Übersicht #

Das Lesen dieses Artikels zeigt, dass Sie neben Sangfor auch andere ADC-Optionen in Betracht ziehen und möglicherweise feststellen, ob RELIANOID würde das Nötige für Ihr Unternehmen bereitstellen. Sangfor hat das Ende seines Lebenszyklus (Verkauf) bekannt gegeben für einige ihrer Sicherheits- und Netzwerkprodukte. RELIANOID ist genau das, was Sie brauchen, um Ihre Geschäftsanforderungen zum nächsten Abenteuer mitzunehmen.

Im Gegensatz zu Sangfor, RELIANOID bietet alle Funktionen, die ein ADC für eine effiziente Funktion benötigt. Dazu gehören Lastausgleich auf Layer 4 und 7, Webanwendungs- und Netzwerksicherheit, hohe Verfügbarkeit, globaler Lastausgleich usw.

In diesem Artikel werden einige Konfigurationen auf Basis von Sangfor IAM und NGAF vorgestellt. Diese helfen bei der Anpassung an RELIANOID schnell.

Voraussetzungen: #

Um von Sangfor ADC zu migrieren, RELIANOID, stellen Sie sicher, dass Sie die folgenden Voraussetzungen erfüllen.

1. Installieren Sie eine Instanz von RELIANOID ADC auf Ihrem PC, Bare-Metal, einer virtuellen Umgebung oder einem Cloud-PlattformFür die Bereitstellung vor Ort: Fordern Sie eine Bewertung an.
2. Erhalten Sie Zugriff auf die Web-Benutzeroberfläche, indem Sie diese kurze Installationsanleitung.
3. Stellen Sie sicher, dass Sie mit den Konzepten von Sangfor Networking noch vertraut sind. Im folgenden Abschnitt werden wir mehr darüber diskutieren.
4. Erfahren Sie, wie Sie einen virtuellen Server erstellen im RELIANOID Load Balancer, indem Sie der Anleitung folgen: Konfiguration virtueller Server der Schichten 4 und 7.

Grundlegende Konzepte #

Link-Lastausgleich: Diese Funktion in Sangfor NGAF ermöglicht die Verteilung des ausgehenden Datenverkehrs auf mehrere WAN-Verbindungen und verhindert so Ausfallzeiten bei Ausfall eines ISPs. RELIANOID Implementiert Link Load Balancing durch die DSLB Farm.

NGAF: Diese Firewall der nächsten Generation bietet die Sicherheitsfunktionalität, um ein Netzwerk vor schädlichen Nutzdaten zu schützen. Sie umfasst Web-App-Schutz, Zugriffskontrolle, IPS usw. RELIANOID verwendet das IPDS Modul zur Bereitstellung von Firewall-Funktionalität der nächsten Generation. Das IPDS-Modul bietet API-Schutz, Web-App-Schutz, RBL, Blacklists usw.

Hohe Verfügbarkeit: Sorgt für die Verfügbarkeit eines Netzwerks in Aktiv-Passiv- oder Aktiv-Aktiv-Paarkonfigurationen. Bei einem Ausfall eines Masterknotens oder eines Knotens in einer Aktiv-Aktiv-Situation wechselt das Netzwerk zum fehlerfreien Knoten. RELIANOID Implementiert Hochverfügbarkeit durch einen Cluster. Man kann navigieren durch System >> Cluster.

Zugangskontrolle: Diese Funktion verweigert oder erlaubt den Zugriff auf eine einzelne IP oder einen IP-Bereich. Diese IPs könnten die IPs von Spammern sein. Mithilfe der Zugriffskontrolle kann man auch den Zugriff verweigern oder ganze geografische Standorte zulassen. RELIANOID implementiert die Zugangskontrolle durch IPDS >> Schwarze Listen. Man kann konfigurieren Quellen als „Lokal“ oder „Remote“.

