Más que una Actualización - ZyWALL ZLD v2.20

ZLD v2.20 Argumentario de Ventas

Copyright©2010 ZyXEL Communications Corporation. All rights reserved.

Sumario Tendencias y Retos

Introducción al ZLD v2.20

Prestaciones Básicas del ZLD v2.20

Seguridad en el Extremo Final

Control granular sobre las aplicaciones de redes sociales

VoIP amigable

Windows 7 ready

Nuevo Interfaz Gráfico (GUI) más intuitivo

Arquitectura de enrutamiento mejorada

Integración completa MS AD

Apéndice:

Evolución histórica del ZLD

El ZLD v2.20 en detalle


Lo que está ocurriendo a su alrededor:


ZyWALL USG 300

Public Kiosk

Home

Teletrabajador

¿De dónde vienen las amenazas?

Oficina Central

ZyWALL USG 2000

Protected Servers

Sucursal Acceso Remoto

IP PBX

IP PBX

ZyWALL USG 50

Internet

DMZ Server SSL VPN

IPSec VPN

Reducir Amenazas ExternasEstablecer Túneles VPN

Fiables

Contra las Acciones de Vulneración de Cualquier Origen

Garantizar el Acceso Remoto y Facilitar la Gestión

L2 Switch

L3 Switch


Mitiga teExte rna l

Against Policy Violations from

within

Establish Reliable VPN Tunnels

Guarantees HA & Easy

Management

Solución de Seguridad de ZyXEL

Seguridad en la

Empresa

Conectividad Conectividad

SeguraSegura

Solución VPN completa para conexiones entre sucursales y acceso remoto

Prote cc ión de Prote cc ión de Re d Proactiva Re d Proactiva

Funcionalidad UTM para proporcionar protección exhaustiva frente a amenazas

Refuerzo de Refuerzo de

la Política de la Política de

SeguridadSeguridadPolítica de usuario que permite granularidad en el acceso

Gestión y Gestión y

Recuperación de Recuperación de

RedRed

Tolerancia a fallos en las rutas de red: Enlace WAN, pasarelas,VPN


Tendencias del 2010…

Popularidad del Netbook

Utilización en zonas menos

visibles

WebsitesSociales

Menor productividad

Trabajo en entorno

Windows 7

Todos los usuarios deben cumplir la

política de seguridad

Problemas

AmenazasInternas

Disponibilidad de Windos 7



SeguraSegura

Protección de Protección de Red ProactivaRed Proactiva

Refuerzo deRefuerzo de

la Política dela Política de

SeguridadSeguridad


Recuperación Recuperación

de Redde Red

Seguridad en la

Empresa

ZyWALL ZLD v2.20: Más que una actualización

Incorpora 90+ nuevas mejoras

VoIP Amigable

Seguridad en el Extremo Final

Control Granular sobre Aplicaciones de Redes Sociales

Windows 7 ready

Nuevo Interfaz Gráfico más Intuitivo

Arquitectura de Enrutamiento mejorada

Integración Completa MS AD


¿Quién amenaza la red de la empresa? Gestión y recuperación

de Red

Conectividad Segura

Protección de Red Proactiva

Seguridad en la

Empresa

Enterprise Network

Interna

Empleado - Invitado

Externa

Teletrabajador- Desde casa- Desde el hotel

1. ¿Firma actualizada?

Cómo asegurarse de que todos los usuarios cumplen con la política de seguridad

2. ¿Cortafuegos personal habilitado?

Red de la Empresa

Refuerzo de la Política de Seguridad


Empleado accediendo desde su casa

Empleado accediendo desde el aeropuerto/hotel

Externa

DMZ (Granja de Servidores)

Servidor Email Aplicaciones Web

Escritorio Remoto

Sistema BIServidor de aplicaciones

(Inventario,almacén..)

Sistema OA, ERPSistema CRM

Túnel SSL-VPN

Internet

LAN User1LAN User2

Túnel SSL-VPN

El administrador puede identificar rápidamente clientes “inseguros”, bloqueando el acceso a Internet/DMZ y forzándoles así a solucionar el problema, p.e. instalando un parche o software AV o actualizando la firma.USG’s EPS puede verificar:• Software Anti-Virus • Software Cortafuegos• Nivel de Servicio OS

ZyWALL USG ZyWALL USG

Escenario de Despliegue EPS

Checking:1. Anti-Virus…………. X2. Personal Firewall …X3. OS patch level….…..VThe result is NO Access

Checking:1. Anti-Virus…………. V2. Personal Firewall …V3. OS patch level….…..VThe result is Access

Checking:1. Anti-Virus…………. V2. Personal Firewall …V3. OS patch level….…..VThe result is Access

Gestión y Recuperación de

Red

ConectividadSegura


Seguridad en la Empresa

Interna

Refuerzo de la políticade Seguridad


Aplicaciones de Redes Sociales

El motivo original de las redes sociales, como Facebook o LinkedIn, es conectar personas, compartir información o intercambiar experiencias a travésde la web.


