übertragen werden, egal ob elektronisch, mechanisch, magnetisch, optisch, chemisch, als Fotokopie, manuell oder anderweitig, ohne die vorherige, ausdrückliche, schriftliche Genehmigung von ZyXEL Communications Corporation. Herausgegeben durch ZyXEL Communications Corporation. Alle Rechte vorbehalten. Haftungsausschluss ZyXEL übernimmt keinerlei Haftung für die Verwendung von Produkten oder Software, die in diesem Dokument erwähnt werden.
ZyWALL 10 Internet-Sicherheits-Gateway Konformitätserklärung Der Hersteller bzw. Importeur ZyXEL Communications Corp. No. 6, Innovation Rd. II, Science-Based Industrial Park, Hsinchu, Taiwan, 300 R.O.C erklärt, dass das Produkt ZyWALL 10 in Konformität mit den folgenden Bestimmungen ist (siehe die Spezifikationen, auf die sich diese Erklärung bezieht)
Seite 4
ZyWALL 10 Internet-Sicherheits-Gateway Hinweis Mehr Informationen zu diesen Zertifizierungen finden Sie auf unserer Webseite www.zyxel.com...
Seite 5
ZyWALL 10 Internet-Sicherheits-Gateway Konformitätserklärung...
ZyWALL 10 Internet-Sicherheits-Gateway Eingeschränkte Garantie von ZyXEL ZyXEL garantiert dem Endverbraucher (Käufer), dass dieses Produkt ab Kaufdatum zwei Jahre lang von Materialschäden und damit verbundenen Arbeitsleistungen frei ist. Gegen Vorlage des Kaufbelegs wird ZyXEL bei Nachweis eines durch fehlerhafte Arbeiten oder Materialien entstandenen Fehlers das gesamte Produkt oder entsprechende Komponenten während des Gewährleistungszeitraumes nach eigener Wahl...
ZyWALL 10 Internet-Sicherheits-Gateway Kundendienst Halten Sie bitte folgende Daten bereit, wenn Sie sich mit dem Kundendienst in Verbindung setzen. • Modell- und Seriennummer Ihres Produkts • Die Einstellungen aus Menü 24.2.1 – System Information • Garantieinformationen • Kaufdatum des Gerätes •...
Seite 12
ZyWALL 10 Internet-Sicherheits-Gateway 6.3.1 Address Mapping Sets..........................6-9 NAT-Server-Sets – Port-Weiterleitung ....................6-14 6.4.1 Server für NAT-Dienste konfigurieren....................6-15 Allgemeine Beispiele zu NAT .........................6-18 6.5.1 Nur Internet-Zugang ...........................6-18 6.5.2 Beispiel 2: Internet-Zugang mit einem internen Server..............6-19 6.5.3 Beispiel 3: Mehrere öffentliche IP-Adressen mit internem Server..........6-20 6.5.4...
Seite 13
ZyWALL 10 Internet-Sicherheits-Gateway Paketfilter und Firewall ........................7-13 7.7.1 Paketfilterung:............................. 7-13 7.7.2 Firewall ..............................7-13 KAPITEL 8 EINFÜHRUNG ZUM ZYWA LL-FIREWALL ................8-1 Zugriff ................................8-1 SMT-Menüs zur Einrichtung verwenden..................8-1 8.2.1 Firewall aktivieren..........................8-1 8.2.2 Firewall-Protokoll ansehen ......................... 8-2 KAPITEL 9 ZYWALL WEB CONFIGURATOR ....................9-1 Anmelden und Bildschirme im Hauptmenü...
Seite 14
ZyWALL 10 Internet-Sicherheits-Gateway 10.3.2 Regeln vom WAN ins LAN......................10-4 10.4 Rule Summary............................10-5 10.5 Vordefinierte Dienste ...........................10-7 10.5.1 Firewall-Regeln erstellen bzw. bearbeiten..................10-9 10.5.2 Ursprungs- und Zieladressen......................10-10 10.6 Timeout-Zeitlimit..........................10-13 10.6.1 Beeinflussende Faktoren der Zeitlimits ..................10-13 KAPITEL 11 BENUTZERDEFINIERTE PORTS .................... 11-1 11.1...
Seite 15
ZyWALL 10 Internet-Sicherheits-Gateway ERWEITERTE VERWALTUNGSFUNKTIONEN ....................IV KAPITEL 15 FILTERKONFIGURATION......................15-1 15.1 Einige Worte zu Filtern ........................15-1 15.1.1 Filterstruktur von ZyWALL......................15-2 15.2 Filtersets einrichten ..........................15-4 15.2.1 Menü Filter Rules Summary ......................15-6 15.2.2 Filterregel einrichten .......................... 15-7 15.2.3 TCP/IP-Filterregel ..........................15-7 15.2.4...
Seite 16
ZyWALL 10 Internet-Sicherheits-Gateway 17.3.2 UNIX-Systemprotokoll........................17-7 17.3.3 Call-Triggering Packet ........................ 17-11 17.4 Diagnosefunktionen..........................17-11 17.4.1 WAN DHCP ..........................17-12 KAPITEL 18 FIRMWARE UND KONFIGURATION SICHERN ..............18-1 18.1 Dateinamenskonventionen .........................18-1 18.2 Konfigurationsdatei sichern ......................18-2 18.2.1 Konfigurationsdatei sichern ......................18-3 18.2.2 FTP-Befehle im MS-DOS-Fenster....................18-3 18.2.3 Bespiel für FTP-Befehle im MS-DOS-Fenster................18-4...
Seite 17
ZyWALL 10 Internet-Sicherheits-Gateway 18.4.7 Hochladen über den Konsolport ....................18-16 18.4.8 Firmware über Konsolport hochladen..................18-16 18.4.9 Bespiel zum Hochladen der Firmware per Xmodem mit HyperTerminal......18-17 18.4.10 Konfigurationsdatei über Konsolport hochladen..............18-17 18.4.11 Beispiel zum Hochladen der Konfigurationsdatei per Xmodem mit HyperTerminal..18-19 KAPITEL 19 SYSTEMVERWALTUNG UND -INFORMATION ...............19-1 19.1...
Seite 22
ZyWALL 10 Internet-Sicherheits-Gateway Abbildung 6-18 Beispiel 3: Menü 15.1.1.1 .......................6-22 Abbildung 6-19 Beispiel 3: Fertig ausgefülltes Menü 15.1.1.................6-23 Abbildung 6-20 Beispiel 3: Menü 15.2........................6-23 Abbildung 6-21 Beispiel 4 zu NAT..........................6-24 Abbildung 6-22 Beispiel 4: Menü 15.1.1.1 — Regel zur Adressumsetzung............6-25 Abbildung 6-23 Beispiel 4: Menü...
Seite 23
ZyWALL 10 Internet-Sicherheits-Gateway Abbildung 13-1 Firewall aktivieren ........................... 13-2 Abbildung 13-2 Beispiel 1: E-Mail-Dialogfeld......................13-3 Abbildung 13-3 Beispiel 1: Regel einrichten ......................13-4 Abbildung 13-4 Beispiel 1: Zieladresse für vom Internet ausgehenden Datenverkehr........13-5 Abbildung 13-5 Beispiel 1: Dialogfeld Rule Summary ..................13-6 Abbildung 13-6 Benachrichtigungen bei Angriff versenden.................
Seite 24
ZyWALL 10 Internet-Sicherheits-Gateway Abbildung 15-15 Datenverkehr einer entfernten Gegenstelle ausfiltern ............15-19 Abbildung 16-1 Modell der SNMP-Verwaltung.......................16-2 Abbildung 16-2 Menü 22 — SNMP Configuration....................16-4 Abbildung 17-1 Menü 24 — System Maintenance....................17-1 Abbildung 17-2 Menü 24.1 — System Maintenance — Status ................17-2 Abbildung 17-3 Menü...
Seite 25
ZyWALL 10 Internet-Sicherheits-Gateway Abbildung 18-14 Telnet-Zugriff auf Menü 24.7.2 — System Maintenance.............18-13 Abbildung 18-15 Beispiel zum Hochladen der Firmware per FTP ..............18-14 Abbildung 18-16 Menü 24.7.1 bei Verbindung über Konsolport................18-16 Abbildung 18-17 Beispiel zum Hochladen via Xmodem..................18-17 Abbildung18-18 Menü 24.7.2 bei Verbindung über Konsolport................18-18 Abbildung 18-19 Beispiel zum Hochladen via Xmodem..................18-19...
Seite 26
ZyWALL 10 Internet-Sicherheits-Gateway Abbildung 23-3 Felder im Menü IPSec Summary ....................23-3 Abbildung 23-4 Menü 27.1 — VPN/IPSec Summary .....................23-4 Abbildung 23-5 Menü 27.1.1 — IPSec Setup......................23-6 Abbildung 23-6 Die zwei Phasen zum Herstellen einer IPSec-SA ...............23-9 Abbildung 23-7 Menü 27.1.1.1 —...
Seite 27
ZyWALL 10 Internet-Sicherheits-Gateway Verzeichnis der Tabellen Tabelle 2-1 Bedeutung der LED-Anzeigen ......................2-2 Tabelle 2-2 Befehle des Hauptmenüs........................2-7 Tabelle 2-3 Ü bersicht zum Hauptmenü........................2-9 Tabelle 2-4 Elemente des Menüs General Setup....................2-16 Tabelle 2-5 Elemente des Menüs Configure Dynamic DNS ................2-17 Tabelle 2-6 Elemente des Menüs WAN Setup.......................
Seite 28
ZyWALL 10 Internet-Sicherheits-Gateway Tabelle 6-3 NAT-Optionen der Menüs 4 und 11.3 ....................6-8 Tabelle 6-4 Address Mapping Rules der SUA-Funktion..................6-10 Tabelle 6-5 Felder des Menüs 15.1.1........................6-12 Tabelle 6-6 Menü 15.1.1.1 — Eine bestimmte Regel des Sets bearbeiten/einrichten........6-13 Tabelle 6-7 Dienste und Portnummern ........................6-15 Tabelle 7-1 Die wichtigsten IP-Ports .........................7-4...
Seite 29
ZyWALL 10 Internet-Sicherheits-Gateway Tabelle 15-3 Felder des Menüs TCP/IP Filter Rule ....................15-8 Tabelle 15-4 Felder des Menüs Generic Filter Rule ...................15-13 Tabelle 16-1 Felder des Menüs SNMP Configuration ..................16-4 Tabelle 16-2 SNMP-Traps............................16-5 Tabelle 17-1 Felder des Menüs System Maintenance — Status................. 17-3 Tabelle 17-2 Felder des Untermenüs System Maintenance —...
Verbindung mehrerer Büros oder Abteilungen über diverse Zugangsgeräte E-Commerce- und EDI-Anwendungen Der ZyWALL 10 besitzt einen ICSA-zertifizierten Firewall, IPSec VPN-Funktionalität (bis zu 10 sichere Verbindungen gleichzeitig möglich), MultiNAT (zur Umsetzung mehrerer IP-Adressen), Filterung nach Web-Inhalten und einen integrierten Webserver zur einfachen Konfiguration. Im folgenden Kapitel finden Sie weitere Details zu diesen und anderen Funktionen.
Seite 32
Schriftart Arial und in eckigen Klammern gedruckt. So bezeichnet beispielweise [ESC] die Escape- Taste. [Pfeil auf] und [Pfeil ab] bezeichnet die nach oben bzw. unten weisenden Richtungstasten. • Ferner bezeichnen wir den ZyWALL 10 häufig einfach nur als ZyWALL. xxxii Vorwort...
Erste Schritte Teil I: Erste Schritte Teil 1 ist eine allgemeine Einführung zum ZyWALL. Er beinhaltet die Hardwareinstallation, die erste Einrichtung und das Herstellen einer Verbindung zum Internet.
Netzwerk-Verwaltungsfunktionen ausgestattet ist und so Heimbüros oder kleinen Firmen einen sicheren Internet-Zugang per Kabel- bzw. ADSL-Modem oder Internet-Router bietet. Durch die Integration der NAT-, Firewall- und VPN-Funktionen, zeichnet sich der ZyXEL ZyWALL 10 nicht nur durch einfache Installation und leichten Internet-Zugang aus, sondern bietet eine vollständige Sicherheitslösung, um Ihr Intranet zu schützen und den Datenverkehr im Netzwerk bequem zu verwalten.
Seite 36
ZyWALL 10 Internet-Sicherheits-Gateway Sie können die meisten Funktionen Ihres ZyWALL 10 ü ber das SMT-Hilfsprogramm konfigurieren, wir empfehlen jedoch, den Firewall und die Filter ü ber den ZyWALL Web Configurator einzurichten. Inhaltsfilter Ihr ZyWALL kann bestimmte Internet-Funktionen, wie ActiveX-Controls, Java-Applets und Cookies unterbinden sowie Web-Proxy -Server deaktivieren.
Seite 37
Einschalten auch manuell angeben. Beachten Sie jedoch, dass beim Einschalten Datum und Uhrzeit auf den 2000/01/0100:00:00 zurückgesetzt werden. Protokolle und Paketverfolgung ♦ Protokollierung von Fehlermeldungen und Verfolgung von Paketen ♦ Unterstützung des Unix-Systemprotokolls Aktualisierung der ZyWALL-Firmware per Netzwerk Sie können die Firmware des ZyWALL 10 direkt über das Netzwerk aktualisieren. Einführung...
Einsatzgebiete des ZyWALL 10 1.3.1 Sicherer Breitband-Internet-Zugang über Kabel- oder DSL-Modem Sie können den ZyWALL 10 mit einem Kabel- oder xDSL-Modem verbinden, um vom Ethernet-Netzwerk über das Modem einen Breitband-Zugang zum Internet zu erhalten. Dabei bietet er dem Netzwerk nicht nur einen besonders schnellen Internet-Zugang, sondern sichert das Netzwerk ab und bietet eine einfache Verwaltung.
ZyWALL 10 Internet-Sicherheits-Gateway Sie können Ihr xDSL-Modem auch als Brücke verwenden, um eine permanente Verbindung zum Internet und besonders hohe Überstragungsraten zu erhalten. 1.3.2 VPN-Anwendungen Die VPN-Funktionalität Ihres ZyWALL eignet sich besonders zum Verbinden mehrerer Niederlassungen oder Geschäftspartner über das Internet, ohne dass teure Standleitungen eingerichtet werden müssen.
ZyWALL 10 Internet-Sicherheits-Gateway Kapitel 2 Hardwareinstallation und erstmalige Einrichtung In diesem Kapitel lernen Sie die Bedeutung der LED-Anzeigen und Anschlüsse kennen und wie Sie die Hardware anschließen und erstmalig einrichten. Leuchtanzeigen der Vorderseite und rückseitige Anschlüsse 2.1.1 Leuchtanzeigen der Vorderseite Die LEDs auf der Vorderseite zeigen den Betriebszustand des ZyWALL an.
Seite 42
ZyWALL 10 Internet-Sicherheits-Gateway Tabelle 2-1 Bedeutung der LED-Anzeigen FUNKTION FARBE STATUS BESCHREIBUNG Power Grün Das Gerät ist eingeschaltet. System Das System ist nicht bereit, oder es ist ein Fehler aufgetreten. Das System ist eingeschaltet und bereit. Blinkt Das System wird neu gestartet.
Abbildung 2-2 Rückseitige Anschlüsse des ZyWALL 10 In diesem Abschnitt erfahren Sie, wie Sie den ZyWALL 10 an ein LAN- bzw. WAN-Netzwerk anschließen. Falls Sie ein Kabelmodem verwenden, müssen Sie das von Ihrem Provider stammende Koaxialkabel mit dem entsprechenden Anschluss auf der Rückseite des Kabelmodems verbinden. Wenn Sie ein xDSL-Modem verwenden, schließen Sie dieses an die xDSL-Wandsteckdose an.
Seite 44
ZyWALL 10 Internet-Sicherheits-Gateway Konsolport anschließen Für die erstmalige Einrichtung des ZyWALL müssen Sie auf einem Arbeitsplatzrechner eine Terminalsoftware installieren und diesen Computer mit dem Konsolport des ZyWALL verbinden. Schließen Sie den neunpoligen Anschlussstecker des Konsolkabels an den Konsolport des ZyWALL und das anderen Ende (9- oder 25-polig, je nach Computer) an einen seriellen Anschluss (COM1, COM2 oder einen anderen COM -Anschluss) Ihres Computers an.
ZyWALL 10 Internet-Sicherheits-Gateway ZyWALL mit dem Netzteil verbinden Schließen Sie das eine Ende des Netzteils an den mit POWER gekennzeichneten Anschluss auf der Rückseite des ZyWALL an. Achtung: Um eine Beschädigung des ZyWALL zu vermeiden, sollten Sie sich vergewissern, dass Sie das richtige Netzteil verwenden. Im Anhang Technische Daten des Netzteils finden Sie Hinweise zu den fü...
