atelier technique juin 2008
DESCRIPTION
Atelier technique Juin 2008. Lionel CARVALHO, Technicien Support Jérôme MARTINIERE, Chef Produit. Gamme ZyWALL. Gamme Q3 2007. Gamme Q4 2008. Enterprise 200+ utilisateurs. ZyWALL 1050. ZyWALL USG 2000 (12/08). Mid-Large (75-200 utilisateurs). ZyWALL USG 1000. ZyWALL 70 UTM. SMB - PowerPoint PPT PresentationTRANSCRIPT
Atelier technique Juin 2008
Lionel CARVALHO, Technicien Support
Jérôme MARTINIERE, Chef Produit
Mid-Large(75-200 utilisateurs)
SMB(50-75 utilisateurs)
SB(<50 utilisateurs)
SOHO/Home
Enterprise200+
utilisateurs
Gamme Q4 2008
Gamme ZyWALLGamme Q3 2007
ZyWALL 70 UTM
ZyWALL 1050
ZyWALL 35 UTM
ZyWALL 5 UTM
ZyWALL P1
ZyWALL 2WG
ZyWALL 2 Plus
ZyWALL SSL10ZyWALL USG 200 (05/08)
ZyWALL USG 100 (05/08)
ZyWALL USG 1000
ZyWALL USG 300
ZyWALL USG 2000 (12/08)
ZyWALL P1
ZyWALL 2WG
ZyWALL 2 Plus
Gamme ZyWALL USGUSG 100 USG 200 USG 300 USG 1000 USG 2000
CPUFlash/DRAMSecuASIC
Freescale 8343E 255M/256MCIP1001 * 1
Freescale 8347E 256M/256MCIP1001 * 1
Freescale 8349E256M/512MCIP1001 * 2
Pentium M 1.8G256M/1G
CIP2001 * 1
Intel E6400256M/2G
CIP3001 * 1*
System
Firewall: 100M VPN: 50MUTM: 24MSession: 20kSession Rate: 1k
Firewall: 150MVPN: 75MUTM: 24MSession: 40kSession Rate: 1.4k
Firewall: 200MVPN: 100MUTM: 48MSession: 60kSession Rate: 2k
Firewall: 350MVPN: 150MUTM: 100MSession: 200kSession Rate: 13k
Firewall: 2GVPN: 500M*UTM: 400M*Session: 1kkSession Rate: 20k
InterfaceGigabit Ethernet
2*WAN, 5*LAN/DMZ
Gigabit Ethernet2*WAN, 1*OPT
4*LAN/DMZ
Gigabit Ethernet7 Configurable
Gigabit Ethernet5 Configurable
Gigabit Ethernet6 Configurable2 SFP (combo)
IPSec VPN 50 100 200 1000 2000
SSL VPN 2 -> 5 2 -> 10 2 -> 10 -> 25** 5 -> 50 -> 250** 5 -> 200 -> 750**
USB 2 2 2 2 2
Extension Slot 1 (Cardbus) 1 (Cardbus) 2 (Cardbus) 1 (Cardbus) 1 (Cardbus)
SFP Non Non Non Non Oui
* Avec module SEM pour le ZyWALL USG 2000** Avec futur firmware 2.11
SB
SMB
ZyWALL USG – Positionnement
Fonctions/ capacité
ZyWALLUSG 1000
ZyWALL USG 300
ZyWALLUSG 2000
ZyWALL USG 200
• 3 WANs• 50 IPSec, 10 SSL
• M-WANs• 200 IPSec• 25 SSL• 19”• Flexible Zone
• 300M FW• 1000 IPSec, 250 SSL • support
• SFP• Alimentation redondante• 2000 IPSec, 200 SSL
ZyWALLUSG 100
1. 2 WANs, 7 Giga ports, 2 USB2. FW 100M, IPSec 50M, UTM 24M3. 10~25 PC
1. 3 WANs, 7 Giga ports, 2 USB2. FW 150M, IPSec 75M, UTM 24M3. 25~50 PC
1. M WANs, 7 Giga ports, 2 USB2. FW 200M, IPSec 100M, UTM 48M3. 50~75 PC
1. M WANs, 5 ports Giga, 2 USB2. FW 350M, IPSec 150M, UTM 100M3. 75~200 PC
1. M WANs, 8 Giga ports, 2 USB2. FW 2G, IPSec 1G, UTM 500M3. 200~500 PC
Dispo.
