ZyWALL 1 Internet Security-Gateway Benutzerhandbuch

ZyWALL 1 Internet Security-Gateway Benutzerhandbuch Version 3.50 März 2002

Urheberrechtshinweis Copyright 2002 ZyXEL Communications Corporation. Der Inhalt dieser Publikation darf weder teilweise noch vollständig in irgendeiner Weise kopiert, abgeschrieben, gespeichert, elektronisch archiviert oder in eine andere Sprache übersetzt werden. Ebenso wenig darf er übertragen werden, egal ob elektronisch, mechanisch, magnetisch, optisch, chemisch, als Fotokopie, manuell oder anderweitig, ohne die vorherige, ausdrückliche, schriftliche Genehmigung von ZyXEL Communications Corporation. Herausgegeben durch ZyXEL Communications Corporation. Alle Rechte vorbehalten. Haftungsausschluss ZyXEL übernimmt keinerlei Haftung für die Verwendung von Produkten oder Software, die in diesem Dokument erwähnt werden. Ebenso übernimmt sie keine Haftung, falls die Verwendung dieser Produkte bestehende oder zukünftige Lizenz- oder Patentrechte Dritter verletzt. ZyXEL behält sich das Recht vor, Änderungen an den hierin beschriebenen Produkten ohne vorherige Ankündigung durchzuführen. Diese Publikation kann ohne vorherige Ankündigung geändert werden. Marken und Warenzeichen ZyNOS (ZyXEL Network Operating System) ist ein eingetragenes Warenzeichen von ZyXEL Communications, Inc. Alle anderen in diesem Dokument erwähnten Markennamen oder Warenzeichen dienen der Identifikation und können Eigentum ihrer jeweiligen Inhaber sein. ii Urheberrechtshinweis

Eingeschränkte Garantie von ZyXEL ZyXEL garantiert dem Endverbraucher (Käufer), dass dieses Produkt ab Kaufdatum ein Jahr lang von Materialschäden und damit verbundenen Arbeitsleistungen frei ist. Gegen Vorlage des Kaufbelegs wird ZyXEL bei Nachweis eines durch fehlerhafte Arbeiten oder Materialien entstandenen Fehlers das gesamte Produkt oder entsprechende Komponenten während des Gewährleistungszeitraumes nach eigener Wahl reparieren oder ersetzen beziehungsweise alles tun, was ZyXEL für notwendig hält, um den Funktionszustand wiederherzustellen, ohne dass dem Endverbraucher Material- oder Arbeitskosten in Rechnung gestellt werden. Der Austausch beinhaltet nach freiem Ermessen von ZyXEL den Ersatz durch neue oder neuwertige Geräte oder Komponenten, deren Funktionsumfang derselbe wie der des Ursprungsgerätes ist. Diese Garantie erlischt sofort, falls das Produkt geändert, falsch bedient, mutwillig oder fahrlässig beschädigt wird oder falls es durch höhere Gewalt oder Betreiben außerhalb der zulässigen Arbeitsbedingungen beeinträchtigt wird. Hinweis Der Käufer hat ausschließlich Anspruch auf Reparatur oder Austausch. Andere Ansprüche bestehen nicht. Diese Garantiebedingungen ersetzen alle anderen Garantien oder Gewährleistungen, egal ob ausdrücklich, explizit oder implizit, und sie bedeuten nicht, dass das Produkt zu einem bestimmten Zweck in Umlauf gebracht oder für wirtschaftliche Zwecke oder irgendeinen anderen Zweck gebraucht werden kann. ZyXEL ist keinesfalls und in keiner Weise verantwortlich für indirekte oder irgendwelche Schäden oder Folgeschäden, die der Käufer eventuell erleidet. Um den mit dieser Garantie zusammenhängenden Service in Anspruch zu nehmen, wenden Sie sich bitte an das ZyXEL Service Center (Vorgehensweise zum Zurücksenden mit Rücksendenummer RMA). Die Rücksendung der Produkte geht zu Lasten des Käufers. Wir empfehlen Ihnen eine Transportversicherung abzuschließen. Alle Produkte, die ohne Kaufbeleg oder außerhalb des Gewährleistungszeitraumes an uns zurückgesandt werden, werden nach freiem Ermessen von ZyXEL kostenpflichtig repariert oder ersetzt. Alle reparierten oder ausgetauschten Produkte werden durch ZyXEL frei an den Empfänger versandt. Bitte beachten Sie, dass Sie durch diese Garantiebedingungen bestimmte Rechte in Anspruch nehmen können, die von Land zu Land verschieden sein können. Online-Registrierung Bitte lassen Sie Ihre ZyXEL-Produkt registrieren (das geht online unter www.zyxel.com besonders schnell und einfach), und Sie erhalten von uns kostenlos Produkt-Updates und weitere Informationen. Eingeschränkte Garantie von ZyXEL iii

