ZyWALL 2 Plus Skrócona instrukcja obsługi Wersja 4.00 4/2006 Edycja 1-1 -
Informacje ogólne ZyWALL 2 Plus to firewall z funkcjami VPN, zarządzania pasmem, filtrowania treści i wieloma innymi. MoŜna działać jako transparentny firewall, bez konieczności ponownej konfiguracji sieci i ustawień routingu. Niniejszy przewodnik omawia wstępne podłączenie i konfigurację, czyli czynności niezbędne do uruchomienia urządzenia ZyWALL w sieci. Więcej informacji na temat wszystkich funkcji znajduje się w Podręczniku uŝytkownika. Podczas konfiguracji konieczne mogą być parametry dostępu do Internetu. Niniejszy przewodnik został podzielony na następujące sekcje. 1. Podłączenia sprzętowe 2. Dostęp do aplikacji Web Configurator 3. Tryb mostkowania 4. Konfiguracja dostępu do Internetu i rejestracja produktu 5. NAT 6. Firewall 7. Konfiguracja zasad VPN 8. Rozwiązywanie problemów - 2 -
1 Połączenia sprzętowe Niezbędne są następujące elementy: ZyWALL Komputer Przewody Zasilacz Ethernet Przed pierwszym uruchomieniem wykonaj następujące połączenia sprzętowe: 1. UŜyj przewodu Ethernet, aby podłączyć komputer do portu LAN. 2. Za pomocą drugiego przewodu Ethernet podłącz port WAN do gniazdka Ethernet z dostępem do Internetu. Uwaga: Do podłączenia do komputera portu CONSOLE naleŝy uŝyć niebieskiego przewodu konsolowego. Jeśli chcesz podłączyć modem analogowy do portu DIAL BACKUP, naleŝy uŝyć czarnego przewodu telefonicznego. - 3 -
3. Za pomocą znajdującego się w zestawie zasilacza podłącz złącze zasilania (na tylnym panelu) do gniazdka elektrycznego. 4. Przyjrzyj się diodom LED na panelu przednim. Włączy się dioda PWR. Diody ACT, LAN i WAN włączą się, jeśli odpowiednie połączenia zostały właściwie wykonane. 2 Dostęp do aplikacji Web Configurator Niniejsza sekcja opisuje konfigurację interfejsu WAN w celu uzyskania dostępu do Internetu. 1. Uruchom przeglądarkę. Wpisz adres 192.168.1.1 (domyślny adres IP urządzenia ZyWALL). Jeśli nie pojawi się ekran logowania, zapoznaj się z sekcją 7.1, która opisuje konfigurację adresu IP w komputerze. 2. Kliknij Login (domyślne hasło 1234 jest juŝ wpisane). - 4 -
3. Zmień hasło logowania, wprowadzając nowe i klikając Apply. 4. Kliknij Apply, aby zastąpić domyślny certyfikat cyfrowy urządzenia ZyWALL. 5. Otworzy się ekran HOME. Urządzenie ZyWALL domyślnie działa w trybie routera. Przejdź do następnego kroku, jeśli chcesz korzystać z funkcji routera, takich jak NAT, DHCP i VPN. Przejdź do sekcji 3, jeśli wolisz, Ŝeby urządzenie ZyWALL działało jako transparentny firewall. 6. Sprawdź tabelę Network Status. Jeśli pole statusu WAN nie ma wartości Down i wyświetla się adres IP, przejdź do sekcji 5. Jeśli pole statusu WAN ma wartość Down (lub nie ma adresu IP), kliknij Internet Access i przejdź do sekcji 4, aby skonfigurować WAN. - 5 -
3 Tryb mostkowania (Bridge Mode) Gdy przełączysz urządzenie w tryb mostkowania, zaczyna działać jako transparentny firewall. Wykonaj następujące czynności, aby przestawić urządzenie w tryb mostkowania. 1. Na pasku nawigacyjnym kliknij MAINTENANCE, a następnie Device Mode. 2. Wybierz Bridge i skonfiguruj (statyczny) adres IP, maskę podsieci i adres IP bramy. Ustawienia te dotyczą interfejsów LAN i WAN urządzenia ZyWALL. 3. Kliknij Apply. Urządzenie ZyWALL uruchomi się ponownie. - 6 -
