ZyWALL1050说明书使用手册

PAGEPAGE5/28目录版权 2目录 3ZYWALL1050概述 4产品概述 4系统架构 5工作模式 6ZYWALL1050功能特点 6VPN集中器 6应用控制 7入侵检测与保护 8内容过滤 9设备高可用性HA 10卓越的ZLD系统平台 11弹性端口设计. 11自定义安全区域 13基于策略的路由 13动态路由协议. 14用户感知策略引擎. 14基于对象的网络设计 14用户管理 15全面配置文件管理. 15多ISP连接管理 16产品优势 17不间断的安全服务 17三重核心高性能防火墙 17基于用户的安全管理184．ZYWALL1050技术指标 成功案例 21TUEVNORDGROUP使用ZYXEL安全解决方案来应对7,500个场所的高安全需求 21GOREMOTEINTERNETCOMMUNICATIONS,INC搭载ZYXEL安全解决方案 24关于合勤科技（ZYXEL） 27ZyWALL1050产品概述随着网络，尤其是网络经济的发展，企业日益扩张，客户分布日益广泛，合作伙伴日益增多，这种情况促进企业效益日益增长，另一方面也越来越凸现传统企业网络的功能缺陷：传统企业网络基于固定物理地点的专线连接方式已难以适应现代企业的需求。于是企业对于自身的网络建设提出了更高的需求，主要表现在网络的灵活性、安全性、经济性、扩展性等方面。在这样的背景下，VPN特色的优势赢得了越来越多的企业的青睐，令企业可以较少地关注网络的运行与维护，而更多地致力于企业的商业目标的实现。ZyWALL1050VPNVPNVPN作性。ZyWALL1050VPN连接。对于网络管理员来说，ZyWALL1050传送到远程网络的所有信息都会先经过中央管控中心，所以网络管理员可以设定基VPNIDP（入侵检测与保护）的规则VPNZyWALL1050管理员排除网络故障及进一步的网络状况分析。进入PPPoE/进入PPPoE/预路由后路由路由转发QdiscPPPoE/VLAN送出内置过滤器服务路由输入IPSec加密输出本地IP服务ZyWALL1050VPN集中器采用专有硬件架构，采用独有ZLD操作系统，并装备NELeSCT使用环境，选取专用安全平台，高性能服务器架构进行设计，并且使用独有cIM7层内容处理芯片进行扫描和模式匹配的加速；独有LD操作系统为合勤科技自主研发的高效强化安全的实时嵌入式操作系统；安全功能采用模块化设计，针对不同的应用环境和不同的安全策略，可以配置不同的安全功能模块。同时，ZyWALL1050预留了USB/HDD/Cardbus接口，以方便未来的功能升级。1防火墙1连接检查1策略2应用分类1.NAT(SNAT)分类标记NAT(DNAT)2静态入侵检测与保护应用控制流量统计IPSec5动态内容过滤PAGEPAGE27/28工作模式ZyWALL1050基于逻辑区域（Zone）设计，具备5个可自定义千兆以太网接口，突破了传统内网，外网，非军事区DMZ的设计。企业可以根据内部不同需求进行更加弹性的网络和安全策略设计。32），区域并不是基于设备端口来划分的，它是一组逻辑上的划分。所带来的好处是，基于区域的安全策略和许多其他设定，如防火墙、远程管理等功能，在网络端口设定改变后也无需更改对区域已经设定好的规则，ZyWALL1050需再为因为网络结构的改变带来的巨大工作而发愁。ZyWALL1050支持全透明交换工作模式，不需要改变原有的网络拓扑结构和各主机与设备的网络设置，即不需要重新划分网段和调整网络结构，无缝接入现有的公司网络之中。口，VLANPPPoE/PPTPIP地址，连接不同的物理网段，适应不同网络环境。模式，方便进行复杂网络架构设计。ZyWALL1050功能特点VPN集中器VPNVPN用数据加密，用户验证等手段，确保传送的数据不被攻击者窥视和篡改，并且防止非法用进行安全检测，抵御各种网络入侵攻击，如木马，蠕虫，DDoSVPNVPN高级别的安全性和可操作性。