Embed Size (px)
Citation preview
Konfigurationsbeispiel ZyWALL USG
Studerus AG, Ringstr. 1, 8603 Schwerzenbach, www.studerus.ch August 2008 / HAL / Seite 1 von 10
Virtual-LAN und Zonen-Konfiguration mit der ZyXEL USG-Firewall Die VLAN-Funktion vereint die Vorteile von Sicherheit und Performance. VLAN eignet sich zur Isolation des Datenverkehrs verschiedener Benutzergruppen (z. B. Abteilungen), was die Sicherheit erhöht. Dieses Beispiel zeigt, wie man über die Funktion 'Virtual LAN' mit einem ZyXEL Switch (z.B. ES-2108) und einer ZyXEL USG-Firewall einsetzt. Jede Abteilung gehört zu einer eigenen Zone, die Zonen werden über die Firewall Regeln von ZyXEL USG getrennt. Für jedes VLAN wird über die Policy-Route-Konfiguration eine Regel für den Internet Zugang festgelegt. Rot = Netzwerk Traffic wird durch Firewall Regeln blockiert
USG
Port1
Lan1 VLAN :101 192.168.101.0/24
Lan2 VLAN:102 192.168.102.0/24
DMZ VLAN:103 192.168.103.0/24
Port2 Port3 Port4
lan1
ES-2108
Konfigurationsbeispiel ZyWALL USG
Studerus AG, Ringstr. 1, 8603 Schwerzenbach, www.studerus.ch August 2008 / HAL / Seite 2 von 10
USG-Firewall Konfiguration Mit Add können neue VLANs erstellen werden:
Erstes VLAN: Interface Name = vlan101, Zone = LAN1, Base Port = lan1, VLAN ID = 101. Das Interface erhält die IP 192.168.101.1 mit der Subnet-Maske 255.255.255.0.
Konfigurationsbeispiel ZyWALL USG
Studerus AG, Ringstr. 1, 8603 Schwerzenbach, www.studerus.ch August 2008 / HAL / Seite 3 von 10
Zweites VLAN: Interface Name = vlan102, Zone = LAN2, Base Port = lan1, VLAN ID = 102. Das Interface erhält die IP 192.168.102.1 mit der Subnet-Maske 255.255.255.0.
Drittes VLAN: Interface Name = vlan103, Zone = DMZ, Base Port = lan1, VLAN ID = 103. Das Interface erhält die IP 192.168.103.1 mit der Subnet-Maske 255.255.255.0.
Konfigurationsbeispiel ZyWALL USG
Studerus AG, Ringstr. 1, 8603 Schwerzenbach, www.studerus.ch August 2008 / HAL / Seite 4 von 10
Adress-Objekte für die Policy und Firewall Regeln erstellen:
Konfigurationsbeispiel ZyWALL USG
Studerus AG, Ringstr. 1, 8603 Schwerzenbach, www.studerus.ch August 2008 / HAL / Seite 5 von 10
Policy Route: Ein Internet-Zugriff ist ohne entsprechende Policy Routing Regeln nicht möglich (gilt für alle VLAN-Zonen). Hinweis: Über die Option Enable BWM wird das Bandbreitemanagement aktiviert, was eine verbesserte Priorisierung des ausgehenden Datenverkehrs ermöglicht. Regel vlan101: Regel aktivieren (Enable), Bezeichnung festlegen (Description), unter Incoming das Interface vlan101 und als Source Address das Objekt vlan101_Netz auswählen. Bei Next-Hope als Type die Option Trunk und als Trunk die Option WAN_TRUNK wählen. SNAT (Source Network Address Translation) auf outgoing-interface umstellen.
Konfigurationsbeispiel ZyWALL USG
Studerus AG, Ringstr. 1, 8603 Schwerzenbach, www.studerus.ch August 2008 / HAL / Seite 6 von 10
Regel vlan102: Regel aktivieren (Enable), Bezeichnung festlegen (Description), unter Incoming das Interface vlan102 und als Source Address das Objekt vlan102_Netz auswählen. Bei Next-Hope als Type die Option Trunk und als Trunk die Option WAN_TRUNK wählen. SNAT (Source Network Address Translation) auf outgoing-interface umstellen.
