Security

Formacin Tcnica Seguridad:
Seguridad en Red ZyWALL USG (ZLD v2.20)
Pg. 1/316
NDICE: 1. INTRODUCCIN A LA FAMILIA ZYWALL .............................................................................................. 5 2. ACCESO AL EQUIPO .......................................................................................................................... 15 2.1. ACCESO MEDIANTE PUERTO DE CONSOLA ................................................................................................. 15 2.2. ACCESO MEDIANTE CLIENTE SSH ............................................................................................................. 16 2.3. ACCESO MEDIANTE TELNET .................................................................................................................. 16 2.4. ACCESO MEDIANTE NAVEGADOR WEB .................................................................................................... 17 2.4.1 Barra de Ttulos ........................................................................................................................ 19
2.4.1.1 Mensajes de aviso ............................................................................................................................ 19 2.4.1.2 Site Map ........................................................................................................................................... 20 2.4.1.3 Referencia a Objetos ........................................................................................................................ 20 2.4.1.4 Mensajes CLI..................................................................................................................................... 21
2.4.2 Panel de Navegacin................................................................................................................ 21 2.4.3 Ventana Principal ..................................................................................................................... 22 2.4.4 Tablas y Listas .......................................................................................................................... 22
2.4.4.1 Manipulacin de Tablas.................................................................................................................... 23 2.4.4.2 Trabajando con las Entradas de las Tablas ...................................................................................... 24 2.4.4.3 Trabajando con Listas ....................................................................................................................... 25
3. ASISTENTE DE CONFIGURACIN E INSTALACIN.............................................................................. 25 3.1 PANTALLAS DEL ASISTENTE DE CONFIGURACIN E INSTALACIN ..................................................................... 25 3.1.1 Configuracin del Acceso a Internet Interfaz WAN ............................................................... 26 3.1.2. Acceso Internet: Ethernet........................................................................................................ 26 3.1.3. Acceso Internet: PPPoE ........................................................................................................... 27 3.1.4. Acceso Internet: PPTP ............................................................................................................. 27 3.1.5. Parmetros del ISP .................................................................................................................. 28 4. REGISTRO DEL DISPOSITIVO ............................................................................................................ 30 4.1. REGISTRO EN MYZYXEL.COM ................................................................................................................. 30 4.2. ACTIVACIN DE SERVICIOS EN MODO TRIAL ............................................................................................... 31 4.3. ACTIVACIN DE SERVICIOS POR MEDIO DE LICENCIA .................................................................................... 32 4.4. UPDATES ............................................................................................................................................ 34 5. CONFIGURACIN RPIDA ................................................................................................................ 35 6. CONFIGURACIN: ASPECTOS BSICOS ............................................................................................. 45 6.1 CONFIGURACIN BASADA EN OBJETOS ...................................................................................................... 45 6.2 INTERFACES, ZONAS Y PUERTOS FSICOS .................................................................................................... 46 6.2.1 Interfaces ................................................................................................................................. 46 6.2.2 Zonas ........................................................................................................................................ 46 6.3. CONFIGURACIN DE INTERFACES ETHERNET, PORT ROLES Y ZONAS. .............................................................. 51 6.3.1. Configurar un Interface WAN Ethernet ................................................................................... 52 6.3.2. Configuracin de Interfaces PPP ............................................................................................. 53 6.3.3. Configurar el interfaz OPT como una red local ....................................................................... 55 6.3.4. Configurar el interfaz OPT como una red externa WAN ......................................................... 56 6.3.5. Configuracin 3G .................................................................................................................... 57 6.3.6. Configurar Port Roles .............................................................................................................. 61 6.3.7. Configurar Zonas ..................................................................................................................... 62 6.4 TERMINOLOGA DEL ZYWALL ................................................................................................................. 63 6.5 FLUJO DE PAQUETES .............................................................................................................................. 64 6.5.1 Mejoras en el Flujo de Paquetes del ZLD 2.20 .......................................................................... 64 6.5.2 Mejoras en el Flujo de comprobacin de la Tabla de Enrutamiento ........................................ 65 6.5.3 Flujo de Comprobacin de la Tabla NAT .................................................................................. 65 6.6. REVISIN CONFIGURACIN DE PRESTACIONES ........................................................................................... 66 6.7 SISTEMA.............................................................................................................................................. 67

Pg. 2/316 6.7.1 DNS, WWW, SSH, Telnet, FTP, SNMP, Dial-in Mgmt, Vantage CNM ....................................... 67 6.7.2 Logs e Informes ........................................................................................................................ 67 6.7.3 Gestor de Ficheros .................................................................................................................... 67 6.7.4 Diagnsticos ............................................................................................................................. 67 6.7.5 Apagado ................................................................................................................................... 68 6.8. CAMBIAR LA CONTRASEA POR DEFECTO ................................................................................................. 68 6.9. TEMPORIZADOR DE DESCONEXIN AUTOMTICA DE SESIN ........................................................................ 69 6.10. IP/MAC BINDING ............................................................................................................................. 69 6.11. CONFIGURACIN DNS ........................................................................................................................ 72 6.12. CONFIGURACIN DDNS ..................................................................................................................... 73 6.13. APLICACIONES DE VOIP CON USG......................................................................................................... 75 6.13.1. Lista de Dispositivos VoIP Soportados................................................................................... 75 6.13.2. Escenario VoIP en NAT .......................................................................................................... 76 6.13.3. Servidor SIP en Internet ......................................................................................................... 76
6.13.3.1. Escenario de Aplicacin ................................................................................................................. 76 6.13.3.2. Pasos de Configuracin ................................................................................................................. 77
6.13.4. Servidor SIP en la Red Local................................................................................................... 77

6.13.5. Escenario VoIP en VPN .......................................................................................................... 79

7. CONFIGURACIN DEL FIREWALL ...................................................................................................... 92 7.1. EJEMPLO DE CONFIGURACIN DE REGLAS DE FIREWALL................................................................................ 95 8. CONFIGURACIN DEL BALANCEO DE CARGA (TRUNKS) ................................................................... 99 8.1. LEAST LOAD FIRST .............................................................................................................................. 101 8.2. WEIGHTED ROUND ROBIN ................................................................................................................... 102 8.3. SPILLOVER ........................................................................................................................................ 103 9. GESTIN DEL ANCHO DE BANDA .................................................................................................... 105 9.1. DESDE EL POLICY ROUTE ..................................................................................................................... 105 9.2. DESDE EL APPLICATION PATROL ............................................................................................................ 107 9.2.1 EJEMPLO DE APLICACIN GESTIN DE ANCHO DE BANDA EN APPLICATION PATROL ...................................... 111 10. NAT .............................................................................................................................................. 118 10.1. CONFIGURACIN DEL SERVIDOR VIRTUAL ............................................................................................. 118 10.1.1. Escenario de Red ................................................................................................................. 118 10.1.2. Pasos de Configuracin ....................................................................................................... 118 10.2. CONFIGURACIN DE NAT UNO A UNO ................................................................................................ 121 10.2.1. Escenario de Red ................................................................................................................. 121 10.2.2. Pasos de Configuracin ....................................................................................................... 121 10.3. CONFIGURACIN NAT VARIOS UNO A UNO .......................................................................................... 123 10.3.1. Escenario de Aplicacin ....................................................................................................... 123 10.3.2. Pasos de Configuracin ....................................................................................................... 124 10.4. LOOPBACK NAT .............................................................................................................................. 125 10.4.1. Escenario de Red ................................................................................................................. 126 10.4.2. Pasos de Configuracin ....................................................................................................... 126 10.5. NAT CON PROXY ARP ...................................................................................................................... 127 10.5.1. Escenario de Aplicacin ....................................................................................................... 128 10.5.2. Pasos de Configuracin ....................................................................................................... 129 10.6. RUTA DE POLICA VS. RUTA DIRECTA.................................................................................................... 131 10.7. ENRUTAMIENTO PARA IPSEC VPN ...................................................................................................... 132 10.7.1. Escenario de Aplicacin ....................................................................................................... 133 10.7.2. Pasos de Configuracin ....................................................................................................... 133

Pg. 3/316 10.8. ENLACE NAT UNO A UNO EN CASO DE FAIL OVER.................................................................................. 135 10.8.1. Escenario de red .................................................................................................................. 135 10.8.2. Pasos de Configuracin ....................................................................................................... 135 11. SEGURIDAD EN EL EXTREMO REMOTO (EPS) ................................................................................ 139 11.1. INTRODUCCIN A LA SEGURIDAD EN EL EXTREMO REMOTO (EPS) ............................................................. 139 11.2. EPS ---- WEBGUI ........................................................................................................................... 139 11.3. EPS --- CLI..................................................................................................................................... 144 11.4. NOTA DE APLICACIN EPS ................................................................................................................ 145 11.4.1. Despliegue de EPS en aplicaciones User Aware .................................................................. 145 11.4.2. Escenario de Aplicacin ....................................................................................................... 145 11.4.3. Pasos de configuracin ....................................................................................................... 146 11.4.4. Verificacin de Escenario .................................................................................................... 150 11.5. DESPLIEGUE DE EPS EN VPN SSL ....................................................................................................... 152 11.5.1. Escenario de Aplicacin ....................................................................................................... 152 11.5.2. Pasos de configuracin ....................................................................................................... 153 11.5.3. Verificacin de Escenario .................................................................................................... 155 11.6. DESPLIEGUE DE AAA Y EPS EN VPN SSL ............................................................................................. 157 11.6.1. Escenario de Aplicacin ....................................................................................................... 157 11.6.2. Pasos de configuracin ....................................................................................................... 158 11.6.3. Verificacin de Escenario .................................................................................................... 174 12. CREACIN DE VPN........................................................................................................................ 177 12.1. IPSEC VPN..................................................................................................................................... 177 12.1.1. Router Remoto .................................................................................................................... 178 12.1.2. Router Local ........................................................................................................................ 182 12.1.3. ZyWALL Remoto .................................................................................................................. 185 12.1.4. ZyWALL Local ...................................................................................................................... 193 12.2. VPN ENTRE UN ZLD 2.20 Y UN CLIENTE IPSEC VPN: ............................................................................. 199 12.2.1. Condiciones Previas:............................................................................................................ 199 12.2.2. Configuracin en el ZyWALL ZLD 2.20: ................................................................................ 200 12.2.3. Configuracin en el Cliente IPSec VPN: ............................................................................... 205 12.3. VPN INBOUND & OUTBOUND TRAFFIC ................................................................................................ 210 12.3.1. Direccin Origen en paquetes Outbound (Outbound Traffic, Source NAT) ......................... 210 12.4. VPN CONCENTRATOR....................................................................................................................... 212 12.4.1. Topologa de la Red............................................................................................................. 212 12.4.2. Configuracin en la delegacin B01 .................................................................................... 213 12.4.3. Configuracin en la delegacin B02 .................................................................................... 215 12.4.4. Configuracin en la sede central HQ ................................................................................... 217 12.4.5. VPN Concentrator en la sede central HQ ............................................................................ 220 12.5. LOGS IKE ...................................................................................................................................... 221 12.5.1. Tnel Abierto sin problemas ............................................................................................... 221 12.5.2. Pre-Shared Key Diferente .................................................................................................... 222 12.5.3. Identificador FQDN Diferente.............................................................................................. 223 12.5.4. Desajuste Fase 1.................................................................................................................. 223 12.5.5. Desajuste Fase 2 (Autenticacin / Encriptacin) ................................................................. 224 12.5.6. Desajuste Fase 2 (Direccionamiento IP) .............................................................................. 224 12.6. SSL VPN ....................................................................................................................................... 225 12.6.1. Creacin de Tnel SSL.......................................................................................................... 226
12.6.1.1. Configuracin en el ZyWALL ........................................................................................................ 226 12.6.1.2. Acceso desde el Exterior.............................................................................................................. 229
12.6.2. Accediendo a la subred remota de un tnel IPSec VPN a travs de clientes SSL VPN ......... 237 12.7. L2TP VPN ..................................................................................................................................... 249 12.7.1. Configurando el Default L2TP VPN Gateway ...................................................................... 250 12.7.2. Configurando el Default L2TP VPN Connection ................................................................... 251 12.7.3. Configurando las opciones del L2TP VPN ............................................................................ 252

Pg. 4/316 12.7.4. Configurando la Policy Route para L2TP ............................................................................. 253 12.7.5. Configurando L2TP VPN en Windows 7............................................................................... 254 12.7.6. Configurando L2TP VPN en Windows XP ............................................................................ 262 12.7.7. Resolucin de problemas en tneles L2TP .......................................................................... 270 13. FUNCIONALIDAD UTM ................................................................................................................. 272 13.1. APPLICATION PATROL ....................................................................................................................... 272 13.1.1. MSN Messenger .................................................................................................................. 272 13.1.2. Edonkey ............................................................................................................................... 274 13.2. ANTI-VIRUS .................................................................................................................................... 276 13.3. IDP ............................................................................................................................................... 278 13.4. ADP ............................................................................................................................................. 280 13.5. FILTRADO DE CONTENIDOS ................................................................................................................ 283 13.6. ANTI-SPAM .................................................................................................................................... 287 14. DEVICE HA .................................................................................................................................... 290 14.1. ANTES DE EMPEZAR.......................................................................................................................... 290 14.2. CONFIGURAR DEVICE HA EN EL ZYWALL MASTER ................................................................................. 291 14.3. CONFIGURAR DEVICE HA EN EL ZYWALL BACKUP ................................................................................. 292 14.4. HACER USO DEL ZYWALL BACKUP ...................................................................................................... 294 14.5. VERIFICAR LA CONFIGURACIN DEL DEVICE HA ..................................................................................... 294 14.6. CREAR LOS OBJETOS DE TIPO ADDRESS ............................................................................................. 295 14.7. CONFIGURAR UN VIRTUAL SERVER ...................................................................................................... 295 15. MANTENIMIENTO ........................................................................................................................ 297 15.1. FICHERO DE CONFIGURACIN ............................................................................................................. 297 15.2. FIRMWARE ..................................................................................................................................... 298 15.3. SHELL SCRIPT .................................................................................................................................. 299 15.4. INICIANDO Y APAGANDO EL ZYWALL .................................................................................................. 300 15.5. LOGS Y REPORTS .............................................................................................................................. 301 15.5.1. Email Daily Report ............................................................................................................... 301 15.5.2. Log & Report ....................................................................................................................... 302 15.6. DIAGNSTICOS ................................................................................................................................ 305 15.7. CAPTURA DE PAQUETES (PACKET CAPTURE) .......................................................................................... 306 16. RESOLUCIN DE AVERAS............................................................................................................. 307 16.1. PROCEDIMIENTO DE RESTAURACIN DEL FICHERO IMAGEN ...................................................................... 307 16.2. PROCEDIMIENTO DE RESTAURACIN DEL FICHERO DE FIRMWARE ............................................................... 309 16.3. VERSIN DE FIRMWARE CARGADA EN SU ZYWALL ................................................................................. 312 16.4. FICHERO DE DIAGNSTICOS ............................................................................................................... 312 16.5. INDICAR CON DETALLE LA INCIDENCIA ENCONTRADA ................................................................................ 313 16.6. DESCRIBIR LA TOPOLOGA DE SU RED ................................................................................................... 313 17. UN VISTAZO POR LA WEB DE ZYXEL ESPAA ................................................................................ 314 17.1. BARRA SUPERIOR Y BANNER PRINCIPAL ................................................................................................ 315 17.2. COLUMNA IZQUIERDA ....................................................................................................................... 315 17.3. COLUMNA CENTRAL ......................................................................................................................... 315 17.3.1. Documentacin y Notas Tcnicas ....................................................................................... 315 17.3.2. Premios ............................................................................................................................... 316 17.4. COLUMNA DERECHA......................................................................................................................... 316 17.4.1. Nuevos Productos ............................................................................................................... 316 17.4.2. Noticias ............................................................................................................................... 316 17.5. BARRA INFERIOR .............................................................................................................................. 316

Pg. 5/316
1. Introduccin a la Familia ZyWALL

Evolucin de la familia de producto ZyWALL USG
Fig. Grfica de Equivalencias ZyWALL
En la parte de la izquierda de la grfica encontramos los equipos de la familia ZyWALL actualmente en el mercado. Dichos dispositivos estn siendo sustituidos por la nueva familia ZyWALL USG, tal y como aparece a la derecha de la pirmide.
A la hora de adquirir estos dispositivos nos tenemos que basar especialmente en el nmero de usuarios que vamos a dar cabida, as como el nmero mximo de puertos WAN y tneles VPN.
Este manual est enfocado sobre la familia ZyWALL USG. La cul integra potentes tecnologas: Tecnologa de Antivirus de ZyXEL Tecnologa de Antivirus de KasperSky Tecnologas IPSec, Antivirus y Firewall certificadas por ICSA Labs Tecnologa de Filtrado de Contenidos de BlueCoat

Pg. 6/316
En la siguiente tabla podemos encontrar las diferencias ms significativas entre los diferentes modelos de dispositivos ZyWALL USG:
USG 20/20W CPU Flash/DRAM SecuASIC
Firewall: 100M VPN: 30M UTM: N/A Session: 6k Session rate: 1k Gigabit Eth 1*WAN, 4*LAN/DMZ 5 2 1 1 No No Firewall: 100M VPN: 50M UTM: 15M Session: 10k Session rate: 1k Gigabit Eth 2*WAN, 4*LAN/DMZ 10 5 5 2 No No
USG 50
USG 100
Freescale 8343E 255M/256M CIP1001 * 1
USG 200
Freescale 8343E 256M/256M CIP1001 * 1 Firewall: 150M VPN: 75M UTM: 24M Session: 40k Session rate: 1.4k Gigabit Eth 2*WAN, 1*OPT, 4*LAN/DMZ 50 100 2 -> 10 2 1 (Cardbus) No
USG 300
Freescale 8349E 256M/256M CIP1001 * 2
USG 1000
Pentium M 1.8G 256M/1G CIP2001 * 1 Firewall: 350M VPN: 150M UTM: 100M Session: 200k Session rate: 13k Gigabit Eth 5 Configurable 300 1000 5 -> 50 -> 250 2 1 (Cardbus) No
USG 2000
Intel E6400 256M/2G CIP3001 * 1 Firewall: 2G VPN: 500M UTM: 400M Session: 1kk Session rate: 20k Gigabit Eth 6 Configurable 2 SFP (combo) 1000 2000 5 -> 200 -> 750 2 1 (Cardbus) S
Rendimiento del Sistema
Firewall: 100M VPN: 60M UTM: 24M Session: 20k Session rate: 1k Gigabit Eth 2*WAN, 5*LAN/DMZ 25 50 2 -> 5 2 1 (Cardbus) No
Firewall: 200M VPN: 100M UTM: 48M Session: 60k Session rate: 2k Gigabit Eth 7 Configurable 200 200 2 -> 10 -> 25 2 2 (Cardbus) No
Interfaces N Usuarios Orientados IPSec VPN SSL VPN USB PCMCIA SFP
Para activar los servicios de seguridad (Filtrado de Contenidos, IDP, AV, SSL) hay que adquirir una licencia especfica para cada uno de ellos. Actualmente existen dos tipos de licencias: iCard y E-iCard. La E-iCard es en formato digital, en vez de papel. Por lo que su adquisicin es ms rpida que la iCard que de no tenerla en stock, haba unos plazos de espera de 3 4 semanas. Mientras que la E-iCard el plazo es inferior a una semana. En toda la familia ZyWALL USG la funcionalidad AntiSpam es gratuita.
Fig. Part Numbers de las licencias de los servicios de seguridad
Vamos a mostrar grficamente los diferentes dispositivos que componen la familia ZyWALL USG y sus caractersticas ms notables.

Pg. 7/316
ZyWALL USG 20:
Fig. Caractersticas del ZyWALL USG 20
ZyWALL USG 20W:
Fig. Caractersticas del ZyWALL USG 20W

Pg. 8/316
ZyWALL USG 50:
ZyWALL USG 100:

Pg. 9/316
ZyWALL USG 200:
ZyWALL USG 300:

Pg. 10/316
ZyWALL USG 1000:
ZyWALL USG 2000:

Pg. 11/316
Fig. Diferentes mdulos SEM que se pueden instalar en el ZyWALL USG 2000
A continuacin vamos a mostrar tablas y grficas comparativas entre los modelos de la familia ZyXEL ZyWALL USG y sus competidores ms directos.
Fig. Comparacin de equipos semejantes de varios fabricantes contra ZyWALL USG 20/20W

Pg. 12/316
Fig. Comparacin de equipos semejantes de varios fabricantes contra ZyWALL USG 50/100/200

Pg. 13/316
Fig. Comparacin de equipos semejantes de varios fabricantes contra ZyWALL USG 300

Pg. 14/316

Pg. 15/316
2. Acceso al Equipo
Disponemos de varias formas de acceder al ZyWALL: mediante el puerto de consola, mediante un cliente SSH, mediante un cliente Telnet, o mediante un navegador Web. Por defecto, en la serie ZyWALL USG, la direccin IP de la interfaz LAN es 192.168.1.1 y la interfaz LAN tambin se configura como un servidor DHCP, lo que significa que puede conectarse directamente a la interfaz LAN y gestionar el dispositivo. Por defecto utiliza el usuario admin y la contrasea 1234.
2.1. Acceso mediante Puerto de Consola

Utilizando un cable serie conectado a un PC y al ZyWALL podemos acceder a ste ltimo por medio de una conexin de Hyperterminal o una aplicacin similar. Debemos configurar el Terminal VT100 en dicha aplicacin con los siguientes datos: - 115.200 baudios - 8 bits de Datos - 1 bit de Parada - Sin Paridad - Sin Control de Flujo Una vez conectados accederemos al interfaz de modo de comandos de configuracin:
Fig. Acceso por Puerto de Consola

Pg. 16/316
2.2. Acceso mediante cliente SSH

Mediante un cliente SSH que soporte la versin 1.5 nos conectaremos al ZyWALL con los valores por defecto a la direccin IP 192.168.1.1, usando el nombre de usuario admin, y la contrasea 1234. Una vez conectados accederemos al interfaz de modo de comandos para configurar el ZyWALL.
Fig. Acceso mediante cliente SSH
2.3. Acceso mediante TELNET

Mediante un cliente Telnet nos conectaremos al ZyWALL con los valores por defecto a la direccin IP 192.168.1.1, usando el nombre de usuario admin, y la contrasea 1234. Una vez conectados accederemos al interfaz de modo de comandos para configurar el ZyWALL.
Fig. Acceso mediante cliente TELNET

Pg. 17/316
2.4. Acceso mediante Navegador WEB

El interfaz GUI del ZyWALL soporta una resolucin de pantalla de 1024 por 768 pxeles. En cuanto a navegadores, se incluye soporte para IE 7.0 o superior, Firefox 1.5.0 o superior. Es necesario activar JavaScript y la fijacin de cookies en su navegador web y tambin desactivar el bloqueo de ventanas emergentes. De lo contrario, se causar la imposibilidad de acceso de usuario o el acceso a diversas opciones del interfaz GUI del ZyWALL. El equipo soporta los protocolos HTTP y HTTPS. Mediante el Navegador Web apuntaremos a la direccin por defecto 192.168.1.1 del ZyWALL, si no ha sido cambiada. A continuacin se nos pedir un nombre de usuario y contrasea, introduciremos como nombre de usuario admin y contrasea 1234 si no las hemos modificado.
Fig. Acceso mediante Navegador WEB
A continuacin nos aparecer una ventana recomendando que cambiemos la contrasea por defecto. Por motivos de seguridad, se recomienda cambiar la contrasea por defecto, siguiendo los pasos indicados en dicha pantalla. Podemos saltarnos esta peticin pulsando sobre el botn Ignore.
Fig. Recomendacin cambio de Contrasea

Pg. 18/316
Finalmente accederemos al men Status que es la pantalla inicial de configuracin del ZyWALL. Aqu podremos comprobar la versin de firmware cargada en el dispositivo. Esta ventana se divide en 3 secciones:
Fig. Men Status y sus diferentes secciones
A Barra de Ttulos B Panel de Navegacin C Ventana Principal

Pg. 19/316
2.4.1 Barra de Ttulos

La Barra de Ttulos posee varios iconos en la esquina superior derecha:
Fig. Iconos de la Barra de Ttulos
Logout: Pulse este icono para cerrar la sesin del configurador web. Help: Pulse este icono para abrir la pgina de ayuda para la pantalla activa. About: Pulse este icono para mostrar informacin bsica sobre el ZyWALL. Site Map: Pulse este icono para mostrar el mapa con las opciones el configurador web. Puede utilizarlo para ir directamente a cualquier men o pestaa del configurador web. Object Reference: Pulse este icono para ver las dependencias de los objetos creados. Console: Pulse este icono para abrir la consola y usar el interfaz lnea de comandos (CLI). 2.4.1.1 Mensajes de aviso En el caso de producirse algn error de configuracin, se mostrar un mensaje de aviso del tipo:
Fig. Mensaje de Aviso

Pg. 20/316
2.4.1.2 Site Map Esta opcin de la Barra de Ttulos permite visualizar y acceder a los enlaces de la pantalla del Configurador Web. Pulse sobre un enlace para acceder a la pantalla correspondiente:
Fig - Site Map
2.4.1.3 Referencia a Objetos Pulse Object Reference para abrir la pantalla correspondiente. Seleccione el tipo de objeto y el objeto individual y a continuacin pulse Refresh para visualizar los parmetros de configuracin del objeto en cuestin:
Fig - Referencia a Objeto
En la pantalla anterior se muestra el objeto de usuario ldap-users (en este caso, la primera regla de cortafuegos).

Pg. 21/316
2.4.1.4 Mensajes CLI Pulse CLI en la Barra de Ttulos para visualizar los comandos CLI enviados por el Configurador Web:
Fig
Mensajes CLI
Pulse Clear para borrar la informacin presentada.
2.4.2 Panel de Navegacin

Si desplegamos la barra lateral de mens (Barra de Navegacin) podemos encontrar las siguientes opciones:
Fig. Barra de Navegacin desplegada
Pulse la flecha que aparece en el borde derecho del panel de navegacin para ocultar los mens del panel, o arrstrela para modificar su tamao.

Pg. 22/316
2.4.3 Ventana Principal

La ventana principal muestra la pantalla seleccionada en el panel de navegacin:
Fig. Ventana Principal y botones de visualizacin de widgets
Los botones situados en la parte superior derecha (A, B, C, D y E) permiten ocultar, minimizar, cerrar o desplazar cada sub-pantalla (widgets): A: Reabre una pantalla previamente cerrada B: Oculta una pantalla C: Refresca la informacin presentada D: Actualiza la informacin inmediatamente E: Cierra la pantalla Asimismo, pulsando el botn Rear pannel/Front pannel situado a la derecha de la imagen del dispositivo virtual, se pueden visualizar los paneles anterior/posterior del equipo.
2.4.4 Tablas y Listas

Las Tablas y Listas del Configurador Web son muy flexibles y permiten diferentes opciones de visualizacin y manipulacin.

Pg. 23/316
2.4.4.1 Manipulacin de Tablas A continuacin se indican las diferentes maneras de manipular las tablas del Configurador Web. 1. Pulse la cabecera de la columna para organizar las entradas de la tabla de acuerdo con el criterio de la columna:
Fig. - Organizacin de las entradas de las tablas
2. Pulse la fecha al lado de la cabecera de la columna para acceder a las diferentes opciones de visualizacin de las entradas:
Fig. - Opciones de visualizacin
3. Seleccionar el borde derecho de una columna y arrastrarlo para modificar el tamao de la columna:
Fig. - Modificacin del tamao de una columna

Pg. 24/316
4. Seleccionar una cabecera de columna y arrastrarla y soltarla para cambiar el orden de la columna:
Fig. - Cambio del orden de las columnas
5. Utilice los iconos y campos de la parte superior de la tabla para navegar por las diferentes pginas de las entradas y controlar cuantas entradas se muestran al mismo tiempo:
Fig. - Pginas de navegacin de las entradas de las tablas
2.4.4.2 Trabajando con las Entradas de las Tablas Las tablas disponen de iconos para gestionar las entradas:
Fig. - Iconos de las tablas
Se pueden utilizar las teclas Shift o Ctrl para seleccionar mltiples entradas y eliminarlas, activarlas o desactivarlas.

