Fortinet에서 ZEVENET으로 ADC 서비스를 마이그레이션하는 방법

게시일: 15년 2023월 XNUMX일

Overview

FortiADC는 Fortinet에서 개발한 애플리케이션 제공 컨트롤러입니다. 애플리케이션 보안, 트래픽 관리 및 서버에서 실행되는 애플리케이션의 가용성을 제공하는 것을 목표로 합니다. 그러나 ZEVENET은 클라우드 배포 및 가용성에서 우위를 점합니다. 다음을 통해 클라우드 계정을 만들 수 있습니다. ZVNcloud에서 직접 노드를 배포하거나 AWS 또는 Microsoft 하늘빛 시장.

차세대 보안 기능을 갖춘 보다 유연한 ADC가 필요한 경우 레이어 4 및 7 로드 밸런싱, 글로벌 로드 밸런싱, 링크 로드 밸런싱 등이 필요합니다. 이 기사에서는 FortiADC 개념에 대해 논의하고 이러한 개념을 사용하여 ZEVENET ADC에서 유사한 구성을 만듭니다.

사전 조건

다음은 FortiADC에서 ZEVENET ADc로 마이그레이션하기 전의 전제 조건입니다.

  1. ZEVENET ADC의 인스턴스는 워크스테이션, 베어메탈, 가상 환경에 설치하거나 ZVNcloud. 온프레미스 배포의 경우 평가를 요청합니다.
  2. 웹 그래픽 인터페이스에 대한 액세스 권한이 있어야 합니다. 그렇지 않다면 이 빠른 설치 설명서.
  3. FortiADC에 익숙하고 그 개념에 대해 잘 알고 있어야 합니다.
  4. ZEVENET으로 가상 서버를 만들 수 있어야 합니다. 다음 가이드를 따르세요. 계층 4 및 계층 7 가상 서버 구성.

기본 개념

링크 로드 밸런싱: 링크 로드 밸런싱은 여러 네트워크에 네트워크 트래픽을 분산시키는 것을 말합니다. WAN 연결 또는 ISP는 네트워크 성능을 최적화하고 안정성을 높입니다. 안정성은 중복성을 위해 서로 다른 ISP에 대한 업링크를 사용하여 얻을 수 있습니다. 하나의 ISP가 다운되면 사용 가능한 서비스로 장애 조치가 발생합니다. ZEVENET은 다음을 통해 링크 로드 밸런싱을 위한 내장형 업링크 장애 조치 시스템을 제공합니다. DSLB.

글로벌 로드 밸런싱: 글로벌 로드 밸런싱은 해당 지역의 클라이언트에게 더 나은 사용자 경험을 제공하기 위해 다양한 지리적 위치에 있는 서로 다른 데이터 센터의 여러 서버 또는 리소스에 네트워크 트래픽을 분산시키는 것을 말합니다. ZEVENET은 GSLB 기준 치수.

고가용성: 고가용성은 가동 중지 시간을 최소화하면서 사용자가 액세스할 수 있고 작동 상태를 유지하는 시스템, 애플리케이션 또는 서비스의 기능입니다. 장애 발생 시 시스템이 자동으로 백업 또는 보조 리소스로 전환할 수 있도록 하는 장애 조치 메커니즘을 구축하여 고가용성을 달성할 수 있습니다. 다음을 통해 HA를 달성할 수 있습니다. 클러스터 ZEVENET ADC에서.

서버 로드 밸런싱: 개인 로컬 네트워크 내에서 들어오는 웹 트래픽의 로드 밸런싱을 나타냅니다. ZEVENET은 LSLB 로드 밸런싱, 검사 및 로컬 트래픽 제어를 위한 모듈입니다.

서버 풀: 서버 풀은 특정 서비스나 응용 프로그램을 제공하기 위해 함께 작동하도록 구성된 실제 서버 그룹입니다. ZEVENET ADC에서 서버 풀을 생성하여 구성할 수 있습니다. 서비스.

