ZYXEL ZYWALL SSL 10 User Manual

Page 1
Application Guide
ZyXEL ZyWALL SSL 10
français
Page 2
Options d‘application
Chère cliente, cher client
Nous vous remercions d’avoir choisi un produit ZyXEL. Ce guide vous présente les quatre options d’application principales du ZyWALL SSL 10. Pour chaque application, nous avons décrit l’implémentation de base.
Options d’application ZyWALL SSL 10
A
ZyWALL SSL 10 dans zone pare-feu particulière
ZyWALL SSL 10 dans DMZ du pare-feu/routeur ADSL
B
ZyWALL SSL 10 dans LAN du pare-feu/routeur ADSL/LAN
C
ZyWALL SSL 10 raccordé directement à l’Internet
D
En tenant compte de quelques points im­portants, vous gagnerez du temps lors de l’installation initiale de l’appareil. Des exemples de confi guration seront publiés au fur et à mesure dans la Kowledgebase sur
www.studerus.ch/f/knowledgebase.
(modem câble/ routeur ADSL en mode pont)
IMPORTANT pour toutes les options :
Pour pouvoir utiliser les connexions SSL-VPN client, le ZyWALL SSL 10 doit être enregistré.
Pour pouvoir utiliser toutes les fonctions, la résolution de noms est nécessaire, via
DynDNS ou adresse IP fi xe avec DNS.
Pour l’installation, les ordinateurs client SSL ont besoin des droits de Java Runtime
Environment.
Le sous-réseau LAN-IP du ZyWALL SSL 10 doit toujours être différent de la
zone LAN, DMZ et WLAN des pare-feu/routeurs ADSL.
Le client SSL doit pouvoir accéder à l’interface WAN du ZyWALL SSL 10
via le port 443.
Pour la gestion via l’interface WAN, le client SSL doit pouvoir accéder au
ZyWALL SSL 10 via le port 8443.
A
ZyWALL SSL 10 dans la zone pare-feu particulière
WLAN
WAN
ZyWALL
DMZ
WAN
LAN
Ressource
DMZ
Avantage : Sécurité optimale pour DMZ et LAN grâce à la terminaison de la connexion dans la zone particulière. Si un ZyWALL SSL 10 est ex­ploité avec un ZyWALL UTM et décrypté dans une zone particulière, la prévention d’intrusion et le contrôle antivirus sont appliqués pour les con­nexions SSL.
P-662
Ressource
Avantage : Sécurité pour le LAN grâce à la ter­minaison de la connexion dans la DMZ.
ZyWALL UTM
Client SSL
ZyWALL SSL
Application : Le ZyWALL SSL 10 est installé dans une zone pare-feu particulière (exemple : la zone WLAN non utilisée du ZyWALL). Ce n’est alors que l’interface WAN du ZyWALL SSL 10 qui est connectée.
ZyWALL SSL 10 dans DMZ du pare-feu/routeur ADSL
B
en option
Client SSL
Application : Le ZyWALL SSL 10 est placé en zone DMZ du pare-feu/routeur ADSL (exemple : ZyWALL ou P-662). Ce n’est alors que l’interface WAN du ZyWALL SSL 10 qui est connectée.
WAN
ZyWALL SSL
File-ShareE-Mail Server Remote Desktop
LAN
File-ShareE-Mail Server Remote Desktop
06
Page 3
Options d‘application
ZyWALL SSL 10 dans LAN du pare-feu/routeur ADSL/LAN
C
en option
ZyWALL
Client SSL
ZyWALL SSL
WAN
WAN
Application : Le ZyWALL SSL 10 est placé dans le LAN du pare-feu/routeur ADSL/LAN (exemple :
Avantage : Installation facile avec un routeur In­ternet existant sans zone DMZ particulière.
P-660/661 P-335 Plus
LAN
Ressource
E-Mail Server
File-Share
ZyWALL ou P-660H/P-661H). Ce n’est alors que l’interface WAN du ZyWALL SSL 10 qui est connectée.
