คมอการใชงาน USG20-VPN/USG20W-VPN

Default Login Details

IP Address: https://192.168.1.1

User Name: admin

Password: 1234

Hardware front Panels USG20-VPN

USG20W-VPN

Default Physical Port

There are compatible 1G modules SFP-1000T

SFP-SX-D

SFP-LX-10-D

SFP-BX1310-10-D

SFP-BX1490-10-D

SFP-LHX1310-40-D

SFP-ZX-80-D

การ Login เพอตงคา ZyWALL USG Series

1. เชอมตอพอรต LAN หรอ LAN1 ของอปกรณ แลวเปดหนา Web Browser แลวเขาไปท https://192.168.1.1 จะปรากฎหนา Login

2. ใส Username และ Password เปน admin และ 1234 ตามล าดบ (คา Default) จากนนกด Login จะปรากฏหนา Installation Setup Wizard โดยใหเลอก Go to Dashboard เพอเขาสหนาการตงคาของอปกรณ

โดยหนาหลกของอปกรณจะแสดงแถบเมนดวยกน 3 สวน คอ 1. แถบเมนหลก ประกอบไปดวยเมน Dashboard, Monitor, Configuration และ Maintenance 2. หนาตางหลก จะแสดงสถานะการท างานของอปกรณรวมถงภาพจ าลองสถานะการเชอมตอของอปกรณ

3. แถบเครองมอ ประกอบไปดวย ป ม Logout, Console หรอ Help เพอแสดงรายละเอยดของเมนตางๆ

การตงคาการเชอมตออนเตอรเนต

- ไปยงแถบเมน Configuration เลอก Quick Setup จะปรกกฎการตงคา 2 รปแบบ คอ WAN Interface และ VPN Setup ใหเลอก WAN Interface *โดยตวอยาง wan1 หมายถง sfp interface

- เลอก Interface wan1 หรอ wan2 เพอเชอมตออนเตอรเนต โดยหากเชอมตอ Modem/Router ทพอรต P1

คอ wan1 หรอ พอรต P2 คอ wan2

การตงคาการเชอมตออนเตอรสามารถเชอมตอได 3 รปแบบ คอ Ethernet, PPPoE และ PPTP

1. เชอมตอแบบ Ethernet

หลงจากเลอกการเชอมตอแบบ Ethernet แลวสามารถตงคาใหรบ IP Address อตโนมต (Auto) หรอ ท าการก าหนดคา IP Address (Static) ได

- หากสามารถเชอมตอไดส าเรจจะไดรบ IP ดงรป

2. เชอมตอแบบ PPPoE

หลงจากเลอกการเชอมตอแบบ PPPoE จะปรกฎหนาการตงคาการเชอมตออนเตอรเนตโดยท าการ กรอก username และ password ทไดรบจากผใหบรการ

- หากท าการเชอมตอไดส าเรจจะไดรบ IP Adress จากผใหบรการ ดงรป

การตงคา Trunk หรอ Load Balancing

ไปทเมน Network >> Interface >> Trunk เพอท าการก าหนด Interface ตางๆ ใหเปนสมาชกของ WAN_TRUNK โดยการเลอก Edit หรอท าการ Add เขาไปใหม

เมอท าการ Edit หรอ Add มาแลวจะสามารถก าหนด Algorithm ไดวาตองการใหเปน Load Balance รปแบบใด สามารถเลอกได 3 แบบ คอ Weighted Round Robin, Least Load First หรอ Spillover และสามารถก าหนดไดวาตองการให Interface ใดบางอยบน WAN_TRUNK นบาง

แตละ Interface เลอกโหมดไดเปน Active และ Passive โหมด Active คอ Interface นนจะท างานอย สวน Passive นนคอ Interface นนจะท างานเปน Backup Interface

การตงคา Policy Route

การก าหนด Policy Route เพอสรางเสนทางของ Packet ทจะเชอมตออนเตอรเนต ไปทเมน Network >>

Routing >> Policy Route

จากรปตวอยางก าหนดวาเมอม Packet จากพอรต Interface lan 1 ทม IP เปน LAN_SUBNET จะไปทใดๆ กตาม (Destination Address – any) ใหไปออกทพอรต WAN_TRUNK เปนตน

การตงคา Port Role

เปนการก าหนดการหนาทการท างานของพอรตตางๆ ซงจากรป P3, P4 จะหนาทเปน LAN1 โดย P5 และ P6 จะท าหนาทเปน LAN2 และ DMZ ตามล าดบ

*USG310, USG1100 และ USG1900 ไมรองรบ Port Role

การตงคา Dynamic DNS

ไปทเมน Network >> DDNS เพอท าการสราง Profile โดยการ Add ขนมา โดยใส Account ของ Dynamic

