más que una actualización - zywall zld v2.20
TRANSCRIPT
ZLD v2.20 Argumentario de Ventas
Copyright©2010 ZyXEL Communications Corporation. All rights reserved.
Sumario Tendencias y Retos
Introducción al ZLD v2.20
Prestaciones Básicas del ZLD v2.20
Seguridad en el Extremo Final
Control granular sobre las aplicaciones de redes sociales
VoIP amigable
Windows 7 ready
Nuevo Interfaz Gráfico (GUI) más intuitivo
Arquitectura de enrutamiento mejorada
Integración completa MS AD
Apéndice:
Evolución histórica del ZLD
El ZLD v2.20 en detalle
Copyright©2010 ZyXEL Communications Corporation. All rights reserved.
Lo que está ocurriendo a su alrededor:
Copyright©2010 ZyXEL Communications Corporation. All rights reserved.
ZyWALL USG 300
Public Kiosk
Home
Teletrabajador
¿De dónde vienen las amenazas?
Oficina Central
ZyWALL USG 2000
Protected Servers
Sucursal Acceso Remoto
IP PBX
IP PBX
ZyWALL USG 50
Internet
DMZ Server SSL VPN
IPSec VPN
Reducir Amenazas ExternasEstablecer Túneles VPN
Fiables
Contra las Acciones de Vulneración de Cualquier Origen
Garantizar el Acceso Remoto y Facilitar la Gestión
L2 Switch
L3 Switch
Copyright©2010 ZyXEL Communications Corporation. All rights reserved.
Mitiga teExte rna l
Against Policy Violations from
within
Establish Reliable VPN Tunnels
Guarantees HA & Easy
Management
Solución de Seguridad de ZyXEL
Seguridad en la
Empresa
Conectividad Conectividad
SeguraSegura
Solución VPN completa para conexiones entre sucursales y acceso remoto
Prote cc ión de Prote cc ión de Re d Proactiva Re d Proactiva
Funcionalidad UTM para proporcionar protección exhaustiva frente a amenazas
Refuerzo de Refuerzo de
la Política de la Política de
SeguridadSeguridadPolítica de usuario que permite granularidad en el acceso
Gestión y Gestión y
Recuperación de Recuperación de
RedRed
Tolerancia a fallos en las rutas de red: Enlace WAN, pasarelas,VPN
Copyright©2010 ZyXEL Communications Corporation. All rights reserved.
Tendencias del 2010…
Popularidad del Netbook
Utilización en zonas menos
visibles
WebsitesSociales
Menor productividad
Trabajo en entorno
Windows 7
Todos los usuarios deben cumplir la
política de seguridad
Problemas
AmenazasInternas
Disponibilidad de Windos 7
Copyright©2010 ZyXEL Communications Corporation. All rights reserved.
Conectividad Conectividad
SeguraSegura
Protección de Protección de Red ProactivaRed Proactiva
Refuerzo deRefuerzo de
la Política dela Política de
SeguridadSeguridad
Gestión y Gestión y
Recuperación Recuperación
de Redde Red
Seguridad en la
Empresa
ZyWALL ZLD v2.20: Más que una actualización
Incorpora 90+ nuevas mejoras
VoIP Amigable
Seguridad en el Extremo Final
Control Granular sobre Aplicaciones de Redes Sociales
Windows 7 ready
Nuevo Interfaz Gráfico más Intuitivo
Arquitectura de Enrutamiento mejorada
Integración Completa MS AD
Copyright©2010 ZyXEL Communications Corporation. All rights reserved.
¿Quién amenaza la red de la empresa? Gestión y recuperación
de Red
Conectividad Segura
Protección de Red Proactiva
Seguridad en la
Empresa
Enterprise Network
Interna
Empleado - Invitado
Externa
Teletrabajador- Desde casa- Desde el hotel
1. ¿Firma actualizada?
Cómo asegurarse de que todos los usuarios cumplen con la política de seguridad
2. ¿Cortafuegos personal habilitado?
Red de la Empresa
Refuerzo de la Política de Seguridad
Copyright©2010 ZyXEL Communications Corporation. All rights reserved.
Empleado accediendo desde su casa
Empleado accediendo desde el aeropuerto/hotel
Externa
DMZ (Granja de Servidores)
Servidor Email Aplicaciones Web
Escritorio Remoto
Sistema BIServidor de aplicaciones
(Inventario,almacén..)
Sistema OA, ERPSistema CRM
Túnel SSL-VPN
Internet
LAN User1LAN User2
Túnel SSL-VPN
El administrador puede identificar rápidamente clientes “inseguros”, bloqueando el acceso a Internet/DMZ y forzándoles así a solucionar el problema, p.e. instalando un parche o software AV o actualizando la firma.USG’s EPS puede verificar:• Software Anti-Virus • Software Cortafuegos• Nivel de Servicio OS
ZyWALL USG ZyWALL USG
Escenario de Despliegue EPS
Checking:1. Anti-Virus…………. X2. Personal Firewall …X3. OS patch level….…..VThe result is NO Access
Checking:1. Anti-Virus…………. V2. Personal Firewall …V3. OS patch level….…..VThe result is Access
Checking:1. Anti-Virus…………. V2. Personal Firewall …V3. OS patch level….…..VThe result is Access
Gestión y Recuperación de
Red
ConectividadSegura
Protección de Red Proactiva
Seguridad en la Empresa
Interna
Refuerzo de la políticade Seguridad
Copyright©2010 ZyXEL Communications Corporation. All rights reserved.
