Spam - ZyXEL

Mehrstufi ge Sicherheit
durch Teamwork
UTM Unifi ed-Threat-Management
Kampf gegen Würmer, Trojaner, Viren
und Spam
Warum setzt sich UTM durch?
Funktionen der UTM-Firewalls von ZyXEL
Praktische Einsatzbeispiele für KMU
Zentrales Management von Firewalls

Die neue UTM-Firewall
Heute gilt der Sicherheitsfokus nicht mehr alleine den
Firmendaten, sondern dem gesamten Firmennetzwerk.
Die Netzwerkkomponenten sind deshalb zusätzlichen
Anforderungen ausgesetzt: Datenpakete sollen neben
einer Prüfung der Zugangsberechtigung auch nach
Viren, bestimmten Attacken-Mustern und schädlichen
Codes untersucht werden. Auch Spam-E-Mails soll eine
Firewall ausfi ltern können. Bestehende Stateful-Inspection-Firewalls
werden den neuen Gefahren nicht mehr
gerecht. «Vereint gegen die Schädlinge» heisst das
Motto der neuen Firewall-Generation – oder im Fachjargon:
UTM = Unifi ed-Threat-Management.
ANTI-SPAM
INTRUSION-PREVENTION
ANTI-VIRUS
WEB-CONTENT-FILTERING
BANDBREITEN-MANAGEMENT
LOAD-BALANCING
VPN
FIREWALL
All-in-One-Sicherheitslösungen
02
UTM löst bestehende Sicherheitslösungen ab
Virenschutz, Intrusion-Detection-Prevention, Anti-Spam
und Content-Filter bilden mit der Firewall ein vereintes
Sicherheitsteam gegen Gefahren. In einer Hardware
aufeinander abgestimmt (All-in-One) bilden sie bereits
am Gateway eine widerstandsfähige Schranke gegen
verschiedenste Angriffe. Wie beim Sport braucht es
auch für den Netzwerkschutz mehrere Stufen für die
Abwehr des Gegners resp. der Gefahr.
Gründe für All-in-One
Im KMU-Markt sind All-in-One-Lösungen der Trend.
Höhere Kosten und der schwierige Unterhalt von verschiedenen
Produkten führen dazu, möglichst viele
Sicherheitsaufgaben mit einer Hardware wahrzunehmen.
ZyXEL UTM-FIREWALL

Gefahren in aktiven Inhalten
Oft nutzen Angreifer Active-Content-Elemente. Viele
wichtige Unternehmensanwendungen verwenden ebenfalls
diese Technik. Solche Applets und ausführbare Dateien
können somit nicht einfach blockiert werden. Wie
kann nun der IT-Verantwortliche im aktiven Code Eindringlinge
nach «gut» und «böse» unterscheiden?
Schwierige Erkennung
Die Machenschaften von aktivem Code sind für den Anwender
meist unsichtbar. Der Code wird automatisch
auf den Rechner geladen, sobald ein Mail empfangen,
eine Website aufgerufen oder ein Instant-Messaging-
Dienst verwendet wird. Websites können eine ganze
Reihe aktiver Inhalte aufweisen wie ActiveX, Java- oder
Visual-Basic-Scripts. Diese Programmteile eignen sich
für feindliche Aktionen genauso gut wie für die Programmierung
von «harmlosen» Websites und Anwendungen.
Gefahren durch Peer-to-Peer (P2P)
Sicherheitsspezialisten warnen vor Gefahren aus Peerto-Peer-Filesharings
und Instant-Messaging in Unternehmen.
Beispiele von P2P-Applikationen sind Kazaa,
eDonkey, Skype, etc. Diese Anwendungen suchen sich
automatisch offene Ports oder kommunizieren über HTTP.
So erreichen Viren, Würmer und schadhafte Programme
unkontrolliert das Firmennetzwerk. Exzessives Filesharing
führt oftmals auch zu Bandbreiten-Problemen. Intrusion-
Grosse Sicherheitsrisiken
Detection-Prevention-Systeme sind die einzige Lösung,
um P2P-Verbindungen zu blockieren.
Firmen-Mailserver als Spam-Schleuder
Nicht selten werden Firmen-Netzwerke missbraucht:
Zum Beispiel zu Spam-Zwecken, oder um von dort aus
unerkannte Angriffe auf ein fremdes Ziel zu starten. Ein
solcher Missbrauch bleibt häufi g unbemerkt, ausser
man erhält eine Verwarnung seines Providers.
Gefahren lauern auch intern!
Gefahren drohen nicht nur aus dem Internet, sondern
auch aus dem «sicheren» lokalen Netzwerk. Schädlinge
schleust man oft über Notebooks, USB-Memory-Sticks
oder VPN-verschlüsselte Verbindungen ein. Durch Mitarbeiter
zugefügte Netzwerkkomponenten, wie z. B. ein
eigenes WLAN im Büro ohne entsprechende Konfi guration,
durchlöchern das Sicherheitskonzept. Vertrauen in
die Mitarbeiter ist wichtig. Die Ausbildung der Mitarbeitenden,
das Durchsetzen von Sicherheitsvorgaben und
fortlaufende Kontrollen sind jedoch unerlässliche Massnahmen
für ein sicheres Netzwerk.
UTM wird heutigen Gefahren gerecht
Viele der heutigen Gefahren können mit einzelnen Sicherheitslösungen
nicht mehr zuverlässig abgewehrt
werden. Ganzheitliche Sicherheitslösungen, bei denen
die Firewall als Gateway möglichst viele Sicherheitsfunktionen
abdeckt, sind deshalb klar der Trend.
03