Red

ConectividadSegura


Refuerzo de la

Política deSeguridad

EnterpriseSecurity

Las encuentas indican que el 77% de los usuarios de Facebook acceden a la red en

horas de trabajo – Computerworld (Julio)

Disminución de la Disminución de la ProductividadProductividad


Control granular de las aplicaciones de redes socialesAll Stop Gestión y

Recuperación deRed

Conectividad Segura


Refuerzo de la Política de

Seguridad

Seguridad en la

Empresa

El ZyWALL USG puede limitar el acceso…

Juego de Facebook

Todas a la Todas a la VezVez

Una a unaUna a una


VoIP más amigable

SIP ALG mejorado soporta despliegue VoIP flexible Soporte de IPPBX en escenario de zona DMZ

VoIP BWM de calidad, segura y mejorada La prioridad mayor para el tráfico SIP Soporte de DSCP tag/un-tag para grandes topologías

USG con IP pública y IP-PBX detrás de USG(DMZ) Simétrico (con IPSec VPN)


Red

ConectividadSegura


Refuerzo de Política de

Seguridad

Seguridad en la

Empresa


SSLVPN Soporta Windows 7

Windows 7 se ha lanzado, y el USG lo soporta mediante ZLD v2.20

La extensión SSLVPN Secure soporta Windows 7 (32/64 bits)

También se soporta Windows 7 con IE8


Red

ConectividadSegura



Seguridad

Seguridad en la

Empresa


Serie USG de ZyWALL– Licencia SKU

Tipo de Servicio/PrestaciónTipo de Servicio/Prestación USG 2000USG 2000 USG 1000USG 1000 USG 300USG 300 USG 200USG 200 USG 100USG 100

ZyXEL Anti-Virus(Certificado ICSA)

1-YR

2-YR

Kaspersky

Anti-Virus

1-YR

2-YR

IDP1-YR

2-YR

Filtrado de Contenidos

1-YR

2-YR

Anti-Spam (incluido) RBL/DNSBL RBL/DNSBL RBL/DNSBL RBL/DNSBL RBL/DNSBL

Túneles SSL VPN 5 incluidos 2 incluidos

5 -> 50

5 -> 250

5 -> 750

50 -> 250

50 -> 750

250 -> 750

5 -> 25

5 -> 50

25 -> 50

5 -> 250

25 -> 250

50 -> 250

2 -> 10

2 -> 25

10 -> 25

2 -> 10 2 -> 5


Red

ConectividadSegura


Refuerzo de Política de

Seguridad

Seguridad en la

Empresa


Interfaz Gráfico más intuitivo (GUI)

¿Qué hay de nuevo en el GUI del ZLD v2.20?


Red

ConectividadSegura



Seguridad

Seguridad en la

Empresa

Dispositivo Virtual Pantallas Personalizables

Referencia a Objetos Operación mediante tablas de Usuario amigables


Dispositivo Virtual

GUI Antiguo… GUI Nuevo…

Virtual Device

El Administrador puede monitorizar el dispositivo virtual para control/gestión remota

Muestra Información de Interfaz (Ethernet, PPPoE, USB…) Muestra Información de los LEDs (SYS, PWR…)


Red

ConectividadSegura



Seguridad

Seguridad en la

Empresa


Pantalla Personalizable

GUI Antiguo… GUI Nuevo…

Cada bloque era fijo y no se podía eliminar.

Permite al administrador crear una página GUI personalizada para mostrar cualquier dispositivo.


Red

ConectividadSegura



Seguridad

Seguridad en la

Empresa


Referencia a Objetos Cuando el administrador intenta eliminar un objeto, el GUI le

muestra un mensaje de error. Esto es porque el objeto está relacionado con una determinada política y un objeto

en uso no se puede eliminar.

En la versión anterior no había mecanismos para que los administradores averiguaran si un objeto estaba relacionado con una política determinada.

Ahora los administradores pueden averiguar de una manera sencilla la referencia de los objetos.


