ZyWALL 2WG Internetowe urządzenie zabezpieczające Skrócona instrukcja obsługi Wersja 4.02 Edycja 1 12/2006 Copyright 2006 ZyXEL Communications Corporation. Wszystkie prawa zastrzeŝone
Informacje ogólne ZyWALL 2 WG to firewall z funkcjami VPN, zarządzania pasmem, filtrowania treści i wieloma innymi. MoŜe działać jako transparentny firewall, bez konieczności ponownej konfiguracji sieci i ustawień routingu. Gdy urządzenie ZyWALL działa w trybie routera, moŝna je równieŝ uzupełnić o kartę bezprzewodową 3G, dodając w ten sposób drugie łącze WAN. ZyWALL zwiększa bezpieczeństwo sieci, wprowadzając opcję zmiany roli portów z LAN na DMZ do wykorzystania z publicznie dostępnymi serwerami. Niniejszy przewodnik omawia wstępne podłączenie i konfiguracje, czyli czynności niezbędne do uruchomienia urządzenia ZyWALL w sieci. Więcej informacji na temat wszystkich funkcji znajduje się w Podręczniku uŝytkownika. Podczas konfiguracji konieczne mogą być parametry dostępu do Internetu. Niniejszy przewodnik został podzielony na następujące sekcje. 1. Połączenia sprzętowe 2. Dostęp do menu konfiguracji przez WWW 3. Tryb mostkowania 4. Konfiguracja dostępu do Internetu i rejestracja produktu 5. DNS 6. NAT 7. Firewall 8. Konfiguracja zasad VPN 9. Rozwiązywanie problemów 1 Połączenia sprzętowe Niezbędne są następujące elementy. ZyWALL Komputer Przewody Ethernet Zasilacz - 2 -
Przed pierwszym uruchomieniem wykonaj następujące połączenia sprzętowe: 1. UŜyj przewodu Ethernet, aby podłączyć komputer do portu LAN/DMZ. Jeśli konfigurujesz te porty jako porty DMZ na ekranie LAN lub DMZ w menu konfiguracji przez WWW, moŝesz równieŝ uŝyć przewodu Ethernet do podłączenia do nich publicznych serwerów (WWW, e-mail, FTP itd.). 2. Za pomocą drugiego przewodu Ethernet podłącz port WAN do gniazdka Ethernet z dostępem do Internetu. Do podłączenia do komputera portu CONSOLE naleŝy uŝyć niebieskiego przewodu konsolowego. Jeśli chcesz podłączyć modem analogowy do portu AUX, naleŝy uŝyć czarnego przewodu telefonicznego. 3. Wsuń bezprzewodową kartę LAN do gniazda na bocznej ściance, Ŝeby móc uŝywać bezprzewodowej sieci LAN. MoŜesz takŝe opcjonalnie dodać kartę bezprzewodową 3G, która umoŝliwia bezprzewodowy dostęp do Internetu przez sieć 3G. Zapoznaj się z Podręcznikiem uŝytkownika, aby uzyskać więcej informacji na temat instalowania bezprzewodowej karty LAN lub karty 3G. W momencie pisania niniejszej instrukcji, jedyną bezprzewodową kartą 3G zgodną z urządzeniem ZyWALL był model Sierra AC850/860. 4. Za pomocą znajdującego się w zestawie zasilacza podłącz złącze zasilania (na tylnym panelu) do gniazdka elektrycznego. 5. Przyjrzyj się diodom LED na panelu przednim. Włączy się dioda PWR. Diody CARD, LAN/DMZ i WAN włączą się, jeśli odpowiednie połączenia zostały właściwie wykonane. Jeśli którakolwiek z tych diod nie będzie się świecić, sprawdź połączenia i upewnij się, czy kable nie są uszkodzone. Upewnij się, Ŝe przewód zasilający jest podłączony do urządzenia ZyWALL i do właściwego źródła prądu. Sprawdź, czy zasilanie jest włączone. Jeśli to nie pomoŝe, skontaktuj się ze swoim dostawcą. - 3 -
