ZyXEL Communications ZYWALL 70 UTM Manuale del proprietario

Categoria
Networking
Tipo
Manuale del proprietario

Questo manuale è adatto anche per

ITALIANO
65
Cenni generali
ZyWALL 5 è un firewall con funzionalità di dotato di funzioni di VPN, gestione della larghezza di banda,
filtraggio dei contenuti, antispam, antivirus, IDP (Intrusion Detection and Protection) e molto altro. È possibile
utilizzarlo come firewall trasparente ed evitare di riconfigurare la propria rete e di configurare le funzionalità di
routing dello ZyWALL. ZyWALL aumenta la sicurezza della rete prevedendo la possibilità di variare le regole
relative alle porte dalla LAN alla DMZ per l'uso di server accessibili pubblicamente. La presente guida illustra
i collegamenti e la configurazione iniziale necessari per iniziare a utilizzare lo ZyWALL nella propria rete.
Vedere la Guida dell'utente per maggiori informazioni su tutte le funzioni.
È possibile che occorre reperire le informazioni sul proprio accesso a Internet.
Questa guida è suddivisa nelle seguenti sezioni:
1 Collegamenti hardware
È necessario disporre dei seguenti componenti:
1 Collegamenti hardware
2 Accesso allo strumento di configurazione Web
3 Modalità Bridge
4 Configurazione dell'accesso a Internet e
Registrazione del prodotto
5 DNS
6 NAT
7 Firewall
8 Configurazione delle regole di VPN
9 Risoluzione dei problemi
ZyWALL Computer Cavi Ethernet
Adattatore di alimentazione
ITALIANO
66
Di seguito sono illustrati i collegamenti hardware per l'installazione iniziale.
1 Utilizzare un cavo Ethernet per collegare la porta LAN/DMZ a un computer. Se si configurano queste porte
come porte DMZ nelle schermate relative alla LAN o alla DMZ nello strumento di configurazione Web, è
anche possibile utilizzare i cavi Ethernet per collegare server pubblici (Web, e-mail, FTP, ecc.) alle porte
LAN/DMZ.
2 Utilizzare un cavo Ethernet per collegare la porta WAN a un jack Ethernet con accesso a Internet.
3 Inserire la scheda di espansione ZyWALL Turbo per utilizzare le funzionalità di antivirus e IDP (rilevazione
e protezione dalle intrusioni) oppure inserire una scheda LAN wireless per utilizzare la funzionalità LAN.
Vedere la guida del ZyWALL Turbo Card per ulteriori informazioni sulla scheda di espansione. Vedere la
guida dell'utente per informazioni sull'installazione di una scheda LAN wireless.
ITALIANO
67
4 Utilizzare il adattatore di alimentazione fornito a corredo per collegare la presa di alimentazione (situata
dietro all'apparecchio) a una presa elettrica.
5 Analizzare il pannello frontale. Il LED PWR si accende. Il LED SYS lampeggia mentre viene eseguito il test
del sistema e quindi resta acceso in caso di test riuscito. I LED ACT, CARD, LAN/DMZ e WAN si
accendono e restano accesi se i corrispondenti collegamenti sono stati eseguiti correttamente
2 Accesso allo strumento di configurazione Web
Questa sezione spiega come configurare l'interfaccia WAN per l'accesso a Internet.
5 Si apre la schermata HOME.
Per impostazione predefinita, lo ZyWALL è in modalità router. Continuare dal passo successivo se si
desidera utilizzare funzionalità di routing quali NAT, DHCP e VPN.
Passare a Sezione 3 se si preferisce utilizzare lo ZyWALL come firewall trasparente.
1 Avviare il browser. Immettere 192.168.1.1
(l'indirizzo IP predefinito dello ZyWALL) nella
barra dell'indirizzo.
Se non viene visualizzata la schermata di
accesso, vedere Sezione 9.1 per impostare
l'indirizzo IP del proprio computer.
2 Fare clic su Login (accedi) (la password
predefinita 1234 è già immessa).
3 Cambiare la password di accesso immettendo una
nuova password e facendo clic su Apply
(applica).
