Documente Academic
Documente Profesional
Documente Cultură
SonicOS 6.2
| 1
Observaes, Cuidados e Avisos
OBSERVAO: indica informaes importantes que ajudam voc a utilizar melhor seu
sistema.
Microsoft Windows 7, Windows Server 2010, Internet Explorer e Active Directory so marcas comerciais ou
registradas da Microsoft Corporation.
Adobe, Acrobat e Acrobat Reader so marcas comerciais ou marcas comerciais registradas da Adobe
Systems Incorporated nos EUA e/ou em outros pases.
Outros nomes de produtos e empresas aqui mencionados podem ser marcas comerciais e/ou marcas
comerciais registradas de suas respectivas empresas e so de propriedade exclusiva dos respectivos
fabricantes.
Parte 1. Introduo
Prefcio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
Aviso de direitos autorais . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
Garantia limitada . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
Sobre este guia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
Organizao deste guia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
Convenes do guia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
Suporte tcnico da Dell SonicWALL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
Mais informaes sobre os produtos Dell SonicWALL . . . . . . . . . . . . . . . . . . . . 36
Documentao atual . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
Captulo 1. Introduo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
Introduo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
Registrando o dispositivo de segurana da Dell SonicWALL . . . . . . . . . . . . . . . 37
Interface de gerenciamento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
Parte 2. Painel
Captulo 2. Usando o Painel de visualizao do SonicOS . . . . . . . . . . . . . . . . . . . . 49
Painel de visualizao. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
Painel > Monitor multi-core . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
Habilitando o monitor em tempo real e coleta de AppFlow. . . . . . . . . . . . . . . . . 50
Painel > Monitor em tempo real . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
Usando a barra de ferramentas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
Monitor de aplicativos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
Fluxo de largura de banda de ingresso e de egresso. . . . . . . . . . . . . . . . . . . . . 58
Monitor de taxa de pacote. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
Monitor de tamanho de pacotes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
Monitor de contagem de conexes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
Fluxo de monitor de vrios ncleos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
Monitor em tempo real do IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
Painel > Trao AppFlow . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
Painel > Monitor AppFlow . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
Opes de filtro . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
Sumrio | 3
Guias Monitor AppFlow . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
Barra de ferramentas de Monitor AppFlow . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
Opes de grupo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
Status do Monitor AppFlow . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
Exibies de Monitor AppFlow . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
Usando opes de filtragem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71
Gerando relatrio de visualizao de aplicativo . . . . . . . . . . . . . . . . . . . . . . . . . 72
Monitor do IPv6 no App Flow . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74
Painel > Relatrios AppFlow . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
Baixando assinaturas de servios de segurana da Dell SonicWALL . . . . . . . . 76
Exibindo relatrios AppFlow desde o momento do reincio. . . . . . . . . . . . . . . . . 76
Exibindo relatrios AppFlow desde o momento da ltima redefinio . . . . . . . . 76
Exibindo relatrios AppFlow na programao. . . . . . . . . . . . . . . . . . . . . . . . . . . 76
Painel > Relatrios de ameaas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78
Viso geral de relatrios de ameaas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78
Tarefas de configurao dos relatrios de ameaas. . . . . . . . . . . . . . . . . . . . . . 80
Painel > Monitor de usurio. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
Painel > Monitor BWM. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82
Painel > Monitor de conexes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82
Exibindo conexes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83
Filtrando conexes exibidas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83
Monitor de conexes do IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84
Painel > Monitor de pacotes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84
Usando o monitor de pacotes e o espelho de pacotes . . . . . . . . . . . . . . . . . . . 84
Painel > Monitor de log . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
Parte 3. Sistema
Captulo 3. Exibindo informaes de status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
Sistema > Status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
Mensagens do sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94
Informaes do sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94
ltimos alertas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
Servios de segurana . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
Interfaces de rede . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96
Captulo 4. Gerenciando licenas da Dell SonicWALL . . . . . . . . . . . . . . . . . . . . . . . 97
Sistema > Licenas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
Status da licena de ns . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98
Resumo dos servios de segurana . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98
Gerenciar servios de segurana online . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
Atualizao manual . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100
Atualizao manual para ambientes fechados . . . . . . . . . . . . . . . . . . . . . . . . . 100
| 5
Configurando o Monitor de pacotes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144
Verificando as atividades do Monitor de pacotes . . . . . . . . . . . . . . . . . . . . . . . 155
Informaes relacionadas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158
Captulo 11. Usando ferramentas de diagnstico . . . . . . . . . . . . . . . . . . . . . . . . . 163
Sistema > Diagnsticos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163
Relatrio do suporte tcnico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164
Ferramentas de diagnstico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165
Verificar configuraes de rede. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166
Monitor de conexes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167
Monitor multi-core . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169
Monitor central. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170
Monitor de link . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171
Monitor de tamanho de pacotes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172
Pesquisa de nome DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173
Pesquisa de nome DNS do IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173
Encontrar caminho de rede . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174
Ping . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174
Monitor do processo do ncleo 0 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175
Pesquisa de lista negra em tempo real . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176
Resoluo de nome reversa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176
Resoluo de nome reverso do IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176
Limite de conexo TopX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177
Verificar a pesquisa de servidor de BOTNET e localizao geogrfica . . . . . . 177
Pesquisa de MX e verificao de faixa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177
Rota de rastreamento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178
Monitor de servidor web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179
Monitor de usurios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 180
Sistema > Reiniciar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181
Parte 4. Rede
Captulo 12. Configurar interfaces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185
Rede > Interfaces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185
Configuraes de interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 186
Estatsticas de trfego de interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 186
Interfaces fsicas e virtuais . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 187
Objetos seguros do SonicOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189
Modo transparente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 190
Modo de sniffer IPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 190
Configurar interfaces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 193
Configurar o modo de sniffer IPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210
Configurar o modo de cabo e de tap . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 214
Modo de cabo com agregao de links. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 217
| 7
Viso geral de servios padro . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 294
Lista de tarefas de configurao de servios personalizados . . . . . . . . . . . . . . 294
Captulo 19. Configurar anncios de rota e polticas de rota . . . . . . . . . . . . . . . . 301
Rede > Roteamento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 301
Anncio de rota . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 302
Polticas de rota. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 304
Servios de roteamento avanado OSPF e RIP . . . . . . . . . . . . . . . . . . . . . . . . 309
Configurando os servios de roteamento avanado de RIP e OSPF . . . . . . . . 312
Configurar roteamento avanado do BGP . . . . . . . . . . . . . . . . . . . . . . . . . . . . 320
Roteamento com base em poltica e no IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . 321
Captulo 20. Configurar polticas de NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 323
Rede > Polticas de NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 323
Polticas de NAT e IPv6. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 324
Tabela de polticas de NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 325
Configuraes da poltica de NAT explicadas. . . . . . . . . . . . . . . . . . . . . . . . . . 326
Viso geral do balanceamento de carga de NAT . . . . . . . . . . . . . . . . . . . . . . . 328
Criar polticas de NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 331
Usar balanceamento de carga de NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 340
Captulo 21. Gerenciar trfego de ARP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 343
Rede > ARP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 343
Entradas ARP estticas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 344
Sub-redes secundrias com ARP esttico . . . . . . . . . . . . . . . . . . . . . . . . . . . . 344
Navegar e classificar a tabela de cache de ARP . . . . . . . . . . . . . . . . . . . . . . . 346
Navegar e classificar entradas da tabela de cache de ARP . . . . . . . . . . . . . . . 346
Liberar o cache de ARP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 346
Captulo 22. Configurando o Protocolo de Descoberta do Vizinho . . . . . . . . . . . . 347
Rede > Descoberta do vizinho (Somente IPv6) . . . . . . . . . . . . . . . . . . . . . . . . . . . 347
Captulo 23. Configurar antifalsificao de MAC-IP . . . . . . . . . . . . . . . . . . . . . . . . 349
Rede > Antifalsificao de MAC-IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 349
Viso geral da proteo de antifalsificao de MAC-IP . . . . . . . . . . . . . . . . . . 349
Configurar a proteo de antifalsificao de MAC-IP . . . . . . . . . . . . . . . . . . . . 350
Captulo 24. Configurar o servidor DHCP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 355
Rede > Servidor DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 355
Viso geral das opes do servidor DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . 357
Vrios escopos DHCP por interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 357
Configurar o servidor DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 359
Escopos de concesso de servidor DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . 361
Concesses de DHCP atuais . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 361
Configurar opes avanadas do servidor DHCP. . . . . . . . . . . . . . . . . . . . . . . 361
Configurar o servidor DHCP para intervalos dinmicos . . . . . . . . . . . . . . . . . . 366
Configurar entradas de DHCP estticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 370
Parte 5. Comutao
Captulo 29. Configurando a Comutao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 405
Comutao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 405
Viso geral da Comutao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 405
O que a Comutao? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 405
Vantagens da comutao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 406
Como funciona a comutao?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 407
Configurando a Comutao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 408
Configurando o Truncamento de VLAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 408
Configurando a Descoberta da Camada 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 411
Configurando a Agregao de links . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 412
Configurando o Espelhamento de portas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 414
Glossrio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 416
Parte 6. 3G/4G/Modem
Captulo 30. Seleo 3G/4G/Modem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 419
3G/4G/Modem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 419
Selecionar o status 3G/4G/Modem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 420
| 9
Captulo 31. Configurar 3G/4G . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 421
3G/4G . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 421
Viso geral de 3G/4G . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 421
3G/4G > Status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 427
3G/4G > Configuraes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 427
Conectar em dados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 428
Gerenciamento/Login do usurio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 428
3G/4G > Avanado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 429
Discagem acionada remotamente. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 429
Gerenciamento de largura de banda. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 430
Limite de conexo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 430
3G/4G > Perfis de conexo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 431
Guia Parmetros . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 433
Guia endereos IP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 434
Guia Programao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 435
Guia Limite de dados. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 436
Guia Avanado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 437
3G/4G > Uso de dados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 438
Habilitar a interface U0/U1/M0 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 439
Captulo 32. Configurando o modem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 441
Modem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 441
Modem > Status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 441
Modem > Configuraes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 442
Modem > Avanado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 443
Modem > Perfis de conexo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 445
Parte 7. Configuraes
Captulo 33. Gerenciando SonicPoints . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 455
SonicPoint > SonicPoints . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 455
Antes de gerenciar SonicPoints . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 456
Perfis de provisionamento do SonicPoint . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 456
Prticas recomendadas para implantao do SonicPoint . . . . . . . . . . . . . . . . . . . . 474
Pr-requisitos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 474
Comutadores testados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 475
Consideraes de fiao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 475
Canais . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 476
PoE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 477
rvore de abrangncia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 478
VTP e GVRP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 478
Agregao de porta . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 478
Transmisso de otimizao/tempestade de transmisso . . . . . . . . . . . . . . . . . 478
Problemas com VAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 479
Parte 8. Firewall
Captulo 40. Configurar regras de acesso do firewall . . . . . . . . . . . . . . . . . . . . . . 555
Firewall > Regras de acesso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 555
Viso geral de regras de acesso padro de inspeo de pacotes com
monitorao de estado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 556
Viso geral do uso do gerenciamento de largura de banda com
as regras de acesso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 557
Configurando regras de acesso para o IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . 558
Lista de tarefas de configurao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 558
| 11
Captulo 41. Configurando objetos de largura de banda . . . . . . . . . . . . . . . . . . . . 569
Firewall > Objetos de largura de banda . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 569
Gerenciamento avanado da largura de banda . . . . . . . . . . . . . . . . . . . . . . . . 569
Captulo 42. Configurar o Controle de aplicativos . . . . . . . . . . . . . . . . . . . . . . . . . 573
Controle de aplicativos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 573
Viso geral do Controle de aplicativos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 573
Licenciar o Controle de aplicativos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 606
Firewall > Controle de aplicativos avanado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 609
Firewall > Regras de acesso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 619
Configurar uma poltica de regras de aplicativos . . . . . . . . . . . . . . . . . . . . . . . 620
Usar o assistente de Controle de aplicativos . . . . . . . . . . . . . . . . . . . . . . . . . . 624
Firewall > Objetos de correspondncia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 627
Configurar objetos da lista de aplicativos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 630
Firewall > Objetos de ao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 631
Firewall > Objetos de endereos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 632
Firewall > Objetos de servios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 632
Firewall > Objetos de largura de banda . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 633
Firewall > Objetos de endereo de e-mail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 633
Verificar configurao do controle de aplicativos . . . . . . . . . . . . . . . . . . . . . . . 634
Casos de uso do controle de aplicativos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 641
Glossrio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 667
| 13
Definir configuraes DPI-SSL do servidor . . . . . . . . . . . . . . . . . . . . . . . . . . . . 766
| 15
Uso do NetExtender . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 901
Configurao de Marcadores SSL VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 927
Uso de Marcadores SSL VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 931
| 17
YouTube for School no suporte de filtragem de contedo . . . . . . . . . . . . . . . 1190
Captulo 64. Ativando o SonicWALL Client Anti-Virus . . . . . . . . . . . . . . . . . . . . . 1199
Servios de segurana > Antivrus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1199
Ativando o cliente antivrus do SonicWALL. . . . . . . . . . . . . . . . . . . . . . . . . . . 1199
Ativando uma AVALIAO GRATUITA do SonicWALL Client Anti-Virus . . . 1200
Configurando o servio do Client Anti-Virus . . . . . . . . . . . . . . . . . . . . . . . . . . 1201
Captulo 65. Configurao de Imposio do CF do cliente . . . . . . . . . . . . . . . . . 1203
Servios de segurana > Imposio do CF do cliente . . . . . . . . . . . . . . . . . . . . . 1203
Habilitao e configurao da Client CF Enforcement . . . . . . . . . . . . . . . . . . 1204
Habilitao do CFS do cliente em zonas da rede . . . . . . . . . . . . . . . . . . . . . . 1206
Captulo 66. Gerenciamento de Gateway do SonicWALL
Servio de antivrus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1209
Servios de segurana > Antivrus do Gateway . . . . . . . . . . . . . . . . . . . . . . . . . . 1209
Abordagem em vrias camadas do SonicWALL GAV . . . . . . . . . . . . . . . . . . 1210
Downloads de arquivo HTTP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1211
Arquitetura do SonicWALL GAV . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1212
Criando uma conta no mysonicwall.com . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1214
Registrando seu dispositivo de segurana de rede Dell SonicWALL . . . . . . . 1215
Ativando a licena do Gateway Anti-Virus, Anti-spyware e IPS . . . . . . . . . . . 1215
Ativando AVALIAES GRATUITAS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1217
Configurando a proteo SonicWALL Gateway Anti-Virus . . . . . . . . . . . . . . . 1217
Ativando o SonicWALL GAV . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1218
Aplicando a proteo SonicWALL GAV em interfaces . . . . . . . . . . . . . . . . . . 1218
Aplicando a proteo SonicWALL GAV em zonas . . . . . . . . . . . . . . . . . . . . . 1218
Visualizando informaes de status do SonicWALL GAV. . . . . . . . . . . . . . . . 1219
Atualizando assinaturas do GAV do SonicWALL . . . . . . . . . . . . . . . . . . . . . . 1220
Especificando filtragem de protocolo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1220
Habilitando inspeo de entrada . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1221
Habilitando a inspeo de sada . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1221
Restringindo transferncia de arquivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1222
Definindo as configuraes do gateway AV . . . . . . . . . . . . . . . . . . . . . . . . . . 1223
Configurando notificao sem cliente HTTP . . . . . . . . . . . . . . . . . . . . . . . . . . 1223
Configurando uma lista de excluso de SonicWALL GAV . . . . . . . . . . . . . . . 1224
Banco de dados do antivrus na nuvem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1224
Exibindo assinaturas do GAV do SonicWALL . . . . . . . . . . . . . . . . . . . . . . . . . 1225
Captulo 67. Ativando o Intrusion Prevention Service . . . . . . . . . . . . . . . . . . . . . 1229
Servios de Segurana > Intrusion Prevention Service . . . . . . . . . . . . . . . . . . . . 1229
Viso geral do Servio de preveno contra invases . . . . . . . . . . . . . . . . . . 1229
Configurando o Servio de preveno contra invases . . . . . . . . . . . . . . . . . 1237
Captulo 68. Ativando o servio anti-spyware . . . . . . . . . . . . . . . . . . . . . . . . . . . 1247
Servios de segurana > Anti-spyware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1247
| 19
Tabelas dinmicas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1294
AppFlow > Servidor GMSFlow . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1299
AppFlow > Servidor AppFlow . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1301
Definir configuraes do servidor AppFlow . . . . . . . . . . . . . . . . . . . . . . . . . . . 1302
Verificar a configurao do servidor AppFlow . . . . . . . . . . . . . . . . . . . . . . . . . 1302
Implantar um servidor AppFlow de coletor externo . . . . . . . . . . . . . . . . . . . . . 1304
Visualizar os monitores de AppFlow a partir de um servidor AppFlow . . . . . . 1305
AppFlow > Monitor em tempo real . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1313
AppFlow > Trao AppFlow . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1314
AppFlow > Monitor de AppFlow . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1314
AppFlow > Relatrios AppFlow . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1314
| 21
Visualizao de IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1498
Monitoramento de alta disponibilidade de IPv6. . . . . . . . . . . . . . . . . . . . . . . . 1499
Monitoramento e diagnstico de IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1500
Introduo
| 23
24 | Guia do Administrador do SonicOS 6.2
Prefcio
Prefcio
Garantia limitada
Todos os dispositivos Dell SonicWALL vm com um ano de Garantia Limitada de Hardware,
que fornece entrega de peas de reposio importantes para peas defeituosas na garantia.
Alm disso, para 90 dias a contar da data de incio da garantia, alguns dispositivos Dell
SonicWALL tm direito a uma Garantia Limitada de Software, que fornece correes,
atualizaes e quaisquer verses de manuteno que ocorrerem durante o perodo de
cobertura. Visite a pgina de Informaes de garantia em
http://www.sonicwall.com/us/support/Services.html#tab=warranty
para obter detalhes sobre a garantia do produto.
Prefcio | 25
Sobre este guia
Bem-vindo ao Guia do Administrador do SonicOS 6.2 Este manual fornece as informaes que
voc precisa para ativar, configurar e administrar com xito os dispositivos de segurana de
rede Dell SonicWALL executando o SonicOS 6.2.
NSA 6600
NSA 5600
NSA 4600
NSA 3600
NSA 2600
SuperMassive 9600
SuperMassive 9400
SuperMassive 9200
Parte 1 Introduo
Esta parte fornece uma viso geral dos novos recursos do SonicOS, convenes do guia,
informaes de suporte e uma viso geral da interface de gerenciamento do SonicOS.
Parte 2 Painel
O Painel de visualizao oferece aos administradores uma interface eficaz e eficiente para
monitorar visualmente a rede em tempo real, oferecendo eficientes grficos de fluxo de dados
em tempo real, regras personalizveis e configuraes flexveis de interface.
A parte de Painel contm as seguintes sees:
Monitor Multi-Core Exibe as estatsticas atualizadas dinamicamente da utilizao dos
ncleos individuais do Dispositivo de Segurana da Dell SonicWALL.
Monitor em tempo real Fornece aos administradores uma exibio multifuncional e
inclusiva, com informaes sobre aplicativos, uso de largura de banda, taxa de pacotes,
tamanho de pacote, taxa de conexo, contagem de conexes e monitoramento de vrios
ncleos.
Painel AppFlow Fornece as mesmas informaes fornecidas em Painel > Relatrios
AppFlow. Somente no Painel AppFlow as informaes so mostradas em grficos para o
primeiro de dez itens em cada categoria.
Monitoramento de AppFlow Fornece aos administradores de rede dados em tempo
real de entrada e sada. Vrios modos de exibio e opes personalizveis na Interface
de Monitoramento de AppFlow ajudam a visualizar os dados de trfego por aplicativos,
usurios, URLs, iniciadores, respondentes, ameaas, VoIP, VPN, dispositivos ou por
contedo.
Relatrios de AppFlow Fornece aos administradores relatrios agendados
configurveis por aplicativos, vrus, invases, spyware e classificao de URL. Estatsticas
de Relatrios de AppFlow permitem que os administradores de rede exibam um relatrio
agregado de nvel superior do que est acontecendo em sua rede.
Parte 3 Sistema
Esta parte abrange controles de firewall variados para gerenciamento de informaes de status
do sistema, registro de firewall, ativao e gerenciamento de licenas, configurao de opes
de gerenciamento, gerenciamento de verses de firmware e uso de ferramentas de diagnstico
para soluo de problemas.
A parte de Sistema contm as seguintes sees:
Status Fornece informaes do sistema, como verso de firmware e tempo de atividade
do sistema, status de licena dos servios, mensagens de alerta de lmina por firewall e
atribuies de zona de interface de rede e status do link.
Licenas Descreve como ativar, fazer upgrade ou renovar licenas dos Servios de
segurana Dell SonicWALL. Nessa pgina, voc pode gerenciar todos os Servios de
segurana Dell SonicWALL licenciados para seu Dispositivo de Segurana Dell
SonicWALL.
Administrao Fornece definies para a configurao do Dispositivo de Segurana
da Dell SonicWALL para o gerenciamento remoto e seguro. Voc pode gerenciar o firewall
usando uma variedade de mtodos, incluindo HTTPS, SNMP ou Dell SonicWALL GMS.
Certificados Descreve como implementar o uso de certificados para polticas de VPN
e como localizar fontes para certificados de CA vlidos de servios de autoridade de
certificao de terceiros.
Hora Descreve como definir as configuraes de data e hora para eventos de log de
carimbo de data/hora, como atualizar automaticamente os servios de segurana e como
usar data e hora para outros fins internos.
Cronogramas Descreve como criar e gerenciar objetos para impor horrios de agenda
para uma variedade de recursos de firewall.
Configuraes Descreve como gerenciar as preferncias e verses do SonicOS do seu
firewall.
Monitor de pacote Descreve como monitorar pacotes de dados individuais que cruzam
seu firewall. O recurso de monitoramento de pacote fornece a funcionalidade para
examinar o trfego de rede sem o uso de utilitrios externos.
Diagnstico Fornece vrias ferramentas de diagnsticos que ajudam a solucionar
problemas de rede, bem como Conexes ativas, CPU e Monitores de processos.
| 27
Reiniciar Fornece instrues sobre como reiniciar o firewall a partir da interface de
Gerenciamento da Web.
Parte 4 Rede
Esta parte cobre a configurao do Dispositivo de segurana Dell SonicWALL para o seu
ambiente de rede. A seo de Rede da interface de gerenciamento inclui:
A parte de Rede contm as seguintes sees:
Interfaces Configura interfaces lgicas para conectividade. Configurar objetos de
interface que esto vinculados diretamente a interfaces fsicas. O esquema do SonicOS de
endereamento de interface funciona em conjunto com zonas de rede e objetos de
endereo.
Failover e LB Configura uma das interfaces definidas pelo usurio para agir como uma
porta WAN secundria para backup ou balanceamento de carga.
Zonas Configura zonas de segurana em sua rede.
DNS Define os servidores DNS para a resoluo de nome.
Objetos de endereos Configura host, rede e objetos de endereo. Objetos de
endereos uma das quatro classes de objeto (Endereo, Usurio, Servio e Cronograma)
no SonicOS. Esses Objetos de endereos permitem que entidades sejam definidas uma
vez e novamente sejam usadas em vrias instncias referenciais por toda a interface do
SonicOS.
Servios Configura objetos de servios a serem usados em regras de acesso de rede
para permitir ou negar o trfego para a rede. O Dispositivo de Segurana Dell SonicWALL
inclui os servios Padro. Os servios Padro so servios predefinidos que no so
editveis. E voc tambm pode criar Servios personalizados para configurar os servios
de firewall de forma a atender suas necessidades de negcios especficas.
Roteamento Visualiza a Tabela de Rota, Cache de ARP e configura o roteamento
esttico e dinmico por interface.
Polticas de NAT Cria polticas de NAT incluindo Um-para-um NAT, Muitos-para-um
NAT, Muitos-para-muitos NAT ou Um-para-muitos NAT.
ARP Visualiza as configuraes de ARP, limpa o cache de ARP e configura o tempo de
cache de ARP.
Antifalsificao de MAC-IP Configura a proteo Antifalsificao de MAC-IP no
SonicOS.
Servidor DHCP Configura o firewall como um Servidor DHCP na rede para atribuir
dinamicamente endereos IP a computadores em suas zonas LAN ou DMZ.
Auxiliar de IP Configura o firewall para encaminhar solicitaes DHCP com origem em
interfaces no firewall para um servidor centralizado em nome do cliente solicitante.
Proxy da Web Configura o firewall para encaminhar automaticamente todas as
solicitaes de proxy da Web para um servidor de proxy da rede.
DNS dinmico Configura o firewall para registrar dinamicamente seu endereo IP de
WAN com um provedor DDNS.
Monitoramento de rede Monitora a viabilidade do caminho de rede. Os resultados e
status deste monitoramento so exibidos dinamicamente na pgina de Monitoramento de
rede e so tambm fornecidos para componentes de cliente afetados e registrados no log
do sistema. Cada poltica de Monitoramento de rede personalizada define um destino de
Objeto de endereo a ser analisado. Este Objeto de endereo pode ser um Host, Grupo,
Intervalo ou FQDN. Quando o Objeto de endereo de destino for um Grupo, Intervalo ou
FQDN com vrios endereos resolvidos, o Monitoramento de rede investiga o destino de
investigao e deriva o estado da Poltica de Monitoramento de rede com base nos
resultados.
Parte 6 Firewall
Esta parte descreve as Regras de acesso e Regras de aplicativos, que so polticas
especficas de aplicativos que fornecem controle granular sobre o trfego de rede ao nvel dos
usurios, usurios de e-mail, programaes e sub-redes de IP. A funcionalidade principal deste
recurso de camada de aplicativo regular a navegao na Web, a transferncia de arquivos,
as mensagens de e-mail e os anexos de e-mail.
A parte de Firewall contm as seguintes sees:
Regras de acesso
Regras de aplicativos
Controle de aplicativos avanado
Objetos de correspondncia
Objetos de ao
Objetos de endereos
Objetos de servio
Objetos de endereo de e-mail
| 29
BWM
Proteo contra inundao
Difuso seletiva
Mapeamento QoS
Controle de SSL
Parte 8 DPI-SSL
Esta parte descreve o recurso de Deep Packet Inspection of Secure Socket Layer (DPI-SSL)
para permitir a inspeo de trfego HTTPS criptografado e outro trfego baseado em SSL.
A parte de DPI-SSL contm as seguintes sees:
Cliente SSL O Cliente DPI-SSL usado para inspecionar o trfego HTTPS quando os
clientes na LAN do firewall do Dispositivo de Segurana Dell SonicWALL acessam
contedo localizado na WAN.
Servidor SSL O Servidor DPI-SSL usado para inspecionar o trfego HTTPS quando
clientes remotos estabelecem uma conexo por meio de WAN para acessar o contedo
localizado na LAN do Dispositivo de Segurana da Dell SonicWALL.
Parte 9 VoIP
Esta parte fornece instrues para configurar o Dispositivo de Segurana Dell SonicWALL para
oferecer suporte a conexes H.323 ou SIP Voice over IP (VoIP).
A parte de VoIP contm as seguintes sees:
Configuraes
Status de chamada
Parte 10 Anti-spam
Esta parte fornece um mtodo rpido, eficiente e eficaz de adicionar recursos anti-spam,
anti-phishing e antivrus ao seu firewall existente.
A parte de anti-spam contm as seguintes sees:
Status
Configuraes
Estatsticas
RBLFilter
Resumo da lixeira de e-mail
Exibio da Caixa de Lixo Eletrnico
Configuraes da Caixa de Lixo Eletrnico
Configurao de exibio do usurio
Catlogos de Endereos
Gerenciar Usurios
Configurao LDAP
Avanado
Downloads
| 31
Status de convidados
Parte 19 Log
Esta parte cobre o gerenciamento do log, alerta e relatrios aprimorados do Dispositivo de
Segurana Dell SonicWALL. Os recursos de log do Dispositivo de Segurana Dell SonicWALL
oferecem um conjunto abrangente de categorias de log para monitorar as atividades de rede
e de segurana.
A parte de Log contm as seguintes sees:
Visualizao
Categorias
Log do sistema
Automao
Resoluo de nome
Relatrios
Relatrios do
Parte 20 Anexos
Anexo A: CLI
Este apndice aborda a interface de linha de comando (CLI) para o firewall. Fornece uma lista
de comandos CLI, descries de sintaxe e exemplos de configurao.
Anexo B: BGP
Este apndice fornece uma viso geral sobre a implementao do Border Gateway Protocol
(BGP), como funciona e como configur-lo para a sua rede.
Anexo C: Assistentes
Este apndice descreve como usar os Assistentes de Configurao para configurar o
dispositivo de segurana de rede Dell SonicWALL.
A parte de Log contm as seguintes sees:
O Assistente de instalao leva voc passo a passo na configurao de rede para
conectividade com a Internet.
O Assistente de servidor pblico leva voc passo a passo na adio de um servidor
sua rede, como um servidor de e-mail ou um servidor Web.
| 33
O Assistente de poltica de VPN acompanha-o passo a passo na configurao de VPNs
de grupo e VPNs site-a-site.
O Assistente de Regras de aplicativos leva voc passo a passo na criao de Regras
de aplicativo.
Anexo D: IPv6
Este apndice fornece uma viso geral da implementao de IPv6 do SonicOS, de como o IPv6
opera e de como configurar o IPv6 em sua rede.
Conveno Uso
Negrito Destaca itens que voc seleciona na interface de gerenciamento do
firewall.
Itlico Destaca um valor a ser inserido em um campo. Por exemplo, digite
192.168.168.168 no campo Endereo IP.
Item de menu > Item de Menu Indica opes de menu variadas na Interface de Gerenciamento.
Por exemplo, Servios de segurana > Filtro de contedo
significa selecionar Servios de Segurana e, em seguida,
selecionar Filtro de contedo.
NOTA: indica uma informao importante que ajuda voc a fazer melhor uso de seu sistema.
| 35
Mais informaes sobre os produtos Dell SonicWALL
Entre em contato com Vendas e Suporte Dell SonicWALL para obter informaes sobre
produtos e servios Dell SonicWALL em:
Telefone e Web: http://www.sonicwall.com/us/company/286.html
E-mail: sales@sonicwall.com
Documentao atual
Verifique o site de documentao da Dell SonicWALL para as verses mais recentes deste
manual e todas as outras documentaes de produtos da Dell SonicWALL.
http://www.sonicwall.com/us/Support.html
Introduo
Esta seo fornece uma viso geral guiada da interface de gerenciamento do SonicOS.
Antes do registro
Se o dispositivo de segurana da Dell SonicWALL no estiver registrado, a seguinte
mensagem ser exibida na pasta Servios de segurana na pasta Sistema > Status na
interface de gerenciamento da Dell SonicWALL: A SonicWALL no est registrada. Clique
aqui para registrar a SonicWALL. necessrio uma conta mysonicwall.com para registrar o
dispositivo de segurana da Dell SonicWALL.
Se o dispositivo de segurana da Dell SonicWALL estiver conectado Internet, ser possvel
criar uma conta mysonicwall.com e registrar seu firewall diretamente da interface de
gerenciamento da Dell SonicWALL. Se voc j possuir uma conta mysonicwall.com, poder
registrar o firewall diretamente na interface de gerenciamento.
A conta mysonicwall.com pode ser acessada de qualquer conexo com a Internet que aponte
seu navegador da web para https://www.mysonicwall.com. mysonicwall.com usa o protocolo
HTTPS (Hypertext Transfer Protocol Secure) para proteger as informaes confidenciais.
Introduo | 37
Nota Certifique-se de que as configuraes Fuso horrio e DNS no firewall estejam corretas ao
registrar o dispositivo.
Etapa 1 Na seo Servios de segurana na pgina Sistema > Status, clique no link atualizar o
registro.
Etapa 2 Clique no link Caso no tenha uma conta mysonicwall, clique aqui para criar uma.
Etapa 3 Na pgina Conta MySonicWALL insira suas informaes nos campos Informaes de conta,
Informaes pessoais e Preferncias no formulrio da conta mysonicwall.com. Todos os
campos marcados com um * so os campos obrigatrios.
Etapa 1 Na seo Servios de segurana na pgina Sistema > Status, clique no link registrar em A
SonicWALL no est registrada. Clique aqui para registrar a SonicWALL. A pgina Login
de mysonicwall exibida.
Etapa 2 Na pgina Login de mysonicwall.com, insira o nome de usurio e senha de mysonicwall.com
nos campos Nome do usurio e Senha e clique em Enviar.
Etapa 3 As prximas pginas o informam sobre avaliaes gratuitas disponveis para os servios de
segurana da SonicWALL:
Gateway Anti-Virus - protege sua rede toda contra vrus
Client Anti-Virus - protege os computadores de sua rede contra vrus
Premium Content Filtering Service - protege sua rede e melhora a produtividade,
limitando o acesso a sites improdutivos e inadequados
Intrusion Prevention Service - protege sua rede contra cavalos de Troia, vermes e
ataques na camada de aplicativos
Controle de aplicativos - impe como aplicativos e recursos de largura de banda so
usados na rede
Visualizao de aplicativos - permite que os administradores visualizem o trfego de
aplicativos usando grficos em tempo real e monitores de fluxo
Etapa 4 Clique em Continuar em cada pgina.
Etapa 5 Na parte superior da pgina Pesquisa do produto, insira um nome amigvel para o firewall no
campo Nome amigvel e conclua a pesquisa do produto opcional.
Etapa 6 Clique em Enviar.
Etapa 7 Quando o servidor de mysonicwall.com tiver concludo o processamento do registro, uma
pgina ser exibida, confirmando que o dispositivo de segurana da Dell SonicWALL est
registrado.
Etapa 8 Clique em Continuar. A tabela Gerenciar servios on-line na pgina Sistema > Licenas
exibida.
Introduo | 39
Interface de gerenciamento
O SonicOS fornece uma interface grfica fcil de usar para configurar seu dispositivo de
segurana de rede. As sees a seguir fornecem uma viso geral dos recursos principais da
interface de gerenciamento:
Interface de usurio dinmica na pgina 40
Navegar na interface de gerenciamento na pgina 41
cones comuns na interface de gerenciamento na pgina 41
Barra de status na pgina 42
Aplicar alteraes na pgina 42
Dicas de ferramenta na pgina 42
Navegar em tabelas dinmicas na pgina 44
Obter ajuda na pgina 45
Assistentes na pgina 45
Efetuar logout na pgina 45
Introduo | 41
Barra de status
A barra Status na parte inferior da janela de interface de gerenciamento exibe o status de
aes executadas na interface de gerenciamento.
Aplicar alteraes
Clique no boto Aceitar na parte superior da interface de gerenciamento para salvar quaisquer
alteraes de configurao realizadas na pgina.
Dicas de ferramenta
O SonicOS fornece dicas de ferramenta incorporadas ou pequenas janelas pop-up que so
exibidas quando voc passa seu mouse sobre um elemento na interface de gerenciamento.
Elas fornecem breves informaes que descrevem o elemento. As dicas de ferramentas so
exibidas para muitos formulrios, botes, ttulos de tabelas e entradas.
O comportamento das dicas de ferramenta pode ser configurado na pgina Sistema >
Administrao.
As dicas de ferramenta esto habilitadas por padro. Para desabilitar as dicas de ferramenta,
desmarque a caixa de seleo Habilitar dica de ferramenta. possvel configurar o perodo
de tempo antes de as dicas de ferramenta serem exibidas:
Atraso de dica de ferramenta de formulrio durao, em milissegundos, antes de as dicas
de ferramenta serem exibidas para formulrios (as caixas onde voc insere texto).
Atraso de dica de ferramenta de boto durao, em milissegundos, antes de as dicas de
ferramenta serem exibidas para botes de opo e caixas de seleo.
Atraso de dica de ferramenta de texto durao, em milissegundos, antes de as dicas de
ferramenta serem exibidas para texto da interface de usurio.
Introduo | 43
Navegar em tabelas dinmicas
Na interface de usurio dinmica do SonicOS, as estatsticas de tabela e as entradas de log
so agora atualizadas dinamicamente na interface de usurio sem exigir que os usurios
recarreguem seus navegadores. Voc pode navegar em tabelas na interface de gerenciamento
com vrias entradas usando os botes de navegao localizados no canto superior direito da
tabela.
A barra de navegao em tabela inclui botes para deslocamento nas pginas da tabela.
Um nmero de tabelas agora inclui uma opo para especificar o nmero de itens exibidos por
pgina.
Muitas tabelas agora podem ser classificadas novamente clicando nos ttulos das vrias
colunas. Em tabelas que so classificveis, uma dica de ferramenta "Clique para classificar
por" aparece ao passar o mouse sobre os ttulos da coluna. Quando as tabelas so
classificadas, as entradas com o mesmo valor para a coluna so agrupadas em conjunto com
o valor comum sombreado como um subttulo. No exemplo a seguir, a tabela Conexes ativas
classificada por IP de origem.
As conexes ativas, sesses de usurio, chamadas VoIP e atividades semelhantes podem ser
desconectadas ou liberadas dinamicamente atravs de um nico clique no cone de excluso
na coluna Liberar ou Efetuar logout.
Vrias tabelas incluem um cone de estatsticas de tabela que exibe um resumo breve e
de atualizao dinmica de informaes relativas a essa entrada da tabela. As tabelas com o
cone de estatsticas incluem:
Polticas de NAT na pgina Rede > Polticas de NAT
Regras de acesso na pgina Firewall > Regras de acesso
Protocolos de retransmisso na pgina Rede > Auxiliar de IP
Polticas de regras de aplicativos na pgina Firewall > Regras de acesso
As tabelas que exibem a dica de ferramenta de entrada mxima incluem polticas de NAT,
regras de acesso, objetos de endereos e grupos de endereos.
Obter ajuda
O canto superior direito de cada pgina da interface de gerenciamento possui as quatro
opes seguintes nas quais voc pode clicar:
Assistentes
Ajuda
Efetuar logout
Modo: Configurao
Assistentes
Cada firewall inclui uma opo de Assistente de configurao que o orienta em vrias
configuraes de firewall, como configurao de rede WAN, configurao de rede LAN,
configurao de rede LAN sem fio e configurao de modem 3G/4G. Se clicar em Assistentes,
obtm acesso ao Assistente de configurao.
Ajuda
Cada firewall inclui ajuda on-line baseada na Web que explica como usar pginas de interface
de gerenciamento e como configurar o firewall. Se clicar em Ajuda, obtm acesso ajuda
sensvel ao contexto para a pgina.
Efetuar logout
Cada firewall inclui uma opo para Efetuar logout que finaliza a sesso de interface de
gerenciamento e exibe a pgina de autenticao para efetuar logon no firewall. Se clicar em
Efetuar logout, efetuado o seu logout do firewall.
Introduo | 45
Modo: Configurao
Cada firewall inclui uma opo Modo: Configurao que alterna o modo de configurao da
interface de gerenciamento entre o modo de Configurao e No configurao. No modo de
Configurao, voc pode realizar alteraes nas configuraes do firewall. No modo de No
configurao, voc pode somente visualizar as configuraes do firewall. Se clicar na seta
junto de Modo: Configurao, permitido alternar entre o modo de configurao e o modo de
no configurao.
Painel
| 47
48 | Guia do Administrador do SonicOS 6.2
Captulo 2
Usando o Painel de visualizao do
SonicOS
Painel de visualizao
O Painel de visualizao oferece aos administradores uma interface eficaz e eficiente para
monitorar visualmente a rede em tempo real, oferecendo eficientes grficos de fluxo de dados
em tempo real, regras personalizveis e configuraes flexveis de interface. Com o Painel de
visualizao, os administradores podem exibir com eficincia e classificar os dados de rede e
a largura de banda em tempo real para:
Identificar os aplicativos e sites com demandas de alta largura de banda
Ver o uso de aplicativos em uma base por usurio
Antecipar ataques e ameaas encontradas pela rede
Este documento contm as seguintes sees:
Painel > Monitor multi-core na pgina 50
Painel > Monitor em tempo real na pgina 53
Painel > Trao AppFlow na pgina 63
Painel > Monitor AppFlow na pgina 64
Painel > Relatrios AppFlow na pgina 75
Painel > Relatrios de ameaas na pgina 78
Painel > Monitor de usurio na pgina 81
Painel > Monitor BWM na pgina 82
Painel > Monitor de conexes na pgina 82
Painel > Monitor de pacotes na pgina 84
Painel > Monitor de log na pgina 89
Nota Para maior convenincia e acessibilidade, o Monitor multi-core pode ser acessado na
pgina Painel > Monitor multi-more ou na pgina Sistema > Diagnstico. A exibio
Monitor multi-core idntica, independentemente da guia atravs da qual acessada.
Etapa 1 Navegue para a pgina AppFlow > Relatrio de fluxo na interface de gerenciamento do
SonicOS. Para a coleo de fluxo no dispositivo, marque a caixa de seleo Relatar AppFlow
para coletor interno.
a. Marque a caixa de seleo Habilitar coleta de dados em tempo real e selecione o menu
suspenso Coletar dados em tempo real para os relatrios que deseja ver capturados:
Principais aplicativos
Bits por segundo
b. Para habilitar esses relatrios, clique no boto Aceitar para salvar as alteraes.
Formatos disponveis
Os administradores so capazes de ver os grficos de fluxo do aplicativo em um formato de
grfico de barras ou de grfico de fluxo. O formato de grfico de barras exibe aplicativos
individualmente, permitindo que os administradores comparem os aplicativos. Neste grfico, o
eixo x exibe o nome dos aplicativos. O eixo y exibe a quantidade de trfego para cada
aplicativo. O exemplo a seguir uma exibio de "Grfico de fluxo".
O formato do grfico de fluxo exibe dados de aplicativos empilhados. Neste grfico, o eixo x
exibe a hora atual e o eixo y exibe o trfego para cada aplicativo. O exemplo a seguir uma
exibio de "Grfico de barras".
Dicas de ferramentas
Rolar sobre as interfaces fornece dicas de ferramentas com informaes sobre a zona, o
endereo IP e o status atual da porta atribudos interface.
Opes de filtro
As Opes de filtro de Monitor AppFlow permitem que o administrador filtre os dados de
entrada e em tempo real. Os administradores podem aplicar, criar e excluir filtros
personalizados para personalizar as informaes que desejam ver. As Opes de filtro se
aplicam a todas as guias de Fluxo de aplicativo. Consulte Usando opes de filtragem na
pgina 71.
A guia Aplicativos exibe uma lista de aplicativos que acessam a rede atualmente.
A guia Usurios exibe uma lista de usurios conectados rede atualmente.
A guia URLs exibe uma lista de URLs acessadas pelos usurios atualmente.
A guia Iniciadores exibe detalhes sobre iniciadores de conexo atual.
A guia Respondentes exibe detalhes sobre respondentes de conexo atual.
A guia Ameaas exibe uma lista de ameaas encontradas pela rede.
A guia VoIP exibe o trfego atual de VoIP e de mdia.
A guia VPN exibe uma lista de sesses VPN conectadas rede.
A guia Dispositivos exibe uma lista de dispositivos conectados atualmente rede.
A guia Contedos exibe informaes sobre o tipo de trfego que passa pela rede.
Opes de grupo
A opo Grupo classifica os dados com base no grupo especificado. Cada guia contm opes
de agrupamentos diferentes.
A guia Aplicativos pode ser agrupada por:
Aplicativo: Exibe todo o trfego gerado por aplicativos individuais.
Categoria: Agrupa todo o trfego gerado por uma categoria de aplicativo.
A guia Usurios pode ser agrupada por:
Nome do usurio: Agrupa todo o trfego gerado por um usurio especfico.
Endereo IP: Agrupa todo o trfego gerado por um endereo IP especfico.
Nome de domnio: Agrupa todo o trfego gerado por um nome de domnio especfico.
Tipo de autenticao: Agrupa todo o trfego gerado por um mtodo de autorizao
especfico.
A guia URL pode ser agrupada de acordo com:
URL: Exibe todo o trfego gerado por cada URL.
Nome de domnio: Agrupa todo o trfego gerado por um nome de domnio.
Classificao: Agrupa todo o trfego gerado com base na classificao CFS.
A guia Iniciadores pode ser agrupada de acordo com:
Endereo IP: Agrupa todo o trfego gerado por um endereo IP especfico.
Interface: Agrupa todo o trfego de acordo com a interface do firewall.
Pas: Agrupa todo o trfego gerado por cada pas, com base no banco de dados do IP
do pas.
Nome de domnio: Agrupa todo o trfego gerado por um nome de domnio.
A guia Respondentes pode ser agrupada de acordo com:
Endereo IP: Agrupa todo o trfego por endereo IP.
Exibio de lista
Na Exibio de lista, cada guia AppFlow composta por colunas que exibem dados em tempo
real. Essas colunas so organizadas em categorias classificveis.
Caixa de seleo: Permite que o administrador selecione o item de linha para a criao
de filtros.
Detalhes do aplicativo
Cada item listado na coluna principal fornece um link para uma caixa de dilogo Detalhes do
aplicativo. Uma exibio aparecer quando os links de item forem clicados. A caixa de dilogo
fornece:
Descrio do item
Informaes pertinentes categoria, nvel de ameaa, tipo de tecnologia no qual o item se
inclui e outras informaes adicionais
Os detalhes do aplicativo sero particularmente teis quando um Administrador no
reconhecer o nome de um aplicativo.
Depois que o relatrio for gerado, um resumo executivo ser fornecido na parte superior do
relatrio para obter uma viso geral holstica da rede. O relatrio contm uma captura
instantnea em tempo real do trfego de rede para orient-lo na implementao de novas
polticas de gerenciamento de largura de banda. Um exemplo, o relatrio Uso do aplicativo e
anlise de risco fornecido abaixo listando os aplicativos com o uso mais alto de largura de
banda, sua categoria de aplicativo, o nmero de sesses, nvel de risco do aplicativo e uma
descrio detalhada do aplicativo.
Etapa 1 Navegue at a pgina AppFlow > Relatrios AppFlow. Selecione Na programao no menu
suspenso Ver e clique no boto Configurar. A pgina de opes Programar relatrio exibida.
Benefcios
Os Relatrios de ameaas fornecem as informaes de proteo contra ameaas mais
recentes para mant-lo informado sobre ameaas potenciais que esto sendo bloqueadas por
dispositivos de segurana da Dell SonicWALL. Se voc se inscrever em servios de segurana
da Dell SonicWALL, incluindo Gateway Anti-Virus, Gateway Anti-Spyware, Intrusion Prevention
Service (IPS) e Content Filtering Service, ser protegido automaticamente contra as ameaas
relatadas pelos Relatrios de ameaas da Dell SonicWALL. Os servios de segurana do
SonicOS incluem novas atualizaes de assinatura contnuas para proteo contra os ataques
de vrus e spyware mais recentes.
Para ser protegido contra as ameaas relatadas nos Relatrios de ameaas da Dell
SonicWALL, recomendvel adquirir os servios de segurana da Dell SonicWALL. Para obter
mais informaes sobre os servios de segurana da Dell SonicWALL, consulte Servios de
segurana na pgina 1155.
Para obter explicaes sobre os indicadores de status na parte superior da pgina, consulte
Noes bsicas sobre os indicadores de status na pgina 155.
Os outros botes e exibies nesta pgina so descritos nas sees a seguir:
Iniciando e interrompendo a captura de pacotes na pgina 86
Iniciando e parando o espelho de pacotes na pgina 86
Exibindo pacotes capturados na pgina 86
Abreviao Definio
i Interface
hc Criptografia ou descriptografia baseada em hardware
sc Criptografia ou descriptografia baseada em software
m Difuso seletiva
r Remontagem do pacote
s Pilha de sistema
IP Auxiliar de IP
f Fragmentao
Status do
pacote Valor exibido Definio de valor exibido
Descartado ID do Mdulo = <nmero Valor para o ID do subsistema de protocolo
inteiro>
Cdigo de descarte = Motivo para descartar o pacote
<nmero inteiro>
ID de referncia: <cdigo> Dados especficos SonicWALL
Consumido ID do Mdulo = <nmero Valor para o ID do subsistema de protocolo
inteiro>
Sistema
| 91
92 | Guia do Administrador do SonicOS 6.2
Captulo 3
Exibindo informaes de status
Mensagens do sistema
As informaes consideradas relativas a possveis problemas com as configuraes no
dispositivo de segurana da Dell SonicWALL como senha, mensagens de log, bem como as
notificaes de ofertas de servios de segurana da Dell SonicWALL, novas notificaes de
firmware e futuras expiraes do servio de segurana so exibidas na seo Mensagens do
sistema.
Informaes do sistema
As informaes a seguir so exibidas nesta seo:
Modelo produto Tipo de dispositivo de segurana da Dell SonicWALL.
Cdigo de produto o cdigo numrico para o modelo do Dispositivo de Segurana Dell
SonicWALL.
Nmero de srie tambm o endereo MAC do dispositivo de segurana da Dell
SonicWALL.
Cdigo de autenticao o cdigo alfanumrico usado para autenticar o dispositivo de
segurana da Dell SonicWALL no banco de dados de registro em https://www.mysonicwall.com.
Verso de firmware - a verso do firmware carregado no dispositivo de segurana da Dell
SonicWALL.
Verso de modo de segurana a verso de firmware de modo de segurana carregado
no dispositivo de segurana da Dell SonicWALL.
Verso de ROM indica a verso de ROM.
CPUs exibe o uso mdio de CPU nos ltimos 10 segundos e o tipo do processador do
dispositivo de segurana da Dell SonicWALL.
Memria total indica a quantidade de RAM e a memria flash.
Hora do sistema o tempo registrado no relgio interno no dispositivo de segurana da
Dell SonicWALL.
Tempo de funcionamento o perodo de tempo, em dias, horas e segundos em que o
dispositivo de segurana da Dell SonicWALL est ativo.
Conexes exibe o nmero mximo de conexes de rede que o dispositivo de segurana
da Dell SonicWALL pode suportar, o nmero mximo de conexes simultneas e o nmero
atual de conexes.
Uso da conexo a porcentagem do nmero mximo de conexes estabelecidas no
momento (por exemplo, essa porcentagem o nmero atual de conexes dividido pelo
nmero mximo de conexes).
ltima modificao por o endereo IP do usurio que modificou o sistema pela ltima
vez e o registro de data/hora da ltima modificao.
Cdigo de registro o cdigo de registro ser gerado quando o dispositivo de segurana
da Dell SonicWALL for registrado em http://www.mysonicwall.com.
Servios de segurana
Se o dispositivo de segurana da Dell SonicWALL no estiver registrado em mysonicwall.com,
a seguinte mensagem ser exibida na pasta Servios de segurana: O dispositivo de
segurana da Dell SonicWALL no est registrado. Clique aqui para registrar o
dispositivo de segurana da Dell SonicWALL. necessrio uma conta mysonicwall.com
para registrar o dispositivo de segurana da Dell SonicWALL ou para ativar os servios de
segurana. possvel criar uma conta mysonicwall.com diretamente da interface de
gerenciamento da Dell SonicWALL.
Consulte Servios de segurana na pgina 1155 para obter mais informaes sobre os
servios de segurana da Dell SonicWALL e sobre como ativ-los no dispositivo de segurana
da Dell SonicWALL.
Excluindo um n
Ao excluir um n, possvel bloque-lo de se conectar sua rede por meio do dispositivo de
segurana. Excluir um n cria um objeto de endereo para esse endereo IP e o atribui ao
grupo de endereo da Lista de excluso da licena do n. Para excluir um n:
Etapa 1 Selecione o n que voc deseja excluir na tabela Ns atualmente licenciados na pgina
Sistema > Licenas e clique no cone da coluna Excluir desse n.
Etapa 2 Um aviso exibido, informando que a excluso desse n criar um objeto de endereo para
ele e o colocar no grupo de endereos da Lista de excluso da licena. Clique em OK para
excluir o n.
possvel gerenciar objetos de grupo e endereos da Lista de excluso da licena na pgina
Rede > Objetos de endereo da interface de gerenciamento. Clique no link Lista de excluso
da licena do n para ir para a pgina Rede > Objetos de endereo. Consulte para obter
instrues sobre como gerenciar os objetos de endereo.
Tambm possvel obter assinaturas de avaliao grtis para o Dell SonicWALL Content Filter
Service e Client Anti-Virus, clicando no link Para avaliaes gratuitas, clique aqui. Ao clicar
nesses links, a pgina de Logon mysonicwall.com exibida.
Digite seu nome de usurio e sua senha no mySonicWALL.com nos campos Nome de usurio
e Senha e clique em Enviar. A pgina Gerenciar servios on-line exibida contendo
informaes sobre o licenciamento da sua conta do mysonicwall.com.
Etapa 1 Verifique se o Dispositivo de Segurana Dell SonicWALL est executando a verso mais
recente do SonicOS.
Etapa 2 Cole (ou insira) o Conjunto de chaves (da etapa 3) no campo do Conjunto de chaves na seo
Atualizao manual da pgina Sistema > Licenas(SonicOS).
Etapa 3 Clique no boto Enviar ou Aplicar para atualizar o Dispositivo de Segurana Dell SonicWALL.
O campo de status na parte inferior da pgina exibe a mensagem: "A configurao foi
atualizada".
Etapa 4 possvel gerar o Sistema > Diagnstico > Relatrio do suporte tcnico para verificar os
detalhes da atualizao.
Nota Aps a atualizao manual, a pgina Sistema > Licenas no conter nenhuma
informao do registro e da atualizao.
Nome do firewall
O Nome do firewall exclusivamente identifica o Dispositivo de Segurana Dell SonicWALL e
os padres para o nmero de srie do dispositivo de segurana de rede da Dell SonicWALL.
O nmero de srie tambm o endereo MAC da unidade. Para alterar o Nome do firewall,
digite um nome exclusivo alfanumrico no campo Nome do firewall. Deve ter pelo menos 8
caracteres de comprimento.
Dica Recomenda-se que voc altere a senha padro "senha" para sua prpria senha
personalizada.
Dica O SonicOS usa tecnologias avanadas de navegador, como HTML5, que so suportadas
na maioria dos navegadores mais recentes. A Dell SonicWALL recomenda o uso dos
navegadores Chrome, Firefox, Internet Explorer ou Safari mais recentes para a
administrao do SonicOS. Navegadores de dispositivos mveis no so recomendados
para a administrao de sistema dos dispositivos Dell SonicWALL.
Dica Se o Tempo limite de inatividade do administrador for estendida alm de cinco minutos,
voc dever encerrar cada sesso de gerenciamento clicando em Efetuar logout para
impedir o acesso no autorizado Interface de gerenciamento do firewall.
Vrios administradores
A configurao Em apropriao por outro administrador configura o que acontece quando
um administrador apropria outro administrador usando o recurso Mltiplos administradores. O
administrador superado pode ser convertido em modo de no configurao ou desconectado.
Para obter mais informaes sobre vrios administradores, consulte Viso geral do Suporte
para mltiplos administradores na pgina 969.
Passar para o modo no-config Selecione para permitir que mais de um administrador
acesse o dispositivo no modo no-config sem interromper o administrador atual.
Log-Out - Selecione para que o novo administrador substitua o administrador atual.
Permitir preempo por um administrador de prioridade mais baixa aps inatividade de
(minutos) Insere o nmero de minutos de inatividade do administrador atual que permitir
que um administrador de menor prioridade aproprie-se.
Habilitar sistema de mensagens entre administradores Selecione para permitir que os
administradores enviem mensagens de texto por meio da interface de gerenciamento para
outros administradores conectados no dispositivo. A mensagem aparecer na barra de status
do navegador.
Intervalo do sondagem para mensagens (segundos) Define a frequncia com que o
navegador do administrador ir verificar as mensagens entre administradores. Se houver a
probabilidade de vrios administradores precisarem acessar o dispositivo, isso deve ser
definido para um intervalo relativamente curto para garantir a entrega de mensagens em tempo
hbil.
O nmero da porta padro para gerenciamento HTTPS 443. Voc pode adicionar outra
camada de segurana para efetuar login no dispositivo de segurana SonicWALL ao alterar a
porta padro. Para configurar outra porta para o gerenciamento de HTTPS, digite o nmero da
porta preferencial no campo Porta e, em seguida, clique em Atualizar. Por exemplo, se voc
Nota Usar um CAC requer um leitor de carto externo conectado em uma porta USB.
A Verificao de certificado do cliente foi desenvolvida para uso com um CAC; no entanto,
ela til em qualquer cenrio que exija um certificado do cliente em uma conexo HTTPS/SSL.
O suporte do CAC est disponvel para a certificao de cliente somente em conexes
HTTPS.
Nota CACs podem no funcionar com navegadores que no sejam o Microsoft Internet Explorer.
A caixa Habilitar verificao de certificado do cliente permite que voc ative ou desative a
verificao de certificado do cliente e suporte de CAC no dispositivo de segurana SonicWALL.
O menu suspenso Emissor do certificado de cliente contm uma lista dos emissores de
certificado de Autoridade de Certificao (CA) que esto disponveis para assinar o certificado
de cliente. Se a autoridade de certificao apropriada no estiver na lista, voc precisar
importar dessa autoridade de certificao para o dispositivo de segurana SonicWALL.
A caixa Habilitar verificao de OCSP permite habilitar ou desabilitar a verificao do
Protocolo de Status do Certificado (OCSP) para o certificado do cliente verificar se o certificado
ainda vlido e no foi revogado.
Etapa 1 Insira o nmero desejado de itens por pgina no campo Tamanho da tabela padro.
Etapa 2 Insira o intervalo desejado para atualizao automtica em segundo plano das tabelas de
Monitor (incluindo o Monitor do processo, Monitor de conexes ativas e de Estatsticas de
trfego de interface) em segundos no campo Intervalo de tempo para autoatualizao das
tabelas.
Etapa 3 Clique em Aceitar.
Dicas de ferramentas
O SonicOS inseriu dicas de ferramentas incorporadas para muitos elementos na UI do
SonicOS. Essas Dicas de ferramentas so pequenas janelas pop-up que so exibidas quando
voc passa o mouse sobre um elemento da interface do usurio. Elas fornecem breves
informaes que descrevem o elemento. As Dicas de ferramentas so exibidas em muitos
formulrios, botes, ttulos de tabela e entradas.
Nota Nem todos os elementos da interface do usurio tm Dicas de ferramentas. Se uma Dica
de ferramenta no for exibida aps posicionar seu mouse sobre um elemento por alguns
segundos, voc pode concluir com segurana que ele no tem uma Dica de ferramenta
associada.
O comportamento das Dicas de ferramenta pode ser definido na pgina Sistema >
Administrao.
As Dicas de ferramenta esto habilitadas por padro. Para desabilitar as dicas de ferramenta,
desmarque a caixa de seleo Habilitar dica de ferramenta. possvel configurar o perodo
de tempo antes de as dicas de ferramenta serem exibidas:
Atraso de dica de ferramenta de formulrio durao, em milissegundos, antes de as
dicas de ferramenta serem exibidas para formulrios (as caixas onde voc insere texto).
Atraso de dica de ferramenta de boto durao, em milissegundos, antes de as dicas
de ferramenta serem exibidas para botes de opo e caixas de seleo.
Atraso de dica de ferramenta de texto durao, em milissegundos, antes de as dicas
de ferramenta serem exibidas para texto da interface de usurio.
Se voc usar SSH para gerenciar o firewall, voc pode alterar a porta SSH para segurana
adicional. A porta SSH padro 22.
Gerenciamento avanado
Voc pode gerenciar o Dispositivo de Segurana Dell SonicWALL usando SNMP ou o Sistema
de gerenciamento global do SonicWALL. Esta seo contm as subsees seguintes:
Ativando o Gerenciamento SNMP na pgina 113
Ativando o gerenciamento GMS na pgina 115
SNMPv2
A Verso 3 do Protocolo de Gerenciamento de Rede (SNMPv3) um protocolo baseado em
padres interoperveis para gerenciamento de rede. O SNMPv3 fornece acesso seguro a
dispositivos por uma combinao de autenticao e criptografia de pacotes pela rede. Os
recursos de segurana fornecidos no SNMPv3 so:
Mensagem de integridade Garante que um pacote no seja alterado em trnsito.
Autenticao Determina se a mensagem de uma fonte vlida.
Criptografia Mistura o contedo de um pacote para evitar que ele seja visto por uma
origem no autorizada.
O SNMPv3 fornece para ambos modelos de segurana e nveis de segurana. Um modelo de
segurana uma estratgia de autenticao que configurada para um usurio e o grupo no
qual o usurio reside. Um nvel de segurana o nvel permitido de segurana dentro de um
modelo de segurana. Uma combinao de um modelo de segurana e um nvel de segurana
ir determinar qual mecanismo de segurana empregado ao lidar com um pacote SNMP. Trs
modelos de segurana esto disponveis: SNMPv1, SNMPv2c e SNMPv3.
Etapa 1 Marque a caixa de seleo Habilitar o gerenciamento usando GMS e, em seguida, clique em
Configurar. A janela Definir configuraes GMS exibida.
Etapa 2 Insira o nome de host GMS ou endereo IP do Console GMS no campo Nome de host GMS
ou endereo IP.
Etapa 3 Insira a porta no campo Porta do servidor de syslog GMS. O valor padro de 514.
Etapa 4 Selecione Enviar somente mensagens de status de pulsao para enviar somente status
de pulsao em vez de mensagens de log.
Etapa 5 Selecione GMS atrs de dispositivo NAT se o Console GMS estiver atrs de um dispositivo
usando NAT na rede. Digite o endereo IP do dispositivo NAT no campo Endereo IP do
dispositivo NAT.
Etapa 6 Selecione um dos seguintes modos GMS no menu Modo de gerenciamento.
Tnel de gerenciamento IPSEC - Selecionar esta opo permite que o firewall seja
gerenciados atravs de um tnel VPN IPsec para o console de gerenciamento GMS.
O padro de configurao IPsec VPN exibido. Selecione GMS atrs de dispositivo
NAT se aplicvel para a instalao do GMS e digite o endereo IP no campo Endereo
IP de dispositivo NAT. As configuraes de poltica VPN padro so exibidas na parte
inferior da janela Definir configuraes do GMS.
Tnel existente - Se essa opo for selecionada, o servidor GMS e o firewall j tm
um tnel VPN atravs da conexo. Insira o nome de host GMS ou endereo IP do
servidor no campo Nome de host GMS ou endereo IP. Insira o nmero da porta no
campo Porta do servidor de syslog.
HTTPS - Se essa opo for selecionada, o gerenciamento HTTPS permitido de dois
endereos IP: o Agente primrio de GMS e o endereo IP do Agente de espera. O
Dispositivo de Segurana Dell SonicWALL tambm envia pacotes criptografados
syslog e interceptaes SNMP usando 3DES e a senha do administrador do firewall.
URL de download
A seo URL de download fornece um campo para especificar o endereo do URL de um site
para fazer download de imagens do SonicPoint.
Cuidado imperativo que voc faa download da imagem do SonicPoint correspondente para a
verso do firmware do SonicOS que est em execuo no seu firewall. O site da Web
mysonicwall.com fornece informaes sobre as verses correspondentes. Ao atualizar seu
firmware SonicOS, certifique-se de fazer o upgrade para a imagem SonicPoint correta.
Detalhes do certificado
Clicar no cone na coluna Detalhes da tabela Certificados e solicitaes de certificados
lista as informaes sobre o certificado, que podem incluir o seguinte, dependendo do tipo de
certificado:
Emissor de certificado
Nome distinto do assunto
Nmero de srie do certificado
Vlido de
Expira em
Status (para solicitaes e certificados locais pendentes)
Status de CRL (para certificados de autoridade de certificao)
Os detalhes mostrados no pop-up de mouseover Detalhes dependem do tipo de certificado.
Emissor de certificado, Nmero de srie do certificado, Vlido de, e Expira em no so
mostrados para solicitaes pendentes desde que essas informaes sejam geradas pelo
provedor de certificados. Da mesma forma, as informaes de Status de CRL so mostradas
apenas para certificados de autoridade de certificao e variam de acordo com a configurao
do certificado de autoridade de certificao.
Importando certificados
Aps o servio de autoridade de certificao ter emitido um certificado para a solicitao
pendente ou ter, de outra forma, fornecido um certificado local, ser possvel import-lo para
uso em autenticao de gerenciamento da web ou VPN. Os certificados de autoridade de
certificao tambm podem ser importados para verificar os certificados locais e certificados
de mesmo nvel usados na negociao IKE.
Etapa 3 Insira o caminho para o arquivo de certificado no campo Selecione um arquivo a ser
importado ou clique em Procurar para localizar o arquivo de certificado e, em seguida, clique
em Abrir para definir o caminho do diretrio para o certificado.
Etapa 4 Clique em Importar para importar o certificado para o firewall. Depois que ele for importado,
ser possvel ver a entrada de certificado na tabela Certificados e solicitaes de
certificados.
Etapa 5 Mover o ponteiro para o cone na coluna Detalhes exibe as informaes de detalhes do
certificado.
Excluindo um certificado
Para excluir o certificado, clique no cone de excluso. Ser possvel excluir um certificado, se
ele tiver expirado ou, se voc decidir no usar certificados de terceiros para a autenticao de
VPN.
Dica Deve-se criar uma poltica de certificado a ser usado em conjunto com os certificados
locais. Uma poltica de certificado determina os requisitos de autenticao e os limites de
autoridade necessrios para a validao de um certificado.
Etapa 2 Na seo Gerar solicitao de assinatura de certificado, insira um nome de alias para o
certificado no campo Alias de certificado.
Etapa 3 Selecione o tipo de campo Solicitao no menu, em seguida, insira as informaes para o
certificado nos campos Solicitao. Conforme voc insere as informaes nos campos de
solicitao, o nome distinto (DN) criado no campo Nome distinto do assunto.
Tambm possvel anexar um Nome alternativo do assunto ao certificado, como o
Nome de domnio ou o Endereo de e-mail.
Etapa 4 O tipo Chave de assunto predefinido como um algoritmo RSA. RSA um algoritmo de
criptografia de chave pblica usado para criptografar dados.
Etapa 5 Selecione um tamanho de chave de assunto no menu Tamanho da chave de assunto.
Etapa 6 Clique em Gerar para criar um arquivo de solicitao de assinatura de certificado. Depois que
a Solicitao de assinatura de certificado for gerada, uma mensagem que descreve o
resultado ser exibida.
Etapa 7 Clique em Exportar para baixar o arquivo no computador, em seguida, clique em Salvar para
salv-lo em um diretrio no computador. Voc gerou a Solicitao de certificado que
possvel enviar autoridade de certificao para validao.
Etapa 1 Gere uma solicitao de assinatura, conforme descrito acima no Gerando uma solicitao de
assinatura de certificado na pgina 121.
Etapa 2 Role para o boto da pgina Sistema > Certificados e clique no boto SCEP. A janela
Configurao de SCEP exibida.
Etapa 3 No menu suspenso Lista de CSR, a interface com o usurio selecionar automaticamente uma
lista de CSR padro. Se voc tiver diversas listas de CSR configuradas, poder modificar isso.
Etapa 4 No campo URL de autoridade de certificado, insira a URL para a autoridade de certificao.
Criptografia do Suite B
Suite B um conjunto de algoritmos criptogrficos promulgado pela Agncia de Segurana
Nacional, como parte de seu Programa de Modernizao de Criptografia. Ele serve como uma
base de criptografia interopervel para obter informaes confidenciais e no confidenciais. A
criptografia de Suite B aprovada pelo NIST (National Institute of Standards and Technology)
para uso do governo dos EUA.
Nota H tambm um Suite A, que definido pela ANS, mas utilizado principalmente em
aplicativos onde o Suite B no adequado.
Etapa 6 Para Suite B, selecione a opo Importar um certificado de usurio final local com chave
privada de um arquivo codificado PKCS#12 (.p12 ou .pfx).
Etapa 7 Na caixa Nome do certificado, insira o nome do certificado ECDSA desejado.
Etapa 8 Na caixa Senha de gerenciamento de certificado, insira a senha para seu certificado.
Etapa 9 No menu Selecione um arquivo a ser importado, selecione o certificado ECDSA desejado.
Etapa 10 Clique no boto Importar.
Etapa 11 Gere uma solicitao de assinatura de certificado seguindo as etapas em Gerando uma
solicitao de assinatura de certificado na pgina 121.
Por padro, o dispositivo de segurana da Dell SonicWALL usa uma lista interna de servidores
NTP pblicos para atualizar automaticamente a hora. O Network Time Protocol (NTP) um
protocolo usado para sincronizar as horas de relgio do computador em uma rede de
computadores. O NTP usa o Tempo Universal Coordenado (UTC) para sincronizar as horas de
relgio do computador para um milissegundo e, s vezes, para uma frao de um
milissegundo.
Configuraes de NTP
Network Time Protocol (NTP) um protocolo usado para sincronizar as horas de relgio do
computador em uma rede de computadores. O NTP usa o Tempo Universal Coordenado (UTC)
para sincronizar as horas de relgio do computador para um milissegundo e, s vezes, para
uma frao de um milissegundo.
Dica O dispositivo de segurana da Dell SonicWALL usa uma lista interna de servidores NTP,
portanto, inserir manualmente um servidor NTP opcional.
Selecione Usar NTP para definir a hora automaticamente, se voc desejar usar o servidor
local para definir o relgio do firewall. Tambm possvel configurar Atualizar intervalo
(minutos) para que o servidor NTP atualize o firewall. O valor padro de 60 minutos.
Para adicionar um servidor NTP para a configurao do firewall
Nota No possvel excluir as programaes padro Horas de trabalho, Horas aps ou Horas
de final de semana.
Excluindo Programaes
possvel excluir programaes personalizadas, mas no possvel excluir as programaes
padro Horas de trabalho, Horas aps ou Horas de final de semana.
Etapa 1 Na pgina Sistema > Programaes na tabela Programaes, marque a caixa de seleo
prxima entrada da programao para habilitar o boto Excluir.
Etapa 2 Clique em Excluir.
Etapa 1 Na pgina Sistema > Programaes na tabela Programaes, marque a caixa de seleo
prxima ao cabealho de coluna Nome para selecionar todas as programaes.
Etapa 2 Clique em Excluir.
Importar configuraes
Para importar um arquivo de preferncias salvo anteriormente para o firewall, siga estas
instrues:
Exportar configuraes
Para exportar as definies de configurao do firewall, use as instrues a seguir:
Gerenciamento de firmware
A tabela Gerenciamento de firmware contm as seguintes colunas:
Imagem de firmware - nesta coluna, cinco tipos de imagens de firmware so listados:
Firmware atual, firmware carregado atualmente no firewall
Firmware atual com configuraes padro de fbrica, reinicializar usando esta
imagem de firmware reconfigura o firewall para seus endereos IP, nome de usurio e
senha padro
Backup do sistema - firmware inicial carregado no dispositivo de segurana da Dell
SonicWALL.
Verso - a verso do firmware est listada nessa coluna.
Data - o dia, data e hora do download do firmware.
Tamanho - o tamanho do arquivo de firmware em Megabytes (MB).
Download - clicar no cone salva o arquivo de firmware em um novo local no
computador ou na rede. Apenas o firmware transferido por upload pode ser salvo em um
local diferente.
Inicializar - clicar no cone reinicia o firewall com a verso do firmware listada na mesma
linha.
Cuidado As atualizaes de firmware esto disponveis somente para usurios registrados com um
contrato de suporte vlido. Voc deve registrar sua SonicWALL no
https://www.mysonicwall.com.
FIPS
Ao operar no Modo FIPS (Federal Information Processing Standard), o dispositivo de
segurana da Dell SonicWALL suporta a segurana compatvel ao FIPS 140-2. Entre os
recursos compatveis ao FIPS do dispositivo de segurana da Dell SonicWALL inclua PRNG
com base em SHA-1 e apenas algoritmos aprovados por FIPS suportados (DES, 3DES e AES
com SHA-1).
Nota O FIPS no SonicOS no est certificado com a Federal Information Processing Standard
(Norma Federal de Processamento de Informaes).
Selecione Habilitar modo FIPS para habilitar o dispositivo de segurana da Dell SonicWALL
em conformidade com FIPS. Ao verificar essa configurao, uma caixa de dilogo ser exibida
com a seguinte mensagem: Aviso! A modificao do modo FIPS desconectar todos os
usurios e reiniciar o dispositivo. Clique em OK para continuar.
Clique em OK para reinicializar o dispositivo de segurana no modo FIPS. Um segundo aviso
exibido. Clique em Sim para continuar a reinicializao. Para retornar operao normal,
desmarque a caixa de seleo Habilitar modo FIPS e reinicialize o firewall no modo no FIPS.
Cuidado Ao usar o dispositivo de segurana da Dell SonicWALL para operao compatvel ao FIPS,
o selo de evidncia de violao que fixado no dispositivo de segurana da Dell
SonicWALL deve permanecer no local e inalterado.
Para habilitar FIPPs e exibir uma lista de quais das suas configuraes atuais no so
permitidas ou no esto presentes:
NDPP
Um dispositivo de segurana de rede Dell SonicWALL pode ser habilitado para ser compatvel
com o Perfil de Proteo do Dispositivo de Rede (NDPP), mas algumas configuraes de
firewall no so permitidas ou so obrigatrias.
Nota O NDPP faz parte dos Critrios Comuns (CC) de certificao. No entanto, o NDPP no
SonicOS no est atualmente certificado.
Nota A opo Habilitar modo NDPP no pode ser habilitada ao mesmo tempo que a caixa de
seleo Habilitar modo FIPS, que tambm est localizada na pgina Sistema >
Configuraes.
Habilite o NDPP selecionando a opo Habilitar modo NDPP na pgina Sistema >
Configuraes. Depois de fazer isso, uma janela pop-up exibida com a lista de verificao
de conformidade da definio do modo NDPP. A lista de verificao mostra todas as definies
em sua configurao atual do SonicOS que violam a conformidade com o NDPP, para que voc
possa alter-las. necessrio acessar a interface de gerenciamento do SonicOS para realizar
as alteraes. A lista de verificao de um dispositivo com configuraes padro de fbrica
mostrada no procedimento a seguir.
Para habilitar o NDPP e exibir uma lista de quais das suas configuraes atuais no so
permitidas ou no esto presentes:
Iniciar: Clique em Iniciar captura para comear a captura de todos os pacotes, exceto daqueles
utilizados para a comunicao entre o firewall e a interface de gerenciamento do sistema
de seu console.
Parar: Clique em Parar captura para interromper a captura do pacote.
Limpar: Clique em Limpar para limpar os contadores de status que so exibidos na parte superior
da pgina do Monitor do pacote.
Atualizar: Clique em Atualizar para exibir novos dados do buffer na janela de Pacotes capturados.
Em seguida, possvel clicar em qualquer pacote na janela para exibir suas informaes
de cabealho e dados nas janelas Detalhes do pacote e Despejo hexadecimal.
Exportar Exibe ou salva um instantneo do buffer atual no formato de arquivo selecionado da lista
como: suspensa. Os arquivos salvos so colocados no sistema de gerenciamento local (onde a
interface de gerenciamento est sendo executada). Escolha um dos formatos a seguir:
Libpcap Selecione o formato Libpcap se deseja exibir os dados com o analisador de
protocolos de rede Wireshark (antigo Ethereal). Ele tambm conhecido como formato lib-
cap ou pcap. Uma caixa de dilogo permite que voc abra o arquivo do buffer com o
Wireshark ou salv-lo no disco rgido local com a extenso .pcap.
HTML Selecione Html para exibir os dados com um navegador. possvel usar
Arquivo > Salvar como para salvar uma cpia do buffer no disco rgido.
Texto Selecione Texto para exibir os dados em um editor de texto. Uma caixa de di-
logo permite que voc abra o arquivo do buffer com o editor de texto registrado ou salv-lo
no disco rgido local com a extenso .wri.
Dados de aplicativos Selecione Dados de aplicativos para exibir apenas os dados de
aplicativo contidos no pacote. Os pacotes que no contm nenhum dado de aplicativo so
ignorados durante a captura. Dados de aplicativos = pacote capturado menos os cabea-
lhos L2, L3 e L4.
Consulte a figura abaixo para exibir uma visualizao de alto nvel do subsistema do monitor
de pacotes. Ela mostra os diferentes filtros e como eles so aplicados.
Capture Buffer
Etapa 3 Em Configuraes gerais na caixa Nmero de bytes que sero capturados (por pacote),
digite o nmero de bytes que sero capturados de cada pacote. O valor mnimo 64.
Etapa 4 Para continuar a captura de pacotes aps o preenchimento do buffer, selecione a caixa de
seleo Encapsular buffer de captura quanto estiver cheio. Selecionar esta opo far com
que a captura de pacotes comece a registrar os pacotes capturados no incio do buffer
novamente aps o preenchimento total do buffer. Esta opo no ter nenhum efeito se o
registro em log do servidor FTP estiver habilitado na guia Registro em log, porque o buffer
automaticamente encapsulado quando o FTP estiver habilitado.
Etapa 5 Em Excluir filtro, selecione Excluir trfego de GMS criptografado para impedir a captura ou
o espelhamento do gerenciamento do trfego criptografado ou trfego do syslog de ou para o
SonicWALL GMS. Esta configurao afeta somente o trfego criptografado em um tnel de
GMS primrio ou secundrio configurado. O trfego de gerenciamento de GMS no ser
excludo se ele for enviado por meio de um tnel separado.
Etapa 6 Use as configuraes Excluir o trfego de gerenciamento para impedir a captura ou o
espelhamento do trfego de gerenciamento para o dispositivo. Marque a caixa de seleo para
cada tipo de trfego (HTTP/HTTPS, SNMP ou SSH) que ser excludo. Se o trfego de
gerenciamento for enviado por meio de um tnel, os pacotes no sero excludos.
Etapa 1 V at a pgina Firewall > Regras de acesso e clique no cone Configurar para a(s) regra(s)
para as quais deseja habilitar o monitoramento de pacotes ou o relatrio de fluxo.
Etapa 2 Selecione a caixa de seleo Habilitar monitor de pacotes para enviar as estatsticas de
monitoramento dos pacotes para esta regra.
Nota Um maior nmero de configuraes de filtro do monitor necessrio na pgina Painel >
Monitor de pacotes para habilitar o monitoramento com base em regras do firewall.
Etapa 3 Selecione Habilitar filtro com base em regras do firewall se voc estiver usando regras do
firewall para capturar o trfego especfico.
Nota Antes que a opo Habilitar filtro com base em regras do firewall seja selecionada,
verifique se voc selecionou uma ou mais regras de acesso para o monitoramento do
trfego de pacotes. Esta configurao feita na pgina Firewall > Regras de acesso da
interface de gerenciamento do SonicOS.
Etapa 4 Especifique o modo como o Monitor de pacotes filtrar os pacotes usando as opes a seguir:
Nome(s) da interface possvel especificar at dez interfaces separadas por
vrgulas. Consulte a tela Rede > Interfaces na interface de gerenciamento para obter
os nomes de interface disponveis. possvel usar um valor negativo para configurar
todas as interfaces exceto a(s) especificada(s); por exemplo: !X0 ou !LAN.
Tipos de Ethernet possvel especificar at dez tipos de Ethernet separadas por
vrgulas. Atualmente, existe suporte para os seguintes tipos de Ethernet: ARP, IP,
PPPoE-SES e PPPoE-DIS. As duas ltimas podem ser especificadas somente pela
PPPoE. Esta opo no diferencia maisculas de minsculas. Por exemplo, para
capturar todos os tipos suportados, voc poderia inserir: ARP, IP, PPPOE. possvel
usar um ou mais valores negativos para capturar todos os tipos de Ethernet, exceto
aqueles especificados; por exemplo: !ARP, !PPPoE. Tambm possvel usar valores
hexadecimais para representar os tipos de Ethernet ou misturar valores hexadecimais
com as representaes padro; por exemplo: ARP, 0x800, IP. Geralmente, voc usaria
Nota Se um campo for deixado em branco, nenhuma filtragem feita nesse campo. Os pacotes
so capturados ou espelhados sem considerar o valor contido no campo de seus
cabealhos.
Etapa 5 Para salvar suas configuraes e sair da janela de configurao, clique em OK.
Etapa 3 Na caixa Nome(s) da interface, insira as interfaces do firewall para as quais os pacotes
devero ser exibidos ou use o formato negativo (!X0) para exibir os pacotes capturados de
todas as interfaces, exceto aquelas especificadas. possvel especificar at dez interfaces
separadas por vrgulas. Consulte a tela Rede > Interfaces na interface de gerenciamento para
obter os nomes de interface disponveis.
Etapa 4 Na caixa Tipo(s) de Ethernet, insira os tipos de Ethernet para os quais voc deseja exibir os
pacotes ou use o formato negativo (!ARP) para exibir os pacotes de todos os tipos de Ethernet,
exceto aqueles especificados. possvel especificar at dez tipos de Ethernet separados por
vrgulas. Atualmente, existe suporte para os seguintes tipos de Ethernet: ARP, IP, PPPoE-SES
e PPPoE-DIS. As duas ltimas podem ser especificadas somente pela PPPoE. Tambm
possvel usar valores hexadecimais para representar os tipos de Ethernet ou misturar valores
hexadecimais com as representaes padro; por exemplo: ARP, 0x800, IP. Geralmente, voc
usaria somente valores hexadecimais para os tipos de Ethernet que no so suportados por
acrnimo no SonicOS. Consulte Tipos de pacotes suportados na pgina 159.
Etapa 5 Na caixa Tipo(s) de IP, insira os tipos de pacotes IP para os quais voc deseja exibir os
pacotes ou use o formato negativo (!UDP) para exibir os pacotes de todos os tipos de IP, exceto
aqueles especificados. possvel especificar at dez tipos de IP separados por vrgulas. Os
seguintes tipos IP so suportados: TCP, UDP, ICMP, GRE, IGMP, AH, ESP. Tambm possvel
usar valores hexadecimais para representar os tipos de IP ou misturar valores hexadecimais
com as representaes padro; por exemplo: TCP, 0x1, 0x6. Consulte Tipos de pacotes
Nota Verifique se o endereo IP do servidor FTP alcanvel pelo firewall. No h suporte para
um endereo IP que seja alcanvel somente por meio de um tnel VPN.
Etapa 4 Na caixa ID de login, insira o nome do login que o firewall deve usar para se conectar ao
servidor FTP.
Etapa 5 Na caixa ID de senha, insira o nome da senha que o firewall deve usar para se conectar ao
servidor FTP.
Etapa 6 Na caixa Caminho do diretrio, insira o local do diretrio para os arquivos transferidos. Os
arquivos so registrados neste local, referentes ao diretrio raiz do FTP padro. Para o formato
libcap, os arquivos so nomeados packet-log--<>.cap, onde o <> contm um nmero de
execuo e data, incluindo hora, dia, ms e ano. Por exemplo, packet-log--3-22-08292006.cap.
Para o formato HTML, os nomes dos arquivo esto no formulrio: packet-log_h-<>.html. Um
exemplo de um nome de arquivo HTML : packet-log_h-3-22-08292006.html.
Etapa 7 Para ativar a transferncia automtica do arquivo de captura para o servidor FTP quando o
buffer estiver cheio, selecione a caixa de seleo Registrar em log no servidor FTP
automaticamente. Os arquivos so transferidos nos formatos libcap e HTML.
Etapa 8 Para habilitar a transferncia do arquivo no formato HTML, bem como no formato libcap,
selecione Registrar em log o arquivo HTML junto com o arquivo .cap (FTP).
Etapa 9 Para testar a conexo com o servidor FTP e transferir o contedo do buffer de captura para
ele, clique em Registrar em log agora. Nesse caso, o nome do arquivo conter um F. Por
exemplo, packet-log-F-3-22-08292006.cap ou packet-log_h-F-3-22-08292006.html.
Etapa 10 Para salvar suas configuraes e sair da janela de configurao, clique em OK.
Se o registro automtico em log do FTP estiver desativado devido a uma falha de conexo ou
uma conexo simplesmente desativada, possvel reinici-lo em Configurar > Registro em
log.
Etapa 3 Para monitorar os pacotes gerados pelo firewall, selecione a caixa de seleo Monitorar
pacotes gerados pelo firewall.
Etapa 6 Para salvar suas configuraes e sair da janela de configurao, clique em OK.
Etapa 3 Em Configuraes do espelho, insira a taxa mxima do espelho desejada no campo Taxa
mxima do espelho (em quilobits por segundo). Se essa taxa for ultrapassada durante o
espelhamento, os pacotes em excesso no sero espelhados e sero contados como pacotes
ignorados. Esta configurao aplica-se ao espelhamento local e remoto. O valor padro e
mnimo de 100 kbps e o valor mximo de 1 Gbps.
Etapa 4 Selecione a caixa de seleo Espelhar somente pacotes do IP para impedir o espelhamento
de outros pacotes do tipo Ethernet, como ARP ou PPPoE. Se for selecionada, esta opo
substitui todos os tipos de Ethernet fora do IP selecionados na guia Filtro do monitor.
Etapa 5 Em Configuraes do espelho local, selecione a interface de destino para os pacotes
espelhados localmente na lista suspensa Espelhar pacotes filtrados para a interface.
Etapa 6 Em Configuraes do espelho remoto (Remetente), no campo Espelhar pacotes filtrados
para o firewall Sonicwall remoto (Endereo IP) insira o endereo IP do SonicWALL remoto
para o qual os pacotes espelhados sero enviados.
Etapa 7 No campo Criptografar pacotes espelhados remotos via IPSec (chave IKE pr-
compartilhada), insira a chave pr-compartilhada que ser utilizada para criptografar o trfego
ao enviar pacotes espelhados para o firewall remoto. Configurar este campo habilitar o tnel
do modo de transporte IPSec entre este dispositivo e o firewall remoto. Esta chave pr-
compartilhada utilizada pelo IKE para negociar as chaves do IPSec.
Etapa 8 Em Configuraes do espelho remoto (Receptor), no campo Receber pacotes espelhados
para o firewall Sonicwall remoto (Endereo IP) insira o endereo IP do SonicWALL remoto
para o qual os pacotes espelhados sero enviados.
Nota O SonicWALL remoto deve ser configurado para enviar os pacotes espelhados.
Etapa 9 No campo Decodificar pacotes espelhados remotos via IPSec (chave IKE pr-
compartilhada), insira a chave pr-compartilhada que ser utilizada para decodificar o trfego
ao receber pacotes espelhados do firewall remoto. Configurar este campo habilitar o tnel do
modo de transporte IPSec entre este dispositivo e o firewall remoto. Esta chave pr-
compartilhada utilizada pelo IKE para negociar as chaves do IPSec.
Etapa 10 Para espelhar os pacotes recebidos para outra interface no SonicWALL local, selecione a
interface na lista suspensa Enviar pacotes espelhados remotos recebidos para a interface.
Etapa 11 Para salvar os pacotes recebidos no buffer de captura local, selecione a caixa de seleo
Enviar pacotes espelhados remotos recebidos para o buffer de captura. Essa opo no
depende do envio dos pacotes recebidos para outra interface e as duas podem ser ativadas,
se desejado.
Etapa 12 Para salvar suas configuraes e sair da janela de configurao, clique em OK.
Status de espelhamento
Existem trs indicadores de status do espelhamento de pacotes:
Informaes relacionadas
Esta seo contm as seguintes subsees:
Tipos de pacotes suportados na pgina 159
Formatos de arquivo para Exportar como na pgina 159
Esta seo contm informaes sobre as ferramentas de diagnstico fornecidas por SonicOS.
Consulte as sees a seguir para obter mais informaes:
Sistema > Diagnsticos na pgina 163
Sistema > Reiniciar na pgina 181
Antes de enviar o e-mail do relatrio do suporte tcnico equipe de suporte tcnico da Dell SonicWALL,
preencha um formulrio de solicitao de suporte tcnico em https://www.mysonicwall.com. Aps o
envio do formulrio, um nmero exclusivo de ocorrncia ser retornado. Inclua esse nmero
de ocorrncia em todas as correspondncias, visto que ele permite que o suporte tcnico da
SonicWALL fornea um servio melhor.
Etapa 1 Na seo Relatrio do suporte tcnico, selecione qualquer uma das seguintes opes de
relatrio:
Chaves de VPN - salva segredos compartilhados, criptografias e chaves de autenticao
para o relatrio.
Cache de ARP - salva uma tabela que relaciona endereos IP ao MAC ou endereos
fsicos correspondentes.
Associaes DHCP - salva entradas do servidor DHCP do firewall.
Informaes IKE - salva informaes atuais sobre configuraes ativas de IKE.
Diagnsticos SonicPointN - salva as informaes de diagnstico sobre SonicPoints.
Usurios atuais - salva informaes atuais sobre conexes de usurio ativo.
Detalhe de usurios - salva informaes detalhadas sobre os usurios ativos.
Cache de Geo-IP/Botnets - salva as informaes armazenadas em cache atualmente de
Geo-IP e Botnet.
Ferramentas de diagnstico
Selecione a ferramenta de diagnstico na lista suspensa Ferramenta de diagnstico na
seo Ferramenta de diagnstico da pgina Sistema > Diagnsticos. As seguintes
ferramentas de diagnstico esto disponveis:
Verificar configuraes de rede na pgina 166
Monitor de conexes na pgina 167
Monitor multi-core na pgina 169
Monitor central na pgina 170
Monitor de link na pgina 171
Monitor de tamanho de pacotes na pgina 172
Pesquisa de nome DNS na pgina 173
Encontrar caminho de rede na pgina 174
Ping na pgina 174
Monitor do processo do ncleo 0 na pgina 175
Pesquisa de lista negra em tempo real na pgina 176
Resoluo de nome reversa na pgina 176
Limite de conexo TopX na pgina 177
Pesquisa de MX e verificao de faixa na pgina 177
Rota de rastreamento na pgina 178
Monitor de servidor web na pgina 179
Monitor de usurios na pgina 180
Para usar a ferramenta Verificar configuraes de rede, primeiro selecione-a na lista suspensa
Ferramentas de diagnstico e clique no boto Testar na linha do item ao qual deseja testar.
Os resultados so exibidos na mesma linha. Uma marca de seleo verde significa um
teste bem-sucedido e um X vermelho indica que h um problema.
Para testar vrios itens ao mesmo tempo, marque a caixa de seleo de cada item desejado
e clique no boto Testar todos os selecionados.
Se houver quaisquer investigaes com falha, ser possvel clicar na seta azul esquerda
do campo Endereo IP do item com falha para ir para a pgina de configurao para investigar
a causa raiz.
Monitor de conexes
O Monitor de conexes exibe visualizaes exportveis, em tempo real (texto simples ou
CSV), que podem ser filtradas de todas as conexes para/e atravs do firewall.
Os campos nos quais foram inseridos valores so combinados em uma cadeia de caracteres
de pesquisa com um E lgico. Por exemplo, se voc inserir valores para IP de origem e IP de
destino, a cadeia de caracteres de pesquisa procurar conexes que correspondam a:
IP de origem E IP de Destino
Marque a caixa Grupo prxima a qualquer um dos dois ou mais critrios para combin-los com
um OU lgico. Por exemplo, se voc inserir valores para IP de origem, IP de destino e
Protocolo e marcar Grupo prximo ao IP de origem e IP de destino, a cadeia de caracteres
de pesquisa procurar conexes que correspondam a:
(IP de origem OU IP de Destino) E Protocolo
Clique em Aplicar Filtro para aplicar o filtro imediatamente tabela Monitor de conexes
ativas. Clique em Reconfigurar filtros para limpar o filtro e exibir novamente os resultados
no filtrados.
possvel exportar a lista de conexes ativas para um arquivo. Clique em Exportar
Resultados e selecione se voc deseja que os resultados sejam exportados para um arquivo
de texto simples ou um arquivo CSV (valores separados por vrgula) para importao para uma
planilha, ferramenta de relatrio ou banco de dados. Se for solicitado a voc Abrir ou Salvar o
arquivo, selecione Salvar. Em seguida, insira um nome de arquivo e caminho e clique em OK.
Etapa 1 Selecione uma das seguintes opes na lista suspensa Ver estilo:
ltimos 30 segundos
ltimos 30 minutos
ltimas 24 horas
ltimos 30 dias
Etapa 2 Selecione a interface fsica a ser visualizada na lista suspensa Nome de interface.
Etapa 3 Na lista suspensa Direo, selecione uma das seguintes opes:
Ambos Selecionar para pacotes que viajam na entrada e na sada
Entrada Selecionar para pacotes que chegam na interface
Sada Selecionar para pacotes que saem da interface
Os pacotes so exibidos no grfico de Tamanho mdio do pacote, em que o eixo X especifica
quando os pacotes cruzaram a interface e o eixo Y especifica o tamanho mdio de pacotes
nesse momento. Os pacotes de entrada so exibidos em verde e os pacotes de sada so
exibidos em vermelho.
A ferramenta Pesquisa de nome DNS do IPv6 pesquisar o endereo IPv6 para um nome de
domnio. Como alternativa, se voc inserir um endereo IPv6, ele pesquisar o nome de
domnio para esse endereo.
Ao realizar a Pesquisa de DNS do IPv6 ou a Pesquisa de nome reverso do IPv6, digite o
endereo do servidor DNS. Pode ser usado um endereo IPv6 ou IPv4.
Para usar a ferramenta Pesquisa de nome DNS do IPv6, realize as seguintes etapas:
Etapa 1 Digite um endereo do servidor DNS no IPv4 no campo Servidor DNS (V4) ou um endereo
do servidor DNS no IPv6 no campo Servidor DNS (V6).
Etapa 2 No campo Pesquisa reversa do endereo IP, digite o nome de domnio do qual deseja saber
o endereo IPv6 ou o endereo IPv6 do qual deseja saber o nome de domnio.
Etapa 3 Clique em Ir.
O dispositivo retornar o par de correspondncia do endereo IPv6 e nome de domnio.
Ping
O teste Ping recupera um pacote desativado de uma mquina na Internet e o retorna ao
remetente. Esse teste mostra se o firewall capaz de entrar em contato com o host remoto.
Se os usurios na LAN estiverem tendo problemas ao acessar servios na Internet, tente
executar o ping do servidor DNS ou em outra mquina no local do ISP. Se o teste for
malsucedido, tente executar o ping de dispositivos fora do ISP. Se for possvel executar o ping
em dispositivos fora do ISP, em seguida, o problema estar com a conexo do ISP.
Etapa 1 Digite um endereo do servidor DNS no IPv4 no campo Servidor DNS (V4) ou um endereo
do servidor DNS no IPv6 no campo Servidor DNS (V6).
Etapa 2 Digite o endereo IPv6 do qual deseja saber o nome do servidor no campo Pesquisa reversa
do endereo IP.
Etapa 3 Clique em Ir.
O dispositivo retornar o nome do servidor para o endereo IPv6.
Rota de rastreamento
Rota de rastreamento um utilitrio de diagnstico para ajudar a diagnosticar e solucionar
problemas de conexes de roteador na Internet. Usando os pacotes de ecos do Protocolo de
Mensagem de Conexo de Internet (ICMP) semelhantes aos pacotes de Ping, a Rota de
rastreamento poder testar a interconectividade com roteadores e outros hosts que esto
cada vez mais distante do caminho de rede at que a conexo falhe ou at que o host remoto
responda.
Ao testar a interconectividade com roteadores e outros hosts, ele usa o primeiro endereo IP
que retornado e mostra o endereo do TraceRoute real. Se um endereo IPv4 e IPv6 forem
retornados, por padro, o firewall executar o TraceRoute do endereo IPv4.
Se a opo Preferir rede IPv6estiver habilitada, o firewall executar o TraceRoute do
endereo IPv6.
Rede
| 183
184 | Guia do Administrador do SonicOS 6.2Guia do Administrador do SonicOS 6.2
Captulo 12
Configurar interfaces
Configuraes de interface
A tabela Configuraes de interface lista as seguintes informaes para cada interface:
Nome o nome da interface.
Zona LAN, WAN, DMZ e WLAN esto listadas por padro. Como as zonas esto
configuradas, os nomes so listados nesta coluna.
Grupo se a interface estiver atribuda a um grupo de balanceamento de carga, ele ser
exibido nesta coluna.
Endereo IP endereo IP atribudo interface.
Mscara de sub-rede a mscara de rede atribuda sub-rede.
Atribuio de IP os mtodos de atribuio de IP disponveis dependem da zona qual
a interface est atribuda:
LAN: Esttico, Transparente, Modo de ponte de camada 2, Modo de cabo, Modo de tap
WAN: Esttico, DHCP, PPPoE, PPTP, L2TP, Modo de cabo, Modo de tap
DMZ: Esttico, Transparente, Modo de ponte de camada 2, Modo de cabo, Modo de tap
WLAN: Esttico, Modo de ponte de camada 2
Status o status do link e a velocidade.
Comentrio todos os comentrios definidos pelo usurio.
Configurar clique no cone Configurar para exibir a caixa de dilogo Editar
interface que permite que voc defina as configuraes para a interface especificada.
Interfaces fsicas
As interfaces fsicas devem ser atribudas a uma zona para permitir a configurao de Regras
de acesso para controlar o trfego de entrada e de sada. As zonas de segurana esto
associadas a cada interface fsica onde atuam como um canal para o trfego de entrada e de
sada. Se no houver nenhuma interface, o trfego no consegue acessar a zona ou sair dela.
Para obter mais informaes sobre zonas, consulte Rede > Zonas na pgina 263.
Nos dispositivos da srie SuperMassive 9000, as portas de fator de forma pequeno avanado
plugvel (SFP+), X16, X18 e X19 so designadas com um ponto para indicar que possuem
uma velocidade de processamento mxima direta para a CPU. Estas portas com pontos tm
um uplink dedicado (no compartilhado) para a CPU.
Isso benfico se voc tiver um backbone de rede corporativa de 10 Gb, e se estiver usando
um SuperMassive 9200 para o dispositivo de gateway de seu departamento. Voc deve
conectar uma das portas com pontos (X16, X18 ou X19) diretamente ao backbone. O motivo
que essas portas so conexes diretas da CPU ao que voc conectar a elas. Voc no deseja
que essas portas compartilhem largura de banda com usurios ou quaisquer outros
dispositivos na sua rede. Para obter mxima velocidade e eficincia, essas portas devem ser
conectadas diretamente ao backbone.
Normalmente, links essenciais para os negcios e muito multiplexados devem estar
conectados a uma interface pontilhada. Um exemplo de um caso de uso essencial para o
negcio pode envolver uma unidade administrativa conectada a uma rede backbone de 10 Gb.
Para desempenho mximo, a conexo backbone upstream deve se conectar atravs de uma
interface pontilhada. Isso garante que o trfego de backbone importante nunca seja perdido
devido a condies transitrias de alta carga nas outras interfaces no pontilhadas que
compartilham um uplink da CPU.
Um exemplo de um caso de uso muito multiplexado pode envolver vrios switches corporativos
downstream com uplinks de 10 Gb cada um. Para desempenho mximo, cada um deve ser
conectado atravs de uma interface pontilhada. Isso garante que diferentes domnios de
comutao de alto nvel no consigam esgotar recursos da CPU entre si.
Subinterfaces
O suporte de VLAN no SonicOS obtido por meio de subinterfaces que so interfaces lgicas
aninhadas abaixo de uma interface fsica. Cada ID exclusivo de VLAN requer sua prpria
subinterface. Por motivos de segurana e controle, o SonicOS no participa de qualquer
protocolo de truncamento VLAN, mas em vez disso requer que cada VLAN que deve ser
suportada seja configurada e atribuda com as caractersticas de segurana apropriadas.
Modo transparente
O modo transparente no SonicOS usa interfaces como o nvel superior da hierarquia de
gerenciamento. O modo transparente suporta endereamento exclusivo e roteamento de
interface.
Gateway
WAN Port
Incoming Event
Data Center Access
SNMP
Outgoing Alerts Bridge Mode
Reserved Port
E7500
No modo de sniffer de IPS, est configurada uma ponte de camada 2 entre duas interfaces na
mesma zona no firewall, como LAN-LAN ou DMZ-DMZ. Voc tambm pode criar uma zona
personalizada a ser usada para a ponte de camada 2. Apenas a zona de WAN no
apropriada para o modo de sniffer IPS.
O motivo para isso est relacionado com o fato de o SonicOS detectar todas as assinaturas no
trfego dentro da mesma zona, como o trfego de LAN-LAN, mas algumas assinaturas
direcionais especficas (lado do cliente em relao ao lado do servidor) no se aplicam a
alguns casos de LAN-WAN.
Qualquer interface da ponte de camada 2 pode ser conectada porta espelhada no switch.
Como o trfego de rede atravessa o switch, o trfego tambm enviado para a porta
espelhada e, a partir da, para o firewall para inspeo profunda de pacotes. Os eventos mal-
intencionados desencadeiam alertas e entradas de log e, se o SNMP estiver habilitado, so
enviadas capturas de SNMP para o endereo IP configurado do sistema gerenciador do SNMP.
O trfego no continua realmente para a outra interface da ponte de camada 2. O modo de
sniffer IPS no coloca o firewall em linha com o trfego de rede, ele apenas fornece uma forma
para inspecionar o trfego.
A tela Editar interfaces disponvel na pgina Rede > Interfaces fornece uma nova caixa de
seleo denominada Detectar somente trfego nesse par com ponte para ser usada ao
configurar o modo de sniffer IPS. Quando marcada, esta caixa de seleo faz com que o
firewall inspecione todos os pacotes que chegam ponte L2 a partir da porta do switch
espelhada. A caixa de seleo Nunca rotear trfego nesse par com ponte tambm deve ser
selecionada para o modo de sniffer IPS para garantir que o trfego da porta do switch
espelhada no seja enviado novamente para a rede.
Para obter instrues detalhadas sobre como configurar interfaces no modo de sniffer IPS,
consulte Configurar o modo de sniffer IPS na pgina 210.
