Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Modelli supportati:
Modelli 320, 360 e 360R
Symantec™ Gateway Security Serie 300
Manuale dell'amministratore
Il software descritto nel presente manuale viene fornito in conformità a un
contratto di licenza e può essere utilizzato esclusivamente ai sensi di tale
accordo.
Versione della documentazione 1.0
11 febbraio 2004
Copyright
Copyright © 1998-2004 Symantec Corporation.
Tutti i diritti riservati.
La documentazione tecnica messa a disposizione da Symantec Corporation è di
proprietà esclusiva di Symantec Corporation.
ESCLUSIONE DELLA GARANZIA. La documentazione tecnica viene fornita "così
com'è" e Symantec Corporation non riconosce alcuna garanzia relativamente
alla sua accuratezza o al suo utilizzo. L'utilizzo della documentazione tecnica o
delle informazioni in essa contenute è a rischio dell'utente. La documentazione
potrebbe contenere imprecisioni tecniche o di altro tipo oppure errori
tipografici. Symantec si riserva il diritto di effettuare modifiche senza
preavviso.
Nessuna parte di questa pubblicazione può essere copiata senza l'esplicito
consenso scritto di Symantec Corporation, 20330 Stevens Creek Blvd.,
Cupertino, CA 95014, USA.
Marchi
Symantec, il logo Symantec e Norton AntiVirus sono marchi di Symantec
Corporation registrati negli Stati Uniti. LiveUpdate, LiveUpdate Administration
Utility, Symantec AntiVirus e Symantec Security Response sono marchi di
Symantec Corporation.
Altre marche e nomi di prodotti citati nel presente manuale possono essere
marchi commerciali o marchi registrati dei rispettivi proprietari.
Stampato in Irlanda.
10 9 8 7 6 5 4 3 2 1
Sommario
Indice
Soluzioni di servizio e supporto
Capitolo 1
Introduzione a Symantec
Gateway Security Serie 300
Questo capitolo comprende i seguenti argomenti:
Tutti i modelli di Symantec Gateway Security Serie 300 sono in grado di gestire
comunicazioni wireless. Sono dotati di uno speciale firmware wireless e di uno
slot CardBus in grado di accogliere un add-on funzionale facoltativo, composto
da un ricetrasmettitore con antenna 802.11, per consentire la massima
sicurezza integrata per LAN wireless, quando viene utilizzato con client che
eseguono il software Symantec Client VPN. L'aggiornamento automatico del
firmware tramite LiveUpdate rafforza le caratteristiche di risposta ai problemi
della sicurezza di Symantec Gateway Security Serie 300, rendendolo una
soluzione eccellente per le piccole aziende.
Nota: le funzionalità wireless non sono visualizzate nella SGMI fino a quando
non è stata installata correttamente un'opzione punto di accesso WLAN di
Symantec Gateway Security. Per ulteriori informazioni, leggere la Guida
all'implementazione wireless di Symantec Gateway Security Serie 300.
Amministrazione del gateway di sicurezza 13
Accesso alla Security Gateway Management Interface
Per connettersi alla Security Gateway Management Interface utilizzare uno dei
seguenti browser Web:
■ Microsoft Internet Explorer versione 5.5 o 6.0 con Service Pack 1
■ Netscape versione 6.23 o 7.0
Prima di effettuare la connessione potrebbe essere necessario azzerare le
impostazioni proxy nel browser.
Prima di connettersi alla SGMI installare l'appliance secondo le istruzioni
fornite nella Scheda introduttiva di Symantec Gateway Security Serie 300.
L'interfaccia visualizzata quando si stabilisce la connessione con la SGMI
potrebbe variare leggermente a seconda del modello gestito. La Tabella 2-1
descrive le porte disponibili in ciascun modello.
320 1 4 1
360/360R 2 8 1
■ Nelle caselle di testo degli indirizzi IP, premere il tasto Tab sulla tastiera per
spostarsi tra le caselle.
■ Se dopo avere fatto clic su un pulsante per l'invio del modulo
nell'interfaccia utente l'appliance viene riavviata automaticamente,
attendere circa un minuto prima di tentare di nuovo l'accesso alla SGMI.
Vedere "Descrizioni dei campi della scheda Gestione di base" a pagina 166.
SGMI
Internet
Dispositivi protetti
3 Nelle caselle di testo Indirizzo IP finale, digitare l'ultimo indirizzo IP (il più
alto nell'intervallo).
Per autorizzare solo un indirizzo IP, digitare lo stesso valore in entrambe le
caselle di testo.
4 Per abilitare aggiornamenti TFTP (Trivial File Transfer Protocol) remoti del
firmware dell'appliance dall'intervallo di indirizzi IP configurato,
selezionare Autorizza upgrade firmware remoto.
Per impostazione predefinita l'opzione è disattivata. Vedere
"Aggiornamento manuale del firmware" a pagina 134.
5 Fare clic su Salva.
6 Per accedere in modalità remota alla SGMI, accedere a <indirizzo IP
dell'appliance>:8088, dove <indirizzo IP dell'appliance> è l'indirizzo IP
WAN dell'appliance.
Quando si tenta di accedere alla SGMI in modalità remota, è necessario
specificare il nome utente e la password di amministrazione.
Bit di dati 8
Parità Nessuna
Bit di stop 1
8 Connettersi all'appliance.
■ Tipi di connessione
Symantec Gateway Security Serie 300 modello 320 è dotato di una porta WAN da
configurare. I modelli delle appliance 360 e 360R sono dotati di due porte WAN
che è possibile configurare separatamente e in modo diverso a seconda delle
esigenze. Alcune impostazioni sono valide per entrambe le porte WAN mentre
altre sono applicabili in modo specifico alla porta WAN1 o WAN2.
Esempi di rete
La Figura 3-1 mostra un diagramma di rete di un'appliance Symantec Gateway
Security Serie 300 connessa a Internet. Il punto di terminazione rappresenta un
qualsiasi tipo di terminazione di rete. Può trattarsi di un dispositivo fornito
dall'ISP (Internet Service Provider) o di uno switch di rete. Il computer utilizzato
per la gestione è connesso direttamente all'appliance mediante una delle
relative porte LAN, e utilizza un browser per connettersi alla SGMI (Security
Gateway Management Interface). La rete protetta comunica con Internet
attraverso l'appliance Symantec Gateway Security Serie 300.
Configurazione di una connessione alla rete esterna 23
Esempi di rete
Internet
Punto di terminazione
Symantec Gateway
Security Serie 300
SGMI
Rete protetta
Internet
Symantec Gateway
Security Serie 5400
Router
Symantec Gateway
Security Serie 300
SGMI
Rete protetta
Rete enclave
Configurazione di una connessione alla rete esterna 25
Informazioni sulla Configurazione guidata
Nota: per cambiare la lingua in cui viene visualizzata la SGMI, eseguire di nuovo
la Configurazione guidata e selezionare una lingua diversa.
Bilanciamento del carico Impostare la percentuale di traffico che deve essere inviato
della porta WAN e attraverso WAN 1: il resto passa attraverso WAN 2. Vedere
aggregazione della "Bilanciamento del carico" a pagina 52.
larghezza di banda
Tipi di connessione
Per connettere l'appliance a una rete esterna o interna, è necessario
comprendere il tipo di connessione.
Per prima cosa, determinare se si dispone di un account su linea commutata o su
linea a banda larga. Se si dispone di un account su linea commutata, passare alla
sezione Commutata/ISDN. Se si dispone di un account dedicato, determinare il
tipo di connessione leggendo la tabella seguente, quindi passare alla sezione
appropriata delle istruzioni per la configurazione.
I tipici account su linea commutata sono di tipo analogico (attraverso una
normale linea telefonica connessa a un modem esterno) e ISDN (attraverso una
linea telefonica speciale). I tipici account a banda larga sono cavo a banda larga,
DSL, T1/E1 o T3 connessi a un adattatore terminale.
