Меню

Zywall usg 20 настройка firewall

Настройка подключения L2TP VPN (L2TP over IPSec) в аппаратных шлюзах серии ZyWALL USG

Как настроить подключение L2TP over IPSec в аппаратных шлюзах серии ZyWALL USG?

Начиная с версий 3.00 микропрограммного обеспечения технология L2TP VPN (L2TP over IPSec) была реализована в ZyWALL USG 20/20W/50 (ранее была доступна только в старших моделях 100/300/1000/2000). Данная технология реализована в мобильных устройствах Apple и устройствах с операционной системой Android, которая обеспечивает пользователям безопасный удаленный доступ к ресурсам корпоративной сети со своих смартфонов или планшетных компьютеров. Настройка подключения L2TP over IPSec возможна и с обычного настольного компьютера.

Настройки аппаратного шлюза серии ZyWALL USG

Внимание! В микропрограммах, начиная с версии 2.20(xxx.6), алгоритм шифрования 3DES, необходимый для создания VPN-туннеля с ОС Windows 7/Vista, iPhone (iOS), смартфонами (Android), доступен только при выполнении инструкций, указанных в статье:

Добавьте новое правило с указанием следующей информации (нажмите сначала Show Advanced Settings для отображения дополнительных параметров):

Установите настройки фазы 1 в разделе Phase 1 Settings, которые поддерживаются удаленным устройством.

Для ОС Windows XP возможно подключение и на более слабых протоколах шифрования (DES).

2. Зайдите на страницу CONFIGURATION > VPN > IPSec VPN > VPN Connection для создания VPN-подключения.

Добавьте новое правило с указанием следующей информации (нажмите сначала Show Advanced Settings для отображения дополнительных параметров):

Для туннеля L2TP over IPSec нужно использовать транспортный режим (в поле Encapsulation установите значение Transport).
VPN-подключение настраивается как туннель Peer-to-peer (точка-точка). Таким образом, мы должны указать объект с WAN IP-адресом в поле Local Policy и установить настройки фазы 2 в разделе Phase 2 Settings, которые поддерживаются удаленным устройством.
Для создания объекта с WAN IP-адресом (в нашем примере WAN1_IP), который будет указан в поле Local Policy, нажмите на Create new Object в верхей части окна Add VPN Connection.
Создайте объект типа INTERFACE IP (Address Type = INTERFACE IP) и в поле Interface укажите интерфейс wan1.

3. После создания настроек VPN Connection зайдите на страницу CONFIGURATION > VPN > L2TP VPN > L2TP VPN.

Создайте Address Object для пользователей L2TP VPN.

Затем настройте L2TP over IPsec:

Но можно создать отдельную учетную запись, с которой будет возможно использовать подключение L2TP over IPSec.
Зайдите на страницу CONFIGURATION > Object > User/Group > User для ее создания. Созданная учетная запись будет сохранена в локальной базе ZyWALL’а.

После выполнения указанных выше настроек пользователи смогут получить безопасный удаленный доступ к ресурсам корпоративной сети со своих смартфонов/компьютеров, подключившись к аппаратному шлюзу ZyWALL USG по VPN-соединению L2TP over IPSec.

Для подключения клиентов L2TP over IPSec необходимо также настроить Firewall (статья по настройке межсетевого экрана Firewall в ZyWALL USG: «Настройка межсетевого экрана Firewall в аппаратных шлюзах серии ZyWALL USG»).

Для этого нужно выполнить следующее:

1. В настройках зон в меню Configuration > Network > Zone убедитесь, что интерфейс, на IP-адрес которого обращается клиент L2TP over IPSec, входит в зону WAN, а настроенный туннель L2TP over IPSec входит в зону IPSec_VPN.

Зоны могут быть как предустановленные, так и созданные вручную. Главное чтобы обе зоны были известны, так как для них необходимо сделать два разрешающих правила в Firewall.

2. В настройках Configuration > Firewall нужно создать правило из зоны WAN в зону ZyWALL (если его нет).

В этом правиле нужно разрешить сервисы IKE, ESP и NATT. Если такое правило уже есть, добавить его в группу разрешенных сервисов.

3. В настройках Configuration > Firewall нужно создать правило из зоны IPSec_VPN в зону ZyWALL (если его нет). В этом правиле нужно разрешить сервис L2TP_UDP. Если такое правило уже есть, добавить его в группу разрешенных сервисов.

Это правило необходимо, т.к. L2TP-подключение происходит внутри IPSec-туннеля, который к тому времени уже должен быть установлен и выделен в свою зону.

