ADC サービスを Fortinet から ZEVENET に移行する方法

投稿日: 15 年 2023 月 XNUMX 日

概要

FortiADC は、フォーティネットが開発したアプリケーション配信コントローラーです。 アプリケーションのセキュリティ、トラフィック管理、およびサーバー上で実行されているアプリケーションの可用性を提供することを目的としています。 ただし、ZEVENET は、クラウドの展開と可用性において優位に立っています。 クラウドアカウントを作成することができます ZVNクラウド、またはから直接ノードを展開します AWS またはマイクロソフト Azure 市場。

次世代セキュリティ機能、レイヤー 4 および 7 負荷分散、グローバル負荷分散、リンク負荷分散などを備えたより柔軟な ADC が必要な場合は、しっかりと保持してください。 この記事では、FortiADCの概念について説明し、それらの概念を使用してZEVENET ADCで同様の構成を作成します.

必須条件

FortiADC から ZEVENET ADC に移行する前の前提条件は次のとおりです。

  1. ZEVENET ADCのインスタンスは、ワークステーション、ベアメタル、仮想環境、または ZVNクラウド. オンプレミス展開の場合、 評価を要求します。
  2. Web グラフィカル インターフェイスにアクセスできる必要があります。 そうでない場合は、このクイックに従ってください インストールガイド.
  3. FortiADC に精通しており、その概念に関する知識が必要です。
  4. ZEVENETで仮想サーバーを作成できる必要があります。 このガイドに従ってください: レイヤー 4 およびレイヤー 7 の仮想サーバー構成。

基本概念

リンク負荷分散: リンク ロード バランシングとは、ネットワーク トラフィックを複数に分散することです。 WAN 接続または ISP ネットワークのパフォーマンスを最適化し、信頼性を高めます。 信頼性は、冗長性のために異なる ISP へのアップリンクを使用することによってもたらされます。 XNUMX つの ISP がダウンすると、利用可能なサービスへのフェイルオーバーが発生します。 ZEVENET は、リンク負荷分散のための組み込みのアップリンク フェイルオーバー システムを提供します。 DSLB.

グローバル負荷分散: グローバル ロード バランシングとは、さまざまな地理的位置にあるさまざまなデータ センターの複数のサーバーまたはリソースにネットワーク トラフィックを分散させて、それらの地域のクライアントにより良いユーザー エクスペリエンスを提供することです。 ZEVENETには、データセンター全体の負荷分散のための堅牢なソリューションがあります GSLB モジュールを開きます。

高可用性: 高可用性とは、システム、アプリケーション、またはサービスの運用を維持し、最小限のダウンタイムでユーザーがアクセスできるようにする機能です。 フェールオーバー メカニズムを構築することで高可用性を実現できます。これにより、障害が発生した場合にシステムが自動的にバックアップまたはセカンダリ リソースに切り替えることができます。 HA は、 クラスタ ZEVENET ADCで。

サーバー負荷分散: プライベート ローカル ネットワーク内の受信 Web トラフィックの負荷分散を指します。 ZEVENETが提供する LSLB ロード バランシング、検査、およびローカル トラフィックの制御のためのモジュール。

サーバー プール: サーバー プールは、連携して特定のサービスまたはアプリケーションを提供するように構成された実サーバーのグループです。 を作成することにより、ZEVENET ADCでサーバープールを構成できます。 カスタマーサービス.

ロギングとレポート: ロギングとレポートは、ロード バランサとプール内のサーバーのパフォーマンスを追跡および分析する機能を提供します。これには、着信トラフィック、リソースの使用状況、エラーなどの情報が含まれます。 ZEVENETはロギングシステムを提供します システム >> ログ. 報告のために、アクセスすることができます システム >> お知らせ. 通知には以下が含まれます メール and アラート.

セキュリティ: すべての Web ベースのアプリケーションには、ロード バランサーへの受信トラフィックを監視およびフィルター処理して、悪意のあるトラフィックを排除したり、指定された位置情報へのアクセスを許可したりするためのセキュリティ システムが必要です。 この機能は、 IPDS ZEVENETを使用する場合のモジュール。 このモジュールは、 WAF, DoS攻撃 保護、 RBLブラックリスト.

実サーバー: 実サーバーは、サーバー プールの一部であり、要求の処理と配信を処理する物理サーバーまたは仮想サーバーです。 これらのサーバーは、クライアントに提供されるアプリケーションまたはサービスの実行を担当します。 リアルサーバーは以下と同じ バックエンド ZEVENET ADCで。

仮想サーバー: 仮想サーバーは、Web トラフィックを受信し、そのトラフィックを適切なサーバー プールまたはサービスに分散するための、リスナー、IP、およびポートを備えた前面インターフェイスです。 ZEVENET は、 牧場.

