ZyWALL 2 Plus Zařízení pro bezpečné připojení k internetu
Příručka pro rychlou instalaci Verze 4.00 4/2006 1. vydání
Přehled Zařízení ZyWALL 2 Plus představuje firewall integrující VPN, správu propustnosti, filtrování obsahu a mnoho dalších funkcí. ZyWALL 2 Plus můžete použít jako transparentní firewall bez nutnosti rekonfigurovat svou síť či nastavovat směrovací funkce tohoto zařízení. Tento manuál vám pomůže ZyWALL zapojit a provést jeho konfiguraci nezbytnou k tomu, abyste zařízení mohli ve své síti používat. Bližší informace o všech funkcích naleznete v Uživatelské příručce. V některých případech je nutné mít k dispozici informace o přístupu k internetu.
Tento průvodce je rozdělen do následujících kapitol: 1 2 3 4
Připojení hardwaru Přístup k webovému konfigurátoru Bridge mode (bridge mód) Nastavení přístupu k internetu a registrace výrobku
5 6 7 8
NAT Firewall Nastavení pravidla VPN Řešení problémů
1 Připojení hardwaru Budete potřebovat: ZyWALL
Počítač
2
Ethernetové kabely
Napájecí adaptér
Pro prvotní nastavení hardware propojte následujícím způsobem:
1 2
K propojení LAN portu a počítače použijte ethernetový kabel. Pomocí dalšího ethernetového kabelu připojte WAN port k ethernetové zdířce s přístupem k internetu.
Poznámka: Pokud chcete ke svému počítači připojit port CONSOLE (konzole), použijte modrý konzolový kabel. Jestliže chcete k analogovému modemu připojit port DIAL BACKUP (záložní spojení), použijte černý kabel pro záložní spojení.
3
3
K propojení zdířky napájení (umístěné na zadním panelu) se zdrojem napětí použijte dodaný napájecí adaptér.
4
Zkontrolujte diody na čelním panelu. Rozsvítí se dioda PWR. Následně se rozsvítí diody ACT, LAN a WAN, které zůstanou zapnuty, pokud je zapojení provedeno správně.
2 Přístup k webovému konfigurátoru Při konfiguraci rozhraní WAN pro přístup k internetu se řiďte následujícími instrukcemi. 1 Otevřete webový prohlížeč a zadejte adresu 192.168.1.1 (přednastavená IP adresa zařízení ZyWALL). Pokud se nezobrazí přihlašovací okno, přejděte ke kapitole 7.1, která obsahuje instrukce k nastavení IP adresy vašeho počítače.
2 Klikněte na Login (přihlásit) (přednastavené heslo je již zadáno).
3 Změňte přihlašovací heslo. Po zadání nového 4 Kliknutím na tlačítko Apply změníte přednastavený digitální certifikát zařízení hesla klikněte na tlačítko Apply (použít). ZyWALL.
4
5
Zobrazí se domovská stránka (HOME). Zařízení ZyWALL je výrobcem nastaveno do režimu router. Pokud chcete používat směrovací funkce, jako např. NAT, DHCP a VPN, přejděte k dalšímu kroku. Pokud si přejete ZyWALL používat jako transparentní firewall, přejděte ke kapitole 3.
6 Zkontrolujte tabulku Network Status (stav sítě). Pokud je síť WAN v provozu (tzn. v kolonce stav není uvedeno Down) a je zobrazena IP adresa, přejděte ke kapitole 5. Jestliže je síť WAN nefunkční (v kolonce stav je uvedeno Down) nebo není zobrazena IP adresa, klikněte na možnost Internet Access (přístup k internetu). Při konfiguraci WAN se řiďte pokyny uvedenými v kapitole 4.
3 Bridge mode (bridge mód) Pokud zařízení ZyWALL nastavíte do bridge módu, bude fungovat jako transparentní firewall. Pro nastavení zařízení do tohoto režimu proveďte následující:
5
1 Na navigačním panelu klikněte na možnost MAINTENANCE (údržba) a poté na Device Mode (režim zařízení). 2 Zvolte možnost Bridge (most) a poté nakonfigurujte (statickou) IP adresu, masku podsítě a IP adresu brány. Tyto parametry se vztahují na LAN a WAN rozhraní zařízení ZyWALL. 3 Klikněte na Apply (použít). Zařízení ZyWALL se restartuje.
4 Nastavení přístupu k internetu a registrace výrobku 1
Na domovské stránce (HOME) klikněte na možnost Internet Access (přístup k internetu), čímž otevřete průvodce pro přístup k síti internet. Informace o přístupu k internetu zadejte přesně tak, jak vám byly poskytnuty. Pokud vám byla sdělena IP adresa, kterou máte používat, zvolte v rolovacím seznamu IP Address Assignment (přirazení IP adresy) možnost Static (statická) a zadejte příslušné informace.
