1 / 32

Passerelle sécurisée

Ateliers techniques - Automne 2007 -. Passerelle sécurisée. Jérôme MARTINIERE Chef de Produits Lionel CARVALHO Technicien réseau. 1. Firewall. 2. VPN. 3. QoS. 4. Répartition de charge. 5. Anti-virus. 6. IDP. 7. Anti-Spam. 8. Filtrage des contenus.

jaimin
Download Presentation

Passerelle sécurisée

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Ateliers techniques - Automne 2007 - Passerelle sécurisée • Jérôme MARTINIERE • Chef de Produits • Lionel CARVALHO • Technicien réseau

  2. 1. Firewall 2. VPN 3. QoS 4. Répartition de charge 5. Anti-virus 6. IDP 7. Anti-Spam 8. Filtrage des contenus Les technologies de sécurité évoluent ZyWALL UTM Unified Threat Management ZyWALL USG Unified Security gateway IP-Based User-Aware Application Patrol IPSec VPN Hybrid VPN & Advanced (IPSec+SSL) User / Application Based IP-Based Multiple WAN Dual WAN ICSA-Certified 3000+ Signatures 2000 Signatures Certifié NSS Non Certifié Anti-Spam Anti-Spam amélioré Filtrage des contenus Fonctionnalités améliorées

  3. Evolution de la gamme ZyWALL Produits existants Nouveaux produits Enterprise 200+ users ZyWALL 1050 Mid-Large (75-200 users) ZyWALL USG 1000 (Février 2008) ZyWALL 70 UTM SMB (50-75 users) ZyWALL USG 300 (Disponible) ZyWALL 35 UTM ZyWALL SSL10 ZyWALL USG 200 (Mars 2008) SB (<50 users) ZyWALL 5 UTM ZyWALL USG 100 (Mars 2008) ZyWALL 2 Plus SOHO/Home ZyWALL 2WG ZyWALL P1

  4. Principaux avantages • Flexibilité • VPN hybride, IPSec & SSL • Configuration orientée objet • Ports versatiles • Contrôle des applications • 27+ applications IM/P2P reconnues, en mise à jour constante • Gestion de la bande passante par utilisateur / application • Performances • Moteur de scan AV « Stream-based » • Débits firewall / UTM / VPN très élevés • Coûts d’acquisition et de maintenance réduits • Garantie matérielle 5 ans • Mise à jour du microprogramme gratuite • A partir de la version ZLD 2.1, Anti Spam RBL ORDBL gratuit

  5. ZyWALL USG 300 Interfaces (7) Gigabit Ethernet : Rôle Configurable (2) USB : 2.0, évolution future Interface Dial-Backup/Dial-In Console Slots d’extension Evolutions futures Carte 3G, Wireless…

  6. ZyWALL USG 1000 Interfaces (5) Gigabit Ethernet : Rôle Configurable (2) USB : 2.0, évolution future Slots d’extension Evolutions futures Carte 3G, Wireless, disque dur… Interface Dial-Backup/Dial-In Console

  7. Fonctions ZyWALL USG

  8. Performances et Capacité

  9. Fonctions principales Gateway Anti-Virus Hybrid VPN L2TP VPN AppPatrol (IM/P2P Management) IDP/ADP Device HA Enhancement GUI Enhancement (versus ZLD 1.0x)

  10. Configuration orientée objet L’administrateur peut gérer et modifier de manière centralisée des objets dans la section dédiée Il est aussi possible de créer des objets depuis une autre section de l’interface sans retourner au menu « objects »

  11. Anti-Virus • Passerelle AV Stream-based • Powered by Kaspersky Labs • Inspection configurable par zone • Protocoles supportés • HTTP/SMTP/POP3/FTP/IMAP4 • Performances • Accélération matérielle – SecuASIC • Pas de limite de taille des fichiers ni de nombre de sessions • Support des fichiers compressés et sessions simultanées :

  12. Signatures Anti-Virus • Signatures • Développées par Kaspersky Labs • Couvrent en permanence les 3000 virus les plus actifs (Wildlist 09/07 : 2304) • Mise à jour • Fréquence moyenne de mise à jour : 3 / semaine • Visibilité • Signatures consultables par l’interface web • Description des virus sur http://www.viruslist.com

  13. Signatures consultables par l’interface web Recherche par nom, dangerosité ou ID Liens menant au descriptif sur http://www.viruslist.com/

