كيفية ترحيل خدمات ADC من Fortinet إلى ZEVENET

نُشرت في 15 يناير 2023

نبذة

FortiADC هي وحدة تحكم في توصيل التطبيقات تم تطويرها بواسطة Fortinet. يهدف إلى توفير أمان التطبيقات وإدارة حركة المرور وتوافر التطبيقات التي تعمل على الخوادم. ومع ذلك ، فإن ZEVENET لها اليد العليا في نشر السحابة وتوافرها. يمكن للمرء إنشاء حساب سحابي من خلال ZVNcloud، أو نشر عقدة مباشرة من AWS أو Microsoft أزرق سماوي السوق.

إذا كنت بحاجة إلى ADC أكثر مرونة مع ميزات الأمان من الجيل التالي ، وموازنة الحمل من الطبقتين 4 و 7 ، وموازنة الحمل العالمي ، وموازنة تحميل الارتباط ، وما إلى ذلك ، فانتظر بشدة. في هذه المقالة ، سنناقش مفاهيم FortiADC ونستخدم هذه المفاهيم لعمل تكوينات مماثلة في ZEVENET ADC.

المتطلبات الأساسية المسبقة

فيما يلي المتطلبات الأساسية قبل الترحيل من FortiADC إلى ZEVENET ADc.

  1. يجب تثبيت مثيل ZEVENET ADC على محطة العمل الخاصة بك ، أو البيئة المعدنية ، أو البيئة الافتراضية ، أو مع ZVNcloud. للنشر في مكان العمل ، طلب تقييم.
  2. يجب أن يكون لديك حق الوصول إلى واجهة الويب الرسومية. إذا لم تقم بذلك ، فاتبع هذا بسرعة دليل التثبيت.
  3. يجب أن يكون على دراية بـ FortiADC وعلى دراية بمفاهيمها.
  4. يجب أن تكون قادرًا على إنشاء خادم افتراضي باستخدام ZEVENET. اتبع هذا الدليل: تكوين الخادم الظاهري للطبقة 4 والطبقة 7.

المفاهيم الأساسية

موازنة تحميل الارتباط: يشير موازنة تحميل الارتباط إلى توزيع حركة مرور الشبكة عبر عدة WAN اتصالات أو مزودي خدمات الإنترنت لتحسين أداء الشبكة وزيادة الموثوقية. تأتي الموثوقية من خلال استخدام الارتباطات الصاعدة لمزودي خدمة إنترنت مختلفين من أجل التكرار. في حالة تعطل أحد مزودي خدمة الإنترنت ، يحدث تجاوز فشل في الخدمة المتاحة. توفر ZEVENET نظامًا داخليًا لتجاوز فشل الارتباط المرتفع لموازنة تحميل الارتباط من خلاله DSLB.

موازنة الحمل العالمية: يشير موازنة الحمل العالمي إلى توزيع حركة مرور الشبكة عبر خوادم أو موارد متعددة في مراكز بيانات مختلفة موجودة في مواقع جغرافية مختلفة لتوفير تجربة مستخدم أفضل للعملاء في تلك المناطق. ZEVENET لديها حل قوي لموازنة التحميل عبر مراكز البيانات باستخدام GSLB وحدة.

توافر عالية: التوافر العالي هو قدرة النظام أو التطبيق أو الخدمة على أن تظل عاملة ومتاحة للمستخدمين بأقل وقت تعطل. قد يحقق المرء توفرًا عاليًا من خلال آليات تجاوز الفشل ، والتي تسمح للنظام بالتبديل تلقائيًا إلى مورد احتياطي أو ثانوي في حالة حدوث عطل. يمكن للمرء أن يحقق HA من خلال أ كتلة في ZEVENET ADC.

موازنة تحميل الخادم: يشير إلى تحميل موازنة حركة مرور الويب الواردة داخل شبكة محلية خاصة. توفر ZEVENET ملف LSLB وحدة لموازنة الحمل والتفتيش والتحكم في حركة المرور المحلية.