Kundendienst Halten Sie bitte folgende Daten bereit, wenn Sie sich mit dem Kundendienst in Verbindung setzen. Modell- und Seriennummer Ihres Produkts Garantieinformationen Kaufdatum des Gerätes Eine kurze Beschreibung des Problems und was Sie bereits versucht haben, um es zu lösen. ART E-MAIL SUPPORT/VERTRIEB TELEFON/FAX WEBSEITE/FTP POSTANSCHRIFT LOCATION WELTWEIT NORDAMERIKA SKANDINAVIEN DEUTSCHLAND MALAYSIA support@zyxel.com.tw +886-3-578-3942 www.zyxel.com www.europe.zyxel.com sales@zyxel.com.tw +886-3-578-2439 ftp.europe.zyxel.com support@zyxel.com +1-714-632-0882 800-255-4101 www.zyxel.com sales@zyxel.com +1-714-632-0858 ftp.zyxel.com support@zyxel.dk +45-3955-0700 www.zyxel.dk sales@zyxel.dk +45-3955-0707 ftp.zyxel.dk support@zyxel.de +49-2405-6909-0 www.zyxel.de sales@zyxel.de +49-2405-6909-99 support@zyxel.com.my +603-795-44-688 www.zyxel.com.my sales@zyxel.com.my +603-795-34-407 ZyXEL Communications Corp., 6 Innovation Road II, Science- Based Industrial Park, HsinChu, Taiwan 300, R.O.C. ZyXEL Communications Inc., 1650 Miraloma Avenue, Placentia, CA 92870, U.S.A. ZyXEL Communications A/S, Columbusvej 5, 2860 Soeborg, Dänemark. ZyXEL Deutschland GmbH. Adenauerstr. 20/A4 D-52146 Würselen, Deutschland Lot B2-06, PJ Industrial Park, Section 13, Jalan Kemajuan, 46200 Petaling Jaya Selangor Darul Ehasn, Malaysia iv Kundendienst

Inhaltsverzeichnis INTERNET SECURITY-GATEWAY...1 Urheberrechtshinweis... ii Eingeschränkte Garantie von ZyXEL... iii Kundendienst...iv Inhaltsverzeichnis...v Verzeichnis der Abbildungen...ix Verzeichnis der Tabellen...x Verzeichnis der Diagramme...xi Vorwort... xiii Erste Schritte... I Kapitel 1 Einführung... 1-1 1.1 ZyWALL 1 Internet-Security-Gateway... 1-1 1.2 Merkmale der ZyWALL 1... 1-1 1.3 VPN-Anwendungsbeispiel... 1-4 Kapitel 2 Hardware installieren... 2-1 2.1 Vorder- und Rückseite der ZyWALL... 2-1 2.1.1 Leuchtanzeigen der Vorderseite... 2-1 2.2 Rückseitige Anschlüsse der ZyWALL... 2-2 2.2.1 10 Mbps-WAN-Anschluss... 2-3 2.2.2 Anschlüsse für 10/100-Mbps LAN... 2-3 2.2.3 UPLINK-Schalter... 2-3 2.2.4 Anschlussmöglichkeiten mit Hilfe des Uplink-Schalters... 2-4 2.2.5 Stromeingangsbuchse POWER 5VDC... 2-4 2.2.6 RESET-Taste... 2-4 2.3 Weitere Voraussetzungen zur Installation... 2-4 2.4 ZyWALL einschalten... 2-5 2.5 ZyWALL zurücksetzen... 2-5 2.5.1 So betätigen Sie die RESET-Taste... 2-5 2.6 ZyWALL konfigurieren... 2-6 2.6.1 Über den Web Configurator... 2-6 2.6.2 Über FTP/TFTP... 2-6 2.6.3 Über die CI-Befehle... 2-6 Konfigurationsprogramm... III Kapitel 3 Einführung zum Konfigurationsprogramm... 3-1 3.1 ZyWALL-Konfigurationsprogramm starten... 3-1 3.2 Bedienung des ZyWALL-Konfigurationsprogramms... 3-2 3.3 Übersicht des ZyWALL-Konfigurationsprogramms... 3-3 Kapitel 4 Funktionen im Wizard Setup... 4-1 4.1 Wizard Setup Bildschirm 1... 4-1 Inhaltsverzeichnis v