По следующим ссылкам вы можете получить дополнительную информацию по настройке подключения L2TP over IPSec:

Примечание:

Если вам помимо установки подключения L2TP VPN нужно предоставить доступ во внутреннюю сеть, то на локальных хостах в качестве основного шлюза можно указать IP-адрес аппратного шлюза ZyWALL (если указан другой шлюз, то все ответные пакеты будут уходить на него, соответственно будет отстутствовать доступ во внутреннюю сеть) или прописать статический маршрут, чтобы все пакеты с IP-адресом назначения из подсети L2TP Pool направлять на локальный IP-адрес ZyWALL’а.

Читайте также:  Настройка телевизора samsung le32c530f1w

Источник

Настройка межсетевого экрана Firewall в шлюзах безопасности серии ZyWALL / USG

Как настроить межсетевой экран Firewall в аппаратных шлюзах серии ZyWALL USG?

Межсетевой экран (Firewall) в аппаратном шлюзе ZyWALL USG используется для контроля и фильтрации проходящих через него сетевых пакетов в соответствии с заданными правилами. В частности, Firewall применяется для разрешения или запрещения работы служб, которые используют статические номера портов.
Обращаем ваше внимание, что при определении направления трафика в правилах Firewall используются зоны. Зоны (Zone) представляют собой объекты, в которых указаны определенные интерфейсы (в зоне может быть указан один или более интерфейсов). Таким образом, перед началом настройки правил Firewall нужно обязательно определить зоны, которые в дальнейшем будут использованы при настройке правил в ZyWALL USG. Определенный интерфейс может быть использован только в одной зоне.

1. Настройка зон (Zone)

Для настройки Firewall сначала необходимо убедиться, что используемые интерфейсы принадлежат к предустановленным или созданным зонам. Настройка зон выполняется в меню Configuration > Network > Zone веб-конфигуратора устройства.

Зоны используются в качестве определения направлений при настройке правил Firewall и сервисов Anti-X.

В устройстве существуют предустановленные зоны с интерфейсами (можно их использовать). Если необходимо создать свою зону и включить в нее определенные интерфейсы, необходимо сначала исключить этот интерфейс из предустановленной зоны.
Зайдите в меню Configuration > Network > Zone, выберите нужную зону из списка System Default и нажмите Edit для ее редактирования.
В окне Edit Zone в разделе Member List в списке Member найдите интерфейс, который необходимо исключить из предустановленной зоны (в нашем примере это интерфейс ge5), и переведите его в список Available.

Затем создайте новую зону. В меню Configuration > Network > Zone в разделе User Configuration нажмите Add. В окне Add Zone выберите из списка Available нужный интерфейс (в нашем примере это интерфейс ge5) и добавьте его в список Member.

Параметр Block Intra-zone Traffic нужен, если в зоне более одного интерфейса. Если установить галочку в поле Block Intra-zone Traffic, то трафик между интерфейсами, находящимися в одной зоне, будет блокироваться.

Внимание! Если вы создали новую зону, она автоматически не будет представлена в предустановленных правилах Firewall и, соответственно, прохождение трафика из этой зоны (или в эту зону) будет зависеть от настроенных правил по умолчанию, где в поле From или To будет значение any или any (Еxcluding ZyWALL), или по последнему правилу Default.

2. Настройка правил Firewall

Настройка правил Firewall выполняется в меню Configuration > Network > Firewall.

Правила Firewall настраиваются по направлениям – зонам, куда входят определенные интерфейсы.

Предустановленные правила включают в себя правило по умолчанию Default, которое находится внизу списка правил (в разделе Firewall Rule Summary) – его нельзя удалить или деактивировать. Для правила по умолчанию Default можно только установить значение в поле Access, то есть необходимое действие (allow/deny/reject), которое нужно применить к сетевым пакетам, попадающим под действие этого правила. Так как правила Firewall обрабатываются устройством по очереди, под это правило попадут те пакеты, которые не попали ни под одно другое правило, находящееся выше по списку.

В меню Configuration > Network > Firewall в разделе General Settings параметр Enable Firewall служит для включения/выключения Firewall (для включения установите галочку в поле Enable Firewall).
Параметр Allow Asymmetrical Route служит для разрешения/запрещения треугольных асимметричных маршрутов (для включения установите галочку в поле Allow Asymmetrical Route).

Для создания нового правила Firewall в меню Configuration > Network > Firewall нажмите Add.

Рассмотрим назначение полей в окне Add Firewall Rule, которые необходимо настроить при создании нового правила Firewall.

Внимание! Порядковый номер правил Firewall определяет приоритетность (очередность) их выполнения.
Если нужно поменять приоритетность (порядковый номер) правила, используйте элемент Move для изменения порядкового номера.
Чтобы изменить нумерацию правила, выберите нужное правило, нажмите на элемент Move, укажите новый номер, который вы хотите установить для данного правила, и затем нажмите клавишу Enter.

В разделе Firewall Rule Summary можно выбирать направления From Zone и To Zone для просмотра правил, подходящих только по указанному направлению.

