר להגדיר מאגר שרתים ב-ZEVENET ADC על ידי יצירת א שֵׁרוּת.

רישום ודיווח: רישום ודיווח מספקים את היכולת לעקוב ולנתח את הביצועים של מאזן עומסים והשרתים במאגר, כולל מידע כגון תעבורה נכנסת, שימוש במשאבים ושגיאות. ZEVENET מספקת מערכת רישום דרך מערכת >> יומנים. לדיווח, אפשר לגשת מערכת >> התראות. ההתראות כוללות מיילים ו התראות.

אבטחה: כל היישומים מבוססי האינטרנט זקוקים למערכות אבטחה כדי לנטר ולסנן תעבורה נכנסת למאזן עומסים כדי למנוע תעבורה זדונית או לאפשר גישה למיקום גיאוגרפי מוגדר. אפשר להשיג את הפונקציונליות הזו באמצעות IPDS מודול בעת שימוש בZEVENET. מודול זה מספק WAF, DoS הגנה, א RBL, ו רשימות שחורות.

שרתים אמיתיים: שרתים אמיתיים הם השרתים הפיזיים או הווירטואליים המהווים חלק ממאגר שרתים ומטפלים בעיבוד ובמשלוח של בקשות. שרתים אלו אחראים להפעלת היישומים או השירותים הניתנים ללקוחות. שרתים אמיתיים זהים ל Backends ב-ZEVENET ADC.

שרת וירטואלי: שרת וירטואלי הוא ממשק חזיתי עם מאזין, IP ופורט לקליטת תעבורת אינטרנט ולאחר מכן הפצת תעבורה זו למאגר שרתים או שירות מתאים. ZEVENET מספק פונקציונליות דומה באמצעות א משק.

בדיקות בריאות: אלו הן פקודות המנטרות את הזמינות של Backends והשירותים שהם מספקים. הם משיגים זאת על ידי הפעלת ICMP או פקודות HTTP מותאמות אישית למעקב אחר זמינות השירות. ZEVENET מספקת גם מנגנוני בריאות טעונים מראש וגם דרך לבצע בדיקות בריאות מותאמות אישית חקלאי.

תצורות לדוגמה: איזון עומסים בקישור

כאשר שרתי מארחים עמוסים בתהליכים ובקשות, יש להשתמש באסטרטגיה יוצאת שמפיצה את התעבורה הזו דרך מספר WANs כדי להגיב לבקשות אלה במהירות, ולמנוע צוואר בקבוק ברשת והאטה בביצועים. אסטרטגיה יוצאת זו דורשת איזון עומסים בקישור למעלה. מבחינת עלות, ניתן להפחית את העלות של רוחב הפס באינטרנט על ידי שימוש במספר קישורי אינטרנט בעלות נמוכה במקום קישור אחד בעלות גבוהה.

גם Zevenet וגם Fortinet מציעות איזון עומסים בקישור. מאזן עומסי הקישור של Zevenet הוא חלק מחבילת ADC ומגיע דרך ה- DSLB מודול.

אנו נגדיר איזון עומסים Active-Active Uplink עם Zevenet ADC בהתבסס על תצורות FortiGate.

תצורות Fortinet

תצורות Fortinet אלו ישמשו כבסיס שלנו בעת העברת תצורות Uplink מ-Fortinet ל-ZEVENET. ההנחה היא שאתה כבר מכיר אותם, כך שיהיה קל יותר לעקוב אחריהם.

הוסף קישורי שער

1. נְקִישָׁה איזון עומס קישור >> קבוצת קישור >> שער.
2. הזן שם כדי לזהות נתב, למשל WAN1, WAN2, ISP1 או ISP2.
3. הכנס לנתב כתובת ה-IP.
4. לחלופין אפשר בדיקות תקינות.
5. הגדר את רוחב פס נכנס.
6. הגדר את רוחב פס יוצא.
7. לקבוע סף שפיכה נכנסת.
8. הגדר את סף השפיכה יוצאת.
9. לחץ על שמור לַחְצָן.

הוסף קבוצת קישורים

1. נְקִישָׁה יתרת עומס קישור >> קבוצת קישור.
2. הזן שם כדי לזהות את הקבוצה.
3. זן סוג כתובת בתור IPV4.
4. עבור תצורות Active-Active, בחר שיטת המסלול: רובין משוקלל.
5. אפשר מסלול קרבה.

הוסף חבר קישור

1. בקטע חבר קישור, לחץ צור חדש.
2. הזן שם כדי לזהות חבר.
3. בחר Gateway קישור לקישור הראשון.
4. הקצה א מִשׁקָל מתוך 1 ולחץ על כפתור השמירה.
5. חזור על ההליך כדי להוסיף חבר קישור 2.
6. לחץ על שמור לחצן כדי לשמור גם את קבוצת הקישור.

