برای استفاده از فورتی وب، می توانیم آن را در یکی از این ۵ مود پیاده سازی کنیم.
انواع مود فورتی وب به شرح زیر است:
- Reverse Proxy
- True Transparent Proxy
- Transparent Inspection
- Offline Protection
- WCCP
هرکدام از مودهای فوق دارای ویژگی خاص خود هستند که در ادامه به بررسی آن ها می پردازیم.
هر یک از این Mode ها قابلیت هایی دارند که در جدول مشخص هستند، البته برخی قابلیت ها نیز در برخی مودها غیر فعال است.
Reverse Proxy Mode
بیشترین قابلیتی که می توانید به دست بیاورید در حالت reverse proxy می باشد. اگر فورتی وب را در این مود قرار دهید بحث Bridging و fail to wire را نخواهیم داشت.
این مود بیشترین کاربرد را دارد، ۹۵ درصد کسانی که دستگاه فورتی وب را می خرند این مود را فعال می کنند. پیاده سازی این مود سخت نیست.
Reverse Proxy مود پیشفرض دستگاه می باشد و اغلب از این حالت استفاده می کنیم.
در این حالت فقط ترافیک http و https از دستگاه عبور می کند ولی بقیه ترافیک ها مثل ترافیک ssh و telnet عبور نخواهند کرد، برای عبور سایر ترافیک ها لازم است دستورات لازم را به فورتی وب بدهیم.
پیاده سازی Reverse Proxy
مطابق تصویر بالا در لبه اینترنت دستگاه فورتی گیت را قرار می دهیم.
با استفاده از قابلیت Virtual IP ترافیک وب را از فورتی گیت به سمت دستگاه فورتی وب ارسال می کنیم، فورتی وب Policy های مورد نظر را روی ترافیک ارسالی اعمال می کند.
سپس بررسی می کند که آیا این ترافیک مجاز می باشد یا خیر؟
در صورت مجاز بودن ترافیک آن را به سمت وب سرور ارسال می کند.
سایر ترافیک ها مثل SSH توسط دستگاه فورتی وب مستقیما به سمت سرورها ارسال می شوند.
در حالت Reverse Proxy فورتی وب به صورت Full NAT عمل می کند؛ ترافیک ها با آی پی خود فورتی وب ارسال می شود.
کلاینت ترافیک خود را به مقصد ۱۰.۰.۲.۱ ارسال می کند، دستگاه فورتی وب بررسی را انجام می دهد، اگر ترافیک بدون مشکل باشد آن را به سمت وب سرور ارسال می کند.
وب سرور ترافیک را از آی پی ۱۹۲.۰.۲.۱ که مربوط به فورتی وب است، دریافت خواهد کرد.
شبیه این است که درخواست از طرف خود فورتی وب ارسال شده است.
اگر سمت وب سرور نیاز به Lock کردن IP کلاینت ها داشته باشیم باید چه کاری انجام دهیم؟
در این حالت لازم است از قابلیت X Forwarder استفاده کنیم و مشخص کنیم که روی دستگاه فورتی وب آی پی اصلی کلاینت را نیز قرار دهد.
سمت سرور نیز باید از قابلیت Virtual IP استفاده کنیم.
روی سرور بستر ترافیکی دیگری نیز به صورت زیر داریم:
به این صورت که از فورتی گیت استفاده می کنیم، یک آی پی روی فورتی گیت تعریف می کنیم، کلاینت ها برای دسترسی به وب سرور به IP که برای فورتیگت تعریف شده است ترافیک را ارسال می کنند.
فورتی گیت تشخیص می دهد که این ترافیک چه نوع ترافیکی می باشد، اگر ترافیک وب باشد روی آی پی فورتی وب فرستاده می شود و در غیر این صورت ترافیک ها به سرور فرستاده می شود.
در ادامه آموزش ها این موارد را به طور تخصصی تر بررسی خواهیم کرد.
روش one-arm
در Reverse proxy روش دیگری با عنوان one-arm نیز داریم.
- فورتی وب را طبق توضیحات به شبکه وصل می کنیم.
- روی فورتی گیت virtual ip تعریف می کنیم.
- ترافیک وب توسط فورتی گیت به سمت فورتی وب ارسال می شود.
- فورتی وب روی پورت تعریف شده اطلاعات را دریافت می کند.
- Policy ها را اعمال می کند.
- ترافیک را روی همان پورت به سمت وب سرور ارسال می کند.
سایر ترافیک ها (ترافیک غیر وب) به صورت مستقیم توسط فورتی گیت سمت سرور ارسال می شود.
