zywall-5 manual pl - pl.zyxel.com · zywall 5 — urządzenie zabezpieczaj ące połączenie...

ZyWALL 5 Urządzenie zabezpieczające połączenie internetowe

Szybki start Wersja 3.62 (XD.0)

Maj 2004

ZyWALL 5 — urządzenie zabezpieczające połączenie internetowe

1

ZyWALL — wprowadzenie ZyWALL 5 to brama zapewniająca monitorowanie danych przepływających między Internetem a siecią lokalną (LAN). ZyWALL 5 łączy funkcje NAT, zapory sieciowej, filtrowania treści, obsługi certyfikatów i VPN, więc jest kompletnym rozwiązaniem, które chroni sieć lokalną i efektywnie zarządza ruchem. ZyWALL zwiększa bezpieczeństwo sieci, oferując nawet cztery porty strefy zdemilitaryzowanej (ang. De-Militarized Zone, DMZ), do których można podłączyć publicznie dostępne serwery. Zapasowy port telefoniczny i funkcja przekierowywania ruchu zwiększają niezawodność urządzenia.

Gniazdo PCMCIA/CardBus pozwala dodać obsługę sieci bezprzewodowej zgodnej ze standardem 802.11b/g. Osadzony program konfiguracyjny jest łatwy w użyciu, a dzięki interfejsowi WWW — całkowicie niezależny od systemu operacyjnego. Urządzenie ZyWALL można łatwo zastosować w istniejącej sieci jako przezroczystą zaporę sieciową.

Użytkownik powinien mieć już skonfigurowane połączenie internetowe i dysponować następującymi informacjami:

Informacje o koncie internetowym

Adres IP portu WAN (jeśli podano): __________________

Adres domyślnej bramy WAN (jeśli podano): __________________

Maska sieciowa portu WAN (jeśli podano): __________________

Adres IP serwera DNS (jeśli podano): Podstawowy _______________, Wtórny _______________, Trzeci _______________

Kapsułkowanie: (wybrać jedno z poniższych)

Ethernet Typ usługi: _______________________

Adres IP serwera logowania: _____________

Nazwa użytkownika: ____________ Hasło: ____________

PPTP Nazwa użytkownika: ____________ Hasło: ____________

Adres IP portu WAN:: ____________ Adres IP serwera PPTP: ___________

Identyfikator połączenia (jeśli jest wymagany): ____________

PPPoE (PPPoE) Nazwa usługi: ____________

Nazwa użytkownika: ____________ Hasło: ____________


2

Oglądanie certyfikatów produktu 1. Przejść pod adres www.zyxel.com.

2. Wybrać produkt z listy rozwijanej na stronie głównej firmy ZyXEL, aby przejść do strony tego produktu. 3. Kliknąć żądany certyfikat, aby go obejrzeć.

1. Połączenia sprzętowe 1.1. Panel przedni i złącza

Sposób konfiguracji urządzenia ZyWALL opisano w podrozdziale Error! Reference source not found..

ETYKIETA OPIS

RESET Ten przycisk należy nacisnąć tylko w razie zapomnienia hasła ZyWALL. Powoduje on przywrócenie ustawień fabrycznych (hasło 1234, adres IP LAN 192.168.1.1, opisane niżej parametry emulacji terminalu itp.; więcej informacji na ten temat można znaleźć w Instrukcji użytkownika).

WAN 10/100 Ten port obsługuje autonegocjację (połączenia z szybkością 10 lub 100 Mb/s) i autorozpoznawanie (automatycznie dostosowuje się do typu używanego kabla, zwykłego lub krosowego).

LAN/DMZ 10/100 1-4

Te porty obsługują autonegocjację (połączenia z szybkością 10 lub 100 Mb/s) i autorozpoznawanie (automatycznie dostosowują się do typu używanego kabla, zwykłego lub krosowego).

