Application Guide ZyXEL ZyWALL SSL 10



Documents pareils
Accès aux Applications comme OWA, FTP, RDP et File-Sharing via SSL-VPN. ZyWALL Firewall LAN IP: DMZ IP:

Réserve Personnelle. Persönliche Reserve. Emprunter et épargner en fonction de vos besoins. Leihen und sparen je nach Bedarf

Exemple de configuration ZyWALL USG

Products Solutions Services. Enterprise Installationsanleitung Installation Guide Guide d installation

printed by

INTRANET: outil de Knowledge management au sein de l entreprise

Vorschlag für den Studienverlauf im Doppelmaster ICBS-LEA Programme d Etudes pour le double Master LEA-ICBS

SWISS MASTER SERIES D YVERDON-LES BAINS les 30 avril, 1er et 2 mai Exclusivement par Internet sur le site de Swiss Badminton

Wie können meine Abschlüsse in Frankreich anerkannt werden?

Nouvelle génération, plus performante

CAHIER DES CLAUSES TECHNIQUES

TARMAC.BE TECHNOTE #1

Le vote électronique E -Voting. Kanton Luzern.

Exemple de configuration USG

Le vote électronique e-voting

Authentification forte avec les USG

Your Pirelli VDSL router has been preconfigured with the following settings:

Portrait Société. Relations. Données éconographiques locales. Contacts

Wandluftdurchlass WAVE-ARC Typ WA Diffuseur mural WAVE-ARC type WA

Appliances d accès distant sécurisé pour PME, la série SRA

Utiliser le portail d accès distant Pour les personnels de l université LYON1

Groupe Eyrolles, 2006, ISBN : X

Feuille de données du système BASWAphon Base. Edition 2012 / 2

LAB : Schéma. Compagnie C / /24 NETASQ

Guide d installation. Routeur ZyWall 2 plus

Videoüberwachung Surveillance vidéo

Trittschallelemente. Lw*=16 db. Schall-Isostep HT-V: Allgemeines/Elément insonorisant Isostep HT-V, Généralités

AUFZIEHSERVICE SERVICE DE LAMINAGE

Anmeldung / Inscription

ist illegal. die ohne geregelten Aufenthalt in der Schweiz leben. Aucune Une campagne concernant toute la Suisse

Parcage. Bases légales. Office des ponts et chaussées du canton de Berne. Tiefbauamt des Kantons Bern. Bau-, Verkehrsund Energiedirektion

TUTORIAL ULTRAVNC (EDITION 2)

DÉPÔT À TAUX FIXE FESTGELDKONTO MIT FESTEM ZINSSATZ FIXED RATE DEPOSIT

CONTRAT D ABONNEMENT DUO/TRIO

Ce manuel vous accompagne au long des procédures d installation et de restauration de PheBuX 2004 [alternative solutions]

Motorleistungssteigerung / Tuning moteurs

Schnellverschlusskupplungen in Messing Accouplements rapides en laiton

>> Lisez-moi d abord... Connecter le ZyXEL Prestige 650HW/HW-I

Medienmitteilung zur Konferenz Opendata.ch 2015 am 1. Juli an der Universität Bern

Digital DNA Server. Serveur d authentification multi-facteurs par ADN du Numérique. L authentification de confiance

ACTUATORLINE - TH Serie

Informatique pour Scientifiques I

Firewall ou Routeur avec IP statique

PRESS RELEASE

Stabilité du réseau WiFi

PortWise Access Management Suite

Expérience d un hébergeur public dans la sécurisation des sites Web, CCK. Hinda Feriani Ghariani Samedi 2 avril 2005 Hammamet

Guide d installation. Routeur Zyxel VMG1312

1. Raison de la modification

Betriebsanleitung Programmierkabel PRKAB 560 Mode d emploi Câble de programmation PRKAB 560 Operating Instructions Programming cable PRKAB 560

Guide d utilisation de Secure Web Access

>> Lisez-moi d abord... Connecter le ZyXEL Prestige 642R/R-I

Serveur FTP. 20 décembre. Windows Server 2008R2

CONTRAT D ABONNEMENT DUO/TRIO

Manuel d installation et de maintenance (serrures LR128 E)

LES ACCES DISTANTS ET SECURISES. Installation et utilisation du client. Cisco AnyConnect VPN Client. pour Windows

Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones.