Pg. 25/316
2.4.4.3 Trabajando con Listas Cuando se muestra una lista de entradas disponibles a continuacin de una lista de entradas seleccionadas, se puede mover una entrada de una lista a otra mediante una doble pulsacin. En algunas listas, se pueden usar las teclas Shift o Ctrl para seleccionar mltiples entradas y junto con las teclas de desplazamiento vertical y horizontal (teclas de flechas), moverlas de una lista a otra.
Fig. Ejemplo de Listas
3. Asistente de Configuracin e Instalacin

3.1 Pantallas del Asistente de Configuracin e Instalacin
Si procede a realizar un login en el Configurador Web cuando el ZyWALL se est utilizando en su configuracin por defecto, aparecer la primera pantalla del Asistente de Configuracin e Instalacin. Este asistente le ayudar a configurar la conexin a Internet y a activar los servicios correspondientes:
Fig. - Asistente de Configuracin de Instalacin

Pg. 26/316
3.1.1 Configuracin del Acceso a Internet Interfaz WAN

Esta pantalla permite definir cuntos interfaces WAN hay que configurar y el tipo de encapsulacin y mtodo de asignacin de direccin IP para el primer interfaz WAN:
Fig. - Configuracin primer interfaz WAN
3.1.2. Acceso Internet: Ethernet

Esta pantalla permite configurar los parmetros de la direccin IP. (Si en la pantalla anterior seleccion previamente la opcin Auto en el campo IP Address Assignment, no deber realizar ninguna accin):
Fig. - Configuracin direccin IP: Encapsulacin Ethernet

Pg. 27/316
3.1.3. Acceso Internet: PPPoE

En esta pantalla se configuran los parmetros del ISP y del interfaz WAN para el caso de encapsulacin PPPoE:
Fig. - Encapsulacin PPPoE
3.1.4. Acceso Internet: PPTP

En esta pantalla se configuran los parmetros de acceso a Internet en el caso de utilizar encapsulacin PPTP:
Fig. - Encapsulacin PpoE

Pg. 28/316
3.1.5. Parmetros del ISP

- Tipo de autenticacin: Selecciona un protocolo de autenticacin para las llamadas salientes: - CHAP/PAP - CHAP - PAP - MSCHAP - MSCHAP-V2 - Tipo de User Name - Tipo de Password - Seleccionar Nailed-Up si no se quiere realizar una conexin temporizada. En caso contrario, seleccionar Idle Timeout. 3.1.5.1. Configuracin PPTP - Interfaz Base (Base Interface) - Tipo de Direccin IP Base (Base IP Address) - Tipo de Mscara de la Subred IP (IP Subnet Mask) - Servidor IP - Tipo de Conexin IP (Connection ID) 3.1.5.2. Asignacin de Direccin IP WAN - Primer Interfaz WAN - Zona - Direccin IP (IP Address) - Primer/Segundo Servidor DNS
3.1.2 Configuracin del Acceso a Internet Segundo Interfaz WAN Si se ha seleccionado la opcin de disponibilidad de dos ISPs, una vez configurado el primer Interfaz WAN se puede configurar el segundo Interfaz WAN. La pantalla para esta configuracin es similar a la del primer interfaz:

Pg. 29/316
Fig. - Configuracin segundo Interfaz WAN
3.1.3 Acceso Internet Finalizacin Una vez realizando los pasos anteriores, aparecer la siguiente pantalla con los parmetros seleccionados:
Fig. - Parmetros de Acceso a Internet seleccionados
Pulse Back si quiere modificar algn dato o Next para continuar con el proceso de registro (ver apartado siguiente).

Pg. 30/316
4. Registro del Dispositivo

A travs de myZyXEL.com puede registrar su ZyWALL y activar pruebas de servicios, como IDP y periodos de suscripcin a prestaciones de seguridad. Si ya se ha registrado previamente, la pantalla le mostrar su nombre de usuario y los servicios activados. A partir de aqu, puede proceder a activar/desactivar los servicios correspondientes: Nota: Para acceder al registro, se necesita tener la conexin a Internet activada.
4.1. Registro en myZyXEL.com

Al adquirir un ZyWALL USG y tras configurar la LAN, WAN y DNS tenemos que registrar el mismo sobre una cuenta de myZyXEL.com. El registro del equipo es gratuito, y es necesario para poder activar las capacidades UTM de nuestro ZyWALL. Desde el mismo equipo podemos crear la cuenta de myZyXEL.com, o usar una cuenta previamente creada. Los datos que se piden para crear una nueva cuenta en myZyXEL.com son un Nombre de Usuario, Contrasea, un E-Mail, y el Cdigo de Pas.
Fig. Registro del Equipo creando una nueva cuenta en myZyXEL.com

Pg. 31/316
Si disponemos de una cuenta seleccionaremos la opcin existing myZyXEL.com account e introducir el Nombre de Usuario y Contrasea de dicha cuenta.
Fig. Registro del Equipo usando una cuenta de myZyXEL.com
Teniendo una cuenta en myZyXEL.com tendremos acceso a promociones, avisos de actualizaciones, y podremos gestionar algunos servicios.
4.2. Activacin de Servicios en modo Trial

Podemos activar la versin Trial (30 das) de algunos Servicios UTM de nuestro ZyWALL USG para comprobar las capacidades de los mismos, y en funcin de las necesidades proceder a adquirir una licencia para los mismos. Para ello basta con seleccionar los servicios a activar en versin Trial, y pulsar sobre el botn Apply.
Fig. Activacin de Servicios en modo Trial

Pg. 32/316
A continuacin el equipo se conectar con el Servidor de myZyXEL.com para actualizar los cambios, y activar dichos servicios en modo Trial. Para ello el equipo debe de estar correctamente configurado proporcionando acceso a Internet.
Fig. Activacin con xito de los Servicios en modo Trial
Hay un perodo de 30 das para cada servicio a activar en el modo Trial !!!
4.3. Activacin de Servicios por medio de Licencia

Una vez registrado el dispositivo en una cuenta de myZyXEL.com y adquirida la licencia correspondiente al servicio a activar nos iremos al men Configuration > Licensing > Registration > Service
Fig. Activacin con xito de los Servicios en modo Trial
En el campo License Key del apartado License Activation introduciremos el cdigo de la licencia a activar, y pulsaremos sobre el botn Activation para activar el servicio correspondiente a la licencia introducida.

Pg. 33/316
Una vez activados los servicios, podemos ver el estado de los mismos, y la fecha de expiracin de la licencia tal y como se observa en la siguiente imagen.
Fig. Estado de las Licencias de los Servicios

Pg. 34/316
4.4. Updates
En la barra de mens lateral Configuration > Licensing > Signature Update se puede configurar la actualizacin manual o automtica para las firmas del Anti-Virus, IDP/AppPatrol, y el System Protect. Dicha actualizacin se realiza con el Update Server. La actualizacin automtica se puede configurar para que se ejecute cada hora, diariamente a una hora determinada, o semanalmente a una hora determinada.
Fig. Actualizacin de las Firmas

Pg. 35/316
5. Configuracin Rpida
5.1 Configuracin Rpida: Visin General El asistente de configuracin rpida le permite configurar de una manera rpida y sencilla el acceso a Internet y los parmetros de VPN. En el Configurador Web, pulsar Configuration > Quick Setup:
Fig. - Acceso a la Configuracin Rpida
Aparecer la siguiente pantalla:
Fig. - Configuracin Rpida
Seleccione una de las dos opciones disponibles: - WAN Interface: Abre el asistente de configuracin del Interfaz WAN (Acceso a Internet) - VPN Set UP: Permite la configuracin de un tnel VPN para establecer una conexin segura con otro ordenador o red.

Pg. 36/316
5.2 Configuracin Rpida del Interfaz WAN Pulse WAN Interface en el Men de Configuracin Rpida para abrir la pantalla de configuracin del Interfaz WAN. A continuacin, pulse Next:
Fig.- Configuracin rpida del Interfaz WAN
A continuacin, seleccione el Interfaz Ethernet que quiere configurar para la conexin WAN y pulse Next:
Fig.- Seleccin de Interfaz Ethernet
Seleccin del tipo de WAN: Seleccione el tipo de encapsulado de la conexin. Seleccione Ethernet cuando el puerto WAN se utiliza como un puerto Ethernet regular. En caso contrario, seleccione PPPoE o PPTP, de acuerdo a la informacin proporcionada por su proveedor:

Pg. 37/316
Fig. - Configuracin del Interfaz WAN
Configuracin de los parmetros WAN: Seleccione si se va a utilizar una direccin IP esttica o dinmica:
Fig. - Seleccin tipo de direccionamiento IP
Parmetros de la Conexin ISP y WAN: Utilice esta pantalla para configurar los parmetros del Interfaz WAN y la conexin con el ISP (si en la pantalla anterior ha elegido direccionamiento IP esttico, esta pantalla no aplicara):

Pg. 38/316
Fig. - Configuracin de la Conexin ISP y WAN
Una vez introducidos los datos correspondientes, pulse Back si quiere corregir alguna opcin o Next para seguir adelante. Si pulsa Next, aparecer la pantalla final con el resumen de las opciones elegidas. Pulse Close para finalizar el proceso:
Fig. - Configuracin Interfaz WAN

Pg. 39/316
5.3 Configuracin Rpida VPN Pulse VPN Setup en la pantalla Quick Setup de configuracin rpida para acceder a la pantalla del asistente de configuracin VPN:
Fig. - Configuracin rpida VPN
Un tnel VPN (Virtual Private Network) permite establecer una conexin segura entre ordenadores y redes. A continuacin pulse Next y seleccione el tipo de conexin VPN que desea configurar:
Fig. - Seleccin tipo de Configuracin VPN
Express: Utilice esta opcin para crear una conexin VPN con otro ZyWALL con ZLD, utilizando una tecla pre-programada y la configuracin de seguridad por defecto. Advanced: Utilice esta opcin para configurar parmetros detallados de seguridad de la VPN. La conexin se puede realizar con otro ZyWALL con ZLD o con otro dispositivo IPSec.

Pg. 40/316
5.3.1 VPN Express- Escenario Si pulsa la opcin Express, aparecer la siguiente pantalla:
Fig. - Configuracin VPN Express. Paso 1
Rule Name: Tipo de nombre utilizado para identificar la conexin VPN. Se pueden utilizar de 1-31 caracteres alfanumricos, (_) y (-), pero el primero no puede ser un nmero. Seleccione el escenario que ms se adece a la conexin VPN deseada. La figura de la izquierda variar segn el escenario elegido. 5.3.1.1 VPN Express- Configuracin
Introduzca los valores adecuados de configuracin y pulse Next

Pg. 41/316
5.3.1.2 VPN Express Resumen Esta pantalla muestra un resumen de la configuracin de los tneles VPN y de los comandos, que se pueden copiar y pegar en otro ZyWALL con ZLD en el interfaz de lnea de comandos, para configurarlo:
5.3.1.3 Configuracin VPN Express Finalizacin Ya se puede usar el tnel VPN:

Pg. 42/316
Nota: Si no lo ha hecho ya, utilice el enlace myZyXEL.com y registre su ZyWALL para activar pruebas de servicios como IDP. Pulse Close para salir del asistente.
5.3.2 VPN Avanzada - Escenario Pulse Advanced en la pantalla de seleccin de tipo de configuracin VPN. Aparecer la siguiente pantalla:
Fig. - Configuracin VPN Avanzada
5.3.2.1 VPN Avanzada Configuracin Fase 1 Hay dos fases en cada proceso de negociacin: Fase 1 o de Autenticacin y fase 2 o de Intercambio de Claves. La Fase 1 establece una Asociacin de Seguridad:
Fig. - VPN Avanzada Fase 1

Pg. 43/316
5.3.2.2 VPN Avanzada Configuracin Fase 2 La fase 2 utiliza la Asociacin de Seguridad establecida en la fase 1 para negociar asociaciones de seguridad para IPSec:
Fig. - VPN Avanzada Fase 2
5.3.2.3 VPN Avanzada Resumen En esta pantalla aparece un resumen de los parmetros de configuracin VPN:
Fig. - VPN Avanzada Resumen
Pulse Save para escribir la configuracin VPN en el ZyWALL.

Pg. 44/316
5.3.2.4 VPN Avanzada Finalizacin A partir de ahora, ya puede utilizar el tnel VPN:
Fig. - Finalizacin Configuracin Avanzada
Pulse Close para salir del asistente.

Pg. 45/316
6. Configuracin: Aspectos Bsicos

Esta informacin le ayudar a configurar su ZyWALL de una manera efectiva, bien al comienzo del proceso o como referencia para configurar las diferentes prestaciones del producto.
6.1 Configuracin basada en Objetos

El ZyWALL almacena la informacin de programacin como Objetos. Se pueden utilizar estos objetos para configurar la mayora de las prestaciones del equipo. Una vez configurado un objeto, se puede utilizar para configurar otras prestaciones. As mismo, si se actualiza esta informacin como respuesta a determinados cambios, el ZyWALL propaga automticamente estos cambios hacia todas las prestaciones que usan este objeto. Para crear objetos antes de configurar las opciones que los usarn vaya al men Configuration > Objects. Si se est en una pantalla que utiliza objetos, puede utilizar un objeto creado previamente, o pulsar en el botn Create New Object , en la parte superior izquierda, para crear un nuevo objeto y aplicarlo en dicha regla. Tambin se puede utilizar la pantalla Object Reference para ver qu objetos se han configurado y qu parmetros de configuracin se refieren a objetos especficos. Los objetos disponibles se muestran en la siguiente tabla:
Fig. - Tabla de objetos

Pg. 46/316
6.2 Interfaces, Zonas y Puertos Fsicos

6.2.1 Interfaces
Existen varios tipos de interfaces en el ZyWALL. Adems de utilizarse en varias prestaciones, los interfaces tambin describen la red que se encuentra directamente conectada al equipo: Interfaces Ethernet (WAN, LAN, DMZ, WLAN) Grupos de Puertos Interfaces PPP Interfaces VLAN Interfaces Bridge Interfaces Virtuales Interfaces Auxiliares
6.2.2 Zonas
Una zona es un grupo de interfaces y/o tneles VPN. Los ZyWALL utilizan zonas en lugar de interfaces en muchos procesos de configuracin, como las reglas de cortafuegos, anti-X o gestin remota. Es necesario establecer zonas para configurar las polticas de seguridad y de red en los ZyWALL Las zonas no se pueden solapar. Cada interfaz ethernet, VLAN, bridge o PPPoE/PPTP, interfaz auxiliar o tnel VPN se puede asignar como mucho a una zona. Los interfaces virtuales se asignan automticamente a la misma zona que el interfaz sobre el que corren.
Fig - Ejemplo: Zonas

Pg. 47/316
La pantalla Zona proporciona un resumen de todas las zonas. Adems, esta pantalla permite aadir, editar y eliminar zonas. Para acceder a estar pantalla, pulsar Configuration > Network > Zone.
Fig. - Pantalla de Zonas
6.2.3 Interfaz y Zonas por Defecto La topologa de la red por defecto es la siguiente (las letras indican direcciones IP pblicas o parte de direcciones IP privadas):
Fig. - Topologa de Red por Defecto para el USG 100

Pg. 48/316

Pg. 49/316

Pg. 50/316
En las siguientes tablas puede consultar la asociacin por defecto entre puertos, interface, zona, direccionamiento IP, y uso sugerido por defecto de cada uno de los componentes de la familia ZyWALL USG:
Fig. - Puerto por Defecto, Interfaz y Configuracin de Zona del ZyWALL 100

Pg. 51/316
6.3. Configuracin de Interfaces Ethernet, Port Roles y Zonas.

En este Tutorial aprenderemos a configurar los interfaces Ethernet, port roles, y zonas siguiendo el siguiente ejemplo de configuracin. Queremos aplicar opciones de seguridad especficas para todos los tneles VPN, por lo que vamos a crear una nueva zona VPN. El interface wan1 tiene asignada la direccin IP esttica 1.2.3.4 El interface opt es utilizado para una red local protegida. Utiliza la direccin IP 192.168.4.1 y acta como servidor DHCP. Aadiremos este interface a la zona LAN, para que todas las polticas de seguridad ya aplicadas a la zona LAN tengan efecto sobre este interface. En este ejemplo no utilizaremos el interface ext-wlan (utilizado para los puntos de acceso conectados va Ethernet), por lo que eliminaremos el puerto P6 del interface ext-wlan y lo aadiremos al interface dmz.

Pg. 52/316
Fig. - Ejemplo de Configuracin del Interfaz Ethernet, Port Roles, y Zonas
6.3.1. Configurar un Interface WAN Ethernet

Vamos a asignar la direccin IP 1.2.3.4 al interface wan1 del ZyWALL. Pulsamos sobre el men Configuration > Network > Interface > Ethernet y hacemos doble click sobre el interface wan1. Seleccionamos Use Fixed IP Address y configuramos la direccin IP, mscara de subred, y puerta de enlace y pulsamos en OK.
Fig. - Configuration > Network > Interface > Ethernet > Edit wan1

Pg. 53/316
6.3.2. Configuracin de Interfaces PPP

En este ejemplo vamos a configurar un interface WAN con encapsulacin PPPoE en una lnea ADSL de Movistar siguiendo los siguientes pasos: 1. Pulsamos sobre el men Configuration > Network > Interface > PPP y hacemos click sobre el botn Add del apartado User Configuration.
Fig. - Ejemplo de configuracin del interface PPP
2. Habilitamos el interface, introducimos un nombre para la regla, y seleccionamos como interface base el interface wan1, y la zona WAN. Seleccionamos las opciones Nailed-Up, y Get Automatically para mantener la conexin siempre activa y que obtenga la direccin IP pblica automticamente. Creamos nuevo Objeto de tipo ISP Account.
Fig. - Edicin del interface PPP

Pg. 54/316
3. Aplicamos un nombre al perfil, seleccionamos el protocolo PPPoE, e introducimos los datos de autenticacin que nos haya facilitado nuestro ISP.
Fig. - Creacin objeto de tipo ISP Account
4. En la configuracin del interface WAN1_PPPoE, seleccionaremos como Account Profile el objeto Movistar que acabamos de crear.
Fig. - Ejemplo de configuracin del interface PPP

Pg. 55/316
6.3.3. Configurar el interfaz OPT como una red local

En este ejemplo vamos a configurar el interface opt como una red local separada. El interface utiliza la direccin IP 192.168.4.1 y acta como servidor DHCP para distribuir direcciones IP a los clientes DHCP. 1. Nos vamos al men Configuration > Network > Interface > Ethernet y hacemos doble click sobre la entrada del interface opt. 2. Configuramos el campo Interface Type como internal. 3. Asignamos el IP Address a 192.168.4 y Subnet Mask a 255.255.255.0 4. Configuramos el campo DHCP como DHCP Server y pulsamos en OK.
Fig. - Configuration > Network > Interface > Ethernet > Edit opt

Pg. 56/316
6.3.4. Configurar el interfaz OPT como una red externa WAN

En este ejemplo vamos a configurar el interface opt como una red WAN, que estar conectada a un router haciendo de servidor DHCP. Por lo que el interface opt recibir una direccin IP automticamente del router. 1. Nos vamos al men Configuration > Network > Interface > Ethernet y hacemos doble click sobre la entrada del interface opt. 2. Configuramos el campo Interface Type como external. 3. Seleccionamos la zona como WAN para que al interface opt se le asignen las configuraciones asociadas a la zona WAN. 4. Asignamos el IP Address como Get Automatically.
Fig. - Configuration > Network > Interface > Ethernet > Edit opt

Pg. 57/316
6.3.5. Configuracin 3G
Para configurar las opciones 3G nos vamos a la barra de mens lateral Configuration > Network > Interface > Cellular, y aadimos una regla en el Cellular Interface Summary.
Fig. Aadir nueva regla para el interfaz Cellular
Una vez aadimos una regla, tendremos que seleccionar sobre qu tarjeta queremos realizar la configuracin: PC Card (si est disponible) o USB.
Fig. Seleccin del slot
Una vez aadida la regla para el interfaz a usar, tendremos que rellenar los campos del formulario que nos aparecer con los datos que nos proporcione nuestro ISP, y la informacin de la tarjeta 3G.
Vamos a ver un par de ejemplos con las configuraciones de dos diferentes ISP. El primero de ellos ser la configuracin para Vodafone, y la segunda ser la configuracin para Movistar.

Pg. 58/316
En el ejemplo siguiente se ha configurado una tarjeta 3G por USB de Vodafone:
Fig. Configuracin del interfaz Cellular para el USB1 en Vodafone

Pg. 59/316
En el siguiente ejemplo se han utilizado los datos de Movistar:
Fig. Configuracin del interfaz Cellular para el USB1 en Movistar

Pg. 60/316
En el siguiente ejemplo se han utilizado los datos de Orange:
Fig. Configuracin del interfaz Cellular para el USB1 en Orange
Una vez configurado el interface Cellular correctamente, si nos dirigimos al Dashboard podremos ver dentro de la ventana Interface Status Summary que nuestro interface celular ha obtenido la direccin IP pblica y es totalmente operativo Connected:
Fig. Desde el Dashboard podemos ver el estado del interface cellular

Pg. 61/316
6.3.6. Configurar Port Roles

Vamos a eliminar el puerto P6 del interface ext-wlan, y lo vamos a aadir al interface dmz. 1 Hacemos click Configuration > Network > Interface > Role. 2 Bajo el P6 seleccionamos el radio button dmz y pulsamos en Apply.
Fig. - Ejemplo de configuracin del Rol de Puertos (Port Roles)

Pg. 62/316
6.3.7. Configurar Zonas

Realice los siguientes pasos para crear la zona VPN: 1 Desde el men Configuration > Network > Zone hacemos click sobre el icono Add. 2 Introducimos como nombre VPN, y seleccionamos como miembro disponible Default_L2TP_VPN_Connection y lo movemos a la tabla Member y pulsamos en OK.
Fig. - Configuration > Network > Zone > Add

Pg. 63/316
6.4 Terminologa del ZyWALL

A continuacin se detallan algunas diferencias de terminologa entre los equipos basados en ZLD y otros, particularmente los basados en ZyNOS.
Terminologa ZLD ZyWALL diferente a la ZyNOS:
Terminologa ZLD ZyWALL que podra ser diferente en otros productos:
NAT: Diferencias entre ZLD ZyWALL y ZyNOS:
Gestin de Ancho de Banda: Diferencias entre ZLD ZyWALL y ZyNOS:

Pg. 64/316
6.5 Flujo de Paquetes

El orden en que ZyWALL aplica sus caractersticas y comprobaciones:
Fig. - Flujo de Paquetes
6.5.1 Mejoras en el Flujo de Paquetes del ZLD 2.20

La versin ZLD 2.20 se ha mejorado para simplificar la configuracin. El flujo de paquetes se ha modificado de la siguiente manera: - Routing automtico SNAT y enlace WAN para trfico de interfaces internos a externos: El ZyWALL aade automticamente todos los interfaces externos al enlace WAN por defecto. La poltica de rutas se deshabilita automticamente si la siguiente ruta est cada. No se necesita definir poltica de rutas para el trfico IPSec. La poltica de rutas puede invalidad las rutas directas. No se necesita definir poltica de rutas para las entradas NAT 1:1. Se pueden crear varias entradas NAT 1:1 para traducir un rango de direcciones de red privadas a un rango de direcciones IP pblicas. Las rutas estticas y dinmicas tienen su propia categora.

Pg. 65/316
6.5.2 Mejoras en el Flujo de comprobacin de la Tabla de Enrutamiento
Fig. - Mejoras en el Flujo de Comprobacin de la T. de Enrutamiento
6.5.3 Flujo de Comprobacin de la Tabla NAT
Fig. - Flujo de Comprobacin de la Tabla NAT

Pg. 66/316
6.6. Revisin Configuracin de Prestaciones

Caractersticas Registro de Licencias Actualizacin de Licencias Interfaces Enlaces Poltica de Rutas Rutas Estticas Zonas DDNS NAT HTTP Redirect ALG Poltica de Autenticacin Cortafuegos VPN IPSec VPN SSL VPN L2TP Vigilancia de Aplicaciones Anti-Virus IDP ADP Filtrado de Contenidos Anti-Spam Device HA

Pg. 67/316
6.7 Sistema
Esta seccin describe algunas de las prestaciones de gestin del ZyWALL. Utilice Host Name para configurar el sistema y el nombre de dominio del ZyWALL. Utilice Date/Time para configurar la fecha, hora y zona horaria. Utilice Console Speed para programar la velocidad del puerto de consola. Utilice Language para seleccionar el idioma de las pantallas de configuracin.
6.7.1 DNS, WWW, SSH, Telnet, FTP, SNMP, Dial-in Mgmt, Vantage CNM
Utilice estas pantallas para definir qu servicios y protocolos se pueden utilizar para acceder al ZyWALL a travs de qu zona y desde qu direcciones (direcciones objeto). Utilice Dial-in Mgmt para la conexin de gestin remota a travs de un mdem externo conectado al puerto AUX.
6.7.2 Logs e Informes
6.7.3 Gestor de Ficheros

Utilice estas pantallas para cargar, descargar, borrar o ejecutar scripts de comandos CLI.
6.7.4 Diagnsticos
El ZyWALL genera un fichero que contiene informacin de diagnstico y configuracin:

Pg. 68/316
6.7.5 Apagado
Utilice esta opcin como paso pevio a la desconexin de la alimentacin:
Utilice siempre Maintenance > Shutdown > Shutdown o el comando shutdown antes de apagar el ZyWALL. El no hacerlo as, puede generar problemas de corrupcin del firmware.
6.8. Cambiar la Contrasea por Defecto

Desde el men Configuration > Objetct > User/Group pulsamos sobre el icono Edit del usuario admin para editar su configuracin.
Fig. Ventana con los Objetos de tipo Usuario
En la ventana de edicin del usuario admin modificaremos los datos del Password y Retype, introduciendo el nuevo valor de la contrasea en ambos campos.
Fig. Edicin de la contrasea por defecto del usuario admin

Pg. 69/316
6.9. Temporizador de Desconexin Automtica de Sesin

Para quitar o modificar el temporizador de desconexin de sesin del usuario logueado en el interfaz Web GUI del ZyWALL cuando hay un tiempo de inactividad, accedemos a la configuracin del objeto usuario a modificar, y cambiamos el tiempo de Lease Time a un valor entre 0 y 1440 minutos, siendo el valor 0 tiempo ilimitado de conexin.
Fig. Edicin del temporizador de desconexin automtica de sesin
6.10. IP/MAC Binding

A travs de la configuracin del IP/MAC Binding podemos prevenir que un ordenador con una IP igual que un dispositivo de nuestra pueda tener acceso a nuestra LAN. De esta forma asignaremos en una lista la relacin entre IP y MAC de los dispositivos que se conectan a nuestra red, para que los dispositivos que no se encuentren en esta lista no puedan conectarse.
Fig. Ejemplo del uso del IP/MAC Binding

Pg. 70/316
Las direcciones del IP/MAC bindings se agrupan por interfaz. Se puede utilizar el IP/MAC binding con los interfaces Ethernet, bridge, VLAN, y WLAN. Adems de poder habilitar o deshabilitar el IP/ MAC binding en la pantalla de configuracin propia del interfaz.
Pulse sobre Configuration > Network > IP/MAC Binding para abrir la pantalla de configuracin IP/MAC Binding Summary, en donde nos aparece un listado del nmero total de asociaciones IP a MAC para cada uno de los interfaces soportados.
Fig. Pantalla IP/MAC Binding Summary
Para configurar la asociacin entre direccin IP y MAC de los dispositivos que se conectan a un interfaz, seleccionaremos el interface y pulsaremos sobre el icono Edit. Una vez dentro nos da la posibilidad de habilitar el IP/MAC Binding, y habilitar los logs de las violaciones de la regla introducida. Si pulsamos sobre pulsaremos sobre aadir o editar para configurar la lista de asociacin.
Fig. Aadir o Editar una asociacin esttica entre IP y MAC

