Sei sulla pagina 1di 248

Manuale dell'amministratore di

Symantec™ Gateway Security


Serie 300

Modelli supportati:
Modelli 320, 360 e 360R
Symantec™ Gateway Security Serie 300
Manuale dell'amministratore
Il software descritto nel presente manuale viene fornito in conformità a un
contratto di licenza e può essere utilizzato esclusivamente ai sensi di tale
accordo.
Versione della documentazione 1.0
11 febbraio 2004

Copyright
Copyright © 1998-2004 Symantec Corporation.
Tutti i diritti riservati.
La documentazione tecnica messa a disposizione da Symantec Corporation è di
proprietà esclusiva di Symantec Corporation.
ESCLUSIONE DELLA GARANZIA. La documentazione tecnica viene fornita "così
com'è" e Symantec Corporation non riconosce alcuna garanzia relativamente
alla sua accuratezza o al suo utilizzo. L'utilizzo della documentazione tecnica o
delle informazioni in essa contenute è a rischio dell'utente. La documentazione
potrebbe contenere imprecisioni tecniche o di altro tipo oppure errori
tipografici. Symantec si riserva il diritto di effettuare modifiche senza
preavviso.
Nessuna parte di questa pubblicazione può essere copiata senza l'esplicito
consenso scritto di Symantec Corporation, 20330 Stevens Creek Blvd.,
Cupertino, CA 95014, USA.

Marchi
Symantec, il logo Symantec e Norton AntiVirus sono marchi di Symantec
Corporation registrati negli Stati Uniti. LiveUpdate, LiveUpdate Administration
Utility, Symantec AntiVirus e Symantec Security Response sono marchi di
Symantec Corporation.
Altre marche e nomi di prodotti citati nel presente manuale possono essere
marchi commerciali o marchi registrati dei rispettivi proprietari.
Stampato in Irlanda.
10 9 8 7 6 5 4 3 2 1
Sommario

Capitolo 1 Introduzione a Symantec Gateway Security Serie 300


A chi è rivolto il manuale .................................................................................... 10
Dove ottenere ulteriori informazioni ............................................................... 10

Capitolo 2 Amministrazione del gateway di sicurezza


Accesso alla Security Gateway Management Interface ................................. 11
Utilizzo della SGMI ...................................................................................... 13
Gestione dell'accesso amministrativo .............................................................. 14
Impostazione della password di amministrazione ................................. 14
Configurazione della gestione remota ...................................................... 15
Gestione del gateway di sicurezza tramite la console seriale ....................... 17

Capitolo 3 Configurazione di una connessione alla rete esterna


Esempi di rete ....................................................................................................... 22
Informazioni sulla Configurazione guidata ..................................................... 25
Informazioni sulle appliance con due porte WAN ......................................... 25
Tipi di connessione .............................................................................................. 27
Configurazione della connettività ..................................................................... 28
DHCP .............................................................................................................. 28
PPPoE ............................................................................................................. 29
IP statico e DNS ............................................................................................ 33
PPTP ............................................................................................................... 35
Account su linea commutata ...................................................................... 38
Configurazione delle impostazioni di connessione avanzate ....................... 43
Impostazioni DHCP avanzate .................................................................... 43
Impostazioni PPP avanzate ........................................................................ 44
MTU (Maximum Transmission Unit) ....................................................... 45
Configurazione del DNS dinamico .................................................................... 45
Imposizione di aggiornamenti del DNS dinamico .................................. 47
Disattivazione del DNS dinamico .............................................................. 48
Configurazione del routing ................................................................................ 49
Attivazione del routing dinamico .............................................................. 49
Configurazione delle voci di route statiche ............................................. 49
4 Sommario

Configurazione delle impostazioni WAN/ISP avanzate ................................ 51


Alta disponibilità ......................................................................................... 51
Bilanciamento del carico ............................................................................ 52
Binding SMTP ............................................................................................... 52
Binding di altri protocolli ........................................................................... 53
Failover .......................................................................................................... 53
Gateway DNS ................................................................................................ 54
Impostazioni di rete facoltative ................................................................ 55

Capitolo 4 Configurazione delle connessioni interne


Configurazione delle impostazioni IP LAN ...................................................... 58
Configurazione dell'appliance come server DHCP ......................................... 58
Monitoraggio dell'utilizzo di DHCP .......................................................... 60
Configurazione delle assegnazioni di porta .................................................... 61
Assegnazione delle porte standard ........................................................... 61

Capitolo 5 Controllo del traffico di rete


Pianificazione dell'accesso alla rete ................................................................. 63
Computer e gruppi di computer ........................................................................ 64
Definizione dell'appartenenza ai gruppi di computer ........................... 65
Definizione dei gruppi di computer .......................................................... 67
Definizione dell'accesso in entrata ................................................................... 68
Definizione dell'accesso in uscita ..................................................................... 70
Configurazione dei servizi .................................................................................. 73
Reindirizzamento dei servizi ..................................................................... 73
Configurazione di applicazioni speciali ........................................................... 75
Configurazione delle opzioni avanzate ............................................................ 77
Attivazione della porta IDENT .................................................................. 77
Disattivazione della modalità NAT ........................................................... 78
Attivazione del pass-thru IPsec ................................................................. 78
Configurazione di un host esposto ............................................................ 79
Gestione delle richieste ICMP .................................................................... 79

Capitolo 6 Creazione di connessioni VPN protette


Informazioni sull'utilizzo di questo capitolo .................................................. 82
Creazione di politiche di sicurezza ................................................................... 82
Politiche VPN ................................................................................................ 83
Creazione di politiche VPN fase 2 personalizzate .................................. 85
Visualizzazione dell'Elenco politiche VPN .............................................. 86
Identificazione degli utenti ................................................................................ 86
Tipi di utente ................................................................................................ 86
Definizione degli utenti .............................................................................. 87
Visualizzazione dell'Elenco utenti ............................................................ 89
Sommario 5

Configurazione di tunnel da gateway a gateway ............................................ 89


Tunnel da gateway a gateway .................................................................... 89
Configurazione di tunnel da gateway a gateway dinamici .................... 93
Configurazione di tunnel da gateway a gateway statici ........................ 95
Condivisione di informazioni con l'amministratore
del gateway remoto .............................................................................. 98
Configurazione di tunnel da client a gateway ................................................. 98
Tunnel VPN da client a gateway ................................................................ 98
Definizione di tunnel VPN client .............................................................101
Impostazioni di politica globali per i tunnel VPN da client a gateway 103
Condivisione di informazioni con i client ..............................................103
Monitoraggio dello stato del tunnel VPN .......................................................104

Capitolo 7 Controllo avanzato del traffico di rete


Funzionamento dell'applicazione della politica antivirus (AVpe) .............106
Prima di configurare AVpe ...............................................................................108
Configurazione di AVpe ....................................................................................109
Attivazione della AVpe .............................................................................110
Configurazione dei client antivirus ........................................................112
Monitoraggio dello stato antivirus .................................................................112
Messaggi del registro ................................................................................113
Verifica del funzionamento della AVpe .........................................................113
Informazioni sul filtro dei contenuti ..............................................................114
Considerazioni speciali .............................................................................115
Gestione degli elenchi di filtro dei contenuti ................................................115
Considerazioni speciali .............................................................................115
Attivazione del filtro dei contenuti per la LAN .....................................117
Attivazione del filtro dei contenuti per la WAN ...................................117
Monitoraggio del filtro dei contenuti .............................................................117

Capitolo 8 Prevenzione degli attacchi


Funzionamento della rilevazione e prevenzione delle intrusioni ..............119
Protezione contro Trojan horse ...............................................................120
Impostazione delle preferenze di protezione ................................................121
Attivazione di impostazioni di protezione avanzate ...................................121
Protezione contro la contraffazione IP (IP spoofing) ...........................121
Convalida flag TCP .....................................................................................122
6 Sommario

Capitolo 9 Registrazione, monitoraggio e aggiornamenti


Gestione della registrazione ............................................................................ 123
Configurazione delle preferenze del registro ........................................ 124
Gestione dei messaggi del registro ......................................................... 128
Aggiornamento del firmware .......................................................................... 129
Aggiornamento automatico del firmware ............................................. 129
Aggiornamento manuale del firmware .................................................. 134
Controllo dello stato dell'aggiornamento del firmware ....................... 138
Backup e ripristino delle configurazioni ........................................................ 139
Reimpostazione dell'appliance ................................................................ 140
Interpretazione dei LED ................................................................................... 142
LiveUpdate e le sequenze LED di aggiornamento del firmware ......... 145

Appendice A Conformità con le normative standard


Dichiarazioni Classe A FCC .............................................................................. 147
Dichiarazione Classe A CISPR ......................................................................... 148
Dichiarazione Classe (VCCI) per il Giappone ................................................. 148

Appendice B Risoluzione dei problemi


Informazioni sulla risoluzione dei problemi ................................................. 149
Accesso alle informazioni sulla risoluzione dei problemi ........................... 152

Appendice C Gestione delle licenze


Gestione delle licenze di sessione per le funzioni VPN da client a gateway
di Symantec Gateway Security Serie 300 ............................................... 153
Licenze di sessione aggiuntive ................................................................. 154
CONTRATTO DI LICENZA D'USO E GARANZIA DELL'APPLIANCE
SYMANTEC GATEWAY SECURITY ........................................................ 154

Appendice D Descrizioni dei campi


Descrizioni dei campi relativi a registrazione/monitoraggio ..................... 159
Descrizioni dei campi della scheda Stato ............................................... 160
Descrizioni dei campi della scheda Visualizza registro ....................... 162
Descrizioni dei campi della scheda Impostazioni registro .................. 163
Descrizioni dei campi della scheda Risoluzione dei problemi ............ 165
Descrizione dei campi relativi all'amministrazione .................................... 166
Descrizioni dei campi della scheda Gestione di base ........................... 166
Sommario 7

Descrizioni dei campi della scheda SNMP .............................................167


Descrizioni dei campi della scheda LiveUpdate ....................................167
Descrizioni dei campi della LAN ......................................................................169
Descrizioni dei campi della scheda IP LAN e DHCP .............................170
Descrizioni dei campi della scheda Assegnazioni porta ......................172
Descrizioni dei campi WAN/ISP ......................................................................173
Descrizioni dei campi della scheda Configurazione principale ..........174
Descrizioni dei campi della scheda IP statico e DNS ............................176
Descrizioni dei campi della scheda PPPoE .............................................177
Descrizioni dei campi della scheda Backup
accesso remoto e analogica/ISDN ...................................................179
Descrizioni dei campi della scheda PPTP ...............................................183
Descrizioni dei campi della scheda DNS dinamico ...............................184
Descrizioni dei campi della scheda Routing ..........................................187
Descrizioni dei campi della scheda Avanzate .......................................189
Descrizione dei campi relativi al firewall ......................................................191
Descrizioni dei campi della scheda Computer .......................................192
Descrizioni dei campi della scheda Gruppi di computer .....................194
Descrizioni dei campi della scheda Regole in entrata ..........................197
Descrizioni dei campi della scheda Regole in uscita ............................198
Descrizioni dei campi della scheda Servizi ............................................198
Descrizioni dei campi della scheda Applicazioni speciali ...................200
Descrizioni dei campi della scheda Avanzate .......................................203
Descrizioni dei campi relativi alle VPN ..........................................................205
Descrizioni dei campi della scheda Tunnel dinamici ...........................206
Descrizioni dei campi della scheda Tunnel statici ................................210
Descrizioni dei campi della scheda Tunnel client ................................213
Descrizioni dei campi della scheda Utenti client ..................................215
Descrizioni dei campi della scheda Politiche VPN ................................216
Descrizioni dei campi della scheda Stato ...............................................218
Descrizioni dei campi della scheda Avanzate .......................................219
Descrizione dei campi relativi a IDS/IPS .......................................................221
Descrizioni dei campi della scheda Protezione IDS ..............................221
Descrizioni dei campi della scheda Avanzate .......................................222
Descrizioni dei campi della scheda AVpe
(Applicazione politica antivirus) .............................................................223
Descrizioni dei campi relativi al filtro di contenuti .....................................228

Indice
Soluzioni di servizio e supporto
Capitolo 1
Introduzione a Symantec
Gateway Security Serie 300
Questo capitolo comprende i seguenti argomenti:

■ A chi è rivolto il manuale

■ Dove ottenere ulteriori informazioni


Le appliance Symantec Gateway Security Serie 300 costituiscono la soluzione
per la sicurezza integrata di Symantec destinata agli ambienti delle piccole
aziende, con il supporto per LAN wireless protette.
Symantec Gateway Security Serie 300 offre protezione integrata grazie a sei
funzioni di sicurezza disponibili nel prodotto base:
■ Firewall
■ Reti private virtuali (VPN) IPsec con crittografia 3DES e AES supportata via
hardware
■ Applicazione della politica antivirus (Avpe)
■ Rilevazione delle intrusioni
■ Prevenzione delle intrusioni
■ Filtro dei contenuti statico
Tutte le funzionalità sono state progettate appositamente per piccole aziende.
Queste appliance sono perfette per ambienti autonomi e come complemento ad
appliance Symantec Gateway Security Serie 5400 implementate in sedi centrali.
10 Introduzione a Symantec Gateway Security Serie 300
A chi è rivolto il manuale

Tutti i modelli di Symantec Gateway Security Serie 300 sono in grado di gestire
comunicazioni wireless. Sono dotati di uno speciale firmware wireless e di uno
slot CardBus in grado di accogliere un add-on funzionale facoltativo, composto
da un ricetrasmettitore con antenna 802.11, per consentire la massima
sicurezza integrata per LAN wireless, quando viene utilizzato con client che
eseguono il software Symantec Client VPN. L'aggiornamento automatico del
firmware tramite LiveUpdate rafforza le caratteristiche di risposta ai problemi
della sicurezza di Symantec Gateway Security Serie 300, rendendolo una
soluzione eccellente per le piccole aziende.

A chi è rivolto il manuale


Questo manuale è rivolto a responsabili o amministratori di sistema che hanno il
compito di installare e mantenere il gateway di sicurezza e presuppone che i
lettori dispongano di solide basi sui concetti relativi alle reti e di un browser
Internet.

Dove ottenere ulteriori informazioni


Le funzionalità di Symantec Gateway Security Serie 300 sono descritte nei
seguenti manuali:
■ Manuale dell'amministratore di Symantec™ Gateway Security Serie 300
Il presente manuale, che descrive come configurare le funzioni firewall,
VPN, l'applicazione della politica antivirus, il filtro dei contenuti, IDS/IPS,
LiveUpdate e tutte le altre caratteristiche dell'appliance gateway.
È disponibile in formato PDF nel CD-ROM del software di Symantec
Gateway Security Serie 300.
■ Guida all'installazione di Symantec™ Gateway Security Serie 300
Descrive in dettaglio come installare l'appliance gateway di sicurezza ed
eseguire la procedura di configurazione guidata per attivare le connessioni.
■ Scheda introduttiva di Symantec™ Gateway Security Serie 300
Questa scheda fornisce una versione succinta delle istruzioni per
l'installazione dell'appliance.
Capitolo 2
Amministrazione del
gateway di sicurezza
Questo capitolo comprende i seguenti argomenti:

■ Accesso alla Security Gateway Management Interface

■ Gestione dell'accesso amministrativo

■ Gestione del gateway di sicurezza tramite la console seriale

Accesso alla Security Gateway Management


Interface
L'interfaccia di gestione di Symantec Gateway Security Serie 300 è chiamata
Security Gateway Management Interface (SGMI). La SGMI è una console di
gestione autonoma per svolgere le attività di gestione locale e di visualizzazione
del registro. Questo manuale descrive come utilizzare la SGMI per gestire le
appliance Symantec Gateway Security Serie 300. La SGMI è una console basata
sul browser nella quale è possibile creare configurazioni, visualizzare
informazioni di stato e accedere ai registri.
Per ciascuna scheda è disponibile la guida in linea facendo clic sul cerchio blu
con il punto interrogativo situato nell'angolo superiore destro di ciascuna
finestra.
12 Amministrazione del gateway di sicurezza
Accesso alla Security Gateway Management Interface

La SGMI comprende le seguenti funzioni:


■ Opzioni del menu principale nel riquadro sinistro
■ Schede di menu del riquadro destro
■ Contenuto del riquadro destro
■ Pulsanti di comando del riquadro destro (lato inferiore)
■ Pulsanti della Guida in linea (punto interrogativo)
Le voci del menu principale sono sempre situate sul lato sinistro della finestra.

Figura 2-1 Console di gestione SGMI


Opzioni del menu principale nel Opzioni scheda del menu superiore Guida in linea
riquadro sinistro

Pulsanti di Contenuto del


comando riquadro destro

Nota: le funzionalità wireless non sono visualizzate nella SGMI fino a quando
non è stata installata correttamente un'opzione punto di accesso WLAN di
Symantec Gateway Security. Per ulteriori informazioni, leggere la Guida
all'implementazione wireless di Symantec Gateway Security Serie 300.
Amministrazione del gateway di sicurezza 13
Accesso alla Security Gateway Management Interface

Per connettersi alla Security Gateway Management Interface utilizzare uno dei
seguenti browser Web:
■ Microsoft Internet Explorer versione 5.5 o 6.0 con Service Pack 1
■ Netscape versione 6.23 o 7.0
Prima di effettuare la connessione potrebbe essere necessario azzerare le
impostazioni proxy nel browser.
Prima di connettersi alla SGMI installare l'appliance secondo le istruzioni
fornite nella Scheda introduttiva di Symantec Gateway Security Serie 300.
L'interfaccia visualizzata quando si stabilisce la connessione con la SGMI
potrebbe variare leggermente a seconda del modello gestito. La Tabella 2-1
descrive le porte disponibili in ciascun modello.

Tabella 2-1 Interfacce per modello

Modello Numero di porte Numero di porte Numero di porte


WAN LAN seriali (modem)

320 1 4 1

360/360R 2 8 1

Per connettersi alla SGMI


1 Accedere all'indirizzo IP dell'appliance.
L'indirizzo IP predefinito dell'appliance è 192.168.0.1.
2 Sulla tastiera, premere Invio.
Viene visualizzata la finestra della Security Gateway Management
Interface.

Utilizzo della SGMI


L'elenco seguente descrive il metodo migliore per operare all'interno
della SGMI:
■ Per inviare un modulo, fare clic sul pulsante appropriato nell'interfaccia
utente invece di premere Invio sulla tastiera.
■ Se dopo l'invio di un modulo si riceve un errore, fare clic sul pulsante
Indietro nel browser Web. Ciò consente di mantenere i dati immessi in
precedenza.
14 Amministrazione del gateway di sicurezza
Gestione dell'accesso amministrativo

■ Nelle caselle di testo degli indirizzi IP, premere il tasto Tab sulla tastiera per
spostarsi tra le caselle.
■ Se dopo avere fatto clic su un pulsante per l'invio del modulo
nell'interfaccia utente l'appliance viene riavviata automaticamente,
attendere circa un minuto prima di tentare di nuovo l'accesso alla SGMI.

Gestione dell'accesso amministrativo


La gestione dell'accesso amministrativo avviene attraverso l'impostazione di
una password per l'utente admin e la definizione degli indirizzi IP che possono
accedere all'appliance dal lato WAN (Wide-Area Network).

Nota: prima di accedere in modalità remota alla SGMI è necessario impostare la


password di amministrazione.

Impostazione della password di amministrazione


La password di amministrazione fornisce accesso protetto alla SGMI.
L'impostazione e la modifica della password limitano l'accesso alla SGMI solo a
coloro ai quali viene comunicata. Per impostare la password è necessario avere
installato l'appliance e connesso il browser alla SGMI. Per ulteriori informazioni
sulla configurazione dell'appliance, vedere la Guida all'installazione di Symantec
Gateway Security Serie 300.
La password di amministrazione viene configurata nella scheda
Amministrazione > Gestione di base o nella Configurazione guidata. È anche
possibile configurare un intervallo di indirizzi IP dai quali effettuare la gestione
remota dell'appliance. Il nome utente di amministrazione è sempre admin.

Nota: per mantenere un elevato livello di sicurezza è opportuno cambiare


periodicamente la password di amministrazione.

Per impostare la password di amministrazione


La password di amministrazione viene impostata inizialmente nella
Configurazione guidata. È possibile cambiarla nella SGMI, oltre a eseguire una
reimpostazione dell'appliance manuale o attraverso la console seriale,
operazione che reimposta completamente la password.
Amministrazione del gateway di sicurezza 15
Gestione dell'accesso amministrativo

Il reflashing dell'appliance tramite la versione app.bin del firmware reimposta


la password.
Vedere "Aggiornamento manuale del firmware" a pagina 134.

Avvertimento: quando la password viene reimpostata manualmente premendo il


pulsante reset, l'indirizzo IP della LAN viene riportato al valore predefinito
(192.168.0.1) e il server DHCP viene attivato.

Vedere "Descrizioni dei campi della scheda Gestione di base" a pagina 166.

Per configurare una password


1 Nel riquadro sinistro della SGMI, fare clic su Amministrazione.
2 Nel riquadro destro della scheda Gestione di base in Password
amministrazione, digitare la password.
3 Nella casella di testo Verifica password, digitare una nuova password.
4 Fare clic su Salva.

Per reimpostare manualmente la password


1 Sul retro dell'appliance, premere il pulsante reset per 10 secondi.
2 Ripetere la procedura di configurazione della password. Vedere "Per
reimpostare manualmente la password" a pagina 15.

Configurazione della gestione remota


È possibile accedere alla SGMI in modalità remota dal lato WAN utilizzando un
computer con un indirizzo IP che si trovi all'interno di un intervallo di indirizzi
IP configurati. L'intervallo è definito da un indirizzo IP iniziale e da uno finale
configurati nella sezione Gestione remota della scheda Amministrazione/
Gestione di base. L'indirizzo IP per la gestione remota deve essere configurato
durante la prima connessione alla SGMI. La gestione remota viene inviata a
hash MD5.

Nota: per ragioni di sicurezza, la gestione remota dovrebbe essere eseguita


attraverso un tunnel VPN da gateway a gateway o da client a gateway. Questo
fornisce un livello di riservatezza appropriato per la sessione di gestione.
Vedere "Creazione di connessioni VPN protette" a pagina 81.
16 Amministrazione del gateway di sicurezza
Gestione dell'accesso amministrativo

La Figura 2-2 mostra una configurazione della gestione remota.

Figura 2-2 Gestione remota

SGMI

Internet

Appliance Symantec Gateway


Security Serie 300

Dispositivi protetti

Per configurare la gestione remota, specificare un indirizzo IP iniziale e uno


finale. Se si desidera eseguire la gestione remota da un solo indirizzo IP,
digitarlo sia come indirizzo iniziale, sia finale. L'indirizzo IP iniziale sarebbe il
numero più basso nell'intervallo, mentre l'indirizzo finale sarebbe quello più
alto. Per negare l'accesso remoto alla SGMI lasciare vuoti questi campi.

Per configurare la gestione remota


Vedere "Descrizioni dei campi della scheda Gestione di base" a pagina 166.
1 Nel riquadro sinistro della SGMI, fare clic su Amministrazione.
2 Nel riquadro di destra della scheda Gestione di base, nelle caselle di testo
Indirizzo IP iniziale in Gestione remota, digitare il primo indirizzo IP (il più
basso nell'intervallo).
Amministrazione del gateway di sicurezza 17
Gestione del gateway di sicurezza tramite la console seriale

3 Nelle caselle di testo Indirizzo IP finale, digitare l'ultimo indirizzo IP (il più
alto nell'intervallo).
Per autorizzare solo un indirizzo IP, digitare lo stesso valore in entrambe le
caselle di testo.
4 Per abilitare aggiornamenti TFTP (Trivial File Transfer Protocol) remoti del
firmware dell'appliance dall'intervallo di indirizzi IP configurato,
selezionare Autorizza upgrade firmware remoto.
Per impostazione predefinita l'opzione è disattivata. Vedere
"Aggiornamento manuale del firmware" a pagina 134.
5 Fare clic su Salva.
6 Per accedere in modalità remota alla SGMI, accedere a <indirizzo IP
dell'appliance>:8088, dove <indirizzo IP dell'appliance> è l'indirizzo IP
WAN dell'appliance.
Quando si tenta di accedere alla SGMI in modalità remota, è necessario
specificare il nome utente e la password di amministrazione.

Gestione del gateway di sicurezza tramite la


console seriale
È possibile configurare o reimpostare il gateway di sicurezza attraverso la porta
seriale utilizzando il cavo null modem fornito in dotazione con il prodotto.
Questa modalità di configurazione è utile per eseguire l'installazione in una rete
esistente in quanto impedisce che il gateway di sicurezza interferisca con
l'ambiente esistente quando viene connesso.
Attraverso la console seriale è possibile configurare una parte delle
impostazioni, elencate qui di seguito:
■ Indirizzo IP della LAN (indirizzo IP del gateway di sicurezza)
■ Mask di rete della LAN
■ Attivare o disattivare il server DHCP
■ Intervallo di indirizzi IP da allocare per il server DHCP

Per gestire il gateway di sicurezza tramite la console seriale


1 Sul retro dell'appliance, collegare il cavo null modem alla porta seriale.
2 Collegare il cavo null modem alla porta COM del computer.
3 Sul retro dell'appliance, spostare il microinterruttore DIP 3 verso l'alto
nella posizione on.
4 Sulla tastiera, controllare che il tasto Bloc Scorr non sia attivato.
18 Amministrazione del gateway di sicurezza
Gestione del gateway di sicurezza tramite la console seriale

5 Eseguire un programma di emulazione di terminale, quale HyperTerminal.


6 Nel programma impostare la connessione diretta con la porta COM del
computer al quale è fisicamente collegata l'appliance.
7 Definire le impostazioni di comunicazione nel modo seguente:

Velocità in baud (bit al secondo) 9600

Bit di dati 8

Parità Nessuna

Bit di stop 1

Controllo flusso Nessuno

8 Connettersi all'appliance.

9 Dopo che il terminale è connesso, sul pannello posteriore dell'appliance


premere rapidamente il pulsante reset.
Amministrazione del gateway di sicurezza 19
Gestione del gateway di sicurezza tramite la console seriale

10 Al prompt, eseguire una delle seguenti operazioni:

Indirizzo IP locale Digitare 1 per modificare l'indirizzo IP dell'appliance.

Local Network Mask Digitare 2 per modificare la mask di rete dell'appliance.


(Mask di rete locale)

Server DHCP Digitare 3 per attivare o disattivare la caratteristica di server


DHCP dell'appliance.

Indirizzo IP iniziale Digitare 4 per indicare il primo indirizzo IP nell'intervallo che


può essere allocato dal server DHCP.

Indirizzo IP finale Digitare 5 per indicare l'ultimo indirizzo IP nell'intervallo che


può essere allocato dal server DHCP.

Impostazioni Digitare 6 per ripristinare le impostazioni predefinite


predefinite dell'appliance relative a indirizzo IP locale, mask di rete
locale, server DHCP e intervallo DHCP.

11 Se si sta modificando l'indirizzo IP locale, la mask di rete locale, il server


DHCP, l'indirizzo IP iniziale o l'indirizzo IP finale, procedere come segue:
■ Digitare un nuovo valore per l'impostazione da modificare.
■ Premere Invio.
12 Se si stanno ripristinando i valori predefiniti dell'appliance, premere Invio.
13 Digitare 7.
L'appliance viene riavviata.
14 Sul retro dell'appliance, spostare il microinterruttore DIP 3 verso il basso
nella posizione off.
15 Su retro dell'appliance, premere rapidamente il pulsante reset.
Capitolo 3
Configurazione di una
connessione alla rete esterna
Questo capitolo comprende i seguenti argomenti:

■ Tipi di connessione

■ Configurazione della connettività

■ Configurazione delle impostazioni di connessione avanzate

■ Configurazione del DNS dinamico

■ Configurazione del routing

■ Configurazione delle impostazioni WAN/ISP avanzate


La funzionalità WAN/ISP di Symantec Gateway Security Serie 300 fornisce
connessioni verso il mondo esterno. Questa possono essere stabilite con
Internet, una rete aziendale o qualsiasi altra rete esterna privata o pubblica.
La funzionalità WAN/ISP può anche essere configurata per la connessione a una
LAN interna nei casi in cui l'appliance deve proteggere una subnet interna.
Configurare le connessioni WAN non appena si installa l'appliance.
È possibile configurare o modificare la connettività dell'appliance nelle porte
WAN utilizzando le finestre WAN/ISP o la Configurazione guidata, che viene
eseguita la prima volta che si accede all'appliance dopo avere completato
l'installazione dell'hardware.
Prima di iniziare la configurazione di una connessione WAN, determinare il tipo
di connessione disponibile con la rete esterna, quindi raccogliere le informazioni
che saranno necessarie durante la procedura di configurazione. Per i fogli di
lavoro da utilizzare per pianificare la configurazione, vedere la Guida
all'installazione di Symantec Gateway Security Serie 300.
22 Configurazione di una connessione alla rete esterna
Esempi di rete

Symantec Gateway Security Serie 300 modello 320 è dotato di una porta WAN da
configurare. I modelli delle appliance 360 e 360R sono dotati di due porte WAN
che è possibile configurare separatamente e in modo diverso a seconda delle
esigenze. Alcune impostazioni sono valide per entrambe le porte WAN mentre
altre sono applicabili in modo specifico alla porta WAN1 o WAN2.

Avvertimento: dopo la riconfigurazione delle connessioni WAN e il riavvio


dell'appliance, il traffico di rete viene temporaneamente interrotto. Le
connessioni VPN vengono ristabilite.

Dopo avere stabilito la connettività di base, è possibile configurare impostazioni


avanzate, quali DNS, routing e alta disponibilità/bilanciamento del carico
(HA/LB, high availability/load balancing).

Esempi di rete
La Figura 3-1 mostra un diagramma di rete di un'appliance Symantec Gateway
Security Serie 300 connessa a Internet. Il punto di terminazione rappresenta un
qualsiasi tipo di terminazione di rete. Può trattarsi di un dispositivo fornito
dall'ISP (Internet Service Provider) o di uno switch di rete. Il computer utilizzato
per la gestione è connesso direttamente all'appliance mediante una delle
relative porte LAN, e utilizza un browser per connettersi alla SGMI (Security
Gateway Management Interface). La rete protetta comunica con Internet
attraverso l'appliance Symantec Gateway Security Serie 300.
Configurazione di una connessione alla rete esterna 23
Esempi di rete

Figura 3-1 Connessione a Internet

Internet

Punto di terminazione

Symantec Gateway
Security Serie 300

SGMI
Rete protetta

La Figura 3-2 mostra un diagramma di rete di un'appliance connessa a una


intranet. In questo scenario, l'appliance protegge un'enclave della rete interna
più grande da accessi interni non autorizzati. Il traffico dell'enclave passa alla
rete protetta attraverso Symantec Gateway Security Serie 300 e giunge a
Internet attraverso Symantec Gateway Security Serie 5400.
24 Configurazione di una connessione alla rete esterna
Esempi di rete

Figura 3-2 Connessione alla rete interna

Internet

Symantec Gateway
Security Serie 5400

Router

Symantec Gateway
Security Serie 300

SGMI
Rete protetta

Rete enclave
Configurazione di una connessione alla rete esterna 25
Informazioni sulla Configurazione guidata

Informazioni sulla Configurazione guidata


La prima volta che si accede all'appliance tramite il browser viene eseguita la
Configurazione guidata. Questa procedura aiuta a configurare la connettività di
base a Internet o alla intranet. Se la Configurazione guidata è già stata eseguita
correttamente e la connettività WAN con la rete esterna è stata verificata, per
WAN 1 non è necessaria alcuna ulteriore impostazione. Per i modelli 360 o 360R,
utilizzare la SGMI per configurare WAN 2. Per ulteriori informazioni
sull'utilizzo della Configurazione guidata, vedere la Guida all'installazione di
Symantec Gateway Security Serie 300.

Nota: per cambiare la lingua in cui viene visualizzata la SGMI, eseguire di nuovo
la Configurazione guidata e selezionare una lingua diversa.

Prima di proseguire, la Configurazione guidata verifica lo stato corrente della


connessione WAN 1. Se la porta WAN (chiamata WAN 1 nei modelli 360 e 360R)
è connessa a una rete attiva, la Configurazione guidata fornisce le indicazioni
per configurare LiveUpdate e la password di amministrazione. Se la porta WAN
non è attualmente attiva, la Configurazione guidata fornisce le indicazioni per
immettere i parametri di connessione specifici dell'ISP. Utilizzare le schede
WAN/ISP per configurare impostazioni di connessione avanzate o la porta
WAN 2.
È possibile eseguire di nuovo la Configurazione guidata in qualsiasi momento
successivo all'installazione iniziale facendo clic su Esegui configurazione
guidata nella finestra WAN/ISP > Configurazione principale. Per ulteriori
informazioni, vedere la Guida all'installazione di Symantec Gateway Security
Serie 300.

Avvertimento: qualsiasi informazione digitata o salvata nelle schede WAN/ISP


sostituisce quelle specificate in precedenza nella Configurazione guidata.
Questo può causare la perdita della connettività WAN.

Informazioni sulle appliance con due porte WAN


Le appliance Symantec Gateway Security Serie 300 modelli 360 e 360R sono
dotate di due porte WAN, WAN 1 e WAN 2. Le appliance modello 360 e 360R
supportano tipi differenti di impostazioni di rete per ciascuna porta WAN. Ad
esempio, è possibile avere un account con IP statico nell'azienda come
connessione WAN primaria e un account secondario con IP dinamico, e quindi
meno costoso, per le connessioni di backup. Ciascuna porta WAN viene trattata
come una connessione completamente separata.
26 Configurazione di una connessione alla rete esterna
Informazioni sulle appliance con due porte WAN

Alcune configurazioni possono essere applicate a entrambe le porte WAN e per


altre è necessario configurare ciascuna porta separatamente. Nella Tabella 3-1
sono indicate le varie configurazioni e se sono applicabili a entrambe le porte o
se ciascuna deve essere configurata separatamente.

Tabella 3-1 Configurazioni della porta WAN

Configurazione Porta WAN

Tipi di connessione Configurare un tipo di connessione per ciascuna porta


WAN. Vedere "Tipi di connessione" a pagina 27.

Account di backup È possibile configurare una connessione primaria per WAN


1, quindi connettere un modem alla porta seriale sul retro
dell'appliance per una connessione di backup. Vedere
"Account su linea commutata" a pagina 38.

Impostazioni di rete È possibile specificare configurazioni diverse per ciascuna


facoltative porta WAN. Vedere "Impostazioni di rete facoltative" a
pagina 55.

DNS dinamico Si applica a entrambe le porte WAN. Vedere


"Configurazione del DNS dinamico" a pagina 45.

Gateway DNS Si applica a entrambe le porte WAN. Vedere "Gateway DNS"


a pagina 54.

Indicatore attività Configurare un indicatore di attività per ciascuna porta


WAN. "Account su linea commutata" a pagina 38 o
"Configurazione delle impostazioni WAN/ISP avanzate" a
pagina 51.

Routing Configurare il routing per ciascuna porta WAN. Vedere


"Configurazione del routing" a pagina 49.

Bilanciamento del carico Impostare la percentuale di traffico che deve essere inviato
della porta WAN e attraverso WAN 1: il resto passa attraverso WAN 2. Vedere
aggregazione della "Bilanciamento del carico" a pagina 52.
larghezza di banda

Binding SMTP Eseguire il binding di SMTP a WAN 1 o WAN 2. Vedere


"Binding SMTP" a pagina 52.

Alta disponibilità Specificare se viene utilizzata l'alta disponibilità per


ciascuna porta. Vedere "Alta disponibilità" a pagina 51.
Configurazione di una connessione alla rete esterna 27
Tipi di connessione

Tipi di connessione
Per connettere l'appliance a una rete esterna o interna, è necessario
comprendere il tipo di connessione.
Per prima cosa, determinare se si dispone di un account su linea commutata o su
linea a banda larga. Se si dispone di un account su linea commutata, passare alla
sezione Commutata/ISDN. Se si dispone di un account dedicato, determinare il
tipo di connessione leggendo la tabella seguente, quindi passare alla sezione
appropriata delle istruzioni per la configurazione.
I tipici account su linea commutata sono di tipo analogico (attraverso una
normale linea telefonica connessa a un modem esterno) e ISDN (attraverso una
linea telefonica speciale). I tipici account a banda larga sono cavo a banda larga,
DSL, T1/E1 o T3 connessi a un adattatore terminale.

Nota: connettere alle porte WAN solo cavi RJ-45.

Le tabelle seguenti descrivono i tipi di connessione supportati. La colonna Tipo


di connessione corrisponde al pulsante di opzione che si seleziona nella scheda
Configurazione principale o nella Configurazione guidata. La colonna Servizi
corrisponde ai tipi di account o protocolli che sono associati al tipo di
connessione. La colonna Tipi di terminazione di rete elenca i dispositivi fisici
che vengono tipicamente utilizzati da un particolare tipo di connessione per
connettersi a Internet o a una rete.
La Tabella 3-2 elenca i tipi di connessione su linea commutata supportati e i
metodi per la relativa identificazione.

Tabella 3-2 Tipi di connessione su linea commutata

Tipo di Servizi Tipi di terminazione di rete


connessione

Analogica o ISDN POTS (normale servizio Modem su linea commutata analogico


telefonico)

ISDN (Integrated Modem su linea commutata digitale


Services Digital Un modem ISDN viene spesso
Network)
chiamato adattatore terminale.
28 Configurazione di una connessione alla rete esterna
Configurazione della connettività

Se si dispone di un account a banda larga, fare riferimento alla Tabella 3-3 per
determinare il tipo di connessione.
Tabella 3-3 Tipi di connessione a banda larga

Tipo di connessione Servizi Tipi di terminazione di rete

DHCP Cavo a banda larga Modem via cavo

DSL (Digital Subscriber Modem DSL con cavo Ethernet


Line)

Connessione Ethernet Cavo Ethernet (in genere una rete


diretta enclave)

PPPoE PPPoE Modem ADSL con cavo Ethernet

IP statico (IP statico Cavo a banda larga Modem via cavo


e DNS)
DSL (Digital Subscriber Modem DSL
Line)

T1 Channel Service Unit/Digital Service


Unit (CSU/DSU)

Connessione Ethernet Cavo Ethernet (in genere una rete


diretta enclave)

PPTP PPTP Modem DSL con cavo Ethernet

Anche l'ISP o l'amministratore di rete può essere in grado di aiutare a


determinare il tipo di connessione.

Configurazione della connettività


Dopo avere determinato il tipo di connessione disponibile, è possibile
configurare l'appliance per connettersi a Internet o alla intranet con le
impostazioni appropriate.

DHCP
DHCP (Dynamic Host Configuration Protocol) automatizza la configurazione di
rete dei computer. Consente a una rete con molti client di estrarre informazioni
di configurazione da un singolo server, chiamato server DHCP. Nel caso di un
account Internet dedicato, gli utenti sono i client che estraggono le informazioni
dal server DHCP dell'ISP, e gli indirizzi IP vengono assegnati solo agli account
connessi.
Configurazione di una connessione alla rete esterna 29
Configurazione della connettività

L'account attivo con il proprio ISP potrebbe utilizzare DHCP per allocare
automaticamente gli indirizzi IP. I tipi di account che spesso utilizzano DHCP
sono cavo a banda larga e DSL. Gli ISP autenticano le connessioni via cavo a
banda larga tramite l'indirizzo MAC o l'indirizzo fisico del computer o gateway.
Per informazioni sulla configurazione di DHCP per allocare gli indirizzi IP ai
nodi, vedere "Configurazione della connettività" a pagina 28.
Prima di configurare DHCP per le porte WAN, è necessario selezionare DHCP (IP
automatico) come tipo di connessione nella finestra Configurazione principale.

Per selezionare DHCP come tipo di connessione


Vedere "Descrizioni dei campi della scheda Configurazione principale" a
pagina 174.
1 Nel riquadro sinistro della SGMI, fare clic su WAN/ISP.
2 Per il modello 320, svolgere le seguenti operazioni:
■ Nel riquadro destro, in Tipo di connessione nella scheda
Configurazione principale, fare clic su DHCP.
■ Fare clic su Salva.
3 Per il modello 360 o 360R, svolgere le seguenti operazioni:
■ Per selezionare un tipo di connessione per WAN 1, nell'elenco a discesa
Tipo di connessione in WAN 1 (esterna), fare clic su DHCP.
■ Per selezionare un tipo di connessione per WAN 2, nell'elenco a discesa
Tipo di connessione in WAN 2 (esterna), fare clic su DHCP.
4 Fare clic su Salva.

PPPoE
PPPoE (Point-to-Point Protocol over Ethernet) viene utilizzato da molti
provider ADSL (Asymmetrical Digital Subscriber Line). Si tratta di specifiche per
la connessione a Internet di molti utenti in una rete attraverso un singolo
account DSL.
È possibile specificare se l'account PPPoE viene connesso o disconnesso
manualmente o automaticamente, opzione utile per verificare la connettività.
È possibile configurare l'appliance per connettersi solo quando viene eseguita
una richiesta Internet da parte di un utente nella LAN (ad esempio, la
consultazione di un sito Web) e disconnettersi quando la connessione è inattiva
(inutilizzata). Questa funzionalità è utile se l'ISP addebita i costi in base al tempo
di utilizzo.
30 Configurazione di una connessione alla rete esterna
Configurazione della connettività

Se l'account ISP consente connessioni PPPoE multisessione, è possibile


utilizzare diversi nomi di accesso per ottenere indirizzi IP aggiuntivi per la
WAN. Queste vengono chiamate sessioni PPPoE. L'accesso può essere lo stesso
nome utente e password della sessione principale o diverso per ciascuna
sessione, a seconda dell'ISP. Per il modello 320 sono consentite fino a cinque
sessioni o indirizzi IP e fino a tre sessioni per ciascuna porta WAN nei modelli
360 e 360R. Gli host LAN vengono associati a una sessione nella scheda
Computer. Vedere "Configurazione delle impostazioni IP LAN" a pagina 58.

Nota: gli indirizzi IP multipli su una porta WAN sono supportati solo per le
connessioni PPPoE.

Per impostazione predefinita, tutte le impostazioni sono associate alla Sessione


1. Per account PPPoE multisessione, configurare ciascuna sessione
singolarmente. Se sono presenti diversi account PPPoE, assegnare ciascuno a
una sessione diversa nella SGMI.
Prima di configurare le porte WAN per utilizzare un account PPPoE, raccogliere
le seguenti informazioni:
■ Nome utente e password
Tutti gli account PPPoE richiedono nomi utente e password. Ottenere
queste informazioni dall'ISP prima di configurare PPPoE.
■ Indirizzo IP statico
Per l'account PPPoE potrebbe essere stato acquistato o assegnato un
indirizzo IP statico.

Per configurare PPPoE


Vedere "Descrizioni dei campi della scheda PPPoE" a pagina 177.
1 Nel riquadro sinistro della SGMI, fare clic su WAN/ISP.
2 Per il modello 320, svolgere le seguenti operazioni:
■ Nel riquadro destro, in Tipo di connessione nella scheda
Configurazione principale, fare clic su PPPoE.
■ Fare clic su Salva.
3 Per il modello 360 o 360R, svolgere le seguenti operazioni:
■ Nel riquadro destro, in WAN 1 (esterna) nella scheda Configurazione
principale, nell'elenco a discesa Tipo di connessione, fare clic
su PPPoE.
■ Per utilizzare WAN 2, in Modalità HA in WAN 2 (esterna), fare clic su
Normale.
Configurazione di una connessione alla rete esterna 31
Configurazione della connettività

■ Per utilizzare WAN 2, nell'elenco a discesa Tipo di connessione in WAN


2 (esterna), fare clic su PPPoE (xDSL).
■ Fare clic su Salva.
■ Nel riquadro destro in Porta WAN e sessioni nella scheda PPPoE,
svolgere una delle seguenti operazioni:
■ Nell'elenco a discesa WAN, selezionare una porta WAN da configurare.
4 Se si dispone di un account PPPoE multisessione, selezionare la sessione
appropriata nell'elenco a discesa Sessione PPPoE in Porta WAN e sessioni.
5 Se si dispone di un account PPPoE a sessione singola, lasciare la sessione
PPPoE su Sessione 1.
6 In Connessione, selezionare Connetti su richiesta.
Se si desidera connettersi a una sessione PPPoE manualmente,
deselezionare Connetti su richiesta, quindi in Controllo manuale, fare clic
su Connetti.
7 Nella casella di testo Timeout inattività, digitare il numero di minuti di
inattività dopo i quali l'appliance deve essere disconnessa
dall'account PPPoE.
8 Se si dispone di un account Internet PPPoE con IP statico, digitare
quest'ultimo nella casella di testo Indirizzo IP statico.
Diversamente, lasciare il valore su 0.
9 In Scegliere il servizio, fare clic su Interroga servizi.
Per utilizzare questa funzionalità è necessario essere disconnessi
dall'account PPPoE. Vedere "Connessione manuale all'account PPPoE" a
pagina 32.
10 Nell'elenco a discesa Servizio, selezionare un servizio PPPoE.
Per selezionare un servizio è necessario fare clic su Interroga servizi.
11 Nella casella di testo Nome utente, digitare il nome utente per
l'account PPPoE.
12 Nella casella di testo Password, digitare la password per l'account PPPoE.
13 Nella casella di testo Verifica password, digitare di nuovo la password per
l'account PPPoE.
14 Fare clic su Salva.

Verifica della connettività PPPoE


Dopo avere configurato l'appliance per utilizzare l'account PPPoE, verificare che
si connetta correttamente.
32 Configurazione di una connessione alla rete esterna
Configurazione della connettività

Per verificare la connettività


Vedere "Descrizioni dei campi della scheda PPPoE" a pagina 177.
Vedere "Descrizioni dei campi della scheda Stato" a pagina 160.
1 Nel riquadro sinistro della SGMI, fare clic su WAN/ISP.
2 Nel riquadro destro, in Controllo manuale nella scheda PPPoE, fare clic su
Connetti.
3 Nel riquadro sinistro, fare clic su Registrazione/Monitoraggio.
Nel riquadro destro, in WAN 1 (esterna) nella scheda Stato viene visualizzato lo
stato della connessione.
Se la connessione non è stata stabilita, verificare quanto segue:
■ Controllare che nome utente e password siano stati digitati correttamente.
Alcuni ISP richiedono un nome utente nel formato degli indirizzi di e-mail,
ad esempio, mrossi@mioisp.net.
■ Controllare che tutti i cavi siano inseriti saldamente.
■ Verificare con l'ISP le informazioni dell'account e che l'account sia attivo.

Connessione manuale all'account PPPoE


È possibile connettersi o disconnettersi manualmente dal proprio account
PPPoE. Per il modello 360 o 360R, è possibile controllare manualmente la
connessione per entrambe le porte WAN. Questo è utile per risolvere problemi di
connessione con l'ISP.

Per controllare manualmente l'account PPPoE


È possibile controllare manualmente l'account PPPoE attraverso la SGMI.
Vedere "Descrizioni dei campi della scheda PPPoE" a pagina 177.

Per connettersi manualmente all'account PPPoE


1 Nel riquadro sinistro della SGMI, fare clic su WAN/ISP.
2 Per il modello 320, nel riquadro destro, in Controllo manuale nella scheda
PPPoE, fare clic su Connetti.
3 Per il modello 360 o 360R, svolgere le seguenti operazioni:
■ Nel riquadro destro, in Porta WAN e sessioni nella scheda PPPoE,
selezionare la porta WAN da connettere nell'elenco a discesa
Porta WAN.
■ Nell'elenco a discesa Sessione, selezionare una sessione PPPoE.
■ In Controllo manuale, fare clic su Connetti.
Configurazione di una connessione alla rete esterna 33
Configurazione della connettività

Per disconnettersi manualmente dall'account PPPoE


1 Nel riquadro sinistro della SGMI, fare clic su WAN/ISP.
2 Per il modello 320, nel riquadro destro, in Controllo manuale nella scheda
PPPoE, fare clic su Disconnetti.
3 Per il modello 360 o 360R, svolgere le seguenti operazioni:
■ Nel riquadro destro, in Porta WAN e sessioni nella scheda PPPoE,
selezionare la porta WAN da disconnettere nell'elenco a discesa
Porta WAN.
■ Nell'elenco a discesa Sessione, selezionare una sessione PPPoE.
■ In Controllo manuale, fare clic su Disconnetti.

IP statico e DNS
Quando si richiede un account presso un ISP, a volte è possibile scegliere di
acquistare un indirizzo IP statico (permanente). Questo consente di gestire un
server, come un server Web o FTP, in quanto l'indirizzo rimane sempre
invariato. Qualsiasi tipo di account (linea commutata o a banda larga) può avere
un indirizzo IP statico.
L'appliance inoltra qualsiasi richiesta di ricerca DNS al server DNS specificato
per la risoluzione dei nomi. L'appliance supporta fino a tre server DNS. Quando
ne viene specificato più di uno, i server DNS vengono utilizzati in sequenza. Ad
esempio, dopo l'utilizzo del primo server, la successiva richiesta viene inoltrata
al secondo e così via.
Se si dispone di un indirizzo IP statico con il proprio ISP o se si sta utilizzando
l'appliance dietro un altro dispositivo di sicurezza gateway, selezionare IP
statico e DNS per il tipo di connessione. È possibile specificare il proprio
indirizzo IP statico e gli indirizzi IP dei server DNS da utilizzare per la
risoluzione dei nomi.
Prima di configurare l'appliance per connettersi al proprio account IP statico,
raccogliere le seguenti informazioni:
■ Indirizzo IP statico, mask di rete e gateway predefinito
Per queste informazioni rivolgersi all'ISP o al proprio settore IT.
■ Indirizzi DNS
È necessario specificare l'indirizzo IP di un minimo di uno e di un massimo
di tre server DNS. Per queste informazioni rivolgersi all'ISP o al proprio
settore IT. Le voci relative all'indirizzo IP DNS non sono necessarie per gli
account Internet dinamici o per quelli nei quali gli indirizzi IP vengono
assegnati da un server DHCP.
Se si dispone di un indirizzo IP statico con PPPoE, configurare l'appliance
per PPPoE.
34 Configurazione di una connessione alla rete esterna
Configurazione della connettività

Per configurare l'IP statico


È necessario specificare l'indirizzo IP statico e l'indirizzo IP del server DNS da
utilizzare. Con un account IP statico è necessario immettere almeno un DNS.
Vedere "Descrizioni dei campi della scheda IP statico e DNS" a pagina 176.

