Getting Started Guide: Symantec™ Gateway Security 300 Series

Getting started guide
Sym ante c ™ Ga t e w a y
Security 300 Se r i e s
This guide briefly describes the tasks and information Set up an Internet account that all your users
you need to configure, operate, and maintain your can share. Set up multiple Internet
secuirty gateway and provides references to where you connections for continuous access.
can find more information. The first time you access the security gateway, the Setup
This guide includes the following topics: Wizard guides you through configuring Internet
■ Set up an Internet account that all your users can connectivity for the security gateway. Using the Security
share. Set up multiple Internet connections for Gateway Management Interface (SGMI), you can
continuous access. configure a second Internet connection as a backup.
The Internet account or accounts that you set up using
■ Control traffic to and from your protected network. either the Setup Wizard or the SGMI can be shared by all
■ Secure your network. Grant network access to your computers that you connect through the LAN ports, or
remote users. that use the security gateway as a wireless access point.
■ Prevent and handle attacks. Keep hackers out. See Chapter 3, “Running the Setup Wizard” in the
■ Enforce virus protection on your network. Symantec Gateway Security 300 Series Installation Guide
for information on the Setup Wizard.
■ Control access to what users on your network can
view. Symantec Gateway Security 300 Series security gateways
provides additional ports for backup WAN connection
■ Automatically update your security gateway.
and software that automatically senses failures and
■ Maintain your security gateway. transfers WAN data through the backup connection.
Model 320 has a serial port to which an external dial-up
modem can be attached. Models 360 and 360R have a
second full-speed WAN port, in addition to the serial
port, to ensure continuous access.
See Chapter 3, “Configuring a connection to the outside
network” in the Symantec Gateway Security 300 Series
Administrator’s Guide for information on connecting
your security gateway to the Internet.
1
Control traffic to and from your protected Secure your network. Grant network access
network. to your remote users.
Symantec Gateway Security 300 Series protects Symantec Gateway Security 300 Series supports IPsec-
enterprise assets and business transactions with one of compliant Virtual Private Network (VPN) technology
the most secure, high-performance solutions for that lets you securely extend the boundaries of your
ensuring safe connections with the Internet and between internal network to use insecure communication
networks. The firewall component delivers security and channels (such as the Internet or wireless) to safely
speed, providing strong and transparent firewall transport sensitive data. VPNs are used to allow remote
protection against unwanted intrusion without slowing users or remote networks access to the protected
the flow of approved traffic on enterprise networks. resources of your network.
Using rules-based software, the security gateway lets you Symantec Gateway Security 300 Series supports three
define the type of traffic that can enter or leave your types of VPN tunnels: Gateway-to-Gateway, Client-to-
network. Gateway, and wireless LAN (WLAN) Client-to-Gateway
■ Inbound rules control the type of traffic flowing tunnels.
into application servers on your security gateway- Additive license/media kit options for Symantec
protected networks. When creating inbound rules, Gateway Security 300 Series Client-to-Gateway VPN
you must specify the applications server, the service, software allow concurrent client-to-gateway VPN
protocols, and ports that the rule allows. When an tunnels on all models. Licenses are available in 5 and 10
inbound rule exists, the firewall allows entry for concurrent session increments.
traffic matching the rule from any external host.
Securing your network connections using VPN
Note: By default, all inbound traffic is blocked. technology is an important step in ensuring the quality
and integrity of your data.
■ Outbound rules control the type of traffic leaving See Chapter 6, “Establishing Secure VPN Connections”
your protected network. By default, all internal in the Symantec Gateway Security 300 Series
computers have no restrictions on outbound access. Administrator’s Guide.
When you define an outbound rule for a given
computer group however, all other traffic is blocked Prevent and handle attacks. Keep hackers
unless an outbound rule is defined to allow it. out.
The security gateway also lets you configure special The Symantec Gateway Security 300 Series’ intrusion
applications that can be used for certain applications detection and intrusion prevention (IDS and IPS)
with two-way communication (such as games and video features help you to secure your organization against
conferencing). When a special application is enabled, it unwanted intruders and attacks. They let you monitor
acts as a global filter; it is not specific to any computer network traffic for suspicious behavior and respond to
group or inbound/outbound rule. When enabled, the detected intrusions in real time.
traffic specified can pass in either direction from any The intrusion detection component detects intrusion
host. attempts based on specific atomic signatures including
See Chapter 5, “Network Traffic Control” in the Teardrop, Back Orifice, Girlfriend, buffer overflows, and
Symantec Gateway Security 300 Series Administrator’s many others. As new firmware packages containing
Guide. more atomic signatures become available, Symantec’s
LiveUpdate technology, can download it to address new
threats well before they become security issues.
2
In addition to preventing attacks based on atomic See Chapter 7, “Advanced Network Traffic Control” in
signatures, the IDS and IPS components also offer the the Symantec Gateway Security 300 Series Administrator’s
following levels of protection: Guide.
■ IP spoofing protection
Automatically update your security
■ IP options verification
gateway.
■ TCP flag validation The key to security is vigilance. One of the best ways to
■ Trojan horse protection keep your network secure is to have the latest updates for
■ Port scan detection your security gateway. You can configure the security
gateway to automatically handle updates using
See Chapter 8, “Preventing Attacks” in the Symantec Symantec’s LiveUpdate technology.
Gateway Security 300 Series Administrator’s Guide.
Symantec Gateway Security 300 Series firmware can be
Enforce virus protection on your network. securely and automatically updated without user
involvement to apply updates or protection for new
Symantec Gateway Security 300 Series includes an threats.
antivirus policy enforcement (AVpe) feature that lets
you monitor client AV configurations and, if necessary, When enabled, the LiveUpdate component contacts
enforce security policies to restrict network access to Symantec’s LiveUpdate servers and checks for available
only those clients who are protected by antivirus updates. If updates are available, the security gateway
software with the most current virus definitions. downloads and applies them, and then restarts the
security gateway.
Implementing antivirus protection at each client
computer is an important step in protecting your The Symantec Gateway Security 300 Series LiveUpdate
network against viruses and other related threats that feature offers a Scheduler to help you minimize network
may enter your network through other means. The downtime from restarts. Using the Scheduler, you can
security gateway’s AVpe feature, when used with specify the exact time and day of week that you want the
supported Symantec antivirus products, provides a level security gateway to check for firmware updates. This
of assurance that clients are fully compliant with helps to ensure that network traffic is not interrupted
network security policies before they are allowed access during peak operating hours.
to your network. See chapter 9, “Logging, Monitoring, and Updates” in
See Chapter 7, “Advanced Network Traffic Control” in the Symantec Gateway Security 300 Series Administrator’s
the Symantec Gateway Security 300 Series Administrator’s Guide.
Guide.
Maintain your security gateway.
Control access to what users on your After you have installed and configured the functionality
network can view. on your security gateway, you should perform periodic
Symantec Gateway Security 300 Series supports content maintenance tasks. Use this list as a basis to create your
filtering for outbound traffic. You use content filtering own maintenance routine.
to restrict the content to which clients have access. For Based on growth
example, add to the allow list the URLs to known
■ Build VPN Gateway-to-Gateway tunnels to business
business-related sites such as www.cnn.com.
partners and remote offices.
Content filtering is administered through computer As you create relationships and expand to remote
groups. A computer group is a group of computers, offices, secure your traffic with VPN Gateway-to-
defined in the Firewall section, to which you apply the Gateway tunnels. See Chapter 6, “Establishing
same rules. When you define a computer group in the secure VPN connections” in the Symantec Gateway
Firewall section, you specify if the group uses a content Security 300 Series Administrator’s Guide.
filtering deny or allow list.
3
■ Enable secured Client-to-Gateway access to internal users by creating outbound firewall rules.
employees. See Chapter 5, “Network traffic control” in the
■ Expand your secured wireless local area network. Symantec Gateway Security 300 Series
Administrator’s Guide.
See Symantec Gateway Security 300 Series Wireless
Implementation Guide. ■ Troubleshoot user authentication problems with
RADIUS.
■ Enable dynamic user authentication for VPN
tunnels. Dynamic VPN clients (users) use RADIUS to
authenticate. You must set up a separate RADIUS
Dynamic users use RADIUS authentication for
server for this authentication. See Chapter 6,
their Client-to-Gateway tunnels. See Chapter 6,
“Establishing secure VPN connections” in the
“Establishing secure VPN connections” in the
Symantec Gateway Security 300 Series
■ Add new internal users to the security policy. Monthly
■ LiveUpdate the security gateway to the latest version
Daily of the firmware.
■ Monitor the security gateway status. Symantec Gateway Security 300 Series’s LiveUpdate
Current security gateway status is available on the includes a Scheduler that automatically checks for
main page when you log in, or by clicking Logging/ firmware updates. You should configure the
Monitoring > Status. You can get information like Scheduler to check for updates at least monthly.
the current build, the current WAN and LAN IP Also, if you prefer to check for updates manually,
addresses, and connection states. schedule this into regular monthly maintenance.
Status on many specific features is available in their See Chapter 9, “Logging, monitoring, and
respective sections. For example, for status on VPN maintenance” in the Symantec Gateway Security 300
tunnels, in the SGMI, click VPN > Status. Series Administrator’s Guide.
■ Respond to new virus threats and attacks. ■ Add new sites to the content filtering allow or deny
View the log daily to watch for attack patterns by list.
clicking Logging/Monitoring > View Log. Periodically you should monitor the types of traffic
Ensure that your clients have a supported Symantec that your internal clients are viewing and create
antivirus client with the latest virus signatures by content filtering rules to match your policies for
enabling AVpe. See Chapter 7, “Advanced network traffic. See Chapter 7, “Advanced network traffic
traffic control” in the Symantec Gateway Security control” in the Symantec Gateway Security 300
300 Series Administrator’s Guide. Series Administrator’s Guide.
■ Respond to internal calls on connections blocked by Monthly or based on changes at remote sites
content filtering or AVpe to help users with their AV ■ Improve Gateway-to-Gateway VPN tunnels to
updates. remote offices.
See Chapter 7, “Advanced network traffic control” When a remote office goes through a change (new
in the Symantec Gateway Security 300 Series ISP, new office, moving the servers, and so on), you
Administrator’s Guide for information on AVpe. may have to improve Gateway-to-Gateway VPN
Weekly or monthly tunnels. See Chapter 6, “Establishing secure VPN
connections” in the Symantec Gateway Security 300
■ Enable access to external applications by internal
Series Administrator’s Guide.
users. Enable access for external users to internal
applications.
You enable access to your network with inbound
firewall rules, and enable external access for your
4
As needed
■ Recover from power failures.
In the event of a power failure, traffic may be
interrupted. You can mitigate interruptions by
backing up the power with a universal power supply
(UPS).
If a LiveUpdate is occurring when the power fails,
the security gateway may revert to the last
successfully applied all.bin version of the firmware.
■ Communicate with Symantec Technical Support for
technical issues.
See Appendix A, “Troubleshooting” in the
Administrator’s Guide for information on
contacting Symantec Technical Support.
Where to get more information