Poznámka: Tato pole se liší v závislosti na tom, jakou možnost zvolíte u parametru Encapsulation (zapouzdření). Do jednotlivých polí zadejte informace od poskytovatele internetových služeb nebo správce sítě. Po dokončení klikněte na tlačítko Apply (použít).
6
●
Ethernetové zapouzdření (enkapsulace)
Službu Roadrunner nakonfigurujte na obrazovkách NETWORK WAN (síť WAN) (použijte kartu WAN).
●
PPPoE nebo PPTP enkapsulace
Pokud požadujete trvalé připojení, zvolte možnost Nailed-Up (permanentní připojení). Toto řešení by nicméně mohlo být nákladné, jestliže svému poskytovateli internetových služeb místo měsíčního paušálu platíte za čas strávený na internetu. Pokud si nepřejete nastavit trvalé připojení, zadejte do pole Idle Timeout (časový limit nečinnosti) dobu nečinnosti, po jejímž uplynutí bude zařízení odpojeno (v sekundách).
7
2 Po kliknutí na tlačítko Next (další) přejdete na obrazovku, prostřednictvím níž můžete své zařízení ZyWALL registrovat na stránkách myZyXEL.com (online servisní centrum společnosti ZyXEL) a aktivovat bezplatnou zkušební aplikaci pro filtrování obsahu. Pokud o tyto služby nemáte zájem, klikněte na Skip (přeskočit) a poté na Close (zavřít), čímž se nastavení přístupu k internetu dokončí. 3 Jestliže již máte na stránkách myZyXEL.com vytvořen svůj účet, zvolte možnost Existing myZyXEL.com account (stávající účet myZyXEL.com) a zadejte přihlašovací údaje. V opačném případě zvolte možnost New myZyXEL.com account (nový účet myZyXEL.com), zadejte údaje nutné k vytvoření nového účtu a zaregistrujte své zařízení ZyWALL. Poté klikněte na tlačítko Next (další). 4 Vyčkejte, dokud nebude registrační proces dokončen.
5 Pokud nebude registrace úspěšná, objeví se následující okno. Kliknutím na tlačítko Return (zpět) se vraťte na obrazovku Device Registration (registrace zařízení) a zkontrolujte zadaná nastavení.
8
6 Po dokončení registrace a aktivace klikněte na tlačítko Close (zavřít), čímž okno průvodce zavřete. Poznámka: Pokud chcete pomocí PIN čísla své karty iCard (licenční klíč) aktivovat standardní službu, použijte okno REGISTRATION Service (registrační služba). Podrobnosti naleznete v Uživatelské příručce).
5 Firewall Zařízení ZyWALL můžete používat bez konfigurace firewallu. Firewall zařízení ZyWALL je nakonfigurován tak, aby chránil vaši síť LAN před útoky z internetu. Do vaší sítě LAN se standardně nemůže dostat žádný provoz, pokud k tomu v LAN nebyl předem dán požadavek. Jestliže ZyWALL používáte v režimu router, přejděte k další kapitole. V případě bridge módu přejděte ke kapitole 7.
6 Nastavení pravidla VPN
Díky tunelu VPN (virtuální soukromá síť) můžete využívat bezpečné připojení k dalšímu počítači nebo síti.
1
5 2 3 6
Gateway policy (nastavení brány) identifikuje IPSec routery na obou koncích tunelu VPN. Network policy (nastavení sítě) specifikuje, která zařízení (za IPSec routery) mohou tunel VPN používat.
4
7
1234567-
Místní síť Zařízení ZyWALL Tunel VPN Vzdálený IPSec router Vzdálená síť Nastavení brány Nastavení sítě
9
Následující obrázek pomáhá vysvětlit hlavní pole na obrazovkách průvodce. 1
7 5 4
2
3
6
8
5 - Vzdálený IPSec router 6 - Adresa vzdálené brány 7 - Vzdálená síť 8 - IP adresa vzdálené sítě
1 - Místní síť 2 - IP adresa místní sítě 3 - Zařízení ZyWALL 4 - Tunel VPN
1 Na domovské obrazovce (HOME) klikněte na VPN (odkaz se možná zobrazí až po posunutí rolovacího menu nahoru) a otevřete průvodce VPN. Poznámka: pokud kliknete na tlačítko Back (zpět), zvolená nastavení nebudou uložena. 2 Tuto obrazovku použijte ke konfiguraci gateway policy (nastavení brány). Název: zadejte název identifikující gateway policy. Adresa vzdálené brány: zadejte IP adresu nebo název domény vzdáleného IPSec routeru.
