Bu yazı ile başlayarak sizlere FortiWeb kurulumu yaparken nelere dikkat etmeniz gerektiğini ve nasıl kuracağınızı aşama aşama anlatacağım bir seri oluşturacağım. Ancak seriye başlamadan önce FortiWeb kurulumu aşamalarını hızlıca özetlemek istiyorum. (Onaylı maddelere tıklayarak direkt konuya geçiş yapabilirsiniz.)
- Cihaz ve VMware karşılaştırması ✓
- FortiWeb’inizi kaydetme ✓
- Ağ topolojisinin planlanması ✓
- Web kullanıcı arayüzüne veya CLI’ye bağlanma ✓
- Firmware güncellenmesi
- “Admin” hesabı şifresini değiştirme
- Sistem saatini ve tarihini ayarlama
- Çalışma modunun ayarlanması
- Özellik görünürlüğü
- Yüksek Kullanılabilirlik (HA) temel ayarların konfigürasyonu
- FortiWeb HA (harici HA) olmadan konfigürasyonun kopyalanması
- Ağ ayarlarını konfigürasyonu
- DNS ayarlarını konfigürasyonu
- HA ayarlarını özel olarak aktif-pasif ve standart aktif-aktif modlar için konfigürasyon
- HA ayarlarını özellikle yüksek hacimli aktif-aktif mod için konfigürasyonu
- Web sunucularınızı ve yük dengeleyicilerinizi tanımlama
- FortiWeb’i WCCP aracılığıyla trafik alacak şekilde konfigürasyonu
- Temel Policy konfigüre etme
- Kurulumu test etme
- Çevrimdışı Koruma modundan çıkma
Bu aşamalar ve talimatlar aracılığıyla sizi basit ve doğru bir şekilde çalışan FortiWeb kurulumu yapmanıza yardımcı olacaktır. Bu kurulumdan sonra isteğinize konfigürasyonunuzda ince ayarlar yapabilirsiniz.
Eğer aşamalı olarak dağıtım yapıyorsanız, geçiş aşamasında FortiWeb’inizi Çevrimdışı Koruma modunda kurmak isteyebilirsiniz. Böyle bir durumda, bu bölümde yapılması gerekenleri birden fazla tekrarlamanız gerekebilir. Bir kez Çevrimdışı Koruma modu için, ardından kalıcı çalışma modları seçiminize geçtiğinizde adımları tekrar edersiniz.
Dağıtım için gereken süre:
- Web uygulamalarınızın sayısı
- Web uygulamalarınızın karmaşıklığı,
gibi değişkenlere göre değişir.
Cihaz ve VMware karşılaştırması
Kurulum yaparken yapacaklarınız, FortiWeb’i fiziksel bir cihaz olarak mı yoksa sanal bir makine olarak mı kurduğunuza göre değişir.
FortiWeb -VM sanal bir cihaz kurmak için önce modelinize uygun olan FortiWeb-VM Dağıtım Kılavuzunu takip edin, ardından sizlere anlattığımız kurulum aşamalarını takip edin.
FortiWeb ürününüzü kaydetme
Donanım yazılımı güncellemeleri, teknik destek, FortiGuard hizmetleri ve FortiSandbox hizmetleri gibi birçok Fortinet hizmetine erişim sağlayabilmeniz için ürün kaydını yapmanız gerekmektedir. FortiWeb ürününüzü kaydettirmek için FortiWeb temsilciniz Ozztech Bilgi Teknolojileri ile iletişime geçin.
Ağ topolojisinin planlanması
FortiWeb cihazınızın koruyacağı web sunucularına yönelik trafiği elde edebilmeniz için, genellikle FortiWeb cihazınızı web sunucuları ile erişimi olan tüm istemciler arasında kurmalısınız.
Ağ (Network) konfigürasyonu, web sunucularına yönelik tüm ağ trafiğinin ilk önce FortiWeb cihazına veya bu cihazdan çalışma modunuza bağlı olarak geçişini sağlayabilmelidir. Çoğunlukla, istemciler internetten web sunucularına FortiGate gibi bir Firewall cihazı sayesinde erişim sağlarlar, bu nedenle FortiWeb cihazınızı web sunucuları ile firewall arasına kurulum yapmalısınız. Bunu yapmamak, web sunucularınızı HTTP/HTTPS tabanlı olmayan saldırılara karşı savunmasız bırakabilir. FortiWeb cihazları genel amaca hitap eden firewall cihazı değildir işte bu yüzden IP tabanlı yönlendirmeyi etkinleştirirseniz, HTTP/HTTPS olmayan trafiğin denetim olmadan geçmesine izin verir.
