Upload
others
View
3
Download
0
Embed Size (px)
Citation preview
คมอการใชงาน USG20-VPN/USG20W-VPN
Default Login Details
IP Address: https://192.168.1.1
User Name: admin
Password: 1234
Hardware front Panels USG20-VPN
USG20W-VPN
Default Physical Port
There are compatible 1G modules SFP-1000T
SFP-SX-D
SFP-LX-10-D
SFP-BX1310-10-D
SFP-BX1490-10-D
SFP-LHX1310-40-D
SFP-ZX-80-D
การ Login เพอตงคา ZyWALL USG Series
1. เชอมตอพอรต LAN หรอ LAN1 ของอปกรณ แลวเปดหนา Web Browser แลวเขาไปท https://192.168.1.1 จะปรากฎหนา Login
2. ใส Username และ Password เปน admin และ 1234 ตามล าดบ (คา Default) จากนนกด Login จะปรากฏหนา Installation Setup Wizard โดยใหเลอก Go to Dashboard เพอเขาสหนาการตงคาของอปกรณ
โดยหนาหลกของอปกรณจะแสดงแถบเมนดวยกน 3 สวน คอ 1. แถบเมนหลก ประกอบไปดวยเมน Dashboard, Monitor, Configuration และ Maintenance 2. หนาตางหลก จะแสดงสถานะการท างานของอปกรณรวมถงภาพจ าลองสถานะการเชอมตอของอปกรณ
3. แถบเครองมอ ประกอบไปดวย ป ม Logout, Console หรอ Help เพอแสดงรายละเอยดของเมนตางๆ
การตงคาการเชอมตออนเตอรเนต
- ไปยงแถบเมน Configuration เลอก Quick Setup จะปรกกฎการตงคา 2 รปแบบ คอ WAN Interface และ VPN Setup ใหเลอก WAN Interface *โดยตวอยาง wan1 หมายถง sfp interface
- เลอก Interface wan1 หรอ wan2 เพอเชอมตออนเตอรเนต โดยหากเชอมตอ Modem/Router ทพอรต P1
คอ wan1 หรอ พอรต P2 คอ wan2
การตงคาการเชอมตออนเตอรสามารถเชอมตอได 3 รปแบบ คอ Ethernet, PPPoE และ PPTP
1. เชอมตอแบบ Ethernet
หลงจากเลอกการเชอมตอแบบ Ethernet แลวสามารถตงคาใหรบ IP Address อตโนมต (Auto) หรอ ท าการก าหนดคา IP Address (Static) ได
- หากสามารถเชอมตอไดส าเรจจะไดรบ IP ดงรป
2. เชอมตอแบบ PPPoE
หลงจากเลอกการเชอมตอแบบ PPPoE จะปรกฎหนาการตงคาการเชอมตออนเตอรเนตโดยท าการ กรอก username และ password ทไดรบจากผใหบรการ
- หากท าการเชอมตอไดส าเรจจะไดรบ IP Adress จากผใหบรการ ดงรป
การตงคา Trunk หรอ Load Balancing
ไปทเมน Network >> Interface >> Trunk เพอท าการก าหนด Interface ตางๆ ใหเปนสมาชกของ WAN_TRUNK โดยการเลอก Edit หรอท าการ Add เขาไปใหม
เมอท าการ Edit หรอ Add มาแลวจะสามารถก าหนด Algorithm ไดวาตองการใหเปน Load Balance รปแบบใด สามารถเลอกได 3 แบบ คอ Weighted Round Robin, Least Load First หรอ Spillover และสามารถก าหนดไดวาตองการให Interface ใดบางอยบน WAN_TRUNK นบาง
แตละ Interface เลอกโหมดไดเปน Active และ Passive โหมด Active คอ Interface นนจะท างานอย สวน Passive นนคอ Interface นนจะท างานเปน Backup Interface
การตงคา Policy Route