Pg. 71/316
Nos aparecer una ventana de configuracin donde asociaremos una direccin IP y una direccin MAC para dar privilegios de conexin a este dispositivo.
Fig. Asignacin de direcciones IP y MAC a dar privilegios de conexin
Si queremos configurar un rango de direcciones IP en la que el ZyWALL no aplique el IP/MAC binding, pulsaremos sobre Configuration > Network > IP/MAC Binding > Exempt List, pulsaremos sobre Aadir o Editar una regla, y asignaremos un nombre y un rango de direcciones IP a excluir.
Fig. Lista de exclusin del IP/MAC binding
Tambin podemos monitorizar en cada momento las direcciones IP que actualmente estn conectadas y forman parte de la asociacin del IP/MAC binding.
Fig. Monitorizacin de las conexiones de equipos en IP/MAC binding

Pg. 72/316
6.11. Configuracin DNS

Adems de la configuracin DNS que se realiza cuando configuramos el servidor DHCP del interfaz Ethernet, debemos de configurar las DNS de Sistema. Para configurar las DNS de Sistema nos vamos a la barra de mens lateral System -> DNS, y aadimos o editamos una regla en el Domain Zone Forwarder.
Fig. Ventana principal de configuracin DNS
Dentro de la regla a configurar, seleccionaremos la opcin Public DNS Server e introduciremos la direccin IP del servidor DNS, en este caso 80.58.0.33
Fig. Configuracin regla del Servidor DNS

Pg. 73/316
6.12. Configuracin DDNS

Debes de configurar una cuenta de dynamic DNS con cualquier proveedor de servicios DNS soportado antes de utilizar el servicio DDNS del ZyWALL. Cuando el proceso de registro se haya completado, el proveedor de servicios DNS te proporcionar una contrasea o clave. Despus de haberlo configurado en el ZyWALL, ste enviar la direccin IP actualizada hacia el proveedor de servicios DDNS, que actualizar sus bases de datos. Algunos de los proveedores de servicios DNS soportados son los siguientes: PROVEEDOR DE SERVICIOS DDNS DynDNS Dynu No-IP Peanut Hull 3322 TIPOS DE SERVICIOS SOPORTADOS PGINA WEB
Dynamic DNS, Static DNS, y Custom DNS Basic, Premium No-IP Peanut Hull 3322 Dynamic DNS, 3322 Static DNS
Fig. Proveedores de Servicios DDNS soportados
www.dyndns.com www.dynu.com www.no-ip.com www.oray.cn www.3322.org
Pulse en Configuration > Network > DDNS para abrir la pantalla con el resumen de los diferentes perfiles creados con la configuracin del DDNS. Esta pantalla te permitir aadir nuevos nombres de dominios, editar la configuracin para los nombres de dominio existentes, y borrar los nombres de dominio.
Fig. Resumen de perfiles de configuracin DDNS

Pg. 74/316
Si pulsamos sobre Aadir o Editar nos aparecer una ventana de configuracin para rellenar con los datos de la cuenta del nombre de dominio.
Fig. Configuracin de un perfil DDNS
En la pestaa DDNS Status se muestra el estado del uso de los nombres de dominios empleados en el DDNS del ZyWALL. Pulse sobre Monitor > System Status > DDNS Status para abrir la ventana siguiente.
Fig. Estado del uso de los perfiles DDNS

Pg. 75/316
6.13. Aplicaciones de VoIP con USG

La VoIP consiste en el transporte de trfico de voz utilizando el protocolo de Internet (IP). Es un sustituto eficiente de la PSTN (Plain Old Telephone Network o red Telefnica Bsica convencional) y actualmente se usa cada vez ms en las empresas. Sin embargo, el cliente SIP VoIP es una aplicacin NAT poco amigable. El USG con su funcin ALG, es compatible con la mayora de los dispositivos de VoIP en los diferentes escenarios.
6.13.1. Lista de Dispositivos VoIP Soportados
Fig. - Lista de dispositivos VoIP soportados

Pg. 76/316
6.13.2. Escenario VoIP en NAT

El SIP VoIP es por naturaleza una aplicacin NAT poco amigable, ya que utiliza un puerto diferente para el trfico RTP (flujo de voz) del de iniciacin de sesin, que es por defecto UDP 5060. Actualmente existen las siguientes soluciones para solventar la incompatibilidad entre SIP y NAT: SIP ALG en la pasarela NAT STUN Proxy saliente Soluciones en los dispositivos del cliente SIP (como Use NAT en los clientes VoIP de ZyXEL).
El USG ZyWALL soporta ALG. El administrador de red necesita validar SIP ALG en el ZyWALL. De esta manera, puede desplegar soluciones VoIP en diferentes escenarios NAT, independientemente de que el servidor SIP est en Internet o en la red local.
6.13.3. Servidor SIP en Internet

6.13.3.1. Escenario de Aplicacin En el escenario inferior, el servidor SIP est en Internet. Hay clientes SIP en la red local del USG y en Internet. Todos los clientes estn registrados en el servidor SIP. Queremos que todos puedan llamar a todos: Los clientes locales puedan llamar a los de Internet. Los clientes de Internet puedan llamar a los clientes locales Los clientes locales se puedan llamar entre s.
Fig. Servidor SIP en Internet

Pg. 77/316
6.13.3.2. Pasos de Configuracin Se necesita habilitar SIP ALG en el ZyWALL para que este escenario funcione. Ir a Configuration > Network > ALG, habilitar SIP ALG y SIP Transformations.
Fig. - Habilitar SIP ALG y SIP Transformations
Una vez activadas estas funciones, hay que registrar todos los clientes en el servidor SIP de Internet, de esta manera todos los clientes pueden llamarse entre ellos, independientemente de que estn en la red local o en Internet.
6.13.4. Servidor SIP en la Red Local

6.13.4.1. Escenario de Aplicacin En el escenario inferior, el servidor SIP est en la red local. Hay clientes SIP en la red local del USG y en Internet. Todos los clientes estn registrados en el servidor SIP. Queremos que todos puedan llamar a todos: Los clientes locales puedan llamar a los de Internet. Los clientes de Internet puedan llamar a los clientes locales Los clientes locales se puedan llamar entre s. Los clientes de Internet se puedan llamar entre s.
Fig. - Servidor SIP en la red local

Pg. 78/316
6.13.4.2. Pasos de Configuracin Paso 1. Ir a Configuration > Network > NAT, aadir una regla NAT para mapear el trfico SIP al servidor SIP local.
Fig. - Aadir regla NAT para mapear el trfico SIP
Paso 2. Ir a Configuration > Firewall, aadir una regla de cortafuegos para permitir el trfico SIP desde la WAN al servidor SIP local.
Fig. - Aadir regla de cortafuegos

Pg. 79/316
Paso 3. Ir a Configuration > Network > ALG, habilitar SIP ALG y SIP Transformations.
Fig. - Habilitar SIP ALG y SIP Transformations
Una vez realizadas estas configuraciones, todos los clientes se pueden registrar en el servidor local y se pueden llamar entre ellos, independientemente de que se encuentren en la red local o en Internet.
6.13.5. Escenario VoIP en VPN

6.13.5.1. Escenario de Aplicacin En el escenario inferior, la X6004 se encuentra en la red local de la sede central. Hay clientes SIP en esta red local, as como en las redes locales de las sucursales. Los clientes SIP se quieren registrar en el servidor SIP (X6004) de una manera segura a travs de tneles VPN. Para cumplir con los requerimientos exigidos, todas las sucursales deben establecer tneles IPSec VPN con el USG de la sede central. Asimismo, para permitir que los clientes SIP de las sucursales se puedan llamar entre s a travs de los tneles VPN, el administrador de red debe crear un concentrador IPSec VPN para incluir todos los tneles establecidos con las sucursales.
Fig. - Escenario VoIP en VPN

Pg. 80/316
6.13.5.2. Pasos de Configuracin Informacin de direcciones IP en el USG de la sede central y los USGs de las sucursales:
HQ USG: WAN IP: 172.25.27.140 LAN1 subnet: 192.168.1.0/24 X6004 IP: 192.168.1.33 Branch office 1(Br1) USG: WAN IP: 172.25.27.90 LAN1 subnet: 192.168.4.0/24 Branch office 2 (Br2) USG: WAN IP: 172.25.27.39 LAN1 subnet: 192.168.5.0/24
En el USG de la sede central (HQ USG): Paso 1. Ir a Monitor > System Status > Interface Status, aadir verificar la informacin IP del interfaz.
Fig. - Verificar informacin IP del interfaz
Paso 2. Ir a Configuration > Object > Address, aadir objetos de direcciones para las subredes locales Br1 y Br2 para uso posterior en la configuracin IPSec VPN.
Fig. - Objetos de direcciones para las subredes Br1 y Br2

Pg. 81/316
Paso 3. Ir a Configuration > VPN > IPSec VPN > VPN Gateway, aadir reglas de fase 1 VPN para los tneles hacia Br1 y Br2: A Br1:
My Address: WAN1 IP (172.25.27.140) Peer Gateway Address: Br1 WAN IP (172.25.27.90)
Fig. - Aadir regla de fase 1 VPN hacia Br1

Pg. 82/316
A Br2:
My Address: WAN1 IP (172.25.27.140) Peer Gateway Address: Br2 WAN IP (172.25.27.37)
Paso 4. Ir a Configuration > VPN > IPSec VPN > VPN Connection, aadir reglas de fase 2 VPN hacia Br1 y Br2: A Br1:
Local policy: local LAN1 subnet (192.168.1.0/24) Remote policy: Br1 local subnet (192.168.4.0/24)

Pg. 83/316
A Br2:
Local policy: local LAN1 subnet (192.168.1.0/24) Remote policy: Br2 local subnet (192.168.5.0/24)

Pg. 84/316
Paso 5. Ir a Configuration > VPN > IPSec VPN > Concentrator, crear un concentrador VPN. Este concentrador debiera incluir todos los tneles VPN IPSec hacia las sucursales.
Fig. - Crear un concentrador VPN

Pg. 85/316
Paso 6. Ir a Configuration > Network > Zone. Por defecto, Block Intra-zone est habilitado para la zona IPSec VPN. Se debe deshabilitar.
Fig. - Deshabilitar el trfico Block Intra-zone
En ZLD v2.20, el enrutamiento para el trfico VPN se crea automticamente de acuerdo con las rutas de polica local y remota de fase 2 VPN. As, no se necesita aadir rutas de polica para el trfico desde la subred local de la sede central hacia las subredes de las sucursales. Sobre Br1: Paso 1. Ir a Monitor > System Status > Interface Status, verificar la informacin IP del interfaz para uso posterior en la configuracin VPN IPSec.
Fig. - Verificacin informacin IP del interfaz

Pg. 86/316
Paso 2. Ir a Configuration > Object > Address, aadir objeto de direccin de la subred local de la sede central para uso posterior de la configuracin VPN IPSec. Y un objeto de direcciones de rango para uso posterior en la configuracin de ruta de polica para enrutar el trfico de las redes locales de las sucursales a los tneles VPN. Este objeto de rango debiera cubrir todas las subredes locales de las sucursales. En este caso, se ha creado como 192.168.1.0~192.168.5.255.
Fig. - Aadir objeto de direccin de la subred local de la sede central
Paso 3. Ir a Configuration > VPN > IPSec VPN > VPN Gateway, aadir una regla de fase 1 VPN para constituir el tnel hacia la sede central.
My Address: WAN1 IP (172.25.27.90) Peer Gateway Address: HQ WAN IP (172.25.27.140)
Fig. - Aadir regla de fase 1 VPN para constituir el tnel hacia la sede central

Pg. 87/316
Paso 4. Ir a Configuration > VPN > IPSec VPN > VPN Connection, aadir una regla de fase 2 VPN para constituir el tnel hacia la sede central.
Local policy: local LAN1 subnet (192.168.4.0/24) Remote policy: HQ local subnet (192.168.1.0/24)
Fig. - Aadir regla de fase2 VPN para constituir el tnel hacia la sede central
Paso 5. Ir a Configuration > Network > Routing > Policy Route, aadir una regla de ruta de polica para enrutar el trfico de las subredes locales de las sucursales hacia el tnel VPN con la sede central.
Incoming interface: LAN1 Source: LAN1_Subnet (192.168.4.0/24) Destination: range_br(192.168.1.0~192.168.5.255) Next Hop: VPN tunnel to_HQ
Fig. Regla para enrutar el trfico de las subredes locales de las sucursales hacia el tnel VPN con la sede central.

Pg. 88/316
Sobre Br2: Paso 1. Ir a Monitor > System Status > Interface Status, verificar la informacin IP del interfaz para uso posterior en la configuracin IPSec VPN.
Fig. - Verificacin de la informacin IP del interfaz
Paso 2. Ir a Configuration > Object > Address, aadir objeto de direccin de la subred local de la sede central para uso posterior de la configuracin VPN IPSec. Y un objeto de direcciones de rango para uso posterior en la configuracin de ruta de polica para enrutar el trfico de las redes locales de las sucursales a los tneles VPN. Este objeto de rango debiera cubrir todas las subredes locales de las sucursales. En este caso, se ha creado como 192.168.1.0~192.168.5.255.
Fig. - Aadir objeto de direccin de la subred local de la sede central
Paso 3. Ir a Configuration > VPN > IPSec VPN > VPN Gateway, aadir una regla de fase 1 VPN para constituir el tnel hacia la sede central.
My Address: WAN1 IP (172.25.27.37) Peer Gateway Address: HQ WAN IP (172.25.27.140)

Pg. 89/316
Paso 4. Ir a Configuration > VPN > IPSec VPN > VPN Connection, aadir regla de fase 2 VPN para constituir el tnel hacia la sede central.
Local policy: local LAN1 subnet (192.168.5.0/24) Remote policy: HQ local subnet (192.168.1.0/24)

Pg. 90/316
Paso 5. Ir a Configuration > Network > Routing > Policy Route, aadir una regla de ruta de polica para enrutar el trfico de las subredes locales de las sucursales hacia el tnel VPN IPSec con la sede central.
Incoming interface: LAN1 Source: LAN1_Subnet (192.168.5.0/24) Destination: range_br(192.168.1.0~192.168.5.255) Next Hop: VPN tunnel to_HQ
Fig. - Aadir una regla de ruta de polica para enrutar el trfico de las subredes locales de las sucursales hacia el tnel VPN con la sede central.

Pg. 91/316
Ya que los clientes SIP de las sucursales se registran en el servidor SIP a travs de tneles VPN IPSec, el trfico VoIP no pasa por el NAT y se puede dejar el SIP ALG deshabilitado en todos los ZyWALL USG.
Fig. - Deshabilitar el SIP ALG en el ZyWALL USG
Una vez realizadas todas las programaciones, tanto en la sede central como en las sucursales, establecer los tneles.
Fig. - Establecer los tneles
Todos los clientes VoIP se tienen que registrar en el servidor SIP a travs de tneles VPN para poder realizar llamadas VoIP entre ellos a travs de dichos tneles.

Pg. 92/316
7. Configuracin del Firewall

Un Firewall es un dispositivo de red segura entre su Intranet y el Internet, pueden ser de tipo hardware o un software instalado en un ordenador.
Fig. En este escenario el Firewall bloquea las peticiones FTP
En cuanto a las caractersticas ms notables podemos indicar: Stateful Inspection- El ZyWALL restringe el acceso de paquetes de datos definiendo reglas de acceso. Por ejemplo, el trfico de una zona no est permitido a menos que sea iniciada por un equipo de otra zona en primer lugar. Zones- Una zona es un grupo de interfaces o tneles VPN. Puede agrupar los interfaces del ZyWALL en zonas diferentes basndose en sus necesidades. Puede configurar reglas para dejar pasar el trfico entre zonas o entre interfaces y/o tneles VPN en una zona. Global Firewall Rules- Las reglas del Firewall con origen o destino any como direccin del paquete se denominan Global Firewall Rules. Esta regla es la nica regla que el firewall aplica a un Interfaz que no est incluido en una zona. Firewall Rule Criteria- El ZyWALL verifica el nombre de usuario, direccin IP origen, direccin IP destino y tipo de protocolo de red en contra de las reglas del firewall. Cuando el trfico coincide con una regla, el ZyWALL realiza la accin especificada para esa regla. User Specific Firewall Rules- Puede especificar usuarios o grupos en las reglas del firewall. Por ejemplo, puede permitir a un usuario especfico desde cualquier ordenador accede a una zona logndose en el ZyWALL. Puede configurar una regla basada nicamente en el nombre de usuario.

Pg. 93/316
Fig. En este escenario el Firewall bloquea accesos entre zonas
La configuracin del Firewall de ZyXEL es sencilla e intuitiva. Utilice el servidor de seguridad para bloquear o permitir los servicios, protocolos o cualquier trfico entre las zonas de transmisin origen y destino. El Firewall viene pre-configurado con unas reglas por defecto con las siguientes acciones por defecto:
Fig. Escenario con las Acciones por defecto del Firewall
El usuario 1 puede inicializar una sesin Telnet desde la zona LAN1 y las respuestas a esta peticin son permitidas. Sin embargo, el trfico Telnet iniciado desde la zona WAN o DMZ hacia la zona LAN1 est bloqueado. Las reglas del Firewall estn agrupadas basndose en la direccin en que viajan los paquetes que se apliquen. A continuacin se muestra el comportamiento por defecto del firewall para el trfico que viaja a travs del ZyWALL.

Pg. 94/316
De Zona a Zona De LAN1 a LAN1 De LAN1 a WAN De LAN1 a DMZ De LAN1 a WLAN De LAN1 a LAN1 De WLAN a LAN1 De WLAN a WAN De WLAN a DMZ De WLAN a WLAN De WAN a LAN1 De WAN a DMZ De WAN a WLAN De WAN a WAN De DMZ a LAN1 De DMZ a WAN De DMZ a WLAN De DMZ a DMZ
Accin de la Inspeccin del Firewall (Stateful Packet Inspection) Permitido Permitido Permitido Permitido Permitido Permitido Permitido Permitido Permitido Bloqueado Permitido Permitido Bloqueado Bloqueado Permitido Bloqueado Bloqueado
Fig. Configuracin con las Acciones por defecto del Firewall
Para acceder a la configuracin de las reglas del Firewall nos desplazaremos por el Panel de Navegacin sobre el men Configuration > Firewall. Desde aqu podemos establecer el nmero mximo de sesiones por Host, as como la configuracin de las diferentes reglas en funcin del sentido de la comunicacin.
Fig. Ventana principal de configuracin del Firewall

Pg. 95/316
Por ejemplo editamos la regla WAN to LAN1, y rellenamos los campos que se nos piden en funcin de un horario de aplicacin, usuario, origen, destino, servicio y permitir o no el acceso, y registrarlo en el Log del sistema.
Fig. Edicin de regla de Firewall WAN to LAN1
7.1. Ejemplo de configuracin de reglas de Firewall

En este ejemplo vamos a hacer que el ordenador con la direccin IP 192.168.1.7 de nuestra LAN1 sea el nico que tenga acceso al servicio IRC. Por lo que vamos a crear una serie de reglas de Firewall para que suplan nuestra necesidad. La primera fila permite al ordenador de la LAN1 con direccin IP 192.168.1.7 acceder al servicio IRC en la WAN. La segunda fila bloquea el acceso desde la LAN hacia el servicio IRC en la WAN. La tercera fila es la poltica por defecto, que permite todo el trfico desde la LAN hacia la WAN.

Pg. 96/316
Fig. Ejemplo de regla de Firewall
Para configurar estas reglas en el ZyWALL pulsaremos sobre el men Configuration > Firewall ubicado en el Panel de Navegacin. Pulsaremos sobre el icono Add para crear una nueva regla de firewall.
Fig. Ejemplo de creacin de regla de Firewall
En la pantalla de configuracin especificaremos el servicio a inspeccionar por el firewall, as como la accin deny para cuando se produzca la coincidencia con la regla. Si no tenemos los objetos creados los podemos crear desde esta ventana.

Pg. 97/316
Fig. Denegamos cualquier trfico con uso del servicio IRC
Para permitir al ordenador con la IP 192.168.1.7 acceder al servicio IRC en la WAN, debemos crear otra regla de firewall. En esta regla necesitamos especificar qu host y qu protocolo estn permitidos.
Fig. Permitimos el trfico con origen 192.168.1.7 el uso del servicio IRC
La regla para el ordenador 192.168.1.7 debe de tener una prioridad mayor que la regla que bloquea el trfico con origen toda la LAN usar el servicio IRC en la WAN.

Pg. 98/316
Si sta regla hubiera estado primero, la IP 192.168.1.7 podra coincidir con esta regla y el ZyWALL tirara el paquete y no verificara otras reglas de firewall.
Fig. Verificacin del orden de prioridad de las reglas de firewall

Pg. 99/316
8. Configuracin del Balanceo de Carga (Trunks)

El balanceo de carga (trunk) se utiliza para balancear el trfico de los interfaces WAN y as aumentar la eficacia y fiabilidad de la red, cuando se dispone de varias conexiones a Internet con diferentes anchos de banda. Asimismo, el ZyWALL puede enviar el trfico de cada ordenador local que est yendo al mismo destino, a travs de un nico interfaz WAN por un determinado periodo de tiempo (link sticking). Esto es til cuando un servidor requiere autenticacin. Por ejemplo, el ZyWALL enva el trfico de un usuario a travs de una direccin IP WAN cuando se registra en un servidor B. Si las siguientes sesiones proceden de diferentes direcciones IP WAN, el servidor podra rechazarlas.
Fig. Escenario para Link Sticking
En la figura anterior: 1. El usuario A de la LAN se registra en el servidor B en Internet. El ZyWALL utiliza la WAN 1 para enviar el requerimiento al servidor B. 2. El ZyWALL est utilizando balanceo de carga activo/activo. As, cuando el usuario A de la LAN intenta acceder a algn contenido de B, el requerimiento sale a travs de la WAN 2. 3. El servidor identifica que el requerimiento viene de la direccin IP WAN 2 en vez de la de WAN 1 y lo rechaza. Si se hubiera configurado el link sticking, el ZyWALL habra utilizado el WAN 1 para enviar el requerimiento del usuario A de la LAN al servidor y ste le habra dado acceso.

Pg. 100/316
Para habilitar la funcin de link sticking, vaya al men Configuration > Network > Interface > Trunk
Fig. Habilitacin del Link Sticking
Desde esta misma pantalla, se puede aadir o editar un perfil personalizado de balanceo de carga, y seleccionar el algoritmo de balanceo de carga:
Fig. Seleccin del modo de Balanceo
Se pueden establecer diferentes algoritmos de balanceo segn las necesidades de cada caso:

Pg. 101/316
Least load first. Enva los paquetes primero por la interfaz menos cargada. Weighted round robin. Realiza un Round Robin ponderado enviando los paquetes en funcin de una relacin de velocidad entre las interfaces. Spillover. Cuando se sobrepasa el umbral especificado se enva el trfico por la otra interfaz.
8.1. Least Load First

En este algoritmo se realizar una relacin entre el ancho de banda total y el utilizado, en subida y en bajada, para determinar por qu interfaz se enrutar el datagrama. Un ndice menor indicar el interfaz elegido. Es el algoritmo configurado por defecto.
Fig. Algoritmo Least Load First
La utilizacin del ancho de banda de salida se toma como referencia para calcular el ndice de balanceo de carga. En el ejemplo, el trfico de salida de la WAN1 es 412K y el de la WAN2 de 198 K. El ZyWALL calcula el ndice de balanceo de carga segn la tabla adjunta:
Para configurar este algoritmo nos vamos al men Configuration > Networking > Interface > Trunk, y seleccionamos el algoritmo Least Load First y los interfaces WAN involucrados en modo Active:

Pg. 102/316
Fig. Configuracin del Least Load First
8.2. Weighted Round Robin

En este Algoritmo se realiza un Round Robin ponderado en funcin de un ratio entre interfaces.
Fig. Algoritmo Weighted Round Robin
Para configurar este algoritmo nos vamos al men Configuration > Networking > Interface > Trunk, y seleccionamos el algoritmo Weighted Round Robin y sobre los interfaces WAN involucrados aplicamos un valor de ponderacin a modo de ratio:

Pg. 103/316
Fig. Configuracin del Weighted Round Robin
8.3. Spillover
En este Algoritmo se configura un umbral de ancho de banda, que al ser sobrepasado se realizar un cambio para que se enve el trfico por la otra interfaz miembo del trunk.
Fig. Algoritmo Spillover

Pg. 104/316
Para configurar este algoritmo nos vamos al men Configuration > Networking > Interface > Trunk, y seleccionamos el algoritmo Spillover y dejamos en modo Passive al interfaz secundario que queremos usar para enviar los datos una vez superado el umbral configurado de las interfaces Active.
Fig. Configuracin del Spillover
En este caso tanto la wan1 como la wan2 estn configuradas en modo Active. Sobre la wan1 se ha establecido un umbral de 8000 Kbps, que una vez superado se empezarn a enviar los datos por el segundo miembro del trunk, la interfaz wan2.

Pg. 105/316
9. Gestin del Ancho de Banda

9.1. Desde el Policy Route
La Gestin del Ancho de Banda que se realiza desde el Policy Route no requiere de una licencia, pero est limitada a la gestin del ancho de banda de subida. Para configurar el Address Mapping del NAT nos iremos a la barra lateral de men Configuration > Network > Routing > Policy Route. Dentro habilitaremos la gestin del ancho de banda Enable BMW, y podremos aadir o modificar reglas de configuracin. Por ejemplo vamos a aadir una nueva regla.
Fig. Configuracin del Policy Route
Al aadir una nueva regla nos aparecer un formulario para que introduzcamos un nombre para esta regla, el origen y destino de los datos, un horario de utilizacin, y el puerto del servicio a limitar. En las opciones de ancho de banda, seleccionaremos un ancho de banda mximo de subida para utilizacin de este servicio, as como un nivel de prioridad. Tambin podremos maximizar la utilizacin del ancho de banda. En la regla del ejemplo que hemos creado se va a limitar a 100Kbs la subida mxima para el usuario del PC_33 para la utilizacin del servicio ARES_tcp. Al poseer un nivel 5 de prioridad, cualquier regla que tenga un nmero inferior a prioridad, se transmitir antes que los datos del servicio limitado.