Читайте также:  D link dir 815 настройка pppoe

При создании правила и в списке To Zone существует направление ZyWALL – это направление к самому устройству ZyWALL USG, то есть это трафик, который направляется (адрес назначения) на интерфейс аппаратного шлюза ZyWALL USG. При этом, т.к. для входящего трафика (Интернет) Firewall действует после правила проброса портов, пакеты после трансляции адресов (DNAT) уже не будут попадать под это направление, т.к. адрес назначения будет уже транслирован в локальный адрес сервера. Трафик, который идет на адрес интерфейса ZyWALL USG и для которого нет правил DNAT, будет определяться как направление To ZyWALL.

Также существует направление any (Excluding ZyWALL). Оно определяет направление трафика на любую зону, кроме трафика на само устройство.
В поле From отсутствует направление для блокировки трафика ZyWALL, т.е. трафик от ZyWALL USG заблокировать правилами Firewall нельзя.

Источник

Для тех, кто выбирает межсетевой экран

Введение

Давным-давно прошли времена, когда единственным средством защиты периметра сети мог быть роутер из старого компьютера с какой-нибудь бесплатной UNIX-like операционной системой, например, FreeBSD и штатным файерволом.

Сегодня системным администраторам доступны как многочисленные специализированные дистрибутивы для установки на сервер, так и готовые программно-аппаратные комплексы.

Развитие спроса и предложения привело к усилению специализации.

Если раньше организация доступа в Сеть и обеспечение безопасности было делом избранных гуру, то сейчас количество точек с выходом в Интернет растёт день ото дня, и любой школьник может подключить шлюз, роутер, точку доступа и начать раздавать трафик внутри сети.

Изменились и угрозы в сети. Сейчас основную опасность представляют не хакеры «старой школы», а массовые заражения новыми типами вирусов и троянских программ. В подготовке атак злоумышленники могут использовать сторонние ресурсы, например, заранее созданные ботнеты (зомби-сети) для рассылки спама, организации DDOS-атак и так далее.

Но это ещё не всё. С развитием сети всё большую роль играет не только уровень безопасности на отправителе и получателе, но как передаётся информация: в каком виде, по какому маршруту и т. д.

Если оставить эти вопросы без ответа, придётся отвечать на другие вопросы, например: «Куда делись деньги со счёта?», «Как ОНИ про это узнали?» и «Когда в конце концов хоть что-то заработает?!».

Сейчас нужно точно знать, что и от чего мы защищаем и какой инструмент лучше выбрать.

Что предлагает Zyxel: разделение по специфике

Можно выделить два основных направления, которые требуют защиты:

Примечание. Существует ещё семейство шлюзов Zyxel, которое мы не рассматриваем в рамках данной главы. Это устройства с возможностью внешнего облачного управления Zyxel Nebula. Но так как «невозможно объять необъятное», то сейчас сконцентрируемся на классическом варианте устройств с локальным управлением.

Надо отметить, что несмотря на различия, есть и некоторые общие черты. Среди каждого из направлений можно выделить решения как для крупного бизнеса, так и для небольших организаций. Это накладывает некоторые конструктивные особенности.

Рисунок 1. Шлюз для корпоративного применения USG2200-VPN.

Например, некоторые модели для небольшого бизнеса имеют встроенные WiFi модули для использования их в качестве точек доступа беспроводной сети.

Рисунок 2. Шлюз для защиты сетей в небольших организациях USG60W.

Так как функции всех трёх направлений частично перекрывают друг друга, мы будем говорить о рекомендованной сфере применения.

Разумеется, если вы попытаетесь построить VPN соединение на USG шлюзе, или использовать VPN для защиты сети, то ничего страшного не произойдёт, но это будет не слишком эффективно.

Поэтому прежде, чем перейдём к особенностям для каждого направления, будет полезно изучить их общие черты.

Кто предупреждён, тот вооружён
В качестве единого хостинга для оперативной информации используется портал OneSecurity.com. На этом специальном ресурсе размещаются оперативные бюллетени и рекомендации относительно актуальных угроз безопасности. OneSecurity предлагает свежую информацию и рекомендации для повышения уровня сетевой защиты. Это помогает компаниям и ИТ-специалистам обеспечить безопасную работу сети, несмотря на растущее число угроз.

Для удобства доступ к данному порталу интегрирован в графический интерфейс продуктов серии USG и серии ZyWALL VPN. Поиск информации и ресурсов выполняется одним щелчком мыши в GUI-консоли этих продуктов. Благодаря такому подходу можно быстро и легко узнавать об актуальных угрозах методах их устранения. Материал преподносится в виде хорошо зарекомендовавшего себя формата FAQ (Часто Задаваемые Вопросы). Это позволяет своевременно предпринять все необходимые меры для защиты от выявленных угроз.

