Beruflich Dokumente
Kultur Dokumente
Symantec™ Gateway
Security 300
Modelos suportados:
Modelos 320, 360 e 360R
Symantec™ Gateway Security 300
Guia do Administrador
O software descrito neste guia é fornecido sob um contrato de licença e somente
deve ser usado de acordo com os termos descritos.
Documentação - versão 1.0
11 de fevereiro de 2004
Aviso de copyright
Copyright 1998-2004 Symantec Corporation.
Todos os direitos reservados.
Toda a documentação técnica disponibilizada pela Symantec Corporation é obra
protegida pelas leis de copyright, de propriedade da Symantec Corporation.
SEM GARANTIAS. A documentação técnica está sendo entregue COMO ESTÁ e a
Symantec Corporation não se responsabiliza por sua precisão nem pelo seu uso.
O uso da documentação técnica ou das informações nela contidas estão sob a
responsabilidade do usuário. A documentação pode incluir erros técnicos,
tipográficos ou outras imprecisões. A Symantec reserva-se o direito de fazer
alterações sem notificação prévia.
Nenhuma parte desta publicação pode ser copiada sem a permissão expressa,
por escrito, da Symantec Corporation, 20330 Stevens Creek Blvd., Cupertino,
CA 95014.
Marcas comerciais
Symantec, o logotipo da Symantec e Norton AntiVirus são marcas registradas
da Symantec Corporation nos E.U.A. LiveUpdate, LiveUpdate Administration
Utility, Symantec AntiVirus e Symantec Security Response são marcas
comerciais da Symantec Corporation.
Outras marcas e nomes de produtos mencionados neste manual são marcas
comerciais ou registradas de suas respectivas empresas e são aqui reconhecidas.
Made in the U.S.A.
10 9 8 7 6 5 4 3 2 1
Conteúdo
Apêndice C Licença
Licença de sessão para as funções de cliente-para-gateway VPN
do Symantec Gateway Security 300 ........................................................ 155
Licenças de sessão adicionais .................................................................. 156
CONTRATO DE LICENÇA E GARANTIA DO EQUIPAMENTO
SYMANTEC GATEWAY SECURITY ........................................................ 156
Índice
Soluções de serviço e suporte
Capítulo 1
Introdução ao Symantec
Gateway Security 300
Este capítulo aborda os seguintes tópicos:
■ Público-alvo
Público-alvo
Este manual é direcionado aos gerentes ou administradores de sistema
responsáveis pela instalação e manutenção do gateway de segurança.
Ele pressupõe que os leitores tenham um conhecimento sólido sobre os
conceitos de rede e que possuam um navegador de Internet.
Nota: Os recursos sem fio não são exibidos na SGMI até uma opção de ponto de
acesso da WLAN do Symantec Gateway Security ser instalada corretamente.
Consulte o Guia de Implementação sem fio do Symantec Gateway Security 300
para obter mais informações.
320 1 4 1
360/360R 2 8 1
Usando a SGMI
A lista a seguir descreve a melhor forma de trabalhar na SGMI:
■ Para enviar um formulário, clique no botão correto na interface do usuário,
em vez de pressionar Enter no teclado.
■ Caso envie um formulário e receba um erro, clique no botão Voltar no
navegador da Web. Esse procedimento manterá os dados que foram
inseridos.
■ Nas caixas de texto Endereço IP, pressione a tecla Tab para alternar entre as
caixas.
■ Se, após clicar em um botão da interface do usuáriopara enviar o
formulário, o equipamento for reiniciado automaticamente, espere cerca de
um minuto antes de tentar acessar a SGMI mais uma vez.
Nota: É preciso definir a senha de administração para ter acesso remoto à SGMI.
14 Administrando o gateway de segurança
Gerenciando o acesso administrativo
SGMI
Internet
Equipamento Symantec
Gateway Security 300
Dispositivos protegidos
Bits de dados 8
Paridade Nenhuma
Bits de parada 1
8 Conecte-se ao equipamento.
Administrando o gateway de segurança 19
Gerenciando o gateway de segurança usando o console serial
■ Configurando a conectividade
■ Configurando roteamento
O modelo 320 do Symantec Gateway Security 300 possui uma porta WAN para
ser configurada. Os equipamentos de modelo 360 e 360R possuem duas portas
WAN que podem ser configuradas separadamente e de forma distinta
dependendo de suas necessidades. Algumas configurações aplicam-se a
ambas as portas WAN, enquanto outras aplicam-se especificamente à WAN1 ou
à WAN2.
Exemplos de rede
A Figura 3-1 mostra o diagrama de rede de um Symantec Gateway Security 300
conectado à Internet. O ponto terminal representa qualquer tipo de terminação
de rede. Esse dispositivo pode ser fornecido pelo provedor de Internet (ISP,
Internet Service Provider) ou por um comutador de rede. O computador usado
para o gerenciamento de equipamentos é conectado diretamente ao
equipamento por meio de uma de suas portas LAN, e usa um navegador para
conectar-se à Interface do Security Gateway Management (SGMI, Security
Gateway Management Interface). A rede protegida comunica-se através do
equipamento Symantec Gateway Security 300 com a Internet.
Configurando uma conexão com a rede externa 23
Exemplos de rede
Internet
Ponto de terminação
Symantec Gateway
Security 300
SGMI
Rede protegida
24 Configurando uma conexão com a rede externa
Exemplos de rede
Internet
Symantec Gateway
Security 5400
Roteador
Symantec Gateway
Security 300
SGMI
Rede protegida
Rede de enclave
Configurando uma conexão com a rede externa 25
Conceitos básicos sobre o Assistente de Instalação
Aviso: Tudo o que for digitado e salvo nas guias WAN/ISP sobrescreverá o que
foi digitado anteriormente no Assistente de Instalação. Com isso, poderá ocorrer
perda da conectividade da WAN.
Conta de backup Você pode configurar uma conexão primária para a WAN1
e conectar um modem à porta serial na parte traseira do
equipamento para a conexão de backup. Consulte "Contas
dial-up" na página 38.
Se for uma conta de banda larga, consulte a Tabela 3-3 para determinar qual tipo
de conexão você tem.
Tabela 3-3 Tipos de conexão de banda larga
Configurando a conectividade
Após determinar que tipo de conexão possui, você poderá configurar o
equipamento para conectar-se à Internet ou Intranet usando as configurações
apropriadas a essa conexão.
DHCP
O protocolo DHCP automatiza a configuração de computadores em rede.
Ele permite que uma rede com vários clientes extraia as informações de
configuração de um único servidor (servidor DHCP). No caso de uma conta
dedicada de Internet, os usuários são os clientes que extraem as informações do
servidor DHCP do ISP, e os endereços IP são atribuídos somente às contas
conectadas.
Configurando uma conexão com a rede externa 29
Configurando a conectividade
Sua conta com o provedor de Internet pode usar o DHCP para alocar endereços
IP. Os tipos de conta que geralmente usam DHCP são de banda larga a cabo e
DSL. Os provedores de Internet podem autenticar as conexões de banda larga a
cabo usando o endereço MAC ou o endereço físico do seu computador ou
gateway.
Consulte "Configurando a conectividade" na página 28 para obter informações
sobre como configurar o DHCP para alocar endereços IP para os seus nós.
Antes de configurar o DHCP para as suas portas WAN, selecione DHCP (IP
automático) como seu tipo de conexão na janela Configuração principal.
PPPoE
O protocolo é usado por vários fornecedores de linha de assinante digital
assimétrica (ASDL, Asymmetrical Digital Subscriber Line). É uma especificação
para conectar vários usuários de uma rede à Internet através de uma mídia única
dedicada, como uma conta DSL.
É possível especificar se você conecta ou desconecta sua conta PPPoE manual ou
automaticamente. Esse procedimento é útil para verificar a conectividade.
Você pode configurar o equipamento para conectar-se apenas quando uma
solicitação de Internet é feita por um usuário na LAN (por exemplo, navegando
em um website) e desconectar quando a conexão estiver ociosa (fora de uso).
