Más que una Actualización - ZyWALL ZLD v2.20
Upcoming SlideShare
Loading in...5
×

Like this? Share it with your network

Share

Más que una Actualización - ZyWALL ZLD v2.20

  • 1,774 views
Uploaded on

Descubra las mejoras introducidas en la nueva versión de firmware ZLD v2.20 para los dispositivos de la familia ZyWALL USG de ZyXEL.

Descubra las mejoras introducidas en la nueva versión de firmware ZLD v2.20 para los dispositivos de la familia ZyWALL USG de ZyXEL.

More in: Technology
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
1,774
On Slideshare
1,772
From Embeds
2
Number of Embeds
1

Actions

Shares
Downloads
10
Comments
0
Likes
0

Embeds 2

http://www.slideshare.net 2

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide
  • There are 30+ new enhancements in ZLD v2.20, for example: Support EPS (End Point Security) check Windows 7 ready Support MS AD group Support capturing packet in the USG device We also improve those most-concerned issues: Routing problem, packets go to nowhere because those packets was routed by matching direct route rule, not policy route rule. Dual WAN deployment did not work well because policy route rule did not linking to the interface link up/down status. Inconveniently to deploy many 1-to-1 NAT configuration NAT Loopback design did not fit for customer’s wishes Not support Microsoft AD group
  • Check if IPSec VPN could work (yes) Check EPS error message could be customized. (yes)
  • http://www.computerworld.com/s/article/9135795/Study_Facebook_use_cuts_productivity_at_work The original motive of social websites, such as Facebook or LinkedIn, is to connect people, to share information, or to exchange experience through the website. But, the design of social websites is not secure enough, and hackers could easily stole personal information from there. For security concern, we suggest the behavior of accessing social websites should be restricted. Deploy ZyWALL USG as a gateway to block social websites. Blocking Facebook Blocking Plurk Blocking Twitter Blocking youtube Blocking myspace
  • Check with Lionic, and figure out what can USG do… Lionic did not feedback yet. (11/12)
  • Virtual Device Easy to monitor what you care (the device status) Customizable Dashboard Easy to change what you see (personalized GUI looking) Object Reference Easy to find out what you need (used objects) User Friendly Table Operation Easy to sort as your wish
  • Users complained about routing: Why bother to create “policy route” for the following scenarios: NAT 1:1 mapping NAT loopback LAN/WAN traffic routing Site to Site VPN When I setup a policy router rule, why it does not work? Policy route rule did not match because of lower priority than direct route Now ZLD v2.20 fix them all Support policy route auto-creation Change policy route priority higher than direct route
  • When deploying USG to SMB/Enterprise environment, administrators will leverage existing directory server to manage users. In ZLD current design, grouping of external users is not user-friendly – USG used a big group to represent all external users, and group members must be manually-keyed in. ZLD v2.20 support real MS/AD user group Support as many scenarios as possible. (see next page) Need as few configuration steps as possible. Support user could use at most two different identifiers to login. E.g. use “name” or “e-mail address” to login. Support AAA user setting test, MIS could verify if setting is correct.
  • Add: History 3G card list

Transcript

  • 1. ZLD v2.20 Argumentario de Ventas
  • 2. Sumario
    • Tendencias y Retos
    • Introducción al ZLD v2.20
    • Prestaciones Básicas del ZLD v2.20
      • Seguridad en el Extremo Final
      • Control granular sobre las aplicaciones de redes sociales
      • VoIP amigable
      • Windows 7 ready
      • Nuevo Interfaz Gráfico (GUI) más intuitivo
      • Arquitectura de enrutamiento mejorada
      • Integración completa MS AD
    • Apéndice:
      • Evolución histórica del ZLD
      • El ZLD v2.20 en detalle
  • 3. Lo que está ocurriendo a su alrededor:
  • 4. ¿De dónde vienen las amenazas? ZyWALL USG 300 Public Kiosk Home Teletrabajador Oficina Central ZyWALL USG 2000 Protected Servers Sucursal Acceso Remoto IP PBX IP PBX ZyWALL USG 50 DMZ Server SSL VPN IPSec VPN L2 Switch L3 Switch Internet Reducir Amenazas Externas Establecer Túneles VPN Fiables Contra las Acciones de Vulneración de Cualquier Origen Garantizar el Acceso Remoto y Facilitar la Gestión
  • 5. Solución de Seguridad de ZyXEL Seguridad en la Empresa Mitigate External Against Policy Violations from within Establish Reliable VPN Tunnels Guarantees HA & Easy Management Conectividad Segura Solución VPN completa para conexiones entre sucursales y acceso remoto Protección de Red Proactiva Funcionalidad UTM para proporcionar protección exhaustiva frente a amenazas Refuerzo de la Política de Seguridad Política de usuario que permite granularidad en el acceso Gestión y Recuperación de Red Tolerancia a fallos en las rutas de red: Enlace WAN, pasarelas,VPN
