Aperçu

FortiADC est un contrôleur de livraison d'applications développé par Fortinet. Il vise à assurer la sécurité des applications, la gestion du trafic et la disponibilité des applications exécutées sur des serveurs. Cependant, ZEVENET a l'avantage sur le déploiement et la disponibilité du cloud. On peut créer un compte cloud via ZVNcloud, ou déployez un nœud directement à partir de AWS ou Microsoft Azure marché.

Si vous avez besoin d'un ADC plus flexible avec des fonctionnalités de sécurité de nouvelle génération, l'équilibrage de charge des couches 4 et 7, l'équilibrage de charge global, l'équilibrage de charge de liaison, etc., tenez bon. Dans cet article, nous discuterons des concepts FortiADC et utiliserons ces concepts pour créer des configurations similaires dans ZEVENET ADC.

Pré-requis

Voici les prérequis avant de migrer de FortiADC vers ZEVENET ADc.

1. Une instance de ZEVENET ADC doit être installée sur votre poste de travail, bare metal, environnement virtuel ou avec ZVNcloud. Pour un déploiement sur site, demander une évaluation.
2. Doit avoir accès à l'interface graphique Web. Si vous ne le faites pas, suivez ce rapide guide d'installation.
3. Doit être familier avec FortiADC et connaître ses concepts.
4. Vous devez être capable de créer un serveur virtuel avec ZEVENET. Suivez ce guide : Configuration du serveur virtuel de couche 4 et de couche 7.

Concepts de base

Équilibrage de charge de lien : L'équilibrage de charge de liaison fait référence à la répartition du trafic réseau sur plusieurs WAN connexions ou FAI pour optimiser les performances du réseau et augmenter la fiabilité. La fiabilité est obtenue en utilisant des liaisons montantes vers différents FAI pour la redondance. Si un FAI tombe en panne, le basculement vers le service disponible se produit. ZEVENET fournit un système de basculement de liaison montante intégré pour l'équilibrage de charge de liaison via DSLB.

Équilibrage de charge global : L'équilibrage de charge global consiste à répartir le trafic réseau sur plusieurs serveurs ou ressources dans différents centres de données situés dans diverses géolocalisations afin d'offrir une meilleure expérience utilisateur aux clients de ces régions. ZEVENET a une solution robuste pour l'équilibrage de charge entre les centres de données en utilisant le GSLB module.

La haute disponibilité: La haute disponibilité est la capacité d'un système, d'une application ou d'un service à rester opérationnel et accessible aux utilisateurs avec un temps d'arrêt minimal. On peut atteindre une haute disponibilité en créant des mécanismes de basculement, qui permettent au système de basculer automatiquement vers une ressource de secours ou secondaire en cas de panne. On peut atteindre HA grâce à un Grappe dans ZEVENET ADC.

Équilibrage de la charge du serveur : Fait référence à l'équilibrage de charge du trafic Web entrant au sein d'un réseau local privé. ZEVENET fournit le LSLB module d'équilibrage de charge, d'inspection et de contrôle du trafic local.

Groupes de serveurs : Un pool de serveurs est un groupe de serveurs réels configurés pour fonctionner ensemble afin de fournir un service ou une application spécifique. On peut configurer un pool de serveurs dans ZEVENET ADC en créant un Services.

Journalisation et rapports : La journalisation et la génération de rapports permettent de suivre et d'analyser les performances d'un équilibreur de charge et des serveurs d'un pool, y compris des informations telles que le trafic entrant, l'utilisation des ressources et les erreurs. ZEVENET fournit un système de journalisation via Système >> Journaux. Pour les rapports, on peut accéder Système >> Notifications. Les avis comprennent emails et alertes.

Sécurité : Toutes les applications Web ont besoin de systèmes de sécurité pour surveiller et filtrer le trafic entrant vers un équilibreur de charge afin d'éliminer le trafic malveillant ou d'autoriser l'accès à une géolocalisation spécifiée. On peut obtenir cette fonctionnalité grâce à la IPDS module lors de l'utilisation de ZEVENET. Ce module fournit WAF, DoS protection, une RBL et Listes noires.

Serveurs réels : Les serveurs réels sont les serveurs physiques ou virtuels qui font partie d'un pool de serveurs et gèrent le traitement et la livraison des demandes. Ces serveurs sont responsables de l'exécution des applications ou des services fournis aux clients. Les vrais serveurs sont les mêmes que Backends dans ZEVENET ADC.

