ZyXEL Communications 70 Manual de usuario
- Categoría
- Enrutadores
- Tipo
- Manual de usuario
Este manual también es adecuado para
65-020-007002
or Certifications. For more information about your device's Declaration of Conformity (DOC) please refer to www.zyxel.com
ZyWALL 70
Quick Start Guide
Version 3.62
Corporate Headquarters
ZyXEL Communications Corp.
Tel: +886-3-578-3942
Fax: +886-3-578-2439
Email: [email protected]
http://www.zyxel.com
http://www.zyxel.com.tw
Denmark
Tel: +45 39 55 07 00
Fax: +45 39 55 07 07
Email: [email protected]
http://www.zyxel.dk
Finland
Tel: +358-9-4780 8400
Fax: +358-9-4780 8448
Email: [email protected]
http://www.zyxel.fi
France
Tel : +33 (0)4 72 52 97 97
Fax : +33 (0)4 72 52 19 20
Email: [email protected]
http://www.zyxel.fr
Germany
Tel: +49 2405 6909 0
Fax: +49 2405 6909 99
Email: [email protected]
http://www.zyxel.de
North America
Tel: +1-800-255-4101
Tel: +1-714-632-0882
Fax: +1-714-632-0858
Email: [email protected]
http://www.us.zyxel.com
Norway
Tel: +47 22 80 61 80
Fax: +47 22 80 61 81
Email: [email protected]
http://www.zyxel.no
Spain
Tel : +34 902 195 420
Fax : + 34 913 005 345
Email: [email protected]
http:// www.zyxel.es
Sweden
Tel: +46 31 744 7700
Fax: +46 31 744 7701
Email: [email protected]
http://www.zyxel.se
ZyWALL 70 Internet Security Appliance
1
Contents
English 1
German 17
French 37
Spanish 55
Italian 33
Chinese 91
ZyWALL 70 Internet Security Appliance
2
Introducing the ZyWALL
The ZyWALL 70 is the ideal secure gateway for all data passing between the Internet and the LAN. By
integrating NAT, firewall, content filtering, certificates and VPN capability, ZyXEL’s ZyWALL 70 is a
complete security solution that protects your Intranet and efficiently manages data traffic on your network.
The ZyWALL increases network security by adding four De-Militarized Zone (DMZ) ports for use with
publicly accessible servers. The PCMCIA/CardBus slot allows you to add a 802.11b/g-compliant wireless
LAN. The embedded web configurator is easy to operate and totally independent of the operating system
platform you use.
You should have an Internet account already set up and have been given most of the following information.
Internet Account Information
Your device’s WAN IP Address (if given): __________________
Your device’s WAN Default Gateway (if given): __________________
Your device’s WAN Net Mask (if given): __________________
DNS Server IP Address (if given): Primary _______________, Secondary _______________, Third _______________
Encapsulation: (choose one below)
Ethernet
Service Type: _______________________
Login Server IP Address: ______________
User Name: ____________ Password: ____________
PPTP
User Name: ____________ Password: ____________
Your WAN IP Address: ____________ PPTP Server IP Address: ___________
Connection ID (if required): ____________
PPPoE
(PPPoE) Service Name: ____________
User Name: ____________ Password: ____________
Procedure to View a Product’s Certification(s)
1. Go to www.zyxel.com.
2. Select your product from the drop-down list box on the ZyXEL home page to go to that product's page.
3. Select the certification you wish to view from this page.
ZyWALL 70 Internet Security Appliance
3
1 Hardware Connections
1.1 Front Panel and Connections
LABEL DESCRIPTION
RESET You only need to use this button if you’ve forgotten the ZyWALL’s password. It returns
the ZyWALL to the factory defaults (password is 1234, LAN IP address 192.168.1.1,
terminal emulation settings as described below etc.; see your User’s Guide for details).
LAN Connect a computer to this port with an Ethernet cable. This port is auto-negotiating (can
connect at 10 or 100Mbps) and auto-crossover (automatically adjust to straight-through
or crossover Ethernet cable).
WAN-1/2 Connect your cable/DSL modem to this port with the cable that came with your modem.
DMZ 10/100M Connect publicly accessible servers (Web, FTP, etc.) to these ports to make them visible
to the outside world. Use Ethernet cables to connect these ports to computers or
switches.
DIAL BACKUP Only connect this port if you want to set up a backup WAN connection; see your User’s
Guide for details.
Connect the 9-pin female end of your modem or TA (Terminal Adaptor) cable to this port
and the other end to your modem or TA.
CONSOLE Only connect this port if you want to configure the ZyWALL using the SMT (System
Management Terminal) via console port; see your User’s Guide for details.
Connect the 9-pin male end of the console cable to the console port of the ZyWALL and
the other end to a serial port (COM1, COM2 or other COM port) on your computer. Your
computer should have a terminal emulation communications program (such as
HyperTerminal) set to VT100 terminal emulation, no parity, 8 data bits, 1 stop bit, no flow
control and 9600 bps port speed.
ZyWALL 70 Internet Security Appliance
4
1.2 Rear Panel and Connections
LABEL DESCRIPTION
Extension Card
Slot
Do not insert or remove a card with the ZyWALL turned on.
Turn off the ZyWALL before inserting or removing an 802.11b/g-compliant wireless
LAN PCMCIA or CardBus card (to avoid damage).
Slide the 64-pin connector end of the PCMCIA or CardBus wireless LAN card into the
slot as shown next.
Do not force, bend or twist the wireless LAN card.
POWER 100-
240VAC
Connect the included power cord (use only this cord) to this power socket.
After you’ve made the connections, connect the power adaptor to a power supply and push the power
switch to the on position. Look at the front panel LEDs.
ZyWALL 70 Internet Security Appliance
5
1.3 The Front Panel LEDs
The PWR LED turns on when you connect the power. The SYS LED blinks while performing system testing
and then stays on if the testing is successful. The ACT, CARD, LAN, WAN and DMZ LEDs turn on if the
corresponding connections are properly made. Refer to the following table for more detailed LED
descriptions.
LED COLOR STATUS DESCRIPTION
Off The ZyWALL is turned off.
Green On The ZyWALL is turned on.
PWR
Red On The power to the ZyWALL is too low.
Off The ZyWALL is not ready or has failed.
On The ZyWALL is ready and running.
SYS Green
Flashing The ZyWALL is restarting.
Off The backup port is not connected. ACT Green
Flashing The backup port is sending or receiving packets.
Off The wireless LAN is not ready, or has failed.
On The wireless LAN is ready.
CARD Green
Flashing The wireless LAN is sending or receiving packets.
Off The LAN is not connected.
On The ZyWALL has a successful 10Mbps Ethernet connection. Green
Flashing The 10M LAN is sending or receiving packets.
On The ZyWALL has a successful 100Mbps Ethernet connection.
LAN
10/100
Orange
Flashing The 100M LAN is sending or receiving packets.
Off The WAN connection is not ready, or has failed.
On The ZyWALL has a successful 10Mbps WAN connection.
WAN-1/2
10/100
Green
Flashing The 10M WAN is sending or receiving packets.
ZyWALL 70 Internet Security Appliance
6
LED COLOR STATUS DESCRIPTION
On The ZyWALL has a successful 100Mbps WAN connection. Orange
Flashing The 100M WAN is sending or receiving packets.
Off The DMZ connection is not ready, or has failed.
On The ZyWALL is connected to a 100Mbps DMZ. Green
Flashing The 10M DMZ is sending or receiving packets.
On The ZyWALL is connected to a 100Mbps DMZ.
DMZ
10/100
Orange
Flashing The 100M DMZ is sending or receiving packets.
2 Setting Up Your Computer’s IP Address
Skip this section if your computer is already set up to accept a dynamic IP address.
This is the default for most new computers.
The ZyWALL is already set up to assign your computer an IP address. Use this section to set up your
computer to receive an IP address or assign it a static IP address in the 192.168.1.2 to 192.168.1.254 range
with a subnet mask of 255.255.255.0. This is necessary to ensure that your computer can communicate with
your ZyWALL.
Your computer must have an Ethernet card and TCP/IP installed. TCP/IP should already be installed on
computers using Windows NT/2000/XP, Macintosh OS 7 and later operating systems.
Windows 2000/NT/XP
1. In Windows XP, click Start, Control Panel. In Windows 2000/NT, click Start, Settings, Control Panel.
2. In Windows XP, click Network Connections.
In Windows 2000/NT, click Network and Dial-up Connections.
3. Right-click Local Area Connection and then click Properties.
4. Select Internet Protocol (TCP/IP) (under the General tab in Windows XP) and click Properties.
ZyWALL 70 Internet Security Appliance
7
5. The Internet Protocol TCP/IP Properties screen opens (the
General tab in Windows XP).
- To have your computer assigned a dynamic IP address, click
Obtain an IP address automatically.
-To configure a static IP address, click Use the following IP
Address and fill in the IP address (choose one
from192.168.1.2 to 192.168.1.254), Subnet mask
(255.255.255.0), and Default gateway (192.168.1.1) fields.
6. Click Advanced. Remove any previously installed gateways in
the IP Settings tab and click OK to go back to the Internet
Protocol TCP/IP Properties screen.
7. Click Obtain DNS server address automatically if you do
not know your DNS server IP address(es).
If you know your DNS server IP address(es), click Use the
following DNS server addresses, and type them in the
Preferred DNS server and Alternate DNS server fields.
If you have more than two DNS servers, click Advanced, the
DNS tab and then configure them using Add.
8. Click OK to close the Internet Protocol (TCP/IP) Properties
window.
9. Click OK to close the Local Area Connection Properties
window.
Checking Your Computer’s IP Address
1. In the computer, click Start, (All) Programs, Accessories and then Command Prompt.
2. In the Command Prompt window, type "ipconfig" and then press ENTER. Your computer’s IP address must be in
the correct range (192.168.1.2 to 192.168.1.254) with subnet mask 255.255.255.0 in order to communicate with
the ZyWALL.
ZyWALL 70 Internet Security Appliance
8
Refer to your User’s Guide for detailed IP address configuration for other Windows and Macintosh computer
operating systems.
3 Configuring Your ZyWALL
Choose one of these methods to access and configure the ZyWALL. This Quick
Start Guide shows you how to use the web configurator wizards only. See your
User’s Guide for background information on all ZyWALL features and SMT
configuration. Click the web configurator online help for screen-specific web help.
Web Configurator
SMT (System Management Terminal). Access the SMT via:
o Console port using terminal emulation software
o LAN, WLAN, DMZ or WAN using Telnet
3.1 Accessing Your ZyWALL Via Web Configurator
Step 1. Launch your web browser. Enter “192.168.1.1” as the web site address.
Step 2. The default password (“1234”) is already in the password field (in non-readable format). Click
Login to proceed to a screen asking you to change your password. Click Reset to revert to the
default password in the password field.
Web site address.
Default password.
ZyWALL 70 Internet Security Appliance
9
Step 3. It is highly recommended you change the default password! Enter a new password, retype it to
confirm and click Apply; alternatively click Ignore if you do not want to change the password
now.
Step 4. Click Apply in the Replace Certificate screen to create a certificate using your ZyWALL’s MAC
address that will be specific to this device.
Step 5. You should now see the web configurator HOME screen.
Click Internet Access and VPN Wizard to begin setup wizards screens to help you configure your
ZyWALL for the first time.
Click a link in the navigation panel to configure that ZyWALL feature.
Click MAINTENANCE in the navigation panel to upload firmware and back up, restore or upload
a configuration file.
Click Renew to renew the WAN IP address.
Click Show Statistics to see ZyWALL performance statistics.
Click Show DHCP Table to see current DHCP (Dynamic Host Configuration Protocol) client
information.
Change default password.
ZyWALL 70 Internet Security Appliance
10
Click VPN Status to display the active VPN (Virtual Private Network) connections.
Click LOGOUT when you have finished a ZyWALL management session.
The ZyWALL automatically logs you out if it is left idle for five minutes; press
Refresh to display the Login screen again and then log back in. This idle timeout
timer is one of the many ZyWALL features that you may edit using the web
configurator.
LOGOUT
Navigation panel
Wizards
ZyWALL 70 Internet Security Appliance
11
3.2 Using the Wizard to Configure for Internet Access
Step 1. Click Internet Access in the HOME screen to help you configure your WAN1 on the ZyWALL
to access the Internet. The first wizard screen has three variations depending on what
encapsulation type you use. Use the information in Internet Account Information to fill in fields.
Choose Ethernet when the WAN port is used
as a regular Ethernet. Choose from Standard
or a RoadRunner version. You’ll need User
Name, Password and Login Server IP
Address for some Roadrunner versions.
Click Next to continue.
Internet Connection with Ethernet
Internet Connection with PPPoE
Point-to-Point Protocol over Ethernet (PPPoE)
also functions as a dial-up connection.
Therefore you’ll also need a username and
password and possibly the PPPoE service
name.
Your ISP will give you all needed information.
ZyWALL 70 Internet Security Appliance
12
Internet Connection with PPTP
Choose PPTP if your service provider uses a
DSL terminator with PPTP login. The ZyWALL
must have a static IP address in this case.
You’ll also need a login name, associated
password, the DSL terminator IP address and
possibly a connection ID.
Step 2. Fill in the fields and click Finish to save and complete the wizard setup.
WAN IP Address Assignment
Select Get automatically from ISP if your ISP
did not assign you a fixed IP address. Select
Use fixed IP address if the ISP assigned a
fixed IP address and then enter your IP
address and subnet mask in the next two
fields. Enter the gateway IP address in this field
(if provided) when you select Use Fixed IP
Address.
System DNS Servers
Select From ISP if your ISP dynamically
assigns DNS server information (and the
ZyWALL's WAN IP address).
Select User-Defined if you have the IP
address of a DNS server. Enter the DNS
server's IP address in the field to the right.
Select None if you do not want to configure
DNS servers. If you do not configure a DNS
server, you must know the IP address of a
machine in order to access it.
WAN MAC Address
Select Factory Default to use the factory assigned default MAC address. Alternatively, select Spoof this Computer's MAC
address - IP Address and enter the IP address of the computer on the LAN whose MAC address you are cloning.
ZyWALL 70 Internet Security Appliance
13
3.3 Test Your Internet Connection
Launch your web browser and navigate to www.zyxel.com. You don’t need a dial-up program such as Dial
Up Networking. Refer to the User’s Guide for more detailed information on the complete range of ZyWALL
features.
3.4 Using the Wizard to Configure a VPN Policy
Refer to your User’s Guide for more background information about VPN.
Step 1. Click VPN Wizard in the HOME screen to help you edit a VPN rule that uses a pre-shared key
and configure IKE settings to establish a VPN tunnel.
Enter the WAN IP address of your ZyWALL.
The ZyWALL uses its current WAN IP
address (static or dynamic) in setting up the
VPN tunnel if you leave this field as 0.0.0.0.
Select IP Address and then enter IP address
to identify the remote IPSec router by its IP
address.
Otherwise, select Domain Name and enter
the domain name.
Click Next to continue.
Step 2. Fill in the fields and click Next to continue. Use this screen to configure the IP addresses of the
devices that can use the VPN tunnel. Local network refers to the devices behind the ZyWALL
and remote network refers to the devices behind the remote IPSec router.
Select Single for a single IP address. Select
Range IP for a specific range of IP
addresses. Select Subnet to specify IP
addresses on a network by their subnet
mask.
Local Network
If the Local Network field is configured to
Single, enter a (static) IP address on the
LAN behind your ZyWALL. If the Local
Network field is configured to Range IP,
enter the beginning and end (static) IP
address, in a range of computers on the LAN
behind your ZyWALL. If the Local Network
field is configured to Subnet, enter a (static)
IP address and subnet mask on the LAN
behind your ZyWALL.
ZyWALL 70 Internet Security Appliance
14
Remote Network
If the Remote Network field is configured to Single, enter a (static) IP address on the network behind the remote IPSec
router. If the Remote Network field is configured to Range IP, enter the beginning and end (static) IP address, in a range of
computers on the network behind the remote IPSec router. If the Remote Network field is configured to Subnet, enter a
(static) IP address and subnet mask on the network behind the remote IPSec router.
Step 3. Use the third wizard screen to configure IKE (Internet Key Exchange) tunnel settings.
Negotiation Mode
Select Main Mode or Aggressive Mode.
Multiple SAs connecting through a secure
gateway must have the same negotiation
mode.
Encryption Algorithm
Select the method of data encryption using a
private (secret) key.
The DES encryption algorithm uses a 56-bit
key. Triple DES (3DES) is a variation on
DES that uses a 168-bit key. As a result,
3DES is more secure than DES. It also
requires more processing power, resulting in
increased latency and decreased throughput.
This implementation of AES uses a 128-bit
key. AES is faster than 3DES.
Authentication Algorithm
MD5 (Message Digest 5) and SHA1 (Secure Hash Algorithm) are hash algorithms used to authenticate packet data. Select
MD5 for minimal security and SHA-1 for maximum security.
Key Group
Choose a key group for phase 1 IKE setup. DH1 (default) refers to Diffie-Hellman Group 1 a 768 bit random number. DH2
refers to Diffie-Hellman Group 2 a 1024 bit (1Kb) random number.
SA Life Time (Minutes)
Define the length of time before an IKE SA automatically renegotiates in this field. The minimum value is 180 seconds.
Pre-Shared Key
Type from 8 to 31 case-sensitive ASCII characters or from 16 to 62 hexadecimal ("0-9", "A-F") characters. You must
precede a hexadecimal key with a "0x” (zero x), which is not counted as part of the 16 to 62 character range for the key.
Click Next to continue.
ZyWALL 70 Internet Security Appliance
15
Step 4. Use the forth wizard screen to configure IPSec settings.
Choose Tunnel mode or Transport mode.
Choose which protocol to use (ESP or AH)
for the IKE key exchange.
Choose an encryption algorithm or select
NULL to set up a tunnel without encryption.
Choose an authentication algorithm.
Set the IPSec SA lifetime. This field allows
you to determine how long the IPSec SA
should stay up before it times out.
Choose whether to enable Perfect Forward
Secrecy (PFS) using Diffie-Hellman public-
key cryptography. Select None (the default)
to disable PFS. DH1 refers to Diffie-Hellman
Group 1 a 768 bit random number. DH2
refers to Diffie-Hellman Group 2 a 1024 bit
(1Kb) random number (more secure, yet
slower).
Step 5. This read-only screen shows a summary of the VPN rule’s settings. Check whether what you
have configured is correct.
Click Finish to save and complete the wizard
setup. Otherwise, click Back to return to the
previous screen.
ZyWALL 70 Internet Security Appliance
16
4 Troubleshooting
PROBLEM CORRECTIVE ACTION
None of the
LEDs turn on
when you turn
on the ZyWALL.
Make sure that you have the power adaptor connected to the ZyWALL and plugged in to an
appropriate power source. Make sure the fuse is not burnt out (see the User’s Guide appendices for
details). Check all cable connections.
If the LEDs still do not turn on, you may have a hardware problem. In this case, you should contact
your local vendor.
Cannot access
the ZyWALL
from the LAN.
Check the cable connection between the ZyWALL and your computer or hub. Refer to the section on
front panel for details.
Ping the ZyWALL from a LAN computer. Make sure your computer’s Ethernet card is installed and
functioning properly.
Cannot ping any
computer on the
LAN.
If the 10/100M LAN LEDs are off, check the cable connections between the ZyWALL and your LAN
computers.
Verify that the IP address and subnet mask of the ZyWALL and the LAN computers are in the same
IP address range.
The WAN IP is provided after the ISP verifies the MAC address, host name or user ID.
Find out the verification method used by your ISP and configure the corresponding fields.
If the ISP checks the WAN MAC address, you should clone the MAC address from a LAN computer.
Click WAN and then the WAN1 or WAN2 tab, select Spoof WAN MAC Address and enter the IP
address of the computer on the LAN whose MAC address you are cloning.
If the ISP checks the host name, enter your computer’s name in the System Name field in the
MAINTENANCE General screen (refer to the Maintenance part in the User’s Guide).