Pg. 106/316
Fig. Configuracin del Ancho de Banda en el Policy Route

Pg. 107/316
Quedando finalmente la regla de la siguiente forma:
Fig. Regla de Policy Route con configuracin del Ancho de Banda aplicada
9.2. Desde el Application Patrol

La Gestin del Ancho de Banda que se realiza desde el Application Patrol es ms flexible y potente que la Gestin de Ancho de banda que se realiza en las reglas del Policy Routes. Permite la gestin del ancho de banda de subida, y del ancho de banda de bajada, por lo que es ms completa que la que se realiza de forma gratuita desde el Policy Route. Por lo que requiere una licencia de utilizacin del mismo. As mismo controla trfico TCP y UDP. La Gestin del Ancho de Banda en las Policy Routes tine prioridad sobre la Gestin de Ancho de Banda del Application Patrol, por lo que recomendamos usar el Application Patrol en vez de Policy routes para gestionar el ancho de banda de trfico TCP y UDP. La Gestin del Ancho de Banda permite realizar configuraciones especficas por usuario e interfaz en funcin de la configuracin de los planificadores.
Planificadores: - Inbound: Reserva Ancho de Banda de entrada - Outbound: Reserva Ancho de Banda de salida - Priority: Asigna un nivel de prioridad de 1 a 7 (1 mayor prioridad)

Pg. 108/316
Previamente tenemos que habilitar tanto el Application Patrol como la gestin de Ancho de Banda desde el men Configuration > App Patrol > General
Fig. Gestin del Ancho de Banda
Para configurar la Gestin de Ancho de Banda nos iremos a la barra de mens lateral Configuration > AppPatrol > Other. Y aadiremos una nueva regla.
Fig. Creacin de regla de Gestin del Ancho de Banda
En dicha regla de configuracin podremos elegir el puerto, horario de aplicacin, usuario, interfaces origen y destino, direccin origen, direccin destino, protocolo, permitir o no el paso, y el control del ancho de banda del trfico de subida y de bajada. La opcin DSCP Marking permite aadir un marcado de Calidad de Servicio (QoS) a este tipo de trfico para que otros dispositivos compatibles con DiffServ puedan interpretar dicho trfico con otra prioridad. Entre las opciones posibles podemos no marcar este trfico preserve, marcarlo con el valor 0 default, o marcarlo con diferentes tipos de clase y codificacin DSCP segn los siguientes valores de Assured Forwarding:

Pg. 109/316
Fig. Configuracin del Ancho de Banda
Una vez configuradas las reglas del Ancho de Banda podremos visualizar de manera grfica la utilizacin de dicho Ancho de Banda por una serie de servicios dentro de la barra de mens Monitor > AppPatrol Statistics. Podremos seleccionar todos los protocolos disponibles a examinar su utilizacin de ancho de banda, o seleccionar los que queramos de los disponibles.
Fig. Representacin Grfica de utilizacin del Ancho de Banda

Pg. 110/316
Del mismo modo, en la misma ventana, pero ms abajo podremos encontrar una visualizacin con los valores de paquetes transmitidos y recibidos de la utilizacin del Ancho de Banda.
Fig. Representacin Numrica de utilizacin del Ancho de Banda

Pg. 111/316
9.2.1 Ejemplo de Aplicacin Gestin de Ancho de Banda en Application Patrol

En este ejemplo vamos a suponer que disponemos de una lnea ADSL de 8Mbps de bajada y 1Mbps de subida. Vamos a hacer uso de las polticas del Application Patrol para gestionar ese ancho de banda de subida de 1 Mbps segn nuestros requisitos: El trfico SIP de los clientes VIP debe de salir con el menor retardo posible sin tener en cuenta que sea una llamada entrante o saliente. Los clientes VIP deben de poder realizar y recibir llamadas SIP sin importar el interface donde estn conectados. El trfico HTTP tendr prioridad sobre el trfico FTP. El trfico FTP desde la WAN a la DMZ debe de estar limitado para no interferir ni el trfico SIP, ni trfico HTTP. El trfico FTP desde la LAN1 a la DMZ puede usar ms ancho de banda dado que los interfaces soportan conexiones de hasta 1Gbps , pero deben ser la prioridad ms baja, y estar limitados para no interferir ni el trfico SIP, ni el trfico HTTP.
Fig. Escenario de Ejemplo

Pg. 112/316
1.) Primeramente vamos a asignar la velocidad de subida del interface WAN a 1000Kbps. Ya que en la lnea ADSL contratada disponemos de 1Mbps. Lo asignaremos desde el men Configuration > Interface > Ethernet > wan1
Fig. Asignacin de 1000Kbps al interface wan1
En el men Configuration > AppPatrol, habilitaremos el Application Patrol, el BWM, y la mayor prioridad de ancho de banda para trfico SIP.
Fig. Activacin del AppPatrol, BWM y prioridad para trfico SIP
As mismo nos moveremos a la pestaa VoIP, en la que editaremos la regla creada sobre el servicio SIP.
Fig. Edicin de la regla del servicio SIP

Pg. 113/316
Aadiremos dos reglas para trfico de LAN to WAN, y de DMZ to WAN, asignando un ancho de banda de salida de 200Kbps, prioridad 1, y activando el Maximize Bandwidth Usage. Y dos reglas para trfico WAN to LAN, y de WAN to DMZ, asignando un ancho de banda de entrada de 200Kbps, prioridad 1, y activando el Maximize Bandwidth Usage:
Fig. Esquema de la gestin de ancho de banda para trfico SIP
Fig. Ejemplo de creacin de regla de configuracin para el servicio SIP

Pg. 114/316
Fig. Resumen de reglas del AppPatrol para el servicio SIP
2.) El trfico de entrada dispondr de un ancho de banda mayor, ya que probablemente los usuarios locales descarguen ms trfico de lo que suben. Desde la pestaa Common editaremos la regla creada sobre el servicio HTTP. Asignaremos la prioridad 2 para el trfico HTTP, y habilitaremos el maximize bandwidth usage para que el trfico HTTP pueda hacer uso del ancho de banda excedente que no est en uso.
Fig. Esquema de la gestin de ancho de banda para trfico HTTP

Pg. 115/316
Fig. Ejemplo de creacin de regla de configuracin para el servicio HTTP
Fig. Resumen de reglas del AppPatrol para el servicio HTTP
3.) La lnea ADSL soporta ms trfico de bajada que de subida, por lo que a los clientes remotos les permitiremos un ancho de banda de 300Kbps para subida de ficheros al servidor FTP tras la DMZ y solamente 100Kbps de bajada. Desde la pestaa Common editaremos la regla creada sobre el servicio FTP. Asignaremos la prioridad 3 para el trfico FTP, y deshabilitaremos el maximize bandwidth usage para no proveer de un ancho de banda extra a este tipo de trfico.

Pg. 116/316
Fig. Esquema de la gestin de ancho de banda para trfico FTP
Fig. Ejemplo de creacin de regla de configuracin para el servicio FTP
4.) Las zonas LAN y DMZ estn conectadas a redes Ethernet, por lo que no necesitan del ADSL para comunicarse entre s. Por lo que limitaremos un ancho de banda de 50Mbps para subida y para bajada. Asignaremos la prioridad 4 para este trfico FTP, y deshabilitaremos el maximize bandwidth usage para no proveer de un ancho de banda extra a este tipo de trfico.
Fig. Esquema de la gestin de ancho de banda para trfico FTP

Pg. 117/316
Fig. Resumen de reglas del AppPatrol para el servicio FTP

Pg. 118/316
10. NAT
10.1. Configuracin del Servidor Virtual
Es una prctica bastante comn en las empresas situar los servidores corporativos detrs de los ZyWALLs USG de proteccin, y al mismo tiempo, permitir a los clientes/servidores del lado WAN el acceso a los servidores intranet. Por ejemplo, la empresa puede tener un servidor de correo al que necesitan conectarse clientes y servidores de correo internet o servidores web, servidores ftp, etc. a los que se requiere poder acceder desde Internet. Las reglas del Servidor Virtual se deben configurar para permitir todas estas aplicaciones.
10.1.1. Escenario de Red

En el escenario inferior, el administrador de red quiere que al servidor web (192.168.1.5) se pueda acceder desde WAN1 y al servidor web (192.168.1.6) se pueda acceder desde WAN2.
Fig.- Escenario de Red
10.1.2. Pasos de Configuracin

1. Ir a Configuration > Network > NAT, pulsar el botn Add para aadir una regla NAT.
Fig. - Aadir una regla NAT

Pg. 119/316
2. En la ventana de edicin de la regla, rellenar todos los campos necesarios. Port Mapping Type: Seleccionar el Servidor Virtual. Incoming Interface: Seleccionar wan1 para el servidor web, ya que se quiere acceder desde WAN1. Original IP: Se puede elegir User Defined, y manualmente introducir la direccin IP de la WAN1. O se puede crear primero un objeto de direccin desde el campo Create new Object y escoger este objeto desde la lista desplegable de IP Original. Mapped IP: Especifica la direccin IP del servidor. En este caso es 192.168.1.5. Se puede crear primero un objeto y seleccionar la direccin de la lista desplegable. Port Mapping: En este caso, para evitar conflictos con el puerto http del USG, establecemos como puerto original TCP 8080 y como puerto mapeado TCP 80.
Fig. - Aadir reglas de NAT
Siguiendo los pasos indicados anteriormente, aadir las reglas del servidor virtual para que el servidor de correo pueda reenviar SMTP y POP3 desde el interfaz WAN2 hacia el servidor 192.168.1.6.

Pg. 120/316
Fig. - Aadir reglas del servidor virtual
No hay que olvidar configurar las reglas correspondientes al cortafuegos para permitir el trfico http, smtp y pop3 desde el interfaz WAN hacia los servidores LAN.
Fig. - Configuracin reglas del cortafuegos
Obsrvese que para la regla del cortafuegos de encaminamiento al servidor web, se usa el puerto TCP 80 en lugar del TCP 8080. Ello es debido a que en el flujo general de paquetes, el proceso DNAT precede a la comprobacin del cortafuegos.

Pg. 121/316
10.2. Configuracin de NAT Uno a Uno

El NAT Uno a Uno asegura el mapeo local IP con un nico mapeo IP global, independientemente de que el trfico sea saliente desde el entorno local hacia Internet o entrante desde Internet hacia el entorno local.
Fig. - Escenario de NAT Uno a Uno
En el escenario superior, se mapea la direccin IP global WAN 200.0.0.1 a la 192.168.1.5 del servidor web de la intranet. As, cuando un cliente http quiere acceder al servidor, su IP original es 200.0.0.1. Despus de que el USG reciba el trfico, mapea la direccin de destino a 192.168.1.5. Cuando el servidor responde, su IP fuente original es 192.168.1.5; cuando el USG la recibe la traducir a 200.0.0.1 y la enviar al cliente Internet. Una vez que la regla NAT Uno a Uno se ha configurado, el USG generar automticamente una regla de enrutamiento Uno a Uno en el sistema. As, cuando el servidor 192.168.1.5 inicia el trfico para acceder a Internet, si no hay ruta de polica aplicable, el USG utilizar este enrutamiento Uno a Uno, enviar el trfico a travs del interfaz WAN 200.0.0.1 y mapear la direccin origen a 200.0.0.1.

1. Nos vamos al men Configuration > Network > NAT, y pulsamos el botn Add para aadir una regla NAT.

Pg. 122/316
2. En la ventana de edicin de la regla, rellenar todos los campos necesarios: Port Mapping Type: 1:1 NAT. Incoming Interface: Seleccionar el interfaz WAN del que se quiera que el USG reciba el trfico entrante hacia el servidor. Original IP: Se puede elegir User Defined e introducir manualmente la IP WAN1. O se puede primero crear un objeto de direccin desde el campo Create new object y luego seleccionar este objeto desde la lista desplegable de Original IP. Mapped IP: Especifica la direccin IP del servidor. En este caso, 192.168.1.5. Se puede tambin crear primero un objeto y luego seleccionarlo desde la lista desplegable. Port Mapping: En este caso, elegimos Service como tipo de mapeo y servicio http.
Fig. - Ventana de edicin de reglas
No hay que olvidar configurar la regla de cortafuegos correspondiente, para permitir el trfico http desde el interfaz WAN hasta el servidor LAN 192.168.1.5.

Pg. 123/316
Fig. - Configuracin regla de cortafuegos
10.3. Configuracin NAT Varios Uno a Uno

La regla NAT Varios Uno a Uno se corresponde con la programacin de una serie de reglas NAT Uno a Uno. El nmero de direcciones IP del Rango/Subred IP original, debiera igualar al nmero de direcciones IP en el Rango/Subred mapeado. La primera IP del rango original se mapear sobre la primera IP del rango mapeado, la segunda sobre la segunda y as sucesivamente.
10.3.1. Escenario de Aplicacin
Fig. - Escenario de aplicacin NAT Varios Uno a Uno

Pg. 124/316

2. En la ventana de edicin de la regla, rellenar todos los campos necesarios. Port Mapping Type: Varias 1:1 NAT. Incoming Interface: Seleccionar el interfaz WAN del que se quiera que el USG reciba el trfico entrante hacia los servidores. Original IP: Se puede primero crear objetos de direcciones para los rangos IP original y mapeado desde el campo Create new object y luego seleccionar estos objetos desde la lista desplegable de Original IP. Mapped IP: Seleccionar el objeto direccin desde la lista desplegable. Port Mapping: Slo se puede configurar como any.

Pg. 125/316
Una vez terminada la configuracin de la regla NAT, quedara de la siguiente forma:
Fig. - Estado final configuracin regla NAT
Una vez que se ha configurado la regla NAT Varios Uno a Uno, se generar automticamente un conjunto de reglas de enrutamiento Uno a Uno en el ZyWALL USG. No hay que olvidar configurar la regla de cortafuegos correspondiente para permitir el trfico desde el interfaz WAN al rango del servidor LAN.
Fig. - Configuracin regla de cortafuegos
10.4. Loopback NAT

Los servidores corporativos se localizan en la red local del USG ZyWALL. Se pueden crear reglas de servidor virtual o reglas NAT 1:1 para permitir a los clientes del lado WAN conectar con el servidor. Se puede tambin necesitar que el servidor sea accesible por los clientes locales a travs de la direccin IP global del servidor. Por ejemplo, los clientes locales intentan acceder al servidor corporativo por su nombre de dominio. El nombre de dominio ser resuelto a la direccin IP global mediante el DNS. Bajo esta circunstancia, se puede habilitar el Loopback NAT.

Pg. 126/316

El servidor corporativo 192.168.1.5 se sita en la subred local, el cliente local 192.168.1.33, que est en la misma subred que el servidor, quiere acceder al servidor a travs de la IP global del USG. La validacin del NAT loopback permite esta aplicacin.
Fig. - Validacin del NAT Loopback

Fig. - Aadir regla NAT
2. En la ventana de edicin de la regla, rellenar todos los campos necesarios y validar el NAT loopback.

Pg. 127/316
Una vez habilitado el NAT loopback, no se requiere poltica de rutas., ya que el USG comprobar automticamente la tabla de enrutamiento. Solamente har SNAT para los clientes locales de la misma subred que el servidor. Las direcciones origen de los clientes del lado WAN y los clientes locales de las otras subredes, permanecern como en el original.
10.5. NAT con Proxy ARP

A veces el usuario puede querer utilizar alguna IP de no interfaz como IP global para algunos servidores, o querer hacer SNAT para que algn tipo de trfico local mapee la direccin origen sobre alguna IP de no interfaz. Por ejemplo, el usuario tiene 3 IP pblicas: 200.0.0.1, 200.0.0.2 y 200.0.1.1. Configura 200.0.0.1 como WAN1 IP, 200.0.1.1 como WAN2 IP y quiere que los usuarios utilicen 200.0.0.2 para acceder al servidor de intranet, p.e. en 192.168.1.5, aadiendo una regla NAT como sigue: Incoming Interface: WAN1 Original IP: 200.0.0.2 Mapped IP: 192.168.1.5

Pg. 128/316
Una vez que el usuario ha aadido la regla NAT como se ha indicado, en el ZLD v2.1x se crear automticamente un Interfaz Virtual en el Incoming Interface con una IP de no interfaz. En el ejemplo, aadir un Interfaz Virtual sobre WAN1, con la IP 200.0.0.2. Sin embargo, existe una desventaja en este mtodo: Despus de que la regla NAT se ha creado, no solamente se permitir el trfico para acceder al servidor de intranet, sino que se podr acceder al USG desde esta IP de no interfaz, lo que supone un problema de seguridad, ya que algn hacker podra utilizar esta IP para acceder al USG. Adems, no se puede mapear la IP origen del trfico saliente a la IP de no interfaz, debido a que el USG no tiene modo de saber a quin pertenece. Una vez aadida la regla NAT como se ha indicado anteriormente, el ZLD v2.20 crear automticamente una tabla ARP proxy para establecer la IP de no interfaz correspondiente a la MAC del interfaz entrante. Con esta regla NAT, slo se permitir el trfico de acceso al servidor intranet. Cualquier otro trfico ser rechazado. Asimismo, en ZLD v2.20, el USG puede mapear la IP origen del trfico saliente a una IP de no interfaz mediante la creacin de una tabla ARP proxy para mapear la IP de no interfaz a la MAC del interfaz saliente.

En el escenario inferior, la empresa dispone de 4 direcciones IP: 200.0.0.1, 200.0.0.2, 200.0.1.1 y 200.0.1.2. El administrador de red configura 200.0.0.1 a WAN1 y 200.0.1.1 a WAN2 y quiere que el servidor de intranet 198.162.1.5 sea accesible a travs de WAN1 por 200.0.0.2. Tambin quiere que los clientes de la subred 192.168.2.0/24 puedan salir va WAN2 y mapea la IP origen a 200.0.1.2.
Fig.- Escenario de Aplicacin NAT con ARP Proxy

Pg. 129/316

1. Ir a Configuration > Network > Interface, configurar las direcciones WAN1 y WAN2.
Fig. - Configuracin de las direcciones WAN 1 y WAN2
2. Para cumplir con el requerimiento de que el servidor intranet pueda ser accesible a travs de WAN1 por la IP de no interfaz 200.0.0.2, ir a Configuration > Network > NAT, y aadir una regla como sigue: Incoming Interface: Wan1 Original IP: 200.0.0.2 Mapped IP: 192.168.1.5
Fig. - Aadir la regla NAT anterior

Pg. 130/316
Comprubese la tabla ARP. Se ver el registro correspondiente a 200.0.0.2:
Fig. - Tabla ARP: Registro correspondiente a 200.0.0.2
3. Para cumplir los requerimientos de que la subred local 192.168.2.0/24 sale por WAN2 y las direcciones origen mapeadas a la IP de no interfaz 200.0.1.2, ir al men Configuration > Network > Routing > Policy Route, aadir una regla como sigue: Source Address: 192.168.2.0/24 Destination: any Next Hop: WAN2 SNAT: Address object WAN2_SNAT (200.0.1.2)
Fig. - Pantalla del ejemplo anterior
Comprubese la tabla ARP. Se ver el registro correspondiente a 200.0.1.2:
Fig. - Tabla ARP: Registro correspondiente a 200.0.1.2

Pg. 131/316
10.6. Ruta de Polica vs. Ruta Directa

Normalmente, en la prioridad de enrutamiento del USG, la ruta directa tiene prioridad sobre la ruta de polica. A veces, puede necesitarse que sea al revs. Existe una opcin que lo permite: Ir al men Configuration > Network > Routing > Policy Route, pulsar el icono Show Advanced Settings, y habilitar la funcin Use Policy Route to Override Direct Route.
Fig. - Seleccionar Show Advanced Settings
Fig. - Seleccionar Use Policy Route to Override Direct Route

Pg. 132/316
10.7. Enrutamiento para IPSec VPN

En ZLD v2.20, una vez creadas las reglas VPN IPSec, ya no es necesario aadir la Ruta de Polica correspondiente para el enrutamiento del trfico VPN. El USG aadir automticamente la Ruta de Polica de acuerdo con la poltica de acceso local/remoto.
Fig. - Creacin automtica Ruta de Polica
Ya que la Ruta de Polica tiene prioridad ms alta, se pueden crear rutas de polica para invalidar las rutas VPN IPSec generadas automticamente por el sistema. O bien, se pueden tambin aadir rutas para permitir que otro trfico pueda utilizar este tnel VPN. Por defecto, el parmetro Use Policy Route to control dynamic IPSec rules est habilitado, por lo que las rutas VPN dinmicas se integrarn en las rutas VPN Site to Site. Si se deshabilita la opcin anterior, las rutas dinmicas se movern para tener una prioridad mayor en la tabla de prioridad de enrutamiento.
Fig.- Integracin de las rutas VPN dinmicas

Pg. 133/316
Fig. - Escenario de aplicacin de enrutamiento para VPN IPSec
El USG est situado en la Sede Central, en la subred local 192.168.1.0/24. Subred local del ZyWALL 70 remoto: 192.168.4.0/24. El USG y el ZyWALL remoto establecen un tnel VPN IPSec.

En el USG ZyWALL: 1. Ir a Configuration>VPN>IPSec VPN>VPN Gateway, aadir regla de pasarela VPN (fase1)
Fig. - Aadir regla de pasarela VPN
2. Ir a Configuration > VPN > IPSec VPN > VPN Connection, aadir conexin VPN (fase 2).
Fig. - Aadir Conexin VPN

Pg. 134/316
En el ZyWALL 70: Ir a Configuration > Security > VPN; aadir reglas fase 1 y fase 2 VPN.
Fig. - Aadir reglas fase 1 y fase 2 VPN
El tnel queda establecido:
Fig. - Tnel establecido
Fig. - Trfico a travs del tnel

Pg. 135/316
10.8. Enlace NAT Uno a Uno en caso de Fail Over

10.8.1. Escenario de red
En algunos casos, el administrador de red puede querer asegurar que el servidor intranet est siempre accesible desde el exterior. En el escenario inferior, WAN 1 est conectado al ISP1 y WAN2 al ISP2. WAN1: 200.0.0.1 IP de no interfaz: 200.0.0.4 WAN2: 200.0.1.1 IP de no interfaz: 200.0.1.4 Requerimientos: - Los clientes exteriores pueden acceder al servidor intranet 192.168.1.33 a travs de WAN1 y WAN2 desde la IP de no interfaz, soportando balanceo de carga para el trfico de acceso al servidor entre WAN 1 y WAN2. - Si WAN1 falla, se puede acceder al servidor intranet desde WAN2. - La direccin origen del trfico saliente desde el servidor se mapear a la IP de no interfaz.
Fig. - Escenario de configuracin para Fail Over

1. Configurar las direcciones IP WAN1 y WAN2 desde Configuration > Network > Interface > Ethernet.
Fig. Configuracin de IP WAN1 y WAN2

Pg. 136/316
2. ir a Configuration > Network > NAT, aadir dos reglas NAT 1:1.
Fig. - Establecer regla NAT 1:1 para WAN1
Fig.- Establecer regla NAT 1:1 para WAN2

Pg. 137/316
El resumen de las reglas NAT sera:
Fig.- Resumen de las reglas NAT
Obsrvese que despus de que se hayan aadido las dos reglas NAT 1:1, el sistema generar automticamente dos reglas de enrutamiento 1:1 de la siguiente manera: Origen: 192.168.1.33 (server IP/Destination:any/next hop: wan1) Origen: 192.168.1.33 (server IP/Destination:any/next hop: wan2) Para evitar que el trfico desde el servidor hacia any siempre cumpla con la primera regla 1:1 de enrutamiento, se necesita aadir una ruta de polica para sobrescribir estos dos enrutamientos 1:1 3. Ir a Configuration > Network > Interface >Trunk, aadir un enlace WAN personalizado.
Fig. - Aadir un enlace WAN personalizado
4. Ir a Configuration >Network > Routing, aadir una ruta de polica como sigue: Source: 192.168.1.33 (server) Destination: any Next hop: <the newly added WAN trunk> SNAT: None.

Pg. 138/316
Fig. - Aadir ruta de polica
Ntese que se configura SNAT a None porque se necesita an que el mapeo NAT 1:1 traduzca la direccin origen del trfico saliente del servidor.
Fig. - Configuracin de SNAT a None

Pg. 139/316
11. Seguridad en el Extremo Remoto (EPS)

11.1. Introduccin a la Seguridad en el Extremo Remoto (EPS)
El concepto de Seguridad en el Extremo Remoto se representa por la abreviatura EPS (Endpoint Security). En trminos generales, la EPS hace referencia a PCs, porttiles, equipos de mano, etc. El concepto EPS supone que cada extremo remoto es el responsable de su propia seguridad. El administrador de la red puede definir polticas restrictivas para permitir que solamente aquellos equipos remotos que cumplan con los requerimientos de seguridad definidos, puedan acceder a los recursos de red. La EPS incluye los conceptos de antivirus, cortafuegos personal, etc. Supongamos que un extremo remoto no dispone de antivirus. Si navega por Internet, existe un alto riesgo de que sea infectado por un virus. A partir de ah, el virus se puede propagar por toda la red local. Otro ejemplo podra ser el caso de una VPN SSL. Si el cliente VPN SSL no dispone de antivirus, cuando acceda a los recursos de la sede central mediante un tnel VPN SSL, puede propagar el virus a la subred de la sede central. Para evitar estas situaciones no deseadas, el administrador de red puede utilizar la verificacin de la EPS para restringir las posibilidades de acceso a la red de los equipos remotos. Solamente aquellos puntos remotos que cumplan con los requerimientos definidos, podrn acceder a los recursos de la red.
11.2. EPS ---- WebGUI

Ir a Configuration > Object > Endpoint Security para crear objetos EPS, que podrn usarse ms tarde en aplicaciones de usuario y VPN SSL. Aparecer la pgina de edicin de EPS:
Fig. - Pgina de edicin de EPS
Como criterio de paso, se puede escoger El extremo remoto tiene que cumplir con al menos un elemento de comprobacin o El extremo remoto tiene que cumplir con todos los elementos de comprobacin. Si se elige la primera opcin, entonces el cliente puede pasar la comprobacin EPS con tal que cumpla con al menos uno de los puntos indicados en la lista del criterio de paso.

Pg. 140/316
Si se elige la segunda opcin, entonces el cliente debe cumplir con todos puntos indicados en la lista de paso para superar la prueba de comprobacin EPS.
Fig. - Seleccin del criterio de paso de la comprobacin EPS
El primer elemento de comprobacin es el Sistema Operativo. Se puede seleccionar Windows, Linux, Mac OSX y otros. Si se elige Windows, se puede definir en detalle aspectos tales como versin y service pack. La versin de Windows incluye W2000, Server 2003, XP, Vista Windows 7, Server 2008 y Server 2008 R2. El punto remoto tiene que actualizar la versin de Windows Service Pack. Se puede introducir el nmero de versin de service pack que se debe tener instalado. El PC de usuario tiene que disponer de esta versin o una superior.
Fig. - Comprobacin de Sistema Operativo
El resto de puntos de comprobacin dependen del Sistema Operativo elegido. Si se ha seleccionado Windows, los puntos de comprobacin adicionales seran los siguientes:
Windows Update and Security Patch
C ortafuegos personal

Pg. 141/316
Lista de cortafuegos personales soportados: Kaspersky_Internet_Security_v2009 Kaspersky_Internet_Security_v2010 Microsoft_Security_Center Windows_Firewall Windows_Firewall_Public TrendMicro_PC-Cillin_Internet_Security_v2010 TrendMicro_PC-Cillin_Internet_Security_Pro_v2010
S oftwareAnti-Virus Lista de Anti-Virus soportados: Kaspersky_Anti-Virus_v2009 Kaspersky_Anti-Virus_v2010 Kaspersky_Internet_Security_v2009 Kaspersky_Internet_Security_v2010 TrendMicro_PC-Cillin_AntiVirus_v2010 TrendMicro_PC-Cillin_Internet_Security_v2010 TrendMicro_PC-Cillin_Internet_Security_Pro2010 Norton_AntiVirus, 2010 Norton_Internet_Security, 2010 Norton_360 Version, version 3 Avria AntiVir Personal_v2009

Pg. 142/316
Fig. - Puntos de comprobacin de Windows
Si el Sistema Operativo elegido ha sido Linux, los puntos de comprobacin adicionales seran los siguientes: A plicacin P roceso que el punto remoto tiene que ejecutar P roceso que el punto remoto no puede ejecutar I nformacin de fichero

Pg. 143/316
Fig. - Puntos de comprobacin de Linux
Si el Sistema Operativo elegido es Mac OSX u Otros, no hay puntos de comprobacin adicionales.
Fig.- Puntos de comprobacin de Mac OSX y Otros

Pg. 144/316
11.3. EPS --- CLI

Se puede utilizar el CLI (Command Line Interface) como se indica a continuacin para comprobar la informacin EPS del USG. Router > show eps signature status Este comando muestra el estado actual de la firma EPS, incluyendo versin, fecha de liberacin y nmeros de firma de su USG.
Fig. - Comando Router> show eps signature status
Router > show eps signature personal-firewall Este comando muestra el estado actual de la firma EPS para la verificacin del cortafuegos personal.
Fig. - Comando Router> show eps signature personal-firewall
Router> show eps signature anti-virus Este comando muestra el estado actual de la firma EPS para la verificacin del antivirus.
Fig. - Comando Router> show eps signature anti-virus

Pg. 145/316
NOTA: Si el estado de deteccin es no, significa que la firma EPS slo puede detectar si el software est instalado, pero no puede detectar si est activo o no. Si el estado de deteccin es s, significa que la firma EPS puede detectar si el software est instalado, as como si est activo o no.
11.4. Nota de Aplicacin EPS

1. Si desea utilizar la prestacin EPS tanto en aplicaciones User Aware como en VPN SSL, se deber instalar Java y asegurarse de que est validado en el navegador. 2. Aunque la prueba EPS se consigue mediante las firmas EPS, no se necesita licencia. La firma se actualiza con la actualizacin del firmware.
11.4.1. Despliegue de EPS en aplicaciones User Aware

Para proteger la red corporativa, el administrador puede establecer polticas de autenticacin para restringir que determinados clientes que no han superado la autenticacin de usuario pero s la prueba EPS, puedan acceder a ciertos recursos de red, tales como Internet o servidores DMZ.