การก าหนด Policy Route เพอสรางเสนทางของ Packet ทจะเชอมตออนเตอรเนต ไปทเมน Network >>
Routing >> Policy Route
จากรปตวอยางก าหนดวาเมอม Packet จากพอรต Interface lan 1 ทม IP เปน LAN_SUBNET จะไปทใดๆ กตาม (Destination Address – any) ใหไปออกทพอรต WAN_TRUNK เปนตน
การตงคา Port Role
เปนการก าหนดการหนาทการท างานของพอรตตางๆ ซงจากรป P3, P4 จะหนาทเปน LAN1 โดย P5 และ P6 จะท าหนาทเปน LAN2 และ DMZ ตามล าดบ
*USG310, USG1100 และ USG1900 ไมรองรบ Port Role
การตงคา Dynamic DNS
ไปทเมน Network >> DDNS เพอท าการสราง Profile โดยการ Add ขนมา โดยใส Account ของ Dynamic
DNS ลงไป จากนนจงใสชอ Domain เลอก Interface ทตองการเอาชอ Domain ไปผกไว
การตงคา NAT
ไปทเมน Network >> NAT เพอตงคาการ Forward Port หรอ Map IP ตางๆ โดยกด Add ขนมาเพอท าการก าหนด Policy
1. Port Forwarding
Incoming Interface เปน Interface ท Packet เขามา และก าหนด Original IP เปน any จากนนจงก าหนด IP
ของเครองภายในในหวขอ Mapped IP รวมถงก าหนด Port ทตองการ Forward เขามาดวย
2. Mapped IP
จะคลายกบแบบแรกแตเพมสวนของการก าหนด Original IP เขาไปวาจะท าการผก Public IP เขากบ Private IP
ใด
การตงคา IP/MAC Binding
ไปทเมน Network >> IP/MAC Binding เพอท าการผก MAC Address ของเครอง Client เขากบ IP
Address ถา MAC Address กบ IP Address ไมตรงกน กจะไมสามารถใชงานได แตจะสามารถท าการยกเวนไดในชวง IP Address ทเราท าการก าหนดลงไปวาไมตองท าการผกกบ MAC Address ในหวขอ Exempt List
การตงคา Web Authentication
ไปทเมน Network >> Web Authentication เพอตงนโยบายของการระบตวตนของผใชงาน โดยจะใชการอางองจาก Auth. Method ทสรางขน
กด Add เพอเพม Policy การตงคาระบตวตน โดยก าหนดจาก Source Address
การตงคา Policy Control
ไปทเมน Security Policy >> Policy Control ใน Next Generation USG จะมการรวมฟงกชน Firewall Rule และ การตงคาจดการ UTM เขาดวยกนโดยรปแบบการตงคา Policy control จะแบงเปน 2 สวน ดงน
Policy Control จะปนการก าหนดสทธการเขาถงโซนตางๆ ของแตละโซน หรอแตละเครอง โดยล าดบของPolicy ทสรางขนมานนจะท างานจากขอแรกไปเรอยๆ จนถงขอสดทาย
การตงคา UTM Profiles
USG20-VPN และ USG20W-VPN จะม UTM Profiles 2 ฟงกชนทรองรบ คอ Content filter และ Anti-
Spam Content Filter Profile
ไปทเมน UTM Profile >> Content Filter รปแบบ Profile ทก าหนดให User สามารถใชงานหรอไมสามารถใชงาน Website บาง Website ได จะแบงออกเปนสองสวน คอ Category Service สามารถเลอกเปนหวขอไดเลยวาตองการ Block Website ทมเนอหาในเรองใดๆ บาง อกสวนคอ Custom Service โดยตองก าหนดเองวาจะ Block
Website ใดหรอจะให Website ใดใชงานได