Esse recurso é útil se o seu provedor de Internet cobra por tempo de uso.
30 Configurando uma conexão com a rede externa
Configurando a conectividade
Você pode usar vários logins (se a conta com o provedor de Internet permitir
PPPoE de várias sessões) para obter endereços IP adicionais para a WAN. Essas
são sessões PPPoE. O login pode ser o mesmo nome de usuário e senha da sessão
principal ou pode ser diferente para cada sessão, dependendo do seu provedor de
Internet. São permitidos até cinco sessões ou endereços IP para o modelo 320,
e até três sessões para cada porta WAN nos modelos 360 e 360R. Os hosts da
LAN são vinculados a uma sessão na guia Computadores. Consulte "Definindo
configurações IP da LAN" na página 58.
Por padrão, todas as configurações são associadas à sessão 1. Para contas PPPoE
de várias sessões, configure cada sessão individualmente. Se você tem várias
contas PPPoE, atribua cada uma a uma sessão diferente na SGMI.
Antes de configurar as portas WAN para usar a conta PPPoE, obtenha as
seguintes informações:
■ Nome de usuário e senha
Todas as contas PPPoE exigem nomes de usuário e senhas. Obtenha essas
informações com o seu provedor de Internet antes de configurar o PPPoE.
■ Endereço IP estático
Você deve ter adquirido ou recebido um endereço IP estático para a conta
PPPoE.
■ Clique em Salvar.
■ No painel direito, na guia PPPoE, em Porta WAN e sessões, proceda de
uma das seguintes maneiras:
■ Na lista suspensa Porta WAN, selecione uma porta WAN a ser
configurada.
4 Se tiver uma conta PPPoE de várias sessões, em Porta WAN e sessões, na
lista suspensa Sessão PPPoE, selecione a sessão apropriada.
5 Se você tiver uma conta PPPoE de sessão única, deixe a sessão PPPoE como
Sessão 1.
6 Em Conexão, selecione Conectar sob demanda.
Se deseja conectar-se a uma sessão PPPoE manualmente, desmarque a
opção Conectar sob demanda e, em Controle manual, clique em Conectar.
7 Na caixa de texto Tempo limite ocioso, digite o número de minutos de
inatividade após os quais você deseja que o equipamento seja desconectado
da conta PPPoE.
8 Se tiver uma conta de Internet PPPoE de IP estático, na caixa de texto
Endereço IP estático, digite o endereço IP.
Caso contrário, deixe o valor como 0.
9 Em Escolher serviço, clique em Pesquisar serviços.
Desconecte-se da conta PPPoE antes de usar esse recurso. Consulte
"Conectando-se à sua conta PPPoE manualmente" na página 32.
10 Na lista suspensa Serviço, selecione um serviço PPPoE.
Clique em Pesquisar serviços para selecionar um serviço.
11 Na caixa de texto Nome de usuário, digite o nome de usuário da conta
PPPoE.
12 Na caixa de texto Senha, digite sua senha da conta PPPoE.
13 Na caixa de texto Confirmar senha, digite novamente a senha da conta
PPPoE.
14 Clique em Salvar.
IP estático e DNS
Ao obter uma conta com o provedor de Internet, você pode optar por adquirir
um endereço IP estático (permanente). Com isso, você pode executar um
servidor, como Web ou FTP, pois o endereço nunca é alterado. Qualquer tipo de
conta (dial-up ou banda larga) pode ter um endereço IP estático.
O equipamento encaminha todas as solicitações de pesquisa de DNS ao servidor
DNS especificado para a resolução de nome. O equipamento suporta até três
servidores DNS. Quando você especifica vários servidores DNS, eles são usados
em seqüência. Por exemplo, depois que o primeiro servidor é usado, a próxima
solicitação é encaminhada para o segundo servidor e assim por diante.
Se você tiver um endereço IP estático com o provedor de Internet ou estiver
usando o equipamento protegido por outro dispositivo de gateway de segurança,
selecione IP estático e DNS como o tipo de conexão. É possível especificar o
endereço IP estático e os endereços IP dos servidores DNS que deseja usar para a
resolução de nome.
Antes de configurar o equipamento para conectar-se à conta IP estático, obtenha
as seguintes informações:
■ IP estático, máscara de rede e endereços de gateway padrão
Entre em contato com o departamento de TI ou o provedor de Internet para
obter essas informações.
■ Endereços DNS
Você deve especificar o endereço IP para no mínimo um servidor DNS, e no
máximo três. Entre em contato com o departamento de TI ou o provedor de
Internet para obter essas informações. Não é necessário ter entradas de
endereço IP do DNS para contas de Internet dinâmicas ou contas nas quais
um servidor DHCP atribua os endereços IP.
Se você tiver um endereço IP estático com PPPoE, configure o equipamento
para PPPoE.
34 Configurando uma conexão com a rede externa
Configurando a conectividade
PPTP
O protocolo PPTP (Point-to-Point-Tunneling Protocol) permite a transferência
segura de dados de um cliente para um servidor através da criação de um túnel
em uma rede com base em TCP/IP. Os equipamentos Symantec Gateway
Security 300 atuam como um cliente de acesso PPTP (PAC, PPTP access client)
quando você se conecta a um servidor de rede PPTP (PNS, PPTP Network
Server), geralmente com seu provedor de Internet.
Antes de começar a configuração do PPTP, obtenha as seguintes informações:
■ Endereço IP do servidor PPTP
Endereço IP do servidor PPTP no provedor de Internet.
■ Endereço IP estático
Endereço IP atribuído à sua conta.
■ Informações sobre a conta
Nome de usuário e senha para fazer login na conta.
Contas dial-up
Existem dois tipos básicos de contas dial-up: analógicas e ISDN. As contas
analógicas usam um modem que se conecta a uma linha telefônica convencional
(conector RJ-11). As contas ISDN são um tipo de conta dial-up que usa uma linha
telefônica especial.
No equipamento, é possível usar uma conta dial-up como sua conexão primária
com a Internet ou como um backup da sua conta dedicada. No modo de backup, o
equipamento disca automaticamente para o provedor de Internet se houver
falha na conexão dedicada. O equipamento reativa a conta dedicada quando ela
se estabiliza. Uma falha da conexão primária com o modem ou do modem com a
conexão primária pode durar de 30 a 60 segundos.
Você pode configurar uma conta dial-up primária e uma conta dial-up de
backup. Você poderá configurar uma conta dial-up de backup se houver falha
em sua conta dedicada primária. Primeiro, conecte o modem ao equipamento.
Em seguida, use a SGMI para configurar a conta dial-up.
Você também pode conectar ou desconectar a sua conta manualmente quando
desejar.
Use um modem externo para contas dial-up. O modem, inclusive os modems
ISDN, é conectado ao equipamento através da porta serial na parte traseira do
equipamento. A Figura 3-3 mostra a porta serial no painel posterior do
equipamento de modelo 320.
Porta serial
Informações sobre a Nome de usuário, que pode ser diferente do nome da conta,
conta e a senha da conta dial-up.
6 Clique em Salvar.
Após clicar em Salvar, o equipamento será reiniciado e a conectividade da rede
será interrompida.
Configurando roteamento
Se você instalar os equipamentos Symantec Gateway Security 300 em uma rede
com mais de um roteador conectado diretamente, especifique o roteador para o
qual deseja enviar o tráfego. O equipamento suporta dois tipos de roteamento:
dinâmico e estático. O roteamento dinâmico escolhe a melhor rota para pacotes
e os envia ao roteador adequado. O roteamento estático envia pacotes ao
roteador especificado por você. As informações sobre roteamento são mantidas
em uma tabela de roteamento.
O roteamento dinâmico é administrado com o protocolo RIP v2. Quando está
ativado, o equipamento escuta e envia solicitações de RIP nas interfaces interna
(LAN) e externa (WAN). O RIP v2 atualiza a tabela de roteamento com base em
informações de fontes não confiáveis. Portanto, somente use o roteamento
dinâmico para Intranets ou gateways de departamento quando puder utilizar
atualizações de roteamento confiáveis.