SSL-Entschlüsselung und -Prüfung: Damit die Firewall verschlüsselten HTTPS-Verkehr effektiv überwachen kann, muss die SSL-Entschlüsselung aktiviert werden, sodass die Firewall alle schädlichen Nutzdaten überprüft und herausfiltert. RELIANOID bietet ähnliche Funktionalität auf einer HTTPS-Farm. Man kann konfigurieren Ziffern zu „SSL Offloading“, um SSL-Verkehr zu entschlüsseln.

IPSEC-VPN: Diese Sangfor VPN-Funktionalität ermöglicht die Site-to-Site-Verbindung der Zweigstellennetzwerke eines Unternehmens mit der Zentrale über einen sicheren Tunnel. Um ein Site-to-Site-VPN auf RELIANOID, Zugang Netzwerk >> VPN und erstelle ein ZSS (von Standort zu Standort) Profil.

Beispielkonfigurationen: IPSEC VPN #

Ein Site-to-Site-VPN ermöglicht sichere Verbindungen zweier oder mehrerer privater Netzwerke über das Internet. Sie möchten beispielsweise Zweigstellen einer Organisation mit deren Hauptsitz verbinden und dafür sorgen, dass sie so funktionieren, als ob sie sich im selben privaten Netzwerk befänden.

IPSec ist häufig das verwendete Protokoll. Dieses Protokoll bietet Datenverschlüsselung, Integrität und Authentifizierung zwischen den teilnehmenden Peers, sowohl RELIANOID und Sangfor-VPNs verfügen über die Site-to-Site-VPN-Funktionalität.

Wenn Sie von Sangfor migrieren, werden in diesem Abschnitt beide Konfigurationen für einen einfacheren Übergang demonstriert.

Sangfor-Konfigurationen #

Mit Sangfor können Sie Branch- und HQ-Konfigurationen separat konfigurieren. Beginnen wir mit den Branch-Konfigurationen.

VPN-Schnittstelle erstellen #

1. Erschaffung VPN >> IPSec VPN >> VPN-Schnittstelle.
2. Klicken Sie im Abschnitt Schnittstellen auf das Speichern .
3. Wählen Sie aus der Dropdown-Liste eine Schnittstelle aus.
4. Geben Sie ein Netzmaske Und klicken Sie auf die Gespeichert .
5. Klicken Sie auf das Häkchen auf der Schnittstelle, um ihren Status auf „Aktiviert“ zu setzen.
6. Im VPN-Schnittstellen-IP Abschnitt, geben Sie die ein IP Address und klicken auf Gespeichert.

Erstellen grundlegender Konfigurationen #

1. Klicken Sie auf VPN >> IPSec VPN >> Grundlagen.
2. Geben Sie die Primärer WebAgent(Primärsockel).
3. Sicherstellen, dass die MTU-Wert (224-2000) ist "1500".
4. Lassen Sie die Standard-Abhörport als „4009“.
5. Klicken Sie auf die Gespeichert .

Lokale Benutzer hinzufügen #

1. Klicken Sie auf VPN >> IPSec VPN >> Lokale Benutzer.
2. Klicken Sie auf die Schaltfläche Neuer Benutzer.
3. Geben Sie die Benutzername um einen Zweig zu identifizieren.
4. Geben Sie ein Passwort für diesen Benutzer und bestätigen Sie es.
5. Wähle aus Authentifizierung Methode als „Lokal“.
6. Wähle aus Algorithmus als „DES“.
7. Wähle aus User Type als „Branch-Benutzer“.
8. Wähle aus Anwender-Gruppe, oder belassen Sie es als „Standardgruppe“.
9. Klicken Sie auf die Gespeichert .

Dies sind die HQ-Konfigurationen, mit denen alle Zweigstellen verbunden werden.

Hinzufügen einer virtuellen Schnittstelle #

1. Klicken Sie auf VPN >> IPSec VPN >> VPN-Schnittstelle.
2. Klicken Sie auf die Speichern Schaltfläche im Abschnitt „Schnittstelle“.
3. Wählen Sie ein Netzwerk Interface für Ihr VPN.
4. Geben Sie die Netzmaske Und klicken Sie auf die Gespeichert .
5. Innerhalb der VPN-Schnittstellen-IP Abschnitt, geben Sie die ein IP Address in IPV4 und klicken Sie auf die Gespeichert .

