ZYWALL 2WG - Router VPN ZYXEL - Manuale utente e istruzioni gratuiti

MANUALE UTENTE ZYWALL 2WG ZYXEL

ZyWALL 2WG è un firewall con funzionalità di dotato di funzioni di VPN, gestione della larghezza di banda, filtraggio dei contenti e molto altro. É possible utilizzato come firewall trasparente ed evitare di riconfigurare la propria rete e di configurare le funzionalità di routing dello ZyWALL. Quando lo ZyWALL è in modalità router, èanche possibile inseire una scheda wireless 3G per aggiungere una seconda WAN. ZyWALL aumento la sicurezza della rete prevedendo la possibilità di variate le regole relative alle porte alla LAN alla DMZ per l'uso di server accessibili pubblicamente. La presente guida illustra i collegamenti e la configurazione iniziale necessari per iniziare a utilizzato lo ZyWALL nella propria rete.

Vedere la Guida dell'utente per maggiori informazioni su tutte le funzioni.

É possible che occorre reperire le informazioni sul proprio accesso a Internet.

Questa guida è suddivisa nelle seguentisezioni:

1 Collegamenti hardware
2 Accesso allo strumento di configurazione Web
3 Modalità Bridge
4 Configurazione dell'accesso a Internet e Registrazione del prodotto
5 DMZ

6 NAT
7 Firewall
8 Configurazione delle regole di VPN
9 Risoluzione dei problemi

1 Collegamenti hardware

necessario disporre dei seguenti componenti:

ZyWALL

Computer

Cavi Ethernet

Adattatore di alimentazione

Di seguito sono illustrati i collegamenti hardware per l'installazione iniziale.

1 Utilizzato un cavo Ethernet per collegare la porta LAN/DMZ a un computer. Se si configurano queste portecome porte DMZ nelle schermate relative alla LAN o alla DMZ dello strumento di configurazione Web, èanche possibile utilizzato i cavi Ethernet per collegare server pubblici (Web, e-mail, FTP, ecc.) alle portelanLAN/DMZ.
2 Utilizzare un cavo Ethernet per collegare la porta WAN a un jack Ethernet con accesso a Internet.

Utilizzare il cavo di console blu se si desidera collegare la porta CONSOLE al computer. Utilizzare il cavo di backup per composizione nero se si desidera collegare la porta AUX a un modem analogico.

3 Per accedere a Internetrawn fili tramite unare 3G, inerire una scheda wireless 3G nell'apposto slot situato sul pannello laterale. Nell'istante in cui scriviamo, è possibile utilizzare solo la scheda wireless Sierra AC850/ 860 3G nello ZyWALL.
4 Utilizzare il adattatore di alimentazione fornito a corredo per collegare la presa di alimentazione (situata detro all'apparecchio) a una presa elettrica.

5 Analizzare il pannello frontale. Il LED PWR si accende. I LED CARD, LAN/DMZ e WAN si accendono e restano accesi se i correspondenti collegamenti sono stati eseguiti correttamente.

Se nessuno dei LED è accesso, verificare i collegamenti e controllare che i cavi non presentino alcun dato. Assicurarsi di aver collegato l'alimentatore allo ZyWALL e a una sorgente di alimentazione appropriata. Assicurarsi che la sorgente di alimentazione sia attiva. Se i LED restano più spenti, contattare il rivenditore locale.

2 Accesso allo strumento di configurazione Web

Questa sezione spiega come configurare l'interfaccia WAN 1 per l'accesso a Internet.

1 Avviare il browser. Immettere 192.168.1.1 (I'indirizzo IP predefinito dello ZyWALL) nella barra dell'indirizzo.

2 Fare cli c su Login (accedi) (la password predefinita 1234 è giorn immessa).

Se noniene visualizzata la schermata di login, controllare le impostazioni di sicurezza del browser e verificare che la scheda Ethernet del computer sia installata e correttamente funzionante.

Il computer deve inoltre ottener automaticamente un indirizzo IP da un server DHCP. Per ulteriori informazioni, vedere Impostare l'indirizzo IP del computer.