Aplicaciones de Redes Sociales
El motivo original de las redes sociales, como Facebook o LinkedIn, es conectar personas, compartir información o intercambiar experiencias a travésde la web.
Gestión y Recuperación de
Red
ConectividadSegura
Protección de Red Proactiva
Refuerzo de la
Política deSeguridad
EnterpriseSecurity
Las encuentas indican que el 77% de los usuarios de Facebook acceden a la red en
horas de trabajo – Computerworld (Julio)
Disminución de la Disminución de la ProductividadProductividad
Copyright©2010 ZyXEL Communications Corporation. All rights reserved.
Control granular de las aplicaciones de redes socialesAll Stop Gestión y
Recuperación deRed
Conectividad Segura
Protección de Red Proactiva
Refuerzo de la Política de
Seguridad
Seguridad en la
Empresa
El ZyWALL USG puede limitar el acceso…
Juego de Facebook
Todas a la Todas a la VezVez
Una a unaUna a una
Copyright©2010 ZyXEL Communications Corporation. All rights reserved.
VoIP más amigable
SIP ALG mejorado soporta despliegue VoIP flexible Soporte de IPPBX en escenario de zona DMZ
VoIP BWM de calidad, segura y mejorada La prioridad mayor para el tráfico SIP Soporte de DSCP tag/un-tag para grandes topologías
USG con IP pública y IP-PBX detrás de USG(DMZ) Simétrico (con IPSec VPN)
Gestión y Recuperación de
Red
ConectividadSegura
Protección de Red Proactiva
Refuerzo de Política de
Seguridad
Seguridad en la
Empresa
Copyright©2010 ZyXEL Communications Corporation. All rights reserved.
SSLVPN Soporta Windows 7
Windows 7 se ha lanzado, y el USG lo soporta mediante ZLD v2.20
La extensión SSLVPN Secure soporta Windows 7 (32/64 bits)
También se soporta Windows 7 con IE8
Gestión y Recuperación de
Red
ConectividadSegura
Protección de Red Proactiva
Refuerzo de la Política de
Seguridad
Seguridad en la
Empresa
Copyright©2010 ZyXEL Communications Corporation. All rights reserved.
Serie USG de ZyWALL– Licencia SKU
Tipo de Servicio/PrestaciónTipo de Servicio/Prestación USG 2000USG 2000 USG 1000USG 1000 USG 300USG 300 USG 200USG 200 USG 100USG 100
ZyXEL Anti-Virus(Certificado ICSA)
1-YR
2-YR
Kaspersky
Anti-Virus
1-YR
2-YR
IDP1-YR
2-YR
Filtrado de Contenidos
1-YR
2-YR
Anti-Spam (incluido) RBL/DNSBL RBL/DNSBL RBL/DNSBL RBL/DNSBL RBL/DNSBL
Túneles SSL VPN 5 incluidos 2 incluidos
5 -> 50
5 -> 250
5 -> 750
50 -> 250
50 -> 750
250 -> 750
5 -> 25
5 -> 50
25 -> 50
5 -> 250
25 -> 250
50 -> 250
2 -> 10
2 -> 25
10 -> 25
2 -> 10 2 -> 5
Gestión y Recuperación de
Red
ConectividadSegura
Protección de Red Proactiva
Refuerzo de Política de
Seguridad
Seguridad en la
Empresa
Copyright©2010 ZyXEL Communications Corporation. All rights reserved.
Interfaz Gráfico más intuitivo (GUI)
¿Qué hay de nuevo en el GUI del ZLD v2.20?
Gestión y Recuperación de
Red
ConectividadSegura
Protección de Red Proactiva
Refuerzo de la Política de
Seguridad
Seguridad en la
Empresa
Dispositivo Virtual Pantallas Personalizables
Referencia a Objetos Operación mediante tablas de Usuario amigables
Copyright©2010 ZyXEL Communications Corporation. All rights reserved.
Dispositivo Virtual
GUI Antiguo… GUI Nuevo…
Virtual Device
El Administrador puede monitorizar el dispositivo virtual para control/gestión remota
Muestra Información de Interfaz (Ethernet, PPPoE, USB…) Muestra Información de los LEDs (SYS, PWR…)
Gestión y Recuperación de
Red
ConectividadSegura
Protección de Red Proactiva
Refuerzo de la Política de
Seguridad
Seguridad en la
Empresa
Copyright©2010 ZyXEL Communications Corporation. All rights reserved.
Pantalla Personalizable
GUI Antiguo… GUI Nuevo…
Cada bloque era fijo y no se podía eliminar.
Permite al administrador crear una página GUI personalizada para mostrar cualquier dispositivo.
Gestión y Recuperación de
Red
ConectividadSegura
Protección de Red Proactiva
Refuerzo de la Política de
Seguridad
Seguridad en la
Empresa
Copyright©2010 ZyXEL Communications Corporation. All rights reserved.
Referencia a Objetos Cuando el administrador intenta eliminar un objeto, el GUI le
muestra un mensaje de error. Esto es porque el objeto está relacionado con una determinada política y un objeto
en uso no se puede eliminar.
En la versión anterior no había mecanismos para que los administradores averiguaran si un objeto estaba relacionado con una política determinada.
Ahora los administradores pueden averiguar de una manera sencilla la referencia de los objetos.
Gestión y Recuperación de
Red
ConectividadSegura
Protección de Red Proactiva
Refuerzo de la Política de
Seguridad
Seguridad en la
Empresa
Copyright©2010 ZyXEL Communications Corporation. All rights reserved.