로깅 및 보고: 로깅 및 보고는 들어오는 트래픽, 리소스 사용 및 오류와 같은 정보를 포함하여 풀의 서버 및 로드 밸런서의 성능을 추적하고 분석하는 기능을 제공합니다. ZEVENET은 다음을 통해 로깅 시스템을 제공합니다. 시스템 >> 로그. 보고를 위해 액세스할 수 있습니다. 시스템 >> 알림. 알림에는 다음이 포함됩니다. 이메일알림.

보안 : 모든 웹 기반 애플리케이션에는 악의적인 트래픽을 제거하거나 지정된 지리적 위치에 대한 액세스를 허용하기 위해 로드 밸런서로 들어오는 트래픽을 모니터링하고 필터링하는 보안 시스템이 필요합니다. 다음을 통해 이 기능을 달성할 수 있습니다. IPDS ZEVENET을 사용할 때 모듈. 이 모듈은 다음을 제공합니다. WAF, 서비스 거부 보호, RBL 블랙리스트.

실제 서버: 실제 서버는 서버 풀의 일부이며 요청 처리 및 전달을 처리하는 물리적 또는 가상 서버입니다. 이러한 서버는 클라이언트에 제공되는 응용 프로그램 또는 서비스 실행을 담당합니다. 실제 서버는 다음과 같습니다. 백엔드 ZEVENET ADC에서.

가상 서버: 가상 서버는 웹 트래픽을 수신한 다음 해당 트래픽을 적절한 서버 풀 또는 서비스에 배포하기 위한 수신기, IP 및 포트가 있는 전면 인터페이스입니다. ZEVENET은 다음을 통해 유사한 기능을 제공합니다. 농장.

건강 검진 : 백엔드의 가용성과 백엔드가 제공하는 서비스를 모니터링하는 명령입니다. 그들은 서비스 가용성을 추적하기 위해 ICMP 또는 사용자 지정 HTTP 명령을 실행하여 이를 달성합니다. ZEVENET은 미리 로드된 상태 메커니즘과 다음을 통해 사용자 지정 상태 확인을 수행하는 방법을 모두 제공합니다. 농장 가디언.

구성 예: 링크 로드 밸런싱

호스트 서버에 프로세스 및 요청이 로드되면 여러 WAN을 통해 이 트래픽을 분산시키는 아웃바운드 전략을 활용하여 이러한 요청에 빠르게 응답하여 네트워크 병목 현상 및 성능 저하를 방지해야 합니다. 이 아웃바운드 전략에는 업링크 로드 밸런싱이 필요합니다. 비용 측면에서 하나의 고비용 링크가 아닌 여러 저비용 인터넷 링크를 사용하여 인터넷 대역폭 비용을 줄일 수 있습니다.

Zevenet과 Fortinet은 모두 링크 로드 밸런싱을 제공합니다. Zevenet의 링크로드 밸런서는 ADC 패키지의 일부이며 다음을 통해 제공됩니다. DSLB 기준 치수.

FortiGate 구성을 기반으로 Zevenet ADC로 활성-활성 업링크 부하 분산을 구성합니다.

포티넷 구성

이러한 Fortinet 구성은 Uplink 구성을 Fortinet에서 ZEVENET으로 마이그레이션할 때 기반 역할을 합니다. 이미 익숙하다고 가정하므로 따라가기가 더 쉬울 것입니다.