Red

ConectividadSegura



Seguridad

Seguridad en la

Empresa


Operación mediante Tabla de Usuario Amigable - 1/3

La columna se puede mover Gestión y

Recuperación deRed

ConectividadSegura



Seguridad

Seguridad en la

Empresa


Operación mediante Tabla de Usuario Amigable - 2/3

La columna se puede ocultar


Red

ConectividadSegura

Proactive Network

Protection


Seguridad

Seguridad en la

Empresa


Operación mediante Tabla de usuario Amigable - 3/3

Las columnas se pueden buscar fácilmente


Red

ConectividadSegura



Seguridad

Seguridad en la

Empresa


Arquitectura de Enrutamiento Mejorada

Programación sencilla NAT 1:1 mapping

NAT loopback

Enrutamiento de tráfico LAN/WAN

VPN Site to Site

Política de enrutamiento Inteligente- auto-creación

- prioridad


Red

ConectividadSegura



Seguridad

Seguridad en la

Empresa


Escenario de Despliegue NAT (1)

Internet

LAN User B

LAN User A

…

……

El NAT “Varios hacia 1” es muy popular entre los usuarios LAN para acceder a Internet.

Si se dispone de más de una IP pública para acceder a Internet, se puede usar el NAT “Varios hacia N”.


Red

ConectividadSegura



Seguridad

Seguridad en la

Empresa



Internet

Empleado teletrabajador


Partner autorizadoCliente autorizado

Granja de Servidores

LAN

… …

1 -- a --1

LAN/DMZ

1 – a --1

1 – a --1

……

varios1 – to --1

Cuando se despliega una Web-site pública localizada en una LAN/DMZ, se puede utilizar el NAT “Uno a uno”.

Cuando se despliegan en Internet varias Web-site públicas, se puede utilizar el NAT “Varios uno a uno”.


Red

ConectividadSegura



Seguridad

Seguridad en la

Empresa



Internet



Partner autorizadoCliente autorizado

Granja de ServidoresLAN

… …

1 -- a --1

LAN/DMZ

1 – a --1

1 – a --1

……

varios1 – to --1

La validación del “NAT loopback” permite a los usuarios LAN el acceso a las web-site públicas alojadas en la LAN/DMZ mediante dominio público (URL).

NAT Loopback


Red

ConectividadSegura



Seguridad

Seguridad en la

Empresa


Resolución de Problemas sencilla

Se necesitaba desplegar una gran cantidad de herramientas para realizar la “captura de paquetes”.

Basta con clickar el botón de GUI para capturar paquetes

Antes Ahora con ZLD 2.20

Seleccionar “Captura de Paquetes”

Seleccionar interfaz para capturar paquetes

Decidir cuántos paquetes capturar


Red

ConectividadSegura



Seguridad

Seguridad en la

Empresa


Integración Completa MS AD

Cuando se despliega el USG en entornos de PyMEs y/o empresas, los administradores utilizarán el servidor de directorios existente para gestionar los usuarios.

En el diseño actual, la agrupación de usuarios externos no es amigable – El USG utiliza un grupo grande para representar a todos los usuarios externos y los miembros del grupo se tienen que teclear a mano.

ZLD v2.20 soporta grupos de usuario MS/AD

Soporta tantos escenarios como sean necesarios. (ver pág. Sig) Se necesitan muy pocos pasos de configuración

Soporte de dos identificadores diferentes para el login de usuario: . E.g. se puede usar “name” o “e-mail address” para login.

Soporta el test de configuración de usuario AAA; MIS verifica si la configuración es correcta.


Red

ConectividadSegura

Protección de red Proactiva


Seguridad

Seguridad en la

Empresa


Escenario de Directorio Activo

ZyWALL USG ZyWALL USG

Internet

Intranet

AD server

Si la red es muy grande y compleja, estos escenarios pueden coexistir

USG puede autenticar usuarios secuencialmente de acuerdo con el método de autenticación.

.

User could use “name” or e-mail address to login

Group 1 Group 2 Group 3

Maestro/Backup Autónomo Autónomo1 2 3


Red

ConectividadSegura



Seguridad

Seguridad en la

Empresa


ZyXEL le ayuda…

Refuerzo Refuerzo

de la Política dede la Política de

SeguridadSeguridad

Protección de Protección de Red ProactivaRed Proactiva


SeguraSegura


Recuperación Recuperación

de Redde Red

Red de Empresa

Conectividad y confidencialidad

incrementada con un TCO

inferior

Asegurar redes convergentes y

otras aplicaciones críticas de negocios

Ayuda a las empresas a reforzar la política de seguridad

corporativa

Implementación de arquitecturas

de red redundantes

para operar sin interrupciones


Apéndice: Apéndice: • Evolución histórica del ZLDEvolución histórica del ZLD• El ZLD v2.20 en detalleEl ZLD v2.20 en detalle