Cannot get a
WAN IP address
from the ISP.
If the ISP checks the user ID, click WAN and then the WAN1 or WAN2 tab. Check your service type,
user name, and password.
Check the ZyWALL’s connection to the cable/DSL device. Cannot access
the Internet.
Click WAN to verify your settings.
ZyWALL 70 Internet-Sicherheitslösung
17
ZyWALL 70
Internet-Sicherheitslösung
Kurzanleitung
Version 3.62
Februar 2004
ZyWALL 70 Internet-Sicherheitslösung
18
Einführung
Die ZyWALL 70 ist ein Security-Gateway für den Datenverkehr zwischen dem Internet und dem LAN.
Durch die Integration der NAT-, Firewall- und VPN-Funktionen, bietet die ZyXEL ZyWALL 70 eine
vollständige Sicherheitslösung, um Ihr Intranet zu schützen und den Datenverkehr im Netzwerk effizient zu
verwalten. Das integrierte Konfigurationsprogramm ist per Web-Browser bedienbar und damit vollkommen
unabhängig vom Betriebssystem Ihres Computers.
Um fortzufahren, sollten Sie bereits ein Internet-Benutzerkonto besitzen und folgende Informationen
bereithalten:
Internet-Benutzerkonto
WAN-IP-Adresse Ihres Gerätes (falls Sie eine feste Adresse erhalten haben): __________________
Standard-WAN-Gateway Ihres Gerätes (falls bekannt): __________________
Standard-WAN-Netzmaske Ihres Gerätes (falls bekannt): __________________
IP-Adresse des DNS-Servers (falls zutreffend):
Erster _______________, Zweiter _______________, Dritter _______________
Encapsulation: (wählen Sie eine der Folgenden aus)
Ethernet
Diensttyp: _______________________
Anmeldeserver-IP-Adresse: ______________
Benutzername: ____________ Kennwort: ____________
PPTP
Benutzername: ____________ Kennwort: ____________
Ihre WAN-IP-Adresse: ____________ IP-Adresse des PPTP-Servers: ___________
Verbindungs-ID (falls zutreffend): ____________
PPPoE
(PPPoE) Dienstname: ____________(bitte ggf. freilassen, z.B. für T-DSL)
Benutzername: ____________ Kennwort: ____________
Produktzertifizierungen einsehen
1. Stellen Sie eine Verbindung mit www.zyxel.com her.
2. Wählen Sie „ZyWALL 70“ aus der Pulldown-Liste der ZyXEL-Homepage aus, um auf die Seite des
betreffenden Produktes zu springen.
3. Wählen Sie auf dieser Seite die gewünschte Zertifizierung aus.
ZyWALL 70 Internet-Sicherheitslösung
19
1 Hardware-Kabelverbindungen
1.1 Anschlüsse auf der Vorderseite
BEZEICHNUNG BESCHREIBUNG
RESET Sie müssen diese Taste nur betätigen, wenn Sie das Kennwort Ihrer ZyWALL vergessen
haben. Dadurch werden die werksseitigen Standardeinstellungen wiederhergestellt
(Kennwort 1234, LAN-IP-Adresse 192.168.1.1, Einstellungen zur Terminalemulation wie
unten beschrieben usw.). Siehe auch Benutzerhandbuch.
LAN Hier schließen Sie einen Computer an. Verwenden Sie dazu ein Ethernet-Kabel. Dieser
Anschluss erkennt die Geschwindigkeit automatisch (kann an ein 10- oder 100-Mpbs-
Netzwerk angeschlossen werden). Ebenso wird der verwendete Kabeltyp
(durchgeschleift oder gekreuzt) automatisch erkannt.
WAN-1/2 Hier schließen Sie Ihr Kabel- bzw. DSL-Modem an. Verwenden Sie dazu das mit dem
Modem gelieferte Kabel.
DMZ 10/100M Hier können Sie öffentlich zugängliche Server (Web, FTP usw.) anschließen, um diese
der Außenwelt zugänglich zu machen. Verbinden Sie diese Anschlüsse mit Hilfe
herkömmlicher Ethernet-Kabel mit den betreffenden Computern oder Switches.
DIAL BACKUP
Verbinden Sie diesen Anschluss nur, wenn Sie eine Dial-Backup-WAN-Verbindung
verwenden möchten. Für weitere Details, siehe das Benutzerhandbuch.
Verbinden Sie den 9-poligen Stecker Ihres Modem- oder Terminaladapterkabels mit
diesem Anschluss und das andere Ende mit den Modem bzw. Terminaladapter selbst.
CONSOLE Sie benötigen diesen Anschluss nur, wenn Sie die ZyWALL über das SMT-
Hilfsprogramm mit Hilfe eines Konsolkabels programmieren möchten. Siehe das
Benutzerhandbuch für weitere Details.
Schließen Sie den neunpoligen Anschlussstecker des Konsolkabels an den Konsolport
der ZyWALL und das andere Ende an einen seriellen Anschluss (COM1, COM2 oder
einen anderen COM-Anschluss) Ihres Arbeitsplatzrechners an. Auf Ihrem Computer
muss ein Programm zur Terminalemulation (z.B. HyperTerminal) installiert sein. Dieses
muss auf VT100-Terminalemulation, keine Parität, 8 Datenbits, 1 Stoppbit, keine
Flusskontrolle und 9600 Baud eingestellt sein.
ZyWALL 70 Internet-Sicherheitslösung
20
1.2 Anschlüsse auf der Rückseite
BEZEICHNUNG BESCHREIBUNG
Steckplatz für
Erweiterungskarte
Schalten Sie Ihre ZyWALL immer aus, bevor Sie eine Karte
einlegen oder entfernen.
Schalten Sie die ZyWALL aus, bevor Sie eine Wireless LAN Karte nach Standard
802.11b/g einlegen oder diese entnehmen.
Schieben Sie die PCMCIA-Karte für Wireless-LAN mit der 64-poligen Steckerleiste
zuerst in den Steckplatz ein (siehe folgende Abbildung).
Wenden Sie beim Einschieben oder Herausnehmen der Karte
niemals Gewalt an, und biegen bzw. verdrehen Sie die Karte
nicht.
POWER 100-
240VAC
An diese Stromeingangsbuchse schließen Sie das mitgelieferte Netzkabel an
(verwenden Sie ausschließlich das zum Lieferumfang gehörige Netzkabel).
Nachdem Sie die Kabelverbindungen hergestellt haben, verbinden Sie das Netzkabel mit dem Stromnetz
und betätigen den Ein-Ausschalter, um das Gerät einzuschalten. Beobachten Sie die LED-Anzeigen am
vorderseitigen Anzeigefeld.
ZyWALL 70 Internet-Sicherheitslösung
21
1.3 Leuchtanzeigen auf der Vorderseite
Die PWR-LED leuchtet auf, wenn Sie das Gerät einschalten. Das Gerät führt einen Selbsttest durch (die
SYS-LED blinkt). Sobald die LED stetig leuchtet, ist der Test erfolgreich durchlaufen. Die LEDs ACT,
CARD, LAN, WAN und DMZ leuchten auf, wenn Sie die entsprechende Kabelverbindung hergestellt haben.
Eine detaillierte Beschreibung der einzelnen LED-Anzeigen finden Sie in der folgenden Tabelle.
LED FARBE STATUS BESCHREIBUNG
Aus Die ZyWALL ist ausgeschaltet.
Grün Ein Die ZyWALL ist eingeschaltet.
PWR
Rot Ein Die Stromversorgung ist unzureichend.
Aus Die ZyWALL ist nicht bereit, oder es ist ein Fehler aufgetreten.
Ein Die ZyWALL ist eingeschaltet und bereit.
SYS Grün
Blinkt Die ZyWALL wird neu gestartet.
Aus Am Backup-Anschluss ist kein Kabel angeschlossen. ACT Grün
Blinkt Es werden Daten über den Backup-Anschluss gesendet bzw.
empfangen.
Aus Die Verbindung zum drahtlosen Netzwerk ist nicht bereit, oder es
ist ein Fehler aufgetreten.
Ein Die Verbindung zum drahtlosen Netzwerk ist bereit.
CARD Grün
Blinkt Es werden Daten an das drahtlose Netzwerk gesendet bzw.
empfangen.
Aus Keine Verbindung zum lokalen Netzwerk.
Ein Es besteht eine 10-Mbps-Ethernet-Verbindung. Grün
Blinkt Es werden Daten an das lokale 10-Mbps-Netzwerk gesendet
bzw. empfangen.
Ein Es besteht eine 100-Mbps-Ethernet-Verbindung.
LAN
10/100
Orange
Blinkt Es werden Daten an das lokale 100-Mbps-Netzwerk gesendet
bzw. empfangen.
ZyWALL 70 Internet-Sicherheitslösung
22
LED FARBE STATUS BESCHREIBUNG
Aus Die Verbindung zum WAN ist nicht bereit, oder es ist ein Fehler
aufgetreten.
Ein Es besteht eine 10-Mbps-WAN-Verbindung. Grün
Blinkt Es werden Daten an das 10-Mbps-WAN-Netzwerk gesendet
bzw. empfangen.
Ein Es besteht eine 100-Mbps-WAN-Verbindung.
WAN-1/2
10/100
Orange
Blinkt Es werden Daten an das 100-Mbps-WAN-Netzwerk gesendet
bzw. empfangen.
Aus Die DMZ-Verbindung ist nicht bereit, oder es ist ein Fehler
aufgetreten.
Ein Es besteht eine DMZ-Verbindung mit 10 Mbps. Grün
Blinkt Es werden Daten an das 10-Mbps-DMZ-Netzwerk gesendet
bzw. empfangen.
Ein Es besteht eine DMZ-Verbindung mit 100 Mbps.
DMZ
10/100
Orange
Blinkt Es werden Daten an das 100-Mbps-DMZ-Netzwerk gesendet
bzw. empfangen.
2 IP-Adresse Ihres Computers einstellen
Falls Ihr Computer bereits seine IP-Adresse dynamisch bezieht, können Sie diesen
Abschnitt überspringen. Dies ist die Werkseinstellung bei den meisten Computern.
Werksseitig ist die ZyWALL so eingerichtet, dass sie Ihrem Computer eine IP-Adresse zuweist. Dieser
Abschnitt beschreibt, wie Sie Ihren Computer einstellen müssen, damit er eine dynamische IP-Adresse
bezieht bzw. wie Sie ihm eine statische IP-Adresse im Bereich 192.168.1.2 bis 192.168.1.254 mit der
Subnet-Maske 255.255.255.0 zuordnen. Dies ist erforderlich, damit Ihr Computer mit der ZyWALL
kommunizieren kann.
Voraussetzung dafür ist, dass in Ihrem Computer bereits eine Ethernet-Karte und das TCP/IP-Protokoll
installiert sind. Wenn Sie einen Computer mit Windows NT/2000/XP, Macintosh OS 7 oder eine höhere
Version verwenden, sollte das TCP/IP-Protokoll bereits installiert sein.
ZyWALL 70 Internet-Sicherheitslösung
23
Windows 2000/NT/XP
1. Für Windows XP: klicken Sie auf Start, Systemsteuerung. Für Windows 2000/NT: klicken Sie auf Start,
Einstellungen, Systemsteuerung.
2. Für Windows XP: klicken Sie auf Netzwerkverbindungen.
Für Windows 2000/NT: klicken Sie auf Netzwerk- und DFÜ-Verbindungen.
3. Klicken Sie mit der rechten Maustaste auf das Symbol LAN-Verbindung und anschließend auf
Eigenschaften.
4. Wählen Sie Internetprotokoll (TCP/IP) (unter Windows XP im Register Allgemein), und klicken Sie auf
Eigenschaften.
5. Daraufhin erscheint das Dialogfeld Eigenschaften von
Internetprotokoll (TCP/IP) (im Register Allgemein unter
Windows XP).
- Falls Sie eine dynamische IP-Adresse verwenden möchten,
wählen Sie IP-Adresse automatisch beziehen.
- Falls Sie eine feste IP-Adresse verwenden möchten, klicken
Sie auf Folgende IP-Adresse verwenden, und füllen Sie die
Felder IP-Adresse (wählen Sie eine Adresse im Bereich
192.168.1.2 bis 192.168.1.254 aus), Subnetzmaske
(255.255.255.0) und Standardgateway (192.168.1.1) aus.
ZyWALL 70 Internet-Sicherheitslösung
24
6. Klicken Sie auf Erweitert. Entfernen Sie alle evtl. im Register
IP-Einstellungen vorhandenen Gateways, und klicken Sie auf
OK, um zum Fenster Eigenschaften von Internetprotokoll
(TCP/IP) zurückzukehren.
7. Klicken Sie auf DNS-Serveradressen automatisch
beziehen, falls Sie die IP-Adresse(n) Ihres bzw. Ihrer DNS-
Server nicht kennen.
Wenn Sie die IP-Adresse(n) des bzw. der DNS-Server(s)
kennen, geben Sie sie in die Felder Bevorzugter DNS-Server
und Alternativer DNS-Server unter Folgende DNS-
Serveradressen verwenden ein.
Falls Sie mehr als zwei DNS-Server verwenden möchten,
klicken Sie auf Erweitert, anschließend auf das Register DNS
und legen mit Hilfe der Schaltfläche Hinzufügen weitere
Server fest.
8. Klicken Sie auf OK, um die Änderungen zu speichern und das
Dialogfeld TCP/IP-Eigenschaften zu schließen.
9. Klicken Sie auf OK, um das Dialogfeld
Verbindungseigenschaften zu schließen.
IP-Adresse Ihres Computers prüfen
1. Klicken Sie in der Task-Leiste auf Start, (Alle) Programme, Zubehör, und wählen Sie Eingabeaufforderung.
2. Geben Sie im Fenster Eingabeaufforderung den Befehl "ipconfig" ein, und drücken Sie die Eingabetaste. Die IP-
Adresse Ihres Computers muss sich im Bereich 192.168.1.2 bis 192.168.1.254 befinden, und seine Subnet-Maske
muss 255.255.255.0 betragen. Anderenfalls kann er nicht mit der ZyWALL kommunizieren.
Im Benutzerhandbuch finden Sie weitere Informationen zum Einstellen der IP-Adresse unter anderen
Windows- und Macintosh-Betriebssystemen.
ZyWALL 70 Internet-Sicherheitslösung
25
3 ZyWALL konfigurieren
Verwenden Sie eine der folgenden Methoden, um auf die ZyWALL zuzugreifen und
das Gerät zu konfigurieren. Diese Kurzanleitung erläutert ausschließlich die
Verwendung des Web Configurators. Details zu allen weiteren Funktionen der
ZyWALL und dem SMT-Hilfsprogramm (System Management Terminal) finden Sie
im Benutzerhandbuch. Detaillierte Erläuterungen zu den einzelnen Bildschirmen
finden Sie in der Online-Hilfe des Web Configurators.
Web Configurator
System Management Terminal (SMT). Sie können das SMT öffnen über:
o Terminalsoftware über den Konsolport
o Telnet-Verbindung über das LAN, WLAN, DMZ oder WAN
3.1 ZyWALL über den Web Configurator ansprechen
1. Starten Sie Ihren Web-Browser. Geben Sie die Adresse "192.168.1.1" als Webseitenadresse ein.
2. Das Standardkennwort ("1234") ist bereits im Kennwortfeld voreingestellt (allerdings in nicht
lesbarem Format). Klicken Sie auf Login (Anmelden). Sie gelangen auf einen Bildschirm, der Sie
auffordert, Ihr Kennwort zu ändern. Klicken Sie auf Reset (Zurücksetzen), um das Standardkennwort
zu verwenden.
Webseitenadresse.
Standardkennwort
ZyWALL 70 Internet-Sicherheitslösung
26
3. Sie sollten das Standardkennwort unverzüglich ändern! Geben Sie ein neues Kennwort ein,
wiederholen Sie es zur Bestätigung, und klicken Sie auf Apply (Anwenden). Sie können alternativ
auch auf Ignore (Ignorieren) klicken, falls Sie das Kennwort an dieser Stelle nicht ändern möchten.
4. Klicken Sie im Bildschirm Replace Certificate auf Apply, um ein gerätespezifisches Zertifikat mit
Hilfe der MAC-Adresse der ZyWALL zu erstellen.
Standardkennwort ändern.
ZyWALL 70 Internet-Sicherheitslösung
27
5. Der Bildschirm HOME des Web-Configurators erscheint.
Klicken Sie auf Internet Access und VPN Wizard, um mit dem Einrichtungsassistenten zu
beginnen, mit dem Sie die ZyWALL bequem konfigurieren können.
Klicken Sie auf einen Link in der Navigationsleiste, um bestimmte Funktionen einzurichten.
Klicken Sie auf einen Link unter Maintenance (Verwaltung), um Firmwaredateien hochzuladen
und zu sichern sowie Konfigurationsdateien hochzuladen oder zu sichern.
Klicken Sie auf Renew, um die WAN-IP-Adresse aufzufrischen.
Klicken Sie auf Show Statistics (Statistik anzeigen), um Leistungsstatistiken zur ZyWALL
einzusehen.
Klicken Sie auf Show DHCP Table (DHCP-Tabelle anzeigen), um aktuelle Daten des DHCP-
Clients einzusehen.
Klicken Sie auf VPN Status (VPN-Status), um die gegenwärtig aktiven VPN-Verbindungen
anzuzeigen.
Klicken Sie auf Logout (Abmelden), wenn Sie Ihre ZyWALL-Verwaltungssitzung beenden
möchten. Sie werden automatisch abgemeldet, wenn Sie fünf Minuten lang nicht auf das Gerät
zugreifen. Klicken Sie auf Refresh, um den Anmeldebildschirm erneut anzuzeigen und sich neu
anzumelden. Dieses Zeitintervall können Sie über den Web Configurator bei Bedarf ändern.
ZyWALL 70 Internet-Sicherheitslösung
28
Die ZyWall meldet sich automatisch nach fünf Minuten Inaktivität ab. Drücken Sie
Refresh, um zur Anmeldemaske zurückzukehren. Diesen Inaktivitätszeitlimitierung
ist eine der vielen ZyWALL-Funktionen, die Sie mit dem Web-Konfigurator
verändern können.
Abmelden
Navigationsleiste
Assistenten
ZyWALL 70 Internet-Sicherheitslösung
29
3.2 Internet-Zugang mit Hilfe des Assistenten einrichten
1. Klicken Sie im Bildschirm HOME auf Internet Access, um den Anschluss WAN1 der ZyWALL für
den Internet-Zugang einzurichten. Der erste Bildschirm des Assistenten kann, abhängig von der
gewählten Encapsulation, auf drei Arten erscheinen. Verwenden Sie die unter Internet-Benutzerkonto
aufgeführten Daten, um die Felder auszufüllen.
Wird der WAN-Anschluss zur herkömmlichen
Ethernet-Verbindung benutzt, wählen Sie die
Option Ethernet. Wählen Sie die Option
Standard oder eine RoadRunner-Variante. Für
einige RoadRunner-Versionen müssen Sie
einen Benutzernamen (User Name), ein
Kennwort (Password) und eine
Anmeldeserver-IP-Adresse (Login Server IP
Address) angeben.
Internetzugang via Ethernet
Internetzugang via PPPoE
PPPoE (Point-to-Point Protocol over Ethernet)
funktioniert ebenfalls wie eine DFÜ-
Verbindung. Daher müssen Sie einen
Benutzernamen und ein Kennwort und ggf. den
PPPoE-Dienstnamen eingeben.
Sie erhalten diese Daten von Ihrem Internet-
Provider.
ZyWALL 70 Internet-Sicherheitslösung
30
Internetzugang via PPTP
Wählen Sie die Option PPTP, wenn Ihr
Provider einen DSL-Abschluss mit PPTP-
Anmeldung verwendet. In diesem Fall müssen
Sie der ZyWALL eine feste IP-Adresse
zuweisen. Außerdem benötigen Sie einen
Benutzernamen, ein zugehöriges Kennwort,
die IP-Adresse des DSL-Abschlusses und ggf.
eine Verbindungs-ID.