1.2. Panel tylny i złącza

ETYKIETA OPIS

DIAL BACKUP Ten port ma zastosowanie tylko wtedy, gdy użytkownik chce skonfigurować zapasowe połączenie WAN; więcej informacji na ten temat można znaleźć w Instrukcji użytkownika.

CONSOLE Port konsoli służy do konfigurowania urządzenia ZyWALL przy użyciu terminalu zarządzania systemem (System Management Terminal, SMT); więcej informacji na ten temat można znaleźć w Instrukcji użytkownika.

Komputer powinien być wyposażony w program emulatora terminalu (na przykład HyperTerminal) skonfigurowany do emulacji terminalu VT100 bez kontroli parzystości, z 8 bitami danych, 1 bitem stopu, bez kontroli przepływu i z szybkością 9600 b/s.

EXTENSION CARD SLOT

Aby uniknąć uszkodzenia sprzętu, należy wyłączyć urządzenie ZyWALL przed włożeniem lub wyjęciem karty bezprzewodowej PCMCIA lub CardBus zgodnej ze standardem 802.11b/g.

POWER Do tego gniazda należy podłączyć zasilacz dostarczony wraz z urządzeniem (nie używać innych zasilaczy).


3

1.3. Konfigurowanie urządzenia ZyWALL Rysunki zamieszczone w tym podrozdziale pokazują urządzenie ZyWALL działające w trybie routera. Jest to jego domyślny tryb pracy. Aby urządzenie ZyWALL funkcjonowało jako mostek, należy zaznaczyć opcję Bridge na ekranie MAINTENANCE Device Mode i kliknąć przycisk Apply.

1. Tryb routera: podłączyć modem kablowy/DSL do portu WAN za pomocą kabla ethernetowego dostarczonego wraz z modemem. Tryb mostka: podłączyć router do portu WAN za pomocą kabla ethernetowego.

2. Tryb routera: podłączyć komputery lub przełączniki do portów LAN za pomocą kabli ethernetowych. Jeśli porty te zostaną skonfigurowane jako porty DMZ na ekranie LAN or DMZ programu konfiguracyjnego, należy podłączyć do nich publicznie dostępne serwery (WWW, FTP itd.), które mają być widoczne w zewnętrznej sieci. Tryb mostka: podłączyć komputery lub przełączniki do portów LAN/DMZ za pomocą kabli ethernetowych.

Nie należy wkładać ani wyjmować karty bezprzewodowej, kiedy urządzenie ZyWALL jest włączone

3. Aby dodać obsługę bezprzewodowej sieci LAN zgodnej ze standardem 802.11b/g, należy włożyć 64-stykową końcówkę karty PCMCIA lub CardBus do gniazda rozszerzeń.

Nie należy zginać ani skręcać karty bezprzewodowej

4. Tryb routera: aby skonfigurować zapasowe połączenie WAN, należy włożyć 9-stykową, żeńską wtyczkę kabla modemu albo adaptera terminalu do portu DIAL BACKUP, a drugą wtyczkę — do gniazda w modemie lub adapterze terminalu. Tryb mostka: w tym trybie urządzenie ZyWALL nie obsługuje zapasowego połączenia WAN.

5. Jeśli urządzenie ZyWALL będzie konfigurowane za pomocą terminalu SMT poprzez port CONSOLE, należy podłączyć 9-stykową, męską wtyczkę kabla konsoli do portu w urządzeniu ZyWALL, a drugą wtyczkę —do portu szeregowego (COM1, COM2 albo innego portu COM) w komputerze.

6. Po wykonaniu połączeń należy podłączyć zasilacz do odpowiedniego gniazda w urządzeniu oraz do źródła prądu (gniazda elektrycznego). Wskaźnik PWR zapala się po podłączeniu zasilania. Wskaźnik SYS miga przez około 30 sekund, kiedy system wykonuje testy, i pozostaje zapalony, jeśli przebiegną one pomyślnie. Wskaźniki ACT, CARD, WAN oraz LAN/DMZ zapalają się po prawidłowym wykonaniu odpowiednich połączeń. Szczegółowy opis wskaźników LED znajduje się w podrozdziale 1.4.