Evolución de los Productos USG & Firmware ZLD

PN

egP

yME

ZLD 2.10 con USG100/200/2000- Dual AV: KAV & ZAV - 3G & WLAN- Más DDNS: No-IP, DyNU; Peanut- Prioridad de tráfico SIP - HA: Virtual Mac - Usabilidad: GUI simplificado- AS (RBL/DNSBL)

ZLD 2.11 con la serie USG- 3G/WLAN on USG300/1000- Aumenta las firmas ZAV a 15k- Web Security (ZyXEL Safe Browsing)- IP/Mac binding - DDNS: 3322 (Principalmente para CN KA)- SSLVPN: RDP/VNC, pág.de login de cliente

ZLD 2.12 con la serie USG - IPSec: VPN fall back & Ping Check- HA en modo bridge - SSL VPN: Vista, Active X, EPS- Política de autenticación (simple NAC)- SIP BWM w/o ALG- Mejora throughput PPPoE

ZLD 2.20 con la serie USG - Usabilidad mejorada- Mejora BWM - Windows 7 ready- Seguridad en el punto final - Mejora AAA- Mejora SIP/ALG - Sencilla resolución de incidencias- Nuevo diseño del GUI (look & feel mejorado)

ZyWALL USG 2000 con módulo SEM

ZyWALL USG 300

ZyWALL USG 1000

ZyWALL USG 200

ZyWALL USG 100

ZLD 2.00 con USG300/1000- Kasperkey AV-VPN(IPSec/SSL) híbrido- L2TP - IDP/ADP- Actualización IM/P2P


Prestaciones básicas del ZLD v2.20 Prestaciones básicas del ZLD v2.20

Usabilidad MejoradaUsabilidad Mejorada ¿Qué mejora?¿Qué mejora?

Paquete ZLD flujo v2.0

Auto deshabilitación de ruta cuando el siguiente salto está caído

El usuario no necesita configurar la ruta por defecto para el tráfico LAN-WAN. El usuario no necesita configurar la routa para el tráfico IPSec

Sobreescritura de las rutas

Soporta NAT Varios a 1

Soporta NAT sobrecarga Varios a Varios saliente

Diseño de Interfaz Unificado Estilo consistente con todos los interfaces USG

Referencia a Objetos Muestra “Dónde se utiliza” para cada objeto

Mejora CF Prueba de Bypass CF en VPN IPSec

BWMBWM ¿Qué mejora?¿Qué mejora?

DSCP Etiquetado Diff SERV

BWM por marca DSCP

Seguridad en el Punto Final Seguridad en el Punto Final ¿Qué mejora?¿Qué mejora?

EPS (con SSL VPN) Prueba de seguridad en el punto final contra SSLVPN

EPS (con Política de Autenticación) Soporta Kaspersky y muchos otros clientes

Windows 7 readyWindows 7 ready ¿Qué mejora?¿Qué mejora?

Mejora SSLVPN Soporte de Windows 7 en túneles SSLVPN

Resumen de prestaciones del ZLD v2.20 : (1/2)


Prestaciones básicas del ZLD v2.20Prestaciones básicas del ZLD v2.20

Aspecto mejoradoAspecto mejorado ¿Qué mejora?¿Qué mejora?

GUI v2.0 Utilización de tecnología Web 2.0 (Ajax); más flexible y sencilla

Dispositivo virtual en la pantalla

Resolución de incidencias más sencillaResolución de incidencias más sencilla ¿Qué mejora?¿Qué mejora?

GUI v2.0 (aspecto mejorado)

Soporte de visualización de log para interfaz origen/destino y protocolo

Configuración de captura de paquetes por GUI

Control de captura de paquetes desde el GUI

Soporta captura simultánea de múltiples interfaces

Descarga del fichero PCAPs desde el GUI

Varios ¿Qué mejora?¿Qué mejora?

