ZYXEL ZyWall 2 User Manual [fr]

ZyWALL 2WG

Internet Security Appliance

Quick Start Guide

Version 4.02

Edition 1

1/2007

Table of Contents

ENGLISH 1

DEUTSCH 17

ESPAÑOL 33

FRANÇAIS 49

ITALIANO 65 РУССКИЙ 81

SVENSKA 99

简体中文 115

繁體中文 131

ENGLISH

Overview

The ZyWALL 2WG is a firewall with VPN, bandwidth management, content filtering and many other features. You can use it as a transparent firewall and not reconfigure your network nor configure the ZyWALL’s routing features. When the ZyWALL is in router mode, you can also insert a 3G wireless card to add a second WAN. The ZyWALL increases network security by adding the option to change port roles from LAN to DMZ for use with publicly accessible servers. This guide covers the initial connections and configuration needed to start using the ZyWALL in your network.

See the User’s Guide for more information on all features.

You may need your Internet access information.

This guide is divided into the following sections.

1 Hardware Connections 2 Accessing the Web Configurator 3 Bridge Mode 4 Internet Access Setup and Product Registration 5 DMZ

6 NAT 7 Firewall 8 VPN Rule Setup 9 Troubleshooting

1 Hardware Connections

You need the following.

ZyWALL Computer Ethernet Cables

Power Adaptor

ENGLISH

Do the following to make hardware connections for initial setup.

1 Use an Ethernet cable to connect the LAN/DMZ port to a computer. If you configure these ports as DMZ

ports in the LAN or DMZ screen through the web configurator, you can also use Ethernet cables to connect public servers (web, e-mail, FTP, etc.) to the LAN/DMZ ports.

2 Use another Ethernet cable to connect the WAN port to an Ethernet jack with Internet access.

" Use the blue console cable if you want to connect the CONSOLE port to your computer. Use

the black dial backup cable if you want to connect the AUX port to an analog modem.

3 Insert a 3G wireless card into the card slot on the side panel to access the Internet wirelessly via a 3G

network. At the time of writing, you can only use the Sierra AC850/860 3G wireless card in the ZyWALL.

4 Use the included power adaptor to connect the power socket (on the rear panel) to a power outlet. 5 Look at the front panel. The PWR LED turns on. The CARD, LAN/DMZ and WAN LEDs turn on and stay

on if the corresponding connections are properly made.

ENGLISH

V If none of the LEDs are on, check your connections, and inspect your cables for damage.

Make sure that you have the power adaptor connected to the ZyWALL and plugged in to an appropriate power source. Make sure the power source is turned on. If the LEDs are still off, contact your local vendor.

2 Accessing the Web Configurator

Use this section to configure the WAN 1 interface for Internet access.

1 Launch your web browser. Enter 192.168.1.1 (the

ZyWALL’s default IP address) as the address.

2 Click Login (the default password 1234 is already

entered).

V If the login screen does not display, check your browser’s security settings and make sure

your computer’s Ethernet card is installed and functioning properly. Your computer should be also set to get an IP address automatically from a DHCP server. See Set Up Your Computer’s IP Address for more information.

ENGLISH

3 Change the login password by entering a new

password and clicking Apply.

4 Click Apply to replace the ZyWALL’s default

digital certificate.

V If you changed the password and have forgotten it, you need to return the ZyWALL to the

defaults (password is 1234, LAN IP address is 192.168.1.1, etc.). Press the RESET button (on the rear panel) until the PWR LED starts to blink, then release it.

5 The HOME screen opens.

The ZyWALL is in router mode by default. Continue to the next step if you want to use routing features such as NAT, DHCP and VPN.

Go to section 3 if you prefer to use the ZyWALL as a transparent firewall.

6 Check the network status table. If the WAN 1 status is not Down and there is an IP address, go to section

If the WAN 1 status is Down (or there is not an IP address), click the Wizard icon and use section 4 to configure WAN 1.

ENGLISH

Use the NETWORK WAN screens if you need to configure WAN 2. You can also configure load balancing between the WAN connections.

3 Bridge Mode

When you set the ZyWALL to bridge mode, it functions as a transparent firewall. Do the following to set the ZyWALL to bridge mode.

