ZYWALL 2WG - Router VPN ZYXEL - Manuale utente e istruzioni gratuiti

MANUALE UTENTE ZYWALL 2WG ZYXEL

ITALIANO Cenni generali

ZyWALL 2WG è un firewall con funzionalità di dotato di funzioni di VPN, gestione della larghezza di banda, filtraggio dei contenuti e molto altro. Ë possibile utilizzarlo come firewall trasparente ed evitare di riconfigurare la propria rete e di configurare le funzionalità di routing dello ZyWALL. Quando lo ZyWALL è in modalità router, è anche possibile inserire una scheda wireless 3G per aggiungere una seconda WAN. ZyWALL aumenta la sicurezza della rete prevedendo la possibilità di variare le regole relative alle porte dalla LAN alla DMZ per l'uso di server accessibili pubblicamente. La presente guida illustra i collegamenti e la configurazione iniziale necessari per iniziare a utilizzare lo ZyWALL nella propria rete.

Vedere la Guida dell'utente per maggjiori informazioni su tutte le funzioni.

Ë possibile che occorre reperire le informazioni sul proprio accesso a Internet. DMZ

sms. = VPN LAN Questa guida è suddivisa nelle seguenti sezioni:

1 Collegamenti hardware 6 NAT

2 Accesso allo strumento di configurazione Web 7 Firewall

3 Modalità Bridge 8 Configurazione delle regole di VPN

4 Configurazione dell'accesso a Internet e 9 Risoluzione dei problemi Registrazione del prodotto

1 Collegamenti hardware

Ë necessario disporre dei seguenti componenti: ZyWALL Computer Cavi Ethernet Adattatore di alimentazione

ITALIANO Di seguito sono illustrati i collegamenti hardware per l'installazione iniziale.

1 Utilizzare un cavo Ethernet per collegare la porta LAN/DMZ a un computer. Se si configurano queste porte come porte DMZ nelle schermate relative alla LAN o alla DMZ nello strumento di configurazione Web, à anche possibile utilizzare i cavi Ethernet per collegare server pubblici (Web, e-mail, FTP, ecc.) alle porte LAN/DMZ.

2 Utilizzare un cavo Ethernet per collegare la porta WAN a un jack Ethernet con accesso a Internet.

Æ Utilizzare il cavo di console blu se si desidera collegare la porta CONSOLE al computer. Utilizzare il cavo di backup per composizione nero se si desidera collegare la porta AUX a un modem analogico.

3 Per accedere a Internet senza fili tramite una rete 3G, inserire una scheda wireless 3G nell'apposito slot situato sul pannello laterale. Nell'istante in cui scriviamo, è possibile utilizzare solo la scheda wireless Sierra AC850/

860 3G nello ZyWALL. 4 Utilizzare il adattatore di alimentazione fornito a corredo per collegare la presa di alimentazione (situata dietro all'apparecchio) a una presa elettrica.

5 Analizzare il pannello frontale. Il LED PWR si accende. | LED CARD, LAN/DMZ e WAN si accendono e restano accesi se i corrispondenti collegamenti sono stati eseguiti correttamente.

. Se nessuno dei LED è acceso, verificare i collegamenti e controllare che i cavi non presentino alcun danno. Assicurarsi di aver collegato l'alimentatore allo ZyWALL e a una sorgente di alimentazione appropriata. Assicurarsi che la sorgente di alimentazione sia attiva. Se i LED restano ancora spenti, contattare il rivenditore locale.

2 Accesso allo strumento di configurazione Web Questa sezione spiega come configurare l'interfaccia WAN 1 per l'accesso a Internet. 1 Avviare il browser. Immettere 192.168.1.1 2 Fare clic su Login (accedi) (la password

(l'indirizzo IP predefinito dello ZyWALL) nella barra predefinita 1234 è già immessa). dell'indirizzo.

| le Edit View Favorites Tods Help | eat : + - Q A À] QSearh Favorites

[address | http:7/192.168.11 Enter Password and click Login

. Se non viene visualizzata la schermata di login, controllare le impostazioni di sicurezza del browser e verificare che la scheda Ethernet del computer sia installata e correttamente funzionante.

Il computer deve inoltre ottenere automaticamente un indirizzo IP da un server DHCP. Per ulteriori informazioni, vedere Impostare l'indirizzo IP del computer.

3 Cambiare la password di accesso immettendo una 4 Fare clic su Apply (applica) per sostituire il nuova password e facendo clic su Apply (applica). certificato digitale predefinito dello ZyWALL.