Mejora AAA Soporta Grupo de usuarios LDAP

Política de autenticación Versión mejorada para forzar la autenticación de usuario

Mejora 3G Soporte de más tarjetas 3G (USB) & control consumo 3G

Mejora VPN IPSec IPSec HA Auto Fall Back (prestación ZyNOS-alike )

Mejora HA Soporte de Bridge/VLAN en modo Device HA AP

Mejora ALG SIP ALG SIP ALG 1.2: Soporte de IPPBX en escenario de zona DMZ

Método requerimiento DNS Requerimiento DNS asociado a un determinado interfaz

Mejora enrutamiento RIP/OSPF en VLAN

Resumen de prestaciones del ZLD v2.20: (2/2)


Usabilidad MejoradaUsabilidad Mejorada- Paquete ZLD 2.0- Mejora de Interfaz Unificada- Mejora de CF - Referencia a Objetos


Problemas en la versión ZLD actual

Problemas en las versiones actuales ZLD 2.0x, 2.1x

Problema del Servidor Virtual El mapeo 1:1 necesita utilizar políticas de enrutamiento (policy routing) NAT loop back necesita utilizar políticas de enrutamiento (policy routing) No dispone de soporte “Varios uno a uno” Si el mapeo IP es “device unowned IP”, el dispositivo creará un interfaz

virtual para la regla de servidor virtual (Se necesita una solución mejor).

Enrutamiento El usuario necesita crear políticas de enrutamiento (policy routing) (e.g.

tráfico lan , tráfico wlan) La ruta directa siempre tiene una prioridad mayor que la política de

enrutamiento Establecer SNAT con “device unowned IP” en la política de enrutamiento no

funciona

VPN Dependencia a Dependencia necesita política de enrutamiento


Nuevo Diseño del Flujo de Paquetes

El usuario no necesita establecer una política de enrutamiento para el tráfico por defecto LAN-WAN y el tráfico VPN

Ruta de enlace SNAT y WAN por defecto Coexistencia de rutas estáticas y dinámicas Auto creación de política de enrutamiento VPN

Soporte de NAT “Varios a Varios” saliente (Proxy ARP)

Nueva implementación de NAT loopback

La política de enrutamiento puede sobreescribir la ruta directa


Subredes conectadas directamente

Política de enrutamiento

Varios 1 a 1 NAT #1,…, #n

Auto VPN

VPN Site to Site

VPN dinámica

Versión ZLD 2.20

Prueba de enrutamiento

Tabla principal de rutas

Enlace WAN por defecto

Ruta estática y dinámica

Nueva tabla de rutas en ZLD 2.20


Ruta estática principal (Linux)Ruta dinámica

Política de enrutamiento

VPN dinámica

Prueba de enrutamiento

Versión ZLD 2.1x

Cambios en la Tabla de Enrutamiento ZLD



Enlace WAN por defecto

Proporciona un enlace por defecto “SYSTEM_DEFAULT_WAN_TRUNK” que el usuario no puede eliminar.

SYSTEM_DEFAULT_WAN_TRUNK añadirá un interfaz Ethernet externo y un ppp/aux/cellular automáticamente.


NAT Mejorado Soporta NAT 1 a 1 y varios 1 a 1 Nueva implementación de NAT loopback Cambio en el diseño de la Tabla NAT

Política de enrutamiento SNAT

Haciendo SNAT

SNAT 1 a 1 (incluyendo varios 1 a 1)

Comprob. prioridad

alta

baja

Política de enrutamiento SNAT

Haciendo SNAT

SNAT 1 a 1 (incluyendo varios 1 a 1)

NAT Loopback

SNAT por defecto

Diseño ZLD 2.1x

Diseño ZLD 2.20


SNAT Scenarios (Example)

Internal external On LAN WAN

Access Internet

Internal internal Off LAN DMZ

Access Server

external Internal Off WAN LAN

Serving Internet access

external external Off WAN WAN

Dynamic Route

SNAT por defecto

El tráfico que cumpla con los siguientes criterios realizará la acción indicada.

Solamente “interno a externo” realizará SNAT


Mejora de la Política de Enrutamiento Objetivo

Deshabilitar automáticamente la política de enrutamiento cuando el siguiente salto está caído.

Estado del interfaz basado en: Enlace up/down

Interfaz habilitado/deshabilitado

Prueba de conectividad

IP objeto o no

Activado (verde)Desactivado (gris)

Auto-Desactivado (rojo)


Mejora de Interfaz Unificado

Propósito Proporciona un diseño más flexible y amigable

Unifica los formatos de configuración de toda la Serie USG

Mejora del ZLD 2.20 Nombre de interfaz configurable

Muestra la información de puerto en el interfaz Ethernet

Propiedad de interfaz

Interfaz PPP por defecto de sistema

Cambio en diseño de Zona/Enlace


Unifica el Nombre de Interfaz para todos los productos

Antes del ZLD v2.20

Nombre de interfaz en los equipos USG100/200 wan1, wan2, opt, lan1, lan2, dmz

USG300/1000/2000, ZW1050

ge1, ge2, ge3 and so on

Después del ZLD 2.20 Unifica el nombre de interfaz para todos los modelos

El usuario puede definir un nombre determinado


El usuario puede modificar el nobre de interfaz

Nombre de interfaz configurable (1/2)

