Conteúdo
Visão geral
O FortiADC é um controlador de entrega de aplicativos desenvolvido pela Fortinet. O objetivo é fornecer segurança de aplicativos, gerenciamento de tráfego e disponibilidade de aplicativos executados em servidores. No entanto, o ZEVENET tem vantagem na implantação e disponibilidade da nuvem. Pode-se criar uma conta na nuvem através ZVNcloud, ou implemente um nó diretamente de AWS ou Microsoft Azul mercado.
Se você precisar de um ADC mais flexível com recursos de segurança de próxima geração, balanceamento de carga de camada 4 e 7, balanceamento de carga global, balanceamento de carga de link, etc., segure firme. Neste artigo, discutiremos os conceitos do FortiADC e usaremos esses conceitos para fazer configurações semelhantes no ZEVENET ADC.
Pré-requisitos
Aqui estão os pré-requisitos antes de migrar do FortiADC para o ZEVENET ADc.
- Uma instância do ZEVENET ADC deve ser instalada em sua estação de trabalho, bare metal, ambiente virtual ou com ZVNcloud. Para implantação no local, solicite uma avaliação.
- Deve ter acesso à interface gráfica da Web. Se você não fizer isso, siga este rápido Guia de instalação.
- Deve estar familiarizado com o FortiADC e conhecer seus conceitos.
- Você deve ser capaz de criar um servidor virtual com ZEVENET. Siga este guia: Configuração do servidor virtual de camada 4 e camada 7.
Conceitos Básicos
Balanceamento de carga do link: O balanceamento de carga do link refere-se à distribuição do tráfego de rede em vários WAN conexões ou ISPs para otimizar o desempenho da rede e aumentar a confiabilidade. A confiabilidade ocorre usando uplinks para diferentes ISPs para redundância. Se um ISP cair, ocorre o failover para o serviço disponível. O ZEVENET fornece um sistema de failover de uplink integrado para balanceamento de carga de link por meio de DSLB.
Balanceamento de carga global: O balanceamento de carga global refere-se à distribuição do tráfego de rede em vários servidores ou recursos em diferentes data centers localizados em várias localizações geográficas para fornecer uma melhor experiência de usuário para clientes nessas regiões. A ZEVENET possui uma solução robusta para balanceamento de carga entre data centers usando o GSLB módulo.
Alta disponibilidade: Alta disponibilidade é a capacidade de um sistema, aplicativo ou serviço permanecer operacional e acessível aos usuários com o mínimo de tempo de inatividade. Pode-se obter alta disponibilidade por meio da criação de mecanismos de failover, que permitem que o sistema alterne automaticamente para um recurso de backup ou secundário em caso de falha. Pode-se alcançar HA através de um Agrupar em ZEVENET ADC.
Balanceamento de carga do servidor: Refere-se ao balanceamento de carga do tráfego da Web de entrada em uma rede local privada. A ZEVENET fornece o LSLB módulo para balanceamento de carga, inspeção e controle de tráfego local.
Pools de servidores: Um pool de servidores é um grupo de servidores reais configurados para trabalhar juntos para fornecer um serviço ou aplicativo específico. Pode-se configurar um pool de servidores no ZEVENET ADC criando um e eficaz.
Registro e relatórios: O log e o relatório fornecem a capacidade de rastrear e analisar o desempenho de um balanceador de carga e dos servidores em um pool, incluindo informações como tráfego de entrada, uso de recursos e erros. ZEVENET fornece um sistema de Logging através Sistema >> Registros. Para relatórios, pode-se acessar Sistema >> Notificações. As notificações incluem e-mails e alertas.
Segurança: Todos os aplicativos baseados na Web precisam de sistemas de segurança para monitorar e filtrar o tráfego de entrada para um balanceador de carga para eliminar o tráfego malicioso ou permitir o acesso a uma geolocalização especificada. Pode-se conseguir essa funcionalidade através do IPDS módulo ao usar o ZEVENET. Este módulo fornece WAF, DoS proteção, um RBLe As listas negras.