  • 6. Tendencias del 2010… Utilización en zonas menos visibles Menor productividad Trabajo en entorno Windows 7 Todos los usuarios deben cumplir la política de seguridad Problemas Amenazas Internas Disponibilidad de Windos 7 Popularidad del Netbook Websites Sociales
  • 7. Conectividad Segura Protección de Red Proactiva Refuerzo de la Política de Seguridad Gestión y Recuperación de Red Seguridad en la Empresa ZyWALL ZLD v2.20: Más que una actualización Incorpora 90+ nuevas mejoras
      • VoIP Amigable
      • Seguridad en el Extremo Final
      • Control Granular sobre Aplicaciones de Redes Sociales
      • Windows 7 ready
      • Nuevo Interfaz Gráfico más Intuitivo
      • Arquitectura de Enrutamiento mejorada
      • Integración Completa MS AD
  • 8. ¿Quién amenaza la red de la empresa? Enterprise Network 1. ¿Firma actualizada? 2. ¿Cortafuegos personal habilitado? Red de la Empresa Refuerzo de la Política de Seguridad Gestión y recuperación de Red Conectividad Segura Protección de Red Proactiva Seguridad en la Empresa Interna Empleado - Invitado Externa
    • Teletrabajador
    • Desde casa
    • Desde el hotel
    Cómo asegurarse de que todos los usuarios cumplen con la política de seguridad
  • 9. Escenario de Despliegue EPS Empleado accediendo desde su casa Empleado accediendo desde el aeropuerto/hotel Externa DMZ (Granja de Servidores) Servidor Email Aplicaciones Web Escritorio Remoto Sistema BI Servidor de aplicaciones (Inventario,almacén..) Sistema OA, ERP Sistema CRM Túnel SSL-VPN Internet LAN User1 LAN User2 Túnel SSL-VPN
    • El administrador puede identificar rápidamente clientes “inseguros”, bloqueando el acceso a Internet/DMZ y forzándoles así a solucionar el problema, p.e. instalando un parche o software AV o actualizando la firma.
    • USG’s EPS puede verificar:
    • Software Anti-Virus
    • Software Cortafuegos
    • Nivel de Servicio OS
    ZyWALL USG Checking: 1. Anti-Virus…………. X 2. Personal Firewall …X 3. OS patch level….…..V The result is NO Access Checking: 1. Anti-Virus…………. V 2. Personal Firewall …V 3. OS patch level….…..V The result is Access Checking: 1. Anti-Virus…………. V 2. Personal Firewall …V 3. OS patch level….…..V The result is Access Interna Refuerzo de la política de Seguridad Gestión y Recuperación de Red Conectividad Segura Protección de Red Proactiva Seguridad en la Empresa
  • 10. Aplicaciones de Redes Sociales
    • El motivo original de las redes sociales, como Facebook o LinkedIn, es conectar personas, compartir información o intercambiar experiencias a travésde la web.
    Las encuentas indican que el 77% de los usuarios de Facebook acceden a la red en horas de trabajo – Computerworld (Julio) Disminución de la Productividad Gestión y Recuperación de Red Conectividad Segura Protección de Red Proactiva Refuerzo de la Política de Seguridad Enterprise Security
  • 11. Control granular de las aplicaciones de redes sociales El ZyWALL USG puede limitar el acceso… Juego de Facebook Todas a la Vez Una a una All Stop Gestión y Recuperación de Red Conectividad Segura Protección de Red Proactiva Refuerzo de la Política de Seguridad Seguridad en la Empresa
  • 12. VoIP más amigable
    • SIP ALG mejorado soporta despliegue VoIP flexible
      • Soporte de IPPBX en escenario de zona DMZ
    • VoIP BWM de calidad, segura y mejorada
      • La prioridad mayor para el tráfico SIP
      • Soporte de DSCP tag/un-tag para grandes topologías
    USG con IP pública y IP-PBX detrás de USG(DMZ) Simétrico (con IPSec VPN) Gestión y Recuperación de Red Conectividad Segura Protección de Red Proactiva Refuerzo de Política de Seguridad Seguridad en la Empresa
  • 13. SSLVPN Soporta Windows 7
    • Windows 7 se ha lanzado, y el USG lo soporta mediante ZLD v2.20
      • La extensión SSLVPN Secure soporta Windows 7 (32/64 bits)
      • También se soporta Windows 7 con IE8
    Gestión y Recuperación de Red Conectividad Segura Protección de Red Proactiva Refuerzo de la Política de Seguridad Seguridad en la Empresa
  • 14. Serie USG de ZyWALL– Licencia SKU Tipo de Servicio/Prestación USG 2000 USG 1000 USG 300 USG 200 USG 100 ZyXEL Anti-Virus (Certificado ICSA) 1-YR      2-YR      Kaspersky Anti-Virus 1-YR      2-YR      IDP 1-YR      2-YR      Filtrado de Contenidos 1-YR      2-YR      Anti-Spam (incluido) RBL/DNSBL RBL/DNSBL RBL/DNSBL RBL/DNSBL RBL/DNSBL Túneles SSL VPN 5 incluidos 2 incluidos 5 -> 50 5 -> 250 5 -> 750 50 -> 250 50 -> 750 250 -> 750 5 -> 25 5 -> 50 25 -> 50 5 -> 250 25 -> 250 50 -> 250 2 -> 10 2 -> 25 10 -> 25 2 -> 10 2 -> 5 Gestión y Recuperación de Red Conectividad Segura Protección de Red Proactiva Refuerzo de Política de Seguridad Seguridad en la Empresa
  • 15. Interfaz Gráfico más intuitivo (GUI)
    • ¿Qué hay de nuevo en el GUI del ZLD v2.20?