  1. 링크 로드 밸런스 >> 링크 그룹 >> 게이트웨이.
  2. 입력 이름 예를 들어 WAN1, WAN2, ISP1 또는 ISP2와 같은 라우터를 식별합니다.
  3. 라우터를 입력 IP 주소.
  4. 선택적으로 상태 확인 활성화.
  5. 설정 인바운드 대역폭.
  6. 설정 아웃바운드 대역폭.
  7. 세트 인바운드 스필오버 임계값.
  8. 아웃바운드 스필오버 임계값을 설정합니다.
  9. 클릭 찜하기 버튼을 클릭합니다.
  1. 링크 로드 밸런스 >> 링크 그룹.
  2. 입력 이름 그룹을 식별합니다.
  3. 엔터 버튼 주소 유형 IPV4로.
  4. 활성-활성 구성의 경우 다음을 선택합니다. 경로 방법: 가중 라운드 로빈.
  5. 사용 근접 경로.
  1. 링크 회원 섹션 내에서 새로 만들기.
  2. 입력 이름 회원을 식별합니다.
  3. 를 선택 게이트웨이 첫 번째 링크에 대한 링크입니다.
  4. 할당 무게 1의 저장 버튼을 클릭합니다.
  5. 절차를 반복하여 두 번째 링크 구성원을 추가합니다.
  6. 클릭 찜하기 버튼을 눌러 링크 그룹도 저장합니다.
  1. 링크 로드 밸런스 >> 링크 정책.
  2. 이전에 만든 Link Group을 기본 링크 그룹.
  3. 클릭 찜하기 버튼을 클릭합니다.
  4. 클릭 새로 만들기 새 정책을 추가합니다.
  5. 선택 인그레스 인터페이스.
  6. 선택 소스 유형 주소로 출처 ANY로.
  7. 선택 대상 유형 서비스로 선택 모든.
  8. 선택 그룹 유형 링크 그룹으로 이전에 생성한 그룹을 사용합니다.
  9. 클릭 찜하기 버튼을 클릭합니다.

ZEVENET 구성

이 섹션에서는 ZEVENET ADC로 업링크 부하 분산을 구성합니다. 아웃바운드 트래픽을 리디렉션하려는 서로 다른 ISP의 라우터가 2개 이상 있다고 가정합니다. 활성-활성 또는 활성 수동 연결을 원하는지 여부에 따라 다릅니다.

명령:

별칭 이름 만들기

  1. 네트워크 >> 별칭 >> IP 별칭 만들기.
  2. 입력 IP 주소 첫 번째 라우터의.
  3. 입력 이름 쉽게 식별할 수 있습니다.
  4. 클릭 신청 버튼을 클릭합니다.
  5. 이 과정을 반복하여 두 번째 라우터에 대한 별칭 이름을 추가합니다.

DSLB 팜 만들기

  1. DSLB >> 농장 >> 농장 만들기.
  2. 입력 이름 이 팜을 쉽게 식별할 수 있습니다.
  3. 선택 가상 IP 주소. 이 IP 주소는 로드 밸런서의 게이트웨이 역할을 합니다.

    4. oracle_jd_edwards_load_balancing_farm

  4. 클릭 신청 버튼을 눌러 구성을 저장합니다.

서비스 생성

  1. 온 클릭 서비스 탭.
  2. 능동-수동 구성의 경우 로드 밸런서 스케줄러를 다음과 같이 선택하십시오. 우선 순위 : 항상 가장 가능성있는 연결로 연결. 이 구성의 경우 활성-활성 설정을 구성합니다. 우리는 사용할 것입니다 무게 : 중량으로 연결 선형 파견.

    3. oracle_jd_edwards_load_balancing_farm

  3. 클릭 신청 버튼을 눌러 구성을 저장합니다.

백엔드 추가

  1. 백엔드 섹션에서 백엔드 생성 버튼을 클릭합니다.
  2. 별명 섹션에서 첫 번째 ISP 또는 첫 번째 라우터의 별칭 이름을 선택합니다.
  3. 선택 인터페이스 첫 번째 라우터의.

    4. oracle_jd_edwards_load_balancing_farm

  4. 클릭 신청 버튼을 클릭합니다.
  5. 이 과정을 반복하여 두 번째 라우터를 추가합니다. 기본값 우선무게 1입니다.

