Embed Size (px)
Citation preview
UTM Unifi ed-Threat-Management
• Kampf gegen Würmer, Trojaner, Viren und Spam• Warum setzt sich UTM durch?• Funktionen der UTM-Firewalls von ZyXEL• Praktische Einsatzbeispiele für KMU• Zentrales Management von Firewalls
Mehrstufi ge Sicherheitdurch Teamwork
Die neue UTM-FirewallHeute gilt der Sicherheitsfokus nicht mehr alleine den Firmendaten, sondern dem gesamten Firmennetzwerk. Die Netzwerkkomponenten sind deshalb zusätzlichen Anforderungen ausgesetzt: Datenpakete sollen neben einer Prüfung der Zugangsberechtigung auch nach Viren, bestimmten Attacken-Mustern und schädlichen Codes untersucht werden. Auch Spam-E-Mails soll eine Firewall ausfi ltern können. Bestehende Stateful-Inspec-tion-Firewalls werden den neuen Gefahren nicht mehr gerecht. «Vereint gegen die Schädlinge» heisst das Motto der neuen Firewall-Generation – oder im Fachjar-gon: UTM = Unifi ed-Threat-Management.
UTM löst bestehende Sicherheitslösungen abVirenschutz, Intrusion-Detection-Prevention, Anti-Spam und Content-Filter bilden mit der Firewall ein vereintes Sicherheitsteam gegen Gefahren. In einer Hardware aufeinander abgestimmt (All-in-One) bilden sie bereits am Gateway eine widerstandsfähige Schranke gegen verschiedenste Angriffe. Wie beim Sport braucht es auch für den Netzwerkschutz mehrere Stufen für die Abwehr des Gegners resp. der Gefahr.
Gründe für All-in-One Im KMU-Markt sind All-in-One-Lösungen der Trend. Höhere Kosten und der schwierige Unterhalt von ver-schiedenen Produkten führen dazu, möglichst viele Sicherheitsaufgaben mit einer Hardware wahrzuneh-men.
02
All-in-One-Sicherheitslösungen
ANTI-SPAM
INTRUSION-PREVENTION
ANTI-VIRUS
WEB-CONTENT-FILTERING
BANDBREITEN-MANAGEMENT
LOAD-BALANCING
VPN
FIREWALL
ZyXEL UTM-FIREWALL
Gefahren in aktiven InhaltenOft nutzen Angreifer Active-Content-Elemente. Vielewichtige Unternehmensanwendungen verwenden eben-falls diese Technik. Solche Applets und ausführbare Da-teien können somit nicht einfach blockiert werden. Wie kann nun der IT-Verantwortliche im aktiven Code Ein-dringlinge nach «gut» und «böse» unterscheiden?
Schwierige ErkennungDie Machenschaften von aktivem Code sind für den An-wender meist unsichtbar. Der Code wird automatisch auf den Rechner geladen, sobald ein Mail empfangen, eine Website aufgerufen oder ein Instant-Messaging-Dienst verwendet wird. Websites können eine ganze Reihe aktiver Inhalte aufweisen wie ActiveX, Java- oder Visual-Basic-Scripts. Diese Programmteile eignen sich für feindliche Aktionen genauso gut wie für die Pro-grammierung von «harmlosen» Websites und Anwen-dungen.
Gefahren durch Peer-to-Peer (P2P)Sicherheitsspezialisten warnen vor Gefahren aus Peer-to-Peer-Filesharings und Instant-Messaging in Unter-nehmen. Beispiele von P2P-Applikationen sind Kazaa, eDonkey, Skype, etc. Diese Anwendungen suchen sich automatisch offene Ports oder kommunizieren über HTTP. So erreichen Viren, Würmer und schadhafte Programme unkontrolliert das Firmennetzwerk. Exzessives Filesharing führt oftmals auch zu Bandbreiten-Problemen. Intrusion-
Detection-Prevention-Systeme sind die einzige Lösung, um P2P-Verbindungen zu blockieren.
Firmen-Mailserver als Spam-SchleuderNicht selten werden Firmen-Netzwerke missbraucht: Zum Beispiel zu Spam-Zwecken, oder um von dort aus unerkannte Angriffe auf ein fremdes Ziel zu starten. Ein solcher Missbrauch bleibt häufi g unbemerkt, ausser man erhält eine Verwarnung seines Providers.
Gefahren lauern auch intern!Gefahren drohen nicht nur aus dem Internet, sondern auch aus dem «sicheren» lokalen Netzwerk. Schädlinge schleust man oft über Notebooks, USB-Memory-Sticks oder VPN-verschlüsselte Verbindungen ein. Durch Mit-arbeiter zugefügte Netzwerkkomponenten, wie z. B. ein eigenes WLAN im Büro ohne entsprechende Konfi gura-tion, durchlöchern das Sicherheitskonzept. Vertrauen in die Mitarbeiter ist wichtig. Die Ausbildung der Mitarbei-tenden, das Durchsetzen von Sicherheitsvorgaben und fortlaufende Kontrollen sind jedoch unerlässliche Mass-nahmen für ein sicheres Netzwerk.
UTM wird heutigen Gefahren gerechtViele der heutigen Gefahren können mit einzelnen Si-cherheitslösungen nicht mehr zuverlässig abgewehrt werden. Ganzheitliche Sicherheitslösungen, bei denen die Firewall als Gateway möglichst viele Sicherheitsfunk-tionen abdeckt, sind deshalb klar der Trend.
Grosse Sicherheitsrisiken
03
Firewall alleine genügt nicht mehrHeute reicht die Installation einer Firewall und Anti-Viren-Lösung nicht mehr aus, um eine ganzheitliche Sicherheit zu gewährleisten. Viele der gegenwärtigen Gefahren erkennt eine reine Firewall aufgrund ihrer Funktion nicht und kann sie deshalb auch nicht ab-wehren.
Ergänzender VirenschutzDie Anti-Viren-Lösung auf dem Gateway ersetzt nicht den bereits vorhandenen Virenschutz auf dem Mailser-ver und Desktop, sondern ergänzt diesen. Das Ziel ist jedoch, möglichst viele Viren bereits beim Eintreffen ins Netzwerk zu neutralisieren.
Firewall übernimmt viele SicherheitsfunktionenDurch das Zusammenspiel von Firewall und Anti-Viren-Lösung, Spam-Filter, Intrusion-Detection-Prevention
und Content-Filter bietet Unifi ed-Threat-Management eine vielschichtige Lösung gegen Gefahren. Oftmals gelangen Viren als Attachment von Spam-Mails ins Netzwerk. Der Spam-Filter kennzeichnet oder löscht den Grossteil der Spam-Flut. Der Viren-Filter überprüft Daten am Gateway und macht die entdeckten Viren unschädlich. Falls trotzdem ein Schädling ins Netzwerk gelangt und aktiv wird, schlägt das Intrusion-Preventi-on-System Alarm und verhindert einen Ausbruch im lo-kalen Netzwerk.