Se si dispone di un account a banda larga, fare riferimento alla Tabella 3-3 per
determinare il tipo di connessione.
Tabella 3-3 Tipi di connessione a banda larga
DHCP
DHCP (Dynamic Host Configuration Protocol) automatizza la configurazione di
rete dei computer. Consente a una rete con molti client di estrarre informazioni
di configurazione da un singolo server, chiamato server DHCP. Nel caso di un
account Internet dedicato, gli utenti sono i client che estraggono le informazioni
dal server DHCP dell'ISP, e gli indirizzi IP vengono assegnati solo agli account
connessi.
Configurazione di una connessione alla rete esterna 29
Configurazione della connettività
L'account attivo con il proprio ISP potrebbe utilizzare DHCP per allocare
automaticamente gli indirizzi IP. I tipi di account che spesso utilizzano DHCP
sono cavo a banda larga e DSL. Gli ISP autenticano le connessioni via cavo a
banda larga tramite l'indirizzo MAC o l'indirizzo fisico del computer o gateway.
Per informazioni sulla configurazione di DHCP per allocare gli indirizzi IP ai
nodi, vedere "Configurazione della connettività" a pagina 28.
Prima di configurare DHCP per le porte WAN, è necessario selezionare DHCP (IP
automatico) come tipo di connessione nella finestra Configurazione principale.
PPPoE
PPPoE (Point-to-Point Protocol over Ethernet) viene utilizzato da molti
provider ADSL (Asymmetrical Digital Subscriber Line). Si tratta di specifiche per
la connessione a Internet di molti utenti in una rete attraverso un singolo
account DSL.
È possibile specificare se l'account PPPoE viene connesso o disconnesso
manualmente o automaticamente, opzione utile per verificare la connettività.
È possibile configurare l'appliance per connettersi solo quando viene eseguita
una richiesta Internet da parte di un utente nella LAN (ad esempio, la
consultazione di un sito Web) e disconnettersi quando la connessione è inattiva
(inutilizzata). Questa funzionalità è utile se l'ISP addebita i costi in base al tempo
di utilizzo.
30 Configurazione di una connessione alla rete esterna
Configurazione della connettività
Nota: gli indirizzi IP multipli su una porta WAN sono supportati solo per le
connessioni PPPoE.
IP statico e DNS
Quando si richiede un account presso un ISP, a volte è possibile scegliere di
acquistare un indirizzo IP statico (permanente). Questo consente di gestire un
server, come un server Web o FTP, in quanto l'indirizzo rimane sempre
invariato. Qualsiasi tipo di account (linea commutata o a banda larga) può avere
un indirizzo IP statico.
L'appliance inoltra qualsiasi richiesta di ricerca DNS al server DNS specificato
per la risoluzione dei nomi. L'appliance supporta fino a tre server DNS. Quando
ne viene specificato più di uno, i server DNS vengono utilizzati in sequenza. Ad
esempio, dopo l'utilizzo del primo server, la successiva richiesta viene inoltrata
al secondo e così via.
Se si dispone di un indirizzo IP statico con il proprio ISP o se si sta utilizzando
l'appliance dietro un altro dispositivo di sicurezza gateway, selezionare IP
statico e DNS per il tipo di connessione. È possibile specificare il proprio
indirizzo IP statico e gli indirizzi IP dei server DNS da utilizzare per la
risoluzione dei nomi.
Prima di configurare l'appliance per connettersi al proprio account IP statico,
raccogliere le seguenti informazioni:
■ Indirizzo IP statico, mask di rete e gateway predefinito
Per queste informazioni rivolgersi all'ISP o al proprio settore IT.
■ Indirizzi DNS
È necessario specificare l'indirizzo IP di un minimo di uno e di un massimo
di tre server DNS. Per queste informazioni rivolgersi all'ISP o al proprio
settore IT. Le voci relative all'indirizzo IP DNS non sono necessarie per gli
account Internet dinamici o per quelli nei quali gli indirizzi IP vengono
assegnati da un server DHCP.
Se si dispone di un indirizzo IP statico con PPPoE, configurare l'appliance
per PPPoE.
34 Configurazione di una connessione alla rete esterna
Configurazione della connettività
PPTP
PPTP (Point-to-Point-Tunneling Protocol) è un protocollo che rende possibile il
trasferimento sicuro dei dati da un client a un server tramite la creazione di un
tunnel su una rete TCP/IP. Le appliance Symantec Gateway Security Serie 300
operano come client di accesso PPTP (PAC, PPTP access client) quando viene
stabilita la connessione con un server di rete PPTP (PNS, PPTP Network Server),
generalmente con l'ISP.
Prima di iniziare la configurazione di PPTP, raccogliere le seguenti
informazioni:
■ Indirizzi IP del server PPTP
Indirizzo IP del server PPTP presso l'ISP.
■ Indirizzo IP statico
Indirizzo IP assegnato al proprio account.
■ Informazioni sull'account
Nome utente e password per accedere all'account.
Porta seriale
Configurazione di una connessione alla rete esterna 39
Configurazione della connettività
La Figura 3-4 mostra la porta seriale presente sul pannello posteriore delle
appliance modello 360 e 360R.
Informazioni Nome utente, che può essere diverso dal nome account, e password
sull'account per l'account su linea commutata.
Indirizzo IP statico Alcuni ISP assegnano o offrono come opzione di acquisto ai propri
account indirizzi IP statici.
Documentazione Per informazioni sul modello o sui comandi del modem potrebbe
del modem essere necessario consultare la relativa documentazione.
Nota: Se il gateway dell'ISP blocca le richieste ICMP come i comandi PING, nella
scheda Configurazione principale, se la casella di testo IP o URL sito indicatore
attività viene lasciata vuota, per determinare la connettività l'appliance esegue
PING sul gateway predefinito.
Vedere "Descrizioni dei campi della scheda Backup accesso remoto e analogica/
ISDN" a pagina 179.
40 Configurazione di una connessione alla rete esterna
Configurazione della connettività
Nota: se NAT è attivata, nell'Elenco routing sono visualizzate solo sei route.
Quando NAT è disattivata, nell'elenco sono indicate tutte le route configurate.
50 Configurazione di una connessione alla rete esterna
Configurazione del routing
Metrica Digitare un numero che rappresenta l'ordine nel quale deve essere
valutata la voce. Ad esempio, per valutare la voce come terza
digitare 3.
Nota: le appliance modello 320 sono dotate di una porta WAN e non supportano
le funzioni alta disponibilità, bilanciamento del carico e aggregazione della
larghezza di banda.
Alta disponibilità
È possibile configurare l'alta disponibilità per ciascuna porta WAN in uno dei tre
modi seguenti: Normale, Disattivata o Backup. La Tabella 3-4 descrive ciascuna
modalità.
Tabella 3-4 Modalità di alta disponibilità
Modalità Descrizione
Backup La porta WAN fa passare il traffico solo se l'altra porta WAN non
funziona.
Binding SMTP
Utilizzare il binding SMTP quando sono presenti due connessioni a Internet con
ISP diversi utilizzate su porte WAN diverse. Questo garantisce che le e-mail
inviate da un client vengano indirizzate sulla porta WAN associata al server
di e-mail.
Se il server SMTP si trova nella stessa subnet di una delle porte WAN, il gateway
di sicurezza esegue automaticamente il binding delle due voci evitando così la
necessità di specificare tali informazioni.
Configurazione di una connessione alla rete esterna 53
Configurazione delle impostazioni WAN/ISP avanzate
Failover
È possibile configurare l'appliance per testare periodicamente la connettività al
fine di garantire che la connessione sia disponibile per i client. Dopo il periodo di
tempo specificato (ad esempio, 10 secondi), l'appliance esegue una richiesta
PING sull'URL specificato come indicatore di attività. Se non si specifica un
indicatore di attività, viene utilizzato il gateway predefinito.
