Transcripción de documentos

ESPAÑOL Vista previa El ZyWALL 5 es un cortafuegos, soporte de VPNs, gestión del ancho de banda, filtrado de contenidos y, antispam, antivirus, IDP (Intrusion Detection and Protection) muchas otras características. Puede usarlo como cortafuegos transparente sin reconfigurar su red ni configurar las características de enrutamiento de ZyWALL. El ZyWALL aumenta la seguridad de la red añadiendo la opción de cambiar las funciones de los puertos de LAN a DMZ para utilizarlos con servidores de acceso público. Esta guía cubre las conexiones iniciales y configuración necesaria para comenzar a usar el ZyWALL en su red. Vea la Guía del usuario para más información sobre todas las características. Puede que necesite su acceso a Internet para más información. Esta guía está dividida en las siguientes secciones. 1 Conexiones del hardware 6 NAT 2 Acceso al configurador Web 7 Cortafuegos 3 Modo puente (bridge) 8 Configuración de reglas VPN 4 Configuración del acceso a Internet y registro del producto 9 Solución de problemas 5 DNS 1 Conexiones del hardware Necesita lo siguiente. ZyWALL Ordenador Cables Ethernet 33 adaptador de corriente ESPAÑOL Realice lo siguiente para crear conexiones de hardware para la configuración inicial. 1 Use un cable Ethernet para conectar el puerto LAN/DMZ a un ordenador. Si configura estos puertos como puertos DMZ en la pantalla LAN o DMZ a través del configurador web, también podrá usar cables Ethernet para conectar servidores públicos (web, correo electrónico, FTP, etc.) a los puertos LAN/DMZ. 2 Use un cable Ethernet para conectar el puerto WAN a un dispositivo Ethernet con acceso a Internet. 3 Inserte la tarjeta de expansion ZyWALL Turbo para utilizar el antivirus y las caracteristicas IDP o inserte una tarjeta LAN inalambrica para utilizar la caracteristica LAN. Consulte la guia ZyWALL Turbo Card para mas informacion sobre la tarjeta de expansion. Consulte la guia del usuario para la instalacion de una tarjeta LAN inalambrica. 34 ESPAÑOL 4 Use el adaptador de corriente incluido para conectar el zócalo de alimentación (en el panel posterior) a una toma de corriente. 5 Mire al panel frontal. El LED PWR se encenderá. El LED SYS parpadeará mientras realiza la prueba del sistema y luego se quedará fijo si la prueba ha tenido éxito. Los LEDs ACT, CARD, LAN/DMZ y WAN se encenderán y permanecerán encendidos si las conexiones correspondientes se han realizado correctamente. 2 Acceso al configurador Web Use esta sección para configurar la interfaz WAN para el acceso a Internet. 1 Abra su explorador de web. Introduzca 192.168.1.1 (la dirección IP predeterminada del ZyWALL) como dirección. Si no aparece la pantalla de acceso, vea Sección 9.1 para ajustar la dirección IP de su ordenador. 2 Haga clic en Login (acceso) (la contraseña predeterminada 1234 ya está introducida). 3 Cambie la contraseña de acceso introduciendo una nueva contraseña y haciendo clic en Apply (Aplicar). 4 Haga clic en Apply (Aplicar) para reemplazar el certificado digital predeterminado de ZyWALL. 5 Aparecerá la pantalla HOME (Inicio). El ZyWALL está en modo router por defecto. Continúe en el siguiente paso si desea usar características de enrutamiento como NAT, DHCP y VPN. Vaya a Sección 3 si prefiere usar el ZyWALL como cortafuegos transparente. 35 ESPAÑOL 6 Compruebe la tabla Network Status (estado de la red). Si el estado de WAN no es Down (Caído) y hay una dirección IP, vaya a Sección 5. Si el estado de la WAN es Down (Caído) (o no hay una dirección IP), haga clic en Internet Access (acceso a Internet) y use Sección 4 para configurar WAN. 3 Modo puente (bridge) Cuando configura el ZyWALL en modo puente, funciona como un cortafuegos transparente. Haga lo siguiente para configurar el ZyWALL en este modo bridge. 