Transcripción de documentos

ESPAÑOL Vista previa El ZyWALL 70 es un cortafuegos de WAN dual, con balanceo de carga, soporte de VPNs, gestión del ancho de banda, filtrado de contenidos y muchas otras características. Puede usarlo como cortafuegos transparente sin reconfigurar su red ni configurar las características de enrutamiento de ZyWALL. El ZyWALL aumenta la seguridad de la red ofreciendo puertos DMZ para el uso con servidores públicos de acceso. Esta guía cubre las conexiones iniciales y configuración necesaria para comenzar a usar el ZyWALL en su red. Vea la Guía del usuario para más información sobre todas las características. Puede que necesite su acceso a Internet para más información. Esta guía está dividida en las siguientes secciones. 1 Conexiones del hardware 7 Cortafuegos 2 Acceso al configurador Web 8 Configuración de reglas VPN 3 Modo puente (bridge) 9 Registro del producto en myZyXEL.com 4 Configuración del acceso a Internet 10Filtrado de contenidos 5 DNS 11Solución de problemas 6 NAT 1 Conexiones del hardware Necesita lo siguiente. ZyWALL Ordenador Cables Ethernet 47 Cable de alimentación ESPAÑOL Realice lo siguiente para crear conexiones de hardware para la configuración inicial. 1 Use un cable Ethernet para conectar el puerto LAN a un ordenador. También puede usar cables Ethernet para conectar servidores públicos (web, correo electrónico, FTP, etc.) a los puertos DMZ. 2 Use otro(s) cable(s) Ethernet para conectar el puerto WAN 1 y/o WAN 2 a un dispositivo Ethernet con acceso a Internet. 3 Use el cable de alimentación incluido para conectar el zócalo de alimentación (en el panel posterior) a una toma de corriente 4 Pulse el interruptor de alimentación hasta la posición de encendido y mire al panel frontal. El LED PWR se encenderá. El LED SYS parpadeará mientras realiza la prueba del sistema y luego se quedará fijo si la prueba ha tenido éxito. Los LEDs ACT, CARD, LAN, DMZ y WAN se encenderán y permanecerán encendidos si las conexiones correspondientes se han realizado correctamente. 48 ESPAÑOL 2 Acceso al configurador Web Use esta sección para configurar la interfaz WAN 1 para el acceso a Internet. 1 Abra su explorador de web. Introduzca 192.168.1.1 (la dirección IP predeterminada del ZyWALL) como dirección. Si no aparece la pantalla de acceso, vea Sección 11.1 para ajustar la dirección IP de su ordenador. 2 Haga clic en Login (acceso) (la contraseña predeterminada 1234 ya está introducida). 3 Cambie la contraseña de acceso introduciendo una nueva contraseña y haciendo clic en Apply (Aplicar). 4 Haga clic en Apply (Aplicar) para reemplazar el certificado digital predeterminado de ZyWALL. 5 Aparecerá la pantalla HOME (Inicio). El ZyWALL está en modo router por defecto. Continúe en el siguiente paso si desea usar características de enrutamiento como NAT, DHCP y VPN. Vaya a Sección 3 si prefiere usar el ZyWALL como cortafuegos transparente. 49 ESPAÑOL 6 Compruebe la tabla Network Status (estado de la red). Si el estado de WAN 1 no es Down (Caído) y hay una dirección IP, vaya a Sección 5. Si el estado de la WAN 1 es Down (Caído) (o no hay una dirección IP), haga clic en Internet Access (acceso a Internet) y use Sección 4 para configurar WAN 1. Use las pantallas WAN en NETWORK (red) si necesita configurar WAN 2. También puede configurar el balanceo de carga entre los puertos WAN. 3 Modo puente (bridge) Cuando configura el ZyWALL en modo puente, funciona como un cortafuegos transparente. Haga lo siguiente para configurar el ZyWALL en este modo bridge. 50 ESPAÑOL 1 Haga clic en MAINTENANCE (Mantenimiento) en el panel de navegación y luego en Device Mode (Modo de Dispositivo). 2 Seleccione Bridge (Puente) y configure una máscara de subred de dirección IP (estática) y una dirección IP de puerta de enlace para las interfaces LAN, WAN, DMZ y WLAN del ZyWALL. 