Klicken Sie auf Next (Weiter), um fortzufahren.
2. Füllen Sie die Felder aus, und klicken Sie auf Finish (Beenden), um die Änderungen zu speichern und
den Einrichtungsassistenten zu verlassen.
WAN-IP-Adresszuordnung (WAN IP
Address Assignment)
Wählen Sie die Option Get automatically
from ISP (Automatisch beziehen), wenn Sie
keine feste IP-Adresse verwenden. Falls Ihnen
Ihr Internet-Provider eine feste IP-Adresse
zugeordnet hat, wählen Sie die Option Use
Fixed IP Address (Feste IP-Adresse) und
geben die IP-Adresse und die Subnet-Maske in
die beiden folgenden Felder ein. Falls Sie die
Option Use Fixed IP Address aktiviert haben,
geben Sie hier die IP-Adresse Ihres Gateways
ein.
System DNS Servers (System-DNS-Server)
Wählen Sie die Option From ISP (Vom
Provider), falls Ihr Internet-Provider die DNS-
Serverinformationen (und die WAN-IP-Adresse
der ZyWALL) automatisch zuordnet.
Wählen Sie User-Defined (Benutzerdefiniert),
wenn Sie die IP-Adresse eines DNS-Servers
kennen. Geben Sie die IP-Adresse des DNS-
Servers in das Feld auf der rechten Seite ein.
Wählen Sie None (Ohne), wenn Sie keinen
DNS-Server einrichten möchten. In diesem Fall
müssen Sei explizit die IP-Adresse aller
Computer kennen, auf die Sie zugreifen
möchten.
ZyWALL 70 Internet-Sicherheitslösung
31
WAN-MAC-Adresse (WAN MAC Address)
Wählen Sie die Option Factory Default (Werkseinstellungen), um die werksseitig eingestellten Werte für die MAC-Adresse
zu verwenden. Anderenfalls klicken Sie auf Spoof this Computer's MAC Address – IP Address (MAC/IP-Adresse dieses
Computers klonen), und geben Sie die IP-Adresse des Computers im LAN ein, dessen MAC geklont werden soll.
3.3 Internet-Verbindung prüfen
Starten Sie Ihren Web-Browser, und verbinden Sie sich mit www.zyxel.com. Dazu benötigen Sie eine DFÜ-
Verbindung wie z.B. das DFÜ-Netzwerk von MS Windows. Im Benutzerhandbuch finden Sie detailliertere
Informationen zu den Möglichkeiten, die Ihnen die ZyWALL zur Verfügung stellt.
3.4 VPN-Regeln mit Hilfe des Assistenten einrichten
1. Klicken Sie im Bildschirm HOME auf die Option VPN Wizard (VPN-Assistent), um schnell und
einfach eine VPN-Regel einzurichten, die einen zuvor ausgetauschten Schlüssel verwendet, und um
die IKE-Einstellungen für den VPN-Tunnel festzulegen.
Hier geben Sie die WAN-IP-Adresse der
ZyWALL ein. Wenn Sie dieses Feld auf
0.0.0.0 einstellen, benutzt die ZyWALL ihre
eigene WAN-IP-Adresse (statisch oder
dynamisch) zum Herstellen des VPN-Tunnels.
Wählen Sie IP Address (IP-Adresse), und
geben Sie die IP-Adresse ein, über die Sie
den IPSec-Router der Gegenstelle
identifizieren möchten.
Anderenfalls wählen Sie Domain Name
(Domain-Name) und geben einen
Domänennamen ein.
Klicken Sie auf Next (Weiter), um
fortzufahren.
ZyWALL 70 Internet-Sicherheitslösung
32
2. Füllen Sie die Felder aus, und klicken Sie auf Next (Weiter).
Für eine einzelne IP-Adresse wählen Sie
Single (Einfach). Für einen Bereich
spezifischer IP-Adressen wählen Sie Range
IP (Adressbereich). Um die IP-Adressen über
die Subnet-Maske eines Netzwerks zu
definieren, wählen Sie Subnet (Subnet-
Adresse).
Local Network (Lokales Netzwerk)
Wenn Sie im Feld Local Network (Lokales
Netzwerk) den Wert Single (Einfach)
ausgewählt haben, geben Sie hier eine
(hinter der ZyWALL befindliche) statische IP-
Adresse des LAN-Netzwerks ein. Haben Sie
im Feld Local Network hingegen den Wert
Range IP ausgewählt, müssen Sie die
(statische) IP-Start- und Endadresse der
(hinter der ZyWALL befindlichen) Computer
im LAN angeben. Wenn Sie im Feld Local
Network den Wert Subnet ausgewählt
haben, geben Sie hier eine (hinter der
ZyWALL befindliche) statische IP-Adresse
und Subnet-Maske des LAN-Netzwerks ein.
Remote Network (Netzwerk der Gegenstelle)
Wenn Sie im Feld Remote Network (Netzwerk der Gegenstelle) den Wert Single (Einfach) ausgewählt haben, geben Sie
hier eine (hinter dem IPSec-Router der Gegenstelle befindliche) statische IP-Adresse des entfernten Netzwerks ein. Haben
Sie im Feld Remote Network den Wert Range IP eingestellt, geben Sie hier die (statische) IP-Start- und Endadresse der
(im entfernten Netzwerk hinter dem IPSec-Router der Gegenstelle befindlichen) Computer ein. Wenn Sie im Feld Remote
Network den Wert Subnet ausgewählt haben, geben Sie hier eine (hinter dem IPSec-Router der Gegenstelle befindliche)
statische IP-Adresse und Subnet-Maske des entfernten Netzwerks ein.
ZyWALL 70 Internet-Sicherheitslösung
33
3. Verwenden Sie den dritten Bildschirm des Assistenten, um die Einstellungen des IKE-Tunnels
festzulegen.
Negotiation Mode (Art der Abstimmung)
Wählen Sie Main Mode (Standardmodus)
oder Aggressive Mode (Aggressiver
Modus). Wenn sich mehrere SAs über ein
als sicher geltendes Gateway verbinden
sollen, müssen sie dieselbe Abstimmungsart
verwenden.
Encryption Algorithm (Verschlüsselungs-
algorithmus)
Wählen Sie die Art der
Datenverschlüsselung ausgehend von einem
Geheimschlüssel.
Der DES-Verschlüsselungsalgorithmus
verwendet Schlüssel mit 56 Bit. Dreifach-
DES (3DES) ist eine DES-Variante mit 168
Bit. Aus diesem Grunde ist 3DES sicherer
als DES. Diese Option benötigt jedoch mehr
Rechenleistung, sodass längere Wartezeiten
und ein geringerer Durchsatz die Folge sind.
Die AES-Implementierung verwendet einen
128-Bit-Schlüssel. AES ist schneller als
3DES.
Authentication Algorithm (Authentifizierungsalgorithmus)
MD5 (Message Digest 5) und SHA1 (Secure Hash Algorithm) sind so genannte "Hash-Algorithmen" zum Authentifizieren
der Paketdaten. Wählen Sie MD5 für minimale und SHA-1 für maximale Sicherheit.
Key Group (Schlüsselgruppe)
Wählen Sie eine Schlüsselgruppe für die IKE-Einrichtung in Phase 1. DH1 (Standard) ist die Diffie-Hellman-Gruppe 1 mit
einer 768-Bit-Zufallszahl. DH2 ist die Diffie-Hellman-Gruppe 2 mit einer 1024-Bit-Zufallszahl (1 Kb) – diese Option ist
sicherer, aber auch langsamer.
SA Life Time (Seconds) [SA-Zyklus (Sekunden)]
Definieren Sie in diesem Feld das Zeitintervall, nach dem automatisch eine Neuabstimmung der IKE-SA stattfinden soll. Der
Minimumwert ist 180 Sekunden.
Pre-Shared Key (Zuvor ausgetauschter Schlüssel)
Geben Sie zwischen 8 und 31 ASCII-Zeichen (es wird zwischen Groß- und Kleinschreibung unterschieden) oder zwischen
16 und 62 hexadezimale Zeichen ("0-9", "A-F") ein. Hexadezimale Zeichen müssen mit einem "0x" eingeleitet werden.
Diese Kennziffer wird nicht als Teil der 16 bis 62 Zeichen des Schlüssels gezählt.
Klicken Sie auf Next (Weiter), um fortzufahren.
ZyWALL 70 Internet-Sicherheitslösung
34
4. Verwenden Sie den vierten Bildschirm des Assistenten, um die IPSec-Einstellungen festzulegen.
Wählen Sie den Tunnel– oder Transport–
Betrieb.
Wählen Sie das Protokoll (ESP oder AH) für
den IKE-Schlüsselaustausch.
Wählen Sie einen
Verschlüsselungsalgorithmus oder den Wert
NULL, um einen Tunnel ohne
Datenverschlüsselung zu verwenden.
Wählen Sie einen
Authentifizierungsalgorithmus.
Legen Sie den Zeitraum fest, den die IPSec-
SA gelten soll. In diesem Feld geben Sie an,
wie lange die IPSec-SA gültig sein soll.
Legen Sie fest, ob Sie Perfect Forward
Secrecy (PFS) mit einer öffentlichen Diffie-
Hellman-Verschlüsselung verwenden
möchten oder den Wert None (Ohne) wählen
(Standard), um PFS zu deaktivieren. DH1 ist
die Diffie-Hellman-Gruppe 1 mit einer 768-
Bit-Zufallszahl. DH2 ist die Diffie-Hellman-
Gruppe 2 mit einer 1024-Bit-Zufallszahl (1
Kb) – diese Option ist sicherer, aber auch
langsamer.
ZyWALL 70 Internet-Sicherheitslösung
35
5. Dieser Bildschirm zeigt den Status der gegenwärtigen VPN-Einstellung an. Sie können seinen Inhalt
nicht bearbeiten. Anhand der Übersichtstabelle können Sie überprüfen, ob alle eingestellten Werte
richtig sind.
Klicken Sie auf Finish (Beenden), um alle Einstellungen zu speichern und
den Einrichtungsassistenten zu verlassen. Anderenfalls klicken Sie auf
Back (Zurück), um zum vorigen Bildschirm zurückzukehren.
ZyWALL 70 Internet-Sicherheitslösung
36
4 Problemlösung
PROBLEM LÖSUNG
Nach dem
Einschalten
leuchtet keine
der LED-
Anzeigen auf.
Stellen Sie sicher, dass Sie das Netzkabel fest mit der ZyWALL und einer stromführenden
Steckdose verbunden haben. Überprüfen Sie, ob die Sicherung nicht durchgebrannt ist (weitere
Details hierzu finden Sie im Anhang des Benutzerhandbuchs). Überprüfen Sie alle
Kabelverbindungen.
Falls die LED-Anzeigen immer noch nicht aufleuchten, liegt möglicherweise ein Hardwarefehler vor.
Wenden Sie sich in diesem Fall an Ihren Fachhändler.
Es kann keine
Netzwerk-
verbindung zur
ZyWALL
hergestellt
werden.
Prüfen Sie die Kabelverbindungen zwischen der ZyWALL und Ihrem Computer bzw. Hub. Siehe den
Abschnitt zu den Anschlüssen auf der Vorderseite des Gerätes.
Senden Sie eine Ping-Anfrage von einem Computer im LAN an die ZyWALL. Stellen Sie sicher, dass
die Ethernet-Netzwerkkarte Ihres Computers fehlerfrei arbeitet.
Der PING-Befehl
erhält keine
Antwort von
Computern im
lokalen
Netzwerk.
Falls die 10/100M LAN-LED-Anzeigen nicht leuchten, prüfen Sie alle Kabelverbindungen zwischen
der ZyWALL und den Computern im Netzwerk.
Überprüfen Sie die Einstellungen für IP-Adresse und Subnet-Maske der ZyWALL und allen LAN-
Computern, die denselben IP-Adressbereich verwenden.
Die WAN-IP-Adresse wird übermittelt, sobald der Internet-Provider die MAC-Adresse, den
Hostnamen oder den Benutzernamen überprüft hat.
Fragen Sie Ihren Internet-Provider ggf. nach der verwendeten Authentifizierungsmethode, und füllen
Sie die entsprechenden Felder aus.
Wenn Ihr Internet-Provider die WAN-MAC-Adresse abfragt, sollten Sie die MAC-Adresse eines
(beim Provider registrierten) Computers im lokalen Netzwerk klonen. Klicken Sie auf WAN und
anschließend auf das Register WAN1 bzw. WAN2 . Wählen Sie Spoof WAN MAC Address (WAN-
MAC-Adresse klonen), und geben Sie die IP-Adresse des Computers im LAN ein, dessen MAC
geklont werden soll.
Falls Ihr Provider den Hostnamen abfragt, geben Sie den Namen Ihres Computers in das Feld
System Name (Systemname) im ersten Fenster unter MAINTENANCE (Verwaltung) im Bildschirm
General (Allgemein) ein (siehe Abschnitt Maintenance im Benutzerhandbuch).
Es wird keine
WAN-IP Adresse
vom Internet-
Provider
bezogen.
Sollte Ihr Provider den Benutzernamen abfragen, klicken Sie auf WAN und öffnen das Register
WAN1 bzw. WAN2. Überprüfen Sie hier Dienst, Benutzernamen und Kennwort.
Überprüfen Sie die Kabelverbindung zwischen der ZyWALL und dem Kabel- bzw. DSL-Modem. Kein Internet-
Zugang
Klicken Sie auf WAN, um Ihre Einstellungen zu überprüfen.
Passerelle de sécurité Internet ZyWALL 70
37
ZyWALL 70
Passerelle de sécurité Internet
Notice d'installation
Version 3.62
février 2004
Passerelle de sécurité Internet ZyWALL 70
38
Présentation du ZyWALL
Le ZyWALL 70 est la passerelle sécurisée idéale pour le transfert de toutes les données entre Internet et le
LAN. En intégrant la capacité de NAT, du pare-feu, du filtrage de contenu, du VPN et le LAN sans fil, le
ZyWALL 70 de ZyXEL est une solution de sécurité complète qui protége votre Intranet et gère efficacement
le trafic de données sur votre réseau. Le ZyWALL augmente la sécurité du réseau en rajoutant quatre ports
démilitarisés (DMZ) à l’usage des serveurs publics. Le slot PCMCIA/CardBus vous permet de rajouter une
carte réseau sans-fil compatible 802.11b/g. Le Configurateur Web intégré est d’un emploi simple et reste
totalement indépendant de la plate-forme de système d’exploitation utilisée.
Vous devez posséder un compte Internet déjà configuré et avoir reçu la plupart des informations suivantes.
Informations compte Internet
Encapsulation : (choisir un élément ci-dessous)
Ethernet
Type de service : _______________________
Adresse IP du serveur de connexion :
______________
Nom d'utilisateur : ____________ Mot de passe : ____________
PPTP
Nom d'utilisateur : ____________ Mot de passe : ____________
Votre adresse IP du WAN : ____________ Adresse IP du serveur PPTP : ___________
ID de connexion (si requis) : ____________
PPPoE
Nom du service (PPPoE) : ____________
Nom d'utilisateur : ____________ Mot de passe : ____________
Procédure pour afficher la certification(s) d’un produit
1. Allez sur l’adresse www.zyxel.com.
2. Sélectionnez votre produit dans la zone de liste déroulante sur la page d’accueil de ZyXEL pour aller à la
page de ce produit spécifique.
3. Sélectionnez la certification à afficher à partir de cette page.
Passerelle de sécurité Internet ZyWALL 70
39
1 Connexions du matériel
1.1 Panneau avant et connexions
INDICATION DESCRIPTION
RESET Vous ne devez utiliser ce bouton que si vous avez oublié le mot de passe du ZyWALL. Il
rétablit les paramètres par défaut du ZyWALL (le mot de passe est 1234, l’adresse IP du
LAN 192.168.1.1, les paramètres d’émulation du terminal sont tels qu’ils sont décrits ci-
dessous etc.; reportez-vous au manuel d’utilisation pour plus de détails).
LAN Connectez un ordinateur à ce port avec un câble Ethernet. Ces ports sont à négociation
automatique (peuvent se connecter à 10 ou 100Mbps) et à croisement automatique
(s’ajustent automatiquement au type de câble Ethernet utilisé (droit ou croisé)).
WAN-1/2 Connectez votre modem câble/DSL à ce port avec le câble livré avec votre modem.
DMZ 10/100M Connectez les serveurs accessibles publiquement (Web, FTP, etc.) à ces ports
démilitarisés. Utilisez des câbles Ethernet pour connecter ces ports aux ordinateurs ou
commutateurs.
DIAL BACKUP Ne connectez ce port que si vous voulez établir une connexion de WAN de secours ;
consultez votre manuel d'utilisation pour plus de détails.
Connectez l’extrémité femelle 9 broches de votre câble de modem ou TA (Terminal
Adapter - Adaptateur de terminal) à ce port et l’autre extrémité à votre modem ou TA.
CONSOLE Ne connectez ce port que si vous voulez configurer le ZyWALL à l’aide du SMT (System
Management Terminal) via le port de la console ; consultez votre manuel d'utilisation
pour plus de détails.
Connectez l’extrémité du câble de la console mâle 9 broches au port de la console du
ZyWALL et l’autre extrémité à un port série (COM1, COM2 ou autre port COM) sur votre
ordinateur. Votre ordinateur doit comporter un programme de communications
d’émulation du terminal (comme HyperTerminal) défini à émulation de terminal VT100,
sans parité, 8 bits de données, 1 bit d'arrêt, sans contrôle de flux, vitesse de port de
9600 Baud.
Passerelle de sécurité Internet ZyWALL 70
40
1.2 Panneau arrière et connexions
INDICATION DESCRIPTION
Logement de la
carte d’extension
N ‘insérez ni ne retirez pas une carte avec le ZyWALL activé.
Mettez le ZyWALL hors tension avant d’insérer ou de retirer une carte réseau sans fil
PCMCIA ou CardBus compatible 802.11b/g (pour éviter des éventuels dommages).
Faites glisser l’extrémité du connecteur 64 broches de la carte PCMCIA ou CardBus
du LAN sans fil dans le logement comme illustré ci-après.
Ne forcez, pliez ou tordez jamais la carte du LAN sans fil.
POWER 100-
240VAC
Connectez le cordon secteur inclus (n’utilisez que ce cordon) à cette prise de
courant.
Une fois les connexions établies, connectez le cordon secteur à un bloc d’alimentation et mettez le bouton
d’alimentation en position ON. Examinez les voyants du panneau avant.
Passerelle de sécurité Internet ZyWALL 70
41
1.3 Voyants du panneau avant
Le voyant PWR s’allume lors de la mise sous tension. Le voyant SYS clignote pendant les tests système et
est fixe si les tests sont réussis. Les voyants ACT, CARD, LAN, WAN et DMZ s’allument si les connexions
correspondantes sont correctement établies. Reportez-vous au tableau suivant pour plus de descriptions
détaillées sur les voyants.
VOYANT COULEUR ÉTAT DESCRIPTION
Éteint Le ZyWALL est hors tension.
Vert Allumé Le ZyWALL est sous tension.
PWR
Rouge Allumé L’alimentation du ZyWALL est trop faible.
Éteint Le ZyWALL n'est pas prêt ou l’initialisation du système a
échoué.
Allumé Le ZyWALL est prêt et fonctionne.
SYS Vert
Clignotant Le ZyWALL redémarre.
Éteint L'accès de secours est inactif. ACT Vert
Clignotant L'accès de secours est actif et envoie ou reçoit des paquets.
Éteint Le LAN sans fil n'est pas prêt ou a échoué.
Allumé Le LAN sans fil est prêt.
CARD Vert
Clignotant Le LAN sans fil envoie ou reçoit des paquets.
Éteint Le LAN n'est pas connecté.
Allumé Le ZyWALL dispose d’une connexion Ethernet correcte de 10
Mbps.