4 Fare clic su Apply (applica) per sostituire il
certificato digitale predefinito dello ZyWALL.
ITALIANO
68
3 Modalità Bridge
Quando si imposta lo ZyWALL in modalità Bridge, esso funziona come un firewall trasparente. La procedura
illustrata di seguito consente di impostare lo ZyWALL in modalità Bridge.
6 Controllare la tabella
Network Status
(stato della rete). Se
lo stato della WAN è
not Down
(disattivata) ed è
presente un indirizzo
IP, passare a Sezione
5.
Se lo stato della WAN
è Down (disattivata)
(oppure se non è
presente un indirizzo
IP), fare clic su
Internet Access
(accesso a Internet) e
utilizzare Sezione 4
per configurare la
WAN.
ITALIANO
69
4 Configurazione dell'accesso a Internet
1 Fare clic su Internet Access (accesso a Internet) nella schermata HOME per aprire la procedura guidata
di accesso a Internet.
Immettere le informazioni e i parametri Internet esattamente come sono stati forniti.
Se è stato fornito un indirizzo IP da utilizzare, selezionare Static (statico) nell'elenco di riepilogo IP Address
Assignment (assegnazione indirizzo IP) e immettere le informazioni fornite.
Nota: I campi variano a seconda di quanto viene selezionato nel campo Encapsulation
(incapsulamento). Compilare i campi con le informazioni fornite dall'ISP o dall'amministratore di
rete.
Fare clic su Apply (applica) una volta terminata la configurazione.
1 Fare clic su
MAINTENANCE
(manutenzione) nel
pannello di navigazione,
quindi su Device Mode
(modalità dispositivo).
2 Selezionare Bridge e
immettere un indirizzo IP
(statico), una subnet mask
e un indirizzo IP del
gateway per le interfacce
LAN, WAN, DMZ e WLAN
dello ZyWALL.
3 Fare clic su Apply
(applica). Lo ZyWALL si
riavvia.
Passare a Sezione 5 se si
dispone di server che occorre
rendere accessibili dalla
WAN.
ITALIANO
70
PPP over Ethernet oppure incapsulamento PPTP
Selezionare Nailed-Up (riconnessione) quando si desidera che la connessione sia sempre attiva (questa
opzione potrebbe rivelarsi costosa se il proprio ISP applica una tariffazione a tempo dell'accesso a Internet
piuttosto che un costo mensile fisso).
Per non avere sempre attiva la connessione, specificare il tempo di timeout di inattività (in secondi) nel campo
Idle Timeout (timeout di inattività).
Incapsulamento Ethernet
Configurare un servizio Roadrunner nelle schermate
NETWORK WAN (WAN di rete) (utilizzare la scheda
WAN).
ITALIANO
71
2 Fare clic su Next (avanti) per visualizzare la
schermata in cui e possibile registrare lo
ZyWALL sul sito myZyXEL.com (centro di
assistenza online ZyXEL) e attivare i servizi
filtraggio dei contenuti, antispam, antivirus e
IDP gratuiti in versione di valutazione.
Altrimenti fare clic su Skip (ignora) e quindi
su Close (chiudi) per completare la
configurazione dell'accesso a Internet.
Nota: Verificare di aver installato il ZyWALL Turbo Card prima di attivare i servizi di sottoscrizione IDP
e antivirus.
Spegnere lo ZyWALL prima di installare o rimuovere ZyWALL Turbo Card.
3 Se si dispone gia di un account su
myZyXEL.com, selezionare Existing
myZyXEL.com account (account
esistente) e immettere le informazioni
relative all'account. Altrimento selezionare
New myZyXEL.com account (nuovo
account) e compilare i campi sotto per
creare un nuovo account e registrarsi su
ZyWALL. Fare clic su Next (avanti).
4 Attendere il completamento del processo di
registrazione.
ITALIANO
72
5 La seguente schermata indica se la
registrazione non ha avuto esito positivo. Fare
clic su Return (torna) per tornare alla
schermata Device Registration (registrazione
dispositivo) e controllare le impostazioni.
6 Fare clic su Close (chiudi) per chiudere la
procedura guidata una volta terminata la
registrazione e l'attivazione.