    Dispositivo Virtual Pantallas Personalizables Referencia a Objetos Operación mediante tablas de Usuario amigables Gestión y Recuperación de Red Conectividad Segura Protección de Red Proactiva Refuerzo de la Política de Seguridad Seguridad en la Empresa
  • 16. Dispositivo Virtual
    • GUI Antiguo…
    • GUI Nuevo…
    • El Administrador puede monitorizar el dispositivo virtual para control/gestión remota
      • Muestra Información de Interfaz (Ethernet, PPPoE, USB…)
      • Muestra Información de los LEDs (SYS, PWR…)
    Virtual Device Gestión y Recuperación de Red Conectividad Segura Protección de Red Proactiva Refuerzo de la Política de Seguridad Seguridad en la Empresa
  • 17. Pantalla Personalizable
    • GUI Antiguo…
    • GUI Nuevo…
    Cada bloque era fijo y no se podía eliminar. Permite al administrador crear una página GUI personalizada para mostrar cualquier dispositivo. Gestión y Recuperación de Red Conectividad Segura Protección de Red Proactiva Refuerzo de la Política de Seguridad Seguridad en la Empresa
  • 18. Referencia a Objetos
      • Cuando el administrador intenta eliminar un objeto, el GUI le
      • muestra un mensaje de error.
        • Esto es porque el objeto está relacionado con una determinada política y un objeto
        • en uso no se puede eliminar.
      • En la versión anterior no había mecanismos para que los administradores averiguaran si un objeto estaba relacionado con una política determinada.
      • Ahora los administradores pueden averiguar de una manera sencilla la referencia de los objetos.
    Gestión y Recuperación de Red Conectividad Segura Protección de Red Proactiva Refuerzo de la Política de Seguridad Seguridad en la Empresa
  • 19. Operación mediante Tabla de Usuario Amigable - 1/3
    • La columna se puede mover
    Gestión y Recuperación de Red Conectividad Segura Protección de Red Proactiva Refuerzo de la Política de Seguridad Seguridad en la Empresa
  • 20. Operación mediante Tabla de Usuario Amigable - 2/3
    • La columna se puede ocultar
    Gestión y Recuperación de Red Conectividad Segura Proactive Network Protection Refuerzo de la Política de Seguridad Seguridad en la Empresa
  • 21. Operación mediante Tabla de usuario Amigable - 3/3
    • Las columnas se pueden buscar fácilmente
    Gestión y Recuperación de Red Conectividad Segura Protección de Red Proactiva Refuerzo de la Política de Seguridad Seguridad en la Empresa
  • 22. Arquitectura de Enrutamiento Mejorada
    • Programación sencilla
      • NAT 1:1 mapping
      • NAT loopback
      • Enrutamiento de tráfico LAN/WAN
      • VPN Site to Site
      • Política de enrutamiento Inteligente
        • auto-creación
        • prioridad
    Gestión y Recuperación de Red Conectividad Segura Protección de Red Proactiva Refuerzo de la Política de Seguridad Seguridad en la Empresa
  • 23. Escenario de Despliegue NAT (1) LAN User B LAN User A … … …
    • El NAT “Varios hacia 1” es muy popular entre los usuarios
    • LAN para acceder a Internet.
    • Si se dispone de más de una IP pública para acceder a Internet, se puede usar el NAT “Varios hacia N”.
    Internet Gestión y Recuperación de Red Conectividad Segura Protección de Red Proactiva Refuerzo de la Política de Seguridad Seguridad en la Empresa
  • 24. Escenario de Despliegue NAT (2)
    • Cuando se despliega una Web-site pública localizada en una LAN/DMZ, se puede utilizar el NAT “Uno a uno”.
    • Cuando se despliegan en Internet varias Web-site públicas, se puede utilizar el NAT “Varios uno a uno”.
    Empleado teletrabajador Empleado teletrabajador Partner autorizado Cliente autorizado Granja de Servidores LAN … … 1 -- a --1 LAN/DMZ 1 – a --1 1 – a --1 … … varios 1 – to --1 Internet Gestión y Recuperación de Red Conectividad Segura Protección de Red Proactiva Refuerzo de la Política de Seguridad Seguridad en la Empresa
  • 25. Escenario de Despliegue NAT (3)
    • La validación del “NAT loopback” permite a los usuarios LAN el acceso a las web-site públicas alojadas en la LAN/DMZ mediante dominio público (URL).