تجمعات الخوادم: تجمع الخوادم عبارة عن مجموعة من الخوادم الحقيقية التي تم تكوينها للعمل معًا لتوفير خدمة أو تطبيق معين. يمكن للمرء تكوين تجمع خوادم في ZEVENET ADC عن طريق إنشاء ملف الخدمة.

التسجيل والإبلاغ: يوفر التسجيل وإعداد التقارير القدرة على تتبع وتحليل أداء موازن التحميل والخوادم في مستودع ، بما في ذلك المعلومات مثل حركة المرور الواردة واستخدام الموارد والأخطاء. توفر ZEVENET نظام تسجيل من خلال النظام >> سجلات. للإبلاغ ، يمكن للمرء الوصول النظام >> الإخطارات. تشمل الإخطارات رسائل البريد الإلكتروني و تنبيهات.

الأمن: تحتاج جميع التطبيقات المستندة إلى الويب إلى أنظمة أمان لمراقبة حركة المرور الواردة وتصفيتها إلى موازن تحميل للتخلص من حركة المرور الضارة أو السماح بالوصول إلى موقع جغرافي محدد. يمكن للمرء أن يحقق هذه الوظيفة من خلال IPDS الوحدة النمطية عند استخدام ZEVENET. توفر هذه الوحدة WAF, دوس الحماية ، أ RBLو القوائم السوداء.

خوادم حقيقية: الخوادم الحقيقية هي الخوادم الفعلية أو الظاهرية التي تشكل جزءًا من تجمع الخوادم وتتولى معالجة الطلبات وتسليمها. هذه الخوادم مسؤولة عن تشغيل التطبيقات أو الخدمات المقدمة للعملاء. الخوادم الحقيقية هي نفسها الخلفيات في ZEVENET ADC.

خادم إفتراضي: الخادم الظاهري هو واجهة أمامية مع مستمع و IP ومنفذ لتلقي حركة مرور الويب ثم توزيع حركة المرور هذه على تجمع أو خدمة خادم مناسبة. توفر ZEVENET وظائف مماثلة من خلال ملف مزرعة.

فحوصات طبية: هذه هي الأوامر التي تراقب مدى توفر الخلفيات والخدمات التي تقدمها. يحققون ذلك عن طريق تشغيل ICMP أو أوامر HTTP مخصصة لتتبع توفر الخدمة. توفر ZEVENET آليات صحية مسبقة التحميل وطريقة لإجراء فحوصات صحية مخصصة من خلالها Farmguardian.

تكوينات المثال: ارتباط موازنة التحميل

عندما يتم تحميل الخوادم المضيفة بالعمليات والطلبات ، يجب استخدام استراتيجية خارجية توزع حركة المرور هذه عبر شبكات WAN متعددة للاستجابة لهذه الطلبات بسرعة ، مما يمنع حدوث اختناق في الشبكة وتباطؤ في الأداء. تستدعي إستراتيجية الصادر هذه موازنة تحميل الارتباط. من حيث التكلفة ، قد يقلل المرء من تكلفة النطاق الترددي للإنترنت باستخدام روابط إنترنت متعددة منخفضة التكلفة بدلاً من ارتباط واحد عالي التكلفة.

يوفر كل من Zevenet و Fortinet موازنة تحميل الارتباط. موازن تحميل الارتباط الخاص بـ Zevenet هو جزء من حزمة ADC ويأتي من خلال ملف DSLB وحدة.

سنقوم بتكوين موازنة تحميل Active-Active Uplink مع Zevenet ADC على أساس تكوينات FortiGate.

تكوينات Fortinet

ستعمل تكوينات Fortinet هذه كقاعدة لنا عند ترحيل تكوينات Uplink من Fortinet إلى ZEVENET. الافتراض هو أنك على دراية بها بالفعل ، لذلك سيكون من الأسهل متابعتها.