Ent.
Dispo. Q4’08
Résilience- Répartition de charge - Multi WAN- Haute disponibilité VPN- Haute disponibilité Matérielle
Protection Proactive - Filtrage UTM AS/AV/IDP- Firewall SPI et ADP
Administrabilité- Configuration orientée objet- Reporting- Management centralisé
Contrôle et règles- Contrôle et filtrage IM/P2P- Règles par utilisateur / groupe
Investissement durable- Garantie matérielle 5 ans- Mise à jour gratuite - Pas de conditions d’accès au support- Coût de possession réduit
Connectivité Sécurisée- VPN IPSec avec routage- Accès distant VPN « Clientless » SSL
Atouts des ZyWALL USG?
Cibles des USG100/200
TPE et PME avec de 10 à 50 postes informatique avec des besoins de :
Accès et liaisons à distance (VPN IPSec et SSL) Contrôle de la productivité (IM/P2P, Filtrage de
contenu) Augmenter la rapidité des accès (Gestion de la bande
passante, Multi WAN) Accès à Internet permanent (Multi WAN et accès 3G)
ZyWALL USG 100LEDs:PWRSYSAUX CARD
Interfaces:(2) WAN1, WAN2: 10/100/1000(5) LAN/WLAN/DMZ: 10/100/1000 (2) USB: 2.0, clé 3G…etc
Interface:Console: DB-9 F
Interface:Dial-Backup/Dial-In OOB:DB-9 M
Alimentation:12VDC100~240VAC
Carte d’extension:Pour future mise à jour et 1. Carte 3G 2. Carte WiFi etc…
ZyWALL USG 200LEDs:PWRSYSAUX CARD
Interfaces:(2) WAN1, WAN2: 10/100/1000(1) Optional: 10/100/1000 (can be 3rd WAN, or additional LAN/DMZ)(5) LAN/WLAN/DMZ: 10/100/1000 (2) USB: 2.0, clé 3G…etc
Interface:Console: DB-9 F
Interface:Dial-Backup/Dial-In OOB:DB-9 M
Alimentation:12VDC100~240VAC
Carte d’extension:Pour future mise à jour et 1. Carte 3G 2. Carte WiFi etc…
Fonctions principales USG 100/200 ZLD 2.10
Fonctions principalesFonctions principales ZyWALL USG 100ZyWALL USG 100 ZyWALL USG 200ZyWALL USG 200
Firewall & NAT
Anti-Virus * (KAV/ZAV)
Anti-Spam *
VPN IPSec /SSL* / L2TP / / / /
Application patrol IM/P2P *
IDP/ADP * / /
Filtrage de contenu *
Support des cartes 3G et WiFi
Haute disponibilité
Rapport quotidien par mail
* Nécessite l’acquisition d’une licence
Performance et CapacitéPerformance / CapacitéPerformance / Capacité ZyWALL USG 100ZyWALL USG 100 ZyWALL USG 200ZyWALL USG 200
Interfaces 7 x ports Gigabit
2 x WAN25 x LAN/WLAN/DMZ
7 x ports Gigabit2 x WAN, 1 x OPT
4 x LAN/WLAN/DMZ
Chiffrement matériel DES/3DES/AES DES/3DES/AES
Accélération UTM SecuASIC (CIP-1001) SecuASIC (CIP-1001)
Bande passante Firewall SPI 100Mbps 150Mbps
Bande passante VPN IPSec 50Mbps 75Mbps
Bande passante VPN SSL 8Mbps 8Mbps
Sessions NAT simultanées 20 000 40 000
Création de session /s 1000 (sessions/sec) 1400 (sessions/sec)
Nonmbre maximal de VPN IPSec 50 100
Nonmbre maximal de VPN SSL 5 10
Requêtes RBL simultanées 100 150
Règles de routage “Policy” 200 500
Règles de routage statique 128 128
Mémoire tampon du filtrage de contenu 1024 2048
Consommation électrique 20 Watt max.
