概要 #

AlteonはRadwareのエンタープライズADC製品であり、DefenseProはセキュリティとトラフィック監視を実現します。AlteonのようなRadware製品は、セキュリティ機能、導入の柔軟性、そしてほとんどの仮想化プラットフォーム上でRadwareアプライアンスの複数の仮想化環境をサポートしていることで高い評価を得ているかもしれません。しかし、なぜ別のADCを選択する必要があるのでしょうか？その理由としては、以下のようなことが考えられます。

1. 簡単にアクセスできるサポートリソースが不足しています。
2. プラットフォームとその機能を理解するのに役立つオープンソース プロジェクトが不足しています。
3. 必要なときにカスタマー サポートが遅れる。
4. 会社の所在地がどこであっても、Alteon のグローバル カバレッジは限られているため、包括的なルートを見つけることはできません。

この記事では設定方法を説明します RELIANOID Radware 構成に基づく ADC。

前提条件 #

1. A RELIANOID インスタンスはPC、ベアメタル、仮想環境にインストールされているか、アクティブな ZVNcloudアカウント. 評価をリクエストする オンプレミス展開用。
2. Webグラフィカルインターフェースにアクセスする必要があります。アクセスできない場合は、次の手順に従ってください。 インストールガイド.
3. Radware Alteon シリーズのアクティブ ユーザーであり、以下のセクションで説明する概念に精通している必要があります。
4. 仮想サーバーを作成できる必要があります RELIANOID ロードバランサー。簡単なガイドは次のとおりです。 レイヤー4およびレイヤー7仮想サーバー構成.

基本概念 #

仮想サービス: 仮想サービスとは、クライアントがリソースへのアクセスを要求するAlteon ADC内のプログラムです。これらのサービスには、HTTP、SNMP、SSH、SIPなどが含まれます。 RELIANOID リモートサービスとローカルサービスの2種類のサービスがあります。これらのサービスにアクセスするには、 システム >> サービス.

仮想サーバー: これらは、Webからのすべてのリクエストを受信し、対応するサービスまたはバックエンドに転送するフロントエンドサーバーです。 VIP, 仮想ポート, リスナー仮想サーバー RELIANOID と呼ばれる 農場.

高可用性： これは、ホストサーバーまたは1台のADCがダウンした場合でも、サービスがアクティブなままである機能です。高可用性は、マスターADCの冗長コピーを構成し、マスターとペアにすることで実現されます。HAは RELIANOID は、 クリックしてクラスターにアクセスします システム >> クラスター.

サーバーグループ: クライアントのリクエストを処理する実サーバーまたは仮想プライベートサーバー（VPS）の集合です。サーバーグループは バックエンド そして、 農場サービス 使用している場合 RELIANOID.

実サーバー: これらは、アプリケーションをホストする物理サーバーまたはVPSサーバーです。これらのサーバーは、クライアントからのリクエストを処理したり、ユーザー入力のストレージとして機能したりします。実サーバーは バックエンド 使用している場合 RELIANOID.

ヘルスチェック: バックエンドサーバに送信されるプローブ信号は、バックエンドサーバの可用性または サービスヘルスチェックは ファームガーディアン 使用している場合 RELIANOID.

グローバルトラフィックリダイレクト: さまざまな地理的位置からのトラフィックを最も近いデータ センターにリダイレクトします。 RELIANOID グローバルロードバランシングを実装します GSLBファーム.

リモートログ: ADCで発生したイベントを別のストレージまたはサーバーに記録するために使用されます。これらのイベントには、問題、エラー、現在の操作に関するデータが含まれます。リモートログサーバーを設定することもできます。 RELIANOID アクセスすることで システム >> サービス >> ローカル >> Rsyslog.

リンクプルーフ: 異なる ISP またはルーター間で負荷を分散する場合に使用します。 RELIANOID ISP間の負荷分散を実装する DSLBファーム.

構成例: DDoS および API 保護 #

DDoS攻撃は、正当なトラフィックと悪意のあるトラフィックを区別するために複数の戦略が必要となるため、追跡が困難な攻撃です。大量の信頼性の低いトラフィックによってサーバーが過負荷になるのを防ぐには、次のようなセキュリティツールが役立ちます。 RELIANOID IPDS は、トラフィック フィルタリング、レート制限、トラフィック シェーピング、その他のさまざまな方法を通じて DDoS 保護を提供します。

このセクションでは、DoS防御のあらゆる形態の設定について説明します。 RELIANOIDこれらの構成は Radware の構成に基づいています。

RADWARE構成 #

ネットワークを構成する #

1. クリック ネットワーク 左側のサイドバーのメニュー項目。
2. クリック + ネットワークを追加するボタン。
3. を割り当てます 名前.
4. クリック + ボタンをもう一度押します。
5. お気に入りを選択 ネットワーク型IPV4 か IPV6 かに関係なく。
6. エントリータイプは IPマスク.
7. 入力する 住所 の三脚と マスク そのネットワーク用。
8. クリック 送信