Vert
Clignotant Le LAN 10M envoie ou reçoit des paquets.
Allumé Le ZyWALL dispose d’une connexion Ethernet correcte de 100
Mbps.
LAN
10/100
Orange
Clignotant Le LAN 100M envoie ou reçoit des paquets.
Éteint La connexion WAN n'est pas prête ou a échoué.
Allumé Le ZyWALL dispose d’une connexion WAN correcte de 10 Mbps. Vert
Clignotant Le WAN 10M envoie ou reçoit des paquets.
Allumé Le ZyWALL dispose d’une connexion WAN correcte de 100
Mbps.
WAN-1/2
10/100
Orange
Clignotant Le WAN 100M envoie ou reçoit des paquets.
Éteint La connexion DMZ n'est pas prête ou a échoué.
Allumé Le ZyWALL est connecté à une DMZ de 10Mbps. Vert
Clignotant La DMZ 10M envoie ou reçoit des paquets.
Allumé Le ZyWALL est connecté à une DMZ de 100Mbps.
DMZ
10/100
Orange
Clignotant La DMZ 100M envoie ou reçoit des paquets.
Passerelle de sécurité Internet ZyWALL 70
42
2 Configuration de l’adresse IP de votre
ordinateur
Ignorez cette section si votre ordinateur est déjà configuré pour accepter une
adresse IP dynamique. Ceci est la valeur par défaut pour la plupart des nouveaux
ordinateurs.
Le ZyWALL est déjà configuré pour assigner à votre ordinateur une adresse IP. Utilisez cette section pour
configurer votre ordinateur afin de recevoir une adresse IP ou lui assigner une adresse IP fixe dans la plage
192.168.1.2 à 192.168.1.254 avec un masque de sous-réseau de 255.255.255.0. Ceci est nécessaire pour
garantir une communication correcte entre votre ordinateur et le ZyWALL.
Une carte Ethernet et le protocole TCP/IP doivent être installés sur votre ordinateur. TCP/IP doit déjà être
installé sur les ordinateurs utilisant Windows NT/2000/XP, Macintosh OS 7 et les systèmes d'exploitation
postérieurs.
Windows 2000/NT/XP
1. Dans Windows XP, cliquez sur Démarrer, Panneau de configuration. Dans Windows 2000/NT, cliquez sur
Démarrer, Paramètres, Panneau de configuration.
2. Dans Windows XP, cliquez sur Connexions réseau.
Dans Windows 2000/NT, cliquez sur Connexions réseau et accès à distance.
3. Cliquez avec le bouton droit de la souris sur Connexion au réseau local puis cliquez sur Propriétés.
4. Sélectionnez Protocole Internet (TCP/IP) (dans l'onglet Général dans Windows XP), puis cliquez sur
Propriétés.
5. L’écran Propriétés de protocole Internet (TCP/IP) s’affiche
(l'onglet Général dans Windows XP).
- Pour assigner à votre ordinateur une adresse IP dynamique,
cliquez sur Obtenir une adresse IP automatiquement.
- Pour configurer une adresse IP fixe, cliquez sur Utiliser
l’adresse IP suivante et remplissez les champs Adresse IP
(choisissez-en une de 192.168.1.2 à 192.168.1.254), Masque
de sous-réseau (255.255.255.0) et Passerelle par défaut
(192.168.1.1).
Passerelle de sécurité Internet ZyWALL 70
43
6. Cliquez sur Avancé. Supprimez des passerelles installées
auparavant dans l’onglet Paramètres IP puis cliquez sur OK
pour revenir à l’écran Propriétés TCP/IP du Protocole
Internet.
7. Cliquez sur Obtenir les adresses des serveurs DNS
automatiquement si vous ne connaissez pas les adresses(s)
IP du serveur DNS.Si vous connaissez les adresse(s) IP du
serveur DNS, cliquez sur Utiliser l’adresse de serveur DNS
suivante puis tapez-les dans les champs Serveur DNS
préféré et Serveur DNS auxiliaire.
Si vous disposez de plus de deux serveurs DNS, cliquez sur
Avancé, l’onglet DNS puis configurez-les à l’aide de Ajouter.
8. Cliquez sur OK pour fermer la fenêtre Propriétés de
Protocole Internet (TCP/IP).
9. Cliquez sur OK pour fermer la fenêtre Propriétés de
Connexion au réseau local.
Vérification de l’adresse IP de votre ordinateur
1. Dans l’ordinateur, cliquez sur Démarrer, (Tous) Programmes, Accessoires puis Invite de commande.
2. Dans la fenêtre Invite de commande, tapez "ipconfig" puis appuyez sur la touche ENTRÉE. L’adresse IP de
votre ordinateur doit se situer dans la plage correcte (192.168.1.2 à 192.168.1.254) avec le masque de sous-
réseau 255.255.255.0 afin de communiquer avec le ZyWALL.
Reportez-vous à votre manuel d’utilisation pour la configuration détaillée des adresses IP dans les autres
systèmes d’exploitation des ordinateurs Macintosh et sous Windows.
3 Configuration de votre ZyWALL
Choisissez une des méthodes suivantes pour configurer et accéder au ZyWALL.
Cette notice d’installation explique l’utilisation des assistants du configurateur
Web uniquement. Reportez-vous à votre manuel d’utilisation pour plus
d’informations sur les fonctionnalités du ZyWALL et la configuration du SMT
(System Management Terminal). Cliquez sur l’aide en ligne du configurateur Web
pour obtenir l’aide Web spécifique à l’écran.
Configurateur Web
Interface SMT (System Management Terminal). Accédez à l'interface SMT par :
o Port console utilisant un logiciel d'émulation de terminal
o LAN, WLAN, DMZ ou WAN en utilisant Telnet
Passerelle de sécurité Internet ZyWALL 70
44
3.1 Accès à votre ZyWALL via Configurateur Web
1. Lancez votre navigateur Web. Entrez "192.168.1.1" comme adresse de site Web.
2. Le mot de passe par défaut (“1234”) est déjà dans le champ Password (en format non lisible). Cliquez
sur Login pour aller à un écran vous demandant de modifier votre mot de passe. Cliquez sur Reset
pour revenir au mot de passe par défaut dans le champ Password.
3. Il est fortement recommandé de modifier le mot de passe par défaut ! Entrez un nouveau mot de passe,
retapez-le pour confirmer puis cliquez sur Apply ; sinon, cliquez sur Ignore si vous ne voulez pas
modifier le mot de passe maintenant.
Adresse de site Web.
Modifier le mot de passe par
défaut.
Mot de passe par défaut.
Passerelle de sécurité Internet ZyWALL 70
45
4. Cliquez sur Apply dans la fenêtre Replace Certificate pour créer un certificat à l’aide de l’adresse
MAC de votre ZyWALL qui sera spécifique à ce périphérique.
5. La fenêtre HOME du configurateur Web doit apparaître maintenant.
Cliquez sur Internet Access et VPN Wizard afin d’afficher les écrans des assistants d’installation
pour une première configuration de votre ZyWALL.
Cliquez sur un lien dans le panneau de navigation pour configurer cette fonctionnalité du ZyWALL.
Cliquez sur MAINTENANCE dans le panneau de configuration pour télécharger le
microprogramme et sauvegarder, restaurer ou télécharger un fichier de configuration.
Cliquez sur Renew pour renouveler l’adresse IP du WAN.
Cliquez sur Show Statistics pour consulter les statistiques de la performance du ZyWALL.
Cliquez sur Show DHCP Table pour afficher les informations du client DHCP actuel.
Cliquez sur VPN Status pour afficher les connexions actives du VPN.
Cliquez sur LOGOUT après avoir terminé une session d’administration du ZyWALL. Le ZyWALL
vous déconnecte automatiquement s’il est resté inactif pendant cinq minutes ; appuyez sur Refresh
pour afficher à nouveau l’écran Login puis reconnectez-vous. Cet intervalle de délai d’inactivité est
une des nombreuses fonctionnalités du ZyWALL modifiable à l’aide du Configurateur Web.
Passerelle de sécurité Internet ZyWALL 70
46
Le ZyWALL vous déconnecte automatiquement s’il est resté inactif pendant cinq
minutes; appuyez sur Refresh pour afficher à nouveau l’écran Login puis
reconnectez-vous. Cet intervalle de temps d’inactivité est l'une des nombreuses
fonctionnalités du ZyWALL à modifier à l’aide du Configurateur Web.
Déconnexion
Panneau de navigation
Assistants
Passerelle de sécurité Internet ZyWALL 70
47
3.2 Utilisation de l’Assistant pour configurer l’accès Internet
1. Cliquez sur Internet Access dans l’écran HOME pour vous aider à configurer le port WAN1 sur le
ZyWALL pour accéder à Internet. Le premier écran de l’assistant possède trois variations selon le
type d’encapsulation utilisé. Utilisez les informations dans Informations compte Internet pour remplir
les champs.
Choisissez dans le champ Encapsulation :
=> Ethernet lorsque le port WAN est utilisé
comme Ethernet standard. Choisissez dans le
champ Service Type Standard ou une version
RoadRunner. Vous aurez besoin de User
Name, Password et Login Server IP Address
pour certaines versions Roadrunner.
Connexion Internet avec Ethernet
Connexion Internet avec PPPoE
=> Point-to-Point Protocol over Ethernet
(PPPoE) fonctionne également comme une
connexion d’accès réseau à distance. Par
conséquent, vous aurez besoin d’un nom
d’utilisateur et d’un mot de passe et
vraisemblablement du nom de service PPPoE.
Votre fournisseur de services Internet vous
fournira toutes les informations nécessaires.
Passerelle de sécurité Internet ZyWALL 70
48
Connexion Internet avec PPTP
=> PPTP si votre fournisseur de services utilise
un terminateur DSL avec une connexion PPTP.
Le ZyWALL doit avoir une adresse IP fixe dans
ce cas précis. Vous aurez aussi besoin d’un
nom de connexion, mot de passe associé,
adresse IP de terminateur DSL et
vraisemblablement d’un ID de connexion.
Cliquez sur Next pour continuer.
Passerelle de sécurité Internet ZyWALL 70
49
2. Remplissez les champs et cliquez sur Finish pour enregistrer et terminer l’assistant d’installation.
WAN IP Address Assignment
=> Sélectionnez Get automatically from ISP
si votre fournisseur de services Internet ne
vous a pas assigné une adresse IP fixe.
=> Sélectionnez Use fixed IP address si le
fournisseur de services Internet a assigné une
adresse IP fixe puis entrez votre adresse IP et
masque de sous-réseau dans les deux champs
suivants. Entrez l’adresse IP de la passerelle
dans ce champ (si fourni)
System DNS Servers
=> Sélectionnez From ISP si votre fournisseur
de services Internet assigne dynamiquement
les informations du serveur DNS
=> Sélectionnez User-Defined si vous avez
l’adresse IP d’un serveur DNS. Entrez
l’adresse IP du serveur DNS dans le champ à
droite.
=> Sélectionnez None si vous ne voulez pas
configurer les serveurs DNS. Si vous ne
configurez pas un serveur DNS, vous devez
connaître l’adresse IP d’un ordinateur pour y
accéder.
Adresse MAC du WAN
Sélectionnez Factory Default pour utiliser l’adresse MAC assignée par défaut. Sinon, sélectionnez Spoof this Computer's
MAC address - IP Address puis entrez l’adresse IP de l’ordinateur sur le LAN dont l’adresse MAC sera reproduite.
3.3 Tester votre connexion Internet
Lancez votre navigateur Web et allez à l’adresse www.zyxel.fr.
Utilisation de l’Assistant pour configurer une règle de VPN
Passerelle de sécurité Internet ZyWALL 70
50
1. Cliquez sur VPN Wizard dans la fenêtre HOME pour accéder à l'assistant de création d'une règle
VPN utilisant une clé paratagée et configurez les paramètres d’IKE pour établir un tunnel VPN.
Entrez l'adresse IP du WAN de votre
ZyWALL. Le ZyWALL utilise l'adresse IP
actuelle du WAN (fixe ou dynamique) pour
configurer le tunnel VPN si vous laissez ce
champ sous 0.0.0.0.
Sélectionnez IP Address puis entrez
l’adresse IP pour identifier le routeur IPSec du
site distant par son adresse IP.
Sinon, sélectionnez Domain Name et entrez
le nom de domaine.
Cliquez sur Next pour continuer.
2. Remplissez les champs et cliquez sur Next pour continuer. Utiliser cet écran pour configurer les
adresses IP des équipements qui peuvent utiliser le tunnel VPN. Le réseau local correspond aux
équipements qui se trouvent derrière le ZyWALL et le réseau distant aux équipements se trouvant
derrière le routeur IPSec distant.
Local Network
Si le champ Local Network est configuré sur
Single, entrez une adresse IP (fixe) sur le
LAN derrière votre ZyWALL. Si le champ
Local Network est configuré sur Range IP,
entrez l'adresse IP (fixe) de début et de fin,
dans une plage d'ordinateurs sur le LAN
derrière votre ZyWALL. Si le champ Local
Network est configuré sur Subnet, entrez
une adresse IP (fixe) et masque de sous-
réseau sur le LAN derrière votre ZyWALL.
Remote Network
Si le champ Remote Network est configuré sur Single, entrez une adresse IP (fixe) sur le réseau derrière le routeur IPSec
du nœud distant. Si le champ Remote Network est configuré sur Range IP, entrez l'adresse IP (fixe) de début et de fin,
dans une plage d'ordinateurs sur le réseau derrière le routeur IPSec du nœud distant. Si le champ Remote Network est
configuré sur Subnet, entrez une adresse IP (fixe) et un masque de sous-réseau sur le réseau derrière le routeur IPSec
distant.
Passerelle de sécurité Internet ZyWALL 70
51
3. Utilisez le troisième écran de l’assistant pour configurer les paramètres du tunnel IKE.
Negotiation Mode
Sélectionnez Main Mode ou Aggressive
Mode. Plusieurs SA se connectant via une
passerelle sécurisée doivent utiliser le même
mode de négociation.
Encryption Algorithm
Sélectionnez la méthode de cryptage de
données à l’aide d’une clé privée (secrète).
L'algorithme de cryptage DES utilise une clé
de 56 bits. Triple DES (3DES) est une
variation de DES qui utilise une clé de 168
bits. Par conséquent, 3DES est plus sécurisé
que DES. Il requiert également une
puissance de traitement supplémentaire ; ce
qui entraîne un accroissement du temps
d'attente et une diminution du débit. Cette
version de AES utilise une clé de 128 bits.
AES est plus rapide que 3DES.
Authentication Algorithm
MD5 (Message Digest 5) et SHA1 (Secure Hash Algorithm) sont des algorithmes de hachage utilisés pour authentifier les
données de paquets. Sélectionnez MD5 pour une sécurité minimale et SHA-1 pour une sécurité maximum.
Key Group
Vous devez choisir un groupe de clés pour l'établissement de la connexion IKE 1. DH1 (par défaut) fait référence à Diffie-
Hellman Groupe 1, un nombre aléatoire de 768 bits. DH2 fait référence à Diffie-Hellman Groupe 2, un nombre aléatoire de
1024 bits (1 Kb).
SA Life Time (Minutes)
Définissez la durée avant qu'un SA IKE renégocie automatiquement dans ce champ. La valeur minium est de 180
secondes.
Pre-Shared Key
Entrez de 8 à 31 caractères ASCII respectant la case ou de 16 à 62 caractères hexadécimaux ("0-9", "A-F"). Vous devez
précéder une clé hexadécimale d’un "0x” (zéro x) qui n’est pas compté dans la plage de 16 à 62 caractères pour la clé.
Cliquez sur Next pour continuer.
Passerelle de sécurité Internet ZyWALL 70
52
4. Utilisez le quatrième écran de l’assistant pour configurer les paramètres d’IPSec.
Choisissez le mode Tunnel ou Transport.
Choisissez le protocole à utiliser (ESP ou
AH) pour l’échange de la clé IKE.
Choisissez un algorithme de cryptage ou
sélectionnez NULL pour configurer un tunnel
sans cryptage.
Choisissez un algorithme d’authentification.
Définissez la durée de vie SA d’IPSec. Ce
champ vous permet de déterminer la durée
de vie du SA IPSec avant qu’il expire.
Choisissez s’il faut activer Perfect Forward
Secrecy (PFS) à l’aide de la cryptographie
de clé publique de Diffie-Hellman.
Sélectionnez None (la valeur par défaut)
pour désactiver PFS. DH1 fait référence à
Diffie-Hellman Groupe 1, un nombre
aléatoire de 768 bits. DH2 fait référence à
Diffie-Hellman Groupe 2, un nombre
aléatoire de 1024 bits (1 Kb) - (plus sécurisé
mais plus lent).
Passerelle de sécurité Internet ZyWALL 70
53
5. Un tableau récapitulatif de la configuration VPN apparaît à l'écran et vous permet de vérifier si votre
configuration est correcte.
Cliquez sur Finish pour enregistrer et
terminer l’assistant d’installation. Cliquez sur
Back pour revenir à l'écran précédent.
Passerelle de sécurité Internet ZyWALL 70
54
4 Dépannage
PROBLÈME ACTION CORRECTIVE
Aucun des
voyants ne
s'allume lorsque
vous activez le
ZyWALL.
Vérifiez que le cordon secteur correct est bien connecté au ZyWALL et branché à une source
d'alimentation appropriée. Vérifiez que le fusible n’est pas grillé (consultez les annexes du manuel
d’utilisation pour plus de détails). Vérifiez toutes les connexions de câbles.
Si les voyants ne s’allument pas, il s'agit probablement d'un problème matériel. Dans ce cas,
contactez votre revendeur local.
Impossible
d’accéder au
ZyWALL depuis
le LAN.
Vérifiez la connexion des câbles entre le ZyWALL et votre ordinateur ou le concentrateur. Reportez-
vous à la section sur le panneau avant pour plus de détails.
Envoyez une requête Ping au ZyWALL depuis un ordinateur du LAN. Assurez-vous que la carte
réseau Ethernet de votre ordinateur est installée et fonctionne correctement.
Impossible
d’envoyer la
requête ping
vers tout
ordinateur du
LAN
Si les voyants du LAN 10/100M sont éteints, vérifiez la connexion des câbles entre le ZyWALL et vos
ordinateurs sur le LAN.
Vérifiez que l’adresse IP, le masque de sous-réseau du ZyWALL et des ordinateurs sur le LAN se
trouvent dans la même plage d’adresses IP.
L'adresse IP WAN est seulement fournie une fois que le fournisseur de services Internet a vérifié
l'adresse MAC, le nom d'hôte et l'identification de l'utilisateur.
Recherchez la méthode de vérification utilisée par votre fournisseur de services Internet et
configurez les champs correspondants.
Si le fournisseur des services Internet vérifie l’adresse MAC du WAN, vous devez dupliquer l’adresse
MAC depuis un ordinateur sur le LAN. Cliquez sur les onglets WAN puis sur WAN1 ou WAN2,
sélectionnez Spoof WAN MAC Address puis entrez l’adresse IP de l’ordinateur sur le LAN dont
l’adresse MAC doit être dupliquée.
Si le fournisseur de services Internet vérifie le nom d’hôte, entrez le nom de votre ordinateur dans le
champ System Name de l’écran General MAINTENANCE (consultez la section Maintenance du
manuel d’utilisation).
Impossible
d’obtenir une
adresse IP WAN
auprès de l’ISP
Si le fournisseur de services Internet vérifie l’ID d’utilisateur, cliquez sur les onglets WAN puis WAN1
ou WAN2. Vérifiez votre type de service, nom d'utilisateur et mot de passe.
Vérifiez la connexion du ZyWALL au périphérique câble/DSL. Impossible
d’accéder à
Internet.
Cliquez sur WAN pour vérifier vos paramètres.
