Vue d'ensemble #

FortiADC est un contrôleur de livraison d'applications développé par Fortinet. Il vise à assurer la sécurité des applications, la gestion du trafic et la disponibilité des applications exécutées sur les serveurs. Cependant, RELIANOID a le dessus en matière de déploiement et de disponibilité du cloud. On peut créer un compte cloud via ZVNcloud, ou déployez un nœud directement à partir de AWS ou Microsoft Azure marché.

Si vous avez besoin d'un ADC plus flexible avec des fonctionnalités de sécurité de nouvelle génération, un équilibrage de charge des couches 4 et 7, un équilibrage de charge global, un équilibrage de charge de liaison, etc., tenez bon. Dans cet article, nous discuterons des concepts FortiADC et utiliserons ces concepts pour créer des configurations similaires dans RELIANOID ADC.

Pré-requis : #

Voici les prérequis avant de migrer de FortiADC vers RELIANOID ADC.

1. Une instance de RELIANOID ADC doit être installé sur votre poste de travail, sur système nu, dans un environnement virtuel ou avec ZVNcloud. Pour un déploiement sur site, demander une évaluation.
2. Doit avoir accès à l'interface graphique Web. Si vous ne le faites pas, suivez ce rapide guide d'installation.
3. Doit être familier avec FortiADC et connaître ses concepts.
4. Vous devez être capable de créer un serveur virtuel avec RELIANOID. Suivez ce guide : Configuration du serveur virtuel de couche 4 et de couche 7.

Concepts de base #

Équilibrage de charge de lien : L'équilibrage de charge de liaison fait référence à la répartition du trafic réseau sur plusieurs WAN connexions ou FAI pour optimiser les performances du réseau et augmenter la fiabilité. La fiabilité résulte de l'utilisation de liaisons montantes vers différents FAI à des fins de redondance. Si un FAI tombe en panne, le basculement vers le service disponible se produit. RELIANOID fournit un système de basculement de liaison montante intégré pour l'équilibrage de charge des liaisons via DSLB.

Équilibrage de charge global : L'équilibrage de charge global fait référence à la répartition du trafic réseau sur plusieurs serveurs ou ressources dans différents centres de données situés dans diverses géolocalisations afin d'offrir une meilleure expérience utilisateur aux clients de ces régions. RELIANOID dispose d'une solution robuste pour l'équilibrage de charge entre les centres de données en utilisant le GSLB module.

La haute disponibilité: La haute disponibilité est la capacité d'un système, d'une application ou d'un service à rester opérationnel et accessible aux utilisateurs avec un temps d'arrêt minimal. On peut atteindre une haute disponibilité en créant des mécanismes de basculement, qui permettent au système de basculer automatiquement vers une ressource de secours ou secondaire en cas de panne. On peut atteindre HA grâce à un Grappe in RELIANOID ADC.

Équilibrage de la charge du serveur : Fait référence à l'équilibrage de charge du trafic Web entrant au sein d'un réseau local privé. RELIANOID Fournit le LSLB module d'équilibrage de charge, d'inspection et de contrôle du trafic local.

Groupes de serveurs : Un pool de serveurs est un groupe de serveurs réels configurés pour fonctionner ensemble pour fournir un service ou une application spécifique. On peut configurer un pool de serveurs dans RELIANOID ADC en créant un Services.

Journalisation et rapports : La journalisation et le reporting offrent la possibilité de suivre et d'analyser les performances d'un équilibreur de charge et des serveurs d'un pool, y compris des informations telles que le trafic entrant, l'utilisation des ressources et les erreurs. RELIANOID fournit un système de journalisation via Système >> Journaux. Pour les rapports, on peut accéder Système >> Notifications. Les avis comprennent emails alertes.

Sécurité : Toutes les applications Web ont besoin de systèmes de sécurité pour surveiller et filtrer le trafic entrant vers un équilibreur de charge afin d'éliminer le trafic malveillant ou d'autoriser l'accès à une géolocalisation spécifiée. On peut obtenir cette fonctionnalité grâce à la IPDS module lors de l'utilisation RELIANOID. Ce module fournit WAF, DoS protection, une RBL et Listes noires.

Serveurs réels : Les serveurs réels sont les serveurs physiques ou virtuels qui font partie d'un pool de serveurs et gèrent le traitement et la livraison des demandes. Ces serveurs sont responsables de l'exécution des applications ou des services fournis aux clients. Les vrais serveurs sont les mêmes que Backends in RELIANOID ADC.