    Empleado teletrabajador Empleado teletrabajador Partner autorizado Cliente autorizado Granja de Servidores LAN … … 1 -- a --1 LAN/DMZ 1 – a --1 1 – a --1 … … varios 1 – to --1 NAT Loopback Internet Gestión y Recuperación de Red Conectividad Segura Protección de Red Proactiva Refuerzo de la Política de Seguridad Seguridad en la Empresa
  • 26. Resolución de Problemas sencilla Se necesitaba desplegar una gran cantidad de herramientas para realizar la “captura de paquetes”. Basta con clickar el botón de GUI para capturar paquetes Antes Ahora con ZLD 2.20 Seleccionar “ Captura de Paquetes” Seleccionar interfaz para capturar paquetes Decidir cuántos paquetes capturar Gestión y Recuperación de Red Conectividad Segura Protección de Red Proactiva Refuerzo de la Política de Seguridad Seguridad en la Empresa
  • 27. Integración Completa MS AD
    • Cuando se despliega el USG en entornos de PyMEs y/o empresas, los administradores utilizarán el servidor de directorios existente para gestionar los usuarios.
      • En el diseño actual, la agrupación de usuarios externos no es amigable – El USG utiliza un grupo grande para representar a todos los usuarios externos y los miembros del grupo se tienen que teclear a mano .
    • ZLD v2.20 soporta grupos de usuario MS/AD
      • Soporta tantos escenarios como sean necesarios. (ver pág. Sig)
      • Se necesitan muy pocos pasos de configuración
        • Soporte de dos identificadores diferentes para el login de usuario: . E.g. se puede usar “name” o “e-mail address” para login.
        • Soporta el test de configuración de usuario AAA; MIS verifica si la configuración es correcta.
    Gestión y Recuperación de Red Conectividad Segura Protección de red Proactiva Refuerzo de la Política de Seguridad Seguridad en la Empresa
  • 28. Escenario de Directorio Activo
      • Si la red es muy grande y compleja, estos escenarios pueden coexistir
        • USG puede autenticar usuarios secuencialmente de acuerdo con el método de autenticación.
        • .
    Internet Intranet AD server User could use “name” or e-mail address to login ZyWALL USG Maestro/Backup Autónomo Autónomo 1 2 3 Gestión y Recuperación de Red Conectividad Segura Protección de Red Proactiva Refuerzo de la Política de Seguridad Seguridad en la Empresa
  • 29. ZyXEL le ayuda… Conectividad y confidencialidad incrementada con un TCO inferior Ayuda a las empresas a reforzar la política de seguridad corporativa Implementación de arquitecturas de red redundantes para operar sin interrupciones Refuerzo de la Política de Seguridad Protección de Red Proactiva Conectividad Segura Gestión y Recuperación de Red Red de Empresa Asegurar redes convergentes y otras aplicaciones críticas de negocios
  • 30.
    • Apéndice:
    • Evolución histórica del ZLD
    • El ZLD v2.20 en detalle
  • 31. Evolución de los Productos USG & Firmware ZLD PNeg PyME
    • ZLD 2.10 con USG100/200/2000
    • Dual AV: KAV & ZAV
    • 3G & WLAN
    • Más DDNS: No-IP, DyNU; Peanut
    • Prioridad de tráfico SIP
    • HA: Virtual Mac
    • Usabilidad: GUI simplificado
    • AS (RBL/DNSBL)
    • ZLD 2.11 con la serie USG
    • 3G/WLAN on USG300/1000
    • Aumenta las firmas ZAV a 15k
    • Web Security (ZyXEL Safe Browsing)
    • IP/Mac binding
    • DDNS: 3322 (Principalmente para CN KA)
    • SSLVPN: RDP/VNC, pág.de login de cliente
    • ZLD 2.12 con la serie USG
    • IPSec: VPN fall back & Ping Check
    • HA en modo bridge
    • SSL VPN: Vista, Active X, EPS
    • Política de autenticación (simple NAC)
    • SIP BWM w/o ALG
    • Mejora throughput PPPoE
    • ZLD 2.20 con la serie USG
    • Usabilidad mejorada
    • Mejora BWM
    • Windows 7 ready
    • Seguridad en el punto final
    • Mejora AAA
    • Mejora SIP/ALG
    • Sencilla resolución de incidencias
    • Nuevo diseño del GUI (look & feel mejorado)
    • ZLD 2.00 con USG300/1000
    • Kasperkey AV
    • VPN(IPSec/SSL) híbrido
    • L2TP
    • IDP/ADP
    • Actualización IM/P2P
    ZyWALL USG 2000 con módulo SEM ZyWALL USG 300 ZyWALL USG 1000 ZyWALL USG 200 ZyWALL USG 100
  • 32. Resumen de prestaciones del ZLD v2.20 : (1/2) Prestaciones básicas del ZLD v2.20 Usabilidad Mejorada ¿Qué mejora? Paquete ZLD flujo v2.0 Auto deshabilitación de ruta cuando el siguiente salto está caído El usuario no necesita configurar la ruta por defecto para el tráfico LAN-WAN. El usuario no necesita configurar la routa para el tráfico IPSec Sobreescritura de las rutas Soporta NAT Varios a 1 Soporta NAT sobrecarga Varios a Varios saliente Diseño de Interfaz Unificado Estilo consistente con todos los interfaces USG Referencia a Objetos Muestra “Dónde se utiliza” para cada objeto Mejora CF Prueba de Bypass CF en VPN IPSec BWM ¿Qué mejora? DSCP Etiquetado Diff SERV BWM por marca DSCP Seguridad en el Punto Final ¿Qué mejora? EPS (con SSL VPN) Prueba de seguridad en el punto final contra SSLVPN EPS (con Política de Autenticación) Soporta Kaspersky y muchos otros clientes Windows 7 ready ¿Qué mejora? Mejora SSLVPN Soporte de Windows 7 en túneles SSLVPN
