ZyXEL Communications ZyXEL ZyWALL 70: 7 Firewall

DEUTSCH

28

7 Firewall 

Sie können die ZyWALL verwenden, ohne die Firewall zu konfigurieren. 

Die Firewall die ZyWALL ist so vorkonfiguriert, dass sie Ihr LAN vor Angriffen aus dem Internet schützt. Bei 

der Standardeinstellung können keine Daten in Ihr LAN eindringen, wenn nicht zuvor eine Anfrage aus dem 

LAN gestellt wurde. Die ZyWALL lässt den Zugriff vom WAN oder LAN auf die DMZ zu, blockiert aber den 

Datenverkehr aus der DMZ zum LAN. 

8 Einstellen der VPN-Regeln

Mit einem VPN-Tunnel (Virtual 

Private Network) haben Sie 

eine sichere Verbindung zu 

anderen Computern oder 

Netzwerken. 

Eine Gateway-Policy 

identifiziert an jedem Ende 

eines VPN-Tunnels die IPSec-

Router. 

1

Klicken Sie in der Navigationsleiste 

auf 

ADVANCED (ERWEITERT)

, 

NAT

 und dann auf 

Port Forwarding

(Portweiterleitung)

.

2

Wählen Sie das Kontrollfeld 

Active

(Aktiv)

.

3

Geben Sie eine Bezeichnung für die 

Regel ein.

4

Geben Sie die Portnummer ein, die 

der Dienst verwendet.

5

Geben Sie die IP-Adresse des 

HTTP-Servers ein.

6

Klicken Sie auf 

Apply

(Übernehmen)

.

DEUTSCH

29

In einer Netzwerk-Policy ist festgelegt, welche Geräte (hinter den IPSec-Routern) den VPN-Tunnel benutzen 

dürfen.

Diese Abbildung soll die Hauptfelder in den Assistentenfenstern erläutern. 

1

Klicken Sie im Startfenster (

HOME

) auf das 

Assistent

-Symbol (

) und dort auf die Verknüpfung 

VPN Setup

(VPN Einrichten), um den VPN-Assistenten aufzurufen. 

Hinweis: 

Wenn Sie auf 

Back

(Zurück)

 klicken, werden Ihre Einstellungen nicht gespeichert.

2

In diesem Fenster können Sie die Gateway-Policy 

konfigurieren.

Name

: Geben Sie einen Namen ein, um die 

Gateway-Policy zu bezeichnen. 

Remote Gateway Address

: Geben Sie die IP-

Adresse oder den Domainnamen des IPSec-Routers 

ein. 

DEUTSCH

30

3

In diesem Fenster können Sie die Netzwerk-Policy 

konfigurieren.

Lassen Sie die Markierung im Kontrollfeld 

Active

(Aktiv).

Name

: Geben Sie einen Namen für die Netzwerk 

Policy ein.

Wählen Sie 

Single

 und geben eine IP-Adresse für 

eine Host ein. 

Wählen Sie 

Range IP

 (IP-Bereich) und geben Sie die 

Anfangs- und End-IP eines bestimmten Bereichs von 

IP-Adressen ein.

Wählen Sie 

Subnet

 (Subnetz) und geben Sie eine IP-

Adresse und eine Subnetmaske ein, um ein 

bestimmtes Netzwerk anhand ihrer Subnetmaske 

festzulegen. 

Hinweis: 

Stellen Sie sicher, dass der Remote-IPSec-Router dieselben Sicherheitseinstellungen 

verwendet, die Sie in den zwei folgenden Fenstern festlegen.

Negotiation Mode (Negotiation-Modus)

: Wählen Sie 

Main Mode (Hauptmodus)

 für den Identitätsschutz. 

Wählen Sie 

Aggressive Mode (Agressiver Modus)

, wenn mehrere eingehende Verbindungen von 

dynamischen IP-Adressen verschiedene Passwörter benutzen sollen. 

Hinweis: 

Wenn mehrere SAs (Security Associations) durch ein Sicherheitsgateway verbunden sind, 

müssen diese denselben Negotiation-Modus haben.

Encryption Algorithm

(Verschlüsselungsalgorithmus)

: Wählen Sie 

3DES

 oder 

AES

 für eine stärkere (und 

langsamere) Verschlüsselung. 

Authentication Algorithm

(Authentifizierungsalgorithmus)

: Wählen Sie 

MD5

 für eine minimale Sicherheit 

oder 

SHA-1

 für eine höhere Sicherheit.

Key Group (Schlüsselgruppe):

 Wählen Sie 

DH2 

für eine höhere Sicherheit.

SA Life Time (SA-Dauer):

 Legen Sie fest, wie oft die ZyWALL die IKE SA wieder verhandelt (mindestens 180 

Sekunden). Eine kurze SA-Dauer erhöht die Sicherheit, bei der Verhandlung wird aber vorübergehend der 

VPN-Tunnel getrennt.

Pre-Shared Key (Vorgegebener Schlüssel):

 Geben Sie hier 8 bis 31 ASCII-Zeichen (Groß- und 

Kleinschreibung beachten) oder 16 bis 62 Hexadezimalzeichen ("0-9", "A-F") ein. Setzen Sie einem 

Hexadezimalschlüssel ein "0x” (Null x) voran, wird dieses nicht als Teil des 16 bis 32 Zeichen langen 

Schlüssels betrachtet.    

Encapsulation Mode (Verkapselungsmudus)

: 

Tunnel (Tunnel)

 ist kompatibel mit NAT, 

Transport

(Transport) 

nicht.

IPSec Protocol (IPSec-Protokoll)

: 

ESP

 ist kompatibel mit NAT,  

AH

 nicht. 

DEUTSCH

31

Perfect Forward Secrecy (PFS)

: 

None (Keine) 

ermöglicht ein schnelleres Einrichten des IPSec, 

DH1 

und 

DH2

 bieten aber mehr Sicherheit.

4

In diesem Fenster werden die IKE-

Tunneleinstellungen (Internet Key Exchange) 

konfiguriert. 

5

In diesem Fenster werden die IPSec-Einstellungen 

konfiguriert.

6

Prüfen Sie Ihre VPN-Einstellungen. Klicken Sie 

auf 

Finish (Fertig stellen)

, um die 

Einstellungen zu speichern. 

7

Klicken Sie beim letzten Fenster auf 

Close

(Schließen)

, um die Installation mit dem VPN-

Assistenten zu beenden.

Fahren Sie mit dem 

nächsten Abschnitt fort, um die VPN-Regel zu 

aktivieren und eine VPN-Verbindung herzustellen.