HP HCM/
NIM + Server ISP
Third-party Firewall
Router
HP ProCurve
Switch
LAN Connection
X1 WAN Connection
Wireless File Email X0-LAN/ L2B Mode
Desktop
Client Client Server Server
Configurar interfaces
As sees a seguir descrevem a configurao da interface:
Configurar uma interface esttica na pgina 193
Configurar o modo roteado na pgina 196
Habilitar o gerenciamento de largura de banda na pgina 196
Configurar interfaces no modo de IP transparente (unir sub-rede L3) na pgina 197
Configurar interfaces sem fio na pgina 200
Configurar uma interface de WAN na pgina 202
Configurar agregao de links e redundncia de portas na pgina 206
Configurar subinterfaces de VLAN na pgina 209
Configurar o modo de sniffer IPS na pgina 210
Configurar modo de ponte de camada 2 na pgina 240
Etapa 1 Clique no cone Configurar na coluna Configurar da interface que voc deseja configurar.
A caixa de dilogo Editar interface exibida.
Voc pode configurar X0 a X19 ou a interface MGMT.
Se voc desejar criar uma nova zona, selecione Criar nova zona. A janela Adicionar
zona exibida. Consulte Rede > Zonas na pgina 263 para obter instrues sobre
como adicionar uma zona.
Etapa 2 Selecione uma zona para atribuir interface. Voc pode selecionar LAN, WAN, DMZ, WLAN
ou uma zona personalizada.
Etapa 3 Selecione Esttico no menu Atribuio de IP.
Etapa 4 Digite o endereo IP e a mscara de sub-rede da interface nos campos Endereo IP e
Mscara de sub-rede.
Etapa 5 Se configurar uma interface de zona de WAN ou a interface de MGMT, digite o endereo IP do
dispositivo de gateway no campo Gateway padro. O dispositivo de gateway fornece acesso
entre esta interface e a rede externa quer seja a Internet ou uma rede privada. Um gateway
opcional para interfaces de zona de DMZ ou LAN.
Etapa 6 Se configurar uma interface de zona de WAN, digite os endereos IP de at trs servidores
DNS nos campos Servidor DNS. Eles podem ser servidores DNS pblicos ou privados. Para
obter mais informaes, consulte Configurar uma interface de WAN na pgina 202.
Etapa 7 Introduza qualquer texto de comentrio opcional no campo Comentrio. Este texto exibido
na coluna Comentrio da tabela Interface.
Etapa 8 Se voc desejar habilitar o gerenciamento remoto do firewall a partir desta interface, selecione
o(s) protocolo(s) de gerenciamento suportado(s): HTTPS, SSH, Ping, SNMP e/ou SSH.
Para permitir o acesso interface de WAN para gerenciamento de outra zona no mesmo
dispositivo, devem ser criadas regras de acesso. Para obter mais informaes, consulte
Permitir acesso ao IP primrio de WAN a partir da zona de LAN na pgina 566.
Etapa 9 Se voc desejar permitir que usurios selecionados com direitos de gerenciamento limitado
efetuem logon no dispositivo de segurana, selecione HTTP e/ou HTTPS em Login do
usurio.
Etapa 10 Clique em OK.
Nota A senha do administrador necessria para gerar novamente chaves de criptografia aps
alterar o endereo do firewall.
As opes disponveis na guia Avanado de uma interface esttica variaro de acordo com a
zona selecionada.
Etapa 3 Voc pode optar por substituir a opo Usar endereo MAC padro para a interface
selecionando Substituir endereo MAC padro e inserindo o endereo MAC no campo.
Etapa 4 Marque a caixa de seleo Porta de encerramento para colocar temporariamente essa
interface offline para manuteno ou por outros motivos. Se conectado, o link ficar inativo.
Desmarque a caixa de seleo para ativar a interface e permitir que o link fique novamente
ativo.
Etapa 5 Para o recurso AppFlow, marque a caixa de seleo Habilitar relatrios de fluxo para permitir
relatrios de fluxo em fluxos criados para esta interface.
Etapa 6 Marque a caixa de seleo Habilitar suporte a difuso seletiva para permitir a recepo de
difuso seletiva nesta interface.
Etapa 7 Marque a caixa de seleo Habilitar marcas 802.1p para marcar informaes passando nessa
interface com informaes de prioridade 802.1p para gerenciamento de Qualidade de Servio
(QoS). Os pacotes enviados por meio dessa interface so marcados com VLAN id=0 e
transmitem informaes de prioridade 802.1p. Para usar essas informaes de prioridade, os
dispositivos conectados a esta interface devem suportar quadros de prioridade. O
gerenciamento de QoS controlado por regras de acesso na pgina Firewall > Regras de
acesso. Para obter informaes sobre o gerenciamento de QoS e largura de banda, consulte
Configuraes de firewall > Mapeamento QoS na pgina 725.
Etapa 8 Como alternativa, selecione Agregao de links ou Redundncia de portas na lista
suspensa Redundncia/agregao de portas. Para obter mais informaes, consulte
Configurar agregao de links e redundncia de portas na pgina 206.
Etapa 9 Como alternativa, marque a caixa de seleo Usar modo roteado. Para obter mais
informaes sobre o Modo roteado, consulte Configurar o modo roteado na pgina 196.
Etapa 10 MTU da interface Especifica o maior tamanho de pacote que a interface pode encaminhar
sem fragmentar o pacote. Identifique o tamanho dos pacotes que a porta receber e
transmitir:
1500 Pacotes padro (padro)
9000 Pacotes do Quadro Jumbo
Observe que o suporte ao quadro jumbo deve ser habilitado antes que uma porta possa
processar quadros jumbo, conforme explicado em Quadro Jumbo na pgina 674.
Nota Devido aos requisitos de tamanho do buffer dos pacotes do quadro jumbo, os quadros
jumbo aumentam os requisitos de memria por um fator de 4.
Nota O modo roteado est disponvel ao usar o modo de IP esttico para interfaces nas zonas
de LAN, DMZ e WLAN. Para DMZ, o modo tambm est disponvel ao usar o modo de ponte
de camada 2.
Etapa 1 Navegue at a pgina Rede > Interfaces. Clique no cone Configurar da interface apropriada.
A janela Editar interface ser exibida.
Etapa 2 Clique na guia Avanado.
Etapa 3 No ttulo Configuraes do modo especializado, marque a caixa de seleo Usar modo
roteado Adicionar poltica de NAT para impedir a converso de sada/entrada para
habilitar o modo roteado para a interface.
Etapa 4 Na lista suspensa Interface de sada/entrada com poltica de NAT, selecione a interface de
WAN que deve ser usada para rotear o trfego para a interface.
Etapa 5 Clique em OK.
O firewall cria ento as polticas de "no NAT" para a interface configurada e para a interface
de WAN selecionada. Essas polticas substituem quaisquer polticas de NAT M21 mais gerais
que podem ser configuradas para as interfaces.
Etapa 1 Clique no cone Configurar na coluna Configurar da Interface no atribuda que voc deseja
configurar. A caixa de dilogo Editar interface exibida.
Etapa 2 Selecione uma interface.
Se voc selecionar uma interface configurvel, selecione LAN ou DMZ para Zona.
Se voc deseja criar uma nova zona para a interface configurvel, selecione Criar uma
nova zona. A janela Adicionar zona exibida. Consulte Rede > Zonas na pgina 263
para obter instrues sobre como adicionar uma zona.
Etapa 3 Selecione Modo de IP transparente (unir sub-rede L3) no menu Atribuio de IP.
Etapa 4 No menu Intervalo transparente, selecione um objeto de endereo que contm o intervalo de
endereos IP que voc deseja acessar por meio dessa interface. O intervalo de endereos
deve estar dentro de uma zona interna, como LAN, DMZ ou outra zona confivel que
corresponda zona usada para a interface transparente interna. Se voc no tem um objeto
de endereo configurado que atenda s suas necessidades:
No menu Intervalo transparente, selecione Criar novo objeto de endereo.
Nota A senha do administrador necessria para gerar novamente chaves de criptografia aps
alterar o endereo do firewall.
Cuidado Se voc selecionar uma velocidade de Ethernet e duplex especficos, voc deve forar
tambm a velocidade da conexo e o duplex da placa Ethernet para o firewall.
Etapa 3 Voc pode optar por substituir a opo Usar endereo MAC padro para a interface
selecionando Substituir endereo MAC padro e inserindo o endereo MAC no campo.
Etapa 4 Marque a caixa de seleo Porta de encerramento para colocar temporariamente essa
interface offline para manuteno ou por outros motivos. Se conectado, o link ficar inativo.
Desmarque a caixa de seleo para ativar a interface e permitir que o link fique novamente
ativo.
Etapa 5 Para o recurso AppFlow, marque a caixa de seleo Habilitar relatrios de fluxo para permitir
relatrios de fluxo em fluxos criados para esta interface.
Etapa 6 Marque a caixa de seleo Habilitar suporte a difuso seletiva para permitir a recepo de
difuso seletiva nesta interface.
Etapa 7 Marque a caixa de seleo Habilitar marcas 802.1p para marcar informaes passando nessa
interface com informaes de prioridade 802.1p para gerenciamento de Qualidade de Servio
(QoS). Os pacotes enviados por meio dessa interface so marcados com VLAN id=0 e
transmitem informaes de prioridade 802.1p. Para usar essas informaes de prioridade, os
dispositivos conectados a esta interface devem suportar quadros de prioridade. O
gerenciamento de QoS controlado por regras de acesso na pgina Firewall > Regras de
acesso. Para obter informaes sobre o gerenciamento de QoS e largura de banda, consulte
Configuraes de firewall > Mapeamento QoS na pgina 725.
Etapa 8 Como alternativa, selecione Agregao de links ou Redundncia de portas na lista
suspensa Redundncia/agregao de portas. Para obter mais informaes, consulte
Configurar agregao de links e redundncia de portas na pgina 206.
Etapa 9 Marque a caixa de seleo Habilitar encaminhamento ARP gratuito para WAN para
encaminhar pacotes de ARP gratuitos recebidos nesta interface para a WAN, usando o
endereo MAC do hardware da interface de WAN como o endereo MAC de origem.
Etapa 10 Marque a caixa de seleo Habilitar gerao automtica de ARP gratuito para WAN para
enviar automaticamente pacotes de ARP gratuitos para a WAN sempre que uma nova entrada
adicionada tabela de ARP para um novo computador nesta interface. O endereo MAC do
hardware da interface de WAN usado como o endereo MAC de origem do pacote de ARP.
Etapa 11 Opcionalmente, habilite o gerenciamento de largura de banda para esta interface. Para obter
mais informaes sobre o gerenciamento de largura de banda, consulte Habilitar o
gerenciamento de largura de banda na pgina 196.
Etapa 1 Clique no cone Configurar na coluna Configurar da interface que voc deseja configurar.
A caixa de dilogo Editar interface exibida.
Etapa 2 Na lista Zona, selecione WLAN ou uma zona sem fio personalizada.
Etapa 3 Para Atribuio de IP/modo, selecione o modo de IP esttico. Voc tambm pode selecionar
o Modo de ponte de camada 2. Consulte Modo de ponte de camada 2 na pgina 219 para obter
mais informaes.
Etapa 4 Digite o endereo IP e a mscara de sub-rede da zona nos campos Endereo IP e Mscara
de sub-rede.
Nota O limite superior da mscara de sub-rede determinado pelo nmero de SonicPoints que
voc selecionar no campo Limite de SonicPoints. Se voc estiver configurando vrias
interfaces ou subinterfaces como interfaces sem fio, convm usar uma sub-rede menor
(superior) para limitar o nmero de concesses DHCP possveis disponveis na interface.
Caso contrrio, se voc usar uma sub-rede de classe C (mscara de sub-rede de
255.255.255.0) para cada interface sem fio, voc poder exceder o limite de concesses
DHCP disponveis no dispositivo de segurana.
Etapa 6 Introduza qualquer texto de comentrio opcional no campo Comentrio. Este texto exibido
na coluna Comentrio da tabela Interface.
Etapa 7 Se voc desejar habilitar o gerenciamento remoto do firewall a partir desta interface, selecione
o(s) protocolo(s) de gerenciamento suportado(s): HTTPS, Ping, SNMP e/ou SSH.
Para permitir o acesso interface de WAN para gerenciamento de outra zona no mesmo
dispositivo, devem ser criadas regras de acesso. Para obter mais informaes, consulte
Permitir acesso ao IP primrio de WAN a partir da zona de LAN na pgina 566.
Etapa 8 Se voc desejar permitir que usurios selecionados com direitos de gerenciamento limitado
efetuem logon no dispositivo de segurana, selecione HTTP e/ou HTTPS em Login do
usurio.
Etapa 9 Clique em OK.
Etapa 3 Voc pode optar por substituir a opo Usar endereo MAC padro para a interface
selecionando Substituir endereo MAC padro e inserindo o endereo MAC no campo.
Etapa 4 Marque a caixa de seleo Porta de encerramento para colocar temporariamente essa
interface offline para manuteno ou por outros motivos. Se conectado, o link ficar inativo.
Desmarque a caixa de seleo para ativar a interface e permitir que o link fique novamente
ativo.
Etapa 5 Para o recurso AppFlow, marque a caixa de seleo Habilitar relatrios de fluxo para permitir
relatrios de fluxo em fluxos criados para esta interface.
Etapa 6 Marque a caixa de seleo Habilitar suporte a difuso seletiva para permitir a recepo de
difuso seletiva nesta interface.
Etapa 7 Marque a caixa de seleo Habilitar marcas 802.1p para marcar informaes passando nessa
interface com informaes de prioridade 802.1p para gerenciamento de Qualidade de Servio
(QoS). Os pacotes enviados por meio dessa interface so marcados com VLAN id=0 e
transmitem informaes de prioridade 802.1p. Para usar essas informaes de prioridade, os
dispositivos conectados a esta interface devem suportar quadros de prioridade. O
gerenciamento de QoS controlado por regras de acesso na pgina Firewall > Regras de
acesso. Para obter informaes sobre o gerenciamento de QoS e largura de banda, consulte
Configuraes de firewall > Mapeamento QoS na pgina 725.
Etapa 8 Como alternativa, selecione Agregao de links ou Redundncia de portas na lista
suspensa Redundncia/agregao de portas. Para obter mais informaes, consulte
Configurar agregao de links e redundncia de portas na pgina 206.
Etapa 9 Como alternativa, marque a caixa de seleo Usar modo roteado. Para obter mais informaes
sobre o Modo roteado, consulte Configurar o modo roteado na pgina 196.
Etapa 10 Opcionalmente, habilite o gerenciamento de largura de banda para esta interface. Para obter
mais informaes sobre o gerenciamento de largura de banda, consulte Habilitar o
gerenciamento de largura de banda na pgina 196.
Etapa 1 Clique no cone Editar na coluna Configurar da interface que voc deseja configurar. A
caixa de dilogo Editar interface exibida.
Etapa 2 Se voc estiver configurando uma interface no atribuda, selecione WAN no menu Zona. Se
voc tiver selecionado a interface WAN padro, a opo WAN j est selecionada no menu
Zona.
Etapa 3 Selecione um dos seguintes modos de endereamento de rede de WAN no menu Atribuio
de IP. Dependendo da opo que voc escolher no menu Atribuio de IP, preencha os campos
correspondentes que so exibidos depois de selecionar a opo.
Etapa 3 Voc pode optar por substituir a opo Usar endereo MAC padro para a interface
selecionando Substituir endereo MAC padro e inserindo o endereo MAC no campo.
Etapa 4 Marque a caixa de seleo Porta de encerramento para colocar temporariamente essa
interface offline para manuteno ou por outros motivos. Se conectado, o link ficar inativo.
Desmarque a caixa de seleo para ativar a interface e permitir que o link fique novamente
ativo.
Etapa 5 Para o recurso AppFlow, marque a caixa de seleo Habilitar relatrios de fluxo para permitir
relatrios de fluxo em fluxos criados para esta interface.
Etapa 6 Marque a caixa de seleo Habilitar suporte a difuso seletiva para permitir a recepo de
difuso seletiva nesta interface.
Etapa 7 Marque a caixa de seleo Habilitar marcas 802.1p para marcar informaes passando nessa
interface com informaes de prioridade 802.1p para gerenciamento de Qualidade de Servio
(QoS). Os pacotes enviados por meio dessa interface so marcados com VLAN id=0 e
transmitem informaes de prioridade 802.1p. Para usar essas informaes de prioridade, os
dispositivos conectados a esta interface devem suportar quadros de prioridade. O
gerenciamento de QoS controlado por regras de acesso na pgina Firewall > Regras de
acesso. Para obter informaes sobre o gerenciamento de QoS e largura de banda, consulte
Configuraes de firewall > Mapeamento QoS na pgina 725.
Etapa 8 Como alternativa, selecione Agregao de links ou Redundncia de portas na lista
suspensa Redundncia/agregao de portas. Para obter mais informaes, consulte
Configurar agregao de links e redundncia de portas na pgina 206.
Etapa 9 MTU da interface Especifica o maior tamanho de pacote que a interface pode encaminhar
sem fragmentar o pacote. Identifique o tamanho dos pacotes que a porta receber e
transmitir:
1500 Pacotes padro (padro)
9000 Pacotes do Quadro Jumbo
Observe que o suporte ao quadro jumbo deve ser habilitado antes que uma porta possa
processar quadros jumbo, conforme explicado em Quadro Jumbo na pgina 674.
Nota Devido aos requisitos de tamanho do buffer dos pacotes do quadro jumbo, os quadros
jumbo aumentam os requisitos de memria por um fator de 4.
Redundncia de portas na pgina 208 configura uma nica porta redundante para
qualquer interface fsica que pode ser conectada a um segundo switch para evitar perda
de conectividade nos casos em que a interface primria ou o switch primrio switch falhar.
Agregao de links
A agregao de links usada para aumentar a largura de banda disponvel entre o firewall e
um switch agregando at quatro interfaces em um nico link agregado, designado Grupo de
agregao de links (LAG). Todas as portas em um link agregado devem estar conectadas ao
mesmo switch. O firewall usa um algoritmo round-robin para balanceamento de carga de
trfego nas interfaces em um Grupo de agregao de links. A agregao de links tambm
fornece uma medida de redundncia, em que se uma interface no LAG ficar inativa, as outras
interfaces permanecero conectadas.
A agregao de links referenciada por meio de terminologia diferente por fornecedores
diferentes, incluindo Canal de porta, Canal de Ether, Truncamento e Agrupamento de portas.
Nota Depois de uma interface ser atribuda a um Grupo de agregao de links, sua configurao
regida pela interface mestre da agregao de links e no pode ser configurada de forma
independente. Na tabela Configuraes de interface, a zona da interface exibida como
"Porta de agregado" e o cone de configurao removido.
Redundncia de portas
A redundncia de portas fornece um mtodo simples para configurar uma porta redundante
para uma porta fsica de Ethernet. Este um recurso valioso, principalmente em implantaes
avanadas, para proteo contra falhas de switch como um ponto nico de falha.
Quando a interface primria est ativa, ela processa todo o trfego de e para a interface. Se a
interface primria ficar inativa, a interface secundria assumir todo o trfego de entrada e de
sada. A interface secundria assume o endereo MAC da interface primria e envia o ARP
gratuito apropriado em um evento de failover. Quando a interface primria fica ativa
novamente, ela retomar a responsabilidade por todo o trfego, tratando das obrigaes da
interface secundria.
Em uma configurao tpica de redundncia de portas, as interfaces primria e secundria
esto conectadas a switches diferentes. Isso fornece um caminho de failover no caso de o
switch primrio ficar inativo. Os dois switches devem estar no mesmo domnio de Ethernet. A
redundncia de portas tambm pode ser configurada com ambas as interfaces conectadas ao
mesmo switch.
Etapa 1 Na pgina Rede > Interfaces, clique no cone Configurar da interface que deve ser designada
a mestre do grupo de agregao de links. A caixa de dilogo Editar interface exibida.
Etapa 2 Clique na guia Avanado.
Etapa 3 No menu suspenso Redundncia/agregao de portas selecione Redundncia de portas.
Etapa 4 O menu suspenso Porta redundante exibido com todas as interfaces no atribudas
atualmente disponveis. Selecione uma das interfaces.
Nota Depois de selecionar uma interface como uma porta redundante, a sua configurao ser
regida pela interface primria e no pode ser configurada de forma independente. Na tabela
Configuraes de interface, a zona da interface exibida como "Porta redundante" e o
cone de configurao removido.
Etapa 1 No menu de navegao esquerda, clique em Rede e, em seguida, Interfaces para exibir a
pgina Rede > Interfaces.
Etapa 2 Na parte inferior da tabela Configuraes de interface, clique em Adicionar interface. A caixa
de dilogo Editar interface exibida.
Etapa 3 Selecione uma zona para atribuir interface. Voc pode selecionar LAN, WAN, DMZ, WLAN
ou uma zona personalizada. A atribuio de zonas no precisa ser a mesmo que a interface
(fsica) pai. Na verdade, a interface pai ainda pode permanecer No atribuda.
Suas opes de configurao para as configuraes de rede da subinterface dependem da
zona que voc selecionar.
LAN, DMZ ou uma zona personalizado de tipo Confivel: Esttico ou Transparente
Configurar o log
Voc pode configurar o log para registrar entradas de ataques detectados pelo firewall.
Para habilitar o log, execute as seguintes etapas:
Configurao do
modo de cabo Descrio
Modo de bypass O modo de bypass permite a Introduo rpida e relativamente contnua de
hardware de firewall em uma rede. Ao selecionar um ponto de insero em uma
rede (por exemplo, entre um switch central e um firewall de permetro, na frente de
um farm de servidor VM, em um ponto de transio entre domnios de classificao
de dados), o firewall inserido no caminho de dados fsicos, exigindo uma janela
de manuteno muito curta. Um ou mais pares de portas do switch no firewall so
usados para encaminhar todos os pacotes em segmentos a taxas de linha
completas, ficando todos os pacotes na malha do switch de 240 Gbps do firewall
em vez de passarem para o caminho de imposio e inspeo de vrios ncleos.
Enquanto o modo de bypass no oferece qualquer inspeo ou aplicao de
firewall, esse modo permite que o administrador introduza fisicamente o firewall na
rede com um mnimo de tempo de inatividade e risco e obtenha um nvel de
conforto com o componente recentemente inserido da infraestrutura de rede e
segurana. O administrador pode ento fazer a transio instantaneamente do
modo Bypass para o modo Inspecionar ou Proteger atravs de uma simples
reconfigurao orientada pela interface do usurio.
Modo Inspecionar O modo Inspecionar estende o modo Bypass sem alterar funcionalmente o
caminho do pacote de baixo risco e latncia zero. Os pacotes continuam a passar
pela malha do switch do firewall, mas eles tambm so espelhados no mecanismo
RF-DPI de vrios ncleos para fins de inspeo passiva, classificao e relatrios
de fluxo. Isso revela recursos de deteco de ameaas e inteligncia de aplicativo
do firewall sem qualquer processamento intermedirio real.
Modo Proteger O modo Proteger a progresso do modo Inspecionar, interpondo ativamente
processadores de vrios ncleos do firewall no caminho de processamento de
pacotes. Isso amplia o conjunto completo de recursos dos mecanismos de
inspeo e poltica, incluindo controle e inteligncia de aplicativo, servios de
preveno de intruso, antivrus baseado em gateway e em nuvem, anti-spyware e
filtragem de contedo. O modo Proteger proporciona o mesmo nvel de visibilidade
e imposio que as implantaes convencionais de NAT ou modo de ponte L2,
mas sem quaisquer transformaes de L3/L4 e sem alteraes de ARP ou
comportamento de roteamento. O modo Proteger fornece assim uma implantao
NGFW incrementalmente atingvel, no exigindo alteraes lgicas, apenas
alteraes fsicas mnimas, nos designs de rede existentes.
ARP/Roteamento/NAT a No No No No Sim
DPI-SSLa No No No No Sim
Etapa 1 Na pgina Rede > Interfaces, clique no boto Configurar da interface que deseja configurar
para o modo de cabo.
Etapa 2 No menu suspenso Zona, selecione qualquer tipo de zona, exceto WLAN.
Etapa 3 Para configurar a Interface para o Modo de tap, no menu suspenso Atribuio de IP/modo
selecione Modo de tap (tap de 1 porta).
Para configurar a Interface para Modo de cabo, no menu suspenso Atribuio de IP/
modo selecione Modo de cabo (cabo de 2 portas).
Etapa 4 No menu suspenso Tipo de modo de cabo selecione o modo apropriado:
Ignorar (por meio de comutador interno/retransmisso)
Inspecionar (DPI passiva de trfego espelhado)
Assegurar (DPI ativo de trfego embutido)
Etapa 5 No menu suspenso Interface emparelhada selecione a interface que ser conectada ao
firewall upstream. As interfaces emparelhadas devem ser do mesmo tipo (duas interfaces de
1 GB ou duas interfaces de 10 GB).
Recurso Benefcio
Ponte L2 com inspeo profunda de Esse mtodo de operao transparente significa que um
pacotes dispositivo de segurana Dell SonicWALL pode ser adicionado
a qualquer rede sem a necessidade de novo endereamento
ou reconfigurao, permitindo a adio de servios de
segurana de inspeo profunda de pacotes sem causar
interrupes nos designs de rede existentes. Desenvolvido
levando em conta a conectividade e a segurana de igual
forma, o Modo de ponte L2 consegue passar todos os tipos de
quadro de Ethernet, garantindo integrao perfeita.
Embora a rede mostrada no diagrama acima seja simples, no incomum para redes maiores
usar VLANs para segmentao de trfego. Se esta fosse esse tipo de rede, onde o link entre
o switch e o roteador era um tronco de VLAN, um SonicWALL de modo transparente teria sido
capaz de encerrar as VLANs para subinterfaces em ambos os lados do link, mas isso exigiria
o endereamento exclusivo, isto , seria necessrio novo endereamento em, pelo menos, um
lado da operao de no modo transparente. Isso ocorre porque apenas a interface de WAN
primria pode ser usada como a origem do espao de endereo do modo transparente.
Tambm comum para redes maiores empregar vrias sub-redes, sejam elas em um nico
cabo, em VLANs separadas, cabos mltiplos ou alguma combinao. Enquanto o Modo
transparente capaz de suportar vrias sub-redes com o uso de entradas de Rota e ARP
esttico, como a nota tcnica http://www.sonicwall.com/us/support/2134_3468.html descreve,
no um processo sem esforo.
O modo transparente descartar (e, geralmente, registrar) todo o trfego no IPv4, evitando
que passe outros tipos de trfego, como IPX ou tipos IP no tratados.
O modo de ponte L2 trata esses problemas comuns de implantao de Modo transparente, os
quais esto descritos na seo a seguir.
possvel criar uma regra de acesso do firewall para controlar qualquer pacote IP,
independente de sua associao VLAN, por qualquer um dos seus elementos IP, como IP
de origem, IP de destino ou tipo de servio. Se o pacote no for permitido, ele ser
descartado e conectado. Se o pacote for permitido, ele continuar.
8. realizada uma entrada em cache de conexo para o pacote e as converses de NAT
necessrias (se existirem) so executadas.
9. As transformaes e a inspeo de pacotes estvel so executadas para TCP, VoIP, FTP,
MSN, Oracle, RTSP e outros fluxos de mdia, PPTP e L2TP. Se o pacote no for permitido,
ele ser descartado e conectado. Se o pacote for permitido, ele continuar.
10. A inspeo profunda de pacotes, incluindo GAV, IPS, Anti-spyware, CFS e filtragem de e-
mail, executada. Se o pacote no for permitido, ele ser descartado e conectado. Se o
pacote for permitido, ele continuar. A notificao de cliente ser executada conforme
configurado.
11. Se o pacote se destinar zona criptografada (VPN), zona no confivel (WAN) ou a outra
interface conectada (poder ser o caso das ltimas duas em topologias de modo misto), o
pacote ser enviado por meio do caminho apropriado.
12. Se o pacote no se destinar interface VPN/WAN/Conectada, a marca VLAN armazenada
ser restaurada e o pacote (novamente com a marca VLAN original) ser enviado para a
interface Parceiro de ponte.
O modo de ponte L2 capaz de lidar com qualquer nmero de sub-redes atravs da ponte,
conforme descrito acima. O comportamento padro permitir que todas as sub-redes, exceto
regras de acesso, possam ser aplicadas para controlar o trfego, conforme necessrio.
O trfego no suportado ser, por padro, passado de uma interface de ponte L2 para a
interface de parceiro de ponte. Isso permite que o firewall passe outros tipos de trfego,
incluindo pacotes LLC como rvore de extenso, outros tipos ether, como pacotes comutados
de rtulo MPLS (tipo ether 0x8847), Appletalk (tipo ether 0x809b) e os sempre populares
Banyan Vines (tipo ether 0xbad). Esses pacotes no IPv4 s sero passados na ponte, eles
no sero inspecionados ou controlados pelo manipulador de pacotes. Se esses tipos de
trfego no forem necessrias ou desejados, o comportamento de ponte pode ser alterado
habilitando a opo Bloquear todo o trfego no IPv4 na pgina de configurao Interface
de ponte secundria.
As duas interfaces so o mximo permitido em um par de ponte L2. Se forem necessrias mais
de duas interfaces para operar na mesma sub-rede, o modo transparente dever ser
considerado.
Como ser uma das admisses primrias do modo de ponte L2, compreender a aplicao de
servios de segurana importante para a seleo de zona apropriada para interfaces de par
de ponte. A aplicabilidade de servios de segurana baseia-se nos seguintes critrios:
1. A direo do servio:
GAV essencialmente um servio de entrada, inspecionando fluxos de entrada HTTP,
FTP, IMAP, SMTP, POP3 e TCP. Ele tambm possui um elemento de sada adicional
para SMTP.
O Anti-spyware essencialmente um servio de entrada, inspecionando HTTP, FTP,
IMAP, SMTP, POP3 de entrada para a entrega (ou seja, recuperao) de componentes
de spyware como geralmente reconhecido pelos respectivos IDs de classe. Ele
tambm possui um componente de sada adicional, onde a sada usada em relao
direcionalidade (nomeadamente, Sada) atribuda pelas assinaturas de IPS que
acionam o reconhecimento desses componentes de Spyware. O classificador de Sada
(descrito na tabela a seguir) usado porque esses componentes geralmente so
recuperados pelo cliente (por exemplo, host de LAN) via HTTP de um servidor Web na
Internet (host de WAN). Consultando a tabela abaixo, essa seria uma conexo de
Sada e requer uma assinatura com uma classificao direcional de Sada.
O IPS tem trs direes: Recebida, enviada e bidirecional. Recebida e Enviada so
descritas na tabela abaixo e Bidirecional refere-se a todos os pontos de interseo na
tabela.
Para preciso adicional, tambm so considerados outros elementos, como o estado
da conexo (por exemplo, SYN ou estabelecida) e a origem do pacote em relao ao
fluxo (por exemplo, iniciador ou respondente).
2. A direo do trfego. A direo do trfego relacionada IPS essencialmente
determinada pela zona de origem e de destino do fluxo de trfego. Quando um pacote
recebido pelo firewall, a sua zona de origem geralmente conhecida de imediato e a zona
de destino determinada rapidamente fazendo uma pesquisa de rota (ou VPN).
Regras de acesso de zona para zona padro. As regras de acesso padro devem ser
consideradas, embora elas possam ser modificadas conforme necessrio. Os padres so os
seguintes:
Conectividade de WAN
Exemplos de topologias
A seguir encontram-se exemplos de topologias que descrevam implantaes comuns. O Modo
de ponte de camada 2 embutido representa a adio de um dispositivo de segurana Dell
SonicWALL para fornecer servios de segurana em uma rede em que se encontra um firewall
no lugar. A Segurana de permetro representa a adio de um dispositivo de segurana Dell
SonicWALL no Modo de ponte L2 puro a uma rede existente, onde o firewall est colocado
perto do permetro da rede. A Segurana interna representa a integrao completa de um
dispositivo de segurana Dell SonicWALL em modo misto, em que fornece ponte L2, servios
de WLAN e acesso de WAN com NAT em simultneo. O Modo de ponte de camada 2 com
alta disponibilidade representa o cenrio de modo misto onde o par de HA do firewall fornece
alta disponibilidade juntamente com ponte L2. O Modo de ponte de camada 2 com VPN SSL
representa o cenrio em que um dispositivo da srie SonicWALL Aventail SSL VPN ou
SonicWALL SSL VPN implantado junto com o Modo de ponte L2.
Consulte as sees a seguir:
Ponte de camada 2 sem fio na pgina 235
Modo de ponte de camada 2 embutido na pgina 235
No modo sem fio, depois de aplicar ponte na interface sem fio (WLAN) a uma zona de LAN ou
DMZ, a zona de WLAN torna-se a interface com ponte secundria, permitindo que os clientes
sem fio compartilhem a mesma sub-rede e o pool de DHCP como seus equivalentes com fio.
Para configurar uma ponte de interface de camada 2 de WLAN para LAN:
Nota Embora seja criada automaticamente uma regra geral para permitir o trfego entre a zona
de WLAN e sua interface de ponte selecionada, ainda se aplicam as propriedades de
segurana do tipo de zona de WLAN. Qualquer regra especfica deve ser adicionada
manualmente.
Etapa 4 Selecione a interface qual a WLAN deve ter Ponte para. Neste exemplo, X0 (zona de LAN
padro) escolhida.
Etapa 5 Configure as opes restantes normalmente. Para obter mais informaes sobre a
configurao de interfaces de WLAN, consulte Configurar interfaces sem fio na pgina 200.
Esse mtodo til em redes onde h um firewall existente que permanecer no local, mas voc
deseja usar os servios de segurana do firewall sem efetuar grandes alteraes na rede.
Colocando o firewall no Modo de ponte de camada 2, as interfaces X0 e X1 se tornaro parte
do mesmo domnio/rede de difuso (da interface de WAN X1).
Este exemplo refere-se a um dispositivo de segurana Dell SonicWALL instalado em um
ambiente de comutao Hewlett Packard ProCurve. A SonicWALL um membro da ProCurve
Alliance da HP. Podem ser encontrados mais detalhes no site que se segue:
http://www.procurve.com/alliance/members/sonicwall.htm.
Os pacotes de software de servidor ProCurve Manager Plus (PCM+) e Network Immunity
Manager (NIM) da HP podem ser usados para gerenciar os switches, bem como alguns
aspectos do dispositivo de segurana Dell SonicWALL.
Para configurar o firewall para esse cenrio, navegue at a pgina Rede > Interfaces e clique
no cone de configurao da interface LAN X0. Na pgina Configuraes de X0, defina a
Atribuio de IP para "Modo de ponte de camada 2" e defina a interface Com ponte para:
como "X1". Certifique-se tambm de que a interface esteja configurada para HTTP e SNMP
para que possa ser gerenciada a partir da DMZ por PCM+/NIM. Clique em OK para salvar e
ativar a alterao.
Voc tambm precisar certificar-se de modificar as regras de acesso do firewall para permitir
trfego de LAN para WAN e de WAN para LAN, caso contrrio, o trfego no passar com
xito. Tambm poder precisar modificar informaes de roteamento em seu firewall se seu
servidor PCM+/NIM se encontrar na DMZ.
Segurana interna
Server
Port 23 Port 24
Switch - HP 3500yl
HP ProCurve
Switch
O par de HA do firewall consiste em dois firewalls, conectados em conjunto na porta X5, a porta
de HA designada. A porta X1 em cada dispositivo est configurada para conectividade de WAN
normal e usada para acessar a interface de gerenciamento desse dispositivo. O modo de
ponte de camada 2 implementado com a porta X0 com ponte para a porta X2.
Ao configurar esse cenrio, h vrios aspectos a levar em considerao relativamente aos
firewalls e aos switches.
Nos firewalls:
No habilite a opo MAC virtual durante a configurao de Alta disponibilidade. Em uma
configurao de Modo de ponte de camada 2, essa funo no til.
No recomendvel habilitar o Modo de preempo em um ambiente embutido como
esse. Se o Modo de preempo for necessrio, siga as recomendaes na documentao
de seus switches, pois os valores de acionamento e perodo de failover desempenham um
papel fundamental aqui.
Uma vez que o dispositivo de segurana de rede ser usado nesse cenrio de implantao
somente como um ponto de imposio de antivrus, anti-spyware e preveno de intruso, a
poltica de segurana existente deve ser modificada para permitir que o trfego passe em
ambas as direes entre a WAN e a LAN.
Na pgina Firewall > Regras de acesso, clique no cone Configurar para a interseo do
trfego de WAN para LAN. Clique no cone Configurar ao lado da regra padro que bloqueia
implicitamente trfego no iniciado da WAN para a LAN. Na janela Editar regra, selecione
Permitir para a configurao Ao e, em seguida, clique em OK.
Instalar o dispositivo de segurana Dell SonicWALL entre a rede e o dispositivo SSL VPN
Em uma estao de gerenciamento na sua rede interna, voc dever agora ser capaz de
acessar a interface de gerenciamento do dispositivo de segurana de rede usando seu
endereo IP de WAN.
Certifique-se de que todos os servios de segurana do dispositivo de segurana Dell
SonicWALL esto habilitados. Consulte Licenciar servios na pgina 241 e Ativar servios de
segurana em cada zona na pgina 241.
O servio de filtragem de contedo SonicWALL deve ser desabilitado antes de o dispositivo
ser implantado junto com um dispositivo SonicWALL Aventail SSL VPN. Na pgina Rede >
Zonas, clique em Configurar ao lado de zona de LAN (X0), desmarque a caixa de seleo
Impor servio de filtragem de contedo e, em seguida, clique em OK.
Se voc ainda no alterou a senha administrativa no dispositivo de segurana Dell SonicWALL,
voc pode faz-lo na pgina Sistema > Administrao.
Para testar o acesso sua rede a partir de um cliente externo, conecte-se ao dispositivo SSL
VPN e efetue login. Uma vez conectado, tente acessar os recursos da rede interna. Em caso
de problemas, analise sua configurao e consulte Definir as configuraes comuns de
implantaes de modo de ponte L2 na pgina 241.
Licenciar servios
Quando o dispositivo for registrado com xito, v para a pgina Sistema > Licenas e clique
em Sincronizar em Gerenciar servios de segurana online. Isso contatar o servidor de
licenciamento do firewall e certifique-se de que o dispositivo esteja licenciado corretamente.
Para verificar o status de licenciamento, v para a pgina Sistema > Status e visualize o status
da licena de todos os servios UTM (Antivrus do gateway, Anti-spyware e Preveno de
intruso).
Na pgina Sistema > Administrao, verifique se a caixa de seleo junto a Habilitar SNMP
est marcada e, em seguida, clique no boto Aceitar na parte superior da tela.
Em seguida, clique no boto Configurar. Na pgina Configuraes de SNMP, digite todas as
informaes relevantes para seu dispositivo: os nomes de comunidade de SNMP OBTER e
CAPTURAR que o servidor SNMP espera e o endereo IP do servidor SNMP. Clique em OK
para salvar e ativar as alteraes.
Na pgina Rede > Interfaces, habilite SNMP e HTTP/HTTPS na interface por meio da qual
voc gerenciar o dispositivo.
Habilitar syslog
Na pgina Log > Syslog, clique no boto Adicionar e crie uma entrada para o servidor syslog.
Clique em OK para salvar e ativar a alterao.
Na pgina Rede > Zonas, para cada zona que voc usar, certifique-se de que os servios de
segurana estejam ativados.
Em seguida, na pgina Servios de segurana de cada servio, ative e defina as
configuraes que so mais adequadas para o seu ambiente.
Se voc planeja gerenciar o dispositivo a partir de uma zona diferente ou se voc planejar usar
um servidor como o PCM+/NIM da HP para servios de gerenciamento, SNMP ou syslog, crie
regras de acesso para trfego entre as zonas. Na pgina Firewall > Regras de acesso, clique
no cone da interseo da zona do servidor e da zona que tem usurios e servidores (seu
ambiente pode ter mais de uma dessas intersees). Crie uma nova regra para permitir que o
servidor comunique com todos os dispositivos nessa zona.
Na pgina Log > Categorias, defina o Nvel de log para Informacional e o Nvel de alerta
para Crtico. Clique em Aceitar para salvar e ativar a alterao.
Em seguida, v para a pgina Log > Resoluo de nome e defina o Mtodo de resoluo
de nome para DNS, em seguida, NetBios. Clique em Aceitar para salvar e ativar a alterao.
Etapa 4 Configure o gateway padro. Isso necessrio para o prprio dispositivo de segurana
acessar a Internet. (Isto se aplica somente a interfaces de WAN.)
Etapa 5 Configure o servidor DNS. (Isto se aplica somente a interfaces de WAN.)
Etapa 6 Configure o gerenciamento (HTTP, HTTPS, Ping, SNMP, SSH, Logins do usurio,
Redirecionamentos HTTP).
Etapa 7 Clique em OK.
Escolha uma interface para atuar como a interface de ponte secundria. Consulte Seleo de
zona de interface de ponte L2 para obter informaes sobre essa seleo. Neste exemplo,
usaremos X0 (automaticamente atribuda LAN):
Etapa 1 Na pgina Rede > Interfaces, clique no cone Configurar na coluna direita da interface
X0 (LAN).
Etapa 2 Na lista suspensa Atribuio de IP, selecione Modo de ponte de camada 2.
Etapa 3 Na lista suspensa Ponte para, selecione a interface X1.
Etapa 4 Configure o gerenciamento (HTTP, HTTPS, Ping, SNMP, SSH, Logins do usurio,
Redirecionamentos HTTP).
Etapa 5 Opcionalmente, voc pode habilitar a configurao Bloquear todo o trfego no IPv4 para
impedir que a ponte L2 passe trfego no IPv4.
Filtragem VLAN
Voc tambm pode navegar para a guia Filtragem VLAN para controlar o trfego de VLAN
por meio da ponte L2. Por padro, todas as VLANs so permitidas:
Selecione Bloquear VLANs listadas (lista negra) na lista suspensa e adicione as
VLANs que desejar bloquear do painel esquerdo para o painel direito. Todas as VLANs
adicionadas ao painel direito sero bloqueadas e todas as VLANs restantes no painel
esquerda sero permitidas.
Selecione Permitir VLANs listadas (lista branca) na lista suspensa e adicione as VLANs
que desejar permitir explicitamente do painel esquerdo para o painel direito. Todas as
VLANs adicionadas ao painel direito sero permitidas e todas as VLANs restantes no
painel esquerda sero bloqueadas.
Etapa 6 Clique em OK.
A pgina Rede > Interfaces exibe a configurao atualizada:
Agora voc pode aplicar os servios de segurana nas zonas apropriadas, conforme
desejado. Neste exemplo, eles devem ser aplicados na LAN, WAN ou em ambas as zonas.
Etapa 2 Clique no cone Editar na coluna Configurar da interface que voc deseja configurar. A
janela Editar interface exibida.
Nota A caixa de seleo Acionar desvio fsico em funcionamento incorreto est disponvel
somente quando as interfaces X0 e X1 so compartilhadas em conjunto em um NSA- 6600
ou superior.
As interfaces do IPv6 so configuradas na pgina Rede > Interfaces, clicando na opo IPv6
do boto de opo Exibir verso do IP localizado na parte superior esquerda da pgina.
Por padro, todas as interfaces do IPv6 so exibidas como encaminhadas sem nenhum
endereo IP. Vrios endereos IPv6 podem ser adicionados na mesma interface. A atribuio
de IP automtica s pode ser configurada em interfaces da WAN.
Cada interface poder ser configurada para receber ou no o anncio do roteador. O IPv6 pode
ser habilitado ou desabilitado em cada uma das interfaces.
A atribuio de zona para uma interface deve ser configurada por meio da pgina de interface
do IPv4 antes de alternar para o modo do IPv6.
Dica As zonas podem ser sempre aplicadas a mltiplas interfaces na pgina Rede > Interfaces,
mesmo sem o uso de agrupamentos do PortShield. No entanto, essas interfaces no
compartilharo a mesma sub-rede, a menos que elas sejam agrupadas com o uso do
PortShield.
Nota Ao criar uma interface do PortShield no Modo esttico, verifique se o endereo IP atribudo
interface no est sendo usado por outra interface do PortShield.
Nota Cada interface do PortShield estaticamente endereada deve estar em uma sub-rede
exclusiva. No possvel sobrepor as interfaces do PortShield em mltiplas sub-redes.
Etapa 2 Clique no boto Configurar da interface que voc deseja configurar. A janela Editar interface
ser exibida.
Etapa 3 No menu suspenso Zona, selecione a opo de tipo de zona para a qual voc deseja mapear
a interface.
Nota As interfaces devem ser configuradas antes de serem agrupadas com o PortShield.
Etapa 1 No grfico, selecione a(s) interface(s) que voc deseja configurar como parte de um grupo do
PortShield. As interfaces ficaro amarelas.
Etapa 2 Clique no boto Configurar.
Etapa 3 No menu suspenso Porta habilitada, selecione se deseja habilitar ou desabilitar as interfaces.
Etapa 4 No menu suspenso PortShield Interface, selecione a interface que deseja atribuir como a
interface principal para essas interfaces do PortShield.
Etapa 5 No menu suspenso Velocidade do link, selecione a velocidade de conexo para as interfaces.
A Interface Ethernet de WAN primria tem o mesmo significado que conceito de "WAN
primria" do firmware anterior. a interface de WAN de classificao mais alta no grupo de LB.
A WAN alternativa 1 corresponde "WAN secundria", tem uma classificao mais baixa que
a WAN primria, mas tem uma classificao mais alta que as prximas duas alternativas. As
outras, WAN alternativa 2 e WAN alternativa <n1>, so novas, sendo WAN alternativa <n
1> a mais baixa em termos de classificao entre os quatro membros da WAN do grupo de LB.
As configuraes de failover e balanceamento de carga esto descritas abaixo:
Habilitar balanceamento de carga esta opo deve ser habilitada para que o usurio
acesse a seo Grupos de LB e estatsticas de LB da configurao de Failover e
balanceamento de carga. Se estiver desabilitada, no esto disponveis opes para
Failover e balanceamento de carga para configurao.
Responder a investigaes quando a opo est habilitada, o dispositivo pode
responder a pacotes de solicitao de investigao que cheguem a qualquer uma das
interfaces do dispositivo.
Guia Investigao
Quando a investigao lgica est habilitada, os pacotes de teste podem ser enviados para
destinos de investigao remotos para verificar a disponibilidade do caminho de WAN. Foi
fornecida uma nova opo para permitir a investigao por meio das interfaces de WAN
adicionais: WAN alternativa 3 e WAN alternativa 4.
Nota Uma interface de WAN virtual pode pertencer ao grupo de LB. No entanto, antes de usar
dentro do grupo de LB, certifique-se de que a rede de WAN virtual seja totalmente rotevel
como a de uma WAN fsica.
Nota Depois de adicionar novamente as rotas, exclua as antigas referindo-se aos Gateways
padro e secundrio.
Nota Dependendo do seu local, alguns Servidores DNS podem responder mais rapidamente que
outros. Verifique se esses servidores funcionam corretamente antes de usar o seu
dispositivo de segurana Dell SonicWALL.
Nota Mesmo que voc possa agrupar interfaces em uma zona de segurana, isso no impede
que voc efetue o endereamento de uma nica interface dentro da zona.
Tipos de segurana
Cada zona tem um tipo de segurana que define o nvel de confiana atribudo a essa zona.
Existem seis tipos de segurana:
Confivel: Confivel um tipo de segurana que oferece o mais alto nvel de confiana, o
que significa que o mnimo de fiscalizao aplicado ao trfego proveniente de zonas
confiveis. A segurana confivel pode ser considerada como estando no lado da LAN
(protegido) do dispositivo de segurana. A zona de LAN sempre Confivel.
Gerenciamento: O tipo de segurana de Gerenciamento exclusivo para a zona de
MGMT e para a interface de MGMT e tambm fornece o mais alto nvel de confiana.
Criptografado: Criptografado um tipo de segurana usado exclusivamente por zonas de
VPN e SSLVPN. Todo o trfego para e de uma zona Criptografada est criptografado.
Sem fio: Sem fio um tipo de segurana aplicado zona de WLAN ou a qualquer zona
onde a nica interface para a rede consiste em dispositivos SonicPoint da SonicWALL. O
tipo de segurana sem fio projetado especificamente para uso com dispositivos
SonicPoint. Colocar uma interface em uma zona sem fio ativa o SDP (Protocolo de
descoberta da SonicWALL) e o SSPP (Protocolo de provisionamento simples da
Nome: Lista o nome da zona. Os nomes predefinidos de zonas LAN, WAN, WLAN, VPN
e Criptografado no podem ser alterados.
Tipo de segurana: Exibe o tipo de segurana: Confivel, No confivel, Pblico, Sem
fio ou Criptografado.
Interfaces de membros: Exibe as interfaces que so membros da zona.
Confiana de interface: Uma marca de seleo indica que a configurao Permitir
confiana de interface est habilitada para a zona.
Filtragem de contedo: Uma marca de seleo indica que o servio de filtragem de
contedo da SonicWALL est habilitado para trfego de entrada e sada da zona.
Client Anti-Virus: Uma marca de seleo indica que o Client Anti-Virus da SonicWALL
est habilitado para o trfego de entrada e sada da zona. O Client Anti-Virus da
SonicWALL gerencia um aplicativo de cliente antivrus em todos os clientes na zona.
Antivrus no gateway: Uma marca de seleo indica que o Antivrus do gateway da
SonicWALL est habilitado para o trfego de entrada e sada da zona. O Antivrus do
gateway da SonicWALL gerencia o servio de antivrus no firewall.
Servio anti-spyware: Uma marca de seleo indica se a deteco e a preveno de Anti-
spyware da SonicWALL esto habilitadas para o trfego por meio de interfaces na zona.
IPS: Uma marca de seleo indica que o servio de preveno de intruso da SonicWALL
est habilitado para trfego de entrada e sada da zona.
Controle de aplicativos: Uma marca de seleo indica que o servio de controle de
aplicativos est habilitado para trfego de entrada e sada da zona.
GSC: Uma marca de seleo indica que o Global Security Client est habilitado para o
trfego de entrada e sada da zona. O GSC da SonicWALL gerencia um aplicativo antivrus
de cliente e um aplicativo de cliente de VPN em todos os clientes na zona.
Etapa 3 Clique na guia Servios para convidados. Escolha entre as seguintes opes de
configurao para Servios para convidados:
Habilitar servios para convidados habilita servios para convidados na zona de
WLAN.
Habilitar comunicao entre convidados permite que os convidados comuniquem
diretamente com outros usurios que esto conectados a esta zona.
Ignorar verificao de AV para convidados permite que o trfego de convidados
ignore a proteo antivrus.
Habilitar autenticao de convidados externos requer que os convidados
conectando a partir do dispositivo ou rede que voc selecionar se autentiquem antes
de obter acesso.
Habilitar pgina de poltica sem autenticao direciona os usurios para uma
pgina de poltica de uso de servios para convidados que no exige autenticao.
Clique em Configurar para configurar uma pgina de uso de polticas personalizveis
de HTML.
Pgina Autenticao personalizada redireciona os usurios para uma pgina de
autenticao personalizada quando eles se conectam pela primeira vez rede. Clique
em Configurar para configurar a pgina de autenticao personalizada. Insira um URL
para uma pgina de autenticao ou uma instruo de desafio personalizada no campo
de texto e clique em OK.
Pgina de ps-autenticao direciona os usurios para a pgina especificada
imediatamente aps autenticao com xito. Insira um URL para a pgina de ps-
autenticao no campo.
Recursos especiais dos servios para convidados para zonas sem fio
Habilitar converso dinmica de endereos (DAT) os Servios para convidados
fornecem acesso a "hotspots" no momento a convidados e visitantes sem fio. Para fcil
conectividade, os Servios para convidados permitem que usurios sem fio se
autentiquem e associem, obtenham as configuraes de IP e autentiquem usando
qualquer navegador da Web. Sem DAT, se um usurio convidado no for um cliente de
DHCP, mas em vez disso possuir configuraes de IP esttico incompatveis com as
configuraes de rede WLAN sem fio, a conectividade de rede ser impedida at que
as configuraes do usurio sejam alteradas para valores compatveis. A converso
de endereo dinmico (DAT) uma forma de converso de endereo de rede (NAT)
que permite que o sistema suporte qualquer esquema de endereamento IP para
usurios convidados. Por exemplo, a interface de WLAN sem fio configurada com
seu endereo padro de 172.16.31.1 e um cliente convidado tem um endereo IP
esttico de 192.168.0.10 e um gateway padro de 192.168.0.1, enquanto o outro tem
um endereo IP esttico de 10.1.1.10 e um gateway de 10.1.1.1, permitindo a DAT a
comunicao de rede para esses dois clientes.
Etapa 4 Clique em OK para aplicar essas configuraes para esta zona.
Etapa 5 Selecione Imposio de VPN SSL para exigir que todo o trfego que entra na zona de WLAN
seja autenticado por meio de um dispositivo SRA da SonicWALL.
Etapa 6 Na lista Servidor SSL VPN, selecione um objeto de endereo para direcionar o trfego para o
dispositivo SSL VPN.
Etapa 7 Na lista Servio SSL VPN, selecione o servio ou grupo de servios para os quais voc deseja
permitir clientes autenticados por meio de SSL VPN.
Etapa 8 No ttulo Configuraes do SonicPoint, selecione o Perfil de provisionamento do
SonicPoint desejado para aplicar a todos os SonicPoints conectados a esta zona. Sempre que
um SonicPoint se conectar a esta zona, ele ser provisionado automaticamente pelas
configuraes no Perfil de provisionamento do SonicPoint, a menos que voc o tenha definido
individualmente com configuraes diferentes.
Etapa 9 Selecione Apenas permitir trfego gerado por um SonicPoint para bloquear trfego sem fio
no SonicPoint.
Nota Para obter informaes de configurao de Servios para convidados, consulte Configurar
uma zona para acesso de convidado na pgina 269.
O DNS para IPv6 configurado no mesmo mtodo que para o IPv4. Basta clicar na opo IPv6
no boto de opo Exibir verso do IP localizado na parte superior esquerda da pgina Rede
> DNS.
Na seo Configuraes de DNS, selecione Especificar servidores DNS manualmente e
digite o(s) endereo(s) IP nos campos Servidor DNS. Clique em Aceitar para salvar suas
alteraes. Para usar as configuraes de DNS definidas para a zona de WAN, selecione
Herdar configuraes de DNS dinamicamente da zona de WAN. Clique em Aceitar para
salvar suas alteraes
Voc pode visualizar objetos de endereos das seguintes formas usando o menu Ver estilo:
Todos os objetos de endereos exibe todos os objetos de endereos configurados.
Objetos de endereos personalizados exibe os objetos de endereos com
propriedades personalizadas.
Objetos de endereos padro exibe os objetos de endereos configurados por padro
no firewall.
A classificao de objetos de endereos permite que voc localize de forma fcil e rpida os
objetos de endereos configurados no firewall.
Nota Um objeto de endereo deve ser definido antes de configurar Polticas de NAT, Regras de
acesso e Servios.
Se voc tiver selecionado Intervalo, digite os endereos IP inicial e final nos campos
Endereo IP de incio e Endereo IP de trmino.
Se voc tiver selecionado Rede, insira o endereo IP de rede e a mscara de rede nos
campos Rede e Mscara de rede.
Se voc tiver selecionado MAC, insira o endereo MAC e a mscara de rede nos
campos Rede e Endereo MAC.
Etapa 1 Clique em Adicionar grupo para exibir a janela Adicionar grupo de objetos de endereo.
Recurso Benefcio
Suporte de Os objetos de endereos de FQDN suportam entradas com curingas, tais como
curingas FQDN "*.somedomainname.com", resolvendo primeiro o nome de domnio base para todos os
seus endereos IP de host definidos e, em seguida, coletando ativa e constantemente
respostas de DNS conforme elas passam pelo firewall.
Por exemplo, a criao de um AO FQDN para "*.myspace.com" usar primeiro os
servidores DNS configurados no firewall para resolver "myspace.com" para
63.208.226.40, 63.208.226.41, 63.208.226.42 e 63.208.226.43 (como pode ser
confirmado por nslookup myspace.com ou equivalente). Uma vez que a maioria dos servidores
DNS no permitem transferncias de zonas, normalmente no possvel enumerar
automaticamente todos os hosts em um domnio. Em vez disso, o firewall procurar respostas
de DNS provenientes de servidores DNS sancionados medida que atravessam o firewall. Por
isso, se um host por trs do firewall consultar um servidor DNS externo que tambm um
servidor DNS configurado/definido no firewall, o firewall analisar a resposta para ver se ele
corresponde ao domnio de qualquer AO FQDN com caractere curinga.
Nota: Os servidores DNS sancionados so os servidores DNS configurados para uso pelo
firewall. O motivo da utilizao de respostas de apenas servidores DNS
sancionados no processo de aprendizado de curingas a proteo contra a
possibilidade de envenenamento do AO FQDN atravs do uso de servidores DNS
no sancionados com entradas de host deliberadamente incorretas. Verses
futuras do SonicOS podem oferecer a opo para suportar respostas de todos os
servidores DNS. O uso de servidores DNS sancionados pode ser aplicado com o
uso de Regras de acesso, como descrito posteriormente na seo "Impor o uso de
servidores sancionados na rede".
Por exemplo, suponha que o firewall est configurado para usar servidores DNS 4.2.2.1 e
4.2.2.2 e est fornecendo esses servidores DNS a todos os clientes com firewall por meio de
DHCP. Se o cliente A com firewall realizar uma consulta de DNS relativamente a 4.2.2.1 ou
4.2.2.2 para "vids.myspace.com", a resposta ser examinada pelo firewall e ser feita a
correspondncia ao AO FQDN "*.myspace.com" definido. O resultado (63.208.226.224) ser
ento adicionado aos valores resolvidos do DAO "*.myspace.com".
Nota: Se a estao de trabalho (cliente A) no exemplo acima tivesse resolvido e
armazenado em cache vids.myspace.com antes da criao do AO
"*.myspace.com", vids.myspace.com no seria resolvido pelo firewall porque o
cliente iria usar o cache de seu resolvedor em vez de emitir de uma nova solicitao
de DNS. Como resultado, o firewall no teria a oportunidade de aprender sobre
vids.myspace.com, a menos que o problema fosse resolvido por outro host. Em
uma estao de trabalho com Microsoft Windows, possvel limpar o cache do
resolvedor local usando o comando ipconfig /flushdns. Isso forar o cliente a
resolver todos os FQDNs, permitindo que o firewall faa o aprendizado deles
medida que vo sendo acessados.
Criar regras de acesso nas zonas relevantes, permitindo que apenas os servidores SMTP
autorizados em sua rede comuniquem SMTP de sada; bloquear todo o outro trfego SMTP
de sada para impedir spam de sada intencional ou no intencional.
Criar regras de acesso nas zonas relevantes, permitindo que os servidores DNS
autorizados na sua rede comuniquem com todos os hosts de destino usando protocolos
DNS (TCP/UDP 53). Certifique-se de que essa regra esteja implementada se voc tiver
servidores DNS em sua rede e se desejar configurar a regra de DNS restritiva que segue.
Criar regras de acesso nas zonas relevantes, permitindo que hosts com firewall
comuniquem somente DNS (TCP/UDP 53) com servidores DNS sancionados; bloquear
todo o outro acesso a DNS para impedir comunicaes com servidores DNS no
autorizados.
Pode haver casos em que voc deseja bloquear o acesso a todos os protocolos a um IP de
destino especfico devido a portas no padro de operaes, uso de protocolo desconhecido
ou obscurecimento intencional de trfego atravs de criptografia, encapsulamento ou ambas
as opes. Um exemplo seria um usurio que configurou um servidor proxy HTTPS (ou outro
mtodo de encaminhamento/encapsulamento de portas em portas "confiveis", como 53, 80,
443, e tambm em portas no padro, como 5734, 23221 e 63466) em sua rede domstica de
modem por cabo ou DSL com o objetivo de obscurecer o trfego atravs do seu
encapsulamento por meio da rede domstica. A falta de previsibilidade de porta geralmente
ainda mais complicada pelo endereamento dinmico dessas redes, tornando o endereo IP
igualmente imprevisvel.
Uma vez que esses cenrios geralmente empregam registros de DNS dinmico (DDNS) para
permitir que os usurios localizem a rede domstica, os AOs FQDN pode ser definidos para
uso agressivo para bloquear o acesso a todos os hosts em um registrador DDNS.
Nota Um destino DDNS usado neste exemplo para ilustrao. Os domnios de destino no
DDNS tambm podem ser usados.
Suposies
O firewall est configurado para usar o servidor DNS 10.50.165.3, 10.50.128.53.
O firewall est fornecendo concesses DHCP para todos os usurios com firewall. Todos
os hosts na rede usam os servidores DNS configurados acima para resoluo.
As comunicaes de DNS para servidores DNS no sancionados podem ser
opcionalmente bloqueadas com regras de acesso, conforme descrito na seo "Impor
o uso de servidores sancionados na rede".
O usurio de DSL domstico est registrando o nome do host moosifer.dyndns.org com o
provedor DDNS DynDNS. Para esta sesso, o ISP atribuiu conexo DSL o endereo
71.35.249.153.
Um AO FQDN com caractere curinga usado para ilustrao porque outros nomes de
host poderiam facilmente ser registrados para o mesmo endereo IP. As entradas de
outros provedores DDNS tambm podem ser adicionadas, conforme necessrio.
Quando for criada pela primeira vez, essa entrada resolver apenas para o endereo de
dyndns.org, por exemplo, 63.208.196.110.
Nota Em vez de especificar "Sub-redes LAN" como a origem, uma fonte mais especfica poder
ser especificada, conforme apropriado, para que somente seja negado o acesso de
determinados hosts aos destinos.
Quando um host por trs do firewall tenta resolver moosifer.dyndns.org usando um servidor
DNS sancionado, os endereos IP retornados na resposta da consulta sero adicionados
dinamicamente ao AO FQDN.
Qualquer acesso de protocolo a hosts de destino nesse FQDN ser bloqueado e a tentativa
de acesso ser registrada:
Usar um servidor DNS interno para regras de acesso com base em FQDN
Nesses ambientes, poder ser til usar AOs FQDN para controlar o acesso por nome do host.
Isso seria mais aplicvel em redes em que os nomes de host so conhecidos, como onde as
listas de nomes de host so mantidas ou onde uma conveno de nomenclatura previsvel
usada.
Como o DHCP muito mais comum do que o endereamento esttico na maioria das redes,
por vezes difcil prever o endereo IP de hosts configurados dinamicamente, especialmente
na ausncia de atualizaes de DNS dinmico ou nomes de host confiveis. Nessas situaes,
possvel usar objetos de endereos MAC para controlar o acesso de um host atravs do seu
endereo MAC (hardware) relativamente imutvel.
Tal como acontece com outros mtodos de controle de acesso, isto pode ser utilizado
inclusivamente, por exemplo, para negar acesso de/para um host especfico ou um grupo de
hosts, ou exclusivamente, onde somente concedido acesso a um host especfico ou grupo
de hosts e negado acesso a todos os outros. Neste exemplo, ilustraremos a ltima situao.
Supondo que voc tinha um conjunto de clientes sem fio habilitados por DHCP executando um
sistema operacional proprietrio que impedia qualquer tipo de autenticao de nvel de usurio
e que voc desejava permitir somente o acesso desses clientes a um servidor especfico de
aplicativo (por exemplo, 10.50.165.2) na sua LAN. O segmento WLAN est usando WPA-PSK
para segurana e esse conjunto de clientes s deve ter acesso ao servidor 10.50.165.2, mas
no a outros recursos da LAN. Todos os outros clientes sem fio no devem ser capazes de
acessar o servidor 10.50.165.2, mas devem ter acesso ilimitado a tudo o resto.
Uma vez criados, se os hosts estiverem presentes no cache de ARP do firewall, eles sero
resolvidos imediatamente, caso contrrio, eles aparecero em um estado no resolvido na
tabela Objetos de endereos at que sejam ativados e descobertos por meio de ARP:
Nota O servio "Servios MediaMoose" usado para representar o aplicativo especfico usado
pelos dispositivos portteis. A declarao de um servio especfico opcional, conforme
necessrio.
Nota Se voc no visualizar a guia Largura de banda, voc pode habilitar o gerenciamento de
largura de banda declarando a largura de banda em suas interfaces WAN.
Nota O cone BWM ser exibido na tabela Regra de acesso indicando que o BWM est ativo e
fornecendo estatsticas. O acesso a todos os hosts de *.youtube.com usando qualquer
protocolo ser agora cumulativamente limitado a 2% da sua largura de banda total
disponvel para todas as sesses do usurio.
Objetos de endereo IPv6 ou grupos de endereos podem ser adicionados da mesma forma
que os objetos de endereo IPv4. Na pgina Rede > Objetos de endereo, o boto de opo
Exibir verso do IP contm trs opes: Somente IPv4, Somente IPv6 ou IPv4 e IPv6.
Protocolos suportados
Esta seo fornece uma lista de protocolos IP predefinidos para servios personalizados:
ICMP (1) (Protocolo de mensagens de controle da Internet) Um protocolo TCP/IP usado
para enviar mensagens de erro e controle.
IGMP (2) (Protocolo de gerenciamento de grupos da Internet) O protocolo que controla
o gerenciamento de grupos de difuso seletiva em uma rede TCP/IP.
TCP (6) (Protocolo de controle de transmisso) A parte TCP de TCP/IP. O TCP um
protocolo de transporte em TCP/IP. O TCP garante que uma mensagem enviada com
preciso e na sua totalidade.
UDP (17) (Protocolo de datagramas de usurio) Um protocolo no conjunto de protocolos
TCP/IP que usado em vez de TCP quando no necessria uma entrega confivel.
Protocolo Nmero de IP
ICMP 1
TCP 6
UDP 17
GRE 47
IPsec ESP 50
IPsec AH 51
IGMP 2
EIGRP 88
OSPF 89
Todos os servios personalizados que voc cria esto listados na tabela Servios
personalizados. Voc pode agrupar servios personalizados criando um Grupo de servios
personalizados para a imposio de polticas simplificada. Se um protocolo no estiver listado
na tabela Servios padro, voc pode adicion-lo tabela Servios personalizados clicando
em Adicionar.
Para adicionar servios personalizados aos tipos de servios predefinidos, execute as
seguintes etapas:
Nota O servio genrico Qualquer no manipular Objetos de servio do tipo IP personalizado. Por
outras palavras, a definio de um objeto de servio do tipo IP personalizado para o Tipo IP 126
no permitir que o trfego de Tipo IP 126 passe pela regra de permisso LAN > WAN.
Ser necessrio criar uma Regra de acesso especificamente contendo o Objeto de servio do
tipo IP personalizado para fornecer seu reconhecimento e sua manipulao, como mostrado
abaixo.
Etapa 1 Na pgina Rede > Servios, clique no link Acessar objetos de servio na parte superior
direita da pgina para ir at a seo Servios.
Etapa 2 Clique em Adicionar.
Etapa 3 Atribua nomes aos Objetos de servios em conformidade.
Etapa 4 Selecione Tipo IP personalizado na lista suspensa Protocolo.
Etapa 5 Insira o nmero de protocolo para o Tipo IP personalizado. Os intervalos de portas no so
definveis para ou aplicveis a tipos IP personalizados.
Nota No sero permitidas tentativas para definir um Objeto de servio do tipo IP personalizado
para um tipo IP predefinido e resultaro em uma mensagem de erro.
Etapa 7 Na pgina Rede > Servios, seo Grupo de servios, selecione Adicionar grupo.
Etapa 8 Adicione um Grupo de servios composto pelos Servios de tipos IP personalizados.
Etapa 9 Em Firewall > Regras de acesso > WLAN > LAN, selecione Adicionar.
Etapa 10 Defina uma Regra de acesso permitindo myServices de Sub-redes de WLAN para o objeto
de endereo 10.50.165.26.
O Dispositivo de Segurana Dell SonicWALL usa RIPv1 ou RIPv2 para anunciar suas rotas
estticas e dinmicas a outros roteadores na rede. As alteraes no status de tneis de VPN
entre o firewall e gateways VPN remotos tambm se refletem nos anncios de RIPv2. Escolha
entre RIPv1 ou RIPv2 com base nos recursos ou na configurao do seu roteador. RIPv1
uma verso anterior do protocolo que possui menos recursos e tambm envia pacotes via
difuso em vez de difuso seletiva. Os pacotes de RIPv2 so compatveis com verses
anteriores e podem ser aceitos por algumas implementaes de RIPv1 que fornecem uma
opo de escuta para pacotes de difuso seletiva. O RIPv2 habilitado (difuso) seleciona
pacotes de difuso em vez de pacotes de difuso seletiva para redes heterogneas com uma
mistura de roteadores RIPv1 e RIPv2.
Polticas de rota
O SonicOS fornece um roteamento com base em poltica (PBR) para oferecer recursos de
tratamento de trfego mais flexveis e granulares. As sees a seguir descrevem o PBR:
Roteamento com base em poltica na pgina 304
Tabela de polticas de rota na pgina 305
Configurao de rota esttica na pgina 306
Configurao de roteamento com base em poltica habilitado por investigao na
pgina 307
Um exemplo de poltica de rota na pgina 308
Etapa 1 Role para o fim da pgina Rede > Roteamento e clique no boto Adicionar. A janela
Adicionar poltica de rota exibida.
Etapa 2 No menu Origem, selecione o objeto de endereo de origem para a rota esttica ou selecione
Criar novo objeto de endereo para criar dinamicamente um novo objeto de endereo.
Etapa 3 No menu Destino, selecione o objeto de endereo de destino.
Etapa 4 No menu Servio, selecione um objeto de servio. Para uma rota esttica genrica que
permite todos os tipos de trfego, basta selecionar Qualquer.
Etapa 1 Configure a rota esttica conforme descrito em Configurao de rota esttica na pgina 306.
Etapa 2 No menu suspenso Investigar, selecione o objeto de monitoramento de rede apropriado ou
selecione Criar novo objeto de monitoramento de rede... para criar um novo objeto
dinamicamente. Para obter mais informaes, consulte Rede > Monitoramento de rede na
pgina 399.
Etapa 3 As configuraes tpicas no marcaro a caixa de seleo Desabilitar rota quando a
investigao for bem-sucedida, pois os administradores tpicos desejaro desabilitar uma
rota quando uma investigao ao destino da rota falhar. Esta opo fornecida para atribuir
maior flexibilidade aos administradores na definio de rotas e investigaes.
Etapa 4 Selecione O estado padro da investigao ATIVO para que a rota considere a
investigao bem-sucedida (ou seja, no estado "ATIVO") quando a poltica de Monitoramento
de rede conectada estiver no estado "DESCONHECIDO". Isso til para controlar o
Etapa 1 Clique no boto Adicionar na tabela Polticas de rota. A janela Adicionar poltica de rota
exibida.
Etapa 2 Crie uma poltica de roteamento que direcione todas as origens de Sub-rede de LAN para os
destinos Qualquer do servio HTTP fora do Gateway padro X1 atravs da interface X1
selecionando essas configuraes nos menus Origem, Destino, Servio, Gateway e
Interface, respectivamente. Use o padro 1 no campo Mtrica e digite forar http para fora
primrio no campo Comentrio. Clique em OK.
Etapa 3 Crie uma segunda poltica de roteamento que direcione todas as origens de Sub-rede de LAN
para os destinos Qualquer do servio Telnet fora do Gateway padro X3 atravs da interface
X3 selecionando essas configuraes nos menus Origem, Destino, Servio, Gateway e
Interface, respectivamente. Use o padro 1 no campo Mtrica e digite forar telnet para fora
backup no campo Comentrio. Clique em OK.
Nota No habilite a opo Permitir que o caminho VPN tenha prioridade para essas polticas
de roteamento. A opo Permitir que o caminho VPN tenha prioridade atribui
precedncia ao mesmo objeto de endereo de destino relativamente rota para trfego
VPN. Esta opo usada para configurar rotas estticas como backups para tneis de VPN.
Para obter mais informaes, consulte Configurao de rota esttica na pgina 306.
Essas duas rotas baseadas em polticas foram todas as origens da sub-rede da LAN a sarem
sempre da WAN primria ao usar qualquer aplicativo baseado em HTTP e foram todas as
origens da sub-rede da LAN a sarem sempre da WAN de backup ao usar qualquer aplicativo
baseado em Telnet.
Para testar a rota baseada em polticas HTTP, acesse os sites pblicos
http://www.whatismyip.com e http://whatismyip.everdot.org em um computador conectado
interface de LAN. Os dois sites exibem o endereo IP da interface de WAN primria e no da
interface de WAN secundria.
Para testar a rota baseada em polticas Telnet, aplique telnet a route-server.exodus.net e,
quando estiver conectado, execute o comando who. Ele exibe o endereo IP (ou FQDN
resolvido) do endereo IP de WAN da interface de WAN secundria e no a interface de WAN
primria.
Na rede de exemplo acima, se o Host A desejasse alcanar o Host B, com RIP, a rota de
custo mais baixo seria do Roteador A para o Roteador B, atravs do link relativamente
lento de 64 kbps. Com OSPF, o custo do Roteador A para o Roteador B seria 1562,
enquanto o custo do Roteador A para o Roteador C para o Roteador D para o Roteador B
seria 364, tornando-a a rota preferencial.
Saltos mximos o RIP impe uma contagem de saltos de 15 para ajudar a evitar loops
de roteamento que podem ocorrer quando so difundidas informaes de roteamento no
confiveis (por exemplo, obsoletas) e propagadas atravs de uma rede devido a erros de
configurao ou a convergncia lenta. Considere que o link entre o Roteador D e o
Roteador E falhou no diagrama acima e no existiam protees em vigor:
As informaes de roteamento do Roteador A informam que possvel alcanar a
Rede E por meio do Roteador B ou do Roteador C com uma mtrica de 3.
Quando o link entre o Roteador D e o Roteador E falhar e o Roteador A difundir suas
informaes de roteamento, o Roteador B e o Roteador C determinam que eles
conseguem alcanar a Rede E por meio de um Roteador A com uma mtrica de 4.
O Roteador B e o Roteador C difundem essas informaes e elas so recebidas pelo
Roteador D que determina que possvel alcanar a Rede E por meio do Roteador B
ou do Roteador C com uma mtrica de 5.
Este loop continua at a contagem de saltos de 16 (infinito) ser atingida.
Outras medidas contra esse tipo de situao so tambm normalmente empregadas
pelo RIP, incluindo:
Omisso de rotas um mecanismo preventivo onde as informaes de roteamento
aprendidas atravs de uma interface no so enviadas de volta pela mesma interface. Isso
geralmente funciona bem em links de difuso, mas no em links de no difuso como
Frame Relay, onde um nico link pode geralmente ser usado para alcanar dois sistemas
autnomos separados.
Reverso invlida tambm conhecida como envenenamento de rota, uma extenso da
omisso de rotas em que uma rede anunciada com uma mtrica de 16 (inalcanvel),
ajudando a garantir que rotas alternativas incorretas no so propagadas.
O OSPF no tem de impor um limite de contagem de saltos, pois ele no anuncia tabelas
de roteamento inteiras, em vez disso, ele geralmente envia apenas atualizaes de estado
de link quando ocorrem alteraes. Isso uma vantagem significativa em redes maiores,
pois converge mais rapidamente, produz menos do trfego de atualizao e suporta um
nmero ilimitado de saltos.
Configurar RIP
Modos RIP
Desabilitado o RIP est desabilitado nesta interface
Enviar e receber o roteador de RIP nesta interface enviar atualizaes e processar
atualizaes recebidas.
Nota Certifique-se de que o dispositivo de envio de atualizaes RIPv2 usa o modo de difuso
seletiva, caso contrrio, as atualizaes no sero processadas pelo roteador ars-rip.
Configurar OSPF
Nota Os conceitos de design do OSPF esto alm do escopo deste documento. A seo a seguir
descreve como configurar um SonicWALL para integrar em uma rede OSPF, seja ela
existente ou recentemente implementada, mas sem diretrizes de design. Para termos
usados ao longo desta seo, consulte a seo "Termos de OSPF" acima.
Habilitar o BGP
Para habilitar o BGP em um dispositivo de segurana Dell SonicWALL, execute as seguintes
tarefas:
1. Na GUI do SonicOS, navegue at a pgina Rede > Roteamento.
2. No menu suspenso Modo de roteamento, selecione Roteamento avanado.
3. No menu suspenso BGP, selecione Habilitado (Configurar com CLI).
Aps o BGP ter sido habilitado atravs da GUI, as especificidades da configurao do BGP
so executadas usando a interface de linha de comando (CLI) do SonicOS. Para obter
informaes completas sobre a implementao de BGP em um dispositivo de segurana Dell
SonicWALL, consulte Roteamento avanado do BGP na pgina 1375.
O Roteamento com base em poltica totalmente suportado para o IPv6 por meio
da seleo dos objetos do endereo IPv6 e gateways para as polticas de rota da pgina Rede
> Roteamento. Na pgina Rede > Roteamento, o boto de opo Visualizar verso de IP
possui trs opes: Somente IPv4, somente IPv6 ou IPv4 e IPv6. O recurso OSPF exibe dois
botes de opo para alternar entre a verso 2 e a verso 3.
O Protocolo de Informaes de Roteamento da prxima gerao (RIPng) um protocolo de
roteamento de informaes para o IPv6 que permite a troca de informaes entre os
roteadores para calcular rotas por meio de uma rede baseada no IPv6.
Um boto de opo adicionado para alternar entre o RIP e RIPng.
Para obter informaes sobre o anncio de rota, consulte Anncio de rota.
Para obter informaes sobre a configurao de Polticas de rota, consulte Polticas de rota.
O mecanismo Converso de endereo de rede (NAT) no SonicOS permite aos usurios definir
polticas de NAT granulares para o trfego de entrada e sada. Por padro, o dispositivo de
segurana Dell SonicWALL tem uma poltica de NAT pr-configurada para permitir que todos
os sistemas conectados interface X0 executem NAT de muitos para um usando o endereo
IP da interface X1 e uma poltica para no executar NAT quando o trfego atravessa outras
interfaces. Esta seo explica como configurar as polticas de NAT mais comuns.
As noes bsicas sobre como usar polticas de NAT comeam com a construo de um
pacote IP. Cada pacote contm informaes de endereamento que permitem que o pacote
chegue ao seu destino e que o destino responda ao solicitante original. O pacote contm (entre
outras coisas) o endereo IP do solicitante, as informaes de protocolo do solicitante e o
endereo IP do destino. O mecanismo de Polticas de NAT no SonicOS pode inspecionar as
partes relevantes do pacote e dinamicamente reescrever as informaes nos campos
especificados para o trfego de entrada e de sada.
Voc pode adicionar at 512 polticas de NAT em um dispositivo de segurana Dell SonicWALL
executando o SonicOS e elas podem ser to granulares quanto for necessrio. Tambm
possvel criar vrias polticas de NAT para o mesmo objeto, por exemplo, voc pode especificar
que um servidor interno usa um endereo IP ao acessar servidores Telnet e usa um endereo
IP totalmente diferente em todos os outros protocolos. Como o mecanismo NAT no SonicOS
suporta o encaminhamento de porta de entrada, possvel ocultar vrios servidores internos
do endereo IP de WAN do firewall. Quanto mais granular for a poltica de NAT, maior ser a
precedncia.
Polticas de
Modelo Rotas
NAT
NSA 2600 1024
NSA 3600 1024
NSA 4600 1024
NSA 5600 2048
NSA 6600 1024 2048
SM 9200 1024 2048
SM 9400 1024 2048
SM 9600 1024 2048
As polticas de NAT podem ser configuradas para o IPv6 selecionando os objetos do endereo
IPv6 na pgina Rede > Polticas de NAT. Na pgina Rede > Polticas de NAT, o boto de
opo Exibir verso do IP contm trs opes: Somente IPv4, Somente IPv6 ou IPv4 e IPv6.
Ao configurar polticas de NAT de IPv6, os objetos de origem e destino s podem ser objetos
de endereos IPv6.
Dica Antes de configurar Polticas de NAT, certifique-se de criar todos os Objetos de endereos
associados poltica. Por exemplo, se voc estiver criando uma poltica de NAT um para
um, certifique-se de que tenha Objetos de endereos para seus endereos IP pblicos e
privados.
Dica Por padro, LAN para WAN possui uma poltica de NAT predefinida no firewall.
Se clicar no cone Excluir , ser excluda a entrada de Poltica de NAT. Se o cone estiver
esmaecido, a Poltica de NAT uma entrada padro e voc no pode exclu-la.
Clique no boto Adicionar na pgina Rede > Polticas de NAT para exibir a janela Adicionar
poltica de NAT para criar uma nova poltica de NAT ou clique no cone Editar na coluna
Configurar da poltica de NAT que deseja editar para exibir a janela Editar poltica de NAT.
Origem original: Esta configurao de menu suspenso usada para identificar os
endereos IP de origem no pacote que cruza o firewall, quer seja atravs de interfaces ou
em/fora de tneis de VPN. Voc pode usar os Objetos de endereos padro no SonicOS
ou pode criar seus prprios Objetos de endereos. Essas entradas podem ser entradas de
host nico, intervalos de endereos ou sub-redes de IP.
Nota Esta guia s pode ser ativada quando um grupo for especificado em um dos campos
suspensos na guia Geral de uma Poltica de NAT. Caso contrrio, a poltica de NAT ser,
por padro, Sticky IP (IP permanente) como o mtodo de NAT.
Mtodos de NAT
Sticky IP o IP de origem sempre se conecta ao mesmo IP de destino (supondo que ele
est ativo). Esse mtodo melhor para sites hospedados publicamente que precisam de
persistncia da conexo, como aplicativos da Web, formulrios da Web ou aplicativos de
carrinho de compras. Este o mecanismo padro e recomendvel para a maioria das
implantaes.
Round Robin o IP de origem percorre cada recurso de balanceamento de carga ativo
para cada conexo. Esse mtodo mais adequado para distribuio de carga igual quando
no necessria persistncia.
Bloquear remapeamento/Remapeamento simtrico esses dois mtodos so teis
quando voc conhece os endereos IP/redes de origem (por exemplo, quando voc deseja
controlar com preciso como o trfego de uma sub-rede convertido para outro).
Distribuio aleatria o IP de origem se conecta ao IP de destino aleatoriamente. Esse
mtodo til quando voc deseja espalhar aleatoriamente trfego em recursos internos.
Alta disponibilidade
Habilitar investigao se a opo estiver marcada, o firewall usar um dos dois
mtodos para investigar os endereos no grupo de balanceamento de carga, usando uma
simples consulta de ping ICMP para determinar se o recurso est ativo ou uma consulta
aberta de soquete TCP para determinar se o recurso est ativo. De acordo com os
Mtodo de LB
Requisito Exemplo de implantao de NAT
Distribuir carga no servidor Servidores externos/internos (por Round Robin
igualmente sem necessidade de exemplo, FTP ou Web)
persistncia
Balanceamento de carga Servidores externos/internos (por Distribuio
indiscriminado sem necessidade de exemplo, FTP ou Web) aleatria
persistncia
Requer persistncia da conexo do Site de comrcio eletrnico, segurana de Sticky IP
cliente e-mail, dispositivo SRA da SonicWALL
(Quaisquer servidores publicamente
acessveis que requerem persistncia)
Controle preciso de remapeamento Servidores de LAN para DMZ Bloquear
de rede de origem para um intervalo Segurana de e-mail, dispositivo SRA da remapeamento
de destino SonicWALL
Controle preciso de remapeamento Servidores internos (por exemplo, Remapeamento
de rede de origem e rede de destino Intranets ou Extranets) simtrico
Avisos
Somente dois mecanismos de verificao de integridade no momento (ping de ICMP e
abertura de soquete de TCP).
Nenhum mecanismo de persistncia de camada superior no momento (somente Sticky IP).
Nenhum mecanismo de "sorry-server" no momento se todos os servidores no grupo no
estiverem respondendo.
Nenhum mecanismo de "round robin com persistncia" no momento.
Nenhum mecanismo de "round robin ponderado" no momento.
Nenhum mtodo para detectar se o recurso est sobrecarregado no momento.
Enquanto no h limite para o nmero de recursos internos para os quais o dispositivo de
segurana de rede Dell SonicWALL consegue equilibrar a carga e no h limite para o
nmero de hosts que consegue monitorar, grupos excepcionalmente grandes de
balanceamento de carga (mais de 25) podem afetar o desempenho.
Algoritmo de sticky IP
O IP de origem modulado com o tamanho do cluster do servidor para determinar o servidor
para o qual remapear. Os dois exemplos a seguir mostram como funciona o algoritmo de Sticky
IP.
Primeiro exemplo mapeamento para uma rede:
192.168.0.2 para 192.168.0.4
Destino convertido = 10.50.165.0/30 (Rede)
IP de origem do pacote = 192.168.0.2
192.168.0.2 = C0A80002 = 3232235522 = 11000000101010000000000000000010
(IP -> Hex -> Dec -> Binrio)
Frmula de Sticky IP = IP de orig. do pacote = 3232235522 [mdulo] Tamanho do destino convert. = 2
= 3232235522 [mdulo] 2
=0
(2 divide-se em numerador uniformemente. No h nenhum restante, logo, 0)
Frmula de Sticky IP gera deslocamento de 0.
Remapeamento de destino para 10.50.165.1.
Nota Com verses anteriores do firmware, era necessrio escrever regras para o endereo IP
particular. Isso foi alterado a partir do SonicOS. Se voc escrever uma regra para o
endereo IP particular, a regra no funcionar.
V para a pgina Firewall > Regras de acesso e escolha a poltica para a interseo de zona
"WAN" para "Vendas" (ou qualquer zona onde colocou seu servidor). Clique no boto
"Adicionar..." para abrir a tela pop-up de poltica de acesso. Quando o pop-up for exibido, insira
os seguintes valores:
Ao: Permitir
Servio: HTTP
Etapa 1 Crie um servio personalizado para a porta diferente. V para a pgina Firewall > Servios
personalizados e selecione o boto Adicionar. Quando a tela pop-up for exibida, atribua um
nome ao seu servio personalizado, como webserver_public_port, digite 9000 como a porta
inicial e a porta final e escolha TCP(6) como o protocolo. Ao terminar, clique no boto OK para
salvar o servio personalizado.
Etapa 2 Modifique a poltica de NAT criada na seo anterior que permitiu que qualquer usurio pblico
se conectasse ao servidor da Web em seu endereo IP pblico. V para o menu Rede >
Polticas de NAT e clique no boto Editar prximo desta poltica de NAT. A janela Editar
poltica de NAT exibida para editar a poltica. Edite a poltica de NAT para que ela inclua o
seguinte dos menus suspensos:
Origem original: Qualquer
Origem convertida: Original
Destino original: webserver_public_ip
Destino convertido: webserver_private_ip
Servio original: webserver_public_port (ou tudo o que voc nomeou acima)
Servio convertido: HTTP
Interface de entrada: X1
Interface de sada: Qualquer
Comentrio: Digite uma breve descrio
Habilitar poltica de NAT: Marcada
Criar uma poltica reflexiva: Desmarcada
Nota Verifique se voc escolheu Qualquer como a interface de destino e no a interface na qual
se encontra o servidor. Isso pode parecer contraditrio, mas , na verdade, a ao correta
a fazer (se voc tentar especificar a interface, voc obter um erro).
Etapa 3 Quando terminar, clique no boto OK para adicionar e ativar a poltica de NAT. Com essa
poltica implementada, o firewall converte o endereo IP pblico do servidor para o endereo
IP particular quando a conexo solicita a chegada da interface de WAN (por padro, a interface
X1) e converte o protocolo solicitado (TCP 9000) para a porta de escuta real do servidor (TCP
80).
Finalmente, voc ir modificar a regra de acesso do firewall criada na seo anterior para
permitir que qualquer usurio pblico se conecte ao servidor Web na nova porta (TCP 9000)
em vez da porta de escuta real do servidor (TCP 80).
Quando terminar, clique no boto OK para adicionar e ativar as polticas de NAT. Com essas
polticas implementadas, o firewall converte o endereo IP pblico do servidor para o endereo
IP privado quando a conexo solicita a chegada da interface de WAN (por padro, a interface
X1).
Etapa 5 Crie as regras de acesso que permitem que qualquer pessoa da Internet pblica acesse os
dois servidores Web usando as portas personalizadas e o endereo IP de WAN do firewall.
Pr-requisitos
Os exemplos mostrados na seo Lista de tarefas nas prximas pginas utilizam informaes
de endereamento IP de uma configurao de demonstrao. Verifique e substitua quaisquer
informaes de endereamento IP mostradas nos exemplos pelas informaes de
endereamento corretas para sua configurao. Observe tambm que os nomes da interface
podem ser diferentes.
Nota altamente recomendvel que voc habilite o registro em log para todas as categorias e
habilite a resoluo de nome para registro em log.
Etapa 1 Criar objetos de rede v para a pgina Rede > Objetos de endereos na GUI de
gerenciamento e crie os objetos de rede para os dois servidores Web internos e o IP virtual
(VIP) em que os usurios externos acessaro os servidores.
Etapa 2 Criar grupo de endereos crie agora um grupo de endereos denominado www_group e
adicione os dois objetos de endereos do servidor interno que voc acabou de criar.
Etapa 3 Criar regra de NAT de entrada para o grupo crie agora uma regra de NAT para permitir que
qualquer pessoa que tentar acessar o VIP obtenha converso para o grupo de endereos que
voc acabou de criar, usando Sticky IP como o mtodo de NAT.
Etapa 5 Criar regra de NAT de sada para grupo de LB grave uma regra de NAT para permitir que
os servidores internos obtenham converso para o VIP ao acessar recursos fora da interface
de WAN (por padro, a interface X1).
Etapa 6 Criar regra de firewall para VIP grave uma regra de firewall para permitir que o trfego do
exterior acesse os servidores Web internos via VIP.
Etapa 7 Testar seu trabalho a partir de um laptop fora da WAN, conecte-se atravs de HTTP ao VIP
usando um navegador da Web.
Etapa 1 Adicione uma entrada de ARP esttico "publicada" para o endereo de gateway que ser
usado para a sub-rede secundria, atribuindo-a ao endereo MAC da interface do firewall
qual ser conectada.
Etapa 2 Adicione uma rota esttica para essa sub-rede, para que o firewall a considere como trfego
vlido e saiba para qual interface rotear o trfego dessa sub-rede.
Etapa 3 Adicione Regras de acesso para permitir que o trfego destinado a essa sub-rede passe na
interface de rede correta.
Etapa 4 Opcional: Adicione uma rota esttica nos dispositivos upstream para que eles saibam qual IP
do gateway usar para acessar a sub-rede secundria.
Considere o seguinte exemplo de rede:
Para suportar a configurao acima, crie primeiro uma entrada de ARP esttico publicada
para 192.168.50.1, o endereo que servir como o gateway para a sub-rede secundria e
associe interface de LAN apropriada. Na pgina Rede > ARP, selecione o boto
Adicionar na seo Entradas ARP estticas e adicione a seguinte entrada:
Navegue at a pgina Rede > Roteamento e adicione uma rota esttica para a rede
192.168.50.0/24, com a mscara de sub-rede 255.255.255.0 na interface X3.
Para permitir que o trfego alcance a sub-rede 192.168.50.0/24 e permitir que a sub-rede
192.168.50.0/24 alcance os hosts na LAN, navegue at a pgina Firewall > Regras de acesso
e adicione regras de acesso apropriadas para permitir a passagem do trfego.
O recurso NDP esttico permite que sejam criados mapeamentos estticos entre um endereo
IPv6 de camada 3 e um endereo MAC de camada 2.
Etapa 3 No campo Endereo IP, digite o endereo IPv6 para o dispositivo remoto.
Etapa 4 No menu suspenso Interface, selecione a interface no firewall que ser usada para a entrada.
Etapa 5 No campo Endereo MAC, insira o endereo MAC do dispositivo remoto.
Etapa 6 Clique em OK. A entrada NDP esttica adicionada.
A tabela Cache NDP exibe todos os vizinhos IPv6 atuais. So exibidos os seguintes tipos de
vizinhos:
ACESSVEL O vizinho conhecido por ter sido acessvel em 30 segundos.
OBSOLETO O vizinho no mais conhecido por ser acessvel e o trfego foi enviado para
o vizinho em 1.200 segundos.
ESTTICO O vizinho foi configurado manualmente como um vizinho esttico.
Configuraes de interface
Para editar configuraes de antifalsificao de MAC-IP na interface de gerenciamento de
dispositivo de segurana de rede, v para a pgina Rede > Antifalsificao de MAC-IP.
Cache antifalsificao
O cache antifalsificao de MAC-IP lista todos os dispositivos atualmente listados como
"autorizados" para acessar a rede e todos os dispositivos marcados como "bloqueados"
(acesso negado) da rede. Para adicionar um dispositivo lista, clique no boto Adicionar.
Uma janela agora exibida, a qual permite a Introduo manual de endereos MAC e IP para
o dispositivo. Insira as informaes nos campos fornecidos. Voc tambm pode selecionar a
aprovao ou o bloqueio do dispositivo de roteamento. A verificao da configurao do
roteador permite todo o trfego proveniente de trs deste dispositivo. O bloqueio do dispositivo
far com que os pacotes sejam bloqueados deste dispositivo, independentemente de seu
endereo IP. Uma vez realizadas suas introdues, clique em OK para retornar ao painel
principal.
Se voc precisar editar uma entrada esttica de cache antifalsificao, marque a caixa de
seleo esquerda do endereo IP e, em seguida, clique no cone de lpis na coluna
"Configurar", na mesma linha.
possvel excluir uma ou vrias entradas estticas de cache antifalsificao. Para tal,
selecione "excluir caixa de seleo" junto de cada entrada e clique no boto "Excluir".
Para limpar as estatsticas de cache, selecione os dispositivos desejados e clique em "Limpar
estatsticas".
Nota Alguns tipos de pacotes so ignorados, mesmo que o recurso Antifalsificao de MAC-IP
esteja habilitado: 1) Pacotes no IP; 2) Pacotes DHCP com IP de origem como 0; 3) Pacotes
de um tnel de VPN; 4) Pacotes com IPs unicast invlidos como seus IPs de origem; e 5)
Pacotes de interfaces em que o status de gerenciamento no est habilitado em
configuraes antifalsificao.
As entradas podem ser liberadas da lista clicando no boto "Liberar". O nome de cada
dispositivo tambm pode ser resolvido usando NetBios, clicando no boto "Resolver".
Extenso do Auxiliar de IP
Para suportar concesses do subsistema de retransmisso de DHCP do Auxiliar de IP, foram
realizadas as seguintes alteraes no painel do Auxiliar de IP localizado em Rede > Auxiliar
de IP:
Como parte da lgica de retransmisso de DHCP, o Auxiliar de IP aprende concesses
trocadas entre clientes e o servidor DHCP e, em seguida, salva-as na memria flash.
Essas concesses aprendidas so sincronizadas no firewall ocioso, como parte das
mensagens de sincronizao de estado do Auxiliar de IP.
As associaes de endereos MAC e IP das concesses so transferidas para o cache de
Antifalsificao de MAC-IP.
Voc pode usar o servidor DHCP do firewall ou usar servidores DHCP existentes em sua rede.
Se sua rede usar seus prprios servidores DHCP, verifique se a caixa de seleo Habilitar
servidor DHCP est desmarcada.
O nmero de faixas de endereos e endereos IP que o servidor DHCP do firewall pode atribuir
depende do modelo, sistema operacional e das licenas do firewall. A tabela abaixo mostra o
mximo permitido de concesses DHCP para dispositivos de segurana Dell SonicWALL.
Benefcios
O recurso de opes de servidor DHCP Dell SonicWALL fornece uma interface simples para
selecionar opes de DHCP pelo nmero ou nome, tornando o processo de configurao de
DHCP fcil, rpido e compatvel com os padres DHCP definidos pelo RFC.
Padres suportados
O recurso de opes de servidor DHCP suporta os seguintes padres:
RFC 2131 Protocolo de configurao dinmica de hosts
RFC 2132 Opes de DHCP e extenses de fornecedor BOOTP
O recurso Vrios escopos DHCP por interface fornece aprimoramentos de segurana para
proteger contra possveis vulnerabilidades inerentes permitindo acesso mais amplo ao
servidor DHCP. A pgina Configuraes avanadas de DHCP fornece segurana com uma
nova guia para Agentes confiveis, onde possvel especificar os agentes de retransmisso
de DHCP confiveis. O servidor DHCP descarta todas as mensagens retransmitidas pelos
agentes que no estejam na lista.
Para configurar Objetos de opo, Grupos de opes e Agentes confiveis, clique no boto
Avanado. Para obter informaes detalhadas sobre a configurao desses recursos,
consulte Configurar opes avanadas do servidor DHCP na pgina 361.
Etapa 1 No painel de navegao do lado esquerdo, navegue at Rede > Servidor DHCP.
Etapa 2 Em Configuraes do servidor DHCP, clique no boto Avanado. A pgina Configuraes
avanadas de DHCP ser exibida. A guia Objetos de opo selecionada por padro.
Etapa 3 Clique no boto Adicionar opo. A pgina Adicionar objetos de opo DHCP ser exibida.
Etapa 1 No painel de navegao do lado esquerdo, navegue at Rede > Servidor DHCP.
Etapa 2 Em Configuraes do servidor DHCP, clique no boto Avanado. A pgina Configuraes
avanadas de DHCP ser exibida.
Etapa 3 Clique na guia Grupos de opes.
Etapa 4 Clique no boto Adicionar grupo. A pgina Adicionar grupo de opes do DHCP exibida.
Etapa 1 No painel de navegao do lado esquerdo, navegue at Rede > Objetos de endereos.
Etapa 2 Em Objetos de endereos, clique no boto Adicionar.
Etapa 3 Na janela Adicionar objeto de endereo, preencha os campos com os valores adequados para
o agente de retransmisso de DHCP e, em seguida, clique em Adicionar. Repita conforme
necessrio para adicionar mais agentes de retransmisso. Para obter mais informaes sobre
a configurao de objetos de endereos, consulte Criar e gerenciar objetos de endereos na
pgina 277.
Etapa 4 Efetue uma das seguintes aes:
Em Grupos de endereos, para adicionar o agente de retransmisso Objetos de
endereos ao grupo de endereos Lista padro de agentes de retransmisso
confiveis, clique no cone Configurar na linha correspondente.
Selecione os objetos de endereos desejados na lista esquerda e clique no boto de
seta para a direita para mov-los para a lista direita. Quando concluir, clique em OK.
Etapa 1 No painel de navegao do lado esquerdo, navegue at a pgina Rede > Servidor DHCP.
Etapa 2 Em Configuraes do servidor DHCP, clique no boto Avanado.
Etapa 3 Na pgina Configuraes avanadas de DHCP, clique na guia Agentes confiveis.
Etapa 1 Na pgina Rede > Servidor DHCP, na parte inferior da tabela Escopos de concesso de
servidor DHCP, clique em Adicionar dinmico. A janela Configurao de intervalos
dinmicos exibida.
Nota Para selecionar uma interface no menu Interface, ela deve primeiro ser totalmente
configurada e deve ser do tipo de zona LAN, WLAN ou DMZ ou ser uma subinterface de
VLAN.
Etapa 4 Use as entradas de intervalo de endereos IP preenchidas nos campos Incio do intervalo e
Fim do intervalo ou digite o seu prprio intervalo de endereos IP.
Etapa 5 Digite o nmero de minutos que um endereo IP usado antes de ser emitido outro endereo
IP no campo Tempo de concesso (minutos). 1440 minutos (24 horas) o valor padro.
Etapa 6 Use o endereo de gateway preenchido ou digite o endereo IP do gateway no campo
Gateway padro.
Etapa 7 Use a mscara de sub-rede preenchida ou digite a mscara de sub-rede do gateway no campo
Mscara de sub-rede.
Etapa 8 Selecione Permitir que clientes BOOTP usem o intervalo se voc tiver clientes BOOTP em
sua rede.
BOOTP significa protocolo bootstrap, que um servio e protocolo TCP/IP que permite que
estaes de trabalho sem disco obtenham o seu endereo IP, outras informaes de
configurao de TCP/IP e seu arquivo de imagem de inicializao de um servidor BOOTP.
Etapa 10 Se voc tiver um nome de domnio para o servidor DNS, digite-o no campo Nome de domnio.
Etapa 11 Herdar configuraes de DNS dinamicamente usando configuraes de DNS da
SonicWALL preenche automaticamente DNS e WINS com as configuraes na pgina Rede
> DNS. Esta opo est selecionada por padro.
Etapa 12 Se voc no desejar usar configuraes de rede do firewall, selecione Especificar
manualmente e digite o endereo IP de seu servidor DNS no campo Servidor DNS 1. Voc
pode especificar dois servidores DNS adicionais.
Etapa 13 Se voc tiver o WINS executando na sua rede, digite o(s) endereo(s) IP do servidor WINS no
campo Servidor WINS 1. Voc pode adicionar mais um servidor WINS.
Etapa 1 Na pgina Rede > Servidor DHCP, na parte inferior da tabela Escopos de concesso de
servidor DHCP, clique em Adicionar esttico. A janela Configurao de entrada esttica
exibida.
Configuraes gerais
Etapa 2 Na guia Geral, verifique se a opo Habilitar este escopo DHCP est marcada se desejar
habilitar essa entrada.
Etapa 3 Insira um nome para a entrada DNS esttica no campo Nome da entrada.
Etapa 4 Digite o endereo IP do dispositivo no campo Endereo IP esttico.
Etapa 5 Digite o endereo de Ethernet (MAC) do dispositivo no campo Endereo Ethernet.
Etapa 6 Digite o nmero de minutos que um endereo IP usado antes de ser emitido outro endereo
IP no campo Tempo de concesso (minutos). 1440 minutos (24 horas) o valor padro.
Etapa 7 Para preencher os campos Gateway padro e Mscara de sub-rede com valores padro para
uma determinada interface, marque a caixa de seleo Preenchimento prvio da interface
prxima parte inferior da pgina e escolha a interface na lista suspensa. Os endereos IP
preenchidos esto na mesma sub-rede privada da interface selecionada.
Configuraes de DNS/WINS
Etapa 10 Clique na guia DNS/WINS para continuar a configurar o recurso Servidor DHCP.