1.

2.


4

1.4. Wskaźniki LED na panelu przednim

LED COLOR STATUS DESCRIPTION

Wyłączony Urządzenie ZyWALL jest wyłączone

Zielony Włączony Urządzenie ZyWALL jest włączone

PWR

Czerwony Włączony Napięcie zasilające jest zbyt niskie

Wyłączony Urządzenie ZyWALL nie jest gotowe lub uległo uszkodzeniu

Włączony Urządzenie ZyWALL jest gotowe i działa poprawnie

SYS Zielony

Migający Urządzenie ZyWALL uruchamia się ponownie

Wyłączony Port zapasowy nie jest podłączony ACT Zielony

Migający Port zapasowy wysyła lub odbiera pakiety

Wyłączony Port bezprzewodowy nie jest gotowy lub uległ uszkodzeniu

Włączony Port bezprzewodowy jest gotowy

CARD Zielony

Migający Port bezprzewodowy wysyła lub odbiera pakiety

Wyłączony Port WAN nie jest gotowy lub uległ uszkodzeniu

Włączony Urządzenie ZyWALL nawiązało połączenie WAN 10 Mb/s Zielony

Migający Port WAN odbiera lub wysyła pakiety z szybkością 10 Mb/s

Włączony Urządzenie ZyWALL nawiązało połączenie WAN 100 Mb/s

WAN 10/100

Burszty-nowy

Migający Port WAN odbiera lub wysyła pakiety z szybkością 100 Mb/s

Wyłączony Port LAN/DMZ nie jest podłączony

Włączony Urządzenie ZyWALL nawiązało połączenie Ethernet 10 Mb/s

LAN/DMZ 10/100

Zielony

Migający Port LAN odbiera lub wysyła pakiety z szybkością 10 Mb/s

3.

4.

5.

6.


5

LED COLOR STATUS DESCRIPTION

Włączony Urządzenie ZyWALL nawiązało połączenie Ethernet 100 Mb/s

Burszty-nowy

Migający Port LAN odbiera lub wysyła pakiety z szybkością 100 Mb/s

2. Ustawianie adresu IP komputera Jeśli komputer jest już skonfigurowany do pobierania dynamicznego adresu IP, można przejść do lektury następnego rozdziału. Jest to ustawienie domyślne w

większości nowych komputerów.

Urządzenie ZyWALL jest fabrycznie skonfigurowane tak, aby przydzielać adresy IP podłączonym do niego komputerom. W tym rozdziale wyjaśniono, jak skonfigurować komputer do pobierania adresu IP albo jak przydzielić mu statyczny adres IP z zakresu 192.168.1.2 – 192.168.1.254 z maską podsieci 255.255.255.0. Jest to niezbędne w celu nawiązania łączności między komputerem a urządzeniem ZyWALL.

W komputerze musi być zainstalowana karta Ethernet oraz protokół TCP/IP. Protokół TCP/IP jest instalowany w większości komputerów z systemem operacyjnym Windows NT/2000/XP oraz Macintosh OS 7 i nowszymi wersjami.

Windows 2000/NT/XP 1. W Windows XP kliknąć przycisk Start i wybrać polecenie Panel sterowania. W Windows 2000/NT kliknąć

przycisk Start i wybrać polecenie Ustawienia/Panel sterowania.

2. W Windows XP kliknąć dwukrotnie ikonę Połączenia sieciowe.

W Windows 2000/NT kliknąć dwukrotnie ikonę Połączenia sieciowe i telefoniczne.

3. Kliknąć prawym przyciskiem myszy ikonę Połączenie lokalne i wybrać z menu polecenie Właściwości.

4. Zaznaczyć pozycję Protokół internetowy (TCP/IP) (na karcie Ogólne w Windows XP) i kliknąć przycisk Właściwości.

5. Pojawi się okno Właściwości: Protokół internetowy (TCP/IP) (karta Ogólne w Windows XP).

- Aby komputer pobierał dynamiczny adres IP, należy zaznaczyć opcję Uzyskaj adres IP automatycznie.

