Spam - Zyxel

Mehrstufige Sicherheit
durch Teamwork
UTM Unified-Threat-Management
• Kampf gegen Würmer, Trojaner, Viren
und Spam
• Warum setzt sich UTM durch?
• Funktionen der UTM-Firewalls von ZyXEL
• Praktische Einsatzbeispiele für KMU
• Zentrales Management von Firewalls
All-in-One-Sicherheitslösungen
Die neue UTM-Firewall
Heute gilt der Sicherheitsfokus nicht mehr alleine den
Firmendaten, sondern dem gesamten Firmennetzwerk.
Die Netzwerkkomponenten sind deshalb zusätzlichen
Anforderungen ausgesetzt: Datenpakete sollen neben
einer Prüfung der Zugangsberechtigung auch nach
Viren, bestimmten Attacken-Mustern und schädlichen
Codes untersucht werden. Auch Spam-E-Mails soll eine
Firewall ausfiltern können. Bestehende Stateful-Inspection-Firewalls werden den neuen Gefahren nicht mehr
gerecht. «Vereint gegen die Schädlinge» heisst das
Motto der neuen Firewall-Generation – oder im Fachjargon: UTM = Unified-Threat-Management.
UTM löst bestehende Sicherheitslösungen ab
Virenschutz, Intrusion-Detection-Prevention, Anti-Spam
und Content-Filter bilden mit der Firewall ein vereintes
Sicherheitsteam gegen Gefahren. In einer Hardware
aufeinander abgestimmt (All-in-One) bilden sie bereits
am Gateway eine widerstandsfähige Schranke gegen
verschiedenste Angriffe. Wie beim Sport braucht es
auch für den Netzwerkschutz mehrere Stufen für die
Abwehr des Gegners resp. der Gefahr.
Gründe für All-in-One
Im KMU-Markt sind All-in-One-Lösungen der Trend.
Höhere Kosten und der schwierige Unterhalt von verschiedenen Produkten führen dazu, möglichst viele
Sicherheitsaufgaben mit einer Hardware wahrzunehmen.
ANTI-SPAM
INTRUSION-PREVENTION
ANTI-VIRUS
WEB-CONTENT-FILTERING
BANDBREITEN-MANAGEMENT
LOAD-BALANCING
VPN
FIREWALL
ZyXEL UTM-FIREWALL
02
Grosse Sicherheitsrisiken
Gefahren in aktiven Inhalten
Oft nutzen Angreifer Active-Content-Elemente. Viele
wichtige Unternehmensanwendungen verwenden ebenfalls diese Technik. Solche Applets und ausführbare Dateien können somit nicht einfach blockiert werden. Wie
kann nun der IT-Verantwortliche im aktiven Code Eindringlinge nach «gut» und «böse» unterscheiden?
Schwierige Erkennung
Die Machenschaften von aktivem Code sind für den Anwender meist unsichtbar. Der Code wird automatisch
auf den Rechner geladen, sobald ein Mail empfangen,
eine Website aufgerufen oder ein Instant-MessagingDienst verwendet wird. Websites können eine ganze
Reihe aktiver Inhalte aufweisen wie ActiveX, Java- oder
Visual-Basic-Scripts. Diese Programmteile eignen sich
für feindliche Aktionen genauso gut wie für die Programmierung von «harmlosen» Websites und Anwendungen.
Gefahren durch Peer-to-Peer (P2P)
Sicherheitsspezialisten warnen vor Gefahren aus Peerto-Peer-Filesharings und Instant-Messaging in Unternehmen. Beispiele von P2P-Applikationen sind Kazaa,
eDonkey, Skype, etc. Diese Anwendungen suchen sich
automatisch offene Ports oder kommunizieren über HTTP.
So erreichen Viren, Würmer und schadhafte Programme
unkontrolliert das Firmennetzwerk. Exzessives Filesharing
führt oftmals auch zu Bandbreiten-Problemen. Intrusion-
Detection-Prevention-Systeme sind die einzige Lösung,
um P2P-Verbindungen zu blockieren.
Firmen-Mailserver als Spam-Schleuder
Nicht selten werden Firmen-Netzwerke missbraucht:
Zum Beispiel zu Spam-Zwecken, oder um von dort aus
unerkannte Angriffe auf ein fremdes Ziel zu starten. Ein
solcher Missbrauch bleibt häufig unbemerkt, ausser
man erhält eine Verwarnung seines Providers.
Gefahren lauern auch intern!
Gefahren drohen nicht nur aus dem Internet, sondern
auch aus dem «sicheren» lokalen Netzwerk. Schädlinge
schleust man oft über Notebooks, USB-Memory-Sticks
oder VPN-verschlüsselte Verbindungen ein. Durch Mitarbeiter zugefügte Netzwerkkomponenten, wie z. B. ein
eigenes WLAN im Büro ohne entsprechende Konfiguration, durchlöchern das Sicherheitskonzept. Vertrauen in
die Mitarbeiter ist wichtig. Die Ausbildung der Mitarbeitenden, das Durchsetzen von Sicherheitsvorgaben und
fortlaufende Kontrollen sind jedoch unerlässliche Massnahmen für ein sicheres Netzwerk.
UTM wird heutigen Gefahren gerecht
Viele der heutigen Gefahren können mit einzelnen Sicherheitslösungen nicht mehr zuverlässig abgewehrt
werden. Ganzheitliche Sicherheitslösungen, bei denen
die Firewall als Gateway möglichst viele Sicherheitsfunktionen abdeckt, sind deshalb klar der Trend.
03
Sicherheit als Ganzes
Firewall alleine genügt nicht mehr
Heute reicht die Installation einer Firewall und AntiViren-Lösung nicht mehr aus, um eine ganzheitliche
Sicherheit zu gewährleisten. Viele der gegenwärtigen
Gefahren erkennt eine reine Firewall aufgrund ihrer
Funktion nicht und kann sie deshalb auch nicht abwehren.
Ergänzender Virenschutz
Die Anti-Viren-Lösung auf dem Gateway ersetzt nicht
den bereits vorhandenen Virenschutz auf dem Mailserver und Desktop, sondern ergänzt diesen. Das Ziel ist
jedoch, möglichst viele Viren bereits beim Eintreffen ins
Netzwerk zu neutralisieren.
Firewall übernimmt viele Sicherheitsfunktionen
Durch das Zusammenspiel von Firewall und Anti-VirenLösung, Spam-Filter, Intrusion-Detection-Prevention
und Content-Filter bietet Unified-Threat-Management
eine vielschichtige Lösung gegen Gefahren. Oftmals
gelangen Viren als Attachment von Spam-Mails ins
Netzwerk. Der Spam-Filter kennzeichnet oder löscht
den Grossteil der Spam-Flut. Der Viren-Filter überprüft
Daten am Gateway und macht die entdeckten Viren
unschädlich. Falls trotzdem ein Schädling ins Netzwerk
gelangt und aktiv wird, schlägt das Intrusion-Prevention-System Alarm und verhindert einen Ausbruch im lokalen Netzwerk.