O roteamento ajuda o fluxo de tráfego quando há vários roteadores em uma
rede. Configure o roteamento dinâmico ou estático conforme suas necessidades.
Você pode adicionar novas entradas de rotas, editar entradas existentes, excluir
entradas ou exibir uma tabela de entradas.
Nota: Se o NAT estiver ativado, somente seis rotas serão exibidas na lista de
roteamentos. Quando o NAT está desativado, todas as rotas configuradas são
exibidas na lista.
3 Clique em Adicionar.
Nota: Cada um dos equipamentos de modelo 320 tem uma porta WAN e não
suporta alta disponibilidade, equilíbrio de carga e agregação de largura de
banda.
Alta disponibilidade
É possível configurar alta disponibilidade para cada porta WAN de três
maneiras: Normal, Desligado ou Backup. A Tabela 3-4 descreve cada modo.
Modo Descrição
Equilíbrio de carga
Os equipamentos Symantec Gateway Security 300 de modelo 360 e 360R têm,
cada um, duas portas WAN. Nesses equipamentos, é possível configurar a alta
disponibilidade e o equilíbrio de carga (HA/LB) entre as duas portas WAN.
Você pode definir a porcentagem dos pacotes que são enviados para a WAN1 ou
a WAN2. Digite uma porcentagem somente para a WAN1; o resto dos pacotes
serão enviados pela WAN2. Caso tenha uma conexão mais lenta, use um valor
mais baixo para a porta WAN a fim de obter um melhor desempenho.
Conexão SMTP
Use a conexão SMTP quando tiver duas conexões distintas com a Internet com
provedores distintos usados em portas WAN distintas. Esse procedimento
assegura que o e-mail enviado por um cliente passe pela porta WAN associada ao
seu servidor de e-mail.
Se o servidor SMTP estiver na mesma sub-rede de uma das portas WAN, o
gateway de segurança conectará o servidor SMTP a essa porta WAN, e você não
terá que especificar as informações de conexão.
Falha geral
Você pode configurar o equipamento para testar a conectividade periodicamente
a fim de assegurar que a sua conexão esteja disponível para os clientes. Depois
do tempo especificado (por exemplo, 10 segundos), o equipamento executa um
comando PING no URL especificado como indicador ativo. Se você não
especificar um indicador ativo, o gateway padrão será usado.
Gateway DNS
Você pode especificar um gateway DNS para a resolução de nomes local e remota
na sua VPN. Para a resolução de nomes local e remota na VPN (gateway-para-
gateway ou cliente-para-gateway), o equipamento pode usar um gateway DNS.
Um gateway DNS de backup pode ser especificado. O gateway DNS trata da
resolução de nomes, mas se ele ficar indisponível, o backup (em geral, um
gateway DNS através do provedor de Internet) poderá assumir o controle.
4 Clique em Salvar.
Após clicar em Salvar, o equipamento será reiniciado e a conectividade da rede
será interrompida.
Capítulo 4
Configurando conexões
internas
Este capítulo aborda os seguintes tópicos:
Nota: O modelo 320 possui quatro portas LAN e os modelos 360 e 360R possuem
oito. Para cada uma delas, especifique as configurações de porta usando as
atribuições de porta. Essas configurações são usadas para definir LANs seguras
com e sem fio.
58 Configurando conexões internas
Definindo configurações IP da LAN
Nota: Cada computador cliente no qual você deseja usar o DHCP deve ter a sua
própria configuração de rede definida para obter o endereço IP
automaticamente.
Configurando conexões internas 59
Configurando o equipamento como servidor DHCP
Nos modelos 360 e 360R, você pode definir que o computador use somente uma
das portas WAN. Isso será útil caso você possua duas contas de banda larga (uma
para cada porta WAN) e deseje que determinado computador use somente uma.
Esse procedimento também é útil para servidores ou aplicativos que sempre
devem usar um IP específico, como FTP. O padrão é desativado.
A opção Host de reserva marcada garante que o servidor DHCP sempre oferecerá
o endereço IP definido ao computador que está sendo configurado. Você também
pode definir esse endereço IP como um endereço estático no computador.
Consulte "Descrições dos campos da guia Computadores" na página 189.
Se você possui serviços que não estão nessa lista ou um serviço que não usa sua
porta padrão, poderá criar seus próprios serviços personalizados. Crie os
serviços personalizados antes de criar a regra de saída.
Consulte "Configurando serviços" na página 73.
Uma regra de saída ativada para o serviço FTP para o grupo de computadores 2
permite um serviço FTP de saída aos membros do grupo de computadores 2.
Uma regra de saída ativada para o serviço de correio (SMTP) do grupo de
computadores Todos permite que todos os membros desse grupo enviem
mensagens de e-mail. Uma regra de saída ativada para o serviço FTP do grupo de
computadores 2 permite um serviço FTP de saída aos membros do grupo 2. Se o
grupo de computadores 1 não tiver regras, todo o tráfego de saída será permitido
por padrão. A Figura 5-1 mostra um diagrama desses exemplos.
Configurando serviços
A guia Firewall > Serviços permite definir aplicativos de serviços adicionais
(que já não estejam abrangidos pelos serviços predefinidos) usados em regras
de entrada e saída para passagem de tráfego. Esses serviços precisam ser
configurados para poderem ser usados em regras. O nome do serviço deve
identificar o protocolo ou tipo de tráfego permitido pela regra.
O tipo de tráfego e o servidor de destino devem ser especificados para esse
tráfego. O tipo de tráfego é selecionado na lista de serviços predefinidos e
personalizados.
Nota: Nos modelos 360 e 360R, os servidores de aplicativos FTP devem ser
conectados a uma porta WAN, WAN 1 ou WAN 2. Todos os outros aplicativos,
como HTTP, não exigem conexão a uma porta WAN. Consulte "Conectando-se a
outros protocolos" na página 52.
Existem dois tipos de protocolos usados pelos serviços: TCP e UDP. O intervalo
de portas especifica que filtro de porta pode comunicar-se no equipamento. Nos
protocolos que permitem um intervalo de portas, especifique o número da porta
de escuta de início e de fim. Nos protocolos que usam um número de porta único,
o número da porta de escuta de início e de fim será o mesmo.
Redirecionando serviços
Você também pode configurar serviços para serem redirecionados das portas
em que eles normalmente entrariam (Porta de escuta) para outra porta (Porta de
redirecionamento). O redirecionamento de serviços somente se aplica a regras
de entrada. As regras de saída ignoram essa configuração.
Por exemplo, para redirecionar tráfego da Web de entrada na porta 80, usando o
protocolo TCP, para um servidor da Web interno aguardando TCP na porta 8080,
você cria um novo aplicativo de serviço chamado WEB_8080. Selecione TCP
como o protocolo e digite 80 para as portas de escuta de início e de fim. Para as
portas de redirecionamento de início e de fim, digite 8080. A seguir, crie e ative
uma regra de entrada para o servidor de aplicativos da Web que usa WEB_8080
como um serviço.
Nota: O tamanho das portas de redirecionamento deve ser igual aos intervalos
das portas de escuta. Por exemplo, se o intervalo da porta de escuta é de 21 a 25,
o intervalo da porta de redirecionamento também deve ser de quatro portas.
Nota: Se houver problemas com tempo limite quando você usar seu serviço de
correio (SMTP), a ativação da porta IDENT talvez os solucione.
■ Identificando usuários
Campo Descrição
Identificando usuários
O equipamento permite que você configure dois tipos de clientes que utilizam a
VPN: usuários e usuários com autenticação estendida.
Usuários dinâmicos
Os usuários dinâmicos não são definidos no equipamento; em vez disso, eles
usam autenticação estendida com RADIUS para autenticar seus túneis. Defina
os usuários dinâmicos no servidor RADIUS.