  • 33. Resumen de prestaciones del ZLD v2.20: (2/2) Prestaciones básicas del ZLD v2.20 Aspecto mejorado ¿Qué mejora? GUI v2.0 Utilización de tecnología Web 2.0 (Ajax); más flexible y sencilla Dispositivo virtual en la pantalla Resolución de incidencias más sencilla ¿Qué mejora? GUI v2.0 (aspecto mejorado) Soporte de visualización de log para interfaz origen/destino y protocolo Configuración de captura de paquetes por GUI Control de captura de paquetes desde el GUI Soporta captura simultánea de múltiples interfaces Descarga del fichero PCAPs desde el GUI Varios ¿Qué mejora? Mejora AAA Soporta Grupo de usuarios LDAP Política de autenticación Versión mejorada para forzar la autenticación de usuario Mejora 3G Soporte de más tarjetas 3G (USB) & control consumo 3G Mejora VPN IPSec IPSec HA Auto Fall Back (prestación ZyNOS-alike ) Mejora HA Soporte de Bridge/VLAN en modo Device HA AP Mejora ALG SIP ALG SIP ALG 1.2: Soporte de IPPBX en escenario de zona DMZ Método requerimiento DNS Requerimiento DNS asociado a un determinado interfaz Mejora enrutamiento RIP/OSPF en VLAN
  • 34.
    • Usabilidad Mejorada
    • Paquete ZLD 2.0
    • Mejora de Interfaz Unificada
    • Mejora de CF
    • Referencia a Objetos
  • 35. Problemas en la versión ZLD actual
    • Problemas en las versiones actuales ZLD 2.0x, 2.1x
      • Problema del Servidor Virtual
        • El mapeo 1:1 necesita utilizar políticas de enrutamiento (policy routing)
        • NAT loop back necesita utilizar políticas de enrutamiento (policy routing)
        • No dispone de soporte “Varios uno a uno”
        • Si el mapeo IP es “device unowned IP”, el dispositivo creará un interfaz virtual para la regla de servidor virtual (Se necesita una solución mejor).
      • Enrutamiento
        • El usuario necesita crear políticas de enrutamiento (policy routing) (e.g. tráfico lan , tráfico wlan)
        • La ruta directa siempre tiene una prioridad mayor que la política de enrutamiento
        • Establecer SNAT con “device unowned IP” en la política de enrutamiento no funciona
      • VPN Dependencia a Dependencia necesita política de enrutamiento
  • 36. Nuevo Diseño del Flujo de Paquetes
    • El usuario no necesita establecer una política de enrutamiento para el tráfico por defecto LAN-WAN y el tráfico VPN
    • Ruta de enlace SNAT y WAN por defecto
      • Coexistencia de rutas estáticas y dinámicas
      • Auto creación de política de enrutamiento VPN
    • Soporte de NAT “Varios a Varios” saliente (Proxy ARP)
    • Nueva implementación de NAT loopback
    • La política de enrutamiento puede sobreescribir la ruta directa
  • 37. Cambios en la Tabla de Enrutamiento ZLD Subredes conectadas directamente Ruta estática principal (Linux) Ruta dinámica Política de enrutamiento VPN dinámica Prueba de enrutamiento Versión ZLD 2.1x Subredes conectadas directamente Subredes conectadas directamente Política de enrutamiento Varios 1 a 1 NAT #1,…, #n Auto VPN VPN Site to Site VPN dinámica Versión ZLD 2.20 Prueba de enrutamiento Tabla principal de rutas Enlace WAN por defecto Ruta estática y dinámica Nueva tabla de rutas en ZLD 2.20
  • 38. Enlace WAN por defecto
    • Proporciona un enlace por defecto “SYSTEM_DEFAULT_WAN_TRUNK” que el usuario no puede eliminar.
    • SYSTEM_DEFAULT_WAN_TRUNK añadirá un interfaz Ethernet externo y un ppp/aux/cellular automáticamente.
  • 39. NAT Mejorado
    • Soporta NAT 1 a 1 y varios 1 a 1
    • Nueva implementación de NAT loopback
    • Cambio en el diseño de la Tabla NAT
    Política de enrutamiento SNAT Haciendo SNAT SNAT 1 a 1 (incluyendo varios 1 a 1) Diseño ZLD 2.1x Diseño ZLD 2.20 Comprob. prioridad alta baja Política de enrutamiento SNAT Haciendo SNAT SNAT 1 a 1 (incluyendo varios 1 a 1) NAT Loopback SNAT por defecto
  • 40. SNAT por defecto
    • El tráfico que cumpla con los siguientes criterios realizará la acción indicada.
    • Solamente “interno a externo” realizará SNAT
    SNAT Scenarios (Example) Internal  external On LAN  WAN Access Internet Internal  internal Off LAN  DMZ Access Server external  Internal Off WAN  LAN Serving Internet access external  external Off WAN  WAN Dynamic Route
  • 41. Mejora de la Política de Enrutamiento
    • Objetivo
      • Deshabilitar automáticamente la política de enrutamiento cuando el siguiente salto está caído.