ZyWALL 10 Internet-Sicherheits-Gateway Enter Password : XXXX Abbildung 2-4 Dialogfeld Password Struktur der SMT-Menüs SMT (System Management Terminal) ist die Schnittstelle, über die Sie den ZyWALL konfigurieren. Sie sollten sich zunächst mit den verfügbaren Optionen vertraut machen, bevor Sie versuchen, die Konfiguration des Gerätes zu ändern (siehe folgende Tabelle).
Seite 48
ZyWALL 10 Internet-Sicherheits-Gateway Felder mit N/A <N/A> Einige Felder des SMT beinhalten den Eintrag <N/A>. Dies bedeutet, dass für die gewählte Option keinerlei Änderungen möglich sind. Einstellungen [ENTER] Um die Änderungen zu speichern, drücken Sie bei Erscheinen speichern der Meldung "Press ENTER to confirm or ESC to cancel" die Eingabetaste.
ZyWALL 10 Internet-Sicherheits-Gateway 2.5.1 Hauptmenü Nachdem Sie Ihr Kennwort eingegeben haben, erscheint das ZyWALL-Hauptmenü (siehe folgende Abbildung). Copyright (c) 1994 - 2001 ZyXEL Communications Corp. ZyWALL Main Menu Getting Started Advanced Management 1. General Setup 21. Filter and Firewall Setup 2.
Seite 50
ZyWALL 10 Internet-Sicherheits-Gateway MENÜNAME FUNKTION Static Routing Setup In diesem Menü richten Sie statische Ruten für Bridging und IP ein. NAT Setup Hier richten Sie die NAT-Funktion (Network Address Translation) ein. Filter and Firewall Setup Zum Definieren von Filtern, Aktivieren/Deaktivieren des Firewalls und zum Einsehen der Firewall-Protokolldatei.
ZyWALL 10 Internet-Sicherheits-Gateway Abbildung 2-8 SMT-Menüs zur IPSec-VPN-Konfiguration Systemkennwort ändern Bevor Sie weitere Einstellungen vornehmen, sollten Sie als erstes das voreingestellte Systemkennwort ändern. Dazu gehen Sie folgendermaßen vor. Geben Sie "23" im Hauptmenü ein, um das Menü 23 - System Password (siehe unten) zu öffnen.
ZyWALL 10 Internet-Sicherheits-Gateway Menu 23 - System Password Old Password= ? New Password= ? Retype to confirm= ? Enter here to CONFIRM or ESC to CANCEL: Abbildung 2-9 Menü 23 — System Password Geben Sie das alte Kennwort ein, und betätigen Sie die Eingabetaste.
ZyWALL 10 Internet-Sicherheits-Gateway • Klicken Sie in Windows 95/98 auf Start -> Einstellungen -> Systemsteuerung, und doppelklicken Sie auf Netzwerk. Klicken Sie auf das Register Identifikation, und sehen Sie nach, was im Feld Computername steht. Tragen Sie diesen Namen im Feld System Name des ZyWALL ein.
ZyWALL 10 Internet-Sicherheits-Gateway 2.7.2 Einrichtung in Menü 1 Geben Sie im Hauptmenü "1" ein, um das Menü 1 - General Setup aufzurufen. Daraufhin erscheint das Menü 1 - General Setup (siehe die folgende Abbildung). Füllen Sie die entsprechenden Felder aus.
ZyWALL 10 Internet-Sicherheits-Gateway Menu 1.1 - Configure Dynamic DNS Service Provider = www.DynDNS.org Active= Yes Host= me.ddns.org EMAIL= mail@mailserver User= username Password= ****** Enable Wildcard= No Press ENTER to confirm or ESC to cancel: Abbildung 2-11 Configure Dynamic DNS Die folgende Tabelle beschreibt die Einstellungen der dynamischen DNS-Parameter.
ZyWALL 10 Internet-Sicherheits-Gateway WAN-Einrichtung In diesem Abschnitt wird die Konfiguration der WAN-Einstellungen mit Hilfe von Menü 2 — WAN Setup beschrieben. Geben Sie im Hauptmenü "2" ein, um das Menü 2 zu öffnen. Wir empfehlen Ihnen, die folgenden Einstellungen selbst dann vorzunehmen, wenn Ihr Provider keine Authentifizierung der MAC-Adresse erfordert.
ZyWALL 10 Internet-Sicherheits-Gateway Tabelle 2-6 Elemente des Menüs WAN Setup FELD BESCHREIBUNG BEISPIEL MAC Address Assigned By Drücken Sie die Leertaste, um eine der beiden verfügbaren MAC- Factory Adresszuordnungen auszuwählen. Der Eintrag Factory Default dient default zum Verwenden der werksseitig voreingestellten MAC-Adresse.
ZyWALL 10 Internet-Sicherheits-Gateway Pakete auszuschließen, um die Datenmengen auf dem Netzwerk gering zu halten und eine höhere Sicherheit zu erreichen. Menu 3.1 – LAN Port Filter Setup Input Filter Sets: protocol filters= 2 device filters= Output Filter Sets: protocol filters=...
ZyWALL 10 Internet-Sicherheits-Gateway Kapitel 3 Internet-Zugang In diesem Kapitel lernen Sie, wie Sie die LAN- bzw. WAN-Einstellungen des ZyWALL konfigurieren, um Zugang zum Internet zu erhalten. TCP/IP- und DHCP für LAN-Netzwerke Der ZyWALL unterstützt DHCP-Serverfunktionen, die Systemen, die DHCP-Client-Funktionen unterstützen, automatisch IP-Adressen sowie DNS-Server zuordnen.
ZyWALL 10 Internet-Sicherheits-Gateway Es gibt zwei Möglichkeiten, wie ein Internet-Provider eine DNS-Server-Adresse vergibt. Die erste besteht darin, dass der Provider dem Kunden die DNS-Server-Adresse beim Abonnieren eines Benutzerkontos schriftlich mitteilt. In diesem Fall geben Sie die erhaltenen DNS-Server-Adressen im Menü...
ZyWALL 10 Internet-Sicherheits-Gateway 3.1.4 Eindeutige IP-Adressen Jeder Computer im Internet muss eine eindeutige Adresse besitzen. Falls Ihre Netzwerke nicht mit dem Internet verbunden sind (z.B. zwischen zwei Filialen), können Sie dem Host-Computer problemlos beliebige IP-Adressen zuordnen. Die Internet-Regulierungsbehörde "IANA" hat jedoch die folgenden drei Adressbereiche für private Netzwerke reserviert:...
ZyWALL 10 Internet-Sicherheits-Gateway 3.1.6 IP-Multicast Ü blicherweise können IP-Pakete auf zwei Arten übertragen werden: Unicast (1 Sender an 1 Empfänger) oder Broadcast (1 Sender an alle Teilnehmer im Netzwerk). Multicast hingegen sendet IP-Pakete an eine Empfängergruppe im Netzwerk – nicht an alle, aber auch nicht an einen einzigen Computer.
ZyWALL 10 Internet-Sicherheits-Gateway 3.1.7 IP-Alias Über die IP -Alias-Funktion können Sie ein physisches Netzwerk in mehrere verschiedene Netzwerke innerhalb derselben Ethernet-Umgebung unterteilen. Der ZyWALL kann bis zu drei logische LAN- Umgebungen über seinen einzigen LAN-Netzwerkanschluss simulieren und dabei als Gateway für die einzelnen Netzwerke fungieren.
ZyWALL 10 Internet-Sicherheits-Gateway Menu 3 – LAN Setup LAN Port Filter Setup TCP/IP and DHCP Setup Enter Menu Selection Number: Abbildung 3-3 Menü 3 — TCP/IP and DHCP Ethernet Setup Geben Sie in Menü 3 die Ziffer für das Untermenü TCP/IP and DHCP ein, und bestätigen Sie mit der Eingabetaste.
Seite 67
ZyWALL 10 Internet-Sicherheits-Gateway Tabelle 3-3 Elemente des Menüs DHCP Ethernet Setup FELD BESCHREIBUNG BEISPIEL DHCP Über dieses Feld wird der DHCP-Server aktiviert bzw. deaktiviert. Server Ist es auf Server eingestellt, arbeitet der ZyWALL als DHCP-Server. Ist anstelle der Wert None ausgewählt, ist die DHCP-Server-Funktion deaktiviert.
ZyWALL 10 Internet-Sicherheits-Gateway FELD BESCHREIBUNG BEISPIEL festlegt. ZyWALL unterstützt sowohl IGMP Version 1 (IGMP-v1) als auch IGMP Version 2 (IGMP-v2). Drücken Sie die Leertaste, um das IP-Multicasting zu aktivieren, oder wählen Sie None (Standard), um es zu deaktivieren. Edit IP Alias Der ZyWALL kann bis zu drei logische LAN-Umgebungen über seinen einzigen LAN-Netzwerkanschluss simulieren und dabei als Gateway für die einzelnen Netzwerke fungieren.
ZyWALL 10 Internet-Sicherheits-Gateway Tabelle 3-5 Elemente des Menüs IP Alias Setup FELD BESCHREIBUNG BEISPIEL IP-Alias Wählen Sie Yes, um Ihren ZyWALL für das LAN-Netzwerk einzurichten. IP Address Geben Sie die IP-Adresse des ZyWALL in Dezimalnotation ein 192.168.2.1 (achten Sie darauf, dass die einzelnen Werte durch Punkte getrennt sind).
ZyWALL 10 Internet-Sicherheits-Gateway Menu 4 - Internet Access Setup ISP's Name= ChangeMe Encapsulation= Ethernet Service Type= Standard My Login= N/A My Password= N/A Login Server IP= N/A IP Address Assignment= Dynamic IP Address= N/A IP Subnet Mask= N/A Gateway IP Address= N/A...
ZyWALL 10 Internet-Sicherheits-Gateway Tabelle 3-6 Elemente des Menüs Internet Access Setup FELD BESCHREIBUNG ISP’s Name Geben Sie den Namen Ihres Internet-Providers ein (z.B. Mein Provider). Diese Daten dienen ausschließlich zu Identifikationszwecken. Encapsulation Betätigen Sie die Leertaste und anschließend die Eingabetaste, um die Option Ethernet auszuwählen.
ZyWALL 10 Internet-Sicherheits-Gateway Ihr ZyWALL 10 unterstü tzt immer nur eine PPTP-Serververbindung gleichzeitig. 3.3.3 PPTP-Client einrichten Um einen PPTP-Client einzurichten, müssen Sie die Felder My Login und Password für eine PPP- Verbindung konfigurieren und die PPTP-Parameter für die PPTP-Verbindung vorgeben.
Funktionsseitig erspart PPPoE sowohl dem Endbenutzer als auch dem Service-Provider eine Menge Arbeit, da keine besondere Konfiguration des Breitband-Modems auf Seiten des Kunden vorzunehmen ist. Durch die Implementierung durch PPPoE direkt auf dem ZyWALL 10 und nicht auf einen einzelnen Computer, muss auf den im Netzwerk vorhandenen Computern keinerlei PPPoE-Software installiert werden, da der ZyWALL diese Aufgabe bereits erledigt.
ZyWALL 10 Internet-Sicherheits-Gateway Menu 4 - Internet Access Setup ISP's Name= ChangeMe Encapsulation= PPPoE Service Type= My Login= My Password= ******** Idle Timeout= 100 IP Address Assignment= Dynamic IP Address= N/A IP Subnet Mask= N/A Gateway IP Address= N/A Network Address Translation= Full Feature...
Erweiterte Anwendungsbereiche Teil II: Erweiterte Anwendungsbereiche Der 2. Teil dieses Handbuchs umfasst das Einrichten entfernter Gegenstellen, statischer IP -Ruten sowie der NAT-Funktion.
ZyWALL 10 Internet-Sicherheits-Gateway Kapitel 4 Einrichtung entfernter Gegenstellen In diesem Kapitel lernen Sie, wie Sie eine entfernte Gegenstelle einrichten. Eine entfernte Gegenstelle wird zum Umleiten von Anfragen an ein entferntes Gateway benötigt. Sie stellt dann sowohl das entfernte Gateway als auch das Netzwerk dar, das sich hinter einer WAN-Verbindung verbirgt.
ZyWALL 10 Internet-Sicherheits-Gateway Menu 11.1 - Remote Node Profile Rem Node Name= ChangeMe Route= IP Active= Yes Encapsulation= Ethernet Edit IP= No Service Type= Standard Session Options: Service Name= N/A Edit Filter Sets= No Outgoing: My Login= N/A My Password= N/A...
ZyWALL 10 Internet-Sicherheits-Gateway FELD BESCHREIBUNG BEISPIEL Provider zum Anrufen der entfernten Gegenstelle zugeteilt hat. Einige Provider hängen dieses Feld an das obige Feld Service Name (z.B. Peter@poellc) an, um den Zugriff auf den PPPoE-Server zuzulassen. My Password Geben Sie das Kennwort ein, den Ihnen Ihr Internet-...
Seite 80
ZyWALL 10 Internet-Sicherheits-Gateway Microsoft aktivieren und demnach von Windows-Benutzern problemlos angewendet werden kann. Einer der großen Vorteile von PPPoE ist die Fähigkeit, Endbenutzer auf einen von mehreren Netzwerkdiensten Zugriff zu ermöglichen - eine Funktion, die als dynamische Dienstauswahl bezeichnet wird. Dadurch kann ein Service-Provider auf einfache Art und Weise neue IP-Dienste für bestimmte Benutzer erstellen und bereitstellen.
ZyWALL 10 Internet-Sicherheits-Gateway Menu 11.1 - Remote Node Profile Rem Node Name= ChangeMe Route= IP Active= Yes Encapsulation= PPPoE Edit IP= No Service Type= Standard Telco Option: Service Name= Allocated Budget(min)= 0 Outgoing= Period(hr)= 0 My Login= Schedules= My Password= ********...
ZyWALL 10 Internet-Sicherheits-Gateway In der folgenden Tabelle werden alle Felder beschrieben, die noch nicht in Tabelle 4-1 Felder des Menüs 11.1 behandelt wurden. Tabelle 4-2 Felder des Menüs 11.1 (nur für PPPoE Encapsulation) FELD BESCHREIBUNG BEISPIEL Authen In diesem Feld wird das Authentifizierungsprotokoll für CHAP/PAP ausgehende Anrufe festgelegt.
ZyWALL 10 Internet-Sicherheits-Gateway Menu 11.1 - Remote Node Profile Rem Node Name= ChangeMe Route= IP Active= Yes Encapsulation= PPTP Edit IP= No Service Type= Standard Telco Option: Service Name=N/A Allocated Budget(min)= 0 Outgoing= Period(hr)= 0 My Login= Schedules= My Password= ********...
ZyWALL 10 Internet-Sicherheits-Gateway TCP/IP-Optionen bearbeiten (mit Ethernet-Encapsulation) Bewegen Sie den Cursor auf das Feld Edit IP im Menü 11.1., und drücken Sie die Leertaste, um zum Wert Yes umzuschalten. Betätigen Sie dann die Eingabetaste, um das Menü 11.3 - Network Layer Options aufzurufen.
Seite 85
ZyWALL 10 Internet-Sicherheits-Gateway Die folgende Tabelle erklärt die Einstellungen im Menü Remote Node Network Layer Options. Tabelle 4-4 Felder des Menüs Remote Node Network Layer Options FELD BESCHREIBUNG BEISPIEL IP Address Hat Ihnen Ihr Internet-Provider keine feste IP-Adresse zugeordnet, Dynamic Assignment so wählen Sie hier Dynamic;...
ZyWALL 10 Internet-Sicherheits-Gateway FELD BESCHREIBUNG BEISPIEL Nachdem Sie die gewünschten Einstellungen im Menü Network Layer Options vorgenommen haben, drücken Sie die Eingabetaste, um zu Menü 11 zurückzukehren. Drücken Sie anschließend bei Erscheinen der Meldung “Press ENTER to Confirm...” die Eingabetaste, um die Änderungen zu speichern oder [ESC], um abzubrechen.
Seite 87
ZyWALL 10 Internet-Sicherheits-Gateway Die folgende Tabelle erklärt die Einstellungen im Menü Remote Node Network Layer Options. Tabelle 4-5 Felder des Menüs Remote Node Network Layer Options FELD BESCHREIBUNG BEISPIEL IP Address Hat Ihnen Ihr Internet-Provider keine feste IP-Adresse zugeordnet, so...
ZyWALL 10 Internet-Sicherheits-Gateway FELD BESCHREIBUNG BEISPIEL Multicast IGMP (Internet Group Multicast Protocol) ist ein Protokoll auf None Sitzungsebene, dass die Mitgliedschaft einer Multicast-Gruppe festlegt. ZyWALL unterstützt sowohl IGMP Version 1 (IGMP-v1) als auch IGMP Version 2 (IGMP-v2). Drücken Sie die Leertaste, um das IP-Multicasting zu aktivieren, oder wählen Sie None, um es zu...
