FortiWeb Kurulumu

FortiWeb Kurulumu

Bu yazı ile başlayarak sizlere FortiWeb kurulumu yaparken nelere dikkat etmeniz gerektiğini ve nasıl kuracağınızı aşama aşama anlatacağım bir seri oluşturacağım. Ancak seriye başlamadan önce FortiWeb kurulumu aşamalarını hızlıca özetlemek istiyorum. (Onaylı maddelere tıklayarak direkt konuya geçiş yapabilirsiniz.)

  1. Cihaz ve VMware karşılaştırması
  2. FortiWeb’inizi kaydetme
  3. Ağ topolojisinin planlanması
  4. Web kullanıcı arayüzüne veya CLI’ye bağlanma
  5. Firmware güncellenmesi
  6. “Admin” hesabı şifresini değiştirme
  7. Sistem saatini ve tarihini ayarlama
  8. Çalışma modunun ayarlanması
  9. Özellik görünürlüğü
  10. Yüksek Kullanılabilirlik (HA) temel ayarların konfigürasyonu
  11. FortiWeb HA (harici HA) olmadan konfigürasyonun kopyalanması
  12. Ağ ayarlarını konfigürasyonu
  13. DNS ayarlarını konfigürasyonu
  14. HA ayarlarını özel olarak aktif-pasif ve standart aktif-aktif modlar için konfigürasyon
  15. HA ayarlarını özellikle yüksek hacimli aktif-aktif mod için konfigürasyonu
  16. Web sunucularınızı ve yük dengeleyicilerinizi tanımlama
  17. FortiWeb’i WCCP aracılığıyla trafik alacak şekilde konfigürasyonu
  18. Temel Policy konfigüre etme
  19. Kurulumu test etme
  20. Çevrimdışı Koruma modundan çıkma

Bu aşamalar ve talimatlar aracılığıyla sizi basit ve doğru bir şekilde çalışan FortiWeb kurulumu yapmanıza yardımcı olacaktır. Bu kurulumdan sonra isteğinize konfigürasyonunuzda ince ayarlar yapabilirsiniz.

Eğer aşamalı olarak dağıtım yapıyorsanız, geçiş aşamasında FortiWeb’inizi Çevrimdışı Koruma modunda kurmak isteyebilirsiniz. Böyle bir durumda, bu bölümde yapılması gerekenleri birden fazla tekrarlamanız gerekebilir. Bir kez Çevrimdışı Koruma modu için, ardından kalıcı çalışma modları seçiminize geçtiğinizde adımları tekrar edersiniz. 

Dağıtım için gereken süre:

  • Web uygulamalarınızın sayısı
  • Web uygulamalarınızın karmaşıklığı,

gibi değişkenlere göre değişir.

Cihaz ve VMware karşılaştırması

Kurulum yaparken yapacaklarınız, FortiWeb’i fiziksel bir cihaz olarak mı yoksa sanal bir makine olarak mı kurduğunuza göre değişir.

FortiWeb -VM sanal bir cihaz kurmak için önce modelinize uygun olan FortiWeb-VM Dağıtım Kılavuzunu takip edin, ardından sizlere anlattığımız kurulum aşamalarını takip edin.

FortiWeb ürününüzü kaydetme

Donanım yazılımı güncellemeleri, teknik destek, FortiGuard hizmetleri ve FortiSandbox hizmetleri gibi birçok Fortinet hizmetine erişim sağlayabilmeniz için ürün kaydını yapmanız gerekmektedir. FortiWeb ürününüzü kaydettirmek için FortiWeb temsilciniz Ozztech Bilgi Teknolojileri ile iletişime geçin.

Ağ topolojisinin planlanması

FortiWeb cihazınızın koruyacağı web sunucularına yönelik trafiği elde edebilmeniz için, genellikle FortiWeb cihazınızı web sunucuları ile erişimi olan tüm istemciler arasında kurmalısınız.

