ZLD v2.20

ZLD v2.
20
Algo ms que una nueva versin de Firmware
Sumario
Tendencias y Retos Introduccin al ZLD v2.20 Prestaciones Bsicas del ZLD v2.20

Seguridad en el Extremo Final Control granular sobre las aplicaciones de redes sociales VoIP amigable Windows 7 ready Nuevo Interfaz Grfico (GUI) ms intuitivo
Arquitectura de enrutamiento mejorada

Integracin completa MS AD Evolucin histrica del ZLD
Apndice:
El ZLD v2.20 en detalle

Copyright2010 ZyXEL Communications Corporation. All rights reserved.
Lo que est ocurriendo a su alrededor:
De dnde vienen las amenazas?

Reducir Amenazas Externas
Oficina Central
Servidores Protegidos Home L3 Switch Public Kiosk SSL VPN
Establecer Tneles VPN Fiables Teletrabajador
IP PBX
DMZ Server
ZyWALL USG 2000
Internet
Sucursal
ZyWALL USG 300 L2 Switch IP PBX
IPSec VPN
Acceso Remoto
ZyWALL USG 50
Contra las Acciones de Vulneracin de Cualquier Origen
Garantizar el Acceso Remoto y Facilitar la Gestin Copyright2010 ZyXEL Communications Corporation. All rights reserved.
Solucin de Seguridad de ZyXEL

Funcionalidad UTM para proporcionar proteccin exhaustiva frente a amenazas
Proteccin de Mitigar Red Proactiva Acciones Externas
Establecer Tneles VPN Conectividad Fiables Segura
Solucin VPN completa para conexiones entre sucursales y acceso remoto
Seguridad en la Empresa
Refuerzo Contra Acciones De la Poltica De Violacin de la Poltica de usuario de que permite Poltica de granularidad en el Seguridad acceso Seguridad
Garantizar y Gestin Disponibilidad Recuperacin de y Sencillez de Red Gestin
Tolerancia a fallos en las rutas de red: Enlace WAN, pasarelas,VPN
Tendencias del 2010

Websites Sociales Popularidad del Netbook Amenazas Internal Internas Threat Disponibilidad Windows 7 de Windos 7 is hot
Problemas
Menor productividad Utilizacin en zonas menos visibles Todos los usuarios deben cumplir la poltica de seguridad Trabajo en entorno Windows 7
ZyWALL ZLD v2.20: Ms que una actualizacin
VoIP Amigable
Proteccin de Red Proactiva
Conectividad Segura
Windows 7 ready
Seguridad en la Empresa Incorpora 90+ nuevas mejoras

Seguridad en el Extremo Final Control Granular sobre Aplicaciones de Redes Sociales
Refuerzo de la Poltica de Seguridad
Gestin y Recuperacin de Red
Nuevo Interfaz Grfico ms Intuitivo Arquitectura de Enrutamiento mejorada Integracin Completa MS AD
Conectividad Segura
Quin amenaza la red de la empresa?

Enterprise Red de la Empresa
Network
Refuerzo de la Poltica de Seguridad Gestin y recuperacin de Red
Interna
Empleado - Invitado 1. Firma actualizada?
Externa
Teletrabajador - Desde casa - Desde el hotel
2. Cortafuegos personal habilitado?
Cmo asegurarse de que todos los usuarios cumplen con la poltica de seguridad
Escenario de Despliegue EPS

Interna
LAN User1 LAN User2
Comprobando: 1. Anti-Virus. V 2. Personal Firewall V 3. OS patch level...V El resultado es Acceso
Conectividad Segura
Refuerzo de la poltica de Seguridad Gestin y Recuperacin de Red
DMZ (Granja de Servidores)

Servidor Email Aplicaciones Web
Comprobando: 1. Anti-Virus. X 2. Personal Firewall X 3. OS patch level...V El resultado es NO Acceso
ZyWALL USG
Sistema OA, ERP Escritorio Remoto Sistema CRM
Internet
Tnel SSL-VPN
Sistema BI
Servidor de aplicaciones (Inventario,almacn..)
Empleado accediendo desde su casa
Tnel SSL-VPN
Externa
Empleado accediendo desde el aeropuerto/hotel
Comprobando: 1. Anti-Virus. V 2. Personal Firewall V 3. OS patch level...V El resultado es Acceso
El administrador puede identificar rpidamente clientes inseguros, bloqueando el acceso a Internet/DMZ y forzndoles as a solucionar el problema, p.e. instalando un parche o software AV o actualizando la firma. USGs EPS puede verificar: Software Anti-Virus Software Cortafuegos Nivel de Servicio OS
Conectividad Segura
Enterprise Security
Aplicaciones de Redes Sociales