Operación mediante Tabla de Usuario Amigable - 1/3
La columna se puede mover Gestión y
Recuperación deRed
ConectividadSegura
Protección de Red Proactiva
Refuerzo de la Política de
Seguridad
Seguridad en la
Empresa
Copyright©2010 ZyXEL Communications Corporation. All rights reserved.
Operación mediante Tabla de Usuario Amigable - 2/3
La columna se puede ocultar
Gestión y Recuperación de
Red
ConectividadSegura
Proactive Network
Protection
Refuerzo de la Política de
Seguridad
Seguridad en la
Empresa
Copyright©2010 ZyXEL Communications Corporation. All rights reserved.
Operación mediante Tabla de usuario Amigable - 3/3
Las columnas se pueden buscar fácilmente
Gestión y Recuperación de
Red
ConectividadSegura
Protección de Red Proactiva
Refuerzo de la Política de
Seguridad
Seguridad en la
Empresa
Copyright©2010 ZyXEL Communications Corporation. All rights reserved.
Arquitectura de Enrutamiento Mejorada
Programación sencilla NAT 1:1 mapping
NAT loopback
Enrutamiento de tráfico LAN/WAN
VPN Site to Site
Política de enrutamiento Inteligente- auto-creación
- prioridad
Gestión y Recuperación de
Red
ConectividadSegura
Protección de Red Proactiva
Refuerzo de la Política de
Seguridad
Seguridad en la
Empresa
Copyright©2010 ZyXEL Communications Corporation. All rights reserved.
Escenario de Despliegue NAT (1)
Internet
LAN User B
LAN User A
…
……
El NAT “Varios hacia 1” es muy popular entre los usuarios LAN para acceder a Internet.
Si se dispone de más de una IP pública para acceder a Internet, se puede usar el NAT “Varios hacia N”.
Gestión y Recuperación de
Red
ConectividadSegura
Protección de Red Proactiva
Refuerzo de la Política de
Seguridad
Seguridad en la
Empresa
Copyright©2010 ZyXEL Communications Corporation. All rights reserved.
Escenario de Despliegue NAT (2)
Internet
Empleado teletrabajador
Empleado teletrabajador
Partner autorizadoCliente autorizado
Granja de Servidores
LAN
… …
1 -- a --1
LAN/DMZ
1 – a --1
1 – a --1
……
varios1 – to --1
Cuando se despliega una Web-site pública localizada en una LAN/DMZ, se puede utilizar el NAT “Uno a uno”.
Cuando se despliegan en Internet varias Web-site públicas, se puede utilizar el NAT “Varios uno a uno”.
Gestión y Recuperación de
Red
ConectividadSegura
Protección de Red Proactiva
Refuerzo de la Política de
Seguridad
Seguridad en la
Empresa
Copyright©2010 ZyXEL Communications Corporation. All rights reserved.
Escenario de Despliegue NAT (3)
Internet
Empleado teletrabajador
Empleado teletrabajador
Partner autorizadoCliente autorizado
Granja de ServidoresLAN
… …
1 -- a --1
LAN/DMZ
1 – a --1
1 – a --1
……
varios1 – to --1
La validación del “NAT loopback” permite a los usuarios LAN el acceso a las web-site públicas alojadas en la LAN/DMZ mediante dominio público (URL).
NAT Loopback
Gestión y Recuperación de
Red
ConectividadSegura
Protección de Red Proactiva
Refuerzo de la Política de
Seguridad
Seguridad en la
Empresa
Copyright©2010 ZyXEL Communications Corporation. All rights reserved.
Resolución de Problemas sencilla
Se necesitaba desplegar una gran cantidad de herramientas para realizar la “captura de paquetes”.
Basta con clickar el botón de GUI para capturar paquetes
Antes Ahora con ZLD 2.20
Seleccionar “Captura de Paquetes”
Seleccionar interfaz para capturar paquetes
Decidir cuántos paquetes capturar
Gestión y Recuperación de
Red
ConectividadSegura
Protección de Red Proactiva
Refuerzo de la Política de
Seguridad
Seguridad en la
Empresa
Copyright©2010 ZyXEL Communications Corporation. All rights reserved.
Integración Completa MS AD
Cuando se despliega el USG en entornos de PyMEs y/o empresas, los administradores utilizarán el servidor de directorios existente para gestionar los usuarios.
En el diseño actual, la agrupación de usuarios externos no es amigable – El USG utiliza un grupo grande para representar a todos los usuarios externos y los miembros del grupo se tienen que teclear a mano.
ZLD v2.20 soporta grupos de usuario MS/AD
Soporta tantos escenarios como sean necesarios. (ver pág. Sig) Se necesitan muy pocos pasos de configuración
Soporte de dos identificadores diferentes para el login de usuario: . E.g. se puede usar “name” o “e-mail address” para login.
Soporta el test de configuración de usuario AAA; MIS verifica si la configuración es correcta.
Gestión y Recuperación de
Red
ConectividadSegura
Protección de red Proactiva
Refuerzo de la Política de
Seguridad
Seguridad en la
Empresa
Copyright©2010 ZyXEL Communications Corporation. All rights reserved.
Escenario de Directorio Activo
ZyWALL USG ZyWALL USG
Internet
Intranet
AD server
Si la red es muy grande y compleja, estos escenarios pueden coexistir
USG puede autenticar usuarios secuencialmente de acuerdo con el método de autenticación.
.
User could use “name” or e-mail address to login
Group 1 Group 2 Group 3
Maestro/Backup Autónomo Autónomo1 2 3
Gestión y Recuperación de
Red
ConectividadSegura
Protección de Red Proactiva
Refuerzo de la Política de
Seguridad
Seguridad en la
Empresa
Copyright©2010 ZyXEL Communications Corporation. All rights reserved.
