BP SGS300AdminGuide PDF

Guia do Administrador do
Symantec™ Gateway
Security 300
Modelos suportados:
Modelos 320, 360 e 360R
Symantec™ Gateway Security 300
Guia do Administrador
O software descrito neste guia é fornecido sob um contrato de licença e somente
deve ser usado de acordo com os termos descritos.
Documentação - versão 1.0
11 de fevereiro de 2004
Aviso de copyright
Copyright  1998-2004 Symantec Corporation.
Todos os direitos reservados.
Toda a documentação técnica disponibilizada pela Symantec Corporation é obra
protegida pelas leis de copyright, de propriedade da Symantec Corporation.
SEM GARANTIAS. A documentação técnica está sendo entregue COMO ESTÁ e a
Symantec Corporation não se responsabiliza por sua precisão nem pelo seu uso.
O uso da documentação técnica ou das informações nela contidas estão sob a
responsabilidade do usuário. A documentação pode incluir erros técnicos,
tipográficos ou outras imprecisões. A Symantec reserva-se o direito de fazer
alterações sem notificação prévia.
Nenhuma parte desta publicação pode ser copiada sem a permissão expressa,
por escrito, da Symantec Corporation, 20330 Stevens Creek Blvd., Cupertino,
CA 95014.
Marcas comerciais
Symantec, o logotipo da Symantec e Norton AntiVirus são marcas registradas
da Symantec Corporation nos E.U.A. LiveUpdate, LiveUpdate Administration
Utility, Symantec AntiVirus e Symantec Security Response são marcas
comerciais da Symantec Corporation.
Outras marcas e nomes de produtos mencionados neste manual são marcas
comerciais ou registradas de suas respectivas empresas e são aqui reconhecidas.
Made in the U.S.A.
10 9 8 7 6 5 4 3 2 1
Conteúdo
Capítulo 1 Introdução ao Symantec Gateway Security 300

Público-alvo .......................................................................................................... 10
Onde obter mais informações ............................................................................ 10
Capítulo 2 Administrando o gateway de segurança

Acessando a Security Gateway Management Interface ................................. 11
Usando a SGMI ............................................................................................. 13
Gerenciando o acesso administrativo ............................................................... 13
Definindo a senha de administração ........................................................ 14
Configurando o gerenciamento remoto ................................................... 15
Gerenciando o gateway de segurança usando o console serial .................... 17
Capítulo 3 Configurando uma conexão com a rede externa

Exemplos de rede ................................................................................................. 22
Conceitos básicos sobre o Assistente de Instalação ....................................... 25
Sobre os equipamentos de porta WAN dupla .................................................. 25
Conceitos básicos sobre os tipos de conexão ................................................... 27
Configurando a conectividade ........................................................................... 28
DHCP .............................................................................................................. 28
PPPoE ............................................................................................................. 29
IP estático e DNS .......................................................................................... 33
PPTP ............................................................................................................... 35
Contas dial-up ............................................................................................... 38
Definindo configurações de conexão avançadas ............................................ 43
Configurações DHCP avançadas ................................................................ 43
Configurações PPP avançadas ................................................................... 44
Unidade máxima de transmissão (MTU) .................................................. 44
Configurando o DNS dinâmico .......................................................................... 45
Forçando atualizações do DNS dinâmico ................................................. 47
Desativando o DNS dinâmico ..................................................................... 47
Configurando roteamento .................................................................................. 48
Ativando o roteamento dinâmico .............................................................. 48
Configurando entradas de rotas estáticas ............................................... 48
4 Conteúdo
Definindo configurações avançadas de WAN/ISP .......................................... 50

Alta disponibilidade .................................................................................... 50
Equilíbrio de carga ....................................................................................... 51
Conexão SMTP ............................................................................................. 52
Conectando-se a outros protocolos ........................................................... 52
Falha geral .................................................................................................... 52
Gateway DNS ................................................................................................ 53
Configurações opcionais de rede ............................................................... 54
Capítulo 4 Configurando conexões internas

Definindo configurações IP da LAN .................................................................. 58
Configurando o equipamento como servidor DHCP ...................................... 58
Monitorando o uso do DHCP ...................................................................... 60
Configurando atribuições de porta ................................................................... 61
Atribuição de porta padrão ........................................................................ 61
Capítulo 5 Controle de tráfego de rede