DNS ลงไป จากนนจงใสชอ Domain เลอก Interface ทตองการเอาชอ Domain ไปผกไว

การตงคา NAT

ไปทเมน Network >> NAT เพอตงคาการ Forward Port หรอ Map IP ตางๆ โดยกด Add ขนมาเพอท าการก าหนด Policy

1. Port Forwarding

Incoming Interface เปน Interface ท Packet เขามา และก าหนด Original IP เปน any จากนนจงก าหนด IP

ของเครองภายในในหวขอ Mapped IP รวมถงก าหนด Port ทตองการ Forward เขามาดวย

2. Mapped IP

จะคลายกบแบบแรกแตเพมสวนของการก าหนด Original IP เขาไปวาจะท าการผก Public IP เขากบ Private IP

ใด

การตงคา IP/MAC Binding

ไปทเมน Network >> IP/MAC Binding เพอท าการผก MAC Address ของเครอง Client เขากบ IP

Address ถา MAC Address กบ IP Address ไมตรงกน กจะไมสามารถใชงานได แตจะสามารถท าการยกเวนไดในชวง IP Address ทเราท าการก าหนดลงไปวาไมตองท าการผกกบ MAC Address ในหวขอ Exempt List

การตงคา Web Authentication

ไปทเมน Network >> Web Authentication เพอตงนโยบายของการระบตวตนของผใชงาน โดยจะใชการอางองจาก Auth. Method ทสรางขน

กด Add เพอเพม Policy การตงคาระบตวตน โดยก าหนดจาก Source Address

การตงคา Policy Control

ไปทเมน Security Policy >> Policy Control ใน Next Generation USG จะมการรวมฟงกชน Firewall Rule และ การตงคาจดการ UTM เขาดวยกนโดยรปแบบการตงคา Policy control จะแบงเปน 2 สวน ดงน

Policy Control จะปนการก าหนดสทธการเขาถงโซนตางๆ ของแตละโซน หรอแตละเครอง โดยล าดบของPolicy ทสรางขนมานนจะท างานจากขอแรกไปเรอยๆ จนถงขอสดทาย

การตงคา UTM Profiles

USG20-VPN และ USG20W-VPN จะม UTM Profiles 2 ฟงกชนทรองรบ คอ Content filter และ Anti-

Spam Content Filter Profile

ไปทเมน UTM Profile >> Content Filter รปแบบ Profile ทก าหนดให User สามารถใชงานหรอไมสามารถใชงาน Website บาง Website ได จะแบงออกเปนสองสวน คอ Category Service สามารถเลอกเปนหวขอไดเลยวาตองการ Block Website ทมเนอหาในเรองใดๆ บาง อกสวนคอ Custom Service โดยตองก าหนดเองวาจะ Block

Website ใดหรอจะให Website ใดใชงานได

ส าหรบรปแบบของ Category Service สามารถตรวจสอบหมวดหมไดวาอยในกลมไหน ทหวขอ Test Web Site

Category

Anti-Spam Profile

ไปทเมน UTM Profile >> Anti-Spam เพอท าการตงคาการตรวจสอบ e-mail ตางๆ โดยตรวจสอบได 2

โปรโตคอล คอ SMTP, POP3 สามารถตรวจสอบไดทงจาก Black List & White List รวมถง DNS Black List (DNSBL)

ใน Black List & White List นนตองท าการก าหนดเอง โดยก าหนดไดเปน Subject, IP Address, E-mail Address,

Mail Header สวน DNSBL จะเปนการตรวจสอบจาก Server ภายนอก

ซงหลงจากไดท าการสราง UTM Profile เสรจเรยบรอยแลว สามารถน า Profile ตางๆ นนมาจดการใน Policy

Control ได ทเมน Security Policy >> Policy Control

การตงคา ADP

ไปทเมน Security Policy >> ADP เพอใชงาน ADP ซงจะคลายกบการท างานของ IDP เพยงแตวาจะสามารถใชไดฟรอยแลว จะเปน Signature เกาทมมานานแลวพวก Port Scan, Flood ตางๆ จะไมสามารถอพเดต Signature

ไดซงตางกบ IDP ทจะเปน Signature ใหมๆ

การตงคา VPN

1. แบบ IPSec

การตงคา IPSec VPN ไปทเมน VPN >> IPSec VPN เพอท าการก าหนด Policy ของ VPN การตงคาตางๆ นนท าตามขนตอนดงน - ไปทเมน VPN >> IPSec VPN >> VPN Gateway เพอท าการก าหนด Policy การ connect ของขา WAN