Online Help is available for each tab by clicking the Help
button (blue circle with a question mark) at the top right
corner of each screen.
The following documents describe the Symantec
Gateway Security 300 Series functionality:
Symantec Gateway Security 300 Series Installation Guide
Symantec Gateway Security 300 Series Administrator’s
Guide
5
Erste Schritte
S ymante c ™ Ga t e w a y
S ecurity 300 Se r i e
Dieses Dokument enthält kurze Beschreibungen und Ein Internet-Konto einrichten, das alle Ihre
Informationen zur Konfiguration, Bedienung und War- Benutzer verwenden können. Mehrere Inter-
tung Ihres Sicherheits-Gateways sowie Referenzen zu net-Verbindungen für kontinuierlichen Zugriff
weiteren Informationen. einrichten.
Dieses Dokument behandelt folgende Themen: Wenn Sie zum ersten Mal auf das Sicherheits-Gateway
■ Ein Internet-Konto einrichten, das alle Ihre Benut- zugreifen, führt Sie der Setup-Assistent durch die Konfi-
zer verwenden können. Mehrere Internet-Verbin- guration der Internet-Konnektivität für das Sicherheits-
dungen für kontinuierlichen Zugriff einrichten. Gateway. Unter Verwendung des Security Gateway
Management Interface (SGMI) können Sie eine zweite
■ Datenverkehr von und zu Ihrem geschützten Netz- Internet-Verbindung als Ausweichverbindung konfigu-
werk steuern. rieren. Das bzw. die von Ihnen mit dem Setup-Assisten-
■ Netzwerk sichern. Remote-Benutzern Zugriff auf ten oder über das SGMI eingerichteten Internet-Konten
das Netzwerk gewähren. können von allen Computern verwendet werden, die Sie
■ Angriffe verhindern und darauf reagieren. Hackern über die LAN-Ports anschließen oder die das Sicherheits-
den Zugriff verwehren. Gateway als drahtlosen Zugangspunkt verwenden.
■ Virenschutz auf Ihrem Netzwerk durchsetzen. Informationen zum Setup-Assistenten finden Sie in
Kapitel 3, "Ausführen des Setup-Assistenten", im Instal-
■ Zugriff von Benutzern auf bestimmte Bereiche in
lationshandbuch zur Symantec Gateway Security
Ihrem Netzwerk steuern.
Appliance der 300er Serie.
■ Sicherheits-Gateway automatisch aktualisieren.
Sicherheits-Gateways der Symantec Gateway Security
■ Sicherheits-Gateway warten. 300 Serie bieten zusätzliche Ports für WAN-Ausweichver-
bindungen sowie Software, die Verbindungsfehler auto-
matisch erkennt und dann die WAN-Daten über die Aus-
weichverbindung weiterleitet.
1
Das Modell 320 verfügt über eine serielle Schnittstelle, an Darüber hinaus können Sie im Sicherheits-Gateway auch
die ein externes Modem angeschlossen werden kann. Die spezielle Anwendungen konfigurieren, die für bestimmte
Modelle 360 und 360R haben zusätzlich zur seriellen Anwendungen mit 2-Wege-Kommunikation (z. B. Spiele
Schnittstelle einen zweiten WAN-Port, der die volle oder Videokonferenzen) verwendet werden können.
Geschwindigkeit bietet, um einen unterbrechungsfreien Wenn eine spezielle Anwendung aktiviert ist, fungiert sie
Zugriff zu gewährleisten. als globaler Filter. Sie gilt nicht nur für eine bestimmte
Informationen zum Verbinden Ihres Sicherheits-Gate- Computer-Gruppe oder Eingangs- bzw. Ausgangsregel.
ways mit dem Internet finden Sie in Kapitel 3, "Konfigu- Wenn diese Funktion aktiviert ist, kann der angegebene
ration der Verbindung zu einem externen Netzwerk", im Datenverkehr zwischen den Clients und beliebigen Hosts
Administratorhandbuch zur Symantec Gateway Security in beiden Richtungen stattfinden.
Appliance der 300er Serie. Siehe Kapitel 5, "Steuerung des Netzwerkverkehrs", im
Administratorhandbuch zur Symantec Gateway Security
Datenverkehr von und zu Ihrem geschützten Appliance der 300er Serie.
Netzwerk steuern.
Die Symantec Gateway Security 300 Serie schützt Vermö- Netzwerk sichern. Remote-Benutzern Zugriff
genswerte und Geschäftstransaktionen von Unterneh- auf das Netzwerk gewähren.
men durch eine der sichersten und hochleistungsfähigs- Die Symantec Gateway Security 300 Serie unterstützt
ten Lösungen für die Gewährleistung sicherer Verbindun- IPsec-kompatible VPN-Technologie (Virtual Private
gen mit dem Internet und zwischen Netzwerken. Die Fire- Network), mit der Sie Ihr internes Netzwerk so erweitern
wall-Komponente bietet Sicherheit und Geschwindigkeit können, dass wichtige Daten über nicht gesicherte Kom-
und stellt durch den starken und transparenten Firewall- munikationskanäle (z.B. das Internet oder das drahtlose
Schutz sicher, dass keine unerwünschten Zugriffsversuche Netzwerk) sicher transportiert werden. VPNs werden
möglich sind, ohne dabei den zulässigen Datenverkehr im verwendet, um Remote-Benutzern oder Remote-Netz-
Unternehmensnetzwerk zu verlangsamen. werken den Zugriff auf geschützte Ressourcen in einem
anderen Netzwerk zu ermöglichen.
Mithilfe der regelbasierten Software können Sie im
Sicherheits-Gateway die Art von Datenverkehr definie- Die Symantec Gateway Security 300 Serie unterstützt
ren, der in Ihr Netzwerk gelangen oder es verlassen darf. drei Arten von VPN-Tunnels: Gateway-to-Gateway,
■ Eingangsregeln steuern den Datenverkehr, der an den Client-to-Gateway und Wireless LAN (WLAN) Client-
Anwendungs-Servern in Ihren durch das Sicherheits- to-Gateway.
Gateway geschützten Netzwerken eingeht. Beim Zusätzliche Lizenzen bzw. Medien-Kits für die Client-to-
Erstellen von Eingangsregeln müssen Sie angeben, Gateway-VPN-Software der Symantec Gateway Security
welche Anwendungs-Server, Dienste, Protokolle und 300 Serie ermöglichen mehrere gleichzeitig aktive Client-
Ports die Regel zulässt. Wenn eine Eingangsregel vor- to-Gateway-VPN-Tunnels auf allen Modellen. Lizenzen
handen ist, werden von externen Hosts gesendete sind für 5 und für 10 gleichzeitige Sitzungen erhältlich.
Daten zugelassen, die der Regel entsprechen.
Die Sicherung Ihrer Netzwerkverbindungen mithilfe der
Hinweis: Standardmäßig wird der gesamte einge- VPN-Technologie ist entscheidend, um die Qualität und
hende Datenverkehr blockiert. Integrität Ihrer Daten zu gewährleisten.
Siehe Kapitel 6, "Einrichten sicherer VPN-Verbindun-
■ Ausgangsregeln steuern die Art der Daten, die Ihr gen", im Administratorhandbuch zur Symantec Gateway
geschütztes Netzwerk verlassen. Standardmäßig Security Appliance der 300er Serie.
unterliegen alle internen Computer keinen Ein-
schränkungen für ausgehenden Datenverkehr.
Wenn Sie eine Ausgangsregel für eine bestimmte
Computer-Gruppe definieren, wird der übrige
Datenverkehr blockiert, bis Sie eine Ausgangsregel
definieren, die diesen Verkehr zulässt.
2
Angriffe verhindern und darauf reagieren. Die Implementierung von Virenschutz auf jedem Client-
Hackern den Zugriff verwehren. Computer ist ein wichtiger Schritt zum Schutz Ihres
Die Funktionen "Intrusion Detection" und "Intrusion Netzwerks vor Viren und anderen Bedrohungen. Die
AVpe-Funktion des Sicherheits-Gateways bietet bei Ver-
Prevention" (IDS und IPS) der Symantec Gateway Secu-
rity 300 Serie helfen Ihnen, Ihr Unternehmen vor uner- wendung mit einem unterstützten Symantec-Antivirus-
wünschten Eindringlingen und Angriffen zu schützen. Produkt einen Grad an Sicherheit, der gewährleistet, dass
Mit ihnen können Sie den Netzwerkverkehr auf verdäch- Clients beim Zugriff auf Ihr Netzwerk vollständig den
tiges Verhalten überwachen und in Echtzeit auf Zugriffs- Netzwerk-Sicherheitsrichtlinien entsprechen.
versuche reagieren. Siehe Kapitel 7, "Erweiterte Steuerung des Netzwerkver-
Die Intrusion Detection-Komponente erkennt unbe- kehrs", im Administratorhandbuch zur Symantec Gateway
fugte Zugriffsversuche anhand von spezifischen atomi- Security Appliance der 300er Serie.
schen Signaturen, darunter Teardrop, Back Orifice, Girl-
friend, Pufferüberläufe und viele andere. Sobald neue Zugriff von Benutzern auf bestimmte Bereiche
Firmware-Pakete mit weiteren atomischen Signaturen in Ihrem Netzwerk steuern.
verfügbar werden, können diese mit LiveUpdate von Die Symantec Gateway Security 300 Serie unterstützt das
Symantec heruntergeladen werden, um das Netzwerk vor Content Filtering für ausgehenden Datenverkehr. Mit-
neuen Bedrohungen zu schützen. hilfe von Content Filtering können Sie festlegen, auf wel-
che Inhalte Clients Zugriff haben sollen. Fügen Sie bei-
Neben der Abwehr von Angriffen anhand von atomi-
spielsweise die URL-Adressen von bekannten Sites wie
schen Signaturen bieten die IDS- und IPS-Komponenten
www.symantec.de zur Liste vom Typ "Zulassen" hinzu.
außerdem folgenden Schutz:
■ IP-Spoof-Schutz Die Content Filtering-Funktion wird mithilfe von Com-
puter-Gruppen verwaltet. Computer-Gruppen sind im
■ Überprüfung der IP-Optionen Firewall-Abschnitt definierte Gruppen, für die dieselben
■ TCP-Flag-Validierung Regeln gelten. Wenn Sie eine Computer-Gruppe im Fire-
■ Schutz vor Trojanern wall-Abschnitt definieren, geben Sie an, ob die Gruppe
für das Content Filtering Listen vom Typ "Ablehnen"
■ Port-Scan-Erkennung oder Listen vom Typ "Zulassen" verwendet.
Siehe Kapitel 8, "Verhindern von Angriffen", im Adminis- Siehe Kapitel 7, "Erweiterte Steuerung des Netzwerkver-
tratorhandbuch zur Symantec Gateway Security Appliance kehrs", im Administratorhandbuch zur Symantec Gateway
der 300er Serie. Security Appliance der 300er Serie.
Virenschutz auf Ihrem Netzwerk durchsetzen. Sicherheits-Gateway automatisch aktualisieren.