36 ESPAÑOL 1 Haga clic en MAINTENANCE (Mantenimiento) en el panel de navegación y luego en Device Mode (Modo de Dispositivo). 2 Seleccione Bridge (Puente) y configure una máscara de subred de dirección IP (estática) y una dirección IP de puerta de enlace para las interfaces LAN, WAN, DMZ y WLAN del ZyWALL. 3 Haga clic en Apply (Aplicar). El ZyWALL se reiniciará. Vaya a Sección 5 si tiene servidores que necesitan ser accesibles desde la WAN. 4 Configuración del acceso a Internet y registro del producto 1 Haga clic en Internet Access (Acceso a Internet) en la pantalla HOME (INICIO) para abrir el asistente para el acceso a Internet. Introduzca la información del acceso a Internet exactamente como se le ha dado. Si se le ha dado una dirección IP para usarla, seleccione Static (Estática) en el cuadro desplegable IP Address Assignment (Asignación de dirección IP) e introduzca la información facilitada. Nota: Los campos varían dependiendo de lo que seleccione en el campo Encapsulation (Encapsulación). Rellénelos con la información facilitada por el ISP o el administrador de redes. Haga clic en Apply (Aplicar) cuando haya terminado. 37 ESPAÑOL • Encapsulación Ethernet Configure un servicio Correcaminos en las pantallas WAN de NETWORK (Red) (use la ficha WAN). • Encapsulación PPP sobre Ethernet o PPTP Seleccione Nailed-Up (Forzada) cuando desee que su conexión esté arriba todo el tiempo (esto puede resultar caro si su ISP le cobra por el tiempo de uso de Internet en lugar de una cuota fija mensual). Para no tener una conexión arriba todo el tiempo, especifique un período de tiempo en espera (en segundos) en Idle Timeout (Temporizador de inactividad). 38 ESPAÑOL 2 Haga clic en Next (Siguiente) para mostrar la pantalla donde podra registrar ZyWALL con myZyXEL.com (centro de servicios en linea de ZyXEL) y activar el filtrado de contenidos, anti-spam, antivirus y aplicaciones de prueba IDP. En caso contrario, haga clic en Skip (Saltar) y luego en Close (Cerrar) para completar la configuracion de acceso a Internet. Nota: Asegurese de haber instalado el ZyWALL Turbo Card antes de activar los servicios de suscripcion a IDP y antivirus. Apague el ZyWALL antes de instalar o quitar ZyWALL Turbo Card. 3 Si ya tiene una cuenta en myZyXEL.com, seleccione Existing myZyXEL.com account (Cuenta myZyXEL.com existente) e introduzca la informacion de la cuenta. En caso contrario, seleccione New myZyXEL.com account (Nueva cuenta myZyXEL.com) y rellene los campos de abajo para crear una nueva cuenta y registrar su ZyWALL. Haga clic en Next (Siguiente). 4 Espere a que el progreso del registro finalice. 39 ESPAÑOL 5 La pantalla siguiente muestra si el registro no ha tenido exito. Haga clic en Return (Volver) para regresar a la pantalla Device Registration (Registro del dispositivo) y comprobar su configuracion. 6 Haga clic en Close (Cerrar) para salir de la pantalla del asistente cuando se hayan realizado el registro y la activacion. Nota: Si desea activar un servicio estandar con el numero de PIN de su iCard (clave de licencia), utilice la pantalla REGISTRATION Service (Servicio del REGISTRO). Consulte la guia del usuario para mas detalles. 