Академический Документы
Профессиональный Документы
Культура Документы
Pg. 1/316
NDICE: 1. INTRODUCCIN A LA FAMILIA ZYWALL .............................................................................................. 5 2. ACCESO AL EQUIPO .......................................................................................................................... 15 2.1. ACCESO MEDIANTE PUERTO DE CONSOLA ................................................................................................. 15 2.2. ACCESO MEDIANTE CLIENTE SSH ............................................................................................................. 16 2.3. ACCESO MEDIANTE TELNET .................................................................................................................. 16 2.4. ACCESO MEDIANTE NAVEGADOR WEB .................................................................................................... 17 2.4.1 Barra de Ttulos ........................................................................................................................ 19
2.4.1.1 Mensajes de aviso ............................................................................................................................ 19 2.4.1.2 Site Map ........................................................................................................................................... 20 2.4.1.3 Referencia a Objetos ........................................................................................................................ 20 2.4.1.4 Mensajes CLI..................................................................................................................................... 21
2.4.2 Panel de Navegacin................................................................................................................ 21 2.4.3 Ventana Principal ..................................................................................................................... 22 2.4.4 Tablas y Listas .......................................................................................................................... 22
2.4.4.1 Manipulacin de Tablas.................................................................................................................... 23 2.4.4.2 Trabajando con las Entradas de las Tablas ...................................................................................... 24 2.4.4.3 Trabajando con Listas ....................................................................................................................... 25
3. ASISTENTE DE CONFIGURACIN E INSTALACIN.............................................................................. 25 3.1 PANTALLAS DEL ASISTENTE DE CONFIGURACIN E INSTALACIN ..................................................................... 25 3.1.1 Configuracin del Acceso a Internet Interfaz WAN ............................................................... 26 3.1.2. Acceso Internet: Ethernet........................................................................................................ 26 3.1.3. Acceso Internet: PPPoE ........................................................................................................... 27 3.1.4. Acceso Internet: PPTP ............................................................................................................. 27 3.1.5. Parmetros del ISP .................................................................................................................. 28 4. REGISTRO DEL DISPOSITIVO ............................................................................................................ 30 4.1. REGISTRO EN MYZYXEL.COM ................................................................................................................. 30 4.2. ACTIVACIN DE SERVICIOS EN MODO TRIAL ............................................................................................... 31 4.3. ACTIVACIN DE SERVICIOS POR MEDIO DE LICENCIA .................................................................................... 32 4.4. UPDATES ............................................................................................................................................ 34 5. CONFIGURACIN RPIDA ................................................................................................................ 35 6. CONFIGURACIN: ASPECTOS BSICOS ............................................................................................. 45 6.1 CONFIGURACIN BASADA EN OBJETOS ...................................................................................................... 45 6.2 INTERFACES, ZONAS Y PUERTOS FSICOS .................................................................................................... 46 6.2.1 Interfaces ................................................................................................................................. 46 6.2.2 Zonas ........................................................................................................................................ 46 6.3. CONFIGURACIN DE INTERFACES ETHERNET, PORT ROLES Y ZONAS. .............................................................. 51 6.3.1. Configurar un Interface WAN Ethernet ................................................................................... 52 6.3.2. Configuracin de Interfaces PPP ............................................................................................. 53 6.3.3. Configurar el interfaz OPT como una red local ....................................................................... 55 6.3.4. Configurar el interfaz OPT como una red externa WAN ......................................................... 56 6.3.5. Configuracin 3G .................................................................................................................... 57 6.3.6. Configurar Port Roles .............................................................................................................. 61 6.3.7. Configurar Zonas ..................................................................................................................... 62 6.4 TERMINOLOGA DEL ZYWALL ................................................................................................................. 63 6.5 FLUJO DE PAQUETES .............................................................................................................................. 64 6.5.1 Mejoras en el Flujo de Paquetes del ZLD 2.20 .......................................................................... 64 6.5.2 Mejoras en el Flujo de comprobacin de la Tabla de Enrutamiento ........................................ 65 6.5.3 Flujo de Comprobacin de la Tabla NAT .................................................................................. 65 6.6. REVISIN CONFIGURACIN DE PRESTACIONES ........................................................................................... 66 6.7 SISTEMA.............................................................................................................................................. 67
Pg. 2/316 6.7.1 DNS, WWW, SSH, Telnet, FTP, SNMP, Dial-in Mgmt, Vantage CNM ....................................... 67 6.7.2 Logs e Informes ........................................................................................................................ 67 6.7.3 Gestor de Ficheros .................................................................................................................... 67 6.7.4 Diagnsticos ............................................................................................................................. 67 6.7.5 Apagado ................................................................................................................................... 68 6.8. CAMBIAR LA CONTRASEA POR DEFECTO ................................................................................................. 68 6.9. TEMPORIZADOR DE DESCONEXIN AUTOMTICA DE SESIN ........................................................................ 69 6.10. IP/MAC BINDING ............................................................................................................................. 69 6.11. CONFIGURACIN DNS ........................................................................................................................ 72 6.12. CONFIGURACIN DDNS ..................................................................................................................... 73 6.13. APLICACIONES DE VOIP CON USG......................................................................................................... 75 6.13.1. Lista de Dispositivos VoIP Soportados................................................................................... 75 6.13.2. Escenario VoIP en NAT .......................................................................................................... 76 6.13.3. Servidor SIP en Internet ......................................................................................................... 76
6.13.3.1. Escenario de Aplicacin ................................................................................................................. 76 6.13.3.2. Pasos de Configuracin ................................................................................................................. 77
7. CONFIGURACIN DEL FIREWALL ...................................................................................................... 92 7.1. EJEMPLO DE CONFIGURACIN DE REGLAS DE FIREWALL................................................................................ 95 8. CONFIGURACIN DEL BALANCEO DE CARGA (TRUNKS) ................................................................... 99 8.1. LEAST LOAD FIRST .............................................................................................................................. 101 8.2. WEIGHTED ROUND ROBIN ................................................................................................................... 102 8.3. SPILLOVER ........................................................................................................................................ 103 9. GESTIN DEL ANCHO DE BANDA .................................................................................................... 105 9.1. DESDE EL POLICY ROUTE ..................................................................................................................... 105 9.2. DESDE EL APPLICATION PATROL ............................................................................................................ 107 9.2.1 EJEMPLO DE APLICACIN GESTIN DE ANCHO DE BANDA EN APPLICATION PATROL ...................................... 111 10. NAT .............................................................................................................................................. 118 10.1. CONFIGURACIN DEL SERVIDOR VIRTUAL ............................................................................................. 118 10.1.1. Escenario de Red ................................................................................................................. 118 10.1.2. Pasos de Configuracin ....................................................................................................... 118 10.2. CONFIGURACIN DE NAT UNO A UNO ................................................................................................ 121 10.2.1. Escenario de Red ................................................................................................................. 121 10.2.2. Pasos de Configuracin ....................................................................................................... 121 10.3. CONFIGURACIN NAT VARIOS UNO A UNO .......................................................................................... 123 10.3.1. Escenario de Aplicacin ....................................................................................................... 123 10.3.2. Pasos de Configuracin ....................................................................................................... 124 10.4. LOOPBACK NAT .............................................................................................................................. 125 10.4.1. Escenario de Red ................................................................................................................. 126 10.4.2. Pasos de Configuracin ....................................................................................................... 126 10.5. NAT CON PROXY ARP ...................................................................................................................... 127 10.5.1. Escenario de Aplicacin ....................................................................................................... 128 10.5.2. Pasos de Configuracin ....................................................................................................... 129 10.6. RUTA DE POLICA VS. RUTA DIRECTA.................................................................................................... 131 10.7. ENRUTAMIENTO PARA IPSEC VPN ...................................................................................................... 132 10.7.1. Escenario de Aplicacin ....................................................................................................... 133 10.7.2. Pasos de Configuracin ....................................................................................................... 133
Pg. 3/316 10.8. ENLACE NAT UNO A UNO EN CASO DE FAIL OVER.................................................................................. 135 10.8.1. Escenario de red .................................................................................................................. 135 10.8.2. Pasos de Configuracin ....................................................................................................... 135 11. SEGURIDAD EN EL EXTREMO REMOTO (EPS) ................................................................................ 139 11.1. INTRODUCCIN A LA SEGURIDAD EN EL EXTREMO REMOTO (EPS) ............................................................. 139 11.2. EPS ---- WEBGUI ........................................................................................................................... 139 11.3. EPS --- CLI..................................................................................................................................... 144 11.4. NOTA DE APLICACIN EPS ................................................................................................................ 145 11.4.1. Despliegue de EPS en aplicaciones User Aware .................................................................. 145 11.4.2. Escenario de Aplicacin ....................................................................................................... 145 11.4.3. Pasos de configuracin ....................................................................................................... 146 11.4.4. Verificacin de Escenario .................................................................................................... 150 11.5. DESPLIEGUE DE EPS EN VPN SSL ....................................................................................................... 152 11.5.1. Escenario de Aplicacin ....................................................................................................... 152 11.5.2. Pasos de configuracin ....................................................................................................... 153 11.5.3. Verificacin de Escenario .................................................................................................... 155 11.6. DESPLIEGUE DE AAA Y EPS EN VPN SSL ............................................................................................. 157 11.6.1. Escenario de Aplicacin ....................................................................................................... 157 11.6.2. Pasos de configuracin ....................................................................................................... 158 11.6.3. Verificacin de Escenario .................................................................................................... 174 12. CREACIN DE VPN........................................................................................................................ 177 12.1. IPSEC VPN..................................................................................................................................... 177 12.1.1. Router Remoto .................................................................................................................... 178 12.1.2. Router Local ........................................................................................................................ 182 12.1.3. ZyWALL Remoto .................................................................................................................. 185 12.1.4. ZyWALL Local ...................................................................................................................... 193 12.2. VPN ENTRE UN ZLD 2.20 Y UN CLIENTE IPSEC VPN: ............................................................................. 199 12.2.1. Condiciones Previas:............................................................................................................ 199 12.2.2. Configuracin en el ZyWALL ZLD 2.20: ................................................................................ 200 12.2.3. Configuracin en el Cliente IPSec VPN: ............................................................................... 205 12.3. VPN INBOUND & OUTBOUND TRAFFIC ................................................................................................ 210 12.3.1. Direccin Origen en paquetes Outbound (Outbound Traffic, Source NAT) ......................... 210 12.4. VPN CONCENTRATOR....................................................................................................................... 212 12.4.1. Topologa de la Red............................................................................................................. 212 12.4.2. Configuracin en la delegacin B01 .................................................................................... 213 12.4.3. Configuracin en la delegacin B02 .................................................................................... 215 12.4.4. Configuracin en la sede central HQ ................................................................................... 217 12.4.5. VPN Concentrator en la sede central HQ ............................................................................ 220 12.5. LOGS IKE ...................................................................................................................................... 221 12.5.1. Tnel Abierto sin problemas ............................................................................................... 221 12.5.2. Pre-Shared Key Diferente .................................................................................................... 222 12.5.3. Identificador FQDN Diferente.............................................................................................. 223 12.5.4. Desajuste Fase 1.................................................................................................................. 223 12.5.5. Desajuste Fase 2 (Autenticacin / Encriptacin) ................................................................. 224 12.5.6. Desajuste Fase 2 (Direccionamiento IP) .............................................................................. 224 12.6. SSL VPN ....................................................................................................................................... 225 12.6.1. Creacin de Tnel SSL.......................................................................................................... 226
12.6.1.1. Configuracin en el ZyWALL ........................................................................................................ 226 12.6.1.2. Acceso desde el Exterior.............................................................................................................. 229
12.6.2. Accediendo a la subred remota de un tnel IPSec VPN a travs de clientes SSL VPN ......... 237 12.7. L2TP VPN ..................................................................................................................................... 249 12.7.1. Configurando el Default L2TP VPN Gateway ...................................................................... 250 12.7.2. Configurando el Default L2TP VPN Connection ................................................................... 251 12.7.3. Configurando las opciones del L2TP VPN ............................................................................ 252
Pg. 4/316 12.7.4. Configurando la Policy Route para L2TP ............................................................................. 253 12.7.5. Configurando L2TP VPN en Windows 7............................................................................... 254 12.7.6. Configurando L2TP VPN en Windows XP ............................................................................ 262 12.7.7. Resolucin de problemas en tneles L2TP .......................................................................... 270 13. FUNCIONALIDAD UTM ................................................................................................................. 272 13.1. APPLICATION PATROL ....................................................................................................................... 272 13.1.1. MSN Messenger .................................................................................................................. 272 13.1.2. Edonkey ............................................................................................................................... 274 13.2. ANTI-VIRUS .................................................................................................................................... 276 13.3. IDP ............................................................................................................................................... 278 13.4. ADP ............................................................................................................................................. 280 13.5. FILTRADO DE CONTENIDOS ................................................................................................................ 283 13.6. ANTI-SPAM .................................................................................................................................... 287 14. DEVICE HA .................................................................................................................................... 290 14.1. ANTES DE EMPEZAR.......................................................................................................................... 290 14.2. CONFIGURAR DEVICE HA EN EL ZYWALL MASTER ................................................................................. 291 14.3. CONFIGURAR DEVICE HA EN EL ZYWALL BACKUP ................................................................................. 292 14.4. HACER USO DEL ZYWALL BACKUP ...................................................................................................... 294 14.5. VERIFICAR LA CONFIGURACIN DEL DEVICE HA ..................................................................................... 294 14.6. CREAR LOS OBJETOS DE TIPO ADDRESS ............................................................................................. 295 14.7. CONFIGURAR UN VIRTUAL SERVER ...................................................................................................... 295 15. MANTENIMIENTO ........................................................................................................................ 297 15.1. FICHERO DE CONFIGURACIN ............................................................................................................. 297 15.2. FIRMWARE ..................................................................................................................................... 298 15.3. SHELL SCRIPT .................................................................................................................................. 299 15.4. INICIANDO Y APAGANDO EL ZYWALL .................................................................................................. 300 15.5. LOGS Y REPORTS .............................................................................................................................. 301 15.5.1. Email Daily Report ............................................................................................................... 301 15.5.2. Log & Report ....................................................................................................................... 302 15.6. DIAGNSTICOS ................................................................................................................................ 305 15.7. CAPTURA DE PAQUETES (PACKET CAPTURE) .......................................................................................... 306 16. RESOLUCIN DE AVERAS............................................................................................................. 307 16.1. PROCEDIMIENTO DE RESTAURACIN DEL FICHERO IMAGEN ...................................................................... 307 16.2. PROCEDIMIENTO DE RESTAURACIN DEL FICHERO DE FIRMWARE ............................................................... 309 16.3. VERSIN DE FIRMWARE CARGADA EN SU ZYWALL ................................................................................. 312 16.4. FICHERO DE DIAGNSTICOS ............................................................................................................... 312 16.5. INDICAR CON DETALLE LA INCIDENCIA ENCONTRADA ................................................................................ 313 16.6. DESCRIBIR LA TOPOLOGA DE SU RED ................................................................................................... 313 17. UN VISTAZO POR LA WEB DE ZYXEL ESPAA ................................................................................ 314 17.1. BARRA SUPERIOR Y BANNER PRINCIPAL ................................................................................................ 315 17.2. COLUMNA IZQUIERDA ....................................................................................................................... 315 17.3. COLUMNA CENTRAL ......................................................................................................................... 315 17.3.1. Documentacin y Notas Tcnicas ....................................................................................... 315 17.3.2. Premios ............................................................................................................................... 316 17.4. COLUMNA DERECHA......................................................................................................................... 316 17.4.1. Nuevos Productos ............................................................................................................... 316 17.4.2. Noticias ............................................................................................................................... 316 17.5. BARRA INFERIOR .............................................................................................................................. 316
Pg. 5/316
En la parte de la izquierda de la grfica encontramos los equipos de la familia ZyWALL actualmente en el mercado. Dichos dispositivos estn siendo sustituidos por la nueva familia ZyWALL USG, tal y como aparece a la derecha de la pirmide.
A la hora de adquirir estos dispositivos nos tenemos que basar especialmente en el nmero de usuarios que vamos a dar cabida, as como el nmero mximo de puertos WAN y tneles VPN.