    6. oracle_jd_edwards_load_balancing_farm

  6. 오른쪽 상단에서 행위 그린 재생 버튼을 클릭하여 팜을 활성화합니다.

ZEVENET을 사용한 업링크 로드 밸런싱에 대한 더 많은 리소스, 아키텍처 및 설계를 보려면 다음을 읽으십시오. 업링크 로드 밸런싱을 위한 빠른 시작 안내서.

구성 예: 보안(WAAP)/구성

WAAP는 사이버 위협으로부터 웹 애플리케이션 및 API 보호를 제공하는 보안 시스템입니다. WAAP는 자동화 및 기계 학습과 같은 고급 기술을 사용하여 SQL 인젝션, 사이트 간 스크립팅 및 기타 일반적인 공격을 비롯한 악성 트래픽을 탐지하고 차단합니다. ㅏ 와프 애플리케이션 계층 방화벽, DoS 보호 및 침입 방지와 같은 기능이 있습니다. 이러한 고급 기능은 보다 강력하고 포괄적인 보안 솔루션을 제공합니다. ZEVENET은 IPDS 모듈을 통해 WAAP를 구현합니다.

Fortigate를 사용한 Fortinet 보안 구성과 ZEVENET에서 유사한 기능을 구현하는 방법에 대해 설명합니다. 이 예에서는 WAF.

포티넷 구성

이들은 ZEVENET WAF 구성을 만들기 위해 기반으로 삼을 Fortinet 구성입니다. 이러한 구성에 액세스하려면 FortiADC에 연결할 별도의 제품인 FortiGate를 설치하십시오.

명령

  1. 시스템 >> 설정.
  2. 때까지 스크롤 검사 모드 섹션, 변경 흐름 기반대리를 클릭하고 신청 버튼을 클릭합니다.
  3. 검사 모드 변경 후 클릭 보안정책 >> 웹방화벽.
  4. 서명 테이블에서 토글 버튼을 클릭하여 모든 형태의 WAF 보호를 활성화합니다. 여기에는 다음이 포함됩니다. SQL 주입, 일반 공격, 트로이 목마, 알려진 익스플로잇, 나쁜 로봇
  5. 제약 테이블, 제한할 제약 조건 활성화 콘텐츠 길이, 헤더 길이, 총 URL 매개변수 길이
  6. 아래로 스크롤 HTTP 메서드 정책 적용.
  7. 할당 VIP 클릭하여 보호하고 싶습니다 정책 및 개체 >> 가상 IP.
  8. 할당 이름 VIP를 위해.
  9. 선택 인터페이스 귀하의 ADC VIP 구성되었습니다.
  10. ~을 입력하십시오. 외부 IP 주소/범위
  11. 입력 매핑된 IP 주소/범위
  12. 클릭 OK 버튼을 눌러 구성을 저장합니다.
  13. 클릭하여 IPV4 정책 생성 정책 및 목적 >> IPV4 정책.
  14. IPV4 정책 할당 이름.
  15. 추가 들어오는나가는 인터페이스.
  16. 게다가 출처 레이블, 선택 전체.
  17. 게다가 목적지,를 선택 VIP 생성한 주소입니다.
  18. 보안 프로필, 토글 웹 응용 프로그램 방화벽 옵션을 선택합니다.
  19. 로깅 옵션, 켜기 허용된 트래픽 기록 HDMI 전체 세션.
  20. 클릭 OK 버튼을 클릭합니다.

ZEVENET 구성

ZEVENET IPDS에는 WAAP 기능이 있을 뿐만 아니라 웹 애플리케이션 방화벽에는 차세대 WAF 기능이 있습니다. IPDS 모듈은 DoS 보호, 강력한 기능을 갖춘 웹 애플리케이션 방화벽, RBL 및 블랙리스트 정책을 제공합니다.