Etapa 11 Se voc tiver um nome de domnio para o servidor DNS, digite-o no campo Nome de domnio.
Etapa 12 Herdar configuraes de DNS dinamicamente das configuraes de DNS do firewall est
selecionada por padro. Quando selecionada, os campos IP do servidor DNS no esto
disponveis.
Etapa 13 Se voc no desejar usar configuraes de rede do firewall, selecione Especificar
manualmente e digite o endereo IP de seu servidor DNS no campo Servidor DNS 1. Voc
pode especificar dois servidores DNS adicionais.
Etapa 14 Se voc tiver o WINS executando na sua rede, digite o(s) endereo(s) IP do servidor WINS no
campo Servidor WINS 1. Voc pode especificar um servidor WINS adicional.
Etapa 16 Digite o endereo IP ou FQDN de seu Gerenciador de chamadas VoIP no campo Gerenciador
de chamadas 1. Voc pode adicionar mais dois endereos do gerenciador de chamadas VoIP.
Etapa 17 Em Configuraes de inicializao de rede, no campo Prximo servidor, digite o endereo IP
do servidor de inicializao PXE (servidor TFTP) que um cliente de PXE usa durante o prximo
estgio do processo de inicializao.
Os campos em Configuraes de inicializao de rede so usados em um PXE (Pre-boot
Execution Environment Ambiente de execuo pr-inicializao), no qual o cliente inicializa
usando arquivos obtidos por uma interface de rede. O cliente de PXE obtm o nome e o
endereo IP do servidor de inicializao PXE e o nome do arquivo de inicializao do servidor
DHCP.
Ao usar essas opes, selecione PXE em Opes genricas do DHCP.
Etapa 18 No campo Arquivo de inicializao, digite o nome do arquivo de inicializao que o cliente
de PXE pode obter por TFTP a partir do servidor de inicializao PXE.
Etapa 19 No campo Nome do servidor, digite o nome do host DNS do servidor de inicializao PXE
(servidor TFTP).
Etapa 20 Para obter informaes sobre a configurao das opes genricas do DHCP, consulte
Configurar opes genricas do DHCP para escopos de concesso de DHCP na pgina 373.
Etapa 21 Clique em OK para adicionar as configuraes ao firewall.
Etapa 22 Clique em Aceitar para que as configuraes tenham efeito no firewall.
Para obter mais informaes sobre os recursos de suporte de VoIP no dispositivo de
segurana Dell SonicWALL, consulte Viso geral de VoIP na pgina 773.
Nota Antes de ser possvel configurar opes genricas para um escopo de concesso de DHCP,
deve ser criado um escopo de concesso de servidor DHCP esttico ou dinmico.
A seo Nmeros de opes do DHCP na pgina 374 fornece uma lista de opes DHCP pelo
nmero de opo atribudo por RFC.
Para configurar opes genricas do DHCP para escopos de concesso de servidor DHCP,
execute as seguintes tarefas:
Etapa 2 Selecione uma opo ou um grupo de opes de DHCP no menu suspenso Grupo de opes
genricas de DHCP.
Quando os campos de configuraes de inicializao de rede forem configurados para usar
com PXE, selecione PXE aqui.
Etapa 3 Para sempre usar opes de DHCP para este escopo de concesso de servidor DHCP, marque
a caixa ao lado de Enviar opes genricas sempre.
Etapa 4 Clique em OK.
Nmero
de opo Nome Descrio
2 Diferena de horrio Diferena de horrio em segundos de UTC
3 Roteador Endereos de roteador N/4
4 Servidores de horrio Endereos do servidor de horrio N/4
5 Servidores de nome Endereos de servidor N/4 IEN-116
6 Servidores DNS Endereos de servidor de DNS N/4
7 Servidores de log Endereos de servidor de log N/4
8 Servidores de cookies Endereos de servidor de cotao N/4
9 Servidores LPR Endereos de servidor de impressora N/4
10 Servidores de impresso Endereos de servidor de impresso N/4
11 Servidores RLP Endereos de servidor RLP N/4
12 Nome do host Cadeia de caracteres do nome do host
13 Tamanho do arquivo de Tamanho do arquivo de inicializao em blocos de 512
inicializao bytes
14 Arquivo de imagem do Cliente a despejar e nome do arquivo para o qual despejar
ncleo
15 Nome de domnio O nome de domnio DNS do cliente
16 Servidor de permuta Endereos do servidor de permuta
17 Caminho da raiz Nome do caminho para o disco raiz
18 Arquivo de extenso Nome do patch para obter mais informaes sobre
BOOTP
19 Encaminhamento da Habilitar ou desabilitar o encaminhamento de IP
camada IP
20 Ativador de rota de origem Habilitar ou desabilitar o roteamento de origem
21 Filtro de poltica Roteamento de filtros de poltica
22 Tamanho mximo de Tamanho mximo de reagrupamento de datagrama
reagrupamento de DG
23 TTL de IP padro Vida til de IP padro
24 Tempo limite de durao da Tempo limite de durao da MTU do caminho
MTU do caminho
25 Limite da MTU Tabela de limite da MTU do caminho
26 Tamanho de MTU de Tamanho de MTU de interface
interface
27 Todas as sub-redes so Todas as sub-redes so locais
locais
28 Endereo de difuso Endereo de difuso
DHCP e IPv6
Para obter informaes completas sobre a implementao do IPv6 do SonicOS,
consulte IPv6 na pgina 1443.
Recuperar contadores
Ao posicionar o cursor sobre uma imagem de "Estatsticas" de uma poltica ou de um protocolo,
o contador aparecer exibindo as estatsticas de trfego desse protocolo.
Nota O Auxiliar de IP no suportado para interfaces de WAN ou para interfaces que esto
configuradas para NAT.
Etapa 1 Clique no boto Adicionar na tabela Polticas de auxiliar de IP. A janela Adicionar poltica
do auxiliar de IP exibida.
Etapa 2 Esta poltica est habilitada por padro. Para configurar a poltica sem habilit-la, desmarque
a caixa de seleo Habilitada.
Etapa 3 Selecione DHCP no menu Protocolo.
Etapa 4 Selecione uma zona ou interface de origem no menu De.
Etapa 5 Selecione um Grupo de endereos ou Objeto de endereo de destino no menu Para ou
selecione Criar uma nova rede para criar um novo Objeto de endereo.
Etapa 6 Introduza um comentrio adicional no campo Comentrio.
Etapa 7 Clique em OK para adicionar a poltica tabela Polticas de Auxiliar de IP.
Etapa 1 Clique no boto Adicionar na tabela Polticas de auxiliar de IP. A janela Adicionar poltica
do auxiliar de IP exibida.
Etapa 2 Esta poltica est habilitada por padro. Para configurar a poltica sem habilit-la, desmarque
a caixa de seleo Habilitada.
Etapa 3 Selecione NetBIOS no menu Protocolo.
Etapa 4 Selecione um Grupo de endereos ou um Objeto de endereo de origem no menu De.
Selecione Criar uma nova rede para criar um novo Objeto de endereo.
Etapa 5 Selecione um Grupo de endereos ou Objeto de endereo de destino no menu Para ou
selecione Criar uma nova rede para criar um novo Objeto de endereo.
Etapa 6 Introduza um comentrio adicional no campo Comentrio.
Etapa 7 Clique em OK para adicionar a poltica tabela Polticas de Auxiliar de IP.
Etapa 1 Conecte o servidor proxy da Web a um hub e, em seguida, conecte o hub porta de DMZ ou
WAN do firewall.
Nota O servidor proxy deve estar localizado na WAN ou DMZ; ele no pode estar localizado na
LAN.
Nota A caixa de seleo Ignorar servidores proxy em caso de falha de servidor proxy
permite que os clientes atrs do firewall ignorem o servidor proxy da Web no caso
de se tornar indisponvel. Em vez disso, o navegador do cliente acessa a Internet
diretamente como se um servidor proxy da Web no estivesse especificado.
Etapa 6 Selecione Encaminhar solicitaes de cliente DMZ para servidor proxy se voc tiver
clientes configurados na DMZ.
Etapa 7 Clique em Aceitar.
Depois que o firewall tenha sido atualizado, exibida uma mensagem confirmando a
atualizao na parte inferior da janela do navegador.
Etapa 1 Conecte o servidor proxy de usurio a um hub e conecte o hub porta WAN ou DMZ do firewall.
Nota O servidor proxy deve estar localizado na WAN ou DMZ; ele no pode estar localizado na
LAN.
Etapa 1 Na caixa de listagem do servidor proxy, selecione o servidor proxy que voc deseja editar.
Etapa 2 Clique no boto Editar.
Etapa 3 Digite o nome ou endereo IP do servidor proxy.
Etapa 4 Clique em OK.
Etapa 1 Na caixa de listagem de servidor proxy, selecione o servidor proxy que deseja remover.
Etapa 2 Clique no boto Remover.
Para configurar o DNS dinmico no dispositivo de segurana Dell SonicWALL, execute estas
etapas:
Etapa 1 Na pgina Rede > DNS dinmico, clique no boto Adicionar. A janela Adicionar perfil DDNS
exibida.
Etapa 2 Se a opo Habilitar este perfil DDNS estiver marcada, o perfil administrativamente
habilitado e o firewall executa as aes definidas na seo Configuraes online, na guia
Avanado.
Etapa 3 Se a opo Usar configuraes online estiver marcada, o perfil est administrativamente
online.
Etapa 4 Insira um nome para atribuir entrada DDNS no campo Nome do perfil. Pode ser qualquer
valor usado para identificar a entrada na tabela Configuraes de DNS dinmico.
Etapa 5 Na pgina Perfil, selecione o Provedor na lista suspensa na parte superior da pgina.
DynDNS.org e changeip.com usam HTTPS, enquanto yi.org e no-ip.com usam HTTP. Este
exemplo usa DynDNS.org. Dyndns.org requer a seleo de um servio. Este exemplo assume
que voc criou um registro de servio dinmico com dyndns.org.
Etapa 12 A seo Configuraes online fornece controle sobre que endereo est registrado no
provedor de DNS dinmico. As opes so:
Deixar o servidor detectar o endereo IP o provedor de DNS dinmico determina
o endereo IP com base no endereo de origem da conexo. Esta a configurao
mais comum.
Etapa 1 Na pgina Rede > Monitoramento de rede, clique no boto Adicionar. A janela Adicionar
poltica de monitoramento de rede exibida.
Comutao
| 403
404 | Guia do Administrador do SonicOS 6.2
Captulo 29
Configurando a Comutao
Comutao
Esta seo descreve como configurar e gerenciar o recurso Comutao no SonicOS.
Esta seo contm as seguintes subsees:
Viso geral da Comutao na pgina 405
Configurando a Comutao na pgina 408
Glossrio na pgina 416
O que a Comutao?
O SonicOS oferece a funcionalidade de comutao da Camada 2 (camada de link de dados).
A funcionalidade suporta os seguintes recursos de comutao:
Truncamento de VLAN Oferece a capacidade de truncar diferentes VLANs entre vrios
comutadores.
Protocolo de rvore de Verificao Rpida Previne a formao de loops quando
comutadores ou pontes esto interconectados por meio de vrios caminhos e fornece a
convergncia de rede aps uma mudana de topologia.
Descoberta de Rede da Camada 2 Usa os protocolos IEEE 802.1AB (LLDP) e LLTD da
Microsoft e a tabela de encaminhamento do comutador para descobrir dispositivos visveis
de uma porta.
Agregao de links Oferece a capacidade de agregar portas para um maior desempenho
e redundncia.
Vantagens da comutao
O SonicOS fornece uma soluo de segurana e comutao combinada. Os recursos de
comutao da Camada 2 melhoram a implantao e interoperabilidade dos dispositivos
SonicWALL nas redes de Camada 2 existentes.
Os recursos de comutao avanados de um dispositivo de segurana de rede fornecem as
seguintes vantagens:
Aumento da densidade de portas Com um dispositivo que fornece 26 interfaces, incluindo
24 portas do comutador, possvel diminuir o nmero de dispositivos em sua rede interna .
Maior segurana em mltiplas portas do comutador A arquitetura PortShield fornece a
flexibilidade para configurar todas as 26 portas LAN do comutador em zonas de segurana
separadas, como LANs , WLANs e DMZs, fornecendo proteo no apenas da WAN e
DMZ, mas tambm entre os dispositivos na LAN. De forma efetiva, cada zona de
segurana tem o seu prprio "minicomutador" com velocidade de fios, que aproveita a
proteo de um firewall dedicado de inspeo profunda de pacotes.
Truncamento de VLAN Simplifica o gerenciamento e configurao da VLAN, reduzindo a
necessidade de configurar as informaes da VLAN em cada comutador.
Descoberta da Camada 2 Fornece informaes de rede da Camada 2 para todos os
dispositivos conectados ao dispositivo.
Agregao de Links As portas agregadas possibilitam um maior desempenho por meio
de balanceamento de carga, quando conectadas a um comutador que oferea suporte
agregao, e fornecem redundncia, quando conectadas a um comutador ou servidor que
oferea suporte agregao.
Segurana de portas Permite que os administradores vinculem um endereo MAC
confivel ou vrios endereos MAC a uma porta especfica para diminuir o acesso no
autorizado nessa porta.
Protocolo de rvore de Verificao Rpida Permite a redundncia em caso de queda de
uma conexo, evitando a formao de loops quando comutadores ou pontes esto
interconectados por vrios caminhos.
Qualidade de Servio da Camada 2 Permite a priorizao de trfego e o gerenciamento
de largura de banda para minimizar o atraso de rede, usando a classificao de Custo de
Servio (CoS) e marcao DSCP.
Espelhamento de porta Permite que o administrador monitore e inspecione o trfego de
rede em uma ou mais portas com facilidade.
Configurando a Comutao
Esta seo contm as seguintes sees:
Configurando o Truncamento de VLAN na pgina 408
Configurando a Descoberta da Camada 2 na pgina 411
Configurando a Agregao de links na pgina 412
Configurando o Espelhamento de portas na pgina 414
Editando VLANs
Para editar uma VLAN, siga as etapas a seguir:
Etapa 1 Na pgina Comutao > Truncamento de VLAN, clique no cone Configurar na linha da
Tabela de VLAN da ID de VLAN que voc deseja editar.
Etapa 2 Na janela Editar VLAN para o PortShield, siga uma das seguintes etapas:
Etapa 1 Na pgina Comutao > Truncamento de VLAN em Troncos da VLAN, clique no boto
Adicionar.
Etapa 2 Na janela Adicionar uma porta de tronco da VLAN, selecione a porta que ser adicionada na
lista suspensa Porta de tronco.
Etapa 3 Clique em OK.
Etapa 1 Na pgina Comutao > Truncamento de VLAN em Troncos da VLAN, selecione uma ou mais
caixas de seleo para as portas de tronco da VLAN que voc deseja excluir.
Etapa 2 Clique no boto Excluir.
Etapa 3 Clique em OK na caixa de dilogo de confirmao.
Etapa 1 Na pgina Comutao > Truncamento de VLAN em Troncos da VLAN, clique no boto
Habilitar VLAN.
Etapa 2 Na janela Habilitar VLAN, selecione uma porta truncada na lista suspensa Porta truncada.
Esta a porta que voc deseja usar para truncar a ID da VLAN indicada no prximo campo.
Etapa 3 No campo ID da VLAN, digite a ID da VLAN que ser truncada. Ela pode ser uma ID da VLAN
em outro comutador.
Etapa 4 Clique em OK.
Nota Se precisar habilitar o RSTP no LAG, primeiro habilite o RSTP nos membros individuais e
depois habilite a agregao de links.
Etapa 3 Para especificar uma chave, desmarque a caixa de seleo Detectar automaticamente e
digite a chave desejada no campo Chave.
Etapa 4 Se essa interface for o agregador para o LAG, selecione a caixa de seleo Agregador.
Somente uma interface pode ser um agregador para um LAG.
Etapa 5 Clique em OK.
Etapa 6 Na pgina Comutao > Agregao de links, clique novamente no boto Adicionar.
Etapa 7 Na janela Adicionar uma porta de LAG, selecione a interface para o parceiro de link na lista
suspensa Porta.
Etapa 8 Se voc especificou uma chave para a primeira interface (o agregador), desmarque a caixa de
seleo Detectar automaticamente e digite a mesma chave no campo Chave. Se a opo
Detectar automaticamente foi deixada habilitada para a primeira interface, deixe-a habilitada
para esta tambm.
Etapa 9 Desmarque a caixa de seleo Agregador. Somente uma interface pode ser um agregador
para um LAG.
Etapa 10 Clique em OK.
A pgina Comutao > Agregao de links exibe o LAG. A coluna Parceiro exibir os
endereos MAC dos parceiros de link depois que eles forem fisicamente conectados.
possvel configurar o Espelhamento de portas no SonicOS para enviar uma cpia de pacotes
de rede observada em uma ou mais portas do comutador (ou em uma VLAN) para outra porta
do comutador denominada porta de espelho. Ao se conectar porta de espelho, possvel
monitorar o trfego que transmitido por meio da(s) porta(s) espelhada(s).
Uma porta de tronco da VLAN pode ser espelhada, mas no pode agir como uma porta de
espelho em si.
A pgina Comutador > Espelhamento de portas permite que o administrador atribua portas de
espelho para espelhar pacotes de entrada, sada ou bidirecionais provenientes de um grupo
de portas.
Consulte os procedimentos a seguir:
Configurando um grupo no Espelhamento de portas na pgina 414
Excluindo um grupo do Espelhamento de portas na pgina 415
Etapa 1 Na pgina Comutao > Espelhamento de portas, clique no boto Novo grupo.
Etapa 1 Na pgina Comutao > Espelhamento de portas, selecione a caixa de seleo ao lado do
grupo do espelhamento de portas que voc deseja excluir.
Etapa 2 Clique no boto Desagrupar.
Etapa 3 Clique em OK na caixa de dilogo de confirmao.
CoS Classe de Servio A CoS (IEEE 802.1p) define oito classes diferentes de
servios que so indicadas em um campo de usurio de 3 bits de prioridade em
um cabealho IEEE 802.1Q adicionado a um quadro de Ethernet ao usar quadros
rotulados em uma rede 802.1.
DSCP Differentiated Services Code Point Tambm conhecido como DiffServ, o DSCP
uma arquitetura de rede que define um mecanismo simples, de granulao
grossa e com base em classe para a classificao e gerenciamento do trfego de
rede e fornecimento de garantias de Qualidade de Servio (QoS) em redes IP. A
RFC 2475, publicada em 1998 pelo IETF, define o DSCP. O DSCP funciona por
meio da marcao de um campo de 8 bits no cabealho do pacote IP.
IETF Internet Engineering Task Force A IETF uma organizao de padres abertos
que desenvolve e promove padres da Internet.
LACP Link Aggregation Control Protocol O LACP uma especificao do IEEE que
fornece uma maneira de combinar vrias portas fsicas para formar um nico
canal lgico. O LACP permite o balanceamento de carga pelos dispositivos
conectados.
RSTP Rapid Spanning Tree Protocol (Protocolo de rvore de Verificao Rpida) (IEEE
802.1D-2004) O RSTP foi definido em 1998 como uma melhoria para o
Spanning Tree Protocol. Ele fornece uma convergncia de rvore de verificao
mais rpida depois de uma alterao na topologia.
3G/4G/Modem
| 417
418 | Guia do Administrador do SonicOS 6.2
Captulo 30
Seleo 3G/4G/Modem
3G/4G/Modem
Os dispositivos de segurana de rede da Dell SonicWALL com porta de extenso USB podem
suportar uma interface externa de 3G/4G ou uma interface de modem analgico. Se o
dispositivo no detectar uma interface externa, ser exibida uma guia 3G/4G/Modem na barra
de navegao do lado esquerdo.
3G/4G
Esta seo descreve como configurar a interface WAN sem fio 3G/4G no dispositivo de
segurana de rede Dell SonicWALL. Ela contm as seguintes sees:
Viso geral de 3G/4G na pgina 421
3G/4G > Status na pgina 427
3G/4G > Configuraes na pgina 427
3G/4G > Avanado na pgina 429
3G/4G > Perfis de conexo na pgina 431
3G/4G > Uso de dados na pgina 438
Habilitar a interface U0/U1/M0 na pgina 439
Cuidado Embora a conexo 3G/4G possa ser manualmente habilitada na pgina Rede > Interfaces
(clicando no boto Gerenciar para a interface U0/U1/M0), esta ao no recomendada
porque pode fazer com que as conexes automticas no funcionem como esperado. A Dell
SonicWALL recomenda reger a interface de 3G/4G usando os tipos de conexo descritos
acima.
O diagrama seguinte representa a sequncia de eventos que ocorrem quando a conexo WAN
Ethernet falha e o Perfil de conexo 3G/4G est configurado para Configurao persistente.
Primary Ethernet
connection down
(successive pings fail)
Internet Internet
Internet Internet
WWAN WWAN
security
on/act
wlan pc card
signal
link/act
lan wan opt 1 2 3 4 5 6
link/spd
activity NSA 240 Ethernet security
on/act
wlan pc card
signal
link/act
lan wan opt 1 2 3 4 5 6
link/spd
activity NSA 240
Ethernet
WAN WAN
Primary Ethernet
connection re-established
(successive pings succeed)
Cuidado No recomendvel configurar uma rota baseada em polticas que usa a interface U0/U1/
M0 quando a interface U0/U1/M0 est configurada como o Backup final no grupo de
balanceamento de carga. Se uma rota baseada em polticas estiver configurada para usar
a interface U0/U1/M0, a conexo permanecer at que o Tempo de conexo mximo (se
configurado) seja atingido.
O diagrama seguinte representa a sequncia de eventos que ocorrem quando a conexo WAN
Ethernet falha e o Perfil de conexo 3G/4G est configurado para Conectar em dados.
Primary Ethernet
connection down
(successive pings fail)
Primary Ethernet
connection re-established
Internet Internet
Internet Internet
WWAN WWAN
security
on/act
wlan pc card
signal
link/act
lan wan opt 1 2 3 4 5 6
link/spd
activity NSA 240 Ethernet security
on/act
wlan pc card
signal
link/act
lan wan opt 1 2 3 4 5 6
link/spd
activity NSA 240
Ethernet
WAN WAN
Inactivity timeout,
if enabled
Primary Ethernet Internet
Internet
connection re-established User/node attempts
(successive pings succeed) WWAN security
wlan pc card
signal
lan wan opt 1 2 3 4 5 6
link/spd
NSA 240
Ethernet LAN>WAN transfer with
on/act link/act activity
Cuidado No recomendvel configurar uma rota baseada em polticas que usa a interface U0/U1/
M0 quando a interface U0/U1/M0 est configurada como o Backup final no grupo de
balanceamento de carga. Se uma rota baseada em polticas estiver configurada para usar
a interface U0/U1/M0, a conexo permanecer at que o Tempo de conexo mximo (se
configurado) seja atingido.
Primary Ethernet
connection down
(successive pings fail)
Primary Ethernet
connection re-established
Internet Internet
Internet Internet
WWAN WWAN
security
on/act
wlan pc card
signal
link/act
lan wan opt 1 2 3 4 5 6
link/spd
activity NSA 240 Ethernet security
on/act
wlan pc card
signal
link/act
lan wan opt 1 2 3 4 5 6
link/spd
activity NSA 240
Ethernet
WAN WAN
Administrator manually
disconnects WWAN
Internet using SonicOS interface
Internet
WWAN Ethernet
Administrator manually
wlan pc card lan wan opt 1 2 3 4 5 6
security signal link/spd
on/act link/act activity NSA 240
WAN
connects WWAN using
SonicOS interface
Pr-requisitos de 3G/4G
Antes de configurar a interface de 3G/4G, necessrio concluir os seguintes pr-requisitos:
Adquirir um servio de planos 3G/4G de um provedor sem fio de terceiros suportado
Configurar e ativar sua placa 3G/4G
Inserir a placa 3G/4G no dispositivo Dell SonicWALL antes de ligar o dispositivo de
segurana Dell SonicWALL.
Nota A placa 3G/4G s deve ser inserida ou removida com o dispositivo Dell SonicWALL
desligado.
Para obter mais informaes sobre como configurar estes pr-requisitos, consulte o Guia de
noes bsicas Dell SonicWALL para seu modelo.
As sees seguintes descrevem como configurar a interface U0/U1/M0 para a placa 3G/4G no
dispositivo Dell SonicWALL:
3G/4G > Status na pgina 427
3G/4G > Configuraes na pgina 427
3G/4G > Avanado na pgina 429
3G/4G > Perfis de conexo na pgina 431
3G/4G > Uso de dados na pgina 438
Habilitar a interface U0/U1/M0 na pgina 439
A maior parte das configuraes 3G/4G tambm pode ser configurada na pgina Rede >
Interfaces de rede. Os perfis de conexo 3G/4G s podem ser configurados na pgina 3G/4G
> Perfis de conexo.
Configuraes de 3G/4G
Tipo de dispositivo 3G/4G/Mvel Selecione se est usando uma conexo 3G/4G/Mvel, um
Modem analgico ou a Deteco automtica.
Gerenciamento/Login do usurio
A seo Gerenciamento/Login do usurio deve ser configurada para habilitar o
gerenciamento remoto do dispositivo Dell SonicWALL na interface de 3G/4G.
Limite de conexo
A seo Limite de conexo permite ao administrador configurar um host/limite de n na
conexo 3G/4G. Este recurso especialmente til para implantaes em que a conexo 3G/
4G usada como uma sobrecarga ou em situaes de balanceamento de carga para evitar a
sobretaxao da conexo.
No campo Mx. de hosts, insira o nmero mximo de hosts a permitir quando esta interface
est conectada. O valor padro "0", permitindo um nmero ilimitado de ns.
Etapa 1 Na pgina 3G/4G > Perfis de conexo, clique no boto Adicionar. exibida a janela
Configurao de perfil 3G/4G.
Etapa 2 No menu suspenso Tipo de conexo, selecione se o perfil de conexo uma Conexo
persistente, Conectar em dados ou Discagem manual.
Nota Para configurar o dispositivo Dell SonicWALL para discagem acionada remotamente, o
Tipo de conexo deve ser Conectar em dados. Consulte 3G/4G > Avanado na
pgina 429 para obter mais informaes.
Etapa 3 Selecione a caixa de seleo Habilitar desconexo por inatividade (minutos) e insira um
nmero no campo para ter a conexo 3G/4G desconectada aps o nmero especificado de
minutos de inatividade. Note que esta opo no est disponvel se o Tipo de conexo for a
Conexo persistente.
Etapa 4 Selecione a caixa de seleo Habilitar tempo mx. de conexo (minutos) e insira um nmero
no campo para ter a conexo 3G/4G desconectada aps o nmero especificado de minutos,
independentemente de a sesso estar inativa ou no. Insira um valor no campo Atraso antes
da reconexo (minutos) para que o dispositivo Dell SonicWALL reconecte automaticamente
aps o nmero especificado de minutos.
Guia endereos IP
A guia Endereos IP permite ao administrador configurar endereos IP estticos ou dinmicos
para esta interface. Na maior parte dos casos, este recurso configurado para Obter um
endereo IP automaticamente. Porm, possvel configurar endereos IP manuais para seu
endereo IP do gateway e um ou mais endereos IP do servidor de DNS se solicitado pelo seu
provedor de servios.
Nota Quando este recurso est habilitado, se uma caixa de seleo para um dia no for
selecionada, o acesso 3G/4G ser negado para todo esse dia.
Etapa 2 Selecione a caixa de seleo Limitar tempos para o perfil de conexo para habilitar o
recurso de programao para esta interface.
Etapa 3 Selecione a caixa de seleo para cada Dia da semana em que deseja acessar.
Etapa 4 Insira a Hora de incio e a Hora de fim (no formato de 24 horas) para cada dia da semana.
Dica Se sua conta 3G/4G tiver limite de dados mensais ou de tempo, extremamente
recomendvel a habilitao do Limite do uso de dados.
Etapa 2 Selecione a caixa de seleo Habilitar limite do uso de dados para que a interface de 3G/4G
fique automaticamente desabilitada quando o limite de dados ou de tempo especificado tiver
sido atingido para o ms.
Etapa 3 Selecione o dia do ms para comear controlando o uso de dados mensal ou o tempo no menu
suspenso Data de incio do ciclo de faturamento.
Etapa 4 Insira um valor no campo Limite e selecione o fator de limite apropriado: GB, MB, KB ou
minutos.
Etapa 5 Clique em OK.
A tabela Uso de dados exibe o uso de dados atual e o tempo online para o Ano, Ms,
Semana, Dia e Ciclo de faturamento. O uso do ciclo de faturamento s calculado se a
opo Habilitar limite do uso de dados estiver habilitada no Perfil de conexo 3G/4G.
Clique no boto Redefinir apropriado para redefinir qualquer uma das categorias de uso de
dados.
Nota A tabela Uso de dados somente uma estimativa do uso atual e no deve ser usada para
calcular as taxas reais. Contate seu Provedor de servios para obter informaes precisas
sobre o faturamento.
A tabela Histrico da sesso exibe um resumo das informaes sobre as sesses 3G/4G.
Para ver detalhes adicionais sobre uma sesso especfica, coloque o cursor do mouse sobre
o balo Propriedades.
Para iniciar manualmente uma conexo na interface de 3G/4G externa U0/U1/M0, execute as
seguintes etapas:
Etapa 1 Na pgina Rede > Interfaces, clique no boto Gerenciar para a interface U0/U1/M0.
Etapa 2 exibida a janela Status de conexo de U0/U1/M0. Clique no boto Conectar. Assim que a
conexo estiver ativa, a janela Status de conexo de U0/U1/M0 exibe as estatsticas na
sesso.
Modem
As sees a seguir descrevem como configurar e usar a funcionalidade de modem em um
dispositivo de segurana de rede Dell SonicWALL:
Modem > Status na pgina 441
Modem > Configuraes na pgina 442
Modem > Avanado na pgina 443
Modem > Perfis de conexo na pgina 445
Tipo do dispositivo do modem Selecione se voc est usando um Modem analgico, uma
Conexo 3G/Mobile ou Detecte automaticamente.
Volume do alto-falante Selecione se deseja ligar ou desligar o alto-falante do modem.
O valor padro Ligado.
Inicializao do modem Selecione Inicializar modem para uso em e selecione o pas
no menu suspenso. Estados Unidos selecionado por padro. Se o modem usa
comandos AT para inicializar, selecione Inicializar modem usando comandos AT. Digite
todos os comandos AT usados no modem no campo Comandos AT (para inicializao
do modem). Os comandos AT so instrues usadas para controlar um modem como
ATS7=30 (permite at 30 segundos de espera por um tom de discagem) e ATS8=2 (define
a quantidade de tempo que o modem pausa quando encontra uma vrgula (",") na cadeia
de caracteres).
Gerenciamento/Login do usurio
A seo Gerenciamento/Login do usurio permite habilitar o gerenciamento remoto do
dispositivo de segurana Dell SonicWALL ou do login de usurio a partir da interface do
Modem.
3. O Dell SonicWALL ento iniciar uma conexo de modem com seu ISP de discagem com
base no perfil de discagem configurado.
4. O administrador de rede acessa a interface de gerenciamento da web do Dell SonicWALL
para realizar as tarefas necessrias.
Nota Se o trfego LAN a WAN no Dell SonicWALL gerar uma solicitao de discagem ao mesmo
tempo que uma sesso de Discagem acionada remotamente estiver sendo autenticada, a
sesso de Discagem acionada remotamente ser encerrada e o Dell SonicWALL iniciar a
sua prpria sesso de discagem.
Limite de conexo
A seo Limite de conexo permite que o administrador defina um limite de hosts/ns na
conexo do modem. Esse recurso especialmente til para implantaes nas quais a conexo
do modem usada como um estouro ou em situaes de balanceamento de carga para evitar
a sobrecarga da conexo.
No campo Mx. de hosts, digite o nmero mximo de hosts que sero permitidos quando esta
interface estiver conectada. O valor padro "0", o que permite um nmero ilimitado de ns.
O perfil atual exibido na tabela Perfis de conexo, que exibe as seguintes informaes do
perfil:
Nome O nome que voc atribuiu ao perfil. possvel usar nomes como Casa, ,
Escritrio ou Viagem para distinguir os diferentes perfis entre si.
Endereo IP O endereo IP da conexo de Internet.
Tipo de conexo Exibe Persistente, Conectar em dados ou Discagem manual,
dependendo da opo selecionada na janela Perfil de configurao para o perfil.
Configurar Clicar no cone de edio permite editar o perfil. Se clicar no cone de
excluso, o perfil ser excludo.
Etapa 1 Na pgina Modem > Perfis de conexo, clique no boto Adicionar. A janela Configurao
de perfis do modem exibida para configurar um perfil de conexo discada.
Depois de criar seus perfis, possvel ento configurar e especificar quais perfis devero ser
usados para o failover de WAN ou o acesso Internet.
Para definir as configuraes do ISP, voc deve obter suas informaes da Internet a partir do
seu Provedor de Servios de Internet discada.
Geral
Etapa 2 Na pgina Configuraes gerais, digite um nome para o seu perfil discado no campo Nome
do perfil.
Etapa 3 Digite o nmero primrio usado para discar o seu ISP no campo Nmero primrio discado.
Dica Se um prefixo especfico for usado para acessar uma linha externa, como o 9 ou &, digite
o nmero como parte do nmero de telefone primrio.
Etapa 4 Digite o nmero secundrio usado para discar o seu ISP no campo Nmero secundrio
discado (opcional).
Etapa 5 Digite o seu nome de usurio do ISP de discagem no campo Nome de usurio.
Etapa 6 Digite a senha fornecida pelo seu ISP de discagem no campo Senha do usurio.
Etapa 7 Confirme sua senha do ISP de discagem no campo Confirmar senha de usurio.
Etapa 8 Se o seu ISP forneceu um script que executado ao acessar sua conexo do ISP, recorte e
cole o texto do script no campo Script de bate-papo. Consulte as Informaes na seo
Scripts de bate-papo na pgina 449 para obter mais informaes sobre como usar os scripts
de bate-papo.
Parmetros
Etapa 12 Clique na guia Parmetros. Use as configuraes da pgina para configurar o comportamento
de discagem do modem.
Cuidado Se voc estiver configurando dois perfis de discagem para o failover da WAN, o
comportamento do modem deve ser o mesmo para cada um dos perfis. Por exemplo, se o
seu Perfil primrio usar a Conexo persistente, o seu Perfil secundrio tambm dever usar
a Conexo persistente. Se voc habilitar a Conexo persistente para o modem, a conexo
do modem permanecer ativa at que a conexo WAN Ethernet seja reativada ou voc
force a desconexo, clicando em Desconectar na pgina Configurar.
Etapa 14 Se voc selecionou Conectar em dados ou Conexo manual, digite o nmero de minutos
que uma conexo discada ter permisso de ficar inativa no campo Habilitar Desconexo por
inatividade (minutos) .
Etapa 15 Selecione a velocidade de conexo no menu Velocidade mxima de conexo (bps).
Automtica a configurao padro que o dispositivo de segurana Dell SonicWALL detecta
automaticamente a velocidade da conexo ao se conectar ao ISP; como alternativa, voc pode
selecionar uma opo de velocidade especfica no menu.
Etapa 16 Selecione Habilitar tempo mx. de conexo (minutos) se a conexo for encerrada aps o
tempo especificado. Digite o nmero de minutos para que a conexo fique ativa. O valor pode
variar entre 0 a 1.440 minutos. Este recurso no entra em conflito com a configurao
Desconectar por inatividade. Se os dois recursos forem configurados, a conexo ser
encerrada com base no menor tempo configurado.
Etapa 17 Se voc selecionar Habilitar tempo mx. de conexo (minutos), digite o nmero de minutos
de atraso antes de discar novamente o ISP em Atraso antes de reconectar (minutos). O
valor pode variar de 0 a 1.440 e o valor padro 0, o que significa que no h atraso antes da
nova conexo com o ISP.
Etapa 18 Se voc tiver uma chamada em espera na linha de telefone, voc deve desativ-la, pois outra
chamada poder interromper sua conexo ao ISP. Selecione Desabilitar chamada em espera
e, em seguida, selecione um comando da lista. Se voc no visualizar seu comando na lista,
selecione Outro e digite o comando no campo. Se no tiver certeza de qual comando usar,
consulte a documentao fornecida com o seu servio de telefone ou entre em contato com
seu provedor de servios de telefone.
Programao
Etapa 22 Clique na guia Programao.
Etapa 23 Se desejar especificar tempos programados que o modem pode se conectar, selecione Limitar
horrios para perfil de discagem. Digite os horrios para cada dia no formato de 24 horas
que voc deseja que o modem seja capaz de fazer uma conexo.
Etapa 24 Clique em OK para adicionar o novo perfil de discagem no dispositivo de segurana Dell
SonicWALL. O Perfil de discagem ser exibido na tabela Perfis de conexo.
Scripts de bate-papo
Alguns servidores legados podem exigir scripts de bate-papo especficos para a empresa para
efetuar login nos servidores de discagem.
Um script de bate-papo, como outros tipos de scripts, automatiza o ato de digitar comandos
com um teclado. Ele consiste em comandos e respostas constitudos de grupos de pares de
espera-resposta, bem como comandos de controle adicionais, usados pelo intrprete do script
de bate-papo no TELE3 SP. O TELE3 SP usa um script padro de bate-papo que funciona com
a maioria dos ISPs, mas o seu ISP pode exigir um script de bate-papo com comandos
especficos para "bater papo" com o seu servidor. Se um ISP exigir um script de bate-papo
especfico, ele geralmente fornecido a voc com as informaes de acesso discagem. O
script padro de bate-papo para o TELE3 SP apresenta os seguintes comandos:
ABORT `NO DIALTONE'
ABORT `BUSY'
ABOR `NO CARRIER'
O script se parece muito com o script anterior, com a exceo dos comandos no final. H uma
cadeia de caracteres vazia (") depois de CONNECT, que envia o comando de uma nova linha
para o servidor. O intrprete de bate-papo ento aguarda pela subcadeia de caracteres
sername:. Quando uma resposta retornada, o atual nome da conta de usurio do PPP, que
substitui a cadeia de caracteres de controle de comando \L, enviada. Em seguida, o
intrprete de bate-papo aguarda pela subcadeia assword: e envia a senha, substituindo \P
pela senha da conta do PPP. Se as subcadeias username ou password no forem recebidas
dentro do perodo de tempo limite, o intrprete de bate-papo abortar o processo de discagem,
resultando em uma falha na discagem.
Configuraes
| 453
454 | Guia do Administrador do SonicOS 6.2
Captulo 33
Gerenciando SonicPoints
Etapa 1 Para adicionar um novo perfil, clique em Adicionar SonicPoint abaixo da lista de perfis de
proviso do SonicPoint 802.11n. Para editar um perfil existente, selecione o perfil e clique no
cone Configurar na mesma linha do perfil que voc est editando.
Etapa 2 Na guia Configuraes da janela Adicionar perfil, especifique:
Dica Para melhor velocidade de sada, o SonicWALL recomenda o modo de rdio Somente
802.11n. Use o modo 802.11n/g/b misto para uma autenticao de compatibilidade de
vrios clientes sem fio.
Nota Se todos os SonicPoints em sua organizao compartilharem o mesmo SSID, mais fcil
para os usurios manter a conexo sem fio em roaming de um SonicPoint para outro.
Quando o rdio sem fio configurado para um modo que suporta 802.11n, as opes a seguir
so exibidas:
Banda de rdio (somente 802.11n): Configura as bandas para o rdio 802.11n.
Automtico - Permite que o dispositivo detecte e defina o canal ideal para operao sem
fio com base na intensidade do sinal e integridade automaticamente. Esta a configurao
padro.
Padro Canal de 20 MHz - Especifica que o rdio 802.11n usar somente o canal de 20
MHz padro. Quando essa opo selecionada, o menu suspenso Canal padro
exibido.
Canal padro - Esse menu suspenso exibe apenas quando o canal de 20 MHz est
selecionado. Por padro, definido como Automtico, o que permite que o dispositivo
defina o canal ideal na intensidade do sinal e integridade. Como alternativa, voc pode
selecionar um nico canal dentro do intervalo de seu domnio regulatrio. Selecionar
um determinado canal tambm pode ajudar a evitar interferncia com outras redes sem
fio na rea.
Amplo Canal de 40 MHz - Especifica que o rdio 802.11n usar somente o canal de 40
MHz padro. Quando essa opo selecionada, os menus suspensos Canal primrio e
Canal secundrio so exibidos.
Canal primrio - Por padro, definido como Automtico. Como alternativa,
possvel especificar um canal primrio.
Canal secundrio - A configurao do menu suspenso controlada pela seleo do
canal primrio:
Se o canal primrio definido como Automtico, o canal secundrio tambm
definido como Automtico.
Se o canal primrio definido como um canal especfico, o canal secundrio
definido para o melhor canal para evitar a interferncia com o canal primrio.
Habilitar intervalo de proteo curto: Especifica o intervalo de proteo curto de 400ns (e
no o intervalo de proteo padro do 800ns). O intervalo de proteo uma pausa na
transmisso destinada a evitar a perda de dados com interferncia ou atrasos de vrios
caminhos.
Dica As opes Habilitar intervalo de proteo curto e Habilitar agregao podem melhorar
ligeiramente a velocidade de processamento. Ambas funcionam melhor em condies
ideais de rede onde os usurios tm sinais fortes e com pouca interferncia. Em redes que
possuem condies no to ideais (interferncia, sinais fracos, etc.), essas opes podem
apresentar erros de transmisso que dispensam qualquer ganho de eficincia na taxa de
transferncia.
Imposio de ACL: Selecione isso para impor o Controle de acesso, permitindo ou negando
o trfego de dispositivos especficos. Selecione um grupo de endereo MAC da Lista de
permisses para permitir automaticamente o trfego de todos os dispositivos com endereos
MAC no grupo. Selecione um grupo de endereo MAC da Lista de negaes para negar
automaticamente o trfego de todos os dispositivos com endereos MAC no grupo. A lista de
negaes imposta antes da lista de permisses.
Etapa 4 Na seo Segurana sem fio da guia Rdio 802.11n, configure as seguintes configuraes:
Tipo de autenticao: Selecione o mtodo de autenticao para sua rede sem fio.
Voc pode selecionar WEP - Ambos (Sistema aberto e Chave compartilhada), WEP
- Sistema aberto, WEP Chave compartilhada, WPA-PSK, WPA-EAP, WPA2-PSK,
WPA2-EAP, WPA2-AUTO-PSK e WPA2-AUTO-EAP.
Configurao WEP
Modo de chave WEP: Seleciona o tamanho da chave de criptografia.
Chave padro: Selecione qual chave na lista a seguir a chave padro, que ser
tentada primeiro ao tentar autenticar um usurio.
Entrada da chave: Selecione se a chave alfanumrica ou hexadecimal.
Chave 1 - Chave 4: Digite as chaves de criptografia para criptografia WEP. Insira a
mais provvel de ser usada no campo que voc selecionou como a chave padro.
Ocultar SSID em sinal: Marque esta opo para ter a difuso de SSID como parte do
sinal sem fio, em vez de uma transmisso separada.
Programar sondagem de IDS: Selecione uma hora quando houver menos
necessidades na rede sem fio para agendar uma verificao do Servio de deteco
de intruses (IDS) para minimizar a inconvenincia de quedas de conexo sem fio.
Taxa de dados: Selecione a velocidade em que os dados so transmitidos e
recebidos. Ideal automaticamente seleciona o melhor taxa disponvel em sua rea de
acordo com a interferncia e outros fatores. Ou voc pode selecionar uma taxa de
dados manualmente.
Potncia de transmisso: Selecione a potncia de transmisso. A potncia de
transmisso afeta o alcance do SonicPoint. Voc pode selecionar: Alimentao total,
Metade (-3 dB), Um quarto (-6 dB), Um oitavo (-9 dB), ou Mnimo.
Diversidade da antena: A configurao Diversidade de antena determina qual
antena o SonicPoint usa para enviar e receber dados. Quando Ideal selecionada, o
SonicPoint automaticamente seleciona a antena com o sinal mais forte e mais limpo.
Voc pode adicionar qualquer nmero de perfis do SonicPoint. Para configurar um perfil de
provisionamento SonicPoint-N de rdio duplo:
Etapa 1 Para adicionar um novo perfil, clique em Adicionar SonicPoint abaixo da lista de perfis de
proviso do SonicPoint. Para editar um perfil existente, selecione o perfil e clique no cone
editar na mesma linha do perfil que voc est editando.
Etapa 2 Na guia Geral da janela Adicionar perfil, especifique:
Nota Se todos os SonicPoints em sua organizao compartilharem o mesmo SSID, mais fcil
para os usurios manter a conexo sem fio em roaming de um SonicPoint para outro.
Modo de rdio: Selecione a velocidade da conexo sem fio. Voc pode escolher o
modo 11 Mbps - 802.11b, 54 Mbps - 802.11g, ou 108 Mbps - Turbo G. Se voc
escolher o modo Turbo, todos os usurios em sua empresa devero usar cartes de
acesso sem fio que oferecem suporte ao modo turbo.
Canal: Selecione o canal em que o rdio ir funcionar. O padro AutoChannel, que
seleciona automaticamente o canal com a menor interferncia. Use o AutoChannel
(Canal Auto), a no ser que exista uma razo para usar ou evitar canais especficos.
Imposio de ACL: Selecione isso para impor o Controle de acesso, permitindo ou
negando o trfego de dispositivos especficos. Selecione um grupo de endereo MAC
da Lista de permisses para permitir automaticamente o trfego de todos os
dispositivos com endereos MAC no grupo. Selecione um grupo de endereo MAC da
Ocultar SSID em sinal: Marque esta opo para ter a difuso de SSID como parte do
sinal sem fio, em vez de uma transmisso separada.
Etapa 1 Em Configuraes do SonicPoint, clique no cone Editar na mesma linha que o SonicPoint
que voc deseja editar.
Etapa 2 Na tela Editar SonicPoint, faa as alteraes que voc deseja. Consulte Configurando um perfil
SonicPoint na pgina 457 para obter instrues sobre como definir essas configuraes.
Etapa 3 Clique em OK para aplicar essas configuraes.
Sincronizar SonicPoints
Etapa 1 Marque a caixa embaixo de Ativar para ativar o SonicPoint, desmarque a caixa para desativ-
lo.
Etapa 2 Clique em Aceitar na parte de cima da pgina SonicPoint > SonicPoints para aplicar essa
configurao ao SonicPoint.
Etapa 1 Baixe a imagem SonicPoint de http://www.mysonicwall.com para um sistema local com acesso
Internet.
Voc pode baixar a imagem SonicPoint de um dos seguintes locais:
Na mesma pgina onde voc pode baixar o firmware SonicOS Enhanced
Na pgina Centro de Download, selecionando SonicPoint no menu suspenso Tipo
Etapa 2 Carregar a imagem do SonicPoint em um servidor Web local que pode ser acessado pelo seu
dispositivo SonicWALL.
Voc pode alterar o nome do arquivo de imagem SonicPoint, mas deve manter a extenso
intacta (ex: .bin.sig).
Etapa 3 Na interface de usurio SonicOS no seu dispositivo SonicWALL, no painel de navegao,
clique em Sistema e, em seguida, clique em Administrao.
Etapa 4 Na tela Sistema > Administrao, em URL de download, clique na caixa de seleo
Especificar manualmente o URL da imagem SonicPoint para ativ-lo.
Etapa 5 Na caixa de texto, digite o URL para o arquivo de imagem SonicPoint no seu servidor Web
local.
Nota Ao digitar o URL para o arquivo de imagem SonicPoint, NO inclua "http://" na caixa de
texto.
Pr-requisitos
Para esta verso, necessrio o seguinte para uma implantao do SonicPoint com sucesso:
O SonicOS Enhanced requer acesso Internet pblico para o dispositivo UTM fazer
download e atualizar as imagens de firmware do SonicPoint. Se o dispositivo no tiver
acesso Internet pblico, voc precisar obter e baixar o firmware SonicPoint
manualmente.
Um ou mais pontos de acesso SonicWALL SonicPoint ou SonicPoint G sem fio.
Se voc estiver usando um comutador PoE para ligar o SonicPoint, ele deve ser compatvel
com o padro 802.3af Ethernet. Notas de programao de comutador especficas de
fornecedor podem ser encontradas no final dessa seo para HP, Cisco, Dell e D-Link.
Caso contrrio, ser necessrio usar o adaptador de energia que vem com o SonicPoint
ou Injetor de PoE da SonicWALL. Consulte:
http://www.sonicwall.com/downloads/SonicWALL_PoE_Injector_Users_Guide.pdf
Comutadores testados
A maioria dos comutadores Cisco funcionam bem; no entanto, o SonicWALL no
recomenda a implantao de SonicPoints usando a linha de comutadores "Cisco Express".
O SonicWALL no recomenda a implantao de SonicPoints usando comutadores Netgear
PoE.
Se voc estiver usando comutadores PoE D-Link, ser necessrio desligar todos os
controles de transmisso proprietrios e mecanismos de controle de tempestade, uma vez
que eles interferiro nos mecanismos de provisionamento e aquisio no SonicPoint
(consulte a seo sobre isso).
Dell Certifique-se de configurar STP para o incio rpido em portas SonicPoint.
Extreme Certifique-se de configurar STP para o incio rpido em portas SonicPoint.
Foundry Certifique-se de configurar STP para o incio rpido em portas SonicPoint.
HP ProCurve Certifique-se de configurar STP para o incio rpido em portas SonicPoint.
Consideraes de fiao
Certifique-se de que o cabeamento CAT5, CAT5e ou CAT6 de ponta a ponta.
Devido a limitaes de sinalizao no 802.3, execues de cabo Ethernet no so
possveis a mais de 100 metros entre switch PoE e SonicPoint.
Voc precisa estar ciente da perda de energia do PoE conforme o cabo se torna mais
longo; isso pode chegar at 16%. Para cabeamentos mais longos, a porta exigir mais
energia.
Canais
A configurao padro do SonicPoints canal automtico. Quando definido, na inicializao o
SP ir fazer uma verificao e checar se h outros dispositivos sem fio transmitindo. Em
seguida, ele tentar localizar um canal no utilizado e us-lo para transmisso. Especialmente
em implantaes maiores, isso pode causar problemas. Aqui, recomendvel atribuir canais
fixos a cada SonicPoint. Um diagrama de SPs e Endereos MAC ajudam a evitar
sobreposies, e o melhor marcar o local do SPs e endereos MAC em uma planta.
PoE
Um SonicPoint em energia plena utiliza 6 a 10 Watts.
SonicPoints esto definidos como classe 0 PD (ou seja, que pode ser 0,44W no mnimo e
at 12,95W no mximo). Uma incompatibilidade na classe ir causar confuso no
handshake e reinicializar o SonicPoint.
A conformidade total com 802.3af necessria em todos os comutadores que fornecero
PoE a um SonicPoint ou SonicPoint-G. No opere SonicPoints ou comutadores no
compatveis, pois o SonicWALL no oferece suporte a eles.
rvore de abrangncia
Quando uma porta Ethernet fica eletricamente ativa, a maioria dos comutadores por
padro ativar o protocolo de rvore de abrangncia na porta para determinar se h loops
na topologia da rede. Durante esse perodo de deteco de 50 a 60 segundos, no passa
nenhum trfego pela porta esse recurso conhecido por causar problemas com
SonicPoints. Se voc no precisa da rvore de abrangncia, desative-a globalmente no
comutador ou desabilite-a em cada porta conectada a um dispositivo SonicPoint.
Se isso no for possvel, verifique com o fabricante do comutador para determinar se eles
permitem para "deteco rpida de rvore de abrangncia", que um mtodo que executa
a rvore de abrangncia em um menor tempo para no causar problemas de
conectividade. Consulte as sees especficas do comutador no final desta nota tcnica
para exemplos de programao sobre como fazer isso.
VTP e GVRP
Desative esses protocolos de truncamento em portas conectadas diretamente a SonicPoints,
j que eles so conhecidos por causar problemas com SonicPoints especialmente os
comutadores da srie Cisco Catalyst de ponta.
Agregao de porta
Muitos comutadores tm agregao de portas ativada por padro isso causa muitos
problemas e
deve ser desativado em portas conectadas diretamente em SonicPoints.
EtherChannel/PAGP/Fast EtherChannel desative essa opo nas portas para
SonicPoints.
LACP desative essa opo nas portas para o SonicPoints.
Soluo de problemas
Ao criar um zona Sem fio e uma interface, certifique-se de configurar a interface para o
nmero de SonicPoints que voc deseja dar suporte -- novas interfaces esto definidas
para Sem SonicPoints' por padro. Se voc no fizer isso, o dispositivo UTM no criar o
escopo DHCP necessrio e no adquirir qualquer SonicPoints adicionado interface.
Se voc adicionou SonicPoints e somente um certo nmero foi detectado e adquirido,
verifique as configuraes de interface conforme descrito acima, pois ela pode estar
definida para menos SonicPoints.
Se a taxa de transferncia parecer lenta, verifique quantos SonicPoints voc tiver em uma
interface em grandes implantaes, aconselhvel espalh-los por mais de um. Tente
limitar as interfaces para uma taxa de excesso de assinatura de 4-para-1. Por exemplo, se
voc tiver 100 Mbps, voc com segurana pode anexar at 20 SonicPoints a ele e esperar
um desempenho razovel.
A velocidade de processamento fornecida em SonicPoints de apenas 20 a 22 Mbps no
mximo esta uma limitao de 802.11a e 802.11g, e no do SonicPoint.
Se voc ainda estiver com problemas de velocidade de processamento, atualize para o
SonicOS 4.0.1.0 ou mais recente, pois ela contm vrias correes que iro ajud-lo.
Reconfigurando o SonicPoint
O SonicPoint tem um comutador de redefinio dentro de um pequeno orifcio na parte
posterior da unidade, ao lado da porta do console. Voc pode redefinir o SonicPoint a qualquer
momento, pressionando a opo de redefinir com um clipe de papel aberto, um palito de dente
ou outro objeto estreito e pequeno.
O boto Redefinir redefine a configurao em que o SonicPoint est operando para os padres
de fbrica. Ele no redefine a configurao para outro modo. Dependendo do modo que o
SonicPoint est operando e a quantidade de tempo que voc pressionar o boto Redefinir, o
SonicPoint se comporta em uma das seguintes formas:
Pressione o boto Redefinir por pelo menos trs segundos e menos de oito segundos
com o SonicPoint operando no Modo gerenciado para redefinir a configurao de Modo
gerenciado para os padres de fbrica e reinicializar o SonicPoint.
Pressione o boto Redefinir por mais de oito segundos com o SonicPoint operando no
Modo gerenciado para redefinir a configurao de Modo gerenciado para os padres de
fbrica e reinicializar o SonicPoint.
Pressione o boto Redefinir por pelo menos trs segundos e menos de oito segundos
com o SonicPoint operando no Modo independente para redefinir a configurao de Modo
independente para os padres de fbrica e reinicializar o SonicPoint.
Pressione o boto Redefinir por mais de oito segundos com o SonicPoint operando no
Modo independente para redefinir a configurao de Modo independente para os padres
de fbrica e reinicializar o SonicPoint.
A tabela lista entradas para cada cliente sem fio conectado a cada SonicPoint. As sees da
tabela so divididas por SonicPoint. Em cada SonicPoint, h uma lista de todos os clientes
atualmente conectados a ele.
Clique no boto Atualizar no canto superior esquerdo para atualizar a lista.
Por padro, a pgina exibe as primeiras 50 entradas encontradas. Clique nos cones Primeira
pgina , Pgina anterior , Prxima pgina e ltima pgina para navegar se voc
precisar visualizar mais de 50 entradas.
Cuidado Clicar em Verificar tudo far com que todos os clientes sem fio ativos sejam desconectados
enquanto a verificao executada. Se a interrupo do servio uma preocupao,
recomendvel no clicar em Verificar agora enquanto o Dispositivo de segurana
SonicWALL estiver no modo de Ponto de acesso. Aguarde at que no haja nenhum cliente
ativo ou uma breve interrupo do servio seja aceitvel.
Voc tambm pode verificar em uma base de SonicPoint por SonicPoint, da seguinte maneira:
Nota Dependendo de qual modelo SonicPoint voc estiver usando, as seguintes opes podem
ser exibidas.
Etapa 1 Clique no cone Editar na coluna Autorizar para o ponto de acesso que voc deseja autorizar.
Um pop-up exibido.
Etapa 4 Modificar as configuraes de alerta para qualquer uma das categorias de registro a seguir de
IDS de WLAN:
Verificao de investigao WLAN
Nota Os Pontos de acesso virtuais so suportados ao usar pontos de acesso sem fio SonicPoint
com dispositivos SonicWALL NSA.
Internet
RADIUS
Server
VLAN 50 - SSID: VAP-Corporate
VLAN 100 - SSID: VAP-Legacy
VLAN 150 - SSID: VAP-Guest_Secure
VLAN 200 - SSID: VAP-Guest
VLAN 250 - SSID: VAP-SSL-VPN
VLAN IDs
Provisioned to SonicPoints
SSID: SSID: SSID:
VAP-Guest VAP-Corporate VAP-SSL-VPN
Ethernet LAN
LAN with Multiple VLAN
WGS WPA - PSK WEP Individual WLAN SSID
No Encryption WiFiSec Enforced MAC Filtering
No LAN Access LAN Access LAN Access
O que um SSID?
Um Service Set Identifier (SSID) o nome atribudo a uma rede sem fio. Os clientes sem fio
devem usar este mesmo SSID, que diferencia maisculas de minsculas, para se comunicar
com o SonicPoint. O SSID consiste de uma sequncia de texto de at 32 bytes de
comprimento. Vrios SonicPoints em uma rede podem usar os mesmos SSIDs. Voc pode
configurar at oito SSIDs exclusivos em SonicPoints e atribuir diferentes configuraes para
cada SSID.
Os SonicPoints transmitem um beacon (anncios de disponibilidade de uma rede sem fio) para
a cada SSID configurado. Por padro, o SSID includo no beacon para que os clientes sem
fio possam ver as redes sem fio. A opo para suprimir o SSID no beacon fornecida em uma
base por SSID (por exemplo, por VAP ou por PA) para ajudar a ocultar a presena de uma rede
sem fio enquanto ainda permite que os clientes se conectem especificando manualmente o
SSID.
As configuraes a seguir podem ser atribudas a cada VAP:
Mtodo de autenticao
VLAN
Nmero mximo de associaes de cliente usando o SSID
Supresso de SSID
O que um BSSID?
Um BSSID (Basic Service Set IDentifier) o equivalente sem fio de um endereo MAC
(Controle de Acesso de Mdia) ou um endereo de hardware exclusivo de um ponto de acesso
ou VAP para fins de identificao. Continuando o exemplo do cliente sem fio mvel da seo
ESSID acima, conforme o cliente no ESSID 'sonicwall' se move do AP1 em direo ao AP2, a
intensidade do sinal do primeiro diminuir enquanto o do segundo aumenta. Uma placa sem
fio e o driver do cliente monitoram constantemente esses nveis, diferenciando entre os pontos
de acesso (V) pelo BSSID. Quando os critrios do carto/driver para roaming forem atendidos,
o cliente ir desanexar o BSSID de AP1 e anexar o BSSID ou AP2 durante todo o tempo
restante conectado ao ESSID 'sonicwall'.
Pr-requisitos
Cada SonicPoint SonicWALL deve ser explicitamente ativado para suporte de Ponto de
acesso virtual ao selecionar SonicPoint > SonicPoints > guia de Configuraes gerais:
Marcar a caixa de seleo "Habilitar SonicPoint" na interface de gerenciamento do
SonicOS e permitir Rdio A ou G.
Os SonicPoints devem ser vinculados a uma zona WLAN no seu dispositivo SonicWALL
UTM para que o provisionamento de APs ocorra.
Restries de implantao
Ao configurar seu programa de instalao VAP, esteja ciente das restries de implantao a
seguir:
As restries de SonicPoint mximas se aplicam e diferem com base em seu dispositivo
de segurana SonicWALL. Revise essas restries no Configuraes VLAN
personalizadas na pgina 505.
Etapa 1 Zona - A zona a espinha dorsal da configurao do VAP. Cada zona que voc criar ter sua
prpria segurana e configuraes de controle de acesso, e voc pode criar e aplicar vrias
zonas a uma nica interface fsica por meio de sub-interfaces VLAN.
Etapa 2 Interface (ou Sub-interface VLAN) - A interface (x2, x3, etc...) representa a conexo fsica
entre o seu dispositivo SonicWALL UTM e seu SonicPoint. As configuraes da zona
individuais so aplicadas a essas interfaces e, em seguida, encaminhadas ao SonicPoints.
Etapa 3 Servidor DHCP - O servidor DHCP atribui endereos IP concedidos aos usurios nos
intervalos especificados, conhecidos como "Escopos". Os intervalos padro para escopos
DHCP so frequentemente excessivos para as necessidades da maioria das implantaes
SonicPoint, por exemplo, um escopo de 200 endereos para uma interface que usar somente
30. Por isso, os intervalos de DHCP devem ser definidos com ateno para garantir que o
escopo de concesso disponvel no esteja esgotado.
Etapa 4 Perfil VAP - O recurso de Perfil de VAP permite a criao de perfis de configurao do
SonicPoint que podem ser facilmente aplicados a novos Pontos de acesso virtuais SonicPoint
conforme necessrio.
Etapa 5 Objetos VAP - O recurso de Objetos VAP permite a instalao de configuraes gerais do VAP.
A ID de SSID e VLAN so configuradas por meio das Configuraes VAP.
Etapa 6 Grupos VAP - O recurso de Grupo VAP permite o agrupamento de vrios objetos VAP
simultaneamente para que sejam aplicados ao seu SonicPoint(s).
Etapa 7 Atribuir Grupo de VAP ao Rdio de Perfil de provisionamento do SonicPoint- o Perfil de
provisionamento permite que um Grupo de VAP seja aplicado a novos SonicPoints conforme
so provisionados.
Network Configuration
DHCP Scopes DHCP Lease Scope DHCP Lease Scope DHCP Lease Scope
10.10.50.1 - 10.10.50.100 10.10.100.1 - 10.10.100.10 10.10.200.1 - 10.10.200.25
VAP Configuration
SonicPoint Profile
Para obter informaes detalhadas sobre como configurar zonas, consulte Configurar zonas
de rede na pgina 263.
Limitao Descrio
Nome Criar um nome para a sua zona personalizada
Tipo de segurana Selecionar Sem fio para habilitar e acessar as opes de segurana sem fio.
Permitir confiana na Selecione esta opo para criar automaticamente regras de acesso que
interface permitem o fluxo de trfego entre as interfaces de uma zona. Isso efetivamente
permitir que os usurios em uma zona sem fio se comuniquem uns com os
outros. Esta opo est desabilitada com frequncia ao configurar os Servios
para convidados.
SonicWALL Security Selecione os servios de segurana que deseja para impor nessa zona. Isso
Services permite que voc amplie os servios de segurana SonicWALL UTM para seu
SonicPoints.
Limitao Descrio
Apenas permitir trfego Restringe o trfego nesta zona para somente trfego gerado pelo
gerado por um SonicPoint.
SonicPoint
Imposio de VPN SSL Redireciona todo o trfego entrando na zona Sem fio para um dispositivo
SonicWALL VPN SSL definido. Isso permite que todo o trfego sem fio seja
autenticado e criptografado por VPN SSL, usando, por exemplo,
NetExtender para todo o trfego de tnel. Nota: O trfego sem fio que
encaminhado em um VPN SSL ser exibido para se originar do VPN SSL
em vez da zona sem fio.
Servidor VPN SSL - Selecione o Objeto de endereo que representa o
dispositivo VPN SSL para o qual voc deseja redirecionar o trfego sem fio.
Imposio de WiFiSec Exige que todo o trfego seja IPsec ou WPA. Com essa opo marcada,
todas as conexes de no convidados devem ser impostas ao IPsec.
Servio de exceo de WiFiSec - Selecione os servios que deseja isentar
da Imposio de WiFiSec.
Exige WiFiSec para Para uso com a imposio de WiFiSec, requer segurana WiFiSec em todas
travessia de tnel VPN as conexes de VPN site-to-site por meio desta zona.
entre locais
Confiar no trfego WPA/ Permite que WPA ou WPA2 seja usado como uma alternativa para WiFiSec.
WPA2 como WiFiSec
Perfil de provisionamento Selecione um Perfil de Provisionamento do SonicPoint predefinido a ser
do SonicPoint aplicado a todos os SonicPoints atuais e futuros nesta zona.
Limitao Descrio
Habilitar comunicao Permite que os convidados conectados ao SonicPoints nesta zona Sem fio se
entre convidados comuniquem diretamente e sem fio entre eles.
Ignorar verificao de AV Permite ao trfego de convidados ignorar a proteo antivrus
para convidados
Habilitar converso A Converso de Endereo Dinmico (DAT) permite que o SonicPoint oferea
dinmica de endereos suporte a qualquer esquema de endereamento de IP para os usurios dos
(DAT) Servios para convidados.
Se essa opo est desativada (desmarcada), os usurios convidados sem fio
devem ter o DHCP habilitado ou um esquema de endereamento de IP
compatvel com as configuraes de rede do SonicPoint.
Habilitar autenticao de Requer que os convidados conectando a partir do dispositivo ou rede
convidado externo selecionado por voc se autentiquem antes de ganhar acesso. Esse recurso,
com base em Sistema de mensagens Lightweight Hotspot (LHM), usado para
autenticar usurios de ponto de acesso e fornec-las com acesso de rede
vinculado de forma paramtrica.
Pgina de autenticao Redireciona os usurios a uma pgina de autenticao personalizada quando
personalizada estes se conectam primeiro a um SonicPoint na zona sem fio. Clique em
Configurar para configurar a pgina de autenticao personalizada. Insira um
URL para uma pgina de autenticao ou uma instruo de desafio
personalizada no campo de texto e clique em OK.
Pgina de ps- Direciona os usurios para a pgina especificada imediatamente aps
autenticao autenticao com xito. Insira um URL para a pgina de ps-autenticao no
campo.
Sub-interfaces de VLAN
Uma Rede de rea Local Virtual (VLAN) permite que voc divida suas conexes de rede fsica
(X2, X3, etc...) em muitas conexo de rede virtuais, cada uma executando seu prprio conjunto
de configuraes. A soluo VLAN permite que cada VAP tenha sua prpria sub-interface
separada em uma interface fsica real.
Sub-interfaces VLAN tm a maioria dos recursos e caractersticas de uma interface fsica,
incluindo atribuio de zona, servios de segurana, atribuio de WAN (somente
endereamento esttico), GroupVPN, servidor DHCP, Auxiliar de IP, roteamento e poltica NAT
completa e controles de Regra de acesso. Recursos excludos das sub-interfaces VLAN no
momento so a ligao de poltica VPN, o suporte ao cliente dinmico WAN e suporte difuso
seletiva.
As sub-interfaces VLAN so configuradas na pgina Rede > Interfaces.
Limitao Descrio
Zona Selecione uma zona para herdar as configuraes de zona de uma zona
predefinida ou personalizada definidas pelo usurio.
Marca VLAN Especificar a ID de VLAN para esta sub-interface.
Interface pai Selecione uma interface fsica pai (x2, x3, etc...) para o VLAN.
Configurao de IP Criar um endereo IP e Mscara de sub-rede de acordo com a sua
configurao de rede.
Limite do Sonic Point Selecione o nmero mximo de SonicPoints a ser usado nesta
interface. Abaixo est o nmero mximo de SonicPoints por interface,
com base no seu hardware SonicWall UTM:
Protocolos de gerenciamento Selecione os protocolos que deseja usar ao gerenciar esta interface.
Protocolos de login Selecione os protocolos que sero disponibilizados aos clientes que
acessam esta sub-interface.
Limitao Descrio
Nome Escolha um nome amigvel para este novo perfil VAP. Escolha algo
descritivo e fcil de lembrar, pois voc mais tarde ir aplicar este perfil a
novos VAPs.
Tipo Definir como SonicPoint por padro. Manter esta configurao padro
se estiver usando SonicPoints como VAPs (no momento, o nico tipo de
rdio suportado)
Tipo de autenticao Abaixo est uma lista de tipos de autenticao disponveis com recursos
descritivos e uso para cada um:
WEP
Segurana baixa
Para uso com dispositivos legados mais antigos, PDAs, impressoras
sem fio
WPA
Segurana boa (usa TKIP)
Para uso com os clientes sem fio corporativos confiveis
Autenticao transparente com log-in do Windows
Nenhum software de cliente necessrio na maioria dos casos
WPA2
Segurana ideal (usa AES)
Para uso com os clientes sem fio corporativos confiveis
Autenticao transparente com log-in do Windows
Instalao do software de cliente pode ser necessria em alguns
casos
Suporta o recurso de Roaming Rpido" 802.11i
Nenhuma autenticao de back-end necessria aps o primeiro login
(permite roaming mais rpido)
WPA2-AUTO
Tenta se conectar usando a segurana do WPA2. Se o cliente no
possuir WPA2, a conexo ser padro para WPA.
Criptografia unicast A criptografia unicast ser automaticamente escolhida com base no tipo
de autenticao.
Criptografia multicast A criptografia multicast ser automaticamente escolhida com base no
tipo de autenticao.
Mximo de clientes Escolha o nmero mximo de conexes de cliente simultneas
permitidas para este ponto de acesso virtual.
Limitao Descrio
Cdigo de acesso Os usurios de senha compartilhada digitaro ao se conectar com a
autenticao baseada em PSK.
Intervalo de chaves do O perodo de tempo o qual uma Chave de grupo vlida. O valor padro de
grupo 86.400 segundos. A configurao para baixo de um valor pode causar
problemas de conexo.
Limitao Descrio
Servidor RADIUS 1 Insira o nome/local do servidor de autenticao RADIUS
Porta do servidor A porta na qual o servidor de autenticao RADIUS se comunica com clientes e
RADIUS 1 outros dispositivos de rede.
Segredo do servidor O cdigo de acesso secreto para o servidor de autenticao RADIUS
RADIUS 1
Servidor RADIUS 2 Insira o nome/local do servidor de autenticao RADIUS de backup.
Porta do servidor A porta na qual o servidor de autenticao RADIUS de backup se comunica
RADIUS 2 com clientes e outros dispositivos de rede.
Segredo do servidor O cdigo de acesso secreto para o servidor de autenticao RADIUS de backup
RADIUS 2
Intervalo de chaves do O perodo de tempo (em segundos) durante o qual imposta a atualizao da
grupo chave de grupo WPA/WPA2.
Limitao Descrio
Chave de criptografia Selecione a chave a ser usada para conexes WEP para este VAP. As chaves
de criptografia WEP so configuradas na pgina SonicPoint > SonicPoints,
em Perfis de provisionamento do SonicPoint.
Limitao Descrio
SSID Crie um nome amigvel para seu VAP.
ID de VLAN Ao usar plataformas que oferecem suporte a VLAN, opcionalmente, voc pode
selecionar um ID de VLAN para associar com este VAP. Configuraes para este
VAP sero herdadas do VLAN que voc selecionar.
Habilitar ponto de Habilita este VAP.
acesso virtual
Habilitar eliminao de Suprime transmisses do nome SSID e desativa as respostas para solicitaes de
SSID investigao. Marque esta opo se no quiser que seu SSID seja visto por
clientes sem fio no autorizados.
Quantos usurios cada Um campus corporativo tem 100 O escopo DHCP para a zona de
VAP precisar oferecer funcionrios, todos com recursos sem visitante definido para fornecer pelo
suporte? fio menos 100 endereos
Um campus corporativo muitas vezes O escopo DHCP para a zona de
tem algumas dzias de visitantes visitante definido para fornecer pelo
possveis sem fio menos 25 endereos
Suas configuraes:
Quais recursos de rede Um usurio corporativo que precisa Habilitar a Confiana de interface na
meus usurios precisam de acesso a todos os recursos sua
para se comunicar? internos de LAN, incluindo outros zona corporativa.
usurios WLAN e LAN corporativa.
Um convidado sem fio que precisa Desabilitar a Confiana de interface na
acessar a Internet e no deve poder sua
se comunicar com outros usurios da zona de convidados.
WLAN.
Suas configuraes:
Nesta seo, voc ir criar e configurar uma nova zona sem fio com recursos de login de
convidado.
Etapa 1 Na guia Geral, insira um nome amigvel, como "Convidados VAP" no campo Nome.
Etapa 2 Selecionar Sem fio do menu suspenso Tipo de segurana.
Etapa 1 Na guia Sem fio, marque a caixa de seleo Apenas permitir trfego gerado por um
SonicPoint.
Etapa 2 Desmarque todas as outras opes nessa guia.
Etapa 3 Selecione um perfil de provisionamento do menu suspenso Perfil de Provisionamento do
SonicPoint (se aplicvel).
Etapa 1 Na guia Servios para convidados, marque a caixa de seleo Habilitar servios para
convidados.
Etapa 2 Marque a caixa de seleo Habilitar Converso Dinmica de Endereos (DAT) para permitir
que usurios convidados se comuniquem totalmente com endereos fora da rede local.
Etapa 3 Marque a caixa de seleo Pgina de Autenticao personalizada e clique no boto
Configurar para configurar um cabealho personalizado e rodap para a de pgina de login
de convidado.
Nesta seo, voc ir configurar uma das portas para agir como uma WLAN. Se j possui uma
WLAN configurada, avance para Criando uma Interface de LAN sem fio (WLAN) na
pgina 515.
Etapa 1 Na pgina Rede > Interfaces, clique no cone Configurar correspondente interface que
deseja usar como uma WLAN. A tela Configuraes de interface ser exibida.
Etapa 2 Selecione WLAN na lista suspensa Zona.
Etapa 3 Digite o Endereo IP desejado para esta interface.
Nesta seo, voc ir criar e configurar uma nova sub-interface VLAN no seu WLAN atual. Este
VLAN ser vinculado zona criada em Configurando uma zona na pgina 512.
Nota Se a interface que voc criou no aparecer na pgina Rede > Servidor DHCP, possvel
que voc j tenha excedido o nmero de concesses DHCP permitidos para o seu firewall.
Para obter mais informaes sobre exausto de concesso do DHCP, consulte
Configuraes do servidor DHCP na pgina 505.
Nesta seo, voc ir criar e configurar um novo Perfil de Ponto de acesso virtual. Voc pode
criar Perfis VAP para cada tipo de VAP e us-los facilmente aplicando configuraes
avanadas a novos VAPs. Esta seo opcional, mas facilitar o uso durante a configurao
de vrios VAPs.
Etapa 1 No menu esquerda, navegue para a pgina SonicPoint > Ponto de acesso virtual.
Etapa 2 Clique no boto Adicionar... na seo Perfis de ponto de acesso virtual.
Etapa 3 Insira um Nome do perfil como Convidado para este Perfil VAP.
Etapa 4 Escolha um Tipo de autenticao. Para acesso de convidado no segura, escolhemos
"Aberto".
Nesta seo, voc ir criar e configurar um novo Ponto de acesso virtual e associ-lo ao VLAN
que voc criou no Criando uma sub-interface VLAN na WLAN na pgina 516.
Etapa 6 Clique na guia Avanado para editar as configuraes de criptografia. Se voc criou um Perfil
VAP na seo anterior, selecione o perfil na lista Nome do perfil. Criamos e escolhemos um
perfil de "Convidado", que usa abrir como o mtodo de autenticao.
Etapa 7 Clique no boto OK para adicionar este VAP. Seu novo VAP agora aparece na lista de Pontos
de acesso virtuais.
Agora que voc definiu com xito a configurao do Convidado, voc pode escolher adicionar
mais VAPs personalizados ou implantar essa configurao em seu SonicPoint no Implantao
de VAPs em um SonicPoint na pgina 525.
Dica Lembre-se de que mais VAPs sempre podem ser adicionados mais tarde. Novos VAPs
podem ser implantados simultaneamente em todos os SonicPoints seguindo as etapas em
Implantao de VAPs em um SonicPoint na pgina 525.
Nesta seo, voc ir criar e configurar uma nova zona sem fio corporativa com servios de
segurana SonicWALL UTM e segurana sem fio aprimorada WiFiSec/WPA2.
Etapa 1 Na guia Geral, insira um nome amigvel, como VAP-Corporativo" no campo Nome.
Etapa 2 Selecionar Sem fio do menu suspenso Tipo de segurana.
Etapa 3 Selecione a caixa de seleo Permitir confiana de interface para permitir a comunicao
entre usurios sem fio corporativos.
Etapa 4 Selecione as caixas de seleo para todos os servios de segurana que voc normalmente
aplicaria aos usurios da LAN corporativos com fio.
Etapa 1 Na guia Sem fio, marque a caixa de seleo Apenas permitir trfego gerado por um
SonicPoint.
Etapa 2 Selecione a caixa de seleo Imposio de WiFiSec para ativar a segurana WiFiSec nesta
conexo.
Etapa 3 Selecionar Confiar no trfego WPA/WPA2 como WiFiSec para ativar acesso de usurio
WPA/WPA2 a esta conexo.
Etapa 4 Selecione um perfil de provisionamento do menu suspenso Perfil de Provisionamento do
SonicPoint (se aplicvel).
Nesta seo, voc ir criar e configurar uma nova sub-interface VLAN no seu WLAN atual. Este
VLAN ser vinculado zona criada em Configurando uma zona na pgina 520.
Etapa 3 Edite os campos Incio do intervalo e Fim do intervalo para atender s necessidades de
implantao
Etapa 4 Clique no boto OK para salvar as alteraes. O novo escopo de concesso DHCP agora
aparece na lista de Escopos de concesso de servidor DHCP.
Nesta seo, voc ir criar e configurar um novo Perfil de Ponto de acesso virtual. Voc pode
criar Perfis VAP para cada tipo de VAP e us-los facilmente aplicando configuraes
avanadas a novos VAPs. Esta seo opcional, mas facilitar o uso durante a configurao
de vrios VAPs.
Etapa 1 No menu esquerda, navegue para a pgina SonicPoint > Ponto de acesso virtual.
Etapa 2 Clique no boto Adicionar... na seo Perfis de ponto de acesso virtual.
Etapa 3 Insira um Nome do perfil como Corporativo-WPA2 para este Perfil VAP.
Etapa 4 Selecionar WPA2-AUTO-EAP do menu suspenso Tipo de autenticao. Isso ser empregar
uma autenticao de usurio automtica com base nas configuraes do servidor RADIUS
atuais (definir abaixo).
Etapa 5 No campo Mximo de clientes, insira o nmero mximo de conexes simultneas que este
VAP dar suporte.
Etapa 6 Na seo Configuraes de criptografia WPA-EAP, insira as atuais informaes do servidor
RADIUS. Essa informao ser usada para oferecer suporte de login autenticado VLAN.
Etapa 7 Clique no boto OK para criar este Perfil VAP.
Etapa 1 No menu esquerda, navegue para a pgina SonicPoint > Ponto de acesso virtual.
Etapa 2 Clique no boto Adicionar... na seo Pontos de acesso virtual.
Etapa 3 Insira um nome padro (SSID) para o VAP. Nesse caso, escolhemos VAP-convidado, o
mesmo nome que a zona para a qual ser associado.
Etapa 4 Selecione o ID de VLAN que voc criou na Criando uma sub-interface VLAN na WLAN na
pgina 521 na lista suspensa. Nesse caso, escolhemos 50, a ID de VLAN do VLAN VAP-
Corporativo.
Etapa 5 Marque a caixa de seleo Habilitar ponto de acesso virtual para habilitar este ponto de
acesso durante a criao.
Etapa 6 Marque a caixa de seleo Habilitar eliminao de SSID para ocultar este SSID de usurios
Etapa 1 Clique na guia Avanado para editar as configuraes de criptografia. Se voc criou um Perfil
VAP na seo anterior, selecione o perfil na lista Nome do perfil. Criamos e escolhemos um
perfil de Corporate-WPA2", que usa WPA2-AUTO-EAP como o mtodo de autenticao. Se
voc no configurou um Perfil VAP, continue com as etapas 2 a 4. Caso contrrio, continue em
Criar mais/Implantar VAPs atuais na pgina 524.
Etapa 2 Na guia Avanado, selecione WPA2-AUTO-EAP no menu suspenso Tipo de autenticao.
Isso ser empregar uma autenticao de usurio automtica com base nas configuraes do
servidor RADIUS atuais (definir abaixo).
Etapa 3 No campo Mximo de clientes, insira o nmero mximo de conexes simultneas que este
VAP dar suporte.
Etapa 4 Na seo Configuraes de criptografia WPA-EAP, insira as atuais informaes do servidor
RADIUS. Essa informao ser usada para oferecer suporte de login autenticado VLAN.
Nesta seo, voc ir agrupar vrios VAPs em um nico grupo a associar ao(s) seu(s)
SonicPoint(s).
Etapa 1 No menu esquerda, navegue para a pgina SonicPoint > Ponto de acesso virtual.
Etapa 2 Clique no boto Adicionar grupo... na seo Pontos de acesso virtual.
Etapa 3 Insira um Nome do grupo de PA virtual.
Etapa 4 Selecione os VAPs desejados na lista e clique no boto -> para adicion-los ao grupo.
Opcionalmente, clique no boto Adicionar tudo para adicionar todos os VAPs em um nico
grupo.
Nesta seo, voc ir associar o grupo que voc criou no Agrupando vrios VAPs na
pgina 525 com um SonicPoint ao criar um perfil de provisionamento. Este perfil permitir que
voc fornea configuraes de um grupo de VAPs para todos os seus SonicPoints.
Etapa 7 Para instalar a criptografia WEP 802.11g ou WEP/WPA 802.11a, ou para ativar a filtragem de
endereos MAC, use as guias 802.11g e 802.11a. Se qualquer um dos seu VAPs usar
criptografia, voc dever definir essas configuraes antes de seu SonicPoint VAPs funcionar.
Etapa 8 Clique no boto OK para salvar as alteraes e criar o Perfil de provisionamento do SonicPoint.
Etapa 9 Clique no boto Sincronizar SonicPoints na parte superior da tela para aplicar seu perfil de
provisionamento aos SonicPoints disponveis.
O SonicPoint pode levar alguns instantes para reinicializar antes de efetivar as alteraes.
Depois que esse processo for concludo, todos os perfis VAP estaro disponveis para os
usurios sem fio por meio deste SonicPoint.
Etapa 4 Clique no boto OK para adicionar este Grupo VAP ao seu SonicPoint.
Etapa 5 Clique no boto Sincronizar SonicPoints na parte superior da tela para aplicar seu perfil de
provisionamento aos SonicPoints disponveis.
O SonicPoint pode levar alguns instantes para reinicializar antes de efetivar as alteraes.
Depois que esse processo for concludo, todos os perfis VAP estaro disponveis para os
usurios sem fio por meio deste SonicPoint.
Nota Se voc estiver configurando servios de convidado pela primeira vez, certifique-se de
executar as configuraes necessrias nas pginas Usurios > Servios para
convidados. Para obter mais informaes sobre a configurao dos servios para
convidados, consulte o Guia Avanado do Administrador do SonicOS.
Nome Descrio
Itens de ao Fornece as opes de aceitar, cancelar, atualizar e limpar a
pgina de Monitoramento por RF.
Painel de Resumo do Monitoramento por Exibe as unidades de Monitoramento por RF SonicPoint, total
RF de ameaas de RF e o intervalo de medio (usando
segundos como a unidade de medida).
Configuraes do quadro geral de 802.11 Exibe a quantidade total de ameaas gerais e a opo de
habilitar longa durao.
Configuraes do quadro de Configura suas configuraes do quadro de gerenciamento e
gerenciamento de 802.11 exibe o nmero de ameaas para cada configurao.
Configuraes do quadro de dados de Configura suas configuraes do quadro de dados e exibe o
802.11 nmero de ameaas para cada configurao.
Estaes de ameaas de RF descobertas
Tabela 3 Itens de Ao
Nome Descrio
Boto Aceitar Aceita as mais recentes definies de configurao.
Boto Cancelar Cancela quaisquer definies do Monitoramento por RF alteradas.
Boto Atualizar Atualiza a pgina de Monitoramento por RF do SonicPoint.
Boto Limpar Limpa todas as configuraes definidas e retorna a pgina de volta s
configuraes padro.
Nome Descrio
Unidades de Monitoramento por RF do Exibe o nmero total de dispositivos SonicPoint.
SonicPoint
Total de ameaas de RF Exibe o nmero total de ameaas de RF.
Intervalo de medio (segundos) Insira o intervalo de medio desejado em segundos.
Nome Descrio
Total de ameaas gerais Exibe o nmero total de ameaas gerais.
Durao longa Os dispositivos sem fio compartilham ondas sonoras dividindo o espectro RF
em 14 canais escalonados. Cada dispositivo reserva um canal por uma
(curta) durao especfica e, durante o tempo em que um dispositivo possui
um canal reservado, outros dispositivos no sabem difundir neste canal. Os
ataques de longa durao exploram este processo reservando muitos canais
RF por longas duraes, impedindo de forma eficaz que o trfego sem fio
legtimo de localizar um canal transmitido aberto.
Nome Descrio
Total de ameaas de gerenciamento Exibe o nmero total de ameaas de gerenciamento.
Inundao de quadros de Esta variao no ataque de DoS tenta inundar pontos de acesso
gerenciamento sem fio com quadros de gerenciamento (como solicitaes de
autenticao ou associao) preenchendo a tabela de
gerenciamento com solicitaes de bogus.
Resposta da investigao nula Quando um cliente sem fio envia uma solicitao de investigao,
o hacker envia uma resposta com um SSID nulo. Esta resposta
faz com que muitos cartes e dispositivos sem fio parem de
responder.
Cancelamento de autenticao da Esta variao de DoS envia uma inundao de
transmisso cancelamento quadros de autenticao falsificada para clientes
sem fio, forando-os a cancelar a autenticao constantemente e,
subsequentemente,
autenticar novamente com um ponto de acesso.
Estao vlida com SSID invlido Neste ataque, um ponto de acesso invasor tenta transmitir uma ID
de estao confivel (ESSID). Embora o BSSID seja muitas vezes
invlido, a estao pode ainda aparecer a clientes como se fosse
um ponto de acesso confivel. O objetivo deste ataque muitas
vezes obter informaes de autenticao de um cliente confivel.
Deteco de Wellenreiter Wellenreiter e NetStumbler so dois aplicativos de software
populares usados por invasores para recuperar informaes de
redes sem fio nos arredores.
Deteco de Estao Ad-Hoc Estaes Ad-Hoc so ns que fornecem acesso a clientes sem fio
agindo como uma ponte entre o ponto de acesso real e o usurio.
Os usurios sem fio geralmente so enganados para conectar-se
a uma estao Ad-Hoc em vez de ao ponto de acesso real, j que
eles podem ter o mesmo SSID. Isso permite que a Estao Ad-
Hoc intercepte qualquer trfego sem fio que os clientes
conectados enviem ou recebam do ponto de acesso.
Nome Descrio
Total de ameaas de dados Exibe o nmero total de ameaas de dados.
Estao no associada Uma estao sem fio tenta autenticar antes de se associar a um ponto de
acesso, a estao no associada pode criar uma DoS, enviando uma
inundao de solicitaes de autenticao para o ponto de acesso
enquanto se mantm no associada.
Deteco de NetStumbler Normalmente usada para localizar tanto acesso livre Internet quanto
redes interessantes. NetStumbler faz interface com um receptor de GPS e
software de mapeamento para automaticamente mapear locais de redes
sem fio.
Inundao do pacote EAPOL Protocolo de Autenticao extensvel sobre pacotes de LAN (EAPOL) so
usados em mecanismos de autenticao WPA e WPA2. J que tais
pacotes, como outros pacotes de solicitao de autenticao, so
recebidos abertamente por pontos de acesso sem fio, uma inundao
desses pacotes pode resultar em uma DoS para sua rede sem fio.
WEP fraca IV O mecanismo de segurana WEP usa sua chave WEP juntamente com um
nmero de 24 bits escolhido aleatoriamente como um vetor de inicializao
para criptografar dados. Os hackers de rede tm como alvo este tipo de
criptografia porque alguns dos nmeros IV aleatrios so mais fracos que
outros, tornando mais fcil descriptografar sua chave WEP.
Nome Descrio
Itens Exibe o nmero total de ameaas registradas. Use os botes de seta para
navegar pelas pginas, se aplicvel.
Estao Seleciona o tipo de estaes exibido na lista de entradas.
N Endereo MAC Classifica as entradas por Endereo MAC. Este o endereo fsico da estao de
ameaa de RF.
Tipo Classifica as entradas pelo tipo de sinal sem fio recebido da estao de ameaa.
Fornecedor Classifica as entradas por fornecedor. Este o fabricante da estao de ameaa
(determinado pelo Endereo MAC).
RSSI Classifica as entradas pela intensidade do sinal recebido conforme relatado pelo
SonicPoint. Essa entrada, juntamente com a entrada de "sensor", pode ser til na
triangulao da posio fsica real do dispositivo de ameaa de RF.
Taxa Classifica as entradas por taxa de transferncia (Mbps) da estao de ameaa.
Criptografar Classifica as entradas por criptografia de sinal sem fio na estao de ameaa,
"Nenhum" ou "Criptografado".
Ameaa de RF Classifica as entradas por ameaa de RF (ocorre na hora mais recente).
Etapa 3 Na guia Configuraes, clique na caixa de seleo Permitir Monitoramento por RF.
Em seguida, para garantir que todos os SonicPoints esto atualizados com o recurso de
Monitoramento por RF habilitado, necessrio excluir todos os SonicPoints atuais da tabela
SonicPoint e sincronizar novamente esses SonicPoints usando o perfil recm-criado.
Etapa 4 Clique no boto Excluir tudo no canto inferior direito da tabela SonicPoints.
Etapa 5 Clique no boto Sincronizar SonicPoints na parte superior da pgina.
Seus SonicPoints sero reinicializados agora com o recurso de Monitoramento por RF
habilitado. Seja paciente, pois o processo de reinicializar pode levar vrios minutos.
Etapa 1 Navegue at SonicPoint > Monitoramento por RF. Os tipos de ameaas de RF so exibidos,
com uma caixa de seleo ao lado de cada um.
Dica Para obter uma lista completa dos tipos de Ameaa de RF e suas descries, consulte
Tabela 6 na pgina 532 deste documento.
Etapa 1 Na pgina SonicPoint > Monitoramento por RF, navegue at a seoEstaes de ameaas
de RF descobertas.
Etapa 2 Clique no cone correspondente estao de ameaa que deseja adicionar lista de
observao.
Etapa 3 Uma tela de confirmao ser exibida. Clique em OK para adicionar a estao lista de
observao.
Etapa 4 Se voc adicionou acidentalmente uma estao lista de observao, ou de outra forma
gostaria que uma estao fosse removida da lista, clique no cone correspondente
estao de ameaa que deseja remover.
Timesaver Para essa seo em particular (e como um bom hbito em geral), talvez seja til manter um
registro dos locais e dos Endereos MAC de seus dispositivos SonicPoint.
Etapa 1 Navegue para a pgina SonicPoint > Monitoramento por RF na Interface de Gerenciamento.
Etapa 2 Na tabela Estaes de Ameaa de RF descobertas, localize o Sensor para o SonicPoint que
est detectando o ameaa de RF alvo e registre o nmero.
Etapa 3 Navegue at SonicPoint > SonicPoints.
Etapa 4 Na tabela SonicPoints, localize o SonicPoint que corresponde ao nmero do Sensor que voc
registrou na Etapa 2.
Etapa 5 Registre o Endereo MAC para este SonicPoint e us-o para encontrar o local fsico do
SonicPoint.
A ameaa de RF provavelmente est no local que atendido por este SonicPoint.
SonicPoint
SonicPoint
sensor: 0425A6
SonicPoint
SonicPoint
sensor: 123502
Dica importante lembrar que paredes servem como barreiras para os sinais sem fio. Enquanto
que um sinal Rssi muito fraco pode significar que a ameaa de RF fica muito longe do
SonicPoint, tambm pode indicar uma ameaa localizada perto, mas fora da sala ou prdio.
Etapa 1 Navegue para a pgina SonicPoint > Monitoramento por RF na Interface de Gerenciamento.
Etapa 2 Na tabela Estaes de Ameaa de RF Descobertas, localize o Sensor e Rssi para o
SonicPoint que est detectando a ameaa de RF alvo e registre esses nmeros.
Etapa 3 V para a pgina SonicPoint > SonicPoints.
Etapa 4 Na tabela SonicPoints, localize o SonicPoint que corresponde ao nmero do Sensor que voc
registrou na Etapa 2.
Etapa 5 Registre o Endereo MAC para este SonicPoint e us-o para encontrar o local fsico do
SonicPoint.
Um Rssi alto geralmente indica uma ameaa de RF que est mais perto do SonicPoint. Um
Rssi baixo pode indicar obstruo ou uma ameaa de RF mais distante.
Nota A RFA do SonicWALL pode analisar os pontos de acesso de outros fabricantes e incluir
essas estatsticas nos dados RFA desde que pelo menos um ponto de acesso SonicPoint
esteja presente e seja gerenciado atravs do firewall.
O ambiente RF
O IEEE 802.11 mantm que os dispositivos usam bandas ISM 2,4 GHz e 5 GHz, com a maioria
dos atuais implantados em dispositivos sem fio usando a banda de 2,4 GHz. Por cada canal
ocupar um amplo espectro de 20MHz, apenas trs canais de 11 disponveis no esto
sobrepostos. Nos Estados Unidos, canais 1, 6 e 11 so no-sobrepostos. Na maioria dos
casos, esses so os trs canais usados durante a implantao de um grande nmero de
SonicPoints.
Toda a banda de 2,4 GHz dividida em trs canais separados, 1, 6 e 11. Para alcanar esse
cenrio ideal, dois fatores so necessrios: ajuste de energia e alocao de canais. Na maioria
dos cenrios, melhor atribuir os dispositivos SonicPoint vizinhos a canais diferentes. A
potncia de transmisso do SonicPoint deve tambm ser observada cuidadosamente, uma vez
que precisa ser suficientemente forte para os prximos os clientes se conectarem mas no to
potente para causar interferncia com outros SonicPoints que operam no mesmo canal.
H duas barras coloridas para cada canal. O nmero na parte superior de cada barra de cor
indica o nmero de SonicPoints que detectam o problema especfico no canal. Os SonicPoints
executam uma varredura de IDS em canais disponveis aps a inicializao e a RFA analisa
esses resultados para decidir sobre problemas para cada canal da varredura.
Por exemplo: se houver 10 SonicPoints conectados e 6 desses decidirem que o canal 11 est
sobrecarregado, o nmero na parte superior da barra de cores roxo ser 6; se 8 SonicPoints
decidirem que o canal 6 altamente interferido, o nmero na parte superior da barra de cores
ciano ser 8. Zero ser mostrado para canais sem problemas.
Nota Canais 12, 13 e 14 so exibidos, mas em alguns pases esses canais no so usados.
Esses canais ainda so monitorados, no entanto, porque possvel que um cracker sem fio
configure um jammer sem fio no canal 12, 13 ou 14 e inicie um ataque de negao de
servio para reduzir canais.
Compreendendo a Pontuao de RF
A pontuao de RF um nmero calculado em uma escala de 1 a 10 usada para representar
a condio geral de um canal. Quanto maior a pontuao, melhor o ambiente RF. A
pontuao baixa indica que necessria ateno do administrador.
Nota Esse recurso depende do conhecimento de qual canal o SonicPoint est operando. Se o
nmero de canal for desconhecido, a Pontuao de RF vai no estar disponvel.
Informaes sobre cada descoberta de PA inclui: SSID, MAC, intensidade do sinal e canal.
Dois valores so mostrados para intensidade do sinal: valor de dBm e porcentagem.
Informaes sobre cada descoberta de PA inclui: SSID, MAC, intensidade do sinal e canal.
Dois valores so mostrados para intensidade do sinal: valor de dBm e porcentagem.
M0
ALARM
BYPASS
STATUS
TEST
lan
wlan
act link
act
link
lan
cons
ole
Wireless Clients PC
WLAN WAN
Consideraes de implantao
Ao implantar o recurso de SonicPoint FairNet, considere o seguinte:
Voc deve ter um PC ou laptop com um controlador de interface de rede sem fio
IEEE802.11b/g/n.
Plataformas suportadas
O recurso SonicPoint FairNet atualmente suportado nos seguintes modelos de dispositivo:
SuperMassive 9200
SuperMassive 9400
SuperMassive 9600
NSA 2600
NSA 3600
NSA 4600
NSA 5600
NSA 6600
Nome Descrio
Boto Aceitar Aplica as definies de configurao mais recentes.
Boto Cancelar Cancela quaisquer alteraes nas definies de configurao.
Caixa de seleo Habilitar Ativa o recurso SonicPoint FairNet.
FairNet
Caixa de seleo Polticas Marca ou desmarca todas as polticas na tabela Polticas de FairNet. Tambm
FairNet possvel selecionar polticas individuais na lista de polticas.
Coluna de direo Exibe a direo de cada poltica. Essas direes incluem:
Uplink
Downlink
Ambas
Coluna de IP inicial Exibe o ponto inicial para o intervalo de endereo IP.
Coluna de IP final Exibe o ponto final para o intervalo de endereo IP.
Coluna de Taxa mnima A largura de banda mnima a qual os clientes esto garantidos. A taxa mnima
(kbps) de 1 kbps.
Coluna de Taxa mxima A largura de banda mxima a qual os clientes esto garantidos. A taxa
(kbps) mxima 54.000 kbps.
Coluna de Interface Exibe a interface a que se aplica a poltica SonicPoint FairNet.
Esta a interface no firewall de gerenciamento a qual o dispositivo SonicPoint
est conectado.
Caixa de seleo Habilitar Ativa a poltica SonicPoint FairNet selecionada.
Boto Configurar Edita polticas SonicPoint FairNet existentes.
Nome Descrio
Caixa de seleo Ativa a poltica FairNet. Esta opo est ativada por padro.
Ativar poltica
Menu suspenso de Selecione se os limites de largura de banda para a poltica se aplicam aos clientes
direo que esto fazendo upload do contedo, download de contedo, ou ambas direes.
Ambas as direes
Downlink (AP para cliente)
Uplink (Cliente para AP)
Campo de texto IP Digite o endereo IP inicial a que a poltica FairNet aplica-se. O endereo IP deve
inicial estar em uma sub-rede configurada para uma interface WLAN.
Campo de texto IP Digite o endereo IP final a que a poltica FairNet aplica-se. O endereo IP deve
final estar em uma sub-rede configurada para uma interface WLAN.
Campo de Texto do Insira a largura de banda mnima a qual os clientes esto garantidos.
Taxa mnima (kbps)
Campo de Texto do Insira a largura de banda mxima a qual os clientes esto garantidos.
Taxa mxima (kbps)
Menu suspenso de Seleciona a interface que a poltica SonicPoint FairNet aplicada.
Interface Nota: Esta a interface no firewall de gerenciamento a qual o dispositivo SonicPoint
est conectado.
Boto OK Adiciona a poltica lista de Polticas FairNet.
Boto Cancelar Cancela as informaes inseridas na janela pop-up "Poltica FairNet".
Etapa 3 Certifique-se de que a caixa de seleo Ativar poltica est selecionada. Esta caixa de
seleo est habilitada por padro.
Etapa 4 Clique no menu suspenso Direo e, em seguida, selecione Ambas direes. Isso aplica a
poltica aos clientes que fazem upload de contedo e download de contedo.
Etapa 5 Clique na caixa de texto IP inicial e, em seguida, digite o endereo IP inicial (172.16.29.100)
para a poltica FairNet.
Etapa 6 Clique na caixa de texto IP final e, em seguida, digite o endereo IP final (172.16.29.110) para
a poltica FairNet.
Etapa 7 Clique na caixa de texto Taxa mnima (kbps) e insira a largura de banda mnima (1000 Kbps)
para a poltica FairNet.
Etapa 8 Clique na caixa de texto Taxa mxima (kbps) e insira a largura de banda mxima (2000 Kbps)
para a poltica FairNet.
Etapa 9 Clique no menu suspenso Interface e selecione a interface (X2) que o dispositivo SonicPoint
est conectado.
Etapa 10 Clique no boto OK.
Firewall
| 553
554 | Guia do Administrador do SonicOS 6.2
Captulo 40
Configurar regras de acesso do firewall
As regras de acesso so ferramentas de gerenciamento de rede que permitem que voc defina
polticas de acesso de ingresso e egresso, configure a autenticao do usurio e habilite o
gerenciamento remoto do dispositivo de segurana Dell SonicWALL.
Cuidado A capacidade de definio de regras de acesso rede uma ferramenta muito eficiente. O
uso de regras de acesso personalizadas pode desabilitar a proteo de firewall ou bloquear
todo o acesso Internet. Tenha cuidado ao criar ou excluir regras de acesso rede.
As Regras de acesso podem ser configuradas para o IPv6 de forma semelhante s VPNs do
IPv4, depois de selecionar a opo IPv6 no boto de opo Exibir verso do IP localizado na
parte superior esquerda da pgina Firewall > Regras de acesso.
Dica Voc tambm pode visualizar as regras de acesso por zonas. Use as caixas de seleo de
opo nas colunas Da zona e Para a zona. Selecione LAN, WAN, VPN, TUDO na coluna
Da zona. Em seguida, selecione LAN, WAN, VPN, TUDO na coluna Para a zona. Clique
em OK para exibir as regras de acesso.
Cada visualizao exibe uma tabela de regras de acesso rede definidas. Por exemplo, se
selecionar Todas as regras, sero exibidas todas as regras de acesso rede de todas as
zonas.
Etapa 1 Clique em Adicionar na parte inferior da tabela Regras de acesso. A janela Adicionar regra
exibida.
Etapa 2 Na guia Geral, selecione Permitir | Negar | Descartar na lista Ao para permitir ou bloquear
o trfego IP.
Etapa 3 Selecione de/para zonas nos menus De zona e Para Zona.
Etapa 4 Selecione o servio ou o grupo de servios afetados pela regra de acesso na lista Servio. O
servio Padro engloba todos os servios IP.