Este manual est enfocado sobre la familia ZyWALL USG. La cul integra potentes tecnologas: Tecnologa de Antivirus de ZyXEL Tecnologa de Antivirus de KasperSky Tecnologas IPSec, Antivirus y Firewall certificadas por ICSA Labs Tecnologa de Filtrado de Contenidos de BlueCoat
Pg. 6/316
En la siguiente tabla podemos encontrar las diferencias ms significativas entre los diferentes modelos de dispositivos ZyWALL USG:
USG 20/20W CPU Flash/DRAM SecuASIC
Firewall: 100M VPN: 30M UTM: N/A Session: 6k Session rate: 1k Gigabit Eth 1*WAN, 4*LAN/DMZ 5 2 1 1 No No Firewall: 100M VPN: 50M UTM: 15M Session: 10k Session rate: 1k Gigabit Eth 2*WAN, 4*LAN/DMZ 10 5 5 2 No No
USG 50
USG 100
Freescale 8343E 255M/256M CIP1001 * 1
USG 200
Freescale 8343E 256M/256M CIP1001 * 1 Firewall: 150M VPN: 75M UTM: 24M Session: 40k Session rate: 1.4k Gigabit Eth 2*WAN, 1*OPT, 4*LAN/DMZ 50 100 2 -> 10 2 1 (Cardbus) No
USG 300
Freescale 8349E 256M/256M CIP1001 * 2
USG 1000
Pentium M 1.8G 256M/1G CIP2001 * 1 Firewall: 350M VPN: 150M UTM: 100M Session: 200k Session rate: 13k Gigabit Eth 5 Configurable 300 1000 5 -> 50 -> 250 2 1 (Cardbus) No
USG 2000
Intel E6400 256M/2G CIP3001 * 1 Firewall: 2G VPN: 500M UTM: 400M Session: 1kk Session rate: 20k Gigabit Eth 6 Configurable 2 SFP (combo) 1000 2000 5 -> 200 -> 750 2 1 (Cardbus) S
Firewall: 100M VPN: 60M UTM: 24M Session: 20k Session rate: 1k Gigabit Eth 2*WAN, 5*LAN/DMZ 25 50 2 -> 5 2 1 (Cardbus) No
Firewall: 200M VPN: 100M UTM: 48M Session: 60k Session rate: 2k Gigabit Eth 7 Configurable 200 200 2 -> 10 -> 25 2 2 (Cardbus) No
Interfaces N Usuarios Orientados IPSec VPN SSL VPN USB PCMCIA SFP
Para activar los servicios de seguridad (Filtrado de Contenidos, IDP, AV, SSL) hay que adquirir una licencia especfica para cada uno de ellos. Actualmente existen dos tipos de licencias: iCard y E-iCard. La E-iCard es en formato digital, en vez de papel. Por lo que su adquisicin es ms rpida que la iCard que de no tenerla en stock, haba unos plazos de espera de 3 4 semanas. Mientras que la E-iCard el plazo es inferior a una semana. En toda la familia ZyWALL USG la funcionalidad AntiSpam es gratuita.
Vamos a mostrar grficamente los diferentes dispositivos que componen la familia ZyWALL USG y sus caractersticas ms notables.
Pg. 7/316
Pg. 8/316
Pg. 9/316
Pg. 10/316
Pg. 11/316
Fig. Diferentes mdulos SEM que se pueden instalar en el ZyWALL USG 2000
A continuacin vamos a mostrar tablas y grficas comparativas entre los modelos de la familia ZyXEL ZyWALL USG y sus competidores ms directos.
Fig. Comparacin de equipos semejantes de varios fabricantes contra ZyWALL USG 20/20W
Pg. 12/316
Fig. Comparacin de equipos semejantes de varios fabricantes contra ZyWALL USG 50/100/200
Pg. 13/316
Fig. Comparacin de equipos semejantes de varios fabricantes contra ZyWALL USG 300
Fig. Comparacin de equipos semejantes de varios fabricantes contra ZyWALL USG 1000
Pg. 14/316
Fig. Comparacin de equipos semejantes de varios fabricantes contra ZyWALL USG 2000
Pg. 15/316
2. Acceso al Equipo
Disponemos de varias formas de acceder al ZyWALL: mediante el puerto de consola, mediante un cliente SSH, mediante un cliente Telnet, o mediante un navegador Web. Por defecto, en la serie ZyWALL USG, la direccin IP de la interfaz LAN es 192.168.1.1 y la interfaz LAN tambin se configura como un servidor DHCP, lo que significa que puede conectarse directamente a la interfaz LAN y gestionar el dispositivo. Por defecto utiliza el usuario admin y la contrasea 1234.
Pg. 16/316
Pg. 17/316
A continuacin nos aparecer una ventana recomendando que cambiemos la contrasea por defecto. Por motivos de seguridad, se recomienda cambiar la contrasea por defecto, siguiendo los pasos indicados en dicha pantalla. Podemos saltarnos esta peticin pulsando sobre el botn Ignore.
Pg. 18/316
Finalmente accederemos al men Status que es la pantalla inicial de configuracin del ZyWALL. Aqu podremos comprobar la versin de firmware cargada en el dispositivo. Esta ventana se divide en 3 secciones:
Pg. 19/316
Logout: Pulse este icono para cerrar la sesin del configurador web. Help: Pulse este icono para abrir la pgina de ayuda para la pantalla activa. About: Pulse este icono para mostrar informacin bsica sobre el ZyWALL. Site Map: Pulse este icono para mostrar el mapa con las opciones el configurador web. Puede utilizarlo para ir directamente a cualquier men o pestaa del configurador web. Object Reference: Pulse este icono para ver las dependencias de los objetos creados. Console: Pulse este icono para abrir la consola y usar el interfaz lnea de comandos (CLI). 2.4.1.1 Mensajes de aviso En el caso de producirse algn error de configuracin, se mostrar un mensaje de aviso del tipo:
Pg. 20/316
2.4.1.2 Site Map Esta opcin de la Barra de Ttulos permite visualizar y acceder a los enlaces de la pantalla del Configurador Web. Pulse sobre un enlace para acceder a la pantalla correspondiente:
2.4.1.3 Referencia a Objetos Pulse Object Reference para abrir la pantalla correspondiente. Seleccione el tipo de objeto y el objeto individual y a continuacin pulse Refresh para visualizar los parmetros de configuracin del objeto en cuestin:
En la pantalla anterior se muestra el objeto de usuario ldap-users (en este caso, la primera regla de cortafuegos).
Pg. 21/316
2.4.1.4 Mensajes CLI Pulse CLI en la Barra de Ttulos para visualizar los comandos CLI enviados por el Configurador Web:
Fig
Mensajes CLI
Pulse la flecha que aparece en el borde derecho del panel de navegacin para ocultar los mens del panel, o arrstrela para modificar su tamao.
Pg. 22/316
Los botones situados en la parte superior derecha (A, B, C, D y E) permiten ocultar, minimizar, cerrar o desplazar cada sub-pantalla (widgets): A: Reabre una pantalla previamente cerrada B: Oculta una pantalla C: Refresca la informacin presentada D: Actualiza la informacin inmediatamente E: Cierra la pantalla Asimismo, pulsando el botn Rear pannel/Front pannel situado a la derecha de la imagen del dispositivo virtual, se pueden visualizar los paneles anterior/posterior del equipo.
Pg. 23/316
2.4.4.1 Manipulacin de Tablas A continuacin se indican las diferentes maneras de manipular las tablas del Configurador Web. 1. Pulse la cabecera de la columna para organizar las entradas de la tabla de acuerdo con el criterio de la columna:
2. Pulse la fecha al lado de la cabecera de la columna para acceder a las diferentes opciones de visualizacin de las entradas:
3. Seleccionar el borde derecho de una columna y arrastrarlo para modificar el tamao de la columna:
Pg. 24/316
4. Seleccionar una cabecera de columna y arrastrarla y soltarla para cambiar el orden de la columna:
5. Utilice los iconos y campos de la parte superior de la tabla para navegar por las diferentes pginas de las entradas y controlar cuantas entradas se muestran al mismo tiempo:
2.4.4.2 Trabajando con las Entradas de las Tablas Las tablas disponen de iconos para gestionar las entradas:
Se pueden utilizar las teclas Shift o Ctrl para seleccionar mltiples entradas y eliminarlas, activarlas o desactivarlas.
Pg. 25/316
2.4.4.3 Trabajando con Listas Cuando se muestra una lista de entradas disponibles a continuacin de una lista de entradas seleccionadas, se puede mover una entrada de una lista a otra mediante una doble pulsacin. En algunas listas, se pueden usar las teclas Shift o Ctrl para seleccionar mltiples entradas y junto con las teclas de desplazamiento vertical y horizontal (teclas de flechas), moverlas de una lista a otra.
Pg. 26/316
Pg. 27/316
Pg. 28/316
3.1.2 Configuracin del Acceso a Internet Segundo Interfaz WAN Si se ha seleccionado la opcin de disponibilidad de dos ISPs, una vez configurado el primer Interfaz WAN se puede configurar el segundo Interfaz WAN. La pantalla para esta configuracin es similar a la del primer interfaz:
Pg. 29/316
3.1.3 Acceso Internet Finalizacin Una vez realizando los pasos anteriores, aparecer la siguiente pantalla con los parmetros seleccionados:
Pulse Back si quiere modificar algn dato o Next para continuar con el proceso de registro (ver apartado siguiente).
Pg. 30/316
Pg. 31/316
Si disponemos de una cuenta seleccionaremos la opcin existing myZyXEL.com account e introducir el Nombre de Usuario y Contrasea de dicha cuenta.
Teniendo una cuenta en myZyXEL.com tendremos acceso a promociones, avisos de actualizaciones, y podremos gestionar algunos servicios.
Pg. 32/316
A continuacin el equipo se conectar con el Servidor de myZyXEL.com para actualizar los cambios, y activar dichos servicios en modo Trial. Para ello el equipo debe de estar correctamente configurado proporcionando acceso a Internet.
Hay un perodo de 30 das para cada servicio a activar en el modo Trial !!!
En el campo License Key del apartado License Activation introduciremos el cdigo de la licencia a activar, y pulsaremos sobre el botn Activation para activar el servicio correspondiente a la licencia introducida.
Pg. 33/316
Una vez activados los servicios, podemos ver el estado de los mismos, y la fecha de expiracin de la licencia tal y como se observa en la siguiente imagen.
Pg. 34/316
4.4. Updates
En la barra de mens lateral Configuration > Licensing > Signature Update se puede configurar la actualizacin manual o automtica para las firmas del Anti-Virus, IDP/AppPatrol, y el System Protect. Dicha actualizacin se realiza con el Update Server. La actualizacin automtica se puede configurar para que se ejecute cada hora, diariamente a una hora determinada, o semanalmente a una hora determinada.
Pg. 35/316
5. Configuracin Rpida
5.1 Configuracin Rpida: Visin General El asistente de configuracin rpida le permite configurar de una manera rpida y sencilla el acceso a Internet y los parmetros de VPN. En el Configurador Web, pulsar Configuration > Quick Setup:
Seleccione una de las dos opciones disponibles: - WAN Interface: Abre el asistente de configuracin del Interfaz WAN (Acceso a Internet) - VPN Set UP: Permite la configuracin de un tnel VPN para establecer una conexin segura con otro ordenador o red.
Pg. 36/316
5.2 Configuracin Rpida del Interfaz WAN Pulse WAN Interface en el Men de Configuracin Rpida para abrir la pantalla de configuracin del Interfaz WAN. A continuacin, pulse Next:
A continuacin, seleccione el Interfaz Ethernet que quiere configurar para la conexin WAN y pulse Next:
Seleccin del tipo de WAN: Seleccione el tipo de encapsulado de la conexin. Seleccione Ethernet cuando el puerto WAN se utiliza como un puerto Ethernet regular. En caso contrario, seleccione PPPoE o PPTP, de acuerdo a la informacin proporcionada por su proveedor:
Pg. 37/316
Configuracin de los parmetros WAN: Seleccione si se va a utilizar una direccin IP esttica o dinmica:
Parmetros de la Conexin ISP y WAN: Utilice esta pantalla para configurar los parmetros del Interfaz WAN y la conexin con el ISP (si en la pantalla anterior ha elegido direccionamiento IP esttico, esta pantalla no aplicara):
Pg. 38/316
Una vez introducidos los datos correspondientes, pulse Back si quiere corregir alguna opcin o Next para seguir adelante. Si pulsa Next, aparecer la pantalla final con el resumen de las opciones elegidas. Pulse Close para finalizar el proceso:
Pg. 39/316
5.3 Configuracin Rpida VPN Pulse VPN Setup en la pantalla Quick Setup de configuracin rpida para acceder a la pantalla del asistente de configuracin VPN:
Un tnel VPN (Virtual Private Network) permite establecer una conexin segura entre ordenadores y redes. A continuacin pulse Next y seleccione el tipo de conexin VPN que desea configurar:
Express: Utilice esta opcin para crear una conexin VPN con otro ZyWALL con ZLD, utilizando una tecla pre-programada y la configuracin de seguridad por defecto. Advanced: Utilice esta opcin para configurar parmetros detallados de seguridad de la VPN. La conexin se puede realizar con otro ZyWALL con ZLD o con otro dispositivo IPSec.
Pg. 40/316
5.3.1 VPN Express- Escenario Si pulsa la opcin Express, aparecer la siguiente pantalla:
Rule Name: Tipo de nombre utilizado para identificar la conexin VPN. Se pueden utilizar de 1-31 caracteres alfanumricos, (_) y (-), pero el primero no puede ser un nmero. Seleccione el escenario que ms se adece a la conexin VPN deseada. La figura de la izquierda variar segn el escenario elegido. 5.3.1.1 VPN Express- Configuracin
Pg. 41/316
5.3.1.2 VPN Express Resumen Esta pantalla muestra un resumen de la configuracin de los tneles VPN y de los comandos, que se pueden copiar y pegar en otro ZyWALL con ZLD en el interfaz de lnea de comandos, para configurarlo:
Pg. 42/316
Nota: Si no lo ha hecho ya, utilice el enlace myZyXEL.com y registre su ZyWALL para activar pruebas de servicios como IDP. Pulse Close para salir del asistente.
5.3.2 VPN Avanzada - Escenario Pulse Advanced en la pantalla de seleccin de tipo de configuracin VPN. Aparecer la siguiente pantalla:
5.3.2.1 VPN Avanzada Configuracin Fase 1 Hay dos fases en cada proceso de negociacin: Fase 1 o de Autenticacin y fase 2 o de Intercambio de Claves. La Fase 1 establece una Asociacin de Seguridad:
Pg. 43/316
5.3.2.2 VPN Avanzada Configuracin Fase 2 La fase 2 utiliza la Asociacin de Seguridad establecida en la fase 1 para negociar asociaciones de seguridad para IPSec:
5.3.2.3 VPN Avanzada Resumen En esta pantalla aparece un resumen de los parmetros de configuracin VPN:
Pg. 44/316
5.3.2.4 VPN Avanzada Finalizacin A partir de ahora, ya puede utilizar el tnel VPN:
Pg. 45/316
Pg. 46/316
6.2.2 Zonas
Una zona es un grupo de interfaces y/o tneles VPN. Los ZyWALL utilizan zonas en lugar de interfaces en muchos procesos de configuracin, como las reglas de cortafuegos, anti-X o gestin remota. Es necesario establecer zonas para configurar las polticas de seguridad y de red en los ZyWALL Las zonas no se pueden solapar. Cada interfaz ethernet, VLAN, bridge o PPPoE/PPTP, interfaz auxiliar o tnel VPN se puede asignar como mucho a una zona. Los interfaces virtuales se asignan automticamente a la misma zona que el interfaz sobre el que corren.
Pg. 47/316
La pantalla Zona proporciona un resumen de todas las zonas. Adems, esta pantalla permite aadir, editar y eliminar zonas. Para acceder a estar pantalla, pulsar Configuration > Network > Zone.
6.2.3 Interfaz y Zonas por Defecto La topologa de la red por defecto es la siguiente (las letras indican direcciones IP pblicas o parte de direcciones IP privadas):
Pg. 48/316
Pg. 49/316
Pg. 50/316
En las siguientes tablas puede consultar la asociacin por defecto entre puertos, interface, zona, direccionamiento IP, y uso sugerido por defecto de cada uno de los componentes de la familia ZyWALL USG:
Fig. - Puerto por Defecto, Interfaz y Configuracin de Zona del ZyWALL 100
Fig. - Puerto por Defecto, Interfaz y Configuracin de Zona del ZyWALL 200
Fig. - Puerto por Defecto, Interfaz y Configuracin de Zona del ZyWALL 300
Pg. 51/316
Fig. - Puerto por Defecto, Interfaz y Configuracin de Zona del ZyWALL 1000
Fig. - Puerto por Defecto, Interfaz y Configuracin de Zona del ZyWALL 2000
Pg. 52/316
Fig. - Configuration > Network > Interface > Ethernet > Edit wan1
Pg. 53/316
2. Habilitamos el interface, introducimos un nombre para la regla, y seleccionamos como interface base el interface wan1, y la zona WAN. Seleccionamos las opciones Nailed-Up, y Get Automatically para mantener la conexin siempre activa y que obtenga la direccin IP pblica automticamente. Creamos nuevo Objeto de tipo ISP Account.
Pg. 54/316
3. Aplicamos un nombre al perfil, seleccionamos el protocolo PPPoE, e introducimos los datos de autenticacin que nos haya facilitado nuestro ISP.