Strategische Partnerschaften
ZyXEL setzt bei den neuen Funktionen auf starke Partner: Die Firma Kaspersky ist ein weltweit führender
Hersteller von IT-Sicherheits-Software und erstellt die
Virensignaturen für die ZyWALL. Den Spam-Schutz
liefert Mailshell, bekannt für Entwicklungen von SpamFilter-Technologien.
Schutztechniken von Unified-Threat-Management
Firewall mit
Stateful-PacketInspection
Intrusion-Detection-Prevention
(IDP)
Anti-Virus
Anti-Spam
Know-how
mailshell
TM
Anti-Spam
Wirkung
Kontrolliert Ports
und IP-Adressen der
Datenübertragung.
Analysiert den Inhalt
der Datenübertragung bis ins Detail.
Vergleich von Dateien
mit Viren-Signaturen.
Vergleich von E-Mails
mit Spam-Signaturen.
Nutzen
Erkennt/sperrt
Protokollfehler und
Falschzugriffe anhand
von Protokoll-Spezifikationen.
Erkennt/blockiert
Attacken durch
Würmer, Trojaner und
Backdoors sowie
modifizierte Versionen
eines Schädlings,
auch ohne neue Signaturen.
Erkennt/löscht Viren
und schadhaften
Code anhand von
aktuellen Signaturen.
Kennzeichnet/blockiert Spam- sowie
Pishing-Mails anhand
aktuellster Filter-Technologien.
04
Spam – Belästigung und Gefahr
Massive Zunahme von Spam
Spam-Mails werden immer professioneller erstellt. Längst
bewirbt man mit Spam nicht mehr nur Produkte. Wegen
profitablem Geschäft nehmen kriminelle Aktivitäten unter
Spamern stark zu. Für Mail-Adressen besteht ein lukrativer
Handel. Hand in Hand arbeitet die Spam-, Trojaner- und
Phishing-Industrie zusammen. Mittels Trojaner verschafft
man sich Zugang zu Rechnern in fremden Netzwerken.
Über diese Ressourcen wiederum lassen sich unerkannt
Spam-Mails versenden. Der bekannte Beagle-Wurm
z. B. öffnet eine Hintertür, über die der befallene Rechner
Spam-Mails versendet.
Phishing
Auch Phishing nutzt die Spam-Technologie: Der Phisher
schickt seinem Opfer offiziell wirkende E-Mails, die
verleiten sollen, wichtige Informationen, oftmals Passwörter, in gutem Glauben dem Täter preiszugeben. Mit
Phishing wird oft versucht, Zugangsdaten zu erhalten,
z. B. für Onlinebanking.
Illegale Arten von Spam
Viele Spam-Mails bewerben Massenprodukte wie Medikamente, Kredite, Software, Socken, Druckerpatronen.
Andere versuchen, einen Dialer einzuschleusen, der
automatisch taxpflichtige Wählverbindungen aufbaut.
Generell sind Schneeballsysteme mit Geldfluss zum
Absender illegal, sofern ein klares Missverhältnis zur
Gegenleistung besteht. Das Schweizer Lotteriegesetz
verbietet diese Form von Mailings.
Zweiter Spam-Schutz sinnvoll
Service-Provider bieten oft Spam-Filter an. Diese Filter
sind in der Regel rudimentär und blockieren nur einen
Teil der Spam-Mails. Deshalb lohnt es sich, einen zusätzlichen Filter auf dem Gateway zu installieren.
geschütztes Netzwerk
ZyWALL SPAM-FILTER
PROVIDER SPAM-FILTER
Nützliche Dienste im MS-Outlook wie der Regel-Assistent
helfen beim Verwalten von Spam-Mails.
Wohin mit Spam?
Es empfielt sich, einen speziellen Spam-Ordner im E-MailClient anzulegen. In MS-Outlook leistet die Regelassistenten-Funktion sehr nützliche Dienste. Je nach
Einstellung verschiebt oder löscht dieser Assistent automatisch eingehende Mails, die eine Spam-Markierung
aufweisen.
Kontrollierte Webzugriffe mit Content-Filter
Nebst Schulen oder Bibliotheken wünschen auch viele
Unternehmensverantwortliche eine Einschränkung des
Internetzugriffs. Ein Content-Filter lässt sich einsetzen
zum Schutz von Minderjährigen oder zur Durchsetzung
von Unternehmens-Richtlinien für die Nutzung des Internets. Allein das Wissen, dass ein Content-Filter im
Einsatz steht, genügt oft, um die Disziplin bei Webzugriffen zu verbessern. Ein positiver Nebeneffekt ist
ebenso, dass die Blockade von einschlägigen Web-Kategorien auch das Einschleusen von schadhaftem Code
reduziert. Der Content-Filter-Service ist auch im reinen
Log-Modus einsetzbar. Dabei werden keine Kategorien
blockiert, sondern es wird nur mit Reports aufgezeigt,
auf welche Web-Kategorien und Webseiten zugegriffen
wird. Die Privatsphäre der Mitarbeiter bleibt gewahrt,
da die Reports gesamthaft, ohne Bezug zu einzelnen
Personen erscheinen.
Spam-Mails
05
Einsatzgebiete ZyWALL 5
Netzwerke ohne öffentliche Server
Viele kleinere und mittlere Unternehmen bedürfen einer einfachen, kostengünstigen IT-Infrastruktur, um
E-Mail-Verkehr abzuwickeln resp. im Internet zu surfen.
Dafür ist die ZyWALL 5 ideal: Bis zu vier Arbeitsplätze
lassen sich über den integrierten 4-Port-Switch direkt
anschliessen. Die leistungsfähige Firewall bietet in der
Grundausstattung Stafeful-Packet-Inspection für einen zeitgemässen Basisschutz.
Datenaustausch LAN – DMZ
Ist ein Datenaustausch zwischen dem Supportrechner
und den internen Arbeitsstationen nötig, so definiert
man einfach Firewall-Regeln zwischen der DMZ und
dem LAN-Segment. Damit sich Viren oder Trojaner
nicht ausbreiten, wird die Aktivierung des Anti-Virus- /
Intrusion-Prevention-Dienstes empfohlen. Dies erfordert eine Turbokarte, die in den Slot auf der Rückseite
der ZyWALL 5 eingeschoben wird. Bei der ZyWALL 5
(auch ZyWALL 35) lässt sich die DMZ flexibel auf einem
der vier Ethernet-Ports einrichten.
Sicheres Wireless-LAN
Wünscht ein Unternehmen ein Wireless-LAN,
kann analog zum Supportrechner in der DMZ
– also getrennt vom internen LAN – auch ein
WLAN-Access-Point installiert werden. Dank den
eigenen Firewall-Regeln der DMZ resp. der WLANZone, können z. B. Laptops mit WLAN sicher Daten
über das Internet austauschen und je nach Berechtigung
auf interne Daten zugreifen. Die zentralen Sicherheitsfunktionen wie Anti-Virus, Intrusion-Detection-Prevention
oder Anti-Spam stehen auch für den DMZ-Port (auf
ZyWALL 5, 35 und 70) zur Verfügung.