Per configurare l'IP statico


1 Nel riquadro sinistro della SGMI, fare clic su WAN/ISP.
2 Nel riquadro destro, in Tipo di connessione nella scheda Configurazione
principale, fare clic su IP statico.
3 Fare clic su Salva.
4 Per il modello 320, svolgere le seguenti operazioni:
■ Nel riquadro destro, in IP WAN nella scheda IP statico e DNS, nelle
caselle di testo Indirizzo IP digitare l'indirizzo IP desiderato del lato
esterno (WAN) dell'appliance Symantec Gateway Security Serie 300.
■ Nella casella di testo Mask di rete, digitare la mask di rete.
Cambiare questa impostazione solo se è richiesto dall'ISP.
■ Nella casella di testo Gateway predefinito, digitare il gateway di
sicurezza predefinito.
■ Nelle caselle di testo Server dei nomi di dominio, digitare l'indirizzo IP
di un minimo di uno e di un massimo di tre server dei nomi di dominio.
■ Fare clic su Salva.
5 Per il modello 360 o 360R, svolgere le seguenti operazioni:
■ Nell'elenco a discesa Tipo di connessione in WAN1 (esterna), fare clic
su IP statico.
■ Per utilizzare WAN 2, in Modalità HA in WAN 2 (esterna), fare clic su
Normale.
■ Per utilizzare WAN 2, nell'elenco a discesa Tipo di connessione in WAN
2 (esterna), fare clic su IP statico.
■ Fare clic su Salva.
■ Nel riquadro destro, in IP WAN 1 o IP WAN 2 nella scheda IP statico e
DNS, nelle caselle di testo Indirizzo IP digitare l'indirizzo IP desiderato
del lato esterno (WAN) delle appliance Symantec Gateway Security
Serie 300.
Configurazione di una connessione alla rete esterna 35
Configurazione della connettività

■ Nella casella di testo Mask di rete, digitare la mask di rete.


■ Nella casella di testo Gateway predefinito, digitare il gateway di
sicurezza predefinito.
Symantec Gateway Security Serie 300 invia tutti i pacchetti che non è
possibile instradare al gateway di sicurezza predefinito.
■ Nelle caselle di testo Server dei nomi di dominio, digitare l'indirizzo IP
di un minimo di uno e di un massimo di tre server dei nomi di dominio.
6 Fare clic su Salva.

PPTP
PPTP (Point-to-Point-Tunneling Protocol) è un protocollo che rende possibile il
trasferimento sicuro dei dati da un client a un server tramite la creazione di un
tunnel su una rete TCP/IP. Le appliance Symantec Gateway Security Serie 300
operano come client di accesso PPTP (PAC, PPTP access client) quando viene
stabilita la connessione con un server di rete PPTP (PNS, PPTP Network Server),
generalmente con l'ISP.
Prima di iniziare la configurazione di PPTP, raccogliere le seguenti
informazioni:
■ Indirizzi IP del server PPTP
Indirizzo IP del server PPTP presso l'ISP.
■ Indirizzo IP statico
Indirizzo IP assegnato al proprio account.
■ Informazioni sull'account
Nome utente e password per accedere all'account.

Per configurare PPTP


Vedere "Descrizioni dei campi della scheda PPTP" a pagina 183.
1 Nel riquadro sinistro della SGMI, fare clic su WAN/ISP.
2 Per il modello 320, svolgere le seguenti operazioni:
■ Nel riquadro destro, in Tipo di connessione nella scheda
Configurazione principale, fare clic su PPTP.
■ Fare clic su Salva.
36 Configurazione di una connessione alla rete esterna
Configurazione della connettività

3 Per il modello 360 o 360R, svolgere le seguenti operazioni:


■ Nell'elenco a discesa Tipo di connessione in WAN1 (esterna), fare clic
su PPTP.
■ Per utilizzare WAN 2, in Modalità HA in WAN 2 (esterna), fare clic su
Normale.
■ Per utilizzare WAN 2, nell'elenco a discesa Tipo di connessione in WAN
2 (esterna), fare clic su PPTP.
■ Fare clic su Salva.
4 Nel riquadro destro, in Connessione nella scheda PPTP, selezionare
Connetti su richiesta.
5 Nella casella di testo Timeout inattività, digitare il numero di minuti di
inattività dopo i quali l'appliance deve interrompere la connessione PPTP.
6 Nella casella testo Indirizzo IP server, digitare l'indirizzo IP del
server PPTP.
7 Se si dispone di un account Internet PPTP con IP statico, digitare
quest'ultimo nella casella di testo Indirizzo IP statico.
Diversamente, lasciare il valore su 0.
8 Nella casella di testo Nome utente in Informazioni utente, digitare il nome
utente dell'account ISP.
9 Nella casella di testo Password, digitare la password per l'account ISP.
10 Nella casella di testo Verifica password, digitare la password per
l'account ISP.
11 Fare clic su Salva.

Verifica della connettività PPTP


Dopo avere configurato l'appliance per utilizzare l'account PPTP, verificare che
si connetta correttamente.

Per verificare la connettività PPTP


Vedere "Descrizioni dei campi della scheda PPTP" a pagina 183.
Vedere "Descrizioni dei campi della scheda Stato" a pagina 160.
1 Nel riquadro sinistro della SGMI, fare clic su WAN/ISP.
2 Per il modello 320, nel riquadro destro, in Controllo manuale nella scheda
PPTP, fare clic su Connetti.
Configurazione di una connessione alla rete esterna 37
Configurazione della connettività

3 Per i modelli 360 e 360R, svolgere le seguenti operazioni:


■ Nel riquadro destro, in Porta WAN nella scheda PPTP, selezionare la
porta WAN da connettere nell'elenco a discesa Porta WAN.
■ In Controllo manuale, fare clic su Connetti.
4 Nel riquadro sinistro, fare clic su Registrazione/Monitoraggio.
Nel riquadro destro, in WAN 1 (esterna) nella scheda Stato viene visualizzato lo
stato della connessione.
Se la connessione non è stabilita, verificare che il nome utente e la password
siano stati digitati correttamente. Se la connessione non è ancora stabilita,
contattare l'ISP e verificare le informazioni dell'account e che questo sia attivo.

Connessione manuale all'account PPTP


È possibile connettersi o disconnettersi manualmente dal proprio account PPTP.
Per il modello 360 o 360R, è possibile controllare manualmente la connessione
per entrambe le porte WAN. Questo è utile per diagnosticare i problemi di
connettività.

Per connettersi manualmente all'account PPTP


Per il modello 320, è possibile stabilire o interrompere la connessione con
l'account PPTP. Per il modello 360 o 360R, prima di stabilire o interrompere
la connessione è necessario selezionare la porta WAN da controllare.
Vedere "Descrizioni dei campi della scheda PPTP" a pagina 183.

Per connettersi manualmente all'account PPTP


1 Nel riquadro sinistro della SGMI, fare clic su WAN/ISP.
2 Per il modello 320, nel riquadro destro, in Controllo manuale nella scheda
PPTP, fare clic su Connetti.
3 Per il modello 360 o 360R, svolgere le seguenti operazioni:
■ Nel riquadro destro, in Porta WAN nella scheda PPTP, selezionare
la porta WAN da connettere nell'elenco a discesa Porta WAN.
■ In Controllo manuale, fare clic su Connetti.

Per disconnettersi manualmente dall'account PPTP


1 Nel riquadro sinistro della SGMI, fare clic su WAN/ISP.
2 Per il modello 320, nel riquadro destro, in Controllo manuale nella scheda
PPTP, fare clic su Disconnetti.
38 Configurazione di una connessione alla rete esterna
Configurazione della connettività

3 Per il modello 360 o 360R, svolgere le seguenti operazioni:


■ Nel riquadro destro, in Porta WAN nella scheda PPTP, selezionare la
porta WAN da connettere nell'elenco a discesa Porta WAN.
■ In Controllo manuale, fare clic su Disconnetti.

Account su linea commutata


Esistono due tipi di account su linea commutata: analogica e ISDN. L'analogica
utilizza un modem che viene connesso a una normale linea telefonica
(connettore RJ-11). ISDN è un tipo di account su linea digitale che utilizza una
linea telefonica speciale.
Nell'appliance, è possibile utilizzare un account su linea commutata come
connessione primaria a Internet o come backup dell'account dedicato. In
modalità backup, se la connessione dedicata viene interrotta l'appliance
compone automaticamente il numero dell'ISP. L'appliance impegna di nuovo
l'account dedicato quando è stabile; il failover dalla connessione primaria al
modem o dal modem alla connessione primaria può richiedere da 30 a 60
secondi.
È possibile configurare un account su linea commutata primario e uno di
backup. È possibile configurare un account su linea commutata di backup per i
casi in cui si verificano problemi con l'account primario dedicato. Innanzitutto,
è necessario connettere il modem all'appliance. Quindi, utilizzare la SGMI per
configurare l'account su linea commutata.
È anche possibile connettere e disconnettere l'account manualmente in qualsiasi
momento.
Per gli account su linea commutata è necessario utilizzare un modem esterno.
Il modem, compresi i modem ISDN, va collegato all'appliance attraverso la porta
seriale disponibile sul retro. La Figura 3-3 mostra la porta seriale sul pannello
posteriore dell'appliance modello 320.

Figura 3-3 Pannello posteriore dell'appliance Symantec Gateway Security


modello 320

Porta seriale
Configurazione di una connessione alla rete esterna 39
Configurazione della connettività

La Figura 3-4 mostra la porta seriale presente sul pannello posteriore delle
appliance modello 360 e 360R.

Figura 3-4 Pannello posteriore delle appliance Symantec Gateway Security


modello 360 e 360R
Porta seriale

Prima di configurare l'appliance per utilizzare l'account su linea commutata


come connessione primaria o di backup, raccogliere le seguenti informazioni e
apparecchiature:

Informazioni Nome utente, che può essere diverso dal nome account, e password
sull'account per l'account su linea commutata.

Numeri di telefono Da un minimo di uno a un massimo di tre numeri di telefono per


l'account su linea commutata.

Indirizzo IP statico Alcuni ISP assegnano o offrono come opzione di acquisto ai propri
account indirizzi IP statici.

Modem/cavi Un modem esterno e un cavo seriale per connettere il modem alla


porta seriale sul retro dell'appliance.

Documentazione Per informazioni sul modello o sui comandi del modem potrebbe
del modem essere necessario consultare la relativa documentazione.

Per configurare account su linea commutata


Innanzitutto, è necessario connettere il modem all'appliance. Quindi, utilizzare
la SGMI per configurare l'account su linea commutata.

Nota: Se il gateway dell'ISP blocca le richieste ICMP come i comandi PING, nella
scheda Configurazione principale, se la casella di testo IP o URL sito indicatore
attività viene lasciata vuota, per determinare la connettività l'appliance esegue
PING sul gateway predefinito.

Vedere "Descrizioni dei campi della scheda Backup accesso remoto e analogica/
ISDN" a pagina 179.
40 Configurazione di una connessione alla rete esterna
Configurazione della connettività

Per connettere il modem


1 Collegare un'estremità del cavo seriale al modem.
2 Collegare l'altra estremità del cavo seriale alla porta seriale sul retro
dell'appliance.
3 Se è necessaria alimentazione esterna, collegare il modem a una presa
a muro.
4 Accendere il modem.

Per configurare l'account primario su linea commutata


1 Nel riquadro sinistro della SGMI, fare clic su WAN/ISP.
2 Nel riquadro destro, in Tipo di connessione nella scheda Configurazione
principale, fare clic su Analogica/ISDN.
3 Fare clic su Salva.
4 Nella scheda Backup accesso remoto e analogica/ISDN, in Informazioni
account ISP, svolgere le seguenti operazioni:

Nome utente Digitare il nome utente dell'account.

Password Digitare la password dell'account.

Verifica password Digitare nuovamente la password dell'account.

Telefono linea 1 Digitare il numero di telefono della linea commutata.

Telefono linea 2 Facoltativamente, digitare un numero di telefono di backup.

Telefono linea 3 Facoltativamente, digitare un numero di telefono di backup.


Configurazione di una connessione alla rete esterna 41
Configurazione della connettività

5 In Impostazioni modem, svolgere le seguenti operazioni:

Modello Selezionare il modello del modem.

Velocità linea Selezionare la velocità per la connessione.

Tipo di composizione Selezionare il tipo di composizione.

Stringa di Digitare una stringa di ricomposizione.


ricomposizione

Stringa di Digitare una stringa di inizializzazione.


inizializzazione Se si seleziona un tipo di modem diverso da Altro, la stringa
di inizializzazione è già disponibile. Se si seleziona Altro,
è necessario digitare una stringa di inizializzazione.

Tipo di linea Selezionare il tipo di linea telefonica.

Stringa di Digitare una stringa di composizione.


composizione

Timeout inattività Digitare la quantità di tempo di inattività, in minuti, dopo il


quale la connessione viene chiusa.

6 Fare clic su Salva.


Dopo avere fatto clic su Salva, l'appliance viene riavviata. La connettività di rete
viene interrotta.

Per attivare l'account di backup su linea commutata


1 Nel riquadro sinistro della SGMI, fare clic su WAN/ISP.
2 Nella scheda Backup accesso remoto e analogica/ISDN, in Modalità backup,
svolgere le seguenti operazioni:
■ Selezionare Attiva modalità backup.
■ Nella casella di testo IP o URL sito indicatore attività, digitare
l'indirizzo IP o il nome risolvibile del sito per il controllo della
connettività.
3 In Impostazioni modem, fare clic su Salva.
4 Seguire i passaggi descritti in "Account su linea commutata" a pagina 38.
42 Configurazione di una connessione alla rete esterna
Configurazione della connettività

Controllo manuale dell'account su linea commutata


È possibile imporre la connessione o la disconnessione manuale dell'account su
linea commutata. Questo è utile per verificare la connettività.

Per controllare manualmente l'account su linea commutata


Vedere "Descrizioni dei campi della scheda Backup accesso remoto e analogica/
ISDN" a pagina 179.
1 Nel riquadro sinistro della SGMI, fare clic su WAN/ISP.
2 Per connettersi all'account su linea commutata, in Controllo manuale nella
scheda Backup di accesso remoto e analogica/ISDN, fare clic su Componi.
3 Per disconnettersi dall'account su linea commutata, in Controllo manuale
nella scheda Backup di accesso remoto e analogica/ISDN, fare clic su
Aggancia.

Verifica della connettività su linea commutata


Dopo avere configurato l'appliance per utilizzare l'account su linea commutata,
verificare che si connetta correttamente.

Per verificare la connettività su linea commutata


Vedere "Descrizioni dei campi della scheda Backup accesso remoto e analogica/
ISDN" a pagina 179.
Vedere "Descrizioni dei campi della scheda Stato" a pagina 160.
1 Nel riquadro sinistro della SGMI, fare clic su WAN/ISP.
2 Nel riquadro destro, in Controllo manuale nella scheda Backup di accesso
remoto e analogica/ISDN, fare clic su Componi.
3 Nel riquadro sinistro, fare clic su Registrazione/Monitoraggio.
4 Nel riquadro destro, in WAN 1 (porta esterna) nella scheda Stato, accanto a
Stato connessione, viene visualizzato lo stato della connessione.
Se la connessione non è stata stabilita, verificare quanto segue:
■ Nome utente e password sono stati digitati correttamente.
■ La stringa di inizializzazione è corretta per il modello di modem utilizzato.
Per ulteriori informazioni controllare la documentazione del modem.
■ I cavi sono collegati saldamente.
■ La presa telefonica alla quale è connesso il modem funziona correttamente.
■ Verificare le informazioni dell'account con l'ISP e che l'account sia attivo.
Configurazione di una connessione alla rete esterna 43
Configurazione delle impostazioni di connessione avanzate

Monitoraggio dello stato dall'account su linea commutata


È possibile visualizzare e aggiornare lo stato della connessione dell'account su
linea commutata.

Per monitorare lo stato dall'account su linea commutata


Vedere "Descrizioni dei campi della scheda Backup accesso remoto e analogica/
ISDN" a pagina 179.
1 Nel riquadro sinistro della SGMI, fare clic su WAN/ISP.
2 Nella scheda Backup accesso remoto e analogica/ISDN, scorrere fino a Stato
analogico.
3 Per aggiornare lo stato dell'account su linea commutata, in Impostazioni
modem nella scheda Backup di accesso remoto e analogica/ISDN, fare clic
su Aggiorna.

Configurazione delle impostazioni di connessione


avanzate
Le impostazioni di connessione avanzate consentono di controllare i parametri
di connettività in modo più dettagliato. Se si dispone di una connessione DHCP,
è possibile configurare le impostazioni di rinnovo. Per gli account PPPoE, è
possibile configurare le richieste di echo. Per tutti i tipi di connessione, è
possibile specificare la dimensione dei pacchetti impostando il valore MTU
(Maximum Transfer Unit, massima unità di trasmissione).

Impostazioni DHCP avanzate


Se viene selezionato DHCP come tipo di connessione, è possibile indicare
all'appliance quando inviare una nuova richiesta di rinnovo, che comunica
all'ISP di allocare un nuovo indirizzo IP per l'appliance.
In qualsiasi momento è possibile indicare all'appliance di richiedere un nuovo
indirizzo IP imponendo un rinnovo DHCP. Questa operazione, tuttavia, va
eseguita solo se richiesto dal supporto tecnico di Symantec.

Per configurare le impostazioni DHCP avanzate


È possibile configurare il tempo di inattività per il rinnovo e forzare
manualmente una richiesta di rinnovo DHCP.
Vedere "Descrizioni dei campi della scheda Avanzate" a pagina 189.
44 Configurazione di una connessione alla rete esterna
Configurazione delle impostazioni di connessione avanzate

Per configurare l'inattività del rinnovo


1 Nel riquadro sinistro della SGMI, fare clic su WAN/ISP.
2 In Impostazioni di connessione facoltative nella scheda Avanzate, nella
casella di testo Inattività rinnovo DHCP, digitare il numero di minuti dopo i
quali viene inviata una richiesta di rinnovo.
3 Fare clic su Salva.

Per forzare un rinnovo DHCP


1 Nel riquadro sinistro della SGMI, fare clic su WAN/ISP.
2 Per il modello 320, in Impostazioni di connessione facoltative nella scheda
Avanzate, fare clic su Forza rinnovo.
3 Per il modello 360 o 360R, svolgere una delle seguenti operazioni:
■ Per rinnovare WAN 1, in Impostazioni di connessione facoltative nella
scheda Avanzate, fare clic su Rinnova WAN 1.
■ Per rinnovare WAN 2, in Impostazioni di connessione facoltative nella
scheda Avanzate, fare clic su Rinnova WAN 2.

Impostazioni PPP avanzate


Per verificare che l'appliance sia connessa all'account PPPoE è possibile
configurare le richieste echo che deve inviare.

Per configurare le impostazioni PPP


Vedere "Descrizioni dei campi della scheda Avanzate" a pagina 189.
1 Nel riquadro sinistro della SGMI, fare clic su WAN/ISP.
2 In Impostazioni PPP nella scheda Avanzate, svolgere le seguenti operazioni:
■ Nella casella di testo Timeout, digitare il numero di secondi prima di
tentare una nuova richiesta echo.
■ Nella casella di testo Tentativi, digitare il numero di volte che
l'appliance deve tentare la riconnessione.
3 Fare clic su Salva.

Avvertimento: per reimpostare le impostazioni della richiesta echo, fare clic su


Impostazioni predefinite. Questo ripristina anche i valori predefiniti per le
impostazioni del numero MTU e Inattività rinnovo DHCP.
Configurazione di una connessione alla rete esterna 45
Configurazione del DNS dinamico

MTU (Maximum Transmission Unit)


È possibile specificare la dimensione massima dei pacchetti che entrano ed
escono dall'appliance attraverso la porta WAN che viene configurata. Questo
è utile se un computer o un'altra appliance lungo il percorso di trasmissione
richiede un valore MTU inferiore. Nei modelli 360 e 360R, se si sta
configurando WAN 1 e WAN 2, è possibile impostare un valore MTU diverso
per ciascuna porta.

Per specificare la dimensione MTU


Vedere "Descrizioni dei campi della scheda Avanzate" a pagina 189.
1 Nel riquadro sinistro della SGMI, fare clic su WAN/ISP.
2 In Impostazioni di connessione facoltative nella scheda Avanzate, nella
casella di testo Porta WAN, digitare la dimensione MTU.
3 Fare clic su Salva.

Avvertimento: per reimpostare la dimensione MTU, fare clic su Impostazioni


predefinite. Questo ripristina anche i valori predefiniti per le impostazioni delle
informazioni sulla richiesta echo e Inattività rinnovo DHCP.

Configurazione del DNS dinamico


Symantec Gateway Security Serie 300 può utilizzare un servizio DNS dinamico
per mappare gli indirizzi IP dinamici su un nome di dominio al quale si possono
connettere gli utenti.
Se l'IP viene ricevuto dinamicamente dall'ISP, i servizi di DNS dinamico
consentono di utilizzare il proprio nome di dominio (ad esempio, miosito.com)
o di utilizzare quello dell'ISP e il proprio sottodominio per connettersi ai servizi
utilizzati, quali un gateway VPN, un sito Web o FTP. Ad esempio, se si configura
un server Web virtuale e l'ISP assegna un indirizzo IP diverso a ogni
connessione al server, gli utenti sono in grado di accedere sempre a
www.miosito.com.
Le appliance supportano due tipi di servizi di DNS dinamico: standard e TZO.
È possibile configurare uno dei servizi specificando le informazioni dell'account,
oppure è possibile disattivare completamente tale funzionalità.
Per l'elenco dei servizi supportati, vedere le Note di rilascio di Symantec Gateway
Security Serie 300.
46 Configurazione di una connessione alla rete esterna
Configurazione del DNS dinamico

Quando si crea un account con TZO, per consentire l'accesso e l'utilizzo


dell'account vengono inviate le seguenti informazioni: chiave (password), e-mail
(nome utente) e dominio. Raccogliere queste informazioni prima di configurare
l'appliance per utilizzare TZO. Per ulteriori informazioni sul DNS dinamico di
TZO, accedere all'indirizzo http://www.tzo.com.
Per utilizzare il servizio DNS standard, raccogliere le seguenti informazioni:
■ Informazioni sull'account
Nome utente, che può essere diverso dal nome account, e password per
l'account di DNS dinamico.
■ Server
Indirizzo IP o nome risolvibile del server di DNS dinamico. Ad esempio,
membri.dyndns.org.

Per configurare il DNS dinamico


Per il modello 320, è possibile configurare la porta WAN per l'utilizzo del DNS
dinamico. Per il modello 360 o 360R, è possibile configurare WAN 1, WAN 2 o
entrambe le porte per l'utilizzo del DNS dinamico.
Vedere "Descrizioni dei campi della scheda DNS dinamico" a pagina 184.
Vedere "Descrizioni dei campi della scheda Configurazione principale" a
pagina 174.

Per configurare il DNS dinamico TZO


1 Nel riquadro sinistro della SGMI, fare clic su WAN/ISP.
2 In Tipo di servizio nella scheda DNS dinamico, fare clic su TZO.
3 Svolgere una delle seguenti operazioni:
■ Per il modello 320, saltare al passaggio 4.
■ Per i modelli 360 e 360R, nell'elenco a discesa Porta WAN, selezionare
la porta WAN per la quale viene configurato TZO.
4 In Servizio DNS dinamico TZO, svolgere le seguenti operazioni:
■ Nella casella di testo Chiave, digitare la chiave inviata da TZO quando è
stato creato l'account.
■ Nella casella di testo e-mail, digitare l'indirizzo e-mail specificato
quando è stato creato l'account TZO.
■ Nella casella di testo Dominio, digitare il nome di dominio gestito da
TZO. Ad esempio, marketing.miosito.com.
5 Fare clic su Salva.
Configurazione di una connessione alla rete esterna 47
Configurazione del DNS dinamico

Per configurare il servizio DNS standard


1 Nel riquadro sinistro della SGMI, fare clic su WAN/ISP.
2 In Tipo di servizio nella scheda DNS dinamico, fare clic su Standard.
3 Svolgere una delle seguenti operazioni:
■ Per il modello 320, saltare al passaggio 4.
■ Per il modello 360 e 360R, nell'elenco a discesa Porta WAN, selezionare
la porta WAN per la quale viene configurato il DNS dinamico.
4 In Servizio standard, svolgere le seguenti operazioni:

Nome utente Digitare il nome utente dell'account di DNS dinamico.

Password Digitare la password dell'account di DNS dinamico.

Verifica password Digitare di nuovo la password dell'account di DNS


dinamico.

Server Digitare l'indirizzo IP o nome risolvibile da DNS del server


di DNS dinamico.

Nome host Digitare il nome host da utilizzare.

5 Facoltativamente, in Impostazioni facoltative standard, svolgere le seguenti


operazioni:
■ Per accedere alla rete con *.tuohost.tuodominio.com, dove * è un
CNAME come FTP o www, tuohost è il nome dell'host utilizzato,
e tuodominio.com è il nome di dominio utilizzato, selezionare
Caratteri jolly.
■ Per utilizzare un mail exchanger di backup, selezionare Backup MX.
■ Nella casella di testo Mail Exchanger, digitare il nome di dominio del
mail exchanger.
6 Fare clic su Salva.

Imposizione di aggiornamenti del DNS dinamico


Quando si impone un aggiornamento del DNS dinamico, l'appliance invia il
proprio indirizzo IP attuale, il nome host e il dominio al servizio. Questa
operazione va eseguita solo se richiesto dal supporto tecnico di Symantec.
Per il modello 320, è possibile imporre un aggiornamento del DNS dinamico per
la porta WAN. Per il modello 360 o 360R, è possibile imporre un aggiornamento
del DNS dinamico per WAN 1, WAN 2 o entrambe le porte.
48 Configurazione di una connessione alla rete esterna
Configurazione del DNS dinamico

Per imporre un aggiornamento DNS


Vedere "Descrizioni dei campi della scheda DNS dinamico" a pagina 184.
1 Nel riquadro sinistro della SGMI, fare clic su WAN/ISP.
2 Per il modello 320, in Tipo di servizio nella scheda DNS dinamico, fare clic
su Aggiorna.
3 Per il modello 360 o 360R, svolgere le seguenti operazioni:
■ In Tipo di servizio nella scheda DNS dinamico, nell'elenco a discesa
Porta WAN, selezionare la porta WAN per la quale viene configurato
TZO.
■ Fare clic su Aggiorna.

Disattivazione del DNS dinamico


Se si gestisce direttamente l'hosting del proprio dominio è possibile disattivare il
DNS dinamico. Nel modello 360 o 360R, è possibile disattivare DNS dinamico per
entrambe le porte WAN.

Per disattivare il DNS dinamico


Vedere "Descrizioni dei campi della scheda DNS dinamico" a pagina 184.
1 Nel riquadro sinistro della SGMI, fare clic su WAN/ISP.
2 Per il modello 320, in Tipo di servizio nella scheda DNS dinamico, fare clic
su Disattiva.
3 Per il modello 360 o 360R, svolgere le seguenti operazioni:
■ In Tipo di servizio nella scheda DNS dinamico, nell'elenco a discesa
Porta WAN, selezionare la porta WAN da disattivare.
■ Fare clic su Disattiva.
4 Fare clic su Salva.
Configurazione di una connessione alla rete esterna 49
Configurazione del routing

Configurazione del routing


Se le appliance Symantec Gateway Security Serie 300 vengono installate su una
rete con più di un router connesso direttamente, è necessario specificare a quale
deve essere inviato il traffico. L'appliance supporta due tipi di routing: dinamico
e statico. Il routing dinamico sceglie il percorso migliore per i pacchetti e li invia
al router appropriato. Il routing statico invia i pacchetti al router specificato.
Le informazioni di routing sono conservate in una tabella di routing.
Il routing dinamico viene amministrato tramite il protocollo RIP v2. Quando è
attivato, l'appliance rimane in ascolto e invia richieste RIP su entrambe le
interfacce interna (LAN) ed esterna (WAN). RIP v2 aggiorna la tabella di routing
in base alle informazioni fornite da fonti attendibili, pertanto il routing
dinamico va utilizzato solo per intranet o gateway dipartimentali dove è
possibile fare affidamento su aggiornamenti del routing attendibili.
Il routing aiuta a gestire i flussi di traffico quando in una rete sono presenti più
router. Configurare il routing dinamico o statico in base alle esigenze.

Attivazione del routing dinamico


Per utilizzare il routing dinamico non sono necessarie informazioni specifiche.

Per attivare il routing dinamico


Vedere "Descrizioni dei campi della scheda Routing" a pagina 187.
1 Nel riquadro sinistro della SGMI, fare clic su WAN/ISP.
2 In Routing dinamico nella scheda Routing, selezionare Attiva RIP v2.
3 Fare clic su Salva.

Configurazione delle voci di route statiche


Prima di aggiungere voci di route statiche alla tabella di routing, raccogliere le
informazioni sugli indirizzi IP di destinazione, mask di rete e gateway per il
router al quale deve essere instradato il traffico. Per queste informazioni
rivolgersi al proprio settore IT.
È possibile aggiungere nuove voci di route, modificare o eliminare voci esistenti
o visualizzare una tabella di quelle definite.

Nota: se NAT è attivata, nell'Elenco routing sono visualizzate solo sei route.
Quando NAT è disattivata, nell'elenco sono indicate tutte le route configurate.
50 Configurazione di una connessione alla rete esterna
Configurazione del routing

Per configurare le voci di route statiche


È possibile aggiungere, modificare o eliminare una voce di route statica, o
visualizzare un elenco di quelle esistenti.
Vedere "Descrizioni dei campi della scheda Routing" a pagina 187.

Per aggiungere una voce di route


1 Nel riquadro sinistro della SGMI, fare clic su WAN/ISP.
2 In Route statiche nella scheda Routing, svolgere le seguenti operazioni:

IP di Digitare l'indirizzo IP al quale inviare i pacchetti.


destinazione

Netmask Digitare la mask di rete del router al quale inviare i pacchetti.

Gateway Digitare l'indirizzo IP dell'interfaccia alla quale vengono inviati i


pacchetti.

Interfaccia Selezionare l'interfaccia dal quale viene inviato il traffico.

Metrica Digitare un numero che rappresenta l'ordine nel quale deve essere
valutata la voce. Ad esempio, per valutare la voce come terza
digitare 3.

3 Fare clic su Aggiungi.

Per modificare una voce di route


1 Nel riquadro sinistro della SGMI, fare clic su WAN/ISP.
2 In Route statiche nella scheda Routing, nell'elenco a discesa Voce route,
selezionare una voce di route.
3 In Route statiche, modificare le informazioni nei campi desiderati.
4 Fare clic su Aggiorna.

Per eliminare una voce di route


1 Nel riquadro sinistro della SGMI, fare clic su WAN/ISP.
2 In Route statiche nella scheda Routing, nell'elenco a discesa Voce route,
selezionare una voce.
3 Fare clic su Elimina.

Per visualizzare la tabella di routing


1 Nel riquadro sinistro della SGMI, fare clic su WAN/ISP.
2 Nella scheda Routing, scorrere fino alla parte inferiore della pagina.
Configurazione di una connessione alla rete esterna 51
Configurazione delle impostazioni WAN/ISP avanzate

Configurazione delle impostazioni WAN/ISP


avanzate
È possibile stabilire impostazioni di connettività avanzate quali un gateway
DNS, alta disponibilità/bilanciamento del carico (HA/LB), binding SMTP e
failover. È anche possibile stabilire impostazioni di rete facoltative che
identificano l'appliance per una rete.

Nota: le appliance modello 320 sono dotate di una porta WAN e non supportano
le funzioni alta disponibilità, bilanciamento del carico e aggregazione della
larghezza di banda.

Alta disponibilità
È possibile configurare l'alta disponibilità per ciascuna porta WAN in uno dei tre
modi seguenti: Normale, Disattivata o Backup. La Tabella 3-4 descrive ciascuna
modalità.
Tabella 3-4 Modalità di alta disponibilità

Modalità Descrizione

Normale Le impostazioni di bilanciamento del carico sono applicabili alla


porta quando questa è attivata e operativa.

Disattivata La porta WAN non viene utilizzata del tutto.

Backup La porta WAN fa passare il traffico solo se l'altra porta WAN non
funziona.

Per impostazione predefinita, WAN 1 è impostata su Normale e WAN2 è


impostata su Disattivata.
L'aggregazione della larghezza di banda consente di combinare la quantità di
traffico che passa attraverso WAN 1 e WAN 2 per aumentare la larghezza di
banda a disposizione dei client. Per il trasferimento di dati WAN, l'aggregazione
può fornire fino al doppio del throughput WAN, a seconda delle caratteristiche
del traffico.
52 Configurazione di una connessione alla rete esterna
Configurazione delle impostazioni WAN/ISP avanzate

Per configurare l'alta disponibilità


Vedere "Descrizioni dei campi della scheda Configurazione principale" a
pagina 174.
1 Nel riquadro sinistro della SGMI, fare clic su WAN/ISP.
2 Nella scheda Configurazione principale, svolgere le seguenti operazioni:
■ Per configurare la porta WAN 1, in WAN 1 selezionare una modalità di
alta disponibilità.
■ Per configurare la porta WAN 2, in WAN 2 selezionare una modalità di
alta disponibilità.
3 Fare clic su Salva.

Bilanciamento del carico


Le appliance Symantec Gateway Security Serie 300 modello 360 e 360R sono
dotate di due porte WAN. In queste appliance, è possibile configurare le funzioni
alta disponibilità e bilanciamento del carico (HA/LB) tra le due porte WAN.
È possibile impostare la percentuale di pacchetti che viene inviata su WAN 1 o
WAN 2. La percentuale viene immessa solo per WAN 1, e il resto dei pacchetti
viene ovviamente inviato su WAN 2. Se si dispone di una connessione lenta, per
garantire migliori prestazioni utilizzare un valore più basso per tale porta WAN.

Per configurare il bilanciamento del carico


Vedere "Descrizioni dei campi della scheda Avanzate" a pagina 189.
1 Nel riquadro sinistro della SGMI, fare clic su WAN/ISP.
2 In Bilanciamento del carico nella scheda Avanzate, nella casella di testo
Carico WAN 1, digitare la percentuale di traffico che deve passare da
tale porta.
3 Fare clic su Salva.

Binding SMTP
Utilizzare il binding SMTP quando sono presenti due connessioni a Internet con
ISP diversi utilizzate su porte WAN diverse. Questo garantisce che le e-mail
inviate da un client vengano indirizzate sulla porta WAN associata al server
di e-mail.
Se il server SMTP si trova nella stessa subnet di una delle porte WAN, il gateway
di sicurezza esegue automaticamente il binding delle due voci evitando così la
necessità di specificare tali informazioni.
Configurazione di una connessione alla rete esterna 53
Configurazione delle impostazioni WAN/ISP avanzate

Per configurare il binding SMTP


Vedere "Descrizioni dei campi della scheda Avanzate" a pagina 189.
1 Nel riquadro sinistro della SGMI, fare clic su WAN/ISP.
2 In Bilanciamento del carico nella scheda Avanzate, nell'elenco a discesa
Binding SMTP con porta WAN, selezionare un'opzione di binding.
3 In Gateway DNS, fare clic su Salva.

Binding di altri protocolli


È possibile utilizzare la funzionalità di routing del firewall per eseguire il
binding di altro traffico. A tal scopo si aggiunge una route statica per instradare
il traffico destinato all'indirizzo IP del server di destinazione a una porta WAN
specifica.
Vedere "Configurazione del routing" a pagina 49.

Failover
È possibile configurare l'appliance per testare periodicamente la connettività al
fine di garantire che la connessione sia disponibile per i client. Dopo il periodo di
tempo specificato (ad esempio, 10 secondi), l'appliance esegue una richiesta
PING sull'URL specificato come indicatore di attività. Se non si specifica un
indicatore di attività, viene utilizzato il gateway predefinito.

Nota: nella selezione di un URL da controllare, scegliere un nome DNS o un


indirizzo IP che potrà rispondere con certezza a una richiesta, altrimenti si
potrebbe ricevere una segnalazione erronea mentre la connessione è in realtà
disponibile.

Quando la porta WAN nel modello 320 si guasta, il gateway di sicurezza passa
alla porta seriale, che è connessa a un modem. Nel modello 360 o 360R, se una
delle porte WAN si guasta, il gateway di sicurezza passa all'altra disponibile.
Se entrambe le porte WAN si guastano, il gateway di sicurezza passa alla
porta seriale.
Se una linea è fisicamente disconnessa, viene considerata come tale e l'appliance
tenta di instradare il traffico sulla porta seriale o sull'altra porta WAN.
Se il cavo non è fisicamente disconnesso, l'appliance esegue un controllo della
linea a intervalli di pochi secondi per determinare se è attiva. Se la linea si
guasta, viene indicata come disconnessa nella scheda Registrazione/
Monitoraggio> Stato e viene tentato un percorso alternativo per il traffico.
54 Configurazione di una connessione alla rete esterna
Configurazione delle impostazioni WAN/ISP avanzate

Per configurare il failover per un account su linea commutata, vedere "Account


su linea commutata" a pagina 38. Per configurare una richiesta echo per account
che utilizzano PPP; vedere "Connessione manuale all'account PPPoE" a
pagina 32.

Per configurare il failover


Vedere "Descrizioni dei campi della scheda Configurazione principale" a
pagina 174.
1 Nel riquadro sinistro della SGMI, fare clic su WAN/ISP.
2 Per configurare un indicatore di attività per WAN 1, in WAN 1 (esterna)
nella scheda Configurazione principale, nella casella di testo Server
indicatore attività, digitare l'indirizzo IP o il nome DNS risolvibile di un
server al quale inviare i pacchetti.
3 Per configurare un indicatore di attività per WAN 2, in WAN 2 (esterna)
nella scheda Configurazione principale, nella casella di testo Server
indicatore attività, digitare l'indirizzo IP o il nome DNS risolvibile di un
server al quale inviare i pacchetti.
4 Fare clic su Salva.

Gateway DNS
È possibile specificare un gateway DNS per la risoluzione dei nomi locale e
remota sulla VPN. Per la risoluzione dei nomi locale e remota sulla VPN
(da gateway a gateway o da client a gateway), l'appliance può utilizzare un
gateway DNS.
È possibile specificare un gateway DNS di backup. Il gateway DNS gestisce la
risoluzione dei nomi, ma nel caso non sia disponibile, può subentrare quello di
backup (in genere un gateway DNS accessibile attraverso l'ISP).

Per configurare un gateway DNS


È possibile configurare un gateway DNS primario e uno di backup.
Vedere "Descrizioni dei campi della scheda Avanzate" a pagina 189.

Per configurare un gateway DNS


1 Nel riquadro sinistro della SGMI, fare clic su WAN/ISP.
2 In Gateway DNS nella scheda Avanzate, nelle caselle di testo Gateway DNS,
digitare l'indirizzo IP del gateway DNS.
3 Fare clic su Salva.
Configurazione di una connessione alla rete esterna 55
Configurazione delle impostazioni WAN/ISP avanzate

Per configurare un gateway DNS di backup


1 Nel riquadro sinistro della SGMI, fare clic su WAN/ISP.
2 In Gateway DNS nella scheda Avanzate, selezionare Attiva gateway DNS di
backup.
3 Fare clic su Salva.

Impostazioni di rete facoltative


Le impostazioni di rete facoltative identificano l'appliance con il resto della rete.
Se si intende connettere o fare riferimento all'appliance per nome, è necessario
configurare queste impostazioni.
Alcuni ISP eseguono l'autenticazione tramite l'indirizzo fisico (MAC) della
porta Ethernet. Questo è comune con i servizi via cavo a banda larga (DHCP).
È possibile clonare l'indirizzo della scheda del computer per connettersi all'ISP
tramite Symantec Gateway Security Serie 300. Questa operazione viene
chiamata clonazione MAC o masking.
Se l'appliance deve diventare un punto di accesso wireless, è necessario definire
le impostazioni di rete facoltative. Vedere la Guida all'implementazione di
Symantec Gateway Security Serie 300.
Per il modello 320, le impostazioni vengono configurate per la porta WAN. Per il
modello 360 o 360R, è possibile configurare le impostazioni di rete per una o
entrambe le porte WAN.
Prima di configurare le impostazioni di rete facoltative, raccogliere le seguenti
informazioni:

Nome host Nome dell'appliance. Ad esempio, marketing.

Nome di dominio Nome attraverso il quale viene indirizzata l'appliance in Internet.


Ad esempio, miosito.com. Se il nome host è marketing, l'appliance
sarà marketing.miosito.com.

Indirizzo MAC Indirizzo fisico della WAN dell'appliance. Se si sta eseguendo la


clonazione MAC, richiedere l'indirizzo MAC che l'ISP si aspetta di
vedere invece di quello dell'appliance.
56 Configurazione di una connessione alla rete esterna
Configurazione delle impostazioni WAN/ISP avanzate

Per configurare le impostazioni di rete facoltative


Vedere "Descrizioni dei campi della scheda Avanzate" a pagina 189.
1 Nel riquadro sinistro della SGMI, fare clic su WAN/ISP.
2 Per il modello 320, svolgere le seguenti operazioni:
■ In Impostazioni di rete facoltative nella scheda Configurazione
principale, nella casella di testo Nome host, digitare un nome host.
Nei nomi host e di dominio viene effettuata la distinzione tra maiuscole
e minuscole.
■ Nella casella di testo Nome dominio, digitare un nome di dominio per
l'appliance.
■ Nelle caselle di testo Indirizzo MAC, digitare l'indirizzo della scheda di
rete WAN (MAC) da clonare.
3 Per il modello 360 e 360R, svolgere le seguenti operazioni:
■ Per configurare WAN 1 o WAN 2, nel riquadro destro, in Impostazioni
di rete facoltative nella scheda Configurazione principale, sotto WAN 1
(esterna) o WAN 2 (esterna), svolgere le seguenti operazioni:

Casella di testo Nome host Digitare un nome host.


Nei nomi host e di dominio viene effettuata la
distinzione tra maiuscole e minuscole.

Casella di testo Nome dominio Digitare un nome di dominio per l'appliance

Caselle di testo Indirizzo MAC Digitare l'indirizzo della scheda di rete WAN
(MAC) da clonare.

4 Fare clic su Salva.


Dopo avere fatto clic su Salva, l'appliance viene riavviata. La connettività di rete
viene interrotta.
Capitolo 4
Configurazione delle
connessioni interne
Questo capitolo comprende i seguenti argomenti:

■ Configurazione delle impostazioni IP LAN

■ Configurazione dell'appliance come server DHCP

■ Configurazione delle assegnazioni di porta


Le impostazioni LAN consentono di configurare l'appliance Symantec Gateway
Security Serie 300 per operare in una rete interna nuova o esistente.
Per impostazione predefinita, a ciascuna appliance vengono assegnati un
indirizzo IP e una mask di rete, che possono comunque essere modificati con
valori appropriati per la rete esistente.
È anche possibile configurare l'appliance perché operi come server DHCP per i
client LAN. Questo consente di assegnare dinamicamente ai client indirizzi IP
evitando così di configurare l'utilizzo di indirizzi IP statici.

Nota: il modello 320 è dotato di quattro porte LAN, i modelli 360 e 360R di otto
porte LAN. Per ciascuna porta, è necessario specificare le impostazioni mediante
le assegnazioni di porta. Queste impostazioni vengono utilizzate per configurare
LAN wireless e cablate sicure.
58 Configurazione delle connessioni interne
Configurazione delle impostazioni IP LAN

Configurazione delle impostazioni IP LAN


A ciascuna appliance è assegnato un indirizzo IP predefinito 192.168.0.1 con
una mask di rete predefinita 255.255.255.0. L'appliance può essere configurata
per utilizzare un indirizzo IP e una mask di rete diversi per la LAN. Questo è utile
se si desidera configurare la LAN per utilizzare una subnet specifica
dell'ambiente di rete. Ad esempio, se la rete utilizza già 192.168.0.x, è possibile
cambiare l'indirizzo IP dell'appliance in 10.10.10.x, evitando così di dover
riconfigurare la rete esistente.
È possibile modificare l'indirizzo IP e la mask di rete dell'appliance in qualsiasi
momento. L'indirizzo IP predefinito è 192.168.0.1 e la mask di rete predefinita è
255.255.255.0. Assicurarsi che l'ultimo ottetto dell'indirizzo IP scelto per
l'appliance non sia zero (0).
Non è possibile impostare l'indirizzo IP dell'appliance su 192.168.1.0.

Avvertimento: dopo avere modificato l'indirizzo IP LAN dell'appliance, per


utilizzare la SGMI è necessario raggiungerlo manualmente sfogliando le
directory. Se si fa clic sul pulsante Indietro nel browser, questo tenta di accedere
al vecchio indirizzo IP.

Per modificare l'indirizzo IP LAN dell'appliance


Vedere "Descrizioni dei campi della scheda IP LAN e DHCP" a pagina 170.
1 Nel riquadro sinistro della SGMI, fare clic su LAN.
2 Nel riquadro di destra, in IP LAN unità nella scheda IP LAN e DHCP, nelle
caselle di testo Indirizzo IP, digitare il nuovo indirizzo IP.
3 Nella casella di testo Mask di rete, digitare la nuova mask di rete.
4 Fare clic su Salva.

Configurazione dell'appliance come server DHCP


DHCP (Dynamic Host Configuration Protocol) alloca indirizzi IP locali ai
computer nella LAN evitando così l'assegnazione manuale a ciascuno. Questo
elimina la necessità di avere un indirizzo IP statico (permanente) per ciascun
computer nella LAN ed è utile se il numero di indirizzi IP disponibili è limitato.
Ogni volta che un computer connesso alla LAN viene acceso, DHCP gli assegna
un indirizzo IP dall'intervallo di quelli disponibili.
Configurazione delle connessioni interne 59
Configurazione dell'appliance come server DHCP

Nota: ciascun computer client che si desidera utilizzi DHCP deve essere
configurato per ottenere l'indirizzo IP automaticamente.

Per impostazione predefinita, l'intervallo di indirizzi IP che l'appliance è in


grado di assegnare va da 192.168.0.2 a 192.168.0.XXX, dove XXX è il numero di
client da supportare, più due. Ad esempio, se nell'appliance vengono supportati
50 client, l'ultimo indirizzo IP nell'intervallo è 192.168.0.52. Il server DHCP
nell'appliance fornisce indirizzi IP fino a un massimo di 253 computer connessi.
Se viene modificato l'indirizzo IP dell'appliance, correggere adeguatamente
l'intervallo dei indirizzi IP DHCP. Vedere "Per modificare l'intervallo di indirizzi
IP DHCP" a pagina 60.
La Tabella 4-1 mostra gli indirizzi IP iniziale e finale di ciascun modello.
L'intervallo predefinito è basato sul numero consigliato di client concorrenti per
ciascun modello. Il numero di client che è possibile supportare può variare a
seconda delle caratteristiche del traffico.
Tabella 4-1 Intervalli di indirizzi IP DHCP predefiniti

Modello Numero di client Indirizzo IP iniziale Indirizzo IP finale

320 50 192.168.0.2 192.168.0.76

360 75 192.168.0.2 192.168.0.76

Il server DHCP supporta solo reti di classe C. Gli indirizzi delle reti di classe C
vanno da 192.0.0.0 fino a 223.255.255.0. Il numero di rete è costituito dai primi
tre ottetti, da 192.0.0 fino a 223.255.255. Ciascuna rete di classe C può avere un
ottetto completo di host.
L'appliance può essere inserita in qualsiasi classe di rete, ma ciò non è
supportato dal server DHCP.
In presenza di una combinazione di client che utilizzano indirizzi IP DHCP e
statici, gli indirizzi IP statici devono essere all'esterno dell'intervallo DHCP.
Inoltre, è possibile decidere di assegnare indirizzi IP statici ad alcuni servizi.
Ad esempio, se nel sito è presente un server Web, sarà possibile assegnargli un
indirizzo statico.
Per impostazione predefinita il server DHCP nell'appliance è attivato. Se si
disattiva il server DHCP, a ciascun client che si connette alla LAN deve essere
assegnato un indirizzo IP nell'intervallo corretto. Se viene attivato il roaming
nell'appliance come punto di accesso wireless secondario, il server DHCP viene
disattivato.
60 Configurazione delle connessioni interne
Configurazione dell'appliance come server DHCP

Per configurare l'appliance come server DHCP


È possibile attivare o disattivare DHCP e impostare l'intervallo di indirizzi IP
allocati dall'appliance ai client.
Vedere "Descrizioni dei campi della scheda IP LAN e DHCP" a pagina 170.

Per attivare o disattivare DHCP


1 Nel riquadro sinistro della SGMI, fare clic su LAN.
2 Nel riquadro destro, in DHCP nella scheda IP LAN e DHCP, svolgere una
delle seguenti operazioni.
■ Per attivare l'appliance come server DHCP, selezionare Attiva.
■ Per disattivare l'appliance come server DHCP, selezionare Disattiva.
3 Nelle caselle di testo IP inizio intervallo, digitare il primo indirizzo IP.
4 Nelle caselle di testo IP fine intervallo, digitare l'ultimo indirizzo IP.
5 Fare clic su Salva.

Per modificare l'intervallo di indirizzi IP DHCP


1 Nel riquadro sinistro della SGMI, fare clic su LAN.
2 Nel riquadro destro, in DHCP nella scheda IP LAN e DHCP, svolgere le
seguenti operazioni.
■ Nelle caselle di testo IP inizio intervallo, digitare il primo indirizzo IP.
■ Nelle caselle di testo IP fine intervallo, digitare l'ultimo indirizzo IP.
3 Fare clic su Salva.

Monitoraggio dell'utilizzo di DHCP


La Tabella DHCP elenca gli indirizzi assegnati ai client connessi. È possibile
visualizzare nome host, indirizzo IP, indirizzo fisico e stato di ciascun client.
L'aggiornamento completo di questa tabella richiede fino a un'ora dopo il riavvio
dell'appliance.

Per visualizzare l'utilizzo di DHCP


Vedere "Descrizioni dei campi della LAN" a pagina 169.
◆ Nel riquadro sinistro della SGMI, fare clic su LAN.
Configurazione delle connessioni interne 61
Configurazione delle assegnazioni di porta

Configurazione delle assegnazioni di porta


Le assegnazioni di porta nel gateway di sicurezza consentono di specificare se la
porta LAN risiede in una rete attendibile o meno. Le porte attendibili sono per
reti che non utilizzano l'autenticazione VPN per connettersi alla LAN. Le porte
non attendibili sono per reti wireless o cablate che utilizzano client VPN per
connettersi alle risorse della LAN.
Alle porte LAN è possibile connettere numerosi dispositivi di rete: router,
switch, computer client o altre appliance Symantec Gateway Security Serie 300.
Per accedere a queste opzioni, selezionare l'assegnazione di porta Standard.
Se alla porta LAN si sta connettendo un'appliance Symantec Gateway Security
Serie 300 configurata come punto di accesso wireless, è possibile proteggere la
connessione wireless mediante tecnologia VPN. Vedere la Guida
all'implementazione wireless di Symantec Gateway Security Serie 300.
Dopo avere impostato un'assegnazione di porta, le porte non attendibili attivano
e applicano traffico VPN crittografato, utilizzando tunnel globali verso
l'appliance o il pass-thru IPsec verso endpoint dal lato WAN.