Nota: Se si desidera attivare un servizio
standard con il proprio numero PIN
(chiave di licenza) di iCard, utilizzare
la schermata REGISTRATION
Service (servizio di registrazione).
Vedere la guida utente per i dettagli.
5 DMZ
Una zona demilitarizzata (DMZ, DeMilitarized Zone) consente a server pubblici (Web, E-mail, FTP, ecc.) di
essere visibili al mondo esterno e di continuare ad avere una protezione firewall contro attacchi DoS (Denial
of Service).
Differentemente dalla LAN, lo ZyWALL non assegna una configurazione TCP/IP via DHCP ai computer
connessi alle porte DMZ. Configurare i computer con indirizzi IP statici (nella stessa subnet dell'indirizzo IP
della porta DMZ) e con indirizzi dei server DNS. Utilizzare l'indirizzo IP DMZ dello ZyWALL come gateway
predefinito.
La procedura seguente consente di configurare la DMZ se lo ZyWALL è in modalità routing.
Nota: Non è necessario configurare la DMZ con la modalità bridge; passare a Sezione 7.
1 Fare clic su NETWORK (RETE), DMZ nel pannello di navigazione.
ITALIANO
73
6 NAT
Il processo di NAT (Network Address Translation, traslazione degli indirizzi di rete; NAT, RFC 1631) consente
di tradurre un indirizzo IP di una rete in un differente indirizzo IP in un'altra rete. È possibile utilizzare le
schermate NAT Address Mapping (mappatura indirizzi di NAT) per configurare lo ZyWALL per tradurre più
indirizzo IP pubblici in più indirizzi IP privati che si trovano sulla propria LAN (o DMZ).
Il seguente esempio consente di abilitare l'accesso dalla WAN a un server HTTP (Web) sulla DMZ. L'indirizzo
IP privato del server è 10.0.0.20.
2 Specificare un indirizzo IP e una subnet mask per
l'interfaccia DMZ.
Se si utilizzano indirizzi IP privati sulla DMZ,
utilizzare la funzione NAT per rendere i server
accessibili pubblicamente (vedere Sezione 6).
Un indirizzo IP pubblico deve trovarsi su una subnet
separata rispetto all'indirizzo IP pubblico della porta
WAN. Se non si configura la funzione NAT per gli
indirizzi IP pubblici sulla DMZ, lo ZyWALL instrada il
traffico verso gli indirizzi IP pubblici sulla DMZ
senza eseguire il NAT. Questo potrebbe essere utile
per l'hosting di server per eseguire il NAT di
applicazioni non di semplice configurazione.
3 Fare clic su Apply (applica).
4 Per impostazione predefinita, le porte LAN/DMZ
dalla 1 alla 4 sono tutte porte LAN. Per configurare
una porta come porta DMZ, fare clic sulla scheda
Port Roles (regole delle porte), selezionare il
pulsante di opzione accanto alla scelta DMZ e fare
clic su Apply (applica).
ITALIANO
74
7 Firewall
È possibile utilizzare lo ZyWALL senza dover configurare il firewall.
Il firewall dello ZyWALL è preconfigurato per proteggere la LAN da attacchi provenienti da Internet. Per
impostazione predefinita, nessun traffico dati può entrare nella LAN, a meno che non è stata prima generata
una richiesta proveniente dalla LAN. Lo ZyWALL consente di accedere alla DMZ dalla WAN o dalla LAN, ma
blocca il traffico dalla DMZ alla LAN.
Se si utilizza lo ZyWALL in modalità router, continuare con la prossima sezione. Per la modalità bridge,
passare a Sezione 9.
1 Fare clic su ADVANCED
(AVANZATO), NAT nel pannello di
navigazione, quindi su Port
Forwarding (inoltro delle porte).
2 Selezionare la casella di controllo
Active (attiva).
3 Digitare un nome per la regola.
4 Digitare il numero di porta utilizzata
dal servizio.
5 Digitare l'indirizzo IP del server
HTTP.
6 Fare clic su Apply (applica).
ITALIANO
75
8 Configurazione delle regole di VPN
Un tunnel VPN (Virtual Private
Network, rete privata virtuale)
offre una connessione sicura a
un altro computer o rete.