ZyXEL ZyWALL 5
Firewall für kleinere Netzwerke
UVP incl. MWST: 548.– EUR
DMZ für isolierte Rechner
Oft steht ein separater Rechner z. B. nur für Supportaufgaben zur Verfügung, bei dem ab und zu USB-MemorySticks oder fremde CD-ROMs eingelesen werden. Hier
empfiehlt es sich, diesen zu isolieren. Die ZyWALL 5
enthält dafür eine sogenannte DMZ (demilitarisierte
Zone), die frei konfigurierbar ist. Der Datenaustausch
zwischen DMZ und LAN ist dadurch unterbunden.
Computer-Schädlinge, die auf den isolierten Supportrechner gelangen,
können sich nicht
auf die anderen Stationen ausbreiten.
Die Sicherheit wird
mit dieser einfachen
Methode stark erhöht.
Verschlüsselter Datenaustausch / WPA-PSK
Für WLAN-Verbindungen zwischen Access-Point und
Client empfiehlt sich die WPA-PSK-Sicherheitseinstellung für den verschlüsselten Datenaustausch. Jeder WLAN-Benutzer muss dazu das Start-Kennwort
(WPA-PSK) einmal im WLAN-Client-Treiberprogramm
hinterlegen. Damit das Kennwort bei ausscheidenden
Mitarbeitern nicht geändert werden muss, bietet sich
zusätzlich der Einsatz des internen RADIUS-Servers
(durch ZyWALL 5, 35 und 70 unterstützt) an. Jeder
Mitarbeiter erhält einen eigenen Account mit Benutzernamen und Passwort. Bevor eine WLAN-Verbindung
aufgebaut wird, muss man sich authentifizieren.
RADIUS-Server
User: Claudia
Password: PW1SEC27
User: John
Password: PW1SEC25
User: Charlie
Password: PW1SEC29
User: Bettina
Password: PW1SEC32
User: John
Password: PW1SEC25
Support-PC
Access-Point
DMZ
DMZ
Anmeldung Benutzer am Wireless-LAN
Isolierte Zone (DMZ) für «unsichere» Rechner
06
Einsatzgebiete ZyWALL 70
Netzwerke mit öffentlichen Servern
Unternehmen mit eigenen Web-, FTP- oder Mailservern
etc. müssen sicherstellen, dass diese – im Gegensatz
zu internen Rechnern – vom Internet erreichbar sind. Öffentliche Server richtet man in einer DMZ ein, und interne
Rechner werden am besten in verschiedene LAN-Segmente aufgeteilt. Bei der ZyWALL 70 stehen vier DMZPorts zur Verfügung. Dennoch reichen Firewall-Regeln
zwischen DMZ und LAN heute nicht mehr aus, um Datenmissbrauch zu verhindern. Da öffentliche Server vom
Internet her zugänglich sein müssen, öffnen sie Schlupflöcher. Schutz vor «Exploits» (Angriffe auf Sicherheitslöcher
von Programmen) erreicht man nur durch den kombinierten Einsatz einer Firewall mit Anti-Virus- und IntrusionDetection-Prevention-Lösung.
ZyXEL ZyWALL 70
Firewall für Netzwerke mit
öffentlichen Servern
UVP incl. MWST: 1'279.– EUR
IP- und Port-Forwarding
Öffentliche Server brauchen eine fixe IP-Adresse, um
über eine bestimmte Domäne erreichbar zu sein. Die
ZyWALL-Modelle enthalten die IP- und Port-Forwarding-
Funktion. Damit lässt sich eine externe Web-Anfrage auf
den internen Server mit einer anderen IP-Adresse inkl.
Angabe einer Portnummer umleiten. Dies ist notwendig,
wenn mehrere interne Server mit unterschiedlichen IPAdressen über nur eine externe IP-Adresse angesprochen werden. So können mehrere Regeln für verschiedene Services definiert werden.
Erhöhtes Spam-Aufkommen bei eigenen
Mailservern
Ist ein lokaler Mailserver im Einsatz, so empfiehlt sich
die Aktivierung der Anti-Spam-Funktion auf der ZyWALL
besonders. Suspekte E-Mails, welche auf Spam hindeuten, werden entweder in der Betreff-Zeile mit einem
Zusatztext markiert oder vollständig verworfen und nicht
an den Client weitergeleitet. Die Quarantäne erfolgt
z. B. bei Microsoft Outlook über eine Regel, die
als Spam gekennzeichnete E-Mails in
einen separaten Ordner verschiebt.
Hoher Datendurchsatz, auch
mit UTM
Die neuen UTM-Funktionen wie AntiVirus und Intrusion-Prevention sind rechenintensiv, was den Einsatz einer Turbo-Card
erfordert. Dank dieser Karte erreichen die
ZyWALL-Firewalls einen hohen Datendurchsatz.
Die Echtzeit-Signaturüberprüfungen lassen sich bis auf
einzelne Services und Ports inklusive Richtungsangabe
(Inbound / Outbound) konfigurieren. Dies ist gerade für
Firewalls sehr wichtig, die einzelne Segmente innerhalb
des LANs trennen. Da Netzwerke heute üblicherweise
mit 100 Mbps arbeiten, darf die ZyWALL den Datendurchsatz nicht massiv bremsen.
FTP/20/21
Fileserver
192.168.2.33
www.beispiel.ch
217.11.1.20
HTTP/ 80
Webserver
192.168.2.34
SMTP/ 25
Mailserver
192.168.2.35
Verschiedene interne Server-Dienste werden von
extern über die gleiche IP-Adresse angesprochen.
07
Einsatzgebiete ZyWALL 35
Flexibel erweiterbare IT-Infrastruktur
Die meisten Firmen wünschen sich flexible IT-Infrastrukturen. Die ZyWALL 35 bietet 35 VPN-Tunnels und ist
eine leistungsstarke Lösung am Hauptsitz eines KMUs.
Als Gateway-Firewall mit UTM schützt sie das interne
Netzwerk mit LAN und DMZ. Der integrierte RADIUSServer bietet zusätzliche Sicherheit, z. B. die Authentifizierung von VPN-Benutzern.
Filialen anbinden
Bestehende Firmen-Netzwerke lassen sich mit ZyXELFirewalls jederzeit erweitern. Wird z. B. eine neue Filiale
eröffnet, bietet die ZyWALL 2 in der Regel ausreichende
Sicherheitsfunktionen. Sie lässt sich mit einem VPN-Tunnel an den Hauptsitz anbinden. Am zweiten verfügbaren
VPN-Tunnel der ZyWALL 2 könnte der Home-PC des
Filialleiters (ev. über ZyWALL P1) angebunden werden.