Firewall alleine genügt nicht mehr
Heute reicht die Installation einer Firewall und Anti-
Viren-Lösung nicht mehr aus, um eine ganzheitliche
Sicherheit zu gewährleisten. Viele der gegenwärtigen
Gefahren erkennt eine reine Firewall aufgrund ihrer
Funktion nicht und kann sie deshalb auch nicht abwehren.
Ergänzender Virenschutz
Die Anti-Viren-Lösung auf dem Gateway ersetzt nicht
den bereits vorhandenen Virenschutz auf dem Mailserver
und Desktop, sondern ergänzt diesen. Das Ziel ist
jedoch, möglichst viele Viren bereits beim Eintreffen ins
Netzwerk zu neutralisieren.
Firewall übernimmt viele Sicherheitsfunktionen
Durch das Zusammenspiel von Firewall und Anti-Viren-
Lösung, Spam-Filter, Intrusion-Detection-Prevention
Schutztechniken von Unifi ed-Threat-Management
Know-how
Firewall mit
Stateful-Packet-
Inspection
Wirkung Kontrolliert Ports
und IP-Adressen der
Datenübertragung.
Nutzen Erkennt/sperrt
Protokollfehler und
Falschzugriffe anhand
von Protokoll-Spezifi -
kationen.
Intrusion-Detection-Prevention
(IDP)
Analysiert den Inhalt
der Datenübertragung
bis ins Detail.
Sicherheit als Ganzes
Erkennt/blockiert
Attacken durch
Würmer, Trojaner und
Backdoors sowie
modifi zierte Versionen
eines Schädlings,
auch ohne neue Signaturen.
04
und Content-Filter bietet Unifi ed-Threat-Management
eine vielschichtige Lösung gegen Gefahren. Oftmals
gelangen Viren als Attachment von Spam-Mails ins
Netzwerk. Der Spam-Filter kennzeichnet oder löscht
den Grossteil der Spam-Flut. Der Viren-Filter überprüft
Daten am Gateway und macht die entdeckten Viren
unschädlich. Falls trotzdem ein Schädling ins Netzwerk
gelangt und aktiv wird, schlägt das Intrusion-Prevention-System
Alarm und verhindert einen Ausbruch im lokalen
Netzwerk.
Strategische Partnerschaften
ZyXEL setzt bei den neuen Funktionen auf starke Partner:
Die Firma Kaspersky ist ein weltweit führender
Hersteller von IT-Sicherheits-Software und erstellt die
Virensignaturen für die ZyWALL. Den Spam-Schutz
liefert Mailshell, bekannt für Entwicklungen von Spam-
Filter-Technologien.
Anti-Virus Anti-Spam
Vergleich von Dateien
mit Viren-Signaturen.
Erkennt/löscht Viren
und schadhaften
Code anhand von
aktuellen Signaturen.
TM
mailshell
Anti-Spam
Vergleich von E-Mails
mit Spam-Signaturen.
Kennzeichnet/blockiert
Spam- sowie
Pishing-Mails anhand
aktuellster Filter-Technologien.

Spam – Belästigung und Gefahr
Massive Zunahme von Spam
Spam-Mails werden immer professioneller erstellt. Längst
bewirbt man mit Spam nicht mehr nur Produkte. Wegen
profi tablem Geschäft nehmen kriminelle Aktivitäten unter
Spamern stark zu. Für Mail-Adressen besteht ein lukrativer
Handel. Hand in Hand arbeitet die Spam-, Trojaner- und
Phishing-Industrie zusammen. Mittels Trojaner verschafft
man sich Zugang zu Rechnern in fremden Netzwerken.
Über diese Ressourcen wiederum lassen sich unerkannt
Spam-Mails versenden. Der bekannte Beagle-Wurm
z. B. öffnet eine Hintertür, über die der befallene Rechner
Spam-Mails versendet.
Phishing
Auch Phishing nutzt die Spam-Technologie: Der Phisher
schickt seinem Opfer offi ziell wirkende E-Mails, die
verleiten sollen, wichtige Informationen, oftmals Passwörter,
in gutem Glauben dem Täter preiszugeben. Mit
Phishing wird oft versucht, Zugangsdaten zu erhalten,
z. B. für Onlinebanking.
Illegale Arten von Spam
Viele Spam-Mails bewerben Massenprodukte wie Medikamente,
Kredite, Software, Socken, Druckerpatronen.
Andere versuchen, einen Dialer einzuschleusen, der
automatisch taxpfl ichtige Wählverbindungen aufbaut.
Generell sind Schneeballsysteme mit Geldfl uss zum
Absender illegal, sofern ein klares Missverhältnis zur
Gegenleistung besteht. Das Schweizer Lotteriegesetz
verbietet diese Form von Mailings.
Zweiter Spam-Schutz sinnvoll
Service-Provider bieten oft Spam-Filter an. Diese Filter
sind in der Regel rudimentär und blockieren nur einen
Teil der Spam-Mails. Deshalb lohnt es sich, einen zusätzlichen
Filter auf dem Gateway zu installieren.
geschütztes Netzwerk
Spam-Mails
ZyWALL SPAM-FILTER
PROVIDER SPAM-FILTER
Nützliche Dienste im MS-Outlook wie der Regel-Assistent
helfen beim Verwalten von Spam-Mails.
Wohin mit Spam?
Es empfi elt sich, einen speziellen Spam-Ordner im E-Mail-
Client anzulegen. In MS-Outlook leistet die Regelassistenten-Funktion
sehr nützliche Dienste. Je nach
Einstellung verschiebt oder löscht dieser Assistent automatisch
eingehende Mails, die eine Spam-Markierung
aufweisen.
Kontrollierte Webzugriffe mit Content-Filter
Nebst Schulen oder Bibliotheken wünschen auch viele
Unternehmensverantwortliche eine Einschränkung des
Internetzugriffs. Ein Content-Filter lässt sich einsetzen
zum Schutz von Minderjährigen oder zur Durchsetzung
von Unternehmens-Richtlinien für die Nutzung des Internets.
Allein das Wissen, dass ein Content-Filter im
Einsatz steht, genügt oft, um die Disziplin bei Webzugriffen
zu verbessern. Ein positiver Nebeneffekt ist
ebenso, dass die Blockade von einschlägigen Web-Kategorien
auch das Einschleusen von schadhaftem Code
reduziert. Der Content-Filter-Service ist auch im reinen
Log-Modus einsetzbar. Dabei werden keine Kategorien
blockiert, sondern es wird nur mit Reports aufgezeigt,
auf welche Web-Kategorien und Webseiten zugegriffen
wird. Die Privatsphäre der Mitarbeiter bleibt gewahrt,
da die Reports gesamthaft, ohne Bezug zu einzelnen
Personen erscheinen.
05