Quando um usuário dinâmico tenta efetuar a autenticação, o equipamento
procura o nome desse usuário na lista de usuários definida. Se não o encontrar,
ele usará o segredo compartilhado especificado no software cliente. Esse segredo
compartilhado deve corresponder ao segredo da tela Avançado do gateway de
segurança ao qual ele está se conectando. O equipamento iniciará a autenticação
estendida e solicitará ao usuário as informações exigidas pelo servidor RADIUS
(como nome de usuário ou senha). O servidor RADIUS autentica o usuário e
retorna o grupo RADIUS do usuário ao gateway de segurança. O gateway de
segurança verifica se o grupo corresponde a um dos túneis clientes e se tem
permissão para conectar-se à WAN, LAN ou WLAN. Em caso positivo, o túnel
do usuário é estabelecido.
Usuários
Os usuários realizam a autenticação com um ID de cliente (nome de usuário) e
uma chave pré-compartilhada que você atribui a eles. Eles inserem o nome de
usuário e a senha no software cliente. Essas informações são enviadas quando
eles tentam criar um túnel de VPN para o gateway de segurança.
Os usuários são definidos no equipamento e talvez também usem autenticação
estendida.
Definindo usuários
Verifique se é possível obter todas as informações de autenticação pertinentes
com o administrador do servidor RADIUS para passá-las aos usuários com
autenticação estendida.
4 Clique em Salvar.
5 Na guia Túneis clientes, na lista suspensa Grupo de VPNs, selecione o grupo
de VPNs ao qual os usuários que usam a autenticação estendida pertencem.
Estabelecendo conexões VPN seguras 89
Configurando túneis de gateway-para-gateway
Campo Descrição
Nota: Conclua cada etapa da Tabela 6-4 duas vezes: primeiro para o gateway de
segurança local e depois para o gateway de segurança remoto.
Tarefa SGMI
Definir parâmetros de associação de segurança VPN > Túneis dinâmicos > Associação
IPsec. de segurança IPSec
Selecionar política de VPN.
94 Estabelecendo conexões VPN seguras
Configurando túneis de gateway-para-gateway
Tarefa SGMI
Definir o gateway de segurança local. VPN > Túneis dinâmicos > Gateway de
segurança local
Definir o gateway de segurança remoto. VPN > Túneis dinâmicos > Gateway de
segurança remoto
Nota: Conclua cada etapa da Tabela 6-7 duas vezes: primeiro para o gateway de
segurança local e depois para o gateway de segurança remoto.
Tarefa SGMI
Definir parâmetros de associação de segurança VPN > Túneis estáticos > Associação
Ipsec. de segurança IPSec
Definir o gateway de segurança remoto. VPN > Túneis estáticos > Gateway de
segurança remoto
Informações Valor
Endereço IP
Chave de autenticação
(Túnel estático)
Chave de criptografia
(Túnel estático)
Chave pré-compartilhada
Sub-rede/máscara local
Internet
Symantec Gateway Symantec Client VPN (LAN)
Security 300
Symantec Client VPN (WAN)
Para os túneis de cliente de VPN do lado da LAN, a única sub-rede que o cliente
pode acessar é aquela definida na tela IP da LAN.
Consulte "Definindo configurações IP da LAN" na página 58.
Os túneis de VPN de cliente-para-gateway da Symantec exigem uma ID de
cliente e uma chave compartilhada. Também é possível aplicar a autenticação
estendida usando um servidor RADIUS para túneis de VPN de cliente-para-
gateway para autenticação adicional.
Consulte "Definindo usuários" na página 87.
Você pode configurar dois tipos de usuários de cliente-para-gateway ao
configurar túneis de VPN: dinâmico e estático.
Consulte "Identificando usuários" na página 86.
Tarefa SGMI
Ativar o túnel cliente do grupo de VPNs VPN > Túneis clientes > Definição dos
selecionado. túneis do grupo
Estabelecendo conexões VPN seguras 101
Configurando túneis de VPN de cliente-para-gateway
Tarefa SGMI
Selecionar a política de VPN que se aplica ao VPN > Avançado > Configurações do
túnel. cliente de VPN global
Informações Valor
ID do cliente
ID de fase 1
(Opcional)
■ Configurando a AVpe
Configurando a AVpe
A configuração da AVpe para um ambiente do Symantec AntiVirus Corporate
Edition assemelha-se à de uma rede somente cliente.
A configuração de servidores Symantec AntiVirus Corporate Edition envolve as
seguintes tarefas:
■ Definir o local de um servidor Symantec AntiVirus primário e secundário
(opcional), e verificar se um cliente possui o cliente Symantec AntiVirus
Corporate Edition instalado e se as definições de vírus e o mecanismo de
verificação nos computadores-cliente estão atualizados.
Consulte "Configurando a AVpe" na página 111.
■ Ativar a AVpe para grupos de computadores ou VPNs.
Consulte "Ativando a AVpe" na página 112.
A configuração de redes com clientes de antivírus não gerenciados (sem o
Symantec AntiVirus Corporate Edition) envolve as seguintes tarefas:
■ Definir o local do cliente mestre da política e verificar se ele possui um
cliente antivírus da Symantec suportado instalado e se as definições de
vírus e o mecanismo de verificação nos computadores-cliente estão
atualizados.
■ Ativar a AVpe para grupos de computadores ou VPNs.
Consulte "Ativando a AVpe" na página 112.
■ Configurar os clientes de antivírus.
Consulte "Configurando os clientes de antivírus" na página 114.
Ativando a AVpe
A AVpe é aplicada no nível do grupo de computadores e VPNs. Para ativar a
AVpe, primeiro selecione um grupo e depois ative a AVpe uma vez para todos os
membros desse grupo. Você também decide se deseja avisar ou negar o acesso à
WAN a clientes cuja configuração antivírus não seja compatível com as políticas
de segurança esperadas.
Nota: A ativação da AVpe para grupos de VPNs é apenas para clientes WAN.
Ative a AVpe para clientes VPN da LAN através da opção Grupos de
computadores na seção Firewall.
Consulte "Definindo a associação do grupo de computadores" na página 65.
Consulte "Definindo túneis de VPN cliente" na página 101.
Aviso: Não use esse procedimento para clientes gerenciados por um servidor
Symantec Antivirus.
Mensagens de registro
Quando você ativa a AVpe e uma conexão de cliente é negada (por estar
bloqueada ou sob aviso), uma mensagem é registrada. Essas mensagens de
registro podem ser verificadas periodicamente para monitorar o tráfego.
Controle avançado de tráfego de rede 115
Verificando o funcionamento da AVpe
Considerações especiais
Quando a filtragem de conteúdo e a AVpe estão ativadas simultaneamente, a
filtragem de conteúdo é realizada em primeiro lugar. Se a filtragem de conteúdo
resultar em uma conexão bloqueada, a AVpe não será processada; somente uma
mensagem de filtragem de conteúdo será registrada.
Controle avançado de tráfego de rede 117
Gerenciando listas de filtragem de conteúdo
Considerações especiais
Se um site ou gateway de segurança usar redirecionamento para transferir
usuários de um URL para outro, inclua os dois URLs na lista. Por exemplo,
www.disney.com redireciona os usuários para www.disney.go.com. Para que os
usuários possam ver esse website, especifique www.disney.com e
www.disney.go.com na lista de permissões.
Se um site tiver conteúdo de outros sites, adicione os dois URLs à lista. Por
exemplo, www.cnn.com utiliza conteúdo de www.cnn.net.
Nota: Uma assinatura IDS e IPS atômica é definida como uma assinatura
baseada em um único pacote IP.
■ Gerenciando registros
■ Atualizando o firmware
■ Interpretando LEDs
Gerenciando registros
Os recursos firewall, IDS, IPS, VPN, filtragem de conteúdo e AVpe do produto
registram mensagens quando certos eventos ocorrem. Você pode configurar os
eventos que serão registrados para visualizar somente as mensagens de registro
necessárias.