Ağ (Network) konfigürasyonu, web sunucularına yönelik tüm ağ trafiğinin ilk önce FortiWeb cihazına veya bu cihazdan çalışma modunuza bağlı olarak geçişini sağlayabilmelidir. Çoğunlukla, istemciler internetten web sunucularına FortiGate gibi bir Firewall cihazı sayesinde erişim sağlarlar, bu nedenle FortiWeb cihazınızı web sunucuları ile firewall arasına kurulum yapmalısınız. Bunu yapmamak, web sunucularınızı HTTP/HTTPS tabanlı olmayan saldırılara karşı savunmasız bırakabilir. FortiWeb cihazları genel amaca hitap eden firewall cihazı değildir işte bu yüzden IP tabanlı yönlendirmeyi etkinleştirirseniz, HTTP/HTTPS olmayan trafiğin denetim olmadan geçmesine izin verir.

FortiWeb Kurulumu

FortiWeb cihazının çalışacağı moda göre ayrıntılar ve topolojisi değişkenlik gösterir. Örneğin, Çevrimdışı Koruma modunda veya şeffaf modlardan herhangi birinde çalışan FortiWeb cihazları ağ adresi çevirisi (NAT) veya yük dengeleme yapamaz ama FortiWeb cihazları Reverse Proxy modunda çalışabilir.

Harici yük dengeleyiciler: önce mi sonra mı?

FortiWeb’i yük dengeleyicinizin (FortiBalancer, FortiADC veya kaynak NAT uygulayan diğer herhangi bir cihaz gibi) önüne yerleştirmelisiniz, böylece FortiWeb yük dengeleyici ile istemciler arasında konumlanmış olur. Bu sayede;

  • Basitleştirilmiş konfigürasyon imkanı elde edersiniz.
  • Taranmamış trafik, yük dengeleyicinize ulaşmayacak ve performansını ve güvenliğini artıracaktır.
  • IP katmanında, FortiWeb’in bakış açısından, HTTP istekleri, gerçek istemcinin IP adresinden geliyormuş gibi görünecektir.

Aksi takdirde, saldırganların ve yasal istemcilerin IP adresleri yük dengeleyici tarafından gizlenebilir. Bunun yerine, ihtiyacınız özelliklere bağlı olarak, FortiWeb’in yerleşik yük dengeleme özelliklerini kullanabilirsiniz.

FortiWeb Kurulumu
FortiWeb’in arkasında yük dengeleyici bulunan network topolojisi örneği

Bu, bir

FortiWeb Kurulumu
FortiWeb’in önünde bir yük dengeleyicinin bulunduğu ve X-başlıklarının olmadığı yanlış konfigürasyon örneği

Yük dengeleyicinizi , farklı istemcilerden gelen HTTP isteklerini FortiWeb ile her bir TCP bağlantısını arttırmayacak şekilde konfigüre ederek bu hatayı önleyebilirsiniz.

FortiWeb, genellikle TCP/IP bağlantı düzeyinde engelleme yapar. Yük dengeleyici bunları bir saldırı olarak aynı TCP bağlantısı içinde iletiyorsa kötü amaçlı olmayan HTTP isteklerinin engellenmesine neden olabilir. Bu sebeple, aralıklı olarak başarısız isteklere neden olabilir. Bunu hesaba katmak için yük dengeleyicinizi bir X-Forwarded-For:X-Real-IP:, veya başka bir HTTP X başlığı ekleyecek veya ekleyecek şekilde konfigüre edin. Ayrıca FortiWeb’i , orijinal saldırganın veya istemcinin IP adresini IP oturumu üzerinde değil, bu HTTP başlığında bulacak şekilde konfigüre edin.

FortiWeb Kurulumu
FortiWeb’in önünde bir yük dengeleyicinin bulunduğu ve X başlıklarının bulunduğu doğru konfigürasyon örneği

FortiWeb’in önündeki yük dengeleyici veya başka bir cihaz SNAT uygularsa , engellemeyi HTTP X başlıklarına dayanarak konfigüre etmediysenizherhangi birini Period Block olarak ayarlamayın. IP katmanındaki kaynak IP adresine dayalı Period Block, bir saldırı sonrası SNAT aygıtı tarafından iletilen iyi niyetli isteklerin engelleme süresi dolana kadar engellenmesine neden olur. Bu nedenle, aralıklı hizmet kesintilerine neden olabilir bu nedenle FortiWeb kurulumu sırasında bu detaya dikkat etmelisiniz.