. Se si à modificata la password e la si à dimenticata, à necessario riportare lo ZyWALL alle impostazioni predefinite (la password è 1234, l'indirizzo IP LAN è 192.168.1.1, e cosi via). Tenere premuto il pulsante RESET (dietro l'unità) finché il LED PWR non inizia a lampeggiare, quindi rilasciarlo.

5 Si apre la schermata HOME.

Per impostazione predefinita, lo ZyWALL è in modalità router. Continuare dal passo successivo se si desidera

utilizzare funzionalità di routing quali NAT, DHCP e VPN. Passare a Sezione 3 se si preferisce utilizzare lo ZyWALL come firewall trasparente.

6 Controllare la tabella network status (stato della rete). Se lo stato della WAN 1 à not Down (disattivata) ed

è presente un indirizzo IP, passare a Sezione 5.

Se lo stato WAN 1 è Down (e se non c'è un indirizzo IP), fare clic sull'icona Wizard (procedura guidata) e consultare la Sezione 4 per configurare la WAN 1.

ITALIANO Utilizzare le schermate di NETWORK WAN (WAN della rete) se occorre configurare lo WAN 2. Ë anche possibile configurare il load balancing (bilanciamento del carico) tra le connessioni WAN.

Quando si imposta lo ZyWALL in modalità Bridge, esso funziona come un firewall trasparente. La procedura illustrata di seguito consente di impostare lo ZyYWALL in modalità Bridge.

1 Fare clic su MAINTENANCE

(manutenzione) nel pannello di navigazione, quindi su Device Mode (modalità dispositivo).

CCR Lol CO Davis ass our 2 Selezionare Bridge e immettere un Cou indirizzo IP (statico), una subnet mask e he 27 VAL rare automates far veu change ha devis mod ad lc Apr un indirizzo IP del gateway per le a Er

interfacce LAN, WAN, DMZ e WLAN dello ZyWALL.

3 Fare clic su Apply (applica). Lo ZyWALL si riavvia.

Passare a Sezione 5 se si dispone di server che occorre rendere accessibili dalla WAN.

4 Configurazione dell'accesso a Internet 1 Fare clic sull'icona Wizard (procedura guidata) (=) nella schermata HOME e quindi sul link Internet Access Setup (configurazione accesso a Internet) per aprire la connessione guidata a Internet. Immettere le informazioni e i parametri Internet esattamente come sono stati forniti.

Se è stato fornito un indirizzo IP da utilizzare, selezionare Static (statico) nell'elenco di riepilogo IP Address Assignment (assegnazione indirizzo IP) e immettere le informazioni fornite.

Æ I campi variano a seconda di quanto viene selezionato nel campo Encapsulation (incapsulamento). Compilare i campi con le informazioni fornite dall'ISP o dall'amministratore

Fare clic su Apply (applica) una volta terminata la configurazione.

+ Incapsulamento Ethernet

Configurare un servizio Roadrunner nelle

+ PPP over Ethernet oppure incapsulamento PPTP Selezionare Nailed-Up (riconnessione) quando si desidera che la connessione sia sempre attiva (questa opzione potrebbe rivelarsi costosa se il proprio ISP applica una tariffazione a tempo dell'accesso a Internet piuttosto che un costo mensile fisso).

ITALIANO Per non avere sempre attiva la connessione, specificare il tempo di timeout di inattivi

Idle Timeout (timeout di inattività).

{in secondi) nel campo

WIZARD - Internet Access

15 Parometers for Internet Ac:

2 Fare clic su Next (avanti) per visualizzare la schermata in cui è possibile registrare lo ZyWALL in myZyXEL.com (il centro servizi online di ZyXEL) e attivare l'applicazione di valutazione gratuita per il filtraggio dei contenuti. Altrimenti fare clic su Skip (ignora) e quindi su Close (chiudi) per completare la configurazione dell'accesso a Internet.

3 Se si dispone gia di un account su myZyXEL.com, selezionare Existing myZyXEL.com account (account esistente) e immettere le informazioni relative all'account. Altrimento selezionare New myZyXEL.com account (nuovo account) e compilare i campi sotto per creare un nuovo account e registrarsi su ZyWALL. Fare clic su Next (avant).

Wan IP Address Acsignment

4 Attendere il completamento del processo di registrazione.

5 La seguente schermata indica se la registrazione non ha avuto esito positivo. Fare clic su Return (torna) per tornare alla schermata Device Registration (registrazione dispositivo) e controllare le impostazioni.