    • Estado del interfaz basado en:
      • Enlace up/down
      • Interfaz habilitado/deshabilitado
      • Prueba de conectividad
      • IP objeto o no
    Activado (verde) Desactivado (gris) Auto-Desactivado (rojo)
  • 42. Mejora de Interfaz Unificado
    • Propósito
      • Proporciona un diseño más flexible y amigable
      • Unifica los formatos de configuración de toda la Serie USG
    • Mejora del ZLD 2.20
      • Nombre de interfaz configurable
      • Muestra la información de puerto en el interfaz Ethernet
      • Propiedad de interfaz
      • Interfaz PPP por defecto de sistema
      • Cambio en diseño de Zona/Enlace
  • 43. Unifica el Nombre de Interfaz para todos los productos
    • Antes del ZLD v2.20
      • Nombre de interfaz en los equipos USG100/200
        • wan1, wan2, opt, lan1, lan2, dmz
      • USG300/1000/2000, ZW1050
        • ge1, ge2, ge3 and so on
    • Después del ZLD 2.20
      • Unifica el nombre de interfaz para todos los modelos
      • El usuario puede definir un nombre determinado
  • 44. Nombre de interfaz configurable (1/2) El usuario puede modificar el nobre de interfaz
    • El nombre de interfaz es configurable
  • 45.
    • El nuevo nombre de interfaz mostrará todas las características que esté utilizando el interfaz
    Nombre de interfaz configurable (2/2) Muestra el nombre de interfaz definido por el usuario
  • 46. Se muestra la información de puerto en el interfaz Interfaz Presentación Ethernet: ge1(wan1), ge2(wan2), ge3(lan1)… P1, P2, P3,… VLAN, PPP Muestra el puerto físico, tal como P1, P2… Bridge n/a WLAN, Cellular Mustra la localización, tal como shot1/shot2 or USB1/USB2 Aux aux
  • 47. Propiedad de interfaz
    • Diferencia los interfaces en varios grupos
    • Diferente programación para propiedades diferentes
      • Página de configuración simplificada en el GUI
    Tipo Interno Externo General Modelo USG 100/200: LAN1, LAN2, DMZ USG 100/200: WAN1, WAN 2 USG 300/1000/2000: ge1, ge2… Set DHCP Client No Soportado Soportado Soportado Set DHCP Server Soportado No Soportado Soportado Set DHCP Relay Soportado No Soportado Soportado Set Default Gateway No Soportado Soportado Soportado Set Metric No Soportado Soportado Soportado Set Ping Check No Soportado Soportado Soportado MAC Address Setting No Soportado Soportado Soportado
  • 48. Interfaz PPP por defecto de sistema
    • Soporta el encadenamiento de múltiples interfaces PPP en un interfaz WAN para el USG 100/200 .
    • Soporta el establecimiento de PPP sobre el interfaz VLAN para el USG 100/200.
    Interfaz PPP por defecto del sistema. El usuario no lo puede eliminar Se pueden añadir/borrar interfaces PPP definidos por el usuario
  • 49. Cambio en el diseño de Zona/Enlace Tipo Antes del ZLD v2.20 Después del ZLD v2.20 ZONA USG 100/200
    • ZONA fija:
    • - WAN,
    • - LAN1,
    • - LAN2,
    • - WLAN,
    • - DMZ,
    • - OPT(sólo para USG200),
    • - SSL_VPN,
    • - IPSec VPN
    • El usuario no puede crear/borrar ZONA
    • ZONE por defecto de sistema:
    • - WAN,
    • - LAN1,
    • - LAN2,
    • - WLAN,
    • - DMZ,
    • - OPT(sólo para USG200),
    • - SSL_VPN,
    • - IPSec VPN
    • El usuario puede crear/borrar ZONA
    USG 300/1000/2000 El usuario puede crear/borrar ZONA ENLACE USG 100/200
    • a. Limitado a 5 ENLACES :
    • -WAN_TRUNK,
    • -WAN_TRUNK2,
    • -WAN_TRUNK3,
    • -WAN_TRUNK4,
    • -WAN_TRUNK5
      • b. El usuario no puede añadir/borrar ENLACE existente
    • No Limitado a 5 ENLACES fijos
    • El usuario puede añadir/borrar ENLACE
    USG 300/1000/2000 El usuario puede añadir/borrar ENLACE
  • 50. Referencia a objeto
    • Modelo actual:
      • Cuando el usuario intenta eliminar un objeto usado, el sistema le enviará un mensaje de error, pero no información adicional.
    • Nuevo diseño:
      • Nuevo mecanismo para obtener todas las referencias por Objeto/Grupo.
  • 51. Referencia a objeto: GUI
  • 52. Mejora de CF
    • Algunos usuarios requieren no hacer verificación de filtrado de contenido cuando atraviesan un túnel VPN
    • Añade un comando CLI al filtro CF Bypass/Inspección en tráfico VPN
  • 53.