Dispositivo de seguridad para Internet ZyWALL 70
55
ZyWALL 70
Dispositivo de seguridad para Internet
Manual de instalación rápida
Versión 3.62
febrero 2004
Dispositivo de seguridad para Internet ZyWALL 70
56
Presentación del ZyWALL
El ZyWALL 70 es la puerta de enlace segura ideal para todos los datos que circulan entre Internet y una red
de área local (LAN). El hecho de integrar la traducción de direcciones de red (NAT), un servidor de
seguridad (firewall) filtrado de contenidos, certificados y funcionalidad (VPN) y redes LAN inalámbricas
convierte al ZyWALL 70 de ZyXEL en una solución de seguridad completa, que protege su intranet y
administra con eficacia el tráfico de datos en su red. El ZyWALL incrementa la seguridad de su red
añadiendo cuatro puertos DMZ para utilizarlos con servidores de acceso público. Los slots para PCMCIA/
CardBus permiten añadir un interfaz inalámbrico compatible 802.11b/g. El programa de configuración a
través de navegador Web incluido es muy fácil de usar y totalmente independiente de su sistema operativo.
Sólo necesita tener configurada una cuenta de Internet y haber suministrado casi todos los datos siguientes.
Datos de la cuenta de Internet
La dirección IP de red WAN de su dispositivo (si la conoce): __________________
La puerta de enlace predeterminada de WAN de su dispositivo (si la conoce): __________________
La máscara de red de WAN de su dispositivo (si la conoce): __________________
La dirección IP del servidor DNS (si la conoce):
Principal _______________, Secundario _______________, Terciario _______________
Encapsulación: (elija una de las siguientes)
Ethernet
Tipo de servicio: _______________________
Dirección IP del servidor de inicio de sesión:
______________
Nombre del usuario: ____________ Contraseña: ____________
PPTP
Nombre del usuario: ____________ Contraseña: ____________
Su dirección IP de red WAN: ____________ Dirección IP del servidor de PPTP:
___________
ID de conexión (si procede): ____________
PPPoE
Nombre del servicio (PPPoE): ____________
Nombre del usuario: ____________ Contraseña: ____________
Procedimiento para ver las certificaciones de un producto
1. Vaya a www.zyxel.com.
2. Seleccione su producto en la lista desplegable de la página inicial de ZyXEL para ir a la página de ese
producto.
3. Seleccione la certificación que desee ver desde esta página.
Dispositivo de seguridad para Internet ZyWALL 70
57
1 Conexiones del hardware
1.1 Panel frontal y conexiones
RÓTULO DESCRIPCIÓN
RESET Sólo tiene que usar este botón si no recuerda la contraseña de ZyWALL. Recupera la
configuración predeterminada de fábrica de ZyWALL (la contraseña es 1234, la
dirección IP de la red LAN es 192.168.1.1, los valores de emulación del terminal
descritos a continuación, etc.; encontrará más información en el Manual del usuario).
LAN Conecte un ordenador a este puerto con un cable Ethernet. Este puerto puede,
automáticamente, negociar su velocidad de transmisión (puede conectarse a 10 o a 100
Mbps) y “cruzarse” (ajustarse automáticamente al tipo de cable Ethernet utilizado [de
paso directo o cruzado]).
WAN-1/2 Conecte su módem cable o DSL a este puerto con el cable que acompañaba a su
módem.
DMZ 10/100M Conecte los servidores de acceso público (Web, FTP, etc.) a estos puertos para
hacerlos visibles al mundo exterior. Use cables Ethernet para conectar estos puertos a
ordenadores o a conmutadores.
DIAL BACKUP
Conecte este puerto únicamente si desea establecer una conexión WAN de seguridad
(para más información, véase el Manual del usuario).
Conecte el extremo hembra de 9 patillas de su módem o cable adaptador de terminal a
este puerto y el otro extremo a su módem o adaptador de terminal.
CONSOLE Conecte este puerto únicamente si desea configurar el ZyWALL con la interfaz SMT a
través del puerto de consola (para más información, véase el Manual del usuario).
Conecte el extremo macho de 9 clavijas del cable de consola al puerto de consola del
ZyWALL y el otro extremo a un puerto serie (COM1, COM2 u otro puerto COM) del
ordenador. El ordenador debe tener un programa de comunicación para la emulación de
terminal (como HyperTerminal, por ejemplo) configurado con la emulación de terminal
VT100, sin paridad, 8 bits de datos, 1 bit de parada, sin control de flujo y 9600 bps de
velocidad de puerto.
Dispositivo de seguridad para Internet ZyWALL 70
58
1.2 Panel posterior y conexiones
RÓTULO DESCRIPCIÓN
Extension Card
Slot
Nunca inserte ni saque una tarjeta cuando el ZyWALL esté
encendido.
Apague el ZyWALL antes de insertar o extraer la tarjeta CardBus o PCMCIA
inalámbrica compatible 802.11b/g (para evitar averías).
Coloque el extremo de 64 patillas del conector de la tarjeta PCMCIA o CardBus de
red LAN inalámbrica dentro de la ranura como se muestra a continuación.
No fuerce, doble ni gire la tarjeta de red LAN inalámbrica.
POWER 100-
240VAC
Conecte el cable de alimentación suministrado (use sólo este cable) a esta entrada
de corriente.
Después realizar las conexiones, conecte el adaptador de corriente a una toma de corriente y coloque el
interruptor de alimentación en la posición de encendido (ON). Fíjese en los indicadores luminosos del panel
frontal.
1.3 Los indicadores luminosos del panel frontal
Dispositivo de seguridad para Internet ZyWALL 70
59
El indicador luminoso PWR se ilumina cuando se enciende el dispositivo. El indicador SYS parpadea
durante la evaluación del sistema y, cuando la evaluación es positiva, se queda encendido. Los indicadores
ACT, CARD, LAN, WAN y DMZ se encienden cuando las conexiones correspondientes se establecen
correctamente. En la tabla siguiente encontrará más detalles sobre los indicadores luminosos.
INDICADOR COLOR ESTADO DESCRIPCIÓN
Apagado El ZyWALL está apagado.
Verde Encendido El ZyWALL está encendido.
PWR
Rojo Encendido El ZyWALL tiene poca potencia.
Apagado El ZyWALL no está listo o falla.
Encendido El ZyWALL está listo y en funcionamiento.
SYS Verde
Intermitente El ZyWALL está reiniciando.
Apagado El puerto de copia de seguridad no está conectado. ACT Verde
Intermitente El puerto de copia de seguridad está enviando o recibiendo
paquetes.
Apagado La red LAN inalámbrica no está lista o falla.
Encendido La red LAN inalámbrica está lista.
CARD Verde
Intermitente La red LAN inalámbrica está enviando o recibiendo
paquetes.
Apagado La red LAN no está conectada.
Encendido La conexión Ethernet a 10 Mbps del ZyWALL funciona
correctamente.
Verde
Intermitente La red LAN 10M está enviando o recibiendo paquetes.
Encendido La conexión Ethernet a 100 Mbps del ZyWALL funciona
correctamente.
LAN 10/100
Naranja
Intermitente La red LAN 100M está enviando o recibiendo paquetes.
Apagado La conexión de red LAN no está lista o falla.
Encendido La conexión a red WAN a 10 Mbps del ZyWALL funciona
correctamente.
Verde
Intermitente La red WAN 10M está enviando o recibiendo paquetes.
Encendido La conexión a red WAN a 100 Mbps del ZyWALL funciona
correctamente.
WAN-1/2
10/100
Naranja
Intermitente La red WAN 100M está enviando o recibiendo paquetes.
Apagado La conexión de DMZ no está lista o falla.
Encendido El ZyWALL está conectado a un DMZ de 100 Mbps. Verde
Intermitente El DMZ 100M está enviando o recibiendo paquetes.
Encendido El ZyWALL está conectado a un DMZ de 100 Mbps.
DMZ 10/100
Naranja
Intermitente El DMZ 100M está enviando o recibiendo paquetes.
Dispositivo de seguridad para Internet ZyWALL 70
60
2 Configuración de la dirección IP de su
ordenador
Ignore esta sección si su ordenador ya está configurado para aceptar una
dirección IP dinámica. Esa es la opción predeterminada en casi todos los
ordenadores nuevos.
El ZyWALL ya está configurado para asignar una dirección IP a su ordenador. Siga las instrucciones de esa
sección para configurar el ordenador para que reciba una dirección IP o asignar una dirección IP estática
comprendida en el intervalo 192.168.1.2 - 192.168.1.254 con la máscara de subred 255.255.255.0. Es
imprescindible comprobar que su ordenador pueda comunicarse con su ZyWALL.
Su ordenador debe tener instalados una tarjeta Ethernet y TCP/IP. El protocolo TCP/IP ya debería estar
instalado en los ordenadores funcionando bajo Windows NT/2000/XP, Macintosh OS 7 y los sistemas
operativos posteriores.
Windows 2000/NT/XP
1. En Windows XP, haga clic en Inicio, Panel de control. En Windows 2000/NT, haga clic en Inicio,
Configuración, Panel de control.
2. En Windows XP, haga clic en Conexiones de red.
En Windows 2000/NT, haga clic en Conexiones de red y acceso telefónico.
3. Haga clic con el botón secundario en Conexión de área local y luego haga clic en Propiedades.
4. Seleccione Propiedades de Protocolo Internet (TCP/IP) (en la ficha General en Windows XP) y haga clic en
Propiedades.
5. Se abrirá la pantalla Propiedades de Protocolo Internet
(TCP/IP) (la ficha General en Windows XP).
- Para asignar a su ordenador una dirección IP dinámica,
haga clic en Obtener una dirección IP automáticamente.
- Para configurar una dirección IP estática, haga clic en Usar
la siguiente dirección IP y rellene los campos Dirección IP
(elija una de 192.168.1.2 a 192.168.1.254), Máscara de
subred (255.255.255.0), y Puerta de enlace predeterminada
(192.168.1.1).
Dispositivo de seguridad para Internet ZyWALL 70
61
6. Haga clic en Opciones avanzadas. Quite todas las puertas
de enlace previamente instaladas en la ficha Configuración
de IP y haga clic en Aceptar para regresar a la pantalla
Propiedades de Protocolo Internet (TCP/IP).
7. Si no conoce la dirección o direcciones IP de su servidor DNS,
haga clic en Obtener la dirección del servidor DNS
automáticamente.
Si conoce la dirección o direcciones IP de su servidor DNS,
haga clic en Usar las siguientes direcciones de servidor
DNS, y escríbalas en los campos Servidor DNS preferido y
Servidor DNS alternativo.
Si tiene más de dos servidores DNS, haga clic en Opciones
avanzadas, en la ficha DNS y luego configúrelas con el botón
Agregar.
8. Haga clic en Aceptar para cerrar el cuadro de diálogo
Propiedades de Protocolo de Internet (TCP/IP).
9. Haga clic en Aceptar para cerrar el cuadro de diálogo
Propiedades de Conexión de área local.
Comprobación de la dirección IP de su ordenador
1. En su ordenador, haga clic en Inicio, (Todos los) Programas, Accesorios y en Símbolo del sistema.
2. En la ventana Símbolo del sistema, escriba "ipconfig" y luego presione la tecla INTRO. La dirección IP de su
ordenador debe estar comprendida en el intervalo correcto (de 192.168.1.2 a 192.168.1.254) con la máscara de
subred 255.255.255.0 para poder comunicarse con el ZyWALL.
En el Manual del usuario encontrará información detallada sobre la configuración de la dirección IP para
otros sistemas operativos Windows y Macintosh.
3 Configuración de su ZyWALL
Elija uno de estos métodos para acceder y configurar el ZyWALL. En este Manual
de instalación rápida sólo se explica cómo usar los asistentes del programa de
configuración a través del navegador Web. En el Manual del usuario encontrará
información sobre todas las funciones de ZyWALL y la configuración de la interfaz
SMT. Haga clic en la Ayuda en línea del programa de configuración a través del
navegador Web para obtener ayuda específica de esa pantalla.
Programa de configuración a través del navegador Web
Interfaz SMT (System Management Terminal). Acceda a la interfaz SMT vía:
o Puerto de consola utilizando un software de emulación de terminal
o Red LAN, WLAN, DMZ o WAN mediante Telnet
Dispositivo de seguridad para Internet ZyWALL 70
62
3.1 Acceso a su ZyWALL a través del programa de
configuración a través del navegador Web
1. Inicie su explorador Web. Escriba “192.168.1.1” como dirección del sitio Web.
2. La contraseña predeterminada (“1234”) ya figura en el campo “Password” (en un formato ilegible). Si
desea cambiar la contraseña, haga clic en Login y pasará a la pantalla correspondiente. Si desea que la
contraseña predeterminada vuelva a aparecer en el campo “Password”, haga clic en Reset.
3. Es muy recomendable cambiar la contraseña predeterminada. Escriba una contraseña nueva, vuelva a
escribirla para confirmarla y haga clic en Apply. Si no desea cambiar la contraseña ahora, haga clic en
Ignore.
Dirección del sitio Web.
Cambie la contraseña
predeterminada.
Contraseña
predeterminada
Dispositivo de seguridad para Internet ZyWALL 70
63
4. En la pantalla Replace Certificate, haga clic en Apply para crear un certificado a partir de la
dirección MAC de su ZyWALL. Este certificado será específico de este dispositivo.
5. Aparecerá la ventana HOME del programa de configuración a través del navegador Web.
Haga clic en Internet Access y en VPN Wizard para abrir los asistentes que le ayudarán a
configurar su ZyWALL por primera vez.
Haga clic en un vínculo del panel de navegación para configurar esa función de ZyWALL.
Para cargar firmware y guardar, recuperar o cargar un archivo de configuración, haga clic en la
opción MAINTENANCE del panel de navegación.
Para renovar la dirección IP de la red WAN, haga clic en Renew.
Para ver estadísticas de rendimiento del ZyWALL, haga clic en Show Statistics.
Para ver información del cliente actual DHCP, haga clic en Show DHCP Table.
Para ver las conexiones VPN activas, haga clic en VPN Status.
Cuando haya terminado una sesión de gestión de ZyWALL, haga clic en LOGOUT. Si se queda
inactivo durante cinco minutos, el ZyWALL cerrará su pantalla de inicio automáticamente. Pulse
Refresh para volver a abrir la pantalla Login y luego vuelva a iniciar sesión. Este temporizador de
tiempo de inactividad es una de las muchas funciones del ZyWALL que puede modificar mediante
el programa de configuración a través del navegador Web.
Dispositivo de seguridad para Internet ZyWALL 70
64
El ZyWALL cerrará automáticamente la sesión establecida si ésta permanece
inactiva durante cinco minutos; pulse Refresh para mostrar de nuevo la pantalla
Login para autenticarse de nuevo. Este temporizador es una de las muchas
características de ZyWALL que Ud puede editar usando el configurador de la web.
LOGOUT
Panel de navegación
Asistentes
Dispositivo de seguridad para Internet ZyWALL 70
65
3.2 Uso del asistente para configurar el acceso a Internet
1. Haga clic en el botón Internet Access de la pantalla HOME y obtendrá ayuda para configurar el
puerto WAN1 del ZyWALL para acceder a Internet. La primera pantalla del asistente tiene tres
formas, según el tipo de encapsulación que utilice. Consulte Datos de la cuenta de Internet para
cumplimentar los campos.
Elija Ethernet cuando el puerto WAN se utilice
como Ethernet normal. Elija entre una versión
Standard o una versión RoadRunner. Para
algunas versiones RoadRunner tendrá que
rellenar los campos User Name (nombre de
usuario), Password (contraseña) y Login
Server IP Address (dirección IP del servidor
de inicio de sesión).
Conexión de Internet con Ethernet
Conexión de Internet con PPPoE
El Protocolo punto a punto en Ethernet
(PPPoE) también funciona como una conexión
de acceso telefónico. Por lo tanto, también
necesitará un nombre de usuario y una
contraseña, y probablemente el nombre del
servicio PPPoE.
Su proveedor de servicios de Internet le
proporcionará toda la información necesaria.
Dispositivo de seguridad para Internet ZyWALL 70
66
Conexión de Internet con PPTP
Elija PPTP si su proveedor de servicios utiliza
un terminador DSL con el inicio de sesión
PPTP. En este caso, el ZyWALL debe tener
una dirección IP estática. También necesitará
un nombre de inicio de sesión, la contraseña
asociada, la dirección IP del terminador DSL y,
probablemente, un ID de conexión.
Haga clic en Next para continuar.
2. Rellene los campos y haga clic en Finish para guardar y finalizar la configuración con el asistente.
WAN IP Address Assignment
Si su proveedor de servicios de Internet (ISP)
no le ha asignado ninguna dirección IP fija,
seleccione Get automatically from ISP. Si el
ISP le ha asignado una dirección IP fija,
seleccione Use fixed IP address y luego
escriba su dirección IP y su máscara de subred
en los dos campos siguientes. Escriba la
dirección IP de la puerta de enlace en el
campo Gateway IP address (si la conoce) si
ha seleccionado Use Fixed IP Address.
System DNS Servers
Si su ISP asigna dinámicamente información
de DNS (y la dirección IP de la red WAN del
ZyWALL), seleccione From ISP.
Si tiene la dirección IP de un servidor DNS,
seleccione User-Defined. Escriba la dirección
IP del servidor DNS en el campo de la
derecha.
Si no desea configurar servidores DNS,
seleccione None. Si no configura ningún
servidor DNS, tendrá que conocer la dirección
IP de una máquina para poder acceder a ella.
WAN MAC Address
Si desea utilizar la dirección MAC predeterminada de fábrica, seleccione Factory Default. En caso contrario, seleccione
Spoof this Computer's MAC address - IP Address y escriba la dirección IP del ordenador de la red LAN cuya dirección
MAC vaya a clonar.
Dispositivo de seguridad para Internet ZyWALL 70
67
3.3 Compruebe su conexión a Internet
Inicie su explorador Web y vaya a www.zyxel.com. No tiene que utilizar ningún programa de acceso
telefónico a redes. En el Manual del usuario encontrará más información sobre todas las funciones del
ZyWALL.
3.4 Uso del asistente para configurar una directiva de VPN (red
privada virtual)
1. Haga clic en el botón VPN Wizard de la pantalla HOME y obtendrá ayuda para editar una regla
VPN que utiliza una clave previamente compartida y para configurar los valores de IKE para
establecer un túnel VPN (conexión de red privada virtual).
Escriba la dirección IP de la red WAN de su
ZyWALL. Si se deja este campo con los
valores 0.0.0.0, el ZyWALL usará su dirección
IP de WAN actual (estática o dinámica) para
establecer el túnel VPN.
Si desea identificar el router o enrutador
IPSec remoto por su dirección IP, seleccione
IP Address y escriba la dirección IP.
En caso contrario, seleccione Domain Name
y escriba el nombre del dominio.
Haga clic en Next para continuar.
Dispositivo de seguridad para Internet ZyWALL 70
68
2. Introduzca los valores de los campos y haga click en Next para continuar. Utilice esta pantalla
para configurar las direcciones IP de los dispositivos que van a utilizar el túnel VPN. La red local
se refiere a los dispositivos detrás del ZyWALL y la red remota hace referencia a los dispositivos
detrás del router remoto IPSec.
Si sólo hay una dirección IP, seleccione
Single. Para especificar todo un intervalo de
direcciones IP, seleccione Range IP. Para
especificar direcciones IP de una red por su
máscara de subred, seleccione Subnet.
Local Network
Si la opción Local Network está configurada
como Single, escriba una dirección IP
(estática) de su red LAN detrás de su
ZyWALL. Si la opción Local Network está
configurada como Range IP, escriba la
dirección IP inicial y la final (estáticas), de un
grupo de ordenadores de la red LAN detrás
de su ZyWALL. Si la opción Local Network
está configurada como Subnet, escriba una
dirección IP (estática) y una máscara de
subred de la red LAN detrás de su ZyWALL.
Remote Network
Si la opción Remote Network está configurada como Single, escriba una dirección IP (estática) de la red detrás del router
IPSec remoto. Si la opción Remote Network está configurada como Range IP, escriba la dirección IP inicial y la final
(estáticas), de un grupo de ordenadores de la red detrás de su router IPSec remoto. Si la opción Remote Network está
configurada como Subnet, escriba una dirección IP (estática) y una máscara de subred de la red detrás del router IPSec
remoto.