El motivo original de las redes sociales, como Facebook o LinkedIn, es conectar personas, compartir informacin o intercambiar experiencias a travsde la web.
Las encuentas indican que el 77% de los usuarios de Facebook acceden a la red en horas de trabajo Computerworld (Julio)
Disminucin de la Productividad
Control granular de las aplicaciones de redes sociales

All Stop
El ZyWALL USG puede limitar el acceso
Conectividad Segura
Refuerzo de la Poltica de Seguridad Gestin y Recuperacin de Red
Todas a la Vez
Juego de Facebook
Una a una
Conectividad Segura
VoIP ms amigable
Refuerzo de Poltica de Seguridad
SIP ALG mejorado soporta despliegue VoIP flexible

Soporte de IPPBX en escenario de zona DMZ La prioridad mayor para el trfico SIP Soporte de DSCP tag/un-tag para grandes topologas
Simtrico (con IPSec VPN)
VoIP BWM de calidad, segura y mejorada

USG con IP pblica y IP-PBX detrs de USG(DMZ)
Conectividad Segura
SSLVPN Soporta Windows 7

Windows 7 se ha lanzado, y el USG lo soporta mediante ZLD v2.20
La extensin SSLVPN Secure soporta Windows 7 (32/64 bits) Tambin se soporta Windows 7 con IE8
Conectividad Segura
Serie USG de ZyWALL Licencia SKU

Tipo de Servicio/Prestacin ZyXEL Anti-Virus (Certificado ICSA) Kaspersky Anti-Virus IDP Filtrado de Contenidos Anti-Spam (incluido) Tneles SSL VPN 1-YR 2-YR 1-YR 2-YR 1-YR 2-YR 1-YR 2-YR USG 2000
RBL/DNSBL
Refuerzo de Poltica de Seguridad Gestin y Recuperacin de Red
USG 1000
USG 300
USG 200
RBL/DNSBL 2 incluidos
USG 100
RBL/DNSBL

RBL/DNSBL

RBL/DNSBL
5 incluidos 5 -> 50 5 -> 25
5 -> 250
5 -> 750 50 -> 250 50 -> 750 250 -> 750
5 -> 50
25 -> 50 5 -> 250 25 -> 250 50 -> 250
2 -> 10 2 -> 25 10 -> 25 2 -> 10 2 -> 5
Conectividad Segura
Interfaz Grfico ms intuitivo (GUI)

Qu incorpora de nuevo en el GUI del ZLD v2.20?
Virtual Device Dispositivo Virtual
Pantallas Personalizables Customizable Dashboard
ZLD v2.20 GUI

Object Reference Referencia a Objetos
Operacin mediante tablas User Friendly Table de Usuario amigables Operation
Dispositivo Virtual
GUI Antiguo GUI Nuevo
Conectividad Segura
Virtual Device
El Administrador puede monitorizar el dispositivo virtual para control/gestin remota Muestra Informacin de Interfaz (Ethernet, PPPoE, USB) Muestra Informacin de los LEDs (SYS, PWR)
Pantalla Personalizable
GUI Antiguo
GUI Nuevo
Conectividad Segura
Cada bloque era fijo y no se poda eliminar.
Permite al administrador crear una pgina GUI personalizada para mostrar cualquier dispositivo.
Referencia a Objetos
Conectividad Segura
Cuando el administrador intenta eliminar un objeto, el GUI le muestra un mensaje de error.
Esto es porque el objeto est relacionado con una determinada poltica y un objeto en uso no se puede eliminar.
En la versin anterior no haba mecanismos para que los administradores averiguaran si un objeto estaba relacionado con una poltica determinada. Ahora los administradores pueden averiguar de una manera sencilla la referencia de los objetos.
Operacin mediante Tabla de Usuario Amigable - 1/3

La columna se puede mover
Conectividad Segura
Operacin mediante Tabla de Usuario Amigable - 2/3

La columna se puede ocultar
Proactive Network Protection
Conectividad Segura
Operacin mediante Tabla de usuario Amigable - 3/3

Las columnas se pueden buscar fcilmente
Conectividad Segura
Conectividad Segura
Arquitectura de Enrutamiento Mejorada

Programacin sencilla
NAT 1:1 mapping

NAT loopback Enrutamiento de trfico LAN/WAN VPN Site to Site Poltica de enrutamiento Inteligente
-
auto-creacin prioridad
Conectividad Segura
Escenario de Despliegue NAT (1)

El NAT Varios hacia 1 es muy popular entre los usuarios LAN para acceder a Internet.
Si se dispone de ms de una IP pblica para acceder a Internet, se puede usar el NAT Varios hacia N.
Internet
LAN User A
LAN User B
Conectividad Segura