- Aby skonfigurować statyczny adres IP, należy zaznaczyć opcję Użyj następującego adresu IP i wypełnić pola Adres IP (wybrać adres z zakresu 192.168.1.2 – 192.168.1.254), Maska podsieci (255.255.255.0) oraz Brama domyślna (192.168.1.1).

6. Kliknąć przycisk Zaawansowane. Na karcie Ustawienia protokołu IP usunąć poprzednio zainstalowane bramy i kliknąć przycisk OK, aby wrócić do okna Właściwości: Protokół TCP/IP.

7. Zaznaczyć opcję Uzyskaj adres serwera DNS automatycznie, jeśli adresy IP serwerów DNS są nieznane.

Jeśli adresy IP serwerów DNS są znane, należy zaznaczyć opcję Użyj następujących adresów serwerów DNS i wpisać je w polach Preferowany serwer DNS i Alternatywny serwer DNS.

Jeśli komputer używa więcej niż dwóch serwerów DNS, należy kliknąć przycisk Zaawansowane, następnie kartę DNS i skonfigurować je za pomocą przycisku Dodaj.


6

8. Kliknąć przycisk OK, aby zamknąć okno Właściwości: Protokół TCP/IP.

9. Kliknąć przycisk OK, aby zamknąć okno Właściwości: Połączenie lokalne.

Sprawdzanie adresu IP komputera 1. Kliknąć przycisk Start i wybrać polecenie (Wszystkie) Programy/Akcesoria/Wiersz polecenia.

2. W oknie Wiersz polecenia wpisać "ipconfig" i nacisnąć klawisz ENTER, aby sprawdzić, czy adres IP komputera należy do właściwego zakresu (od 192.168.1.2 do 192.168.1.254) i ma maskę podsieci 255.255.255.0. Jest to niezbędne do nawiązania łączności z urządzeniem ZyWALL.

Szczegółowe informacje o konfiguracji adresów IP dla innych systemów operacyjnych Windows oraz Macintosh dostępne w Instrukcji użytkownika.

3. Konfigurowanie urządzenia ZyWALL Istnieją dwie metody uzyskiwania dostępu do urządzenia ZyWALL i konfigurowania

go. W niniejszym przewodniku opisano tylko użycie kreatorów w programie Web Configurator. W Instrukcji użytkownika opisano wszystkie funkcje urządzenia

ZyWALL oraz sposób konfigurowania go za pomocą terminalu SMT. Web Configurator oferuje wbudowaną pomoc ekranową.

Web Configurator

SMT (System Management Terminal). Dostęp do SMT można uzyskać za pośrednictwem:

o portu konsoli (przy użyciu programu emulatora terminalu);

o portu LAN, WLAN, DMZ lub WAN (przy użyciu Telnetu).

3.1. Dostęp do urządzenia ZyWALL poprzez Web Configurator 1. Uruchomić przeglądarkę WWW. Jeśli urządzenie ZyWALL działa w trybie routera, wpisać

„192.168.1.1” (ustawienie domyślne) jako adres witryny WWW. Jeśli urządzenie ZyWALL działa w trybie mostka, wpisać przypisany mu adres.

2. Hasło domyślne („1234”) znajduje się już w polu Password (w nieczytelnej postaci). Kliknąć

przycisk Login, aby przejść do ekranu z prośbą o zmianę hasła. Kliknąć przycisk Reset, aby przywrócić domyślne hasło w polu Password.

3. Zaleca się zmienić hasło domyślne! Należy wprowadzić nowe hasło, wpisać je ponownie w celu

weryfikacji i kliknąć przycisk Apply. Aby przejść do menu głównego bez zmiany hasła, można kliknąć przycisk Ignore.