4 Konfiguracja dostępu do Internetu i rejestracja produktu 1. Kliknij Internet Access na ekranie HOME, aby otworzyć kreatora dostępu do Internetu. Wprowadź dokładnie takie ustawienia, jakie podał Ci dostawca Internetu. Jeśli dostawca podał adres IP, którego naleŝy uŝywać, wybierz Static w polu rozwijanym IP Address Assignment i wpisz otrzymane informacje. Uwaga: Ekran róŝni się wyglądem w zaleŝności od tego, co wybrano w polu Encapsulation. Poszczególne pola naleŝy wypełnić zgodnie z informacjami otrzymanymi od dostawcy Internetu lub administratora sieci. Gdy skończysz, wciśnij Apply. - 7 -
Enkapsulacja Ethernet Skonfiguruj usługę Roadrunner na ekranach NETWORK WAN (uŝyj zakładki WAN). Enkapsulacja PPP over Ethernet lub PPTP Jeśli chcesz, Ŝeby połączenie było cały czas aktywne, wybierz opcję Nailed-Up (uwaga - moŝe się to okazać kosztowne, jeśli dostawca Internetu nalicza opłaty za wykorzystanie Internetu, a nie stosuje stałej opłaty). Jeśli nie chcesz, Ŝeby połączenie było cały czas aktywne, określ, po jakim czasie bezczynności ma się rozłączać (w sekundach). SłuŜy do tego opcja Idle Timeout. - 8 -
2. Kliknij Next, aby wyświetlić ekran, na którym moŝna zarejestrować urządzenie ZyWALL w serwisie myzyxel.com (internetowe centrum usługowe firmy ZyXEL) i bezpłatnie aktywować testową wersję aplikacji do filtrowania treści. Jeśli nie chcesz się zarejestrować, kliknij Skip, a następnie Close, co kończy proces konfiguracji dostępu do Internetu. 3. Jeśli masz juŝ konto w serwisie myzyxel.com, wybierz opcję Existing myzyxel.com account i wprowadź dane konta. W przeciwnym razie wybierz New myzyxel.com account i wypełnij pola w znajdującym się poniŝej formularzu, aby utworzyć nowe konto i zarejestrować urządzenie ZyWALL. Kliknij przycisk Next. - 9 -
4. Zaczekaj na zakończenie rejestracji. 5. Jeśli rejestracja nie powiedzie się, zobaczysz poniŝszy ekran. Kliknij Return, Ŝeby powrócić do ekranu Device Registration i zweryfikować swoje ustawienia. 6. Kliknij Close, Ŝeby opuścić ekran kreatora po zakończeniu rejestracji i aktywacji. Uwaga: Jeśli chcesz aktywować standardową usługę za pomocą swojego numeru icard PIN (klucz licencyjny), przejdź do ekranu REGISTRATION Service. Więcej szczegółów na ten temat znajduje się w Podręczniku uŝytkownika. - 10 -
5 Firewall MoŜesz korzystać z urządzenia ZyWALL bez konfigurowania firewalla. Firewall ZyWALL został fabrycznie skonfigurowany do ochrony sieci LAN przed atakami z Internetu. Przy ustawieniach domyślnych do sieci LAN nie będzie miał dostępu Ŝaden ruch, jeśli wcześniej z sieci LAN nie zostało wygenerowane Ŝądanie. Jeśli korzystasz z urządzenia ZyWALL w trybie routera, przejdź do następnej sekcji. Tryb mostkowania został opisany w sekcji 7. 6 Konfiguracja zasad VPN Tunel VPN (Virtual Private Network wirtualna sieć prywatna) oferuje bezpieczne połączenie do innego komputera lub sieci. Zasada bramy identyfikuje routery IPSec po obydwu stronach tunelu VPN. Zasada sieciowa określa, które urządzenia (za routerami IPSec) mogą korzystać z tunelu VPN. PoniŜszy schemat ułatwia zrozumienie najwaŝniejszych pól na ekranach kreatora. 1. Kliknij VPN na ekranie HOME (konieczne moŝe być przewinięcie strony), aby uruchomić kreatora VPN. - 11 -