Читайте также:  Настройка загрузки windows 10 в биос

Контентная фильтрация
Контентная фильтрация (Content Filtering) применяется для блокировки доступа к опасным и несвязанным с основной работой Web-сайтам. В недавно выпущенной новой версии Content Filtering 2.0 реализованы усовершенствования функций защиты HTTPS Domain Filter, Browser SafeSearch и Geo IP Blocking для улучшения безопасности соединения с Web.

Быстрое и безопасное обновление
Эта функция также является общей для всех трёх направлений.
Чтобы облегчить поиск нужного обновления микрокода (Firmware) необходимой версии, используется новый сервис Cloud Helper, который предоставляет информацию о последних версиях прошивки.

Самый свежий вариант становится сразу же доступен после официального выпуска, что гарантирует его аутентичность и надежность.

Zyxel серии ZyWALL VPN

Рекомендуемая область использования — безопасное и надежное соединение VPN
Основное предназначение — туннелирование трафика с использованием стойкого алгоритма шифрования Secure Hash Algorithm 2 (SHA-2).

С помощью ZyWALL VPN 50/100/300 можно внедрить высокоскоростной защищенный обмен данными между локальными серверами, удаленными устройствами и развернутыми в облаке приложениями.

Рисунок 3. Шлюз для установления надёжный VPN соединений ZyWALL VPN300.

Отдельно стоит отметить поддержку функции dual-WAN failover and fallback. Благодаря наличию двух соединений WAN, из которых одно используется как основное, а второе резервное, в случае сбоя основного соединения Zyxel VPN Firewall автоматически переключается на резервное.

Также в ZyWALL VPN Series используется функция multi-WAN load balancing/failover и реализована полная поддержка USB-модемов сотовых сетей из списка совместимого оборудования, которые можно использовать для резервирования соединения WAN.
Для построения каналов с высокими требования надёжности в ZyWALL VPN Series предусмотрен режим работы в составе отказоустойчивого кластера (High-Availability, HA) в режиме Аctive-Passive.

ZyWALL VPN Series поддерживает функцию IPSec load balancing and failover, обеспечивающую дополнительную отказоустойчивость для переключения бизнес-критичных VPN при внедрении VTI Interface.

Поддерживаемые функции VPN и не только:

Стоит отметить, что данное устройство работает по принципу «всё своё ношу с собой». Тут и VPN, и неплохой уровень защиты, и ограничение полосы пропускания.

Но если нужно сосредоточиться именно на функциях безопасности, то лучше использовать шлюзы Zyxel серии ZyWALL ATP с поддержкой в лице облачного сервиса Zyxel Cloud.

Zyxel серии ZyWall ATP

Рекомендованная область использования — усиленная защита от вредоносных программ и оптимизация приложений

Основной изюминкой этого семейства защищённых шлюзов можно назвать привлечение облачных ресурсов для поднятия уровня защиты.

Ресурсов одного, даже самого мощного шлюза бывает мало для анализа и диагностики множества поступающих угроз.

Поэтому привлечение дополнительных облачных ресурсов в рамках защищённого шифрованного доступа выглядит весьма оправданным шагом.

Внимание! Zyxel Cloud не участвует в обмене информации между защищаемым шлюзом и доступом извне. То есть трафик через него не проходит. Облачный ресурс используется в первую очередь для оперативного обмена информацией об уязвимостях, а также результатов дополнительной проверки подозрительных объектов, например, в рамках песочницы (Sandboxing).

В целом набор функций семейства Zyxel ZyWall ATP похож на ранее рассмотренный вариант Zyxel USG, но поддержка облачных механизмов значительно усиливает такие сервисы, как антивирусная защита, которым всегда не хватает ресурсов.

Рисунок 4. Шлюз с облачной поддержкой для защиты сети ATP200.

Ниже приводятся некоторые отличительные особенности, которые характерны только для шлюзов этой серии — Zyxel ZyWall ATP.

Машинное обучение облака Zyxel Cloud
Zyxel Cloud идентифицирует неизвестные файлы на всех межсетевых экранах ATP, собирает результаты в базе данных и ежедневно пересылает обновления на все шлюзы семейства ATP. Это позволяет собирать знания о новых угрозах и развивать систему методом машинного обучения. Таким образом облачная среда «учится» противостоять новым атакам.

Песочница — Sandboxing
Это облачная изолированная среда, куда помещаются подозрительные файлы для идентификации новых типов вредоносного кода, в том числе методом запуска. То, что не может выявить потоковый антивирус, проявляется в Sandbox.

Заключение

Разумеется, в рамках одной небольшой статьи нельзя описать весь широкий спектр возможностей, которые имеются в распоряжении современных защитных шлюзов Zyxel.
Для получения более подробной информации читайте наш блог на Хабра, материалы на сайте Zyxel, и, конечно, документацию к продуктам.

Источник