Planejando o acesso à rede ................................................................................. 63
Conceitos básicos sobre computadores e grupos de computadores ............ 64
Definindo a associação do grupo de computadores ............................... 65
Definindo grupos de computadores .......................................................... 67
Definindo o acesso de entrada ........................................................................... 68
Definindo o acesso de saída ................................................................................ 70
Configurando serviços ........................................................................................ 73
Redirecionando serviços ............................................................................. 73
Configurando aplicativos especiais .................................................................. 75
Configurando opções avançadas ....................................................................... 77
Ativando a porta IDENT ............................................................................. 77
Desativando o modo NAT ........................................................................... 77
Ativando a passagem de IPsec ................................................................... 78
Configurando um host exposto ................................................................. 79
Gerenciando solicitações de ICMP ............................................................ 79
Capítulo 6 Estabelecendo conexões VPN seguras

Sobre como usar este capítulo ........................................................................... 82
Criando políticas de segurança .......................................................................... 82
Conceitos básicos sobre as políticas de VPN ........................................... 82
Criando políticas de VPN personalizadas da fase 2 ................................ 84
Exibindo a lista de políticas de VPN .......................................................... 86
Conteúdo 5
Identificando usuários ........................................................................................ 86

Conceitos básicos sobre tipos de usuário ................................................. 86
Definindo usuários ...................................................................................... 87
Exibindo a Lista de usuários ....................................................................... 89
Configurando túneis de gateway-para-gateway ............................................. 89
Conceitos básicos sobre túneis de gateway-para-gateway .................... 90
Configurando túneis de gateway-para-gateway dinâmicos .................. 93
Configurando túneis de gateway-para-gateway estáticos ..................... 95
Compartilhando informações com o administrador do
gateway remoto .................................................................................... 98
Configurando túneis de VPN de cliente-para-gateway .................................. 98
Configurando túneis de VPN de cliente-para-gateway .......................... 99
Definindo túneis de VPN cliente .............................................................101
Definindo configurações de política global para túneis de VPN
de cliente-para-gateway ....................................................................103
Compartilhando informações com os clientes ......................................104
Monitorando o status do túnel de VPN ..........................................................104
Capítulo 7 Controle avançado de tráfego de rede

Como a aplicação da política antivírus (AVpe) funciona .............................108
Antes de iniciar a configuração da AVpe .......................................................110
Configurando a AVpe ........................................................................................111
Ativando a AVpe ........................................................................................112
Configurando os clientes de antivírus ....................................................114
Monitorando o status do antivírus ..................................................................114
Mensagens de registro ..............................................................................114
Verificando o funcionamento da AVpe ..........................................................115
Sobre a filtragem de conteúdo .........................................................................116
Considerações especiais ............................................................................116
Gerenciando listas de filtragem de conteúdo ................................................117
Considerações especiais ............................................................................117
Ativando a filtragem de conteúdo para a LAN ......................................118
Ativando a filtragem de conteúdo para a WAN ....................................119
Monitorando a filtragem de conteúdo ............................................................119
Capítulo 8 Evitando ataques

Como a detecção e prevenção de intrusões funciona ...................................121
Proteção contra Cavalo de Tróia .............................................................122
Configurando preferências de proteção .........................................................123
Ativando configurações de proteção avançadas ...........................................123
Proteção contra falsificação de IP ...........................................................123
Validação de marca de TCP ......................................................................124
6 Conteúdo
Capítulo 9 Registro, monitoração e atualizações

Gerenciando registros ....................................................................................... 125
Configurando preferências de registro .................................................. 126
Gerenciando mensagens de registro ....................................................... 130
Atualizando o firmware .................................................................................... 131
Atualizando o firmware automaticamente ............................................ 132
Fazendo upgrade de firmware manualmente ....................................... 136
Verificando o status da atualização do firmware ................................. 140
Fazendo backup e restaurando configurações .............................................. 141
Reinicializando o equipamento ............................................................... 142
Interpretando LEDs ........................................................................................... 144
Seqüências de LED do LiveUpdate e de upgrades de firmware .......... 147
Apêndice A Compatibilidade com padrões regulamentares

Informações sobre a Classe A da FCC ............................................................. 149
Informação sobre a Classe A da CISPR ........................................................... 150
Informação sobre a Classe A no Japão (VCCI) ............................................... 150
Apêndice B Solucionando problemas

Sobre a solução de problemas .......................................................................... 151
Acessando informações sobre solução de problemas .................................. 153
Apêndice C Licença
Licença de sessão para as funções de cliente-para-gateway VPN
do Symantec Gateway Security 300 ........................................................ 155
Licenças de sessão adicionais .................................................................. 156
CONTRATO DE LICENÇA E GARANTIA DO EQUIPAMENTO
SYMANTEC GATEWAY SECURITY ........................................................ 156
Apêndice D Descrições de campos

