Conteúdo
Visão geral
A leitura deste artigo mostra que você está considerando outras opções de ADC além do Sangfor e possivelmente determinando se o ZEVENET forneceria as necessidades para o seu negócio. Sangfor anunciou o fim da vida (venda) para alguns de seus produtos de segurança e rede. ZEVENET é o que você precisa para levar suas necessidades de negócios para a próxima aventura.
Ao contrário do Sangfor, o ZEVENET fornece todos os recursos que um ADC requer para funcionar com eficiência. Isso inclui balanceamento de carga das camadas 4 e 7, segurança de rede e aplicativos da Web, alta disponibilidade, balanceamento de carga global, etc.
Este artigo demonstrará algumas configurações baseadas em Sangfor IAM e NGAF. Isso ajudará a se adaptar rapidamente ao ZEVENET.
Pré-requisitos
Para migrar de Sangfor ADC para ZEVENET, certifique-se de esgotar os seguintes pré-requisitos.
- Instale uma Instância do ZEVENET ADC em seu PC, bare-metal, ambiente virtual ou um plataforma na nuvem. Para implantação no local, solicite uma avaliação.
- Obtenha acesso à interface do usuário da Web seguindo este rápido Guia de instalação.
- Certifique-se de que você ainda está familiarizado com os conceitos da Sangfor Networking. Discutiremos mais sobre eles na seção abaixo.
- Aprenda a criar um servidor virtual no balanceador de carga ZEVENET seguindo o guia: Configuração do servidor virtual de camada 4 e camada 7.
Conceitos Básicos
Balanceamento de carga do link: Essa funcionalidade no Sangfor NGAF permite que o tráfego de saída se equilibre entre várias conexões WAN, evitando o tempo de inatividade no caso de um ISP cair. ZEVENET implementa o balanceamento de carga do link através do DSLB Fazenda.
NGAF: Este firewall de próxima geração fornece a funcionalidade de segurança para proteger uma rede de cargas maliciosas. Inclui proteção de aplicativos da web, controle de acesso, IPS, etc. ZEVENET usa o IPDS módulo para fornecer a funcionalidade de firewall Next-Gen. O módulo IPDS fornece proteção de API, proteção de aplicativo da web, RBL, listas negras, etc.
Alta disponibilidade: Mantém o tempo de atividade de uma rede em configurações de par ativo-passivo ou ativo-ativo. Em caso de falha de evento de um nodo mestre ou de um nodo em situação ativo-ativo, a Rede mudará para o nodo íntegro. ZEVENET implementa alta disponibilidade por meio de um cluster. Pode-se navegar por Sistema >> Cluster.
Controle de acesso: Essa funcionalidade nega ou permite acesso a um único IP ou faixa de IP. Esses IPs podem ser IPs de spammers. Pode-se também negar o acesso ou permitir localizações geográficas inteiras usando o controle de acesso. A ZEVENET implementa o controle de acesso através IPDS >> Listas negras. Pode-se configurar Fontes como "Local" ou "Remoto".
Descriptografia e inspeção de SSL: Para que o firewall monitore o tráfego HTTPS criptografado de forma eficaz, é necessário habilitar a Descriptografia SSL para que o firewall inspecione e filtre todas as cargas maliciosas. O ZEVENET oferece funcionalidade semelhante em um Farm HTTPS. Pode-se configurar Cifras para “SSL Offloading” para descriptografar o tráfego SSL.
VPN IPSEC: Essa funcionalidade Sangfor VPN permite a conexão site a site das redes das filiais de uma empresa à sede por meio de um túnel seguro. Para habilitar uma VPN site a site no ZEVENET, acesse Rede >> VPN e criar um ZSS (site a site) perfil.
Exemplo de configurações: IPSEC VPN
Uma VPN site a site permite conexões seguras de duas ou mais redes privadas pela Internet. Por exemplo, você pode precisar conectar as filiais de uma organização à sua sede e deixá-las funcionar como se estivessem na mesma rede privada.