Se o servio no estiver listado, voc deve definir o servio na janela Adicionar servio.
Selecione Criar novo servio ou Criar novo grupo para exibir a janela Adicionar servio ou
Adicionar grupo de servios.
Etapa 5 Selecione a origem do trfego afetado pela regra de acesso na lista Origem. Selecionar Criar
nova rede exibe a janela Adicionar objeto de endereo.
Etapa 6 Se voc quiser definir os endereos IP de origem que so afetados pela regra de acesso, como
restringir o acesso de certos usurios Internet, digite os endereos IP iniciais da faixa de
endereos no campo Incio da faixa de endereos e o endereo IP final no campo Fim da
faixa de endereos. Para incluir todos os endereos IP, digite * no campo Incio da faixa de
endereos.
Etapa 7 Selecione o destino do trfego afetado pela regra de acesso na lista Origem. Selecionar Criar
nova rede exibir a janela Adicionar objeto de endereo.
Etapa 13 Se desejar que a regra de acesso termine aps um perodo de inatividade do TCP, defina o
tempo, em minutos, no campo Tempo limite de inatividade da conexo TCP (minutos). O
valor padro de 5 minutos.
Etapa 14 Se desejar que a regra de acesso termine aps um perodo de inatividade do UDP, defina o
tempo, em minutos, no campo Tempo limite de inatividade da conexo UDP (minutos). O
valor padro de 30 minutos.
Etapa 15 Especifique o nmero de conexes permitidas como uma porcentagem do nmero mximo de
conexes permitidas pelo dispositivo de segurana Dell SonicWALL no campo Nmero de
conexes permitidas (% de conexes mximas). Consulte Viso geral do limite de conexo
Dica Embora possam ser criadas regras de acesso personalizadas que permitam o trfego IP de
ingresso, o dispositivo de segurana Dell SonicWALL no desabilita a proteo contra
ataques de DoS, como os ataques de inundao SYN e ping da morte.
Alm da atenuao da propagao de worms e vrus, o limite de conexo pode ser usado para
melhorar outros tipos de problemas de consumo de recursos do cache de conexo, como
aqueles causados por hosts internos inflexveis que executam software ponto a ponto
(assumindo que o IPS est configurado para permitir esses servios) ou hosts internos ou
externos que usam geradores de pacotes ou ferramentas de verificao.
Finalmente, o limite de conexo pode ser usado para proteger servidores publicamente
disponveis (como servidores da Web) limitando o nmero de conexes legtimas de entrada
permitidas para o servidor (ou seja, para proteger o servidor contra o efeito slashdot). Isso
Habilitar o ping
Esta seo fornece um exemplo de configurao de uma regra de acesso para permitir que
dispositivos na DMZ enviem solicitaes de ping e recebam respostas de ping a partir de
dispositivos na LAN. Por padro, o seu dispositivo de segurana de rede Dell SonicWALL no
permite trfego iniciado na DMZ para alcanar a LAN. Depois de colocar uma das suas
interfaces na zona DMZ, na janela Firewall > Regras de acesso realize as seguintes etapas
para configurar uma regra de acesso que permita que dispositivos na DMZ enviem solicitaes
de ping e recebam respostas de ping a partir de dispositivos na LAN.
Esta seo fornece um exemplo de configurao de uma regra de acesso para bloquear o
acesso LAN em servidores NNTP na Internet durante o horrio de expediente.
Realize as seguintes etapas para configurar uma regra de acesso que bloqueia o acesso LAN
em servidores NNTP com base em uma programao:
Nota As regras de acesso s podem ser definidas para gerenciamento entre zonas. O
gerenciamento entre zonas controlado por interface atravs de configuraes na
configurao da interface.
Para criar uma regra que permite o acesso ao IP primrio de WAN a partir da zona da LAN:
Etapa 1 Na pgina Firewall > Regras de acesso, exiba as regras de acesso LAN > WAN.
Etapa 2 Clique em Adicionar para abrir a janela Adicionar.
Etapa 3 Selecione Permitir nas configuraes de Ao.
Etapa 4 Selecione um dos seguintes servios no menu Servio:
HTTP
HTTPS
Gerenciamento SSH
Ping
SNMP
Etapa 5 Selecione Qualquer no menu Origem.
Etapa 6 Selecione um grupo de endereos ou objeto de endereos que contenha um ou mais
endereos IP de WAN explcitos no menu Destino.
Etapa 7 Selecione o usurio ou o grupo para atribuir acesso no menu Usurios permitidos.
Etapa 8 Selecione o cronograma no menu Cronograma.
Etapa 9 Introduza quaisquer comentrios no campo Comentrio.
Etapa 10 Clique em Adicionar.
Etapa 1 No Dispositivo de segurana da Dell SonicWALL, acesse Firewall > Objetos de largura de
banda.
Etapa 2 Clique no boto Adicionar para criar um novo Objeto de largura de banda.
ou
Clique no boto Configurar do Objeto de largura de banda que deseja alterar.
Etapa 8 Na caixa Prioridade de trfego, digite a prioridade que este objeto de largura de banda
fornecer a uma classe de trfego. A prioridade mais alta 0. A prioridade mais baixa 7.
Etapa 9 Quando vrias classes de trfego competem por largura de banda compartilhada, fornecida
precedncia s classes com prioridade mais elevada.
Etapa 10 Na caixa Ao de violao, digite a ao que este objeto de largura de banda fornecer
(atraso ou descarte) quando o trfego excede a configurao da largura de banda mxima.
Atraso especifica que os pacotes de trfego em excesso sero enfileirados e enviados
quando for possvel.
Descarte especifica que os pacotes de trfego em excesso sero descartados
imediatamente.
Etapa 11 Na caixa Comentrio, digite um comentrio ou uma descrio para este objeto de largura de
banda.
Etapa 12 Selecione a guia Elementar.
Controle de aplicativos
Esta seo descreve como configurar e gerenciar o recurso Controle de aplicativos no
SonicOS. Esta seo contm as seguintes subsees:
Viso geral do Controle de aplicativos na pgina 573
Licenciar o Controle de aplicativos na pgina 606
Firewall > Regras de acesso na pgina 619
Firewall > Controle de aplicativos avanado na pgina 609
Firewall > Objetos de correspondncia na pgina 627
Firewall > Objetos de ao na pgina 631
Firewall > Objetos de endereos na pgina 632
Firewall > Objetos de servios na pgina 632
Firewall > Objetos de endereo de e-mail na pgina 633
Verificar configurao do controle de aplicativos na pgina 634
Casos de uso do controle de aplicativos na pgina 641
Glossrio na pgina 667
Nota Todas as prioridades so exibidas (Em tempo real Mais baixa), independentemente de
terem ou no sido configuradas. Consulte a pgina Configuraes de firewall > BWM para
determinar quais as prioridades habilitadas. Se o Tipo de gerenciamento de largura de
banda estiver configurado para Global e voc selecionar uma Prioridade de largura de
banda que no esteja habilitada, o trfego ser automaticamente mapeado para a
prioridade de nvel 4 (Mdio).
Nota A largura de banda garantida para todos os nveis de BWM combinado no deve exceder
100%.
Para configurar o espelhamento, consulte a guia Espelho e selecione uma interface para a
qual deseja enviar o trfego espelhado no campo Pacotes filtrados do espelho para
interface, em Configuraes locais de espelho. Voc tambm pode configurar uma das
configuraes remotas. Isso permite espelhar os pacotes do aplicativo para outro computador
e armazenar tudo no disco rgido. Por exemplo, voc pode capturar o trfego de todos do MSN
Instant Messenger e ler as conversas.
A pgina Painel > Monitor de AppFlow fornece um boto Criar regra. Se, ao visualizar o
monitor de AppFlow, voc visualizar um aplicativo que parece suspeito ou que est usando
quantidades excessivas de largura de banda, voc pode simplesmente selecionar o aplicativo
na lista e, em seguida, clicar em Criar regra e configurar uma poltica de controle de aplicativos
para ele imediatamente. Voc tambm pode selecionar vrios aplicativos e, em seguida, usar
a opo Criar regra para configurar uma poltica que se aplica a todos eles.
A Figura 17 mostra a janela Criar regra exibida na pgina Painel > Monitor de AppFlow.
Voc pode usar o Controle de aplicativos para criar polticas personalizadas de regras de
aplicativos para controlar aspectos especficos de trfego em sua rede. Uma poltica um
conjunto de objetos de correspondncia, propriedades e aes de preveno especficas.
Quando voc cria uma poltica, primeiro cria um objeto de correspondncia e, em seguida,
seleciona e personaliza opcionalmente uma ao, referenciando-os ao criar a poltica.
Tipos de Correspon
correspondn dncia Propriedades
Tipo de objeto Descrio cia negativa adicionais
ID de classe de ActiveX ID de classe de um Exato No Nenhum
componente Active-X.
Por exemplo, a ID de
classe de um
componente Gator
Active-X "c1fb8842-
5281-45ce-a271-
8fd5f117ba5f".
Lista de categorias de Permite a N/D No Nenhum
aplicativo especificao de
categorias de
aplicativos, como
Multimdia, P2P ou
Redes sociais
Lista de aplicativos Permite a N/D No Nenhum
especificao de
aplicativos individuais
dentro da categoria de
aplicativos que voc
selecionar
Lista de assinatura de Permite a N/D No Nenhum
aplicativo especificao de
assinaturas individuais
para o aplicativo e a
categoria que voc
selecionar
Voc pode ver os tipos de objetos de correspondncia disponveis na lista suspensa na tela
Configuraes do objeto de correspondncia.
Na tela Objetos de correspondncia, voc poder adicionar vrias entradas para criar uma lista
de elementos de contedo para corresponder. Todo o contedo que voc fornea em um objeto
de correspondncia sensvel a maisculas e minsculas por motivos de correspondncia.
Uma representao hexadecimal usada para corresponder contedo binrio. possvel usar
um editor hexadecimal ou um analisador de protocolo de rede como o Wireshark para obter o
formato hexadecimal de arquivos binrios. Para obter mais informaes sobre essas
ferramentas, consulte as seguintes sees:
Wireshark na pgina 634
Editor hexadecimal na pgina 637
Expresses comuns
Voc pode configurar as expresses comuns em determinados tipos de objetos de
correspondncia para usar em polticas de regras de aplicativos. A pgina Configuraes do
objeto de correspondncia permite configurar expresses comuns personalizadas ou
selecionar expresses comuns predefinidas. A implementao da Dell SonicWALL suporta a
correspondncia de expresses comuns no trfego de rede sem ser necessria nova
montagem. Isso significa que nenhum armazenamento em buffer do fluxo de entrada
necessrio e que realizada a correspondncia de padres em limites de pacotes.
As polticas que usam expresses regulares iro corresponder primeira ocorrncia do padro
no trfego de rede. Isto habilita as aes em correspondncias assim que possvel. Uma vez
que a correspondncia realizada no trfego de rede e no apenas no texto legvel, o alfabeto
de correspondncia inclui o conjunto de caracteres ASCII completo 256 caracteres.
As expresses comuns populares primitivas como "." (o curinga de qualquer caractere), "*",
"?", "+", contagem de repetio, alternativa e negao so suportadas. Embora a sintaxe e a
semntica sejam semelhantes s implementaes de expresses comuns populares, como
Perl, vim e outros, existem algumas diferenas mnimas. Por exemplo, os operadores de incio
(^) e de fim de linha ($) no so suportados. Alm disso, "\z" se refere ao conjunto de dgitos
diferentes de zero [19], no no final da cadeia de caracteres como em Perl. Para obter
informaes sobre sintaxe, consulte Sintaxe de expresses comuns na pgina 596.
Uma diferena notvel com o mecanismo de expresses comuns Perl a falta de referncia
inversa e suporte substituio. Estes recursos so, de fato, externos s expresses
regulares e no podem ser realizados em tempo linear com relao aos dados que esto sendo
analisados. Portanto, para manter o desempenho mximo, eles no so suportados. A
funcionalidade de substituio ou converso no suportada porque o trfego de rede s
inspecionado, no modificado.
Nota Durante uma compilao demorada, a sesso de gerenciamento do dispositivo poder ficar
temporariamente sem resposta, enquanto o trfego de rede continua a passar atravs do
dispositivo.
A criao do AFD para expresses com grandes contadores consome mais tempo e memria.
Essas expresses tm mais probabilidade de serem rejeitadas do que aquelas que utilizam
contadores indefinidos como os operadores "*" e "+".
As expresses que contm um grande nmero de caracteres em vez de um intervalo ou uma
classe de caracteres tambm podem ser rejeitadas. Isto , a expresso "(a|b|c|d|. . .|
z)" para especificar o conjunto de todas as letras minsculas tem mais probabilidade de ser
rejeitada do que a classe de caracteres equivalente "\l". Quando utilizado um intervalo como
"[a-z]", ele ser convertido internamente para "\l". No entanto, um intervalo como
"[d-y]" ou "[0-Z]" no pode ser convertido para nenhuma classe de caracteres, longo e
poder causar a rejeio da expresso que contm esse fragmento.
Sempre que uma expresso rejeitada, o usurio poder reescrev-la de uma forma mais
eficiente para evitar a rejeio usando algumas das dicas acima. Para obter informaes sobre
sintaxe, consulte Sintaxe de expresses comuns na pgina 596. Para um exemplo sobre como
gravar uma expresso comum personalizada, consulte Criar uma expresso comum em um
objeto de correspondncia na pgina 641.
Tabela 2: Composies
Representao Definio
xy x seguido de y
x|y x ou y
(x) Equivalente a x. Pode ser usada para substituir precedncias.
Tabela 3: Repeties
Representao Definio
x* Zero ou mais x
x? Zero ou um x
x+ Um ou mais x
x{n, m} Mnimo de n e mximo de x sequencial de m. Todas as repeties numeradas so
expandidas. Portanto, tornar m exageradamente grande insensato.
x{n} Exatamente x de n
x{n,} Mnimo de x de n
x{,n} Mximo de x de n
Algumas das outras classes de caracteres populares podem ser criadas a partir dos primitivos
acima. As classes a seguir no tm suas prprias abreviaes devido falta de um bom
mnemnico para qualquer um dos outros caracteres usados para elas.
Tabela 8: Modificadores
Representao Definio
/i No sensveis a maisculas e minsculas
/s Trata a entrada como linha nica. Tambm podem ser considerados modo de
fluxo. Isto , "." corresponde tambm a "\n".
Correspondncia negativa
A correspondncia negativa fornece uma forma alternativa de especificar que contedo deve
ser bloqueado. possvel habilitar a correspondncia negativa em um objeto de
correspondncia quando desejar bloquear tudo exceto um tipo de contedo em particular. Ao
usar o objeto em uma poltica, a poltica executar aes baseadas na ausncia do contedo
especificado no objeto de correspondncia. As vrias entradas de lista em um objeto de
correspondncia negativa so combinadas usando o E lgico, significando que a ao de
poltica executada somente quando todas as entradas de correspondncia negativa
especificadas so combinadas.
Embora todas as polticas de Regras de aplicativos sejam polticas de NEGAO, possvel
simular uma poltica de PERMISSO usando a correspondncia negativa. Por exemplo,
possvel permitir anexos de e-mail .txt e bloquear anexos de todos os outros tipos de arquivo.
tambm possvel permitir alguns tipos e bloquear todos os outros.
Nem todos os tipos de objeto de correspondncia podem usar correspondncia negativa. Para
aqueles que podem, ser exibida a caixa de seleo Habilitar correspondncia negativa na
tela Configuraes do objeto de correspondncia.
A pgina Firewall > Objetos de correspondncia tambm contm o boto Adicionar objeto
da lista de aplicativos, o qual que abre a tela Criar objeto de correspondncia. Esta tela
contm duas guias:
Aplicativo voc pode criar um objeto de filtro de aplicativo nessa guia. Esta tela permite
a seleo da categoria do aplicativo, do nvel de ameaa, do tipo de tecnologia e dos
atributos. Aps realizadas as selees, exibida a lista de aplicativos que corresponde a
esses critrios. A guia Aplicativo fornece outra forma de criar um objeto de
correspondncia do tipo de lista de aplicativos.
Categoria voc pode criar um objeto de filtro de categoria nessa guia. fornecida uma
lista de categorias de aplicativo e suas descries. A pgina Categoria oferece outra forma
para criar um objeto de correspondncia do tipo de lista de categorias de aplicativo.
Filtros de aplicativos
A guia Aplicativo fornece uma lista de aplicativos para seleo. Voc pode controlar quais
aplicativos so mostrados selecionando uma ou mais categorias de aplicativos, nveis de
ameaa e tecnologias. Voc tambm pode pesquisar uma palavra-chave em todos os nomes
de aplicativos digitando-a no campo Pesquisar, junto do canto superior direito da tela. Por
exemplo, digite "bittorrent" no campo Pesquisar e clique no cone Pesquisar para encontrar
vrios aplicativos com "bittorrent" (no diferenciam maisculas de minsculas) no nome.
Quando a lista de aplicativos reduzida para uma lista que se concentra em suas preferncias,
voc pode selecionar os aplicativos individuais para seu filtro clicando no cone de Mais junto
deles e depois salvando suas selees como um objeto de filtro de aplicativo com um nome
personalizado ou um nome gerado automaticamente. A imagem abaixo mostra a tela com
todas as categorias, todos os nveis de ameaa e todas as tecnologias selecionadas, mas
antes de quaisquer aplicativos individuais terem sido escolhidos.
Quando terminar a seleo dos aplicativos a incluir, voc pode digitar um nome para o objeto
no campo Nome do objeto de correspondncia (primeiro desmarque a caixa de seleo
Gerar nome do objeto de correspondncia automaticamente) e clicar no boto Salvar
objeto de correspondncia de aplicativo. Voc ver o nome do objeto listado na pgina
Firewall > Objetos de correspondncia com um tipo de objeto da Lista de aplicativos. Este
objeto pode ser selecionado ao criar uma poltica de regras de aplicativos.
Os objetos de correspondncia criados usando a opo Gerar nome do objeto de
correspondncia automaticamente exibem um til (~) como primeiro caractere do nome do
objeto.
Filtros de categoria
A guia Categoria fornece uma lista de categorias de aplicativos para seleo. Voc pode
selecionar qualquer combinao de categorias e, em seguida, salvar as selees como um
objeto de filtro de categoria com um nome personalizado. A imagem abaixo mostra a tela com
a descrio da categoria de mensagens instantneas exibida.
Objetos de ao
Para obter mais informaes sobre as aes de BWM, consulte Aes usando o
gerenciamento de largura de banda na pgina 578.
As seguintes aes personalizveis so exibidas na janela Adicionar/editar objeto de ao
quando voc clica em Adicionar novo objeto de ao na pgina Firewall > Objetos de ao:
Bloquear e-mail de SMTP Enviar resposta de erro
Desabilitar anexo de e-mail Adicionar texto
E-mail Adicionar texto
Responder a notificao FTP
Bloquear pgina HTTP
Redirecionar HTTP
Gerenciamento de largura de banda
Consulte a tabela abaixo para obter descries sobre esses tipos de ao.
Predefinida ou
Tipo de ao Descrio personalizada
BWM Global em tempo real Gerencia largura de banda de entrada e sada, pode ser Predefinida
configurada para largura de banda garantida em diferentes
quantidades e uso de largura de banda mximo/estouro para
at 100% do total de largura de banda disponvel e define
uma prioridade de zero.
BWM Global mais alto Gerencia largura de banda de entrada e sada, pode ser Predefinida
configurada para largura de banda garantida em diferentes
quantidades e uso de largura de banda mximo/estouro para
at 100% do total de largura de banda disponvel e define
uma prioridade de um.
BWM Global alto Gerencia largura de banda de entrada e sada, pode ser Predefinida
configurada para largura de banda garantida em diferentes
quantidades (o padro de 30%) e uso de largura de banda
mximo/estouro para at 100% do total de largura de banda
disponvel e define uma prioridade de dois.
BWM Global mdio/alto Gerencia largura de banda de entrada e sada, pode ser Predefinida
configurada para largura de banda garantida em diferentes
quantidades e uso de largura de banda mximo/estouro para
at 100% do total de largura de banda disponvel e define
uma prioridade de trs.
BWM Global mdio Gerencia largura de banda de entrada e sada, pode ser Predefinida
configurada para largura de banda garantida em diferentes
quantidades (o padro de 50%) e uso de largura de banda
mximo/estouro para at 100% do total de largura de banda
disponvel e define uma prioridade de quatro.
BWM Global mdio/baixo Gerencia largura de banda de entrada e sada, pode ser Predefinida
configurada para largura de banda garantida em diferentes
quantidades e uso de largura de banda mximo/estouro para
at 100% do total de largura de banda disponvel e define
uma prioridade de cinco.
Uma configurao de prioridade de zero a prioridade mais alta. A largura de banda garantida
para todos os nveis de BWM combinado no deve exceder 100%.
Depois de definir o grupo no objeto do endereo de e-mail, voc pode criar uma poltica de
cliente SMTP que inclui ou exclui o grupo.
Uma verso de avaliao gratuita de 30 dias tambm est disponvel para os outros servios
de segurana no pacote, mas no automaticamente habilitada tal como acontece com a
visualizao de aplicativos e o controle de aplicativos. Voc pode iniciar as verses de
avaliao gratuitas adicionais nas pginas individuais de Servios de segurana no SonicOS
ou no MySonicWALL.
Assim que o recurso Visualizao de aplicativos for habilitado manualmente na pgina Log >
Relatrios de fluxo (consulte a figura abaixo), voc pode ver em tempo real o trfego de
aplicativos na pgina Painel > Monitor em tempo real e a atividade de aplicativos em outras
pginas do Painel relativamente a fluxos identificados/classificados do banco de dados de
assinatura do aplicativo do firewall.
Para criar polticas usando regras de aplicativos (includas com a licena de controle de
aplicativos), selecione Habilitar regras de aplicativos na pgina Firewall > Regras de
aplicativos. Veja a figura abaixo.
Quando a alta disponibilidade estiver configurada entre dois firewalls, os firewalls podem
compartilhar a licena de servios de segurana. Para usar este recurso, voc deve registrar
os firewalls em MySonicWALL como produtos associados. Ambos os dispositivos devem ser
do mesmo modelo de dispositivo de segurana de rede Dell SonicWALL.
Nota Para um par de alta disponibilidade, mesmo tendo registrado anteriormente seus
dispositivos em MySonicWALL, voc deve registrar individualmente os dispositivos
principal e secundrio a partir da interface de gerenciamento do SonicOS enquanto estiver
conectado ao endereo IP de gerenciamento individual de cada dispositivo. Isso permite
que a unidade secundria realize a sincronizao com o servidor de licena de firewall e
compartilhe licenas com o dispositivo principal associado. Se o acesso Internet for
restringido, voc poder aplicar manualmente as licenas compartilhadas para ambos os
dispositivos.
Etapa 1 Para habilitar o controle de aplicativos globalmente, marque a caixa de seleo Habilitar
controle de aplicativos.
Etapa 2 Para habilitar o controle de aplicativos em uma zona de rede, navegue at a pgina Rede >
Zonas e clique no cone Configurar da zona desejada.
Etapa 4 Voc pode configurar uma lista de excluso global para polticas do controle de aplicativos na
pgina Firewall > Controle de aplicativos avanado. Para configurar a lista de excluso, clique
no boto Definir as configuraes do controle de aplicativos. A janela Lista de excluso do
controle de aplicativos ser aberta.
Etapa 5 Para usar a lista de excluso de IPS que pode ser configurada na pgina Servios de
segurana > Preveno de intruso, selecione o boto de opo Usar lista de excluso de
IPS.
Etapa 6 Para usar um objeto de endereo para a lista de excluso, selecione o boto de opo Usar
objeto de endereo de excluso do Controle de aplicativos e, em seguida, selecione um
objeto de endereo na lista suspensa.
Etapa 4 Para bloquear aplicativos nesta categoria, selecione Habilitar na lista suspensa Bloquear.
Etapa 5 Para criar uma entrada de log quando os aplicativos nessa categoria forem detectados,
selecione Habilitar na lista suspensa Log.
Etapa 6 Para direcionar as aes selecionadas de bloqueio ou log para um usurio ou grupo de
usurios especfico, selecione um grupo de usurios ou um usurio individual na lista
suspensa Usurios/grupos includos. Selecione Todos para aplicar a poltica a todos os
usurios.
Etapa 7 Para excluir um usurio ou grupo de usurios especfico das aes selecionadas de bloqueio
ou log, selecione um grupo de usurios ou um usurio individual na lista suspensa Usurios/
grupos excludos. Selecione Nenhum para aplicar a poltica a todos os usurios.
Etapa 8 Para direcionar as aes selecionadas de bloqueio ou log para um endereo IP ou um intervalo
de endereos especfico, selecione um grupo de endereos ou um objeto de endereo na lista
suspensa Intervalo de endereos IP includo. Selecione Todos para aplicar a poltica a todos
os endereos IP.
Etapa 9 Para excluir um endereo IP ou um intervalo de endereos especfico das aes selecionadas
de bloqueio ou log, selecione um grupo de endereos ou um objeto de endereo na lista
suspensa Intervalo de endereos IP excludo. Selecione Nenhum para aplicar a poltica a
todos os endereos IP.
Etapa 10 Para habilitar esta poltica durante dias da semana e horas do dia especficos, selecione um
dos seguintes cronogramas na lista suspensa Cronograma:
Sempre ativo Habilitar a poltica em todos os momentos.
Horrio de trabalho Habilitar a poltica de segunda a sexta-feira, das 8h00 s 17h00.
Este mtodo de configurao permite que voc crie regras de polticas especficas para um
aplicativo nico se voc desejar impor as configuraes de poltica somente nas assinaturas
desse aplicativo sem afetar outros aplicativos na mesma categoria.
Para configurar uma poltica de controle de aplicativos para um aplicativo especfico:
Etapa 4 Clique no boto Configurar para abrir a janela Configuraes do aplicativo de controle de
aplicativos do aplicativo selecionado. Os campos no topo da janela existem no podem ser
editados. Esses campos mostram os valores de Categoria do aplicativo e Nome do aplicativo.
Os parmetros de configurao do aplicativo possuem as configuraes padro atuais da
categoria qual pertence o aplicativo. Para manter esta conexo com as configuraes da
categoria para um ou mais campos, deixe esta seleo inalterada para esses campos.
Etapa 5 Para bloquear este aplicativo, selecione Habilitar na lista suspensa Bloquear.
Etapa 6 Para criar uma entrada de log quando este aplicativo for detectado, selecione Habilitar na lista
suspensa Log.
Etapa 7 Para direcionar as aes selecionadas de bloqueio ou log para um usurio ou grupo de
usurios especfico, selecione um grupo de usurios ou um usurio individual na lista
suspensa Usurios/grupos includos. Selecione Todos para aplicar a poltica a todos os
usurios.
Etapa 8 Para excluir um usurio ou grupo de usurios especfico das aes selecionadas de bloqueio
e log, selecione um grupo de usurios ou usurio na lista suspensa Usurios/grupos
excludos. Selecione Nenhum para aplicar a poltica a todos os usurios.
Etapa 5 Clique no boto Configurar na linha da assinatura com a qual deseja trabalhar. A janela
Configuraes de assinatura de controle de aplicativos ser aberta. Os campos no topo da
janela existem no podem ser editados. Esses campos mostram os valores Categoria de
assinatura, Nome da assinatura, ID da assinatura, Prioridade e Direo do trfego no qual esta
assinatura possa ser detectada.
As configuraes padro de polticas da assinatura so definidas para as configuraes atuais
do aplicativo ao qual a assinatura pertence. Para manter esta conexo com as configuraes
de aplicativo para um ou mais campos, deixe esta seleo inalterada para esses campos.
Etapa 1 Para habilitar regras de aplicativos, marque a caixa de seleo Habilitar regras de
aplicativos.
Etapa 2 Para registrar todas as correspondncias de polticas, deixe o campo Filtro de redundncia
de log global definido para zero. Para impor um atraso entre entradas de log para
correspondncias da mesma poltica, digite o nmero de segundos de atraso.
Etapa 9 Relativamente a Ao, selecione uma ao a partir da lista suspensa. A lista contm aes
que so aplicveis ao tipo de poltica e pode incluir as aes predefinidas, alm de quaisquer
aes personalizadas. Para uma poltica de apenas log, selecione Nenhuma ao.
Etapa 10 Relativamente a Usurios/Grupos, selecione das listas suspensas para Includo e Excludo.
Os usurios ou o grupo selecionados em Excludo no sero afetados pela poltica.
Etapa 11 Se o tipo de poltica for Cliente SMTP, selecione nas listas suspensas de E-MAIL DE e RECEB
PARA, para Includo e Excludo. Os usurios ou o grupo selecionados em Excludo no
sero afetados pela poltica.
Etapa 12 Relativamente a Cronograma, selecione na lista suspensa. A lista oferece uma variedade de
cronogramas para que a poltica produza efeito.
Etapa 13 Se voc desejar que a poltica crie uma entrada de log quando for encontrada uma
correspondncia, marque a caixa de seleo Habilitar registro em log.
Etapa 14 Para registrar mais detalhes no log, marque a caixa de seleo Registrar contedo de objeto
individual.
Etapa 15 Se o tipo de poltica for Contedo do IPS, marque a caixa de seleo Registrar usando
formato de mensagem IPS para exibir a categoria na entrada do log como "Preveno de
intruso" em vez de "Controle de aplicativos" e para usar um prefixo como "Alerta de deteco
de IPS" na mensagem de log em vez de "Alerta de controle de aplicativos". Isso til se voc
desejar usar filtros de log para pesquisar alertas de IPS.
Etapa 16 Se o tipo de poltica for Contedo do controle de aplicativos, marque a caixa de seleo
Registrar usando formato de mensagem de Controle de aplicativos para exibir a categoria
na entrada de log como "Controle de aplicativos" e para usar um prefixo, como "Alerta de
deteco de controle de aplicativos" na mensagem de log. Isso til se voc quiser usar filtros
de log para pesquisar alertas de Controle de aplicativos.
Etapa 17 Se o tipo de poltica for CFS, marque a caixa de seleo Registrar usando formato de
mensagem CFS para exibir a categoria na entrada de log como "Acesso rede" e para usar
uma mensagem de log, como "Acesso ao site da Web negado" na mensagem de log, em vez
de nenhum prefixo. Isso til se voc desejar usar filtros de log para pesquisar alertas de
filtragem de contedo.
Etapa 18 Relativamente a Filtro de redundncia de log, voc poder selecionar Configuraes
globais para usar o valor global definido na pgina Firewall > Regras de aplicativos ou voc
pode inserir um nmero de segundos de atraso entre cada entrada de log para esta poltica. A
configurao local substitui a configurao global apenas para esta poltica; outras polticas
no so afetadas.
Etapa 19 Relativamente a Lado da conexo, selecione na lista suspensa. As opes disponveis
dependem do tipo de poltica e podem incluir Do lado do cliente, Do lado do servidor ou
Ambos, referindo-se ao lado onde o trfego tem origem. Os tipos de polticas Contedo do
IPS, Contedo do controle de aplicativos ou CFS no fornecem esta opo de configurao.
Nota Se voc tiver selecionado uma opo com as palavras exceto as especificadas
na etapa anterior, o contedo que voc inserir aqui ser o nico contedo que
no far com que a ao ocorra. Consulte Correspondncia negativa na
pgina 599.
Tipo de
poltica Ao disponvel
Todos os tipos Somente log
Todos os tipos Ignorar DPI
SMTP Ao de bloqueio bloquear e enviar resposta de e-mail personalizada
SMTP Ao de bloqueio bloquear sem enviar resposta de e-mail
SMTP Adicionar banner de e-mail (inclua texto na parte final do e-mail)
POP3 Ao de bloqueio desativar anexo e adicionar texto personalizado
Acesso da Web Ao de bloqueio pgina de bloqueio personalizada
Acesso da Web Ao de bloqueio redirecionar para nova localizao
Acesso da Web Ao de bloqueio Redefinir conexo
Acesso da Web Gerenciar largura da banda
Etapa 4 Selecione um Tipo de objeto de correspondncia na lista suspensa. Sua seleo aqui afeta
as opes disponveis nesta tela. Consulte Objetos de correspondncia na pgina 589 para
obter uma descrio de tipos de objeto de correspondncia.
Etapa 5 Selecione um Tipo de correspondncia na lista suspensa As selees disponveis dependem
do tipo de objeto de correspondncia.
Etapa 6 Relativamente a Representao de entrada, clique em Alfanumrico para fazer
corresponder um padro de texto ou clique em Hexadecimal se desejar fazer corresponder
contedo binrio.
Etapa 7 Na caixa de texto Contedo, digite o padro de correspondncia e, em seguida, clique em
Adicionar. O contedo exibido na caixa de texto Lista. Repita para adicionar outro elemento
de correspondncia.
Como alternativa, voc pode clicar em Carregar a partir de arquivo para importar uma lista
de elementos de um arquivo de texto. Cada elemento no arquivo deve estar em uma linha
prpria.
Etapa 8 Para remover um elemento da lista, selecione o elemento na caixa Lista e, em seguida, clique
em Remover. Para remover todos os elementos, clique em Remover tudo.
Etapa 9 Clique em OK.
Etapa 8 Ao terminar de selecionar os aplicativos para incluir, digite um nome para o objeto no campo
Nome do objeto de correspondncia.
Etapa 9 Clique no boto Salvar objeto de correspondncia de aplicativo. Voc ver o nome do
objeto listado na pgina Firewall > Objetos de correspondncia com um tipo de objeto da Lista
de aplicativos. Este objeto pode ser selecionado ao criar uma poltica de regras de
aplicativos.
Nota Para maior convenincia e acessibilidade, a pgina Objetos de endereos pode ser
acessada a partir de Rede > Objetos de endereos ou Firewall > Objetos de endereos. A
pgina idntica, independentemente da guia atravs da qual acessada. Para obter
informaes sobre a configurao de objetos de endereos, consulte Rede > Objetos de
endereos na pgina 275.
Nota Para maior convenincia e acessibilidade, a pgina Objetos de servios pode ser acessada
a partir de Firewall > Objetos de servios ou Rede > Servios. A pgina idntica,
independentemente da guia atravs da qual acessada. Para obter informaes sobre a
configurao de objetos de endereos, consulte Rede > Servios na pgina 293.
Ferramentas teis
Esta seo descreve duas ferramentas de software que podem ajud-lo a utilizar o Controle
de aplicativos nas suas capacidades mximas. So descritas as seguintes ferramentas:
Wireshark na pgina 634
Editor hexadecimal na pgina 637
Wireshark
Wireshark um analisador de protocolos de rede que voc pode usar para capturar pacotes
de aplicativos em sua rede. Voc pode examinar os pacotes para determinar o identificador
exclusivo de um aplicativo que voc pode usar para criar um objeto de correspondncia para
uso em uma poltica de regras de aplicativos.
Wireshark est disponvel gratuitamente em: http://www.wireshark.org
O processo de encontrar o identificador exclusivo ou a assinatura de um navegador da Web
ilustrado na seguinte sequncia de captura de pacotes.
Assim que a captura iniciar, inicie o navegador e, em seguida, interrompa a captura. Neste exemplo, o Firefox iniciado.
Etapa 4 Role para a direita para localizar o identificador exclusivo do navegador. Neste exemplo,
Firefox/1.5.0.7.
Editor hexadecimal
possvel usar um editor hexadecimal (hex) para visualizar a representao hexadecimal de
um arquivo ou uma imagem grfica. Um editor hexadecimal desse tipo XVI32, desenvolvido
por Christian Maas e disponvel sem custo na seguinte URL:
http://www.chmaas.handshake.de/delphi/freeware/xvi32/xvi32.htm
Por exemplo, se houver um determinado grfico em todos os documentos confidenciais da
empresa, voc poder usar o editor hexadecimal para obter um identificador exclusivo para o
grfico e, em seguida, usar a identificao de cadeia de caracteres hexadecimal para criar um
objeto de correspondncia. Voc poderia referenciar o objeto de correspondncia em uma
poltica que bloqueia a transferncia de arquivos com o contedo correspondendo a esse
grfico.
Usando o grfico da SonicWALL como um exemplo, execute as seguintes etapas:
Etapa 3 Depois de marcar o bloco, clique em Editar > rea de transferncia > Copiar como cadeia
de caracteres hexadecimal.
Etapa 4 No Textpad ou outro editor de texto, pressione Ctrl+V para colar a seleo e, em seguida,
pressione Enter para terminar a linha.
Esta etapa intermediria necessria para permitir que voc remova espaos da cadeia de
caracteres hexadecimal.
Etapa 5 No Textpad, clique em Pesquisar > Substituir para abrir a caixa de dilogo Substituir. Na
caixa de dilogo Substituir, digite um espao na caixa de texto Localizar e deixe a caixa de
texto Substituir em branco. Clique em Substituir tudo.
A cadeia de caracteres hexadecimal agora tem 50 caracteres hexadecimais sem espaos entre
eles.
Etapa 6 Clique duas vezes na cadeia de caracteres hexadecimal para selecion-la e, em seguida,
pressione Ctrl+C para copi-la para a rea de transferncia.
Etapa 7 Na interface de usurio do SonicOS, navegue at Firewall > Objetos de correspondncia e
clique em Adicionar objeto de correspondncia.
Etapa 8 Na janela Configuraes do objeto de correspondncia, digite um nome descritivo na caixa
de texto Nome do objeto.
Etapa 9 Na lista suspensa Tipo de objeto de correspondncia, selecione Objeto personalizado.
Etapa 10 Para representao de entrada, clique em Hexadecimal.
Usando este objeto, o usurio tenta criar uma poltica. Aps o usurio clicar em OK, o
dispositivo exibe a mensagem "Aguarde...", mas a sesso de gerenciamento no responde por
um longo perodo de tempo e a expresso comum poder eventualmente ser rejeitada.
Este comportamento ocorre porque, no objeto personalizado e nos objetos de correspondncia
de contedo do arquivo, as expresses comuns recebem implicitamente um prefixo com um
ponto e asterisco (.*). Um ponto corresponde a qualquer um dos 256 caracteres ASCII, exceto
"\n". Este fato, o tipo de objeto de correspondncia usado e a natureza da expresso comum
em combinao fazem com que o plano de controle leve muito tempo a compilar as estruturas
de dados necessrias.
A correo para isto a colocao de um prefixo na expresso comum com um "\D". Isso
significa que o nmero do carto de crdito antecedido por um caractere no numrico, o
que, na verdade, torna a expresso comum mais precisa.
Alm disso, a expresso comum mostrada acima no representa com preciso o nmero do
carto de crdito desejado. A expresso regular na sua forma atual pode corresponder a vrios
falsos positivos, tal como 1234 12341234 1234. A seguir encontra-se uma representao
mais precisa:
ou
\D[1-9][0-9]{3}[0-9]{4}[0-9]{4}[0-9]{4}
ou
\D\z\d{3}(\d{4})[3}
, respectivamente.
Estas podem ser escritas como duas expresses regulares em um objeto de correspondncia
ou podem ser compactadas em uma expresso regular como:
\D\z\d{3}(( \d{4}){3}|(\d{12}))
Voc tambm pode capturar nmeros de carto de crdito com dgitos separados por "" com
a seguinte expresso comum:
\D\z\d{3}(( \d{4}){3}|(-\d{4}){3}|(\d{12}))
O "\D" que antecede deve ser includo em todas as expresses comuns deste tipo.
Voc pode usar este objeto de correspondncia em uma poltica para bloquear navegadores
que no so MSIE 6.0. Para obter informaes sobre como usar o Wireshark para encontrar
um identificador de um navegador da Web, consulte Wireshark na pgina 634. Para obter
informaes sobre a correspondncia negativa, consulte Correspondncia negativa na
pgina 599.
O Wireshark ir avanar para o primeiro quadro que contm os dados solicitados. Voc ver
algo como a tela mostrada abaixo. Isso indica que o mtodo HTTP POST imediatamente
transmitido aps as informaes de cabealho TCP e constitudo pelos primeiros quatro
Para testar, utilize um navegador para abrir o documento Post.htm que criou anteriormente.
Digite o seu nome e, em seguida, clique em Enviar. A conexo deve ser descartada neste
momento e voc dever ver um alerta no log semelhante ao que mostrado abaixo.
Para testar esta poltica, voc poder abrir um navegador da Web e tentar fazer download de
todos os tipos de arquivos especificados no objeto de correspondncia (exe, vbs, scr). Abaixo
esto algumas URLs que voc pode experimentar:
http://download.skype.com/SkypeSetup.exe
http://us.dl1.yimg.com/download.yahoo.com/dl/msgr8/us/msgr8us.exe
http://g.msn.com/8reen_us/EN/INSTALL_MSN_MESSENGER_DL.EXE
Voc ver um alerta semelhante ao que mostrado abaixo.
A captura de tela abaixo mostra um objeto de correspondncia de tipo ActiveX que est usando
a ID de classe Macromedia Shockwave. Voc pode criar uma poltica que usa este objeto de
correspondncia para bloquear jogos on-line ou outro contedo baseado em Shockwave.
Controle de FTP
O Controle de aplicativos fornece controle sobre o canal de controle de FTP e uploads e
downloads de FTP com o comando FTP e os tipos de objetos de correspondncia de contedo
de arquivos. Com eles, voc pode controlar o uso de FTP de forma muito eficiente. Os dois
casos de uso seguintes so descritos nesta seo:
Bloquear arquivos confidenciais de sada atravs de FTP na pgina 654
Bloquear arquivos codificados UTF-8/UTF-16 de sada na pgina 656
Bloquear comandos FTP na pgina 657
Por exemplo, para bloquear transferncias de arquivos confidenciais de sada atravs de FTP,
voc pode criar uma poltica com base em palavras-chave ou padres dentro de arquivos.
Como alternativa, voc pode criar uma ao de notificao FTP personalizada que envia uma
mensagem para o cliente.
Em seguida, voc pode criar uma poltica que referencia este objeto de correspondncia e esta
ao. Se voc preferir simplesmente bloquear a transferncia de arquivos e redefinir a
conexo, voc pode selecionar a ao Redefinir/descartar ao criar a poltica.
O suporte de unicode nativo UTF-8 e UTF-16 atravs do Controle de aplicativos permite que
caracteres multibyte codificados, como caracteres chineses ou japoneses, sejam inseridos
como palavras-chave de contedo de objeto de correspondncia usando o tipo de entrada
alfanumrica. O Controle de aplicativos suporta correspondncia de palavras-chave de
contedo codificado UTF-8 tipicamente encontrado em pginas da Web e aplicativos de e-mail
e contedo codificado UTF-16 normalmente encontrado em documentos baseados no sistema
operacional Windows/Microsoft Office.
O bloqueio de transferncias de arquivos de sada de arquivos confidenciais Unicode por FTP
tratado da mesma forma que o bloqueio de outras transferncias de arquivos confidenciais.
Primeiro, crie um objeto de correspondncia que corresponda em palavras-chave codificadas
UTF-8 ou UTF-16 em arquivos. Em seguida, crie uma poltica que referencia o objeto de
correspondncia e bloqueia a transferncia de arquivos correspondentes.
O exemplo mostrado abaixo usa um tipo de objeto de correspondncia de contedo de arquivo
com uma palavra-chave chinesa codificada UTF-16 que convertida para "documento
confidencial".
Voc pode usar o Controle de aplicativos para garantir que seu servidor FTP de somente
leitura, bloqueando comandos como put, mput, rename_to, rename_from, rmdir e mkdir.
Este caso de uso mostra um objeto de correspondncia que contm somente o comando put,
mas voc pode incluir todos estes comandos no mesmo objeto de correspondncia.
Como alternativa, voc pode criar uma ao de notificao FTP personalizada que envia uma
mensagem para o cliente. mostrada uma ao personalizada na captura de tela abaixo.
Em seguida, voc pode criar uma poltica que referencia este objeto de correspondncia e esta
ao. Se voc preferir simplesmente bloquear o comando put e redefinir a conexo, voc pode
selecionar a ao Redefinir/descartar ao criar a poltica.
Ignorar DPI
Voc pode usar a ao Ignorar DPI para aumentar o desempenho atravs da rede se voc
souber que o contedo que est sendo acessado seguro. Por exemplo, este poder ser o
caso se sua empresa tiver um vdeo corporativo que voc deseja transmitir para os
funcionrios da empresa atravs de HTTP, concedendo-lhes acesso a uma URL em um
servidor Web. Uma vez que voc sabe que o contedo seguro, possvel criar uma poltica
de Controle de aplicativos que se aplica ao Ignorar DPI em cada acesso a este vdeo. Isto
garantir velocidades de fluxo mais rpidas e a melhor qualidade de visualizao para os
funcionrios acessando o vdeo.
Apenas duas etapas so necessrias para a criao da poltica. Primeiro, voc pode definir um
objeto de correspondncia para o vdeo corporativo usando um tipo de objeto de
correspondncia de Contedo de URI de HTTP:
Lembre-se de que a barra principal (/) da URL deve sempre ser includa para tipos de
Correspondncia exata e Correspondncia de prefixo de objetos de correspondncia de
contedo de URI. No necessrio incluir o cabealho de host, como "www.company.com", no
campo Contedo.
Assinatura personalizada
Voc pode criar um objeto de correspondncia personalizado que corresponda a qualquer
parte de um pacote se desejar controlar o trfego que no tem um tipo de objeto predefinido
no Controle de aplicativos. Isso permite que voc crie uma assinatura personalizada para
qualquer protocolo de rede.
Por exemplo, voc pode criar uma assinatura personalizada para corresponder aos pacotes de
solicitao HTTP GET. Voc pode usar esta opo se desejar evitar a navegao na Web a
partir da rede local.
Para determinar um identificador exclusivo para um pacote HTTP GET, voc pode usar o
analisador de protocolos de rede Wireshark para visualizar o cabealho do pacote. Para obter
mais informaes sobre o uso do Wireshark, consulte Wireshark na pgina 634. No Wireshark,
capture alguns pacotes que incluem o trfego no qual voc est interessado. Nesse caso, voc
No painel superior do Wireshark, role para baixo at localizar o pacote HTTP GET e, em
seguida, clique nessa linha. O pacote exibido nos dois painis inferiores. Para um pacote
SYN, o painel central fornece uma interpretao legvel do cabealho do pacote e os bytes do
cabealho atual so mostrados em hexadecimal no painel inferior.
No painel central, expanda a seo Protocolo de transferncia de hipertexto para ver a carga
do pacote e clique no identificador desejado para referenciar no Controle de aplicativos. Nesse
caso, o identificador o comando GET nos primeiros trs bytes. Clique nele para realar os
bytes correspondentes no painel inferior.
Voc pode determinar o deslocamento e a profundidade dos bytes realados no painel inferior.
O deslocamento e a profundidade so termos usados pelo Controle de aplicativos. O
deslocamento indica qual o byte no pacote para iniciar a correspondncia e a profundidade
indica o ltimo byte de correspondncia. O uso de um deslocamento permite uma
correspondncia muito especfica e reduz os falsos positivos. Quando voc calcular o
deslocamento e a profundidade, observe que o primeiro byte no pacote contabilizado como
o nmero um (no zero). Os nmeros decimais so usados em vez de hexadecimais para
calcular o deslocamento e a profundidade. O deslocamento e a profundidade associados a um
objeto de correspondncia personalizado so calculados com incio na carga do pacote (o
incio da carga TCP ou UDP). Nesse caso, o deslocamento 1 e a profundidade 3.
Nota As redes que usam servio Telnet no criptografado devem configurar polticas que
excluam os endereos IP desses servidores.
Embora esse caso de uso se refira ao caso especfico de cargas de shell inverso (conexes
de sada), mais seguro configurar a poltica para que esta seja eficiente tambm para
conexes de entrada. Isso protege contra um caso em que a carga executada gera um shell
de escuta no host vulnervel e o invasor se conecta a esse servio atravs de firewalls mal
configurados.
A configurao atual requer o seguinte:
Gerar a atividade de rede atual para que seja identificada, usando a ferramenta netcat
Capturar a atividade e exportar a carga para um arquivo de texto, usando a ferramenta
Wireshark
Criar um objeto de correspondncia com uma cadeia de caracteres razoavelmente
especfica e exclusiva o suficiente para evitar falsos positivos
Definir uma poltica com a ao a ser executada quando uma carga que contm o objeto
analisada (o padro Redefinir/descartar usado aqui)
Para capturar os dados, inicie o Wireshark e clique em Capturar > Interfaces para abrir um
dilogo de captura. Inicie uma captura na interface com o trfego netcat. Assim que a captura
for iniciada, execute o comando netcat e, em seguida, pare a captura.
Os dados hexadecimais podem ser exportados para um arquivo de texto para desativar o
cabealho de pacote, partes e espaos desnecessrios ou variveis. As partes relevantes aqui
so "Microsoft... reservado". Voc pode usar o recurso de exportao de carga hexadecimal
do Wireshark para tal. Para obter informaes sobre o Wireshark, consulte Wireshark na
pgina 634.
Outros exemplos para o Windows Server 2003 ou qualquer outra verso do Windows podem
ser facilmente obtidos usando o mtodo descrito.
Os administradores de Linux/Unix precisaro personalizar a varivel de ambiente padro para
tirar proveito dessa defesa baseada em assinatura, uma vez que o prompt padro no
geralmente suficientemente especfico ou exclusivo para ser usado como descrito acima.
Depois de criar os objetos de correspondncia, voc pode definir uma poltica que os usa. A
imagem abaixo mostra as outras configuraes de poltica. Este exemplo, tal como mostrado,
especfico de shells invertidos nas configuraes Nome da poltica e Direo. Conforme
mencionado, tambm poder ser personalizado para um escopo maior, alterando a
configurao Direo para Ambos e atribuindo um nome mais genrico.
Uma entrada de log com uma categoria de acesso rede gerada depois de uma conexo de
Redefinir/descartar. A captura de tela abaixo mostra a entrada de log, incluindo a mensagem
informando que um alerta de Controle de aplicativos e exibindo o nome da poltica:
Tal como a experincia sugere, medidas de segurana apropriadas incluem vrias camadas
de inteligncia e nenhuma abordagem pode ser considerada uma defesa definitiva contra
cdigo hostil.
Configuraes de firewall
| 669
670 | Guia do Administrador do SonicOS 6.2
Captulo 43
Definir configuraes avanadas de
firewall
Preveno de deteco
Habilitar modo furtivo por padro, o dispositivo de segurana responde a solicitaes
de conexes de entrada como "bloqueadas" ou "abertas". Se voc habilitar o modo furtivo,
o dispositivo de segurana no responde a solicitaes de conexes de entrada
bloqueadas. O modo furtivo torna seu dispositivo de segurana essencialmente invisvel
para hackers.
Tornar ID de IP aleatrio selecione Tornar ID de IP aleatrio para impedir que os
hackers usem vrias ferramentas de deteco para detectar a presena de um dispositivo
de segurana. Os pacotes de IP recebem IDs de IP aleatrios, dificultando aos hackers a
identificao do dispositivo de segurana.
Reduzir TTL de IP para trfego encaminhado TTL (Time-to-live Vida til) um valor
em um pacote de IP que informa um roteador de rede se o pacote esteve ou no
demasiado tempo na rede e se deve ou no ser descartado. Selecione esta opo para
reduzir o valor de TTL para pacotes que foram encaminhados e que, por conseguinte, j
estiveram na rede durante algum tempo.
Nunca gerar pacotes ICMP de tempo excedido o firewall gera pacotes de tempo
excedido para reportar quando ele tiver descartado um pacote, pois o respectivo valor
de TTL diminuiu para zero. Selecione esta opo se voc no desejar que o firewall
gere os pacotes de relatrios.
Portas dinmicas
Habilitar transformaes FTP para porta(s) TCP no objeto de servio selecione o menu
suspenso grupo de servios para habilitar transformaes FTP para um determinado
objeto de servio. Por padro, o grupo de servio FTP (Tudo) est selecionado. Para obter
mais informaes sobre como configurar grupos de servio e objetos de servio, consulte
Rede > Servios na pgina 293.
Habilitar suporte para Oracle (SQLNet) - selecione essa opo se voc tiver Oracle9i ou
aplicativos anteriores em sua rede. Para aplicativos Oracle10g ou posteriores,
recomendamos que essa opo no seja selecionada.
Para aplicativos Oracle9i e anteriores, a porta do canal de dados diferente da porta
de conexo de controle. Quando essa opo est habilitada, uma conexo de controle
SQLNet verificada em busca de um canal de dados sendo negociado. Quando uma
negociao encontrada, uma entrada de conexo para o canal de dados criada
dinamicamente, com NAT aplicado, se necessrio. No SonicOS, o SQLNet e o canal
de dados so associados um ao outro e tratados como uma sesso.
Para aplicativos Oracle10g e posteriores, as duas portas so as mesmas, sendo assim
a porta do canal de dados no precisa ser rastreada separadamente; dessa forma, a
opo no precisa estar habilitada.
Conexes
A seo Conexes permite ajustar o firewall para dar prioridade a resultados ideais ou a um
maior nmero de conexes simultneas que so inspecionadas por servios de inspeo
profunda de pacotes (DPI). No h nenhuma alterao no nvel de proteo de segurana
fornecido por uma das configuraes de conexes DPI abaixo.
Mximo de conexes SPI (servios DPI desabilitados) essa opo no fornece
proteo de servios de segurana de DPI da SonicWALL e otimiza o firewall para o
nmero mximo de conexes com apenas uma inspeo de pacotes estvel habilitada.
Esta opo deve ser usada por redes que precisam somente de inspeo de pacotes
estvel, o que no recomendvel para a maioria das implantaes de dispositivos de
segurana de rede Dell SonicWALL.
Mximo de conexes DPI (servios DPI habilitados) esta a configurao padro
recomendada para a maioria das implantaes de dispositivos de segurana de rede Dell
SonicWALL.
Conexes DPI (servios DPI habilitados com otimizao de desempenho adicionais)
essa opo destina-se a implantaes crticas de desempenho. Esta opo negocia o
nmero de conexes mximas de DPI para um melhor resultado de inspeo de DPI de
firewall. Opes do servio de regras de acesso
Forar conexes de dados FTP de entrada e sada a utilizar a porta padro 20 a
configurao padro permite conexes de FTP da porta 20, mas remapeia trfego de sada
para uma porta como 1024. Se esta caixa de seleo estiver marcada, qualquer conexo
de dados FTP por meio do dispositivo de segurana dever ser proveniente da porta 20 ou
a conexo ser descartada. O evento ento registrado como um evento de log no
dispositivo de segurana.
Aplicar regras de firewall para o trfego intra-LAN para a/da mesma interface aplica
regras de firewall recebido em uma interface LAN e que se destina mesma interface LAN.
Em geral, isso s ser necessrio se estiverem configuradas sub-redes LAN secundrias.
Quadro Jumbo
Habilitar suporte ao quadro Jumbo habilitar essa opo aumenta a velocidade de
processamento e reduz o nmero de quadros Ethernet que sero processados. Em alguns
casos, o aumento da velocidade de processamento no pode ser observado. No entanto,
haver alguma melhora na velocidade de processamento se a travessia de pacotes for
realmente de tamanho jumbo.
Nota Embora o BWM seja um sistema de qualidade de servio (QoS) totalmente integrado, no
qual so realizadas classificao e formatao em um nico dispositivo SonicWALL,
dispensando efetivamente a dependncia de sistemas externos e, assim, evitando a
necessidade de marcao, possvel definir simultaneamente as configuraes de BWM e
QoS (marcao de camada 2 e/ou camada 3) em uma nica regra de acesso. Isso permite
que os sistemas externos aproveitem a classificao executada no firewall mesmo depois
de ela j ter formatado o trfego. Para obter detalhes sobre QoS de BWM, consulte
Configuraes de firewall > Mapeamento QoS na pgina 725.
Trs tipos de gerenciamento de largura de banda esto disponveis e podem ser habilitados
na pgina Configuraes de firewall > BWM:
Quando o gerenciamento de largura de banda Global est habilitado em uma interface, todo
o trfego para e dessa interface gerenciado por largura de banda. Se o tipo de gerenciamento
de largura de banda for Nenhum, existirem trs tipos de trfego usando uma interface e a
capacidade de link da interface for 100 Mbps, a capacidade cumulativa para os trs tipos de
trfego ser 100 Mbps.
Se o tipo de gerenciamento de largura de banda for Global e o trfego de entrada e sada
disponvel estiver configurado para 10 Mbps, ento por padro todos os trs tipos de trfego
sero enviados para a fila de prioridade mdia. A fila de prioridade mdia, por padro, tem uma
largura de banda garantida de 50% e uma largura de banda mxima de 100%. Se nenhuma
poltica de gerenciamento de largura de banda Global estiver configurada, a capacidade de
link cumulativa para cada tipo de trfego de 10 Mbps.
Nota As configuraes padro desta pgina consistem em trs prioridades com largura de banda
pr-configurada garantida e mxima. A prioridade mdia tem o valor garantido mais alto,
pois esta fila de prioridade usada por padro para todo o trfego no controlado por uma
poltica habilitada por BWM.
Nota Os padres so definidos pela SonicWALL para permitir uma utilizao fcil do BWM.
recomendvel que voc revise as necessidades especficas de largura de banda e digite os
valores nesta pgina em conformidade.
Objetos de ao
Os objetos de ao definem como a poltica de regras de aplicativo reage a eventos de
correspondncia. Voc pode personalizar uma ao ou selecionar uma das aes padro
predefinidas. As aes predefinidas so exibidas na pgina Configuraes de poltica de
controle de aplicativos quando voc adiciona ou edita uma poltica na pgina Regras de
aplicativos.
As aes de BWM personalizadas comportam-se de maneira diferente em relao s aes
de BWM padro. As aes de BWM personalizadas so configuradas ao adicionar um novo
objeto de ao na pgina Firewall > Objetos de ao e ao selecionar o tipo de ao
Gerenciamento de largura de banda. As aes e polticas de BWM personalizadas que os
usam mantm a respectiva configurao de nvel de prioridade quando tipo de gerenciamento
de largura de banda alterado de Global para Avanado e de Avanado para Global.
Tambm esto disponveis diversas opes de ao de BWM na lista de aes padro
predefinidas. As opes de ao de BWM mudam, dependendo da configurao do Tipo de
gerenciamento de largura de banda na pgina Configuraes de firewall > BWM. Se o tipo
de gerenciamento de largura de banda estiver definido para Global, os oito nveis de BWM
Etapa 1 No dispositivo de segurana Dell SonicWall, acesse Configuraes de firewall > BWM.
Etapa 2 Defina a opo Tipo de gerenciamento de largura de banda para Global.
Etapa 3 Habilite as prioridades que voc deseja marcando as caixas de seleo apropriadas na coluna
Habilitar.
Nota Voc deve habilitar as prioridades nesta caixa de dilogo para poder configurar as mesmas
em Regras de acesso, Regras de aplicativos e Objetos de ao.
Etapa 4 Insira a porcentagem de largura de banda Garantida que voc deseja para cada prioridade
selecionada.
Etapa 5 Insira a porcentagem de largura de banda Mxima/Estouro que voc deseja para cada
prioridade selecionada.
Etapa 6 Clique em Aceitar.
Nota Para que seja possvel configurar todas as prioridades em uma regra de acesso, voc deve
primeiro habilitar as prioridades que deseja usar na pgina Configuraes de firewall >
BWM. Consulte a pgina Configuraes de firewall > BWM para determinar quais as
prioridades habilitadas. Se voc selecionar uma prioridade de largura de banda que no
est habilitada na pgina Configuraes de firewall > BWM, o trfego ser
automaticamente mapeado para o nvel 4 de prioridade (Mdio). Consulte Configurando o
Gerenciamento de largura de banda global na pgina 682.
Nota Primeiro, voc deve habilitar o BWM da seguinte forma para que possa configurar o BWM
em uma Regra de aplicativo.
Etapa 1 Habilite as prioridades que voc pretende usar em Configuraes de firewall > BWM.
Consulte Configurando o Gerenciamento de largura de banda global na pgina 682.
Etapa 2 Habilite o BWM em um Objeto de ao. Consulte Configurar BWM em um objeto de ao na
pgina 686
Etapa 3 Configure o BWM na Interface. Consulte Configurar BWM global em uma interface na
pgina 683, respectivamente.
Nota Voc deve ter o Dell SonicWALL Application Visualization habilitado antes de continuar.
Para configurar o BWM usando o monitor de App Flow, execute as seguintes etapas:
Etapa 2 Marque os aplicativos baseados em servio e os aplicativos baseados em assinatura aos quais
deseja aplicar o BWM global.
Nota Os aplicativos gerais no podem ser selecionados. Os aplicativos com base em servio e
os aplicativos com base em assinatura no podem ser misturados em uma nica regra.
Nota Para aplicativos baseados em servio, a nova regra identificada com uma tacha na coluna
Comentrios e um prefixo na coluna Servio de coluna de ~servios=<nome do servio>.
Por exemplo, ~servios=NTP&t=1306361297.
Nota Para aplicativos baseados em assinatura, a nova regra identificada com um prefixo,
~BWM_Global-<priority>=~catname=<app_name> na coluna Nome e na coluna Objeto o
prefixo ~catname=<app_name>.
Nome Descrio
Largura de banda garantida A largura de banda que estar garantidamente disponvel para uma
classe de trfego especfica.
Largura de banda mxima A largura de banda mxima que uma classe de trfego pode usar.
Prioridade de trfego A prioridade da classe de trfego.
0 prioridade mais alta
7 prioridade mais baixa
Ao de violao A ao de firewall que ocorre quando o trfego excede a largura de
banda mxima.
Atrasar os pacotes so enfileirados e enviados quando for possvel.
Descartar os pacotes so imediatamente descartados.
Depois de os pacotes serem identificados com uma classe de trfego especfica, o mecanismo
de BWM rene-os para processamento das polticas e da formatao com base nas
configuraes da largura de banda que foram definidas em um objeto de largura de banda,
habilitado em uma regra de acesso e associado a regras de aplicativos.
Os classificadores tambm identificam a direo dos pacotes no fluxo de trfego. Os
classificadores podem ser definidos para as direes de egresso, ingresso ou ambas. Para o
gerenciamento da largura de banda, os termos ingresso e egresso so definidos da seguinte
forma:
Ingresso trfego do iniciador para o respondente em um fluxo de trfego em particular.
Egresso trfego do respondente para o iniciador em um fluxo de trfego em particular.
Por exemplo, um cliente por detrs da interface X0 tem uma conexo com um servidor que est
por detrs da interface X1. A tabela a seguir mostra:
A direo do fluxo de trfego em cada direo para o cliente e servidor
A direo do trfego em cada interface
A direo indicada pelo classificador BWM
Nome Descrio
Habilitar o gerenciamento de Quando habilitada, a configurao de largura de banda elementar
largura de banda por IP mxima aplica-se a cada endereo IP da classe de trfego pai.
Largura de banda mxima A largura de banda elementar mxima que pode ser alocada a um
endereo IP da classe de trfego pai.
A largura de banda elementar mxima no pode ser superior largura
de banda mxima da sua classe pai.
Etapa 1 No dispositivo de segurana Dell SonicWall, acesse Configuraes de firewall > BWM.
Etapa 2 Defina a opo Tipo de gerenciamento de largura de banda para Avanado.
Etapa 1 No Dispositivo de segurana Dell SonicWALL, v para Firewall > Objetos de largura de
banda.
Etapa 1 No dispositivo de segurana Dell SonicWall, v para Firewall > Regras de acesso.
Etapa 2 Clique no boto Adicionar para criar uma nova regra de acesso.
ou
Clique no boto Configurar da Regra de acesso apropriada.
Etapa 3 Clique na guia BWM.
Etapa 4 Para habilitar um objeto de largura de banda para a direo de egresso, em Gerenciamento
de largura de banda, selecione a caixa Habilitar o gerenciamento de largura de banda
egressa.
Etapa 5 Na lista Selecionar um objeto de largura de banda, selecione o objeto de largura de banda
que voc deseja para a direo de egresso.
Etapa 6 Para habilitar um objeto de largura de banda para a direo de ingresso, em Gerenciamento
de largura de banda, selecione a caixa Habilitar o gerenciamento de largura de banda
ingressa.
Etapa 7 Na lista Selecionar um objeto de largura de banda, selecione o objeto de largura de banda
que voc deseja para a direo de ingresso.
Etapa 8 Para habilitar o controle do uso da largura de banda, selecione a opo Habilitar uso do
controle da largura de banda.
Etapa 9 Clique em OK.
Etapa 1 No dispositivo de segurana Dell SonicWALL, v para Firewall > Objetos de ao.
Etapa 2 Se criar um novo objeto de ao, na lista Nome da ao, insira o nome do objeto de ao.
Etapa 3 Na lista Ao, selecione Gerenciamento de largura de banda.
Este grfico mostra os quatro novos objetos de largura de banda que foram gerados automaticamente
durante o processo de atualizao do gerenciamento avanado de largura de banda. Estas
configuraes podem ser visualizadas na tela Firewall > Objetos de largura de banda.
Um modo de proteo contra inundao SYN o nvel de proteo que voc pode selecionar
para se defender contra sesses TCP semiabertas e transmisses de pacotes SYN de alta
frequncia. Esse recurso permite que voc defina trs nveis diferentes de proteo contra
inundao SYN:
Observar e reportar possveis inundaes SYN esta opo permite que o dispositivo
monitore o trfego SYN em todas as interfaces do dispositivo e registre atividade de
inundao SYN suspeita que exceda o limite de contagem de um pacote. O recurso no
ativa o proxy SYN no dispositivo e, assim, o dispositivo encaminha o handshake de trs
vias do TCP sem modificaes. Este o nvel menos invasivo de proteo contra
inundao SYN. Selecione esta opo se a sua rede no estiver em um ambiente de alto
risco.
Conexes cliente de WAN proxy quando h suspeita de ataque esta opo permite
que o dispositivo habilite o recurso de proxy SYN em interfaces de WAN quando o nmero
de tentativas de conexo incompletas por segundo vai alm de um limite especificado.
Esse mtodo garante que o dispositivo continuar a processar trfego vlido durante o
ataque e que o desempenho no ser prejudicado. O modo Proxy permanecer habilitado
at que todos os ataques de inundao SYN da WAN parem de ocorrer ou at que o
dispositivo coloque em lista negra todos eles usando o recurso de lista negra SYN. Este
nvel intermedirio de proteo contra inundao SYN. Selecione esta opo se a sua rede
foi alvo de ataques de inundao SYN de fontes internas ou externas.
Conexes cliente de WAN proxy sempre esta opo define o dispositivo para sempre
usar proxy SYN. Este mtodo bloqueia todos os pacotes SYN falsificados de passar pelo
dispositivo. Observe que esta uma medida de segurana extrema e faz com que o
dispositivo responder a rastreamento de portas em todas as portas TCP, pois o recurso de
proxy SYN fora o dispositivo a responder a todas as tentativas de conexo SYN de TCP.
Isso pode prejudicar o desempenho e gerar um falso positivo. Selecione esta opo
somente se a sua rede estiver em um ambiente de alto risco.
Configuraes UDP
Tempo limite da conexo UDP padro (segundos) insira o nmero de segundos de tempo
ocioso que desejar permitir antes de as conexes UDP atingirem o tempo limite. Este valor
substitudo pelo tempo limite de conexo UDP que voc definir para regras individuais.
Estatsticas de trfego
A pgina Firewall > Proteo contra inundao fornece as seguintes estatsticas de trfego:
Estatsticas de trfego TCP na pgina 715
Estatsticas de trfego UDP na pgina 716
Estatsticas de trfego ICMP na pgina 717
Etapa 1 Na lista Habilitar recepo dos seguintes endereos de difuso seletiva, selecione Criar
novo objeto de difuso seletiva.
Etapa 2 Na janela Adicionar objeto de endereo, configure:
Nome: O nome do objeto de endereo.
Atribuio de zonas: Selecione DIFUSO SELETIVA.
Tipo: Selecione Host, Intervalo, Rede ou MAC.
Endereo IP: Se voc selecionou Host ou Rede, o endereo IP do host ou da rede. O
endereo IP deve estar no intervalo de difuso seletiva: 224.0.0.0 a 239.255.255.255.
Mscara de rede: Se voc tiver selecionado Rede, a mscara de rede para a rede.
Endereo IP de incio e Endereo IP de trmino: Se voc selecionou Intervalo, os
endereos IP de incio e de trmino do intervalo de endereos. Os endereos IP devem
estar no intervalo de difuso seletiva: 224.0.0.1 a 239.255.255.255.
Etapa 5 Na caixa Nome, digite um nome para o seu objeto de endereo de difuso seletiva.
Etapa 6 No menu Atribuio de zona, selecione uma zona: LAN, WAN, DMZ, VPN, SSLVPN, MGMT,
DIFUSO SELETIVA ou WLAN.
Etapa 7 No menu Tipo, selecione Host, Intervalo, Rede, MAC ou FQDN.
Se voc selecionar Host, na caixa Endereo IP digite um Endereo IP.
Se voc selecionar Intervalo, digite o Endereo IP de incio e o Endereo IP de
trmino.
Se voc selecionar Rede, digite o endereo IP da Rede e uma Mscara de rede.
Se voc selecionar MAC, digite o Endereo MAC.
Etapa 8 Navegue at a pgina VPN > Configuraes.
Etapa 9 Em Polticas de VPN, clique no boto Configurar da poltica de VPN de grupo que voc
deseja configurar.
Etapa 10 Na caixa de dilogo Poltica de VPN, na guia Avanado, selecione Habilitar difuso seletiva.
Etapa 1 Habilite a difuso seletiva globalmente. Na pgina Configuraes de firewall > Difuso
seletiva, marque a caixa de seleo Habilitar difuso seletiva e clique no boto Aplicar para
cada dispositivo de segurana.
Etapa 2 Habilite o suporte a difuso seletiva em cada interface individual que ir participar na rede de
difuso seletiva. Na pgina Rede > Interfaces de cada interface em todos os dispositivos de
segurana participando, v para a guia Editar interface: Avanado e marque a caixa de
seleo Habilitar suporte a difuso seletiva.
Etapa 3 Habilite a difuso seletiva nas polticas de VPN entre os dispositivos de segurana. Na pgina
VPN > Configuraes, guia Avanado de cada poltica, marque a caixa de seleo Habilitar
difuso seletiva.
Nota Observe que a regra de acesso DIFUSO SELETIVA da WLAN padro para trfego IGMP
est definida como "NEGAR". Isso precisa ser alterado para "PERMITIR" em todos os
dispositivos participantes para habilitar a difuso seletiva se eles tiverem clientes de difuso
seletiva em suas zonas de WLAN.
Etapa 4 Verifique se os tneis esto ativos entre os sites e inicie o aplicativo de servidor de difuso
seletiva e os aplicativos de cliente. Como os dados de difuso seletiva so enviados do
servidor de difuso seletiva para o grupo de difuso seletiva (224.0.0.0 a 239.255.255.255), o
firewall ir consultar sua tabela de estados IGMP desse grupo para determinar onde entregar
esses dados. Da mesma forma, quando o dispositivo recebe esses dados na zona de VPN, ele
ir consultar sua tabela de estados IGMP para determinar onde ele deve entregar os dados.
As tabelas de estados IGMP (no momento da atualizao) devem fornecer informaes
para indicar se existe um cliente de difuso seletiva na interface X3 e no tnel
vpnMcastServer do grupo 224.15.16.17.
Classificao
A classificao necessria como uma primeira etapa para que o trfego que precisa de
gerenciamento possa ser identificado. O SonicOS usa regras de acesso como a interface para
classificao de trfego. Isso fornece controles detalhados usando combinaes de elementos
de Objeto de endereo, Objeto de servio e Objeto de programao, permitindo critrios de
classificao to gerais quanto todo o trfego HTTP e to especficos quanto o trfego SSH
de host A para servidor B s quartas-feiras s 2h12.
Os dispositivos de segurana de rede Dell SonicWALL tm a capacidade de reconhecer,
mapear, modificar e gerar designadores CoS externos padro da indstria, DSCP e 802.1p
(consulte a seo QoS 802.1p e DSCP na pgina 728).
Uma vez identificada ou classificada, ela pode ser gerenciada. O gerenciamento pode ser
executado internamente atravs do Gerenciamento de largura de banda (BWM) do SonicOS,
o qual perfeitamente eficaz, desde que a rede seja um sistema autnomo totalmente contido.
Uma vez introduzidos os elementos externos ou intermedirios, como infraestruturas de rede
externas com configuraes desconhecidas ou outros hosts que competem por largura de
banda (por exemplo, a Internet), a capacidade de oferecer garantias e a previsibilidade so
Nota Muitos provedores de servios no oferecem suporte a marcas CoS como 802.1p ou DSCP.
Alm disso, a maioria dos equipamentos de rede com configuraes padro no ser capaz
de reconhecer marcas 802.1p e poder descartar o trfego marcado.
Embora o DSCP no cause problemas de compatibilidade, muitos provedores de servio
simplesmente descartaro ou ignoraro as marcas DSCP, desconsiderando os pontos de
cdigo.
Se voc desejar usar a marcao 802.1p ou DSCP na sua rede ou na rede do seu
provedor de servios, voc deve primeiro determinar se esses mtodos so
suportados. Verifique se o seu equipamento de rede interna pode suportar a
marcao de prioridade CoS e se est corretamente configurado para tal. Verifique
com seu provedor de servios alguns oferecem suporte pago para QoS usando
esses mtodos CoS.
Marcao
Depois que o trfego seja classificado, se se destinar a ser tratado por sistemas externos que
suportam QoS (por exemplo, switches ou roteadores com reconhecimento de CoS, como
podero estar disponveis em uma infraestrutura de provedor de servios premium ou em uma
WAN privada), ele deve ser marcado para que os sistemas externos possam usar a
classificao e fornecer o tratamento correto e Comportamentos por salto (PHB).
Originalmente, isso foi tentado na camada IP (camada 3) com trs bits de precedncia de
RFC791 e campo ToS (tipo de servio) de RFC1394, mas isso foi usado por um total geral de
17 pessoas ao longo dos tempos. Seu sucessor, RFC2474, introduziu o muito mais prtico e
amplamente usado DSCP (Ponto de cdigo de servios diferenciados) que oferecia at 64
classificaes, bem como classes definveis pelo usurio. O DSCP foi melhorado por RFC2598
(Encaminhamento rpido, destinado a fornecer comportamentos de linha dedicada) e
RFC2697 (nveis de Encaminhando assegurado em classes, tambm conhecidos como nveis
de Ouro, Prata e Bronze).
DSCP um mtodo de marcao seguro para o trfego que atravessa redes pblicas porque
no h nenhum risco de incompatibilidade. Na pior das hipteses, um salto ao longo do
caminho pode desconsiderar ou descartar a marca DSCP, mas ele raramente tratar
incorretamente ou descartar o pacote.
O outro mtodo predominante de marcao CoS IEEE 802.1p. 802.1p ocorre na camada
MAC (camada 2) e est relacionado com a marcao IEEE 802.1Q VLAN, compartilhando o
mesmo campo de 16 bits, embora, na verdade, esteja definido no IEEE 802.1D padro. Ao
contrrio do DSCP, o 802.1p funcionar somente com equipamento que suporta 802.1p e no
universalmente interopervel. Alm disso, o 802.1p, devido sua estrutura de pacotes
diferente, raramente consegue atravessar redes de longa distncia, at mesmo WANs
privadas. No entanto, o 802.1p est ganhando suporte amplo entre fornecedores de Voz e
Vdeo sobre IP, para que uma soluo de suporte de 802.1p em limites de rede (ou seja, links
de WAN) seja introduzida na forma de mapeamento 802.1p para DSCP.
Condicionamento
O trfego pode ser condicionado (ou gerenciado) usando qualquer um dos mtodos
disponveis de polticas, enfileiramento e formatao. O SonicOS fornece recursos de
condicionamento interno com o seu Gerenciamento de largura de banda (BWM) de egresso e
ingresso, detalhado em Gerenciamento de largura de banda na pgina 739. O BWM do
SonicOS uma soluo perfeitamente eficiente para redes privadas totalmente autnomas
com largura de banda suficiente, mas pode se tornar um pouco menos eficaz medida que
so introduzidos mais elementos de rede externa desconhecidos e conteno de largura de
banda. Consulte o Cenrio de exemplo na pgina 731 no Cenrio de exemplo na pgina 731
para obter uma descrio dos problemas de conteno.
Internet
VoIP Traffic
LAN -> VPN DSCP: 48 802.11p: 6 Inbound Gar. 30% Max: 60% Pri: 0
VoIP Traffic LAN -> VPN DSCP: 48 802.11p: 6 Outbound Gar. 30% Max: 60% Pri: 0
VPN -> LAN DSCP: 48 802.11p: 6 Inbound Gar. 30% Max: 60% Pri: 0
VPN -> LAN DSCP: 48 802.11p: 6 Outbound Gar. 30% Max: 60% Pri: 0
Para fornecer QoS de ponta a ponta, os provedores de servios de classe executiva esto
oferecendo cada vez mais servios condicionantes de trfego em suas redes IP. Esses
servios normalmente dependem do equipamento que se encontra nas instalaes do cliente
para classificar e marcar o trfego, geralmente usando um mtodo de marcao padro como
DSCP. O SonicOS tem a capacidade de marcar trfego com DSCP aps a classificao, bem
como a capacidade de mapear marcas 802.1p em marcas DSCP para passagem da rede
externa e preservao de CoS. Para trfego VPN, o SonicOS pode marcar com DSCP no
apenas os pacotes internos (carga), mas tambm os pacotes externos (encapsulamento) para
que os provedores de servios que suportam QoS possam oferecer QoS mesmo em trfego
VPN criptografado.
O mtodo de condicionamento real usado por provedores de servios varia de um para o outro,
mas geralmente envolve um mtodo de enfileiramento com base na classe, como
enfileiramento razovel ponderado para priorizar o trfego e um mtodo de impedimento de
congestionamento, como "tail-drop" ou Deteco antecipada aleatria.
Bytes 7 1 6 6 2 2 2 46-1500 4
SFD
preamble DA SA VPID TCI Len LLC Data FCS
Bits 16 3 1 12
Protocol ID
CFI
802.11q VLAN Tag (x8100 for 802.1q tags) 802.1p VLAN ID
Para processar marcas 802.1p, o recurso deve estar presente e habilitado na interface de rede.
A interface de rede ser ento capaz de gerar pacotes com marcas 802.1p, como controlado
pelos aplicativos compatveis com QoS. Por padro, comunicaes de rede geral no tero
marcas inseridas para manter a compatibilidade com dispositivos que no suportam 802.1p.
Nota Se sua interface de rede no suporta 802.1p, ela no ser capaz de processar o trfego
marcado com 802.1p e ir ignor-lo. Ao definir Regras de acesso para habilitar a marcao
802.1p, certifique-se de que os dispositivos de destino suportem 802.1p.
Observe tambm que, ao executar uma captura de pacotes (por exemplo, com a ferramenta
de diagnstico Ethereal) em dispositivos que suportam 802.1p, alguns deles no mostraro
o cabealho 802.1q na captura de pacotes. Por outro lado, uma captura de pacotes
executada em um dispositivo que no suporte 802.1p mostrar quase invariavelmente o
cabealho, mas o host no conseguir processar o pacote.
Antes de avanar para Gerenciar a Marcao QoS na pgina 736, importante introduzir
"Marcao DSCP" devido a potencial interdependncia entre os dois mtodos de marcao,
bem como para explicar por que existe a interdependncia.
Internet
Switch
S h Core Switch
1
File Server - 1 File Server - 2
192.168.168.100 10.50.165.100
Workgroup Workgroup
Switch 3 Switch
Na situao acima, temos Site remoto 1 conectado a "Site principal" por uma VPN IPsec. A
empresa usa um sistema de telefone VoIP interno que suporta 802.1p/DSCP com um servidor
de sinalizao VoIP privado hospedado no site principal. O site principal tem uma infraestrutura
de Fast Ethernet e gigabit misto, enquanto o site remoto 1 tem apenas Fast Ethernet. Os dois
sites usam switches que suportam 802.1p para priorizao de trfego interno.
1. O PC-1 no Site remoto 1 est a transferir uma apresentao PowerPoint de 23 terabytes
para o Servidor de arquivos 1 e o link de 100 mbit entre o switch de grupo de trabalho e o
switch upstream est completamente cheio.
2. No Site principal, um chamador no telefone VoIP que suporta 802.1p/DSCP 10.50.165.200
iniciou uma chamada para a pessoa do telefone VoIP 192.168.168.200. O 802.1p do
telefone VoIP que efetua a chamada marca o trfego com a marca de prioridade 6 (voz) e
o DSCP marca o trfego com uma marca de 48.
a. Se o link entre o switch de ncleo e o firewall for uma VLAN, alguns switches incluiro
a marca de prioridade 802.1p recebida, alm da marca DSCP, no pacote enviado para
o firewall. Esse comportamento varia de switch para switch e muitas vezes
configurvel.
b. Se o link entre o switch de ncleo e o firewall no for uma VLAN, no possvel para
o switch incluir a marca de prioridade 802.1p. A prioridade 802.1p removida e o
pacote (incluindo apenas a marca DSCP) encaminhado para o firewall.
IP Packet
Bits 4 4 8 16 16
Bits 3 1 1 1 1 1
Bits 6 2
O diagrama acima mostra um pacote IP, com uma incidncia na parte de ToS do cabealho.
Os bits de ToS eram originalmente usados para configuraes de Precedncia e ToS (atraso,
velocidade de processamento, confiabilidade e custo), mas foram mais tarde redefinidos por
RFC2474 para as configuraes de DSCP mais versteis.
A tabela a seguir mostra os pontos de cdigo comumente usados, bem como seu mapeamento
para as configuraes de Precedncia e ToS herdadas.
A marcao DSCP pode ser executada no trfego para/de qualquer interface e para/de
qualquer tipo de zona, sem exceo. A marcao DSCP controlada por Regras de acesso,
a partir da guia QoS, e pode ser usada em conjunto com a marcao 802.1p, bem como com
o gerenciamento de largura de banda interna do SonicOS.
P TAG
$3#0 TAG
P TAG
6O)0 6O)0
Wide Area Network
0HONE .ETWORK 3ECURITY !PPLIANCE % .ETWORK 3ECURITY !PPLIANCE %
0HONE
-AP P TO $3#0 -AP P TO $3#0
802.1 802.1
-AP $3#0 TO P -AP $3#0 TO P
2EQUEST $3#0 TAG
2EQUEST .O $3#0 TAG 2ESPONSE .O $3#0 TAG
2ESPONSE $3#0 TAG
Nota O mapeamento no ocorrer at que voc defina Mapear como uma ao da guia QoS de
uma Regra de acesso. A tabela de mapeamento define somente a correspondncia que
ser utilizada pela ao Mapear de uma Regra de acesso.
Por exemplo, de acordo com a tabela padro, uma marca 802.1p com um valor de 2 ser
mapeada na sada para um valor DSCP de 16, enquanto uma marca DSCP de 43 ser
mapeada na entrada para um valor 802.1 de 5.
Cada um desses mapeamentos pode ser reconfigurado. Se voc desejar alterar o
mapeamento de sada da marca 802.1p 4 do seu valor DSCP padro de 32 para um valor
DSCP de 43, voc pode clicar no cone Configurar para 4 Carga controlada e selecionar o
novo valor Em DSCP na caixa suspensa:
Remapeamento de intervalo final 802.1p CoS 1 Remapeamento de intervalo inicial 802.1p CoS 2
802.1p (CoS de
Ao camada 2) DSCP (camada 3) Notas
Nenhum Quando pacotes que A marca DSCP definida (ou Se a interface de destino desta
a correspondam a essa redefinida) explicitamente como 0. classe de trfego for uma
classe de trfego subinterface VLAN, a parte de
(conforme definido pela 802.1p da marca 802.1q ser
Regra de acesso) so explicitamente definida como 0.
enviados para a Se essa classe de trfego se
interface de egresso, destinar a uma VLAN e estiver
no ser adicionada usando 802.1p para priorizao,
nenhuma marca 802.1p. uma Regra de acesso especfica
usando a ao Preservar,
Explcita ou Mapear deve ser
definida para esta classe de
trfego.
Preserva A marca 802.1p O valor de marca DSCP existente
r existente ser ser preservado.
preservada.
Explcita Pode ser atribudo um Pode ser atribudo um valor de Se a ao de 802.1p ou de DSCP
valor de marca 802.1p marca DSCP explcito (063) a for definida como Explcita
explcito (07) a partir de partir de um menu suspenso que enquanto a outra est definida
um menu suspenso que ser apresentado. como Mapear, a atribuio
ser apresentado. explcita ocorre primeiro e, em
seguida, a outra mapeada de
acordo com essa atribuio.
Mapear A configurao de A configurao de mapeamento Se a opo Mapear estiver
mapeamento definida na definida na pgina definida como a ao em DSCP e
pgina Configuraes Configuraes de firewall > 802.1p, o mapeamento ocorrer
de firewall > Mapeamento QoS ser usada apenas em uma direo: se o
Mapeamento QoS ser para mapear de uma marca 802.1 pacote for de uma VLAN e chegar
usada para mapear de para uma marca DSCP. Ser com uma marca 802.1p, o DSCP
uma marca DSCP para apresentada uma caixa de ser mapeado a partir da marca
uma marca 802.1p. seleo adicional para Permitir 802.1p; se o pacote se destinar a
que a marcao 802.1p uma VLAN, o 802.1p ser
substitua os valores DSCP. A mapeado a partir da marca DSCP.
marcao desta caixa de seleo
declarar o valor de 802.1p
mapeado sobre qualquer valor de
DSCP que poder ter sido definido
pelo cliente. Isso til para
substituir os prprios valores
DSCP CoS de configuraes de
clientes.
Por exemplo, consulte a figura a seguir que fornece uma ao de marca DSCP bidirecional.
Guia Geral
Ao Permitir Permitir
Da zona LAN VPN
Para a zona VPN LAN
Servio VOIP VOIP
Origem Sub-rede primria de Sub-redes do site
LAN principal
Destino Sub-redes do site Sub-rede primria de
principal LAN
Usurios permitidos Tudo Tudo
Cronograma Sempre ativo Sempre ativo
Habilitar registro em log Habilitado Habilitado
Permitir pacotes fragmentados Habilitado Habilitado
Guia QoS
Ao de marcao DSCP Mapear Mapear
Permitir que a marcao 802.1p Habilitado Habilitado
substitua os valores DSCP
Ao de marcao 802.1p Mapear Mapear
Guia Geral
Ao Permitir Permitir
Da zona LAN VPN
Para a zona VPN LAN
Servio VOIP VOIP
Origem Sub-redes da LAN Sub-redes do Site remoto 1
Destino Sub-redes do Site remoto 1 Sub-redes da LAN
Usurios permitidos Tudo Tudo
Cronograma Sempre ativo Sempre ativo
Habilitar registro em log Habilitado Habilitado
Permitir pacotes fragmentados Habilitado Habilitado
Guia QoS
Ao de marcao DSCP Mapear Mapear
Permitir que a marcao 802.1p Habilitado Habilitado
substitua os valores DSCP
Ao de marcao 802.1p Mapear Mapear
O trfego de VoIP (conforme definido pelo Grupo de servios) que chega das Sub-redes do
Site 1 remoto atravs da VPN destinado s Sub-redes da LAN na zona de LAN no Site
principal alcanaria a Regra de acesso para chamadas VoIP de entrada. O trfego que chega
zona de VPN no ter qualquer marca 802.1p, apenas marcas DSCP.
Glossrio
802.1p IEEE 802.1p um mecanismo classe de servio de camada 2 (camada MAC) que
marca pacotes usando 3 bits de prioridade (de um total de 8 nveis de prioridade) dentro
de 16 bits adicionais de um cabealho 802.1q. O processamento de 802.1p requer
equipamento compatvel para gerao, reconhecimento e processamento de marcas e s
deve ser usado em redes compatveis.
Gerenciamento de largura de banda (BWM) refere-se a qualquer um dos vrios
algoritmos ou mtodos usados para formatar ou controlar o trfego. A formatao refere-
se geralmente ao gerenciamento de trfego de sada, enquanto o controle refere-se
geralmente ao gerenciamento de trfego de entrada (tambm conhecido como controle de
admisso). Existem vrios mtodos diferentes de gerenciamento de largura de banda,
incluindo vrias tcnicas de enfileiramento e descarte, cada uma com seus prprios pontos
fortes de design. A SonicWALL utiliza um mtodo de enfileiramento baseado em classe e
em token para BWM de entrada e de sada, bem como um mecanismo de descarte para
determinados tipos de trfego de entrada.
Classe de Servio (CoS) um designador ou identificador, como uma marca de camada
2 ou camada 3, que aplicado ao trfego aps a classificao. As informaes de CoS
sero usadas pelo sistema de Qualidade de Servio (QoS) para diferenciar entre as
classes de trfego na rede e fornecer um tratamento especial (por exemplo, enfileiramento
priorizado, baixa latncia, etc.), como definido pelo administrador do sistema de QoS.
Classificao o ato de identificar (ou diferenciar) determinados tipos (ou classes) de
trfego. No contexto de QoS, isso feito para fornecer manipulao personalizada,
priorizao ou eliminao de priorizao tpica, com base na sensibilidade do trfego ao
atraso, latncia ou perda de pacotes. A classificao no SonicOS usa Regras de
acesso e pode ocorrer com base em qualquer um ou em todos os seguintes elementos:
zona de origem, zona de destino, objeto de endereo de origem, objeto de endereo de
destino, objeto de servio, objeto de programao.
HTTPS Server
Client
1 Client browses to http://www.mysonicwall.com
2 DNS resolves target to 64.41.140.173
3 Client Sends TCP SYN to 64.41.140.173 port 443.
Recurso Benefcio
Listas brancas e negras O administrador pode definir listas de nomes comuns de entidades de
baseadas em nome comum certificados explicitamente permitidos ou negados (descritos nos Conceitos
principais). As entradas sero combinadas em subsequncias, por exemplo,
uma entrada na lista negra de "prox" corresponder a
"www.megaproxy.com", "www.proxify.com" e "proxify.net". Isso permite que o
administrador bloqueie facilmente todas as trocas SSL empregando
certificados emitidos para entidades com nomes potencialmente
censurveis. Inversamente, o administrador pode autorizar facilmente todos
os certificados dentro de uma organizao colocando em lista branca uma
subsequncia comum da organizao. Cada lista pode conter at 1024
entradas.
Como a avaliao realizada no nome comum da entidade incorporado no
certificado, mesmo que o cliente tente ocultar o acesso a esses sites usando
um nome de host alternativo ou at mesmo um endereo IP, a entidade
sempre ser detectada no certificado e a poltica ser aplicada.
Controle do certificado prtica comum para sites legtimos protegidos por SSL usar certificados
autoassinado emitidos por autoridades de certificado bem conhecidas, pois essa a base
de confiana em SSL. quase igualmente comum para os dispositivos de
rede protegidos por SSL (como dispositivos de segurana de rede Dell
SonicWALL) usar certificados autoassinados para seu mtodo padro de
segurana. Por isso, enquanto certificados autoassinados em ambientes
fechados no so suspeitos, suspeito o uso de certificados autoassinados
por sites pblica ou comercialmente disponveis. Um site pblico usando um
certificado autoassinado muitas vezes uma indicao de que a SSL est
sendo usada estritamente para criptografia e no para identificao e
confiana. Embora no incriminando de forma absoluta, isso por vezes
sugere que a ocultao o objetivo, como geralmente o caso de sites
proxy criptografados por SSL.
A capacidade de definir uma poltica para bloquear os certificados
autoassinados permite que os administradores de segurana se protejam
contra essa possvel exposio. Para evitar descontinuidade de
comunicaes para sites SSL conhecidos/confiveis usando certificados
autoassinados, pode ser usado o recurso de lista branca para permisso
explcita.
SSLv2 a verso mais antiga da SSL, ainda comumente usada. Detectou-se que a SSLv2
tem vrias fraquezas, limitaes e deficincias tericas (comparativamente indicadas na
entrada SSLv3) e vista com desprezo, desdm e indignao por puristas de segurana.
SSLv3 a SSLv3 foi projetada para manter a compatibilidade com a SSLv2, adicionando
os seguintes aprimoramentos:
Mtodos alternativos de troca de chaves, incluindo Diffie-Hellman.
Suporte para token de hardware para troca de chaves e criptografia em massa.
Suporte SHA, DSS e Fortezza.
Transferncia de dados de fora de banda.
SSL TLS
Usa um algoritmo HMAC preliminar Usa HMAC conforme descrito em RFC 2104
No aplica MAC nas informaes de verso Aplica MAC nas informaes de verso
No especifica um valor de preenchimento Inicializa o preenchimento para um valor especfico
Conjunto limitado de alertas e avisos Mensagens de alerta e aviso detalhadas
Advertncias e avisos
1. Imposio de autoridade de certificao autoassinada e no confivel no caso de
imposio de uma dessas duas opes, altamente recomendvel que voc adicione os
nomes comuns de qualquer dispositivo de rede protegido por SSL em sua organizao
lista branca para garantir que a conectividade a esses dispositivos no seja interrompida.
Por exemplo, o nome da entidade padro de um dispositivo de segurana de rede Dell
SonicWALL "192.168.168.168" e o nome comum padro de dispositivos VPN SSL Dell
SonicWALL "192.168.200.1".
2. Se a sua organizao empregar sua prpria Autoridade de certificao (CA) privada,
altamente recomendvel que voc importe seu certificado de CA privado para o repositrio
Sistema > Certificados, especialmente se voc desejar impor o bloqueio de certificados
emitidos por autoridades de certificao no confiveis. Consulte a seo Sistema >
Certificados do Guia do administrador do SonicOS para obter mais informaes sobre
esse processo.
3. Atualmente, a inspeo do Controle SSL somente realizada no trfego da porta TCP 443.
As negociaes de SSL que ocorrem em portas no padro no sero inspecionadas neste
momento.
4. Fragmentao de saudao do servidor em alguns casos raros, um servidor SSL
fragmentar a saudao do servidor. Se isso ocorrer, a implementao atual do Controle
SSL no decodificar a saudao do servidor. As polticas do Controle SSL no sero
aplicadas sesso SSL e a sesso SSL ser permitida.
5. Manipulao de encerramento de sesso quando o Controle SSL detecta uma
violao de poltica e encerra uma sesso SSL, ele simplesmente terminar a sesso na
camada de TCP. Uma vez que a sesso SSL est em um estado embrionrio neste
momento, no possvel no momento redirecionar o cliente ou fornecer qualquer tipo de
notificao informativa de trmino para o cliente.
6. Precedncia da lista branca a lista branca prevalece em relao a todos os outros
elementos de Controle SSL. Qualquer certificado de servidor SSL que corresponda a uma
entrada na lista branca permitir o avano da sesso SSL, mesmo que outros elementos
da sesso SSL estejam violando a poltica configurada. Isso se deve ao design.
7. Os certificados de CA (conhecidos) pr-instalados 93. O repositrio resultante muito
semelhante ao que pode ser encontrado na maioria dos navegadores. Outras alteraes
relacionadas com certificado:
Configuraes gerais
Habilitar controle SSL a configurao global do Controle SSL. Isso deve ser habilitado
para que o Controle SSL aplicado s zonas seja eficiente.
Ao
Registrar o evento se for detectada uma violao da poltica de SSL, conforme definido
na seo Configurao abaixo, o evento ser registrado, mas a conexo SSL ser ser
permitida para continuar.
Bloquear a conexo e registrar o evento no caso de uma violao da poltica, a
conexo ser bloqueada e o evento ser registrado.
Listas personalizadas
Configurar lista negra e lista branca permite que o administrador defina cadeias de
caracteres para correspondncia de nomes comuns em certificados SSL. As entradas
diferenciam maisculas de minsculas e sero usadas na forma de correspondncia de
padres, por exemplo:
As entradas podem ser adicionadas, editadas e excludas com os botes sob cada janela de
lista.
Para habilitar o controle SSL em uma zona, navegue at a pgina Rede > Zonas e selecione
o cone de configurao da zona desejada. Na janela Editar zona, marque a caixa de seleo
Habilitar controle SSL e clique em OK. Todas as novas conexes SSL iniciadas a partir dessa
zona estaro agora sujeitas a inspeo.
10 Controle SSL: HTTPS via SSLv2 A sesso SSL estava sendo negociada usando
SSLv2, a qual conhecida por ser suscetvel a
determinados ataques a intermedirios. As
melhores prticas recomendam o uso de SSLv3 ou
TLS em vez disso.
DPI-SSL
| 757
758 | Guia do Administrador do SonicOS 6.2
Captulo 49
Definir configuraes DPI-SSL de cliente
A seo Incluso/Excluso da pgina SSL do cliente contm quatro opes para especificar
a lista de incluses:
Na linha Grupo/Objeto de endereo, selecione um objeto de endereo ou grupo a partir
do menu suspenso Excluir para dispens-lo da inspeo de DPI-SSL.
Na linha Grupo/Objeto de servio, selecione um objeto de servio ou grupo a partir do
menu suspenso Excluir para dispens-lo da inspeo de DPI-SSL.
Na linha Grupo/Objeto de usurio, selecione um objeto de usurio ou grupo a partir do
menu suspenso Excluir para dispens-lo da inspeo de DPI-SSL.
Dica O menu suspenso Incluir pode ser usado para ajustar a lista de excluso especificada. Por
exemplo, selecionar o objeto de endereo Remote-office-California no menu suspenso
Excluir e o objeto de endereo Remote-office-Oakland no menu suspenso Incluir.
A seo Excluses de nome comum usada para adicionar nomes de domnio lista de
excluso. Para adicionar um nome de domnio, digite-o na caixa de texto e clique em
Adicionar.
Clique em Aplicar no topo da pgina para confirmar a configurao.
Filtragem de contedo
Para executar a filtragem de contedo da SonicWALL no trfego baseado em HTTPS e SSL
usando DPI-SSL, execute as seguintes etapas:
1. Navegue at a pgina DPI-SSL > SSL do cliente
2. Marque a caixa de seleo Habilitar inspeo de SSL e a caixa de seleo Filtro de
contedo.
3. Clique em Aplicar.
4. Navegue at a pgina Servios de segurana > Filtro de contedo e clique no boto
Configurar.
5. Desmarque a caixa de seleo Habilitar filtragem de contedo HTTPS com base em IP.
6. Selecione as categorias apropriadas a bloquear.
7. Clique em Aplicar.
8. Navegue at um site bloqueado usando o protocolo HTTPS para verificar se ele est
adequadamente bloqueado.
Nota Para filtragem de contedo atravs de DPI-SSL, quando o acesso HTTPS bloqueado pela
primeira vez, exibida uma pgina em branco. Se a pgina for atualizada, o usurio ver a
pgina de bloqueio do firewall.
Regras de aplicativos
Habilite a caixa de seleo Regras de aplicativos na tela DPI-SSL do cliente e habilite as regras
de aplicativos na tela Regras de aplicativos > Polticas.
1. Navegue at a pgina DPI-SSL > SSL do cliente
2. Marque a caixa de seleo Habilitar inspeo de SSL e a caixa de seleo Regras de
aplicativos.
3. Clique em Aplicar.
4. Navegue at a pgina Regras de aplicativos > Polticas.
5. Habilite Regras de aplicativos.
6. Configure uma Poltica de cliente HTTP para bloquear o navegador Microsoft Internet
Explorer.
Nota O menu suspenso Incluir pode ser usado para ajustar a lista de excluso
especificada. Por exemplo, selecionar o objeto de endereo Remote-office-
California no menu suspenso Excluir e o objeto de endereo Remote-office-
Oakland no menu suspenso Incluir.
Descarregamento de SSL
Quando adicionar os pares de servidor a certificado, a opo cleartext fica disponvel. Esta
opo indica que a parte da conexo TCP entre o dispositivo UTM e o servidor local estar
desprotegida sem camada SSL, permitindo assim que o processamento de SSL seja
descarregado do servidor pelo dispositivo.
VoIP
| 771
772 | Guia do Administrador do SonicOS 6.2
Captulo 51
Configurando o suporte de VoIP
VoIP
Esta seo apresenta duas sees principais:
Viso geral de VoIP na pgina 773
Configuraes de VoIP na pgina 783
O que VoIP?
Voz sobre IP (VoIP) um termo geral para um conjunto de tecnologias que permitem que o
trfego de voz seja feito atravs de redes de Protocolo de Internet (IP). VoIP transfere os fluxos
de voz de chamadas de udio em pacotes de dados, em vez de comunicaes de voz
comutadas por circuito tradicional e analgico usadas pela rede telefnica pblica comutada
(PSTN).
VoIP a fora principal que direciona a convergncia de redes e telecomunicaes
combinando telefonia de voz e dados em um nico sistema de rede IP integrado. VoIP tudo
sobre economia de custos para empresas por meio de eliminao de infra-estruturas
redundantes dispendiosas e de taxas de uso de telecomunicaes, enquanto tambm oferece
recursos de gerenciamento aprimorados e recursos de servios de chamadas.
Nota VoIP tem suporte em todos os dispositivos Dell SonicWALL que podem executar SonicOS
6.1, desde que o aplicativo VoIP seja compatvel com RFC.
Protocolos de VoIP
As tecnologias VoIP so criadas em dois protocolos primrio(s), H.323 e SIP.
H.323
O H.323 um padro desenvolvido pela International Telecommunications Union (ITU). Ele
um conjunto abrangente de protocolos para comunicao de voz, vdeo e dados entre
computadores, terminais, dispositivos de rede e servios de rede. O H.323 projetado para
permitir que os usurios faam chamadas telefnicas multimdia ponto a ponto em redes de
comutao de pacotes sem conexo, como redes IP privadas e a Internet. O H.323
amplamente suportado por fabricantes de equipamentos de videoconferncia, equipamentos
VoIP e software e dispositivos de telefonia na Internet.
O H.323 utiliza uma combinao de TCP e UDP para a sinalizao e ASN.1 para codificao
de mensagens. O H.323v1 foi lanado em 1996 e o H.323v5 foi lanado em 2003. Conforme o
padro mais antigo, o H.323 foi adotado por vrios usurios de VoIP antecipadamente.