Die Symantec Gateway Security 300 Serie enthält eine Der Schlüssel zur Sicherheit ist Wachsamkeit. Die größt-
Funktion zur Einhaltung von Virenschutz-Richtlinien mögliche Sicherheit für Ihr Netzwerk ist gewährleistet,
(AVpe), mit der Sie Client-AV-Konfigurationen überwa- wenn Sie über die neuesten Updates für Ihr Sicherheits-
chen und bei Bedarf Sicherheitsrichtlinien durchsetzen Gateway verfügen. Sie können das Sicherheits-Gateway
können, um den Netzwerkzugriff auf jene Clients zu so konfigurieren, dass es Updates automatisch mithilfe
beschränken, die durch Antivirus-Software mit den aktu- der LiveUpdate-Technologie von Symantec herunterlädt
ellsten Virendefinitionen geschützt sind. und installiert.
3
Firmware der Symantec Gateway Security 300 Serie kann ■ Aktivieren Sie die dynamische Benutzerauthentifi-
sicher und automatisch aktualisiert werden, um Updates zierung für VPN-Tunnels.
oder Schutz vor neuen Bedrohungen zu implementieren. Dynamische Benutzer verwenden die RADIUS-
Wenn die LiveUpdate-Komponente aktiviert ist, stellt sie Authentifizierung für die Client-to-Gateway-Tun-
eine Verbindung zu den LiveUpdate-Servern von Syman- nels. Siehe Kapitel 6, "Einrichten sicherer VPN-Ver-
tec her und prüft, ob Updates verfügbar sind. Ist dies der bindungen", im Administratorhandbuch zur
Fall, werden die Updates auf das Sicherheits-Gateway Symantec Gateway Security Appliance der 300er Serie.
heruntergeladen und installiert. Anschließend wird das ■ Fügen Sie neue interne Benutzer zu den Sicherheits-
Sicherheits-Gateway neu gestartet. richtlinien hinzu.
Die LiveUpdate-Funktion der Symantec Gateway Secu-
Täglich
rity 300 Serie bietet einen Planer, mit dem Sie die Netz-
werk-Ausfallzeiten durch Neustarts minimieren können. ■ Überwachen Sie den Sicherheits-Gateway-Status.
Mithilfe des Planers können Sie die genaue Uhrzeit und Der aktuelle Sicherheits-Gateway-Status wird nach
den genauen Wochentag festlegen, an dem das Sicher- Ihrer Anmeldung auf der Hauptseite angezeigt oder
heits-Gateway nach Firmware-Updates suchen soll. So indem Sie "Protokoll/Überwachen > Status" wählen.
stellen Sie sicher, dass der Netzwerkverkehr nicht zu den Sie erhalten Informationen zum aktuellen Build,
Hauptgeschäftszeiten unterbrochen wird. den aktuellen WAN- und LAN-IP-Adressen sowie
zum Verbindungsstatus.
Siehe Kapitel 9, "Protokollierung, Überwachung und
Updates", im Administratorhandbuch zur Symantec Der Status zu vielen spezifischen Funktionen ist in
Gateway Security Appliance der 300er Serie. den jeweiligen Abschnitten verfügbar. Beispielsweise
erhalten Sie den Status von VPN-Tunnels im SGMI,
Sicherheits-Gateway warten. indem Sie auf "VPN > Status" klicken.
Nachdem Sie die Funktionalität auf Ihrem Sicherheits- ■ Reagieren Sie auf neue Virenbedrohungen und
Gateway installiert und konfiguriert haben, sollten Sie Angriffe.
regelmäßig Wartungsaufgaben durchführen. Verwenden Prüfen Sie täglich das Protokoll, um nach Angriffs-
Sie nachfolgende Liste als Basis für Ihre individuelle War- mustern zu suchen, indem Sie "Protokoll/Überwa-
tungsroutine. chen > Protokoll anzeigen" wählen.
Stellen Sie sicher, dass Ihre Clients einen unterstütz-
Basierend auf Wachstum
ten AntiVirus-Client von Symantec mit den neues-
■ Erstellen Sie VPN-Gateway-to-Gateway-Tunnels zu
ten Virensignaturen installiert haben, indem Sie
Geschäftspartnern und standortfernen Niederlas-
AVpe aktivieren. Siehe Kapitel 7, "Erweiterte Steue-
sungen. rung des Netzwerkverkehrs", im Administrator-
Wenn Sie Geschäftsbeziehungen aufbauen und neue handbuch zur Symantec Gateway Security Appliance
Niederlassungen gründen, sichern Sie Ihren Netz- der 300er Serie.
werkverkehr mit VPN-Gateway-to-Gateway-Tun-
■ Reagieren Sie auf interne Benachrichtigungen über
nels. Siehe Kapitel 6, "Einrichten sicherer VPN-
Verbindungen, die von der Content Filtering- oder
Verbindungen", im Administratorhandbuch zur
AVpe-Funktion blockiert wurden, um Benutzern bei
Symantec Gateway Security Appliance der 300er Serie.
ihren AV-Updates zu helfen.
■ Ermöglichen Sie einen sicheren Client-to-Gateway- In Kapitel 7, "Erweiterte Steuerung des Netzwerk-
Zugriff für Ihre Mitarbeiter.
verkehrs", im Administratorhandbuch zur Symantec
■ Erweitern Sie Ihr gesichertes Wireless Local Area Gateway Security Appliance der 300er Serie finden Sie
Network (WLAN). weitere Informationen zu AVpe.
Weitere Informationen hierzu finden Sie im
Symantec Gateway Security 300 Wireless Implemen-
tierungshandbuch.
4
Wöchentlich oder monatlich Monatlich oder basierend auf Änderungen
■ Ermöglichen Sie den Zugriff auf externe Anwendun- an Remote-Sites
gen durch interne Benutzer. Ermöglichen Sie den ■ Verbessern Sie die Gateway-to-Gateway-VPN-Tun-
Zugriff von externen Benutzern auf interne Anwen- nels zu den standortfernen Niederlassungen.
dungen. Wenn bei einer Niederlassung eine Veränderung
Den Zugriff auf Ihr Netzwerk ermöglichen Sie durch vorgenommen wird (neuer Internet-Dienstanbieter,
Firewall-Eingangsregeln, den externen Zugriff für neues Büro, Verschiebung der Server an einen ande-
interne Benutzer ermöglichen Sie durch Firewall- ren Standort, etc.), müssen Sie möglicherweise die
Ausgangsregeln. Siehe Kapitel 5, "Steuerung des Gateway-to-Gateway-VPN-Tunnels verbessern.
Netzwerkverkehrs", im Administratorhandbuch zur Siehe Kapitel 6, "Einrichten sicherer VPN-Verbin-
Symantec Gateway Security Appliance der 300er Serie. dungen", im Administratorhandbuch zur Symantec
Gateway Security Appliance der 300er Serie.
■ Beheben Sie Benutzerauthentifizierungsprobleme
mit RADIUS. Bei Bedarf
Dynamische VPN-Clients (Benutzer) verwenden ■ Wiederherstellung nach Stromausfall.
RADIUS zur Authentifizierung. Sie müssen einen Im Fall eines Stromausfalls wird der Netzwerkver-
separaten RADIUS-Server für diese Authentifizie- kehr möglicherweise unterbrochen. Sie können
rung einrichten. Siehe Kapitel 6, "Einrichten sicherer diese Unterbrechungen vermeiden, indem Sie eine
VPN-Verbindungen", im Administratorhandbuch USV als Sicherung bei Stromausfällen installieren.
zur Symantec Gateway Security Appliance der 300er
Wird gerade ein LiveUpdate-Vorgang ausgeführt,
Serie.
wenn der Strom ausfällt, kehrt das Sicherheits-Gate-
Monatlich way zur letzten erfolgreich angewandten all.bin-
■ Aktualisieren Sie das Sicherheits-Gateway mit Version der Firmware zurück.
LiveUpdate auf die neueste Firmware-Version. ■ Wenden Sie sich bei technischen Fragen an die Tech-
Die LiveUpdate-Funktion der Symantec Gateway nische Unterstützung von Symantec.
Security 300 Serie umfasst einen Planer, der auto- Weitere Informationen zur Technischen Unterstüt-
matisch nach Firmware-Updates sucht. Sie sollten zung von Symantec finden Sie in Anhang A, "Fehler-
den Planer so konfigurieren, dass er mindestens ein- behebung" im Administratorhandbuch zur Symantec
mal im Monat nach Updates sucht. Wenn Sie es vor- Gateway Security Appliance der 300er Serie.
ziehen, manuell nach Updates zu suchen, sollten Sie
dies im Rahmen der monatlichen Wartung tun. Weitere Informationsquellen
Siehe Kapitel 9, "Protokollierung, Überwachung Sie können für die einzelnen Registerkarten die Online-
und Updates", im Administratorhandbuch zur Hilfe aufrufen, indem Sie auf die Hilfeschaltfläche
Symantec Gateway Security Appliance der 300er Serie. (blauer Kreis mit einem Fragezeichen) in der rechten
■ Fügen Sie neue Sites zur Content Filtering-Liste vom oberen Ecke des Bildschirms klicken.
Typ "Zulassen" oder "Ablehnen" hinzu.
In den folgenden Dokumenten werden die Funktionen
In regelmäßigen Abständen sollten Sie die Arten von der Symantec Gateway Security 300 Serie beschrieben:
Daten überprüfen, die Ihre internen Clients abru-
fen, und Content Filtering-Regeln erstellen, damit Installationshandbuch zur Symantec Gateway Security
die Daten den Sicherheitsrichtlinien für den Netz- Appliance der 300er Serie
werkverkehr entsprechen. Siehe Kapitel 7, "Erwei- Administratorhandbuch zur Symantec Gateway Security
terte Steuerung des Netzwerkverkehrs", im Adminis- Appliance der 300er Serie
tratorhandbuch zur Symantec Gateway Security
Appliance der 300er Serie.
5
Guide de prise en main
S ecurity 300
Ce guide décrit brièvement les tâches requises pour Configurez un compte Internet partagé par
configurer, utiliser et maintenir votre passerelle de tous les utilisateurs. Configurez des
sécurité. Il vous indique également où trouver des connexions Internet multiples pour accès
informations supplémentaires. permanent.
Ce guide traite des rubriques suivantes : La première fois que vous accédez à la passerelle de
■ Configurez un compte Internet partagé par tous les sécurité, l’assistant d’installation vous guide tout au long
utilisateurs. Configurez des connexions Internet de la configuration initiale de la connexion à Internet.
multiples pour accès permanent. L'interface SGMI (Security Gateway Management
Interface) vous permet de configurer une seconde
■ Contrôlez le trafic en provenance et à destination de connexion Internet, destinée à servir de sauvegarde. Les
votre réseau protégé. comptes Internet que vous configurez avec l'assistant
■ Sécurisez votre réseau. Accordez l'accès à vos d'installation ou SGMI peuvent être partagés par tous les
utilisateurs distants. ordinateurs connectés aux ports de réseau local ou
■ Evitez et traitez les attaques. Interdisez l'entrée aux utilisant la passerelle de sécurité comme point d'accès
pirates. sans fil.
■ Imposez la protection antivirus au réseau Pour des informations sur l'assistant d'installation,
reportez-vous au chapitre 3, "Assistant d'installation",
■ Contrôlez l'accès de vos utilisateurs aux ressources
du Guide d'installation de Symantec Gateway Security
du réseau.
300.
■ Actualisez automatiquement la passerelle de
La passerelle de sécurité Symantec Gateway Security 300
sécurité.
comporte des ports supplémentaires pour une
■ Maintenez la passerelle de sécurité. connexion de réseau étendu de secours. Son logiciel
détecte automatiquement les défaillances et transfère les
données du réseau étendu sur la connexion de secours.
1
Le modèle 320 est doté d'un port série qui peut recevoir La passerelle de sécurité permet de configurer des
un modem externe de connexion à distance. Les applications spéciales pour certaines applications
modèles 360 et 360R sont dotés d'un second port de utilisant des communications bidirectionnelles (comme
réseau étendu haute vitesse, en plus du port série, pour les jeux et la vidéoconférence). Lorsqu'une application
garantir un accès ininterrompu. spéciale est activée, elle se comporte comme un filtre
Pour des informations sur la connexion de la passerelle de global : sa portée n'est pas spécifique à un groupe
sécurité à Internet, reportez-vous au chapitre 3, d'ordinateurs ou à une règle de trafic sortant ou entrant.
"Configuration d'une connexion au réseau externe", du Une fois l'application spéciale activée, le trafic spécifié
Guide de l'administrateur de Symantec Gateway Security peut passer dans les deux directions depuis tous les
300. hôtes.
Reportez-vous au chapitre 5, "Supervision du trafic
Contrôlez le trafic en provenance et à réseau", du Guide de l’administrateur de Symantec
destination de votre réseau protégé. Gateway Security 300.
Symantec Gateway Security 300 protège les actifs
d'entreprise et les transactions professionnelles avec une Sécurisez votre réseau. Accordez l'accès à
des solutions les plus sécurisées et les plus performantes vos utilisateurs distants.
du marché, garantissant des connexions sécurisées avec Le boîtier Symantec Gateway Security 300 prend en
Internet et entre les réseaux. Fiable et rapide, le charge les VPN (Virtual Private Networks – réseaux
composant pare-feu assure une protection élevée et privés virtuels) compatibles IPsec. Cette technologie
transparente contre les intrusions, sans ralentir le flux permet d'étendre les frontières de votre réseau interne en