Çalışma Modu Seçimi

  • Desteklenen FortiWeb özellikleri
  • Gerekli ağ topolojisi
  • Pozitif/negatif güvenlik modeli
  • Web server konfigürasyonu, da dahil birçok şey çalışma moduna göre değişkenlik gösterir. 

Çalışma modunun ihtiyaçlara göre seçilmesi çok önemli bir faktör olduğundan dolayı, seçiminizi yapmadan önce sonuçları dikkatlice düşünün. Çünkü modları daha sonra değiştirirseniz ağınızı yeniden konfigüre etmeniz zaman alır. Eğer hangi modu seçeceğinizi bilmiyorsanız geçici olarak Çevrimdışı Koruma modunda dağıtabilirsiniz.

Her çalışma modunda desteklenen özellikler

Seçtiğiniz çalışma modundan bağımsız olarak birçok özellik çalışır. Bazı özellikler için destek, çalışma moduna göre değişir. Örneğin, yeniden yazma, bir satır içi topoloji ve eşzamanlı işleme gerektirir ve bu nedenle yalnızca bu şekilde çalışan modlarda desteklenir.

En geniş özellik desteği almak için Reverse Proxy modunu seçin.

DoS koruması veya SSL/TLS offloading gibi seçtiğiniz çalışma modunda desteklenmeyen bir özelliğe gereksinim duyarsanız, web sunucunuzu veya başka bir ağ cihazını bu özelliği sağlayacak şekilde konfigüre edin. Aşağıdaki tabloda evrensel olarak desteklenmeyen özelliklerin listesidir:  