4. En la configuracin del interface WAN1_PPPoE, seleccionaremos como Account Profile el objeto Movistar que acabamos de crear.
Pg. 55/316
Fig. - Configuration > Network > Interface > Ethernet > Edit opt
Pg. 56/316
Fig. - Configuration > Network > Interface > Ethernet > Edit opt
Pg. 57/316
6.3.5. Configuracin 3G
Para configurar las opciones 3G nos vamos a la barra de mens lateral Configuration > Network > Interface > Cellular, y aadimos una regla en el Cellular Interface Summary.
Una vez aadimos una regla, tendremos que seleccionar sobre qu tarjeta queremos realizar la configuracin: PC Card (si est disponible) o USB.
Una vez aadida la regla para el interfaz a usar, tendremos que rellenar los campos del formulario que nos aparecer con los datos que nos proporcione nuestro ISP, y la informacin de la tarjeta 3G.
Vamos a ver un par de ejemplos con las configuraciones de dos diferentes ISP. El primero de ellos ser la configuracin para Vodafone, y la segunda ser la configuracin para Movistar.
Pg. 58/316
Pg. 59/316
Pg. 60/316
Una vez configurado el interface Cellular correctamente, si nos dirigimos al Dashboard podremos ver dentro de la ventana Interface Status Summary que nuestro interface celular ha obtenido la direccin IP pblica y es totalmente operativo Connected:
Pg. 61/316
Pg. 62/316
Pg. 63/316
Pg. 64/316
Pg. 65/316
Pg. 66/316
Pg. 67/316
6.7 Sistema
Esta seccin describe algunas de las prestaciones de gestin del ZyWALL. Utilice Host Name para configurar el sistema y el nombre de dominio del ZyWALL. Utilice Date/Time para configurar la fecha, hora y zona horaria. Utilice Console Speed para programar la velocidad del puerto de consola. Utilice Language para seleccionar el idioma de las pantallas de configuracin.
6.7.1 DNS, WWW, SSH, Telnet, FTP, SNMP, Dial-in Mgmt, Vantage CNM
Utilice estas pantallas para definir qu servicios y protocolos se pueden utilizar para acceder al ZyWALL a travs de qu zona y desde qu direcciones (direcciones objeto). Utilice Dial-in Mgmt para la conexin de gestin remota a travs de un mdem externo conectado al puerto AUX.
6.7.4 Diagnsticos
El ZyWALL genera un fichero que contiene informacin de diagnstico y configuracin:
Pg. 68/316
6.7.5 Apagado
Utilice esta opcin como paso pevio a la desconexin de la alimentacin:
Utilice siempre Maintenance > Shutdown > Shutdown o el comando shutdown antes de apagar el ZyWALL. El no hacerlo as, puede generar problemas de corrupcin del firmware.
En la ventana de edicin del usuario admin modificaremos los datos del Password y Retype, introduciendo el nuevo valor de la contrasea en ambos campos.
Pg. 69/316
Pg. 70/316
Las direcciones del IP/MAC bindings se agrupan por interfaz. Se puede utilizar el IP/MAC binding con los interfaces Ethernet, bridge, VLAN, y WLAN. Adems de poder habilitar o deshabilitar el IP/ MAC binding en la pantalla de configuracin propia del interfaz.
Pulse sobre Configuration > Network > IP/MAC Binding para abrir la pantalla de configuracin IP/MAC Binding Summary, en donde nos aparece un listado del nmero total de asociaciones IP a MAC para cada uno de los interfaces soportados.
Para configurar la asociacin entre direccin IP y MAC de los dispositivos que se conectan a un interfaz, seleccionaremos el interface y pulsaremos sobre el icono Edit. Una vez dentro nos da la posibilidad de habilitar el IP/MAC Binding, y habilitar los logs de las violaciones de la regla introducida. Si pulsamos sobre pulsaremos sobre aadir o editar para configurar la lista de asociacin.
Pg. 71/316
Nos aparecer una ventana de configuracin donde asociaremos una direccin IP y una direccin MAC para dar privilegios de conexin a este dispositivo.
Si queremos configurar un rango de direcciones IP en la que el ZyWALL no aplique el IP/MAC binding, pulsaremos sobre Configuration > Network > IP/MAC Binding > Exempt List, pulsaremos sobre Aadir o Editar una regla, y asignaremos un nombre y un rango de direcciones IP a excluir.
Tambin podemos monitorizar en cada momento las direcciones IP que actualmente estn conectadas y forman parte de la asociacin del IP/MAC binding.
Pg. 72/316
Dentro de la regla a configurar, seleccionaremos la opcin Public DNS Server e introduciremos la direccin IP del servidor DNS, en este caso 80.58.0.33
Pg. 73/316
Dynamic DNS, Static DNS, y Custom DNS Basic, Premium No-IP Peanut Hull 3322 Dynamic DNS, 3322 Static DNS
Fig. Proveedores de Servicios DDNS soportados
Pulse en Configuration > Network > DDNS para abrir la pantalla con el resumen de los diferentes perfiles creados con la configuracin del DDNS. Esta pantalla te permitir aadir nuevos nombres de dominios, editar la configuracin para los nombres de dominio existentes, y borrar los nombres de dominio.
Pg. 74/316
Si pulsamos sobre Aadir o Editar nos aparecer una ventana de configuracin para rellenar con los datos de la cuenta del nombre de dominio.
En la pestaa DDNS Status se muestra el estado del uso de los nombres de dominios empleados en el DDNS del ZyWALL. Pulse sobre Monitor > System Status > DDNS Status para abrir la ventana siguiente.
Pg. 75/316
Pg. 76/316
El USG ZyWALL soporta ALG. El administrador de red necesita validar SIP ALG en el ZyWALL. De esta manera, puede desplegar soluciones VoIP en diferentes escenarios NAT, independientemente de que el servidor SIP est en Internet o en la red local.
Pg. 77/316
6.13.3.2. Pasos de Configuracin Se necesita habilitar SIP ALG en el ZyWALL para que este escenario funcione. Ir a Configuration > Network > ALG, habilitar SIP ALG y SIP Transformations.
Una vez activadas estas funciones, hay que registrar todos los clientes en el servidor SIP de Internet, de esta manera todos los clientes pueden llamarse entre ellos, independientemente de que estn en la red local o en Internet.
Pg. 78/316
6.13.4.2. Pasos de Configuracin Paso 1. Ir a Configuration > Network > NAT, aadir una regla NAT para mapear el trfico SIP al servidor SIP local.
Paso 2. Ir a Configuration > Firewall, aadir una regla de cortafuegos para permitir el trfico SIP desde la WAN al servidor SIP local.
Pg. 79/316
Paso 3. Ir a Configuration > Network > ALG, habilitar SIP ALG y SIP Transformations.
Una vez realizadas estas configuraciones, todos los clientes se pueden registrar en el servidor local y se pueden llamar entre ellos, independientemente de que se encuentren en la red local o en Internet.
Pg. 80/316
6.13.5.2. Pasos de Configuracin Informacin de direcciones IP en el USG de la sede central y los USGs de las sucursales:
HQ USG: WAN IP: 172.25.27.140 LAN1 subnet: 192.168.1.0/24 X6004 IP: 192.168.1.33 Branch office 1(Br1) USG: WAN IP: 172.25.27.90 LAN1 subnet: 192.168.4.0/24 Branch office 2 (Br2) USG: WAN IP: 172.25.27.39 LAN1 subnet: 192.168.5.0/24
En el USG de la sede central (HQ USG): Paso 1. Ir a Monitor > System Status > Interface Status, aadir verificar la informacin IP del interfaz.
Paso 2. Ir a Configuration > Object > Address, aadir objetos de direcciones para las subredes locales Br1 y Br2 para uso posterior en la configuracin IPSec VPN.
Pg. 81/316
Paso 3. Ir a Configuration > VPN > IPSec VPN > VPN Gateway, aadir reglas de fase 1 VPN para los tneles hacia Br1 y Br2: A Br1:
My Address: WAN1 IP (172.25.27.140) Peer Gateway Address: Br1 WAN IP (172.25.27.90)
Pg. 82/316
A Br2:
My Address: WAN1 IP (172.25.27.140) Peer Gateway Address: Br2 WAN IP (172.25.27.37)
Paso 4. Ir a Configuration > VPN > IPSec VPN > VPN Connection, aadir reglas de fase 2 VPN hacia Br1 y Br2: A Br1:
Local policy: local LAN1 subnet (192.168.1.0/24) Remote policy: Br1 local subnet (192.168.4.0/24)
Pg. 83/316
A Br2:
Local policy: local LAN1 subnet (192.168.1.0/24) Remote policy: Br2 local subnet (192.168.5.0/24)
Pg. 84/316
Paso 5. Ir a Configuration > VPN > IPSec VPN > Concentrator, crear un concentrador VPN. Este concentrador debiera incluir todos los tneles VPN IPSec hacia las sucursales.
Pg. 85/316
Paso 6. Ir a Configuration > Network > Zone. Por defecto, Block Intra-zone est habilitado para la zona IPSec VPN. Se debe deshabilitar.
En ZLD v2.20, el enrutamiento para el trfico VPN se crea automticamente de acuerdo con las rutas de polica local y remota de fase 2 VPN. As, no se necesita aadir rutas de polica para el trfico desde la subred local de la sede central hacia las subredes de las sucursales. Sobre Br1: Paso 1. Ir a Monitor > System Status > Interface Status, verificar la informacin IP del interfaz para uso posterior en la configuracin VPN IPSec.
Pg. 86/316
Paso 2. Ir a Configuration > Object > Address, aadir objeto de direccin de la subred local de la sede central para uso posterior de la configuracin VPN IPSec. Y un objeto de direcciones de rango para uso posterior en la configuracin de ruta de polica para enrutar el trfico de las redes locales de las sucursales a los tneles VPN. Este objeto de rango debiera cubrir todas las subredes locales de las sucursales. En este caso, se ha creado como 192.168.1.0~192.168.5.255.
Paso 3. Ir a Configuration > VPN > IPSec VPN > VPN Gateway, aadir una regla de fase 1 VPN para constituir el tnel hacia la sede central.
My Address: WAN1 IP (172.25.27.90) Peer Gateway Address: HQ WAN IP (172.25.27.140)
Fig. - Aadir regla de fase 1 VPN para constituir el tnel hacia la sede central
Pg. 87/316
Paso 4. Ir a Configuration > VPN > IPSec VPN > VPN Connection, aadir una regla de fase 2 VPN para constituir el tnel hacia la sede central.
Local policy: local LAN1 subnet (192.168.4.0/24) Remote policy: HQ local subnet (192.168.1.0/24)
Fig. - Aadir regla de fase2 VPN para constituir el tnel hacia la sede central
Paso 5. Ir a Configuration > Network > Routing > Policy Route, aadir una regla de ruta de polica para enrutar el trfico de las subredes locales de las sucursales hacia el tnel VPN con la sede central.
Incoming interface: LAN1 Source: LAN1_Subnet (192.168.4.0/24) Destination: range_br(192.168.1.0~192.168.5.255) Next Hop: VPN tunnel to_HQ
Fig. Regla para enrutar el trfico de las subredes locales de las sucursales hacia el tnel VPN con la sede central.
Pg. 88/316
Sobre Br2: Paso 1. Ir a Monitor > System Status > Interface Status, verificar la informacin IP del interfaz para uso posterior en la configuracin IPSec VPN.
Paso 2. Ir a Configuration > Object > Address, aadir objeto de direccin de la subred local de la sede central para uso posterior de la configuracin VPN IPSec. Y un objeto de direcciones de rango para uso posterior en la configuracin de ruta de polica para enrutar el trfico de las redes locales de las sucursales a los tneles VPN. Este objeto de rango debiera cubrir todas las subredes locales de las sucursales. En este caso, se ha creado como 192.168.1.0~192.168.5.255.
Paso 3. Ir a Configuration > VPN > IPSec VPN > VPN Gateway, aadir una regla de fase 1 VPN para constituir el tnel hacia la sede central.
My Address: WAN1 IP (172.25.27.37) Peer Gateway Address: HQ WAN IP (172.25.27.140)
Pg. 89/316
Fig. - Aadir regla de fase 1 VPN para constituir el tnel hacia la sede central
Paso 4. Ir a Configuration > VPN > IPSec VPN > VPN Connection, aadir regla de fase 2 VPN para constituir el tnel hacia la sede central.
Local policy: local LAN1 subnet (192.168.5.0/24) Remote policy: HQ local subnet (192.168.1.0/24)
Pg. 90/316
Fig. - Aadir regla de fase 2 VPN para constituir el tnel hacia la sede central
Paso 5. Ir a Configuration > Network > Routing > Policy Route, aadir una regla de ruta de polica para enrutar el trfico de las subredes locales de las sucursales hacia el tnel VPN IPSec con la sede central.
Incoming interface: LAN1 Source: LAN1_Subnet (192.168.5.0/24) Destination: range_br(192.168.1.0~192.168.5.255) Next Hop: VPN tunnel to_HQ
Fig. - Aadir una regla de ruta de polica para enrutar el trfico de las subredes locales de las sucursales hacia el tnel VPN con la sede central.
Pg. 91/316
Ya que los clientes SIP de las sucursales se registran en el servidor SIP a travs de tneles VPN IPSec, el trfico VoIP no pasa por el NAT y se puede dejar el SIP ALG deshabilitado en todos los ZyWALL USG.
Una vez realizadas todas las programaciones, tanto en la sede central como en las sucursales, establecer los tneles.
Todos los clientes VoIP se tienen que registrar en el servidor SIP a travs de tneles VPN para poder realizar llamadas VoIP entre ellos a travs de dichos tneles.
Pg. 92/316
En cuanto a las caractersticas ms notables podemos indicar: Stateful Inspection- El ZyWALL restringe el acceso de paquetes de datos definiendo reglas de acceso. Por ejemplo, el trfico de una zona no est permitido a menos que sea iniciada por un equipo de otra zona en primer lugar. Zones- Una zona es un grupo de interfaces o tneles VPN. Puede agrupar los interfaces del ZyWALL en zonas diferentes basndose en sus necesidades. Puede configurar reglas para dejar pasar el trfico entre zonas o entre interfaces y/o tneles VPN en una zona. Global Firewall Rules- Las reglas del Firewall con origen o destino any como direccin del paquete se denominan Global Firewall Rules. Esta regla es la nica regla que el firewall aplica a un Interfaz que no est incluido en una zona. Firewall Rule Criteria- El ZyWALL verifica el nombre de usuario, direccin IP origen, direccin IP destino y tipo de protocolo de red en contra de las reglas del firewall. Cuando el trfico coincide con una regla, el ZyWALL realiza la accin especificada para esa regla. User Specific Firewall Rules- Puede especificar usuarios o grupos en las reglas del firewall. Por ejemplo, puede permitir a un usuario especfico desde cualquier ordenador accede a una zona logndose en el ZyWALL. Puede configurar una regla basada nicamente en el nombre de usuario.
Pg. 93/316
La configuracin del Firewall de ZyXEL es sencilla e intuitiva. Utilice el servidor de seguridad para bloquear o permitir los servicios, protocolos o cualquier trfico entre las zonas de transmisin origen y destino. El Firewall viene pre-configurado con unas reglas por defecto con las siguientes acciones por defecto:
El usuario 1 puede inicializar una sesin Telnet desde la zona LAN1 y las respuestas a esta peticin son permitidas. Sin embargo, el trfico Telnet iniciado desde la zona WAN o DMZ hacia la zona LAN1 est bloqueado. Las reglas del Firewall estn agrupadas basndose en la direccin en que viajan los paquetes que se apliquen. A continuacin se muestra el comportamiento por defecto del firewall para el trfico que viaja a travs del ZyWALL.
Pg. 94/316
De Zona a Zona De LAN1 a LAN1 De LAN1 a WAN De LAN1 a DMZ De LAN1 a WLAN De LAN1 a LAN1 De WLAN a LAN1 De WLAN a WAN De WLAN a DMZ De WLAN a WLAN De WAN a LAN1 De WAN a DMZ De WAN a WLAN De WAN a WAN De DMZ a LAN1 De DMZ a WAN De DMZ a WLAN De DMZ a DMZ
Accin de la Inspeccin del Firewall (Stateful Packet Inspection) Permitido Permitido Permitido Permitido Permitido Permitido Permitido Permitido Permitido Bloqueado Permitido Permitido Bloqueado Bloqueado Permitido Bloqueado Bloqueado
Para acceder a la configuracin de las reglas del Firewall nos desplazaremos por el Panel de Navegacin sobre el men Configuration > Firewall. Desde aqu podemos establecer el nmero mximo de sesiones por Host, as como la configuracin de las diferentes reglas en funcin del sentido de la comunicacin.
