Exemple de configuration ZyWALL USG

Exemple de configuration ZyWALL USG
Enregistrement et mise en exploitation des fonctions UTM
Enregistrement de l’USG
Avant de pouvoir activer les différents services UTM, l’appareil doit être enregistré dans un compte
MyZyXEL. L’enregistrement peut avoir lieu directement sur l’USG ou par le biais du site web
www.myzyxel.com.
Les services UTM ne peuvent être activés qu’après l’enregistrement de l’appareil. Tous les services peuvent
être testés gratuitement pendant 30 jours avec la version Trial.
Application Patrol
Ce service vérifie le trafic de données sur le niveau application (couche OSI 7) et autorise ainsi le règlement
détaillé des accès à différents programmes (P2P, Messenger, Streaming-Clients etc.).
Studerus AG, Ringstr. 1, 8603 Schwerzenbach, www.studerus.ch
August 2008 / ERE / Page 1 de 9
Exemple de configuration ZyWALL USG
IDP/AppPatrol doit être activé pour l’utilisation et le service de mise à jour des signatures (Trial).
Dans le registre Instand Messenger vous pouvez éditer les paramétrages pour MSN-Messenger.
Le symbole [+] ajoute une nouvelle règle.
Studerus AG, Ringstr. 1, 8603 Schwerzenbach, www.studerus.ch
August 2008 / ERE / Page 2 de 9
Exemple de configuration ZyWALL USG
Dans Action Block, vous déterminez quels services sont autorisés ou limités. Ainsi, vous pouvez autoriser
l’enregistrement et le chat sur MSN mais bloquer le transfert de fichiers.
Anti-Virus
La solution anti-virus de l’USG vérifie toutes les transmissions de données HTTP, FTP, SMTP, POP3 et
IMAP4 sur la présence de virus. Un code malicieux est reconnu et filtré dans le flux de données,
respectivement remplacé par des valeurs nulles.
L’un des gros avantages de la vérification de virus sur le ZyWALL USG réside dans le fait qu’un virus est
rendu inoffensif avant même qu’il puisse atteindre le réseau. Toutefois, avec ce système, seules les
données qui sont transmises par le firewall peuvent être vérifiées. Les virus qui infectent le réseau par le
biais d’une clé USB ou d’un CD, d’un DVD, ne sont pas reconnus.
Comme dans un e-mail le code maléfique d’une pièce jointe est remplacé par des valeurs nulles, la pièce
jointe est inoffensive, mais toujours présente. Un anti-virus activé sur un poste client peut encore afficher
une alarme en fonction du nom du fichier.
Studerus AG, Ringstr. 1, 8603 Schwerzenbach, www.studerus.ch
August 2008 / ERE / Page 3 de 9
Exemple de configuration ZyWALL USG
Les firewalls USG supportent les signatures anti-virus soit de Kaspersky, soit de ZyXEL. Le nombre maximal
de signatures enregistrables est limité. On peut enregistrer jusqu’à 3 200 signatures avec Kaspersky et
8 500 avec ZyXEL. Plus tard, on pourra enregistrer jusqu’à 15 000 signatures ZyXEL. Pendant la période
d’essai, vous pouvez tester les deux solutions.
Pour les tests, vous pouvez télécharger sur www.eicar.org dans la rubrique Anti-Malware-Test, en
différentes versions (par ex. texte, fichier ou fichier compressé), le pattern de l’EICAR (European Expert
Group for IT-Security).
Studerus AG, Ringstr. 1, 8603 Schwerzenbach, www.studerus.ch
August 2008 / ERE / Page 4 de 9
Exemple de configuration ZyWALL USG
Intrusion et Anomaly Detection and Prevention
A l’inverse d’un firewall, l’IDP vérifie aussi le contenu (Payload) d’un paquet de données à transmettre. Les
paquets qui tentent de viser à exploiter les failles (Exploit) de services réseau sont bloqués. Pour
reconnaître les nouvelles méthodes d’attaques, l’USG dispose de signatures qui sont renouvelées
régulièrement par le biais du service d’actualisation auquel vous devez vous abonner.
L’ADP reconnait les types de transferts de fichiers singuliers (anomalies de trafic ou de protocole) tels que
les portscans et les tentatives de flooding. Le service ADP n’a pas besoin d’abonnement pour être utilisé.
Studerus AG, Ringstr. 1, 8603 Schwerzenbach, www.studerus.ch
August 2008 / ERE / Page 5 de 9
Exemple de configuration ZyWALL USG
Content Filter
Le filtrage de contenu permet de limiter ou d’autoriser les accès à des sites web selon divers critères
(érotique, sport, violence, religion...). Pour cela, le service accède aux bases de données externes de Blue
Coat.
Pour pouvoir utiliser ce service, vous devez vous abonner.
Créer un nouveau profil de filtre :
Studerus AG, Ringstr. 1, 8603 Schwerzenbach, www.studerus.ch
August 2008 / ERE / Page 6 de 9
Exemple de configuration ZyWALL USG
Choisissez dans la liste prédéfinie les contenus que vous souhaitez bloquer. Ou bien créez vous-même une
règle définie dans « Custom Service ».
Anti-Spam
Le service anti-spam n’a pas besoin de licence. Par le biais d’une DNSBL (Domain Name Server Black List),
l’USG vérifie si le domaine expéditeur d’un e-mail se situe sur une black-list d’expéditeurs connus de
spams. De nombreux registres de serveurs DNSBL sont disponibles sur Internet.
Créer une nouvelle règle :
Studerus AG, Ringstr. 1, 8603 Schwerzenbach, www.studerus.ch
August 2008 / ERE / Page 7 de 9
Exemple de configuration ZyWALL USG
Dans les paramètres standards, le Log est activé, les e-mails entrants et sortants sont vérifiés. Les e-mails
doivent passer la white/black list de même que tous les serveurs DNS Black List enregistrés.
Dans la rubrique DNSBL, les URLS DNSBL sont saisies. Plus vous saisissez d’URLs de différents fournisseurs,
plus vous êtes protégé contre les spams.
Studerus AG, Ringstr. 1, 8603 Schwerzenbach, www.studerus.ch
August 2008 / ERE / Page 8 de 9
Exemple de configuration ZyWALL USG
Black List et White List
Vous pouvez en plus tenir des black lists et des white lists. Les adresses figurant sur la black list sont
toujours bloquées, indépendamment d’un résultat de DNSBL, les adresses figurant sur la white list ne sont
jamais bloquées.
Saisissez les critères selon lesquels l’e-mail doit être bloqué ou autorisé.
Mises à jour automatiques
Dans le menu Licencing > Update, vous pouvez actualiser les différentes signatures pour anti-virus,
IDP/AppPatrol et ADP selon un planning défini.
Studerus AG, Ringstr. 1, 8603 Schwerzenbach, www.studerus.ch
August 2008 / ERE / Page 9 de 9