10
3 Tuto obrazovku použijte ke konfiguraci network policy (nastavení sítě). Políčko Active ponechejte zaškrtnuté. Název: zadejte název identifikující network policy. Zvolte možnost Single (jediná) a zadejte jednu IP adresu. Zvolte možnost Range IP (řada IP) a zadejte počáteční a konečné IP adresy pro konkrétní rozsah IP adres. Zvolte možnost Subnet (podsíť) a zadejte IP adresu a masku podsítě pro specifikaci IP adres v síti pomocí jejich masky podsítě.
Poznámka:
Ujistěte se, že vzdálený IPSec router používá stejná bezpečnostní nastavení, která budete konfigurovat na následujících dvou obrazovkách.
Negotiation mode (režim vyjednávání): pro ochranu identity zvolte možnost Main Mode (hlavní režim). Zvolte možnost Aggressive Mode (agresivní režim), čímž umožníte, aby více příchozích spojení z dynamických IP adres využívalo samostatná hesla. Poznámka:
Vícenásobné SA (bezpečnostní asociace), které se připojují přes bezpečnostní bránu, musí mít stejný režim vyjednávání.
Algoritmus kódování: zvolte 3DES nebo AES pro důkladnější (a pomalejší) kódování. Algoritmus ověřování: zvolte MD5 pro minimální zabezpečení nebo SHA-1 pro vyšší zabezpečení. Klíčová skupina: zvolte DH2 pro vyšší zabezpečení. Životnost SA: nastavte, jak často má ZyWALL aktualizovat IKE SA (minimálně po 180 vteřinách). Krátká životnost SA zlepšuje zabezpečení. Opakovaná aktualizace nicméně dočasně odpojí VPN tunel. Předem sdílený klíč: zadejte 8 až 31 ASCII znaků s rozlišením velikosti písma nebo 16 až 62 hexadecimálních znaků („0-9“, „A-F“). Před hexadecimální klíč napište hodnotu „0x“ (nula X), která se nepočítá jako součást 16 až 32 znakové řady pro daný klíč. Režim zapouzdření: tunel je kompatibilní s NAT, transport kompatibilní není. IPSec protokol: ESP je kompatibilní s NAT, AH kompatibilní není. Utajení Perfect Forward Secrecy (PFS): parametr None (žádné) umožňuje rychlejší nastavení IPSec. Možnosti DH1 a DH2 jsou nicméně bezpečnější.
4 Níže zobrazené okno slouží ke konfiguraci nastavení tunelu IKE (Internet Key Exchange – výměna internetového klíče).
11
5 Následující okno použijte ke konfiguraci nastavení IPSec.
6 Zkontrolujte nastavení VPN. Zvolená nastavení 7 Na poslední obrazovce klikněte na tlačítko Close (zavřít), čímž dokončíte proces uložte kliknutím na tlačítko Finish (dokončit). nastavení VPN. Pro aktivaci pravidla VPN a vytvoření připojení VPN přejděte k další kapitole.
6.1 Použití připojení VPN VPN tunely použijte k bezpečnému odesílání a příjímání souborů a umožnění vzdáleného přístupu k firemním sítím, webovým serverům a emailu. Služby fungují tak, jako byste byli přímo v kanceláři, a nikoliv připojeni přes internet. Příklad: pravidlo VPN „test“ umožňuje bezpečný přístup k webovému serveru na vzdálené firemní síti LAN. Jako URL svého prohlížeče zadejte IP adresu serveru (v tomto případě 10.0.0.23). Jakmile budete chtít VPN tunel použít, zařízení ZyWALL ho automaticky vytvoří. Na navigačním panelu klikněte na SECURITY (ZABEZPEČENÍ), VPN a poté na kartu SA Monitor (monitorování SA). Následně se zobrazí seznam připojených VPN tunelů (VPN tunel „test“ je uveden v tomto seznamu).
12
7 Řešení problémů Problém
Řešení
Žádná z diod se nerozsvítí.
Zkontrolujte, zda-li je zařízení ZyWALL připojeno k adaptéru napájení, který musí být zapojen do odpovídajícího zdroje elektrické energie. Zkontrolujte všechna kabelová spojení. Pokud se diody ani po výše uvedeném opatření nerozsvítí, může vzniklý problém spočívat ve vašem hardwaru. V tomto případě byste měli kontaktovat svého místního prodejce.
Ze sítě LAN nelze k zařízení ZyWALL vytvořit přístup.