ZyWALL 10 Internet-Sicherheits-Gateway Kapitel 5 Statische IP-Ruten einrichten In diesem Kapitel lernen Sie, wie Sie mit Ihrem ZyWALL statische Ruten konfigurieren. Statische Ruten teilen dem ZyWALL Routing-Daten mit, die er nicht auf andere Weise automatisch abfragen kann. Dies kann beispielsweise vorkommen, wenn Sie die RIP-Funktion im lokalen Netzwerk deaktiviert haben.
ZyWALL 10 Internet-Sicherheits-Gateway Statische IP-Ruten einrichten Die statischen IP-Ruten werden in Menü 12.1 konfiguriert.Wählen Sie dazu eine der folgenden statischen IP-Ruten aus. Geben Sie im Hauptmenü "12" ein. Menu 12 - IP Static Route Setup 1. ________ 2. ________ 3. ________ 4.
Seite 93
ZyWALL 10 Internet-Sicherheits-Gateway Tabelle 5-1 Felder des Menüs IP Static Route FELD BESCHREIBUNG Route # Hier wird die Ordnungszahl der statischen Rute angezeigt, die Sie in Menü 12 ausgewählt haben. Route Name Geben Sie einen Namen ein, der die ausgewählte Rute beschreibt. Er dient ausschließlich zu Identifikationszwecken.
ZyWALL 10 Internet-Sicherheits-Gateway Kapitel 6 Network Address Translation (NAT) In diesem Kapitel lernen Sie, wie Sie die NAT-Funktionen des ZyWALL konfigurieren. Einführung Die NAT-Funktion (Network Address Translation - NAT, RFC 1631) ermöglicht die Umsetzung einer bestimmten in einem Paket enthaltenen Host-IP-Adresse (z.B. die Ursprungsadresse eines ausgehenden Pakets) in eine andere IP-Adresse, die durch ein anderes Netzwerk verwendet wird.
ZyWALL 10 Internet-Sicherheits-Gateway Tabelle 6-1 - NAT-Definitionen BEGRIFF DEFINITION Intern Bezieht sich auf den Host des LAN-Netzwerkes. Extern Bezieht sich auf den Host des WAN-Netzwerkes. Lokal Bezieht sich auf die Paketadresse (Ursprung- oder Zieladresse), wenn das Paket über das lokale Netzwerk übermittelt wird.
ZyWALL 10 Internet-Sicherheits-Gateway Ursprungsportnummern bei Many-to-One- und Many-to-Many-Overload-Adressumsetzung) in jedem Paket ersetzt und an das Internet weitergeleitet. ZyWALL verfolgt ständig die Ursprungsadressen sowie - Portnummern, sodass es immer möglich ist, die ursprünglichen Werte eintreffender Pakete wiederherzustellen. Dies wird im folgenden Diagramm veranschaulicht.
ZyWALL 10 Internet-Sicherheits-Gateway Abbildung 6-2 NAT-Anwendungsbeispiel mit IP-Alias 6.1.5 NAT-Umsetzungsarten NAT unterstützt fünf verschiedene Arten von IP-/Port-Umsetzungen. Sie sind im Folgenden aufgeführt: One to One: Im One-to-One-Modus setzt ZyWALL eine lokale IP-Adresse in eine globale um. Many to One: Im Many-to-One-Modus setzt ZyWALL mehrere lokale IP-Adressen in eine globale um.
ZyWALL 10 Internet-Sicherheits-Gateway Many to Many Overload: Im Many-to-Many-Overload-Modus setzt ZyWALL mehrere lokale IP- Adressen in eine gemeinsame globale um. Many to Many No Overload: Im Many-to-Many-No-Overload-Modus setzt ZyWALL jede einzelne lokale IP-Adresse in eine einzige globale um. Server: Hier können Sie interne Server oder verschiedene Dienste definieren, die per NAT für die Außenwelt zugänglich sind.
ZyWALL 10 Internet-Sicherheits-Gateway Beschreibung von NAT für SUA. ZyWALL besitzt außerdem eine Full Feature-NAT-Funktion, um mehrere globale IP-Adressen in mehrere private LAN-IP-Adressen von Client- oder Server-Computern zu übersetzen gemäß Tabelle 6-2. Wählen Sie SUA Only , wenn Sie nur eine WAN-IP-Adresse haben.
Das Server-Set ist eine Liste von LAN-Servern, die auf externe Ports umgesetzt werden. Um dieses Set einzusetzen (ein einziges Set für den ZyWALL 10), muss im NAT-Address-Mapping-Set eine Server-Regel eingerichtet werden. Detaillierte Angaben zu diesen Menüs finden Sie in Abschnitt 6.4. Um die NAT- Funktion einzurichten, geben Sie im Hauptmenü...
ZyWALL 10 Internet-Sicherheits-Gateway Menu 15.1.255 - Address Mapping Rules Set Name= SUA Local Start IP Local End IP Global Start IP Global End IP Type --------------- --------------- --------------- --------------- ------ 0.0.0.0 255.255.255.255 0.0.0.0 M -1 0.0.0.0 Server Press ENTER to Confirm or ESC to Cancel: Abbildung 6-7 Menü...
Seite 105
ZyWALL 10 Internet-Sicherheits-Gateway FELD BESCHREIBUNG BEISPIEL Type Dieses Feld bezieht sich auf die oben Server beschriebenen Umsetzungsarten (siehe Tabelle 6.2). Die Umsetzungsart Server ermöglicht es, mehrere Server unterschiedlicher Arten hinter dem NAT zu definieren. Weiter unten finden Sie hierzu einige Beispiele.
Seite 106
ZyWALL 10 Internet-Sicherheits-Gateway Regeln sortieren Das Ordnen der Regeln ist besonders wichtig, da sie in der Reihenfolge ausgeführt werden, wie Sie sie definieren. Trifft eine Regel für das aktuelle Paket zu, führt ZyWALL die entsprechende Aktion aus, und alle weiteren Regeln werden ignoriert. Befindet sich vor einer neu eingerichteten Regel eine leere, so wird die eingerichtete um die Anzahl leerer Regeln nach oben gesetzt.
ZyWALL 10 Internet-Sicherheits-Gateway Wählen Sie im Feld Action die Option Edit, und wählen Sie eine Regel aus, um das Menü 15.1.1.1 - Address Mapping Rule aufzurufen, in dem Sie eine bestimmte Regel bearbeiten und die Werte für Type, Local sowie Global Start/End IP einstellen können.
ZyWALL 10 Internet-Sicherheits-Gateway FELD BESCHREIBUNG BEISPIEL Start Dies ist die globale IP-Startadresse (IGA). Wenn Sie mit einer 0.0.0.0 dynamischen IP-Adresse arbeiten, geben Sie hier den Wert 0.0.0.0 ein. Beachten Sie, dass Sie den Wert 0.0.0.0 nur eingeben können, wenn Sie die Umsetzungsart Many-to-One oder Server gewählt haben.
ZyWALL 10 Internet-Sicherheits-Gateway Die meisten Breitband-ISP-Konten unterbinden Server-basierende Anwendungen (z.B. Web- oder FTP-Server) Ihrer Abonnenten. Mö glicherweise sucht Ihr Provider von Zeit zu Zeit nach vorhandenen Servern und blockiert Ihr Konto, wenn er entdeckt, dass ein solcher Prozess aktiv ist. Wenn Sie sich diesbezü glich nicht sicher sind, wenden Sie sich an Ihren Internet-Provider.
ZyWALL 10 Internet-Sicherheits-Gateway Geben Sie eine Portnummer in ein leeres Feld Start Port No ein. Um nur einen einzigen Port umzusetzen, geben Sie sie noch einmal in das Feld End Port No ein. Wenn Sie einen Portnummernbereich verwenden möchten, geben Sie anstelle die Nummer des letzten Ports in das Feld End Port No ein.
ZyWALL 10 Internet-Sicherheits-Gateway Allgemeine Beispiele zu NAT 6.5.1 Nur Internet-Zugang Im folgenden Beispiel für Internet-Zugang benötigen Sie nur eine einzige Regel für alle ILAs (interne lokale Adressen), um diese auf eine dynamische IGA (interne global Adresse) umzusetzen, die durch Ihren Internet-Provider zugeordnet wurde.
ZyWALL 10 Internet-Sicherheits-Gateway Wählen Sie im oben aufgezeigten Menü 4 Network Address Translation die Option SUA Only. Hierbei handelt es sich um die Umsetzung Many-to-One, wie sie in Abschnitt 6.5 beschrieben wurde. Die Funktion SUA Only, die Sie in den Menüs 4 und 11.3 im Feld Network Address Translation einstellen, wurde speziell für diese Anwendungsgebiete vorkonfiguriert.
ZyWALL 10 Internet-Sicherheits-Gateway Menu 15.2 - NAT Server Setup Rule Start Port No. End Port No. IP Address --------------------------------------------------- Default Default 192.168.1.10 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 1026 1026 RR Reserved Press ENTER to Confirm or ESC to Cancel: Abbildung 6-15 Menü...
ZyWALL 10 Internet-Sicherheits-Gateway Abbildung 6-16 Beispiel 3 zu NAT In Menü 15.1-Address Mapping Sets muss Address Mapping Set 1 konfiguriert werden. Dazu muss im Feld Network Address Translation (in Menü 4 oder in Menü 11.3) die Option Full Feature ausgewählt werden (siehe Abbildung 6-17).
Seite 116
ZyWALL 10 Internet-Sicherheits-Gateway Menu 11.3 - Remote Node Network Layer Options IP Address Assignment= Dynamic IP Address= N/A IP S ubnet Mask= N/A Gateway IP Addr= N/A Network Address Translation= Full Feature Metric= N/A Private= N/A RIP Direction= None Version= N/A Enter here to CONFIRM or ESC to CANCEL: Abbildung 6-17 Beispiel 3: Menü...
Seite 117
ZyWALL 10 Internet-Sicherheits-Gateway Menu 15.1.1 - Address Mapping Rules Set Name= Example3 Local Start IP Local End IP Global Start IP Global End IP Type --------------- --------------- --------------- --------------- ------ 1. 192.168.1.10 10.132.50.1 1 -1 192.168.1.11 10.132.50.2 1 -1 3. 0.0.0.0 255.255.255.255...
ZyWALL 10 Internet-Sicherheits-Gateway 6.5.4 Beispiel 4: NAT-ungeeignete Anwendungsprogramme Einige Anwendungen unterstützen keine NAT-Umsetzung per TCP- oder UDP-Adressumsetzung. In diesem Fall ist es günstiger, die Option Many-to-Many No Overload zu verwenden, da sich in diesem Fall (und für One-to-One) die Portnummern nicht ändern. Dies wird im folgenden Diagramm veranschaulicht.
ZyWALL 10 Internet-Sicherheits-Gateway Menu 15.1.1.1 Address Mapping Rule Type= M any-to-Many No Overload Local IP: Start= 192.168.1.10 = 192.168.1.12 Global IP: Start= 10.132.50.1 = 10.132.50.3 Press ENTER to Confirm or ESC to Cancel: Abbildung 6-22 Beispiel 4: Menü 15.1.1.1 — Regel zur Adressumsetzung Nachdem Sie die Regel eingerichtet haben, sollten Sie die Einstellungen in Menü...
Firewall und Inhaltsfilter Teil III: Firewall und Inhaltsfilter Teil III befasst sich mit dem ZyWALL-Firewall, erläutert die Handhabung des Konfigurationsprogramms ZyWALL Web Configurator, geht auf das Erstellen und Bearbeiten benutzerdefinierter Regeln und Ports ein, erklärt die Protokolle und gibt Beispiele zu Firewall- Regeln und Inhaltsfiltern.
ZyWALL 10 Internet-Sicherheits-Gateway Kapitel 7 Firewall Dieses Kapitel führt Sie in die Grundbegriffe der Firewall-Technologie ein und macht Sie mit dem ZyWALL-Firewall vertraut. Was ist ein Firewall? Das englische Wort Firewall (Feuertür) bezieht sich auf eine Bautechnik, die die Ausweitung von Bränden von einem Raum zum nächsten verhindern soll.
ZyWALL 10 Internet-Sicherheits-Gateway Das Verbergen von Informationen verhindert, dass die Namen interner Systeme via DNS nach außen hin sichtbar sind, da das Anwendungs-Gateway der einzige Host ist, dessen Name nach außen hin bekannt ist. ii. Es wird eine ausgefeilte Authentifizierung sowie Vorauthentifizierung beim Anmelden des anwendungsspezifischen Datenverkehrs durchgeführt, bevor dieser einen internen Host erreicht.
ZyWALL 10 Internet-Sicherheits-Gateway Der LAN-Anschluss wird mit Ihrem Computer-Netzwerk verbunden, das gegen die Außenwelt abgesichert werden soll. Diese Computer haben standardmäßig Zugriff auf Internet-Dienste wie E-Mail, FTP und das World Wide Web. Eingehender Datenverkehr ist jedoch nicht erlaubt, es sei denn, Sie schalten einen betreffenden Host für einen spezifischen Dienst frei.
ZyWALL 10 Internet-Sicherheits-Gateway Bei der Kommunikation im Internet verwenden Computer das Client/Server-Modell, wobei der Server über den TCP- bzw. UDP-Port auf Anfragen entfernter Client-Computer wartet. Ein Web-Server überwacht normalerweise Port 80. Beachten Sie dabei, dass z.B. ein Computer zwar einen Web-Dienst über Port 80 ausführen kann, jedoch auch alle anderen Ports geöffnet sind.
ZyWALL 10 Internet-Sicherheits-Gateway Abbildung 7-2 Drei-Wege -Handshake Unter normalen Umständen sendet die Anwendung, die die Sitzung eröffnet, ein SYN-Paket (Synchronisationspaket) an den Server. Der Empfänger antwortet mit einem ACK-Paket (Acknowledge) und einem eigenen SYN. Daraufhin erwidert der Initiator ebenfalls mit einem ACK. Nach diesem Handshake wird die Verbindung hergestellt.
ZyWALL 10 Internet-Sicherheits-Gateway 2-b Bei einem LAND-Angriff wird das Netzwerk ebenfalls mit SYN-Paketen bombardiert. Dabei wird eine falsche IP-Adresse an das Zielsystem gesendet. Von außen sieht das so aus, als wenn der Host-Computer die Pakete an sich selbst gesendet hat, sodass das Zielsystem nicht mehr verfügbar ist, weil es versucht, sich selbst zu antworten.
ZyWALL 10 Internet-Sicherheits-Gateway Tabelle 7-2 ICMP-Befehle, die Warnmeldungen auslösen REDIRECT TIMESTAMP_REQUEST TIMESTAMP_REPLY ADDRESS_MASK_REQUEST ADDRESS_MASK_REPLY Ungültige Befehle (NetBIOS und SMTP) Die einzigen gültigen NetBIOS-Befehle sind folgende - alle anderen sind unzulässig. Tabelle 7-3 Zulässige NetBIOS-Befehle MESSAGE: REQUEST: POSITIVE: NEGATIVE: RETARGET: KEEPALIVE: Alle SMTP-Befehle außer den in der folgenden Tabelle beschriebenen sind ungültig.
ZyWALL 10 Internet-Sicherheits-Gateway festzulegen, ob sie zulässig sind. ZyWALL verwendet die detaillierte Ü berprüfung, um LAN-Netzwerke von Hackern und Vandalisten aus dem Internet fernzuhalten. Standardmäßig lässt ZyWALL vom LAN ausgehenden Datenverkehr ins Internet zu und unterdrückt alle eingehenden Pakete, die vom Internet zum LAN fließen.
ZyWALL 10 Internet-Sicherheits-Gateway wurde kein Angriff erkannt, so legt das Feld The default action for packets not matching following rules (siehe Abbildung 10-3) die weitere Vorgehensweise fest. Abhängig von der erhaltenen Statusinformation erstellt eine Firewall-Regel einen Eintrag in einer temporären Zugriffsliste, die am Anfang der erweiterten Zugriffsliste der WAN-Schnittstelle eingefügt wird.
ZyWALL 10 Internet-Sicherheits-Gateway diesem Grunde besonders vorsichtig vor, wenn Sie Firewall-Regeln erstellen bzw. löschen. Testen Sie immer die geänderten Einstellungen, um sicher zu gehen, dass sie auch wie erwartet funktionieren. Nachfolgend finden Sie eine kurze technische Beschreibung wie Verbindungen verfolgt werden. Eine Verbindung kann entweder über die höheren Protokolle (z.B.
ZyWALL 10 Internet-Sicherheits-Gateway Beispielsweise werden keinerlei ICMP-Umleitungspakete hereingelassen, da sie von Eindringlingen zum Umleiten von Daten verwendet werden könnten. 7.5.5 Upper Layer Protocols Einige höherschichtige Protokolle (z.B. FTP oder RealAudio) verwenden mehrere Netzwerkverbindungen gleichzeitig. Ü blicher Weise zeichnen sie sich durch eine "Steuerungsverbindung" aus, die zum Austauschen von Befehlen zwischen zwei Endpunkten verwendet wird, und "Datenverbindungen", über die die...