La empresa tiene una zona LAN y una zona de servidores DMZ. El administrador de red establece las siguientes restricciones: - Solamente clientes que tienen antivirus instalado pueden acceder a los servidores de la zona DMZ. - Solamente clientes que tienen antivirus y cortafuegos personal instalados pueden acceder a Internet.
Fig. - Escenario de aplicacin

Pg. 146/316
11.4.3. Pasos de configuracin

1. Ir a Configuration > Object > Endpoint Security, para aadir objetos EPS. Aadir objetos EPS que cumplan con los requerimientos de comprobacin de acceso a DMZ:
Fig. - Aadir objetos EPS que cumplen con los requerimientos DMZ

Pg. 147/316
Aadir objetos EPS que cumplan con los requerimientos de comprobacin de acceso a Internet:
Fig. - Aadir objetos EPS que cumplen con los requerimientos de Internet

Pg. 148/316
Resumen de objetos EPS:
Fig. - Resumen de objetos EPS
2. Ir a Confirmation > Authentication Policy, validar Authentication Policy.
Fig. - Validacin de las polticas de autenticacin
Aadir polticas de autenticacin para comprobacin de acceso a DMZ e Internet:

Pg. 149/316
Fig. - Comprobacin de acceso a DMZ e Internet
Resumen de la Poltica de Autenticacin:
Fig.- Resumen de la Poltica de Autenticacin

Pg. 150/316
11.4.4. Verificacin de Escenario

Los clientes de la LAN no pueden acceder a Internet antes de haber pasado la fase de autenticacin.
Fig. - Verificacin de escenario
Acceda a la pgina de login del USG e introduzca la contrasea y usuario:
Fig. - Login en el USG

Pg. 151/316
El USG ejecutar la accin de comprobacin EPS:
Fig. Comprobacin EPS
Si el entorno de cliente no cumple con el criterio de comprobacin EPS, el USG dar el siguiente mensaje:
Fig. - Mensaje de fallo de comprobacin EPS

Pg. 152/316
Una vez que el cliente supere la comprobacin EPS y la autenticacin del USG, el USG le permitir el acceso a Internet:
Fig. - Login correcto
11.5. Despliegue de EPS en VPN SSL

En aplicaciones VPN SSL, algunos clientes VPN SSL pueden no tener antivirus instalado. Si estn infectados por algn virus y acceden a los recursos de la red corporativa a travs de VPN SSL, pueden propagar la infeccin. El administrador de la red corporativa puede utilizar EPS para permitir el establecimiento de VPN SSL con la red corporativa solamente a los clientes que cumplan con determinados criterios de seguridad.

Los clientes de Internet pueden acceder a los recursos corporativos estableciendo VPN SSL con el USG corporativo. Para evitar que cualquier cliente VPN SSL transmita un virus a la red corporativa, el administrador puede habilitar una comprobacin EPS en la poltica de VPN SSL, permitiendo as que slo aquellos clientes que tengan antivirus instalado puedan establecer tneles VPN SSL con el USG corporativo.
Fig. - Escenario de aplicacin

Pg. 153/316

1. Ir a Configuration > Object > Endpoint Security, aadir objetos para la comprobacin VPN SSL.
Fig. - Aadir objetos para la comprobacin VPN SSL

Pg. 154/316
2. Ir a Configuration > VPN >SSL VPN > Acess Privilege, aadir poltica de VPN SSL. Validar comprobacin EPS y seleccionar el objeto EPS para la comprobacin VPN SSL:
Fig. - Seleccin del objeto EPS para la comprobacin VPN SSL

Pg. 155/316

El cliente VPN SSL intenta hacer un login para establecer un tnel VPN SSL con el USG:
Fig. - Login para establecer tnel VPN SSL
El USG comienza la caracterizacin de la comprobacin EPS de acuerdo con el objeto EPS seleccionado en la poltica VPN SSL:
Fig. - Comprobacin EPS

Pg. 156/316
Si el cliente VPN SSL no cumple con el criterio EPS, la comprobacin EPS fallar y el tnel no se establecer:
Fig.- Fallo en el establecimiento del tnel VPN SSL
Si el cliente cumple con el criterio EPS, pasar la comprobacin y el tnel VPN SSL se establecer:
Fig. - Tnel VPN SSL establecido

Pg. 157/316
11.6. Despliegue de AAA y EPS en VPN SSL

En el escenario de la figura inferior, aparecen dos grupos de usuarios (grupo de ventas y grupo soporte CSO) en el servidor AD. Ambos grupos de usuarios pueden acceder a los recursos corporativos estableciendo tneles VPN SSL con el USG corporativo. La empresa requiere que ambos grupos accedan a diferentes recursos. Por ejemplo, el grupo de soporte slo puede acceder a los ficheros de soporte y el de ventas, solamente a los ficheros de ventas. As pues, el administrador puede configurar diferentes reglas VPN SSL para los diferentes grupos. Adems, el administrador puede desplegar diferentes polticas de comprobacin EPS para las distintas reglas VPN SSL. Por ejemplo, se puede desplegar comprobacin EPS para el grupo de ventas y no para el de soporte.
Fig. - Ejemplo de escenario de acceso

Pg. 158/316

1. Aadir usuarios/grupos en AD server desde Start > Administrative Tools > Active Directory
Fig. - Aadir usuarios/grupos en el AD server
2. Ir a Users > New > Users. Aadir cuentas de usuario. En este ejemplo, aadimos los nuevos usuarios judy, nancy, chris and lucy. Ntese que el nombre de dominio del servidor AD es cso.org.

Pg. 159/316
Fig. - Creacin de cuentas de usuarios

Pg. 160/316
Cambiar al men Users > New >Group. Aadir grupos. En el ejemplo en cuestin, aadimos dos: cso y sales:
Fig. - Aadir nuevos grupos
Asignar judy y nancy al grupo cso y chris y lucy al grupo sales:

Pg. 161/316
Fig.- Asignacin de usuarios a los grupos

Pg. 162/316
3. En el USG, configurar el servidor AAA. Ir a Configuration > Object > AAA Server > Active Directory, y editar el perfil ad.
Fig. - Edicin del perfil ad
Poner la direccin del servidor AD de la empresa en el campo Server Address. El puerto por defecto del servidor AD es UDP 389. Si el servidor AD se configura sobre un puerto diferente, incluir aqu el nmero de puerto correspondiente. Para el campo Base DN, si el dominio del servidor AD es cso.org, introducir: dc=cso, dc=org. La parte de Autenticacin de Servidor es para que el USG sea autenticado por el servidor AD antes de que pueda usar la base de datos del directorio activo del servidor AD.

Pg. 163/316
Bind DN: Rellene el campo segn: cn=<administrator> con cualquier usuario configurado en el AD. dc=cso, dc=org es el dominio del servidor AD. En este ejemplo es cso.org. La contrasea es la contrasea correspondiente de <administrator>. Cuando no se especifica un Bind DN, el ZyWALL intentar un login como usuario annimo. Se debe dejar Login Name Attribute y Group Membership Attribute como configuracin por defecto del sistema. Login Name Attribute alternativo es opcional. Se puede rellenar aqu userPrincipalName. Entonces los usuarios pueden hacer login en el USG mediante la direccin de email as como mediante nombre de usuario. Una vez que se ha realizado la configuracin del servidor AD, se puede verificar si es correcta y si la comunicacin entre ste y el USG es OK.
Fig. - Configuracin del servidor AD

Pg. 164/316
Fig. - Verificacin Configuracin servidor AD

Pg. 165/316
Si se ha introducido el atributo Alternative Login Name Attribute, como se indica en la figura inferior, se puede verificar tambin mediante la direccin de correo del usuario:
Fig. - Atributo alternativo Alternative Login Name attribute

Pg. 166/316
Fig.- Verificacin mediante direccin de correo
4. Ir a Configuration>Object>User/Group>User, aadir grupos de usuario correspondientes a los grupos en el servidor AD. En el ejemplo, aadimos dos grupos, correspondientes a los del servidor AD: cso and sales. El Nombre de Usuario puede ser diferente del identificador de grupo. Ej.: el identificador de grupo del grupocso is cso, pero podemos especificar un nombre diferente, tal como cso_support. El identificador de Grupo tiene que seguir el formato siguiente: CN=<cso>,CN=Users, CN=<cso>, DC=<org> <cso> es el nombre de grupo en el servidor AD.

Pg. 167/316
Aadir grupo cso:
Fig - Aadir grupocso
Se puede verificar si un usuario pertenece a un determinado grupo:
Fig. - Verificacin de pertenencia a un grupo

Pg. 168/316
Fig. - Resultado de la verificacin de pertenencia a un grupo
Aadir gruposales:
Fig - Aadir grupo sales

Pg. 169/316
Para verificar si un usuario pertenece al grupo sales:
Fig. - Verificacin de pertenencia al grupo sales
5. Ir a Configuration > Object > Auth. Method, modificar el mtodo de autenticacin de por defecto. Aadir group ad:
Fig. - Aadir group add

Pg. 170/316
6. Ir a Configuration > System > WWW > Service Control. En la parte de Autenticacin, hay que asegurarse de que el Client Authentication Method elegido es default:
Fig. - Client Authentication Method como default
7. Ir a Configuration > Object > SSL Aplication, aadir aplicaciones para los grupos de soporte y ventas.
Fig. - Aadir aplicaciones a los grupos

Pg. 171/316
8. Ir a Configuration > Object > Endpoint Security, aadir polticas de EPS para comprobar el grupo de ventas.
Fig. - Aadir polticas de EPS

Pg. 172/316
9. Ir a Configuration > VPN > SSL VPN > Access Privilege, aadir dos reglas VPN SSL para cso_support y sales.
Fig. - Aadir reglas VPN SSL para cso_support

Pg. 173/316
Fig. - Aadir reglas VPN SSL para sales

Pg. 174/316

Abra la pgina de login del USG. Asegrese de que Java est instalado y habilitado en el navegador. Utilice el usuario judy del grupo cso para el login de VPN SSL.
Fig.- Login de VPN SSL
VPN SSL est establecida, pudindose ver la comparticin de ficheros en el portal para el usuario cso del grupo AD.
Fig. - Visualizacin de la Comparticin de ficheros en el portal

Pg. 175/316
Fig. - VPN SSL establecida
Utilice el usuario judy del grupo sales para el login de VPN SSL.
Fig.- Login de VPN SSL

Pg. 176/316
Fig. - Verificacin EPS
VPN SSL est establecida, pudindose ver la comparticin de ficheros en el portal para el usuario cso del grupo AD.
Fig.- Visualizacin de la Comparticin de ficheros en el portal
Fig. - VPN SSL establecida

Pg. 177/316
12. Creacin de VPN

12.1. IPSec VPN
A continuacin vamos a mostrar un ejemplo de creacin de un tnel VPN entre un ZyWALL USG 50 con un router de acceso a Internet mediante IP dinmica contra un ZyWALL 70 UTM con un router de acceso a Internet mediante IP esttica. La topologa de la red quedara de la siguiente forma:
Fig. Topologa de Red para el Ejemplo de IPSec VPN

Pg. 178/316
12.1.1. Router Remoto

El router remoto est conectado al ZyWALL 70 UTM, y lo vamos a configurar en modo monopuesto esttico con los datos proporcionados por el ISP. Para ello accederemos al equipo mediante un navegador web apuntando a la direccin IP por defecto 192.168.1.1. Nos aparecer una ventana solicitando nombre de usuario y contrasea. Introduciremos el nombre de usuario por defecto 1234 y la contrasea por defecto 1234.
Fig. Acceso al router
A continuacin aparecer una ventana a modo de recordatorio indicando que la contrasea configurada es la contrasea por defecto, y nos solicita cambiarla para mayor seguridad. Para saltarnos este recordatorio pulsamos sobre el botn Ignore.
Fig. Solicitud de cambio de Contrasea

Pg. 179/316
Una vez pasado el recordatorio de cambio de contrasea accederemos a la pantalla de configuracin inicial del router. En la columna Advanced Setup haremos clic sobre LAN y posteriormente sobre LAN Setup.
Fig. Pantalla de Configuracin Inicial
En en LAN Setup deshabilitaremos el servidor DHCP y configuraremos los valores de IP en en apartado TCP/IP segn los datos que nos ha dado nuestro proveedor a Internet. Una vez configurado todo volvemos al Main Menu.
Fig. LAN Setup

Pg. 180/316
Desde el men principal pulsamos sobre el men Wizard Setup, configuramos el modo Routing, e introduciremos los datos que nos ha dado nuestro proveedor de servicios a Internet para configurar el interfaz WAN del router.
Fig. Wizard Setup
Fig. Wizard Setup (pgina 2)

Pg. 181/316
Finalmente nos aparecer una ventana a modo de sumario de la configuracin realizada en el router, y tras revisarla pulsaremos en Save Settings. Con eso ya quedara configurado el router Remoto.
Fig. Wizard Setup Summary

Pg. 182/316
12.1.2. Router Local

El router local que estar conectado contra el ZyWALL USG50 lo vamos a configurar en modo monopuesto dinmico. Para ello accederemos al equipo mediante un navegador web apuntando a la direccin IP por defecto 192.168.1.1. Nos aparecer una ventana solicitando nombre de usuario y contrasea. Introduciremos el nombre de usuario por defecto 1234 y la contrasea por defecto 1234.
Fig. Acceso al router
A continuacin nos aparecer la pantalla de configuracin inicial del router. En la columna Advanced Setup haremos clic sobre LAN y posteriormente sobre LAN Setup.

Pg. 183/316
Fig. Pantalla de Configuracin Inicial
En en LAN Setup deshabilitaremos el servidor DHCP y configuraremos los valores de IP en en apartado TCP/IP. En el ejemplo vamos a dejar estos valores sin modificar. Una vez configurado todo volvemos al Main Menu.
Fig. LAN Setup

Pg. 184/316
Desde el men principal pulsamos sobre el men Wizard Setup, configuramos el modo Bridge, e introduciremos los datos que nos ha dado nuestro proveedor de servicios a Internet para configurar el interfaz WAN del router.
Fig. Wizard Setup
Finalmente nos aparecer una ventana a modo de sumario de la configuracin realizada en el router, y tras revisarla pulsaremos en Save Settings. Con eso ya quedara configurado el router Local.
Fig. Wizard Setup Summary

Pg. 185/316
12.1.3. ZyWALL Remoto

En nuestra topologa, el ZyWALL remoto se corresponde con el ZyWALL 70 UTM, sobre el cul vamos a configurar el apartado de WAN y el apartado de IPSec VPN. Para acceder al ZyWALL cogeremos un PC y nos conectaremos directamente a la LAN del ZyWALL. Una vez hayamos recibido por el servidor DHCP una direccin IP perteneciente a la subred del ZyWALL tendremos acceso al mismo mediante un navegador web apuntando a la direccin IP por defecto 192.168.1.1 y la contrasea por defecto 1234. De esta forma accederemos a la Pantalla de Estado del equipo. Donde podremos comprobar si el dispositivo tiene la ltima versin de firmware disponible en la ftp de ZyXEL. (ftp.zyxel.com)
Fig. Pantalla de Estado
Desde la Pantalla de Estado pulsaremos en la barra lateral de mens dentro del men Network. En el desplegable que aparece primeramente configuraremos el Interface LAN, y posteriormente el Interface WAN.
Para configurar el Interface LAN pulsamos sobre el submen LAN y modificaremos los valores configurados para la LAN TCP/IP y habilitamos el servidor DHCP.

Pg. 186/316
Fig. Configuracin LAN
Para configurar el interfaz WAN pulsaremos sobre el submen WAN de la barra lateral de men Network. En la ubicacin remota tenemos contratada una Ip esttica, rellenamos la configuracin WAN con encapsulacin Ethernet, y con la informacin IP que nos haya dado nuestro ISP. Tambin habilitamos la casilla del NAT.
Fig. Configuracin WAN

Pg. 187/316
Una vez configurados tanto el interfaz LAN como el interfaz WAN del ZyWALL vamos a proceder a configurar el apartado correspondiente a la VPN. Para ello nos situamos sobre el men Security de la barra lateral de mens, y pulsamos sobre el submen VPN. Dentro de la pestaa VPN Rules (IKE) aadimos una nueva regla, que se denominan Polticas de Gateway.
Fig. Polticas de Gateway
A continuacin nos aparecer un formulario para rellenar las Polticas de Gateway. En dicho formulario tendremos que introducir un nombre para identificar a la regla aadida. Dado que desconocemos la direccin IP del equipo que se va a conectar a nosotros, dejaremos por defecto las opciones del Gateway Policy Infomation, es decir, todo a 0. De esta forma es como si dejramos una puerta abierta para que cualquier equipo que tenga los mismos valores de Pre-Shared Key y protocolos de autenticacin/encriptacin se pueda conectar a nuestro equipo.

Pg. 188/316
Introduciremos un valor para la Pre-Shared Key, y los ID Type. As como los diferentes protocolos de autenticacin/encriptacin. Cabe recordar que el valor de la Pre-Shared Key, y los protocolos de autenticacin/encriptacin deben de ser los mismos que se configuren en el otro ZyWALL. As como invertir el orden de la configuracin realizada para los ID Type.
Fig. Edicin de la Poltica de Gateway

Pg. 189/316
Por ltimo configuraremos los protocolos de autenticacin/encriptacin.
Fig. Edicin de la Poltica de Gateway
Una vez configurada la regla de la Poltica de Gateway, sobre esta aadiremos una Poltica de Red.
Fig. Aadir Polticas de Red sobre una Poltica de Gateway

Pg. 190/316
Dentro activaremos la poltica, escribiremos un nombre para este perfil de configuracin, elegiremos la conexin Gateway Policy creada anteriormente, y aadiremos el valor de la subnet local.
Fig. Configuracin de la Poltica de Red
Las opciones de la Red Remota las dejaremos por defecto, ya que en un principio desconocemos la informacin de la misma. Dejando una puerta abierta a que visualice cualquier red remota. Por ltimo seleccionaremos los algoritmos de encriptacin y autenticacin. Los valores de los algoritmos de encriptacin y autenticacin, as como el valor de las subredes sern los mismos que se configuren en el ZyWALL Remoto.

Pg. 191/316
Fig. Configuracin de la Poltica de Red

Pg. 192/316

Pg. 193/316
12.1.4. ZyWALL Local

En nuestra topologa, el ZyWALL local se corresponde con el ZyWALL USG 50, sobre el cul vamos a configurar el apartado de WAN y el apartado de IPSec VPN. Para acceder al ZyWALL cogeremos un PC y nos conectaremos directamente a la LAN del ZyWALL. Una vez hayamos recibido por el servidor DHCP una direccin IP perteneciente a la subred del ZyWALL tendremos acceso al mismo mediante un navegador web apuntando a la direccin IP por defecto 192.168.1.1 y la contrasea por defecto 1234. De esta forma accederemos a la Pantalla de Estado del equipo. Donde podremos comprobar si el dispositivo tiene la ltima versin de firmware disponible en la ftp de ZyXEL. (ftp.zyxel.com)
Fig. Pantalla de Estado
Desde la Pantalla de Estado pulsaremos en la barra lateral de mens dentro del men Configuration > Network > Interface.
A continuacin configuraremos el Interface LAN (Ethernet), y el Interface WAN (PPP).

Pg. 194/316
Para configurar el Interface LAN pulsaremos sobre la pestaa Ethernet y modificaremos los valores configurados para la lan1 mediante el icono para editar.
Fig. Interfaz Ethernet
Nos aparecern los campos de la configuracin del interfaz ethernet Lan1, en los que configuraremos la direccin IP de LAN y habilitaremos el servidor DHCP.
Fig. Edicin del Interfaz Ethernet Lan1
Una vez configurado el interfaz LAN dentro del men Ethernet, nos iremos a la pestaa PPP para configurar el interfaz wan1_ppp.

Pg. 195/316
Fig. Interfaz PPP wan1_ppp
Nos aparecern los campos de la configuracin del interfaz wan1_ppp, en los que habilitaremos el interfaz, activaremos las casilla Nailed-Up y Obtener IP automticamente. Mediante la creacin de un objeto de tipo ISP Account, configuraremos los valores que nos haya dado nuestro proveedor de servicios a Internet para la lnea PPP adquirida, y seleccionaremos dicho objeto en Account Profile".
Fig. Edicin del Interfaz PPP wan1_ppp
Una vez configurados tanto el interfaz LAN como el interfaz WAN del ZyWALL vamos a proceder a configurar el apartado correspondiente a la VPN IPSec. En la barra de mens lateral pulsamos sobre el men Configuration > VPN > IPSec VPN. Nos moveremos a la pestaa VPN Gateway y aadiremos una nueva conexin.

Pg. 196/316
Fig. VPN Gateway
Mostrando las opciones avanzadas, configuraremos un nombre para este perfil de configuracin, elegiremos el interfaz wan1_ppp como My Address y la IP esttica del router remoto en el Peer. Escribiremos un valor en el Pre-Shared Key, as como unos valores en el ID Type. Por ltimo seleccionaremos los algoritmos de encriptacin y autenticacin. Los valores de los algoritmos de encriptacin y autenticacin, as como el valor del Pre-Shared Key sern los mismos que se configuraron en el ZyWALL Remoto.
Fig. Edicin del VPN Gateway

Pg. 197/316
Una vez configurado el VPN Gateway pasaremos a configurar el VPN Connection. Para ello nos moveremos a la pestaa VPN Connection y aadiremos una nueva conexin.
Fig. VPN Connection
Configuraremos un nombre para este perfil de configuracin, elegiremos la conexin VPN Gateway creada anteriormente, crearemos dos objetos de tipo subnet con los valores de las subredes local (LAN1_SUBNET) y remota (Red_VPN_ZW70). Por ltimo seleccionaremos los algoritmos de encriptacin y autenticacin. Los valores de los algoritmos de encriptacin y autenticacin, as como el valor de las subredes sern los mismos que se configuraron en el ZyWALL Remoto.
Fig. Edicin del VPN Connection

Pg. 198/316
Por ltimo queda configurar el Policy Route para permitir que todo el trfico con origen LAN Local y con destino LAN Remoto pase a travs del tnel VPN que hemos creado en los pasos anteriores. Para ello nos vamos a la barra de mens lateral Configuration > Network > Routing, y aadimos una regla de configuracin.
Fig. Creacin de reglas en el Policy Route
En la siguiente ventana marcaremos la casilla de habilitacin, elegiremos como origen la subred de la LAN Local, y como destino la subred de la LAN Remota. En el Next-Hop elegiremos de tipo VPN Tunnel y seleccionaremos el nombre del VPN Gateway creado previamente.
Fig. Configuracin de la regla del Policy Route
La configuracin de una regla en el Policy Route es prcticamente la nica diferencia que hay a la hora de configuraron estos equipos con respecto a los antiguos modelos de la familia ZyWALL con sistema operativo ZyNOS.

Pg. 199/316
12.2. VPN entre un ZLD 2.20 y un cliente IPSec VPN:

En este ejemplo veremos la configuracin para establecer un tnel VPN entre la sede X, en donde tenemos un ZyWALL con ZLD 2.20; y en la sede Y, en donde disponemos de un software cliente IPSec.
Fig. Esquema con la topologa de red del escenario VPN dinmica
12.2.1. Condiciones Previas:

Los routers de ambas sedes deben ser IPSec passtrough. El router asociado al ZyWALL ZLD 2.20 debe de estar configurado en modo monopuesto/bridge para que la IP pblica recaiga en el interface WAN del ZLD 2.20 (en el ejemplo la IP pblica es 1.2.3.4). El direccionamiento IP de la subred de la sede X debe de ser diferente al de la sede Y. No debe de haber ningn firewall o antivirus instalado en el PC con el software ZyWALL IPSec VPN Client que pueda bloquear el trfico de la VPN (puerto UDP 500, UDP 4500, protocolo 40).

Pg. 200/316
12.2.2. Configuracin en el ZyWALL ZLD 2.20:

1.) Desde el panel de navegacin nos desplazamos al men Configuration > VPN > IPSec VPN. Una vez dentro abrimos la pestaa VPN Gateway, y aadimos una regla.
Fig. Creacin de regla VPN Gateway
Nos aparecer una ventana de configuracin, en la que primeramente pulsaremos en el botn , que se muestra en el lado superior izquierdo de dicha ventana, para que tambin se muestren las opciones avanzadas de configuracin. Una vez hecho esto, habilitaremos la regla marcando la casilla Enable y asignaremos un nombre para la regla. En el campo My Address seleccionaremos el interface WAN con el que salimos a Internet, en este ejemplo sera el interface wan1. En el campo Peer Gateway address seleccionaremos Dynamic Address, ya que de esa forma no se indica explcitamente la IP pblica de la sede remota.
Fig. Configuracin VPN Gatewey

Pg. 201/316
En el campo Pre-Shared Key introduciremos una contrasea. En este ejemplo hemos introducido 1234567890. Los campos Local ID Type y Peer ID Type vienen a actuar como contraseas. En este ejemplo hemos elegido el tipo IP, y como contenido local 1.1.1.1, y contenido remoto 2.2.2.2 En las opciones de la Fase 1 seleccionaremos como propuestas unos algoritmos de encriptacin y autenticacin, y aplicaremos los cambios. En este ejemplo se han seleccionado DES, MD5 y DH1.
Fig. Configuracin VPN Gateway (continuacin)
La regla creada quedar de la siguiente forma:
Fig. Sumario de reglas de VPN Gateway

Pg. 202/316
2.) Nos movemos a la pestaa VPN Connection, y aadimos una regla.
Fig. Creacin regla VPN Connection
Nos aparecer una ventana de configuracin, en la que primeramente pulsaremos en el botn , que se muestra en el lado superior izquierdo de dicha ventana, para que tambin se muestren las opciones avanzadas de configuracin. Una vez hecho esto, habilitaremos la regla marcando la casilla Enable y asignaremos un nombre para la regla. De la opcin VPN Gateway seleccionaremos Remote Access (Server Role) como Application Scenario, indicando posteriormente la regla de VPN Gateway que habamos creado en el punto 1 seleccionndola del desplegable.
Fig. Configuracin de la regla VPN Connection
De la opcin Policy, seleccionaremos el objeto correspondiente a la subred de la sede X (LAN1_SUBNET), y desmarcamos la casilla Policy Enforcement. En las opciones de la Fase 2 seleccionaremos como propuestas unos algoritmos de encriptacin y autenticacin, y aplicaremos los cambios. En este ejemplo se han seleccionado ESP, DES, SHA1.

Pg. 203/316
Fig. Configuracin de la regla VPN Connection (continuacin)
Fig. Sumario de reglas VPN Connection
3.) Desde el panel de navegacin nos desplazamos al men Configuration > Network > Routing para ver el men de reglas Policy Route y aadiremos una nueva regla.
Fig. Creacin de regla de Policy Route

Pg. 204/316
Sobre el men de la regla, pulsaremos sobre el icono Create new Object y seleccionaremos de tipo Address para as crear el objeto con nombre LAN_REMOTA, de tipo Host y con la direccin IP 0.0.0.0
Fig. Creacin de objeto de tipo Address
Una vez creado el objeto, marcaremos la casilla Enable y daremos un nombre a la regla. Como Incoming seleccionaremos el tipo Interface, y como miembro lan1. Como direccin origen seleccionamos el objeto LAN1_SUBNET, y como direccin remota seleccionamos el objeto LAN_REMOTA que hemos creado. Como Next-Hop elegimos de tipo VPN Tunnel y seleccionamos el tnel VPN (VPN Connection) que habamos creado en el punto 2, y aplicamos los cambios.
Fig. Configuracin de la regla de Policy Route

Pg. 205/316
Fig. Sumario de reglas de Policy Route
12.2.3. Configuracin en el Cliente IPSec VPN:

4.) Desde el ZyWALL IPSec VPN Client haremos clic derecho sobre el icono Root, y pulsaremos en Nueva Fase1 para aadir una regla:
Fig. Creacin de la Fase1
Asignaremos un nombre para la regla, seleccionaremos el interfaz como Automtico, e introduciremos la direccin IP pblica asociada a la WAN del ZyWALL USG en el campo Gateway Remoto (en el ejemplo 1.2.3.4). Como llave secreta introduciremos la Pre-Shared Key que pusimos en el ZLD 2.20 (1234567890), y seleccionamos los mismos algoritmos de encriptacin y autenticacin configurados en el ZLD 2.20 Pulsamos en el botn ajustes avanzados para acceder a la ventana de configuracin de los identificadores FQDN.