VPN-Verbindungen hinzufügen #

1. Klicken Sie auf VPN >> IPSec VPN >> VPN-Verbindungen.
2. Klicken Sie auf die Speichern .
3. Geben Sie ein Name um diese Verbindung zu identifizieren.
4. Innerhalb der Primärer WebAgent Geben Sie in das Feld den WebAgent-Socket ein, z. B. 192.168.0.102:4009.
5. Geben Sie die Filiale ein Benutzername, Passwort und Bestätigung PWD.
6. Die Konfigurationen können über das Status Navigation

RELIANOID Konfigurationen #

In diesem Abschnitt verwenden wir die vorherigen Konfigurationen von Sangfor, um Folgendes einzurichten: RELIANOID IPSec-Konfigurationen mit dem Site-Site-Site-VPN-Profil.

VPN-Profil #

1. Klicken Sie auf Netzwerk >> VPN >> VPN erstellen.
2. Geben Sie ein Name um das VPN zu identifizieren.
3. Wählen Sie das VPN Profil als „ZSS (Site to Site)“.
4. Die Authentifizierung Methode ist ein Geheimnis. Geben Sie ein Passwort für dieses Profil.

Lokale Gateway-Konfigurationen #

1. Geben Sie die Lokales Gateway* in IPV4 oder IPV6.
2. Geben Sie das Subnetz in das Feld ein Lokales Netz/CIDR*.

Remote-Gateway-Konfigurationen #

1. Geben Sie die Remote-Gateway* in IPV4 oder IPV6.
2. Geben Sie das Subnetz in das Feld ein Remote-Netz/CIDR*

IKE Phase 1-Konfigurationen #

1. Wählen Sie ein passendes aus Authentifizierung* Methode(n).
2. Geeignet auswählen Verschlüsselung* Methoden.
3. Wählen Sie das Notwendige aus DH-Gruppe(S).

IKE Phase 2-Konfigurationen #

1. Wähle aus Protokoll als entweder „AH“ oder „ESP“.
2. Wählen Sie ein passendes aus Authentifizierung Methode(n).
3. Ähnliches auswählen Verschlüsselung(s) wie in Phase 1.
4. Wähle aus DH-Gruppe(s) wie in Phase 1.
5. Wählen Sie ein Pseudozufallsfunktion(en) Ihrer eigenen Präferenz.
6. Klicken Sie auf die Tragen Sie Schaltfläche, um die Konfigurationen zu speichern.

Weitere Ressourcen finden Sie unter:
Grundlegendes zu VPN-IPSec-Modi
Netzwerk | VPN | Erstellen

Beispielkonfigurationen: Hohe Verfügbarkeit #

Angesichts der wachsenden Netzwerkgröße und der steigenden Anzahl von Benutzern benötigen Unternehmen eine Netzwerkinfrastruktur, die auch bei Komponentenausfällen oder geplanten Wartungsarbeiten kontinuierlich und zuverlässig ohne Unterbrechungen funktioniert. Mit Produkten wie RELIANOIDDies erreichen wir durch Redundanz- und Failover-Mechanismen, die Ausfallzeiten minimieren und sicherstellen, dass kritische Anwendungen und Dienste immer zugänglich sind.
Wenn Sie von Sangfor migrieren, beschreiben wir sowohl Sangfor als auch RELIANOID Konfigurationen zur Adressierung ähnlicher Funktionen.

Sangfor-Konfigurationen #

1. Klicken Sie auf System >> Netzwerk >> Hohe Verfügbarkeit.
2. Für Aktiv-Passiv-Konfigurationen klicken Sie auf das Aktiv-Standby .
3. Klicken Sie auf Einstellungen Schaltfläche, um die Konfigurationsseite zu öffnen.
4. Setze die Device Name.
5. Wähle aus Priorität des aktuellen Geräts als hoch oder niedrig. Die Priorität auf aktiven und Standby-Geräten kann nicht gleich sein.

