El documento describe las nuevas características y mejoras del ZLD v2.20, incluyendo mayor seguridad en el extremo final, control granular de aplicaciones de redes sociales, compatibilidad con Windows 7, una interfaz gráfica más intuitiva, mejor arquitectura de enrutamiento e integración completa con Microsoft Active Directory. El ZLD v2.20 ofrece protección de red proactiva, refuerzo de la política de seguridad, conectividad segura y gestión y recuperación de red.
4. ¿De dónde vienen las amenazas? ZyWALL USG 300 Public Kiosk Home Teletrabajador Oficina Central ZyWALL USG 2000 Protected Servers Sucursal Acceso Remoto IP PBX IP PBX ZyWALL USG 50 DMZ Server SSL VPN IPSec VPN L2 Switch L3 Switch Internet Reducir Amenazas Externas Establecer Túneles VPN Fiables Contra las Acciones de Vulneración de Cualquier Origen Garantizar el Acceso Remoto y Facilitar la Gestión
5. Solución de Seguridad de ZyXEL Seguridad en la Empresa Mitigate External Against Policy Violations from within Establish Reliable VPN Tunnels Guarantees HA & Easy Management Conectividad Segura Solución VPN completa para conexiones entre sucursales y acceso remoto Protección de Red Proactiva Funcionalidad UTM para proporcionar protección exhaustiva frente a amenazas Refuerzo de la Política de Seguridad Política de usuario que permite granularidad en el acceso Gestión y Recuperación de Red Tolerancia a fallos en las rutas de red: Enlace WAN, pasarelas,VPN
6. Tendencias del 2010… Utilización en zonas menos visibles Menor productividad Trabajo en entorno Windows 7 Todos los usuarios deben cumplir la política de seguridad Problemas Amenazas Internas Disponibilidad de Windos 7 Popularidad del Netbook Websites Sociales
7.
8.
9.
10.
11. Control granular de las aplicaciones de redes sociales El ZyWALL USG puede limitar el acceso… Juego de Facebook Todas a la Vez Una a una All Stop Gestión y Recuperación de Red Conectividad Segura Protección de Red Proactiva Refuerzo de la Política de Seguridad Seguridad en la Empresa
26. Resolución de Problemas sencilla Se necesitaba desplegar una gran cantidad de herramientas para realizar la “captura de paquetes”. Basta con clickar el botón de GUI para capturar paquetes Antes Ahora con ZLD 2.20 Seleccionar “ Captura de Paquetes” Seleccionar interfaz para capturar paquetes Decidir cuántos paquetes capturar Gestión y Recuperación de Red Conectividad Segura Protección de Red Proactiva Refuerzo de la Política de Seguridad Seguridad en la Empresa
27.
28.
29. ZyXEL le ayuda… Conectividad y confidencialidad incrementada con un TCO inferior Ayuda a las empresas a reforzar la política de seguridad corporativa Implementación de arquitecturas de red redundantes para operar sin interrupciones Refuerzo de la Política de Seguridad Protección de Red Proactiva Conectividad Segura Gestión y Recuperación de Red Red de Empresa Asegurar redes convergentes y otras aplicaciones críticas de negocios
30.
31.
