Como migrar configurações ADC de Sangfor para ZEVENET

PUBLICADO EM 7 de fevereiro de 2023

Visão geral

A leitura deste artigo mostra que você está considerando outras opções de ADC além do Sangfor e possivelmente determinando se o ZEVENET forneceria as necessidades para o seu negócio. Sangfor anunciou o fim da vida (venda) para alguns de seus produtos de segurança e rede. ZEVENET é o que você precisa para levar suas necessidades de negócios para a próxima aventura.

Ao contrário do Sangfor, o ZEVENET fornece todos os recursos que um ADC requer para funcionar com eficiência. Isso inclui balanceamento de carga das camadas 4 e 7, segurança de rede e aplicativos da Web, alta disponibilidade, balanceamento de carga global, etc.

Este artigo demonstrará algumas configurações baseadas em Sangfor IAM e NGAF. Isso ajudará a se adaptar rapidamente ao ZEVENET.

Pré-requisitos

Para migrar de Sangfor ADC para ZEVENET, certifique-se de esgotar os seguintes pré-requisitos.

  1. Instale uma Instância do ZEVENET ADC em seu PC, bare-metal, ambiente virtual ou um plataforma na nuvem. Para implantação no local, solicite uma avaliação.
  2. Obtenha acesso à interface do usuário da Web seguindo este rápido Guia de instalação.
  3. Certifique-se de que você ainda está familiarizado com os conceitos da Sangfor Networking. Discutiremos mais sobre eles na seção abaixo.
  4. Aprenda a criar um servidor virtual no balanceador de carga ZEVENET seguindo o guia: Configuração do servidor virtual de camada 4 e camada 7.

Conceitos Básicos

Balanceamento de carga do link: Essa funcionalidade no Sangfor NGAF permite que o tráfego de saída se equilibre entre várias conexões WAN, evitando o tempo de inatividade no caso de um ISP cair. ZEVENET implementa o balanceamento de carga do link através do DSLB Fazenda.

NGAF: Este firewall de próxima geração fornece a funcionalidade de segurança para proteger uma rede de cargas maliciosas. Inclui proteção de aplicativos da web, controle de acesso, IPS, etc. ZEVENET usa o IPDS módulo para fornecer a funcionalidade de firewall Next-Gen. O módulo IPDS fornece proteção de API, proteção de aplicativo da web, RBL, listas negras, etc.

Alta disponibilidade: Mantém o tempo de atividade de uma rede em configurações de par ativo-passivo ou ativo-ativo. Em caso de falha de evento de um nodo mestre ou de um nodo em situação ativo-ativo, a Rede mudará para o nodo íntegro. ZEVENET implementa alta disponibilidade por meio de um cluster. Pode-se navegar por Sistema >> Cluster.

Controle de acesso: Essa funcionalidade nega ou permite acesso a um único IP ou faixa de IP. Esses IPs podem ser IPs de spammers. Pode-se também negar o acesso ou permitir localizações geográficas inteiras usando o controle de acesso. A ZEVENET implementa o controle de acesso através IPDS >> Listas negras. Pode-se configurar Fontes como "Local" ou "Remoto".

Descriptografia e inspeção de SSL: Para que o firewall monitore o tráfego HTTPS criptografado de forma eficaz, é necessário habilitar a Descriptografia SSL para que o firewall inspecione e filtre todas as cargas maliciosas. O ZEVENET oferece funcionalidade semelhante em um Farm HTTPS. Pode-se configurar Cifras para “SSL Offloading” para descriptografar o tráfego SSL.

VPN IPSEC: Essa funcionalidade Sangfor VPN permite a conexão site a site das redes das filiais de uma empresa à sede por meio de um túnel seguro. Para habilitar uma VPN site a site no ZEVENET, acesse Rede >> VPN e criar um ZSS (site a site) perfil.

Exemplo de configurações: IPSEC VPN

Uma VPN site a site permite conexões seguras de duas ou mais redes privadas pela Internet. Por exemplo, você pode precisar conectar as filiais de uma organização à sua sede e deixá-las funcionar como se estivessem na mesma rede privada.