ส าหรบรปแบบของ Category Service สามารถตรวจสอบหมวดหมไดวาอยในกลมไหน ทหวขอ Test Web Site
Category
Anti-Spam Profile
ไปทเมน UTM Profile >> Anti-Spam เพอท าการตงคาการตรวจสอบ e-mail ตางๆ โดยตรวจสอบได 2
โปรโตคอล คอ SMTP, POP3 สามารถตรวจสอบไดทงจาก Black List & White List รวมถง DNS Black List (DNSBL)
ใน Black List & White List นนตองท าการก าหนดเอง โดยก าหนดไดเปน Subject, IP Address, E-mail Address,
Mail Header สวน DNSBL จะเปนการตรวจสอบจาก Server ภายนอก
ซงหลงจากไดท าการสราง UTM Profile เสรจเรยบรอยแลว สามารถน า Profile ตางๆ นนมาจดการใน Policy
Control ได ทเมน Security Policy >> Policy Control
การตงคา ADP
ไปทเมน Security Policy >> ADP เพอใชงาน ADP ซงจะคลายกบการท างานของ IDP เพยงแตวาจะสามารถใชไดฟรอยแลว จะเปน Signature เกาทมมานานแลวพวก Port Scan, Flood ตางๆ จะไมสามารถอพเดต Signature
ไดซงตางกบ IDP ทจะเปน Signature ใหมๆ
การตงคา VPN
1. แบบ IPSec
การตงคา IPSec VPN ไปทเมน VPN >> IPSec VPN เพอท าการก าหนด Policy ของ VPN การตงคาตางๆ นนท าตามขนตอนดงน - ไปทเมน VPN >> IPSec VPN >> VPN Gateway เพอท าการก าหนด Policy การ connect ของขา WAN
ก าหนด WAN ฝงเรา ก าหนด WAN อกฝงหนง หรอ จะก าหนดเปน Dynamic Address เพอท าเปนรปแบบ
Remote Access (Server Role)ก าหนด Pre-Shared Key และ Phase1 Algorithm ใหเหมอนกนทงสองฝง
- ไปทเมน VPN >> IPSec VPN >> VPN Connection เพอท าการก าหนด Policy การ connect ของ LAN ทงสองฝง โดยเลอก VPN Gateway ทเราสรางขนมาเมอซกครน รวมถงก าหนด Algorithm ของ Phase 2 ใหตรงกนทงสองฝง
ตวอยางการตงคาระหวาง HQ และ BR โดยใชรปแบบ Remote Access (Server Role) และ Romote
Access (Client Role)
- Remote Access (Server Role)
- Remote Access (Client Role)
- ซงหาก VPN Tunnel เชอมตอไดส าเรจจะปรากฎสญลกษณการเชอมตอดงรป
2. แบบ SSL
ไปทเมน Object >> User/Group >> User >> Add สราง User เพอทจะใชงาน SSL VPN
ไปทเมน Object >> Address/GeoIP >> Address >> Add เพอสรางกลม IP Pool ทจะใชงาน SSL VPN
ยกตวอยาง เชน ก าหนด SSL_IP_PooL ดงน
สราง Access Policy โดยไปทเมน VPN>> SSL VPN >> Access Privilege >> Add
ตงชอ SSL VPN และ ระบ User เพออนญาตใหใชงาน SSL VPN
ระบคา SSL Pool และ ก าหนด Network list เพออนญาตให SSL VPN เขาถง
ตรวจสอบการตงคาหนา Access Policy Summary
ตดตง SecuExtender_Windows 4.0.2.0 จาก ftp://ftp.zyxel.com/SecuExtender/software/
ระบคา Server หรอ wan ip address ของอปกรณ USG
ใสคา Username และ password เพอท าการ connect
การตงคา BWM
เปนการจดสรรแบนดวดทการใชงานของผใชแตละคน โดยสามารถระบการบรการไดจาก Service object ทสรางขนเอง
การก าหนด Zone