ZyXEL ZyWALL 35
Leistungsstarke
Gateway-Firewall
UVP incl. MWST: 929.− EUR
MANAGED-SECURITY
KMU
ZyWALL 70
www
Home Office
VANTAGE CNM
ZyWALL 2
Verteilte Firewalls zentral verwalten mit Vantage CNM.
Zentrales Management
Nur eine regelmässig gewartete IT-Infrastruktur bietet einen zeitgemässen Schutz. Vantage CNM (Centralized-Network-Management) ist eine
Client/Server-Software-Applikation, mit der
verteilte ZyWALLs zentral konfiguriert und
verwaltet werden können. Schon ab einer
geringen Anzahl von Firewalls ist die Verwaltung über das jeweilige Web-GUI aufwändig. Vantage CNM beinhaltet auch ein Tool für
grafische Reports, die man sich als PDF-File aufbereiten lassen kann.
Sicherheit für Aussendienstler
Reisende Mitarbeiter sind Bestandteil des Sicherheitskonzepts einer Firma. Eine sichere VPN-Verbindung
zwischen dem Mitarbeiter unterwegs und der Firma ist
somit immer häufiger ein Bedürfnis. Die ZyWALL P1 ist
eine Stateful-Packet-Inspection-Firewall in der Grösse
eines PDAs. Die Firewall-Regeln sowie VPN-Einstellungen werden vorgängig durch den IT-Administrator konfiguriert. Es müssen somit keine Laptops mehr eingesammelt oder Programme mühsam installiert werden.
MITARBEITER UNTERWEGS
Anbindung von Filialen
und Aussendienstler am
Hauptsitz mit VPN.
ZyWALL P1
HAUPTSITZ
FILIALE
VPN
www
ZyWALL 2
08
internes Netzwerk
Was bewirkt UTM?
FIREWALL
Wer regelt den Zugriff zwischen verschiedenen Netzwerken? Wer blockiert Attacken?
Eine UTM-Firewall meistert all diese Aufgaben. Wichtig
bei IDP, Anti-Virus und Anti-Spam sind stets aktualisierte Signaturen. Das dafür benötigte Know-how erreicht
ZyXEL durch die Zusammenarbeit mit führenden Herstellern aus unterschiedlichen Spezialgebieten.
ANTI-SPAM
ANTI-VIRUS
Wer erkennt Viren bereits am Gateway
und macht sie unschädlich?
Wer erkennt Spam und kennzeichnet das Spam-Mail, damit
es in einen speziellen Ordner
verschoben oder gelöscht werden kann?
Wer verschlüsselt die Verbindung zu Heimarbeitsplätzen
oder Zweigstellen?
VPN
Wer erkennt und blockiert Netzwerkbasierte Angriffe? Wer kann Peer-toPeer-Applikationen kontrollieren?
Wer kann den Webzugriff einschränken? Auf welche Art von
Webseiten greifen die Mitarbeiter zu?
CONTENT-FILTER
09
IDP
Anti-Virus
Anti-Virus auf dem Gateway
Der weltweite Schaden, den Viren verursachen, ist immens. Rechner ohne Virenschutz sind die Ausnahme.
Weshalb braucht es Anti-Virus auf dem Gateway, wenn
bereits auf den Arbeitsstationen der Mitarbeiter ein Virenschutz installiert ist? Eine Anti-Viren-Lösung auf der
Firewall blockt Viren, Würmer, Trojaner und Backdoors, die via SMTP / POP3 / FTP ins interne Netzwerk
gelangen. In Echtzeit scannt der ZyWALL-Gateway
nach File-basierten Viren und schadhaften Codes.
Jeder Virus, der schon am Gateway erkannt und vernichtet wird, entlastet das Netzwerk. Anti-Virus auf der
ZyWALL ergänzt die Virenlösung auf Mailserver und
Desktop, ersetzt diese aber nicht!
Wirkungsweise
Die ZyWALL identifiziert SMTP-, POP3-, HTTP- und
FTP-Pakete auf den Standardports. Die Scan-Engine
untersucht den Paket-Inhalt auf Viren. Wird ein Virenmuster erkannt, entfernt die ZyWALL den infizierten
Teil des Files. Auch gezippte Dateien untersucht die
ZyWALL. Ist der Windows-Nachrichtendienst beim
Empfänger aktiviert, erscheint eine Warnmeldung auf
dem Bildschirm.
Detaileinstellungen im Web-GUI zeigen auf,
welche Dienste/Interfaces auf Viren untersucht werden.
Kaspersky als Partner
Kaspersky hat sich innert kurzer Zeit zu einem führenden
Anbieter von Anti-Virus-Lösungen gemausert. Höchste
Erkennungsrate, schnellste und häufige Updates sind
die Stärken dieses Partners. Die auf der ZyWALL verwendeten Viren-Signaturen werden durch Kaspersky
entwickelt.
10
Übersicht aktuelle Viren
Als ZyWALL UTM-Kunde erhält man den Zugriff auf
eine Online-Plattform, auf welcher stets die aktuellen
Viren-Signaturen aufgeführt sind. Zudem erfährt man
im Detail, welche Auswirkungen der Virus hat und wie
gefährlich er eingestuft wird.
Stets online im Bild über bekannte Viren und ihre Auswirkungen.
Automatischer Update
Neue Signaturen kann die ZyWALL automatisch aktualisieren. Der Signaturen-Abgleich kann stündlich, täglich,
wöchentlich oder manuell erfolgen. Die Signaturen sind
nach dem Update unterbruchsfrei aktiv.
Turbo-Card
Um den Service Anti-Virus/IDP zu aktivieren, installiert
man die Turbo-Card im Erweiterungs-Slot. Den äusserst
rechenintensive Scan des Datenverkehrs nach Signaturen lagert die ZyWALL auf diese Turbo-Card aus. So
bleibt die Performance auch mit aktivierten Services erhalten. Die benötigte Prozessorleistung bietet der speziell für diese Aufgabe entwickelte «SecuASIC-Chip».
Leistungsstarker SecuASIC-Chip
in ZyWALL Turbo-Card.
Intrusion-Prevention
Was ist Intrusion-Prevention?
Die IDP-Technologie von ZyXEL erkennt Schädlinge
anhand von Mustern (Signaturen) und abnormalem
Verhalten. Sie überprüft den Dateninhalt von mehreren
IP-Paketen. Durch die Anomalie-Erkennung werden unbekannte Attacken auch aufgedeckt, ohne dass eine
neue Signatur vorhanden sein muss.
Wahrnehmung
MusterDatenbank
Mustererkennung
Reaktion
Wie sicher ist Internet-Browsen?
Möchte man Internetseiten aufrufen, muss zwangsläufig
der Port 80 für HTTP geöffnet sein. Da Webseiten oft
mit dynamischen Inhalten (ActiveX, Cookies, PHP- und
Java-Scripts etc.) programmiert sind, muss im Browser
die Sicherheitseinstellung auf «tief» gesetzt sein, damit
diese Inhalte angezeigt werden. Über den offenen Port
gelangen unerwünschte Eindringlinge auf den Rechner.