Cuando se despliega una Web-site pblica localizada en una LAN/DMZ, se puede utilizar el NAT Uno a uno.
Cuando se despliegan en Internet varias Web-site pblicas, se puede utilizar el NAT Varios uno a uno.
1 -- a --1 1 a --1
Empleado teletrabajador
1 a --1
varios 1 to --1
Internet
LAN/DMZ Granja de Servidores

Partner autorizado Cliente autorizado
LAN
Conectividad Segura

La validacin del NAT loopback permite a los usuarios LAN el acceso a las web-site pblicas alojadas en la LAN/DMZ mediante dominio pblico (URL).
1 -- a --1
1 a --1
1 a --1
varios 1 to --1
Internet
LAN/DMZ Granja de Servidores
LAN
Partner autorizado Cliente autorizado
NAT Loopback
Conectividad Segura
Resolucin de Problemas sencilla

Antes
Se necesitaba desplegar una gran cantidad de herramientas para realizar la captura de paquetes.
Ahora con ZLD 2.20

Basta con clickar el botn de GUI para capturar paquetes
Seleccionar Captura de Paquetes
Seleccionar interfaz para capturar paquetes
Decidir cuntos paquetes capturar
Proteccin de red Proactiva
Integracin Completa MS AD
Cuando se despliega el USG en entornos de PyMEs y/o empresas, los administradores utilizarn el servidor de directorios existente para gestionar los usuarios.
Conectividad Segura
En el diseo actual, la agrupacin de usuarios externos no es amigable El USG utiliza un grupo grande para representar a todos los usuarios externos y los miembros del grupo se tienen que teclear a mano.
ZLD v2.20 soporta grupos de usuario MS/AD

Soporta tantos escenarios como sean necesarios. (ver pg. Sig) Se necesitan muy pocos pasos de configuracin
Soporte de dos identificadores diferentes para el login de usuario: . E.g. se puede usar name o e-mail address para login. Soporta el test de configuracin de usuario AAA; MIS verifica si la configuracin es correcta.
Conectividad Segura
Escenario de Directorio Activo

1
2
Autnomo
3
Autnomo
Si la red es muy grande y compleja, estos escenarios pueden coexistir
Maestro/Backup
USG puede autenticar usuarios secuencialmente de acuerdo con el mtodo de autenticacin.

Group 1
Group 2
Group 3
Internet
AD server
ZyWALL USG
El usuario puede usar nombre direccin de correo electronico para iniciar la sesin
Intranet
ZyXEL le ayuda
Asegurar redes convergentes y otras aplicaciones crticas de negocios
Conectividad Segura
Conectividad y confidencialidad incrementada con un TCO inferior
Red de Empresa
Ayuda a las empresas a reforzar la poltica de seguridad corporativa
Implementacin de arquitecturas de red redundantes para operar sin interrupciones
Apndice: Evolucin histrica del ZLD El ZLD v2.20 en detalle
Evolucin de los Productos USG & Firmware ZLD
PyME
ZyWALL USG 2000 con mdulo SEM ZyWALL USG 1000

ZLD 2.11 con la serie USG - 3G/WLAN on USG300/1000 - Aumenta las firmas ZAV a 15k - Web Security (ZyXEL Safe Browsing) - IP/Mac binding - DDNS: 3322 (Principalmente para CN KA) - SSLVPN: RDP/VNC, pg.de login de cliente ZLD 2.12 con la serie USG - IPSec: VPN fall back & Ping Check - HA en modo bridge - SSL VPN: Vista, Active X, EPS - Poltica de autenticacin (simple NAC) - SIP BWM w/o ALG - Mejora throughput PPPoE
ZyWALL USG 300
7/1/07
10/1/07
1/1/08
4/1/08
7/1/08
10/1/08
1/1/09
4/1/09
7/1/09
10/1/09
1/1/10
4/1/10
7/1/10
PNeg
5/31/07
7/31
ZyWALL USG 200

ZLD 2.00 con USG300/1000 - Kasperkey AV - VPN(IPSec/SSL) hbrido - L2TP - IDP/ADP - Actualizacin IM/P2P
ZyWALL USG 100
ZLD 2.10 con USG100/200/2000 - Dual AV: KAV & ZAV - 3G & WLAN - Ms DDNS: No-IP, DyNU; Peanut - Prioridad de trfico SIP - HA: Virtual Mac - Usabilidad: GUI simplificado Copyright2010 ZyXEL Communications Corporation. All rights reserved. - AS (RBL/DNSBL)
ZLD 2.20 con la serie USG - Usabilidad mejorada - Mejora BWM - Windows 7 ready - Seguridad en el punto final - Mejora AAA - Mejora SIP/ALG - Sencilla resolucin de incidencias - Nuevo diseo del GUI (look & feel mejorado)
Resumen de prestaciones del ZLD v2.20 : (1/2)