3 Haga clic en Apply (Aplicar). El ZyWALL se reiniciará. Vaya a Sección 5 si tiene servidores que necesitan ser accesibles desde la WAN. 4 Configuración del acceso a Internet Introduzca la información del acceso a Internet exactamente como se le ha dado. Si se le ha dado una dirección IP para usarla, seleccione Static (Estática) en el cuadro desplegable IP Address Assignment (Asignación de dirección IP) e introduzca la información facilitada. Nota: Los campos varían dependiendo de lo que seleccione en el campo Encapsulation (Encapsulación). Rellénelos con la información facilitada por el ISP o el administrador de redes. Haga clic en Finish (Finalizar) cuando haya terminado. 51 ESPAÑOL • Encapsulación Ethernet Configure un servicio Correcaminos en las pantallas WAN de NETWORK (Red) (use la ficha WAN 1). • Encapsulación PPP sobre Ethernet o PPTP Seleccione Nailed-Up (Forzada) cuando desee que su conexión esté arriba todo el tiempo (esto puede resultar caro si su ISP le cobra por el tiempo de uso de Internet en lugar de una cuota fija mensual). Para no tener una conexión arriba todo el tiempo, especifique un período de tiempo en espera (en segundos) en Idle Timeout (Temporizador de inactividad). 52 ESPAÑOL 5 DMZ La Zona DesMilitarizada (DeMilitarized Zone - DMZ) permite a los servidores públicos (web, correo electrónico, FTP, etc.) estar visibles al mundo exterior teniendo aún protección de cortafuegos contra ataques DoS (Denial of Service - Negación de Servicio). A diferencia de LAN, el ZyWALL no asigna la configuración TCP/IP a través de DHCP a ordenadores conectados a los puertos DMZ. Configure los ordenadores con direcciones IP estáticas (en la misma subred que la dirección IP del puerto DMZ) y direcciones de servidor DNS. Use la dirección IP del ZyWALL como puerta de enlace predeterminada. Realice lo siguiente para configurar la DMZ si el ZyWALL está en modo de enrutamiento. Nota: No necesita configurar la DMZ con modo puente, vaya a Sección 7. 1 Haga clic en DMZ en el panel de navegación. 53 ESPAÑOL 2 Especifique una dirección IP y máscara de subred para la interfaz DMZ. Si usa direcciones IP privadas en la DMZ, use NAT para hacer a los servidores accesibles públicamente (ver Sección 6). Una dirección IP pública debe estar en una subred separada de las direcciones IP públicas de los puertos WAN. Si no configura NAT para las direcciones IP públicas en la DMZ, el ZyWALL enruta el tráfico a las direcciones IP públicas de la DMZ sin realizar la NAT. Esto puede resultar útil para albergar servidores para aplicaciones hostiles NAT. 3 Haga clic en Apply (Aplicar). 6 NAT NAT (Network Address Translation (Traducción de Direcciones de Redes) - NAT, RFC 1631) significa la traducción de una dirección IP en una red a una dirección IP diferente en otra. Puede usar las pantallas de NAT Address Mapping (mapeo de direcciones NAT) para que el ZyWALL traduzca múltiples direcciones IP públicas a múltiples direcciones IP privadas en su LAN (o DMZ). El siguiente ejemplo permite el acceso desde la WAN a un servidor HTTP (web) en la DMZ. El servidor tiene una dirección IP privada de 10.0.0.20. 54 ESPAÑOL 1 Haga clic en NAT en el panel de navegación y luego en Port Forwarding (Reenvío de puerto). 2 Seleccione la casilla de verificación Active (Activa). 3 Escriba un nombre para la regla. 4 Escriba el número que el servicio usa. 5 Escriba la dirección IP del servidor HTTP. 6 Haga clic en Apply (Aplicar). 7 Cortafuegos Puede usar el ZyWALL sin configurar el cortafuegos. El cortafuegos del ZyWALL está preconfigurado para proteger su LAN de ataques desde Internet. Por defecto, no puede entrar ningún tráfico en su LAN a menos que se haya generado una petición en la LAN antes. El ZyWALL permite el acceso a la DMZ desde la WAN o LAN, pero bloquea el tráfico de la DMZ a la LAN. Si usa el ZyWALL en modo enrutador, continúe con la siguiente sección. Para el modo puente, vaya a Sección 9. 55 ESPAÑOL 8 Configuración de reglas VPN Un túnel VPN (Virtual Private Network - Red Privada Virtual) le ofrece una conexión segura a otro ordenador o red. Una política de puerta de enlace identifica a los enrutadores IPSec en ambos extremos del túnel VPN. Una política de red especifica qué dispositivos (detrás de los enrutadores IPSec) pueden usar el túnel VPN. Esta figura ayuda a explicar los campos principales en las pantallas del asistente. 