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

Mise en place d un VPN avec authentification forte

MISE EN PLACE DU FIREWALL SHOREWALL

VKF Brandschutzanwendung Nr

DirectAccess Mobilité et nomadisme, mise en oeuvre de la solution Microsoft

Aufnahmeprüfung 2008 Französisch

Guide d installation

Mediacast Setup. Mediacasting from UPnP compatible devices

ADMINISTRATION, GESTION ET SECURISATION DES RESEAUX

Réponses aux questions

ACTION PROFESSIONNELLE N 4. Fabien SALAMONE BTS INFORMATIQUE DE GESTION. Option Administrateur de Réseaux. Session Sécurité du réseau

AUTHENTIFICATION ADAPTATIVE

Information sur l accés sécurisé aux services Baer Online Monaco

z Fiche d identité produit

Installationsanleitung zur Netzwerklizenzierung. Installation instructions for network licensing. Instrucciones de instalación para licencia en red

Base de données du radon en Suisse

CREDIT SUISSE CUP Finale cantonale / Kantonale Finale 7H COTTENS

Figure 1a. Réseau intranet avec pare feu et NAT.

Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

Tunnels et VPN. 22/01/2009 Formation Permanente Paris6 86

1. DÉMARRER UNE SESSION SÉCURISÉE SUR LE MACINTOSH SESSIONS DES APPLICATIONS CLIENTES SUR LE MACINTOSH... 5

On y va! A1. Hinweis für Testende. Einstufungstest. Testaufgaben 1 bis 18: 26 Punkte oder mehr u On y va! A1, Leçon 4

(51) Int Cl.: G06K 19/07 ( ) G06K 19/073 ( )

VKF Brandschutzanwendung Nr

Prérequis techniques

Installation d un serveur virtuel : DSL_G624M

INSTALLING THE DRIVER (WINDOWS 7)

L3 informatique Réseaux : Configuration d une interface réseau

Législation. Loi anti-terrorisme

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

UCOPIA EXPRESS SOLUTION

Serveur de Communications Modulaire

WINDOWS Remote Desktop & Application publishing facile!

Configurer ma Livebox Pro pour utiliser un serveur VPN

Les RPV (Réseaux Privés Virtuels) ou VPN (Virtual Private Networks)

Free Trading. Summer promotion Valable jusqu au 30 septembre 2013 Gültig bis 30. september 2013

Présentation du logiciel Free-EOS Server

Gamme Secure Remote Access pour PME

employé / e de commerce cfc branche Fiduciaire et immobilière kaufmann / kauffrau efz branche treuhand / immobilientreuhand

SIMATIC. SIMATIC STEP 7 PID Professional V12. Welcome Tour. Totally Integrated Automation PORTAL

Configurer le Serveur avec une adresse IP Statique (INTERFACE :FastEthernet) : et un masque

VDE Prüf- und Zertifizierungsinstitut Zeichengenehmigung

Transcription:

Application Guide ZyXEL 10 2009 Copyright by Studerus AG, 8603 Schwerzenbach Vers. 2.0/0905 Änderungen und Irrtümer vorbehalten. Sous réserve de modifi cations et d erreurs. Einsatzszenarien 10 (Seite 2) Options d application 10 (page 5)