É possível visualizar essas mensagens de registro através da SGMI, ou
encaminhá-las a serviços externos. As mensagens de registro são mantidas até o
equipamento ser reiniciado. Em todos os equipamentos, as 100 mensagens mais
atuais são disponíveis para visualização. Nos modelos 360 e 360R, os 100
eventos de registro mais atuais são mantidos, mesmo que o equipamento seja
reiniciado.
Quando o registro fica cheio, as novas entradas sobrescrevem as mais antigas.
Configure o encaminhamento de e-mail ou um servidor Syslog se quiser manter
as mensagens de registro antigas. Consulte "Enviando mensagens de registro
por e-mail" na página 126 ou "Usando o Syslog" na página 127.
126 Registro, monitoração e atualizações
Gerenciando registros
Usando o Syslog
O envio de mensagens de registro para um servidor Syslog permite que você
armazene essas mensagens por muito tempo. Um servidor Syslog aguarda as
entradas de registro encaminhadas pelo equipamento e armazena todas as
informações de registro para análises futuras. O servidor Syslog pode estar na
rede LAN ou WAN, ou por trás de um túnel de VPN.
Atualizando o firmware
O equipamento é executado com um conjunto de instruções codificadas na
memória permanente, que se chama firmware. O firmware contém todos os
recursos e a funcionalidades do equipamento. Há dois tipos de atualizações
de firmware: destrutivo e não destrutivo. O firmware destrutivo pode ser
totalmente sobrescrito, incluindo todas as definições de configuração.
O firmware não destrutivo é atualizado, mas mantém as configurações intactas.
A Symantec lança atualizações de firmware periodicamente. Há três maneiras
de atualizar o firmware no equipamento: automaticamente usando o Agendador
do LiveUpdate, manualmente usando o LiveUpdate ou manualmente ao receber
firmware do Suporte técnico da Symantec e aplicá-lo com a ferramenta
symcftpw. Por padrão, o LiveUpdate procura atualizações quando o Assistente
de Instalação é concluído. Esse recurso pode ser desativado. Consulte o Guia de
Instalação do Symantec Gateway Security 300.
Servidor do
Symantec
LiveUpdate
Symantec Gateway
Security 5400
Internet
Túnel de VPN
Servidor
SGMI interno do
LiveUpdate
Dispositivos protegidos
136 Registro, monitoração e atualizações
Atualizando o firmware
Local Descrição
Carregando o firmware
Antes de fazer um upgrade manual de firmware, verifique se você possui os
seguintes itens:
■ Utilitário symcftpw
Localizado na pasta Ferramentas do CD-ROM fornecido com o equipamento.
Você também pode usar o comando TFTP para inserir o firmware no
equipamento.
■ Arquivo de firmware
Faça o download do último arquivo de firmware do website da Symantec.
A Figura 9-2 mostra o painel posterior do modelo 320. Este gráfico é apenas para
referência. A descrição completa dos recursos está disponível no Guia de
Instalação do Symantec Gateway Security 300.
A Figura 9-3 mostra o painel posterior dos modelos 360 e 360R. Este gráfico é
apenas para referência. A descrição completa dos recursos está disponível no
Guia de Instalação do Symantec Gateway Security 300.
138 Registro, monitoração e atualizações
Atualizando o firmware
Reinicializando o equipamento
Você pode reinicializar o equipamento de três maneiras distintas:
■ Reinicialização básica
Reinicia o equipamento. Assemelha-se a desligar e ligar o equipamento.
Todas as conexões atuais, inclusive os túneis de VPN cliente, são perdidas.
Os túneis de VPN de gateway-para-gateway conectados anteriormente são
restabelecidos quando o equipamento é reiniciado. Além disso, o
equipamento realiza um autoteste do hardware ao reiniciar.
■ Reinicialização com a configuração padrão
O endereço IP da sub-rede da LAN é redefinido para 101.168.0.0, o endereço
IP da LAN do equipamento é redefinido para 192.168.0.1, a funcionalidade
do servidor DHCP é ativada e a senha do administrador é redefinida em
branco.
■ Reinicialização com o aplicativo reservado
O firmware é reinicializado com o último arquivo de firmware all.bin usado
para carregar o equipamento. Esse é um firmware de fábrica ou um upgrade
de firmware descarregado do website da Symantec e aplicado ao
equipamento.
A Figura 9-5 mostra o painel posterior dos modelos 360 e 360R. Este gráfico é
apenas para referência. A descrição completa dos recursos está disponível no
Guia de Instalação do Symantec Gateway Security 300.
Interpretando LEDs
Os LEDs localizados na parte frontal dos equipamentos indicam o status do
equipamento. Existem seis LEDs; quatro para o equipamento e dois para sem fio.
Os LEDs sem fio geralmente só ficam acesos quando a opção de ponto de acesso
da WLAN do Symantec Gateway Security compatível é inserida.
A Figura 9-6 mostra o painel posterior do modelo 320. Este gráfico é apenas para
referência. A descrição completa dos recursos está disponível no Guia de
Instalação do S ymantec Gateway Security 300.
A Figura 9-7 mostra o painel posterior dos modelos 360 e 360R. Este gráfico é
apenas para referência. A descrição completa dos recursos está disponível no
Guia de Instalação do Symantec Gateway Security 300.
Registro, monitoração e atualizações 145
Interpretando LEDs
Nota: A ferramenta de solução de problemas PING apenas deve ser usada para
emitir comandos PING para outros endereços IP; não é possível fazer PING no
próprio equipamento.
152 Solucionando problemas
Sobre a solução de problemas
Nota: Alguns sites bloqueiam PINGs em seus firewalls. Verifique se o site pode
ser acessado antes de chamar o provedor da Internet ou o Suporte técnico da
Symantec.
5 Em select a knowledge base (selecionar uma base de dados), role para baixo
e clique em Symantec Gateway Security 300.
6 Clique no nome e modelo específico para o seu produto.
7 Na página do knowledge base do modelo do seu equipamento, proceda de
uma das seguintes maneiras:
■ Na guia Hot Topics (Tópicos úteis), clique em um dos itens para ver uma
lista detalhada de artigos do knowledge base sobre o assunto em
questão.
■ Na guia Search (Pesquisar), na caixa de texto, digite uma string com sua
pergunta. Use a lista suspensa para determinar como a pesquisa será
realizada e clique em Search (Pesquisar).
■ Na guia Browse (Procurar), expanda um título para ver artigos do
knowledge base relacionados a esse tópico.
Apêndice C
Licença
Este capítulo aborda os seguintes tópicos:
1. Licença do software:
O software (o "Software") que acompanha o equipamento (o "Equipamento") adquirido
por você é propriedade da Symantec ou de seus licenciadores, sendo protegido por leis
de copyright. Embora a Symantec continue sendo a proprietária do Software, você terá
alguns direitos de uso do mesmo mediante aceitação desta licença. Esta licença rege as
versões, revisões ou aperfeiçoamentos do Software que o Licenciador venha a fornecer a
você. Exceto quando modificado por um certificado, cupom ou chave de licença da
Symantec (cada um sendo um "Módulo de licença") que acompanhe, preceda ou siga
essa licença, e quando for posteriormente definido na documentação do usuário que
acompanha o Equipamento e/ou o Software, seus direitos e obrigações com relação ao
uso do Software estão especificados abaixo:
Você pode:
A. Usar o Software unicamente como parte do Equipamento.
B. Fazer cópias da documentação impressa que acompanha o Equipamento como
necessário para suportar o seu uso autorizado do Equipamento; e
C. Depois de um aviso por escrito à Symantec e em relação a uma transferência do
Equipamento, transferir o Software permanentemente a outra pessoa ou entidade. Desde
que você não retenha cópia alguma do Software, a Symantec consente na transferência e
quem recebe a transferência deve concordar com os termos e condições deste contrato.