3. En la tercera pantalla del asistente, configure los valores del túnel IKE.
Negotiation Mode
Elija entre Main Mode (modo principal) y
Aggressive Mode (modo dinámico). Todas
las asociaciones de seguridad (SA) que se
conecten a través de una puerta de enlace
segura deben tener el mismo modo de
negociación.
Encryption Algorithm
Seleccione el método de cifrado con una
clave privada (y secreta).
El algoritmo de cifrado DES utiliza una clave
de 56 bits. El DES triple (3DES) es una
variación de DES que usa una clave de 168
bits. Por lo tanto, 3DES es más seguro que
DES. También requiere una mayor potencia
de procesamiento, lo que ralentiza el
funcionamiento. Esta versión de AES utiliza
una clave de 128 bits. AES es más rápido
que 3DES.
Dispositivo de seguridad para Internet ZyWALL 70
69
Authentication Algorithm
MD5 (Síntesis del mensaje 5) y SHA1 (Algoritmo hash seguro) son algoritmos hash que sirven para autenticar datos de
paquetes. Para obtener la seguridad mínima, seleccione MD5. Para conseguir la máxima seguridad, seleccione SHA-1.
Key Group
Elija un grupo de claves para la fase 1 de la negociación de IKE. DH1 (opción predeterminada) es el número aleatorio
Grupo 1 a 768 bits de Diffie-Hellman. DH2 es el número aleatorio Grupo 2 a 1024 bits de Diffie-Hellman.
SA Life Time (Minutes)
Defina aquí el tiempo que tiene que puede durar una asociación de seguridad (SA) IKE antes de renegociarse
automáticamente. El valor mínimo es 180 segundos.
Pre-Shared Key
Escriba entre 8 y 31 caracteres ASCII (hay distinción entre mayúsculas y minúsculas) o de 16 a 62 caracteres
hexadecimales ("0-9", "A-F"). Toda clave hexadecimal debe ir precedida de "0x” (cero x), que no se cuenta como parte del
intervalo de 16 a 62 caracteres de la clave.
Haga clic en Next para continuar.
4. En la cuarta pantalla del asistente, configure los valores de IPSec.
En Encapsulation Mode, elija un modo de
encapsulación: Tunnel o Transport.
En IPSec Protocol, elija el protocolo que se
va a utilizar (ESP o AH) para el intercambio
de claves IKE.
En Encryption Algorithm, elija un algoritmo
de cifrado o seleccione NULL si desea
configurar un túnel sin cifrado.
Elija un algoritmo de autenticación en
Authentication Algorithm.
En SA Life Time, configure la vida útil de la
SA (asociación de seguridad) IPSec. Es el
tiempo que la SA IPSec estará activa antes
de desactivarse.
Elija si desea activar Perfect Forward
Secrecy (PFS) o “Confidencialidad directa
perfecta” utilizando un cifrado Diffie-Hellman
basado en claves públicas. Si desea
desactivar PFS, seleccione None (la opción
predeterminada). DH1 es el número aleatorio
Grupo 1 a 768 bits de Diffie-Hellman. DH2 es
el número aleatorio Grupo 2 a 1024 bits (1
Kb) de Diffie-Hellman (más seguro, aunque
más lento).
Dispositivo de seguridad para Internet ZyWALL 70
70
5. Esta pantalla de sólo lectura muestra un resumen de las reglas VPN. Revise que los datos
configurados son correctos.
Si desea guardar y finalizar la configuración
realizada con el asistente, haga clic en
Finish. Si desea regresar a la pantalla
anterior, haga clic en Back.
Dispositivo de seguridad para Internet ZyWALL 70
71
4 Resolución de problemas
PROBLEMA SOLUCIÓN
Al conectar el
ZyWALL no se
enciende ningún
indicador
luminoso.
Compruebe que el cable de alimentación esté conectado al ZyWALL y a una toma de corriente
adecuada. Compruebe que el fusible no se haya fundido (véanse los apéndices del Manual del
usuario). Revise todas las conexiones de cable.
Si los indicadores luminosos siguen sin encenderse, quizás se trate de un problema de hardware.
En este caso, diríjase a su distribuidor local.
No puede
acceder al
ZyWALL desde
la red LAN.
Revise la conexión por cable entre el ZyWALL y su ordenador o concentrador. Para más
información, consulte la sección sobre el panel frontal.
Envíe un comando ping desde un ordenador de la red LAN al ZyWALL. Compruebe que la tarjeta
Ethernet de su ordenador esté instalada y que funcione correctamente.
No puedo enviar
un comando
ping de los
ordenadores en
la red local.
Si los indicadores luminosos de la red LAN 10/100M están apagados, revise las conexiones por
cable entre el ZyWALL y los ordenadores de su red LAN.
Confirme que la dirección IP y la máscara de subred del ZyWALL y de los ordenadores de la LAN
estén comprendidas en el mismo intervalo de direcciones IP.
La dirección IP WAN se comunica una vez que el proveedor de servicios de Internet haya
comprobado la dirección MAC, el nombre del host o el identificador del usuario.
Consulte el método de verificación utilizado por su proveedor de servicios de Internet y configure los
campos correspondientes.
Si el proveedor de servicios de Internet comprueba la dirección MAC de red WAN, usted debería
clonar la dirección MAC de un ordenador de la red LAN. Haga clic en WAN y luego en la ficha
WAN1 o WAN2, seleccione Spoof WAN MAC Address y escriba la dirección IP del ordenador de la
red LAN cuya dirección MAC vaya a clonar.
Si el proveedor de servicios de Internet comprueba el nombre del sistema, escriba el nombre de su
ordenador en el campo System Name de la pantalla MAINTENANCE General (véase el apartado
Maintenance del Manual del usuario).
No puedo
obtener una
dirección IP
WAN de mi
proveedor de
servicios de
Internet.
Si el proveedor comprueba el ID de usuario, haga clic en WAN y luego en la ficha WAN1 o WAN2.
Revise su tipo de servicio, nombre de usuario y contraseña.
Revise la conexión del ZyWALL con el dispositivo de cable/DSL. No puedo
acceder a
Internet.
Haga clic en WAN para comprobar su configuración.
Dispositivo de seguridad para Internet ZyWALL 70
72
ZyWALL 70 Dispositivo per la sicurezza su Internet
73
ZyWALL 70
Dispositivo per la sicurezza su Internet
Guida rapida
Versione 3.62
febbraio 2004
ZyWALL 70 Dispositivo per la sicurezza su Internet
74
Introduzione
ZyWALL 70 è il gateway sicuro ideale per il passaggio dei dati fra Internet e la LAN. Grazie all’
integrazione delle funzioni di NAT, firewall, filtratura del contenuto, certificati e capacità VPN, ZyWALL 70
di ZyXEL rappresenta una soluzione di sicurezza completa che protegge l’Intranet e gestisce efficientemente
il traffico dati su una rete. ZyWALL aumenta la sicurezza della rete aggiungendo quattro porte De-
Militarized Zone (DMZ) per l’uso con i server accessibili al pubblico. Lo slot PCMCIA/CardBus vi permette
di aggiungere un wireless LAN conforme a 802.11b/g. Il web configurator in dotazione risulta di facile
utilizzo e totalmente indipendente dalla piattaforma del sistema operativo in uso.
È necessario essere in possesso di un account Internet già attivato e conoscere le seguenti informazioni
relative alla connessione .
Informazioni sull’account Internet
Indirizzo IP della WAN del dispositivo (se disponibile): __________________
Gateway predefinito della WAN del dispositivo (se disponibile): __________________
Net mask della WAN del dispositivo (se disponibile): __________________
Indirizzo IP del server DNS (se disponibile):
Primario _______________, Secondario _______________, Terzo _______________
Incapsulamento: (scegliere uno dei seguenti)
Ethernet
Tipo di servizio: _______________________
Indirizzo IP del server di login: ______________
Nome utente: ____________ Password: ____________
PPTP
Nome utente: ____________ Password: ____________
Indirizzo IP della propria WAN: ____________ Indirizzo IP del server PPTP: ___________
ID di connessione (se necessario): ____________
PPPoE
Nome di servizio (PPPoE): ____________
Nome utente: ____________ Password: ____________
Procedura di visualizzazione della/e certificazione/i di un prodotto
1. Andare sul sito www.zyxel.com.
2. Sull’home page ZyXEL selezionare il proprio prodotto dall’elenco a scomparsa per andare alla pagina del
prodotto stesso
3. Selezionare la certificazione da visualizzare.
ZyWALL 70 Dispositivo per la sicurezza su Internet
75
1 Connessioni hardware
1.1 Pannello anteriore e connessioni
ETICHETTA DESCRIZIONE
RESET Utilizzare questo pulsante solamente se è stata dimenticata la password dello ZyWALL.
Lo ZyWALL viene riportato alle impostazioni di fabbrica (password 1234, indirizzo IP
della LAN 192.168.1.1, impostazioni di emulazione del terminale come descritto di
seguito, ecc. consultare la Guida utente per i dettagli).
LAN Collegare un computer a questa porta tramite un cavo Ethernet. Questa porta è
autonegoziante (può collegarsi a 10 o a 100 Mbps) ed effettua l’autocrossover (si adatta
automaticamente al tipo di cavo Ethernet utilizzato (straight-through o crossover)).
WAN-1/2 Collegare il modem via cavo/DSL a questa porta con il cavo in dotazione al modem.
DMZ 10/100M Collegare i server accessibili al pubblico (web, FTP, ecc.) a queste porte per renderli
visibili dal’esterno. Utilizzare cavi Ethernet per collegare queste porte ai computer o agli
switch.
DIAL BACKUP
Collegare questa porta solo se si desidera impostare una connessione WAN di backup.
Consultare la Guida utente per i dettagli.
Collegare l’estremità femmina a 9 pin del cavo seriale a questa porta e l’altra estremità
al modem o al TA.
CONSOLE Collegare questa porta solo se si desidera configurare lo ZyWALL utilizzando SMT
tramite la porta della console. Consultare la Guida utente per i dettagli.
Collegare l’estremità maschio a 9 pin del cavo seriale alla porta console sullo ZyWALL e
l’altra estremità ad una porta seriale (COM1, COM2 o altre porte COM) del computer. Il
computer deve essere dotato di un programma di comunicazione per emulazione
terminale (come HyperTerminal) impostato su emulazione terminale VT100, nessuna
parità, 8 data bit, 1 stop bit, nessun controllo del flusso e velocità della porta di 9600 bps.
ZyWALL 70 Dispositivo per la sicurezza su Internet
76
1.2 Pannello posteriore e connessioni
ETICHETTA DESCRIZIONE
Extension Card
Slot
Non inserire o rimuovere una scheda quando lo ZyWALL è acceso.
Per evitare danneggiamenti, prima di inserire o rimuovere una 802.11b/g-compliant
wireless LAN PCMCIA o CardBus card spegnete ZyWALL.
Inserite il capo del connnettore a 64-pin della scheda wireless LAN PCMCIA o
CardBus nello slot come mostrato qui di seguito.
Non forzare, piegare o curvare la scheda LAN wireless.
POWER 100-
240VAC
Collegare il cavo d’alimentazione accluso (utilizzare SOLO questo cavo) alla presa di
alimentazione.
Dopo che avete fatto questi collegamenti, collegate l’adattatore di corrente a un alimentatore e spingete
l’interruttore della corrente sulla posizione di acceso. Osservate i LED del pannello anteriore.
ZyWALL 70 Dispositivo per la sicurezza su Internet
77
1.3 LED del pannello anteriore
Il LED PWR si accende quando si collega il dispositivo all’alimentazione. Il LED SYS lampeggia mentre
viene eseguito un test di sistema e successivamente rimane acceso se il test ha avuto esito positivo. I LED
ACT, CARD, LAN, WAN e DMZ si accendono se le connessioni corrispondenti sono state effettuate
correttamente. Fare riferimento alla tabella seguente per una descrizione più dettagliata dei LED.
LED COLORE STATO DESCRIZIONE
Off Lo ZyWALL è spento.
Verde On Lo ZyWALL è acceso.
PWR
Rosso On L’alimentazione che arriva allo ZyWALL è insufficiente.
Off Lo ZyWALL non è pronto o c’è un errore.
On Lo ZyWALL è pronto e funzionante.
SYS Verde
Lampeggiante Lo ZyWALL sta ripartendo.
Off La porta di backup non è connessa. ACT Verde
Lampeggiante La porta di backup sta inviando o ricevendo pacchetti.
Off La LAN wireless non è pronta o c’è un errore.
On La LAN wireless è pronta.
CARD Verde
Lampeggiante La LAN wireless sta inviando o ricevendo pacchetti.
Off La LAN non è connessa.
On La connessione Ethernet a 10 Mbps dello ZyWALL è riuscita. Verde
Lampeggiante La LAN 10M sta inviando o ricevendo pacchetti.
On La connessione Ethernet a 100 Mbps dello ZyWALL è riuscita.
LAN
10/100
Arancione
Lampeggiante La LAN 100M sta inviando o ricevendo pacchetti.
Off La connessione WAN non è pronta o c’è un errore.
On La connessione WAN a 10 Mbps dello ZyWALL è riuscita.
WAN-1/2
10/100
Verde
Lampeggiante La WAN 10M sta inviando o ricevendo pacchetti.
ZyWALL 70 Dispositivo per la sicurezza su Internet
78
LED COLORE STATO DESCRIZIONE
On La connessione WAN a 100 Mbps dello ZyWALL è riuscita. Arancione
Lampeggiante La WAN 100M sta inviando o ricevendo pacchetti.
Off La connessione DMZ non è pronta o c’è un errore.
On Lo ZyWALL è connesso ad una DMZ a 10 Mbps. Verde
Lampeggiante La DMZ 10M sta inviando o ricevendo pacchetti.
On Lo ZyWALL è connesso ad una DMZ a 100 Mbps.
DMZ
10/100
Arancione
Lampeggiante La DMZ 100M sta inviando o ricevendo pacchetti.
2 Impostazione dell’indirizzo IP del computer
Saltare questo capitolo se il computer è già impostato per accettare un indirizzo IP
dinamico. Questa è l’impostazione predefinita della maggior parte dei nuovi
computer.
Lo ZyWALL è già impostato per assegnare al computer un indirizzo IP. Utilizzare questo capitolo per
impostare il proprio computer per ricevere un indirizzo IP o per assegnare ad esso un indirizzo IP statico
compreso nella gamma da 192.168.1.2 a 192.168.1.254 con subnet mask 255.255.255.0. Questa operazione
garantisce la comunicazione fra il proprio computer e lo ZyWALL.
Nel computer devono essere installati una scheda Ethernet ed il protocollo TCP/IP. Il TCP/IP deve essere già
stato installato sul computer utilizzando i seguenti sistemi operativi: Windows NT/2000/XP, Macintosh OS 7
e successivi.
ZyWALL 70 Dispositivo per la sicurezza su Internet
79
Windows 2000/NT/XP
1. In Windows XP fare clic su Start, Pannelllo di controllo. In Windows 2000/NT fare clic su Start,
Impostazioni, Pannelllo di controllo.
2. In Windows XP fare clic su Connessioni di rete.
In Windows 2000/NT fare clic su Rete e connessioni da remoto.
3. Fare clic su Connessione alla rete locale e quindi su Proprietà.
4. Selezionare Protocollo Internet (TCP/IP) (nella scheda Generale in Windows XP) e fare clic su Proprietà.
5. Si aprirà la schermata Proprietà del Protocollo Internet
TCP/IP (nella scheda Generale in Windows XP).
- Affinché al computer venga assegnato un indirizzo IP
dinamico, fare clic su Ottieni automaticamente un indirizzo
IP.
- Per configurare un indirizzo IP statico, fare clic su Utilizza il
seguente indirizzo IP e riempire i campi Indirizzo IP
(sceglierne uno da 192.168.1.2 a 192.168.1.254), Subnet
mask (255.255.255.0) e Gateway predefinito (192.168.1.1)
ZyWALL 70 Dispositivo per la sicurezza su Internet
80
6. Fare clic su Avanzate... Rimuovere i gateway
precedentemente installati nella scheda Impostazioni IP e
fare clic su OK per tornare alla schermata Proprietà del
Protocollo Internet TCP/IP.
7.
Se non si conosce gli/l’indirizzo/i IP del proprio server DNS,
fare clic su Ottieni indirizzo server DNS automaticamente.
Se si conosce gli/l’indirizzo/i del proprio server DNS, fare clic
su Utilizza i seguenti indirizzi server DNS, e scrivere tali
indirizzi nei campi Server DNS preferito e Server DNS
alternativo.
Se si hanno più di due server DNS, fare clic su Avanzate…,
selezionare la scheda DNS e configurarli utilizzando
Aggiungi.
8. Fare clic su OK per chiudere la finestra Proprietà del
Protocollo Internet TCP/IP.
9. Fare clic su OK per chiudere la finestra Proprietà della
connessione alla rete locale.
Controllo dell’indirizzo IP del computer
1. Nel computer fare clic su Start, Tutti i programmi, Accessori e quindi Prompt dei comandi.
2. Nella finestra Prompt dei comandi, digitare “ipconfig” e premere INVIO. Affinché il computer possa comunicare
con lo ZyWALL, il suo indirizzo IP si deve trovare nella gamma corretta (da 192.168.1.2 a 192.168.1.254) con
subnet mask 255.255.255.0.
Fare riferimento alla Guida utente per informazioni più dettagliate sulla configurazione dell’indirizzo IP con
altri sistemi operativi di Windows e Macintosh.
ZyWALL 70 Dispositivo per la sicurezza su Internet
81
3 Configurazione dello ZyWALL
Scegliere uno dei seguenti metodi per accedere allo ZyWALL e configurarlo.
Questa Guida rapida mostra solo come utilizzare Web Configurator Wizard.
Consultare la Guida utente per informazioni su tutte le funzioni dello ZyWALL e
sulla configurazione di SMT. Fare clic sull’aiuto online del web configurator per un
aiuto online specifico sulle schermate.
Web Configurator
SMT (System Management Terminal). Accedere a SMT tramite:
o la porta console utilizzando un software di emulazione terminale
o LAN, WLAN, DMZ o WAN utilizzando il telnet
3.1 Accesso allo ZyWALL tramite Web Configurator
1. Aprire il browser web Digitare “192.168.1.1” come indirizzo del sito web.
2. La password predefinita (“1234”) si trova già nel campo password (in formato non leggibile). Fare
clic su Login per accedere ad una schermata in cui cambiare la propria password. Fare clic su Reset
per tornare alla password predefinita nel campo password.
3. Si consiglia di cambiare la password predefinita. Inserire una nuova password, reinserirla per
conferma e fare clic su Apply; in alternativa, fare clic su Ignore se non si desidera cambiare la
password.
Indirizzo del sito web
Password predefinita
ZyWALL 70 Dispositivo per la sicurezza su Internet
82
4. Fare clic su Apply nella schermata Replace Certificate per creare un certificato utilizzando
l’indirizzo MAC dello ZyWALL, che risulterà specifico per questo dispositivo.
5. A questo punto dovrebbe essere visualizzata la schermata HOME del web configurator.
Fare clic su Internet Access e VPN Wizard per iniziare ad impostare le schermate del wizard che
saranno d’aiuto per configurare lo ZyWALL per la prima volta.
Fare clic su un link nel pannello di navigazione per configurare questa funzione dello ZyWALL.
Fare clic su MAINTENANCE nel pannello di navigazione per caricare il firmware e per salvare,
ripristinare o caricare un file di configurazione.
Fare clic su Renew per sostituire l’indirizzo IP della WAN.
Fare clic su Show Statistics per visualizzare le statistiche sulle prestazioni dello ZyWALL.
Fare clic su Show DHCP Table per visualizzare le informazioni sull’attuale client DHCP.
Fare clic su VPN Status per visualizzare le connessioni VPN attive.