Pg. 95/316
Por ejemplo editamos la regla WAN to LAN1, y rellenamos los campos que se nos piden en funcin de un horario de aplicacin, usuario, origen, destino, servicio y permitir o no el acceso, y registrarlo en el Log del sistema.
Pg. 96/316
Para configurar estas reglas en el ZyWALL pulsaremos sobre el men Configuration > Firewall ubicado en el Panel de Navegacin. Pulsaremos sobre el icono Add para crear una nueva regla de firewall.
En la pantalla de configuracin especificaremos el servicio a inspeccionar por el firewall, as como la accin deny para cuando se produzca la coincidencia con la regla. Si no tenemos los objetos creados los podemos crear desde esta ventana.
Pg. 97/316
Para permitir al ordenador con la IP 192.168.1.7 acceder al servicio IRC en la WAN, debemos crear otra regla de firewall. En esta regla necesitamos especificar qu host y qu protocolo estn permitidos.
Fig. Permitimos el trfico con origen 192.168.1.7 el uso del servicio IRC
La regla para el ordenador 192.168.1.7 debe de tener una prioridad mayor que la regla que bloquea el trfico con origen toda la LAN usar el servicio IRC en la WAN.
Pg. 98/316
Si sta regla hubiera estado primero, la IP 192.168.1.7 podra coincidir con esta regla y el ZyWALL tirara el paquete y no verificara otras reglas de firewall.
Pg. 99/316
En la figura anterior: 1. El usuario A de la LAN se registra en el servidor B en Internet. El ZyWALL utiliza la WAN 1 para enviar el requerimiento al servidor B. 2. El ZyWALL est utilizando balanceo de carga activo/activo. As, cuando el usuario A de la LAN intenta acceder a algn contenido de B, el requerimiento sale a travs de la WAN 2. 3. El servidor identifica que el requerimiento viene de la direccin IP WAN 2 en vez de la de WAN 1 y lo rechaza. Si se hubiera configurado el link sticking, el ZyWALL habra utilizado el WAN 1 para enviar el requerimiento del usuario A de la LAN al servidor y ste le habra dado acceso.
Pg. 100/316
Para habilitar la funcin de link sticking, vaya al men Configuration > Network > Interface > Trunk
Desde esta misma pantalla, se puede aadir o editar un perfil personalizado de balanceo de carga, y seleccionar el algoritmo de balanceo de carga:
Se pueden establecer diferentes algoritmos de balanceo segn las necesidades de cada caso:
Pg. 101/316
Least load first. Enva los paquetes primero por la interfaz menos cargada. Weighted round robin. Realiza un Round Robin ponderado enviando los paquetes en funcin de una relacin de velocidad entre las interfaces. Spillover. Cuando se sobrepasa el umbral especificado se enva el trfico por la otra interfaz.
La utilizacin del ancho de banda de salida se toma como referencia para calcular el ndice de balanceo de carga. En el ejemplo, el trfico de salida de la WAN1 es 412K y el de la WAN2 de 198 K. El ZyWALL calcula el ndice de balanceo de carga segn la tabla adjunta:
Para configurar este algoritmo nos vamos al men Configuration > Networking > Interface > Trunk, y seleccionamos el algoritmo Least Load First y los interfaces WAN involucrados en modo Active:
Pg. 102/316
Para configurar este algoritmo nos vamos al men Configuration > Networking > Interface > Trunk, y seleccionamos el algoritmo Weighted Round Robin y sobre los interfaces WAN involucrados aplicamos un valor de ponderacin a modo de ratio:
Pg. 103/316
8.3. Spillover
En este Algoritmo se configura un umbral de ancho de banda, que al ser sobrepasado se realizar un cambio para que se enve el trfico por la otra interfaz miembo del trunk.
Pg. 104/316
Para configurar este algoritmo nos vamos al men Configuration > Networking > Interface > Trunk, y seleccionamos el algoritmo Spillover y dejamos en modo Passive al interfaz secundario que queremos usar para enviar los datos una vez superado el umbral configurado de las interfaces Active.
En este caso tanto la wan1 como la wan2 estn configuradas en modo Active. Sobre la wan1 se ha establecido un umbral de 8000 Kbps, que una vez superado se empezarn a enviar los datos por el segundo miembro del trunk, la interfaz wan2.
Pg. 105/316
Al aadir una nueva regla nos aparecer un formulario para que introduzcamos un nombre para esta regla, el origen y destino de los datos, un horario de utilizacin, y el puerto del servicio a limitar. En las opciones de ancho de banda, seleccionaremos un ancho de banda mximo de subida para utilizacin de este servicio, as como un nivel de prioridad. Tambin podremos maximizar la utilizacin del ancho de banda. En la regla del ejemplo que hemos creado se va a limitar a 100Kbs la subida mxima para el usuario del PC_33 para la utilizacin del servicio ARES_tcp. Al poseer un nivel 5 de prioridad, cualquier regla que tenga un nmero inferior a prioridad, se transmitir antes que los datos del servicio limitado.
Pg. 106/316
Pg. 107/316
Fig. Regla de Policy Route con configuracin del Ancho de Banda aplicada
Planificadores: - Inbound: Reserva Ancho de Banda de entrada - Outbound: Reserva Ancho de Banda de salida - Priority: Asigna un nivel de prioridad de 1 a 7 (1 mayor prioridad)
Pg. 108/316
Previamente tenemos que habilitar tanto el Application Patrol como la gestin de Ancho de Banda desde el men Configuration > App Patrol > General
Para configurar la Gestin de Ancho de Banda nos iremos a la barra de mens lateral Configuration > AppPatrol > Other. Y aadiremos una nueva regla.
En dicha regla de configuracin podremos elegir el puerto, horario de aplicacin, usuario, interfaces origen y destino, direccin origen, direccin destino, protocolo, permitir o no el paso, y el control del ancho de banda del trfico de subida y de bajada. La opcin DSCP Marking permite aadir un marcado de Calidad de Servicio (QoS) a este tipo de trfico para que otros dispositivos compatibles con DiffServ puedan interpretar dicho trfico con otra prioridad. Entre las opciones posibles podemos no marcar este trfico preserve, marcarlo con el valor 0 default, o marcarlo con diferentes tipos de clase y codificacin DSCP segn los siguientes valores de Assured Forwarding:
Pg. 109/316
Una vez configuradas las reglas del Ancho de Banda podremos visualizar de manera grfica la utilizacin de dicho Ancho de Banda por una serie de servicios dentro de la barra de mens Monitor > AppPatrol Statistics. Podremos seleccionar todos los protocolos disponibles a examinar su utilizacin de ancho de banda, o seleccionar los que queramos de los disponibles.
Pg. 110/316
Del mismo modo, en la misma ventana, pero ms abajo podremos encontrar una visualizacin con los valores de paquetes transmitidos y recibidos de la utilizacin del Ancho de Banda.
Pg. 111/316
Pg. 112/316
1.) Primeramente vamos a asignar la velocidad de subida del interface WAN a 1000Kbps. Ya que en la lnea ADSL contratada disponemos de 1Mbps. Lo asignaremos desde el men Configuration > Interface > Ethernet > wan1
En el men Configuration > AppPatrol, habilitaremos el Application Patrol, el BWM, y la mayor prioridad de ancho de banda para trfico SIP.
As mismo nos moveremos a la pestaa VoIP, en la que editaremos la regla creada sobre el servicio SIP.
Pg. 113/316
Aadiremos dos reglas para trfico de LAN to WAN, y de DMZ to WAN, asignando un ancho de banda de salida de 200Kbps, prioridad 1, y activando el Maximize Bandwidth Usage. Y dos reglas para trfico WAN to LAN, y de WAN to DMZ, asignando un ancho de banda de entrada de 200Kbps, prioridad 1, y activando el Maximize Bandwidth Usage:
Pg. 114/316
2.) El trfico de entrada dispondr de un ancho de banda mayor, ya que probablemente los usuarios locales descarguen ms trfico de lo que suben. Desde la pestaa Common editaremos la regla creada sobre el servicio HTTP. Asignaremos la prioridad 2 para el trfico HTTP, y habilitaremos el maximize bandwidth usage para que el trfico HTTP pueda hacer uso del ancho de banda excedente que no est en uso.
Pg. 115/316
3.) La lnea ADSL soporta ms trfico de bajada que de subida, por lo que a los clientes remotos les permitiremos un ancho de banda de 300Kbps para subida de ficheros al servidor FTP tras la DMZ y solamente 100Kbps de bajada. Desde la pestaa Common editaremos la regla creada sobre el servicio FTP. Asignaremos la prioridad 3 para el trfico FTP, y deshabilitaremos el maximize bandwidth usage para no proveer de un ancho de banda extra a este tipo de trfico.
Pg. 116/316
4.) Las zonas LAN y DMZ estn conectadas a redes Ethernet, por lo que no necesitan del ADSL para comunicarse entre s. Por lo que limitaremos un ancho de banda de 50Mbps para subida y para bajada. Asignaremos la prioridad 4 para este trfico FTP, y deshabilitaremos el maximize bandwidth usage para no proveer de un ancho de banda extra a este tipo de trfico.
Pg. 117/316
Pg. 118/316
10. NAT
10.1. Configuracin del Servidor Virtual
Es una prctica bastante comn en las empresas situar los servidores corporativos detrs de los ZyWALLs USG de proteccin, y al mismo tiempo, permitir a los clientes/servidores del lado WAN el acceso a los servidores intranet. Por ejemplo, la empresa puede tener un servidor de correo al que necesitan conectarse clientes y servidores de correo internet o servidores web, servidores ftp, etc. a los que se requiere poder acceder desde Internet. Las reglas del Servidor Virtual se deben configurar para permitir todas estas aplicaciones.
Pg. 119/316
2. En la ventana de edicin de la regla, rellenar todos los campos necesarios. Port Mapping Type: Seleccionar el Servidor Virtual. Incoming Interface: Seleccionar wan1 para el servidor web, ya que se quiere acceder desde WAN1. Original IP: Se puede elegir User Defined, y manualmente introducir la direccin IP de la WAN1. O se puede crear primero un objeto de direccin desde el campo Create new Object y escoger este objeto desde la lista desplegable de IP Original. Mapped IP: Especifica la direccin IP del servidor. En este caso es 192.168.1.5. Se puede crear primero un objeto y seleccionar la direccin de la lista desplegable. Port Mapping: En este caso, para evitar conflictos con el puerto http del USG, establecemos como puerto original TCP 8080 y como puerto mapeado TCP 80.
Siguiendo los pasos indicados anteriormente, aadir las reglas del servidor virtual para que el servidor de correo pueda reenviar SMTP y POP3 desde el interfaz WAN2 hacia el servidor 192.168.1.6.
Pg. 120/316
No hay que olvidar configurar las reglas correspondientes al cortafuegos para permitir el trfico http, smtp y pop3 desde el interfaz WAN hacia los servidores LAN.
Obsrvese que para la regla del cortafuegos de encaminamiento al servidor web, se usa el puerto TCP 80 en lugar del TCP 8080. Ello es debido a que en el flujo general de paquetes, el proceso DNAT precede a la comprobacin del cortafuegos.
Pg. 121/316
En el escenario superior, se mapea la direccin IP global WAN 200.0.0.1 a la 192.168.1.5 del servidor web de la intranet. As, cuando un cliente http quiere acceder al servidor, su IP original es 200.0.0.1. Despus de que el USG reciba el trfico, mapea la direccin de destino a 192.168.1.5. Cuando el servidor responde, su IP fuente original es 192.168.1.5; cuando el USG la recibe la traducir a 200.0.0.1 y la enviar al cliente Internet. Una vez que la regla NAT Uno a Uno se ha configurado, el USG generar automticamente una regla de enrutamiento Uno a Uno en el sistema. As, cuando el servidor 192.168.1.5 inicia el trfico para acceder a Internet, si no hay ruta de polica aplicable, el USG utilizar este enrutamiento Uno a Uno, enviar el trfico a travs del interfaz WAN 200.0.0.1 y mapear la direccin origen a 200.0.0.1.
Pg. 122/316
2. En la ventana de edicin de la regla, rellenar todos los campos necesarios: Port Mapping Type: 1:1 NAT. Incoming Interface: Seleccionar el interfaz WAN del que se quiera que el USG reciba el trfico entrante hacia el servidor. Original IP: Se puede elegir User Defined e introducir manualmente la IP WAN1. O se puede primero crear un objeto de direccin desde el campo Create new object y luego seleccionar este objeto desde la lista desplegable de Original IP. Mapped IP: Especifica la direccin IP del servidor. En este caso, 192.168.1.5. Se puede tambin crear primero un objeto y luego seleccionarlo desde la lista desplegable. Port Mapping: En este caso, elegimos Service como tipo de mapeo y servicio http.
No hay que olvidar configurar la regla de cortafuegos correspondiente, para permitir el trfico http desde el interfaz WAN hasta el servidor LAN 192.168.1.5.
Pg. 123/316
Pg. 124/316
2. En la ventana de edicin de la regla, rellenar todos los campos necesarios. Port Mapping Type: Varias 1:1 NAT. Incoming Interface: Seleccionar el interfaz WAN del que se quiera que el USG reciba el trfico entrante hacia los servidores. Original IP: Se puede primero crear objetos de direcciones para los rangos IP original y mapeado desde el campo Create new object y luego seleccionar estos objetos desde la lista desplegable de Original IP. Mapped IP: Seleccionar el objeto direccin desde la lista desplegable. Port Mapping: Slo se puede configurar como any.
Pg. 125/316
Una vez que se ha configurado la regla NAT Varios Uno a Uno, se generar automticamente un conjunto de reglas de enrutamiento Uno a Uno en el ZyWALL USG. No hay que olvidar configurar la regla de cortafuegos correspondiente para permitir el trfico desde el interfaz WAN al rango del servidor LAN.
Pg. 126/316
2. En la ventana de edicin de la regla, rellenar todos los campos necesarios y validar el NAT loopback.
Pg. 127/316
Una vez habilitado el NAT loopback, no se requiere poltica de rutas., ya que el USG comprobar automticamente la tabla de enrutamiento. Solamente har SNAT para los clientes locales de la misma subred que el servidor. Las direcciones origen de los clientes del lado WAN y los clientes locales de las otras subredes, permanecern como en el original.
Pg. 128/316
Una vez que el usuario ha aadido la regla NAT como se ha indicado, en el ZLD v2.1x se crear automticamente un Interfaz Virtual en el Incoming Interface con una IP de no interfaz. En el ejemplo, aadir un Interfaz Virtual sobre WAN1, con la IP 200.0.0.2. Sin embargo, existe una desventaja en este mtodo: Despus de que la regla NAT se ha creado, no solamente se permitir el trfico para acceder al servidor de intranet, sino que se podr acceder al USG desde esta IP de no interfaz, lo que supone un problema de seguridad, ya que algn hacker podra utilizar esta IP para acceder al USG. Adems, no se puede mapear la IP origen del trfico saliente a la IP de no interfaz, debido a que el USG no tiene modo de saber a quin pertenece. Una vez aadida la regla NAT como se ha indicado anteriormente, el ZLD v2.20 crear automticamente una tabla ARP proxy para establecer la IP de no interfaz correspondiente a la MAC del interfaz entrante. Con esta regla NAT, slo se permitir el trfico de acceso al servidor intranet. Cualquier otro trfico ser rechazado. Asimismo, en ZLD v2.20, el USG puede mapear la IP origen del trfico saliente a una IP de no interfaz mediante la creacin de una tabla ARP proxy para mapear la IP de no interfaz a la MAC del interfaz saliente.
Pg. 129/316
2. Para cumplir con el requerimiento de que el servidor intranet pueda ser accesible a travs de WAN1 por la IP de no interfaz 200.0.0.2, ir a Configuration > Network > NAT, y aadir una regla como sigue: Incoming Interface: Wan1 Original IP: 200.0.0.2 Mapped IP: 192.168.1.5
Pg. 130/316
3. Para cumplir los requerimientos de que la subred local 192.168.2.0/24 sale por WAN2 y las direcciones origen mapeadas a la IP de no interfaz 200.0.1.2, ir al men Configuration > Network > Routing > Policy Route, aadir una regla como sigue: Source Address: 192.168.2.0/24 Destination: any Next Hop: WAN2 SNAT: Address object WAN2_SNAT (200.0.1.2)
Pg. 131/316
Pg. 132/316
Ya que la Ruta de Polica tiene prioridad ms alta, se pueden crear rutas de polica para invalidar las rutas VPN IPSec generadas automticamente por el sistema. O bien, se pueden tambin aadir rutas para permitir que otro trfico pueda utilizar este tnel VPN. Por defecto, el parmetro Use Policy Route to control dynamic IPSec rules est habilitado, por lo que las rutas VPN dinmicas se integrarn en las rutas VPN Site to Site. Si se deshabilita la opcin anterior, las rutas dinmicas se movern para tener una prioridad mayor en la tabla de prioridad de enrutamiento.