Un criterio di gateway identifica
i router IPSec a entrambe le
estremità di un tunnel VPN.
Un criterio di rete specifica
quali dispositivi (dietro i router
IPSec) possono utilizzare il
tunnel VPN.
La seguente figura illustra i campi principali nelle schermate della procedura guidata.
1 Per aprire la procedura guidata di impostazione della VPN, fare clic su VPN nella schermata HOME
(potrebbe essere necessario scorrere la pagina per vedere il collegamento).
ITALIANO
76
Nota: Le impostazioni non vengono salvate quando si fa clic su Back (Indietro).
2 Utilizzare questa schermata per configurare il
criterio di gateway.
Name (nome): immettere un nome per identificare il
criterio di gateway.
Remote Gateway Address (indirizzo gateway
remoto): immettere l'indirizzo IP o il nome di
dominio del router IPSec remoto.
3 Utilizzare questa schermata per configurare il
criterio di rete.
Lasciare la casella di controllo Active (attiva)
selezionata.
Name (nome): immettere un nome per identificare il
criterio di rete.
Selezionare Single (singolo) e immettere un
indirizzo IP per un unico indirizzo IP.
Selezionare Range IP (IP della gamma) e
immettere gli indirizzo IP iniziare e finale di una
gamma di indirizzi IP specifica.
Selezionare Subnet e immettere un indirizzo IP e
una subnet mask che specifichino gli indirizzi IP su
una rete mediante la loro subnet mask.
ITALIANO
77
Nota: Assicurarsi che il router IPSec remoto utilizzi le stesse impostazioni di sicurezza configurate
nelle prossime due schermate.
Negotiation Mode (modalità di negoziazione): selezionare Main Mode (modalità principale) come
protezione dell'identità. Selezionare Aggressive Mode (modalità aggressiva) per consentire a più
connessioni in ingresso provenienti da indirizzi IP dinamici di utilizzare password separate.
Nota: Più SA (Security Association, associazioni di protezione) che si connettono attraverso un
gateway sicuro devono avere la stessa modalità di negoziazione.
Encryption Algorithm (algoritmo di crittografia): selezionare 3DES o AES per una crittografia più forte (ma
più lenta).
Authentication Algorithm (algoritmo di autenticazione): selezionare MD5 per una sicurezza minima
oppure SHA-1 per una sicurezza maggiore.
Key Group (gruppo di chiavi): selezionare DH2 per una maggiore sicurezza.
SA Life Time (tempo di vita SA): imposta quanto spesso lo ZyWALL negozia la SA IKE (minimo 180
secondi). Un tempo di vita di SA breve aumenta la sicurezza, ma la negoziazione disconnette
temporaneamente il tunnel VPN.
Pre-Shared Key (chiave pre-condivisa): utilizzare da 8 a 31 caratteri ASCII (con differenziazione tra
maiuscole e minuscole) oppure da 16 a 62 caratteri esadecimali ("0-9", "A-F"). Precedere una chiave
esadecimale con uno "0x” (zero x), il quale non viene conteggiato come parte della gamma di caratteri da 16 a
62 per la chiave.
Encapsulation Mode (modalità di incapsulamento): Tunnel è compatibile con la funzione NAT, Transport
(trasporto) non lo è.
IPSec Protocol (protocollo IPSec): ESP è compatibile con NAT, AH non lo è.
Perfect Forward Secrecy (PFS): None (nessuno) consente una configurazione IPSec più rapida, ma DH1 e
DH2 sono più sicuri.
4 Utilizzare questa schermata per configurare le
impostazioni del tunnel IKE (Internet Key
Exchange, scambio chiavi Internet).
5 Utilizzare questa schermata per configurare le
impostazioni IPSec.
ITALIANO
78
8.1 Uso della connessione VPN
Utilizzare i tunnel VPN per inviare e ricevere in maniera sicura file e per consentire un accesso remoto alle reti
aziendali, server Web ed e-mail. I servizi funzioneranno come se ci si trovasse connessi direttamente
dall'ufficio invece che da Internet.