ÖzellikOperation mode
Reverse ProxyTrue Transparent ProxyTransparent InspectionOffline ProtectionWCCP
HA (Active-passive)YesYesYesYesYes
HA (Active-active-Standard)YesYesNoNoNo
HA (Active-active-High Volume)YesNoNoNoNo
Bridges/V-zonesNoYesYesNoNo
Network FirewallYesYesYesNoNo
Fail-to-wireNoYesYesNoYes
Config. Sync (Non-HA)Yes^YesYesYesYes
File UploadYesYesYesYesYes
AJAX BlockYesYesNoNoYes
Error Page CustomizationYesYesNoNoYes
Threat WeightYesYesYesYesYes
FortiGate Quarantined IPsYesYesNoNoYes
ADFS PolicyYesNoNoNoNo
HSTS HeaderYesYesNoNoYes
HPKP HeaderYesYesNoNoYes
OCSP StaplingYesYesNoNoYes
TLS 1.0/1.1/1.2 SupportYesYesYes~Yes~Yes
TLS 1.3 SupportYes~Yes~NoNoYes~
Client Certificate ForwardingYesYesNoNoYes
Client Certificate VerificationYesYesNoNoYes
StatisticYesYesYesYesYes
User AuthenticationYesYesNoNoYes
Mobile Application IdentificationYesYesYesYesYes
HTTP/2 SupportYesYesNoNoNo
SSL/TLS OffloadingYesNoNoNoNo
Client ManagementYesYesYes*Yes*Yes*
HTTP Content RoutingYesNoNoNoNo
Proxy ProtocolYesYesYesYesNo
Protected HostnamesYesYesYesYesYes
Traffic MirrorYesYesNoNoNo
Global allow listYesYesYesYesYes
X-Forwarded-For: SupportYesYesYesYesYes
URL Rewriting/RedirectionYesYesNoNoYes
HTTP AuthenticationYesYesNoNoYes
Site Publish YesYesNoNoYes
File CompressionYesYesNoNoYes
Acceleration (Hızlanma)YesYesNoNoYes
Caching (önbelleğe alma)YesYesNoNoYes
SignaturesYesYesYesYesYes
Custom SignatureYesYesYesYesYes
Custom PolicyYesYesYesYesYes
Padding Oracle SecurityYesYesYesYesYes
CSRF ProtectionYesYesNoNoYes
HTTP Header SecurityYesYesNoNoYes
Man in the Browser Protection PolicyYesYesNoNoYes
URL EncryptionYesYesNoNoYes
SQL/XSS Syntax Based DetectionYesYesYesYesYes
Cookie SecurityYesYesNoNoYes
Parameter ValidationYesYesYesYesYes
Hidden FieldsYesYesYesYesYes
HTTP Protocol ConstraintsYesYesYesYesYes
WebSocket SecurityYesYesNoNoYes
Chunk DecodeYesYesYesYesYes
URL AccessYesYesYesYesYes
Allow MethodYesYesYesYesYes
CORS ProtectionYesYesNoNoYes
Bot MitigationYesYesNoNoYes
Biometrics Based DetectionYesYesNoNoYes
Threshold Based DetectionYesYesNoNoYes
Bot DeceptionYesYesNoNoYes
Known BotsYesYesNoNoYes
JSON ProtectionYesYesYesYesYes
XML ProtectionYesYesYesYesYes
WS-Security RuleYesYesNoNoYes
OpenAPI ValidationYesYesYesYesYes
Mobile API ProtectionYesYesYesYesYes
API GatewayYesYesYesYesYes
HTTP Access LimitYesYesNoNoYes
Malicious IPsYesYesNoNoYes
HTTP Flood PreventionYesYesNoNoYes
TCP Flood PreventionYesYesNoNoYes
DoS ProtectionYesYesNoNoYes
IP ListYesYesYesYesYes
Geo IPYesYesYesYesYes
IP ReputationYesYesYesYesYes
User TrackingYesYesYesYesYes
Machine Learning – Anomaly DetectionYesYesYesYesYes
Machine Learning – Bot DetectionYesYesYesYesYes
^ Tam yapılandırma senkronizasyonu, Reverse Proxy modunda desteklenmez.

§ Yalnızca Uyarı eylemi desteklenir.

* Web uygulamanızın oturum kimliklerine sahip olmasını gerektirir.

~ DSA şifreli sunucu sertifikaları desteklenmez.

¶ Diffie-Hellman anahtar değişimleri desteklenmez. 

Çalışma modu ve HA modu ile eşleşen topoloji

Gerekli fiziksel topoloji, çalışma modu seçiminize göre değişir. Ayrıca, FortiWeb cihazlarının yüksek kullanılabilirlik (HA) kümesini çalıştırıp çalıştırmayacağınıza bağlı olarak da değişir . 

İstekler, doğrudan sanal sunucunun ağ arayüzüne ve FortiWeb üzerindeki IP adresine yöneliktir. FortiWeb genellikle full NAT uygular. FortiWeb ilk uygulanabilir policyi uygular, ardından izin verilen trafiği bir web sunucusuna iletir. FortiWeb , ihlalleri eşleştirme policysine göre loglar, engeller veya değiştirir. Unutmayın NAT nedeniyle Reverse Proxy modunda DNS A/AAAA kayıt değişiklikleri gerekebilir. Ayrıca X-Forwarded-For: Sunucunun, hız sınırlama veya coğrafi analiz gibi kaynak IP tabanlı özellikleri uygulamadığını veya alternatif olarak, bir HTTP X başlığında orijinal istemcinin kaynak IP adresini bulması için konfigüre edildiğini bulun. IP ve DNS değişikliği yapmadan dağıtmak istiyorsanız, bunun yerine şeffaf(transparent) modlardan birini seçebilirsiniz.

FortiWeb Kurulumu
Reverse Proxy modu için örnek ağ topolojisi

Bir istemci, bir FortiWeb cihazı aracılığıyla İnternet üzerinden iki web sunucusuna erişir . HTTP/HTTPS olmayan trafiği düzenlemek için FortiWeb ve İnternet arasında firewall kurulur. Port1 yöneticinin bilgisayarına Port2 ise firewalla, ve Port3, web sunucularına bağlı bir switche bağlıdır. FortiWeb cihazı, iki web sunucusu arasında yük dengeleme sağlar .