Netzwerke ohne öffentliche Server
Viele kleinere und mittlere Unternehmen bedürfen einer
einfachen, kostengünstigen IT-Infrastruktur, um
E-Mail-Verkehr abzuwickeln resp. im Internet zu surfen.
Dafür ist die ZyWALL 5 ideal: Bis zu vier Arbeitsplätze
lassen sich über den integrierten 4-Port-Switch direkt
anschliessen. Die leistungsfähige Firewall bietet in der
Grundausstattung Stafeful-Packet-Inspection für einen
zeitgemässen Basisschutz.
ZyXEL ZyWALL 5
Firewall für kleinere Netzwerke
UVP incl. MWST: 548.– EUR
DMZ für isolierte Rechner
Oft steht ein separater Rechner z. B. nur für Supportaufgaben
zur Verfügung, bei dem ab und zu USB-Memory-
Sticks oder fremde CD-ROMs eingelesen werden. Hier
empfi ehlt es sich, diesen zu isolieren. Die ZyWALL 5
enthält dafür eine sogenannte DMZ (demilitarisierte
Zone), die frei konfi gurierbar ist. Der Datenaustausch
zwischen DMZ und LAN ist dadurch unterbunden.
Computer-Schädlinge, die auf den isolierten Supportrechner
gelangen,
können sich nicht
auf die anderen Stationen
ausbreiten.
Die Sicherheit wird
mit dieser einfachen
Methode stark erhöht.
Support-PC
DMZ
Isolierte Zone (DMZ) für «unsichere» Rechner
Einsatzgebiete ZyWALL 5
06
Datenaustausch LAN – DMZ
Ist ein Datenaustausch zwischen dem Supportrechner
und den internen Arbeitsstationen nötig, so defi niert
man einfach Firewall-Regeln zwischen der DMZ und
dem LAN-Segment. Damit sich Viren oder Trojaner
nicht ausbreiten, wird die Aktivierung des Anti-Virus- /
Intrusion-Prevention-Dienstes empfohlen. Dies erfordert
eine Turbokarte, die in den Slot auf der Rückseite
der ZyWALL 5 eingeschoben wird. Bei der ZyWALL 5
(auch ZyWALL 35) lässt sich die DMZ fl exibel auf einem
der vier Ethernet-Ports einrichten.
Sicheres Wireless-LAN
Wünscht ein Unternehmen ein Wireless-LAN,
kann analog zum Supportrechner in der DMZ
– also getrennt vom internen LAN – auch ein
WLAN-Access-Point installiert werden. Dank den
eigenen Firewall-Regeln der DMZ resp. der WLAN-
Zone, können z. B. Laptops mit WLAN sicher Daten
über das Internet austauschen und je nach Berechtigung
auf interne Daten zugreifen. Die zentralen Sicherheitsfunktionen
wie Anti-Virus, Intrusion-Detection-Prevention
oder Anti-Spam stehen auch für den DMZ-Port (auf
ZyWALL 5, 35 und 70) zur Verfügung.
Verschlüsselter Datenaustausch / WPA-PSK
Für WLAN-Verbindungen zwischen Access-Point und
Client empfi ehlt sich die WPA-PSK-Sicherheitseinstellung
für den verschlüsselten Datenaustausch. Jeder
WLAN-Benutzer muss dazu das Start-Kennwort
(WPA-PSK) einmal im WLAN-Client-Treiberprogramm
hinterlegen. Damit das Kennwort bei ausscheidenden
Mitarbeitern nicht geändert werden muss, bietet sich
zusätzlich der Einsatz des internen RADIUS-Servers
(durch ZyWALL 5, 35 und 70 unterstützt) an. Jeder
Mitarbeiter erhält einen eigenen Account mit Benutzernamen
und Passwort. Bevor eine WLAN-Verbindung
aufgebaut wird, muss man sich authentifi zieren.
RADIUS-Server
User: Claudia
Password: PW1SEC27
User: John
Password: PW1SEC25
User: Charlie
Password: PW1SEC29
User: Bettina
Password: PW1SEC32
Access-Point
Anmeldung Benutzer am Wireless-LAN
User: John
Password: PW1SEC25
DMZ

Netzwerke mit öffentlichen Servern
Unternehmen mit eigenen Web-, FTP- oder Mailservern
etc. müssen sicherstellen, dass diese – im Gegensatz
zu internen Rechnern – vom Internet erreichbar sind. Öffentliche
Server richtet man in einer DMZ ein, und interne
Rechner werden am besten in verschiedene LAN-Segmente
aufgeteilt. Bei der ZyWALL 70 stehen vier DMZ-
Ports zur Verfügung. Dennoch reichen Firewall-Regeln
zwischen DMZ und LAN heute nicht mehr aus, um Datenmissbrauch
zu verhindern. Da öffentliche Server vom
Internet her zugänglich sein müssen, öffnen sie Schlupfl öcher.
Schutz vor «Exploits» (Angriffe auf Sicherheitslöcher
von Programmen) erreicht man nur durch den kombinierten
Einsatz einer Firewall mit Anti-Virus- und Intrusion-
Detection-Prevention-Lösung.
ZyXEL ZyWALL 70
Firewall für Netzwerke mit
öffentlichen Servern
UVP incl. MWST: 1'279.– EUR
IP- und Port-Forwarding
Öffentliche Server brauchen eine fi xe IP-Adresse, um
über eine bestimmte Domäne erreichbar zu sein. Die
ZyWALL-Modelle enthalten die IP- und Port-Forwarding-
www.beispiel.ch
217.11.1.20
Verschiedene interne Server-Dienste werden von
extern über die gleiche IP-Adresse angesprochen.
Einsatzgebiete ZyWALL 70
SMTP/25
Funktion. Damit lässt sich eine externe Web-Anfrage auf
den internen Server mit einer anderen IP-Adresse inkl.
Angabe einer Portnummer umleiten. Dies ist notwendig,
wenn mehrere interne Server mit unterschiedlichen IP-
Adressen über nur eine externe IP-Adresse angesprochen
werden. So können mehrere Regeln für verschiedene
Services defi niert werden.
Erhöhtes Spam-Aufkommen bei eigenen
Mailservern
Ist ein lokaler Mailserver im Einsatz, so empfi ehlt sich
die Aktivierung der Anti-Spam-Funktion auf der ZyWALL
besonders. Suspekte E-Mails, welche auf Spam hindeuten,
werden entweder in der Betreff-Zeile mit einem
Zusatztext markiert oder vollständig verworfen und nicht
an den Client weitergeleitet. Die Quarantäne erfolgt
z. B. bei Microsoft Outlook über eine Regel, die
als Spam gekennzeichnete E-Mails in
einen separaten Ordner verschiebt.
Hoher Datendurchsatz, auch
mit UTM
Die neuen UTM-Funktionen wie Anti-
Virus und Intrusion-Prevention sind rechenintensiv,
was den Einsatz einer Turbo-Card
erfordert. Dank dieser Karte erreichen die
ZyWALL-Firewalls einen hohen Datendurchsatz.
Die Echtzeit-Signaturüberprüfungen lassen sich bis auf
einzelne Services und Ports inklusive Richtungsangabe
(Inbound / Outbound) konfi gurieren. Dies ist gerade für
Firewalls sehr wichtig, die einzelne Segmente innerhalb
des LANs trennen. Da Netzwerke heute üblicherweise
mit 100 Mbps arbeiten, darf die ZyWALL den Datendurchsatz
nicht massiv bremsen.
07
HTTP/80
FTP/20/21
Mailserver
192.168.2.35
Webserver
192.168.2.34
Fileserver
192.168.2.33