1 Haga clic en VPN en la pantalla HOME (Inicio) (puede que necesite desplazar arriba para ver el enlace) para abrir el asistente para VPN. 56 ESPAÑOL Nota: Su configuración no se grabará cuando haga clic en Back (Atrás). 2 Use esta pantalla para configurar la política de la puerta de enlace. 3 Use esta pantalla para configurar la política de la red. Name (Nombre): Introduzca un nombre para identificar Deje la casilla de verificación Active (Activa) la política de la puerta de enlace. seleccionada. Remote Gateway Address (Dirección de puerta de Name (Nombre): Introduzca un nombre para enlace remota): Introduzca la dirección IP o nombre identificar la política de la red. del dominio del enrutador IPSec remoto. Seleccione Single (Una) e introduzca la dirección IP para una única dirección IP. Seleccione Range IP (Rango IP) e introduzca las direcciones IP inicial y final para un rango específico de direcciones IP. Seleccione Subnet (Subred) e introduzca la dirección IP y la máscara de subred para especificar las direcciones IP en una red por su máscara de subred. 57 ESPAÑOL Nota: Compruebe que el enrutador IPSec usa la misma configuración de seguridad que la que configurará en las siguientes dos pantallas. Negotiation Mode (Modo de negociación): Seleccione Main Mode (Modo principal) para la protección de la identidad. Seleccione Aggressive Mode (Modo agresivo) para permitir que más conexiones entrantes desde direcciones IP dinámicas usen contraseñas separadas. Nota: SAs (asociaciones de seguridad) múltiples conectadas a través de una puerta de enlace segura deben tener el mismo modo de negociación. Encryption Algorithm (Algoritmo de cifrado): Seleccione 3DES o AES para un cifrado más fuerte (y más lento). Authentication Algorithm (Algoritmo de autenticación): Seleccione MD5 para una seguridad mínima o SHA-1 para una mayor seguridad. Key Group (Grupo de claves): Seleccione DH2 para una mayor seguridad. SA Life Time (Temporizador de SA): Ajuste la frecuencia con que ZyWALL negocia la IKE SA (mínimo 180 segundos). Una vida de SA corta aumenta la seguridad, pero la negociación desconecta temporalmente el túnel VPN. Pre-Shared Key (Clave pre-compartida): Use 8 a 31 caracteres ASCII sensibles a mayúsculas o 16 a 62 caracteres hexadecimales ("0-9", "A-F"). Precede una clave hexadecimal con un "0x” (cero x), que no cuenta como parte del rango de caracteres 16 a 62 para la clave. Encapsulation Mode (Modo de encapsulación): Tunnel (Túnel) es compatible con NAT, Transport (Transporte) no lo es. IPSec Protocol (Protocolo IPSec): ESP es compatible con NAT, AH no lo es. Perfect Forward Secrecy (PFS): None (Ninguno) permite una configuración IPSec más rápida, pero DH1 y DH2 son el modo seguro. 58 ESPAÑOL 4 Use esta pantalla para establecer la configuración de túnel IKE (Internet Key Exchange - Intercambio de Claves de Internet). 5 Use esta pantalla para establecer la configuración IPSec. 59 ESPAÑOL 6 Compruebe su configuración VPN. Haga clic en Finish (Finalizar) para guardar la configuración. 7 Haga clic en Close (Cerrar) en la pantalla final para completar la configuración del asistente para VPN. Continúe con la siguiente sección para activar la regla VPN y establecer una conexión VPN. 8.1 Usar la conexión VPN Use túneles VPN para enviar y recibir archivos con seguridad y permitir el acceso remoto a redes corporativas, servidores de web y correo electrónico. Los servicios funcionan igual que si estuviese en la oficina en lugar de estar conectado a Internet. 60 ESPAÑOL Por ejemplo, la regla VPN “test” (prueba) permite un acceso seguro a un servidor web en una LAN corporativa remota. Introduzca la dirección IP del servidor (10.0.0.23 en este ejemplo) como URL en su explorador. El ZyWALL construye automáticamente un túnel VPN cuando intenta usarlo. Haga clic en VPN en el panel de navegación y luego en la ficha SA Monitor (monitor SA) para mostrar una lista de los túneles VPN conectados (el túnel VPN “test” (prueba) está aquí). 