Serveur virtuel: Un serveur virtuel est une interface frontale avec un écouteur, une adresse IP et un port pour recevoir le trafic Web, puis distribuer ce trafic à un pool de serveurs ou à un service approprié. RELIANOID fournit des fonctionnalités similaires via un Ferme.

Contrôles de santé: Ce sont des commandes qui surveillent la disponibilité des backends et des services qu'ils fournissent. Ils y parviennent en exécutant des commandes ICMP ou HTTP personnalisées pour suivre la disponibilité des services. RELIANOID fournit à la fois des mécanismes de santé préchargés et un moyen d'effectuer des contrôles de santé personnalisés via Farmguardian.

Exemples de configurations : Équilibrage de charge de lien #

Lorsque les serveurs hôtes sont chargés de processus et de demandes, une stratégie sortante qui distribue ce trafic via plusieurs WAN doit être utilisée pour répondre rapidement à ces demandes, évitant ainsi un goulot d'étranglement du réseau et un ralentissement des performances. Cette stratégie sortante nécessite un équilibrage de charge en liaison montante. En termes de coût, on peut réduire le coût de la bande passante Internet en utilisant plusieurs liens Internet à faible coût plutôt qu'un seul lien à coût élevé.

Zevenet et Fortinet proposent tous deux un équilibrage de charge Link. L'équilibreur de charge de liaison de Zevenet fait partie d'un package ADC et passe par le DSLB module.

Nous allons configurer l'équilibrage de charge Active-Active Uplink avec Zevenet ADC en nous basant sur les configurations FortiGate.

Configurations Fortinet #

Ces configurations Fortinet serviront de base lors de la migration des configurations de liaison montante de Fortinet vers RELIANOID. L’hypothèse est que vous les connaissez déjà, il sera donc plus facile de les suivre.

Ajouter des liens de passerelle #

1. Cliquez à nouveau sur Équilibrage de la charge des liens >> Groupe de liens >> Passerelle.
2. Entrez Nom pour identifier un routeur, par exemple WAN1, WAN2, ISP1 ou ISP2.
3. Entrez le routeur Adresse IP.
4. En option Activer les vérifications de l'état.
5. Mettez le Bande passante entrante.
6. Mettez le Bande passante sortante.
7. complet » Seuil de débordement entrant.
8. Définissez le seuil de débordement sortant.
9. Cliquez sur Enregistrer .

Ajouter un groupe de liens #

1. Cliquez à nouveau sur Équilibrage de charge de lien >> Groupe de liens.
2. Entrez Nom pour identifier le groupe.
3. Entrer Type d'adresse comme IPV4.
4. Pour les configurations Actif-Actif, choisissez Méthode d'acheminement: Tournoi à la ronde pondéré.
5. Permettre Itinéraire de proximité.

Ajouter un membre de lien #

1. Dans la section Link Member, cliquez sur CRÉER UN NOUVEAU DOSSIER.
2. Entrez Nom pour identifier un membre.
3. Choisissez un Réseau lien pour le premier lien.
4. Attribuer un poids de 1 et cliquez sur le bouton Enregistrer.
5. Répétez la procédure pour ajouter un 2ème membre Link.
6. Cliquez sur Enregistrer pour enregistrer également le groupe de liens.

Ajouter une politique de lien #

1. Cliquez à nouveau sur Équilibrage de charge de lien >> Politique de lien.
2. Sélectionnez le groupe de liens précédemment créé en tant que Groupe de liens par défaut.
3. Cliquez sur Enregistrer .
4. Cliquez sur CRÉER UN NOUVEAU DOSSIER pour ajouter une nouvelle stratégie.
5. Sélectionnez un Interface d'entrée.
6. Sélectionnez le Type de Source comme adresse et Source Comme n'importe quel.
7. Choisir Type de destination comme Service et choisissez TOUTES.
8. Choisir Type de groupe comme groupe de liaison et utilisez le groupe précédemment créé.
9. Cliquez sur Enregistrer .

RELIANOID les configurations #

Dans cette section, nous allons configurer l'équilibrage de charge de liaison montante avec RELIANOID ADC. L'hypothèse est que vous disposez d'au moins 2 routeurs de différents FAI sur lesquels vous souhaitez rediriger votre trafic sortant. Cela dépendra si vous souhaitez une connexion active-active ou active passive.