3 Cambiare la password di accesso immettendo una nuova password e facendo clic su Apply (applica).

4 Fare cli su Apply (applica) per sostituire il certificato digitale predefinito dello ZyWALL.

Se si è modificata la password e la si è dimenticata, è necessario riportare lo ZyWALL alle impostazioni predefinite (la password è 1234, l'indirizzo IP LAN è 192.168.1.1, e così via). Tenere premuto il pulsante RESET (dietro l'unità) finché il LED PWR non inizia a lampeggiare, quindi rilasciarlo.

Per impostazione predefinita, lo ZyWALL è in modalità router. Continuire dal passo successivo se si desidera utilizzare funzionalità di routing quali NAT, DHCP e VPN.

Passare a Sezione 3 se si preferisce utilizzato lo ZyWALL come firewall trasparente.

6 Controllare la tabella network status (stato della rete). Se lo stato della WAN 1 è not Down (disattivata) è presente un indirizzo IP, passare a Sezione 5.

Se lo stato WAN 1 è Down (e se non c'é un indirizzo IP), fare cli cull'icona Wizard (procedura guidata) e consultrare la Sezione 4 per configurare la WAN 1.

Utilizzare le schermate di NETWORK WAN (WAN della rete) se occorre configurare lo WAN 2. èanche possibile configurare il load balancing (bilanciamento del carico) tra le connessioni WAN.

3 Modalità Bridge

Quando si imposta lo ZyWALL in modalità Bridge,esso funziona come un firewall trasparente. La procedura illustrata di seguito consente di impostare lo ZyWALL in modalità Bridge.

1 Fare cli su MAINTENANCE (manutenzione) nel pannello di navigazione, quindi su Device Mode (modalità dispositivo).
2 Selezionare Bridge e immettere un indirizzo IP (statico), una subnet mask e un indirizzo IP del gateway per le interfacce LAN, WAN, DMZ e WLAN dello ZyWALL.
3 Fare cli c su Apply (applica). Lo ZyWALL si riavvia.

Passare a Sezione 5 se si dispone di server che occorre rendere accessibili alla WAN.

4 Configurazione dell'accesso a Internet

1 Fare clic sull'icona Wizard (procedura guidata) ( ) nella schermata HOME e quindi sul link Internet Access Setup (configurazione accesso a Internet) per aprire la connessione guidata a Internet.

Immettere le informazioni e i parametri Internet esattamente come sono stati forniti.

Se è stato fornito un indirizzo IP da utilizzato, selezionare Static (statico) nelle'elenco di riepilogo IP Address Assignment (assegnazione indirizzo IP) e immettere le informazioni fornite.

I campi variano a seconda di甚么 viene selezionato nel campo Encapsulation (incapsulamento). Compilare i campi con le informazioni fornite dall'ISP o dall'amministratore di rete.

Fare cli su Apply (applica) una volta terminata la configurazione.

- Incapsulamento Ethernet

Configurare un servizio Roadrunner nelle schermate NETWORK WAN (WAN di rete) (utilizzare la scheda WAN).

WIZARD - Internet Access

ISP Parameters for Internet Access

Selezionare Nailed-Up (riconnessione) quando si desidera che la connessione sia sempre attiva (questa opzione potrebbe rivelarsi costosa se il proprio ISP applica una tariffazione a tempo dell'accesso a Internet piuttosto che un costo mensile fisso).

Per non ave sempre Attiva la connessione, specificare il tempo di timeout di inattività (in secondi) nel Campo Idle Timeout (timeout di inattività).

2 Fare cli su Next (avanti) per visualizzare la schermata in cui è possibile registrar lo ZyWALL in myZyXEL.com (il centro servizi online di ZyXEL) e attivare l'applicazione di valutazione gratuite per il filtraggio dei contenuti. Altrimenti fare cli su Skip (ignora) e quando su Close (chiudi) per completare la configurazione dell'accesso a Internet.
3 Se si dispone gia di un account su myZyXEL.com, selezionare Existing myZyXEL.com account (account esistente) e immettere le informazioni relative all'account. Altrimento selezionare New myZyXEL.com account (nuovo account) e compilate i campi sotto per creare un nuovo account e registrarssi su ZyWALL. Fare cli c su Next (avanti).

4 Attendere il completamento del processo di registrazione.

5 La seguente schermata indica se la registrazione non ha avuto esito positivo. Fare clic su Return (torna) per tornare alla schermata Device Registration (registration dispositivo) e controllare le impostazioni.