ไปทเมน Object >> Zone เปนการก าหนดโซนทอยใหกบ Interface ตางๆ ซงจะมผลในการตงคาใน Policy
Control
การตงคา User/Group
ไปทเมน Object >> User/Group เพอท าการ Add User หรอท าการรวมกลม User รวมถงการก าหนด Policy การ Logon ของ User และการ Force Authentication
1. User
ทเมน User สามารถกด Add เพอท าการ Add User ไดเลย User จะม 5 แบบ คอ admin, limited-admin,
User, guest, และ ext-User โดย admin จะมสทธในการตงคาทงหมด limited-admin มสทธแคเขามาดคา configuration ตางๆ แตไมมสทธแกไข สวนทเหลอจะเปน User ส าหรบ Logon เพอก าหนดสทธใชงานตางๆ
เมอท าการ Add ขนมาแลวกแคก าหนด Username Password แลวกเลอกประเภทของ User ทตองการ สวนทเปน Re-Authentication time จะหมายความวาถาหมดเวลาทก าหนดแลว User จะตองท าการ Logon ใหมอกครง สวนทเปน Lease Time จะคลายกน ตางกนทวาจะสามารถตอเวลาออกไปไดโดยไมตองท าการ Logon ใหม
2. Group
จะเปนการจบ User ทมอยใหมาอยเปนกลมเดยวกนเพอจะใหงายในการก าหนด Policy ตางๆของ User ทตองการใหมลกษณะการใชงานเหมอนๆ กน จากรป กรอบทางซายคอ User ทสามารถทจะก าหนดเขาไปอยใน Group ได กรอบทางดานขวาคอ User ทเปนสมาชกของ Group นอย
3. Setting
เมนนจะเปนการตงคาการ Logon ของ User ตางๆ ดงน - Miscellaneous setting เปนการเพม Lease Time อตโนมต กบตงวาถา User ไมมการใชงานนานกนาทจะ
ท าการ Logout ออกอตโนมต
- User Logon Setting ก าหนดจ านวน User ท Logon เขามาไดพรอมๆกน หวขอแรกเปนการก าหนด User
Admin อกหวขอเปนการก าหนด User อนๆ
- User Lockout Setting ก าหนดจ านวนครงท User จะพยายาม Logon ถา Logon ผดตามจ านวนทก าหนด จะโดยลอคไมใหท าการ Logon เปนจ านวนเวลาทก าหนด
การตงคา AP Profile
ในสวนของ AP Profile จะประกอบไปดวยสองสวนหลกๆ คอ
1. Radio Profile เปน Profile ทเอาไวตงคาตาง ๆ ของ AP Mode เชน ยานความถ 2.4GHz หรอ 5GHz และ
ชองสญญาณทเลอกใช (Channel ID) รวมทง SSID Profile ทจะน ามาใชงานกบ Radio Profile ซง 1 Radio
Profile สามารถก าหนดใหใชงาน SSID ไดถง 8 SSIDs (Multi SSID) ในเวลาเดยวกน
2. SSID Profile เปน Profile ทมไวส าหรบเกบคา SSID ทตองการเพอน าไปใชใน Radio Profile และยง
สามารถก าหนดคา Security ของ Wireless โดยเรยกใชงานจาก Security Profile และ MAC filter Profile
รวมทงสามารถระบ VLAN ID และ QoS ใหกบ SSID นน ๆ ไดดวย
ซงหลงจากไดท าการสราง Radio Profile เสรจเรยบรอยแลว สามารถน า Radio Profile นนมาใชงานกบ AP ท
ตองการ ทเมน Wireless >> AP Management
ภาพโครงสรางการตงคาเพอเปดใชงาน Wireless โดยใช AP Profile ในการจดการ
การตงคา Address
ไปทเมน Object >> Address ท าการก าหนด IP Address ตางๆ เปนชอทตองการ เพอน าไปใชตงคา Policy