Serveur virtuel: Un serveur virtuel est une interface frontale avec un écouteur, une adresse IP et un port pour recevoir le trafic Web, puis distribuer ce trafic à un pool de serveurs ou à un service approprié. ZEVENET fournit des fonctionnalités similaires via un Ferme.

Contrôles de santé: Ce sont des commandes qui surveillent la disponibilité des backends et des services qu'ils fournissent. Ils y parviennent en exécutant des commandes ICMP ou HTTP personnalisées pour suivre la disponibilité du service. ZEVENET fournit à la fois des mécanismes de santé préchargés et un moyen d'effectuer des vérifications de santé personnalisées via Farmguardian.

Exemples de configurations : Équilibrage de charge de lien

Lorsque les serveurs hôtes sont chargés de processus et de demandes, une stratégie sortante qui distribue ce trafic via plusieurs WAN doit être utilisée pour répondre rapidement à ces demandes, évitant ainsi un goulot d'étranglement du réseau et un ralentissement des performances. Cette stratégie sortante nécessite un équilibrage de charge en liaison montante. En termes de coût, on peut réduire le coût de la bande passante Internet en utilisant plusieurs liens Internet à faible coût plutôt qu'un seul lien à coût élevé.

Zevenet et Fortinet proposent tous deux un équilibrage de charge Link. L'équilibreur de charge de liaison de Zevenet fait partie d'un package ADC et passe par le DSLB module.

Nous allons configurer l'équilibrage de charge Active-Active Uplink avec Zevenet ADC en nous basant sur les configurations FortiGate.

Configurations Fortinet

Ces configurations Fortinet serviront de base lors de la migration des configurations Uplink de Fortinet vers ZEVENET. L'hypothèse est que vous les connaissez déjà, il sera donc plus facile de les suivre.

Ajouter des liens de passerelle

1. Cliquez Équilibrage de la charge des liens >> Groupe de liens >> Passerelle.
2. Entrez Nom pour identifier un routeur, par exemple WAN1, WAN2, ISP1 ou ISP2.
3. Entrez le routeur adresse IP.
4. En option Activer les vérifications de l'état.
5. Met le Bande passante entrante.
6. Met le Bande passante sortante.
7. Ensemble Seuil de débordement entrant.
8. Définissez le seuil de débordement sortant.
9. Cliquez Épargnez .

Ajouter un groupe de liens

1. Cliquez Équilibrage de charge de lien >> Groupe de liens.
2. Entrez Nom pour identifier le groupe.
3. Entrer Type d'adresse comme IPV4.
4. Pour les configurations Actif-Actif, choisissez Méthode d'acheminement: Tournoi à la ronde pondéré.
5. Activer Itinéraire de proximité.

Ajouter un membre de lien

1. Dans la section Link Member, cliquez sur CRÉER UN NOUVEAU DOSSIER.
2. Entrez Nom pour identifier un membre.
3. Choisissez un Réseau lien pour le premier lien.
4. Attribuer un poids de 1 et cliquez sur le bouton Enregistrer.
5. Répétez la procédure pour ajouter un 2ème membre Link.
6. Cliquez Épargnez pour enregistrer également le groupe de liens.

Ajouter une politique de lien

1. Cliquez Équilibrage de charge de lien >> Politique de lien.
2. Sélectionnez le groupe de liens précédemment créé en tant que Groupe de liens par défaut.
3. Cliquez Épargnez .
4. Cliquez CRÉER UN NOUVEAU DOSSIER pour ajouter une nouvelle stratégie.
5. Sélectionnez un Interface d'entrée.
6. Sélectionnez le Type de Source comme adresse et Source Comme n'importe quel.
7. Sélectionnez Type de destination comme Service et choisissez TOUTES.
8. Sélectionnez Type de groupe comme groupe de liaison et utilisez le groupe précédemment créé.
9. Cliquez Épargnez .

Configurations ZEVENET

Dans cette section, nous allons configurer l'équilibrage de charge en liaison montante avec ZEVENET ADC. L'hypothèse est que vous avez au moins 2 routeurs de différents FAI vers lesquels vous souhaitez rediriger votre trafic sortant. Cela dépendra si vous souhaitez une connexion active-active ou active passive.