Einsatzszenarien Liebe Kundin, lieber Kunde A 10 in eigener Firewall-Zone Vielen Dank, dass Sie sich für ein ZyXEL Produkt Das Beachten ein paar wichtiger Punkte erspart entschieden haben. Ihnen Zeit bei der ersten Inbetriebnahme. Diese Kurzübersicht zeigt Ihnen vier Haupteinsatzvarianten für die 10 auf. Für jedes Szenario ist die grundlegende Implementierung beschrieben. Detaillierte Konfi gurationsbeispiele werden fortlaufend publiziert in der Knowledgebase auf www.studerus.ch/knowledgebase. SSL-Client ZyWALL UTM W DMZ E-Mail-Server File-Share Remote-Desktop 10 Einsatzszenarien A 10 in eigener Firewall-Zone B 10 in DMZ von Firewall/ADSL-Router C 10 im von Firewall/ADSL-/-Router Einsatz: Die 10 wird in einer eigenen Firewall-Zone platziert (Beispiel: die ungenutzte W-Zone der ZyWALL). Nur das - Interface der 10 wird verbunden. Vorteil: Optimale Sicherheit für DMZ und durch Terminierung der Verbindung in einer eigenen Zone. Intrusion-Prevention und Anti-Virus- Überprüfung greifen bei SSL-Verbindungen in der Kombi-Lösung einer ZyWALL UTM, wenn SSL in einer separaten Zone entschlüsselt wird. D 10 direkt im Internet (Cable-Modem/Bridged ADSL-Router) B 10 in DMZ von Firewall/ADSL-Router optional ZyWALL P-662 WICHTIG für alle Varianten: Um Client-SSL-VPN-Verbindungen zu nutzen, muss die 10 registriert werden. Für die volle Funktionalität wird Namensaufl ösung benötigt via DynDNS oder fi xer IP-Adresse mit DNS. SSL-Client-Rechner müssen die Rechte für die Installation von Java Runtime Environment haben. Das -IP-Subnetz der 10 muss sich in jedem Fall von der -, SSL-Client DMZ Resource E-Mail-Server File-Share Remote-Desktop DMZ- und W-Zone der verwendeten Firewall/ADSL-Router unterscheiden. Das -Interface der 10 muss vom SSL-Client via Port 443 erreichbar sein. Einsatz: Die 10 wird in der DMZ Vorteil: Sicherheit für das durch Terminie- Für das Management über das -Interface muss die 10 der Firewall/ADSL-Router platziert (Beispiel: rung der Verbindung in der DMZ. vom SSL-Client via Port 8443 erreichbar sein. ZyWALL oder P-662). Nur das -Interface der SSL 10 wird verbunden. 02

Einsatzszenarien C 10 im von Firewall/ADSL-/-Router D 10 direkt im Internet (Cable-Modem/Bridged ADSL-Router) optional optional ZyWALL P-660/661 P-335 Plus P-660R als Bridge Modem SSL-Client SSL-Client Resource E-Mail-Server File-Share Remote-Desktop Resource E-Mail-Server File-Share Remote-Desktop Einsatz: Die 10 wird im von Vorteil: Einfache Installation bei bestehendem Einsatz: Die 10 wird direkt über Vorteil: Einfache Installation bei bestehendem Firewall/ADSL-/-Router platziert (Beispiel: Internet-Router ohne separate DMZ-Zone. einen Bridged-Router oder ein Cable-Modem mit Internet-Router mit nur einem -Interface ZyWALL oder P-660H/P-661H). Nur das - dem Internet verbunden. Das -Interface der oder einem Cable-Modem. Interface der SSL 10 wird verbunden. 10 wird am Bridged-Router oder am Cable-Modem angeschlossen, das - Interface wird mit den Servern verbunden. Die NAT- und Firewall-Funktion der 10 muss aktiviert werden. Weitere Informationen: www.studerus.ch/knowledgebase Support Hotline: Mo Fr 8.30 12.00 / 13.30 19.00 h Nutzen Sie Ihr Produkt privat an einem einzelnen PC oder kleinen Netzwerk? Wählen Sie: 0900 900 640 Setzen Sie Ihr Produkt in einem Firmennetzwerk ein? Wählen Sie: 0900 900 645 03