Uma rede H.323 consiste em quatro tipos diferentes de entidades:
Terminais - pontos de terminais do cliente para comunicaes de multimdia. Um exemplo
seria um telefone de Internet ou PC habilitado por H.323.
Gatekeepers - executa servios para configurao e derrubada de chamada e registro de
terminais H.323 para comunicaes. Inclui:
Traduo de endereo.
RAS (Registro, controle de admisso e status).
O ILS (Internet Locator Service) tambm est nesta categoria (embora no faa parte
do H.323). O ILS usa o LDAP (Lightweight Directory Access Protocol), em vez de
mensagens de H.323.
MCUs (unidades de controle de vrios pontos) - distribuio de dados e controle de
conferncia para comunicaes de vrios pontos entre terminais.
Gateways - interoperao entre redes H.323 e outros servios de comunicaes, como a
PSTN (Packet Switched Telephone Network) comutada por circuito.
SIP
O padro de SIP (Protocolo de Iniciao de Sesso) foi desenvolvido pela Internet Engineering
Task Force (IETF). RFC 2543 foi liberada em maro de 1999. RFC 3261 foi liberada em junho
de 2002. SIP um protocolo de sinalizao para iniciar, gerenciar e encerrar sesses. SIP
oferece suporte a mobilidade e 'presena' e pode ser executado em TCP (Protocolo de
Controle de Transmisso) e UDP (Protocolo de Datagrama de Usurio).
Segurana VoIP
Legitimidade de trfego - inspeo estvel de cada pacote de sinalizao e mdia de VoIP
que atravessa o firewall garante que todo o trfego seja legtimo. Os pacotes que exploram
falhas de implementao, causando efeitos como estouros de buffer no dispositivo de
destino, so as armas de escolha para vrios invasores. Os dispositivos de segurana de
rede da Dell SonicWALL detectam e descartam pacotes malformados e invlidos antes que
eles atinjam seu destino pretendido.
Proteo da camada de aplicativo para protocolos VoIP - Proteo completa contra
exploraes de VoIP de nvel de aplicativo por meio do IPS (Intrusion Prevention Service)
da SonicWALL. O IPS integra um mecanismo de varredura configurvel e de alto
desempenho com um banco de dados fornecido e atualizado dinamicamente de
assinaturas de ataques e vulnerabilidades para proteger redes contra cavalos de Troia
sofisticados e ameaas polimrficas. A SonicWALL estende seu banco de dados de
assinaturas IPS com uma famlia de assinaturas especficas VoIP projetada para impedir
que o trfego mal-intencionado acesse servidores e telefones VoIP protegidos.
Proteo contra ataque DoS e DDoS - preveno de ataques DoS e DDoS, como o
ataque SYN Flood, Ping of Death e LAND (IP), que so projetados para desabilitar uma
rede ou servio.
Validar a sequncia de pacotes para pacotes de sinalizao de VoIP que usam TCP
para no permitir pacotes fora de sequncia e retransmitidos alm da janela.
Usar nmeros aleatrios de sequncia TCP (gerados por um gerador de nmero
aleatrio criptogrfico durante a configurao de conexo) e validar o fluxo de dados
em cada sesso TCP para impedir ataques de insero de dados e de reproduo.
Rede de VoIP
VoIP sobre LAN sem fio (WLAN) - a SonicWALL estende a segurana VoIP completa para
redes conectadas sem fio com sua soluo sem fio distribuda. Todos os recursos de
segurana fornecidos para dispositivos VoIP conectados a uma rede cabeada atrs de
uma SonicWALL tambm so fornecidos aos dispositivos de VoIP que usam uma rede sem
fio.
Nota A soluo sem fio segura da SonicWALL inclui os ativadores de rede para estender
comunicaes de VoIP seguras em redes sem fio. Consulte o guia Solues integradas de
rede sem fio segura da Dell SonicWALL disponvel no site da Dell SonicWALL
http://www.sonicwall.com para obter informaes completas.
H.323
O SonicOS fornece o seguinte suporte para H.323:
Os dispositivos VoIP que executam todas as verses de H.323 (atualmente de 1 a 5) so
suportados
ILS (Internet Locator Service) com base em LDAP da Microsoft
Descoberta de Gatekeeper por terminais H.323 de LAN usando a difuso seletiva
Monitoramento e processamento estvel de registro de mensagens de registro, admisso
e status (RAS) do Gatekeeper
Suporte para terminais H.323 que usam criptografia para os fluxos de mdia
Opo 150 do DHCP. O servidor DHCP pode ser configurado para retornar o endereo de
um servidor TFTP especfico VoIP para clientes DHCP
Alm do suporte H.323, o SonicOS oferece suporte aos dispositivos de VoIP usando os
seguintes padres ITU adicionais:
T.120 para compartilhamento de aplicativo, lousas eletrnicas, troca de arquivo e bate-
papo
H.239 para permitir vrios canais para fornecimento de udio, vdeo e dados
H.281 para controle de cmera remota (FECC)
SIP
O SonicOS fornece o seguinte suporte para SIP:
Base padro SIP (RFC 2543 e RFC 3261)
Mtodo de SIP INFO (RFC 2976)
Confiabilidade de respostas provisrias no SIP (RFC 3262)
Notificao de evento especfico de SIP (RFC 3265)
Mtodo de ATUALIZAO de SIP (RFC 3311)
Opo de DHCP para servidores SIP (RFC 3361)
Extenso IP para mensagens instantneas (RFC 3428)
Mtodo de REFERNCIA de SIP (RFC 3515)
Extenso do SIP para roteamento de resposta simtrica (RFC 3581)
H.323 SIP
Soft phones: Soft phones:
Avaya Apple iChat
Microsoft NetMeeting Avaya
OpenPhone Microsoft MSN Messenger
PolyCom Nortel Multimedia PC Client
SJLabs SJ Phone PingTel Instant Xpressa
PolyCom
Telefones/videofones: Siemens SCS Client SJLabs
Avaya SJPhone
Cisco XTen X-Lite
D-Link Ubiquity SIP User Agent
PolyCom
Sony Telefones/ATAs:
Avaya
Gatekeepers: Cisco
Cisco Grandstream BudgetOne
OpenH323 Gatekeeper Mitel
Packet8 ATA
Gateway PingTel Xpressa PolyCom
Cisco PolyCom
Pulver Innovations WiSIP
SoundPoint
Proxies/Servios SIP:
Servidor Proxy SIP Cisco
Proxy SIP Brekeke Software OnDo
Packet8
Proxy SIP Siemens SCS
Vonage
CODECs
O SonicOS oferece suporte a fluxos de mdia de qualquer CODEC - os fluxos de mdia
transportam sinais de udio e vdeo que foram processados por um hardware/software CODEC
(COdificador/DECodificador) no dispositivo de VoIP. Os CODECs usam tcnicas de
codificao e compactao para reduzir a quantidade de dados necessrios para representar
sinais de udio e vdeo. Alguns exemplos de CODECs so:
H.264, H.263 e H.261 para vdeo
MPEG4, G.711, G.722, G.723, G.728, G.729 para udio
Chamadas de Entrada
A figura a seguir mostra a sequncia de eventos que ocorrem durante uma chamada de
entrada.
+%9
3IGNALING
-EDIA
Phone
A
VOIP Server
5 2
3
Internet
.ETWORK 3ECURITY !PPLIANCE %
NSA Appliance
6
Phone
B 4
Chamadas locais
A figura a seguir mostra a sequncia de eventos que ocorrem durante uma chamada de VoIP
local.
+%9
3IGNALING
-EDIA
VOIP Server
6 2
Internet
02/
PRO 5060
4
1 3
Phone Phone
A 7 B 5
Configuraes de VoIP
As sees a seguir fornecem informaes sobre configuraes de VoIP:
Configurando recursos de VoIP da SonicWALL na pgina 783
Tarefas de configurao
Configurao de VoIP na pgina 784
Configuraes gerais na pgina 784
Configuraes de SIP na pgina 785
Configuraes H.323 na pgina 786
Configurao de QoS e BWM na pgina 787
Gerenciamento de largura de banda na pgina 787
Qualidade de servio na pgina 787
Configurando a largura de banda na Interface de WAN na pgina 788
Configurando regras de acesso de VoIP na pgina 789
Configurando a criao de log do VoIP na pgina 790
Configuraes gerais
Porta/IP pblico
Porta/IP pblico convertido
192.116.168.10/50650 64.41.140.167/40004
192.116.168.20/50655 64.41.140.167/40745
Nota Habilitar a NAT consistente causa uma ligeira diminuio na segurana global, devido ao
aumento da previsibilidade dos pares de portas e endereos. A maioria dos aplicativos
baseados em UDP so compatveis com a NAT tradicional. Portanto, no habilite a NAT
consistente a menos que sua rede use aplicativos que a solicitem.
Configuraes de SIP
Por padro, os clientes SIP usam seu endereo IP privado nas mensagens de SDP (Session
Definition Protocol) do SIP que so enviadas ao proxy SIP. Se o proxy SIP estiver localizado
no lado (WAN) pblico do firewall e os clientes SIP estiverem localizados no lado (LAN) privado
do firewall, as mensagens de SDP no sero traduzidas e o proxy SIP no poder alcanar os
clientes SIP.
Selecionar Habilitar transformaes de SIP transforma mensagens de SIP entre LAN
(confivel) e WAN/DMZ (no confivel). Ser necessrio verificar esta configurao ao desejar
que o firewall faa a transformao de SIP. Se o proxy SIP estiver localizado no lado (WAN)
pblico do firewall e os clientes SIP estiverem no lado de LAN, por padro, os clientes SIP
incorporaro/usaro seu endereo IP privado nas mensagens de SDP (SIP/Session Definition
Protocol) enviadas ao proxy SIP, portanto, essas mensagens no sero alteradas e o proxy SIP
no saber como voltar ao cliente atrs do firewall. Selecionar Habilitar transformaes de
SIP permite que o firewall percorra cada mensagem de SIP e altere o endereo IP privado e a
porta atribuda. Habilitar transformao de SIP tambm controla e abre as portas RTP/RTCP
que precisam ser abertas para que as chamadas de sesso de SIP ocorra. O NAT traduz os
endereos da camada trs, mas no os endereos de camada sete SIP/SDP, o motivo pelo
qual necessrio selecionar Habilitar transformaes de SIP para transformar as mensagens
de SIP.
Dica Em geral, deve-se verificar a caixa Habilitar transformaes de SIP, a menos que haja
outra soluo transversal de NAT que requer que esse recurso seja desativado. As
transformaes de SIP funcionam no modo bidirecional, significando que as mensagens
so transformadas indo da LAN para a WAN e vice-versa.
Configuraes H.323
Qualidade de servio
QoS abrange vrios mtodos destinados a fornecerem o desempenho e o comportamento de
rede previsvel. A previso de rede vital para VoIP e outros aplicativos de misso crtica.
Nenhuma quantidade de largura de banda pode fornecer esse tipo de previso, porque
qualquer quantidade de largura de banda, por fim, ser usada para sua capacidade em algum
ponto em uma rede. Apenas QoS, quando configurado e implementado corretamente, pode
gerenciar o trfego corretamente e garantir os nveis de servio de rede desejados.
O SonicOS inclui recursos de QoS que adicionam a capacidade de reconhecer, mapear,
modificar e gerar o 802.1p padro de mercado e designadores DSCP (Differentiated Services
Code Points) CoS (Class of Service).
Dica Embora as regras personalizadas possam ser criadas para que permitam o trfego IP de
entrada, o firewall no desabilitar a proteo contra ataques de DoS (Denial of Service),
como os ataques SYN Flood e Ping of Death.
Nota Deve-se selecionar Gerenciamento de largura de banda na pgina Rede > Interfaces para
a interface de WAN antes de poder configurar o gerenciamento de largura de banda para
as regras de acesso rede.
Para adicionar regras de acesso para o trfego de VoIP no dispositivo de segurana de rede
da Dell SonicWALL:
Dica As regras que usam o Gerenciamento de largura de banda tm prioridade sobre regras sem
gerenciamento de largura de banda.
A tabela de status de chamada VoIP exibe as seguintes informaes sobre a conexo VoIP
ativa:
IP do chamador
ID do chamador
IP do chamado
ID do chamado
Protocolo
Largura de banda
Hora de incio
Os administradores podem ver as informaes da pessoa que chamada e da pessoa chamada,
bem como a durao da chamada e a largura de banda usada. As chamadas ativas H.323 e
SIP so exibidas na pgina VoIP > Status de chamada.
As transformaes de H.323 e de SIP devem ser habilitadas na pgina VoIP > Configuraes
para que as chamadas correspondentes sejam exibidas. Somente quando essas opes esto
habilitadas o SonicOS inspeciona a carga de VoIP para rastrear o andamento da chamada.
Para redefinir as conexes para todas as chamadas ativas em andamento:
Clique em Liberar tudo para remover todas as entradas de chamadas VoIP.
Anti-spam
| 793
794 | Guia do Administrador do SonicOS 6.2
Captulo 52
Configurar o anti-spam
Anti-spam
Esta seo descreve como ativar, configurar e gerenciar o Comprehensive Anti-Spam Service
em um dispositivo de segurana de rede Dell SonicWALL.
Esta seo contm as seguintes subsees:
Viso geral do anti-spam na pgina 795
Adquirir uma licena de anti-spam na pgina 801
Anti-spam > Status na pgina 802
Anti-spam > Configuraes na pgina 803
Anti-spam > Estatsticas na pgina 807
Anti-spam > Filtro de lista negra em tempo real na pgina 807
Anti-spam > Viso da caixa de lixo eletrnico na pgina 811
Anti-Spam > Configuraes da caixa de lixo eletrnico na pgina 813
Anti-spam > Resumo de lixo eletrnico na pgina 814
Anti-spam > Configurao de exibio do usurio na pgina 816
Anti-Spam > Catlogos de endereos na pgina 817
Anti-spam > Gerenciar usurios na pgina 819
Anti-Spam > Configurao LDAP na pgina 820
Anti-spam > Avanado na pgina 824
Anti-spam > Downloads na pgina 825
Benefcios
Adicionar proteo anti-spam ao seu firewall aumenta a eficcia do seu sistema como um todo,
filtrando e rejeitando mensagens de lixo eletrnico antes de elas serem visualizadas pelos
usurios em suas caixas de entrada.
Quantidade reduzida de largura de banda e de recursos consumidos por lixo eletrnico na sua rede
Nmero reduzido de mensagens recebidas enviadas para o servidor de e-mail
Ameaa reduzida para a empresa, porque os usurios no conseguem infectar
acidentalmente os seus computadores clicando em spam e vrus
Melhor proteo para os usurios contra ataques de phishing
Rede GRID
Esta seo descreve o gerenciamento da conexo GRID com o recurso de reputao do IP do
remetente que usado pelo SonicWALL Email Security e pelo servio anti-spam no SonicOS.
A reputao do IP do remetente da rede GRID a reputao que um determinado endereo
IP tem com membros da rede GRID Dell SonicWALL. Quando este recurso est habilitado, no
so aceitos e-mails de endereos IP com reputao duvidosa. Quando o SonicOS no aceita
uma conexo de um endereo IP invlido conhecido, as mensagens desse endereo IP nunca
chegam ao servidor de e-mail.
O sistema de reputao do IP do remetente da rede GRID verifica o endereo IP de
solicitaes de conexo de entrada em relao a uma srie de listas e estatsticas para garantir
que a conexo tem a probabilidade de fornecer um e-mail importante. As listas so compiladas
com a inteligncia colaborativa da rede GRID Dell SonicWALL. Remetentes de spam
conhecidos so impedidos de se conectar ao firewall e os contedos do lixo eletrnico nunca
consomem recursos nos sistemas de destino.
Benefcios:
80% do lixo eletrnico bloqueado no nvel da conexo, antes mesmo de o e-mail ser
aceito na sua rede. So necessrios menos recursos para manter o nvel de proteo
contra spam.
A largura de banda no desperdiada na recepo de lixo eletrnico em seus servidores,
somente para analisar e exclu-lo.
Uma rede global vigia os remetentes de spam e ajuda usurios legtimos a restaurar a sua
reputao de IP, se necessrio.
Avaliao Descrio
Lista de permisses Se um endereo IP se encontrar nessa lista, ele tem permisso para
enviar mensagens atravs do
gerenciamento de conexes. As mensagens sero analisadas pelo
firewall, como habitual.
Lista de contatos Este endereo IP impedido de se conectar ao firewall.
bloqueados
O firewall permite que o servidor realize uma conexo e transmita e-mails somente se o
endereo IP passar todos os testes. Se o endereo IP no passar nos testes, enviada uma
mensagem do SonicOS para o servidor que efetua a solicitao a indicar que no existe
nenhum servidor SMTP. A solicitao de conexo no aceita.
Nota Seu dispositivo de segurana de rede Dell SonicWALL deve ser registrado no
mySonicWALL.com antes de usar.
Etapa 4 Selecione o dispositivo UTM ao qual voc deseja adicionar o recurso anti-spam.
Etapa 5 Registre-se para obter uma licena de anti-spam do UTM.
Etapa 6 Efetue login na interface de gerenciamento da Web do dispositivo
SonicWALL Product Name (Short) Variable.
Etapa 7 Navegue at a pgina Sistema > Licenas na barra de navegao mySonicWALL.com.
Etapa 8 Na seo Gerenciar servios de segurana online, clique no link para ativar ou renovar sua
licena. Como alternativa, insira a sua chave ou o conjunto de chaves.
Etapa 9 Insira suas informaes de login mySonicWALL.com.
Etapa 2 Clique em Habilitar servio anti-spam para ativar o anti-spam do recurso UTM.
Etapa 3 Em seguida, clique no cone do instalador do repositrio de lixo eletrnico para instalar o
repositrio de lixo eletrnico em seu servidor do Windows.
Nota A SonicWALL recomenda a instalao do repositrio de lixo eletrnico no seu servidor para
utilizar plenamente as mais recentes funcionalidades disponveis com o CASS 2.0.
Resposta Efeito
Filtragem desativada O anti-spam do UTM no ir verificar e filtrar qualquer e-mail para
esta categoria de ameaas, de forma que todas as mensagens de e-
mail sejam enviadas para os destinatrios.
Marcar com O e-mail marcado com um termo na linha de assunto, por exemplo,
[LIXO ELETRNICO] ou [Possvel lixo eletrnico?]. A seleo dessa
opo permite que o usurio controle o e-mail e envie as mensagens
para a pasta de lixo eletrnico se forem consideradas indesejadas.
Armazenar na caixa de lixo A mensagem de e-mail armazenada na Caixa de Lixo Eletrnico.
eletrnico Ela pode ser liberada por usurios e administradores com as
(configurao padro) permisses apropriadas. Esta opo a configurao recomendada.
Excluir permanentemente A mensagem de e-mail excluda permanentemente.
CUIDADO: Se voc selecionar esta opo, sua organizao corre o
risco de perder e-mails importantes.
Configurao Descrio
Permitir a entrega de correio no Se o servio anti-spam no estiver habilitado ou no estiver
processado quando o servio anti- disponvel por algum motivo, voc poder optar por permitir que todos
spam abrangente no est os e-mails no processados sejam enviados. As mensagens de spam
disponvel sero enviadas para os usurios, bem como e-mails legtimos.
Marcar e entregar ou excluir e-mails Se o repositrio de lixo eletrnico no pode aceitar as mensagens de
quando o repositrio de lixo spam, voc pode optar para exclu-las ou envi-las com linhas de
eletrnico SonicWALL no est assunto de advertncia, como "[Phishing] Renove sua conta".
indisponvel
Intervalo de investigao Defina o nmero de minutos entre as mensagens para o servio de
monitoramento.
Limite de contagem de bem- Defina o nmero de xitos necessrios para relatar um xito ao
sucedidos servio de monitoramento.
Limite de contagem de falhas Defina o nmero de falhas necessrias para denunciar uma falha ao
servio de monitoramento.
Endereo IP pblico do servidor O endereo IP do servidor que est disponvel para conexes
externas.
Porta de e-mail de entrada A porta que o UTM abriu para receber e-mails de origem externa.
Usar endereo privado do servidor Se o repositrio de lixo eletrnico se encontrar no servidor de e-mail
de correio de destino como de destino, selecione a caixa de seleo. Caso contrrio, insira o
endereo do repositrio de lixo endereo IP do repositrio de lixo eletrnico de onde o servidor se
eletrnico encontra localizado.
Habilitar deteco de subsistema Detecte outros sistemas em execuo no seu fluxo de e-mails.
Etapa 1 Efetue logon no seu sistema Exchange e, nesse sistema, abra um navegador da Web e faa
logon na interface.
Etapa 2 Na pgina Anti-spam > Configuraes, clique no cone do instalador do repositrio de lixo
eletrnico para instalar o repositrio de lixo eletrnico no seu Windows Server.
Etapa 3 O navegador pode avis-lo de que o site da Web est tentando carregar o complemento Email
Security da Dell SonicWALL. Clique na barra de informaes e selecione Instalar controle
ActiveX no menu pop-up.
Etapa 4 Na tela de aviso de segurana, clique em Instalar para instalar o controle ActiveX.
Etapa 5 Na pgina Anti-spam > Configuraes, clique novamente no cone Instalador do
repositrio de lixo eletrnico. Uma barra de progresso exibida na pgina.
Etapa 6 O instalador inicia quando o download terminado. Observe que a migrao de dados no
repositrio de lixo eletrnico poder demorar a concluir.
A lista negra em tempo real (RBL) SMTP um mecanismo para publicar os endereos IP de
remetentes de spam SMTP. Existem vrias organizaes que compilam estas informaes
gratuitamente: http://www.spamhaus.org e com fins lucrativos: http://www.mail-abuse.com.
Pode ser encontrada uma lista bem atualizada de servios RBL e a respectiva eficcia em:
http://www.sdsc.edu/~jeff/spam/cbc.html
Nota RBL SMTP uma tcnica de filtragem de spam agressiva que pode ser propensa a falsos
positivos, porque se baseia em listas compiladas de atividades de spam relatadas. A
implementao do SonicOS de filtragem RBL SMTP fornece vrios mecanismos de ajuste
para ajudar a garantir a preciso da filtragem.
Por exemplo, se um servidor SMTP com o endereo IP 1.2.3.4 for bloqueado pelo provedor de
lista RBL sbl-xbl.spamhaus.org, uma consulta DNS para 4.3.2.1.sbl-xbl.spamhaus.org
originar uma resposta 127.0.0.4, indicando que o servidor uma origem de spam conhecida
e que a conexo ser descartada.
Nota A maioria do spam dos dias de hoje conhecido por ser enviado de mquinas roubadas ou
zumbis que executam uma implementao fina de servidor SMTP. Ao contrrio de
servidores SMTP legtimos, esses computadores zumbis raramente tentam repetir
tentativas de entrega falhadas. Quando uma tentativa de entrega bloqueada pelo filtro
RBL, no sero realizadas mais tentativas de entrega para esse mesmo spam.
O menu Servidores DNS RBL permite que voc especifique os servidores DNS. Voc pode
escolher Herdar configuraes da zona de WAN ou Especificar servidores DNS
manualmente. Se voc selecionar Especificar servidores DNS manualmente, digite os
endereos do servidor DNS nos campos Servidor DNS.
As respostas do DNS so coletadas e armazenadas em cache. Se qualquer uma das consultas
resultar em uma resposta de lista negra, o servidor ser filtrado. As respostas so
armazenadas em cache usando valores TTL e as respostas no bloqueadas recebem um TTL
de cache de 2 horas. Se o cache for preenchido, as entradas de cache sero descartadas da
forma FIFO (first-in-first-out [primeiro a entrar, primeiro a sair]).
A verificao de endereo IP usa o cache para determinar se uma conexo deve ser
descartada. Inicialmente, os endereos IP no se encontram em cache e deve ser realizada
uma solicitao de DNS. Nesse caso, o endereo IP considerado inofensivo at prova em
contrrio e a verificao resulta na permisso da conexo. realizada uma solicitao de DNS
e os resultados so armazenados em cache em uma tarefa separada. Quando pacotes
subsequentes deste endereo IP esto marcados, se o endereo IP estiver bloqueado, a
conexo ser descartada.
Para adicionar um servio RBL, clique no boto Adicionar. Na janela Adicionar domnio
RBL, voc especifica o domnio RBL a ser consultado, ativa-o para uso e especifica os
respectivos cdigos de resposta esperados. A maioria dos servios RBL lista as respostas
fornecidas no respectivo site da Web, embora a seleo de Bloquear todas as respostas seja
geralmente aceitvel.
Etapa 1 Na guia Entrada da pgina Anti-spam > Viso da caixa de lixo eletrnico, digite o texto a
pesquisar na caixa de texto Pesquisar.
Etapa 2 Selecione o campo de e-mail no qual deseja pesquisar na lista suspensa entrada.
Etapa 3 Marque uma ou mais caixas de seleo de categorias de ameaa de e-mail a pesquisar. As
categorias que no estejam marcadas no sero pesquisadas.
Somente as mensagens que pertencem a uma das categorias de ameaa de e-mail definidas
em Armazenar na caixa de lixo eletrnico na pgina Anti-spam > Configuraes so
includas no repositrio de lixo eletrnico. No entanto, todas as categorias esto listadas nesta
pgina quer as mensagens desse tipo estejam ou no armazenadas no repositrio de lixo
eletrnico.
Clique no boto Ir para realizar uma pesquisa.
Os resultados so exibidos na seo inferior da pgina.
Marcar tudo Marque a caixa de seleo para todas as linhas na pgina. Se houver mais linhas nos
resultados de pesquisa do que o que exibido na pgina atual, somente os resultados na
pgina atual sero selecionados.
Desmarcar tudo Desmarque a caixa de seleo para todas as linhas na pgina. Se houver mais linhas
nos resultados de pesquisa do que o que exibido na pgina atual, somente os
resultados na pgina atual sero desmarcados.
Enviar cpia Mantenha as mensagens selecionadas no repositrio de lixo eletrnico e envie cpias
para delas para um usurio.
Exibir Defina o nmero de linhas dos resultados da pesquisa para exibir na pgina. As opes
so 10, 25 e 50 linhas por pgina. Os controles de paginao so fornecidos para
navegar para a primeira pgina, pgina anterior, pgina seguinte e ltima pgina dos
resultados.
Etapa 1 Na lista de resultados, marque a caixa de seleo para as mensagens que voc deseja
gerenciar.
Etapa 2 Para excluir permanentemente as mensagens selecionadas a partir do repositrio de lixo
eletrnico, clique no boto Excluir no incio ou no final da lista.
As mensagens selecionadas so excludas imediatamente. No existe nenhuma caixa de
dilogo de confirmao antes da excluso. Se a excluso for bem-sucedida, exibida uma
notificao em verde no topo da pgina. Se a excluso falhar, a notificao exibida em
vermelho.
Etapa 3 Para remover as mensagens selecionadas do repositrio de lixo eletrnico e envi-las para os
usurios, clique no boto Liberar.
As mensagens so liberadas e enviadas imediatamente. No existe nenhuma caixa de dilogo
de confirmao antes da ao. Se a ao for bem-sucedida, exibida uma notificao em
verde no topo da pgina. Se a ao falhar, a notificao exibida em vermelho.
Etapa 4 Para enviar uma cpia das mensagens selecionadas para um usurio, clique no boto Enviar
cpia para. Digite o endereo de e-mail na caixa de dilogo Enviar cpia para e, em seguida,
clique em Enviar.
Catlogos de endereos
Para permitir que os usurios visualizem seu prprio catlogo de endereos na barra de
ferramentas de navegao, selecione a barra de ferramentas Catlogos de Endereos na
seo Configurao de exibio do usurio.
Listas de permisses
Para adicionar um remetente lista de permisses corporativas, navegue at a guia
Permisses e, em seguida, clique no boto Adicionar. Ser exibida uma caixa de dilogo onde
precisar selecionar o tipo de lista entre Pessoas, Empresas ou Listas. Depois de selecionar
uma das opes, voc pode inserir o(s) endereo(s) de e-mail no espao fornecido. Clique em
Adicionar para concluir. Os endereos de e-mail sero adicionados lista na pgina
Catlogos de endereos permitidos.
Nota A guia Bloqueios filtra somente os endereos por Pessoas e Empresas, enquanto a guia
Permisses filtra os endereos por Pessoas, Empresas e Listas.
Adicionar usurios
Nota Voc pode testar as configuraes que definiu clicando no boto Testar logon de LDAP no
canto inferior direito da seo Mtodo de autenticao.
Regras de converso
Em determinados servidores LDAP, como Lotus Domino, alguns endereos de e-mail vlidos
no aparecem no LDAP. A seo Regras de converso altera a forma como o dispositivo Email
Security da Dell SonicWALL interpreta determinados endereos de e-mail, fornecendo uma
forma de mapeamento do endereo de e-mail para o servidor LDAP. Clique no boto Exibir
regras para abrir a caixa de dilogo Mapeamentos de LDAP.
Selecione o servidor LDAP que est usando na lista suspensa e, em seguida, clique em Ir.
Voc pode filtrar a pesquisa tambm com o seguinte:
Mapeamentos de domnio
o domnio adiciona mais mapeamentos de um domnio para outro
substituir por substitui o domnio pelo especificado
tambm adicionar adiciona o segundo domnio lista de domnios vlidos
o caractere do lado esquerdo adiciona mapeamentos de substituio de
caracteres
substituir por substitui o caractere especificado em todos os caracteres
esquerda do sinal "@" no endereo de e-mail
tambm adicionar adiciona um segundo endereo de e-mail lista de
endereos de e-mail vlidos
Clique no boto Adicionar mapeamento para terminar de adicionar as regras de converso.
VPN
| 827
828 | Guia do Administrador do SonicOS 6.2
Captulo 53
Configurando polticas de VPN
Tipos de VPN
H dois tipos principais de VPN em uso popular hoje:
VPN IPsec: O IPsec um conjunto de protocolos de segurana na camada de
processamento de pacotes de comunicao de rede. Uma vantagem do IPsec que
arranjos de segurana podem ser tratados sem exigir alteraes nos computadores de
usurios individuais. O SonicOS oferece suporte a criao e o gerenciamento de VPNs
IPsec.
O IPsec oferece duas opes de servio de segurana: O cabealho de autenticao (AH),
que permite essencialmente a autenticao do remetente de dados, e o ESP
(Encapsulating Security Payload), que oferece suporte a autenticao do remetente e a
criptografia de dados tambm. As informaes especficas associadas a cada um desses
servios so inseridas no pacote em um cabealho que segue o cabealho do pacote IP.
SSL VPN: O SSL (Secure Socket Layer) um protocolo para gerenciar a segurana de
uma transmisso de mensagem na Internet, geralmente, por HTTPS. O SSL usa uma
camada de programa localizada entre as camadas HTTP (protocolo de transferncia de
hipertexto) e o TCP (protocolo de controle de transporte) da Internet. O SSL usa o sistema
de criptografia de chave pblica e privada de RSA, que tambm inclui o uso de um
certificado digital. Uma SSL VPN usa SSL para proteger o tnel de VPN.
Uma vantagem da SSL VPN que o SSL foi criado na maioria dos navegadores da Web.
Nenhum hardware ou software de cliente de VPN especial necessrio.
Nota A Dell SonicWALL faz os dispositivos SSL VPN com os quais possvel usar em conjunto
ou independentemente de um dispositivo de segurana de rede da Dell SonicWALL ao
executar o SonicOS. Para obter informaes sobre os dispositivos da Dell SonicWALL SSL
VPN, consulte o site da Dell SonicWALL: http://www.SonicWALL.com/US/products/
Secure_Remote_Access.HTML
Segurana de VPN
Trfego de VPN IPsec protegido em dois estgios:
Autenticao: A primeira fase estabelece a autenticidade do remetente e do destinatrio
do trfego usando uma troca da parte de chave pblica de um par de chaves pblica-
privada. Esta fase dever ser bem-sucedida antes do tnel de VPN poder ser estabelecido.
Criptografia: O trfego no tnel de VPN criptografado, usando um algoritmo de
criptografia, como AES ou 3DES.
A menos que voc usar uma chave manual (que deve ser digitada de forma idntica em cada
n na VPN), a troca de informaes para autenticar os membros da VPN e criptografar/
descriptografar os dados usa o protocolo IKE (Internet Key Exchange) para trocar informaes
de autenticao (chaves) e estabelecer o tnel de VPN. O SonicOS oferece suporte a duas
verses do IKE, verso 1 e verso 2.
IKE verso 1
O IKE verso 1 usa um processo de duas fases para proteger o tnel de VPN.
IKE fase 1
Em IKE v1, h dois modos de troca de informaes de autenticao: Modo principal e Modo
agressivo.
Modo principal: O n ou o gateway que inicia a VPN consulta o n ou o gateway na
extremidade de recepo e eles trocam mtodos de autenticao, chaves pblicas e
informaes de identidade. Isso geralmente requer seis mensagens para frente e para trs. A
ordem das mensagens de autenticao em Modo principal :
1. O iniciador envia uma lista de algoritmos criptogrficos em que o iniciador oferece suporte.
2. O respondente responde com uma lista de algoritmos criptogrficos suportados.
3. O iniciador envia uma chave pblica (parte de um par de chaves pblica/privada Diffie-
Hellman) para o primeiro algoritmo criptogrfico com suporte mtuo.
4. O respondente responde com a chave pblica para o mesmo algoritmo criptogrfico.
5. O iniciador envia informaes de identidade (geralmente um certificado).
6. O respondente responde com informaes de identidade.
Modo agressivo: Para reduzir o nmero de mensagens trocadas durante a autenticao pela
metade, a negociao de qual algoritmo criptogrfico usar eliminada. O iniciador prope um
algoritmo e o respondente responde se ele oferece suporte a esse algoritmo:
1. O iniciador prope um algoritmo criptogrfico para usar e enviar sua chave pblica.
2. O respondente responde com uma chave pblica e uma prova de identidade.
3. O iniciador envia uma prova de identificao. Aps a autenticao, o tnel de VPN
estabelecido com duas SAs, uma de cada n para o outro.
IKE fase 2
Em IKE fase 2, as duas partes negociam o tipo de segurana a ser usado, quais mtodos de
criptografia usar para o trfego atravs do tnel (se necessrio) e negociam a vida til do tnel
antes que recriao de chave seja necessria.
Os dois tipos de segurana para pacotes individuais so:
ESP (Encryption Secured Payload), no qual a parte de dados de cada pacote
criptografada usando um protocolo negociado entre as partes.
AH (Cabealho de autenticao), no qual o cabealho de cada pacote contm
informaes de autenticao para garantir que as informaes sejam autenticadas e que
no tenham sido violadas. Nenhuma criptografia usada para os dados com o AH.
O SonicOS oferece suporte para os seguintes mtodos de criptografia para trfego atravs da
VPN.
DES
3DES
AES-128
AES-192
AES-256
IKE verso 2
Nota possvel encontrar mais informaes sobre o IKE v2 na especificao, RFC 4306,
disponvel na Web em: http://www.ietf.org/RFC/rfc4306.txt
Nota Para obter mais informaes sobre o Dell SonicWALL Global VPN Client, consulte o Guia
do administrador do Dell SonicWALL Global VPN Client.
Nota Os usurios remotos devem ter explicitamente permisso de acesso aos recursos de rede
nas pginas Usurios > Usurios locais ou Usurios > Grupos locais. Ao configurar
usurios locais ou grupos locais, a guia Acesso de VPN afetar a capacidade de clientes
remotos que usam o GVC que se conecta ao GroupVPN; tambm afetar os usurios
remotos que usam o NetExtender e os marcadores SSL VPN Virtual Office ao acessar os
recursos da rede. Para permitir que os usurios do GVC, NetExtender ou Virtual Office
acessem um recurso da rede, os objetos ou grupos de endereo da rede devem ser
adicionados lista de permisses na guia Acesso VPN.
Polticas de VPN
Todas as polticas de VPN existentes so exibidas na tabela Polticas de VPN. Cada entrada
exibe as seguintes informaes:
Nome: Exibe o nome padro ou o nome de poltica de VPN definido pelo usurio.
Gateway: Exibe o endereo IP do firewall remoto. Se 0.0.0.0 for usado, nenhum gateway
ser exibido.
Destinos: Exibe os endereos IP das redes de destino.
Conjunto de criptografias: Exibe o tipo de criptografia usada para a poltica de VPN.
Habilitar: Marcar a caixa de seleo permite a poltica de VPN. Desmarcar a caixa de
seleo a desabilita.
Configurar: Clicar no cone Editar permite editar a poltica de VPN. Clicar no cone Excluir
permite excluir a poltica de VPN. As polticas de GroupVPN predefinidas no podem
ser excludas, portanto, os cones Excluir estaro esmaecidos. As polticas de GroupVPN
tambm tm um cone Disco para exportar a configurao de polticas de VPN como um
arquivo para a instalao local por SonicWALL Global VPN Clients.
O nmero de polticas de VPN definidas, polticas habilitadas e o nmero mximo de Polticas
permitidas exibido abaixo da tabela. possvel definir at quatro polticas de GroupVPN,
uma para cada zona. Essas polticas de GroupVPN so listadas, por padro, na tabela
Polticas de VPN como GroupVPN de WAN , GroupVPN de LAN , GroupVPN de DMZ e
GroupVPN de WLAN. Clicar no cone de edio na coluna Configurar para o GroupVPN
exibida a janela Poltica de VPN para configurar a poltica de GroupVPN.
A tabela Polticas de VPN fornece fcil paginao para a visualizao de um grande nmero
de polticas de VPN. possvel navegar um grande nmero de polticas de VPN listadas na
tabela Polticas de VPN usando a barra de controle de navegao localizada na parte superior
direita da tabela Polticas de VPN. A barra de controle de navegao inclui quatro botes. O
boto mais esquerda exibe a primeira pgina da tabela. O boto mais direita exibe a ltima
pgina. Os botes de seta interiores para a esquerda e para a direita movem a pgina anterior
ou seguinte, respectivamente.
possvel inserir o nmero da poltica (o nmero listado antes do nome da poltica na coluna
N Nome) no campo Itens para mover para uma poltica de VPN especfica. A configurao de
tabela padro exibe 50 entradas por pgina. Voc pode alterar esse nmero padro de
entradas de tabelas na pgina Sistema > Administrao.
Voc pode classificar as entradas na tabela clicando no cabealho da coluna. As entradas so
classificadas por ordem crescente ou decrescente. A seta para a direita da entrada da coluna
indica o status de classificao. Uma seta para baixo significa ordem crescente. Uma seta para
cima indica uma ordem decrescente.
Na tabela Tneis de VPN ativos atualmente, clique no cone Estatsticas na linha para um tnel
exibir as estatsticas nesse tnel. O cone Estatsticas de tnel de VPN exibe:
Hora de criao: A data e hora em que o tnel veio em existncia.
Tnel vlido at: O momento em que o tnel expira e forado a renegociar.
Pacotes de entrada: O nmero de pacotes recebidos desse tnel.
Pacotes de sada: O nmero de pacotes enviados a partir desse tnel.
Bytes de entrada: O nmero de bytes recebidos desse tnel.
Bytes de sada: O nmero de bytes enviados desse tnel.
Pacotes fragmentados de entrada: O nmero de pacotes fragmentados recebidos desse
tnel.
Pacotes fragmentados de sada: O nmero de pacotes fragmentados enviados desse tnel.
Para obter informaes detalhadas sobre como configurar VPNs no SonicOS, consulte:
Configurando polticas do GroupVPN na pgina 838
Configuraes VPN site a site na pgina 845
Criando polticas de VPN site a site na pgina 846
Controle de regra de acesso VPN adicionada automaticamente na pgina 862
As VPNs do IPSec podem ser configuradas para o IPv6 de forma semelhante s VPNs do IPv4,
depois de selecionar a opo IPv6 no boto de seleo Exibir verso do IP localizado na
parte superior esquerda da pgina VPN > Configuraes.
Existem alguns recursos de VPN que atualmente no so suportadas para o IPv6, incluindo:
O IKEv2 suportado, enquanto que o IKEv1 atualmente no suportado
O GroupVPN no suportado
O DHCP sobre VPN no suportado.
Na guia Rede da poltica de VPN, os objetos do endereo IPv6 (ou grupos de endereos que
contenham somente objetos do endereo IPv6) devem ser selecionados sem relao Rede
local e Rede remota.
Como o DHCP sobre VPN no suportado, as opes do DHCP para a rede protegida no
esto disponveis.
A opo Qualquer endereo para Redes locais e a opo Todos os tneis para Redes
remotas so removidas. Selecione um objeto de endereo da Rede IPv6 todo zero que poderia
ser selecionado para a mesma funcionalidade e comportamento.
Na guia Propostas, a configurao idntica para o IPv6 e IPv4, exceto pelo fato de que o
IPv6 s suporta o modo do IKEv2.
Na guia Avanado, somente Habilitar keep alive e as Configuraes do IKEv2 podem ser
configuradas para as polticas de VPN do IPv6.
Nota Como uma interface pode ter vrios endereos IPv6, s vezes, o endereo local do tnel
pode variar periodicamente. Se o usurio precisar de um endereo IP consistente, configure
a poltica de VPN que ser vinculada a uma interface em vez de uma Zona e especifique o
endereo manualmente. O endereo deve ser um dos endereos IPv6 dessa interface.
Etapa 1 Clique no cone de edio para a entrada GroupVPN de WAN. A caixa de dilogo Poltica de
VPN exibida.
Etapa 2 Na guia Geral, IKE usando segredo pr-compartilhado a configurao padro para o
Mtodo de autenticao. Um segredo compartilhado gerado automaticamente pelo firewall
no campo Segredo compartilhado ou possvel gerar seu prprio segredo compartilhado. Os
Segredos compartilhados devem ter pelo menos quatro caracteres. No possvel alterar o
nome de qualquer poltica de GroupVPN.
Etapa 3 Clique na guia Propostas para continuar o processo de configurao.
Etapa 4 Na seo Proposta de IKE (fase 1), use as seguintes configuraes:
Selecione o Grupo DH no menu Grupo DH.
Nota O cliente L2TP do Windows 2000 e o cliente L2TP do Windows XP apenas podem
trabalhar com o Grupo DH 2. Eles so incompatveis com os Grupos DH 1 e 5.
Nota O cliente L2TP do Windows 2000 e o cliente L2TP do Windows XP apenas podem
trabalhar com o Grupo DH 2. Eles so incompatveis com os Grupos DH 1 e 5.
Insira um valor no campo Vida til (segundos). A configurao padro de 28800 fora
o tnel a renegociar e trocar as chaves a cada 8 horas.
Etapa 6 Clique na guia Avanado.
Etapa 7 Selecione qualquer uma das seguintes configuraes opcionais que deseja aplicar poltica
de GroupVPN:
Configuraes avanadas
Desabilitar anti-retransmisso do IPsec Previne que os pacotes com nmeros de
sequncia duplicados sejam descartados.
Habilitar difuso seletiva de rede do Windows (NetBIOS) - permite o acesso a
recursos de rede remota navegando no ambiente de rede do Windows.
Habilitar difuso seletiva - habilita o trfego de difuso seletiva de IP, como o fluxo
de udio (incluindo VoIP) e aplicativos de vdeo, para passar atravs do tnel de VPN.
Aceitar mltiplas propostas para clientes Permite que mltiplas propostas para
clientes, como a Proposta do IKE (Fase 1) ou a Proposta do IKE (Fase 2), sejam
aceitas.
Gerenciamento por meio deste SA: - Se estiver usando a poltica de VPN para
gerenciar o firewall, selecione o mtodo de gerenciamento, HTTP ou HTTPS.
Gateway padro - permite que o administrador de rede especifique o endereo IP da
rota de rede padro para a entrada de pacotes IPsec para esta poltica de VPN. Os
pacotes de entrada so decodificados pelo firewall e comparados rotas estticas
configuradas no firewall. Como os pacotes podem ter qualquer destino de endereo IP,
impossvel configurar rotas estticas suficientes para lidar com o trfego. Para os
pacotes recebidos por meio de um tnel IPsec, o firewall procura uma rota. Se
nenhuma rota for encontrada, o dispositivo de segurana verificar se h um gateway
padro. Se for detectado um gateway padro, o pacote ser roteado atravs do
gateway. Caso contrrio, o pacote ser descartado.
Autenticao de cliente
Exigir autenticao de clientes VPN por meio de XAUTH - requer que todo o trfego
de entrada neste tnel de VPN seja de um usurio autenticado. O trfego no
autenticado no permitido no tnel de VPN. O grupo Usurios confiveis
Conexes de cliente
Configuraes do adaptador virtual - o uso do adaptador Virtual pelo GVC (Global
VPN Client) dependente de um servidor DHCP, o SonicOS interno ou um servidor
DHCP externo especificado, para alocar endereos para o adaptador virtual. Em casos
em que o endereamento previsvel era um requisito, necessrio obter o endereo
MAC do adaptador virtual e criar uma reserva de concesso DHCP. Para reduzir a
sobrecarga administrativa de fornecimento previsvel de endereamento do adaptador
virtual, possvel configurar o GroupVPN para aceitar o endereamento esttico da
configurao de IP do adaptador virtual. Este recurso requer o uso do SonicWALL
GVC.
Nenhum - um adaptador virtual no ser usado por esta conexo de GroupVPN.
Concesso de DHCP - o adaptador virtual obter sua configurao de IP apenas
do servidor DHCP, conforme configurar na pgina VPN > DHCP sobre VPN.
Concesso de DHCP ou configurao manual - quando o GVC se conectar ao
firewall, a poltica do firewall instruir o GVC a usar um adaptador virtual, mas as
mensagens DHCP sero suprimidas, se o adaptador Virtual tiver sido configurado
manualmente. O valor configurado registrado pelo firewall, para que ele possa
transmitir por proxy o ARP para o endereo IP atribudo manualmente. Por design,
no h atualmente nenhuma limitao nas atribuies de endereo IP para o
adaptador virtual. Apenas os endereos estticos duplicados no so permitidos.
Permitir conexes a - o trfego de rede do cliente que corresponde s redes de
destino de cada gateway enviado atravs do tnel de VPN desse gateway especfico.
Cuidado Antes de configurar o GroupVPN com IKE usando certificados de terceiros, os certificados
devem ser instalados no firewall.
Etapa 1 Na pgina VPN > Configuraes clique no cone de edio em Configurar. A janela Poltica
de VPN exibida.
Etapa 2 Na seo Poltica de segurana, selecione IKE usando certificados de terceiros no menu
Mtodo de autenticao. Por padro, o nome da poltica de VPN GroupVPN e no pode
ser alterado.
Etapa 3 Selecione um certificado para o firewall no menu Certificado de gateway.
Etapa 4 Selecione um dos seguintes tipos de ID de mesmo nvel tipos no menu Tipo de ID de mesmo
nvel:
ID de e-mail ID e Nome de domnio - os tipos ID de e-mail e Nome de domnio
baseiam-se no campo Nome alternativo do assunto do certificado, que no est
contido em todos os certificados, por padro. Se o certificado no contiver um campo
Nome alternativo do assunto, este filtro no funcionar. Os filtros ID de e-mail e Nome
de domnio podem conter uma cadeia de caracteres ou uma cadeia parcial de
caracteres que identifica o intervalo aceitvel necessrio. As cadeias de caracteres
inseridas no diferenciam maisculas de minsculas e podem conter os caracteres
curingas * (para mais de 1 caractere) e? (para um nico caractere). Por exemplo, a
Nota O cliente L2TP do Windows 2000 e o cliente L2TP do Windows XP apenas podem
trabalhar com o Grupo DH 2. Eles so incompatveis com os Grupos DH 1 e 5.
Nota O cliente L2TP do Windows 2000 e o cliente L2TP do Windows XP apenas podem
trabalhar com o Grupo DH 2. Eles so incompatveis com os Grupos DH 1 e 5.
Insira um valor no campo Vida til (segundos). A configurao padro de 28800 fora
o tnel a renegociar e trocar as chaves a cada 8 horas.
Etapa 10 Clique na guia Avanado e selecione qualquer uma das seguintes configuraes opcionais
que desejar aplicar Poltica de GroupVPN:
Cuidado O GroupVPN SA deve ser habilitado no firewall para exportar um arquivo de configurao.
Etapa 2 Formato rcf necessrio para o SonicWALL Global VPN Clients selecionado, por padro.
Os arquivos salvos no formato rcf podem ser criptografados com senha. O firewall fornece um
nome de arquivo padro para o arquivo de configurao, que voc pode alterar.
Etapa 3 Clique em Sim. A janela Exportao de poltica de VPN exibida.
Etapa 4 Digite uma senha no campo Senha e insira-a novamente no campo Confirmar Senha, se
desejar criptografar o arquivo exportado. Se voc escolher no inserir uma senha, o arquivo
exportado no ser criptografado.
Etapa 5 Clique em Enviar. Se voc no inseriu uma senha, uma mensagem ser exibida, confirmando
sua escolha.
Etapa 6 Clique em OK. possvel alterar o arquivo de configurao antes de salvar.
Etapa 7 Salve o arquivo
Etapa 8 Clique em Fechar.
O arquivo pode ser salvo ou enviado eletronicamente aos usurios remotos para configurar
seus Global VPN Clients.
Etapa 3 No menu Tipo de poltica, selecione o tipo de poltica que deseja criar.
Etapa 4 Na guia Geral, selecione IKE usando segredo pr-compartilhado no menu Mtodo de
autenticao.
Etapa 5 Insira um nome para a poltica no campo Nome.
Etapa 6 Insira o nome de host ou o endereo IP da conexo remota no campo Nome ou endereo do
gateway primrio do IPsec.
Etapa 7 Se o dispositivo de VPN remota oferece suporte a mais de um ponto terminal, possvel inserir
opcionalmente um segundo nome de host ou endereo IP de conexo remota no campo Nome
ou endereo do gateway secundrio do IPsec.
Etapa 8 Insira uma senha de Segredo compartilhado a ser usada para configurar a associao de
segurana dos campos Segredo compartilhado e Confirmar segredo compartilhado. O
segredo compartilhado deve ter pelo menos quarto caracteres e deve ser composto por
nmeros e letras.
Opcionalmente, especifique um ID de IKE local (opcional) e um ID de IKE de mesmo nvel
(opcional) para esta poltica. Por padro, o Endereo IP (ID_IPv4_ADDR) usado para
negociaes de Modo principal e o firewall Identificador (ID_USER_FQDN) usado para o
Modo agressivo.
Etapa 9 Clique na guia Rede.
Etapa 10 Em Redes locais, selecione uma rede local em Escolher rede local na lista, se uma rede
local especfica puder acessar o tnel de VPN. Se os hosts neste lado da conexo de VPN
estiverem obtendo seu endereamento de um servidor DHCP no lado do tnel remoto,
selecione Rede local obtm endereos IP usando DHCP por meio deste tnel de VPN. Se
Etapa 11 Em Redes de destino, selecione Usar este tnel de VPN como rota padro para todo o
trfego de Internet, se o trfego de qualquer usurio local no puder deixar o firewall, a menos
que ele esteja criptografado. Apenas possvel configurar uma SA para usar essa
configurao. Se o lado remoto desta conexo de VPN dever obter seu endereamento de um
servidor DHCP neste lado do tnel, selecione Rede de destino obtm endereos IP usando
o servidor DHCP por meio desse tnel. Como alternativa, selecione Escolher rede de
destino na lista e selecione grupo ou objeto de endereo.
Etapa 12 Clique em Propostas.
Etapa 13 Em Proposta de IKE (fase 1), selecione Modo principal, Modo agressivo ou IKEv2 no menu
Troca. Geralmente, o Modo agressivo ser usado quando o endereamento de WAN for
atribudo dinamicamente. O IKEv2 faz com que toda a negociao ocorra por meio de
protocolos de IKE v2, em vez de usar o IKE fase 1 e fase 2. Se voc usar o IKE v2, ambas as
extremidades do tnel de VPN devero usar o IKE v2.
Etapa 14 Em Proposta de IKE (fase 1), os valores padro para Grupo DH, criptografia, Autenticao
e Durao so aceitveis para a maioria das configuraes de VPN. Certifique-se de que os
valores de fase 1 do outro lado do tnel sejam configurados para correspondncia. Tambm
possvel escolher AES-128, AES-192, ou AES-256 no menu Autenticao, em vez de 3DES
para segurana de autenticao aprimorada.
Etapa 15 Em proposta de IPsec (fase 2), os valores padro para Protocolo, Criptografia,
Autenticao, Habilitar segredo de encaminhamento perfeito, Grupo DH e Durao so
aceitos para a maioria das configuraes de SA de VPN. Certifique-se de que os valores de
fase 2 do outro lado do tnel sejam configurados para correspondncia.
Etapa 1 Clique em Adicionar na pgina VPN > Configuraes. A janela Poltica de VPN exibida.
Etapa 2 Na guia Geral na janela Poltica de VPN, selecione Chave manual no menu Modo de criao
de chave IPsec. A janela Poltica de VPN exibe as opes de chave manuais.
Etapa 3 Insira um nome para a poltica no campo Nome.
Etapa 4 Insira o nome de host ou endereo IP da conexo remota no campo Nome ou endereo do
gateway de IPsec.
Etapa 5 Clique na guia Rede.
Etapa 6 Selecione uma rede local em Escolher rede local na lista, se uma rede local especfica puder
acessar o tnel de VPN. Se o trfego puder ser originado de qualquer rede local, selecione
Qualquer endereo. Use esta opo, se um par tiver selecionado Usar este tnel de VPN
como rota padro para todo o trfego de Internet. Apenas possvel configurar uma SA para
usar essa configurao. Como alternativa, selecione Escolher rede de destino na lista e
selecione grupo ou objeto de endereo.
Etapa 7 Clique na guia Propostas.
Etapa 8 Defina um SPI de entrada e um SPI de sada. Os SPIs esto hexadecimais
(0123456789abcedf) e podem variar de 3 a 8 caracteres de comprimento.
Cuidado Cada associao de segurana deve ter SPIs exclusivos; duas associaes de segurana
no podem compartilhar os mesmos SPIs. No entanto, cada SPI de entrada da associao
de segurana pode ser o mesmo que o SPI de sada.
Etapa 9 Os valores padro para Protocolo, Criptografia fase 2 e Autenticao fase 2 so aceitos
para a maioria das configuraes de SA de VPN.
Etapa 12 Clique na guia Avanado e selecione qualquer uma das seguintes configuraes opcionais
que deseja aplicar poltica de VPN.
Por padro, a configurao Suprimir criao automtica de regras de acesso para
poltica de VPN no habilitada para permitir que o trfego de VPN atravesse as
zonas apropriadas.
Selecione Habilitar difuso seletiva de rede do Windows (NetBIOS) para permitir o
acesso a recursos de rede remota navegando no ambiente de Rede do Windows.
Selecione Aplicar polticas de NAT, se desejar que o firewall traduza ambas as redes,
local e remota, que se comunicam por meio deste tnel de VPN. Para executar a
traduo de endereo de rede na rede local, selecione ou crie um objeto de endereo
na caixa suspensa Rede local traduzida. Para traduzir a rede remota, selecione ou
crie um objeto de endereo na caixa suspensa Rede remota traduzida. Geralmente,
se a NAT for necessria em um tnel, local ou remoto dever ser traduzido, mas no
ambos. Aplicar polticas de NAT especificamente til em casos em que ambos os
lados de um tnel usam as mesmas sub-redes ou as sub-redes sobrepostas.
Para gerenciar a SonicWALL local por meio do tnel de VPN, selecione HTTPS em
Gerenciamento por meio deste SA.
Selecione HTTP, HTTPS ou ambos em Login do usurio por meio deste SA para
permitir que os usurios efetuem login usando SA.
Se voc tiver um Endereo IP para um gateway, insira-o no campo Gateway de LAN
padro (opcional).
Selecione uma interface no menu Poltica de VPN ligada a.
Etapa 13 Clique em OK.
Etapa 14 Clique em Aceitar na pgina VPN > Configuraes para atualizar as Polticas de VPN.
Etapa 1 Clique em Adicionar na pgina VPN > Configuraes. A janela Poltica de VPN exibida.
Etapa 2 Na guia Geral, selecione Chave manual no menu Modo de criao de chave de IPsec.
Etapa 3 Insira um nome para SA no campo Nome.
Etapa 4 Insira o nome de host ou endereo IP da conexo local no campo Nome ou endereo do
gateway de IPsec.
Etapa 5 Clique na guia Rede.
Etapa 6 Selecione uma rede local em Escolher rede local na lista, se uma rede local especfica puder
acessar o tnel de VPN. Se o trfego puder ser originado de qualquer rede local, selecione
Qualquer endereo. Selecione Usar este tnel de VPN como rota padro para todo o
trfego de Internet, se o trfego de qualquer usurio local no puder deixar o firewall, a menos
Cuidado Cada associao de segurana deve ter SPIs exclusivos; duas associaes de segurana
no podem compartilhar os mesmos SPIs. No entanto, cada SPI de entrada da associao
de segurana pode ser o mesmo que o SPI de sada.
Etapa 9 Os valores padro para Protocolo, Criptografia fase 2 e Autenticao fase 2 so aceitos
para a maioria das configuraes de SA de VPN.
Etapa 12 Clique na guia Avanado e selecione qualquer uma das seguintes configuraes opcionais
que deseja aplicar poltica de VPN:
Por padro, a configurao Suprimir criao automtica de regras de acesso para
poltica de VPN no habilitada para permitir que o trfego de VPN atravesse as
zonas apropriadas.
Selecione Habilitar difuso seletiva de rede do Windows (NetBIOS) para permitir o
acesso a recursos de rede remota navegando no ambiente de Rede do Windows.
Selecione Aplicar polticas de NAT, se desejar que o firewall traduza ambas as redes,
local e remota, que se comunicam por meio deste tnel de VPN. Para executar a
traduo de endereo de rede na rede local, selecione ou crie um objeto de endereo
na caixa suspensa Rede local traduzida. Para traduzir a rede remota, selecione ou
crie um objeto de endereo na caixa suspensa Rede remota traduzida. Geralmente,
se a NAT for necessria em um tnel, local ou remoto dever ser traduzido, mas no
ambos. Aplicar polticas de NAT especificamente til em casos em que ambos os
lados de um tnel usam as mesmas sub-redes ou as sub-redes sobrepostas.
Para gerenciar a SonicWALL remota por meio do tnel de VPN, selecione HTTP,
HTTPS ou ambas em Gerenciamento por meio deste SA.
Selecione HTTP, HTTPS ou ambos em Login do usurio por meio deste SA para
permitir que os usurios efetuem login usando SA.
Se voc tiver um Endereo IP para um gateway, insira-o no campo Gateway de LAN
padro (opcional).
Selecione uma interface no menu Poltica de VPN ligada a.
Etapa 13 Clique em OK.
Etapa 14 Clique em Aceitar na pgina VPN > Configuraes para atualizar as Polticas de VPN.
Dica Depois que a Rede do Windows (NetBIOS) tiver sido habilitada, os usurios podero exibir
computadores remotos em seu ambiente de Rede do Windows. Os usurios tambm
podero acessar recursos na LAN remota digitando endereos IP remotos dos servidores
ou das estaes de trabalho.
Nota Deve-se ter um certificado vlido de uma autoridade de certificado de terceiros instalado na
SonicWALL antes de poder configurar a poltica de VPN com IKE usando um certificado de
terceiros.
Para criar uma SA de VPN usando IKE e certificados de terceiros, siga estas etapas:
Etapa 1 Na pgina VPN > Configuraes, clique em Adicionar. A janela Poltica de VPN exibida.
Etapa 2 Na lista Mtodo de autenticao na guia Geral, selecione IKE usando certificados de
terceiros. A janela Poltica de VPN exibe as opes de certificado de terceiros.
Etapa 3 Digite um Nome para a associao de segurana no campo Nome.
Etapa 4 Digite o endereo IP ou FQDN (Nome de domnio totalmente qualificado) da SonicWALL
remota primria no campo Nome ou endereo do gateway primrio de IPsec. Se voc tiver
uma SonicWALL remota secundria, insira o endereo IP ou o FQDN (nome de domnio
totalmente qualificado) no campo Nome ou endereo do gateway secundrio de IPsec.
Etapa 5 Em Autenticao de IKE, selecione um certificado de terceiros na lista Certificado local.
Voc deve ter importado certificados locais antes de selecionar esta opo.
Etapa 6 Selecione um dos seguinte tipos de ID de mesmo nvel no menu Tipo de ID de IKE de mesmo
nvel:
ID de e-mail e Nome de domnio - os tipos de ID de e-mail e Nome de domnio
baseiam-se no campo Nome alternativo do assunto do certificado, que no est
contido em todos os certificados, por padro. Se o certificado contiver um Nome
alternativo do assunto, esse valor dever ser usado. Para as VPNs site a site, os
caracteres curingas (como * para mais de 1 caractere ou ? para um nico caractere)
Nota As atualizaes de senha apenas podero ser feitas por LDAP ao usar o Active
Directory com TLS e se ligando a ele usando uma conta administrativa ou ao usar
o Novell eDirectory.
Configuraes de IKEv2
Enviar notificao de cookie IKEv2 - envia cookies para IKEv2 do mesmo nvel como
uma ferramenta de autenticao.
Proposta de cliente dinmico IKEv2 - O SonicOS fornece suporte ao cliente dinmico
IKEv2 que fornece uma maneira de configurar os atributos do IKE (Internet Key Exchange),
em vez de usar as configuraes padro. Clicar no boto Configurar ativa a janela
Configurar proposta de cliente dinmico IKEv2.
Nota A poltica de VPN no gateway remoto tambm deve ser definida com as mesmas
configuraes.
Etapa 1 Na pgina Sistema -> Certificados, clique no boto Importar. Isso abrir a pgina Importar
certificado.
Etapa 2 Selecione a opo Importar um certificado de CA de um arquivo codificado PKCSn7
(.p7b), PEM (.pem) ou DER (.der ou .cer) e especifique o local do certificado.
4. Se desejar usar o Servidor DHCP para clientes globais de VPN e/ou para um firewall
remoto, selecione a opo Usar servidor DHCP interno.
5. Para usar o Servidor DHCP para clientes globais de VPN, selecione a opo Clientes
globais de VPN.
6. Para usar o Servidor DHCP para um firewall remoto, selecione a opoFirewall remoto.
7. Se voc desejar enviar solicitaes DHCP aos servidores especficos, selecione Enviar
solicitaes DHCP aos endereos de servidores listados abaixo.
8. Clique em Adicionar. A janela Adicionar servidor DHCP exibida.
9. Digite os endereos IP dos servidores DHCP no campo Endereo IP e clique em OK. O
firewall agora direciona solicitaes DHCP para os servidores especificados.
10. Digite o endereo IP de um servidor de retransmisso no campo Endereo IP de
retransmisso (opcional).
Para editar uma entrada na tabela Endereo IP, clique em Editar. Para excluir um Servidor
DHCP, destaque a entrada na tabela Endereo IP e clique em Excluir. Clique em Excluir tudo
para excluir todas as entradas.
Nota Apenas polticas de VPN que usam IKE podem ser usadas como tneis de VPN para DHCP.
2. Para configurar Dispositivos estticos em LAN, clique em Adicionar para exibir a janela
Adicionar entrada de dispositivo da LAN e digite o endereo IP do dispositivo no campo
Endereo IP e, em seguida, digite o endereo Ethernet do dispositivo no campo Endereo
Ethernet.
Um exemplo de um dispositivo esttico uma impressora, visto que ela no pode obter
uma concesso de IP dinamicamente. Se voc no tiver Bloquear trfego pelo tnel ao
detectar IP falsificado habilitado, no ser necessrio digitar o endereo Ethernet de um
dispositivo. Deve-se excluir os endereos IP estticos do conjunto de endereos IP
disponveis no servidor DHCP, para que o servidor DHCP no atribua esses endereos a
clientes DHCP. Deve-se tambm excluir o endereo IP usado como o Endereo IP de
retransmisso. recomendvel reservar um bloco de endereos IP a serem usados como
endereos IP de retransmisso. Clique em OK.
3. Para excluir dispositivos na LAN, clique Adicionar para exibir a janela Adicionar entrada
de LAN excluda. Digite o endereo MAC do dispositivo no campo Endereo Ethernet.
Clique em OK.
4. Clique em OK para sair da janela Configurao de DHCP sobre VPN.
Nota Deve-se configurar o servidor DHCP local no firewall remoto para atribuir concesses de IP
a esses computadores.
Nota Se um site remoto tiver problemas para se conectar a um gateway central e para obter uma
concesso, verifique se o DNE (Deterministic Network Enhancer) no est habilitado no
computador remoto.
Dica Se um endereo IP de LAN estiver fora do escopo do DHCP, o roteamento ser possvel
para esse IP, por exemplo, duas LANs.
Nota Para obter informaes mais completas sobre como configurar o servidor L2TP, consulte a
nota tcnica Configurando o servidor L2TP no SonicOS localizada no site de
documentao da Dell SonicWALL:http://www.sonicwall.com/us/Support.html.
Guia PPP
O painel Configuraes de PPP na guia PPP permite que voc adicione ou remova protocolos
de autenticao, ou reorganize a ordem preferida dos protocolos de autenticao.
Etapa 1 Navegue at a pgina VPN > Configuraes. Para a poltica de WAN GroupVPN, clique no
boto Configurar cone.
Etapa 2 Na guia Geral, selecione IKE usando segredo pr-compartilhado no menu suspenso Mtodo
de autenticao. Insira uma senha de segredo compartilhado para concluir a configurao de
poltica de cliente. E clique no boto OK.
Etapa 3 Navegue at a pgina VPN > Servidor L2TP. Na seo de Configuraes de servidor L2TP,
clique na caixa de seleo Habilitar o servidor L2TP. E clique no boto Configurar. A pgina
de definio Configuraes de servidor L2TP exibida.
Etapa 4 Fornea as seguintes configuraes de servidor L2TP:
Tempo de keep alive (s): 60
Servidor DNS 1: 199.2.252.10 (ou use o DNS do ISP)
Servidor DNS 2: 4.2.2.2 (ou use o DNS do ISP)
Servidor DNS 3: 0.0.0.0 (ou use o DNS do ISP)
Servidor WINS 1: 0.0.0.0 (ou use o IP WINS)
Servidor WINS 2: 0.0.0.0 (ou use o IP WINS)
Etapa 6 Na seo Usurios L2TP, selecione o Usurios confiveis no menu suspenso Grupo de
usurios para usurios L2TP.
Etapa 7 V at a pgina Usurios > Usurios locais. Clique no boto Adicionar usurio.
Etapa 8 Na guia Configuraes, especifique um nome de usurio e uma senha.
Etapa 9 Clique em OK.
Nota Editando o Firewall > Regras de acesso para a zona da LAN de VPN ou outra zona de
VPN, possvel restringir o acesso rede para clientes L2TP. Para localizar uma regra a
ser editada, selecione a exibio Todas as regras da tabela Regras de acesso e examine
a coluna Origem. O objeto de endereo na coluna Origem de linhas aplicveis exibe o
"Pool de IP L2TP".
Etapa 10 No computador com Microsoft Windows, conclua a configurao Cliente de VPN L2TP a seguir
para habilitar o acesso seguro:
Navegue at Windows > Iniciar > Painel de controle > Conexes de rede.
Abra o assistente Nova conexo. Clique em Avanar.
Escolha "Conectar-se rede em meu local de trabalho". Clique em Avanar.
Escolha "Conexo de rede privada virtual". Clique em Avanar.
Insira um nome para a conexo de VPN. Clique em Avanar.
Insira o endereo IP (WAN) pblico do firewall. Como alternativa, possvel usar um
nome de domnio que aponta para o firewall. Clique em Avanar, em seguida, clique
em Finalizar. A janela de conexo ser exibida. Clique em Propriedades.
Clique na guia Segurana. Clique em "Configuraes IPSec". Habilite "Uso de chave
pr-compartilhada para autenticao". Insira o segredo pr-compartilhado. Clique em
OK.
Clique na guia Rede. Altere o "Tipo de VPN" de "Automtico" para "VPN IPSec L2TP".
Clique em OK.
10) Insira o nome de usurio XAUTH e senha. Clique em Conectar.
Etapa 11 Verifique se o dispositivo de VPN L2TP do Microsoft Windows est conectado, navegue at a
pgina VPN > Configuraes. O cliente VPN exibido na seo Tneis de VPN ativos
atualmente.
Etapa 1 Navegue at a pgina VPN > Configuraes. Para a poltica de WAN GroupVPN, clique no
boto Configurar cone.
Etapa 2 Na guia Geral, selecione IKE usando segredo pr-compartilhado no menu suspenso Mtodo
de autenticao. Insira uma senha de segredo compartilhado para concluir a configurao de
poltica de cliente. E clique no boto OK.
Etapa 3 Para a guia Propostas para fornecer as seguintes configuraes para Proposta de IKE (fase 1)
e proposta de IPsec (fase 2):
Grupo DH: Grupo 2
Criptografia: 3DES
Autenticao: SHA1
Durao (segundos): 28800
Protocolo: ESP
Criptografia: DES
Autenticao: SHA1
Habilitar segredo de encaminhamento perfeito: Habilitado
Durao (segundos): 28800
Etapa 4 Na guia Avanado, fornea as seguintes configuraes:
Habilitar difuso de rede Windows (NetBIOS): Habilitado
Habilitar difuso seletiva: Desabilitado
Gerenciamento por meio deste SA: Todos Desabilitados
Gateway padro: 0.0.0.0
Requerer autenticao de clientes de VPN por XAUTH: Habilitado
Grupo de usurios para usurios XAUTH: Usurios confiveis
Etapa 5 Na guia Cliente, fornea as seguintes configuraes:
Armazenar em cache nome de usurio XAUTH e senha no cliente: Sesso nica ou
Sempre
Configuraes do adaptador virtual: Concesso de DHCP
Permitir conexes com: Tneis de diviso
Definir rota padro como este gateway: Desabilitado
Usar chave padro para provisionamento de cliente simples: Habilitado
Etapa 6 Navegue at a pgina VPN > Servidor L2TP. Na seo de Configuraes de servidor L2TP,
clique na caixa de seleo Habilitar o servidor L2TP. E clique no boto Configurar. A pgina
de definio Configuraes de servidor L2TP exibida.
Etapa 9 Na seo de Usurios L2TP, selecione Usurios confiveis no menu suspenso Grupo de
usurios para usurios L2TP.
Etapa 10 V at a pgina Usurios > Usurios locais. Clique no boto Adicionar usurio.
Etapa 11 Na guia Configuraes, especifique um nome de usurio e uma senha.
Etapa 12 Na guia Acesso de VPN, adicione o(s) objeto(s) de endereo de rede desejado(s) que os
clientes L2TP adicionam s redes de lista de acessos.
Etapa 13 No dispositivo Google Android, conclua a configurao de Cliente VPN L2TP a seguir para
habilitar o acesso seguro:
Navegue at a pgina APP e selecione o cone Configuraes. No menu
Configuraes, selecione Sem fio e redes.
Selecione Configuraes de VPN e clique em Adicionar VPN.
Selecione Adicionar VPN PSK L2TP/IPSec.
Nome de VPN: inserir um nome amigvel de VPN
Definir o servidor VPN: insira o endereo IP pblico do firewall
Definir chave pr-compartilhada IPSec: insira a senha para a poltica de WAN
GroupVPN
Segredo L2TP: deixe em branco
Domnio de LAN: configurao opcional
Insira o nome de usurio e senha. Clique em Conectar.
Etapa 14 Verifique se o dispositivo Google Android est conectado navegando at a pgina VPN >
Configuraes. O cliente VPN exibido na seo Tneis de VPN ativos atualmente.
SSL VPN
| 885
886 | Guia do Administrador do SonicOS 6.2
Captulo 57
Configurao SSL VPN
SSL VPN
Esta seo fornece informaes sobre como configurar os recursos de SSL VPN no dispositivo
de segurana de rede Dell SonicWALL. Os recursos de SSL VPN da SonicWALL fornecem
acesso remoto seguro rede usando o cliente NetExtender.
O NetExtender um cliente de SSL VPN para usurios de Windows, Mac ou Linux que
baixado transparente e que permite que voc execute qualquer aplicativo com segurana na
rede da empresa. Usa PPP (Point-to-Point Protocol). O NetExtender permite que clientes
remotos tenham acesso sem igual aos recursos na sua rede local. Usurios podem acessar o
NetExtender de duas maneiras:
Fazendo login no portal da web do Virtual Office fornecido pelo dispositivo de segurana
de rede Dell SonicWALL e clicando no boto NetExtender.
Iniciando o cliente do NetExtender independente.
O cliente NetExtender independente instalado na primeira vez que voc iniciar o
NetExtender. Depois disso, ele pode ser acessado diretamente do menu Iniciar em sistemas
Windows, da pasta de Aplicativo ou acoplar-se em sistemas MacOS ou pelo nome do caminho
ou na barra de atalho em sistemas Linux.
Esta seo contm as seguintes subsees:
SSL VPN NetExtender Viso geral na pgina 888
Configurao de Usurios para Acesso SSL VPN na pgina 890
SSL VPN > Status na pgina 892
SSL VPN > Configuraes do Servidor na pgina 893
SSL VPN > Configuraes do Portal na pgina 894
SSL VPN > Configuraes do Cliente na pgina 896
SSL VPN > Rotas de clientes na pgina 899
SSL VPN > Virtual Office na pgina 901
Acesso ao Portal SSL VPN na pgina 901
Uso do NetExtender na pgina 901
Configurao de Marcadores SSL VPN na pgina 927
Uso de Marcadores SSL VPN na pgina 931
Benefcios
O NetExtender fornece aos usurios remotos acesso total sua rede interna protegida. A
experincia virtualmente idntica daquela que usa um cliente IPSec VPN tradicional, mas o
NetExtender no requer qualquer instalao manual do cliente. Em vez disso, o cliente
NetExtender Windows instalado automaticamente no PC de um usurio remoto por um
controle ActiveX ao usar o navegador Internet Explorer ou com o plug-in XPCOM quando usar
o Firefox. Em sistemas MacOS, os navegadores suportados usam controles de Java para
instalar automaticamente o NetExtender a partir do portal Virtual Office. Os sistemas Linux
tambm podem instalar e usar o cliente NetExtender.
Aps a instalao, o NetExtender inicia-se automaticamente e conecta-se a um adaptador
virtual para acesso seguro a ponto a ponto SSL-VPN para hosts permitidos e sub-redes na
rede interna.
Conceitos do NetExtender
As sees a seguir descrevem os conceitos avanados do NetExtender:
Cliente independente na pgina 888
Rotas de cliente na pgina 889
Modo Todos tneis na pgina 889
Scripts de Conexo na pgina 889
Configurao de proxy na pgina 889
Cliente independente
Rotas de cliente
Rotas de cliente NetExtender so usadas para permitir e negar acesso aos usurios de SSL
VPN a diversos recursos de rede. Objetos de endereo so usados para dinamicamente e
facilmente configurar o acesso aos recursos da rede.
O modo Todos os tneis controla todo o trfego de e para o usurio remoto atravs do tnel
SSL VPN NetExtender incluindo o trfego destinado para rede local do usurio remoto. Isso
feito adicionando as seguintes rotas tabela de roteamento do cliente remoto:
O NetExtender tambm adiciona rotas para as redes locais de todas as conexes de rede
conectadas. Essas rotas so configuradas com mtricas mais altas do que todas as rotas
existentes para forar o trfego destinado para a rede local atravs do tnel SSL VPN. Por
exemplo, se um usurio remoto tem o Endereo IP 10.0.67.64 na rede 10.0. *. *, a rota
10.0.0.0/255.255.0.0 adicionada para rotear o trfego por meio do tnel SSL VPN.
O modo Todos os tneis est configurado na pgina SSL VPN > Rotas de cliente.
Scripts de Conexo
O SonicWALL SSL VPN fornece aos usurios a capacidade de executar scripts de arquivos em
lote quando o NetExtender se conecta e desconecta. Os scripts podem ser usados para
mapear ou desconectar unidades de rede e impressoras, iniciar aplicativos ou abrir arquivos
ou sites da Web. Os Scripts de Conexo NetExtender podem oferecer suporte a quaisquer
comandos de arquivo em lotes vlidos.
Configurao de proxy
Etapa 2 Clique no cone de configurao para o usurio que deseja editar ou clique no boto
Adicionar usurio para criar um novo usurio. A janela Editar usurio iniciada.
Etapa 3 Clique na guia Grupos.
Etapa 4 Na coluna de Grupos de usurios, clique em Servios SSLVPN e clique na seta para a direita
para mov-lo para a coluna Membro de.
Etapa 5 Clique na guia Acesso VPN. A guia Acesso VPN configura quais recursos da rede os usurios
da VPN (marcadores do GVC, NetExtender ou Virtual Office) podem acessar. Selecione um ou
mais objetos ou grupos de endereo de rede da lista Redes e clique no boto de seta para a
direita (->) para mov-los para a coluna Lista de acesso. Para remover acesso do usurio a
um objeto ou grupo de endereos de rede, selecione a rede a partir da Lista de acesso, e
clique no boto de seta para a esquerda (<-).
Nota A guia Acesso VPN na janela Editar usurio tambm outro controle granular para acesso
para ambos os marcadores do Virtual Office e acesso NetExtender.
Nota A guia AcessoVPN na janela Editar usurio tambm outro controle granular para acesso
para ambos os Marcadores do Virtual Office e acesso NetExtender.
As opes a seguir podem ser configuradas na pgina SSL VPN > Configuraes do servidor.
Status de SSL VPN em zonas: Exibe o status do acesso SSL VPN em cada zona. Verde
indica status ativo do SSL VPN, enquanto o vermelho indica status inativo do SSL VPN.
Para habilitar ou desabilitar o acesso SSL-VPN em uma zona, clique no nome de zona para
ir para a janela Editar zona.
Porta de SSL VPN: Defina a porta de SSL VPN para o dispositivo. O padro 4433.
Seleo de certificado: Selecione o certificado que ser usado para autenticar usurios
de SSL VPN. Para gerenciar certificados, v para a pgina Rede -> Certificados
Habilitar preferncia de criptografia de servidor: Selecione esta caixa de seleo para
configurar um mtodo de criptografia preferido. Os cdigos disponveis so RC4_MD5,
3DES_SHA1 e AES256_SHA1.
Configuraes de usurio RADIUS: Esta opo s est disponvel quando o RADIUS ou
LDAP est configurado para autenticar usurios de SSL VPN. Selecione a caixa de
seleo Usar RADIUS em para que RADIUS use o modo MSCHAP (ou MSCHAPv2).
Habilitar o modo MSCHAP RADIUS permitir que os usurios alterem senhas expiradas
no momento de login.
Nota Para que o SonicOS encerre sesses SSL VPN, HTTPS para Gerenciamento ou Login do
usurio deve estar habilitado na pgina Rede > Interfaces , na caixa de dilogo Editar
Interface para a interface de WAN.
Nota O intervalo deve estar dentro da mesma sub-rede que a interface qual o dispositivo SSL
VPN est conectado e, em casos onde h outros hosts no mesmo segmento, como o
dispositivo SSL VPN, ele no deve se sobrepem ou entrarem em conflito com quaisquer
endereos atribudos.
Para configurar o intervalo de endereo do cliente SSL VPN, execute as seguintes etapas:
Etapa 11 Clique no nome de zona na parte superior da pgina para habilitar o acesso SSL VPN a ela
com essas configuraes. O indicador deve ser verde para a Zona que voc deseja habilitar.
Etapa 12 Clique em Aceitar.
O NetExtender tambm adiciona rotas para as redes locais de todas as conexes de rede
conectadas. Essas rotas so configuradas com mtricas mais altas do que todas as rotas
existentes para forar o trfego destinado para a rede local atravs do tnel SSL VPN. Por
exemplo, se um usurio remoto tem o Endereo IP 10.0.67.64 na rede 10.0. *. *, a rota
10.0.0.0/255.255.0.0 adicionada para rotear o trfego por meio do tnel SSL VPN.
Nota Para configurar o Modo Todos tneis, voc tambm deve configurar um objeto de endereo
para 0.0.0.0 e atribuir grupos e usurios SSL VPN do NetExtender para ter acesso a este
objeto de endereo.
Para configurar grupos e usurios de SSL VPN NetExtender para o Modo Todos tneis,
execute as etapas a seguir.
Nota Depois de configurar as Rotas de cliente SSL VPN, voc tambm deve configurar todos os
usurios e grupos de usurios SSL VPN do NetExtender para poder acessar as Rotas de
cliente nas pginas Usurios > Usurios locais ou Usurios > Grupos locais.
Para configurar grupos e usurios SSL VPN NetExtender para acessar as Rotas de cliente,
execute as etapas a seguir.
Etapa 1 Navegue at a pgina Usurios > Usurios locais ou a pgina Usurios > Grupos locais.
Etapa 2 Clique no boto Configurar para um usurio o grupo SSL VPN NetExtender.
Etapa 3 Clique na guia Acesso VPN.
Etapa 4 Selecione o objeto de endereo para a Rota do cliente e clique no boto de seta direita (->).
Etapa 5 Clique em OK.
Etapa 6 Repita as etapas 1 a 5 para todos os usurios locais e grupos que usam SSL VPN NetExtender.
Uso do NetExtender
As sees a seguir descrevem como usar o NetExtender:
Pr-requisitos de usurio na pgina 901
Tarefas de configurao do usurio na pgina 902
Verificao da operao do NetExtender da bandeja do Sistema na pgina 919
Pr-requisitos de usurio
Pr-requisitos para clientes Windows:
Os clientes Windows devem atender aos seguintes pr-requisitos para usar o NetExtender:
Uma das seguintes plataformas:
Windows Vista 4 bits, Windows Vista 32 bits, Windows XP Home ou Professional,
Windows 2000 Professional, Windows 2000 Server, Windows 2003 Server.
Um dos navegadores a seguir:
Internet Explorer:
Nota Mquinas virtuais (VMs) Java Open source no so suportados no momento. Se voc no
tem Sun Java 1.4, voc pode usar a verso da interface da linha de comando do
NetExtender.
Para usar o NetExtender pela primeira vez com o navegador Mozilla Firefox, execute o
seguinte procedimento:
Etapa 1 Navegue at o Endereo IP do firewall. Clique no link na parte inferior da pgina de Login que
diz "Clique aqui para login sslvpn."
Etapa 2 Clique no boto NetExtender.
Etapa 3 A primeira vez que voc iniciar o NetExtender, ele ir instalar automaticamente o aplicativo
autnomo NetExtender em seu computador. Se uma mensagem de aviso for exibida em uma
faixa amarela na parte superior do seu banner Firefox, clique no boto Editar Opes...
Etapa 8 Quando NetExtender concluir a instalao, a janela Status do NetExtender ser exibida,
indicando que o NetExtender conectado com xito.
Campo Descrio
Status Indica em que estado operacional o cliente NetExtender est,
Conectado ou Desconectado.
Servidor Indica o nome do servidor ao qual o cliente NetExtender conectado.
Cliente IP Indica o Endereo IP atribudo ao cliente NetExtender.
Enviado Indica a quantidade de trfego que o cliente NetExtender transmitiu
desde a conexo inicial.
Recebido Indica a quantidade de trfego que o cliente NetExtender recebeu
desde a conexo inicial.
Durao A quantidade de tempo que o NetExtender ficou conectado, expressa
em dias, horas, minutos e segundos.
Etapa 10 Alm disso, um cone de balo na bandeja do sistema exibido, indicando que o NetExtender
foi instalado com xito.
O SonicWALL SSL VPN NetExtender totalmente compatvel com Microsoft Windows Vista 32
bits e 64 bits e suporta a mesma funcionalidade dos outros sistemas operacionais Windows.
Nota Pode ser necessrio reiniciar seu computador durante a instalao do NetExtender no
Windows Vista.
Etapa 4 Insira o nome de domnio ou URL do seu firewall no campo Adicionar este site da Web zona
e clique em Adicionar.
Etapa 5 Clique em OK nas janelas Sites Confiveis e Opes de Internet.
Para instalar e iniciar o NetExtender pela primeira vez usando o navegador Internet Explorer,
execute o seguinte procedimento:
Etapa 1 Navegue at o Endereo IP do firewall. Clique no link na parte inferior da pgina de Login que
diz "Clique aqui para login sslvpn."
Etapa 2 Clique no boto NetExtender.
Etapa 3 A primeira vez que voc iniciar o NetExtender, voc deve adicionar o portal SSL VPN sua
lista de sites confiveis. Se voc no tiver feito isso, a mensagem a seguir ser exibida.
Etapa 11 Se uma verso mais antiga do NetExtender estiver instalada no computador, o recurso Iniciar
NetExtender remover a verso antiga e, em seguida, instalar a nova verso.
Etapa 12 Se for exibida uma mensagem de aviso que o NetExtender no passou no teste de logotipo do
Windows, clique em Continuar assim mesmo. O teste do SonicWALL constatou que
NetExtender totalmente compatvel com Windows Vista, XP, 2000 e 2003.
Etapa 1 Clique com o boto direito no cone na bandeja do sistema e clique em Preferncias...
A janela Preferncias do NetExtender: exibida.
Etapa 2 A guia Perfis de conexo exibe os perfis de conexo SSL VPN que voc usou, incluindo o
Endereo IP do servidor, o domnio e o nome de usurio.
Etapa 3 Para excluir um perfil, destaque-o clicando sobre ele e, em seguida, clique nos botes
Remover. Clique no boto Remover todos para excluir todos os perfis de conexo.
Etapa 5 Para que o NetExtender se conecte automaticamente quando voc iniciar o seu computador,
verifique se a caixa de seleo Conectarautomaticamente com o Perfil de Conexo e
selecione a conexo apropriada no menu suspenso.
Nota Somente os perfis de conexo que permitem que voc salve seu nome de usurio e senha
podem ser definidos para se conectar automaticamente.
Etapa 6 Para que o NetExtender inicie quando voc efetuar login no seu computador, marque Iniciar
automaticamente a interface de usurio NetExtender. O NetExtender ser iniciado, mas s
ser exibido na bandeja do sistema. Para que a janela de login do NetExtender seja exibida,
marque a caixa de seleo Exibir interface de usurio NetExtender.
Etapa 7 Selecione Minimizar para o cone da bandeja quando a janela do NetExtender for fechada
para que o cone do do NetExtender seja exibido na bandeja do sistema. Se essa opo no
estiver marcada, voc s poder acessar a IU do NetExtender por meio do menu de programas
do Windows.
Etapa 8 Selecione Exibir dicas para Conectar/Desconectar da bandeja do sistema para que o
NetExtender exiba dicas ao passar o mouse sobre o cone do NetExtender.
Etapa 9 Selecione Reconectar automaticamente quando a conexo for encerrada para que o
NetExtender tente se reconectar-se quando perder a conexo.
Etapa 10 Selecione NetExtender desinstalar automaticamente para que o NetExtender se desinstale
a cada vez que voc encerrar uma sesso.
Etapa 11 Selecione Desconectar uma conexo ativa para que o NetExtender faa logout de todas as
suas sesses SSL VPN quando voc sai de uma sesso NetExtender.
Etapa 12 Clique em Aplicar.
O SonicWALL SSL VPN fornece aos usurios a capacidade de executar scripts de arquivos em
lote quando o NetExtender se conecta e desconecta. Os scripts podem ser usados para
mapear ou desconectar unidades de rede e impressoras, iniciar aplicativos ou abrir arquivos
ou sites da Web. Para configurar Scripts de Conexo do NetExtender, execute as seguintes
tarefas.
Etapa 1 Clique com o boto direito no cone na barra de tarefas e clique em Preferncias... A
janela Preferncias do NetExtender: exibida.
Etapa 2 Clique em Scripts de Conexo.
Etapa 3 Para ativar o script de login do domnio, selecione a caixa de seleo Tentativa de execuo
de script de logon do domnio. Quando habilitado, o NetExtender tentar contatar o
controlador de domnio e executar o script de login.
Nota Habilitar este recurso pode causar atrasos na conexo enquanto as impressoras do cliente
remoto e unidades esto mapeadas. Verifique se o controlador de domnio e todas as
mquinas no script de login so acessveis atravs de rotas NetExtender.
Etapa 4 Para ativar o script que executado quando o NetExtender se conecta, selecione a caixa de
seleo Executar automaticamente o arquivo de lotes "NxConnect.bat".
Etapa 5 Para ativar o script que executado quando se desconecta o NetExtender, selecione a caixa
de seleo Executar automaticamente o arquivo de lotes "NxDisconnect.bat".
Etapa 6 Para ocultar uma das janelas do console, selecione a caixa de seleo Ocultar a janela do
console apropriada. Se esta caixa de seleo no estiver selecionada, a janela do console do
DOS permanecer aberta enquanto o script executado.
Etapa 7 Clique em Aplicar.
Etapa 1 Para configurar o script que executado quando se conecta NetExtender, clique no boto
Editar "NxConnect.bat". O arquivoNxConnect.bat exibido.
Etapa 2 Para configurar o script que executado quando se desconecta o NetExtender, clique no boto
Editar "NxDisconnect.bat". O arquivoNxConnect.bat exibido.
Etapa 3 Por padro, o arquivo NxConnect.bat contm exemplos de comandos que podem ser
configurados, mas nenhum comando real. Para adicionar comandos, deslize at o fim do
arquivo.
Etapa 4 Para mapear uma unidade de rede, insira um comando no seguinte formato:
NET use letra de unidade\ \servidor\senha compartilhamento /user:Domnio\nome
Etapa 5 Para desconectar uma unidade de rede, insira um comando no seguinte formato:
NET use letra de unidade: /delete
Etapa 6 Para mapear uma impressora de rede, insira um comando no seguinte formato:
NET use LPT1 \ \ServerName\PrinterName /user:Domnio\nome
Etapa 7 Para desconectar uma impressora de rede, insira um comando no seguinte formato:
NET use LPT1 /delete
Etapa 9 Por exemplo, para iniciar o Microsoft Outlook, digite o seguinte comando:
C:\Program Files\Microsoft Office\OFFICE11\outlook.exe
Etapa 11 Para abrir um arquivo no seu computador, insira um comando no seguinte formato:
C:\caminho para arquivo\myFile.doc
Etapa 1 Clique com o boto direito no cone na barra de tarefas e clique em Preferncias... A
janela Preferncias do NetExtender: exibida.
Etapa 2 Clique em Proxy.
Etapa 5 Clique no boto Configuraes de Proxy do Internet Explorer para abrir as configuraes
de proxy do Internet Explorer.
Para exibir detalhes de uma mensagem de log, clique duas vezes em uma entrada de log ou
v para Ver > Detalhes do Log para abrir o painel de detalhes do log.
Para salvar o log, clique no cone Exportar ou v para Log > Exportar.
Para filtrar o log para exibir as entradas de uma durao de tempo especfica, v para o menu
Filtro e selecione o limite de fechamento.
Para exibir o Log de depurao, clique no cone Depurar Log ou v para Log > Depurar Log.
Nota Pode levar vrios minutos para carregar o log de depurao. Durante esse tempo, a janela
de Log no estar acessvel, embora voc possa abrir uma nova janela de Log enquanto
Depurar Log carregado.
Etapa 1 Clique com o boto direito no cone do NetExtender na bandeja do sistema para exibir o menu
do cone do NetExtender e clique em Desconectar.
Etapa 2 Aguarde alguns segundos. A sesso do NetExtender desconectada.
Voc tambm pode desconectar clicando duas vezes no cone do NetExtender para abrir a
janela do NetExtender e, em seguida, clicar no boto Desconectar.
Quando o NetExtender desconectado, a janela do NetExtender exibida e oferece a opo
de Reconectar ou Fechar o NetExtender.
Atualizao do NetExtender
Desinstalao do NetExtender
Etapa 1 Clique com o boto direito no cone do NetExtender na bandeja do sistema e clique em
Preferncias... A janela Preferncias do NetExtender exibida.
Etapa 2 Clique na guia Avanado.
Etapa 3 Selecione NetExtender desinstalar automaticamente para que o NetExtender se desinstale
a cada vez que voc encerrar uma sesso.
Para exibir opes na bandeja do sistema NetExtender, clique com o boto direito no cone do
NetExtender na bandeja do sistema. A seguir esto algumas tarefas que voc pode executar
na bandeja do sistema.
O SonicWALL SSL VPN oferece suporte a NetExtender em MacOS. Para usar o NetExtender
em seu sistema MacOS, seu sistema deve atender aos seguintes pr-requisitos:
MacOS 10.4 e posterior
Java 1.4 e superior
Ambos PowerPC e Intel Macs so suportados.
Para instalar o NetExtender em seu sistema MacOS, execute as seguintes tarefas:
Etapa 1 Navegue at o Endereo IP do firewall. Clique no link na parte inferior da pgina de Login que
diz "Clique aqui para login sslvpn."
Etapa 2 Clique no boto NetExtender.
Etapa 3 O Virtual Office exibe o status da instalao do NetExtender. Uma janela pop-up pode
aparecer, solicitando que voc aceite um certificado. Clique em Confiar.
Etapa 4 Uma segunda janela pop-up pode aparecer, solicitando que voc aceite um certificado. Clique
em Confiar.
Etapa 1 Para iniciar o NetExtender, v para o diretrio Aplicativos em Finder e clique duas vezes em
NetExtender.app.
Etapa 2 A primeira vez que voc se conectar, voc deve inserir o nome de servidor ou Endereo IP no
campo Servidor SSL VPN.
Etapa 3 Insira seu nome de usurio e a senha.
Etapa 4 A primeira vez que voc se conectar, voc deve inserir o nome do domnio.
Etapa 5 Clique em Conectar.
Etapa 6 Voc pode instruir o NetExtender a lembrar seu nome de servidor do perfil no futuro. No menu
suspenso Salvar perfil, voc pode selecionar Salvar nome e senha (se permitido), Salvar
nome de usurio somente (se permitido), ou No salvar perfil.
Etapa 8 Para exibir um resumo da sua sesso do NetExtender, clique em Status de conexo.
Etapa 9 Para exibir as rotas que o NetExtender instalou, v para o menu do NetExtender e selecione
Rotas.
Etapa 12 Clique em Salvar para salvar o relatrio de diagnstico usando o nome de arquivo padro
nxdiag.txt no seu diretrio NetExtender.
O SonicWALL SSL VPN oferece suporte a NetExtender no Linux. Para usar o NetExtender em
seu sistema Linux, seu sistema deve atender aos seguintes pr-requisitos:
Distribuio de Linux compatvel com i386
Linux Fedora Core 3+, Ubuntu 7+ ou OpenSUSE Linux 10.3+
Sun Java 1.4 e superior necessria para usar a GUI do NetExtender.
Nota Mquinas virtuais (VMs) Java Open source no so suportados no momento. Se voc no
tem Sun Java 1.4, voc pode usar a verso da interface da linha de comando do
NetExtender.
Etapa 1 Navegue at o Endereo IP do firewall. Clique no link na parte inferior da pgina de Login que
diz "Clique aqui para login sslvpn."
Etapa 2 Clique no boto NetExtender. Uma janela pop-up indica que voc escolheu abrir o arquivo
NetExtender.tgz. Clique em OK para salv-lo em seu diretrio de download padro.
Etapa 3 Para instalar o NetExtender do CLI, navegue at o diretrio onde voc salvou o
NetExtender.tgz e insira o comando tar - zxf NetExtender.tgz.
Etapa 7 A primeira vez que voc se conectar, voc deve inserir o nome de servidor ou Endereo IP no
campo Servidor SSL VPN. O NetExtender lembrar o nome do servidor no futuro.
Etapa 10 Para exibir as rotas do NetExtender, v para o menu do NetExtender e selecione Rotas.
Etapa 12 Para gerar um relatrio de diagnstico com informaes detalhadas sobre o desempenho do
NetExtender, v para Ajuda > Gerar relatrio de diagnstico.
Etapa 13 Clique em Salvar para salvar o relatrio de diagnstico usando o nome de arquivo padro
nxdiag.txt no seu diretrio NetExtender.
Etapa 1 Clique em Adicionar Marcador. A janela pop-up Adicionar Marcador ser exibida.
Quando marcadores de usurio so definidos, o usurio ver os marcadores definidos na
pgina inicial do SSL VPN Virtual Office. Membros de usurios individuais no podem excluir
ou modificar marcadores criados pelo administrador.
Etapa 2 Digite um nome descritivo para o marcador no campo Nome do marcador.
Etapa 3 Digite o nome de domnio totalmente qualificado (FQDN) ou o endereo IPv4 de uma mquina
host da LAN no campo Nome ou Endereo IP. Em alguns ambientes, voc pode inserir o nome
de host, como ao criar um marcador VNC em uma rede local do Windows.
Alguns servios podem ser executados em portas no padro e alguns esperam um caminho
ao conectar-se. Dependendo da opo no campo Servio, formate o campo Nome ou
Endereo IP como um dos exemplos mostrados na Tabela 9.
Etapa 4 Para o servio especfico que voc selecionar da lista suspensa Servio , campos adicionais
podem aparecer. Preencha as informaes para o servio selecionado. Selecione um dos
seguintes servios no menu suspenso Servio:
Nota Se voc selecionar Servios de Terminal (RDP - ActiveX) enquanto estiver usando um
navegador diferente do Internet Explorer, a seleo alterada automaticamente Servios
de Terminal (RDP - Java). Uma caixa de dilogo pop-up notifica sobre a alterao.
Para ver as impressoras locais aparecem em seu computador remoto (Iniciar >
Configuraes > Painel de controle > impressoras e Faxes), selecione Redirecionar
Portas e Redirecionar impressoras.
Se o aplicativo cliente for RDP 6 (Java), voc pode selecionar qualquer uma das
opes a seguir tambm: Monitores duplos, suavizao de fonte, composio da
rea de trabalho, ou Aplicativo remoto.
Aplicativo remoto monitora servidores e atividade de conexo do cliente; para us-lo,
voc precisa se registrar aplicativos remotos na lista de aplicativos Windows 2008. Se
Aplicativo remoto for selecionado, o Console de Java exibir mensagens relativas a
conectividade com o Servidor de Terminal.
Para RDP - ActiveX em clientes Windows, opcionalmente, selecione Habilitar plugin
DLLs e insira o nome do cliente DLLs que precisa ser acessado pelo servio de
terminal ou rea de trabalho remoto. Vrias entradas so separadas por uma vrgula,
sem espaos. Observe que o cliente RDP Java no Windows um cliente RDP nativo
que oferece suporte a plugin DLLs por padro. A opo Habilitar plugin DLLs no
est disponvel para RDP - Java. Consulte Habilitar Plugin DLLs na pgina 930.
Alternativamente, selecione Efetuar login automaticamente e selecione Usar
credenciais de conta SSL VPN para encaminhar as credenciais da sesso SSL VPN
atual para login no servidor de RDP. Selecione Usar credenciais personalizadas para
inserir um nome de usurio personalizado, senha e domnio para este marcador. Para
obter mais informaes sobre credenciais personalizadas, consulte Criao de
Marcadores com credenciais SSO Personalizadas na pgina 930.
Telnet
No h campos adicionais
Nota O cliente RDP Java no Windows um cliente RDP nativo que oferece suporte a plugin DLLs
por padro. Nenhuma ao (ou caixa de seleo) necessria.
Nota Certifique-se de que seu sistema Windows e o cliente RDP esto atualizados antes de usar
o recurso de plugin DLLs . Este recurso requer o Controle de Cliente do RDP 5 ou superior.
Etapa 1 Crie ou edite um marcador RDP conforme descrito em Configurao de Marcadores SSL VPN
na pgina 927.
Etapa 2 Na guia Marcadores, selecione a opo Usar Credenciais Personalizadas.
Etapa 3 Insira o nome de usurio apropriado e a senha ou use variveis dinmicas da seguinte
maneira:
Nota Os marcadores RDP podem usar uma designao de porta se o servio no estiver em
execuo na porta padro.
Dica Para encerrar sua sesso na rea de trabalho remota, no se esquea de fazer logoff da
sesso de Servidor de Terminal. Se desejar suspender a sesso de Servidor de Terminal
(para que ele possa ser retomado mais tarde) voc pode simplesmente fechar a janela de
rea de trabalho remota.
Etapa 2 Insira seu nome de usurio e senha na tela de login e selecione o nome de domnio correto no
menu suspenso.
Etapa 3 Uma janela exibida indicando que o Cliente de rea de trabalho remota est sendo
carregado. rea de trabalho remota carrega na sua prpria janela. Agora voc pode acessar
todos os aplicativos e arquivos no computador remoto.
Etapa 1 Clique no marcador VNC. A seguinte janela exibida enquanto o cliente VNC carregado.
Nota VNC pode ter uma designao de porta se o servio est sendo executado em uma porta
diferente.
Etapa 2 Quando o cliente VNC foi carregado, voc ser solicitado a inserir sua senha na janela VNC
Autenticao.
Etapa 3 Para configurar opes de VNC, clique no boto Opes. A janela Opes exibida.
Nota Os marcadores Telnet podem usar uma designao de porta para servidores que no
estejam executando na porta padro.
Etapa 2 Clique em OK para qualquer mensagem de aviso que for exibida. Inicia uma janela Telnet com
base em Java.
Etapa 3 Se o dispositivo ao qual voc est realizando uma sesso de Telnet est configurado para
autenticao, insira seu nome de usurio e senha.
Nota Os marcadores SSH podem usar uma designao de porta para servidores que no
estejam executando na porta padro.
Etapa 1 Clique no marcador SSHv1. Uma janela com base em Java SSH iniciada.
Dica Algumas verses do JRE podem fazer com que a janela de autenticao SSH aparea por
trs da janela SSH.
Nota Os marcadores SSH podem usar uma designao de porta para servidores que no
estejam executando na porta padro.
Etapa 1 Clique no marcador SSHv2. Uma janela com base em Java SSH exibida. Digite seu nome de
usurio no campoNome de usurio e clique em Login.
Etapa 2 Uma chave de host pop-up exibida. Clique em Sim para aceitar e continuar com o processo
de login.
Na pgina SSLVPN > Rotas de clientes, o usurio pode selecionar uma rota de cliente na lista
suspensa de todos os objetos de endereo, incluindo todos os objetos de endereo IPv6
predefinidos.