ZyWALL 10 Internet-Sicherheits-Gateway 7.6.1 Allgemeines zum Thema Sicherheit Sie können niemals vorsichtig genug sein! Sicherheitsrisiken sind auch Faktoren außerhalb des Firewalls, der Filterung oder der NAT-Funktionen. Nachfolgend finden Sie einige Anregungen, was Sie tun können, um das Risiko zu minimieren.
ZyWALL 10 Internet-Sicherheits-Gateway Wenn Sie Chat-Räume oder IRC-Sitzungen besuchen, seien Sie mit den Informationen vorsichtig, die Sie an Unbekannte weitergeben. 10. Wenn Sie eine ungewohnte Funktionsweise Ihres Systems feststellen, wenden Sie sich an Ihren Internet- Provider. Einige Hacker modifizieren Ihr System so, dass es langsam aber sicher instabil oder unbenutzbar wird.
Seite 136
ZyWALL 10 Internet-Sicherheits-Gateway Paket eine Rückfrage erfolgen, und anschließend kann es durchgelassen werden. Auf der anderen Seite kann ein eingehendes Paket, das als Antwort auf eine nicht existente ausgehende Anfrage fungiert, abgewiesen werden. Firewall unterstützt Sitzungsfilter, d.h. intelligente Regeln, die die Filterung und Ü berwachung einer Netzwerkverbindung verbessern und gegenüber der einfachen Ü...
ZyWALL 10 Internet-Sicherheits-Gateway Kapitel 8 Einführung zum ZyWALL-Firewall Dieses Kapitel führt Sie in die Handhabung des ZyWALL-Firewalls ein. Zugriff Der Web Configurator ist mit Abstand das einfachste Werkzeug zum Einrichten des ZyWALL-Firewalls. Aus diesem Grunde empfehlen wir Ihnen, die Einrichtung des Firewalls stets über den Web Configurator vorzunehmen (Einzelheiten entnehmen Sie bitte den folgenden Kapiteln).
ZyWALL 10 Internet-Sicherheits-Gateway Menu 21.2 - Firewall Setup The firewall protects against Denial of Service (DOS) attacks wh en it is active. The default Policy sets 1. allow all sessions originating from the LAN to the WAN and 2. deny all sessions originating from the WAN to the LAN...
Seite 139
ZyWALL 10 Internet-Sicherheits-Gateway Tabelle 8-1 Firewall-Protokoll ansehen FELD BESCHREIBUNG BEISPIELE Dies ist die Ordnungszahl des Firewall-Protokolls. Es sind 128 Einträge möglich (von 0-127). Time Dies ist die Uhrzeit zum Zeitpunkt der Aufzeichnung im mm:tt:jj e.g., Jan 1 00 nebenstehenden Format. Die Echtzeitfunktion hh:mm:ss e.g., 00:00:00...
ZyWALL 10 Internet-Sicherheits-Gateway Kapitel 9 ZyWALL Web Configurator In diesem Kapitel lernen Sie, wie Sie die Firewall-Funktionen über den Web Configurator einrichten. Anmelden und Bildschirme im Hauptmenü Mit dem ZyWALL-Web Configurator können Sie Ihren Firewall einrichten. Zur ersten Einrichtung gehen Sie folgendermaßen vor.
ZyWALL 10 Internet-Sicherheits-Gateway Firewall aktivieren Klic ken Sie auf Advanced, Firewall, Configuration, und öffnen Sie das Register Rule Config. Aktivieren Sie das Kontrollkästchen Firewall Enabled, um den Firewall zu aktivieren (siehe folgende Abbildung). Abbildung 9-1 Firewall aktivieren E-Mail In diesem Dialogfeld können Sie Ihren Mail-Server angeben, an den Warnmeldungen verschickt werden, und den Zeitpunkt und die Häufigkeit der Nachrichten definieren.
ZyWALL 10 Internet-Sicherheits-Gateway 10-4). Wenn ein Ereignis eine Benachrichtigung auslöst, wird sofort eine Mitteilung an ein bestimmtes E- Mail-Benutzerkonto verschickt. Geben Sie in das Feld E-Mail Alerts To eine vollständige E-Mail-Adresse ein, an die die Nachrichten gesendet werden sollen, und legen Sie im Feld Log Timer des Dialogfeldes E- mail den zeitlichen Ablauf zum Versenden von Benachrichtigungen fest (siehe folgenden Bildschirm).
Seite 144
ZyWALL 10 Internet-Sicherheits-Gateway Die folgende Tabelle erläutert die in diesem Bildschirm vorhandenen Felder. Tabelle 9-1 Felder im Dialogfeld E-Mail FELD BESCHREIBUNG OPTIONEN Address Info Mail Server Geben Sie die IP-Adresse Ihres Mail-Servers in Dezimalnotation ein. Diese Daten erfragen Sie bei Ihrem Internet-Provider.
ZyWALL 10 Internet-Sicherheits-Gateway FELD BESCHREIBUNG OPTIONEN Wenn Sie fertig sind, klicken Sie auf Apply, um die Änderungen zu speichern und das Dialogfeld zu verlassen; klicken Sie auf Cancel, um das Dialogfeld zu verlassen, ohne die Änderungen zu speichern; oder klicken Sie auf Help, um weitere Hinweise bezüglich der Felder dieses Dialogfelds anzeigen zu lassen.
ZyWALL 10 Internet-Sicherheits-Gateway CPU-Leistung der Server Ihres LAN-Netzwerks Netzwerk-Bandbreite Art des Datenverkehrs auf einzelnem Server Falls Ihr Netzwerk bei einigen dieser Werte zu langsam ist (besonders, wenn Sie einen langsamen Server haben oder er viele Aufgaben bearbeitet, sodass er häufig ausgelastet ist), sollten Sie sie leicht verringern.
ZyWALL 10 Internet-Sicherheits-Gateway Ist der Zeitüberlauf für Blocking Time gleich 0, löscht ZyWALL für jede neue Verbindungsanfrage zum Host die zeitlich älteste nicht vollständig geöffnete Sitzung. Dadurch wird die Anzahl der nicht vollständig geöffneten Sitzungen auf einem Host niemals den Grenzwert überschreiten.
Seite 149
ZyWALL 10 Internet-Sicherheits-Gateway Die folgende Tabelle erläutert die in diesem Bildschirm vorhandenen Felder. Tabelle 9-3 Attack Alert FELD BESCHREIBUNG STANDARDWERTE Generate alert when Wird ein Angriff erkannt, wird automatisch attack detected ein Protokolleintrag erstellt. Aktivieren Sie dieses Kontrollkästchen, um eine Benachrichtigung (zusätzlich zum...
Seite 150
ZyWALL 10 Internet-Sicherheits-Gateway FELD BESCHREIBUNG STANDARDWERTE diesen Wert, trennt ZyWALL so viele nicht zu beginnen, wenn mehr als 100 vollständig geöffnete Sitzungen wie zum Verbindungsversuche innerhalb Herstellen neuer Verbindungen der letzten Minute erkannt erforderlich sind. Stellen Sie für Maximum worden sind und beendet den Incomplete High keinen kleineren Wert Löschvorgang, wenn innerhalb...
ZyWALL 10 Internet-Sicherheits-Gateway Kapitel 10 Benutzerdefinierte Regeln erstellen In diesem Kapitel finden Sie eine Anleitung zum Definieren von Regeln für lokale Netzwerke und das Internet. 10.1 Übersicht über die Regeln Firewall-Regeln können in Regeln unterteilt werden, die lokale Netzwerke und das Internet betreffen.
ZyWALL 10 Internet-Sicherheits-Gateway 10.2 Übersicht zur Regellogik Lesen Sie die folgenden Punkte achtsam durch, bevor Sie die Regeln einrichten. 10.2.1 Regel-Checkliste Legen Sie den genauen Zweck der Regel fest. Zum Beispiel "Verhindert den IRC-Zugriff des LAN auf das Internet". Oder "Ermöglicht einem entfernten Lotus-Notes-Server im Internet die Synchronisation mit einem hauseigenen Server".
ZyWALL 10 Internet-Sicherheits-Gateway 10.2.3 Wichtige Felder zum Einrichten von Regeln Aktion Soll Datenverkehr verhindert Block oder durchgelassen Forward werden? Durch die Option "Block" werden die Pakete stillschweigend abgewiesen. Service Wählen Sie im Listenfeld Service einen Dienst aus. Wenn Sie dies nicht tun, müssen Sie ihn zunächst definieren.
ZyWALL 10 Internet-Sicherheits-Gateway Abbildung 10-1 Datenverkehr vom LAN ins WAN 10.3.2 Regeln vom WAN ins LAN Die vordefinierte Regel für Datenverkehr vom LAN zum WAN weist alle eingehenden (vom WAN ins LAN) Verbindungen ab. Wenn Sie den WAN-Anwendern Zugriff auf Ihr lokales Netzwerk gewähren möchten, müssen Sie benutzerdefinierte Regeln erstellen, die dies ermöglichen.
ZyWALL 10 Internet-Sicherheits-Gateway 10.4 Rule Summary Die Felder unter Rules Summary sind fü r die Optionen Local Network und Internet gleich, sodass die folgenden Betrachtungen fü r beide Fälle gelten. Klicken Sie auf Firewall und anschließend auf Local Network, um das folgende Dialogfeld aufzurufen. Es enthält eine Zusammenfassung der vorhandenen Regeln.
Seite 156
ZyWALL 10 Internet-Sicherheits-Gateway Die folgende Tabelle erläutert die in diesem Bildschirm vorhandenen Felder. Tabelle 10-1 Firewall Rules Summary -Teil 1 FELD BESCHREIBUNG OPTIONEN General Name Dies ist der Name des Firewall-Regelsets. Geben Sie Name einen Namen ein, um die Filter für Datenverkehr vom LAN ins WAN von denen für Datenverkehr vom WAN ins LAN...
ZyWALL 10 Internet-Sicherheits-Gateway FELD BESCHREIBUNG OPTIONEN To Rule Number Wählen Sie die Ordnungszahl, an dessen Stelle die Regel bewegt werden soll. Move Klicken Sie auf Move, um die Regel zu verschieben. Klicken Sie auf Apply, um eine neue Firewall-Regel hinzuzufügen. Neue Regeln werden immer hinter den anderen Regeln eingefügt.
Seite 158
ZyWALL 10 Internet-Sicherheits-Gateway DIENST BESCHREIBUNG NFS(UDP:2049) Network File System - NFS ist ein Client/Server-Dateidienst, der transparenten, gemeinsamen Zugriff in Netzwerkumgebungen bietet NNTP(TCP:119) Network News Transport Protocol ist der Übertragungsmechanismus für USENET-Nachrichtengruppen RCMD(TCP:512) Remote Command Service REAL_AUDIO(TCP:7070) Ein Streaming-Audio-Dienst, der die Audiowiedergabe in Echtzeit über das Web ermöglicht...
ZyWALL 10 Internet-Sicherheits-Gateway 10.5.1 Firewall-Regeln erstellen bzw. bearbeiten Um eine neue Regel zu erstellen, klicken Sie auf eine Ziffer (No.) und im letzten Bildschirm auf Edit, sodass das folgende Fenster angezeigt wird. Abbildung 10-4 Firewall-Regel erstellen bzw. bearbeiten Tabelle 10-3 Firewall-Regel erstellen bzw. bearbeiten...
ZyWALL 10 Internet-Sicherheits-Gateway FELD BESCHREIBUNG OPTIONEN Destination Address Klicken Sie auf DestAdd, um eine neue DestAdd Adresse hinzuzufügen, auf DestEdit, um DestEdit eine vorhandene zu bearbeiten, oder klicken DestDelete Sie auf DestDelete, um eine Adresse zu löschen. Im folgenden Abschnitt finden Sie weitere Informationen zum Hinzufügen und...
ZyWALL 10 Internet-Sicherheits-Gateway Abbildung 10-5 Ursprungs- und Zieladressen hinzufügen bzw. bearbeiten Benutzerdefinierte Regeln erstellen 10-11...
Seite 162
ZyWALL 10 Internet-Sicherheits-Gateway Tabelle 10-4 Ursprungs- und Zieladressen hinzufügen bzw. bearbeiten FELD BESCHREIBUNG OPTIONEN Address Type Legen Sie fest, ob die Regel auf Pakete mit einer bestimmten IP- Single Address Adresse, einer Reihe von IP-Adressen (z.B. 192.168.1.10 bis Range Address 192.168.1.50), auf eine Subnet-Maske oder eine beliebige IP-...
ZyWALL 10 Internet-Sicherheits-Gateway 10.6 Timeout-Zeitlimit Die Felder unter Timeout sind fü r die Optionen Local und Internet gleich, sodass die folgenden Betrachtungen fü r beide Fälle gelten. 10.6.1 Beeinflussende Faktoren der Zeitlimits Die Faktoren, die die Zeitlimits beeinflussen, sind dieselben wie jene, die die Grenzwerte beeinflussen - siehe Abschnitt 9.4.1.
Seite 164
ZyWALL 10 Internet-Sicherheits-Gateway Tabelle 10-5 Menü Timeout FELD BESCHREIBUNG STANDARDWE TCP Timeout Values Connection Timeout Dies ist das Zeitintervall, das eine TCP-Sitzung zur 30 seconds vollständigen Herstellung der Verbindung zur Verfügung hat, bevor ZyWALL die Verbindung trennt. FIN-Wait Timeout Dies ist das Zeitlimit, während dessen eine TCP- 60 seconds Sitzung geöffnet bleibt, nachdem Firewall einen FIN-...
ZyWALL 10 Internet-Sicherheits-Gateway Kapitel 11 Benutzerdefinierte Ports Dieses Kapitel befasst sich mit dem Erstellen, Anzeigen und Bearbeiten benutzerdefinierter Ports. 11.1 Einführung Sie können Diensten benutzerdefinierte Ports zuordnen, die in ZyWALL nicht vordefiniert sind (siehe Abbildung 10-4). Eine verständliche Liste der Portnummern und Dienste finden Sie auf der IANA-Webseite (Internet Assigned Number Authority).
Seite 166
ZyWALL 10 Internet-Sicherheits-Gateway Die folgende Tabelle erläutert die in diesem Bildschirm vorhandenen Felder. Tabelle 11-1 Custom Ports FELD BESCHREIBUNG Customized Services Dies ist die Ordnungszahl des benutzerdefinierten Ports. Status Zeigt an, ob ein Port bereits eingerichtet wurde oder noch frei ist.
ZyWALL 10 Internet-Sicherheits-Gateway 11.2 Benutzerdefinierten Port erstellen bzw. bearbeiten Klicken Sie im vorigen Bildschirm auf Edit, um einen neuen benutzerdefinierten Port zu erstellen oder einen bestehenden zu bearbeiten. Daraufhin erscheint das folgende Dialogfeld. Abbildung 11-2 Benutzerdefinierten Port erstellen bzw. bearbeiten...
Seite 168
ZyWALL 10 Internet-Sicherheits-Gateway Die folgende Tabelle erläutert die in diesem Bildschirm vorhandenen Felder. Tabelle 11-2 Benutzerdefinierten Port erstellen bzw. bearbeiten FELD BESCHREIBUNG OPTIONEN Service Name Geben Sie einen eindeutigen Namen für den benutzerdefinierten Port ein. Service Type Wählen Sie aus der Pulldown-Liste den IP-Port aus (TCP, UDP oder Both), der den benutzerdefinierten Port definiert.
ZyWALL 10 Internet-Sicherheits-Gateway Kapitel 12 Protokolle Diese Kapitel beinhaltet Einzelheiten zur Verwendung der Protokollbildschirme zum Anzeigen der Ergebnisse nach dem Definieren der Regeln. 12.1 Dialogfeld Protokolle Wenn Sie eine neue Regel einrichten, können Sie wahlweise die Ereignisse protokollieren, wenn die Regel zutrifft, nicht zutrifft oder beides (siehe Abbildung 10-4).
Seite 170
ZyWALL 10 Internet-Sicherheits-Gateway Tabelle 12-1 Dialogfeld Protokolle FELD BESCHREIBUNG BEISPIELE Dies ist die Ordnungszahl des Firewall-Protokolls. Es sind 128 Einträge möglich (von 0-127). Time Dies ist die Uhrzeit zum Zeitpunkt der tt:mm:jj z.B. Jan 1 0 Aufzeichnung im nebenstehenden Format. Die hh:mm:ss z.B.
ZyWALL 10 Internet-Sicherheits-Gateway Kapitel 13 Beispiel zu Firewall-Regeln Dieses Kapitel beinhaltet einige Beispiele zum Einrichten verschiedener Regeln für Datenverkehr vom LAN ins WAN und umgekehrt. 13.1 Beispiele Sie müssen möglicherweise einen Server hinter NAT mit Hilfe des SMT-Menüs 15.2 konfigurieren, sobald Sie in Firewall eine Pforte einbauen, über die ein Dienst vom Internet ins lokale Netzwerk weitergeleitet...