ก าหนด WAN ฝงเรา ก าหนด WAN อกฝงหนง หรอ จะก าหนดเปน Dynamic Address เพอท าเปนรปแบบ

Remote Access (Server Role)ก าหนด Pre-Shared Key และ Phase1 Algorithm ใหเหมอนกนทงสองฝง

- ไปทเมน VPN >> IPSec VPN >> VPN Connection เพอท าการก าหนด Policy การ connect ของ LAN ทงสองฝง โดยเลอก VPN Gateway ทเราสรางขนมาเมอซกครน รวมถงก าหนด Algorithm ของ Phase 2 ใหตรงกนทงสองฝง

ตวอยางการตงคาระหวาง HQ และ BR โดยใชรปแบบ Remote Access (Server Role) และ Romote

Access (Client Role)

- Remote Access (Server Role)

- Remote Access (Client Role)

- ซงหาก VPN Tunnel เชอมตอไดส าเรจจะปรากฎสญลกษณการเชอมตอดงรป

2. แบบ SSL

ไปทเมน Object >> User/Group >> User >> Add สราง User เพอทจะใชงาน SSL VPN

ไปทเมน Object >> Address/GeoIP >> Address >> Add เพอสรางกลม IP Pool ทจะใชงาน SSL VPN

ยกตวอยาง เชน ก าหนด SSL_IP_PooL ดงน

สราง Access Policy โดยไปทเมน VPN>> SSL VPN >> Access Privilege >> Add

ตงชอ SSL VPN และ ระบ User เพออนญาตใหใชงาน SSL VPN

ระบคา SSL Pool และ ก าหนด Network list เพออนญาตให SSL VPN เขาถง

ตรวจสอบการตงคาหนา Access Policy Summary

ตดตง SecuExtender_Windows 4.0.2.0 จาก ftp://ftp.zyxel.com/SecuExtender/software/

ระบคา Server หรอ wan ip address ของอปกรณ USG

ใสคา Username และ password เพอท าการ connect

การตงคา BWM

เปนการจดสรรแบนดวดทการใชงานของผใชแตละคน โดยสามารถระบการบรการไดจาก Service object ทสรางขนเอง

การก าหนด Zone

ไปทเมน Object >> Zone เปนการก าหนดโซนทอยใหกบ Interface ตางๆ ซงจะมผลในการตงคาใน Policy

Control

การตงคา User/Group

ไปทเมน Object >> User/Group เพอท าการ Add User หรอท าการรวมกลม User รวมถงการก าหนด Policy การ Logon ของ User และการ Force Authentication

1. User

ทเมน User สามารถกด Add เพอท าการ Add User ไดเลย User จะม 5 แบบ คอ admin, limited-admin,

User, guest, และ ext-User โดย admin จะมสทธในการตงคาทงหมด limited-admin มสทธแคเขามาดคา configuration ตางๆ แตไมมสทธแกไข สวนทเหลอจะเปน User ส าหรบ Logon เพอก าหนดสทธใชงานตางๆ

เมอท าการ Add ขนมาแลวกแคก าหนด Username Password แลวกเลอกประเภทของ User ทตองการ สวนทเปน Re-Authentication time จะหมายความวาถาหมดเวลาทก าหนดแลว User จะตองท าการ Logon ใหมอกครง สวนทเปน Lease Time จะคลายกน ตางกนทวาจะสามารถตอเวลาออกไปไดโดยไมตองท าการ Logon ใหม

2. Group

จะเปนการจบ User ทมอยใหมาอยเปนกลมเดยวกนเพอจะใหงายในการก าหนด Policy ตางๆของ User ทตองการใหมลกษณะการใชงานเหมอนๆ กน จากรป กรอบทางซายคอ User ทสามารถทจะก าหนดเขาไปอยใน Group ได กรอบทางดานขวาคอ User ทเปนสมาชกของ Group นอย

3. Setting

เมนนจะเปนการตงคาการ Logon ของ User ตางๆ ดงน - Miscellaneous setting เปนการเพม Lease Time อตโนมต กบตงวาถา User ไมมการใชงานนานกนาทจะ

ท าการ Logout ออกอตโนมต

- User Logon Setting ก าหนดจ านวน User ท Logon เขามาไดพรอมๆกน หวขอแรกเปนการก าหนด User

Admin อกหวขอเปนการก าหนด User อนๆ

- User Lockout Setting ก าหนดจ านวนครงท User จะพยายาม Logon ถา Logon ผดตามจ านวนทก าหนด จะโดยลอคไมใหท าการ Logon เปนจ านวนเวลาทก าหนด