Quando la porta WAN nel modello 320 si guasta, il gateway di sicurezza passa
alla porta seriale, che è connessa a un modem. Nel modello 360 o 360R, se una
delle porte WAN si guasta, il gateway di sicurezza passa all'altra disponibile.
Se entrambe le porte WAN si guastano, il gateway di sicurezza passa alla
porta seriale.
Se una linea è fisicamente disconnessa, viene considerata come tale e l'appliance
tenta di instradare il traffico sulla porta seriale o sull'altra porta WAN.
Se il cavo non è fisicamente disconnesso, l'appliance esegue un controllo della
linea a intervalli di pochi secondi per determinare se è attiva. Se la linea si
guasta, viene indicata come disconnessa nella scheda Registrazione/
Monitoraggio> Stato e viene tentato un percorso alternativo per il traffico.
54 Configurazione di una connessione alla rete esterna
Configurazione delle impostazioni WAN/ISP avanzate
Gateway DNS
È possibile specificare un gateway DNS per la risoluzione dei nomi locale e
remota sulla VPN. Per la risoluzione dei nomi locale e remota sulla VPN
(da gateway a gateway o da client a gateway), l'appliance può utilizzare un
gateway DNS.
È possibile specificare un gateway DNS di backup. Il gateway DNS gestisce la
risoluzione dei nomi, ma nel caso non sia disponibile, può subentrare quello di
backup (in genere un gateway DNS accessibile attraverso l'ISP).
Caselle di testo Indirizzo MAC Digitare l'indirizzo della scheda di rete WAN
(MAC) da clonare.
Nota: il modello 320 è dotato di quattro porte LAN, i modelli 360 e 360R di otto
porte LAN. Per ciascuna porta, è necessario specificare le impostazioni mediante
le assegnazioni di porta. Queste impostazioni vengono utilizzate per configurare
LAN wireless e cablate sicure.
58 Configurazione delle connessioni interne
Configurazione delle impostazioni IP LAN
Nota: ciascun computer client che si desidera utilizzi DHCP deve essere
configurato per ottenere l'indirizzo IP automaticamente.
Il server DHCP supporta solo reti di classe C. Gli indirizzi delle reti di classe C
vanno da 192.0.0.0 fino a 223.255.255.0. Il numero di rete è costituito dai primi
tre ottetti, da 192.0.0 fino a 223.255.255. Ciascuna rete di classe C può avere un
ottetto completo di host.
L'appliance può essere inserita in qualsiasi classe di rete, ma ciò non è
supportato dal server DHCP.
In presenza di una combinazione di client che utilizzano indirizzi IP DHCP e
statici, gli indirizzi IP statici devono essere all'esterno dell'intervallo DHCP.
Inoltre, è possibile decidere di assegnare indirizzi IP statici ad alcuni servizi.
Ad esempio, se nel sito è presente un server Web, sarà possibile assegnargli un
indirizzo statico.
Per impostazione predefinita il server DHCP nell'appliance è attivato. Se si
disattiva il server DHCP, a ciascun client che si connette alla LAN deve essere
assegnato un indirizzo IP nell'intervallo corretto. Se viene attivato il roaming
nell'appliance come punto di accesso wireless secondario, il server DHCP viene
disattivato.
60 Configurazione delle connessioni interne
Configurazione dell'appliance come server DHCP
Nei modelli 360 e 360R, è possibile limitare il computer all'utilizzo di una sola
delle porte WAN. Questo è utile se sono disponibili due account a banda larga,
uno su ciascuna porta WAN, e si desidera che un particolare computer ne utilizzi
solo una. Ciò risulta utile per quei server o applicazioni che devono utilizzare
sempre uno specifico indirizzo IP WAN come FTP. Per impostazione predefinita
l'opzione è disattivata.
Se vi sono servizi non contenuti in questo elenco, o un servizio che non utilizza
la porta predefinita, è possibile creare servizi personalizzati. Il servizio
personalizzato deve essere creato prima della regola in uscita.
Vedere "Configurazione dei servizi" a pagina 73.
Una regola in uscita attivata per il servizio FTP per il gruppo di computer 2
consente ai relativi membri di utilizzare il servizio FTP in uscita. Una regola in
uscita attivata per il servizio Posta (SMTP) per il gruppo di computer Tutti
consente a tutti i membri di tale gruppo di inviare e-mail in uscita. Una regola in
uscita attivata per il servizio FTP per il gruppo di computer 2 consentirebbe ai
relativi membri di utilizzare il servizio FTP in uscita. Se il gruppo di computer 1
non dispone di regole, per impostazione predefinita viene autorizzato tutto il
traffico in uscita. Nella Figura 5-1 è mostrato un diagramma di questi esempi.
Nota: nei modelli 360 e 360R, i server di applicazione FTP devono essere
associati a una porta WAN, WAN 1 o WAN 2. Tutte le altre applicazioni, come
HTTP, non richiedono l'associazione a una porta WAN. Vedere "Binding di altri
protocolli" a pagina 53.
L'appliance rimane in ascolto solamente del traffico nella LAN. Il computer nella
LAN attiva il trigger, non il traffico dall'esterno. L'applicazione LAN deve
iniziare il traffico ed è necessario conoscere le porte o l'intervallo di porte
utilizzate per configurare una voce di applicazione speciale. Se il traffico viene
originato dall'esterno, è necessario utilizzare una regola in entrata.
Avvertimento: a causa dei rischi per la sicurezza, attivare l'host esposto solo se
viene richiesto.
Politiche VPN
Per ciascuna fase della negoziazione, l'appliance utilizza una politica, che è un
set predefinito di parametri. L'appliance supporta due tipi di politiche di
sicurezza, IKE globale e VPN.
Campo Descrizione
Tipi di utente
Gli utenti si autenticano direttamente con il gateway di sicurezza al momento
della connessione attraverso un tunnel VPN. Gli utenti vengono definiti nella
scheda Utenti client del gateway di sicurezza. Gli utenti con autenticazione
estesa non sono definiti nel gateway di sicurezza: sono invece definiti in un
server di autenticazione RADIUS. Per supportare l'amministrazione remota di
utenti con autenticazione estesa l'appliance deve essere configurata di
conseguenza.
Utenti dinamici
Gli utenti dinamici non vengono definiti nell'appliance, in quanto, per
autenticare i propri tunnel, essi utilizzano l'autenticazione estesa tramite
RADIUS. Gli utenti dinamici vengono definiti nel server RADIUS.
Creazione di connessioni VPN protette 87
Identificazione degli utenti
Utenti
Gli utenti vengono autenticati tramite un ID client (nome utente) e una chiave
precondivisa che viene loro assegnata. Essi immettono il nome utente e la
password nel proprio software client e tali informazioni vengono inviate quando
tentano di creare un tunnel VPN con il gateway di sicurezza.
Gli utenti vengono definiti nell'appliance e possono utilizzare anche
l'autenticazione estesa.
Porta di autenticazione (UDP) Digitare la porta nel server RADIUS sulla quale viene
eseguito il servizio RADIUS.
Campo Descrizione
Se è presente un'altra subnet sul lato LAN del gateway di sicurezza Symantec
Gateway Security Serie 300, i tunnel client VPN verso il lato LAN del gateway di
sicurezza non sono supportati per i computer situati nella subnet separata. Per i
tunnel VPN sul lato LAN/WLAN sono supportati solo i computer presenti nella
subnet dell'appliance (indicati nella finestra IP LAN).
Nota: i tunnel VPN da gateway a gateway sono supportati dalle porte WAN
dell'appliance; non è possibile definire tunnel VPN da gateway a gateway sulle
porte LAN o WLAN dell'appliance.