Flexibel erweiterbare IT-Infrastruktur
Die meisten Firmen wünschen sich fl exible IT-Infrastrukturen.
Die ZyWALL 35 bietet 35 VPN-Tunnels und ist
eine leistungsstarke Lösung am Hauptsitz eines KMUs.
Als Gateway-Firewall mit UTM schützt sie das interne
Netzwerk mit LAN und DMZ. Der integrierte RADIUS-
Server bietet zusätzliche Sicherheit, z. B. die Authentifi -
zierung von VPN-Benutzern.
Filialen anbinden
Bestehende Firmen-Netzwerke lassen sich mit ZyXEL-
Firewalls jederzeit erweitern. Wird z. B. eine neue Filiale
eröffnet, bietet die ZyWALL 2 in der Regel ausreichende
Sicherheitsfunktionen. Sie lässt sich mit einem VPN-Tunnel
an den Hauptsitz anbinden. Am zweiten verfügbaren
VPN-Tunnel der ZyWALL 2 könnte der Home-PC des
Filialleiters (ev. über ZyWALL P1) angebunden werden.
ZyXEL ZyWALL 35
Leistungsstarke
Gateway-Firewall
UVP incl. MWST: 929.− EUR
Sicherheit für Aussendienstler
Reisende Mitarbeiter sind Bestandteil des Sicherheitskonzepts
einer Firma. Eine sichere VPN-Verbindung
zwischen dem Mitarbeiter unterwegs und der Firma ist
somit immer häufi ger ein Bedürfnis. Die ZyWALL P1 ist
eine Stateful-Packet-Inspection-Firewall in der Grösse
eines PDAs. Die Firewall-Regeln sowie VPN-Einstellungen
werden vorgängig durch den IT-Administrator konfi
guriert. Es müssen somit keine Laptops mehr eingesammelt
oder Programme mühsam installiert werden.
HAUPTSITZ
Einsatzgebiete ZyWALL 35
VPN
08
www
KMU ZyWALL 70
Home Office
Zentrales Management
Nur eine regelmässig gewartete IT-Infrastruktur bietet einen
zeitgemässen Schutz. Vantage CNM (Centralized-Network-Management)
ist eine
Client/Server-Software-Applikation, mit der
verteilte ZyWALLs zentral konfi guriert und
verwaltet werden können. Schon ab einer
geringen Anzahl von Firewalls ist die Verwaltung
über das jeweilige Web-GUI aufwändig.
Vantage CNM beinhaltet auch ein Tool für
grafi sche Reports, die man sich als PDF-File aufbereiten
lassen kann.
MITARBEITER UNTERWEGS
FILIALE
ZyWALL 2
ZyWALL P1
www
Verteilte Firewalls zentral verwalten mit Vantage CNM.
ZyWALL 2
internes Netzwerk
MANAGED-SECURITY
VANTAGE CNM
Anbindung von Filialen
und Aussendienstler am
Hauptsitz mit VPN.

FIREWALL
Wer regelt den Zugriff zwischen verschiedenen
Netzwerken? Wer blockiert Attacken?
ANTI-SPAM
Wer erkennt Spam und kennzeichnet
das Spam-Mail, damit
es in einen speziellen Ordner
verschoben oder gelöscht werden
kann?
Wer verschlüsselt die Verbindung
zu Heimarbeitsplätzen
oder Zweigstellen?
VPN
Wer kann den Webzugriff einschränken?
Auf welche Art von
Webseiten greifen die Mitarbeiter
zu?
CONTENT-FILTER
Eine UTM-Firewall meistert all diese Aufgaben. Wichtig
bei IDP, Anti-Virus und Anti-Spam sind stets aktualisierte
Signaturen. Das dafür benötigte Know-how erreicht
ZyXEL durch die Zusammenarbeit mit führenden Herstellern
aus unterschiedlichen Spezialgebieten.
09
Was bewirkt UTM?
ANTI-VIRUS
Wer erkennt Viren bereits am Gateway
und macht sie unschädlich?
Wer erkennt und blockiert Netzwerkbasierte
Angriffe? Wer kann Peer-to-
Peer-Applikationen kontrollieren?
IDP

Anti-Virus auf dem Gateway
Der weltweite Schaden, den Viren verursachen, ist immens.
Rechner ohne Virenschutz sind die Ausnahme.
Weshalb braucht es Anti-Virus auf dem Gateway, wenn
bereits auf den Arbeitsstationen der Mitarbeiter ein Virenschutz
installiert ist? Eine Anti-Viren-Lösung auf der
Firewall blockt Viren, Würmer, Trojaner und Backdoors,
die via SMTP / POP3 / FTP ins interne Netzwerk
gelangen. In Echtzeit scannt der ZyWALL-Gateway
nach File-basierten Viren und schadhaften Codes.
Jeder Virus, der schon am Gateway erkannt und vernichtet
wird, entlastet das Netzwerk. Anti-Virus auf der
ZyWALL ergänzt die Virenlösung auf Mailserver und
Desktop, ersetzt diese aber nicht!
Wirkungsweise
Die ZyWALL identifi ziert SMTP-, POP3-, HTTP- und
FTP-Pakete auf den Standardports. Die Scan-Engine
untersucht den Paket-Inhalt auf Viren. Wird ein Virenmuster
erkannt, entfernt die ZyWALL den infi zierten
Teil des Files. Auch gezippte Dateien untersucht die
ZyWALL. Ist der Windows-Nachrichtendienst beim
Empfänger aktiviert, erscheint eine Warnmeldung auf
dem Bildschirm.
Detaileinstellungen im Web-GUI zeigen auf,
welche Dienste/Interfaces auf Viren untersucht werden.
Kaspersky als Partner
Kaspersky hat sich innert kurzer Zeit zu einem führenden
Anbieter von Anti-Virus-Lösungen gemausert. Höchste
Erkennungsrate, schnellste und häufi ge Updates sind
die Stärken dieses Partners. Die auf der ZyWALL verwendeten
Viren-Signaturen werden durch Kaspersky
entwickelt.
10
Anti-Virus
Übersicht aktuelle Viren
Als ZyWALL UTM-Kunde erhält man den Zugriff auf
eine Online-Plattform, auf welcher stets die aktuellen
Viren-Signaturen aufgeführt sind. Zudem erfährt man
im Detail, welche Auswirkungen der Virus hat und wie
gefährlich er eingestuft wird.
Stets online im Bild über bekannte Viren und ihre Auswirkungen.
Automatischer Update
Neue Signaturen kann die ZyWALL automatisch aktualisieren.
Der Signaturen-Abgleich kann stündlich, täglich,
wöchentlich oder manuell erfolgen. Die Signaturen sind
nach dem Update unterbruchsfrei aktiv.
Turbo-Card
Um den Service Anti-Virus/IDP zu aktivieren, installiert
man die Turbo-Card im Erweiterungs-Slot. Den äusserst
rechenintensive Scan des Datenverkehrs nach Signaturen
lagert die ZyWALL auf diese Turbo-Card aus. So
bleibt die Performance auch mit aktivierten Services erhalten.
Die benötigte Prozessorleistung bietet der speziell
für diese Aufgabe entwickelte «SecuASIC-Chip».
Leistungsstarker SecuASIC-Chip
in ZyWALL Turbo-Card.