    • BWM
    • Etiquetado Diff SERV
    • BWM mediante marca DSCP
  • 54. ¿Qué es el Punto de Código DiffServ (DSCP)? Negocia las condiciones de tráfico/acuerdo de nivel de servicio Define el DSCP de acuerdo con las políticas administrativas : Router de Borde de Red : Router de Núcleo de Red Caracteriza el conformado y marcado del tráfico y el control administrativo Guarantee traffic QoS level based on DSCP
  • 55. Diseño DSCP
    • Objetivo
      • Acondicionamiento, conformado y marcado del tráfico a través de DSCP
      • Soporte del marcado DSCP basado en la capa de aplicación
    • Funcionalidad DSCP en ZLD
      • Marcado: clasificación del tráfico según los valores DSCP de acuerdo con la aplicación o dirección IP de origen/destino, servicio o tipo de usuario.
      • Gestión de ancho de banda: Los paquetes con DSCP diferente recibirán BWM diferenciado.
      • Enrutamiento: Paquetes con etiquetas DSCP diferentes pueden obtener enrutamiento o NAT distintos
    • Combina el control DSCP con las reglas de vigilancia y control de aplicaciones
  • 56.
    • Seguridad en el Extremo Final (EPS)
    • EPS con VPN SSL
    • EPS con Política de Autenticación
  • 57. Lista de aplicaciones que soportan EPS Software Cliente Anti-Virus Software de Cortafuegos Personal Norton_AntiVirus, 2010 Kaspersky_Internet_Security, 2009, 2010 Norton_Internet_Security, 2010 TrendMicro_PC-Cillin_Internet_Security, 2010 Norton_360 Version, version 3 TrendMicro_PC-Cillin_Internet_Security_Pro, 2010 Kaspersky_Anti-Virus, 2009, 2010 Windows_Firewall Kaspersky_Internet_Security, 2009, 2010 Microsoft_Security_Center TrendMicro_PC-Cillin_Internet_Security, 2010 TrendMicro_PC-Cillin_Internet_Security_Pro, 2010 TrendMicro_PC-Cillin_AntiVirus, 2010 Avria AntiVir Personal, 2009 Microsoft_Security_Center
  • 58. EPS con VPN SSL
    • El software de seguridad se distribuye a los dispositivos del usuario final.
    • Se descarga e instala un programa en el extremo final y se comprueba su seguridad mediante el ZyWALL cuando se producen accesos.
    • Si el entorno de operación del extremo final cuadra con los requerimientos de seguridad de la empresa, se permite el acceso.
    • Comprueba el host del cliente para:
      • Instalación y activación de Anti-Virus
      • Instalación y activación de Anti-Spyware
      • Instalación y activación de cortafuegos personal
      • El usuario define la verificación de la configuración interna del S.O, Ej: El registro de Windows
  • 59. Escenario con verificación EPS Servidor de Correo Servidor de Archivos Servidor Web LDAP,RADIUS, Directorio activo Empresa Verifica : Anti-Virus v Anti-spware v Cortafuegos Personal v … . v … . v Verifica : Anti-Virus × Anti-spware v Cortafuegos Personal × … . v … . v Verifica : Anti-Virus × Anti-spware × Cortafuegos Personal × … . × … . × × × ×
  • 60. EPS con Política de Autenticación
    • Mejora la versión de autenticación forzada de usuario.
    • Control de admisión de red.
    • Se realiza la verificación de EPS después de la autenticación de usuario.
    • El usuario puede acceder a la red después de pasar las pruebas de autenticación y EPS.
  • 61.
    • Windows 7 ready
    • Mejora de VPN SSL
  • 62. Soporte de Windows 7 Elementos técnicos/Especs. Despliegue Top-down Nota (4Q'09) (1Q'10) (2Q'10)   ZLD 2.12 patch x ZLD 2.20 ZLD 2.21   Túnel completo SSLVPN: Ejecutar SecuExtender en Windows 7 sí sí sí   Modo proxy SSLVPN : El usuario ejecuta IE8 en Windows 7 sí sí sí   Gestión de dispositivo: El Administrador usa IE8 en Windows 7 sí sí sí   EPS: Establecer regla para detectar Windows 7 no sí sí     (4Q'09) (2Q'10) (4Q'10)   Cliente IPSec VPN (TGB) sí sí sí Versión IPSec : 2.4.204.61.03
  • 63.
    • Aspecto mejorado
    • GUI 2.0
  • 64. Introducción al Interfaz Web GUI 2.0
    • El interfaz Web GUI 2.0 del ZLD está basado en la librería Ext-JS’s de desarrollo, debido a:
      • Altas prestaciones, UI personalizables
      • Modelo de componentes bien diseñado, documentado y extensible
      • Buena compatibilidad con navegadores
  • 65. Propiedad del Interfaz Web GUI 2.0
    • Árbol de menú reorganizado
    • Sencillo de monitorizar el estado del dispositivo
      • Dispositivo Virtual
    • Tablero personalizable
    • Operación mediante tablas amigables
      • Interfaz de configuración más amigable
  • 66.
    • Tablero
    • Monitorización
    • Configuración
    • Mantenimiento
    Árbol de Menú Reorganizado
  • 67. Dispositivo Virtual
  • 68. Tablero Personalizado (1/2)
  • 69. Tablero Personalizado (2/2)
  • 70. Operación mediante Tablas Amigables
  • 71. Configuración Rápida
  • 72.