du trafic licite sur le réseau de l'entreprise. utilisant des canaux de communication non sécurisés
En utilisant un logiciel basé sur des règles, la passerelle (comme Internet) pour transporter des donnés sensibles
de sécurité vous permet de définir le type de trafic qui de manière sécurisée. Les VPN vous permettent
sera autorisé à entrer sur le réseau ou à en sortir. d'autoriser un utilisateur ou un réseau distant à accéder
aux ressources protégées de votre réseau.
■ Les règles de trafic entrant contrôlent les types de
trafic à destination des serveurs d'application Les boîtiers Symantec Gateway Security 300 prennent en
présents sur les réseaux protégés par la passerelle de charge trois types de tunnels VPN : entre passerelles,
sécurité. Lorsque vous créez des règles de trafic client à passerelle et client à passerelle sans fil.
entrant, vous devez spécifier le serveur Des options de licences additives et de kit de support
d'application, le service, les protocoles et les ports pour le logiciel de VPN client-passerelle autorisent des
autorisés par la règle. Quand une règle de trafic tunnels VPN simultanés avec tous les modèles de boîtier
entrant a été définie, le pare-feu autorise tout trafic Symantec Gateway Security 300. Les licences sont
d'un hôte externe correspondant à la règle. proposées par modules de 5 et 10 sessions simultanées.
Remarque : Par défaut, tout trafic entrant est La sécurisation de vos connexions réseau à l'aide de VPN
bloqué. est un élément majeur pour assurer la qualité et
l'intégrité de vos données.
■ Les règles de trafic sortant contrôlent les types de Reportez-vous au chapitre 6, "Etablissement de
trafic quittant votre réseau protégé. Par défaut, il n'y connexions VPN sécurisées", du Guide de
a aucune restriction d'accès sortant sur les l’administrateur de Symantec Gateway Security 300.
ordinateurs internes. Lorsque vous définissez une
règle de trafic sortant pour un groupe d'ordinateurs
déterminé, tous les autres trafics sont bloqués sauf si
vous définissez une règle de trafic sortant pour
autoriser chacun de ces trafics.
2
Evitez et traitez les attaques. Interdisez Reportez-vous au chapitre 7, "Supervision avancée du
l'entrée aux pirates. trafic réseau", du Guide de l’administrateur de Symantec
Gateway Security 300.
Le boîtier Symantec Gateway Security 300 intègre des
fonctions de détection et de prévention des intrusions
(IDS/IPS) qui protègent votre entreprise contre les Contrôlez l'accès de vos utilisateurs aux
intrus et les attaques. Elles permettent de contrôler le ressources du réseau.
trafic réseau pour détecter les activités douteuses et Symantec Gateway Security 300 prend en charge le
bloquer les intrusions en temps réel. filtrage de contenu du trafic sortant. Vous pouvez utiliser
le filtrage de contenu pour restreindre les contenus
La détection d'intrusion détecte les attaques sur la base
auxquels les clients ont accès. Ajoutez, par exemple, à la
de signatures spécifiques incluant Teardrop, Back
liste d'autorisations les URL de sites à usage
Orifice, Girlfriend, les débordements de tampon et bien
professionnel tels que www.cnn.com.
d'autres. Quand de nouveaux paquets contenant
d'autres signatures sont publiés, la technologie Le filtrage de contenu est administré par l'intermédiaire
LiveUpdate de Symantec les télécharge pour faire face de groupes d'ordinateurs. Un groupe d'ordinateurs est
aux nouvelles menaces avant qu'elles ne constituent un un ensemble de machines, défini dans la section Pare-
risque de sécurité. feu, auquel vous appliquez les mêmes règles. Lorsque
vous définissez un groupe d'ordinateurs, vous spécifiez si
Outre une protection contre les attaques basée sur les
le groupe doit utiliser un filtrage de contenu basé sur
signatures, les composants IDS et IPS assurent les
une liste d'interdictions ou sur une liste d'autorisations.
niveaux de protection suivants :
■ protection d'interrogation IP (spoofing) Reportez-vous au chapitre 7, "Supervision avancée du
trafic réseau", du Guide de l’administrateur de Symantec
■ vérification des options IP Gateway Security 300.
■ validation d'indicateur TCP
■ protection contre les chevaux de Troie Actualisez automatiquement la passerelle de
sécurité.
■ détection d'analyse de port
La vigilance est la clé de la sécurité. L'un des éléments les
Reportez-vous au chapitre 8, "Prévention des attaques", plus importants pour maintenir la sécurité du réseau est
du Guide de l’administrateur de Symantec Gateway de disposer des dernières mises à jour pour la passerelle
Security 300. de sécurité. Vous pouvez configurer celle-ci pour gérer
automatiquement les mises à jour en exploitant la
Imposez la protection antivirus au réseau technologie LiveUpdate de Symantec.
Symantec Gateway Security 300 comporte la fonction Le micrologiciel de Symantec Gateway Security 300 peut
d’application de la stratégie antivirus (AVpe). Celle-ci être actualisé automatiquement et en toute fiabilité, sans
permet de contrôler la configuration antivirus des intervention de l'utilisateur, pour faire face aux
clients et, si nécessaire, d'imposer l’application de nouvelles menaces avec des mises à jour de la protection.
stratégies de sécurité pour réserver l’accès au réseau aux
clients protégés par un logiciel antivirus utilisant les Une fois activé, le composant LiveUpdate contacte les
définitions de virus les plus récentes. serveurs de Symantec et vérifie la présence de mises à
jour. Si des mises à jour sont disponibles, la passerelle de
La mise en œuvre d'une protection antivirus sur chaque sécurité les télécharge et les applique, puis redémarre la
ordinateur client est une étape essentielle de la protection passerelle.
du réseau contre les virus et autres menaces apparentées
susceptibles d'entrer sur le réseau par d'autres moyens.
Utilisée conjointement aux produits antivirus Symantec,
la fonction AVpe de la passerelle de sécurité garantit la
conformité des clients aux stratégies de sécurité en
vigueur avant de les autoriser à accéder au réseau.
3
La fonction LiveUpdate de Symantec Gateway Security Chaque jour
300 comporte un programmateur afin de limiter les ■ Contrôlez l'état de la passerelle de sécurité.
périodes d'indisponibilité du réseau. Le programmateur Vous obtenez l'état de la passerelle de sécurité lors
vous permet de spécifier l'heure et la date exactes d'une connexion ou en cliquant sur Consignation/
auxquelles vous souhaitez que la passerelle de sécurité suivi > Etat. Des informations sont disponibles sur
vérifie la disponibilité de mises à jour du micrologiciel. le numéro de version, l'adresse IP de réseau étendu
Vous évitez ainsi que le trafic réseau ne soit interrompu et local, et l'état des connexions.
aux heures de pointe.
L'état des fonctionnalités est indiqué dans les
Reportez-vous au chapitre 9, "Consignation, suivi et sections correspondantes. Par exemple, cliquez sur
mises à jour", du Guide de l’administrateur de Symantec VPN > Etat pour obtenir des informations sur l'état
Gateway Security 300. des tunnels VPN.
■ Réagissez aux nouveaux virus et aux attaques.
Maintenez la passerelle de sécurité. Consultez le journal chaque jour pour anticiper les
Après avoir installé et configuré la passerelle de sécurité, attaques en cliquant sur Consignation/suivi >
vous devez effectuer périodiquement des tâches de Afficher le journal.
maintenance. Utilisez cette liste comme base pour Activez Avpe pour vous assurer que vos clients
planifier votre maintenance. utilisent un logiciel antivirus Symantec pris en
Selon l'évolution charge et doté des dernières signatures de virus.
Reportez-vous au chapitre 7, "Supervision avancée
■ Créez des tunnels VPN entre passerelles pour
du trafic réseau", du Guide de l’administrateur de
communiquer avec les partenaires professionnels et
Symantec Gateway Security 300.
les filiales distantes.
Quand vous établissez de nouvelles relations et ■ Réagissez aux appels internes sur des connexions
développez des implantations, sécurisez votre trafic bloquées par le filtrage de contenu ou Avpe pour
avec des tunnels VPN entre passerelles. Reportez- aider les utilisateurs à mettre à jour leur logiciel
vous au chapitre 6, "Etablissement de connexions antivirus.
VPN sécurisées", du Guide de l’administrateur de Reportez-vous au chapitre 7, "Supervision avancée
Symantec Gateway Security 300. du trafic réseau", du Guide de l’administrateur de
Symantec Gateway Security 300 pour des
■ Etablissez un accès sécurisé client-passerelle pour
informations sur AVpe.
les employés.
■ Déployez un réseau local sans fil sécurisé. Chaque semaine ou chaque mois
Reportez-vous au Guide de mise en œuvre du réseau ■ Activez l'accès des utilisateurs internes aux
sans fil Symantec Gateway Security 300. applications externes. Activez l'accès des utilisateurs
externes aux applications internes.
■ Activez l'authentification dynamique d'utilisateur
sur les tunnels VPN. Vous autorisez l'accès au réseau avec des règles de
trafic entrant et vous autorisez l'accès externe à vos
Les utilisateurs dynamiques se servent de
utilisateurs internes avec des règles de trafic sortant.
l'authentification RADIUS pour leurs tunnels
Reportez-vous au chapitre 5, "Supervision du trafic
client-passerelle. Reportez-vous au chapitre 6,
réseau", du Guide de l’administrateur de Symantec
"Etablissement de connexions VPN sécurisées", du
Guide de l’administrateur de Symantec Gateway
Security 300.
■ Ajoutez de nouveaux utilisateurs internes à la
stratégie de sécurité.
4
■ Dépannez les problèmes d'authentification des Selon les besoins
utilisateurs avec RADIUS. ■ Effectuez une restauration en cas de problèmes
Les clients VPN dynamiques (utilisateurs) passent d'alimentation.
par RADIUS pour s'authentifier. Vous devez En cas de défaillance de l'alimentation, le trafic
configurer un serveur RADIUS indépendant pour risque d'être interrompu. Vous pouvez limiter les
cette authentification. Reportez-vous au chapitre 6, interruptions en protégeant l'alimentation avec une
"Etablissement de connexions VPN sécurisées", du UPS (alimentation ininterruptible).
Guide de l’administrateur de Symantec Gateway Si une session LiveUpdate est en cours lors de la
Security 300. coupure de courant, la passerelle de sécurité peut se
Chaque mois réinitialiser sur la dernière version du micrologiciel
correctement appliquée.
■ Utilisez LiveUpdate pour actualiser la passerelle de
sécurité avec la version la plus récente du ■ Contactez le support technique Symantec en cas de
micrologiciel. problème.
La fonction LiveUpdate de Symantec Gateway Reportez-vous à l'annexe A, "Dépannage" du Guide
Security 300 comporte un programmateur qui de l’administrateur de Symantec Gateway Security
vérifie automatiquement la disponibilité des mises à 300 pour des informations sur le support technique
jour. Vous devez configurer le programmateur pour Symantec.
effectuer cette vérification au moins une fois par
mois. Si vous préférez vérifier manuellement la Pour plus d’informations
présence de mises à jour, planifiez une procédure Une aide en ligne est disponible pour chaque onglet, en
mensuelle. Reportez-vous au chapitre 9, cliquant sur le cercle bleu contenant un point
"Consignation, suivi et mises à jour", du Guide de d'interrogation situé dans le coin supérieur droit de
l’administrateur de Symantec Gateway Security 300. l'écran.
■ Ajoutez de nouveaux sites à la liste d'autorisations Les fonctionnalités du boîtier Symantec Gateway
ou d'interdictions du filtrage de contenu. Security 300 sont décrites dans les guides suivants :
Vous devez contrôler périodiquement le type de
trafic de vos clients internes et créer des règles de Guide d’installation de Symantec Gateway Security 300
filtrage de contenu en accord avec votre stratégie. Guide de l’administrateur de
Reportez-vous au chapitre 7, "Supervision avancée Symantec Gateway Security 300
du trafic réseau", du Guide de l’administrateur de
Chaque mois ou en fonction des changements sur les