1 Click MAINTENANCE in the navigation

panel and then Device Mode.

2 Select Bridge and configure a (static)

IP address subnet mask and gateway IP address for the ZyWALL’s LAN,

WAN, DMZ and WLAN interfaces.

3 Click Apply. The ZyWALL restarts.

Skip to section 5 if you have servers that you need to be accessible from the WAN.

4 Internet Access Setup and Product Registration

1 Click the Wizard icon ( ) in the HOME screen and then the Internet Access Setup link to open the

Internet access wizard.

ENGLISH

Enter the Internet access information exactly as given to you. If you were given an IP address to use, select Static in the IP Address Assignment drop-down list box and

enter the information provided.

" The fields vary depending on what you select in the Encapsulation field. Fill them in with the

information provided by the ISP or network administrator.

Click Apply when you are done.

• Ethernet Encapsulation

Configure a Roadrunner service in the NETWORK WAN screens (use the WAN tab).

• PPP over Ethernet or PPTP Encapsulation

Select Nailed-Up when you want your connection up all the time (this could be expensive if your ISP bills you for Internet usage time instead of a flat monthly fee).

ENGLISH

To not have the connection up all the time, specify an idle time-out period (in seconds) in Idle Timeout.

2 Click Next to display the screen where you can

register your ZyWALL with myZyXEL.com (ZyXEL’s online services center) and activate the free content filtering trial application. Otherwise, click Skip and then Close to complete Internet access setup.

3 If you already have an account at

myZyXEL.com, select Existing myZyXEL.com account and enter account information. Otherwise, select New myZyXEL.com account and fill in the fields below to create a new account and register your ZyWALL. Click Next.

4 Wait for the registration progress to finish.

5 The following screen displays if the registration

was not successful. Click Return to go back to the Device Registration screen and check your settings.

6 Click Close to leave the wizard screen when

the registration and activation are done.

ENGLISH

" If you want to activate a standard service with your iCard’s PIN number (license key), use the

REGISTRATION Service screen. See the User’s Guide for details.

V If you cannot access the Internet via WAN 1, check the ZyWALL’s connection to the Ethernet

jack with Internet access. Make sure the Internet gateway device (such as a DSL modem) is working properly. Click WAN in the navigation panel to verify your settings.

ENGLISH

5 DMZ

The DeMilitarized Zone (DMZ) allows public servers (web, e-mail, FTP, etc.) to be visible to the outside world and still have firewall protection from DoS (Denial of Service) attacks.

You can assign TCP/IP configuration via DHCP to computers connected to the DMZ ports. Otherwise, configure the computers with static IP addresses (in the same subnet as the DMZ port's IP address) and DNS server addresses. Use the ZyWALL's DMZ IP address as the default gateway.

Do the following to configure the DMZ if the ZyWALL is in routing mode.

Note: You do not need to configure DMZ with bridge mode, skip to section 7.

1 Click NETWORK > DMZ in the navigation panel. 2 Specify an IP address and subnet mask for the

DMZ interface.

If you use private IP addresses on the DMZ, use NAT to make the servers publicly accessible (see section 6).

A public IP address must be on a separate subnet from the WAN port’s public IP address. If you do not configure NAT for the public IP addresses on the DMZ, the ZyWALL routes traffic to the public IP addresses on the DMZ without performing NAT. This may be useful for hosting servers for NAT unfriendly applications.

3 Click Apply. 4 By default, LAN/DMZ ports 1 to 4 are all LAN

ports. To configure a port as a DMZ port, click the Port Roles tab, select its radio button next to DMZ and click Apply.

6 NAT

NAT (Network Address Translation - NAT, RFC 1631) means the translation of an IP address in one network to a different IP address in another. You can use the NAT Address Mapping screens to have the ZyWALL translate multiple public IP addresses to multiple private IP addresses on your LAN (or DMZ).

The following example allows access from the WAN1 to an HTTP (web) server on the DMZ. The server has a private IP address of 10.0.0.20.

ENGLISH

1 Click ADVANCED, NAT in the

navigation panel and then Port

Forwarding.

2 Select the WAN connection (WAN1) for

which you want to configure port forwarding rules.

