Меню

Zywall 110 настройка firewall



Zywall 110 настройка firewall

Профиль | Отправить PM | Цитировать

Изображения

Default Rule.jpg
(5.3 Kb, 33 просмотров)
NAT.jpg
(37.3 Kb, 37 просмотров)
RDP Rule.jpg
(88.7 Kb, 28 просмотров)

Сообщения: 8628
Благодарности: 2124

Original IP: 0.0.0.0 (т.е. допускается работа с любого внешнего адреса)
Mapped IP: 192.168.0.100 (условно; какой там у этого сервера внутренний IP?)

Или я что-то не понял в настройках USG 100?

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.

Original IP: 0.0.0.0 (т.е. допускается работа с любого внешнего адреса)
»
Источник

Настройка ZyWall серии USG в роли VPN сервера

Данная статья рассчитана на пользователей бюджетных шлюзов ZyWall серии USG.

Имеем следующую задачу:
— организовать подключение к корпоративной локальной сети по средствам VPN;
— авторизация пользователей VPN под доменной учетной записью;
— собрать все это на шлюзе ZyWall USG 110;
— пользователи должны подключаются как с ноутбуков так и с мобильных телефонов.

На первый взгляд задача не казалась сложной, но когда я приступил к реализации, наткнулся на пару неприятных моментов, которые приходилось решать через службу технической поддержки.

Чтобы оградить вас от подводных камней, траты драгоценного времени, решил написать данную статью.

Итак, приступим.

Первое, что нам необходимо сделать, это определится с кругом лиц которые могут подключатся к корпоративной сети из вне. На это у меня ушло примерно минут 30 на согласование с начальством. Этим лучше не пренебрегать, так как это вопрос корпоративной безопасности.

Исходные данные:
Шлюз Zyxwl Zywall USG 110
WAN1 – 12.12.12.12
LAN1 – 10.10.10.1/24
Домен example.com
Сервера AD
dc01.example.com 10.10.10.5/24
dc02.example.com 10.10.10.6/24
В вашем случае данные будут другие, я же буду использовать их для примера.

Первый подводный камень, это закрытые системы шифрования на шлюзе, обходим следующим путем:
Подключаемся к шлюзу через SSH и включаем скрытые режимы шифрования
Вводим логин и пароль

configure terminal
crypto algorithm-hide disable
write
reboot

Следующим шагом будет подключение шлюза к AD.
Создаем пользователя в AD от имени которого шлюз будет подключатся для поиска учетных записей
например:
Name zywall
Password ZyWaLlpass

Создаем группу для VPN пользователей;
Добавляем пользователей в группу VPN.
Как это делается в AD я описывать не буду так как такого материала более чем достаточно.

Подключаемся к шлюзу через Web интерфейс.
Переходим по меню: Configuration – Object – AAA server – Add.
вносим следующие настройки:

Name: dc_example (произвольное имя)
Description: example.com (имя домена)
Server Address: 10.10.10.5 (ip адрес первичного DC)
Backup Server Address: 10.10.10.6 (ip адрес резервного DC)
Port: 389
Base DN: DC=example,DC=com
Use SSL: False
Case-sensitive User Names: True
Search time limit: 5
Bind DN: CN=zywall,CN=Users,DC=example,DC=com (пользователь от имени которого происходит поиск записей в AD в формате DN)
Password: ZyWaLlpass (пароль пользователя)
Retype to Confirm: ZyWaLlpass
Login Name Attribute: sAMAccountName
Alternative Login Name Attribute: оставляем пустым (если кому необходимо можете прописать mail)
Group Membership Attribute: memberOf

На шлюзе задаем группу пользователей для подключения к VPN
Configuration – Object-User/Group:

user name: VPN_Users_example
User Type: ext-group-user
Group Identifier: CN=VPN,CN=Users,DC=example,DC=com
Associated AAA Server Object: dc_example
Description: VPN_Users_example
Authentication Timeout Settings: Use Default Settings (можно установить Use Manual Settings и установить свои лимиты времени)

Есть возможность сразу проверить правильность всех настроек, в нижнее поле User name вводим имя пользователя состоящего в группе VPN без домена, и нажимаем кнопку Test
Следующий подводный камень это то что пользователи должны иметь группу по умолчанию Domain Users иначе проверка пользователя не пройдет.

Создаем подсеть для удаленных пользователей:
Configuration – Object – Address – Add

Name – VPN_Subnet_example
Address Type – SUBNET
Network – 10.10.9.0
Netmask – 255.255.255.0

Name: InetWAN1
Address Type: Interface IP
Interface: wan1

General settings
Enable: true
VPN Gateway Name: L2TP_Gateway_example
My Address
My Address: Wan1
Authentication
Pre-Shared KEY: AnySharedKey (необходимо придумать свой ключ)
Phase 1 Settings
SA Life Time: 86400
Negotiation Mode: Main

нажимаем ОК и переходим дальше

Настраиваем входящие подключения VPN
Configuration – VPN – IPSec VPN – VPN Connection – Add
Сразу нажимаем Show Advanced Settings

General Settings
Enable: Tue
Connection Name: L2TP_VPN_example
Enable Replay Detection: False
Enable NetBIOS broadcast over IPSec: True
MSS Adjustment: Auto
VPN Gateway
Application Scenario: Remote Access (Server Role)
VPN Gateway: L2TP_Gateway_example
Policy
Local policy: InetWAN1
Enable GRE over IPSec: False
Phase 2 Settings
SA Life Time: 86400
Active Protocol: ESP
Encapsulation: Transport
Proposal:
3DES SHA1
3DES MD5
DES SHA1
Perfect Forvard Secrecy (PFS): None
Related Settings
Zone: IPSec_VPN

Теперь настроим подключение L2TP VPN

Configuration – VPN – L2TP VPN
Enable L2TP Over IPSec: True
VPN Connection: L2TP_VPN_example
IP Address pool: VPN_Subnet_example
Authentication Method: Default
Allowed User: VPN_Users_example
Keep Alive Timer: 60
First DNS Server :Custom Defined 10.10.10.1
Second DNS Server: Custom Defined 10.10.10.5

Жмем Apply
Настройка шлюза завершена

У пользователей создаем VPN подключение со следующими основными параметрами:

Тип VPN: L2TP IPsecVPN;
L2TP KEY: AnySharedKey (ключ который вы указали при настройке VPN шлюза);
Шифрование данных необязательное (подключатся даже без шифрования);
Разрешить следующие протоколы
— Незашифрованный пароль (PAP);
(остальные протоколы отключаем)

Спасибо за внимание.

Данная статья не подлежит комментированию, поскольку её автор ещё не является полноправным участником сообщества. Вы сможете связаться с автором только после того, как он получит приглашение от кого-либо из участников сообщества. До этого момента его username будет скрыт псевдонимом.

Источник

Настройка межсетевого экрана Firewall в шлюзах безопасности серии ZyWALL / USG

Как настроить межсетевой экран Firewall в аппаратных шлюзах серии ZyWALL USG?

Межсетевой экран (Firewall) в аппаратном шлюзе ZyWALL USG используется для контроля и фильтрации проходящих через него сетевых пакетов в соответствии с заданными правилами. В частности, Firewall применяется для разрешения или запрещения работы служб, которые используют статические номера портов.
Обращаем ваше внимание, что при определении направления трафика в правилах Firewall используются зоны. Зоны (Zone) представляют собой объекты, в которых указаны определенные интерфейсы (в зоне может быть указан один или более интерфейсов). Таким образом, перед началом настройки правил Firewall нужно обязательно определить зоны, которые в дальнейшем будут использованы при настройке правил в ZyWALL USG. Определенный интерфейс может быть использован только в одной зоне.

1. Настройка зон (Zone)

Для настройки Firewall сначала необходимо убедиться, что используемые интерфейсы принадлежат к предустановленным или созданным зонам. Настройка зон выполняется в меню Configuration > Network > Zone веб-конфигуратора устройства.

Зоны используются в качестве определения направлений при настройке правил Firewall и сервисов Anti-X.

В устройстве существуют предустановленные зоны с интерфейсами (можно их использовать). Если необходимо создать свою зону и включить в нее определенные интерфейсы, необходимо сначала исключить этот интерфейс из предустановленной зоны.
Зайдите в меню Configuration > Network > Zone, выберите нужную зону из списка System Default и нажмите Edit для ее редактирования.
В окне Edit Zone в разделе Member List в списке Member найдите интерфейс, который необходимо исключить из предустановленной зоны (в нашем примере это интерфейс ge5), и переведите его в список Available.

Затем создайте новую зону. В меню Configuration > Network > Zone в разделе User Configuration нажмите Add. В окне Add Zone выберите из списка Available нужный интерфейс (в нашем примере это интерфейс ge5) и добавьте его в список Member.

Параметр Block Intra-zone Traffic нужен, если в зоне более одного интерфейса. Если установить галочку в поле Block Intra-zone Traffic, то трафик между интерфейсами, находящимися в одной зоне, будет блокироваться.

Внимание! Если вы создали новую зону, она автоматически не будет представлена в предустановленных правилах Firewall и, соответственно, прохождение трафика из этой зоны (или в эту зону) будет зависеть от настроенных правил по умолчанию, где в поле From или To будет значение any или any (Еxcluding ZyWALL), или по последнему правилу Default.

2. Настройка правил Firewall

Настройка правил Firewall выполняется в меню Configuration > Network > Firewall.

Правила Firewall настраиваются по направлениям – зонам, куда входят определенные интерфейсы.

Предустановленные правила включают в себя правило по умолчанию Default, которое находится внизу списка правил (в разделе Firewall Rule Summary) – его нельзя удалить или деактивировать. Для правила по умолчанию Default можно только установить значение в поле Access, то есть необходимое действие (allow/deny/reject), которое нужно применить к сетевым пакетам, попадающим под действие этого правила. Так как правила Firewall обрабатываются устройством по очереди, под это правило попадут те пакеты, которые не попали ни под одно другое правило, находящееся выше по списку.

В меню Configuration > Network > Firewall в разделе General Settings параметр Enable Firewall служит для включения/выключения Firewall (для включения установите галочку в поле Enable Firewall).
Параметр Allow Asymmetrical Route служит для разрешения/запрещения треугольных асимметричных маршрутов (для включения установите галочку в поле Allow Asymmetrical Route).

Для создания нового правила Firewall в меню Configuration > Network > Firewall нажмите Add.

Рассмотрим назначение полей в окне Add Firewall Rule, которые необходимо настроить при создании нового правила Firewall.

Установите галочку в поле Enable для активации правила.
В поле From (откуда) укажите исходящее направление (зона), по которому создается правило.
В поле To (куда) укажите входящее направление (зона), по которому создается правило.
В поле Description можете указать описание правила.
В поле Schedule можно указать Schedule-объект (созданный ранее в меню Configuration > Object > Schedule). Этот объект определяет расписание работы. В этом случае правило Firewall будет работать в соответствии с ним.
В поле User можно выбрать имя пользователя или группу пользователей. Правило будет применяться только к авторизованным пользователям или группам пользователей, если пользователь или группа указаны в этом поле.
В поле Source можно указать адрес источника пакетов, к которому должно применяться правило.
В поле Destination можно указать адрес назначения пакетов, к которому должно применяться правило.
В поле Service можно указать предустановленный или созданный Сервис (порт или протокол), к которому должно применяться правило.
В поле Access укажите действие, которое будет применяться к сетевому пакету, если он попал под условия правила (allow — разрешить прохождение пакета, deny – отбросить пакет, reject – отбросить пакет с уведомлением на адрес источника).
В поле Log можно указать, нужно ли в системные логи делать записи по работе этого правила.

Внимание! Порядковый номер правил Firewall определяет приоритетность (очередность) их выполнения.
Если нужно поменять приоритетность (порядковый номер) правила, используйте элемент Move для изменения порядкового номера.
Чтобы изменить нумерацию правила, выберите нужное правило, нажмите на элемент Move, укажите новый номер, который вы хотите установить для данного правила, и затем нажмите клавишу Enter.

В разделе Firewall Rule Summary можно выбирать направления From Zone и To Zone для просмотра правил, подходящих только по указанному направлению.

При создании правила и в списке To Zone существует направление ZyWALL – это направление к самому устройству ZyWALL USG, то есть это трафик, который направляется (адрес назначения) на интерфейс аппаратного шлюза ZyWALL USG. При этом, т.к. для входящего трафика (Интернет) Firewall действует после правила проброса портов, пакеты после трансляции адресов (DNAT) уже не будут попадать под это направление, т.к. адрес назначения будет уже транслирован в локальный адрес сервера. Трафик, который идет на адрес интерфейса ZyWALL USG и для которого нет правил DNAT, будет определяться как направление To ZyWALL.

Также существует направление any (Excluding ZyWALL). Оно определяет направление трафика на любую зону, кроме трафика на само устройство.
В поле From отсутствует направление для блокировки трафика ZyWALL, т.е. трафик от ZyWALL USG заблокировать правилами Firewall нельзя.

Источник

Читайте также:  Настройка принтера zebra zt410
Adblock
detector