Uwaga: Jeśli klikniesz Back, Twoje ustawienia nie zostaną zapisane. 2. UŜyj tego ekranu w celu skonfigurowania zasad bramy. Name: wprowadź nazwę, które określa daną zasadę bramy. Remote Gateway Address: wprowadź adres IP lub nazwę domeny zdalnego routera IPSec. 3. UŜyj tego ekranu w celu skonfigurowania zasad sieci. Pozostaw pole wyboru Active zaznaczone. Name: wprowadź nazwę, które określa daną zasadę sieci. Wybierz Single i wprowadź adres IP, jeśli chcesz wpisać pojedynczy adres IP. Wybierz Range IP i wprowadź początkowe oraz końcowe adresy IP, które określają konkretny przedział adresów IP. Wybierz Subnet i wprowadź numer IP oraz maskę podsieci, Ŝeby określić adresy IP w sieci wg ich maski podsieci. - 12 -
Uwaga: Pamiętaj, Ŝe zdalny router IPSec musi uŝywać takich samych ustawień zabezpieczeń, jakie skonfigurujesz na następnych dwóch ekranach. Negotiation Mode (tryb negocjacji): Wybierz Main Mode w celu ochrony toŝsamości. Wybierz Aggressive Mode, jeśli chcesz, Ŝeby więcej przychodzących połączeń z dynamicznych adresów IP uŝywało oddzielnych haseł. Uwaga: Poszczególne kanały SA (security association) łączące się przez bezpieczną bramę muszą uŝywać takiego samego trybu negocjacji. Encryption Algorithm (algorytm szyfrowania): wybierz 3DES lub AES. Druga opcja oferuje mocniejsze (i wolniejsze) szyfrowanie. Authentication Algorithm (algorytm uwierzytelniania): wybierz MD5 (minimalny poziom bezpieczeństwa) lub SHA-1 (wyŝszy poziom bezpieczeństwa). Key Group (grupa kluczy): wybierz opcję DH2, która oferuje lepsze bezpieczeństwo. SA Life Time (czas waŝności kanału SA): ustaw, jak często urządzenie ZyWALL będzie renegocjować parametry kanału IKE SA (minimum 180 sekund) Krótki czas waŝności kanału SA poprawia bezpieczeństwo, ale renegocjacja tymczasowo rozłącza tunel VPN. Pre-Shared Key (współuŝytkowany klucz): wpisz od 8 do 31 znaków ASCII (wielkość liter ma znaczenie) lub od 16 do 62 znaków szesnastkowych ("0-9", "A- F"). Klucze szesnastkowe muszą być poprzedzone ciągiem "0x" (zero x), który nie jest liczony jako fragment ciągu 16-62 znaków, tworzących klucz. Encapsulation Mode (tryb enkapsulacji): opcja Tunnel jest kompatybilna z mechanizmem NAT, opcja Transport nie jest. - 13 -
IPSec Protocol (protokół IPSec): opcja ESP jest kompatybilna z mechanizmem NAT, opcja AH nie jest. Perfect Forward Secrecy (PFS) (poufność doskonała): opcja None umoŝliwia szybsze zestawienie połączenia IPSec, ale opcje DH1 i DH2 są bezpieczniejsze. 4. Na tym ekranie skonfiguruj ustawienia tunelu IKE (Internet Key Exchange). 5. Na tym ekranie skonfiguruj ustawienia IPSec. - 14 -
6. Sprawdź swoje ustawienia VPN. Kliknij Finish, aby zapisać ustawienia. 7. Kliknij Close na ostatnim ekranie, aby zakończyć kreatora konfiguracji VPN. Przejdź do następnej sekcji, Ŝeby aktywować zasadę VPN i ustanowić połączenie VPN. - 15 -
6.1 UŜywanie połączenia VPN Za pomocą połączenia VPN moŝna bezpiecznie wysyłać i pobierać pliki, a takŝe zdalnie łączyć się z siecią korporacyjną, serwerami WWW i e-mail. Usługi działają tak, jak gdybyś pracował w biurze, a nie przez łącze internetowe. Przykładowo, reguła VPN test umoŝliwia bezpieczny dostęp do serwera WWW w zdalnej, korporacyjnej sieci LAN. Wpisz adres IP serwera (w tym przykładzie 10.0.0.23) w polu adresu przeglądarki. Urządzenie ZyWALL automatycznie tworzy tunel VPN, gdy spróbujesz z niego skorzystać. Kliknij na pasku nawigacyjnym SECURITY, VPN, a następnie zakładkę SA Monitor, Ŝeby wyświetlić listę podłączonych tuneli VPN (tunel VPN o nazwie test jest na tej liście). - 16 -
