zyxel bringt zywall usg 3.0 (11:45 uhr, track 1) · zywall usg ist allzeit bereit dank...
TRANSCRIPT
ZyXEL bringt ZyWALL USG 3.0 (11:45 Uhr, Track 1)
Eine Vielzahl neuer Features für Ihre Sicherheit
Alex BachmannProduct Manager
Agenda
IPv6
Content-Filter-Service von CommTouch
Anti-Spam-Service von CommTouch
DHCP-Optionen
3G-Unterstützung
VPN-Erweiterungen
Treiber für IPv6
Benutzer- Zugriff auf IPv6 Applikationen- IPv6 Applikationen anbieten- Lokal erste Erfahrungen sammeln
Internet-Service-Provider- Mangels IPv4 Adressen
Staatliche Regulierung- Anforderung bei öffentlichen Ausschreibungen
ZyWALL USG IPv6 Implementierungs-Plan
Phase I ZLD 3.0
Phase II Phase III
Implemen-tierungs-Fokus
•Dual Stack•6rd & 6to4 transition
tunnel•Host/Router/Firewall
•Dynamic Routing(RIPng, OSPFv3)
•Mullticast•IPSec/DIP/AV•SNMP•DS-Lite (4 over 6)
•SEND•DNSSEC•IKEv2
Grundprizip •6rd wird voraussichtlichin der ISP Phase I vorherrschen(Investitionsschutz)
•Eine Firewall ist notwendig, da kein NAT-Schutz vorhandenbei IPv6
•IPv4 Daten über reine IPv6-Netzwerke leiten mit Dual-Stack Lite
•Weitere Anforderungen anRouting & Sicherheit
• IPv6 hat sich etabliert
•Wechsel soll möglichst einfachsein
ZyWALL USG
Zugriff auf IPv6 Anwendung
IPv6 Internet
IPv4 Internet
IPv6 Anwendung
Dual-StackHost
Zugriff auf IPv6 möglich?
“Dual-Stack” Support für besseres
Management wieACL & QoS
Gateway: mit IPv4 & IPv6 Internet KonnektivitätUnterstützung- Dual-Stack- 6rd
V6 & V4 sind zweiunabhängige Welten
ZyWALL USG
Zugriff auf IPv6 Anw. von Aussenstelle
IPv6 Internet
IPv4 Internet
IPv6 Anwendung
Hauptsitz
FilialeDual-Stack
Host
Dual-StackHost
Zugriffauch auf IPv6?
Gateway: mit IPv4 & IPv6 Internet KonnektivitätUnterstützung- Dual-Stack- 6rd
Filiale ohne IPv6 Internet WAN Link. Zugriff via IPv6 “Manual- Tunnel” zum Hauptsitz
ZyWALL USG
IPv6 Anwendungen anbieten
IPv6 Internet
IPv4 Internet
DMZ
Dual-StackHost
IPv4/IPv6 AnwendungDual-Stack-Server
Wie können Kundenauf unsere IPv6 Anwendungzugreifen?
Gateway: mit IPv4 & IPv6 Internet KonnektivitätUnterstützung- Dual-Stack- 6rd
Firewall-Schutz ist sehr wichtig in einem IPv6 Netzwerk.IPv6 ermöglicht jedem System eine einmalige IP Adresse, einspezifisches System könntedeshalb Ziel eines Angreiferswerden.
ZyWALL USG
IPv6 Anwendung durch IPv6 Netzwerk
IPv6 Internet
IPv4 Internet
DMZ
IPv4/IPv6 Anwendungen
Dual-StackHost
IPv6ISP Netzwerk
Dual-Stack Server
Wie kommeich zu IPv4?
