Atelier technique Juin 2008

Lionel CARVALHO, Technicien Support

Jérôme MARTINIERE, Chef Produit

Mid-Large(75-200 utilisateurs)

SMB(50-75 utilisateurs)

SB(<50 utilisateurs)

SOHO/Home

Enterprise200+

utilisateurs

Gamme Q4 2008

Gamme ZyWALLGamme Q3 2007

ZyWALL 70 UTM

ZyWALL 1050

ZyWALL 35 UTM

ZyWALL 5 UTM

ZyWALL P1

ZyWALL 2WG

ZyWALL 2 Plus

ZyWALL SSL10ZyWALL USG 200 (05/08)

ZyWALL USG 100 (05/08)

ZyWALL USG 1000

ZyWALL USG 300

ZyWALL USG 2000 (12/08)

ZyWALL P1

ZyWALL 2WG

ZyWALL 2 Plus

Gamme ZyWALL USGUSG 100 USG 200 USG 300 USG 1000 USG 2000

CPUFlash/DRAMSecuASIC

Freescale 8343E 255M/256MCIP1001 * 1

Freescale 8347E 256M/256MCIP1001 * 1

Freescale 8349E256M/512MCIP1001 * 2

Pentium M 1.8G256M/1G

CIP2001 * 1

Intel E6400256M/2G

CIP3001 * 1*

System

Firewall: 100M VPN: 50MUTM: 24MSession: 20kSession Rate: 1k

Firewall: 150MVPN: 75MUTM: 24MSession: 40kSession Rate: 1.4k

Firewall: 200MVPN: 100MUTM: 48MSession: 60kSession Rate: 2k

Firewall: 350MVPN: 150MUTM: 100MSession: 200kSession Rate: 13k

Firewall: 2GVPN: 500M*UTM: 400M*Session: 1kkSession Rate: 20k

InterfaceGigabit Ethernet

2*WAN, 5*LAN/DMZ

Gigabit Ethernet2*WAN, 1*OPT

4*LAN/DMZ

Gigabit Ethernet7 Configurable

Gigabit Ethernet5 Configurable

Gigabit Ethernet6 Configurable2 SFP (combo)

IPSec VPN 50 100 200 1000 2000

SSL VPN 2 -> 5 2 -> 10 2 -> 10 -> 25** 5 -> 50 -> 250** 5 -> 200 -> 750**

USB 2 2 2 2 2

Extension Slot 1 (Cardbus) 1 (Cardbus) 2 (Cardbus) 1 (Cardbus) 1 (Cardbus)

SFP Non Non Non Non Oui

* Avec module SEM pour le ZyWALL USG 2000** Avec futur firmware 2.11

SB

SMB

ZyWALL USG – Positionnement

Fonctions/ capacité

ZyWALLUSG 1000

ZyWALL USG 300

ZyWALLUSG 2000

ZyWALL USG 200

• 3 WANs• 50 IPSec, 10 SSL

• M-WANs• 200 IPSec• 25 SSL• 19”• Flexible Zone

• 300M FW• 1000 IPSec, 250 SSL • support

• SFP• Alimentation redondante• 2000 IPSec, 200 SSL

ZyWALLUSG 100

1. 2 WANs, 7 Giga ports, 2 USB2. FW 100M, IPSec 50M, UTM 24M3. 10~25 PC

1. 3 WANs, 7 Giga ports, 2 USB2. FW 150M, IPSec 75M, UTM 24M3. 25~50 PC

1. M WANs, 7 Giga ports, 2 USB2. FW 200M, IPSec 100M, UTM 48M3. 50~75 PC

1. M WANs, 5 ports Giga, 2 USB2. FW 350M, IPSec 150M, UTM 100M3. 75~200 PC

1. M WANs, 8 Giga ports, 2 USB2. FW 2G, IPSec 1G, UTM 500M3. 200~500 PC

Dispo.

Ent.