ZyWALL 10 Internet-Sicherheits-Gateway Aktivieren Sie die Firewall-Funktion. Dies kann über den Web Configurator geschehen (klicken Sie auf Configuration, öffnen Sie das Register Config, und klicken Sie auf das Kontrollkästchen Firewall Enabled) oder über SMT-Menü 21.2. Die Konfiguration des Firewalls können Sie jedoch ausschließlich über den Web Configurator bzw.
ZyWALL 10 Internet-Sicherheits-Gateway Ö ffnen Sie den Bildschirm E-Mail, indem Sie auf Advanced, Firewall, Configuration klicken und das Register E-mail öffnen. Konfigurieren Sie die Einstellungen im Dialogfeld E-Mail. IP-Adresse des Mail- Betreff für die E- Empfänger der Kalender für die...
ZyWALL 10 Internet-Sicherheits-Gateway Konfigurieren Sie die Firewall-Regel wie in der folgenden Abbildung dargestellt. Standardmäßig lässt Firewall keinen eingehenden Datenverkehr vom Internet ins lokale Netzwerk zu. In diesem Fall muss eine Pforte für den vom Internet stammenden Web-Dienst geöffnet werden. Klicken Sie dazu auf Internet und wechseln Sie zu Rule Summary.
ZyWALL 10 Internet-Sicherheits-Gateway Klicken Sie im vorigen Bildschirm auf DestAdd, um die Zieladresse als die IP-Adresse des Servers im LAN ein zustellen. 10.100.1.2 ist die IP-Adresse des Servers im LAN (für FTP-, http-, Telnet- und Mail- Dienste), an den die aus dem Internet stammenden Daten weitergeleitet werden.
ZyWALL 10 Internet-Sicherheits-Gateway Nachdem Sie die Regeln eingerichtet haben, sollte das Dialogfeld "Rule Summary" folgendermaßen aussehen. Klicken Sie auf Apply, um die Änderungen zu speichern und zu ZyWALL zurückzukehren. Pakete abweisen, wenn die folgenden Regeln nicht zutreffen. Die erste (Standard-)
ZyWALL 10 Internet-Sicherheits-Gateway 13.1.2 Beispiel 2: Kleines Büro mit Mail-, FTP- und Web-Servern Eine kleine Firma besitzt: einen Mail-Server mit der IP-Adresse 192.168.10.2 ii. zwei FTP-Server. Der erste FTP-Server (IP-Adresse 192.168.10.3) soll vom Internet aus zugänglich sein, der zweite (192.168.10.4) jedoch nur für interne Anwender, d.h. aus dem lokalen Netzwerk.
ZyWALL 10 Internet-Sicherheits-Gateway 3. Als nächstes soll der Zugriff auf das Internet mit Ausnahme über den HTTP-Proxy -Server und den Mail- Server unterbunden werden. Als erstes wird dazu ein benutzerdefinierter Port für POP3 eingerichtet. POP (Post Office Protocol) ist ein Internet-Mail-Server-Protokoll, das ein Speichersystem für eingehende Nachrichten darstellt.
ZyWALL 10 Internet-Sicherheits-Gateway 4. Als nächstes sollen Regeln erstellt werden, um den über den HTTP-Proxy -Server bzw. Mail-Server ausgehenden Datenverkehr vom lokalen Netzwerk ins Internet zu unterbinden. Klicken Sie dazu auf Local Network, um den Bildschirm Rule Summary aufzurufen. Klicken Sie auf eine freie Regelnummer (No.) und anschließend auf Edit, um den folgenden Bildschirm aufzurufen.
ZyWALL 10 Internet-Sicherheits-Gateway 7. Anschließend sollte das Dialogfeld Rule Summary wie in Abbildung 13-9 dargestellt. Wenn Sie mit der Einrichtung fertig sind, klicken Sie auf Apply, um die Ä nderungen zu speichern und zu ZyWALL zurückzukehren. Regel 1 leitet SMTP- und POP-Verkehr...
ZyWALL 10 Internet-Sicherheits-Gateway zunächst für diesen Server eine Pforte eingerichtet werden. Klicken Sie dazu auf Internet, um den Bildschirm Rule Summary aufzurufen. Klicken Sie auf eine freie Regelnummer (No.) und anschließend auf Edit, um den Bildschirm Rule Config(uration) aufzurufen. Klicken Sie anschließend unter dem Feld Destination Address erneut auf die Schaltfläche DestAdd, und geben Sie die IP-Adresse des ersten...
ZyWALL 10 Internet-Sicherheits-Gateway 13.1.3 Beispiel 3: DHCP-Abstimmung und Syslog für Verbindung aus dem Internet Nachfolgend finden Sie einige Beispiele zu Internet-Firewall-Regeln, die die DHCP-Abstimmung zwischen dem Provider und ZyWALL sowie eine vom Internet ausgehende Syslog-Verbindung ermöglichen. Gehen Sie folgendermaßen vor, um als erstes einen benutzerdefinierten Port einzurichten.
ZyWALL 10 Internet-Sicherheits-Gateway 2. Gehen Sie in wie in den vorherigen Beispielen beschrieben vor, um die gewünschten Regeln einzurichten. Füllen Sie die Felder zur Regelkonfiguration folgendermaßen aus, und speichern Sie die Änderungen (Apply). Adressbereich des Syslog- Klicken Sie auf Benutzerdefinierter Apply, wenn Sie fertig Servers.
ZyWALL 10 Internet-Sicherheits-Gateway 3. Wenn Sie mit der Einrichtung fertig sind, sollte der Bildschirm Rule Summary für diese Firewall-Regel wie in der folgenden Abbildung dargestellt aussehen. Wenn Sie mit der Einrichtung fertig sind, klicken Sie auf Apply, um die Ä nderungen zu speichern und zu ZyWALL zurückzukehren.
ZyWALL 10 Internet-Sicherheits-Gateway Kapitel 14 Inhaltsfilter Dieses Kapitel vermittelt eine kurze Übersicht zur Inhaltsfilterung mit Hilfe des integrierten Web Configurators. Weitere Hinweise finden Sie in der HTML -Hilfe auf der mitgelieferten CD. Die Inhaltsfilterung bietet Schulen und Firmen die Möglichkeit, den Internet-Zugang so einzurichten, dass bestimmte Inhalte ausgefiltert werden können.
ZyWALL 10 Internet-Sicherheits-Gateway 14.4 Anpassen Sie können die Filterliste für die Inhalte anpassen, indem Sie selbst bestimmte Seiten hinzufügen oder entfernen. 14.5 Stichwörter ZyWALL kann so eingerichtet werden, dass bestimmte Webseiten über URL-Stichwörter ausgefiltert werden. 14.6 Protokoll Im Bildschirm Log Records können Sie die Ergebnisse der Inhaltsfilterung einsehen.
Erweiterte Verwaltungsfunktionen Teil IV: Erweiterte Verwaltungsfunktionen Teil IV umfasst Informationen zu den Filterfunktionen, zur SNMP-Konfiguration, zur Systeminformation und –diagnose, zur Firmware und den Konfigurationsdateien, der Systemverwaltung und zu Telnet.
ZyWALL 10 Internet-Sicherheits-Gateway Kapitel 15 Filterkonfiguration In diesem Kapitel lernen Sie, wie Sie Filter erstellen und anwenden. 15.1 Einige Worte zu Filtern Ihr ZyWALL benutzt Filter, um zu entscheiden, wann Pakete versendet oder empfangen werden, oder wann ein Anruf zugelassen wird. Es gibt zwei Anwendungsbereiche für Filter: Datenfilterung und Anruffilterung.
ZyWALL 10 Internet-Sicherheits-Gateway Bei eingehenden Paketen führt ZyWALL ausschließlich eine Datenfilterung durch. Die Pakete werden so verarbeitet wie ein bestimmtes Filter zutrifft. In den folgenden Abschnitten wird das Einrichten der Filtersets beschrieben. 15.1.1 Filterstruktur von ZyWALL Ein Filterset besteht aus einer oder mehreren Filterregeln. Es ist empfehlenswert, artverwandte Regeln (z.B.
ZyWALL 10 Internet-Sicherheits-Gateway Abbildung 15-2 Verarbeitung einer Filterregel Es können bis zu vier Filtersets auf einen bestimmten Port angewendet werden, um verschiedenartige Pakete auszuschließen. Da jedes Filterset bis zu sechs Regeln beinhalten darf, können pro Port bis zu 24 Regeln eingerichtet werden.
ZyWALL 10 Internet-Sicherheits-Gateway 15.2 Filtersets einrichten Um Filtersets einzurichten, gehen Sie folgendermaßen vor. Wählen Sie im Hauptmenü die Option 21 Filter Set Configuration, um das Menü 21 zu öffnen. Menu 21 - Filter and Firewall Setup 1. Filter Setup 2. Firewall Setup 3.
Seite 193
ZyWALL 10 Internet-Sicherheits-Gateway Menu 21.1.1 - Filter Rules Summary # A Type Filter Rules M m n - - ---- -------------------------------------------- --------- - - - 1 Y IP Pr=6, SA=0.0.0.0, DA=0.0.0.0, DP=137 N D N 2 Y IP Pr=6, SA=0.0.0.0, DA=0.0.0.0, DP=138...
ZyWALL 10 Internet-Sicherheits-Gateway 15.2.1 Menü Filter Rules Summary In diesem Abschnitt finden Sie eine Ü bersicht der bereits vorhandenen Regeln des Filtersets. Die folgenden Tabellen enthalten eine kurze Beschreibung der in diesen Menüs enthaltenen Abkürzungen. Tabelle 15-1 Abkürzungen des Menüs Filter Rules Summary...
ZyWALL 10 Internet-Sicherheits-Gateway Nachfolgend sind die Abkürzungen für die protokollspezifischen Filterregeln aufgeführt: Tabelle 15-2 Abkürzungen bei Regeln ABKÜRZUNG BESCHREIBUNG Protocol (Protokoll) Source Address (Ursprungsadresse) Source Port number (Ursprungs - Portnummer) Destination Address (Zieladresse) Destination Port number (Ziel- Portnummer) Offset Length (Länge) Im folgenden Abschnitt finden Sie weitere Hinweise zum Einrichten der Filterregeln.
Seite 196
ZyWALL 10 Internet-Sicherheits-Gateway Um eine TCP/IP-Regel einzurichten, wählen Sie im Feld Filter Type die Option TCP/IP-Filter Rule und drücken die Eingabetaste, um das Menü 21.1.1 - TCP/IP Filter Rule aufzurufen (siehe folgende Abbildung). Menu 21.1.1.1 - TCP/IP Filter Rule Filter #: 1,1...
Seite 197
ZyWALL 10 Internet-Sicherheits-Gateway FELD BESCHREIBUNG OPTIONEN IP Address Geben Sie hier die IP-Zieladresse des Paketes an, das Sie 0.0.0.0 filtern möchten. Wenn Sie 0.0.0.0 eingeben, wird das Feld ignoriert. IP Mask Geben Sie hier die IP-Maske ein, auf die sich die IP- 0.0.0.0...
Seite 198
ZyWALL 10 Internet-Sicherheits-Gateway FELD BESCHREIBUNG OPTIONEN Action Matched Wählen Sie den Vorgang, der bei zutreffender Filterung Check Next Rule ausgelöst werden soll. Forward Drop Action Not Matched Wählen Sie den Vorgang, der ausgelöst werden soll, wenn Check Next Rule die Filterung nicht zutrifft.
Seite 199
ZyWALL 10 Internet-Sicherheits-Gateway In der folgenden Abbildung ist die logische Verarbeitung eines IP-Filters veranschaulicht. Abbildung 15-7 Verarbeitung eines IP-Filters Filterkonfiguration 15-11...
ZyWALL 10 Internet-Sicherheits-Gateway 15.2.4 Allgemeine Filterregel In diesem Abschnitt lernen Sie, wie Sie eine allgemeine Filterregel einrichten. Allgemeine Regeln dienen zum Filtern von Paketen, die nicht IP-adressbezogen sind. Für IP-adressbezogene Pakete ist es im Allgemeinen einfacher IP-spezifische Regeln anzuwenden. Im Gegensatz zu IP- oder IPX-Paketen, werden die Pakete bei allgemeinen Regeln als Byte-Folge behandelt.
Seite 201
ZyWALL 10 Internet-Sicherheits-Gateway In der folgenden Tabelle sind die Felder des Menüs Generic Filter Rule beschrieben. Tabelle 15-4 Felder des Menüs Generic Filter Rule FELD BESCHREIBUNG OPTIONEN Filter # Dies sind die Koordinaten für Filterset und Filterregel, d.h. 2,3 bedeutet das zweite Filterset und die dritte Regel dieses Sets.
ZyWALL 10 Internet-Sicherheits-Gateway 15.3 Beispiele zu Filtern Im Folgenden wird ein Beispiel zum Unterbinden von Telnet-Anfragen an Ihren ZyWALL beschrieben. Auf der mitgelieferten Diskette finden Sie zusätzliche Beispiele zu Filtern. Abbildung 15-9 Beispiel des Telnet-Filters Wählen Sie im Hauptmenü die Option "21", um das Menü 21.1 - Filter Set Configuration, zu öffnen.
Seite 203
ZyWALL 10 Internet-Sicherheits-Gateway Betätigen Sie die Leertaste, um Menu 21.1.1 - TCP/IP Filter Rule diese Filterregel auszuwählen. Filter #: 3,1 Filter Type= TCP/IP Filter Rule Der erste Regeltyp legt alle Active= Yes IP Protocol= 6 IP Source Route= No weiteren Filterarten des Sets Destination: IP Addr= 0.0.0.0...
Seite 204
ZyWALL 10 Internet-Sicherheits-Gateway Menu 21.1.3 - Filter Rules Summary # A Type Filter Rules M m n - - ---- --------------------------------------------------------------- - - - 1 Y IP Pr=6, SA=0.0.0.0, DA=0.0.0.0, DP=23 N D F Enter Filter Rule Number (1-6) to Configure: 1...
ZyWALL 10 Internet-Sicherheits-Gateway Drücken Sie nach Eingabe der Setnummern zur Bestätigung die Eingabetaste, um das Menü 11.5 zu verlassen. 15.4 Filterarten und NAT Es gibt zwei Arten von Filterregeln: Generic Filter (Device), allgemeine, gerätespezifische Filterregeln und protokollspezifische Filterregeln (TCP/IP). Allgemeine Filterregeln werden auf den kontinuierlichen Datenfluss zwischen dem LAN und dem WAN angewandt.
ZyWALL 10 Internet-Sicherheits-Gateway 15.6 Anwenden eines Filters und werksseitige Voreinstellungen In diesem Abschnitt lernen Sie, wo Sie Ihre Filter aktivieren, nachdem Sie sie erstellt haben. Werksseitig wurden bereits einige Filtersets in Menü 21 eingerichtet, sodass NetBIOS-Pakete keinerlei Anrufe auslösen und es Paketen nicht möglich ist, per Telnet, FTP und HTTP in das Netzwerk einzudringen.
ZyWALL 10 Internet-Sicherheits-Gateway 15.6.2 Filter für entfernte Gegenstellen Gehen Sie zu Menü 11.5 (siehe unten - beachten Sie, dass Filtersets zum Unterbinden ausgehender Anrufe ausschließlich für die PPPoE-Encapsulation vorhanden sind), und geben Sie die Nummern der Filter ein, die Sie aktivieren möchten. Sie können bis zu vier Filtersets angeben, indem Sie die betreffenden Nummern durch Kommata getrennt eingeben.
ZyWALL 10 Internet-Sicherheits-Gateway Kapitel 16 SNMP-Konfiguration Dieses Kapitel befasst sich mit der SNMP-Konfiguration in Menü 22. SNMP ist nur verfü gbar, wenn Sie das TCP/IP-Protokoll eingerichtet haben. 16.1 Allgemeines zu SNMP SNMP (Simple Network Management Protocol) ist ein Protokoll zum Austausch von Verwaltungsdaten zwischen verschiedenen Netzwerkgeräten.
ZyWALL 10 Internet-Sicherheits-Gateway Abbildung 16-1 Modell der SNMP-Verwaltung Ein über SNMP verwaltetes Netzwerk besteht aus zwei Hauptkomponenten: dem Agenten und einem Manager. Agenten sind Module einer Verwaltungssoftware, die in einem zu verwaltenden Gerät untergebracht sind (dem ZyWALL). Der Agent übersetzt dabei die lokalen Verwaltungsinformationen des verwalteten Gerätes in ein Format, das SNMP-kompatibel ist.
ZyWALL 10 Internet-Sicherheits-Gateway Begriff Management Information Base (MIB) eine Sammlung verwalteter Objekte. SNMP ermöglicht die Kommunikation zwischen Manager und Agenten, damit ein Zugriff auf diese Objekte gewährleistet wird. Das SNMP-Protokoll selbst besteht aus einfachen Anfragen und Antworten und basiert auf dem Manager/Agenten-Modell.