3 Select the Active check box. 4 Type a name for the rule. 5 Type the port number that the service

uses.

6 Type the HTTP server’s IP address. 7 Click Apply.

7 Firewall

You can use the ZyWALL without configuring the firewall.

The ZyWALL’s firewall is pre-configured to protect your LAN from attacks from the Internet. By default, no traffic can enter your LAN unless a request was generated on the LAN first. The ZyWALL allows access to the DMZ from the WAN or LAN, but blocks traffic from the DMZ to the LAN.

If you are using the ZyWALL in router mode, continue with the next section. For bridge mode, you are done with initial configuration.

8 VPN Rule Setup

A VPN (Virtual Private Network) tunnel gives you a secure connection to another computer or network.

A gateway policy identifies the IPSec routers at either end of a VPN tunnel.

A network policy specifies which devices (behind the IPSec routers) can use the VPN tunnel.

ENGLISH

This figure helps explain the main fields in the wizard screens.

1 Click the Wizard icon ( ) in the HOME screen and then the VPN Setup link to open the VPN wizard.

" Your settings are not saved when you click Back.

2 Use this screen to configure the gateway policy.

Name: Enter a name to identify the gateway policy. Remote Gateway Address: Enter the IP address or

domain name of the remote IPSec router.

ENGLISH

3 Use this screen to configure the network policy.

Leave the Active check box selected. Name: Enter a name to identify the network policy. Select Single and enter an IP address for a single IP

address. Select Range IP and enter starting and ending IP

addresses for a specific range of IP addresses. Select Subnet and enter an IP address and subnet

mask to specify IP addresses on a network by their subnet mask.

" Make sure that the remote IPSec router uses the same security settings that you configure in

the next two screens.

Negotiation Mode: Select Main Mode for identity protection. Select Aggressive Mode to allow more incoming connections from dynamic IP addresses to use separate passwords.

" Multiple SAs (security associations) connecting through a secure gateway must have the

same negotiation mode.

Encryption Algorithm: Select 3DES or AES for stronger (and slower) encryption. Authentication Algorithm: Select MD5 for minimal security or SHA-1 for higher security. Key Group: Select DH2 for higher security. SA Life Time: Set how often the ZyWALL renegotiates the IKE SA (minimum 180 seconds). A short SA life

time increases security, but renegotiation temporarily disconnects the VPN tunnel. Pre-Shared Key: Use 8 to 31 case-sensitive ASCII characters or 16 to 62 hexadecimal ("0-9", "A-F")

characters. Precede a hexadecimal key with a "0x” (zero x), which is not counted as part of the 16 to 62 character range for the key.

Encapsulation Mode: Tunnel is compatible with NAT, Transport is not. IPSec Protocol: ESP is compatible with NAT, AH is not. Perfect Forward Secrecy (PFS): None allows faster IPSec setup, but DH1 and DH2 are more secure.

ENGLISH

4 Use this screen to configure IKE (Internet Key

Exchange) tunnel settings.

6 Check your VPN settings. Click Finish to save the

settings.

5 Use this screen to configure IPSec settings.

7 Click Close in the final screen to complete the

VPN wizard setup. Continue with the next section to activate the VPN rule and establish a VPN connection.

8.1 Using the VPN Connection

Use VPN tunnels to securely send and retrieve files, and allow remote access to corporate networks, web servers and e-mail. Services work as if you were at the office instead of connected through the Internet.

ENGLISH

For example, the “test” VPN rule allows secure access to an web server on a remote corporate LAN. Enter the server’s IP address (10.0.0.23 in this example) as your browser’s URL. The ZyWALL automatically builds the VPN tunnel when you attempt to use it.

Click SECURITY > VPN in the navigation panel and then the SA Monitor tab to display a list of connected VPN tunnels (the “test” VPN tunnel is up here).

V If you cannot establish a VPN connection, make sure the ZyWALL and the remote IPSec

router use the same VPN settings. Click VPN in the navigation panel to configure advanced settings. Access a web site to check that you have a successful Internet connection.

Set Up Your Computer’s IP Address

This section shows you how to set up your computer to receive an IP address in Windows 2000, Windows NT and Windows XP. This is ensures that your computer can communicate with your ZyWALL.