Prestaciones bsicas del ZLD v2.20
Usabilidad Mejorada Qu mejora? Auto deshabilitacin de ruta cuando el siguiente salto est cado El usuario no necesita configurar la ruta por defecto para el trfico LANWAN. Paquete ZLD flujo v2.0
El usuario no necesita configurar la routa para el trfico IPSec

Sobreescritura de las rutas Soporta NAT Varios a 1 Soporta NAT sobrecarga Varios a Varios saliente
Diseo de Interfaz Unificado Referencia a Objetos Mejora CF BWM DSCP Seguridad en el Punto Final
Estilo consistente con todos los interfaces USG Muestra Dnde se utiliza para cada objeto Prueba de Bypass CF en VPN IPSec Qu mejora? Etiquetado Diff SERV BWM por marca DSCP Qu mejora? Prueba de seguridad en el punto final contra SSLVPN Soporta Kaspersky y muchos otros clientes Qu mejora?
Copyright2010 ZyXEL SSLVPN Soporte de Windows 7 en tnelesCommunications Corporation. All rights reserved.
EPS (con SSL VPN)

EPS (con Poltica de Autenticacin) Windows 7 ready Mejora SSLVPN
Resumen de prestaciones del ZLD v2.20: (2/2)

Prestaciones bsicas del ZLD v2.20
Aspecto mejorado GUI v2.0 Resolucin de incidencias ms sencilla Qu mejora? Utilizacin de tecnologa Web 2.0 (Ajax); ms flexible y sencilla Dispositivo virtual en la pantalla Qu mejora? Soporte de visualizacin de log para interfaz origen/destino y protocolo Configuracin de captura de paquetes por GUI GUI v2.0 (aspecto mejorado) Control de captura de paquetes desde el GUI Soporta captura simultnea de mltiples interfaces Descarga del fichero PCAPs desde el GUI Varios Mejora AAA Poltica de autenticacin Mejora 3G Mejora VPN IPSec Qu mejora? Soporta Grupo de usuarios LDAP Versin mejorada para forzar la autenticacin de usuario Soporte de ms tarjetas 3G (USB) & control consumo 3G IPSec HA Auto Fall Back (prestacin ZyNOS-alike ) Soporte de Bridge/VLAN en modo Device HA AP SIP ALG 1.2: Soporte de IPPBX en escenario de zona DMZ
Mejora HA
Mejora ALG SIP ALG Mtodo requerimiento DNS Mejora enrutamiento
Requerimiento DNS asociado a un determinado interfaz

Copyright2010 ZyXEL Communications Corporation. RIP/OSPF en VLAN All rights reserved.
Usabilidad Mejorada
- Paquete ZLD 2.0 - Mejora de Interfaz Unificada - Mejora de CF - Referencia a Objetos
Problemas en la versin ZLD actual

Problemas en las versiones actuales ZLD 2.0x, 2.1x
Problema del Servidor Virtual

El mapeo 1:1 necesita utilizar polticas de enrutamiento (policy routing) NAT loop back necesita utilizar polticas de enrutamiento (policy routing) No dispone de soporte Varios uno a uno Si el mapeo IP es device unowned IP, el dispositivo crear un interfaz virtual para la regla de servidor virtual (Se necesita una solucin mejor). El usuario necesita crear polticas de enrutamiento (policy routing) (e.g. trfico lan , trfico wlan) La ruta directa siempre tiene una prioridad mayor que la poltica de enrutamiento Establecer SNAT con device unowned IP en la poltica de enrutamiento no funciona
Enrutamiento

VPN Dependencia a Dependencia necesita poltica de enrutamiento

Nuevo Diseo del Flujo de Paquetes

El usuario no necesita establecer una poltica de enrutamiento para el trfico por defecto LAN-WAN y el trfico VPN
Ruta de enlace SNAT y WAN por defecto

Coexistencia de rutas estticas y dinmicas Auto creacin de poltica de enrutamiento VPN
Soporte de NAT Varios a Varios saliente (Proxy ARP)

Nueva implementacin de NAT loopback La poltica de enrutamiento puede sobreescribir la ruta directa
Cambios en la Tabla de Enrutamiento ZLD

Versin ZLD 2.1x
Prueba de enrutamiento
Subredes conectadasdirectamente Subredes conectadas directamente
Subredes conectadas directamente Poltica de enrutamiento VPN dinmica Poltica de enrutamiento Varios 1 a 1 NAT #1,, #n Auto VPN VPN Site to Site VPN dinmica Ruta esttica y dinmica Enlace WAN por defecto Tabla principal de rutas
Versin ZLD 2.20

Prueba de enrutamiento
Ruta esttica principal (Linux) Ruta dinmica
Nueva tabla de rutas en ZLD 2.20
Enlace WAN por defecto