32. Resumen de prestaciones del ZLD v2.20 : (1/2) Prestaciones básicas del ZLD v2.20 Usabilidad Mejorada ¿Qué mejora? Paquete ZLD flujo v2.0 Auto deshabilitación de ruta cuando el siguiente salto está caído El usuario no necesita configurar la ruta por defecto para el tráfico LAN-WAN. El usuario no necesita configurar la routa para el tráfico IPSec Sobreescritura de las rutas Soporta NAT Varios a 1 Soporta NAT sobrecarga Varios a Varios saliente Diseño de Interfaz Unificado Estilo consistente con todos los interfaces USG Referencia a Objetos Muestra “Dónde se utiliza” para cada objeto Mejora CF Prueba de Bypass CF en VPN IPSec BWM ¿Qué mejora? DSCP Etiquetado Diff SERV BWM por marca DSCP Seguridad en el Punto Final ¿Qué mejora? EPS (con SSL VPN) Prueba de seguridad en el punto final contra SSLVPN EPS (con Política de Autenticación) Soporta Kaspersky y muchos otros clientes Windows 7 ready ¿Qué mejora? Mejora SSLVPN Soporte de Windows 7 en túneles SSLVPN
33. Resumen de prestaciones del ZLD v2.20: (2/2) Prestaciones básicas del ZLD v2.20 Aspecto mejorado ¿Qué mejora? GUI v2.0 Utilización de tecnología Web 2.0 (Ajax); más flexible y sencilla Dispositivo virtual en la pantalla Resolución de incidencias más sencilla ¿Qué mejora? GUI v2.0 (aspecto mejorado) Soporte de visualización de log para interfaz origen/destino y protocolo Configuración de captura de paquetes por GUI Control de captura de paquetes desde el GUI Soporta captura simultánea de múltiples interfaces Descarga del fichero PCAPs desde el GUI Varios ¿Qué mejora? Mejora AAA Soporta Grupo de usuarios LDAP Política de autenticación Versión mejorada para forzar la autenticación de usuario Mejora 3G Soporte de más tarjetas 3G (USB) & control consumo 3G Mejora VPN IPSec IPSec HA Auto Fall Back (prestación ZyNOS-alike ) Mejora HA Soporte de Bridge/VLAN en modo Device HA AP Mejora ALG SIP ALG SIP ALG 1.2: Soporte de IPPBX en escenario de zona DMZ Método requerimiento DNS Requerimiento DNS asociado a un determinado interfaz Mejora enrutamiento RIP/OSPF en VLAN
34.
35.
36.
37. Cambios en la Tabla de Enrutamiento ZLD Subredes conectadas directamente Ruta estática principal (Linux) Ruta dinámica Política de enrutamiento VPN dinámica Prueba de enrutamiento Versión ZLD 2.1x Subredes conectadas directamente Subredes conectadas directamente Política de enrutamiento Varios 1 a 1 NAT #1,…, #n Auto VPN VPN Site to Site VPN dinámica Versión ZLD 2.20 Prueba de enrutamiento Tabla principal de rutas Enlace WAN por defecto Ruta estática y dinámica Nueva tabla de rutas en ZLD 2.20
38.
39.
40.
41.
42.
43.
44.
45.
46. Se muestra la información de puerto en el interfaz Interfaz Presentación Ethernet: ge1(wan1), ge2(wan2), ge3(lan1)… P1, P2, P3,… VLAN, PPP Muestra el puerto físico, tal como P1, P2… Bridge n/a WLAN, Cellular Mustra la localización, tal como shot1/shot2 or USB1/USB2 Aux aux
54. ¿Qué es el Punto de Código DiffServ (DSCP)? Negocia las condiciones de tráfico/acuerdo de nivel de servicio Define el DSCP de acuerdo con las políticas administrativas : Router de Borde de Red : Router de Núcleo de Red Caracteriza el conformado y marcado del tráfico y el control administrativo Guarantee traffic QoS level based on DSCP
55.
56.
57. Lista de aplicaciones que soportan EPS Software Cliente Anti-Virus Software de Cortafuegos Personal Norton_AntiVirus, 2010 Kaspersky_Internet_Security, 2009, 2010 Norton_Internet_Security, 2010 TrendMicro_PC-Cillin_Internet_Security, 2010 Norton_360 Version, version 3 TrendMicro_PC-Cillin_Internet_Security_Pro, 2010 Kaspersky_Anti-Virus, 2009, 2010 Windows_Firewall Kaspersky_Internet_Security, 2009, 2010 Microsoft_Security_Center TrendMicro_PC-Cillin_Internet_Security, 2010 TrendMicro_PC-Cillin_Internet_Security_Pro, 2010 TrendMicro_PC-Cillin_AntiVirus, 2010 Avria AntiVir Personal, 2009 Microsoft_Security_Center
58.