FortiWeb cihazının çalışacağı moda göre ayrıntılar ve topolojisi değişkenlik gösterir. Örneğin, Çevrimdışı Koruma modunda veya şeffaf modlardan herhangi birinde çalışan FortiWeb cihazları ağ adresi çevirisi (NAT) veya yük dengeleme yapamaz ama FortiWeb cihazları Reverse Proxy modunda çalışabilir.
Harici yük dengeleyiciler: önce mi sonra mı?
FortiWeb’i yük dengeleyicinizin (FortiBalancer, FortiADC veya kaynak NAT uygulayan diğer herhangi bir cihaz gibi) önüne yerleştirmelisiniz, böylece FortiWeb yük dengeleyici ile istemciler arasında konumlanmış olur. Bu sayede;
- Basitleştirilmiş konfigürasyon imkanı elde edersiniz.
- Taranmamış trafik, yük dengeleyicinize ulaşmayacak ve performansını ve güvenliğini artıracaktır.
- IP katmanında, FortiWeb’in bakış açısından, HTTP istekleri, gerçek istemcinin IP adresinden geliyormuş gibi görünecektir.
Aksi takdirde, saldırganların ve yasal istemcilerin IP adresleri yük dengeleyici tarafından gizlenebilir. Bunun yerine, ihtiyacınız özelliklere bağlı olarak, FortiWeb’in yerleşik yük dengeleme özelliklerini kullanabilirsiniz.
Bu, bir
Yük dengeleyicinizi , farklı istemcilerden gelen HTTP isteklerini FortiWeb ile her bir TCP bağlantısını arttırmayacak şekilde konfigüre ederek bu hatayı önleyebilirsiniz.
FortiWeb, genellikle TCP/IP bağlantı düzeyinde engelleme yapar. Yük dengeleyici bunları bir saldırı olarak aynı TCP bağlantısı içinde iletiyorsa kötü amaçlı olmayan HTTP isteklerinin engellenmesine neden olabilir. Bu sebeple, aralıklı olarak başarısız isteklere neden olabilir. Bunu hesaba katmak için yük dengeleyicinizi bir X-Forwarded-For:
, X-Real-IP:
, veya başka bir HTTP X başlığı ekleyecek veya ekleyecek şekilde konfigüre edin. Ayrıca FortiWeb’i , orijinal saldırganın veya istemcinin IP adresini IP oturumu üzerinde değil, bu HTTP başlığında bulacak şekilde konfigüre edin.
FortiWeb’in önündeki yük dengeleyici veya başka bir cihaz SNAT uygularsa , engellemeyi HTTP X başlıklarına dayanarak konfigüre etmediyseniz, herhangi birini Period Block olarak ayarlamayın. IP katmanındaki kaynak IP adresine dayalı Period Block, bir saldırı sonrası SNAT aygıtı tarafından iletilen iyi niyetli isteklerin engelleme süresi dolana kadar engellenmesine neden olur. Bu nedenle, aralıklı hizmet kesintilerine neden olabilir bu nedenle FortiWeb kurulumu sırasında bu detaya dikkat etmelisiniz.
Çalışma Modu Seçimi
- Desteklenen FortiWeb özellikleri
- Gerekli ağ topolojisi
- Pozitif/negatif güvenlik modeli
- Web server konfigürasyonu, da dahil birçok şey çalışma moduna göre değişkenlik gösterir.
Çalışma modunun ihtiyaçlara göre seçilmesi çok önemli bir faktör olduğundan dolayı, seçiminizi yapmadan önce sonuçları dikkatlice düşünün. Çünkü modları daha sonra değiştirirseniz ağınızı yeniden konfigüre etmeniz zaman alır. Eğer hangi modu seçeceğinizi bilmiyorsanız geçici olarak Çevrimdışı Koruma modunda dağıtabilirsiniz.
Her çalışma modunda desteklenen özellikler
Seçtiğiniz çalışma modundan bağımsız olarak birçok özellik çalışır. Bazı özellikler için destek, çalışma moduna göre değişir. Örneğin, yeniden yazma, bir satır içi topoloji ve eşzamanlı işleme gerektirir ve bu nedenle yalnızca bu şekilde çalışan modlarda desteklenir.