Virtual Assist
| 939
940 | Guia do Administrador do SonicOS 6.2
Captulo 58
Configurando o Virtual Assist
Virtual Assist
Esta seo contm as seguintes subsees:
Viso geral do Virtual Assist na pgina 941
Virtual Assist > Status na pgina 941
Virtual Assist > Configuraes na pgina 942
Usando o Virtual Assist na pgina 945
A primeira deciso que deve ser tomada como fornecer acesso aos clientes para obter
suporte por meio do Virtual Assist. H duas opes: 1) fornecer um "cdigo de assistncia"
para os clientes inserirem ao acessarem o portal aps receber um convite, ou, 2) ativar o
suporte do Virtual Assist sem a necessidade de um convite.
Definindo um cdigo de assistncia global para clientes, possvel restringir quem entra no
sistema para solicitar ajuda. O cdigo pode ter no mximo oito (8) caracteres e pode ser
inserido no campo Cdigo de assistncia. Os clientes recebem o cdigo por meio de um e-mail
fornecido pelo administrador ou tcnico. Para permitir que os clientes solicitem o suporte do
Virtual Assist sem a necessidade de fornecer um cdigo, deixe o campo Cdigo de assistncia
em branco e marque a caixa de seleo "Habilitar suporte sem convite".
Se os clientes navegarem at a pgina de login do tcnico, voc ter a opo de exibir um link
para redirecion-los pgina de login de suporte. Para fazer isso, habilite a caixa de seleo
"Exibir o link do Virtual Assist a partir do login do portal". O suporte sem convite dever ser
habilitado, se desejar que os clientes possam solicitar ajuda a partir da pgina de login.
Insira o "Tipo de endereo de origem" e o "Endereo IP" do qual deseja negar solicitaes de
suporte. Clique em OK para enviar as informaes. Agora, o endereo recentemente
bloqueado ser exibido na seo da tela "Negar solicitao do endereo definido ".
Depois de preenchido todos os ajustes necessrios para a tela Virtual Assist >
Configuraes, clique no boto "Aceitar" para bloquear as configuraes. Clique em
"Cancelar" para reverter para as configuraes mais recentes.
O cliente poder baixar e instalar o VASAC a partir da pgina de login de cliente, se a opo
"Habilitar suporte sem convite", tiver sido habilitada anteriormente pelo administrador.
O cliente poder, em seguida, clicar no boto "Efetuar login" para entrar na fila de espera do
Virtual Assist.
Depois que o tcnico tiver instalado o VASAC, os clientes podero continuar para efetuar login
no Virtual Assist. O tcnico seleciona a guia "Tcnico", preenche os parmetros de login
necessrios e clica no boto "Efetuar login".
Depois que o tnel for estabelecido, o tcnico poder exibir e controlar a rea de trabalho do
cliente, o bate-papo com o cliente e a transferncia de arquivos, se necessrio. O controle
pode ser encerrado a qualquer momento encerrando o aplicativo de suporte.
Gerenciamento de
usurio
| 949
950 | Guia do Administrador do SonicOS 6.2
Captulo 59
Gerenciando configuraes de usurios
e de autenticao
Gerenciamento de usurios
Esta seo descreve os recursos de gerenciamento de usurios do dispositivo de segurana
de rede Dell SonicWALL para os usurios autenticados localmente e remotamente. Esta seo
contm as seguintes subsees:
Introduo ao Gerenciamento de usurios na pgina 951
Exibindo o status em Usurios > Status na pgina 973
Definindo as configuraes em Usurios > Configuraes na pgina 973
Configurando os Usurios locais na pgina 983
Configurando Grupos locais na pgina 988
Configurando a autenticao RADIUS na pgina 993
Configurando a integrao do LDAP no SonicOS na pgina 999
Configurandoo Login nico na pgina 1013
Configurando o Suporte para mltiplos administradores na pgina 1068
!DMINISTRATOR
#ONFIGURE #ONFIGURE %XTERNAL
,OCAL $ATABASE $ATABASE 2!$)53,$!0
#ONFIGURE 3ONIC7!,, #ONFIGURE 2!$)53
#ONFIGURE ,$!0
,OCAL 5SERS #ONFIGURE 'ROUPS
ON 3ONIC7!,,
5SER 'ROUPS
Internet
User
Workstation
Para aplicar polticas do Content Filtering Service (CFS) aos usurios, os usurios devem ser
membros de grupos locais para que as polticas do CFS sejam aplicadas aos grupos. Para usar
o CFS, o RADIUS ou o LDAP no podem ser utilizados sem a combinao desse mtodo com
a autenticao local. Ao usar o mtodo de autenticao combinada para usar as polticas do
CFS, os nomes dos grupos locais devem ter uma correspondncia exata com os nomes dos
grupos no LDAP ou RADIUS. Ao usar o mtodo de autenticao LDAP + Usurios locais,
possvel importar os grupos do servidor do LDAP para o banco de dados local do firewall. Isso
simplifica de forma substancial a criao de grupos correspondentes, para os quais as polticas
do CFS podem ento ser aplicadas.
A interface do usurio do SonicOS oferece uma maneira de criar contas de grupos e usurios
locais. possvel adicionar usurios e editar a configurao para qualquer usurio, incluindo
as configuraes dos seguintes itens:
Associao a grupos Os usurios podem pertencer a um ou mais grupos locais. Por
padro, todos os usurios pertencem aos grupos Todos e Usurios confiveis. possvel
remover essas associaes a grupos para um usurio e adicionar associaes a outros
grupos.
Acesso VPN possvel configurar as redes que so acessveis para um cliente VPN
iniciado por este usurio. Ao configurar as configuraes de acesso VPN, possvel
selecionar a partir de uma lista de redes. As redes so designadas por seus nomes de
Grupo ou Objeto de endereo.
Internet
02/
5SER
7ORKSTATION
5SER ATTEMPTS TO ACCESS THE WEB
3.7, REQUIRES AUTHENTICATION OF THE 5SER
REDIRECTS WORKSTATION TO AUTHENTICATE
5SER AUTHENTICATES WITH CREDENTIALS
3ONIC7!,, REQUESTS INFORMATION FROM 2!$)53
3ERVER ABOUT 5SER
2!$)53 3ERVER
2!$)53 3ERVER RESPONDS WITH 5SER 'ROUP
-EMBERSHIP INFORMATION
2!$)53 'ROUP -EMBERSHIP IS COMPARED AGAINST
3ONIC7!,, 'ROUP -EMBERSHIP FOR ACCESSING PRIVILEGES
3.7, AUTHORIZES OR DENIES ACCESS BASED ON 5SER PRIVILEGES
Embora o RADIUS seja muito diferente do LDAP, fornecendo principalmente uma autenticao
segura, ele tambm pode fornecer vrios atributos para cada entrada, incluindo um nmero de
entradas diferentes que podem ser utilizadas para transmitir as associaes a grupos do
usurio. O RADIUS pode armazenar informaes para milhares de usurios e uma boa
opo para fins de autenticao de usurio quando muitos usurios precisam acessar a rede.
A fim de ser integrado aos servios de diretrio mais comuns utilizados em redes corporativas,
o SonicOS oferece suporte integrao com os seguintes esquemas do LDAP:
Microsoft Active Directory
RFC2798 InetOrgPerson
RFC2307 Network Information Service
Samba SMB
Novell eDirectory
Esquemas definidos pelo usurio
O SonicOS oferece suporte para servidores de diretrio que executam os seguintes protocolos:
LDAPv2 (RFC3494)
LDAPv3 (RFC2251-2256, RFC3377)
LDAPv3 sobre TLS (RFC2830)
LDAPv3 com STARTTLS (RFC2830)
Recomendaes do LDAP (RFC2251)
Termos do LDAP
O SSO do SonicWALL um recurso confivel e que economiza tempo que utiliza um login
nico para oferecer acesso a vrios recursos da rede com base na correspondncia da poltica
e nas associaes a grupos configuradas pelo administrador. O SSO do SonicWALL
transparente para os usurios finais e requer uma configurao mnima do administrador.
Ao determinar automaticamente quando os usurios esto conectados ou desconectados com
base no trfego do endereo IP da estao de trabalho ou, para o Terminal Services ou Citrix,
no trfego de um determinado usurio no endereo IP do servidor, o SSO do SonicWALL
seguro e sem interveno. A autenticao SSO projetada para operar com qualquer agente
externo que possa retornar a identidade de um usurio em uma estao de trabalho ou de um
endereo IP do servidor Terminal Services/Citrix usando um protocolo compatvel com o
SonicWALL Directory Connector.
O SSO do SonicWALL funciona para todos os servios do firewall que utilizem a autenticao
ao nvel do usurio, incluindo o Content Filtering Service (CFS), Regras de acesso do firewall,
herana e associao de grupo e listas de incluso/excluso dos servios de segurana (IPS,
GAV e Anti-Spyware).
Outros benefcios do SSO do SonicWALL incluem:
Facilidade de uso Os usurios s precisam conectar-se uma nica vez para obter acesso
automtico a vrios recursos.
Experincia de usurio aprimorada As credenciais de domnio do Windows podem ser
utilizadas para autenticar um usurio para qualquer tipo de trfego sem precisar efetuar
login no dispositivo com uso de um navegador da web.
Transparncia para os usurios Os usurios no precisam reinserir o nome de usurio e
a senha para a autenticao.
Comunicao segura Criptografia de chave compartilhada para a proteo da
transmisso de dados.
O SSO do SonicWALL Agent pode ser instalado em qualquer servidor do Windows na LAN
e o TSA pode ser instalado em qualquer servidor de terminal.
Vrios Agentes SSO At 8 agentes so suportados para fornecer a capacidade para
instalaes de grande porte
Vrios TSAs Vrios agentes de servios de terminal (um por servidor de terminal) so
suportados. O nmero depende do modelo do dispositivo de segurana de rede Dell
SonicWALL e varia de 8 a 512.
O mecanismo de login funciona com qualquer protocolo, e no somente HTTP.
O Agente SSO compatvel com todas as verses do SonicOS que oferecem suporte ao SSO
do SonicWALL. Existe suporte para o TSA.
O recurso de SSO oferece suporte a protocolos do LDAP e do banco de dados local. O SSO
do SonicWALL oferece suporte ao SonicWALL Directory Connector. Para que todos os
recursos do SSO do SonicWALL funcionem corretamente, o SonicOS deve ser utilizado com o
Directory Connector 3.1.7 ou superior.
Para usar o SSO do SonicWALL com o Windows Terminal Services ou Citrix, necessrio o
SonicOS 6.0 ou superior, e o SonicWALL TSA deve estar instalado no servidor.
Para usar o SSO do SonicWALL com a autenticao de NTLM do navegador, necessrio o
SonicOS 6.0 ou superior. O agente SSO no necessrio para a autenticao de NTLM do
navegador.
Exceto se usar somente a autenticao de NTLM do navegador, usar o SSO do SonicWALL
requer que o agente SSO esteja instalado em um servidor em seu domnio do Windows que
possa chegar aos clientes e que possa ser acessado a partir do dispositivo, diretamente ou por
meio de um caminho VPN, e/ou requer que o TSA esteja instalado em quaisquer servidores de
terminal no domnio.
Os seguintes requisitos devem ser atendidos para que o agente SSO seja executado:
A porta UDP 2258 (por padro) deve estar aberta; o firewall utiliza a porta UDP 2258 por
padro para se comunicar com o agente SSO da SonicWALL; se uma porta personalizada
for configurada em vez da 2258, esse requisito ser aplicvel porta personalizada
Servidor do Windows, com o service pack mais recente
.NET Framework 2.0
Net API ou WMI
Nota Os PCs com Linux e Mac no oferecem suporte s solicitaes de rede do Windows que
so utilizadas pelo agente SSO e, portanto, requerem o Samba 3.5 ou uma verso mais
recente para funcionar com o SSO do SonicWALL. Sem o Samba, os usurios do Linux e
Mac podem continuar a obter acesso, mas ser necessrio efetuar login para obt-lo. Eles
podem ser redirecionados para o prompt de login se as regras da poltica forem definidas
para exigir a autenticao. Para obter mais informaes, consulte Acomodando usurios do
Mac e Linux na pgina 1060.
Os seguintes requisitos devem ser atendidos para que o TSA seja executado:
A porta UDP 2259 (por padro) deve estar aberta em todos os servidores do terminal nos
quais o TSA esteja instalado; o firewall utiliza a porta UDP 2259 por padro para se
comunicar com o TSA da SonicWALL; se uma porta personalizada for configurada em vez
da porta 2259, esse requisito ser aplicvel porta personalizada
Servidor do Windows, com o service pack mais recente
Windows Terminal Services ou Citrix instalado no(s) sistema(s) do Windows Terminal
Server
Para os usurios do Windows em estaes de trabalho individuais, o Agente SSO (na estao
de trabalho do SSO) manipula as solicitaes de autenticao do firewall. Existem seis etapas
envolvidas na autenticao do SSO do SonicWALL usando o agente SSO, conforme ilustrado
na figura a seguir.
O processo de autenticao do SSO iniciado quando o trfego do usurio passa por um
firewall. Por exemplo, quando um usurio acessa a Internet. Os pacotes enviados so
temporariamente bloqueados e salvos enquanto o firewall envia uma solicitao de Nome de
usurio e endereo IP da estao de trabalho ao agente de autorizao que executa o Agente
SSO (estao de trabalho do SSO).
O agente de autorizao que executa o Agente SSO fornece ao firewall o nome do usurio
atualmente conectado estao de trabalho. Uma entrada na Tabela de IP do usurio criada
para o usurio conectado, de forma similar ao RADIUS e LDAP.
Para os usurios que utilizam os navegadores com base no Mozilla (incluindo o Internet
Explorer, Firefox, Chrome e Safari) o firewall oferece suporte identificao deles por meio da
autenticao de NTLM (Gerenciador de LAN NT). O NTLM faz parte de um conjunto de
autenticaes para navegador conhecido como Segurana integrada do Windows e
suportado por todos os navegadores com base no Mozilla. Ele permite uma solicitao de
autenticao direta a partir do dispositivo para o navegador sem a participao do agente SSO.
O NTLM geralmente utilizado quando um controlador de domnio no est disponvel, nos
casos em que o usurio est autenticando remotamente pela Internet.
A Autenticao de NTLM est atualmente disponvel para HTTP; ela no est disponvel para
uso com o trfego HTTPS.
O Agente SSO pode ser instalado em qualquer estao de trabalho com um domnio do
Windows que possa se comunicar diretamente com clientes e com o firewall, usando o
endereo IP ou um caminho, como VPN. Para obter instrues de instalao para o Agente
SSO, consulte Instalando o Agente SSO do SonicWALL na pgina 1014.
Vrios agentes SSO so suportados para acomodar grandes instalaes com milhares de
usurios. possvel configurar at oito agentes SSO, com cada um deles sendo executado em
um PC dedicado de alto desempenho em sua rede. Observe que um agente SSO em um PC
rpido pode oferecer suporte para at 2500 usurios.
O Agente SSO comunica-se somente com clientes e com o firewall. O Agente SSO utiliza uma
chave compartilhada para a criptografia das mensagens entre o Agente SSO e o firewall.
Nota A chave compartilhada gerada no Agente SSO e a chave digitada no firewall durante a
configurao do SSO dever corresponder exatamente chave gerada pelo Agente SSO.
O firewall consulta o Agente SSO pela porta padro 2258. O agente SSO ento comunica-se
entre o cliente e o firewall para determinar a ID de usurio do cliente. O agente SSO
pesquisado pelo firewall, a uma taxa configurvel pelo administrador, para confirmar de forma
contnua o status de login de um usurio.
Registro em log
O agente SSO envia mensagens de eventos de log para o Registro em log de eventos do
Windows com base nos nveis de registro em log selecionados pelo administrador.
O firewall tambm registra eventos especficos do agente SSO em seu registro em log de
eventos. Segue abaixo uma lista de mensagens de eventos de log especficas para o agente
SSO do firewall:
Nota O campo de anotaes das mensagens de log especficas para o agente SSO conter o
texto <domnio/nome de usurio>, autenticao pelo agente SSO.
O TSA pode ser instalado em qualquer mquina com o Windows Server com o Terminal
Services ou Citrix instalado. O servidor deve pertencer a um domnio do Windows que possa
se comunicar diretamente com o firewall, usando o endereo IP ou um caminho, como VPN.
Para obter instrues de instalao para o TSA, consulte Instalando o Agente de Servios de
Terminal do SonicWALL na pgina 1017.
Consulte as sees a seguir para obter informaes sobre o TSA:
Suporte para vrios TSAs na pgina 963
Criptografia de mensagens TSA e uso das IDs de Sesso na pgina 964
Conexes com sub-redes locais na pgina 964
Trfego do usurio fora do domnio do Terminal Server na pgina 964
Trfego de um no usurio do Terminal Server na pgina 964
Dispositivo de segurana
de rede Dell SonicWALL Agentes TS suportados
9600 512
9400 512
9200 12
6600 256
O TSA utiliza uma chave compartilhada para a criptografia das mensagens entre o TSA e o
firewall quando o nome de usurio e o domnio esto contidos na mensagem. A primeira
notificao de abertura para um usurio sempre criptografada, pois o TSA inclui o nome de
usurio e o domnio.
O TSA inclui uma ID de sesso do usurio em todas as notificaes, em vez de incluir o nome
de usurio e o domnio a cada momento. Isso eficiente, seguro e permite que o TSA
sincronize-se novamente com os usurios do Terminal Services depois que o agente
reiniciado.
O TSA descobre de forma dinmica a topologia da rede com base nas informaes retornadas
do dispositivo e, depois de descobri-las, ele no enviar as notificaes para o dispositivo para
conexes posteriores do usurio que no passam pelo dispositivo. Como no h nenhum
mecanismo para o TSA esquecer como ele descobriu estes destinos locais, o TSA dever ser
reiniciado se uma sub-rede for movida entre as interfaces do dispositivo.
O firewall tem a configurao Permitir acesso limitado a usurios fora do domnio para,
opcionalmente, oferecer acesso limitado a usurios fora do domnio (usurios conectados em
sua mquina local e no no domnio), e isso funciona tanto para os usurios de servios do
terminal como para outros usurios do SSO.
Se sua rede incluir computadores com Windows ou dispositivos sem Windows com firewalls
pessoais em execuo, marque a caixa ao lado de Investigar usurio sobre e selecione o
boto de opo para NetAPI ou WMI, dependendo de qual esteja configurado para o Agente
SSO. Isso faz com que o firewall investigue uma resposta na porta NetAPI/WMI antes de
solicitar que o Agente SSO identifique um usurio. Se nenhuma resposta ocorrer, nesses
dispositivos causaro uma falha no SSO imediatamente. Esses dispositivos no respondem
ou podem bloquear as mensagens de rede do Windows utilizadas pelo Agente SSO para
identificar um usurio.
Com o NTLM, os usurios fora do domnio podem ser usurios que estejam conectados ao seu
PC, e no no domnio, ou podem ser usurios que foram solicitados a inserir um nome de
usurio e uma senha e inseriram algo diferente de suas credenciais de domnio. Nos dois
casos, o NTLM permite distines entre esses usurios do domnio.
Se o nome de usurio corresponder a uma conta local de usurio no firewall, ento a resposta
do NTLM validada localmente em relao senha dessa conta. Se tiver xito, o usurio
registrado e obtm privilgios com base nessa conta. As associaes a grupos do usurio
esto definidas a partir da conta local, e no do LDAP e (j que a senha foi validada
localmente) elas incluem a associao a grupos dos Usurios confiveis.
Se o nome de usurio no corresponder a uma conta local de usurio, o usurio no ser
conectado. A opo Permitir acesso limitado a usurios fora do domnio no se aplica aos
usurios autenticados via NTLM.
Nota Quando um servidor de acesso rede (NAS) envia mensagens de contabilizao RADIUS,
ele no solicita que o usurio seja autenticado pelo RADIUS. O NAS pode enviar
mensagens de contabilizao RADIUS, mesmo quando o dispositivo de terceiro estiver
usando o LDAP, o banco de dados local ou qualquer outro mecanismo para autenticar os
usurios.
Para que os dispositivos Dell SonicWALL sejam compatveis com os dispositivos de rede de
terceiros para o SSO por meio da Contabilizao RADIUS, o dispositivo de terceiro deve ser
capaz de realizar os seguintes itens:
Oferecer suporte Contabilizao RADIUS.
Enviar mensagens de Iniciar e Parar. No necessrio o envio de mensagens do tipo
Atualizar provisoriamente.
Enviar o endereo IP do usurio no atributo Endereo IP com moldura ou ID de Estao
de Chamada nas mensagens do tipo Iniciar e Parar.
Nota No caso de um servidor de acesso remoto que utilize a NAT para converter o endereo IP
externo pblico de um usurio, o atributo deve fornecer o endereo IP interno que
utilizado na rede interna e ele deve ser um endereo IP exclusivo para o usurio. Se os dois
atributos estiverem sendo utilizados, o atributo Endereo IP com moldura dever usar o
endereo IP interno e o atributo ID de Estao de Chamada dever usar o endereo IP
externo.
O nome de usurio de login dever ser enviado no atributo Nome de usurio das mensagens
dos tipos Iniciar e Atualizar provisoriamente. O nome de usurio de login tambm pode ser
enviado no atributo Nome de usurio das mensagens do tipo Parar, mas isso no
necessrio. O atributo Nome de usurio deve conter o nome de conta do usurio e pode incluir
tambm o domnio ou ele deve conter o nome distinto (DN) do usurio.
Um dispositivo Dell SonicWALL que atue como um servidor de contabilizao RADIUS pode
encaminhar as solicitaes por proxy para at quatro outros servidores de contabilizao
RADIUS para cada servidor de acesso rede (NAS). Cada servidor de contabilizao RADIUS
configurado separadamente para cada NAS.
Para evitar a necessidade de inserir novamente os detalhes de configurao para cada NAS,
o SonicOS permite que voc selecione o encaminhamento para cada NAS a partir de uma lista
de servidores configurados.
A configurao de encaminhamento por proxy para cada cliente do NAS inclui tempos limite e
repeties. A maneira de encaminhar solicitaes para dois ou mais servidores pode ser
configurada por meio da seleo das opes a seguir:
tentar o prximo servidor em um tempo limite
encaminhar cada uma das solicitaes para todos os servidores
A contabilizao RADIUS geralmente utiliza a porta UDP 1646 ou 1813. A porta UDP 1813
a porta especificada pela IANA. A porta UDP 1646 uma porta padro no oficial mais antiga.
Por padro, o dispositivo Dell SonicWALL escuta a porta 1812. Outro nmeros de porta podem
ser configurados para a porta de contabilizao RADIUS, mas o dispositivo s poder ouvir
somente uma porta. Portanto, se voc estiver usando vrios servidores de acesso rede
(NASs), todos eles devem ser configurados para se comunicar no mesmo nmero de porta.
Modos de configurao
Para permitir mltiplos administradores simultneos, ao mesmo que tambm impede que
possveis conflitos causados por vrios administradores fazendo alteraes de configurao
ao mesmo tempo, os seguintes modos de configurao foram definidos:
Modo de configurao O administrador possui privilgios totais para editar a
configurao. Se nenhum administrador j estiver conectado ao dispositivo, esse ser o
comportamento padro para os administradores com privilgios administrativos totais e
limitados (mas no para os administradores somente leitura).
Nota Os administradores com privilgio de configurao total tambm podem efetuar login
usando a Interface de Linha de Comando (CLI).
Grupos de usurios
O recurso Suporte para mltiplos administradores oferece suporte para dois novos grupos de
usurios padro:
Administradores do SonicWALL Os membros deste grupo tm acesso de
administrador total para editar a configurao.
No selecione nenhuma das opes a seguir se voc no estiver usando a Login nico
para a autenticao de usurios.
Selecione Nomes de usurio sem distino entre maisculas e minsculas para
habilitar a correspondncia com base no emprego de maisculas e minsculas nos nomes
de conta do usurio.
Selecione Impor exclusividade de login para impedir que o mesmo nome de usurio seja
utilizado para efetuar login na rede a partir de mais de uma localizao ao mesmo tempo.
Esta configurao aplica-se aos usurios locais e usurios do RADIUS/LDAP. Contudo, ela
no se aplica ao administrador padro com o nome de usurio admin.
Configure as opes de Senha de uso nico a seguir. Os valores inseridos resultaro em
uma fora da senha Fraca, Boa ou Excelente.
Selecione um Texto sem formatao ou HTML para o Formato do e-mail da senha
de uso nico.
Em Formato da senha de uso nico, selecione Caracteres, Caracteres+Nmeros ou
Nmeros na lista suspensa.
Em Comprimento da senha de uso nico, insira o comprimento mnimo no primeiro
campo e o comprimento mximo no segundo campo. Os comprimentos mnimo e
mximo devem estar dentro do intervalo de 4 a 14.
A seo Poltica de uso aceitvel permite que voc crie a janela da mensagem da AUP para
os usurios. possvel usar a formatao HTML no corpo da mensagem. Clicar no boto
Modelo de exemplo criar um modelo em HTML pr-formatado para a janela da AUP.
Exibir no login de Selecione a(s) interface(s) de rede para as quais voc deseja exibir
a Poltica de uso aceitvel durante o login dos usurios. possvel escolher Zonas
confiveis, Zona de WAN, Zonas pblicas, Zonas sem fio e Zona de VPN em qualquer
umas das combinaes.
Tamanho da janela (pixels) Permite que voc especifique o tamanho da janela da AUP
definido em pixels. Marcar Habilitar barras de rolagem na janela permite que o usurio
percorra todo o contedo da janela da AUP.
Habilitar barras de rolagem na janela Ativa as barras de rolagem se seu contedo
ultrapassar o tamanho de exibio da janela.
Clique no boto Exemplo de modelo para preencher o contedo com o modelo da AUP
padro, que poder ser modificado:
<font face=arial size=3>
<center><b><i>Bem-vindo ao SonicWALL</center></b></i>
<font size=2>
Clique no boto Visualizar para exibir a mensagem da AUP como ela aparecer para o
usurio.
Etapa 1 Na pgina Usurios > Configuraes, role para baixo at a seo Personalizar pginas de
login.
Etapa 2 Selecione a pgina que ser personalizada no menu suspensoSelecionar pgina de login .
Etapa 3 Role at o final da pgina e clique em Padro para carregar o contedo padro da pgina.
Etapa 4 Edite o contedo da pgina,
Nota As linhas var strXXX = nas pginas do modelo so Cadeias JavaScript personalizadas.
possvel alter-las na sua elaborao de texto pessoal. As modificaes devem seguir a
sintaxe do JavaScript. Tambm possvel editar o texto na seo HTML.
Expurgar a conta aps a expirao Para uma conta de usurio que configurada com
uma durao limitada, selecionar esta caixa de seleo faz com que a conta de usurio
seja excluda aps a durao expirar. Desative esta caixa de seleo para que a conta seja
simplesmente desativada aps a durao expirar. O administrador pode ento habilitar
novamente a conta redefinindo sua durao.
Etapa 6 Insira o endereo de e-mail do usurio para que ele possa receber senhas de uso nico.
Etapa 7 No menu suspenso Durao da conta, selecione Nunca expirar para tornar a conta
permanente. Ou selecione Minutos, Horas ou Dias para especificar uma durao aps a qual
a conta de usurio ser excluda ou desativada.
Se voc selecionar uma durao limitada, selecione a caixa de seleo Expurgar a
conta aps a expirao para excluir a conta de usurio aps a durao expirar.
Desative esta caixa de seleo para que a conta seja simplesmente desativada aps
a durao expirar. O administrador pode ento habilitar novamente a conta redefinindo
sua durao.
Etapa 8 Como alternativa, insira um comentrio no campo Comentrio.
Etapa 9 Na guia Grupos, em Grupos de usurios, selecione um ou mais grupos aos quais o usurio
pertencer e clique no boto de seta -> para mover o(s) nome(s) do grupo para a lista Membro
do. O usurio se tornar um membro dos grupos selecionados. Para remover o usurio de um
grupo, selecione o grupo da lista Membro do e clique no boto de seta para a esquerda <-.
Etapa 10 A guia Acesso VPN configura quais recursos da rede os usurios da VPN (marcadores do
GVC, NetExtender ou Virtual Office) podem acessar. Na guia Acesso VPN, selecione uma ou
mais redes da lista Redes e clique no boto de seta para a direita (->) para mov-las para a
coluna Lista de acesso. Para remover o acesso do usurio a uma rede, selecione a rede em
Lista de acesso e clique no boto de seta para a esquerda (<-).
Nota A guia Acesso VPN afeta a capacidade de clientes remotos de usar marcadores do GVC,
NetExtender e Virtual Office para acessar os recursos da rede. Para permitir que os
usurios do GVC, NetExtender ou Virtual Office acessem um recurso da rede, os objetos
ou grupos de endereo da rede devem ser adicionados lista de permisses na guia
Acesso VPN.
Nota Os usurios devem ser membros do grupo de Servios do SSLVPN antes da configurao
de Marcadores para eles.
Etapa 1 Na lista de usurios, clique no cone de edio em Configurar na mesma linha que o do usurio
que deseja editar.
Etapa 2 Configure as guias Configuraes, Grupos, Acesso VPN e Marcador exatamente como para
a adio de um novo usurio. Consulte Adicionando Usurios locais na pgina 984.
Etapa 1 Na pgina Usurios > Configuraes, defina o Mtodo de autenticao para LDAP ou
LDAP + Usurios locais.
Etapa 2 Na pgina Usurios > Usurios locais, clique em Importar do LDAP....
Etapa 4 Para remover um ou mais usurios da lista exibida, selecione uma das opes a seguir
localizadas na parte inferior da pgina e, em seguida, clique em Remover da lista:
Para remover os usurios cujas caixas de seleo foram selecionadas, selecione o
boto de opo Todos os usurios selecionados.
Para remover determinados usurios com base no nome, descrio ou local, selecione
o boto de opo Qualquer usurio cujo <campo1 > contm <campo2>. Selecione
o nome, descrio ou local na lista suspensa do primeiro campo e digite o valor da
correspondncia no segundo campo.
Nessa opo, nome refere-se ao nome de usurio exibido na coluna esquerda da
lista, descrio refere-se descrio exibida direita (que no est presente para
todos os usurios) e local refere-se ao local do objeto de usurio no diretrio do LDAP.
O local, juntamente com o nome completo do usurio, exibido ao passar o mouse
sobre um nome de usurio, conforme mostrado na imagem acima.
Por exemplo, voc pode desejar remover as contas que esto marcadas como
Desativadas em suas descries. Nesse caso, selecione descrio no primeiro
campo e digite desativada no segundo campo. Como o segundo campo diferencia
maisculas de minsculas, se voc digitou desativada, voc expurgaria um conjunto
diferente de usurios.
Etapa 5 Repita a etapa anterior para expurgar usurios adicionais, at que voc tenha uma lista
gerencivel para selecionar para a importao.
Etapa 6 Para desfazer todas as alteraes feitas lista de usurios, clique em Desfazer e, em seguida,
clique em OK na caixa de dilogo de confirmao.
Etapa 7 Ao concluir a remoo das contas indesejadas, com as opes Remover da lista, use as
caixas de seleo na lista para selecionar as contas que sero importadas e, em seguida,
clique em Salvar selecionadas.
Etapa 1 Clique no boto Adicionar grupo para exibir a janela Adicionar grupo.
Etapa 2 Na guia Configuraes, insira um nome de usurio no campo Nome. Como alternativa,
possvel selecionar a caixa de seleo Os membros acessam diretamente a UI de
gerenciamento no login da web. Esta seleo somente se aplicar se este novo grupo
receber posteriormente a associao a outro grupo administrativo. Tambm possvel
selecionar a caixa de seleo Exigir senhas de uso nico para exigir que os usurios de SSL
VPN enviem uma senha gerada pelo sistema para a autenticao de dois fatores. Os usurios
devem definir seus endereos de e-mail quando este recurso estiver habilitado.
Nota Para o recurso da senha de uso nico, os usurios remotos podem ser controlados no nvel
do grupo. Os endereos de e-mail dos usurios do LDAP so recuperados do servidor
quando a autenticao original feita. Os usurios remotos autenticados por meio do
Etapa 3 Na guia Membros, para adicionar usurios e outros grupos a este grupo, selecione o usurio
ou grupo da lista Usurios e grupos no membros e clique no boto de seta para a direita ->.
Etapa 4 A guia Acesso VPN configura quais recursos da rede os usurios da VPN (marcadores do
GVC, NetExtender ou Virtual Office) podem acessar. Na guia Acesso VPN, selecione uma ou
mais redes da lista Redes e clique no boto de seta para a direita (->) para mov-las para a
coluna Lista de acesso. Para remover o acesso do usurio a uma rede, selecione a rede em
Lista de acesso e clique no boto de seta para a esquerda (<-).
Nota A guia Acesso VPN afeta a capacidade de clientes remotos de usar marcadores do GVC,
NetExtender e SSL VPN Virtual Office para acessar os recursos da rede. Para permitir que
os usurios do GVC, NetExtender ou Virtual Office acessem um recurso da rede, os objetos
ou grupos de endereo da rede devem ser adicionados lista de permisses na guia
Acesso VPN.
Etapa 5 Na guia Poltica do CFS, para impor uma poltica personalizada do Content Filtering Service
a esse grupo, selecione a poltica do CFS na lista suspensa Poltica.
Nota possvel criar polticas personalizadas do Content Filtering Service na pgina Servios
de Segurana > Filtro de Contedo. Consulte Servios de segurana > Filtro de contedo
na pgina 1165.
Etapa 1 Na pgina Usurios > Configuraes, defina o Mtodo de autenticao para LDAP.
Etapa 2 Na pgina Usurios > Grupos locais, clique em Importar do LDAP....
Etapa 4 Para desfazer todas as alteraes feitas lista de grupos, clique em Desfazer e, em seguida,
clique em OK na caixa de dilogo de confirmao.
Etapa 5 Ao concluir a remoo da lista para um tamanho gerencivel, selecione a caixa de seleo para
cada grupo que voc deseja importar para o SonicOS e, em seguida, clique em Salvar
selecionados.
Etapa 1 Clique em Configurar RADIUS para configurar suas configuraes do servidor RADIUS no
SonicOS. A janela Configurao do RADIUS exibida.
Etapa 2 Em Configuraes globais do RADIUS, insira um valor para o Tempo limite do servidor do
RADIUS (segundos). O intervalo permitido de 1 a 60 segundos com um valor padro de 5.
Etapa 3 No campo Repeties, insira o nmero de vezes que o SonicOS tentar estabelecer contato
com o servidor do RADIUS. Se o servidor do RADIUS no responder dentro do nmero
especificado de novas tentativas, a conexo ser encerrada. Esse campo pode variar entre 0
e 10, com uma configurao recomendada de 3 tentativas do servidor do RADIUS.
Etapa 4 Na seo Servidores do RADIUS, possvel designar o servidor do RADIUS primrio e,
opcionalmente, o secundrio. Um servidor do RADIUS secundrio opcional pode ser definido
se um servidor do RADIUS de backup for existente na rede. Na seo Servidor primrio,
insira o nome do host ou endereo IP do servidor do RADIUS no campo Nome ou endereo IP.
Etapa 5 Digite a senha administrativa do servidor do RADIUS ou o segredo compartilhado no campo
Segredo compartilhado. O tamanho do Segredo compartilhado em alfanumricos pode
variar de 1 a 31 caracteres. O segredo compartilhado diferencia maisculas de minsculas.
Etapa 6 Insira o Nmero de porta para o servidor do RADIUS que ser utilizado para a comunicao
com o SonicOS. O padro 1812.
Usurios do RADIUS
Na guia Usurios do RADIUS, possvel especificar quais tipos de informaes locais ou do
LDAP sero utilizadas em combinao com a autenticao RADIUS. Tambm possvel definir
o grupo de usurios padro para os usurios do RADIUS.
.
Etapa 1 Na guia Usurios do RADIUS, selecione Permitir apenas usurios listados localmente se
somente os usurios listados no banco de dados do SonicOS forem autenticados com o uso
do RADIUS.
Etapa 2 Selecione o mecanismo utilizado para configurar as associaes a grupos do usurio para os
usurios do RADIUS entre as seguintes opes:
Selecione Usar atributo especfico de fornecedor no servidor RADIUS para aplicar
um atributo especfico do fornecedor configurado do servidor do RADIUS. O atributo
deve fornecer o grupo de usurios ao qual o usurio pertence.
Selecione Usar atributo de ID de filtro do RADIUS no servidor RADIUS para aplicar
um atributo de ID do filtro configurado do servidor do RADIUS. O atributo deve fornecer
o grupo de usurios ao qual o usurio pertence.
Selecione Usar LDAP para recuperar informaes de grupo de usurios para obter
o grupo de usurios do servidor do LDAP. possvel clicar no boto Configurar para
configurar o LDAP se voc ainda no tiver configurado-o ou se voc precisar fazer uma
Etapa 1 Selecione Criar novo grupo de usurios... A janela Adicionar grupo exibida.
Etapa 2 Na guia Configuraes, insira um nome para o grupo. Tambm possvel digitar um
comentrio descritivo.
Nota possvel adicionar qualquer grupo como membro de outro grupo exceto Todos e Todos
os usurios do RADIUS. Fique atento s associaes de grupos que voc adiciona como
membros de outro grupo.
Etapa 4 Na guia Acesso VPN, selecione os recursos da rede aos quais este grupo ter o Acesso VPN
por padro.
Etapa 5 Se voc possuir o Content Filtering Service (CFS) em seu dispositivo de segurana, possvel
configurar a poltica de filtragem de contedo para esse grupo na guia Poltica do CFS.
Consulte para obter instrues sobre como se registrar e gerenciar o SonicWALL Content
Filtering Service.
Quando Usar LDAP para recuperar informaes de grupo dos usurios estiver
selecionado, depois de autenticar um usurio por meio do RADIUS, suas informaes de
associao de grupo de usurios sero pesquisadas por meio do LDAP no diretrio no servidor
do LDAP/AD.
Nota Se esse mecanismo no estiver selecionado e a senha de uso nico estiver habilitada, um
usurio do RADIUS receber uma mensagem de falha da senha de uso nico durante a
tentativa de efetuar login por meio do SSL VPN.
Etapa 1 V at Iniciar > Configuraes > Painel de controle > Adicionar/Remover programas
Etapa 2 Selecione Adicionar/Remover componentes do Windows
Etapa 3 Selecione Servios de certificados
Etapa 4 Selecione CA raiz corporativa, quando solicitado.
Etapa 5 Insira as informaes solicitadas. Para obter informaes sobre os certificados nos sistemas
do Windows, consulte http://support.microsoft.com/kb/931125.
Etapa 6 Inicie o aplicativo Poltica de segurana do domnio: V at Iniciar > Executar e execute o
comando: dompol.msc.
Etapa 7 Abra Configuraes de segurana > Polticas de Chave pblica.
Etapa 8 Clique com o boto direito em Configuraes de solicitao automtica de certificados.
Etapa 9 Selecione Nova > Solicitao automtica de certificados.
Etapa 10 Siga as etapas do assistente e selecione Controlador do domnio da lista.
Etapa 1 Inicie o aplicativo Autoridade de certificao: Iniciar > Executar > certsrv.msc.
Etapa 2 Clique com o boto direito na CA criada e selecione propriedades.
Etapa 3 Na guia Geral, clique no boto Exibir certificado.
Etapa 4 Na guia Detalhes, selecione Copiar para arquivo.
Etapa 5 Siga as etapas do assistente e selecione o formato Base 64 codificada X.509 (.cer).
Etapa 6 Especifique um caminho e um nome de arquivo para salvar o certificado.
Nota Ao trabalhar com o AD, para determinar o local de um usurio no diretrio para o
campo rvore do usurio para login no servidor, o diretrio pode ser pesquisado
manualmente no miniaplicativo do painel de controle Usurios e Configuraes do
Active Directory no servidor. Como alternativa, um utilitrio de pesquisa de diretrio
como o queryad.vbs no Kit de Recursos do Windows NT/2000/XP pode ser
executado em qualquer PC no domnio.
Quando um usurio efetua login, se os grupos de usurios estiver definidos para conceder
associaes por local do LDAP, o usurio torna-se um membro de todos os grupos que
corresponderem a seu local do LDAP.
Os administradores podem definir qualquer grupo local, incluindo grupos locais padro (exceto
o grupo Todos e o grupo Usurios confiveis), como um grupo com membros que so definidos
por seu local na rvore do diretrio do LDAP.
Etapa 1 Localize o arquivo executvel do SonicWALL Directory Connector e clique duas vezes nele.
Pode demorar vrios segundos para que o Assistente de Instalao seja preparado para a
instalao.
Etapa 2 Na pgina inicial, clique em Avanar para continuar.
Etapa 3 O Contrato de Licena exibido. Selecione Aceito os termos do contrato de licena e clique
em Avanar para continuar.
Etapa 5 Selecione a pasta de destino. Para usar a pasta padro, C:\Program Files\SonicWALL\DCON,
clique em Avanar. Para especificar um local personalizado, clique em Procurar, selecione a
pasta e clique em Avanar.
Nota Esta seo pode ser configurada posteriormente. Para ignorar esta etapa e configur-la
mais tarde,
clique em Ignorar.
Etapa 9 Insira o endereo IP de seu firewall no campo IP do Dispositivo SonicWALL. Insira o nmero
da porta para o mesmo dispositivo no campo Porta do Dispositivo SonicWALL. Insira uma
chave compartilhada (um nmero hexadecimal de 1 a 16 dgitos) no campo Chave
compartilhada. Clique em Avanar para continuar.
Etapa 1 Inicie a Ferramenta de configurao do SonicWALL clicando duas vezes no atalho da rea de
trabalho ou indo at Iniciar > Todos os programas > SonicWALL > SonicWALL Directory
Connector > Ferramenta de configurao do SonicWALL.
Se voc clicou em Sim, a mensagem Configurao antiga restaurada com xito ser
exibida. Clique em OK.
Etapa 3 No menu suspenso Nvel de registro em log, selecione o nvel de eventos que sero
registrados no Log de Eventos do Windows. O nvel de registro em log padro 1. Selecione
um dos seguintes nveis:
Nvel de registro em log 0 Somente os eventos crticos so registrados.
Nvel de registro em log 1 Os eventos crticos e significativamente graves so
registrados.
Nvel de registro em log 2 Todas as solicitaes do dispositivo so registradas,
usando o nvel de depurao de gravidade.
Nota Quando o Nvel de registro em log 2 estiver marcado, o servio do Agente SSO ser
encerrado se o log de eventos do Windows atingir sua capacidade mxima.
Nota O NetAPI fornecer um desempenho mais rpido, embora provavelmente um pouco menos
preciso. O WMI fornecer um desempenho mais lento, embora provavelmente mais
preciso. Com o NetAPI, o Windows informa o ltimo login na estao de trabalho caso o
usurio ainda esteja conectado ou no. Isso significa que depois que um usurio efetua
logout de seu computador, o dispositivo ainda mostrar o usurio como conectado quando
o NetAPI utilizado. Se outro usurio efetua login no mesmo computador, ento nesse
ponto, o usurio anterior desconectado do SonicWALL.
O WMI pr-instalado no Windows Server 2003, Windows XP, Windows ME e Windows 2000.
O NetAPI e o WMI podem ser manualmente baixados e instalados. Eles fornecem informaes
sobre os usurios que esto conectados em uma estao de trabalho, incluindo os usurios
do domnio, os usurios locais e os servios do Windows.
Utilize estas instrues para adicionar manualmente um firewall, caso no tenha adicionado
um durante a instalao, ou para adicionar firewalls adicionais.
Para adicionar um firewall, siga as etapas a seguir:
Etapa 3 Insira o endereo IP do dispositivo de seu Dispositivo de Segurana de Rede Dell SonicWALL
no campo IP do dispositivo. Insira a porta para o mesmo dispositivo no campo Porta do
Dispositivo. A porta padro 2258. Fornea um nome amigvel ao seu dispositivo no campo
Nome amigvel. Insira uma chave compartilhada no campo Chave compartilhada ou clique
em Gerar chave para gerar uma chave compartilhada. Ao concluir, clique em OK.
Seu dispositivo ser exibido no painel de navegao esquerda abaixo da rvore Dispositivo
Dell SonicWALL.
possvel iniciar, parar e pausar os servios do Agente SSO do SonicWALL nos firewalls. Para
pausar os servios de um dispositivo, selecione o dispositivo no painel de navegao
esquerda e clique no boto de pausa . Para parar os servios de um dispositivo, selecione
o dispositivo no painel de navegao esquerda e clique no boto de interrupo . Para
Nota possvel que voc seja solicitado a reiniciar os servios depois de fazer alteraes de
configurao em um firewall no Agente SSO do SonicWALL. Para reiniciar os servios,
pressione o boto de interrupo e, em seguida, o boto de inicializao.
Etapa 3 Insira a porta de comunicao no campo Porta do dispositivo. A porta padro 2259, mas
uma porta personalizada pode ser utilizada em seu lugar. Essa porta deve ser aberta no
sistema do Windows Server.
Etapa 4 Insira a chave de criptografia no campo Segredo compartilhado. Selecione a caixa de
seleo Exibir segredo para exibir os caracteres e verificar se eles esto corretos. O mesmo
segredo compartilhado deve ser configurado no firewall.
Etapa 5 Na lista suspensa Tempo limite, selecione o nmero de segundos que o agente aguardar por
uma resposta do dispositivo antes de realizar uma nova tentativa de notificao. O intervalo
de 5 a 10 segundos e o padro 5 segundos.
Etapa 6 Na lista suspensa Repeties, selecione o nmero de vezes que o agente realizar uma
tentativa de enviar uma notificao para o dispositivo quando ele no receber uma resposta.
O intervalo de repeties de 3 a 10 e o padro 5.
Etapa 7 Para habilitar detalhes completos em mensagens de log, selecione a caixa de seleo
Habilitar log detalhado. Realize esta etapa somente para fornecer informaes adicionais e
detalhadas em um relatrio de resoluo de problemas. Evite deixar esta opo habilitada em
outros momentos, pois ela pode afetar o desempenho.
Etapa 8 Clique em Aplicar. Uma caixa de dilogo indica que o servio SonicWALL TSA foi reiniciado
com as novas configuraes.
Etapa 3 Para gerar o TSR e envi-lo automaticamente por e-mail ao Suporte Tcnico SonicWALL,
clique em Enviar.
Etapa 4 Para gerar o TSR e examin-lo em seu editor de texto padro, clique em Exibir.
Etapa 5 Para gerar o TSR e salv-lo como um arquivo de texto, clique em Salvar como.
Etapa 6 Ao concluir, clique em Fechar.
Para exibir o status atual do servio do SonicWALL TSA em seu sistema do Windows Server
ou para exibir o nmero da verso do SonicWALL TSA, realize as seguintes etapas:
Etapa 3 Clique em Configurar SSO. A pgina de Configurao da autenticao SSO exibida. Clique
na guia Agentes de SSO na parte superior esquerda e na guia Agentes de SSO em
Configuraes do agente de autenticao para exibir os Agentes de SSO configurados. O LED
Etapa 4 Clique no boto Adicionar para criar um agente. A pgina atualizada para exibir uma nova
linha na tabela na parte superior e duas novas guias (Configuraes e Avanadas) na parte
inferior da pgina.
Cuidado Ateno: Isso pode temporariamente permitir o acesso que no seria permitido quando o
usurio identificado.
O objetivo desta lista distinguir os nomes de login utilizados pelos servios do Windows
dos logins de usurios reais. Quando o Agente SSO consulta o Windows para localizar o
usurio conectado a um computador, o Windows, na verdade, retorna uma lista de contas
de usurio que esto/foram conectados ao computador e no faz distino de logins de
usurio dos logins de servio, no fornecendo ao Agente SSO, portanto, uma maneira de
determinar que um nome de login pertence a um servio. Isso pode fazer com que o Agente
SSO relate incorretamente um nome de servio em vez do nome real de usurio.
Em Imposio do SSO por zona, selecione as caixas de seleo para todas as zonas
que voc deseja acionar o SSO para identificar usurios quando o trfego for enviado.
Se o SSO j for solicitada em uma zona por Controle de aplicativos ou outras polticas,
essas caixas de seleo sero pr-selecionadas e no podero ser limpas. Se os
Servios de convidados estiverem habilitados em uma zona, o SSO no poder ser
imposto e no ser possvel selecionar a caixa de seleo.
Nota Por padro, os usurios do Linux e Mac que no so autenticados pelo SSO por meio do
Samba so atribudos poltica de filtragem de contedo padro. Para redirecionar todos
esses usurios no autenticados pelo SSO a inserir manualmente suas credenciais, crie
uma regra de acesso na zona WAN para a zona LAN no servio HTTP, com Usurios
Etapa 12 Clique na guia Servios de terminal para exibir a pgina de Configuraes do Agente de
servios de terminal.
A autenticao de NTLM suportada por navegadores com base no Mozilla e pode ser
utilizada como um suplemento para identificar usurios por meio de um agente SSO ou, com
algumas limitaes, por conta prpria sem o agente. O firewall interage diretamente com o
navegador para autenticar o usurio. Os usurios conectados com credenciais de domnio so
autenticados de forma transparente; em outros casos, talvez seja necessrio que o usurio
insira as credenciais para efetuar login no dispositivo, mas ele precisar fazer isso s uma vez
j que as credenciais so salvas.
O Login nico pela contabilizao RADIUS permite que o dispositivo atue como um servidor
de contabilizao RADIUS para dispositivos de terceiro externos e conecte ou desconecte
usurios com base nas mensagens de contabilizao desses dispositivos. O SonicOS tambm
pode ser configurado para encaminhar as mensagens de contabilizao para outro servidor de
contabilizao RADIUS.
Etapa 16 Clique na guia Testar para exibir a pgina de Configuraes do Agente de autenticao de
teste.
Nota Observe que esta opo aplicar quaisquer alteraes que tenham sido realizadas.
Etapa 2 Clique no boto Configurar SSO. A caixa de dilogo Configurao de autenticao do SSO
exibida.
Etapa 4 Para adicionar um cliente RADIUS, clique no boto Adicionar. As guias Configuraes,
RADIUS e Encaminhando so exibidas na parte inferior da tela.
Repita essas etapas para cada cliente de contabilizao RADIUS que voc deseja
adicionar; cada cliente de contabilizao RADIUS que voc adicionar est listado no painel
de Login nico da Contabilizao RADIUS.
A coluna Status mostra o status atual de cada cliente de contabilizao RADIUS listado no
painel da seguinte maneira:
Verde o cliente est ativo
Amarelo o cliente est ocioso
Etapa 7 Clique na guia Encaminhando para definir as configuraes de entrega de mensagens para
at quatro servidores de contabilizao RADIUS.
Etapa 1 Na guia Usurios na janela Configurar SSO, clique no boto Configurar ao lado da opo
Usar LDAP para recuperar informaes de grupo de usurios.
Etapa 2 A guia Configuraes exibida. No campo Nome ou endereo IP , digite o nome ou o
endereo IP do seu servidor do LDAP.
Etapa 3 No campo Nmero da porta, digite o nmero da porta de seu servidor do LDAP. As portas
LDAP padro so:
Porta LDAP padro (389)
Porta LDAP padro sobre TLS (636)
Etapa 4 No campo Tempo limite do servidor (segundos), digite um nmero de segundos que o
firewall aguardar por uma resposta do servidor do LDAP antes que a tentativa expire. Os
valores selecionveis encontram-se entre 1 e 99999. O padro 10 segundos.
Etapa 5 No campo Tempo limite geral da operao (minutos), digite um nmero de minutos que o
firewall levar em qualquer operao automtica antes do tempo limite expirar. Os valores
selecionveis encontram-se entre 1 e 99999. O padro 5 segundos.
Nota Use o nome de usurio no campo Nome de usurio de login, e no um nome de usurio
ou a ID do login. Por exemplo, Joo da Silva seria o login de Joo da Silva, e no jsilva.
Etapa 8 Selecione a verso do LDAP no menu suspenso Verso do protocolo ou Verso 2 do LDAP
ou Verso 3 do LDAP. A maioria das implementaes do LDAP, incluindo o AD, utilizam a
verso 3 do LDAP.
Etapa 9 Selecione a caixa de seleo Usar TLS (SSL) para usar a Transport Layer Security (SSL) para
efetuar login no servidor do LDAP. altamente recomendvel usar o TLS para proteger as
informaes de nome do usurio e senha que sero enviadas pela rede. A maioria das
implementaes do servidor do LDAP, incluindo o AD, oferecem suporte ao TLS.
Etapa 10 Selecione a caixa de seleo Enviar solicitao Iniciar TLS ao LDAP para permitir que o
servidor do LDAP opere no modo TLS e fora do TLS na mesma porta TCP. Algumas
implementaes do servidor do LDAP oferecem suporte para a diretiva Iniciar TLS em vez do
uso do LDAP nativo sobre TLS. Isso permite que o servidor do LDAP escute em uma nica
porta (geralmente 389) para as conexes do LDAP e alterne para o TLS, conforme indicado
pelo cliente. O AD no usa essa opo e ele deve ser selecionado somente se solicitado pelo
servidor do LDAP.
Nota Marque somente a caixa Enviar solicitao Iniciar TLS ao LDAP se seu servidor do
LDAP usar o mesmo nmero de porta para o TLS e fora do TLS.
Etapa 11 Selecione a caixa de seleo Solicitar certificado vlido do servidor para exigir um
certificado vlido do servidor. Valida o certificado apresentado pelo servidor durante a troca do
TLS, fazendo a correspondncia do nome especificado acima com o nome no certificado.
Desmarcar essa opo padro exibir um alerta, mas as trocas entre o firewall e o servidor do
LDAP ainda utilizaro o TLS somente na validao sem emisso.
Etapa 12 Selecione um certificado local no menu suspenso Certificado local para o TLS. Opcional, a
ser utilizado somente se o servidor do LDAP solicitar um certificado do cliente para as
conexes. Este recurso til para as implementaes do servidor do LDAP que retornam
senhas para garantir a identidade do cliente do LDAP (o AD no retorna senhas). Esta
configurao no necessria para o AD.
Etapa 13 Clique em Aplicar.
Etapa 15 No menu suspenso Esquema LDAP, selecione um dos seguintes esquemas do LDAP.
Selecionar qualquer um dos esquemas predefinidos preencher automaticamente os campos
utilizados por esse esquema com seus valores corretos. Selecionar definido pelo usurio
permitir que voc especifique seus prprios valores use esta opo somente se voc tiver
uma configurao de esquema do LDAP especfica ou exclusiva.
Microsoft Active Directory
RFC2798 InetOrgPerson
RFC2307 Network Information Service
Samba SMB
Novell eDirectory
Definido pelo usurio
Etapa 16 O campo Classe de objeto define quais atributos representaro a conta de usurios
individuais aos quais se aplicam os dois campos a seguir. Isso no ser modificvel, a menos
que a opo Definido pelo usurio seja selecionada.
Etapa 17 O campo Atributo de nome de login define qual atributo utilizado para a autenticao de
login. Isso no ser modificvel, a menos que a opo Definido pelo usurio seja
selecionada.
Etapa 18 Se o campo Atributo do nome de login qualificado no estiver vazio, ele especifica um
atributo de um objeto de usurio que define um nome de login alternativo para o usurio no
formato nome@domnio. Isso pode ser necessrio com vrios domnios em particular, nos
quais o nome de login simples pode no ser exclusivo nos domnios. Isso definido para
correspondncia para o Microsoft Active Directory e o RFC2798 inetOrgPerson.
Etapa 24 No campo Domnio primrio campo, especifique o domnio de usurio utilizado pelo seu
implementao de LDAP. Para o AD, ele ser o nome de domnio do Active Directory como,
yourADdomain.com. As alteraes feitas neste campo, opcionalmente, atualizaro
automaticamente as informaes da rvore no restante da pgina. Isso definido para
mydomain.com por padro para todos os esquemas, exceto o Novell eDirectory, para o qual
ele definido como o=mydomain.
Etapa 25 No campo rvore do usurio para login no servidor, especifique a rvore na qual o usurio
especificado na guia Configuraes reside. Por exemplo, no AD, a rvore padro da conta do
administrador a mesma que a rvore do usurio.
Nota O AD tem alguns recipientes internos que no so compatveis (por ex., o DN para o
recipiente de Usurios de nvel superior est formatado como cn=Users,dc=, usando
cn em vez de ou), mas o SonicWALL conhece e lida com eles, para que eles possam ser
inseridos no formato URL mais simples.
Nota Ao trabalhar com o AD, para localizar o local de um usurio no diretrio para o campo
rvore do usurio para login no servidor, o diretrio pode ser pesquisado manualmente
no miniaplicativo do painel de controle Usurios e Configuraes do Active Directory no
servidor. Como alternativa, um utilitrio de pesquisa de diretrio como o queryad.vbs no Kit
de Recursos do Windows NT/2000/XP pode ser executado em qualquer PC no domnio.
Etapa 28 O boto Configurar automaticamente faz com que o firewall configure automaticamente os
campos rvores que contm usurios e rvores que contm grupos de usurios pela
verificao por meio do diretrio/diretrios que procuram todas as rvores que contm os
objetos de usurio. A rvore de usurio para login no servidor deve ser definida primeiro.
Selecione se deseja acrescentar novas rvores localizadas para a configurao atual ou
comear do zero, removendo primeiro todas as rvores configuradas no momento e, em
seguida, clique em OK. Observe que ele muito provavelmente localizar rvores que no so
necessrias para o login de usurio. recomendado remover manualmente essas entradas.
Se estiver utilizando vrios servidores do LDAP/AD com recomendaes, este processo pode
ser repetido para cada uma delas, substituindo o valor Domnio a ser pesquisado de forma
adequada e selecionando Anexar s rvores existentes em cada execuo posterior.
Etapa 30 Se vrios servidores LDAP estiverem sendo utilizados em sua rede, podem ser necessrias as
recomendaes do LDAP. Selecione uma ou mais das seguintes caixas de seleo:
Permitir recomendaes Selecione esta opo sempre que as informaes do
usurio estejam localizadas em um servidor do LDAP que no seja o servidor primrio.
Permitir referncias de continuao durante a autenticao do usurio
Selecione esta opo quando as rvores do diretrio individuais abrangerem vrios
servidores do LDAP.
Permitir referncias de continuao durante a configurao automtica do
diretrio Selecione esta opo para ler as rvores do diretrio a partir de vrios
servidores do LDAP na mesma operao.
Permitir referncias de continuao em pesquisas de domnios Selecione esta
opo para procurar subdomnios em vrios servidores do LDAP.
Etapa 31 Selecione a guia Usurios do LDAP.
Dica As associaes (e privilgios) a grupos tambm podem ser atribudos simplesmente com o
LDAP. Ao criar grupos de usurios no servidor do LDAP/AD com o mesmo nome que os
grupos internos (como Servios para convidados, Desvios de Filtragem de Contedo e
Administradores limitados), e atribuindo usurios a esses grupos no diretrio ou criando
grupos de usurios no firewall com o mesmo nome que os grupos de usurios do LDAP/AD
existentes, as associaes a grupos sero concedidas automaticamente aos usurios aps
a autenticao do LDAP.
O firewall pode recuperar associaes a grupos de forma mais eficiente no caso do Active
Directory, utilizando sua caracterstica exclusiva de retornar um atributo memberOf para um
usurio.
Etapa 35 Clique no boto Importar grupos de usurios para importar grupos de usurios do servidor
do LDAP. Os nomes de grupos de usurios no servidor do LDAP precisam ser duplicados no
SonicWALL se eles precisarem ser utilizados em regras de polticas, polticas do CFS, etc.
Etapa 37 Selecione a caixa de seleo Habilitar RADIUS para Retransmisso LDAP para habilitar o
RADIUS para a retransmisso LDAP. O recurso RADIUS para Retransmisso LDAP
projetado para ser utilizado em uma topologia em que exista um site central com um servidor
do LDAP/AD e um firewall central com sites de satlite remotos conectados a ele, usando
firewalls de baixo nvel que possam no oferecer suporte ao LDAP. Nesse caso, o firewall
central pode operar como um servidor do RADIUS para os firewalls remotos, atuando como um
gateway entre o RADIUS e o LDAP e retransmitindo solicitaes de autenticao deles para o
servidor do LDAP.
Etapa 38 Em Permitir que clientes RADIUS se conectem via, selecione as caixas de seleo
relevantes para que as regras de poltica sejam adicionadas e permitir as solicitaes de
entrada do RADIUS de acordo. As opes so:
Zonas confiveis
Zona de WAN
Zonas pblicas
Zonas sem fio
Zona de VPN
Etapa 39 No campo Segredo compartilhado do RADIUS, insira um segredo compartilhado comum a
todos os firewalls remotos.
Etapa 40 No campo Grupos de usurios para usurios legados, defina os grupos de usurios que
correspondem aos privilgios legados dos usurios de VPN, usurios do cliente VPN,
usurios do L2TP e usurios com acesso Internet. Quando um usurio em um
determinado grupo de usurios for autenticado, os firewalls remotos sero informados de que
o usurio deve receber o privilgio relevante.
A pgina Testar permite que as configuraes do LDAP definidas sejam testadas, pela
tentativa de autenticao com credenciais especificadas de usurio e senha. Todas as
associaes a grupos de usurios e/ou endereo IP com moldura configurados no servidor do
LDAP/AD para o usurio sero exibidos.
Etapa 42 Nos campos Nome de usurio e Senha, insira um nome de login do LDAP vlido para o
servidor do LDAP configurado.
Etapa 43 Selecione Autenticao de senha ou CHAP (Challenge Handshake Authentication Protocol).
Nota O CHAP s funciona com um servidor que oferece suporte recuperao de senhas do
usurio com o uso do LDAP e, em alguns casos, requer que o servidor do LDAP seja
configurado para armazenar senhas de forma reversvel. Ele no pode ser utilizado com o
Active Directory.
Etapa 44 Clique em Testar. O status e as informaes retornadas do servidor do LDAP so exibidos nos
campos Status do teste, Mensagem do LDAP e Atributos de usurio retornados.
Viso geral
Quando um usurio primeiro tenta enviar o trfego por meio de um SonicWALL que esteja
utilizando o SSO, o dispositivo envia uma solicitao de identificao ao Agente SSO do
SonicWALL. O agente consulta o PC do usurio por meio da rede do Windows e retorna o
nome de usurio ao firewall. Se o nome de usurio corresponder a algum critrio definido nas
polticas, o usurio ser considerado como conectado pelo SonicWALL. Quando os usurios
forem conectados ao SonicWALL com o uso do SSO, o recurso do SSO tambm oferece a
deteco de logouts. Para detectar logouts, o dispositivo repetidamente controla o agente para
verificar se cada usurio ainda est conectado. Esta pesquisa, juntamente com as solicitaes
de identificao inicial, poderia resultar em um grande carregamento no aplicativo do Agente
SSO do SonicWALL e no PC no qual ele est sendo executado, especialmente quando um
grande nmero de usurios est se conectando.
O recurso do SSO do SonicWALL utiliza um mecanismo de limitao de taxa para impedir que
o dispositivo sobrecarregue o agente com essas solicitaes de usurio. Os dois clculos
automticos e uma configurao configurvel no dispositivo controlam o funcionamento dessa
limitao de taxa. O recurso do SSO do SonicWALL calcula automaticamente o nmero
mximo de solicitaes de usurio contidas em cada mensagem ao agente, que podem ser
processadas no perodo de pesquisa, com base nos tempos de resposta da pesquisa recente.
Alm disso, o tempo limite de uma solicitao de vrios usurios definido automaticamente
para ser longo o suficiente para reduzir a probabilidade de um tempo limite longo ocasional
durante a pesquisa. A definio configurvel controla o nmero de solicitaes que sero
enviadas ao agente de uma s vez e pode ser ajustada para otimizar o desempenho do SSO
e evitar possveis problemas. Esta seo fornece um guia para escolher configuraes
adequadas.
Os possveis problemas resultantes da sobrecarga do agente podem ser reduzidos com a
execuo do agente em um PC dedicado de alto desempenho, e possivelmente tambm com
o uso de vrios agentes em PCs separados, caso em que a carga ser compartilhada entre
eles. A ltima opo tambm oferece redundncia, no caso de falha em um dos PCs do agente.
O agente deve ser executado em um PC com o Windows Server (algumas estaes de trabalho
mais antigas poderiam ser utilizadas, mas as alteraes em verses posteriores do Windows
2000/XP/Vista para estaes de trabalho e nos service packs para as verses mais antigas
incluam um recurso de limitao da taxa da conexo TCP que interfere com a operao do
agente SSO).
A configurao Mximo de solicitaes a serem enviadas por vez est disponvel na guia
Avanadas da configurao do Agente SSO.
A pgina Configurao do SSO fornece estatsticas sobre cada agente, alm de dicas de
ferramentas para muitos campos, exibidas com o mouse sobre os itens. Na guia
Configuraes, um cone de estilo LED verde ao lado de um agente indica que o agente est
ativo e em execuo. Um cone de LED vermelho indica que o agente est inativo.
Para exibir as estatsticas para um determinado agente, passe o mouse sobre o cone de
estatsticas , localizado direita do agente SSO. Isso tambm funciona para TSAs
individuais na guia Servios de terminal.
Para limitar a taxa de erros devido a isso, tambm possvel estender a configurao
Tempo de espera aps falha na guia Usurios.
Examinando o agente
Solues
Nota No habilite os Servios de convidados na mesma zona em que o SSO do SonicWALL est
sendo utilizado. Ativar os Servios de convidados desativar o SSO nessa zona, fazendo
com que os usurios que foram autenticados por meio do SSO percam o acesso. Crie uma
zona separada para os Servios de convidados.
Os sistemas com Linux e Mac no oferecem suporte s solicitaes de rede do Windows que
so utilizadas pelo agente SSO do SonicWALL, mas eles podem usar o Samba 3.5 ou uma
verso mais recente para funcionar com o SSO do SonicWALL.
No caso do CFS, uma regra com esta caixa de seleo habilitada pode ser adicionada na
frente do CFS, para que as sesses de HTTP dos sistemas com Linux e Mac sejam
redirecionadas automaticamente para o login, evitando a necessidade de login manual por
esses usurios.
Nota No selecione a opo No invocar Login nico para autenticar usurios para uso com
dispositivos que tm permisso para ignorar por completo o processo de autenticao do
usurio. Quaisquer dispositivos que possam ser afetados por uma regra de acesso quando
essa opo ativada devem ser capazes de efetuar login manualmente. Uma regra de
acesso separada deve ser adicionada para esses dispositivos, com Usurios permitidos
definido como Todos.
Nota As regras de polticas mais especficas devem receber uma prioridade mais alta do que as
regras de polticas gerais. A hierarquia de especificidade geral origem, destino, servio.
Os elementos de identificao do usurio como, por exemplo, nome de usurio e
permisses de grupo correspondentes, no so includos na definio da especificidade de
uma regra da poltica.
Por padro, a inspeo de pacotes com monitorao de estado do firewall permite total
comunicao a partir da LAN para a Internet e bloqueia todo o trfego para a LAN a partir da
Internet.
possvel definir mais regras de acesso rede para aumentar ou substituir regras de acesso
padro. Por exemplo, possvel criar regras de acesso que bloqueiem determinados tipos de
trfego, como IRC da LAN para a WAN, ou permitir determinados tipos de trfego, como a
sincronizao do banco de dados do Lotus Notes, de hosts especficos na Internet para hosts
especficos na LAN ou restringir o uso de determinados protocolos, como Telnet, a usurios
autorizados na LAN.
Cuidado A capacidade de definir as regras de acesso rede uma ferramenta muito eficiente. O uso
das regras de acesso personalizadas pode desabilitar a proteo do firewall ou bloquear
todo o acesso Internet. Tenha cuidado ao criar ou excluir regras de acesso rede.
Para obter informaes detalhadas sobre as regras de acesso, consulte Firewall > Regras de
acesso na pgina 555.
A pgina Usurios > Status exibe as Sesses de usurio ativas no firewall. A tabela
enumera o Nome do usurio, Endereo IP, Tempo de sesso, Tempo restante, Inatividade
restante, Configuraes e Logout. Para usurios autenticados com o Agente SSO do
SonicWALL, a mensagem Aut. pelo Agente SSO ser exibida. Para efetuar logout de um
usurio, clique no cone de excluso , localizado ao lado da entrada do usurio.
Nota No defina um intervalo de limite da sesso de login muito baixo. Isso poderia causar
problemas de desempenho, especialmente para implementaes com muitos usurios.
As alteraes aplicadas na pgina Usurios > Configuraes durante uma sesso ativa do
SSO no sero aplicadas durante a sesso.
Dica necessrio efetuar o logout do usurio para que as alteraes tenham efeito. O usurio
ser conectado novamente imediata e automaticamente com as alteraes aplicadas.
O recurso Monitor de pacotes disponvel em Sistema > Monitor de pacotes fornece duas
caixas de seleo para habilitar a captura de mensagens decodificadas do e para o Agente
SSO e de mensagens decodificadas do LDAP sobre TLS (LDAPS).
Para capturar pacotes decodificados do LDAP sobre TLS (LDAPS), realize as seguintes
etapas:
Nota A captura do LDAPS s funciona para conexes do cliente do LDAP do firewall e no exibir
conexes do LDAP sobre TLS de um cliente do LDAP externo que passem por meio do
dispositivo.
Etapa 1 Ao efetuar login como admin, navegue at a pgina Usurios > Usurios locais.
Etapa 2 Clique no boto Adicionar usurio.
Etapa 3 Insira um Nome e Senha para o usurio.
Etapa 4 Clique na guia Associaes a grupos.
Apropriando administradores
Quando um administrador tentar efetuar login enquanto outro administrador est conectado, a
seguinte mensagem exibida. A mensagem exibe o nome de usurio do administrador atual,
endereo IP, nmero de telefone (se for possvel recuper-lo do LDAP), e se o administrador
est conectado com GUI ou CLI.
Para acessar a interface de usurio do SonicWALL, clique no boto Gerenciar. Voc ser
solicitado a inserir sua senha novamente. Esta uma medida de segurana para proteger
contra o acesso no autorizado quando os administradores estiverem distantes de seus
computadores e no efetuarem logout da sesso.
possvel desabilitar a janela pop-up Status de login do usurio se preferir permitir que
determinados usurios efetuem login somente com o propsito de gerenciamento do
dispositivo, e no para o acesso privilegiado por meio do dispositivo. Para desabilitar a janela
pop-up, selecione a caixa de seleo Os membros acessam diretamente a UI de
gerenciamento no login da web ao adicionar ou editar o grupo local.
Se voc deseja que algumas contas de usurio sejam somente administrativas, enquanto
outros usurios precisam efetuar login para o acesso privilegiado por meio do dispositivo, mas
tambm com a capacidade de administr-lo (ou seja, alguns acessam a interface de
gerenciamento no login, enquanto outros visualizam a janela pop-up Status de login do
usurio com um boto Gerenciar), isso pode ser realizado da seguinte maneira:
Etapa 1 Crie um grupo local com a caixa de seleo Os membros acessam diretamente a UI de
gerenciamento no login da web marcada.
Etapa 2 Adicione o grupo ao grupo administrativo relevante, mas no selecione esta caixa de seleo
no grupo administrativo.
Etapa 3 Adicione as contas de usurio que devero ser somente administrativas ao novo grupo de
usurios. A janela pop-up Status de login do usurio ser desabilitada para esses usurios.
Etapa 4 Adicione as contas de usurio que devero ter acesso administrativo e privilegiado diretamente
ao grupo administrativo de nvel superior.
Etapa 4 Clique no boto Continuar para entrar no modo de configurao. O administrador atual
convertido para o modo somente leitura e voc obter acesso de administrador completo.
Quando o administrador est no modo somente leitura, a mensagem Modo somente leitura
exibida no canto superior direito da interface.
A barra de status exibe Modo somente leitura no possvel fazer nenhuma alterao.
Perfis de convidados
A lista Perfis de convidados mostra os perfis criados e permite adicionar, editar e excluir perfis.
Para adicionar um perfil:
Etapa 1 Clique em Adicionar abaixo da lista Perfil de convidado para exibir a janela Adicionar perfil de
convidado.
Etapa 1 Marque a caixa de seleo na coluna Habilitar prxima ao nome da conta que deseja habilitar.
Selecione a caixa Habilitar no cabealho da tabela para habilitar todas as contas na pgina.
Etapa 2 Clique em Aceitar na parte superior da pgina.
A pgina lista:
Nome: O nome da conta de convidado.
IP: O endereo IP ao qual o usurio convidado est conectado.
Interface: A interface no dispositivo de segurana atravs da qual a conta de usurio est
se conectando ao dispositivo. Por exemplo, se a conta de convidado for um usurio sem
fio se conectando por meio de um SonicWALL SonicPoint e, todos os SonicPoints
estiverem se conectando porta X3 no dispositivo, que est configurada como uma zona
sem fio, a coluna Interface listar X3.
Zona: A zona do dispositivo de segurana qual o usurio convidado est se conectando.
Por exemplo, um usurio sem fio pode estar se conectando zona WLAN.
Expirao da conta: A data, hora ou minuto em que a conta expira.
Expirao da sesso: A hora em que a sesso atual expira.
Estatsticas: passe o mouse sobre o cone Estatsticas para exibir estatsticas para o total
de bytes e pacotes recebidos e enviados para a sesso atual desse usurio convidado.
Alta disponibilidade
| 1085
1086 | Guia do Administrador do SonicOS 6.2
Captulo 61
Configurar a Alta disponibilidade
Alta disponibilidade
A Alta disponibilidade (AD) permite que dois firewalls idnticos executando o SonicOS sejam
configurados para fornecer uma conexo confivel e contnua Internet pblica. Esta seo
fornece informaes conceituais e descreve como configurar a Alta disponibilidade (AD) no
SonicOS. Esta seo contm as seguintes subsees:
Viso geral da Alta disponibilidade na pgina 1087
Viso geral da Sincronizao estvel na pgina 1093
Viso geral de AD de DPI ativa/ativa na pgina 1095
Pr-requisitos de DPI ativa/em espera e ativa/ativa na pgina 1095
Alta disponibilidade > Status na pgina 1101
Alta disponibilidade > Configuraes na pgina 1104
Alta disponibilidade > Avanado na pgina 1109
Alta disponibilidade > Monitoramento na pgina 1111
Clustering ativo/ativo na pgina 1114
Ativo/em espera o modo Ativo/em espera fornece alta disponibilidade bsica com a
configurao de dois firewalls idnticos como um par de Alta disponibilidade. A unidade Ativa
manipula todo o trfego, enquanto a unidade Em espera compartilha suas configuraes e
pode assumir a qualquer momento para fornecer conectividade contnua de rede se a unidade
Ativa parar de funcionar. Por padro, o modo Ativo/em espera no tem estado, o que significa
que as conexes de rede e os tneis de VPN devem ser novamente estabelecidos aps um
failover. Para evitar isso, a Sincronizao estvel pode ser licenciada e habilitada com o modo
Ativo/em espera. Nesse modo de AD estvel, o estado dinmico continuamente sincronizado
Nota A AD com monitoramento de estado suportada apenas no NSA 2600 com a compra de
uma Licena Expandida ou uma Licena de Alta Disponibilidade do SonicOS. As licenas
podem ser adquiridas em www.mysonicwall.com.
DPI ativa/ativa O modo DPI (Deep Packet Inspection Inspeo profunda de pacotes) ativa/
ativa pode ser usado com o modo Ativo/em espera. Quando o modo DPI ativa/ativa estiver
habilitado, os servios de DPI intensivos do processador, como Preveno de intruso (IPS),
Antivrus do gateway (GAV) e Anti-spyware, so processados no firewall de espera, enquanto
outros servios, como o firewall, NAT e outros tipos de trfego, so processados no firewall
Ativo simultaneamente.
Nota A DPI ativa/ativa no suportada no NSA 2600, NSA 3600 ou NSA 4600.
Clustering ativo/ativo nesse modo, vrios firewalls so agrupados como ns de cluster, com
vrias unidades Ativas processando trfego (como vrios gateways), fazendo DPI e
compartilhando a carga de rede. Cada n de cluster consiste em duas unidades atuando como
um par de AD estvel. O modo Clustering ativo/ativo fornece suporte de Failover estvel alm
de compartilhamento de carga. Opcionalmente, cada n de cluster pode tambm consistir em
uma nica unidade, caso em que os modos Failover estvel e DPI ativa/ativa no esto
disponveis.
Nota O modo Clustering ativo/ativo suportado por padro na srie SM 9000. O modo Clustering
ativo/ativo compatvel com o NSA 5600 e NSA 6600 somente com a aquisio de uma
licena expandida do SonicOS. As licenas podem ser adquiridas em
www.mysonicwall.com.
Terminologia de AD
Primria descreve a unidade principal de hardware. O identificador "Primria" uma
designao manual e no est sujeito a alteraes condicionais. Em condies
operacionais normais, a unidade de hardware Primria opera em uma funo de Ativo.
Secundria descreve a unidade de hardware subordinada. O identificador "Secundria"
uma designao relacional e assumido por uma unidade quando combinado com uma
unidade Primria. Em condies operacionais normais, a unidade Secundria opera no
modo Em espera. Aps a falha da unidade Primria, a unidade Secundria assumir a
funo de Ativo.
Ativo descreve a condio operacional de uma unidade de hardware. O identificador
"Ativo" uma funo lgica que pode ser assumida por uma unidade de hardware Primria
ou Secundria.
Em espera descreve a condio passiva de uma unidade de hardware. O identificador
Em espera uma funo lgica que pode ser assumida por uma unidade de hardware
Primria ou Secundria. A unidade Em espera assume a funo Ativa no caso de falha
determinvel da unidade Ativa.
Deteco de falhas
O recurso de AD tem um mecanismo completo de autodiagnstico para os firewalls Ativo e Em
espera. O failover na unidade em espera ocorre quando os servios essenciais so afetados,
a falha de link fsico (ou lgico) detectada em interfaces monitoradas ou quando o
SonicWALL perde a alimentao.
O mecanismo de verificao automtica gerenciado por diagnstico de software, o qual
verifica a integridade do sistema completo do dispositivo SonicWALL. O diagnstico verifica o
status do sistema interno, o status de processo do sistema e a conectividade de rede. H um
mecanismo de ponderao nos dois lados para decidir qual lado tem melhor conectividade,
usado para evitar possveis loops de failover.
Os processos de sistema interno essenciais, como NAT, VPN e DHCP (entre outros) so
verificados em tempo real. O servio com falha isolado o mais cedo possvel e o mecanismo
de failover repara-o automaticamente.
Nota A opo DPI ativa/ativa compatvel com NSA 5600 e NSA 6600 com a aquisio de uma
licena expandida.
Etapa 1 Decida qual interface usar para a conexo adicional entre os dispositivos no par de AD. A
mesma interface deve ser selecionada em cada dispositivo.
Etapa 2 Na interface de gerenciamento do SonicOS, navegue at a pgina Rede > Interfaces e
certifique-se de que a Zona est No atribuda para a interface de DPI ativa/ativa pretendida.
Etapa 3 Usando um cabo Ethernet padro, conecte as duas interfaces diretamente uma outra.
Etapa 4 Opcionalmente, para redundncia de portas com DPI ativa/ativa, conecte fisicamente uma
segunda interface de DPI ativa/ativa entre os dois dispositivos em cada par de AD.
Nota Mesmo que registre primeiro seus dispositivos em MySonicWALL, voc deve registrar
individualmente os dispositivos Primrio e Secundrio a partir da interface de
gerenciamento do SonicOS enquanto estiver conectado ao endereo IP de gerenciamento
individual de cada dispositivo. Isso permite que a unidade Secundria realize a
sincronizao com o servidor de licenas Dell SonicWALL e compartilhe licenas com o
dispositivo Primrio associado. Se o acesso Internet for restringido, voc poder aplicar
manualmente as licenas compartilhadas para ambos os dispositivos.
Nota As licenas de Clustering ativo/ativo e Alta disponibilidade estvel devem ser ativadas em
cada dispositivo, registrando a unidade no MySonicWALL a partir da interface de
gerenciamento do SonicOS ou aplicando o conjunto de chaves de licena a cada unidade
se o acesso Internet no estiver disponvel.
Voc pode visualizar licenas de sistema na pgina Sistema > Licenas da interface de
gerenciamento. Essa pgina tambm fornece uma forma de efetuar logon no MySonicWALL.
Quando os firewalls no cluster ativo/ativo tm acesso Internet, cada dispositivo no cluster
deve ser registrado individualmente a partir da interface de gerenciamento do SonicOS
enquanto o administrador est conectado ao endereo IP de gerenciamento individual de cada
dispositivo. Isso permite que as unidades Secundrias realizem a sincronizao com o servidor
de licenciamento SonicWALL e compartilhem licenas com os dispositivos Primrios
associados em cada par de AD.
Tambm existe uma forma de sincronizar licenas para um par de AD cujos dispositivos no
possuem acesso Internet. Quando no permitida a comunicao em tempo real com o
servidor de licenciamento da SonicWALL devido poltica de rede, voc pode usar conjuntos
de chaves de licena para aplicar manualmente as licenas de servios de segurana nos seus
dispositivos. Quando voc registra um firewall em MySonicWALL, um conjunto de chaves de
licena gerado para o dispositivo. Se voc adicionar uma nova licena de servio de
segurana, o conjunto de chaves ser atualizado. No entanto, at que voc aplique as licenas
ao dispositivo, ele no poder executar os servios licenciados.
Nota Na implantao de Alta disponibilidade sem conectividade com a Internet, voc deve aplicar
o conjunto de chaves de licena aos dois dispositivos no par de AD.
Alta disponibilidade
Plataforma estvel DPI A/A
NSA 2600 Licena expandida ou N/D
licena de AD
NSA 3600 Licena expandida ou N/D
licena de AD
NSA 4600 Includo N/D
NSA 5600 Includo Expandida
A7014414
NSA 6600 Includo Expandida
A7014415
SM 9200 Includo Includo
SM 9400 Includo Includo
SM 9600 Includo Includo
Voc pode usar um dos procedimentos a seguir para aplicar licenas a um dispositivo:
Ativar licenas na interface de usurio do SonicOS na pgina 1099
Copiar o conjunto de chaves de licena de MySonicWALL na pgina 1100
Nota Para obter mais informaes sobre a Alta disponibilidade, consulte Viso geral da Alta
disponibilidade na pgina 1087 e Pr-requisitos de DPI ativa/em espera e ativa/ativa na
pgina 1095. Se seu ambiente de Clustering ativo/ativo usar VPN ou NAT, consulte
Configurar VPN e NAT com Clustering ativo/ativo na pgina 1136 depois de concluir a
configurao de Ativo/ativo.
Etapa 1 Faa logon como administrador na interface de usurio do SonicOS no SonicWALL Primrio.
Etapa 2 No painel de navegao esquerda, navegue at Alta disponibilidade > Configuraes. A
guia Geral exibida.
Etapa 10 Selecione a interface da Interface de controle AD. Esta opo fica acinzentada se o
dispositivo detectar que a interface j est configurada.
Etapa 11 Selecione o nmero de interface da Interface de DPI ativa/ativa. Esta opo fica acinzentada
se o dispositivo detectar que a interface j est configurada.
Etapa 12 Selecione a Interface de DPI ativa/ativa. Essa interface ser usada para transferir dados
entre as duas unidades durante o processamento de DPI ativa/ativa. Somente as interfaces
no atribudas e disponveis aparecem na lista. As interfaces conectadas devem ter o mesmo
nmero nos dois dispositivos e, inicialmente, devem aparecer como interfaces no utilizadas
e no atribudas na pgina Rede > Interfaces. Por exemplo, voc pode conectar X5 na unidade
Primria a X5 na Secundria se X5 for uma interface no atribuda. Aps habilitar a DPI ativa/
ativa, a interface conectada ter uma Atribuio de zona de Link de dados AD.
Etapa 13 Quando terminar todas as configuraes de Alta disponibilidade, clique em Aplicar. Todas as
configuraes sero sincronizadas com a unidade Em espera e a unidade Em espera ir
reinicializar.
Nota Para obter mais informaes sobre a Alta disponibilidade, consulte Viso geral da Alta
disponibilidade na pgina 1087 e Pr-requisitos de DPI ativa/em espera e ativa/ativa na
pgina 1095.
Etapa 9 Se desejar que um Failover ocorra somente quando TODOS os links agregados estiverem
inativos, selecione a caixa de seleo
Failover ativo/em espera somente quando TODOS os links agregados estiverem
inativos.
Etapa 10 Marque a caixa de seleo Incluir certificados/chaves para que os dispositivos sincronizem
todos os certificados e todas as chaves no par de AD.
Etapa 11 (Opcional) Clique no boto Sincronizar configuraes. Esta ao sincroniza as
configuraes de preferncia do SonicOS entre suas unidades de AD primria e secundria.
Etapa 12 (Opcional) Clique no boto Sincronizar firmware. Esta ao sincroniza a verso do firmware
entre suas unidades de AD primria e secundria.
Etapa 13 (Opcional) Clique no cone Forar failover. Esta ao tenta um failover de AD ativa/em espera
unidade secundria. Use essa ao para testar se a funcionalidade de failover de AD est
funcionando corretamente.
Etapa 14 Quando terminar todas as configuraes de Alta disponibilidade, clique em Aceitar. Todas as
configuraes sero sincronizadas com as outras unidades no cluster.
Etapa 1 Faa logon como administrador na interface de usurio do SonicOS no SonicWALL Primrio.
Etapa 2 No painel de navegao esquerda, navegue at Alta disponibilidade > Monitoramento.
Etapa 4 Para habilitar a deteco de link entre as interfaces de AD designadas nas unidades Primria
e Secundria, deixe a caixa de seleo Habilitar monitoramento de interface fsica
marcada.
Etapa 5 No campo Endereo IPv4 primrio, digite o endereo IP de gerenciamento de LAN exclusivo
da unidade Primria.
Etapa 6 No campo Endereo IPv4 secundrio, digite o endereo IP de gerenciamento de LAN
exclusivo da unidade Secundria.
Internet
M0 M0
ALARM
BYPASS ALARM
BYPASS
STATUS STATUS
TEST TEST
Xn Xn
CONSOLE CONSOLE
Co
HA Data HA Control nt HA Data HA Control
ro
X3
Interface X3
Interface lL
ink
X3
Interface X3
Interface
1
Xn Xn Xn Xn
2
ink
lL
ro
nt
Xn Xn Co Xn Xn
Xn Xn
X18
10GE
X16 X14 X12
1GE
X10 X8 X6 X4
1GE
X2 X0
Cluster Link 2 X18
10GE
X16 X14 X12
1GE
X10 X8 X6 X4
1GE
X2 X0
Xn Xn
SDHC SDHC
M0 M0
ALARM
BYPASS ALARM
BYPASS
STATUS STATUS
TEST TEST
Secondary Secondary
X0 X0
Internal Network
Xn
Para obter mais informaes sobre portas redundantes e switches redundantes fisicamente
conectados, consulte Active/Active Clustering Full Mesh Deployment Technote (Nota tcnica
de implantao de malha completa de clustering ativo/ativo).
Internet
M0 M0
ALARM
BYPASS ALARM
BYPASS
STATUS STATUS
TEST TEST
X0 HA HA X0
Internal Network
Router
Switch
X0, X1, HA Physical Ports
Sobre ns de cluster
Um Cluster ativo/ativo formado por uma coleo de Ns de cluster. Um n de cluster pode
consistir em um par de AD estvel, um par de AD sem estado ou uma unidade autnoma. A
sincronizao de estado dinmico s est disponvel em um n de cluster se este for um par
de AD estvel. O protocolo de alta disponibilidade tradicional ou o protocolo de AD estvel da
SonicWALL usado para comunicao dentro do n de cluster, entre as unidades no par de
AD.
Quando um n de cluster um par de AD estvel, a DPI ativa/ativa pode ser habilitada dentro
do n do cluster para aumentar o desempenho.
Sobre o Cluster
Todos os dispositivos no cluster devem ser do mesmo modelo de produto e estar executando
a mesma verso de firmware.
Dentro do cluster, todas as unidades esto conectadas e se comunicam entre si. Para
comunicao entre ns de cluster, usado um novo protocolo denominado Protocolo de
redundncia de roteador virtual da SonicWALL (SVRRP). As mensagens de estado de
monitoramento e gerenciamento de n de cluster so enviadas usando SVRRP.
Internet
M0 M0
ALARM
BYPASS ALARM
BYPASS
STATUS STATUS
TEST TEST
Xn Xn
CONSOLE CONSOLE
Co
HA Data HA Control nt HA Data HA Control
ro
X3
Interface X3
Interface lL
ink
X3
Interface X3
Interface
1
Xn Xn Xn Xn
k 2
l Lin
ro
nt
Xn Xn Co Xn Xn
Xn Xn
X18
10GE
X16 X14 X12
1GE
X10 X8 X6 X4
1GE
X2 X0
Cluster Link 2 X18
10GE
X16 X14 X12
1GE
X10 X8 X6 X4
1GE
X2 X0
Xn Xn
SDHC SDHC
M0 M0
ALARM
BYPASS ALARM
BYPASS
STATUS STATUS
TEST TEST
Secondary Secondary
X0 X0
Internal Network
Xn
Nota Quando o Clustering ativo/ativo est habilitado, o servidor DHCP interno do SonicOS est
desativado.
Nota O endereo MAC virtual ativo/ativo diferente do endereo MAC virtual de alta
disponibilidade. A funcionalidade de endereo MAC virtual de alta disponibilidade no
suportada quando o Clustering ativo/ativo est habilitado.
Sobre SVRRP
Para comunicao entre ns de cluster em um Cluster ativo/ativo, usado um novo protocolo
denominado Protocolo de redundncia de roteador virtual da SonicWALL (SVRRP). As
mensagens de estado de monitoramento e gerenciamento do n de cluster so enviadas
usando SVRRP atravs dos links de Cluster ativo/ativo.
O SVRRP tambm usado para sincronizar as alteraes de configurao, atualizaes de
firmware e atualizaes de assinatura a partir do n mestre para todos os ns no cluster. Em
cada n de cluster, somente a unidade ativa processa as mensagens de SVRRP.
No caso de falha dos Links de cluster ativo/ativo, as mensagens de pulsao do SVRRP so
enviadas na interface X0. No entanto, enquanto os Links de cluster ativo/ativo estiverem
inativos, a configurao no ser sincronizada. As atualizaes de firmware ou assinatura,
alteraes a polticas e outras alteraes de configurao no podem ser sincronizadas com
outros ns de cluster at que os Links de cluster ativo/ativo sejam corrigidos.
Sobre o failover
Existem dois tipos de failover que podem ocorrer quando o Clustering ativo/ativo est
habilitado:
Failover de alta disponibilidade dentro de um par de AD, a unidade Secundria assume
a funo de Primria. Se a AD estvel estiver habilitada para o par, ocorre o failover sem
interrupo para conexes de rede.
Failover ativo/ativo se todas as unidades no n de proprietrio de um Grupo virtual
encontrarem uma condio de falha, o n em espera do Grupo virtual assume a
propriedade do Grupo virtual. O Failover ativo/ativo transfere a propriedade de um Grupo
virtual de um N de cluster para outro. O N do cluster que se torna o proprietrio do Grupo
virtual tambm se torna o proprietrio de todos os endereos IP virtuais associados ao
Grupo virtual e comea usando os endereos MAC virtuais correspondentes.
O Failover ativo/ativo est sem estado, o que significa que as conexes de rede sero
redefinidas e os tneis de VPN devem ser renegociados. As difuses de camada 2 informam os
dispositivos de rede da alterao na topologia, pois o n de cluster, que o novo proprietrio
de um Grupo virtual, gera solicitaes de ARP com os MACs virtuais para os endereos IP virtuais
de propriedade recente. Isso simplifica consideravelmente o processo de failover, pois apenas
os switches conectados precisam atualizar suas tabelas de aprendizado. Todos os outros
Nota A pgina Alta disponibilidade > Monitoramento se aplica somente ao par de AD ao qual voc
est conectado, no a todo o cluster.
Nota Para interfaces com endereos IP virtuais configurados, o monitoramento fsico ativo/ativo
est implcito e usado para calcular o peso do link do Grupo virtual. O monitoramento
fsico no pode ser desabilitado para essas interfaces. Isso diferente do monitoramento
de AD.
Advertncias de recurso
Quando o Clustering ativo/ativo est habilitado, somente os endereos IP estticos podem ser
usados na WAN.
Os seguintes recursos no so suportados quando o Clustering ativo/ativo est habilitado:
Servidor DHCP
Modo transparente de camada 3
Ponte de camada 2/Modo transparente de camada 2
DNS dinmico
Modo com fio
Os seguintes recursos so suportados somente no Grupo virtual 1:
SonicWALL GVC
SonicOS SSL VPN
Auxiliar de IP
Suporte de OSPF
O OSPF compatvel com Clustering ativo/ativo. Quando habilitado, o OSPF executado nas
interfaces habilitadas por OSPF de cada n de cluster ativo. De uma perspectiva de
roteamento, todos os ns de cluster aparecem como roteadores paralelos, cada um com o
endereo IP virtual da interface do n do cluster. Em geral, qualquer rede anunciada por um
n ser anunciada por todos os outros ns.
O ID do roteador do OSPF de cada n de cluster deve ser exclusivo e ser derivado do ID do
roteador configurado no n mestre da seguinte forma:
Se o usurio inserir 0 ou 0.0.0.0 para o ID do roteador na configurao do OSPF, o ID do
roteador de cada n ser atribudo ao endereo IP virtual de X0 do n.
Se o usurio inserir qualquer valor diferente de 0 ou 0.0.0.0 para o ID do roteador, ser
atribudo a cada n um ID do roteador com valores consecutivos incrementados em um
para cada n. Por exemplo, em um cluster de 4 ns, se o ID do roteador 10.0.0.1 foi
configurado no n mestre, os IDs do roteador atribudos devem ser os seguintes:
N 1: 10.0.0.1
N 2: 10.0.0.2
N 3: 10.0.0.3
N 4: 10.0.0.4
Suporte de RIP
O RIP suportado e, tal como o OSPF, ser executado nas interfaces habilitadas por RIP de
cada n de cluster. De uma perspectiva de roteamento, todos os ns de cluster aparecem
como roteadores paralelos, com o endereo IP virtual da interface do n do cluster. Em geral,
qualquer rede anunciada por um n ser anunciada por todos os outros ns.
Suporte de BGP
O BGP suportado em clusters e tambm ser exibido como roteadores de BGP paralelos
usando o endereo IP virtual da interface do n do cluster. Tal como acontece com o OSPF e
o RIP, as alteraes de configurao realizadas no n mestre sero aplicadas a todos os outros
ns do cluster. No caso do BGP, em que a configurao s pode ser aplicada atravs da CLI,
a configurao distribuda quando a configurao em execuo salva com o comando da
CLI write file.
Nota Alm dos requisitos descritos nesta seo, garanta a concluso dos pr-requisitos descritos
em Pr-requisitos de DPI ativa/em espera e ativa/ativa na pgina 1095.
Nota Como todos os ns de cluster compartilham a mesma configurao, cada n deve ter as
mesmas portas redundantes configuradas e conectadas aos mesmos switches.
Para usar Clustering ativo/ativo, voc deve registrar todos os dispositivos SonicWALL no
cluster no MySonicWALL. Os dois dispositivos em cada par de AD tambm devem ser
associados como AD Primria e AD Secundria no MySonicWALL. Isto , associe os dois
dispositivos no par de AD para o n 1 do cluster, em seguida associe os dispositivos no par de
AD para o n 2 do cluster e assim sucessivamente para quaisquer outros ns do cluster.
A tabela a seguir mostra os requisitos de licenciamento para Clustering ativo/ativo e outros
recursos de Alta disponibilidade.
Etapa 1 Faa logon na unidade Primria do n do cluster mestre e navegue at a pgina Alta
disponibilidade > Configuraes. A guia Geral exibida.
Etapa 10 Quando terminar todas as configuraes de Alta disponibilidade, clique em Aplicar. Todas as
configuraes sero sincronizadas com a unidade Em espera e a unidade Em espera ir
reinicializar.
Etapa 11 V para a pgina Alta disponibilidade > Monitoramento e siga as etapas em Configurar
Monitoramento de alta disponibilidade de Clustering ativo/ativo na pgina 1132.
Etapa 12 V para a pgina Alta disponibilidade > Avanado e siga as etapas em Alta disponibilidade
> Avanado na pgina 1109.
Etapa 13 V para a pgina Rede > Interfaces para verificar se voc configurou com xito as interfaces
ativas/ativas desejadas.
Etapa 14 V para a pgina Alta disponibilidade > Status para verificar suas configuraes para
Clustering ativo/ativo.
Internet
M0 M0
ALARM
BYPASS ALARM
BYPASS
STATUS STATUS
TEST TEST
Xn Xn
CONSOLE MGMT CONSOLE MGMT
Xn Xn
X18
10GE
X16 X14 X12
1GE
X10 X8 X6 X4
1GE
X2 X0
Cluster Link 2 X18
10GE
X16 X14 X12
1GE
X10 X8 X6 X4
1GE
X2 X0
SDHC
M0
ALARM
TEST
BYPASS
STATUS
Xn Xn SDHC
M0
ALARM
TEST
BYPASS
STATUS
Secondary Secondary
X0 X0
Internal Network
Xn
Etapa 1 Faa logon na unidade Primria do n do cluster mestre e navegue at a pgina Alta
disponibilidade > Configuraes. A guia Geral exibida.
Se voc tiver fisicamente conectado a Interface de DPI ativa/ativa, conforme descrito em
Conectando fisicamente seus dispositivos na pgina 1096, voc est pronto para configurar a
DPI ativa/ativa na interface de gerenciamento do SonicOS.
Etapa 2 No menu suspenso Modo, selecione Clustering de DPI ativo/ativo.
Etapa 3 A opo Habilitar sincronizao estvel automaticamente habilitada para Clustering de
DPI ativo/ativo.
Etapa 4 Marque a caixa de seleo Gerar/substituir configuraes e firmware do secundrio ao
atualizar o firmware para criar automaticamente um secundrio das definies de firmware e
configurao quando voc carregar o novo firmware para o dispositivo. Como o n mestre
sincroniza o novo firmware para outros dispositivos no cluster, os secundrios sero criados
nesses dispositivos.
Etapa 5 Clique na guia Dispositivos AD para configurar as informaes de cluster ativo/ativo.
Etapa 6 Para a opo AD Secundria na parte superior da guia, selecione Interno se o dispositivo
secundrio configurado fizer parte do n do cluster deste dispositivo. Selecione Externo se o
dispositivo secundrio configurado fizer parte de um n de cluster diferente.
Etapa 7 Na tabela, digite os nmeros de srie dos dispositivos em cada n de cluster.
Etapa 8 Insira a classificao do N 1 do cluster para cada Grupo virtual nos campos Grupo virtual X
Classificao direita dos nmeros de srie. Por padro, o N 1 do cluster o Proprietrio
do Grupo 1 e, normalmente, est classificado como Em espera para o Grupo 2. Para excluir
um dispositivo de um cluster, selecione Nenhum para o Grupo virtual X Classificao.
Etapa 9 Na segunda linha, insira a classificao do N 2 do cluster para cada Grupo virtual nos campos
Grupo virtual X Classificao direita dos nmeros de srie.
Etapa 10 Clique na guia Interfaces de AD. Selecione a interface da Interface de controle AD. Esta
opo fica acinzentada se o dispositivo detectar que a interface j est configurada.
Etapa 11 Selecione a interface para a Interface de DPI ativa/ativa. Esta opo fica acinzentada se o
dispositivo detectar que a interface j est configurada.
Etapa 12 Selecione a Interface de DPI ativa/ativa. Essa interface ser usada para transferir dados
entre as duas unidades durante o processamento de DPI ativa/ativa. Somente as interfaces
no atribudas e disponveis aparecem na lista.
Etapa 13 Selecione a interface Link de cluster ativo/ativo.
Etapa 14 Quando terminar todas as configuraes de Alta disponibilidade, clique em Aplicar. Todas as
configuraes sero sincronizadas com a unidade Em espera e a unidade Em espera ir
reinicializar.
Etapa 15 V para a pgina Alta disponibilidade > Monitoramento e siga as etapas em Configurar
Monitoramento de alta disponibilidade de Clustering ativo/ativo na pgina 1132.
Etapa 16 V para a pgina Alta disponibilidade > Avanado e siga as etapas em Alta disponibilidade
> Avanado na pgina 1109.
Etapa 17 V para a pgina Rede > Interfaces para verificar se voc configurou com xito as interfaces
ativas/ativas desejadas.
Etapa 18 V para a pgina Alta disponibilidade > Status para verificar suas configuraes para
Clustering ativo/ativo.
Na guia Avanado, voc pode selecionar o nmero de Grupo virtual para a configurao
Grupo de poltica de VPN. O padro Grupo virtual 1.
Este grfico mostra as selees para a opo Grupo virtual na janela Adicionar poltica de
NAT ao criar uma poltica de NAT personalizada.
Nota Para ver o uso do ncleo para todos os firewalls no cluster, a SonicWALL recomenda
visualizar a pgina Monitor de vrios ncleos na unidade ativa do n mestre.
Na seo inferior da pgina, mostrada abaixo, a tabela Status de alta disponibilidade exibe as
configuraes e o status de AD de cada n no cluster.
Etapa 1 Faa logon na unidade Primria do n de cluster e navegue at a pgina Rede > Servidor
DHCP.
Etapa 2 Desmarque a caixa de seleo Habilitar servidor DHCP.
Etapa 3 Em Escopos de concesso de servidor DHCP, marque a caixa de seleo no canto superior
esquerdo do ttulo da tabela para selecionar todos os escopos de concesso na tabela.
Etapa 1 Faa logon na unidade Primria do n do cluster e navegue at a pgina Rede > Interfaces.
Etapa 2 Na tabela Configuraes de interface, clique no cone de configurao da interface que voc
deseja configurar.
Etapa 3 Na janela Editar interface, digite o endereo IP virtual no campo Endereo IP (Grupo virtual
X), em que "X" representa o nmero do grupo virtual.