El nombre de interfaz es configurable


El nuevo nombre de interfaz mostrará todas las características que esté utilizando el interfaz

Muestra el nombre de interfaz definido por el usuario

Nombre de interfaz configurable (2/2)


Se muestra la información de puerto en el interfaz

Interfaz Presentación

Ethernet:ge1(wan1), ge2(wan2), ge3(lan1)…

P1, P2, P3,…

VLAN, PPP Muestra el puerto físico, tal como P1, P2…

Bridge n/a

WLAN, Cellular Mustra la localización, tal como shot1/shot2 or USB1/USB2

Aux aux


Propiedad de interfaz

Diferencia los interfaces en varios grupos

Diferente programación para propiedades diferentes

Página de configuración simplificada en el GUI

Tipo Interno Externo General

Modelo USG 100/200:LAN1, LAN2, DMZ

USG 100/200:WAN1, WAN 2

USG 300/1000/2000:ge1, ge2…

Set DHCP Client No Soportado Soportado Soportado

Set DHCP Server Soportado No Soportado Soportado

Set DHCP Relay Soportado No Soportado Soportado

Set Default Gateway No Soportado Soportado Soportado

Set Metric No Soportado Soportado Soportado

Set Ping Check No Soportado Soportado Soportado

MAC Address Setting No Soportado Soportado Soportado


Interfaz PPP por defecto del sistema. El usuario no lo puede eliminar

Se pueden añadir/borrar interfaces PPP definidos por el usuario

Interfaz PPP por defecto de sistema Soporta el encadenamiento de múltiples interfaces PPP

en un interfaz WAN para el USG 100/200 . Soporta el establecimiento de PPP sobre el interfaz

VLAN para el USG 100/200.


Cambio en el diseño de Zona/Enlace

Tipo Antes del ZLD v2.20 Después del ZLD v2.20

ZONA

USG 100/200

a. ZONA fija: - WAN, - LAN1, - LAN2, - WLAN, - DMZ, - OPT(sólo para USG200), - SSL_VPN, - IPSec VPNj. El usuario no puede crear/borrar ZONA

a. ZONE por defecto de sistema: - WAN, - LAN1, - LAN2, - WLAN, - DMZ, - OPT(sólo para USG200), - SSL_VPN, - IPSec VPNj. El usuario puede crear/borrar ZONA

USG 300/1000/2000 El usuario puede crear/borrar ZONA

ENLACE

USG 100/200

a. Limitado a 5 ENLACES : -WAN_TRUNK, -WAN_TRUNK2, -WAN_TRUNK3, -WAN_TRUNK4, -WAN_TRUNK5b. El usuario no puede añadir/borrar ENLACE existente

• No Limitado a 5 ENLACES fijos • El usuario puede añadir/borrar ENLACE

USG 300/1000/2000 El usuario puede añadir/borrar ENLACE


Referencia a objeto

Modelo actual: Cuando el usuario intenta eliminar un objeto usado, el sistema

le enviará un mensaje de error, pero no información adicional.

Nuevo diseño: Nuevo mecanismo para obtener todas las referencias por

Objeto/Grupo.


Referencia a objeto: GUI


Mejora de CF

Algunos usuarios requieren no hacer verificación de filtrado de contenido cuando atraviesan un túnel VPN

Añade un comando CLI al filtro CF Bypass/Inspección en tráfico VPN


BWMBWM- Etiquetado Diff SERV

- BWM mediante marca DSCP


¿Qué es el Punto de Código DiffServ (DSCP)?

Negocia las condiciones de tráfico/acuerdo de nivel de servicio Define el DSCP de acuerdo con las políticas

administrativas

: Router de Borde de Red

: Router de Núcleo de Red

Caracteriza el conformado y marcado del tráfico y el control administrativo

Guarantee traffic QoS level based on DSCP


Diseño DSCP

Objetivo Acondicionamiento, conformado y marcado del tráfico a

través de DSCP Soporte del marcado DSCP basado en la capa de aplicación

Funcionalidad DSCP en ZLD Marcado: clasificación del tráfico según los valores DSCP de

acuerdo con la aplicación o dirección IP de origen/destino, servicio o tipo de usuario.

Gestión de ancho de banda: Los paquetes con DSCP diferente recibirán BWM diferenciado.

