ZyXEL Communications ZYWALL 70 UTM, ZyXEL ZyWALL 35, ZyXEL ZyWALL 5 Инструкция по применению

  • Привет! Я чат-бот, который ознакомился с руководством по началу работы с устройством ZyWALL 5 от ZyXEL. Я могу ответить на ваши вопросы о настройке брандмауэра, VPN, DMZ, режиме моста и других функциях. В руководстве описаны основные шаги по подключению, настройке доступа в интернет и использованию дополнительных функций, таких как VPN и NAT. Задавайте вопросы!
  • Как получить доступ к веб-конфигуратору ZyWALL 5?
    Как настроить ZyWALL 5 в режиме моста?
    Как настроить DMZ на ZyWALL 5?
    Что такое NAT и как его настроить?
    Как настроить VPN на ZyWALL 5?
РУССКИЙ
97
Обзор
Устройство ZyWALL 5 представляет собой межсетевой экран с функциями виртуальной частной сети,
управления пропускной способностью, фильтрацией контента, защиты от спама, защиты от вирусов,
IDP (Intrusion Detection and Protection - Обнаружение и защита от вторжения) и другими. Устройство
можно использовать как прозрачный межсетевой экран, при этом не требуется изменять конфигурацию
сети или проводить настройку параметров маршрутизатора ZyWALL. ZyWALL повышает уровень
безопасности сети с помощью изменения ролевых имен портов при передаче трафика от локальной
сети к DMZ (DeMilitarized Zone - демилитаризованная зона), где устанавливаются общедоступные
серверы. Данное руководство содержит информацию по первоначальному подключению и настройке
ZyWALL.
Дополнительную информацию обо всех функциях устройства см. в Техническом руководстве.
Вам потребуются учетные данные для подключения к Интернету.
Данное руководство включает следующие разделы.
1 Подключение оборудования
2 Доступ к Web-конфигуратору
3 Режим межсетевого моста
4 Настройка доступа в Интернет и регистрация
изделия
5 DNS
6 Трансляция сетевых адресов
7 Межсетевой экран
8 Настройка правил виртуальной частной сети
(VPN)
9 Поиск и устранение неисправностей
РУССКИЙ
98
1 Подключение оборудования
Вам потребуется следующее оборудование.
Для подключения оборудования выполните следующие действия.
1 Для подключения портов LAN/DMZ к компьютеру используется кабель Ethernet. Если в Web-
конфигураторе эти порты настроены как порты DMZ в окне LAN или DMZ, для подключения
общедоступных серверов (web-сервер, почтовый сервер, FTP-сервер и др.) к портам LAN/DMZ
можно также использовать кабель Ethernet.
ZyWALL Компьютер Кабели Ethernet
Адаптер питания
РУССКИЙ
99
2 С помощью другого кабеля Ethernet подключите порт WAN в розетку Ethernet, с которой имеется
доступ в Интернет.
3 Установите карту расширения ZyWALL Turbo, чтобы использовать функции защиты от вирусов и IDP,
или установите беспроводной адаптер для подключения к беспроводной сети. Дополнительную
информацию по карте расширения см. в руководстве по ZyWALL Turbo. Информацию по установке
беспроводной сетевой карты см. в Техническом руководстве.
4 Подключите разъем питания на задней панели к розетке сети электропитания с помощью адаптера
питания, входящего в комплект поставки.
5 Посмотрите на переднюю панель. Светодиод PWR горит. Светодиод SYS мигает, пока выполняется
тестирование системы и затем, если тестирование прошло успешно, горит постоянно. Светодиоды
ACT, CARD, LAN/DMZ и WAN горят, если правильно выполнены соответствующие соединения.
2 Доступ к Web-конфигуратору
В этом разделе описывается настройка интерфейса WAN для доступа в Интернет.
1 Запустите Web-обозреватель. Введите адрес
192.168.1.1 (IP-адрес ZyWALL по умолчанию).
Если окно регистрации не отображается, см.
раздел Раздел 9.1 для установки IP-адреса
компьютера.
2 Щелкните Login (Вход) (пароль по умолчанию
1234 уже введен).
РУССКИЙ
100
5 Открывается окно HOME (ДОМАШНЯЯ СТРАНИЦА).
По умолчанию в ZyWALL установлен режим маршрутизатора. Если вы хотите использовать функции
маршрутизации, такие как NAT, DHCP и VPN, переходите к следующему шагу.
Если ZyWALL будет использоваться в качестве прозрачного межсетевого экрана, переходите к
Раздел 3.