Assegnazione delle porte standard


Quando le porte LAN vengono designate come standard, l'appliance opera come
un tipico switch: inoltra il traffico in base all'indirizzo MAC e il traffico non
raggiunge il motore del gateway di sicurezza a meno che non sia designato
appositamente per tale destinazione.
Questa opzione non supporta tunnel VPN client che terminano nella LAN.
Quando una porta LAN è impostata su Standard, non viene considerata come
parte della VLAN.
Quando si seleziona Standard, il traffico VPN non viene forzato sullo switch,
in altre parole, viene presupposta una rete privata attendibile.

Per configurare le assegnazioni di porta


È possibile impostare una porta LAN specifica per l'utilizzo di un'assegnazione
di porta, oppure è possibile ripristinare le impostazioni predefinite.
Vedere "Descrizioni dei campi della scheda Assegnazioni porta" a pagina 172.

Per configurare un'assegnazione di porta


1 Nel riquadro sinistro della SGMI, fare clic su LAN.
2 Nel riquadro destro, in Porte LAN fisiche nella scheda Assegnazione porta,
nell'elenco a discesa Numeri di porta, selezionare un'assegnazione di porta.
3 Fare clic su Salva.
62 Configurazione delle connessioni interne
Configurazione delle assegnazioni di porta

Quando si salvano le impostazioni della porta l'appliance viene riavviata.

Per ripristinare le impostazioni predefinite dell'assegnazione di porta


1 Nel riquadro sinistro della SGMI, fare clic su LAN.
2 Nel riquadro destro, in Porte LAN fisiche nella scheda Assegnazione porta,
fare clic su Impostazioni predefinite.
Quando si salvano le impostazioni della porta l'appliance viene riavviata.
Capitolo 5
Controllo del traffico di rete
Questo capitolo comprende i seguenti argomenti:
■ Pianificazione dell'accesso alla rete
■ Computer e gruppi di computer
■ Definizione dell'accesso in entrata
■ Definizione dell'accesso in uscita
■ Configurazione dei servizi
■ Configurazione di applicazioni speciali
■ Configurazione delle opzioni avanzate
L'appliance Symantec Gateway Security Serie 300 include tecnologia firewall
che consente di configurare il componente firewall in base ai requisiti della
politica di sicurezza. Quando si configura il firewall, identificare tutti i computer
(nodi) da proteggere nella rete.

Nota: in questo capitolo viene utilizzato il termine computer. È definito


computer qualsiasi elemento dotato di un proprio indirizzo IP: ad esempio, un
server terminale, una fotocopiatrice di rete, PC desktop, server, server di stampa
e così via.

Pianificazione dell'accesso alla rete


Lo sviluppo di una politica di sicurezza aiuta a identificare ciò che è necessario
configurare. Vedere la Guida all'implementazione di Symantec Gateway Security
Serie 300.
64 Controllo del traffico di rete
Computer e gruppi di computer

Prima di configurare il gateway di sicurezza, prendere in esame quanto indicato


di seguito.
■ Acquisire informazioni sui computer e sui gruppi di computer. Vedere
"Computer e gruppi di computer" a pagina 64.
■ Quale tipo di utenti saranno protetti dal gateway di sicurezza? Tutti gli
utenti avranno gli stessi privilegi e livelli di accesso?
■ Quali tipi di servizi si desidera rendere disponibili agli utenti interni?
■ Quali servizi di applicazione standard si desidera rendere disponibili agli
utenti esterni?
■ Quali tipi di servizi di applicazioni speciali si desidera autorizzare a utenti e
host esterni?

Computer e gruppi di computer


I computer sono tutti i nodi situati dietro l'appliance. Questi comprendono i
portatili presenti nella LAN su base permanente, i server di applicazione e
qualsiasi host o stampante. L'appliance viene configurata per riconoscere il
computer in base al relativo indirizzo MAC (fisico).
I gruppi di computer consentono di creare regole in uscita e di applicarle a tutti i
computer che hanno lo stesso tipo di accesso. Invece di creare una regola di
traffico per ciascun singolo computer nella rete, si definiscono gruppi di
computer, si assegna ciascun computer a un gruppo e quindi si creano regole per
il gruppo.
Per impostazione predefinita, tutti i computer fanno parte del gruppo Tutti e
non hanno restrizioni all'utilizzo di Internet finché non vengono assegnati a un
altro gruppo di computer con regole di traffico configurate. È possibile creare
regole che valgono per il gruppo Tutti, oppure, per un maggiore controllo, è
possibile dividere i computer in uno o più gruppi ai quali vengono assegnate
regole diverse. Se un computer non è definito nella tabella dei computer,
appartiene al gruppo Tutti.

Nota: l'appliance ha cinque gruppi di computer: Tutti, Gruppo 1, Gruppo 2,


Gruppo 3 e Gruppo 4. Non è possibile aggiungere, eliminare o rinominare gruppi
di computer.
Controllo del traffico di rete 65
Computer e gruppi di computer

Prima di creare regole in entrata e in uscita per disciplinare il traffico, svolgere


le seguenti attività nell'ordine qui descritto:
■ Definire i gruppi di computer.
Vedere "Definizione dell'appartenenza ai gruppi di computer" a pagina 65.
■ Definire i computer situati dietro l'appliance e assegnarli ai gruppi di
computer.
Vedere "Definizione dell'appartenenza ai gruppi di computer" a pagina 65.

Definizione dell'appartenenza ai gruppi di computer


La configurazione dei computer è il primo passo nella configurazione del
componente firewall dell'appliance.
Quando si crea la politica di sicurezza, assegnare la maggior parte degli host al
gruppo di computer Tutti per ridurre al minimo l'immissione e la gestione degli
indirizzi MAC. Per impostazione predefinita, tutti gli host appartengono al
gruppo Tutti finché non vengono configurati per uno degli altri quattro gruppi.
Esaminare la politica di sicurezza per determinare quanti eventuali gruppi
di computer sono necessari e quali utenti devono essere assegnati a ciascuno
di essi.
Nella scheda Computer è possibile identificare ciascun computer digitando il
relativo indirizzo MAC, assegnargli un indirizzo IP statico, assegnarlo a un
gruppo di computer e associarlo a una sessione PPPoE, nel caso l'ISP offra
diverse sessioni PPPoE. Vedere "PPPoE" a pagina 29.

Nota: per individuare l'indirizzo MAC di un computer Microsoft Windows, a un


prompt del DOS, digitare ipconfig /all e cercare l'indirizzo fisico.

Nei modelli 360 e 360R, è possibile limitare il computer all'utilizzo di una sola
delle porte WAN. Questo è utile se sono disponibili due account a banda larga,
uno su ciascuna porta WAN, e si desidera che un particolare computer ne utilizzi
solo una. Ciò risulta utile per quei server o applicazioni che devono utilizzare
sempre uno specifico indirizzo IP WAN come FTP. Per impostazione predefinita
l'opzione è disattivata.

Per configurare i computer


Se viene utilizzato un ISP con sessioni PPPoE, in questa scheda IP WAN è
possibile associare un host a una sessione.
Per interrompere il processo di configurazione dei computer, è possibile fare clic
su Annulla in qualsiasi momento. Per azzerare tutte le informazioni nella
scheda, in qualsiasi momento è possibile fare clic su Azzera modulo.
66 Controllo del traffico di rete
Computer e gruppi di computer

La selezione di Riserva host garantisce che il server DHCP offra sempre


l'indirizzo IP definito al computer in questione, oppure è possibile impostare
tale indirizzo IP come statico nel computer.
Vedere "Descrizioni dei campi della scheda Computer" a pagina 192.

Per configurare un nuovo computer


1 Nel riquadro sinistro, fare clic su Firewall.
2 Nella casella Nome host della scheda Computer, digitare un nome host.
3 Nella casella di testo Indirizzo scheda (MAC), digitare l'indirizzo della
scheda di interfaccia di rete (NIC) dell'host.
4 Se il computer è un server di applicazione per il quale si desidera
autorizzare l'accesso a una regola in entrata, o per riservare un indirizzo IP
per un computer che non è un server di applicazione, in Server di
applicazione, selezionare Riserva host.
Vedere "Definizione dell'accesso in entrata" a pagina 68.
5 Nella casella di testo Indirizzo IP, digitare l'indirizzo IP dell'host.
6 Nell'elenco a discesa Gruppo di computer in Gruppo di computer,
selezionare un gruppo al quale unire l'host.
Le proprietà del gruppo di computer sono definite nella scheda Firewall >
Gruppi di computer. Vedere "Definizione dell'accesso in entrata" a
pagina 68.
7 Nell'elenco a discesa Binding con sessione PPPoE in Associazione sessione,
selezionare la sessione da associare all'host.
Se si desidera associare un host a una sessione PPPoE è necessario disporre
di un account PPPoE multisessione con l'ISP. In caso contrario, lasciare
l'elenco a discesa Binding con sessione PPPoE su Sessione 1.
8 Fare clic su Aggiungi.
Per verificare che un host sia stato configurato, è possibile controllare l'Elenco
host visualizzato nella parte inferiore della finestra. I campi nell'elenco
corrispondono a quelli immessi durante la configurazione dell'host.
Dopo avere terminato l'aggiunta di computer a un gruppo, è possibile
configurare le proprietà di ciascun gruppo.

Per aggiornare un computer esistente


1 Nel riquadro sinistro, fare clic su Firewall.
2 Nel riquadro destro, in Identità host nella scheda Computer, nell'elenco a
discesa Seleziona, selezionare un host.
Controllo del traffico di rete 67
Computer e gruppi di computer

3 Apportare le modifiche ai campi dei computer.


4 Fare clic su Aggiorna.
Il computer aggiornato viene visualizzato nell'Elenco host.

Per eliminare un computer esistente


1 Nel riquadro sinistro, fare clic su Firewall.
2 Nel riquadro destro, in Identità host nella scheda Computer, nell'elenco a
discesa Seleziona, selezionare un host.
3 Fare clic su Elimina.

Definizione dei gruppi di computer


I gruppi di computer sono gruppi logici di entità di rete utilizzati per le regole in
uscita. È necessario configurare e associare tutti gli host locali (nodi) al gruppo
di computer in cui sono situati mediante la scheda Computer. Vedere
"Definizione dell'appartenenza ai gruppi di computer" a pagina 65.
Per un gruppo di computer è possibile configurare le seguenti proprietà:
■ Applicazione della politica antivirus.
Vedere "Funzionamento dell'applicazione della politica antivirus (AVpe)" a
pagina 106.
■ Filtro dei contenuti.
Vedere "Controllo avanzato del traffico di rete" a pagina 105.
■ Controllo degli accessi.
Vedere "Definizione dell'accesso in entrata" a pagina 68.

Per definire le proprietà del gruppo di computer


Vedere "Descrizioni dei campi della scheda Gruppi di computer" a pagina 194.
1 Nel riquadro sinistro, fare clic su Firewall.
2 Nel riquadro destro, in Politica di sicurezza nella scheda Gruppi di
computer, nell'elenco a discesa Gruppo di computer, selezionare il gruppo
da configurare.
3 Per attivare l'applicazione della politica antivirus, in Applicazione politica
antivirus, selezionare Attiva Applicazione politica antivirus.
4 Se l'applicazione della politica antivirus è stata attivata, fare clic su una
delle seguenti opzioni:
■ Avvisa solo
■ Blocca connessioni
68 Controllo del traffico di rete
Definizione dell'accesso in entrata

5 In Filtro dei contenuti, se si seleziona Attiva filtro dei contenuti,


è necessario selezionare anche una delle seguenti opzioni:
■ Utilizza elenco di divieti
■ Utilizza elenco di autorizzazioni
6 In Controllo degli accessi (regole in uscita) selezionare una delle seguenti
opzioni:
■ Nessuna restrizione
■ Blocca TUTTI gli accessi in uscita
■ Utilizza regole definite nella finestra Regole in uscita.
Vedere "Definizione dell'accesso in uscita" a pagina 70.
7 Fare clic su Salva.

Definizione dell'accesso in entrata


Le regole in entrata controllano il tipo di traffico che arriva ai server di
applicazione nelle reti protette dall'appliance. Lo stato predefinito del traffico in
entrata è che è tutto vietato (bloccato automaticamente) finché non vengono
configurate regole in entrata per ciascun tipo di traffico da autorizzare. Se il
traffico in entrata contiene un protocollo o un'applicazione che non fa parte di
una regola attivata, la richiesta di connessione viene negata e registrata.
L'appliance supporta un massimo di 25 regole in entrata.
Quando si creano regole in entrata, è necessario specificare il server di
applicazione, il servizio, i protocolli e le porte che la regola autorizza, e le
informazioni di origine e destinazione per ciascuna regola. Quando esiste una
regola in entrata, qualsiasi host esterno può far passare traffico in entrata
corrispondente a tale regola.
Le regole in entrata reindirizzano il traffico che arriva sulle porte WAN a un
altro server interno nella LAN protetta. Ad esempio, una regola in entrata
attivata per HTTP ha come effetto che tutti il traffico HTTP che arriva sulla
porta WAN venga reindirizzato verso il server specificato come server di
applicazione HTTP. Prima di utilizzare un server in una regola è necessario
definirlo.
Le regole in entrata non sono associate a gruppi di computer.
Controllo del traffico di rete 69
Definizione dell'accesso in entrata

Per definire l'accesso in entrata


Per interrompere il processo di configurazione dei computer, fare clic su
Annulla in qualsiasi momento.
Per azzerare tutte le informazioni nella scheda, fare clic su Azzera modulo in
qualsiasi momento.
Vedere "Descrizioni dei campi della scheda Regole in entrata" a pagina 197.

Per definire una nuova regola in entrata


1 Nel riquadro sinistro della SGMI, fare clic su Firewall.
2 Per creare una nuova regola, nel riquadro destro, in Definizione regola nella
scheda Regole in entrata, nella casella di testo Nome, digitare un nome
univoco per la regola in entrata.
3 Selezionare Attiva regola.
4 Nell'elenco a discesa Server di applicazione, selezionare un computer
definito.
I computer vengono definiti nella scheda Computer nella sezione Firewall.
5 Nell'elenco a discesa Servizio, selezionare un servizio in entrata.
6 Fare clic su Aggiungi.
La regola configurata viene visualizzata nell'Elenco regole in entrata.

Per aggiornare una regola in entrata esistente


1 Nel riquadro sinistro, fare clic su Firewall.
2 Nel riquadro destro, nell'elenco a discesa Regola della scheda Regole in
entrata, selezionare una regola in entrata esistente.
3 Fare clic su Seleziona.
4 Apportare le modifiche ai campi delle regole in entrata.
5 Fare clic su Aggiorna.
La regola configurata viene visualizzata nell'Elenco regole in entrata.

Per eliminare una regola in entrata


1 Nel riquadro sinistro, fare clic su Firewall.
2 Nel riquadro destro, nell'elenco a discesa Regola della scheda Regole in
entrata, selezionare una regola in entrata esistente.
3 Fare clic su Elimina.
70 Controllo del traffico di rete
Definizione dell'accesso in uscita

Definizione dell'accesso in uscita


Per impostazione predefinita, tutti i gruppi di computer sono autorizzati
all'accesso in uscita. Inoltre tutti i computer da proteggere sono inclusi nel
gruppo di computer Tutti. Quando si definisce una regola in uscita per un
determinato gruppo di computer, e si seleziona la casella di controllo Utilizza
regole definite nella finestra Regole in uscita, tutto l'altro traffico viene bloccato
finché non viene definita una regola in uscita per autorizzarlo. È necessario
fornire a ciascuna regola in uscita un nome univoco.
È anche necessario specificare il tipo di traffico autorizzato dalla regola. Le
regole in uscita consentono di definire il traffico da consentire, non quello da
vietare o bloccare. Dopo avere aggiunto una regola in uscita al gruppo di
computer, tutto l'altro traffico viene vietato a meno che non vi sia una specifica
regola che lo autorizza.
Di seguito viene fornito l'elenco predefinito dei servizi in uscita:
■ DNS
■ FTP
■ HTTP
■ HTTPS
■ Posta (SMTP)
■ Posta (POP3)
■ Autenticazione RADIUS
■ Telnet
■ VPN IPSec
■ VPN PPTP
■ LiveUpdate
■ Server SESA
■ SESA Agent
■ RealAudio 1
■ RealAudio 2
■ RealAudio 3
■ PCA TCP
■ PCA UDP
■ TFTP
■ SNMP
Controllo del traffico di rete 71
Definizione dell'accesso in uscita

Se vi sono servizi non contenuti in questo elenco, o un servizio che non utilizza
la porta predefinita, è possibile creare servizi personalizzati. Il servizio
personalizzato deve essere creato prima della regola in uscita.
Vedere "Configurazione dei servizi" a pagina 73.
Una regola in uscita attivata per il servizio FTP per il gruppo di computer 2
consente ai relativi membri di utilizzare il servizio FTP in uscita. Una regola in
uscita attivata per il servizio Posta (SMTP) per il gruppo di computer Tutti
consente a tutti i membri di tale gruppo di inviare e-mail in uscita. Una regola in
uscita attivata per il servizio FTP per il gruppo di computer 2 consentirebbe ai
relativi membri di utilizzare il servizio FTP in uscita. Se il gruppo di computer 1
non dispone di regole, per impostazione predefinita viene autorizzato tutto il
traffico in uscita. Nella Figura 5-1 è mostrato un diagramma di questi esempi.

Figura 5-1 Esempio di regole in uscita

Regola in uscita Regola in uscita


Nome: E_Mail_1 Nome: FTP_2
Gruppo di Gruppo di
computer: Tutti computer: Gruppo 2
Servizio: Posta Servizio: FTP
(SMTP)

Gruppo di computer Tutti Gruppo di computer 1 Gruppo di computer 2

Per definire l'accesso in uscita


È possibile gestire l'accesso in uscita creando una regola, aggiornandola quando
le esigenze cambiano o eliminandola quando non è più necessaria. È anche
possibile disattivare temporaneamente l'accesso in uscita a fini diagnostici o di
controllo del traffico.
Vedere "Descrizioni dei campi della scheda Regole in uscita" a pagina 198.
72 Controllo del traffico di rete
Definizione dell'accesso in uscita

Per definire una regola in uscita


1 Nel riquadro sinistro della SGMI, fare clic su Firewall.
2 Nel riquadro destro, in Gruppi di computer nella scheda Regole in uscita,
nell'elenco a discesa Gruppo di computer, selezionare un gruppo di
computer.
Per visualizzare un elenco di regole per il gruppo di computer selezionato,
fare clic su Visualizza.
3 Nella casella di testo Nome, digitare un nome univoco per la regola in uscita.
4 Selezionare Attiva regola.
5 Nell'elenco a discesa Servizio, selezionare un servizio in uscita.
6 Fare clic su Aggiungi.
La regola configurata viene visualizzata nell'Elenco regole in uscita.

Per aggiornare una regola in uscita esistente


1 Nel riquadro sinistro della SGMI, fare clic su Firewall.
2 Nel riquadro destro, in Gruppi di computer nella scheda Regole in uscita,
nell'elenco a discesa Gruppo di computer, selezionare un gruppo di
computer.
Per visualizzare un elenco di regole per il gruppo di computer selezionato,
fare clic su Visualizza.
3 Nell'elenco a discesa Regola, selezionare una regola in uscita esistente.
4 Apportare le modifiche ai campi delle regole in uscita.
5 Fare clic su Aggiorna.
La regola configurata viene visualizzata nell'Elenco regole in uscita.

Per eliminare una regola in uscita


1 Nel riquadro sinistro della SGMI, fare clic su Firewall.
2 Nel riquadro destro, in Gruppi di computer nella scheda Regole in uscita,
nell'elenco a discesa Gruppo di computer, selezionare un gruppo di
computer.
Per visualizzare un elenco di regole per il gruppo di computer selezionato,
fare clic su Visualizza.
3 Nel riquadro destro, nell'elenco a discesa Regola della scheda Regole in
uscita, selezionare una regola in uscita esistente.
4 Fare clic su Elimina.
Controllo del traffico di rete 73
Configurazione dei servizi

Configurazione dei servizi


La scheda Firewall > Servizi consente di definire applicazioni di servizio
aggiuntive, utilizzate nelle regole in entrata e in uscita per il traffico che non è
già contemplato dai servizi predefiniti. Prima di essere utilizzati in qualsiasi
regola questi servizi devono essere configurati. Il nome del servizio deve
identificare il protocollo o il tipo di traffico autorizzato dalla regola.
È necessario specificare il tipo di traffico e il relativo server di destinazione.
Il tipo di traffico viene selezionato nell'elenco dei servizi predefiniti e
personalizzati.

Nota: nei modelli 360 e 360R, i server di applicazione FTP devono essere
associati a una porta WAN, WAN 1 o WAN 2. Tutte le altre applicazioni, come
HTTP, non richiedono l'associazione a una porta WAN. Vedere "Binding di altri
protocolli" a pagina 53.

I servizi utilizzano due tipi di protocollo: TCP e UDP. L'intervallo di porte


specifica quale filtro di porte può comunicare nell'appliance. Per i protocolli che
autorizzano un intervallo di porte, è necessario specificare l'ascolto sul numero
di porta iniziale e sul numero di porta finale. Per i protocolli che utilizzano un
singolo numero di porta, il numero della porta iniziale di ascolto e di quella
finale è lo stesso.

Reindirizzamento dei servizi


È anche possibile configurare servizi che devono essere reindirizzati dalle
normali porte di entrata (porta di ascolto) su un'altra porta (porta di
reindirizzamento). Il reindirizzamento dei servizi si applica solo alle regole in
entrata. Le regole in uscita ignorano tale impostazione.
Ad esempio, per reindirizzare il traffico Web in entrata dalla porta 80 che
utilizza il protocollo TCP su un server Web interno in ascolto per TCP sulla porta
8080, si dovrebbe creare una nuova applicazione di servizio chiamata
WEB_8080, selezionare TCP come protocollo, e digitare 80 per le porte di ascolto
iniziale e finale. Per entrambe le porte di reindirizzamento iniziale e finale,
digitare 8080. Quindi creare e attivare una regola in entrata per il server di
applicazione Web che utilizza WEB_8080 come servizio.

Nota: le dimensioni degli intervalli delle porte di reindirizzamento devono


essere uguali a quelli delle porte di ascolto. Ad esempio, se l'intervallo della
porta di ascolto è da 21 a 25, anche quello della porta di reindirizzamento deve
essere uguale.
74 Controllo del traffico di rete
Configurazione dei servizi

Per reindirizzare il traffico in entrata verso la porta di destinazione originale,


lasciare vuoti i campi di reindirizzamento.

Per configurare un servizio


Creare un servizio prima di aggiungerlo a una regola in uscita. Dopo avere creato
un servizio, è possibile aggiornarlo o eliminarlo.
Vedere "Descrizioni dei campi della scheda Servizi" a pagina 198.

Per configurare un servizio


1 Nel riquadro sinistro della SGMI, fare clic su Firewall.
2 Nella casella di testo Nome in Impostazioni applicazione, digitare un nome
per il servizio che rappresenta l'applicazione.
3 Nell'elenco a discesa Protocollo, selezionare TCP o UDP.
4 Nella casella di testo Porta/e di ascolto: Inizio, digitare un numero di porta.
5 Nella casella di testo Porta/e di ascolto: Fine, digitare un numero di porta.
6 Nella casella di testo Reindirizza sulla porta/e: Inizio, digitare un numero
di porta.
Il reindirizzamento si applica solo alle regole in entrata. Se si sta creando un
servizio per una regola in uscita lasciare vuote le caselle di testo Reindirizza
sulla porta/e.
Per reindirizzare il traffico in entrata verso la porta di destinazione
originale, lasciare vuoti i campi di reindirizzamento.
7 Nella casella di testo Reindirizza sulla porta/e: Fine, digitare un numero
di porta.
8 Fare clic su Aggiungi.

Per aggiornare un servizio esistente


1 Nel riquadro sinistro della SGMI, fare clic su Firewall.
2 Nel riquadro destro, nell'elenco a discesa Applicazione della scheda Servizi,
selezionare un servizio esistente.
3 Apportare le modifiche ai campi dei servizi.
4 Fare clic su Aggiorna.
Il servizio configurato viene visualizzato nell'Elenco servizi.
Controllo del traffico di rete 75
Configurazione di applicazioni speciali

Per eliminare un servizio


1 Nel riquadro sinistro della SGMI, fare clic su Firewall.
2 Nel riquadro destro, nell'elenco a discesa Applicazione della scheda Servizi,
selezionare un servizio esistente.
3 Fare clic su Elimina.

Configurazione di applicazioni speciali


Le applicazioni speciali vengono utilizzate per l'instradamento dinamico
delle porte. Per determinare quali porte e protocolli sono necessari per il
funzionamento di un'applicazione, consultare la relativa documentazione per
informazioni sull'utilizzo di firewall o NAT.
Alcune applicazioni potrebbero richiedere la definizione e l'attivazione di più
di una voce, ad esempio nei casi in cui sono in uso più intervalli di porte. Le
applicazioni speciali hanno un campo d'azione globale e ignorano le regole in
entrata e in uscita specifiche di qualsiasi gruppo di computer. Quando è attivata,
il traffico specificato può passare in entrambe le direzioni da qualsiasi host.
Certe applicazioni con comunicazione bidirezionale (come i giochi e le
videoconferenze) richiedono che vi siano porte aperte nel firewall.
Normalmente, le porte vengono aperte tramite la scheda Regole in entrata. Ma le
regole in entrata aprono porte solo per l'indirizzo IP del server di applicazione
definito nelle relative impostazioni, in quanto i firewall che utilizzano NAT
possono solo aprire un servizio definito per un singolo computer nella LAN
(quando viene utilizzato un singolo IP esterno).
La scheda Applicazioni speciali aggira questa limitazione consentendo di
attivare dei trigger di porta. L'appliance rimane in ascolto del traffico in uscita
su un intervallo di porte proveniente dai computer nella LAN e quando lo rileva,
apre un intervallo di porte in entrata per il computer corrispondente. Una volta
terminata la comunicazione, l'appliance avvia di nuovo l'ascolto in modo che un
altro computer generi l'apertura delle porte necessarie.
I trigger di porta possono essere utilizzati con estrema velocità (millisecondi),
ma solo per un computer alla volta. La velocità con la quale vengono utilizzati i
trigger di porta fornisce l'illusione di consentire a più computer di avere le
stesse porte aperte.
Le voci Applicazioni speciali funzionano in modo ottimale con applicazioni che
richiedono un throughput basso. È possibile riscontrare una riduzione delle
prestazioni quando vari computer attivano consistenti flussi multimediali o a
fronte di un intenso volume in entrata o in uscita.
76 Controllo del traffico di rete
Configurazione di applicazioni speciali

L'appliance rimane in ascolto solamente del traffico nella LAN. Il computer nella
LAN attiva il trigger, non il traffico dall'esterno. L'applicazione LAN deve
iniziare il traffico ed è necessario conoscere le porte o l'intervallo di porte
utilizzate per configurare una voce di applicazione speciale. Se il traffico viene
originato dall'esterno, è necessario utilizzare una regola in entrata.

Per configurare un'applicazione speciale


Le applicazioni speciali aiutano ad effettuare l'instradamento dinamico dei
pacchetti. Configurare un'applicazione speciale per la comunicazione
bidirezionale. Essa può quindi essere modificata o eliminata in base alle
esigenze.
Vedere "Descrizioni dei campi della scheda Applicazioni speciali" a pagina 200.

Per configurare un'applicazione speciale


1 Nel riquadro sinistro della SGMI, fare clic su Firewall.
2 Nel riquadro destro, in Seleziona applicazioni nella scheda Applicazioni
speciali, nella casella di testo Nome, digitare un nome che rappresenta
l'applicazione.
3 Selezionare Attiva.
4 Nell'elenco a discesa Protocollo in uscita, selezionare TCP o UDP.
5 Nella casella di testo Porta iniziale in uscita, digitare il primo numero di
porta dell'intervallo di porte di ascolto.
6 Nella casella di testo Porta finale in uscita, digitare l'ultimo numero di porta
dell'intervallo di porte di ascolto.
7 Nella casella di testo Porta iniziale in entrata, digitare il primo numero di
porta dell'intervallo da aprire.
8 Nella casella di testo Porta finale in entrata, digitare l'ultimo numero di
porta dell'intervallo da aprire.
9 Fare clic su Aggiungi.

Per aggiornare un'applicazione speciale esistente


1 Nel riquadro sinistro della SGMI, fare clic su Firewall.
2 Nel riquadro destro, nell'elenco a discesa Applicazione speciale della scheda
Applicazioni speciali, selezionare un'applicazione speciale esistente.
3 Apportare le modifiche ai campi dell'applicazione speciale.
4 Fare clic su Aggiorna.
Controllo del traffico di rete 77
Configurazione delle opzioni avanzate

La regola configurata viene visualizzata nell'Elenco applicazioni speciali.

Per eliminare un'applicazione speciale


1 Nel riquadro sinistro della SGMI, fare clic su Firewall.
2 Nel riquadro destro, nell'elenco a discesa Applicazione della scheda
Applicazioni speciali, selezionare un'applicazione speciale esistente.
3 Fare clic su Elimina.

Configurazione delle opzioni avanzate


Symantec Gateway Security Serie 300 dispone di varie opzioni firewall avanzate
destinate a circostanze speciali.

Attivazione della porta IDENT


Le interrogazioni alla porta IDENT (113) determinano normalmente la
restituzione delle informazioni relative al nome host e della società. Tuttavia,
questo servizio pone un rischio per la sicurezza in quanto gli aggressori possono
utilizzare tali informazioni per istruire la propria metodologia di attacco. Per
impostazione predefinita, l'appliance imposta tutte le porte in modalità stealth.
In tal modo un computer viene configurato per apparire invisibile all'esterno
della rete. Alcuni server, quali certi server di e-mail o MIRC, utilizzano la porta
IDENT del sistema che sta effettuando l'accesso.
È possibile configurare l'appliance per attivare la porta IDENT. L'attivazione di
tale impostazione chiude la porta 113 disattivando la modalità stealth. Se si
verificano problemi di accesso a un server (ad esempio, timeout del server), è
opportuno attivare questa impostazione.

Nota: se si verificano timeout durante l'utilizzo del servizio di posta (SMTP),


l'attivazione della porta IDENT potrebbe risolvere il problema.

Per attivare la porta IDENT


Vedere "Descrizioni dei campi della scheda Avanzate" a pagina 189.
1 Nel riquadro sinistro della SGMI, fare clic su Firewall.
2 Nel riquadro destro, in Impostazioni di sicurezza facoltative nella scheda
Avanzate, selezionare Attiva porta IDENT.
3 Fare clic su Salva.
78 Controllo del traffico di rete
Configurazione delle opzioni avanzate

Disattivazione della modalità NAT


È possibile configurare il gateway di sicurezza per operare come un router di
rete standard al fine di separare differenti subnet in una rete interna. La
disattivazione della modalità NAT disattiva le funzioni di sicurezza del firewall.
Questa impostazione va utilizzata solo per le implementazioni di intranet dove il
gateway di sicurezza viene utilizzato come ponte in una rete protetta. Quando il
gateway di sicurezza è configurato per la modalità NAT, si comporta come un
dispositivo 802.1D (bridge MAC).

Per disattivare la modalità NAT


Vedere "Descrizioni dei campi della scheda Avanzate" a pagina 189.
1 Nel riquadro sinistro della SGMI, fare clic su Firewall.
2 Nel riquadro destro, in Impostazioni di sicurezza facoltative nella scheda
Avanzate, selezionare Disattiva modalità NAT.
3 Fare clic su Salva.

Attivazione del pass-thru IPsec


Il pass-thru IPsec è supportato dal gateway di sicurezza. Se per il client VPN
utilizzato in Host esposto (DMZ) si verificano problemi di connessione dietro il
gateway di sicurezza, utilizzare l'impostazione Nessuno.
L'elenco seguente comprende i tipi di IPsec supportati:
■ 1 SPI
ADI - Assured Digital
■ 2 SPI
Client standard (Symantec, Cisco Pix e Nortel Contivity)
■ 2 SPI-C
Client Cisco Concentrator 30X0 Series
■ Altro
Redcreek Ravlin
■ Nessuno
Controllo del traffico di rete 79
Configurazione delle opzioni avanzate

Nota: modificare l'impostazione pass-thru IPsec solo se viene richiesto dal


supporto tecnico di Symantec.

Per configurare le impostazioni pass-thru IPsec


Vedere "Descrizioni dei campi della scheda Avanzate" a pagina 189.
1 Nel riquadro sinistro della SGMI, fare clic su Firewall.
2 In Impostazioni pass-thru IPSec nella scheda Avanzate,
3 Fare clic su Salva.

Configurazione di un host esposto


L'host esposto apre tutte le porte in modo che un computer in una LAN disponga
di una comunicazione bidirezionale senza restrizioni con server o utenti
Internet. Questo è utile per ospitare giochi o speciali applicazioni server.
Tutti il traffico che non è specificamente autorizzato dalle regole in entrata
viene indirizzato all'host esposto.

Avvertimento: a causa dei rischi per la sicurezza, attivare l'host esposto solo se
viene richiesto.

Per configurare un host esposto


Vedere "Descrizioni dei campi della scheda Avanzate" a pagina 189.
1 Nel riquadro sinistro, fare clic su Firewall.
2 Nel riquadro destro, in Host esposto nella scheda Avanzate, selezionare
Attiva host esposto.
3 Nelle caselle di testo Indirizzo IP LAN, digitare l'indirizzo IP dell'host da
esporre.
4 Fare clic su Salva.

Gestione delle richieste ICMP


Per impostazione predefinita, il gateway di sicurezza non risponde alle richieste
ICMP esterne inviate alle porte WAN. È anche possibile configurare il gateway di
sicurezza per bloccare o autorizzare le richieste ICMP nella WAN. Le richieste
ICMP LAN rispondono sempre.
80 Controllo del traffico di rete
Configurazione delle opzioni avanzate

Per gestire le richieste ICMP


Vedere "Descrizioni dei campi della scheda Avanzate" a pagina 189.
1 Nel riquadro sinistro della SGMI, fare clic su Firewall.
2 Nel riquadro destro, in Impostazioni di sicurezza facoltative nella scheda
Avanzate, svolgere una delle seguenti operazioni.
3 Per bloccare le richieste ICMP, fare clic su Attiva.
4 Per autorizzare le richieste ICMP, fare clic su Disattiva.
5 Fare clic su Salva.
Capitolo 6
Creazione di connessioni
VPN protette
Questo capitolo comprende i seguenti argomenti:

■ Informazioni sull'utilizzo di questo capitolo

■ Creazione di politiche di sicurezza

■ Identificazione degli utenti

■ Configurazione di tunnel da gateway a gateway

■ Configurazione di tunnel da client a gateway


■ Monitoraggio dello stato del tunnel VPN
Le VPN (Virtual Private Network) consentono di estendere in modo protetto i
confini della rete interna e utilizzare canali di comunicazione non sicuri (come
Internet) per trasmettere con sicurezza dati importanti. Le VPN vengono
utilizzate per consentire a un singolo utente o rete remota l'accesso alle risorse
protette di un'altra rete.
Le appliance Symantec Gateway Security Serie 300 supportano tre tipi di tunnel
VPN: da gateway a gateway, da client a gateway e da client a gateway wireless.
Per configurare tunnel da client a gateway wireless, vedere la Guida
all'implementazione wireless di Symantec Gateway Security Serie 300.
La protezione delle connessioni di rete mediante tecnologia VPN è un passo
importante per garantire la qualità e l'integrità dei dati. In questa sezione
vengono illustrati alcuni concetti e componenti chiave necessari per
comprendere come configurare e utilizzare in modo efficace la caratteristica
VPN dell'appliance.
82 Creazione di connessioni VPN protette
Informazioni sull'utilizzo di questo capitolo

I tunnel VPN possono anche supportare configurazioni da gateway a gateway


dinamiche e statiche, nelle quali i parametri del tunnel vengono creati in ciascun
gateway di sicurezza. Entrambe le estremità devono avere gli stessi parametri,
comprendenti le chiavi segrete, gli indici dei parametri di sicurezza (SPI,
Security Parameter Indexes), gli schemi di autenticazione e i metodi di
crittografia.

Informazioni sull'utilizzo di questo capitolo


Ciascuna sezione inizia con una spiegazione della caratteristica trattata (ad
esempio, che cosa è una politica VPN, come funziona e come viene utilizzata).
Gli amministratori IT o di rete esperti possono passare direttamente alla
seconda metà della sezione dove sono fornite le istruzioni per la configurazione.
Coloro che invece non hanno molta esperienza di reti o IT o non hanno mai
configurato un gateway di sicurezza (Symantec o di altri) dovrebbero leggere la
prima metà di ciascuna sezione prima di procedere alla configurazione della
caratteristica in questione.
Al termine di "Configurazione di tunnel da gateway a gateway" a pagina 89 e
"Configurazione di tunnel da client a gateway" a pagina 98, sono forniti due
fogli di lavoro da compilare con le informazioni immesse in modo da facilitare la
condivisione delle informazioni di connessione con gli amministratori dei client
e del gateway remoto.

Creazione di politiche di sicurezza


La negoziazione per stabilire il tunnel VPN ha luogo in due fasi. Nella fase 1,
la negoziazione IKE (Internet Key Exchange) crea un'associazione di protezione
IKE con il proprio pari per proteggere la fase 2 della negoziazione, che
determina l'associazione di sicurezza del protocollo per il tunnel. Per le
connessioni da gateway a gateway, uno o l'altro dei gateway di sicurezza può
iniziare in qualsiasi momento la rinegoziazione fase 1 o fase 2. Può inoltre
specificare intervalli dopo i quali avviare la rinegoziazione. Per le connessioni
da client a gateway, la rinegoziazione fase 1 o fase 2 può essere iniziata solo
dal client. La rinegoziazione fase 2 viene indicata come rinegoziazione in
modalità rapida.
Creazione di connessioni VPN protette 83
Creazione di politiche di sicurezza

Nota: Symantec Gateway Security Serie 300 non supporta la compressione


del tunnel VPN. Per creare un tunnel da gateway a gateway tra un'appliance
Symantec Gateway Security Serie 300 e un'appliance remota Symantec Gateway
Security Serie 5400 o Symantec Enterprise Firewall, impostare la compressione
su NESSUNA nel gateway remoto.

Politiche VPN
Per ciascuna fase della negoziazione, l'appliance utilizza una politica, che è un
set predefinito di parametri. L'appliance supporta due tipi di politiche di
sicurezza, IKE globale e VPN.

Politica IKE globale (fase 1, non configurabile, tranne per il


parametro della durata SA)
Il gateway di sicurezza include una politica IKE globale predefinita che viene
applicata automaticamente alle negoziazioni IKE fase 1. Questa politica IKE
globale funziona in combinazione con la politica VPN che viene configurata per
le negoziazioni fase 2. La politica IKE globale fornisce i parametri che
definiscono le negoziazioni fase 1 del tunnel IKE, mentre la politica VPN
configurata e selezionata fornisce i parametri per le negoziazioni fase 2.
L'unico parametro nella politica IKE globale la cui impostazione può essere
modificata è la Durata SA (associazione di protezione), che specifica il periodo di
tempo dopo il quale viene eseguito il rekey del tunnel (in minuti). Questo
parametro è situato in VPN > Avanzate > Impostazioni IKE globali (rekey fase 1).
Quando due gateway di sicurezza stanno negoziando la fase 1, il primo invia un
elenco di proposte, chiamate elenco di proposte di trasformazione. Il gateway di
sicurezza con il quale si sta stabilendo la connessione seleziona quindi
nell'elenco la proposta più adatta, in genere quella con l'opzione più efficiente a
disposizione. Non è possibile modificare l'elenco delle proposte di
trasformazione nell'appliance; tuttavia queste informazioni possono essere utili
per l'amministratore del gateway remoto. La Tabella 6-1 elenca l'ordine delle
proposte IKE di Symantec Gateway Security Serie 300.
84 Creazione di connessioni VPN protette
Creazione di politiche di sicurezza

Tabella 6-1 Ordine delle proposte IKE

Riservatezza dei dati Integrità dei dati Diffie-Hellman

3DES SHA1 Gruppo 5

3DES MD5 Gruppo 5

3DES SHA1 Gruppo 2

3DES MD5 Gruppo 2

DES SHA1 Gruppo 1

DES MD5 Gruppo 1

Alcune impostazioni possono essere configurate a livello globale per i tunnel da


client a gateway. Vedere "Impostazioni di politica globali per i tunnel VPN da
client a gateway" a pagina 103.

Politiche VPN (fase 2, configurabile)


Il gateway di sicurezza include un set predefinito di quattro politiche VPN
configurabili che possono essere applicate alle negoziazioni del tunnel fase 2.
Invece di configurare gli algoritmi di riservatezza, integrità e compressione dei
dati per ogni tunnel che viene creato, il gateway di sicurezza consente di
configurare politiche VPN standard e riutilizzabili da associare successivamente
a diversi tunnel protetti. È possibile selezionare una politica predefinita o
crearne una nuova mediante la scheda Politiche VPN.
Le politiche VPN raggruppano assieme caratteristiche comuni dei tunnel, e
consentono di configurare rapidamente altri tunnel aggiuntivi con
caratteristiche analoghe. Il gateway di sicurezza comprende anche alcune delle
politiche VPN più comunemente utilizzate per tunnel statici e dinamici.
È possibile definire più di una politica VPN, variando i componenti selezionati
per ciascuna. Se si opera in tal senso, assicurarsi di adottare una convenzione
per l'assegnazione dei nomi che consenta di distinguere le politiche che
utilizzano la stessa modalità di incapsulamento. Quando tutto è pronto per
creare i tunnel protetti, convenzioni per l'assegnazione dei nomi definite con
chiarezza semplificheranno la selezione della politica VPN corretta.

Nota: non è possibile eliminare le politiche VPN predefinite.


Creazione di connessioni VPN protette 85
Creazione di politiche di sicurezza

Creazione di politiche VPN fase 2 personalizzate


Sono disponibili politiche preconfigurate per tipiche configurazioni VPN. Se
sono necessarie impostazioni personalizzate (ad esempio, per ragioni di
compatibilità con apparecchiature di terze parti) allora è possibile creare una
politica fase 2 personalizzata nella scheda Politiche VPN.
Una politica VPN raggruppa assieme caratteristiche comuni dei tunnel VPN.
Invece di configurare gli algoritmi di riservatezza, integrità e compressione dei
dati per ogni tunnel che viene creato, è possibile configurare politiche VPN
standard e riutilizzabili da applicare successivamente a diversi tunnel protetti.

Nota: per i tunnel dinamici la configurazione di una politica VPN è facoltativa.

Per creare una politica VPN fase 2 personalizzata


Vedere "Descrizioni dei campi della scheda Politiche VPN" a pagina 216.
1 Nel riquadro sinistro della SGMI, fare clic su VPN.
2 Nel riquadro destro, in Parametri associazione protezione IPsec (fase 2)
nella scheda Politiche VPN, nella casella di testo Nome, digitare un nome
per la politica VPN.
3 Per modificare una politica esistente, nell'elenco a discesa Politica VPN,
selezionare una politica VPN.
4 Nell'elenco a discesa Integrità dei dati (autenticazione), selezionare
un'autenticazione.
5 Nell'elenco a discesa Riservatezza dei dati (crittografia), selezionare un tipo
di crittografia.
6 Nella casella di testo Durata SA, digitare il numero di minuti di attività per
l'associazione di protezione prima che si verifichi il rekey.
Quando si verifica il rekey il tunnel VPN viene temporaneamente interrotto.
7 Nella casella di testo Limite volume dati, digitare il numero di kilobyte di
traffico da autorizzare prima che si verifichi il rekey.
8 Nella casella di testo Timeout inattività, digitare il numero di minuti di
inattività prima che si verifichi il rekey.
9 Per utilizzare PFS (Perfect Forward Secrecy), svolgere le seguenti
operazioni:
■ Nell'elenco a discesa PFS (Perfect Forward Secrecy), selezionare un
gruppo Diffie-Hellman.
■ Accanto a PFS (Perfect Forward Secrecy), fare clic su Attiva.
10 Fare clic su Aggiungi.
86 Creazione di connessioni VPN protette
Identificazione degli utenti

Visualizzazione dell'Elenco politiche VPN


La sezione Elenco politiche VPN della finestra Politiche VPN visualizza un
riepilogo di ciascuna politica VPN che è configurata nell'appliance. La
Tabella 6-2 definisce ciascun campo presente nel riepilogo Elenco politiche VPN.

Tabella 6-2 Campi dell'Elenco politiche VPN

Campo Descrizione

Nome Visualizza il nome della politica VPN.

Metodo di crittografia Visualizza il metodo di crittografia selezionato per la


politica VPN.

Durata SA Visualizza l'impostazione Durata SA configurata.

Limite volume dati Visualizza l'impostazione Limite volume dati configurata.

Timeout inattività Visualizza l'impostazione Timout inattività configurata.

PFS Mostra l'impostazione PFS (Perfect Forward Secrecy).

Identificazione degli utenti


L'appliance consente di configurare due tipi di client che utilizzano la VPN:
utenti e utenti con autenticazione estesa.

Tipi di utente
Gli utenti si autenticano direttamente con il gateway di sicurezza al momento
della connessione attraverso un tunnel VPN. Gli utenti vengono definiti nella
scheda Utenti client del gateway di sicurezza. Gli utenti con autenticazione
estesa non sono definiti nel gateway di sicurezza: sono invece definiti in un
server di autenticazione RADIUS. Per supportare l'amministrazione remota di
utenti con autenticazione estesa l'appliance deve essere configurata di
conseguenza.

Utenti dinamici
Gli utenti dinamici non vengono definiti nell'appliance, in quanto, per
autenticare i propri tunnel, essi utilizzano l'autenticazione estesa tramite
RADIUS. Gli utenti dinamici vengono definiti nel server RADIUS.
Creazione di connessioni VPN protette 87
Identificazione degli utenti

Quando un utente dinamico tenta di autenticarsi, l'appliance cerca il relativo


nome utente nell'elenco di quelli definiti. Se il nome utente non viene trovato in
questa posizione, l'appliance utilizza il segreto condiviso che è stato immesso
nel software client. Questo segreto condiviso deve corrispondere a quello
presente nella finestra Avanzate del gateway di sicurezza con il quale viene
stabilita la connessione. L'appliance avvia quindi l'autenticazione estesa e
richiede le informazioni necessarie al server RADIUS, come un nome utente o
una password. Il server RADIUS autentica l'utente e restituisce al gateway di
sicurezza il gruppo RADIUS dell'utente. Il gateway di sicurezza controlla che il
gruppo corrisponda a uno dei tunnel client e che sia autorizzato a connettersi
alla WAN, LAN o WLAN. In caso affermativo, viene stabilito il tunnel dell'utente.

Utenti
Gli utenti vengono autenticati tramite un ID client (nome utente) e una chiave
precondivisa che viene loro assegnata. Essi immettono il nome utente e la
password nel proprio software client e tali informazioni vengono inviate quando
tentano di creare un tunnel VPN con il gateway di sicurezza.
Gli utenti vengono definiti nell'appliance e possono utilizzare anche
l'autenticazione estesa.

Definizione degli utenti


Assicurarsi di ottenere dall'amministratore RADIUS tutte le informazioni di
autenticazione pertinenti da passare agli utenti con autenticazione estesa.

Per definire gli utenti


Gli utenti devono essere definiti nell'appliance, e possono utilizzare anche
l'autenticazione estesa. Gli utenti dinamici devono utilizzare l'autenticazione
estesa e non sono definiti nell'appliance.

Per configurare gli utenti


Vedere "Descrizioni dei campi della scheda Utenti client" a pagina 215.
1 Nel riquadro sinistro della SGMI, fare clic su VPN.
2 Nel riquadro destro, in Identità utente VPN nella scheda Utenti remoti,
nella casella di testo Nome utente, digitare il nome di un nuovo utente.
3 Per modificare un utente esistente, selezionarlo nell'elenco a
discesa Utente.
4 Selezionare Attiva.
5 Nella casella di testo Chiave precondivisa, digitare la chiave precondivisa.
88 Creazione di connessioni VPN protette
Identificazione degli utenti

6 Nell'elenco a discesa Gruppo VPN, selezionare un gruppo VPN al quale deve


unirsi l'utente.
7 Fare clic su Aggiungi.

Per attivare utenti con autenticazione estesa


Vedere "Descrizioni dei campi della scheda Avanzate" a pagina 189.
1 Nel riquadro sinistro della SGMI, fare clic su VPN.
2 Nella sezione Impostazioni client VPN dinamico della scheda Avanzate,
svolgere le seguenti operazioni:
■ Selezionare Attiva tunnel client VPN dinamici.
■ Nella casella di testo Chiave precondivisa, digitare una chiave che verrà
immessa dagli utenti dinamici nel relativo software client.
3 Nella sezione Impostazioni RADIUS, svolgere le seguenti operazioni:

Server RADIUS primario Digitare l'indirizzo IP o il nome di dominio completo


del server RADIUS.

Server RADIUS secondario Digitare l'indirizzo IP o il nome di dominio completo


del server RADIUS utilizzato dal gateway di sicurezza
per l'autenticazione nel caso quello primario non sia
disponibile.

Porta di autenticazione (UDP) Digitare la porta nel server RADIUS sulla quale viene
eseguito il servizio RADIUS.

Segreto condiviso o chiave Digitare la chiave del server RADIUS.

4 Fare clic su Salva.


5 Nell'elenco a discesa Gruppo VPN della scheda Tunnel client, selezionare il
gruppo VPN al quale appartengono gli utenti che utilizzano l'autenticazione
estesa.
6 In Autenticazione utente estesa, svolgere le seguenti operazioni:
■ Selezionare Attiva autenticazione utente estesa.
■ Nella casella di testo Binding gruppo RADIUS, digitare il nome del
gruppo RADIUS dell'utente.
Il gruppo RADIUS viene assegnato all'utente nel server RADIUS. Il
server RADIUS deve restituire il valore che viene digitato nella casella
di testo Binding gruppo RADIUS nell'attributo filterID.
7 Fare clic su Salva.
Creazione di connessioni VPN protette 89
Configurazione di tunnel da gateway a gateway

Visualizzazione dell'Elenco utenti


La sezione Elenco utenti nella finestra Utenti client visualizza un riepilogo di
ciascun utente statico che è configurato nell'appliance. La Tabella 6-3 definisce
ciascun campo presente nel riepilogo.
Tabella 6-3 Campi dell'Elenco utenti

Campo Descrizione

Nome utente Nome utente immesso per l'utente VPN statico.

Attiva Indica se un particolare utente può stabilire tunnel VPN


con il gateway di sicurezza.

Chiave precondivisa Visualizza la chiave precondivisa immessa per l'utente.