Étapes :

Créer des noms d'alias

1. Cliquez Réseau >> Alias ​​>> Créer un alias IP.
2. Entrer le adresse IP du premier routeur.
3. Entrez Nom qui l'identifie facilement.
4. Cliquez Appliquer .
5. Répétez le processus pour ajouter un nom d'alias pour le 2e routeur.

Créer une ferme DSLB

1. Cliquez DSLB >> Fermes >> Créer une ferme.
2. Entrez Nom pour identifier facilement cette ferme.
3. Sélectionnez le IP virtuelle adresse. Cette adresse IP servira de passerelle pour votre équilibreur de charge.



4. Cliquez Appliquer bouton pour enregistrer les configurations.

Créer un service

1. Cliquez sur le Services Languette.
2. Pour les configurations actives-passives, choisissez le planificateur de l'équilibreur de charge comme Priorité: connexions toujours au plus prio disponible. Pour cette configuration, nous allons configurer une configuration Actif-Actif. Nous utiliserons Poids: connexion linéaire en fonction du poids.



3. Cliquez Appliquer bouton pour enregistrer les configurations.

Ajouter des backends

1. Dans la section Backends, cliquez sur le Créer un back-end .
2. au sein de la Alias Section, sélectionnez le nom d'alias du premier FAI ou du premier routeur.
3. Sélectionnez le Interfaces du premier routeur.



4. Cliquez Appliquer .
5. Répétez le processus pour ajouter le 2e routeur. Le défaut Priorité et Poids est 1.



6. Dans le coin supérieur droit, localisez Actions et cliquez sur le bouton de lecture vert pour activer la ferme.

Pour plus de ressources, d'architecture et de conception sur l'équilibrage de charge Uplink avec ZEVENET, lisez : Guide de démarrage rapide pour l'équilibrage de charge des liaisons montantes.

Exemples de configurations : Sécurité (WAAP)/Configurations

Un WAAP est un système de sécurité qui fournit une protection des applications Web et des API contre les cybermenaces. Les WAAP utilisent des technologies avancées telles que l'automatisation et l'apprentissage automatique pour détecter et bloquer le trafic malveillant, y compris l'injection SQL, les scripts intersites et d'autres attaques courantes. UN WAP possède des fonctionnalités telles que les pare-feu de la couche application, la protection DoS et la prévention des intrusions. Ces fonctionnalités avancées offrent une solution de sécurité plus robuste et complète. ZEVENET Implémente un WAAP via le module IPDS.

Nous décrirons les configurations de sécurité Fortinet avec Fortigate et comment implémenter des fonctionnalités similaires dans ZEVENET. Pour cet exemple, nous nous intéresserons à un WAF.

Configurations Fortinet

Ce sont les configurations Fortinet que nous allons baser pour créer des configurations ZEVENET WAF. Pour accéder à ces configurations, installez un produit séparé, FortiGate que vous relierez à votre FortiADC.

Instructions

1. Cliquez Système >> Paramètres.
2. Faites défiler jusqu'à Mode d'inspection section, passer de Basé sur le flux à procuration, Et cliquez sur le Appliquer .
3. Après avoir changé le mode d'inspection, cliquez sur Politiques de sécurité >> Pare-feu d'application Web.
4. au sein de la Signatures tableau, activez toutes les formes de protection WAF en cliquant sur le bouton Basculer. Ceux-ci inclus Injection SQL, Attaques génériques, Les chevaux de Troie, Exploits connus, Mauvais robot, etc.
5. au sein de la contraintes table, activer les contraintes pour limiter Longueur du contenu, Longueur d'en-tête, Longueur totale du paramètre d'URL, etc.
6. Faites défiler vers le bas et Appliquer la stratégie de méthode HTTP.
7. Attribuer un VIP vous souhaitez protéger en cliquant Politique et objets >> IP virtuelles.
8. Attribuer un Nom pour les VIP.
9. Sélectionnez le Interfaces sur lequel votre ADC VIP a été configuré.
10. Entrez un Adresse IP externe/plage
11. Entrez Adresse/plage IP mappée
12. Cliquez OK bouton pour enregistrer les configurations.
13. Créez une politique IPV4 en cliquant sur Politique et objets >> Politique IPV4.
14. Attribuez à la stratégie IPV4 un Nom.
15. Ajouter un Nouveau et le Interface sortante.
16. Outre l' Source étiquette, sélectionnez Tous.
17. En outre DENTAIRE, Sélectionnez l' VIP Adresse que vous avez créée.
18. au sein de la Profils de sécurité, basculez sur le Pare-feu d'applications Web option.
19. au sein de la Options de journalisation, activez Journaliser le trafic autorisé marquage Tous Séances.
20. Cliquez OK .