1 In Windows XP, click Start, Control Panel.

In Windows 2000/NT, click Start, Settings, Control Panel.

2 In Windows XP, click Network Connections.

In Windows 2000/NT, click Network and Dial-up Connections.

3 Right-click Local Area Connection and then click Properties. 4 Select Internet Protocol (TCP/IP) (under the General tab in Windows XP) and click Properties.

ENGLISH

5 The Internet Protocol TCP/IP Properties screen opens

(the General tab in Windows XP). Select the Obtain an

IP address automatically and Obtain DNS server address automatically options.

6 Click OK to close the Internet Protocol (TCP/IP)

Properties window.

7 Click Close (OK in Windows 2000/NT) to close the

Local Area Connection Properties window.

8 Close the Network Connections screen.

Procedure to View a Product’s Certification(s)

1 Go to www.zyxel.com. 2 Select your product from the drop-down list box on the ZyXEL home page to go to that product's page. 3 Select the certification you wish to view from this page.

ENGLISH

DEUTSCH

Übersicht

Die ZyWALL 2WG ist eine Firewall mit VPN, Bandbreitenmanagement, Content Filtering und vielen anderen Funktionen. Sie können sie als transparente Firewall verwenden, ohne das Netzwerk neu zu konfigurieren und die Routingfunktionen des Geräts zu konfigurieren. Wenn sich der ZyWALL im Router-Modus befindet, können Sie auch eine 3G-Wireless-Card einsetzen, um ein zweites WAN hinzuzufügen. Die ZyWALL bietet die Möglichkeit, bei der Benutzung öffentlich zugänglicher Server die Portfunktionen zu wechseln (LAN zu DMZ) und erhöht damit die Netzwerksicherheit. In dieser Anleitung finden Sie eine Beschreibung der Anschlüsse und der Konfiguration, die notwendig ist, damit Sie die ZyWALL in Ihrem Netzwerk verwenden können.

Eine ausführliche Beschreibung aller Funktionen finden Sie im Benutzerhandbuch.

Bitte halten Sie die Daten für Ihren Internetzugang bereit.

Diese Anleitung ist in die folgenden Abschnitte aufgeteilt.

1 Anschließen der Hardware 2 Zugriff auf den Web-Konfigurator 3 Bridge Mode 4 Einrichten des Internetzugriffs und

Produktregistrierung

5 DMZ

6 NAT 7 Firewall 8 Einstellen der VPN-Regeln 9 Problembeseitigung

1 Anschließen der Hardware

Sie benötigen folgendes:

ZyWALL Computer Ethernetkabel

Netzteil

DEUTSCH

Wenn Sie das Gerät installieren, müssen Sie die Hardwaregeräte folgendermaßen anschließen.

1 Verbinden Sie den LAN-/DMZ-Port mit einem Ethernet-Kabel mit dem Computer. Wenn Sie diese Ports im

LAN- oder DMZ-Fenster mit dem Web-Konfigurator als DMZ-Ports konfigurieren, können Sie auch mit

Ethernetkabeln eine Verbindung von LAN-/DMZ-Ports zu öffentlichen Servern (Internet, E-Mail, FTP usw.) herstellen.

2 Schließen Sie mit einem anderen Ethernet-Kabel den WAN-Port an die Ethernet-Buchse mit Internetzugriff

an.

" Schließen Sie den Konsolenanschluss CONSOLE mit dem blauen Konsolenkabel an den

Computer an. Schließen Sie den Anwahlsicherungsanschluss AUX mit dem schwarzen Anwahlsicherungskabel an das Analogmodem an.

3 Wenn Sie das Internet über UMTS erreichen wollen, setzen Sie Ihre 3G Karte in den seitlichen Kartenslot

ein. Zum Zeitpunkt der Drucklegung können Sie im ZyWALL nur die 3G-Wireless-Card Sierra AC850/860 verwenden.

4 Schließen Sie das mitgelieferte Netzteil an der Rückseite der ZyWALL an.

DEUTSCH

5 Kontrollieren Sie den Systemstart mittels der LEDs an der Frontseite. Die PWR-LED beginnt zu leuchten. Die

LEDs CARD, LAN/DMZ und WAN beginnen zu leuchten und bleiben an, wenn die entsprechenden Verbindungen richtig hergestellt wurden.

