Einsatzgebiete ZyWALL 5

DMZ Schaltbild für die ZyWALL
ZyWALL 5
Netzwerke ohne öffentliche Server
Viele kleinere und mittlere Unternehmen bedürfen einer einfachen, kostengünstigen IT-Infrastruktur, um Email-Verkehr abzuwickeln resp. im Internet zu surfen. Dafür ist die ZyWALL 5 ideal: Bis zu vier Arbeitsplätze lassen sich über den integrierten 4-Port-Switch direkt anschliessen. Die leistungsfähige Firewall bietet in der Grundausstattung Stafeful-Packet-Inspection für einen zeitgemässen Basisschutz.



DMZ für isolierte Rechner
Oft steht ein separater Rechner z. B. nur für Supportaufgaben zur Verfügung, bei dem ab und zu USB-Memory-Sticks oder fremde CD-ROMs eingelesen werden. Hier empfiehlt es sich, diesen zu isolieren. Die ZyWALL 5 enthält dafür eine sogenannte DMZ (demilitarisierte Zone), die frei konfigurierbar ist. Der Datenaustausch zwischen DMZ und LAN ist dadurch unterbunden. Computer-Schädlinge, die auf den isolierten Supportrechner gelangen, können sich nicht auf die anderen Stationen ausbreiten. Die Sicherheit wird mit dieser einfachen Methode stark erhöht.

Datenaustausch LAN – DMZ
Ist ein Datenaustausch zwischen dem Supportrechner und den internen Arbeitsstationen nötig, so definiert man einfach Firewall-Regeln zwischen der DMZ und dem LAN-Segment. Damit sich Viren oder Trojaner nicht ausbreiten, wird die Aktivierung des Anti-Virus- / Intrusion-Prevention-Dienstes empfohlen. Dies erfordert eine Turbokarte, die in den Slot auf der Rückseite der ZyWALL 5 eingeschoben wird. Bei der ZyWALL 5 (auch ZyWALL 35) lässt sich die DMZ flexibel auf einem der vier Ethernet-Ports einrichten.



Sicheres Wireless-LAN
Wünscht ein Unternehmen ein Wireless-LAN, kann analog zum Supportrechner in der DMZ – also getrennt vom internen LAN – auch ein WLAN-Access-Point installiert werden. Dank den eigenen Firewall-Regeln der DMZ resp. der WLANZone, können z. B. Laptops mit WLAN sicher Daten über das Internet austauschen und je nach Berechtigung auf interne Daten zugreifen. Die zentralen Sicherheitsfunktionen wie Anti-Virus, Intrusion-Detection-Prevention oder Anti-Spam stehen auch für den DMZ-Port (auf ZyWALL 5, 35 und 70) zur Verfügung.

Verschlüsselter Datenaustausch / WPA-PSK
Für WLAN-Verbindungen zwischen Access-Point und Client empfiehlt sich die WPA-PSK-Sicherheitseinstellung für den verschlüsselten Datenaustausch. Jeder WLAN-Benutzer muss dazu das Start-Kennwort (WPA-PSK) einmal im WLAN-Client-Treiberprogramm hinterlegen. Damit das Kennwort bei ausscheidenden Mitarbeitern nicht geändert werden muss, bietet sich zusätzlich der Einsatz des internen RADIUS-Servers (durch ZyWALL 5, 35 und 70 unterstützt) an. Jeder Mitarbeiter erhält einen eigenen Account mit Benutzernamen und Passwort. Bevor eine WLAN-Verbindung aufgebaut wird, muss man sich authentifizieren.