Strategische PartnerschaftenZyXEL setzt bei den neuen Funktionen auf starke Part-ner: Die Firma Kaspersky ist ein weltweit führender Hersteller von IT-Sicherheits-Software und erstellt die Virensignaturen für die ZyWALL. Den Spam-Schutz liefert Mailshell, bekannt für Entwicklungen von Spam-Filter-Technologien.
Sicherheit als Ganzes
04
Firewall mit Stateful-Packet-Inspection
Intrusion-Detec-tion-Prevention (IDP)
Anti-Virus Anti-Spam
Know-how
Wirkung Kontrolliert Ports und IP-Adressen der Datenübertragung.
Analysiert den Inhalt der Datenübertra-gung bis ins Detail.
Vergleich von Dateien mit Viren-Signaturen.
Vergleich von E-Mails mit Spam-Signaturen.
Nutzen Erkennt/sperrt Protokollfehler und Falschzugriffe anhand von Protokoll-Spezifi -kationen.
Erkennt/blockiert Attacken durch Würmer, Trojaner und Backdoors sowie modifi zierte Versionen eines Schädlings, auch ohne neue Sig-naturen.
Erkennt/löscht Viren und schadhaften Code anhand von aktuellen Signaturen.
Kennzeichnet/blo-ckiert Spam- sowie Pishing-Mails anhand aktuellster Filter-Tech-nologien.
mailshellA n t i - S p a m
TM
Schutztechniken von Unifi ed-Threat-Management
Massive Zunahme von SpamSpam-Mails werden immer professioneller erstellt. Längst bewirbt man mit Spam nicht mehr nur Produkte. Wegen profi tablem Geschäft nehmen kriminelle Aktivitäten unter Spamern stark zu. Für Mail-Adressen besteht ein lukrativer Handel. Hand in Hand arbeitet die Spam-, Trojaner- und Phishing-Industrie zusammen. Mittels Trojaner verschafft man sich Zugang zu Rechnern in fremden Netzwerken. Über diese Ressourcen wiederum lassen sich unerkannt Spam-Mails versenden. Der bekannte Beagle-Wurm z. B. öffnet eine Hintertür, über die der befallene Rechner Spam-Mails versendet.
PhishingAuch Phishing nutzt die Spam-Technologie: Der Phisherschickt seinem Opfer offi ziell wirkende E-Mails, die verleiten sollen, wichtige Informationen, oftmals Pass-wörter, in gutem Glauben dem Täter preiszugeben. Mit Phishing wird oft versucht, Zugangsdaten zu erhalten,z. B. für Onlinebanking.
Illegale Arten von SpamViele Spam-Mails bewerben Massenprodukte wie Medi-kamente, Kredite, Software, Socken, Druckerpatronen. Andere versuchen, einen Dialer einzuschleusen, der automatisch taxpfl ichtige Wählverbindungen aufbaut. Generell sind Schneeballsysteme mit Geldfl uss zum Absender illegal, sofern ein klares Missverhältnis zur Gegenleistung besteht. Das Schweizer Lotteriegesetz verbietet diese Form von Mailings.
Zweiter Spam-Schutz sinnvollService-Provider bieten oft Spam-Filter an. Diese Filter sind in der Regel rudimentär und blockieren nur einen Teil der Spam-Mails. Deshalb lohnt es sich, einen zu-sätzlichen Filter auf dem Gateway zu installieren.
Wohin mit Spam?Es empfi elt sich, einen speziellen Spam-Ordner im E-Mail-Client anzulegen. In MS-Outlook leistet die Regel-assistenten-Funktion sehr nützliche Dienste. Je nach Einstellung verschiebt oder löscht dieser Assistent au-tomatisch eingehende Mails, die eine Spam-Markierung aufweisen.
Kontrollierte Webzugriffe mit Content-FilterNebst Schulen oder Bibliotheken wünschen auch viele Unternehmensverantwortliche eine Einschränkung des Internetzugriffs. Ein Content-Filter lässt sich einsetzen zum Schutz von Minderjährigen oder zur Durchsetzung von Unternehmens-Richtlinien für die Nutzung des In-ternets. Allein das Wissen, dass ein Content-Filter im Einsatz steht, genügt oft, um die Disziplin bei Web-zugriffen zu verbessern. Ein positiver Nebeneffekt ist ebenso, dass die Blockade von einschlägigen Web-Ka-tegorien auch das Einschleusen von schadhaftem Code reduziert. Der Content-Filter-Service ist auch im reinen Log-Modus einsetzbar. Dabei werden keine Kategorien blockiert, sondern es wird nur mit Reports aufgezeigt, auf welche Web-Kategorien und Webseiten zugegriffen wird. Die Privatsphäre der Mitarbeiter bleibt gewahrt, da die Reports gesamthaft, ohne Bezug zu einzelnen Personen erscheinen.
Spam – Belästigung und Gefahr
05
ZyWALL SPAM-FILTER
Spam-Mails
PROVIDER SPAM-FILTER
geschütztes Netzwerk
Nützliche Dienste im MS-Outlook wie der Regel-Assistent helfen beim Verwalten von Spam-Mails.
Netzwerke ohne öffentliche ServerViele kleinere und mittlere Unternehmen bedürfen ei-ner einfachen, kostengünstigen IT-Infrastruktur, umE-Mail-Verkehr abzuwickeln resp. im Internet zu surfen. Dafür ist die ZyWALL 5 ideal: Bis zu vier Arbeitsplätze lassen sich über den integrierten 4-Port-Switch direkt anschliessen. Die leistungsfähige Firewall bietet in der Grundausstattung Stafeful-Packet-Inspection für ei-nen zeitgemässen Basisschutz.
DMZ für isolierte RechnerOft steht ein separater Rechner z. B. nur für Supportauf-gaben zur Verfügung, bei dem ab und zu USB-Memory-Sticks oder fremde CD-ROMs eingelesen werden. Hier empfi ehlt es sich, diesen zu isolieren. Die ZyWALL 5 enthält dafür eine sogenannte DMZ (demilitarisierte Zone), die frei konfi gurierbar ist. Der Datenaustausch zwischen DMZ und LAN ist dadurch unterbunden. Computer-Schädlinge, die auf den isolierten Support-
rechner gelangen, können sich nicht auf die anderen Sta-tionen ausbreiten. Die Sicherheit wird mit dieser einfachen Methode stark er-höht.
Datenaustausch LAN – DMZIst ein Datenaustausch zwischen dem Supportrechner und den internen Arbeitsstationen nötig, so defi niert man einfach Firewall-Regeln zwischen der DMZ und dem LAN-Segment. Damit sich Viren oder Trojaner nicht ausbreiten, wird die Aktivierung des Anti-Virus- /Intrusion-Prevention-Dienstes empfohlen. Dies erfor-dert eine Turbokarte, die in den Slot auf der Rückseite der ZyWALL 5 eingeschoben wird. Bei der ZyWALL 5 (auch ZyWALL 35) lässt sich die DMZ fl exibel auf einem der vier Ethernet-Ports einrichten.