VPN。IKE：pre-sharedkey，证书，manualkeys广泛全面的用户验证：RADIUS，LDAP/MicrosoftAD，内部用户数据库，x-AuthVPNHubandSpokeVPN未来韧体升级支持VPN应用控制（IM）,点对点（P2P）以及其它常用应用。1）运行在非标准端口上的应用HTTP8080HTTP802）服务/协议运行在非固定/动态端口上到目前为止，MicrosoftMSN仍然运行在端口80之上。得越来越困难。ZyWALL1050应用控制对网络应用进行7层内容检测，利用分类过滤器将应用和服务分类。另外，ZyWALL1050应用控制还可以根据用户名、时间表、带宽，进行更加粒度化的用户控制，高效，全面，便捷地完善企业网络安全策略。入侵检测与保护ZyXELSecuASICTM安全加速芯片，提供高效整体性能，满足中大型企业需求。片为核心，对网络数据包进行扫描和模式匹配的加速，一方面通过应用控制功能管理常用7应用控制支持应用：常用应用FTP,SMTP,POP3,irc,HTTP即时通讯IMMSN,aol-icq,yahoo,QQ点到点应用bittorrent,eDonkey,fasttrack,gnutellanapster,H.323,SIP,soulseak流媒体协议rtsp2300包异常，流量异常和协议异常，侦测各种网络入侵攻击。比较典型的有比较典型的网络入侵有SQLslammer,Blaster,NimdaMyDoom，端口扫描等。各种网络攻击手法不断涌现，攻击模式不断更新，合勤科技安全反应团队ZSRT(ZyXELSecurityResponseTeam)也在不断跟踪最新网络攻防技术，应对最新攻击，即时快速地推出入侵检测规则升级包，帮助保护网络安全。ZyWALL1050入侵检测与保护特性：自动检测特征码升级超过2,300用户自定义特征码基于区域的弹性安全策略VPN特征码和异常协议引擎详细的日志和报告系统内容过滤（ZyXEL）一流的内容过滤功能，您可以对随意的网络浏览进行控制。与的网站，从而提高工作效率。通过动态外部数据库查询，ZyWALL1050提供多达60个网页内容分类供用户选择，包括新闻，财经，色情，暴力等等，覆盖面广，准确性高。ZyWALL1050表，可以方便的控制用户访问权限和访问时间，更加弹性地满足所有需求。ZyWALL1050Cookie，Java，ActiveX，WebProxy增强企业安全策略。内容过滤特性：世界领先的分级服务器URL数据库包含60个分类，涵盖防间谍软件，防网络钓鱼等等最具成本效益，无用户数目限制URL与用户感知引擎完美配合，实现用户粒度控制设备高可用性HA足企业不间断服务的要求。。通过采用两台设备，工作在主从模式（Active/Passive），当主设备发生状况时，从属设备即备份设备会立即取代主设备，确保网络通畅。卓越的ZLD系统平台ZyWALL1050基于专有硬件架构，采用合勤科技最新ZLD操作系统，提供强大完全的功能。弹性端口设计ZyWALL1050具备二层交换和虚拟三层技术，因此可以使用ZyWALL1050轻松设计构建复杂的不同规模企业网络。PortGrouping（二层交换）的MAC地址进行数据转发，而不在进行安全规则检测，如防火墙，入侵检测与保护。三层虚拟接口除千兆以太网接口外，ZyWALL1050具备三层虚拟接口，如802.1qVLAN接口，IP别VLAN接口可以方便地增加端口密度。虽然只具备5个物理端口，可以通过设置VLAN接口增加端口密度。使用VLAN，可以方便设计构造完善的公司网络。物理端口和虚拟接口设计架构拓展端口密度一个物理端口上实现多个逻辑网络2层端口分组和3层虚拟接口共同工作自定义安全区域ZyWALL1050基于逻辑区域（Zone）设计，具备5个可自定义千兆以太网接口，突破DMZ32），区域并不是基于设备端口来划分的，它是一组逻辑上的划分。