Proporciona un enlace por defecto SYSTEM_DEFAULT_WAN_TRUNK que el usuario no puede eliminar.
SYSTEM_DEFAULT_WAN_TRUNK aadir un interfaz Ethernet externo y un ppp/aux/cellular automticamente.
NAT Mejorado
Soporta NAT 1 a 1 y varios 1 a 1 Nueva implementacin de NAT loopback Cambio en el diseo de la Tabla NAT
Diseo ZLD 2.20

Haciendo SNAT
Comprob. prioridad
Diseo ZLD 2.1x

Poltica de enrutamiento SNAT
alta
Haciendo SNAT
SNAT 1 a 1 (incluyendo varios 1 a 1) Poltica de enrutamiento SNAT NAT Loopback SNAT 1 a 1 (incluyendo varios 1 a 1) SNAT por defecto
baja
SNAT por defecto

El trfico que cumpla con los siguientes criterios realizar la accin indicada. Solamente interno a externo realizar SNAT
SNAT
Scenarios (Example)
Internal external
Internal internal external Internal external external
On
Off Off Off
LAN WAN
Access Internet LAN DMZ Access Server WAN LAN Serving Internet access WAN WAN Dynamic Route
Mejora de la Poltica de Enrutamiento

Objetivo
Deshabilitar automticamente la poltica de enrutamiento cuando el siguiente salto est cado.
Estado del interfaz basado en:

Enlace up/down
Interfaz habilitado/deshabilitado
Prueba de conectividad IP objeto o no
Activado (verde) Desactivado (gris) Auto-Desactivado (rojo)
Mejora de Interfaz Unificado

Propsito

Proporciona un diseo ms flexible y amigable Unifica los formatos de configuracin de toda la Serie USG
Mejora del ZLD 2.20

Nombre de interfaz configurable Muestra la informacin de puerto en el interfaz Ethernet
Propiedad de interfaz
Interfaz PPP por defecto de sistema Cambio en diseo de Zona/Enlace
Unifica el Nombre de Interfaz para todos los productos
Antes del ZLD v2.20
Nombre de interfaz en los equipos USG100/200
wan1, wan2, opt, lan1, lan2, dmz
USG300/1000/2000, ZW1050
ge1, ge2, ge3 and so on
Despus del ZLD 2.20

Unifica el nombre de interfaz para todos los modelos
El usuario puede definir un nombre determinado
Nombre de interfaz configurable (1/2)
El nombre de interfaz es configurable
El usuario puede modificar el nobre de interfaz
Nombre de interfaz configurable (2/2)

El nuevo nombre de interfaz mostrar todas las caractersticas que est utilizando el interfaz
Muestra el nombre de interfaz definido por el usuario
Se muestra la informacin de puerto en el interfaz
Interfaz
Ethernet: ge1(wan1), ge2(wan2), ge3(lan1) VLAN, PPP Bridge WLAN, Cellular Aux
Presentacin
P1, P2, P3, Muestra el puerto fsico, tal como P1, P2 n/a Mustra la localizacin, tal como shot1/shot2 or USB1/USB2 aux
Propiedad de interfaz
Diferencia los interfaces en varios grupos Diferente programacin para propiedades diferentes
Pgina de configuracin simplificada en el GUI
Tipo Modelo
Interno USG 100/200: LAN1, LAN2, DMZ
Externo USG 100/200: WAN1, WAN 2
General USG 300/1000/2000: ge1, ge2
Set DHCP Client

Set DHCP Server Set DHCP Relay Set Default Gateway Set Metric Set Ping Check MAC Address Setting
No Soportado
Soportado Soportado No Soportado No Soportado No Soportado No Soportado
Soportado
No Soportado No Soportado Soportado Soportado Soportado Soportado
Soportado
Soportado Soportado Soportado Soportado Soportado Soportado
Interfaz PPP por defecto de sistema

Soporta el encadenamiento de mltiples interfaces PPP en un interfaz WAN para el USG 100/200 . Soporta el establecimiento de PPP sobre el interfaz VLAN para el USG 100/200.
Se pueden aadir/borrar interfaces PPP definidos por el usuario
Interfaz PPP por defecto del sistema. El usuario no lo puede eliminar
Cambio en el diseo de Zona/Enlace
Tipo ZONA
Antes del ZLD v2.20
Despus del ZLD v2.20
USG 100/200
a. ZONA fija: - WAN, - LAN1, - LAN2, - WLAN, - DMZ, - OPT(slo para USG200), - SSL_VPN, - IPSec VPN b. El usuario no puede crear/borrar ZONA El usuario puede crear/borrar ZONA
USG 300/1000/2000
a. ZONE por defecto de sistema: - WAN, - LAN1, - LAN2, - WLAN, - DMZ, - OPT(slo para USG200), - SSL_VPN, - IPSec VPN b. El usuario puede crear/borrar ZONA
ENLACE
a. Limitado a 5 ENLACES : -WAN_TRUNK, -WAN_TRUNK2, -WAN_TRUNK3, -WAN_TRUNK4, -WAN_TRUNK5 b. El usuario no puede aadir/borrar ENLACE existente
USG 100/200
a. No Limitado a 5 ENLACES fijos b. El usuario puede aadir/borrar ENLACE
USG 300/1000/2000
Copyright2010 ZyXEL Communications Corporation. El usuario puede aadir/borrar ENLACE
All rights reserved.
Referencia a objeto
Modelo actual:
Cuando el usuario intenta eliminar un objeto usado, el sistema le enviar un mensaje de error, pero no informacin adicional.
Nuevo diseo:
Nuevo mecanismo para obtener todas las referencias por Objeto/Grupo.