Servidores reais: Servidores reais são os servidores físicos ou virtuais que fazem parte de um pool de servidores e lidam com o processamento e a entrega de solicitações. Esses servidores são responsáveis por executar os aplicativos ou serviços fornecidos aos clientes. Servidores reais são os mesmos que Backends em ZEVENET ADC.
Servidor virtual: Um servidor virtual é uma interface frontal com um ouvinte, IP e porta para receber o tráfego da Web e, em seguida, distribuir esse tráfego para um pool de servidores ou serviço apropriado. O ZEVENET fornece funcionalidade semelhante por meio de um Fazenda.
Verificações de saúde: São comandos que monitoram a disponibilidade dos Backends e dos serviços que estão prestando. Eles conseguem isso executando comandos ICMP ou HTTP personalizados para rastrear a disponibilidade do serviço. O ZEVENET fornece mecanismos de integridade pré-carregados e uma maneira de fazer verificações de integridade personalizadas por meio de Farmguardian.
Exemplos de configurações: balanceamento de carga do link
Quando os servidores host ficam carregados com processos e solicitações, uma estratégia de saída que distribui esse tráfego por várias WANs deve ser utilizada para responder a essas solicitações rapidamente, evitando um gargalo na rede e desempenho lento. Essa estratégia de saída exige balanceamento de carga de uplink. Em termos de custo, pode-se reduzir o custo da largura de banda da Internet usando vários links de Internet de baixo custo, em vez de um link de alto custo.
Tanto Zevenet quanto Fortinet oferecem balanceamento de carga de link. O balanceador de carga de link do Zevenet faz parte de um pacote ADC e vem através do DSLB módulo.
Vamos configurar o balanceamento de carga de Uplink Ativo-Ativo com Zevenet ADC baseando-se nas configurações do FortiGate.
Configurações do Fortinet
Essas configurações do Fortinet atuarão como nossa base ao migrar as configurações de Uplink do Fortinet para o ZEVENET. A suposição é que você já está familiarizado com eles, então será mais fácil seguir adiante.
Adicionar links de gateway
- Clique Equilíbrio de carga do link >> Grupo de links >> Gateway.
- Digite um Nome para identificar um roteador, por exemplo, WAN1, WAN2, ISP1 ou ISP2.
- Digite o roteador Endereço IP.
- Opcionalmente Ativar verificações de integridade.
- Colocou o Largura de banda de entrada.
- Colocou o Largura de banda de saída.
- conjunto Limite de transbordamento de entrada.
- Defina o Limite de Spillover de Saída.
- Clique na Salvar botão.
Adicionar um grupo de links
- Clique Balanceamento de carga do link >> Grupo de links.
- Digite um Nome para Identificar o Grupo.
- Entrar tipo de endereço como IPV4.
- Para configurações Ativo-Ativo, escolha Método de rota: Round Robin ponderado.
- permitir Rota de Proximidade.
Adicionar membro do link
- Na seção Vincular membro, clique em Criar Nova.
- Digite um Nome para identificar um membro.
- Selecione um Gateway link para o primeiro link.
- Atribuir um peso de 1 e clique no botão Salvar.
- Repita o procedimento para adicionar um segundo membro do Link.
- Clique na Salvar botão para também salvar o grupo de links.
Adicionar uma política de links
- Clique Balanceamento de carga de link >> Política de link.
- Selecione o grupo de links criado anteriormente como o Grupo de links padrão.
- Clique na Salvar botão.
- Clique na Criar Nova para adicionar uma nova política.
- Selecione um Interface de entrada.
- Selecione os Tipo de Origem como endereço e fonte como QUALQUER.
- Selecionar Tipo de destino como serviço e escolha TODOS.
- Selecionar Tipo de grupo como Link Group e utilize o grupo criado anteriormente.