4.1.1 General Setup und System Name...4-1 4.1.2 Domain Name...4-1 4.2 Wizard Setup - Bildschirm 2...4-1 4.2.1 Ethernet...4-2 4.2.2 PPTP Encapsulation...4-2 4.2.3 PPPoE Encapsulation...4-2 4.3 Wizard Setup Bildschirm 3...4-3 4.3.1 WAN-IP-Adresszuordnung...4-3 4.3.2 IP-Adresse und Subnet-Maske...4-3 4.3.3 DNS-Server-Adresszuordnung...4-4 4.3.4 WAN-Einrichtung...4-4 4.4 Erstmalige Einrichtung abschließen...4-5 Kapitel 5 Erweiterte Einrichtung...5-1 5.1 Funktionen im Fenster System...5-1 5.1.1 General Setup...5-1 5.1.2 Dynamische DNS...5-1 5.1.3 Password...5-2 5.1.4 Time Zone...5-2 5.2 Fenster LAN...5-2 5.2.1 DHCP-Einrichtung...5-2 5.2.2 LAN TCP/IP...5-2 5.3 Fenster WAN...5-4 5.4 Fenster SUA/NAT...5-4 5.4.1 Einführung...5-4 5.4.2 Fenster SUA Server...5-4 5.4.3 Dienste und Portnummern...5-6 5.4.4 Server für SUA-Dienste konfigurieren (Beispiel)...5-7 5.5 Fenster Static Route...5-8 5.5.1 Allgemeines zu statischen Ruten...5-9 5.5.2 Statische IP-Ruten einrichten...5-9 5.6 Fenster Firewall...5-9 5.6.1 Einführung...5-10 5.6.2 Register des Fensters Firewall...5-13 5.7 VPN/IPSec-Funktionalität...5-13 5.7.1 VPN...5-13 5.7.2 IPSec...5-13 5.7.3 Security Association...5-14 5.7.4 Sonstige Terminologie...5-14 5.8 IPSec-Architektur...5-15 5.8.1 IPSec-Algorithmen...5-15 5.9 IPSec und NAT...5-16 vi Inhaltsverzeichnis

5.10 Erstes Fenster VPN/IPSec Felder im Register VPN/IPSec Setup... 5-17 5.10.1 Feld Active... 5-17 5.10.2 Feld IPSec Keying Mode... 5-17 5.10.3 Feld Negotiation Mode... 5-18 5.10.4 Feld Local Address... 5-18 5.10.5 Feld Remote Address Start... 5-19 5.10.6 Feld Remote Address End... 5-19 5.10.7 Feld My IP Address... 5-19 5.10.8 Feld Secure Gateway IP Address... 5-19 5.10.9 Feld Encapsulation Mode... 5-20 5.10.10 Feld IPSec Protocol... 5-21 5.10.11 Feld Pre-Shared Key... 5-22 5.10.12 Feld Encryption Algorithm... 5-23 5.10.13 Feld Authentication Algorithm... 5-23 5.11 Zweites Fenster VPN/IPSec Register VPN/IPSec Setup... 5-23 5.12 Zweites Fenster VPN/IPSec Felder im Register VPN/IPSec Setup... 5-25 5.12.1 SA Life Time... 5-25 5.13 Fenster VPN/IPSec Felder im Register SA Monitor... 5-26 5.14 Fenster VPN/IPSec Felder im Register View IPSec Log... 5-27 5.14.1 Beispielprotokolle... 5-27 5.14.2 Beispiel für Protokollnachrichten... 5-29 Kapitel 6 Fenster zur Systemverwaltung... 6-1 6.1 Einführung... 6-1 6.2 Fenster System Status... 6-1 6.2.1 Systemstatus... 6-1 6.3 Fenster DHCP Table... 6-1 6.4 Fenster F/W (Firmware) Upgrade...6-1 6.5 Fenster Configuration... 6-2 6.5.1 Backup... 6-2 6.5.2 Restore... 6-2 6.5.3 Default... 6-2 Erweiterte Verwaltungsfunktionen per FTP/TFTP... III Kapitel 7 Firmware und Konfigurationsdateien verwalten... 7-1 7.1 Dateinamenskonventionen... 7-1 7.2 Konfigurationsdatei sichern... 7-2 7.2.1 FTP-Befehle in der Befehlszeile verwenden... 7-2 7.2.2 Beispiel für FTP-Befehle in der Befehlszeile... 7-3 7.2.3 FTP-Clients mit grafischer Benutzeroberfläche... 7-3 7.2.4 Konfiguration per TFTP sichern... 7-4 7.2.5 Beispiel zu TFTP-Befehlen... 7-4 7.2.6 TFTP-Clients mit grafischer Benutzeroberfläche... 7-5 Inhaltsverzeichnis vii

7.3 Konfigurationsdatei zurückspielen...7-5 7.3.1 Wiederherstellen über FTP...7-6 7.3.2 Beispiel zum Wiederherstellen über FTP...7-6 7.4 Firmware-Datei hochladen...7-6 7.4.1 Firmware hochladen...7-7 7.4.2 Beispiel für FTP-Befehl zum Hochladen im MS-DOS-Fenster...7-7 7.4.3 Beispiel zum Hochladen der Firmware per FTP...7-7 7.4.4 Dateien per TFTP hochladen...7-8 7.4.5 Beispiel zum Hochladen mit TFTP-Befehlen...7-8 Zusatzinformationen... V Kapitel 8 Problemlösung...8-1 8.1 Probleme beim Einschalten...8-1 8.2 Probleme mit dem Kennwort...8-1 8.3 Probleme mit dem LAN-Netzwerkanschluss...8-2 8.4 Probleme mit dem WAN-Netzwerkanschluss...8-2 8.5 Probleme mit dem Internet-Zugang...8-3 8.6 Probleme mit dem Firewall...8-3 Anhang A PPPoE... A Anhang B PPTP... C Anhang C Technische Daten des Netzteils... F Anhang D TCP/IP...G Stichwortverzeichnis... M viii Inhaltsverzeichnis