Was ist Intrusion-Prevention?
Die IDP-Technologie von ZyXEL erkennt Schädlinge
anhand von Mustern (Signaturen) und abnormalem
Verhalten. Sie überprüft den Dateninhalt von mehreren
IP-Paketen. Durch die Anomalie-Erkennung werden unbekannte
Attacken auch aufgedeckt, ohne dass eine
neue Signatur vorhanden sein muss.
Wahrnehmung
Mustererkennung
Reaktion
Wie sicher ist Internet-Browsen?
Möchte man Internetseiten aufrufen, muss zwangsläufi g
der Port 80 für HTTP geöffnet sein. Da Webseiten oft
mit dynamischen Inhalten (ActiveX, Cookies, PHP- und
Java-Scripts etc.) programmiert sind, muss im Browser
die Sicherheitseinstellung auf «tief» gesetzt sein, damit
diese Inhalte angezeigt werden. Über den offenen Port
gelangen unerwünschte Eindringlinge auf den Rechner.
Die Schädlinge installieren und aktivieren sich meist
automatisch. Ein Intrusion-Prevention-System erkennt
solchen schädlichen Code während des Datentransfers
über das Netzwerk und schützt die eingebundenen
Rechner.
IDP versus Firewall
Eine Firewall kontrolliert Ports und IP-Adressen. Mit dem
Stateful-Packet-Inspection-Mechanismus überprüft sie
zudem ganze IP-Sessions auf die korrekte Einhaltung
von RFC-Spezifi kationen. Eine Intrusion-Prevention-Lösung
hingegen untersucht den Dateninhalt von Paketen.
Die Lösung von ZyXEL kann sogar fragmentierte IP-Pakete
erkennen und analysieren.
User
IDP kann P2P-Verkehr verhindern.
Muster-
Datenbank
Intrusion-Prevention
IDP versus Anti-Virus-Scanner
Im Gegensatz zu einem Anti-Viren-Scanner erkennt die
Intrusion-Prevention ein abnormales Datenaufkommen,
das durch Schädlinge generiert wird. Die IDP bekämpft
also mit der Anomalie-Erkennung nicht nur die Schädlinge
selbst, sondern auch deren Wirkung anhand von
bestimmten Datenmustern. Der IT-Administrator kann
den Schädling in einem zweiten Schritt eliminieren.
IDP-Signaturen der ZyWALL
Die ZyWALL umfasst über 1'800 IDP-Signaturen, die
stündlich automatisch aktualisiert werden können. Die
Datenbank erkennt Schädlinge aus 12 Kategorien wie
z. B. Buffer-Overfl ows, Access-Control, Trojaner, Würmer,
Peer-to-Peer-Applikationen etc. Die jeweiligen Blockiermassnahmen
der Signaturen sind bereits vorkonfi guriert.
Der IT-Manager kann deshalb sehr schnell ein System in
Betrieb nehmen und später Anpassungen vornehmen.
INTRUSION DETECTION AND PREVENTION
Keine Chance für BitTorrent, eDonkey, Kazaa
oder Skype
Peer-to-Peer (P2P)- und Messaging-Applikationen sind
gefährliche Anwendungen für die ganze IT-Infrastruktur.
Sie suchen über offene Ports automatisch den Weg zum
Internet und umgehen so praktisch jede normale Firewall.
Das Intrusion-Prevention-System kontrolliert den gesamten
Datenverkehr und kann gezielt P2P-Inhalte blockieren.
Legitime Dateninhalte werden ungehindert weitergeleitet.
DATENMUSTER
01011011000101010010110101011001101
11
Port 80 offen
www
Übersichtliche
Kategorisierung der
IDP-Signaturen

Content-Filter
Die Kontrolle über die besuchten Websites ist ein vorhandenes
Bedürfnis von Unternehmen, Schulen und
Familien mit Kindern. Mit einem Content-Filter-Service
auf der ZyWALL können Webseiten anhand von bestimmten,
bereits vordefi nierten Kategorien vor Zugriffen
gesperrt werden.
Aktualität des URL-Filters
Der Content-Filter greift auf eine Online-Datenbank beim
Dienstanbieter Blue Coat zu und garantiert einen laufend
aktualisierten Service. Fast fünf Millionen Webseiten
sind derzeit in einer oder mehreren der 52 Kategorien
eingetragen. Noch nicht kategorisierte Webseiten
durchlaufen im Hintergrund ebenfalls verschiedene Filter,
die auf auffällige Muster reagieren. Unter den noch
nicht eingestuften Websites werden diejenigen mit den
meisten Zugriffen laufend kategorisiert. Der im Jahresabonnement
eingeschlossene Online-Report gibt
Aufschluss über die Internetnutzung. Ersichtlich ist der
Anteil der verschiedenen Kategorien und die aufgerufenen
Websites. Persönlichkeitsrechte bleiben dabei
ZyXEL ZyWALL Turbo-Card
Beschleunigungskarte
mit SecuASIC-Chip
UVP incl. Lizenz und MWST: ab 339.− EUR
NETZWERK
Server
Content-Filter/Turbo-Card
12
gewahrt, da die IP-Adressen der Benutzer nicht erfasst
werden. Der Service ist in Form einer «iCard Content-
Filter» im Fachhandel erhältlich.
WEB-SERVER
ZyWALL 5/35/70
ZyWALL 2/5/35/70
BENUTZER
Anfragen: www.info.com ✔
www.sex.com ✘
Ausfi ltern von Websites mit Content-Filter
Rechenpower
Das Überprüfen des Datenverkehrs nach Viren- und Intrusion-Signaturen
ist äusserst rechenintensiv. Hersteller
von kombinierten Lösungen (Firewall, Anti-Virus, IDP)
kämpfen alle mit Performance-Problemen. In der Regel
bricht der Datendurchsatz mit dem Aktivieren des IDP-
und Anti-Virus-Scans ein. Bei den ZyWALL 5, 35 und 70
wird dieser Scan auf die Turbokarte ausgelagert. Durch
den speziell entwickelten ASIC (Application-Specifi c-
Integrated-Circuit) wird der Datenstrom kontinuierlich
und ohne ein Umordnen der Datenpakete gescannt. Die
Grösse der inspizierten Files spielt dank dieser Architektur
ebenfalls keine Rolle.
www
Rechenintensiver Scan von Datenpaketen
wird auf Turbo-Card ausgelagert.
info.com sex.com
www
Auswertungen als Diagramm