FortiWeb Kurulumu
Reverse Proxy modunda tek kollu bir topolojide istemciden kaynaklanan birden çok protokol örneği

Sunuculara ulaşmadan önce ek tarama ve işleme için yalnızca FortiWeb üzerinden HTTP/HTTPS yönlendirilir.

Bu yöntem genellikle tavsiye edilmese de sanal serverlar, fiziksel serverlarla aynı alt ağı paylaşabilir. Bu, tek kollu bir HTTP proxy oluşturmanın bir yöntemidir. Örneğin, sanal sunucu 192.0.2.1/24, fiziksel sunucu 192.0.2.2’ye iletebilir. Ağınızın yönlendirme konfigürasyonu bunu engellemediği sürece, fiziksel sunucunun IP adresini bilen istemcilerin, fiziksel sunucuya doğrudan erişerek FortiWeb cihazını atlamalarına izin verebilir.

Varsayılan olarak, Reverse Proxy modundayken FortiWeb, HTTP/HTTPS olmayan trafiği sanal sunuculardan korumalı back-end sunucularınıza iletmez ve taranmamış protokollerin IP tabanlı iletilmesi/yönlendirilmesi devre dışı bırakılır. 

FTP, SSH veya diğer protokolleri back-end sunucularınıza iletmeniz gerektiğinde FortiWeb’i inline olarak dağıtmamanızı tavsiye ederiz. Bunu yapmak yerine, FortiGate VIP port yönlendirmeyi kullanın böylece FortiWeb’i atlayarak FTP, SSH, vb. protokolleri taramak ve ardından doğrudan sunuculara göndermek için daha güvenli bir yol tercih etmiş olursunuz.  FortiWeb’i yalnızca FortiWeb’in aldığı tek kollu bir topolojide dağıtın. FortiGate VIP/port yönlendirmesinden HTTP/HTTPS, ardından bunu web sunucularınıza iletir. Sadece firewall ile korunan trafiğin web sunucularınıza ulaştığını doğrulamak için dikkatlice test edin.

Test edemiyorsanız ve FortiWeb’in HTTP olmayan protokolleri TCP katmanının üzerine yönlendirmesini istiyorsanız, config router setting komutunu kullanabilirsiniz. Ancak bu işlem güvenlik ve performans nedenleriyle önerilmez.

Transparent modlar için topoloji

Ağın IP adresi şemasında değişiklik yapmasına gerek yoktur. İstekler, FortiWeb’e değil, web sunucusuna yöneliktir. Çevrimdışı Koruma modunda olduğundan daha fazla özellik desteklenir, ancak Reverse Proxy’den ise daha az özellik desteklenir. HTTPS kullanıyorsanız desteklenen özellikler değişiklik gösterebilir.

Her iki transparent modda da web sunucları Reverse Proxy modundan farklı olarak, istemcilerin kaynak IP adresini görebilir.

FortiWeb üzerinde VLAN alt arabirimlerini konfigüre edebilirsiniz veya IP adresi konfigürasyonunu tamamen atlayabilirsiniz. Yalnızca Katman 2 köprüsünün bir parçası olması için bir ağ bağlantı noktası atayabilirsiniz.

Her iki transparent modda da, HTTP/HTTPS olmayan protokolleri iletir. Yani, taranmamış protokoller için routing/IP tabanlı forwarding desteklenir. Böylece FTP veya SSH gibi diğer protokollerin geçişini kolaylaştırır.