Étapes :

Créer des noms d'alias #

1. Cliquez à nouveau sur Réseau >> Alias ​​>> Créer un alias IP.
2. Entrer le Adresse IP du premier routeur.
3. Entrez Nom qui l'identifie facilement.
4. Cliquez sur Appliquer .
5. Répétez le processus pour ajouter un nom d'alias pour le 2e routeur.

Créer une ferme DSLB #

1. Cliquez à nouveau sur DSLB >> Fermes >> Créer une ferme.
2. Entrez Nom pour identifier facilement cette ferme.
3. Sélectionnez le IP virtuelle adresse. Cette adresse IP servira de passerelle pour votre équilibreur de charge.



4. Cliquez sur Appliquer bouton pour enregistrer les configurations.

Créer un service #

1. Cliquez sur le Services Languette.
2. Pour les configurations actives-passives, choisissez le planificateur de l'équilibreur de charge comme Priorité: connexions toujours au plus prio disponible. Pour cette configuration, nous allons configurer une configuration Actif-Actif. Nous utiliserons Poids: connexion linéaire en fonction du poids.



3. Cliquez sur Appliquer bouton pour enregistrer les configurations.

Ajouter des backends #

1. Dans la section Backends, cliquez sur le Créer un back-end .
2. au sein de la Alias Section, sélectionnez le nom d'alias du premier FAI ou du premier routeur.
3. Sélectionnez le Interface du premier routeur.



4. Cliquez sur Appliquer .
5. Répétez le processus pour ajouter le 2e routeur. Le défaut Priorité Poids est 1.



6. Dans le coin supérieur droit, localisez Action et cliquez sur le bouton de lecture vert pour activer la ferme.

Pour plus de ressources, d'architecture et de conception sur l'équilibrage de charge de liaison montante avec RELIANOID, Lire: Guide de démarrage rapide pour l'équilibrage de charge des liaisons montantes.

Exemples de configurations : Sécurité (WAAP)/Configurations #

Un WAAP est un système de sécurité qui fournit une protection des applications Web et des API contre les cybermenaces. Les WAAP utilisent des technologies avancées telles que l'automatisation et l'apprentissage automatique pour détecter et bloquer le trafic malveillant, y compris l'injection SQL, les scripts intersites et d'autres attaques courantes. UN WAP possède des fonctionnalités telles que des pare-feu au niveau des applications, la protection DoS et la prévention des intrusions. Ces fonctionnalités avancées offrent une solution de sécurité plus robuste et complète. RELIANOID Implémente un WAAP via le module IPDS.

Nous décrirons les configurations de sécurité Fortinet avec Fortigate et comment implémenter des fonctionnalités similaires dans RELIANOID. Pour cet exemple, nous nous concentrerons sur un WAF.

Configurations Fortinet #

Ce sont les configurations Fortinet sur lesquelles nous baserons pour créer RELIANOID Configuration WAF. Pour accéder à ces configurations, installez un produit distinct, FortiGate que vous relierez à votre FortiADC.

Instructions de Pose et d'Entretien

1. Cliquez à nouveau sur Système >> Paramètres.
2. Faites défiler jusqu'à Mode d'inspection section, passer de Basé sur le flux à procuration, Et cliquez sur le Appliquer .
3. Après avoir changé le mode d'inspection, cliquez sur Politiques de sécurité >> Pare-feu d'application Web.
4. au sein de la Signatures tableau, activez toutes les formes de protection WAF en cliquant sur le bouton Basculer. Ceux-ci inclus Injection SQL, Attaques génériques, Les chevaux de Troie, Exploits connus, Mauvais robot, etc.
5. au sein de la contraintes table, activer les contraintes pour limiter Longueur du contenu, Longueur d'en-tête, Longueur totale du paramètre d'URL, etc.
6. Faites défiler vers le bas et Appliquer la stratégie de méthode HTTP.
7. Attribuer un VIP vous souhaitez protéger en cliquant Politique et objets >> IP virtuelles.
8. Attribuer un Nom pour les VIP.
9. Sélectionnez le Interface sur lequel votre ADC VIP a été configuré.
10. Entrez un Adresse IP externe/plage
11. Entrez Adresse/plage IP mappée
12. Cliquez sur OK bouton pour enregistrer les configurations.
13. Créez une politique IPV4 en cliquant sur Politique et objets >> Politique IPV4.
14. Attribuez à la stratégie IPV4 un Nom.
15. Ajouter un Nouveau et le Interface sortante.
16. Outre l' Source étiquette, sélectionnez Tous.
17. En outre Destination, Sélectionnez l' VIP Adresse que vous avez créée.
18. au sein de la Profils de sécurité, basculez sur le Pare-feu d'applications Web option.
19. au sein de la Options de journalisation, activez Journaliser le trafic autorisé pour Tous Séances.
20. Cliquez sur OK .