sites distants
■ Faites évoluer les tunnels VPN entre passerelles vers
les filiales distantes.
Quand une filiale subit des modifications (nouveau
FAI, nouveaux bureaux, déplacement des serveurs,
etc.), il peut être nécessaire d'optimiser les tunnels
VPN entre passerelles. Reportez-vous au chapitre 6,
"Etablissement de connexions VPN sécurisées", du
Guide de l’administrateur de Symantec Gateway
Security 300.
5
Guida introduttiva
Security Se r i e 300
Questa guida descrive brevemente le attività e le Configurazione di un account Internet

informazioni necessarie per configurare, far funzionare e condiviso da tutti gli utenti. Configurazione di
mantenere il gateway di sicurezza e indica dove trovare più connessioni a Internet per un accesso
ulteriori informazioni. costante.
Questa guida tratta i seguenti argomenti: La prima volta che si accede al gateway di sicurezza, la
■ Configurazione di un account Internet condiviso da Configurazione guidata fornisce le istruzioni per
tutti gli utenti. Configurazione di più connessioni a configurare la connettività a Internet. Mediante la SGMI
Internet per un accesso costante. (Security Gateway Management Interface, Interfaccia di
gestione del gateway di sicurezza), è possibile
■ Controllo del traffico da e verso la rete protetta. configurare una seconda connessione a Internet di
■ Protezione della rete. Concessione dell'accesso alla backup. L'account o gli account Internet che vengono
rete agli utenti remoti. configurati mediante la Configurazione guidata o la
■ Prevenzione e gestione degli attacchi per tenere SGMI possono essere condivisi da tutti i computer che
lontani gli hacker. vengono connessi attraverso le porte LAN o che
utilizzano il gateway di sicurezza come punto di accesso
■ Applicazione della protezione antivirus nella rete. wireless.
■ Controllo di ciò che possono visualizzare gli utenti
Per ulteriori informazioni sulla Configurazione guidata,
nella rete.
vedere il capitolo 3, "Esecuzione della Configurazione
■ Aggiornamento automatico del gateway di guidata" nella Guida all'installazione di Symantec
sicurezza. Gateway Security Serie 300.
■ Manutenzione del gateway di sicurezza. Il gateway di sicurezza Symantec Gateway Security Serie
300 fornisce porte aggiuntive per una connessione WAN
di backup attraverso la quale trasferire i dati WAN
quando vengono rilevati automaticamente guasti
dall'apposito software.
1
Il modello 320 è dotato di una porta seriale alla quale è Il gateway di sicurezza consente inoltre di configurare
possibile collegare un modem su linea commutata applicazioni speciali che possono essere utilizzate in
esterna. I modelli 360 e 360R, oltre alla porta seriale, modo specifico con comunicazione bidirezionale, come
sono dotati di una seconda porta WAN alla massima ad esempio videogiochi e videoconferenze. Quando
velocità per garantire un accesso costante. un'applicazione speciale è attivata, agisce come filtro
Per informazioni sulla connessione del gateway di globale; essa non è specifica di alcun gruppo di
sicurezza a Internet, vedere il capitolo 3, computer o regola in entrata/in uscita. Quando è
"Configurazione di una connessione alla rete esterna" attivata, il traffico specificato può passare in entrambe le
nel Manuale dell'amministratore di Symantec Gateway direzioni da qualsiasi host.
Security Serie 300. Vedere il capitolo 5, "Controllo del traffico di rete" nel
Manuale dell'amministratore di Symantec Gateway
Controllo del traffico da e verso la rete Security Serie 300.
protetta.
Symantec Gateway Security Serie 300 protegge le risorse Protezione della rete. Concessione
dell'azienda e le transazioni economiche tramite una dell'accesso alla rete agli utenti remoti.
delle più sicure soluzioni ad alte prestazioni per Symantec Gateway Security Serie 300 supporta la
garantire connessioni protette con Internet e tra le reti. Il tecnologia VPN (Virtual Private Network) compatibile
componente firewall offre sicurezza e velocità, fornendo IPsec che permette di estendere i confini della rete
un'efficiente e trasparente protezione firewall contro interna utilizzando canali di comunicazione non
intrusioni non desiderate senza rallentare il flusso del protetti, come ad esempio Internet o wireless, per
traffico approvato nelle reti aziendali. trasportare in modo sicuro dati importanti. Le VPN
Utilizzando software basato su regole, il gateway di vengono utilizzate per autorizzare a utenti remoti o reti
sicurezza consente di definire il tipo di traffico che può remote l'accesso alle risorse protette della rete.
entrare o uscire dalla rete. Symantec Gateway Security Serie 300 supporta tre tipi di
■ Le regole in entrata controllano il tipo di traffico tunnel VPN: da gateway a gateway, da client a gateway e
che arriva ai server di applicazione nelle reti protette tunnel wireless LAN (WLAN) da client a gateway.
dall'appliance. Quando si creano regole in entrata, è Kit aggiuntivi di licenze/supporti per il software VPN da
necessario specificare il server delle applicazioni, il client a gateway di Symantec Gateway Security Serie 300
servizio, i protocolli e le porte che sono autorizzati permettono di attivare tunnel VPN da client a gateway
dalla regola. Quando esiste una regola in entrata, il simultanei su tutti i modelli. Le licenze sono disponibili
firewall autorizza l'ingresso del traffico da qualsiasi in incrementi di 5 e 10 sessioni simultanee.
host esterno che ne soddisfa i criteri.
La protezione delle connessioni di rete mediante
Note: per impostazione predefinita, tutto il traffico tecnologia VPN è un passo importante per garantire la
in entrata viene bloccato. qualità e l'integrità dei dati.
Vedere il capitolo 6, "Creazione di connessioni VPN
■ Le regole in uscita controllano il tipo di traffico che protette" nel Manuale dell'amministratore di Symantec
esce dalla rete protetta. Per impostazione Gateway Security Serie 300.
predefinita, i computer interni non hanno
restrizioni all'accesso in uscita. Tuttavia, quando si
definisce una regola in entrata per un determinato
gruppo di computer, tutto il resto del traffico viene
bloccato a meno che non sia definita un regola in
uscita che lo autorizza.
2
Prevenzione e gestione degli attacchi per funzionalità AVpe del gateway di sicurezza garantisce
tenere lontani gli hacker. che i client siano pienamente conformi alle politiche di
Le funzionalità di rilevazione e prevenzione delle sicurezza prima di essere autorizzati ad accedere alla
intrusioni (IDS e IPS) di Symantec Gateway Security rete.
Serie 300 aiutano a proteggere l'organizzazione contro Vedere il capitolo 7, "Controllo avanzato del traffico di
intrusi e attacchi non desiderati. Permettono di rete" nel Manuale dell'amministratore di Symantec
monitorare il traffico di rete alla ricerca di Gateway Security Serie 300.
comportamenti sospetti e di rispondere in tempo reale
alle intrusioni rilevate. Controllo di ciò che possono visualizzare gli
Il componente per la rilevazione delle intrusioni rileva i utenti nella rete.
tentativi di intrusione sulla base di specifiche firme Symantec Gateway Security Serie 300 supporta una
atomiche che comprendono tra l'altro Teardrop, Back funzione di filtro del traffico in uscita finalizzata a
Orifice, Girlfriend, overflow del buffer e molte altre. limitare i contenuti ai quali possono accedere i client. Ad
Quando vengono resi disponibili nuovi pacchetti di esempio, è possibile aggiungere all'elenco di
firmware contenenti altre firme atomiche, la tecnologia autorizzazioni gli indirizzi URL dei siti Web conosciuti
LiveUpdate di Symantec è in grado di scaricarli per correlati all'economia come www.cnn.com.
affrontare le nuove minacce prima che possano Il filtro dei contenuti è amministrato attraverso i gruppi
diventare problemi per la sicurezza. di computer. Un gruppo di computer viene definito
Oltre alla prevenzione degli attacchi in base a firme nella sezione Firewall e a tutti i relativi membri vengono
atomiche, i componenti IDS e IPS offrono anche i applicate le stesse regole. Quando si definisce un gruppo
seguenti livelli di protezione: di computer nella sezione Firewall, occorre specificare se