ヘルスチェック: これらは、バックエンドとそれらが提供するサービスの可用性を監視するコマンドです。 これは、サービスの可用性を追跡するために ICMP またはカスタム HTTP コマンドを実行することによって実現されます。 ZEVENETは、プリロードされたヘルスメカニズムとカスタムヘルスチェックを行う方法の両方を提供します 農場の守護者.

構成例: リンク負荷分散

ホスト サーバーにプロセスと要求の負荷がかかると、複数の WAN を介してこのトラフィックを分散するアウトバウンド戦略を利用して、これらの要求に迅速に応答し、ネットワークのボトルネックとパフォーマンスの低下を防ぐ必要があります。 このアウトバウンド戦略では、アップリンクのロード バランシングが必要です。 コスト面では、XNUMX つの高コスト リンクではなく、複数の低コスト インターネット リンクを使用することで、インターネット帯域幅のコストを削減できます。

Zevenet と Fortinet の両方がリンク ロード バランシングを提供します。 Zevenet のリンク ロード バランサーは、ADC パッケージの一部であり、 DSLB モジュールを開きます。

FortiGate構成に基づいて、Zevenet ADCを使用してアクティブ-アクティブ アップリンク ロード バランシングを構成します。

フォーティネット構成

これらのフォーティネット構成は、アップリンク構成をフォーティネットから ZEVENET に移行する際のベースとして機能します。 すでにそれらに精通していることを前提としているため、簡単に理解できます。

  1. 【送信】ボタンをクリックします。販売者は原則としてXNUMX日以内に回答を返信します。XNUMX日を過ぎても回答がない場合は、Artisanaryまでお問い合わせください。 リンク負荷バランス >> リンクグループ >> ゲートウェイ.
  2. 入力します お名前 WAN1、WAN2、ISP1、ISP2 などのルーターを識別します。
  3. ルーターの IPアドレス.
  4. オプションで ヘルスチェックを有効にする.
  5. をセットする インバウンド帯域幅.
  6. をセットする アウトバウンド帯域幅.
  7. 作成セッションプロセスで インバウンド スピルオーバーのしきい値.
  8. アウトバウンド スピルオーバーのしきい値を設定します。
  9. ストリーミングを停止する場合は上部の セールで節約 ボタン。
  1. 【送信】ボタンをクリックします。販売者は原則としてXNUMX日以内に回答を返信します。XNUMX日を過ぎても回答がない場合は、Artisanaryまでお問い合わせください。 リンク ロード バランス >> リンク グループ.
  2. 入力します お名前 グループを識別します。
  3. 入力します アドレスタイプ IPV4として。
  4. アクティブ-アクティブ構成の場合は、 ルート方法: 加重ラウンド ロビン。
  5. 有効にします 近接ルート.
  1. [リンク メンバー] セクション内で、 新規作成.
  2. 入力します お名前 メンバーを識別します。
  3. ドロップダウンリストから ゲートウェイ 最初のリンクのリンク。
  4. を割り当てます 重量 の 1 を選択し、保存ボタンをクリックします。
  5. 手順を繰り返して、2 番目のリンク メンバーを追加します。
  6. ストリーミングを停止する場合は上部の セールで節約 ボタンをクリックして、リンク グループも保存します。
  1. 【送信】ボタンをクリックします。販売者は原則としてXNUMX日以内に回答を返信します。XNUMX日を過ぎても回答がない場合は、Artisanaryまでお問い合わせください。 リンク ロード バランス >> リンク ポリシー.
  2. リンク グループとして以前に作成したリンク グループを選択します。 デフォルト リンク グループ.
  3. ストリーミングを停止する場合は上部の セールで節約 ボタン。
  4. ストリーミングを停止する場合は上部の 新規作成 新しいポリシーを追加します。
  5. 選択する 入力インターフェイス.
  6. 現在地に最も近い ソースの種類 アドレスとして ソース として。
  7. 選択 宛先タイプ サービスとして選択 全て.
  8. 選択 グループの種類 リンクグループとして、以前に作成したグループを使用します。
  9. ストリーミングを停止する場合は上部の セールで節約 ボタン。

ZEVENET構成

このセクションでは、ZEVENET ADC を使用してアップリンクの負荷分散を構成します。 アウトバウンド トラフィックをリダイレクトする、異なる ISP からの少なくとも 2 つのルーターがあることを前提としています。 これは、アクティブ-アクティブ接続またはアクティブ パッシブ接続のどちらが必要かによって異なります。

指示:

エイリアス名の作成

  1. 【送信】ボタンをクリックします。販売者は原則としてXNUMX日以内に回答を返信します。XNUMX日を過ぎても回答がない場合は、Artisanaryまでお問い合わせください。 ネットワーク >> エイリアス >> IP エイリアスの作成.
  2. 入力する IPアドレス 最初のルーターの。
  3. 入力します お名前 それは簡単に識別できます。
  4. ストリーミングを停止する場合は上部の お申し込み ボタン。
  5. プロセスを繰り返して、2 番目のルーターのエイリアス名を追加します。

DSLB ファームの作成

  1. 【送信】ボタンをクリックします。販売者は原則としてXNUMX日以内に回答を返信します。XNUMX日を過ぎても回答がない場合は、Artisanaryまでお問い合わせください。 DSLB >> ファーム >> ファームの作成.
  2. 入力します お名前 この農場を簡単に識別できます。
  3. 現在地に最も近い 仮想IP 住所。 この IP アドレスは、ロード バランサーのゲートウェイとして機能します。

    4. oracle_jd_edwards_load_balancing_farm

  4. ストリーミングを停止する場合は上部の お申し込み ボタンをクリックして構成を保存します。

サービスを作成する

  1. クリックします。 サービス タブ。
  2. アクティブ-パッシブ構成の場合は、ロード バランサー スケジューラを次のように選択します。 優先順位:常に利用可能な最も優先度の高いものへの接続. この構成では、アクティブ-アクティブ セットアップを構成します。 我々は使用するだろう 重量:重量による接続線形発送.

    3. oracle_jd_edwards_load_balancing_farm

  3. ストリーミングを停止する場合は上部の お申し込み ボタンをクリックして構成を保存します。

バックエンドを追加

  1. [バックエンド] セクション内で、 バックエンドを作成する ボタン。
  2. 以内 エイリアス セクションで、最初の ISP または最初のルーターのエイリアス名を選択します。
  3. 現在地に最も近い インタフェース 最初のルーターの。

    4. oracle_jd_edwards_load_balancing_farm

  4. ストリーミングを停止する場合は上部の お申し込み ボタン。
  5. このプロセスを繰り返して、2 番目のルーターを追加します。 デフォルト 優先 and 重量 1です。

    6. oracle_jd_edwards_load_balancing_farm

  6. 右上隅にある アクション 緑の再生ボタンをクリックして、ファームを有効にします。

ZEVENET を使用したアップリンクの負荷分散に関するその他のリソース、アーキテクチャ、および設計については、次を参照してください。 アップリンク ロード バランシングのクイック スタート ガイド。

構成例: セキュリティ (WAAP)/構成

WAAP は、Web アプリケーションと API をサイバー脅威から保護するセキュリティ システムです。 WAAP は、自動化や機械学習などの高度なテクノロジを使用して、SQL インジェクション、クロスサイト スクリプティング、その他の一般的な攻撃などの悪意のあるトラフィックを検出してブロックします。 あ WAP アプリケーション層のファイアウォール、DoS 保護、侵入防止などの機能があります。 これらの高度な機能により、より堅牢で包括的なセキュリティ ソリューションが提供されます。 ZEVENET IPDS モジュールを介して WAAP を実装します。

Fortigate を使用した Fortinet のセキュリティ構成と、ZEVENET で同様の機能を実装する方法について説明します。 この例では、 WAF.

フォーティネット構成

これらは、ZEVENET WAF 構成を作成するためにベースとなる Fortinet 構成です。 これらの構成にアクセスするには、FortiADC にリンクする別の製品 FortiGate をインストールします。

説明書

  1. 【送信】ボタンをクリックします。販売者は原則としてXNUMX日以内に回答を返信します。XNUMX日を過ぎても回答がない場合は、Artisanaryまでお問い合わせください。 システム >> 設定.
  2. までスクロール 検査モード セクション、から変更 フローベース 〜へ プロキシ、をクリックします お申し込み ボタン。
  3. 検査モードを変更したら、 セキュリティ ポリシー >> ウェブ アプリケーション ファイアウォール.
  4. 以内 署名 トグル ボタンをクリックして、すべての形式の WAF 保護を有効にします。 これらには以下が含まれます SQLインジェクション, 一般的な攻撃, トロイの木馬, 既知のエクスプロイト, 悪いロボット, etc.
  5. 以内 制約 テーブル、制約を有効にして制限する コンテンツの長さ, ヘッダーの長さ, URL パラメータの合計長, etc.
  6. 下にスクロールして HTTP メソッド ポリシーの適用.
  7. を割り当てます VIP クリックして保護したい ポリシーとオブジェクト >> 仮想 IP.
  8. を割り当てます お名前 VIP向け。
  9. 現在地に最も近い インタフェース あなたのADC VIP 構成されています。
  10. 入力 外部 IP アドレス/範囲
  11. 入力します マッピングされた IP アドレス/範囲
  12. ストリーミングを停止する場合は上部の OK ボタンをクリックして構成を保存します。
  13. をクリックして、IPV4 ポリシーを作成します。 ポリシーとオブジェクト >> IPV4 ポリシー.
  14. IPV4 ポリシーを割り当てます お名前.
  15. 追加する 入ってくる発信インターフェース.
  16. ほかに ソース ラベル、選択 全て.
  17. ほかに 開催場所、選択 VIP 作成したアドレス。
  18. 以内 セキュリティ プロファイル、オンに切り替え Webアプリケーションファイアウォール オプションを選択します。
  19. 以内 ロギング オプション、トグルオン 許可されたトラフィックをログに記録する を用意しました 全て セッション。
  20. ストリーミングを停止する場合は上部の OK ボタン。