Dinamico Il gateway di sicurezza viene fornito con una politica IKE globale
predefinita che viene applicata automaticamente alle negoziazioni IKE fase
1. Nella politica IKE globale è possibile modificare l'impostazione del
parametro Durata SA, che specifica la quantità di tempo del rekey del
tunnel (in minuti). Questo parametro è situato in VPN > Avanzate >
Impostazioni IKE globali (rekey fase 1).
Nota: completare due volte ciascun passaggio descritto nella Tabella 6-4: prima
per il gateway di sicurezza locale e poi per quello remoto.
Attività SGMI
Definire il gateway di sicurezza locale. VPN > Tunnel dinamici > Gateway di
sicurezza locale
Definire il gateway di sicurezza remoto. VPN > Tunnel dinamici > Gateway di
sicurezza remoto
Nota: completare due volte ciascun passaggio descritto nella Tabella 6-7: prima
per il gateway di sicurezza locale e poi per quello remoto.
Attività SGMI
Configurare una politica VPN (negoziazione IKE VPN > Politiche VPN
fase 2).
(Facoltativo)
Definire il gateway di sicurezza remoto VPN > Tunnel statici > Gateway di
sicurezza remoto
Informazioni Valore
Indirizzo IP
Chiave di autenticazione
(tunnel statico)
Chiave di crittografia
(tunnel statico)
Chiave precondivisa
Subnet/mask locale
Una volta stabilito un tunnel VPN, gli utenti remoti possono connettersi e
accedere in modo sicuro alle risorse della rete privata, attraverso Internet, come
se la workstation remota fosse situata fisicamente all'interno della rete protetta
(vedere la Figura 6-2).
Internet
Symantec Gateway Symantec Client VPN (LAN)
Symantec Client VPN (WAN) Security Serie 300
Tunnel globali
Quando un client stabilisce un tunnel VPN nella LAN, viene configurato un
tunnel globale (0.0.0.0) per il client. Questo impone che tutto il traffico client
attraverso il tunnel VPN termini all'appliance. Ciò è utile nelle reti non
attendibili, quali quelle wireless, per mantenere la protezione del traffico.
Quando si stabilisce un tunnel nella WAN, la subnet dell'appliance (per
impostazione predefinita 192.168.0.0) viene configurata in modo che il client
consenta una suddivisione del tunnel che gli permette di accedere direttamente
a Internet inviando attraverso il tunnel VPN solo il traffico destinato alla LAN.
Attività SGMI
Configurare una politica VPN (negoziazione IKE VPN > Politiche VPN
fase 2). Questa attività è facoltativa.
Identificare gli utenti remoti. VPN > Utenti client > Identità
utente VPN
Attivare tunnel client per il gruppo VPN VPN > Tunnel client > Definizione
selezionato. tunnel gruppo
Facoltativamente, configurare parametri di rete VPN > Tunnel client > Parametri
VPN (trasmessi al client durante le rete VPN
negoziazioni).
Attività SGMI
Selezionare la politica VPN da applicare al VPN > Avanzate > Impostazioni client
tunnel. VPN globale
Informazioni Valore
Informazioni Valore
ID client
ID fase 1
(Facoltativo)
■ Configurazione di AVpe
Nota: i client UNIX/Linux o quelli non un client antivirus non supportato devono
essere inseriti in un gruppo di computer senza AVpe.
108 Controllo avanzato del traffico di rete
Prima di configurare AVpe
Configurazione di AVpe
La configurazione di AVpe per un ambiente Symantec AntiVirus Corporate
Edition e una rete di soli client è simile.
La configurazione dei server Symantec AntiVirus Corporate Edition comporta le
seguenti attività:
■ Definizione della posizione del server Symantec AntiVirus primario e
secondario (facoltativo), e verifica che sui computer client sia installato il
client Symantec AntiVirus Corporate Edition e che le definizioni dei virus e
il motore di scansione siano aggiornati.
Vedere "Configurazione di AVpe" a pagina 109.
■ Attivazione della AVpe per gruppi di computer o VPN.
Vedere "Attivazione della AVpe" a pagina 110.
La configurazione di reti con client antivirus non gestiti, cioè senza Symantec
AntiVirus Corporate Edition, comporta lo svolgimento delle seguenti attività:
■ Definizione della posizione del client master della politica e verifica che
questo disponga di un client antivirus Symantec installato e supportato e
che le definizioni dei virus e il motore di scansione sui computer client siano
aggiornati.
■ Attivazione della AVpe per gruppi di computer o VPN.
Vedere "Attivazione della AVpe" a pagina 110.
■ Configurazione dei client AV.
Vedere "Configurazione dei client antivirus" a pagina 112.
Nota: l'attivazione di AVpe per i gruppi VPN è riservata solo ai client WAN.
L'AVpe per i client VPN LAN viene attivata attraverso i gruppi di computer nella
sezione Firewall.
Vedere "Definizione dell'appartenenza ai gruppi di computer" a pagina 65.
Vedere "Definizione di tunnel VPN client" a pagina 101.
Controllo avanzato del traffico di rete 111
Configurazione di AVpe
Vedere "Descrizioni dei campi della scheda Gruppi di computer" a pagina 194.
Vedere "Descrizioni dei campi della scheda Tunnel client" a pagina 213.
Nota: la workstation client non riceve alcuna notifica dell'accesso bloccato alla
rete e viene registrato un messaggio relativo all'evento.
Nota: per impostazione predefinita, il filtro dei contenuti è disattivato per tutti i
gruppi di computer.
Considerazioni speciali
Quando sono entrambe attivate, la funzione di filtro dei contenuti viene eseguita
prima dell'AVpe. Se il filtro dei contenuti determina il blocco di una
connessione, AVpe non viene elaborata; viene registrato solo il messaggio
relativo al filtro dei contenuti.
Se vengono apportate modifiche al filtro dei contenuti nell'appliance, azzerare
le cache DNS e del browser sul computer client. Se un client accede a un URL al
quale la modifica delle impostazioni di filtro dei contenuti vieta ora l'accesso, è
possibile che venga utilizzata la cache consentendo al client di accedervi.
Consultare la documentazione del sistema operativo per informazioni
sull'azzeramento delle cache DNS e la documentazione del browser per
l'azzeramento della relativa cache.
Se si attiva il filtro dei contenuti per i client VPN dal lato WAN, è necessario
disporre di server DNS nella LAN locale.
Considerazioni speciali
Se un sito o un gateway di sicurezza utilizza il reindirizzamento per trasferire
gli utenti da un URL a un altro, è necessario includere entrambi gli URL
nell'elenco. Ad esempio, www.disney.com reindirizza gli utenti verso
www.disney.go.com. Per autorizzare gli utenti a visualizzare questo sito Web, è
necessario specificare nell'elenco delle autorizzazioni sia www.disney.com, sia
www.disney.go.com.
116 Controllo avanzato del traffico di rete
Gestione degli elenchi di filtro dei contenuti
Nota: una firma IDS e IPS atomica è definita come firma basata su un singolo
pacchetto IP.
Il numero di messaggi di registro di cui viene tenuta traccia dipende dal tipo
di attacco. Vengono registrati illimitati tentativi di accesso alla gestione. La
registrazione degli attacchi è limitata a un attacco ogni cinque secondi. Quando
ICMP è attivato, i messaggi di registro non vengono limitati.
L'appliance difende contro le seguenti firme IDS/IPS atomiche:
■ Bonk
■ Back Orifice (canale di comunicazione Trojan horse)
■ Girlfriend (canale di comunicazione Trojan horse)
■ Fawx
■ Jolt
■ Land
■ Nestea
■ Newtear
■ Overdrop
■ Ping of Death
■ Portal of Doom (canale di comunicazione Trojan horse)
■ SubSeven (canale di comunicazione Trojan horse)
■ Syndrop
■ Teardrop
■ Winnuke
■ Overflow del buffer HTML
■ Protezione da attacchi in grande quantità TCP/UDP
Utilizzo di Syslog
L'invio dei messaggi del registro a un server Syslog ne consente la
memorizzazione per un lungo periodo. Un server Syslog rimane in attesa
dell'inoltro di voci di registro da parte dell'appliance e memorizza tutte le
informazioni di registro per consentire future analisi. Il server Syslog può essere
nella LAN o WAN, o al di là di un tunnel VPN.