Una volta terminata una sessione di gestione dello ZyWALL, fare clic su LOGOUT. Lo ZyWALL
effettua il logout automatico quando viene lasciato inattivo per cinque minuti; premere Refresh per
far comparire nuovamente la schermata di Login e rientrare. Questo timer d’inattività costituisce
una delle molte funzioni dello ZyWALL modificabili tramite il web configurator.
Cambiare la password predefinita
ZyWALL 70 Dispositivo per la sicurezza su Internet
83
ZyWALL automaticamente vi fa il log out se viene lasciato inattivo per cinque
minuti; premete Refresh per mostrare di nuovo lo schermo di Login e poter di
nuovo. Questo contatore del tempo di inattività è una delle tante funzioni di
ZyWALL che potete modificare usando il web configurator.
LOGOUT
Pannello di navigazione
Wizard
ZyWALL 70 Dispositivo per la sicurezza su Internet
84
3.2 Utilizzo del wizard per configurare l’accesso ad Internet
1. Fare clic su Internet Access nella schermata HOME per un aiuto nella configurazione della porta
WAN1 sullo ZyWALL per l’accesso ad Internet. La prima schermata del wizard presenta tre
variazioni in base al tipo di incapsulamento utilizzato. Utilizzare le informazioni contenute in
Informazioni sull’account Internet per compilare i campi.
Scegliere Ethernet se la porta WAN viene
utilizzata come una normale Ethernet.
Scegliere da Standard o una versione
RoadRunner. Per alcune versioni RoadRunner
sono necessari User Name, Password e
Login Server IP Address.
Collegamento Internet con Ethernet
Collegamento Internet con PPPoE
Il protocollo point-to-point su Ethernet (PPPoE)
funziona come una connessione dial-up. Sono
quindi neccessari anche uno username, una
password e, possibilmente, il PPPoE service
name.
Tali informazioni potranno essere ottenute dal
proprio ISP.
ZyWALL 70 Dispositivo per la sicurezza su Internet
85
Scegliere PPTP se l’ISP utilizza un terminator
DSL con login PPTP. In questo caso, lo
ZyWALL deve avere un indirizzo IP statico.
Sono necessari anche un login name, la
password associata, l’indirizzo IP del
terminator DSL e, possibilmente, un ID di
connessione.
Collegamento Internet con PPTP
Fare clic su Next per continuare.
2. Riempire i campi e fare clic su Finish per salvare e completare l’impostazione del wizard.
Assegnazione dell’indirizzo IP della WAN
Se il proprio ISP non ha assegnato un indirizzo
IP fisso, selezionare Get automatically from
ISP. Se l’ISP ha assegnato un indirizzo IP
fisso, selezionare Use fixed IP address e
digitare l’indirizzo IP e la subnet mask nei due
campi successivi. Digitare l’indirizzo IP del
gateway in questo campo (se disponibile)
quando si seleziona Use Fixed IP Address.
Server DNS di sistema
Selezionare From ISP se l’ISP assegna in
maniera dinamica le informazioni sul server
DNS (e l’indirizzo IP della WAN dello ZyWALL).
Selezionare User-Defined se si possiede
l’indirizzo IP di un server DNS. Digitare
l’indirizzo IP del server DNS nel campo a
destra.
Scegliere None se non si desidera configurare
i server DNS. Se non si configura un server
DNS è necessario conoscere l’indirizzo IP di un
computer per accedervi.
Indirizzo MAC della WAN
Selezionare Factory Default per utilizzare l’indirizzo MAC di default assegnato dalla fabbrica. In alternativa, selezionare
Spoof this Computer’s MAC address – IP Address ed inserire l’indirizzo IP del computer sulla LAN di cui si sta clonando
l’indirizzo MAC.
ZyWALL 70 Dispositivo per la sicurezza su Internet
86
3.3 Verificare la connessione Internet
Aprire il browser web e andare sul sito www.zyxel.com. Non è necessario un programma di dial-up come
Dial Up Networking. Fare riferimento alla Guida utente per informazioni più dettagliate sulla gamma
completa di funzioni dello ZyWALL.
3.4 Utilizzo del wizard per configurare una VPN Policy
1. Fare clic su VPN Wizard nella schermata HOME per usufruire di un aiuto nel modificare una regola
VPN che utilizza una chiave pre-distribuita e configurare le impostazioni IKE per creare un tunnel
VPN.
Digitare l’indirizzo WAN del proprio ZyWALL.
Lasciando in questo campo 0.0.0.0, lo
ZyWALL utilizza il suo indirizzo IP della WAN
corrente (statico o dinamico) per predisporre il
tunnel VPN.
Selezionare IP Address ed inserire l’indirizzo
IP per identificare il router IPSec remoto dal
suo indirizzo IP.
In alternativa, selezionare Domain Name ed
inserire il nome del dominio.
Fare clic su Next per continuare.
2. Riempite i campi e cliccate Next per continuare. Usate questo schermo per configurare gli indirizzi IP
dei dispositivi che possono usare il tunnel VPN. Local network si riferisce ai dispositivi dietro
ZyWALL e remote network si riferisce ai dispositivi dietro l’IPSec router remoto..
Selezionare Single per un indirizzo IP
singolo. Selezionare Range IP per una
determinata gamma di indirizzi IP.
Selezionare Subnet per specificare gli
indirizzi IP su una rete dalla loro subnet
mask.
ZyWALL 70 Dispositivo per la sicurezza su Internet
87
Selezionare Single per un indirizzo IP
singolo. Selezionare Range IP per una
determinata gamma di indirizzi IP.
Selezionare Subnet per specificare gli
indirizzi IP su una rete dalla loro subnet
mask.
Local Network
Se il campo Local Network è impostato su
Single, inserire un indirizzo IP (statico) sulla
LAN dietro al proprio ZyWALL. Se il campo
Local Network è impostato su Range IP,
inserire gli indirizzi IP (statici) d’inizio e di fine
in una serie di computer sulla LAN dietro al
proprio ZyWALL. Se il campo Local
Network è impostato su Subnet, inserire un
indirizzo IP (statico) e la subnet mask sulla
LAN dietro al proprio ZyWALL.
Remote Network
Se il campo Remote Network è impostato su Single, inserire un indirizzo IP (statico) sulla rete dietro al router IPSec
remoto. Se il campo Remote Network è impostato su Range IP, inserire gli indirizzi IP (statici) d’inizio e di fine in una serie
di computer sulla rete dietro al router IPSec remoto. Se il campo Remote Network è impostato su Subnet, inserire un
indirizzo IP (statico) e la subnet mask sulla rete dietro al router IPSec remoto.
3. Utilizzare la terza schermata del wizard per configurare le impostazioni del tunnel IKE.
Negotiation Mode
Selezionare Main Mode o Aggressive
Mode. SA multiple connesse tramite un
gateway sicuro devono possedere la stessa
modalità di negoziazione.
Encryption Algorithm
Selezionare il metodo di cifratura dei dati con
una chiave privata (segreta).
L’algoritmo di cifratura DES utilizza una
chiave a 56 bit. DES triplo (3DES) è una
variazione di DES che utilizza una chiave a
168 bit. Di conseguenza, 3DES risulta più
sicuro di DES. Necessita anche di maggiore
potenza di esecuzione, con conseguenti
latenza maggiore e velocità di elaborazione
minore. Questa implementazione di AES
utilizza una chiave a 128 bit. AES risulta più
veloce di 3DES.
Authentication Algorithm
MD5 (Message Digest 5) e SHA1 (Secure Hash Algorithm) sono algoritmi hash utilizzati per autenticare i pacchetti di dati.
Selezionare MD5 per una sicurezza minima e SHA-1 per una sicurezza massima.
ZyWALL 70 Dispositivo per la sicurezza su Internet
88
Key Group
Scegliere un key group per l’impostazione IKE di phase 1. DH1 (predefinito) si riferisce ad un numero random di 768 bit del
Diffie-Hellman Group 1. DH2 si riferisce ad un numero random di 1024 bit (1Kb) del Diffie-Hellman Group 2.
SA Life Time (Minuti)
Definire il periodo di tempo che deve trascorrere prima che un SA IKE rinegozi automaticamente in questo campo. Il valore
minimo è di 180 secondi.
Pre-Shared Key
Digitare da 8 a 31 caratteri ASCII case-sensitive o da 16 a 62 caratteri esadecimali (“0-9”, “A-F”). Una chiave esadecimale
deve essere preceduta da “0x” (zero x), che non verrà contato come parte dei caratteri da 16 a 62 della chiave.
Fare clic su Next per continuare.
4. Utilizzare la quarta schermata del wizard per configurare le impostazioni dell’IPSec.
Scegliere la modalità Tunnel o quella
Transport.
Scegliere il protocollo da utilizzare (ESP o
AH) per lo scambio della chiave IKE.
Scegliere un algoritmo di cifratura o
selezionare NULL per creare un tunnel
senza cifratura.
Scegliere un algoritmo di autenticazione.
Impostare la IPSec SA lifetime. Questo
campo consente di determinare per quanto
tempo l’IPSec SA deve rimanere attivo prima
di andare in timeout.
Scegliere se abilitare Perfect Forward
Secrecy (PFS) utilizzando la cifratura a
chiave pubblica Diffie-Hellman. Selezionare
None (predefinito) per disabilitare PFS. DH1
si riferisce ad un numero random di 768 bit
del Diffie-Hellman Group 1. DH2 si riferisce
ad un numero random di 1024 bit (1Kb) del
Diffie-Hellman Group 2 (più sicuro ma più
lento).
ZyWALL 70 Dispositivo per la sicurezza su Internet
89
5. Questo schermo solo lettura mostra un sommario delle impostazioni della regola VPN. Controllate se
quanto avete configurato è corretto.
Fare clic su Finish per salvare e portare a
termine l’impostazione del wizard. Altrimenti,
fare clic su Back per ritornare alla schermata
precedente
ZyWALL 70 Dispositivo per la sicurezza su Internet
90
4 Risoluzione dei problemi
PROBLEMA AZIONE CORRETTIVA
Quando lo
ZyWALL viene
acceso non si
accende nessun
LED
Assicurarsi di aver collegato il cavo di alimentazione allo ZyWALL e ad una presa d’alimentazione
appropriata. Accertarsi che il fusibile non sia fulminato (consultare le appendici della Guida utente
per i dettagli). Controllare tutte le connessioni del cavo.
Se i LED rimangono ancora spenti, potrebbe trattarsi di un problema hardware. In questo caso,
contattare il rivenditore di zona.
Non si riesce ad
accedere allo
ZyWALL dalla
LAN.
Controllare le connessioni del cavo fra lo ZyWALL ed il computer o l’hub. Fare riferimento al capitolo
sul pannello anteriore per maggiori dettagli.
Verificare la connessione allo ZyWALL da un computer in LAN con il comando ping. Accertarsi che
la scheda Ethernet del computer sia installata e funzioni correttamente.
Non si riesce a
verificare la
connessione di
nessun
computer sulla
LAN.
Se i LED della LAN 10/100 sono spenti, controllare le connessioni dei cavi fra lo ZyWALL ed i
computer in LAN.
Verificare che l’indirizzo IP e la subnet mask dello ZyWALL e dei computer in LAN si trovino nella
stessa gamma di indirizzi IP.
L’IP della WAN viene fornito dopo che l’ISP ha verificato l’indirizzo MAC, l’host name o l’ID utente.
Scoprire il metodo di verifica utilizzato dall’ISP e configurarei campi corrispondenti.
Se l’ISP controlla l’indirizzo MAC della WAN, sarà necessario clonare l’indirizzo MAC da un
computer in LAN. Fare clic su WAN e poi sulla scheda WAN1 o WAN2, selezionare Spoof WAN
MAC address ed inserire l’indirizzo IP del computer sulla LAN di cui si sta clonando l’indirizzo MAC.
Se l’ISP controlla l’host name, inserire il nome del proprio computer nel campo System Name nella
schermata MAINTENANCE General (fare riferimento alla sezione Maintenance della Guida utente).
Non si riesce ad
ottenere un
indirizzo IP WAN
dall’ISP.
Se l’ISP controlla l’ID utente, fare clic su WAN e quindi sulla scheda WAN1 o WAN2. Verranno
richiesti tipo di servizio, nome utente e password.
Controllare la connessione dello ZyWALL al dispositivo via cavo/DSL. Non si riesce ad
accedere ad
Internet.
Fare clic su WAN per verificare le impostazioni.
ZyWALL 70 雙 WAN 多功能防火牆
91
ZyWALL 70
雙 WAN 多功能防火牆
快速安裝指南
3.62 版本
2004 年 2 月
ZyWALL 70 雙 WAN 多功能防火牆
92
ZyWALL 簡介
對所有在網際網路和區域網路 (LAN) 之間傳輸的資料來說,ZyWALL 70 是個理想的安全閘道器。
ZyXEL 的 ZyWALL 70 整合了 NAT、防火牆、VPN、內容過濾和無線區域網路等功能,提供完整的安
全系統服務,可保護企業內部網路並有效管理網路資料流量。因為公共區域連接主機之安全需求,
ZyWALL 也增加 4 個非軍事網域區(DMZ) 來提升網路安全。內建的網頁式設定介面操作容易,而且
不會受到作業系統平台的限制。
使用者應已設定網際網路帳號並已取得及下列資訊:
網際網路帳號資訊
WAN IP 位址:(如已提供) __________________
WAN 預設閘道:(如已提供) __________________
WAN 網路遮罩:(如已提供) __________________
DNS 伺服器 IP 位址(如有提供):主要 _______________、次要_______________、第三 _______________
壓縮:(選擇一項)
Ethernet
服務類型:_______________________
登入伺服器 IP 位址:______________
使用者名稱: ____________ 密碼: ____________
PPTP
使用者名稱: ____________ 密碼: ____________
WAN IP 位址: ____________ PPTP 伺服器 IP 位址: ___________
連線 ID:( 如有需要) ____________
PPPoE
(PPPoE) 服務名稱: ____________
使用者名稱: ____________ 密碼: ____________
檢視產品使用憑證之程序
1. 請到 www.zyxel.com。
2. 在 ZyXEL 首頁的下拉式清單中選擇本產品後,即可進入該產品的網頁。
3. 自該網頁選擇想要檢視的使用憑證。
ZyWALL 70 雙 WAN 多功能防火牆
93
1 硬體連接
1.1 前置面板及接線
標籤 說明
重設 如忘記 ZyWALL 密碼,只需按重設按鈕,即可返回預設值 (密碼為 1234,LAN IP 位址為
192.168.1.1,終端機模擬設定則如下所述;詳情請參閱使用手冊)。