Register on myZyKEL.com server-in Progress

6 Fare clic su Close (chiudi) per chiudere la procedura guidata una volta terminata la registrazione e l'attivazione.

a ntalton i comalets Device Regiaïon Registered

Content item Enabied

Æ Se si desidera attivare un servizio standard con il proprio numero PIN (chiave di licenza) di iCard, utilizzare la schermata REGISTRATION Service (servizio di registrazione). Vedere la

guida utente per i dettagli.

. Se non è possibile accedere a Internet via WAN 1, controllare il collegamento dello ZyYWALL

al jack Ethernet con accesso a Internet. Assicurarsi che il dispositivo gateway verso Internet (quale ad esempio un modem DSL) funzioni correttamente. Fare clic su WAN nel pannello di navigazione per verificare le impostazioni.

5 DMZ Una zona demilitarizzata (DMZ, DebMilitarized Zone) consente a server pubblici (Web, E-mail, FTP, ecc.) di essere visibili al mondo esterno e di continuare ad avere una protezione firewall contro attacchi DoS (Denial of Service).

Ë possibile assegnare una configurazione TCP/IP via DHCP ai computer connessi alle porte DMZ. In alternativa, configurare i computer con indirizzi IP statici (nella stessa subnet dell'indirizzo IP della porta DMZ) e con indirizzi dei server DNS. Utilizzare l'indirizzo IP DMZ dello ZyWALL come gateway predefinito.

La procedura seguente consente di configurare la DMZ se lo ZyWALL è in modalità routing.

Æ Non è necessario configurare la DMZ con la modalità bridge; passare a Sezione 7.

1 Fare clic su NETWORK (RETE) > DMZ nel pannello di navigazione. 2 Specificare un indirizzo IP e una subnet mask per

l'interfaccia DMZ. DRE suc one tra Par roles.

Da Se si utilizzano indirizzi IP privati sulla DMZ, Du — a er En utilizzare la funzione NAT per rendere i server Lui

accessibili pubblicamente (vedere Sezione 6).

Un indirizzo IP pubblico deve trovarsi su una DC MMS enter

subnet separata rispetto all'indirizzo IP pubblico —— >

della porta WAN. Se non si configura la funzione RE NAT per gli indirizzi IP pubblici sulla DMZ, lo Chen

ZyWALL instrada il traffico verso gjli indirizzi IP Lt oaies

pubblici sulla DMZ senza eseguire il NAT. Questo nt —

potrebbe essere utile per l'hosting di server per {Rat |

eseguire il NAT di applicazioni non di semplice configurazione.

3 Fare clic su Apply (applica). 4 Per impostazione predefinita, le porte LAN/DMZ

dalla 1 alla 4 sono tutte porte LAN. Per configurare ve sept maine Dre una porta come porta DMZ, fare clic sulla scheda EE ————— Port Roles (regole delle porte), selezionare il J mocCc

pulsante di opzione accanto alla scelta DMZ e fare a

clic su Apply (applica). = a

6 NAT Il processo di NAT (Network Address Translation, traslazione degli indirizzi di rete; NAT, RFC 1631) consente di tradurre un indirizzo IP di una rete in un differente indirizzo IP in un'altra rete. possibile utilizzare le schermate NAT Address Mapping (mappatura indirizzi di NAT) per configurare lo ZyWALL per tradurre più indirizzo IP pubblici in più indirizzi IP privati che si trovano sulla propria LAN (0 DMZ).

Il seguente esempio consente di abilitare l'accesso dalla WAN1 a un server HTTP (Web) sulla DMZ. L'indirizzo IP privato del server à 10.0.0.20.

1 Fare clic su ADVANCED (AVANZATO) > NAT nel pannello di navigazione, quindi su Port Forwarding (inoltro delle porte). ua trace 2 Selezionare una connessione WAN Défaut server GoToPagel! 21 (WAN1) per la quale si desidera [5 active) Name Incoming Port(s) | Port Translation | ServriP Aduress | configurare le regole di forward delle pl Re —+ F— + porte. = F F F F Dos. 3 Selezionare la casella di controllo Ë . È Ê Ê : : ——— Active (attiva). |‘ En fe F fr Fr CE 4 Digitare un nome per la regola. Ë L È È È u ——— 5 Digitare il numero di porta utilizzata dal [En a F F F Pos so servizio. La F F F E Loose 6 Digitare l'indirizzo IP del server HTTP. Fe 2 Pen Tao Gong real 7 Fare clic su Apply (applica). ||

Ë possibile utilizzare lo ZyWALL senza dover configurare il firewall.