ZEVENET構成

ZEVENET IPDS には WAAP 機能があるだけでなく、その Web アプリケーション ファイアウォールには次世代 WAF 機能があります。 IPDS モジュールは、DoS 保護、堅牢な機能を備えた Web アプリケーション ファイアウォール、RBL、およびブラックリスト ポリシーを提供します。

ZEVENET ADCのOWASP脆弱性から保護するためにWAFを設定することに焦点を当てます。 デフォルトでは、ZEVENET には組み込みのルールが付属しています。 これらのルールには、REQUEST-903-9003-NEXTCLOUD-EXCLUSION-RULES、REQUEST-903-9002-WORDPRESS-EXCLUSION-RULES、REQUEST-931-APPLICATION-ATTACK-RFI などがあります。

このセクションでは、カスタム ルールセットを作成します。

説明書

ルールセットの作成

  1. 【送信】ボタンをクリックします。販売者は原則としてXNUMX日以内に回答を返信します。XNUMX日を過ぎても回答がない場合は、Artisanaryまでお問い合わせください。 IPDS >> WAF >> ルールセット.
  2. ストリーミングを停止する場合は上部の WAF ルールセットの作成 ボタン。
  3. を割り当てます お名前 ルールセットを識別します。
  4. メディア ルールセットをコピー フィールドでは、ドロップダウン リストから選択できます。 このデモンストレーションでは、 –ルールセットなし–
  5. 割り当てることができます デフォルトのアクション as Deny: リクエストを切り取り、残されたルールを実行しません。
  6. ストリーミングを停止する場合は上部の お申し込み ボタン。

ルールを追加する

  1. ルールセットを作成したら、このルールセットにルールを適用する必要があります。 クリック キャンペーンのルール タブでを確認できます。
  2. ストリーミングを停止する場合は上部の 新しいルール ボタン。
  3. 3あり ルールの種類、選択します アクション.
  4. 選択する : リクエストボディを受け取る.
  5. 以内 決議 フィールド、選択 拒否: リクエストをカットし、残ったルールは実行しません。 そして最後に 説明 ルールのために。
  6. ストリーミングを停止する場合は上部の お申し込み ボタンをクリックして構成を保存します。

条件の追加

  1. 作成したばかりのルールをクリックし、 の賃貸条件 のセクションから無料でダウンロードできます。
  2. 条件セクションでは、保護する攻撃の種類を指定します。 クリック 条件を作成する ボタン。
  3. 以内 変数 フィールドで、攻撃がサービスへのアクセスに使用する可能性のある方法またはパスを選択します。 この例では、追加します REQUEST_URI and REQUEST_BODY.
  4. 以内 演算子 セクションで、保護するルールを選択します。 ルールには、verifyCreditCard、verifySSN、validateUTF8Encoding、detectXXS、detectSQLi などがあります。この例では、 verifyCreditCard.
  5. この Operator には、PCRE 形式の正規表現を追加します。 Visaカードを検証していると仮定すると、正規表現を使用します
    ^4[0-9]{12}(?:[0-9]{3})?$

    中で オペレーティング 分野。 一部のオペレーターは、Operating パラメーターを必要としないことに注意してください。

  6. ストリーミングを停止する場合は上部の お申し込み ボタンをクリックして条件を作成します。
  7. の右上隅に アクション セクションで、緑色の再生ボタンをクリックしてルールを有効にします。

このルールを設定したら、保護したいファームに追加できます。
ZEVENET WAFの詳細については、こちらをお読みください IPDS | WAF | 更新

その他のリソース

ロード バランサーの SSL 証明書を構成します。
Let's encrypt プログラムを使用して、SSL 証明書を自動生成します。
ZEVENET ADCによるDNS負荷分散。
DDoS 攻撃からの保護。
ZEVENET ADC でのアプリケーション、ヘルス、およびネットワークの監視。

上の共有:

GNU Free Documentation Licenseの条項に基づくドキュメンテーション。

この記事は役に立ちましたか?

はい いいえ

関連記事