Overview
이 기사를 읽으면 Sangfor 외에 다른 ADC 옵션을 고려하고 있으며 ZEVENET이 비즈니스에 필수품을 제공하는지 여부를 결정할 수 있음을 알 수 있습니다. Sangfor 수명 종료 발표(판매) 일부 보안 및 네트워킹 제품에 대해. ZEVENET은 비즈니스 요구 사항을 다음 모험으로 옮기는 데 필요한 것입니다.
Sangfor와 달리 ZEVENET은 ADC가 효율적으로 작동하는 데 필요한 모든 기능을 제공합니다. 여기에는 레이어 4 및 7 로드 밸런싱, 웹 애플리케이션 및 네트워크 보안, 고가용성, 글로벌 로드 밸런싱 등이 포함됩니다.
이 기사에서는 Sangfor IAM 및 NGAF를 기반으로 한 몇 가지 구성을 보여줍니다. 이것은 ZEVENET에 빠르게 적응하는 데 도움이 될 것입니다.
사전 조건
Sangfor ADC에서 ZEVENET으로 마이그레이션하려면 다음 전제 조건을 모두 충족해야 합니다.
- PC, 베어 메탈, 가상 환경 또는 클라우드 플랫폼. 온프레미스 배포의 경우 평가를 요청하다.
- 이 빠른 작업을 수행하여 웹 사용자 인터페이스에 액세스하십시오. 설치 안내서.
- SANGFOR 네트워킹 개념에 여전히 익숙해야 합니다. 아래 섹션에서 이에 대해 더 논의할 것입니다.
- 가이드에 따라 ZEVENET 부하 분산 장치에서 가상 서버를 만드는 방법을 알아보십시오. 계층 4 및 계층 7 가상 서버 구성.
기본 개념
링크 로드 밸런싱: Sangfor NGAF의 이 기능은 아웃바운드 트래픽이 여러 WAN 연결 간에 균형을 이루도록 하여 하나의 ISP가 다운되는 경우 다운타임을 방지합니다. ZEVENET은 다음을 통해 링크 부하 분산을 구현합니다. DSLB 농장.
NGAF: 이 차세대 방화벽은 악성 페이로드로부터 네트워크를 보호하는 보안 기능을 제공합니다. 웹 앱 보호, 액세스 제어, IPS 등이 포함됩니다. ZEVENET은 IPDS 차세대 방화벽 기능을 제공하는 모듈. IPDS 모듈은 API 보호, 웹 앱 보호, RBL, 블랙리스트 등을 제공합니다.
고가용성: 활성-수동 또는 활성-활성 쌍 구성에서 네트워크 가동 시간을 유지합니다. 활성-활성 상황에서 마스터 노드 또는 하나의 노드에 이벤트 장애가 발생하는 경우 네트워크는 정상 노드로 전환됩니다. ZEVENET은 클러스터를 통해 고 가용성을 구현합니다. 하나는 탐색 할 수 있습니다 시스템 >> 클러스터.
액세스 제어: 이 기능은 단일 IP 또는 IP 범위에 대한 액세스를 거부하거나 허용합니다. 이러한 IP는 스패머의 IP일 수 있습니다. 액세스 제어를 사용하여 액세스를 거부하거나 전체 지리적 위치를 허용할 수도 있습니다. ZEVENET은 다음을 통해 액세스 제어를 구현합니다. IPDS >> 블랙리스트. 하나는 구성할 수 있습니다 소스 "로컬" 또는 "원격"으로.
SSL 복호화 및 검사: 방화벽이 암호화된 HTTPS 트래픽을 효과적으로 모니터링하려면 방화벽이 모든 악성 페이로드를 검사하고 필터링하도록 SSL 암호 해독을 활성화해야 합니다. ZEVENET은 HTTPS 팜에서 유사한 기능을 제공합니다. 하나는 구성할 수 있습니다 암호문 SSL 트래픽을 해독하기 위해 "SSL 오프로딩"으로 전환합니다.
IPSEC VPN: 이 Sangfor VPN 기능은 보안 터널을 통해 회사의 지사 네트워크와 본사의 사이트 간 연결을 가능하게 합니다. ZEVENET에서 사이트 간 VPN을 활성화하려면 액세스 네트워크 >> VPN 만들고 ZSS(사이트 간) 윤곽.
구성 예: IPSEC VPN
사이트 간 VPN을 사용하면 인터넷을 통해 둘 이상의 사설 네트워크를 안전하게 연결할 수 있습니다. 예를 들어 조직의 지점을 본사에 연결하고 동일한 사설 네트워크에 있는 것처럼 수행하도록 해야 할 수 있습니다.