O IPSec costuma ser o protocolo usado. Este protocolo fornece criptografia de dados, integridade e autenticação entre os pares participantes, tanto ZEVENET quanto Sangfor VPNs vêm com funcionalidade VPN site a site.

Se você estiver migrando do Sangfor, esta seção demonstrará ambas as configurações para uma transição mais fácil.

Configurações do Sangfor

Com o Sangfor, pode-se configurar as configurações de Branch e HQ separadamente. Vamos começar com as configurações do Branch.

Criar Interface VPN

  1. Crie VPN >> VPN IPSec >> Interface VPN.
  2. Na seção Interfaces, clique no botão Adicionar botão.
  3. Selecione uma interface no menu suspenso.
  4. Digite um Máscara de rede E clique no Salvar botão.
  5. Clique na marca de seleção na interface para ativar seu status.
  6. Na série IP da Interface VPN seção, digite o Endereço IP e clique Salvar.

Criar configurações básicas

  1. Clique VPN >> VPN IPSec >> Noções básicas.
  2. Introduzir o WebAgent Primário(Tomada Primária).
  3. Garantir a Valor MTU (224-2000) é “1500”.
  4. Deixe o Porta de escuta padrão como “4009”.
  5. Clique na Salvar botão.

Adicionar usuários locais

  1. Clique VPN >> IPSec VPN >> Usuários locais.
  2. Clique no botão Novo Usuário.
  3. Introduzir o Nome de Utilizador para identificar um ramo.
  4. Digite um Palavra-passe para esse usuário e confirme.
  5. Selecione os Autenticação método como "Local".
  6. Selecione os Algoritmo como “DES”.
  7. Selecione os Tipo de usuário como "Usuário da filial".
  8. Selecione os Grupo de Usuários, ou deixe-o como um "Grupo padrão".
  9. Clique na Salvar botão.

Estas são as configurações do HQ onde todas as filiais irão se conectar.

Adicionar uma interface virtual

  1. Clique VPN >> VPN IPSec >> Interface VPN.
  2. Clique na Adicionar botão dentro da seção Interface.
  3. Selecione uma rede Interface para sua VPN.
  4. Introduzir o Máscara de rede E clique no Salvar botão.
  5. Dentro do IP da Interface VPN seção, digite o Endereço IP em IPV4 e clique no botão Salvar botão.

Adicionar conexões VPN

  1. Clique VPN >> VPN IPSec >> conexões VPN.
  2. Clique na Adicionar botão.
  3. Digite um Nome para identificar esta conexão.
  4. Dentro do WebAgent Primário campo, digite o soquete webAgent, por exemplo, 192.168.0.102:4009.
  5. Entre na Filial Nome de Utilizador, Palavra-passee confirmação PWD.
  6. Pode-se monitorar as configurações através do Estado Navegação.

configurações ZEVENET

Nesta seção, usaremos as configurações anteriores do Sangfor para definir as configurações ZEVENET IPSec com o perfil Site-site-site VPN.

Perfil de VPN

  1. Clique Rede >> VPN >> Criar VPN.
  2. Digite um Nome para identificar a VPN.
  3. Selecione a VPN Perfil como "ZSS (Site to Site)".
  4. O Autenticação método é um segredo. Introduzir um Palavra-passe para este perfil.

Configurações do gateway local

  1. Introduzir o Gateway Local* em IPV4 ou IPV6.
  2. Digite a sub-rede no campo Rede local/CIDR*.

Configurações do gateway remoto

  1. Introduzir o Gateway Remoto* em IPV4 ou IPV6.
  2. Digite a sub-rede no campo Rede remota/CIDR*

Configurações da Fase 1 do IKE

  1. Selecione um adequado Autenticação* métodos).
  2. Selecione adequado Criptografia* métodos.
  3. Selecione o necessário grupo DH(S).

Configurações da Fase 2 do IKE

  1. Selecione os Protocolo como "AH" ou "ESP".
  2. Selecione um adequado Autenticação métodos).
  3. Selecione semelhante Criptografia(s) como na Fase 1.
  4. Selecione os grupo DH(s) como na Fase 1.
  5. Selecione um Função pseudo-aleatória(s) de sua preferência.
  6. Clique na Inscreva-se botão para salvar as configurações.