V Wenn keine der LEDs leuchtet, prüfen Sie noch einmal, ob alle Kabelverbindungen richtig

gesteckt wurden und ob die Kabel unbeschädigt sind. Stellen Sie sicher, dass der Netzadapter richtig an das ZyWALL-Gerät und an eine Netzsteckdose angeschlossen wurde. Stellen Sie sicher, dass das Gerät eingeschaltet ist. Wenn die LEDs immer noch nicht leuchten, wenden Sie sich an Ihren Fachhändler

2 Zugriff auf den Web-Konfigurator

In diesem Abschnitt wird beschrieben, wie die WAN 1-Schnittstelle für den Internetzugriff konfiguriert wird.

1 Starten Sie Ihren Internetbrowser. Geben Sie als

Adresse 192.168.1.1 (die Standard IP-Adresse der ZyWALL) ein.

2 Klicken Sie auf Login (Einloggen) (das

Standardpasswort 1234 ist bereits vorgegeben).

DEUTSCH

V Wenn das Anmeldefenster nicht angezeigt wird, prüfen Sie die Sicherheitseinstellungen Ihres

Browsers, und stellen Sie sicher, dass die im Computer installierte Ethernet-Karte richtig funktioniert. Außerdem muss der Computer so eingerichtet sein, dass er eine IP-Adresse automatisch von einem DHCP-Server bezieht. Weitere Informationen dazu finden Sie unter Einrichten der IPAdresse des Computers.

3 Ändern Sie das Passwort, indem Sie ein neues

Passwort eingeben und auf Apply (Übernehmen) klicken.

4 Klicken Sie auf Apply (Übernehmen), um das

Standarddigitalzertifikat der ZyWALL zu ersetzen.

V Wenn Sie das Kennwort vergessen haben sollten, müssen Sie das ZyWALL-Gerät auf die

Standardeinstellungen zurücksetzen (Kennwort:?1234, LAN-IP-Adresse:?192.168.1.1, usw.). Drücken Sie so lange auf die RESET-Taste (an der Rückseite des Geräts) bis die PWR-LED blinkt, und lassen Sie die Taste dann wieder los.

5 Das Fenster HOME wird angezeigt.

Standardmäßig befindet sich die ZyWALL im Routermodus. Wenn Sie Routingfunktionen wie NAT, DHCP oder VPN verwenden möchten, gehen Sie weiter zum nächsten Schritt.

Gehen Sie zu Abschnitt 3, wenn Sie die ZyWALL als eine transparente Firewall verwenden möchten.

6 Prüfen Sie die Netzwerkstatus Tabelle. Wenn der Status von WAN 1 nicht Down ist und eine IP-Adresse

angegeben ist, gehen Sie zu Abschnitt 5. Wenn der Status bei WAN 1 Down ist (oder es keine IP-Adresse gibt), klicken Sie auf das Assistent-Symbol,

und konfigurieren Sie WAN 1 gemäß der Beschreibung in Abschnitt 4 WAN.

DEUTSCH

Um WAN 2 zu konfigurieren, benötigen Sie die NETWORK WAN-Fenster. Sie können auch ein Loadbalancing zwischen den WAN-Anschlüssen konfigurieren.

3 Bridge Modus

Wenn Sie bei der ZyWALL den Bridge Modus einstellen, funktioniert sie als transparente Firewall. Bei der ZyWALL wird der Bridge Modus folgendermaßen eingestellt:

1 Klicken Sie in der Navigationsleiste auf

MAINTENANCE (Wartung) und dann auf Device Mode (Gerätemodus).

2 Wählen Sie Bridge und konfigurieren Sie

eine (statische) IP-AdressenSubnetmaske und eine Gateway-IPAdresse für die LAN-, WAN-, DMZ- und

WLAN- Schnittstelle der ZyWALL.

3 Klicken Sie auf Apply (Übernehmen). Die

ZyWALL wird neu gestartet.