59. Escenario con verificación EPS Servidor de Correo Servidor de Archivos Servidor Web LDAP,RADIUS, Directorio activo Empresa Verifica : Anti-Virus v Anti-spware v Cortafuegos Personal v … . v … . v Verifica : Anti-Virus × Anti-spware v Cortafuegos Personal × … . v … . v Verifica : Anti-Virus × Anti-spware × Cortafuegos Personal × … . × … . × × × ×
60.
61.
62. Soporte de Windows 7 Elementos técnicos/Especs. Despliegue Top-down Nota (4Q'09) (1Q'10) (2Q'10) ZLD 2.12 patch x ZLD 2.20 ZLD 2.21 Túnel completo SSLVPN: Ejecutar SecuExtender en Windows 7 sí sí sí Modo proxy SSLVPN : El usuario ejecuta IE8 en Windows 7 sí sí sí Gestión de dispositivo: El Administrador usa IE8 en Windows 7 sí sí sí EPS: Establecer regla para detectar Windows 7 no sí sí (4Q'09) (2Q'10) (4Q'10) Cliente IPSec VPN (TGB) sí sí sí Versión IPSec : 2.4.204.61.03
81. VPN IPSec: Auto Fall Back HQ: 172.23.38.1 Fase 1: SG1:172.23.38.10 (A) SG2:172.23.38.20 (B) Gateway seguro A IP:172.23.38.10 Gateway seguro B IP:172.23.38.20 Fail Over Fall Back No Fail Over No Fall Back Fall Back Fail Over
There are 30+ new enhancements in ZLD v2.20, for example: Support EPS (End Point Security) check Windows 7 ready Support MS AD group Support capturing packet in the USG device We also improve those most-concerned issues: Routing problem, packets go to nowhere because those packets was routed by matching direct route rule, not policy route rule. Dual WAN deployment did not work well because policy route rule did not linking to the interface link up/down status. Inconveniently to deploy many 1-to-1 NAT configuration NAT Loopback design did not fit for customer’s wishes Not support Microsoft AD group
Check if IPSec VPN could work (yes) Check EPS error message could be customized. (yes)
http://www.computerworld.com/s/article/9135795/Study_Facebook_use_cuts_productivity_at_work The original motive of social websites, such as Facebook or LinkedIn, is to connect people, to share information, or to exchange experience through the website. But, the design of social websites is not secure enough, and hackers could easily stole personal information from there. For security concern, we suggest the behavior of accessing social websites should be restricted. Deploy ZyWALL USG as a gateway to block social websites. Blocking Facebook Blocking Plurk Blocking Twitter Blocking youtube Blocking myspace
Check with Lionic, and figure out what can USG do… Lionic did not feedback yet. (11/12)
Virtual Device Easy to monitor what you care (the device status) Customizable Dashboard Easy to change what you see (personalized GUI looking) Object Reference Easy to find out what you need (used objects) User Friendly Table Operation Easy to sort as your wish
Users complained about routing: Why bother to create “policy route” for the following scenarios: NAT 1:1 mapping NAT loopback LAN/WAN traffic routing Site to Site VPN When I setup a policy router rule, why it does not work? Policy route rule did not match because of lower priority than direct route Now ZLD v2.20 fix them all Support policy route auto-creation Change policy route priority higher than direct route
When deploying USG to SMB/Enterprise environment, administrators will leverage existing directory server to manage users. In ZLD current design, grouping of external users is not user-friendly – USG used a big group to represent all external users, and group members must be manually-keyed in. ZLD v2.20 support real MS/AD user group Support as many scenarios as possible. (see next page) Need as few configuration steps as possible. Support user could use at most two different identifiers to login. E.g. use “name” or “e-mail address” to login. Support AAA user setting test, MIS could verify if setting is correct.