Registrazione, monitoraggio e aggiornamenti 125
Gestione della registrazione
Nota: la data e l'ora dei messaggi nel server Syslog corrispondono a quelle
dell'arrivo al server, non a quelle registrate dall'appliance relativamente
all'evento che ha generato il messaggio di registro.
Server
Symantec
LiveUpdate
Symantec Gateway
Security Serie 5400
Internet
Tunnel VPN
Server
SGMI LiveUpdate
interno
Dispositivi protetti
134 Registrazione, monitoraggio e aggiornamenti
Aggiornamento del firmware
Posizione Descrizione
Nota: Se nel computer nel quale viene eseguito symcftpw è installato Norton
Internet Security, in quest'ultimo è necessario configurare una regola in entrata
e una in uscita per autorizzare il traffico tra il computer e l'appliance.
La Figura 9-2 mostra il pannello posteriore del modello 320. Il grafico è fornito a
titolo di consultazione; la descrizione completa di ciascuna funzionalità è
disponibile nella Guida all'installazione di Symantec Gateway Security Serie 300.
La Figura 9-3 mostra il pannello posteriore dei modelli 360 e 360R. Il grafico è
fornito a titolo di consultazione; la descrizione completa di ciascuna
funzionalità è disponibile nella Guida all'installazione di Symantec Gateway
Security Serie 300.
Il file di backup viene creato nella stessa cartella del disco rigido nella quale è
stata inserita l'applicazione symcftpw. Nell'applicazione symcftpw, è possibile
specificare dove memorizzare il file di backup, ad esempio in un disco floppy.
Questo è utile per conservare la configurazione in un luogo sicuro, come una
cassetta antincendio.
10 Copiare il file di backup dal disco rigido a un disco floppy e riporlo in una
posizione sicura.
Reimpostazione dell'appliance
È possibile reimpostare l'appliance in tre modi diversi:
■ Reimpostazione semplice
Riavvia l'appliance. Questo è simile a spegnere e riaccendere l'appliance.
Tutte le connessioni correnti, compresi i tunnel VPN, vengono perdute.
Quando l'appliance viene riavviata i tunnel VPN da gateway a gateway
connessi in precedenza vengono ristabiliti. Inoltre, al riavvio l'appliance
esegue un test automatico dell'hardware.
■ Reimpostazione con la configurazione predefinita
L'indirizzo IP della subnet LAN viene reimpostato su 191.168.0.0, l'indirizzo
IP LAN dell'appliance viene reimpostato su 192.168.0.1, la funzionalità di
server DHCP viene attivata e la password dell'amministratore viene
azzerata.
■ Reimpostazione con l'applicazione riservata
Il firmware viene reimpostato con l'ultimo file all.bin che è stato utilizzato
per il flashing dell'appliance. Questo può essere il firmware originale di
fabbrica o un aggiornamento del firmware che è stato scaricato dal sito Web
di Symantec e applicato all'appliance.
La Figura 9-5 mostra il pannello posteriore dei modelli 360 e 360R. Il grafico è
fornito a titolo di consultazione; la descrizione completa di ciascuna
funzionalità è disponibile nella Guida all'installazione di Symantec Gateway
Security Serie 300.
La Figura 9-7 mostra il pannello posteriore dei modelli 360 e 360R. Il grafico è
fornito a titolo di consultazione; la descrizione completa di ciascuna
funzionalità è disponibile nella Guida all'installazione di Symantec Gateway
Security Serie 300.
Registrazione, monitoraggio e aggiornamenti 143
Interpretazione dei LED
I LED sul pannello anteriore dell'appliance hanno tre stati: acceso, intermittente
e spento. La combinazione degli stati dei LED Error e Transmit indica lo stato
dell'appliance. La Tabella 9-3 descrive le combinazioni dello stato dei LED e lo
stato dell'appliance che indicano.
Stato LED Error (2) Stato LED Transmit (3) Stato appliance
Nota: lo strumento per la risoluzione dei problemi PING va utilizzato solo per
inviare comandi PING ad altri indirizzi IP, non all'appliance stessa.
Nota: alcuni siti bloccano le richieste PING a livello dei propri firewall.
Assicurarsi che il sito sia raggiungibile prima di contattare l'ISP o il supporto
tecnico di Symantec.
152 Risoluzione dei problemi
Accesso alle informazioni sulla risoluzione dei problemi
1. Licenza software:
Il software (il "Software") che accompagna l'appliance acquistata (l'"Appliance")
dall'Utente è di proprietà di Symantec o dei suoi licenziatari ed è protetto dalla legge sul
copyright. Mentre Symantec continua a detenere la proprietà del Software, l'Utente avrà
alcuni diritti di utilizzo del Software dietro accettazione della presente licenza d'uso. La
presente licenza governa qualsiasi versione, revisione o miglioramento del Software reso
disponibile dal Concessore della licenza. Ad eccezione di eventuali modifiche contemplate
in un certificato di licenza, coupon di licenza o chiave di licenza Symantec (ciascuno un
"Modulo di licenza") che accompagna, precede o segue la presente licenza, e secondo
quanto ulteriormente definito nella documentazione utente che accompagna l'Appliance
e/o il Software, i diritti e gli obblighi riguardanti l'utilizzo di questo Software sono i
seguenti:
È possibile:
A. utilizzare il Software esclusivamente come parte dell'Appliance.
B. eseguire copie della documentazione stampata che accompagna l'Appliance in base alle
necessità di supporto dell'utilizzo autorizzato dell'Appliance; e
C. previa comunicazione scritta a Symantec e in relazione a un trasferimento
dell'Appliance, trasferire il Software su base permanente a un'altra persona o entità,
a condizione che l'Utente non conservi alcuna copia del Software, Symantec consenta il
trasferimento e il cessionario accetti in forma scritta i termini del presente contratto.
Gestione delle licenze 155
CONTRATTO DI LICENZA D'USO E GARANZIA DELL'APPLIANCE SYMANTEC GATEWAY SECURITY
Non è possibile:
A. fornire in licenza, affittare o noleggiare qualsiasi porzione del Software; eseguire
l'ingegnerizzazione inversa, decompilare, disassemblare, modificare, tradurre, tentare
in qualsiasi modo di scoprire il codice sorgente del Software, o creare lavori derivati dal
software;
B. utilizzare, se il Software ricevuto era distribuito in un'Appliance contenente più
prodotti Symantec, qualsiasi software Symantec presente su tale Appliance per il quale
non è stata ricevuta un'autorizzazione in un Modulo di licenza; oppure
C. utilizzare il Software in qualsiasi modo non autorizzato dalla presente licenza.
3. Garanzia limitata:
Symantec garantisce che il Software opererà nell'Appliance in sostanziale conformità con
la documentazione scritta che accompagna l'Appliance per un periodo di trenta (30) giorni
dalla data di acquisto originale dell'Appliance. L'unico rimedio da parte e a discrezione di
Symantec nel caso di violazione di questa garanzia sarà la riparazione o la sostituzione di
qualsiasi Software difettoso restituito a Symantec entro il periodo di garanzia o il
rimborso del prezzo pagato dall'Utente per l'Appliance.