ZyXEL le ayuda…
Refuerzo Refuerzo
de la Política dede la Política de
SeguridadSeguridad
Protección de Protección de Red ProactivaRed Proactiva
Conectividad Conectividad
SeguraSegura
Gestión y Gestión y
Recuperación Recuperación
de Redde Red
Red de Empresa
Conectividad y confidencialidad
incrementada con un TCO
inferior
Asegurar redes convergentes y
otras aplicaciones críticas de negocios
Ayuda a las empresas a reforzar la política de seguridad
corporativa
Implementación de arquitecturas
de red redundantes
para operar sin interrupciones
Copyright©2010 ZyXEL Communications Corporation. All rights reserved.
Apéndice: Apéndice: • Evolución histórica del ZLDEvolución histórica del ZLD• El ZLD v2.20 en detalleEl ZLD v2.20 en detalle
Copyright©2010 ZyXEL Communications Corporation. All rights reserved.
Evolución de los Productos USG & Firmware ZLD
PN
egP
yME
ZLD 2.10 con USG100/200/2000- Dual AV: KAV & ZAV - 3G & WLAN- Más DDNS: No-IP, DyNU; Peanut- Prioridad de tráfico SIP - HA: Virtual Mac - Usabilidad: GUI simplificado- AS (RBL/DNSBL)
ZLD 2.11 con la serie USG- 3G/WLAN on USG300/1000- Aumenta las firmas ZAV a 15k- Web Security (ZyXEL Safe Browsing)- IP/Mac binding - DDNS: 3322 (Principalmente para CN KA)- SSLVPN: RDP/VNC, pág.de login de cliente
ZLD 2.12 con la serie USG - IPSec: VPN fall back & Ping Check- HA en modo bridge - SSL VPN: Vista, Active X, EPS- Política de autenticación (simple NAC)- SIP BWM w/o ALG- Mejora throughput PPPoE
ZLD 2.20 con la serie USG - Usabilidad mejorada- Mejora BWM - Windows 7 ready- Seguridad en el punto final - Mejora AAA- Mejora SIP/ALG - Sencilla resolución de incidencias- Nuevo diseño del GUI (look & feel mejorado)
ZyWALL USG 2000 con módulo SEM
ZyWALL USG 300
ZyWALL USG 1000
ZyWALL USG 200
ZyWALL USG 100
ZLD 2.00 con USG300/1000- Kasperkey AV-VPN(IPSec/SSL) híbrido- L2TP - IDP/ADP- Actualización IM/P2P
Copyright©2010 ZyXEL Communications Corporation. All rights reserved.
Prestaciones básicas del ZLD v2.20 Prestaciones básicas del ZLD v2.20
Usabilidad MejoradaUsabilidad Mejorada ¿Qué mejora?¿Qué mejora?
Paquete ZLD flujo v2.0
Auto deshabilitación de ruta cuando el siguiente salto está caído
El usuario no necesita configurar la ruta por defecto para el tráfico LAN-WAN. El usuario no necesita configurar la routa para el tráfico IPSec
Sobreescritura de las rutas
Soporta NAT Varios a 1
Soporta NAT sobrecarga Varios a Varios saliente
Diseño de Interfaz Unificado Estilo consistente con todos los interfaces USG
Referencia a Objetos Muestra “Dónde se utiliza” para cada objeto
Mejora CF Prueba de Bypass CF en VPN IPSec
BWMBWM ¿Qué mejora?¿Qué mejora?
DSCP Etiquetado Diff SERV
BWM por marca DSCP
Seguridad en el Punto Final Seguridad en el Punto Final ¿Qué mejora?¿Qué mejora?
EPS (con SSL VPN) Prueba de seguridad en el punto final contra SSLVPN
EPS (con Política de Autenticación) Soporta Kaspersky y muchos otros clientes
Windows 7 readyWindows 7 ready ¿Qué mejora?¿Qué mejora?
Mejora SSLVPN Soporte de Windows 7 en túneles SSLVPN
Resumen de prestaciones del ZLD v2.20 : (1/2)
Copyright©2010 ZyXEL Communications Corporation. All rights reserved.
Prestaciones básicas del ZLD v2.20Prestaciones básicas del ZLD v2.20
Aspecto mejoradoAspecto mejorado ¿Qué mejora?¿Qué mejora?
GUI v2.0 Utilización de tecnología Web 2.0 (Ajax); más flexible y sencilla
Dispositivo virtual en la pantalla
Resolución de incidencias más sencillaResolución de incidencias más sencilla ¿Qué mejora?¿Qué mejora?
GUI v2.0 (aspecto mejorado)
Soporte de visualización de log para interfaz origen/destino y protocolo
Configuración de captura de paquetes por GUI
Control de captura de paquetes desde el GUI
Soporta captura simultánea de múltiples interfaces
Descarga del fichero PCAPs desde el GUI
Varios ¿Qué mejora?¿Qué mejora?
Mejora AAA Soporta Grupo de usuarios LDAP
Política de autenticación Versión mejorada para forzar la autenticación de usuario
Mejora 3G Soporte de más tarjetas 3G (USB) & control consumo 3G
Mejora VPN IPSec IPSec HA Auto Fall Back (prestación ZyNOS-alike )
Mejora HA Soporte de Bridge/VLAN en modo Device HA AP
Mejora ALG SIP ALG SIP ALG 1.2: Soporte de IPPBX en escenario de zona DMZ
Método requerimiento DNS Requerimiento DNS asociado a un determinado interfaz
Mejora enrutamiento RIP/OSPF en VLAN
Resumen de prestaciones del ZLD v2.20: (2/2)
Copyright©2010 ZyXEL Communications Corporation. All rights reserved.