Gehen Sie weiter zu Abschnitt 5, wenn Sie Server haben, auf die Sie vom WAN aus zugreifen müssen.

DEUTSCH

4 Einrichten des Internetzugriffs und Produktregistrierung

1 Klicken Sie im Startfenster (HOME) auf das Assistent-Symbol ( ) und dort auf die Verknüpfung Internet

Access Setup (Einrichten des Internetzugriffs), um den Assistenten zum Einrichten des Internetzugriffs

aufzurufen. Geben Sie die Daten für den Internetzugriff so ein, wie Sie sie von Ihrem Provider erhalten haben. Wenn Ihnen eine feste IP-Adresse gegeben wurde, wählen Sie im Lisenfeld IP Address Assignment (IP-

Adressenzuweisung) die Option Static (Statisch) und geben Sie dort die Daten ein.

" Je nachdem, was Sie im Feld Encapsulation wählen, sieht die Eingabemaske anders aus.

Geben Sie dort die Daten ein, die Sie von Ihrem Internetdienstanbieter oder Netzwerkadministrator erhalten haben.

Wenn Sie die Eingabe beendet haben, klicken Sie auf Apply (Übernehmen).

• Ethernet Encapsulation

Konfigurieren Sie den Internetzugang in den NETWORK WAN (Netzwerk-WAN) Fenstern (auf der Registerkarte WAN).

• PPP over Ethernet or PPTP Encapsulation

Wählen Sie Nailed-Up, wenn die Verbindung dauerhaft aufrecht erhalten werden soll (Aus Kostengründen empfehlen wir diese Option nur wenn Sie eine Flatrate haben).

DEUTSCH

Wenn die Verbindung nicht dauerhaft stehen soll, tragen Sie bitte den Idle Timeout in Sekunden ein.

2 Klicken Sie auf Next (Weiter), um das Fenster

aufzurufen, in dem Sie Ihr ZyWALL mit myZyXEL.com (ZyXELs Online-Servicezentrum) registrieren den kostenlosen Test des WebcontentFilters zu aktivieren. Oder Sie klicken auf Skip (Überspringen) und dann auf Close (Schliessen), um das Einrichten des Internetzugriffs abzuschliessen.

3 Wenn Sie bei myZyXEL.com bereits ein Konto

haben, wahlen Sie Existing myZyXEL.com account (Bestehendes myZyXEL.com-Konto) und geben Sie die Daten zum Konto ein. Anderenfalls wählen Sie New myZyXEL.com account (Neues myZyXEL.com-Konto) und füllen Sie die Felder unten aus, um ein neues Konto zu öffnen und die ZyWALL zu registrieren. Klicken Sie auf Next (Weiter).

4 Warten Sie ab, bis die Registrierung

abgeschlossen ist. Dies kann einige Minuten dauern.

5 Im folgenden Fenster wird angezeigt, wenn die

Registrierung nicht erfolgreich durchgeführt wurde. Klicken Sie auf Return (Zuruck), um zum Fenster Device Registration (Gerät registrieren) zurückzukehren. Prüfen Sie noch einmal Ihre Einstellungen.

6 Klicken Sie auf Close (Schliessen), um nach

der Registrierung und Aktivierung den Assistenten zu verlassen.

DEUTSCH

" Wenn Sie mit der PIN-Nummer (Lizenzschlüssel) auf Ihrer iCard einen Standarddienst

aktivieren möchten, gehen Sie zum Fenster REGISTRATION. Ausführliche Informationen finden Sie im Benutzerhandbuch.

V Wenn Sie nicht über WAN 1 auf das Internet zugreifen können, prüfen Sie die Verbindung

des ZyWALL-Geräts zum Ethernet-Anschluss mit Internet-Zugriff. Stellen Sie sicher, dass die Verbindung zum Internet (zum Beispiel DSL Modem) einwandfrei arbeitet. Klicken Sie in der Navigationsleiste auf WAN und überprüfen Sie die Einstellungen.

DEUTSCH

5 DMZ

Die DeMilitarisierte Zone (DMZ) ermöglicht es, dass öffentliche Server (Internet, E-Mail, FTP, usw.) nach außen hin sichtbar sind aber dennoch über Firewallschutz vor verfügen (Denial of Service).