Hasło domyślne

Adres witryny WWW


7

4. Kliknąć przycisk Apply na ekranie Replace Certificate, aby utworzyć certyfikat na podstawie adresu

MAC urządzenia ZyWALL. Będzie to certyfikat specyficzny dla tego urządzenia.

5. Powinien pojawić się ekran HOME programu konfiguracyjnego. Jego zawartość zależy od trybu

działania wybranego na ekranie MAINTENANCE Device Mode (szczegółowe informacje o konfigurowania urządzenia można znaleźć w Instrukcji użytkownika).

Urządzenie ZyWALL automatycznie wylogowuje użytkownika po pięciu minutach braku aktywności; w takim przypadku należy po prostu zalogować się ponownie. Długość okresu nieaktywności jest jednym z wielu ustawień urządzenia ZyWALL,

które można zmodyfikować za pomocą programu konfiguracyjnego.

Tryb routera: Kliknąć przycisk Internet Access lub VPN Wizard, aby wyświetlić serię ekranów ułatwiających

wstępne konfigurowanie urządzenia ZyWALL.

Kliknąć łącze w panelu nawigacyjnym, aby skonfigurować odpowiednią funkcję urządzenia ZyWALL.

Kliknąć łącze MAINTENANCE w panelu nawigacyjnym, aby zaktualizować oprogramowanie firmowe albo skopiować, przywrócić lub wczytać plik konfiguracyjny.

Kliknąć przycisk Renew, aby odnowić adres IP portu WAN.

Kliknąć przycisk Show Statistics, aby wyświetlić dane statystyczne urządzenia ZyWALL.

Kliknąć przycisk Show DHCP Table, aby obejrzeć bieżące parametry klienta DHCP (Dynamic Host Configuration Protocol).

Kliknąć przycisk VPN Status, aby wyświetlić aktywne połączenia VPN (Virtual Private Network).

Kliknąć przycisk LOGOUT, aby zakończyć sesję zarządzania urządzeniem ZyWALL.

Zmiana hasła domyślnego


8

Tryb mostka:

Kliknąć łącze w panelu nawigacyjnym, aby skonfigurować odpowiednią funkcję urządzenia ZyWALL.

Kliknąć przycisk Show Statistics, aby wyświetlić dane statystyczne urządzenia ZyWALL.

Kliknąć łącze MAINTENANCE w panelu nawigacyjnym, aby zaktualizować oprogramowanie firmowe albo skopiować, przywrócić lub wczytać plik konfiguracyjny.

Kliknąć przycisk LOGOUT, aby zakończyć sesję zarządzania urządzeniem ZyWALL.

WYLOGOWANIE

Panel nawigacyjny

Kreatory


9

3.2. Konfigurowanie dostępu do Internetu za pomocą kreatora 1. Kiedy urządzenie ZyWALL działa w trybie routera, należy kliknąć łącze Internet Access na ekranie

HOME, aby skonfigurować dostęp do Internetu. Pierwszy ekran kreatora ma trzy odmiany w zależności od wybranego typu kapsułkowania. Poszczególne pola należy wypełnić zgodnie z informacjami zebranymi w tabeli Informacje o koncie internetowym.

Wybrać opcję Ethernet, jeśli port WAN jest używany jako zwykły port Ethernet. Wybrać typ usługi: Standard albo wersję RoadRunner. W niektórych wersjach RoadRunner trzeba podać nazwę użytkownika (User Name), hasło (Password) oraz adres IP serwera logowania (Login Server IP Address).

Panel nawigacyjny

WYLOGOWANIE


10

Kliknąć przycisk Next, aby kontynuować.

Połączenie internetowe przy użyciu PPPoE

Protokół Point-to-Point Protocol over Ethernet (PPPoE) funkcjonuje jako połączenie typu dial-up. Potrzebna więc będzie nazwa użytkownika, hasło, a być może również nazwa usługi PPPoE. Wszystkie niezbędne informacje można uzyskać od dostawcy usług internetowych. Kliknąć przycisk Next, aby kontynuować.