Usabilidad MejoradaUsabilidad Mejorada- Paquete ZLD 2.0- Mejora de Interfaz Unificada- Mejora de CF - Referencia a Objetos
Copyright©2010 ZyXEL Communications Corporation. All rights reserved.
Problemas en la versión ZLD actual
Problemas en las versiones actuales ZLD 2.0x, 2.1x
Problema del Servidor Virtual El mapeo 1:1 necesita utilizar políticas de enrutamiento (policy routing) NAT loop back necesita utilizar políticas de enrutamiento (policy routing) No dispone de soporte “Varios uno a uno” Si el mapeo IP es “device unowned IP”, el dispositivo creará un interfaz
virtual para la regla de servidor virtual (Se necesita una solución mejor).
Enrutamiento El usuario necesita crear políticas de enrutamiento (policy routing) (e.g.
tráfico lan , tráfico wlan) La ruta directa siempre tiene una prioridad mayor que la política de
enrutamiento Establecer SNAT con “device unowned IP” en la política de enrutamiento no
funciona
VPN Dependencia a Dependencia necesita política de enrutamiento
Copyright©2010 ZyXEL Communications Corporation. All rights reserved.
Nuevo Diseño del Flujo de Paquetes
El usuario no necesita establecer una política de enrutamiento para el tráfico por defecto LAN-WAN y el tráfico VPN
Ruta de enlace SNAT y WAN por defecto Coexistencia de rutas estáticas y dinámicas Auto creación de política de enrutamiento VPN
Soporte de NAT “Varios a Varios” saliente (Proxy ARP)
Nueva implementación de NAT loopback
La política de enrutamiento puede sobreescribir la ruta directa
Copyright©2010 ZyXEL Communications Corporation. All rights reserved.
Subredes conectadas directamente
Política de enrutamiento
Varios 1 a 1 NAT #1,…, #n
Auto VPN
VPN Site to Site
VPN dinámica
Versión ZLD 2.20
Prueba de enrutamiento
Tabla principal de rutas
Enlace WAN por defecto
Ruta estática y dinámica
Nueva tabla de rutas en ZLD 2.20
Subredes conectadas directamente
Ruta estática principal (Linux)Ruta dinámica
Política de enrutamiento
VPN dinámica
Prueba de enrutamiento
Versión ZLD 2.1x
Cambios en la Tabla de Enrutamiento ZLD
Subredes conectadas directamente
Copyright©2010 ZyXEL Communications Corporation. All rights reserved.
Enlace WAN por defecto
Proporciona un enlace por defecto “SYSTEM_DEFAULT_WAN_TRUNK” que el usuario no puede eliminar.
SYSTEM_DEFAULT_WAN_TRUNK añadirá un interfaz Ethernet externo y un ppp/aux/cellular automáticamente.
Copyright©2010 ZyXEL Communications Corporation. All rights reserved.
NAT Mejorado Soporta NAT 1 a 1 y varios 1 a 1 Nueva implementación de NAT loopback Cambio en el diseño de la Tabla NAT
Política de enrutamiento SNAT
Haciendo SNAT
SNAT 1 a 1 (incluyendo varios 1 a 1)
Comprob. prioridad
alta
baja
Política de enrutamiento SNAT
Haciendo SNAT
SNAT 1 a 1 (incluyendo varios 1 a 1)
NAT Loopback
SNAT por defecto
Diseño ZLD 2.1x
Diseño ZLD 2.20
Copyright©2010 ZyXEL Communications Corporation. All rights reserved.
SNAT Scenarios (Example)
Internal external On LAN WAN
Access Internet
Internal internal Off LAN DMZ
Access Server
external Internal Off WAN LAN
Serving Internet access
external external Off WAN WAN
Dynamic Route
SNAT por defecto
El tráfico que cumpla con los siguientes criterios realizará la acción indicada.
Solamente “interno a externo” realizará SNAT
Copyright©2010 ZyXEL Communications Corporation. All rights reserved.
Mejora de la Política de Enrutamiento Objetivo
Deshabilitar automáticamente la política de enrutamiento cuando el siguiente salto está caído.
Estado del interfaz basado en: Enlace up/down
Interfaz habilitado/deshabilitado
Prueba de conectividad
IP objeto o no
Activado (verde)Desactivado (gris)
Auto-Desactivado (rojo)
Copyright©2010 ZyXEL Communications Corporation. All rights reserved.
Mejora de Interfaz Unificado
Propósito Proporciona un diseño más flexible y amigable
Unifica los formatos de configuración de toda la Serie USG
Mejora del ZLD 2.20 Nombre de interfaz configurable
Muestra la información de puerto en el interfaz Ethernet
Propiedad de interfaz
Interfaz PPP por defecto de sistema
Cambio en diseño de Zona/Enlace
Copyright©2010 ZyXEL Communications Corporation. All rights reserved.
Unifica el Nombre de Interfaz para todos los productos
Antes del ZLD v2.20
Nombre de interfaz en los equipos USG100/200 wan1, wan2, opt, lan1, lan2, dmz
USG300/1000/2000, ZW1050
ge1, ge2, ge3 and so on
Después del ZLD 2.20 Unifica el nombre de interfaz para todos los modelos
El usuario puede definir un nombre determinado
Copyright©2010 ZyXEL Communications Corporation. All rights reserved.