所带来的好处是，基于区域的安全策略和许多其他设定，如防火墙、远程管理等功能，在网络端口设定改变后也无需更改对区域已经设定好的规则，ZyWALL1050需再为因为网络结构的改变带来的巨大工作而发愁。企业可以根据内部不同需求进行更加弹性的网络和安全策略设计。基于策略的路由除静态路由外，ZyWALL1050具备完善的策略路由功能，帮助控制，管理数据流，而不论网络服务类型或者网络架构复杂度如何。/组，访问时间，数据源，数据目的，服务类型。ZyWALL1050策略路由还支持SNAT,DNAT以及带宽管理功能。动态路由协议1050支持RIPv1，RIPv2外，还支持OSPF动态路由协议。OSPF是IETF设计提出的IGP内部网关协议以替代陈旧的RIP协议。OSPF路由协议具有如下优点：网络状况发生改变时迅速收敛area0只会发送路由更新信息，而不是全部路由信息，节约网络资源开销MD5是所有其他厂商均认可的开放协议用户感知策略引擎ZyWALL1050除支持普通访问控制功能之外，还具备智能用户感知策略引擎。ZyWALL1050根据多项用户属性进行流量控制：用户ID，用户组，访问时间/时间表，网络带宽。计，构筑有效率的，弹性的网络架构，防止网络资源滥用。基于对象的网络设计，AAA服务器，验证方式，证书和用户/用户组。使用对象设计所带来的好处是：自动“改变”更新，ZLD而无需到处查找更改相关设置带来的巨大麻烦，保持参数一致及系统完整性。对象再次利用减少工作负荷。用户管理ZyWALL1050通过用户帐户管理，对不同用户开放不同权限，配合企业安全策略。ZyWALL1050支持多种不同的用户帐户管理方式：内置用户数据库RADIUSLDAPMicrosoftADVPN核。另一方面，多种验证方式的支持，使得ZyWALL1050方便地与企业现有认证机制无缝结合，减小管理负荷。全面配置文件管理配置文件包含所有ZyWALL1050系统设置和安全策略信息。安全保存和管理所有配置文件是一项非常关键的任务。ZLD系统配置文件管理包括以下先进设计：可编辑辑。一些敏感信息，比如密码，被使用哈希算法进行加密。多种配置文件ZyWALL1050配置文件支持帮助管理员轻松地管理多个企业安全策略设置。快捷应用配置文件更改并应用ZyWALL1050配置文件无需重新启动，配置文件可以立即生效，提高管理效率。多ISP连接管理WANWANWAN带宽，并确保企业实时在线。同时多WAN口具备负载均衡功能，支持LeaseLoadFirst,WeightedRoundRobin和Spillover三种算法。3．产品优势不间断的安全服务并不在网络管理员的能力范围之内。ZyWALL1050通过三种方式确保企业网络不受线路故障的困扰，提供不间断的安全服务：HA。在中心站点布置两台ZyWALL1050，当主设备发生状况时，从属设备即备份设备立即取代主设备，保证网络通畅。多ISP连接管理。WAN实时在线。VPN冗余设计。ZyWALL1050支持第二个远程VPN网关，当第一个远程VPN网关不可达时，ZyWALL1050会启用第二个VPN网关进行连接。并具备网关状况侦测功能，在第一个网关故障排除后，可以设定自动回复到使用第一个远程VPN网关。三重核心高性能防火墙ZyWALL1050VPN集中器采用专有硬件架构，装备VPN加速芯片，和ZyXELSecuASICTM安全加速引擎，三重核心大幅提高系统性能。VPN，ZyWALL1050100MbpsVPNVPNDFA（DeterministicFinite速度，通过实时内容过滤技术将强大的防病毒功能与入侵检测与保护能力（IDP）融为一体，提供无比强大的网络安全保护。基于用户的安全管理在基于ACL访问控制基础上，ZyWALL1050引入了基于用户的策略引擎，在决定是否。您可以应用这些策略在其它的安全特性上，如：防火墙、VPN宽管理,通过用户帐户管理，对不同用户开放不同权限，有效地保护网络和网络资源不能进行非授权的访问，建立完备的企业安全策略。