Verzeichnis der Abbildungen Abbildung 1-1 Funktionsprinzip des Internet-Zugangs...1-4 Abbildung 2-1 Vorderseite... 2-1 Abbildung 2-2 Rückseitige Anschlüsse der ZyWALL 1... 2-2 Abbildung 3-1 Elemente des Hauptmenüs... 3-2 Abbildung 3-2 Übersicht des ZyWALL-Konfigurationsprogramms... 3-4 Abbildung 5-1 Mehrere Server und NAT... 5-7 Abbildung 5-2 Fenster SUA/NAT... 5-8 Abbildung 5-3 Beispieltopologie des statischen Routing...5-9 Abbildung 5-4 Verschlüsselung und Decodierung... 5-14 Abbildung 5-5 IPSec-Architektur... 5-15 Abbildung 5-6 Die zwei Phasen zum Herstellen einer IPSec-SA... 5-18 Abbildung 5-7 ZyWALL-Konfiguration der Zweigniederlassung... 5-20 Abbildung 5-8 IPSec-Encapsulation im Transport- und Tunnel-Modus... 5-20 Abbildung 5-9 IKE-Felder der ZyWALL und des sicheren Gateways der Gegenstelle... 5-25 Abbildung 5-10 Beispiel für ein IPSec-Protokoll eines VPN-Initiators... 5-28 Abbildung 5-11 Beispiel für ein IPSec-Protokoll der antwortenden Gegenstelle... 5-29 Abbildung 7-1 Beispiel einer FTP-Sitzung... 7-3 Abbildung 7-2 Beispiel zum Wiederherstellen über eine FTP-Sitzung... 7-6 Abbildung 7-3 Beispiel zum Hochladen der Firmware per FTP... 7-7 Verzeichnis der Abbildungen ix

Verzeichnis der Tabellen Tabelle 2-1 Bedeutung der LED-Anzeigen...2-1 Tabelle 2-2 Ethernet-Kabelverbindungen an den LAN 10/100M-Anschlüssen...2-4 Tabelle 4-1 Bereiche eindeutiger IP-Adressen...4-3 Tabelle 4-2 Beispiele der Netzwerkeigenschaften von LAN-Netzwerkservern mit festen IP-Adressen...4-4 Tabelle 5-1 Dienste und Portnummern...5-6 Tabelle 5-2 VPN und NAT...5-17 Tabelle 5-3 Beispiel der Konfiguration zwischen Zweig- und Hauptniederlassung...5-19 Tabelle 5-4 AH und ESP...5-22 Tabelle 5-5 ZyWALL und sicheres Gateway der Gegenstelle einrichten: IKE-Felder...5-24 Tabelle 5-6 Felder im Register SA Monitor...5-26 Tabelle 5-7 Felder im Register View IPSec Log...5-27 Tabelle 5-8 Beispiele eines IKE-Schlüsselaustauschprotokolls...5-30 Tabelle 5-9 Beispiele für IPSec-Protokolle während der Paketübertragung...5-32 Tabelle 5-10 RFC-2408 ISAKMP-Nutzdaten...5-33 Tabelle 7-1 Dateinamenskonventionen...7-2 Tabelle 7-2 Allgemeine Befehle für FTP-Clients mit grafischer Benutzeroberfläche...7-3 Tabelle 7-3 Allgemeine Befehle für TFTP-Clients mit grafischer Benutzeroberfläche...7-5 Tabelle 8-1 Probleme beim Einschalten lösen...8-1 Tabelle 8-2 Probleme mit dem Kennwort lösen...8-1 Tabelle 8-3 Probleme mit dem LAN-Netzwerkanschluss lösen...8-2 Tabelle 8-4 Probleme mit dem WAN-Netzwerkanschluss lösen...8-2 Tabelle 8-5 Probleme mit dem Internet-Zugang lösen...8-3 Tabelle 8-6 Probleme mit dem Firewall lösen...8-3 x Verzeichnis der Tabellen

Verzeichnis der Diagramme Diagramm 1 Verbindung einzelner PCs per Modem...A Diagramm 2 ZyWALL als PPPoE-Client... B Diagramm 3 Ethernet-Übermittlung von PPP-Frames... C Diagramm 4 Prinzip des PPTP-Protokolls...D Diagramm 5 Austausch von Steuerbefehlen zwischen PC und Endgerät...D Verzeichnis der Diagramme xi