Il firewall dello ZyWALL è preconfigurato per proteggere la LAN da attacchi provenienti da Internet. Per impostazione predefinita, nessun traffico dati pud entrare nella LAN, a meno che non è stata prima generata una richiesta proveniente dalla LAN. Lo ZyWALL consente di accedere alla DMZ dalla WAN o dalla LAN, ma blocca il traffico dalla DMZ alla LAN.

Se si utilizza lo ZyWALL in modalità router, continuare con la prossima sezione. Per la modalità bridge, à valida la configurazione iniziale.

8 Configurazione delle regole di VPN Un tunnel VPN (Virtual Private

A : en nneg RESSS=- Network, rete privata virtuale) offre Î7"Locatemen] Remote Nora una connessione sicura a un altro (] MYZWVALL

Un criterio di gateway identifica i router IPSec a entrambe le estremità di un tunnel VPN.

Un criterio di rete specifica quali dispositivi (dietro i router IPSec)

js : NETWORK POLICY possono utilizzare il tunnel VPN.

La seguente figura illustra i campi principali nelle schermate della procedura guidata.

T7 Local Network | fret Hokwnrk

1 Fare clic sull'icona Wizard (procedura guidata) 1) nella schermata HOME e quindi sul link VPN Setup (configurazione VPN) per aprire la connessione guidata a VPN.

Æ Le impostazioni non vengono salvate quando si fa clic su Back (Indietro).

2 Utilizzare questa schermata per configurare il criterio di gateway.

Name (nome): immettere un nome per identificare il Costousy Pole Propery criterio di gateway. lame rest Remote Gateway Address (indirizzo gateway e no dir ‘ A un DETTE Pro remoto): immettere l'indirizzo IP o il nome di dominio sis del router IPSec remoto. Do SS Le)

3 Utilizzare questa schermata per configurare il criterio di rete.

Lasciare la casella di controllo Active (attiva) Etuerk ee S selezionata. F active

Name (nome): immettere un nome per identificare il

Local nerverk C° Sngie LC Hanga 1e Subnet Selezionare Single (singolo) e immettere un indirizzo Starbng IP Address 12.16. 1 : © IP per un unico indirizzo IP. LS RER Selezionare Range IP (IP della gamma) e immettere FOR © Singe © Range 18 © Subnet gli indirizzo IP iniziare e finale di una gamma di A DEEE

gli indiri 1 Ending 1P address / Subnet [gg 5 0 "©

indirizzi IP specifica. GES Selezionare Subnet e immettere un indirizzo IP e una subnet mask che specifichino gli indirizzi IP su una ext rete mediante la loro subnet mask.

Æ Assicurarsi che il router IPSec remoto utilizzi le stesse impostazioni di sicurezza configurate nelle prossime due schermate.

Negotiation Mode (modalità di negoziazione): selezionare Main Mode (modalità principale) come protezione dell'identità. Selezionare Aggressive Mode (modalità aggressiva) per consentire a più connessioni in ingresso provenienti da indirizzi IP dinamici di utilizzare password separate.

Æ Più SA (Security Association, associazioni di protezione) che si connettono attraverso un gateway sicuro devono avere la stessa modalità di negoziazione.

Encryption Algorithm (algoritmo di crittografia): selezionare 3DES o AEËS per una crittografia più forte (ma più lenta).

ITALIANO Authentication Algorithm (algoritmo di autenticazione): selezionare MD5 per una sicurezza minima oppure SHA-1 per una sicurezza maggjiore.

Key Group (gruppo di chiavi): selezionare DH2 per una maggiore sicurezza.

SA Life Time (tempo di vita SA): imposta quanto spesso lo ZyWALL negozia la SA IKE (minimo 180 secondi). Un tempo di vita di SA breve aumenta la sicurezza, ma la negoziazione disconnette temporaneamente il tunnel VPN.

Pre-Shared Key (chiave pre-condivisa): utilizzare da 8 a 31 caratteri ASCII (con differenziazione tra maiuscole e minuscole) oppure da 16 a 62 caratteri esadecimali ("O-9' -F"). Precedere una chiave esadecimale con uno "Ox” (zero x), il quale non viene conteggiato come parte della gamma di caratteri da 16 a 62 per la chiave. Encapsulation Mode (modalità di incapsulamento): Tunnel è compatibile con la funzione NAT, Transport (trasporto) non lo è.