ZEVENET ADC의 OWASP 취약점으로부터 보호하기 위해 WAF를 설정하는 데 중점을 둘 것입니다. 기본적으로 ZEVENET에는 내장 규칙이 있습니다. 이러한 규칙 중 일부는 REQUEST-903-9003-NEXTCLOUD-EXCLUSION-RULES, REQUEST-903-9002-WORDPRESS-EXCLUSION-RULES, REQUEST-931-APPLICATION-ATTACK-RFI 등을 포함합니다.

이 섹션에서는 사용자 지정 규칙 세트를 만듭니다.

명령

규칙 세트 만들기

  1. IPDS >> WAF >> 규칙 세트.
  2. 클릭 WAF 규칙 세트 만들기 버튼을 클릭합니다.
  3. 할당 이름 규칙 세트를 식별합니다.
  4. . 규칙 세트 복사 필드에서 드롭다운 목록에서 선택할 수 있습니다. 이 데모에서는 다음을 사용합니다. –규칙 없음–
  5. 다음을 할당할 수 있습니다. 기본 작업 as 거부: 요청을 자르고 남은 규칙을 실행하지 않습니다.
  6. 클릭 신청 버튼을 클릭합니다.

규칙 추가

  1. 규칙 세트를 생성한 후 이 규칙 세트에 규칙을 적용해야 합니다. 클릭 규칙 탭.
  2. 클릭 새 규칙 버튼을 클릭합니다.
  3. 3이 있습니다 규칙 유형우리는 선택합니다 동작.
  4. 선택 : 요청 본문이 수신되었습니다..
  5. 해상도 필드, 선택 거부: 요청을 잘라내고 규칙을 실행하지 않습니다. 그리고 마지막으로 추가 설명: 규칙을 위해.
  6. 클릭 신청 버튼을 눌러 구성을 저장합니다.

조건 추가

  1. 방금 만든 규칙을 클릭하고 다음으로 스크롤합니다. 상태 안내
  2. 조건 섹션은 보호할 공격 유형을 지정하는 곳입니다. 클릭 조건 만들기 버튼을 클릭합니다.
  3. 변하기 쉬운 필드, 공격이 서비스에 액세스하는 데 사용할 가능성이 있는 방법 또는 경로를 선택합니다. 이 예에서는 다음을 추가합니다. REQUEST_URIREQUEST_BODY.
  4. 운영자 섹션에서 보호할 규칙을 선택합니다. 규칙 중 일부는 verifyCreditCard, verifySSN, validateUTF8Encoding, detectXXS, detectSQLi 등입니다. 이 예에서는 다음을 사용합니다. 확인 신용 카드.
  5. 이 연산자의 경우 PCRE 형식의 정규식을 추가합니다. Visa 카드의 유효성을 검사한다고 가정하고 정규식을 사용합니다.
    ^4[0-9]{12}(?:[0-9]{3})?$

    이내 운영 필드. 일부 Operator에는 Operating 매개변수가 필요하지 않습니다.

  6. 클릭 신청 버튼을 눌러 조건을 만듭니다.
  7. 오른쪽 상단 모서리에서 동작 섹션에서 녹색 재생 버튼을 클릭하여 규칙을 활성화합니다.

이 규칙이 적용되면 이제 보호하려는 농장에 추가할 수 있습니다.
ZEVENET WAF에 대해 자세히 알아 보려면 다음을 읽으십시오. IPDS | WAF | 최신 정보

추가 자료

로드 밸런서에 대한 SSL 인증서 구성.
Let's encrypt 프로그램을 사용하여 SSL 인증서를 자동 생성합니다.
ZEVENET ADC를 사용한 DNS 부하 분산.
DDoS 공격으로부터 보호.
ZEVENET ADC의 애플리케이션, 상태 및 네트워크 모니터링.

공유 :

GNU Free Documentation License의 조건에 따른 문서.

이 글이 도움 되었나요?

가능 아니

관련 기사