  1. انقر ربط تحميل الرصيد >> Link Group >> Gateway.
  2. إدخال الاسم لتحديد جهاز توجيه ، على سبيل المثال WAN1 أو WAN2 أو ISP1 أو ISP2.
  3. أدخل الموجه عنوان IP.
  4. اختياريا تفعيل الفحوصات الصحية.
  5. تعيين النطاق الترددي الوارد.
  6. تعيين عرض النطاق الترددي الصادر.
  7. ضبط الحد الفائض للداخل.
  8. عيّن عتبة التباعد الصادر.
  9. انقر على حفظ .
  1. انقر ربط رصيد التحميل >> مجموعة الارتباط.
  2. إدخال الاسم لتحديد المجموعة.
  3. أدخل نوع العنوان كـ IPV4.
  4. بالنسبة للتكوينات النشطة النشطة ، اختر طريقة الطريق: جولة مرجحة روبن.
  5. تفعيل طريق القرب.
  1. ضمن قسم ارتباط العضو ، انقر فوق إنشاء جديد.
  2. إدخال الاسم لتحديد عضو.
  3. تحديد بوابة رابط للرابط الأول.
  4. تعيين أ وزن من 1 وانقر على زر حفظ.
  5. كرر الإجراء لإضافة عضو ثانٍ في الرابط.
  6. انقر على حفظ الزر أيضًا لحفظ مجموعة الارتباط.
  1. انقر رابط تحميل الرصيد >> سياسة الارتباط.
  2. حدد مجموعة الارتباط التي تم إنشاؤها مسبقًا باسم مجموعة الارتباط الافتراضية.
  3. انقر على حفظ .
  4. انقر على إنشاء جديد لإضافة سياسة جديدة.
  5. اختر واجهة الدخول.
  6. إختار ال نوع المصدر كعنوان و مصدر كأي.
  7. اختار نوع الوجهة كخدمة واختيار الجميع.
  8. اختار نوع المجموعة كـ Link Group واستخدم المجموعة التي تم إنشاؤها مسبقًا.
  9. انقر على حفظ .

تكوينات ZEVENET

في هذا القسم ، سنقوم بتكوين موازنة تحميل الارتباط الصاعد مع ZEVENET ADC. الافتراض هو أن لديك ما لا يقل عن جهازي توجيه من مزودي خدمة إنترنت مختلفين حيث تريد إعادة توجيه حركة المرور الصادرة. سيعتمد هذا على ما إذا كنت تريد اتصالًا نشطًا أو سلبيًا نشطًا.

التعليمات:

قم بإنشاء أسماء مستعارة

  1. انقر الشبكة >> الأسماء المستعارة >> إنشاء اسم مستعار لـ IP.
  2. أدخل عنوان IP من جهاز التوجيه الأول.
  3. إدخال الاسم يسهل التعرف عليه.
  4. انقر على التقديم .
  5. كرر العملية لإضافة اسم مستعار لجهاز التوجيه الثاني.

قم بإنشاء مزرعة DSLB

  1. انقر DSLB >> مزارع >> إنشاء مزرعة.
  2. إدخال الاسم للتعرف بسهولة على هذه المزرعة.
  3. إختار ال IP الظاهري عنوان. سيعمل عنوان IP هذا كبوابة لموازن التحميل الخاص بك.
  4. oracle_jd_edwards_load_balancing_farm

  5. انقر على التقديم زر لحفظ التكوينات.

أنشئ خدمة

  1. انقر على الزر خدماتنا علامة التبويب.
  2. بالنسبة للتكوينات النشطة-السلبية ، اختر جدولة موازن التحميل مثل الأولوية: الاتصالات دائمًا مع معظم المنتجات المتاحة. بالنسبة لهذا التكوين ، سنقوم بتكوين إعداد نشط نشط. سوف نستخدم الوزن: اتصال خطي الإرسال حسب الوزن.
  3. oracle_jd_edwards_load_balancing_farm

  4. انقر على التقديم زر لحفظ التكوينات.

إضافة الخلفية

  1. ضمن قسم الخلفيات ، انقر فوق إنشاء الخلفية .
  2. ضمن الاسم المستعار القسم ، حدد الاسم المستعار لمزود خدمة الإنترنت الأول أو جهاز التوجيه الأول.
  3. إختار ال السطح البيني من جهاز التوجيه الأول.
  4. oracle_jd_edwards_load_balancing_farm

  5. انقر على التقديم .
  6. كرر العملية لإضافة جهاز التوجيه الثاني. الافتراضي درجة الأهمية و الوزن هو 1.
  7. oracle_jd_edwards_load_balancing_farm

  8. في الزاوية اليمنى العليا ، حدد موقع الإجراءات وانقر على زر التشغيل الأخضر لتنشيط المزرعة.