Spam in Blacklist
Es ist nicht einfach, Spam aus dem E-Mail-Verkehr zu
fi ltern. Am einfachsten erkennt man Spam anhand von
Listeneinträgen. Diese Black-/Whitelist-Einträge können
in der ZyWALL defi niert werden. Für jeden Eintrag wird
eine E-Mail-, IP-Adresse oder eine MIME-Erweiterung
hinterlegt. E-Mails, die einem dieser Einträge entsprechen,
werden ohne weitere Überprüfung als Spam
(Blacklist) bzw. kein Spam (Whitelist) markiert.
Externe Inhaltsüberprüfung
In der zweiten Stufe der ZyWALL Spam-Engine wird mittels
eines speziellen Algorithmus der Inhalt des E-Mails
gescannt und eine Art Fingerabdruck erstellt. Der externe
Signatur-Server empfängt über Internet dieses eindeutige
Abbild und errechnet anhand von über 300‘000
Signaturen die Spam-Wahrscheinlichkeit. Die ZyWALL
erhält nun diese Bewertung in Form eines Wertes zwischen
0 und 100 zurück (100 = Spam-E-Mail) und entscheidet
anhand eines frei defi nierbaren Schwellwertes,
ob dieses E-Mail als Spam gekennzeichnet wird oder
nicht. Es empfi ehlt sich, den Schwellwert in der ersten
Phase zu variieren, um den gewünschten Filtereffekt zu
erzielen. Wie Spam-E-Mails in der Betreffzeile vermerkt
werden, kann man frei defi nieren.
Gewünschter Filtereffekt mit Schwellwert (Threshold) defi nieren.
Anti-Spam
Schädlinge im Rucksack
Vielfach beinhalten Spam-E-Mails Attachments mit
Schädlingen. Solche Schädlinge können nur durch einen
Anti-Viren-Scanner und durch Intrusion-Detection-
Prevention erkannt und neutralisiert werden. Es versteht
sich von selbst, dass eine Kombination aller Security-
Services (Anti-Spam, Anti-Virus und IDP) den zuverlässigsten
Schutz bietet.
Spam erkannt – was nun?
Empfängt der E-Mail-Client wie z. B. Outlook die markierten
Spam-E-Mails, so sollten diese am besten in
einen Quarantäne-Ordner verschoben werden. In MS-
Outlook erfolgt dank der Regelassistenten-Funktion das
Verschieben der Spam-E-Mails automatisch. Es kommt
vor, dass Spam-Filter ein harmloses E-Mail fälschlicherweise
als Spam-E-Mail kennzeichnen. Sollte ein erwartetes
E-Mail nicht eintreffen, so kann der Quarantäne-
Ordner auf dieses E-Mail überprüft werden.
13
EXTERNER SIGNATUREN-SERVER
TM
mailshell
Anti-Spam
SPAM
1
Datenbank
White-,
Blacklist
Kalkulation
Wahrscheinlichkeitswert
www
2
ZyWALL 5/35/70
1 Die Firewall überprüft, ob zum eingehenden Mail White-/ Blacklist-
Einträge vorhanden sind.
2 Der Inhalt des Mails wird gescannt, und ein Fingerabdruck wird zur
Überprüfung weiter geleitet.
3 Der Fingerabdruck wird ausgewertet und die Wahrscheinlichkeit berechnet,
dass es sich bei dem Mail um Spam handelt.
4 Das Mail wird mit oder ohne Vermerk «Spam» an den Mail-Client
oder Server gesendet.
3
4

Stateful-Packet-Inspection
Stateful-Packet-Inspection bietet einem Netzwerk
Schutz vor unerlaubtem Zugriff aus dem Internet. Gleichzeitig
wird der Zustand einer Verbindung kontrolliert,
d. h. ob die Antwort auf eine Anfrage aus dem internen
Netzwerk zurückzuführen ist. In einer internen Tabelle
werden diese Verbindungskontrollen verwaltet und
überwacht. Dies ist die Basis für die Entscheidung, ob
die Firewall ein Datenpaket passieren lässt, oder ob es
blockiert wird. Die Einschränkung der Kontrolle auf IP-
Adressen und Protokolle unterscheidet die Firewall von
Intrusion-Detection-Prevention-Systemen.
DMZ
Öffentliche Server wie z. B. ein Webserver müssen vom
Internet her erreichbar sein – lokale dagegen nicht. Um
diese unterschiedlichen Anforderungen zu erfüllen, platziert
man öffentliche Server in einem separaten Netzwerksegment.
Diese sogenannte demilitarisierte Zone
ist durch Firewall-Regeln vom Internet und vom lokalen
Netzwerk getrennt. Damit erhöht sich die Sicherheit,
weil ein infi zierter Server in der DMZ keinen Zugriff auf
das lokale Netzwerk hat. Bei den ZyWALL 5 und 35 lassen
sich vier LAN-Ports fl exibel als DMZ einrichten. Die
DMZ verfügt über eigene DHCP-Funktionalitäten.
ZyWALL 5/35
Mail-Server
DMZ
14
Firewall-Funktionen
Bandbreiten-Management
Verschiedene Anwendungen wie Web, FTP, VPN, VoIP,
etc. «kämpfen» mit unterschiedlichen Bandagen um die
verfügbare Bandbreite des Internetzugangs. Der zunehmende
VoIP-Verkehr verschärft diese Problematik.
Die Qualität von VoIP sinkt beim Versand von E-Mails
mit grossen Anhängen oder bei gleichzeitigem FTP-
Download. Aggressive Anwendungen wie z. B. FTP
nehmen sich so viel Bandbreite wie möglich. Darunter
leiden zeitkritische Applikationen, weil sie sich mit dem
verbleibenden Rest der Bandbreite begnügen müssen.
Die Qualität eines Telefongesprächs über Internet oder
die Stabilität einer VPN-Verbindung können durch das
Bandbreiten-Management garantiert werden.
Prioritätensetzung der Bandbreiten
INTERNES NETZWERK
2 Mbps
öffentliche Server
(Web, FTP, etc.)
DMZ
Bei der ZyWALL 5, 35 und 70 lässt sich der Datenstrom
nach verschiedenen Kriterien konfi gurieren: Für zeitkritische
Anwendungen wie VoIP kann beispielsweise
eine garantierte Mindestbandbreite defi niert werden.
Aggressiven Protokollen wie FTP weist man eine eher
tiefe Priorität (resp. maximal zu nutzende Bandbreite) zu,
HTTPS und der IP-Adresse des Onlineshops dagegen
eine hohe.
www
Web/Online-Shop
FTP
Voice-over-IP
VoIP

Zweiter WAN-Anschluss
Die Verfügbarkeit und Bandbreite sind kritische Faktoren
eines Internetanschlusses. Der zweite WAN-Anschluss
der ZyWALL 35 und 70 lässt sich gleichzeitig mit Loadbalancing
oder als Back-up einsetzen. Fällt die primäre
Internetverbindung aus, wird automatisch auf einen
zweiten Zugang gewechselt. Ist Redundanz gefragt,
wählt man für die beiden WAN-Verbindungen mit Vorteil
unterschiedliche Technologien wie DSL, Kabel oder
Standleitung. Reicht die Bandbreite eines einzelnen
ADSL-Abonnements für einen Firmenzugang nicht aus,
kann eine zweite Leitung dazu geschaltet werden.
www
ISP 1
ZyWALL 35/70
Höhere Bandbreite oder Back-up-Funktion
durch zwei simultane Broadband-Verbindungen.
www
ISP 2
Dial-Back-up
Fällt ADSL aus, kann ein externes Modem oder ein
ISDN-Adapter automatisch wieder eine Verbindung ins
Internet herstellen. Damit ist zumindest ein notdürftiger
Betrieb wieder möglich.
NETZWERK
ISDN-TA
Internetzugang über ADSL
ADSL ist unterbrochen, Verkehr
wird auf ISDN-Adapter umgeleitet
www
ADSL
Firewall-Funktionen
VPN und Authentifi zierung
Für die Vernetzung von Firmen-Niederlassungen und
Heimarbeitsplätzen ist VPN nicht mehr wegdenkbar. Die
verfügbaren Netzwerkressourcen (Programme, Dateien,
etc.) sind damit über verteilte Standorte nutzbar. Doch
nicht nur die VPN-Unterstützung, sondern auch die Verschlüsselungstiefe
(DES, 3DES und AES), der mögliche
Datendurchsatz und die Authentifi zierungsmöglichkeiten
stehen für die Qualität einer VPN-Firewall. Die Abfrage von
Benutzernamen und Passwort oder die Verwendung von
Zertifi katen beim Aufbau einer VPN-Verbindung werden
immer häufi ger als weitere Sicherheitselemente gefordert.
Diese zusätzliche Authentifi zierung ist für VPN- und Wireless-LAN-Verbindungen
möglich. Als VPN-Client kann
auch eine Software wie der ZyWALL VPN-Client oder
TheGreenBow eingesetzt werden.
Wireless-ready
Durch den Einsatz einer Wireless-Karte (zum Beispiel
ZyAIR G-100) lassen sich die ZyXEL ZyWALL 5, 35 und
70 zum Access-Point erweitern. Neu ist es möglich, die
WLAN-Karte ins LAN oder als separate Firewall-Zone
zu konfi gurieren. Firewall-Regeln zwischen Wireless-
LAN und dem lokalen Netzwerk erhöhen die Sicherheit.
Bei der Authentifi zierung nach 802.1x können bis zu 32
Benutzer auf der internen Datenbank oder einem externen
RADIUS-Server eingerichtet werden. Im Verlauf des
1. Quartals 2006 kann zusätzlich eine WLAN-Zone auf
einem Ethernet-Port defi niert werden.
Vom lokalen Netzwerk
getrenntes Wireless-LAN.
Sichere Fernwartung
Die Datenverschlüsselung der Remote-Konfi guration mit
VPN, HTTPS oder SSH verhindert das Abhorchen durch
Unberechtigte. Die Zugriffsberechtigung lässt sich auf
eine bestimmte IP-Adresse einschränken und mit einem
Zertifi kat zusätzlich authentifi zieren.
15
WLAN-ZONE
User: John
Password: PW1SEC25
RADIUS-Server
User: Claudia
Password: PW1SEC27
User: John
Password: PW1SEC25
User: Charlie
Password: PW1SEC29
User: Bettina
Password: PW1SEC32