Konformitätserklärung Hiermit wird erklärt, dass die nachfolgend aufgeführten Produkte in Übereinstimmung mit den Bestimmungen zur Elektromagnetischen Verträglichkeit der Mitgliederstaaten (89/336/EEC) sind. Es wurden die nachfolgend aufgeführten Standards berücksichtigt. Das folgende Gerät: Produkt : Breitband- und Internet-Security-Gateway Markenname : ZyXEL Modellnummer : P304/ZyWall 1 Hiermit wird erklärt, dass die Produkte in Übereinstimmung mit den Bestimmungen zur Elektromagnetischen Verträglichkeit der Mitgliederstaaten (89/336/EEC) sind. Zur Überprüfung der Einhaltung wurden folgende Maßstäbe zugrunde gelegt. Hochfrequente Störstrahlung: EN 55022: 1998 : Emissionsstandard EN 61000-3-2:1995 Klasse A : Begrenzung der harmonischen Störsignale Ergänzung 1: 1998 Ergänzung 2: 1998 EN 61000-3-3: 1995 : Begrenzung der Störanfälligkeit gegenüber Spannungsschwankungen und Aussetzern bei Niederspannungsgeräten Immunität: EN 55024:1998 Immunitätsstandard Der nachfolgend genannte Importeur bzw. Hersteller haftet für diese Konformitätserklärung: Firmenname :ZyXEL Communications A/S Firmenanschrift :Columbusvej 5 Telefon :+45 39 55 07 00 Fax:+45 39 55 07 07 Verantwortliche Person, die diese Erklärung unterzeichnet: Name :Achim Krogh Position: Technical Manager Datum / Unterschrift :13/11/2001 xii Konformitätserklärung

Vorwort Einige Worte zu Ihrem Gateway Vielen Dank, dass Sie sich für das Internet-Security-Gateway ZyWALL 1 entschieden haben! ZyWALL 1 ist ein duales Breitband-Ethernet-Gateway für sicheren Internet-Zugang mit integriertem ICSAzertifiziertem Firewall und Netzwerkverwaltungsfunktionen. Das Gerät wurde speziell für den Heim- und Bürobedarf konzipiert, um einen komfortablen Internet-Zugang per Kabel- bzw. xdsl-modem zu ermöglichen. Die ZyWALL 1 ist einfach zu installieren und zu konfigurieren. Das per Web-Browser bedienbare Konfigurationsprogramm ist eine plattformunabhängige, grafische Benutzeroberfläche, über die Sie das Gerät problemlos verwalten und programmieren können. Über dieses Handbuch Dieses Benutzerhandbuch soll Ihnen beim Anschließen der ZyWALL-Hardware behilflich sein. Ferner erläutert es, wie Sie eine Verbindung zum Internet herstellen, die verschiedenen Funktionen sowie das Aktualisieren der Firmware per FTP/TFTP. Als fortgeschrittener Anwender können Sie zur Konfiguration auch den Befehlszeileninterpreter (CI-Befehle) verwenden. Das per Web-Browser zu bedienende Konfigurationsprogramm verfügt über eine kontextsensitive Hilfe, die Ihnen die Einrichtung des Gerätes vereinfacht. Weiterführende Dokumentation mitgelieferte Diskette Weitere Informationen und Anwendungsbeispiele finden Sie auf der mitgelieferten Diskette (und natürlich auf der Webseite www.zyxel.com). Auf dieser Diskette finden Sie Hinweise zum Einrichten der ZyWALL für Internet-Zugang, allgemeine Fragen und Antworten, erweiterte Fragen und Antworten, Anwendungshinweise, Tipps zur Fehlerbehebung, eine Referenz der Befehlszeilensprache sowie diverse Software. Kurzanleitung Zum Lieferumfang gehört eine Kurzanleitung, mit der Sie das Gerät umgehend in Betrieb nehmen können. Sie enthält ein Anschlussdiagramm, die Werkseinstellungen, hilfreiche Checklisten, Hinweise zum Einrichten Ihres Netzwerks sowie Hinweise zum Installieren und Einrichten eines Internet-Zugangs. Webseite und FTP-Server von ZyXEL Hier finden Sie Zertifizierungsdokumentation zu Ihrem Produkt, Hinweise zu verschiedenen Software- Versionen sowie Aktualisierungen. Weitere Details finden Sie auf unserer Kundendienstseite. Vorwort xiii

ZyXEL-Webseite Im Download-Bereich unter www.zyxel.com gibt es zusätzliche Dokumentationen und kundendienstspezifische Daten. Schreibkonventionen In diesem Handbuch bezeichnen wir die ZyWALL 1 häufig einfach nur als ZyWALL. xiv Vorwort

Erste Schritte Teil I: Erste Schritte Dieser Abschnitt befasst sich mit dem Anschließen und Installieren Ihrer ZyWALL. I