Le garanzie contenute nel presente contratto non saranno applicabili a qualsiasi Software
o Hardware che:
Inoltre, le garanzie contenute nel presente contratto non sono applicabili a riparazioni o
sostituzioni causate o rese necessarie da: (i) eventi che si verificano in seguito al passaggio
all'Utente dei rischi di perdita quali lo smarrimento o il danno durante il trasporto; (ii) casi
di forza maggiore compresi senza limitazione eventi naturali quali incendi, inondazioni,
terremoti, fulmini o disastri simili; (iii) utilizzo, ambiente, installazione o alimentazione
elettrica impropri, o qualsiasi altro cattivo uso o conduzione; (iv) attività o inattività
governative; (v) scioperi o interruzioni del lavoro; (vi) mancata osservanza da parte
dell'Utente delle istruzioni o dei manuali d'uso o operativi pertinenti; (vii) inadempienza
da parte dell'Utente nell'osservanza delle istruzioni o dei manuali d'uso e operativi; o (viii)
altri eventi fuori dal ragionevole controllo di Symantec.
Al fine di esercitare i diritti di garanzia contenuti nel presente Contratto, l'Utente deve
avere a disposizione la ricevuta o fattura di acquisto originale con la dichiarazione di
garanzia.
6. Norme sull'esportazione:
Certi prodotti Symantec sono soggetti ai controlli sull'esportazione imposti da
Department of Commerce (DOC) degli Stati Uniti, nel quadro delle Export Administration
Regulations (EAR) (vedere www.bxa.doc.gov). Qualsiasi violazione delle leggi degli Stati
Uniti è rigorosamente proibita. Il Licenziatario accetta di ottemperare ai requisiti delle
norme EAR e a tutte le leggi e normative internazionali, nazionali, regionali e locali,
comprese tutte le limitazioni applicabili sull'importazione e l'utilizzo. Attualmente è
proibita l'esportazione o la riesportazione dei prodotti Symantec verso Cuba, Nord Corea,
Iran, Iraq, Libia, Siria e Sudan o qualsiasi paese soggetto a sanzioni commerciali. Il
Licenziatario accetta di non esportare, o riesportare, direttamente o indirettamente,
qualsiasi prodotto verso qualsiasi paese indicato nelle norme EAR, o qualsiasi persona o
entità inclusa nel DOC Denied Persons, Entities and Unverified Lists, U.S. Department of
State's Debarred List o negli elenchi del U.S. Department of Treasury di Specially
Designated Nationals, Specially Designated Narcotics Traffickers o Specially Designated
Terrorists. Inoltre, il Licenziatario accetta di non esportare, o riesportare, prodotti
Symantec verso qualsiasi entità militare non approvata nelle norme EAR, o verso qualsiasi
altra entità con finalità militari, o vendere alcun prodotto Symantec perché venga
utilizzato con armi chimiche, biologiche o nucleari, o missili in grado di trasportare
tali armi.
158 Gestione delle licenze
CONTRATTO DI LICENZA D'USO E GARANZIA DELL'APPLIANCE SYMANTEC GATEWAY SECURITY
7. Note generali:
Per i residenti in Nord America o America Latina, questo Contratto sarà governato dalle
leggi dello Stato di California, Stati Uniti d'America. Altrimenti, questo Contratto sarà
governato dalle leggi del Regno Unito. Questo Contratto e qualsiasi Modulo di licenza
correlato costituisce l'intero contratto tra l'Utente e Symantec relativamente all'Appliance
e: (i) sostituisce tutte le comunicazioni, proposte e dichiarazioni precedenti o
contemporanee verbali o scritte riguardanti l'argomento; e (ii) prevale su qualsiasi termine
contrastante o aggiuntivo di qualsiasi preventivo, ordine, ammissione o comunicazione
simile tra le parti. Questo Contratto può essere modificato solamente da un Modulo di
licenza o da un documento scritto che è stato sottoscritto dall'utente e da Symantec.
Il presente Contratto verrà terminato a seguito della violazione da parte dell'Utente dei
termini qui contenuti e l'Utente dovrà cessare l'utilizzo e distruggere tutte le copie del
Software e restituire l'Appliance a Symantec. Le esclusioni di garanzie e danni e le
limitazioni di responsabilità sopravvivranno alla terminazione. In caso di chiarimenti
relativi a questo Contratto, o se si desidera contattare Symantec per qualsiasi ragione,
scrivere a: (i) Symantec Customer Service, 555 International Way, Springfield, OR 97477,
USA, o (ii) Symantec Customer Service Center, PO BOX 5689, Dublin 15, Irlanda.
Appendice D
Descrizioni dei campi
Questo capitolo comprende i seguenti argomenti:
Tabella D-4 Descrizioni dei campi della scheda Risoluzione dei problemi
Trasmissione Inoltra pacchetti Consente l'inoltro dei pacchetti WAN alla LAN.
livello debug WAN alla LAN Questa opzione è utile per controllare i pacchetti
WAN ai fini della risoluzione dei problemi senza
configurare apparecchiature aggiuntive.
Manager a sola Stringa comunità Una stringa comunità può essere richiesta
lettura SNMP dal server SNMP.
(GETS e TRAPS)
Indirizzo IP 1, Indirizzo IP dei destinatari di TRAP SNMP.
Indirizzo IP 2, Le TRAP vengono inoltrate a tali indirizzi.
Indirizzo IP 3
Tabella D-8 Descrizioni dei campi della scheda IP LAN e DHCP (Continua)
Tabella DHCP Nome host Nome del computer al quale il gateway di sicurezza ha
assegnato un indirizzo IP.
Porte LAN fisiche Porta 1, Porta 2, Assegna le porte nella funzione Switch del
Porta 3, Porta 4 gateway di sicurezza impostandole come
(Modello 320) attendibili o non attendibili.
Porta 1, Porta 2, Attiva la sicurezza della VPN basata su LAN
Porta 3, Porta 4, wireless e cablata mediante le capacità di rete
Porta 5, Porta 6, virtuale basata sulle porte della funzione Switch
Porta 7, nel gateway di sicurezza, oltre al supporto per
Porta 8 l'attivazione di tunnel globali sul lato LAN
(Modello direttamente all'interfaccia wireless. L'endpoint
360/360R) del tunnel sarà nel gateway principale per ogni
subnet della rete LAN.
Server dei nomi di DNS 1, DNS 2, È necessario specificare almeno un server DNS,
dominio DNS 3 fino a un massimo di tre, per risolvere gli
indirizzi host e IP.
Descrizioni dei campi 177
Descrizioni dei campi WAN/ISP
Modello 320: Porta WAN Selezionare la porta WAN per la quale si sta
sessioni (Modello 360/ configurando PPPoE.
360R)
Modello 360:
porta WAN e Sessione Consente di configurare la modalità di utilizzo
sessioni di PPPoE sulla porta WAN.
Per configurare un account PPPoE a sessione
singola, fare clic su Sessione 1, quindi su
Seleziona. Per configurare un account PPPoE
multisessione, selezionare la sessione da
configurare, quindi fare clic su Seleziona.
Tabella D-13 Descrizioni dei campi della scheda relativa all'account di accesso
remoto o ISDN
Tabella D-13 Descrizioni dei campi della scheda relativa all'account di accesso
remoto o ISDN (Continua)
Tabella D-13 Descrizioni dei campi della scheda relativa all'account di accesso
remoto o ISDN (Continua)
Stato analogico Stato porta Descrive lo stato della porta seriale sul gateway
di sicurezza a cui è collegato il modem.
Tabella D-13 Descrizioni dei campi della scheda relativa all'account di accesso
remoto o ISDN (Continua)
Porta WAN: Porta WAN Porta WAN per la quale si sta configurando
Modello 360/360R (Modello 360/ PPTP.
360R)
Tabella D-15 Descrizioni dei campi della scheda DNS dinamico (Continua)
Servizio standard Nome utente Nome utente per l'account creato con un
servizio DNS dinamico.
Tabella D-15 Descrizioni dei campi della scheda DNS dinamico (Continua)
Lista della tabella Destinazione Indirizzo IP/subnet per il traffico che richiede il
di routing routing.