Pg. 206/316
Fig. Configuracin de la regla de Fase1
En la pantalla de ajustes avanzados de la Fase1 seleccionamos como ID Local de tipo IP con el contenido 2.2.2.2, y seleccionamos como ID Remoto de tipo IP con el contenido 1.1.1.1, y pulsamos el botn OK. Nota: el valor de los contenidos es opuesto a lo introducido en la configuracin de la VPN del ZLD 2.20.
Fig. Ajustes Avanzados de la Fase 1

Pg. 207/316
5.) Del desplegable Root haremos clic derecho sobre el icono Fase1, y pulsaremos en Adicionar Fase2 para aadir una regla:
Fig. Creacin de regla de Fase 2
Asignaremos un nombre para la regla, seleccionaremos el direccionamiento IP de la sede remota (en el ejemplo 192.168.1.1 / 255.255.255.0), y los mismos algoritmos de encriptacin y autenticacin configurados en las opciones del VPN Connection del ZLD 2.20. Y pulsamos sobre Guardar & Aplicar para guardar la configuracin. Para ver la mensajera pulsamos sobre el icono Consola del panel izquierdo:
Fig. Configuracin de la regla de Fase 2

Pg. 208/316
6.) Si pulsamos sobre el botn Abrir Tnel veremos en la mensajera cmo se empiezan a transmitir la peticin de establecimiento del tnel, y las respuestas recibidas desde el ZLD 2.20
Fig. Consola de Logs, y apertura de tnel
Fig. Logs resultantes del establecimiento del tnel VPN
El icono del ZyWALL IPSec VPN Client, ubicado en el rea de notificacin, ha pasado a color verde indicando que el tnel ha quedado establecido:
Fig. Icono en verde indicando tnel establecido

Pg. 209/316
7.) Desde el PC con el software ZyWALL IPSec VPN Client tendremos conectividad con la LAN remota del ZLD 2.20 y los host conectados en la LAN:
Fig. Verificacin de conectividad con sede remota

Pg. 210/316
12.3. VPN Inbound & Outbound traffic
Fig. Escenario de ejemplo
12.3.1. Direccin Origen en paquetes Outbound (Outbound Traffic, Source NAT)

Esta traduccin de direcciones IP permite al ZyWALL enrutar paquetes desde ordenadores que no forman parte de la red local especificada (local policy) a travs del IPSec SA. En el escenario de ejemplo, tendramos que realizar una traduccin de direcciones para hacer que el ordenador M pueda establecer una conexin con cualquier ordenador de la red remota B. Si no lo configuramos, el router remoto IPSec no podra enrutar los mensajes del ordenador M a travs del IPSec SA debido a que la direccin IP de M no forma parte de la poltica local. Para configurar este NAT, tenemos que especificar la siguiente informacin: Source la direccin origen original; lo mejor sera indicar la subred del PC M. Destination la direccin destino original; la red remota (B). SNAT la direccin origen traducida; la red local (A). 12.3.2. Direccin Origen en paquetes Inbound (Inbound Traffic, Source NAT) Se puede hacer esta traduccin de direcciones si queremos cambiar la direccin origen en la red remota. Para realizar este NAT, tenemos que especificar la siguiente informacin: Source la direccin origen original; la red remota (B). Destination la direccin destino original; la red local (A).

Pg. 211/316
SNAT la direccin origen traducida; una direccin IP diferente (rango de direcciones) para ocultar la direccin origen original. 12.3.3. Direccin Destino en paquetes Inbound (Inbound Traffic, Destination NAT) Se puede hacer esta traduccin si queremos que el ZyWALL enve varios paquetes desde la red remota a un ordenador especfico en la red local. Por ejemplo, en el escenario de ejemplo, queremos enviar un mail desde la red remota hacia el servidor mail en la red local (A). Tenemos que especificar una o ms reglas cuando configuremos este tipo de NAT. El ZyWALL verificar estas reglas, al igual que si fueran reglas de firewall. La primera parte de estas reglas definen las condiciones en las que las reglas son aplicadas: Original IP la direccin destino original; la red remota (B). Protocol el protocolo [TCP, UDP, o ambos] usados por el servicio que solicita la conexin. Original Port el Puerto destino original o rango de puertos destino; en el escenario de ejemplo, debera ser el puerto 25 para SMTP.
La segunda parte de estas reglas controlan la traduccin cuando se ha alcanzado la condicin especificada: Mapped IP la direccin destino traducida; en el escenario de ejemplo, la direccin IP del servidor mail en la red local (A). Mapped Port el Puerto destino traducido o rango de puertos destino. Tanto el rango de puertos original como el rango de puertos traducidos deben de tener el mismo tamao.

Pg. 212/316
12.4. VPN Concentrator

La funcionalidad VPN Concentrator nos va a permitir reducir la complejidad de la configuracin cuando existen varias delegaciones. Adems esta reduccin del nmero de reglas tambin nos prevendr de los posibles errores de realizar una configuracin manual.
12.4.1. Topologa de la Red

En este ejemplo vamos a disponer de 3 sedes las cuales queremos interconectar por medio de tneles VPN. La topologa de red es en estrella, partiendo de una sede Central la cul llevar un ZyWALL USG de mayor capacidad que el resto de las delegaciones.
Fig. Esquema con la Topologa a realizar
Cmo podemos ver en la figura, en cada sede se ha definido un direccionamiento IP especfico para que no se solapen.
Una vez definida el direccionamiento IP vamos a pasar a configurar los interfaces LAN y WAN en cada ZyWALL, as como la creacin del Tnel1 entre la delegacin BO1 y la sede central; y la creacin del Tnel2 entre la delegacin B02 y la sede central.

Pg. 213/316
Para finalizar, desde la sede central crearemos el VPN Concentrator que nos permitir que la delegacin B01 y la B02 tengan comunicacin entre s a travs de la sede central.
12.4.2. Configuracin en la delegacin B01

Una vez visto el esquema de la conexin que queremos realizar, vamos a pasar a la configuracin paso a paso de la delegacin B01. Lo primero ser configurar los interfaces LAN y WAN con el direccionamiento IP que indicamos en el esquema de la topologa de red.
Fig. Configuracin de interfaces LAN y WAN en la delegacin B01
Crearemos unos objetos de tipo Address de tipo subred para indicar las subredes de la delegacin B02 y la sede central HQ.
Fig. Creacin de Objetos en la delegacin B01
Tambin crearemos un objeto de tipo Address Group que tenga como miembros los dos objetos anteriormente creados.
Fig. Creacin de Objeto Grupo en la delegacin B01

Pg. 214/316
Una vez creados los objetos pasamos a la configuracin VPN IPSec, para ello creando la regla correspondiente en el VPN Gateway, en el VPN Connection y el Policy Route.
Fig. Configuracin del VPN Gateway en la delegacin B01
Fig. Configuracin del VPN Connection en la delegacin B01
Fig. Configuracin del Policy Route en la delegacin B01
Con esto ya hemos acabado con la configuracin en la delegacin B01. Ahora vamos a proceder a realizar los mismos pasos para configurar la delegacin B02.

Pg. 215/316
12.4.3. Configuracin en la delegacin B02

Para configurar la delegacin B02 vamos a seguir los mismos pasos que realizamos en la configuracin de la delegacin B01. Lo primero ser configurar los interfaces LAN y WAN con el direccionamiento IP que indicamos en el esquema de la topologa de red.
Fig. Configuracin de interfaces LAN y WAN en la delegacin B02
Crearemos unos objetos de tipo Address de tipo subred para indicar las subredes de la delegacin B02 y la sede central HQ.
Fig. Creacin de Objetos en la delegacin B02
Fig. Creacin de Objeto Grupo en la delegacin B01

Pg. 216/316
Una vez creados los objetos pasamos a la configuracin VPN IPSec, para ello creando la regla correspondiente en el VPN Gateway, en el VPN Connection y el Policy Route.
Fig. Configuracin del VPN Gateway en la delegacin B02
Fig. Configuracin del VPN Connection en la delegacin B02
Fig. Configuracin del Policy Route en la delegacin B02
Con esto ya hemos acabado con la configuracin en la delegacin B02. Ahora vamos a proceder a configurar la sede central HQ.

Pg. 217/316
12.4.4. Configuracin en la sede central HQ

La configuracin a desarrollar sobre la sede central HQ va a ser similar a la configuracin anteriormente realizada sobre las delegaciones. Lo primero ser configurar los interfaces LAN y WAN con el direccionamiento IP que indicamos en el esquema de la topologa de red.
Fig. Configuracin de interfaces LAN y WAN en la sede central HQ
Crearemos unos objetos de tipo Address de tipo subred para indicar las subredes de la delegacin B01 y la delegacin B02.
Fig. Creacin de Objetos en la sede central HQ
Fig. Creacin de Objeto Grupo en la sede central HQ

Pg. 218/316
Una vez creados los objetos pasamos a la configuracin VPN IPSec, para ello creando la regla correspondiente en el VPN Gateway, en el VPN Connection y el Policy Route. La nica diferencia con respecto a los pasos realizados en las delegaciones ser que habr que crear sobre la sede central HQ una regla para cada delegacin en cada apartado. As en el VPN Gateway crearemos dos reglas, en el VPN Connection crearemos dos reglas, y en el Policy Route crearemos tambin dos reglas.
Fig. Configuracin del VPN Gateway en la sede central HQ
Fig. Configuracin del VPN Connection en la sede central HQ
Fig. Configuracin del Policy Route en la sede central HQ
Con todo esto la configuracin VPN realizada sobre la sede central HQ habra quedado realizada, y podemos ver el estado de las conexiones VPN en el SA Monitor

Pg. 219/316
Fig. Visualizacin de las conexiones VPN activas por el equipo de la sede central HQ
De esta forma desde un ordenador ubicado en la sede central HQ se puede tener acceso a travs del tnel VPN a ordenadores ubicados en la delegacin B01 y a ordenadores ubicados en la delegacin B02. Pero los ordenadores ubicados en la delegacin B01 no tendrn acceso a los equipos de la delegacin B02, as como los ordenadores ubicados en la delegacin B02 no tendrn acceso a los equipos de la delegacin B01.
Fig. Visualizacin de las conexiones VPN activas por el equipo de la sede central HQ
Si queremos que haya comunicacin entre el Host B y el Host C tendremos que realizar el VPN Concentrator en el equipo de la sede central HQ; as como crear en B01 una regla de policy route con origen B01_subnet y destino B02_subnet con Next-Hop el tnel1; y crear en B02 una regla de policy route con origen B02_subnet y destino B01_subnet con Next-Hop el tnel2.

Pg. 220/316
12.4.5. VPN Concentrator en la sede central HQ

Para que los equipos de la delegacin B01 tengan acceso a los equipos de la delegacin B02 va sede central HQ haremos uso de la funcionalidad VPN Concentrator. Para ello vamos a crear una regla en la pestaa Concentrator de la VPN IPSec y pondremos como miembros los dos tneles anteriormente creados.
Fig. Aadir una regla de configuracin Concentrator en el equipo de la sede central HQ
Fig. Aadimos tneles existentes como miembros del VPN Concentrator
Fig. Funcionalidad del VPN Concentrator

Pg. 221/316
12.5. LOGs IKE

En este apartado vamos a mostrar los LOGs que aparecen cuando se negocian los parmetros configurados para levantar el tnel.
12.5.1. Tnel Abierto sin problemas
Fig. Logs de la creacin correcta de un tnel IPSec VPN
Este es un log de una VPN que se ha creado satisfactoriamente. Podemos ver 6 paquetes que han sido transmitidos y 4 recibidos en negociacin Main Mode Index 15 y 13: Negociacin de parmetros de seguridad Index 11 y 10: Realizando el intercambio de claves Diffie Hellman Index 9 y 8: Uso de Pre-shared Key para autenticacin
Despus de finalizar la negociacin de la fase 1 satisfactoriamente, empieza la negociacin de la fase 2. Index 5 y 4: Solo cuando apliquemos PFS se realizarn ms intercambios de clave,<KE> . Los dos gateways VPN negocian su poltica VPN (campos <ID><ID>) Index 1: El tnel se ha establecido con xito

Pg. 222/316
12.5.2. Pre-Shared Key Diferente

Si la Pre-Shared Key no coincide en ambos extremos, se mostrar el siguiente mensaje de notificacin INVALID_ID_INFORMATION. Si nos encontramos con este problema deberemos verificar que los dos extremos usen la misma Pre-Shared Key.
Fig. Logs de error por PSK de la creacin de un tnel IPSec VPN

Pg. 223/316
12.5.3. Identificador FQDN Diferente

Si los valores de los Identificadores FQDN no coinciden en ambos extremos, se mostrar el siguiente mensaje de notificacin Phase 1 ID mismatch, adems del mensaje INVALID_ID_INFORMATION. Si nos encontramos con este problema deberemos verificar que los dos extremos usen los mismos valores de Identificadores FQDN.
Fig. Logs de error por FQDN de la creacin de un tnel IPSec VPN
12.5.4. Desajuste Fase 1

Si parmetros de la Fase 1, como los de autenticacin o encriptacin no coinciden en ambos extremos, el mensaje de error mostrado ser NO_PROPOSAL_CHOSEN. Si nos encontramos con este problema, deberemos verificar que los dos extremos usen los mismos parmetros de autenticacin y encriptacin.
Fig. Logs de error en la Fase 1 de la creacin de un tnel IPSec VPN

Pg. 224/316
12.5.5. Desajuste Fase 2 (Autenticacin / Encriptacin)

Si parmetros de la Fase 2, como los de autenticacin o encriptacin no coinciden en ambos extremos, tras la creacin de la Fase 1 el mensaje de error mostrado ser NO_PROPOSAL_CHOSEN. Si nos encontramos con este problema, deberemos verificar que los dos extremos usen los mismos parmetros de autenticacin y encriptacin.
Fig. Logs de error en la Fase 2 en la creacin de un tnel IPSec VPN
12.5.6. Desajuste Fase 2 (Direccionamiento IP)

Si los parmetros de direcciones IP no coinciden en ambos extremos, las conexiones IKE fallarn en la Fase 2, y el mensaje de error mostrado ser la notificacin INVALID_ID_INFORMATION. Si nos encontramos con este problema, deberemos verificar que los dos extremos usen los mismos parmetros de direccionamiento IP.
Fig. Logs de error de Direccionamiento IP en la Fase 2 en la creacin de un tnel IPSec VPN

Pg. 225/316
12.6. SSL VPN

El tnel VPN de tipo SSL permite a los usuarios utilizar un navegador web para loguearse remotamente y accede a los recursos locales. Los usuarios remotos no necesitan disponer de un router VPN o software cliente VPN.
Modos de trabajo del tnel SSL

Existen dos modos de trabajo del tnel SSL: Reverse Proxy, y Full Tunnel. En el modo reverse proxy, el ZyWALL se comporta como un proxy que acta en nombre de los servidores locales de la red (como servidores web o mail). Como destino final, el ZyWALL parece ser el servidor hacia los usuarios remotos. Esto proporciona una capa aadida de proteccin para tus servidores internos. Con el modo reverse proxy, los usuarios remotos pueden fcilmente acceder a cualquier aplicacin basada en web en la red local con tan slo clicar unos enlaces o introduciendo las URLs proporcionadas por el administrador de red.
Fig. SSL VPN en modo reverse proxy
En el modo full tunnel, se crea una conexin virtual en el PC de los usuarios remotos con un direccionamiento IP privado en la misma subred que la red local. Esto les permite acceder a los recursos de la red de la misma forma que si ellos formaran parte de la red interna.
Fig. SSL VPN en modo full tunnel

Pg. 226/316
Polticas de acceso SSL (SSL Access Policy)

La poltica de acceso SSL permite al ZyWALL realizar las siguientes tareas: Aplicar sobre los PCs de los usuarios requeridos el chequeo de Endpoint Security (EPS) para que cumpla con las polticas corporativas definidas antes de que puedan acceder al tnel SSL VPN. Limitar a los usuarios accede a aplicaciones especficas o archivos en la red. Permitir a los usuarios accede a redes especficas. Asignar direccionamiento IP privado y proporcionar informacin del servidor DNS/WIN a los usuarios remotos para acceder a las redes internas.
12.6.1. Creacin de Tnel SSL

12.6.1.1. Configuracin en el ZyWALL Para configurar la SSL VPN nos desplazamos hasta el men Configuration > VPN > SSL VPN. En la pestaa Access Privilege crearemos una nueva regla.
Fig. Aadir Regla de Configuracin SSL
Nos aparecer una ventana con varios campos de configuracin para esta poltica de acceso va VPN SSL. En el apartado Configuration podemos indicar un nombre para esta regla; y mediante la activacin de Join to SSL_VPN Zone podemos hacer que las reglas asociadas a la zona SSL_VPN se apliquen tambin a nuestra regla; y mediante Clean browser cache when logs out podemos limpiar las cookies, historial, y los archivos temporales de Internet de la cach del usuario logado cuando abandone la sesin SSL VPN. En el apartado User/Group podemos seleccionar los objetos con la informacin de los usuarios o grupos de usuario que harn uso de esta regla.

Pg. 227/316
Fig. Configuracin regla SSL VPN
En el apartado Endpoint Security EPS podemos forzar que los PCs de los usuarios que se vayan a conectar por SSL VPN cumplan con los requisitos de seguridad que indiquemos. En el apartado SSL Application List podemos seleccionar las aplicaciones a las que tendrn acceso los usuarios del SSL VPN mediante objetos. Los objetos posibles seran de tipo File Sharing (FTP), y aplicaciones Web (Web Server, OWA, VNC, RDP, Weblink).
Fig. Configuracin regla SSL VPN

Pg. 228/316
Si queremos configurar el modo Full Tunnel, en el apartado Network Extension habilitaremos la casilla Enable Network Extension y asignaremos un IP Pool. Y en el Network List asignaremos la red interna del ZyWALL como miembro del tnel. De esta forma, cuando el usuario se conecte mediante tnel SSL se le aadir un interfaz de red virtual. Dicha conexin de red virtual tendr una direccin IP comprendida en el rango configurado (en el ejemplo 8.1.1.33 a 8.1.1.50), y tendr acceso a la subred del ZyWALL (en el ejemplo 192.168.1.0).
Fig. Configuracin SSL VPN (Network Extension)
En la pestaa Global Setting podremos editar los mensajes de bienvenida y salida, as como cambiar el logotipo mostrado en el portal cautivo de la aplicacin SSL VPN.
Fig. Configuracin SSL VPN (Global Setting)

Pg. 229/316
En el sumario del estado de los interfaces que aparece en el podremos comprobar la direccin IP pblica que tiene el ZyWALL, y as acceder desde el exterior a dicha IP pblica utilizando un navegador web.
Fig. Comprobacin de la IP de WAN
12.6.1.2. Acceso desde el Exterior Desde un PC con acceso a Internet verificaremos la direccin IP que tenemos configurada. Para ello abrimos una ventana de smbolo de sistema e introducimos el comando ipconfig. Tenemos que cerciorarnos que nos encontramos en una subred diferente a la interna del ZyWALL (en el ejemplo diferente a 192.168.1.0).
Fig. Comprobacin de la configuracin IP
Abrimos un navegador web como puede ser el Intenet Explorer o Mozilla, y escribimos la direccin IP Pblica del ZyWALL. Nos aparecer una ventana indicando que hay un problema con el certificado de seguridad de este sitio web. Pulsaremos sobre la opcin Vaya a este sitio web.

Pg. 230/316
Fig. Acceso al ZyWALL desde Internet
Ahora nos aparecer una ventana solicitando datos de acceso. Escribiremos el nombre de usuario y contrasea miembros de la configuracin SSL creada en el ZyWALL (en este ejemplo nombre de usuario Usuario y contrasea zyxel, y pulsaremos sobre el botn SSL VPN para acceder con este usuario y establecer el tnel SSL.
Fig. Acceso al tnel SSL VPN desde Internet
Si el PC desde donde estamos accediendo no dispone de una versin de Java igual o superior a la 1.4, se nos mostrar la siguiente ventana indicando que descarguemos de Internet e instalemos la versin ms actualizada de Java para poder continuar.

Pg. 231/316
Fig. Notificacin de necesidad de tener instalado Java Runtime Environment
Una vez tengamos instalado Java, tendremos que cerrar el navegador web para que la prxima vez aparezcan los cambios. Al acceder nuevamente, el ZyWALL intentar instalar el cliente SecuExtender, por lo que habra que permitir el control ActiveX en el PC pulsando en la barra amarilla en la parte superior de la ventana que nos aparezca.
Fig. Permitir pop-up para proceder con la instalacin del activeX del ZyWALL SecuExtender

Pg. 232/316
Si permitimos el control ActiveX, nos aparecer una ventana indicando si queremos instalar o no el software ZyWALL SecuExtender. Pulsaremos sobre el botn Install.
Se pedir una confirmacin para ejecutar la aplicacin ssltun. Pulsaremos en el botn Run para proseguir con el proceso de instalacin.
Por ltimo se mostrar un asistente para instalar el cliente SecuExtender en nuestro PC. El software ZyWALL SecuExtender nos crear el interfaz de red virtual en nuestro PC con el que nos conectaremos a la red local del ZyWALL USG.

Pg. 233/316
Si se muestra una ventana como la siguiente, pulse sobre el botn Continue Anyway para finalizar la instalacin del cliente SecuExtender.
A continuacin se ver el proceso de carga del ZyWALL SecuExtender:
Fig. Carga del ZyWALL SecuExtender
Una vez se haya acabado el proceso de carga, podremos ver la ventana de bienvenida. Observamos que en la barra de tareas de Windows ha aparecido una nueva conexin de rea local.

Pg. 234/316
Fig. Nuevo Interfaz de rea Local
Una vez que pulsemos sobre OK, podremos acceder a las Aplicaciones Web configuradas en la regla del tnel SSL del ZyWALL.
Fig. Acceso a Aplicaciones WEB

Pg. 235/316
Tambin podremos acceder a las carpetas del FTP configuradas en la regla del tnel SSL del ZyWALL.
Fig. Acceso a Aplicaciones FTP
Del mismo modo, podemos comprobar que tenemos acceso a la red LAN interna del ZyWALL tras la creacin de la nueva conexin de rea local virtual. En el ejemplo comprobamos las direcciones IP asignadas a nuestro PC, y realizaremos una prueba de conexin contra un PC conectado directamente en la LAN del ZyWALL.

Pg. 236/316
Fig. Comprobacin de conectividad con la Red Remota

Pg. 237/316
12.6.2. Accediendo a la subred remota de un tnel IPSec VPN a travs de clientes SSL VPN
12.6.2.1. Escenario de Aplicacin El ZyWALL USG est ubicado en la sede Central (HQ). Una delegacin (Branch) ha establecido un tnel IPSec VPN con la sede Central. La subred local de la delegacin se puede comunicar con la red de la sede Central a travs del tnel VPN establecido. Los clientes SSL VPN construirn un tnel SSL VPN full tunnel contra la sede Central para acceder a los recursos locales de la subred de la sede Central. As mismo, los clientes SSL VPN accedern a los recursos locales de la subred de la delegacin mediante la conexin SSL VPN full tunnel a la sede Central, y desde ah va tnel IPSec VPN a la delegacin.
Fig. Escenario de Ejemplo
Vamos a asumir el siguiente direccionamiento IP: Sede Central (HQ): WAN: 172.25.27.126 LAN: 192.168.1.0/24 Rango del SSL VPN: 10.0.0.1~10.0.0.10 Delegacin (Branch): WAN: 172.25.27.99 LAN: 192.168.10.0/24

Pg. 238/316
12.6.2.2. Gua de configuracin
1.1.
Basndose en que el ZyWALL de la delegacin es un USG
1.1.1. Configuracin del USG en HQ :

1.) Nos vamos al men Configuration > Object > Address, y aadimos dos objetos de tipo address.
El primero lo llamamos ssl_pool (range 10.0.0.1~10.0.0.10), el otro ser la subred de la delegacin, subnet_branch(192.168.10.0/24)
Fig. Creacin de Objetos de tipo Address
2.) Nos vamos al men Configuration > Object > User/Group, y aadimos una cuenta para el usuario SSL VPN. Por ejemplo test con contrasea 123456.
Fig. Creacin de Objetos de tipo User
3.) Nos vamos al men Configuration > VPN > SSL VPN > Access Priviledge, y aadimos una regla SSL VPN.
Habilitamos el Network Extension Full tunnel, y en el apartado Network List hacemos uso del objeto subnet_branch que habamos creado.

Pg. 239/316
Fig. Configuracin de la poltica SSL VPN
4.) Nos vamos al men Configuration > VPN > IPSec VPN > VPN Gateway, y aadimos una regla de Fase1 hacia la delegacin.
Fig. Creacin de regla Fase1 en VPN Gateway

Pg. 240/316
Nos vamos al men Configuration > VPN > IPSec VPN > VPN Connection, y aadimos una regla de Fase2 hacia la delegacin. Teniendo en cuenta como poltica local 192.168.1.0, y como poltica remota 192.168.10.0
Fig. Creacin de regla Fase2 en VPN Connection
5.) Nos vamos al men Configuration > Network > Routing > Policy Route, y aadimos una poltica de rutas para enrutar el trfico SSL VPN hacia el tnel IPSec VPN denominado to_branch. Este trfico se corresponde al enviado desde el cliente SSL VPN hacia la subred local de la delegacin.
Source: ssl_pool (10.0.0.1~10.0.0.10) Destination: subnet_branch (192.168.10.0/24) Next Hop: IPSec VPN tunnel to_branch SNAT: none
Fig. Configuracin de regla Policy Route

Pg. 241/316
1.1.2. Configuracin del USG en Branch (delegacin) : 1.) Nos vamos al men Configuration > Object > Address, y aadimos dos objetos de tipo address. Uno ser subnet_HQ (192.168.1.0/24), y el otro ssl_pool (10.0.0.1~10.0.0.10).
Fig. Creacin de Objetos de tipo Address
2.) Nos vamos al men Configuration > VPN > IPSec VPN > VPN Gateway, y aadimos una regla de Fase1 hacia HQ.
Fig. Creacin de regla de Fase1 en VPN Gateway
Nos vamos al men Configuration > VPN > IPSec VPN > VPN Connection, y aadimos la regla de Fase2 hacia HQ. Teniendo en cuenta como poltica local 192.168.10.0, y como poltica remota 192.168.1.0
Fig. Creacin de regla de Fase2 en VPN Connection

Pg. 242/316
3.) Nos vamos al men Configuration > Network > Routing > Policy Route, y aadimos una policy route para enrutar el trfico SSL VPN (desde la subred local hacia el cliente SSL VPN) de vuelta hacia el tnel IPSec VPN. Source: LAN1_Subnet (192.168.10.0/24) Destination: ssl_pool (10.0.0.1~10.0.0.10) Next Hop: IPSec VPN tunnel to_HQ SNAT: none
Fig. Creacin de regla de Policy Route
Para finalizar la configuracin en los USG HQ y Branch, el usuario puede verificar el resultado. Para ello levantamos el tnel IPSec VPN.
Fig. Levantamiento de tnel VPN
1.1.3. El cliente SSL establece un full tunnel hacia el USG HQ :

Pg. 243/316
El cliente SSL VPN puede acceder tanto a los recursos de la sede Central (HQ 192.168.1.0/24 y 192.168.2.0/24), como a los recursos de la delegacin (Branch 192.168.10.0/24)

Pg. 244/316
1.2. Basndose en que el ZyWALL de la delegacin es un ZyWALL ZyNOS 1.2.1. Configuracin del USG en HQ :
1.) Nos vamos al men Configuration > Object > Address, y aadimos dos objetos de tipo address.
El primero lo llamamos ssl_pool (range 10.0.0.1~10.0.0.10), el otro ser la subred de la delegacin, subnet_branch(192.168.10.0/24)
Fig. Creacin de objetos de tipo Address
2.) Nos vamos al men Configuration > Object > User/Group, y aadimos una cuenta para el usuario SSL VPN. Por ejemplo test con contrasea 123456.
Fig. Creacin de objeto de tipo User
3.) Nos vamos al men Configuration > VPN > SSL VPN > Access Priviledge, y aadimos una regla SSL VPN.
Habilitamos el Network Extension Full tunnel, y en el apartado Network List hacemos uso del objeto subnet_branch que habamos creado.