ZyWALL 10 Internet-Sicherheits-Gateway Menu 22 - SNMP Configuration SNMP: Get Community= public Set Community= public Trusted Hgst= 0.0.0.0 Trap: Community= public Destination= 0.0.0.0 Press ENTER to Confirm or ESC to Cancel: Abbildung 16-2 Menü 22 — SNMP Configuration In der folgenden Tabelle sind die Parameter zur SNMP-Konfiguration beschrieben.
ZyWALL 10 Internet-Sicherheits-Gateway 16.4 SNMP-Traps ZyWALL sendet Traps an den SNMP-Manager, wenn eines der folgende Ereignisse eintritt: Tabelle 16-2 SNMP-Traps TRAP- TRAP-NAME BESCHREIBUNG coldStart (Definition siehe RFC- Es wird ein Trap nach einem hardwareseitigen Neustart 1215) (Einschalten) gesendet. warmStart (Definition siehe RFC-...
ZyWALL 10 Internet-Sicherheits-Gateway Kapitel 17 Systeminformation und -Diagnose Dieses Kapitel beschreibt die SMT-Menüs 24.1 bis 24.4. In diesem Kapitel lernen Sie die Diagnosewerkzeuge kennen, die zur Verwaltung von ZyWALL benötigt werden. Dazu gehören Funktionen wie das Abfragen des Systemstatus, des Portstatus, Protokollierungs- und Verfolgungsfunktionen sowie Aktualisierungen der Systemsoftware.
ZyWALL 10 Internet-Sicherheits-Gateway So erhalten Sie Informationen zum Systemstatus. Geben Sie "24" ein, um Menü 24 - System Maintenance aufzurufen . Geben Sie in diesem Menü "1" ein, um das Untermenü System Maintenance - Status aufzurufen. Im Menü 24.1 - System Maintenance - Status stehen drei Befehle zur Verfügung. Option 1 unterbricht die WAN-Verbindung, Option 9 setzt alle Zähler zurück, und [Esc] dient zum Verlassen...
ZyWALL 10 Internet-Sicherheits-Gateway Tabelle 17-1 Felder des Menüs System Maintenance — Status FELD BESCHREIBUNG Port Der WAN- bzw. LAN-Port. Status Wenn Sie die Ethernet Encapsulation verwenden, wird hier die Geschwindigkeit des Port sowie die Duplexeinstellung angezeigt; Verwenden Sie hingegen PPPoE Encapsulation, erscheint hier down (Leitung ist unterbrochen), idle (Verbindung (ppp) bereit), dial (Anruf wird durchgeführt) oder drop (Anruf wird beendet).
ZyWALL 10 Internet-Sicherheits-Gateway Geben Sie "24" ein, um das Menü 24 - System Maintenance zu öffnen. Geben Sie "2" ein, um das Menü 24.2 - System Information and Console Port Speed zu öffnen. In diesem Menü können Sie zwischen den folgenden zwei Funktionen auswählen.
ZyWALL 10 Internet-Sicherheits-Gateway Tabelle 17-2 Felder des Untermenüs System Maintenance — Information FELD BESCHREIBUNG Name Hier wird der System - und Domain-Name von ZyWALL angezeigt, der in Menü 1 eingestellt wurde. Beispiel: System Name = xxx; Domain Name = baboo.mickey.com Name= xxx.baboo.mickey.com...
ZyWALL 10 Internet-Sicherheits-Gateway 17.3 Protokollierung und Weiterverfolgung ZyWALL unterstützt zwei Protokollfunktionen. Die erste besteht aus Fehlerprotokollen und der Aufzeichnung für die Weiterverfolgung von Paketen, die lokal abgespeichert werden. Die zweite ist die UNIX-Systemprotokollfunktion zum Aufzeichnen von Benachrichtigungen. 17.3.1 Fehlerprotokoll ansehen Wenn etwas nicht funktioniert, sollten Sie als erstes das Fehlerprotokoll mit den Aufzeichnungen weiterverfolgter Pakete sichten.
ZyWALL 10 Internet-Sicherheits-Gateway 59 Thu Jan 1 00:00:03 2000 PINI INFO SMT Session Begin 60 Thu Jan 1 00:05:11 2000 PINI INFO SMT Session End 61 Thu Jan 1 00:17:59 2000 PINI INFO SMT Session Begin 62 Thu Jan 1 00:24:40 2000 PINI...
Seite 222
ZyWALL 10 Internet-Sicherheits-Gateway Tabelle 17-3 Parameter des Menüs System Maintenance PARAMETER BESCHREIBUNG UNIX Syslog: Active Betätigen Sie die Leertaste, um das Systemprotokoll ein- bzw. auszuschalten. Syslog IP Address Geben Sie die IP-Adresse des Servers, der die CDR (Call Detail Record) und Systemmeldungen aufzeichnen soll - also des Syslog-Servers - ein.
ZyWALL 10 Internet-Sicherheits-Gateway 17.3.3 Call-Triggering Packet Die Option "Call Triggering Packet" zeigt Daten zu dem Paket an, das den ausgehenden Anruf ausgelöst hat. Die äquivalenten Daten in hexadezimaler Notation können Sie in Menü 24.1 abfragen. Nachfolgend finden Sie ein entsprechendes Beispiel: IP Frame: ENET0-RECV Size: Time: 17:02:44.262...
ZyWALL 10 Internet-Sicherheits-Gateway Menu 24.4 - System Maintenance - Diagnostic TCP/IP Ping Host WAN DHCP Release WAN DHCP Renewal Internet Setup Test System 11. Reboot System Enter Menu Selection Number: Host IP Address= N/A Abbildung 17-10 Menü 24.4 — System Maintenance — Diagnostic So gelangen Sie in Menü...
ZyWALL 10 Internet-Sicherheits-Gateway Abbildung 17-11 DHCP für WAN und LAN In der folgenden Tabelle sind die in Menü 24.4 verfügbaren Diagnosefunktionen sowie Verbindungsarten Ihres ZyWALL beschrieben. Tabelle 17-4 Diagnosefunktionen des Menüs System Maintenance FELD BESCHREIBUNG Ping Host Geben Sie "1" ein, um einen beliebigen Computer (mit IP-Adresse) des LAN- oder WAN-Netzwerkes anzusprechen.
Seite 228
ZyWALL 10 Internet-Sicherheits-Gateway hier die IP-Adresse des Computers ein, den Sie ansprechen möchten. Geben Sie die Ziffer der gewünschten Auswahl ein, oder rücken Sie [ESC], um abzubrechen. 17-14 Systeminformation und -Diagnose...
ZyWALL 10 Internet-Sicherheits-Gateway Kapitel 18 Firmware und Konfiguration sichern In diesem Kapitel lernen Sie, wie Sie Sicherheitskopien der Konfigurationsdatei erstellen, wie Sie diese zurückspielen und wie Sie neue Firmware-Versionen bzw. Konfigurationsdateien auf das Gerät überspielen. 18.1 Dateinamenskonventionen In der Konfigurationsdatei (auch romfile oder rom -0 genannt) sind werksseitige Einstellungen der Menüs wie Kennwort, DHCP- und TCP/IP-Einstellungen usw.
ZyWALL 10 Internet-Sicherheits-Gateway In der folgenden Tabelle finden Sie eine Ü bersicht. Dabei bezieht sich der interne Dateiname auf den Dateinamen, der sich im ZyWALL befindet und der externe auf den Namen der Datei, die sich nicht im ZyWALL befindet, d.h., auf Ihrem Computer, auf dem lokalen Netzwerk oder einer FTP-Seite, sodass der Name selbst (aber nicht die Erweiterung) unterschiedlich sein kann.
ZyWALL 10 Internet-Sicherheits-Gateway bzw. zurückspielen. Dazu können Sie eine beliebige serielle Kommunikationssoftware verwenden. Beachten Sie jedoch, dass Sie dabei das Xmodem-Protokoll verwenden müssen und die Dateien nicht umbenannt werden dürfen (siehe Abschnitt 18.1). Bitte beachten Sie, dass die Termini "herunterladen" und "hochladen" in Bezug auf den Computer verwandt werden.
ZyWALL 10 Internet-Sicherheits-Gateway Verwenden Sie den Befehl "get", um Dateien vom ZyWALL auf Ihren Computer zu überspielen. Z.B. übermittelt der Befehl "get rom -0 config.rom" die ZyWALL-Konfigurationsdatei auf Ihrem Computer und benennt sie in "config.rom" um. Weitere Hinweise zur Dateinamenskonvention finden Sie weiter oben in diesem Kapitel.
ZyWALL 10 Internet-Sicherheits-Gateway BEFEHL BESCHREIBUNG Der Server benötigt einen eindeutigen Benutzernamen und ein zugehöriges Kennwort. Transfer Type Der Übertragungsmodus kann entweder in ASCII (nur Test) oder binär erfolgen. Initial Remote Directory Wählen Sie den Pfad auf dem entfernten Gerät aus.
ZyWALL 10 Internet-Sicherheits-Gateway Stellen Sie per Telnet die Verbindung zwischen Ihrem Computer und ZyWALL her, und melden Sie sich an. Da TFTP keinerlei Sicherheitstests durchführt, zeichnet ZyWALL die IP-Adresse des Telnet- Clients auf und nimmt anschließend nur TFTP-Anfragen von dieser Adresse entgegen.
ZyWALL 10 Internet-Sicherheits-Gateway Tabelle 18-3 Allgemeine Befehle für TFTP-Clients BEFEHL BESCHREIBUNG Host Hier geben Sie die IP-Adresse des ZyWALL ein. Werksseitig wird ZyWALL mit der IP-Adresse 192.168.1.1 ausgeliefert. Send/Fetch Verwenden Sie "Send", um die Datei auf ZyWALL hochzuladen oder klicken Sie auf "Fetch", um eine Sicherungskopie der Datei auf Ihrem Computer zu speichern.
ZyWALL 10 Internet-Sicherheits-Gateway Starten Sie das Programm HyperTerminal, und klicken Sie auf "Ü bertragung" und anschließend auf "Datei empfangen", um das folgende Dialogfeld aufzurufen. Ziel zum Speichern der Konfigurationsdatei eingeben oder mit Durchsuchen anwählen Xmodem-Protokoll auswählen. Auf Empfangen klicken. Abbildung 18-5 Beispiel für Sicherungskopie Nach erfolgreicher Ü...
ZyWALL 10 Internet-Sicherheits-Gateway Zum Wiederherstellen der aktuellen Konfigurationsdatei von Ihrem Computer sollten Sie möglichst FTP- oder TFTP-Programme verwenden, da die Ü bertragung dabei schneller vonstatten geht. ACHTUNG! UNTERBRECHEN SIE DIE DATEIÜ BERTRAGUNG NIEMALS, DA ANSONSTEN ZYWALL UNWIDERRUFLICH BESCHÄ DIGT WERDEN KANN. SOBALD DER KONFIGURATIONSVORGANG BEENDET IST, WIRD ZYWALL AUTOMATISCH N EU GESTARTET.
ZyWALL 10 Internet-Sicherheits-Gateway Suchen Sie die gewünschte "rom" -Datei auf Ihrem Computer, die auf ZyWALL aufgespielt werden soll. Verwenden Sie den Befehl "put", um Dateien vom ZyWALL auf Ihrem Computer zu überspielen. Z.B. übermittelt der Befehl "put config.rom rom -0" die ZyWALL-Konfigurationsdatei auf Ihren Computer und benennt sie in "config.rom"...
ZyWALL 10 Internet-Sicherheits-Gateway Ready to restore Configuration via Xmodem. Do you want to continue (y/n): Abbildung 18-9 System Maintenance — Restore Configuration Der folgende Bildschirm zeigt an, dass eine Xmodem- Ü bertragung gestartet wurde. Starting XMODEM download (CRC mode) ...
ZyWALL 10 Internet-Sicherheits-Gateway Nach erfolgreicher Ü bertragung erscheint der folgende Bildschirm. Drücken Sie eine beliebige Taste, um ZyWALL neu zu starten und zum SMT-Menü zurückzukehren. Save to ROM Hit any key to start system reboot. Abbildung 18-12 Zurückspielen erfolgreich 18.4 Firmware- und Konfigurationsdateien hochladen In diesem Abschnitt lernen Sie, wie Sie Firmware- und Konfigurationsdateien hochladen.
ZyWALL 10 Internet-Sicherheits-Gateway Menu 24.7.1 - System Maintenance - Upload System Firmware To upload the system firmware, follow the procedure below: 1. Launch the FTP client on your workstation. 2. Type "open" and the IP address of your system. Then type "root" and SMT password as requested.
ZyWALL 10 Internet-Sicherheits-Gateway 18.4.3 Beispiel für FTP-Befehl zum Hochladen im MS-DOS-Fenster Starten Sie auf Ihrem Computer den FTP-Client. Geben Sie den Befehl "open" gefolgt von einem Leerzeichen und der IP-Adresse von ZyWALL ein. Wenn Sie nach einem Benutzernamen gefragt werden, drücken Sie die Eingabetaste Geben Sie das Kennwort ein (Standardkennwort "1234").
ZyWALL 10 Internet-Sicherheits-Gateway Eine Befehlsreferenz (die z.B. in FTP-Clients anderer Hersteller verwendet werden) finden Sie weiter oben in diesem Kapitel. Lesen Sie den Abschnitt 18.2.5, um weitere Hinweise zu Konfigurationen zu erhalten, die keine TFTP- oder FTP-Verbindungen über das WAN-Netzwerk erlauben.
ZyWALL 10 Internet-Sicherheits-Gateway 18.4.6 Beispiel zum Hochladen mit TFTP-Befehlen Das folgende Beispiel ist ein TFTP-Befehl: TFTP [-i] host put firmware.bin ras "i" bedeutet binäre Ü bertragung, "host" ist die IP-Adresse des ZyWALL, "put" dient zum Ü bertragen der Quelldatei vom Computer (die Firmware ist unter dem Namen firmware.bin auf dem PC gespeichert) in die Zieldatei des Host (ras - Name der Firmware des ZyWALL).
ZyWALL 10 Internet-Sicherheits-Gateway Nach dem Erscheinen der Meldung "Starting Xmodem upload", aktivieren Sie die Xmodem- Ü bertragung auf Ihrem Computer. Folgen Sie der Vorgehensweise wie weiter oben für HyperTerminal beschrieben. Bei anderer serieller Kommunikationssoftware ist die Vorgehensweise ähnlich. 18.4.9 Bespiel zum Hochladen der Firmware per Xmodem mit HyperTerminal Klicken Sie auf Übertragung und anschließend auf Datei senden, um das folgende Dialogfeld aufzurufen.
ZyWALL 10 Internet-Sicherheits-Gateway Menu 24.7.2 - System Maintenance - Upload Router Configuration File To upload router configuration file: 1. Enter "y" at the prompt below to go into debug mode. 2. Enter "atlc" after "Enter Debug Mode" message. 3. Wait for "Starting XMODEM upload" message before activating Xmodem upload on your terminal.
ZyWALL 10 Internet-Sicherheits-Gateway 18.4.11 Beispiel zum Hochladen der Konfigurationsdatei per Xmodem mit HyperTerminal Klicken Sie auf Übertragung und anschließend auf Datei senden, um das folgende Dialogfeld aufzurufen. Pfad der Konfigurations- datei eingeben oder Durchsuchen. Xmodem-Protokoll auswählen. Klicken Sie auf Senden Abbildung 18-19 Beispiel zum Hochladen via Xmodem Sobald die Ü...
ZyWALL 10 Internet-Sicherheits-Gateway Kapitel 19 Systemverwaltung und -information Dieses Kapitel leitet Sie durch die SMT-Menüs 24.8 bis 24.11. 19.1 Befehlsinterpreter-Modus Der Befehlsinterpreter-Modus (CI, Command Interface) ist ein fester Bestandteil der Router-Firmware. Er ermöglicht denselben Funktionsumfang wie das SMT plus einige zusätzliche Einrichtungs- und Diagnosefunktionen.
ZyWALL 10 Internet-Sicherheits-Gateway Copyright (c) 1994 - 2001 ZyXEL Communications Corp. ras> ? Valid commands are: exit device ether config hdap ras> Abbildung 19-2 Gültige Befehle 19.2 Anrufüberwachung ZyWALL unterstützt zwei Arten von Anrufüberwachung: Budgetverwaltung und Anrufprotokoll. Bitte beachten Sie, dass dieses Menü nur verfügbar ist, wenn Sie in Menü 4 bzw. Menü 11.1 unter Encapsulation den Wert PPPoE oder PPTP gewählt haben.
ZyWALL 10 Internet-Sicherheits-Gateway 19.2.1 Budgetverwaltung Ü ber Menü 24.9.1 können Sie die Budget-Verwaltungsstatistik ausgehender Anrufe verfolgen. Geben Sie in Menü 24.9 - System Maintenance - Call Control den Wert 1 ein, um das folgende Menü aufzurufen. Menu 24.9.1 - Budget Management...