5 DMZ La Zona DesMilitarizada (DeMilitarized Zone - DMZ) permite a los servidores públicos (web, correo electrónico, FTP, etc.) estar visibles al mundo exterior teniendo aún protección de cortafuegos contra ataques DoS (Denial of Service - Negación de Servicio). A diferencia de LAN, el ZyWALL no asigna la configuración TCP/IP a través de DHCP a ordenadores conectados a los puertos DMZ. Configure los ordenadores con direcciones IP estáticas (en la misma subred que la dirección IP del puerto DMZ) y direcciones de servidor DNS. Use la dirección IP del ZyWALL como puerta de enlace predeterminada. Realice lo siguiente para configurar la DMZ si el ZyWALL está en modo de enrutamiento. Nota: No necesita configurar la DMZ con modo puente, vaya a Sección 7. 1 Haga clic en NETWORK (RED), DMZ en el panel de navegación. 40 ESPAÑOL 2 Especifique una dirección IP y máscara de subred para la interfaz DMZ. Si usa direcciones IP privadas en la DMZ, use NAT para hacer a los servidores accesibles públicamente (ver Sección 6). Una dirección IP pública debe estar en una subred separada de las direcciones IP públicas de los puertos WAN. Si no configura NAT para las direcciones IP públicas en la DMZ, el ZyWALL enruta el tráfico a las direcciones IP públicas de la DMZ sin realizar la NAT. Esto puede resultar útil para albergar servidores para aplicaciones hostiles NAT. 3 Haga clic en Apply (Aplicar). 4 Por defecto, los puertos LAN/DMZ (del 1 al 4) son todos puertos LAN. Para configurar un puerto como puerto DMZ, haga clic en la pestaña Port Roles (Función de los puertos), seleccione el botón circular junto a DMZ y haga clic en Apply (Aplicar). 6 NAT NAT (Network Address Translation (Traducción de Direcciones de Redes) - NAT, RFC 1631) significa la traducción de una dirección IP en una red a una dirección IP diferente en otra. Puede usar las pantallas de NAT Address Mapping (mapeo de direcciones NAT) para que el ZyWALL traduzca múltiples direcciones IP públicas a múltiples direcciones IP privadas en su LAN (o DMZ). El siguiente ejemplo permite el acceso desde la WAN a un servidor HTTP (web) en la DMZ. El servidor tiene una dirección IP privada de 10.0.0.20. 41 ESPAÑOL 1 Haga clic en ADVANCED (AVANZADA), NAT en el panel de navegación y luego en Port Forwarding (Reenvío de puerto). 2 Seleccione la casilla de verificación Active (Activa). 3 Escriba un nombre para la regla. 4 Escriba el número que el servicio usa. 5 Escriba la dirección IP del servidor HTTP. 6 Haga clic en Apply (Aplicar). 7 Cortafuegos Puede usar el ZyWALL sin configurar el cortafuegos. El cortafuegos del ZyWALL está preconfigurado para proteger su LAN de ataques desde Internet. Por defecto, no puede entrar ningún tráfico en su LAN a menos que se haya generado una petición en la LAN antes. El ZyWALL permite el acceso a la DMZ desde la WAN o LAN, pero bloquea el tráfico de la DMZ a la LAN. Si usa el ZyWALL en modo enrutador, continúe con la siguiente sección. Para el modo puente, vaya a Sección 9. 42 ESPAÑOL 8 Configuración de reglas VPN Un túnel VPN (Virtual Private Network - Red Privada Virtual) le ofrece una conexión segura a otro ordenador o red. Una política de puerta de enlace identifica a los enrutadores IPSec en ambos extremos del túnel VPN. Una política de red especifica qué dispositivos (detrás de los enrutadores IPSec) pueden usar el túnel VPN. Esta figura ayuda a explicar los campos principales en las pantallas del asistente. 1 Haga clic en VPN en la pantalla HOME (Inicio) (puede que necesite desplazar arriba para ver el enlace) para abrir el asistente para VPN. 43 ESPAÑOL Nota: Su configuración no se grabará cuando haga clic en Back (Atrás). 2 Use esta pantalla para configurar la política de la puerta de enlace. 