لمزيد من الموارد والهندسة والتصميم حول موازنة تحميل Uplink مع ZEVENET ، اقرأ: دليل البدء السريع لموازنة تحميل الروابط الصاعدة.

أمثلة على التكوينات: Security (WAAP) / التكوينات

WAAP هو نظام أمان يوفر حماية لتطبيق الويب وواجهة برمجة التطبيقات من التهديدات السيبرانية. تستخدم WAAP تقنيات متقدمة مثل الأتمتة والتعلم الآلي لاكتشاف حركة المرور الضارة وحظرها ، بما في ذلك حقن SQL والبرمجة النصية عبر المواقع والهجمات الشائعة الأخرى. أ واب يحتوي على ميزات مثل جدران حماية طبقة التطبيقات ، وحماية DoS ، ومنع التطفل. توفر هذه الميزات المتقدمة حلاً أمنيًا أكثر قوة وشمولية. تنفذ ZEVENET WAAP من خلال وحدة IPDS.

سنصف تكوينات Fortinet الأمنية مع Fortigate وكيفية تنفيذ وظائف مماثلة في ZEVENET. في هذا المثال ، سنركز على أ WAF.

تكوينات Fortinet

هذه هي تكوينات Fortinet التي سنبني عليها لإنشاء تكوينات ZEVENET WAF. للوصول إلى هذه التكوينات ، قم بتثبيت منتج منفصل ، FortiGate الذي ستربطه بـ FortiADC الخاص بك.

تعليمات

  1. انقر النظام >> الإعدادات.
  2. قم بالتمرير حتى ملف وضع التفتيش قسم التغيير من يعتمد على التدفق إلى الوكيل، وانقر فوق التقديم .
  3. بعد تغيير وضع الفحص ، انقر فوق نُهج الأمان >> جدار حماية تطبيق الويب.
  4. ضمن التوقيعات الجدول ، قم بتمكين جميع أشكال حماية WAF بالنقر فوق الزر Toggle. وتشمل هذه حقن SQL, هجمات عامة, أحصنة طروادة, مآثر معروفة, روبوت سيء، الخ.
  5. ضمن القيود الجدول ، تمكين القيود للحد طول المحتوى, طول الرأس, إجمالي طول معلمة URL، الخ.
  6. انتقل لأسفل و فرض نهج أسلوب HTTP.
  7. تعيين أ VIP تريد الحماية عن طريق النقر السياسة والكائنات >> عناوين IP الافتراضية.
  8. تعيين أ الاسم لكبار الشخصيات.
  9. إختار ال السطح البيني التي ADC الخاص بك VIP تم تكوينه.
  10. أدخل عنوان IP الخارجي / النطاق
  11. إدخال عنوان / نطاق IP المعين
  12. انقر على OK زر لحفظ التكوينات.
  13. قم بإنشاء سياسة IPV4 بالنقر فوق السياسة والأهداف >> سياسة IPV4.
  14. تعيين سياسة IPV4 أ الاسم.
  15. إضافة الوارد و الواجهة الصادرة.
  16. إلى جانب مصدر التسمية ، حدد الكل .
  17. بالإضافة إلى الرحلات، حدد VIP العنوان الذي أنشأته.
  18. ضمن ملفات تعريف الأمان، قم بالتبديل إلى تطبيق الويب جدار الحماية الخيار.
  19. ضمن خيارات التسجيل، تبديل على سجل حركة المرور المسموح بها التي الكل الجلسات.
  20. انقر على OK .

تكوينات ZEVENET

لا تمتلك ZEVENET IPDS إمكانيات WAAP فحسب ، ولكن جدار حماية تطبيق الويب الخاص بها يحتوي على قدرات الجيل التالي من WAF. توفر وحدة IPDS حماية DoS وجدار حماية لتطبيق الويب بميزات قوية و RBL وسياسة القائمة السوداء.