Referencia a objeto: GUI
Mejora de CF
Algunos usuarios requieren no hacer verificacin de filtrado de contenido cuando atraviesan un tnel VPN
Aade un comando CLI al filtro CF Bypass/Inspeccin en trfico VPN
BWM
- Etiquetado Diff SERV
- BWM mediante marca DSCP
Qu es el Punto de Cdigo DiffServ (DSCP)?

Negocia las condiciones de trfico/acuerdo de nivel de servicio Define el DSCP de acuerdo con las polticas administrativas
Caracteriza el conformado y Guarantee traffic QoS level based on DSCP marcado del trfico y el control administrativo
: Router de Borde de Red : Router de Ncleo de Red
Diseo DSCP
Objetivo
Acondicionamiento, conformado y marcado del trfico a travs de DSCP Soporte del marcado DSCP basado en la capa de aplicacin Marcado: clasificacin del trfico segn los valores DSCP de acuerdo con la aplicacin o direccin IP de origen/destino, servicio o tipo de usuario. Gestin de ancho de banda: Los paquetes con DSCP diferente recibirn BWM diferenciado. Enrutamiento: Paquetes con etiquetas DSCP diferentes pueden obtener enrutamiento o NAT distintos
Funcionalidad DSCP en ZLD
Combina el control DSCP con las reglas de vigilancia y control de aplicaciones
Seguridad en el Extremo Final (EPS)

- EPS con VPN SSL - EPS con Poltica de Autenticacin
Lista de aplicaciones que soportan EPS

Software Cliente Anti-Virus
Norton_AntiVirus, 2010 Norton_Internet_Security, 2010 Norton_360 Version, version 3 Kaspersky_Anti-Virus, 2009, 2010 Kaspersky_Internet_Security, 2009, 2010 TrendMicro_PC-Cillin_Internet_Security, 2010 TrendMicro_PC-Cillin_Internet_Security_Pro, 2010 TrendMicro_PC-Cillin_AntiVirus, 2010 Avria AntiVir Personal, 2009 Microsoft_Security_Center
Software de Cortafuegos Personal

Kaspersky_Internet_Security, 2009, 2010 TrendMicro_PC-Cillin_Internet_Security, 2010 TrendMicro_PC-Cillin_Internet_Security_Pro, 2010 Windows_Firewall Microsoft_Security_Center
EPS con VPN SSL

El software de seguridad se distribuye a los dispositivos del usuario final. Se descarga e instala un programa en el extremo final y se comprueba su seguridad mediante el ZyWALL cuando se producen accesos. Si el entorno de operacin del extremo final cuadra con los requerimientos de seguridad de la empresa, se permite el acceso. Comprueba el host del cliente para:

Instalacin y activacin de Anti-Virus

Instalacin y activacin de Anti-Spyware Instalacin y activacin de cortafuegos personal El usuario define la verificacin de la configuracin interna del S.O, Ej: El registro de Windows
Escenario con verificacin EPS

Verifica Anti-Virus Anti-spware v Cortafuegos Personal . v . v
Empresa
LDAP,RADIUS, Directorio activo
Internet
Servidor de Archivos
Verifica Anti-Virus Anti-spware Cortafuegos Personal . . Servidor de Correo
Servidor Web Verifica Anti-Virus v Anti-spware v Cortafuegos Personal v . v . v

EPS con Poltica de Autenticacin
Mejora la versin de autenticacin forzada de usuario.
Control de admisin de red.