3 Use esta pantalla para configurar la política de la red. Name (Nombre): Introduzca un nombre para identificar la política de la puerta de enlace. Deje la casilla de verificación Active (Activa) seleccionada. Remote Gateway Address (Dirección de puerta de enlace remota): Introduzca la dirección IP o nombre del dominio del enrutador IPSec remoto. Name (Nombre): Introduzca un nombre para identificar la política de la red. Seleccione Single (Una) e introduzca la dirección IP para una única dirección IP. Seleccione Range IP (Rango IP) e introduzca las direcciones IP inicial y final para un rango específico de direcciones IP. Seleccione Subnet (Subred) e introduzca la dirección IP y la máscara de subred para especificar las direcciones IP en una red por su máscara de subred. 44 ESPAÑOL Nota: Compruebe que el enrutador IPSec usa la misma configuración de seguridad que la que configurará en las siguientes dos pantallas. Negotiation Mode (Modo de negociación): Seleccione Main Mode (Modo principal) para la protección de la identidad. Seleccione Aggressive Mode (Modo agresivo) para permitir que más conexiones entrantes desde direcciones IP dinámicas usen contraseñas separadas. Nota: SAs (asociaciones de seguridad) múltiples conectadas a través de una puerta de enlace segura deben tener el mismo modo de negociación. Encryption Algorithm (Algoritmo de cifrado): Seleccione 3DES o AES para un cifrado más fuerte (y más lento). Authentication Algorithm (Algoritmo de autenticación): Seleccione MD5 para una seguridad mínima o SHA-1 para una mayor seguridad. Key Group (Grupo de claves): Seleccione DH2 para una mayor seguridad. SA Life Time (Temporizador de SA): Ajuste la frecuencia con que ZyWALL negocia la IKE SA (mínimo 180 segundos). Una vida de SA corta aumenta la seguridad, pero la negociación desconecta temporalmente el túnel VPN. Pre-Shared Key (Clave pre-compartida): Use 8 a 31 caracteres ASCII sensibles a mayúsculas o 16 a 62 caracteres hexadecimales ("0-9", "A-F"). Precede una clave hexadecimal con un "0x” (cero x), que no cuenta como parte del rango de caracteres 16 a 62 para la clave. Encapsulation Mode (Modo de encapsulación): Tunnel (Túnel) es compatible con NAT, Transport (Transporte) no lo es. IPSec Protocol (Protocolo IPSec): ESP es compatible con NAT, AH no lo es. Perfect Forward Secrecy (PFS): None (Ninguno) permite una configuración IPSec más rápida, pero DH1 y DH2 son el modo seguro. 4 Use esta pantalla para establecer la configuración de túnel IKE (Internet Key Exchange - Intercambio de Claves de Internet). 5 Use esta pantalla para establecer la configuración IPSec. 45 ESPAÑOL 6 Compruebe su configuración VPN. Haga clic en Finish (Finalizar) para guardar la configuración. 7 Haga clic en Close (Cerrar) en la pantalla final para completar la configuración del asistente para VPN. Continúe con la siguiente sección para activar la regla VPN y establecer una conexión VPN. 8.1 Usar la conexión VPN Use túneles VPN para enviar y recibir archivos con seguridad y permitir el acceso remoto a redes corporativas, servidores de web y correo electrónico. Los servicios funcionan igual que si estuviese en la oficina en lugar de estar conectado a Internet. Por ejemplo, la regla VPN “test” (prueba) permite un acceso seguro a un servidor web en una LAN corporativa remota. Introduzca la dirección IP del servidor (10.0.0.23 en este ejemplo) como URL en su explorador. El ZyWALL construye automáticamente un túnel VPN cuando intenta usarlo. Haga clic en SECURITY (SEGURIDAD), VPN en el panel de navegación y luego en la ficha SA Monitor (monitor SA) para mostrar una lista de los túneles VPN conectados (el túnel VPN “test” (prueba) está aquí). 