FortiWeb Kurulumu
True Transparent Proxy veya Transparent Denetim modu için ağ topolojisi

Bir istemci, bir FortiWeb ile İnternet üzerinden bir web sunucusuna erişir. HTTP/HTTPS olmayan trafiği düzenlemek için FortiWeb cihazı ile İnternet arasına firewall kurulur. Bu, Port1 yöneticinin bilgisayarına, Port3 firewalla ve Port4 web sunucularına bağlıdır. Port3 ve port4’ün özel bir IP adresi yoktur ve bir V bölgesi (köprü) görevi görürler. Port3 ve port4 de arızalı kablolama için donanım desteği bulunduğundan dolayı, bu topoloji ile FortiWeb güç kaybı durumunda arıza açma davranışını da konfigüre edebilirsiniz.

True Transparent Proxy modu ve Transparent Denetim modu, müdahale modundaki farklılıkları nedeniyle aralarında birkaç önemli davranış farklılıkları bulunur:

  • True Transparent Proxy — FortiWeb, Katman 2 köprüsüne ait bir ağ portuna gelen trafiği, ilk uygulanabilir policy uygular ve izin verilen trafiğin geçmesine izin verir. FortiWeb, ihlalleri eşleştirme policysi ve koruma profiline göre loglar, engeller veya değiştirir. Bu mod, HTTP aracılığıyla kullanıcı kimlik doğrulamasını destekler ancak HTTPS’yi desteklemez.
  • Transparent Denetim — FortiWeb , Katman 2 köprüsüne ait bir ağ bağlantı noktasına gelen trafiği asenkron denetler , ilk uygulanabilir policyi uygular ve izin verilen trafiğin geçmesine izin verir. (Asenkron olduğu için gecikme azalır.) FortiWeb, eşleştirme policysi ve koruma profiline göre trafiği loglar veya engeller, ancak başka şekilde değiştirmez.  Diğerlerinden farklı olarak bu modda Uyarı dışında diğer işlemlerin başarısı garanti edilmez. FortiWeb cihazı, policyi ihlal eden trafiği engellemeye çalışır ama asenkron incelemeden dolayı, istemci veya sunucu policyi ihlal eden trafiği yüksek bir ihtimalle almıştır.

Çevrimdışı Koruma (Offline Protection) modu için topoloji

“Out-of-band” bu mod için en uygun tanımdır.  Bu moda geçiş için minimum değişiklikler yapmak gereklidir. Herhangi bir gecikme sağlamasa bile birçok özellik desteklenmez. 

Çoğu kuruluş FortiWeb’lerini Çevrimdışı Koruma modunda kalıcı olarak dağıtmaz . Bunun yerine, bunu web sunucularının güvenlik açıkları hakkında bilgi edinmenin ve bir geçiş döneminde FortiWeb’in bazılarını yapılandırmanın bir yolu olarak kullanacaklar ve ardından cihazı (istemciler ve web sunucuları arasında) sıralı olarak yerleştiren bir çalışma moduna geçecekler. .Geçiş işlemini tamamladığınızda Çevrimdışı Koruma modundan çıkmak, yanlış yapılandırılmış yönlendirme sonucu ortaya çıkabilecek baypas sorunlarını önleyebilir. Ayrıca size SPAN bağlantı noktası topolojisinde desteklenemeyen koruma özellikleri sunma olanağı da sunar.

İstekler, bir web sunucusuna yöneliktir. Trafik, akıştan duplicate edilir ve switched port analizörü (SPAN veya yansıtma) port aracılığıyla FortiWeb’e hat dışı bir bağlantı üzerinden gönderilir. Policy ihalla edilmediği sürece sürece, FortiWeb’den yanıt trafiği gelmez. Upstream Firewall’ların veya yönlendiricilerin kaynak NAT (SNAT) uygulamasına bağlı olarak, web sunucuları istemcilerin kaynak IP adreslerini görebilir ve kullanabilir.