Licença 157
CONTRATO DE LICENÇA E GARANTIA DO EQUIPAMENTO SYMANTEC GATEWAY SECURITY
2. Atualizações de conteúdo:
Alguns produtos do software da Symantec utilizam conteúdo atualizado freqüentemente
(produtos de antivírus utilizam definições de vírus atualizadas; produtos de filtragem de
conteúdo utilizam listas de URL atualizadas; produtos de firewall utilizam regras de
firewall atualizadas; produtos de avaliação de vulnerabilidade utilizam dados de
vulnerabilidade atualizados, etc.; coletivamente, esses produtos são denominados
"Atualizações de conteúdo"). É possível obter Atualizações de conteúdo para cada
funcionalidade do Software adquirido e ativado para uso com o Equipamento para
qualquer período para o qual você tenha (i) adquirido a assinatura das Atualizações
de conteúdo para tal funcionalidade do Software; (ii) concordado com um contrato de
manutenção que inclui Atualizações de conteúdo para tal funcionalidade do Software;
ou (iii) adquirido separadamente o direito de obter Atualizações de conteúdo para tal
funcionalidade do Software. Caso contrário, esta licença não permite que você obtenha e
use as Atualizações de conteúdo.
3. Garantia limitada:
A Symantec garante que o Software será executado no Equipamento substancialmente de
acordo com a documentação impressa que acompanha o Equipamento por um período de
trinta (30) dias a partir da data de compra original do Equipamento. Em caso de quebra
desta garantia, a única opção que lhe estará assegurada será que a Symantec, a seu
critério, irá reparar ou substituir qualquer Software devolvido à Symantec dentro do
prazo da garantia ou reembolsar o dinheiro pago pelo Equipamento.
Além disso, as garantias contidas neste contrato não se aplicam a reparos ou reposições
causadas ou exigidas por: (i) eventos ocorridos após risco ou perdas passadas a você como
perda ou danos durante o envio; (ii) atos de Deus incluindo sem limitação atos naturais
como incêndios, inundações, terremotos, furacões, tempestades ou desastres similares;
(iii) ambiente, instalação, fornecimento elétrico ou uso inadequado, manutenção
inadequada ou qualquer outro uso não apropriado; (iv) ações ou inações governamentais;
(v) greves ou interrupções no trabalho; (vi) seu não cumprimento das instruções de uso,
manuais ou instruções de operação aplicáveis; (vii) seu não cumprimento em implementar,
ou em permitir à Symantec ou seu designado implementar, quaisquer correções ou
modificações ao Equipamento disponibilizadas a você pela Symantec; ou (viii) outros
eventos fora do controle razoável da Symantec.
A Symantec não garante que o Equipamento irá satisfazer suas expectativas, que a
operação do Equipamento será ininterrupta ou que o Equipamento não terá erros.
Para exercitar quaisquer dos direitos de garantia contidos neste Contrato, você deve
apresentar o recibo de vendas ou nota fiscal original demonstrando prova de compra
com sua reclamação de garantia.
7. Informações gerais:
Se você estiver na América do Norte ou na América Latina, este Contrato será regido pelas
leis do Estado da Califórnia, Estados Unidos da América. Caso contrário, este Contrato será
regido pelas leis da Inglaterra. Este Contrato e o Módulo de licença relacionado é o
contrato na íntegra entre Você e a Symantec em relação ao Equipamento e: (i) substitui
todas representações, propostas e comunicações escritas ou orais, sejam elas anteriores ou
contemporâneas, levando em consideração o assunto em questão; e (ii) prevalece sobre
quaisquer conflitos ou termos adicionais de qualquer citação, ordem, confirmação ou
comunicações similares entre as partes. Este Contrato somente pode ser modificado por
um Módulo de licença ou por um documento por escrito assinado por Você e a Symantec.
Este Contrato deverá ser encerrado caso você quebre um termo aqui estabelecido, e você
deverá interromper o uso e destruir todas as cópias do Software e devolver o Equipamento
à Symantec. As isenções de garantias, danos e limitações de responsabilidade serão
conseqüentes ao término do contrato. Se você tiver alguma dúvida sobre este Contrato ou
se desejar entrar em contato com a Symantec por qualquer razão, escreva para: (i)
Symantec Customer Service, 555 International Way, Springfield, OU 97477, E.U.A, ou (ii)
Symantec Customer Service Center, PO BOX 5689, Dublin 15, Irlanda.
Apêndice D
Descrições de campos
Este capítulo aborda os seguintes tópicos:
DHCP Servidor DHCP Faz com que o gateway de segurança atue como
servidor DHCP. Para usar outro servidor DHCP, ou se
os clientes utilizam endereços IP estáticos, clique em
Desativar.
Tabela D-8 Descrições dos campos da guia IP & DHCP da LAN (Continuação)
As opções são:
■ Alugado
■ Reservado
Descrições de campos 173
Descrições dos campos de LAN
Portas LAN físicas Porta 1, Porta 2, Atribui portas na função de switch do gateway
Porta 3, Porta 4 de segurança como confiáveis ou não confiáveis.
(Modelo 320)
Essa opção ativa a segurança da VPN com base
Porta 1, Porta 2, em LAN com e sem fio, através dos recursos de
Porta 3, Porta 4, rede virtual baseada em portas da função de
Porta 5, Porta 6, switch no gateway de segurança, além de
Porta 7, oferecer suporte a túneis globais de LAN
Porta 8 diretamente para a interface sem fio.
(Modelo 360/ A extremidade do túnel estará no gateway
360R) principal para cada sub-rede da LAN.
As opções incluem:
■ Padrão
Use essa atribuição para todos os
dispositivos LAN com fio. Todo o tráfego
é implicitamente tratado como confiável,
tendo permissão para passar entre VLANs.
■ Ponto de acesso protegido do SGS
Permite que a segurança da VPN seja
aplicada no ponto de acesso ou nível de
switch em trânsito.
■ Aplicar túneis de VPN/Permitir passagem
de IPsec
Associação explícita não confiável. Requer
um túnel obrigatório entre o cliente VPN
sem fio e o gateway de segurança. O tráfego
de IPsec tem permissão para passar por um
switch subsidiário com pontos de
terminação de túnel localizados no
gateway de segurança primário e no
cliente.
174 Descrições de campos
Descrições dos campos de WAN/ISP
Modelo 320: Porta WAN Selecione a porta WAN para a qual configurar
Modelo 360: Porta (Modelo 360/ PPPoE.
WAN e sessões 360R)
As opções incluem:
■ pulso
■ tom
■ outro
String de Comando do modem para iniciar a discagem do
discagem número de telefone dial-up.
Tempo limite Número de minutos em que a conexão pode
ocioso permanecer ociosa (sem uso) antes de
desconectar.
Porta WAN: Porta WAN Porta WAN para a qual configurar PPTP.
Modelo 360/360R (Modelo 360/
360R)
Conexão Conectar sob Quando essa opção está ativada, uma conexão é
demanda estabelecida somente quando há solicitação,
como no caso de um usuário que navega em uma
página da Web.
As opções incluem:
■ TZO
Um serviço DNS dinâmico.
■ Padrão
Existem muitos serviços DNS dinâmico
padrão. Consulte as notas da versão do
Symantec Gateway Security 300 Series para
obter a lista de serviços com suporte.
■ Desativar
O gateway de segurança não usa DNS
dinâmico.
Rotas estáticas Entrada da rota Selecione uma entrada da lista para editar ou
excluir.
As opções incluem:
■ LAN interna
■ WAN externa 1
■ WAN externa 2
As opções incluem:
■ Nenhuma (qualquer uma)
Envia o e-mail por qualquer porta WAN.
■ WAN1
Conecta o SMTP à WAN1.
■ WAN2
Conecta o SMTP à WAN2.
188 Descrições de campos
Descrições dos campos de WAN/ISP
As opções incluem:
■ TCP
■ UDP
Configurações de Tipo de IPsec Esses valores são usados nas VPNs de IPsec ESP
passagem do de alguns fornecedores para seus clientes de
IPSec software, visando a compatibilidade da
passagem de IPsec. Essas configurações não se
aplicam ao gateway da VPN no gateway de
segurança.