En geniş özellik desteği almak için Reverse Proxy modunu seçin.
DoS koruması veya SSL/TLS offloading gibi seçtiğiniz çalışma modunda desteklenmeyen bir özelliğe gereksinim duyarsanız, web sunucunuzu veya başka bir ağ cihazını bu özelliği sağlayacak şekilde konfigüre edin. Aşağıdaki tabloda evrensel olarak desteklenmeyen özelliklerin listesidir:
Özellik | Operation mode | ||||
---|---|---|---|---|---|
Reverse Proxy | True Transparent Proxy | Transparent Inspection | Offline Protection | WCCP | |
HA (Active-passive) | Yes | Yes | Yes | Yes | Yes |
HA (Active-active-Standard) | Yes | Yes | No | No | No |
HA (Active-active-High Volume) | Yes | No | No | No | No |
Bridges/V-zones | No | Yes | Yes | No | No |
Network Firewall | Yes | Yes | Yes | No | No |
Fail-to-wire | No | Yes | Yes | No | Yes |
Config. Sync (Non-HA) | Yes^ | Yes | Yes | Yes | Yes |
File Upload | Yes | Yes | Yes | Yes | Yes |
AJAX Block | Yes | Yes | No | No | Yes |
Error Page Customization | Yes | Yes | No | No | Yes |
Threat Weight | Yes | Yes | Yes | Yes | Yes |
FortiGate Quarantined IPs | Yes | Yes | No | No | Yes |
ADFS Policy | Yes | No | No | No | No |
HSTS Header | Yes | Yes | No | No | Yes |
HPKP Header | Yes | Yes | No | No | Yes |
OCSP Stapling | Yes | Yes | No | No | Yes |
TLS 1.0/1.1/1.2 Support | Yes | Yes | Yes~¶ | Yes~¶ | Yes |
TLS 1.3 Support | Yes~ | Yes~ | No | No | Yes~ |
Client Certificate Forwarding | Yes | Yes | No | No | Yes |
Client Certificate Verification | Yes | Yes | No | No | Yes |
Statistic | Yes | Yes | Yes | Yes | Yes |
User Authentication | Yes | Yes | No | No | Yes |
Mobile Application Identification | Yes | Yes | Yes | Yes | Yes |
HTTP/2 Support | Yes | Yes | No | No | No |
SSL/TLS Offloading | Yes | No | No | No | No |
Client Management | Yes | Yes | Yes* | Yes* | Yes* |
HTTP Content Routing | Yes | No | No | No | No |
Proxy Protocol | Yes | Yes | Yes | Yes | No |
Protected Hostnames | Yes | Yes | Yes | Yes | Yes |
Traffic Mirror | Yes | Yes | No | No | No |
Global allow list | Yes | Yes | Yes | Yes | Yes |
X-Forwarded-For: Support | Yes | Yes | Yes | Yes | Yes |
URL Rewriting/Redirection | Yes | Yes | No | No | Yes |
HTTP Authentication | Yes | Yes | No | No | Yes |
Site Publish | Yes | Yes | No | No | Yes |
File Compression | Yes | Yes | No | No | Yes |
Acceleration (Hızlanma) | Yes | Yes | No | No | Yes |
Caching (önbelleğe alma) | Yes | Yes | No | No | Yes |
Signatures | Yes | Yes | Yes | Yes | Yes |
Custom Signature | Yes | Yes | Yes | Yes | Yes |
Custom Policy | Yes | Yes | Yes | Yes | Yes |
Padding Oracle Security | Yes | Yes | Yes | Yes | Yes |
CSRF Protection | Yes | Yes | No | No | Yes |
HTTP Header Security | Yes | Yes | No | No | Yes |
Man in the Browser Protection Policy | Yes | Yes | No | No | Yes |
URL Encryption | Yes | Yes | No | No | Yes |
SQL/XSS Syntax Based Detection | Yes | Yes | Yes | Yes | Yes |
Cookie Security | Yes | Yes | No | No | Yes |
Parameter Validation | Yes | Yes | Yes | Yes | Yes |
Hidden Fields | Yes | Yes | Yes | Yes | Yes |
HTTP Protocol Constraints | Yes | Yes | Yes | Yes | Yes |
WebSocket Security | Yes | Yes | No | No | Yes |
Chunk Decode | Yes | Yes | Yes | Yes | Yes |
URL Access | Yes | Yes | Yes | Yes | Yes |
Allow Method | Yes | Yes | Yes | Yes | Yes |
CORS Protection | Yes | Yes | No | No | Yes |