Pg. 133/316
El USG est situado en la Sede Central, en la subred local 192.168.1.0/24. Subred local del ZyWALL 70 remoto: 192.168.4.0/24. El USG y el ZyWALL remoto establecen un tnel VPN IPSec.
2. Ir a Configuration > VPN > IPSec VPN > VPN Connection, aadir conexin VPN (fase 2).
Pg. 134/316
En el ZyWALL 70: Ir a Configuration > Security > VPN; aadir reglas fase 1 y fase 2 VPN.
Pg. 135/316
Pg. 136/316
2. ir a Configuration > Network > NAT, aadir dos reglas NAT 1:1.
Pg. 137/316
Obsrvese que despus de que se hayan aadido las dos reglas NAT 1:1, el sistema generar automticamente dos reglas de enrutamiento 1:1 de la siguiente manera: Origen: 192.168.1.33 (server IP/Destination:any/next hop: wan1) Origen: 192.168.1.33 (server IP/Destination:any/next hop: wan2) Para evitar que el trfico desde el servidor hacia any siempre cumpla con la primera regla 1:1 de enrutamiento, se necesita aadir una ruta de polica para sobrescribir estos dos enrutamientos 1:1 3. Ir a Configuration > Network > Interface >Trunk, aadir un enlace WAN personalizado.
4. Ir a Configuration >Network > Routing, aadir una ruta de polica como sigue: Source: 192.168.1.33 (server) Destination: any Next hop: <the newly added WAN trunk> SNAT: None.
Pg. 138/316
Ntese que se configura SNAT a None porque se necesita an que el mapeo NAT 1:1 traduzca la direccin origen del trfico saliente del servidor.
Pg. 139/316
Como criterio de paso, se puede escoger El extremo remoto tiene que cumplir con al menos un elemento de comprobacin o El extremo remoto tiene que cumplir con todos los elementos de comprobacin. Si se elige la primera opcin, entonces el cliente puede pasar la comprobacin EPS con tal que cumpla con al menos uno de los puntos indicados en la lista del criterio de paso.
Pg. 140/316
Si se elige la segunda opcin, entonces el cliente debe cumplir con todos puntos indicados en la lista de paso para superar la prueba de comprobacin EPS.
El primer elemento de comprobacin es el Sistema Operativo. Se puede seleccionar Windows, Linux, Mac OSX y otros. Si se elige Windows, se puede definir en detalle aspectos tales como versin y service pack. La versin de Windows incluye W2000, Server 2003, XP, Vista Windows 7, Server 2008 y Server 2008 R2. El punto remoto tiene que actualizar la versin de Windows Service Pack. Se puede introducir el nmero de versin de service pack que se debe tener instalado. El PC de usuario tiene que disponer de esta versin o una superior.
El resto de puntos de comprobacin dependen del Sistema Operativo elegido. Si se ha seleccionado Windows, los puntos de comprobacin adicionales seran los siguientes:
Windows Update and Security Patch
C ortafuegos personal
Pg. 141/316
Lista de cortafuegos personales soportados: Kaspersky_Internet_Security_v2009 Kaspersky_Internet_Security_v2010 Microsoft_Security_Center Windows_Firewall Windows_Firewall_Public TrendMicro_PC-Cillin_Internet_Security_v2010 TrendMicro_PC-Cillin_Internet_Security_Pro_v2010
S oftwareAnti-Virus Lista de Anti-Virus soportados: Kaspersky_Anti-Virus_v2009 Kaspersky_Anti-Virus_v2010 Kaspersky_Internet_Security_v2009 Kaspersky_Internet_Security_v2010 TrendMicro_PC-Cillin_AntiVirus_v2010 TrendMicro_PC-Cillin_Internet_Security_v2010 TrendMicro_PC-Cillin_Internet_Security_Pro2010 Norton_AntiVirus, 2010 Norton_Internet_Security, 2010 Norton_360 Version, version 3 Avria AntiVir Personal_v2009
Pg. 142/316
Si el Sistema Operativo elegido ha sido Linux, los puntos de comprobacin adicionales seran los siguientes: A plicacin P roceso que el punto remoto tiene que ejecutar P roceso que el punto remoto no puede ejecutar I nformacin de fichero
Pg. 143/316
Si el Sistema Operativo elegido es Mac OSX u Otros, no hay puntos de comprobacin adicionales.
Pg. 144/316
Router > show eps signature personal-firewall Este comando muestra el estado actual de la firma EPS para la verificacin del cortafuegos personal.
Router> show eps signature anti-virus Este comando muestra el estado actual de la firma EPS para la verificacin del antivirus.
Pg. 145/316
NOTA: Si el estado de deteccin es no, significa que la firma EPS slo puede detectar si el software est instalado, pero no puede detectar si est activo o no. Si el estado de deteccin es s, significa que la firma EPS puede detectar si el software est instalado, as como si est activo o no.
Pg. 146/316
Fig. - Aadir objetos EPS que cumplen con los requerimientos DMZ
Pg. 147/316
Aadir objetos EPS que cumplan con los requerimientos de comprobacin de acceso a Internet:
Fig. - Aadir objetos EPS que cumplen con los requerimientos de Internet
Pg. 148/316
Pg. 149/316
Pg. 150/316
Pg. 151/316
Si el entorno de cliente no cumple con el criterio de comprobacin EPS, el USG dar el siguiente mensaje:
Pg. 152/316
Una vez que el cliente supere la comprobacin EPS y la autenticacin del USG, el USG le permitir el acceso a Internet:
Pg. 153/316
Pg. 154/316
2. Ir a Configuration > VPN >SSL VPN > Acess Privilege, aadir poltica de VPN SSL. Validar comprobacin EPS y seleccionar el objeto EPS para la comprobacin VPN SSL:
Pg. 155/316
El USG comienza la caracterizacin de la comprobacin EPS de acuerdo con el objeto EPS seleccionado en la poltica VPN SSL:
Pg. 156/316
Si el cliente VPN SSL no cumple con el criterio EPS, la comprobacin EPS fallar y el tnel no se establecer:
Si el cliente cumple con el criterio EPS, pasar la comprobacin y el tnel VPN SSL se establecer:
Pg. 157/316
Pg. 158/316
2. Ir a Users > New > Users. Aadir cuentas de usuario. En este ejemplo, aadimos los nuevos usuarios judy, nancy, chris and lucy. Ntese que el nombre de dominio del servidor AD es cso.org.
Pg. 159/316
Pg. 160/316
Cambiar al men Users > New >Group. Aadir grupos. En el ejemplo en cuestin, aadimos dos: cso y sales:
Pg. 161/316
Pg. 162/316
3. En el USG, configurar el servidor AAA. Ir a Configuration > Object > AAA Server > Active Directory, y editar el perfil ad.
Poner la direccin del servidor AD de la empresa en el campo Server Address. El puerto por defecto del servidor AD es UDP 389. Si el servidor AD se configura sobre un puerto diferente, incluir aqu el nmero de puerto correspondiente. Para el campo Base DN, si el dominio del servidor AD es cso.org, introducir: dc=cso, dc=org. La parte de Autenticacin de Servidor es para que el USG sea autenticado por el servidor AD antes de que pueda usar la base de datos del directorio activo del servidor AD.
Pg. 163/316
Bind DN: Rellene el campo segn: cn=<administrator> con cualquier usuario configurado en el AD. dc=cso, dc=org es el dominio del servidor AD. En este ejemplo es cso.org. La contrasea es la contrasea correspondiente de <administrator>. Cuando no se especifica un Bind DN, el ZyWALL intentar un login como usuario annimo. Se debe dejar Login Name Attribute y Group Membership Attribute como configuracin por defecto del sistema. Login Name Attribute alternativo es opcional. Se puede rellenar aqu userPrincipalName. Entonces los usuarios pueden hacer login en el USG mediante la direccin de email as como mediante nombre de usuario. Una vez que se ha realizado la configuracin del servidor AD, se puede verificar si es correcta y si la comunicacin entre ste y el USG es OK.
Pg. 164/316
Pg. 165/316
Si se ha introducido el atributo Alternative Login Name Attribute, como se indica en la figura inferior, se puede verificar tambin mediante la direccin de correo del usuario:
Pg. 166/316
4. Ir a Configuration>Object>User/Group>User, aadir grupos de usuario correspondientes a los grupos en el servidor AD. En el ejemplo, aadimos dos grupos, correspondientes a los del servidor AD: cso and sales. El Nombre de Usuario puede ser diferente del identificador de grupo. Ej.: el identificador de grupo del grupocso is cso, pero podemos especificar un nombre diferente, tal como cso_support. El identificador de Grupo tiene que seguir el formato siguiente: CN=<cso>,CN=Users, CN=<cso>, DC=<org> <cso> es el nombre de grupo en el servidor AD.
Pg. 167/316
Pg. 168/316
Aadir gruposales:
Pg. 169/316
5. Ir a Configuration > Object > Auth. Method, modificar el mtodo de autenticacin de por defecto. Aadir group ad:
Pg. 170/316
6. Ir a Configuration > System > WWW > Service Control. En la parte de Autenticacin, hay que asegurarse de que el Client Authentication Method elegido es default:
7. Ir a Configuration > Object > SSL Aplication, aadir aplicaciones para los grupos de soporte y ventas.
Pg. 171/316
8. Ir a Configuration > Object > Endpoint Security, aadir polticas de EPS para comprobar el grupo de ventas.
Pg. 172/316
9. Ir a Configuration > VPN > SSL VPN > Access Privilege, aadir dos reglas VPN SSL para cso_support y sales.
Pg. 173/316
Pg. 174/316
VPN SSL est establecida, pudindose ver la comparticin de ficheros en el portal para el usuario cso del grupo AD.
Pg. 175/316
Utilice el usuario judy del grupo sales para el login de VPN SSL.
Pg. 176/316
VPN SSL est establecida, pudindose ver la comparticin de ficheros en el portal para el usuario cso del grupo AD.
Pg. 177/316
Pg. 178/316
A continuacin aparecer una ventana a modo de recordatorio indicando que la contrasea configurada es la contrasea por defecto, y nos solicita cambiarla para mayor seguridad. Para saltarnos este recordatorio pulsamos sobre el botn Ignore.
Pg. 179/316
Una vez pasado el recordatorio de cambio de contrasea accederemos a la pantalla de configuracin inicial del router. En la columna Advanced Setup haremos clic sobre LAN y posteriormente sobre LAN Setup.
En en LAN Setup deshabilitaremos el servidor DHCP y configuraremos los valores de IP en en apartado TCP/IP segn los datos que nos ha dado nuestro proveedor a Internet. Una vez configurado todo volvemos al Main Menu.
Pg. 180/316
Desde el men principal pulsamos sobre el men Wizard Setup, configuramos el modo Routing, e introduciremos los datos que nos ha dado nuestro proveedor de servicios a Internet para configurar el interfaz WAN del router.
Pg. 181/316
Finalmente nos aparecer una ventana a modo de sumario de la configuracin realizada en el router, y tras revisarla pulsaremos en Save Settings. Con eso ya quedara configurado el router Remoto.
Pg. 182/316
A continuacin nos aparecer la pantalla de configuracin inicial del router. En la columna Advanced Setup haremos clic sobre LAN y posteriormente sobre LAN Setup.
Pg. 183/316
En en LAN Setup deshabilitaremos el servidor DHCP y configuraremos los valores de IP en en apartado TCP/IP. En el ejemplo vamos a dejar estos valores sin modificar. Una vez configurado todo volvemos al Main Menu.
Pg. 184/316
Desde el men principal pulsamos sobre el men Wizard Setup, configuramos el modo Bridge, e introduciremos los datos que nos ha dado nuestro proveedor de servicios a Internet para configurar el interfaz WAN del router.
Finalmente nos aparecer una ventana a modo de sumario de la configuracin realizada en el router, y tras revisarla pulsaremos en Save Settings. Con eso ya quedara configurado el router Local.
Pg. 185/316
Desde la Pantalla de Estado pulsaremos en la barra lateral de mens dentro del men Network. En el desplegable que aparece primeramente configuraremos el Interface LAN, y posteriormente el Interface WAN.
Para configurar el Interface LAN pulsamos sobre el submen LAN y modificaremos los valores configurados para la LAN TCP/IP y habilitamos el servidor DHCP.
Pg. 186/316
Para configurar el interfaz WAN pulsaremos sobre el submen WAN de la barra lateral de men Network. En la ubicacin remota tenemos contratada una Ip esttica, rellenamos la configuracin WAN con encapsulacin Ethernet, y con la informacin IP que nos haya dado nuestro ISP. Tambin habilitamos la casilla del NAT.
Pg. 187/316
Una vez configurados tanto el interfaz LAN como el interfaz WAN del ZyWALL vamos a proceder a configurar el apartado correspondiente a la VPN. Para ello nos situamos sobre el men Security de la barra lateral de mens, y pulsamos sobre el submen VPN. Dentro de la pestaa VPN Rules (IKE) aadimos una nueva regla, que se denominan Polticas de Gateway.
A continuacin nos aparecer un formulario para rellenar las Polticas de Gateway. En dicho formulario tendremos que introducir un nombre para identificar a la regla aadida. Dado que desconocemos la direccin IP del equipo que se va a conectar a nosotros, dejaremos por defecto las opciones del Gateway Policy Infomation, es decir, todo a 0. De esta forma es como si dejramos una puerta abierta para que cualquier equipo que tenga los mismos valores de Pre-Shared Key y protocolos de autenticacin/encriptacin se pueda conectar a nuestro equipo.
Pg. 188/316
Introduciremos un valor para la Pre-Shared Key, y los ID Type. As como los diferentes protocolos de autenticacin/encriptacin. Cabe recordar que el valor de la Pre-Shared Key, y los protocolos de autenticacin/encriptacin deben de ser los mismos que se configuren en el otro ZyWALL. As como invertir el orden de la configuracin realizada para los ID Type.
Pg. 189/316
Una vez configurada la regla de la Poltica de Gateway, sobre esta aadiremos una Poltica de Red.
Pg. 190/316
Dentro activaremos la poltica, escribiremos un nombre para este perfil de configuracin, elegiremos la conexin Gateway Policy creada anteriormente, y aadiremos el valor de la subnet local.
Las opciones de la Red Remota las dejaremos por defecto, ya que en un principio desconocemos la informacin de la misma. Dejando una puerta abierta a que visualice cualquier red remota. Por ltimo seleccionaremos los algoritmos de encriptacin y autenticacin. Los valores de los algoritmos de encriptacin y autenticacin, as como el valor de las subredes sern los mismos que se configuren en el ZyWALL Remoto.
Pg. 191/316
Pg. 192/316
Pg. 193/316
Desde la Pantalla de Estado pulsaremos en la barra lateral de mens dentro del men Configuration > Network > Interface.
Pg. 194/316
Para configurar el Interface LAN pulsaremos sobre la pestaa Ethernet y modificaremos los valores configurados para la lan1 mediante el icono para editar.
Nos aparecern los campos de la configuracin del interfaz ethernet Lan1, en los que configuraremos la direccin IP de LAN y habilitaremos el servidor DHCP.
Una vez configurado el interfaz LAN dentro del men Ethernet, nos iremos a la pestaa PPP para configurar el interfaz wan1_ppp.
Pg. 195/316
Nos aparecern los campos de la configuracin del interfaz wan1_ppp, en los que habilitaremos el interfaz, activaremos las casilla Nailed-Up y Obtener IP automticamente. Mediante la creacin de un objeto de tipo ISP Account, configuraremos los valores que nos haya dado nuestro proveedor de servicios a Internet para la lnea PPP adquirida, y seleccionaremos dicho objeto en Account Profile".
Una vez configurados tanto el interfaz LAN como el interfaz WAN del ZyWALL vamos a proceder a configurar el apartado correspondiente a la VPN IPSec. En la barra de mens lateral pulsamos sobre el men Configuration > VPN > IPSec VPN. Nos moveremos a la pestaa VPN Gateway y aadiremos una nueva conexin.
Pg. 196/316
Mostrando las opciones avanzadas, configuraremos un nombre para este perfil de configuracin, elegiremos el interfaz wan1_ppp como My Address y la IP esttica del router remoto en el Peer. Escribiremos un valor en el Pre-Shared Key, as como unos valores en el ID Type. Por ltimo seleccionaremos los algoritmos de encriptacin y autenticacin. Los valores de los algoritmos de encriptacin y autenticacin, as como el valor del Pre-Shared Key sern los mismos que se configuraron en el ZyWALL Remoto.
Pg. 197/316
Una vez configurado el VPN Gateway pasaremos a configurar el VPN Connection. Para ello nos moveremos a la pestaa VPN Connection y aadiremos una nueva conexin.