46 ESPAÑOL 9 Solución de problemas Problema Solución Ninguno de los LEDs se enciende. Asegúrese de haber conectado el adaptador de corriente al ZyWALL y si lo ha enchufado en una fuente de alimentación apropiada. Compruebe todas las conexiones de los cables. No se puede acceder al ZyWALL desde la LAN. Compruebe la conexión de cables entre el ZyWALL y su ordenador o hub. Consulte Sección 1 para más detalles. Si los LEDs todavía no se encienden, puede que tenga un problema de hardware. En este caso, debería contactar con su vendedor local. Realice un ping al ZyWALL desde un ordenador LAN. Compruebe que la tarjeta Ethernet de su ordenador esté instalada y funcione correctamente. En el ordenador, haga clic en Inicio, (Todos los) programas, Accesorios y luego en Símbolo del sistema. En la ventana del Símbolo del sistema, escriba "ping" seguido por la dirección IP LAN del ZyWALL (192.168.1.1 es la predeterminada) y pulse [ENTRAR]. El ZyWALL debería responder. En caso contrario, consulte Sección 9.1. Si ha olvidado la contraseña del ZyWALL, use el botón RESET . Mantenga pulsado el botón durante unos 10 segundos (o hasta que el LED PWR comience a parpadear), a continuación suéltelo. Esto devolverá al ZyWALL la configuración predeterminada de fábrica (la contraseña es 1234, dirección IP LAN 192.168.1.1 etc.; vea la Guía del usuario para más detalles). Si ha olvidado la dirección IP LAN o WAN del ZyWALL puede comprobar la dirección IP en la SMT a través del puerto consola SMT. Conecte su ordenador al puerto CONSOLE (Consola) usando un cable de consola. Su ordenador debería tener un programa de comunicaciones de emulación de terminales (como HyperTerminal) ajustado a la emulación del terminal VT100, sin paridad, 8 bits de datos, 1 bit de parada, sin flujo de control y una velocidad de puerto de 9600 bps. No puedo acceder Compruebe la conexión del ZyWALL a la clavija Ethernet con acceso a Internet. Compruebe a Internet. si el dispositivo de puerta de enlace de Internet (como un módem DSL) funciona correctamente. Haga clic en WAN en el panel de navegación para verificar su configuración. No puedo establecer una conexión VPN. Compruebe si el ZyWALL y el enrutador IPSec usan la misma configuración VPN. Haga clic en VPN en el panel de navegación para establecer la configuración avanzada. Acceda a un sitio web para comprobar si tiene una conexión a Internet correcta. 9.1 Configurar la dirección IP de su ordenador Esta sección le explica cómo configurar su ordenador para recibir una dirección IP en Windows 2000, Windows NT y Windows XP. Esto asegura que su ordenador pueda conectarse con su ZyWALL. 1 En Windows XP, haga clic en Inicio, Panel de control. 47 ESPAÑOL En Windows 2000/NT, haga clic en Inicio, Configuración, Panel de control. 2 En Windows XP, haga clic en Conexiones de red. En Windows 2000/NT, haga clic en Conexiones de red y marcación. 3 Haga clic con el botón derecho en Conexión de área local y haga clic en Propiedades. 4 Seleccione Protocolo Internet (TCP/IP) (en la ficha General en Windows XP) y haga clic en Propiedades. 5 Se abrirá la pantalla Propiedades de Protocolo Internet TCP/IP (la ficha General en Windows XP). Seleccione las opciones Obtener una dirección IP automáticamente y Obtener la dirección del servidor DNS automáticamente. 6 Haga clic en Aceptar para cerrar la ventana Propiedades de Protocolo Internet (TCP/IP). 7 Haga clic en Cerrar (Aceptar en Windows 2000/NT) para cerrar la ventana Propiedades de conexión de área local. 8 Cierre la pantalla Conexiones de red. Procedimiento para ver la(s) certificación(es) del producto 1 Vaya a www.zyxel.com. 2 Seleccione su producto de la lista desplegable en la página inicial de ZyXEL para ir a la página de ese producto. 3 Seleccione la certificación que desee visualizar en esta página. 48