در این مود قابلیت های زیر در دسترس نخواهد بود:
- Bridge / V-zonnes
- Faile to wire
True Transparent Proxy و Transparent Inspection Proxy
روش پیاده سازی این دو مود شبیه هم می باشد و مطابق تصویر به این صورت عمل می کنیم:
فورتی گیت لبه شبکه قرار دارد، ارتباط با فورتی وب برقرار می شود.
فورتی وب به سوییچ متصل به سرورها متصل می شود. این پورت ها به صورت Bridge به هم متصل می شوند.
ترافیک از فورتی وب رد می شود و به وب سرور ارسال می شود.
در این دو حالت تغییرات IP نداریم، به دلیل اینکه در لایه ۲ پیاده سازی می شود، به این Interface ها IP address اختصاص داده نمی شود.
در DNS نیز نیاز به تغییر نداریم و درخواست کلاینت ها به همان شکل سمت سرور ارسال می شود
ترافیک های غیر http و https را نیز فورتی وب بدون مشکل عبور می دهد.
تفاوت دو حالت True Transparent Proxy و Transparent Inspection
در حالت True Transparent ترافیک در حالت true لاگ می شود قابلیت drop شدن را دارد.
همچنین modify و تغییر دادن ترافیک را نیز دارد.
در Transparent Inspection قابلیت Modify را نداریم و به همین دلیل بسیاری از قابلیت ها را از دست می دهیم.
همچنین به جز action alert سایر اکشن ها گارانتی ندارند.
در این مود قابلیت های زیر قابل دسترس نخواهند بود:
- http content routing
- ssl / tls offloading
- sslv2 support
offline Protection mode
این مود کمترین امکانات را در اختیار ما قرار می دهد، و برای بررسی وضعیت شبکه و وب سرورها مورد استفاده قرار می گیرد.
پس از مدتی از این حالت خارج می کنیم و مودهای دیگه رو پیاده سازی می کنیم
بدترین روش پیاده سازی است زیرا اکثر قابلیت ها را ساپورت نخواهد کرد.
همان طور که از اسم این روش مشخص است این حالت به صورت آفلاین می باشد و در جریان مستقیم ترافیک قرار ندارد، تنها نسخه کپی از ترافیک ارسال می شود.
بررسی ها روی نسخه کپی انجام می شود؛ به دلیل اینکه نسخه اصلی وجود را ندارد کار خاصی انجام نخواهد شد.
به این حالت Out-of-band نیز گفته می شود.
در این مود کمترین تغییرات را نیاز داریم، تاخیر ایجاد نمی شود زیرا اصل ترافیک رد شده است و تاخیری در پردازش آن وجود ندارد.
بسیاری از قابلیت ها پشتیبانی نمی شوند.
در خواست ها مانند حالت Transparent مستقیم برای وب سرور ارسال می شود و دیگر برای فورتی وب ارسال نمی شود.
با استفاده از روش هایی مثل span یا mirroring ترافیک را به فورتی وب ارسال می کنیم تا بررسی ها انجام شود.
در این حالت تنها Detection انجام می شود و قابلیت های دیگر مثل Load-balance یا block را ندارد
تنها کاری که این مود می تواند انجام دهد این است که TCP RST (reset) ارسال می کند تا بتوانیم کانکشن را ریست کنیم.
در این مود هیچ ضمانتی وجود ندارد که بتواند جلوی ترافیک مخرب را بگیرد
در نتیجه برای بررسی اولیه وب سروره ها از این مود استفاده می شود و سپس حالت Reverse Proxy را اجرا خواهیم کرد.
مود WCCP mode
از لحاظ پیاده سازی شبیه آفلاین مود می باشد، اصل ترافیک به سمت فورتی وب ارسال می شود، و پس از بررسی سمت فورتی گیت ارسال می شوند.
سپس فورتی گیت، ترافیک ها را به سمت وب سرور ارسال می کند.
در این حالت نیز تغییرات IP address را نداریم
درخواست ها به طور مستقیم برای وب سرور ارسال می شوند.
برای در خواست دادن، IP وب سرور استفاده می شود
وب سرور IP address فورتی وب را به عنوان سورس درخواست می بیند و IP کلاینت دیده نمی شود.
در فایروال Fortigate باید تنظیمات WCCP سرور را انجام دهیم که ترافیک http و httpsرا سمت فورتی وب روت نماید تا به عنوان WCCP client انجام شود.
فورتی وب را می توان روی ۵ مود پیاده سازی کرد ولی بهترین روش Reverse Proxy هست که بالاترین امکانات را در اختیار شما قرار می دهد.
ثبت ديدگاه