Ad esempio, la regola di VPN “test” consente un
accesso sicuro a un server Web che si trova sulla
LAN aziendale remota. Immettere l'indirizzo IP del
server (10.0.0.23 in questo esempio) come URL
nel browser. Lo ZyWALL crea automaticamente il
tunnel VPN quando si tenta di utilizzarlo.
Fare clic su SECURITY (PROTEZIONE), VPN nel
pannello di navigazione e quindi sulla scheda SA
Monitor (monitor SA) per visualizzare un elenco
dei tunnel VPN connessi (nell'esempio è attivo il
tunnel VPN “test”).
6 Verificare le impostazioni della VPN. Fare clic su
Finish (fine) per salvare le impostazioni.
7 Fare clic su Close (chiudi) nella schermata finale
per completare l'installazione guidata della VPN.
Continuare con la prossima sezione per attivare la
regola VPN e stabilire una connessione VPN.
ITALIANO
79
9 Risoluzione dei problemi
9.1 Impostare l'indirizzo IP del computer
Questa sezione spiega come configurare il computer per ricevere un indirizzo IP in Windows 2000, Windows
NT e Windows XP. In questo modo ci si assicura che il computer possa comunicare con lo ZyWALL.
1 In Windows XP, fare clic su Start, Pannello di controllo.
In Windows 2000/NT, fare clic su Start, Impostazioni, Pannello di controllo.
Problema Azione correttiva
Nessuno dei LED
è acceso.
Assicurarsi di aver collegato il adattatore di alimentazione allo ZyWALL e a una sorgente di
alimentazione appropriata. Controllare tutti i collegamenti dei cavi.
Se i LED continuano a non accendersi, potrebbe esserci un guasto hardware. In questo
caso, è opportuno rivolgersi al rivenditore locale.
Impossibile
accedere allo
ZyWALL dalla
LAN.
Controllare il collegamento dei cavi tra lo ZyWALL e il computer o l'hub. Vedere Sezione 1
per i dettagli.
Eseguire il ping dello ZyWALL da un computer della LAN., Assicurarsi che la scheda
Ethernet del computer sia installata e correttamente funzionante.
Nel computer, fare clic su Start, (Tutti i) Programmi, Accessori e quindi Prompt dei
comandi. Nella finestra Prompt dei comandi, digitare "ping" seguito dall'indirizzo IP LAN
dello ZyWALL (192.168.1.1 è l'indirizzo predefinito) e quindi premere [Invio]. Lo ZyWALL
dovrebbe rispondere. In caso contrario, vedere Sezione 9.1.
Se si è dimenticata la password dello ZyWALL, utilizzare il pulsante RESET. Premere il
pulsante per circa 10 secondi (oppure finché il LED PWR non inizia a lampeggiare), quindi
rilasciarlo. Questa operazione riporta lo ZyWALL ai valori predefiniti (la password è 1234,
l'indirizzo IP LAN è 192.168.1.1, e così via; vedere la Guida dell'utente per i dettagli).
Se si dimentica l'indirizzo IP della WAN o della LAN dello ZyWALL, è possibile controllare
l'indirizzo IP nello SMT via porta console. Collegare il computer alla porta CONSOLE
utilizzando un cavo console. Il computer dovrebbe disporre di un programma di
comunicazione di emulazione terminale (come ad esempio HyperTerminal); impostare
l'emulazione di terminale VT100, nessuna parità, 8 bit di dati, 1 bit di stop, nessun controllo di
flusso e velocità della porta pari a 9600 bps.
Impossibile
accedere a
Internet.
Controllare il collegamento dello ZyWALL al jack Ethernet con accesso a Internet.
Assicurarsi che il dispositivo gateway verso Internet (quale ad esempio un modem DSL)
funzioni correttamente.
Fare clic su WAN nel pannello di navigazione per verificare le impostazioni.
Impossibile
stabilire una
connessione VPN.
Assicurarsi lo ZyWALL e il router IPSec remoto utilizzi le stesse impostazioni VPN. Fare clic
su VPN nel pannello di navigazione per configurare le impostazioni avanzate.
Accedere a un sito Web per verificare che si dispone di una connessione a Internet valida.