Dispo. Q4’08

Résilience- Répartition de charge - Multi WAN- Haute disponibilité VPN- Haute disponibilité Matérielle

Protection Proactive - Filtrage UTM AS/AV/IDP- Firewall SPI et ADP

Administrabilité- Configuration orientée objet- Reporting- Management centralisé

Contrôle et règles- Contrôle et filtrage IM/P2P- Règles par utilisateur / groupe

Investissement durable- Garantie matérielle 5 ans- Mise à jour gratuite - Pas de conditions d’accès au support- Coût de possession réduit

Connectivité Sécurisée- VPN IPSec avec routage- Accès distant VPN « Clientless » SSL

Atouts des ZyWALL USG?

Cibles des USG100/200

TPE et PME avec de 10 à 50 postes informatique avec des besoins de :

Accès et liaisons à distance (VPN IPSec et SSL) Contrôle de la productivité (IM/P2P, Filtrage de

contenu) Augmenter la rapidité des accès (Gestion de la bande

passante, Multi WAN) Accès à Internet permanent (Multi WAN et accès 3G)

ZyWALL USG 100LEDs:PWRSYSAUX CARD

Interfaces:(2) WAN1, WAN2: 10/100/1000(5) LAN/WLAN/DMZ: 10/100/1000 (2) USB: 2.0, clé 3G…etc

Interface:Console: DB-9 F

Interface:Dial-Backup/Dial-In OOB:DB-9 M

Alimentation:12VDC100~240VAC

Carte d’extension:Pour future mise à jour et 1. Carte 3G 2. Carte WiFi etc…

ZyWALL USG 200LEDs:PWRSYSAUX CARD

Interfaces:(2) WAN1, WAN2: 10/100/1000(1) Optional: 10/100/1000 (can be 3rd WAN, or additional LAN/DMZ)(5) LAN/WLAN/DMZ: 10/100/1000 (2) USB: 2.0, clé 3G…etc

Interface:Console: DB-9 F

Interface:Dial-Backup/Dial-In OOB:DB-9 M

Alimentation:12VDC100~240VAC

Carte d’extension:Pour future mise à jour et 1. Carte 3G 2. Carte WiFi etc…

Fonctions principales USG 100/200 ZLD 2.10

Fonctions principalesFonctions principales ZyWALL USG 100ZyWALL USG 100 ZyWALL USG 200ZyWALL USG 200

Firewall & NAT

Anti-Virus * (KAV/ZAV)

Anti-Spam *

VPN IPSec /SSL* / L2TP / / / /

Application patrol IM/P2P *

IDP/ADP * / /

Filtrage de contenu *

Support des cartes 3G et WiFi

Haute disponibilité

Rapport quotidien par mail

* Nécessite l’acquisition d’une licence

Performance et CapacitéPerformance / CapacitéPerformance / Capacité ZyWALL USG 100ZyWALL USG 100 ZyWALL USG 200ZyWALL USG 200

Interfaces 7 x ports Gigabit

2 x WAN25 x LAN/WLAN/DMZ

7 x ports Gigabit2 x WAN, 1 x OPT

4 x LAN/WLAN/DMZ

Chiffrement matériel DES/3DES/AES DES/3DES/AES

Accélération UTM SecuASIC (CIP-1001) SecuASIC (CIP-1001)

Bande passante Firewall SPI 100Mbps 150Mbps

Bande passante VPN IPSec 50Mbps 75Mbps

Bande passante VPN SSL 8Mbps 8Mbps

Sessions NAT simultanées 20 000 40 000

Création de session /s 1000 (sessions/sec) 1400 (sessions/sec)

Nonmbre maximal de VPN IPSec 50 100

Nonmbre maximal de VPN SSL 5 10

Requêtes RBL simultanées 100 150

Règles de routage “Policy” 200 500

Règles de routage statique 128 128

Mémoire tampon du filtrage de contenu 1024 2048

Consommation électrique 20 Watt max.