3 Измените пароль по умолчанию, введя новый
пароль и щелкнув по кнопке Apply
(Применить).
4 Щелкните по кнопке Apply (Применить), чтобы
заменить цифровой сертификат ZyWALL по
умолчанию.
РУССКИЙ
101
3 Режим межсетевого моста
Если в ZyWALL установлен режим межсетевого моста, устройство функционирует как прозрачный
межсетевой экран. Для установки режима межсетевого моста ZyWALL выполните следующие действия.
6 Проверьте таблицу
Network Status
(Статус сети). Если
статус порта WAN не
Down (не
подключен) и
установлен IP-адрес,
см. Раздел 5.
Если статус порта
WAN отображается
как Down (Не
подключен) или
отсутствует IP-адрес,
щелкните Internet
Access (Доступ в
Интернет) и
используйте Раздел 4
для настройки порта
WAN.
РУССКИЙ
102
4 Настройка доступа в Интернет и регистрация изделия
1 В окне HOME (ДОМАШНЯЯ СТРАНИЦА) щелкните Internet Access (Доступ в Интернет), чтобы
запустить Мастер настройки доступа в Интернет.
Введите учетные данные для подключения к Интернету.
Если вам назначен статический IP-адрес, выберите Static (Статический) в раскрывающемся списке IP
Address Assignment (Назначение IP-адреса) и введите предоставленные вам параметры.
ПРИМЕЧАНИЕ: Заполняемые поля могут различаться в зависимости значения, установленного
в поле Encapsulation (Инкапсуляция). Введите параметры, предоставленные
Интернет-провайдером или сетевым администратором.
По окончании щелкните Apply (Применить).
1 В Панели навигации
щелкните
MAINTENANCE
(ОБСЛУЖИВАНИЕ) и
затем Device Mode
(Режим устройства).
2 Выберите Bridge (Мост)
и установите
статический IP-адрес,
маску подсети и IP-адрес
шлюза для интерфейсов
LAN, WAN, DMZ и
WLAN.
3 Щелкните Apply
(Применить). ZyWALL
перезагрузится.
Если имеются серверы,
которые должны быть
доступны из глобальной
сети, см. Раздел 5.
РУССКИЙ
103
PPP поверх Ethernet или инкапсуляция PPTP
Выберите Nailed-Up (Постоянное), если вы хотите иметь постоянное соединение (такое соединение
может быть достаточно дорогим, если Интернет-провайдер берет плату за время использования
Интернет, а не использует установленный месячный тариф).
Чтобы не поддерживать постоянное соединение, введите интервал времени простоя (в секундах) в
поле Idle Timeout (Время простоя).
Инкапсуляция Ethernet
Настройте службу Roadrunner с помощью окон
WAN в разделе NETWORK (СЕТЬ) (закладка
WAN).
РУССКИЙ
104
2 Щелкните Next (Далее) для отображения
окна, которое используется для
регистрации ZyWALL на сайте
myZyXEL.com (центр обслуживания ZyXEL)
и активирования фильтрации контента,
защиты от спама, защиты от вирусов и
испытательных версии приложений IDP. В
другом случае, щелкните Skip
(Пропустить) и затем Close (Закрыть) для
завершения настройки доступа в Интернет.
ПРИМЕЧАНИЕ: Прежде чем активировать подписку на защиту от вирусов и IDP, установите
ZyWALL Turbo Card.
При установке или извлечении карты ZyWALL Turbo Card отключите питание
ZyWALL.
3 Если вы уже регистрировались на сайте
myZyXEL.com, выберите Existing
myZyXEL.com account (Существующие
учетные данные myZyXEL.com) и
введите параметры учетных данных. В
другом случае, выберите New
myZyXEL.com account (Новые учетные
данные myZyXEL.com) и заполните
поля, расположенные ниже, для
создания новых учетных данных и
регистрации ZyWALL. Щелкните по
кнопке Next (Далее).
4 Подождите, пока завершится процесс
регистрации.
РУССКИЙ
105
5 Если регистрация не выполнена, появляется
следующее окно. Щелкните Return
(Вернуться) для возврата к окну Device
Registration (Регистрация устройства) и
проверьте настройки.
6 Щелкните Close (Закрыть), чтобы
закрыть окно Мастера после выполнения
регистрации и активирования служб.
ПРИМЕЧАНИЕ: Для активации
стандартной службы с
номером PIN вашей
карточки (лицензионный
ключ) используется окно
REGISTRATION Service
(Служба РЕГИСТРАЦИИ). Подробнее см. в Техническом руководстве.