Sicheres Wireless-LAN Wünscht ein Unternehmen ein Wireless-LAN, kann analog zum Supportrechner in der DMZ – also getrennt vom internen LAN – auch ein
WLAN-Access-Point installiert werden. Dank den eigenen Firewall-Regeln der DMZ resp. der WLAN-
Zone, können z. B. Laptops mit WLAN sicher Daten über das Internet austauschen und je nach Berechtigung auf interne Daten zugreifen. Die zentralen Sicherheits-funktionen wie Anti-Virus, Intrusion-Detection-Preventionoder Anti-Spam stehen auch für den DMZ-Port (aufZyWALL 5, 35 und 70) zur Verfügung.
Verschlüsselter Datenaustausch / WPA-PSKFür WLAN-Verbindungen zwischen Access-Point und Client empfi ehlt sich die WPA-PSK-Sicherheitsein-stellung für den verschlüsselten Datenaustausch. Je-der WLAN-Benutzer muss dazu das Start-Kennwort (WPA-PSK) einmal im WLAN-Client-Treiberprogramm hinterlegen. Damit das Kennwort bei ausscheidenden Mitarbeitern nicht geändert werden muss, bietet sich zusätzlich der Einsatz des internen RADIUS-Servers (durch ZyWALL 5, 35 und 70 unterstützt) an. Jeder Mitarbeiter erhält einen eigenen Account mit Benutzer-namen und Passwort. Bevor eine WLAN-Verbindung aufgebaut wird, muss man sich authentifi zieren.
Einsatzgebiete ZyWALL 5
06
Isolierte Zone (DMZ) für «unsichere» Rechner
DMZ
Support-PC
DMZ
Access-Point
User: JohnPassword: PW1SEC25
ZyXEL ZyWALL 5Firewall für kleinere NetzwerkeUVP incl. MWST: 548.– EUR
User: ClaudiaPassword: PW1SEC27User: JohnUser: JohnPassword: PW1SEC25User: CharliePassword: PW1SEC29User: BettinaPassword: PW1SEC32
Anmeldung Benutzer am Wireless-LAN
RADIUS-Server
Netzwerke mit öffentlichen Servern Unternehmen mit eigenen Web-, FTP- oder Mailservern etc. müssen sicherstellen, dass diese – im Gegensatz zu internen Rechnern – vom Internet erreichbar sind. Öf-fentliche Server richtet man in einer DMZ ein, und interne Rechner werden am besten in verschiedene LAN-Seg-mente aufgeteilt. Bei der ZyWALL 70 stehen vier DMZ-Ports zur Verfügung. Dennoch reichen Firewall-Regeln zwischen DMZ und LAN heute nicht mehr aus, um Da-tenmissbrauch zu verhindern. Da öffentliche Server vom Internet her zugänglich sein müssen, öffnen sie Schlupfl ö-cher. Schutz vor «Exploits» (Angriffe auf Sicherheitslöcher von Programmen) erreicht man nur durch den kombinier-ten Einsatz einer Firewall mit Anti-Virus- und Intrusion-Detection-Prevention-Lösung.
IP- und Port-ForwardingÖffentliche Server brauchen eine fi xe IP-Adresse, um über eine bestimmte Domäne erreichbar zu sein. DieZyWALL-Modelle enthalten die IP- und Port-Forwarding-
Funktion. Damit lässt sich eine externe Web-Anfrage aufden internen Server mit einer anderen IP-Adresse inkl. Angabe einer Portnummer umleiten. Dies ist notwendig, wenn mehrere interne Server mit unterschiedlichen IP-Adressen über nur eine externe IP-Adresse angespro-chen werden. So können mehrere Regeln für verschie-dene Services defi niert werden.
Erhöhtes Spam-Aufkommen bei eigenen MailservernIst ein lokaler Mailserver im Einsatz, so empfi ehlt sich die Aktivierung der Anti-Spam-Funktion auf der ZyWALL besonders. Suspekte E-Mails, welche auf Spam hin-deuten, werden entweder in der Betreff-Zeile mit einem Zusatztext markiert oder vollständig verworfen und nicht an den Client weitergeleitet. Die Quarantäne erfolgt
z. B. bei Microsoft Outlook über eine Regel, die als Spam gekennzeichnete E-Mails in einen separaten Ordner verschiebt.
Hoher Datendurchsatz, auch mit UTM
Die neuen UTM-Funktionen wie Anti-Virus und Intrusion-Prevention sind rechen-
intensiv, was den Einsatz einer Turbo-Card erfordert. Dank dieser Karte erreichen die
ZyWALL-Firewalls einen hohen Datendurchsatz. Die Echtzeit-Signaturüberprüfungen lassen sich bis auf einzelne Services und Ports inklusive Richtungsangabe (Inbound / Outbound) konfi gurieren. Dies ist gerade für Firewalls sehr wichtig, die einzelne Segmente innerhalb des LANs trennen. Da Netzwerke heute üblicherweise mit 100 Mbps arbeiten, darf die ZyWALL den Daten-durchsatz nicht massiv bremsen.
07
Einsatzgebiete ZyWALL 70
ZyXEL ZyWALL 70Firewall für Netzwerke mit öffentlichen ServernUVP incl. MWST: 1'279.– EUR
Verschiedene interne Server-Dienste werden vonextern über die gleiche IP-Adresse angesprochen.
FTP/20/21
Fileserver192.168.2.33www.beispiel.ch
217.11.1.20HTTP/80
Webserver192.168.2.34
SMTP/25
Mailserver192.168.2.35
Flexibel erweiterbare IT-InfrastrukturDie meisten Firmen wünschen sich fl exible IT-Infrastruk-turen. Die ZyWALL 35 bietet 35 VPN-Tunnels und ist eine leistungsstarke Lösung am Hauptsitz eines KMUs. Als Gateway-Firewall mit UTM schützt sie das interne Netzwerk mit LAN und DMZ. Der integrierte RADIUS-Server bietet zusätzliche Sicherheit, z. B. die Authentifi -zierung von VPN-Benutzern.
Filialen anbindenBestehende Firmen-Netzwerke lassen sich mit ZyXEL-Firewalls jederzeit erweitern. Wird z. B. eine neue Filiale eröffnet, bietet die ZyWALL 2 in der Regel ausreichende Sicherheitsfunktionen. Sie lässt sich mit einem VPN-Tun-nel an den Hauptsitz anbinden. Am zweiten verfügbaren VPN-Tunnel der ZyWALL 2 könnte der Home-PC des Filialleiters (ev. über ZyWALL P1) angebunden werden.