Konfigurationsbeispiel ZyWALL USG
Studerus AG, Ringstr. 1, 8603 Schwerzenbach, www.studerus.ch August 2008 / HAL / Seite 7 von 10
Regel vlan103: Regel aktivieren (Enable), Bezeichnung festlegen (Description), unter Incoming das Interface vlan103 und als Source Address das Objekt vlan103_Netz auswählen. Bei Next-Hope als Type die Option Trunk und als Trunk die Option WAN_TRUNK wählen. SNAT (Source Network Address Translation) auf outgoing-interface umstellen.
Konfigurationsbeispiel ZyWALL USG
Studerus AG, Ringstr. 1, 8603 Schwerzenbach, www.studerus.ch August 2008 / HAL / Seite 8 von 10
Über das Menü Firewall wird über Firewall-Regeln der Zugriff zwischen den Zonen festgelegt. Der Datenverkehr von vlan101 zu vlan102 wird mit deny gesperrt (und mit log protokolliert):
Der Datenverkehr von vlan101 zu vlan103 wird ebenfalls mit deny gesperrt (und mit log protokolliert):
Wichtig: Die allow-Regeln (erlaubt) müssen immer vor den deny-Regeln (blockiert) stehen, sonst wird die allow-Regel von der Firewall ignoriert. Die Reihenfolge nimmt Einfluss auf die Ausführung von Firewall- und Policy-Route-Regeln (Top-Down-Konzept).
Konfigurationsbeispiel ZyWALL USG
Studerus AG, Ringstr. 1, 8603 Schwerzenbach, www.studerus.ch August 2008 / HAL / Seite 9 von 10
Switch Konfiguration In unserem Konfigurationsbeispiel wird der Port 1 des Switchs an das Interface ge1 (Port1 LAN) der USG-Firewall angeschlossen. VLAN 101: Im Menü VLAN / Static VLAN ein VLAN namens Sales und der Group ID 101 erstellen. Der Port 1 wird auf fixed gesetzt und TX Tagging aktiviert. Der Port 2 für die Zone lan1 wird auf fixed gesetzt, TX Tagging bleibt deaktiviert. Alle anderen Ports auf Forbidden umstellen (kein ausgehender Traffic dieses VLANs erlaubt).
VLAN 102: Im Menü VLAN / Static VLAN ein VLAN namens Marketing und der Group ID 102 erstellen. Der Port 1 wird auf fixed gesetzt und TX Tagging aktiviert (VLAN ID an USG-Firewall weitergeben). Der Port 3 für die Zone LAN2 wird auf fixed gesetzt, TX Tagging bleibt deaktiviert. Alle anderen Ports auf Forbidden umstellen (kein ausgehender Traffic dieses VLANs erlaubt).
Konfigurationsbeispiel ZyWALL USG
Studerus AG, Ringstr. 1, 8603 Schwerzenbach, www.studerus.ch August 2008 / HAL / Seite 10 von 10
VLAN 103: Im Menü VLAN / Static VLAN ein VLAN namens Technik und der Group ID 103 erstellen. Der Port 1 wird auf fixed gesetzt und TX Tagging aktiviert (VLAN ID an USG-Firewall weitergeben). Der Port 4 für die Zone DMZ wird auf fixed gesetzt, TX Tagging bleibt deaktiviert. Alle anderen Ports auf Forbidden umstellen (kein ausgehender Traffic dieses VLANs erlaubt).
Über das Menü VLAN Port Setting werden den Ports die entsprechenden VLAN IDs zugewiesen. Auf Port 2 eingehender Traffic wird mit der PVID 101, Port 3 mit der PVID 102 und Port 4 mit der PVID 103 markiert. Port1 verbleibt auf der PVID 1.