FortiWeb Kurulumu
Çevrimdışı Koruma modu ağ topolojisi

Bir istemci, bir FortiWeb aracılığıyla İnternet üzerinden iki web sunucusuna erişir . HTTP/HTTPS olmayan trafiği düzenlemek için FortiWeb ve İnternet arasına bir firewall kurulumu yapılır. Port1 yöneticinin bilgisayarına ve Port2, firewall’a ve dolayısıyla web sunucularına bağlı bir switche bağlıdır. FortiWeb sorunu tespit edebilir ancak iki web sunucusuna gelen veya bu sunuculardan gelen trafiği dengelemez, engellemez veya başka şekilde değiştirmez. Alternatif bir yöntem olarak, Çevrimdışı Koruma modunda çalışan bir FortiWeb’i switchin SPAN bağlantı noktasına bağlayabilirsiniz.

Reverse Proxy modundan veya True Transparent Proxy modundan farklı olarak, Uyarı dışındaki eylemlerin Çevrimdışı Koruma modunda başarılı olmayabilir. FortiWeb cihazı, policyi ihlal eden trafiği engellemeye çalışır ama yönlendirme yolu ölçümleri ve gecikme süresinde oluşabilecek farklardan kaynaklı istemci veya sunucu diğer trafiği aldıktan sonra sıfırlama isteğini alabilir.

FortiWeb, veri yakalama portunun ağ arayüzünde IP adresinden bağımsız olarak alınan trafiği izler ve ilk uygulanabilir policyi uygular ama izin verilen trafiği iletmez. FortiWeb, eşleşme policysine ve koruma profiline göre ihlalleri loglar veya engeller. FortiWeb kötü niyetli bir istek algılarsa, web sunucusuna ve istemciye bir TCP RST (sıfırlama) paketi gönderir. Çünkü diğer türlü trafiği değiştirmez. 

Bu modu seçerseniz, policyi ihlal eden trafiği engellemek için TCP RST (sıfırlama) komutlarının gönderileceği bağlantı noktasını seçmek için bağlantı noktasını konfigüre edebilirsiniz.

WCCP modu için topoloji

WCCP modu, ağın IP adresi şemasında değişiklik gerektirmez. İstekler, web sunucusuna yöneliktir. Bu çalışma modu, True Transparent Proxy modu ile aynı özellik setini destekler. Ancak, Reverse Proxy modu, istemcinin IP arayüzünü görmek yerine FortiWeb ağ arayüzü IP adresini görür. 

FortiWeb Kurulumu
WCCP modu ağ topolojisi örneği

Bir istemci, bir FortiWeb cihazı aracılığıyla İnternet üzerinden bir web sunucusuna erişir . Bu tek kollu topolojide, bir güvenlik duvarı, port1’e gelen HTTP/HTTPS trafiğini WCCP istemcisi olarak konfigüre edilmiş bir FortiWeb’e yönlendiren bir WCCP sunucusu olarak konfigüre edilir. Güvenlik duvarı, HTTP/HTTPS olmayan trafiği doğrudan switche yönlendirir. FortiWeb’de Port3 , WCCP protokolü için konfigüre edilir ve firewall’a bağlanır.  Firewall, port3’e gelen HTTP/HTTPS trafiğini switche yönlendirecek şekilde konfigüre edilmiştir.

FortiWeb ilk uygulanabilir policyi uygular, ihlalleri eşleşen policye göre loglar, engeller veya değiştirir ve ardından izin verilen trafiği firewalla çevirir.

Yüksek kullanılabilirlik (HA) kümelemesi için topolojiler

Geçerli HA topolojileri, aşağıdakilerden birini kullanıp kullanmadığınıza göre değişir:

  • FortiWeb aktif-pasif HA
  • FortiWeb aktif-aktif HA
  • Harici bir HA/yük dengeleyici

HA çifti arasında sinyal ve senkronizasyon trafiğini aktarmak için, her iki HA cihazındaki sinyal arayüzü çapraz kablolar veya switchler aracılığıyla bağlanmalıdır.

Sinyal arayüzlerini bağlamak için bir swtich kullanmak isterseniz, Katman 2 birden fazla noktaya yayın tarafından erişilebilir olmalıdır.

FortiWeb Kurulumu
reverse Proxy modunda aktif-pasif HA ağ topolojisi

Etkin cihaz arızalanırsa, bekleme cihazı arızalı cihazın IP adreslerini ve loadını üstlenir.