Generelle Punkte unabhängig vom Einsatzszenario 1. Authentifizierung 3. Application-Zugriff 4. File-Sharing Die 10 unterstützt drei Authentifizierungsverfahren: Local Users / Group: ideal für kleine Firma ohne Active-Directory und Server-Infrastruktur. AD/LDAP: für KMU. Integration mit Server- Infrastruktur, Vorteil ist, dass keine User-Verwaltung und keine Passwörter auf der ZyWALL SSL 10 gespeichert werden. Die Security-Policy wird auf dem Server administriert. RADIUS mit ZyXEL OTP-Token- (One-Time- Password) Lösung: Zwei-Stufen-Authentifi zierung, hohes Sicherheitslevel, Installation nur auf Windows 2000, 2003 Server mit englischer Sprache empfohlen. 2. End-Point-Security-Kontrolle Der Zugang wird nur nach Prüfung von bestimmten Kriterien gewährleistet. Betriebssystem, Service-Pack, Auto-Update, Antiviren-Software, Browser, Browser-Version, Prozess aktiv, Datei vorhanden usw. End-Point-Security kann für jede User-Group personifi ziert werden Nachteil: wenig Flexibilität für Zugang über einen öffentlichen Ort (Internetcafé, Hotel, usw.) Möglicher Client-Zugriff auf Applikationen (spezifisch für Benutzer/Benutzergruppe zugelassen) Grundsätzlich ist zu unterscheiden zwischen Web-Applikation und Applikation Web-Applikation: unterstützt werden http und https für Applikationen sowie OWA (Outlook Web Access), Web-Server, Mail-Server, Lotus Notes und Share-Point-Portal. Direkter Zugriff erfolgt mit einem Klick im Webportal der 10. RDP lässt sich via ActiveX (nur mit Internet Explorer) starten. VNC, Telnet und SSH können via Java gestartet werden. Mac-Unterstützung: nur Web-Applikationen über Browser «Flock» (www.fl ock.com). Applikation: wie Citrix, FTP, usw. Hier ist eine entsprechende Software-Installation notwendig. Der Server-Zugriff erfolgt über eine virtuelle IP-Adresse (z. B. 127.0.0.2). Eine Custom-Port-Defi nition ist für nicht vordefi nierte Applikationen möglich. Zugriff auf die Dateiverwaltung eines Servers oder NAS (z. B. mit dem ZyXEL NSA-2401). Mögliche Aktionen im Webportal der ZyWALL SSL 10: Datei öffnen, kopieren, umbenennen und löschen. Die Datei-Policy ist auf dem File-Server, NAS defi niert. Empfehlenswert ist das Szenario ZyWALL DMZ/W inklusive UTM für IDP-/Viren- Prüfung. 5. NetExtender Wie traditionelle IPSec-VPNs: Dem Client- PC wird ein virtueller Netzwerkadapter hinzugefügt, um einen Tunnel zwischen den zwei Endpunkten aufzubauen. «Nachteil»: Der Client-Rechner kann das gesamte Netzwerk sehen, darum empfehlenswertes Szenario für ZyWALL DMZ/W mit Firewall-Regel-Prüfung. SSL-Client ist auf gleichem Netz wie der Server. Die Installation des NetExtenders erfordert Administrationsrechte. Wahlweise lässt sich der NetExtender nur temporär installieren. Bei permanenter Installation kann eine gesicherte Verbindung auch unter einem eingeschränkten Benutzerkonto aufgebaut werden. 04

Application Guide ZyXEL 10 français

Options d application Chère cliente, cher client A 10 dans la zone pare-feu particulière Nous vous remercions d avoir choisi un produit En tenant compte de quelques points im- ZyXEL. portants, vous gagnerez du temps lors de Ce guide vous présente les quatre options d application principales du 10. Pour chaque application, nous avons décrit l implémentation de base. l installation initiale de l appareil. Des exemples de confi guration seront publiés au fur et à mesure dans la Knowledgebase sur www.studerus.ch/f/knowledgebase. Client SSL ZyWALL UTM W DMZ Serveur d e-mail Partage de fi chiers Desktop distant Options d application 10 A 10 dans zone pare-feu particulière B 10 dans DMZ du pare-feu/routeur ADSL C 10 dans du pare-feu/routeur ADSL/ D 10 raccordé directement à l Internet (modem câble/ routeur ADSL en mode pont) Application : Le 10 est installé Avantage : Sécurité optimale pour DMZ et dans une zone pare-feu particulière (exemple : la grâce à la terminaison de la connexion dans la zone W non utilisée du ZyWALL). Ce n est zone particulière. Si un 10 est exploité avec un ZyWALL UTM et décrypté dans alors que l interface du 10 qui est connectée. une zone particulière, la prévention d intrusion et le contrôle antivirus sont appliqués pour les connexions SSL. B 10 dans DMZ du pare-feu/routeur ADSL en option ZyWALL P-662 IMPORTANT pour toutes les options : Pour pouvoir utiliser les connexions du client VPN SSL, le 10 doit être enregistré. Pour pouvoir utiliser toutes les fonctions, la résolution de noms est nécessaire, via DynDNS ou une adresse IP fi xe avec DNS. Pour l installation, les ordinateurs client SSL ont besoin des droits de Java Runtime Environment. Le sous-réseau IP du 10 doit toujours être différent de la zone, DMZ et W des pare-feu/routeurs ADSL. Le client SSL doit pouvoir accéder à l interface du 10 via le port 443. Pour la gestion via l interface, le client SSL doit pouvoir accéder au 10 via le port 8443. 06 Client SSL DMZ Application : Le 10 est placé en zone DMZ du pare-feu/routeur ADSL (exemple : ZyWALL ou P-662). Ce n est alors que l interface du 10 qui est connectée. Serveur d e-mail Partage de fi chiers Desktop distant Avantage : Sécurité pour le grâce à la terminaison de la connexion dans la DMZ.

