ZyWALL 70 UTM的「VPN」功能可說是相當的簡單好用!只需要簡單的設定,就可以讓兩個或是多過遠端(例如美國、台灣、日本... 等)的LAN內部網路互通!
以前ZyWALL 70曾經與中國上海工廠的LAN互相連結,現在的「insoler」已經不再需要VPN了!
雖然兩台或是多台ZyWALL防火牆可以輕易的互通,但是能不能與其他同樣支援IPSec的防火牆互通?我沒有測試過,我也不是很清楚。
由於「VPN」是利用「internet網際網路」把兩個遠端的網路連接起來,因此就算經過「EDS」(Data Encryption Standard) 還是「128bit」加密,駭客還是有可能破解加密方式入侵兩邊的網路!
所以一旦啟用「VPN」之後,還要加上「封包過濾條件」來管制網路埠,而不是讓兩邊的LAN完全的全通!
目前我們已經不再使用VPN了,將來還是未知數,但應該不會再使用老舊的ZyWALL 70!
關於IPSec的設定,可以在這裡設定大約120秒就自動中斷連接,來增加網路系統安全性。
如果使用HTTPS安全連線的話,防火牆也可以負責管理SSL憑證的工作。但「SSL憑證」必須由全球公認的機構來配發憑證,費用並不便宜,自己在伺服器主機上隨便產生的憑證,並沒有任何的全球效力,只能作為「內部測試」使用。
就算是合法核發的SSL憑證,過期了仍舊是無效的憑證!
過期的SSL憑證當然也不能使用。
ZyWALL防火牆也能擔任簡單的認證伺服器。
也可以連接支援RADIUS的認證伺服器主機。
雖然ZyWALL 70 UTM也支援「Router Mode」路由器模式(或稱為「NAT模式」)與「橋接模式」兩種。但我們不使用「橋接模式」,只使用「NAT模式」。
一般的情況都是使用「Router Mode」路由器模式的「NAT模式」並透過「DHCP伺服器」來配置IP位址給LAN端的區域電腦。但也可以關閉DHCP,也不使用NAT模式,防火牆只擔任某一個內部網路通路的過濾與檢查功能。
在「NAT模式」還可以設定「WAN外部IP」與NAT轉換對應「DMZ內部IP」的設定。
ZyWALL 70 UTM提供了兩種NAT,一種是直接對應IP位址,另外一種是針對某一台伺服器主機,用來轉換對應的網路埠。
我們並不需要「Static Route」靜態路由功能。
不需要「Static Route」靜態路由的主要理由當然是內部電腦主機不多,伺服器網站才2台Mac mini Server,而LAN的內部Mac蘋果電腦主機,全部也只有7台而已。