    • Rápida Resolución de Incidencias
    • LOG in GUI 2.0
    • Herramienta de Depuración
  • 73. LOG
    • Soporta una columna adicional de log
      • Interfaz Origen
      • Interfaz Destino
      • Protocolo
  • 74. Mejora de la Vigilancia de Aplicaciones
    • Soporte de login/logout para usuarios de MSN
      • El usuario XXX de MSN ha hecho log in.
      • El usuario XXX de MSN ha hecho log out.
  • 75. Herramienta de depuración
    • Simplifica la resolución de incidencias
    • Dispone de una página en el GUI para la captura de paquetes
    • Soporta interfaces múltiples para la captura de paquetes
    • Descarga el resultado de la captura de paquetes desde el GUI
  • 76. Varios
  • 77.
    • En el diseño actual del ZLD, la agrupación de usuarios externos no es amigable
      • Utilización de un grupo grande (i.e. ldap-users) para representar todos los usuarios externos
      • Los miembros de grupos definidos por el usuario se tienen que introducir a mano
    • El nuevo diseño:
      • Representa a cada usuario independientemente, en vez de agruparlos en grupos de cientos
      • Soporta tantos escenarios como sean necesarios
      • Necesita menos pasos de configuración
    Mejora AAA
  • 78. Mejora AAA - Alcance del diseño
    • Esta mejora sólo se aplica a aquellos servicios que son conscientes de la existencia de los usuarios (user-aware services) y soportan AAA externa
      • Los servicios que soportan AAA externa autentican a los usuarios mediante un servidor AAA externo
        • weblogin , L2TP, x-auth, WLAN
      • Los servicios conscientes de la existencia de usuario (user-aware) notifican las características del usuario acerca del estado de login/logout.
        • weblogin , dialin, ftp, login, ssh
      • A partir de ahora, solamente se considerará el caso
        • weblogin
  • 79. Control de Uso: 3G
    • Control de uso de las redes 3G mediante:
      • Tiempo de uso
      • Datos transmitidos
    • Acciones soportadas:
      • Log/Alert
      • Caída de conexión
  • 80. VPN IPSec : Fall Back
    • Fail Over: Negociación de túnel con un gateway remoto secundario cuando el primario se ha caído
    • Fall Back: Permite la re-conexión del túnel al gateway remoto primario, aunque el secundario esté activo
    • Si el gateway remoto secundario está activo, se mantiene siempre la conexión con él debido a que un “demonio” IPsec registra el gateway remoto caído.
  • 81. VPN IPSec: Auto Fall Back HQ: 172.23.38.1 Fase 1: SG1:172.23.38.10 (A) SG2:172.23.38.20 (B) Gateway seguro A IP:172.23.38.10 Gateway seguro B IP:172.23.38.20 Fail Over Fall Back No Fail Over  No Fall Back Fall Back  Fail Over
  • 82. Mejora del funcionamiento del dispositivo en Alta Disponibilidad (Device HA)
    • Soporta los interfaces Bridge y VLAN en Modo AP Device HA
    • El backup Device HA no realiza NTP Sync (ITS)
  • 83. SIP ALG 1.2
    • Propósito: Soporte de IPPBX en escenarios de zona DMZ
    • Alcance del diseño:
      • Seguimiento de Puertos SIP
        • Escucha de puertos UDP ports sobre SIP: máx 8 puertos
      • Comportamientos:
        • Conexiones SIP relacionadas
          • Ayuda al Agente APP a monitorizar las conexiones SIP
        • NAT ALG
          • Modificación de paquetes en entornos NAT
          • Ayuda a los clientes a constituir conexiones multimedia en entornos NAT
        • Incrementa el “tiempo de vida” de las conexiones SIP
      • Controles personalizados
  • 84. Mejora de la Petición DNS (1/2)
    • Problema actual:
    • El servidor DNS de destino del encaminador de zona se decide mediante el dominio de la FQDN requerida
    • Problema:
      • Las entradas de enrutamiento determinan el interfaz desde el que se enviará la Petición DNS
      • La Petición DNS no será atendida si el servidor DNS de destino que solicita la Petición DNS tiene que proceder de su red ISP
    • Algunos requerimientos DNS con dominio específico necesitan asociarse a un interfaz determinado
  • 85. Mejora de la Petición DNS (2/2)
    • Fuerza al paquete de Petición DNS a estar asociado a un interfaz específico cuando se envía.
      • Nombre de interfaz (ge1, ge2 ..) : El servidor DNS del ISP o el servidor DNS personalizado. La petición DNS estará asociada al interfaz configurado
      • any : Servidor DNS Personalizador. El interfaz de salida para la petición DNS depende de la decisión de enrutamiento
      • túnel : Servidor DNS en la red remota. La petición DNS atravesará el túnel
    Petición DNS www.abc.com Zone Forwarder Table: Domain Server Via abc.com abc WAN2 xyz.com xyz WAN1 Cumple! Petición DNS Dst IP: abc www.abc.com
  • 86. Mejora RIP/OSPF
    • Cuando se edita la VLAN, el usuario puede configurar RIP/OSPF
  • 87. FAQ