Sicherheit für AussendienstlerReisende Mitarbeiter sind Bestandteil des Sicherheits-konzepts einer Firma. Eine sichere VPN-Verbindung zwischen dem Mitarbeiter unterwegs und der Firma ist somit immer häufi ger ein Bedürfnis. Die ZyWALL P1 ist eine Stateful-Packet-Inspection-Firewall in der Grösse eines PDAs. Die Firewall-Regeln sowie VPN-Einstellun-gen werden vorgängig durch den IT-Administrator kon-fi guriert. Es müssen somit keine Laptops mehr einge-sammelt oder Programme mühsam installiert werden.
Zentrales ManagementNur eine regelmässig gewartete IT-Infrastruktur bietet ei-
nen zeitgemässen Schutz. Vantage CNM (Cen-tralized-Network-Management) ist eine Client/Server-Software-Applikation, mit der verteilte ZyWALLs zentral konfi guriert und verwaltet werden können. Schon ab einer
geringen Anzahl von Firewalls ist die Ver-waltung über das jeweilige Web-GUI aufwän-
dig. Vantage CNM beinhaltet auch ein Tool fürgrafi sche Reports, die man sich als PDF-File aufbe-
reiten lassen kann.
FILIALE
Einsatzgebiete ZyWALL 35
08
ZyXEL ZyWALL 35LeistungsstarkeGateway-FirewallUVP incl. MWST: 929.− EUR
HAUPTSITZ
MITARBEITER UNTERWEGS
VPN
ZyWALL P1
Anbindung von Filialen und Aussendienstler am Hauptsitz mit VPN.
www
VANTAGE CNM
MANAGED-SECURITY
KMU ZyWALL 70
Home Office ZyWALL 2
Verteilte Firewalls zentral verwalten mit Vantage CNM.
ZyWALL 2
www
internes Netzwerk
Eine UTM-Firewall meistert all diese Aufgaben. Wichtig bei IDP, Anti-Virus und Anti-Spam sind stets aktualisier-te Signaturen. Das dafür benötigte Know-how erreichtZyXEL durch die Zusammenarbeit mit führenden Her-stellern aus unterschiedlichen Spezialgebieten.
09
Was bewirkt UTM?
Wer erkennt Spam und kenn-zeichnet das Spam-Mail, damit es in einen speziellen Ordner verschoben oder gelöscht wer-den kann?
Wer regelt den Zugriff zwischen verschiede-nen Netzwerken? Wer blockiert Attacken?
Wer erkennt Viren bereits am Gateway und macht sie unschädlich?
Wer erkennt und blockiert Netzwerk-basierte Angriffe? Wer kann Peer-to-Peer-Applikationen kontrollieren?
CONTENT-FILTER
Wer kann den Webzugriff ein-schränken? Auf welche Art von Webseiten greifen die Mitarbei-ter zu?
Wer verschlüsselt die Verbin-dung zu Heimarbeitsplätzen oder Zweigstellen?
VPN
IDP
ANTI-VIRUS
FIREWALL
ANTI-SPAM
Anti-Virus auf dem GatewayDer weltweite Schaden, den Viren verursachen, ist im-mens. Rechner ohne Virenschutz sind die Ausnahme. Weshalb braucht es Anti-Virus auf dem Gateway, wenn bereits auf den Arbeitsstationen der Mitarbeiter ein Vi-renschutz installiert ist? Eine Anti-Viren-Lösung auf der Firewall blockt Viren, Würmer, Trojaner und Backdoo-rs, die via SMTP / POP3 / FTP ins interne Netzwerk gelangen. In Echtzeit scannt der ZyWALL-Gateway nach File-basierten Viren und schadhaften Codes. Jeder Virus, der schon am Gateway erkannt und ver-nichtet wird, entlastet das Netzwerk. Anti-Virus auf der ZyWALL ergänzt die Virenlösung auf Mailserver und Desktop, ersetzt diese aber nicht!
WirkungsweiseDie ZyWALL identifi ziert SMTP-, POP3-, HTTP- und FTP-Pakete auf den Standardports. Die Scan-Engine untersucht den Paket-Inhalt auf Viren. Wird ein Viren-muster erkannt, entfernt die ZyWALL den infi zierten Teil des Files. Auch gezippte Dateien untersucht die ZyWALL. Ist der Windows-Nachrichtendienst beim Empfänger aktiviert, erscheint eine Warnmeldung auf dem Bildschirm.
Kaspersky als PartnerKaspersky hat sich innert kurzer Zeit zu einem führenden Anbieter von Anti-Virus-Lösungen gemausert. Höchste Erkennungsrate, schnellste und häufi ge Updates sind die Stärken dieses Partners. Die auf der ZyWALL ver-wendeten Viren-Signaturen werden durch Kaspersky entwickelt.
Übersicht aktuelle VirenAls ZyWALL UTM-Kunde erhält man den Zugriff auf eine Online-Plattform, auf welcher stets die aktuellen Viren-Signaturen aufgeführt sind. Zudem erfährt man im Detail, welche Auswirkungen der Virus hat und wie gefährlich er eingestuft wird.
Automatischer Update Neue Signaturen kann die ZyWALL automatisch aktuali-sieren. Der Signaturen-Abgleich kann stündlich, täglich, wöchentlich oder manuell erfolgen. Die Signaturen sind nach dem Update unterbruchsfrei aktiv.
Turbo-CardUm den Service Anti-Virus/IDP zu aktivieren, installiert man die Turbo-Card im Erweiterungs-Slot. Den äusserst rechenintensive Scan des Datenverkehrs nach Signa-turen lagert die ZyWALL auf diese Turbo-Card aus. So bleibt die Performance auch mit aktivierten Services er-halten. Die benötigte Prozessorleistung bietet der spe-ziell für diese Aufgabe entwickelte «SecuASIC-Chip».
Anti-Virus
10
Detaileinstellungen im Web-GUI zeigen auf,welche Dienste/Interfaces auf Viren untersucht werden.
Leistungsstarker SecuASIC-Chip in ZyWALL Turbo-Card.
Stets online im Bild über bekannte Viren und ihre Auswirkungen.
Was ist Intrusion-Prevention?Die IDP-Technologie von ZyXEL erkennt Schädlinge anhand von Mustern (Signaturen) und abnormalem Verhalten. Sie überprüft den Dateninhalt von mehreren IP-Paketen. Durch die Anomalie-Erkennung werden un-bekannte Attacken auch aufgedeckt, ohne dass eine neue Signatur vorhanden sein muss.
Wie sicher ist Internet-Browsen?Möchte man Internetseiten aufrufen, muss zwangsläufi g der Port 80 für HTTP geöffnet sein. Da Webseiten oft mit dynamischen Inhalten (ActiveX, Cookies, PHP- und Java-Scripts etc.) programmiert sind, muss im Browser die Sicherheitseinstellung auf «tief» gesetzt sein, damit diese Inhalte angezeigt werden. Über den offenen Port gelangen unerwünschte Eindringlinge auf den Rechner. Die Schädlinge installieren und aktivieren sich meist automatisch. Ein Intrusion-Prevention-System erkennt solchen schädlichen Code während des Datentrans-fers über das Netzwerk und schützt die eingebundenen Rechner.