Configurations ZEVENET

ZEVENET IPDS a non seulement des capacités WAAP, mais son pare-feu d'application Web a des capacités WAF de nouvelle génération. Le module IPDS offre une protection DoS, un pare-feu d'application Web avec des fonctionnalités robustes, un RBL et une politique de liste noire.

Nous nous concentrerons sur la mise en place d'un WAF pour se protéger contre les vulnérabilités OWASP dans ZEVENET ADC. Par défaut, ZEVENET est livré avec des règles intégrées. Certaines de ces règles incluent REQUEST-903-9003-NEXTCLOUD-EXCLUSION-RULES, REQUEST-903-9002-WORDPRESS-EXCLUSION-RULES, REQUEST-931-APPLICATION-ATTACK-RFI, etc.

Dans cette section, nous allons créer un ensemble de règles personnalisé.

Instructions

Créer un ensemble de règles

1. Cliquez IPDS >> WAF >> Ensembles de règles.
2. Cliquez Créer un ensemble de règles WAF .
3. Attribuer un Nom pour identifier le jeu de règles.
4. Dans le Copier l'ensemble de règles champ, vous pouvez choisir dans la liste déroulante. Pour cette démonstration, nous utiliserons –Aucun ensemble de règles–
5. Vous pouvez attribuer le Action par défaut as Refuser : coupez la requête et n'exécutez plus les règles.
6. Cliquez Appliquer .

Ajouter une règle

1. Après avoir créé un ensemble de règles, nous devons appliquer une règle à cet ensemble de règles. Clique le Règles languette.
2. Cliquez Nouvelle règle .
3. Il ya 3 Types de règles, nous choisirons Action.
4. Choisissez le phase: Le corps de la demande est reçu.
5. au sein de la Resolutie champ, choisissez Refuser : coupez la requête et n'exécutez plus les règles et enfin ajouter un Description pour la règle.
6. Cliquez Appliquer bouton pour enregistrer les configurations.

Ajouter des conditions

1. Cliquez sur la règle que vous venez de créer et faites défiler jusqu'à la Conditions .
2. La section des conditions est l'endroit où nous spécifions contre quel type d'attaque se protéger. Clique le Créer des conditions .
3. au sein de la Variable Sélectionnez les méthodes ou les chemins qu'une attaque utiliserait probablement pour accéder à vos services. Dans cet exemple, nous ajouterons REQUEST_URI et REQUEST_BODY.
4. au sein de la Opérateur section, choisissez une règle contre laquelle vous souhaitez vous protéger. Certaines des règles sont verifyCreditCard, verifySSN, validateUTF8Encoding, detectXXS, detectSQLi, etc. Pour cet exemple, nous utiliserons verifyCreditCard.
5. Pour cet opérateur, ajoutez une expression régulière au format PCRE. En supposant que nous validons les cartes Visa, nous utiliserons l'expression régulière

   ^4[0-9]{12}(?:[0-9]{3})?$

   au sein du En fonctionnement champ. Notez que certains opérateurs ne nécessitent pas le paramètre de fonctionnement.

6. Cliquez Appliquer bouton pour créer la condition.
7. Dans le coin supérieur droit à la Action section, cliquez sur le bouton de lecture vert pour activer la règle.

Avec cette règle en place, vous pouvez maintenant l'ajouter à la ferme que vous souhaitez protéger.
Pour en savoir plus sur ZEVENET WAF, lisez IPDS | WAF | Mettre à jour

Ressources additionnelles

Configuration des certificats SSL pour l'équilibreur de charge.
Utilisation du programme Let's encrypt pour générer automatiquement un certificat SSL.
Équilibrage de charge DNS avec ZEVENET ADC.
Protection contre les attaques DDoS.
Surveillance des applications, de la santé et du réseau dans ZEVENET ADC.