Mantenha a configuração em 2 SPI, exceto se
instruído pelo Suporte técnico da Symantec a
alterá-la.
A configuração Nenhum permite o uso de
clientes da VPN no modo de host exposto, caso
haja problemas de conexão partindo de trás do
gateway de segurança.
As opções incluem:
■ 1 SPI
ADI (Assured Digital)
■ 2 SPI
Normal (Cisco Client, Symantec Client
VPN, Nortel Extranet, Checkpoint
SecureRemote)
■ 2 SPI-C
(Cisco VPN Concentrator 30x0 series -
antigo Altiga)
■ Outros
Redcreek Ravlin Client
■ Nenhuma
Use somente para clientes de depuração.
As opções incluem:
■ Modo principal
Negocia com um endereço IP de origem.
■ Modo agressivo
Negocia com um identificador, como um
nome. O software cliente da VPN
normalmente negocia no modo agressivo.
O valor padrão é Modo principal.
As opções incluem:
■ Endereço IP
■ Nome exclusivo
O valor padrão é Endereço IP.
As opções incluem:
■ Endereço IP
■ Nome exclusivo
O valor padrão é Endereço IP.
Ativar filtragem Ativar filtragem O tráfego para todos os clientes no grupo VPN
de conteúdo de conteúdo selecionado está sujeito às regras de filtragem
de conteúdo estabelecidas nas listas de
permissões e negações.
As opções incluem:
■ DH Grupo 1
■ DH Grupo 2
■ DH Grupo 5
214 Descrições de campos
Descrições dos campos de VPN
Modificar lista Inserir URL Digite um URL para adicionar à lista de negação
ou permissão. Por exemplo,
www.symantec.com.br ou meusiteadulto.com/
minhasfiguras/eu.html.
O comprimento máximo de um URL é 128
caracteres. Cada lista de filtragem pode
comportar até 100 entradas. Os URLs são
adicionados um por vez.
É necessário usar um nome de domínio
totalmente qualificado. A filtragem de conteúdo
não pode ser executada com um endereço IP.
Números BattleNet 75
Bonk 122
3DES 95
A C
carregando 14
acesso à rede, planejando 63
carregar o firmware 138
acesso administrativo 13
clientes de antivírus 114
administrador do gateway remoto, compartilhando
informações 98 clusters
AES-128 95 criando túneis para clusters do Symantec
Gateway Security 5400 93
AES-192 95
compactação de túnel 82
AES-256 95
compactação, túnel 82
ajuda 11
computadores e grupos de computadores 64
ajuda on-line 11
conceitos básicos sobre tipos de conexão 27
all.bin 136
alta disponibilidade 50 conectando-se manualmente, PPPoE 32
alterar conectividade do modem 40
endereço IP da LAN do equipamento 58 Conectividade DSL 28
intervalo de endereços IP do DHCP 60 conectividade por modem a cabo 28
analógicas 27 conectividade T1 28
aplicativos especiais 75 conectividade, configurando 28
assinaturas IDS/IPS atômicas 121 conexão com a rede externa 21
assinaturas, atômicas 121 conexão de banda larga 28
Assistente de Instalação 25 conexão dial-up 27
seleção de idioma 25 conexão ISDN 27
associação do grupo de computadores 65 Conexão PPTP 28
ataques 121 Conexão SMTP 52
ativando conexão, exemplos de rede 22
passagem de IPsec 78 Conexões analógicas 27
porta IDENT 77 conexões de rede 27
ativando o DHCP 60 conexões internas 57
Atribuições de porta 61 Conexões ISDN 27
atualizações automáticas 133 conexões VPN seguras 81
atualizando o firmware 131 conferência em vídeo 75
avançadas, configurações PPP 44 Configuração de porta WAN 26
AVpe 108 configuração, fazendo backup e restaurando 141
configurando 110 configurações avançadas de WAN/ISP 50
mensagens de registro 115 configurações da rede
opcionais 54
Configurações de conexão avançadas 43
B configurações de política global, túneis de cliente-
Back Orifice 122 para-gateway 103
226 Índice
F IP estático 28
falha geral 52 configurando 34
Fawx 122
fazendo backup e restaurando J
configurações 141 jogos 75
fazendo upgrade de firmware
Jolt 122
Norton Internet Security 137
filtragem de conteúdo 116
gerenciando listas 117 L
LAN 118 Land 122
lista de permissões 116 LB. Consulte equilíbrio de carga
listas de negações 116 LEDs 144
WAN 103, 119 LEDs do painel frontal 144
firewall, lista de hosts 66 Licença 155
firmware 14, 132, 133, 136 Linha de assinante digital assimétrica (ASDL) 29
app.bin 131
linha telefônica especial
atualizações 131
ISDN 27
fazendo o upgrade manualmente 136
Lista de hosts 66
firmware app.bin 131
lista de permissões 116
fluxo de tráfego
acesso de entrada 68 listas de negações 116
acesso de saída 70 LiveUpdate 138
forçando atualizações do DNS dinâmico 47 atualizações 133
Forçar renovação 188 servidor 134
G M
Gateway DNS 53 manualmente
Gateway-para-gateway 89 conectar-se à conta PPTP 37
persistência e alta disponibilidade do túnel 92 fazendo upgrade de firmware 136
túneis dinâmicos 93 mensagens de registro 130, 131
gateway-para-gateway mensagens de registro, encaminhamento de e-
túneis de VPN suportados 91 mail 126
gerenciamento remoto 15 Menu Principal 12
gerenciando modo NAT 77
acesso administrativo 13 monitorando
listas de filtragem de conteúdo 117 contas dial-up 42
solicitações de ICMP 79 status do servidor antivírus 114
usando o console serial 17 uso do DHCP 60
Girlfriend 122 monitorando status do túnel de VPN 104
H N
HA. Consulte alta disponibilidade
negociações de túnel
host exposto 79
Fase 1 84
Fase 2 84
I Nestea 122
IDS/IPS 121 Newtear 122
indicador ativo 26, 53 Norton Internet Security 137
228 Índice
U
Unidade máxima de transmissão (MTU) 44
V
Validação de marca de TCP 124
verificando conectividade do PPPoE 31
VPN
alta disponibilidade do túnel 92
compactação de túnel 82
conexões seguras 81
configurações de política global 103
configurações de túnel 90
Cliente-para-gateway 98
gateway-para-gateway 90
configurando túneis de cliente-para-
gateway 98
criando políticas personalizadas da fase 2 84
criando túneis para clusters do Symantec
Gateway Security 5400 93
fase 2, configurável 84
monitorando status do túnel 104
negociações de túnel
Fase 1 83
Fase 2 83
persistência do túnel 92
políticas 82
status do túnel 104
sub-rede 91
tamanhos da chave de autenticação 95
tamanhos da chave de criptografia 95
Suporte
Licenciamento e registro
Se o produto que estiver implementando necessitar de registro ou de um código
de licença, a maneira mais fácil e rápida de registrar seu serviço é através do
nosso site de registro e licenciamento: www.symantec.com/certificate
Alternativamente, você pode acessar o site http://www.symantec.com/
techsupp/ent/enterprise.html, selecionar o produto que deseja registrar e, na
homepage do produto, selecionar o link para registro e licenciamento.
Se você adquiriu uma assinatura de suporte, terá direito a receber assistência
técnica da Symantec por telefone e pela Internet. Quando entrar em contato
com o Suporte pela primeira vez, tenha disponível o número de licença do seu
certificado ou seu ID de contato gerado através do registro de suporte
disponível, para que o Suporte possa verificar seus direitos a ele. Se você não
adquiriu uma assinatura de suporte, entre em contato com o seu revendedor, ou
com o Serviço de Atendimento ao Cliente para obter detalhes sobre como obter
suporte técnico da Symantec.