6 Fare cig scu Close (chiudi) per chiudere la procedura guidata una volta terminata la registrazione e l'attivazione.

7

Se si desidera attivare un servizio standard con il proprio numero PIN (chiave di licenza) di iCard, utilizzare la schermata REGISTRATION Service (servizio di registrazione). Vedere la guida utente per i dettagli.

Se non è possibile accedere a Internet via WAN 1, controllare il collegamento dello ZyWALL al jack Ethernet con accesso a Internet. Assicurarsi che il dispositivo gateway verso Internet (quale ad esempio un modem DSL) funzioni correttamente. Fareblick su WAN nel pannello di navigazione per verificare le impostazioni.

5 DMZ

Una zona demilitarizzata (DMZ, DeMilitarized Zone) consente a server pubblici (Web, E-mail, FTP, ecc.) di essere visibili al mondo esterno e di continuare ad avere una protezione firewall contro attacchi DoS (Denial of Service).

È possibile assegnare una configurazione TCP/IP via DHCP ai computer connessi alle porte DMZ. In alternatively, configurare i computer con indirizzi IP statici (nella stessa subnet dell'indirizzo IP della porta DMZ) e con indirizzi dei server DNS. Utilizzato l'indirizzo IP DMZ dello ZyWALL come gateway predefinito.

La procedura segunte consente di configurare la DMZ se lo ZyWALL è in modalità routing.

Non è necessario configurare la DMZ con la modalità bridge; passare a Sezione 7.

1 Fare cli s NETWORK (RETE) DMZ nel pannello di navigazione.
2 Specificare un indirizzo IP e una subnet mask per l'interfaccia DMZ.

Se si utilizzato indirizzi IP privati sulla DMZ, utilizzare la funzione NAT per renderere i serveri accessibili pubblicamente (vedere Sezione 6).

Un indirizzo IP pubblico deve trovarsi su una subnet separata rispetto all'indirizzo IP pubblic della porta WAN. Se non si configura la funzione NAT per gli indirizzi IP pubblics sulla DMZ, lo ZyWALL intrada il traffico verso gli indirizzi IP pubblics sulla DMZ perché eseguire il NAT. Questo potrebbe essere utile per l'hosting di server per eseguire il NAT di applicazioni non di semplice configurazione.

3 Fare cli su Apply (applica).
4 Per impostazione predefinita, le porte LAN/DMZ alla 1 alla 4 sono tutte porte LAN. Per configurare una porta come porta DMZ, farecies clica sulla sched a Port Roles (regole delle porte), selezionare il pulsante di opzione accanto alla scelta DMZ e fare clic su Apply (applica).

6 NAT

Il processo di NAT (Network Address Translation, traslazione degli indirizzi di rete; NAT, RFC 1631) consente di tradurre un indirizzo IP di una rete in un differente indirizzo IP in un'altra rete. è possibile utilizzato le schermate NAT Address Mapping (mappatura indirizzi di NAT) per configurare lo ZyWALL per tradurre più indirizzo IP pubblici in più indirizzi IP privati che si trovano sulla propria LAN (o DMZ).

Il seguente esempio consente di abilitare l'accesso alla WAN1 a un server HTTP (Web) sulla DMZ. L'indirizzo IP privato del server è 10.0.0.20.

1 Fare cli su ADVANCED (AVANZATO)

NAT nel pannello di navigazione,\ quindi su Port Forwarding (inoltro delle\ porte).
2 Selezionare una connessione WAN (WAN1) per la quale si desidera configurare le regole di forward delle porte.
3 Selezionare la casella di controllo Active (attiva).
4 Digitare un nombre per la regola.
5 Digitare il numero di porta utilizzata dal servizio.
6 Digitare l'indirizzo IP del server HTTP.
7 Fare cli su Apply (applica).

7 Firewall

É possible utiliser ZoYWALL subpoena dover configurare il firewall.

Il firewall dello ZyWALL è preconfigurato per proteggere la LAN da attacchi provenienti da Internet. Per impostazione predefinita, nessun traffico dati cui entrare nella LAN, a meno che non è stata prima generata una richiesta proveniente alla LAN. Lo ZyWALL consente di accedere alla DMZ alla WAN o alla LAN, ma blocca il traffico alla DMZ alla LAN.

Se si utilizes lo ZyWALL in modalità router, continuare con la prossimazsche. Per la modalità bridge, è valida la configurazione iniziale.