Se realiza la verificacin de EPS despus de la autenticacin de usuario. El usuario puede acceder a la red despus de pasar las pruebas de autenticacin y EPS.
Windows 7 ready
- Mejora de VPN SSL
Soporte de Windows 7
Elementos tcnicos/Especs.
(4Q'09)
Despliegue Top-down
(1Q'10) (2Q'10)
Nota
ZLD 2.21 s
ZLD 2.12 patch x Tnel completo SSLVPN: Ejecutar SecuExtender en Windows 7 Modo proxy SSLVPN : El usuario ejecuta IE8 en Windows 7 Gestin de dispositivo: El Administrador usa IE8 en Windows 7 EPS: Establecer regla para detectar Windows 7 s
ZLD 2.20 s
no (4Q'09)
s (2Q'10) s
s (4Q'10) s
Cliente IPSec VPN (TGB)
Versin IPSec : 2.4.204.61.03
Aspecto mejorado
- GUI 2.0
Introduccin al Interfaz Web GUI 2.0

El interfaz Web GUI 2.0 del ZLD est basado en la librera
Ext-JSs de desarrollo, debido a:
Altas prestaciones, UI personalizables Modelo de componentes bien diseado, documentado y extensible Buena compatibilidad con navegadores
Propiedad del Interfaz Web GUI 2.0

rbol de men reorganizado
Sencillo de monitorizar el estado del dispositivo
Dispositivo Virtual
Tablero personalizable Operacin mediante tablas amigables
Interfaz de configuracin ms amigable
rbol de Men Reorganizado
Tablero
Monitorizacin
Configuracin Mantenimiento
Dispositivo Virtual
Tablero Personalizado (1/2)
Tablero Personalizado (2/2)
Operacin mediante Tablas Amigables
Configuracin Rpida
Rpida Resolucin de Incidencias

- LOG in GUI 2.0 - Herramienta de Depuracin
LOG
Soporta una columna adicional de log

Interfaz Origen Interfaz Destino Protocolo
Mejora de la Vigilancia de Aplicaciones

Soporte de login/logout para usuarios de MSN

El usuario XXX de MSN ha hecho log in. El usuario XXX de MSN ha hecho log out.
Herramienta de depuracin
Simplifica la resolucin de incidencias Dispone de una pgina en el GUI para la captura de paquetes Soporta interfaces mltiples para la captura de paquetes Descarga el resultado de la captura de paquetes desde el GUI
Varios
Mejora AAA
En el diseo actual del ZLD, la agrupacin de usuarios externos no es amigable
Utilizacin de un grupo grande (i.e. ldap-users) para representar todos los usuarios externos Los miembros de grupos definidos por el usuario se tienen que introducir a mano
El nuevo diseo:
Representa a cada usuario independientemente, en vez de agruparlos en grupos de cientos Soporta tantos escenarios como sean necesarios Necesita menos pasos de configuracin
Mejora AAA - Alcance del diseo

Esta mejora slo se aplica a aquellos servicios que son conscientes de la existencia de los usuarios (useraware services) y soportan AAA externa
Los servicios que soportan AAA externa autentican a los usuarios mediante un servidor AAA externo
weblogin, L2TP, x-auth, WLAN
Los servicios conscientes de la existencia de usuario (useraware) notifican las caractersticas del usuario acerca del estado de login/logout.
weblogin, dialin, ftp, login, ssh
A partir de ahora, solamente se considerar el caso
weblogin
Control de Uso: 3G
Control de uso de las redes 3G mediante:

Tiempo de uso Datos transmitidos
Acciones soportadas:
Log/Alert
Cada de conexin
VPN IPSec : Fall Back

Fail Over: Negociacin de tnel con un gateway remoto secundario cuando el primario se ha cado Fall Back: Permite la re-conexin del tnel al gateway remoto primario, aunque el secundario est activo Si el gateway remoto secundario est activo, se mantiene siempre la conexin con l debido a que un demonio IPsec registra el gateway remoto cado.
VPN IPSec: Auto Fall Back

Fail Over
Gateway seguro A IP:172.23.38.10
Fall Back
HQ: 172.23.38.1
Fase 1: SG1:172.23.38.10 (A) SG2:172.23.38.20 (B)
Gateway seguro B IP:172.23.38.20
No Fail Over No Fall Back Fall Back Fail Over

Mejora del funcionamiento del dispositivo en Alta Disponibilidad (Device HA)
Soporta los interfaces Bridge y VLAN en Modo AP Device HA

El backup Device HA no realiza NTP Sync (ITS)
SIP ALG 1.2

Propsito: Soporte de IPPBX en escenarios de zona DMZ Alcance del diseo:
Seguimiento de Puertos SIP
Escucha de puertos UDP ports sobre SIP: mx 8 puertos Conexiones SIP relacionadas Ayuda al Agente APP a monitorizar las conexiones SIP NAT ALG Modificacin de paquetes en entornos NAT Ayuda a los clientes a constituir conexiones multimedia en entornos NAT
Comportamientos:
Incrementa el tiempo de vida de las conexiones SIP
Controles personalizados
Mejora de la Peticin DNS (1/2)
Problema actual:
El servidor DNS de destino del encaminador de zona se decide mediante el dominio de la FQDN requerida
Problema:
Las entradas de enrutamiento determinan el interfaz desde el que se enviar la Peticin DNS La Peticin DNS no ser atendida si el servidor DNS de destino que solicita la Peticin DNS tiene que proceder de su red ISP
Algunos requerimientos DNS con dominio especfico necesitan asociarse a un interfaz determinado
Mejora de la Peticin DNS (2/2)