ZyWALL 10 Internet-Sicherheits-Gateway Elapsed Time/Total Period kennzeichnet das Zeitintervall in Stunden, 0.5/1 bedeutet, Period nach dem das zugewiesene Budget zurückgesetzt dass von dem wird (siehe Menü 11.1). Elapsed time steht für die Zeitintervall von innerhalb dieses Zeitintervalls verstrichene Zeit. einer Stunde bereits 30 Minuten verstrichen sind.
ZyWALL 10 Internet-Sicherheits-Gateway Geben Sie eine Eintragsnummer ein, um den Inhalt zu löschen, oder wählen Sie "0" zum Beenden. 19.3 Datum und Uhrzeit ZyWALL besitzt keinen Echtzeitchip, sodass ein softwareseitiger Mechanismus zum manuellen Einstellen und zum Abfragen von Datum und Uhrzeit von einem externen Server zum Zeitpunkt des Einschaltens vorgesehen ist.
ZyWALL 10 Internet-Sicherheits-Gateway Menu 24.10 - System Maintenance - Time and Date Setting Use Time Server when Bootup= None Time Server IP Address= N/A Current Time: 00 : 00 : 00 New Time (hh:mm:ss): 11 : 23 : 16 Current Date:...
ZyWALL 10 Internet-Sicherheits-Gateway FELD BESCHREIBUNG Daylight Saving Wenn Sie die Sommerzeit verwenden, wählen Sie Yes. Start Date Geben Sie den Monat und den Tag ein, an dem die Sommerzeit beginnt (falls zutreffend). End Date Geben Sie den Monat und den Tag ein, an dem die Sommerzeit endet (falls zutreffend).
ZyWALL 10 Internet-Sicherheits-Gateway Die Fernwartung ist nur von einem einzigen IP-Host aus möglich. Tabelle 19-4 Menü 24.11 — Remote Management Control FELD BESCHREIBUNG BEISPIEL FTP service active Drücken Sie die Leertaste, um No auszuwählen, und betätigen Sie die Eingabetaste, um sämtliche FTP-Aktivitäten (sowohl auf dem LAN- als auch dem WAN-Netzwerk) zu unterbinden.
ZyWALL 10 Internet-Sicherheits-Gateway ======= Debug Command Listing ======= just answer OK ATHE print help ATBAx change baudrate. 1:38.4k, 2:19.2k, 3:9.6k 4:57.6k 5:115.2k ATENx,(y) set BootExtension Debug Flag (y=password) ATSE show the seed of password generator ATTI(h,m,s) change system time to hour:min:sec or show current time...
ZyWALL 10 Internet-Sicherheits-Gateway Kapitel 20 Telnet-Konfiguration und -Funktionen In diesem Kapitel wird die Telnet-Konfiguration und die zusammenhängenden Funktionen des ZyWALL beschrieben. 20.1 Über die Telnet-Konfiguration Bevor ZyWALL für das TCP/IP-Protokoll eingerichtet ist, besteht die einzige Konfigurationsmöglichkeit über den Konsolport. Nachdem Sie ZyWALL erstmalig konfiguriert haben, können Sie ihn per Telnet fernwarten.
ZyWALL 10 Internet-Sicherheits-Gateway Server auf den ZyWALL mit Hilfe seiner internen LAN-IP-Adresse weiterleiten. Wird kein interner Server angegeben, werden Telnet-Verbindungen zur NAT-IP-Adresse direkt auf den ZyWALL geleitet. 20.3 Telnet-Funktionen 20.3.1 Einzeladministrator Um Misskonfigurationen und Ü berlappungen zu vermeiden, lässt ZyWALL immer nur einen Administrator gleichzeitig zu.
Seite 261
ZyWALL 10 Internet-Sicherheits-Gateway Die Firewall-Funktion aktiviert wurde. Standardmäßig unterbindet Firewall sämtlichen vom WAN- Netzwerk stammenden Datenverkehr, sodass zum Verwenden der FTP- Ü bertragung über das WAN die Firewall-Funktion ausgeschaltet (Menü 21.2) oder eine Firewall-Regel eingerichtet werden muss, die die FTP- Übertragung über das WAN-Netzwerk zulässt.
Anrufzeitplan und VPN/IPSec Teil V: Anrufzeitplan und VPN/IPSec Teil V befasst sich mit der Zeitprogrammierung für Anrufe und den VPN/IPSec-Funktionen (einschließlich der Überwachung der Sicherheitszuordnungen und dem IPSec–Protokoll).
ZyWALL 10 Internet-Sicherheits-Gateway Kapitel 21 Anrufzeitplan In diesem Kapitel wird die Programmierung des Anrufzeitplans für entfernte Gegenstellen beschrieben. 21.1 Einführung Der Anrufzeitplan dient zum Verwalten der Wahlverbindungen zur entfernten Gegenstelle des ZyWALL. Dabei können Zeitpunkt und Dauer der Anrufe vorgegeben werden. Diese Funktion ist vergleichbar mit der Programmierung eines Videorekorders (Sie können einen Film automatisch zu einem bestimmten Zeitpunkt...
ZyWALL 10 Internet-Sicherheits-Gateway Menu 26 - Schedule Setup Schedule Schedule Set # Name Set # Name ------ ------------------ ------ ------------------ ______________ ______________ ______________ ______________ ______________ ______________ ______________ ______________ ______________ ______________ ______________ ______________ Enter Schedule Set Number to Configure= Edit Name=...
ZyWALL 10 Internet-Sicherheits-Gateway 21.3 Schedule Set Setup Um einen Anrufzeitplan einzurichten, wählen Sie den gewünschten Zeitplan in Menü 26 (1-12) aus, drücken die Eingabetaste und benennen ihn. Drücken Sie die Eingabetaste, um Menu 26.1 - Schedule Set Setup anzuzeigen (siehe folgende Abbildung).
ZyWALL 10 Internet-Sicherheits-Gateway How Often Soll dieser Zeitplan wöchentlich wiederholt oder nur ein einziges Mal Once ausgeführt werden? Wählen Sie Once (ein Mal) oder Weekly (Standard) (wöchentlich). Beide Optionen schließen sich gegenseitig aus. Wählen Sie Once, werden alle Wochentage auf N/A gesetzt. In diesem Fall wird der Zeitplan automatisch gelöscht, nachdem er...
ZyWALL 10 Internet-Sicherheits-Gateway Menu 11.1 - Remote Node Profile Rem Node Name= ChangeMe Route= IP Active= Yes Encapsulation= PPPoE Edit IP= No Service Type= Standard Telco Option: Service Name= Allocated Budget(min)= 0 Outgoing: Period (hr)= 0 Rem Login= Schedules= 1,3,4...
ZyWALL 10 Internet-Sicherheits-Gateway Kapitel 22 IPSec VPN Diese Kapitel führt Sie in die Grundlagen von IPSec VPNs ein. 22.1 Einführung 22.1.1 VPN Ein VPN (Virtual Private Network) bietet eine sichere Kommunikationsplattform zwischen zwei Parteien, ohne dass dazu teure Standleitungen eingerichtet werden müssen. Ein sicheres VPN vereint Funktionen zur Weiterleitung, Verschlüsselung, Authentifizierung, Zugriffskontrolle und Ü...
ZyWALL 10 Internet-Sicherheits-Gateway Abbildung 22-1 Verschlüsselung und Decodierung Vertraulichkeit Der IPSec–Sender kann Pakete vor dem Versenden in ein Netzwerk verschlüsseln. Datenintegrität Der IPSec–Empfänger kann die empfangenen Pakete des Senders überprüfen, um sicherzustellen, dass die Daten während der Ü bertragung nicht verändert wurden.
ZyWALL 10 Internet-Sicherheits-Gateway 22.2 IPSec-Architektur Die grundsätzliche IPSec-Architektur ist in der folgenden Abbildung dargestellt. Abbildung 22-3 IPSec-Architektur 22.2.1 IPSec-Algorithmen Die Protokolle ESP (Encapsulating Security Payload) Protocol (RFC 2406) und AH (Authentication Header) (RFC 2402) beschreiben die Paketformate und die Paketstruktur (einschließlich Algorithmen zur Implementierung).
ZyWALL 10 Internet-Sicherheits-Gateway 22.2.2 Schlüssel-Management (Key-Management) Das Key-Management legt fest, ob Sie einen IKE (ISAKMP) oder eine manuelle Schlüsselkonfiguration beim Einrichten des VPN verwenden möchten. 22.3 Encapsulation Die beiden möglichen Betriebsarten von IPSec-VPNs sind Transport und Tunnel. Abbildung 22-4 IPSec-Encapsulation im Transport- und Tunnel-Modus 22.3.1 Transport-Betrieb...
ZyWALL 10 Internet-Sicherheits-Gateway Interner Header: Der interne IP-Header enthält die IP-Zieladresse des Zielsystems, das sich hinter dem VPN-Gateway befindet. Das Sicherheitsprotokoll steht hinter dem externen IP-Header und demnach vor dem internen IP-Header. 22.4 IPSec und NAT Lesen Sie diesen Abschnitt, wenn Sie IPSec auf einem Host-Computer einsetzen, der sich hinter Ihrem ZyWALL befindet.
Seite 277
ZyWALL 10 Internet-Sicherheits-Gateway Tabelle 22-1 VPN und NAT SICHERHEITS- BETRIEB PROTOKOLL Transport Tunnel Transport Tunnel IPSec VPN 22-7...
ZyWALL 10 Internet-Sicherheits-Gateway Kapitel 23 VPN/IPSec-Einrichtung Diese Kapitel befasst sich mit den VPN-Menüs im SMT -Hilfsprogramm. 23.1 VPN/IPSec-Einrichtung Das VPN/IPSec–Hauptmenü enthält drei Untermenüs. Definition von VPN-Profilen in Menü 27.1, einschließlich Sicherheit, Endpunkt-IP-Adressen, Peer- IPSec-Router-IP und Verwaltung von Schlüsseln zur Datenchiffrierung.
ZyWALL 10 Internet-Sicherheits-Gateway Geben Sie im Hauptmenü "27" ein, um das erste VPN-Menü anzuzeigen (siehe folgende Abbildung). Menu 27 - VPN/IPSec Setup 1. IPSec Summary 2. SA Monitor 3. View IPSec Log Abbildung 23-2 Menü 27 — VPN/IPSec Setup 23.2 IPSec-Algorithmen Die Protokolle ESP und AH sind erforderlich, um eine Sicherheitszuordnung (Security Association - SA) herzustellen, die Basis für jedes IPSec-VPN.
ZyWALL 10 Internet-Sicherheits-Gateway Tabelle 23-1 AH und ESP Wählen Sie DES für minimale und 3DES für maximale Wählen Sie MD5 für minimale und SHA-1 für Sicherheit. maximale Sicherheit. DES (Standard) MD5 (Standard) Der Data Encryption Standard (DES) ist ein MD5 (Message Digest 5) erzeugt eine 128-Bit- weitverbreitetes Verfahren zur Datenverschlüsselung...
ZyWALL 10 Internet-Sicherheits-Gateway Im Feld Secure Gateway IP Address erscheint die WAN-IP-Adresse des entfernten IPSec-Routers. Dies sollte eine private oder öffentliche IP-Adresse sein (für Datenverkehr über das Internet). Erscheint hier jedoch der Wert 0.0.0.0, kann der IPSec-Router die VPN-Verbindung nicht herstellen und nur als VPN- Transponder arbeiten.
Seite 283
ZyWALL 10 Internet-Sicherheits-Gateway Tabelle 23-3 Menü 27.1 — VPN/IPSec Summary FELD BESCHREIBUNG BEISPIEL Dies ist die Ordnungszahl der VPN-Regel. Name Diese Feld zeigt den eindeutigen Namen für diese VPN-Regel an. Er darf Hamburg aus maximal 32 Zeichen bestehen, hier werden allerdings nur die ersten 10 Zeichen angezeigt.
ZyWALL 10 Internet-Sicherheits-Gateway Tabelle 23-3 Menü 27.1 — VPN/IPSec Summary FELD BESCHREIBUNG BEISPIEL Wählen Sie None, und betätigen Sie die Eingabetaste, um zur Meldung “Press ENTER to Confirm…” zu gelangen. Wählen Sie Edit, um eine Regel zu erstellen. Wählen Sie Delete, um eine Regel zu löschen.
Seite 285
ZyWALL 10 Internet-Sicherheits-Gateway Tabelle 23-4 Menü 27.1.1 — IPSec Setup FELD BESCHREIBUNG BEISPIEL Stichwortver- Dies ist die Ordnungszahl der VPN-Regel, die Sie im vorigen Menü zeichnis ausgewählt haben. Name Geben Sie hier einen eindeutigen Namen für die VPN-Regel ein. Er darf maximal 32 Zeichen umfassen.
Seite 286
ZyWALL 10 Internet-Sicherheits-Gateway Tabelle 23-4 Menü 27.1.1 — IPSec Setup FELD BESCHREIBUNG BEISPIEL Geben Sie eine Portnummer zwischen 0 und 65535 ein. Die wichtigsten IP-Portnummern sind: 21, FTP; 53, DNS; 23, Telnet; 80, HTTP; 25, SMTP; 110, POP3 End Geben Sie eine Portnummer ein, um en Portnummernbereich festzulegen.
ZyWALL 10 Internet-Sicherheits-Gateway 23.4 IKE Setup Um dieses Menü zu bearbeiten, bewegen Sie den Cursor in Menü 27.1.1 – IPSec Setup auf das Feld Edit IKE Setup, drücken die Leertaste, um Yes auszuwählen und drücken die Eingabetaste. Daraufhin erscheint das Menü 27.1.1.1 – IKE Setup.
ZyWALL 10 Internet-Sicherheits-Gateway den Zeitraum festlegen, den die IPSec-SA gelten soll. In diesem Feld geben Sie an, wie lange die IPSec-SA-Einrichtung gültig sein soll. Der Wert 0 bedeutet, dass sie unendlich lange gilt. Läuft die IPSec-SA ab, muss sie erneut abgestimmt werden (nicht jedoch die IKE-SA).
Seite 289
ZyWALL 10 Internet-Sicherheits-Gateway Wenn Ihre Daten nicht eines solchen Grades an Sicherheit bedürfen, ist dies sicherlich überflüssig. In diesem Fall können Sie PFS deaktivieren (None). Dies ist die werksseitige Standardeinstellung in ZyWALL. Wird PFS deaktiviert, werden alle neuen Authentifizierungs- und Verschlüsselungscodes von demselben Ausgangsschlüssel abgeleitet (was langfristig zu Sicherheitsproblemen führen könnte), was eine wesentlich...
Seite 290
ZyWALL 10 Internet-Sicherheits-Gateway Tabelle 23-5 Menü 27.1.1.1 — Setup FELD BESCHREIBUNG BEISPIEL Encryption Wird DES für die Datenübertragung verwendet, müssen Sender und Algorithm Empfänger den gleichen Schlüssel verwenden, der zum Ver- und Entschlüsseln der Nachrichten bzw. zum Erzeugen und Überprüfen der Authentifizierungscodes benötigt wird.
ZyWALL 10 Internet-Sicherheits-Gateway Tabelle 23-5 Menü 27.1.1.1 — Setup FELD BESCHREIBUNG BEISPIEL (Seconds)[0: eine Neuabstimmung der IKE-SA stattfinden soll. Die zulässigen Werte unspecified] betragen 300 bis 86400 Sekunden (1 Tag). Der Wert 0 bedeutet, dass sie unendlich lange gilt. Encapsulation Betätigen Sie die Leertaste, um die Betriebsart Tunnel oder Tunnel Transport auszuwählen, und betätigen Sie anschließend die...
ZyWALL 10 Internet-Sicherheits-Gateway Tabelle 23-6 Active Protocol — Encapsulation und Sicherheitsprotokoll BETRIEB SICHERHEITS- PROTOKOLL Tunnel Transport 23.5.2 Security Parameter Index (SPI) Ein SPI unterscheidet verschiedene SAs, die am selben Ziel enden und dasselbe IPSec-Protokoll verwenden. Dadurch ist es möglich, einem einzigen Gateway mehrere SAs zuzuordnen. Der SPI (Security Parameter Index) zusammen mit der IP-Zieladresse bieten eine eindeutige Identifizierung der SA.
Seite 293
ZyWALL 10 Internet-Sicherheits-Gateway Tabelle 23-7 Menü 27.1.1.2 — Manual Setup FELD BESCHREIBUNG BEISPIEL Active Protocol Betätigen Sie die Leertaste, um eine der Optionen ESP Tunnel, ESP ESP Tunnel Transport, AH Tunnel oder AH Transport auszuwählen, und betätigen Sie anschließend die Eingabetaste. Bei Wahl einer ESP- Kombination können die Felder nicht mehr bearbeitet werden (N/A).
Seite 294
ZyWALL 10 Internet-Sicherheits-Gateway Tabelle 23-7 Menü 27.1.1.2 — Manual Setup FELD BESCHREIBUNG BEISPIEL auch Leerzeichen (geschützte Leerzeichen werden jedoch abgeschnitten). Nachdem Sie die gewünschten Einstellungen in diesem Menü vorgenommen haben, drücken Sie bei Erscheinen der Meldung "Press ENTER to Confirm…" die Eingabetaste, um die Änderungen zu speichern;...