Configuraremos un nombre para este perfil de configuracin, elegiremos la conexin VPN Gateway creada anteriormente, crearemos dos objetos de tipo subnet con los valores de las subredes local (LAN1_SUBNET) y remota (Red_VPN_ZW70). Por ltimo seleccionaremos los algoritmos de encriptacin y autenticacin. Los valores de los algoritmos de encriptacin y autenticacin, as como el valor de las subredes sern los mismos que se configuraron en el ZyWALL Remoto.
Pg. 198/316
Por ltimo queda configurar el Policy Route para permitir que todo el trfico con origen LAN Local y con destino LAN Remoto pase a travs del tnel VPN que hemos creado en los pasos anteriores. Para ello nos vamos a la barra de mens lateral Configuration > Network > Routing, y aadimos una regla de configuracin.
En la siguiente ventana marcaremos la casilla de habilitacin, elegiremos como origen la subred de la LAN Local, y como destino la subred de la LAN Remota. En el Next-Hop elegiremos de tipo VPN Tunnel y seleccionaremos el nombre del VPN Gateway creado previamente.
La configuracin de una regla en el Policy Route es prcticamente la nica diferencia que hay a la hora de configuraron estos equipos con respecto a los antiguos modelos de la familia ZyWALL con sistema operativo ZyNOS.
Pg. 199/316
Pg. 200/316
Nos aparecer una ventana de configuracin, en la que primeramente pulsaremos en el botn , que se muestra en el lado superior izquierdo de dicha ventana, para que tambin se muestren las opciones avanzadas de configuracin. Una vez hecho esto, habilitaremos la regla marcando la casilla Enable y asignaremos un nombre para la regla. En el campo My Address seleccionaremos el interface WAN con el que salimos a Internet, en este ejemplo sera el interface wan1. En el campo Peer Gateway address seleccionaremos Dynamic Address, ya que de esa forma no se indica explcitamente la IP pblica de la sede remota.
Pg. 201/316
En el campo Pre-Shared Key introduciremos una contrasea. En este ejemplo hemos introducido 1234567890. Los campos Local ID Type y Peer ID Type vienen a actuar como contraseas. En este ejemplo hemos elegido el tipo IP, y como contenido local 1.1.1.1, y contenido remoto 2.2.2.2 En las opciones de la Fase 1 seleccionaremos como propuestas unos algoritmos de encriptacin y autenticacin, y aplicaremos los cambios. En este ejemplo se han seleccionado DES, MD5 y DH1.
Pg. 202/316
Nos aparecer una ventana de configuracin, en la que primeramente pulsaremos en el botn , que se muestra en el lado superior izquierdo de dicha ventana, para que tambin se muestren las opciones avanzadas de configuracin. Una vez hecho esto, habilitaremos la regla marcando la casilla Enable y asignaremos un nombre para la regla. De la opcin VPN Gateway seleccionaremos Remote Access (Server Role) como Application Scenario, indicando posteriormente la regla de VPN Gateway que habamos creado en el punto 1 seleccionndola del desplegable.
De la opcin Policy, seleccionaremos el objeto correspondiente a la subred de la sede X (LAN1_SUBNET), y desmarcamos la casilla Policy Enforcement. En las opciones de la Fase 2 seleccionaremos como propuestas unos algoritmos de encriptacin y autenticacin, y aplicaremos los cambios. En este ejemplo se han seleccionado ESP, DES, SHA1.
Pg. 203/316
3.) Desde el panel de navegacin nos desplazamos al men Configuration > Network > Routing para ver el men de reglas Policy Route y aadiremos una nueva regla.
Pg. 204/316
Sobre el men de la regla, pulsaremos sobre el icono Create new Object y seleccionaremos de tipo Address para as crear el objeto con nombre LAN_REMOTA, de tipo Host y con la direccin IP 0.0.0.0
Una vez creado el objeto, marcaremos la casilla Enable y daremos un nombre a la regla. Como Incoming seleccionaremos el tipo Interface, y como miembro lan1. Como direccin origen seleccionamos el objeto LAN1_SUBNET, y como direccin remota seleccionamos el objeto LAN_REMOTA que hemos creado. Como Next-Hop elegimos de tipo VPN Tunnel y seleccionamos el tnel VPN (VPN Connection) que habamos creado en el punto 2, y aplicamos los cambios.
Pg. 205/316
Asignaremos un nombre para la regla, seleccionaremos el interfaz como Automtico, e introduciremos la direccin IP pblica asociada a la WAN del ZyWALL USG en el campo Gateway Remoto (en el ejemplo 1.2.3.4). Como llave secreta introduciremos la Pre-Shared Key que pusimos en el ZLD 2.20 (1234567890), y seleccionamos los mismos algoritmos de encriptacin y autenticacin configurados en el ZLD 2.20 Pulsamos en el botn ajustes avanzados para acceder a la ventana de configuracin de los identificadores FQDN.
Pg. 206/316
En la pantalla de ajustes avanzados de la Fase1 seleccionamos como ID Local de tipo IP con el contenido 2.2.2.2, y seleccionamos como ID Remoto de tipo IP con el contenido 1.1.1.1, y pulsamos el botn OK. Nota: el valor de los contenidos es opuesto a lo introducido en la configuracin de la VPN del ZLD 2.20.
Pg. 207/316
5.) Del desplegable Root haremos clic derecho sobre el icono Fase1, y pulsaremos en Adicionar Fase2 para aadir una regla:
Asignaremos un nombre para la regla, seleccionaremos el direccionamiento IP de la sede remota (en el ejemplo 192.168.1.1 / 255.255.255.0), y los mismos algoritmos de encriptacin y autenticacin configurados en las opciones del VPN Connection del ZLD 2.20. Y pulsamos sobre Guardar & Aplicar para guardar la configuracin. Para ver la mensajera pulsamos sobre el icono Consola del panel izquierdo:
Pg. 208/316
6.) Si pulsamos sobre el botn Abrir Tnel veremos en la mensajera cmo se empiezan a transmitir la peticin de establecimiento del tnel, y las respuestas recibidas desde el ZLD 2.20
El icono del ZyWALL IPSec VPN Client, ubicado en el rea de notificacin, ha pasado a color verde indicando que el tnel ha quedado establecido:
Pg. 209/316
7.) Desde el PC con el software ZyWALL IPSec VPN Client tendremos conectividad con la LAN remota del ZLD 2.20 y los host conectados en la LAN:
Pg. 210/316
Pg. 211/316
SNAT la direccin origen traducida; una direccin IP diferente (rango de direcciones) para ocultar la direccin origen original. 12.3.3. Direccin Destino en paquetes Inbound (Inbound Traffic, Destination NAT) Se puede hacer esta traduccin si queremos que el ZyWALL enve varios paquetes desde la red remota a un ordenador especfico en la red local. Por ejemplo, en el escenario de ejemplo, queremos enviar un mail desde la red remota hacia el servidor mail en la red local (A). Tenemos que especificar una o ms reglas cuando configuremos este tipo de NAT. El ZyWALL verificar estas reglas, al igual que si fueran reglas de firewall. La primera parte de estas reglas definen las condiciones en las que las reglas son aplicadas: Original IP la direccin destino original; la red remota (B). Protocol el protocolo [TCP, UDP, o ambos] usados por el servicio que solicita la conexin. Original Port el Puerto destino original o rango de puertos destino; en el escenario de ejemplo, debera ser el puerto 25 para SMTP.
La segunda parte de estas reglas controlan la traduccin cuando se ha alcanzado la condicin especificada: Mapped IP la direccin destino traducida; en el escenario de ejemplo, la direccin IP del servidor mail en la red local (A). Mapped Port el Puerto destino traducido o rango de puertos destino. Tanto el rango de puertos original como el rango de puertos traducidos deben de tener el mismo tamao.
Pg. 212/316
Cmo podemos ver en la figura, en cada sede se ha definido un direccionamiento IP especfico para que no se solapen.
Una vez definida el direccionamiento IP vamos a pasar a configurar los interfaces LAN y WAN en cada ZyWALL, as como la creacin del Tnel1 entre la delegacin BO1 y la sede central; y la creacin del Tnel2 entre la delegacin B02 y la sede central.
Pg. 213/316
Para finalizar, desde la sede central crearemos el VPN Concentrator que nos permitir que la delegacin B01 y la B02 tengan comunicacin entre s a travs de la sede central.
Crearemos unos objetos de tipo Address de tipo subred para indicar las subredes de la delegacin B02 y la sede central HQ.
Tambin crearemos un objeto de tipo Address Group que tenga como miembros los dos objetos anteriormente creados.
Pg. 214/316
Una vez creados los objetos pasamos a la configuracin VPN IPSec, para ello creando la regla correspondiente en el VPN Gateway, en el VPN Connection y el Policy Route.
Con esto ya hemos acabado con la configuracin en la delegacin B01. Ahora vamos a proceder a realizar los mismos pasos para configurar la delegacin B02.
Pg. 215/316
Crearemos unos objetos de tipo Address de tipo subred para indicar las subredes de la delegacin B02 y la sede central HQ.
Tambin crearemos un objeto de tipo Address Group que tenga como miembros los dos objetos anteriormente creados.
Pg. 216/316
Una vez creados los objetos pasamos a la configuracin VPN IPSec, para ello creando la regla correspondiente en el VPN Gateway, en el VPN Connection y el Policy Route.
Con esto ya hemos acabado con la configuracin en la delegacin B02. Ahora vamos a proceder a configurar la sede central HQ.
Pg. 217/316
Crearemos unos objetos de tipo Address de tipo subred para indicar las subredes de la delegacin B01 y la delegacin B02.
Tambin crearemos un objeto de tipo Address Group que tenga como miembros los dos objetos anteriormente creados.
Pg. 218/316
Una vez creados los objetos pasamos a la configuracin VPN IPSec, para ello creando la regla correspondiente en el VPN Gateway, en el VPN Connection y el Policy Route. La nica diferencia con respecto a los pasos realizados en las delegaciones ser que habr que crear sobre la sede central HQ una regla para cada delegacin en cada apartado. As en el VPN Gateway crearemos dos reglas, en el VPN Connection crearemos dos reglas, y en el Policy Route crearemos tambin dos reglas.
Con todo esto la configuracin VPN realizada sobre la sede central HQ habra quedado realizada, y podemos ver el estado de las conexiones VPN en el SA Monitor
Pg. 219/316
Fig. Visualizacin de las conexiones VPN activas por el equipo de la sede central HQ
De esta forma desde un ordenador ubicado en la sede central HQ se puede tener acceso a travs del tnel VPN a ordenadores ubicados en la delegacin B01 y a ordenadores ubicados en la delegacin B02. Pero los ordenadores ubicados en la delegacin B01 no tendrn acceso a los equipos de la delegacin B02, as como los ordenadores ubicados en la delegacin B02 no tendrn acceso a los equipos de la delegacin B01.
Fig. Visualizacin de las conexiones VPN activas por el equipo de la sede central HQ
Si queremos que haya comunicacin entre el Host B y el Host C tendremos que realizar el VPN Concentrator en el equipo de la sede central HQ; as como crear en B01 una regla de policy route con origen B01_subnet y destino B02_subnet con Next-Hop el tnel1; y crear en B02 una regla de policy route con origen B02_subnet y destino B01_subnet con Next-Hop el tnel2.
Pg. 220/316
Pg. 221/316
Este es un log de una VPN que se ha creado satisfactoriamente. Podemos ver 6 paquetes que han sido transmitidos y 4 recibidos en negociacin Main Mode Index 15 y 13: Negociacin de parmetros de seguridad Index 11 y 10: Realizando el intercambio de claves Diffie Hellman Index 9 y 8: Uso de Pre-shared Key para autenticacin
Despus de finalizar la negociacin de la fase 1 satisfactoriamente, empieza la negociacin de la fase 2. Index 5 y 4: Solo cuando apliquemos PFS se realizarn ms intercambios de clave,<KE> . Los dos gateways VPN negocian su poltica VPN (campos <ID><ID>) Index 1: El tnel se ha establecido con xito
Pg. 222/316
Pg. 223/316
Pg. 224/316
Pg. 225/316
En el modo full tunnel, se crea una conexin virtual en el PC de los usuarios remotos con un direccionamiento IP privado en la misma subred que la red local. Esto les permite acceder a los recursos de la red de la misma forma que si ellos formaran parte de la red interna.
Pg. 226/316
Nos aparecer una ventana con varios campos de configuracin para esta poltica de acceso va VPN SSL. En el apartado Configuration podemos indicar un nombre para esta regla; y mediante la activacin de Join to SSL_VPN Zone podemos hacer que las reglas asociadas a la zona SSL_VPN se apliquen tambin a nuestra regla; y mediante Clean browser cache when logs out podemos limpiar las cookies, historial, y los archivos temporales de Internet de la cach del usuario logado cuando abandone la sesin SSL VPN. En el apartado User/Group podemos seleccionar los objetos con la informacin de los usuarios o grupos de usuario que harn uso de esta regla.
Pg. 227/316
En el apartado Endpoint Security EPS podemos forzar que los PCs de los usuarios que se vayan a conectar por SSL VPN cumplan con los requisitos de seguridad que indiquemos. En el apartado SSL Application List podemos seleccionar las aplicaciones a las que tendrn acceso los usuarios del SSL VPN mediante objetos. Los objetos posibles seran de tipo File Sharing (FTP), y aplicaciones Web (Web Server, OWA, VNC, RDP, Weblink).
Pg. 228/316
Si queremos configurar el modo Full Tunnel, en el apartado Network Extension habilitaremos la casilla Enable Network Extension y asignaremos un IP Pool. Y en el Network List asignaremos la red interna del ZyWALL como miembro del tnel. De esta forma, cuando el usuario se conecte mediante tnel SSL se le aadir un interfaz de red virtual. Dicha conexin de red virtual tendr una direccin IP comprendida en el rango configurado (en el ejemplo 8.1.1.33 a 8.1.1.50), y tendr acceso a la subred del ZyWALL (en el ejemplo 192.168.1.0).
En la pestaa Global Setting podremos editar los mensajes de bienvenida y salida, as como cambiar el logotipo mostrado en el portal cautivo de la aplicacin SSL VPN.
Pg. 229/316
En el sumario del estado de los interfaces que aparece en el podremos comprobar la direccin IP pblica que tiene el ZyWALL, y as acceder desde el exterior a dicha IP pblica utilizando un navegador web.
12.6.1.2. Acceso desde el Exterior Desde un PC con acceso a Internet verificaremos la direccin IP que tenemos configurada. Para ello abrimos una ventana de smbolo de sistema e introducimos el comando ipconfig. Tenemos que cerciorarnos que nos encontramos en una subred diferente a la interna del ZyWALL (en el ejemplo diferente a 192.168.1.0).
Abrimos un navegador web como puede ser el Intenet Explorer o Mozilla, y escribimos la direccin IP Pblica del ZyWALL. Nos aparecer una ventana indicando que hay un problema con el certificado de seguridad de este sitio web. Pulsaremos sobre la opcin Vaya a este sitio web.
Pg. 230/316
Ahora nos aparecer una ventana solicitando datos de acceso. Escribiremos el nombre de usuario y contrasea miembros de la configuracin SSL creada en el ZyWALL (en este ejemplo nombre de usuario Usuario y contrasea zyxel, y pulsaremos sobre el botn SSL VPN para acceder con este usuario y establecer el tnel SSL.
Si el PC desde donde estamos accediendo no dispone de una versin de Java igual o superior a la 1.4, se nos mostrar la siguiente ventana indicando que descarguemos de Internet e instalemos la versin ms actualizada de Java para poder continuar.
Pg. 231/316
Una vez tengamos instalado Java, tendremos que cerrar el navegador web para que la prxima vez aparezcan los cambios. Al acceder nuevamente, el ZyWALL intentar instalar el cliente SecuExtender, por lo que habra que permitir el control ActiveX en el PC pulsando en la barra amarilla en la parte superior de la ventana que nos aparezca.
Fig. Permitir pop-up para proceder con la instalacin del activeX del ZyWALL SecuExtender
Pg. 232/316
Si permitimos el control ActiveX, nos aparecer una ventana indicando si queremos instalar o no el software ZyWALL SecuExtender. Pulsaremos sobre el botn Install.
Se pedir una confirmacin para ejecutar la aplicacin ssltun. Pulsaremos en el botn Run para proseguir con el proceso de instalacin.
Por ltimo se mostrar un asistente para instalar el cliente SecuExtender en nuestro PC. El software ZyWALL SecuExtender nos crear el interfaz de red virtual en nuestro PC con el que nos conectaremos a la red local del ZyWALL USG.
Pg. 233/316
Si se muestra una ventana como la siguiente, pulse sobre el botn Continue Anyway para finalizar la instalacin del cliente SecuExtender.