Połączenie internetowe przy użyciu PPTP

Należy wybrać opcję PPTP, jeśli dostawca usług używa terminatora DSL z logowaniem PPTP. W takim przypadku urządzenie ZyWALL musi mieć statyczny adres IP. Będzie również potrzebna nazwa użytkownika, odpowiednie hasło, adres IP terminatora DSL, a być może również identyfikator połączenia. Kliknąć przycisk Next, aby kontynuować.

2. Wypełnić pola i kliknąć przycisk Finish, aby zapisać parametry i zakończyć działanie kreatora. Przypisywanie adresu IP WAN (WAN IP Address Assignment) Należy wybrać opcję Get automatically from ISP, jeśli dostawca usług internetowych nie przydzielił statycznego adresu IP. W przeciwnym razie należy wybrać opcję Use fixed IP address i wpisać adres IP oraz maskę podsieci w następnych dwóch polach. W razie wybrania opcji Use fixed IP address należy wpisać adres IP bramy w polu Gateway IP Address (jeśli jest znany).


11

Serwery DNS (System DNS Servers) Wybrać opcję From ISP, jeśli dostawca usług internetowych dynamicznie przydziela adresy serwerów DNS (oraz adres IP portu WAN urządzenia ZyWALL). Wybrać opcję User-Defined, jeśli adres IP serwera DNS jest znany. Wpisać adres w polu po prawej stronie. Wybrać opcję None, aby adres serwera DNS pozostał nieskonfigurowany. W takim przypadku nie będzie można uzyskać dostępu do komputera bez znajomości jego adresu IP.

Adres MAC portu WAN (WAN MAC Address) Wybrać opcję Factory Default, aby użyć fabrycznego adresu MAC. Można też wybrać opcję Spoof this Computer's MAC address - IP Address i wpisać adres IP komputera w sieci lokalnej, którego adres MAC ma zostać skopiowany.

3.3. Testowanie połączenia internetowego Należy uruchomić przeglądarkę WWW i przejść pod adres www.zyxel.com. Nie trzeba korzystać z żadnego programu obsługującego dostęp telefoniczny, takiego jak Dial Up Networking. Szczegółowe informacje o wszystkich funkcjach urządzenia ZyWALL można znaleźć w Instrukcji użytkownika.

3.4. Konfigurowanie reguł VPN za pomocą kreatora Więcej informacji o sieciach VPN można znaleźć w Instrukcji użytkownika.

1. Kiedy urządzenie ZyWALL działa w trybie routera, należy kliknąć przycisk VPN Wizard na ekranie HOME, aby utworzyć regułę VPN wykorzystującą współużytkowany klucz i skonfigurować parametry IKE w celu ustanowienia tunelu VPN. Kliknąć przycisk Next, aby kontynuować.

Wpisać adres IP portu WAN urządzenia ZyWALL. Jeśli pole pozostanie ustawione na 0.0.0.0, ZyWALL będzie używać bieżącego adresu IP portu WAN (statycznego lub dynamicznego) do tworzenia tunelu VPN. Zaznaczyć opcję IP Address i wpisać adres IP, aby zidentyfikować zdalny router IPSec według jego adresu IP. Aby zidentyfikować router według nazwy domenowej, należy zaznaczyć opcję Domain Name i wpisać nazwę Jeśli zdalny router ma dynamiczny adres IP portu WAN i nie używa DDNS, należy wpisać 0.0.0.0 w polu Secure Gateway Address. W takim przypadku tylko zdalny router będzie mógł inicjować sesję SA.

2. Wypełnić pola i kliknąć przycisk Next, aby kontynuować. Na tym ekranie należy skonfigurować adresy IP urządzeń, które mogą korzystać z tunelu VPN. Pola Local network odnoszą się do urządzeń znajdujących się za urządzeniem ZyWALL, a pola Remote network — do urządzeń znajdujących się za zdalnym routerem IPSec.