Sie können die TCP/IP-Konfiguration über DHCP den Computern zuweisen, die an die DMZ-Anschlüsse angeschlossen sind. Die Computer werden mit statischen IP-Adressen (in demselben Subnetz wie die IPAdressen des DMZ-Ports) und DNS-Serveradressen konfiguriert. Verwenden Sie die DMZ-IP-Adresse der ZyWALL als Standardgateway.

Wenn sich die ZyWALL im Routingmodus befindet, wird die DMZ folgendermaßen konfiguriert.

" Im Bridge Modus muss die DMZ nicht konfiguriert werden. Gehen Sie weiter zu Abschnitt 7.

1 Klicken Sie in der Navigationsleiste auf NETWORK (NETZWERK) > DMZ. 2 Geben Sie für die DMZ-Schnittstelle eine IP-

Adresse und eine Subnetmaske an.

Wenn Sie in der DMZ private IP-Adressen verwenden, können Sie die Server mit NAT öffentlich zugänglich machen (siehe Abschnitt 6).

Eine öffentliche IP-Adresse muss sich auf einem anderen Subnetz als dem der öffentlichen IPAdresse eines WAN-Ports befinden. Wenn Sie das NAT nicht für die öffentlichen IP-Adressen aus der DMZ konfigurieren, leitet die ZyWALL den Datenverkehr ohne NAT zu den öffentlichen IPAdressen in der DMZ. Diese Funktion kann für die Hostserver bei NAT-feindlichen Anwendungen sehr nützlich sein.

3 Klicken Sie auf Apply (Übernehmen). 4 Standardmäßig sind alle LAN-/DMZ-Ports (1 bis 4)

LAN-Ports. Wenn Sie einen Port als DMZ-Port konfigurieren möchten, klicken Sie auf die Registerkarte Port Roles (Portfunktionen), wählen Sie das Kontrollfeld neben DMZ und klicken Sie auf Apply (übernehmen).

DEUTSCH

6 NAT

NAT (Network Address Translation - NAT, RFC 1631) ist die Übersetzung einer IP-Adresse eines Netzwerks in eine andere IP-Adresse eines anderen Netzwerks. Wenn die ZyWALL mehrere öffentliche IP-Adressen in mehrere private IP-Adressen Ihres LAN (oder Ihrer DMZ) übersetzen soll, verwenden Sie die Fenster NAT Address Mapping (NAT-Adressmapping).

Das folgende Beispiel zeigt den Zugriff von einem WAN1- auf einen HTTP-Server (Internet) in der DMZ. Der Server hat die private IP-Adresse 10.0.0.20.

1 Klicken Sie in der Navigationsleiste auf

ADVANCED (ERWEITERT) > NAT und

dann auf Port Forwarding (Portweiterleitung).

2 Wählen Sie die WAN-Verbindung

(WAN1) für diejenige Verbindung aus, für die Sie die Anschlussweiterleitungsregeln konfigurieren möchten.

3 Wählen Sie das Kontrollfeld Active

(Aktiv).

4 Geben Sie eine Bezeichnung für die

Regel ein.

5 Geben Sie die Portnummer ein, die der

Dienst verwendet.

6 Geben Sie die IP-Adresse des HTTP-

Servers ein.

7 Klicken Sie auf Apply (Übernehmen).

7 Firewall

Sie können die ZyWALL verwenden, ohne die Firewall zu konfigurieren.

Die Firewall die ZyWALL ist so vorkonfiguriert, dass sie Ihr LAN vor Angriffen aus dem Internet schützt. Bei der Standardeinstellung können keine Daten in Ihr LAN eindringen, wenn nicht zuvor eine Anfrage aus dem LAN gestellt wurde. Die ZyWALL lässt den Zugriff vom WAN oder LAN auf die DMZ zu, blockiert aber den Datenverkehr aus der DMZ zum LAN.

Wenn Sie die ZyWALL im Routermodus verwenden, fahren Sie mit dem nächsten Abschnitt fort. Für den Bridge-Modus, reicht die Erstkonfiguration.

DEUTSCH

8 Einstellen der VPN-Regeln

Mit einem VPN-Tunnel (Virtual Private Network) haben Sie eine sichere Verbindung zu anderen Computern oder Netzwerken.