ZyWALL1050支持多种不同的用户帐户管理方式：内置用户数据库，RADIUS，LDAP，MicrosoftAD。多种验证方式的支持，使得ZyWALL1050方便地与企业现有认证机制无缝结合，减小管理负荷。ZyWALL1050性能容量SPI防火墙吞吐量：300MbpsVPNAES/3DES吞吐量：150MbpsIDP吞吐量：150Mbps并发会话数：500,000新建会话数：8,000通道数：1,000安全/认证DoS/DDoS防护ALG支持：SIP/H.323,FTP,IPSec,L2TP,MSN,PPTP,RTPIP/port/location/user/group/time/networkquota（透明认证）：基于用户的策略管理RADIUS,LDAP,MicrisoftActiveDirectory,本机数据库应用管理：阻止、时间表、速率限制IDP：inline/bridge模式flood检测畸形包检测层深度包检测IDP策略升级策略URL过滤、关键字过滤、扩展列表JAVAApplet,cookies,ActiveX过滤URL过滤网关病毒检测

VPN基于路由模式IPSecVPN支持集中星型VPN(HubandSpoke)硬件加密：AES/3DES/DES认证：MD5,SHA-1/IKEPKI:PKCS#7,#10,#12证书注册：CMP,SCEPPFS:DH1/2/5NAT穿越NAToverIPSecDNS通道隔离ActiveDirectory,本机数据库网络路由模式、桥模式、混合模式端口聚合支持802.1qVLANEthernet/PPPoE/PPTP支持虚拟接口（aliasinterface）策略路由NAT:SNAT,DNAT路由协议：RIPv1/v2,OSPFIP组播DHCPclient/server/relay内建DNSServerDDNSNTP客户端HTTP重定向基于策略的流量整形最大带宽带宽优先

冗余设备冗余HA(HighAvailability)设备失效检测自动配置同步链路支持链路失效侦测多WAN口负载均衡VPN通道HA,远程冗余VPN网关管理管理：HTTP/HTTPS系统状态检测表多管理员：多权限多角色登陆模组化架构文本配置文件ssh/telentmyZyXEL.COM产品注册服务激活集中全面地本地日志日志扩展：多至4个syslogserverSNMPv2cMIB-IIE-Mail告警SA状态Firmware升级:FTP,FTP-TLS,WebGUIVRPT3.0支持CNM3.0支持硬件参数系统内存256M主板闪存端口（指示灯）（MDI/MDI-X）RS-232,DB9FRS-232,DB9MLED指示灯：PWR,SYS,ACT,HDD电源开关RESET按钮扩展槽扩展槽USB：USB2.0x22.5”物理规格19”可上架430.7x292.0x43.5mm4,700g电源需求100-240VAC,50/60Hz,1A80W(最大)环境需求操作温度：0℃-40℃无冷凝）认证EMC:FCCPart15ClassA,CE-EMCClassA,C-TickClassA,VCCIClassA安全：CSA,CEEN60950-15．成功案例TUEVNORDGroupZyXEL7,500需求组织名称TUEVNORD（北德认证）所属行业技术服务机构用户背景德国TÜV北德集团是欧洲最早建立的最大的从事检验、实验、质量保证和认证的国际23支机构、办事处或合资公司。自1869年成立以来，经过130多年的发展，TÜV北德集团已成为国际上最有权威的认证机构，不仅在质量管理体系、环境保护体系的认证方面享有很高的知名度。同时也在许2001TÜVCERT已发用户需求8,50036，90%的员工将从他们的家里接入到公司网络。另外，所有的汽车服务站都将包含到这个网络中还包括其他增值服务也被规划。