BDoSプロファイルを作成する #

1. 詳しくはこちら ネットワーク保護 >> BDoS プロファイル.
2. クリック +
3. 入力します プロファイル名.
4. 以内 洪水対策設定、利用可能なすべてのオプションを有効にします。
5. 中で 帯域幅設定、受信および送信トラフィックの帯域幅を 5000kbps に制限できます。
6. 中で クォータ設定、受信および送信 TCP、UDP、ICMP、および IGMP 設定をパーセンテージで制限できます。
7. 以内 パケットレポートとトレース設定パケット レポートとパケット トレースの両方のチェックボックスを有効にすることができます。
8. クリック 送信

ネットワーク保護ポリシーを作成する #

1. 詳しくはこちら ネットワーク保護 >> ネットワーク保護ポリシー.
2. クリック + ポリシーを追加するボタン。
3. 入力します ポリシー名.
4. 以内 分類、選択する SRCネットワーク as どれか.
5. 選択する DSTネットワーク 前のセクションで作成したものと同じです。
6. 選択する リーダーシップ as 一方通行.
7. 以内 行動 タブで、すでに作成した BDoS プロファイルを選択します。
8. 以内 パケットレポートとトレース設定タブ、パケットレポートを有効にします。
9. クリック 送信
10. メニューバーの下にある「ポリシーの更新」ボタンをクリックします。

RELIANOID 構成 #

1. 詳しくはこちら IPDS >> DoS >> DoS ルールの作成.
2. 入力します 名前 農場を識別します。
3. ドロップダウンリストから ルール あらかじめロードされた 4 つのルールから。
4. このルールをファームに適用するには、 農場 タブには何も表示されないことに注意してください。
5. 興味のある農場をドラッグアンドドロップします 利用可能な農場 〜へ 有効な農場.



6. 右上隅の緑の再生ボタンをクリックします。 のセクションから無料でダウンロードできます。
7. このプロセスを繰り返し、4 つのルールすべてを使用して DoS を最大限に軽減します。

注意：
ルールについては、 ソース IP ごとの合計接続制限1 つの送信元 IP アドレスが持つことができる接続数を制限する数値を入力します。

ルールについては、 1秒あたりのRSTリクエストの制限、1 秒あたりの送信元 IP あたりの RST 要求の数を制限する数値を入力します。 リミットバースト 実際のブロックが発生する前にソフト制限として機能します。

追加のセキュリティ構成: サイト間VPN #

A サイト間VPN （仮想プライベートネットワーク）は、組織がインターネット経由でネットワークを安全に接続することを可能にします。このタイプのVPNは通常、支社などの2つの遠隔地を本社ネットワークに接続します。サイト間VPN RELIANOID IPsec などのプロトコルを使用して、2 つのネットワーク間で送信されるデータを暗号化し、データの安全性とプライベート性を確保します。

IPsecは、セキュリティを提供するために2つの主要なプロトコルを使用します: 認証ヘッダー(AH) およびカプセル化セキュリティペイロード (ESPAH は IP パケットの認証と整合性保護を提供し、ESP は機密性、認証、整合性保護を提供します。

このセクションでは、サイト間VPNを設定します。 RELIANOID 同じ会社の 2 つ以上の組織間でインターネットを介して送信されるデータのセキュリティを確保するため。

Radware のサイト間 VPN 構成については、この記事を参照してください。 LinkProof 経由でサイト間 VPN トンネルを構成する方法

指示： #

VPNプロファイルを作成する #

1. 詳しくはこちら ネットワーク >> VPN >> VPNの作成.
2. 適切な 名前 VPN を識別します。



3. プロファイルを選択します ZSS(サイト間).
4. 認証方法はデフォルトでは秘密です。強力な パスワード VPN 資格情報を保護します。

ゲートウェイ構成 #

1. 入力する IPアドレス ローカルゲートウェイとその ローカルネット/CIDR*
2. 入力する IPアドレス リモートゲートウェイとその リモートネット/CIDR*

IKEフェーズ1ネゴシエーション #

1. まず 認証 フェーズ 1 の方法。
2. まず Encryption フェーズ 1 のネゴシエーションの方法。
3. まず DHグループ フェーズ１の交渉のため。

IKEフェーズ2ネゴシエーション #

1. フェーズを選択 整合性と認証のため。
2. まず 認証 方法。



3. まず Encryption アルゴリズム。
4. Diffie-Hellman(を選択)DHグループ).
5. ドロップダウンリストから ランダム擬似関数 使用しています。
6. クリック Apply ボタンをクリックして構成を保存します。

お願い: リモート ADC またはデータセンター ブランチで同じ構成が行われていることを確認します。

その他のリソース #

Web アプリケーション ファイアウォールの構成。
ロード バランサーの SSL 証明書を構成します。
Let's Encrypt プログラムを使用して SSL 証明書を自動生成します。
アプリケーション、ヘルス、ネットワーク監視 RELIANOID ADC。
データリンク/アップリンク負荷分散 RELIANOID ADC。
DNS負荷分散 RELIANOID ADC。