Fuerza al paquete de Peticin DNS a estar asociado a un interfaz especfico cuando se enva.
Nombre de interfaz (ge1, ge2 ..) El servidor DNS del ISP o el servidor DNS personalizado. La peticin DNS estar asociada al interfaz configurado anyServidor DNS Personalizador. El interfaz de salida para la peticin DNS depende de la decisin de enrutamiento tnelServidor DNS en la red remota. La peticin DNS atravesar el tnel
DNS Server xyz
Cumple!
Zone Forwarder Table: Domain Server Via abc.com abc WAN2 xyz.com xyz WAN1
WAN1
ISP xyz
Internet
WAN2
ISP abc
DNS Server abc
Peticin DNS www.abc.com
Peticin DNS Dst IP: abc www.abc.com
Mejora RIP/OSPF
Cuando se edita la VLAN, el usuario puede configurar RIP/OSPF

ZLD v2.20

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

ZLD v2.20

Caricato da

Copyright:

Formati disponibili

ZLD v2.

Algo ms que una nueva versin de Firmware

Arquitectura de enrutamiento mejorada

El ZLD v2.20 en detalle

Lo que est ocurriendo a su alrededor:

Copyright2010 ZyXEL Communications Corporation. All rights reserved.

De dnde vienen las amenazas?

Establecer Tneles VPN Fiables Teletrabajador

ZyWALL USG 2000

Contra las Acciones de Vulneracin de Cualquier Origen

Solucin de Seguridad de ZyXEL

Proteccin de Mitigar Red Proactiva Acciones Externas

Establecer Tneles VPN Conectividad Fiables Segura

Solucin VPN completa para conexiones entre sucursales y acceso remoto

Garantizar y Gestin Disponibilidad Recuperacin de y Sencillez de Red Gestin

Tolerancia a fallos en las rutas de red: Enlace WAN, pasarelas,VPN

Copyright2010 ZyXEL Communications Corporation. All rights reserved.

Tendencias del 2010

Copyright2010 ZyXEL Communications Corporation. All rights reserved.

ZyWALL ZLD v2.20: Ms que una actualizacin

Proteccin de Red Proactiva

Seguridad en la Empresa Incorpora 90+ nuevas mejoras

Refuerzo de la Poltica de Seguridad

Gestin y Recuperacin de Red

Nuevo Interfaz Grfico ms Intuitivo Arquitectura de Enrutamiento mejorada Integracin Completa MS AD

Copyright2010 ZyXEL Communications Corporation. All rights reserved.

Proteccin de Red Proactiva

Quin amenaza la red de la empresa?

2. Cortafuegos personal habilitado?

Copyright2010 ZyXEL Communications Corporation. All rights reserved.

Proteccin de Red Proactiva

Escenario de Despliegue EPS

DMZ (Granja de Servidores)

Comprobando: 1. Anti-Virus. X 2. Personal Firewall X 3. OS patch level...V El resultado es NO Acceso

Sistema OA, ERP Escritorio Remoto Sistema CRM

Servidor de aplicaciones (Inventario,almacn..)

Empleado accediendo desde su casa

Comprobando: 1. Anti-Virus. V 2. Personal Firewall V 3. OS patch level...V El resultado es Acceso

Copyright2010 ZyXEL Communications Corporation. All rights reserved.

Proteccin de Red Proactiva

Aplicaciones de Redes Sociales

Refuerzo de la Poltica de Seguridad

Gestin y Recuperacin de Red

Control granular de las aplicaciones de redes sociales

Proteccin de Red Proactiva

Copyright2010 ZyXEL Communications Corporation. All rights reserved.

Proteccin de Red Proactiva

Refuerzo de Poltica de Seguridad

Gestin y Recuperacin de Red

SIP ALG mejorado soporta despliegue VoIP flexible

VoIP BWM de calidad, segura y mejorada

USG con IP pblica y IP-PBX detrs de USG(DMZ)

Copyright2010 ZyXEL Communications Corporation. All rights reserved.

Proteccin de Red Proactiva

SSLVPN Soporta Windows 7

Refuerzo de la Poltica de Seguridad

Gestin y Recuperacin de Red

Copyright2010 ZyXEL Communications Corporation. All rights reserved.

Proteccin de Red Proactiva

Serie USG de ZyWALL Licencia SKU

5 incluidos 5 -> 50 5 -> 25

2 -> 10 2 -> 25 10 -> 25 2 -> 10 2 -> 5

Copyright2010 ZyXEL Communications Corporation. All rights reserved.