8 Configurazione delle regole di VPN

Un tunnel VPN (Virtual Private Network, rete privata virtuale) offre una connessione sicura a un alto computer o rete.

Un criterio di gateway identifica i router IPSec a entrambe le estremità di un tunnel VPN.

Un criterio di rete specifica quali dispositivi (dietro i router IPSec) possono utilizzato il tunnel VPN.

La seguente figura illustra i campi principali nelle schermate della procedura guidata.

1 Fare cli cullicona Wizard (procedura guidata) ( ) nella schermata HOME e quindi sul link VPN Setup (configurazione VPN) per aprire la connessione guidata a VPN.

Le impostazioni non vengono salute quando si faciesu Back (Indietro).

2 Utilizzato Questa schermata per configurare il criterio di gateway.

Name (nome): immettere un nome per identificare il criterio di gateway.

Remote Gateway Address (indirizzo gateway remoto): immettere l'indirizzo IP o il nome di dominio del router IPSec remoto.

3 Utilizzato Questa schermata per configurare il criterio di rete.

Lasciare la casella di controllo Active (attiva) selezionata.

Name (nome): immettere un nome per identificare il criterio di rete.

Selectionare Single (singolo) e immettere un indirizzo IP per un unico indirizzo IP.

Selectionare Range IP (IP della gamma) e immettere gli indirizzo IP iniziare e finale di una gamma di indirizzi IP specifica.

Selezionare Subnet e immettere un indirizzo IP e una subnet mask che specifichino gli indirizzi IP su una rete mediante la loro subnet mask.

Assicurarsi che il router IPSec remoto utilizi le stesse impostazioni di sicurezza configura nelle prossime due schermate.

Negotiation Mode (modalità di negotiazione): selezionare Main Mode (modalità principale) come protezione dell'identità. Selezionare Aggressive Mode (modalità aggressiva) per consentire a più connessioni in ingresso provenienti da indirizzi IP dinamicici di utilizzato password分开.

Piu SA (Security Association, associazioni di protezione) che si connettono attraverso un gateway sicuro devono avera la stessa modalità di negotiazione.

Encryption Algorithm (algoritmo di crittografia): selezionare 3DES o AES per una crittografia più forte (ma più lenta).

Authentication Algorithm (algoritmo di autenticazione): selezionare MD5 per una sicurezza minima oppure SHA-1 per una sicurezza maggiore.

Key Group (gruppo di chiavi): selezionare DH2 per una maggiore sicurezza.

SA Life Time (tempo di vita SA): imposta quanto spesso lo ZyWALL negotia la SA IKE (minimo 180 secondi). Un tempo di vita di SA breve aumento la sicurezza, ma la negoziatione disconnette temporaneamente il tunnel VPN.

Pre-Shared Key (chiave pre-condivisa): utilizes da 8 a 31 caratteri ASCII (con differenziazione tra maiuscole e minuscole) oppure da 16 a 62 caratteri esadecimali ("0-9", "A-F"). Precede una chiave esadecimale con uno "0x" (zero x), il quale noniene conteggiato come parte della gamma di caratteri da 16 a 62 per la chiave.

Encapsulation Mode (modalità di incapsulamento): Tunnel èCompatible con la funzione NAT, Transport (trasporto) non lo è.

IPSec Protocol (protocollo IPSec): ESP é compatible con NAT, AH non lo è.

Perfect Forward Secrecy (PFS): None (nessuno) consente una configurazione IPSec più rapida, ma DH1 e DH2 sono più sicuri.

4 Utilizzato questa schermata per configurare le impostazioni del tunnel IKE (Internet Key Exchange, scambio chiavi Internet).

5 Utilizzato Questa schermata per configurare le impostazioni IPSec.

6 Verificare le impostazioni della VPN. Fare cli su Finish (fine) per salvare le impostazioni.

7 Fare clic su Close (chiudi) nella schermata finale per completare l'installazione guidata della VPN. Continuare con la prossima sezione per attivare la regola VPN e stabilire una connessione VPN.

8.1 Uso della connessione VPN

Utilizzare i tunnel VPN per inviare e ricevere in maniera sicura file e per consentire un accesso remotale reti aziendali, server Web ed e-mail. I servizi funzioneranno come se ci si trovasse connessi direttamente dall'ufficio,invece che da Internet.