IPSec은 종종 사용되는 프로토콜입니다. 이 프로토콜은 참여 피어 간의 데이터 암호화, 무결성 및 인증을 제공하며 ZEVENET 및 Sangfor VPN 모두 사이트 간 VPN 기능과 함께 제공됩니다.
Sangfor에서 마이그레이션하는 경우 이 섹션에서는 더 쉬운 전환을 위해 두 구성을 모두 보여줍니다.
SANGFOR 구성
Sangfor를 사용하면 Branch 및 HQ 구성을 별도로 구성할 수 있습니다. 지점 구성부터 시작하겠습니다.
VPN 인터페이스 만들기
- 만들기 VPN >> IPSec VPN >> VPN 인터페이스.
- 인터페이스 섹션에서 추가 버튼을 클릭합니다.
- 드롭다운에서 인터페이스를 선택합니다.
- 입력 넷 마스크 를 클릭하고 찜하기 버튼을 클릭합니다.
- 인터페이스의 확인을 클릭하여 상태를 활성화로 전환합니다.
- . VPN 인터페이스 IP 섹션에 다음을 입력하십시오. IP 주소 클릭 찜하기.
기본 구성 만들기
- VPN >> IPSec VPN >> 기본 사항.
- 입력 기본 웹 에이전트(주 소켓).
- 보장 MTU 값(224-2000) "1500"입니다.
- 떠나 기본 청취 포트 "4009"로.
- 클릭 찜하기 버튼을 클릭합니다.
로컬 사용자 추가
- VPN >> IPSec VPN >> 로컬 사용자.
- 버튼을 클릭하십시오. 새로운 사용자.
- 입력 ID / Username 지점을 식별합니다.
- 입력 비밀번호 해당 사용자에 대해 확인하고 확인합니다.
- 선택 인증 방법을 "로컬"로 지정합니다.
- 선택 암호알고리즘 "DES"로.
- 선택 사용자 유형 "분기 사용자"로.
- 선택 사용자 그룹, 또는 "기본 그룹"으로 두십시오.
- 클릭 찜하기 버튼을 클릭합니다.
모든 지점이 연결될 HQ 구성입니다.
가상 인터페이스 추가
- VPN >> IPSec VPN >> VPN 인터페이스.
- 클릭 추가 인터페이스 섹션 내의 버튼.
- 네트워크 선택 인터페이스 당신의 VPN을 위해.
- 입력 넷 마스크 를 클릭하고 찜하기 버튼을 클릭합니다.
- 내 VPN 인터페이스 IP 섹션에 다음을 입력하십시오. IP 주소 IPV4에서 찜하기 버튼을 클릭합니다.
VPN 연결 추가
- VPN >> IPSec VPN >> VPN 연결.
- 클릭 추가 버튼을 클릭합니다.
- 입력 이름 이 연결을 식별합니다.
- 내 기본 웹 에이전트 필드에 webAgent 소켓(예: 192.168.0.102:4009)을 입력합니다.
- 지점을 입력하십시오 ID / Username, 비밀번호 확인 PWD.
- 다음을 통해 구성을 모니터링할 수 있습니다. Status 항해.
ZEVENET 구성
이 섹션에서는 Sangfor의 이전 구성을 사용하여 Site-site-site VPN 프로필로 ZEVENET IPSec 구성을 설정합니다.
VPN 프로필
- 네트워크 >> VPN >> VPN 만들기.
- 입력 이름 VPN을 식별합니다.
- VPN을 선택하세요 프로필 "ZSS(사이트 대 사이트)"로.
- 인증 방법은 비밀입니다. 입력 비밀번호 이 프로필의 경우.
로컬 게이트웨이 구성
- 입력 로컬 게이트웨이* IPV4 또는 IPV6에서.
- 필드에 서브넷을 입력하십시오. 로컬 네트워크/CIDR*.
원격 게이트웨이 구성
- 입력 원격 게이트웨이* IPV4 또는 IPV6에서.
- 필드에 서브넷을 입력하십시오. 원격 네트워크/CIDR*
IKE 1단계 구성
- 적합한 선택 입증* 행동 양식).
- 적합한 선택 암호화* 방법.
- 필요한 것을 선택하십시오 DH 그룹(S).
IKE 2단계 구성
- 선택 프로토콜 "AH" 또는 "ESP"로 표시됩니다.