Licences
Licences iCardLicences iCard ZyWALL USG 100ZyWALL USG 100 ZyWALL USG 200ZyWALL USG 200Période Période
d’essaid’essai
Anti-Virus Kaspersky, 1 an 30 jours
Anti-Virus Kaspersky, 2 ans
Anti-Virus ZyXEL ICSA 1 an 30 jours
Anti-Virus ZyXEL ICSA 2 ans
IDP, 1 an 30 jours
IDP, 2 ans
Filtrage de contenu, 1 an 30 jours
Filtrage de contenu, 2 ans
Tunnels VPN SSL, 2 à 5 – 2 inclus
Tunnels VPN SSL, 2 à 10 – 2 inclus
ZyWALL USG 100/200 vs
ZyWALL 5/35 UTM
FonctionsFonctions ZyWALL UTMZyWALL UTM ZyWALL USGZyWALL USG
Interface 10/100 10/100/1000
Anti-Virus Oui, KAV Oui, KAV & ZAV(ICSA-Certified)
Contrôle IM/P2P Oui, limité Oui,amélioré
NAT + SPI Firewall (Certifié ICSA) Oui Oui
IDP/ADP Oui/ Oui Oui/ Oui
Filtrage de contenu Oui(BlueCoat) Oui(BlueCoat)
IPSec VPN (Certifié ICSA) Oui Oui
SSL VPN Non Oui
L2TP VPN Non Oui
Anti-Spam Oui Oui
Couplage LDAP / AD Non Oui
Bandwidth Management Oui Oui
Multiple WAN Load Balancing Oui Oui
3G Card Support Non Oui
User-Aware Non Oui
Authentification à deux facteurs Oui(ZyWALL OTP) Oui(ZyWALL OTP)
Device HA Non Oui(A-P mode)
Comparatif ZyWALL USG / ZyWALL UTM
ZyWALL USG 100 vs ZyWALL 5 UTM*
• Plus de ports• Gigabit Ethernet• VLAN
SecuASIC Intégré
USB, 3G
Double WAN
*: ZyWALL + carte turbo
ZyWALL USG 200 vs ZyWALL 35 UTM
USB, 3G
Port OPTSecuASIC Intégré
• Plus de ports• Gigabit Ethernet• VLAN
ZyWALL 5 UTM ZyWALL 35 UTM ZyWALL USG100 ZyWALL USG 200
Interface4 LAN/DMZ, 1 WAN
(10/100)4 LAN/DMZ, 2 WAN
(10/100)
5 LAN1/LAN2/DMZ, 2 WAN
(10/100/1000)
4 LAN1/LAN2/DMZ
2*WAN,1*OPT
(10/100/1000)
Tunnels VPN IPSec 10 35 50 100
Débit IPSec VPN 25Mbps 30Mbps 50Mbps 75Mbps
Firewall Performance 65Mbps 70Mbps 100Mbps 150Mbps
Débit UTM (AV+IDP) 12Mbps 18Mbps 24Mbps 40Mbps
Sessions NAT 4,000 10,000 20,000 40,000
RedondanceTraffic Redirect
Dial BackupMultiple WAN, Load Balancing, Fail-over, Fail-back,
Dial Backup, Traffic Redirect
Networking Bridge Mode, Policy Route, DDNS, DHCP, PPPoE
Management Web, CLI, Log, Alert, Wizard, Syslog, SNMP, CNM, VRPT
Comparatif ZyWALL USG / ZyWALL UTM
Anti-Virus
Support de deux bases de signatures AV :
• Kaspersky (3200 signatures)
• ZyXEL AV (Certifié ICSA, 8500 signatures)
Anti-Virus « Stream-based »
• Pas de limitation de la taille des fichiers ni de sessions simultanées
Protocoles supportés
• HTTP/SMTP/POP3/FTP/IMAP4
Archives compressées
• RAR/ZIP/GZIP/PKZIP
Licences Anti-Virus Période d’essai
• Une seule période d’essai de 30 jours, activation au choix de ZAV ou KAV• Modifiable jusqu’à la fin de la période d’essai : ZAV vers KAV, KAV vers ZAV
Licences
• ZyXEL AV: ZAV 1 an, ZAV, 2 ans
• Kaspersky AV: KAV, 1an, KAV 2 ans
• Un seul anti Virus peut être activé à la fois
• Quand une nouvelle licence est activée, le temps restant de l’ancienne licence est ajoutée à la durée de la nouvelle licence
Temps
Activation de la licence KAV
Activation de la licence ZAV
Durée de la Nouvelle licence ZAVDurée de la licence KAV
Date d’ expiration de la licence KAV
Durée restante de la licence KAV
Date d’expiration de la licence ZAV
Durée initiale de la licence ZAV
Anti-Spam Inspecte le trafic des messageries électroniques
utilisant les protocoles standards :
• SMTP: port TCP 25
• POP3: port TCP 110