Nota O novo endereo IP virtual deve estar na mesma sub-rede, como qualquer endereo IP
virtual existente para essa interface.
Nota Como todos os ns de cluster compartilham a mesma configurao, cada n deve ter as
mesmas portas redundantes configuradas e conectadas aos mesmos switches.
Etapa 1 Faa logon na unidade Primria do n do cluster e navegue at a pgina Rede > Interfaces.
Etapa 2 Na tabela Configuraes de interface, clique no cone de configurao da interface primria
para a qual voc deseja criar uma porta redundante.
Etapa 4 No campo Porta redundante, selecione a porta redundante na lista suspensa. Somente as
interfaces no utilizadas esto disponveis para seleo.
Por exemplo, selecione X4 para a porta redundante.
Etapa 5 Clique em OK.
Nota As portas primria e redundante devem estar conectadas fisicamente ao mesmo switch ou,
preferencialmente, a switches redundantes na rede.
Etapa 6 Em cada n de cluster, replique as conexes fsicas redundantes usando os mesmos nmeros
de interface para as portas primria e redundante. Todos os ns de cluster compartilham a
mesma configurao que o n mestre.
Nota Os roteadores na rede upstream do firewall devem ser pr-configurados para Protocolo de
redundncia de roteador virtual (VRRP).
Nota Como todos os ns de cluster compartilham a mesma configurao, cada n deve ter as
mesmas portas redundantes configuradas e conectadas ao(s) mesmo(s) switch(es).
Switch B Switch C
X1 X2 X2 X1
10GE 1GE 1GE 10GE 1GE 1GE 10GE 1GE 1GE 10GE 1GE 1GE
X18 X16 X14 X12 X10 X8 X6 X4 X2 X0 X18 X16 X14 X12 X10 X8 X6 X4 X2 X0 X18 X16 X14 X12 X10 X8 X6 X4 X2 X0 X18 X16 X14 X12 X10 X8 X6 X4 X2 X0
SDHC SDHC SDHC SDHC
M0 M0 M0 M0
ALARM
BYPASS ALARM
BYPASS ALARM
BYPASS ALARM
BYPASS
STATUS STATUS STATUS STATUS
TEST TEST TEST TEST
Cluster Node 1 links to both units links to both units Cluster Node 2
X0 HA HA X0
Switch D
Primary Link
Redundant Link
Xn, HA Interfaces
Switch A
Switch C Switch D
X1 X3 X3 X1
Cluster Node 1 Links to Both Units Links to Both Units Cluster Node 2
Primary Primary
Cluster Link 1
10GE 1GE 1GE
Xn Xn 10GE 1GE 1GE
X18 X16 X14 X12 X10 X8 X6 X4 X2 X0 X18 X16 X14 X12 X10 X8 X6 X4 X2 X0
SDHC SDHC
M0 M0
ALARM
BYPASS ALARM
BYPASS
STATUS STATUS
TEST TEST
Xn Xn
CONSOLE MGMT CONSOLE MGMT
Co
HA Data A/A DPI HA Control nt HA Data A/A DPI HA Control
ro
X3
Interface Interface X3
Interface l Lin X3
Interface Interface X3
Interface
k1
Xn Xn Xn Xn Xn Xn
2
ink
lL
ro
nt
Xn Xn Xn Co Xn Xn Xn
Xn Xn
X18
10GE
X16 X14 X12
1GE
X10 X8 X6 X4
1GE
X2 X0 Cluster Link 2 X18
10GE
X16 X14 X12
1GE
X10 X8 X6 X4
1GE
X2 X0
SDHC
M0
ALARM
TEST
BYPASS
STATUS
Xn Xn SDHC
M0
ALARM
TEST
BYPASS
STATUS
Secondary Secondary
Router
Xn Interface
Primary Link
Etapa 1 Conecte todos os links de AD de todos os firewalls em uma VLAN baseada em porta no switch
E.
Etapa 2 Na configurao descrita acima, X2 a porta redundante de X0. Conecte os cabos da seguinte
forma s portas X0 e X2:
a. Conecte X0 ao switch A e X2 ao switch B do firewall primrio CN2.
b. Conecte X0 ao switch A e X2 ao switch B do firewall de backup CN2.
c. Conecte X0 ao switch B e X2 ao switch A do firewall primrio CN2.
d. Conecte X0 ao switch B e X2 ao switch A do firewall de backup CN2.
Etapa 3 No switch A e switch B:
a. Configure todas as portas do switch conectadas s interfaces X0, X2 para que estejam na
mesma VLAN baseada em portas.
b. Habilite a rvore de extenso, mas tambm habilite a porta Fast (ou o comando
equivalente) nas portas conectadas aos firewalls.
Etapa 4 Na configurao descrita acima, X3 a porta redundante de X1. Conecte os cabos da seguinte
forma s portas X1 e X3:
a. Conecte X1 ao switch C e X3 ao switch D do firewall primrio CN2.
b. Conecte X1 ao switch C e X3 ao switch D do firewall de backup CN2.
c. Conecte X1 ao switch D e X3 ao switch C do firewall primrio CN2.
d. Conecte X1 ao switch D e X3 ao switch C do firewall de backup CN2.
Etapa 5 No switch C e switch D:
a. Configure todas as portas do switch conectadas s interfaces X1, X3 para que estejam na
mesma VLAN baseada em portas.
b. Habilite a rvore de extenso, mas tambm habilite a porta Fast (ou o comando
equivalente) nas portas conectadas aos firewalls.
Etapa 6 Conecte os cabos do switch A e do switch B em conjunto.
Etapa 7 Conecte os cabos do switch C e do switch D em conjunto.
Etapa 8 Se o roteador A e o roteador B suportarem portas redundantes, conecte os roteadores aos
switches da mesma forma como foram conectadas as portas do firewall aos switches. Por
outras palavras, conecte a porta primria no roteador A ao switch C e a porta de backup no
roteador A ao switch D. Conecte as portas da mesma forma para o roteador B.
Etapa 9 Se os roteadores no suportarem portas redundantes, mas suportarem comutao, crie ento
duas portas na mesma VLAN no roteador A e atribua um endereo IP VLAN em vez da porta.
Conecte uma porta ao switch C e a outra porta ao switch D. Realize uma configurao
semelhante para o roteador B. (Esta a configurao mostrada no diagrama.)
Etapa 10 Na configurao descrita acima, tambm usamos a DPI ativa/ativa com Clustering ativo/ativo.
As portas X6 e X7 so as duas portas de dados de AD para redundncia e compartilhamento
de carga de trfego descarregado de firewalls Ativos para firewalls Em espera. Execute o
seguinte cabeamento (as portas X6, X7 e o cabeamento no foram mostrados no diagrama
acima para brevidade):
Etapa 1 Falhas de dispositivo: O trfego dever continuar a fluir atravs dos dois ns de cluster em
cada uma das seguintes falhas de dispositivo:
a. Desligue o Switch A enquanto o Switch B estiver ativo e pronto.
b. Desligue o Switch B enquanto o Switch A estiver ativo e pronto.
c. Reinicie a unidade Ativa no CN1 da interface de gerenciamento do SonicOS enquanto a
unidade Em espera em CN1 estiver ativa e pronta (esse cenrio semelhante a uma falha
de software na unidade ativa CN1). Observe que ocorrer um failover de AD estvel nesse
caso.
d. Encerre a unidade ativa CN1 enquanto a unidade em espera CN1 estiver ativa e pronta
(esse cenrio semelhante a uma falha de hardware na unidade ativa CN1). Observe que
ocorrer um failover de AD estvel nesse caso.
e. Repita as etapas c) e d) para CN2.
f. Desligue o Roteador A enquanto o Roteador B estiver ativo e pronto.
g. Desligue o Roteador B enquanto o Roteador A estiver ativo e pronto.
Etapa 2 Falhas de link: O trfego dever continuar a fluir em cada uma das falhas de link seguintes:
a. Em cada um dos firewalls ativos no n de cluster, desconecte o cabo X0 enquanto X2
estiver conectado.
b. Em cada um dos firewalls ativos no n de cluster, desconecte o cabo X1 enquanto X3
estiver conectado.
c. Desconecte o link primrio dos switches upstream para o roteador que o roteador virtual
ativo.
d. Desconecte X6, a interface de dados AD de DPI ativa-ativa.
Servios de segurana
| 1155
1156 | Guia do Administrador do SonicOS 6.2
Captulo 62
Gerenciando Servios de segurana do
SonicWALL
Dica Aps registrar seu firewall, voc pode experimentar verses de AVALIAO GRATUITA do
SonicWALL Content Filtering Service, SonicWALL Client Anti-Virus, SonicWALL Gateway
Anti-Virus, SonicWALL Intrusion Prevention Service e SonicWALL Anti-Spyware.
exibida uma lista de servios disponveis no momento na tabela Resumo dos servios de
segurana. Os Servios Assinados so exibidos com Licenciado na coluna Status. A data de
expirao do servio exibida na coluna Expirao. Se o servio est limitado a um nmero
de usurios, o nmero exibido na coluna Contagem. Se o servio no est licenciado, No
licenciado exibido na coluna Status. Se a licena de servio tiver expirado, Expirado
exibido na coluna Status.
Quando voc acessa sua conta mysonicwall.com nessa pgina na interface de gerenciamento
SonicWALL, a tabela Resumo dos servios de segurana muda para a tabela Gerenciar
Servios Online. Esta tabela fornece um status atualizado dos servios de segurana e
permite que voc ative uma verso de AVALIAO GRATUITA e ativar ou renovar licenas de
servios de segurana usando as Chaves de ativao.
Se o seu firewall no est registrado, a pgina Servios de segurana > Resumo no inclui
a tabela Resumo de Servios. O firewall deve ser registrado para exibir a tabela Resumo de
Servios.
mysonicwall.com
Para ativar os Servios de segurana do SonicWALL, voc deve ter uma conta
mysonicwall.com e seu firewall deve ser registrado. Criar uma conta no mysonicwall.com
rpido, fcil e grtis. Voc pode criar uma conta do mysonicwall.com diretamente na interface
de gerenciamento SonicWALL. Simplesmente preencha um formulrio de registro on-line.
Quando a conta criada, voc pode registrar firewalls e ativar os Servios de segurana
SonicWALL associados ao firewall.
Digite seu nome de usurio e senha no mySonicWALL.com nos campos Nome de usurio e
Senha e clique em Enviar. A pgina Sistema > Licenas exibida com a tabela Gerenciar
servios on-line.
Etapa 1 Na pgina Servios de segurana > Resumo, role para o cabealho Atualizar assinaturas
manualmente na parte inferior da pgina. Anote a ID do arquivo de assinatura para o seu
dispositivo.
Etapa 2 Efetue login em http://www.mysonicwall.com usando a conta mysonicwall.com que foi usada
para registrar o dispositivo de segurana de rede Dell SonicWALL.
Etapa 6 Volte para a pgina Servios de segurana > Resumo na interface de gerenciamento do
firewall.
Etapa 7 Clique na caixa Importar assinaturas.
Etapa 8 Na janela pop-up que aparece, clique no boto Procurar e navegue at o local do arquivo de
atualizao de assinatura.
Etapa 9 Clique em Importar. As assinaturas so carregadas para os servios de segurana que esto
habilitados no firewall.
Restries
Nota Enquanto o novo mtodo de Regras de aplicativo de gerenciamento de CFS oferece mais
controle e flexibilidade, o administrador ainda pode escolher o mtodo de gerenciamento
de usurio/zona anterior para executar a filtragem de contedo. Informaes sobre como
implementar o recurso CFS usando o mtodo anterior podem ser encontradas no Guia do
Administrador do SonicOS.
Nota Para obter a documentao completa do Content Filtering Service, consulte o Guia do
Administrador do Content Filtering Service, disponvel em http://www.sonicwall.com/us/
Support.html
Nota Enquanto o novo mtodo de Regras de aplicativo de gerenciamento de CFS oferece mais
controle e flexibilidade, o administrador ainda pode escolher o mtodo de gerenciamento
de usurio/zona anterior para executar a filtragem de contedo.
Etapa 1 Navegue at a pgina Servios de segurana > Filtro de contedo e clique na interface de
gerenciamento do SonicOS.
Etapa 2 Selecione 'Via regras de aplicativo' na lista suspensa Atribuio de poltica de CFS.
Etapa 3 Clique no boto Aceitar para aplicar a alterao.
Etapa 4 Navegue at a pgina Firewall > Regras de aplicativos.
Etapa 5 Marque a caixa Habilitar Regras de aplicativo.
500kb/s Policy 1
www
BWM Limit
Per Policy Policy 2
exe
Etapa 1 Navegue para a pgina Firewall > Regras de aplicativo na interface de gerenciamento do
SonicOS.
Etapa 2 Clique no boto Adicionar poltica e a janela Adicionar/editar poltica de Regras de
aplicativos ser exibida.
Etapa 3 Insira um nome descritivo para esta ao no campo Nome da poltica, como 'Bloquear
contedo proibido'.
Etapa 4 Selecione 'CFS' na lista suspensa Tipo de poltica.
Etapa 5 Da lista suspensa Objeto do aplicativo, selecione o objeto que voc criou na seo anterior.
No nosso exemplo, este objeto denominado 'Contedo proibido'.
Etapa 6 Da lista suspensa Ao, selecione' Pgina de bloqueio de CFS' para exibir uma pgina pr-
formatada de 'contedo bloqueado' quando os usurios tentarem acessar o contedo proibido.
Etapa 7 Opcionalmente, selecione os Usurios/Grupos a quem essa poltica dever ser Includa ou
Excluda na lista suspensa. Nosso exemplo usa os padres de incluir 'todos' e excluir 'nenhum'.
Etapa 8 Opcionalmente,, selecione um Cronograma de dias e horrios quando essa regra deve ser
aplicada na lista suspensa. Nosso exemplo usa 'Sempre ativa' para sempre aplicar esta
poltica.
Etapa 9 Opcionalmente,, selecione a caixa de seleo Registrar usando formato de mensagem CFS
se desejar que os logs usem este formato em vez do padro de formato de Regras de
aplicativo.
Etapa 10 Opcionalmente,, selecione a Zona apropriada onde a poltica deve ser aplicada. Nosso
exemplo usa 'LAN' para aplicar a poltica em todo o trfego atravessando a rede local.
Etapa 11 Opcionalmente,, selecione uma Lista de permisso de CFS para impor nessa poltica em
particular.
Etapa 12 Opcionalmente,, selecione a Lista de proibidos do CFS o apropriada para impor na poltica
especfica.
Etapa 13 Clique no boto OK para criar essa poltica.
Crie uma poltica de Regras de aplicativo para bloquear o contedo definido no Objeto do
aplicativo:
Etapa 1 Navegue para a pgina Firewall > Regras de aplicativo na interface de gerenciamento do
SonicOS.
Etapa 2 Clique no boto Adicionar poltica e a janela Adicionar/editar poltica de Regras de
aplicativos ser exibida.
Etapa 3 Insira um nome descritivo para esta ao no campo Nome da poltica.
Etapa 4 Selecione 'CFS' na lista suspensa Tipo de poltica.
Etapa 5 Da lista suspensa Objeto do aplicativo, selecione o objeto que voc criou na seo anterior.
No nosso exemplo, este objeto denominado 'Contedo no-produtivo'.
Etapa 6 Da lista suspenda Ao, selecione 'Gerenciamento de largura de banda - 100 mil' para aplicar
essa regra BWM personalizada quando os usurios tentarem acessar o contedo no
produtivo.
Nota Se voc optar por no criar um objeto BWM personalizado, voc pode usar um dos objetos
de BWM predefinidos (BWM alto, BWM mdio ou BWM baixo).
Etapa 7 Opcionalmente, selecione os Usurios/Grupos a quem essa poltica dever ser Includa ou
Excluda na lista suspensa. Nosso exemplo usa os padres de incluir 'todos' e excluir 'nenhum'.
Etapa 8 Opcionalmente,, selecione um Cronograma de dias e horrios quando essa regra deve ser
aplicada na lista suspensa. Nosso exemplo usa a seleo Horas de trabalho' predefinida para
aplicar esta poltica somente durante horas de trabalho dos dias da semana.
Etapa 9 Opcionalmente,, selecione a caixa de seleo Registrar usando formato de mensagem CFS
se desejar que os logs usem este formato em vez do padro de formato de Regras de
aplicativo.
Etapa 10 Opcionalmente,, selecione a Zona apropriada onde a poltica deve ser aplicada. Nosso
exemplo usa 'LAN' para aplicar a poltica em todo o trfego atravessando a rede local.
Etapa 11 Clique no boto OK para criar essa poltica.
Crie uma poltica de Regras de aplicativo para bloquear o contedo definido no Objeto do
aplicativo:
Etapa 1 Navegue para a pgina Firewall > Regras de aplicativo na interface de gerenciamento do
SonicOS.
Etapa 2 Clique no boto Adicionar poltica e a janela Adicionar/editar poltica de Regras de
aplicativos ser exibida.
Etapa 3 Insira um nome descritivo para esta ao no campo Nome da poltica. Para facilitar a
identificao, esse nome pode incluir o grupo de usurios ao qual voc est aplicando a
poltica.
Etapa 4 Selecione 'CFS' na lista suspensa Tipo de poltica.
Etapa 5 Selecione um Objeto de aplicativo na lista suspensa. Nosso exemplo usa Contedo no-
produtivo'.
Etapa 6 Selecione um formulrio de Ao na lista suspensa. Nosso exemplo usa a ao 'BWM mdio'
predefinida para gerenciar a largura de banda do contedo aplicvel.
Etapa 7 Selecione os Usurios/Grupos a quem essa poltica dever ser Includa ou Excluda na lista
suspensa. Nosso exemplo usa o grupo Usurios confiveis', embora voc possa escolher um
grupo diferente ou personalizado, dependendo das suas necessidades.
Etapa 8 Selecione um Cronograma apropriado para este grupo. Nosso exemplo usa o cronograma
Horas de trabalho' predefinido.
Com isso, as selees neste exemplo, Contedo no-produtivo ser Largura de banda
gerenciada para Usurios confiveis somente durante Horas de trabalho.
Etapa 9 Clique no boto OK para criar essa poltica. A nova poltica exibe a lista Polticas de regras
de aplicativos.
Etapa 10 Repita as etapas 2-9 com as variaes exigidas pela sua implementao para criar uma
poltica para cada grupo necessrio.
Etapa 1 Navegue at a pgina Servios de segurana > Filtro de contedo e clique na interface de
gerenciamento do SonicOS.
Etapa 2 Role para baixo e clique na seo Categoria personalizada do CFS e selecione a caixa de
seleo Habilitar categoria personalizada de CFS.
Etapa 3 Clique no boto Aceitar para salvar suas alteraes e ativar o recurso de Categoria
personalizada.
Etapa 1 Novamente na pgina Servios de segurana > Filtro de contedo, role para baixo at a
seo Categoria personalizada do CFS e clique no boto Adicionar....
Etapa 2 Insira um nome descritivo em Nome para a entrada personalizada.
Etapa 3 Escolha a Categoria predefinida a qual essa entrada ser adicionada.
Etapa 4 Insira um nome de domnio ao campo Contedo.
Nota Todos os subdomnios do domnio inserido so afetados. Por exemplo, inserir "yahoo.com"
aplica-se a "mail.yahoo.com" e "my.yahoo.com", portanto, no necessrio digitar todas as
entradas FQDN para subdomnios de um domnio pai.
Nota No possvel criar regras avanadas que utilizam o controle de polticas de filtro de
aplicativos e de gerenciamento de largura de banda ao usar o mtodo 'herdado' de
Filtragem de contedo. Para a criao de regra avanada, consulte a seo Viso geral de
Gerenciamento de Poltica CFS 3.0.
Se voc tem uma Chave de ativao para a sua assinatura do SonicWALL CFS, siga estas
etapas para ativar o SonicWALL CFS:
Aviso Voc deve ter uma conta mysonicwall.com e seu firewall deve ser registrado para ativar o
SonicWALL Client Anti-Virus.
Etapa 1 Clique no link AVALIAO GRATUITA na pgina Servios de segurana > Filtro de
contedo. A pgina Login no mysonicwall.com ser exibida.
Etapa 2 Insira seu nome de usurio e senha no mysonicwall.com nos campos Nome de usurio e
Senha e clique em Enviar. A pgina Sistema > Licenas exibida. Se o seu SonicWALL j
estiver conectado sua conta mysonicwall.com, a pgina sistema > Licenas aparece aps
clicar no link AVALIAO GRATUITA.
Etapa 3 Clique em AVALIAO GRATUITA na coluna Gerenciar servio na tabela Gerenciar
servios on-line. Sua assinatura de teste do SonicWALL CFS ativada no seu SonicWALL.
Etapa 4 Selecione Servios de segurana > Filtro do contedo para exibir a pgina do Filtro do
contedo para configurao do SonicWALL Content Filtering Service.
Domnios confiveis
Domnios confiveis podem ser adicionados para permitir que o contedo de domnios
especficos seja isento da opo Restringir recursos da web.
Se voc confiar no contedo em domnios especficos e deseja que exclu-los de Restringir
recursos da Web, siga estas etapas para adicion-los:
Etapa 1 Para manter as entradas da Lista de excluso CFS mas permitir temporariamente a filtragem
de contedo para ser aplicado a esses endereos IP, desmarque a caixa de seleo Habilitar
lista de excluso CFS.
Etapa 2 Para editar uma entrada de domnio confivel, clique no cone Editar .
Etapa 3 Para excluir um domnio confivel individual, clique no cone Excluir para a entrada.
Etapa 4 Para excluir todos os Domnios confiveis, clique em Excluir todos.
Nota O SonicWALL recomenda que voc faa a poltica Padro do CFS Premium a poltica mais
restritiva. Polticas CFS Personalizadas esto sujeitas a herana de filtro de contedo. Isso
significa que todas as polticas personalizadas de CFS herdam os filtros da poltica Padro
do CFS. Para garantir a correta filtragem de contedo, a poltica Padro do CFS deve ser
configurada para ser a poltica mais restritiva, em seguida, cada poltica personalizada deve
ser configurada para conceder privilgios que so restritos poltica Padro.
Configuraes
A seo Configuraes permite que voc ative a filtragem de contedo HTTPS, selecione o
que deseja que o firewall faa se o servidor estiver indisponvel e o que ele dever fazer
quando houver tentativa de acesso a um site da Web proibido.
Habilitar filtragem de contedo HTTPS - Selecione esta caixa de seleo para ativar a
filtragem de contedo de HTTPS. A filtragem de contedo HTTPS se baseia no IP e no
inspecionar o URL. Embora a filtragem de contedo HTTP possa executar
redirecionamentos para impor autenticao ou fornecer uma pgina de bloqueio, as
pginas filtradas HTTP sero bloqueadas silenciosamente. Voc deve fornecer o endereo
IP de qualquer site da Web HTTPS a ser filtrado.
Habilitar failover de servidor CFS Marque esta caixa de seleo para fornecer
redundncia de servidor CFS e alta disponibilidade.
Habilitar modo de cabo de CFS Selecione esta caixa de seleo para habilitar as
implantaes de Modo de cabo do CFS.
Se o servidor ficar indisponvel por (segundos) - Define a quantidade de tempo depois
que o servidor de filtro de contedo ficar indisponvel at que o firewall execute a ao de
bloquear acesso a todos os sites da Web ou permitir que o trfego continue a todos os sites
da Web.
Nota Se o servidor estiver indisponvel, o firewall pode permitir acesso a sites da Web na
memria do cache. Isso significa que, ao selecionar a caixa de seleo Bloquear o
trfego para todos os sites da Web, o firewall s ir bloquear sites da Web que
no esto na memria do cache.
Cache de URL
A seo de Cache de URL permite que voc configure o tamanho do cache de URL no firewall.
Dica Um tamanho de cache de URL maior pode fornecer melhorias perceptveis na navegao
na Internet em tempos de resposta.
Poltica
A guia Poltica s ficar visvel se o firewall tiver uma assinatura do SonicWALL CFS Premium.
A guia Poltica permite que voc modifique a poltica Padro do CFS e crie polticas
personalizadas de CFS, que, em seguida, voc poder aplicar a grupos especficos de
usurios na pgina Usurios > Grupos locais. A poltica Padro do CFS sempre herdada
Nota Para garantir a correta filtragem de contedo, a poltica Padro do CFS deve ser
configurada para ser a poltica mais restritiva, em seguida, cada poltica personalizada deve
ser configurada para conceder privilgios que so restritos poltica Padro.
Polticas CFS personalizadas s podem ser criadas quando o dispositivo possui uma
assinatura vlida para o SonicWALL CFS Premium.
Para criar uma nova poltica:
Etapa 1 Clique no cone Editar na coluna Configurar. A janela Editar poltica de CFS exibida.
Etapa 2 Clique na guia Lista de URL.
Etapa 3 Selecione as caixas de seleo para categorias adicionais que deseja filtrar. Para selecionar
todas as categorias do CFS Premium, selecione a caixa de seleo Selecionar todas as
categorias.
Etapa 4 Se voc deseja remover o bloqueio de CFS de categorias especficas, desmarque a caixa de
seleo para a categoria. Mova o seu ponteiro nos botes para cima ou para baixo para
navegar pela lista de categorias.
Etapa 5 Clique em OK.
Dica As restries de Hora do dia se aplicam somente Lista de filtro de contedo, bloqueio
Personalizado e bloqueio de Palavra-chave. Restringir recursos da Web e Consentimento
no so afetados.
Para um dispositivo com uma assinatura do CFS Premium, estes recursos so controlados por
cada Poltica. Para habilitar ou desabilitar qualquer um dos recursos nesta pgina, consulte
Ativando ou desativando em dispositivos com uma assinatura do CFS Premium na
pgina 1186.
Para um dispositivo com uma assinatura do CFS Premium, consulte Ativando ou desativando
em dispositivos sem uma assinatura CFS Premium na pgina 1186.
Para permitir acesso a um site da Web que est bloqueado pela Lista de filtro de contedo,
clique em Adicionar, insira o nome do host, como www.ok-site.com no campo Domnios
permitidos. 1.024 entradas podem ser adicionadas lista Domnios permitidos.
Para bloquear um site da Web que no esteja bloqueado pelo Servio de filtro de contedo,
clique em Adicionar e digite o nome de host, como "www.bad-site.com" no campo Domnios
proibidos. 1.024 entradas podem ser adicionadas lista Domnios proibidos.
Aviso No inclua o prefixo "http://" nos campos de Domnios permitidos ou Domnios proibidos.
Todos os subdomnios sero afetados. Por exemplo: inserir yahoo.com afetar
mail.yahoo.com e my.yahoo.com.
Etapa 1 Na pgina Servios de segurana > Filtro de contedo, selecione Servios de filtro de
contedo em Tipo de filtro de contedo e clique em Configurar.
Etapa 2 Na pgina Propriedades de filtro do SonicWALL, clique na guia Poltica.
Etapa 3 Clique no cone Editar na coluna Configurar em Poltica para a que deseja ativar ou desativar
os recursos.
Etapa 4 Na janela Editar poltica de CFS, clique na guia Configuraes.
Etapa 5 Em Configuraes de lista personalizada, selecione qualquer uma das seguintes
configuraes:
Origem de domnios permitidos - Selecione esta configurao para desabilitar os
domnios permitidos que esto listados na guia Lista personalizada. Os domnios na
lista Domnios permitidos no sero isentos da filtragem de contedo.
Origem de domnios proibidos - Selecione esta configurao para habilitar a
filtragem (bloqueio) de domnios proibidos que esto listados na guia Lista
personalizada.
Origem de palavra-chave - Selecione esta configurao para habilitar o Bloqueio de
palavra-chave para os URLs que esto listados na guia Lista personalizada.
Etapa 6 Clique em OK.
Etapa 1 Na guia Lista personalizada, na parte inferior da pgina, selecione uma das seguintes
configuraes:
Origem de domnios permitidos - Selecione esta configurao para desabilitar os
domnios permitidos que esto listados na guia Lista personalizada. Os domnios na
lista Domnios permitidos no sero isentos da filtragem de contedo.
Origem de domnios proibidos - Selecione esta configurao para habilitar a
filtragem (bloqueio) de domnios proibidos que esto listados na guia Lista
personalizada.
Origem de palavra-chave - Selecione esta configurao para habilitar o Bloqueio de
palavra-chave para os URLs que esto listados na guia Lista personalizada.
Etapa 2 Clique em OK.
Consentimento
A guia Consentimento permite que voc aplique a filtragem de contedo em computadores
designados e fornea a filtragem opcional em outros computadores. O consentimento pode ser
configurado para precisar que os usurios aceitem os termos descritos em uma janela de
poltica de uso aceitvel antes de ser permitida a navegao na Web.
Para habilitar as propriedades de Consentimento, selecione Exigir consentimento.
Mximo de uso da Web (minutos) - Em um ambiente onde h mais usurios do que
computadores, como uma sala de aula ou biblioteca, limites de tempo geralmente so
impostos. O firewall pode ser usado para lembrar os usurios quando o tempo expirou ao
exibir a pgina definida no campo de URL da pgina de Consentimento. Insira o limite de
tempo, em minutos, no campo Mximo de uso da Web. Quando o valor padro de zero
(0) inserido, este recurso est desabilitado.
Tempo limite ocioso por usurio (minutos) - Aps um perodo de inatividade do
navegador da Web, o firewall requer que o usurio concorde com os termos descritos na
pgina de Consentimento antes de acessar a Internet novamente. Para configurar o valor,
siga o link para a janela de Usurios e insira o valor desejado na seo de Tempo limite
ocioso por usurio.
URL da pgina de consentimento (filtragem opcional) - Quando um usurio abre o
navegador da Web em um computador que requer consentimento, exibida uma pgina
de consentimento e dada a opo de acessar a Internet com ou sem o filtro de contedo.
Esta pgina deve ser encontrada em um servidor Web e estar acessvel como URI aos
usurios na rede. Pode conter o texto de, ou links para uma Poltica de Uso Aceitvel
(AUP). Esta pgina deve conter links para duas pginas contidas no firewall que, quando
selecionados, informam o dispositivo de que o usurio deseja ter acesso filtrado e no
filtrado. O link para acesso no filtrado deve ser <192.168.168.168/iAccept.html> e o link
para o acesso filtrado deve ser <192.168.168.168/iAcceptFilter.html>, onde o endereo IP
da LAN SonicWALL usado em vez de 192.168.168.168"\.
URL de aceitao de consentimento (filtragem desativada) - Quando um usurio aceita
os termos descritos na pgina de Consentimento e escolhe o acesso Internet sem a
proteo de Filtragem de contedo, exibida uma pgina da Web para confirmar sua
seleo. Insira o URL da pgina no campo Consentimento aceito (filtragem desativada).
Esta pgina deve ser encontrada em um servidor Web e estar acessvel como URI aos
usurios na rede.
URL de aceitao de consentimento (filtragem ativada) Quando um usurio aceita os
termos descritos na pgina Consentimento e escolhe o acesso Internet sem a proteo
da Filtragem de contedo, exibida uma pgina da web para confirmar sua seleo. Insira
o URL da pgina no campo Consentimento aceito (filtragem ativada). Esta pgina deve
ser encontrada em um servidor Web e estar acessvel como URI aos usurios na rede.
Nota Voc especifica a imposio de filtragem de contedo na Rede > Zonas pgina.
Propriedades de Websense
A pgina Geral na janela Propriedades do Websense inclui as seguintes configuraes.
Depois de configurar a filtragem de contedo do Websense na janela Propriedades do
Websense, clique em OK.
Configuraes
Nome ou endereo IP do servidor primrio Insira o Nome do host do servidor ou o
endereo IP do servidor Websense Enterprise usado para a Lista de filtro de contedo.
Porta do servidor - Digite o nmero de porta UDP para o SonicWALL para "ouvir" o trfego
do Websense Enterprise. O nmero da porta padro 15868.
Aviso Alerta! Se voc no tiver certeza sobre como inserir um nome de usurio nesta seo, deixe
o campo em branco e consulte a documentao do seu Websense para obter mais
informaes.
Cache de URL
Tamanho de cache (KB) - Configura o tamanho do Cache de URL em KB.
Dica Dica! Um tamanho de cache de URL maior pode resultar em melhorias perceptveis na
navegao na Internet em tempos de resposta.
Nota Antes de configurar o seu dispositivo de segurana SonicWALL para YouTube for Schools,
voc deve primeiro se inscrever: www.youtube.com/schools
Nota Para mais informaes sobre a configurao geral do CFS, consulte a seo Servios de
segurana > Filtro de contedo no Guia de Administrador do SonicOS.
Nota Se voc tiver um navegador aberto como administrador no firewall, voc ser excludo a
imposio de poltica do CFS, a menos que voc configure o firewall especificamente para
no excluir o administrador.
Nota Voc pode repetir essas etapas para criar vrios objetos de correspondncia.
Etapa 3 Na caixa Nome da poltica, digite um nome descritivo para esta poltica, como CFS YouTube.
Etapa 4 No menu Tipo de poltica, selecione CFS.
Etapa 5 Do menu Endereo, selecione o grupo de endereo ao qual essa regra se aplica.
Etapa 6 Do menu Endereo de excluso, selecione o grupo de endereo ao qual essa regra se exclui.
Objetos excludos no so afetados pela poltica.
Etapa 7 Do menu Objeto de correspondncia, selecione o objeto que voc deseja correspondncia.
Etapa 8 Do menu Objeto de ao, selecione a ao que voc deseja que essa poltica execute.
Nesse caso, escolhemos Pgina de bloqueio CFS.
Etapa 9 Do menu Usurios/grupos includos, selecione o usurio ou grupo de usurios ao qual essa
regra se aplica.
Etapa 17 Do menu Lista de permitidos/excludos do CFS, selecione o objeto que voc no deseja
bloquear com esta poltica.
Etapa 18 Do menu Lista de proibidos/includos do CFS, selecione o objeto que voc deseja bloquear
com esta poltica.
Etapa 19 Se voc deseja usar Imposio de pesquisa segura, selecione a opo Habilita a imposio
de pesquisa segura.
Etapa 20 Para ativar o YouTube for Schools, selecione a caixa de seleo Habilitar YouTube for
Schools.
Etapa 21 Na caixa ID da escola, digite o nmero da ID da escola, obtido em www.youtube.com/ escolas
Etapa 22 Clique em OK para criar a poltica.
Nota Se voc tiver um navegador aberto como administrador no firewall, voc ser excludo a
imposio de poltica do CFS, a menos que voc configure o firewall especificamente para
no excluir o administrador. Consulte Configurando o firewall para no excluir o
administrador na pgina 1191.
Problemas
O DPI-SSL no pode ser usado para bloquear https://youtube.com, mas somente permiti-lo.
Portanto, a seo DPI acima no deve ser parte das solues que podem ser implementadas
para solucionar o problema.
Ao criar a regra acima para bloquear o acesso https a youtube.com ou www.youtube.com e
s.ytimg.com, descobrimos que https://www.google.com agora tambm est bloqueado, bem
como https://drive.google.com e https://play.google.com/.
Outros sites do Google, como Gmail e calendar.google.com, funcionam sem problemas.
Nota Voc deve adquirir uma assinatura de antivrus para impor o antivrus atravs da interface
de gerenciamento do firewall.
Nota Para obter a documentao completa do SonicWALL Client Anti-Virus, consulte o Guia do
Administrador do SonicWALL Client Anti-Virus, disponvel em http://www.sonicwall.com/us/
Support.html
Se voc tem uma Chave de ativao para a sua assinatura do SonicWALL Client Anti-Virus,
siga estas etapas para ativar o SonicWALL Client Anti-Virus:
Nota Voc deve ter uma conta mysonicwall.com e seu SonicWALL deve ser registrado para ativar
o SonicWALL Client Anti-Virus.
Etapa 1 Clique no link AVALIAO GRATUITA. A pgina Login no mysonicwall.com ser exibida.
Etapa 2 Insira seu nome de usurio e senha no mysonicwall.com nos campos Nome de usurio e
Senha e clique em Enviar. A pgina Sistema > Licenas exibida. Se o seu firewall j estiver
conectado sua conta mysonicwall.com, a pgina Sistema > Licenas aparece aps clicar no
link AVALIAO GRATUITA.
Etapa 3 Clique em AVALIAO GRATUITA na coluna Gerenciar servio na tabela Gerenciar
servios on-line. Sua assinatura do SonicWALL Client Anti-Virus ativada no seu firewall.
Etapa 4 Selecione Servios de segurana > Antivrus para exibir a pgina do Antivrus para
configurao do seu SonicWALL Client Anti-Virus.
Imposio de antivrus
Atualmente, o SonicWALL Client Anti-Virus oferece suporte s plataformas Windows 95, 98,
NT, XP e 2000. Para acessar a Internet, os computadores com outros sistemas operacionais
devem ser isentos das polticas antivrus. Para garantir a proteo de rede completa contra
ataques de vrus, recomendvel que apenas servidores e mquinas sem suporte sejam
excludas da proteo e que o software antivrus de terceiros seja instalado em cada mquina
antes de excluir a mquina da imposio de antivrus. Existem trs opes para definir os
computadores isentos:
Impor polticas do Client Anti-Virus para todos os computadores - Selecionar esta
opo impe que o computador instale o VirusScan ASaP para acessar a Internet ou o
DMZ. Esta a configurao padro.
Incluir o intervalo de endereos especificado na imposio Anti-Virus - Escolher essa
opo permite que o administrador defina intervalos de endereo IP para receber a
imposio de antivrus. Se voc selecionar essa opo, especifique um intervalo de
endereo IP a ser imposto. Qualquer computador que obrigue a imposio precisa de um
Nota Se o Content Filtering Service (CFS) no estiver ativado em MySonicWALL, voc dever
ativ-lo para impor as polticas de filtragem de contedo do cliente nos sistemas do cliente.
Etapa 1 Na pgina Servios de segurana > Imposio do CF do cliente, clique no link Rede>
Zonas na Nota.
Etapa 2 Clique no boto Configurar para a zona qual voc deseja impor o Servio de filtragem de
contedo do cliente.
2EMOTE 3ITE 'ATEWAY
%NFORCED 0ROTECTION
)NTERNAL .ETWORK 0ROTECTION
&ILE $OWNLOAD 0ROTECTION
$ESKTOP AND 3ERVER 0ROTECTION
Etapa 1 Os usurios enviam e-mails e arquivos tpicos entre locais remotos e o escritrio corporativo.
Etapa 2 O SonicWALL GAV verifica e analisa os arquivos e as mensagens de e-mail no firewall.
Etapa 3 Os vrus so encontrados e bloqueados antes de infectar a rea de trabalho remota.
Etapa 4 O vrus registrado e a alerta enviada ao administrador.
Central Site
Sunnyvale, CA
Internet
wlan pc card lan wan opt 1 2 3 4 5 6 wlan pc card lan wan opt 1 2 3 4 5 6
security signal link/spd security signal link/spd
on/act link/act activity NSA 240 on/act link/act activity NSA 240
Virus Discarded
Alert Logged
Infected FIle
Network Security Appliance E7500
HTTP Request
Web Server Virus Discarded
Alert Logged
LAN
Infected Email
Network Security Appliance E7500
LAN
0ACKET 0ATH
!CTIONS
0ACKET 2EASSEMBLY
'ATEWAY 0REVENT
7EB 4RAFFIC 2EASSEMBLE
%MAIL &REE $EFLATE !NTI
6IRUS
&REE "ASE
7EB $ECOMPRESSION 3CANNING WITH
$ECODING
)- $EEP 0ACKET
00 !LLOW
3-40
%MAIL )NSPECTION
ETC
2EASSEMBLY
&REE :)0 ,OG
)-!0 0/0 $ECOMPRESSION
2EASSEMBLY
&40
&ILES &REE ':)0
$ECOMPRESSION
4#0 3TREAM
Dica Se o seu firewall est conectado Internet e registrado em mysonicwall.com, voc pode
ativar uma VERSO DE AVALIAO GRATUITA de 30 dias do SonicWALL Gateway Anti-
Virus e do SonicWALL Intrusion Prevention Service separadamente nas pginas Servios
de segurana>Gateway Anti-Virus, Servio de segurana > Antispyware e Servios de
segurana > Preveno de intruso na interface de gerenciamento.
Etapa 5 Na pgina Conta mysonicwall, insira suas informaes nos campos informaes de conta,
Informaes pessoais e Preferncias. Todos os campos marcados com um asterisco (*) so
obrigatrios.
Nota Lembre-se do seu nome de usurio e senha para acessar sua conta mysonicwall.com.
Nota Clicar no boto Continuar no ativa as verses de avaliao GRATUITAS dos Servios de
segurana SonicWALL.
Etapa 6 Na parte superior da pgina Pesquisa do produto, insira um Nome amigvel" para seu
dispositivo de segurana de contedo SonicWALL no campo Nome amigvel. O nome
amigvel permite que voc identifique facilmente seu dispositivo de segurana de contedo
SonicWALL em sua conta mysonicwall.com.
Etapa 7 Preencha a Pesquisa do produto. O SonicWALL usa essas informaes para ajustar ainda
mais os servios de acordo com seu necessidades.
Etapa 8 Clique em Enviar.
Etapa 9 Quando o servidor do mysonicwall.com terminar de processar seu registro, uma pgina
exibida informando que o firewall est registrado. Clique em Continuar e a pgina Sistema >
Licenas exibida, mostrando os servios disponveis. Voc pode ativar o servio a partir
desta pgina ou a pgina de servio especfico no menu de navegao esquerda Servios
de segurana na interface de gerenciamento.
Etapa 1 Na pgina Servios de segurana > Gateway Anti-Virus, clique no link Assinatura do
Antivrus
de Gateway do SonicWALL. A pgina Login no mysonicwall.com ser exibida.
Etapa 2 Insira seu nome de usurio e senha no mysonicwall.com nos campos Nome de usurio e
Senha e clique em Enviar. Se o seu firewall j estiver registrado sua conta mysonicwall.com,
a pgina Sistema > Licenas exibida.
Etapa 3 Clique em Ativar ou Renovar na coluna Gerenciar servio na tabela Gerenciar servios on-
line.
Etapa 4 Digite a Chave de ativao no campo Nova chave de licena e clique em Enviar. O
SonicWALL Intrusion Prevention Service ativado. A pgina Sistema > Licenas exibida
com os links de Anti-spyware e Gateway Anti-Virus na parte inferior da tabela Gerenciar
servios on-line com as Chaves de ativao filho.
Etapa 5 Clique no link Antispyware. A Chave de ativao filho inserida automaticamente no campo
Nova chave de licena. A Chave de Ativao filha uma chave diferente da chave pai para
o SonicWALL Gateway Antivirus, Antispyware e Intrusion Prevention Service.
Etapa 6 Clique em Enviar. Se voc ativou uma verso de AVALIAO GRATUITA ou uma licena de
renovao, exibida a tela de renovao que mostra a data de expirao da licena atual e a
data de expirao da licena atualizada. Clique em Renovar.
Etapa 7 Clique no link do SonicWALL Gateway Antivirus. A Chave de ativao filho inserida
automaticamente no campo Nova chave de licena. A Chave de Ativao filha uma chave
diferente da chave pai para o SonicWALL Gateway Antivirus, Antispyware e Intrusion
Prevention Service.
Etapa 8 Clique em Enviar. Se voc ativou uma verso de AVALIAO GRATUITA ou uma licena de
renovao, exibida a tela de renovao que mostra a data de expirao da licena atual e a
data de expirao da licena atualizada. Clique em Renovar.
Parabns! Voc ativou o Servio de Gateway Anti-Virus, Anti-spyware e de preveno contra
intruso do SonicWALL.
Etapa 1 Clique no link AVALIAO GRATUITA na pgina Servios de segurana > Gateway Anti-
Virus
Servio de segurana > Anti-Spyware ou na pgina Servios de segurana > Intrusion
Prevention. A pgina Login no mysonicwall.com ser exibida.
Etapa 2 Insira seu nome de usurio e senha no mysonicwall.com nos campos Nome de usurio e
Senha e clique em Enviar. Se o seu firewall j estiver conectado sua conta mysonicwall.com,
a pgina Sistema > Licenas aparece aps clicar no link AVALIAO GRATUITA.
Etapa 3 Clique em Experimentar na coluna AVALIAO GRATUITA na tabela Gerenciar servios
on-line. O servio est habilitado no seu dispositivo de segurana.
Nota Para obter instrues completas sobre como configurar o SonicWALL Gateway Anti-Virus,
consulte o Guia do Administrador do SonicWALL Gateway Anti-Virus disponvel no site da
Web de documentao SonicWALL: http://www.sonicwall.com/us/Support.html.
Nota Consulte a Aplicando a proteo SonicWALL GAV em zonas na pgina 1218 para obter
instrues sobre como aplicar a proteo do SonicWALL GAV em zonas.
Nota Voc tambm habilitar a proteo de SonicWALL GAV para novas zonas que voc criar na
pgina Rede > Zonas. Clicar no boto Adicionar exibe a janela Adicionar zona, que inclui
as mesmas configuraes que a janela Editar zona.
Nota Consulte a Aplicando a proteo SonicWALL GAV em zonas na pgina 1218 para obter
instrues sobre como aplicar a proteo do SonicWALL GAV em zonas.
Dica O recurso de Notificao sem cliente HTTP tambm est disponvel para SonicWALL
Antispyware.
Como alternativa, voc pode configurar o tempo limite para a Notificao sem cliente HTTP na
pgina Servios de segurana > Resumo, sob o ttulo Resumo de servios de segurana.
Etapa 1 Clique na caixa de seleo Habilitar lista de excluses do Gateway AV para ativar a lista de
excluso.
Etapa 2 Clique no boto Adicionar. A janela Adicionar entrada de intervalo de GAV exibida.
Exibindo assinaturas
Voc pode exibir as assinaturas em uma variedade de modos de exibio usando o menu
Estilo de visualizao.
Usar cadeia de caracteres de pesquisa - Permite que voc exiba assinaturas contendo
uma sequncia de caracteres especificada inserida no campo Assinaturas da pesquisa
Cadeia de caracteres contendo.
Todas as assinaturas - Exibe todas as assinaturas na tabela, 50 por pgina.
0 - 9 - Exibe os nomes de assinaturas comeando com o nmero que voc selecionar no
menu.
A-Z - Exibe os nomes de assinaturas comeando com a letra que voc selecionar no menu.
Etapa 1 O Pattern Definition Language Interpreter utiliza assinaturas que podem ser registradas para
a deteco e preveno contra exploits, aplicativos e protocolos conhecidos e desconhecidos.
Etapa 2 Os pacotes TCP que chegam fora de ordem so reagrupados pela estrutura da Deep Packet
Inspection.
Etapa 3 O pr-processamento do mecanismo Deep Packet Inspection envolve a normalizao da carga
do pacote. Por exemplo, uma solicitao de HTTP pode ser codificada pela URL e, portanto, a
solicitao decodificada pela URL, a fim de realizar a correspondncia correta de padres na
carga.
Etapa 4 Os ps-processadores do mecanismo Deep Packet Inspection realizam aes que podem
simplesmente transmitir o pacote sem modificao, cancelar um pacote ou at mesmo redefinir
uma conexo TCP.
Dica Se seu firewall estiver conectado Internet e registrado no mysonicwall.com, voc poder
ativar uma AVALIAO GRATUITA de 30 dias do SonicWALL Gateway Antivirus,
Antispyware e Intrusion Prevention Service separadamente nas pginas Servios de
Segurana > Antivrus de Gateway, Servios de Segurana > Antispyware e Servios
de Segurana > Preveno contra invases na interface de gerenciamento.
Etapa 4 Na pgina de Login mysonicwall.com, clique no link aqui em Caso no tenha uma conta
mySonicWall, clique aqui para criar uma.
Etapa 5 Na pgina Conta mysonicwall, insira suas informaes nos campos informaes de conta,
Informaes pessoais e Preferncias. Todos os campos marcados com um asterisco (*) so
obrigatrios.
Nota Lembre-se do seu nome de usurio e senha para acessar sua conta mysonicwall.com.
Nota Clicar no boto Continuar no ativa as verses de avaliao GRATUITAS dos Servios de
segurana SonicWALL.
Etapa 6 Na parte superior da pgina Pesquisa do produto, insira um nome amigvel para seu
firewall no campo Nome amigvel. O nome amigvel permite que voc identifique facilmente
seu firewall na conta do mysonicwall.com.
Etapa 7 Preencha a Pesquisa do produto. O SonicWALL usa essas informaes para ajustar ainda
mais os servios de acordo com seu necessidades.
Etapa 8 Clique em Enviar.
Etapa 9 Quando o servidor do mysonicwall.com terminar de processar seu registro, uma pgina
exibida informando que o firewall est registrado. Clique em Continuar e a pgina Sistema >
Licenas exibida, mostrando os servios disponveis. Voc pode ativar o servio a partir
desta pgina ou a pgina de servio especfico no menu de navegao esquerda Servios
de segurana na interface de gerenciamento.
Nota Ativar a licena do SonicWALL Intrusion Prevention Service em seu firewall no habilita a
proteo automaticamente. necessrio configurar o Servio de preveno contra
invases, conforme especificado em Configurando o Servio de preveno contra invases
na pgina 1237.
Etapa 1 Clique no link AVALIAO GRATUITA na pgina Servios de segurana > Gateway Anti-
Virus
Servio de segurana > Anti-Spyware ou na pgina Servios de segurana > Intrusion
Prevention. A pgina Login no mysonicwall.com ser exibida.
Etapa 2 Insira seu nome de usurio e senha no mysonicwall.com nos campos Nome de usurio e
Senha e clique em Enviar. Se o seu firewall j estiver conectado sua conta mysonicwall.com,
a pgina Sistema > Licenas aparece aps clicar no link AVALIAO GRATUITA.
Etapa 3 Clique em Experimentar na coluna AVALIAO GRATUITA na tabela Gerenciar servios
on-line. O servio est habilitado no seu dispositivo de segurana.
Etapa 1 Na pgina Servios de Segurana > Intrusion Prevention, clique no link Assinatura do
SonicWALL Intrusion Prevention Service. A pgina de Login do mysonicwall.com ser
exibida.
Etapa 2 Digite seu nome de usurio e senha no mysonicwall.com nos campos Nome de usurio e
Senha e, em seguida, clique em Enviar. Se seu firewall j estiver registrado em sua conta do
mysonicwall.com, a pgina Sistema > Licenas ser exibida.
Etapa 3 Clique em Ativar ou Renovar na coluna Gerenciar Servio da tabela Gerenciar servios on-
line.
Etapa 5 Clique no link do Gateway Antivirus. A Chave de Ativao filha inserida automaticamente no
campo Nova chave de licena. A Chave de Ativao filha uma chave diferente da chave pai
para o SonicWALL Gateway Antivirus, Antispyware e Intrusion Prevention Service.
Etapa 6 Clique em Enviar. Se voc ativou uma verso de AVALIAO GRATUITA ou uma licena de
renovao, exibida a tela de renovao que mostra a data de expirao da licena atual e a
data de expirao da licena atualizada. Clique em Renovar.
Etapa 7 Clique no link do SonicWALL Gateway Antivirus. A Chave de ativao filho inserida
automaticamente no campo Nova chave de licena. A Chave de Ativao filha uma chave
diferente da chave pai para o SonicWALL Gateway Antivirus, Antispyware e Intrusion
Prevention Service.
Etapa 8 Clique em Enviar. Se voc ativou uma verso de AVALIAO GRATUITA ou uma licena de
renovao, exibida a tela de renovao que mostra a data de expirao da licena atual e a
data de expirao da licena atualizada. Clique em Renovar.
Parabns! Voc ativou o Servio de Gateway Anti-Virus, Anti-spyware e de preveno contra
intruso do SonicWALL.
Se voc ativar a assinatura do Servio de Gateway Anti-Virus, Anti-spyware e de preveno
contra intruso do SonicWALL em mysonicwall.com, a ativao ativada automaticamente no
seu firewall dentro de 24 horas ou voc pode clicar no boto Sincronizar na pgina
Servios de segurana > Resumo para atualizar imediatamente o seu firewall.
O Dell SonicWALL IPS ativado por meio da habilitao global do IPS em seu firewall e da
seleo da classe de ataques. Como alternativa, tambm possvel configurar uma Habilitar
lista de excluso do IPS.
Esta seo contm as seguintes subsees:
Habilitando o IPS na pgina 1239
Configurando uma Lista de excluso do IPS na pgina 1240
Redefinindo as Configuraes e Polticas do IPS na pgina 1241
Nota Para obter instrues completas sobre como configurar o SonicWALL Intrusion Prevention
Service, consulte o Manual do Administrador do SonicWALL Intrusion Prevention Service,
disponvel no website da documentao da SonicWALL em http://www.sonicwall.com/us/
Support.html.
Habilitando o IPS
Nota Selecionar Prevenir todos e Detectar todos para todos os Grupos de assinaturas
proteger sua rede contra a maioria dos ataques perigosos e perturbadores.
Etapa 9 Insira o intervalo de endereos IP que sero excludos nas caixas Endereo IP de e Endereo
IP at.
Etapa 10 Clique em OK.
Etapa 1 V at Rede > Zonas ou na seo Status do IPS, na pgina Servios de Segurana >
Preveno contra invases, clique no link Rede > Zonas. A pgina Rede > Zonas ser
exibida.
Etapa 2 Na coluna Configurar da tabela Configuraes de zona, clique no cone Editar para a
zona que voc deseja aplicar o SonicWALL IPS. A janela Editar zona exibida.
Etapa 3 Clique na caixa de seleo Habilitar IPS. exibida uma marca de seleo. Para desativar o
SonicWALL IPS, desmarque a caixa.
Etapa 4 Clique em OK.
Tambm possvel habilitar a proteo do SonicWALL IPS para as novas zonas criadas na
pgina Rede > Zonas. Ao clicar no boto Adicionar exibida a janela Adicionar zona, que
inclui as mesmas configuraes que a janela Editar zona.
Polticas do IPS
O painel Polticas do IPS permite a exibio das assinaturas do SonicWALL IPS e a
configurao do tratamento de assinaturas por grupos de categorias ou por assinatura. As
categorias so assinaturas agrupadas com base no tipo de ataque.
Na linha Exibir estilo, o menu Categoria permite que voc escolha as categorias ou
assinaturas que deseja exibir na coluna Categoria. possvel escolher Todas as categorias,
Todas as assinaturas ou uma categoria individual, como ACTIVEX ou DNS. Se voc escolher
uma categoria individual, as assinaturas dessa categoria sero exibidas.
A coluna Categoria permite classificar as categorias e assinaturas em ordem crescente ou
decrescente clicando na seta para cima ou para baixo ao lado do cabealho da coluna.
Etapa 3 Nos menus Preveno e Deteco, selecione Usar Configurao global, Habilitar ou
Desabilitar. Se voc selecionar Usar Configurao global, os valores configurados na seo
Configuraes globais do IPS sero usados, mas possvel substituir as Configuraes
globais do IPS, selecionando Habilitar ou Desabilitar nesses menus.
Etapa 4 Nos menus restantes, selecione os valores desejados.
Etapa 5 Para a opo Filtro de redundncia de log (segundos), se desejar usar os valores
configurados na seo Configuraes globais do IPS, selecione Usar Configuraes
globais.
Etapa 6 Clique em OK.
Menu Prioridade
O menu Prioridade permite especificar a prioridade das assinaturas que voc deseja exibir.
Para especificar a prioridade das assinaturas que voc deseja exibir:
Selecione uma das seguintes prioridades no menu Prioridade:
Tudo
Elevado
Mdia
Baixa
Pesquisar ID de assinatura
Etapa 5 Na pgina Conta mysonicwall, insira suas informaes nos campos Informaes de conta,
Informaes pessoais e Preferncias. Todos os campos marcados com um asterisco (*) so
obrigatrios.
Etapa 6 Na parte superior da pgina Pesquisa do produto, insira um Nome amigvel" para seu
dispositivo de segurana de contedo SonicWALL no campo Nome amigvel. O nome
amigvel permite que voc identifique facilmente seu dispositivo de segurana de contedo
SonicWALL em sua conta mysonicwall.com.
Etapa 7 Preencha a Pesquisa do produto. O SonicWALL usa essas informaes para ajustar ainda
mais os servios de acordo com suas necessidades.
Etapa 8 Clique em Enviar.
Etapa 9 Quando o servidor do mysonicwall.com terminar de processar seu registro, uma pgina
exibida informando que o firewall est registrado. Clique em Continuar e a pgina Sistema >
Licenas exibida, mostrando os servios disponveis. Voc pode ativar o servio a partir
desta pgina ou a pgina de servio especfico no menu de navegao esquerda Servios
de segurana na interface de gerenciamento.
Etapa 1 Clique no link AVALIAO GRATUITA na pgina Servios de segurana > Gateway Anti-
Virus
Servio de segurana > Anti-Spyware ou na pgina Servios de segurana > Intrusion
Prevention. A pgina Login no mysonicwall.com ser exibida.
Etapa 2 Insira seu nome de usurio e senha no mysonicwall.com nos campos Nome de usurio e
Senha e clique em Enviar. Se o seu firewall j estiver conectado sua conta mysonicwall.com,
a pgina Sistema > Licenas aparece aps clicar no link AVALIAO GRATUITA.
Etapa 3 Clique em Experimentar na coluna AVALIAO GRATUITA do painel Gerenciar servios
on-line. O servio est habilitado em seu dispositivo de segurana.
Etapa 1 Na pgina Servios de segurana > Preveno contra Intruso, clique no link Assinatura
do Intrusion Prevention Service. A pgina Login no mysonicwall.com ser exibida.
Etapa 2 Insira seu nome de usurio e senha no mysonicwall.com nos campos Nome de usurio e
Senha e clique em Enviar. Se o seu firewall j estiver registrado sua conta mysonicwall.com,
a pgina Sistema > Licenas exibida.
Etapa 3 Clique em Ativar ou Renovar na coluna Gerenciar servio no painel Gerenciar servios on-
line.
Etapa 4 Digite a Chave de ativao no campo Nova chave de licena e clique em Enviar. O
SonicWALL Intrusion Prevention Service ativado. A pgina Sistema > Licenas exibida
com os links do Anti-Spyware e Gateway Anti-Virus mostrados na parte inferior do painel
Gerenciar servios on-line com as Chaves de Ativao filhas.
Etapa 5 Clique no link do Gateway Anti-Virus. A Chave de ativao filho inserida automaticamente no
campo Nova chave de licena. A Chave de Ativao filha uma chave diferente da chave pai
para o SonicWALL Gateway Antivirus, Anti-Spyware e Intrusion Prevention Service.
Etapa 6 Clique em Enviar. Se voc ativou uma verso de AVALIAO GRATUITA ou uma licena de
renovao, exibida a tela de renovao que mostra a data de expirao da licena atual e a
data de expirao da licena atualizada. Clique em Renovar.
Parabns! Voc ativou o SonicWALL Gateway Anti-Virus, Anti-Spyware, and Intrusion
Prevention Service.
Se voc ativar a assinatura do Servio de Gateway Anti-Virus, Anti-spyware e de preveno
contra intruso do SonicWALL em mysonicwall.com, a ativao ativada automaticamente no
seu firewall dentro de 24 horas ou voc pode clicar no boto Sincronizar na pgina
Servios de segurana > Resumo para atualizar imediatamente o seu firewall.
Nota Para obter informaes adicionais sobre a proteo anti-spyware, consulte o Guia do
Administrador do Dell SonicWALL Anti-Spyware no site da Dell SonicWALL:
http://www.sonicwall.com/us/Support.html
Dica A Dell SonicWALL recomenda habilitar Impedir tudo para Spyware de alto nvel de perigo
e Spyware de nvel mdio de perigo para fornecer proteo de rede contra o spyware
mais perigoso.
Cuidado Tenha cuidado ao selecionar apenas Detectar tudo. Selecionar apenas Detectar tudo
registra e envia alertas sobre o trfego que corresponde a qualquer assinatura no grupo,
mas no toma nenhuma medida contra o trfego. O trfego prossegue at seu destino
pretendido.
Quando Detectar tudo e Impedir tudo esto habilitados para um grupo de assinaturas no
painel Grupos de assinaturas, o SonicOS registra e envia alertas sobre o trfego que
corresponde a qualquer assinatura no grupo, e automaticamente desconecta e redefine a
conexo para impedir que o trfego chegue ao destino.
Etapa 1 Na interface de gerenciamento do firewall, selecione Rede > Zonas. (Ou, na seo Status do
Anti-Spyware, na pgina Servios de segurana > Intrusion Prevention, clique no link
Rede > Zonas.) A pgina Rede > Zonas exibida.
Etapa 2 Na coluna Configurar do painel Configuraes de zona, clique no cone de edio para
a zona que deseja aplicar o SonicWALL Anti-Spyware. A janela Editar zona exibida.
Etapa 3 Clique na caixa de seleo Habilitar o anti-spyware. Uma marcao aparece. Para desativar
o SonicWALL Anti-Spyware, desmarque a caixa.
Etapa 4 Clique em OK.
Voc tambm habilitar a proteo SonicWALL Anti-Spyware para novas zonas que voc criar
na pgina Rede > Zonas. Clicar no boto Adicionar exibe a janela Adicionar zona, que inclui
as mesmas configuraes que a janela Editar zona.
Polticas do Anti-Spyware
A seo Polticas do Anti-Spyware permite que voc visualize e gerencie como o SonicWALL
Anti-Spyware trata as assinaturas por grupos de categorias ou por assinatura. Categorias so
assinaturas agrupadas por produto ou fabricante, e so listadas no menu Estilo de
visualizao.
Selecionar Todas as assinaturas no menu exibe todas as assinaturas por categoria. O painel
Polticas do Anti-Spyware exibe todas as categorias e suas assinaturas. Os cabealhos da
categoria dividem as entradas de assinatura. Esses cabealhos exibem Global nas colunas
Impedir e Detectar, indicando as configuraes globais que voc definiu na seo
Configuraes globais do Anti-Spyware.
O campo Itens exibe o nmero do painel da primeira categoria ou assinatura. Se voc estiver
exibindo a primeira pgina de um painel, a entrada poder ser Itens 1 a 50 (de 58). Voc pode
inserir um nmero no campo Itens para ir diretamente at uma entrada especfica ou usar os
botes de navegao para navegar no painel.
Nota Voc pode alterar o padro, 50 entradas por painel, na pgina Sistema > Administrao,
na seo Configuraes de gerenciamento da Web.
Voc pode pesquisar o banco de dados de assinatura inserindo uma cadeia de caracteres de
pesquisa no campo Pesquisar assinaturas que contm cadeia de caracteres e, em
seguida, clicando no cone.
Clicar nos cabealhos do painel Polticas do Anti-Spyware (Nome, ID, Impedir, Detectar ou
Nvel de perigo) classifica as entradas do painel de acordo com o cabealho. Uma seta para
cima com o nome de cabealho de coluna indica que as entradas so classificadas em ordem
decrescente. Uma seta para baixo com o nome de cabealho de coluna indica que as entradas
so classificadas em ordem crescente.
Substituio das configuraes globais de preveno e deteco por categoria no SonicOS Standard
Dica Se voc selecionar Todas as assinaturas no menu Categoria, todas as categorias e suas
assinaturas sero exibidas no painel Polticas do Anti-Spyware, permitindo que voc
configure a categoria e as assinaturas dentro da categoria.
Se voc substituir qualquer configurao global de uma categoria, uma marca de verificao
verde aparecer nas colunas Impedir e/ou Detectar do painel Polticas do Anti-Spyware.
Substituio das configuraes globais de preveno e deteco por categoria no SonicOS Enhanced
Dica Se voc selecionar Todas as assinaturas no menu Categoria, todas as categorias e suas
assinaturas sero exibidas no painel Polticas do Anti-Spyware, permitindo que voc
configure a categoria e as assinaturas dentro da categoria.
Substituio das configuraes de deteco e preveno da categoria para uma assinatura no SonicOS
Enhanced
Nota Como alternativa, voc pode configurar uma lista de excluso para todas as conexes para
endereos IP aprovados. Para fazer isso, v para o menu suspenso Objeto de excluso
de Geo-IP e selecione um objeto de endereo ou grupo de endereo. Todos os endereos
IP no objeto de endereo ou grupo sero permitidos, mesmo que sejam de um pas
bloqueado.
Para esse recurso funcionar corretamente, o banco de dados do pas deve ser baixado para o
dispositivo. O indicador de Status na parte superior direita da pgina fica amarela se este
download falhar. O status verde indica que o banco de dados foi baixado com xito. Clique no
boto Status para exibir mais informaes.
Para que o banco de dados do pas seja baixado, o dispositivo deve ser capaz de resolver o
endereo, "geodnsd.global.sonicwall.com".
Quando um usurio tenta acessar uma pgina da Web que de um pas bloqueado, uma
pgina de bloqueio exibida no navegador do usurio.
Nota Como alternativa, voc pode configurar uma lista de excluso para todas as conexes para
endereos IP aprovados. Para fazer isso, v para o menu suspenso Objeto de excluso
de Botnet e selecione um objeto de endereo ou grupo de endereo.
Nota Se suspeitar que um determinado endereo est incorretamente marcado como um botnet
ou se voc acredita que um endereo deva ser marcado como botnet, voc pode acessar
Pesquisa de status de IP de botnets para reportar esse problema em:
http://botnet.global.sonicwall.com/
Acelerao de WAN
| 1273
1274 | Guia do Administrador do SonicOS 6.2
Captulo 71
Acelerao de WAN
O servio de acelerao de TCP um processo que reduz a quantidade de dados que passa
por meio da WAN usando compactao, o que acelera o trfego selecionado que passa entre
um site central e um site de filial. O trfego selecionado armazenado nos bancos de dados
compartilhados dos dispositivos da srie WXA da Dell SonicWALL como blocos de dados e
marcados com ndices de referncia. Isso permite que os dispositivos da srie WXA envie
apenas os ndices de referncia (que so menores em tamanho) na WAN e no os dados reais
O recurso de cache da Web armazena cpias de pginas da Web que passam por meio da
rede que so frequente e recentemente solicitadas. Portanto, quando um usurio solicitar uma
dessas pginas da Web, ela ser recuperada a partir do cache da Web local, e no da Internet,
economizando tempo de resposta e largura de banda. Estratgias de cache mnimas,
moderadas e agressivas esto disponveis, elas determinam quais objetos so colocados no
cache da Web e quanto tempo eles permanecero l.
AppFlow
| 1281
1282 | Guia do Administrador do SonicOS 6.2
Captulo 72
Configurar o AppFlow
Configuraes
A seo Configuraes possui opes configurveis para relatrios de fluxo interno local,
relatrios de fluxo externo do servidor AppFlow e coletor IPFIX.
Enviar AppFlow para coletor local Esta configurao habilita a coleta de relatrios
AppFlow em um servidor interno em seu firewall.
Nota Ao usar IPFIX com extenses, selecione um coletor de terceiros que detecte
fluxo da SonicWALL, como o SonicWALL Scrutinizer.
Etapa 1 Em Configuraes do coletor externo, marque a caixa de seleo Enviar dados AppFlow e
em tempo real para o coletor externo.
Etapa 2 Selecione Netflow verso-5 como o Formato do relatrio de fluxo externo na lista
suspensa.
Etapa 3 Especifique o Endereo IP do coletor externo no campo fornecido.
Etapa 4 Para o IP de origem para usar para o coletor em um tnel VPN, especifique o IP de origem
se o coletor externo tiver de ser acessado por um tnel VPN. Observe que esta etapa
opcional.
Etapa 5 Especifique o Nmero da porta UDP do coletor externo no campo fornecido. A porta-padro
2055.
Etapa 6 Em Configuraes de relatrios de conexo e Reportar conexes, marque a caixa de seleo
Baseado em interface. Uma vez habilitada, os fluxos reportados baseiam-se na interface do
iniciador ou respondente. Observe que esta etapa opcional.
Etapa 7 Em Configuraes de relatrios de conexo e Reportar conexes, marque a caixa de seleo
Baseado em regras de firewall/aplicativo. Uma vez habilitada, os fluxos reportados
baseiam-se em regras de firewall j existentes. Observe que esta etapa opcional, mas
obrigatria se os relatrios de fluxo forem realizados em interfaces selecionadas.
Etapa 1 Em Configuraes do coletor externo, marque a caixa de seleo Enviar dados AppFlow e
em tempo real para o coletor externo.
Etapa 2 Selecione IPFIX como o Formato do relatrio de fluxo externo na lista suspensa.
Etapa 3 Especifique o Endereo IP do coletor externo no campo fornecido.
Etapa 4 Para o IP de origem para usar para o coletor em um tnel VPN, especifique o IP de origem
se o coletor externo tiver de ser acessado por um tnel VPN. Observe que esta etapa
opcional.
Etapa 5 Especifique o Nmero da porta UDP do coletor externo no campo fornecido. A porta-padro
2055.
Etapa 6 Em Configuraes de relatrios de conexo e Reportar conexes, marque a caixa de seleo
Baseado em interface. Uma vez habilitada, os fluxos reportados baseiam-se na interface do
iniciador ou respondente. Observe que esta etapa opcional.
Etapa 7 Em Configuraes de relatrios de conexo e Reportar conexes, marque a caixa de seleo
Baseado em regras de firewall/aplicativo. Uma vez habilitada, os fluxos reportados
baseiam-se em regras de firewall j existentes. Observe que esta etapa opcional, mas
obrigatria se os relatrios de fluxo forem realizados em interfaces selecionadas.
Etapa 8 Observe que o IPFIX usa modelos que precisam ser conhecidos por um coletor externo
antes de enviar dados. Em Configuraes do coletor externo e Aes, clique no boto
Gerar TODOS os modelos para comear a gerar modelos.
Etapa 1 Em Configuraes do coletor externo, marque a caixa de seleo Enviar dados AppFlow e
em tempo real para o coletor externo.
Etapa 2 Selecione IPFIX com extenses como o Formato do relatrio de fluxo externo na lista
suspensa.
Etapa 3 Especifique o Endereo IP do coletor externo no campo fornecido.
Etapa 4 Para o IP de origem para usar para o coletor em um tnel VPN, especifique o IP de origem
se o coletor externo tiver de ser acessado por um tnel VPN.
Etapa 5 Especifique o Nmero da porta UDP do coletor externo no campo fornecido. A porta-padro
2055.
Etapa 6 Em Configuraes de relatrios de conexo e Reportar conexes, marque a caixa de seleo
Baseado em interface. Uma vez habilitada, os fluxos reportados baseiam-se na interface do
iniciador ou respondente. Observe que esta etapa opcional.
Etapa 7 Em Configuraes de relatrios de conexo e Reportar conexes, marque a caixa de seleo
Baseado em regras de firewall/aplicativo. Uma vez habilitada, os fluxos reportados
baseiam-se em regras de firewall j existentes. Observe que esta etapa opcional, mas
obrigatria se os relatrios de fluxo forem realizados em interfaces selecionadas.
Etapa 8 Observe que o IPFIX usa modelos que precisam ser conhecidos por um coletor externo antes
de enviar dados. Clique no boto Gerar TODOS os modelos para comear a gerar modelos.
Etapa 9 Habilite a opo para Enviar fluxos estticos em intervalos regulares marcando a caixa de
seleo. Aps habilitar esta opo, clique no boto Gerar fluxos estticos.
Etapa 10 Selecione as tabelas para as quais voc deseja receber fluxos estticos na lista suspensa
Enviar AppFlow esttico para as tabelas seguintes.
Etapa 11 Selecione as tabelas para as quais voc deseja receber fluxos dinmicos na lista suspensa
Enviar AppFlow dinmico para as tabelas seguintes.
Etapa 1 Nas pginas Configuraes do painel de visualizao e Coletor a usar para Monitor de
AppFlow, marque a caixa de seleo Servidor AppFlow.
Etapa 2 Em Configuraes do servidor AppFlow, marque a caixa de seleo Enviar AppFlow para o
servidor AppFlow da SonicWALL para permitir que os fluxos sejam reportados para um
coletor de fluxo externo.
Etapa 3 Em Configuraes do coletor externo, marque a caixa de seleo Enviar dados AppFlow e
em tempo real para o coletor externo.
Etapa 4 Selecione IPFIX com extenses como o Formato do relatrio de fluxo externo na lista
suspensa.
Etapa 5 Especifique o Endereo IP do coletor externo no campo fornecido.
Etapa 6 Para o IP de origem para usar para o coletor em um tnel VPN, especifique o IP de origem
se o coletor externo tiver de ser acessado por um tnel VPN.
Etapa 7 Especifique o Nmero da porta UDP do coletor externo no campo fornecido. A porta-padro
2055.
Etapa 8 Em Configuraes de relatrios de conexo e Reportar conexes, marque a caixa de seleo
Baseado em interface. Uma vez habilitada, os fluxos reportados baseiam-se na interface do
iniciador ou respondente. Observe que esta etapa opcional.
Etapa 9 Em Configuraes de relatrios de conexo e Reportar conexes, marque a caixa de seleo
Baseado em regras de firewall/aplicativo. Uma vez habilitada, os fluxos reportados
baseiam-se em regras de firewall j existentes. Observe que esta etapa opcional, mas
obrigatria se os relatrios de fluxo forem realizados em interfaces selecionadas.
Etapa 10 Selecione as tabelas para as quais voc deseja receber fluxos estticos na lista suspensa
fornecida. Em seguida, clique em Aceitar.
.
Tabelas do NetFlow
A seo a seguir descreve as diferentes tabelas do NetFlow. Alm disso, essa seo descreve
detalhadamente as tabelas de IPFIX com extenses que so exportadas quando o SonicWALL
est configurado para reportar fluxos.
Esta seo contm as subsees seguintes:
Tabelas estticas na pgina 1293
Tabelas dinmicas na pgina 1294
Modelos na pgina 1295
NetFlow verso 5 na pgina 1295
NetFlow verso 9 na pgina 1296
IPFIX (NetFlow verso 10) na pgina 1297
IPFIX com extenses na pgina 1297
Tabelas estticas
As tabelas estticas so tabelas com dados que no se alteram com o passar do tempo. No
entanto, esses dados so necessrios para correlacionar com outras tabelas. As tabelas
estticas so normalmente reportadas em um intervalo especificado, mas tambm podem ser
configuradas para enviar apenas uma vez. A seguir encontra-se uma lista de tabelas de IPFIX
estticas que podem ser exportadas:
Mapa de aplicativos Esta tabela mostra todos os aplicativos que o firewall identifica,
incluindo vrios atributos, IDs de assinatura, IDs de aplicativos, nomes de categorias e IDs
de categorias.
Mapa de vrus Esta tabela mostra todos os vrus detectados pelo firewall.
Mapa de spyware Esta tabela mostra todo o spyware detectado pelo firewall.
Mapa de intruses Esta tabela mostra todas as intruses detectadas pelo firewall.
Mapa do local Esta tabela representa o mapa do local da SonicWALL que descreve a lista
de pases e regies com suas IDs.
Tabelas dinmicas
Ao contrrio das tabelas estticas, os dados das tabelas dinmicas mudam com o passar do
tempo e so enviados repetidamente, com base na atividade do firewall. As colunas destas
tabelas aumentam com o tempo, exceo de algumas tabelas que contm relatrios de
estatsticas ou de utilizao. A seguir encontra-se uma lista de tabelas dinmicas de IPFIX que
podem ser exportadas:
Conexes Esta tabela mostra conexes da SonicWALL. As tabelas com o mesmo fluxo
podem ser reportadas vrias vezes configurando acionadores.
Usurios Esta tabela mostra usurios fazendo login no firewall atravs de LDAP/
RADIUS, local ou SSO.
URLs Esta tabela mostra URLs acessadas atravs do firewall.
Classificaes de URL Esta tabela mostra IDs de classificao para todas as URLs
acessadas atravs do firewall.
VPNs Esta tabela mostra todos os tneis VPN estabelecidos atravs do firewall.
Dispositivos Esta tabela mostra a lista de todos os dispositivos conectados atravs do
firewall, incluindo endereos MAC, endereos IP, interface e nome NETBIOS de
dispositivos conectados.
SPAMs Esta tabela mostra todas as trocas de e-mail atravs do servio SPAM.
Locais Esta tabela mostra os locais e os nomes de domnio de um endereo IP.
VoIPs Esta tabela mostra todas as chamadas VoIP/H323 atravs do firewall.
NetFlow verso 5
O datagrama do NetFlow verso 5 consiste em um cabealho e um ou mais registros de fluxo
usando UDP para enviar datagramas de exportao. O primeiro campo do cabealho contm
o nmero da verso do datagrama de exportao. O segundo campo no cabealho contm o
nmero de registros no datagrama, o qual poder ser usado para pesquisar nos registros. Uma
vez que o NetFlow verso 5 um datagrama fixo, no esto disponveis modelos e este
seguir o formato das tabelas listadas abaixo.
Formato do cabealho do Netflow verso 5
NetFlow verso 9
Um exemplo de um modelo do NetFlow verso 9 exibido abaixo.
Nota Voc deve clicar no boto Sincronizar servidor somente uma vez, depois de realizar a
conexo a e registrar o seu produto GMS SonicWALL.
Para obter mais informaes detalhadas sobre a configurao de um servidor AppFlow com
GMS, consulte o Guia do administrador do GMS Dell SonicWALL mais recente, disponvel em:
http://www.sonicwall.com/support.html
Etapa 1 Navegue at a pgina AppFlow > Servidor AppFlow. Para recuperar automaticamente
atualizaes de status no servidor AppFlow, marque a caixa de seleo Habilitar Keep Alive
com servidor AppFlow.
Etapa 2 No campo Endereo do servidor AppFlow, digite o endereo IP.
Etapa 3 No campo IP de origem para usar no tnel VPN, digite o endereo IP que pode ser acessado
por meio de um tnel VPN.
Etapa 4 No campo Fluxos mximos do servidor AppFlow, insira o nmero mximo de fluxos
armazenados em um nico arquivo de banco de dados.
Etapa 5 No campo Tempo limite de comunicao do servidor, insira o nmero de segundos a
aguardar para receber uma resposta do servidor AppFlow relativamente a dados do monitor
de AppFlow. O intervalo aceito encontra-se entre 60 e 180 segundos.
Etapa 6 Digite o nome do seu firewall. Este nome deve ser exclusivo se mais do que um dispositivo de
firewall for usado com um nico servidor AppFlow.
Etapa 7 No campo Cdigo de acesso de conexo, digite a senha do servidor AppFlow para responder
ao firewall.
Etapa 8 Marque a caixa de seleo Sincronizao automtica do servidor AppFlow. Isso habilitar
o firewall para enviar fluxos estticos para o servidor AppFlow sempre que o firewall for
reinicializado.
Etapa 9 Clique no boto Testar conectividade. Isto inicia uma transmisso de pacote de saudao no
servidor AppFlow. Se o servidor AppFlow responder, ser exibida a mensagem de status em
verde "Ativo". Se o firewall estiver registrado em mysonicwall.com, ser exibida a mensagem
de status em verde "Registrado". tambm exibido um carimbo de hora relativamente ltima
vez que o firewall enviou um pacote de saudao e recebeu de novo um pacote de saudao
confirmado do servidor AppFlow.
Etapa 10 Clique no boto Sincronizar servidor. O firewall iniciar o envio de fluxos estticos para o
servidor AppFlow.
Etapa 11 Na seo Descoberta de servidor, o boto Iniciar descoberta exibe todos os servidores
AppFlow diretamente conectados ao seu dispositivo de firewall. Na coluna Ao, clique no
boto Selecionar para preencher automaticamente as informaes de configuraes e
endereo IP do servidor AppFlow como o servidor AppFlow selecionado para o seu dispositivo
de firewall. Os botes Liberar tudo e Liberar limpam a lista de descoberta.
Etapa 1 Navegue at a pgina AppFlow > Dispositivos. Clique no boto Adicionar dispositivo. A
janela pop-up Adicionar dispositivo ser exibida.
Etapa 2 Na caixa Nmero de srie, digite o nmero de srie do dispositivo que deseja adicionar.
Etapa 3 Na caixa Nome, digite um nome para o seu dispositivo.
Etapa 4 No menu Fluxos mximos no BD, selecione o valor que desejar.
Os valores selecionveis encontram-se entre 5000 e 1.000.000.
Etapa 5 Clique em Aplicar.
Cada dispositivo na tabela Dispositivos possui quatro cones nos quais voc pode clicar para
iniciar o monitor em tempo real, o trao AppFlow, o monitor de AppFlow ou os relatrios de
AppFlow.
A pgina Monitor de AppFlow possui guias que permitem ver e monitorar os seguintes tipos
de itens em tabelas separadas:
Aplicativos
Usurios
IP
Vrus
Intruses
Spyware
Local
Classificao de URL
Relatrios AppFlow
A pgina Relatrios AppFlow possui as mesmas guias, botes e menus semelhantes aos da
pgina Monitor de AppFlow.
Em Ver, no menu Sesses no lado direito do grfico, voc poder selecionar mais
visualizaes granulares.
Registrar
| 1315
1316 | Guia do Administrador do SonicOS 6.2
Captulo 73
Gerenciando eventos de log
O log de eventos pode ser enviado automaticamente para um Endereo de e-mail para
convenincia e arquivamento. Os alertas do Monitor de log tambm podem ser enviados por
e-mail e podem alert-lo sobre problemas como ataques ao seu firewall. Os alertas so
imediatamente enviados por e-mail para um endereo de e-mail ou para um pager de e-mail.
Cada entrada do log contm a data e a hora do evento e uma breve mensagem que descreve
o evento.
possvel digitar qualquer subcadeia e pressionar a tecla Enter para filtrar painel Monitor de
log. O Monitor de log listar somente os eventos de log que contenham correspondncias para
essa subcadeia.
Caixa Atualizar
Na extrema direita da tabela, na caixa Atualizar, possvel especificar a frequncia com que
a tabela Monitor de log atualizada com os eventos do banco de dados do log de eventos.
O padro atualizar a cada 60 segundos, mas possvel especificar outros intervalos. Para
atualizar todas as sadas imediatamente, clique no boto de alternncia pausar/reproduzir
localizado direita da caixa Atualizar.
Etapa 2 Na caixa de dilogo Selecionar colunas a serem exibidas, selecione as colunas que voc
deseja exibir.
Etapa 3 Clique em Aplicar.
Nota Para obter mais informaes sobre eventos de log especficos, consulte o Guia de
Referncia dos Eventos de log do SonicOS.
Etapa 1 Selecione um item de filtro clicando na clula da coluna desejada. A clula selecionada fica
azul. Vrias clulas podem ser selecionadas.
A Exibio de filtros permite que voc defina a filtragem sem correspondncias existentes na
tabela Monitor de log. No modo normal, s possvel definir a filtragem com base em um
evento existente que pode ser selecionado na tabela Monitor de log. Na Exibio de filtros,
s possvel selecionar uma combinao de Categoria/Prioridade por vez. No modo normal,
possvel selecionar vrias categorias ao mesmo tempo.
possvel configurar vrias exibies de filtros para as categorias usando a barra de filtros.
Para configurar uma exibio de filtros:
Persistncia de log
Os modelos TZ de extremidade inferior podem armazenar at 800 entradas de eventos no
buffer de log. Todos os outros modelos da verso 6.2 do Dell/Dell SonicWALL podem
armazenar de 1.000 a 10.000 entradas de eventos no buffer de log.
Quando o log estiver cheio, uma ou mais entradas de log mais antigas so excludas. Tambm
possvel clicar no boto Limpar todos os logs para limpar todas as entradas do log.
O envio por e-mail oferece uma verso simples do registro em log de persistncia e o GMS
fornece um mtodo mais confivel e escalvel.
Ao oferecer ao administrador a opo para fornecer logs como texto simples ou HTML, o
administrador possui um mtodo fcil para revisar e reproduzir eventos registrados.
GMS
Para possibilitar a capacidade de identificar e exibir os eventos em toda a empresa, ser
necessria a atualizao do GMS. Os eventos de "contedo interessante" especficos para o
dispositivo no console do GMS so exibidos na pgina Relatrios > Busca do Visualizador
de logs, mas tambm podem ser encontrados em vrios relatrios, como Principais Invases
ao Longo do Tempo.
A coluna Categoria da tabela Monitor de logs tem trs nveis: categoria, grupo e evento. O
primeiro nvel da estrutura da rvore a categoria. O segundo nvel o grupo. O terceiro nvel
o evento. Clicar no pequeno tringulo preto expandir ou recolher o contedo da categoria
ou do grupo.
Gravidade/prioridade do log
Esta seo fornece informaes sobre como configurar o nvel de prioridade de mensagens de
log que so capturadas e as mensagens de alerta correspondentes que so enviadas por e-
mail para notificao.
Nota Os E-mails de alerta sero enviados quando a opo Enviar log para endereos de e-mail
e a opo Enviar alertas para endereos de e-mail forem configuradas na pgina Log >
Automao.
Todos os eventos com uma prioridade mais alta do que a entrada selecionada so registrados.
Por exemplo, se voc selecionar erro como o nvel de registro em log, todas as mensagens
marcadas como erro, bem como todas as mensagens com uma prioridade mais alta, como
crtico, alerta e emergncia, tambm sero exibidas.
Nota Os botes Habilitar ficam verdes quando esto selecionados, brancos quando no
esto selecionados e semisslidos quando no so alterados. Quando as caixas
informam "Vrios valores", os valores tambm no so alterados.
Etapa 5 Na caixa Exibir eventos no Monitor de logs, digite o nmero de segundos para que o
Monitor de logs atualize seus dados. O intervalo de 0 a 86.400.
Etapa 6 Se desejar enviar eventos como alertas de e-mail, selecione o boto Habilitar para exibir a
opo Enviar eventos como alertas de e-mail.
Etapa 7 Na caixa Enviar eventos como alertas de e-mail, digite o nmero de segundos para que o
Monitor de logs atualize seus dados. O intervalo de 0 a 86.400.
Etapa 8 Se desejar reportar eventos pelo Syslog, selecione o boto Habilitar para exibir a opo
Reportar eventos pelo Syslog.
Etapa 9 Na caixa Reportar eventos pelo Syslog, digite o nmero de segundos para que o Monitor de
logs atualize seus dados. O intervalo de 0 a 86.400.
Etapa 10 Se desejar enviar o log de eventos globais por e-mail, digite o Endereo de e-mail na caixa
Enviar resumo de logs para endereo de e-mail.
Etapa 11 Se desejar continuar usando esse Endereo de e-mail mesmo quando voc alterar outros
valores nesta caixa de dilogo, selecione a opo Deixar inalterado.
Somente os itens no nvel de eventos podem ser configurados nas linhas e colunas. Os itens
no nvel de grupo e de categoria apenas exibem as informaes de configurao. Para
configurar os itens no nvel de grupo ou de categoria, necessrio usar as caixas de dilogos
Editar grupos de log ou Editar categorias de log que so exibidas ao clicar no boto
Configurar no final da linha. Tambm possvel configurar os eventos clicando no boto
Configurar, que inicia a caixa de dilogo Editar eventos de log.
Coluna ID
A coluna ID mostra o nmero de ID do evento.
Coluna Prioridade
A coluna Prioridade mostra a gravidade ou a prioridade de uma categoria, grupo ou evento.
Para os eventos, um menu que lista as prioridades selecionveis fornecido. Para as
categorias e grupos, as prioridades so listadas na caixa de dilogo ao clicar no boto
Configurar no final da linha.
As prioridades disponveis so:
Emergncia
Alerta
Crtico
Erro
Aviso
Aviso
Informar
Depurar
Coluna GUI
A coluna GUI mostra as caixas de seleo que indicam se este evento exibido no Monitor de
logs. Para os eventos, possvel mostrar ou ocultar o evento marcando ou desmarcando a
caixa de seleo na coluna. Para as categorias e grupos, use a caixa de dilogo Configurar.
Coluna Alerta
A coluna Alerta mostra as caixas de seleo que indicam se uma mensagem de Alerta ser
enviada para este evento, grupo ou categoria.
Coluna Syslog
A coluna Syslog mostra as caixas de seleo que indicam se o evento, grupo ou categoria
sero enviados para um servidor do Syslog.
Coluna E-mail
A coluna E-mail mostra as caixas de seleo que indicam se o log ser enviado por e-mail para
o endereo configurado. Para os eventos, essas caixas so configurveis na coluna. Para as
categorias e grupos, o E-mail configurado nas caixas de dilogos Editar grupo de log ou Editar
categoria de log que so exibidas ao clicar no boto Configurar no final da linha.
Boto Configurar
O boto Configurar inicia a caixa de dilogo Editar evento de log, Editar grupo de log ou
Editar categoria de log. possvel configurar todos os atributos de um evento, grupo ou
categoria.
Boto Redefinir
O boto Redefinir redefine o contador de eventos de um evento, grupo ou categoria, e os
contadores de eventos de nveis superiores so recalculados.
O boto Importar modelo de registro em log permite selecionar e importar um dos quatro
modelos a seguir:
Modelo Padro
Modelo Mnimo
Modelo Analisador/Ponto de Vista/GMS
Modelo Personalizado
Modelo Padro
O modelo Padro restaura todas as configuraes de eventos de log para os valores padro
da Dell/Dell SonicWALL.
Isto inclui as seguintes configuraes para cada evento de log:
Nvel de prioridade
GUI
Alerta
Syslog
Filtro de e-mail
Intervalo do filtro
Endereo de e-mail:
Endereo de e-mail de alerta
Cor
Modelo Personalizado
O modelo Personalizado definido pelas Configuraes de log configuradas atuais e pode ser
modificado pelo administrador do firewall. O boto Salvar em modelo exporta as
Configuraes de log configuradas atuais para o modelo Personalizado. Ele tambm permite
que voc insira uma descrio para o modelo Personalizado.
O boto Redefinir contagem de eventos define todos os contadores de eventos para zero (0).
Aplicar
Nota O SonicWALL Syslog requer um servidor externo executando um daemon syslog em uma
porta UDP. A porta padro a porta 514 UDP, mas voc pode escolher uma porta diferente.
Nota Consulte RCF 3164 O protocolo syslog BSD para obter mais informaes.
Nota Quando o modo ViewPoint ou o modo Analyzer est habilitado, a opo Substituir
configuraes de syslog com configuraes de software de relatrio selecionada
automaticamente. Quando esta opo estiver marcada, o formato de syslog sempre
redefinido para o formato Padro.
Etapa 4 Na lista de menu Formato de syslog, selecione o formato de syslog que desejar.
Os seguintes formatos de syslog esto listados:
Padro use o formato de syslog SonicWALL padro.
WebTrends use o formato de syslog WebTrends. Voc deve ter o software
WebTrends instalado no seu sistema.
Syslog avanado Use o formato de Syslog avanado do Dell SonicWALL.
ArcSight use o formato de syslog ArcSight. O servidor syslog deve ser configurado
com o aplicativo ArcSight Logger para decodificar as mensagens ArcSight.
Etapa 1 No menu Programao de e-mail, selecione a programao desejada ou Criar uma nova
programao ou selecione Desabilitada.
Etapa 2 Na caixa Enviar para endereo de e-mai, insira o endereo de e-mail do(s) destinatrio(s)
para notificao.
Etapa 3 Na caixa Assunto do e-mail, insira o assunto do e-mail.
Etapa 4 Na caixa Corpo do e-mail, insira o corpo do e-mail.
Nota Se o Servidor de e-mail (nome ou endereo IP) for deixado em branco, as mensagens de
log e de alerta no sero enviadas.
Timesaver A pgina Log > Resoluo de nome inclui definies para configurar os servidores de
nome usados para resolver endereos IP e nomes de servidor nos relatrios de log.
O dispositivo de segurana de rede Dell SonicWALL usa um servidor DNS ou NetBIOS para
resolver todos os endereos IP nos relatrios de log em nomes de servidor. Ele armazena os
pares de nomes/endereos em cache, para ajudar em pesquisas futuras. Voc pode limpar o
cache clicando em Redefinir cache de nome na parte superior da pgina Log > Resoluo
de nome.
Visualizar dados
Selecione o relatrio desejado no menu Visualizao do relatrio. As opes so Acertos
de site, Uso de largura de banda por endereo IP e Uso de largura de banda por servio.
Esses relatrios so explicados abaixo. Clique em Atualizar dados para atualizar o relatrio.
O perodo de tempo analisado pelo relatrio exibido em Perodo de amostra atual.
Acertos de site
A seleo de Acertos de site no menu Visualizao do relatrio exibe uma tabela mostrando
os URLs dos 25 sites da Web acessados com mais frequncia e o nmero de acertos para um
site durante o perodo de amostra atual.
O relatrio Acertos de site garante que a maioria do acesso Web est relacionada com sites
da Web apropriados. Se sites de lazer, esportes ou outros sites inadequados aparecerem no
relatrio Acertos de site, voc pode optar por bloque-los. Para obter informaes sobre
bloqueio de sites da Web inadequados, consulte .
Clique no nome de um site da Web para abrir esse site em uma nova janela.
Etapa 3 Na lista de menu Nome ou endereo IP, selecione o item que voc deseja ou
selecione Criar novo objeto de endereo.
Nota Para obter informaes sobre como configurar e gerenciar seu Analyzer, consulte o guia de
usurio do Analyzer.
Anexos
| 1359
1360 | Guia do Administrador do SonicOS 6.2
Apndice A
Guia de referncia de CLI
Guia de CLI
A interface de linha de comando empresarial (E-CLI Enterprise Command Line Interface) do
SonicOS oferece uma forma poderosa e concisa para configurar dispositivos de segurana de
rede Dell SonicWALL sem usar a interface de gerenciamento do SonicOS com base na Web.
Voc pode usar os comandos da CLI individualmente na linha de comando ou em scripts para
automatizao de tarefas de configurao.
Este apndice contm uma lista categorizada de comandos da interface de linha de comando
(CLI) para o firmware SonicOS 6.2. Cada comando descrito e, onde apropriado, includo
um exemplo de seu uso.
Para obter uma lista dos comandos da interface de linha de comando (CLI) para o firmware
SonicOS 6.2, consulte o Guia de referncia de CLI do SonicOS 6.2.
Esta Introduo contm as seguintes sees:
Convenes do texto na pgina 1361
Especificao do formato de dados de entrada na pgina 1362
Especificao de prompts da CLI na pgina 1362
Recursos de edio e concluso na pgina 1362
Hierarquia de comandos na pgina 1364
Senhas na pgina 1364
Redefinio de fbrica na pgina 1364
Fazer login na CLI do SonicOS na pgina 1366
Configurar o dispositivo de segurana de rede Dell SonicWALL na pgina 1366
Exemplo: Configurar uma VPN site a site usando a CLI na pgina 1370
Nota A referncia completa de comandos de CLI da SonicWALL est includa na ajuda on-line do
SonicOS. Para acessar a referncia de comandos, clique no boto Ajuda na GUI do
SonicOS e, em seguida, navegue at Apndices > Guia de CLI.
Convenes do texto
O texto em negrito indica um comando executado por interao com a interface do usurio.
O texto em Courier e negrito indica comandos e texto inseridos utilizando a CLI.
O texto em itlico indica a primeira ocorrncia de um novo termo, bem como o ttulo de um livro
e tambm texto realado. Neste resumo de comandos, os itens apresentados em itlico
representam informaes especficas do usurio.
Os itens entre colchetes angulares ("< >") so informaes necessrias.
Os itens entre colchetes ("[ ]") so informaes opcionais.
Os itens separados por uma barra vertical ("|") so opes. Voc pode selecionar qualquer um
deles.
| 1361
Nota Embora a cadeia de comandos possa ser exibida em vrias linhas neste guia, ela deve ser
inserida em uma nica linha sem novas linhas, exceto no fim do comando completo.
Tecla(s) Funo
Tab Completa a palavra atual
? Exibe possveis concluses do comando
CTRL+A Move o cursor para o incio da linha de comando
CTRL+B Move o cursor para o caractere anterior
CTRL+C Sai do assistente de incio rpido a qualquer
momento
CTRL+E Move o cursor para o fim da linha de comando
CTRL+F Move o cursor para o caractere seguinte
CTRL+K Apaga caracteres desde o cursor at o fim da linha
CTRL+N Exibe o comando seguinte no histrico de
comandos
CTRL+P Exibe o comando anterior no histrico de comandos
CTRL+W Apaga a palavra anterior
Seta para a esquerda Move o cursor para o caractere anterior
Seta para a direita Move o cursor para o caractere seguinte
Seta para cima Exibe o comando anterior no histrico de comandos
Seta para baixo Exibe o comando seguinte no histrico de
comandos
A tecla Tab tambm pode ser usada para terminar um comando se este for identificado
exclusivamente por entrada do usurio.
myDevice> show al [TAB]
exibe
myDevice> mostrar alertas
Alm disso, os comandos podem ser abreviados se os comandos parciais forem nicos. O
seguinte texto:
| 1363
myDevice> sho int inf
uma abreviao aceitvel para
myDevice> mostrar informaes da interface
Hierarquia de comandos
O gerenciador de configuraes da CLI permite que voc controle o hardware e o firmware do
dispositivo atravs de um sistema separado de modo e submodo. Os comandos do dispositivo
adaptam-se hierarquia lgica exibida abaixo.
Para configurar itens em um submodo, ative o submodo inserindo um comando no modo acima
dele.
Por exemplo, para definir a velocidade da interface LAN padro ou duplex, primeiro voc deve
inserir configure e, em seguida, interface x0 lan. Para retornar ao modo de
configurao superior, basta inserir end ou finished.
Segurana da configurao
Os dispositivos de segurana da Internet SonicWALL permitem uma configurao fcil e
flexvel sem comprometer a segurana da sua configurao ou da sua rede.
Senhas
A CLI do SonicWALL usa atualmente a senha do administrador para obter acesso. Os
dispositivos SonicWALL so enviados com uma senha padro de senha. A configurao de
senhas importante para acessar o SonicWALL e configur-lo em uma rede.
Redefinio de fbrica
Se voc no conseguir estabelecer conexo com seu dispositivo na rede, poder usar o
comando restore para redefinir o dispositivo para os padres de fbrica durante uma sesso
de configurao de srie.
1. Conecte o cabo do modem nulo includo porta do dispositivo marcada com CONSOLE.
Conecte a outra extremidade do cabo do modem nulo a uma porta serial no computador
de configurao.
2. Inicie qualquer aplicativo de emulao de terminal que se comunique com a porta serial
conectada ao dispositivo. Use essas configuraes:
115.200 baud
8 bits de dados
sem paridade
1 bit de parada
sem controle de fluxo
3. Pressione Enter/Return. So exibidas informaes iniciais e, em seguida, um prompt de
NOME DO DISPOSITIVO>.
Nota Esta opo funciona para clientes administrando um dispositivo que no tem um cabo para
acesso do console CLI.
Siga as etapas abaixo para iniciar uma sesso de gerenciamento SSH por meio de uma
conexo Ethernet de um cliente ao dispositivo.
| 1365
1. Conecte um cabo Ethernet porta da interface marcada com XO. Conecte a outra
extremidade do cabo Ethernet a uma porta Ethernet no computador de configurao.
2. Inicie qualquer aplicativo de emulao de terminal (como PuTTY) que se comunique
atravs da interface Ethernet conectada ao dispositivo.
3. No aplicativo de emulao, digite o endereo IP de destino do dispositivo e digite 22 como
o nmero da porta.
4. Selecione SSH como o tipo de conexo e abra uma conexo.
Nota Para usar a CLI em uma conexo serial ou em uma sesso de gerenciamento SSH, voc
precisa usar um aplicativo de emulao de terminal (como Tera Term) ou um aplicativo de
cliente SSH (como PuTTY). Voc pode encontrar emuladores de terminal adequados e
gratuitos na Internet.
Nota Para usar a CLI em uma conexo serial ou em uma sesso de gerenciamento SSH, voc
precisa usar um aplicativo de emulao de terminal (como Tera Term) ou um aplicativo de
cliente SSH (como PuTTY). Voc pode encontrar emuladores de terminal adequados e
gratuitos na Internet.
Para configurar recursos usando a CLI em uma conexo serial atravs da porta de console:
Etapa 1 Conecte um cabo serial RJ-45 a DB-9 porta do dispositivo marcada com CONSOLE. Conecte
a outra extremidade do cabo a uma porta serial no computador de configurao.
| 1367
Pino 8 Pino 7
Pino 6 no usado
Etapa 2 Inicie um aplicativo de emulao de terminal que se comunique com a porta serial conectada
ao dispositivo. Use essas configuraes:
115.200 baud
8 bits de dados
sem paridade
1 bit de parada
sem controle de fluxo
Etapa 3 Pressione Enter/Return. So exibidas informaes iniciais e, em seguida, um prompt de
NOME DO DISPOSITIVO>.
Etapa 1 Conecte um cabo Ethernet porta da interface marcada com X0. Conecte a outra extremidade
do cabo Ethernet a uma porta Ethernet no computador de configurao.
Etapa 2 Inicie um aplicativo de emulao de terminal ou um cliente SSH que se comunique atravs de
Ethernet.
Etapa 3 No aplicativo de emulao, digite o endereo IP de destino da interface X0 e digite 22 como
o nmero da porta.
Etapa 4 Selecione SSH como o tipo de conexo e abra uma conexo.
Categoria Recursos
Painel Todos os recursos
Sistema Licena, certificados, configuraes (importar, fazer upload/download)
SonicPoint Todos os recursos
Firewall Regras de aplicativos
Configuraes de firewall BWM
DPI-SSL Todos os recursos
Anti-spam Todos os recursos
Usurios Segurana de servios para convidados, contas de convidados, status
de convidados
Servios de segurana Resumo, filtro de contedo, imposio do AV cliente, anti-spyware,
filtro Geo-IP, filtro de botnets
Acelerao de WAN Todos os recursos
AppFlow Todos os recursos
Log Todos os recursos
Modo de segurana
O modo de segurana uma interface de gerenciamento limitado da Web que oferece uma
maneira de fazer upload de firmware a partir de seu computador e reinicializar o dispositivo.
O recurso Modo de segurana permite recuperar rapidamente de estados de configurao
incertos com uma interface de gerenciamento simplificada que inclui as mesmas configuraes
disponveis na pgina Sistema > Configuraes.