Basics #

1. Wählen Sie auf der Seite „Grundlagen“ die Primärer Link aus den Netzwerkschnittstellen und geben Sie die Remote-IP.
2. Wählen Sie optional die Sekundärer Link aus den Netzwerkschnittstellen und geben Sie die Remote-IP.
3. Geben Sie ein geteiltes Geheimnis für die Geräte zur Teilnahme an der Hochverfügbarkeit.
4. Im Verfolgte Schnittstellengruppe Wählen Sie im Abschnitt „Produktionsschnittstellen“ die Option „Produktionsschnittstellen“.
5. Klicken Sie auf Nächster um zur Seite „Erkennung“ zu gelangen.

Detection #

1. Setze die Heartbeat-Zeitüberschreitung in Sekunden.
2. Ermöglichen ARP-Sonde für das Gerät.
3. Geben Sie die IP-Test Adresse, Erkennungs-Timeout (Sek.), Erkennungswiederherstellungsintervall (Sek.) und Erkennungsintervall (ms).
4. Ermöglichen ICMP-Sonde und geben Sie eine IP oder Domäne zum Testen der Sonde ein.
5. Klicken Sie auf Nächster um zur Registerkarte „Aktionen“ zu gelangen.

Action #

1. Sicherstellen, dass die Entfernen Sie die Tracking-Funktion aus den Schnittstellen Das Kontrollkästchen ist deaktiviert.
2. Klicken Sie auf Nächster um zur Registerkarte „Erweitert“ zu wechseln.

Erweitert #

1. Stellen Sie sicher, dass Sie aktiviert haben Gleichzeitige Upgrades.
2. Klicken Sie auf die Verpflichten Schaltfläche, um die Einstellungen zu speichern. Das Gerät muss sich erneut anmelden.
3. Wiederholen Sie die Einstellungen im Standby-Gerät. Achten Sie dabei jedoch darauf, dass die Priorität auf niedrig eingestellt ist.

RELIANOID Konfigurationen #

In diesem Abschnitt konfigurieren wir HA, um eine ähnliche Funktionalität anzuzeigen, wie wir sie im vorherigen Sangfor beschrieben haben.

1. Klicken Sie auf System >> Cluster.
2. Wähle aus Lokale IP Adresse des lokalen Knotens von den Schnittstellen.
3. Geben Sie die Remote-IP des Remoteknotens.
4. Geben Sie die Remote-Knoten-Passwort.
5. Geben Sie das Passwort erneut ein, um Kennwort des Remote-Knotens bestätigen.
6. Klicken Sie auf die Tragen Sie Schaltfläche zum Speichern der Konfigurationen.
7. Innerhalb der Cluster konfigurieren Klicken Sie im Abschnitt „Bearbeiten“ auf die Schaltfläche „Bearbeiten“ mit dem Bleistiftsymbol, wenn Sie mit der Maus über den konfigurierten Remote-Knoten fahren.
8. Für aktiv-aktive HA, lebe die Failback auf „deaktiviert“. Ändern Sie bei Aktiv-Passiv-Konfigurationen das Failback auf das des aktuellen Geräts.
9. Geben Sie für Heartbeat-Prüfungen ein Prüfintervall.
10. Klicken Sie auf die Tragen Sie Schaltfläche zum Speichern.

Weitere Ressourcen zum Thema Hochverfügbarkeit finden Sie unter: System |

Weitere Informationen #

Konfiguration der Web Application Firewall.
Konfigurieren von SSL-Zertifikaten für den Load Balancer.
Verwenden des Programms Let’s Encrypt zum automatischen Generieren eines SSL-Zertifikats.
Datalink/Uplink-Lastausgleich Mit RELIANOID ADC.
DNS-Loadbalancing mit RELIANOID ADC.