Post view

ZyWALL 70 UTM防火牆的防火牆各項設定-4

ZyWALL 70 UTM的「VPN」功能可說是相當的簡單好用!只需要簡單的設定,就可以讓兩個或是多過遠端(例如美國、台灣、日本... 等)的LAN內部網路互通!

zywall70firewall070.jpg

以前ZyWALL 70曾經與中國上海工廠的LAN互相連結,現在的「insoler」已經不再需要VPN了!

zywall70firewall071.jpg

雖然兩台或是多台ZyWALL防火牆可以輕易的互通,但是能不能與其他同樣支援IPSec的防火牆互通?我沒有測試過,我也不是很清楚。

zywall70firewall072.jpg

由於「VPN」是利用「internet網際網路」把兩個遠端的網路連接起來,因此就算經過「EDS」(Data Encryption Standard) 還是「128bit」加密,駭客還是有可能破解加密方式入侵兩邊的網路!

所以一旦啟用「VPN」之後,還要加上「封包過濾條件」來管制網路埠,而不是讓兩邊的LAN完全的全通!

zywall70firewall073.jpg

目前我們已經不再使用VPN了,將來還是未知數,但應該不會再使用老舊的ZyWALL 70!

zywall70firewall074.jpg

關於IPSec的設定,可以在這裡設定大約120秒就自動中斷連接,來增加網路系統安全性。

zywall70firewall075.jpg

如果使用HTTPS安全連線的話,防火牆也可以負責管理SSL憑證的工作。但「SSL憑證」必須由全球公認的機構來配發憑證,費用並不便宜,自己在伺服器主機上隨便產生的憑證,並沒有任何的全球效力,只能作為「內部測試」使用。

zywall70firewall076.jpg

就算是合法核發的SSL憑證,過期了仍舊是無效的憑證!

zywall70firewall077.jpg

過期的SSL憑證當然也不能使用。

zywall70firewall078.jpg

zywall70firewall079.jpg

ZyWALL防火牆也能擔任簡單的認證伺服器。

zywall70firewall080.jpg

也可以連接支援RADIUS的認證伺服器主機。

zywall70firewall081.jpg

雖然ZyWALL 70 UTM也支援「Router Mode」路由器模式(或稱為「NAT模式」)與「橋接模式」兩種。但我們不使用「橋接模式」,只使用「NAT模式」。

zywall70firewall082.jpg

一般的情況都是使用「Router Mode」路由器模式的「NAT模式」並透過「DHCP伺服器」來配置IP位址給LAN端的區域電腦。但也可以關閉DHCP,也不使用NAT模式,防火牆只擔任某一個內部網路通路的過濾與檢查功能。

ZyXEL USG-50H橋接模式設定教學

在「NAT模式」還可以設定「WAN外部IP」與NAT轉換對應「DMZ內部IP」的設定。

zywall70firewall083.jpg

ZyWALL 70 UTM提供了兩種NAT,一種是直接對應IP位址,另外一種是針對某一台伺服器主機,用來轉換對應的網路埠。

zywall70firewall084.jpg

zywall70firewall085.jpg

我們並不需要「Static Route」靜態路由功能。

zywall70firewall086.jpg

不需要「Static Route」靜態路由的主要理由當然是內部電腦主機不多,伺服器網站才2台Mac mini Server,而LAN的內部Mac蘋果電腦主機,全部也只有7台而已。

zywall70firewall087.jpg

蘇言霖 2014/02/07 0 2681
Comments
Order by: 
Per page:
 
  • There are no comments yet
Rate
0 votes
Post info
蘇言霖
「超級懶貓級」社群網站站長
2014/02/07 (3703 days ago)
Actions