例如，为正在等待汽车检查的用户提供自由的网络接入。因为，在这个网络中有高级别安全的需求（例如，核电站）。在这里，高级别的网络安全是必须的。解决方案P1/P2VantageCNM)是唯一一款系列产品适合他们并且价格合理。7,500化的网络架设。VPNZyWALL1050(3。保障的前提下，可提供稳定的不间断网络服务。另外，在汉诺威和埃森各架设一台ZyWALLVPN层保护，确保公司内每个点都处在安全的保护和监控之下。我们将公众服务器连接到防火限制，这样既可以保证用户的严格的安全特性，又实现服务器的安全保障。通过这样严格TUEVZyWALLP2VPNCNMVPNTUEV在期望结果相同的情况下节省人力成本。用户点评TUEVZyXELTUEVITVPN3"，TUEVTUEV，ZyXEL相关产品ZyWALL2：750036ZyWALL220,000ZyWALLVantageCNM网络集中式管理系统ZyWALL1050：3ZyWALL1050大中型企业级防火墙ZyWALLP1：36ZyWALLP1ZyXEL简单的架设、维护和升级，适用于没有技术背景的雇员。最低数量的维护人员需求。可集中式管理。合理的价格。(3DES、AES)PKI。GoRemoteInternetCommunications,INCZyXEL组织名称GoRemoteInternetCommunications,INC（GoRemote）所属行业宽带网络安全管理提供商用户背景GoRemoteCommunications（NASDAQ:GRIC）为全球行动通讯企业、领先服务供货商和电信公司提供最可靠的安全通讯解决方案。GoRemote的使命，是让客户在改善企业效率的同时，还能在管理和维护防火墙雇员工方面降低成本、繁复性及风险。GoRemote每天都本着这个使命，服务全球上百万计的移动通讯与远程员工及一千六百多家企业客户，包括横跨各业界的财星五百(Fortune500)和全球前两千大企业(Global2000)。GoRemoteTierOneNetwork™拥有遍布全球一百五十多个国家的三万五千多个有线与无线接入点，让移动通讯专业人员能从世界各个角落接收电子邮件和企业信息，节省企业上百万的通讯开支。GoRemote在移动宽带网络方面的专业知识无与匹敌。为企业准备了安全、灵活、可靠而方便的移动宽带，因而成为全球最受企业信赖的供货商。GoRemote将三百多家领先服务提供商及电信公司的网络整合成单一的全球网络结构。在这项「网络集成」模式的领先地位，使其拥有足够的竞争优势，符合、甚至超过移动通讯企业日新月异的通讯需求。行动宽带的先锋及强固而永续的业务模式的创造者。用户需求1,200作者的网络接入需求。所有的设备都必须能够通过一条安全的途径被远程的管理并且能够，GoRemote能够很容易地整合到他们现存的网络管理系统上、能够自动配置和被实时监控的功能。解决方案统的网络设备。需求。所有设备都必须能够被安全地远程管理。如上图所示，ZyXELGoRemote现期望达到的效果，即其伙伴企业的所有分支机构、家庭工作人员及在外出差的移动工作ZyWALL的精力。用户点评安全级别。"网络中，使得这次大规模设备的架设几乎没费事在短时间内就顺利完成了。高效的网络保GoRemote，ZyXEL相关产品ZyWALL2ZyWALL1050：若干台，未来不断增长。ZyWALL1050大中型企业级防火墙ZyWALLP1：若干台，未来不断增长。ZyWALLP1ZyXEL简单的架设、维护和升级，即使没有技术背景的雇员也能轻松上手。最低数量的维护人员需求。可实时监控的功能。GoRemote合理的价格。适用于专业管理系统，采用产业加密标准(3DES、AES)和PKI。6．关于合勤科技（ZyXEL）为你我生活创造了无限可能。品，提供客户与事业伙伴更迅速、更有效率的服务。位。价值。置身快速变迁的因特网产业，合勤已掌握了世界品牌、完整产品