232 Soluções de serviço e suporte
Licenciamento e registro
Atualizações de segurança
Para obter as informações mais recentes sobre vírus e ameaças de segurança,
acesse o website do Symantec Security Response (previamente conhecido como
Antivirus Research Center):
http://www.symantec.com.br/region/br/avcenter/
Esse site contém várias informações on-line sobre vírus e ameaças de segurança,
além das definições de vírus mais recentes. As definições de vírus podem
também ser obtidas através de download, usando o recurso LiveUpdate em seu
produto.
Websites da Symantec:
Alemão:
http://www.symantec.com/region/de/techsupp/bulletin/index.html
Francês:
http://www.symantec.com/region/fr/techsupp/bulletin/index.html.
Holandês:
http://www.symantec.com/region/nl/techsupp/bulletin/index.html
Italiano:
http://www.symantec.com/region/it/techsupp/bulletin/index.html
América Latina
Espanhol:
http://www.symantec.com/region/mx/techsupp/bulletin/index.html
Português:
http://www.symantec.com/region/br/techsupp/bulletin/index.html
234 Soluções de serviço e suporte
Suporte Técnico
Suporte Técnico
Como parte do Symantec Security Response, nosso grupo de suporte técnico
global mantém centros de suporte em todo o mundo. Nossa função principal
é responder a perguntas específicas sobre recursos e funções dos produtos,
instalação, configuração e conteúdo do nosso Knowledge Base, acessível na Web.
Trabalhamos em conjunto com outras áreas da Symantec, para responder às
suas perguntas o mais rápido possível. Trabalhamos, por exemplo, com a equipe
de engenharia de produtos ou com os Centro de Pesquisa de Segurança para
fornecer serviços de alertas, Atualizações de definições de vírus para epidemias
e alertas de segurança. Os principais recursos que oferecemos incluem:
■ Uma variedade de opções de suporte, oferecendo-o flexibilidade para
selecionar o serviço ideal para empresas de qualquer porte
■ Componentes de suporte por telefone ou pela Web, fornecendo resposta
rápida e informações atualizadas
■ Atualizações de produtos que fornecem proteção automática através da
atualização de programas
■ Atualizações de conteúdo para definições de vírus e assinaturas de
segurança garantem o mais alto nível de proteção
■ O Suporte global dos especialistas do Symantec Security Response está
disponível 24 horas por dia, 7 dias da semana em todo o mundo, em vários
idiomas
■ Recursos avançados como o serviços de alerta da Symantec e o Gerente
técnico de contas aprimoram a resposta e o suporte dinâmico de segurança
Consulte nosso website para obter informações atuais sobre os Programas de
Suporte.
Contatando o Suporte
Clientes com um contrato de suporte atual podem contatar a equipe de suporte
técnico por telefone ou através da Web, usando a seguinte URL ou os sites
regionais de suporte, relacionados neste documento.
http://www.symantec.com.br/region/br/techsupp/enterprise/index.html
Soluções de serviço e suporte 235
Atendimento ao cliente
Atendimento ao cliente
O Centro de serviços de atendimento ao cliente pode ajudá-lo com questões não
técnicas, como:
■ Informações gerais do produto (ex: recursos, disponibilidade de idiomas,
revendedores na sua área, etc.)
■ Soluções básicas de problemas, como verificação da versão do seu produto
■ Informações mais recentes sobre atualizações do produto
■ Como atualizar seu produto
■ Como registrar seu produto e/ou licenças
■ Informações sobre o Symantec Licence Program
■ Informações sobre a garantia de Upgrade e contratos de manutenção
■ Reposição de CDs e manuais
■ Atualização do registro do seu produto para refletir mudança de nome ou
endereço
■ Assistência em opções de suporte técnico
Informações mais abrangentes sobre o Serviço de Atendimento ao Cliente
podem ser encontradas no website de serviço e suporte da Symantec, e podem
também ser obtidas por telefone, ligando para o Centro de serviços de
atendimento ao cliente da Symantec. Consulte "Informações de contato para o
serviço e suporte mundial" no final desse capítulo, para obter o número do
Serviço de Atendimento ao Cliente e os endereços da Web.
236 Soluções de serviço e suporte
Informações de contato para o serviço e suporte mundial
Alemão:
http://www.symantec.com/region/de/techsupp/bulletin/index.html
Espanhol:
http://www.symantec.com/region/mx/techsupp/bulletin/index.html
Francês:
http://www.symantec.com/region/fr/techsupp/bulletin/index.html
Soluções de serviço e suporte 237
Informações de contato para o serviço e suporte mundial
Holandês:
http://www.symantec.com/region/nl/techsupp/bulletin/index.html
Italiano:
http://www.symantec.com/region/it/techsupp/bulletin/index.html
Português:
http://www.symantec.com/region/br/techsupp/bulletin/index.html
Argentina
Pte. Roque Saenz Peña 832 - Piso 6
C1035AAQ, Ciudad de Buenos Aires
Argentina
Venezuela
Avenida Francisco de Miranda. Centro Lido
Torre D. Piso 4, Oficina 40
Urbanización el Rosal
1050, Caracas D.F.
Venezuela
Colombia
Carrera 18# 86A-14
Oficina 407, Bogotá D.C.
Colombia
Telefone principal +57 (1) 638-6192
Website http://www.service.symantec.com/mx
Brasil
Symantec Brasil
Market Place Tower
Av. Dr. Chucri Zaidan, 920
12° andar
São Paulo - SP
CEP: 04583-904
Brasil
Telefone principal +55 (11) 5189-6200
Fax +55 (11) 5189-6210
Website http://www.service.symantec.com/br
Suporte Gold 000814-550-4172
Chile
Alfredo Barros Errazuriz 1954
Oficina 1403
Providencia,
Santiago de Chile
Chile
Telefone principal +56 (2) 378-7480
Website http://www.service.symantec.com/mx
Suporte Gold 0800-333-0306
México
Boulevard Adolfo Ruiz Cortines 3642 Piso 8,
Colonia Jardines del Pedregal,
01900, México D.F.
México
Telefone principal +52 (55) 5481-2600
Website http://www.service.symantec.com/mx
Suporte Gold 001880-232-4615
CHINA
Symantec China
Unit 1-4, Level 11
Tower E3, The Towers, Oriental Plaza. No.1 East Chang An Ave.
Dong Cheng District
Beijing 100738
China P.R.C.
HONG KONG
Symantec Hong Kong
Central Plaza
Suite #3006
30th Floor, 18 Harbour Road
Wanchai
Hong Kong
ÍNDIA
Symantec India
Suite #801
Senteck Centrako
MMTC Building
Bandra Kurla Complex
Bandra (East)
Mumbai 400051, Índia
Telefone principal +91 22.652 0658
Fax +91 22 652 0671
Website http://www.symantec.com/india
Suporte técnico: +91 22 657 0669
CORÉIA
Symantec Korea
15,16th Floor
Dukmyung B/D
170-9 Samsung-Dong
KangNam-Gu
Seoul 135-741
Coréia do Sul
MALÁSIA
Symantec Corporation (Malaysia) Sdn Bhd
31-3A Jalan SS23/15
Taman S.E.A.
47400 Petaling Jaya
Selangor Darul Ehsan
Malásia
NOVA ZELÂNDIA
Symantec New Zealand
Level 5, University of Otago Building
385 Queen Street
Auckland Central 1001
Nova Zelândia
CINGAPURA
Symantec Singapore
3 Phillip Street
#17-00 & #19-00 Commerce Point
Cingapura 048693
Telefone principal +65 6239 2000
Fax +65 6239 2001
Suporte técnico +65 6239 2099
Website http://www.symantec.com.sg
Soluções de serviço e suporte 243
Informações de contato para o serviço e suporte mundial
FORMOSA
Symantec Taiwan
2F-7, No.188 Sec.5
Nanjing E. Rd.,
105 Taipei
Formosa
O máximo esforço foi feito para garantir que este documento esteja correto.
Porém, as informações aqui contidas estão sujeitas a alterações sem aviso
prévio. A Symantec Corporation se reserva o direito de tais alterações sem
nenhum aviso prévio.