הוסף מדיניות קישורים

1. נְקִישָׁה יתרת עומס קישור >> מדיניות קישור.
2. בחר את קבוצת הקישור שנוצרה בעבר בתור קבוצת קישורים כברירת מחדל.
3. לחץ על שמור לַחְצָן.
4. לחץ על צור חדש כדי להוסיף מדיניות חדשה.
5. בחר ממשק כניסה.
6. בחר סוג מקור ככתובת ו מָקוֹר כמו כל.
7. בחר סוג יעד כשירות ובחר הכל.
8. בחר סוג קבוצה כקבוצת קישור והשתמש בקבוצה שנוצרה קודם לכן.
9. לחץ על שמור לַחְצָן.

תצורות ZEVENET

בחלק זה, נגדיר איזון עומסים עם ZEVENET ADC. ההנחה היא שיש לך לפחות 2 נתבים מספקי אינטרנט שונים שבהם אתה רוצה להפנות את התעבורה היוצאת שלך. זה יהיה תלוי אם אתה רוצה חיבור אקטיבי-אקטיבי או אקטיבי פסיבי.

הוראות:

צור שמות כינויים

1. נְקִישָׁה רשת >> כינויים >> יצירת כינוי IP.
2. הזן כתובת ה-IP של הנתב הראשון.
3. הזן שם שמזהה אותו בקלות.
4. לחץ על החל לַחְצָן.
5. חזור על התהליך כדי להוסיף שם כינוי עבור הנתב השני.

צור חוות DSLB

1. נְקִישָׁה DSLB >> חוות >> יצירת חווה.
2. הזן שם לזהות בקלות את החווה הזו.
3. בחר IP וירטואלי כתובת. כתובת IP זו תשמש כשער עבור מאזן העומס שלך.



4. לחץ על החל לחצן כדי לשמור את התצורות.

צור שירות

1. לחץ על שירותים Tab.
2. עבור תצורות Active-Pasive, בחר את מתזמן מאזן העומס כ עדיפות: חיבורים תמיד לפריו הכי זמין. עבור תצורה זו, אנו נגדיר הגדרה של Active-Active. אנחנו נשתמש משקל: חיבור לינארי המשגר ​​לפי משקל.



3. לחץ על החל לחצן כדי לשמור את התצורות.

הוסף backends

1. בקטע Backends, לחץ על צור קצה אחורי לַחְצָן.
2. בתוך כינוי סעיף, בחר את שם הכינוי של ספק האינטרנט הראשון או הנתב הראשון.
3. בחר מִמְשָׁק של הנתב הראשון.



4. לחץ על החל לַחְצָן.
5. חזור על התהליך כדי להוסיף את הנתב השני. ברירת המחדל עדיפות ו מִשׁקָל הוא 1.



6. בפינה הימנית העליונה, אתר פעולות ולחץ על כפתור ההפעלה הירוק כדי להפעיל את החווה.

למשאבים נוספים, ארכיטקטורה ועיצוב על איזון עומסים Uplink עם ZEVENET, קרא: מדריך התחלה מהירה עבור קישורי עומס איזון.

תצורות לדוגמה: אבטחה (WAAP)/תצורות

WAAP היא מערכת אבטחה המספקת הגנה על יישומי אינטרנט ו-API מפני איומי סייבר. WAAPs משתמשים בטכנולוגיות מתקדמות כמו אוטומציה ולמידת מכונה כדי לזהות ולחסום תעבורה זדונית, כולל הזרקת SQL, סקריפטים חוצי אתרים והתקפות נפוצות אחרות. א WAAP יש תכונות כמו חומות אש בשכבת יישומים, הגנת DoS ומניעת חדירה. תכונות מתקדמות אלו מספקות פתרון אבטחה חזק ומקיף יותר. ZEVENET מיישמת WAAP דרך מודול ה-IPDS.

נתאר את תצורות האבטחה של Fortinet עם Fortigate וכיצד ליישם פונקציונליות דומה ב-ZEVENET. עבור דוגמה זו, נתמקד ב-a WAF.

תצורות Fortinet

אלו הן תצורות Fortinet שאנו נבסס ליצירת תצורות ZEVENET WAF. כדי לגשת לתצורות אלו, התקן מוצר נפרד, FortiGate, אותו תקשר ל-FortiADC שלך.

הוראות

1. נְקִישָׁה מערכת >> הגדרות.
2. גלול עד ל מצב בדיקה סעיף, שנה מ מבוסס זרימה ל פרוקסי, ולחץ על החל לַחְצָן.
3. לאחר שינוי מצב הבדיקה, לחץ מדיניות אבטחה >> חומת אש של אפליקציות אינטרנט.
4. בתוך חתימות טבלה, הפעל את כל צורות הגנת WAF על ידי לחיצה על לחצן החלף. אלו כוללים SQL Injection, התקפות גנריות, סוסים טרויאניים, מעללים ידועים, רובוט גרוע, וכו '
5. בתוך אילוצים טבלה, לאפשר לאילוצים להגביל אורך תוכן, אורך כותרת, אורך הפרמטר הכולל של כתובת האתר, וכו '
6. גלול למטה אכיפת מדיניות שיטת HTTP.
7. הקצה א החברים אתה רוצה להגן על ידי לחיצה מדיניות ואובייקטים >> כתובות IP וירטואליות.
8. הקצה א שם עבור ה-VIP.
9. בחר מִמְשָׁק שעליו ה-ADC שלך החברים הוגדר.
10. הזן כתובת/טווח IP חיצוניים
11. הזן כתובת/טווח IP ממופה
12. לחץ על OK לחצן כדי לשמור את התצורות.
13. צור מדיניות IPV4 על ידי לחיצה מדיניות ואובייקטים >> מדיניות IPV4.
14. הקצה את מדיניות IPV4 א שם.
15. הוסף נכנס ו ממשק יוצא.
16. חוץ מָקוֹר תווית, בחר הכול.
17. חוץ מזה יַעַד, בחר את החברים כתובת שיצרת.
18. בתוך פרופילי אבטחה, הפעל את חומת אש של יישומי אינטרנט אוֹפְּצִיָה.
19. בתוך אפשרויות רישום, הפעל יומן תנועה מותרת ל הכול מושבים.
20. לחץ על OK לַחְצָן.