Pg. 245/316
Fig. Configuracin de regla SSL VPN
4.) Nos vamos al men Configuration > VPN > IPSec VPN > VPN Gateway, y aadimos una regla de Fase1 hacia la delegacin.
Fig. Creacin regla de Fase1 desde VPN Gateway

Pg. 246/316
Nos vamos al men Configuration > VPN > IPSec VPN > VPN Connection, y aadimos dos reglas de Fase2 hacia la delegacin. La primera regla de HQ a Branch, utilizando como Local Policy 192.168.1.0, y como Remote policy 192.168.10.0 La segunda regla desde el cliente ssl vpn hacia Branch, utilizando como Local policy 10.0.0.1 ~10.0.0.10, y como Remote policy 192.168.10.0
Fig. Creacin de regla Fase2 desde VPN Connection
1.2.2. Configuracin del ZyWALL ZyNOS en Branch :

1.) Nos vamos al men Security > VPN > VPN Rules(IKE), y aadimos una regla de Fase1 hacia HQ.
Fig. Creacin de regla Fase1 desde Gateway Policy
Y aadimos dos reglas de Fase2. Una para el trfico desde Branch hacia HQ utilizando como Local policy 192.168.10.0 y Remote policy 192.168.1.0 La otra regla ser para el trfico desde Branch hacia el cliente ssl vpn, utilizando como Local policy 192.168.10.0 y como Remote policy 10.0.0.1~10.0.0.10

Pg. 247/316
Fig. Creacin de regla Fase2 desde Network Policy
2.) Despus de realizar la configuracin anterior tanto en el USG de HQ como en el ZyWALL ZyNOS de Branch, podemos verificar si el cliente SSL VPN tiene acceso a los recursos de estas sedes.
El cliente SSL establecer un full tunnel hacia el USG de HQ.
Fig. Establecimiento del tnel SSL desde el PC remoto
El cliente SSL VPN tendr acceso tanto a los recursos locales del USG HQ (subredes 192.168.1.0/24 y 192.168.2.0/24), y a los recursos locales del ZyWALL ZyNOS (subred 192.168.10.0/24).

Pg. 248/316

Pg. 249/316
12.7. L2TP VPN

Consideraciones previas del tnel L2TP VPN de ZyXEL: Slo soporta la versin 2 del L2TP. Slo soporta Autenticacin PPP PAP. Slo soporta Modo Voluntario. Soporta Clientes L2TP detrs de NAT. Soporta al ZyWALL como NAT y Servidor L2TP al mismo tiempo. No soporta L2TP Puro. No soporta al ZyWALL actuando como servidor L2TP detrs de NAT. No soporta al ZyWALL para que acte como Cliente L2TP.
Este ejemplo usa las siguientes opciones en la creacin de un tnel bsico L2TP VPN.
Fig. Topologa de red del ejemplo de tnel L2TP VPN
El ZyWALL tiene la direccin IP esttica 172.16.1.2 para el interfaz WAN1. El usuario remoto tiene una direccin IP pblica dinmica y se conecta a travs de Internet. Se ha configurado un objeto de tipo address llamado L2TP_POOL para asignar a los usuarios remotos IPs desde la 192.168.10.10 a la 192.168.10.20 y usarlas en el tnel L2TP VPN. La regla VPN permite a los usuarios remotos acceder al LAN_SUBNET que cubre toda la subred 192.168.1.x.

Pg. 250/316
12.7.1. Configurando el Default L2TP VPN Gateway

1 Pulsa en VPN >Network > IPSec VPN > VPN Gateway para abrir la pantalla con la lista de los VPN gateways. Pulsa en Default_L2TP_VPN_GW y el icono Edit.
Fig. Configuracin del Default_L2TP_VPN_GW
Configure la opcin My Address. Este ejemplo usa el interfaz WAN1 con la direccin IP esttica 172.16.1.2/255.255.255.0 Seleccione Pre-Shared Key y configure una contrasea. En este ejemplo vamos a utilizar la contrasea top-secret. Pulse en OK.
2 Pulsa en el icono Enable de la configuracin Default_L2TP_VPN_GW y pulsa sobre Apply para salvar los cambios.
Fig. Activar la regla creada

Pg. 251/316
12.7.2. Configurando el Default L2TP VPN Connection

1 Pulse en VPN > Network > IPSec VPN para abrir la pantalla que muestra la lista de VPN connections. Pulsa sobre el icono Edit del Default_L2TP_VPN_Connection.
Fig. Configuracin del Default_L2TP_VPN_Connection
2 En la seccin VPN Gateway seleccionamos el Application Scenario Remote Access (Server Role). Y seleccionamos del desplegable de VPN Gateway, la regla de VPN Gateway Default_L2TP_VPN_GW. Para el Local Policy, crea un objeto de tipo address que use el tipo host y contenga la direccin IP del interface WAN1 (172.16.1.2), y llamaremos este objeto como L2TP_IFACE.
3 Haz click sobre el icono Enable del Default_L2TP_VPN_Connection y para acabar pulsa sobre Apply para salvar los cambios.

Pg. 252/316
Fig. Activar la regla creada
12.7.3. Configurando las opciones del L2TP VPN

1 Haz click sobre VPN > L2TP VPN para abrir la pantalla siguiente.
Fig. Configuracin del L2TP VPN
2 Configure los siguientes pasos: Habilite la conexin mediante la casilla Enable L2TP Over IPSec. Seleccione Default_L2TP_VPN_Connection en el VPN Connection. Configure un objeto IP address pool para el rango 192.168.10.10 a 192.168.10.20. En este caso hemos llamado al objeto L2TP_POOL.

Pg. 253/316
En este ejemplo se usa el mtodo de autenticacin por defecto (la base de datos de usuarios locales del ZyWALL). Selecciona el usuario o grupo de usuarios que puedan usar el tnel. En el ejemplo se ha creado una cuenta de usuario denominada L2TP-test. El resto de campos se dejarn con su configuracin por defecto, y pulse en Apply.
12.7.4. Configurando la Policy Route para L2TP

1 Haz click en Configuration > Routing > Add para abrir la siguiente pantalla.
Fig. Configuracin del Policy Route
2 Configure los siguientes pasos: Habilite el policy route. Seleccione en el Source Address el objeto con la informacin de la red local a la que pueden tener acceso los usuarios remotos (LAN_SUBNET in este ejemplo). Seleccione en el Destination Address el objeto con la informacin del pool que el ZyWALL asignar a los usuarios remotos (L2TP_POOL in este ejemplo). Seleccione como next hop el tnel VPN Default_L2TP_VPN_Connection. Pulse sobre OK.

Pg. 254/316
12.7.5. Configurando L2TP VPN en Windows 7

En esta seccin vamos a ver un ejemplo de la configuracin L2TP a efectuar sobre un PC con Windows 7. 1 En Windows 7 accedemos al Centro de redes y recursos compartidos.
Fig. Abrir Centro de redes y recursos compartidos
2 Pulsamos sobre Crear nueva conexin de red.
Fig. Crear una nueva conexin de red

Pg. 255/316
3 Pulsamos sobre Conectarse a un lugar de trabajo
Fig. Conectarse a un lugar de trabajo
4 Seleccionamos Usar mi conexin de Internet (VPN)
Fig. Usar mi conexin de Internet (ya creada)

Pg. 256/316
5 Introducimos la direccin IP remota o nombre DNS, y el nombre que le vamos a dar a nuestra conexin L2TP. As mismo marcamos la ltima casilla para que no se conecte ahora mismo.
Fig. Direccin IP remota y nombre de la conexin L2TP que queramos
6 Introducimos un nombre de usuario y contrasea permitidos en el USG para la conexin L2TP. Y pulsamos en crear, y cerramos la ventana.
Fig. Credenciales de acceso al tnel L2TP

Pg. 257/316
7 Desde el Centro de redes y recursos compartidos, pulsamos sobre el botn Conectarse a una red, y pulsamos con el botn derecho sobre la conexin que acabamos de crear y pulsamos en Propiedades.
Fig. Propiedades de la conexin L2TP
8 En la pestaa Seguridad, seleccionamos Cifrado opcional (conectar incluso sin cifrado) y marcamos la opcin Permitir estos protocolos. Seleccione Contrasea no cifrada (PAP) y deshabilite el resto de casillas. Pulsamos en Opciones Avanzadas.
Fig. Configuracin de la pestaa Seguridad

Pg. 258/316
9 Seleccionamos Utilizar Llave Pre-Compartida para la Autenticacin, e introducimos la clave ya indicada en el ZyWALL USG.
Fig. Introduccin de la Pre-Shared Key configurada en el USG
10 En la pestaa Redes, deseleccionamos la casilla Compartir impresoras y archivos para redes Microsoft, y pulsamos en OK.
Fig. Desmarcar Compartir Impresoras y archivos para redes Microsoft

Pg. 259/316
11 Para finalizar, volvemos a ejecutar la conexin L2TP e introducimos el nombre de usuario y contrasea para realizar la conexin.
Fig. Seleccionamos la conexin y pulsamos en Conectar
Fig. Introduccin de las credenciales de acceso

Pg. 260/316
12 Nos aparecer un proceso de autenticacin que finalizar indicando que nos hemos conectado con xito.
Fig. Indicacin de tnel L2TP establecido con xito
13 En el rea de conexin nos aparecer la conexin L2TP junto a la conexin de rea local que ya tenamos.
Fig. Nueva conexin de red

Pg. 261/316
14 Si consultamos el estado de la conexin L2TP to ZyWALL que tenemos establecida, veremos el direccionamiento IP que hemos obtenido del objeto L2TP_POOL del ZyWALL USG:
Fig. Direccionamiento IP de la nueva conexin de red obtenido del L2TP_POOL
15 Acceda al servidor o cualquier otro recurso de la red detrs del ZyWALL para asegurar y confirmar que tu acceso mediante L2TP VPN funciona.

Pg. 262/316
12.7.6. Configurando L2TP VPN en Windows XP

La seccin siguiente muestra cmo configurar L2TP en los PCs de los usuarios remotos con Windows XP. Antes de configurar el cliente, compruebe que su ordenador est ejecutando el servicio Microsoft IPSec a travs de los siguientes comandos de Windows: (Introduzca este comando incluyendo las comillas) net start Servicios IPSEC
En Windows XP realice los siguientes pasos para establecer la conexin L2TP VPN. 1 Pulse Inicio > Panel de Control > Conexiones de Red > Crear una conexin nueva. 2 Pulse Siguiente en la pantalla de bienvenida. 3 Seleccione Conectarse a la red de mi lugar de trabajo y pulse Siguiente.

Pg. 263/316
4 Seleccione Conexin de red privada virtual y pulse Siguiente.
5 Introduzca L2TP to ZyWALL como Nombre de la organizacin.

Pg. 264/316
6 Introduzca el nombre de dominio o direccin IP de WAN configurada en My Address en la configuracin del gateway VPN que el ZyWALL est utilizando para L2TP VPN(172.16.1.2 en este ejemplo).
7 Pulse en Siguiente. Y le aparecer la ventana de Finalizacin del Asistente para conexin nueva. En dicha ventana puedes crear un acceso directo al escritorio de la conexin creada. Pulse en Finalizar para crear la conexin y cerrar el asistente.

Pg. 265/316
8 La pantalla Conectarse a L2TP to ZyWALL aparecer. Pulse en Propiedades.
9 Pulse en la pestaa Seguridad, y seleccione Avanzada (configuracin personalizada) y pulse en Configuracin.

Pg. 266/316
10 Seleccione Cifrado opcional (conectar incluso sin cifrado) y marque la opcin Permitir estos protocolos. Seleccione Contrasea no cifrada (PAP) y deshabilite el resto de casillas. Haga click en OK.
11 Haga click en Configuracin IPSec.

Pg. 267/316
12 Seleccione la casilla Usar clave previamente compartida al autenticar e introduce la misma pre-shared key utilizada en la configuracin VPN gateway que el ZyWALL est utilizando para la L2TP VPN (en nuestro ejemplo top-secret). Haga click en OK.
13 Haga click en Funciones de red. Seleccione Red privada virtual (VPN) con L2TP/ IPSec como el Tipo de red privada virtual (VPN). Haga click en OK.

Pg. 268/316
14 Introduzca el nombre de usuario y contrasea de la cuenta del ZyWALL. Pulse en Conectar.
15 Aparecer una ventana mostrando que se est conectado con el equipo remoto.
16 En la misma ventana tambin aparecer el mensaje de comprobacin de nombre de usuario y contrasea.

Pg. 269/316
17 En la misma ventana tambin aparecer el mensaje de que se est registrando su equipo en la red.
18 Si todo ha ido bien, nos aparecer el mensaje de Autentificado.
19 Ahora en la bandeja del sistema se mostrar un nuevo icono de conexin de red, el icono L2TP to ZyWALL. Haga doble-click sobre el icono con los dos ordenadores que se ha creado para abrir la pantalla de estado.
20 Pulse en Detalles para ver la direccin IP que ha recibido del rango L2TP que especific en el ZyWALL (192.168.10.10-192.168.10.20).
21 Acceda al servidor o cualquier otro recurso de la red detrs del ZyWALL para asegurar y confirmar que tu acceso mediante L2TP VPN funciona.

Pg. 270/316
12.7.7. Resolucin de problemas en tneles L2TP

La sesin L2TP no se establece si el cliente L2TP est detrs de NAT o Habilite el NAT-T en el L2TP VPN Gateway correspondiente La sesin L2TP no puede establecerse si fue activado Use Policy Route to control dynamic IPSec rules. o Crear una regla en el Policy Route para poner el trfico L2TP generado localmente en el L2TP VPN Connection correspondiente. Si la sesin L2TP sigue sin establecerse con esta Policy Rule, verifica si el cliente L2TP y el ZyWALL estn en la misma subred. La prioridad de ruteo de una Direct Route es ms alta que la Policy Route en el flujo de ruteo del sistema operativo ZLD. La sesin L2TP no puede establecerse si el servidor L2TP (no ZyWALL) est detrs de NAT (ZyWALL). o Crea un Virtual Server para enviar el trfico IKE/ESP/NATT hacia el servidor L2TP detrs de NAT(ZyWALL) Port forwarding del puerto 500 UDP Port forwarding del trfico ESP Port forwarding del puerto 4500 UDP El cliente L2TP no puede tener acceso a lo que est detrs del ZyWALL o Crea un Policy Rule para poner el trfico con el destino L2TP_POOL hacia el L2TP VPN Connection correspondiente. El cliente L2TP no accede a Internet o Crea una Policy Route Rule para poner el trfico L2TP desde el L2TP VPN Connection correspondiente hacia la WAN.
Ejemplo: Topologa o L2TP Client---NAT---Internet---ZyWALL o WAN of ZyWALL: ge2(192.168.105.56) o LAN of ZyWALL: ge1(192.168.1.1) o L2TP Address Pool: 192.168.10.10 ~ 192.168.10.20 Objetivo o Establecer una sesin L2TP sobre IPSec o Acceder a los recursos de la LAN o Acceder a Internet

Pg. 271/316
Para un cliente L2TP detrs de NAT, habilite NAT-T en ZyWALL > VPN > IPSec VPN > VPN Gateway > Default_L2TP_VPN_GW.
Para establecer la sesin L2TP necesitamos configurar Local/Remote Policy en ZYWALL > VPN > IPSec VPN > VPN Connection > Default_L2TP_VPN_Connection
Para acceder a un recurso de LAN, cree una regla del Policy Route para poner todo el trfico con destino L2TP_POOL hacia el L2TP VPN Connection correspondiente.
Para acceder a Internet, cree una regla del Policy Route para poner el trfico L2TP del L2TP VPN Connection correspondiente hacia la WAN.

Pg. 272/316
13. Funcionalidad UTM

13.1. Application Patrol
Con el Application Patrol podemos controlar el acceso a una serie de servicios, ya sean preconfigurados o creados por el usuario. En este ejemplo vamos a ver la configuracin para limitar el acceso a las aplicaciones MSN Messenger y Edonkey (motor del Emule).
13.1.1. MSN Messenger

En la barra de mens lateral pulsamos sobre AppPatrol. En la pestaa General tendremos que habilitar el Application Patrol. Desde esta ventana tambin podemos ver el estado de la licencia y la informacin de las firmas.
Fig. Application Patrol (General)
Posteriormente accederemos a la pestaa IM (Instant Messenger) y editamos la configuracin para el servicio msn.

Pg. 273/316
Fig. Servicios de Mensajera Instantnea del AppPatrol
Una vez dentro, habilitaremos el servicio, y pulsaremos sobre aadir una nueva poltica.
Fig. Aadir una nueva Poltica
En este ejemplo la poltica va a limitar al usuario del PC_ZyXEL en el horario de oficina. Dicho usuario va a tener acceso al Messenger, pero se le han limitado algunas funcionalidades del Messenger (Audio, Video, Transferencia de Ficheros). Si queremos denegar todo acceso al Messenger cambiaramos las opciones de Access por reject.

Pg. 274/316
Fig. Configuracin de la Poltica para el MSN Messenger
13.1.2. Edonkey
En la barra de mens lateral pulsamos sobre AppPatrol. En la pestaa General tendremos que habilitar el Application Patrol, y para este ejemplo habilitaremos el control de Ancho de Banda. Desde esta ventana tambin podemos ver el estado de la licencia y la informacin de las firmas.
Fig. Application Patrol (General)

Pg. 275/316
Posteriormente accederemos a la pestaa Peer to Peer y editamos la configuracin para el servicio edonkey.
Fig. Editar las opciones del servicio edonkey
Una vez dentro, habilitaremos el servicio, y pulsaremos sobre aadir una nueva poltica.
Fig. Aadir una Poltica
En este ejemplo la poltica va a limitar al usuario del PC_ZyXEL en el horario de oficina. A dicho usuario se le va a permitir el acceso al edonkey, aunque se le va a aplicar un control del ancho de banda. Si queremos denegar todo acceso al edonkey cambiaramos las opciones de Access por reject.

Pg. 276/316
Fig. Configuracin de la Poltica para el edonkey
13.2. Anti-Virus
En la barra de mens lateral pulsamos sobre Anti-X, y a continuacin sobre Anti-Virus. En la pestaa General tendremos que habilitar el Anti-Virus, y aadiremos una nueva Poltica de configuracin. Desde esta ventana tambin podemos ver el estado de la licencia y la informacin de las firmas.
Fig. Configuracin general del Anti-Virus

Pg. 277/316
Una vez que aadamos una poltica, tendremos que rellenar un formulario con la configuracin de la misma. Dicha configuracin constara de habilitar la casilla de Activacin, seleccionar los interfaces de origen y destino, los protocolos a escanear, qu acciones tomar cuando se detecta un virus. Si queremos habilitar o no la lista blanca y negra. Y si queremos que verifique los virus en los ficheros comprimidos.
Fig. Configuracin de la Poltica del Anti-Virus
En la pestaa Black/White List podemos aadir unos patrones de ficheros para indicarle al Anti-Virus que los filtre o que no los filtre. En este ejemplo hemos creado en la White List el patrn de fichero Zy*.* para que todos los ficheros que empiecen por las letras Zy no sean filtrados por el Anti-Virus.

Pg. 278/316
Fig. Configuracin de la Black/White List
13.3. IDP
En la barra de mens lateral nos desplazamos a Configuration > Anti-X > IDP. En la pestaa General tendremos que habilitar la deteccin de firmas, y aadiremos una nueva Poltica de configuracin o editaremos una existente. Desde esta ventana tambin podemos ver el estado de la licencia y la informacin de las firmas.
Fig. Pantalla de la configuracin general del IDP
En la pestaa Profiles podemos crear perfiles que se aadirn sobre las polticas de la pestaa General. Vamos a editar el perfil LAN_IDP.

Pg. 279/316
Fig. Perfiles del IDP
Dentro de la configuracin del perfil le daremos un nombre a este perfil, y podremos configurar una a una las acciones a tomar para cada uno de los Servicios que aparecen. As como hacer que se generen alertas o no en el Log para luego visualizarlas.
Fig. Configuracin de un Perfil del IDP
Tambin podemos aadir una firma personalizada para un servicio propietario que queramos limitar, e importar firmas personalizadas. Vamos a aadir una regla para nuestro servicio personalizado desde la pestaa Custom Signatures:
Fig. Crear e Importar Firmas Personalizadas para IDP

Pg. 280/316
Fig. Personalizar Firmas de IDP
13.4. ADP
En la barra de mens lateral pulsamos sobre Configuration > Anti-X > ADP. En la pestaa General tendremos que habilitar la deteccin de anomalas, y aadiremos una nueva Poltica de configuracin o editaremos una existente. Las Polticas estn referenciadas a interfaces origen y destino, y sobre un perfil de anomala.
Fig. Pantalla de configuracin general del ADP
Nos vamos a la pestaa Profile y aadimos o editamos un perfil. Al aadir el perfil nos aparecer una ventana de seleccin de la base del perfil ADP. Si seleccionamos all, las anomalas de trfico y protocolo se activan por defecto y generan logs alert y las acciones a tomar. Sino seleccionaremos none.

Pg. 281/316
Fig. Perfiles ADP
Fig. Seleccin de la Base del Perfil ADP
Configuraremos las opciones disponibles en cuanto a los Log y las Acciones a llevar cuando se de el caso para las Anomalas de Trfico y las de Protocolo.
Fig. Configuracin de las Anomalas de Trfico

Pg. 282/316
Fig. Configuracin de las Anomalas de Protocolo
Una vez creado el Perfil Personalizado, desde la pestaa General seleccionaremos la poltica a configurar y seleccionaremos el perfil personalizado que acabamos de crear:
Fig. Aplicacin del perfil personalizado

Pg. 283/316
13.5. Filtrado de Contenidos

En la barra de mens lateral pulsamos sobre Configuration > Anti-X > Content Filter. En la pestaa General tendremos que habilitar el Content Filter. Opcionalmente podremos activar el Content Filter Report Service, que nos permitir desde nuestra cuenta de MyZyXEL.com ver los informes y estadsticas de los accesos Web capturados por el Filtrado de Contenidos. Desde la pestaa General tambin podremos aadir o editar polticas de configuracin, as como editar el mensaje a mostrar cuando algn usuario acceda a contenido bloqueado, y redireccionarlo a una URL. Tambin se muestra el estado de la licencia.
Fig. Configuracin general del Filtrado de Contenidos
En la pestaa Filter Profile crearemos nuestro perfil de filtrados web pulsando en el botn Add.
Fig. Control de Perfiles de Filtros

Pg. 284/316
La configuracin de este filtro se basa en dos partes: por Categoras o Personalizado. En la configuracin por Categoras disponemos de ms de 55 categoras de pginas web a las que podemos limitar el acceso. Del mismo modo tenemos que seleccionar la accin a tomar cuando se de una coincidencia, y si queremos que quede registrado en los logs.
Fig. Configuracin de las Categoras a limitar el acceso
En la parte inferior podremos hacer un test de una URL para ver si est permitido su acceso o por el contrario est bloqueado.
Fig. Test de acceso a una URL

Pg. 285/316
En la pestaa Custom Service, tras habilitar el servicio, podremos restringir algunas caractersticas Web, as como introducir Websites de confianza, y Websites a bloquear. La opcin Blocked URL Keywords nos bloquear todas las Websites cuya URL coincida con alguna de las palabras introducidas.
Fig. Configuracin Personalizada de accesos Web
En la pestaa General de la configuracin del Filtrado de Contenidos, podremos crear un perfil aadiendo la configuracin de las reglas de filtrado que acabamos de crear:
Fig. Edicin de la Poltica de Filtrado de Contenido

Pg. 286/316
Por lo que la poltica creada quedara de la siguiente forma descrita en la pestaa General del Filtrado de Contenidos:
Fig. Listado de Polticas de Filtrado de Contenido
En el men Monitor > Anti-X Statistics > Content Filter, podemos encontrar informacin y estadsticas de los accesos a las pginas Web, y el tratamiento que se ha aplicado en funcin del tipo de categora bloqueada, y listas de accesos personalizadas.
Fig. Estadsticas de utilizacin del Filtrado de Contenido

Pg. 287/316
13.6. Anti-Spam
En la barra de mens lateral pulsamos sobre Configuration > Anti-X > AntiSpam. En la pestaa General tendremos que habilitar el Anti-Spam, seleccionar la accin a tomar cuando se detecte correo de SPAM. Y posteriormente aadir o editar una poltica de configuracin. La recomendacin es la de dejar el correo pasar.
Fig. Pantalla General del Anti-Spam
Si aadimos una poltica nos encontraremos con un formulario que nos solicita los protocolos a escanear, as como opciones de chequeo, direccin de los correos a nivel interfaz, y las acciones a llevar a cabo cuando se detecte el Spam.
Fig. Configuracin de la Poltica del Anti-Spam

Pg. 288/316
En la pestaa Black/White List podemos crear una serie de reglas, a bloquear o permitir por el Anti-Spam en funcin de nombres de la cabecera o IP y aadirles una etiqueta para cuando lo recibamos en nuestra bandeja de entrada de correo.
Fig. Configuracin de la Black y White List
En la pestaa DNSBL podremos habilitar un servidor externo con perfiles AntiSpam para que filtre nuestros correos y les aada las cabeceras que configuremos. Este servicio puede ser en base a licencia o gratuitos como zen.spamhaus.org, list.dsbl.org o combined.njabl.org
Fig. Configuracin del Servidor DNSBL
As mismo, desde el men Monitor > Anti-X Statistics > Anti-Spam, puede encontrar en la pestaa Report estadsticas sobre la utilizacin del servicio Anti-Spam, y en la pestaa Status estadsticas sobre las actuaciones de los servidores DNSBL.

Pg. 289/316
Fig. Estadsticas de la utilizacin del servicio Anti-Spam
Fig. Estadsticas de la utilizacin de los servidores DNSBL del Anti-Spam

Pg. 290/316
14. Device HA
Con la funcin Device HA lograremos que el ZyWALL(B) Backup tome el control cuando el ZyWALL(A) Master falle. Un switch Ethernet conecta ambos interfaces lan1 de los ZyWALL a la LAN. Sea cual sea el ZyWALL que est funcionando como master, utiliza la direccin IP del gateway por defecto de los Ordenadores de la LAN (192.168.1.1) para el interfaz lan1 y la direccin IP pblica esttica (1.1.1.1) para el interfaz wan1. Si el ZyWALL A se recupera (tiene los interfaces lan1 y wan1 conectados), asumir el rol de master y se encargar de todas sus funciones de otra vez.
Fig. Funcionamiento del Device HA
Cada interface ge1 del ZyWALL tambin posee su propia IP de mantenimiento. La direccin IP de mantenimiento en el ZyWALL A es 192.168.1.3 y en el ZyWALL B es 192.168.1.5.
14.1. Antes de Empezar

ZyWALL A debe de estar previamente configurado. Usaremos el device HA para copiar la configuracin del ZyWALL A posteriormente sobre el ZyWALL B. Para prevenir un conflicto de direcciones IP, no conecte el ZyWALL B a la LAN hasta que hayas configurado las opciones del device HA, y los pasos de la configuracin te obliguen a conectarlo.