O IPSec costuma ser o protocolo usado. Este protocolo fornece criptografia de dados, integridade e autenticação entre os pares participantes, tanto ZEVENET quanto Sangfor VPNs vêm com funcionalidade VPN site a site.
Se você estiver migrando do Sangfor, esta seção demonstrará ambas as configurações para uma transição mais fácil.
Configurações do Sangfor
Com o Sangfor, pode-se configurar as configurações de Branch e HQ separadamente. Vamos começar com as configurações do Branch.
Criar Interface VPN
- Create VPN >> VPN IPSec >> Interface VPN.
- Na seção Interfaces, clique no botão Adicionar botão.
- Selecione uma interface no menu suspenso.
- Digite um Máscara de rede E clique no Salvar botão.
- Clique na marca de seleção na interface para ativar seu status.
- Na série IP da Interface VPN seção, digite o Endereço IP e clique Salvar.
Criar configurações básicas
- Clique VPN >> VPN IPSec >> Noções básicas.
- Introduzir o WebAgent Primário(Tomada Primária).
- Garantir a Valor MTU (224-2000) é “1500”.
- Deixe o Porta de escuta padrão como “4009”.
- Clique na Salvar botão.
Adicionar usuários locais
- Clique VPN >> IPSec VPN >> Usuários locais.
- Clique no botão Novo Usuário.
- Introduzir o Nome de Utilizador para identificar um ramo.
- Digite um Palavra-passe para esse usuário e confirme.
- Selecione os Autenticação método como "Local".
- Selecione os Algoritmo como “DES”.
- Selecione os Tipo de usuário como "Usuário da filial".
- Selecione os Grupo de Usuários, ou deixe-o como um "Grupo padrão".
- Clique na Salvar botão.
Estas são as configurações do HQ onde todas as filiais irão se conectar.
Adicionar uma interface virtual
- Clique VPN >> VPN IPSec >> Interface VPN.
- Clique na Adicionar botão dentro da seção Interface.
- Selecione uma rede Interface para sua VPN.
- Introduzir o Máscara de rede E clique no Salvar botão.
- Dentro do IP da Interface VPN seção, digite o Endereço IP em IPV4 e clique no botão Salvar botão.
Adicionar conexões VPN
- Clique VPN >> VPN IPSec >> conexões VPN.
- Clique na Adicionar botão.
- Digite um Nome para identificar esta conexão.
- Dentro do WebAgent Primário campo, digite o soquete webAgent, por exemplo, 192.168.0.102:4009.
- Entre na Filial Nome de Utilizador, Palavra-passee confirmação PWD.
- Pode-se monitorar as configurações através do Estado Navegação.
configurações ZEVENET
Nesta seção, usaremos as configurações anteriores do Sangfor para definir as configurações ZEVENET IPSec com o perfil Site-site-site VPN.
Perfil de VPN
- Clique Rede >> VPN >> Criar VPN.
- Digite um Nome para identificar a VPN.
- Selecione a VPN Perfil como "ZSS (Site to Site)".
- A Autenticação método é um segredo. Introduzir um Palavra-passe para este perfil.
Configurações do gateway local
- Introduzir o Gateway Local* em IPV4 ou IPV6.
- Digite a sub-rede no campo Rede local/CIDR*.
Configurações do gateway remoto
- Introduzir o Gateway Remoto* em IPV4 ou IPV6.
- Digite a sub-rede no campo Rede remota/CIDR*
Configurações da Fase 1 do IKE
- Selecione um adequado Autenticação* métodos).
- Selecione adequado Criptografia* métodos.
- Selecione o necessário grupo DH(S).
Configurações da Fase 2 do IKE
- Selecione os Protocolo como "AH" ou "ESP".
- Selecione um adequado Autenticação métodos).
- Selecione semelhante Criptografia(s) como na Fase 1.
- Selecione os grupo DH(s) como na Fase 1.