2 Dostęp do menu konfiguracji przez WWW Niniejsza sekcja opisuje konfigurację interfejsu WAN 1 w celu uzyskania dostępu do Internetu. 1. Uruchom przeglądarkę. Wpisz adres 192.168.1.1 (domyślny adres IP urządzenia ZyWALL). 2. Kliknij Login (domyślne hasło 1234 jest juŝ wpisane). Jeśli nie pojawi się ekran logowania, sprawdź ustawienia zabezpieczeń przeglądarki i upewnij się, Ŝe karta sieciowa w komputerze jest zainstalowana i działa poprawnie. Komputer powinien być skonfigurowany w taki sposób, aby automatycznie pobierać adres IP z serwera DHCP. Więcej informacji znajduje się w części Konfiguracja adresu IP komputera. 3. Zmień hasło logowania, wprowadzając nowe i klikając Apply. - 4 -
4. Kliknij Apply, aby zastąpić domyślny certyfikat cyfrowy urządzenia ZyWALL. Jeśli zmienisz hasło, a następnie je zapomnisz, urządzenie ZyWALL musi zostać przywrócone do ustawień domyślnych (hasło 1234, adres IP w sieci LAN 192.168.1.1, itd.). Wciśnij i przytrzymaj przycisk RESET (na tylnym panelu), aŝ zacznie migać wskaźnik PWR, a następnie zwolnij go. 5. Otworzy się ekran HOME. Urządzenie ZyWALL domyślnie działa w trybie routera. Przejdź do następnego kroku, jeśli chcesz korzystać z funkcji routera, takich jak NAT, DHCP i VPN. Przejdź do sekcji 3, jeśli wolisz, Ŝeby urządzenie ZyWALL działało jako transparentny firewall. 6. Sprawdź tabelę Network Status. Jeśli dla sieci WAN 1 nie wyświetla się status Down, a podany jest adres IP, przejdź do sekcji 5. Jeśli dla sieci WAN 1 status ma wartość Down (lub nie ma adresu IP), kliknij ikonę Wizard i zapoznaj się z sekcją 4, aby skonfigurować połączenie WAN 1. Połączenie WAN 2 moŝna w razie potrzeby skonfigurować na ekranach NETWORK WAN. UmoŜliwiają one równieŝ określenie równowaŝenia obciąŝeń między dwoma połączeniami WAN. - 5 -
3 Tryb mostkowania Gdy przełączysz urządzenie w tryb mostkowania, zaczyna ono działać jako transparentny firewall. Wykonaj następujące czynności, aby przestawić urządzenie w tryb mostkowania. 1. Na pasku nawigacyjnym kliknij MAINTENANCE, a następnie Device Mode. 2. Wybierz Bridge i skonfiguruj (statyczny) adres IP, maskę podsieci i adres IP bramy dla interfejsów LAN, WAN, DMZ i WLAN urządzenia ZyWALL. 3. Kliknij Apply. Urządzenie ZyWALL uruchomi się ponownie. Przejdź do sekcji 5 jeśli masz serwery, do których musi być dostęp z sieci WAN. 4 Konfiguracja dostępu do Internetu i rejestracja produktu 1. Kliknij ikonę Wizard na ekranie HOME, a następnie odnośnik Internet Access Setup, który otwiera kreatora konfiguracji dostępu do Internetu. Wprowadź dokładnie takie ustawienia dostępu, jakie podał Ci dostawca Internetu. Jeśli dostawca podał adres IP, którego naleŝy uŝywać, wybierz Static w polu rozwijanym IP Address Assignment i wpisz otrzymane informacje. Ekran róŝni się wyglądem w zaleŝności od tego, co wybrano w polu Encapsulation. Poszczególne pola naleŝy wypełnić zgodnie z informacjami otrzymanymi od dostawcy Internetu lub administratora sieci. Gdy skończysz, wciśnij Apply. Enkapsulacja Ethernetu Skonfiguruj usługę Roadrunner na ekranach NETWORK WAN (uŝyj zakładki WAN). - 6 -
Enkapsulacja PPP over Ethernet lub PPTP Jeśli chcesz, Ŝeby połączenie było cały czas aktywne, wybierz opcję Nailed-Up (uwaga - moŝe się to okazać kosztowne, jeśli dostawca Internetu nalicza opłaty za wykorzystanie Internetu, a nie stosuje stałej opłaty). Jeśli nie chcesz, Ŝeby połączenie było cały czas aktywne, określ, po jakim czasie bezczynności ma się rozłączać (w sekundach). SłuŜy do tego opcja Idle Timeout. 2. Kliknij Next, aby wyświetlić ekran, na którym moŝna zarejestrować urządzenie ZyWALL w serwisie myzyxel.com (internetowe centrum usługowe firmy ZyXEL) i bezpłatnie aktywować testową wersję aplikacji do filtrowania treści. Jeśli nie chcesz się rejestrować, kliknij Skip, a następnie Close, co kończy proces konfiguracji dostępu do Internetu. - 7 -