ITALIANO
80
2 In Windows XP, fare clic su Connessioni di rete.
In Windows 2000/NT, fare clic su Reti e connessioni remote.
3 Fare clic con il pulsante destro del mouse su Connessione alla rete locale e scegliere Proprietà.
4 Selezionare Protocollo Internet (TCP/IP) (sotto la scheda Generale in Windows XP) e fare clic su
Proprietà.
Procedura per visualizzare le certificazioni di un prodotto
1 Aprire la pagina www.zyxel.com.
2 Selezionare il prodotto dall'elenco di riepilogo a discesa nella Home Page di ZyXEL per passare alla
pagina del prodotto in questione.
3 Selezionare da questa pagina la certificazione che si desidera visualizzare.
5 Si apre la schermata Protocollo Internet TCP/IP -
Proprietà (la scheda Generale in Windows XP).
Selezionare le opzioni Ottieni automaticamente un
indirizzo IP e Ottieni automaticamente l'indirizzo
del server DNS.
6 Fare clic su OK per chiudere la finestra Protocollo
Internet (TCP/IP) - Proprietà.
7 Fare clic su Chiudi (OK in Windows 2000/NT) per
chiudere la finestra Connessione alla rete locale -
Proprietà.
8 Chiudere la schermata Connessioni di rete.
  • Page 1 1
  • Page 2 2
  • Page 3 3
  • Page 4 4
  • Page 5 5
  • Page 6 6
  • Page 7 7
  • Page 8 8
  • Page 9 9
  • Page 10 10
  • Page 11 11
  • Page 12 12
  • Page 13 13
  • Page 14 14
  • Page 15 15
  • Page 16 16
  • Page 17 17
  • Page 18 18
  • Page 19 19
  • Page 20 20
  • Page 21 21
  • Page 22 22
  • Page 23 23
  • Page 24 24
  • Page 25 25
  • Page 26 26
  • Page 27 27
  • Page 28 28
  • Page 29 29
  • Page 30 30
  • Page 31 31
  • Page 32 32
  • Page 33 33
  • Page 34 34
  • Page 35 35
  • Page 36 36
  • Page 37 37
  • Page 38 38
  • Page 39 39
  • Page 40 40
  • Page 41 41
  • Page 42 42
  • Page 43 43
  • Page 44 44
  • Page 45 45
  • Page 46 46
  • Page 47 47
  • Page 48 48
  • Page 49 49
  • Page 50 50
  • Page 51 51
  • Page 52 52
  • Page 53 53
  • Page 54 54
  • Page 55 55
  • Page 56 56
  • Page 57 57
  • Page 58 58
  • Page 59 59
  • Page 60 60
  • Page 61 61
  • Page 62 62
  • Page 63 63
  • Page 64 64
  • Page 65 65
  • Page 66 66
  • Page 67 67
  • Page 68 68
  • Page 69 69
  • Page 70 70
  • Page 71 71
  • Page 72 72
  • Page 73 73
  • Page 74 74
  • Page 75 75
  • Page 76 76
  • Page 77 77
  • Page 78 78
  • Page 79 79
  • Page 80 80
  • Page 81 81
  • Page 82 82
  • Page 83 83
  • Page 84 84
  • Page 85 85
  • Page 86 86
  • Page 87 87
  • Page 88 88
  • Page 89 89
  • Page 90 90
  • Page 91 91
  • Page 92 92
  • Page 93 93
  • Page 94 94
  • Page 95 95
  • Page 96 96
  • Page 97 97
  • Page 98 98
  • Page 99 99
  • Page 100 100
  • Page 101 101
  • Page 102 102
  • Page 103 103
  • Page 104 104
  • Page 105 105
  • Page 106 106
  • Page 107 107
  • Page 108 108
  • Page 109 109
  • Page 110 110
  • Page 111 111
  • Page 112 112
  • Page 113 113
  • Page 114 114
  • Page 115 115
  • Page 116 116

ZyXEL Communications ZYWALL 70 UTM Manuale del proprietario

Categoria
Networking
Tipo
Manuale del proprietario
Questo manuale è adatto anche per