ในหวขออนตอไป สามารถรวมหลายๆ Address Object เขาดวยกนเปนกลมเพอก าหนด Policy ไดเชนกน แตละ Object ทสรางขนมานนก าหนด IP ไดหลายแบบ เชน Host, Range, Subnet, Interface IP, Interface subnet, และ Interface gateway
การตงคา Service
ไปทเมน Object >> Service เปนการก าหนด Port ของ Service เปนชอตางๆโดยจะมเปน Default Port
ก าหนดมาบางสวนอยแลวซงเปน Port มาตรฐาน ถาม Application อนทใชงานกสามารถ Add เพมเขาไปได รวมถงสามารถรวมหลาย Service เปนกลมไดเชนเดยวกน
การตงคา Schedule
ไปทเมน Object >> Schedule ท าการก าหนดตารางเวลาเพอทจะน าไปใชกบ Policy ตางๆ สามารถก าหนดไดเปนใชงานเพยงครงเดยว (One Time) หรอวาใหมการท างานซ าๆ (Recurring)
การตงคา Auth. Method
ไปทเมน Object >> Auth. Meth เพอก าหนดวาจะใหอปกรณไปตรวจสอบ Username Password จากทใดกอนไมวาจะเปน Local, AD, LDAP, Radius
การตงคาเวลา/วนท ไปทเมน System >> Date/Time สามารถตงไดทงแบบตงคาเองหรอวา Sync กบ Time Server
การตงคาไฟล config
ไปทเมน Maintenance >> File Manager เพอท าการบนทกไฟล Configuration ตางๆ ทกครงทมการแกไขคา คาทแกไขจะถกบนทกลงไฟล “startup-config.conf” โดยอตโนมต เราสามารถบนทกไฟลนเปนไฟล Backup ของเราเองไดโดยการคลกท startup-config ใหเปนแถบสฟา จากนนกด Copy แลวเปลยนชอตามตองการ กด OK กจะปรากฎชอไฟลทเราบนทกไปขนมาอกบรรทด ถาตองการ Download เกบไวในคอมพวเตอรกคลกทไฟลทตองการ จากนนกด Download จะ Upload ไฟลจากในคอมพวเตอรก Browse ไปทไฟลทเราตองการ จากนนกกด Upload ไฟลกจะไปปรากฎในตาราง ตองการใหไฟลนนท างาน กคลกทไฟลนน แลวจงกด Run ไฟลนนกจะท างานแทนไฟล Config เดม
การตงคา Log
ไปแถบเมนหลก Monitor >> Log จะมหนาทแสดง Log สถานะของอปกรณ สวนการตงคา Log ใหไปแถบเมนหลก Configuration >> Log settings จะเปนการตงคาเพอใหอปกรณสง Log ออกไปภายนอกไดทง e-mail และ SysLog Server
การตงคา e-mail Log ใหกด Modify ทขอ 1 System Log เมอเขาไปแลวกท าการตงวาจะสงไปท e-mail ใด แลวตองการใหสงหวขอใดบาง สามารถสงไปได 2 Mail Server สวนทเปน SysLog Server ให Modify ทหวขอ Remote Server เมอเขาไปทหนาตงคาแลว กก าหนด IP ของ Server ทตองการสง Log ไปเกบ แลวเลอกหวขอทตองการ
การตงคาการใชงาน 3G
เชอมอปกรณ Aircard ผานทาง USB Port แลวไปทเมน configuration > Network > interface >
Cellular > Add แลวท าการใสคา APN และ Dial String ของผใหบรการ
เมอตงคาเสรจเรยบรอยใหท าการตรวจสอบสถานะของสญญาณ และ การเชอมตอ ดงภาพ
ตรวจสอบสถานะการเชอมตอ Monitor > Interface status
สามารถตรวจสอบ Aircard ทรองรบ (3G Card Support )ไดท www.zyxel.co.th แลวเลอกผลตภณฑท
ตองการตรวจสอบ
APPENDIX
การ Upgrade Firmware
1. ผาน Web GUI