9 Registro del producto myZyXEL.com myZyXEL.com es el centro de servicios en línea de ZyXEL donde podrá registrar su dispositivo ZyXEL. 1 Vaya a myZyXEL.com usando su explorador. 2 Cree una nueva cuenta (si todavía no tiene una). Nota: Saldrá automáticamente de la cuenta myZyXEL.com tras cinco minutos de inactividad. Simplemente vuelva a entrar en su cuenta myZyXEL.com si esto ocurre. 61 ESPAÑOL 3 Tras crear una cuenta, recibirá un correo electrónico de confirmación. Haga clic en la URL del correo electrónico para activar su cuenta. 4 Haga clic en Continue (Continuar) para ir a la pantalla de acceso de myZyXEL.com. 62 ESPAÑOL 5 Acceda. 6 Haga clic en el enlace y registre su dispositivo ZyXEL. 7 Haga clic en Add (Agregar). 63 ESPAÑOL 8 Introduzca el número de serie del producto en el campo Serial Number (Número de serie). 9 La categoría del dispositivo y número de modelo aparecen automáticamente en los campos Category (Categoría) y Model (Modelo) respectivamente. En caso contrario, seleccione los correctos de los cuadros de listas desplegables. 10Introduzca la dirección MAC del dispositivo en el campo Authentication Code (Código de autenticación) (puede que ya se vea). 11Introduzca un nombre de descripción en el campo Friendly Name (Nombre amigable) para la identificación. 12Haga clic en Registrar. 13Especifique la información de compra y haga clic en Continuar. 14Haga clic en Continuar de nuevo para completar el proceso. 64 ESPAÑOL 15Tras haber registrado el dispositivo ZyXEL, podrá ver los detalles de su registro en la pantalla Service Management (Administración del servicio). El dispositivo ZyXEL ya está registrado, pero la filtración de contenidos no está activada. Para activar la filtración de contenidos, deberá acceder a myZyXEL.com a través de su dispositivo. Continúe con la siguiente sección. 10 Filtrado de contenidos Cuando registre y active la filtración de contenidos de la base de datos externa, su ZyWALL accederá a una base de datos externa que tiene millones de sitios web clasificados según su contenido. Puede que el ZyWALL bloquee y/o acceda a los sitios web basándose en estas categorías. Registre su ZyWALL en myZyXEL.com (ver Sección 9) y luego realice lo siguiente para registrarse para la filtración de contenidos de la base de datos externa. 65 ESPAÑOL 1 En el configurador web del dispositivo ZyXEL, haga clic en el botón CONTENT FILTER (Filtro de contenidos), Categories (Categorías) y luego en Register (Registrar). Nota: Puede usar las pantallas CONTENT FILTER (Filtro de contenidos) del configurador web del ZyWALL para configurar y activar el filtrado de contenidos. 2 Se abrirá la pantalla de acceso a myZyXEL.com. 3 Introduzca el nombre de usuario y contraseña de su cuenta myZyXEL.com. 4 Haga clic en My Product (Mi producto) en el panel de navegación. 5 Haga clic en el enlace del nombre del producto de su dispositivo para ver sus detalles de registro en la pantalla Service Management (Administración del servicio). 66 ESPAÑOL 6 Haga clic en Activate (Activar) para que el servicio de filtro de contenidos aparezca en la siguiente pantalla. 7 Si desea usar la versión de prueba, haga clic en Submit (Enviar) en Content Filtering Trial (Prueba de filtrado de contenidos). El período de prueba comienza desde la fecha en que aplique. No puede aplicar una prueba si ya ha usado un número PIN de iCard de prueba o registrado. Si ha comprado una iCard, introduzca el código PIN exactamente como aparece en su iCard en el campo License Key (Clave de licencia) (código PIN). Seleccione la fecha cuando desea que la filtración de sus contenidos comience y haga clic en Submit (Enviar) en Registration Information (Información del registro). 67 ESPAÑOL 8 Aparecerá una pantalla mostrando que el servicio se ha registrado. Haga clic en Continue (Continuar) para ir a la pantalla Service Management (Administración del servicio). 