3. Jeśli masz juŝ konto w serwisie myzyxel.com, wybierz opcję Existing myzyxel.com account i wprowadź dane konta. W przeciwnym razie wybierz New myzyxel.com account i wypełnij pola w znajdującym się poniŝej formularzu, aby utworzyć nowe konto i zarejestrować urządzenie ZyWALL. Kliknij przycisk Next. 4. Zaczekaj na zakończenie rejestracji. - 8 -
5. Jeśli rejestracja nie powiedzie się, zobaczysz poniŝszy ekran. Kliknij Return, Ŝeby powrócić do ekranu Device Registration i zweryfikować swoje ustawienia. 6. Kliknij Close, Ŝeby opuścić ekran kreatora po zakończeniu rejestracji i aktywacji. Jeśli chcesz aktywować standardową usługę za pomocą swojego numeru icard PIN (klucz licencyjny), przejdź do ekranu REGISTRATION Service. Więcej szczegółów na ten temat znajduje się w Podręczniku uŝytkownika. Jeśli nie moŝesz uzyskać dostępu do Internetu przez interfejs WAN 1, sprawdź połączenie między urządzeniem ZyWALL a gniazdkiem Ethernet, które ma dostęp do Internetu. Sprawdź, czy brama do Internetu (np. modem DSL) działa poprawnie. Kliknij WAN na pasku nawigacyjnym, aby sprawdzić swoje ustawienia. 5 DMZ Dzięki strefie zdemilitaryzowanej (DMZ) publiczne serwery (WWW, e-mail, FTP itd.) mogą być widoczne dla świata zewnętrznego, a jednocześnie wciąŝ korzystać z oferowanej przez firewall ochrony przed atakami typu DoS (Denial of Service). UŜytkownik moŝe przypisać komputerom podłączonym do portów DMZ konfigurację TCP/IP za pomocą DHCP. Inną moŝliwością jest przypisanie komputerom statycznych adresów IP (w tej samej podsieci, do której naleŝą adresy IP portów DMZ) i adresów serwera DNS. NaleŜy uŝyć adresu IP portu DMZ w urządzeniu ZyWALL jako domyślnej bramy. Jeśli urządzenie ZyWALL jest w trybie routingu, konfigurację DMZ naleŝy przeprowadzić w następujący sposób. - 9 -
Uwaga: w trybie mostkowania nie trzeba konfigurować DMZ przejdź do sekcji 7. 1. Na pasku nawigacyjnym kliknij NETWORK > DMZ. 2. Określ adres IP i maskę podsieci interfejsu DMZ. Jeśli do portu DMZ przypisany został prywatny adres IP, naleŝy skorzystać z mechanizmu NAT, Ŝeby serwery były publicznie dostępne (zobacz sekcję 6). Publiczny adres IP musi być w innej podsieci niŝ publiczny adres IP portu WAN. Jeśli nie skonfigurujesz mechanizmu NAT dla publicznych adresów IP na portach DMZ, urządzenie ZyWALL będzie kierować ruch do publicznych adresów IP portów DMZ bez wykonywania operacji NAT. MoŜe to być przydatne przy utrzymywaniu serwerów, na których działają aplikacje niekompatybilne z NAT. 3. Kliknij Apply. 4. W domyślnej konfiguracji, porty LAN/DMZ od 1 do 4 są ustawione jako porty LAN. Aby skonfigurować port jako DMZ, naleŝy kliknąć zakładkę Port Roles, zaznaczyć pole wyboru obok etykiety DMZ i kliknąć Apply. - 10 -