Gruppo VPN Elenca i gruppi VPN per i quali è configurato l'utente.

Configurazione di tunnel da gateway a gateway


I tunnel da gateway a gateway aiutano a proteggere la rete interna fornendo un
ponte sicuro verso una LAN esterna. La protezione corretta di una rete tramite
tunnel da gateway a gateway comporta lo svolgimento di alcune attività. Nella
sezione seguente sono descritti i tunnel da gateway a gateway, quindi vengono
fornite le procedure per la loro configurazione.

Tunnel da gateway a gateway


Può accadere che sia necessario rendere disponibili le risorse di rete a un gruppo
esterno, ad esempio un'altra sede dell'azienda. Invece di richiedere che ciascun
utente nella seconda rete stabilisca una propria connessione protetta, è possibile
creare un tunnel da gateway a gateway, che rende le risorse di ciascuna rete
disponibili reciprocamente. Questo tipo di tunnel è da LAN a LAN, invece che da
utente a LAN.
L'appliance supporta configurazioni di tunnel da gateway a gateway. Una
configurazione da gateway a gateway viene creata quando due gateway sono
connessi, attraverso una rete interna o in Internet, da porta WAN a porta WAN.
90 Creazione di connessioni VPN protette
Configurazione di tunnel da gateway a gateway

Figura 6-1 Configurazione di tunnel VPN da gateway a gateway

Questo tipo di configurazione di rete consente generalmente di connettere due


subnet presenti nella stessa rete o, come illustrato nella Figura 6-1, due sedi
remote attraverso Internet. Una volta creato un tunnel VPN, gli utenti protetti
da un gateway di sicurezza in una sede possono stabilire una connessione con il
gateway di sicurezza che protegge la sede remota. L'utente remoto può
connettersi e accedere alle risorse della rete privata come se la workstation
remota fosse situata fisicamente all'interno della rete protetta.
Symantec Gateway Security Serie 300 è in grado di connettersi a un'altra
appliance Symantec Gateway Security Serie 300 o a una delle seguenti
appliance:
■ Symantec Gateway Security Serie 5400
■ Symantec Firewall/VPN Appliance
I gateway di sicurezza Symantec Gateway Security Serie 300 supportano la
creazione di un tunnel VPN con un massimo di cinque subnet remote situate
dietro appliance Symantec Enterprise Firewall o Symantec Gateway Security
Serie 5400, ma non con un'altra appliance Symantec Gateway Security Serie 300
o Symantec Firewall/VPN Appliance. I tunnel tra due appliance Symantec
Gateway Security Serie 300 vengono creati solo con la subnet sul lato LAN
dell'appliance e supportano solo la prima serie (subnet/mask) dei cinque set
di campi, che vengono definiti nelle schede VPN > Tunnel dinamici o VPN >
Tunnel statici.
Creazione di connessioni VPN protette 91
Configurazione di tunnel da gateway a gateway

Se è presente un'altra subnet sul lato LAN del gateway di sicurezza Symantec
Gateway Security Serie 300, i tunnel client VPN verso il lato LAN del gateway di
sicurezza non sono supportati per i computer situati nella subnet separata. Per i
tunnel VPN sul lato LAN/WLAN sono supportati solo i computer presenti nella
subnet dell'appliance (indicati nella finestra IP LAN).

Nota: i tunnel VPN da gateway a gateway sono supportati dalle porte WAN
dell'appliance; non è possibile definire tunnel VPN da gateway a gateway sulle
porte LAN o WLAN dell'appliance.

Tunnel VPN da gateway a gateway supportati


L'appliance Symantec Gateway Security Serie 300 consente di configurare due
tipi di tunnel VPN da gateway a gateway:

Dinamico Il gateway di sicurezza viene fornito con una politica IKE globale
predefinita che viene applicata automaticamente alle negoziazioni IKE fase
1. Nella politica IKE globale è possibile modificare l'impostazione del
parametro Durata SA, che specifica la quantità di tempo del rekey del
tunnel (in minuti). Questo parametro è situato in VPN > Avanzate >
Impostazioni IKE globali (rekey fase 1).

Statico Le configurazioni da gateway a gateway statiche richiedono l'immissione


manuale dei parametri del tunnel in ciascun gateway di sicurezza.
Entrambe le estremità devono avere gli stessi parametri, comprendenti le
chiavi segrete, gli indici dei parametri di sicurezza (SPI, Security Parameter
Indexes), gli schemi di autenticazione e i metodi di crittografia.

Vedere "Configurazione di tunnel da gateway a gateway" a pagina 89. Vedere


"Configurazione di tunnel da gateway a gateway statici" a pagina 95.

Persistenza e alta disponibilità del tunnel VPN da gateway


a gateway
Dopo il riavvio del gateway di sicurezza, i tunnel VPN da gateway a gateway
dinamici vengono ristabiliti. Questi tunnel vengono ristabiliti anche se lo stato
della porta WAN cambia da disconnessa a connessa. Questa funzionalità riduce
il lavoro di gestione fornendo la riconnessione automatica dei tunnel.
Se il tunnel VPN non viene stabilito dopo tre tentativi, il gateway di sicurezza
attende da uno a cinque minuti prima di tentare la riconnessione. Questo
processo continua finché il tunnel VPN non viene ristabilito.
92 Creazione di connessioni VPN protette
Configurazione di tunnel da gateway a gateway

Se si verifica un errore di rete, il gateway di sicurezza ristabilisce


automaticamente il tunnel VPN attraverso una porta di backup (porta WAN o
seriale). Se l'indirizzo IP del gateway di sicurezza cambia, i tunnel VPN da
gateway a gateway con il gateway remoto vengono ristabiliti utilizzando il
nuovo indirizzo IP.

Interoperabilità di tunnel VPN da gateway a gateway


Quando Symantec Gateway Security Serie 5400 o Symantec Enterprise Firewall
avvia un tunnel da gateway a gateway con un'appliance Symantec Gateway
Security Serie 300, la negoziazione ha inizio in modalità principale. Nella
definizione del tunnel VPN in Symantec Gateway Security Serie 300 la
modalità deve essere quella principale altrimenti non sarà possibile stabilire il
tunnel VPN.
Symantec Gateway Security Serie 5400 e Symantec Enterprise Firewall
accettano da un gateway remoto negoziazioni fase 1 in modalità principale o
in modalità aggressiva. L'appliance Symantec Gateway Security Serie 300 può
essere configurata per la modalità principale o aggressiva. L'impostazione
predefinita è la modalità principale. Quando viene iniziato un tunnel VPN con
Symantec Gateway Security 5400 o Symantec Enterprise Firewall, configurare
l'appliance Symantec Gateway Security Serie 300 per utilizzare la modalità
principale in modo che se l'estremità remota è l'iniziatore del tunnel, non viene
stabilita alcuna connessione.
Quando un gateway non Symantec avvia un tunnel VPN con un'appliance
Symantec Gateway Security Serie 300, questa accetta la modalità stabilita
dall'amministratore della definizione del tunnel.
Quando un'appliance Symantec Gateway Security Serie 300 avvia un tunnel
VPN con un gateway di sicurezza non Symantec, deve essere utilizzata la
modalità impostata dall'amministratore nella definizione del tunnel;
l'impostazione predefinita è la modalità principale. Se non viene utilizzata la
modalità principale, si possono verificare problemi di rekey nel caso il gateway
di sicurezza remoto tenti di eseguire prima tale operazione.

Creazione di tunnel VPN con cluster di Symantec Gateway


Security Serie 5400
Per creare un tunnel VPN con un cluster di alta disponibilità/bilanciamento del
carico di appliance Symantec Gateway Security Serie 5400, definire il tunnel
VPN utilizzando l'indirizzo IP virtuale del cluster. I tunnel tra appliance
Symantec Gateway Serie 300 e Symantec Gateway Security Serie 5400 sono
supportati solo in alta disponibilità.
Creazione di connessioni VPN protette 93
Configurazione di tunnel da gateway a gateway

Configurazione di tunnel da gateway a gateway dinamici


I tunnel dinamici, detti anche tunnel IKE (Internet Key Exchange), generano
automaticamente chiavi di autenticazione e di crittografia. Tipicamente viene
immessa una password lunga, chiamata chiave precondivisa (conosciuta anche
come segreto condiviso). Per eseguire correttamente l'autenticazione è
necessario che il gateway di sicurezza di destinazione riconosca questa chiave.
Se la chiave corrisponde, vengono generati automaticamente SPI (Security
Parameter Index), chiavi di autenticazione e di crittografia, e viene creato il
tunnel. Di solito, il gateway di sicurezza genera automaticamente una nuova
chiave (rekey) a intervalli stabiliti per garantire l'integrità costante della chiave.

Attività di configurazione per i tunnel da gateway a gateway


dinamici
La Tabella 6-4 riassume le attività necessarie per configurare tunnel VPN da
gateway a gateway dinamici.

Nota: completare due volte ciascun passaggio descritto nella Tabella 6-4: prima
per il gateway di sicurezza locale e poi per quello remoto.

Tabella 6-4 Attività di configurazione dei tunnel da gateway a gateway dinamici

Attività SGMI

Configurare una politica VPN (negoziazione VPN > Politiche VPN


IKE fase 2).
(Facoltativo)

Creare un tunnel dinamico. VPN > Tunnel dinamici

Definire parametri dell'associazione di VPN > Tunnel dinamici >


protezione IPsec. Associazione di protezione IPsec
Selezionare la politica VPN.

Definire il gateway di sicurezza locale. VPN > Tunnel dinamici > Gateway di
sicurezza locale

Definire il gateway di sicurezza remoto. VPN > Tunnel dinamici > Gateway di
sicurezza remoto

Ripetere i passaggi descritti sopra per il gateway


di sicurezza remoto.
94 Creazione di connessioni VPN protette
Configurazione di tunnel da gateway a gateway

Per aggiungere un tunnel da gateway a gateway dinamico


Vedere "Descrizioni dei campi della scheda Tunnel dinamici" a pagina 206.
1 Nel riquadro sinistro, fare clic su VPN.
2 Nella casella di testo Nome della scheda Tunnel dinamici, digitare un nome
per il nuovo tunnel.
3 Per modificare un tunnel esistente, nell'elenco a discesa Tunnel VPN,
selezionare un tunnel VPN.
4 Selezionare Attiva tunnel VPN.
5 Nell'elenco a discesa Politica VPN, selezionare una politica VPN alla quale
associare il tunnel.
6 Se si dispone di un account ISP PPPoE multisessione, nell'elenco a discesa
Sessione PPPoE in Gateway di sicurezza locale, selezionare una sessione
PPPoE alla quale associare il tunnel.
Se non è disponibile un account ISP PPPoE multisessione, saltare questo
passaggio.
7 Per il modello 360 o 360R, nell'elenco a discesa Endpoint locale, selezionare
un endpoint per il tunnel.
8 Nell'elenco a discesa Tipo ID, selezionare un Tipo ID fase 1.
9 Nella casella di testo ID fase 1, digitare l'ID fase 1.
10 In Gateway di sicurezza remoto, svolgere le seguenti operazioni:
■ Nella casella di testo Indirizzo gateway, digitare l'indirizzo del gateway
remoto.
■ Facoltativamente, nell'elenco a discesa Tipo ID, selezionare un Tipo ID
fase 1.
■ Facoltativamente, nella casella di testo ID fase 1, digitare l'ID fase 1.
■ Nella casella di testo Chiave precondivisa, digitare una chiave.
■ In ciascuna casella di testo IP subnet remota, digitare l'indirizzo IP
della rete di destinazione.
Per creare un tunnel globale, digitare 0.0.0.0.
■ In ciascuna casella di testo Mask, digitare la mask della rete di
destinazione.
Per creare un tunnel globale, digitare 255.0.0.0.
11 Fare clic su Aggiungi.
Creazione di connessioni VPN protette 95
Configurazione di tunnel da gateway a gateway

Configurazione di tunnel da gateway a gateway statici


I tunnel statici non utilizzano alcuna informazione della politica IKE globale
(negoziazione fase 1). Per stabilire il tunnel è necessario digitare manualmente
tutte le informazioni necessarie. Tuttavia, è possibile definire una politica VPN
per la negoziazione fase 2.
Nella definizione di tunnel statici, è necessario immettere una chiave di
autenticazione, oltre a una chiave di crittografia (se viene utilizzata la
crittografia). Le chiavi devono corrispondere sia sul lato client che sul lato
server della rete VPN. Inoltre, in ogni pacchetto trasmesso tra i gateway di
sicurezza viene digitato e incluso manualmente un SPI (Security Parameter
Index). L'SPI è un identificatore univoco del gateway che indica il set di chiavi
che appartiene a ciascun pacchetto.

Lunghezze delle chiavi di crittografia e di autenticazione


Quando si definisce un tunnel statico, è necessario digitare una chiave di
crittografia e una chiave di autenticazione. Ciascuna chiave ha una lunghezza
specifica basata sul metodo scelto. Per ciascun metodo, viene indicata una
lunghezza di chiave in caratteri ASCII ed esadecimali. La Tabella 6-5 definisce le
lunghezze delle chiavi di crittografia.
Tabella 6-5 Lunghezze delle chiavi di crittografia

Metodo Lunghezza della chiave in Lunghezza della chiave in


byte di caratteri esadecimale

DES 8 18 (0x + 16 cifre esadecimali)

3DES 24 50 (0x +20 cifre esadecimali)

AES-128 16 18 (0x +20 cifre esadecimali)

AES-192 24 50 (0x +20 cifre esadecimali)

AES-256 32 66 (0x +20 cifre esadecimali)

La Tabella 6-6 definisce le lunghezze delle chiavi di autenticazione.

Tabella 6-6 Lunghezze delle chiavi di autenticazione

Metodo Lunghezza della chiave in Lunghezza della chiave in


byte di caratteri esadecimale

MD5 16 34 (0x + 16 cifre esadecimali)

SHA1 20 42 (0x +20 cifre esadecimali)


96 Creazione di connessioni VPN protette
Configurazione di tunnel da gateway a gateway

Attività di configurazione per i tunnel da gateway a gateway


statici
La Tabella 6-7 riassume le attività necessarie per configurare un tunnel VPN da
gateway a gateway statico.

Nota: completare due volte ciascun passaggio descritto nella Tabella 6-7: prima
per il gateway di sicurezza locale e poi per quello remoto.

Tabella 6-7 Attività di configurazione dei tunnel da gateway a gateway statici

Attività SGMI

Configurare una politica VPN (negoziazione IKE VPN > Politiche VPN
fase 2).
(Facoltativo)

Creare un tunnel statico VPN > Tunnel statici

Definire parametri dell'associazione di VPN > Tunnel statici > Associazione


protezione IPsec di protezione IPsec

Definire il gateway di sicurezza remoto VPN > Tunnel statici > Gateway di
sicurezza remoto

Ripetere i passaggi precedenti per il gateway di


sicurezza remoto.

Per aggiungere un tunnel da gateway a gateway statico


Vedere "Descrizioni dei campi della scheda Tunnel statici" a pagina 210.
1 Nel riquadro sinistro della SGMI, fare clic su VPN.
2 Nel riquadro destro, in Associazione di protezione IPsec nella scheda
Tunnel statici, nella casella di testo Nome tunnel, digitare un nome per il
tunnel.
Per modificare un tunnel statico esistente, nell'elenco a discesa Tunnel
VPN, selezionare un tunnel VPN.
3 Selezionare Attiva tunnel VPN.
Creazione di connessioni VPN protette 97
Configurazione di tunnel da gateway a gateway

4 Se si dispone di un account ISP PPPoE multisessione, nell'elenco a discesa


Sessione PPPoE in Gateway di sicurezza locale, selezionare una sessione
PPPoE alla quale associare il tunnel. Se non è disponibile un account ISP
PPPoE multisessione, saltare questo passaggio.
5 Per il modello 360 e 360R, nell'elenco a discesa Endpoint locale, selezionare
l'endpoint per il tunnel.
6 Nella casella di testo SPI in entrata, digitare l'SPI in entrata che corrisponde
all'SPI remoto.
7 Nella casella di testo SPI in uscita, digitare l'SPI in uscita che corrisponde
all'SPI locale del lato remoto.
8 Nell'elenco a discesa Politica VPN, selezionare una politica VPN alla quale
associare il tunnel.
Utilizzare una politica VPN esistente o crearne una nuova.
Vedere "Politiche VPN" a pagina 83.
9 Nella casella di testo Chiave di crittografia, digitare la chiave di crittografia
che corrisponde alla politica VPN scelta.
La lunghezza della voce deve corrispondere alla politica VPN scelta.
10 Nella casella di testo Chiave di autenticazione, digitare la chiave di
autenticazione che corrisponde alla politica VPN scelta.
11 Nella casella di testo Indirizzo gateway in Gateway di sicurezza remoto,
digitare l'indirizzo del gateway per Symantec Enterprise VPN.
12 Accanto a Trasmissione NetBIOS, fare clic su Disattiva.
13 Accanto a Tunnel globale, fare clic su Disattiva.
14 Nelle caselle di testo IP subnet remota, digitare l'indirizzo IP della subnet
remota nella rete di destinazione.
Per creare un tunnel globale, digitare 0.0.0.0.
15 Nelle caselle di testo Mask, digitare la mask della rete di destinazione.
Per creare un tunnel globale, digitare 255.0.0.0.
16 Fare clic su Aggiungi.
98 Creazione di connessioni VPN protette
Configurazione di tunnel da client a gateway

Condivisione di informazioni con l'amministratore


del gateway remoto
La Tabella 6-8 elenca le informazioni da fornire all'amministratore
dell'appliance con la quale si sta creando un tunnel da gateway a gateway.
Tabella 6-8 Informazioni da fornire all'amministratore del gateway remoto

Informazioni Valore

Indirizzo IP

Chiave di autenticazione
(tunnel statico)

Chiave di crittografia
(tunnel statico)

SPI (tunnel statico)

Chiave precondivisa

Subnet/mask locale

Metodo di crittografia della politica VPN

Metodo di autenticazione della politica VPN

(Facoltativo) ID fase 1 locale

Configurazione di tunnel da client a gateway


I tunnel VPN da client a gateway consentono a utenti remoti di eseguire il
software Symantec Client VPN (o qualsiasi software client VPN compatibile
IPsec) per stabilire connessioni sicure attraverso Internet con una rete protetta
da un gateway di sicurezza Symantec.

Tunnel VPN da client a gateway


Symantec Gateway Security Serie 300 supporta configurazioni di tunnel VPN
da client a gateway. Questo tipo di configurazione viene creata quando una
workstation che esegue il software Symantec Client VPN si connette al gateway
di sicurezza dall'interno della rete protetta o da una posizione remota attraverso
Internet.
Creazione di connessioni VPN protette 99
Configurazione di tunnel da client a gateway

Nota: i client wireless possono utilizzare tunnel da client a gateway per


proteggere le proprie connessioni. Vedere la Guida all'implementazione di
Symantec Gateway Security Serie 300.

Una volta stabilito un tunnel VPN, gli utenti remoti possono connettersi e
accedere in modo sicuro alle risorse della rete privata, attraverso Internet, come
se la workstation remota fosse situata fisicamente all'interno della rete protetta
(vedere la Figura 6-2).

Figura 6-2 Configurazione di tunnel VPN da client a gateway

Symantec Client VPN (LAN)

Internet
Symantec Gateway Symantec Client VPN (LAN)
Symantec Client VPN (WAN) Security Serie 300

Symantec Client VPN (LAN)

In questo diagramma, viene mostrato un client che stabilisce in modalità


remota un tunnel (WAN) e tre client interni che stabiliscono un tunnel
internamente (LAN).
Per ciascun gruppo VPN, è possibile definire impostazioni di rete da scaricare
al client durante la modalità di configurazione fase 1. Le impostazioni
comprendono i server DNS primario e secondario, i server WINS e il controller
di dominio primario. Trasmettendo queste informazioni ai client durante la
modalità di configurazione si eviterà che ciascuno debba configurarle
autonomamente, facendo risparmiare tempo di gestione e riducendo le
possibilità di errore.
Per i tunnel client VPN dal lato LAN, l'unica subnet alla quale può accedere il
client è quella definita nella finestra IP LAN.
Vedere "Configurazione delle impostazioni IP LAN" a pagina 58.
I tunnel VPN da client a gateway di Symantec richiedono un ID client e una
chiave condivisa. Per fornire un ulteriore livello di autenticazione ai tunnel VPN
da client a gateway è anche possibile applicare l'autenticazione estesa
utilizzando un server RADIUS.
100 Creazione di connessioni VPN protette
Configurazione di tunnel da client a gateway

Vedere "Definizione degli utenti" a pagina 87.


Nella configurazione di tunnel VPN è possibile definire due tipi di utenti da
client a gateway: dinamico e statico.
Vedere "Identificazione degli utenti" a pagina 86.

Tunnel globali
Quando un client stabilisce un tunnel VPN nella LAN, viene configurato un
tunnel globale (0.0.0.0) per il client. Questo impone che tutto il traffico client
attraverso il tunnel VPN termini all'appliance. Ciò è utile nelle reti non
attendibili, quali quelle wireless, per mantenere la protezione del traffico.
Quando si stabilisce un tunnel nella WAN, la subnet dell'appliance (per
impostazione predefinita 192.168.0.0) viene configurata in modo che il client
consenta una suddivisione del tunnel che gli permette di accedere direttamente
a Internet inviando attraverso il tunnel VPN solo il traffico destinato alla LAN.

Attività di configurazione per i tunnel VPN da client a


gateway
La Tabella 6-9 riassume le attività necessarie per configurare un tunnel VPN da
client a gateway.

Tabella 6-9 Attività di configurazione di tunnel VPN da client a gateway

Attività SGMI

Configurare una politica VPN (negoziazione IKE VPN > Politiche VPN
fase 2). Questa attività è facoltativa.

Identificare gli utenti remoti. VPN > Utenti client > Identità
utente VPN

Attivare tunnel client per il gruppo VPN VPN > Tunnel client > Definizione
selezionato. tunnel gruppo

Facoltativamente, configurare parametri di rete VPN > Tunnel client > Parametri
VPN (trasmessi al client durante le rete VPN
negoziazioni).

Facoltativamente, configurare l'autenticazione VPN > Tunnel client > Autenticazione


RADIUS. utente estesa
VPN > Avanzate > Impostazioni
RADIUS
Creazione di connessioni VPN protette 101
Configurazione di tunnel da client a gateway

Tabella 6-9 Attività di configurazione di tunnel VPN da client a gateway

Attività SGMI

Facoltativamente, configurare l'applicazione VPN > Tunnel client > Politica


della politica antivirus. antivirus

Selezionare la politica VPN da applicare al VPN > Avanzate > Impostazioni client
tunnel. VPN globale

Definizione di tunnel VPN client


In questa sezione viene descritto come definire tunnel VPN client. Questa
operazione è costituita dalle seguenti attività:
■ Attivazione di tunnel client per gruppi VPN selezionati finalizzati a
connessioni WAN e/o connessioni LAN/WLAN
■ Configurazione di parametri di rete VPN che vengono trasmessi alla VPN
client durante le negoziazioni del tunnel (facoltativa)
■ Configurazione dell'autenticazione RADIUS (facoltativa)
■ Configurazione dell'applicazione della politica antivirus (facoltativa)
■ Configurazione del filtro dei contenuti (facoltativa)
Se si attiva il filtro dei contenuti per i client VPN dal lato WAN, è necessario
disporre di server DNS nella LAN locale. In Symantec Client VPN versione
8.0, è possibile definire due differenti tunnel: uno per WAN che utilizza il
nome di dominio, e uno per LAN, che utilizza l'indirizzo IP. Quindi, inserire
tali tunnel in un gruppo di gateway. In questo modo, quando si crea il
tunnel, se il primo non riesce (ad esempio, perché non è possibile risolvere il
nome), per la connessione può essere utilizzato l'indirizzo IP.
Vedere il Manuale dell'utente di Symantec Client VPN.

Per definire tunnel client


Vedere "Descrizioni dei campi della scheda Tunnel client" a pagina 213.
1 Nel riquadro sinistro della SGMI, fare clic su VPN.
2 Nel riquadro destro, in Definizione tunnel gruppo nella scheda Tunnel
client, nell'elenco a discesa Gruppo VPN, selezionare un gruppo VPN.
3 Per attivare VPN client per il gruppo VPN scelto sulle connessioni WAN o
WLAN/LAN, fare clic su una o entrambe le seguenti opzioni:
■ Attiva VPN client sul lato WAN
■ Attiva VPN client sul lato WLAN/LAN
102 Creazione di connessioni VPN protette
Configurazione di tunnel da client a gateway

4 Facoltativamente, nella casella di testo DNS primario in Parametri rete


VPN, digitare il nome del server DNS primario.
5 Facoltativamente, nella casella di testo DNS secondario, digitare il nome del
server DNS secondario.
DNS (Domain Name System) è un servizio Internet che traduce i nomi di
dominio in indirizzi IP.
6 Facoltativamente, nella casella di testo WINS primario, digitare il nome del
server WINS primario.
Questo passaggio è facoltativo. WINS (Windows Internet Naming Service) è
un sistema che determina l'indirizzo IP associato a un particolare computer
di rete.
7 Facoltativamente, nella casella di testo WINS secondario, digitare il nome
del server WINS secondario.
8 Facoltativamente, nella casella di testo PDC (Primary Domain Controller),
digitare il nome del controller di dominio primario.
9 (Facoltativo) In Autenticazione utente estesa, selezionare Attiva
autenticazione utente estesa.
10 (Facoltativo) Nella casella di testo Binding gruppo RADIUS, digitare il nome
per Binding gruppo RADIUS.
Il nome Binding gruppo RADIUS deve corrispondere al parametro ID di
filtro restituito dal server RADIUS.
11 Per attivare AVpe, in Politica client WAN, svolgere le seguenti operazioni:
■ Selezionare Attiva applicazione politica antivirus.
■ Per registrare un avviso nel registro di Symantec Gateway Security per
segnalare che un utente che si sta connettendo non è conforme con la
politica antivirus, fare clic su Avvisa solo.
■ Per bloccare il traffico degli utenti che non sono conformi con la
politica antivirus, fare clic su Blocca connessioni.
12 Per attivare il filtro dei contenuti, in Politica client WAN, svolgere le
seguenti operazioni:
■ Selezionare Attiva filtro dei contenuti.
■ Per autorizzare traffico specifico e bloccare tutto il rimanente, fare clic
su Utilizza elenco di autorizzazioni.
■ Per bloccare traffico specifico e autorizzare tutto il rimanente, fare clic
su Utilizza elenco di divieti.
13 Fare clic su Aggiorna.
Creazione di connessioni VPN protette 103
Configurazione di tunnel da client a gateway

Impostazioni di politica globali per i tunnel VPN da client a gateway


Alcune impostazioni possono essere configurate a livello globale per i tunnel
VPN da client a gateway. Queste impostazioni consentono di configurare il tipo
di ID fase 1 per tutti i tunnel VPN client che si connettono al gateway di
sicurezza.
Queste impostazioni sono condivise da tutte e tre i gruppi VPN.

Per stabilire impostazioni di politica globali per i tunnel VPN da client


a gateway
Vedere "Descrizioni dei campi della scheda Avanzate" a pagina 189.
1 Nel riquadro sinistro della SGMI, fare clic su VPN.
2 Nel riquadro destro, in Impostazioni client VPN globale nella scheda
Avanzate, svolgere le seguenti operazioni.
■ Nell'elenco a discesa Tipo ID fase 1 gateway locale, selezionare un tipo
di ID.
■ Nella casella di testo ID fase 1 gateway locale, digitare il valore che
corrisponde al tipo di ID selezionato.
■ Nell'elenco a discesa Politica VPN, selezionare una politica VPN da
applicare a tutti i tunnel client.
3 In Impostazioni client VPN dinamico, svolgere le seguenti operazioni:
■ Per attivare utenti dinamici per tutti e tre i gruppi VPN, fare clic su
Attiva tunnel client VPN dinamici.
■ Nella casella di testo Chiave precondivisa, digitare una stringa di
caratteri per la chiave.
4 Fare clic su Salva.

Condivisione di informazioni con i client


Dopo avere configurato il tunnel VPN da client a gateway, è necessario
comunicare le informazioni sul gateway ai client in modo che possano
connettersi. Utilizzare la Tabella 6-10 per registrare le informazioni da fornire
ai client per la connessione al gateway di sicurezza.

Tabella 6-10 Informazioni da fornire ai client

Informazioni Valore

Indirizzo IP o nome di dominio completo


del gateway
104 Creazione di connessioni VPN protette
Monitoraggio dello stato del tunnel VPN

Tabella 6-10 Informazioni da fornire ai client (Continua)

Informazioni Valore

Chiave precondivisa (utente) Condividere queste informazioni solo a


voce o tramite altro metodo sicuro.

ID client

Nome utente RADIUS


(Facoltativo)

Segreto condiviso RADIUS (utente con


autenticazione estesa)
(Facoltativo)

ID fase 1
(Facoltativo)

Monitoraggio dello stato del tunnel VPN


La finestra Stato VPN consente di visualizzare lo stato di ciascun tunnel VPN da
gateway a gateway dinamico e statico configurato. Lo stato dei tunnel statici è
Attivato o Disattivato; lo stato di quelli dinamici è Connesso, Attivato o
Disattivato. Lo stato dei tunnel statici non è mai connesso perché per questi non
esiste alcuna negoziazione.
Le informazioni nella finestra Stato sono aggiornate nel momento in cui
viene selezionata. Durante la consultazione le condizioni possono cambiare.
È possibile aggiornare le informazioni per visualizzare le condizioni più recenti.

Per monitorare lo stato del tunnel VPN


È possibile monitorare lo stato del tunnel verificando entrambe le estremità del
tunnel o monitorando la finestra Stato.
Vedere "Descrizioni dei campi della scheda Stato" a pagina 218.

Per verificare che il tunnel sia operativo su entrambe le estremità


◆ Da un host locale, eseguire un comando PING su un computer situato nella
rete remota.

Per aggiornare le informazioni nella finestra Stato


1 Nel riquadro sinistro della SGMI, fare clic su VPN.
2 Nel riquadro destro, nella parte inferiore della finestra Stato nella scheda
Stato, fare clic su Aggiorna.
Capitolo 7
Controllo avanzato del
traffico di rete
Questo capitolo comprende i seguenti argomenti:

■ Funzionamento dell'applicazione della politica antivirus (AVpe)

■ Prima di configurare AVpe

■ Configurazione di AVpe

■ Monitoraggio dello stato antivirus

■ Verifica del funzionamento della AVpe

■ Informazioni sul filtro dei contenuti

■ Gestione degli elenchi di filtro dei contenuti


■ Monitoraggio del filtro dei contenuti
Le funzionalità avanzate di controllo del traffico di rete dell'appliance Symantec
Gateway Security Serie 300 comprendono l'applicazione politica antivirus
(AVpe, AntiVirus policy enforcement) e il filtro dei contenuti.
La funzionalità AVpe consente di monitorare le configurazioni antivirus dei
client e, se necessario, applicare politiche di sicurezza per limitare l'accesso alla
rete solamente ai client che sono protetti da software antivirus con le definizioni
dei virus definite dalla politica principale.
L'appliance supporta anche una semplice funzione di filtro del traffico in uscita
finalizzata a limitare gli indirizzi URL ai quali possono accedere i client. Ad
esempio, per limitare agli utenti la consultazione di siti che si occupano di giochi
d'azzardo, è possibile configurare il filtro dei contenuti per negare l'accesso agli
URL di questo tipo specificati.
106 Controllo avanzato del traffico di rete
Funzionamento dell'applicazione della politica antivirus (AVpe)

Funzionamento dell'applicazione della politica


antivirus (AVpe)
AVpe monitorizza la configurazione antivirus delle workstation client e master
di politica Symantec supportate che tentano di accedere alla rete aziendale.
Consultare le Note di rilascio di Symantec Gateway Security Serie 300 per
informazioni sulla versione del prodotto utilizzato al fine di determinare i
prodotti antivirus supportati e le differenze di configurazione e utilizzo rispetto
a quanto descritto di seguito.
AVpe funziona in due ambienti diversi: una rete con server Symantec AntiVirus
Corporate Edition interno che mantiene informazioni antivirus o una rete di
client non gestiti.
Se la rete è dotata di un server Symantec AntiVirus Corporate Edition interno,
quando si configura AVpe occorre designare un server antivirus primario e,
facoltativamente, uno secondario accessibili attraverso connessioni LAN o
WAN. Se la rete è dotata di client non gestito, occorre designare un client master
in relazione al quale e tutti gli altri verificano le proprie versioni.
La prima volta che un client interno richiede una connessione DHCP, tenta una
connessione esterna o ogni qualvolta un client avvia un tunnel VPN (originato
dalla LAN o in modalità remota attraverso Internet), l'appliance richiama la
configurazione della politica antivirus del client e la confronta con i requisiti
della politica antivirus corrente. Se il client non è conforme, il traffico viene
segnalato o bloccato, a seconda della configurazione della Avpe, e viene
registrato un messaggio.
È possibile configurare l'appliance per monitorare le configurazioni di client o
server a intervalli specificati (l'impostazione predefinita è ogni 10 minuti).
Quando il client è connesso, l'appliance ne ricontrolla la conformità antivirus a
intervalli definiti dall'utente. Dopo l'intervallo specificato (l'impostazione
predefinita è otto ore), i client vengono interrogati per verificarne la conformità.
Se il master della politica antivirus indica che sono stati eseguiti aggiornamenti,
ai client viene concesso un margine di otto ore (l'intervallo predefinito di
LiveUpdate nei client non gestiti) durante il quale saranno ancora conformi se
dispongono dell'ultima versione delle definizioni del master della politica
antivirus. Trascorso questo periodo, i client saranno considerati non conformi
con la politica antivirus.
Controllo avanzato del traffico di rete 107
Funzionamento dell'applicazione della politica antivirus (AVpe)

La Tabella 7-1 descrive la conformità del client e le azioni conseguenti.


Tabella 7-1 Azioni di conformità del client

Situazione del client Azione

Conforme con le politiche Al client viene autorizzato l'accesso al firewall.


antivirus correnti

La protezione antivirus è La connessione viene autorizzata, ma l'appliance registra


obsoleta un avviso o blocca completamente l'accesso, a seconda
dell'opzione selezionata.

I client ai quali è stato negato l'accesso possono comunque connettersi a


Symantec AntiVirus Corporate Edition o ai server di Symantec LiveUpdate per
aggiornare le definizioni dei virus.
Per determinare se applicare la conformità antivirus per i client locali è possibile
utilizzare i gruppi di computer. Tutti i client locali appartengono a gruppi di
computer. Per ciascun gruppo, è possibile attivare o meno AVpe. Lo stato AVpe
predefinito per tutti i gruppi di computer è disattivato. Vedere "Computer e
gruppi di computer" a pagina 64.
Se sono attivati contemporaneamente il filtro dei contenuti e l'applicazione
politica antivirus, solo nell'elaborazione del traffico in uscita il primo ha la
precedenza rispetto all'applicazione politica antivirus. Se si verifica una
violazione del filtro dei contenuti e a un client viene bloccata la consultazione,
viene registrato un messaggio e non viene elaborata alcuna regola di
applicazione politica antivirus.
AVpe è supportata solo per le connessioni in uscita e client VPN.

Nota: i client UNIX/Linux o quelli non un client antivirus non supportato devono
essere inseriti in un gruppo di computer senza AVpe.
108 Controllo avanzato del traffico di rete
Prima di configurare AVpe

Prima di configurare AVpe


Prima di configurare l'appliance Symantec Gateway Security Serie 300,
assicurarsi di svolgere le seguenti operazioni:
■ Includere le esigenze AVpe nella strategia delle assegnazioni dei gruppi.
AVpe è supportata solamente per le connessioni in uscita e client VPN.
Determinare i client di cui verranno controllate le definizioni dei virus e
quelli eventuali ai quali verrà autorizzato l'accesso condizionato o
incondizionato alla rete. Quindi assegnare gli utenti ai gruppi di accesso o
VPN appropriati e selezionare se saranno segnalati o bloccati i client non
conformi che tentano di accedere alla rete locale.

Nota: i client UNIX/Linux o quelli non un client antivirus non supportato


devono essere inseriti in un gruppo di computer senza AVpe.

Vedere "Definizione dei gruppi di computer" a pagina 67 o "Visualizzazione


dell'Elenco utenti" a pagina 89.
■ Se si intende utilizzare server Symantec AntiVirus Corporate Edition,
ottenere il nome dei server primario e secondario (facoltativo) utilizzati
nella rete.
■ Se la rete è composta di client non gestiti che accedono direttamente a
LiveUpdate per gli aggiornamenti antivirus, decidere quale client designare
come master. Il master deve essere sempre acceso, avere un client antivirus
Symantec attivo e una connessione a Internet dalla quale scaricare gli
aggiornamenti delle definizioni dei virus.
■ Se la topologia di rete comprende una configurazione nella quale vi sono
workstation client situate dietro un firewall enclave, e tale firewall esegue la
conversione degli indirizzi che modifica l'effettivo indirizzo IP dei client, il
gateway di sicurezza non è in grado di comunicare con il client, fattore
necessario per convalidare le definizioni dei virus. In una tale
configurazione, il gateway di sicurezza contatta il firewall, non il client.
■ Assicurarsi che il traffico non venga bloccato da un firewall personale.
È necessario autorizzare UDP/porta 2967 su tutti i firewall personali.
Questa impostazione è predefinita in Symantec Client VPN versione 8.0.
Controllo avanzato del traffico di rete 109
Configurazione di AVpe

Configurazione di AVpe
La configurazione di AVpe per un ambiente Symantec AntiVirus Corporate
Edition e una rete di soli client è simile.
La configurazione dei server Symantec AntiVirus Corporate Edition comporta le
seguenti attività:
■ Definizione della posizione del server Symantec AntiVirus primario e
secondario (facoltativo), e verifica che sui computer client sia installato il
client Symantec AntiVirus Corporate Edition e che le definizioni dei virus e
il motore di scansione siano aggiornati.
Vedere "Configurazione di AVpe" a pagina 109.
■ Attivazione della AVpe per gruppi di computer o VPN.
Vedere "Attivazione della AVpe" a pagina 110.
La configurazione di reti con client antivirus non gestiti, cioè senza Symantec
AntiVirus Corporate Edition, comporta lo svolgimento delle seguenti attività:
■ Definizione della posizione del client master della politica e verifica che
questo disponga di un client antivirus Symantec installato e supportato e
che le definizioni dei virus e il motore di scansione sui computer client siano
aggiornati.
■ Attivazione della AVpe per gruppi di computer o VPN.
Vedere "Attivazione della AVpe" a pagina 110.
■ Configurazione dei client AV.
Vedere "Configurazione dei client antivirus" a pagina 112.

Per configurare l'applicazione della politica antivirus


Vedere "Descrizioni dei campi della scheda AVpe (Applicazione politica
antivirus)" a pagina 223.
1 Nel riquadro sinistro della SGMI, fare clic su Politica antivirus.
2 Nel riquadro destro della casella di testo Master AV primario, in Posizione
server, digitare l'indirizzo IP o il nome di dominio completo del server
antivirus primario o del client master.
3 Facoltativamente, nella casella di testo Master AV secondario, digitare
l'indirizzo IP o il nome di dominio completo di un server antivirus di
backup, se supportato nell'ambiente.
4 Nella casella di testo Interroga masterAV ogni, digitare un intervallo (in
minuti) utilizzato dall'appliance per controllare le definizioni dei virus sul
server antivirus.
5 Per forzare un aggiornamento manuale, fare clic su Interroga master.
110 Controllo avanzato del traffico di rete
Configurazione di AVpe

6 Accanto a Verifica che client AV sia attivo in Convalida politica, selezionare


una delle seguenti opzioni:
■ Motore prodotto più recente
Consente di controllare la configurazione antivirus di un client per
accertare che utilizzi un prodotto antivirus Symantec supportato con il
motore di scansione più recente.
■ Qualsiasi versione
Consente di controllare la configurazione antivirus di un client per
verificare che sia installata la versione corretta di un prodotto antivirus
Symantec supportato.
7 Per consentire all'appliance di convalidare se un client sta utilizzando le
definizioni dei virus più recenti, selezionare Verifica definizioni dei virus
più recenti.
8 Nella casella di testo Interroga client AV ogni, digitare un intervallo (in
minuti) utilizzato dall'appliance per convalidare se i client utilizzano
definizioni dei virus aggiornate.
9 Fare clic su Salva.

Attivazione della AVpe


AVpe viene applicata a livello di gruppo di computer e di gruppo VPN. Per
attivare la AVpe, è necessario innanzitutto selezionare un gruppo, quindi
attivare AVpe una volta per tutti i membri che lo compongono. Si può anche
decidere se avvisare o bloccare completamente l'accesso WAN ai client se la
relativa configurazione antivirus non è conforme con le politiche di sicurezza
previste.

Per attivare AVpe


Dopo avere configurato AVpe, è necessario attivarla per ciascun gruppo di
computer o di VPN.

Nota: l'attivazione di AVpe per i gruppi VPN è riservata solo ai client WAN.
L'AVpe per i client VPN LAN viene attivata attraverso i gruppi di computer nella
sezione Firewall.
Vedere "Definizione dell'appartenenza ai gruppi di computer" a pagina 65.
Vedere "Definizione di tunnel VPN client" a pagina 101.
Controllo avanzato del traffico di rete 111
Configurazione di AVpe

Vedere "Descrizioni dei campi della scheda Gruppi di computer" a pagina 194.
Vedere "Descrizioni dei campi della scheda Tunnel client" a pagina 213.

Per attivare l'applicazione della politica antivirus per gruppi di computer


1 Nel riquadro sinistro della SGMI, fare clic su Firewall.
2 In Politica di sicurezza nella scheda Gruppi di computer, nell'elenco a
discesa Gruppo di computer, selezionare il gruppo di computer per il quale
attivare la AVpe.
3 In Applicazione politica antivirus, selezionare Attiva applicazione politica
antivirus, quindi svolgere una delle seguenti operazioni:
■ Per registrare avvisi relativamente ai client con definizioni dei virus
obsolete, fare clic su Avvisa solo.
■ Per bloccare completamente le connessioni dai client con definizioni
dei virus obsolete, fare clic su Blocca connessioni.
4 Fare clic su Salva.
5 Ripetere i passaggi da 2 a 6 per attivare la AVpe per ciascun gruppo di
computer.

Per attivare l'applicazione della politica antivirus per gruppi VPN


1 Nel riquadro sinistro della SGMI (Security Gateway Management Interface),
fare clic su VPN.
2 In Definizione tunnel gruppo nella scheda Tunnel client, nell'elenco a
discesa Gruppo VPN, selezionare il gruppo VPN per il quale attivare
la AVpe.
3 In Politica client WAN, selezionare Attiva applicazione politica antivirus,
quindi svolgere una delle seguenti operazioni:
■ Per registrare avvisi relativamente ai client con definizioni dei virus
obsolete, fare clic su Avvisa solo.
■ Per bloccare completamente le connessioni dai client con definizioni
dei virus obsolete, fare clic su Blocca connessioni.
4 Fare clic su Salva.
5 Ripetere i passaggi da 2 a 6 per attivare la AVpe per ciascun gruppo VPN.
112 Controllo avanzato del traffico di rete
Monitoraggio dello stato antivirus

Configurazione dei client antivirus


Se i client nella rete non sono gestiti e utilizzano LiveUpdate per installare gli
aggiornamenti delle definizioni dei virus e dei motori, è necessario configurare
ciascun client prima che possa essere convalidato mediante la AVpe. In ciascun
client da convalidare tramite la AVpe deve essere installato in modalità non
gestita un prodotto antivirus Symantec supportato.
Quando si disinstalla il software client, vengono rimosse anche le chiavi di
registro che vengono create da questa procedura.

Avvertimento: non utilizzare questa procedura per client gestiti da un server


Symantec AntiVirus.

Per configurare i client AV


1 Installare o configurare in modalità non gestita il prodotto antivirus
Symantec supportato di ciascun client.
2 Inserire il CD-ROM di Symantec Gateway Security Serie 300 nell'unità
CD-ROM di un computer client.
3 Nella cartella Tools, copiare SGS300_AVpe_client_Activation.reg sul
desktop del client.
4 Fare doppio clic sul file.
5 Ripetere i passaggi da 2 a 4 per ciascun client che deve essere convalidato
mediante la Avpe.

Monitoraggio dello stato antivirus


Le sezioni Stato master AV e Stato client della scheda AVpe consentono di
ottenere uno stato operativo dei master antivirus primario e secondario e dei
client configurati nella rete.
Qualsiasi modifica apportata alla configurazione del server antivirus primario o
secondario, dopo il salvataggio viene riflessa nel campo Stato master AV.
Controllo avanzato del traffico di rete 113
Verifica del funzionamento della AVpe

Messaggi del registro


Quando si attiva la AVpe e una connessione client viene negata (bloccata o
segnalata), viene registrato un messaggio. È possibile visualizzare
periodicamente questi messaggi del registro per monitorare il traffico.

Per visualizzare i messaggi di registro della AVpe


Vedere "Descrizioni dei campi della scheda Visualizza registro" a pagina 162.
1 Nel riquadro sinistro della SGMI (Security Gateway Management Interface),
fare clic su Registrazione/Monitoraggio.
2 Nella scheda Visualizza registro, fare clic su Aggiorna.

Verifica del funzionamento della AVpe


Dopo avere attivato la AVpe, è possibile verificarne il funzionamento
disattivando Symantec AntiVirus Corporate Edition in una workstation client e
poi tentando di connettersi alla rete locale. Se l'applicazione politica antivirus è
configurata correttamente, in assenza di software antivirus di Symantec
attivato, tutti i tentativi di connessione devono venire bloccati o segnalati.
Lo stato del server antivirus secondario viene visualizzato solo se il server
primario non è raggiungibile.

Nota: la workstation client non riceve alcuna notifica dell'accesso bloccato alla
rete e viene registrato un messaggio relativo all'evento.

Per verificare il funzionamento dell'applicazione della politica antivirus


Vedere "Descrizioni dei campi relativi a registrazione/monitoraggio" a
pagina 159.
1 Disinstallare Symantec AntiVirus Corporate Edition da una workstation
client che è stata configurata come parte di un gruppo di computer con la
AVpe attivata e il blocco delle connessioni.
2 Aprire un browser Web e tentare di connettersi a www.symantec.com.
Il tentativo di connessione dovrebbe non riuscire e tutte le comunicazioni
attraverso il firewall dovrebbero essere bloccate.
3 Nel riquadro sinistro della SGMI (Security Gateway Management Interface),
fare clic su Registrazione/Monitoraggio.
114 Controllo avanzato del traffico di rete
Informazioni sul filtro dei contenuti

4 Fare clic su Visualizza registro e controllare la presenza di un messaggio di


avviso indicante che tutti tentativi di connessione di un particolare client
sono stati bloccati a causa di non conformità con la politica.
Se il messaggio è presente, allora la funzionalità AVpe è configurata e
funziona correttamente.
5 Se è possibile connettersi a www.symantec.com, ricontrollare la
configurazione delle impostazioni e le assegnazioni di gruppo della AVpe.
Assicurarsi di avere disinstallato Symantec AntiVirus Corporate Edition
dalla workstation client e che questa sia membro di un gruppo con la AVpe
attivata e con il blocco delle connessioni. Riprovare i passaggi da 1 a 4
descritti sopra.

Informazioni sul filtro dei contenuti


Symantec Gateway Security Serie 300 supporta una semplice funzione di filtro
del traffico in uscita finalizzata a limitare i contenuti ai quali possono accedere i
client. Ad esempio, per limitare agli utenti la consultazione di siti che si
occupano di giochi d'azzardo, è possibile configurare il filtro dei contenuti per
negare l'accesso agli URL di questo tipo specificati.
Il filtro dei contenuti è amministrato attraverso i gruppi di computer e i gruppi
VPN. Un gruppo di computer viene definito nella sezione Firewall e a tutti i
relativi membri vengono applicate le stesse regole. Analogamente, un gruppo
VPN è un gruppo di utenti VPN definito nella sezione VPN al quale vengono
applicate le stesse regole. Quando si definisce un gruppo di computer, occorre
specificare se questo utilizza un elenco di autorizzazioni o di divieti per il filtro
dei contenuti. Gli elenchi di divieti (liste nere) bloccano l'accesso interno ai siti
indicati e lo autorizza a tutti gli altri. Gli elenchi di autorizzazioni (liste bianche)
consentono l'accesso interno ai siti indicati e lo bloccano a tutti gli altri.

Nota: per impostazione predefinita, il filtro dei contenuti è disattivato per tutti i
gruppi di computer.

L'elenco di autorizzazioni permette il passaggio del traffico verso i siti che


corrispondono esattamente alle voci indicate. Il motore di filtro dei contenuti
ignora le richieste di connessione inviate a una destinazione non corrispondente
alle voci presenti nell'elenco. Se l'elenco di autorizzazioni è vuoto, tutto il
traffico è bloccato.
Se l'elenco di divieti è vuoto, il traffico non viene filtrato. Dopo avere aggiunto le
voci all'elenco dei divieti, il motore di filtro dei contenuti ignora le richieste di
connessione inviate a una destinazione che corrisponde esattamente a una di
quelle indicate. Il traffico che non corrisponde a una voce viene autorizzato.
Controllo avanzato del traffico di rete 115
Gestione degli elenchi di filtro dei contenuti

Considerazioni speciali
Quando sono entrambe attivate, la funzione di filtro dei contenuti viene eseguita
prima dell'AVpe. Se il filtro dei contenuti determina il blocco di una
connessione, AVpe non viene elaborata; viene registrato solo il messaggio
relativo al filtro dei contenuti.
Se vengono apportate modifiche al filtro dei contenuti nell'appliance, azzerare
le cache DNS e del browser sul computer client. Se un client accede a un URL al
quale la modifica delle impostazioni di filtro dei contenuti vieta ora l'accesso, è
possibile che venga utilizzata la cache consentendo al client di accedervi.
Consultare la documentazione del sistema operativo per informazioni
sull'azzeramento delle cache DNS e la documentazione del browser per
l'azzeramento della relativa cache.
Se si attiva il filtro dei contenuti per i client VPN dal lato WAN, è necessario
disporre di server DNS nella LAN locale.

Gestione degli elenchi di filtro dei contenuti


Quando si creano elenchi di autorizzazioni o di divieti, occorre fornire i nomi di
dominio completi da autorizzare o da vietare. L'appliance filtra il traffico
controllando le richieste di ricerca DNS. Affinché si verifichi un'azione di blocco
o di autorizzazione deve esistere una corrispondenza esatta con la destinazione.
Per disporre di funzionalità di caratteri jolly, specificare solo il nome di dominio
dei siti specifici nell'elenco di autorizzazioni o di divieti. Ad esempio, per
autorizzare il traffico verso qualsiasi sito di Symantec, aggiungere
symantec.com all'elenco delle autorizzazioni. In tal modo viene autorizzato il
traffico verso liveupdate.symantec.com, www.symantec.com,
fileshare.symantec.com e così via.
Il filtro dei contenuti viene applicato a tutto il traffico in uscita, non solo a quello
HTTP (Web).