Bot Mitigation | Yes | Yes | No | No | Yes |
Biometrics Based Detection | Yes | Yes | No | No | Yes |
Threshold Based Detection | Yes | Yes | No | No | Yes |
Bot Deception | Yes | Yes | No | No | Yes |
Known Bots | Yes | Yes | No | No | Yes |
JSON Protection | Yes | Yes | Yes | Yes | Yes |
XML Protection | Yes | Yes | Yes | Yes | Yes |
WS-Security Rule | Yes | Yes | No | No | Yes |
OpenAPI Validation | Yes | Yes | Yes | Yes | Yes |
Mobile API Protection | Yes | Yes | Yes | Yes | Yes |
API Gateway | Yes | Yes | Yes | Yes | Yes |
HTTP Access Limit | Yes | Yes | No | No | Yes |
Malicious IPs | Yes | Yes | No | No | Yes |
HTTP Flood Prevention | Yes | Yes | No | No | Yes |
TCP Flood Prevention | Yes | Yes | No | No | Yes |
DoS Protection | Yes | Yes | No | No | Yes |
IP List | Yes | Yes | Yes | Yes | Yes |
Geo IP | Yes | Yes | Yes | Yes | Yes |
IP Reputation | Yes | Yes | Yes | Yes | Yes |
User Tracking | Yes | Yes | Yes | Yes | Yes |
Machine Learning – Anomaly Detection | Yes | Yes | Yes | Yes | Yes |
Machine Learning – Bot Detection | Yes | Yes | Yes | Yes | Yes |
^ Tam yapılandırma senkronizasyonu, Reverse Proxy modunda desteklenmez. § Yalnızca Uyarı eylemi desteklenir. * Web uygulamanızın oturum kimliklerine sahip olmasını gerektirir. ~ DSA şifreli sunucu sertifikaları desteklenmez. ¶ Diffie-Hellman anahtar değişimleri desteklenmez. |
Çalışma modu ve HA modu ile eşleşen topoloji
Gerekli fiziksel topoloji, çalışma modu seçiminize göre değişir. Ayrıca, FortiWeb cihazlarının yüksek kullanılabilirlik (HA) kümesini çalıştırıp çalıştırmayacağınıza bağlı olarak da değişir .
İstekler, doğrudan sanal sunucunun ağ arayüzüne ve FortiWeb üzerindeki IP adresine yöneliktir. FortiWeb genellikle full NAT uygular. FortiWeb ilk uygulanabilir policyi uygular, ardından izin verilen trafiği bir web sunucusuna iletir. FortiWeb , ihlalleri eşleştirme policysine göre loglar, engeller veya değiştirir. Unutmayın NAT nedeniyle Reverse Proxy modunda DNS A/AAAA kayıt değişiklikleri gerekebilir. Ayrıca X-Forwarded-For:
Sunucunun, hız sınırlama veya coğrafi analiz gibi kaynak IP tabanlı özellikleri uygulamadığını veya alternatif olarak, bir HTTP X başlığında orijinal istemcinin kaynak IP adresini bulması için konfigüre edildiğini bulun. IP ve DNS değişikliği yapmadan dağıtmak istiyorsanız, bunun yerine şeffaf(transparent) modlardan birini seçebilirsiniz.
Bir istemci, bir FortiWeb cihazı aracılığıyla İnternet üzerinden iki web sunucusuna erişir . HTTP/HTTPS olmayan trafiği düzenlemek için FortiWeb ve İnternet arasında firewall kurulur. Port1 yöneticinin bilgisayarına Port2 ise firewalla, ve Port3, web sunucularına bağlı bir switche bağlıdır. FortiWeb cihazı, iki web sunucusu arasında yük dengeleme sağlar .
Sunuculara ulaşmadan önce ek tarama ve işleme için yalnızca FortiWeb üzerinden HTTP/HTTPS yönlendirilir.
Bu yöntem genellikle tavsiye edilmese de sanal serverlar, fiziksel serverlarla aynı alt ağı paylaşabilir. Bu, tek kollu bir HTTP proxy oluşturmanın bir yöntemidir. Örneğin, sanal sunucu 192.0.2.1/24, fiziksel sunucu 192.0.2.2’ye iletebilir. Ağınızın yönlendirme konfigürasyonu bunu engellemediği sürece, fiziksel sunucunun IP adresini bilen istemcilerin, fiziksel sunucuya doğrudan erişerek FortiWeb cihazını atlamalarına izin verebilir.