Pg. 291/316
14.2. Configurar Device HA en el ZyWALL Master

1. Haga login en el ZyWALL A ( master ) y pulse en Device HA > ActivePassive Mode. Pulsa sobre el icono Edit del interfaz lan1 (LAN). 2. Configure la IP 192.168.1.3 como Management IP y 255.255.255.0 como Manage IP subnet Mask. Pulse en OK.
Fig. Configuracin de IP de Mantenimiento ZyWALL Master
3. Configure el Device Role en Master. Este ejemplo est enfocado en la conexin de la LAN (lan1) a Internet a travs del interfaz wan1, por lo tanto vamos a monitorizar los interfaces lan1 y wan1. Introduce el Password de sincronizacin (mySyncPassword en este ejemplo) y pulse sobre el botn Apply.
Fig. Configuracin del ZyWALL Master

Pg. 292/316
4. Pulsa en la pestaa General. Marca la casilla Device HA y pulsa Apply.
Fig. Habilitar Device HA en el ZyWALL Master
14.3. Configurar Device HA en el ZyWALL Backup

1. Conecta un ordenador al interfaz lan1 del ZyWALL B y logueese en el Configurador WEB. Conecte el ZyWALL B a Internet y subscrbase a los mismos servicios (filtrado de contenidos, anti-virus, ) a los que est subscrito el ZyWALL A. 2. En el ZyWALL B pulse sobre Device HA > Active-Passive Mode. Haga click en el icono Edit del interfaz lan1 (LAN).
3. Configure 192.168.1.5 como la Management IP y 255.255.255.0 como la Manage IP subnet Mask. Pulse sobre OK.
Fig. Configuracin de IP de Mantenimiento ZyWALL Backup

Pg. 293/316
4. Configure el Device Role como Backup. Monitorice los interfaces lan1 y wan1. Configure como Server Address la direccin 192.168.1.1, el Server Port a 21, y con el Password mySyncPassword. Marque la casilla Auto Synchronize y configure el Interval a 60. Pulse sobre Apply.
Fig. Configuracin del ZyWALL Backup
5. Pulsa en la pestaa General. Marca la casilla Device HA y pulsa Apply.
Fig. Habilitar Device HA en el ZyWALL Backup

Pg. 294/316
14.4. Hacer uso del ZyWALL Backup

Conecte el interface ge1 del ZyWALL B a la red LAN. Conecte el interfaz wan1 al mismo router donde el interfaz wan1 del ZyWALL A est usando el acceso a Internet. El ZyWALL B copiar la configuracin del ZyWALL A (y se resincronizar con A cada hora). Si el ZyWALL A falla o pierde la conexin de lan1 o wan1, el ZyWALL B funcionar como master.
14.5. Verificar la Configuracin del Device HA

1. Para asegurar que el ZyWALL B copia la configuracin del ZyWALL A, tienes que loguearte a travs de la IP de mantenimiento del ZyWALL B (192.168.1.5) y verificar la configuracin. Puedes usar la pantalla de configuracin Maintenance > File Manager > Configuration File para guardar copias de los ficheros de configuracin del ZyWALL para poder comparar. 2. Para testear la configuracin del Device HA, desconecte el interfaz lan1 o el wan1 del ZyWALL A. Los ordenadores en la LAN deben de seguir teniendo acceso a Internet. Si no es as, verifique las conexiones y la configuracin del device HA.
Enhorabuena! Ahora que ha configurado el device HA para la LAN, puede utilizar el mismo procedimiento para cualquier otra red local de su ZyWALL. Por ejemplo, puede habilitar el device HA monitoring sobre los interfaces DMZ y usar un switch Ethernet para conectar ambos interfaces DMZ de los ZyWALL para publicar los servidores disponibles. Escoja el interfaz dmz1 y mapalo a la direccin IP privada 192.168.3.7 del servidor HTTP.
Fig. Topologa de red con un Servidor Pblico por DMZ

Pg. 295/316
14.6. Crear los Objetos de tipo Address

Use Object > Address > Add para crear objetos de tipo address. 1. Crea un objeto de tipo address llamado DMZ_HTTP para la direccin IP privada del servidor HTTP 192.168.3.7.
Fig. Creacin de Objetos
2. Crea un objeto de tipo address llamado wan2_HTTP para la direccin IP pblica wan2 1.1.1.2.
Fig. Creacin de Objetos
14.7. Configurar un Virtual Server

Necesita crear un Virtual Server para enviar el trfico HTTP que va hacia la direccin IP 1.1.1.2 en wan2 hacia la direccin IP privada del servidor HTTP 192.168.3.7. En la pantalla Network > Virtual Server, pulse sobre el smbolo + y cree una nueva entrada de Virtual server como se muestra a continuacin. Este Virtual Server es para el trfico proveniente de wan2 hacia la direccin IP 1.1.1.2 (definida en el objeto wan2_HTTP). El Virtual Server enva ste trfico hacia la direccin IP privada del servidor HTTP 192.168.3.7 (definida en el objeto DMZ_HTTP).

Pg. 296/316
El trfico HTTP y el servidor HTTP en este ejemplo usan el puerto TCP 80. Por lo que hay que configurar el Port Mapping Type a Port, y el Protocol Type a TCP, y el original port y mapped port a 80. En este ejemplo 1.1.1.2 no es la direccin IP por defecto para las sesiones a travs de wan2. Seleccione Add corresponding Policy Route rule for NAT 1:1 mapping para enviar las sesiones salientes del servidor HTTP a travs de wan2 y usar 1.1.1.2 como la direccin IP de origen (para que coincida con la direccin IP para acceder a l).
Seleccione Add corresponding Policy Route rule for NAT Loopback para permitir a los usuarios locales usar el nombre de dominio para acceder al servidor HTTP.
Fig. Creacin del Virtual Server
El firewall permite el trfico desde la zona WAN a la zona DMZ por defecto, por lo que la configuracin est finalizada. Ahora se puede acceder al servidor HTTP a travs de la direccin IP 1.1.1.2. Si el nombre de dominio est registrado para la direccin IP 1.1.1.2, los usuarios pueden acceder al servidor web a travs del nombre de dominio.

Pg. 297/316
15. Mantenimiento
15.1. Fichero de Configuracin
Esta es la primera pestaa de configuracin dentro del men Maintenance. El dispositivo ZyWALL USG tiene la capacidad de almacenar ficheros de configuracin en una pequea memoria interna. Desde esta opcin podemos manejar los ficheros de configuracin. Es decir, podemos descargar ficheros de configuracin a un PC, copiarlos dentro de la memoria interna, renombrarlos, eliminarlos, ejecutar una configuracin, y cargar ficheros desde un PC a la memoria interna del ZyWALL.
Fig. Control de los Ficheros de Configuracin
Si no existe ningn startup-config.conf cuando reinicias el ZyWALL (ya sea a travs del interfaz de mantenimiento o fsicamente apagando el equipo y volvindolo a encender), el ZyWALL utiliza la configuracin del fichero systemdefault.conf con la configuracin del ZyWALL por defecto. Si existe el fichero startup-config.conf, el ZyWALL lo chequea por si tuviera errores y aplica la configuracin que tenga cargada. Si no existen errores, el ZyWALL lo utiliza y realiza una copia en el fichero lastgood.conf como backup. Si se ha detectado algn error de configuracin, el ZyWALL genera un log y realiza una copia en el fichero startup-config-bad.conf e intenta cargar el fichero de configuracin lastgood.conf. Si no existiera el fichero lastgood.conf, el ZyWALL aplicara el fichero de configuracin system-default.conf Se puede cambiar la forma en que el fichero startup-config.conf se aplica. Aadiendo el comando setenv-startup stop-on-error off , el ZyWALL ignora cualquier error que se produzca en el fichero startup-config.conf y aplica todos los comandos vlidos que tenga. El ZyWALL de todas formas generar un log con todos los errores.

Pg. 298/316
15.2. Firmware
En este men podremos visualizar la versin actual de firmware cargada en el ZyWALL, as como cargar una nueva versin de firmware en formato .BIN desde un PC.
Fig. Carga del Firmware
Despus de ver la pantalla con el proceso de carga de firmware, espere unos dos minutos antes de volver a loguearse en el ZyWALL.
Fig. Pantalla con el proceso de carga del firmware
El ZyWALL automticamente se reiniciar causando una desconexin del cable de red temporal. En algunos sistemas operativos puedes ver una el siguiente icono en tu escritorio.
Fig. Cable de red desconectado
Despus de unos cinco minutos, vuelve a loguearte y chequea la nueva versin de firmware en la pantalla HOME. Si la carga no se ha completado con xito, el mensaje siguiente se mostrar en la parte de abajo de la barra de estado.
Fig. Mensaje de error en la carga de Firmware

Pg. 299/316
15.3. Shell Script

El dispositivo ZyWALL USG dispone de una pequea memoria interna para almacenar los ficheros de configuracin, as como Shell Scripts. El tamao de esta memoria es diferente en cada dispositivo de la familia ZyWALL USG. Desde esta opcin podemos manejar los ficheros de Shell Scripts. Es decir, podemos descargar Shell Scripts a un PC, copiarlos dentro de la memoria interna, renombrarlos, eliminarlos, ejecutarlos, y cargar nuevos Shell Scripts desde un PC a la memoria interna del ZyWALL. Los ficheros de Shell Script tienen que tener la extensin .zysh
Fig. Control de los ficheros Shell Script
Un ejemplo de fichero de script puede ser el siguiente:
Fig. Fichero Shell Script

Pg. 300/316
15.4. Iniciando y Apagando el ZyWALL

Existen varias formas de iniciar y apagar el ZyWALL. MTODO Encendiendo la alimentacin Reiniciando el ZyWALL DESCRIPCIN El inicio en fro se produce cuando enciendes el equipo y le proporcionas electricidad. El ZyWALL se inicia, chequea el hardware y se inician los procesos del sistema. El inicio en caliente (sin tener que apagar y encender la alimentacin del equipo) se produce cuando se hace uso del botn Reboot en la pantalla de Reboot, o cuando se utiliza el comando reboot por lnea de comandos. El ZyWALL almacena todos los datos en cache a la memoria interna, se paran todos los procesos del sistema, y a continuacin realiza el inicio del en caliente. Si pulsas el botn de RESET, el ZyWALL activa la configuracin por defecto, y se reinicia. El comando shutdown almacena todos los datos de cache en la memoria interna, y para los procesos del sistema. No se produce un apagado del equipo. Tienes que quitar la alimentacin manualmente para iniciar el ZyWALL nuevamente. Se debe usar este comando antes de apagar el ZyWALL. El apagado se produce cuando se desconecta la alimentacin del ZyWALL. De esta forma los procesos del sistema no se cierran correctamente, ni se almacenan los datos de cach a la memoria interna.
Usando el botn de Reset Usando el comando shutdown
Desconectando la alimentacin
Antes de proceder a desconectar de la alimentacin el ZyWALL se debe de utilizar el comando de CLI shutdown, o en el interface WebGUI desde el men Maintenance > Shutdown y posteriormente apagar el equipo. Cuando aplicas los ficheros de alimentacin o Shell scripts, el ZyWALL no para o inicia los procesos del sistema. Sin embargo, puedes perder acceso a los recursos de la red temporalmente mientras el ZyWALL est aplicando estos ficheros.

Pg. 301/316
15.5. Logs y Reports

15.5.1. Email Daily Report
Utilizaremos la funcionalidad Email Daily Report para iniciar o parar la recoleccin de datos, y para mostrar varias estadsticas sobre el trfico que pasa a travs del ZyWALL. Nota: La recoleccin de datos puede reducir el rendimiento de su ZyWALL. Pulse sobre el men Configuration > Log & Report > Email Daily Report para que se muestre la siguiente ventana. Configure las opciones de esta ventana para indicar el email donde se enviar cada da las estadsticas de sistema.
Fig. Configuracin del Email Daily Report

Pg. 302/316
15.5.2. Log & Report

Utilizaremos la funcionalidad Log Setting para gestionar los mensajes de log y alertas. Los mensajes de log almacenan la informacin para ser consultada o enviada por mail ms tarde, las alertas son enviadas por mail inmediatamente. Normalmente las alertas son usadas para eventos que requieren de una atencin ms seria, como errores de sistema o ataques. Los informes o logs se pueden enviar tambin a servidores de syslog remotos. Desde el men Log Setting tambin se gestiona qu informacin se almacenar en cada log. Para el system log, puede especificar dos posibles destinatarios de email para recibir los logs, y con qu frecuencia. As mismo, se permite configurar varios SysLog remotos que recibirn la informacin de los logs seleccionados. Desde esta pantalla tambin podemos acceder al Active Log Summary para configurar las categoras a recolectar logs.
Fig. Configuracin del Email Daily Report
Para configurar un destinatario de email para recibir los logs de sistema seleccionamos una de las dos reglas de System Log, y pulsamos sobre Edit. Tendremos que indicar el nombre del servidor email, as como el remitente y el destinatario de los logs, y de las alertas, la frecuencia de envo, y opciones del servidor de correo saliente:

Pg. 303/316
Fig. Ejemplo de Configuracin del E-mail Server 1
La pantalla Active Log Summary proporciona un resumen de todas las configuraciones realizadas para cada uno de los destinatarios:
Fig. Configuracin del Active Log Summary
En la parte superior podemos seleccionar que se marquen las casillas de una columna especfica, o seleccionar una a una las casillas para que se recopilen los datos a mostrar en los logs.

Pg. 304/316
Existen 4 acciones a seleccionar para las diferentes Categoras de Log, las cuales aclaramos en la siguiente leyenda: ICONO SIGNIFICADO No se recopilar informacin de la categora seleccionada en los logs. Se recopilar informacin de la categora seleccionada en los logs. Se recopilar informacin de la categora seleccionada, e informacin de debug en los logs Se enviar por mail las alertas pertenecientes a la categora seleccionada.
Fig. Leyenda de las opciones del Active Log Summary
Para Visualizar los logs recopilados por el equipo nos dirigimos al men Monitor > Log.
Fig. Visualizacin de los Logs
Podemos seleccionar qu categoras mostrar, as como aplicar filtros ms especficos para hallar registros de logs ya ocurridos:
Fig. Configuracin especfica del Show Filter

Pg. 305/316
15.6. Diagnsticos
La pantalla de Diagnstico proporciona una forma sencilla para que pueda generar un archivo que contiene la configuracin del ZyWALL y la informacin de diagnstico. Puede que sea necesario generar este archivo y enviarlo al soporte tcnico durante la solucin de problemas. Pulse sobre Maintenance > Diagnostics para abrir la pantalla de Diagnsticos.
Fig. Pantalla de Diagnsticos
Si pulsamos sobre el botn Collect Now, se empezar a recopilar la informacin de los diagnsticos. Este proceso puede durar unos 6 minutos.
Fig. Recoleccin de fichero de Diagnsticos
Una vez finalizada la recoleccin, podemos descargar el fichero a nuestro PC pulsando sobre el botn Download.
Fig. Descarga a PC del fichero de diagnsticos

Pg. 306/316
15.7. Captura de Paquetes (Packet Capture)

Desde la pestaa Packet Capture podemos realizar capturas del trfico que pasa a travs de los interfaces que seleccionemos, para posteriormente analizar dicho trfico por medio del software Wireshark. Pulse sobre Maintenance > Diagnostics > Packet Capture para abrir la pantalla de captura de trfico. Seleccionaremos los interfaces a capturar pudiendo seleccionar una serie de filtrado en la captura, tamao del fichero resultante y nombre del fichero final. Pulsamos sobre el botn Capture para capturar el trfico a un fichero.
Fig. Configuracin del Packet Capture
Si pulsamos sobre el botn Stop dejaremos de capturar paquetes en el fichero de captura. Para descargarnos el fichero resultante a nuestro PC para posteriormente analizarlo, nos iremos a la pestaa Files, seleccionaremos el fichero y pulsaremos en download.
Fig. Ficheros de Capturas almacenados en el ZyWALL USG

Pg. 307/316
16. Resolucin de averas

En caso de producirse alguna avera en el equipo (sin ser un fallo elctrico) que provoque que no tengamos acceso al equipo, seguiremos los procedimientos de los puntos 16.1 y 16.2 para poder restaurar el estado del equipo. Cuando el problema se debe a un problema en la configuracin del entorno, ser necesario contactar con el soporte tcnico de ZyXEL. ste le puede solicitar que le proporcione una serie de informacin a fin de determinar el fallo que tiene el equipo: 1. 2. 3. 4. Nmero de Serie y versin de Firmware cargada en su ZyWALL Proporcionar el fichero de Diagnsticos Indicar con detalle la incidencia detectada Describir la Topologa de su Red
16.1. Procedimiento de Restauracin del fichero Imagen

Este procedimiento requiere el fichero de imagen de recuperacin de ZyWALL. Descargue la ltima versin de firmware de ftp://ftp.zyxel.com y descomprmalo. En su interior encontrar un fichero con la extensin .ri, por ejemplo 210AQQ1C0.ri. Realice los siguientes pasos para recuperar la imagen del sistema de su equipo ZyWALL USG: 1- Conctese mediante el cable de consola y su aplicacin de terminal al puerto COM correspondiente de su PC y configure una velocidad de 115200 baudios para acceder al equipo. 2- Reinicie el ZyWALL quitando la alimentacin, y volvindolo a conectar. 3- Cuando visualice el mensaje Press any key to enter debug mode within 3 seconds. Pulse una tecla para entrar en el modo debug.

Pg. 308/316
4- Introduzca el comando atuk para iniciar el proceso de recuperacin. Si en la pantalla aparece ERROR , introduzca el comando atur para iniciar el proceso de recuperacin. 5- Solamente necesita usar el comando atuk o atur si el fichero de imagen est daado.
6- Pulse la tecla Y, y espere hasta que aparezca el mensaje Starting XMODEM upload. A continuacin active la carga de ficheros por XMODEM en tu terminal . Y comienza a subir el fichero.
7- Este es un ejemplo de la configuracin para la carga de ficheros por Xmoden utilizando el HyperTerminal de Windows. Haz click en Transfer, y pulsa sobre Send File para visualizar la siguiente pantalla:

Pg. 309/316
8- Espere de 3 a 5 minutos hasta que el proceso de carga por Xmodem finalice.
9- Introduce el comando ATGO. El ZyWALL se reiniciar.
16.2. Procedimiento de Restauracin del fichero de firmware

Este procedimiento requiere el fichero de firmware de su ZyWALL. Descargue la ltima versin de firmware de ftp://ftp.zyxel.com y descomprmalo. En su interior encontrar un fichero con la extensin .bin, por ejemplo 210AQQ1C0.bin. Realice los siguientes pasos para restaurar el firmware en su equipo ZyWALL USG: 1- Conecte su ordenador al puerto 1 de su ZyWALL. 2- La direccin del servidor FTP de su ZyWALL para realizar la restauracin del firmware es la direccin 192.168.1.1, por lo que debe de configurar la conexin de red de su ordenador con una direccin IP comprendida entre el rango 192.168.1.2 ~192.168.1.254. 3- Utilice un cliente FTP en su ordenador para conectarse al ZyWALL. Por ejemplo, desde el prompt de comandos de Windows, teclee ftp 192.168.1.1 Mantenga la ventana de consola abierta durante todo el proceso. 4- Introduzca el comando bin para configurar la transferencia de ficheros en modo binario. 5- Cargue el archivo de firmware de su ordenador al ZyWALL. Para ello introduzca el comando put seguido de la la ruta y el nombre del fichero de firmware a cargar. En este ejemplo se ha utilizado el comando put e:\ftproot\ZLD FW \1.01(XL.0)C0.bin

Pg. 310/316
6- Espere hasta que el proceso de carga finalice
7- Despus de que la carga se complete, los mensajes Firmware received o ZLD-current received se visualizarn en pantalla. Espere de 3 a 5 minutos mientras el ZyWALL restaura el firmware.
8- Cuando la restauracin del firmware se complete, en la ventana de la conexin de consola se mostrar el mensaje done. Y el ZyWALL se reiniciar automticamente.

Pg. 311/316
9- El prompt que aparece solicitando el nombre de usuario username se mostrar despus de que el ZyWALL se inicie correctamente. El proceso de restauracin del firmware se ha completado con xito y el ZyWALL ya est listo para usarlo.

Pg. 312/316
16.3. Versin de Firmware cargada en su ZyWALL

Desde el Dashboard del configurador Web GUI de su ZyWALL puede visualizar dentro de la ventana Device Information informacin acerca del modelo de dispositivo, nmero de serie y direccin MAC, as como la versin de firmware cargada actualmente en el ZyWALL.
Fig. Visualizacin de informacin identificativa del dispositivo y versin de Firmware
Estos datos los tendrn que proporcionar los usuarios a la hora de emitir una solicitud de tramitacin de garanta del equipo. De esa forma desde el Soporte Tcnico de ZyXEL podrn comprobar si este dispositivo pertenece al mbito regional de Espaa, y realizar el procedimiento de aceptacin de RMA.
16.4. Fichero de Diagnsticos

A travs del Interfaz Web: o Pulse sobre el men Maintenance > Diagnostics o Haga click sobre Collect Now o Cuando en el campo filename se muestre el nombre de un archivo, significar que la recoleccin de diagnsticos se ha hecho con xito. o Pulse sobre Download y gurdelo en su PC. A travs del Interfaz Lnea de Comandos: o Lguese a travs de la consola usando el usuario Admin o Introduzca el comando: diag-info collect o Introduzca el comando: show diag-info o Antes de que el proceso de recoleccin se complete, en la pantalla de la consola no se mostrar nada. o Espere de 1 a 3 minutes, y en la pantalla de consola se mostrar el tamao y el nombre de fichero resultante. o Acceda al equipo va FTP como usuario Admin, y descrguese el fichero de diagnstico ubicado en el directorio debug

Pg. 313/316
16.5. Indicar con detalle la incidencia encontrada

En el correo electrnico que enve a soporte ZyXEL tendr que indicar, adems de la informacin anterior, una descripcin detallada de la incidencia encontrada. Cuanto mayor detalle pueda aportar, ms fcil ser para el soporte tcnico de ZyXEL solventar su problemtica. Por lo que le recomendamos pierda algo de tiempo en indicar con detalles la incidencia para as agilizar la resolucin de la misma.
16.6. Describir la Topologa de su Red

Debe de especificar informacin sobre la marca, modelo, versin de firmware y tipo de dispositivo (router, switch, etc) de todos los dispositivos que estn conectados a la red el USG. Tambin debe especificar en qu puertos fsicos estn conectados estos dispositivos al ZyWALL, as como el direccionamiento IP y si actan como cliente o servidor. Si dispone de varios servidores o computadores conectados a esta red, deber de especificar informacin referente al Sistema Operativo y versin.
Fig. Esquema a modo de ejemplo de los dispositivos que forman la Topologa de Red

Pg. 314/316
17. Un Vistazo por la Web de ZyXEL Espaa

Si accede desde su navegador Web al enlace http://www.zyxel.es, ver una web similar a la siguiente separada por tres reas, donde describiremos sus opciones principales:
Fig. Pgina Web de ZyXEL Espaa

Pg. 315/316
17.1. Barra superior y Banner Principal

En la parte superior e inferior del banner principal puede encontrar el enlace Donde Comprar para consultar informacin de contacto de nuestros mayoristas del canal de distribucin, por los cuales puede adquirir productos ZyXEL.
17.2. Columna Izquierda

En la columna de la izquierda puede encontrar en el rea Privada un enlace a los cursos de certificacin gratuitos online sobre productos de Seguridad, Networking, IPDSLAM y Wireless LAN. A continuacin puede encontrar un enlace a catlogo para PyMEs donde encontrar productos de Seguridad, Networking y Wireless LAN orientados para PyMEs. Tambin encontrar la promocin Plan Renove de ZyXEL por la que puede adquirir un equipo unificado de seguridad con un descuento del 25% al entregar su viejo equipo de seguridad. En el enlace ePaper tendr acceso a los ltimos newsletter donde encontrar informacin coorporativa de producto y promociones. Encontrar tres enlaces con informacin de compatibilidad de productos ZyXEL con los sistemas operativos Windows Vista, Windows 7, y con el estndar 802.11n.
17.3. Columna Central

En la columna Central encontrar dos apartados: Documentacin y Notas Tcnicas; y Premios.
17.3.1. Documentacin y Notas Tcnicas

En este apartado encontrar un enlace a las caractersticas de la nueva versin ZLD v2.20 para los equipos de Seguridad. Acceso a los catlogos de producto y guas rpidas de venta con informacin de las caractersticas y funcionalidades de los productos ZyXEL. Acceso a la FTP Global de ZyXEL donde encontrar hojas de caractersticas, gua de usuario, notas tcnicas, y versiones de firmware de cada dispositivo ZyXEL.

Pg. 316/316
Acceso a interfaces WebGUI de configuracin de varios dispositivos ZyXEL en donde podr desplazarse por los diferentes mens de configuracin como si estuviese conectado al propio equipo. Acceso a ejemplos de configuracin en castellano de algunas funcionalidades como VPN, NAT, configuracin WAN, de algunos dispositivos ZyXEL. Acceso a ZyXEL Green donde se indica la poltica ecolgica de ZyXEL.
17.3.2. Premios
En este apartado encontrar un enlace a diversos premios obtenidos por diferentes revistas y medios de divulgacin de productos tecnolgicos.
17.4. Columna Derecha

En la columna derecha encontrar dos apartados: Nuevos Productos; y Noticias.
17.4.1. Nuevos Productos

En este apartado encontrar un enlace a los nuevos productos ZyXEL en mercado.
17.4.2. Noticias
-
En este apartado encontrar enlaces a diversas noticias aparecidas en varios medios relacionadas con productos ZyXEL.
17.5. Barra Inferior

En la barra inferior puede encontrar informacin acerca del Copyright y Declaracin de Privacidad de los contenidos de la Web de ZyXEL.

Security

Загружено:

Сведения о документе

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Security

Загружено:

Авторское право:

Доступные форматы

Formacin Tcnica Seguridad:

Seguridad en Red ZyWALL USG (ZLD v2.20)

Formacin Tcnica Seguridad:

6.13.4. Servidor SIP en la Red Local................................................................................................... 77

6.13.5. Escenario VoIP en VPN .......................................................................................................... 79

Formacin Tcnica Seguridad:

Formacin Tcnica Seguridad:

Formacin Tcnica Seguridad:

1. Introduccin a la Familia ZyWALL

Fig. Grfica de Equivalencias ZyWALL

Formacin Tcnica Seguridad:

Rendimiento del Sistema

Fig. Part Numbers de las licencias de los servicios de seguridad

Formacin Tcnica Seguridad:

ZyWALL USG 20:

Fig. Caractersticas del ZyWALL USG 20

ZyWALL USG 20W:

Fig. Caractersticas del ZyWALL USG 20W

Formacin Tcnica Seguridad:

ZyWALL USG 50:

Fig. Caractersticas del ZyWALL USG 50

ZyWALL USG 100:

Fig. Caractersticas del ZyWALL USG 100

Formacin Tcnica Seguridad:

ZyWALL USG 200:

Fig. Caractersticas del ZyWALL USG 200

ZyWALL USG 300:

Fig. Caractersticas del ZyWALL USG 300

Formacin Tcnica Seguridad:

ZyWALL USG 1000:

Fig. Caractersticas del ZyWALL USG 1000

ZyWALL USG 2000:

Fig. Caractersticas del ZyWALL USG 2000

Formacin Tcnica Seguridad:

Formacin Tcnica Seguridad:

Formacin Tcnica Seguridad:

Formacin Tcnica Seguridad:

Formacin Tcnica Seguridad:

2.1. Acceso mediante Puerto de Consola

Fig. Acceso por Puerto de Consola

Formacin Tcnica Seguridad:

2.2. Acceso mediante cliente SSH

Fig. Acceso mediante cliente SSH

2.3. Acceso mediante TELNET

Fig. Acceso mediante cliente TELNET

Formacin Tcnica Seguridad:

2.4. Acceso mediante Navegador WEB

Fig. Acceso mediante Navegador WEB

Fig. Recomendacin cambio de Contrasea

Formacin Tcnica Seguridad:

Fig. Men Status y sus diferentes secciones

A Barra de Ttulos B Panel de Navegacin C Ventana Principal

Formacin Tcnica Seguridad:

2.4.1 Barra de Ttulos

Fig. Iconos de la Barra de Ttulos

Fig. Mensaje de Aviso

Formacin Tcnica Seguridad:

Fig - Site Map

Fig - Referencia a Objeto

Formacin Tcnica Seguridad:

Pulse Clear para borrar la informacin presentada.

2.4.2 Panel de Navegacin

Fig. Barra de Navegacin desplegada

Formacin Tcnica Seguridad: