SlideShare una empresa de Scribd logo

Más que una Actualización - ZyWALL ZLD v2.20

Descargar como PPT, PDF
R
rmblas

El documento describe las nuevas características y mejoras del ZLD v2.20, incluyendo mayor seguridad en el extremo final, control granular de aplicaciones de redes sociales, compatibilidad con Windows 7, una interfaz gráfica más intuitiva, mejor arquitectura de enrutamiento e integración completa con Microsoft Active Directory. El ZLD v2.20 ofrece protección de red proactiva, refuerzo de la política de seguridad, conectividad segura y gestión y recuperación de red.

Tecnología
1 de 87
Descargado 19 veces
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
ZLD v2.20 Argumentario de Ventas
Sumario Tendencias y Retos Introducción al ZLD v2.20 Prestaciones Básicas del ZLD v2.20 Seguridad en el Extremo Final Control granular sobre las aplicaciones de redes sociales VoIP amigable Windows 7 ready Nuevo Interfaz Gráfico (GUI) más intuitivo Arquitectura de enrutamiento mejorada Integración completa MS AD Apéndice: Evolución histórica del ZLD El ZLD v2.20 en detalle
Lo que está ocurriendo a su alrededor:
¿De dónde vienen las amenazas? ZyWALL USG 300 Public Kiosk Home Teletrabajador Oficina Central ZyWALL USG 2000 Protected Servers Sucursal Acceso Remoto IP PBX IP PBX ZyWALL USG 50 DMZ Server SSL VPN IPSec VPN L2 Switch L3 Switch Internet Reducir Amenazas Externas Establecer Túneles VPN Fiables Contra las Acciones de Vulneración de Cualquier Origen Garantizar el Acceso Remoto y Facilitar la Gestión
Solución de Seguridad de ZyXEL Seguridad en la Empresa Mitigate External Against Policy Violations from within Establish Reliable VPN Tunnels Guarantees HA & Easy Management Conectividad Segura Solución VPN completa para conexiones entre sucursales y acceso remoto Protección de Red Proactiva Funcionalidad UTM para proporcionar protección exhaustiva frente a amenazas Refuerzo de la Política de Seguridad Política de usuario que permite granularidad en el acceso Gestión y Recuperación de Red Tolerancia a fallos en las rutas de red: Enlace WAN, pasarelas,VPN
Tendencias del 2010… Utilización en zonas menos visibles Menor productividad Trabajo en entorno Windows 7 Todos los usuarios deben cumplir la política de seguridad Problemas Amenazas Internas Disponibilidad de Windos 7 Popularidad del Netbook Websites Sociales
Conectividad Segura Protección de Red Proactiva Refuerzo de la Política de Seguridad Gestión y Recuperación de Red Seguridad en la Empresa ZyWALL ZLD v2.20: Más que una actualización Incorpora 90+ nuevas mejoras VoIP Amigable Seguridad en el Extremo Final Control Granular sobre Aplicaciones de Redes Sociales Windows 7 ready Nuevo Interfaz Gráfico más Intuitivo Arquitectura de Enrutamiento mejorada Integración Completa MS AD
¿Quién amenaza la red de la empresa? Enterprise Network 1. ¿Firma actualizada? 2. ¿Cortafuegos personal habilitado? Red de la Empresa Refuerzo de la Política de Seguridad Gestión y recuperación de Red Conectividad Segura Protección de Red Proactiva Seguridad en la Empresa Interna Empleado - Invitado Externa Teletrabajador Desde casa Desde el hotel Cómo asegurarse de que todos los usuarios cumplen con la política de seguridad
Escenario de Despliegue EPS Empleado accediendo desde su casa Empleado accediendo desde el aeropuerto/hotel Externa DMZ (Granja de Servidores) Servidor Email Aplicaciones Web Escritorio Remoto Sistema BI Servidor de aplicaciones (Inventario,almacén..) Sistema OA, ERP Sistema CRM Túnel SSL-VPN Internet LAN User1 LAN User2 Túnel SSL-VPN El administrador puede identificar rápidamente clientes “inseguros”, bloqueando el acceso a Internet/DMZ y forzándoles así a solucionar el problema, p.e. instalando un parche o software AV o actualizando la firma. USG’s EPS puede verificar: Software Anti-Virus Software Cortafuegos Nivel de Servicio OS ZyWALL USG Checking: 1. Anti-Virus…………. X 2. Personal Firewall …X 3. OS patch level….…..V The result is NO Access Checking: 1. Anti-Virus…………. V 2. Personal Firewall …V 3. OS patch level….…..V The result is Access Checking: 1. Anti-Virus…………. V 2. Personal Firewall …V 3. OS patch level….…..V The result is Access Interna Refuerzo de la política de Seguridad Gestión y Recuperación de Red Conectividad Segura Protección de Red Proactiva Seguridad en la Empresa
Aplicaciones de Redes Sociales El motivo original de las redes sociales, como Facebook o LinkedIn, es conectar personas, compartir información o intercambiar experiencias a travésde la web. Las encuentas indican que el 77% de los usuarios de Facebook acceden a la red en horas de trabajo – Computerworld (Julio) Disminución de la Productividad Gestión y Recuperación de Red Conectividad Segura Protección de Red Proactiva Refuerzo de la Política de Seguridad Enterprise Security
Control granular de las aplicaciones de redes sociales El ZyWALL USG puede limitar el acceso… Juego de Facebook Todas a la Vez Una a una All Stop Gestión y Recuperación de Red Conectividad Segura Protección de Red Proactiva Refuerzo de la Política de Seguridad Seguridad en la Empresa
VoIP más amigable SIP ALG mejorado soporta despliegue VoIP flexible Soporte de IPPBX en escenario de zona DMZ VoIP BWM de calidad, segura y mejorada La prioridad mayor para el tráfico SIP Soporte de DSCP tag/un-tag para grandes topologías USG con IP pública y IP-PBX detrás de USG(DMZ) Simétrico (con IPSec VPN) Gestión y Recuperación de Red Conectividad Segura Protección de Red Proactiva Refuerzo de Política de Seguridad Seguridad en la Empresa
SSLVPN Soporta Windows 7 Windows 7 se ha lanzado, y el USG lo soporta mediante ZLD v2.20 La extensión SSLVPN Secure soporta Windows 7 (32/64 bits) También se soporta Windows 7 con IE8 Gestión y Recuperación de Red Conectividad Segura Protección de Red Proactiva Refuerzo de la Política de Seguridad Seguridad en la Empresa
Serie USG de ZyWALL– Licencia SKU Tipo de Servicio/Prestación USG 2000 USG 1000 USG 300 USG 200 USG 100 ZyXEL Anti-Virus (Certificado ICSA) 1-YR      2-YR      Kaspersky Anti-Virus 1-YR      2-YR      IDP 1-YR      2-YR      Filtrado de Contenidos 1-YR      2-YR      Anti-Spam (incluido) RBL/DNSBL RBL/DNSBL RBL/DNSBL RBL/DNSBL RBL/DNSBL Túneles SSL VPN 5 incluidos 2 incluidos 5 -> 50 5 -> 250 5 -> 750 50 -> 250 50 -> 750 250 -> 750 5 -> 25 5 -> 50 25 -> 50 5 -> 250 25 -> 250 50 -> 250 2 -> 10 2 -> 25 10 -> 25 2 -> 10 2 -> 5 Gestión y Recuperación de Red Conectividad Segura Protección de Red Proactiva Refuerzo de Política de Seguridad Seguridad en la Empresa
Interfaz Gráfico más intuitivo (GUI) ¿Qué hay de nuevo en el GUI del ZLD v2.20? Dispositivo Virtual Pantallas Personalizables Referencia a Objetos Operación mediante tablas de Usuario amigables Gestión y Recuperación de Red Conectividad Segura Protección de Red Proactiva Refuerzo de la Política de Seguridad Seguridad en la Empresa
Dispositivo Virtual GUI Antiguo… GUI Nuevo… El Administrador puede monitorizar el dispositivo virtual para control/gestión remota Muestra Información de Interfaz (Ethernet, PPPoE, USB…) Muestra Información de los LEDs (SYS, PWR…) Virtual Device Gestión y Recuperación de Red Conectividad Segura Protección de Red Proactiva Refuerzo de la Política de Seguridad Seguridad en la Empresa
Pantalla Personalizable GUI Antiguo… GUI Nuevo… Cada bloque era fijo y no se podía eliminar. Permite al administrador crear una página GUI personalizada para mostrar cualquier dispositivo. Gestión y Recuperación de Red Conectividad Segura Protección de Red Proactiva Refuerzo de la Política de Seguridad Seguridad en la Empresa
Referencia a Objetos Cuando el administrador intenta eliminar un objeto, el GUI le muestra un mensaje de error. Esto es porque el objeto está relacionado con una determinada política y un objeto en uso no se puede eliminar. En la versión anterior no había mecanismos para que los administradores averiguaran si un objeto estaba relacionado con una política determinada. Ahora los administradores pueden averiguar de una manera sencilla la referencia de los objetos. Gestión y Recuperación de Red Conectividad Segura Protección de Red Proactiva Refuerzo de la Política de Seguridad Seguridad en la Empresa
Operación mediante Tabla de Usuario Amigable - 1/3 La columna se puede mover Gestión y Recuperación de Red Conectividad Segura Protección de Red Proactiva Refuerzo de la Política de Seguridad Seguridad en la Empresa
Operación mediante Tabla de Usuario Amigable - 2/3 La columna se puede ocultar Gestión y Recuperación de Red Conectividad Segura Proactive Network Protection Refuerzo de la Política de Seguridad Seguridad en la Empresa
Operación mediante Tabla de usuario Amigable - 3/3 Las columnas se pueden buscar fácilmente Gestión y Recuperación de Red Conectividad Segura Protección de Red Proactiva Refuerzo de la Política de Seguridad Seguridad en la Empresa
Arquitectura de Enrutamiento Mejorada Programación sencilla NAT 1:1 mapping NAT loopback Enrutamiento de tráfico LAN/WAN VPN Site to Site Política de enrutamiento Inteligente auto-creación prioridad Gestión y Recuperación de Red Conectividad Segura Protección de Red Proactiva Refuerzo de la Política de Seguridad Seguridad en la Empresa
Escenario de Despliegue NAT (1) LAN User B LAN User A … … … El NAT “Varios hacia 1” es muy popular entre los usuarios LAN para acceder a Internet. Si se dispone de más de una IP pública para acceder a Internet, se puede usar el NAT “Varios hacia N”. Internet Gestión y Recuperación de Red Conectividad Segura Protección de Red Proactiva Refuerzo de la Política de Seguridad Seguridad en la Empresa
Escenario de Despliegue NAT (2) Cuando se despliega una Web-site pública localizada en una LAN/DMZ, se puede utilizar el NAT “Uno a uno”. Cuando se despliegan en Internet varias Web-site públicas, se puede utilizar el NAT “Varios uno a uno”. Empleado teletrabajador Empleado teletrabajador Partner autorizado Cliente autorizado Granja de Servidores LAN … … 1 -- a --1 LAN/DMZ 1 – a --1 1 – a --1 … … varios 1 – to --1 Internet Gestión y Recuperación de Red Conectividad Segura Protección de Red Proactiva Refuerzo de la Política de Seguridad Seguridad en la Empresa
Escenario de Despliegue NAT (3) La validación del “NAT loopback” permite a los usuarios LAN el acceso a las web-site públicas alojadas en la LAN/DMZ mediante dominio público (URL). Empleado teletrabajador Empleado teletrabajador Partner autorizado Cliente autorizado Granja de Servidores LAN … … 1 -- a --1 LAN/DMZ 1 – a --1 1 – a --1 … … varios 1 – to --1 NAT Loopback Internet Gestión y Recuperación de Red Conectividad Segura Protección de Red Proactiva Refuerzo de la Política de Seguridad Seguridad en la Empresa
Resolución de Problemas sencilla Se necesitaba desplegar una gran cantidad de herramientas para realizar la “captura de paquetes”. Basta con clickar el botón de GUI para capturar paquetes Antes Ahora con ZLD 2.20 Seleccionar “ Captura de Paquetes” Seleccionar interfaz para capturar paquetes Decidir cuántos paquetes capturar Gestión y Recuperación de Red Conectividad Segura Protección de Red Proactiva Refuerzo de la Política de Seguridad Seguridad en la Empresa
Integración Completa MS AD Cuando se despliega el USG en entornos de PyMEs y/o empresas, los administradores utilizarán el servidor de directorios existente para gestionar los usuarios. En el diseño actual, la agrupación de usuarios externos no es amigable – El USG utiliza un grupo grande para representar a todos los usuarios externos y los miembros del grupo se tienen que teclear a mano . ZLD v2.20 soporta grupos de usuario MS/AD Soporta tantos escenarios como sean necesarios. (ver pág. Sig) Se necesitan muy pocos pasos de configuración Soporte de dos identificadores diferentes para el login de usuario: . E.g. se puede usar “name” o “e-mail address” para login. Soporta el test de configuración de usuario AAA; MIS verifica si la configuración es correcta. Gestión y Recuperación de Red Conectividad Segura Protección de red Proactiva Refuerzo de la Política de Seguridad Seguridad en la Empresa
Escenario de Directorio Activo Si la red es muy grande y compleja, estos escenarios pueden coexistir USG puede autenticar usuarios secuencialmente de acuerdo con el método de autenticación. . Internet Intranet AD server User could use “name” or e-mail address to login ZyWALL USG Maestro/Backup Autónomo Autónomo 1 2 3 Gestión y Recuperación de Red Conectividad Segura Protección de Red Proactiva Refuerzo de la Política de Seguridad Seguridad en la Empresa
ZyXEL le ayuda… Conectividad y confidencialidad incrementada con un TCO inferior Ayuda a las empresas a reforzar la política de seguridad corporativa Implementación de arquitecturas de red redundantes para operar sin interrupciones Refuerzo de la Política de Seguridad Protección de Red Proactiva Conectividad Segura Gestión y Recuperación de Red Red de Empresa Asegurar redes convergentes y otras aplicaciones críticas de negocios
Apéndice: Evolución histórica del ZLD El ZLD v2.20 en detalle
Evolución de los Productos USG & Firmware ZLD PNeg PyME ZLD 2.10 con USG100/200/2000 Dual AV: KAV & ZAV 3G & WLAN Más DDNS: No-IP, DyNU; Peanut Prioridad de tráfico SIP HA: Virtual Mac Usabilidad: GUI simplificado AS (RBL/DNSBL) ZLD 2.11 con la serie USG 3G/WLAN on USG300/1000 Aumenta las firmas ZAV a 15k Web Security (ZyXEL Safe Browsing) IP/Mac binding DDNS: 3322 (Principalmente para CN KA) SSLVPN: RDP/VNC, pág.de login de cliente ZLD 2.12 con la serie USG IPSec: VPN fall back & Ping Check HA en modo bridge SSL VPN: Vista, Active X, EPS Política de autenticación (simple NAC) SIP BWM w/o ALG Mejora throughput PPPoE ZLD 2.20 con la serie USG Usabilidad mejorada Mejora BWM Windows 7 ready Seguridad en el punto final Mejora AAA Mejora SIP/ALG Sencilla resolución de incidencias Nuevo diseño del GUI (look & feel mejorado) ZLD 2.00 con USG300/1000 Kasperkey AV VPN(IPSec/SSL) híbrido L2TP IDP/ADP Actualización IM/P2P ZyWALL USG 2000 con módulo SEM ZyWALL USG 300 ZyWALL USG 1000 ZyWALL USG 200 ZyWALL USG 100
Resumen de prestaciones del ZLD v2.20 : (1/2) Prestaciones básicas del ZLD v2.20 Usabilidad Mejorada ¿Qué mejora? Paquete ZLD flujo v2.0 Auto deshabilitación de ruta cuando el siguiente salto está caído El usuario no necesita configurar la ruta por defecto para el tráfico LAN-WAN. El usuario no necesita configurar la routa para el tráfico IPSec Sobreescritura de las rutas Soporta NAT Varios a 1 Soporta NAT sobrecarga Varios a Varios saliente Diseño de Interfaz Unificado Estilo consistente con todos los interfaces USG Referencia a Objetos Muestra “Dónde se utiliza” para cada objeto Mejora CF Prueba de Bypass CF en VPN IPSec BWM ¿Qué mejora? DSCP Etiquetado Diff SERV BWM por marca DSCP Seguridad en el Punto Final ¿Qué mejora? EPS (con SSL VPN) Prueba de seguridad en el punto final contra SSLVPN EPS (con Política de Autenticación) Soporta Kaspersky y muchos otros clientes Windows 7 ready ¿Qué mejora? Mejora SSLVPN Soporte de Windows 7 en túneles SSLVPN
Resumen de prestaciones del ZLD v2.20: (2/2) Prestaciones básicas del ZLD v2.20 Aspecto mejorado ¿Qué mejora? GUI v2.0 Utilización de tecnología Web 2.0 (Ajax); más flexible y sencilla Dispositivo virtual en la pantalla Resolución de incidencias más sencilla ¿Qué mejora? GUI v2.0 (aspecto mejorado) Soporte de visualización de log para interfaz origen/destino y protocolo Configuración de captura de paquetes por GUI Control de captura de paquetes desde el GUI Soporta captura simultánea de múltiples interfaces Descarga del fichero PCAPs desde el GUI Varios ¿Qué mejora? Mejora AAA Soporta Grupo de usuarios LDAP Política de autenticación Versión mejorada para forzar la autenticación de usuario Mejora 3G Soporte de más tarjetas 3G (USB) & control consumo 3G Mejora VPN IPSec IPSec HA Auto Fall Back (prestación ZyNOS-alike ) Mejora HA Soporte de Bridge/VLAN en modo Device HA AP Mejora ALG SIP ALG SIP ALG 1.2: Soporte de IPPBX en escenario de zona DMZ Método requerimiento DNS Requerimiento DNS asociado a un determinado interfaz Mejora enrutamiento RIP/OSPF en VLAN
Usabilidad Mejorada Paquete ZLD 2.0 Mejora de Interfaz Unificada Mejora de CF Referencia a Objetos
Problemas en la versión ZLD actual Problemas en las versiones actuales ZLD 2.0x, 2.1x Problema del Servidor Virtual El mapeo 1:1 necesita utilizar políticas de enrutamiento (policy routing) NAT loop back necesita utilizar políticas de enrutamiento (policy routing) No dispone de soporte “Varios uno a uno” Si el mapeo IP es “device unowned IP”, el dispositivo creará un interfaz virtual para la regla de servidor virtual (Se necesita una solución mejor). Enrutamiento El usuario necesita crear políticas de enrutamiento (policy routing) (e.g. tráfico lan , tráfico wlan) La ruta directa siempre tiene una prioridad mayor que la política de enrutamiento Establecer SNAT con “device unowned IP” en la política de enrutamiento no funciona VPN Dependencia a Dependencia necesita política de enrutamiento
Nuevo Diseño del Flujo de Paquetes El usuario no necesita establecer una política de enrutamiento para el tráfico por defecto LAN-WAN y el tráfico VPN Ruta de enlace SNAT y WAN por defecto Coexistencia de rutas estáticas y dinámicas Auto creación de política de enrutamiento VPN Soporte de NAT “Varios a Varios” saliente (Proxy ARP) Nueva implementación de NAT loopback La política de enrutamiento puede sobreescribir la ruta directa
Cambios en la Tabla de Enrutamiento ZLD Subredes conectadas directamente Ruta estática principal (Linux) Ruta dinámica Política de enrutamiento VPN dinámica Prueba de enrutamiento Versión ZLD 2.1x Subredes conectadas directamente Subredes conectadas directamente Política de enrutamiento Varios 1 a 1 NAT #1,…, #n Auto VPN VPN Site to Site VPN dinámica Versión ZLD 2.20 Prueba de enrutamiento Tabla principal de rutas Enlace WAN por defecto Ruta estática y dinámica Nueva tabla de rutas en ZLD 2.20
Enlace WAN por defecto Proporciona un enlace por defecto “SYSTEM_DEFAULT_WAN_TRUNK” que el usuario no puede eliminar. SYSTEM_DEFAULT_WAN_TRUNK añadirá un interfaz Ethernet externo y un ppp/aux/cellular automáticamente.
NAT Mejorado Soporta NAT 1 a 1 y varios 1 a 1 Nueva implementación de NAT loopback Cambio en el diseño de la Tabla NAT Política de enrutamiento SNAT Haciendo SNAT SNAT 1 a 1 (incluyendo varios 1 a 1) Diseño ZLD 2.1x Diseño ZLD 2.20 Comprob. prioridad alta baja Política de enrutamiento SNAT Haciendo SNAT SNAT 1 a 1 (incluyendo varios 1 a 1) NAT Loopback SNAT por defecto
SNAT por defecto El tráfico que cumpla con los siguientes criterios realizará la acción indicada. Solamente “interno a externo” realizará SNAT SNAT Scenarios (Example) Internal  external On LAN  WAN Access Internet Internal  internal Off LAN  DMZ Access Server external  Internal Off WAN  LAN Serving Internet access external  external Off WAN  WAN Dynamic Route
Mejora de la Política de Enrutamiento Objetivo Deshabilitar automáticamente la política de enrutamiento cuando el siguiente salto está caído. Estado del interfaz basado en: Enlace up/down Interfaz habilitado/deshabilitado Prueba de conectividad IP objeto o no Activado (verde) Desactivado (gris) Auto-Desactivado (rojo)
Mejora de Interfaz Unificado Propósito Proporciona un diseño más flexible y amigable Unifica los formatos de configuración de toda la Serie USG Mejora del ZLD 2.20 Nombre de interfaz configurable Muestra la información de puerto en el interfaz Ethernet Propiedad de interfaz Interfaz PPP por defecto de sistema Cambio en diseño de Zona/Enlace
Unifica el Nombre de Interfaz para todos los productos Antes del ZLD v2.20 Nombre de interfaz en los equipos USG100/200 wan1, wan2, opt, lan1, lan2, dmz USG300/1000/2000, ZW1050 ge1, ge2, ge3 and so on Después del ZLD 2.20 Unifica el nombre de interfaz para todos los modelos El usuario puede definir un nombre determinado
Nombre de interfaz configurable (1/2) El usuario puede modificar el nobre de interfaz El nombre de interfaz es configurable
El nuevo nombre de interfaz mostrará todas las características que esté utilizando el interfaz Nombre de interfaz configurable (2/2) Muestra el nombre de interfaz definido por el usuario
Se muestra la información de puerto en el interfaz Interfaz Presentación Ethernet: ge1(wan1), ge2(wan2), ge3(lan1)… P1, P2, P3,… VLAN, PPP Muestra el puerto físico, tal como P1, P2… Bridge n/a WLAN, Cellular Mustra la localización, tal como shot1/shot2 or USB1/USB2 Aux aux
Propiedad de interfaz Diferencia los interfaces en varios grupos Diferente programación para propiedades diferentes Página de configuración simplificada en el GUI Tipo Interno Externo General Modelo USG 100/200: LAN1, LAN2, DMZ USG 100/200: WAN1, WAN 2 USG 300/1000/2000: ge1, ge2… Set DHCP Client No Soportado Soportado Soportado Set DHCP Server Soportado No Soportado Soportado Set DHCP Relay Soportado No Soportado Soportado Set Default Gateway No Soportado Soportado Soportado Set Metric No Soportado Soportado Soportado Set Ping Check No Soportado Soportado Soportado MAC Address Setting No Soportado Soportado Soportado
Interfaz PPP por defecto de sistema Soporta el encadenamiento de múltiples interfaces PPP en un interfaz WAN para el USG 100/200 . Soporta el establecimiento de PPP sobre el interfaz VLAN para el USG 100/200. Interfaz PPP por defecto del sistema. El usuario no lo puede eliminar Se pueden añadir/borrar interfaces PPP definidos por el usuario
Cambio en el diseño de Zona/Enlace Tipo Antes del ZLD v2.20 Después del ZLD v2.20 ZONA USG 100/200 ZONA fija: - WAN, - LAN1, - LAN2, - WLAN, - DMZ, - OPT(sólo para USG200), - SSL_VPN, - IPSec VPN El usuario no puede crear/borrar ZONA ZONE por defecto de sistema: - WAN, - LAN1, - LAN2, - WLAN, - DMZ, - OPT(sólo para USG200), - SSL_VPN, - IPSec VPN El usuario puede crear/borrar ZONA USG 300/1000/2000 El usuario puede crear/borrar ZONA ENLACE USG 100/200 a. Limitado a 5 ENLACES : -WAN_TRUNK, -WAN_TRUNK2, -WAN_TRUNK3, -WAN_TRUNK4, -WAN_TRUNK5 b. El usuario no puede añadir/borrar ENLACE existente No Limitado a 5 ENLACES fijos El usuario puede añadir/borrar ENLACE USG 300/1000/2000 El usuario puede añadir/borrar ENLACE
Referencia a objeto Modelo actual: Cuando el usuario intenta eliminar un objeto usado, el sistema le enviará un mensaje de error, pero no información adicional. Nuevo diseño: Nuevo mecanismo para obtener todas las referencias por Objeto/Grupo.
Referencia a objeto: GUI
Mejora de CF Algunos usuarios requieren no hacer verificación de filtrado de contenido cuando atraviesan un túnel VPN Añade un comando CLI al filtro CF Bypass/Inspección en tráfico VPN
BWM Etiquetado Diff SERV BWM mediante marca DSCP
¿Qué es el Punto de Código DiffServ (DSCP)? Negocia las condiciones de tráfico/acuerdo de nivel de servicio Define el DSCP de acuerdo con las políticas administrativas : Router de Borde de Red : Router de Núcleo de Red Caracteriza el conformado y marcado del tráfico y el control administrativo Guarantee traffic QoS level based on DSCP
Diseño DSCP Objetivo Acondicionamiento, conformado y marcado del tráfico a través de DSCP Soporte del marcado DSCP basado en la capa de aplicación Funcionalidad DSCP en ZLD Marcado: clasificación del tráfico según los valores DSCP de acuerdo con la aplicación o dirección IP de origen/destino, servicio o tipo de usuario. Gestión de ancho de banda: Los paquetes con DSCP diferente recibirán BWM diferenciado. Enrutamiento: Paquetes con etiquetas DSCP diferentes pueden obtener enrutamiento o NAT distintos Combina el control DSCP con las reglas de vigilancia y control de aplicaciones
Seguridad en el Extremo Final (EPS) EPS con VPN SSL EPS con Política de Autenticación
Lista de aplicaciones que soportan EPS Software Cliente Anti-Virus Software de Cortafuegos Personal Norton_AntiVirus, 2010 Kaspersky_Internet_Security, 2009, 2010 Norton_Internet_Security, 2010 TrendMicro_PC-Cillin_Internet_Security, 2010 Norton_360 Version, version 3 TrendMicro_PC-Cillin_Internet_Security_Pro, 2010 Kaspersky_Anti-Virus, 2009, 2010 Windows_Firewall Kaspersky_Internet_Security, 2009, 2010 Microsoft_Security_Center TrendMicro_PC-Cillin_Internet_Security, 2010 TrendMicro_PC-Cillin_Internet_Security_Pro, 2010 TrendMicro_PC-Cillin_AntiVirus, 2010 Avria AntiVir Personal, 2009 Microsoft_Security_Center
EPS con VPN SSL El software de seguridad se distribuye a los dispositivos del usuario final. Se descarga e instala un programa en el extremo final y se comprueba su seguridad mediante el ZyWALL cuando se producen accesos. Si el entorno de operación del extremo final cuadra con los requerimientos de seguridad de la empresa, se permite el acceso. Comprueba el host del cliente para: Instalación y activación de Anti-Virus Instalación y activación de Anti-Spyware Instalación y activación de cortafuegos personal El usuario define la verificación de la configuración interna del S.O, Ej: El registro de Windows
Escenario con verificación EPS Servidor de Correo Servidor de Archivos Servidor Web LDAP,RADIUS, Directorio activo Empresa Verifica : Anti-Virus v Anti-spware v Cortafuegos Personal v … . v … . v Verifica : Anti-Virus × Anti-spware v Cortafuegos Personal × … . v … . v Verifica : Anti-Virus × Anti-spware × Cortafuegos Personal × … . × … . × × × ×
EPS con Política de Autenticación Mejora la versión de autenticación forzada de usuario. Control de admisión de red. Se realiza la verificación de EPS después de la autenticación de usuario. El usuario puede acceder a la red después de pasar las pruebas de autenticación y EPS.
Windows 7 ready Mejora de VPN SSL
Soporte de Windows 7 Elementos técnicos/Especs. Despliegue Top-down Nota (4Q'09) (1Q'10) (2Q'10)   ZLD 2.12 patch x ZLD 2.20 ZLD 2.21   Túnel completo SSLVPN: Ejecutar SecuExtender en Windows 7 sí sí sí   Modo proxy SSLVPN : El usuario ejecuta IE8 en Windows 7 sí sí sí   Gestión de dispositivo: El Administrador usa IE8 en Windows 7 sí sí sí   EPS: Establecer regla para detectar Windows 7 no sí sí     (4Q'09) (2Q'10) (4Q'10)   Cliente IPSec VPN (TGB) sí sí sí Versión IPSec : 2.4.204.61.03
Aspecto mejorado GUI 2.0
Introducción al Interfaz Web GUI 2.0 El interfaz Web GUI 2.0 del ZLD está basado en la librería Ext-JS’s de desarrollo, debido a: Altas prestaciones, UI personalizables Modelo de componentes bien diseñado, documentado y extensible Buena compatibilidad con navegadores
Propiedad del Interfaz Web GUI 2.0 Árbol de menú reorganizado Sencillo de monitorizar el estado del dispositivo Dispositivo Virtual Tablero personalizable Operación mediante tablas amigables Interfaz de configuración más amigable
Tablero Monitorización Configuración Mantenimiento Árbol de Menú Reorganizado
Dispositivo Virtual
Tablero Personalizado (1/2)
Tablero Personalizado (2/2)
Operación mediante Tablas Amigables
Configuración Rápida
Rápida Resolución de Incidencias LOG in GUI 2.0 Herramienta de Depuración
LOG Soporta una columna adicional de log Interfaz Origen Interfaz Destino Protocolo
Mejora de la Vigilancia de Aplicaciones Soporte de login/logout para usuarios de MSN El usuario XXX de MSN ha hecho log in. El usuario XXX de MSN ha hecho log out.
Herramienta de depuración Simplifica la resolución de incidencias Dispone de una página en el GUI para la captura de paquetes Soporta interfaces múltiples para la captura de paquetes Descarga el resultado de la captura de paquetes desde el GUI
Varios
En el diseño actual del ZLD, la agrupación de usuarios externos no es amigable Utilización de un grupo grande (i.e. ldap-users) para representar todos los usuarios externos Los miembros de grupos definidos por el usuario se tienen que introducir a mano El nuevo diseño: Representa a cada usuario independientemente, en vez de agruparlos en grupos de cientos Soporta tantos escenarios como sean necesarios Necesita menos pasos de configuración Mejora AAA
Mejora AAA - Alcance del diseño Esta mejora sólo se aplica a aquellos servicios que son conscientes de la existencia de los usuarios (user-aware services) y soportan AAA externa Los servicios que soportan AAA externa autentican a los usuarios mediante un servidor AAA externo weblogin , L2TP, x-auth, WLAN Los servicios conscientes de la existencia de usuario (user-aware) notifican las características del usuario acerca del estado de login/logout. weblogin , dialin, ftp, login, ssh A partir de ahora, solamente se considerará el caso weblogin
Control de Uso: 3G Control de uso de las redes 3G mediante: Tiempo de uso Datos transmitidos Acciones soportadas: Log/Alert Caída de conexión
VPN IPSec : Fall Back Fail Over: Negociación de túnel con un gateway remoto secundario cuando el primario se ha caído Fall Back: Permite la re-conexión del túnel al gateway remoto primario, aunque el secundario esté activo Si el gateway remoto secundario está activo, se mantiene siempre la conexión con él debido a que un “demonio” IPsec registra el gateway remoto caído.
VPN IPSec: Auto Fall Back HQ: 172.23.38.1 Fase 1: SG1:172.23.38.10 (A) SG2:172.23.38.20 (B) Gateway seguro A IP:172.23.38.10 Gateway seguro B IP:172.23.38.20 Fail Over Fall Back No Fail Over  No Fall Back Fall Back  Fail Over
Mejora del funcionamiento del dispositivo en Alta Disponibilidad (Device HA) Soporta los interfaces Bridge y VLAN en Modo AP Device HA El backup Device HA no realiza NTP Sync (ITS)
SIP ALG 1.2 Propósito: Soporte de IPPBX en escenarios de zona DMZ Alcance del diseño: Seguimiento de Puertos SIP Escucha de puertos UDP ports sobre SIP: máx 8 puertos Comportamientos: Conexiones SIP relacionadas Ayuda al Agente APP a monitorizar las conexiones SIP NAT ALG Modificación de paquetes en entornos NAT Ayuda a los clientes a constituir conexiones multimedia en entornos NAT Incrementa el “tiempo de vida” de las conexiones SIP Controles personalizados
Mejora de la Petición DNS (1/2) Problema actual: El servidor DNS de destino del encaminador de zona se decide mediante el dominio de la FQDN requerida Problema: Las entradas de enrutamiento determinan el interfaz desde el que se enviará la Petición DNS La Petición DNS no será atendida si el servidor DNS de destino que solicita la Petición DNS tiene que proceder de su red ISP Algunos requerimientos DNS con dominio específico necesitan asociarse a un interfaz determinado
Mejora de la Petición DNS (2/2) Fuerza al paquete de Petición DNS a estar asociado a un interfaz específico cuando se envía. Nombre de interfaz (ge1, ge2 ..) : El servidor DNS del ISP o el servidor DNS personalizado. La petición DNS estará asociada al interfaz configurado any : Servidor DNS Personalizador. El interfaz de salida para la petición DNS depende de la decisión de enrutamiento túnel : Servidor DNS en la red remota. La petición DNS atravesará el túnel Petición DNS www.abc.com Zone Forwarder Table: Domain Server Via abc.com abc WAN2 xyz.com xyz WAN1 Cumple! Petición DNS Dst IP: abc www.abc.com
Mejora RIP/OSPF Cuando se edita la VLAN, el usuario puede configurar RIP/OSPF
FAQ

Más contenido relacionado

PDF
Datasheet firebox v-_es-la
AdrinMonfortRodrguez
 
PDF
Sistema de monitorización open nms
Julio Jornet Monteverde
 
PPTX
Presentacion kaspersky
Kevin Medina
 
PDF
Metodología de Desarrollo de TI para PYME
Jorge Luis Ojeda
 
PDF
I. fores optimización de la seguridad y la productividad de la red corporativ...
COIICV
 
PPT
Audema
ivanrodrigo
 
PDF
Aura Systems - Portafolio de Soluciones y Servicios 2015
Aura Systems Perú
 
PDF
Whitepaper: Principales medidas de seguridad para los teletrabajadores
Arsys
 
Datasheet firebox v-_es-la
AdrinMonfortRodrguez
 
Sistema de monitorización open nms
Julio Jornet Monteverde
 
Presentacion kaspersky
Kevin Medina
 
Metodología de Desarrollo de TI para PYME
Jorge Luis Ojeda
 
I. fores optimización de la seguridad y la productividad de la red corporativ...
COIICV
 
Audema
ivanrodrigo
 
Aura Systems - Portafolio de Soluciones y Servicios 2015
Aura Systems Perú
 
Whitepaper: Principales medidas de seguridad para los teletrabajadores
Arsys
 

La actualidad más candente (20)

PDF
SafeConsole - hoja de producto - aTICser v2
ATICSER STI
 
PPT
Microsoft Windows Server 2003 Y Windows 2000 I
teddy666
 
PPTX
Security Day 2010 Tecnologías Forefront
Chema Alonso
 
PPTX
Encamina windows intune cloud
www.encamina.com
 
PDF
ESET Endpoint Solutions
ESET Latinoamérica
 
PPTX
Dispositivos ASA
mephilesx
 
PDF
Eset smart sercurity_premium_10
Julio Antonio Huaman Chuque
 
PDF
2014 Seguridad Cibernetica Inteligente Brochure
schangan1
 
PDF
Implementacion de seguridad en redes inalambricas
Brayan Giraldo
 
PDF
Administar una red wi fi.
vianney gonzalez
 
PPTX
[WEBINAR] Riesgos de Seguridad en entornos Virtuales.
Grupo Smartekh
 
PPTX
Sonicwall_ngfw
Fundació CATIC
 
PDF
Raw wtithepaper 6 abr
Pablo
 
PDF
SonicWall_Protecció_Equips_Mòbils
Fundació CATIC
 
PDF
Seguridad Web
Unitel Sistemas de Telecomunicaciones
 
PDF
WEBINAR : WINDOWS 2019 HARDENING (Aseguramiento)
Cristian Garcia G.
 
PPTX
Tendencias de seguridad en redes
Fundación Proydesa
 
PDF
Firewall Seguridad
Jesus Perez Milan
 
PDF
Stone gate overview 1
Multibyte Consultoria
 
PPTX
Zscaler - webcast de Gartner - Los peligros ocultos detrás de su motor de bús...
AEC Networks
 
SafeConsole - hoja de producto - aTICser v2
ATICSER STI
 
Microsoft Windows Server 2003 Y Windows 2000 I
teddy666
 
Security Day 2010 Tecnologías Forefront
Chema Alonso
 
Encamina windows intune cloud
www.encamina.com
 
ESET Endpoint Solutions
ESET Latinoamérica
 
Dispositivos ASA
mephilesx
 
Eset smart sercurity_premium_10
Julio Antonio Huaman Chuque
 
2014 Seguridad Cibernetica Inteligente Brochure
schangan1
 
Implementacion de seguridad en redes inalambricas
Brayan Giraldo
 
Administar una red wi fi.
vianney gonzalez
 
[WEBINAR] Riesgos de Seguridad en entornos Virtuales.
Grupo Smartekh
 
Sonicwall_ngfw
Fundació CATIC
 
Raw wtithepaper 6 abr
Pablo
 
SonicWall_Protecció_Equips_Mòbils
Fundació CATIC
 
Seguridad Web
Unitel Sistemas de Telecomunicaciones
 
WEBINAR : WINDOWS 2019 HARDENING (Aseguramiento)
Cristian Garcia G.
 
Tendencias de seguridad en redes
Fundación Proydesa
 
Firewall Seguridad
Jesus Perez Milan
 
Stone gate overview 1
Multibyte Consultoria
 
Zscaler - webcast de Gartner - Los peligros ocultos detrás de su motor de bús...
AEC Networks
 
Publicidad

Destacado (7)

PPT
La nueva gestión comercial ¿cómo ha de ser nuestro argumentario de ventas?
Waribo Consultores
 
PPT
Argumentacion y objeciones
Sandra Martinez Salvador
 
PPTX
Taller de manejo de objeciones
Alta Estrategia
 
PPT
Script, Guión, Manual Operativo o Argumentario - por Angélica Pereyra
elcontact.com
 
DOCX
Ejemplo de Guión telefonico
Anie Gomez
 
PDF
The Six Highest Performing B2B Blog Post Formats
Barry Feldman
 
PDF
The Outcome Economy
Helge Tennø
 
La nueva gestión comercial ¿cómo ha de ser nuestro argumentario de ventas?
Waribo Consultores
 
Argumentacion y objeciones
Sandra Martinez Salvador
 
Taller de manejo de objeciones
Alta Estrategia
 
Script, Guión, Manual Operativo o Argumentario - por Angélica Pereyra
elcontact.com
 
Ejemplo de Guión telefonico
Anie Gomez
 
The Six Highest Performing B2B Blog Post Formats
Barry Feldman
 
The Outcome Economy
Helge Tennø
 
Publicidad

Similar a Más que una Actualización - ZyWALL ZLD v2.20 (20)

PPT
Audema
ivanrodrigo
 
PDF
N. de Tomas. BYOD, ¿Cómo gestionar el cambio de paradigma de modo seguro?. Se...
COIICV
 
PPT
Microsoft Windows Server 2003 Y Windows 2000
teddy666
 
PPT
Microsoft Technet - Microsoft Forefront
Chema Alonso
 
PDF
Cartronic Group - Partner Engenius
Cartronic Group
 
PDF
Watchguard xtm5 ds_es
Erick Celada
 
PPTX
Check point
Are Mar
 
PPTX
Juan Carlos Rivera Zscaler: How to achieve a hybrid workforce, from anywhere,...
CIO Edge
 
PDF
Firewall palo alto
Ingeniero Itt
 
ODP
Herramientas telematicas
Daniel Martinez
 
PPTX
Charla windows 10 para Empresas
Eduardo Castro
 
PDF
La nube, el nuevo sol: Retos y Soluciones en Arquitecturas de Telecontrol en ...
Logitek Solutions
 
ODP
Seguridad Inalámbrica
segarreta
 
PDF
Actividad 1 Firewall (FortiGate)
Yeider Fernandez
 
PDF
ORIGIN STACK EL APLIANCE DE VIRTUALIZACIÓN ENTERPRISE
Telecomputer
 
PPTX
Vpn astrid impress
ASTRID VASQUEZ
 
PPTX
Vpn astrid impress
ASTRID VASQUEZ
 
PPTX
Draft FortiClient - FortiMail Draft FortiClien
JoseSerrano541764
 
PDF
Practica 3 - Arquitectura de seguridad en la red
Monica Acevedo
 
ODP
Herramientas telematicas
Daniel Martinez
 
Audema
ivanrodrigo
 
N. de Tomas. BYOD, ¿Cómo gestionar el cambio de paradigma de modo seguro?. Se...
COIICV
 
Microsoft Windows Server 2003 Y Windows 2000
teddy666
 
Microsoft Technet - Microsoft Forefront
Chema Alonso
 
Cartronic Group - Partner Engenius
Cartronic Group
 
Watchguard xtm5 ds_es
Erick Celada
 
Check point
Are Mar
 
Juan Carlos Rivera Zscaler: How to achieve a hybrid workforce, from anywhere,...
CIO Edge
 
Firewall palo alto
Ingeniero Itt
 
Herramientas telematicas
Daniel Martinez
 
Charla windows 10 para Empresas
Eduardo Castro
 
La nube, el nuevo sol: Retos y Soluciones en Arquitecturas de Telecontrol en ...
Logitek Solutions
 
Seguridad Inalámbrica
segarreta
 
Actividad 1 Firewall (FortiGate)
Yeider Fernandez
 
ORIGIN STACK EL APLIANCE DE VIRTUALIZACIÓN ENTERPRISE
Telecomputer
 
Vpn astrid impress
ASTRID VASQUEZ
 
Vpn astrid impress
ASTRID VASQUEZ
 
Draft FortiClient - FortiMail Draft FortiClien
JoseSerrano541764
 
Practica 3 - Arquitectura de seguridad en la red
Monica Acevedo
 
Herramientas telematicas
Daniel Martinez
 

Último (20)

PDF
ACTIVIDAD 2.pdf j
JuanVelandia33
 
PDF
Calidad desde el Docente y la mejora continua .pdf
marioosornozetina1
 
PPTX
RAP01 - TECNICO SISTEMAS TELEINFORMATICOS.pptx
josemejiadiazfonseca
 
PPT
introduccion a las_web en el 2025_mejoras.ppt
CesarCcamaZenteno
 
PDF
Estrategia de apoyo tecnología grado 9-3
edepmiguelsolis
 
PPTX
historia_web de la creacion de un navegador_presentacion.pptx
Carlos704324
 
PDF
Conceptos básicos de programación tecnología.pdf
EmanuelFlechas
 
PDF
Maste clas de estructura metálica y arquitectura
juancarlos542581
 
PDF
Temas y subtemas de las fichas 1 y 2.pdf
linithzuniga
 
PPTX
Yogurt de tocosh (1).pptx preparacion receta
JaimeCarlosmiguel
 
PDF
La electricidad y la electrónica .pdf n
JuanVelandia33
 
PPTX
Presentación de Redes de Datos modelo osi
FernandoCabrera177238
 
PDF
programa-de-estudios-2011-guc3ada-para-el-maestro-secundarias-tecnicas-tecnol...
ParaVerPeliculas
 
PDF
Plantilla para Diseño de Narrativas Transmedia.pdf
veronicafernandezab
 
DOCX
Trabajo colaborativo Grupo #2.docxmkkkkkkl
edepanaobando
 
PDF
SAP Transportation Management para LSP, TM140 Col18
Libreria ERP
 
PDF
diagrama de pareto.pdf valerie giraldo diaz
valeriegd2007
 
PPTX
REDES INFORMATICAS REDES INFORMATICAS.pptx
rendertecno
 
DOCX
Zarate Quispe Alex aldayir aplicaciones de internet .docx
alexaldayirzaratequi
 
PPTX
IA de Cine - Como MuleSoft y los Agentes estan redefiniendo la realidad
Felipe González
 
ACTIVIDAD 2.pdf j
JuanVelandia33
 
Calidad desde el Docente y la mejora continua .pdf
marioosornozetina1
 
RAP01 - TECNICO SISTEMAS TELEINFORMATICOS.pptx
josemejiadiazfonseca
 
introduccion a las_web en el 2025_mejoras.ppt
CesarCcamaZenteno
 
Estrategia de apoyo tecnología grado 9-3
edepmiguelsolis
 
historia_web de la creacion de un navegador_presentacion.pptx
Carlos704324
 
Conceptos básicos de programación tecnología.pdf
EmanuelFlechas
 
Maste clas de estructura metálica y arquitectura
juancarlos542581
 
Temas y subtemas de las fichas 1 y 2.pdf
linithzuniga
 
Yogurt de tocosh (1).pptx preparacion receta
JaimeCarlosmiguel
 
La electricidad y la electrónica .pdf n
JuanVelandia33
 
Presentación de Redes de Datos modelo osi
FernandoCabrera177238
 
programa-de-estudios-2011-guc3ada-para-el-maestro-secundarias-tecnicas-tecnol...
ParaVerPeliculas
 
Plantilla para Diseño de Narrativas Transmedia.pdf
veronicafernandezab
 
Trabajo colaborativo Grupo #2.docxmkkkkkkl
edepanaobando
 
SAP Transportation Management para LSP, TM140 Col18
Libreria ERP
 
diagrama de pareto.pdf valerie giraldo diaz
valeriegd2007
 
REDES INFORMATICAS REDES INFORMATICAS.pptx
rendertecno
 
Zarate Quispe Alex aldayir aplicaciones de internet .docx
alexaldayirzaratequi
 
IA de Cine - Como MuleSoft y los Agentes estan redefiniendo la realidad
Felipe González
 

Más que una Actualización - ZyWALL ZLD v2.20

  • 1. ZLD v2.20 Argumentario de Ventas
  • 2. Sumario Tendencias y Retos Introducción al ZLD v2.20 Prestaciones Básicas del ZLD v2.20 Seguridad en el Extremo Final Control granular sobre las aplicaciones de redes sociales VoIP amigable Windows 7 ready Nuevo Interfaz Gráfico (GUI) más intuitivo Arquitectura de enrutamiento mejorada Integración completa MS AD Apéndice: Evolución histórica del ZLD El ZLD v2.20 en detalle
  • 3. Lo que está ocurriendo a su alrededor:
  • 4. ¿De dónde vienen las amenazas? ZyWALL USG 300 Public Kiosk Home Teletrabajador Oficina Central ZyWALL USG 2000 Protected Servers Sucursal Acceso Remoto IP PBX IP PBX ZyWALL USG 50 DMZ Server SSL VPN IPSec VPN L2 Switch L3 Switch Internet Reducir Amenazas Externas Establecer Túneles VPN Fiables Contra las Acciones de Vulneración de Cualquier Origen Garantizar el Acceso Remoto y Facilitar la Gestión
  • 5. Solución de Seguridad de ZyXEL Seguridad en la Empresa Mitigate External Against Policy Violations from within Establish Reliable VPN Tunnels Guarantees HA & Easy Management Conectividad Segura Solución VPN completa para conexiones entre sucursales y acceso remoto Protección de Red Proactiva Funcionalidad UTM para proporcionar protección exhaustiva frente a amenazas Refuerzo de la Política de Seguridad Política de usuario que permite granularidad en el acceso Gestión y Recuperación de Red Tolerancia a fallos en las rutas de red: Enlace WAN, pasarelas,VPN
  • 6. Tendencias del 2010… Utilización en zonas menos visibles Menor productividad Trabajo en entorno Windows 7 Todos los usuarios deben cumplir la política de seguridad Problemas Amenazas Internas Disponibilidad de Windos 7 Popularidad del Netbook Websites Sociales
  • 7. Conectividad Segura Protección de Red Proactiva Refuerzo de la Política de Seguridad Gestión y Recuperación de Red Seguridad en la Empresa ZyWALL ZLD v2.20: Más que una actualización Incorpora 90+ nuevas mejoras VoIP Amigable Seguridad en el Extremo Final Control Granular sobre Aplicaciones de Redes Sociales Windows 7 ready Nuevo Interfaz Gráfico más Intuitivo Arquitectura de Enrutamiento mejorada Integración Completa MS AD
  • 8. ¿Quién amenaza la red de la empresa? Enterprise Network 1. ¿Firma actualizada? 2. ¿Cortafuegos personal habilitado? Red de la Empresa Refuerzo de la Política de Seguridad Gestión y recuperación de Red Conectividad Segura Protección de Red Proactiva Seguridad en la Empresa Interna Empleado - Invitado Externa Teletrabajador Desde casa Desde el hotel Cómo asegurarse de que todos los usuarios cumplen con la política de seguridad
  • 9. Escenario de Despliegue EPS Empleado accediendo desde su casa Empleado accediendo desde el aeropuerto/hotel Externa DMZ (Granja de Servidores) Servidor Email Aplicaciones Web Escritorio Remoto Sistema BI Servidor de aplicaciones (Inventario,almacén..) Sistema OA, ERP Sistema CRM Túnel SSL-VPN Internet LAN User1 LAN User2 Túnel SSL-VPN El administrador puede identificar rápidamente clientes “inseguros”, bloqueando el acceso a Internet/DMZ y forzándoles así a solucionar el problema, p.e. instalando un parche o software AV o actualizando la firma. USG’s EPS puede verificar: Software Anti-Virus Software Cortafuegos Nivel de Servicio OS ZyWALL USG Checking: 1. Anti-Virus…………. X 2. Personal Firewall …X 3. OS patch level….…..V The result is NO Access Checking: 1. Anti-Virus…………. V 2. Personal Firewall …V 3. OS patch level….…..V The result is Access Checking: 1. Anti-Virus…………. V 2. Personal Firewall …V 3. OS patch level….…..V The result is Access Interna Refuerzo de la política de Seguridad Gestión y Recuperación de Red Conectividad Segura Protección de Red Proactiva Seguridad en la Empresa
  • 10. Aplicaciones de Redes Sociales El motivo original de las redes sociales, como Facebook o LinkedIn, es conectar personas, compartir información o intercambiar experiencias a travésde la web. Las encuentas indican que el 77% de los usuarios de Facebook acceden a la red en horas de trabajo – Computerworld (Julio) Disminución de la Productividad Gestión y Recuperación de Red Conectividad Segura Protección de Red Proactiva Refuerzo de la Política de Seguridad Enterprise Security
  • 11. Control granular de las aplicaciones de redes sociales El ZyWALL USG puede limitar el acceso… Juego de Facebook Todas a la Vez Una a una All Stop Gestión y Recuperación de Red Conectividad Segura Protección de Red Proactiva Refuerzo de la Política de Seguridad Seguridad en la Empresa
  • 12. VoIP más amigable SIP ALG mejorado soporta despliegue VoIP flexible Soporte de IPPBX en escenario de zona DMZ VoIP BWM de calidad, segura y mejorada La prioridad mayor para el tráfico SIP Soporte de DSCP tag/un-tag para grandes topologías USG con IP pública y IP-PBX detrás de USG(DMZ) Simétrico (con IPSec VPN) Gestión y Recuperación de Red Conectividad Segura Protección de Red Proactiva Refuerzo de Política de Seguridad Seguridad en la Empresa
  • 13. SSLVPN Soporta Windows 7 Windows 7 se ha lanzado, y el USG lo soporta mediante ZLD v2.20 La extensión SSLVPN Secure soporta Windows 7 (32/64 bits) También se soporta Windows 7 con IE8 Gestión y Recuperación de Red Conectividad Segura Protección de Red Proactiva Refuerzo de la Política de Seguridad Seguridad en la Empresa
  • 14. Serie USG de ZyWALL– Licencia SKU Tipo de Servicio/Prestación USG 2000 USG 1000 USG 300 USG 200 USG 100 ZyXEL Anti-Virus (Certificado ICSA) 1-YR      2-YR      Kaspersky Anti-Virus 1-YR      2-YR      IDP 1-YR      2-YR      Filtrado de Contenidos 1-YR      2-YR      Anti-Spam (incluido) RBL/DNSBL RBL/DNSBL RBL/DNSBL RBL/DNSBL RBL/DNSBL Túneles SSL VPN 5 incluidos 2 incluidos 5 -> 50 5 -> 250 5 -> 750 50 -> 250 50 -> 750 250 -> 750 5 -> 25 5 -> 50 25 -> 50 5 -> 250 25 -> 250 50 -> 250 2 -> 10 2 -> 25 10 -> 25 2 -> 10 2 -> 5 Gestión y Recuperación de Red Conectividad Segura Protección de Red Proactiva Refuerzo de Política de Seguridad Seguridad en la Empresa
  • 15. Interfaz Gráfico más intuitivo (GUI) ¿Qué hay de nuevo en el GUI del ZLD v2.20? Dispositivo Virtual Pantallas Personalizables Referencia a Objetos Operación mediante tablas de Usuario amigables Gestión y Recuperación de Red Conectividad Segura Protección de Red Proactiva Refuerzo de la Política de Seguridad Seguridad en la Empresa
  • 16. Dispositivo Virtual GUI Antiguo… GUI Nuevo… El Administrador puede monitorizar el dispositivo virtual para control/gestión remota Muestra Información de Interfaz (Ethernet, PPPoE, USB…) Muestra Información de los LEDs (SYS, PWR…) Virtual Device Gestión y Recuperación de Red Conectividad Segura Protección de Red Proactiva Refuerzo de la Política de Seguridad Seguridad en la Empresa
  • 17. Pantalla Personalizable GUI Antiguo… GUI Nuevo… Cada bloque era fijo y no se podía eliminar. Permite al administrador crear una página GUI personalizada para mostrar cualquier dispositivo. Gestión y Recuperación de Red Conectividad Segura Protección de Red Proactiva Refuerzo de la Política de Seguridad Seguridad en la Empresa
  • 18. Referencia a Objetos Cuando el administrador intenta eliminar un objeto, el GUI le muestra un mensaje de error. Esto es porque el objeto está relacionado con una determinada política y un objeto en uso no se puede eliminar. En la versión anterior no había mecanismos para que los administradores averiguaran si un objeto estaba relacionado con una política determinada. Ahora los administradores pueden averiguar de una manera sencilla la referencia de los objetos. Gestión y Recuperación de Red Conectividad Segura Protección de Red Proactiva Refuerzo de la Política de Seguridad Seguridad en la Empresa
  • 19. Operación mediante Tabla de Usuario Amigable - 1/3 La columna se puede mover Gestión y Recuperación de Red Conectividad Segura Protección de Red Proactiva Refuerzo de la Política de Seguridad Seguridad en la Empresa
  • 20. Operación mediante Tabla de Usuario Amigable - 2/3 La columna se puede ocultar Gestión y Recuperación de Red Conectividad Segura Proactive Network Protection Refuerzo de la Política de Seguridad Seguridad en la Empresa
  • 21. Operación mediante Tabla de usuario Amigable - 3/3 Las columnas se pueden buscar fácilmente Gestión y Recuperación de Red Conectividad Segura Protección de Red Proactiva Refuerzo de la Política de Seguridad Seguridad en la Empresa
  • 22. Arquitectura de Enrutamiento Mejorada Programación sencilla NAT 1:1 mapping NAT loopback Enrutamiento de tráfico LAN/WAN VPN Site to Site Política de enrutamiento Inteligente auto-creación prioridad Gestión y Recuperación de Red Conectividad Segura Protección de Red Proactiva Refuerzo de la Política de Seguridad Seguridad en la Empresa
  • 23. Escenario de Despliegue NAT (1) LAN User B LAN User A … … … El NAT “Varios hacia 1” es muy popular entre los usuarios LAN para acceder a Internet. Si se dispone de más de una IP pública para acceder a Internet, se puede usar el NAT “Varios hacia N”. Internet Gestión y Recuperación de Red Conectividad Segura Protección de Red Proactiva Refuerzo de la Política de Seguridad Seguridad en la Empresa
  • 24. Escenario de Despliegue NAT (2) Cuando se despliega una Web-site pública localizada en una LAN/DMZ, se puede utilizar el NAT “Uno a uno”. Cuando se despliegan en Internet varias Web-site públicas, se puede utilizar el NAT “Varios uno a uno”. Empleado teletrabajador Empleado teletrabajador Partner autorizado Cliente autorizado Granja de Servidores LAN … … 1 -- a --1 LAN/DMZ 1 – a --1 1 – a --1 … … varios 1 – to --1 Internet Gestión y Recuperación de Red Conectividad Segura Protección de Red Proactiva Refuerzo de la Política de Seguridad Seguridad en la Empresa
  • 25. Escenario de Despliegue NAT (3) La validación del “NAT loopback” permite a los usuarios LAN el acceso a las web-site públicas alojadas en la LAN/DMZ mediante dominio público (URL). Empleado teletrabajador Empleado teletrabajador Partner autorizado Cliente autorizado Granja de Servidores LAN … … 1 -- a --1 LAN/DMZ 1 – a --1 1 – a --1 … … varios 1 – to --1 NAT Loopback Internet Gestión y Recuperación de Red Conectividad Segura Protección de Red Proactiva Refuerzo de la Política de Seguridad Seguridad en la Empresa
  • 26. Resolución de Problemas sencilla Se necesitaba desplegar una gran cantidad de herramientas para realizar la “captura de paquetes”. Basta con clickar el botón de GUI para capturar paquetes Antes Ahora con ZLD 2.20 Seleccionar “ Captura de Paquetes” Seleccionar interfaz para capturar paquetes Decidir cuántos paquetes capturar Gestión y Recuperación de Red Conectividad Segura Protección de Red Proactiva Refuerzo de la Política de Seguridad Seguridad en la Empresa
  • 27. Integración Completa MS AD Cuando se despliega el USG en entornos de PyMEs y/o empresas, los administradores utilizarán el servidor de directorios existente para gestionar los usuarios. En el diseño actual, la agrupación de usuarios externos no es amigable – El USG utiliza un grupo grande para representar a todos los usuarios externos y los miembros del grupo se tienen que teclear a mano . ZLD v2.20 soporta grupos de usuario MS/AD Soporta tantos escenarios como sean necesarios. (ver pág. Sig) Se necesitan muy pocos pasos de configuración Soporte de dos identificadores diferentes para el login de usuario: . E.g. se puede usar “name” o “e-mail address” para login. Soporta el test de configuración de usuario AAA; MIS verifica si la configuración es correcta. Gestión y Recuperación de Red Conectividad Segura Protección de red Proactiva Refuerzo de la Política de Seguridad Seguridad en la Empresa
  • 28. Escenario de Directorio Activo Si la red es muy grande y compleja, estos escenarios pueden coexistir USG puede autenticar usuarios secuencialmente de acuerdo con el método de autenticación. . Internet Intranet AD server User could use “name” or e-mail address to login ZyWALL USG Maestro/Backup Autónomo Autónomo 1 2 3 Gestión y Recuperación de Red Conectividad Segura Protección de Red Proactiva Refuerzo de la Política de Seguridad Seguridad en la Empresa
  • 29. ZyXEL le ayuda… Conectividad y confidencialidad incrementada con un TCO inferior Ayuda a las empresas a reforzar la política de seguridad corporativa Implementación de arquitecturas de red redundantes para operar sin interrupciones Refuerzo de la Política de Seguridad Protección de Red Proactiva Conectividad Segura Gestión y Recuperación de Red Red de Empresa Asegurar redes convergentes y otras aplicaciones críticas de negocios
  • 30. Apéndice: Evolución histórica del ZLD El ZLD v2.20 en detalle
  • 31. Evolución de los Productos USG & Firmware ZLD PNeg PyME ZLD 2.10 con USG100/200/2000 Dual AV: KAV & ZAV 3G & WLAN Más DDNS: No-IP, DyNU; Peanut Prioridad de tráfico SIP HA: Virtual Mac Usabilidad: GUI simplificado AS (RBL/DNSBL) ZLD 2.11 con la serie USG 3G/WLAN on USG300/1000 Aumenta las firmas ZAV a 15k Web Security (ZyXEL Safe Browsing) IP/Mac binding DDNS: 3322 (Principalmente para CN KA) SSLVPN: RDP/VNC, pág.de login de cliente ZLD 2.12 con la serie USG IPSec: VPN fall back & Ping Check HA en modo bridge SSL VPN: Vista, Active X, EPS Política de autenticación (simple NAC) SIP BWM w/o ALG Mejora throughput PPPoE ZLD 2.20 con la serie USG Usabilidad mejorada Mejora BWM Windows 7 ready Seguridad en el punto final Mejora AAA Mejora SIP/ALG Sencilla resolución de incidencias Nuevo diseño del GUI (look & feel mejorado) ZLD 2.00 con USG300/1000 Kasperkey AV VPN(IPSec/SSL) híbrido L2TP IDP/ADP Actualización IM/P2P ZyWALL USG 2000 con módulo SEM ZyWALL USG 300 ZyWALL USG 1000 ZyWALL USG 200 ZyWALL USG 100
  • 32. Resumen de prestaciones del ZLD v2.20 : (1/2) Prestaciones básicas del ZLD v2.20 Usabilidad Mejorada ¿Qué mejora? Paquete ZLD flujo v2.0 Auto deshabilitación de ruta cuando el siguiente salto está caído El usuario no necesita configurar la ruta por defecto para el tráfico LAN-WAN. El usuario no necesita configurar la routa para el tráfico IPSec Sobreescritura de las rutas Soporta NAT Varios a 1 Soporta NAT sobrecarga Varios a Varios saliente Diseño de Interfaz Unificado Estilo consistente con todos los interfaces USG Referencia a Objetos Muestra “Dónde se utiliza” para cada objeto Mejora CF Prueba de Bypass CF en VPN IPSec BWM ¿Qué mejora? DSCP Etiquetado Diff SERV BWM por marca DSCP Seguridad en el Punto Final ¿Qué mejora? EPS (con SSL VPN) Prueba de seguridad en el punto final contra SSLVPN EPS (con Política de Autenticación) Soporta Kaspersky y muchos otros clientes Windows 7 ready ¿Qué mejora? Mejora SSLVPN Soporte de Windows 7 en túneles SSLVPN
  • 33. Resumen de prestaciones del ZLD v2.20: (2/2) Prestaciones básicas del ZLD v2.20 Aspecto mejorado ¿Qué mejora? GUI v2.0 Utilización de tecnología Web 2.0 (Ajax); más flexible y sencilla Dispositivo virtual en la pantalla Resolución de incidencias más sencilla ¿Qué mejora? GUI v2.0 (aspecto mejorado) Soporte de visualización de log para interfaz origen/destino y protocolo Configuración de captura de paquetes por GUI Control de captura de paquetes desde el GUI Soporta captura simultánea de múltiples interfaces Descarga del fichero PCAPs desde el GUI Varios ¿Qué mejora? Mejora AAA Soporta Grupo de usuarios LDAP Política de autenticación Versión mejorada para forzar la autenticación de usuario Mejora 3G Soporte de más tarjetas 3G (USB) & control consumo 3G Mejora VPN IPSec IPSec HA Auto Fall Back (prestación ZyNOS-alike ) Mejora HA Soporte de Bridge/VLAN en modo Device HA AP Mejora ALG SIP ALG SIP ALG 1.2: Soporte de IPPBX en escenario de zona DMZ Método requerimiento DNS Requerimiento DNS asociado a un determinado interfaz Mejora enrutamiento RIP/OSPF en VLAN
  • 34. Usabilidad Mejorada Paquete ZLD 2.0 Mejora de Interfaz Unificada Mejora de CF Referencia a Objetos
  • 35. Problemas en la versión ZLD actual Problemas en las versiones actuales ZLD 2.0x, 2.1x Problema del Servidor Virtual El mapeo 1:1 necesita utilizar políticas de enrutamiento (policy routing) NAT loop back necesita utilizar políticas de enrutamiento (policy routing) No dispone de soporte “Varios uno a uno” Si el mapeo IP es “device unowned IP”, el dispositivo creará un interfaz virtual para la regla de servidor virtual (Se necesita una solución mejor). Enrutamiento El usuario necesita crear políticas de enrutamiento (policy routing) (e.g. tráfico lan , tráfico wlan) La ruta directa siempre tiene una prioridad mayor que la política de enrutamiento Establecer SNAT con “device unowned IP” en la política de enrutamiento no funciona VPN Dependencia a Dependencia necesita política de enrutamiento
  • 36. Nuevo Diseño del Flujo de Paquetes El usuario no necesita establecer una política de enrutamiento para el tráfico por defecto LAN-WAN y el tráfico VPN Ruta de enlace SNAT y WAN por defecto Coexistencia de rutas estáticas y dinámicas Auto creación de política de enrutamiento VPN Soporte de NAT “Varios a Varios” saliente (Proxy ARP) Nueva implementación de NAT loopback La política de enrutamiento puede sobreescribir la ruta directa
  • 37. Cambios en la Tabla de Enrutamiento ZLD Subredes conectadas directamente Ruta estática principal (Linux) Ruta dinámica Política de enrutamiento VPN dinámica Prueba de enrutamiento Versión ZLD 2.1x Subredes conectadas directamente Subredes conectadas directamente Política de enrutamiento Varios 1 a 1 NAT #1,…, #n Auto VPN VPN Site to Site VPN dinámica Versión ZLD 2.20 Prueba de enrutamiento Tabla principal de rutas Enlace WAN por defecto Ruta estática y dinámica Nueva tabla de rutas en ZLD 2.20
  • 38. Enlace WAN por defecto Proporciona un enlace por defecto “SYSTEM_DEFAULT_WAN_TRUNK” que el usuario no puede eliminar. SYSTEM_DEFAULT_WAN_TRUNK añadirá un interfaz Ethernet externo y un ppp/aux/cellular automáticamente.
  • 39. NAT Mejorado Soporta NAT 1 a 1 y varios 1 a 1 Nueva implementación de NAT loopback Cambio en el diseño de la Tabla NAT Política de enrutamiento SNAT Haciendo SNAT SNAT 1 a 1 (incluyendo varios 1 a 1) Diseño ZLD 2.1x Diseño ZLD 2.20 Comprob. prioridad alta baja Política de enrutamiento SNAT Haciendo SNAT SNAT 1 a 1 (incluyendo varios 1 a 1) NAT Loopback SNAT por defecto
  • 40. SNAT por defecto El tráfico que cumpla con los siguientes criterios realizará la acción indicada. Solamente “interno a externo” realizará SNAT SNAT Scenarios (Example) Internal  external On LAN  WAN Access Internet Internal  internal Off LAN  DMZ Access Server external  Internal Off WAN  LAN Serving Internet access external  external Off WAN  WAN Dynamic Route
  • 41. Mejora de la Política de Enrutamiento Objetivo Deshabilitar automáticamente la política de enrutamiento cuando el siguiente salto está caído. Estado del interfaz basado en: Enlace up/down Interfaz habilitado/deshabilitado Prueba de conectividad IP objeto o no Activado (verde) Desactivado (gris) Auto-Desactivado (rojo)
  • 42. Mejora de Interfaz Unificado Propósito Proporciona un diseño más flexible y amigable Unifica los formatos de configuración de toda la Serie USG Mejora del ZLD 2.20 Nombre de interfaz configurable Muestra la información de puerto en el interfaz Ethernet Propiedad de interfaz Interfaz PPP por defecto de sistema Cambio en diseño de Zona/Enlace
  • 43. Unifica el Nombre de Interfaz para todos los productos Antes del ZLD v2.20 Nombre de interfaz en los equipos USG100/200 wan1, wan2, opt, lan1, lan2, dmz USG300/1000/2000, ZW1050 ge1, ge2, ge3 and so on Después del ZLD 2.20 Unifica el nombre de interfaz para todos los modelos El usuario puede definir un nombre determinado
  • 44. Nombre de interfaz configurable (1/2) El usuario puede modificar el nobre de interfaz El nombre de interfaz es configurable
  • 45. El nuevo nombre de interfaz mostrará todas las características que esté utilizando el interfaz Nombre de interfaz configurable (2/2) Muestra el nombre de interfaz definido por el usuario
  • 46. Se muestra la información de puerto en el interfaz Interfaz Presentación Ethernet: ge1(wan1), ge2(wan2), ge3(lan1)… P1, P2, P3,… VLAN, PPP Muestra el puerto físico, tal como P1, P2… Bridge n/a WLAN, Cellular Mustra la localización, tal como shot1/shot2 or USB1/USB2 Aux aux
  • 47. Propiedad de interfaz Diferencia los interfaces en varios grupos Diferente programación para propiedades diferentes Página de configuración simplificada en el GUI Tipo Interno Externo General Modelo USG 100/200: LAN1, LAN2, DMZ USG 100/200: WAN1, WAN 2 USG 300/1000/2000: ge1, ge2… Set DHCP Client No Soportado Soportado Soportado Set DHCP Server Soportado No Soportado Soportado Set DHCP Relay Soportado No Soportado Soportado Set Default Gateway No Soportado Soportado Soportado Set Metric No Soportado Soportado Soportado Set Ping Check No Soportado Soportado Soportado MAC Address Setting No Soportado Soportado Soportado
  • 48. Interfaz PPP por defecto de sistema Soporta el encadenamiento de múltiples interfaces PPP en un interfaz WAN para el USG 100/200 . Soporta el establecimiento de PPP sobre el interfaz VLAN para el USG 100/200. Interfaz PPP por defecto del sistema. El usuario no lo puede eliminar Se pueden añadir/borrar interfaces PPP definidos por el usuario
  • 49. Cambio en el diseño de Zona/Enlace Tipo Antes del ZLD v2.20 Después del ZLD v2.20 ZONA USG 100/200 ZONA fija: - WAN, - LAN1, - LAN2, - WLAN, - DMZ, - OPT(sólo para USG200), - SSL_VPN, - IPSec VPN El usuario no puede crear/borrar ZONA ZONE por defecto de sistema: - WAN, - LAN1, - LAN2, - WLAN, - DMZ, - OPT(sólo para USG200), - SSL_VPN, - IPSec VPN El usuario puede crear/borrar ZONA USG 300/1000/2000 El usuario puede crear/borrar ZONA ENLACE USG 100/200 a. Limitado a 5 ENLACES : -WAN_TRUNK, -WAN_TRUNK2, -WAN_TRUNK3, -WAN_TRUNK4, -WAN_TRUNK5 b. El usuario no puede añadir/borrar ENLACE existente No Limitado a 5 ENLACES fijos El usuario puede añadir/borrar ENLACE USG 300/1000/2000 El usuario puede añadir/borrar ENLACE
  • 50. Referencia a objeto Modelo actual: Cuando el usuario intenta eliminar un objeto usado, el sistema le enviará un mensaje de error, pero no información adicional. Nuevo diseño: Nuevo mecanismo para obtener todas las referencias por Objeto/Grupo.
  • 52. Mejora de CF Algunos usuarios requieren no hacer verificación de filtrado de contenido cuando atraviesan un túnel VPN Añade un comando CLI al filtro CF Bypass/Inspección en tráfico VPN
  • 53. BWM Etiquetado Diff SERV BWM mediante marca DSCP
  • 54. ¿Qué es el Punto de Código DiffServ (DSCP)? Negocia las condiciones de tráfico/acuerdo de nivel de servicio Define el DSCP de acuerdo con las políticas administrativas : Router de Borde de Red : Router de Núcleo de Red Caracteriza el conformado y marcado del tráfico y el control administrativo Guarantee traffic QoS level based on DSCP
  • 55. Diseño DSCP Objetivo Acondicionamiento, conformado y marcado del tráfico a través de DSCP Soporte del marcado DSCP basado en la capa de aplicación Funcionalidad DSCP en ZLD Marcado: clasificación del tráfico según los valores DSCP de acuerdo con la aplicación o dirección IP de origen/destino, servicio o tipo de usuario. Gestión de ancho de banda: Los paquetes con DSCP diferente recibirán BWM diferenciado. Enrutamiento: Paquetes con etiquetas DSCP diferentes pueden obtener enrutamiento o NAT distintos Combina el control DSCP con las reglas de vigilancia y control de aplicaciones
  • 56. Seguridad en el Extremo Final (EPS) EPS con VPN SSL EPS con Política de Autenticación
  • 57. Lista de aplicaciones que soportan EPS Software Cliente Anti-Virus Software de Cortafuegos Personal Norton_AntiVirus, 2010 Kaspersky_Internet_Security, 2009, 2010 Norton_Internet_Security, 2010 TrendMicro_PC-Cillin_Internet_Security, 2010 Norton_360 Version, version 3 TrendMicro_PC-Cillin_Internet_Security_Pro, 2010 Kaspersky_Anti-Virus, 2009, 2010 Windows_Firewall Kaspersky_Internet_Security, 2009, 2010 Microsoft_Security_Center TrendMicro_PC-Cillin_Internet_Security, 2010 TrendMicro_PC-Cillin_Internet_Security_Pro, 2010 TrendMicro_PC-Cillin_AntiVirus, 2010 Avria AntiVir Personal, 2009 Microsoft_Security_Center
  • 58. EPS con VPN SSL El software de seguridad se distribuye a los dispositivos del usuario final. Se descarga e instala un programa en el extremo final y se comprueba su seguridad mediante el ZyWALL cuando se producen accesos. Si el entorno de operación del extremo final cuadra con los requerimientos de seguridad de la empresa, se permite el acceso. Comprueba el host del cliente para: Instalación y activación de Anti-Virus Instalación y activación de Anti-Spyware Instalación y activación de cortafuegos personal El usuario define la verificación de la configuración interna del S.O, Ej: El registro de Windows
  • 59. Escenario con verificación EPS Servidor de Correo Servidor de Archivos Servidor Web LDAP,RADIUS, Directorio activo Empresa Verifica : Anti-Virus v Anti-spware v Cortafuegos Personal v … . v … . v Verifica : Anti-Virus × Anti-spware v Cortafuegos Personal × … . v … . v Verifica : Anti-Virus × Anti-spware × Cortafuegos Personal × … . × … . × × × ×
  • 60. EPS con Política de Autenticación Mejora la versión de autenticación forzada de usuario. Control de admisión de red. Se realiza la verificación de EPS después de la autenticación de usuario. El usuario puede acceder a la red después de pasar las pruebas de autenticación y EPS.
  • 61. Windows 7 ready Mejora de VPN SSL
  • 62. Soporte de Windows 7 Elementos técnicos/Especs. Despliegue Top-down Nota (4Q'09) (1Q'10) (2Q'10)   ZLD 2.12 patch x ZLD 2.20 ZLD 2.21   Túnel completo SSLVPN: Ejecutar SecuExtender en Windows 7 sí sí sí   Modo proxy SSLVPN : El usuario ejecuta IE8 en Windows 7 sí sí sí   Gestión de dispositivo: El Administrador usa IE8 en Windows 7 sí sí sí   EPS: Establecer regla para detectar Windows 7 no sí sí     (4Q'09) (2Q'10) (4Q'10)   Cliente IPSec VPN (TGB) sí sí sí Versión IPSec : 2.4.204.61.03
  • 64. Introducción al Interfaz Web GUI 2.0 El interfaz Web GUI 2.0 del ZLD está basado en la librería Ext-JS’s de desarrollo, debido a: Altas prestaciones, UI personalizables Modelo de componentes bien diseñado, documentado y extensible Buena compatibilidad con navegadores
  • 65. Propiedad del Interfaz Web GUI 2.0 Árbol de menú reorganizado Sencillo de monitorizar el estado del dispositivo Dispositivo Virtual Tablero personalizable Operación mediante tablas amigables Interfaz de configuración más amigable
  • 66. Tablero Monitorización Configuración Mantenimiento Árbol de Menú Reorganizado
  • 72. Rápida Resolución de Incidencias LOG in GUI 2.0 Herramienta de Depuración
  • 73. LOG Soporta una columna adicional de log Interfaz Origen Interfaz Destino Protocolo
  • 74. Mejora de la Vigilancia de Aplicaciones Soporte de login/logout para usuarios de MSN El usuario XXX de MSN ha hecho log in. El usuario XXX de MSN ha hecho log out.
  • 75. Herramienta de depuración Simplifica la resolución de incidencias Dispone de una página en el GUI para la captura de paquetes Soporta interfaces múltiples para la captura de paquetes Descarga el resultado de la captura de paquetes desde el GUI
  • 77. En el diseño actual del ZLD, la agrupación de usuarios externos no es amigable Utilización de un grupo grande (i.e. ldap-users) para representar todos los usuarios externos Los miembros de grupos definidos por el usuario se tienen que introducir a mano El nuevo diseño: Representa a cada usuario independientemente, en vez de agruparlos en grupos de cientos Soporta tantos escenarios como sean necesarios Necesita menos pasos de configuración Mejora AAA
  • 78. Mejora AAA - Alcance del diseño Esta mejora sólo se aplica a aquellos servicios que son conscientes de la existencia de los usuarios (user-aware services) y soportan AAA externa Los servicios que soportan AAA externa autentican a los usuarios mediante un servidor AAA externo weblogin , L2TP, x-auth, WLAN Los servicios conscientes de la existencia de usuario (user-aware) notifican las características del usuario acerca del estado de login/logout. weblogin , dialin, ftp, login, ssh A partir de ahora, solamente se considerará el caso weblogin
  • 79. Control de Uso: 3G Control de uso de las redes 3G mediante: Tiempo de uso Datos transmitidos Acciones soportadas: Log/Alert Caída de conexión
  • 80. VPN IPSec : Fall Back Fail Over: Negociación de túnel con un gateway remoto secundario cuando el primario se ha caído Fall Back: Permite la re-conexión del túnel al gateway remoto primario, aunque el secundario esté activo Si el gateway remoto secundario está activo, se mantiene siempre la conexión con él debido a que un “demonio” IPsec registra el gateway remoto caído.
  • 81. VPN IPSec: Auto Fall Back HQ: 172.23.38.1 Fase 1: SG1:172.23.38.10 (A) SG2:172.23.38.20 (B) Gateway seguro A IP:172.23.38.10 Gateway seguro B IP:172.23.38.20 Fail Over Fall Back No Fail Over  No Fall Back Fall Back  Fail Over
  • 82. Mejora del funcionamiento del dispositivo en Alta Disponibilidad (Device HA) Soporta los interfaces Bridge y VLAN en Modo AP Device HA El backup Device HA no realiza NTP Sync (ITS)
  • 83. SIP ALG 1.2 Propósito: Soporte de IPPBX en escenarios de zona DMZ Alcance del diseño: Seguimiento de Puertos SIP Escucha de puertos UDP ports sobre SIP: máx 8 puertos Comportamientos: Conexiones SIP relacionadas Ayuda al Agente APP a monitorizar las conexiones SIP NAT ALG Modificación de paquetes en entornos NAT Ayuda a los clientes a constituir conexiones multimedia en entornos NAT Incrementa el “tiempo de vida” de las conexiones SIP Controles personalizados
  • 84. Mejora de la Petición DNS (1/2) Problema actual: El servidor DNS de destino del encaminador de zona se decide mediante el dominio de la FQDN requerida Problema: Las entradas de enrutamiento determinan el interfaz desde el que se enviará la Petición DNS La Petición DNS no será atendida si el servidor DNS de destino que solicita la Petición DNS tiene que proceder de su red ISP Algunos requerimientos DNS con dominio específico necesitan asociarse a un interfaz determinado
  • 85. Mejora de la Petición DNS (2/2) Fuerza al paquete de Petición DNS a estar asociado a un interfaz específico cuando se envía. Nombre de interfaz (ge1, ge2 ..) : El servidor DNS del ISP o el servidor DNS personalizado. La petición DNS estará asociada al interfaz configurado any : Servidor DNS Personalizador. El interfaz de salida para la petición DNS depende de la decisión de enrutamiento túnel : Servidor DNS en la red remota. La petición DNS atravesará el túnel Petición DNS www.abc.com Zone Forwarder Table: Domain Server Via abc.com abc WAN2 xyz.com xyz WAN1 Cumple! Petición DNS Dst IP: abc www.abc.com
  • 86. Mejora RIP/OSPF Cuando se edita la VLAN, el usuario puede configurar RIP/OSPF
  • 87. FAQ