Remote Desktop
ZyWALL SSL 10 raccordé directement à l’Internet
D
(modem câble/routeur ADSL en mode pont)
WAN
Client SSL
Application : Le ZyWALL SSL 10 est connecté directement à l’Internet via un routeur en mode bridge ou un modem câble. L’interface WAN du
en option
P-660R en mode pont
ZyWALL SSL
Modem
WAN
LAN
Avantage : Installation facile avec un routeur In­ternet existant équipé d’une seule interface LAN
ou un modem câble. ZyWALL SSL 10 est raccordée au routeur en mode bridge ou au modem câble, l’interface LAN est connectée aux serveurs. La fonction NAT et pare-feu du ZyWALL SSL 10 doit être activée.
Ressource
E-Mail Server
File-Share
Remote Desktop
07
Informations supplémentaires : www.studerus.ch/f/knowledgebase
Hotline Support : lundi à vendredi 8h30 – 12h00 /13h30 – 19h00
Utilisez-vous votre produit dans le domaine privé pour un seul PC ou un petit réseau ? Appelez le : 0900 900 641 Utilisez-vous votre produit dans un réseau d‘entreprise ? Appelez le : 0900 900 646
Page 4
Remarques générales indépendantes de l’option d’application
1. Authentifi cation
Le ZyWALL SSL 10 supporte les trois pro-
cédés d’authentifi cation suivants :
Utilisateurs locaux / groupe : idéal pour petites
entreprises sans Active-Directory et infrastruc­ture serveur.
AD/LDAP : pour PME. Intégration avec l’infra-
structure serveur. L’avantage est que l’adminis­tration des utilisateurs et les mots de passe ne sont pas sauvegardés sur le ZyWALL SSL 10. La Security Policy est administrée sur le serveur.
RADIUS avec solution ZyXEL OTP Token (One
Time Password) : authentifi cation à deux ni­veaux, haut niveau de sécurité, l’installation n’est conseillée qu’avec Windows 2000, 2003 Server en langue anglaise.
2. Contrôle sécurité End Point
L’accès n’est autorisé qu’après vérifi cation
de certains critères :
Système d’exploitation, Service Pack, Auto
Update, logiciel antivirus, navigateur, version du navigateur, processus actif, fi chier dispo­nible etc.
La sécurité End Point peut être personnalisée
pour chaque groupe d’utilisateurs.
Inconvénient : peu de fl exibilité pour l’accès
via un lieu public (café Internet, hôtel etc.)
3. Accès aux applications
Le client peut accéder aux applications
(autorisation selon l’utilisateur ou groupe
d’utilisateurs).
En général, il faut faire la différence entre une application Web et une application.
Application Web : prend en charge http et
https pour applications et OWA (Outlook Web Access), serveur Web, serveur mail. L’accès a lieu directement via le portail Web du ZyWALL SSL 10.
Application : par ex. Remote Desktop, VNC,
Citrix, FTP etc. Une installation logicielle est nécessaire. L’accès au serveur a lieu via une adresse IP virtuelle (par ex. 127.0.0.2).
Une défi nition Custom Port est possible pour
des applications qui ne sont pas prédéfi nies.
4. Partage de fi chiers
Accès à la gestion des fi chiers d’un serveur
ou NAS (par ex. avec ZyXEL NSA-2400).
Actions possibles dans le portail Web du
ZyWALL SSL 10 : ouvrir, copier, renommer et effacer le fi chier.
La Policy du fi chier est défi nie sur le serveur
fi chier, NAS.
Il est conseillé d’utiliser l’option ZyWALL DMZ/
WLAN avec l’UTM pour le contrôle IDP/antivi­rus.
5. NetExtender
Comme les IPSec-VPNs traditionnels :
un adaptateur réseau virtuel est ajouté à
l’ordinateur client afi n de construire un tun-
nel entre les deux points fi naux.
« Inconvénient » : l’ordinateur client a accès à
tout le réseau. C’est donc une option conseil­lée pour le ZyWALL DMZ/WLAN avec vérifica­tion des règles pare-feu.
Le client SSL est sur le même réseau que le
serveur.
Droits d’administrateur sur l’ordinateur client
sont nécessaires pour établir la connexion virtuelle.
Les paramètres de sécurité de Windows Vista
empêchent la fonction NetExtender.
08
Loading...