سنركز على إعداد WAF للحماية من ثغرات OWASP في ZEVENET ADC. بشكل افتراضي ، تأتي ZEVENET مع قواعد داخلية. تتضمن بعض هذه القواعد REQUEST-903-9003-NEXTCLOUD-EXCLUSION-RULES و REQUEST-903-9002-WORDPRESS-EXCLUSION-RULES و REQUEST-931-APPLICATION-ATTACK-RFI وما إلى ذلك.

في هذا القسم ، سننشئ مجموعة قواعد مخصصة.

تعليمات

إنشاء مجموعة القواعد

  1. انقر IPDS >> WAF >> القواعد.
  2. انقر على قم بإنشاء مجموعة قواعد WAF .
  3. تعيين أ الاسم لتحديد مجموعة القواعد.
  4. في مجلة نسخ مجموعة القواعد ، يمكنك الاختيار من القائمة المنسدلة. لهذا العرض التوضيحي ، سوف نستخدم –لا توجد قواعد-
  5. يمكنك تعيين حدث اساسي as رفض: قطع الطلب وعدم تنفيذ القواعد المتبقية.
  6. انقر على التقديم .

أضف قاعدة

  1. بعد إنشاء مجموعة القواعد ، يجب علينا تطبيق قاعدة على مجموعة القواعد هذه. انقر على قوانيـن علامة التبويب.
  2. انقر على قانون جديد .
  3. هناك 3 أنواع القواعد، سنختار اكشن.
  4. اختيار مرحلة: تم استلام نص الطلب.
  5. ضمن قرارات المجال ، اختر رفض: قطع الطلب وعدم تنفيذ القواعد المتبقية وأخيرًا أضف ملف الوصف للحكم.
  6. انقر على التقديم زر لحفظ التكوينات.

أضف الشروط

  1. انقر فوق القاعدة التي أنشأتها للتو وانتقل إلى الظروف والقسم الخاص به.
  2. قسم الشروط هو المكان الذي نحدد فيه نوع الهجوم الذي يجب الحماية منه. انقر على خلق الظروف .
  3. ضمن متغير حدد أساليب أو مسارات من المحتمل أن يستخدمها الهجوم للوصول إلى خدماتك. في هذا المثال ، سنضيف REQUEST_URI و REQUEST_BODY.
  4. ضمن المُشغل ، اختر القاعدة التي ترغب في الحماية منها. بعض القواعد هي التحقق من بطاقة الائتمان ، والتحقق من نظام الأمان الاجتماعي ، والتحقق من صحة تشفير UTF8 ، وكشف XXXS ، وكشف SQL ، وما إلى ذلك. في هذا المثال ، سنستخدم verifyCreditCard.
  5. لهذا العامل ، أضف تعبيرًا عاديًا بتنسيق PCRE. بافتراض أننا نتحقق من صحة بطاقات Visa ، فسنستخدم التعبير العادي
    ^4[0-9]{12}(?:[0-9]{3})?$

    في حدود التشغيل مجال. لاحظ أن بعض المشغلين لا يتطلبون معلمة التشغيل.

  6. انقر على التقديم زر لإنشاء الشرط.
  7. في الزاوية اليمنى العليا في اكشن ، انقر فوق زر التشغيل الأخضر لتفعيل القاعدة.

مع تطبيق هذه القاعدة ، يمكنك الآن إضافتها إلى المزرعة التي ترغب في حمايتها.
لمعرفة المزيد عن ZEVENET WAF ، اقرأ IPDS | WAF | تحديث

مصادر إضافية

تكوين شهادات SSL لموازن التحميل.
استخدام برنامج Let's encrypt لإنشاء شهادة SSL تلقائيًا.
موازنة تحميل DNS مع ZEVENET ADC.
الحماية من هجمات DDoS.
التطبيق والصحة ومراقبة الشبكة في ZEVENET ADC.

مشاركة مع :

وثائق بموجب شروط رخصة جنو للوثائق الحرة.

هل كان المقال مساعدا؟!

مقالات ذات صلة