Ad esempio, la regola di VPN "test" consente un accesso sicuro a un server Web che si trova sulla LAN aziendale remota. Immettere l'indirizzo IP del server (10.0.0.23 in quello esempio) come URL nel browser. Lo ZyWALL crea automaticamente il tunnel VPN quando si tenta di utilizzato.

Fare cli scu SECURITY (PROTEZIONE) >

VPN nel pannello di navigazione e quindi sulla sched a S Monitor (monitor SA) per visualizzare un elenco dei tunnel VPN connessi (nell'esempio è attivo il tunnel VPN "test").

Se non è possibile stabilire una connessione VPN, assicurarsi lo ZyWALL e il router IPSec remoto utilizzi le stesse impostazioni VPN. Fareciesu VPN nel pannello di navigazione per configurare le impostazioni avanzate. Accedere a un site Web per verificare che si dispone di una connessione a Internet valida.

Impostare l'indirizzo IP del computer

Questa sezione spiega come configurare il computer per ricevere un indirizzo IP in Windows 2000, Windows NT e Windows XP. In quello modo ci si assicura che il computer possa comuncare con lo ZyWALL.

1 In Windows XP, fare cli c su Start, Pannello di controlo.
In Windows 2000/NT, fare cli S Start,Impostazioni,Pannello di controlo.
2 In Windows XP, fare cli c su Connessioni di rete.
In Windows 2000/NT, fare cli c su Reti e connessioni remote.
3 Fare cli c con il pulsante destro del mouse su Connessione alla rete locale e scegliere Proprietà.
4 Selezionare Protocollo Internet (TCP/IP) (sotto la scheda Generale in Windows XP) e fareblick su Proprietà.
5 Si après la schermata Protocollo Internet TCP/IP - Proprietà (la Scheduled in Windows XP).

Selezionare le opzioni Ottieni automaticamente un indirizzo IP e Ottieni automaticamente l'indirizzo del server DNS.

6 Fare cli csc su OK per chiudere la finestra Protocollo Internet (TCP/IP) - Proprietà.
7 Fare cig scu Chiudi (OK in Windows 2000/NT) per chiudere la finestra Connessione alla rete locale - Proprietà.
8 Chiodere la schermata Connessioni di rete.

Procedura per visualizzare le certificazioni di un prodotto

1 Aprière la pagina www.zyxel.com.
2 Selezionare il prodotto dall'elenco di riepilogo a discesa nella Home Page di ZyXEL per passare alla pagina del prodotto in questione.
3 Selezionare da esta pagina la certificazione che si desidera visualizzare.

0630p

UcTpoIcTBo ZyWALL 2WG npedctabniet coboi mexceTeBOJ 3KpaH c fYHKZnIMN BnPTyaJIbHOJ uactHOJ CETn, ynpaBNeHnI npOnyCKHOJ cnOCO6HoCTbIO, fNtbpTaPcnei KOHTeNTa I dpYrIMN. UcTpoIcTBo MOXHO NcNoJIb3OBaTb KaK npO3paHbI MEXCeTeBOJ 3KpaH, pRn 3TOM He Tpe6ByeTcR n3MeHЯTb KOHfNpyaCIO CeTI INI npOBoDnTb HAcTpoIky napAmeTPOB mapspTyu3aTopa ZyWALL. KOrda ZyWALL haxoIITcR b peKIMe MapspTyu3aTopa, To Bbl TaKKe MoKeTe BCTaBnIT becnPoBOJHyO CEteByIO 3G KapTu dIra DoabJIeHnB TTOPOI TBC. ZyWALL noBbIaae TpOBeHb 6e30NaChOCTn CETn C NOMOJIbIO n3MeHeHnRA OpeBbIX IMEN nOPTOB npINpePaQka OT LOKaJIbHOJ CETn K DMZ (DeMilitarized Zone - demIIITapri3OBAHHa 3OHa), rde YcTaHaBInBaIoTcA o6ueIoCTyHbIe cepBepbl. DaHHOe pykoBODCTBO COdEpxNT INΦOpMaCIHIO NO nepBOHaJbHOMy nOdkJIuOeHnIO n HAcTpoIke ZyWALL.

IOnoHnTeIbHyIO HhOpMaunHO O6o Bcex yHKunx yCtpoiCTBa cm. B TexHnueckom pyKOBODCTBE.