6 NAT Mechanizm NAT (Network Address Translation - NAT, RFC 1631) oznacza przetłumaczenie adresu IP w jednej sieci na inny adres IP w innej sieci. Ekrany NAT Address Mapping umoŝliwiają takie skonfigurowanie urządzenia ZyWALL, aby szereg publicznych adresów IP był tłumaczony na szereg prywatnych adresów IP w sieci LAN (lub DMZ). PoniŜszy przykład umoŝliwia dostęp z sieci podłączonej do portu WAN 1 do serwera HTTP podłączonego do portu DMZ. Serwer ma prywatny adres IP 10.0.0.20. 1. Na pasku nawigacyjnym kliknij ADVANCED, NAT, a następnie Port Forwarding. 2. Wybierz połączenie WAN (WAN 1), dla którego chcesz skonfigurować zasady przekazywania portów. 3. Zaznacz pole wyboru Active. 4. Wpisz nazwę zasady. 5. Wpisz nazwę portu, uŝywanego przez usługę. 6. Wpisz adres IP serwera HTTP. 7. Kliknij Apply. 7 Firewall MoŜesz korzystać z urządzenia ZyWALL bez konfigurowania firewalla. Firewall ZyWALL został fabrycznie skonfigurowany do ochrony sieci LAN przed atakami z Internetu. Przy ustawieniach domyślnych do sieci LAN nie będzie miał dostępu Ŝaden ruch, jeśli wcześniej z sieci LAN nie zostało wygenerowane Ŝądanie. ZyWALL umoŝliwia dostęp do DMZ z poziomu WAN lub LAN, ale blokuje ruch z DMZ do LAN. Jeśli korzystasz z urządzenia ZyWALL w trybie routera, przejdź do następnej sekcji. W trybie mostkowania, wstępna konfiguracja kończy się w tym momencie. - 11 -
8 Konfiguracja zasad VPN Tunel VPN (Virtual Private Network wirtualna sieć prywatna) oferuje bezpieczne połączenie do innego komputera lub sieci. Reguła bramy identyfikuje routery IPSec po obydwu stronach tunelu VPN. Reguła sieciowa określa, które urządzenia (za routerami IPSec) mogą korzystać z tunelu VPN. PoniŜszy schemat ułatwia zrozumienie najwaŝniejszych pól na ekranach kreatora. 1. Kliknij ikonę Wizard na ekranie HOME, a następnie odnośnik VPN Setup, który otwiera kreatora konfiguracji VPN. Jeśli klikniesz Back, Twoje ustawienia nie zostaną zapisane. 2. UŜyj tego ekranu w celu skonfigurowania zasad bramy. Name: wprowadź nazwę, które określa daną zasadę bramy. Remote Gateway Address: wprowadź adres IP lub nazwę domeny zdalnego routera IPSec. - 12 -
3. UŜyj tego ekranu w celu skonfigurowania zasad sieci. Pozostaw pole wyboru Active zaznaczone. Name: wprowadź nazwę, które określa daną zasadę sieci. Wybierz Single i wprowadź adres IP, jeśli chcesz wpisać pojedynczy adres IP. Wybierz Range IP i wprowadź początkowe oraz końcowe adresy IP, które określają konkretny przedział adresów IP. Wybierz Subnet i wprowadź numer IP oraz maskę podsieci, Ŝeby określić adresy IP w sieci wg ich maski podsieci. Pamiętaj, Ŝe zdalny router IPSec musi uŝywać takich samych ustawień zabezpieczeń, jakie skonfigurujesz na następnych dwóch ekranach. Negotiation Mode (tryb negocjacji): Wybierz Main Mode w celu ochrony toŝsamości. Wybierz Aggressive Mode, jeśli chcesz, Ŝeby więcej przychodzących połączeń z dynamicznych adresów IP uŝywało oddzielnych haseł. Poszczególne kanały SA (security association) łączące się przez bezpieczną bramę muszą uŝywać takiego samego trybu negocjacji. Encryption Algorithm (algorytm szyfrowania): wybierz 3DES lub AES. Druga opcja oferuje mocniejsze (i wolniejsze) szyfrowanie. Authentication Algorithm (algorytm uwierzytelniania): wybierz MD5 (minimalny poziom bezpieczeństwa) lub SHA-1 (wyŝszy poziom bezpieczeństwa). Key Group (grupa kluczy): wybierz opcję DH2, która oferuje lepsze bezpieczeństwo. SA Life Time (czas waŝności kanału SA): ustaw, jak często urządzenie ZyWALL będzie renegocjować parametry kanału IKE SA (minimum 180 sekund). Krótki czas waŝności kanału SA poprawia bezpieczeństwo, ale renegocjacja tymczasowo rozłącza tunel VPN. Pre-Shared Key (współuŝytkowany klucz): wpisz od 8 do 31 znaków ASCII (wielkość liter ma znaczenie) lub od 16 do 62 znaków szesnastkowych ( 0-9, A-F ). Klucze szesnastkowe muszą być poprzedzone ciągiem "0x" (zero x), który nie jest liczony jako fragment ciągu 16-62 znaków, tworzących klucz. - 13 -