Protection Anti-Spam activable zone par zone• L’inspection des mails est activable selon leur direction
Paramétrage White/Black• Par adresse IP, adresse Email, header ou sujet
Vérification et statistiques DNSBL
Rapports et statistiques Anti-Spam
Anti-Spam – Protection Zone à Zone
LAN
DMZ
Serveur Mail
Serveur de mails public
Protocole: SMTPAction: Rejet
INTERNET
Serveur de mails public
Protocole: SMTP / POP3Action: 1. POP3: Tag et transmet2. SMTP: Rejet
Protocole: SMTP / POP3Action:
POP3: Tag et transmetSMTP: Rejet
Anti-Spam – White List / Black List
Critères de comparaison
• Sujet– Recherche de mot clé dans le sujet
• Adresse IP• Adresse E-Mail
– Recherche de mot clé dans l’adresse mail
• Header du mail
Serveur Mail Open Relay148.204.182.89
Internet
DMZ
Serveur de mail interne
Spammer
Serveur DNSBL
ZyWALL USG
Serveur DNSSMTP
1. Le Spammer lance une session SMTP au travers du ZyWALL
2. Le ZyWALL retient l’adresse IP du serveur relais, inverse les nombres et ajoute le domaine DNSBL : (89.182.204.148.sbl-xbl.spamhaus.org)
4. Vérifie la réponse pour déterminer si l’adresse IP du serveur relais fait partie de la liste DNSBL• Pas dans la liste : transfert• Dans la liste : Action déterminée (rejet, tag)
3. Envoi d’une requête DNS pour l’adresse 89.182.204.148.sbl-xbl.spamhaus.org
Requête DNS
Anti-Spam – Fonctionnement DNSBL
http://en.wikipedia.org/wiki/Comparison_of_DNS_blacklists
Gestion IM/P2P (AppPatrol) Contrôle granulaire des applications IM/P2P
• Reconnait les applications ainsi que leurs fonctions pour des règles plus précises, ex : Connexion, Chat, transfert de fichiers, voix, vidéo
• 28 applications IM/P2P reconnues, mise à jour continue (licence IDP) Gestion de bande passante
• Supporte le BWM dans chaque règle ou pour chaque groupe d’utilisateurs
• Garantit ou limite la bande passante par protocole/application• Maximise l’utilisation de la bande passante en « empruntant » la
bande passante non utilisée dynamiquement Monitoring en temps réel
• Indique quelle application utilise quelle connexion (« Traffic Report »)• Illustre graphiquement l’utilisation de la bande passante par
application
Applications IM/P2P reconnues
Protocol Type Application Type/VersionCommon Filezilla 2.2.18, 2.2.19 (Active/Passive)
Common IE 6
Common Firefox 2.0, 1.5
Common Outlook Express 6
Protocol Type Application Type/VersionIM ICQ 5.1
IM Google Talk 1.0IM MSN (v7.5, v8.0)
IM QQ2006, QQ2007BetaIM Rediff 8.0IM Web ApplicationsIM Yahoo (8.1.0.195)
Protocol Type Application Type/VersionP2P Bitcommet 0.79P2P EzPeer Plus 1.0P2P Kazaa 3.2P2P Foxy 1.9P2P LimeWire 4.12P2P emule 0.47cP2P VagaaP2P KuroBangP2P Poco 2006P2P PPLive 1.7.26P2P QQLive 3.5P2P Soulseek 156/157test8P2P Thunder 5.5
Protocol Type Application Type/VersionStreaming RealMedia Player v6.0VoIP Netmeeting 3.01VoIP Windows Messenger 5.1
VoIP Gizmo 3.0
Granularité IM/P2P
VPN SSL et VPN IPSec
Liaison SSL-VPN IPSec-VPN
VPN site à site
Accès distant Paramétrage facile Paramétrage complexe
Coûts Site central Site central, client
Utilisation Idéal pour l’accès distant
Idéal pour interconnexion de
réseaux (site à site)
IPsec VPNSSL-VPN
Authentification à deux facteurs
Nécessite un serveur d’authentification