Para obter instrues sobre como reiniciar o firewall no modo de segurana, consulte o Guia
de noes bsicas do seu dispositivo.
| 1369
Exemplo: Configurar uma VPN site a site usando a CLI
Esta seo descreve como criar uma poltica de VPN usando a interface da linha de comando.
Voc pode configurar todos os parmetros utilizando a CLI e ativar a VPN sem usar a interface
de gerenciamento da Web.
Acesso CLI
Etapa 1 Use um conector DB-9 a RJ-45 para conectar a porta serial de seu PC porta do console do
seu firewall.
Etapa 2 Usando um programa emulador de terminal (como PuTTY ou Tera Term), use os seguintes
parmetros:
115.200 baud
8 bits
sem paridade
1 bit de parada
sem controle de fluxo
Etapa 3 Voc poder precisar clicar em return duas a trs vezes para obter um prompt de comando que
ser semelhante ao seguinte:
NSA3600>
ou
SM9200>
Etapa 4 Se voc j usou outra CLI, como Unix shell ou Cisco IOS, este processo deve ser relativamente
simples e semelhante. Ela tem preenchimento automtico para que voc no tenha de digitar
o comando na totalidade.
Etapa 5 Quando precisar fazer uma alterao na configurao, voc deve estar no modo de
configurao. Para entrar no modo de configurao, digite configure.
NSA3600> configure
(config[NSA3600])>
Etapa 6 O prompt de comando muda e adiciona a palavra config para distinguir do modo normal. Agora
voc pode definir todas as configuraes, habilitar e desabilitar as VPNs e configurar o firewall.
Etapa 1 No modo de configurao, crie um objeto de endereo para a rede remota especificando o
nome, a atribuio de zonas, o tipo e o endereo. Neste exemplo, ns utilizamos o nome
OfficeLAN:
(config[NSA3600]> address-object Office LAN
(config-address-object[OfficeLAN])>
Nota O prompt foi alterado para indicar o modo de configurao do objeto de endereo.
| 1371
Nota O prompt muda para indicar o modo de configurao da poltica de VPN. Todas as
configuraes relacionadas com esta VPN sero inseridas aqui.
Etapa 1 Digite o comando show vpn policy. O resultado ser semelhante ao seguinte:
(config[NSA3600])> show vpn policy
Poltica: VPN de grupo WAN (desabilitada)
Modo de chave: Previamente compartilhada
Segredo previamente compartilhado: DE65AD2228EED75A
Propostas:
IKE: Modo agressivo, 3DES SHA, Grupo 2 DH, 28.800 segundos
IPSEC: ESP, 3DES SHA, sem PFS, 28.800 segundos
Avanado:
Permitir NetBIOS DESLIGADO, Permitir difuso seletiva DESLIGADA
Gerenciamento: HTTP DESLIGADO, HTTPS DESLIGADO
GW de LAN padro: 0.0.0.0
Requer XAUTH: LIGADO, Grupo de usurios: Usurios confiveis
Cliente:
Configuraes XAUTH de cache: Nunca
Configuraes do adaptador virtual: Nenhum
Permitir conexes com: Tneis de diviso
Definir Rota padro para DESLIGADO, Aplicar lista de controle de acesso de VPN para
DESLIGADO
Requer GSC DESLIGADO
Usar chave padro DESLIGADO
Poltica: VPN de escritrio (habilitada)
Modo de chave: Previamente compartilhada
GW primrio: 10.50.31.104
GW secundrio: 0.0.0.0
Segredo previamente compartilhado: sonicwall
ID IKE:
Local: Endereo IP
Par: Endereo IP
Rede:
Local: Sub-rede primria de LAN
Remoto: LAN de escritrio
Propostas:
IKE: Modo principal, 3DES SHA, Grupo 2 DH, 28.800 segundos
IPSEC: ESP, 3DES SHA, sem PFS, 28.800 segundos
Avanado:
Manuteno de atividade LIGADA, Adicionar regra automtica LIGADO, Permitir NetBIOS
DESLIGADO
Permitir difuso seletiva DESLIGADO
Gerenciamento: HTTP LIGADO, HTTPS LIGADO
Login do usurio: HTTP LIGADO, HTTPS LIGADO
| 1373
GW de LAN padro: 0.0.0.0
Requer XAUTH: DESLIGADO
Vinculado a: Zona WAN
Etapa 2 Para exibir a configurao de uma poltica especfica, especifique o nome da poltica entre
aspas duplas.
Por exemplo:
(config[NSA3600])> show vpn policy "OfficeVPN"
O resultado ser semelhante ao seguinte:
Poltica: VPN de escritrio (habilitada)
Modo de chave: Previamente compartilhada
GW primrio: 10.50.31.104
GW secundrio: 0.0.0.0
Segredo previamente compartilhado: sonicwall
ID IKE:
Local: Endereo IP
Par: Endereo IP
Rede:
Local: Sub-rede primria de LAN
Remoto: LAN de escritrio
Propostas:
IKE: Modo principal, 3DES SHA, Grupo 2 DH, 28.800 segundos
IPSEC: ESP, 3DES SHA, sem PFS, 28.800 segundos
Avanado:
Manuteno de atividade LIGADA, Adicionar regra automtica LIGADO, Permitir NetBIOS
DESLIGADO
Permitir difuso seletiva DESLIGADO
Gerenciamento: HTTP LIGADO, HTTPS LIGADO
Login do usurio: HTTP LIGADO, HTTPS LIGADO
GW de LAN padro: 0.0.0.0
Requer XAUTH: DESLIGADO
Vinculado a: Zona WAN
Etapa 3 Digite o comando show vpn sa [name] para ver o SA ativo:
(config[NSA3600])> show vpn sa "OfficeVPN"
Poltica: OfficeVPN
SAs de IKE
GW: 10.50.31.150:500 --> 10.50.31.104:500
Modo principal, 3DES SHA, Grupo 2 DH, Respondente
Cookie: 0x0ac298b6328a670b (I), 0x28d5eec544c63690 (R)
Durao: 28.800 segundos (28.783 segundos restantes)
SAs de IPsec
GW: 10.50.31.150:500 --> 10.50.31.104:500
(192.168.61.0 192.168.61.255) --> (192.168.15.0 192.168.15.255)
ESP, 3DES SHA, SPI 0xed63174f de entrada, SPI 0x5092a0b2 de sada
Durao: 28.800 segundos (28.783 segundos restantes)
O que o BGP?
BGP um protocolo de roteamento em grande escala usado para comunicar informaes de
roteamento entre sistemas autnomos (ASs), os quais so domnios de rede bem definidos e
administrados separadamente. O suporte de BGP permite que dispositivos de segurana da
SonicWALL substituam um roteador BGP tradicional no limite do AS de uma rede. A
implementao atual de BGP da SonicWALL mais adequada para ambientes de "provedor
nico/hospedagem nica", onde a rede utiliza um ISP como o seu provedor de Internet e tem
uma nica conexo a esse provedor. O BGP da SonicWALL tambm capaz de suportar
ambientes de "provedor nico/hospedagem mltipla", onde a rede utiliza um nico ISP, mas
tem um pequeno nmero de rotas separadas para o provedor. O BGP habilitado na pgina
Rede > Roteamento da GUI do SonicOS e, em seguida, totalmente configurado atravs da
interface de linha de comando (CLI) SonicOS.
| 1375
Os requisitos de licenciamento do BGP so mostrados na tabela abaixo.
Nota O BGP compatvel com o NSA 2600 e NSA 3600 com a aquisio de uma licena
expandida do SonicOS. As licenas podem ser adquiridas em www.mysonicwall.com.
Informaes adicionais
Os protocolos de roteamento no so apenas pacotes transmitidos atravs de uma rede, mas
incluem todos os mecanismos atravs dos quais roteadores e grupos de roteadores
descobrem, organizam e comunicam topologias de rede. Os protocolos de roteamento usam
algoritmos distribudos que dependem de cada participante que segue o protocolo tal como
especificado e so muito teis quando as rotas em um domnio de rede mudam
dinamicamente, uma vez que as ligaes entre ns de rede mudam o estado.
Os protocolos de roteamento normalmente interagem com dois bancos de dados:
Base de informaes de roteamento (RIB) utilizado para armazenar todas as
informaes de rota requeridas pelos prprios protocolos de roteamento.
Base de informaes de encaminhamento (FIB) utilizado para encaminhamento de
pacotes.
As melhores rotas escolhidas na RIB so usadas para preencher a FIB. A RIB e a FIB mudam
dinamicamente, uma vez que as atualizaes de roteamento so recebidas por cada protocolo
de roteamento, ou a conectividade no dispositivo muda.
Existem duas classes bsicas de protocolos de roteamento:
Protocolos de gateway interior (IGPs) os protocolos de gateway interior so protocolos
de roteamento concebidos para comunicar rotas em redes que existem dentro de um AS.
Existem duas geraes de IGPs. A primeira gerao consiste em protocolos de vetor de
distncia. A segunda gerao consiste em protocolos de estado de ligaes. Os protocolos
de vetor de distncia so relativamente simples, mas tm problemas quando so
dimensionados para um grande nmero de roteadores. Os protocolos de estado de
ligaes so mais complexos, mas tm uma capacidade de dimensionamento melhor. Os
protocolos existentes de vetor de distncia so o IGRP (Interior Gateway Routing Protocol
Protocolo de roteamento de gateway interior), o EIGRP (Enhanced Interior Gateway
Routing Protocol Protocolo de roteamento de gateway interior aprimorado), o RIP
(Routing Information Protocol Protocolo de informaes de roteamento) e o RIPv2, uma
verso aprimorada do RIP. IGRP e EIGRP so protocolos da Cisco. Os protocolos de
estado de ligaes em uso no momento so os protocolos OSPF (Open Shortest Path First
Abrir o caminho mais curto primeiro) e IS-IS (Intermediate System to Intermediate
System Sistema intermedirio para sistema intermedirio).
Sistemas autnomos
Cada sistema autnomo tem um nmero de 16 bits atribudo. Tal como acontece com os
endereos IP, o nmero de um AS pode ser pblico ou privado. Nmeros de AS pblicos so
um recurso limitado e no so fornecidos com base em vrios fatores. Os clientes de ISP com
redes grandes de hospedagem mltipla para dois ou mais ISPs normalmente tm um AS
pblico, enquanto os clientes com redes menores tero um AS privado administrado pelo seu
ISP.
| 1377
nico/hospedagem nica) no precisa receber quaisquer rotas, pois todo o trfego
destinado para fora do AS ir para o respectivo ISP. Esses clientes ainda podem anunciar
algumas ou todas as suas redes internas ao ISP.
Provedor nico/hospedagem mltipla a rede recebe rotas mltiplas (hospedagem
mltipla) de um nico ISP (provedor nico). Os clientes de ISP que usam um nico ISP,
mas tm mltiplas conexes ao ISP, podem receber apenas a rota padro (0.0.0.0/0) em
cada gateway do ISP. Se uma conexo ao ISP falhar, a rota padro anunciada enviada do
roteador CPE conectado para roteadores internos ser retirada e o trfego da Internet fluir
ento para um roteador CPE que tem conectividade com o ISP. A rede interna do cliente
tambm ser anunciada ao ISP em cada gateway de roteador CPE, permitindo que o ISP
use caminhos alternativos se uma conexo especfica para um cliente falhar.
Provedor mltiplo/hospedagem mltipla os clientes de ISP que usam mais de um ISP
(provedor mltiplo/hospedagem mltipla) tm um ou mais roteadores de gateway
separados para cada ISP. Nesse caso, o AS do cliente deve ser um AS pblico e poder
ser um AS de trnsito ou no de trnsito. Um AS de trnsito receber e encaminhar o
trfego de um ISP destinado a uma rede acessvel por meio de outro ISP (o destino do
trfego no se encontra no AS do cliente). Um AS no de trnsito s dever receber trfego
destinado ao respectivo AS e o restante trfego ser descartado. Os roteadores de BGP
em um AS de trnsito recebem frequentemente uma grande quantidade (em muitos casos
toda a quantidade) da tabela de encaminhamento de BGP completa de cada ISP.
O RFC 1771, que define o BGP, descreve a operao do BGP em termos da mquina de
estado seguinte. A tabela a seguir ao diagrama apresenta informaes adicionais sobre os
vrios estados.
| 1379
Figura 28 Mquina de estado finito de BGP
Estado Descrio
Ocioso Aguardando o evento de incio, aps estabelecer uma nova sesso de BGP ou redefinir
uma sesso existente. Em caso de erros, volta ao estado Ocioso. Aps o evento de
incio, o BGP inicializa, redefine o temporizador de repetio de conexo, inicia a
conexo de transporte TCP e espera por conexes
Conectar Assim que a camada TCP estiver ativa, ocorre a transio para OpenSent e enviado
ABRIR. Se no existir nenhum TCP, ocorre a transio para Ativo. Se o temporizador de
repetio de conexo expirar, permanece em Conectar, redefine o temporizador e inicia
uma conexo de transporte. Caso contrrio, a transio volta a Ocioso.
Ativo Tenta estabelecer uma conexo TCP com um par. Se a conexo for bem-sucedida,
ocorre a transio para OpenSent e enviado ABRIR. Se a repetio da conexo
expirar, reinicia o temporizador e volta ao estado Conectar. Tambm espera ativamente
pela conexo de outro par. Volta a Ocioso no caso de outros eventos.
A conexo oscilao Ativo indica um problema no transporte TCP, por exemplo,
retransmisses de TCP ou inacessibilidade de um par.
OpenSent Aguardando ABRIR mensagem do par. Valida no recebimento. Em caso de falha na
validao, envia NOTIFICAO e fica Ocioso. Em caso de sucesso, envia
MANUTENO DE ATIVIDADE e redefine o temporizador de manuteno de atividade.
Negocia o tempo de espera; o menor valor ganha. Se for zero, o temporizador de tempo
de espera e o temporizador de manuteno de atividade no so reiniciados.
OpenConfirm Aguarda por MANUTENO DE ATIVIDADE ou NOTIFICAO. Se for recebida
MANUTENO DE ATIVIDADE, ocorre a transio para Estabelecido. Se for recebida
ATUALIZAR ou MANUTENO DE ATIVIDADE, reinicia o temporizador de tempo de
espera (a menos que o tempo de espera negociado seja zero). Se for recebida
NOTIFICAO, ocorre a transio para Ocioso.
So enviadas mensagens peridicas de MANUTENO DE ATIVIDADE. Se a camada
TCP quebrar, ocorre a transio para Ocioso. Se ocorrer um erro, envia uma
NOTIFICAO com o cdigo de erro e ocorre a transio para Ocioso.
Estabelecido Sesso ativada, troca atualizaes com pares. Se for recebida NOTIFICAO, ocorre a
transio para Ocioso. As atualizaes so verificadas quanto existncia de erros. Em
caso de erro, envia NOTIFICAO e ocorre a transio para Ocioso. Em caso
expirao do tempo de espera, desconecta o TCP.
Subcdigo Descrio
1 O nmero mximo de prefixos atingidos O valor configurado de "prefixo mximo de vizinho"
foi excedido
2 Desligamento administrativamente A sesso foi administrativamente desligada
3 Par no configurado A configurao do par foi removida
4 Redefinio administrativamente A sesso foi administrativamente redefinida
5 Conexo rejeitada Rejeio (por vezes temporria) da sesso de BGP
6 Outras alteraes de configurao A sesso foi administrativamente redefinida por
algum motivo
Atributos de BGP
Valor Cdigo
1 ORIGIN
2 AS_PATH
3 NEXT_HOP
4 MULTI_EXIT_DISC
5 LOCAL_PREF
6 ATOMIC_AGGREGATE
7 AGGREGATOR
8 COMMUNITY
9 ORIGINATOR_ID
10 CLUSTER_LIST
11 DPA
12 ADVERTISER (histrico)
13 RCID_PATH / CLUSTER_ID (histrico)
| 1381
Valor Cdigo
14 MP_REACH_NLRI
15 MP_UNREACH_NLRI
16 EXTENDED COMMUNITIES
17 AS4_PATH
18 AS4_AGGREGATOR
19 Atributo especfico SAFI (SSA) (substitudo)
20 Atributo de conector (substitudo)
21 AS_PATHLIMIT (substitudo)
22 PMSI_TUNNEL
23 Atributo de encapsulamento de tnel
24 Engenharia de trfego
25 Comunidade alargada especfica de endereo IPv6
26 AIGP (TEMPORRIO expira em 23-02-2011)
27-254 No atribudo
255 Reservado para desenvolvimento
Avisos
Escala atualmente o SonicOS oferece suporte de rotas baseadas em polticas (PBRs)
de 512 a 2048. Isso no suficiente para a totalidade ou mesmo parte das tabelas de
roteamento. O nmero de rotas que existe na RIB poder ser superior ao nmero instalado
na PBR (que a FIB). Isso ocorre quando vrias rotas concorrentes foram recebidas
atravs de protocolos de roteamento. Para cada caso em que a RIB contm rotas
concorrentes rotas em um destino de rede especfico, apenas uma dessas rotas
escolhida para ser instalada na FIB.
Atualmente, a nossa implementao mais adequada para os clientes de provedor nico/
hospedagem nica. As instalaes de provedor nico/hospedagem mltipla tambm
podero ser adequadas quando a rota padro est sendo recebida pelo ISP ou quando um
nmero muito pequeno de rotas especficas de ISP recebido pelo cliente. A ltima
situao permite que roteadores internos optem pelo caminho ideal para destinos fora do
AS, mas ainda no domnio da rede do ISP (isto denominado rotas parciais).
Balanceamento de carga no existe atualmente suporte para mltiplos caminhos no
SonicOS ou Zebos (o recurso "caminhos mximos"). Isto impossibilita o balanceamento de
carga sem dividir redes.
Loopback no existe atualmente nenhum suporte de interface de loopback.
NAT o BGP destina-se a roteamento. No coexiste satisfatoriamente com NAT.
Atualizaes de VPN as atualizaes de BGP por meio de VPN no esto funcionando
atualmente.
Caminhos assimtricos o firewall estvel no tratar atualmente caminhos
assimtricos, especialmente em vrios firewalls.
| 1383
2. No menu suspenso Tipo de poltica, certifique-se de que a opo Site a site seja
selecionada.
Nota Um tnel VPN site a site deve ser usado para BGP atravs de IPSec. As interfaces de tnel
no funcionaro para BGP.
11. Para a rede local, selecione X0 IP no menu suspenso Escolher rede local na lista.
12. Para a rede remota, selecione o endereo IP do par remoto no menu suspenso Escolher
rede de destino na lista que , neste exemplo, 192.168.168.35. Se o endereo IP remoto
no estiver listado, selecione Criar novo objeto de endereo para criar um objeto de
endereo para o endereo IP.
13. Clique na guia Propostas. Voc pode usar as propostas IPSec padro ou personaliz-las
como achar adequado.
14. Clique na guia Avanado.
15. Marque a caixa de seleo Habilitar keep alive.
16. Clique em OK.
Nota Como configurado neste exemplo, o trfego roteado no percorrer o tnel IPSEC usado
para o BGP. O trfego enviado e recebido sem codificao, o que provavelmente ser o
comportamento desejado, pois o objetivo proteger o BGP e no todo o trfego de rede
roteado.
Para obter informaes detalhadas sobre a configurao de IPSec, consulte os captulos VPN
no Guia do administrador do SonicOS.
Nota Aps o BGP ter sido habilitado atravs da GUI, as especificidades da configurao do BGP
so executadas usando a interface de linha de comando (CLI) do SonicOS. Para obter
informaes detalhadas sobre como realizar a conexo CLI do SonicOS, consulte o Guia
da interface de linha de comando do SonicOS em: http://www.sonicwall.com/us/support/
230_3623.html
| 1385
ARS BGP>
7. Agora voc est no modo de no configurao do BGP. Digite ? para ver uma lista de
comandos de no configurao.
8. Digite show running-config para ver a configurao atual em execuo do BGP.
9. Para entrar no modo de configurao do BGP, digite o comando configure terminal. Digite
? para ver uma lista de comandos de configurao.
10. Quando voc tiver concludo a sua configurao, digite o comando write file. Se a unidade
fizer parte de um par ou cluster de alta disponibilidade, as alteraes de configurao
sero automaticamente transmitidas para a outra unidade ou unidades.
Atributo Descrio
Peso Preferir rotas aprendidas de vizinhos com o peso mais alto definido.
Apenas relevante para o roteador local.
Preferncia de local Administrativamente, preferir rotas aprendidas de um vizinho.
Compartilhadas com todo o AS.
Caminhos de Rede ou Agregado Preferir caminhos que tiveram origem localmente a partir dos
comandos network e aggregate-address.
AS_PATH Preferir o caminho com o AS_PATH mais curto.
Origem Preferir o caminho com o tipo de origem mais baixo (como anunciado
em mensagens ATUALIZAR): IGP < EGP < Incompleto.
Multi Exit Discriminator (MED) Fornece informaes de preferncia de caminho a vizinhos para
caminhos com origem no AS.
Novidade Prefere o caminho recebido mais recentemente.
ID do roteador Prefere o caminho do roteador com a ID do roteador menor.
Peso
O comando de peso atribui um valor de peso, por famlia de endereos, a todas as rotas
aprendidas de um vizinho. A rota com o peso mais alto obtm preferncia quando o mesmo
prefixo aprendido a partir de mais de um par. O peso relevante apenas para o roteador
local.
Os pesos atribudos usando o comando set weight substituem os pesos atribudos com este
comando.
Quando o peso est definido para um grupo de pares, todos os membros deste grupo tero o
mesmo peso. O comando tambm pode ser usado para atribuir um peso diferente a um
membro de um grupo de pares especfico.
O exemplo a seguir mostra a configurao de peso:
router bgp 12345
neighbor 12.34.5.237 remote-as 12345
neighbor 12.34.5.237 weight 60
Preferncia de local
O atributo de preferncia de local usado para indicar o grau de preferncia de cada rota
externa na tabela de roteamento de um dispositivo. O atributo de preferncia de local est
includo em todas as mensagens de atualizao enviadas para dispositivos no mesmo AS. A
preferncia de local no comunicada para fora do AS. A figura seguinte mostra um exemplo
de topologia ilustrando como a preferncia do local afeta as rotas entre os ASs vizinhos.
| 1387
Figura 30 Topologia de preferncia de local do BGP com mapas de rotas
O mapa de rotas configurado em SNWL2 (rmap1) est configurado para ser aplicado a rotas
de entrada do vizinho 10.1.1.1. Ele possui duas condies de permisso:
route-map rmap1 permit 10: Esta condio de permisso corresponde lista de acesso
100 que est configurada para permitir trfego do AS 8888 e definir rotas do AS 8888 para
uma preferncia de local de 200.
route-map rmap1 permit 10: Esta condio de permisso define o restante trfego que
no corresponde lista de acesso 100 (ou seja, o trfego proveniente do ASs que no
8888) para uma preferncia de local de 150.
Precedncia de AS_PATH
A precedncia de AS_Path a prtica de adicionar mais nmeros ao AS no incio da
atualizao de um caminho. Isso torna o caminho desta rota maior e, portanto, diminui a sua
preferncia.
Esta configurao faz com que uma rota seja instalada no vizinho 10.50.165.233 com a
precedncia de AS_Path como 12345 12345. Esta pode ser visualizada digitando o comando
show ip bgp.
ARS BGP>show ip bgp
BGP table version is 98, local router ID is 10.50.165.228
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
l - labeled
S Stale
Origin codes: i - IGP, e - EGP, ? - incomplete
O Multi Exit Discriminator (MED) um atributo opcional que pode ser usado para influenciar a
preferncia do caminho. Ele no transitivo, o que significa que est configurado em um nico
dispositivo e no anunciado a vizinhos em mensagens de atualizao. Nesta seo iremos
considerar as utilizaes dos comandos bgp always-compare-med ou bgp deterministic-
med.
| 1389
Comando bgp always-compare-med
O comando bgp always-compare-med permite a comparao dos valores de MED de
caminhos de diferentes ASs para seleo do caminho. Um caminho com um MED inferior
preferido.
Por exemplo, considere as seguintes rotas na tabela do BGP e que o comando always-
compare-med est habilitado:
Route1: as-path 7675, med 300
Route2: as-path 200, med 200
Route3: as-path 7675, med 250
O BGP teria um grupo de Route1 e um segundo grupo de Route2 e Route3 (o mesmo AS).
A melhor de cada grupo comparada. Route1 a melhor do seu grupo, pois a nica rota do
AS 200.
Route1 comparada Route2, a melhor do grupo AS 400 (o MED inferior).
Uma vez que as duas rotas no so do mesmo AS, o MED no considerado na comparao.
A rota do BGP externo a preferida comparativamente rota do BGP interno, fazendo com
que a Route3 seja a melhor rota.
Comunidades de BGP
Uma comunidade um grupo de prefixos que compartilham algumas propriedades comuns e
podem ser configurados com um atributo de comunidade de BGP transitivo. Um prefixo pode
ter mais de um atributo de comunidade. Os roteadores podem atuar em um, alguns ou todos
os atributos. As comunidades de BGP podem ser consideradas uma forma de marcao. Veja
a seguir um exemplo de uma configurao de comunidades de BGP.
router bgp 12345
bgp router-id 10.50.165.233
network 12.34.5.0/24
network 23.45.6.0/24
neighbor 10.50.165.228 remote-as 7675
neighbor 10.50.165.228 send-community
neighbor 10.50.165.228 route-map comm out
| 1391
Impedir um AS de trnsito acidental
Tal como foi discutido anteriormente, um par de AS pode ser um par de trnsito (permitindo
trfego de um AS externo para outro AS externo) ou um par de no trnsito (requerendo que
todo o trfego tenha origem ou termine no respectivo AS). Os pares de trnsito tero tabelas
de roteamento substancialmente maiores. Geralmente, voc no precisa configurar um
dispositivo de segurana SonicWALL como um par de trnsito.
Para impedir que seu dispositivo se torne um par de trnsito de forma inadvertida, voc
precisar configurar filtros de entrada e de sada, como apresentado a seguir:
Filtros de sada
Filtros de entrada
| 1393
router bgp 12345
bgp router-id 10.50.165.233
network 12.34.5.0/24
neighbor 10.50.165.228 remote-as 7675
neighbor 10.50.165.228 route-map ISP1 out
neighbor 172.1.1.2 remote-as 9999
neighbor 10.50.165.228 route-map ISP2 out
!
route-map ISP1 permit 10
match ip address 1
set weight 100
As rotas na FIB desta rede podem ser visualizadas na GUI do SonicOS ou usando a CLI.
| 1395
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default
Nota A ltima rota o caminho para o AS9999 que foi aprendido atravs do AS7675.
Palavras-chave de
depurao do BGP Descrio
tudo Habilita toda a depurao do BGP.
atenuao Habilita a depurao para atenuao do BGP.
eventos Habilita a depurao para eventos do BGP.
filtros Habilita a depurao para filtros do BGP.
fsm Habilita a depurao para a mquina de estado finito (FSM) do BGP.
keepalives Habilita a depurao para keepalives do BGP.
nht Habilita a depurao para mensagens NHT.
Para desabilitar a depurao do BGP, digite a forma "no" (no) do comando. Por exemplo, para
desabilitar a depurao do evento, digite o comando no debug events.
As mensagens de registro do BGP tambm podem ser visualizadas na GUI do SonicOS na
pgina Log > Visualizar. As mensagens do BGP so exibidas como parte da categoria
Roteamento avanado de mensagens de registro.
A mensagem acima indica que foi negada uma atualizao na RIB de sada porque o roteador
a partir do qual foi recebida a atualizao no estava diretamente conectado ao dispositivo.
Para permitir pares do BGP que no estiverem diretamente conectados, use a palavra-chave
ebgp-multihop com o comando neighbor. Por exemplo:
neighbor 10.50.165.228 ebgp-multihop
BGP IPv6
O BGP (Border Gateway Protocol) IPv6 comunica informaes de roteamento IPv6 entre
sistemas autnomos (ASs). Um dispositivo de segurana Dell SonicWall com suporte IPv6
BGP pode substituir um roteador BGP tradicional no limite do AS de uma rede.
O BGP IPv6 ativado na pgina Rede > Roteamento, mas deve ser configurado na Interface
de Linha de Comando (CLI) SonicOS.
As seguintes restries aplicam-se ao SonicOS 6.2:
BGP IPv6 suportado somente nas plataformas NSA.
O BGP IPv6 depende das funes IPv6 e ZebOS (Zebra OS).
O MPLS/VPN e a difuso seletiva no so suportados no BGP IPv6.
| 1397
No diagrama seguinte, o AS 200 um AS de trnsito para o AS 100 e AS 300.
Para configurar vrios ASs como mostrado no diagrama acima, configure os roteadores RTA,
RTB e RTC da seguinte forma:
No RTA:
router bgp 100
neighbor 129.213.1.1 remoteas 200
address-family ipv6
redistribute connected
neighbor 129.213.1.1 activate
No RTB:
router bgp 200
neighbor 129.213.1.2 remoteas 100
neighbor 175.220.1.2 remoteas 200
address-family ipv6
redistribute connected
neighbor 129.213.1.2 activate
neighbor 175.220.1.2 activate
No RTC:
router bgp 200
neighbor 175.220.212.1 remoteas 200
address-family ipv6
neighbor 175.220.212.1 activate
neighbor 175.220.212.1 activate
No R1:
router bgp 6501
bgp routerid 1.1.1.1
neighbor 2011:11:11:11::2 remoteas 6502
addressfamily ipv6
neighbor 2011:11:11:11::2 activate
exitaddressfamily
No R2:
router bgp 6502
bgp routerid 2.2.2.2
neighbor 2011:11:11:11::1 remoteas 6501
addressfamily ipv6
network 1010::1/128
network 2020::1/128
neighbor 2011:11:11:11::1 activate
No R1:
router bgp 6501
bgp routerid 1.1.1.1
neighbor 2011:11:11:11::2 remoteas 6502
neighbor 2011:11:11:11::2 ebgpmultihop
addressfamily ipv6
neighbor 2011:11:11:11::2 activate
exitaddressfamily
| 1399
No R2:
router bgp 6502
bgp routerid 2.2.2.2
neighbor 2011:11:11:11::1 remoteas 6501
neighbor 2011:11:11:11::1 ebgpmultihop
addressfamily ipv6
network 1010::1/128
network 2020::1/128
neighbor 2011:11:11:11::1 activate
No R1:
router bgp 6501
bgp routerid 1.1.1.1
neighbor 2011:11:11:11::2 remoteas 6502
addressfamily ipv6
redistribute connected
neighbor 2011:11:11:11::2 activate
neighbor 2011:11:11:11::2 prefix-list pref1 in
neighbor 2011:11:11:11::2 prefix-list pref2 out
exitaddressfamily
No R2:
router bgp 6502
bgp routerid 2.2.2.2
neighbor 2011:11:11:11::1 remoteas 6501
addressfamily ipv6
redistribute connected
neighbor 2011:11:11:11::1 activate
Para verificar as rotas no R1 e R2, use o comando show bgp ipv6 unicast.
A rota no R1 deve ter o endereo IPv6 1010::1/128.
A rota no R2 deve ter o endereo IPv6 1111::1/128.
No R1:
R1> show bgp ipv6 unicast
No R2:
R2> show bgp ipv6 unicast
No R1:
router bgp 6501
bgp routerid 1.1.1.1
neighbor 2011:11:11:11::2 remoteas 6502
addressfamily ipv6
redistribute connected
neighbor 2011:11:11:11::2 activate
neighbor 2011:11:11:11::2 distribute-list acl1 in
neighbor 2011:11:11:11::2 distribute-list acl2 out
exitaddressfamily
No R2:
router bgp 6502
bgp routerid 2.2.2.2
neighbor 2011:11:11:11::1 remoteas 6501
addressfamily ipv6
redistribute connected
neighbor 2011:11:11:11::1 activate
Para verificar as rotas no R1 e R2, use o comando show bgp ipv6 unicast.
A rota no R1 deve ter o endereo IPv6 1010::1/128.
A rota no R2 deve ter o endereo IPv6 1111::1/128.
No R1:
R1> show bgp ipv6 unicast
No R2:
R2> show bgp ipv6 unicast
| 1401
No R1:
router bgp 6501
bgp routerid 1.1.1.1
neighbor 2011:11:11:11::2 remoteas 6502
addressfamily ipv6
redistribute connected
neighbor 2011:11:11:11::2 activate
neighbor 2011:11:11:11::2 route-map map1 in
neighbor 2011:11:11:11::2 route-map map2 out
exitaddressfamily
No R2:
router bgp 6502
bgp routerid 2.2.2.2
neighbor 2011:11:11:11::1 remoteas 6501
addressfamily ipv6
redistribute connected
neighbor 2011:11:11:11::1 activate
Para verificar as rotas no R1 e R2, use o comando show bgp ipv6 unicast.
No R1:
R1> show bgp ipv6 unicast
No R2:
R2> show bgp ipv6 unicast
Para verificar as rotas no roteador RTA, use o comando show bgp ipv6 unicast.
No RTA:
RTA> show bgp ipv6 unicast
| 1403
neighbor 10.0.1.1 update-source X2
neighbor 2004::1 remote-as 100
neighbor 2004::1 update-source X2
!
address-family ipv6
neighbor 10.0.1.1 activate
neighbor 10.0.1.1 filter-list 1 in
neighbor 2004::1 activate
exit-address-family
Para verificar as rotas no roteador RTA, use o comando show bgp ipv6 unicast.
No RTA:
RTA> show bgp ipv6 unicast
No RTA:
router bgp 200
neighbor 10.0.1.1 remote-as 100
neighbor 10.0.1.1 update-source X2
neighbor 2004::1 remote-as 100
neighbor 2004::1 update-source X2
!
address-family ipv6
neighbor 10.0.1.1 activate
neighbor 10.0.1.1 filter-list 1 in
neighbor 2004::1 activate
exit-address-family
Para verificar as rotas no roteador RTA, use o comando show bgp ipv6 unicast.
No RTA:
RTA> show bgp ipv6 unicast
No RTA:
router bgp 100
neighbor 3001::1 remote-as 200
!
address-family ipv6
distance bgp 150 150 150
neighbor 3001::1 activate
exit-address-family
No RTB:
router bgp 200
bgp log-neighbor-changes
neighbor 1001::1 remote-as 300
neighbor 2003::1 remote-as 100
address-family ipv6
network 6666::6/128
neighbor 1001::1 activate
neighbor 2003::1 activate
exit-address-family
| 1405
No RTC:
router bgp 300
neighbor 3002::1 remote-as 200
!
address-family ipv6 network 1000::/64
neighbor 3002::1 activate
exit-address-family
Para verificar as rotas no roteador RTA, use o comando show ipv6 route.
RTA> show ipv6 route
Uma vez que o RTC est diretamente conectado ao RTA, a rota do OSPF realmente uma
melhor rota que a rota aprendida pelo BGP. Para garantir que a rota entre RTA e RTC
selecionada para a tabela de roteamento, possvel usar o comando distance para alterar a
distncia administrativa padro da rota BGP para uma distncia administrativa maior que a rota
OSPF. Por exemplo:
distance bgp 150 150 150
Tambm possvel usar o comando backdoor neighbor para definir a rota BGP como a rota
preferida. Por exemplo:
No RTA:
router bgp 100
neighbor 3001::1 remote-as 200
!
address-family ipv6
network 1000::/64
backdoor neighbor 3001::1 activate
exit-address-family
Para verificar as rotas no roteador RTA, use o comando show ipv6 route.
RTA> show ipv6 route
Nota Poder fazer com que o RTB pense que o IGP j propagou as informaes da rota
adicionando uma rota esttica ao 6666::6/128 no RTB e certificando-se de que outros
roteadores possam atingir 6666::6/128.
Neste exemplo, o RTC (AS2) anuncia o endereo 6666::6/128 ao RTA (AS100). No AS100, o
RTA e RTB esto executando o iBGP, pelo que o RTB aprende o endereo 6666::6/128 e
capaz de alcan-lo por meio do prximo salto 5.5.5.5 (RTC). O prximo salto transmitido via
iBGP. Porm, para alcanar o prximo salto (RTC), o RTB deve enviar trfego por meio do
RTE, mas o RTE no conhece o endereo IP 6666::6/128.
Se o RTB anunciar o 6666::6/128 ao RTD (AS400), o trfego que tenta alcanar 6666::6/128
do RTD deve passar por meio do RTB e RTE no AS100. Porm, uma vez que o RTE no
aprendeu o 6666::6/128, todos os pacotes sero descartados no RTE.
Para configurar a sincronizao do BGP no RTB do AS100:
No RTB:
router bgp 100
neighbor 10.103.10.129 remote-as 100
neighbor 3001::1 remote-as 100
| 1407
neighbor 3001::1 update-source X4
neighbor 5000::1 remote-as 400
neighbor 5000::1 update-source X2
!
address-family ipv6
synchronization
neighbor 10.103.10.129 activate
neighbor 3001::1 activate
neighbor 5000::1 activate
exit-address-family
No RTB:
router bgp 100
neighbor 10.103.10.129 remote-as 100
neighbor 3001::1 remote-as 100
neighbor 3001::1 update-source X4
neighbor 5000::1 remote-as 400
neighbor 5000::1 update-source X2
!
address-family ipv6
neighbor 10.103.10.129 activate
neighbor 3001::1 activate
neighbor 5000::1 activate
exit-address-family
No RouterA:
interface Serial0/0
ipv6 address 2011:12:12:12::1/64
ipv6 ospf 10 area 0
interface Serial0/1
ipv6 address 2011:13:13:13::1/64
ipv6 ospf 10 area 0
| 1409
neighbor 2011:33:33:33::33 activate
neighbor 2011:33:33:33::33 routereflectorclient
exitaddressfamily
!
ipv6 router ospf 10
routerid 1.1.1.1
No RRClient1:
interface Loopback0
ipv6 address 2011:22:22:22::22/128
ipv6 ospf 10 area 0
!
interface Loopback10
ipv6 address 1010:10:10:10::10/128
interface Serial0/0
ipv6 address 2011:12:12:12::2/64
ipv6 ospf 10 area 0
!
router bgp 100
bgp routerid 2.2.2.2
bgp logneighborchanges
neighbor 2011:11:11:11::11 remoteas 100
neighbor 2011:11:11:11::11 updatesource Loopback0
!
addressfamily ipv6
neighbor 2011:11:11:11::11 activate
network 1010:10:10:10::10/128
exitaddressfamily
!
ipv6 router ospf 10
routerid 2.2.2.2
RRClient2:
interface Loopback0
ipv6 address 2011:33:33:33::33/128
ipv6 ospf 10 area 0
!
interface Loopback20
ipv6 address 2020:20:20:20::20/128
!
interface Serial0/0
no ip address
ipv6 address 2011:13:13:13::2/64
ipv6 ospf 10 area 0
!
router bgp 100
bgp routerid 3.3.3.3
bgp logneighborchanges
neighbor 2011:11:11:11::11 remoteas 100
neighbor 2011:11:11:11::11 updatesource Loopback0
!
addressfamily ipv6
neighbor 2011:11:11:11::11 activate
network 2020:20:20:20::20/128
exitaddressfamily
!
ipv6 router ospf 10
No RRClient1:
RRClient1> show bgp ipv6 unicast
No RRClient2:
RRClient2> show bgp ipv6 unicast
No R1:
interface Loopback0
ipv6 address 1111:111:111:A::/64 eui64
ipv6 ospf 10 area 0
interface FastEthernet0/0
ipv6 address AB01:CD1:123:A::/64 eui64
ipv6 ospf 10 area 0
!
interface Serial0/0
ipv6 address AB01:CD1:123:C::/64 eui64
!
interface FastEthernet0/1
ipv6 address AB01:CD1:123:B::/64 eui64
| 1411
ipv6 ospf 10 area 0
!
ipv6 router ospf 10 routerid 1.1.1.1 logadjacencychanges
redistribute connected routemap CONNECTED
!
routemap CONNECTED permit 10
match interface Serial0/0
!
router bgp 123
bgp routerid 1.1.1.1
neighbor 2222:222:222:A:C602:3FF:FEF0:0 remoteas 123
neighbor 2222:222:222:A:C602:3FF:FEF0:0 updatesource Loopback0
neighbor 3333:333:333:A:C603:3FF:FEF0:0 remoteas 123
neighbor 3333:333:333:A:C603:3FF:FEF0:0 updatesource Loopback0
neighbor AB01:CD1:123:C:C604:16FF:FE98:0 remoteas 101
neighbor AB01:CD1:123:C:C604:16FF:FE98:0 ebgpmultihop 5
!
addressfamily ipv6
neighbor 2222:222:222:A:C602:3FF:FEF0:0 activate
neighbor 2222:222:222:A:C602:3FF:FEF0:0 nexthopself
neighbor 3333:333:333:A:C603:3FF:FEF0:0 activate
neighbor 3333:333:333:A:C603:3FF:FEF0:0 nexthopself
neighbor AB01:CD1:123:C:C604:16FF:FE98:0 activate exitaddressfamily
No R2:
interface Loopback0
ipv6 address 2222:222:222:A::/64 eui64
ipv6 ospf 10 area 0
!
interface FastEthernet0/0
ipv6 address AB01:CD1:123:A::/64 eui64
ipv6 ospf 10 area 0
!
interface FastEthernet0/1
ipv6 address AB01:CD1:123:D::/64 eui64
ipv6 ospf 10 area 0
!
ipv6 router ospf 10 routerid 2.2.2.2 logadjacencychanges
!
router bgp 123
bgp routerid 2.2.2.2
neighbor 1111:111:111:A:C601:3FF:FEF0:0 remoteas 123
neighbor 1111:111:111:A:C601:3FF:FEF0:0 updatesource Loopback0
neighbor 3333:333:333:A:C603:3FF:FEF0:0 remoteas 123
neighbor 3333:333:333:A:C603:3FF:FEF0:0 updatesource Loopback0
addressfamily ipv6
neighbor 1111:111:111:A:C601:3FF:FEF0:0 activate
neighbor 3333:333:333:A:C603:3FF:FEF0:0 activate
exitaddressfamily
No R3:
interface Loopback0
ipv6 address 3333:333:333:A::/64 eui64
ipv6 ospf 10 area 0
!
interface FastEthernet0/0
No R4:
interface Serial0/0
ipv6 address AB01:CD1:123:C::/64 eui64
!
interface Loopback10
ipv6 address BC01:BC1:10:A::/64 eui64
!
interface Loopback11
ipv6 address BC02:BC1:11:A::/64 eui64
!
interface Loopback12
ipv6 address BC03:BC1:12:A::/64 eui64
| 1413
neighbor AB01:CD1:123:C:C601:3FF:FEF0:0 remoteas 123
!
addressfamily ipv6
neighbor AB01:CD1:123:C:C601:3FF:FEF0:0 activate
network BC01:BC1:10:A::/64 network BC02:BC1:11:A::/64
network BC03:BC1:12:A::/64 exitaddressfamily
No R5:
interface Serial0/0
ipv6 address AB01:CD1:123:E::/64 eui64
clock rate 2000000
!
interface Loopback10
ipv6 address BC01:BC1:10:A::/64 eui64
!
interface Loopback11
ipv6 address BC02:BC1:11:A::/64 eui64
!
interface Loopback12
ipv6 address BC03:BC1:12:A::/64 eui64
!
router bgp 202
bgp routerid 5.5.5.5
neighbor AB01:CD1:123:E:C603:3FF:FEF0:0 remoteas 123
neighbor AB01:CD1:123:E:C603:3FF:FEF0:0 ebgpmultihop 5
!
addressfamily ipv6
neighbor AB01:CD1:123:E:C603:3FF:FEF0:0 activate
network BC01:BC1:10:A::/64
network BC02:BC1:11:A::/64
network BC03:BC1:12:A::/64
exitaddressfamily
No R2:
R2> show bgp ipv6 unicast
Antes de a preferncia de local ser configurada, o R2 tem o R1 como o seu prximo salto para
todos os endereos IPv6 aprendidos. Aps configurar a preferncia de local no R3 para o 500,
o R2 tem uma rota de sada preferida diferente para o prefixo BC01:BC1:10:A::/64. O R2 pode
agora alcanar o prefixo BC01:BC1:10:A::/64 por meio do caminho de sada do R3, que
agora designado como a preferncia de local.
No R3:
router bgp 123
no synchronization
bgp routerid 3.3.3.3
neighbor interalmap peer-group
neighbor interalmap remote-as 123
neighbor 1111:111:111:A:C601:3FF:FEF0:0 peer-group interalmap
neighbor 2222:222:222:A:C602:3FF:FEF0:0 peer-group interalmap
neighbor AB01:CD1:123:E:C605:16FF:FE98:0 remoteas 202
neighbor AB01:CD1:123:E:C605:16FF:FE98:0 ebgpmultihop 5
!
addressfamily ipv6
neighbor interalmap activate
neighbor interalmap route-map 1 out
neighbor 1111:111:111:A:C601:3FF:FEF0:0 peer-group interalmap
neighbor 2222:222:222:A:C602:3FF:FEF0:0 peer-group interalmap
exitaddressfamily
!
ipv6 prefixlist 10 seq 5 permit BC01:BC1:10:A::/64
| 1415
!
route-map 1 permit 10
match ipv6 address prefix-list 1 set tag 333
set metric 273
set local-preference 312
Para verificar se a rota de preferncia de local est configurada, use o comando show bgp
ipv6 unicast:
No R3:
R3> show bgp ipv6 unicast
Confederao do BGP
possvel dividir um nico AS em vrios ASs e atribuir estes vrios ASs em uma nica
configurao de ASs. A implementao de uma confederao do BGP reduz o tamanho da
malha iBGP do AS e a confederao pode ainda anunciar como um nico AS para pares
externos.
Cada AS individual em uma confederao executa o iBGP totalmente entrelaado e cada AS
individual na confederao tambm executa as conexes de eBGP para outros ASs dentro da
confederao. Estes pares do eBGP na confederao trocam informaes de roteamento
como se usassem o iBGP. Desta forma, a confederao preserva as informaes do prximo
salto, a mtrica e a preferncia de local. Para o mundo exterior, a confederao parece ser um
nico AS.
No R2:
router bgp 1000
bgp confederation identifier 200
neighbor 10.0.1.1 remote-as 1000
!
address-family ipv6
neighbor 10.0.1.1 activate
exit-address-family
No R3:
router bgp 1000
bgp confederation identifier 200
bgp confederation peers 2000
neighbor 10.0.1.2 remote-as 1000
neighbor 3001::1 remote-as 2000
neighbor 5000::1 remote-as 100
neighbor 5000::1 update-source X2
!
address-family ipv6
neighbor 10.0.1.2 activate
neighbor 3001::1 activate
neighbor 5000::1 activate
exit-address-family
No R5:
router bgp 100
bgp router-id 5.5.5.5
bgp log-neighbor-changes
neighbor 2002::1 remote-as 200
!
address-family ipv6
network 6666::6/128
network 7777::7/128
neighbor 2002::1 activate
exit-address-family
Verifique se o R1, R2 e o R3 podem aprender esta rota que anunciada pelo R5:
6666::6/128 and 7777::7/128
| 1417
Nota Os dados de configurao do BGP IPv6 e as rotas do BGP IPv6 so despejados em um
arquivo Terminate and Stay Resident (TSR).
Nota O BGP IPv6 usa a interface de depurao ZebOS. As configuraes padro para todos os
comutadores de depurao esto fechadas. A insero do comando debug da CLI no
console abre o comutador de depurao.
Termos de BGP
ARD domnio de roteamento autnomo uma coleo de redes/roteadores que tm uma
poltica de roteamento administrativa comum.
AS sistema autnomo um ARD ao qual foi atribudo um nmero de identificao,
geralmente executando BGP4 no(s) roteador(es) de limite.
BGP4 Border Gateway Protocol 4: Os EGP mais comuns.
CIDR roteamento entre domnios sem classe, permite o anncio eficiente de rotas atravs
de agregao de rotas.
CPE equipamentos nas instalaes do cliente os equipamentos no limite da rede de um
cliente usados para a interface com o ISP.
EGP protocolo de gateway exterior qualquer protocolo (na prtica, BGP4) usado para
comunicar informaes de roteamento entre sistemas autnomos.
Rotas completas toda a tabela de roteamento do BGP global.
FIB base de informaes de encaminhamento a nossa tabela de rotas existente usada para
encontrar a interface de egresso e o next hop ao encaminhar pacotes.
Looking Glass * um servidor Looking Glass (LG) uma visualizao somente de leitura de
roteadores de organizaes executando servidores LG. Normalmente, servidores looking glass
publicamente acessveis so executados por ISPs ou NOCs.
Hospedagem mltipla um cliente de ISP que tem mltiplas conexes a um ou mais ISPs.
Provedor mltiplo um cliente de ISP que usa mltiplos ISPs para estabelecer conexo com
a Internet.
NSM mdulo de servios de rede o componente ZebOS que centraliza a interface na FIB
e na RIB. Os daemons do protocolo de roteamento separado estabelecem uma interface com
o NSM para todas as atualizaes da RIB. O NSM atualiza a FIB com informaes de melhor
rota da RIB.
Rotas parciais um subconjunto da tabela de rotas completa do BGP, normalmente especfico
para destinos que fazem parte de um domnio de ISP.
RIB base de informaes de rotas um banco de dados em tempo de execuo da
propriedade do NSM usado para armazenar todas as informaes de rotas coletadas e usado
pelos protocolos de roteamento.
| 1419
Dica Voc tambm pode configurar todas as suas configuraes de rede e de WAN na pgina
Rede > Configuraes da interface de gerenciamento SonicWALL.
Etapa 2 Para definir a senha, digite uma nova senha nos campos Nova senha e Confirmar nova
senha. Clique em Avanar.
Dica muito importante escolher uma senha que no pode ser facilmente adivinhada por
terceiros.
| 1421
Alterar fuso horrio
Etapa 3 Selecione o Fuso horrio apropriado no menu Fuso horrio. O relgio interno do SonicWALL
definido automaticamente por um servidor de horrio da rede na Internet. Clique em
Avanar.
| 1423
Configuraes de DHCP de LAN
Etapa 10 A janela Servidor DHCP SonicWALL opcional configura o Servidor DHCP SonicWALL. Se
habilitado, o SonicWALL define automaticamente as configuraes de IP de computadores na
LAN. Para habilitar o servidor DHCP, selecione Habilitar servidor DHCP e especifique o
intervalo de endereos IP que sero atribudos a computadores na LAN.
Se a opo Desabilitar servidor DHCP for selecionada, ser necessrio configurar cada
computador na rede com um endereo IP esttico em sua LAN. Clique em Avanar.
Etapa 2 Selecione o tipo de servidor na lista Tipo de servidor. Dependendo do tipo que voc
selecionar, os servios disponveis se alteram. Assinale a caixa dos servios que voc est
habilitando neste servidor. Clique em Avanar
| 1425
Etapa 3 Insira o nome do servidor.
Etapa 4 Insira o endereo IP privado do servidor. Especifique um endereo IP no intervalo de
endereos atribudos zona onde voc deseja colocar este servidor. O assistente de servidor
pblico atribuir automaticamente o servidor zona qual pertence seu endereo IP. Clique
em Avanar.
| 1427
Objetos de endereos do servidor O assistente cria o objeto de endereo do novo
servidor. Uma vez que o endereo IP do servidor adicionado no exemplo est no intervalo
de endereos IP atribudos ao DMZ, o assistente associa o objeto de endereo zona
DMZ. Ele atribui um nome ao objeto com base no nome especificado para o servidor, mais
a expresso "_privado". Se voc especificar um IP no intervalo de outra zona, ele
associar o objeto de endereo a essa zona. Se voc especificar um endereo IP fora do
intervalo de qualquer zona que configurou, o assistente associar o objeto de endereo
zona de LAN.
Uma vez que o servidor no exemplo usou o endereo IP da WAN padro para Endereo
IP pblico do servidor, o assistente determina que ele usar o objeto de endereo da
WAN existente durante a construo de polticas entre o servidor novo e a WAN. Se voc
especificar outro endereo, o servidor criar um objeto para esse endereo associado
zona de WAN e atribuir um nome ao novo objeto de endereo com base no nome
especificado para o servidor, mais a expresso "_pblico".
Objeto de grupo de servios do servidor O assistente cria um objeto de grupo de
servios para os servios usados pelo novo servidor. Uma vez que o servidor no exemplo
um servidor Web, o grupo de servios inclui HTTP e HTTPS. Dessa forma, voc tem um
grupo conveniente de referncia ao criar ou editar polticas de acesso para este servidor.
Polticas de NAT do servidor O assistente cria uma poltica de NAT para converter os
endereos de destino de todos os pacotes de entrada com um dos servios no novo grupo
de servios e dirigidos ao endereo de WAN para o endereo do novo servidor. Assim,
neste exemplo, se um pacote com o tipo de servio de HTTPS surgir dirigido interface de
WAN (10.0.93.43), a poltica de NAT converter seu endereo em 172.22.2.44.
O assistente tambm cria uma poltica de NAT de loopback para converter trfego HTTP e
HTTPS da sua rede dirigido ao endereo IP da WAN de volta para o endereo do servidor
de e-mail.
Dica O novo endereo IP usado para acessar o servidor novo, interna e externamente, exibido
no campo URL da janela Parabns.
| 1429
Usar o assistente de poltica de VPN
Etapa 1 Clique no boto Assistente no canto superior direito da interface de gerenciamento do
SonicOS. Na tela de boas-vindas, selecione o Assistente de poltica de VPN e, em seguida,
clique em Avanar.
Etapa 2 Na pgina Tipo de poltica de VPN, selecione VPN de grupo da WAN e clique em Avanar.
Etapa 3 Na pgina Mtodo chave IKE Fase 1, voc poder selecionar a chave de autenticao a usar
para esta poltica de VPN:
| 1431
Nota Se voc selecionar Usar esta chave e deixar a chave padro como o valor, voc deve ainda
distribuir a chave para seus clientes de VPN.
Grupo DH: O grupo Diffie-Hellman (DH) o grupo de nmeros usados para criar o par
de chaves. Cada grupo subsequente usa nmeros maiores para comear. Voc pode
escolher Grupo 1, Grupo 2, Grupo 5 ou Grupo 14. A VPN usa isto durante a negociao
IKE para criar o par de chaves.
Criptografia: Este o mtodo para criptografar dados por meio do tnel VPN. Os
mtodos so listados por ordem de segurana. DES o menos seguro e o que leva
menos tempo para criptografar e descriptografar. AES-256 o mais seguro e o que
leva mais tempo para criptografar e descriptografar. Voc pode optar. DES, 3DES,
AES-128 ou AES-256. A VPN usa isso para todos os dados atravs do tnel.
Autenticao: Este o mtodo de hash usado para autenticar a chave, uma vez que
ele trocado durante a negociao IKE. Voc pode escolher MD5 ou SHA-1.
Durao (segundos): Esta a quantidade de tempo que o tnel VPN permanece aberto
antes de ser necessria nova autenticao. O padro de oito horas (28800).
Nota Se voc habilitar a autenticao do usurio, os usurios devem ser inseridos no banco de
dados do SonicWALL para autenticao. Os usurios so inseridos no banco de dados do
SonicWALL na pgina Usurios > Usurios locais e, em seguida, adicionados aos grupos
na pgina Usurios > Grupos locais.
Etapa 9 Na pgina Configurar adaptador de IP virtual, selecione se deseja usar o servidor DHCP
interno do SonicWALL para atribuir endereos IP a cada cliente de VPN a partir do intervalo de
IP da zona de LAN. Portanto, quando um usurio se conecta, parece que o usurio est dentro
da LAN. Marque a caixa Usar adaptador de IP virtual e clique em Avanar.
Etapa 10 A pgina Resumo de configurao fornece detalhes sobre as configuraes que sero
enviadas para o SonicWALL ao aplicar a configurao. Clique em Aceitar para criar seu VPN
de grupo.
| 1433
Conectar os clientes de VPN globais
Os clientes de VPN globais remotos do SonicWALL instalam o software Global VPN Client.
Assim que o aplicativo estiver instalado, eles usam um assistente de conexo para configurar
sua conexo VPN. Para configurar a conexo VPN, o cliente deve ter as seguintes
informaes:
Um endereo IP pblico (ou nome de domnio) da porta WAN para seu SonicWALL
O segredo compartilhado se voc tiver selecionado um segredo personalizado
previamente compartilhado no assistente de VPN.
O nome de usurio e a senha de autenticao.
| 1435
Nome da poltica: Insira um nome que voc pode usar para se referir poltica. Por
exemplo, Escritrio de Boston.
Chave pr-compartilhada: Insira uma cadeia de caracteres a ser usada para autenticar
trfego durante a negociao IKE Fase 1. Voc pode usar a chave pr-compartilhada
padro gerada pela SonicWALL.
Sei qual o meu endereo IP de mesmo nvel remoto (ou FQDN): Se voc marcar esta
opo, a SonicWALL pode iniciar o contato com o par remoto nomeado.
Se voc no marcar esta opo, o par deve iniciar o contato para criar um tnel VPN.
Este dispositivo usar o modo agressivo para a negociao IKE.
Para esse exemplo, deixe a opo desmarcada.
Redes locais: Selecione os recursos de rede local protegidos por este SonicWALL que
voc est conectando com esta VPN. Voc pode selecionar qualquer objeto ou grupo
de endereos no dispositivo, incluindo redes, sub-redes, servidores individuais e
endereos IP de interface.
Se o objeto ou grupo que voc deseja ainda no foi criado, selecione Criar objeto ou
Criar grupo. Crie o novo objeto ou grupo na caixa de dilogo que for apresentada. Em
seguida, selecione o novo objeto ou grupo. Para esse exemplo, selecione sub-redes
LAN.
| 1437
Redes de destino: Selecione os recursos de rede no destino do tnel VPN. Se o objeto
ou grupo no existir, selecione Criar novo objeto de endereo ou Criar novo grupo de
endereos. Por exemplo:
a. Selecione Criar novo grupo de endereos.
| 1439
Selecionar regras de FTP para a poltica de regras de aplicativos
Etapa 7 A tela exibida aqui poder variar, dependendo de sua escolha de regras de polticas na etapa
anterior. Para as seguintes regras de polticas, o assistente mostra a tela Definir contedo do
objeto de regras de aplicativos na qual voc poder selecionar a direo do trfego a verificar
e o contedo ou as palavras-chave para correspondncia.
Todos os tipos de regras da poltica de SMTP, exceto Especificar o tamanho mximo
do e-mail
Todos os tipos de regras da poltica de POP3
Todos os tipos de regras da poltica de acesso da Web
Todos os tipos de poltica de FTP, exceto Tornar todo o acesso FTP somente leitura
e No permitir o uso do comando SITE
Na tela Definir contedo do objeto de regras de aplicativos, execute as seguintes etapas:
Etapa 8 Na lista suspensa Direo, selecione a direo do trfego a verificar na lista suspensa.
Selecione uma das opes de Entrada, Sada ou Ambas.
Etapa 9 Efetue uma das seguintes aes:
Nota Se voc tiver selecionado uma opo com as palavras exceto as especificadas na
etapa anterior, o contedo que voc inserir aqui ser o nico contedo que no far
com que a ao ocorra.
| 1441
1442 | Guia do Administrador do SonicOS 6.2
Apndice D
IPv6
IPv6
Este apndice fornece uma viso geral da implementao de IPv6 do SonicOS, de como o IPv6
opera e de como configurar o IPv6 em sua rede. Este apndice contm as seguintes sees:
Viso geral do recurso na pgina 1443
Configurar o IPv6 na pgina 1453
Visualizao de IPv6 na pgina 1498
Monitoramento de alta disponibilidade de IPv6 na pgina 1499
Monitoramento e diagnstico de IPv6 na pgina 1500
| 1443
Logotipo da Fase 1 (Prata): No primeiro estgio, o logotipo indica que o produto inclui os
protocolos de ncleo obrigatrios IPv6 e pode interagir com outras implementaes de
IPv6.
Logotipo da Fase 2 (Ouro): A etapa "Pronto para IPv6" implica cuidado apropriado,
consenso tcnico e referncias tcnicas claras. O logotipo de Pronto para IPv6 indicar
que o produto cumpriu com xito os rigorosos requisitos estabelecidos pelo Comit de
Logotipo IPv6 (v6LC).
A Dell SonicWALL foi certificada para o status Pronto para IPv6 de Fase 2 (Ouro). Um futuro
nvel de Fase 3 da cobertura Pronto para IPv6 est atualmente em desenvolvimento.
Para obter mais informaes, consulte: http://www.ipv6ready.org/
Nota As redes devem estar conectadas com a Internet IPv4 para se conectarem com a Internet
IPv6.
Nota A pilha do IPv6 deve estar habilitada para computadores nos sites da rede local.
Aqui fica uma imagem simplificada demonstrando o modelo de conectividade para uma
implantao tpica de IPv6.
Server-1
DMZ
PC-1
IPv6 Public Servers
Remote Office #2
| 1445
O diagrama seguinte apresenta uma comparao dos elementos de cabealho entre IPv4 e
IPv6.
Benefcios do IPv6
O IPv6 inclui alguns recursos essenciais para superar as limitaes verificadas no IPv4. O
novo padro IP expande o IPv4 em vrios aspectos importantes:
Tnel 6to4 (permite que os ns IPv6 se conectem para fora dos servios IPv6 por meio de
uma rede IPv4)
Tnel automtico 6to4
Tnel GRE
Tnel manual IPv6
Novo e simplificado formato de cabealho IPv6
Nmero massivamente grande de endereos IPv6 disponveis
Infraestrutura eficiente e hierrquica de endereamento e roteamento
Atribuio automtica de endereos a hosts e roteadores usando NDP (Neighbor
Discovery Protocol Protocolo de descoberta de vizinhana) e DHCPv6
Configurao de endereos com e sem monitoramento de estado
Segurana integrada recomenda-se vivamente AH e ESP
Melhor suporte para QoS etiqueta de fluxo no cabealho
Novo protocolo para interao entre ns vizinhos
Extensibilidade para novos recursos usando cabealhos de extenso
| 1447
Proteo contra inundao:
Proxy de sincronizao de TCP
Manipulao de fragmentao
Antivrus do gateway
Validao de cabealho
Alta disponibilidade:
Cache de conexo
Servidor DHCP
FTP
IP de monitoramento
NDP
SonicPoint
ULAv6
VPN
Gerenciamento HTTP/HTTPS por IPv6
ICMPv6
IDP
[IDP]
IKEv2
Interface:
Modo de cliente DHCP
Interface IPv6
Modo de ponte de camada 2
Modo de cliente PPPoE
Modo com fio
Servio de preveno contra intruses
Proteo contra falsificao de IP
Mensagens Syslog de IPv4, incluindo mensagens com endereos IPv6
Limite de conexes de IPv6
ISATAP
Modo de ponte de camada 2
Registrar:
Entrada de log de endereo IPv6
Registro de eventos IPv6
Exclusividade de login
Roteamento de difuso seletiva com descoberta de ouvinte de difuso seletiva
NAT
Balanceamento de carga NAT (somente Sticky IP/sem suporte de investigao)
Protocolo de descoberta de vizinhana
Conexes NetExtender para usurios com endereos IPv6
NDP
OSPFv3
Captura de pacotes
Ping
Nota SonicOS 6.2 um firmware de pilha dual de IP. Os recursos que no so suportados no
IPv6 continuam sendo suportados no IPv4.
Objetos de endereos:
DAO
| 1449
FQDN
Anti-spam
Filtro de botnets
Interface de linha de comando
Conectar servidor App Flow com endereo IPv6
Filtragem de contedo:
Poltica de CFS por faixa de endereo IP
Websense Enterprice
DHCP sobre VPN
Retransmisso de DHCP
DPI-SSL
Objetos de endereos dinmicos para endereos IPv6
DNS dinmico
Configurao de E-CLI
Proteo contra inundao:
ICMP
UDP
FQDN
Filtro GeoIP
Global VPN Client (GVC)
GMS
VPN:
DHCP sobre VPN
Grupo VPN
IKE
IKE DPD
Servidor L2TP
IKEv2 mvel
OCSP
VPN baseado em Rota
H.323
Alta disponibilidade:
Difuso seletiva v6
Oracle SQL/Net
RTSP
VoIP
IKEv1
Interface:
Modo de cliente L2TP
Modo transparente
Auxiliar de IP
Mensagens Syslog de IPv6
LDAP
| 1451
Pilha de TCP/IP e protocolos de rede
RFC 1886 Extenses DNS para suportar IP verso 6 [cliente dns IPAPPL]
RFC 1981 Descoberta de MTU do caminho para IPv6
RFC 2113 Opo de alerta de roteador IP
RFC 2373 Arquitetura de endereamento de IPv6
RFC 2374 Um formato de endereo unicast global agregvel de IPv6 (substitudo por 3587)
RFC 2375 Atribuies de endereos de difuso seletiva de IPv6
RFC 2460 Especificao de IPv6
RFC 2461 Descoberta de vizinhana para IPv6
RFC 2462 Configurao automtica de endereos sem monitoramento de estado de IPv6
RFC 2463 ICMPv6 para especificao de IPv6
RFC 2464 Transmisso de pacotes IPv6 por redes Ethernet
RFC 2473 Criao de tneis de pacotes genricos em especificao de IPv6
RFC 2474 Definio do campo de servios diferenciados (campo DS) nos cabealhos IPv4
e IPv6
RFC 2545 Uso de extenses multiprotocolo BGP-4 para roteamento entre domnios IPv6
RFC 2553 Extenses de interface bsica de soquetes para IPv6
RFC 2710 Descoberta de ouvinte de difuso seletiva (MLD) para IPv6
RFC 2711 Opo de alerta de roteador IPv6
RFC 2784 Encapsulamento de roteamento genrico
RFC 2893 Mecanismos de transio para hosts e roteadores IPv6
RFC 2991 Problemas de vrios caminhos na seleo de prximo salto unicast e de difuso
seletiva
RFC 3056 Conexo de domnios IPv6 via nuvens IPv4
RFC 3484 Seleo de endereos padro para protocolo de Internet verso 6 (IPv6) (sem
"hooks" de polticas)
RFC 3493 Extenses de interface bsica de soquetes para IPv6
RFC 3513 Arquitetura de endereamento do protocolo de Internet verso 6 (IPv6)
RFC 3542 Interface de programa de aplicativo (API) avanada de soquetes para IPv6
RFC 3587 Formato de endereo unicast global de IPv6 (substitui 2374)
Configurar o IPv6
As sees a seguir descrevem como configurar o IPv6:
Configurao da interface IPv6 na pgina 1453
Configurar interfaces de tnel de IPv6 na pgina 1467
Acessar a interface de usurio Dell SonicWALL usando IPv6 na pgina 1488
Configurao da rede IPv6 na pgina 1488
Configurao das regras de acesso de IPv6 na pgina 1495
Configuraes avanadas do firewall de IPv6 na pgina 1495
Configurao de VPN IPSec no IPv6 na pgina 1496
Configurao de SSL VPN para IPv6 na pgina 1497
Por padro, todas as interfaces IPv6 aparecem como roteadas sem endereo IP. possvel
adicionar mltiplos endereos IPv6 na mesma interface. A atribuio automtica de IP s pode
ser configurada em interfaces WAN.
Cada interface pode ser configurada para receber anncios de roteador ou no. O IPv6 pode
ser habilitado ou desabilitado em cada interface.
Nota A atribuio de zonas para uma interface deve ser configurada por meio da pgina da
interface IPv4 antes de passar para o modo IPv6.
| 1453
As sees a seguir descrevem a configurao de interfaces IPv6:
Restries de configurao de interfaces IPv6 na pgina 1454
Configurar uma interface para o modo esttico de IPv6 na pgina 1454
Configurar uma interface para o modo DHCPv6 na pgina 1460
Configurar uma interface para o modo automtico na pgina 1464
Configurar uma interface para PPPoE na pgina 1466
Configurar uma subinterface de VLAN na pgina 1467
Configurar uma interface para o modo com fio na pgina 1467
| 1455
Nota A atribuio de zonas para interfaces deve ser configurada na pgina de endereamento
de IPv4. Para modificar a atribuio de zonas para uma interface IPv6, clique no boto IPv4
no canto superior direito da pgina, modifique a zona da interface e, em seguida, retorne
pgina da interface IPv6.
Realize as seguintes etapas para modificar as opes avanadas da interface IPv6 ou para
configurar mltiplos endereos IPv6 estticos.
Etapa 2 Clique no boto Adicionar endereo para configurar mltiplos endereos IPv6 estticos para
a interface.
| 1457
Nota S podem ser adicionados mltiplos endereos IPv6 a uma interface que esteja configurada
no modo de endereo IPv6 esttico. No possvel configurar mltiplos endereos IPv6 no
modo Automtico ou DHCPv6.
Nota O anncio de roteador s pode ser habilitado quando a interface est no modo Esttico.
Para configurar o anncio de roteador para uma interface IPv6, realize as seguintes etapas.
Etapa 2 Selecione a caixa de seleo Habilitar anncio de roteador para fazer desta uma interface
de anncio que distribuir informaes de rede e prefixo.
Etapa 3 Opcionalmente, voc pode modificar as seguintes configuraes do anncio de roteador:
Perodo de intervalo do anncio de roteador o intervalo de tempo permitido entre
o envio de anncios de roteador de difuso seletiva no solicitados a partir desta
interface, em segundos.
MTU de link a MTU recomendada para o link da interface. Um valor de 0 significa
que o firewall no anunciar a MTU de link para o link.
Tempo alcanvel o tempo durante o qual um n assume que um vizinho
alcanvel aps receber uma confirmao de alcance. Um valor de 0 significa que este
parmetro no est especificado para este firewall.
Tempo de retransmisso o tempo entre mensagens retransmitidas de solicitao
de vizinho. Um valor de 0 significa que este parmetro no est especificado para este
firewall.
Limite de saltos atual o valor padro que deve ser inserido no campo Contagem de
saltos do cabealho IP para pacotes IP de sada. Um valor de 0 significa que este
parmetro no est especificado para este firewall.
| 1459
Tempo de vida do roteador o tempo de vida em que o firewall aceito como um
roteador padro. Um valor de 0 significa que o roteador no um roteador padro.
Etapa 4 Selecione a caixa de seleo Gerenciado para definir o sinalizador de configurao de
endereo gerenciado na mensagem de anncio de roteador. Se estiver definida, indica que os
endereos IPv6 esto disponveis por meio de protocolo de configurao dinmica de hosts.
Etapa 5 Selecione a caixa de seleo Outra configurao para definir o sinalizador de outra
configurao na mensagem de anncio de roteador. Se estiver definida, indica que a
informao de outra configurao est disponvel por meio de protocolo de configurao
dinmica de hosts.
Etapa 1 Clique no boto Adicionar prefixo para configurar um prefixo de anncio. Os prefixos de
anncio so usados para fornecer hosts com prefixos para determinao no link e configurao
automtica de endereo.
Etapa 2 Insira o Prefixo que deve ser anunciado com a mensagem de anncio de roteador.
Etapa 3 Insira o Tempo de vida vlido para definir o perodo de tempo (em minutos) durante o qual o
prefixo vlido para efeitos de determinao no link. Um valor de "71582789" significa que o
tempo de vida infinito.
Etapa 4 Insira o Tempo de vida preferido para definir o perodo de tempo durante o qual os endereos
gerados a partir do prefixo por meio de configurao automtica de endereo sem
monitoramento de estado permanecem como preferidos. Um valor de "71582789" significa que
o tempo de vida infinito.
Etapa 5 Opcionalmente, clique na caixa de seleo No link para habilitar o sinalizador no link na opo
Informao de prefixo, que indica que este prefixo pode ser usado para determinao no link.
Etapa 6 Opcionalmente, clique na caixa de seleo Autnomo para habilitar o sinalizador de
configurao de endereo autnomo na opo Informao de prefixo, que indica que este
prefixo pode ser usado para configurao de endereo sem monitoramento de estado.
Etapa 7 Clique em OK.
Existem trs tipos de endereos IPv6 que podem ser atribudos sob DHCPv6:
Endereo automtico
Endereo autnomo
Endereo IPv6 atribudo por meio de cliente DHCPv6
| 1461
Para configurar uma interface para um endereo DHCPv6, realize as seguintes etapas:
Etapa 5 As opes a seguir podem ser definidas para interfaces IPv6 configuradas para o modo
DHCPv6:
Usar opo de confirmao rpida se habilitada, o cliente DHCPv6 usa a opo de
confirmao rpida para usar a troca de duas mensagens para a atribuio de
endereo.
Enviar dicas para renovar IP anterior ao inicializar se habilitada, o cliente DHCPv6
tentar renovar o endereo atribudo antes ao inicializar o firewall.
Etapa 6 Defina o Modo DHCPv6 para a interface. Conforme exigido pelo RFC, o cliente DHCPv6
depende da mensagem de anncio de roteador para decidir qual o modo (com ou sem
monitoramento de estado) que deve escolher. Esta definio limitar a escolha do usurio se
este pretender determinar o modo DHCPv6 sozinho. A implementao do DHCPv6 da Dell
SonicWALL define dois modos diferentes para encontrar um equilbrio entre conformidade e
flexibilidade:
Automtico neste modo, a interface IPv6 configura endereos IPv6 usando a
configurao automtica com/sem monitoramento de estado de acordo com as
definies M e O na mensagem de anncio de roteador recebida mais recentemente.
Manual no modo manual, o modo DHCPv6 configurado manualmente,
independentemente de qualquer anncio de roteador recebido. A opo Solicitar
somente informao sem monitoramento de estado determinar qual o modo
As opes a seguir podem ser configuradas na guia Avanado da caixa de dilogo Editar
interface IPv6:
Selecione Desabilitar todo o trfego IPv6 na interface para evitar que a interface
manipule todo o trfego IPv6. Desabilitar o trfego IPv6 pode melhorar o desempenho do
firewall para trfego que no IPv6. Se o firewall for implantado em um ambiente IPv4 puro,
a Dell SonicWALL recomenda que voc habilite esta opo.
Selecione Habilitar escuta para anncio de roteador para que o firewall receba anncios
de roteador. Se estiver desabilitada, a interface filtra todas as mensagens de anncio de
roteador de entrada, o que melhora a segurana eliminando a possibilidade de receber
parmetros de rede maliciosos (por exemplo, informaes de prefixo ou gateway padro).
Esta opo no visvel no modo Automtico. No modo Automtico, a opo est sempre
habilitada.
Selecione Habilitar configurao automtica de endereo sem monitoramento de
estado para permitir a atribuio de endereos IPv6 autnomos a esta interface. Se esta
opo estiver desmarcada, todos os endereos IPv6 autnomos atribudos sero
removidos desta interface. Esta opo no visvel no modo Automtico. No modo
Automtico, a opo est sempre habilitada.
Insira um valor numrico para Transmisses de deteco de endereo duplicado para
especificar o nmero de mensagens consecutivas de solicitao de vizinho enviadas ao
executar a deteco de endereo duplicado (DAD) antes de atribuir um endereo
provisrio interface. Um valor de 0 indica que a DAD no executada na interface.
Do mesmo modo com ARP grtis de IPv4, o n IPv6 usa a mensagem de deteco de vizinho
para detectar um endereo IPv6 duplicado no mesmo link. A DAD deve ser executada em
qualquer endereo Unicast (exceto endereos Anycast) antes de atribuir um provisrio a uma
interface IPv6.
| 1463
Guia Protocolo DHCPv6
Ao configurar uma interface IPv6 no modo DHCPv6, a guia Protocolo exibe informao
adicional sobre DHCPv6.
O diagrama a seguir mostra uma topologia de amostra para IPv6 configurado no modo
automtico.
| 1465
Para configurar uma interface IPv6 para o modo automtico, realize as seguintes etapas:
Etapa 5 Opcionalmente, voc pode optar por inserir um valor numrico para Transmisses de
deteco de endereo duplicado na guia Avanado para especificar o nmero de
mensagens consecutivas de solicitao de vizinho enviadas ao executar a deteco de
endereo duplicado (DAD) antes de atribuir um endereo provisrio interface. Um valor de 0
indica que a DAD no executada na interface.
Etapa 6 Clique em OK.
O protocolo ponto a ponto na Ethernet (PPPoE) para IPv6 permite conectar uma rede de hosts
por meio de um dispositivo de acesso por ponte simples a um concentrador de acesso remoto
na rede IPv6. Cada host usa sua prpria pilha do protocolo ponto a ponto e apresentada ao
usurio uma interface de usurio familiar. O controle de acesso, o faturamento e o tipo de
servio podem ser definidos por usurio, em vez de por site. O PPPoE para IPv4 e IPv6 usa a
mesma interface para evitar mltiplas conexes PPPoE na mesma interface e o PPPoE para
IPv6 no pode ser aplicado por si s, deve ser usado com o PPPoEv4 ao mesmo tempo. Isso
significa que voc deve configurar a atribuio de IPv4 para o modo PPPoE antes de configurar
o PPPoE para IPv6 na interface. Assim que a conexo PPPoE para IPv6 estiver estabelecida,
tambm possvel passar trfego IPv4 e comunicar fora da rede local.
Para configurar uma interface para PPPoE com IPv6, realize as seguintes etapas:
Automtico
O endereo global padro definido para automtico, o que fornece um endereo local de link.
a. Selecione Automtico a partir da lista suspensa Atribuio de endereo de PPPoE.
b. Clique no boto OK.
Esttico
a. Selecione o modo Esttico a partir da lista suspensa Atribuio de endereo de PPPoE.
b. Clique no boto OK.
DHCPv6
a. Selecione DHCPv6 a partir da lista suspensa Atribuio de endereo de PPPoEv6.
b. Na guia Avanado, clique nas caixas de seleo Habilitar escuta para anncio de
roteador e Habilitar configurao automtica de endereo sem monitoramento de
estado.
c. Clique no boto OK.
O recurso PPPoE para IPv6 est agora configurado. Para desabilit-lo, clique no boto
Desconectar da interface pretendida na pgina principal Rede > Interfaces.
O procedimento para configurar uma interface no modo com fio no IPv6 idntico ao
procedimento no IPv4. Consulte Configurar uma interface para o modo de cabo na pgina 216
para mais detalhes.
Todas as interfaces no modo com fio devem ser configuradas no IPv4; no possvel editar as
configuraes do modo com fio no IPv6. Qualquer funcionalidade habilitada no IPv4 (por
exemplo, "Propagao do estado de link") aplica-se no IPv6.
| 1467
Os tneis podem ser configurados manual ou automaticamente. Um tnel configurado
determina os endereos de ponto terminal por meio de informao de configurao no n de
encapsulamento. Um tnel automtico determina os pontos terminais IPv4 a partir do endereo
do datagrama IPv6 incorporado. O encapsulamento de difuso seletiva de IPv4 determina os
pontos terminais por meio de descoberta de vizinhana.
O diagrama a seguir representa um tnel de IPv6 para IPv4.
| 1469
Para configurar o tnel 6to4 no firewall, realize as seguintes etapas:
Etapa 3 Selecione a Zona para a interface de tnel 6to4. Geralmente, esta a interface de WAN.
Etapa 4 No menu suspenso Tipo de tnel, selecione Interface de tnel automtico 6to4.
Etapa 5 Por padro, o Nome da interface definido para 6to4AutoTun.
Etapa 6 Selecione a caixa de seleo Habilitar tnel 6to4 de IPv6.
Etapa 7 Opcionalmente, possvel configurar o Login de gerenciamento ou Login de usurio via
tnel 6to4.
Etapa 8 Clique em OK.
Por padro, um tnel automtico 6to4 s pode acessar o destino com um prefixo 2002. O
recurso de retransmisso 6to4 pode ser usado para acessar destinos de prefixo que no 2002.
Esta rota esttica pode ser adicionada na interface de tnel automtico 6to4 para habilitar o
recurso de retransmisso, o que torna possvel acessar o destino IPv6 com prefixo que no
2002: via tnel 6to4. Observe que o gateway deve ser o endereo IPv6 com o prefixo 2002:.
| 1471
Configurar um tnel IPv6 manual
GRE pode ser usado para tunelar trfego IPv4 e IPv6 sobre IPv4 ou IPv6. Os tneis GRE so
estticos e ambos os pontos terminais so especificados manualmente. O diagrama a seguir
mostra uma amostra de tnel IPv6 GRE.
Um tnel GRE configurado da mesma forma que um tnel manual, com a exceo de que
selecionada a Interface de tnel GRE no Tipo de tnel.
| 1473
Quando DHCPv6-PD est habilitada, aplicada em todas as interfaces DHCPv6 associadas
zona de WAN. DHCPv6-PD um modo de configurao de sub-rede adicional que coexiste
com DHCPv6.
O endereo IPv6 uma combinao do prefixo fornecido pelo servidor DHCPv6-PD e do sufixo
fornecido pelo cliente DHCPv6-PD. Por padro, o comprimento do prefixo 64, mas pode ser
editado.
Quando o firewall iniciado, automaticamente criado um grupo de objetos de endereos
padro denominado Prefixos de delegao de DHCPv6. Os prefixos delegados da interface
upstream so membros deste grupo.
A delegao de prefixo IPv6 configurada em:
Uma interface upstream
Uma ou mais interfaces downstream
Quando a interface upstream aprende a delegao de prefixo do servidor DHCPv6-PD, o
SonicOS calcula e aplica os prefixos de endereo IPv6 em todas as interfaces downstream e
estas interfaces anunciam esta informao em todos os hosts nos respectivos segmentos de
rede.
Esta seo contm os seguintes procedimentos de configurao:
Configurar a delegao de prefixo IPv6 na interface upstream na pgina 1474
Configurar a delegao de prefixo IPv6 na interface downstream na pgina 1477
Nota Antes de voc desabilitar a delegao de prefixo em sua rede, recomendamos que libere
primeiro a delegao de prefixo na interface upstream.
| 1475
Etapa 8 Para consultar a informao do DHCPv6 configurado, clique na guia Protocolo.
No painel Informaes gerais do DHCPv6, exibido o DUID de DHCPv6.
No painel Endereos com monitoramento de estado obtidos via DHCPv6, exibida a IAID.
| 1477
Etapa 5 Clique na guia Avanado. Aparece a caixa de dilogo Editar interface.
Se o prefixo upstream for obtido, exibido no painel Endereos IPv6.
Etapa 6 Se no for possvel obter o prefixo upstream, exibido um endereo alternativo no painel
Endereos IPv6.
| 1479
Etapa 10 Clique na guia Anncio de roteador.
Etapa 11 Selecione a opo Habilitar anncio de roteador.
Se voc tiver selecionado a opo Anunciar prefixo de sub-rede do endereo IPv6 esttico
na guia Geral, o prefixo ser listado no painel Configuraes da lista de prefixos.
Etapa 12 Para ver suas novas interfaces IPv6 PD, acesse a pgina Rede > Roteamento.
Etapa 13 Selecione a opo IPv6.
So exibidas as duas novas interfaces IPv6 com delegao de prefixo (upstream e
downstream).
A rpida implantao do IPv6 (6rd) permite que o IPv6 seja implantado em uma rede IPv4 de
forma rpida e fcil. A 6rd usa os prefixos existentes do endereo IPv6 de um provedor de
servios, assegurando que o domnio operacional de 6rd fica limitado rede do provedor de
servios e sob controle direto do provedor de servios.
Uma interface de tnel 6rd uma interface virtual que transporta pacotes IPv6 encapsulados
de 6rd em uma rede IPv4.
Nota Uma interface de tnel 6rd deve estar vinculada a uma interface fsica ou virtual.
Quando 6rd est implantada, o servio IPv6 equivalente ao IPv6 nativo. O mapeamento 6rd
de endereos IPv6 para endereos IPv4 permite a determinao automtica de pontos
terminais de tnel IPv4 a partir de prefixos IPv6, permitindo a operao sem monitoramento de
estado de 6rd.
Um domnio 6rd composto por vrios roteadores de ponta de cliente (CE) 6rd e um ou mais
roteadores de retransmisso de borda (BR) 6rd. Os pacotes IPv6 encapsulados por 6rd
seguem a topologia de roteamento de IPv4 na rede do provedor de servios.
Uma implementao de 6rd tpica usando roteadores de ponta de cliente e roteadores de
retransmisso de borda requer somente uma interface de tnel 6rd. Um roteador de
retransmisso de borda que sirva mltiplos domnios 6rd poder ter mais do que uma interface
de tnel 6rd. Porm, cada domnio 6rd pode ter somente uma interface de tnel 6rd.
Os pacotes IPv6 atravessam as retransmisses de borda quando entram ou saem do domnio
6rd de um provedor de servios. Uma vez que a 6rd sem monitoramento de estado, os
pacotes podem ser enviados para as retransmisses de borda usando o mtodo Anycast, no
qual os pacotes de uma nica origem so roteados para o n mais prximo em um grupo de
potenciais destinatrios ou para vrios ns, todos identificados pelo mesmo endereo de
destino.
Os provedores de servios podem implantar a 6rd em um nico domnio ou em mltiplos
domnios. Um domnio 6rd pode ter somente um prefixo 6rd. Diferentes domnios 6rd devem
usar prefixos 6rd diferentes.
Na pgina Rede > Roteamento, no painel Polticas de rota, existem quatro polticas de rota
padro para interfaces de tnel 6rd.
| 1481
Existem dois modos de configurao:
Manual
DHCP
Os quatro parmetros 6rd a seguir podem ser definidos manualmente, ou automaticamente
pelo servidor DHCPv4, caso voc selecione DHCP como o modo de configurao.
Comprimento da mscara IPv4
Prefixo 6rd
Comprimento do prefixo 6rd
Endereo BR IPv4 de 6rd
No modo DHCP, os parmetros 6rd so recebidos a partir da interface de vinculao. No modo
manual, os parmetros 6rd devem ser configurados manualmente.
Uma interface de tnel 6rd configurada da mesma forma que as outras interfaces de tnel
IPv6. necessria uma interface de vinculao para configurar uma interface de tnel 6rd.
Para configurar uma interface de tnel 6rd:
Nota A guia Protocolo s exibida quando voc seleciona DHCP como o Modo de
configurao.
Nota Se voc selecionar Manual como o Modo de configurao, realize as etapas 12 a 15.
Se voc selecionar DHCP como o Modo de configurao, ignore as etapas 12 a 15.
Etapa 12 Na caixa Prefixo 6rd, insira o prefixo 6rd; por exemplo, 2222:2222::
(somente no modo Manual).
| 1483
Etapa 13 Na caixa Comprimento do prefixo 6rd, insira o comprimento do prefixo 6rd; por exemplo, 32
(somente no modo Manual).
Etapa 14 Na caixa Comprimento da mscara IPv4, insira o comprimento da mscara de sub-rede IPv4
(somente no modo Manual).
Etapa 15 Na caixa Endereo BR IPv4, insira o endereo IPv4 da retransmisso de borda 6rd
(somente no modo Manual).
Etapa 16 (Opcional) Na caixa Comentrio, insira um comentrio para descrever a interface de tnel.
Etapa 17 Selecione a opo Adicionar rota padro automaticamente.
Etapa 18 Selecione as opes de Gerenciamento ou as opes de Login de usurio que desejar.
Se voc tiver selecionado Manual como o Modo de configurao, suas configuraes da
interface de tnel 6rd so exibidas na guia Geral.
A Figura 2 mostra a entrega de trfego ISATAP entre hosts em diferentes sub-redes ISATAP:
| 1485
Figura 2
A Figura 3 mostra a entrega de pacotes entre hosts ISATAP e hosts em uma rede
compatvel com IPv6.
Figura 3
Etapa 1 Na pgina Rede > Interfaces, em Visualizar verso de IP, selecione IPv6.
Etapa 2 Clique no boto Adicionar interface.
| 1487
Etapa 10 Se voc desejar habilitar o gerenciamento remoto do firewall a partir desta interface, selecione
o(s) protocolo(s) de gerenciamento suportado(s): HTTPS, Ping ou SNMP.
Etapa 11 Se voc desejar permitir que usurios selecionados com direitos de gerenciamento limitado
efetuem logon no dispositivo de segurana, selecione HTTP e/ou HTTPS em Login do
usurio.
Adicionalmente, possvel especificar como o SonicOS resolve consultas de host ISATAP:
O DNS para IPv6 configurado usando o mesmo mtodo que usado para IPv4. Clique na
opo IPv6 no boto de opo Visualizar verso de IP no canto superior esquerdo da pgina
Rede > DNS.
Objetos de endereos
| 1489
Para tratar disso, os DAO no so gerados dinamicamente para interfaces IPv6. So criados
somente DAO de interface limitados, o que resulta em suporte limitado para outro mdulo que
precise acessar DAO de interface.
O roteamento com base em poltica totalmente suportado para IPv6 selecionando gateways
e objetos de endereos IPv6 para polticas de rota na pgina Rede > Roteamento. Na pgina
Rede > Roteamento, o boto de opo Visualizar verso de IP possui trs opes: Somente
IPv4, somente IPv6 ou IPv4 e IPv6. O recurso OSPF exibe dois botes de opo para alternar
entre a verso 2 e a verso 3.
Ao configurar polticas de NAT de IPv6, os objetos de origem e destino s podem ser objetos
de endereos IPv6.
O recurso NDP esttico permite que sejam criados mapeamentos estticos entre um endereo
IPv6 de camada 3 e um endereo MAC de camada 2.
| 1491
Para configurar uma entrada NDP esttica, execute as seguintes etapas:
Etapa 1 Navegue at a pgina Rede > Descoberta de vizinhana e, em seguida, clique no boto
Adicionar.
A pgina Rede > Roteamento de difuso seletiva usada para definir configuraes de
difuso seletiva para IPv6, as quais se dividem nas duas sees a seguir:
Proxy de difuso seletiva na pgina 1493
Descoberta de ouvinte de difuso seletiva na pgina 1494
| 1493
Descoberta de ouvinte de difuso seletiva
Configurao de DHCPv6
O servidor DHCPv6 pode ser configurado da mesma forma que IPv4 aps selecionar a opo
IPv6 no boto de opo Visualizar verso de IP no canto superior esquerdo da pgina Rede
> DNS.
Ao adicionar uma regra de acesso de IPv6, a origem e o destino s podem ser objetos de
endereos IPv6.
| 1495
Configurao de VPN IPSec no IPv6
As VPN IPSec podem ser configuradas para IPv6 da mesma forma que as VPN de IPv4 aps
selecionar a opo IPv6 no boto de opo Visualizar verso de IP no canto superior
esquerdo da pgina VPN > Configuraes.
Nota Uma vez que uma interface pode ter mltiplos endereos IPv6, por vezes, o endereo local
do tnel pode variar periodicamente. Se o usurio necessitar de um endereo IP
consistente, configure a poltica de VPN para que se vincule a uma interface e no a uma
zona e especifique o endereo manualmente. O endereo deve ser um dos endereos IPv6
dessa interface.
Na pgina SSLVPN > Rotas de cliente, o usurio pode selecionar uma rota de cliente na lista
suspensa de todos os objetos de endereos, incluindo todos os objetos de endereos IPv6
predefinidos.
| 1497
Nota FQDN de IPv6 no suportado.
Visualizao de IPv6
A visualizao de IPv6 para o monitor de App Flow e o monitor em tempo real uma extenso
da visualizao de IPv4, permitindo o monitoramento em tempo real de taxas de interface/
aplicativo e a visibilidade de sesses na interface de gerenciamento.
Com as novas melhorias no monitoramento do painel de visualizao para IPv6, os
administradores podem responder de forma mais rpida a vulnerabilidades na segurana da
rede e a problemas de largura de banda da rede. Os administradores podem saber quais os
sites que seus funcionrios acessam, quais e em que medida os aplicativos e servios esto
sendo usados em suas redes para controlar o contedo transmitido para dentro e fora das
organizaes.
A pgina Monitor de App Flow tem duas novas opes para a seleo Visualizar verso de IP.
Estas permitem monitorar trfego somente de IPv6 ou de IPv4 e IPv6.
A pgina Monitoramento em tempo real tem essas duas novas opes no menu suspenso
Interface nos painis Aplicativos e Largura de banda.
| 1499
Na investigao HA de IPv6, so usados endereos IPv6, solicitaes de eco de ICMPv6 e
respostas de eco de ICMPv6. A lgica usada para determinar o status da rede dos dispositivos
primrios e de backup a mesma para IPv4 e IPv6.
Alm disso, possvel usar palavras-chave do IPv6 para filtrar a captura de pacotes.
| 1501
1502 | Guia do Administrador do SonicOS 6.2
Ping de IPv6
A ferramenta de ping inclui uma nova opo Preferir rede IPv6.
| 1503
Pesquisa de DNS e pesquisa reversa de nome de IPv6
Ao executar uma pesquisa de DNS de IPv6 ou uma pesquisa reversa de nome de IPv6, voc
deve inserir o endereo do servidor DNS. Pode ser usado o endereo IPv6 ou IPv4.
| 1505
certificado 122 controle de aplicativos
importando 119 ao de monitor de pacotes 581
SCEP aes de BWM, predefinidas 581, 602
chave assistente 624
assistente de poltica de VPN 1430 carregar a partir de arquivo 594, 606
IKE fase 1 1430 casos de uso 641
chave pr-compartilhada componentes 577
assistente de poltica de VPN 1436 configurao de poltica 609
clientes de VPN globais correspondncia negativa 599
assistente de poltica de VPN 1434 criar regra a partir do monitor App Flow 582
conectividade da Internet cronograma 613, 616, 618
assistente de configurao 1419 expresses comuns 594
configurao filtrar por aplicativo 600
assistente de configurao 1419 filtrar por categoria 601
de NTLM 1038 gerenciamento de largura de banda 578
do monitor de pacotes 144 habilitar 609
configurao de autenticao de NTLM habilitar em zonas de rede 610
no SSO 1038 licenciar 606
configuraes lista de excluso 611
VPN 829 objetos da lista de aplicativos 600, 630
configuraes avanadas objetos de ao 602, 631
do SSO 1055 objetos de correspondncia 589, 627
configuraes avanadas de filtro do monitor objetos de endereo de e-mail 605, 633
do monitor de pacotes 152 poltica por aplicativo 614
configuraes de poltica por assinatura 616
usurios 973 poltica por categoria 612
configuraes de filtro do monitor polticas 584
do monitor de pacotes 147 preveno contra vazamento de dados 575
configuraes de NTLM sobre 574
no navegador 965 cores do LED para o status do agente SSO
configuraes de NTLM no SSO 1030
no navegador 965 criando grupos locais
Configuraes de protocolo de WAN 206 de usurios 988
configuraes de protocolo de WAN 206 criando uma conta no
Configuraes de protocolo PPoE 206 mysonicwall.com 1214
configuraes de rede criptografia
assistente de configurao 1420 assistente de poltica de VPN 1432, 1439
configuraes de servios de segurana Criptografia do Suite B 124
segurana mxima 1160
configuraes de servios de seguranadesem- D
penho otimizado 1160 de largura de banda
configuraes do espelho tipo Avanado 678
do monitor de pacotes 154 DeepSee 1350
Configuraes do servidor CFS 1180 Delegao de prefixo DHCPv6 1473
configuraes globais descoberta do vizinho 347
dos usurios 977 Deteco de mesmo nvel de IKE inativo 866
Configuraes globais do Anti-Spyware 1254 DHCP
configurando a autenticao de usurio assistente de configurao 1424
do RADIUS 993 gateway central VPN 872
configurando a autenticao RADIUS gateway remoto VPN 872
de usurios 993 modo de retransmisso 871
consentimento 1187 DHCP sobre VPN
Contabilizao RADIUS 966 concesses 875
| 1507
monitor de fluxo de aplicativo 692 interface de gerenciamento 40
tipo Global 678 aplicar alteraes 42
tipo Nenhum 678 assistentes 45
usar com objetos de ao 680 configurao de modo 46
usar monitor de fluxo de aplicativo 689 efetuar logout 45
gerenciar servios de segurana online 99 cones comuns 41
grupo de endereos interface de usurio dinmica 40
assistente de poltica de VPN 1438 navegar 41
grupo de servios navegar em tabelas 44
assistente de servidor pblico 1428 obter ajuda 45
Grupo DH 1432 interfaces
grupo DH configurar interface de WAN 202
assistente de poltica de VPN 1439 configurar interfaces estticas de LAN 193
grupos configurar interfaces sem fio 200
de usurios 985 configurar o modo de cabo 214
usurios 985 gerenciamento de largura de banda 197
modo transparente 197
H intrusion prevention service
H.323 775 deep packet inspection 1230
transformando mensagens de H.323 786 IPV6
hora descoberta do vizinho 347
configurao 128 IPv6 1443
configuraes de NTP 128
J
I janela de status de login 1076
IDS 487 Janela Editar zona 1242, 1256
pontos de acesso invasor 487
sem fio 487 L
IDS sem fio (Servio de deteco de intruso) L2TP 877
pontos de acesso autorizados 490 Configurando 878
IKE L2TP sobre IPSec 877
assistente de poltica de VPN 1430, 1438 LAN
fase 2 1438 assistente de configurao 1423
grupo DH 1432 Layer 2 Tunneling Protocol, consulte L2TP
imposio do SSO LDAP
em zonas 1035 importando usurios do LDAP 986
imposio por zona licenas
do SSO 1035 dos servios de segurana 98
indicadores de status limite de conexo 564
do monitor de pacotes 155 Linux
inspeo de entrada 1221 com uso do Samba para SSO 957, 1060
Inspeo de pacote detalhada Lista de adiamentos 798
GAV 1212 Lista de contatos bloqueados 797
inspeo de pacote detalhada 1212 lista de excluso
inspeo GAV de sada 1221 configurando 1224
instalao do agente Lista de excluso CFS 1178
SSO 1017 Lista de reputao 798
interface lista personalizada 1185
fsica 187 Log
Automao 1347
| 1509
um 332 registrando o dispositivos de segurana
criar uma poltica de NAT de um para um de SonicWALL 1215
sada 333 registro em log
criar uma poltica de NAT um para um de do monitor de pacotes 150
entrada 334 registro em log do FTP
destino convertido 327 do monitor de pacotes 152
destino original 327 regras de acesso
habilitar 327 assistente de servidor pblico 1429
interface de entrada 327 exemplos 565
interface de sada 327 gerenciamento de largura de banda 557, 684
navegar e classificar 325 opes avanadas 565
origem convertida 327 visualizao 558
origem original 326 regras de acesso avanadas 671
poltica de loopback 1428 conexes de dados FTP para utilizar a porta
poltica reflexiva 327 20 673
servio convertido 327 descartar pacotes roteados de origem 673
servio original 327 modo furtivo 672
polticas de rota 304 tornar ID de IP aleatrio 672
pontos de acesso transformaes RTSP 673
SonicPoints 455 regras de aplicativo
pontos de acesso invasor 487 tipos de objeto de correspondncia 589
preveno contra vazamento de dados 575 regras de aplicativos
programaes caractersticas do tipo de poltica 586
adicionando 131 configurao da redundncia de log 619
excluindo 132 configurao de poltica 620
misto 132 criar regra a partir do monitor App Flow 582
recorrente 131 gerenciamento de largura de banda 578
uma vez 131 habilitar 619
propriedades de filtro 1179 polticas 584
proteo de downloads de arquivo HTTP 1211 reiniciar dispositivo de segurana da
proteo de locais remotos 1210 SonicWALL 181
proteo de rede interna 1211 remetentes de spam 796
proteo para servidores 1212 Remetentes de spam conhecidos 797
protocolo de criptografia sem fio, consulte WEP remetentes de spam conhecidos 796
Protocolo de descoberta SonicWALL, consulte Reputao do IP GRID 797
SDP restringir recursos da Web 1177
Protocolo de provisionamento simples SonicWALL, resumo da caixa de lixo eletrnico
consulte SSPP enviar apenas para usurios LDAP 815
Protocolo de registro de certificado simples frequncia padro 815
Consulte SCEP linha de assunto 815
proxy da Web 389 URL para exibio do usurio 815
configurar 390, 391 roteamento 301
ignorar servidores proxy 390 anncio de rota 302
configurao de anncio de rota 302
Q exemplo de poltica de rota 308
quadros jumbo 195, 205 rotas estticas 301, 306
R roteamento com base em poltica 304
RADIUS roteamento com base em poltica habilita-
com servidor L2TP 878 do por investigao 307
recuperao tabela de polticas de rota 305
das pginas de login 982 valores mtricos 304
rede sem fio roteamento com base em poltica 304
SonicPoint 455 roteamento com base em poltica habilitado por
redundncia de portas 206 investigao 307
| 1511
U VPN de grupo 1430
usurios VPN site a site
configuraes 973 assistente de poltica de VPN 1434
contas de convidados 1077 nome da poltica 1436
janela de status de login 1076
W
perfil de convidados 1076
WAN
servios para convidados 1075
assistente de configurao 1422
status 973
VPN de grupo 1430
status de convidados 1082
WAN sem fio 419, 421, 441
usurios locais 983
failover 422
usurios locais 983
limite de dados 436
V modelo de conexo 422
vantagens monitoramento 438
do monitor de pacotes 142 placas de PC 426
Verificao de certificado de cliente 108 pr-requisitos 426
viso geral provedores de servios 426
do monitor de pacotes 141, 142 status 427
Viso geral do tempo de conexo mximo 433
GAV 12091213 viso geral 421426
VPN 829, 865 WEP 461, 467
bit DF 866 Wireshark 142
concesses de DHCP 875 wireshark 634
configuraes 829
Y
configuraes avanadas 866
YouTube for Schools 1190
DHCP sobre VPN 871
gateway central 872 Z
gateway remoto 872 zona
exportar poltica de cliente 844 sem fio 456
failover para uma rota esttica 858 SonicPoints 456
global VPN client 833 zonas 263
GroupVPN 838 adicionar 268
interface de tnel 859 como funcionam as zonas 264
roteamento avanado 317, 860 configurao para SSL VPN 897
janela de poltica de VPN 846 GAV 1218
L2TP sobre IPSec 877 habilitar servios de segurana 266
modo de retransmisso DHCP 871 permitir confiana de interface 266, 271
NAT transversal 866 predefinidas 265
servidor L2TP 877 tabela de configuraes de zona 267
sesses L2TP ativas 880 tipos de segurana 265
site a site 845 zonas sem fio 456
tneis ativos 835