Varsayılan olarak, Reverse Proxy modundayken FortiWeb, HTTP/HTTPS olmayan trafiği sanal sunuculardan korumalı back-end sunucularınıza iletmez ve taranmamış protokollerin IP tabanlı iletilmesi/yönlendirilmesi devre dışı bırakılır.
FTP, SSH veya diğer protokolleri back-end sunucularınıza iletmeniz gerektiğinde FortiWeb’i inline olarak dağıtmamanızı tavsiye ederiz. Bunu yapmak yerine, FortiGate VIP port yönlendirmeyi kullanın böylece FortiWeb’i atlayarak FTP, SSH, vb. protokolleri taramak ve ardından doğrudan sunuculara göndermek için daha güvenli bir yol tercih etmiş olursunuz. FortiWeb’i yalnızca FortiWeb’in aldığı tek kollu bir topolojide dağıtın. FortiGate VIP/port yönlendirmesinden HTTP/HTTPS, ardından bunu web sunucularınıza iletir. Sadece firewall ile korunan trafiğin web sunucularınıza ulaştığını doğrulamak için dikkatlice test edin.
Test edemiyorsanız ve FortiWeb’in HTTP olmayan protokolleri TCP katmanının üzerine yönlendirmesini istiyorsanız, config router setting
komutunu kullanabilirsiniz. Ancak bu işlem güvenlik ve performans nedenleriyle önerilmez.
Transparent modlar için topoloji
Ağın IP adresi şemasında değişiklik yapmasına gerek yoktur. İstekler, FortiWeb’e değil, web sunucusuna yöneliktir. Çevrimdışı Koruma modunda olduğundan daha fazla özellik desteklenir, ancak Reverse Proxy’den ise daha az özellik desteklenir. HTTPS kullanıyorsanız desteklenen özellikler değişiklik gösterebilir.
Her iki transparent modda da web sunucları Reverse Proxy modundan farklı olarak, istemcilerin kaynak IP adresini görebilir.
FortiWeb üzerinde VLAN alt arabirimlerini konfigüre edebilirsiniz veya IP adresi konfigürasyonunu tamamen atlayabilirsiniz. Yalnızca Katman 2 köprüsünün bir parçası olması için bir ağ bağlantı noktası atayabilirsiniz.
Her iki transparent modda da, HTTP/HTTPS olmayan protokolleri iletir. Yani, taranmamış protokoller için routing/IP tabanlı forwarding desteklenir. Böylece FTP veya SSH gibi diğer protokollerin geçişini kolaylaştırır.
Bir istemci, bir FortiWeb ile İnternet üzerinden bir web sunucusuna erişir. HTTP/HTTPS olmayan trafiği düzenlemek için FortiWeb cihazı ile İnternet arasına firewall kurulur. Bu, Port1 yöneticinin bilgisayarına, Port3 firewalla ve Port4 web sunucularına bağlıdır. Port3 ve port4’ün özel bir IP adresi yoktur ve bir V bölgesi (köprü) görevi görürler. Port3 ve port4 de arızalı kablolama için donanım desteği bulunduğundan dolayı, bu topoloji ile FortiWeb güç kaybı durumunda arıza açma davranışını da konfigüre edebilirsiniz.
True Transparent Proxy modu ve Transparent Denetim modu, müdahale modundaki farklılıkları nedeniyle aralarında birkaç önemli davranış farklılıkları bulunur:
- True Transparent Proxy — FortiWeb, Katman 2 köprüsüne ait bir ağ portuna gelen trafiği, ilk uygulanabilir policy uygular ve izin verilen trafiğin geçmesine izin verir. FortiWeb, ihlalleri eşleştirme policysi ve koruma profiline göre loglar, engeller veya değiştirir. Bu mod, HTTP aracılığıyla kullanıcı kimlik doğrulamasını destekler ancak HTTPS’yi desteklemez.