Eine Gateway-Policy identifiziert an jedem Ende eines VPN-Tunnels die IPSec-Router.

In einer Netzwerk-Policy ist festgelegt, welche Geräte (hinter den IPSec-Routern) den VPNTunnel benutzen dürfen.

Diese Abbildung soll die Hauptfelder in den Assistentenfenstern erläutern.

1 Klicken Sie im Startfenster (HOME) auf das Assistent-Symbol ( ) und dort auf die Verknüpfung VPN Setup

(VPN Einrichten), um den VPN-Assistenten aufzurufen.

" Wenn Sie auf Back (Zurück) klicken, werden Ihre Einstellungen nicht gespeichert.

DEUTSCH

2 In diesem Fenster können Sie die Gateway-Policy

konfigurieren. Name: Geben Sie einen Namen ein, um die

Gateway-Policy zu bezeichnen. Remote Gateway Address: Geben Sie die IP-

Adresse oder den Domainnamen des IPSec-Routers ein.

3 In diesem Fenster können Sie die Netzwerk-Policy

konfigurieren. Lassen Sie die Markierung im Kontrollfeld Active

(Aktiv). Name: Geben Sie einen Namen für die Netzwerk

Policy ein. Wählen Sie Single und geben eine IP-Adresse für

eine Host ein. Wählen Sie Range IP (IP-Bereich) und geben Sie die

Anfangs- und End-IP eines bestimmten Bereichs von IP-Adressen ein.

Wählen Sie Subnet (Subnetz) und geben Sie eine IPAdresse und eine Subnetmaske ein, um ein bestimmtes Netzwerk anhand ihrer Subnetmaske festzulegen.

" Stellen Sie sicher, dass der Remote-IPSec-Router dieselben Sicherheitseinstellungen

verwendet, die Sie in den zwei folgenden Fenstern festlegen.

Negotiation Mode: Wählen Sie Main Mode für den Identitätsschutz. Wählen Sie Aggressive Mode, wenn mehrere eingehende Verbindungen von dynamischen IP-Adressen verschiedene Passwörter benutzen sollen.

" Wenn mehrere SAs (Security Associations) durch ein Sicherheitsgateway verbunden sind,

müssen diese denselben Negotiation-Modus haben.

Encryption Algorithm (Verschlüsselungsalgorithmus): Wählen Sie 3DES oder AES für eine stärkere Verschlüsselung.

DEUTSCH

Authentication Algorithm (Authentifizierungsalgorithmus): Wählen Sie MD5 für eine minimale Sicherheit oder SHA-1 für eine höhere Sicherheit.

Key Group (Schlüsselgruppe): Wählen Sie DH2 für eine höhere Sicherheit. SA Life Time (SA-Dauer): Legen Sie fest, wie oft die ZyWALL die IKE SA wieder verhandelt (mindestens 180

Sekunden). Eine kurze SA-Dauer erhöht die Sicherheit, bei der Verhandlung wird aber vorübergehend der VPN-Tunnel getrennt.

Pre-Shared Key: Geben Sie hier 8 bis 31 ASCII-Zeichen (Groß- und Kleinschreibung beachten) oder 16 bis 62 Hexadezimalzeichen ("0-9", "A-F") ein. Setzen Sie einem Hexadezimalschlüssel ein "0x” (Null x) voran, wird dieses nicht als Teil des 16 bis 32 Zeichen langen Schlüssels betrachtet.

Encapsulation Mode: Tunnel ist kompatibel mit NAT, Transport nicht. IPSec Protocol: ESP ist kompatibel mit NAT, AH nicht und AH bietet keine Verschlüsselung. Perfect Forward Secrecy (PFS): None (Keine) ermöglicht einen beschleunigt Phase 2 beim Aufbau des

IPSec-Tunnels, DH1 und DH2 bieten aber mehr Sicherheit.

4 In diesem Fenster werden die IKE-

Tunneleinstellungen (Internet Key Exchange) konfiguriert.

5 In diesem Fenster werden die IPSec-Einstellungen

konfiguriert.

+ 116 hidden pages