7 Rozwiązywanie problemów Problem śadna z diod LED nie włącza się Nie moŝna uzyskać dostępu do urządzenia ZyWALL z sieci LAN Nie moŝna uzyskać dostępu do Internetu Nie moŝna ustanowić połączenia VPN Rozwiązanie Upewnij się, Ŝe przewód zasilający jest podłączony do urządzenia ZyWALL i do właściwego źródła prądu. Sprawdź wszystkie kable. Jeśli wskaźniki LED nadal się nie zapalają, moŝe to świadczyć o problemie sprzętowym. NaleŜy skontaktować się ze sprzedawcą. Sprawdź przewód łączący urządzenie ZyWALL z komputerem lub przełącznikiem. Więcej szczegółów znajduje się w sekcji 1. Wyślij komendę ping do urządzenia ZyWALL z komputera w sieci LAN. NaleŜy sprawdzić, czy w komputerze zainstalowana jest karta Ethernet i czy działa ona prawidłowo. Kliknij przycisk Start, (Wszystkie) Programy, Akcesoria, a następnie Wiersz polecenia. W oknie Wiersz polecenia wpisz ping", spację oraz adres IP urządzenia ZyWALL w sieci LAN (domyślnie 192.168.1.1), po czym naciśnij klawisz [ENTER]. Urządzenie ZyWALL powinno odpowiedzieć. W przeciwnym razie zapoznaj się z sekcją 7.1. W razie zapomnienia hasła naleŝy uŝyć przycisku RESET. Przytrzymaj przycisk wciśnięty przez ok. 10 sekund (dopóki nie zacznie migać wskaźnik PWR), a następnie zwolnij go. Powoduje on przywrócenie ustawień fabrycznych (hasło 1234, adres IP LAN 192.168.1.1 itd.). Jeśli zapomniałeś adresu IP urządzenia ZyWALL w sieci LAN lub WAN, moŝesz go sprawdzić w SMT za pomocą portu konsoli. Podłącz komputer do portu CONSOLE za pomocą przewodu konsoli. Na komputerze powinien być zainstalowany program komunikacyjny do emulacji terminala (np. HyperTerminal), ustawiony w tryb emulacji terminalu VT100, bez parzystości, 8 bitów danych, 1 bit stop, brak kontroli przepływu i szybkość portu 9600 b/s. Sprawdź połączenie urządzenia ZyWALL z portem Ethernet, który ma dostęp do Internetu. Sprawdź, czy brama do Internetu (np. modem DSL) działa poprawnie. Kliknij WAN na pasku nawigacyjnym, aby sprawdzić swoje ustawienia. Sprawdź, czy ZyWALL i zdalny router IPSec uŝywają takich samych ustawień VPN. Kliknij VPN na pasku nawigacyjnym, aby skonfigurować ustawienia zaawansowane. Otwórz stronę WWW, Ŝeby sprawdzić, czy działa połączenie z Internetem. - 17 -
7.1 Konfiguracja adresu IP komputera Niniejsza sekcja pokazuje, w jaki sposób skonfigurować komputer z systemem Windows 2000, Windows NT i Windows XP, Ŝeby otrzymywał adres IP. Jest to niezbędne w celu nawiązania łączności między komputerem a urządzeniem ZyWALL. 1. W Windows XP kliknij przycisk Start i wybierz polecenie Panel sterowania. W Windows 2000/NT kliknij przycisk Start i wybierz polecenie Ustawienia/Panel sterowania. 2. W Panelu sterowania Windows XP kliknij dwukrotnie ikonę Połączenia sieciowe. W Panelu sterowania Windows 2000/NT kliknij dwukrotnie ikonę Połączenia sieciowe i telefoniczne. 3. Kliknij prawym przyciskiem myszy ikonę Połączenie lokalne i wybierz z menu polecenie Właściwości. 4. Zaznacz pozycję Protokół internetowy (TCP/IP) (na karcie Ogólne w Windows XP) i kliknij przycisk Właściwości. 5. Pojawi się okno Właściwości: Protokół internetowy (TCP/IP) (karta Ogólne w Windows XP). Zaznacz opcję Uzyskaj adres IP automatycznie oraz Uzyskaj adres serwera DNS automatycznie. 6. Kliknij przycisk OK, aby zamknąć okno Właściwości: Protokół TCP/IP. 7. Kliknij przycisk Zamknij (OK w Windows 2000/NT), aby zamknąć okno Właściwości: Połączenie lokalne. 8. Zamknij okno Połączenia sieciowe. Oglądanie certyfikatów produktu 1. Przejść pod adres www.zyxel.com. 2. Wybrać produkt z listy rozwijanej na stronie głównej firmy ZyXEL, aby przejść do tego strony tego produktu. 3. Kliknąć Ŝądany certyfikat, aby go obejrzeć. - 18 -
- 19 -