El usuario puede modificar el nobre de interfaz
Nombre de interfaz configurable (1/2)
El nombre de interfaz es configurable
Copyright©2010 ZyXEL Communications Corporation. All rights reserved.
El nuevo nombre de interfaz mostrará todas las características que esté utilizando el interfaz
Muestra el nombre de interfaz definido por el usuario
Nombre de interfaz configurable (2/2)
Copyright©2010 ZyXEL Communications Corporation. All rights reserved.
Se muestra la información de puerto en el interfaz
Interfaz Presentación
Ethernet:ge1(wan1), ge2(wan2), ge3(lan1)…
P1, P2, P3,…
VLAN, PPP Muestra el puerto físico, tal como P1, P2…
Bridge n/a
WLAN, Cellular Mustra la localización, tal como shot1/shot2 or USB1/USB2
Aux aux
Copyright©2010 ZyXEL Communications Corporation. All rights reserved.
Propiedad de interfaz
Diferencia los interfaces en varios grupos
Diferente programación para propiedades diferentes
Página de configuración simplificada en el GUI
Tipo Interno Externo General
Modelo USG 100/200:LAN1, LAN2, DMZ
USG 100/200:WAN1, WAN 2
USG 300/1000/2000:ge1, ge2…
Set DHCP Client No Soportado Soportado Soportado
Set DHCP Server Soportado No Soportado Soportado
Set DHCP Relay Soportado No Soportado Soportado
Set Default Gateway No Soportado Soportado Soportado
Set Metric No Soportado Soportado Soportado
Set Ping Check No Soportado Soportado Soportado
MAC Address Setting No Soportado Soportado Soportado
Copyright©2010 ZyXEL Communications Corporation. All rights reserved.
Interfaz PPP por defecto del sistema. El usuario no lo puede eliminar
Se pueden añadir/borrar interfaces PPP definidos por el usuario
Interfaz PPP por defecto de sistema Soporta el encadenamiento de múltiples interfaces PPP
en un interfaz WAN para el USG 100/200 . Soporta el establecimiento de PPP sobre el interfaz
VLAN para el USG 100/200.
Copyright©2010 ZyXEL Communications Corporation. All rights reserved.
Cambio en el diseño de Zona/Enlace
Tipo Antes del ZLD v2.20 Después del ZLD v2.20
ZONA
USG 100/200
a. ZONA fija: - WAN, - LAN1, - LAN2, - WLAN, - DMZ, - OPT(sólo para USG200), - SSL_VPN, - IPSec VPNj. El usuario no puede crear/borrar ZONA
a. ZONE por defecto de sistema: - WAN, - LAN1, - LAN2, - WLAN, - DMZ, - OPT(sólo para USG200), - SSL_VPN, - IPSec VPNj. El usuario puede crear/borrar ZONA
USG 300/1000/2000 El usuario puede crear/borrar ZONA
ENLACE
USG 100/200
a. Limitado a 5 ENLACES : -WAN_TRUNK, -WAN_TRUNK2, -WAN_TRUNK3, -WAN_TRUNK4, -WAN_TRUNK5b. El usuario no puede añadir/borrar ENLACE existente
• No Limitado a 5 ENLACES fijos • El usuario puede añadir/borrar ENLACE
USG 300/1000/2000 El usuario puede añadir/borrar ENLACE
Copyright©2010 ZyXEL Communications Corporation. All rights reserved.
Referencia a objeto
Modelo actual: Cuando el usuario intenta eliminar un objeto usado, el sistema
le enviará un mensaje de error, pero no información adicional.
Nuevo diseño: Nuevo mecanismo para obtener todas las referencias por
Objeto/Grupo.
Copyright©2010 ZyXEL Communications Corporation. All rights reserved.
Referencia a objeto: GUI
Copyright©2010 ZyXEL Communications Corporation. All rights reserved.
Mejora de CF
Algunos usuarios requieren no hacer verificación de filtrado de contenido cuando atraviesan un túnel VPN
Añade un comando CLI al filtro CF Bypass/Inspección en tráfico VPN
Copyright©2010 ZyXEL Communications Corporation. All rights reserved.
BWMBWM- Etiquetado Diff SERV
- BWM mediante marca DSCP
Copyright©2010 ZyXEL Communications Corporation. All rights reserved.
¿Qué es el Punto de Código DiffServ (DSCP)?
Negocia las condiciones de tráfico/acuerdo de nivel de servicio Define el DSCP de acuerdo con las políticas
administrativas
: Router de Borde de Red
: Router de Núcleo de Red
Caracteriza el conformado y marcado del tráfico y el control administrativo
Guarantee traffic QoS level based on DSCP
Copyright©2010 ZyXEL Communications Corporation. All rights reserved.
Diseño DSCP
Objetivo Acondicionamiento, conformado y marcado del tráfico a
través de DSCP Soporte del marcado DSCP basado en la capa de aplicación
Funcionalidad DSCP en ZLD Marcado: clasificación del tráfico según los valores DSCP de
acuerdo con la aplicación o dirección IP de origen/destino, servicio o tipo de usuario.
Gestión de ancho de banda: Los paquetes con DSCP diferente recibirán BWM diferenciado.
Enrutamiento: Paquetes con etiquetas DSCP diferentes pueden obtener enrutamiento o NAT distintos
Combina el control DSCP con las reglas de vigilancia y control de aplicaciones
Copyright©2010 ZyXEL Communications Corporation. All rights reserved.