  14. Anti-virus • BWL (Blacklist & Whitelist) • Possibilité de détecter des fichiers ou extensions de fichier définies par l’utilisateur (ex : bloquer *.mp3) • Jusqu’à 512 entrées • Action suite à une détection • Log / Alerte • Destruction du fichier infecté • Envoi d’un message Windows “netsend” (émetteur et récepteur) • Reporting • Tableau de bord : Top-5 virus & Total des virus détectés • Threat Report : Statistiques sur les détections de virus

  15. Blacklist et Whitelist Blacklist & Whitelist Peut détecter et bloquer (ou autoriser, dans la whitelist) des fichiers par nom ou extension i.e. *.mp3, *.mpeg

  16. L’accès à distance • La méthode d’accès la plus répandue est le VPN IPSec • IPSec présente des inconvénients pour l’accès à distance: • Il est obligatoire de préinstaller et de préconfigurer chaque terminal coté client (x 10, 50, 10000?) • Difficultés pour traverser certains firewall (ESP, UDP-500…) • Ces inconvénients entrainent un nombre important d’appels au support, augmentant le coût de maintenance • Les indisponibilités réduisent la productivité des utilisateurs

  17. Fenêtre de login

  18. Plusieurs niveaux d’accès Accès restreint : Accès complet : Intranet pour les employés

  19. Avantages du VPN SSL • Accès à distance «  clientless » • Pas de pré-installation d’un client logiciel • Pas de pré-configuration d’un client logiciel • Utilise un browser web classique • Application/User-Aware • Règles précises d’accès aux ressources par les utilisateurs • Déploiement facile • Téléchargement automatique des agents • Pas de blocage par les firewalls / passerelles NAT, et est donc fonctionnel dans un maximum d’environnements

  20. Network 1 Network 1 Network 1 Network 2 Network 3 Network 4 Network 3 IP Pool 3 IP Pool 1 IP Pool 4 IP Pool 2 IP Pool 1 IP Pool 3 Application 4 Application 1 Application 1 Application 2 Application 1 Application 3 Application 3 User 4 User 3 User 1 User 2 User 2 User 1 User 3 User 4 Policy 2 (Administration) Policy 1 (Commerciaux) Administration “orientée objet” Objets

  21. Mécanisme d’authentification Base d’utilisateurs locale ZyWALL OTP (One-Time Password) ZyWALL SSL VPN User Group1 User Group2 Internet Remote Users Base externe Active Directory RADIUS LDAP Serveur OTP

  22. Double sécurité grâce aux Tokens VID ******** 130201

  23. LAN messagerie supervision OA, ERP, CRM Partage de fichiers Application métier Application Web-based Authentification à deux facteurs • Nécessite un serveur d’authentification • Utilisation des tokens « OTP » (One Time Password) ZyXEL / Serveur Authenex ZyWALL OTP Télétravailleur ZyWALL OTP Internet en déplacement avec portable travail ZyWALL OTP Partenaire autorisé

  24. Authentification à deux facteurs - Starter Kit (Logiciel serveur Authenex + 2 tokens) - Kit 5 tokens • Kit 10 tokens

  25. SSL VPN vs. IPSec VPN IPsec VPN SSL-VPN

  26. VPN Hybride : SSL VPN & IPSec VPN ZyWALL USG (et le ZyWALL 1050) supportent ces deux technologies VPN simultanément

  27. Gestion IM/P2P (AppPatrol) • Contrôle granulaire des applications IM/P2P • Reconnait les applications ainsi que leurs fonctions pour des règles plus précises, ex : Connexion, Chat, transfert de fichiers, voix, vidéo • 28 applications IM/P2P reconnues, mise à jour continue (licence IDP) • Gestion de bande passante • Supporte le BWM dans chaque règle ou pour chaque groupe d’utilisateurs • Garantit ou limite la bande passante par protocole/application • Maximise l’utilisation de la bande passante en « empruntant » la bande passante non utilisée dynamiquement • Monitoring en temps réel • Indique quelle application utilise quelle connexion (« Traffic Report ») • Illustre graphiquement l’utilisation de la bande passante par application

  28. Applications IM/P2P reconnues

  29. Granularité IM/P2P

  30. Statistiques IM/P2P

  31. Haute-disponibilité La bascule du ZyWALL principal vers le ZyWALL backup se fait dès défaillance de l’appareil principal ou de l’une de ses interfaces LAN USG 300 (Maitre, Actif) WAN Switch Modem FAI 1 Switch Failover Modem Switch FAI 2 USG 300 (Backup, Passif)

  32. Questions?

More Related