Kapitel 1 Einführung Dieses Kapitel enthält eine Übersicht über die wichtigsten Funktionen und Anwendungen der ZyWALL und enthält eine Checkliste zum schnellen Herstellen einer Internet-Verbindung. 1.1 ZyWALL 1 Internet-Security-Gateway Ihre ZyWALL 1 ist ein duales Internet-Security-Gateway für Ethernet-Netzwerke mit integriertem Hub (4 Netzwerkanschlüsse) und komfortablen Netzwerkverwaltungsfunktionen, das stets einen sicheren und schnellen Zugang zum Internet via Kabel- oder xdsl-modem gewährleistet. Es zeichnet sich durch einen 10 Mbps-WAN-Anschluss, vier 10/100 Mbps-Ethernet-LAN-Anschlüsse mit automatischer Geschwindigkeitserkennung und NAT-Funktionalität (Network Address Translation) aus. Dadurch eignet sich die ZyWALL optimal für alle Heimanwender und Benutzer kleinerer Büroumgebungen. 1.2 Merkmale der ZyWALL 1 Die ZyWALL 1 ist mit den folgenden Grundfunktionen ausgestattet. IPSec-VPN-Funktion Erstellen Sie problemlos ein virtuelles, privates Netzwerk (VPN), um Ihr (Heim)büro mit dem Internet zu verbinden. Die integrierte Datenverschlüsselung sorgt für eine sichere Übertragung, ohne dass eine kostenaufwendige Standleitung gemietet werden muss. Die VPN-Funktionalität der ZyWALL 1 basiert auf dem IPSec-Standard und ist damit vollständig zu anderen IPSec-Produkten kompatibel. Ferner unterstützt das Gerät 1 SA (Security Association). Firewall Ihre ZyWALL besitzt einen Firewall mit Paketprüfung (Stateful Inspection) sowie DoS (Denial of Service), Dienstverweigerung. Ist der Firewall aktiviert, wird standardmäßig der gesamte eingehende Datenverkehr vom WAN zum LAN blockiert, es sei denn, er wird seitens des LAN-Netzwerks ausgelöst. Der Firewall der ZyWALL unterstützt die Paketprüfung für TCP/UDP-Protokolle, die DoS-Erkennung und -Prävention (Denial of Services, Dienstverweigerung), Warnmeldungen in Echtzeit, NETBIOS-Paketfilterung, Berichte und Protokolle. Integrierter Hub mit 4 Netzwerkanschlüssen Dank der Kombination von Router und Hub in nur einem Gerät ist die ZyWALL eine kostengünstige und leistungsstarke Netzwerklösung. Schließen Sie einfach bis zu 4 Computer an das Gerät an einen zusätzlichen Hub können Sie sich sparen. Über ein externes Hub können Sie weitere Computer anschließen. Einführung 1-1

100/100 Mbps-Ethernet-Anschlüsse mit automatischer Geschwindigkeitsanpassung Die automatische Bandbreitenerkennung für 10 bzw. 100 Mbps bietet einen verbesserten Datendurchsatz als herkömmliche Hubs, da die volle Bandbreite dediziert und nicht geteilt zur Verfügung gestellt wird. Die automatische Anpassung der Übertragungsgeschwindigkeit sorgt dafür, dass empfangene Daten problemlos und ohne Benutzereingriff übermittelt werden können. Das Gerät unterstützt Geschwindigkeiten von 10 bzw. 100 Mbps im Halb- und Vollduplexbetrieb und passt sich so problemlos an Ihr Ethernet-Netzwerk an. Content-Filter Ihre ZyWALL kann bestimmte Internet-Funktionen, wie ActiveX-Controls, Java-Applets und Cookies unterbinden sowie Web-Proxy-Server deaktivieren. Außerdem besteht die Möglichkeit, über Stichwörter den Zugriff auf bestimmte Internet-Adressen (URLs) zu unterbinden. Konfiguration per Web-Browser Die Konfiguration der ZyWALL ist dank der Bedienung per Web-Browser besonders einfach. Das Konfigurationsprogramm bietet zudem eine integrierte Hilfe, die Sie bei der Einrichtung unterstützt. NAT (Network Address Translation) / SUA (Single User Account) Die NAT-Funktion (Network Address Translation - NAT, RFC 1631) bzw. SUA ermöglicht die Umsetzung einer bestimmten IP-Adresse, die innerhalb eines Netzwerkes benutzt wird, in eine andere IP-Adresse, die durch ein anderes Netzwerk verwendet wird. Abhängig von der Portnummer der eingehenden Pakete können Sie diese dank NAT/SUA an einen bestimmten Computer im Netzwerk oder an einen bestimmten Server weiterleiten lassen. Dabei können Sie eine einzige Portnummer oder einen ganzen Portnummernbereich für die Umsetzung, sowie die IP-Adresse des gewünschten Servers festlegen. SNMP SNMP (Simple Network Management Protocol) ist ein Protokoll zum Austausch von Verwaltungsdaten zwischen verschiedenen Netzwerkgeräten. Es ist eine Unterkategorie des TCP/IP-Protokolls. Ihre ZyWALL kann als SNMP-Agent arbeiten, sodass der Systemadministrator das Gerät von einem Computer im Netzwerk aus verwalten und überwachen kann. Ihre ZyWALL unterstützt SNMP Version 1 (SNMPv1). DHCP-Unterstützung DHCP (Dynamic Host Configuration Protocol) ermöglicht es den Clients (Arbeitsplatzcomputer oder Workstations), beim Anmelden an das Netzwerk automatisch die TCP/IP-Einstellungen von einem zentralen DHCP-Server zu beziehen. Ihre ZyWALL unterstützt eine eigenständige DHCP-Server-Funktionalität, die standardmäßig aktiviert ist. So kann das Gerät IP-Adressen, die IP-Adresse des Gateways und andere DNS- Server-Adressen an Computer mit Windows 9X, Windows NT oder anderen Betriebssystemen übermitteln, die die DHCP-Client-Funktion unterstützen. Die ZyWALL besitzt außerdem eine Funktion zum Weiterleiten zugeordneter IP-Adressen von einem externen DHCP-Server an die Arbeitsplatzcomputer. 1-2 Einführung