Utilisation des tokens « OTP » (One Time Password)
Télétravailleur
Partenaire autorisé
Itinérant
ZyWALL OTP
ZyXEL / Serveur Authenex
ZyWALL OTP
ZyWALL OTP
Internet
LAN
messagerie
Partage de fichiers
ApplicationWeb-based
supervision
Applicationmétier
OA, ERP,CRM
Connexion à Internet 3G
Usage• En tant que connexion à Internet principale, secondaire
ou de secours via le réseau GSM / 3G
Internet
Réseau 3G
USG100/200
Accès Internet
3G/3.5G
Sierra WirelessAC850 / AC860
Huawei E220
Radio HSDPA HSDPA
Max. Speed 1.8Mbps / 384Kbps 3.6Mbps / 384Kbps
Chipset MSM6275 MSM6280
I/O Interface UART USB
Cartes 3G Supportées
* De nouvelles interfaces 3G seront supportées dans les futurs microprogrammes
Support du WiFi
Les USG 100/200 supportent la carte G-170S Hot Plug Chiffrement / Authentification – WEP/WPA/WPA2 VLAN Filtrage par adresse MAC Zone séparée avec inspection par les fonctions de sécurité:
• Firewall
• Anti-virus
• Anti-Spam
• IDP
• Application Patrol
• Filtrage de contenu
• Contrôle de la bande passante
Monitoring en temps réel
Système de reporting simple Rapports envoyés par email à 5 destinataires maximum Fournit un rapport quotidien présentant :
• Etat des ressources système (graphique)– Utilisation du CPU– Utilisation de la mémoire– Etat de la table NAT– Utilisation des ports
• Statistiques: – IDP– AV– AS– Trafic réseau
Pour des rapports plus détaillés, utilisez VRPT (Fourni gratuitement avec les USG !)
Email de rapport quotidien
Email de rapport quotidien
Un système de reporting centralisé
• Collecte et analyse les logs (journaux) émis par les
appareils ZyXEL, pouvant se trouver sur différents
réseaux locaux ou distants
Facile d’utilisation
• Permet de simplifier l’étude des logs des appareils
ZyXEL associés
VRPT
VRPT
Surveillance facile et rapide de l’activité réseau
• Permet d’être rapidement informé de toute activité suspecte
• Offre aux administrateurs une vue rapide et détaillée du fonctionnement du réseau
Outil important pour l’infogérance
• Facilite la gestion et la maintenance préventive des équipements déployés
• Permet de fournir des rapports d’activité aux clients, de manière quotidienne ou hebdomadaire, dans le cadre par exemple d’un contrat de maintenance
Modèles supportés
• ZyWALL ZyNOS v3.62 ou supérieur (2,2P,5,35,70)
• ZyWALL 1050
• ZyWALL USG
Capacité
• Jusqu’à 100 appareils simultanément
• 1500 logs/seconde
VRPT
Monitoring en temps réel
Statistiques
Format personnalisable des rapports
Rapports automatisés par Email
• Quotidien
• Hebdomadaire Jusqu’à 500 profils de
rapports automatisés Format des rapports
• HTML• PDF
User Aware
Supporte la fonction User aware des ZyWALL USG avec couplage AD / LDAP et le Hostname reverse (traduction IP / Nom de domaine)
Analyse l’activité par utilisateur pour garantir la productivité
Passeport USG
Une journée de manipulation produit qui vous permettra de répondre à tous types de projets concernant la nouvelle gamme sécurité ZyWALL USG de ZyXEL
Support de cours, déjeuner, pauses et ZyWALL USG 100 compris : 500 EUR HT la journée par personne
Inscrivez-vous dès maintenant via le bon de commande pour le passeport USG dès Septembre 2008 sur :
Lyon, Mulhouse, Paris et Toulouse
Attention, nombre de places limité