การตงคา AP Profile

ในสวนของ AP Profile จะประกอบไปดวยสองสวนหลกๆ คอ

1. Radio Profile เปน Profile ทเอาไวตงคาตาง ๆ ของ AP Mode เชน ยานความถ 2.4GHz หรอ 5GHz และ

ชองสญญาณทเลอกใช (Channel ID) รวมทง SSID Profile ทจะน ามาใชงานกบ Radio Profile ซง 1 Radio

Profile สามารถก าหนดใหใชงาน SSID ไดถง 8 SSIDs (Multi SSID) ในเวลาเดยวกน

2. SSID Profile เปน Profile ทมไวส าหรบเกบคา SSID ทตองการเพอน าไปใชใน Radio Profile และยง

สามารถก าหนดคา Security ของ Wireless โดยเรยกใชงานจาก Security Profile และ MAC filter Profile

รวมทงสามารถระบ VLAN ID และ QoS ใหกบ SSID นน ๆ ไดดวย

ซงหลงจากไดท าการสราง Radio Profile เสรจเรยบรอยแลว สามารถน า Radio Profile นนมาใชงานกบ AP ท

ตองการ ทเมน Wireless >> AP Management

ภาพโครงสรางการตงคาเพอเปดใชงาน Wireless โดยใช AP Profile ในการจดการ

การตงคา Address

ไปทเมน Object >> Address ท าการก าหนด IP Address ตางๆ เปนชอทตองการ เพอน าไปใชตงคา Policy

ในหวขออนตอไป สามารถรวมหลายๆ Address Object เขาดวยกนเปนกลมเพอก าหนด Policy ไดเชนกน แตละ Object ทสรางขนมานนก าหนด IP ไดหลายแบบ เชน Host, Range, Subnet, Interface IP, Interface subnet, และ Interface gateway

การตงคา Service

ไปทเมน Object >> Service เปนการก าหนด Port ของ Service เปนชอตางๆโดยจะมเปน Default Port

ก าหนดมาบางสวนอยแลวซงเปน Port มาตรฐาน ถาม Application อนทใชงานกสามารถ Add เพมเขาไปได รวมถงสามารถรวมหลาย Service เปนกลมไดเชนเดยวกน

การตงคา Schedule

ไปทเมน Object >> Schedule ท าการก าหนดตารางเวลาเพอทจะน าไปใชกบ Policy ตางๆ สามารถก าหนดไดเปนใชงานเพยงครงเดยว (One Time) หรอวาใหมการท างานซ าๆ (Recurring)

การตงคา Auth. Method

ไปทเมน Object >> Auth. Meth เพอก าหนดวาจะใหอปกรณไปตรวจสอบ Username Password จากทใดกอนไมวาจะเปน Local, AD, LDAP, Radius

การตงคาเวลา/วนท ไปทเมน System >> Date/Time สามารถตงไดทงแบบตงคาเองหรอวา Sync กบ Time Server

การตงคาไฟล config

ไปทเมน Maintenance >> File Manager เพอท าการบนทกไฟล Configuration ตางๆ ทกครงทมการแกไขคา คาทแกไขจะถกบนทกลงไฟล “startup-config.conf” โดยอตโนมต เราสามารถบนทกไฟลนเปนไฟล Backup ของเราเองไดโดยการคลกท startup-config ใหเปนแถบสฟา จากนนกด Copy แลวเปลยนชอตามตองการ กด OK กจะปรากฎชอไฟลทเราบนทกไปขนมาอกบรรทด ถาตองการ Download เกบไวในคอมพวเตอรกคลกทไฟลทตองการ จากนนกด Download จะ Upload ไฟลจากในคอมพวเตอรก Browse ไปทไฟลทเราตองการ จากนนกกด Upload ไฟลกจะไปปรากฎในตาราง ตองการใหไฟลนนท างาน กคลกทไฟลนน แลวจงกด Run ไฟลนนกจะท างานแทนไฟล Config เดม

การตงคา Log

ไปแถบเมนหลก Monitor >> Log จะมหนาทแสดง Log สถานะของอปกรณ สวนการตงคา Log ใหไปแถบเมนหลก Configuration >> Log settings จะเปนการตงคาเพอใหอปกรณสง Log ออกไปภายนอกไดทง e-mail และ SysLog Server

การตงคา e-mail Log ใหกด Modify ทขอ 1 System Log เมอเขาไปแลวกท าการตงวาจะสงไปท e-mail ใด แลวตองการใหสงหวขอใดบาง สามารถสงไปได 2 Mail Server สวนทเปน SysLog Server ให Modify ทหวขอ Remote Server เมอเขาไปทหนาตงคาแลว กก าหนด IP ของ Server ทตองการสง Log ไปเกบ แลวเลอกหวขอทตองการ