Una vez se haya acabado el proceso de carga, podremos ver la ventana de bienvenida. Observamos que en la barra de tareas de Windows ha aparecido una nueva conexin de rea local.
Pg. 234/316
Una vez que pulsemos sobre OK, podremos acceder a las Aplicaciones Web configuradas en la regla del tnel SSL del ZyWALL.
Pg. 235/316
Tambin podremos acceder a las carpetas del FTP configuradas en la regla del tnel SSL del ZyWALL.
Del mismo modo, podemos comprobar que tenemos acceso a la red LAN interna del ZyWALL tras la creacin de la nueva conexin de rea local virtual. En el ejemplo comprobamos las direcciones IP asignadas a nuestro PC, y realizaremos una prueba de conexin contra un PC conectado directamente en la LAN del ZyWALL.
Pg. 236/316
Pg. 237/316
12.6.2. Accediendo a la subred remota de un tnel IPSec VPN a travs de clientes SSL VPN
12.6.2.1. Escenario de Aplicacin El ZyWALL USG est ubicado en la sede Central (HQ). Una delegacin (Branch) ha establecido un tnel IPSec VPN con la sede Central. La subred local de la delegacin se puede comunicar con la red de la sede Central a travs del tnel VPN establecido. Los clientes SSL VPN construirn un tnel SSL VPN full tunnel contra la sede Central para acceder a los recursos locales de la subred de la sede Central. As mismo, los clientes SSL VPN accedern a los recursos locales de la subred de la delegacin mediante la conexin SSL VPN full tunnel a la sede Central, y desde ah va tnel IPSec VPN a la delegacin.
Vamos a asumir el siguiente direccionamiento IP: Sede Central (HQ): WAN: 172.25.27.126 LAN: 192.168.1.0/24 Rango del SSL VPN: 10.0.0.1~10.0.0.10 Delegacin (Branch): WAN: 172.25.27.99 LAN: 192.168.10.0/24
Pg. 238/316
1.1.
El primero lo llamamos ssl_pool (range 10.0.0.1~10.0.0.10), el otro ser la subred de la delegacin, subnet_branch(192.168.10.0/24)
2.) Nos vamos al men Configuration > Object > User/Group, y aadimos una cuenta para el usuario SSL VPN. Por ejemplo test con contrasea 123456.
3.) Nos vamos al men Configuration > VPN > SSL VPN > Access Priviledge, y aadimos una regla SSL VPN.
Habilitamos el Network Extension Full tunnel, y en el apartado Network List hacemos uso del objeto subnet_branch que habamos creado.
Pg. 239/316
4.) Nos vamos al men Configuration > VPN > IPSec VPN > VPN Gateway, y aadimos una regla de Fase1 hacia la delegacin.
Pg. 240/316
Nos vamos al men Configuration > VPN > IPSec VPN > VPN Connection, y aadimos una regla de Fase2 hacia la delegacin. Teniendo en cuenta como poltica local 192.168.1.0, y como poltica remota 192.168.10.0
5.) Nos vamos al men Configuration > Network > Routing > Policy Route, y aadimos una poltica de rutas para enrutar el trfico SSL VPN hacia el tnel IPSec VPN denominado to_branch. Este trfico se corresponde al enviado desde el cliente SSL VPN hacia la subred local de la delegacin.
Source: ssl_pool (10.0.0.1~10.0.0.10) Destination: subnet_branch (192.168.10.0/24) Next Hop: IPSec VPN tunnel to_branch SNAT: none
Pg. 241/316
1.1.2. Configuracin del USG en Branch (delegacin) : 1.) Nos vamos al men Configuration > Object > Address, y aadimos dos objetos de tipo address. Uno ser subnet_HQ (192.168.1.0/24), y el otro ssl_pool (10.0.0.1~10.0.0.10).
2.) Nos vamos al men Configuration > VPN > IPSec VPN > VPN Gateway, y aadimos una regla de Fase1 hacia HQ.
Nos vamos al men Configuration > VPN > IPSec VPN > VPN Connection, y aadimos la regla de Fase2 hacia HQ. Teniendo en cuenta como poltica local 192.168.10.0, y como poltica remota 192.168.1.0
Pg. 242/316
3.) Nos vamos al men Configuration > Network > Routing > Policy Route, y aadimos una policy route para enrutar el trfico SSL VPN (desde la subred local hacia el cliente SSL VPN) de vuelta hacia el tnel IPSec VPN. Source: LAN1_Subnet (192.168.10.0/24) Destination: ssl_pool (10.0.0.1~10.0.0.10) Next Hop: IPSec VPN tunnel to_HQ SNAT: none
Para finalizar la configuracin en los USG HQ y Branch, el usuario puede verificar el resultado. Para ello levantamos el tnel IPSec VPN.
Pg. 243/316
El cliente SSL VPN puede acceder tanto a los recursos de la sede Central (HQ 192.168.1.0/24 y 192.168.2.0/24), como a los recursos de la delegacin (Branch 192.168.10.0/24)
Pg. 244/316
1.2. Basndose en que el ZyWALL de la delegacin es un ZyWALL ZyNOS 1.2.1. Configuracin del USG en HQ :
1.) Nos vamos al men Configuration > Object > Address, y aadimos dos objetos de tipo address.
El primero lo llamamos ssl_pool (range 10.0.0.1~10.0.0.10), el otro ser la subred de la delegacin, subnet_branch(192.168.10.0/24)
2.) Nos vamos al men Configuration > Object > User/Group, y aadimos una cuenta para el usuario SSL VPN. Por ejemplo test con contrasea 123456.
3.) Nos vamos al men Configuration > VPN > SSL VPN > Access Priviledge, y aadimos una regla SSL VPN.
Habilitamos el Network Extension Full tunnel, y en el apartado Network List hacemos uso del objeto subnet_branch que habamos creado.
Pg. 245/316
4.) Nos vamos al men Configuration > VPN > IPSec VPN > VPN Gateway, y aadimos una regla de Fase1 hacia la delegacin.
Pg. 246/316
Nos vamos al men Configuration > VPN > IPSec VPN > VPN Connection, y aadimos dos reglas de Fase2 hacia la delegacin. La primera regla de HQ a Branch, utilizando como Local Policy 192.168.1.0, y como Remote policy 192.168.10.0 La segunda regla desde el cliente ssl vpn hacia Branch, utilizando como Local policy 10.0.0.1 ~10.0.0.10, y como Remote policy 192.168.10.0
Y aadimos dos reglas de Fase2. Una para el trfico desde Branch hacia HQ utilizando como Local policy 192.168.10.0 y Remote policy 192.168.1.0 La otra regla ser para el trfico desde Branch hacia el cliente ssl vpn, utilizando como Local policy 192.168.10.0 y como Remote policy 10.0.0.1~10.0.0.10
Pg. 247/316
2.) Despus de realizar la configuracin anterior tanto en el USG de HQ como en el ZyWALL ZyNOS de Branch, podemos verificar si el cliente SSL VPN tiene acceso a los recursos de estas sedes.
El cliente SSL VPN tendr acceso tanto a los recursos locales del USG HQ (subredes 192.168.1.0/24 y 192.168.2.0/24), y a los recursos locales del ZyWALL ZyNOS (subred 192.168.10.0/24).
Pg. 248/316
Pg. 249/316
Este ejemplo usa las siguientes opciones en la creacin de un tnel bsico L2TP VPN.
El ZyWALL tiene la direccin IP esttica 172.16.1.2 para el interfaz WAN1. El usuario remoto tiene una direccin IP pblica dinmica y se conecta a travs de Internet. Se ha configurado un objeto de tipo address llamado L2TP_POOL para asignar a los usuarios remotos IPs desde la 192.168.10.10 a la 192.168.10.20 y usarlas en el tnel L2TP VPN. La regla VPN permite a los usuarios remotos acceder al LAN_SUBNET que cubre toda la subred 192.168.1.x.
Pg. 250/316
Configure la opcin My Address. Este ejemplo usa el interfaz WAN1 con la direccin IP esttica 172.16.1.2/255.255.255.0 Seleccione Pre-Shared Key y configure una contrasea. En este ejemplo vamos a utilizar la contrasea top-secret. Pulse en OK.
2 Pulsa en el icono Enable de la configuracin Default_L2TP_VPN_GW y pulsa sobre Apply para salvar los cambios.
Pg. 251/316
2 En la seccin VPN Gateway seleccionamos el Application Scenario Remote Access (Server Role). Y seleccionamos del desplegable de VPN Gateway, la regla de VPN Gateway Default_L2TP_VPN_GW. Para el Local Policy, crea un objeto de tipo address que use el tipo host y contenga la direccin IP del interface WAN1 (172.16.1.2), y llamaremos este objeto como L2TP_IFACE.
3 Haz click sobre el icono Enable del Default_L2TP_VPN_Connection y para acabar pulsa sobre Apply para salvar los cambios.
Pg. 252/316
2 Configure los siguientes pasos: Habilite la conexin mediante la casilla Enable L2TP Over IPSec. Seleccione Default_L2TP_VPN_Connection en el VPN Connection. Configure un objeto IP address pool para el rango 192.168.10.10 a 192.168.10.20. En este caso hemos llamado al objeto L2TP_POOL.
Pg. 253/316
En este ejemplo se usa el mtodo de autenticacin por defecto (la base de datos de usuarios locales del ZyWALL). Selecciona el usuario o grupo de usuarios que puedan usar el tnel. En el ejemplo se ha creado una cuenta de usuario denominada L2TP-test. El resto de campos se dejarn con su configuracin por defecto, y pulse en Apply.
2 Configure los siguientes pasos: Habilite el policy route. Seleccione en el Source Address el objeto con la informacin de la red local a la que pueden tener acceso los usuarios remotos (LAN_SUBNET in este ejemplo). Seleccione en el Destination Address el objeto con la informacin del pool que el ZyWALL asignar a los usuarios remotos (L2TP_POOL in este ejemplo). Seleccione como next hop el tnel VPN Default_L2TP_VPN_Connection. Pulse sobre OK.
Pg. 254/316
Pg. 255/316
Pg. 256/316
5 Introducimos la direccin IP remota o nombre DNS, y el nombre que le vamos a dar a nuestra conexin L2TP. As mismo marcamos la ltima casilla para que no se conecte ahora mismo.
6 Introducimos un nombre de usuario y contrasea permitidos en el USG para la conexin L2TP. Y pulsamos en crear, y cerramos la ventana.
Pg. 257/316
7 Desde el Centro de redes y recursos compartidos, pulsamos sobre el botn Conectarse a una red, y pulsamos con el botn derecho sobre la conexin que acabamos de crear y pulsamos en Propiedades.
8 En la pestaa Seguridad, seleccionamos Cifrado opcional (conectar incluso sin cifrado) y marcamos la opcin Permitir estos protocolos. Seleccione Contrasea no cifrada (PAP) y deshabilite el resto de casillas. Pulsamos en Opciones Avanzadas.
Pg. 258/316
9 Seleccionamos Utilizar Llave Pre-Compartida para la Autenticacin, e introducimos la clave ya indicada en el ZyWALL USG.
10 En la pestaa Redes, deseleccionamos la casilla Compartir impresoras y archivos para redes Microsoft, y pulsamos en OK.
Pg. 259/316
11 Para finalizar, volvemos a ejecutar la conexin L2TP e introducimos el nombre de usuario y contrasea para realizar la conexin.
Pg. 260/316
12 Nos aparecer un proceso de autenticacin que finalizar indicando que nos hemos conectado con xito.
13 En el rea de conexin nos aparecer la conexin L2TP junto a la conexin de rea local que ya tenamos.
Pg. 261/316
14 Si consultamos el estado de la conexin L2TP to ZyWALL que tenemos establecida, veremos el direccionamiento IP que hemos obtenido del objeto L2TP_POOL del ZyWALL USG:
15 Acceda al servidor o cualquier otro recurso de la red detrs del ZyWALL para asegurar y confirmar que tu acceso mediante L2TP VPN funciona.
Pg. 262/316
En Windows XP realice los siguientes pasos para establecer la conexin L2TP VPN. 1 Pulse Inicio > Panel de Control > Conexiones de Red > Crear una conexin nueva. 2 Pulse Siguiente en la pantalla de bienvenida. 3 Seleccione Conectarse a la red de mi lugar de trabajo y pulse Siguiente.
Pg. 263/316
Pg. 264/316
6 Introduzca el nombre de dominio o direccin IP de WAN configurada en My Address en la configuracin del gateway VPN que el ZyWALL est utilizando para L2TP VPN(172.16.1.2 en este ejemplo).
7 Pulse en Siguiente. Y le aparecer la ventana de Finalizacin del Asistente para conexin nueva. En dicha ventana puedes crear un acceso directo al escritorio de la conexin creada. Pulse en Finalizar para crear la conexin y cerrar el asistente.
Pg. 265/316
Pg. 266/316
10 Seleccione Cifrado opcional (conectar incluso sin cifrado) y marque la opcin Permitir estos protocolos. Seleccione Contrasea no cifrada (PAP) y deshabilite el resto de casillas. Haga click en OK.
Pg. 267/316
12 Seleccione la casilla Usar clave previamente compartida al autenticar e introduce la misma pre-shared key utilizada en la configuracin VPN gateway que el ZyWALL est utilizando para la L2TP VPN (en nuestro ejemplo top-secret). Haga click en OK.
13 Haga click en Funciones de red. Seleccione Red privada virtual (VPN) con L2TP/ IPSec como el Tipo de red privada virtual (VPN). Haga click en OK.
Pg. 268/316
15 Aparecer una ventana mostrando que se est conectado con el equipo remoto.
Pg. 269/316
17 En la misma ventana tambin aparecer el mensaje de que se est registrando su equipo en la red.
19 Ahora en la bandeja del sistema se mostrar un nuevo icono de conexin de red, el icono L2TP to ZyWALL. Haga doble-click sobre el icono con los dos ordenadores que se ha creado para abrir la pantalla de estado.
20 Pulse en Detalles para ver la direccin IP que ha recibido del rango L2TP que especific en el ZyWALL (192.168.10.10-192.168.10.20).
21 Acceda al servidor o cualquier otro recurso de la red detrs del ZyWALL para asegurar y confirmar que tu acceso mediante L2TP VPN funciona.
Pg. 270/316
Ejemplo: Topologa o L2TP Client---NAT---Internet---ZyWALL o WAN of ZyWALL: ge2(192.168.105.56) o LAN of ZyWALL: ge1(192.168.1.1) o L2TP Address Pool: 192.168.10.10 ~ 192.168.10.20 Objetivo o Establecer una sesin L2TP sobre IPSec o Acceder a los recursos de la LAN o Acceder a Internet
Pg. 271/316
Para un cliente L2TP detrs de NAT, habilite NAT-T en ZyWALL > VPN > IPSec VPN > VPN Gateway > Default_L2TP_VPN_GW.
Para establecer la sesin L2TP necesitamos configurar Local/Remote Policy en ZYWALL > VPN > IPSec VPN > VPN Connection > Default_L2TP_VPN_Connection
Para acceder a un recurso de LAN, cree una regla del Policy Route para poner todo el trfico con destino L2TP_POOL hacia el L2TP VPN Connection correspondiente.
Para acceder a Internet, cree una regla del Policy Route para poner el trfico L2TP del L2TP VPN Connection correspondiente hacia la WAN.
Pg. 272/316
Posteriormente accederemos a la pestaa IM (Instant Messenger) y editamos la configuracin para el servicio msn.
Pg. 273/316
Una vez dentro, habilitaremos el servicio, y pulsaremos sobre aadir una nueva poltica.
En este ejemplo la poltica va a limitar al usuario del PC_ZyXEL en el horario de oficina. Dicho usuario va a tener acceso al Messenger, pero se le han limitado algunas funcionalidades del Messenger (Audio, Video, Transferencia de Ficheros). Si queremos denegar todo acceso al Messenger cambiaramos las opciones de Access por reject.
Pg. 274/316
13.1.2. Edonkey
En la barra de mens lateral pulsamos sobre AppPatrol. En la pestaa General tendremos que habilitar el Application Patrol, y para este ejemplo habilitaremos el control de Ancho de Banda. Desde esta ventana tambin podemos ver el estado de la licencia y la informacin de las firmas.
Pg. 275/316
Posteriormente accederemos a la pestaa Peer to Peer y editamos la configuracin para el servicio edonkey.
Una vez dentro, habilitaremos el servicio, y pulsaremos sobre aadir una nueva poltica.
En este ejemplo la poltica va a limitar al usuario del PC_ZyXEL en el horario de oficina. A dicho usuario se le va a permitir el acceso al edonkey, aunque se le va a aplicar un control del ancho de banda. Si queremos denegar todo acceso al edonkey cambiaramos las opciones de Access por reject.