Die Schädlinge installieren und aktivieren sich meist
automatisch. Ein Intrusion-Prevention-System erkennt
solchen schädlichen Code während des Datentransfers über das Netzwerk und schützt die eingebundenen
Rechner.
IDP versus Firewall
Eine Firewall kontrolliert Ports und IP-Adressen. Mit dem
Stateful-Packet-Inspection-Mechanismus überprüft sie
zudem ganze IP-Sessions auf die korrekte Einhaltung
von RFC-Spezifikationen. Eine Intrusion-Prevention-Lösung hingegen untersucht den Dateninhalt von Paketen.
Die Lösung von ZyXEL kann sogar fragmentierte IP-Pakete erkennen und analysieren.
User
IDP versus Anti-Virus-Scanner
Im Gegensatz zu einem Anti-Viren-Scanner erkennt die
Intrusion-Prevention ein abnormales Datenaufkommen,
das durch Schädlinge generiert wird. Die IDP bekämpft
also mit der Anomalie-Erkennung nicht nur die Schädlinge selbst, sondern auch deren Wirkung anhand von
bestimmten Datenmustern. Der IT-Administrator kann
den Schädling in einem zweiten Schritt eliminieren.
IDP-Signaturen der ZyWALL
Die ZyWALL umfasst über 1'800 IDP-Signaturen, die
stündlich automatisch aktualisiert werden können. Die
Datenbank erkennt Schädlinge aus 12 Kategorien wie
z. B. Buffer-Overflows, Access-Control, Trojaner, Würmer,
Peer-to-Peer-Applikationen etc. Die jeweiligen Blockiermassnahmen der Signaturen sind bereits vorkonfiguriert.
Der IT-Manager kann deshalb sehr schnell ein System in
Betrieb nehmen und später Anpassungen vornehmen.
INTRUSION DETECTION AND PREVENTION
Übersichtliche
Kategorisierung der
IDP-Signaturen
Keine Chance für BitTorrent, eDonkey, Kazaa
oder Skype
Peer-to-Peer (P2P)- und Messaging-Applikationen sind
gefährliche Anwendungen für die ganze IT-Infrastruktur.
Sie suchen über offene Ports automatisch den Weg zum
Internet und umgehen so praktisch jede normale Firewall.
Das Intrusion-Prevention-System kontrolliert den gesamten Datenverkehr und kann gezielt P2P-Inhalte blockieren.
Legitime Dateninhalte werden ungehindert weitergeleitet.
DATENMUSTER
01011011000101010010110101011001101
www
Port 80 offen
IDP kann P2P-Verkehr verhindern.
11
Content-Filter / Turbo-Card
Content-Filter
Die Kontrolle über die besuchten Websites ist ein vorhandenes Bedürfnis von Unternehmen, Schulen und
Familien mit Kindern. Mit einem Content-Filter-Service
auf der ZyWALL können Webseiten anhand von bestimmten, bereits vordefinierten Kategorien vor Zugriffen
gesperrt werden.
Aktualität des URL-Filters
Der Content-Filter greift auf eine Online-Datenbank beim
Dienstanbieter Blue Coat zu und garantiert einen laufend aktualisierten Service. Fast fünf Millionen Webseiten sind derzeit in einer oder mehreren der 52 Kategorien eingetragen. Noch nicht kategorisierte Webseiten
durchlaufen im Hintergrund ebenfalls verschiedene Filter, die auf auffällige Muster reagieren. Unter den noch
nicht eingestuften Websites werden diejenigen mit den
meisten Zugriffen laufend kategorisiert. Der im Jahresabonnement eingeschlossene Online-Report gibt
Aufschluss über die Internetnutzung. Ersichtlich ist der
Anteil der verschiedenen Kategorien und die aufgerufenen Websites. Persönlichkeitsrechte bleiben dabei
gewahrt, da die IP-Adressen der Benutzer nicht erfasst
werden. Der Service ist in Form einer «iCard ContentFilter» im Fachhandel erhältlich.
WEB-SERVER
info.com
www
BENUTZER
Anfragen: www.info.com ✔
www.sex.com ✘
Ausfiltern von Websites mit Content-Filter
Auswertungen als Diagramm
Rechenpower
Das Überprüfen des Datenverkehrs nach Viren- und Intrusion-Signaturen ist äusserst rechenintensiv. Hersteller von kombinierten Lösungen (Firewall, Anti-Virus, IDP)
kämpfen alle mit Performance-Problemen. In der Regel
bricht der Datendurchsatz mit dem Aktivieren des IDPund Anti-Virus-Scans ein. Bei den ZyWALL 5, 35 und 70
wird dieser Scan auf die Turbokarte ausgelagert. Durch
den speziell entwickelten ASIC (Application-SpecificIntegrated-Circuit) wird der Datenstrom kontinuierlich
und ohne ein Umordnen der Datenpakete gescannt. Die
Grösse der inspizierten Files spielt dank dieser Architektur ebenfalls keine Rolle.
ZyXEL ZyWALL Turbo-Card
Beschleunigungskarte
mit SecuASIC-Chip
UVP incl. Lizenz und MWST: ab 339.− EUR
NETZWERK
Rechenintensiver Scan von Datenpaketen
wird auf Turbo-Card ausgelagert.
ZyWALL 5/35/70
www
Server
12
sex.com
ZyWALL 2/5/35/70
Anti-Spam
Spam in Blacklist
Es ist nicht einfach, Spam aus dem E-Mail-Verkehr zu
filtern. Am einfachsten erkennt man Spam anhand von
Listeneinträgen. Diese Black-/Whitelist-Einträge können
in der ZyWALL definiert werden. Für jeden Eintrag wird
eine E-Mail-, IP-Adresse oder eine MIME-Erweiterung
hinterlegt. E-Mails, die einem dieser Einträge entsprechen, werden ohne weitere Überprüfung als Spam
(Blacklist) bzw. kein Spam (Whitelist) markiert.
Externe Inhaltsüberprüfung
In der zweiten Stufe der ZyWALL Spam-Engine wird mittels eines speziellen Algorithmus der Inhalt des E-Mails
gescannt und eine Art Fingerabdruck erstellt. Der externe Signatur-Server empfängt über Internet dieses eindeutige Abbild und errechnet anhand von über 300‘000
Signaturen die Spam-Wahrscheinlichkeit. Die ZyWALL
erhält nun diese Bewertung in Form eines Wertes zwischen 0 und 100 zurück (100 = Spam-E-Mail) und entscheidet anhand eines frei definierbaren Schwellwertes,
ob dieses E-Mail als Spam gekennzeichnet wird oder
nicht. Es empfiehlt sich, den Schwellwert in der ersten
Phase zu variieren, um den gewünschten Filtereffekt zu
erzielen. Wie Spam-E-Mails in der Betreffzeile vermerkt
werden, kann man frei definieren.