IDP versus FirewallEine Firewall kontrolliert Ports und IP-Adressen. Mit dem Stateful-Packet-Inspection-Mechanismus überprüft sie zudem ganze IP-Sessions auf die korrekte Einhaltung von RFC-Spezifi kationen. Eine Intrusion-Prevention-Lö-sung hingegen untersucht den Dateninhalt von Paketen. Die Lösung von ZyXEL kann sogar fragmentierte IP-Pa-kete erkennen und analysieren.
IDP versus Anti-Virus-ScannerIm Gegensatz zu einem Anti-Viren-Scanner erkennt die Intrusion-Prevention ein abnormales Datenaufkommen, das durch Schädlinge generiert wird. Die IDP bekämpft also mit der Anomalie-Erkennung nicht nur die Schäd-linge selbst, sondern auch deren Wirkung anhand von bestimmten Datenmustern. Der IT-Administrator kann den Schädling in einem zweiten Schritt eliminieren.
IDP-Signaturen der ZyWALLDie ZyWALL umfasst über 1'800 IDP-Signaturen, die stündlich automatisch aktualisiert werden können. Die Datenbank erkennt Schädlinge aus 12 Kategorien wiez. B. Buffer-Overfl ows, Access-Control, Trojaner, Würmer, Peer-to-Peer-Applikationen etc. Die jeweiligen Blockier-massnahmen der Signaturen sind bereits vorkonfi guriert. Der IT-Manager kann deshalb sehr schnell ein System in Betrieb nehmen und später Anpassungen vornehmen.
Keine Chance für BitTorrent, eDonkey, Kazaa oder SkypePeer-to-Peer (P2P)- und Messaging-Applikationen sind gefährliche Anwendungen für die ganze IT-Infrastruktur. Sie suchen über offene Ports automatisch den Weg zum Internet und umgehen so praktisch jede normale Firewall. Das Intrusion-Prevention-System kontrolliert den gesam-ten Datenverkehr und kann gezielt P2P-Inhalte blockieren. Legitime Dateninhalte werden ungehindert weitergeleitet.
Intrusion-Prevention
11
Wahrnehmung
Muster-Datenbank
Mustererkennung
Reaktion
IDP kann P2P-Verkehr verhindern.
User DATENMUSTER
01011011000101010010110101011001101
Port 80 offen
www
INTRUSION DETECTION AND PREVENTION
ÜbersichtlicheKategorisierung der IDP-Signaturen
WEB-SERVER
Content-FilterDie Kontrolle über die besuchten Websites ist ein vor-handenes Bedürfnis von Unternehmen, Schulen und Familien mit Kindern. Mit einem Content-Filter-Service auf der ZyWALL können Webseiten anhand von be-stimmten, bereits vordefi nierten Kategorien vor Zugriffen gesperrt werden.
Aktualität des URL-FiltersDer Content-Filter greift auf eine Online-Datenbank beim Dienstanbieter Blue Coat zu und garantiert einen lau-fend aktualisierten Service. Fast fünf Millionen Websei-ten sind derzeit in einer oder mehreren der 52 Katego-rien eingetragen. Noch nicht kategorisierte Webseiten durchlaufen im Hintergrund ebenfalls verschiedene Fil-ter, die auf auffällige Muster reagieren. Unter den noch nicht eingestuften Websites werden diejenigen mit den meisten Zugriffen laufend kategorisiert. Der im Jah-resabonnement eingeschlossene Online-Report gibt Aufschluss über die Internetnutzung. Ersichtlich ist derAnteil der verschiedenen Kategorien und die aufgeru-fenen Websites. Persönlichkeitsrechte bleiben dabei
gewahrt, da die IP-Adressen der Benutzer nicht erfasst werden. Der Service ist in Form einer «iCard Content-Filter» im Fachhandel erhältlich.
RechenpowerDas Überprüfen des Datenverkehrs nach Viren- und In-trusion-Signaturen ist äusserst rechenintensiv. Herstel-ler von kombinierten Lösungen (Firewall, Anti-Virus, IDP) kämpfen alle mit Performance-Problemen. In der Regel bricht der Datendurchsatz mit dem Aktivieren des IDP- und Anti-Virus-Scans ein. Bei den ZyWALL 5, 35 und 70 wird dieser Scan auf die Turbokarte ausgelagert. Durch den speziell entwickelten ASIC (Application-Specifi c-Integrated-Circuit) wird der Datenstrom kontinuierlich und ohne ein Umordnen der Datenpakete gescannt. Die Grösse der inspizierten Files spielt dank dieser Architek-tur ebenfalls keine Rolle.
Content-Filter/Turbo-Card
12
ZyWALL 2/5/35/70
Ausfi ltern von Websites mit Content-Filter
BENUTZER
Anfragen: www.info.com ✔ www.sex.com ✘
info.com sex.com
Auswertungen als Diagramm
www
Rechenintensiver Scan von Datenpaketenwird auf Turbo-Card ausgelagert.
ZyXEL ZyWALL Turbo-CardBeschleunigungskarte
mit SecuASIC-ChipUVP incl. Lizenz und MWST: ab 339.− EUR
NETZWERK
Server
www
ZyWALL 5/35/70
Spam in BlacklistEs ist nicht einfach, Spam aus dem E-Mail-Verkehr zu fi ltern. Am einfachsten erkennt man Spam anhand von Listeneinträgen. Diese Black-/Whitelist-Einträge können in der ZyWALL defi niert werden. Für jeden Eintrag wird eine E-Mail-, IP-Adresse oder eine MIME-Erweiterung hinterlegt. E-Mails, die einem dieser Einträge entspre-chen, werden ohne weitere Überprüfung als Spam (Blacklist) bzw. kein Spam (Whitelist) markiert.
Externe InhaltsüberprüfungIn der zweiten Stufe der ZyWALL Spam-Engine wird mit-tels eines speziellen Algorithmus der Inhalt des E-Mails gescannt und eine Art Fingerabdruck erstellt. Der exter-ne Signatur-Server empfängt über Internet dieses ein-deutige Abbild und errechnet anhand von über 300‘000 Signaturen die Spam-Wahrscheinlichkeit. Die ZyWALL erhält nun diese Bewertung in Form eines Wertes zwi-schen 0 und 100 zurück (100 = Spam-E-Mail) und ent-scheidet anhand eines frei defi nierbaren Schwellwertes, ob dieses E-Mail als Spam gekennzeichnet wird oder nicht. Es empfi ehlt sich, den Schwellwert in der ersten Phase zu variieren, um den gewünschten Filtereffekt zu erzielen. Wie Spam-E-Mails in der Betreffzeile vermerkt werden, kann man frei defi nieren.