Seguridad en el Extremo Seguridad en el Extremo Final (EPS)Final (EPS)- EPS con VPN SSL
- EPS con Política de Autenticación
Copyright©2010 ZyXEL Communications Corporation. All rights reserved.
Lista de aplicaciones que soportan EPS
Software Cliente Anti-Virus Software de Cortafuegos Personal
Norton_AntiVirus, 2010 Kaspersky_Internet_Security, 2009, 2010
Norton_Internet_Security, 2010 TrendMicro_PC-Cillin_Internet_Security, 2010
Norton_360 Version, version 3 TrendMicro_PC-Cillin_Internet_Security_Pro, 2010
Kaspersky_Anti-Virus, 2009, 2010 Windows_Firewall
Kaspersky_Internet_Security, 2009, 2010 Microsoft_Security_Center
TrendMicro_PC-Cillin_Internet_Security, 2010
TrendMicro_PC-Cillin_Internet_Security_Pro, 2010
TrendMicro_PC-Cillin_AntiVirus, 2010
Avria AntiVir Personal, 2009
Microsoft_Security_Center
Copyright©2010 ZyXEL Communications Corporation. All rights reserved.
EPS con VPN SSL El software de seguridad se distribuye a los dispositivos del
usuario final.
Se descarga e instala un programa en el extremo final y se comprueba su seguridad mediante el ZyWALL cuando se producen accesos.
Si el entorno de operación del extremo final cuadra con los requerimientos de seguridad de la empresa, se permite el acceso.
Comprueba el host del cliente para: Instalación y activación de Anti-Virus
Instalación y activación de Anti-Spyware
Instalación y activación de cortafuegos personal
El usuario define la verificación de la configuración interna del S.O, Ej: El registro de Windows
Copyright©2010 ZyXEL Communications Corporation. All rights reserved.
Internet
Servidor de Correo
Servidor de Archivos
Servidor Web
LDAP,RADIUS,Directorio activo
Empresa
Verifica: Anti-Virus v Anti-spware v Cortafuegos Personal v …. v …. v
Verifica : Anti-Virus × Anti-spware v Cortafuegos Personal × …. v …. v
Verifica: Anti-Virus × Anti-spware × Cortafuegos Personal × …. × …. ×
×
××
Escenario con verificación EPS
Copyright©2010 ZyXEL Communications Corporation. All rights reserved.
EPS con Política de Autenticación
Mejora la versión de autenticación forzada de usuario.
Control de admisión de red.
Se realiza la verificación de EPS después de la autenticación de usuario.
El usuario puede acceder a la red después de pasar las pruebas de autenticación y EPS.
Copyright©2010 ZyXEL Communications Corporation. All rights reserved.
Windows 7 readyWindows 7 ready- Mejora de VPN SSL
Copyright©2010 ZyXEL Communications Corporation. All rights reserved.
Soporte de Windows 7
Elementos técnicos/Especs. Despliegue Top-down Nota (4Q'09) (1Q'10) (2Q'10)
ZLD 2.12patch x
ZLD 2.20 ZLD 2.21
Túnel completo SSLVPN:Ejecutar SecuExtender en Windows 7
sí sí sí
Modo proxy SSLVPN :El usuario ejecuta IE8 en Windows 7 sí sí sí
Gestión de dispositivo:El Administrador usa IE8 en Windows 7
sí sí sí
EPS:Establecer regla para detectar Windows 7
no sí sí
(4Q'09) (2Q'10) (4Q'10) Cliente IPSec VPN (TGB)
sí sí síVersión IPSec : 2.4.204.61.03
Copyright©2010 ZyXEL Communications Corporation. All rights reserved.
Aspecto mejoradoAspecto mejorado- GUI 2.0
Copyright©2010 ZyXEL Communications Corporation. All rights reserved.
Introducción al Interfaz Web GUI 2.0
El interfaz Web GUI 2.0 del ZLD está basado en la librería Ext-JS’s de desarrollo, debido a:
Altas prestaciones, UI personalizables
Modelo de componentes bien diseñado, documentado y extensible
Buena compatibilidad con navegadores
Copyright©2010 ZyXEL Communications Corporation. All rights reserved.
Propiedad del Interfaz Web GUI 2.0
Árbol de menú reorganizado
Sencillo de monitorizar el estado del dispositivo
Dispositivo Virtual
Tablero personalizable
Operación mediante tablas amigables
Interfaz de configuración más amigable
Copyright©2010 ZyXEL Communications Corporation. All rights reserved.
Tablero
Monitorización
Configuración
Mantenimiento
Árbol de Menú Reorganizado
Copyright©2010 ZyXEL Communications Corporation. All rights reserved.
Dispositivo Virtual
Copyright©2010 ZyXEL Communications Corporation. All rights reserved.
Tablero Personalizado (1/2)
Copyright©2010 ZyXEL Communications Corporation. All rights reserved.
Tablero Personalizado (2/2)
Copyright©2010 ZyXEL Communications Corporation. All rights reserved.
Operación mediante Tablas Amigables
Copyright©2010 ZyXEL Communications Corporation. All rights reserved.
Configuración Rápida
Copyright©2010 ZyXEL Communications Corporation. All rights reserved.
Rápida Resolución de Rápida Resolución de IncidenciasIncidencias- LOG in GUI 2.0
- Herramienta de Depuración
Copyright©2010 ZyXEL Communications Corporation. All rights reserved.
LOG Soporta una columna adicional de log
Interfaz Origen Interfaz Destino Protocolo
Copyright©2010 ZyXEL Communications Corporation. All rights reserved.