12

Zaznaczyć opcję Single, aby określić pojedynczy adres IP. Zaznaczyć opcję Range IP, aby określić specyficzny zakres adresów IP. Zaznaczyć opcję Subnet, aby określić zakres adresów IP za pomocą maski podsieci.

Sieć lokalna (Local Network) Jeśli pole Local Network jest ustawione na Single, wpisać (statyczny) adres IP urządzenia znajdującego się w sieci LAN za urządzeniem ZyWALL. Jeśli pole Local Network jest ustawione na Range IP, określić zakres adresów w sieci LAN poprzez wpisanie (statycznych) adresów, początkowego i końcowego. Jeśli pole Local Network jest ustawione na Subnet, określić lokalną podsieć poprzez wpisanie (statycznego) adresu IP oraz maski podsieci.

Sieć zdalna (Remote Network) Jeśli pole Remote Network jest ustawione na Single, wpisać (statyczny) adres IP urządzenia znajdującego się w sieci za zdalnym routerem IPSec. Jeśli pole Remote Network jest ustawione na Range IP, określić zakres adresów w zdalnej sieci poprzez wpisanie (statycznych) adresów, początkowego i końcowego. Jeśli pole Remote Network jest ustawione na Subnet, określić zdalną podsieć poprzez wpisanie (statycznego) adresu IP oraz maski podsieci.


13

3. Na trzecim ekranie kreatora należy skonfigurować ustawienia tunelu IKE (Internet Key Exchange).

Tryb negocjacji (Negotiation Mode) Wybrać opcję Main Mode lub Aggressive Mode. Jednostki SA łączące się za pośrednictwem zabezpieczonej bramy muszą używać tego samego trybu negocjacji.

Algorytm szyfrowania (Encryption Algorithm) Wybrać metodę szyfrowania z kluczem prywatnym (tajnym). Algorytm DES używa klucza 56-bitowego. Algorytm Triple DES (3DES) jest odmianą DES z kluczem o długości 168 bitów. W rezultacie algorytm 3DES jest bezpieczniejszy niż DES. Wymaga też większej mocy przetwarzania, powodując zwiększenie opóźnień i zmniejszenie przepustowości. Algorytm AES używa klucza 128-bitowego i jest szybszy niż 3DES.

Algorytm uwierzytelniania (Authentication Algorithm) MD5 (Message Digest 5) oraz SHA1 (Secure Hash Algorithm) to algorytmy mieszające używane do uwierzytelniania danych w pakietach. Algorytm SHA1 jest bezpieczniejszy niż MD5.

Grupa kluczy (Key Group) Wybrać grupę kluczy używaną w 1. fazie tworzenia tunelu IKE. DH1 (ustawienie domyślne) odnosi się do grupy 1. Diffiego-Hellmana, 768-bitowej liczby losowej. DH2 odnosi się do grupy 2. Diffiego-Hellmana, 1024-bitowej (1-kilobitowej) liczby losowej. Czas życia SA w sekundach (SA Life Time) Za pomocą tego pola można zdefiniować okres automatycznej renegocjacji skojarzenia SA poprzez IKE. Minimalna wartość to 180 sekund. Współużytkowany klucz (Pre-Shared Key) Wpisać od 8 do 31 znaków ASCII (wielkość liter ma znaczenie) albo od 16 do 62 znaków szesnastkowych ("0-9", "A-F"). Klucz szesnastkowy należy poprzedzić znakami "0x” (zero x), których nie wlicza się do długości klucza.

Kliknąć przycisk Next, aby kontynuować.


14

4. Na czwartym ekranie kreatora należy skonfigurować ustawienia IPSec i kliknąć przycisk Next, aby kontynuować.

Wybrać tryb Tunnel lub Transport.

Wybrać protokół używany do wymiany klucza IKE (ESP lub AH).

Wybrać algorytm szyfrowania albo opcję NULL, aby utworzyć tunel bez szyfrowania. Wybrać algorytm uwierzytelniania.