Licences

Licences iCardLicences iCard ZyWALL USG 100ZyWALL USG 100 ZyWALL USG 200ZyWALL USG 200Période Période

d’essaid’essai

Anti-Virus Kaspersky, 1 an 30 jours

Anti-Virus Kaspersky, 2 ans

Anti-Virus ZyXEL ICSA 1 an 30 jours

Anti-Virus ZyXEL ICSA 2 ans

IDP, 1 an 30 jours

IDP, 2 ans

Filtrage de contenu, 1 an 30 jours

Filtrage de contenu, 2 ans

Tunnels VPN SSL, 2 à 5 – 2 inclus

Tunnels VPN SSL, 2 à 10 – 2 inclus

ZyWALL USG 100/200 vs

ZyWALL 5/35 UTM

FonctionsFonctions ZyWALL UTMZyWALL UTM ZyWALL USGZyWALL USG

Interface 10/100 10/100/1000

Anti-Virus Oui, KAV Oui, KAV & ZAV(ICSA-Certified)

Contrôle IM/P2P Oui, limité Oui,amélioré

NAT + SPI Firewall (Certifié ICSA) Oui Oui

IDP/ADP Oui/ Oui Oui/ Oui

Filtrage de contenu Oui(BlueCoat) Oui(BlueCoat)

IPSec VPN (Certifié ICSA) Oui Oui

SSL VPN Non Oui

L2TP VPN Non Oui

Anti-Spam Oui Oui

Couplage LDAP / AD Non Oui

Bandwidth Management Oui Oui

Multiple WAN Load Balancing Oui Oui

3G Card Support Non Oui

User-Aware Non Oui

Authentification à deux facteurs Oui(ZyWALL OTP) Oui(ZyWALL OTP)

Device HA Non Oui(A-P mode)

Comparatif ZyWALL USG / ZyWALL UTM

ZyWALL USG 100 vs ZyWALL 5 UTM*

• Plus de ports• Gigabit Ethernet• VLAN

SecuASIC Intégré

USB, 3G

Double WAN

*: ZyWALL + carte turbo

ZyWALL USG 200 vs ZyWALL 35 UTM

USB, 3G

Port OPTSecuASIC Intégré

• Plus de ports• Gigabit Ethernet• VLAN

ZyWALL 5 UTM ZyWALL 35 UTM ZyWALL USG100 ZyWALL USG 200

Interface4 LAN/DMZ, 1 WAN

(10/100)4 LAN/DMZ, 2 WAN

(10/100)

5 LAN1/LAN2/DMZ, 2 WAN

(10/100/1000)

4 LAN1/LAN2/DMZ

2*WAN,1*OPT

(10/100/1000)

Tunnels VPN IPSec 10 35 50 100

Débit IPSec VPN 25Mbps 30Mbps 50Mbps 75Mbps

Firewall Performance 65Mbps 70Mbps 100Mbps 150Mbps

Débit UTM (AV+IDP) 12Mbps 18Mbps 24Mbps 40Mbps

Sessions NAT 4,000 10,000 20,000 40,000

RedondanceTraffic Redirect

Dial BackupMultiple WAN, Load Balancing, Fail-over, Fail-back,

Dial Backup, Traffic Redirect

Networking Bridge Mode, Policy Route, DDNS, DHCP, PPPoE

Management Web, CLI, Log, Alert, Wizard, Syslog, SNMP, CNM, VRPT

Comparatif ZyWALL USG / ZyWALL UTM

Anti-Virus

Support de deux bases de signatures AV :

• Kaspersky (3200 signatures)

• ZyXEL AV (Certifié ICSA, 8500 signatures)

Anti-Virus « Stream-based »

• Pas de limitation de la taille des fichiers ni de sessions simultanées

Protocoles supportés

• HTTP/SMTP/POP3/FTP/IMAP4

Archives compressées

• RAR/ZIP/GZIP/PKZIP

Licences Anti-Virus Période d’essai

• Une seule période d’essai de 30 jours, activation au choix de ZAV ou KAV• Modifiable jusqu’à la fin de la période d’essai : ZAV vers KAV, KAV vers ZAV

Licences

• ZyXEL AV: ZAV 1 an, ZAV, 2 ans

• Kaspersky AV: KAV, 1an, KAV 2 ans

• Un seul anti Virus peut être activé à la fois

• Quand une nouvelle licence est activée, le temps restant de l’ancienne licence est ajoutée à la durée de la nouvelle licence