Elenco host Nome host Nome dell'host (un computer nella rete interna).
Tabella D-19 Descrizioni dei campi della scheda Gruppi di computer (Continua)
Filtro dei Attiva filtro dei Se si attiva il filtro dei contenuti per il gruppo di
contenuti contenuti computer selezionato, il gateway di sicurezza
consentirà o bloccherà l'accesso agli URL inclusi
negli elenchi di autorizzazioni e divieti presenti
nella sezione Filtro dei contenuti.
Tabella D-19 Descrizioni dei campi della scheda Gruppi di computer (Continua)
Tabella D-23 Descrizioni dei campi della scheda Applicazioni speciali (Continua)
Tabella D-23 Descrizioni dei campi della scheda Applicazioni speciali (Continua)
Tabella D-25 Descrizioni dei campi della scheda Tunnel dinamici (Continua)
Tabella D-25 Descrizioni dei campi della scheda Tunnel dinamici (Continua)
Tabella D-25 Descrizioni dei campi della scheda Tunnel dinamici (Continua)
Tabella D-26 Descrizioni dei campi della scheda Tunnel statici (Continua)
Tabella D-26 Descrizioni dei campi della scheda Tunnel statici (Continua)
Tabella D-27 Descrizioni dei campi della scheda Tunnel client (Continua)
Politica client Attiva filtro dei Il traffico di tutti i client nel gruppo VPN
WAN contenuti selezionato è soggetto alle regole di filtro dei
contenuti impostate negli elenchi di
autorizzazioni e di divieti.
Tabella D-29 Descrizioni dei campi della scheda Politiche VPN (Continua)
Tabella D-32 Descrizioni dei campi della scheda Protezione IDS (Continua)
Convalida flag TCP Convalida flag TCP Blocca e registra qualsiasi traffico con
combinazioni di flag non valide che viene
autorizzato dalla politica di sicurezza. Il
traffico non autorizzato dalla politica di
sicurezza che ha una o più combinazioni di
flag TCP errate viene classificato come una
delle varie tecniche di scansione delle porte
NMAP (NMAP Null Scan, NMAP Christmas
Scan, e così via).
Descrizioni dei campi 223
Descrizioni dei campi della scheda AVpe (Applicazione politica antivirus)
Tabella D-34 Descrizioni dei campi della scheda AVpe (Applicazione politica
antivirus)
Tabella D-34 Descrizioni dei campi della scheda AVpe (Applicazione politica
antivirus) (Continua)
Tabella D-34 Descrizioni dei campi della scheda AVpe (Applicazione politica
antivirus) (Continua)
Convalida politica Verifica che client Quando l'opzione è attivata, tramite questo
AV sia attivo campo è possibile verificare se il software
antivirus Symantec è installato e attivo su una
workstation client.
Le opzioni disponibili comprendono:
■ Motore prodotto più recente (impostazione
predefinita)
Verifica se il software antivirus Symantec è
attivo e se comprende il motore di
scansione del prodotto più recente.
■ Qualsiasi versione
Verifica se il software antivirus Symantec è
attivo con una qualsiasi versione
qualificata del motore di scansione del
prodotto.
Nota: assicurarsi che UDP/Porta 2967 sia
autorizzata dai firewall personali.
Tabella D-34 Descrizioni dei campi della scheda AVpe (Applicazione politica
antivirus) (Continua)
Tabella D-34 Descrizioni dei campi della scheda AVpe (Applicazione politica
antivirus) (Continua)
Numeri B
3DES 95 Back Orifice 120
backup e ripristino
configurazioni 139
A backup, account su linea commutata 38, 41
accesso alla rete, pianificazione 63 BattleNet 75
accesso amministrativo 14 bilanciamento del carico 52
account a banda larga 27 binding SMTP 52
account su linea commutata 38 bloc scorr 17
account di backup 38 Bonk 120
backup 41
configurazione 39
connessione manuale 42 C
monitoraggio dello stato 43 client antivirus 112
verifica della connettività 42 cluster
account su linea commutata manuali 42 creazione di tunnel con cluster di Symantec
ADSL (Asymmetrical Digital Subscriber Line) 29 Gateway Security Serie 5400 92
AES-128 95 compressione del tunnel 83
AES-192 95 computer e gruppi di computer 64
AES-256 95 configurare la password 15
aggiornamenti automatici 130 configurazione
aggiornamento del firmware 129 account su linea commutata 39
Norton Internet Security 135 appliance come server DHCP 58
all.bin 134 applicazioni speciali 75
alta disponibilità 51 assegnazioni di porta 61
amministratore del gateway remoto, condivisione AVpe 108
delle informazioni 98 computer 65
amministrazione, password 14 connessione alla rete esterna 21
analogica 27 connessioni interne 57
app.bin, firmware 129 connettività 28
appartenenza ai gruppi di computer 65 failover 53
appliance, LED del pannello anteriore 142 gestione remota 15
applicazioni speciali 75 host esposto 79
assegnazioni di porta 61 impostazioni di connessione avanzate 43
attacchi 119 impostazioni di protezione avanzate 121
attivazione impostazioni PPP avanzate 44
pass-thru IPsec 78 impostazioni WAN/ISP avanzate 51
porta IDENT 77 inattività rinnovo 43
attivazione di DHCP 60 IP statico 34
AVpe 106 MTU (Maximum Transmission Unit) 45
configurazione 108 nuovi computer 65
messaggi del registro 113 opzioni avanzate 77
230 Indice
O protezione
contraffazione IP 121
opzioni avanzate 77
convalida flag TCP 122
Overdrop 120
protezione contro la contraffazione IP 121
protezione contro Trojan horse 120
P punto interrogativo 11
pannello posteriore
360 e 360R 39
R
appliance 320 38
pass-thru IPsec 78 regole in entrata 68
password regole in uscita 70
amministrazione 14 reimpostare manualmente la password 15
configurare 15 reimpostazione dell'appliance 140
reimpostare manualmente 15 reindirizzamento dei servizi 73
pianificazione dell'accesso alla rete 63 rete esterna
PING 39 configurazione della connessione 21
Ping of Death 120 rete TCP/IP, PPTP 35
Point to Point Protocol over Ethernet. Vedere richieste ICMP 39, 79
PPPoE ripristinare le impostazioni predefinite
politica IKE globale 83 dell'assegnazione di porta 62
politiche di sicurezza 82 Risoluzione dei problemi 147, 149
porta IDENT 77 routing 49
porta WAN routing dinamico 49
configurazione MTU 45
connessione 21 S
porta WAN, configurazione 26 Security Gateway Management Interface 13
Portal of Doom 120 selezione della lingua 25
PPPoE server DHCP 58
connessione manuale 32 SGMI 13
connettività 28 SGMI (Security Gateway Management
Interroga servizi 178 Interface) 11
verifica della connettività 31 SMTP, timeout 77
PPPoE (Point-to-Point Protocol over Ethernet) 29 stato del server antivirus 112
PPTP subnet 91
configurazione della connettività 35 SubSeven 120
connessione manuale 37 supporto tecnico 152
rete TCP/IP 35 Symantec Gateway Security Serie 5400 91, 92
verifica della connettività 36 Syndrop 120
PPTP (Point-to-Point-Tunneling Protocol) 35
preferenze del registro 124
preferenze di protezione T
configurazione T3 27
impostazione delle preferenze di TCP/UDP flood protection 120
protezione 121 Teardrop 120
impostazioni 121 test della connettività 53
prevenzione degli attacchi 119 TFTP 135
Back Orifice 120 timeout SMTP 77
Girlfriend 120 tipi di connessione, informazioni 27
Trojan horse 120 tunnel
Indice 233
Soluzioni di servizio
e supporto
Symantec desidera fornire un servizio di alto livello in tutto il mondo con
l'obiettivo di fornire assistenza professionale nell'utilizzo del software e dei
servizi ovunque si trovi l'utente.