■ Protezione contro lo spoofing IP questo utilizza un elenco di autorizzazioni o di divieti
per il filtro dei contenuti.
■ Verifica delle opzioni IP
Vedere il capitolo 7, "Controllo avanzato del traffico di
■ Convalida del flag TCP
rete" nel Manuale dell'amministratore di Symantec
■ Protezione contro Trojan horse Gateway Security Serie 300.
■ Rilevazione della scansione delle porte
Aggiornamento automatico del gateway di
Vedere il capitolo 8, "Prevenzione degli attacchi" nel
sicurezza.
Security Serie 300. Il fattore chiave della sicurezza è la vigilanza. Uno dei
modi migliori per tenere protetta la rete è di disporre
Applicazione della protezione antivirus degli aggiornamenti più recenti per il gateway di
nella rete. sicurezza. È possibile configurare il gateway di sicurezza
per gestire automaticamente gli aggiornamenti
Symantec Gateway Security Serie 300 include una utilizzando la tecnologia LiveUpdate di Symantec.
funzionalità di applicazione della politica antivirus
(AVpe) che permette di monitorare le configurazioni Il firmware di Symantec Gateway Security Serie 300 può
AVpe dei client e, se necessario, applicare politiche di essere aggiornato in modo automatico e sicuro senza
sicurezza per limitare l'accesso alla rete solamente ai l'intervento dell'utente per applicare gli aggiornamenti o
client che sono protetti da software antivirus con le la protezione contro le nuove minacce.
definizioni dei virus più aggiornate. Quando è attivato, il componente LiveUpdate contatta i
L'implementazione della protezione antivirus in ciascun server LiveUpdate di Symantec e controlla se vi sono
computer client è un passo importante nella protezione aggiornamenti disponibili. In caso affermativo, questi
della rete contro i virus e altre minacce correlate che vengono scaricati e applicati, quindi il gateway di
potrebbero entrare nella rete con altri mezzi. Quando sicurezza viene riavviato.
viene utilizzata con prodotti Symantec supportati, la
3
La funzionalità LiveUpdate di Symantec Gateway Giornaliera
Security Serie 300 offre un'utilità di pianificazione per ■ Monitorare lo stato del gateway di sicurezza.
aiutare a ridurre al minimo l'inattività della rete causata Lo stato corrente del gateway di sicurezza è
dai riavvii. Mediante l'utilità di pianificazione, è disponibile nella pagina principale quando si esegue
possibile specificare l'ora esatta e il giorno della l'accesso o facendo clic su Registrazione/
settimana in cui si desidera che il gateway di sicurezza Monitoraggio > Stato. È possibile ottenere
controlli la disponibilità di aggiornamenti del firmware. informazioni come la versione di build corrente, gli
Questo aiuta a garantire che il traffico di rete non venga indirizzi IP WAN e LAN correnti e lo stato delle
interrotto durante gli orari di punta. connessioni.
Vedere il capitolo 9, "Registrazione, monitoraggio e Nelle rispettive sezioni sono disponibili
aggiornamenti" nel Manuale dell'amministratore di informazioni di stato su molte funzionalità. Ad
Symantec Gateway Security Serie 300. esempio, per informazioni sullo stato dei tunnel
VPN, nella SGMI, fare clic su VPN > Stato.
Manutenzione del gateway di sicurezza. ■ Rispondere a nuove minacce di virus e attacchi.
Dopo avere installato e configurato le funzionalità Visualizzare quotidianamente il registro per
presenti nel gateway di sicurezza, è necessario svolgere individuare schemi di attacco facendo clic su
attività di manutenzione periodiche. Utilizzare il Registrazione/Monitoraggio > Visualizza registro.
seguente elenco come base per creare una routine di Assicurarsi che i client siano dotati di un client
manutenzione. antivirus Symantec supportato con le firme dei
In base alla crescita virus più recenti attivando la AVpe. Vedere il
capitolo 7, "Controllo avanzato del traffico di rete"
■ Creare tunnel VPN da gateway a gateway con
nel Manuale dell'amministratore di Symantec
partner commerciali e sedi remote.
Gateway Security Serie 300.
Mano a mano che l'azienda sviluppa nuove
relazioni e si espande con nuove sedi remote, ■ Rispondere alle chiamate interne sulle connessioni
proteggere il traffico con tunnel VPN da gateway a bloccate dalle funzioni di filtro dei contenuti o AVpe
gateway. Vedere il capitolo 6, "Creazione di per aiutare gli utenti con gli aggiornamenti
connessioni VPN protette" nel Manuale antivirus.
dell'amministratore di Symantec Gateway Security Per informazioni sulla AVpe, vedere il capitolo 7,
Serie 300. "Controllo avanzato del traffico di rete" nel
■ Attivare l'accesso da client a gateway protetto per gli
Security Serie 300.
impiegati.
■ Espandere la rete locale wireless protetta. Settimanale o mensile
Vedere la Guida all'implementazione di Symantec ■ Attivare l'accesso ad applicazioni esterne per gli
Gateway Security Serie 300. utenti interni. Attivare l'accesso per utenti esterni
alle applicazioni interne.
■ Attivare l'autenticazione utente dinamica per i
tunnel VPN. L'accesso alla rete viene attivato tramite regole
firewall in entrata, e l'accesso esterno per gli utenti
Gli utenti dinamici utilizzano l'autenticazione
interni tramite la creazione di regole firewall in
RADIUS per i propri tunnel da client a gateway.
uscita. Vedere il capitolo 5, "Controllo del traffico di
Vedere il capitolo 6, "Creazione di connessioni VPN
rete" nel Manuale dell'amministratore di Symantec
protette" nel Manuale dell'amministratore di
Gateway Security Serie 300.
Symantec Gateway Security Serie 300.
■ Aggiungere nuovi utenti interni alla politica di
sicurezza.
4
■ Risolvere i problemi di autenticazione degli utenti In base alle esigenze
con RADIUS. ■ Recuperare dalle interruzioni di corrente.
I client VPN dinamici (utenti) utilizzano RADIUS In caso di guasto all'impianto elettrico, il traffico
per l'autenticazione. Per questo tipo di può subire un'interruzione. È possibile mitigare gli
autenticazione è necessario configurare un server effetti delle interruzioni supportando
RADIUS separato. Vedere il capitolo 6, "Creazione l'alimentazione con un'unità UPS (Universal Power
di connessioni VPN protette" nel Manuale Supply) di backup.
dell'amministratore di Symantec Gateway Security Se quando si verifica l'interruzione di corrente è in
Serie 300. corso una sessione di LiveUpdate, il gateway di
Mensile sicurezza potrebbe ritornare all'ultima versione
applicata correttamente del file all.bin del firmware.
■ Eseguire LiveUpdate per aggiornare il gateway di
sicurezza all'ultima versione del firmware. ■ Comunicare i problemi tecnici al supporto tecnico
LiveUpdate di Symantec Gateway Security Serie 300 di Symantec.
comprende un'utilità di pianificazione che controlla Per informazioni su come contattare il supporto
automaticamente la disponibilità di aggiornamenti tecnico, vedere l'appendice A, "Risoluzione dei
del firmware. È consigliabile configurare l'utilità di problemi" nel Manuale dell'amministratore di
pianificazione in modo che controlli gli Symantec Gateway Security Serie 300.
aggiornamenti almeno una volta al mese. Inoltre,
nel caso venga preferito il controllo manuale degli Dove ottenere ulteriori informazioni
aggiornamenti, pianificare l'operazione nel quadro Per ciascuna scheda è disponibile la guida in linea
della normale manutenzione mensile. Vedere il facendo clic sul reltivo pulsante, il cerchio blu con il
capitolo 9, "Registrazione, monitoraggio e punto interrogativo, situato nell'angolo superiore destro
aggiornamenti" nel Manuale dell'amministratore di di ciascuna finestra.
Symantec Gateway Security Serie 300.
I seguenti documenti descrivono le funzionalità di
■ Aggiungere nuovi siti all'elenco di autorizzazioni o Symantec Gateway Security Serie 300:
di divieti del filtro dei contenuti.
Periodicamente è opportuno monitorare i tipi di Guida all'installazione di Symantec Gateway Security
traffico che vengono visualizzati dai client interni e Serie 300
creare regole di filtro dei contenuti adeguate alle Manuale dell'amministratore di Symantec Gateway
politiche stabilite. Vedere il capitolo 7, "Controllo Security Serie 300
avanzato del traffico di rete" nel Manuale
dell'amministratore di Symantec Gateway Security
Serie 300.
Mensile o in base alle modifiche nei siti remoti