Określić „czas życia” skojarzenia SA protokołu IPSec. Pole to pozwala określić limit czasu trwania sesji IPSec.

Określić, czy urządzenie ma gwarantować Perfect Forward Secrecy (PFS). Wybrać opcję None (domyślną), aby wyłączyć PFS. DH1 odnosi się do grupy 1. Diffiego-Hellmana, 768-bitowej liczby losowej. DH2 odnosi się do grupy 2. Diffiego-Hellmana, 1024-bitowej (1-kilobitowej) liczby losowej (ustawienie bezpieczniejsze, ale wolniejsze).


15

5. Ten ekran, przeznaczony tylko do odczytu, pokazuje podsumowanie ustawień reguły VPN. Należy sprawdzić, czy skonfigurowane ustawienia są prawidłowe.

Kliknąć przycisk Finish, aby zapisać ustawienia i zakończyć działanie kreatora. Można również kliknąć przycisk Back, aby wrócić do poprzedniego ekranu.

4. Rozwiązywanie problemów PROBLEM ROZWIĄZANIE

Po włączeniu urządzenia ZyWALL nie świeci żaden ze wskaźników LED

Upewnić się, że zasilacz jest podłączony do urządzenia ZyWALL i do gniazda elektrycznego. Sprawdzić połączenia kablowe.

Jeśli wskaźniki LED nadal się nie zapalają, może to świadczyć o problemie sprzętowym. Należy skontaktować się ze sprzedawcą urządzenia.

Nie można uzyskać dostępu do urządzenia ZyWALL z sieci lokalnej

Należy sprawdzić połączenia kablowe między urządzeniem ZyWALL a komputerem lub koncentratorem. Szczegółowe informacje można znaleźć w rozdziale poświęconym panelowi przedniemu.

Należy sprawdzić łączność z urządzeniem ZyWALL, wydając polecenie ping w komputerze podłączonym do sieci lokalnej. Należy sprawdzić, czy w komputerze zainstalowana jest karta Ethernet i czy działa ona prawidłowo.

Nie można uzyskać połączenia z żadnym z komputerów w sieci lokalnej

Jeśli wskaźniki LED 10/100M LAN/DMZ nie świecą, należy sprawdzić połączenia kablowe między urządzeniem ZyWALL a komputerami w sieci lokalnej.

Należy upewnić się, że adresy IP i maski podsieci w urządzeniu ZyWALL oraz w komputerach podłączonych do sieci lokalnej należą do tego samego zakresu.

Adres IP portu WAN jest przydzielany po tym, jak dostawca usług internetowych zweryfikuje adres MAC, nazwę hosta albo identyfikator użytkownika.

Należy dowiedzieć się, jakiej metody weryfikacji używa dostawca usług, a następnie skonfigurować odpowiednie pola.

Jeśli dostawca sprawdza adres MAC portu WAN, należy skopiować adres MAC komputera podłączonego do sieci lokalnej. Należy kliknąć łącze WAN, a następnie zakładkę WAN, zaznaczyć opcję Spoof WAN MAC Address i wpisać adres IP komputera, którego adres MAC ma zostać skopiowany.

Jeśli dostawca sprawdza nazwę hosta, należy wpisać nazwę komputera w polu System Name na ekranie MAINTENANCE General (zobacz podrozdział Modyfikowanie ustawień w Instrukcji użytkownika)

Nie można uzyskać adresu IP portu WAN od dostawcy usług internetowych.

Jeśli dostawca sprawdza identyfikator użytkownika, należy kliknąć łącze WAN, a następnie zakładkę WAN. Należy sprawdzić typ usługi, nazwę użytkownika i hasło.

Należy sprawdzić połączenie między urządzeniem ZyWALL a modemem kablowym/DSL. Nie można uzyskać dostępu do Internetu Kliknąć łącze WAN, aby zweryfikować ustawienia.


16


17

zywall-5 manual pl - pl.zyxel.com · zywall 5 — urządzenie zabezpieczaj ące połączenie...

Documents