- Clique na Salvar botão.
configurações ZEVENET
Nesta seção, configuraremos o balanceamento de carga de uplink com ZEVENET ADC. A suposição é que você tenha pelo menos 2 roteadores de ISPs diferentes para onde deseja redirecionar seu tráfego de saída. Isso dependerá se você deseja uma conexão ativa-ativa ou passiva ativa.
instruções:
Criar nomes alternativos
- Clique Rede >> Aliases >> Criar alias de IP.
- Introduzir o Endereço IP do primeiro roteador.
- Digite um Nome que o identifica facilmente.
- Clique na Inscreva-se botão.
- Repita o processo para adicionar um nome de alias para o segundo roteador.
Crie uma fazenda DSLB
- Clique DSLB >> Fazendas >> Criar Fazenda.
- Digite um Nome para identificar facilmente esta fazenda.
- Selecione os IP virtual endereço. Esse endereço IP atuará como o gateway para seu balanceador de carga.
- Clique na Inscreva-se botão para salvar as configurações.
Criar um serviço
- Clique no Serviços Aba.
- Para configurações Ativo-Passivo, escolha o agendador do balanceador de carga como Prioridade: conexões sempre ao mais disponível. Para esta configuração, vamos definir uma configuração Ativo-Ativo. Nós vamos usar Peso: conexão linear de despacho por peso.
- Clique na Inscreva-se botão para salvar as configurações.
Adicionar back-end
- Na seção Back-ends, clique no botão Criar back-end botão.
- Dentro do aliás Seção, selecione o nome alternativo do primeiro ISP ou primeiro roteador.
- Selecione os Interface do primeiro roteador.
- Clique na Inscreva-se botão.
- Repita o processo para adicionar o segundo roteador. O padrão Prioridade e Peso é 1.
- No canto superior direito, localize Opções e clique no botão de reprodução verde para ativar a fazenda.
Para obter mais recursos, arquitetura e design sobre balanceamento de carga Uplink com ZEVENET, leia: Guia de início rápido para balanceamento de carga de uplinks.
Exemplos de configurações: Segurança (WAAP)/Configurações
Um WAAP é um sistema de segurança que fornece proteção de aplicativos da Web e API contra ameaças cibernéticas. Os WAAPs usam tecnologias avançadas, como automação e aprendizado de máquina, para detectar e bloquear tráfego mal-intencionado, incluindo injeção de SQL, script entre sites e outros ataques comuns. A WAP tem recursos como firewalls de camada de aplicativo, proteção DoS e prevenção de intrusão. Esses recursos avançados fornecem uma solução de segurança mais robusta e abrangente. ZEVENET Implementa um WAAP através do módulo IPDS.
Descreveremos as configurações de segurança do Fortinet com o Fortigate e como implementar funcionalidades semelhantes no ZEVENET. Para este exemplo, vamos nos concentrar em um WAF.
Configurações do Fortinet
Estas são as configurações do Fortinet que usaremos como base para criar as configurações do ZEVENET WAF. Para acessar essas configurações, instale um produto separado, o FortiGate, que você vinculará ao seu FortiADC.
Instruções
- Clique Sistema >> Configurações.
- Role até o Modo de inspeção seção, mudar de Baseado em fluxo para procuração, e clique no botão Inscreva-se botão.
- Após alterar o modo de inspeção, clique em Políticas de segurança >> Web Application Firewall.
- Dentro do Assinaturas tabela, habilite todas as formas de proteção WAF clicando no botão Alternar. Esses incluem Injeção de SQL, ataques genéricos, Trojans, exploits conhecidos, Robô ruim, etc.
- Dentro do restrições tabela, habilitar restrições para limitar Comprimento do conteúdo, Comprimento do cabeçalho, Comprimento total do parâmetro de URL, etc.
- Role para baixo e Aplicar política de método HTTP.
- Atribuir um VIP você deseja proteger clicando em Política e objetos >> IPs virtuais.
- Atribuir um Nome para o VIP.
- Selecione os Interface em que seu ADC VIP foi configurado.
- Insira um Endereço/intervalo de IP externo
- Digite um Endereço/intervalo IP mapeado
- Clique na OK botão para salvar as configurações.