Schädlinge im RucksackVielfach beinhalten Spam-E-Mails Attachments mit Schädlingen. Solche Schädlinge können nur durch ei-nen Anti-Viren-Scanner und durch Intrusion-Detection-Prevention erkannt und neutralisiert werden. Es versteht sich von selbst, dass eine Kombination aller Security-Services (Anti-Spam, Anti-Virus und IDP) den zuver-lässigsten Schutz bietet.
Spam erkannt – was nun?Empfängt der E-Mail-Client wie z. B. Outlook die mar-kierten Spam-E-Mails, so sollten diese am besten in einen Quarantäne-Ordner verschoben werden. In MS-Outlook erfolgt dank der Regelassistenten-Funktion das Verschieben der Spam-E-Mails automatisch. Es kommt vor, dass Spam-Filter ein harmloses E-Mail fälschlicher-weise als Spam-E-Mail kennzeichnen. Sollte ein erwar-tetes E-Mail nicht eintreffen, so kann der Quarantäne-Ordner auf dieses E-Mail überprüft werden.
Anti-Spam
13
EXTERNER SIGNATUREN-SERVER
mailshellA n t i - S p a m
TM
SPAM
KalkulationWahrscheinlichkeitswert
Gewünschter Filtereffekt mit Schwellwert (Threshold) defi nieren.
DatenbankWhite-,Blacklist
ZyWALL 5/35/70
www
1
2
4
1 Die Firewall überprüft, ob zum eingehenden Mail White-/ Blacklist-Einträge vorhanden sind.
2 Der Inhalt des Mails wird gescannt, und ein Fingerabdruck wird zur Überprüfung weiter geleitet.
3 Der Fingerabdruck wird ausgewertet und die Wahrscheinlichkeit be-rechnet, dass es sich bei dem Mail um Spam handelt.
4 Das Mail wird mit oder ohne Vermerk «Spam» an den Mail-Client oder Server gesendet.
3
Stateful-Packet-InspectionStateful-Packet-Inspection bietet einem Netzwerk Schutz vor unerlaubtem Zugriff aus dem Internet. Gleich-zeitig wird der Zustand einer Verbindung kontrolliert,d. h. ob die Antwort auf eine Anfrage aus dem inter-nen Netzwerk zurückzuführen ist. In einer internen Ta-belle werden diese Verbindungskontrollen verwaltet und überwacht. Dies ist die Basis für die Entscheidung, ob die Firewall ein Datenpaket passieren lässt, oder ob es blockiert wird. Die Einschränkung der Kontrolle auf IP-Adressen und Protokolle unterscheidet die Firewall von Intrusion-Detection-Prevention-Systemen.
DMZ Öffentliche Server wie z. B. ein Webserver müssen vom Internet her erreichbar sein – lokale dagegen nicht. Um diese unterschiedlichen Anforderungen zu erfüllen, plat-ziert man öffentliche Server in einem separaten Netz-werksegment. Diese sogenannte demilitarisierte Zone ist durch Firewall-Regeln vom Internet und vom lokalen Netzwerk getrennt. Damit erhöht sich die Sicherheit, weil ein infi zierter Server in der DMZ keinen Zugriff auf das lokale Netzwerk hat. Bei den ZyWALL 5 und 35 las-sen sich vier LAN-Ports fl exibel als DMZ einrichten. Die DMZ verfügt über eigene DHCP-Funktionalitäten.
Bandbreiten-Management Verschiedene Anwendungen wie Web, FTP, VPN, VoIP, etc. «kämpfen» mit unterschiedlichen Bandagen um die verfügbare Bandbreite des Internetzugangs. Der zu-nehmende VoIP-Verkehr verschärft diese Problematik. Die Qualität von VoIP sinkt beim Versand von E-Mails mit grossen Anhängen oder bei gleichzeitigem FTP-Download. Aggressive Anwendungen wie z. B. FTP nehmen sich so viel Bandbreite wie möglich. Darunter leiden zeitkritische Applikationen, weil sie sich mit dem verbleibenden Rest der Bandbreite begnügen müssen. Die Qualität eines Telefongesprächs über Internet oder die Stabilität einer VPN-Verbindung können durch das Bandbreiten-Management garantiert werden.
Bei der ZyWALL 5, 35 und 70 lässt sich der Datenstrom nach verschiedenen Kriterien konfi gurieren: Für zeit-kritische Anwendungen wie VoIP kann beispielsweise eine garantierte Mindestbandbreite defi niert werden. Aggressiven Protokollen wie FTP weist man eine eher tiefe Priorität (resp. maximal zu nutzende Bandbreite) zu, HTTPS und der IP-Adresse des Onlineshops dagegen eine hohe.
Firewall-Funktionen
14
DMZ
Mail-Server
ZyWALL 5/35
DMZ
öffentliche Server(Web, FTP, etc.)
INTERNES NETZWERK
2 Mbps
Web/Online-ShopFTPVoice-over-IP
VoIP
Prioritätensetzung der Bandbreiten
www
Zweiter WAN-Anschluss Die Verfügbarkeit und Bandbreite sind kritische Faktoren eines Internetanschlusses. Der zweite WAN-Anschluss der ZyWALL 35 und 70 lässt sich gleichzeitig mit Load-balancing oder als Back-up einsetzen. Fällt die primä-re Internetverbindung aus, wird automatisch auf einen zweiten Zugang gewechselt. Ist Redundanz gefragt, wählt man für die beiden WAN-Verbindungen mit Vor-teil unterschiedliche Technologien wie DSL, Kabel oder Standleitung. Reicht die Bandbreite eines einzelnen ADSL-Abonnements für einen Firmenzugang nicht aus, kann eine zweite Leitung dazu geschaltet werden.
Dial-Back-upFällt ADSL aus, kann ein externes Modem oder ein ISDN-Adapter automatisch wieder eine Verbindung ins Internet herstellen. Damit ist zumindest ein notdürftiger Betrieb wieder möglich.
VPN und Authentifi zierung Für die Vernetzung von Firmen-Niederlassungen und Heimarbeitsplätzen ist VPN nicht mehr wegdenkbar. Die verfügbaren Netzwerkressourcen (Programme, Dateien, etc.) sind damit über verteilte Standorte nutzbar. Doch nicht nur die VPN-Unterstützung, sondern auch die Ver-schlüsselungstiefe (DES, 3DES und AES), der mögliche Datendurchsatz und die Authentifi zierungsmöglichkeiten stehen für die Qualität einer VPN-Firewall. Die Abfrage von Benutzernamen und Passwort oder die Verwendung von Zertifi katen beim Aufbau einer VPN-Verbindung werden immer häufi ger als weitere Sicherheitselemente gefordert. Diese zusätzliche Authentifi zierung ist für VPN- und Wire-less-LAN-Verbindungen möglich. Als VPN-Client kann auch eine Software wie der ZyWALL VPN-Client oder TheGreenBow eingesetzt werden.