- Selecione um Função pseudo-aleatória(s) de sua preferência.
- Clique na Aplicar botão para salvar as configurações.
Para mais recursos, leia:
Compreendendo os modos VPN IPSec
Rede | VPN | Crio
Exemplos de configurações: alta disponibilidade
Com redes em expansão e números crescentes de usuários, as organizações precisam de uma infraestrutura de rede para funcionar de forma contínua e confiável sem interrupção, mesmo durante falha de componente ou manutenção planejada. Com produtos como o ZEVENET, podemos conseguir isso por meio de mecanismos de redundância e failover que minimizam o tempo de inatividade e garantem que aplicativos e serviços críticos estejam sempre acessíveis.
À medida que você migra do Sangfor, descreveremos as configurações do Sangfor e do ZEVENET para abordar funcionalidades semelhantes.
Configurações do Sangfor
- Clique Sistema >> Rede >> Alta Disponibilidade.
- Para configurações Ativo-Passivo, clique no botão Active-Standby opção.
- Clique no Configurações botão para abrir a página de configurações.
- Colocou o Nome do dispositivo.
- Selecione os Prioridade do dispositivo atual como Alto ou Baixo. A prioridade nos dispositivos ativos e em espera não pode ser a mesma.
fundamentos básicos
- Na página Básico, selecione o Link principal em Interfaces de rede e insira o IP remoto.
- Opcionalmente, selecione o Link Secundário das interfaces de rede e digite o IP remoto.
- Digite um segredo partilhado para os dispositivos aderirem à Alta Disponibilidade.
- Na série Grupo de Interface Rastreado seção, escolha Interfaces de produção.
- Clique Próximo para ir para a página Detecção.
Detecção
- Colocou o Tempo limite de pulsação em segundos.
- permitir Sonda ARP para o dispositivo.
- Introduzir o Sonda IP Endereço, Tempo limite de detecção (seg), Intervalo de Recuperação de Detecção (s)e Intervalo de detecção (ms).
- permitir Sonda ICMP e insira um IP ou domínio para teste de sondagem.
- Clique Próximo para ir para a guia Ações.
Açao Social
- Garantir a Remova a capacidade de rastreamento das interfaces caixa de seleção está desativada.
- Clique Próximo para mudar para a guia Avançado.
Avançado
- Certifique-se de ter ativado Atualizações simultâneas.
- Clique na COMPROMETA-SE botão para salvar as configurações. O dispositivo exigirá um novo login.
- Repita as configurações no dispositivo em espera. No entanto, certifique-se de que a prioridade esteja definida como baixa.
Configurações ZEVENET
Nesta seção, vamos configurar o HA para mostrar funcionalidade semelhante ao que descrevemos no Sangfor anterior.
- Clique Sistema >> Cluster.
- Selecione os IP local endereço do Nó Local das Interfaces.
- Introduzir o IP remoto do nó remoto.
- Introduzir o Senha do Nó Remoto.
- Digite novamente a senha para Confirme a senha do nó remoto.
- Clique na Aplicar botão para salvar as configurações.
- Dentro do configurar cluster seção, clique no botão de edição com o ícone de lápis ao passar o mouse sobre o nó remoto configurado.
- Para HA ativo-ativo, viva o Failback para “desativado”. Para configurações ativo-passivo, altere o failback para o do dispositivo atual.
- Para verificações de pulsação, insira um Verifique o intervalo.
- Clique na Aplicar botão para salvar.
Para obter mais recursos sobre alta disponibilidade, leia: Sistema | Grupo
Para recursos de vídeo, assista
Recursos adicionais
Configuração do firewall do aplicativo da Web.
Configurando certificados SSL para o balanceador de carga.
Usando o programa Let's encrypt para gerar automaticamente um certificado SSL.
Balanceamento de carga Datalink/Uplink Com ZEVENET ADC.
Balanceamento de carga DNS com ZEVENET ADC.