IPSec Protocol (protocollo IPSec): ESP è compatibile con NAT, AH non lo è.

Perfect Forward Secrecy (PFS): None (nessuno) consente una configurazione IPSec più rapida, ma DH1 e DH2 sono più sicuri.

4 Utilizzare questa schermata per configurare le 5 Utilizzare questa schermata per configurare le impostazioni del tunnel IKE (Internet Key impostazioni IPSec. Exchange, scambio chiavi Internet).

IEP Tunnel Setting (IkE Phane Enespauton Mode € Tunnel € Transgort Region Mods F {Sec Protocol DC" 3 CALE RCA Enonption goñtim nes C4es Canes Cu En Auhoneston slgorim © chat € mp5 aubarticstion algorithm © SH&t © # PHAÉEIME 58 Le Time Feu 62) Ke Groun 0 Cm Br Loue sn rec Fornerd Sert & jone © Di € DH

6 Verificare le impostazioni della VPN. Fare clic su 7 Fare clic su Close (chiudi) nella schermata finale Finish (fine) per salvare le impostazioni. per completare l'installazione guidata della VPN. Continuare con la prossima sezione per attivare la

regola VPN e stabilire una connessione VPN.

(Gatonor Paie reports

8.1 Uso della connessione VPN Utilizzare i tunnel VPN per inviare e ricevere in maniera sicura file e per consentire un accesso remoto alle reti aziendali, server Web ed e-mail. | servizi funzioneranno come se ci si trovasse connessi direttamente dall'ufficio invece che da Internet.

Ad esempio, la regola di VPN “test” consente un accesso sicuro a un server Web che si trova sulla LAN aziendale remota. Immettere l'indirizzo IP del server

(10.0.0.23 in questo esempio) come URL BORMES PE nel browser. Lo ZyWALL crea OA =: 2520) mme Espors-sun

automaticamente il tunnel VPN quando si tenta di utilizzarlo.

VEN Rules (IKE)__VEN Rules (“anual) DSAMGNE Global setung

Security Associations Table

Fare clic su SECURITY (PROTEZIONE) > VPN nel pannello di navigazione e quindi sulla scheda SA Monitor (monitor SA) per visualizzare un elenco dei tunnel VPN connessi (nell'esempio è attivo il tunnel VPN “test”).

. Se non è possibile stabilire una connessione VPN, assicurarsi lo ZyYWALL e il router IPSec remoto utilizzi le stesse impostazioni VPN. Fare clic su VPN nel pannello di navigazione per

configurare le impostazioni avanzate. Accedere a un sito Web per verificare che si dispone di una connessione a Internet valida.

Impostare l'indirizzo IP del computer

Questa sezione spiega come configurare il computer per ricevere un indirizzo IP in Windows 2000, Windows NT e Windows XP. In questo modo ci si assicura che il computer possa comunicare con lo ZyWALL.

4 In Windows XP, fare clic su Start, Pannello di controllo. In Windows 2000/NT, fare clic su Start, Impostazioni, Pannello di controllo. 2 In Windows XP, fare clic su Connessioni di rete. In Windows 2000/NT, fare clic su Reti e connessioni remote. 3 Fare clic con il pulsante destro del mouse su Connessione alla rete locale e scegliere Proprietà.

4 Selezionare Protocollo Internet (TCP/IP) (sotto la scheda Generale in Windows XP) e fare clic su Proprietà.

5 Si apre la schermata Protocollo Internet TCP/IP -

Proprietà (la scheda Generale in Windows XP). Gens | Selezionare le opzioni Ottieni automaticamente un indirizzo IP e Ottieni automaticamente l'indirizzo del PE CN peu RER ee JE

server DNS. the appropriate IP setings. 6 Fare clic su OK per chiudere la finestra Protocollo

Internet (TCP/IP) - Proprietà. 1 Use the following IP address: 7 Fare clic su Chiudi (OK in Windows 2000/NT) per Ia

chiudere la finestra Connessione alla rete locale - rit

Proprietà. Defaul gat 8 Chiudere la schermata Connessioni di rete. 3

T° Use the following DNS server addresses: Adeanced CI =

ITALIANO Procedura per visualizzare le certificazioni di un prodotto

1 Aprire la pagina www.zyxel.com.

2 Selezionare il prodotto dall'elenco di riepilogo a discesa nella Home Page di ZyXEL per passare alla pagina del prodotto in questione.

3 Selezionare da questa pagina la certificazione che si desidera visualizzare.

4 BBequTe UMA npaBuna. Ë L È È È u : = = =