zentrales Management/Vantage CNM
CNM = Centralized-Network-Management
Vantage CNM ist eine Software-Applikation, mit der verteilte
ZyXEL-Netzwerkkomponenten effi zient konfi guriert,
analysiert und überwacht werden können.
VPN-Verbindungen per Mausklick
Eine benutzerfreundliche grafi sche Oberfl äche ermöglicht,
VPN-Verbindungen einfach per Mausklick zu erstellen.
Start- und Endadressen müssen nicht mehr
manuell eingegeben werden.
unterstützte
Modelle/Firmware
für CNM 2.2
Anzahl managebare
Devices
technische Voraussetzungen
Update von Version
2.1 auf 2.2
Eine in der VPN-Übersicht hinterlegte
Grafi k ermöglicht die Übersicht des
betreuten Netzwerks.
Automatisch erscheint nach Initialisierung
der VPN-Verbindung ein VPN-
Wizard mit Default-Einstellungen, die
sich weiter anpassen lassen.
ZyWALL 2, 10W: FW 3.62
ZyWALL 5, 35, 70: FW 3.64
16
Device- und Account-Management
Vantage CNM ermöglicht, die Netzwerkkonfi guration
mit Hierarchiestufen darzustellen, zum Beispiel Firmen-,
Abteilungs- oder Device-Level. Für jede Hierarchiestufe
lassen sich Benutzer mit unterschiedlichen Zugriffsrechten
defi nieren.
Infrastruktur für Vantage CNM
Für Vantage CNM wird ein Server mit FTP-, Syslog- und
Telnet-Dienst vorausgesetzt. Der FTP-Server ist für das
Hosten der verschiedenen Firmware-Versionen erforderlich,
während der Syslog-Server die Log-Einträge aller
gemanagten Devices aufzeichnet. Für den Betrieb des
Servers wird eine fi xe, öffentliche IP Adresse benötigt. Die
örtlich verteilten Devices kommunizieren über das sogenannte
Service-Gateway-Management-Protocol (SGMP),
wobei die Übertragung sicher mit DES oder 3DES verschlüsselt
werden kann. Vantage CNM Administratoren
können sich bequem über einen Webbrowser mit Internetzugang
mit ihren persönlichen Account-Informationen
einloggen. Damit kann der Administrator an einem beliebigen
Rechner und Standort auf alle Devices zugreifen.
Features Vantage CNM
One-Click-VPN-Tunnels
Konfi gurations-Management
Firmware-Verwaltung mit Scheduling-Funktion
Device- und Account-Management
Umfassende Log- & Alarm-Reports
Firewall-Regelverwaltung
ZyWALL P1:
Prestige 652HW(-I):
Prestige 662HW(-I):
Eine aktuelle Produktliste ist unter www.zyxel.de ersichtlich.
Lizenzen für 10, 25, 50, 100 oder 300 Devices sowie Testlizenz für
30 Tage erhältlich
Server mit Win XP Englisch oder
Linux RedHat 9.0 / 2,6 GHz / 1 GB RAM Arbeitsspeicher
Kostenlos im 4. Quartal 2005
Features der Version 2.2: - optimierte Performance
- Firmware-Update mit Zeitplanung
- verbesserte Bedienerfreundlichkeit
FW 3.64 (XJ.4)
FW 3.40
FW 3.40

VRPT = Vantage-Reporting-Toolkit
Das Vantage-Reporting-Toolkit ist nicht zu verwechseln
mit Vantage CNM. VRPT ist ein eigenständiges
Tool, das grafi sche Reports erstellt. Es sammelt Informationen
von verteilten ZyWALLs und generiert bis zu
26 vordefi nierte Reports wie z. B. Bandbreiten- oder
Attackenübersicht. Täglich oder wöchentlich lassen
sich die Berichte als PDF automatisch per E-Mail versenden.
Automatische Reports
Die VRPT-Server-Lösung ist einfach über einen Browser
zu bedienen. Per Knopfdruck werden Reports über
Attacken, Intrusions, Bandbreiten-Auslastung, Servicebenutzung
etc. erstellt. Verteilte Firewalls können auch
getrennt analysiert werden.
Bandbreiten-Report
Dieser Report zeigt einem IT-Administrator ein anomalisches
Verhalten auf. Generiert z. B. eine IP-Adresse
aus dem LAN ein erhöhtes Datenvolumen im Vergleich
zu den anderen Adressen, könnte auf diesem Rechner
ein Schädling am Werk sein. Der betroffene Rechner
kann nun gezielt in Quarantäne gesetzt und gesäubert
werden.
Auswertungsmöglichkeiten
mit VRPT 2.2
unterstützte
Modelle/Firmware
Voraussetzungen
Server
Reporting/Vantage VRPT 2.2
- Bandbreite
- Webzugriffe und Webfi lter
- Attacken (Firewall-Regeln)
- Report pro Service
(FTP, HTTP, SNMP, etc.)
17
- Intrusions (ZyWALL IDP 10)
- Datenvolumen für Services
wie VPN, E-Mail, etc.
- Device-Errors
- Verbindungsunterbrüche
Es stehen pro Report weitere Darstellungsoptionen zur Verfügung, z. B. aufgelistet
nach Kategorie, Art der Attacken, Art der Intrusions, etc. und als Zusammenfassung.
- ZyWALL IDP 10:
- ZyWALL 2:
- ZyWALL 5, 35, 70:
FW 2.00
FW 3.62
FW 3.64
- Prestige 652HW(-I):
- Prestige 650R(-I):
- Prestige 662HW(-I):
FW 3.40
FW 3.40
FW 3.40
Intel P4 / 2,6 GHz / 1 GB RAM / 80 GB HDD / Windows XP / 2003 Server.
Verfügbarkeit VRPT 2.2 ist kostenlos unter www.zyxel.de downloadbar. Die kommende Version 2.3 wird
Anti-Virus- und IDP-Funktionen der FW 4.0 unterstützen und kostenpfl ichtig sein.