การตงคาการใชงาน 3G

เชอมอปกรณ Aircard ผานทาง USB Port แลวไปทเมน configuration > Network > interface >

Cellular > Add แลวท าการใสคา APN และ Dial String ของผใหบรการ

เมอตงคาเสรจเรยบรอยใหท าการตรวจสอบสถานะของสญญาณ และ การเชอมตอ ดงภาพ

ตรวจสอบสถานะการเชอมตอ Monitor > Interface status

สามารถตรวจสอบ Aircard ทรองรบ (3G Card Support )ไดท www.zyxel.co.th แลวเลอกผลตภณฑท

ตองการตรวจสอบ

APPENDIX

การ Upgrade Firmware

1. ผาน Web GUI

ไปทเมน Maintenance >> File Manager >> Firmware Package เลอก system space ทจะท าการ upload

เนองจากอปกรณรองรบการท างาน Dual firmware จากนนก Browse ไฟลทตองการ (.bin) แลวกกด Upload รอจนอปกรณ Reboot จนเสรจสน

2. ผาน FTP

- เปดหนา Command Prompt แลวเขาไปยง Directory ทไฟล Firmware อย จากตวอยางจะอยท c:\

- พมพค าสง ftp <ZyWALL IP Address> จากตวอยางคอ ftp 192.168.1.1

- ใส Username Password เชนเดยวกบท Login ผานทางหนา Web GUI

- พมพค าสง bin

- พมพค าสง hash

- พมพค าสง put <ชอไฟล> ras จากตวอยางเปน put 300BDS2C0.bin ras

- เมอเสรจแลวจะปรากฎขอความดงรป รอจนอปกรณ reboot เสรจ

*ขอแนะน า* ระหวางอปกรณท าการ Reboot อยหามปด Power หรอ Reset เปนอนขาด ใหรอจน Reboot เสรจสน จะใชเวลาประมาณ 5 นาท ในการ Reboot

การใชงานรวมกบ Vantage Report

ไปทเมน Configuration >> Log Setting เพอท าการตงคาใหอปกรณท าการสง Log ไปยง SysLog Server

หรอเครองทลง Vantage Report ไวนนเอง ท Vantage Report ท าการ Register และท าการ Add Device กสามารถรบ Log จากอปกรณได

เมอตดตงโปรแกรม Vantage Report เรยบรอยแลว ใหเรยกใชงานท http://localhost:8080/vrpt จะปรากฎหนาดงรป Username และ Password จะเปน root จากนนจงท าการ Register ทเมน system setting >>

Registration โดย Account ทใชนนจะเปน Account ของ myzyxel.com จากนนก Add Device โดยคลกชวาทเมน root ทอยทางดานซายสด จะปรากฎดงภาพ คอใสชอทเราตองการ น า MAC Address ตวแรกของอปกรณมาใสโดยดไดจากหนา Status ของอปกรณ หรอใตอปกรณ แลวเลอก Type ใหตรงกบรนทใช

สดทายไปท Logs >> Log Viewer ท าการ Search เพอดวาม Log มาหรอไม เมอม Log มาแลวใหรออกซกระยะหนงกจะมกราฟปรากฎขนในหวขออนๆ ตอไป

การ Register อปกรณและ License

ไปทเมน Licensing >> Registration กด link portal.myzyxel.com เพอเขาส Web myZyXEL.com ในการลงทะเบยนอปกรณ

ท าการสมคร Account เพอเขาสระบบของ myZyXEL.com

เมอ login เขาระบบไดเรยบรอย ใหท าการลงทะเบยนอปกรณทเมน Device Registration โดยกรอกขอมล MAC Address ตวแรก และ Serial

Number ของตวอปกรณ

ลงทะเบยน Service license ทเมน Service Registration

ท าการ Activate License Service ของอปกรณทเมน Device Management จงเสรจสนขนตอนการลงทะเบยนใชงาน License Service

กลบมาทตวอปกรณ USG เพอตรวจสอบส Status ของ License วาถกตองหรอไม ทเมน Licensing >>

Registration >> Service หากยงไมถกตองใหท าการกด Service License Refresh

การ Update Signature

ไปทเมน Licensing >> Signature update เพอก าหนดชวยเวลาทตองการทจะใหอปกรณท าการ Download

Signature ใหมๆ มา หรอจะให Download ในทนทเลยกไดโดยกดท Update Now

สามารถดาวนโหลด User’s Guide ฉบบเตมไดท http://www.zyxel.co.th