Pg. 276/316
13.2. Anti-Virus
En la barra de mens lateral pulsamos sobre Anti-X, y a continuacin sobre Anti-Virus. En la pestaa General tendremos que habilitar el Anti-Virus, y aadiremos una nueva Poltica de configuracin. Desde esta ventana tambin podemos ver el estado de la licencia y la informacin de las firmas.
Pg. 277/316
Una vez que aadamos una poltica, tendremos que rellenar un formulario con la configuracin de la misma. Dicha configuracin constara de habilitar la casilla de Activacin, seleccionar los interfaces de origen y destino, los protocolos a escanear, qu acciones tomar cuando se detecta un virus. Si queremos habilitar o no la lista blanca y negra. Y si queremos que verifique los virus en los ficheros comprimidos.
En la pestaa Black/White List podemos aadir unos patrones de ficheros para indicarle al Anti-Virus que los filtre o que no los filtre. En este ejemplo hemos creado en la White List el patrn de fichero Zy*.* para que todos los ficheros que empiecen por las letras Zy no sean filtrados por el Anti-Virus.
Pg. 278/316
13.3. IDP
En la barra de mens lateral nos desplazamos a Configuration > Anti-X > IDP. En la pestaa General tendremos que habilitar la deteccin de firmas, y aadiremos una nueva Poltica de configuracin o editaremos una existente. Desde esta ventana tambin podemos ver el estado de la licencia y la informacin de las firmas.
En la pestaa Profiles podemos crear perfiles que se aadirn sobre las polticas de la pestaa General. Vamos a editar el perfil LAN_IDP.
Pg. 279/316
Dentro de la configuracin del perfil le daremos un nombre a este perfil, y podremos configurar una a una las acciones a tomar para cada uno de los Servicios que aparecen. As como hacer que se generen alertas o no en el Log para luego visualizarlas.
Tambin podemos aadir una firma personalizada para un servicio propietario que queramos limitar, e importar firmas personalizadas. Vamos a aadir una regla para nuestro servicio personalizado desde la pestaa Custom Signatures:
Pg. 280/316
13.4. ADP
En la barra de mens lateral pulsamos sobre Configuration > Anti-X > ADP. En la pestaa General tendremos que habilitar la deteccin de anomalas, y aadiremos una nueva Poltica de configuracin o editaremos una existente. Las Polticas estn referenciadas a interfaces origen y destino, y sobre un perfil de anomala.
Nos vamos a la pestaa Profile y aadimos o editamos un perfil. Al aadir el perfil nos aparecer una ventana de seleccin de la base del perfil ADP. Si seleccionamos all, las anomalas de trfico y protocolo se activan por defecto y generan logs alert y las acciones a tomar. Sino seleccionaremos none.
Pg. 281/316
Configuraremos las opciones disponibles en cuanto a los Log y las Acciones a llevar cuando se de el caso para las Anomalas de Trfico y las de Protocolo.
Pg. 282/316
Una vez creado el Perfil Personalizado, desde la pestaa General seleccionaremos la poltica a configurar y seleccionaremos el perfil personalizado que acabamos de crear:
Pg. 283/316
En la pestaa Filter Profile crearemos nuestro perfil de filtrados web pulsando en el botn Add.
Pg. 284/316
La configuracin de este filtro se basa en dos partes: por Categoras o Personalizado. En la configuracin por Categoras disponemos de ms de 55 categoras de pginas web a las que podemos limitar el acceso. Del mismo modo tenemos que seleccionar la accin a tomar cuando se de una coincidencia, y si queremos que quede registrado en los logs.
En la parte inferior podremos hacer un test de una URL para ver si est permitido su acceso o por el contrario est bloqueado.
Pg. 285/316
En la pestaa Custom Service, tras habilitar el servicio, podremos restringir algunas caractersticas Web, as como introducir Websites de confianza, y Websites a bloquear. La opcin Blocked URL Keywords nos bloquear todas las Websites cuya URL coincida con alguna de las palabras introducidas.
En la pestaa General de la configuracin del Filtrado de Contenidos, podremos crear un perfil aadiendo la configuracin de las reglas de filtrado que acabamos de crear:
Pg. 286/316
Por lo que la poltica creada quedara de la siguiente forma descrita en la pestaa General del Filtrado de Contenidos:
En el men Monitor > Anti-X Statistics > Content Filter, podemos encontrar informacin y estadsticas de los accesos a las pginas Web, y el tratamiento que se ha aplicado en funcin del tipo de categora bloqueada, y listas de accesos personalizadas.
Pg. 287/316
13.6. Anti-Spam
En la barra de mens lateral pulsamos sobre Configuration > Anti-X > AntiSpam. En la pestaa General tendremos que habilitar el Anti-Spam, seleccionar la accin a tomar cuando se detecte correo de SPAM. Y posteriormente aadir o editar una poltica de configuracin. La recomendacin es la de dejar el correo pasar.
Si aadimos una poltica nos encontraremos con un formulario que nos solicita los protocolos a escanear, as como opciones de chequeo, direccin de los correos a nivel interfaz, y las acciones a llevar a cabo cuando se detecte el Spam.
Pg. 288/316
En la pestaa Black/White List podemos crear una serie de reglas, a bloquear o permitir por el Anti-Spam en funcin de nombres de la cabecera o IP y aadirles una etiqueta para cuando lo recibamos en nuestra bandeja de entrada de correo.
En la pestaa DNSBL podremos habilitar un servidor externo con perfiles AntiSpam para que filtre nuestros correos y les aada las cabeceras que configuremos. Este servicio puede ser en base a licencia o gratuitos como zen.spamhaus.org, list.dsbl.org o combined.njabl.org
As mismo, desde el men Monitor > Anti-X Statistics > Anti-Spam, puede encontrar en la pestaa Report estadsticas sobre la utilizacin del servicio Anti-Spam, y en la pestaa Status estadsticas sobre las actuaciones de los servidores DNSBL.
Pg. 289/316
Pg. 290/316
14. Device HA
Con la funcin Device HA lograremos que el ZyWALL(B) Backup tome el control cuando el ZyWALL(A) Master falle. Un switch Ethernet conecta ambos interfaces lan1 de los ZyWALL a la LAN. Sea cual sea el ZyWALL que est funcionando como master, utiliza la direccin IP del gateway por defecto de los Ordenadores de la LAN (192.168.1.1) para el interfaz lan1 y la direccin IP pblica esttica (1.1.1.1) para el interfaz wan1. Si el ZyWALL A se recupera (tiene los interfaces lan1 y wan1 conectados), asumir el rol de master y se encargar de todas sus funciones de otra vez.
Cada interface ge1 del ZyWALL tambin posee su propia IP de mantenimiento. La direccin IP de mantenimiento en el ZyWALL A es 192.168.1.3 y en el ZyWALL B es 192.168.1.5.
Pg. 291/316
3. Configure el Device Role en Master. Este ejemplo est enfocado en la conexin de la LAN (lan1) a Internet a travs del interfaz wan1, por lo tanto vamos a monitorizar los interfaces lan1 y wan1. Introduce el Password de sincronizacin (mySyncPassword en este ejemplo) y pulse sobre el botn Apply.
Pg. 292/316
3. Configure 192.168.1.5 como la Management IP y 255.255.255.0 como la Manage IP subnet Mask. Pulse sobre OK.
Pg. 293/316
4. Configure el Device Role como Backup. Monitorice los interfaces lan1 y wan1. Configure como Server Address la direccin 192.168.1.1, el Server Port a 21, y con el Password mySyncPassword. Marque la casilla Auto Synchronize y configure el Interval a 60. Pulse sobre Apply.
Pg. 294/316
Enhorabuena! Ahora que ha configurado el device HA para la LAN, puede utilizar el mismo procedimiento para cualquier otra red local de su ZyWALL. Por ejemplo, puede habilitar el device HA monitoring sobre los interfaces DMZ y usar un switch Ethernet para conectar ambos interfaces DMZ de los ZyWALL para publicar los servidores disponibles. Escoja el interfaz dmz1 y mapalo a la direccin IP privada 192.168.3.7 del servidor HTTP.
Pg. 295/316
2. Crea un objeto de tipo address llamado wan2_HTTP para la direccin IP pblica wan2 1.1.1.2.
Pg. 296/316
El trfico HTTP y el servidor HTTP en este ejemplo usan el puerto TCP 80. Por lo que hay que configurar el Port Mapping Type a Port, y el Protocol Type a TCP, y el original port y mapped port a 80. En este ejemplo 1.1.1.2 no es la direccin IP por defecto para las sesiones a travs de wan2. Seleccione Add corresponding Policy Route rule for NAT 1:1 mapping para enviar las sesiones salientes del servidor HTTP a travs de wan2 y usar 1.1.1.2 como la direccin IP de origen (para que coincida con la direccin IP para acceder a l).
Seleccione Add corresponding Policy Route rule for NAT Loopback para permitir a los usuarios locales usar el nombre de dominio para acceder al servidor HTTP.
El firewall permite el trfico desde la zona WAN a la zona DMZ por defecto, por lo que la configuracin est finalizada. Ahora se puede acceder al servidor HTTP a travs de la direccin IP 1.1.1.2. Si el nombre de dominio est registrado para la direccin IP 1.1.1.2, los usuarios pueden acceder al servidor web a travs del nombre de dominio.
Pg. 297/316
15. Mantenimiento
15.1. Fichero de Configuracin
Esta es la primera pestaa de configuracin dentro del men Maintenance. El dispositivo ZyWALL USG tiene la capacidad de almacenar ficheros de configuracin en una pequea memoria interna. Desde esta opcin podemos manejar los ficheros de configuracin. Es decir, podemos descargar ficheros de configuracin a un PC, copiarlos dentro de la memoria interna, renombrarlos, eliminarlos, ejecutar una configuracin, y cargar ficheros desde un PC a la memoria interna del ZyWALL.
Si no existe ningn startup-config.conf cuando reinicias el ZyWALL (ya sea a travs del interfaz de mantenimiento o fsicamente apagando el equipo y volvindolo a encender), el ZyWALL utiliza la configuracin del fichero systemdefault.conf con la configuracin del ZyWALL por defecto. Si existe el fichero startup-config.conf, el ZyWALL lo chequea por si tuviera errores y aplica la configuracin que tenga cargada. Si no existen errores, el ZyWALL lo utiliza y realiza una copia en el fichero lastgood.conf como backup. Si se ha detectado algn error de configuracin, el ZyWALL genera un log y realiza una copia en el fichero startup-config-bad.conf e intenta cargar el fichero de configuracin lastgood.conf. Si no existiera el fichero lastgood.conf, el ZyWALL aplicara el fichero de configuracin system-default.conf Se puede cambiar la forma en que el fichero startup-config.conf se aplica. Aadiendo el comando setenv-startup stop-on-error off , el ZyWALL ignora cualquier error que se produzca en el fichero startup-config.conf y aplica todos los comandos vlidos que tenga. El ZyWALL de todas formas generar un log con todos los errores.
Pg. 298/316
15.2. Firmware
En este men podremos visualizar la versin actual de firmware cargada en el ZyWALL, as como cargar una nueva versin de firmware en formato .BIN desde un PC.
Despus de ver la pantalla con el proceso de carga de firmware, espere unos dos minutos antes de volver a loguearse en el ZyWALL.
El ZyWALL automticamente se reiniciar causando una desconexin del cable de red temporal. En algunos sistemas operativos puedes ver una el siguiente icono en tu escritorio.
Despus de unos cinco minutos, vuelve a loguearte y chequea la nueva versin de firmware en la pantalla HOME. Si la carga no se ha completado con xito, el mensaje siguiente se mostrar en la parte de abajo de la barra de estado.
Pg. 299/316
Pg. 300/316
Desconectando la alimentacin
Antes de proceder a desconectar de la alimentacin el ZyWALL se debe de utilizar el comando de CLI shutdown, o en el interface WebGUI desde el men Maintenance > Shutdown y posteriormente apagar el equipo. Cuando aplicas los ficheros de alimentacin o Shell scripts, el ZyWALL no para o inicia los procesos del sistema. Sin embargo, puedes perder acceso a los recursos de la red temporalmente mientras el ZyWALL est aplicando estos ficheros.
Pg. 301/316
Pg. 302/316
Para configurar un destinatario de email para recibir los logs de sistema seleccionamos una de las dos reglas de System Log, y pulsamos sobre Edit. Tendremos que indicar el nombre del servidor email, as como el remitente y el destinatario de los logs, y de las alertas, la frecuencia de envo, y opciones del servidor de correo saliente:
Pg. 303/316
La pantalla Active Log Summary proporciona un resumen de todas las configuraciones realizadas para cada uno de los destinatarios:
En la parte superior podemos seleccionar que se marquen las casillas de una columna especfica, o seleccionar una a una las casillas para que se recopilen los datos a mostrar en los logs.
Pg. 304/316
Existen 4 acciones a seleccionar para las diferentes Categoras de Log, las cuales aclaramos en la siguiente leyenda: ICONO SIGNIFICADO No se recopilar informacin de la categora seleccionada en los logs. Se recopilar informacin de la categora seleccionada en los logs. Se recopilar informacin de la categora seleccionada, e informacin de debug en los logs Se enviar por mail las alertas pertenecientes a la categora seleccionada.
Fig. Leyenda de las opciones del Active Log Summary
Para Visualizar los logs recopilados por el equipo nos dirigimos al men Monitor > Log.
Podemos seleccionar qu categoras mostrar, as como aplicar filtros ms especficos para hallar registros de logs ya ocurridos:
Pg. 305/316
15.6. Diagnsticos
La pantalla de Diagnstico proporciona una forma sencilla para que pueda generar un archivo que contiene la configuracin del ZyWALL y la informacin de diagnstico. Puede que sea necesario generar este archivo y enviarlo al soporte tcnico durante la solucin de problemas. Pulse sobre Maintenance > Diagnostics para abrir la pantalla de Diagnsticos.
Si pulsamos sobre el botn Collect Now, se empezar a recopilar la informacin de los diagnsticos. Este proceso puede durar unos 6 minutos.
Una vez finalizada la recoleccin, podemos descargar el fichero a nuestro PC pulsando sobre el botn Download.
Pg. 306/316
Si pulsamos sobre el botn Stop dejaremos de capturar paquetes en el fichero de captura. Para descargarnos el fichero resultante a nuestro PC para posteriormente analizarlo, nos iremos a la pestaa Files, seleccionaremos el fichero y pulsaremos en download.
Pg. 307/316
Pg. 308/316
4- Introduzca el comando atuk para iniciar el proceso de recuperacin. Si en la pantalla aparece ERROR , introduzca el comando atur para iniciar el proceso de recuperacin. 5- Solamente necesita usar el comando atuk o atur si el fichero de imagen est daado.
6- Pulse la tecla Y, y espere hasta que aparezca el mensaje Starting XMODEM upload. A continuacin active la carga de ficheros por XMODEM en tu terminal . Y comienza a subir el fichero.
7- Este es un ejemplo de la configuracin para la carga de ficheros por Xmoden utilizando el HyperTerminal de Windows. Haz click en Transfer, y pulsa sobre Send File para visualizar la siguiente pantalla:
Pg. 309/316
Pg. 310/316
7- Despus de que la carga se complete, los mensajes Firmware received o ZLD-current received se visualizarn en pantalla. Espere de 3 a 5 minutos mientras el ZyWALL restaura el firmware.
8- Cuando la restauracin del firmware se complete, en la ventana de la conexin de consola se mostrar el mensaje done. Y el ZyWALL se reiniciar automticamente.
Pg. 311/316
9- El prompt que aparece solicitando el nombre de usuario username se mostrar despus de que el ZyWALL se inicie correctamente. El proceso de restauracin del firmware se ha completado con xito y el ZyWALL ya est listo para usarlo.
Pg. 312/316
Estos datos los tendrn que proporcionar los usuarios a la hora de emitir una solicitud de tramitacin de garanta del equipo. De esa forma desde el Soporte Tcnico de ZyXEL podrn comprobar si este dispositivo pertenece al mbito regional de Espaa, y realizar el procedimiento de aceptacin de RMA.
Pg. 313/316
Fig. Esquema a modo de ejemplo de los dispositivos que forman la Topologa de Red
Pg. 314/316
Pg. 315/316
Pg. 316/316
Acceso a interfaces WebGUI de configuracin de varios dispositivos ZyXEL en donde podr desplazarse por los diferentes mens de configuracin como si estuviese conectado al propio equipo. Acceso a ejemplos de configuracin en castellano de algunas funcionalidades como VPN, NAT, configuracin WAN, de algunos dispositivos ZyXEL. Acceso a ZyXEL Green donde se indica la poltica ecolgica de ZyXEL.
17.3.2. Premios
En este apartado encontrar un enlace a diversos premios obtenidos por diferentes revistas y medios de divulgacin de productos tecnolgicos.
17.4.2. Noticias
-
En este apartado encontrar enlaces a diversas noticias aparecidas en varios medios relacionadas con productos ZyXEL.