RELIANOID les configurations #

RELIANOID IPDS possède non seulement des fonctionnalités WAAP, mais son pare-feu d'applications Web possède des fonctionnalités WAF de nouvelle génération. Le module IPDS offre une protection DoS, un pare-feu d'application Web avec des fonctionnalités robustes, un RBL et une politique de liste noire.

Nous nous concentrerons sur la mise en place d'un WAF pour se protéger contre les vulnérabilités OWASP dans RELIANOID ADC. Par défaut, RELIANOID est livré avec des règles intégrées. Certaines de ces règles incluent REQUEST-903-9003-NEXTCLOUD-EXCLUSION-RULES, REQUEST-903-9002-WORDPRESS-EXCLUSION-RULES, REQUEST-931-APPLICATION-ATTACK-RFI, etc.

Dans cette section, nous allons créer un ensemble de règles personnalisé.

Instructions de Pose et d'Entretien

Créer un ensemble de règles #

1. Cliquez à nouveau sur IPDS >> WAF >> Ensembles de règles.
2. Cliquez sur Créer un ensemble de règles WAF .
3. Attribuer un Nom pour identifier le jeu de règles.
4. Dans l' Copier l'ensemble de règles champ, vous pouvez choisir dans la liste déroulante. Pour cette démonstration, nous utiliserons –Aucun ensemble de règles–
5. Vous pouvez attribuer le Action par défaut as Refuser : coupez la requête et n'exécutez plus les règles.
6. Cliquez sur Appliquer .

Ajouter une règle #

1. Après avoir créé un ensemble de règles, nous devons appliquer une règle à cet ensemble de règles. Clique le Règles languette.
2. Cliquez sur Nouvelle règle .
3. Il ya 3 Types de règles, nous choisirons Action.
4. Choisissez le phase: Le corps de la demande est reçu.
5. au sein de la Résolutions champ, choisissez Refuser : coupez la requête et n'exécutez plus les règles et enfin ajouter un Description pour la règle.
6. Cliquez sur Appliquer bouton pour enregistrer les configurations.

Ajouter des conditions #

1. Cliquez sur la règle que vous venez de créer et faites défiler jusqu'à la Conditions .
2. La section des conditions est l'endroit où nous spécifions contre quel type d'attaque se protéger. Clique le Créer des conditions .
3. au sein de la Variable Sélectionnez les méthodes ou les chemins qu'une attaque utiliserait probablement pour accéder à vos services. Dans cet exemple, nous ajouterons REQUEST_URI REQUEST_BODY.
4. au sein de la Opérateur section, choisissez une règle contre laquelle vous souhaitez vous protéger. Certaines des règles sont verifyCreditCard, verifySSN, validateUTF8Encoding, detectXXS, detectSQLi, etc. Pour cet exemple, nous utiliserons verifyCreditCard.
5. Pour cet opérateur, ajoutez une expression régulière au format PCRE. En supposant que nous validons les cartes Visa, nous utiliserons l'expression régulière

   ^4[0-9]{12}(?:[0-9]{3})?$

   au sein du Opérateurs champ. Notez que certains opérateurs ne nécessitent pas le paramètre de fonctionnement.

6. Cliquez sur Appliquer bouton pour créer la condition.
7. Dans le coin supérieur droit à la Action section, cliquez sur le bouton de lecture vert pour activer la règle.

Avec cette règle en place, vous pouvez maintenant l'ajouter à la ferme que vous souhaitez protéger.
Pour en apprendre plus sur RELIANOID WAF, lire IPDS | WAF | Mettre à jour

XNUMX. Ressources supplémentaires #

Configuration des certificats SSL pour l'équilibreur de charge.
Utilisation du programme Let's encrypt pour générer automatiquement un certificat SSL.
Équilibrage de charge DNS avec RELIANOID ADC.
Protection contre les attaques DDoS.
Surveillance des applications, de la santé et du réseau dans RELIANOID ADC.