ไปทเมน Maintenance >> File Manager >> Firmware Package เลอก system space ทจะท าการ upload
เนองจากอปกรณรองรบการท างาน Dual firmware จากนนก Browse ไฟลทตองการ (.bin) แลวกกด Upload รอจนอปกรณ Reboot จนเสรจสน
2. ผาน FTP
- เปดหนา Command Prompt แลวเขาไปยง Directory ทไฟล Firmware อย จากตวอยางจะอยท c:\
- พมพค าสง ftp <ZyWALL IP Address> จากตวอยางคอ ftp 192.168.1.1
- ใส Username Password เชนเดยวกบท Login ผานทางหนา Web GUI
- พมพค าสง bin
- พมพค าสง hash
- พมพค าสง put <ชอไฟล> ras จากตวอยางเปน put 300BDS2C0.bin ras
- เมอเสรจแลวจะปรากฎขอความดงรป รอจนอปกรณ reboot เสรจ
*ขอแนะน า* ระหวางอปกรณท าการ Reboot อยหามปด Power หรอ Reset เปนอนขาด ใหรอจน Reboot เสรจสน จะใชเวลาประมาณ 5 นาท ในการ Reboot
การใชงานรวมกบ Vantage Report
ไปทเมน Configuration >> Log Setting เพอท าการตงคาใหอปกรณท าการสง Log ไปยง SysLog Server
หรอเครองทลง Vantage Report ไวนนเอง ท Vantage Report ท าการ Register และท าการ Add Device กสามารถรบ Log จากอปกรณได
เมอตดตงโปรแกรม Vantage Report เรยบรอยแลว ใหเรยกใชงานท http://localhost:8080/vrpt จะปรากฎหนาดงรป Username และ Password จะเปน root จากนนจงท าการ Register ทเมน system setting >>
Registration โดย Account ทใชนนจะเปน Account ของ myzyxel.com จากนนก Add Device โดยคลกชวาทเมน root ทอยทางดานซายสด จะปรากฎดงภาพ คอใสชอทเราตองการ น า MAC Address ตวแรกของอปกรณมาใสโดยดไดจากหนา Status ของอปกรณ หรอใตอปกรณ แลวเลอก Type ใหตรงกบรนทใช
สดทายไปท Logs >> Log Viewer ท าการ Search เพอดวาม Log มาหรอไม เมอม Log มาแลวใหรออกซกระยะหนงกจะมกราฟปรากฎขนในหวขออนๆ ตอไป
การ Register อปกรณและ License
ไปทเมน Licensing >> Registration กด link portal.myzyxel.com เพอเขาส Web myZyXEL.com ในการลงทะเบยนอปกรณ
ท าการสมคร Account เพอเขาสระบบของ myZyXEL.com
เมอ login เขาระบบไดเรยบรอย ใหท าการลงทะเบยนอปกรณทเมน Device Registration โดยกรอกขอมล MAC Address ตวแรก และ Serial
Number ของตวอปกรณ
ลงทะเบยน Service license ทเมน Service Registration
ท าการ Activate License Service ของอปกรณทเมน Device Management จงเสรจสนขนตอนการลงทะเบยนใชงาน License Service
กลบมาทตวอปกรณ USG เพอตรวจสอบส Status ของ License วาถกตองหรอไม ทเมน Licensing >>
Registration >> Service หากยงไมถกตองใหท าการกด Service License Refresh
การ Update Signature
ไปทเมน Licensing >> Signature update เพอก าหนดชวยเวลาทตองการทจะใหอปกรณท าการ Download
Signature ใหมๆ มา หรอจะให Download ในทนทเลยกไดโดยกดท Update Now
สามารถดาวนโหลด User’s Guide ฉบบเตมไดท http://www.zyxel.co.th