Para mais recursos, leia:
Compreendendo os modos VPN IPSec
Rede | VPN | Crio

Exemplos de configurações: alta disponibilidade

Com redes em expansão e números crescentes de usuários, as organizações precisam de uma infraestrutura de rede para funcionar de forma contínua e confiável sem interrupção, mesmo durante falha de componente ou manutenção planejada. Com produtos como o ZEVENET, podemos conseguir isso por meio de mecanismos de redundância e failover que minimizam o tempo de inatividade e garantem que aplicativos e serviços críticos estejam sempre acessíveis.
À medida que você migra do Sangfor, descreveremos as configurações do Sangfor e do ZEVENET para abordar funcionalidades semelhantes.

Configurações do Sangfor

  1. Clique Sistema >> Rede >> Alta Disponibilidade.
  2. Para configurações Ativo-Passivo, clique no botão Ativo-Espera opção.
  3. Clique no Configurações botão para abrir a página de configurações.
  4. Colocou o Nome do dispositivo.
  5. Selecione os Prioridade do dispositivo atual como Alto ou Baixo. A prioridade nos dispositivos ativos e em espera não pode ser a mesma.

fundamentos básicos

  1. Na página Básico, selecione o Link principal em Interfaces de rede e insira o IP remoto.
  2. Opcionalmente, selecione o Link Secundário das interfaces de rede e digite o IP remoto.
  3. Digite um segredo partilhado para os dispositivos aderirem à Alta Disponibilidade.
  4. Na série Grupo de Interface Rastreado seção, escolha Interfaces de produção.
  5. Clique Próximo para ir para a página Detecção.

Detecção

  1. Colocou o Tempo limite de pulsação em segundos.
  2. permitir Sonda ARP para o dispositivo.
  3. Introduzir o Sonda IP Endereço, Tempo limite de detecção (seg), Intervalo de Recuperação de Detecção (s)e Intervalo de detecção (ms).
  4. permitir Sonda ICMP e insira um IP ou domínio para teste de sondagem.
  5. Clique Próximo para ir para a guia Ações.

Açao Social

  1. Garantir a Remova a capacidade de rastreamento das interfaces caixa de seleção está desativada.
  2. Clique Próximo para mudar para a guia Avançado.

Avançado

  1. Certifique-se de ter ativado Atualizações simultâneas.
  2. Clique na COMPROMETA-SE botão para salvar as configurações. O dispositivo exigirá um novo login.
  3. Repita as configurações no dispositivo em espera. No entanto, certifique-se de que a prioridade esteja definida como baixa.

Configurações ZEVENET

Nesta seção, vamos configurar o HA para mostrar funcionalidade semelhante ao que descrevemos no Sangfor anterior.

  1. Clique Sistema >> Cluster.
  2. Selecione os IP local endereço do Nó Local das Interfaces.
  3. Introduzir o IP remoto do nó remoto.
  4. Introduzir o Senha do Nó Remoto.
  5. Digite novamente a senha para Confirme a senha do nó remoto.
  6. Clique na Inscreva-se botão para salvar as configurações.
  7. Dentro do configurar cluster seção, clique no botão de edição com o ícone de lápis ao passar o mouse sobre o nó remoto configurado.
  8. Para HA ativo-ativo, viva o Failback para “desativado”. Para configurações ativo-passivo, altere o failback para o do dispositivo atual.
  9. Para verificações de pulsação, insira um Verifique o intervalo.
  10. Clique na Inscreva-se botão para salvar.

Para obter mais recursos sobre alta disponibilidade, leia: Sistema | Grupo

Para recursos de vídeo, assista

Recursos adicionais

Configuração do firewall do aplicativo da Web.
Configurando certificados SSL para o balanceador de carga.
Usando o programa Let's encrypt para gerar automaticamente um certificado SSL.
Balanceamento de carga Datalink/Uplink Com ZEVENET ADC.
Balanceamento de carga DNS com ZEVENET ADC.

Compartilhar no:

Documentação sob os termos da Licença de Documentação Livre GNU.

Esse artigo foi útil?

Artigos Relacionados