Encapsulation Mode (tryb enkapsulacji): opcja Tunnel jest kompatybilna z mechanizmem NAT, opcja Transport nie jest. IPSec Protocol (protokół IPSec): opcja ESP jest kompatybilna z mechanizmem NAT, opcja AH nie jest. Perfect Forward Secrecy (PFS) (poufność doskonała): opcja None umoŝliwia szybsze zestawienie połączenia IPSec, ale opcje DH1 i DH2 są bezpieczniejsze. 4. Na tym ekranie skonfiguruj ustawienia tunelu IKE (Internet Key Exchange). 5. Na tym ekranie skonfiguruj ustawienia IPSec. - 14 -
6. Sprawdź swoje ustawienia VPN. Kliknij Finish, aby zapisać ustawienia. 7. Kliknij Close na ostatnim ekranie, aby zakończyć kreatora konfiguracji VPN. Przejdź do następnej sekcji, Ŝeby aktywować zasadę VPN i ustanowić połączenie VPN. - 15 -
8.1 UŜywanie połączenia VPN Za pomocą połączenia VPN moŝna bezpiecznie wysyłać i pobierać pliki, a takŝe zdalnie łączyć się z siecią korporacyjną, serwerami WWW i e-mail. Usługi działają tak, jak gdybyś pracował w biurze, a nie przez łącze internetowe. Przykładowo, reguła VPN test umoŝliwia bezpieczny dostęp do serwera WWW w zdalnej, korporacyjnej sieci LAN. Wpisz adres IP serwera (w tym przykładzie 10.0.0.23) w polu adresu przeglądarki. Urządzenie ZyWALL automatycznie tworzy tunel VPN, gdy spróbujesz z niego skorzystać. Kliknij na pasku nawigacyjnym SECURITY > VPN, a następnie zakładkę SA Monitor, Ŝeby wyświetlić listę podłączonych tuneli VPN (tunel VPN o nazwie test jest na tej liście). Jeśli nie moŝesz ustanowić połączenia VPN, upewnij się, czy urządzenie ZyWALL i zdalny router IPSec uŝywają tych samych ustawień VPN. Kliknij VPN na pasku nawigacyjnym, aby skonfigurować ustawienia zaawansowane. Otwórz stronę WWW, Ŝeby sprawdzić, czy działa połączenie z Internetem. Konfiguracja adresu IP komputera Niniejsza sekcja pokazuje, w jaki sposób skonfigurować komputer z systemem Windows 2000, Windows NT i Windows XP, Ŝeby otrzymywał adres IP. Jest to niezbędne w celu nawiązania łączności między komputerem a urządzeniem ZyWALL. 1. W Windows XP kliknij przycisk Start i wybierz polecenie Panel sterowania. W Windows 2000/NT kliknij przycisk Start i wybierz polecenie Ustawienia/Panel sterowania. 2. W Panelu sterowania Windows XP kliknij dwukrotnie ikonę Połączenia sieciowe. W Panelu sterowania Windows 2000/NT kliknij dwukrotnie ikonę Połączenia sieciowe i telefoniczne. 3. Kliknij prawym przyciskiem myszy ikonę Połączenie lokalne i wybierz z menu polecenie Właściwości. 4. Zaznacz pozycję Protokół internetowy (TCP/IP) (na karcie Ogólne w Windows XP) i kliknij przycisk Właściwości. 5. Pojawi się okno Właściwości: Protokół internetowy (TCP/IP) (karta Ogólne w Windows XP). Zaznacz opcje Uzyskaj adres IP automatycznie oraz Uzyskaj adres serwera DNS automatycznie. - 16 -
6. Kliknij przycisk OK, aby zamknąć okno Właściwości: Protokół TCP/IP. 7. Kliknij przycisk Zamknij (OK w Windows 2000/NT), aby zamknąć okno Właściwości: Połączenie lokalne. 8. Zamknij okno Połączenia sieciowe. Oglądanie certyfikatów produktu 1. Przejdź pod adres www.zyxel.com. 2. Wybierz produkt z listy rozwijanej na stronie głównej firmy ZyXEL, aby przejść do tego strony tego produktu. 3. Kliknij Ŝądany certyfikat, aby go obejrzeć. - 17 -
- 18 -