ZyWALL 10 Internet-Sicherheits-Gateway Kapitel 24 SA-Überwachung In diesem Kapitel lernen Sie, wie Sie Ihre SAs mit Hilfe des SA-Monitors in SMT -Menü 27.2. verwalten. 24.1 Einführung Eine Sicherheitszuordnung, englisch Security Association (SA), ist eine Reihe von Sicherheitseinstellungen, die sich auf einen bestimmten VPN-Kanal beziehen. Dieses Menü (siehe Abbildung) zeigt die aktiven VPN- Verbindungen an.
Seite 296
ZyWALL 10 Internet-Sicherheits-Gateway Tabelle 24-1 Menü 27.2 — SA Monitor FELD BESCHREIBUNG BEISPIEL Dies ist die Ordnungszahl der Sicherheitszuordnung. Name Dieses Feld zeigt den eindeutigen Namen für diese VPN-Regel an. Hamburg Encap. Dieses Feld zeigt die Betriebsart Tunnel oder Transport an. Siehe Tunnel weiter oben für Details.
ZyWALL 10 Internet-Sicherheits-Gateway Kapitel 25 IPSec-Protokoll einsehen Zum Einsehen des IPSec- und ICE-Verbindungsprotokolls, geben Sie in Menü 27 den Wert "4" ein und bestätigen mit der Eingabetaste. Daraufhin erscheint das Menü 27.3 – View IPSec Log (siehe folgende Abbildung). Dieses Menü ist ebenfalls hilfreich bei der Fehlersuche.
Problemlösung, Anhänge, Glossar und Stichwortverzeichnis Teil VI: Problemlösung, Anhänge, Glossar und Stichwortverzeichnis In Teil VI finden Sie Hinweise zum Lösen der am häufigsten auftretenden Probleme. Die Anhänge, das Glossar und das Stichwortverzeichnis enthalten weitere allgemeine Informationen.
ZyWALL 10 Internet-Sicherheits-Gateway Kapitel 26 Problemlösung Dieses Kapitel behandelt die am häufigsten auftretenden Probleme und deren Lösungen. Nach jeder Problembeschreibung finden Sie Anweisungen, die Ihnen beim Auffinden und Lösen des Problems helfen sollen. Auf der mitgelieferten Diskette finden Sie zusätzliche Informationen.
ZyWALL 10 Internet-Sicherheits-Gateway 26.2 Probleme mit dem LAN-Netzwerkanschluss Tabelle 26-2 Probleme mit dem LAN-Netzwerkanschluss lösen PROBLEM MÖGLICHE LÖSUNG Kein Zugang zu ZyWALL. Überprüfen Sie, ob der Kippschalter UPLINK in der richtigen Position abhängig vom verwendeten Ethernet-Kabel ist. Der PING-Befehl erhält keine Überprüfen Sie die LED-Anzeigen 10M/100M auf der Vorderseite...
ZyWALL 10 Internet-Sicherheits-Gateway 26.4 Probleme mit dem Internet-Zugang Tabelle 26-4 Probleme mit dem Internet-Zugang lösen PROBLEM MÖGLICHE LÖSUNG Kein Internet- Überprüfen Sie, ob Sie für die Kabelverbindung zwischen dem Kabel- Zugang oder xDSL-Modem und ZyWALL das geeignete Kabel verwenden. Stellen Sie fest, ob das Kabel- bzw. xDSL-Modem ein durchgeschleiftes oder ein gekreuztes (Crossover) Kabel benötigt.
ZyWALL 10 Internet-Sicherheits-Gateway Anhang A Diagramm Das folgende Diagramm erläutert den Zusammenhang zwischen Filtern, Firewall, NAT und VPN. Diagramm 1 Filter, Firewall, NAT und VPN Diagramm...
ZyWALL 10 Internet-Sicherheits-Gateway Anhang B PPPoE Funktionsweise von PPPoE Ein ADSL-Modem leitet eine PPP-Sitzung per Ethernet (PPP over Ethernet, RFC 2516) vom PC an einen ATM-PVC (Permanent Virtual Circuit) weiter. Dieser wiederum ist mit einem xDSL-Hub verbunden, wo die PPP-Sitzung endet (siehe folgende Abbildung). Ein PVC unterstützt eine beliebige Anzahl PPP-Sitzungen eines LAN-Netzwerkes.
Seite 305
ZyWALL 10 Internet-Sicherheits-Gateway Funktionsweise von PPPoE Der PPPoE-Treiber täuscht dem PC ein Ethernet als serielle Verbindung vor, und der PC kommuniziert dabei per PPP. Das Modem setzt die Ethernet-Frames auf den Access Concentrator (AC) um. Zwischen dem AC und dem Internet-Provider fungiert der AC als L2TP (Layer 2 Tunneling Protocol) LAC (L2TP Access Concentrator) und leitet die PPP-Frames an den Provider weiter.
ZyWALL 10 Internet-Sicherheits-Gateway Anhang C PPTP Was ist PPTP PPTP (Point-to-Point Tunneling Protocol) ist ein von Microsoft entwickeltes Protokoll (RFC 2637 ist nur ein informatives Dokument), um PPP-Frames weiterzuleiten. Übermittlung von PPP-Frames von einem PC an ein Breitbandmodem über Ethernet Eine mögliche Lösung ist die Integration von PPTP in das ADSL-Endgerät, wobei PPTP nur für den kurzen...
Seite 307
ZyWALL 10 Internet-Sicherheits-Gateway PAC (PPTP Access Concentrator) und der PPTP-Benutzer. Der PNS ist das Gerät, das sowohl die PPP- als auch die PPTP-Stacks enthält und das eine Ende des PPTP-Kanals darstellt. Der PAC ist das Gerät, das Anrufe auslöst bzw. entgegen nimmt und die PPP-Frames an den PNS weiterleitet. Der PPTP-Benutzer muss nicht notwendigerweise ein PPP-Client sein (er kann auch ein PPP-Server sein).
Seite 308
ZyWALL 10 Internet-Sicherheits-Gateway PPP-Datenverbindung Die PPP-Frames werden zwischen dem PNS und dem PAC per GRE (General Routing Encapsulation, RFC 1701, 1702) weitergeleitet. Individuelle Anrufe innerhalb einer Verbindung werden durch eine Anruf-ID im GRE-Header unterschieden. PPTP...
ZyWALL 10 Internet-Sicherheits-Gateway Anhang E CLI-Befehle für Firewall In der folgenden Tabelle finden Sie die Beschreibung der Syntax zum Konfigurieren des Firewalls über die CLI -Befehle (Command Line Interface). Wählen Sie im Hauptmenü das Menü 24.8 Command Interpreter Mode, um den CLI-Modus zu aktivieren. Weitere Details zu anderen CLI -Befehlen zum Einrichten des ZyWALL finden Sie auf der mitgelieferten Diskette.
Seite 311
ZyWALL 10 Internet-Sicherheits-Gateway FUNKTION CLI SYNTAX BESCHREIBUNG Zum Festlegen des Absenders der E-Mail Nachrichten config edit firewall e-mail return-addr <e-mail address> Zum Festlegen der E-Mail-Adresse, an die die config edit firewall e-mail Benachrichtigung verschickt werden soll email-to <e-mail address> Gibt an, ob das Protokoll per E- Mail verschickt wird, wenn es config edit firewall e-mail voll ist bzw.
Seite 312
ZyWALL 10 Internet-Sicherheits-Gateway FUNKTION CLI SYNTAX BESCHREIBUNG Der Grenzwert, bei dem der Löschvorgang nicht vollständig config edit firewall attack geöffneter Sitzungen gestoppt wird max-incomplete-low <0-255> Der Grenzwert, ab dem die im Feld "block" angegebene config edit firewall attack Aktion ausgeführt wird tcp-max-incomplete <0-255>...
Seite 313
ZyWALL 10 Internet-Sicherheits-Gateway FUNKTION CLI SYNTAX BESCHREIBUNG Gibt die Protokoll-Spezifikationsnummer an, die für diese Config edit firewall set <set Regel für ICMP festgelegt wurde #> rule <rule #> protocol <integer protocol value > Legt fest, ob Pakete aufgezeichnet werden, die die Regel Config edit firewall set <set...
Seite 314
ZyWALL 10 Internet-Sicherheits-Gateway FUNKTION CLI SYNTAX BESCHREIBUNG Zum Auswählen bzw. Bearbeiten der Ziel-Portnummer der config edit firewall set <set Pakete, die diese Regel erfüllen. Bei nicht aufeinander #> rule folgenden Portnummern können Sie diesen Befehl f ür jede <rule #> TCP destport-single einzelne Portnummer wiederholen.
ZyWALL 10 Internet-Sicherheits-Gateway Anhang F Technische Daten des Netzteils NETZSTECKER: NORDAM ERIKANISCHER STANDARD Modell des Netzteils MW48-1201200 AD48-1201200DUY Eingangsspannung 120 V~, 60 Hz, 22 W 120 V~, 60 Hz, 0,25 A Ausgangsleistung 12 V=, 1,2 A 12 V=, 1,2 A Leistungsaufnahme Prüfsiegel...
ZyWALL 10 Internet-Sicherheits-Gateway Glossar Verwendet zwei Paare verdrillter Zweidrahtleitungen. Die maximale Länge eines 100Base-T Strangs zwischen Hub und Computer darf 100 m betragen. Die 10-Mbps-Ethernet-Spezifikation, die zwei Paare verdrillter Zweidrahtleitungen 10Base-T (Kategorie 3 oder 5) verwendet – ein Paar zum Senden, eins zum Empfangen von Daten.
Seite 318
ZyWALL 10 Internet-Sicherheits-Gateway BackOrifice ist ein Fernwartungsprogramm, über das ein Anwender auf einen BackOrifice Computer per TCP/IP-Verbindung und einer Konsole bzw. einer grafischen Benutzeroberfläche zugreifen kann. BackOrifice ist vom Potential her ein fatales trojanisches Pferd, da es dem Anwender uneingeschränkten Zugriff auf ein System ermöglichen kann.
Seite 319
ZyWALL 10 Internet-Sicherheits-Gateway Text, der so verstümmelt bzw. kodiert wurde, dass er ohne Entschlüsselung nicht Chiffrierter Text mehr lesbar ist. Siehe Verschlüsselung. Ein Programm, das zum Kontaktieren und Abfragen von Daten eines auf einem Client Server oder auf einem anderen Computer befindlichen Programms verwendet wird.
Seite 320
ZyWALL 10 Internet-Sicherheits-Gateway vergibt die Adressen nur solange die Verbindung andauert, danach werden sie "recycled" und anderen Computern zur Verfügung gestellt. Die Verwendung binärer Daten zum Darstellen von Informationen, wie z.B. 0/1 oder Digital Ein/Aus. Digitaler Code, der das signierte Dokument bzw. Software authentifiziert. Software, Digitale Signatur Nachrichten, E-Mails und andere elektronische Dokumente können elektronisch...
Seite 321
ZyWALL 10 Internet-Sicherheits-Gateway können DSLAM-Multiplexer DSL-Leitungen mit unterschiedlichen asynchronen Ü bertragungsgeräten wie ATM, Frame Relay oder IP-Netzwerken verbinden. Durchgeschleiftes Ein Kabel, das jeden Stift eines Endes mit dem entsprechenden Stift des Ethernet-Kabel gegenüberliegenden Endes verbindet. Ü ber dieses Kabel werden zwei unterschiedliche Geräte miteinander verbunden, z.B.
Seite 322
ZyWALL 10 Internet-Sicherheits-Gateway Nichtflüchtiger Speicher, der elektrisch gelöscht und neu programmiert werden kann, Flash-Memory sodass Daten gespeichert, ein System mit ihnen gestartet und ggf. umprogrammiert werden kann. Das File Transfer Protocol ist ein Internet-Ü bertragungsdienst, mit dem Dateien über das Internet und über TCP/IP-Netzwerke übermittelt werden können. FTP ist ein Client/Server-Protokoll, bei dem das als FTP-Server arbeitende System Befehle von anderen Computern entgegennimmt, die als FTP-Client arbeiten.
Seite 323
ZyWALL 10 Internet-Sicherheits-Gateway Webseite können Sie z.B. über die gängigen Suchmaschinen ausfindig machen. Das Internet Control Message Protocol ist ein Protokoll zur Nachrichtenüberwachung ICMP und Fehlerübermittlung zwischen einem Host-Server und einem Internet-Gateway. ICMP verwendet zwar IP-Datagramme, die Nachrichten werden jedoch von der TCP/IP-Software und nicht direkt vom Anwendungsprogramm verarbeitet.
Seite 324
ZyWALL 10 Internet-Sicherheits-Gateway Das verschlüsselte Kennwort ist in der Kennwortdatei nicht sichtbar, aber in einer Kennwort- gespiegelten Datei enthalten, die nur auf dem Ursprungssystem lesbar ist. Dadurch spiegelung wird verhindert, dass über mutwilliges Eindringen in das verschlüsselte Feld das Kennwort "geraten" wird.
Seite 325
ZyWALL 10 Internet-Sicherheits-Gateway Network Basic Input / Output System. NetBIOS ist eine Erweiterung des DOS-BIOS, NetBIOS die einen Computer in die Lage versetzt, mit einem Netzwerk eine Verbindung herzustellen und zu kommunizieren. Wenn Sie zwei oder mehr Computer miteinander verbinden, sodass sie gemeinsam Netzwerk bestimmte Ressourcen nutzen, sprechen wir von einem Netzwerk.
Seite 326
ZyWALL 10 Internet-Sicherheits-Gateway Der PNS (PPTP-Netzwerk-Server) ist das Gerät, das sowohl die PPP- als auch die PPTP-Stacks enthält und das eine Ende des PPTP-Kanals darstellt. Der PNS muss IP- Verbindungen unterstützen. Post Office Protocol. Dieses Protokoll wird zum Versenden, Empfangen und Weiterleiten von E-Mail-Nachrichten verwendet.
Seite 327
ZyWALL 10 Internet-Sicherheits-Gateway Eine "Sprache", die der Kommunikation über ein Netzwerk dient. Protokolle Protocol bestehen aus einer Reihe von Standards oder Regeln zum Definieren, Formatieren (Protokoll) und Ü bertragen von Daten über ein Netzwerk. In einem Netzwerk können viele Protokolle zum Einsatz kommen. Zum Beispiel verwenden die meisten Webseiten das HTTP-Protokoll.
Seite 328
ZyWALL 10 Internet-Sicherheits-Gateway Ein RFC (Request for Comments) ist ein formales Dokument bzw. Standard für Internet-Kommunikation, das bzw. der aus einem Entwurf des Komitees und den hervorgegangenen Ü berarbeitungen seitens interessierter Parteien entstanden ist. Einige RFCs sind rein informeller Natur. Für die RFCs, die als Internet-Standard ausgelegt sind, sind nach Freigabe der Endversion keine weiteren Anmerkungen bzw.
Seite 329
ZyWALL 10 Internet-Sicherheits-Gateway in der Fernmeldetechnik ist der Splitter eine Weiche, die das Telefonsignal in zwei Splitter oder mehr Signale teilt. Jedes dieser Signale belegt einen gewissen Frequenzbereich. Umgekehrt kann der Splitter Signale von mehreren Signalquellen in ein einziges Signal umsetzen.
Seite 330
ZyWALL 10 Internet-Sicherheits-Gateway Zweidrahtleitungen zwischen Haushalten und Firmen und nahegelegenen Vermittlungsstellen, auch als Amtsleitung bekannt. Das öffentliche Telefonnetz beruht auf einer Schaltkreisstruktur, bei der die privaten Endgeräte zweier Teilnehmer durch direkte Anwahl miteinander vermittelt werden. Telnet ist das Protokoll zum Anmelden und zur Terminalemulation, das häufig im Telnet Internet und auf UNIX-Systemen zur Anwendung kommt.
Seite 331
ZyWALL 10 Internet-Sicherheits-Gateway Intranet, das auf einem Host resident ist. Dazu gehören Verzeichnisse und eine Reihe von Dateitypen einschließlich Text -, Grafik-, Video- und Audiodateien. Eine URL ist die Adresse eines bestimmten Objekts, die normalerweise in das Adressfeld eines Web-Browsers eingegeben wird. Sie ist gleichzeitig ein Zeiger, der die Position des Objekts anzeigt.
Seite 332
ZyWALL 10 Internet-Sicherheits-Gateway bedeutet zweierlei: erstens, die gesamte Ressourcenkonstellation, auf die über Gopher, FTP, HTTP, Telnet, USENET, WAIS und andere Hilfsmittel zugegriffen werden kann; zweitens, das Universum der Hypertext -Server (HTTP-Server). Digital Subscriber Line, wobei "x" eine bestimmt e DSL-Variante kennzeichnet, z.B.