LAN 利用 Ethernet 網路線,將電腦接上 LAN 埠。LAN 埠具自動協商 (可在 10 或 100 Mbps 速度
下進行連接) 和自動跳線 (Auto-Crossover) 功能 (可自動調整成所使用的 Ethernet 纜線類型,
平行或交叉)
WAN-1/2 使用 ADSL/Cable 數據機隨機所附的網路線,將數據機接上 WAN-1/2 埠。
DMZ 10/100 M 將可公開存取的伺服器 (WEB、FTP 等) 接上 DMZ 10/100 M 埠,使外界能夠看見這些埠。
利用 Ethernet 網路線,將 DMZ 10/100 M 埠接上電腦或交換器。
撥接備援
如要設定備份 WAN 連接,才需接上撥接備援埠;詳情請參閱使用手冊。
將數據機的 9-Pin 母端或 TA 電纜線接到撥接備援埠,另一端接到數據機或 TA。
控制台 如需設定 ZyWALL 的組態,才需使用 SMT 接上控制台埠;詳情請參閱使用手冊。
將控制台電纜線的 9-Pin 公接頭接到 ZyWALL 的控制台埠,另一端接到電腦的序列埠
(COM1、COM2 或其他的 COM 埠)。使用者電腦應已安裝終端模擬通訊程式 (例如
HyperTerminal),且設定成 VT100 終端模擬、無同位檢查、8 個資料位元、1 個停止位元、
無流量控制及 9600 bps 連接埠速度。
ZyWALL 70 雙 WAN 多功能防火牆
94
1.2 背板及接線
標籤 說明
無線擴充卡插槽
請勿在 ZyWALL 開啟時插入或移除介面卡。
請先關閉 ZyWALL,再插入或移除 11 Mbps 802.11b/g PCMCIA 無線區域網路卡或
Cardbus 卡,以免受損。
如下顯示,將 PCMCIA 無線區域網路卡 或 Cardbus 的 64-Pin 接頭插入插槽內。
請勿彎曲無線區域網路卡或對其施力。
100-240VAC 電源 將附加的電源線 (僅能使用這條線) 接上 100-240VAC 電源插槽。
連接完成後,將此電源線接上電源供應器,並將電源開關切到 On 的位置。請注意前板的 LED 顯示器。
ZyWALL 70 雙 WAN 多功能防火牆
95
1.3 前板的 LED 顯示器
插上電源時,PWR LED 會亮燈。進行系統測試時,SYS LED 會閃爍,測試成功會持續亮燈。進行相
關連接時,ACT、CARD、LAN、WAN 和 DMZ LED 顯示器會隨之開啟。有關 LED 的詳細說明,請
參閱下列表格
。
LED 顏色 狀態 說明
關 ZyWALL 為關閉狀態
綠色 開 ZyWALL 為開啟狀態
PWR
紅色 開 ZyWALL 電力太弱
關 ZyWALL 尚未就緒或已經失敗
開 ZyWALL 已就緒並正在執行。
SYS 綠色
閃爍 ZyWALL 正在重新開機
關 備份埠尚未連接 ACT 綠色
閃爍 備份埠正在傳送或接收封包
關 無線區域網路尚未就緒或已經失敗
開 無線區域網路已就緒
CARD 綠色
閃爍 無線區域網路正在傳送或接收封包
關 區域網路尚未連接
開 ZyWALL 成功連接 10 Mbps Ethernet 綠色
閃爍 10 M 區域網路正在傳送或接收封包
開 ZyWALL 成功連接 100 Mbps Ethernet
LAN 10/100
橘色
閃爍 100 M 區域網路正在傳送或接收封包
關 WAN 連接尚未就緒或已經失敗
開 ZyWALL 成功連接 10 Mbps WAN 綠色
閃爍 10 M WAN 正在傳送或接收封包
WAN-1/2
10/100
橘色 開 ZyWALL 成功連接 100 Mbps WAN
ZyWALL 70 雙 WAN 多功能防火牆
96
LED 顏色 狀態 說明
閃爍 100 M WAN 正在傳送或接收封包
關 DMZ 連接尚未就緒或已經失敗
開 ZyWALL 已接上 10 Mbps DMZ 綠色
閃爍 10 M DMZ 正在傳送或接收封包
開 ZyWALL 已接上 100 Mbps DMZ
DMZ 10/100
橘色
閃爍 100 M DMZ 正在傳送或接收封包
2 設定電腦 IP 位址
如電腦已設定接受動態 IP 位址,可略過本章節。
以下為大部分新電腦的預設值。
ZyWALL 已設定來指派你的電腦一個 IP 位址,請參照本節說明設定您的電腦,以接收 IP 位址,或使
用 255.255.255.0 的子網路遮罩,在 192.168.1.2 到 192.168.1.254 的範圍內為電腦指派的一個靜態IP位
址。這是為了確保你的電腦能與 ZyWALL 通訊。
電腦須已安裝 Ethernet 卡及 TCP/IP。電腦須已使用 Windows NT/2000/XP、Macintosh OS 7 及稍後的作
業系統安裝好 TCP/IP。
Windows 2000/NT/XP
1. 在 Windows XP 下,按 Start (開始)、Control Panel (控制台)。在 Windows 2000/NT 下,按 Start (開始)、Settings (設
定), Control Panel (控制台)。
2. 在 Windows XP 下,按 Network Connections (網路連線)。
在 Windows 2000/NT 下,按 Network and Dial-up Connections (網路及撥號連線)。
3. 用滑鼠右鍵按 Local Area Connection (區域連線),再按一下 Properties (內容)。
4. 在 Windows XP 下,選擇 General (一般) 標籤下的 Internet Protocol (Internet 通訊協定) (TCP/IP),再按一下 Properties
(內容)。
ZyWALL 70 雙 WAN 多功能防火牆
97
5. 在 Windows XP 的 General (一般) 標籤下,打開 Internet Protocol
TCP/IP Properties (Internet 通訊協定 TCP/IP 內容)
-- 按 Obtain an IP address automatically (自動取得 IP 位址),為電腦
指定一個動態 IP 位址。
--按 Use the following IP Address (使用下列 IP 位址),輸入 IP
address (IP 位址) (192.168.1.2 到 192.168.1.254)、Subnet mask (子網
路遮罩) (255.255.255.0) 及 Default gateway (預設閘道器)
(192.168.1.1) 等欄位。
6. 按 Advanced (進階)。移除 IP Settings (IP 設定) 標籤下的先前安裝
的閘道,按 OK 回到 Internet Protocol TCP/IP Properties (Internet 通
訊協定 TCP/IP 內容) 螢幕。
7. 如不知 DNS 伺服器 IP 位址,請按 Obtain an IP address
automatically (自動取得 IP 位址)。
若已知 DNS 伺服器 IP 位址,請按 Use the following IP Address
(使用下列的 IP 位址),並將之輸入 Preferred DNS server (慣用
DNS 伺服器) 和 Alternate DNS server (其他 DNS 伺服器) 欄位中。
如使用者有超過二個以上的 DNS 伺服器,請按 Advanced (進
階)、DNS 標籤,並使用 Add (新增) 來配置。
8. 按 OK,關閉 Internet Protocol TCP/IP Properties (Internet 通訊協定
TCP/IP 內容) 視窗。
9. 按 OK,關閉 Local Area Connection (區域連線) 視窗。
檢查電腦 IP 位址
1. 在電腦開啟狀態下,按 Start (開始)、(All) Programs (程式集)、Accessories (附屬應用程式),再按 Command Prompt (命令
提示字元)。
2. 在 Command Prompt (命令提示字元) 視窗下,輸入 "ipconfig",再按 ENTER (輸入)。你的電腦 IP 位址的子網路遮罩應
為 255.255.255.0,且應該在正確的範圍內 (192.168.1.2 到 192.168.1.254),以便和 ZyWALL 進行通訊。
有關其他 Windows 和 Macintosh 電腦作業系統的 IP 位址設定,請參閱使用手冊。
ZyWALL 70 雙 WAN 多功能防火牆
98
3 設定 ZyWALL 的組態
選擇下列一種方法存取及設定 ZyWALL 的組態。本指南僅說明使用網路組態設定精靈的方
法,有關 ZyWALL 所有功能及 SMT 組態背景資訊的詳細說明,請參閱使用手冊。若您需
要從網路上獲知與螢幕有關的說明,請按一下網頁式組態設定的線上說明。
¾ 網頁式組態設定介面
¾ SMT (系統管理終端機)。經由下列方式存取 SMT:
o 使用終端機模擬軟體連接控制埠 (Console Port)
o 使用 Telnet 連接 LAN, WLAN, DMZ 或 WAN
3.1 使用網頁式組態設定介面存取 ZyWALL
步驟 1 啟動網路瀏覽器,輸入 "192.168.1.1" 網址。
步驟 2 密碼欄所顯示的是預設的密碼 (以不可讀取的格式)。按一下 Login (登入) 後,螢幕出現要求
您變更密碼的畫面。只要再按一下 Reset (重設),密碼欄即恢復預設的密碼。
網址
預設密碼
ZyWALL 70 雙 WAN 多功能防火牆
99
步驟 3 建議您變更預設的密碼:輸入新密碼後,再鍵入一次密碼表示確認,然後按 Apply (套用)。
如果您不想變更密碼,請按 Ignore (忽略)。
步驟 1 按一下 Replace Certificate (更換簽章) 畫面上的 Apply (套用),然後 ZyWALL 將用本裝置的
MAC 位址來建立您 ZyWALL 專用的簽章。
步驟 4 螢幕接著出現組態設定介面的 Home (首頁) 畫面。
¾ 按 Internet Access (上網連線) 及 VPN Wizard (VPN 精靈),開始安裝精靈畫面。您可以使用這
個精靈完成第一次 ZyWALL 組態設定。
¾ 按瀏覽面板上的一個連結,設定該連結的 ZyWALL 功能。
¾ 按瀏覽面板上 Maintenance (維護),上傳韌體及執行組態設定檔的備份、復原和上傳。
¾ 按 Renew (更新),更新 WAN IP 位址。
¾ 按 Show Statistics (顯示統計),檢視 ZyWALL 的效能統計資料。
¾ 按 Show DHCP Table (顯示 DHCP 表),顯示目前的 DHCP 用戶端資訊。
¾ 按 VPN Status (VPN 狀態),顯示使用中的 VPN 連接。
變更預設密碼
ZyWALL 70 雙 WAN 多功能防火牆
100
¾ 完成一個 ZyWALL 作業階段時,請按一下 LOGOUT (登出),ZyWALL 會在五分鐘未使用後,
自動執行登出。若要再次登入時,請按一下 Refresh (重新整理),螢幕隨即顯示 Login (登入)
畫面。您可以使用網頁式組態設定介面編輯逾時計時器,設定新的逾時時間。
當系統停滯 5 分鐘,ZyWALL 會自動登出; 可按 Refreh 鍵還原登入畫面,然後再登入即
可。此停滯登出功能為 ZyWALL 諸多功能的其中一項,你可藉著網路網理員來設定。
登出
瀏覽面板
設定精靈
ZyWALL 70 雙 WAN 多功能防火牆
101
3.2 使用精靈設定上網組態
步驟 1 按一下 Home (首頁) 中的 Internet Access (上網連線),設定 ZyWALL 的 WAN1 上網組態。視壓
縮類型的不同,第一個精靈畫面呈現出三種不同的樣式。請參照網路帳號資訊 (Internet Account
Information) 將資料輸入欄位。
若 WAN 埠作為一般乙太網路埠使用時,請選擇
Ethernet (乙太網路)。請從 Standard (標準) 或
RoadRunner 版本選擇此選項,有些 RoadRunner
版本可能要求您輸入 Username (使用者名稱)、
Password (密碼),及 Login Server IP Address (登入
伺服器 IP 位址)。
網路連結乙太網路
網路連結乙太網路端對端協定
ZyWALL 同時以乙太網路點對點通訊協定
(PPPoE)作為撥接網路,因此您必須輸入使用者
名稱、密碼及 PPPoE 伺服器名稱。
若您有任何問題,請洽詢您的 ISP。
ZyWALL 70 雙 WAN 多功能防火牆
102
如果您的 ISP 使用 DSL 終端設備及 PPTP 登入,
則請選擇 PPTP,但 ZyWALL 需要一靜態 IP 位
址,使用者亦需輸入一個登入名稱、密碼、DSL
終端機 IP 位址及連線 ID (若需要的話)。
網路連結 PPTP
按一下 Next (下一步),繼續操作。
步驟 2 完成各欄位的輸入後,按一下 Finish (完成),儲存及結束精靈安裝。
WAN IP 位址指定
若您的 ISP 未指定固定的 IP 位址給您,請選擇
Get automatically from ISP (自動自 ISP 取得)。若
您的 ISP 已指派固定的 IP 位址給您,請選擇 Use
fixed IP address (使用固定 IP 位址),然後在下面
兩個欄位分別輸入 IP 位址及子網路遮罩。選擇
Use fixed IP address (使用固定 IP 位址) 後,請在
此欄位輸入閘道 IP 位址 (若有的話)。
系統 DNS 伺服器
如果您的 ISP 動態地指定 DNS 伺服器資訊及
ZyWALL 的 WAN IP 位址給您時,請選擇 From
ISP (ISP 指派)。
如果您已經擁有 DNS 伺服器的 IP 位址,則請選
擇 User-Defined (使用者自訂),然後將 DNS 伺服
器的 IP 位址輸入右側欄位。如果不需要設定
DNS,請選擇 None (無)。如果您不設定 DNS 伺
服器,則必須記住伺服器的 IP 位址,否則無法
存取該伺服器。
WAN MAC 位址
選擇 Factory Default (原廠預設),使用原廠預設的 MAC 位址。 或者也可以選擇 Spoof this Computer’s MAC address – IP Address
(誑騙本機 MAC 位址 - IP 位址),從一台 LAN 電腦上復製 MAC 位址,並且輸入該電腦的 IP 位址。
3.3 測試網際網路連線
啟動網路瀏覽器並且進入 www.zyxel.com (上網時不需要使用 Dial Up Networking 等撥接程式。有關
ZyWALL 各項功能的詳細說明,請參閱使用手冊。
ZyWALL 70 雙 WAN 多功能防火牆
103
3.4 使用精靈設定 VPN 方法
步驟 1 按一下 Home (首頁) 畫面上的 VPN Wizard (VPN 精靈),您可操作這個精靈編輯使用 Pre-shared
密鑰的 VPN 規則,並且設定 IKE 值,建立 VPN 通道。
輸入 ZyWALL WAN IP 位址。如果您保留欄位
的 0.0.0.0 值,逕行離開這個欄位時,ZyWALL
會在設定 VPN 通道時使用目前的 WAN IP 位址
(靜態或動態)。
選擇 IP Address (IP 位址),然後輸入 IP 位址,
即可依據 IP 位址辨識遠端 IP IPSec 路由器。
否則,請選擇 Domain Name (網域名稱),然後輸
入網域名稱。
按一下 Next (下一步),繼續操作。
步驟 2 完成各欄位的輸入後,按 Next (下一步),繼續操作。這畫面也可設定該設備的 IP 位置以使用
VPN 頻道。區域網路關連於 ZyWALL 後連接裝置而遠端網路關連於遠端 IPSec 路由器。
選擇 Single (單一),設定一個 IP 位址,選擇
Range IP (IP 範圍),在指定的範圍內設定 IP 位
址。選擇 Subnet (子網路),依據子網路遮罩指
定網路上的 IP 位址。
區域網路
Local Network (區域網路) 欄位設定為 Single
(單一) 時,請在 ZyWALL 後端的 LAN 上輸入
一個靜態 IP 位址。Local Network (區域網路)
設定為 Range IP (IP 範圍) 時,請輸入
ZyWALL 後端 LAN 一連串電腦中開始及結束
的靜態 IP 位址。Local Network (區域網路) 設
定為 Subnet (子網路) 時,請在 ZyWALL 後端
的 LAN 上輸入一個靜態 IP 位址和子網路遮
罩。
遠端網路
Remote network (遠端網路) 欄位設定為 Single (單一) 時,請在 IPSec 路由器後方的網路上輸入一個靜態 IP 位址。Remote network
(遠端網路) 設定為 Range IP (IP 範圍) 時,請輸入 IPSec 路由器後端網路一連串電腦中開始及結束的靜態 IP 位址。Remote
network (遠端網路) 設定為 Subnet (子網路) 時,請在 IPSec 路由器後方的網路上輸入一個靜態 IP 位址和子網路遮罩。
ZyWALL 70 雙 WAN 多功能防火牆
104
步驟 3 使用第三個精靈設定 IKE 通道。
協商模式
選擇 Main Mode (主要模式) 或 Aggressive Mode
(主動模式)。經由一安全閘道連接的多個 SA
必須使用相同的協商模式。
加密演算法
選擇使用私人密鑰時,資料加密的方法。
DES 加密運算法使用一個 56 位元密鑰,另外
一種三重 DES (3DES) 解決方案使用 168 位元
密鑰,其安全效果比 DES 強。但這種方案需
要較強的處理能力,以致等待時間較長,而且
影響傳輸量。AES 使用 128 位元密鑰,速度比
3DES 快。
認證運算法
MD5 (Message Digest 5) 和 SHA1 (Secure Hash Algorithm) 都是使用的雜湊運算法(Hash Algorithm),來執行封包資料的認證。需要
最低安全時,請選擇 MD5。需要最高安全時,請選擇 SHA1。
密鑰群組
執行 IKE 的第一階段安裝時,請選擇密鑰群組。DH1(預設值) 表示 Diffie-Hellman Group 1,一組 768 位元隨選數字)。DH2 表示
Diffie-Hellman Group 2,一組 1024 位元 (1 Kb) 隨選數字。
SA 使用時間 (分鐘)
定義 IKE SA 在經過多少時間後,會在此欄位自動重新協商。最小值為 180 秒。
Pre-Shared 密鑰
鍵入 8 到 31 個 ASCII 字元 (區分大小寫),或鍵入 16 到 62 個十六進位 ("0-9" 或 "A-F") 字元。在十六進位密鑰之前必須加
上”0x” ( 零 x),但這個起首字元將不算入 16 到 62 個十六進位字元。
按一下 Next (下一步),繼續操作。
ZyWALL 70 雙 WAN 多功能防火牆
105
步驟 4 使用第四個精靈設定 IPSec。
選擇 Tunnel (通道) 或 Transport (傳輸) 模式。
選擇適用於 IKE 密鑰交換的協定 ( ESP 或
AH)。
選擇一個加密運算法,或選擇 NULL,設定無
加密通道。
選擇一個認證運算法。
設定 IPSec SA 使用時間。您可在這個欄位輸
入值,定義經過多少時間未使用後,SA 才會
逾時。
選擇是否使用 Diffie-Hellman 公鑰編碼技術來
啟用 Perfect Forward Secrecy (PFS)。選擇 None
(預設值) 可停用 PFS。DH1(預設值) 表示
Diffie-Hellman Group 1,一組 768 位元隨選數
字)。DH2 表示 Diffie-Hellman Group 2,一組
1024 位元 (1 Kb) 隨選數字。DH2 較安全,但
速度較慢。
步驟 5 這個唯讀畫面顯示目前 VPN 設定之摘要。請使用總表檢查設定是否正確。
按一下 Finish (完成),儲存並結束精靈安裝。
否則,請按 Back (上一步),回到前一畫面。
ZyWALL 70 雙 WAN 多功能防火牆
106
4 問題解決
問題 矯正行動
開啟 ZyWALL 電
源開關時,無任
何 LED 亮燈。
確定你連接電源線到 ZyWALL 並且使用正確的電源。確定保險絲未熔斷 (有關詳細說明,請參閱
使用
手冊
)。檢查所有纜線連接。
如果 LED 仍然不亮燈,可能是硬體發生問題。在這情況下﹐請聯絡你的經銷商。
無法從 LAN 存取
ZyWALL 。
檢查 ZyWALL 和你的電腦或集線器的纜線連結。有關詳細資訊,請參閱前置面板上的說明。
從一台 LAN 上電腦來 ping ZyWALL。確定已安裝乙太網路卡,而且能正常運作。
無法 ping LAN 上
的任何電腦。
10/100M LAN LED 熄滅時,請檢查 ZyWALL 和 LAN 電腦的纜線連結。
確認 ZyWALL 和 LAN 電腦的 IP 位址和子網路面罩都在相同的 IP 位址範圍內。
ISP 在確認 MAC 位址、主機名稱或使用者識別碼後,提供 WAN IP。
確認 ISP 的認證方法,然後設定相關欄位。
ISP 檢查 WAN MAC 位址時,請從一台 LAN 上的電腦複製 MAC 位址。按一下 WAN,然按 WAN1 或
WAN 2 標籤。選擇 Spoof WAN MAC Address (誑騙 WAN MAC 位址),並輸入該電腦的 IP 位址。
ISP 檢查主機名稱時,請在 MAINTENANCE General (總維護) 畫面的 System Name (系統名稱) 欄位內輸
入電腦名稱,有關詳細說明,請參閱
使用手冊
中的
“維護”
。
無法自 ISP 取得
WAN IP 位址。
ISP 檢查使用者識別碼時,按一下 WAN,然按 WAN1 或 WAN 2 標籤,接著檢查您的服務類型、使用
者名稱及密碼。
檢查 ZyWALL 和纜線/DSL 設備的連接。 無法連接網際網
路。
按一下 WAN,並確認您的設定。
65-020-007002
or Certifications. For more information about your device's Declaration of Conformity (DOC) please refer to www.zyxel.com
ZyWALL 70
Quick Start Guide
Version 3.62
Corporate Headquarters
ZyXEL Communications Corp.
Tel: +886-3-578-3942
Fax: +886-3-578-2439
Email: [email protected]
http://www.zyxel.com
http://www.zyxel.com.tw
Denmark
Tel: +45 39 55 07 00
Fax: +45 39 55 07 07
Email: [email protected]
http://www.zyxel.dk
Finland
Tel: +358-9-4780 8400
Fax: +358-9-4780 8448
Email: [email protected]
http://www.zyxel.fi
France
Tel : +33 (0)4 72 52 97 97
Fax : +33 (0)4 72 52 19 20
Email: [email protected]
http://www.zyxel.fr
Germany
Tel: +49 2405 6909 0
Fax: +49 2405 6909 99
Email: [email protected]
http://www.zyxel.de
North America
Tel: +1-800-255-4101
Tel: +1-714-632-0882
Fax: +1-714-632-0858
Email: [email protected]
http://www.us.zyxel.com
Norway
Tel: +47 22 80 61 80
Fax: +47 22 80 61 81
Email: [email protected]
http://www.zyxel.no
Spain
Tel : +34 902 195 420
Fax : + 34 913 005 345
Email: [email protected]
http:// www.zyxel.es
Sweden
Tel: +46 31 744 7700
Fax: +46 31 744 7701
Email: [email protected]
http://www.zyxel.se
-
1
-
2
-
3
-
4
-
5
-
6
-
7
-
8
-
9
-
10
-
11
-
12
-
13
-
14
-
15
-
16
-
17
-
18
-
19
-
20
-
21
-
22
-
23
-
24
-
25
-
26
-
27
-
28
-
29
-
30
-
31
-
32
-
33
-
34
-
35
-
36
-
37
-
38
-
39
-
40
-
41
-
42
-
43
-
44
-
45
-
46
-
47
-
48
-
49
-
50
-
51
-
52
-
53
-
54
-
55
-
56
-
57
-
58
-
59
-
60
-
61
-
62
-
63
-
64
-
65
-
66
-
67
-
68
-
69
-
70
-
71
-
72
-
73
-
74
-
75
-
76
-
77
-
78
-
79
-
80
-
81
-
82
-
83
-
84
-
85
-
86
-
87
-
88
-
89
-
90
-
91
-
92
-
93
-
94
-
95
-
96
-
97
-
98
-
99
-
100
-
101
-
102
-
103
-
104
-
105
-
106
-
107
-
108
ZyXEL Communications 70 Manual de usuario
- Categoría
- Enrutadores
- Tipo
- Manual de usuario
- Este manual también es adecuado para
En otros idiomas
Documentos relacionados
-
ZyXEL Communications Network Card 5 Manual de usuario
-
ZyXEL Communications 70 Manual de usuario
-
ZyXEL Communications ZyWALL 2 Plus Guía de inicio rápido
-
ZyXEL Communications ZYWALL 70 UTM El manual del propietario
-
ZyXEL Communications ZYWALL USG 200 El manual del propietario
-
ZyXEL Communications ZYWALL P1 Manual de usuario
-
ZyXEL Communications ZyWALL SSL 10 Manual de usuario
-
ZyXEL Communications ZyWALL USG-1000 Manual de usuario
-
ZyXEL Communications Switch 1050 Manual de usuario
-
ZyXEL Communications ZYWALL USG 300 El manual del propietario
Otros documentos
-
Dynex DX-E402 El manual del propietario
-
ZyXEL USG100-PLUS Guía de inicio rápido
-
LevelOne TURING Industrial Series Quick Installation Manual
-
StreamLocator Hub Guía de instalación
-
-
-
Trendnet TEW-829DRU El manual del propietario
-
Steren COM-817 Guía de inicio rápido
-
sauermann Gateway for LoRa-Powered Data Loggers Guía del usuario
-
D-Link DSR-1000N Guía de instalación