Wireless-readyDurch den Einsatz einer Wireless-Karte (zum Beispiel ZyAIR G-100) lassen sich die ZyXEL ZyWALL 5, 35 und 70 zum Access-Point erweitern. Neu ist es möglich, die WLAN-Karte ins LAN oder als separate Firewall-Zone zu konfi gurieren. Firewall-Regeln zwischen Wireless-LAN und dem lokalen Netzwerk erhöhen die Sicherheit. Bei der Authentifi zierung nach 802.1x können bis zu 32 Benutzer auf der internen Datenbank oder einem exter-nen RADIUS-Server eingerichtet werden. Im Verlauf des1. Quartals 2006 kann zusätzlich eine WLAN-Zone auf einem Ethernet-Port defi niert werden.
Sichere FernwartungDie Datenverschlüsselung der Remote-Konfi guration mit VPN, HTTPS oder SSH verhindert das Abhorchen durch Unberechtigte. Die Zugriffsberechtigung lässt sich auf eine bestimmte IP-Adresse einschränken und mit einem Zertifi kat zusätzlich authentifi zieren.
Firewall-Funktionen
15
wwwISP 1
wwwISP 2
ZyWALL 35/70
Höhere Bandbreite oder Back-up-Funktiondurch zwei simultane Broadband-Verbindungen.
NETZWERK
www
ADSL
ISDN-TA
Internetzugang über ADSLADSL ist unterbrochen, Verkehrwird auf ISDN-Adapter umgeleitet
User: JohnPassword: PW1SEC25
Vom lokalen Netzwerkgetrenntes Wireless-LAN.
WLAN-ZONE
User: ClaudiaPassword: PW1SEC27User: JohnUser: JohnPassword: PW1SEC25User: CharliePassword: PW1SEC29User: BettinaPassword: PW1SEC32
RADIUS-Server
CNM = Centralized-Network-ManagementVantage CNM ist eine Software-Applikation, mit der ver-teilte ZyXEL-Netzwerkkomponenten effi zient konfi gu-riert, analysiert und überwacht werden können.
VPN-Verbindungen per MausklickEine benutzerfreundliche grafi sche Oberfl äche ermög-licht, VPN-Verbindungen einfach per Mausklick zu er-stellen. Start- und Endadressen müssen nicht mehrmanuell eingegeben werden.
Device- und Account-ManagementVantage CNM ermöglicht, die Netzwerkkonfi guration mit Hierarchiestufen darzustellen, zum Beispiel Firmen-, Abteilungs- oder Device-Level. Für jede Hierarchiestufe lassen sich Benutzer mit unterschiedlichen Zugriffsrech-ten defi nieren.
Infrastruktur für Vantage CNMFür Vantage CNM wird ein Server mit FTP-, Syslog- und Telnet-Dienst vorausgesetzt. Der FTP-Server ist für das Hosten der verschiedenen Firmware-Versionen erforder-lich, während der Syslog-Server die Log-Einträge aller gemanagten Devices aufzeichnet. Für den Betrieb des Servers wird eine fi xe, öffentliche IP Adresse benötigt. Die örtlich verteilten Devices kommunizieren über das soge-nannte Service-Gateway-Management-Protocol (SGMP), wobei die Übertragung sicher mit DES oder 3DES ver-schlüsselt werden kann. Vantage CNM Administratoren können sich bequem über einen Webbrowser mit Inter-netzugang mit ihren persönlichen Account-Informationen einloggen. Damit kann der Administrator an einem belie-bigen Rechner und Standort auf alle Devices zugreifen.
zentrales Management/Vantage CNM
16
Features Vantage CNM• One-Click-VPN-Tunnels• Konfi gurations-Management• Firmware-Verwaltung mit Scheduling-Funktion• Device- und Account-Management• Umfassende Log- & Alarm-Reports• Firewall-Regelverwaltung
unterstützteModelle/Firmwarefür CNM 2.2
ZyWALL 2, 10W:ZyWALL 5, 35, 70:
FW 3.62FW 3.64
ZyWALL P1:Prestige 652HW(-I):Prestige 662HW(-I):
FW 3.64 (XJ.4)FW 3.40FW 3.40
Eine aktuelle Produktliste ist unter www.zyxel.de ersichtlich.
Anzahl manage-bare Devices
Lizenzen für 10, 25, 50, 100 oder 300 Devices sowie Testlizenz für30 Tage erhältlich
technische Vor-aussetzungen
Server mit Win XP Englisch oderLinux RedHat 9.0 / 2,6 GHz / 1 GB RAM Arbeitsspeicher
Update von Ver-sion 2.1 auf 2.2
Kostenlos im 4. Quartal 2005Features der Version 2.2: - optimierte Performance
- Firmware-Update mit Zeitplanung- verbesserte Bedienerfreundlichkeit
Eine in der VPN-Übersicht hinterlegte Grafi k ermöglicht die Übersicht des betreuten Netzwerks.
Automatisch erscheint nach Initialisie-rung der VPN-Verbindung ein VPN-Wizard mit Default-Einstellungen, die sich weiter anpassen lassen.
Reporting/Vantage VRPT 2.2
17
VRPT = Vantage-Reporting-ToolkitDas Vantage-Reporting-Toolkit ist nicht zu verwech-seln mit Vantage CNM. VRPT ist ein eigenständiges Tool, das grafi sche Reports erstellt. Es sammelt Infor-mationen von verteilten ZyWALLs und generiert bis zu 26 vordefi nierte Reports wie z. B. Bandbreiten- oder Attackenübersicht. Täglich oder wöchentlich lassen sich die Berichte als PDF automatisch per E-Mail ver-senden.
Automatische Reports Die VRPT-Server-Lösung ist einfach über einen Brow-ser zu bedienen. Per Knopfdruck werden Reports über Attacken, Intrusions, Bandbreiten-Auslastung, Service-benutzung etc. erstellt. Verteilte Firewalls können auch getrennt analysiert werden.
Bandbreiten-ReportDieser Report zeigt einem IT-Administrator ein anoma-lisches Verhalten auf. Generiert z. B. eine IP-Adresse aus dem LAN ein erhöhtes Datenvolumen im Vergleich zu den anderen Adressen, könnte auf diesem Rechner ein Schädling am Werk sein. Der betroffene Rechner kann nun gezielt in Quarantäne gesetzt und gesäubert werden.
Auswertungs-möglichkeitenmit VRPT 2.2
- Bandbreite- Webzugriffe und Webfi lter- Attacken (Firewall-Regeln)- Report pro Service (FTP, HTTP, SNMP, etc.)
- Intrusions (ZyWALL IDP 10)- Datenvolumen für Services wie VPN, E-Mail, etc.- Device-Errors- Verbindungsunterbrüche
Es stehen pro Report weitere Darstellungsoptionen zur Verfügung, z. B. aufgelistetnach Kategorie, Art der Attacken, Art der Intrusions, etc. und als Zusammenfassung.
unterstützteModelle/Firmware
- ZyWALL IDP 10:- ZyWALL 2:- ZyWALL 5, 35, 70:
FW 2.00FW 3.62FW 3.64
- Prestige 652HW(-I):- Prestige 650R(-I):- Prestige 662HW(-I):
FW 3.40FW 3.40FW 3.40
Voraussetzungen Server
Intel P4 / 2,6 GHz / 1 GB RAM / 80 GB HDD / Windows XP / 2003 Server.