- Transparent Denetim — FortiWeb , Katman 2 köprüsüne ait bir ağ bağlantı noktasına gelen trafiği asenkron denetler , ilk uygulanabilir policyi uygular ve izin verilen trafiğin geçmesine izin verir. (Asenkron olduğu için gecikme azalır.) FortiWeb, eşleştirme policysi ve koruma profiline göre trafiği loglar veya engeller, ancak başka şekilde değiştirmez. Diğerlerinden farklı olarak bu modda Uyarı dışında diğer işlemlerin başarısı garanti edilmez. FortiWeb cihazı, policyi ihlal eden trafiği engellemeye çalışır ama asenkron incelemeden dolayı, istemci veya sunucu policyi ihlal eden trafiği yüksek bir ihtimalle almıştır.
Çevrimdışı Koruma (Offline Protection) modu için topoloji
“Out-of-band” bu mod için en uygun tanımdır. Bu moda geçiş için minimum değişiklikler yapmak gereklidir. Herhangi bir gecikme sağlamasa bile birçok özellik desteklenmez.
Çoğu kuruluş FortiWeb’lerini Çevrimdışı Koruma modunda kalıcı olarak dağıtmaz . Bunun yerine, bunu web sunucularının güvenlik açıkları hakkında bilgi edinmenin ve bir geçiş döneminde FortiWeb’in bazılarını yapılandırmanın bir yolu olarak kullanacaklar ve ardından cihazı (istemciler ve web sunucuları arasında) sıralı olarak yerleştiren bir çalışma moduna geçecekler. .Geçiş işlemini tamamladığınızda Çevrimdışı Koruma modundan çıkmak, yanlış yapılandırılmış yönlendirme sonucu ortaya çıkabilecek baypas sorunlarını önleyebilir. Ayrıca size SPAN bağlantı noktası topolojisinde desteklenemeyen koruma özellikleri sunma olanağı da sunar. |
İstekler, bir web sunucusuna yöneliktir. Trafik, akıştan duplicate edilir ve switched port analizörü (SPAN veya yansıtma) port aracılığıyla FortiWeb’e hat dışı bir bağlantı üzerinden gönderilir. Policy ihalla edilmediği sürece sürece, FortiWeb’den yanıt trafiği gelmez. Upstream Firewall’ların veya yönlendiricilerin kaynak NAT (SNAT) uygulamasına bağlı olarak, web sunucuları istemcilerin kaynak IP adreslerini görebilir ve kullanabilir.
Bir istemci, bir FortiWeb aracılığıyla İnternet üzerinden iki web sunucusuna erişir . HTTP/HTTPS olmayan trafiği düzenlemek için FortiWeb ve İnternet arasına bir firewall kurulumu yapılır. Port1 yöneticinin bilgisayarına ve Port2, firewall’a ve dolayısıyla web sunucularına bağlı bir switche bağlıdır. FortiWeb sorunu tespit edebilir ancak iki web sunucusuna gelen veya bu sunuculardan gelen trafiği dengelemez, engellemez veya başka şekilde değiştirmez. Alternatif bir yöntem olarak, Çevrimdışı Koruma modunda çalışan bir FortiWeb’i switchin SPAN bağlantı noktasına bağlayabilirsiniz.
Reverse Proxy modundan veya True Transparent Proxy modundan farklı olarak, Uyarı dışındaki eylemlerin Çevrimdışı Koruma modunda başarılı olmayabilir. FortiWeb cihazı, policyi ihlal eden trafiği engellemeye çalışır ama yönlendirme yolu ölçümleri ve gecikme süresinde oluşabilecek farklardan kaynaklı istemci veya sunucu diğer trafiği aldıktan sonra sıfırlama isteğini alabilir.
FortiWeb, veri yakalama portunun ağ arayüzünde IP adresinden bağımsız olarak alınan trafiği izler ve ilk uygulanabilir policyi uygular ama izin verilen trafiği iletmez. FortiWeb, eşleşme policysine ve koruma profiline göre ihlalleri loglar veya engeller. FortiWeb kötü niyetli bir istek algılarsa, web sunucusuna ve istemciye bir TCP RST
(sıfırlama) paketi gönderir. Çünkü diğer türlü trafiği değiştirmez.
Bu modu seçerseniz, policyi ihlal eden trafiği engellemek için TCP RST
(sıfırlama) komutlarının gönderileceği bağlantı noktasını seçmek için bağlantı noktasını konfigüre edebilirsiniz.
WCCP modu için topoloji
WCCP modu, ağın IP adresi şemasında değişiklik gerektirmez. İstekler, web sunucusuna yöneliktir. Bu çalışma modu, True Transparent Proxy modu ile aynı özellik setini destekler. Ancak, Reverse Proxy modu, istemcinin IP arayüzünü görmek yerine FortiWeb ağ arayüzü IP adresini görür.