Dynamische DNS-Funktionalität Die dynamische DNS-Funktionalität setzt Ihren statischen Hostnamen-Alias in eine dynamische IP-Adresse um, sodass Ihr Host gleichzeitig von mehreren Internet-Adressen aus angesprochen werden kann. Um diese Funktion benutzen zu können, müssen Sie allerdings die dynamische DNS-Funktionalität für Ihren Host registrieren lassen. IP-Multicast Üblicherweise können IP-Pakete auf zwei Arten übertragen werden: Unicast und Broadcast. Multicast ist ein neues Verfahren, bei dem IP-Pakete an mehrere Host-Computer gleichzeitig übermittelt werden. Das der Multicast-Funktion zugrunde liegende Protokoll ist IGMP (Internet Group Management Protocol). Die aktuellste Version ist die Version 2 (siehe RFC2236). ZyWALL unterstützt die Versionen 1 und 2. PPPoE-Unterstützung PPPoE vereinfacht die Interaktion eines Host-Computers mit einem Breitband-Modem, um über ein normales DFÜ-Netzwerk Zugang zu Hochgeschwindigkeits-Netzwerken zu erhalten. PPTP-Unterstützung Point-to-Point Tunneling Protocol (PPTP) ist ein Netzwerkprotokoll, das eine sichere Datenübertragung von einem entfernten Client an einen privaten Server ermöglicht, indem ein virtuelles, privates Netzwerk (VPN) mit Hilfe einer TCP/IP-Netzwerkarchitektur aufgebaut wird. PPTP unterstützt bedarforientierte, Mehrfachprotokoll- und virtuelle, private Netzwerke auf öffentlichen Netzen wie z.b. dem Internet. Über PPTP können Sie eine Verbindung zu einem Breitband-Modem herstellen, um über ein normales "DFÜ- Netzwerk" Zugang zu Hochgeschwindigkeits-Netzwerken zu erhalten. Vollständige Netzwerkverwaltung ZyWALL besitzt ein komfortables Konfigurationsprogramm, das sich plattformunabhängig über einen Web- Browser bedienen lässt. Ferner lässt sich das Gerät über FTP (File Transfer Protocol) und TFTP (Trivial FTP) fernverwalten. Erfahrene Benutzer können FTP/TFTP-Befehle und den Befehlszeileninterpreter zur Einrichtung und Verwaltung verwenden. RoadRunner-Unterstützung Zusätzlich zu den Standard-Kabelmodem-Diensten unterstützt die ZyWALL die RoadRunner-Dienste von Time Warner. Datum und Uhrzeit Beim Einschalten bezieht ZyWALL das aktuelle Datum und die Uhrzeit von einem externen Server. Die tatsächliche Uhrzeit wird auch im Konfigurationsprogramm und in den Fehlerprotokollen wiedergegeben. Protokolle und Paketverfolgung Protokollierungsfunktion von Fehlermeldungen und Verfolgung von Paketen. Einführung 1-3

Integrierte FTP- und TFTP-Server Über die integrierten FTP- und TFTP-Server der ZyWALL sind Aktualisierungen der Firmware sowie das Erstellen bzw. Zurückspielen von Konfigurationsdateien besonders einfach. 1.3 VPN-Anwendungsbeispiel Sie können die ZyWALL mit einem Kabel- oder DSL-Modem verbinden, um vom Ethernet-Netzwerk über das Modem einen Breitband-Zugang zum Internet zu erhalten. Außerdem stellt das Gerät nicht nur eine breitbandige Internet-Verbindung bereit, sondern bietet auch zahlreiche Verwaltungs- und Sicherheitsfunktionen für Ihr Netzwerk. Im Folgenden ist ein typisches Anwendungsbeispiel für Internet- Zugang dargestellt. Abbildung 1-1 Funktionsprinzip des Internet-Zugangs 1-4 Einführung

Kapitel 2 Hardware installieren In diesem Kapitel lernen Sie, wie Sie die Hardware anschließen und erstmalig einrichten. 2.1 Vorder- und Rückseite der ZyWALL 2.1.1 Leuchtanzeigen der Vorderseite Die LEDs auf der Vorderseite zeigen den Betriebszustand der ZyWALL an. Abbildung 2-1 Vorderseite In der folgenden Tabelle ist die Bedeutung der einzelnen LED-Anzeigen veranschaulicht. Tabelle 2-1 Bedeutung der LED-Anzeigen LED FARBE STATUS BESCHREIBUNG SYS Grün Ein Das Gerät ist eingeschaltet. Aus Das Gerät ist ausgeschaltet. Blinkt Es wird ein Selbsttest durchgeführt. WAN Grün Ein Die Verbindung zum WAN funktioniert einwandfrei. Aus Blinkt Die Verbindung zum WAN ist nicht bereit, oder es ist ein Fehler aufgetreten. Es werden Daten über den 10-Mbps-WAN- Anschluss gesendet bzw. empfangen. Hardware installieren 2-1