EXTERNER SIGNATUREN-SERVER
mailshell
TM
Anti-Spam
Kalkulation
Wahrscheinlichkeitswert
SPAM
3
www
Datenbank
White-,
Blacklist
2
4
1
ZyWALL 5/35/70
1 Die Firewall überprüft, ob zum eingehenden Mail White-/ BlacklistEinträge vorhanden sind.
2 Der Inhalt des Mails wird gescannt, und ein Fingerabdruck wird zur
Überprüfung weiter geleitet.
3 Der Fingerabdruck wird ausgewertet und die Wahrscheinlichkeit berechnet, dass es sich bei dem Mail um Spam handelt.
4 Das Mail wird mit oder ohne Vermerk «Spam» an den Mail-Client
oder Server gesendet.
Gewünschter Filtereffekt mit Schwellwert (Threshold) definieren.
Schädlinge im Rucksack
Vielfach beinhalten Spam-E-Mails Attachments mit
Schädlingen. Solche Schädlinge können nur durch einen Anti-Viren-Scanner und durch Intrusion-DetectionPrevention erkannt und neutralisiert werden. Es versteht
sich von selbst, dass eine Kombination aller SecurityServices (Anti-Spam, Anti-Virus und IDP) den zuverlässigsten Schutz bietet.
Spam erkannt – was nun?
Empfängt der E-Mail-Client wie z. B. Outlook die markierten Spam-E-Mails, so sollten diese am besten in
einen Quarantäne-Ordner verschoben werden. In MSOutlook erfolgt dank der Regelassistenten-Funktion das
Verschieben der Spam-E-Mails automatisch. Es kommt
vor, dass Spam-Filter ein harmloses E-Mail fälschlicherweise als Spam-E-Mail kennzeichnen. Sollte ein erwartetes E-Mail nicht eintreffen, so kann der QuarantäneOrdner auf dieses E-Mail überprüft werden.
13
Firewall-Funktionen
Stateful-Packet-Inspection
Stateful-Packet-Inspection bietet einem Netzwerk
Schutz vor unerlaubtem Zugriff aus dem Internet. Gleichzeitig wird der Zustand einer Verbindung kontrolliert,
d. h. ob die Antwort auf eine Anfrage aus dem internen Netzwerk zurückzuführen ist. In einer internen Tabelle werden diese Verbindungskontrollen verwaltet und
überwacht. Dies ist die Basis für die Entscheidung, ob
die Firewall ein Datenpaket passieren lässt, oder ob es
blockiert wird. Die Einschränkung der Kontrolle auf IPAdressen und Protokolle unterscheidet die Firewall von
Intrusion-Detection-Prevention-Systemen.
DMZ
Öffentliche Server wie z. B. ein Webserver müssen vom
Internet her erreichbar sein – lokale dagegen nicht. Um
diese unterschiedlichen Anforderungen zu erfüllen, platziert man öffentliche Server in einem separaten Netzwerksegment. Diese sogenannte demilitarisierte Zone
ist durch Firewall-Regeln vom Internet und vom lokalen
Netzwerk getrennt. Damit erhöht sich die Sicherheit,
weil ein infizierter Server in der DMZ keinen Zugriff auf
das lokale Netzwerk hat. Bei den ZyWALL 5 und 35 lassen sich vier LAN-Ports flexibel als DMZ einrichten. Die
DMZ verfügt über eigene DHCP-Funktionalitäten.
Bandbreiten-Management
Verschiedene Anwendungen wie Web, FTP, VPN, VoIP,
etc. «kämpfen» mit unterschiedlichen Bandagen um die
verfügbare Bandbreite des Internetzugangs. Der zunehmende VoIP-Verkehr verschärft diese Problematik.
Die Qualität von VoIP sinkt beim Versand von E-Mails
mit grossen Anhängen oder bei gleichzeitigem FTPDownload. Aggressive Anwendungen wie z. B. FTP
nehmen sich so viel Bandbreite wie möglich. Darunter
leiden zeitkritische Applikationen, weil sie sich mit dem
verbleibenden Rest der Bandbreite begnügen müssen.
Die Qualität eines Telefongesprächs über Internet oder
die Stabilität einer VPN-Verbindung können durch das
Bandbreiten-Management garantiert werden.
Prioritätensetzung der Bandbreiten
www
2 Mbps
Web/Online-Shop
FTP
Voice-over-IP
ZyWALL 5/35
öffentliche Server
(Web, FTP, etc.)
INTERNES NETZWERK
DMZ
Mail-Server
DMZ
Bei der ZyWALL 5, 35 und 70 lässt sich der Datenstrom
nach verschiedenen Kriterien konfigurieren: Für zeitkritische Anwendungen wie VoIP kann beispielsweise
eine garantierte Mindestbandbreite definiert werden.
Aggressiven Protokollen wie FTP weist man eine eher
tiefe Priorität (resp. maximal zu nutzende Bandbreite) zu,
HTTPS und der IP-Adresse des Onlineshops dagegen
eine hohe.
14
VoIP
Firewall-Funktionen
Zweiter WAN-Anschluss
Die Verfügbarkeit und Bandbreite sind kritische Faktoren
eines Internetanschlusses. Der zweite WAN-Anschluss
der ZyWALL 35 und 70 lässt sich gleichzeitig mit Loadbalancing oder als Back-up einsetzen. Fällt die primäre Internetverbindung aus, wird automatisch auf einen
zweiten Zugang gewechselt. Ist Redundanz gefragt,
wählt man für die beiden WAN-Verbindungen mit Vorteil unterschiedliche Technologien wie DSL, Kabel oder
Standleitung. Reicht die Bandbreite eines einzelnen
ADSL-Abonnements für einen Firmenzugang nicht aus,
kann eine zweite Leitung dazu geschaltet werden.
www
www
ISP 1
ISP 2
VPN und Authentifizierung
Für die Vernetzung von Firmen-Niederlassungen und
Heimarbeitsplätzen ist VPN nicht mehr wegdenkbar. Die
verfügbaren Netzwerkressourcen (Programme, Dateien,
etc.) sind damit über verteilte Standorte nutzbar. Doch
nicht nur die VPN-Unterstützung, sondern auch die Verschlüsselungstiefe (DES, 3DES und AES), der mögliche
Datendurchsatz und die Authentifizierungsmöglichkeiten
stehen für die Qualität einer VPN-Firewall. Die Abfrage von
Benutzernamen und Passwort oder die Verwendung von
Zertifikaten beim Aufbau einer VPN-Verbindung werden
immer häufiger als weitere Sicherheitselemente gefordert.
Diese zusätzliche Authentifizierung ist für VPN- und Wireless-LAN-Verbindungen möglich. Als VPN-Client kann
auch eine Software wie der ZyWALL VPN-Client oder
TheGreenBow eingesetzt werden.