Gateway: mit IPv4 & IPv6 Internet KonnektivitätUnterstützung- Dual-Stack- 6rd
Ohne IPv4 public IP könnenAnwendungen nur via IPv6 angeboten werden
Aktivierung IPv6 auf der ZyWALL USG
Firewall-Regelwerk für IPv6
Agenda
IPv6
Content-Filter-Service von CommTouch
Anti-Spam-Service von CommTouch
DHCP-Optionen
3G-Unterstützung
VPN-Erweiterungen
Content-Filter von CommTouch
BlueCoat Service CommTouch Service
Lizenz BlueCoat CF License CommTouch CF License
Kategorien 78 (inkl. 4 „unsafe“ Kategorien) 64 (inkl. 8 „unsafe“ Kategorien)
unsichereKategorien
-Phishing-Spyware/Malware Sources-Spyware Effects/Privacy Concerns-Proxy Avoidance
-Anonymisierer-Malware-Phishing & Betrug-Botnetze-Netzwerkfehler-Spamseiten-Kompromittiert-Geparkte Domains
Aktion Unsicher: [block|warn|pass] [log]Verwaltet: [block|pass] [log]
Nicht bewertet: [block|warn|pass] [log]Service nicht verfügbar: [block|warn|pass] [log]
MyZyxelReport
Report-Service-Seite für BlueCoat
Report-Service-Seitefür CommTouch
Content-Filter von CommTouch
Content-Filter von CommTouch
Content-Filter von CommTouch
Content-Filter
• Unterstützung von Wildcards bei Trusted-/Forbidden-Domains
Agenda
IPv6
Content-Filter-Service von CommTouch
Anti-Spam-Service von CommTouch
DHCP-Optionen
3G-Unterstützung
VPN-Erweiterungen
Anti-Spam 2.0
Anti-Spam 1.0 Anti-Spam 2.0
ZyWALL USGAnti-SpamTechnologie-Elemente
White ListBlack ListRBL/DNSBL
White ListBlack ListRBL/DNSBLSender-basierender IP-Reputationsfilter
Commtouch RPD Query
Virus OutbreakProtection
Anti-Spam 2.0 Key-Features
• Real-time Response• Hohe Performance• Schützt Privatsphäre• Wesentlich bessere Erkennungsrate
Bessere Erkennungsrate
Sender-basedIP-Rep. Filter
Query-based Message Digest
ZyWALL USG Anti-Spam 2.0
Real-time Response
USG
ZyWALL USG ist allzeit bereit dank CommTouch’s RPD-Technologie
Anti-Spam 2.0 GUI Preview
Anti-Spam 2.0 GUI Preview
Anti-Spam 2.0
Unterstützt:• SMTP und POP3 Port konfigurierbar• X-Header
Nicht unterstützt:• IMAP4• Port-less
Agenda
IPv6
Content-Filter-Service von CommTouch
Anti-Spam-Service von CommTouch
DHCP-Optionen
3G-Unterstützung
VPN-Erweiterungen
Unterstützung von DHCP-Optionen
Diese DHCP-Optionen sind in Version 3.0 unterstützt:• 4 Time Server• 42 Network Time Protocol Servers• 66 TFTP Server Name• 67 Bootfile Name• 120 SIP Server• 124 Vendor Identifying Vendor Class• 125 Vendor Identifying Vendor Specific Information• 138 Kontrolle und Provisionierung von WLAN AP-Kontroller• 150 TFTP Server Adress Option
Konfiguration im Web-GUI
Zentrales wireless AP Deployment
Internet
Filiale
Hauptsitz
Shop
DHCP Optionkonfiguriert
DHCP Optionkonfiguriert
DHCP OptionkonfiguriertDHCP Option
gibt IP-Adressedes Kontrollers bekannt
Provisionierung und Steuerung von wireless APs dank DHCP Options
IP-Phone-Deployment – DHCP-Option 66/67
Firmware server
Internet
IP PBX(Provisioning server)
DHCP Optionen ermöglichen Auto-
Provisionierung von snom IP-Phones
DHCP Optionen geben die URL des
Provisionierungs-Server bekannt
Agenda
IPv6
Content-Filter-Service von CommTouch
Anti-Spam-Service von CommTouch
DHCP-Optionen
3G-Unterstützung
VPN-Erweiterungen
3G-Konnektivität
• Unterstützung weiterer 3G USB-Sticks• 3G generischer Treiber im Betatest
Agenda
IPv6
Content-Filter-Service von CommTouch
Anti-Spam-Service von CommTouch
DHCP-Optionen
3G-Unterstützung
VPN-Erweiterungen
Erweiterungen VPN
• VPN-Fall-Back unterstützt auch bei USG 20/50• L2TP über IPSec unterstützt auch bei USG 20/50
(wichtig mit iPhones)• SHA2 Unterstützung (SHA256 & SHA512) für Authentifizierung• Tunnel-basierend MSS Adjustment• IPSec Rule-Swapping• SSL-VPN File-Sharing für Windows 2008• Easy VPN-Client-Deployment
WAN1 WAN2
WAN1 WAN2
WAN1
VPN High-Availability
Internet
Hauptsitz
Filiale ANetzwerk
Filiale BNetzwerk
Heute verfügbar• Site-to-site IPSec VPN
ApplicationEine Seite hat ein WAN und die Gegenstelle hat Dual-WAN.
VPN Failover / Failback
verfügbar in 3.0• Unterstützt beide Seiten mit
dual-WAN
Web-GUI in Deutsch & Französisch
Debugging einfacher dank Routing-Flow
ZLD 3.0 Lancierung
• Lancierung Januar 2012• Tipps zum Update• Performancesteigerung
• Wir freuen uns auf das kostenlose Firmware-Update!