5 DMZ
DMZ (DeMilitarized Zone - демилитаризованная зона) позволяет внешним пользователям обращаться к
общедоступным серверам (web-север, почтовый сервер, FTP-сервер и др.) и обеспечивает защиту
серверов посредством межсетевого экрана от внешних атак DoS (Denial of Service - отказ от
обслуживания).
В отличие от локальной сети, ZyWALL не назначает компьютерам, подключенным к портам DMZ,
конфигурацию TCP/IP с помощью DHCP. Назначьте компьютерам статический IP-адрес (в той же
подсети, что и IP-адрес порта DMZ) и адреса серверов DNS. IP-адрес порта DMZ в ZyWALL
используется в качестве шлюза по умолчанию.
Для настройки DMZ, если ZyWALL находится в режиме маршрутизации, выполните следующее.
ПРИМЕЧАНИЕ: Настройка DMZ в режиме межсетевого моста не требуется, см. далее Раздел 7.
РУССКИЙ
106
1 В Панели навигации щелкните NETWORK (СЕТЬ), затем DMZ.
6 NAT
NAT (Network Address Translation - трансляция сетевых адресов NAT, RFC 1631) выполняет
преобразование IP-адреса одной сети в отличный IP-адрес другой сети. Окна NAT Address Mapping
(Преобразование адресов NAT) используются для настройки ZyWALL на преобразование нескольких
общедоступных IP-адресов в частные IP-адреса вашей локальной сети (или DMZ).
2 Введите IP-адрес и маску подсети для
интерфейса DMZ.
Если используется частный IP-адрес для DMZ, то
чтобы сделать серверы доступными для всех
пользователей, необходимо использовать NAT
(см. Раздел 6).
Общедоступный IP-адрес должен находиться в
подсети, отличной от общедоступного IP-адреса
порта WAN. Если функция NAT для
общедоступных IP-адресов для DMZ не
настроена, ZyWALL направляет трафик на
общедоступные IP-адреса в DMZ без
применения NAT. Это используется для хост-
серверов с приложениями, несовместимыми с
NAT.
3 Щелкните Apply (Применить).
4 По умолчанию порты LAN/DMZ с 1-го по 4-ый
являются портами локальной сети. Чтобы
настроить порт как DMZ, щелкните закладку Port
Roles (Ролевые имена портов), установите
переключатель рядом с DMZ и щелкните Apply
(Применить).
РУССКИЙ
107
В следующем примере разрешается доступ из глобальной сети к серверу HTTP (web-сервер) в DMZ.
Этот сервер имеет частный IP-адрес 10.0.0.20.
7 Межсетевой экран
ZyWALL можно использовать, не выполняя настройку межсетевого экрана.
Параметры межсетевого экрана ZyWALL предустановлены так, чтобы обеспечивать защиту локальной
сети от атак из сети Интернет. По умолчанию трафик в локальную сеть не пропускается, пока сначала
от нее не поступит запрос. ZyWALL разрешает доступ к DMZ из глобальной сети или локальной сети, но
блокирует трафик от DMZ в локальную сеть.
Если ZyWALL находится в режиме маршрутизации, переходите к следующему разделу. Для настройки
режима межсетевого моста см. Раздел 9.
1 В Панели навигации щелкните
ADVANCED (ДОПОЛНИТЕЛЬНО),
затем NAT и затем Port Forwarding
(Переадресация портов).
2 Установите флажок Active
(Включить).
3 Введите имя правила.
4 Введите номер порта, который
используется службой.
5 Введите IP-адрес HTTP-сервера.
6 Щелкните Apply (Применить).
РУССКИЙ
108
8 Настройка правил виртуальной частной сети (VPN)
Туннель VPN (Virtual Private
Network - виртуальная
частная сеть) обеспечивает
защищенное соединение к
другому компьютеру или
сети.
Стратегия шлюза определяет
маршрутизаторы IPSec на
каждом конце туннеля VPN.
Сетевая политика
определяет устройства (за
маршрутизаторами IPSec),
которые могут использовать туннель VPN.
Следующая схема объясняет основные поля в окнах Мастера.
1 Щелкните VPN в окне HOME (ДОМАШНЯЯ СТРАНИЦА) (чтобы увидеть эту ссылку, возможно экран
потребуется прокрутить вниз), чтобы открыть Мастер настройки VPN.