LED FARBE STATUS BESCHREIBUNG LAN 1-4 Grün Ein Die ZyWALL ist mit einem 10-Mbps-Netzwerk verbunden. Aus Blinkt Keine Verbindung zum 10-Mbps-Netzwerk. Orange Ein Die ZyWALL ist mit einem 100-Mbps-Netzwerk verbunden. Aus Blinkt 2.2 Rückseitige Anschlüsse der ZyWALL Keine Verbindung zum 100-Mbps-Netzwerk. Es werden Daten an das 100-Mbps-Netzwerk gesendet bzw. vom Netzwerk empfangen. In der folgenden Abbildung ist die Rückseite der ZyWALL 1 mit den dazugehörigen Anschlüssen dargestellt. Abbildung 2-2 Rückseitige Anschlüsse der ZyWALL 1 2-2 Hardware installieren

2.2.1 10 Mbps-WAN-Anschluss ZyWALL mit Kabelmodem verbinden 1. Verbinden Sie den WAN 10M-Anschluss der ZyWALL mit dem Ethernet-Anschluss des Kabelmodems. Verwenden Sie dazu das mit dem Kabelmodem mitgelieferte Ethernet-Kabel. Meistens ist der Ethernet- Anschluss des Kabelmodems mit der Aufschrift "PC" oder "Workstation" gekennzeichnet. ZyWALL mit DSL-Modem verbinden Verbinden Sie den WAN 10M-Anschluss der ZyWALL mit dem Ethernet-Anschluss des DSL-Modems. Verwenden Sie dazu das mit dem DSL-Modem mitgelieferte Ethernet-Kabel. 2.2.2 Anschlüsse für 10/100-Mbps LAN Sie können bis zu vier Computer direkt an die ZyWALL anschließen. Für jeden einzelnen Computer verbinden Sie den 10/100M LAN-Anschluss der ZyWALL mit der Netzwerkkarte des PCs. Verwenden Sie dazu ein durchgeschleiftes Ethernet-Kabel. Wenn Sie mehr als vier Computer mit Ihrer ZyWALL verbinden möchten, benötigen Sie ein externes Hub. Verbinden Sie den 10/100M LAN-Anschluss der ZyWALL mit einem freien Anschluss des Hubs. Verwenden Sie dazu ein Crossover-Ethernet-Kabel. Ist die ZyWALL eingeschaltet und korrekt mit einem Computer oder Hub verbunden, leuchtet die entsprechende LAN-LED auf der Vorderseite des Gerätes. 2.2.3 UPLINK-Schalter Wenn Sie den LAN 10/100M Anschluss 4 der ZyWALL über ein durchgeschleiftes Ethernet-Kabel direkt mit einem Computer verbinden möchten, muss der UPLINK-Schalter gedrückt werden ("ein"). Ist er hingegen ausgeschaltet (nicht eingedrückt), müssen Sie dazu ein gekreuztes (Crossover) Kabel verwenden. Falls Sie den LAN 10/100M-Anschluss 4 der ZyWALL mit einem Hub verbinden wollen, betätigen Sie den UPLINK-Schalter ("ein"), und verwenden Sie hierzu ein Crossover-Ethernet-Kabel. Hardware installieren 2-3

2.2.4 Anschlussmöglichkeiten mit Hilfe des Uplink-Schalters Tabelle 2-2 Ethernet-Kabelverbindungen an den LAN 10/100M-Anschlüssen ANSCHLUSS FÜR 10/100-MBPS LAN ERFORDERLICHES ETHERNET-KABEL ZUM VERBINDEN DER ZYWALL MIT EINEM COMPUTER 1 Durchgeschleift (straight-through) 2 Durchgeschleift (straight-through) 3 Durchgeschleift (straight-through) 4 UPLINK-Schalter "ein" Durchgeschleift (straight-through) HUB Gekreuzt (crossover) Gekreuzt (crossover) Gekreuzt (crossover) Gekreuzt (crossover) 4 UPLINK-Schalter "aus" Gekreuzt (crossover) Durchgeschleift (straightthrough) 2.2.5 Stromeingangsbuchse POWER 5VDC Schließen Sie das geeignete Ende des Netzteils an den mit POWER 5VDC gekennzeichneten Anschluss auf der Rückseite der ZyWALL an. Um eine Beschädigung der ZyWALL zu vermeiden, sollten Sie sich vergewissern, dass Sie das richtige Netzteil verwenden. Im Anhang finden Sie die entsprechenden Spezifikationen. 2.2.6 RESET-Taste Weitere Informationen zur RESET-Taste finden Sie in Abschnitt 2.5. 2.3 Weitere Voraussetzungen zur Installation 1. Ein Computer mit installierter Ethernet-Netzwerkkarte 2. Ein Kabel- bzw. xdsl-modem und ein Internet-Benutzerkonto 2-4 Hardware installieren