Temps

Activation de la licence KAV

Activation de la licence ZAV

Durée de la Nouvelle licence ZAVDurée de la licence KAV

Date d’ expiration de la licence KAV

Durée restante de la licence KAV

Date d’expiration de la licence ZAV

Durée initiale de la licence ZAV

Anti-Spam Inspecte le trafic des messageries électroniques

utilisant les protocoles standards :

• SMTP: port TCP 25

• POP3: port TCP 110

Protection Anti-Spam activable zone par zone• L’inspection des mails est activable selon leur direction

Paramétrage White/Black• Par adresse IP, adresse Email, header ou sujet

Vérification et statistiques DNSBL

Rapports et statistiques Anti-Spam

Anti-Spam – Protection Zone à Zone

LAN

DMZ

Serveur Mail

Serveur de mails public

Protocole: SMTPAction: Rejet

INTERNET

Serveur de mails public

Protocole: SMTP / POP3Action: 1. POP3: Tag et transmet2. SMTP: Rejet

Protocole: SMTP / POP3Action:

POP3: Tag et transmetSMTP: Rejet

Anti-Spam – White List / Black List

Critères de comparaison

• Sujet– Recherche de mot clé dans le sujet

• Adresse IP• Adresse E-Mail

– Recherche de mot clé dans l’adresse mail

• Header du mail

Serveur Mail Open Relay148.204.182.89

Internet

DMZ

Serveur de mail interne

Spammer

Serveur DNSBL

ZyWALL USG

Serveur DNSSMTP

1. Le Spammer lance une session SMTP au travers du ZyWALL

2. Le ZyWALL retient l’adresse IP du serveur relais, inverse les nombres et ajoute le domaine DNSBL : (89.182.204.148.sbl-xbl.spamhaus.org)

4. Vérifie la réponse pour déterminer si l’adresse IP du serveur relais fait partie de la liste DNSBL• Pas dans la liste : transfert• Dans la liste : Action déterminée (rejet, tag)

3. Envoi d’une requête DNS pour l’adresse 89.182.204.148.sbl-xbl.spamhaus.org

Requête DNS

Anti-Spam – Fonctionnement DNSBL

http://en.wikipedia.org/wiki/Comparison_of_DNS_blacklists

Gestion IM/P2P (AppPatrol) Contrôle granulaire des applications IM/P2P

• Reconnait les applications ainsi que leurs fonctions pour des règles plus précises, ex : Connexion, Chat, transfert de fichiers, voix, vidéo

• 28 applications IM/P2P reconnues, mise à jour continue (licence IDP) Gestion de bande passante

• Supporte le BWM dans chaque règle ou pour chaque groupe d’utilisateurs

• Garantit ou limite la bande passante par protocole/application• Maximise l’utilisation de la bande passante en « empruntant » la

bande passante non utilisée dynamiquement Monitoring en temps réel

• Indique quelle application utilise quelle connexion (« Traffic Report »)• Illustre graphiquement l’utilisation de la bande passante par

application

Applications IM/P2P reconnues

Protocol Type Application Type/VersionCommon Filezilla 2.2.18, 2.2.19 (Active/Passive)

Common IE 6

Common Firefox 2.0, 1.5

Common Outlook Express 6

Protocol Type Application Type/VersionIM ICQ 5.1

IM Google Talk 1.0IM MSN (v7.5, v8.0)

IM QQ2006, QQ2007BetaIM Rediff 8.0IM Web ApplicationsIM Yahoo (8.1.0.195)

Protocol Type Application Type/VersionP2P Bitcommet 0.79P2P EzPeer Plus 1.0P2P Kazaa 3.2P2P Foxy 1.9P2P LimeWire 4.12P2P emule 0.47cP2P VagaaP2P KuroBangP2P Poco 2006P2P PPLive 1.7.26P2P QQLive 3.5P2P Soulseek 156/157test8P2P Thunder 5.5

Protocol Type Application Type/VersionStreaming RealMedia Player v6.0VoIP Netmeeting 3.01VoIP Windows Messenger 5.1