■ Potenziare i tunnel da gateway a gateway con le sedi
remote.
Quando una sede remota introduce qualche
modifica (nuovo ISP, nuova sede, spostamento dei
server e così via), può essere necessario potenziare i
tunnel da gateway a gateway. Vedere il capitolo 6,
"Creazione di connessioni VPN protette" nel
Security Serie 300.
5
Guia de Introdução
Security 300
Este guia descreve rapidamente as tarefas e informações Configure uma conta de Internet que possa
que você precisa para configurar, operar e manter seu ser compartilhada por todos os seus
gateway de segurança, além de fornecer referências sobre usuários. Configure várias conexões à
onde encontrar mais informações. Internet para acesso contínuo.
Este guia inclui os seguintes tópicos: Na primeira vez que você acessa o gateway de segurança,
■ Configure uma conta de Internet que possa ser o Assistente de Instalação o orienta na configuração da
compartilhada por todos os seus usuários. conectividade de Internet para o gateway de segurança.
Configure várias conexões à Internet para acesso Ao usar a Interface do Security Gateway Management
contínuo. (SGMI, Security Gateway Management Interface), você
poderá configurar uma segunda conexão à Internet
■ Controle o tráfego de e para a rede protegida. como backup. A(s) conta(s) de Internet que você
■ Proteja sua rede. Conceda acesso à rede aos seus configura usando o Assistente de Instalação ou a SGMI
usuários remotos. pode(m) ser compartilhada(s) por todos os
■ Impeça e manipule os ataques. Mantenha os computadores que forem conectados pelas portas LAN
hackers afastados. ou que usarem o gateway de segurança como ponto de
acesso sem fio.
■ Aplique a proteção antivírus à sua rede.
Consulte o Capítulo 3, “Executando o Assistente de
■ Controle o acesso ao que pode ser visto pelos
Instalação” no Guia de Instalação do Symantec Gateway
usuários da rede.
Security 300, para obter informações sobre o Assistente
■ Atualize automaticamente seu gateway de de Instalação.
segurança.
Os gateways de segurança do Symantec Gateway
■ Faça a manutenção do gateway de segurança. Security 300 dispõem de portas adicionais para conexão
de backup da WAN e software que detecta
automaticamente falhas e transfere dados da WAN
através da conexão de backup.
1
O modelo 320 possui uma porta serial à qual é possível O gateway de segurança também permite configurar
conectar um modem dial-up externo. Os modelos 360 e aplicativos especiais que podem ser usados para certos
360R possuem uma segunda porta WAN de velocidade aplicativos com comunicação bidirecional (como jogos e
máxima (além da porta serial) para garantir o acesso conferência de vídeo). Quando um aplicativo especial é
contínuo. ativado, ele atua como um filtro global; não é específico
Consulte o Capítulo 3, “Configurando uma conexão à de nenhum grupo de computadores ou regra de
rede externa” no Guia do Administrador do Symantec entrada/saída. Quando ativado, o tráfego especificado
Gateway Security 300 para obter mais informações sobre pode passar em qualquer direção de qualquer host.
como conectar seu gateway de segurança à Internet. Consulte o Capítulo 5, “Controle de tráfego de rede” no
Guia do Administrador do Symantec Gateway Security
Controle o tráfego de e para a rede protegida. 300.
O Symantec Gateway Security 300 protege bens
empresariais e transações comerciais com uma das mais Proteja sua rede. Conceda acesso à rede aos
seguras soluções de alto desempenho, para garantir seus usuários remotos.
conexões seguras à Internet e entre redes. O componente O Symantec Gateway Security 300 suporta tecnologia de
de firewall confere segurança e velocidade, rede virtual privada (VPN, Virtual Private Network)
proporcionando proteção de firewall robusta e compatível com IPsec, que permite estender de modo
transparente contra intrusões indesejadas, sem seguro os limites da sua rede interna para usar canais de
desacelerar o fluxo de tráfego aprovado em redes comunicação desprotegidos (como de Internet ou sem
empresariais. fio), visando o transporte seguro de dados confidenciais.
As VPNs são usadas para permitir que os usuários
Usando software baseado em regras, o gateway de
remotos ou redes remotas acessem os recursos
segurança permite que você defina o tipo de tráfego que
protegidos da sua rede.
pode entrar ou sair da rede.
■ As regras de entrada controlam o tipo de fluxo de O Symantec Gateway Security 300 suporta três tipos de
tráfego nos servidores de aplicativos nas suas redes túneis de VPN: gateway-para-gateway, cliente-para-
protegidas por gateway de segurança. Ao criar gateway e cliente-para-gateway de LAN sem fio
regras de entrada, você deve especificar o servidor (WLAN).
de aplicativos, o serviço, os protocolos e as portas Opções adicionais de kit de licença/mídia para o
permitidas pela regra. Quando uma regra de software de VPN de cliente-para-gateway do Symantec
entrada existe, o firewall permite a entrada de Gateway Security 300 permitem túneis de VPN de
tráfego que atende à regra, proveniente de qualquer cliente-para-gateway simultâneos em todos os modelos.
host externo. As licenças estão disponíveis em incrementos de 5 e 10
sessões simultâneas.
Nota: Por padrão, todo o tráfego de entrada é
bloqueado. A proteção das conexões de rede com a tecnologia VPN é
uma etapa importante para garantir a qualidade e
integridade dos dados.
■ As regras de saída controlam o tipo de tráfego que
sai da rede protegida. Por padrão, para todos os Consulte o Capítulo 6, “Estabelecendo conexões VPN
computadores internos não há restrições no acesso seguras” no Guia do Administrador do Symantec
de saída. No entanto, quando você define uma regra Gateway Security 300.
de saída para um determinado grupo de
computadores, qualquer outro tráfego é bloqueado,
a menos que uma regra de saída seja definida para
autorizá-lo.
2
Impeça e manipule os ataques. Mantenha os Consulte o Capítulo 7, “Controle avançado de tráfego de
hackers afastados. rede” no Guia do Administrador do Symantec Gateway
Os recursos de detecção e prevenção de intrusões (IDS e Security 300.
IPS) do Symantec Gateway Security 300 o ajudam a
proteger sua organização contra intrusos e ataques Controle o acesso ao que pode ser visto
indesejados. Eles permitem monitorar o tráfego da rede pelos usuários da rede.
quanto ao comportamento suspeito e reagir a intrusões O Symantec Gateway Security 300 suporta a filtragem de
detectadas em tempo real. conteúdo para o tráfego de saída. Use a filtragem de
conteúdo para limitar o conteúdo ao qual os clientes têm
O componente de detecção de intrusão detecta
acesso. Por exemplo, adicione à lista de permissões os
tentativas de intrusão baseadas em assinaturas atômicas
URLs de sites conhecidos relativos a negócios, como
específicas, incluindo Teardrop, Back Orifice, Girlfriend,
www.cnn.com.
estouros de buffer e muitas outras. À medida que novos
pacotes de firmware contendo mais assinaturas atômicas A filtragem de conteúdo é administrada através de
são disponibilizados, a tecnologia LiveUpdate da grupos de computadores. Um grupo de computadores é
Symantec faz download deles para tratar novas ameaças um grupo, definido na seção Firewall, ao qual são
a tempo, antes que se tornem questões de segurança. aplicadas as mesmas regras. Ao definir um grupo de
computadores na seção Firewall, você especifica se o
Além de impedir ataques com base em assinaturas
grupo utiliza uma lista de negações ou permissões de
atômicas, os componentes IDS e IPS também oferecem
filtragem de conteúdo.
os seguintes níveis de proteção:
■ Proteção contra falsificação de IP Consulte o Capítulo 7, “Controle avançado de tráfego de
rede” no Guia do Administrador do Symantec Gateway
■ Verificação de opções de IP Security 300.
■ Validação de marca de TCP
■ Proteção contra Cavalo de Tróia Atualize automaticamente seu gateway de
segurança.
■ Detecção de verificação de porta
A chave para a segurança é a vigilância. Uma das
Consulte o Capítulo 8, “Evitando ataques” no Guia do melhores maneiras de manter sua rede protegida é tendo
Administrador do Symantec Gateway Security 300. as últimas atualizações do gateway de segurança. Você
pode configurar o gateway de segurança para tratar
Aplique a proteção antivírus à sua rede. atualizações automaticamente usando a tecnologia
O Symantec Gateway Security 300 inclui um recurso de LiveUpdate da Symantec.
aplicação da política antivírus (AVpe) que permite O firmware do Symantec Gateway Security 300 pode ser
monitorar configurações de antivírus de cliente e, se atualizado automaticamente e com segurança, sem o
necessário, aplicar políticas de segurança para restringir envolvimento do usuário na aplicação de atualizações ou
o acesso à rede somente aos clientes protegidos por proteção contra novas ameaças.
software antivírus com as definições de vírus mais atuais.
Quando ativado, o componente LiveUpdate entra em
A implementação da proteção antivírus em cada contato com os servidores do LiveUpdate da Symantec e
computador-cliente é uma etapa importante para a procura atualizações disponíveis. Se houver atualizações
proteção da rede contra vírus e outras ameaças disponíveis, elas serão descarregadas e aplicadas pelo
relacionadas, que possam entrar na rede por outros gateway de segurança, que será reiniciado em seguida.
meios. O recurso AVpe do gateway de segurança,
quando usado com produtos antivírus da Symantec
suportados, oferece um nível de garantia de que os
clientes estão totalmente em conformidade com as
políticas de segurança de rede antes de terem permissão
para acessá-la.
3
O recurso LiveUpdate do Symantec Gateway Security Diariamente
300 oferece um Agendador que o ajuda a minimizar o ■ Monitore o status do gateway de segurança.
tempo de inatividade da rede após reinicializações. O status atual do gateway de segurança está
Usando o Agendador, você poderá especificar o dia da disponível na página principal após o login ou
semana e a hora exatos para o gateway de segurança quando você clica em Registro/Monitoração >
procurar atualizações de firmware. Isso ajuda a garantir Status. Você pode obter informações como build
que o tráfego da rede não seja interrompido durante atual, endereços IP atuais de WAN e LAN, e estados
horas de operação intensa. de conexão.
Consulte o Capítulo 9, “Registro, monitoração e O status em muitos recursos específicos está
atualizações” no Guia do Administrador do Symantec disponível em suas respectivas sessões. Por
Gateway Security 300. exemplo, para saber o status dos túneis de VPN, na
SGMI, clique em VPN > Status.
Faça a manutenção do gateway de ■ Reaja a novas ameaças e ataques de vírus.
segurança. Exiba o registro diariamente para observar padrões
Após instalar e configurar a funcionalidade em seu de ataque clicando em Registro/Monitoração >
gateway de segurança, você deverá executar tarefas Exibir registro.
periódicas de manutenção. Use esta lista como base para Verifique se seus clientes possuem um cliente
criar sua própria rotina de manutenção. antivírus da Symantec suportado com as assinaturas
Com base no aumento de vírus mais recentes ativando a AVpe. Consulte o
Capítulo 7, “Controle avançado de tráfego da rede”
■ Crie túneis de VPN de gateway-para-gateway para
no Guia do Administrador do Symantec Gateway
parceiros comerciais e escritórios remotos.
Security 300.
À medida que você cria relações e expande para
escritórios remotos, proteja seu tráfego com túneis ■ Reaja a chamadas internas em conexões bloqueadas
de VPN de gateway-para-gateway. Consulte o pela filtragem de conteúdo ou pela AVpe, a fim de
Capítulo 6, “Estabelecendo conexões VPN seguras” ajudar os usuários com as atualizações antivírus.
no Guia do Administrador do Symantec Gateway Consulte o Capítulo 7, “Controle avançado de
Security 300. tráfego de rede” no Guia do Administrador do
Symantec Gateway Security 300 para obter
■ Ative o acesso protegido cliente-para-gateway para
informações sobre a AVpe.
os funcionários.
■ Expanda sua rede local sem fio protegida. Semanalmente ou mensalmente
Consulte o Guia de Implementação do Recurso Sem ■ Ative o acesso de usuários internos a aplicativos
Fio do Symantec Gateway Security 300. externos. Ative o acesso de usuários externos a
aplicativos internos.
■ Ative a autenticação dinâmica de usuário para
túneis de VPN. O acesso à rede é ativado por regras de entrada de
firewall; o acesso externo aos usuários internos é
Usuários dinâmicos usam a autenticação RADIUS
ativado pela criação de regras de saída de firewall.
para seus túneis de cliente-para-gateway. Consulte
Consulte o Capítulo 5, “Controle de tráfego de
o Capítulo 6, “Estabelecendo conexões VPN
rede” no Guia do Administrador do Symantec
seguras” no Guia do Administrador do Symantec
■ Adicione usuários internos novos à política de
segurança.
4
■ Solucione problemas de autenticação de usuários Conforme necessário
com RADIUS. ■ Recupere o sistema em quedas de energia.
Os clientes de VPN dinâmicos (usuários) usam Em caso de queda de energia, o tráfego pode ser
RADIUS para fazer autenticação. É necessário interrompido. É possível atenuar interrupções
configurar um servidor RADIUS separado para essa sustentando a alimentação com uma fonte de
autenticação. Consulte o Capítulo 6, alimentação universal (UPS, universal power
“Estabelecendo conexões VPN seguras” no Guia do supply).
Administrador do Symantec Gateway Security 300. Se uma atualização do LiveUpdate estiver em
Mensalmente andamento no momento da queda de energia, o
gateway de segurança poderá reverter para a versão
■ Use o LiveUpdate para atualizar o gateway de
bem-sucedida mais recente do all.bin do firmware.
segurança com a versão mais recente do firmware.
A atualização do Symantec Gateway Security 300 ■ Entre em contato com o Suporte técnico da
pelo LiveUpdate inclui um Agendador que procura Symantec com relação a questões técnicas.
automaticamente atualizações de firmware. Consulte o Apêndice A, “Solução de problemas” no
Configure o Agendador para procurar atualizações Guia do Administrador do Symantec Gateway
pelo menos uma vez por mês. Além disso, se você Security 300, para obter informações sobre como
preferir procurar atualizações manualmente, entrar em contato com o Suporte técnico da
agende essa tarefa na manutenção mensal regular. Symantec.
Consulte o Capítulo 9, “Registro, monitoração e
atualizações” no Guia do Administrador do Onde obter mais informações
Symantec Gateway Security 300. A Ajuda on-line é disponibilizada para cada guia quando
■ Adicione novos sites à lista de permissões ou você clica no botão Ajuda (círculo azul com ponto de
negações de filtragem de conteúdo. interrogação), no canto superior direito da tela.
Monitore periodicamente os tipos de tráfego que Os documentos a seguir descrevem a funcionalidade do
seus clientes internos exibem e crie regras de Symantec Gateway Security 300:
filtragem de conteúdo que correspondam às suas
Guia de Instalação do Symantec Gateway Security 300
políticas de tráfego. Consulte o Capítulo 7,
“Controle avançado de tráfego de rede” no Guia do Guia do Administrador do Symantec Gateway Security
Administrador do Symantec Gateway Security 300. 300
Mensalmente ou com base em alterações de sites