Wireless-ready
Durch den Einsatz einer Wireless-Karte (zum Beispiel
ZyAIR G-100) lassen sich die ZyXEL ZyWALL 5, 35 und
70 zum Access-Point erweitern. Neu ist es möglich, die
WLAN-Karte ins LAN oder als separate Firewall-Zone
zu konfigurieren. Firewall-Regeln zwischen WirelessLAN und dem lokalen Netzwerk erhöhen die Sicherheit.
Bei der Authentifizierung nach 802.1x können bis zu 32
Benutzer auf der internen Datenbank oder einem externen RADIUS-Server eingerichtet werden. Im Verlauf des
1. Quartals 2006 kann zusätzlich eine WLAN-Zone auf
einem Ethernet-Port definiert werden.
ZyWALL 35/70
Höhere Bandbreite oder Back-up-Funktion
durch zwei simultane Broadband-Verbindungen.
WLAN-ZONE
User: John
Password: PW1SEC25
Dial-Back-up
Fällt ADSL aus, kann ein externes Modem oder ein
ISDN-Adapter automatisch wieder eine Verbindung ins
Internet herstellen. Damit ist zumindest ein notdürftiger
Betrieb wieder möglich.
RADIUS-Server
User: Claudia
Password: PW1SEC27
User: John
Password: PW1SEC25
User: Charlie
Password: PW1SEC29
User: Bettina
Password: PW1SEC32
NETZWERK
Vom lokalen Netzwerk
getrenntes Wireless-LAN.
ISDN-TA
ADSL
Internetzugang über ADSL
ADSL ist unterbrochen, Verkehr
wird auf ISDN-Adapter umgeleitet
www
Sichere Fernwartung
Die Datenverschlüsselung der Remote-Konfiguration mit
VPN, HTTPS oder SSH verhindert das Abhorchen durch
Unberechtigte. Die Zugriffsberechtigung lässt sich auf
eine bestimmte IP-Adresse einschränken und mit einem
Zertifikat zusätzlich authentifizieren.
15
zentrales Management / Vantage CNM
CNM = Centralized-Network-Management
Vantage CNM ist eine Software-Applikation, mit der verteilte ZyXEL-Netzwerkkomponenten effizient konfiguriert, analysiert und überwacht werden können.
VPN-Verbindungen per Mausklick
Eine benutzerfreundliche grafische Oberfläche ermöglicht, VPN-Verbindungen einfach per Mausklick zu erstellen. Start- und Endadressen müssen nicht mehr
manuell eingegeben werden.
Eine in der VPN-Übersicht hinterlegte
Grafik ermöglicht die Übersicht des
betreuten Netzwerks.
Automatisch erscheint nach Initialisierung der VPN-Verbindung ein VPNWizard mit Default-Einstellungen, die
sich weiter anpassen lassen.
unterstützte
Modelle/Firmware
für CNM 2.2
ZyWALL 2, 10W: FW 3.62
ZyWALL 5, 35, 70: FW 3.64
Device- und Account-Management
Vantage CNM ermöglicht, die Netzwerkkonfiguration
mit Hierarchiestufen darzustellen, zum Beispiel Firmen-,
Abteilungs- oder Device-Level. Für jede Hierarchiestufe
lassen sich Benutzer mit unterschiedlichen Zugriffsrechten definieren.
Infrastruktur für Vantage CNM
Für Vantage CNM wird ein Server mit FTP-, Syslog- und
Telnet-Dienst vorausgesetzt. Der FTP-Server ist für das
Hosten der verschiedenen Firmware-Versionen erforderlich, während der Syslog-Server die Log-Einträge aller
gemanagten Devices aufzeichnet. Für den Betrieb des
Servers wird eine fixe, öffentliche IP Adresse benötigt. Die
örtlich verteilten Devices kommunizieren über das sogenannte Service-Gateway-Management-Protocol (SGMP),
wobei die Übertragung sicher mit DES oder 3DES verschlüsselt werden kann. Vantage CNM Administratoren
können sich bequem über einen Webbrowser mit Internetzugang mit ihren persönlichen Account-Informationen
einloggen. Damit kann der Administrator an einem beliebigen Rechner und Standort auf alle Devices zugreifen.
Features Vantage CNM
• One-Click-VPN-Tunnels
• Konfigurations-Management
• Firmware-Verwaltung mit Scheduling-Funktion
• Device- und Account-Management
• Umfassende Log- & Alarm-Reports
• Firewall-Regelverwaltung
FW 3.64 (XJ.4)
ZyWALL P1:
Prestige 652HW(-I): FW 3.40
Prestige 662HW(-I): FW 3.40
Eine aktuelle Produktliste ist unter www.zyxel.de ersichtlich.
Anzahl managebare Devices
Lizenzen für 10, 25, 50, 100 oder 300 Devices sowie Testlizenz für
30 Tage erhältlich
technische Voraussetzungen
Server mit Win XP Englisch oder
Linux RedHat 9.0 / 2,6 GHz / 1 GB RAM Arbeitsspeicher
Update von Version 2.1 auf 2.2
Kostenlos im 4. Quartal 2005
- optimierte Performance
Features der Version 2.2:
- Firmware-Update mit Zeitplanung
- verbesserte Bedienerfreundlichkeit
16
Reporting / Vantage VRPT 2.2
VRPT = Vantage-Reporting-Toolkit
Das Vantage-Reporting-Toolkit ist nicht zu verwechseln mit Vantage CNM. VRPT ist ein eigenständiges
Tool, das grafische Reports erstellt. Es sammelt Informationen von verteilten ZyWALLs und generiert bis zu
26 vordefinierte Reports wie z. B. Bandbreiten- oder
Attackenübersicht. Täglich oder wöchentlich lassen
sich die Berichte als PDF automatisch per E-Mail versenden.
Automatische Reports
Die VRPT-Server-Lösung ist einfach über einen Browser zu bedienen. Per Knopfdruck werden Reports über
Attacken, Intrusions, Bandbreiten-Auslastung, Servicebenutzung etc. erstellt. Verteilte Firewalls können auch
getrennt analysiert werden.
Bandbreiten-Report
Dieser Report zeigt einem IT-Administrator ein anomalisches Verhalten auf. Generiert z. B. eine IP-Adresse
aus dem LAN ein erhöhtes Datenvolumen im Vergleich
zu den anderen Adressen, könnte auf diesem Rechner
ein Schädling am Werk sein. Der betroffene Rechner
kann nun gezielt in Quarantäne gesetzt und gesäubert
werden.
Auswertungsmöglichkeiten
mit VRPT 2.2
- Intrusions (ZyWALL IDP 10)
- Datenvolumen für Services
wie VPN, E-Mail, etc.
- Device-Errors
- Verbindungsunterbrüche
- Bandbreite
- Webzugriffe und Webfilter
- Attacken (Firewall-Regeln)
- Report pro Service
(FTP, HTTP, SNMP, etc.)