Enrutamiento: Paquetes con etiquetas DSCP diferentes pueden obtener enrutamiento o NAT distintos

Combina el control DSCP con las reglas de vigilancia y control de aplicaciones


Seguridad en el Extremo Seguridad en el Extremo Final (EPS)Final (EPS)- EPS con VPN SSL

- EPS con Política de Autenticación


Lista de aplicaciones que soportan EPS

Software Cliente Anti-Virus Software de Cortafuegos Personal

Norton_AntiVirus, 2010 Kaspersky_Internet_Security, 2009, 2010

Norton_Internet_Security, 2010 TrendMicro_PC-Cillin_Internet_Security, 2010

Norton_360 Version, version 3 TrendMicro_PC-Cillin_Internet_Security_Pro, 2010

Kaspersky_Anti-Virus, 2009, 2010 Windows_Firewall

Kaspersky_Internet_Security, 2009, 2010 Microsoft_Security_Center

TrendMicro_PC-Cillin_Internet_Security, 2010

TrendMicro_PC-Cillin_Internet_Security_Pro, 2010

TrendMicro_PC-Cillin_AntiVirus, 2010

Avria AntiVir Personal, 2009

Microsoft_Security_Center


EPS con VPN SSL El software de seguridad se distribuye a los dispositivos del

usuario final.

Se descarga e instala un programa en el extremo final y se comprueba su seguridad mediante el ZyWALL cuando se producen accesos.

Si el entorno de operación del extremo final cuadra con los requerimientos de seguridad de la empresa, se permite el acceso.

Comprueba el host del cliente para: Instalación y activación de Anti-Virus

Instalación y activación de Anti-Spyware

Instalación y activación de cortafuegos personal

El usuario define la verificación de la configuración interna del S.O, Ej: El registro de Windows


Internet

Servidor de Correo

Servidor de Archivos

Servidor Web

LDAP,RADIUS,Directorio activo

Empresa

Verifica： Anti-Virus v Anti-spware v Cortafuegos Personal v …. v …. v

Verifica ： Anti-Virus × Anti-spware v Cortafuegos Personal × …. v …. v

Verifica： Anti-Virus × Anti-spware × Cortafuegos Personal × …. × …. ×

×

××

Escenario con verificación EPS


EPS con Política de Autenticación

Mejora la versión de autenticación forzada de usuario.

Control de admisión de red.

Se realiza la verificación de EPS después de la autenticación de usuario.

El usuario puede acceder a la red después de pasar las pruebas de autenticación y EPS.


Windows 7 readyWindows 7 ready- Mejora de VPN SSL


Soporte de Windows 7

Elementos técnicos/Especs. Despliegue Top-down Nota (4Q'09) (1Q'10) (2Q'10)

　 ZLD 2.12patch x

ZLD 2.20 ZLD 2.21　

Túnel completo SSLVPN:Ejecutar SecuExtender en Windows 7

sí sí sí　

Modo proxy SSLVPN :El usuario ejecuta IE8 en Windows 7 sí sí sí

　

Gestión de dispositivo:El Administrador usa IE8 en Windows 7

sí sí sí　

EPS:Establecer regla para detectar Windows 7

no sí sí　

　 (4Q'09) (2Q'10) (4Q'10) 　Cliente IPSec VPN (TGB)

sí sí síVersión IPSec : 2.4.204.61.03


Aspecto mejoradoAspecto mejorado- GUI 2.0


Introducción al Interfaz Web GUI 2.0

El interfaz Web GUI 2.0 del ZLD está basado en la librería Ext-JS’s de desarrollo, debido a:

Altas prestaciones, UI personalizables

Modelo de componentes bien diseñado, documentado y extensible

Buena compatibilidad con navegadores


Propiedad del Interfaz Web GUI 2.0

Árbol de menú reorganizado

Sencillo de monitorizar el estado del dispositivo

Dispositivo Virtual

Tablero personalizable

Operación mediante tablas amigables

Interfaz de configuración más amigable


Tablero

Monitorización

Configuración

Mantenimiento

Árbol de Menú Reorganizado


Dispositivo Virtual


Tablero Personalizado (1/2)


Tablero Personalizado (2/2)


Operación mediante Tablas Amigables


Configuración Rápida


Rápida Resolución de Rápida Resolución de IncidenciasIncidencias- LOG in GUI 2.0

- Herramienta de Depuración


LOG Soporta una columna adicional de log

Interfaz Origen Interfaz Destino Protocolo


Mejora de la Vigilancia de Aplicaciones

Soporte de login/logout para usuarios de MSN El usuario XXX de MSN ha hecho log in.