remotos
■ Aperfeiçoe túneis de VPN de gateway-para-gateway
para escritórios remotos.
Quando um escritório remoto sofre alguma
alteração (ISP novo, escritório novo, alteração de
lugar dos servidores etc.), talvez seja necessário
aperfeiçoar os túneis de VPN de gateway-para-
gateway. Consulte o Capítulo 6, “Estabelecendo
conexões VPN seguras” no Guia do Administrador
do Symantec Gateway Security 300.
5
Guía de inicio
S ecurity 300
Esta guía describe de forma genérica las tareas y la Configure una cuenta de Internet compartida
información necesaria para configurar, utilizar y por todos los usuarios, así como varias
mantener la pasarela de seguridad así como dónde conexiones a Internet de acceso continuo
encontrar más información. La primera vez que acceda a la pasarela de seguridad, el
Esta guía incluye los temas siguientes: Asistente de configuración le guiará a través del proceso
■ Configure una cuenta de Internet compartida por de configuración de conectividad a Internet de la
todos los usuarios, así como varias conexiones a pasarela de seguridad. Por medio de la Interfaz de
Internet de acceso continuo gestión de pasarelas de seguridad (SGMI), podrá
configurar una segunda conexión de Internet como
■ Control del tráfico de entrada y salida de la red respaldo. Las cuentas de Internet que configure por
protegida medio del Asistente de configuración o de la SGMI se
■ Protección de la red y garantía de acceso a usuarios podrán compartir con todos los equipos que estén
remotos conectados a los puertos LAN o que utilicen la pasarela
■ Prevención y gestión de ataques a la red y de seguridad como punto de acceso inalámbrico.
eliminación de piratas informáticos Consulte el capítulo 3, “Uso del Asistente de
■ Activación de protección antivirus en la red configuración” del Manual de instalación de Symantec
Gateway Security 300 para obtener más información
■ Control del acceso a lo que los usuarios de su red
acerca del Asistente de configuración.
pueden ver
Las pasarelas de seguridad Symantec Gateway Security
■ Actualización automática de la pasarela de
300 Series proporcionan puertos adicionales para
seguridad
conexiones WAN de respaldo así como software que
■ Mantenimiento de la pasarela de seguridad detecta automáticamente errores y transfiere datos WAN
a través de la conexión de respaldo.
El modelo 320 dispone de un puerto serie al que se
puede conectar un módem de marcación externo.
Además del puerto serie, los modelos 360 y 360R
disponen de un segundo puerto WAN de alta velocidad
para asegurar el acceso continuo.
1
Consulte el capítulo 3, “Configuración de una conexión La pasarela de seguridad también permite configurar
con la red exterior” en el Manual del administrador de aplicaciones especiales que se pueden utilizar para
Symantec Gateway Security 300 para obtener más ciertas aplicaciones de comunicación bidireccional
información acerca de cómo conectar la pasarela de (como juegos o videoconferencias). Cuando se usa una
seguridad a Internet. aplicación especial, actúa como filtro global y no es
específica de un grupo de equipos ni de ninguna regla de
Control del tráfico de entrada y salida de la entrada o salida. Cuando esté activada, el tráfico
red protegida especificado podrá pasar en cualquier dirección desde
Symantec Gateway Security 300 protege los activos cualquier host.
empresariales y las transacciones comerciales con una de Consulte el capítulo 5, “Control del tráfico de red” en el
las soluciones más seguras y de más alto rendimiento Manual del administrador de Symantec Gateway Security
que garantiza conexiones seguras tanto a Internet como 300.
a redes internas. El firewall incluido proporciona
seguridad y velocidad, así como una sólida protección de Protección de la red y garantía de acceso a
firewall transparente frente a intrusiones no deseadas, usuarios remotos
sin que ello ralentice el flujo de tráfico permitido en Symantec Gateway Security 300 admite tecnología de
redes empresariales. redes privadas virtuales (VPN) compatible con IPsec
Por medio de un programa basado en reglas, la pasarela que permite ampliar de manera segura los límites de su
de seguridad puede definir el tipo de tráfico al que se le red interna para usar canales de comunicación no
permite entrar y salir de la red. seguros (como Internet o canales inalámbricos) con el
■ Las reglas de entrada controlan el tipo de tráfico que fin de transportar de forma segura datos importantes.
entra en los servidores de aplicaciones situados en Las VPN se utilizan para permitir a usuarios o redes
las redes protegidas por la pasarela de seguridad. Al remotos acceder a los recursos protegidos de la red.
crear reglas de entrada, debe especificar el servidor Symantec Gateway Security 300 admite tres tipos de
de aplicaciones, el servicio, los protocolos y los túneles VPN: pasarela a pasarela, cliente a pasarela y de
puertos permitidos por la regla. Una vez definida cliente a pasarela de LAN inalámbrica (WLAN).
una regla de entrada, el firewall permitirá la entrada
Las opciones añadidas del kit de medios o licencia del
de tráfico de un host externo que se ajuste a ella.
software VPN de cliente a servidor Symantec Gateway
Nota: De forma predeterminada, todo tráfico de Security 300 permite túneles VPN de cliente a pasarela
entrada estará bloqueado. simultáneos en todos los modelos. Las licencias están
disponibles en incrementos de sesiones simultáneas de 5
y 10.
■ Las reglas de salida controlan el tipo de tráfico que
sale de la red protegida. De forma predeterminada, El uso de la tecnología VPN para hacer seguras las
ningún componente interno sufrirá restricciones de conexiones de red es un paso importante para garantizar
acceso. Una vez definida una regla de salida para un la calidad y la integridad de los datos.
grupo de equipos, todo tráfico de salida fuera de Consulte el capítulo 6, “Establecimiento de conexiones
éste estará bloqueado, a menos que se defina una VPN seguras” en el Manual del administrador de
regla de salida que permita lo contrario. Symantec Gateway Security 300.
2
Prevención y gestión de ataques a la red Consulte el capítulo 7, “Control avanzado del tráfico de
y eliminación de piratas informáticos la red” en el Manual del administrador de Symantec
Las funciones de detección y prevención de intrusiones Gateway Security 300.
(IDS y IPS) de Symantec Gateway Security 300 protegerán
a su empresa de la acción de intrusos y de piratas Control del acceso a lo que los usuarios de
informáticos. Éstas permiten monitorizar el tráfico de la su red pueden ver
red para detectar comportamientos sospechosos y Symantec Gateway Security 300 Series permite filtrar el
responder en tiempo real a las intrusiones detectadas. contenido del tráfico de salida. Utilice el filtrado de
contenidos para restringir el contenido al que tienen
El componente de detección de intrusiones localiza
acceso los clientes. Por ejemplo, añada a la lista de
intentos de intrusión basados en firmas atómicas
permisos las direcciones URL de empresas conocidas,
específicas, incluidas entre otras Teardrop, Back Orifice,
como www.cnn.com.
Girlfriend y desbordamientos de búfer. Cuando estén
disponibles nuevos paquetes de firmware que contengan El filtrado de contenidos se gestiona a través de los
más firmas atómicas, la tecnología LiveUpdate de grupos de equipos. Un grupo de equipos es un grupo de
Symantec podrá descargarlas para hacer frente a nuevas PC definido en la sección Firewall y al que se le aplican
amenazas antes de que puedan suponer un problema de las mismas reglas. Al definir un grupo de equipos en la
seguridad. sección Firewall, especificará si el grupo utiliza filtrado
Además de prevenir ataques basados en firmas atómicas, de contenidos o una lista de permisos o rechazos.
los componentes IDS e IPS ofrecen también los niveles Consulte el capítulo 7, “Control avanzado del tráfico de
de protección siguientes: la red” en el Manual del administrador de Symantec
■ Protección frente a falsificación de IP Gateway Security 300.
■ Verificación de opciones de IP
Actualización automática de la pasarela de
■ Validación de indicadores TCP seguridad
■ Protección frente a caballos de Troya La clave de la seguridad está en la vigilancia, por lo que
■ Detección de análisis de puerto una de las formas más eficaces de mantener la seguridad
en una red es disponer en todo momento de las últimas
Consulte el capítulo 8, “Prevención de ataques” en el actualizaciones de la pasarela de seguridad. Puede
Manual del administrador de Symantec Gateway Security configurar ésta de forma que gestione automáticamente
300. las actualizaciones por medio de la tecnología
LiveUpdate de Symantec.
Activación de protección antivirus en la red
El firmware de Symantec Gateway Security 300 Series
Symantec Gateway Security 300 Series incluye una puede actualizarse de forma segura y automática, sin
función de activación de la política de antivirus (AVpe) necesidad de que el usuario intervenga en la aplicación
que permite monitorizar configuraciones AV cliente y, si de actualizaciones o en la protección frente a nuevas
es necesario, activar políticas de seguridad para amenazas.
restringir el acceso a la red a los clientes protegidos por
software antivirus con la definición más actualizada. Mientras esté activado, el componente LiveUpdate
contactará con los servidores LiveUpdate de Symantec
La implementación de protección antivirus en todos los en busca de actualizaciones disponibles. En caso de
equipos cliente supone un paso importante para la encontrar alguna actualización disponible, la pasarela de
protección de su red frente a virus y otras amenazas que seguridad la descargará y la aplicará. Seguidamente, se
puedan llegar hasta su red por algún otro medio. La reiniciará.
función AVpe de la pasarela de seguridad, usada con los
productos antivirus de Symantec compatibles, garantiza
que los clientes cumplen con la política de seguridad de
la red antes de que se les permita acceder a ella.
3
La función LiveUpdate de Symantec Gateway Security A diario
300 Series ofrece un Programador que le ayudará a ■ Monitorice el estado de la pasarela de seguridad.
minimizar el tiempo de inactividad de cada vez que se El estado actual de la pasarela estará disponible en la
reinicie. Por medio del Programador puede especificar la página principal cuando inicie una sesión o cuando
hora y el día de la semana en que desee que la pasarela de haga clic en Registro/Monitorización > Estado.
seguridad compruebe la disponibilidad de las Puede obtener información acerca de la creación
actualizaciones de firmware. Así, se garantizará la actual, las direcciones IP de la LAN o WAN actuales
continuidad del tráfico de la red durante las horas de y de los estados de la conexión.
mayor actividad.
El estado de varias funciones específicas estará
Consulte el capítulo 9, “Registro, monitorización y disponible en sus secciones respectivas. Por
actualizaciones” en el Manual del administrador de ejemplo, para ver el estado de los túneles VPN, en la
Symantec Gateway Security 300. SGMI haga clic en VPN > Estado.
■ Defiéndase ante nuevos virus y ataques externos.
Mantenimiento de la pasarela de seguridad Acceda al registro diario para consultar los patrones
Una vez instalada y configurada la funcionalidad de la de ataque. Para ello haga clic en Registro/
pasarela de seguridad, es necesario llevar a cabo tareas Monitorización > Ver registro.
periódicas de mantenimiento. Utilice esta lista como Asegúrese de que los clientes poseen un cliente de
base para realizar las tareas de mantenimiento habitual. antivirus Symantec compatible que dispone de las
Según el crecimiento últimas firmas de virus activando AVpe. Consulte el
capítulo 7, “Control avanzado del tráfico de la red”
■ Cree túneles VPN de pasarela a pasarela para socios
en el Manual del administrador de Symantec
comerciales y oficinas remotas.
Asegure el tráfico por medio de túneles VPN de
pasarela a pasarela a medida que establece nuevas ■ Responda a llamadas internas de conexiones
relaciones y se expande hacia oficinas remotas. bloqueadas mediante el filtrado de contenidos o
Consulte el capítulo 6, “Establecimiento de AVpe para ayudar a los usuarios con las
conexiones VPN seguras” en el Manual del actualizaciones de AV.
administrador de Symantec Gateway Security 300. Consulte el capítulo 7, “Control avanzado del
tráfico de la red” en el Manual del administrador de
■ Permita a los empleados un acceso seguro de cliente
Symantec Gateway Security 300 para obtener más
a pasarela.
información acerca de AVpe.
■ Expanda la red segura de área local inalámbrica.
Consulte el Manual de implementación de Semanal o mensualmente
conexiones inalámbricas de Symantec Gateway ■ Permita el acceso de usuarios internos a
Security 300. aplicaciones externas y el acceso de usuarios
externos a aplicaciones internas.
■ Permita la autenticación de usuarios dinámicos
para túneles VPN. Puede permitir el acceso a la red mediante reglas de
firewall de entrada, así como permitir el acceso
Los usuarios dinámicos utilizan la autenticación
externo a usuarios internos creando reglas de
RADIUS para los túneles de cliente a pasarela.
firewall de salida. Consulte el capítulo 5, “Control
Consulte el capítulo 6, “Establecimiento de
del tráfico de red” en el Manual del administrador de
conexiones VPN seguras” en el Manual del
administrador de Symantec Gateway Security 300.
■ Añada nuevos usuarios internos a la política de
seguridad.
4
■ Solucione los problemas de autenticación de Según sea necesario
usuario con RADIUS. ■ Supere los fallos de alimentación.
Los clientes de VPN dinámicos (usuarios) utilizan En caso de que se produzca algún fallo en la
RADIUS para realizar la autenticación. Debe alimentación, puede interrumpirse el tráfico. Puede
configurar un servidor RADIUS independiente para hacer frente a estas interrupciones restaurando la
esta autenticación. Consulte el capítulo 6, alimentación con una fuente de alimentación
“Establecimiento de conexiones VPN seguras” en el universal (UPS).
Manual del administrador de Symantec Gateway Si en el momento de producirse un fallo de
Security 300. alimentación se está llevando a cabo una
Mensualmente actualización LiveUpdate, la pasarela de seguridad
puede volver a la última versión aplicada con éxito
■ Utilice LiveUpdate para obtener la última versión
del archivo all.bin del firmware.
del firmware de la pasarela de seguridad.
LiveUpdate de Symantec Gateway Security 300 ■ Póngase en contacto con el Soporte Técnico de
Series incluye un Programador que comprueba de Symantec para obtener información técnica.
forma automática la existencia de actualizaciones de Consulte el Apéndice A, “Solución de problemas”
firmware. Debe configurar éste para que realice la en el Manual del administrador de Symantec
comprobación al menos una vez al mes. Si prefiere Gateway Security 300 para obtener más información
efectuar esta comprobación manualmente, acerca de cómo contactar con el Soporte Técnico de
prográmelo dentro del mantenimiento mensual Symantec.
habitual. Consulte el capítulo 9, “Registro,
monitorización y actualizaciones” en el Manual del Sitios donde se puede obtener más
administrador de Symantec Gateway Security 300. información
■ Añada nuevas páginas a la lista de rechazos o En todas las fichas se puede acceder a la ayuda en línea
permisos de filtrado de contenidos. haciendo clic en el botón de ayuda (círculo azul con un
Debe monitorizar periódicamente los tipos de signo de interrogación) situado en la esquina superior
tráfico que visualizan los clientes internos y crear derecha de cada pantalla.
reglas de filtrado de contenidos que coincidan con En los siguientes documentos se describen las
las políticas de tráfico. Consulte el capítulo 7, funcionalidades de Symantec Gateway Security 300:
“Control avanzado del tráfico de la red” en el
Manual de instalación de Symantec Gateway Security 300
Manual del administrador de Symantec Gateway
Security 300. Manual del administrador de
Symantec Gateway Security 300
Mensualmente o según los cambios de los sitios
remotos
■ Mejore los túneles VPN de pasarela a pasarela a
oficinas remotas.
Cuando una oficina remota sufra un cambio
importante (como un nuevo ISP, una nueva oficina
o un cambio de servidores), puede que sea
necesario realizar mejoras en los túneles VPN de
pasarela a pasarela. Consulte el capítulo 6,
“Establecimiento de conexiones VPN seguras” en el
Manual del administrador de Symantec Gateway
Security 300.

Getting Started Guide: Symantec™ Gateway Security 300 Series

Uploaded by

Copyright:

Available Formats

You might also like

Getting Started Guide: Symantec™ Gateway Security 300 Series

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Getting Started Guide: Symantec™ Gateway Security 300 Series

Uploaded by

Copyright:

Available Formats

Getting started guide

Where to get more information

Virenschutz auf Ihrem Netzwerk durchsetzen. Sicherheits-Gateway automatisch aktualisieren.

Chaque mois ou en fonction des changements sur les

Questa guida descrive brevemente le attività e le Configurazione di un account Internet

Mensile o in base alle modifiche nei siti remoti

Mensalmente ou com base em alterações de sites

You might also like