Bir istemci, bir FortiWeb cihazı aracılığıyla İnternet üzerinden bir web sunucusuna erişir . Bu tek kollu topolojide, bir güvenlik duvarı, port1’e gelen HTTP/HTTPS trafiğini WCCP istemcisi olarak konfigüre edilmiş bir FortiWeb’e yönlendiren bir WCCP sunucusu olarak konfigüre edilir. Güvenlik duvarı, HTTP/HTTPS olmayan trafiği doğrudan switche yönlendirir. FortiWeb’de Port3 , WCCP protokolü için konfigüre edilir ve firewall’a bağlanır. Firewall, port3’e gelen HTTP/HTTPS trafiğini switche yönlendirecek şekilde konfigüre edilmiştir.
FortiWeb ilk uygulanabilir policyi uygular, ihlalleri eşleşen policye göre loglar, engeller veya değiştirir ve ardından izin verilen trafiği firewalla çevirir.
Yüksek kullanılabilirlik (HA) kümelemesi için topolojiler
Geçerli HA topolojileri, aşağıdakilerden birini kullanıp kullanmadığınıza göre değişir:
- FortiWeb aktif-pasif HA
- FortiWeb aktif-aktif HA
- Harici bir HA/yük dengeleyici
HA çifti arasında sinyal ve senkronizasyon trafiğini aktarmak için, her iki HA cihazındaki sinyal arayüzü çapraz kablolar veya switchler aracılığıyla bağlanmalıdır.
Sinyal arayüzlerini bağlamak için bir swtich kullanmak isterseniz, Katman 2 birden fazla noktaya yayın tarafından erişilebilir olmalıdır.
Etkin cihaz arızalanırsa, bekleme cihazı arızalı cihazın IP adreslerini ve loadını üstlenir.
Bir FortiWeb aktif-aktif HA kümesi, en fazla 8 tane FortiWeb s’den oluşabilir. Tüm küme üyeleri birlikte aktif bir cihaz olarak çalışır, Yani üyelerin her biri aynı anda istemciler ve arka web sunucuları arasındaki trafiği yönetebilir. Aktif-aktif HA kümesinde, birincil olarak seçilen bir gereç vardır ve diğerleri ikincil gereçlerdir. Bir merkezi controller gibi, yalnızca birincil cihaz istemcilerden ve web sunucularından trafik alır; alınan trafiği tüm kümeye dağıtır, böylece her FortiWeb cihazı trafiği izlemek için güvenlik hizmetlerini kullanır.
Aktif-pasif HA dağıtımına benzer şekilde, aktif-aktif HA kümesinin çalışması, küme üyeleri arasında sinyal algılama, konfigürasyon ve oturum senkronizasyonu gerektirir. Birincil cihaz arızalanırsa, ikincil cihazlardan biri onu devralır. Tüm HA cihazlarının sinyal arabirimleri, HA küme üyeleri arasındaki sinyal ve senkronizasyon trafiğini taşımak için doğrudan çapraz kablolarla veya switchler aracılığıyla bağlanmalıdır.
FortiWeb, Reverse Proxy modunda çalışmıyorsa, HA ağ topolojisini konfigüre edemezsiniz. Bir HA ağ topolojisinin diğer çalışma modlarında konfigüre edilmesi yüzünden ağ şemanızda değişiklikler yapmanız gerekebilir.
Bunun yerine çoğu müşteri, bu topolojileri korumak için FortiWeb konfigürasyon senkronizasyonu ile birlikte mevcut bir harici yük dengeleyici/HA çözümünü kullanır.
Bu, dir:
FortiWeb HA’dan farklı olarak, harici HA cihazı bir FortiWeb’in ne zaman başarısız olduğunu algılar ve ardından trafik akışını yeniden yönlendirir. FortiWeb konfigüresiyle canlı yolları izlemek için , HA cihazınızı aşağıdakileri kontrol ederek konfiigüre edebilirsiniz:
- Bir back-end web sunucusu veya
- Her FortiWeb köprüsünde (V-zone) bir IP,
FortiWeb yapılandırmasını HA olmadan (yani yük dengeleme ve yük devretme olmadan ) çoğaltmak için konfigürasyon senkronizasyonunu kullanabilirsiniz. Bunun için özel bir topoloji gerekmez ama senkronize edilmiş FortiWeb’ler aynı topolojilere yerleştirilmelidir.