Es stehen pro Report weitere Darstellungsoptionen zur Verfügung, z. B. aufgelistet
nach Kategorie, Art der Attacken, Art der Intrusions, etc. und als Zusammenfassung.
unterstützte
Modelle/Firmware
FW 2.00
- ZyWALL IDP 10:
FW 3.62
- ZyWALL 2:
- ZyWALL 5, 35, 70: FW 3.64
Voraussetzungen
Server
Intel P4 / 2,6 GHz / 1 GB RAM / 80 GB HDD / Windows XP / 2003 Server.
Verfügbarkeit
VRPT 2.2 ist kostenlos unter www.zyxel.de downloadbar. Die kommende Version 2.3 wird
Anti-Virus- und IDP-Funktionen der FW 4.0 unterstützen und kostenpflichtig sein.
- Prestige 652HW(-I): FW 3.40
- Prestige 650R(-I): FW 3.40
- Prestige 662HW(-I): FW 3.40
17
Übersicht
bestehende Kunden (ZyWALL bereits vorhanden)
UTM-Services
ProduktBezeichnung
iCard IDP+AV
Turbo-Suite
(mit Turbo-Card)
Inhalt
1x Turbo-Card
1x iCard IDP+AV
ZyWALL 5
ZyWALL 35
ZyWALL 70
UVP incl. MWST
UVP incl. MWST
UVP incl. MWST
Laufzeit
iCard Silver «IDP+AV»
iCard Gold «IDP+AV»
1 Jahr
339.− EUR
499.− EUR
499.− EUR
2 Jahr
449.− EUR
689.− EUR
689.− EUR
iCard Silver «AS»
iCard Anti-Spam
1x iCard AS
iCard Gold «AS»
1 Jahr
80.− EUR
179.− EUR
179.− EUR
2 Jahr
125.− EUR
279.− EUR
279.− EUR
iCard Silver «CF»
iCard Content-Filter
1x iCard CF
1 Jahr
57.− EUR
iCard Gold «CF»
249.− EUR
249.− EUR
Aufrüsten von ZyWALL 5/35/70
Der Upgrade auf UTM ist mit einem Firmware-Wechsel auf Version 4.0 wie gewohnt kostenlos. IDP, Anti-Virus und Anti-Spam lassen sich während 90 Tagen, der Content-Filter
während 30 Tagen austesten. Für den Test von IDP+Anti-Virus benötigt man eine Turbokarte. Der Leihbezug einer Turbokarte ist bei einem ZyWALL-Fachhändler möglich.
neue Kunden (noch keine ZyWALL vorhanden)
ProduktBezeichnung
ZyWALL UTM
Inhalt
ZyWALL 5
ZyWALL 35
ZyWALL 70
UVP incl. MWST
UVP incl. MWST
UVP incl. MWST
Laufzeit
1x ZyWALL
1x Turbo-Card
569.− EUR
iCard IDP+AV
(ohne Turbo-Card)
929.− EUR
iCard Silver «IDP+AV»
1x iCard IDP+AV
iCard Gold «IDP+AV»
1 Jahr
169.− EUR
325.− EUR
325.− EUR
2 Jahr
275.− EUR
519.− EUR
519.− EUR
iCard Silver «AS»
iCard Anti-Spam
1x iCard AS
iCard Gold «AS»
1 Jahr
80.− EUR
179.− EUR
179.− EUR
2 Jahr
125.− EUR
279.− EUR
279.− EUR
iCard Silver «CF»
iCard Content-Filter
1x iCard CF
1'429.− EUR
1 Jahr
57.− EUR
iCard Gold «CF»
249.− EUR
249.− EUR
UTM-Funktionen für weitere ZyWALL-Modelle
Drei Monate Bonus
ZyXEL ZyWALL P1: IDP und Anti-Virus per Anfang 2006 verfügbar, keine Integra-
Die Services IDP+AV und Anti-Spam können drei Monate gratis getestet werden.
tion von Anti-Spam und Content-Filter.
Wird während dieser Testzeit eine Ein- oder Zweijahres-Lizenz registriert, verlän-
ZyXEL ZyWALL 2: Content-Filter bereits verfügbar, keine Integration von weiteren
gert sich die Laufzeit des Services um weitere drei Monate. Die Lizenzerweiterun-
UTM-Services.
gen sind via Fachhandel erhältlich.
18
Übersicht
Firewalls von ZyXEL
Features
ZyWALL P1
ZyWALL 2
ZyWALL 5
ZyWALL 35
ZyWALL 70
(FW 4.0)
(FW V3.63)
(FW 4.0)
(FW 4.0)
(FW 4.0)
Einsatzgebiet der Firewall
Aussendienstmitarbeiter
Private und
Kleinfirmen
Kleine und mittlere
Firmen
Kleine und mittlere
Firmen
Mittlere und grosse
Firmen
LAN/DMZ-Anschlüsse
1 x LAN
4 x LAN
4 x LAN/DMZ
4 x LAN/DMZ
1 x LAN, 4 x DMZ
WAN-Anschlüsse
1
1
1
2
2
Bandbreiten-Management
-
-
✓
✓
✓
VPN-Tunnels
1
2
10
35
100
PKI-Support für VPN
✓
✓
✓
✓
✓
Authentifikation für VPN
✓
✓
✓
✓
✓
2 Login-Levels
✓
-
-
-
-
Bridge-Modus
✓
-
✓
✓
✓
NAT-Session
2'048
1'024
6'000
10'000
10'000
Remote-Management (HTTPS/SNMP)
✓
✓
✓
✓
✓
Vantage CNM unterstützt
✓
✓
✓
✓
✓
Vantage VRPT unterstützt
-
✓
✓
✓
✓
PCMCIA-Slot (für WLAN oder Turbo-Card)
-
-
✓
✓
✓
Referenzpreis (ohne UTM)
199.− EUR
199.− EUR
548.− EUR
929.− EUR
1'279.− EUR
Technische Dienstleistungen der ZyXEL Deutschland GmbH
RMA/Reparaturen
Alle Informationen zur RMA/Reparaturenabwicklung nden Sie im Internet unter: www.zyxel.de/support
Support-Hotline
Tel.: 018 05 / 21 32 47 (12 Cent/Min.)
Die ZyXEL Hotline-Mitarbeiter bieten gern Unterstützung bei technischen Fragen von Mo. - Do. 9.00 bis 17.00 Uhr und Fr. von 9:00 bis 15:00 Uhr.
Zusätzlich bieten wir eine Hotline Nr. bei allgemeinen Netzwerk- und Betriebssystemproblemen: 0900 / 19 99 35 (1.57 EUR / Min.)
Security-Kurse
ZyXEL Deutschland bietet seit Jahren technische Weiterbildungskurse für IT-Spezialisten an, davon drei Kurse im Security-Bereich. Eine Übersicht aller
Kurse und die Möglichkeit zur Online-Anmeldung finden Sie unter http://www.zyxel.de/reseller.
19
Adenauerstrasse 20 / A2
52146 Würselen
[email protected]
www.zyxel.de
10/2005, Copyright by ZyXEL Deutschland GmbH
ZyXEL Deutschland GmbH