Considerazioni speciali
Se un sito o un gateway di sicurezza utilizza il reindirizzamento per trasferire
gli utenti da un URL a un altro, è necessario includere entrambi gli URL
nell'elenco. Ad esempio, www.disney.com reindirizza gli utenti verso
www.disney.go.com. Per autorizzare gli utenti a visualizzare questo sito Web, è
necessario specificare nell'elenco delle autorizzazioni sia www.disney.com, sia
www.disney.go.com.
116 Controllo avanzato del traffico di rete
Gestione degli elenchi di filtro dei contenuti

Se un sito introduce contenuti di altri siti, è necessario aggiungere entrambi gli


URL all'elenco. Ad esempio, www.cnn.com utilizza contenuti provenienti da
www.cnn.net.

Per gestire gli elenchi di autorizzazioni e di divieti


Per impostazione predefinita, gli elenchi di autorizzazioni e di divieti sono vuoti.
Ciascun elenco di filtro può contenere fino a 100 voci, ciascuna lunga fino a un
massimo di 128 caratteri.
Vedere "Descrizioni dei campi relativi al filtro di contenuti" a pagina 228.

Per aggiungere un URL a un elenco di autorizzazioni o di divieti


1 Nel riquadro sinistro, fare clic su Filtro dei contenuti.
2 Accanto a Tipo di elenco in Seleziona elenco, selezionare Autorizza o Nega.
3 Nella casella di testo Immettere URL, digitare il nome di un sito da
aggiungere all'elenco. Ad esempio, tuosito.com o miosito.com/immagini/
me.html.
4 Fare clic su Aggiungi.
Ripetere i due passaggi precedenti finché non sono stati aggiunti tutti gli
URL all'elenco.
5 Fare clic su Salva elenco.

Per rimuovere un URL da un elenco di autorizzazioni o di divieti


1 Nel riquadro sinistro, fare clic su Filtro dei contenuti.
2 Nell'elenco a discesa Elimina URL, selezionare l'URL da eliminare.
3 Fare clic su Elimina voce.
4 Fare clic su Salva elenco.
Controllo avanzato del traffico di rete 117
Monitoraggio del filtro dei contenuti

Attivazione del filtro dei contenuti per la LAN


Dopo avere configurato gli elenchi di autorizzazioni o di divieti, è necessario
attivare il filtro dei contenuti per ciascun gruppo di computer interessato.
Vedere "Definizione dell'accesso in entrata" a pagina 68.

Per attivare il filtro dei contenuti per un gruppo di computer


Vedere "Descrizioni dei campi della scheda Gruppi di computer" a pagina 194.
1 Nel riquadro sinistro, fare clic su Firewall.
2 In Politica di sicurezza nella scheda Gruppi di computer, nell'elenco a
discesa Gruppo di computer, selezionare il gruppo di computer per il quale
attivare il filtro dei contenuti.
3 In Filtro dei contenuti, selezionare Attiva filtro dei contenuti.
4 Svolgere una delle seguenti operazioni:
■ Per filtrare i contenuti in base all'elenco di divieti, fare clic su Utilizza
elenco di divieti.
■ Per filtrare i contenuti in base all'elenco di autorizzazioni, fare clic su
Utilizza elenco di autorizzazioni.
5 Fare clic su Salva.

Attivazione del filtro dei contenuti per la WAN


Il filtro dei contenuti per la WAN viene attivato attraverso tunnel client VPN.
Vedere "Definizione di tunnel VPN client" a pagina 101.

Monitoraggio del filtro dei contenuti


Il filtro dei contenuti registra un messaggio nei file di registro se i pacchetti
vengono ignorati a causa del tentativo di un utente di accedere a un URL
presente nell'elenco dei divieti o del tentativo di accedere a un URL non
autorizzato dall'elenco delle autorizzazioni. Vedere "Registrazione,
monitoraggio e aggiornamenti" a pagina 123.
118 Controllo avanzato del traffico di rete
Monitoraggio del filtro dei contenuti

È possibile visualizzare gli URL e il relativo stato presenti negli elenchi di


autorizzazioni o di divieti.

Per visualizzare un elenco di URL nell'elenco di autorizzazioni o di divieti


Vedere "Descrizioni dei campi relativi al filtro di contenuti" a pagina 228.
1 Nel riquadro sinistro, fare clic su Filtro dei contenuti.
2 In Tipo di elenco in Seleziona elenco, svolgere una delle seguenti
operazioni:
■ Per visualizzare gli URL nell'elenco di divieti, fare clic su Nega.
■ Per visualizzare gli URL nell'elenco di autorizzazioni, fare clic su
Autorizza.
3 Fare clic su Visualizza/Modifica.
Capitolo 8
Prevenzione degli attacchi
Questo capitolo comprende i seguenti argomenti:

■ Funzionamento della rilevazione e prevenzione delle intrusioni

■ Impostazione delle preferenze di protezione

■ Attivazione di impostazioni di protezione avanzate


L'appliance Symantec Gateway Security Serie 300 fornisce funzionalità di
rilevazione e prevenzione delle intrusioni (IDS e IPS). Per impostazione
predefinita le funzioni IDS e IPS sono attivate e forniscono una protezione
"atomica" dei pacchetti. Le funzionalità IDS e IPS possono essere disattivate in
qualsiasi momento.

Nota: una firma IDS e IPS atomica è definita come firma basata su un singolo
pacchetto IP.

Funzionamento della rilevazione e prevenzione


delle intrusioni
L'appliance difende contro attacchi alla frammentazione, opzione IP, overflow
del buffer, scansioni delle porte, contraffazione di pacchetti sovradimensionati e
attacchi in grande quantità, e ne registra le informazioni.
Qualsiasi traffico in arrivo dall'interno o dall'esterno dell'unità caratterizzato da
una serie insolita di impostazioni delle opzioni IP viene bloccato.
IDS/IPS registra eventi che vengono identificati nella finestra Stato. Per
impostazione predefinita la registrazione IDS/IPS dal lato WAN è attivata. Se la
registrazione degli eventi IDS è disattivata, l'appliance blocca comunque
qualsiasi tentativo di connessione verso un servizio non autorizzato per le
connessioni in entrata. Tuttavia, quando il servizio di ricerca Trojan horse è
disattivato, viene registrato solo un messaggio di accesso negato.
120 Prevenzione degli attacchi
Funzionamento della rilevazione e prevenzione delle intrusioni

Il numero di messaggi di registro di cui viene tenuta traccia dipende dal tipo
di attacco. Vengono registrati illimitati tentativi di accesso alla gestione. La
registrazione degli attacchi è limitata a un attacco ogni cinque secondi. Quando
ICMP è attivato, i messaggi di registro non vengono limitati.
L'appliance difende contro le seguenti firme IDS/IPS atomiche:
■ Bonk
■ Back Orifice (canale di comunicazione Trojan horse)
■ Girlfriend (canale di comunicazione Trojan horse)
■ Fawx
■ Jolt
■ Land
■ Nestea
■ Newtear
■ Overdrop
■ Ping of Death
■ Portal of Doom (canale di comunicazione Trojan horse)
■ SubSeven (canale di comunicazione Trojan horse)
■ Syndrop
■ Teardrop
■ Winnuke
■ Overflow del buffer HTML
■ Protezione da attacchi in grande quantità TCP/UDP

Protezione contro Trojan horse


Qualsiasi tentativo di connettersi a una porta bloccata che viene comunemente
utilizzata da programmi Trojan horse viene registrato e classificato come
possibile attacco. Il messaggio di registro avvisa l'utente che è stato eseguito un
tentativo di connessione non valido e che è opportuno controllare i sistemi
interni per verificare che non siano stati compromessi. La protezione contro
Trojan horse viene ignorata se il traffico è autorizzato in modo esplicito in una
regola in entrata.
Prevenzione degli attacchi 121
Impostazione delle preferenze di protezione

Impostazione delle preferenze di protezione


Per ciascuna firma IDS/IPS atomica, è possibile stabilire l'azione da
intraprendere in caso di rilevazione, come descritto di seguito:
■ Blocca e avvisa
Scarta e registra i pacchetti identificati che contengono una specifica firma.
■ Blocca senza avvisare
Scarta il pacchetto senza registrare nulla.
Per attivare e disattivare la rilevazione e la registrazione delle firme IDS/IPS è
possibile configurare le seguenti opzioni:
■ Seleziona tutto per attivare o disattivare la rilevazione di TUTTE le firme.
■ Attivare/disattivare la rilevazione di ciascuna firma singolarmente.

Per impostare le preferenze di protezione


Vedere "Descrizioni dei campi della scheda Protezione IDS" a pagina 221.
1 Nel riquadro sinistro della SGMI, fare clic su IDS/IPS.
2 Nel riquadro destro, in Firme IDS/IPS nella scheda Protezione IDS,
nell'elenco a discesa Nome, selezionare una firma IDS.
Per applicare le preferenze a tutte le firme, fare clic su >>Seleziona tutto<<.
3 Accanto ad Azione in Impostazioni protezione, selezionare un'azione.
4 Accanto ad Area di protezione, selezionare un'interfaccia da proteggere.
5 Fare clic su Aggiorna.

Attivazione di impostazioni di protezione avanzate


Le impostazioni di protezione avanzate aiutano a proteggere la rete contro
attacchi che possono essere identificati tramite firme atomiche.

Protezione contro la contraffazione IP (IP spoofing)


Qualsiasi pacchetto non broadcast o multicast che arriva a un'interfaccia WAN
con un'origine IP che corrisponde a una qualsiasi subnet interna viene bloccato e
contrassegnato come tentativo di contraffazione IP (IP spoofing). Le subnet
interne vengono ricavate dall'indirizzo di subnet del lato LAN dell'appliance e
dalle voci di route statiche presenti nell'appliance per l'interfaccia LAN.
122 Prevenzione degli attacchi
Attivazione di impostazioni di protezione avanzate

Analogamente, qualsiasi traffico non broadcast o non multicast che arriva


all'interfaccia interna o wireless con un indirizzo IP di origine che non
corrisponde ad alcuna rete interna predefinita viene bloccato e registrato come
tentativo di contraffazione IP interno. Le reti interne vengono ricavate dalle
route statiche definite nell'unità e dall'indirizzo LAN/WLAN interno dell'unità.
La protezione contro la contraffazione può essere disattivata per LAN interne
e WAN.

Per configurare la protezione contro la contraffazione IP


Vedere "Descrizioni dei campi della scheda Protezione IDS" a pagina 221.
1 Nel riquadro sinistro della SGMI, fare clic su IDS/IPS.
2 Nel riquadro destro, in Protezione contraffazione IP nella scheda Avanzate,
selezionare WAN o WLAN/LAN.
3 Fare clic su Salva.

Convalida flag TCP


Certi strumenti di mappatura delle porte, quali NMAP, utilizzano combinazioni
di flag TCP non valide per rilevare la presenza di un firewall in una rete o per
mappare la politica di sicurezza implementata nel firewall. Symantec Gateway
Security Serie 300 blocca e registra il traffico con combinazioni di flag non
valide che non viene vietato dalla politica di sicurezza. Qualsiasi traffico vietato
dalla politica di sicurezza che contiene una o più combinazioni di flag TCP non
valide viene classificato come una di varie tecniche di scansione delle porte
NMAP (NMAP Null Scan, NMAP Christmas Scan e così via).

Per attivare la convalida dei flag TCP


Vedere "Descrizioni dei campi della scheda Protezione IDS" a pagina 221.
1 Nel riquadro sinistro della SGMI, fare clic su IDS/IPS.
2 Nel riquadro destro, in Convalida flag TCP nella scheda Avanzate,
selezionare Attiva.
Capitolo 9
Registrazione, monitoraggio
e aggiornamenti
Questo capitolo comprende i seguenti argomenti:

■ Gestione della registrazione

■ Aggiornamento del firmware

■ Backup e ripristino delle configurazioni

■ Interpretazione dei LED

■ LiveUpdate e le sequenze LED di aggiornamento del firmware


L'appliance fornisce funzionalità di registrazione configurabili per la
visualizzazione dei registri di sistema e il monitoraggio dello stato del sistema.

Gestione della registrazione


Le funzionalità firewall, IDS, IPS, VPN, filtro dei contenuti e AVpe del prodotto
registrano dei messaggi quando si verificano determinati eventi. È possibile
configurare quali eventi devono essere registrati in modo da visualizzare solo
quelli ritenuti necessari.
I messaggi di registro possono essere visualizzati attraverso la SGMI o inoltrati
a servizi esterni. I messaggi di registro vengono conservati fino al riavvio
dell'appliance. In tutte le appliance, sono disponibili per la visualizzazione i 100
messaggi più recenti. Nei modelli 360 e 360R, vengono conservati i 100 messaggi
di registro più recenti anche in caso di riavvio dell'appliance.
Quando il registro è pieno, le nuove voci sostituiscono quelle più vecchie. Se si
desidera conservare i vecchi messaggi di registro è necessario configurare
l'inoltro via e-mail o un server Syslog. Vedere "Invio dei messaggi del registro
via e-mail" a pagina 124 o "Utilizzo di Syslog" a pagina 124.
124 Registrazione, monitoraggio e aggiornamenti
Gestione della registrazione

Configurazione delle preferenze del registro


Le preferenze di registrazione consentono di impostare il modo in cui
visualizzare i messaggi del registro, la quantità di registrazione eseguita e il
metodo di gestione del registro quando è pieno. Le seguenti impostazioni
aiutano a creare scenari di registrazione appropriati per le specifiche esigenze
della rete:
■ Invio dei messaggi del registro via e-mail
■ Utilizzo di Syslog
■ Configurazione e verifica di SNMP
■ Selezione dei livelli di registrazione
■ Impostazione degli orari di registrazione

Invio dei messaggi del registro via e-mail


È possibile configurare l'appliance per inviare automaticamente le voci del
registro via e-mail quando il registro è pieno o quando viene rilevato un attacco.
Il file di registro viene inviato come messaggio di testo.

Per configurare l'inoltro via e-mail


Vedere "Descrizioni dei campi della scheda Impostazioni registro" a pagina 163.
1 Nel riquadro sinistro della SGMI, fare clic su Registrazione/Monitoraggio.
2 Nel riquadro destro, nella casella di testo Server SMTP della scheda
Impostazioni registro, digitare l'indirizzo IP o il nome DNS del server SMTP
che deve ricevere il file di registro.
3 Nella casella di testo Invia e-mail da, digitare l'indirizzo di e-mail del
mittente.
4 Nella casella di testo Invia e-mail a, digitare l'indirizzo di e-mail del
destinatario.
5 Fare clic su Salva.
6 Per inviare i messaggi del registro correnti senza attendere che il registro
venga riempito, fare clic su Invia registro adesso.

Utilizzo di Syslog
L'invio dei messaggi del registro a un server Syslog ne consente la
memorizzazione per un lungo periodo. Un server Syslog rimane in attesa
dell'inoltro di voci di registro da parte dell'appliance e memorizza tutte le
informazioni di registro per consentire future analisi. Il server Syslog può essere
nella LAN o WAN, o al di là di un tunnel VPN.
Registrazione, monitoraggio e aggiornamenti 125
Gestione della registrazione

Nota: la data e l'ora dei messaggi nel server Syslog corrispondono a quelle
dell'arrivo al server, non a quelle registrate dall'appliance relativamente
all'evento che ha generato il messaggio di registro.

Per utilizzare Syslog


Vedere "Descrizioni dei campi della scheda Impostazioni registro" a pagina 163.
1 Nel riquadro sinistro della SGMI, fare clic su Registrazione/Monitoraggio.
2 Nel riquadro destro, in Syslog nella scheda Impostazioni registro, nella
casella di testo Server Syslog, digitare l'indirizzo IP di un host che esegue
l'utilità Syslog standard per ricevere il file di registro.
3 Fare clic su Salva.

Configurazione e verifica di SNMP


L'appliance supporta SNMP (Simple Network Management Protocol) versione
1.0 e genera messaggi di avviso relativi agli eventi della rete, li copia in una
TRAP o GET SNMP con il nome di comunità associato, quindi li invia ai server
SNMP registrati. Questa funzionalità consente all'appliance di comunicare
informazioni di stato ad applicazioni di gestione basate su SNMP a livello
dell'intera rete. l'appliance genera messaggi SNMP per i seguenti eventi:
■ Avvio a freddo dell'appliance
■ Errori di autenticazione della SGMI
■ Apertura e chiusura delle porte WAN Ethernet
■ Nessuna trap quando le porte WAN vengono attivate come parte
dell'avvio del sistema
■ Disconnessione WAN
■ Ripristino della WAN dopo una disconnessione precedente
■ Porta WAN seriale (PPPoE o analogica)
■ Apertura collegamento WAN (connessa)
■ Chiusura collegamento WAN (disconnessa)
GET è una richiesta di informazioni di stato all'appliance Symantec Gateway
Security Serie 300 generata dal server SNMP. L'appliance supporta tutti i MIBS
SNMP v1 (variabili di informazioni) che utilizzano GET. TRAP raccoglie le
informazioni di stato inviate dall'appliance Symantec Gateway Security Serie
300 al server SNMP.
126 Registrazione, monitoraggio e aggiornamenti
Gestione della registrazione

La configurazione di SNMP consente di impostare gli indirizzi IP dei server


SNMP che ricevono gli avvisi di informazioni di stato (TRAP) dall'agente SNMP
in esecuzione nell'appliance. Su una rete pubblica questa funzionalità fornisce
una protezione minima. Di conseguenza, per una maggiore sicurezza,
l'amministrazione via accesso remoto deve essere svolta attraverso un
tunnel VPN.
Per monitorare l'appliance sul lato LAN, accedere all'indirizzo IP LAN
dell'appliance (per impostazione predefinita, 192.168.0.1) utilizzando un
browser MIB SNMP v1. Per autorizzare l'accesso esterno a SNMP GET
nell'appliance, selezionare Attiva monitoraggio remoto.

Per configurare SNMP


La configurazione di SNMP è divisa in due parti:
■ Configurazione di SNMP
■ Verifica della comunicazione tra il server SNMP e l'appliance Symantec
Gateway Security Serie 300.
Prima di iniziare a configurare SNMP, raccogliere le seguenti informazioni:
■ Per le TRAP, al fine di ricevere i messaggi di avviso relativi agli eventi nella
rete devono essere in esecuzione server o applicazioni SNMP v 1.0 e sono
necessari gli indirizzi del server SNMP per configurare SNMP
nell'appliance.
■ È inoltre necessaria la stringa della comunità per il server SNMP.
L'indirizzo IP del server SNMP e la stringa della comunità sono disponibili
presso l'amministratore che gestisce il server SNMP.
■ È possibile configurare SNMP in qualsiasi momento successivo
all'installazione dell'appliance e all'esecuzione dei server SNMP.
Vedere "Descrizione dei campi relativi all'amministrazione" a pagina 166.

Per configurare SNMP


1 Nel riquadro sinistro, fare clic su Amministrazione.
2 Nel riquadro destro, in Manager a sola lettura SNMP (GETS e TRAPS) nella
scheda SNMP, nella casella di testo Stringa comunità, digitare il nome della
comunità.
L'impostazione predefinita è Public.
3 Nelle caselle di testo Indirizzo IP, digitare gli indirizzi IP dei manager a sola
lettura SNMP (solo per la raccolta delle TRAP).
4 Fare clic su Salva.
Registrazione, monitoraggio e aggiornamenti 127
Gestione della registrazione

Per verificare la comunicazione SNMP


◆ Contattare l'amministratore del server SNMP e richiedere l'invio di una
richiesta GET dal server SNMP all'appliance.
L'appliance risponde inviando informazioni di stato al server SNMP.
Se non vi è alcuna risposta, controllare che l'indirizzo IP del server SNMP e la
stringa della comunità siano corretti. Controllare anche che il server SNMP sia
accessibile all'appliance.

Selezione dei livelli di registrazione


Il file di registro contiene solo i tipi di informazioni che vengono scelti. Questo è
utile per isolare un problema o un attacco.
Se si seleziona Informazioni di debug, le prestazioni potrebbero essere
influenzate dal numero di messaggi che vengono creati. Questa opzione va
selezionata solo a fini diagnostici, e poi disattivata.

Per selezionare i livelli di registrazione


Vedere "Descrizioni dei campi relativi a registrazione/monitoraggio" a
pagina 159.
1 Nel riquadro sinistro della SGMI, fare clic su Registrazione/Monitoraggio.
2 Nel riquadro destro, in Tipo di registro nella scheda Impostazioni registro,
selezionare i tipi di informazioni da registrare.
3 Fare clic su Salva.

Impostazione degli orari di registrazione


NTP (Network Time Protocol) è un protocollo standard di Internet che assicura
la sincronizzazione con una precisione al millisecondo degli orologi dei
computer in una rete.
Se non si configura un server NTP, vengono utilizzati quelli pubblici standard.
Se non è raggiungibile alcun server NTP, quando si verifica un evento,
l'appliance registra l'ora (in secondi) successiva all'ultimo riavvio.

Per impostare gli orari di registrazione


Vedere "Descrizioni dei campi della scheda Impostazioni registro" a pagina 163.
1 Nel riquadro sinistro, fare clic su Registrazione/Monitoraggio.
2 Nel riquadro destro, in Orario nella scheda Impostazioni registro, nella
casella di testo Server NTP, digitare l'indirizzo IP o il nome di dominio
completo del server NTP non pubblico.
3 Fare clic su Salva.
128 Registrazione, monitoraggio e aggiornamenti
Gestione della registrazione

Gestione dei messaggi del registro


La scheda Visualizza registro mostra le condizioni correnti dell'appliance.
I modelli 360 e 360R sono dotati di una sezione WAN 2 per lo stato della seconda
porta WAN.
Le informazioni nella scheda Visualizza registro sono aggiornate nel momento
in cui viene selezionata. Durante la consultazione le condizioni possono
cambiare. È possibile aggiornare le informazioni per visualizzare i messaggi più
recenti.
Non è possibile eliminare manualmente il contenuto del registro.

Per gestire i messaggi del registro


Dopo che i messaggi del registro sono stati generati, è possibile visualizzarli,
aggiornarli per vedere quelli più recenti o cancellare il registro se lo si desidera.
Vedere "Descrizioni dei campi della scheda Visualizza registro" a pagina 162.

Per visualizzare i messaggi del registro


1 Nel riquadro sinistro della SGMI, fare clic su Registrazione/Monitoraggio.
2 Svolgere una delle seguenti operazioni:
■ Nella scheda Visualizza registro, visualizzare i messaggi del registro.
■ Per visualizzare i messaggi del registro più vecchi, fare clic su Pagina
successiva.

Per aggiornare i messaggi del registro


1 Nel riquadro sinistro della SGMI, fare clic su Registrazione/Monitoraggio.
2 Nel riquadro di destra, nella scheda Visualizza registro, fare clic su
Aggiorna.

Per cancellare i messaggi del registro


1 Nel riquadro sinistro della SGMI, fare clic su Registrazione/Monitoraggio.
2 Nel riquadro di destra, nella scheda Visualizza registro, fare clic su Cancella
registro.
Registrazione, monitoraggio e aggiornamenti 129
Aggiornamento del firmware

Aggiornamento del firmware


L'appliance funziona in base a un set di istruzioni che sono codificate nella
relativa memoria permanente, chiamato firmware. Il firmware contiene tutte le
caratteristiche e funzionalità dell'appliance. Sono disponibili due tipi di
aggiornamenti del firmware: distruttivo e non distruttivo. Il firmware
distruttivo sovrascrive completamente il firmware e tutte le impostazioni di
configurazione. Il firmware non distruttivo aggiorna il firmware conservando
però intatta la configurazione.
Symantec rilascia periodicamente aggiornamenti del firmware. Sono disponibili
tre modi per aggiornare il firmware nell'appliance: automaticamente tramite
l'utilità di pianificazione di LiveUpdate, manualmente tramite LiveUpdate o
manualmente ricevendo il firmware dal supporto tecnico di Symantec e
applicandolo con lo strumento symcftpw. Per impostazione predefinita,
LiveUpdate verifica la disponibilità di aggiornamenti al termine della
Configurazione guidata. Questa funzionalità può essere disattivata. Vedere la
Guida all'implementazione di Symantec Gateway Security Serie 300.

Avvertimento: l'esecuzione dell'aggiornamento manuale del firmware tramite


app.bin potrebbe sovrascrivere le impostazioni di configurazione. Prima di
eseguire un aggiornamento, annotare le impostazioni esistenti. Non utilizzare
un file di backup della configurazione del firmware precedente sul nuovo
firmware. Gli aggiornamenti del firmware di LiveUpdate non sovrascrivono mai
la configurazione.

Quando si applica un aggiornamento del firmware manualmente o attraverso


LiveUpdate, i LED lampeggiano in una sequenza particolare che indica
l'avanzamento dell'operazione.
Vedere "LiveUpdate e le sequenze LED di aggiornamento del firmware" a
pagina 145.

Aggiornamento automatico del firmware


LiveUpdate è una tecnologia Symantec che consente di tenere automaticamente
aggiornati i prodotti Symantec con le revisioni più recenti. È possibile
configurare LiveUpdate perché verifichi automaticamente la disponibilità di
aggiornamenti, oppure è possibile eseguire manualmente LiveUpdate in
qualsiasi momento.
Symantec rilascia periodicamente aggiornamenti del firmware per garantire il
massimo livello di sicurezza disponibile. Eseguire LiveUpdate non appena
l'appliance Symantec Gateway Security Serie 300 viene connessa a Internet.
130 Registrazione, monitoraggio e aggiornamenti
Aggiornamento del firmware

Vedere "Esecuzione immediata di LiveUpdate" a pagina 137.


Quando LiveUpdate controlla gli aggiornamenti del firmware e trova un
pacchetto disponibile, lo scarica e inizia ad applicare il firmware senza chiedere
conferma all'amministratore. Durante il download e l'applicazione, un
messaggio indica che l'operazione è in corso e che è necessario attendere alcuni
minuti prima di poter accedere alla SGMI. In seguito l'appliance può essere
riavviata. Quando l'applicazione del firmware è completata, viene registrato un
messaggio.
Se LiveUpdate controlla gli aggiornamenti del firmware e non ve ne sono di
disponibili, ossia se il firmware corrente è aggiornato, viene registrato un
messaggio.
Tutti i pacchetti LiveUpdate pubblicati da Symantec sono verificati e convalidati
da Symantec. Questi pacchetti non sovrascrivono intenzionalmente la
configurazione corrente. Tuttavia, essi richiedono un riavvio automatico
dell'appliance. Per ridurre al minimo l'inattività o l'interruzione della
connettività di rete, utilizzare la funzionalità Orario preferito per pianificare gli
aggiornamenti durante le ore non lavorative o di minor utilizzo.
La funzionalità LiveUpdate fornisce un meccanismo a prova di errore per gli
aggiornamenti del firmware nel caso l'appliance diventi inutilizzabile, ad
esempio per interruzione della corrente durante il trasferimento dei dati di
LiveUpdate. Se l'appliance non è in grado di superare il test diagnostico con il
nuovo pacchetto LiveUpdate, ritorna al firmware originale conservato nella
memoria protetta. LiveUpdate scarica e applica solamente firmware non
distruttivo.

Pianificazione degli aggiornamenti automatici


LiveUpdate può essere eseguito in modalità automatica o manuale. In modalità
automatica, l'appliance verifica la disponibilità di nuovi aggiornamenti. Se si
pianificano aggiornamenti automatici, ogni volta che l'appliance viene riavviata
LiveUpdate controlla la disponibilità di aggiornamenti. Inoltre, se si passa dagli
aggiornamenti manuali dell'appliance a quelli automatici, LiveUpdate esegue il
controllo al successivo orario specificato nella casella di testo UTC.
Se LiveUpdate scarica e applica un nuovo aggiornamento del firmware,
l'appliance può venire riavviata. Per questa ragione, è opportuno pianificare
l'esecuzione degli aggiornamenti automatici durante gli orari di inattività
della rete.
Registrazione, monitoraggio e aggiornamenti 131
Aggiornamento del firmware

Per pianificare gli aggiornamenti automatici di LiveUpdate


Vedere "Descrizioni dei campi della scheda LiveUpdate" a pagina 167.
1 Nel riquadro sinistro della SGMI, fare clic su Amministrazione.
2 Nel riquadro destro, in Aggiornamenti automatici in LiveUpdate,
selezionare Attiva pianificazione.
3 Nell'elenco a discesa Frequenza, selezionare la frequenza con cui
l'appliance deve controllare la disponibilità di aggiornamenti.
4 Nella casella di testo Orario preferito (UTC), digitare l'ora del giorno, in ore
e minuti, nella quale l'appliance deve controllare la disponibilità di
aggiornamenti.
5 Fare clic su Salva.

Autorizzazione di aggiornamenti automatici attraverso un


server proxy HTTP
Le impostazioni facoltative di LiveUpdate consentono di configurare una
connessione a un server LiveUpdate attraverso un server proxy HTTP.
Utilizzare questa funzionalità solo nelle seguenti situazioni:
■ L'appliance è situata dietro un'appliance Symantec Gateway Security che
utilizza un server proxy HTTP.
■ L'appliance è situata dietro un dispositivo di terze parti che utilizza un
server proxy HTTP.
■ L'ISP utilizza un server proxy HTTP.
Per ulteriori informazioni, consultare la documentazione di Symantec
LiveUpdate.
Vedere "Descrizioni dei campi della scheda LiveUpdate" a pagina 167.

Per autorizzare aggiornamenti automatici attraverso un server proxy HTTP


1 Nel riquadro sinistro della SGMI, fare clic su Amministrazione.
2 Nel riquadro destro, in Impostazioni facoltative nella scheda LiveUpdate,
selezionare Server proxy HTTP.
3 Nella casella di testo Indirizzo server proxy, digitare l'indirizzo IP o il nome
di dominio completo del server proxy HTTP.
4 Nella casella di testo Porta, digitare il numero della porta.
5 Nella casella di testo Nome utente, immettere il nome utente per il
server proxy.
132 Registrazione, monitoraggio e aggiornamenti
Aggiornamento del firmware

6 Nella casella di testo Password, digitare la password per il server proxy.


7 Fare clic su Salva.

Modifica della posizione del server LiveUpdate


Per impostazione predefinita, le impostazioni di LiveUpdate utilizzano
l'indirizzo liveupdate.symantec.com. È anche possibile configurare l'appliance
per utilizzare il proprio server LiveUpdate invece del sito LiveUpdate di
Symantec.
I server LiveUpdate interni illustrati nella Figura 9-1 sono configurati tramite
Symantec LiveUpdate Administration Utility. Invece di contattare i server di
Symantec per ottenere gli aggiornamenti, l'appliance può contattare il server
LiveUpdate presente nella rete locale. Questo riduce notevolmente il traffico
di rete e aumenta le velocità di trasmissione. Consente anche di allestire,
gestire e convalidare gli aggiornamenti prima che vengano applicati.
LiveUpdate Administration Utility e le istruzioni per l'installazione sono
disponibili nella pagina Web del supporto tecnico di Symantec all'indirizzo
http://www.symantec.com/techsupp/.
La Figura 9-1 illustra alcune possibili configurazioni di LiveUpdate.
Registrazione, monitoraggio e aggiornamenti 133
Aggiornamento del firmware

Figura 9-1 Configurazioni di LiveUpdate

Server
Symantec
LiveUpdate

Symantec Gateway
Security Serie 5400

Internet

Tunnel VPN

Server Symantec Gateway


LiveUpdate Security Serie 300
interno

Server
SGMI LiveUpdate
interno
Dispositivi protetti
134 Registrazione, monitoraggio e aggiornamenti
Aggiornamento del firmware

La Tabella 9-1 mostra ed elenca le configurazioni del server LiveUpdate


illustrate nella Figura 9-1.
Tabella 9-1 Configurazione del server LiveUpdate

Posizione Descrizione

1 Server Symantec LiveUpdate http://liveupdate.symantec.com.


Questo è il sito LiveUpdate standard per le aziende di Symantec che
divulga la disponibilità del firmware. È la configurazione predefinita
nell'appliance.

2 Server LiveUpdate interno in una posizione interna remota, protetto


da un tunnel VPN.

3 Server LiveUpdate interno in una posizione locale.

I server LiveUpdate possono essere nella WAN o nella LAN, o accessibili


attraverso un tunnel VPN da gateway a gateway.
Vedere "Descrizioni dei campi della scheda LiveUpdate" a pagina 167.

Per modificare la posizione del server LiveUpdate


1 Nel riquadro sinistro, fare clic su Amministrazione.
2 Nel riquadro destro, in Impostazioni generali nella scheda LiveUpdate, nella
casella di testo Server LiveUpdate, digitare l'indirizzo IP o il nome di
dominio completo del server LiveUpdate.
3 Fare clic su Salva.

Aggiornamento manuale del firmware


Gli aggiornamenti del firmware sono disponibili presso il sito Web di Symantec.
Se non si configura LiveUpdate per scaricare e applicare automaticamente gli
aggiornamenti del firmware, o se si ricevono istruzioni per eseguire
manualmente un aggiornamento dal supporto tecnico di Symantec, è necessario
controllare la versione più recente del firmware sul sito Web di Symantec.
Il numero di versione del firmware corrente è disponibile nella finestra Stato.
Il file del firmware disponibile presso il supporto tecnico di Symantec è
denominato all.bin. Questo file sovrascrive la configurazione, quindi prima di
iniziare un aggiornamento manuale del firmware, annotare la configurazione
esistente. L'unica impostazione che non viene toccata è la password
dell'amministratore.
Vedere "Impostazione della password di amministrazione" a pagina 14.
Registrazione, monitoraggio e aggiornamenti 135
Aggiornamento del firmware

Avvertimento: il reflashing del firmware con una versione precedente del


firmware cancella tutte le informazioni di configurazione, compresa la
password.

Applicare il firmware mediante l'utilità FTP di Symantec, inclusa nel CD-ROM di


Symantec Gateway Security Serie 300, oppure utilizzare il comando TFTP del
DOS con l'opzione -i (binary). In tal modo il file del firmware viene trasferito
all'appliance e applicato, dopodiché l'appliance viene riavviata.

Flashing del firmware


Prima di eseguire un aggiornamento manuale del firmware, assicurarsi di avere
a disposizione quanto segue:
■ Utilità symcftpw
Situata nella cartella Tools nel CD-ROM fornito in dotazione con
l'appliance. Per inviare il firmware all'appliance è anche possibile utilizzare
il comando TFTP.
■ File del firmware
Scaricare il file del firmware più recente dal sito Web di Symantec.

Nota: Se nel computer nel quale viene eseguito symcftpw è installato Norton
Internet Security, in quest'ultimo è necessario configurare una regola in entrata
e una in uscita per autorizzare il traffico tra il computer e l'appliance.

La Figura 9-2 mostra il pannello posteriore del modello 320. Il grafico è fornito a
titolo di consultazione; la descrizione completa di ciascuna funzionalità è
disponibile nella Guida all'installazione di Symantec Gateway Security Serie 300.

Figura 9-2 Pannello posteriore del modello 320


136 Registrazione, monitoraggio e aggiornamenti
Aggiornamento del firmware

La Figura 9-3 mostra il pannello posteriore dei modelli 360 e 360R. Il grafico è
fornito a titolo di consultazione; la descrizione completa di ciascuna
funzionalità è disponibile nella Guida all'installazione di Symantec Gateway
Security Serie 300.

Figura 9-3 Pannello posteriore dei modelli 360 e 360R

Per eseguire l'aggiornamento (flashing) del firmware


1 Per spegnere l'alimentazione, premere il pulsante di alimentazione sul
pannello posteriore dell'appliance.
2 Spostare i microinterruttori DIP 1 e 2 (4) verso l'alto nella posizione on.
3 Per accendere l'alimentazione, premere il pulsante di alimentazione (7).
4 Copiare il file del firmware e l'utilità symcftpw in una cartella temporanea
sul disco rigido.
5 Fare doppio clic sull'icona symcftpw.
6 Nella casella di testo IP server, digitare l'indirizzo IP dell'appliance.
L'indirizzo IP predefinito dell'appliance è 192.168.0.1.
7 Nella casella di testo File locale, digitare un nome per il file di
aggiornamento del firmware.
8 Fare clic su Aggiungi.
Attendere alcuni minuti prima di riavviare l'appliance. Il flashing è
completo quando symcftpw lo segnala, i LED 2 e 3 smettono di lampeggiare
alternativamente, l'appliance viene riavviata e quindi i LED 1 e 3 rimangono
accesi. L'operazione può richiedere alcuni minuti.
9 Spostare i microinterruttori DIP 1 e 2 (4) verso il basso nella posizione off.
Registrazione, monitoraggio e aggiornamenti 137
Aggiornamento del firmware

Esecuzione immediata di LiveUpdate


L'opzione Esegui LiveUpdate adesso costituisce la funzionalità manuale di
LiveUpdate. Esegui LiveUpdate adesso controlla immediatamente la
disponibilità di nuovi aggiornamenti del firmware per l'appliance e li installa.
Se è già in esecuzione la versione più recente, l'appliance non viene aggiornata.
Gli aggiornamenti di LiveUpdate conservano la configurazione.
È anche possibile modificare l'indirizzo del server LiveUpdate da controllare.
Vedere "Modifica della posizione del server LiveUpdate" a pagina 132.

Per eseguire immediatamente LiveUpdate


Vedere "Descrizioni dei campi della scheda LiveUpdate" a pagina 167.
1 Nel riquadro sinistro, fare clic su Amministrazione.
2 Nel riquadro destro, in Stato nella scheda LiveUpdate, fare clic su Esegui
LiveUpdate adesso.

Esecuzione di un aggiornamento forzato del firmware


Se il flashing manuale del firmware non funziona, è possibile eseguire un
aggiornamento forzato del firmware nell'appliance. Procedere in tal modo solo
se il flashing del firmware descritto in "Flashing del firmware" a pagina 135 non
funziona o se viene richiesto espressamente del supporto tecnico di Symantec.
Nella procedura seguente utilizzare come riferimento la Figura 9-4 e la
Figura 9-5.

Per eseguire un aggiornamento forzato del firmware


1 Annotare tutte le impostazioni di configurazione.
2 Per spegnere l'alimentazione, premere il pulsante di alimentazione sul
pannello posteriore dell'appliance.
3 Spostare i microinterruttori DIP 2 e 4 (4) verso l'alto nella posizione on.
4 Per accendere l'alimentazione, premere il pulsante di alimentazione (7).
5 Modificare l'indirizzo IP del computer della LAN dal quale verrà trasmesso
tramite TFTP il firmware all'appliance in un indirizzo IP statico esterno
all'intervallo predefinito (192.168.0.2-1.92.168.0.52).
Inoltre, non assegnare al computer l'indirizzo IP statico 192.168.0.1.
6 Copiare il file del firmware e l'utilità symcftpw in una cartella temporanea
sul disco rigido.
7 Fare doppio clic sull'icona symcftpw.
138 Registrazione, monitoraggio e aggiornamenti
Aggiornamento del firmware

8 Nella casella di testo IP server, digitare l'indirizzo IP dell'appliance.


L'indirizzo IP predefinito dell'appliance è 192.168.0.1.
9 Nella casella di testo File locale, digitare un nome per il file di
aggiornamento del firmware.
10 Fare clic su Aggiungi.
Attendere alcuni minuti prima di riavviare l'appliance. Il flashing è
completo quando symcftpw lo segnala, i LED 2 e 3 smettono di lampeggiare
alternativamente, l'appliance viene riavviata e quindi i LED 1 e 3 rimangono
accesi. L'operazione può richiedere alcuni minuti.
11 Spostare i microinterruttori DIP 2 e 4 (4) verso il basso nella posizione off.

Controllo dello stato dell'aggiornamento del firmware


La sezione Stato mostra la data e la versione dell'ultimo aggiornamento del
firmware. L'ultimo aggiornamento mostra la data e l'ora (se è disponibile un
servizio NTP) dell'ultimo controllo di LiveUpdate. Tale controllo può avere
determinato o meno lo scaricamento di una nuova versione del firmware a
seconda di quella già presente nell'appliance.
Per gli aggiornamenti automatici, LiveUpdate registra i messaggi per i
seguenti eventi:
■ Scaricamento corretto del pacchetto del firmware
■ Scaricamento non riuscito del pacchetto del firmware
■ Nessun nuovo pacchetto del firmware disponibile; ogni componente è
aggiornato
Se una sessione di LiveUpdate non riesce a causa di un errore HTTP, l'esito viene
registrato assieme al messaggio di errore HTTP riportato dal client HTTP.

Per controllare lo stato dell'aggiornamento del firmware


La conoscenza della versione del firmware presente nell'appliance è importante
se si intende contattare il supporto tecnico di Symantec.
Vedere "Descrizioni dei campi della scheda LiveUpdate" a pagina 167.
Vedere "Descrizioni dei campi della scheda Stato" a pagina 160.

Per verificare lo stato del pacchetto del firmware di LiveUpdate


1 Nel riquadro sinistro, fare clic su Amministrazione.
2 Nel riquadro destro, in Stato nella scheda LiveUpdate, verificare la data
dell'ultimo aggiornamento e il numero di versione.
Registrazione, monitoraggio e aggiornamenti 139
Backup e ripristino delle configurazioni

Per verificare la versione corrente del firmware nell'appliance


1 Nel riquadro sinistro, fare clic su Registrazione/Monitoraggio.
2 Nel riquadro destro, in Unità nella scheda Stato, verificare la Versione
firmware.

Backup e ripristino delle configurazioni


È possibile eseguire il backup della configurazione dell'appliance in qualsiasi
momento. Questa operazione va eseguita dopo avere inizialmente configurato
l'appliance o prima di modificare la configurazione in modo significativo.

Nota: per ripristinare le impostazioni non utilizzare un file di configurazione di


backup appartenente a una versione del firmware precedente a meno che ciò
non sia richiesto dal supporto tecnico di Symantec.

Il file di backup viene creato nella stessa cartella del disco rigido nella quale è
stata inserita l'applicazione symcftpw. Nell'applicazione symcftpw, è possibile
specificare dove memorizzare il file di backup, ad esempio in un disco floppy.
Questo è utile per conservare la configurazione in un luogo sicuro, come una
cassetta antincendio.

Per eseguire il backup e il ripristino delle configurazioni


Il backup della configurazione è una buona abitudine per garantire che sia
possibile ripristinare l'appliance in caso di guasto.

Per eseguire il backup della configurazione di un'appliance


1 Per spegnere l'alimentazione, premere il pulsante di alimentazione sul
pannello posteriore dell'appliance.
2 Spostare i microinterruttori DIP 1 e 2 verso l'alto nella posizione on.
3 Accendere l'appliance premendo il pulsante di alimentazione.
4 Copiare l'utilità symcftpw dal CD-ROM in una cartella sul disco rigido.
5 Fare doppio clic sull'icona symcftpw.
6 Nella casella di testo IP server, digitare l'indirizzo IP dell'appliance.
L'indirizzo IP predefinito dell'appliance è 192.168.0.1.
7 Nella casella di testo File locale, digitare un nome per il file di backup.
8 Fare clic su Get.
9 Spostare i microinterruttori DIP 1 e 2 verso il basso nella posizione off.
140 Registrazione, monitoraggio e aggiornamenti
Backup e ripristino delle configurazioni

10 Copiare il file di backup dal disco rigido a un disco floppy e riporlo in una
posizione sicura.

Per ripristinare la configurazione di un'appliance


1 Per spegnere l'alimentazione, premere il pulsante di alimentazione sul
pannello posteriore dell'appliance.
2 Spostare i microinterruttori DIP 1 e 2 verso l'alto nella posizione on.
3 Accendere l'appliance premendo il pulsante di alimentazione.
4 Copiare l'utilità symcftpw dal CD in una cartella sul disco rigido.
5 Fare doppio clic sull'icona symcftpw.
6 Nella casella di testo IP server, digitare l'indirizzo IP dell'appliance.
L'indirizzo IP predefinito dell'appliance è 192.168.0.1.
7 Nella casella di testo File locale, digitare un nome per il file di backup.
8 Fare clic su Get.
9 Spostare i microinterruttori DIP 1 e 2 verso il basso nella posizione off.

Reimpostazione dell'appliance
È possibile reimpostare l'appliance in tre modi diversi:
■ Reimpostazione semplice
Riavvia l'appliance. Questo è simile a spegnere e riaccendere l'appliance.
Tutte le connessioni correnti, compresi i tunnel VPN, vengono perdute.
Quando l'appliance viene riavviata i tunnel VPN da gateway a gateway
connessi in precedenza vengono ristabiliti. Inoltre, al riavvio l'appliance
esegue un test automatico dell'hardware.
■ Reimpostazione con la configurazione predefinita
L'indirizzo IP della subnet LAN viene reimpostato su 191.168.0.0, l'indirizzo
IP LAN dell'appliance viene reimpostato su 192.168.0.1, la funzionalità di
server DHCP viene attivata e la password dell'amministratore viene
azzerata.
■ Reimpostazione con l'applicazione riservata
Il firmware viene reimpostato con l'ultimo file all.bin che è stato utilizzato
per il flashing dell'appliance. Questo può essere il firmware originale di
fabbrica o un aggiornamento del firmware che è stato scaricato dal sito Web
di Symantec e applicato all'appliance.

Nota: LiveUpdate non scarica e non applica gli aggiornamenti del


firmware all.bin.
Registrazione, monitoraggio e aggiornamenti 141
Backup e ripristino delle configurazioni

Per reimpostare l'appliance


Sono possibili tre tipi di ripristino delle impostazioni di fabbrica, che possono
essere eseguiti utilizzando una combinazione di microinterruttori DIP e
pulsante reset. Per premere il pulsante reset è necessario utilizzare una
graffetta o la punta di una penna. Per la posizione del pulsante reset e dei
microinterruttori DIP, fare riferimento alla Figura 9-4 e Figura 9-5.
La Figura 9-4 mostra il pannello posteriore del modello 320. Il grafico è fornito a
titolo di consultazione; la descrizione completa di ciascuna funzionalità è
disponibile nella Guida all'installazione di Symantec Gateway Security Serie 300.

Figura 9-4 Pannello posteriore del modello 320

La Figura 9-5 mostra il pannello posteriore dei modelli 360 e 360R. Il grafico è
fornito a titolo di consultazione; la descrizione completa di ciascuna
funzionalità è disponibile nella Guida all'installazione di Symantec Gateway
Security Serie 300.

Figura 9-5 Pannello posteriore dei modelli 360 e 360R

Per eseguire una reimpostazione semplice


◆ Su pannello posteriore dell'appliance, premere rapidamente il pulsante
reset (1).
142 Registrazione, monitoraggio e aggiornamenti
Interpretazione dei LED

Per eseguire una reimpostazione con la configurazione predefinita


◆ Su pannello posteriore dell'appliance, premere per cinque secondi il
pulsante reset (1).

Per eseguire una reimpostazione con l'applicazione riservata


1 Sul pannello posteriore dell'appliance, spostare il microinterruttore DIP 4
(4) verso l'alto nella posizione on.
2 Premere rapidamente il pulsante reset (1).

Interpretazione dei LED


I LED sul lato anteriore di ciascuna appliance ne indicano lo stato. Sono presenti
sei LED: quattro per l'appliance e due per le connessioni wireless. In genere, i
LED wireless si accendono solo quando è inserita un'opzione punto di accesso
WLAN di Symantec Gateway Security.
La Figura 9-6 mostra il pannello posteriore del modello 320. Il grafico è fornito a
titolo di consultazione; la descrizione completa di ciascuna funzionalità è
disponibile nella Guida all'installazione di Symantec Gateway Security Serie 300.

Figura 9-6 Pannello posteriore del modello 320

La Figura 9-7 mostra il pannello posteriore dei modelli 360 e 360R. Il grafico è
fornito a titolo di consultazione; la descrizione completa di ciascuna
funzionalità è disponibile nella Guida all'installazione di Symantec Gateway
Security Serie 300.
Registrazione, monitoraggio e aggiornamenti 143
Interpretazione dei LED

Figura 9-7 Pannello posteriore dei modelli 360 e 360R

La Tabella 9-2 fornisce la descrizione di ciascun LED.

Tabella 9-2 LED

Posizione Simbolo Funzionalità Descrizione

1 Power Si illumina quando l'appliance è accesa.

2 Error Si illumina se si verifica un problema


con l'appliance.

3 Transmit Si illumina o lampeggia quando il


traffico passa attraverso le porte LAN o
WAN.

4 Backup Si illumina o lampeggia quando la


porta seriale viene utilizzata o non
funziona correttamente.

5 Wireless- Si illumina quando la scheda wireless è


ready inserita e funziona correttamente.

6 Wireless- Si illumina o lampeggia quando la


active scheda wireless sta trasmettendo o
ricevendo dati.
144 Registrazione, monitoraggio e aggiornamenti
Interpretazione dei LED

I LED sul pannello anteriore dell'appliance hanno tre stati: acceso, intermittente
e spento. La combinazione degli stati dei LED Error e Transmit indica lo stato
dell'appliance. La Tabella 9-3 descrive le combinazioni dello stato dei LED e lo
stato dell'appliance che indicano.

Tabella 9-3 Stati dei LED e stato dell'appliance

Stato LED Error (2) Stato LED Transmit (3) Stato appliance

Spento Acceso Funzionamento normale.

Spento Intermittente Trasmissione/ricezione di dati


dalla LAN.

Intermittente Intermittente ■ Indirizzo MAC non assegnato.


■ Problema del firmware.
L'appliance è pronta per un
download forzato.
■ L'appliance ha rilevato un
errore non recuperabile.

Intermittente Acceso Modalità configurazione.

Acceso Acceso Problema hardware.

Intermittente una Spento Errore della RAM.


volta

Intermittente due volte Spento Errore del timer.

Intermittente tre volte Spento Errore DMA.

Acceso Intermittente una volta Errore LAN.

Acceso Intermittente due volte Errore WAN.

Acceso Intermittente tre volte Errore seriale.

Spento Spento Mancanza di alimentazione.

Entrambi intermittenti alternativamente ■ Download in corso.


■ L'appliance sta scrivendo sulla
memoria flash.
Registrazione, monitoraggio e aggiornamenti 145
Interpretazione dei LED

LiveUpdate e le sequenze LED di aggiornamento del firmware


Quando si applica un aggiornamento del firmware tramite l'utilità symcftpw o
TFTP, o se LiveUpdate sta scaricando e applicando un aggiornamento del
firmware, una sequenza univoca dei LED indica l'avanzamento dell'operazione.
La Tabella 9-4 descrive le sequenze.