РУССКИЙ
109
ПРИМЕЧАНИЕ: Если щелкнуть Back (Назад), настройки не сохраняются.
2 Это окно используется для настройки
стратегии шлюза.
Name (Имя): Введите имя для идентификации
стратегии шлюза.
Remote Gateway Address (Адрес удаленного
шлюза): Введите IP-адрес или доменное имя
удаленного маршрутизатора IPSec.
3 Это окно используется для настройки политики
сети.
Флажок Active (Включить) должен быть
установлен.
Name (Имя): Введите имя для идентификации
политики сети.
Выберите Single (Один) и введите IP-адрес.
Выберите Range IP (Диапазон IP) и введите
начальный и конечный IP адреса для конкретного
диапазона IP-адресов.
Выберите Subnet (Подсеть) и введите IP-адрес и
маску подсети для определения IP-адресов в
сети по маске подсети.
РУССКИЙ
110
ПРИМЕЧАНИЕ: Убедитесь, что удаленный маршрутизатор IPSec использует те же настройки
безопасности, что будут настроены в следующих двух окнах.
Режим согласования: Выберите Main Mode (Основной режим) для защиты конфиденциальности.
Выберите Aggressive Mode (Рискованный режим), чтобы разрешить множество входящих
подключений с динамическими IP-адресами и различными паролями.
ПРИМЕЧАНИЕ: Несколько безопасных соединений, подключаемых через шлюз системы
безопасности должны иметь одинаковый режим согласования.
Encryption Algorithm (Алгоритм шифрования) Выберите 3DES или AES для более надежного (или
менее) шифрования.
Authentication Algorithm (Алгоритм аутентификации) Выберите MD5 для минимального уровня
безопасности или SHA-1 для максимального.
Key Group (Ключевая группа): Выберите DH2 для минимального уровня безопасности.
SA Life Time (Время существования защищенного соединения): Установите, как часто ZyWALL
выполняет согласование защищенного соединения по протоколу IKE (минимум 180 секунд). Малое
время соединения увеличивает уровень безопасности, но при процедуре согласования туннель VPN
временно не доступен.
Pre-Shared Key (Предварительно согласованный ключ): Используется от 8 до 31 символа ASCII с
учетом регистра или от 16 до 62 шестнадцатеричных символов ("0-9", "A-F"). Перед
шестнадцатеричным ключом введите "0x” (ноль x), эти символы не считаются частью ключа из 16 - 62
символов.
Encapsulation Mode (Режим инкапсуляции): Режим Tunnel (Туннель) совместим с NAT, режим
Transport (Транспорт) не совместим.
IPSec Protocol (Протокол IPSec): ESP совместим с NAT, AH не совместим.
Perfect Forward Secrecy (PFS) (Идеальная прямая безопасность): None (Нет) позволяет быструю
настройку IPSec, но DH1 и DH2 повышают уровень безопасности.
РУССКИЙ
111
4 Это окно используется для настройки
параметров туннеля IKE (Internet Key Exchange
- протокол обмена ключами).
5 Это окно используется для настройки
параметров IPSec.
6 Проверьте настройки VPN. Щелкните Finish
(Готово) для сохранения настроек.
7 В последнем окне щелкните Close (Закрыть)
для завершения работы Мастера настройки
VPN. Для включения правила VPN и
установления соединения VPN переходите к
следующему разделу.
РУССКИЙ
112
8.1 Использование соединения VPN
Туннели VPN используются для защищенной отправки и поиска файлов, а также разрешения
удаленного доступа к корпоративным сетям, web-серверам и почтовым серверам. Эти службы будут
работать так, как если бы вы находились в офисе, а не подключались через Интернет.
Например, правило VPN “test” разрешает
защищенный доступ к web-серверу в удаленной
корпоративной локальной сети. Введите IP-адрес
сервера (10.0.0.23 в данном примере) в поле URL
вашего браузера. ZyWALL автоматически создаст
туннель VPN, когда вы попытаетесь его
использовать.
В Панели навигации щелкните SECURITY
(БЕЗОПАСНОСТЬ), затем VPN и затем закладку
SA Monitor (Монитор защищенного соединения)
для отображения списка подключенных туннелей
VPN (здесь установлен туннель VPN с именем
“test”).
9 Поиск и устранение неисправностей
Неисправность Способы устранения
Не горит ни один
светодиод.
Убедитесь, что адаптер питания подключен к ZyWALL и к соответствующему источнику
питания. Проверьте кабельные соединения.