Notas del editor

  • #8: There are 30+ new enhancements in ZLD v2.20, for example: Support EPS (End Point Security) check Windows 7 ready Support MS AD group Support capturing packet in the USG device We also improve those most-concerned issues: Routing problem, packets go to nowhere because those packets was routed by matching direct route rule, not policy route rule. Dual WAN deployment did not work well because policy route rule did not linking to the interface link up/down status. Inconveniently to deploy many 1-to-1 NAT configuration NAT Loopback design did not fit for customer’s wishes Not support Microsoft AD group
  • #10: Check if IPSec VPN could work (yes) Check EPS error message could be customized. (yes)
  • #11: http://www.computerworld.com/s/article/9135795/Study_Facebook_use_cuts_productivity_at_work The original motive of social websites, such as Facebook or LinkedIn, is to connect people, to share information, or to exchange experience through the website. But, the design of social websites is not secure enough, and hackers could easily stole personal information from there. For security concern, we suggest the behavior of accessing social websites should be restricted. Deploy ZyWALL USG as a gateway to block social websites. Blocking Facebook Blocking Plurk Blocking Twitter Blocking youtube Blocking myspace
  • #12: Check with Lionic, and figure out what can USG do… Lionic did not feedback yet. (11/12)
  • #16: Virtual Device Easy to monitor what you care (the device status) Customizable Dashboard Easy to change what you see (personalized GUI looking) Object Reference Easy to find out what you need (used objects) User Friendly Table Operation Easy to sort as your wish
  • #23: Users complained about routing: Why bother to create “policy route” for the following scenarios: NAT 1:1 mapping NAT loopback LAN/WAN traffic routing Site to Site VPN When I setup a policy router rule, why it does not work? Policy route rule did not match because of lower priority than direct route Now ZLD v2.20 fix them all Support policy route auto-creation Change policy route priority higher than direct route
  • #28: When deploying USG to SMB/Enterprise environment, administrators will leverage existing directory server to manage users. In ZLD current design, grouping of external users is not user-friendly – USG used a big group to represent all external users, and group members must be manually-keyed in. ZLD v2.20 support real MS/AD user group Support as many scenarios as possible. (see next page) Need as few configuration steps as possible. Support user could use at most two different identifiers to login. E.g. use “name” or “e-mail address” to login. Support AAA user setting test, MIS could verify if setting is correct.
  • #31: Add: History 3G card list