9 Si actualmente está usando una prueba, todavía puede registrar el código PIN de una iCard haciendo clic en Upgrade (Actualizar) en el campo Service Activation (Activación del servicio) en la pantalla Service Management (Administración del servicio). 68 ESPAÑOL 11 Solución de problemas Problema Solución Ninguno de los LEDs se enciende. Asegúrese de haber conectado el cable de alimentación al ZyWALL y si lo ha enchufado en una fuente de alimentación apropiada. Compruebe que el ZyWALL está encendido. Compruebe todas las conexiones de los cables. Si los LEDs todavía no se encienden, puede que tenga un problema de hardware. En este caso, debería contactar con su vendedor local. No se puede acceder al ZyWALL desde la LAN. Compruebe la conexión de cables entre el ZyWALL y su ordenador o hub. Consulte Sección 1 para más detalles. Realice un ping al ZyWALL desde un ordenador LAN. Compruebe que la tarjeta Ethernet de su ordenador esté instalada y funcione correctamente. En el ordenador, haga clic en Inicio, (Todos los) programas, Accesorios y luego en Símbolo del sistema. En la ventana del Símbolo del sistema, escriba "ping" seguido por la dirección IP LAN del ZyWALL (192.168.1.1 es la predeterminada) y pulse [ENTRAR]. El ZyWALL debería responder. En caso contrario, consulte Sección 11.1. Si ha olvidado la contraseña del ZyWALL, use el botón RESET . Mantenga pulsado el botón durante unos 10 segundos (o hasta que el LED PWR comience a parpadear), a continuación suéltelo. Esto devolverá al ZyWALL la configuración predeterminada de fábrica (la contraseña es 1234, dirección IP LAN 192.168.1.1 etc.; vea la Guía del usuario para más detalles). Si ha olvidado la dirección IP LAN o WAN del ZyWALL puede comprobar la dirección IP en la SMT a través del puerto consola SMT. Conecte su ordenador al puerto CONSOLE (Consola) usando un cable de consola. Su ordenador debería tener un programa de comunicaciones de emulación de terminales (como HyperTerminal) ajustado a la emulación del terminal VT100, sin paridad, 8 bits de datos, 1 bit de parada, sin flujo de control y una velocidad de puerto de 9600 bps. No puedo acceder Compruebe la conexión del ZyWALL a la clavija Ethernet con acceso a Internet. Compruebe a Internet. si el dispositivo de puerta de enlace de Internet (como un módem DSL) funciona correctamente. Haga clic en WAN en el panel de navegación para verificar su configuración. No puedo establecer una conexión VPN Compruebe si el ZyWALL y el enrutador IPSec usan la misma configuración VPN. Haga clic en VPN en el panel de navegación para establecer la configuración avanzada. Acceda a un sitio web para comprobar si tiene una conexión a Internet correcta. 11.1 Configurar la dirección IP de su ordenador Esta sección le explica cómo configurar su ordenador para recibir una dirección IP en Windows 2000, Windows NT y Windows XP. Esto asegura que su ordenador pueda conectarse con su ZyWALL. 69 ESPAÑOL 1 En Windows XP, haga clic en Inicio, Panel de control. En Windows 2000/NT, haga clic en Inicio, Configuración, Panel de control. 2 En Windows XP, haga clic en Conexiones de red. En Windows 2000/NT, haga clic en Conexiones de red y marcación. 3 Haga clic con el botón derecho en Conexión de área local y haga clic en Propiedades. 4 Seleccione Protocolo Internet (TCP/IP) (en la ficha General en Windows XP) y haga clic en Propiedades. 5 Se abrirá la pantalla Propiedades de Protocolo Internet TCP/IP (la ficha General en Windows XP). Seleccione las opciones Obtener una dirección IP automáticamente y Obtener la dirección del servidor DNS automáticamente. 6 Haga clic en Aceptar para cerrar la ventana Propiedades de Protocolo Internet (TCP/IP). 7 Haga clic en Cerrar (Aceptar en Windows 2000/NT) para cerrar la ventana Propiedades de conexión de área local. 8 Cierre la pantalla Conexiones de red. 11.2 Procedimiento para ver la(s) certificación(es) del producto 1 Vaya a www.zyxel.com. 2 Seleccione su producto de la lista desplegable en la página inicial de ZyXEL para ir a la página de ese producto. 3 Seleccione la certificación que desee visualizar en esta página. 70