Tabella 9-4 Sequenze di LED per LiveUpdate

Descrizione Power Error Transmit

Recupero del firmware da Acceso Acceso Intermittente in


Internet tramite LiveUpdate o presenza di
trasmissione tramite gli traffico.
strumenti symcftpw o TFTP.

Firmware scaricato e verificato. Acceso Spento Spento


L'operazione richiede circa 10
secondi.

Applicazione del firmware. Il Acceso Intermittente Intermittente


tempo necessario dipende dal alternativament alternativament
modello. e con Transmit e con Error

Aggiornamento completato. Acceso Acceso Acceso

Reimpostazione dell'appliance. Acceso Spento Intermittente in


Tutti i LED si illuminano, presenza di
quindi passano allo schema del traffico.
funzionamento normale.
Appendice A
Conformità con le
normative standard
Questo capitolo comprende i seguenti argomenti:

■ Dichiarazioni Classe A FCC

■ Dichiarazione Classe A CISPR

■ Dichiarazione Classe (VCCI) per il Giappone

Dichiarazioni Classe A FCC


Questo dispositivo è conforme con la Parte 15 delle Normative FCC. Il
funzionamento è soggetto alle seguenti due condizioni: (1) questo dispositivo
può non causare interferenze dannose, e (2) questo dispositivo deve accettare
qualsiasi interferenza ricevuta, comprese quelle provocate da un
funzionamento non desiderato.
Questa apparecchiatura è stata testata e ritenuta conforme con i limiti stabiliti
per un dispositivo digitale di Classe A, conformemente alla Parte 15 delle
Normative FCC. Questi limiti sono stati progettati per fornire una protezione
ragionevole contro interferenze dannose quando l'apparecchiatura viene
utilizzata in un ambiente commerciale. Questa apparecchiatura genera, utilizza
e può emanare energia di radiofrequenza e, se non viene installata e utilizzata in
conformità con il manuale di istruzioni, potrebbe provocare interferenze
dannose con le comunicazioni radio. Il funzionamento di questa
apparecchiatura in un'area residenziale può causare interferenze dannose, nel
qual caso l'utente dovrà provvedere a un rimedio appropriato a sue spese.
Cambiamenti o modifiche non espressamente approvate dalla parte
responsabile della conformità potrebbero invalidare la capacità dell'utente di
azionare l'apparecchiatura.
148 Conformità con le normative standard
Dichiarazione Classe A CISPR

Dichiarazione Classe A CISPR


Avvertimento: questo è un prodotto di classe A. In un ambiente domestico questo
prodotto può causare interferenze radio nel qual caso l'utente deve adottare
misure adeguate.

Dichiarazione Classe (VCCI) per il Giappone


Avvertimento: questo è un prodotto di classe A. In un ambiente domestico questo
prodotto può causare interferenze radio nel qual caso l'utente deve adottare
misure adeguate. VCCI-A
Appendice B
Risoluzione dei problemi
Questo capitolo comprende i seguenti argomenti:

■ Informazioni sulla risoluzione dei problemi

■ Accesso alle informazioni sulla risoluzione dei problemi

Informazioni sulla risoluzione dei problemi


La funzionalità Informazioni di debug fornisce nel registro un elevato livello di
dettaglio delle informazioni sugli eventi di sistema. La modalità debug fornisce
nel registro di stato informazioni più dettagliate che si rivelano utili per il
supporto tecnico di Symantec o per attività di risoluzione dei problemi. La
modalità utente predefinita fornisce informazioni generali sulle azioni
intraprese che sono state definite tramite la politica di sicurezza.

Avvertimento: l'attivazione della modalità debug aumenta il numero di eventi del


registro e influisce sulle prestazioni. Per impostazione progettuale, tutti i
messaggi di debug sono solamente in lingua inglese. Utilizzare la modalità
debug solo temporaneamente per fini di risoluzione dei problemi, e disattivarla
immediatamente al termine delle operazioni.

La funzionalità Inoltra pacchetti WAN alla LAN consente di trasmettere tutti i


pacchetti dal lato WAN nella LAN per intercettarli a fini di analisi. Questo
costituisce un potenziale problema di sicurezza, quindi accertarsi di disattivare
tale funzionalità non appena terminata la fase di risoluzione dei problemi.
Il gateway di sicurezza fornisce anche strumenti di test PING e di ricerca DNS
per verificare la connettività di rete e la risoluzione DNS.
150 Risoluzione dei problemi
Informazioni sulla risoluzione dei problemi

Nota: lo strumento per la risoluzione dei problemi PING va utilizzato solo per
inviare comandi PING ad altri indirizzi IP, non all'appliance stessa.

La sezione Risultati della finestra Risoluzione dei problemi mostra il risultato


dell'esecuzione di un test PING o di ricerca DNS.

Per risolvere i problemi delle appliance Symantec Gateway Security


Serie 300
■ Vedere "Descrizioni dei campi relativi a registrazione/monitoraggio" a
pagina 159.
■ Vedere "Descrizioni dei campi della scheda Risoluzione dei problemi" a
pagina 165.

Per impostare i livelli di registrazione


1 Nel riquadro sinistro della SGMI, fare clic su Registrazione/Monitoraggio.
2 Nel riquadro destro, in Tipo di registro nella scheda Impostazioni registro,
selezionare le informazioni da registrare.
Informazioni di debug consente di catturare una grande quantità di
informazioni. Utilizzare questa opzione solo durante le operazioni di
risoluzione dei problemi.
3 Fare clic su Salva.

Per attivare l'inoltro dei pacchetti WAN alla LAN


1 Nel riquadro sinistro, fare clic su Registrazione/Monitoraggio.
2 Nel riquadro destro, in Trasmissione livello debug nella scheda Risoluzione
dei problemi, selezionare Inoltra pacchetti WAN alla LAN.
L'inoltro dei pacchetti ricevuti sulle porte WAN alla LAN a fini di
risoluzione dei problemi può autorizzare il traffico normalmente vietato dal
gateway di sicurezza nella rete interna. Questo metodo va utilizzato per
catturare i pacchetti WAN nel caso non sia possibile utilizzare uno sniffer
sul lato WAN della rete. Attivare questa funzionalità solo come ultima
risorsa e disattivarla non appena completata la risoluzione dei problemi.
3 Fare clic su Salva.

Per eseguire un test


1 Nel riquadro sinistro, fare clic su Registrazione/Monitoraggio.
2 Nel riquadro destro, in Strumenti di test nella scheda Risoluzione dei
problemi, nella casella di testo Host di destinazione, digitare l'indirizzo IP o
il nome DNS da verificare.
Risoluzione dei problemi 151
Informazioni sulla risoluzione dei problemi

3 Nell'elenco a discesa Strumento, selezionare PING o Ricerca DNS.


4 Fare clic su Esegui strumento.
I risultati del test vengono visualizzati in Risultati.

Per verificare la connettività del gateway predefinito


1 Verificare che il gateway predefinito sia raggiungibile inviando una
richiesta PING al relativo indirizzo IP.
2 Se l'esecuzione del comando PING su un host in base al relativo indirizzo IP
non riesce è possibile che sia presente un problema di collegamento con
l'ISP o un problema di routing.
3 Se è possibile eseguire il comando PING su un host in base all'indirizzo IP
ma non in base al nome DNS, significa che il server DNS non è configurato
correttamente o non è raggiungibile (provare a eseguire PING sul server
DNS tramite l'indirizzo IP per verificare la connettività).
4 Se è possibile risolvere correttamente alcuni nomi DNS ma non altri, è
probabile che il problema non risieda nella configurazione. In questo caso,
per risolvere il problema sarà necessario collaborare con una fonte
autorevole del dominio DNS.

Per verificare la connettività WAN


1 Eseguire PING sul gateway predefinito.
2 Eseguire PING su un sito Internet tramite il relativo indirizzo IP.
3 Eseguire PING su un sito Internet tramite il relativo indirizzo DNS.

Nota: alcuni siti bloccano le richieste PING a livello dei propri firewall.
Assicurarsi che il sito sia raggiungibile prima di contattare l'ISP o il supporto
tecnico di Symantec.
152 Risoluzione dei problemi
Accesso alle informazioni sulla risoluzione dei problemi

Accesso alle informazioni sulla risoluzione


dei problemi
Utilizzare la seguente procedura per accedere alle informazioni sulla
risoluzione dei problemi disponibili in Symantec Knowledge Base.

Per accedere alle informazioni sulla risoluzione dei problemi


1 Accedere all'indirizzo www.symantec.it.
2 Nella parte superiore della pagina iniziale, fare clic su supporto.
3 In Supporto prodotti > enterprise, fare clic su Continua.
4 Nella pagina Supporto enterprise, in Supporto tecnico, fare clic su
knowledge base.
5 Sotto selezionare un knowledge base, scorrere verso il basso, quindi fare clic
su Symantec Gateway Security Serie 300.
6 Fare clic sul nome e modello specifici del prodotto.
7 Nella pagina del knowledge base relativa al modello dell'appliance, svolgere
una delle seguenti operazioni:
■ Nella scheda Argomenti principali, fare clic su una delle voci per
visualizzare un elenco dettagliato di articoli del knowledge base
sull'argomento scelto.
■ Nella casella di testo della scheda Cerca, digitare una stringa
contenente la domanda da porre. Utilizzare l'elenco a discesa per
determinare la modalità di esecuzione della ricerca, quindi fare clic
su Cerca.
■ Nella scheda Sfoglia, espandere un titolo per visualizzare gli articoli del
knowledge base relativi all'argomento.
Appendice C
Gestione delle licenze
Questo capitolo comprende i seguenti argomenti:

■ Gestione delle licenze di sessione per le funzioni VPN da client a gateway


di Symantec Gateway Security Serie 300

■ CONTRATTO DI LICENZA D'USO E GARANZIA DELL'APPLIANCE


SYMANTEC GATEWAY SECURITY

Gestione delle licenze di sessione per le funzioni


VPN da client a gateway di Symantec Gateway
Security Serie 300
Il software Symantec Client VPN può venire concesso in licenza per
un'appliance. La versione del software Symantec Client VPN deve essere
indicata come supportata nelle Note di rilascio di Symantec Gateway Security
Serie 300. L'add-on VPN da client a gateway viene concesso in licenza per il
numero massimo di sessioni VPN concorrenti autorizzate. È possibile acquistare
licenze aggiuntive per sessioni VPN concorrenti. Ad esempio, potrebbero esservi
15 utenti che hanno l'esigenza di accesso VPN come parte della normale pratica
lavorativa, ma non più di 10 sono mai connessi tramite la VPN in uno stesso
momento.
In questa situazione, è necessaria solamente una licenza per 10 sessioni VPN
concorrenti. È necessario ottenere le licenze aggiuntive necessarie per
autorizzare il numero massimo di sessioni concorrenti richieste. La licenza
concede l'autorizzazione a caricare il software client su un numero illimitato di
nodi, ma solo per essere utilizzato con l'appliance Symantec Gateway Security in
dotazione.
154 Gestione delle licenze
CONTRATTO DI LICENZA D'USO E GARANZIA DELL'APPLIANCE SYMANTEC GATEWAY SECURITY

Licenze di sessione aggiuntive


Sono disponibili licenze aggiuntive per le funzioni VPN da client a gateway.
Le licenze di sessione VPN da client a gateway sono indipendenti dalle licenze
della funzione base e il numero massimo di sessioni concorrenti può essere
limitato dalle prestazioni hardware, dall'implementazione della rete o dalle
caratteristiche del traffico.

CONTRATTO DI LICENZA D'USO E GARANZIA


DELL'APPLIANCE SYMANTEC GATEWAY SECURITY
SYMANTEC CORPORATION E/O LE SUE CONSOCIATE ("SYMANTEC") È DISPOSTA A
CONCEDERE IN LICENZA IL SOFTWARE INCLUSO CON L'APPLIANCE ACQUISTATA
DALL'UTENTE IN QUALITÀ DI SINGOLO, SOCIETÀ O ENTITÀ GIURIDICA CHE
UTILIZZERÀ IL SOFTWARE (INDICATO NEL SEGUITO COME "UTENTE") E A FORNIRE
GARANZIE SULL'APPLIANCE SOLO A CONDIZIONE CHE VENGANO ACCETTATI TUTTI I
TERMINI DEL PRESENTE CONTRATTO DI LICENZA D'USO E GARANZIA. LEGGERE
ATTENTAMENTE I TERMINI E LE CONDIZIONI DEL PRESENTE CONTRATTO DI
LICENZA D'USO E GARANZIA PRIMA DI UTILIZZARE L'APPLIANCE. IL PRESENTE È UN
CONTRATTO LEGALE ED ESECUTORIO TRA L'UTENTE E SYMANTEC. APRENDO LA
CONFEZIONE, ROMPENDO IL SIGILLO, FACENDO CLIC SUL PULSANTE "ACCETTO" O
"SÌ" O INDICANDO ALTRIMENTI IL PROPRIO BENESTARE IN FORMA ELETTRONICA,
RICHIEDENDO UNA CHIAVE DI LICENZA O UTILIZZANDO IL SOFTWARE, L'UTENTE
ACCETTA I TERMINI E LE CONDIZIONI DEL PRESENTE CONTRATTO. SE NON SI
ACCETTANO TALI TERMINI E CONDIZIONI, FARE CLIC SUL PULSANTE "NON ACCETTO"
O "NO" SE APPLICABILE E NON UTILIZZARE IL SOFTWARE E L'APPLIANCE.

1. Licenza software:
Il software (il "Software") che accompagna l'appliance acquistata (l'"Appliance")
dall'Utente è di proprietà di Symantec o dei suoi licenziatari ed è protetto dalla legge sul
copyright. Mentre Symantec continua a detenere la proprietà del Software, l'Utente avrà
alcuni diritti di utilizzo del Software dietro accettazione della presente licenza d'uso. La
presente licenza governa qualsiasi versione, revisione o miglioramento del Software reso
disponibile dal Concessore della licenza. Ad eccezione di eventuali modifiche contemplate
in un certificato di licenza, coupon di licenza o chiave di licenza Symantec (ciascuno un
"Modulo di licenza") che accompagna, precede o segue la presente licenza, e secondo
quanto ulteriormente definito nella documentazione utente che accompagna l'Appliance
e/o il Software, i diritti e gli obblighi riguardanti l'utilizzo di questo Software sono i
seguenti:

È possibile:
A. utilizzare il Software esclusivamente come parte dell'Appliance.
B. eseguire copie della documentazione stampata che accompagna l'Appliance in base alle
necessità di supporto dell'utilizzo autorizzato dell'Appliance; e
C. previa comunicazione scritta a Symantec e in relazione a un trasferimento
dell'Appliance, trasferire il Software su base permanente a un'altra persona o entità,
a condizione che l'Utente non conservi alcuna copia del Software, Symantec consenta il
trasferimento e il cessionario accetti in forma scritta i termini del presente contratto.
Gestione delle licenze 155
CONTRATTO DI LICENZA D'USO E GARANZIA DELL'APPLIANCE SYMANTEC GATEWAY SECURITY

Non è possibile:
A. fornire in licenza, affittare o noleggiare qualsiasi porzione del Software; eseguire
l'ingegnerizzazione inversa, decompilare, disassemblare, modificare, tradurre, tentare
in qualsiasi modo di scoprire il codice sorgente del Software, o creare lavori derivati dal
software;
B. utilizzare, se il Software ricevuto era distribuito in un'Appliance contenente più
prodotti Symantec, qualsiasi software Symantec presente su tale Appliance per il quale
non è stata ricevuta un'autorizzazione in un Modulo di licenza; oppure
C. utilizzare il Software in qualsiasi modo non autorizzato dalla presente licenza.

2. Aggiornamenti dei contenuti:


Alcuni prodotti software Symantec utilizzano contenuti che vengono aggiornati
periodicamente (ad esempio, i prodotti antivirus utilizzano definizioni dei virus
aggiornate; i prodotti per il filtro dei contenuti utilizzano elenchi di URL aggiornati; alcuni
prodotti firewall utilizzano regole firewall aggiornate; i prodotti per la valutazione delle
vulnerabilità utilizzano dati aggiornati sulle vulnerabilità e così via. Collettivamente,
questi vengono indicati come "Aggiornamenti dei contenuti"). È possibile ottenere
Aggiornamenti dei contenuti per ciascuna funzionalità del Software che è stata acquistata
e attivata a fini di utilizzo con l'Appliance per qualsiasi periodo per il quale (i) è stato
acquistato un abbonamento agli Aggiornamenti dei contenuti per tale funzionalità del
Software; (ii) è stato attivato un contratto di supporto che comprende Aggiornamenti
dei contenuti per tale funzionalità del Software; o (iii) è stato altrimenti acquistato
separatamente il diritto di ottenere Aggiornamenti dei contenuti per tale funzionalità del
Software. La presente licenza non permette altrimenti di ottenere e utilizzare
Aggiornamenti dei contenuti.

3. Garanzia limitata:
Symantec garantisce che il Software opererà nell'Appliance in sostanziale conformità con
la documentazione scritta che accompagna l'Appliance per un periodo di trenta (30) giorni
dalla data di acquisto originale dell'Appliance. L'unico rimedio da parte e a discrezione di
Symantec nel caso di violazione di questa garanzia sarà la riparazione o la sostituzione di
qualsiasi Software difettoso restituito a Symantec entro il periodo di garanzia o il
rimborso del prezzo pagato dall'Utente per l'Appliance.

Symantec garantisce che il componente hardware dell'Appliance (l'"Hardware") sarà privo


di difetti nei materiali e nella fabbricazione in normali condizioni di utilizzo e di
funzionamento e sostanzialmente conforme alla documentazione scritta che accompagna
l'Appliance per un periodo di trecentosessantacinque (365) giorni dalla data di acquisto
originale dell'Appliance. L'unico rimedio da parte e a discrezione di Symantec nel caso
di violazione di questa garanzia sarà la riparazione o sostituzione di qualsiasi Hardware
difettoso restituito a Symantec entro il periodo di garanzia o il rimborso del prezzo pagato
dall'Utente per l'Appliance.

Le garanzie contenute nel presente contratto non saranno applicabili a qualsiasi Software
o Hardware che:

A. è stato alterato, potenziato, aggiornato o modificato in alcun modo; oppure


B. è stato riparato, se non da Symantec o da suo personale autorizzato.
156 Gestione delle licenze
CONTRATTO DI LICENZA D'USO E GARANZIA DELL'APPLIANCE SYMANTEC GATEWAY SECURITY

Inoltre, le garanzie contenute nel presente contratto non sono applicabili a riparazioni o
sostituzioni causate o rese necessarie da: (i) eventi che si verificano in seguito al passaggio
all'Utente dei rischi di perdita quali lo smarrimento o il danno durante il trasporto; (ii) casi
di forza maggiore compresi senza limitazione eventi naturali quali incendi, inondazioni,
terremoti, fulmini o disastri simili; (iii) utilizzo, ambiente, installazione o alimentazione
elettrica impropri, o qualsiasi altro cattivo uso o conduzione; (iv) attività o inattività
governative; (v) scioperi o interruzioni del lavoro; (vi) mancata osservanza da parte
dell'Utente delle istruzioni o dei manuali d'uso o operativi pertinenti; (vii) inadempienza
da parte dell'Utente nell'osservanza delle istruzioni o dei manuali d'uso e operativi; o (viii)
altri eventi fuori dal ragionevole controllo di Symantec.

In seguito alla scoperta di qualsiasi guasto dell'Hardware, o di un relativo componente,


per attenersi alla garanzia applicabile nel corso del periodo di garanzia, l'Utente deve
contattarci entro dieci (10) giorni dal guasto e richiedere un numero di autorizzazione alla
restituzione del materiale ("RMA"). Symantec emetterà immediatamente l'RMA richiesto
non appena viene verificata la soddisfazione delle condizioni della garanzia. L'Appliance,
o la relativa parte, presumibilmente difettosa dovrà essere restituita a Symantec,
imballata in modo sicuro e appropriato, franco spese di spedizione e di assicurazione, con
il numero RMA riportato in evidenza sull'esterno dell'imballaggio di spedizione e
sull'Appliance. Symantec non avrà alcun obbligo di accettare alcuna Appliance restituita
senza un numero RMA.

Al completamento della riparazione o se Symantec decide, in accordo con i termini della


garanzia, di sostituire un'Appliance difettosa, Symantec restituirà tale Appliance difettosa
o sostitutiva, franco spese di spedizione e di assicurazione. Nel caso che Symantec, a sua
esclusiva discrezione, determini l'impossibilità di sostituire o riparare l'Hardware,
Symantec rimborserà l'Utente del prezzo F.O.B. pagato dall'utente per l'Appliance
difettosa. Le Appliance difettose restituite a Symantec diventeranno proprietà di
Symantec.

Symantec non garantisce che l'Appliance soddisferà i requisiti dell'Utente o che il


funzionamento dell'Appliance sarà ininterrotto o privo di errori.

Al fine di esercitare i diritti di garanzia contenuti nel presente Contratto, l'Utente deve
avere a disposizione la ricevuta o fattura di acquisto originale con la dichiarazione di
garanzia.

CON LA MASSIMA ESTENSIONE PERMESSA DALLA LEGGE IN VIGORE, LA GARANZIA


DI CUI SOPRA È ESCLUSIVA E IN LUOGO DI TUTTE LE ALTRE GARANZIE, ESPRESSE
O IMPLICITE, COMPRESE LE GARANZIE IMPLICITE DI COMMERCIABILITÀ,
ADEGUATEZZA PER UN PARTICOLARE SCOPO E INVIOLABILITÀ DEI DIRITTI DI
PROPRIETÀ INTELLETTUALE. LA PRESENTE GARANZIA FORNISCE ALL'UTENTE
SPECIFICI DIRITTI LEGALI. L'UTENTE PUÒ AVERE ALTRI DIRITTI, CHE VARIANO A
SECONDA DEL PAESE.
Gestione delle licenze 157
CONTRATTO DI LICENZA D'USO E GARANZIA DELL'APPLIANCE SYMANTEC GATEWAY SECURITY

4. Negazione di responsabilità in caso di danni:


ALCUNI PAESI, COMPRESI I MEMBRI DELLA COMUNITÀ EUROPEA, NON AMMETTONO
L'ELIMINAZIONE O L'ESCLUSIONE DI RESPONSABILITÀ PER DANNI INCIDENTALI O
CONSEGUENTI, QUINDI LA LIMITAZIONE O L'ESCLUSIONE SEGUENTE POTREBBE NON
ESSERE APPLICABILE.

CON LA MASSIMA ESTENSIONE PERMESSA DALLA LEGGE IN VIGORE E


INDIPENDENTEMENTE DALL'EFFICACIA DI QUALSIASI RIMEDIO QUI STABILITO, IN
NESSUN CASO SYMANTEC O I SUOI LICENZIATARI SARANNO RESPONSABILI VERSO
L'UTENTE DI QUALSIASI DANNO SPECIALE, CONSEGUENTE, INDIRETTO O SIMILARE,
COMPRESA QUALSIASI PERDITA DI PROFITTI O DI DATI DERIVANTE DALL'UTILIZZO O
DALL'INCAPACITÀ DI UTILIZZARE IL SOFTWARE ANCHE SE SYMANTEC È STATA
AVVISATA DELLA POSSIBILITÀ DI TALI DANNI.

IN NESSUN CASO LA RESPONSABILITÀ DI SYMANTEC O DEI SUOI LICENZIATARI


SUPERERÀ IL PREZZO DI ACQUISTO DELL'APPLIANCE. Le negazioni di responsabilità e
le limitazioni stabilite sopra saranno applicate indipendentemente dall'accettazione del
Software o dell'Appliance da parte dell'Utente.

5. Limitazione governative U.S.A.:


LIMITAZIONI. Tutti i prodotti e la documentazione Symantec sono di natura commerciale.
Il software e la documentazione software sono "Articoli commerciali", secondo la
definizione del termine fornita in 48 C.F.R. sezione 2.101, composti da "Software per
computer commerciale" e "Documentazione del software per computer commerciale",
secondo la definizione dei termini in 48 C.F.R. sezione 252.227-7014(a)(5) e 48 C.F.R.
sezione 252.227-7014(a)(1) e utilizzati in 48 C.F.R. sezione 12.212 e 48 C.F.R. sezione
227.7202, secondo i casi appropriati. In conformità con 48 C.F.R. sezione 12.212, 48 C.F.R.
sezione 252.227-7015, 48 C.F.R. sezione 227.7202 fino a 227.7202-4, 48 C.F.R. sezione
52.227-14 e altre sezioni pertinenti del Code of Federal Regulations, secondo i casi
appropriati, il software per computer e la documentazione del software per computer di
Symantec vengono forniti in licenza alle agenzie governative degli Stati Uniti e agli utenti
con i soli diritti concessi a tutti gli altri utenti finali, secondo i termini e le condizioni
contenuti nel presente contratto di licenza. Il produttore è Symantec Corporation, 20330
Stevens Creek Blvd., Cupertino, CA 95014.

6. Norme sull'esportazione:
Certi prodotti Symantec sono soggetti ai controlli sull'esportazione imposti da
Department of Commerce (DOC) degli Stati Uniti, nel quadro delle Export Administration
Regulations (EAR) (vedere www.bxa.doc.gov). Qualsiasi violazione delle leggi degli Stati
Uniti è rigorosamente proibita. Il Licenziatario accetta di ottemperare ai requisiti delle
norme EAR e a tutte le leggi e normative internazionali, nazionali, regionali e locali,
comprese tutte le limitazioni applicabili sull'importazione e l'utilizzo. Attualmente è
proibita l'esportazione o la riesportazione dei prodotti Symantec verso Cuba, Nord Corea,
Iran, Iraq, Libia, Siria e Sudan o qualsiasi paese soggetto a sanzioni commerciali. Il
Licenziatario accetta di non esportare, o riesportare, direttamente o indirettamente,
qualsiasi prodotto verso qualsiasi paese indicato nelle norme EAR, o qualsiasi persona o
entità inclusa nel DOC Denied Persons, Entities and Unverified Lists, U.S. Department of
State's Debarred List o negli elenchi del U.S. Department of Treasury di Specially
Designated Nationals, Specially Designated Narcotics Traffickers o Specially Designated
Terrorists. Inoltre, il Licenziatario accetta di non esportare, o riesportare, prodotti
Symantec verso qualsiasi entità militare non approvata nelle norme EAR, o verso qualsiasi
altra entità con finalità militari, o vendere alcun prodotto Symantec perché venga
utilizzato con armi chimiche, biologiche o nucleari, o missili in grado di trasportare
tali armi.
158 Gestione delle licenze
CONTRATTO DI LICENZA D'USO E GARANZIA DELL'APPLIANCE SYMANTEC GATEWAY SECURITY

7. Note generali:
Per i residenti in Nord America o America Latina, questo Contratto sarà governato dalle
leggi dello Stato di California, Stati Uniti d'America. Altrimenti, questo Contratto sarà
governato dalle leggi del Regno Unito. Questo Contratto e qualsiasi Modulo di licenza
correlato costituisce l'intero contratto tra l'Utente e Symantec relativamente all'Appliance
e: (i) sostituisce tutte le comunicazioni, proposte e dichiarazioni precedenti o
contemporanee verbali o scritte riguardanti l'argomento; e (ii) prevale su qualsiasi termine
contrastante o aggiuntivo di qualsiasi preventivo, ordine, ammissione o comunicazione
simile tra le parti. Questo Contratto può essere modificato solamente da un Modulo di
licenza o da un documento scritto che è stato sottoscritto dall'utente e da Symantec.
Il presente Contratto verrà terminato a seguito della violazione da parte dell'Utente dei
termini qui contenuti e l'Utente dovrà cessare l'utilizzo e distruggere tutte le copie del
Software e restituire l'Appliance a Symantec. Le esclusioni di garanzie e danni e le
limitazioni di responsabilità sopravvivranno alla terminazione. In caso di chiarimenti
relativi a questo Contratto, o se si desidera contattare Symantec per qualsiasi ragione,
scrivere a: (i) Symantec Customer Service, 555 International Way, Springfield, OR 97477,
USA, o (ii) Symantec Customer Service Center, PO BOX 5689, Dublin 15, Irlanda.
Appendice D
Descrizioni dei campi
Questo capitolo comprende i seguenti argomenti:

■ Descrizioni dei campi relativi a registrazione/monitoraggio

■ Descrizione dei campi relativi all'amministrazione

■ Descrizioni dei campi della LAN

■ Descrizioni dei campi WAN/ISP

■ Descrizione dei campi relativi al firewall

■ Descrizioni dei campi relativi alle VPN

■ Descrizione dei campi relativi a IDS/IPS

■ Descrizioni dei campi della scheda AVpe (Applicazione politica antivirus)

■ Descrizioni dei campi relativi al filtro di contenuti

Descrizioni dei campi relativi a registrazione/


monitoraggio
Symantec Gateway Security Serie 300 offre funzioni di registrazione del sistema
configurabili e schede per la visualizzazione dei registri di sistema e per il
monitoraggio dello stato del sistema. Comprende inoltre strumenti di test per la
risoluzione dei problemi e per la verifica della connettività di rete.
In questa sezione vengono illustrati i seguenti argomenti:
■ Descrizioni dei campi della scheda Stato
■ Descrizioni dei campi della scheda Visualizza registro
■ Descrizioni dei campi della scheda Impostazioni registro
■ Descrizioni dei campi della scheda Risoluzione dei problemi
160 Descrizioni dei campi
Descrizioni dei campi relativi a registrazione/monitoraggio

Descrizioni dei campi della scheda Stato


Nella scheda Stato sono riportate le condizioni e le impostazioni correnti del
gateway di sicurezza.

Tabella D-1 Descrizioni dei campi della scheda Stato

Sezione Campo Descrizione

Modello 320: Stato connessione Visualizza lo stato Connesso o Disconnesso della


WAN porta WAN a Internet o alla rete interna.
(porta esterna) Netmask Rilevata dalla configurazione relativa a DHCP o
Modello IP statico.
360/360R:
Indirizzo IP Visualizza l'indirizzo IP della porta WAN in base
WAN 1 alla configurazione locale.
(porta esterna)
Indirizzo fisico Indirizzo MAC (Media Access Control) del
WAN 2
gateway di sicurezza.
(porta esterna)
Gateway Visualizza un indirizzo IP in base alla
predefinito configurazione locale. Utilizzato dal gateway di
sicurezza per l'instradamento di eventuali
pacchetti destinati a reti sconosciute. Nella
maggior parte delle configurazioni, si tratta
dell'indirizzo IP del router dell'ISP.

Client DHCP Visualizza lo stato Attivato o Disattivato. Se è


Attivato, all'avvio del gateway di sicurezza viene
utilizzato DHCP per la richiesta dell'indirizzo IP,
del server DNS e delle informazioni di routing
dall'ISP o dalla Intranet.

Indirizzo(i) IP Visualizza un indirizzo IP fornito dall'ISP.


DNS

Durata lease Se l'opzione Client DHCP è attivata, visualizza


DHCP l'intervallo durante il quale l'indirizzo IP
rimarrà assegnato al gateway di sicurezza.
Questi dati si ottengono all'avvio del gateway di
sicurezza.
Descrizioni dei campi 161
Descrizioni dei campi relativi a registrazione/monitoraggio

Tabella D-1 Descrizioni dei campi della scheda Stato (Continua)

Sezione Campo Descrizione

LAN (porta Indirizzo IP Visualizza l'indirizzo IP del gateway di


esterna) sicurezza. Il valore predefinito è 192.168.0.1.

Indirizzo fisico Visualizza l'indirizzo fisico (MAC) della porta


LAN del gateway di sicurezza. Il valore
predefinito sono le impostazioni di fabbrica.

Netmask Visualizza l'indirizzo della mask di rete


impostato nella scheda LAN. Il valore
predefinito è 255.255.255.0.

Server DHCP Visualizza lo stato Attivato o Disattivato, a


seconda se il gateway di sicurezza è impostato o
meno come server DHCP per i client connessi.

Unità Versione Visualizza la versione del firmware di fabbrica o


firmware del più recente aggiornamento manuale o
tramite LiveUpdate.

Versione lingua Visualizza la versione di fabbrica o del più


recente aggiornamento.

Modello Visualizza il numero di modello del gateway di


sicurezza.

Host esposto Visualizza lo stato Attivato se un computer della


rete è stato impostato come host esposto.

Applicazioni Visualizza lo stato Attivato o Disattivato. Se


speciali sono state configurate applicazioni speciali, nel
campo sarà indicato Attivato.

Modalità NAT Visualizza lo stato Attivato o Disattivato.


Se si disattiva la modalità NAT, verranno
disattivate le funzioni di sicurezza del firewall e
il gateway di sicurezza agirà come un normale
router. Utilizzare questa impostazione solo per
le distribuzioni di gateway di sicurezza nella
Intranet, ad esempio se il gateway di sicurezza
verrà utilizzato come bridge wireless in una rete
protetta.
Se la modalità NAT è attivata, il gateway di
sicurezza agirà come dispositivo bridge di rete
802.1D.
162 Descrizioni dei campi
Descrizioni dei campi relativi a registrazione/monitoraggio

Descrizioni dei campi della scheda Visualizza registro


Nella scheda Visualizza registro è riportato un elenco di eventi di sistema.

Tabella D-2 Descrizioni dei campi di Visualizza registro

Sezione Campo Descrizione

Visualizza Ora UTC Ora standard (UTC, Coordinated Universal


registro Time) che corrisponde all'ora di Greenwich in
cui è stato registrato il messaggio. Se il gateway
di sicurezza non è in grado di ottenere l'ora
corrente dal server NTP (Network Time
Protocol), per ciascun evento verrà visualizzato
il numero di secondi dal momento in cui il
gateway di sicurezza è stato riavviato.

Messaggio Visualizza il testo dell'evento registrato.

Origine Visualizza l'origine del pacchetto.

Destinazione Visualizza la destinazione prevista del


pacchetto.

Nota Visualizza il nome o il numero del protocollo


oppure informazioni aggiuntive sulla
risoluzione dei problemi.
Descrizioni dei campi 163
Descrizioni dei campi relativi a registrazione/monitoraggio

Descrizioni dei campi della scheda Impostazioni registro


Nella scheda Impostazioni registro è possibile configurare le impostazioni per il
controllo della notifica tramite e-mail, i tipi di messaggi che saranno registrati e
l'ora specificata per ogni messaggio registrato.

Tabella D-3 Descrizioni dei campi di Impostazioni registro

Sezione Campo Descrizione

Inoltro via Server SMTP Indirizzo IP o nome di dominio completo del


e-mail server SMTP da utilizzare per l'invio del
registro.
Per inviare i registri via e-mail, questo campo è
obbligatorio.

Invia e-mail da Indirizzo e-mail del mittente. Il numero


massimo di caratteri consentito è 39.
Per inviare i registri via e-mail, questo campo è
obbligatorio.

Invia e-mail a Indirizzo e-mail del destinatario. Il numero


massimo di caratteri consentito è 39. È possibile
specificare più destinatari separando ogni
indirizzo con una virgola.
Per inviare i registri via e-mail, questo campo è
obbligatorio.

Invia registro Dopo avere digitato il server SMTP e gli indirizzi


adesso e-mail del mittente e del destinatario, è possibile
fare clic su Invia registro adesso per inviare un
messaggio di e-mail con il registro corrente
allegato.

Registro di Server registro di Indirizzo IP di un host che esegue un'utilità


sistema sistema registro di sistema standard in grado di ricevere
il file registro.
164 Descrizioni dei campi
Descrizioni dei campi relativi a registrazione/monitoraggio

Tabella D-3 Descrizioni dei campi di Impostazioni registro (Continua)

Sezione Campo Descrizione

Tipo di registro Attività di Registra l'attività di tutto il sistema e lo stato


sistema, stato della connessione. Questo tipo è selezionato per
connessione impostazione predefinita.

Connessioni Registra tutte le connessioni consentite dalle


AUTORIZZATE politiche delle regole in uscita.
dalle regole in
uscita

Connessioni Registra tutti i tentativi di connessione negati


NEGATE dalle da una politica delle regole in uscita,
regole in uscita dall'applicazione della politica antivirus (AVpe)
e dal filtro dei contenuti.

Connessioni Registra tutte le connessioni consentite dalle


AUTORIZZATE regole in entrata.
dalle regole in
entrata

Connessioni Registra tutti i tentativi di connessione negati


NEGATE dalle dalle regole in entrata.
regole in entrata

Attacco rilevato Registra tutti gli attacchi rilevati, inclusi la


scansione delle porte, la frammentazione e gli
attacchi di tipo cavallo di Troia. Questo tipo è
selezionato per impostazione predefinita.

Informazioni di Visualizza ulteriori informazioni di debug utili


debug per la risoluzione dei problemi. Utilizzare
questa opzione solo nel corso della diagnostica
di un problema, quindi disattivarla dopo che il
problema sarà stato risolto.

Orario Server NTP Indirizzo IP del server NTP non pubblico.


Descrizioni dei campi 165
Descrizioni dei campi relativi a registrazione/monitoraggio

Descrizioni dei campi della scheda Risoluzione dei problemi


Tramite la scheda Risoluzione dei problemi sono disponibili opzioni di debug e
strumenti di test che facilitano la diagnostica del gateway di sicurezza.

Tabella D-4 Descrizioni dei campi della scheda Risoluzione dei problemi

Sezione Campo Descrizione

Trasmissione Inoltra pacchetti Consente l'inoltro dei pacchetti WAN alla LAN.
livello debug WAN alla LAN Questa opzione è utile per controllare i pacchetti
WAN ai fini della risoluzione dei problemi senza
configurare apparecchiature aggiuntive.

Strumenti di test Host di Indirizzo IP o nome di dominio completo


destinazione dell'host in fase di test mediante uno degli
strumenti.
L'indirizzo non viene convalidato, quindi è
necessario assicurarsi che sia digitato
correttamente.

Strumento Strumenti per la risoluzione dei problemi.


(Modello 320) Le opzioni disponibili comprendono:
■ PING
■ Ricerca DNS
Fare clic su Esegui strumento.

Strumento Strumenti per la risoluzione dei problemi.


(Modello Le opzioni disponibili comprendono:
360/360R) ■ PING
■ Ricerca DNS
Fare clic su Esegui attraverso WAN 1 o Esegui
attraverso WAN 2, a seconda della porta WAN di
cui si desidera risolvere i problemi.

Risultato Risultato Visualizza il risultato del test eseguito dallo


strumento.
166 Descrizioni dei campi
Descrizione dei campi relativi all'amministrazione

Descrizione dei campi relativi all'amministrazione


La funzione Amministrazione del gateway di sicurezza consente di gestire
l'accesso dell'amministratore alla SGMI specificando una password e gli
indirizzi IP consentiti. È inoltre possibile configurare SNMP per il monitoraggio
del sistema e LiveUpdate per la ricezione di aggiornamenti del firmware.
In questa sezione vengono illustrati i seguenti argomenti:
■ Descrizioni dei campi della scheda Gestione di base
■ Descrizioni dei campi della scheda SNMP
■ Descrizioni dei campi della scheda LiveUpdate

Descrizioni dei campi della scheda Gestione di base


La scheda Gestione di base facilita il controllo dell'accesso dell'amministratore
alla SGMI specificando una password e gli indirizzi IP consentiti.

Tabella D-5 Descrizioni dei campi della scheda Gestione di base

Sezione Campo Descrizione

Password Password admin Password utilizzata per l'accesso alla


amministrazione SGMI.
Il nome utente è sempre admin. Per il login
viene fatta distinzione tra minuscole e
maiuscole.

Verifica password Ridigitare la password admin.

Gestione remota Indirizzo IP iniziale Primo indirizzo IP nell'intervallo di


indirizzi consentiti per l'accesso alla SGMI.
Per eliminare un indirizzo IP, immettere 0
in ciascuna delle caselle di testo.

Indirizzo IP finale Ultimo indirizzo IP nell'intervallo di


indirizzi consentiti per l'accesso alla SGMI.
Per eliminare un indirizzo IP, immettere 0
in ciascuna delle caselle di testo.

Autorizza upgrade Consente l'aggiornamento del firmware


firmware remoto dall'intervallo di indirizzi IP.
Descrizioni dei campi 167
Descrizione dei campi relativi all'amministrazione

Descrizioni dei campi della scheda SNMP


La scheda SNMP consente di configurare il gateway di sicurezza per il
monitoraggio mediante server SNMP.
Tabella D-6 Descrizioni dei campi della scheda SNMP

Sezione Campo Descrizione

Manager a sola Stringa comunità Una stringa comunità può essere richiesta
lettura SNMP dal server SNMP.
(GETS e TRAPS)
Indirizzo IP 1, Indirizzo IP dei destinatari di TRAP SNMP.
Indirizzo IP 2, Le TRAP vengono inoltrate a tali indirizzi.
Indirizzo IP 3

Attiva monitoraggio Consente l'accesso esterno a GET SNMP


remoto nell'appliance.

Descrizioni dei campi della scheda LiveUpdate


La scheda LiveUpdate consente di configurare la connessione a un server
LiveUpdate e di pianificare aggiornamenti del firmware per il gateway di
sicurezza.

Tabella D-7 Descrizioni dei campi della scheda LiveUpdate

Sezione Campo Descrizione

Impostazioni Server LiveUpdate Indirizzo IP o nome di dominio completo


generali del server LiveUpdate dal quale ottenere
gli aggiornamenti del firmware.
L'indirizzo predefinito è
http://liveupdate.symantec.com.
168 Descrizioni dei campi
Descrizione dei campi relativi all'amministrazione

Tabella D-7 Descrizioni dei campi della scheda LiveUpdate (Continua)

Sezione Campo Descrizione

Aggiornamenti Attiva Attiva la pianificazione di LiveUpdate.


automatici pianificazione Consente di pianificare gli orari in cui il
gateway di sicurezza effettua il controllo
automatico degli aggiornamenti del
firmware e quindi li applica.

Frequenza Frequenza con la quale il gateway di


sicurezza controlla gli aggiornamenti.
L'ora di inizio per la frequenza è basata sul
riavvio più recente dell'appliance.

Le opzioni disponibili comprendono:


■ Giornaliera
■ Settimanale
■ Bisettimanale
■ Mensile

Orario preferito Orario in ore e minuti in cui il gateway di


(UTC) sicurezza controlla automaticamente gli
aggiornamenti. Il formato è HH:MM, dove
HH corrisponde all'ora nel formato 0-24 e
MM corrisponde a un numero di minuti
compreso tra 0 e 59. Ad esempio 19:30.
L'impostazione UTC dipende dall'accesso al
server NTP. Utilizzare solo caratteri
numerici e il carattere ":" in questa casella
di testo.
Descrizioni dei campi 169
Descrizioni dei campi della LAN

Tabella D-7 Descrizioni dei campi della scheda LiveUpdate (Continua)

Sezione Campo Descrizione

Impostazioni Server proxy HTTP Consente al gateway di sicurezza di


facoltative contattare il server LiveUpdate tramite il
server proxy HTTP.

Indirizzo server Indirizzo IP del server proxy HTTP


proxy attraverso il quale il server LiveUpdate
ottiene gli aggiornamenti del firmware.

Porta Numero della porta associata al server


proxy HTTP attraverso il quale il server
LiveUpdate ottiene l'aggiornamento del
firmware.
Il valore massimo è 65535. La porta
predefinita è 80.

Nome utente Nome utente associato al server proxy


HTTP attraverso il quale LiveUpdate
ottiene l'aggiornamento del firmware.

Password Password associata al server HTTP.

Stato Ultimo Data dell'aggiornamento più recente.


aggiornamento

Versione ultimo Numero di versione dell'aggiornamento più


aggiornamento recente.

Descrizioni dei campi della LAN


Le impostazioni relative alla LAN consentono di configurare il gateway di
sicurezza per l'utilizzo in una rete interna nuova o esistente. Tali impostazioni
comprendono l'indirizzo IP del gateway di sicurezza, l'eventuale utilizzo del
gateway come server DHCP per i nodi protetti e le impostazioni delle porte LAN.
In questa sezione vengono illustrati i seguenti argomenti:
■ Descrizioni dei campi della scheda IP LAN e DHCP
■ Descrizioni dei campi della scheda Assegnazioni porta
170 Descrizioni dei campi
Descrizioni dei campi della LAN

Descrizioni dei campi della scheda IP LAN e DHCP


La scheda IP LAN e DHCP consente di impostare l'indirizzo IP del gateway di
sicurezza e di configurare il gateway stesso come server DHCP.

Tabella D-8 Descrizioni dei campi della scheda IP LAN e DHCP

Sezione Campo Descrizione

IP LAN Indirizzo IP Indirizzo IP dell'interfaccia interna del gateway di


sicurezza. L'indirizzo IP corrente viene visualizzato
nelle caselle di testo.
Il valore predefinito è 192.168.0.1. Il valore
predifinito è 192.168.0.1. Non è possibile impostare
l'indirizzo IP del gateway di sicurezza su 192.168.1.0.

Netmask Netmask del gateway di sicurezza. La netmask


corrente viene visualizzata nelle caselle di testo.
Il valore predefinito è 255.255.255.0.

DHCP Server DHCP Imposta il gateway di sicurezza come server DHCP.


Per utilizzare un altro server DHCP o se i client
utilizzano indirizzi IP statici, fare clic su Disattiva.

Indirizzo IP Primo indirizzo IP dell'intervallo di indirizzi IP che il


iniziale gateway di sicurezza assegnerà ai client.
intervallo Ad esempio, se si desidera che il gateway di sicurezza
assegni gli indirizzi IP compresi nell'intervallo da
172.16.0.2 a 172.16.0.75, digitare 172.16.0.2 nelle
caselle di testo dell'opzione Indirizzo IP iniziale
intervallo.

Indirizzo IP Ultimo indirizzo IP dell'intervallo di indirizzi IP che il


finale intervallo gateway di sicurezza assegnerà ai client.
Nell'esempio precedente, digitare 172.16.0.75 nelle
caselle di testo dell'opzione Indirizzo IP finale
intervallo.
Descrizioni dei campi 171
Descrizioni dei campi della LAN

Tabella D-8 Descrizioni dei campi della scheda IP LAN e DHCP (Continua)

Sezione Campo Descrizione

Tabella DHCP Nome host Nome del computer al quale il gateway di sicurezza ha
assegnato un indirizzo IP.

Indirizzo IP Indirizzo IP compreso nell'intervallo specificato


assegnato al computer dal gateway di sicurezza.

Indirizzo fisico Indirizzo fisico (MAC) della scheda di interfaccia di


rete (NIC) nel computer al quale è stato assegnato un
indirizzo IP.

Stato Stato del lease DHCP sull'indirizzo IP assegnato al


computer.

Le opzioni disponibili comprendono:


■ In lease
■ Riservato
172 Descrizioni dei campi
Descrizioni dei campi della LAN

Descrizioni dei campi della scheda Assegnazioni porta


In questa scheda è possibile specificare se la porta LAN risiede in una VLAN
attendibile o non attendibile. La VLAN attendibile viene utilizzata per le
connessioni cablate, mentre la VLAN non attendibile è riservata alle connessioni
wireless.

Tabella D-9 Descrizioni dei campi della scheda Assegnazioni porta

Sezione Campo Descrizione

Porte LAN fisiche Porta 1, Porta 2, Assegna le porte nella funzione Switch del
Porta 3, Porta 4 gateway di sicurezza impostandole come
(Modello 320) attendibili o non attendibili.
Porta 1, Porta 2, Attiva la sicurezza della VPN basata su LAN
Porta 3, Porta 4, wireless e cablata mediante le capacità di rete
Porta 5, Porta 6, virtuale basata sulle porte della funzione Switch
Porta 7, nel gateway di sicurezza, oltre al supporto per
Porta 8 l'attivazione di tunnel globali sul lato LAN
(Modello direttamente all'interfaccia wireless. L'endpoint
360/360R) del tunnel sarà nel gateway principale per ogni
subnet della rete LAN.

Le opzioni disponibili comprendono:


■ Standard
Utilizzare questa assegnazione per tutti i
dispositivi LAN non wireless. Tutto il
traffico è implicitamente considerato
attendibile e autorizzato al passaggio tra le
VLAN.
■ Punto di accesso SGS protetto
Consente l'applicazione della sicurezza
VPN nel punto di accesso comune o a livello
di switch.
■ Applica tunnel VPN / Autorizza pass-thru
IPsec
Associazione non attendibile esplicita.
Richiede un tunnel obbligatorio tra il client
VPN wireless e il gateway di sicurezza.
È consentito il passaggio del traffico IPsec
attraverso uno switch secondario con punti
di terminazione del tunnel nel gateway di
sicurezza primario e nel client.
Descrizioni dei campi 173
Descrizioni dei campi WAN/ISP

Descrizioni dei campi WAN/ISP


La funzionalità WAN/ISP di Symantec Gateway Security Serie 300 consente di
connettersi con il mondo esterno, ad esempio Internet, una rete aziendale o
qualsiasi altra rete esterna pubblica o privata. La funzionalità WAN/ISP può
inoltre essere configurata per la connessione a una LAN interna, qualora il
gateway di sicurezza venga utilizzato per la protezione di una subnet interna.
In questa sezione vengono illustrati i seguenti argomenti:
■ Descrizioni dei campi della scheda Configurazione principale
■ Descrizioni dei campi della scheda IP statico e DNS
■ Descrizioni dei campi della scheda PPPoE
■ Descrizioni dei campi della scheda Backup accesso remoto e analogica/ISDN
■ Descrizioni dei campi della scheda PPTP
■ Descrizioni dei campi della scheda DNS dinamico
■ Descrizioni dei campi della scheda Routing
■ Descrizioni dei campi della scheda Avanzate
174 Descrizioni dei campi
Descrizioni dei campi WAN/ISP

Descrizioni dei campi della scheda Configurazione principale


Nella scheda Configurazione principale è possibile selezionare il tipo di
connessione e specificare le impostazioni di identificazione del gateway di
sicurezza.
Tabella D-10 Descrizioni dei campi della scheda Configurazione
principale

Sezione Campi Descrizione


Modello 320: Tipo Tipo di Sono supportati i seguenti tipi di connessione:
di connessione connessione ■ DHCP (IP automatico)
Modello 360/ L'indirizzo IP viene assegnato
360R: WAN 1 automaticamente dall'ISP ogni volta che si
(esterna) o WAN 2 stabilisce la connessione.
(esterna) ■ PPPoE
Point-to-Point Protocol over Ethernet
(PPPoE) è una specifica per la connessione
degli utenti di una LAN Ethernet a Internet.
■ Analogica o ISDN
Account di accesso remoto.
■ IP statico
L'indirizzo IP viene assegnato dall'ISP o è
stato acquistato un indirizzo IP
permanente.
■ PPTP
L'ISP utilizza Point-to-Point Tunneling
Protocol (PPTP).

Modalità alta Le seguenti modalità di alta disponibilità sono


disponibilità configurabili per le porte WAN:
(Modello 360/ ■ Normale
360R) Le impostazioni di bilanciamento del carico
vengono applicate alla porta quando è
attivata e funzionante.
■ Off
La porta WAN non viene utilizzata.
■ Backup
Il traffico viene inoltrato attraverso la
porta WAN solo se l'altra porta WAN non
funziona.