Mejora de la Vigilancia de Aplicaciones
Soporte de login/logout para usuarios de MSN El usuario XXX de MSN ha hecho log in.
El usuario XXX de MSN ha hecho log out.
Copyright©2010 ZyXEL Communications Corporation. All rights reserved.
Herramienta de depuración
Simplifica la resolución de incidencias
Dispone de una página en el GUI para la captura de paquetes
Soporta interfaces múltiples para la captura de paquetes
Descarga el resultado de la captura de paquetes desde el GUI
Copyright©2010 ZyXEL Communications Corporation. All rights reserved.
VariosVarios
Copyright©2010 ZyXEL Communications Corporation. All rights reserved.
En el diseño actual del ZLD, la agrupación de usuarios externos no es amigable
Utilización de un grupo grande (i.e. ldap-users) para representar todos los usuarios externos
Los miembros de grupos definidos por el usuario se tienen que introducir a mano
El nuevo diseño:
Representa a cada usuario independientemente, en vez de agruparlos en grupos de cientos
Soporta tantos escenarios como sean necesarios Necesita menos pasos de configuración
Mejora AAA
Copyright©2010 ZyXEL Communications Corporation. All rights reserved.
Mejora AAA - Alcance del diseño
Esta mejora sólo se aplica a aquellos servicios que son conscientes de la existencia de los usuarios (user-aware services) y soportan AAA externa
Los servicios que soportan AAA externa autentican a los usuarios mediante un servidor AAA externo
weblogin, L2TP, x-auth, WLAN
Los servicios conscientes de la existencia de usuario (user-aware) notifican las características del usuario acerca del estado de login/logout.
weblogin, dialin, ftp, login, ssh
A partir de ahora, solamente se considerará el caso weblogin
Copyright©2010 ZyXEL Communications Corporation. All rights reserved.
Control de Uso: 3G
Control de uso de las redes 3G mediante: Tiempo de uso
Datos transmitidos
Acciones soportadas: Log/Alert
Caída de conexión
Copyright©2010 ZyXEL Communications Corporation. All rights reserved.
VPN IPSec : Fall Back
Fail Over: Negociación de túnel con un gateway remoto secundario cuando el primario se ha caído
Fall Back: Permite la re-conexión del túnel al gateway remoto primario, aunque el secundario esté activo
Si el gateway remoto secundario está activo, se mantiene siempre la conexión con él debido a que un “demonio” IPsec registra el gateway remoto caído.
Copyright©2010 ZyXEL Communications Corporation. All rights reserved.
VPN IPSec: Auto Fall Back
HQ: 172.23.38.1
Fase 1:SG1:172.23.38.10 (A)SG2:172.23.38.20 (B)
Gateway seguro AIP:172.23.38.10
Gateway seguro BIP:172.23.38.20
Fail Over
Fall Back
No Fail Over No Fall Back
Fall Back Fail Over
Copyright©2010 ZyXEL Communications Corporation. All rights reserved.
Mejora del funcionamiento del dispositivo en Alta Disponibilidad (Device HA)
Soporta los interfaces Bridge y VLAN en Modo AP Device HA
El backup Device HA no realiza NTP Sync (ITS)
Copyright©2010 ZyXEL Communications Corporation. All rights reserved.
SIP ALG 1.2
Propósito: Soporte de IPPBX en escenarios de zona DMZ
Alcance del diseño: Seguimiento de Puertos SIP
Escucha de puertos UDP ports sobre SIP: máx 8 puertos
Comportamientos: Conexiones SIP relacionadas
• Ayuda al Agente APP a monitorizar las conexiones SIP
NAT ALG
• Modificación de paquetes en entornos NAT
• Ayuda a los clientes a constituir conexiones multimedia en entornos NAT
Incrementa el “tiempo de vida” de las conexiones SIP
Controles personalizados
Copyright©2010 ZyXEL Communications Corporation. All rights reserved.
Mejora de la Petición DNS (1/2)
Problema actual: El servidor DNS de destino del encaminador de zona se decide
mediante el dominio de la FQDN requerida
Problema: Las entradas de enrutamiento determinan el interfaz desde el que
se enviará la Petición DNS La Petición DNS no será atendida si el servidor DNS de destino
que solicita la Petición DNS tiene que proceder de su red ISP
Algunos requerimientos DNS con dominio específico necesitan asociarse a un interfaz determinado
Copyright©2010 ZyXEL Communications Corporation. All rights reserved.
Mejora de la Petición DNS (2/2)
Petición DNS www.abc.com
Zone Forwarder Table: Domain Server Viaabc.com abc WAN2xyz.com xyz WAN1
Cumple!
Petición DNS
Dst IP: abc
www.abc.com
ISP abc
ISP xyzWAN1
WAN2
DNS Server xyz
DNS Server abc
Internet
Fuerza al paquete de Petición DNS a estar asociado a un interfaz específico cuando se envía.
Nombre de interfaz (ge1, ge2 ..) : El servidor DNS del ISP o el servidor DNS personalizado. La petición DNS estará asociada al interfaz configurado
any: Servidor DNS Personalizador. El interfaz de salida para la petición DNS depende de la decisión de enrutamiento
túnel: Servidor DNS en la red remota. La petición DNS atravesará el túnel
Copyright©2010 ZyXEL Communications Corporation. All rights reserved.
Mejora RIP/OSPF
Cuando se edita la VLAN, el usuario puede configurar RIP/OSPF
Copyright©2010 ZyXEL Communications Corporation. All rights reserved.
FAQ