- Crie uma política IPV4 clicando em Política e Objetos >> Política IPV4.
- Atribua à política IPV4 um Nome.
- Adicione um Entrada e um interface de saída.
- Além do fonte etiqueta, selecione Todos os Produtos.
- Além de Destino, Selecione o VIP Endereço que você criou.
- Dentro do Perfis de segurançaalternar no Firewall de Aplicação Web opção.
- Dentro do Opções de registroalternar Registrar Tráfego Permitido para Todos os Produtos Sessões.
- Clique na OK botão.
configurações ZEVENET
O ZEVENET IPDS não apenas possui recursos WAAP, mas seu Web Application Firewall possui recursos WAF de última geração. O módulo IPDS oferece proteção DoS, um Web Application Firewall com recursos robustos, um RBL e uma política de lista negra.
Vamos nos concentrar na configuração de um WAF para proteger contra as vulnerabilidades OWASP no ZEVENET ADC. Por padrão, o ZEVENET vem com regras embutidas. Algumas dessas regras incluem REQUEST-903-9003-NEXTCLOUD-EXCLUSION-RULES, REQUEST-903-9002-WORDPRESS-EXCLUSION-RULES, REQUEST-931-APPLICATION-ATTACK-RFI, etc.
Nesta seção, faremos um conjunto de regras personalizado.
Instruções
Criar conjunto de regras
- Clique IPDS >> WAF >> Conjuntos de regras.
- Clique na Criar conjunto de regras WAF botão.
- Atribuir um Nome para identificar o conjunto de regras.
- Na série Copiar conjunto de regras campo, você pode escolher na lista suspensa. Para esta demonstração, usaremos –Sem conjunto de regras–
- Você pode atribuir o Ação padrão as Negar: Corte a solicitação e não execute as regras restantes.
- Clique na Inscreva-se botão.
Adicionar uma regra
- Depois de criar um conjunto de regras, devemos aplicar uma regra a esse conjunto de regras. Clique no Regras aba.
- Clique na Nova regra botão.
- Existem 3 Tipos de regras, vamos escolher Açao Social.
- Escolha o Fase: O corpo da solicitação é recebido.
- Dentro do resoluções campo, escolha Negar: corte a solicitação e não execute as regras restantes e finalmente adicionar um Descrição para a regra.
- Clique na Inscreva-se botão para salvar as configurações.
Adicionar condições
- Clique na regra que você acabou de criar e vá até a Condições seção.
- A seção de condições é onde especificamos contra qual tipo de ataque devemos nos proteger. Clique no criar condições botão.
- Dentro do Variável campo, selecione métodos ou caminhos que um ataque provavelmente usaria para acessar seus serviços. Neste exemplo, adicionaremos REQUEST_URI e REQUEST_BODY.
- Dentro do operador seção, escolha uma regra contra a qual deseja se proteger. Algumas das regras são verifiqueCreditCard, verifiqueSSN, validUTF8Encoding, detectXXS, detectSQLi, etc. Para este exemplo, usaremos verifyCreditCard.
- Para este Operador, adicione uma expressão regular no formato PCRE. Supondo que estamos validando cartões Visa, usaremos a expressão regular
^4[0-9]{12}(?:[0-9]{3})?$
dentro do Operativo campo. Observe que alguns Operadores não requerem o parâmetro Operating.
- Clique na Inscreva-se botão para criar a condição.
- No canto superior direito na Açao Social seção, clique no botão jogar verde para ativar a regra.
Com essa regra em vigor, você pode adicioná-la à Fazenda que deseja proteger.
Para saber mais sobre o ZEVENET WAF, leia IPDS | WAF | Atualizar
Recursos adicionais
Configurando certificados SSL para o balanceador de carga.
Usando o programa Let's encrypt para gerar automaticamente um certificado SSL.
Balanceamento de carga DNS com ZEVENET ADC.
Proteção contra ataques DDoS.
Monitoramento de aplicativos, integridade e rede no ZEVENET ADC.