Options d application C 10 dans du pare-feu/routeur ADSL/ D 10 raccordé directement à l Internet (modem câble/routeur ADSL en mode pont) en option en option ZyWALL P-660/661 P-335 Plus P-660R en mode pont Modem Client SSL Client SSL Serveur d e-mail Partage de fi chiers Desktop distant Serveur d e-mail Partage de fi chiers Desktop distant Application : Le 10 est placé dans le du pare-feu/routeur ADSL/ (exemple : ZyWALL ou P-660H/P-661H). Ce n est alors que l interface du 10 qui est connectée. Avantage : Installation facile avec un routeur Internet existant sans zone DMZ particulière. Application : Le 10 est connecté directement à l Internet via un routeur en mode pont ou un modem câble. L interface du 10 est raccordée au routeur en mode pont ou au modem câble, l interface est connectée aux serveurs. La fonction NAT et le pare-feu du 10 doivent être activés. Avantage : Installation facile avec un routeur Internet existant équipé d une seule interface ou un modem câble. Informations supplémentaires : www.studerus.ch/f/knowledgebase Hotline Support : lundi à vendredi 8h30 12h00 /13h30 19h00 Utilisez-vous votre produit dans le domaine privé pour un seul PC ou un petit réseau? Appelez le : 0900 900 641 Utilisez-vous votre produit sur un réseau d entreprise? Appelez le : 0900 900 646 07

Remarques générales indépendantes de l option d application 1. Authentification 3. Accès aux applications 4. Partage de fichiers Le 10 supporte les trois procédés d authentification suivants : Utilisateurs locaux / groupe : idéal pour petites entreprises sans Active-Directory et infrastructure serveur. AD/LDAP : pour PME. Intégration avec l infrastructure serveur. L avantage est que l administration des utilisateurs et les mots de passe ne sont pas sauvegardés sur le 10. La Security Policy est administrée sur le serveur. RADIUS avec solution ZyXEL OTP Token (One Time Password) : authentifi cation à deux niveaux, haut niveau de sécurité, l installation n est conseillée qu avec Windows 2000, 2003 Server en langue anglaise. 2. Contrôle sécurité End Point L accès n est autorisé qu après vérification de certains critères : Système d exploitation, Service Pack, Auto Update, logiciel antivirus, navigateur, version du navigateur, processus actif, fi chier disponible etc. La sécurité End Point peut être personnalisée pour chaque groupe d utilisateurs. Inconvénient : peu de fl exibilité pour l accès via un lieu public (café Internet, hôtel etc.) Le client peut accéder aux applications (autorisation selon l utilisateur ou groupe d utilisateurs). En général, il faut faire la différence entre une application Web et une application. Application Web : prend en charge http et https pour applications et OWA (Outlook Web Access), serveur Web, serveur mail, Lotus Notes et le portail Share Point RDP peut être démarré via ActiveX (seulement avec Internet Explorer). VNC Telnet et SSH peuvent être démarrés via Java. Support Mac : seulement pour les applications Web via le navigateur «Flock» (www. fl ock.com) Application : telle que Citrix, FTP, etc. Il est nécessaire d installer un logiciel. L accès au serveur a lieu via une adresse JP virtuelle (par exemple 127.0.0.2). Une défi nition Custom Port est possible pour des applications qui ne sont pas prédéfi nies. Accès à la gestion des fichiers d un serveur ou NAS (par exemple avec ZyXEL NSA-2400). Actions possibles dans le portail Web du 10 : ouvrir, copier, renommer et effacer le fi chier. La Policy du fi chier est défi nie sur le serveur fi chier, NAS. Il est conseillé d utiliser l option ZyWALL DMZ/ W avec l UTM pour le contrôle IDP/antivirus. 5. NetExtender Comme les VPN IPSec traditionnels : un adaptateur réseau virtuel est ajouté à l ordinateur client afin de construire un tunnel entre les deux points finaux. «Inconvénient» : l ordinateur client a accès à tout le réseau. C est donc une option conseillée pour le ZyWALL DMZ/W avec vérification des règles pare-feu. Le client SSL est sur le même réseau que le serveur. L installation de NetExtender exige des droits d administration. Il est possible d installer NetExtender temporairement. L installation permanente permet d établir une connexion sécurisée pour un compte d utilisateur limité. 08

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back