estehende Kunden (ZyWALL bereits vorhanden)
neue Kunden (noch keine ZyWALL vorhanden)
UTM-Services
Produkt-
Bezeichnung
iCard IDP+AV
Turbo-Suite
(mit Turbo-Card)
Inhalt
1x Turbo-Card
1x iCard IDP+AV
iCard Anti-Spam 1x iCard AS
iCard Content-Filter 1x iCard CF
Produkt-
Bezeichnung
ZyWALL UTM
iCard IDP+AV
(ohne Turbo-Card)
Inhalt
1x ZyWALL
1x Turbo-Card
1x iCard IDP+AV
iCard Anti-Spam 1x iCard AS
iCard Content-Filter 1x iCard CF
Laufzeit
18
Übersicht
ZyWALL 5 ZyWALL 35 ZyWALL 70
UVP incl. MWST UVP incl. MWST UVP incl. MWST
iCard Silver «IDP+AV» iCard Gold «IDP+AV»
1 Jahr 339.− EUR 499.− EUR 499.− EUR
2 Jahr 449.− EUR 689.− EUR 689.− EUR
iCard Silver «AS» iCard Gold «AS»
1 Jahr 80.− EUR 179.− EUR 179.− EUR
2 Jahr 125.− EUR 279.− EUR 279.− EUR
iCard Silver «CF» iCard Gold «CF»
1 Jahr 57.− EUR 249.− EUR 249.− EUR
Aufrüsten von ZyWALL 5/35/70
Der Upgrade auf UTM ist mit einem Firmware-Wechsel auf Version 4.0 wie gewohnt kostenlos. IDP, Anti-Virus und Anti-Spam lassen sich während 90 Tagen, der Content-Filter
während 30 Tagen austesten. Für den Test von IDP+Anti-Virus benötigt man eine Turbokarte. Der Leihbezug einer Turbokarte ist bei einem ZyWALL-Fachhändler möglich.
Laufzeit
UTM-Funktionen für weitere ZyWALL-Modelle
ZyXEL ZyWALL P1: IDP und Anti-Virus per Anfang 2006 verfügbar, keine Integration
von Anti-Spam und Content-Filter.
ZyXEL ZyWALL 2: Content-Filter bereits verfügbar, keine Integration von weiteren
UTM-Services.
ZyWALL 5 ZyWALL 35 ZyWALL 70
UVP incl. MWST UVP incl. MWST UVP incl. MWST
569.− EUR 929.− EUR 1'429.− EUR
iCard Silver «IDP+AV» iCard Gold «IDP+AV»
1 Jahr 169.− EUR 325.− EUR 325.− EUR
2 Jahr 275.− EUR 519.− EUR 519.− EUR
iCard Silver «AS» iCard Gold «AS»
1 Jahr 80.− EUR 179.− EUR 179.− EUR
2 Jahr 125.− EUR 279.− EUR 279.− EUR
iCard Silver «CF» iCard Gold «CF»
1 Jahr 57.− EUR 249.− EUR 249.− EUR
Drei Monate Bonus
Die Services IDP+AV und Anti-Spam können drei Monate gratis getestet werden.
Wird während dieser Testzeit eine Ein- oder Zweijahres-Lizenz registriert, verlängert
sich die Laufzeit des Services um weitere drei Monate. Die Lizenzerweiterungen
sind via Fachhandel erhältlich.

Firewalls von ZyXEL
Features ZyWALL P1
(FW 4.0)
Einsatzgebiet der Firewall
Aussendienstmitarbeiter
ZyWALL 2
(FW V3.63)
Private und
Kleinfi rmen
ZyWALL 5
(FW 4.0)
Kleine und mittlere
Firmen
ZyWALL 35
(FW 4.0)
Kleine und mittlere
Firmen
ZyWALL 70
(FW 4.0)
Mittlere und grosse
Firmen
LAN/DMZ-Anschlüsse 1 x LAN 4 x LAN 4 x LAN/DMZ 4 x LAN/DMZ 1 x LAN, 4 x DMZ
WAN-Anschlüsse 1 1 1 2 2
Bandbreiten-Management - - ✓ ✓ ✓
VPN-Tunnels 1 2 10 35 100
PKI-Support für VPN ✓ ✓ ✓ ✓ ✓
Authentifi kation für VPN ✓ ✓ ✓ ✓ ✓
2 Login-Levels ✓ - - - -
Übersicht
Bridge-Modus ✓ - ✓ ✓ ✓
NAT-Session 2'048 1'024 6'000 10'000 10'000
Remote-Management (HTTPS/SNMP) ✓ ✓ ✓ ✓ ✓
Vantage CNM unterstützt ✓ ✓ ✓ ✓ ✓
Vantage VRPT unterstützt - ✓ ✓ ✓ ✓
PCMCIA-Slot (für WLAN oder Turbo-Card) - - ✓ ✓ ✓
Referenzpreis (ohne UTM) 199.− EUR 199.− EUR 548.− EUR 929.− EUR 1'279.− EUR
Technische Dienstleistungen der ZyXEL Deutschland GmbH
RMA/Reparaturen
Alle Informationen zur RMA/Reparaturenabwicklung nden Sie im Internet unter: www.zyxel.de/support
Support-Hotline
Tel.: 018 05 / 21 32 47 (12 Cent/Min.)
Die ZyXEL Hotline-Mitarbeiter bieten gern Unterstützung bei technischen Fragen von Mo. - Do. 9.00 bis 17.00 Uhr und Fr. von 9:00 bis 15:00 Uhr.
Zusätzlich bieten wir eine Hotline Nr. bei allgemeinen Netzwerk- und Betriebssystemproblemen: 0900 / 19 99 35 (1.57 EUR / Min.)
Security-Kurse
ZyXEL Deutschland bietet seit Jahren technische Weiterbildungskurse für IT-Spezialisten an, davon drei Kurse im Security-Bereich. Eine Übersicht aller
Kurse und die Möglichkeit zur Online-Anmeldung finden Sie unter http://www.zyxel.de/reseller.
19

ZyXEL Deutschland GmbH
Adenauerstrasse 20 / A2
52146 Würselen
sales@zyxel.de
www.zyxel.de
10/2005, Copyright by ZyXEL Deutschland GmbH