Verfügbarkeit VRPT 2.2 ist kostenlos unter www.zyxel.de downloadbar. Die kommende Version 2.3 wird Anti-Virus- und IDP-Funktionen der FW 4.0 unterstützen und kostenpfl ichtig sein.
Übersicht
18
Produkt-Bezeichnung
InhaltLaufzeit
ZyWALL 5 ZyWALL 35 ZyWALL 70
UVP incl. MWST UVP incl. MWST UVP incl. MWST
iCard IDP+AVTurbo-Suite(mit Turbo-Card)
1x Turbo-Card1x iCard IDP+AV
iCard Silver «IDP+AV» iCard Gold «IDP+AV»
1 Jahr 339.− EUR 499.− EUR 499.− EUR
2 Jahr 449.− EUR 689.− EUR 689.− EUR
iCard Anti-Spam 1x iCard ASiCard Silver «AS» iCard Gold «AS»
1 Jahr 80.− EUR 179.− EUR 179.− EUR
2 Jahr 125.− EUR 279.− EUR 279.− EUR
iCard Content-Filter 1x iCard CFiCard Silver «CF» iCard Gold «CF»
1 Jahr 57.− EUR 249.− EUR 249.− EUR
Produkt-Bezeichnung
InhaltLaufzeit
ZyWALL 5 ZyWALL 35 ZyWALL 70
UVP incl. MWST UVP incl. MWST UVP incl. MWST
ZyWALL UTM1x ZyWALL1x Turbo-Card
569.− EUR 929.− EUR 1'429.− EUR
iCard IDP+AV
(ohne Turbo-Card)1x iCard IDP+AV
iCard Silver «IDP+AV» iCard Gold «IDP+AV»
1 Jahr 169.− EUR 325.− EUR 325.− EUR
2 Jahr 275.− EUR 519.− EUR 519.− EUR
iCard Anti-Spam 1x iCard ASiCard Silver «AS» iCard Gold «AS»
1 Jahr 80.− EUR 179.− EUR 179.− EUR
2 Jahr 125.− EUR 279.− EUR 279.− EUR
iCard Content-Filter 1x iCard CFiCard Silver «CF» iCard Gold «CF»
1 Jahr 57.− EUR 249.− EUR 249.− EUR
best
ehen
de K
unde
n (Z
yWAL
L be
reits
vor
hand
en)
neue
Kun
den
(noc
h ke
ine
ZyW
ALL
vorh
ande
n)
UTM-Funktionen für weitere ZyWALL-Modelle
ZyXEL ZyWALL P1: IDP und Anti-Virus per Anfang 2006 verfügbar, keine Integra-
tion von Anti-Spam und Content-Filter.
ZyXEL ZyWALL 2: Content-Filter bereits verfügbar, keine Integration von weiteren
UTM-Services.
UTM-Services
Aufrüsten von ZyWALL 5/35/70
Der Upgrade auf UTM ist mit einem Firmware-Wechsel auf Version 4.0 wie gewohnt kostenlos. IDP, Anti-Virus und Anti-Spam lassen sich während 90 Tagen, der Content-Filter
während 30 Tagen austesten. Für den Test von IDP+Anti-Virus benötigt man eine Turbokarte. Der Leihbezug einer Turbokarte ist bei einem ZyWALL-Fachhändler möglich.
Drei Monate Bonus
Die Services IDP+AV und Anti-Spam können drei Monate gratis getestet werden.
Wird während dieser Testzeit eine Ein- oder Zweijahres-Lizenz registriert, verlän-
gert sich die Laufzeit des Services um weitere drei Monate. Die Lizenzerweiterun-
gen sind via Fachhandel erhältlich.
Features ZyWALL P1(FW 4.0)
ZyWALL 2(FW V3.63)
ZyWALL 5(FW 4.0)
ZyWALL 35(FW 4.0)
ZyWALL 70(FW 4.0)
Einsatzgebiet der FirewallAussendienst-mitarbeiter
Private undKleinfi rmen
Kleine und mittlere Firmen
Kleine und mittlere Firmen
Mittlere und grosse Firmen
LAN/DMZ-Anschlüsse 1 x LAN 4 x LAN 4 x LAN/DMZ 4 x LAN/DMZ 1 x LAN, 4 x DMZ
WAN-Anschlüsse 1 1 1 2 2
Bandbreiten-Management - - ✓ ✓ ✓
VPN-Tunnels 1 2 10 35 100
PKI-Support für VPN ✓ ✓ ✓ ✓ ✓
Authentifi kation für VPN ✓ ✓ ✓ ✓ ✓
2 Login-Levels ✓ - - - -
Bridge-Modus ✓ - ✓ ✓ ✓
NAT-Session 2'048 1'024 6'000 10'000 10'000
Remote-Management (HTTPS/SNMP) ✓ ✓ ✓ ✓ ✓
Vantage CNM unterstützt ✓ ✓ ✓ ✓ ✓
Vantage VRPT unterstützt - ✓ ✓ ✓ ✓
PCMCIA-Slot (für WLAN oder Turbo-Card) - - ✓ ✓ ✓
Referenzpreis (ohne UTM) 199.− EUR 199.− EUR 548.− EUR 929.− EUR 1'279.− EUR
Übersicht
19
Firewalls von ZyXEL
RMA/Reparaturen
Alle Informationen zur RMA/Reparaturenabwicklung � nden Sie im Internet unter: www.zyxel.de/support
Support-Hotline
Tel.: 018 05 / 21 32 47 (12 Cent/Min.)
Die ZyXEL Hotline-Mitarbeiter bieten gern Unterstützung bei technischen Fragen von Mo. - Do. 9.00 bis 17.00 Uhr und Fr. von 9:00 bis 15:00 Uhr.
Zusätzlich bieten wir eine Hotline Nr. bei allgemeinen Netzwerk- und Betriebssystemproblemen: 0900 / 19 99 35 (1.57 EUR / Min.)
Security-Kurse
ZyXEL Deutschland bietet seit Jahren technische Weiterbildungskurse für IT-Spezialisten an, davon drei Kurse im Security-Bereich. Eine Übersicht aller
Kurse und die Möglichkeit zur Online-Anmeldung finden Sie unter http://www.zyxel.de/reseller.
Technische Dienstleistungen der ZyXEL Deutschland GmbH
10/2
005,
Cop
yrig
ht b
y Zy
XEL
Deu
tsch
land
Gm
bH
ZyXEL Deutschland GmbHAdenauerstrasse 20 / A252146 Wü[email protected]