Server indicatore URL di un sito al quale il gateway di sicurezza


attività (Modello invia un PING o una richiesta echo per il test
360/360R) della connessione.
Se non si specifica un URL, il gateway di
sicurezza utilizza l'indirizzo del gateway
predefinito.
Descrizioni dei campi 175
Descrizioni dei campi WAN/ISP

Tabella D-10 Descrizioni dei campi della scheda Configurazione


principale (Continua)

Sezione Campi Descrizione


Impostazioni di Nome host Nome del gateway di sicurezza nella rete. Nella
rete facoltative Configurazione guidata vengono forniti un
valore predefinito basato sul numero di modello
e l'indirizzo MAC.

Nome dominio Nome del dominio attraverso il quale gli utenti


esterni possono accedere al gateway di
sicurezza. Ad esempio, miosito.com.

Indirizzo MAC Indirizzo fisico (MAC) del gateway di sicurezza.


Il valore predefinito è impostato in fabbrica.
Questo valore può essere modificato se l'ISP
richiede l'utilizzo di un determinato indirizzo
MAC (contraffazione o clonazione di indirizzi
MAC).
176 Descrizioni dei campi
Descrizioni dei campi WAN/ISP

Descrizioni dei campi della scheda IP statico e DNS


Utilizzare questa scheda per configurare la connessione del gateway di
sicurezza a Internet con un indirizzo IP statico e server DNS oppure per la
connessione alla Intranet.

Tabella D-11 Descrizioni dei campi della scheda IP statico e DNS

Sezione Campo Descrizione

Modello 320: Indirizzo IP Indirizzo IP statico dell'account.


IP WAN Se viene digitato un indirizzo IP, è necessario
Modello 360/ indicare anche una netmask e un gateway
predefinito.
360R:
IP WAN 1, IP Netmask Netmask dell'account. La netmask determina se
WAN 2 i pacchetti vengono inviati al gateway
predefinito.
Se viene digitata una netmask, è necessario
indicare anche un indirizzo IP e un gateway
predefinito.

Gateway Indirizzo IP del gateway predefinito.


predefinito Il gateway di sicurezza invia tutti i pacchetti che
non è possibile instradare al gateway
predefinito.
Se viene digitato un gateway predefinito, è
necessario indicare anche un indirizzo IP e una
netmask.

Server dei nomi di DNS 1, DNS 2, È necessario specificare almeno un server DNS,
dominio DNS 3 fino a un massimo di tre, per risolvere gli
indirizzi host e IP.
Descrizioni dei campi 177
Descrizioni dei campi WAN/ISP

Descrizioni dei campi della scheda PPPoE


Utilizzare questa scheda per configurare la connessione del gateway di
sicurezza a Internet con un account che utilizza PPPoE per l'autenticazione.

Tabella D-12 Descrizioni dei campi della scheda PPPoE

Sezione Campo Descrizione

Modello 320: Porta WAN Selezionare la porta WAN per la quale si sta
sessioni (Modello 360/ configurando PPPoE.
360R)
Modello 360:
porta WAN e Sessione Consente di configurare la modalità di utilizzo
sessioni di PPPoE sulla porta WAN.
Per configurare un account PPPoE a sessione
singola, fare clic su Sessione 1, quindi su
Seleziona. Per configurare un account PPPoE
multisessione, selezionare la sessione da
configurare, quindi fare clic su Seleziona.

Connessione Connetti su Consente al gateway di sicurezza di creare una


richiesta connessione all'account PPPoE solo quando un
utente interno invia una richiesta, ad esempio
per l'accesso a una pagina Web.
Questo campo, insieme a Timeout inattività,
risulta utile se i costi dell'ISP vengono addebitati
in base al tempo di utilizzo.

Timeout inattività Numero di minuti durante i quali la connessione


può rimanere inattiva (inutilizzata) prima che
venga disconnessa.
Digitare 0 per mantenere la connessione sempre
attiva e impedire al gateway di sicurezza di
disconnettersi. Se il valore è superiore a 0,
selezionare la casella di controllo Connetti su
richiesta per ristabilire automaticamente la
connessione quando necessario.
Se utilizzata insieme a Connetti su richiesta, la
connessione all'ISP verrà stabilita solo quando
un client la utilizza.

Indirizzo IP Se l'ISP ha fornito un indirizzo IP statico per


statico l'account PPPoE, digitarlo in questa casella.
178 Descrizioni dei campi
Descrizioni dei campi WAN/ISP

Tabella D-12 Descrizioni dei campi della scheda PPPoE (Continua)

Sezione Campo Descrizione

Scegliere il Interroga servizi Quando si fa clic su Interroga servizi, il gateway


servizio di sicurezza si connette all'ISP e determina i
servizi disponibili.
Prima di utilizzare questa funzione, è necessario
disconnettersi dall'account PPPoE.

Servizio Selezionare un servizio per l'account PPPoE. Per


determinare i servizi disponibili, fare clic su
Interroga servizi.

Informazioni Nome utente Nome utente dell'account PPPoE. Può essere


utente diverso dal nome account.
Alcuni ISP richiedono il formato di indirizzo
e-mail come nome utente, ad esempio
mariorossi@mioisp.net.

Password Password utilizzata per l'account PPPoE.

Verifica password Ridigitare la password per l'account PPPoE.

Controllo Connetti Crea una connessione all'account PPPoE.


manuale
Disconnetti Chiude una connessione aperta all'account
PPPoE.
Descrizioni dei campi 179
Descrizioni dei campi WAN/ISP

Descrizioni dei campi della scheda Backup accesso remoto e


analogica/ISDN
In questa scheda è possibile configurare la connessione del gateway di sicurezza
a Internet con un account ISDN di accesso remoto primario o con un account di
accesso remoto di backup.

Tabella D-13 Descrizioni dei campi della scheda relativa all'account di accesso
remoto o ISDN

Sezione Campo Descrizione

Modalità backup Attiva modalità Se si utilizza un account dedicato come


backup connessione primaria, è possibile specificare un
account di accesso remoto come backup qualora
la connessione all'account venga interrotta.

Informazioni Nome utente Nome utente dell'account di accesso remoto.


account ISP
Password Password dell'account di accesso remoto.

Verifica password Ridigitare la password per l'account di accesso


remoto.

Indirizzo IP Se l'ISP ha fornito un indirizzo IP statico,


digitarlo in questa casella. In caso contrario
l'indirizzo IP verrà assegnato dinamicamente
dall'ISP.

Telefono linea 1, Numero di telefono utilizzato dal gateway di


Telefono linea 2, sicurezza per connettersi all'account di accesso
Telefono linea 3 remoto. È necessario specificare almeno un
numero, fino a un massimo di tre. Se con
Telefono linea 1 non è possibile stabilire la
connessione, il gateway di sicurezza comporrà il
numero indicato in Telefono linea 2 e così via.
Qualora fosse necessario comporre un prefisso,
ad esempio 0, per ottenere una linea esterna,
digitare tale prefisso e una virgola prima del
numero di telefono. Ad esempio,
9,18005551212.
Questa casella di testo ammette numeri, virgole
e spazi.
180 Descrizioni dei campi
Descrizioni dei campi WAN/ISP

Tabella D-13 Descrizioni dei campi della scheda relativa all'account di accesso
remoto o ISDN (Continua)

Sezione Campo Descrizione

Impostazioni Modello Tipo di modello del modem in uso. Se un tipo di


modem modello particolare non è incluso nell'elenco,
fare clic su Altro.

Stringa di Comando del modem inviato dal gateway di


inizializzazione sicurezza al modem per iniziare la composizione
del numero di telefono dell'ISP. Specificare
questo valore solo se si seleziona Altro come
modello di modem.

Velocità linea Velocità alla quale si desidera che il modem


stabilisca la connessione all'account di accesso
remoto.
In caso di problemi di connessione del gateway
di sicurezza, ridurre la velocità della linea.

Tipo di linea Tipo di linea utilizzata per l'account.


■ Linea commutata
È il tipo di linea utilizzato in genere se la
connessione a Internet non è sempre
aperta.
■ Linea in lease
Questo tipo di linea fornisce una
connessione permanente a Internet.

Tipo di Tipo di segnale utilizzato dal modem per


composizione comporre il numero di telefono.

Le opzioni disponibili comprendono:


■ impulsi
■ frequenza
■ altro

Stringa di Comando del modem per iniziare la


composizione composizione del numero di telefono.

Timeout inattività Numero di minuti durante i quali la connessione


può rimanere inattiva (inutilizzata) prima che
venga disconnessa.

Stringa di Comando del modem che specifica la


ricomposizione ricomposizione del numero di telefono qualora
la connessione iniziale venga interrotta.
Descrizioni dei campi 181
Descrizioni dei campi WAN/ISP

Tabella D-13 Descrizioni dei campi della scheda relativa all'account di accesso
remoto o ISDN (Continua)

Sezione Campo Descrizione

Controllo Componi Apre una connessione con l'account di accesso


manuale remoto.

Riaggancia Chiude una connessione aperta con l'account di


accesso remoto.

Stato analogico Stato porta Descrive lo stato della porta seriale sul gateway
di sicurezza a cui è collegato il modem.

Le possibili condizioni di stato della porta


comprendono:
■ Inattività
■ Connessione in corso
■ Accesso a Internet
■ Riaggancio

Collegamento Indica se il modem è connesso al numero di


fisico telefono.

Le possibili condizioni di stato del collegamento


fisico comprendono:
■ Off
■ On

Collegamento PPP Le possibili condizioni di stato del collegamento


PPP comprendono:
■ Utente autenticato via PPP (nome utente/
password corretti)
■ Off
■ On
182 Descrizioni dei campi
Descrizioni dei campi WAN/ISP

Tabella D-13 Descrizioni dei campi della scheda relativa all'account di accesso
remoto o ISDN (Continua)

Sezione Campo Descrizione

Stato analogico Indirizzo IP PPP Indirizzo IP assegnato all'account al momento


(continua) della connessione. Se si dispone di un indirizzo
IP statico, verrà utilizzato sempre lo stesso. Se
l'ISP assegna un indirizzo IP dinamicamente,
l'indirizzo IP può essere diverso ogni volta che si
stabilisce una connessione.

I possibili valori per l'indirizzo IP PPP


comprendono:
■ 0.0.0.0
■ IP da ISP
dove IP da ISP è l'indirizzo IP assegnato
dinamicamente al momento della
connessione.

Velocità linea Velocità alla quale il modem è connesso all'ISP.


telefonica
Le possibili velocità della linea telefonica
comprendono:
■ Sconosciuto
■ #####
dove ##### è un numero corrispondente
alla velocità della linea telefonica.
Ad esempio, 48800.
Descrizioni dei campi 183
Descrizioni dei campi WAN/ISP

Descrizioni dei campi della scheda PPTP


In questa scheda è possibile configurare la connessione del gateway di sicurezza
a Internet con un account che utilizza PPTP per l'autenticazione.

Tabella D-14 Descrizioni dei campi della scheda PPTP

Sezione Campo Descrizione

Porta WAN: Porta WAN Porta WAN per la quale si sta configurando
Modello 360/360R (Modello 360/ PPTP.
360R)

Connessione Connetti su Quando la modalità è attivata, la connessione


richiesta viene stabilita solo quando un utente invia una
richiesta, ad esempio per l'accesso a una pagina
Web.

Timeout inattività Numero di minuti durante i quali la connessione


può rimanere inattiva (inutilizzata) prima che
venga disconnessa.
Digitare 0 per mantenere la connessione sempre
attiva e impedire al gateway di sicurezza di
disconnettersi. Per i valori superiori a 0,
selezionare Connetti su richiesta per ristabilire
automaticamente la connessione quando
necessario.

Indirizzo IP Indirizzo IP del server PPTP.


server Il valore predefinito del primo ottetto è 10,
mentre quello dell'ultimo ottetto è 138.

Indirizzo IP Solo per gli account PPTP statici. Indirizzo IP


statico statico per l'account se è stato acquistato o se
viene assegnato dall'ISP.

Informazioni Nome utente Nome utente dell'account PPTP.


utente
Password Password utilizzata per l'account PPTP.

Verifica password Ridigitare la password per l'account PPTP.

Controllo Connetti Apre una connessione con l'account PPTP.


manuale
Disconnetti Chiude una connessione aperta all'account
PPTP.
184 Descrizioni dei campi
Descrizioni dei campi WAN/ISP

Descrizioni dei campi della scheda DNS dinamico


Il servizio DNS dinamico consente di utilizzare il proprio nome di dominio, ad
esempio miosito.com, o il nome di dominio dell'ISP e il proprio sottodominio per
connettersi ai propri servizi, quali un gateway VPN, un sito Web o FTP. Ad
esempio, se si configura un server Web virtuale e l'ISP assegna un indirizzo
diverso ogni volta che si stabilisce una connessione, gli utenti potranno sempre
accedere a www.miosito.com.

Tabella D-15 Descrizioni dei campi della scheda DNS dinamico

Sezione Campo Descrizione

Tipo di servizio Servizio DNS Servizio attraverso il quale si ottiene il servizio


dinamico DNS dinamico.

Le opzioni disponibili comprendono:


■ TZO
Un servizio DNS dinamico.
■ Standard
Sono disponibili numerosi servizi DNS
dinamici standard. Per l'elenco dei servizi
supportati consultare le Note di rilascio di
Symantec Gateway Security Serie 300.
■ Disattiva
Il gateway di sicurezza non utilizza il DNS
dinamico.

Porta WAN Porta WAN per la configurazione del DNS


(Modello dinamico.
360/360R)

Forza Invia informazioni IP aggiornate al servizio DNS


aggiornamento dinamico.
DNS
Selezionare questa opzione solo dietro richiesta
del servizio supporto tecnico di Symantec.
Descrizioni dei campi 185
Descrizioni dei campi WAN/ISP

Tabella D-15 Descrizioni dei campi della scheda DNS dinamico (Continua)

Sezione Campo Descrizione

Servizio DNS Chiave Stringa di caratteri alfanumerici utilizzata come


dinamico TZO password per l'account TZO. TZO invia la chiave
quando viene creato l'account.
La lunghezza massima della chiave TZO è di 16
caratteri.

e-mail Indirizzo e-mail utilizzato come nome utente


per il servizio TZO.

Dominio Nome del dominio che si desidera gestire con il


servizio TZO. Ad esempio,
marketing.miosito.com.

Servizio standard Nome utente Nome utente per l'account creato con un
servizio DNS dinamico.

Password Password per l'account creato con un servizio


DNS dinamico.

Verifica password Ridigitare la password per l'account DNS


dinamico.

Server Indirizzo IP o nome risolvibile da DNS del server


che fornisce il servizio DNS dinamico.
Ad esempio, membri.dnsdin.org.

Nome host Nome da assegnare al gateway di sicurezza. Ad


esempio, se si desidera utilizzare il nome host
marketing e il nome di dominio è miosito.com,
l'accesso al gateway di sicurezza avverrà
mediante marketing.miosito.com.
186 Descrizioni dei campi
Descrizioni dei campi WAN/ISP

Tabella D-15 Descrizioni dei campi della scheda DNS dinamico (Continua)

Sezione Campo Descrizione

Impostazioni Caratteri jolly Consente l'accesso esterno a *.sito.dominio.com


facoltative dove:
standard ■ * è un CNAME come www, mail, irc o ftp.
■ sito è il nome host.
■ dominio.com è il nome di dominio della
società.

Mail Exchanger di Attiva un host di scambio di posta di backup.


backup Se si seleziona questa casella di controllo, verrà
utilizzato per primo l'host di scambio di posta
specificato nella casella di testo Mail Exchanger,
quindi se l'operazione non viene completata
verrà sostituito dall'host di scambio di posta di
backup (fornito dal servizio DNS dinamico).

Mail Exchanger In questa casella viene specificato quale server


si desidera utilizzare per la gestione dei
messaggi e-mail inviati a un determinato nome
di dominio.
Ad esempio, sono disponibili sia
www.miosito.com che mail.miosito.com.
Il server Web è configurato per consentire
l'accesso a entrambi i siti. Si desidera gestire
tutti i messaggi e-mail indirizzati a
@miosito.com tramite il server della posta e non
il server Web. Viene pertanto configurato un
host di scambio posta che reindirizzi a
mail.miosito.com i messaggi e-mail destinati a
@miosito.com.
I nomi host utilizzati dagli host di scambio di
posta non possono essere CNAME. Non è
possibile specificare un host di scambio di posta
utilizzando un indirizzo IP. Per ulteriori
informazioni, fare riferimento alla
documentazione del servizio DNS dinamico.
Descrizioni dei campi 187
Descrizioni dei campi WAN/ISP

Descrizioni dei campi della scheda Routing


Utilizzare la tabella di routing per configurare il routing statico o dinamico per il
gateway di sicurezza.

Tabella D-16 Descrizioni dei campi della scheda Routing

Sezione Campo Descrizione

Routing dinamico Attiva RIP v2 Attiva il routing dinamico. Utilizzare questa


impostazione solo nella Intranet o con i gateway
dipartimentali.

Route statiche Voce route Nell'elenco selezionare una voce da modificare o


eliminare.

IP di destinazione Indirizzo IP/subnet per il traffico che richiede il


routing.

Netmask Mask (utilizzato con l'indirizzo IP di


destinazione) per impostare l'intervallo di
indirizzi IP per il traffico che richiede il routing.

Gateway Indirizzo IP del router al quale inviare il traffico,


che corrisponde alla combinazione indirizzo IP e
mask dell'indirizzo IP e della netmask di
destinazione.

Interfaccia Interfaccia dell'appliance alla quale viene


instradato il traffico definito.

Le opzioni disponibili comprendono:


■ LAN interna
■ WAN esterna 1
■ WAN esterna 2

Metrica Valore intero che rappresenta l'ordine in cui


dovranno essere eseguite le istruzioni di
routing. Ad esempio, 1 viene eseguito per primo.
188 Descrizioni dei campi
Descrizioni dei campi WAN/ISP

Tabella D-16 Descrizioni dei campi della scheda Routing (Continua)

Sezione Campo Descrizione

Lista della tabella Destinazione Indirizzo IP/subnet per il traffico che richiede il
di routing routing.

Netmask Mask (utilizzato con l'indirizzo IP di


destinazione) per impostare l'intervallo di
indirizzi IP per il traffico che richiede il routing.

Gateway Indirizzo IP del router al quale inviare il traffico,


che corrisponde alla combinazione indirizzo IP e
mask dell'indirizzo IP e della netmask di
destinazione.

Interfaccia Interfaccia dell'appliance alla quale viene


instradato il traffico definito.

Metrica Valore intero che rappresenta l'ordine in cui


dovranno essere eseguite le istruzioni di
routing. Ad esempio, 1 viene eseguito per primo.
Descrizioni dei campi 189
Descrizioni dei campi WAN/ISP

Descrizioni dei campi della scheda Avanzate


Utilizzare questa scheda per configurare le impostazioni di connessione
facoltative e il gateway DNS.

Tabella D-17 Descrizioni dei campi della scheda Avanzate

Sezione Campo Descrizione

Bilanciamento del Carico WAN 1 Percentuale di traffico che sarà inoltrato


carico (Modello attraverso WAN 1. Il traffico restante passerà
360/360R) attraverso WAN 2. Ad esempio, se si digita 80%,
l'80% del traffico sarà inoltrato attraverso WAN
1 e il 20% attraverso WAN 2.
La percentuale predefinita è 50%.

Binding SMTP Determina la porta WAN (e di conseguenza,


con porta WAN quale ISP) attraverso la quale viene inviata
(Modello l'e-mail. È utile se sono stati configurati due ISP
360/360R) diversi, uno per ciascuna porta WAN. In questo
caso, i messaggi e-mail in uscita vengono inviati
alla porta WAN con il binding SMTP.
I messaggi e-mail in uscita inviati da un client
vengono inoltrati alla porta WAN utilizzata
dallo stesso e quindi inviati tramite l'ISP (tipo di
connessione) configurato per quella porta.

Le opzioni disponibili comprendono:


■ Nessuna (Entrambe)
I messaggi e-mail vengono inviati
attraverso l'una o l'altra porta WAN.
■ WAN 1
Effettua il binding SMTP con WAN 1.
■ WAN 2
Effettua il binding SMTP con WAN 2.
190 Descrizioni dei campi
Descrizioni dei campi WAN/ISP

Tabella D-17 Descrizioni dei campi della scheda Avanzate (Continua)

Sezione Campo Descrizione

Impostazioni di Inattività rinnovo Numero di minuti trascorsi i quali, in assenza di


connessione DHCP traffico da LAN a WAN o da WAN a LAN, il
facoltative gateway di sicurezza invia una richiesta di
rinnovo del lease DHCP.
Per disattivare questa funzione, digitare 0.

Forza Invia una richiesta all'ISP per il rinnovo del


aggiornamento lease DHCP.
(Modello 320)

Rinnova WAN 1, Invia una richiesta all'ISP per il rinnovo del


Rinnova WAN 2 lease DHCP per WAN 1 o WAN 2.
(Modello
360/360R)

Porta WAN 1 Dimensione massima, in byte, dei pacchetti


inoltrati attraverso la porta WAN in fase di
Porta WAN 2
configurazione.
(Modello
360/360R) Il valore predefinito è 1500 byte. Per PPPoE, il
valore predefinito in byte è 1472.

Impostazioni PPP Timeout Numero di secondi tra due richieste echo.

Tentativi Numero di tentativi ripetuti dal gateway di


sicurezza per l'invio delle richieste echo.

Gateway DNS Gateway DNS Indirizzo IP di un gateway DNS non relativo a un


ISP (privato o interno) da utilizzare per la
risoluzione dei nomi.

Attiva gateway Se si specifica un gateway DNS e questo non è


DNS di backup più disponibile, questo consente all'appliance di
utilizzare i server DNS dell'ISP come backup.
Descrizioni dei campi 191
Descrizione dei campi relativi al firewall

Descrizione dei campi relativi al firewall


Il gateway di sicurezza Symantec Gateway Security Serie 300 comprende una
tecnologia firewall che consente di definire le regole in entrata e in uscita per il
controllo del traffico attraverso lo stesso gateway di sicurezza. Durante la
configurazione del firewall è necessario identificare tutti i nodi, o computer,
protetti nella rete.
In questa sezione vengono illustrati i seguenti argomenti:
■ Descrizioni dei campi della scheda Computer
■ Descrizioni dei campi della scheda Gruppi di computer
■ Descrizioni dei campi della scheda Regole in entrata
■ Descrizioni dei campi della scheda Regole in uscita
■ Descrizioni dei campi della scheda Servizi
■ Descrizioni dei campi della scheda Applicazioni speciali
■ Descrizioni dei campi della scheda Avanzate
192 Descrizioni dei campi
Descrizione dei campi relativi al firewall

Descrizioni dei campi della scheda Computer


Prima di configurare le regole in entrata e in uscita, è necessario identificare i
nodi nella scheda Computer.

Tabella D-18 Descrizioni dei campi della scheda Computer

Sezione Campo Descrizione

Identità host Host Selezionare nell'elenco un nome host (nome di


rete) da modificare o eliminare.

Nome host Definisce il nome dell'host (un computer della


rete interna). Utilizzare un nome descrittivo
breve. È opportuno utilizzare il nome host o
nome DNS presente nelle proprietà di rete del
computer.

Indirizzo scheda Indirizzo fisico della scheda di interfaccia di rete


(MAC) (NIC) dell'host, di solito una scheda Ethernet o
wireless.

Gruppo di Visualizza tutti i gruppi di computer ai quali è


computer possibile effettuare il binding degli host. Nei
gruppi di computer sono riuniti i computer ai
quali si desidera applicare le stesse regole.
Le opzioni disponibili comprendono:
■ Tutti
■ Gruppo 1
■ Gruppo 2
■ Gruppo 3
■ Gruppo 4

Server di Riserva host Aggiunge l'indirizzo MAC (specificato nella


applicazione casella di testo Indirizzo scheda (MAC)) al server
DHCP dell'appliance in modo che venga sempre
assegnato all'indirizzo IP specificato nella
casella di testo Indirizzo IP. Questo è
obbligatorio per i server di applicazione.
La selezione di questa casella di controllo
garantisce che il server DHCP offra sempre
l'indirizzo IP definito al computer in questione,
oppure è possibile impostare tale indirizzo IP
come statico nel computer.

Indirizzo IP Definisce l'indirizzo IP del server di


applicazione.
Descrizioni dei campi 193
Descrizione dei campi relativi al firewall

Tabella D-18 Descrizioni dei campi della scheda Computer (Continua)

Sezione Campo Descrizione

Associazione Binding con porta Effettua il binding del computer a una


sessione - WAN (Modello particolare porta WAN per consentire l'uscita
Facoltativa 360/360R) del traffico solo attraverso quella porta. È utile
se sono stati configurati due account a banda
larga, uno per ogni porta WAN, e si desidera che
il traffico in uscita dal computer passi
attraverso un solo account dell'ISP.

Binding con Visualizza tutte le sessioni PPPoE di cui è


sessione PPPoE possibile effettuare il binding per l'accesso a
gruppi e regole:
■ Sessione 1
■ Sessione 2
■ Sessione 3
■ Sessione 4
■ Sessione 5
Selezionare una sessione solo se il servizio
dell'ISP prevede sessioni PPPoE multiple.

Elenco host Nome host Nome dell'host (un computer nella rete interna).

Indirizzo scheda Indirizzo fisico della scheda di interfaccia di rete


(MAC) (NIC) dell'host, in genere una scheda Ethernet o
wireless

Server di Indirizzo IP del server di applicazione.


applicazione

Gruppo di Gruppo di computer al quale è assegnato l'host.


computer

Sessione PPPoE Sessione PPPoE alla quale è associato l'host.


194 Descrizioni dei campi
Descrizione dei campi relativi al firewall

Descrizioni dei campi della scheda Gruppi di computer


In questa scheda è possibile raggruppare i computer, definiti nella scheda
Computer, ai quali si desidera applicare le stesse regole in entrata e in uscita.

Tabella D-19 Descrizioni dei campi della scheda Gruppi di computer

Sezione Campo Descrizione

Politica di Gruppo di Selezionare un gruppo di computer da


sicurezza computer modificare o eliminare.

Applicazione Attiva Se si attiva l'applicazione della politica antivirus


politica antivirus applicazione per il gruppo di computer selezionato, il
politica antivirus gateway di sicurezza controllerà le workstation
client per determinarne la conformità con il
software antivirus e le politiche di sicurezza
correnti.

Le opzioni disponibili per ogni gruppo


comprendono:
■ Avvisa solo (impostazione predefinita)
A un client con software antivirus o
definizioni dei virus non conformi viene
comunque consentito l'accesso. Un
messaggio nel registro informa
l'amministratore che il client non è
conforme.
■ Blocca connessioni
A un client con software antivirus o
definizioni dei virus non conformi viene
negato l'accesso alla rete esterna. Al client
è consentito l'accesso a Symantec
Antivirus CE Server o al server LiveUpdate
per rendere conformi le definizioni dei
virus in uso.
Descrizioni dei campi 195
Descrizione dei campi relativi al firewall

Tabella D-19 Descrizioni dei campi della scheda Gruppi di computer (Continua)

Sezione Campo Descrizione

Filtro dei Attiva filtro dei Se si attiva il filtro dei contenuti per il gruppo di
contenuti contenuti computer selezionato, il gateway di sicurezza
consentirà o bloccherà l'accesso agli URL inclusi
negli elenchi di autorizzazioni e divieti presenti
nella sezione Filtro dei contenuti.

Le opzioni disponibili per ogni gruppo


comprendono:
■ Utilizza elenco di divieti
Comprende un elenco di URL bloccati,
mentre tutti gli altri sono consentiti.
■ Utilizza elenco di autorizzazioni
Comprende un elenco di URL di siti a cui è
consentito l'accesso, mentre tutti gli altri
siti sono bloccati.
196 Descrizioni dei campi
Descrizione dei campi relativi al firewall

Tabella D-19 Descrizioni dei campi della scheda Gruppi di computer (Continua)

Sezione Campo Descrizione

Controllo accessi Nessuna Un host assegnato a questo gruppo è


(regole in uscita) restrizione autorizzato a inoltrare qualsiasi tipo di traffico
alla rete esterna. Non è necessario definire
regole per i gruppi di accesso appartenenti a
questa categoria. L'impostazione Nessuna
restrizione ignorerà tutte le regole in uscita.
Questa è l'impostazione predefinita.

Blocca TUTTI gli Se si configura un gruppo di accesso affinché


accessi in uscita blocchi tutte le funzionalità di accesso a
Internet, verrà bloccato tutto il traffico in uscita.
Un host assegnato a questo gruppo non potrà
inoltrare alcun tipo di traffico attraverso il
gateway di sicurezza. Non è necessario definire
regole per i gruppi di accesso appartenenti a
questa categoria. È utile per i nodi che
richiedono solo l'accesso alla LAN ma non alla
rete esterna, ad esempio le stampanti in rete.

Utilizza regole Se un gruppo di accesso viene configurato per


definite nella l'utilizzo di regole definite nella scheda Regole
finestra Regole in in uscita, è necessario specificare il tipo di
uscita traffico che l'host, in quanto membro di quel
gruppo logico, potrà inoltrare. A questo scopo,
creare una regola in uscita. Quando si utilizza
questa opzione, gli host potranno inoltrare solo
il traffico corrispondente all'elenco di regole in
uscita definite per il gruppo di accesso in
questione.
Lo stato predefinito del gateway di sicurezza
prevede il blocco di tutto il traffico in uscita
finché non vengono configurate regole che
definiscano il tipo di traffico in uscita
consentito.
Descrizioni dei campi 197
Descrizione dei campi relativi al firewall

Descrizioni dei campi della scheda Regole in entrata


In questa scheda è possibile definire il traffico a cui è consentito l'accesso alla
rete interna.

Tabella D-20 Descrizioni dei campi della scheda Regole in entrata

Sezione Campo Descrizione

Regole in entrata Regola Selezionare una regola in entrata da modificare


o eliminare.

Definizione Nome Digitare un nuovo nome quando si aggiunge una


regola regola.

Attiva regola Selezionare per attivare la regola in entrata.

Server di Mostra i server di applicazione configurati e


applicazione disponibili per le regole in entrata. Per
configurare questi server, utilizzare la scheda
Computer.

Servizio Tipo di traffico applicato alla regola. Comprende


sia l'elenco dei servizi predefiniti, sia i servizi
personalizzati creati dall'utente.

Elenco regole in Attivata? Indica se la regola in entrata è attivata per l'uso.


entrata
Nome Nome della regola in entrata.

Servizio Servizio gestito da questa regola in entrata, ad


esempio HTTP o FTP.
198 Descrizioni dei campi
Descrizione dei campi relativi al firewall

Descrizioni dei campi della scheda Regole in uscita


In questa scheda è possibile definire il traffico a cui è consentita l'uscita dalla
rete interna per l'accesso ad altre reti o a Internet.
Tabella D-21 Descrizioni dei campi della scheda Regole in uscita

Sezione Campo Descrizione

Gruppi di Gruppo di Selezionare un gruppo per il quale modificare o


computer computer aggiungere regole.

Regole in uscita Regola Selezionare una regola in uscita da aggiornare o


eliminare.

Nome regola Nome della regola in uscita.

Attiva regola Selezionare per attivare le regole in uscita.

Servizio Servizio gestito dalla regola in uscita.

Elenco regole in Attivata? Visualizza S o N. Indica se la regola in uscita è


uscita attivata per l'uso.

Nome Nome della regola in uscita.

Servizio Servizio gestito dalla regola in uscita.

Descrizioni dei campi della scheda Servizi


In questa scheda è possibile definire i servizi da utilizzare nelle regole firewall in
entrata e in uscita.

Tabella D-22 Descrizioni dei campi della scheda Servizi

Sezione Campo Descrizione

Servizi Applicazione Selezionare un'applicazione disponibile per i


servizi da modificare o eliminare.
Descrizioni dei campi 199
Descrizione dei campi relativi al firewall

Tabella D-22 Descrizioni dei campi della scheda Servizi (Continua)

Sezione Campo Descrizione

Impostazioni Nome Nome del servizio in fase di creazione.


applicazione
Protocollo Selezionare il protocollo associato al servizio.

Le opzioni disponibili comprendono:


■ TCP
■ UDP

Porta/e di ascolto Definisce l'intervallo di porte in attesa di


pacchetti.
■ Inizio
Digitare la prima porta dell'intervallo
di ascolto.
■ Fine
Digitare l'ultima porta dell'intervallo
di ascolto.
La quantità di porte nell'intervallo deve
corrispondere al numero di porte definito in
Reindirizza sulla porta/e. Se, ad esempio,
l'intervallo delle porte di ascolto è impostato da
20 a 27, anche l'intervallo di reindirizzamento
dovrà essere di 7 porte.

Reindirizza sulla Definisce l'intervallo di porte alle quali vengono


porta/e reindirizzati i pacchetti.
■ Inizio
Digitare la prima porta dell'intervallo di
reindirizzamento.
■ Fine
Digitare l'ultima porta dell'intervallo di
reindirizzamento.
La quantità di porte nell'intervallo deve
corrispondere al numero di porte definito in
Porta/e di ascolto. Se, ad esempio, l'intervallo
delle porte di reindirizzamento è impostato da
20 a 27, anche l'intervallo di ascolto dovrà
essere di 7 porte.
200 Descrizioni dei campi
Descrizione dei campi relativi al firewall

Tabella D-22 Descrizioni dei campi della scheda Servizi (Continua)

Sezione Campo Descrizione

Elenco servizi Nome Nome del servizio.

Protocollo Protocollo associato al servizio.

Ascolta sulla Prima porta di ascolto nell'intervallo.


porta iniziale

Ascolta sulla Ultima porta di ascolto nell'intervallo.


porta finale

Reindirizza sulla Prima porta di reindirizzamento nell'intervallo.


porta iniziale

Reindirizza sulla Ultima porta di reindirizzamento nell'intervallo.


porta finale

Descrizioni dei campi della scheda Applicazioni speciali


Alcune applicazioni con esigenze di comunicazione bidirezionale, come giochi,
video o teleconferenza, richiedono l'utilizzo di porte dinamiche sul gateway di
sicurezza. Per la definizione di queste applicazioni, utilizzare la scheda
Applicazioni speciali.

Tabella D-23 Descrizioni dei campi della scheda Applicazioni speciali

Sezione Campo Descrizione

Applicazioni Applicazione Selezionare un'applicazione speciale da


speciali aggiornare o eliminare.
Descrizioni dei campi 201
Descrizione dei campi relativi al firewall

Tabella D-23 Descrizioni dei campi della scheda Applicazioni speciali (Continua)

Sezione Campo Descrizione

Impostazioni Nome Nome dell'applicazione speciale.


applicazione
Attiva Attiva l'applicazione speciale per tutti i gruppi
speciale
di computer.

Protocollo in Protocollo utilizzato per i pacchetti in uscita.


uscita
Le opzioni disponibili comprendono:
■ TCP
■ UDP

Porta(e) in uscita Intervallo di porte utilizzate per l'invio di


pacchetti.
■ Inizio
Prima porta dell'intervallo di porte in
uscita.
■ Fine
Ultima porta dell'intervallo di porte in
uscita.

Protocollo in Protocollo utilizzato per i pacchetti in entrata.


entrata
Le opzioni disponibili comprendono:
■ TCP
■ UDP

Porta(e) in entrata Intervallo di porte utilizzate per la ricezione di


pacchetti.
■ Inizio
Prima porta dell'intervallo di porte in
entrata.
■ Fine
Ultima porta dell'intervallo di porte in
entrata.
202 Descrizioni dei campi
Descrizione dei campi relativi al firewall

Tabella D-23 Descrizioni dei campi della scheda Applicazioni speciali (Continua)

Sezione Campo Descrizione

Elenco Nome Nome dell'applicazione speciale.


applicazioni
Attivata Indica se l'applicazione speciale è attivata per
speciali
tutti i gruppi di computer.

Protocollo in Protocollo per i pacchetti in uscita.


uscita

Porta iniziale di Prima porta nell'intervallo delle porte di uscita.


uscita

Porta finale in Ultima porta nell'intervallo delle porte di uscita.


uscita

Protocollo in Protocollo per i pacchetti in entrata.


entrata

Porta iniziale in Prima porta nell'intervallo delle porte di


entrata entrata.

Porta finale in Ultima porta nell'intervallo delle porte di


entrata entrata.
Descrizioni dei campi 203
Descrizione dei campi relativi al firewall

Descrizioni dei campi della scheda Avanzate


In questa scheda è possibile configurare le impostazioni firewall avanzate, come
pass-thru IPSec.

Tabella D-24 Descrizioni dei campi della scheda Avanzate

Sezione Campo Descrizione

Impostazioni di Attiva porta Disattivando questa opzione la porta 113


sicurezza IDENT rimane chiusa, ovvero non aperta (stealth).
facoltative Attivare questa impostazione solo in caso di
problemi di accesso a un server.
La porta IDENT contiene di solito il nome
dell'host o informazioni sul nome della società.
Per impostazione predefinita, il gateway di
sicurezza imposta tutte le porte in modalità
stealth. In questo modo il computer sarà
invisibile all'esterno della rete. Alcuni server,
come certi server di e-mail o MIRC, visualizzano
la porta IDENT del sistema che effettua
l'accesso.

Disattiva Disattivando questa modalità, vengono


modalità NAT disattivate le funzioni di sicurezza del firewall.
Utilizzare questa impostazione solo per le
distribuzioni di gateway di sicurezza sulla
Intranet, ad esempio se il gateway di sicurezza
viene utilizzato come bridge in una rete
protetta.
Se il gateway di sicurezza è configurato in
modalità NAT, agirà come un dispositivo bridge
802.1D.

Blocca richieste Vengono bloccate le richieste ICMP, come PING


ICMP e traceroute, alle porte WAN.
204 Descrizioni dei campi
Descrizione dei campi relativi al firewall

Tabella D-24 Descrizioni dei campi della scheda Avanzate (Continua)

Sezione Campo Descrizione

Impostazioni Tipo di IPsec Questi valori vengono utilizzati da alcuni


passthru IPSec produttori nelle VPN IPsec ESP per la
compatibilità pass-through IPsec dei client
software. Le impostazioni non sono applicabili
al gateway VPN sul gateway di sicurezza.
Mantenere questa impostazione su SPI 2, a
meno che il supporto tecnico Symantec ne
richieda la modifica.
L'impostazione Nessuno consente di utilizzare i
client VPN in modalità host esposto qualora non
sia possibile stabilire la connessione dietro il
gateway di sicurezza.

Le opzioni disponibili comprendono:


■ SPI 1
ADI (Assured Digital)
■ SPI 2
Normale (Cisco Client, Symantec Client
VPN, Nortel Extranet, Checkpoint
SecureRemote)
■ 2 SPI-C
(Cisco VPN Concentrator serie 30x0 - già
Altiga)
■ Altri
Redcreek Ravlin Client
■ Nessuna
Utilizzare solo per i client di debug.

Host esposto Attiva host Selezionare per attivare un host esposto.


esposto
Utilizzare questa funzione solo quando
necessario. Questa funzione consente a un
computer nella LAN di stabilire una
comunicazione bidirezionale senza restrizioni
con server o utenti in Internet. È utile per
l'hosting di giochi o di server o applicazioni
speciali.

Indirizzo IP LAN Indirizzo IP dell'host esposto.


Se un host viene configurato come host esposto,
tutto il traffico non specificamente consentito
da una regola in entrata viene reindirizzato
automaticamente all'host esposto.
Descrizioni dei campi 205
Descrizioni dei campi relativi alle VPN

Descrizioni dei campi relativi alle VPN


Le reti private virtuali (VPN) consentono l'estensione sicura dei confini della
rete interna per utilizzare canali di comunicazione non protetti, come Internet,
per trasferire dati critici in modo sicuro. Le VPN vengono utilizzate per
consentire a un singolo utente o a una rete remota di accedere alle risorse
protette in un'altra rete.
I gateway di sicurezza Symantec Gateway Security Serie 300 supportano due tipi
di tunnel VPN: da gateway a gateway e da client a gateway.
In questa sezione vengono illustrati i seguenti argomenti:
■ Descrizioni dei campi della scheda Tunnel dinamici
■ Descrizioni dei campi della scheda Tunnel statici
■ Descrizioni dei campi della scheda Tunnel client
■ Descrizioni dei campi della scheda Utenti client
■ Descrizioni dei campi della scheda Politiche VPN
■ Descrizioni dei campi della scheda Stato
■ Descrizioni dei campi della scheda Avanzate
206 Descrizioni dei campi
Descrizioni dei campi relativi alle VPN

Descrizioni dei campi della scheda Tunnel dinamici


In questa tabella sono descritti i campi della scheda Tunnel dinamici che
consente di configurare tunnel VPN dinamici da gateway a gateway.

Tabella D-25 Descrizioni dei campi della scheda Tunnel dinamici

Sezione Campo Descrizione

Associazione di Tunnel VPN Selezionare un tunnel da aggiornare o


sicurezza IPSec eliminare.

Nome Nome del tunnel.


Il nome del tunnel può essere composto da un
massimo di 25 caratteri alfanumerici, trattini e
caratteri di sottolineatura. Questo nome viene
utilizzato solo come riferimento nella SGMI.
È possibile creare fino a 50 tunnel.

Attiva tunnel VPN Consente agli utenti delle VPN di utilizzare il


tunnel in fase di definizione.
Per disattivare temporaneamente il tunnel,
deselezionare questa casella e fare clic su
Aggiorna. Per disattivare definitivamente il
tunnel, fare clic su Elimina.

Tipo fase 1 Modalità di negoziazione fase 1.

Le opzioni disponibili comprendono:


■ Modalità principale
Effettua la negoziazione con un indirizzo
IP di origine.
■ Modalità aggressiva
Effettua la negoziazione con un ID, quale
un nome. Il software client VPN effettua
generalmente la negoziazione in modalità
aggressiva.
Il valore predefinito corrisponde alla modalità
principale.

Politica VPN Politica che definisce le impostazioni di


autenticazione, crittografia e timeout.
L'elenco comprende le politiche predefinite di
Symantec e quelle eventualmente create
dall'utente nella scheda relativa alle politiche
VPN.
Descrizioni dei campi 207
Descrizioni dei campi relativi alle VPN

Tabella D-25 Descrizioni dei campi della scheda Tunnel dinamici (Continua)

Sezione Campo Descrizione

Gateway Sessione PPPoE La sessione PPPoE predefinita è la Sessione 1.


sicurezza locale
Richiede un account PPPoE dell'ISP. Se si
dispone di un account PPPoE a sessione singola,
lasciare la sessione PPPoE su Sessione 1.

Endpoint locale Porta nel gateway di sicurezza in


(Modello 360/ corrispondenza della quale si desidera
360R) terminare il tunnel.

Le opzioni disponibili comprendono:


■ WAN 1
■ WAN 2

Tipo ID Tipo di ID utilizzato per la negoziazione


ISAKMP.

Le opzioni disponibili comprendono:


■ Indirizzo IP
■ Nome distinto
Il valore predefinito è Indirizzo IP.

ID fase 1 Valore corrispondente al tipo di ID. Questo


valore viene utilizzato per identificare il
gateway di sicurezza durante le negoziazioni
fase 1.
Se è stata selezionata l'opzione Indirizzo IP,
digitare un indirizzo IP. Se è stata selezionata
l'opzione Nome distinto, digitare un nome di
dominio completo. Se si seleziona l'opzione
Indirizzo IP e si lascia vuoto il campo, il valore
predefinito sarà l'indirizzo IP dell'interfaccia
interna del gateway di sicurezza.
Il valore massimo è 31 caratteri alfanumerici.

Broadcast Consente di accedere alla rete VPN nelle Risorse


NetBIOS di rete e di condividere file in un computer che
esegue Microsoft Windows. Per accettare il
traffico è necessario un host WINS.
Per impostazione predefinita la trasmissione
NetBIOS è disattivata.
208 Descrizioni dei campi
Descrizioni dei campi relativi alle VPN

Tabella D-25 Descrizioni dei campi della scheda Tunnel dinamici (Continua)

Sezione Campo Descrizione

Gateway Tunnel globale Di solito vengono inoltrate attraverso la VPN


sicurezza locale solo le richieste destinate alla rete protetta dal
(Continua) gateway VPN remoto. L'altro traffico, come
l'accesso al Web, viene inoltrato direttamente a
Internet. Se si attiva il tunnel globale, tutto il
traffico esterno viene inoltrato al gateway VPN
sopra descritto. Ciò consente al firewall della
sede principale di filtrare il traffico prima di
inviare la richiesta in Internet. Il sito remoto
usufruirà in questo modo della protezione
firewall dal sito principale. Quando è attivato il
tunnel globale, lasciare vuota l'area relativa alle
reti di destinazione. Attivando il tunnel globale
vengono disattivate anche tutte le altre SA,
poiché tutto il traffico dovrà essere instradato
attraverso il gateway del tunnel globale.
Per impostazione predefinita il tunnel globale è
disattivato.
Descrizioni dei campi 209
Descrizioni dei campi relativi alle VPN

Tabella D-25 Descrizioni dei campi della scheda Tunnel dinamici (Continua)

Sezione Campo Descrizione

Gateway Indirizzo gateway Indirizzo IP o nome di dominio completo del


sicurezza remota gateway remoto, ovvero il gateway al quale si
connetterà il tunnel.
Il numero massimo di caratteri alfanumerici
consentiti in questa casella è 128.

Tipo ID Tipo di ID utilizzato per la negoziazione


ISAKMP.

Le opzioni disponibili comprendono:


■ Indirizzo IP
■ Nome distinto
Il valore predefinito è Indirizzo IP.

ID fase 1 Valore corrispondente al tipo di ID.


Se è stata selezionata l'opzione Indirizzo IP,
digitare un indirizzo IP. Se è stata selezionata
l'opzione Nome distinto, digitare un nome di
dominio completo.
Il numero massimo di caratteri alfanumerici
consentiti in questa casella è 31.

Chiave Chiave utilizzata per l'autenticazione ISAKMP


precondivisa (IKE). Effettua l'autenticazione dell'estremità
remota del tunnel.
La lunghezza di tale chiave è compresa tra un
minimo di 20 e un massimo di 64 caratteri
alfanumerici. La chiave precondivisa
all'estremità remota del tunnel deve
corrispondere a questo valore.

IP subnet remota Indirizzo IP della subnet remota.

Mask Mask della subnet remota.


210 Descrizioni dei campi
Descrizioni dei campi relativi alle VPN

Descrizioni dei campi della scheda Tunnel statici


In questa tabella sono descritti i campi della scheda Tunnel statici che consente
di configurare tunnel VPN statici da gateway a gateway per il gateway di
sicurezza.

Tabella D-26 Descrizioni dei campi della scheda Tunnel statici

Sezione Campo Descrizione

Associazione di Tunnel VPN Selezionare un tunnel da aggiornare o


sicurezza IPSec eliminare.

Nome tunnel Nome del tunnel statico.


Questo nome viene utilizzato solo come
riferimento nella SGMI.
È possibile creare fino a 50 tunnel statici.
La lunghezza massima del nome del tunnel è 50
caratteri.

Attiva tunnel VPN Consente agli utenti delle VPN di utilizzare il


tunnel in fase di definizione.
Per disattivare temporaneamente il tunnel,
deselezionare questa casella, quindi fare clic su
Aggiorna. Per disattivare definitivamente il
tunnel, fare clic su Elimina.

Sessione PPPoE Richiede un account PPPoE dell'ISP.


La sessione PPPoE predefinita è la Sessione 1.
Se si dispone di un account PPPoE a sessione
singola, lasciare la sessione PPPoE su
Sessione 1.

Endpoint locale Porta nel gateway di sicurezza, che si sta


(Modello 360) configurando, in corrispondenza della quale si
desidera terminare il tunnel.

SPI in entrata Indice di parametri di sicurezza (SPI, Security


Parameter Index) in entrata nel pacchetto IPsec.
Il valore predefinito è un numero decimale. Per i
numeri esadecimali anteporre 0x al valore.
L'indice di parametri di sicurezza (SPI) è un
numero compreso tra 257 e 8192 che identifica
il tunnel.
Questo valore deve corrispondere all'SPI in
uscita all'estremità remota del tunnel.
Descrizioni dei campi 211
Descrizioni dei campi relativi alle VPN

Tabella D-26 Descrizioni dei campi della scheda Tunnel statici (Continua)

Sezione Campo Descrizione

Associazione di SPI in uscita Indice di parametri di sicurezza (SPI, Security


sicurezza IPSec Parameter Index) in uscita nel pacchetto IPsec.
(Contunua) Il valore predefinito è un numero decimale.
Per i numeri esadecimali anteporre 0x al valore.
L'indice di parametri di sicurezza (SPI) è un
numero compreso tra 257 e 8192 che identifica
il tunnel. È l'SPI con cui vengono inviati i
pacchetti.
Questo valore deve corrispondere all'SPI in
entrata all'estremità remota del tunnel.

Politica VPN Politica che definisce le impostazioni di


autenticazione, crittografia e timeout.
L'elenco comprende le politiche predefinite
di Symantec e quelle eventualmente create
dall'utente nella scheda relativa alle
politiche VPN.

Chiave di Chiave per la crittografia della sezione dati


crittografia del pacchetto IPsec. La chiave permette di
scomporre e ricomporre i dati trasmessi.
Il tipo di numero predefinito è decimale.
Per i numeri esadecimali, far precedere il valore
con 0x. La lunghezza della chiave dipende
dall'efficacia della crittografia specificata nella
politica VPN.
È necessario immettere una chiave di
crittografia corrispondente nell'estremità
remota del tunnel.

Chiave di Chiave per l'autenticazione dei pacchetti IPsec.


autenticazione Il tipo di numero predefinito è decimale. Per i
numeri esadecimali, far precedere il valore con
0x. La lunghezza della chiave dipende dal tipo di
autenticazione (MD5, SHA1 e così via)
selezionata nella politica VPN.
212 Descrizioni dei campi
Descrizioni dei campi relativi alle VPN

Tabella D-26 Descrizioni dei campi della scheda Tunnel statici (Continua)

Sezione Campo Descrizione

Gateway Indirizzo gateway Indirizzo IP o nome di dominio completo del


sicurezza remota gateway di sicurezza con il quale si sta creando
un tunnel.
La lunghezza massima per questo campo è di
128 caratteri alfanumerici.

Broadcast Consente di accedere alla rete VPN nelle Risorse


NetBIOS di rete e di condividere file in un computer che
esegue Microsoft Windows. Per accettare il
traffico è necessario un host WINS.
Per impostazione predefinita NetBIOS è
disattivato.