- 적합한 선택 인증 행동 양식).
- 유사 선택 암호화(s) 1단계에서와 같이.
- 선택 DH 그룹(s) 1단계에서와 같이.
- 를 선택 의사 랜덤 함수(s) 자신의 취향.
- 클릭 신청 버튼을 눌러 구성을 저장합니다.
더 많은 리소스는 다음을 참조하세요.
VPN IPSec 모드 이해
네트워크 | VPN | 만들다
구성 예: 고가용성
네트워크 확장과 사용자 수가 증가함에 따라 조직은 구성 요소 장애 또는 계획된 유지 관리 중에도 중단 없이 지속적이고 안정적으로 작동할 수 있는 네트워크 인프라가 필요합니다. ZEVENET과 같은 제품을 사용하면 가동 중지 시간을 최소화하고 중요한 응용 프로그램 및 서비스에 항상 액세스할 수 있도록 하는 중복 및 장애 조치 메커니즘을 통해 이를 달성할 수 있습니다.
Sangfor에서 마이그레이션할 때 유사한 기능을 처리하기 위해 Sangfor 및 ZEVENET 구성을 모두 설명합니다.
SANGFOR 구성
- 시스템 >> 네트워크 >> 고가용성.
- 능동-수동 구성의 경우 액티브-스탠바이 옵션을 선택합니다.
- 온 클릭 설정 버튼을 눌러 구성 페이지를 엽니다.
- 설정 장치 이름.
- 선택 우선 현재 장치의 높음 또는 낮음. 활성 및 대기 장치의 우선 순위는 같을 수 없습니다.
기초
- 기본 페이지에서 다음을 선택합니다. 기본 링크 네트워크 인터페이스에서 다음을 입력하십시오. 원격 IP.
- 선택적으로 보조 링크 네트워크 인터페이스에서 다음을 입력하십시오. 원격 IP.
- 입력 공유 비밀 디바이스가 고가용성에 참여하도록 합니다.
- . 추적된 인터페이스 그룹 섹션에서 프로덕션 인터페이스를 선택합니다.
- 다음 감지 페이지로 이동합니다.
Detection System
- 설정 하트비트 시간 초과 초.
- 사용 ARP 프로브 장치 용.
- 입력 프로브 IP 주소, 감지 시간 초과(초), 탐지 복구 간격(초) 감지 간격(ms).
- 사용 ICMP 프로브 프로브 테스트를 위한 IP 또는 도메인을 입력합니다.
- 다음 작업 탭으로 이동합니다.
동작
- 보장 인터페이스에서 추적 기능 제거 확인란이 비활성화됩니다.
- 다음 고급 탭으로 이동합니다.
Advnaced
- 활성화했는지 확인 동시 업그레이드.
- 클릭 커밋 버튼을 눌러 설정을 저장합니다. 장치에 다시 로그인해야 합니다.
- 대기 장치 내에서 설정을 반복하십시오. 그러나 우선순위가 낮음으로 설정되어 있는지 확인하십시오.
ZEVENET 구성
이 섹션에서는 이전 Sangfor에서 설명한 것과 유사한 기능을 표시하도록 HA를 구성합니다.
- 시스템 >> 클러스터.
- 선택 로컬 IP 인터페이스에서 로컬 노드의 주소.
- 입력 원격 IP 원격 노드의.
- 입력 원격 노드 비밀번호.
- 비밀번호를 다시 입력하십시오. 원격 노드 암호 확인.
- 클릭 신청 버튼을 눌러 구성을 저장합니다.
- 내 클러스터 구성 섹션에서 구성된 원격 노드 위로 마우스를 가져가면 연필 아이콘이 있는 편집 버튼을 클릭합니다.
- 활성-활성 HA의 경우 라이브 장애 복구 "비활성화"로. 능동-수동 구성의 경우 장애 복구를 현재 장치의 장애 복구로 변경하십시오.
- 하트비트 검사의 경우 다음을 입력하십시오. 간격 확인.
- 클릭 신청 저장 버튼.
고가용성에 대한 추가 리소스는 다음을 참조하세요. 시스템 | 클러스터
비디오 리소스의 경우 시청
추가 자료
웹 애플리케이션 방화벽 구성.
로드 밸런서에 대한 SSL 인증서 구성.
Let's encrypt 프로그램을 사용하여 SSL 인증서를 자동 생성합니다.
ZEVENET ADC를 사용한 데이터 링크/업링크 로드 밸런싱.
ZEVENET ADC를 사용한 DNS 부하 분산.