FortiWeb Kurulumu
Reverse Proxy modunda aktif-aktif HA ağ topolojisine bir örnektir:

Bir FortiWeb aktif-aktif HA kümesi, en fazla 8 tane FortiWeb s’den oluşabilir. Tüm küme üyeleri birlikte aktif bir cihaz olarak çalışır, Yani üyelerin her biri aynı anda istemciler ve arka web sunucuları arasındaki trafiği yönetebilir. Aktif-aktif HA kümesinde, birincil olarak seçilen bir gereç vardır ve diğerleri ikincil gereçlerdir. Bir merkezi controller gibi, yalnızca birincil cihaz istemcilerden ve web sunucularından trafik alır; alınan trafiği tüm kümeye dağıtır, böylece her FortiWeb cihazı trafiği izlemek için güvenlik hizmetlerini kullanır.

Aktif-pasif HA dağıtımına benzer şekilde, aktif-aktif HA kümesinin çalışması, küme üyeleri arasında sinyal algılama, konfigürasyon ve oturum senkronizasyonu gerektirir. Birincil cihaz arızalanırsa, ikincil cihazlardan biri onu devralır. Tüm HA cihazlarının sinyal arabirimleri, HA küme üyeleri arasındaki sinyal ve senkronizasyon trafiğini taşımak için doğrudan çapraz kablolarla veya switchler aracılığıyla bağlanmalıdır.

FortiWeb, Reverse Proxy modunda çalışmıyorsa, HA ağ topolojisini konfigüre edemezsiniz. Bir HA ağ topolojisinin diğer çalışma modlarında konfigüre edilmesi yüzünden ağ şemanızda değişiklikler yapmanız gerekebilir.

Bunun yerine çoğu müşteri, bu topolojileri korumak için FortiWeb konfigürasyon senkronizasyonu ile birlikte mevcut bir harici yük dengeleyici/HA çözümünü kullanır.

Bu, dir:

FortiWeb Kurulumu
FortiADC aracılığıyla konfigüre senkronizasyonu ve harici HA ile True Transparent Proxy modunda bir ağ topolojisi

FortiWeb HA’dan farklı olarak, harici HA cihazı bir FortiWeb’in ne zaman başarısız olduğunu algılar ve ardından trafik akışını yeniden yönlendirir. FortiWeb konfigüresiyle canlı yolları izlemek için , HA cihazınızı aşağıdakileri kontrol ederek konfiigüre edebilirsiniz:

  • Bir back-end web sunucusu veya
  • Her FortiWeb köprüsünde (V-zone) bir IP,

FortiWeb yapılandırmasını HA olmadan (yani yük dengeleme ve yük devretme olmadan ) çoğaltmak için konfigürasyon senkronizasyonunu kullanabilirsiniz. Bunun için özel bir topoloji gerekmez ama senkronize edilmiş FortiWeb’ler aynı topolojilere yerleştirilmelidir.

İlginizi Çekebilecek Makaleler​

Kod Kalitesi nedir ve nasıl ölçülür?

Bilgisayar programcıları, kod setinin, programın veya yazılımın kalitesinin ne kadar yüksek olduğunu belirlemek için kod kalitesini kullanır. Bir ürünün tutarlı olup olmadığını, doğru çalışıp çalışmadığını

Devamı »
Kuantum Bilgisayar Nedir?

 Kuantum bilgisayarlar ile günümüzde kullanılan klasik aritmatiksel bilgisayarlar arasındaki temel fark, veriyi ele alma yöntemleridir.Hesap Makinalarından ve AllInOne bilgisayarlar ve Garry Kasparov’u yendiği kabul

Devamı »
Ubuntu Server Nedir ve Nasıl Kurulur?

Ubuntu Server Nedir? Ubuntu Sunucusu,  Canonical ve açık kaynaklı programcılar tarafından geliştirilen ve LinuxONE aracılığıyla x86, x86-64, ARM64, ARM v7 gibi tüm önemli mimarilerinde çalışabilen

Devamı »