VoIP Gizmo 3.0

Granularité IM/P2P

VPN SSL et VPN IPSec

Liaison SSL-VPN IPSec-VPN

VPN site à site

Accès distant Paramétrage facile Paramétrage complexe

Coûts Site central Site central, client

Utilisation Idéal pour l’accès distant

Idéal pour interconnexion de

réseaux (site à site)

IPsec VPNSSL-VPN

Authentification à deux facteurs

Nécessite un serveur d’authentification

Utilisation des tokens « OTP » (One Time Password)

Télétravailleur

Partenaire autorisé

Itinérant

ZyWALL OTP

ZyXEL / Serveur Authenex

ZyWALL OTP

ZyWALL OTP

Internet

LAN

messagerie

Partage de fichiers

ApplicationWeb-based

supervision

Applicationmétier

OA, ERP,CRM

Connexion à Internet 3G

Usage• En tant que connexion à Internet principale, secondaire

ou de secours via le réseau GSM / 3G

Internet

Réseau 3G

USG100/200

Accès Internet

3G/3.5G

　 Sierra WirelessAC850 / AC860

Huawei E220

　

Radio HSDPA HSDPA

Max. Speed 1.8Mbps / 384Kbps 3.6Mbps / 384Kbps

Chipset MSM6275 MSM6280

I/O Interface UART USB

Cartes 3G Supportées

* De nouvelles interfaces 3G seront supportées dans les futurs microprogrammes

Support du WiFi

Les USG 100/200 supportent la carte G-170S Hot Plug Chiffrement / Authentification – WEP/WPA/WPA2 VLAN Filtrage par adresse MAC Zone séparée avec inspection par les fonctions de sécurité:

• Firewall

• Anti-virus

• Anti-Spam

• IDP

• Application Patrol

• Filtrage de contenu

• Contrôle de la bande passante

Monitoring en temps réel

Système de reporting simple Rapports envoyés par email à 5 destinataires maximum Fournit un rapport quotidien présentant :

• Etat des ressources système (graphique)– Utilisation du CPU– Utilisation de la mémoire– Etat de la table NAT– Utilisation des ports

• Statistiques: – IDP– AV– AS– Trafic réseau

Pour des rapports plus détaillés, utilisez VRPT (Fourni gratuitement avec les USG !)

Email de rapport quotidien

Email de rapport quotidien

Un système de reporting centralisé

• Collecte et analyse les logs (journaux) émis par les

appareils ZyXEL, pouvant se trouver sur différents

réseaux locaux ou distants

Facile d’utilisation

• Permet de simplifier l’étude des logs des appareils

ZyXEL associés

VRPT

VRPT

Surveillance facile et rapide de l’activité réseau

• Permet d’être rapidement informé de toute activité suspecte

• Offre aux administrateurs une vue rapide et détaillée du fonctionnement du réseau

Outil important pour l’infogérance

• Facilite la gestion et la maintenance préventive des équipements déployés

• Permet de fournir des rapports d’activité aux clients, de manière quotidienne ou hebdomadaire, dans le cadre par exemple d’un contrat de maintenance

Modèles supportés

• ZyWALL ZyNOS v3.62 ou supérieur (2,2P,5,35,70)

• ZyWALL 1050

• ZyWALL USG

Capacité

• Jusqu’à 100 appareils simultanément

• 1500 logs/seconde

VRPT

Monitoring en temps réel

Statistiques

Format personnalisable des rapports

Rapports automatisés par Email

• Quotidien

• Hebdomadaire Jusqu’à 500 profils de

rapports automatisés Format des rapports

• HTML• PDF

User Aware

Supporte la fonction User aware des ZyWALL USG avec couplage AD / LDAP et le Hostname reverse (traduction IP / Nom de domaine)

Analyse l’activité par utilisateur pour garantir la productivité

Passeport USG

Une journée de manipulation produit qui vous permettra de répondre à tous types de projets concernant la nouvelle gamme sécurité ZyWALL USG de ZyXEL

Support de cours, déjeuner, pauses et ZyWALL USG 100 compris : 500 EUR HT la journée par personne

Inscrivez-vous dès maintenant via le bon de commande pour le passeport USG dès Septembre 2008 sur :

Lyon, Mulhouse, Paris et Toulouse

Attention, nombre de places limité