Tunnel globale Di solito vengono inoltrate attraverso la VPN


solo le richieste destinate alla rete protetta dal
gateway VPN remoto. L'altro traffico, come
l'accesso al Web, viene inoltrato direttamente a
Internet. Se si attiva il tunnel globale, tutto il
traffico esterno viene inoltrato al gateway VPN
sopra descritto. Ciò consente al firewall della
sede principale di filtrare il traffico prima di
inviare la richiesta in Internet. Il sito remoto
usufruirà in questo modo della protezione
firewall dal sito principale. Quando è attivato il
tunnel globale, lasciare vuota l'area relativa alle
reti di destinazione. Attivando il tunnel globale
vengono disattivate anche tutte le altre SA,
poiché tutto il traffico dovrà essere instradato
attraverso il gateway del tunnel globale.
Per impostazione predefinita il tunnel globale è
disattivato.

IP subnet remota Indirizzo IP della subnet remota.

Mask Mask della subnet remota.


Descrizioni dei campi 213
Descrizioni dei campi relativi alle VPN

Descrizioni dei campi della scheda Tunnel client


In questa scheda è possibile definire i tunnel da client a gateway. Accertarsi di
avere definito gli utenti nella scheda Utenti client prima di definire il tunnel.

Tabella D-27 Descrizioni dei campi della scheda Tunnel client

Sezione Campo Descrizione

Definizione Gruppo VPN Selezionare un gruppo VPN da aggiornare o


tunnel gruppo eliminare.
L'appartenenza a questi tre gruppi può essere
modificata. Non è possibile aggiungere
gruppi VPN.

Attiva VPN client Consente agli utenti VPN definiti di connettersi


nel lato WAN all'interfaccia WAN.

Attiva VPN client Consente agli utenti VPN definiti di connettersi


nel lato all'interfaccia LAN e LAN wireless.
WLAN/LAN

Parametri di DNS primario Indirizzo IP del server DNS primario


rete VPN utilizzato dagli utenti della VPN per la
risoluzione dei nomi.

DNS secondario Indirizzo IP del server DNS secondario


utilizzato dagli utenti della VPN per la
risoluzione dei nomi.

WINS primario Indirizzo IP del server WINS primario.


Windows Internet Naming Service (WINS) è un
sistema che determina l'indirizzo IP associato a
un particolare computer nella rete.

WINS secondario Indirizzo IP del server WINS secondario.

Controller di Indirizzo IP del controller di dominio primario.


dominio primario
(PDC)
214 Descrizioni dei campi
Descrizioni dei campi relativi alle VPN

Tabella D-27 Descrizioni dei campi della scheda Tunnel client (Continua)

Sezione Campo Descrizione

Autenticazione Attiva Impone a tutti gli utenti appartenenti al gruppo


utente estesa autenticazione VPN selezionato di utilizzare RADIUS per
utente estesa l'autenticazione estesa dopo la fase 1, ma prima
della fase 2.

Binding di gruppo Se viene specificato un binding di gruppo


RADIUS RADIUS, l'utente remoto dovrà essere membro
di quel gruppo sul server RADIUS. L'ID filtro
restituito da RADIUS dovrà corrispondere a
questo valore per completare l'autenticazione
dell'utente.
Se si specificano binding di gruppo RADIUS, non
potranno essere presenti due tunnel client con
la stessa impostazione per il binding di gruppo.
La lunghezza massima del valore è 25 caratteri.

Politica client Attiva filtro dei Il traffico di tutti i client nel gruppo VPN
WAN contenuti selezionato è soggetto alle regole di filtro dei
contenuti impostate negli elenchi di
autorizzazioni e di divieti.

Utilizza elenco di Il filtro dei contenuti utilizza l'elenco di divieti,


divieti un elenco di URL la cui visualizzazione è vietata
ai client, e autorizza tutto il resto del traffico.

Utilizza elenco di Il filtro dei contenuti utilizza l'elenco di


autorizzazioni autorizzazioni, un elenco di URL la cui
visualizzazione è permessa ai client, e blocca
tutto il resto del traffico.

Attiva Impone a tutti gli utenti appartenenti al gruppo


applicazione VPN selezionato di utilizzare il software
politica antivirus antivirus con le definizioni dei virus più
aggiornate.

Avvisa solo Se l'utente non dispone del software antivirus


con le definizioni dei virus più aggiornate, viene
registrato un messaggio di testo.

Blocca Se l'utente non dispone del software antivirus


connessioni con le definizioni dei virus più aggiornate, il
traffico viene bloccato.
Descrizioni dei campi 215
Descrizioni dei campi relativi alle VPN

Descrizioni dei campi della scheda Utenti client


In questa scheda è possibile definire gli utenti remoti che accederanno alla rete
tramite un tunnel VPN.

Tabella D-28 Descrizioni dei campi della scheda Utenti client

Sezione Campo Descrizione

Identità Utente Selezionare un utente da aggiornare o


utenti VPN eliminare.

Attiva Consente a un utente di utilizzare un


tunnel VPN.
Per sospendere temporaneamente un utente,
deselezionare la casella Attiva, quindi fare clic
su Aggiorna. Per rimuovere definitivamente un
utente, fare clic su Elimina.

Nome utente Nome utente dell'utente client.


Il numero massimo di caratteri alfanumerici
consentiti per questo valore è 31. Deve
corrispondere all'ID client remoto nel software
Symantec Client VPN.
È possibile aggiungere fino a 50 utenti client.

Chiave Chiave utilizzata per l'autenticazione ISAKMP


precondivisa (IKE). Questa chiave è univoca dell'utente
specificato.
La chiave precondivisa deve essere indicata.
Il numero massimo di caratteri alfanumerici
consentiti per questo valore è 64. La chiave
precondivisa deve corrispondere a quella
presentata dal client VPN remoto.

Gruppo VPN Definisce il gruppo VPN (definizione del tunnel)


per l'utente corrente.
216 Descrizioni dei campi
Descrizioni dei campi relativi alle VPN

Descrizioni dei campi della scheda Politiche VPN


Selezionare una politica VPN per ogni tunnel. Utilizzare la scheda Politiche VPN
per definire ogni politica o per modificare una politica predefinita.

Tabella D-29 Descrizioni dei campi della scheda Politiche VPN

Sezione Campo Descrizione

Parametri Politica VPN Selezionare una politica da aggiornare o eliminare.


dell'associazio
Nota: Non è possibile eliminare le politiche
ne di sicurezza
predefinite di Symantec.
IPSec (fase 2)
Le opzioni disponibili comprendono:
■ ike_default_crypto
■ ike_default_crypto_strong
■ Static_default_crypto
■ Static_default_crypto_strong
■ Eventuali politiche VPN create dall'utente

Nome Nome da assegnare alla politica.


Questo nome viene utilizzato solo per riferimento
nella SGMI. Il valore massimo è 28 caratteri
alfanumerici.

Integrità dei dati Le opzioni disponibili comprendono:


(Autenticazione) ■ ESP MD5 (impostazione predefinita)
■ ESP SHA1
■ AH MD5
■ AH SHA1
Questa selezione deve corrispondere a quella nel
gateway di sicurezza remoto.

Confidenzialità Le opzioni disponibili comprendono:


dei dati ■ DES
(Crittografia)
■ 3DES
■ AES_VERY_STRONG
■ AES_STRONG
■ AES
■ NULL (nessuna)
Se è stata selezionata l'opzione di autenticazione
dell'integrità dei dati AH, non sarà necessario
selezionare un tipo di crittografia.
Descrizioni dei campi 217
Descrizioni dei campi relativi alle VPN

Tabella D-29 Descrizioni dei campi della scheda Politiche VPN (Continua)

Sezione Campo Descrizione

Parametri Durata SA Intervallo, in minuti, prima della rinegoziazione


dell'associazio fase 2 di nuove chiavi di autenticazione e
ne di sicurezza crittografia per il tunnel.
IPSec (fase 2)
Il valore predefinito è 480 minuti. Il valore
(continua)
massimo è 2.147.483.647 minuti.

Limite volume Numero massimo di kilobyte consentiti attraverso


dati il tunnel prima che venga richiesta una rekey.
Il valore predefinito è 2100000 KB (2050 MB).
Il valore massimo è 4200000 KB (4101 MB).

Timeout inattività Numero di minuti durante i quali un tunnel può


rimanere inattivo prima che venga eseguita una
rekey.
Digitare 0 per nessun timeout.

Segretezza inoltro Offre un'ulteriore protezione da eventuali attacchi


perfetta sferrati mediante il tentativo di indovinare la
chiave ISKAMP corrente. Non tutti i client e i
gateway di sicurezza sono compatibili con questa
impostazione.
Le opzioni disponibili comprendono:
■ Gruppo DH 1
■ Gruppo DH 2
■ Gruppo DH 5
218 Descrizioni dei campi
Descrizioni dei campi relativi alle VPN

Descrizioni dei campi della scheda Stato


In questa scheda è riportato lo stato dei tunnel VPN e degli utenti client.

Tabella D-30 Descrizioni dei campi della scheda Stato

Sezione Campo Descrizione

Tunnel VPN Stato Stato del tunnel selezionato.


dinamici
Nome Nome del tunnel selezionato.

Tipo di Tipo di negoziazione configurato.


negoziazione Questo campo si applica solo ai tunnel VPN
dinamici.

Gateway di Nome del gateway di sicurezza selezionato.


sicurezza

Subnet remota Indirizzo della subnet remota.

Metodo di Metodo di crittografia configurato.


crittografia

Tunnel VPN Stato Visualizza lo stato connesso o non connesso.


statici
Nome Nome del tunnel statico selezionato.

Gateway di Indirizzo IP del gateway remoto al quale è


sicurezza connesso il tunnel.

Subnet remota Subnet del gateway remoto al quale è connesso


il tunnel.

Metodo di Metodo di autenticazione per il tunnel


crittografia selezionato.
Descrizioni dei campi 219
Descrizioni dei campi relativi alle VPN

Descrizioni dei campi della scheda Avanzate


Utilizzare questa scheda per configurare le impostazioni VPN avanzate per la
negoziazione fase 1 applicabile a tutti i client.

Tabella D-31 Descrizioni dei campi della scheda Avanzate

Sezione Campo Descrizione

Impostazioni Tipo ID fase 1 ID fase 1 (ISAKMP) utilizzato dal gateway locale


client VPN globale gateway locale per i client VPN.
Le opzioni disponibili comprendono:
■ Indirizzo IP
Se viene selezionato Indirizzo IP, lasciare
vuota la casella di testo ID fase 1 gateway
locale.
■ Nome distinto
Se viene selezionato Nome distinto, nella
casella di testo ID fase 1 gateway locale
digitare un ID fase 1 del gateway locale da
utilizzare per tutti i client.

ID fase 1 gateway Valore corrispondente al tipo di ID.


locale
Se si seleziona l'indirizzo IP, lasciare vuota
questa casella di testo. Se è stata selezionata
l'opzione Nome distinto, digitare un nome di
dominio completo. Qualsiasi client connesso al
gateway di sicurezza deve utilizzare questo ID
fase 1 per la definizione del relativo endpoint
remoto sul client.
Il valore massimo è 31 caratteri alfanumerici.

Politica VPN Politica VPN per la negoziazione del tunnel fase


2 per i tunnel client VPN.
L'elenco mostra le politiche predefinite di
Symantec e le eventuali politiche create
dall'utente nella scheda relativa alle politiche
VPN.
220 Descrizioni dei campi
Descrizioni dei campi relativi alle VPN

Tabella D-31 Descrizioni dei campi della scheda Avanzate (Continua)

Sezione Campo Descrizione

Impostazioni Attiva tunnel Consente ai client VPN non definiti di


client VPN client VPN connettersi al gateway di sicurezza per
dinamico dinamici l'autenticazione estesa.

Chiave Chiave utilizzata per l'autenticazione ISAKMP


precondivisa (IKE). Effettua l'autenticazione dell'estremità
remota del tunnel.
La lunghezza di tale chiave è compresa tra un
minimo di 20 e un massimo di 64 caratteri
alfanumerici. La chiave precondivisa
all'estremità remota del tunnel deve
corrispondere a questo valore.

Impostazioni IKE Durata SA Intervallo, in minuti, prima della rinegoziazione


globali (rekey fase 1 di nuove chiavi di autenticazione e
fase 1) crittografia per il tunnel.
Il valore predefinito è 1080 minuti. Il valore
massimo è 2.147.483.647 minuti.

Impostazioni Server RADIUS Indirizzo IP o nome di dominio completo del


RADIUS primario server utilizzato per gli scambi di informazioni
per l'autenticazione estesa con i client VPN.
Il valore massimo è 128 caratteri alfanumerici.

Server RADIUS Indirizzo IP o nome di dominio completo del


secondario server alternativo utilizzato per gli scambi di
informazioni per l'autenticazione estesa con i
client VPN.
Il valore massimo è 128 caratteri alfanumerici.

Porta di Porta sul server RADIUS utilizzata per


autenticazione l'autenticazione.
(UDP)
Il valore massimo è 1812. Il valore massimo è
65535.

Segreto condiviso Chiave di autenticazione utilizzata dal server


o chiave RADIUS.
Il valore massimo è 50 caratteri alfanumerici.
Descrizioni dei campi 221
Descrizione dei campi relativi a IDS/IPS

Descrizione dei campi relativi a IDS/IPS


Il gateway di sicurezza Symantec Gateway Security Serie 300 offre funzioni per
il rilevamento e la prevenzione delle intrusioni (IDS/IPS). Le funzioni IDS/IPS
sono attivate per impostazione predefinita e consentono una speciale
protezione dei pacchetti con protezione da contraffazione e IP. Questa
funzionalità può essere disattivata in qualsiasi momento.
Di seguito sono elencati i tipi di protezione forniti dalla funzione IDS/IPS:
■ Protezione contraffazione IP
■ Verifica opzioni IP
■ Convalida flag TCP
■ Protezione da programmi cavalli di Troia
■ Protezione da scansione delle porte
In questa sezione vengono illustrati i seguenti argomenti:
■ Descrizioni dei campi della scheda Protezione IDS
■ Descrizioni dei campi della scheda Avanzate

Descrizioni dei campi della scheda Protezione IDS


In questa scheda è possibile configurare la protezione IDS di base.

Tabella D-32 Descrizioni dei campi della scheda Protezione IDS

Sezione Campo Descrizione

Firme IDS Nome Selezionare una firma da aggiornare.


* Asterisco indica la rilevazione della porta
Trojan. Blocca e avvisa è disattivata se il
traffico è esplicitamente autorizzato nelle
regole In entrata.

Impostazioni Blocca e avvisa Se viene rilevato un attacco, blocca il


protezione traffico e registra un messaggio.

Blocca senza Se viene rilevato un attacco, blocca il


avvisare traffico senza registrare un messaggio.

WAN Attiva la protezione WAN.

WLAN/LAN Attiva la protezione LAN e LAN wireless.


222 Descrizioni dei campi
Descrizione dei campi relativi a IDS/IPS

Tabella D-32 Descrizioni dei campi della scheda Protezione IDS (Continua)

Sezione Campo Descrizione

Elenco della Nome attacco Nome delle firme IDS.


protezione
Blocca e avvisa Visualizza S o N rispettivamente in caso
affermativo o negativo. Indica se
l'impostazione di protezione Blocca e
avvisa è attivata per questa firma.

Blocca senza Visualizza S o N rispettivamente in caso


avvisare affermativo o negativo. Indica se
l'impostazione di protezione Blocca senza
avvisare è attivata per questa firma.

WAN Visualizza S o N rispettivamente in caso


affermativo o negativo. Indica se la WAN è
protetta.

WLAN/LAN Visualizza S o N rispettivamente in caso


affermativo o negativo. Indica se la LAN e
la LAN wireless sono protette.

Descrizioni dei campi della scheda Avanzate


Configurare la protezione da contraffazione in questa scheda.

Tabella D-33 Descrizioni dei campi della scheda Avanzate

Sezione Campo Descrizione

Protezione WAN Attiva la protezione da contraffazione


contraffazione IP sulla LAN.

WLAN/LAN Attiva la protezione da contraffazione sulla


LAN e LAN wireless.

Convalida flag TCP Convalida flag TCP Blocca e registra qualsiasi traffico con
combinazioni di flag non valide che viene
autorizzato dalla politica di sicurezza. Il
traffico non autorizzato dalla politica di
sicurezza che ha una o più combinazioni di
flag TCP errate viene classificato come una
delle varie tecniche di scansione delle porte
NMAP (NMAP Null Scan, NMAP Christmas
Scan, e così via).
Descrizioni dei campi 223
Descrizioni dei campi della scheda AVpe (Applicazione politica antivirus)

Descrizioni dei campi della scheda AVpe


(Applicazione politica antivirus)
La funzione AVpe consente di monitorare le configurazioni AVpe dei client e,
se necessario, di applicare le politiche di sicurezza per limitare l'accesso alla rete
solo ai client protetti dal software antivirus con le definizioni dei virus più
aggiornate.

Tabella D-34 Descrizioni dei campi della scheda AVpe (Applicazione politica
antivirus)

Sezione Campo Descrizione

Posizione server Master AV Definisce il server antivirus primario nella rete.


primario È il server al quale si connetterà il gateway di
sicurezza per verificare le definizioni dei virus
del client.

Master AV Definisce un server antivirus secondario. Il


secondario gateway di sicurezza si connette a questo server
per verificare le definizioni dei virus del client
se non è possibile accedere al server antivirus
primario.

Interroga Master Digitare un intervallo, in minuti, per


AV ogni l'interrogazione del server antivirus da parte del
gateway di sicurezza.
Ad esempio, se si immette il valore 10 minuti, il
gateway di sicurezza interrogherà il server
antivirus ogni 10 minuti per richiedere l'elenco
di definizioni dei virus più aggiornate.
L'impostazione predefinita è di 10 minuti.
È necessario immettere un valore maggiore di 0.
224 Descrizioni dei campi
Descrizioni dei campi della scheda AVpe (Applicazione politica antivirus)

Tabella D-34 Descrizioni dei campi della scheda AVpe (Applicazione politica
antivirus) (Continua)

Sezione Campo Descrizione

Posizione server Interroga Master Questo pulsante consente di ignorare


(continua) l'intervallo di tempo impostato nel campo
Interroga server AV ogni. Quando si fa clic sul
pulsante, il gateway di sicurezza richiede al
server antivirus le ultime definizioni dei virus.
Prima di fare clic su questo pulsante, immettere
gli indirizzi IP del principale AV primario e
secondario, quindi fare clic su Salva.
La prima volta che si attiva AVpe, utilizzare
questo pulsante per forzare la connessione del
gateway di sicurezza al server antivirus
primario o secondario e ottenere le definizioni
dei virus.
Descrizioni dei campi 225
Descrizioni dei campi della scheda AVpe (Applicazione politica antivirus)

Tabella D-34 Descrizioni dei campi della scheda AVpe (Applicazione politica
antivirus) (Continua)

Sezione Campo Descrizione

Convalida politica Verifica che client Quando l'opzione è attivata, tramite questo
AV sia attivo campo è possibile verificare se il software
antivirus Symantec è installato e attivo su una
workstation client.
Le opzioni disponibili comprendono:
■ Motore prodotto più recente (impostazione
predefinita)
Verifica se il software antivirus Symantec è
attivo e se comprende il motore di
scansione del prodotto più recente.
■ Qualsiasi versione
Verifica se il software antivirus Symantec è
attivo con una qualsiasi versione
qualificata del motore di scansione del
prodotto.
Nota: assicurarsi che UDP/Porta 2967 sia
autorizzata dai firewall personali.

Verifica Verifica se le definizioni dei virus più recenti


definizioni dei sono installate su una workstation client prima
virus più recenti di consentire l'accesso alla rete.
Questo campo è attivato come impostazione
predefinita.

Interroga client Digitare un intervallo, in minuti, per


ogni l'interrogazione delle workstation client da
parte del gateway di sicurezza per verificare le
definizioni dei virus.
Ad esempio, se si immette il valore 10 minuti, il
gateway di sicurezza interrogherà le
workstation client ogni 10 minuti per verificare
che siano disponibili le definizioni dei virus più
aggiornate.
L'impostazione predefinita è 480 minuti (8 ore).
226 Descrizioni dei campi
Descrizioni dei campi della scheda AVpe (Applicazione politica antivirus)

Tabella D-34 Descrizioni dei campi della scheda AVpe (Applicazione politica
antivirus) (Continua)

Sezione Campo Descrizione

Stato master AV Master AV Identifica il server antivirus, primario o


secondario, per il quale vengono visualizzate
informazioni di riepilogo.

Stato Indica lo stato operativo del server antivirus.


Quando il server è in linea e funzionante viene
visualizzato In linea, se invece il server non è in
linea, viene visualizzato lo stato Non in linea.

Ultimo Visualizza la data, in formato numerico, in cui il


aggiornamento gateway di sicurezza ha interrogato il server
l'ultima volta per richiedere i file delle
definizioni dei virus. Ad esempio: 5/14/2003.

Host Visualizza l'indirizzo IP o il nome di dominio


completo del server antivirus primario o
secondario.

Prodotto Visualizza la versione corrente del prodotto


Symantec AntiVirus Corporate Edition in
esecuzione sul server antivirus. Ad esempio:
7.61.928.

Motore Visualizza la versione corrente del motore di


scansione di Symantec AntiVirus Corporate
Edition in esecuzione sul server antivirus.
Ad esempio: NAV 4.1.0.15.

Criterio Visualizza l'ultima versione del file delle


definizioni dei virus sul server antivirus.
Ad esempio: 155c08 r6 (14/5/2003).
Descrizioni dei campi 227
Descrizioni dei campi della scheda AVpe (Applicazione politica antivirus)

Tabella D-34 Descrizioni dei campi della scheda AVpe (Applicazione politica
antivirus) (Continua)

Sezione Campo Descrizione

Stato client AV Client AV Indirizzo IP dei client DHCP.

Politica Visualizza Attivata o Disattivata. Indica se nel


client sono applicate politiche antivirus.

Stato Indica se il client è conforme.

Gruppo Gruppo di computer al quale è assegnato


il client.

Ultimo Data e ora dell'ultimo controllo di conformità


aggiornamento antivirus del client.

Prodotto Nome del prodotto antivirus Symantec


utilizzato dal client.

Motore Versione del motore di scansione nel prodotto


antivirus Symantec utilizzato dal client.

Criterio Versione delle ultime definizioni dei virus


del client.
228 Descrizioni dei campi
Descrizioni dei campi relativi al filtro di contenuti

Descrizioni dei campi relativi al filtro di contenuti


Il gateway di sicurezza supporta il filtro dei contenuti di base per il traffico in
uscita. Questa funzione viene utilizzata per limitare il contenuto a cui i client
possono accedere. Ad esempio, per impedire l'accesso ai siti di giochi,
configurare il filtro dei contenuti in modo che venga negato l'accesso agli URL di
gioco specificati.

Tabella D-35 Campi per la configurazione del filtro di contenuti

Sezione Campo Descrizione

Seleziona elenco Tipo di elenco I possibili tipi di elenco comprendono:


■ Nega
■ Autorizza
Un elenco di divieti specifica i contenuti che i
client non possono visualizzare. Un elenco di
autorizzazioni specifica i contenuti a cui i client
possono accedere.
Selezionare un elenco, quindi fare clic su
Visualizza/Modifica.

Modifica elenco Immettere URL Digitare un URL da aggiungere all'elenco di


divieti o di autorizzazioni. Ad esempio,
www.symantec.com o sitoadulti.com/sceltepers/
mio.html
La lunghezza massima di un URL è 128
caratteri. Ogni elenco di filtri può contenere un
massimo di 100 voci. Gli URL devono essere
aggiunti uno alla volta.
È necessario utilizzare un nome di dominio
completo. Il filtro dei contenuti non può essere
applicato utilizzando un indirizzo IP.

Elimina URL Nell'elenco a discesa selezionare un URL da


eliminare, quindi fare clic su Elimina voce.

Elenco corrente URL A seconda dell'elenco che è stato selezionato,


mostra tutti gli URL immessi in tale elenco.
Indice

Numeri B
3DES 95 Back Orifice 120
backup e ripristino
configurazioni 139
A backup, account su linea commutata 38, 41
accesso alla rete, pianificazione 63 BattleNet 75
accesso amministrativo 14 bilanciamento del carico 52
account a banda larga 27 binding SMTP 52
account su linea commutata 38 bloc scorr 17
account di backup 38 Bonk 120
backup 41
configurazione 39
connessione manuale 42 C
monitoraggio dello stato 43 client antivirus 112
verifica della connettività 42 cluster
account su linea commutata manuali 42 creazione di tunnel con cluster di Symantec
ADSL (Asymmetrical Digital Subscriber Line) 29 Gateway Security Serie 5400 92
AES-128 95 compressione del tunnel 83
AES-192 95 computer e gruppi di computer 64
AES-256 95 configurare la password 15
aggiornamenti automatici 130 configurazione
aggiornamento del firmware 129 account su linea commutata 39
Norton Internet Security 135 appliance come server DHCP 58
all.bin 134 applicazioni speciali 75
alta disponibilità 51 assegnazioni di porta 61
amministratore del gateway remoto, condivisione AVpe 108
delle informazioni 98 computer 65
amministrazione, password 14 connessione alla rete esterna 21
analogica 27 connessioni interne 57
app.bin, firmware 129 connettività 28
appartenenza ai gruppi di computer 65 failover 53
appliance, LED del pannello anteriore 142 gestione remota 15
applicazioni speciali 75 host esposto 79
assegnazioni di porta 61 impostazioni di connessione avanzate 43
attacchi 119 impostazioni di protezione avanzate 121
attivazione impostazioni PPP avanzate 44
pass-thru IPsec 78 impostazioni WAN/ISP avanzate 51
porta IDENT 77 inattività rinnovo 43
attivazione di DHCP 60 IP statico 34
AVpe 106 MTU (Maximum Transmission Unit) 45
configurazione 108 nuovi computer 65
messaggi del registro 113 opzioni avanzate 77
230 Indice

porta WAN 26 accesso in uscita 70


PPTP 35 appartenenza ai gruppi di computer 65
preferenze del registro 124 definizione di gruppi di computer 67
routing 49 DES 95
tunnel da client a gateway 98 DHCP 28
tunnel da gateway a gateway 89 attivazione 60
tunnel da gateway a gateway dinamici 93 disattivazione 60
voci di route statiche 49 Forza rinnovo 190
configurazione delle impostazioni IP LAN 58 intervallo di indirizzi IP 60
Configurazione guidata 25 utilizzo 60
selezione della lingua 25 dinamico, routing 49
configurazione, backup e ripristino 139 disattivazione
configurazioni dei tunnel DNS dinamico 48
VPN modalità NAT 78
da gateway a gateway 89 disconnettere
connessione a banda larga 28 connessioni PPPoE inattive 29
connessione alla rete esterna 21 DNS dinamico
connessione ISDN 27 disattivazione 48
connessione manuale, PPPoE 32 imposizione di aggiornamenti 47
connessione PPTP 28 TZO 45
connessione su linea commutata 27 documentazione
connessione, esempi di rete 22 guida in linea 11
connessioni analogiche 27 doppia porta WAN 25
connessioni di rete 27 DSL 27
connessioni interne 57
connessioni ISDN 27
connessioni VPN protette 81 E
connettività con modem via cavo 28 elenco di autorizzazioni 114
connettività DSL 28 elenco di divieti 114
connettività modem 40 Elenco host 66
connettività T1 28
connettività, configurazione 28 F
console seriale 17
failover 53
bloc scorr 17
Fawx 120
HyperTerminal 17
filtro dei contenuti 114
controllo del traffico di rete 63
elenchi di divieti 114
controllo del traffico di rete, avanzato 105
elenco di autorizzazioni 114
convalida flag TCP 122
gestione degli elenchi 115
creazione
LAN 117
politiche di sicurezza 82
WAN 102, 117
politiche VPN fase 2 personalizzate 85
firewall, Elenco host 66
firme atomiche 119
D firme IDS/IPS atomiche 119
da gateway a gateway 89 firmware 15, 130, 134
persistenza e alta disponibilità del tunnel 91 aggiornamenti 129
tunnel dinamici 93 aggiornamento manuale 134
tunnel VPN supportati 91 app.bin 129
definizione flashing 15
accesso in entrata 68 flashing del firmware 136
Indice 231

flusso di traffico Interroga servizi 178


accesso in entrata 68 Invia registro adesso 124
accesso in uscita 70 invio dei messaggi del registro via e-mail 124
Forza rinnovo 190 IP statico 28
configurazione 34
G
gateway DNS 54 J
gestione Jolt 120
accesso amministrativo 14
elenchi di filtro dei contenuti 115
richieste ICMP 79 L
utilizzo della console seriale 17 Land 120
Gestione licenze 153 LB. Vedere bilanciamento del carico
gestione remota 15 LED 142
giochi 75 LED del pannello anteriore 142
Girlfriend 120 linea telefonica speciale
guida 11 ISDN 27
guida in linea 11 LiveUpdate 137
aggiornamenti 130
H server 132
HA.Vedere alta disponibilità
host esposto 79 M
HTML buffer overflow 120 manuale
aggiornamento del firmware 134
I connettere all'account PPTP 37
IDS/IPS 119 Menu principale 12
IKE globale, politica 83 messaggi del registro 128
imposizione di aggiornamenti del messaggi del registro, invio via e-mail 124
DNSdinamico 47 modalità NAT 78
impostazioni DHCP modificare
impostazioni avanzate 43 indirizzo IP LAN dell'appliance 58
Impostazioni di connessione avanzate 43 intervallo di indirizzi IP DHCP 60
impostazioni di politica globali, tunnel da client a monitoraggio
gateway 103 account su linea commutata 43
impostazioni di protezione avanzate 121 stato del server antivirus 112
impostazioni di rete utilizzo di DHCP 60
facoltative 55 monitoraggio dello stato del tunnel VPN 104
impostazioni di rete facoltative 55 MTU (Maximum Transmission Unit) 45
impostazioni IP LAN 58
impostazioni PPP avanzate 44
impostazioni predefinite, ripristinare
N
l'assegnazione di porta 62 negoziazioni del tunnel
impostazioni WAN/ISP avanzate 51 Fase 1 84
inattività rinnovo 43 Fase 2 84
indicatore attività 26, 39, 54 Nestea 120
indirizzo IP LAN 58 Newtear 120
informazioni sui tipi di connessione 27 Norton Internet Security 135
232 Indice

O protezione
contraffazione IP 121
opzioni avanzate 77
convalida flag TCP 122
Overdrop 120
protezione contro la contraffazione IP 121
protezione contro Trojan horse 120
P punto interrogativo 11
pannello posteriore
360 e 360R 39
R
appliance 320 38
pass-thru IPsec 78 regole in entrata 68
password regole in uscita 70
amministrazione 14 reimpostare manualmente la password 15
configurare 15 reimpostazione dell'appliance 140
reimpostare manualmente 15 reindirizzamento dei servizi 73
pianificazione dell'accesso alla rete 63 rete esterna
PING 39 configurazione della connessione 21
Ping of Death 120 rete TCP/IP, PPTP 35
Point to Point Protocol over Ethernet. Vedere richieste ICMP 39, 79
PPPoE ripristinare le impostazioni predefinite
politica IKE globale 83 dell'assegnazione di porta 62
politiche di sicurezza 82 Risoluzione dei problemi 147, 149
porta IDENT 77 routing 49
porta WAN routing dinamico 49
configurazione MTU 45
connessione 21 S
porta WAN, configurazione 26 Security Gateway Management Interface 13
Portal of Doom 120 selezione della lingua 25
PPPoE server DHCP 58
connessione manuale 32 SGMI 13
connettività 28 SGMI (Security Gateway Management
Interroga servizi 178 Interface) 11
verifica della connettività 31 SMTP, timeout 77
PPPoE (Point-to-Point Protocol over Ethernet) 29 stato del server antivirus 112
PPTP subnet 91
configurazione della connettività 35 SubSeven 120
connessione manuale 37 supporto tecnico 152
rete TCP/IP 35 Symantec Gateway Security Serie 5400 91, 92
verifica della connettività 36 Syndrop 120
PPTP (Point-to-Point-Tunneling Protocol) 35
preferenze del registro 124
preferenze di protezione T
configurazione T3 27
impostazione delle preferenze di TCP/UDP flood protection 120
protezione 121 Teardrop 120
impostazioni 121 test della connettività 53
prevenzione degli attacchi 119 TFTP 135
Back Orifice 120 timeout SMTP 77
Girlfriend 120 tipi di connessione, informazioni 27
Trojan horse 120 tunnel
Indice 233

da client a gateway 98 creazione di politiche fase 2


da gateway a gateway dinamici 93 personalizzate 85
tunnel da client a gateway 98 creazione di tunnel con cluster di Symantec
tunnel da client a gateway, impostazioni di politica Gateway Security Serie 5400 92
globali 103 fase 2, configurabile 84
tunnel da gateway a gateway dinamici 93 impostazioni di politica globali 103
tunnel da gateway a gateway statici 95 lunghezze delle chiavi di autenticazione 95
tunnel IKE da gateway a gateway 93 lunghezze delle chiavi di crittografia 95
Tunnel VPN monitoraggio dello stato del tunnel 104
gestione remota 15 negoziazioni del tunnel
TZO 45 Fase 1 83
Fase 2 83
V persistenza del tunnel 91
verifica della connettività PPPoE 31 politiche 83
videoconferenza 75 stato del tunnel 104
voci di route statiche 49 subnet 91
VPN tunnel da gateway a gateway supportati 91
alta disponibilità del tunnel 92
compressione del tunnel 83
configurazione di tunnel da client a
W
gateway 98 WAN/ISP
configurazioni dei tunnel 89 configurazione inattività rinnovo 43
da client a gateway 98 diversi indirizzi IP 30
da gateway a gateway 89 impostazioni avanzate 51
connessioni protette 81 Winnuke 120
Supporto

Soluzioni di servizio
e supporto
Symantec desidera fornire un servizio di alto livello in tutto il mondo con
l'obiettivo di fornire assistenza professionale nell'utilizzo del software e dei
servizi ovunque si trovi l'utente.
Le soluzioni di supporto tecnico e servizio clienti variano da paese a paese.
In caso di domande sui servizi descritti qui di seguito, consultare
"Servizio e supporto nel mondo" alla fine di questo capitolo.

Registrazione e licenze
Se il prodotto da implementare richiede la registrazione e/o una chiave di
licenza, il modo più semplice e veloce di procedere è di accedere al nostro sito
di registrazione e gestione delle licenze all'indirizzo www.symantec.com/
certificate. In alternativa è possibile accedere all'indirizzo
http://www.symantec.com/techsupp/ent/enterprise.html, selezionare il
prodotto da registrare e dalla pagina iniziale dei prodotti selezionare il
collegamento Licenze d'uso e registrazione.
Se è stato acquistato un abbonamento al supporto, si ha diritto di ricevere
assistenza tecnica da Symantec per telefono e via Internet. Quando si contatta il
supporto per la prima volta tenere a disposizione il numero di licenza presente
sul certificato di licenza o l'ID di contatto generato attraverso la registrazione al
supporto per consentire di verificare il diritto di richiedere assistenza. Se non è
stato acquistato un abbonamento al supporto, contattare il proprio rivenditore o
il servizio clienti di Symantec per ottenere dettagli sull'acquisto di opzioni di
supporto tecnico da Symantec.
236 Soluzioni di servizio e supporto
Registrazione e licenze

Aggiornamenti della protezione


Per ottenere le informazioni più recenti sulle minacce virali e alla sicurezza,
accedere al sito Web di Symantec Security Response (noto in passato come
Antivirus Research Center) all'indirizzo:
http://securityresponse.symantec.com.
Il sito contiene esaurienti informazioni on-line sulle minacce virali e alla
sicurezza oltre alle più recenti definizioni dei virus. Le definizioni dei virus
possono anche essere scaricate utilizzando la funzione LiveUpdate disponibile
nel prodotto.

Rinnovi dell'abbonamento all'aggiornamento antivirus


L'acquisto dell'opzione di manutenzione con il prodotto dà diritto a scaricare
gratuitamente le definizioni dei virus per tutta la durata del contratto. Se il
contratto di manutenzione è scaduto, contattare il proprio rivenditore o il
servizio clienti di Symantec per ottenere informazioni sul rinnovo.

Siti Web di Symantec:

Pagina iniziale di Symantec (per lingua):


Inglese: http://www.symantec.com
Francese: http://www.symantec.fr
Italiano: http://www.symantec.it
Olandese: http://www.symantec.nl
Portoghese: http://www.symantec.com/br
Spagnolo: http://www.symantec.com/region/es
http://www.symantec.com/mx
Tedesco: http://www.symantec.de

Symantec Security Response:


http://securityresponse.symantec.com

Pagina Servizio e supporto enterprise Symantec:


http://www.symantec.com/techsupp/ent/enterprise.html
Bollettini informativi su specifici prodotti:

Inglese/Stati Uniti, Asia Pacifico:


http://www.symantec.com/techsupp/bulletin/index.html
Soluzioni di servizio e supporto 237
Supporto tecnico

Inglese/Europa, Medio Oriente - Africa:


http://www.symantec.com/region/reg_eu/techsupp/bulletin/index.html

Francese:
http://www.symantec.com/region/fr/techsupp/bulletin/index.html.

Italiano:
http://www.symantec.com/region/it/techsupp/bulletin/index.html

Olandese:
http://www.symantec.com/region/nl/techsupp/bulletin/index.html

Tedesco:
http://www.symantec.com/region/de/techsupp/bulletin/index.html

America Latina

Spagnolo:
http://www.symantec.com/region/mx/techsupp/bulletin/index.html

Portoghese:
http://www.symantec.com/region/br/techsupp/bulletin/index.html

Supporto tecnico
In quanto parte del Symantec Security Response, il nostro gruppo di supporto
tecnico globale gestisce centri di supporto sparsi in tutto il mondo. Il nostro
ruolo principale è di rispondere a quesiti specifici relativi a caratteristiche/
funzioni, installazione e configurazione dei prodotti, oltre a produrre materiale
per la nostra sezione Knowledge Base accessibile sul Web. Per rispondere
tempestivamente alle richieste degli utenti collaboriamo anche con altre aree
funzionali all'interno di Symantec. Ad esempio, lavoriamo con il settore
dell'ingegnerizzazione dei prodotti e con i nostri Security Research Center per
fornire servizi di avviso e aggiornamenti delle definizioni dei virus volti a
combattere epidemie virali e allarmi correlati alla sicurezza. I punti salienti
della nostra offerta comprendono:
■ Una gamma di opzioni di supporto che fornisce la flessibilità di scegliere il
giusto livello di servizio per organizzazioni di qualsiasi dimensione
■ Componenti di supporto telefonico e via Web che forniscono risposte rapide
e informazioni aggiornate
238 Soluzioni di servizio e supporto
Supporto tecnico

■ Gli aggiornamenti dei prodotti garantiscono l'aggiornamento software


automatico della protezione
■ Gli aggiornamenti dei contenuti per le definizioni dei virus e i profili di
sicurezza assicurano il più alto livello di protezione
■ Il supporto globale degli esperti del Symantec Security Response è
disponibile ininterrottamente in tutto il mondo e in numerose lingue
■ Funzioni avanzate come il Symantec Alerting Service e il ruolo di
responsabile account tecnico offrono una migliore risposta un supporto
attivo sulla sicurezza
Per ottenere informazioni aggiornate sui nostri programmi di supporto è
possibile fare riferimento al nostro sito Web.

Contatto del supporto


I clienti che dispongono di un contratto di supporto possono contattare il team
del supporto tecnico telefonicamente o sul Web accedendo al seguente indirizzo
URL o utilizzando i siti di supporto regionali riportati nel presente documento.
www.symantec.com/techsupp/ent/enterprise.html
Quando si contatta il supporto è importante avere a disposizione le seguenti
informazioni.
■ Livello di release del prodotto
■ Informazioni sull'hardware
■ Memoria disponibile, spazio su disco, informazioni sulla scheda di rete
■ Sistema operativo
■ Versione e livello di patch
■ Topologia della rete
■ Informazioni su router, gateway e indirizzi IP
■ Descrizione del problema
■ Messaggi di errore/file di registro
■ Diagnosi eseguita prima di contattare Symantec
■ Modifiche recenti alla configurazione del software e/o della rete.
Soluzioni di servizio e supporto 239
Servizio clienti

Servizio clienti
Il centro del servizio clienti di Symantec può fornire assistenza con domande
non tecniche comprendenti:
■ Informazioni generali sui prodotti (ad esempio, funzionalità, disponibilità
di versioni nazionali, rivenditori in loco, ecc.)
■ Informazioni di base sulla diagnosi dei problemi, quali il controllo del
numero di versione del prodotto
■ Informazioni aggiornate sugli aggiornamenti e gli upgrade dei prodotti
■ Modalità di aggiornamento/upgrade dei prodotti
■ Modalità di registrazione del prodotti e/o delle licenze
■ Informazioni sui programmi di licenze d'uso di Symantec
■ Informazioni sui contratti di assicurazione di aggiornamento e
manutenzione
■ Sostituzione di CD e manuali
■ Aggiornamento della registrazione del prodotto in seguito al cambio di
indirizzo o di nome
■ Consigli sulle opzioni di supporto tecnico di Symantec
Informazioni complete sul servizio clienti sono disponibili sul sito Web Servizio
e supporto di Symantec e possono anche essere ottenute telefonando al servizio
clienti di Symantec. Per informazioni su come contattare il servizio clienti e
sugli indirizzi Web fare riferimento a "Servizio e supporto nel mondo" alla fine
di questo capitolo.
240 Soluzioni di servizio e supporto
Informazioni di contatto del servizio e supporto nel mondo

Informazioni di contatto del servizio e supporto


nel mondo
Europa, Medio Oriente, Africa e America Latina

Siti Web Supporto tecnico di Symantec


Inglese: www.symantec.com/eusupport/
Francese: www.symantec.fr/frsupport
Italiano: www.symantec.it/itsupport/
Olandese: www.symantec.nl/nlsupport/
Portoghese: www.symantec.com/region/br/techsupp/
Spagnolo: www.symantec.com/region/mx/techsupp/
Tedesco: www.symantec.de/desupport/
FTP Symantec: ftp.symantec.com
(Scaricamento di note
tecniche e patch aggiornate)
Visitare la sezione Servizio e supporto di Symantec sul Web per trovare
informazioni tecniche e generali sui prodotti.

Symantec Security Response:


http://securityresponse.symantec.com

Bollettini informativi su specifici prodotti:


Inglese/Stati Uniti:
http://www.symantec.com/techsupp/bulletin/index.html

Inglese/Europa, Medio Oriente - Africa:


http://www.symantec.com/region/reg_eu/techsupp/bulletin/index.html

Francese:
http://www.symantec.com/region/fr/techsupp/bulletin/index.html

Italiano:
http://www.symantec.com/region/it/techsupp/bulletin/index.html

Tedesco:
http://www.symantec.com/region/de/techsupp/bulletin/index.html
Soluzioni di servizio e supporto 241
Informazioni di contatto del servizio e supporto nel mondo

Olandese:
http://www.symantec.com/region/nl/techsupp/bulletin/index.html

Portoghese:
http://www.symantec.com/region/br/techsupp/bulletin/index.html

Spagnolo:
http://www.symantec.com/region/mx/techsupp/bulletin/index.html

Servizio clienti Symantec


Fornisce informazioni non tecniche e consulenza telefonica nelle seguenti
lingue: inglese, tedesco, francese e italiano.
Austria + (43) 1 50 137 5030
Belgio + (32) 2 2750173
Danimarca + (45) 35 44 57 04
Finlandia + (358) 9 22 906003
Francia + (33) 1 70 20 00 00
Germania + (49) 69 6641 0315
Irlanda + (353) 1 811 8093
Italia + (39) 02 48270040
Lussemburgo + (352) 29 84 79 50 30
Olanda + (31) 20 5040698
Norvegia + (47) 23 05 33 05
Sud Africa + (27) 11 797 6639
Spagna + (34) 91 7456467
Svezia + (46) 8.579 29007
Svizzera + (41) 2 23110001
Regno Unito + (44) 20 7744 0367
Altri paesi + (353) 1 811 8093
(Solo in lingua inglese)

Servizio clienti Symantec - Indirizzo per la corrispondenza


ordinaria
Symantec Ltd
Customer Service Centre
Europe, Middle East and Africa (EMEA)
PO Box 5689
Dublino 15
Irlanda
242 Soluzioni di servizio e supporto
Informazioni di contatto del servizio e supporto nel mondo

Per America Latina


Symantec fornisce supporto tecnico e servizio clienti in tutto il mondo.
I servizi variano a seconda del paese e comprendono partner internazionali
che rappresentano Symantec nelle regioni in cui non è presente una filiale.
Per informazioni generali, contattare l'ufficio del servizio e supporto Symantec
relativo alla propria regione.

Argentina
Pte. Roque Saenz Peña 832 - Piso 6
C1035AAQ, Ciudad de Buenos Aires
Argentina

Numero principale +54 (11) 5811-3225


Sito Web http://www.service.symantec.com/mx

Supporto Gold 0800-333-0306

Venezuela
Avenida Francisco de Miranda. Centro Lido
Torre D. Piso 4, Oficina 40
Urbanización el Rosal
1050, Caracas D.F.
Venezuela

Numero principale +58 (212) 905-6327


Sito Web http://www.service.symantec.com/mx

Supporto Gold 0800-1-00-2543

Colombia
Carrera 18# 86A-14
Oficina 407, Bogotá D.C.
Colombia
Numero principale +57 (1) 638-6192
Sito Web http://www.service.symantec.com/mx

Supporto Gold 980-915-5241


Soluzioni di servizio e supporto 243
Informazioni di contatto del servizio e supporto nel mondo

Brasile
Symantec Brasil
Market Place Tower
Av. Dr. Chucri Zaidan, 920
12° andar
São Paulo - SP
CEP: 04583-904
Brasil, SA

Numero principale +55 (11) 5189-6300


Fax +55 (11) 5189-6210
Sito Web http://www.service.symantec.com/br

Supporto Gold 000814-550-4172

Chile
Alfredo Barros Errazuriz 1954
Oficina 1403
Providencia,
Santiago de Chile
Chile

Numero principale +56 (2) 378-7480


Sito Web http://www.service.symantec.com/mx

Supporto Gold 0800-333-0306

Messico
Boulevard Adolfo Ruiz Cortines 3642 Piso 8,
Colonia Jardines del Pedregal,
01900, México D.F.
México

Numero principale +52 (55) 5481-2600


Sito Web http://www.service.symantec.com/mx

Supporto Gold 001880-232-4615


244 Soluzioni di servizio e supporto
Informazioni di contatto del servizio e supporto nel mondo

Resto dell'America Latina


9155 South Dadeland Blvd.
Suite 1100,
Miami, FL 33156
U.S.A.

Sito Web http://www.service.symantec.com/mx

Supporto Gold Costa Rica 800-242-9445


Panama 800-234-4856
Puerto Rico 800-232-4615

Per Asia Pacifico


Symantec fornisce supporto tecnico e servizio clienti in tutto il mondo.
I servizi variano a seconda del paese e comprendono partner internazionali che
rappresentano Symantec nelle regioni in cui non è presente una filiale.
Per informazioni generali, contattare l'ufficio del servizio e supporto Symantec
relativo alla propria regione.

Uffici di servizio e supporto


AUSTRALIA
Symantec Australia
Level 2, 1 Julius Avenue
North Ryde, NSW 2113
Australia

Numero principale +61 2 8879 1000


Fax +61 2 8879 1001
Sito Web http://service.symantec.com

Supporto Gold 1800 805 834 gold.au@symantec.com


Amministratore contratti
di supporto 1800 808 089 contractsadmin@symantec.com
Soluzioni di servizio e supporto 245
Informazioni di contatto del servizio e supporto nel mondo

CINA
Symantec Cina
Unit 1-4, Level 11,
Tower E3, The Towers, Oriental Plaza,
No. 1 East Chang An Ave., Dong Cheng District
Beijing 100738
Cina P.R.C.

Numero principale +86 10 6264 8866


Supporto tecnico +86 10 6264 8866
Fax +86 10 6257 4838
Sito Web http://www.symantec.com.cn

HONG KONG
Symantec Hong Kong
Central Plaza
Suite #3006
30th Floor, 18 Harbour Road
Wanchai
Hong Kong

Numero principale +852 2528 6206


Supporto tecnico +852 2528 6206
Fax +852 2526 2646
Sito Web http://www.symantec.com.hk

INDIA
Symantec India
Suite #801
Senteck Centrako
MMTC Building
Bandra Kurla Complex
Bandra (East)
Mumbai 400051, India

Numero principale +91 22 652 0658


Fax +91 22 652 0671
Sito Web http://www.symantec.com/india
Supporto tecnico +91 22 657 0669
246 Soluzioni di servizio e supporto
Informazioni di contatto del servizio e supporto nel mondo

COREA
Symantec Corea
15,16th Floor
Dukmyung B/D
170-9 Samsung-Dong
KangNam-Gu
Seoul 135-741
Corea del Sud

Numero principale +822 3420 8600


Fax +822 3452 1610
Supporto tecnico +822 3420 8650
Sito Web http://www.symantec.co.kr

MALESIA
Symantec Corporation (Malesia) Sdn Bhd
31-3A Jalan SS23/15
Taman S.E.A.
47400 Petaling Jaya
Selangor Darul Ehsan
Malesia
Numero principale +603 7805 4910
Fax +603 7804 9280
e-mail enterprise gold.apac@symantec.com
Numero verde enterprise +1800 805 104
Sito Web http://www.symantec.com.my

NUOVA ZELANDA
Symantec Nuova Zelanda
Level 5, University of Otago Building
385 Queen Street
Auckland Central 1001
Nuova Zelanda

Numero principale +64 9.375 4100


Fax +64 9.375 4101
Sito Web del supporto http://service.symantec.co.nz

Supporto Gold 0800 174 045 gold.nz@symantec.com


Amministratore contratti
di supporto 0800 445 450 contractsadmin@symantec.com
Soluzioni di servizio e supporto 247
Informazioni di contatto del servizio e supporto nel mondo

SINGAPORE
Symantec Singapore
3 Phillip Street
#17-00 & #19-00 Commerce Point
Singapore 048693
Numero principale +65 6239 2000
Fax +65 6239 2001
Supporto tecnico +65 6239 2099
Sito Web http://www.symantec.com.sg

TAIWAN
Symantec Taiwan
2F-7, No.188 Sec.5
Nanjing E. Rd.,
105 Taipei
Taiwan

Numero principale +886 2 8761 5800


Supporto corporate +886 2 8761 5800
Fax +886 2 2742 2838
Sito Web http://www.symantec.com.tw
È stato fatto ogni sforzo possibile per garantire l'accuratezza di questo
documento. Tuttavia, le informazioni qui contenute sono soggette a modifica
senza preavviso. Symantec Corporation si riserva il diritto di apportare tali
modifiche senza preavviso.