Zkontrolujte kabelová spojení mezi zařízením ZyWALL a svým počítačem nebo hubem. Podrobnosti naleznete v kapitole 1. Zjistěte dostupnost zařízení ZyWALL pomocí příkazu ping z počítače v síti LAN. Zkontrolujte, zda-li je v počítači instalována ethernetová karta a zda-li správně funguje. V počítači klikněte na Start, (All) Programs ((Všechny) programy), Accessories (Příslušenství) a Command Prompt (Příkazový řádek). V okně příkazového řádku napište příkaz „ping“ následovaný LAN IP adresou zařízení ZyWALL (přednastavená adresa je 192.168.1.1) a poté stiskněte klávesu [Enter]. Zařízení ZyWALL by se mělo ohlásit. V opačném případě se řiďte instrukcemi uvedenými v kapitole 7.1. Pokud jste zapomněli heslo zařízení ZyWALL, použijte tlačítko RESET. Tlačítko držte stisknuté přibližně po dobu 10 vteřin (nebo dokud nezačne blikat dioda PWR) a poté ho pusťte. Na zařízení ZyWALL budou znovu nastaveny parametry z výroby (heslo 1234, IP adresa 192.168.1.1 atd. Viz podrobnosti v Uživatelské příručce). Pokud jste zapomněli LAN nebo WAN IP adresu zařízení ZyWALL, můžete ji zjistit v SMT přes port konzoly. Pomocí konzolového kabelu připojte svůj počítač k portu CONSOLE (konzola). Komunikační program terminálové emulace (jako např. HyperTerminal) by měl být na vašem počítači nastaven následovně: terminálová emulace VT100, žádná parita, 8 datových bitů, 1 stop bit, žádné řízení toku a rychlost portu 9600 bps.
Nelze se připojit k internetu.
Zkontrolujte připojení zařízení ZyWALL k ethernetové zdířce s přístupem k internetu. Ujistěte se, zda-li brána k internetu (jako např. DSL modem) správně funguje.
Nelze vytvořit připojení VPN.
Zkontrolujte, zda-li zařízení ZyWALL a vzdálený IPSec router používají stejná nastavení VPN. Pro konfiguraci pokročilých nastavení klikněte na navigačním panelu na možnost VPN.
Na navigačním panelu klikněte na WAN a zkontrolujte zvolená nastavení.
Zkuste otevřít libovolnou internetovou stránku, čímž zjistíte, zda-li připojení k internetu funguje.
7.1 Nastavení IP adresy vašeho počítače Tato kapitola popisuje, jak máte svůj počítač nastavit, aby v případě použití systémů Windows 2000, Windows NT a Windows XP přijal IP adresu. Tato adresa je nezbytná k tomu, aby váš počítač mohl se zařízením ZyWALL komunikovat. 1 Ve Windows XP klikněte na Start a Control Panel (ovládací panel). Ve Windows 2000/NT klikněte na Start, Settings (nastavení) a Control Panel (ovládací panel). 2 Ve Windows XP klikněte na Network Connections (síťová připojení). Ve Windows 2000/NT klikněte na Network and Dial-up Connections (síťová a telefonická připojení).
13
3 Pravým tlačítkem myši klikněte na Local Area Connection (připojení k místní síti) a poté na Properties (vlastnosti). 4 Zvolte Internet Protocol (protokol sítě Internet) (TCP/IP) (ve Windows XP na kartě General – obecné) a poté klikněte na Properties (vlastnosti). 5 Otevře se okno Internet Protocol (TCP/IP) Properties (vlastnosti protokolu sítě Internet (TCP/IP)) (ve Windows XP na kartě General – obecné). Zvolte možnosti Obtain an IP address automatically (získat IP adresu automaticky) a Obtain DNS server address automatically (získat adresu DNS serveru automaticky). 6 Klikněte na OK, čímž zavřete okno Internet Protocol (TCP/IP) Properties (vlastnosti protokolu sítě Internet (TCP/IP)). 7 Klikněte na Close (zavřít) (OK ve Windows 2000/NT), čímž zavřete okno Local Area Connection Properties (vlastnosti připojení k místní síti). 8 Zavřete okno Network Connections (síťová připojení).
Certifikáty výrobku 1 2 3
Navštivte stránky www.zyxel.com. Z rozbalovacího menu na domovské stránce ZyXEL zvolte požadovaný výrobek, čímž se otevře jeho stránka. Vyberte požadovaný certifikát.
14
ZyXEL Communications Corp. tímto prohlašuje, že zařízení ZyWALL 2 Plus je ve shodě se základními požadavky a s dalšími příslušnými ustanoveními Nařízení vlády č.426/2000 Sb., Směrnice 1999/5/ES.
15