Le soluzioni di supporto tecnico e servizio clienti variano da paese a paese.
In caso di domande sui servizi descritti qui di seguito, consultare
"Servizio e supporto nel mondo" alla fine di questo capitolo.
Registrazione e licenze
Se il prodotto da implementare richiede la registrazione e/o una chiave di
licenza, il modo più semplice e veloce di procedere è di accedere al nostro sito
di registrazione e gestione delle licenze all'indirizzo www.symantec.com/
certificate. In alternativa è possibile accedere all'indirizzo
http://www.symantec.com/techsupp/ent/enterprise.html, selezionare il
prodotto da registrare e dalla pagina iniziale dei prodotti selezionare il
collegamento Licenze d'uso e registrazione.
Se è stato acquistato un abbonamento al supporto, si ha diritto di ricevere
assistenza tecnica da Symantec per telefono e via Internet. Quando si contatta il
supporto per la prima volta tenere a disposizione il numero di licenza presente
sul certificato di licenza o l'ID di contatto generato attraverso la registrazione al
supporto per consentire di verificare il diritto di richiedere assistenza. Se non è
stato acquistato un abbonamento al supporto, contattare il proprio rivenditore o
il servizio clienti di Symantec per ottenere dettagli sull'acquisto di opzioni di
supporto tecnico da Symantec.
236 Soluzioni di servizio e supporto
Registrazione e licenze
Francese:
http://www.symantec.com/region/fr/techsupp/bulletin/index.html.
Italiano:
http://www.symantec.com/region/it/techsupp/bulletin/index.html
Olandese:
http://www.symantec.com/region/nl/techsupp/bulletin/index.html
Tedesco:
http://www.symantec.com/region/de/techsupp/bulletin/index.html
America Latina
Spagnolo:
http://www.symantec.com/region/mx/techsupp/bulletin/index.html
Portoghese:
http://www.symantec.com/region/br/techsupp/bulletin/index.html
Supporto tecnico
In quanto parte del Symantec Security Response, il nostro gruppo di supporto
tecnico globale gestisce centri di supporto sparsi in tutto il mondo. Il nostro
ruolo principale è di rispondere a quesiti specifici relativi a caratteristiche/
funzioni, installazione e configurazione dei prodotti, oltre a produrre materiale
per la nostra sezione Knowledge Base accessibile sul Web. Per rispondere
tempestivamente alle richieste degli utenti collaboriamo anche con altre aree
funzionali all'interno di Symantec. Ad esempio, lavoriamo con il settore
dell'ingegnerizzazione dei prodotti e con i nostri Security Research Center per
fornire servizi di avviso e aggiornamenti delle definizioni dei virus volti a
combattere epidemie virali e allarmi correlati alla sicurezza. I punti salienti
della nostra offerta comprendono:
■ Una gamma di opzioni di supporto che fornisce la flessibilità di scegliere il
giusto livello di servizio per organizzazioni di qualsiasi dimensione
■ Componenti di supporto telefonico e via Web che forniscono risposte rapide
e informazioni aggiornate
238 Soluzioni di servizio e supporto
Supporto tecnico
Servizio clienti
Il centro del servizio clienti di Symantec può fornire assistenza con domande
non tecniche comprendenti:
■ Informazioni generali sui prodotti (ad esempio, funzionalità, disponibilità
di versioni nazionali, rivenditori in loco, ecc.)
■ Informazioni di base sulla diagnosi dei problemi, quali il controllo del
numero di versione del prodotto
■ Informazioni aggiornate sugli aggiornamenti e gli upgrade dei prodotti
■ Modalità di aggiornamento/upgrade dei prodotti
■ Modalità di registrazione del prodotti e/o delle licenze
■ Informazioni sui programmi di licenze d'uso di Symantec
■ Informazioni sui contratti di assicurazione di aggiornamento e
manutenzione
■ Sostituzione di CD e manuali
■ Aggiornamento della registrazione del prodotto in seguito al cambio di
indirizzo o di nome
■ Consigli sulle opzioni di supporto tecnico di Symantec
Informazioni complete sul servizio clienti sono disponibili sul sito Web Servizio
e supporto di Symantec e possono anche essere ottenute telefonando al servizio
clienti di Symantec. Per informazioni su come contattare il servizio clienti e
sugli indirizzi Web fare riferimento a "Servizio e supporto nel mondo" alla fine
di questo capitolo.
240 Soluzioni di servizio e supporto
Informazioni di contatto del servizio e supporto nel mondo
Francese:
http://www.symantec.com/region/fr/techsupp/bulletin/index.html
Italiano:
http://www.symantec.com/region/it/techsupp/bulletin/index.html
Tedesco:
http://www.symantec.com/region/de/techsupp/bulletin/index.html
Soluzioni di servizio e supporto 241
Informazioni di contatto del servizio e supporto nel mondo
Olandese:
http://www.symantec.com/region/nl/techsupp/bulletin/index.html
Portoghese:
http://www.symantec.com/region/br/techsupp/bulletin/index.html
Spagnolo:
http://www.symantec.com/region/mx/techsupp/bulletin/index.html
Argentina
Pte. Roque Saenz Peña 832 - Piso 6
C1035AAQ, Ciudad de Buenos Aires
Argentina
Venezuela
Avenida Francisco de Miranda. Centro Lido
Torre D. Piso 4, Oficina 40
Urbanización el Rosal
1050, Caracas D.F.
Venezuela
Colombia
Carrera 18# 86A-14
Oficina 407, Bogotá D.C.
Colombia
Numero principale +57 (1) 638-6192
Sito Web http://www.service.symantec.com/mx
Brasile
Symantec Brasil
Market Place Tower
Av. Dr. Chucri Zaidan, 920
12° andar
São Paulo - SP
CEP: 04583-904
Brasil, SA
Chile
Alfredo Barros Errazuriz 1954
Oficina 1403
Providencia,
Santiago de Chile
Chile
Messico
Boulevard Adolfo Ruiz Cortines 3642 Piso 8,
Colonia Jardines del Pedregal,
01900, México D.F.
México
CINA
Symantec Cina
Unit 1-4, Level 11,
Tower E3, The Towers, Oriental Plaza,
No. 1 East Chang An Ave., Dong Cheng District
Beijing 100738
Cina P.R.C.
HONG KONG
Symantec Hong Kong
Central Plaza
Suite #3006
30th Floor, 18 Harbour Road
Wanchai
Hong Kong
INDIA
Symantec India
Suite #801
Senteck Centrako
MMTC Building
Bandra Kurla Complex
Bandra (East)
Mumbai 400051, India
COREA
Symantec Corea
15,16th Floor
Dukmyung B/D
170-9 Samsung-Dong
KangNam-Gu
Seoul 135-741
Corea del Sud
MALESIA
Symantec Corporation (Malesia) Sdn Bhd
31-3A Jalan SS23/15
Taman S.E.A.
47400 Petaling Jaya
Selangor Darul Ehsan
Malesia
Numero principale +603 7805 4910
Fax +603 7804 9280
e-mail enterprise gold.apac@symantec.com
Numero verde enterprise +1800 805 104
Sito Web http://www.symantec.com.my
NUOVA ZELANDA
Symantec Nuova Zelanda
Level 5, University of Otago Building
385 Queen Street
Auckland Central 1001
Nuova Zelanda
SINGAPORE
Symantec Singapore
3 Phillip Street
#17-00 & #19-00 Commerce Point
Singapore 048693
Numero principale +65 6239 2000
Fax +65 6239 2001
Supporto tecnico +65 6239 2099
Sito Web http://www.symantec.com.sg
TAIWAN
Symantec Taiwan
2F-7, No.188 Sec.5
Nanjing E. Rd.,
105 Taipei
Taiwan