El usuario XXX de MSN ha hecho log out.


Herramienta de depuración

Simplifica la resolución de incidencias

Dispone de una página en el GUI para la captura de paquetes

Soporta interfaces múltiples para la captura de paquetes

Descarga el resultado de la captura de paquetes desde el GUI


VariosVarios


En el diseño actual del ZLD, la agrupación de usuarios externos no es amigable

Utilización de un grupo grande (i.e. ldap-users) para representar todos los usuarios externos

Los miembros de grupos definidos por el usuario se tienen que introducir a mano

El nuevo diseño:

Representa a cada usuario independientemente, en vez de agruparlos en grupos de cientos

Soporta tantos escenarios como sean necesarios Necesita menos pasos de configuración

Mejora AAA


Mejora AAA - Alcance del diseño

Esta mejora sólo se aplica a aquellos servicios que son conscientes de la existencia de los usuarios (user-aware services) y soportan AAA externa

Los servicios que soportan AAA externa autentican a los usuarios mediante un servidor AAA externo

weblogin, L2TP, x-auth, WLAN

Los servicios conscientes de la existencia de usuario (user-aware) notifican las características del usuario acerca del estado de login/logout.

weblogin, dialin, ftp, login, ssh

A partir de ahora, solamente se considerará el caso weblogin


Control de Uso: 3G

Control de uso de las redes 3G mediante: Tiempo de uso

Datos transmitidos

Acciones soportadas: Log/Alert

Caída de conexión


VPN IPSec : Fall Back

Fail Over: Negociación de túnel con un gateway remoto secundario cuando el primario se ha caído

Fall Back: Permite la re-conexión del túnel al gateway remoto primario, aunque el secundario esté activo

Si el gateway remoto secundario está activo, se mantiene siempre la conexión con él debido a que un “demonio” IPsec registra el gateway remoto caído.


VPN IPSec: Auto Fall Back

HQ: 172.23.38.1

Fase 1:SG1:172.23.38.10 (A)SG2:172.23.38.20 (B)

Gateway seguro AIP:172.23.38.10

Gateway seguro BIP:172.23.38.20

Fail Over

Fall Back

No Fail Over No Fall Back

Fall Back Fail Over


Mejora del funcionamiento del dispositivo en Alta Disponibilidad (Device HA)

Soporta los interfaces Bridge y VLAN en Modo AP Device HA

El backup Device HA no realiza NTP Sync (ITS)


SIP ALG 1.2

Propósito: Soporte de IPPBX en escenarios de zona DMZ

Alcance del diseño: Seguimiento de Puertos SIP

Escucha de puertos UDP ports sobre SIP: máx 8 puertos

Comportamientos: Conexiones SIP relacionadas

• Ayuda al Agente APP a monitorizar las conexiones SIP

NAT ALG

• Modificación de paquetes en entornos NAT

• Ayuda a los clientes a constituir conexiones multimedia en entornos NAT

Incrementa el “tiempo de vida” de las conexiones SIP

Controles personalizados


Mejora de la Petición DNS (1/2)

Problema actual: El servidor DNS de destino del encaminador de zona se decide

mediante el dominio de la FQDN requerida

Problema: Las entradas de enrutamiento determinan el interfaz desde el que

se enviará la Petición DNS La Petición DNS no será atendida si el servidor DNS de destino

que solicita la Petición DNS tiene que proceder de su red ISP

Algunos requerimientos DNS con dominio específico necesitan asociarse a un interfaz determinado


Mejora de la Petición DNS (2/2)

Petición DNS www.abc.com

Zone Forwarder Table: Domain Server Viaabc.com abc WAN2xyz.com xyz WAN1

Cumple!

Petición DNS

Dst IP: abc

www.abc.com

ISP abc

ISP xyzWAN1

WAN2

DNS Server xyz

DNS Server abc

Internet

Fuerza al paquete de Petición DNS a estar asociado a un interfaz específico cuando se envía.

Nombre de interfaz (ge1, ge2 ..) ： El servidor DNS del ISP o el servidor DNS personalizado. La petición DNS estará asociada al interfaz configurado

any： Servidor DNS Personalizador. El interfaz de salida para la petición DNS depende de la decisión de enrutamiento

túnel： Servidor DNS en la red remota. La petición DNS atravesará el túnel


Mejora RIP/OSPF

Cuando se edita la VLAN, el usuario puede configurar RIP/OSPF


FAQ

Más que una Actualización - ZyWALL ZLD v2.20

Technology

Transcript of Más que una Actualización - ZyWALL ZLD v2.20