Если светодиоды все еще не горят, возможно, существует аппаратная неисправность.
В этом случае следует связаться с поставщиком.
РУССКИЙ
113
9.1 Установка IP-адреса компьютера
В этом разделе описывается, как настроить компьютер на получение IP-адреса в операционной
системе Windows 2000, Windows NT и Windows XP. Выполнение этой операции гарантирует, что
компьютер сможет взаимодействовать с ZyWALL.
1 В Windows XP щелкните Start (Пуск), Control Panel (Панель управления).
В Windows 2000/NT щелкните Start (Пуск), Settings (Настройка), Control Panel (Панель управления).
2 В Windows XP щелкните Network Connections (Сетевые подключения).
В Windows 2000/NT щелкните Network and Dial-up Connections (Сеть и удаленный доступ к сети).
Отсутствует
доступ к ZyWALL
из локальной
сети.
Проверьте кабельное соединение между ZyWALL и компьютером или концентратором.
Подробнее см. Раздел 1.
Протестируйте соединение ZyWALL с сетевым компьютером с помощью команды
"ping". Убедитесь, что в компьютере установлена карта Ethernet и она работает
нормально.
В компьютере щелкните Start (Пуск), (All) Programs ((Все) программы), Accessories
(Стандартные) и затем Command Prompt (Командная строка). В окне Command
Prompt (Командная строка) введите "ping", затем IP-адрес ZyWALL в локальной сети
(по умолчанию 192.168.1.1) и нажмите [ENTER]. ZyWALL должен ответить. В другом
случае, см. Раздел 9.1.
Если вы забыли пароль ZyWALL, нажмите кнопку RESET. Нажимайте кнопку в течение
10 секунд (или пока светодиод PWR не начнет мигать), затем отпустите кнопку. Эта
операция возвращает параметры ZyWALL к заводским настройкам по умолчанию
(пароль - 1234, IP-адрес в локальной сети - 192.168.1.1 и т. д.; подробнее см. в
Техническом руководстве).
Если вы забыли IP-адрес ZyWALL в локальной или глобальной сети, можно посмотреть
IP-адрес в системной консоли при подключении через консольный порт. Подключите
компьютер к порту CONSOLE с помощью консольного кабеля. На вашем компьютере
должна быть установлена коммуникационная программа эмуляции терминала
(например, HyperTerminal) с настроенной эмуляцией терминала VT100, без контроля
четности, 8 бит данных, 1 стоп-бит, без управления потоком данных и скоростью порта
9600 бит/с.
Невозможно
получить доступ
в Интернет.
Проверьте соединение между ZyWALL и розеткой Ethernet, с которой имеется доступ в
Интернет. Убедитесь, что устройство шлюза Интернет (например, модем DSL) работает
нормально.
В Панели навигации щелкните WAN для проверки параметров.
Невозможно
установить
соединение VPN.
Убедитесь, что ZyWALL и удаленный маршрутизатор IPSec используют одинаковые
настройки VPN. В Панели навигации щелкните VPN для дополнительных настроек.
Перейдите на какой-нибудь Web-сайт, чтобы проверить подключение к Интернету.
Неисправность Способы устранения
РУССКИЙ
114
3 Щелкните правой кнопкой мыши Local Area Connection (Подключение по локальной сети) и
затем Properties (Свойства).
4 Выберите Internet Protocol (TCP/IP) (Протокол Интернета (TCP/IP)) (на закладке General (Общие)
в WinXP) и щелкните Properties (Свойства).
Порядок просмотра сертификата(ов) на изделие
1 Перейдите на сайт www.zyxel.ru.
2 Выберите изделие из раскрывающегося списка на домашней странице ZyXEL для перехода на
страницу, посвященную этому изделию.
3 Выберите сертификат для просмотра.
5 Откроется окно Internet Protocol TCP/IP Properties
(Свойства: Протокол Интернета (TCP/IP)
(закладка General (Общие) в Windows XP).
Выберите Obtain an IP address automatically
(Получать IP-адрес автоматически) и Obtain DNS
server address automatically (Получать адрес
сервера DNS автоматически).
6 Щелкните OK, чтобы закрыть окно Internet Protocol
(TCP/IP) Properties (Свойства: Протокол
Интернета (TCP/IP)).
7 Щелкните Close (Закрыть) (OK в Windows 2000/
NT), чтобы закрыть окно Local Area Connection
Properties (Свойства подключения по локальной
сети).
8 Закройте окно Network Connections (Сетевые
подключения).
/