תצורות ZEVENET

ל-ZEVENET IPDS יש לא רק יכולות WAAP אלא לחומת האש של אפליקציות האינטרנט שלה יש יכולות WAF מהדור הבא. מודול ה-IPDS מציע הגנת DoS, חומת אש של אפליקציות אינטרנט עם תכונות חזקות, RBL ומדיניות רשימה שחורה.

אנו נתמקד בהקמת WAF כדי להגן מפני פגיעויות OWASP ב-ZEVENET ADC. כברירת מחדל, ZEVENET מגיע עם כללים מובנים. חלק מהכללים הללו כוללים REQUEST-903-9003-NEXTCLOUD-EXCLUSION-RULES, REQUEST-903-9002-WORDPRESS-EXCLUSION-RULES, REQUEST-931-APPLICATION-ATTACK-RFI וכו'.

בחלק זה, נכין ערכת כללים מותאמת אישית.

הוראות

צור ערכת כללים

1. נְקִישָׁה IPDS >> WAF >> ערכות כללים.
2. לחץ על צור ערכת חוקים של WAF לַחְצָן.
3. הקצה א שם כדי לזהות את מערכת הכללים.
4. ב העתק את ערכת החוקים בשדה, תוכל לבחור מהרשימה הנפתחת. להדגמה זו, נשתמש -ללא ערכת כללים-
5. אתה יכול להקצות את פעולת ברירת מחדל as דחה: חתוך את הבקשה ואל תבצע כללים שמאלה.
6. לחץ על החל לַחְצָן.

הוסף כלל

1. לאחר יצירת קבוצת כללים, עלינו להחיל כלל על קבוצת כללים זו. לחץ על חוקי TAB.
2. לחץ על חוק חדש לַחְצָן.
3. ישנן 3 סוגי כללים, אנו בוחרים פעולה.
4. בחר את שלב: גוף הבקשה מתקבל.
5. בתוך החלטות שדה, בחר דחה: חתוך את הבקשה ואל תבצע כללים שנשארו ולבסוף להוסיף א תיאור עבור הכלל.
6. לחץ על החל לחצן כדי לשמור את התצורות.

הוסף תנאים

1. לחץ על הכלל שיצרת זה עתה וגלול אל תנאים סָעִיף.
2. סעיף התנאים הוא המקום בו אנו מציינים מאיזה סוג של התקפה יש להגן. לחץ על צור תנאים לַחְצָן.
3. בתוך מִשְׁתַנֶה שדה, בחר שיטות או נתיבים שהתקפה תשתמש ככל הנראה כדי לגשת לשירותים שלך. בדוגמה זו, נוסיף REQUEST_URI ו REQUEST_BODY.
4. בתוך מַפעִיל בסעיף, בחר כלל שאתה רוצה להגן מפניו. חלק מהכללים הם verifyCreditCard, verifySSN, validateUTF8Encoding, detectXXS, detectSQLi וכו'. עבור דוגמה זו, נשתמש לוודא.
5. עבור אופרטור זה, הוסף ביטוי רגולרי בפורמט PCRE. בהנחה שאנו מאמתים כרטיסי ויזה, נשתמש בביטוי הרגיל

   ^4[0-9]{12}(?:[0-9]{3})?$

   בתוך הפעלה שדה. שים לב שחלק מהמפעילים אינם דורשים את פרמטר ההפעלה.

6. לחץ על החל לחצן כדי ליצור את התנאי.
7. בפינה הימנית העליונה ב- פעולה בקטע, לחץ על לחצן ההפעלה הירוק כדי להפעיל את הכלל.

עם כלל זה במקום, כעת תוכל להוסיף אותו לחווה שעליה תרצה להגן.
למידע נוסף על ZEVENET WAF, קרא IPDS | WAF | עדכון

משאבים נוספים

הגדרת תעודות SSL עבור מאזן העומס.
שימוש בתוכנית Let's encrypt ליצירה אוטומטית של אישור SSL.
איזון עומסי DNS עם ZEVENET ADC.
הגנה מפני התקפות DDoS.
ניטור אפליקציות, בריאות ורשת ב-ZEVENET ADC.