Descrições dos campos de registro/monitoração ......................................... 161
Descrições dos campos da guia Status ................................................... 162
Descrições dos campos da guia Exibir registro ..................................... 164
Descrições dos campos da guia Configurações do registro ................. 165
Descrições dos campos da guia Solução de problemas ........................ 167
Descrições dos campos de Administração ..................................................... 167
Descrições dos campos da guia Gerenciamento básico ....................... 168
Conteúdo 7
Descrições dos campos da guia SNMP ....................................................168

Descrições dos campos da guia LiveUpdate ..........................................169
Descrições dos campos de LAN ........................................................................170
Descrições dos campos da guia IP & DHCP da LAN ..............................171
Descrições dos campos da guia Atribuições de porta ...........................173
Descrições dos campos de WAN/ISP ..............................................................174
Descrições dos campos da guia Configuração principal ......................175
Descrições dos campos da guia IP estático e DNS .................................176
Descrições dos campos da guia PPPoE ...................................................177
Descrições dos campos da guia Backup de dial-up
e analógico/ISDN ...............................................................................178
Descrições dos campos da guia PPTP .....................................................182
Descrições dos campos da guia DNS dinâmico ......................................183
Descrições dos campos da guia Roteamento .........................................186
Descrições dos campos da guia Avançado .............................................187
Descrições dos campos de Firewall .................................................................189
Descrições dos campos da guia Computadores .....................................189
Descrições dos campos da guia Grupos de computadores ...................191
Descrições dos campos de Regras de entrada .......................................193
Descrições dos campos da guia Regras de saída ...................................194
Descrições dos campos da guia Serviços ................................................195
Descrições dos campos da guia Aplicativos especiais ..........................196
Descrições dos campos de VPN ........................................................................201
Descrições dos campos da guia Túneis dinâmicos ................................202
Descrições dos campos da guia Túneis estáticos ..................................206
Descrições dos campos da guia Túneis de cliente .................................209
Descrições dos campos da guia Usuários de cliente .............................211
Descrições dos campos da guia Políticas de VPN ..................................212
Descrições dos campos da guia Status ....................................................214
Descrições dos campos de IDS/IPS .................................................................217
Descrições dos campos da guia Proteção IDS ........................................217
Descrições dos campos da guia AVpe .............................................................219
Descrições dos campos de filtragem de conteúdo ........................................222
Índice
Soluções de serviço e suporte
Capítulo 1
Introdução ao Symantec
Gateway Security 300
Este capítulo aborda os seguintes tópicos:
■ Público-alvo
■ Onde obter mais informações

Os equipamentos Symantec Gateway Security 300 representam uma solução de
segurança integrada da Symantec para ambientes de pequenos negócios, com
suporte para LANs seguras e sem fio.
O Symantec Gateway Security 300 fornece segurança integrada, pois oferece
seis funções de segurança no produto de base:
■ Firewall
■ Redes privadas virtuais (VPNs, Virtual Private Networks) de IPsec com
criptografia 3DES e AES auxiliada por hardware
■ Aplicação de política antivírus (AVpe, Antivirus policy enforcement)
■ Detecção de intrusão
■ Prevenção contra intrusão
■ Filtragem de conteúdo estático
Todos os recursos destinam-se especificamente à pequena empresa. Esses
equipamentos são perfeitos para ambientes independentes ou como um
complemento ao Symantec Gateway Security 5400 implantado em locais de hub.
10 Introdução ao Symantec Gateway Security 300
Público-alvo
Todos os modelos do Symantec Gateway Security 300 podem ser usados em

ambientes sem fio. Eles possuem firmware sem fio especial e um slot CardBus
capaz de acomodar um complemento funcional opcional, que consiste em um
transmissor e uma antena 802.11 integrados, para permitir a maior segurança
integrada possível para LANs sem fio, quando usados com clientes que executam
o software do Symantec Client VPN. O LiveUpdate de firmware fortalece a
resposta de segurança do Symantec Gateway Security, fazendo com que ele seja
uma solução perfeita para pequenas empresas.
Público-alvo
Este manual é direcionado aos gerentes ou administradores de sistema
responsáveis pela instalação e manutenção do gateway de segurança.
Ele pressupõe que os leitores tenham um conhecimento sólido sobre os
conceitos de rede e que possuam um navegador de Internet.
Onde obter mais informações

As funções do Symantec Gateway Security 300 estão descritas nos seguintes
manuais:
■ Guia do Administrador do Symantec™ Gateway Security
Este manual descreve como configurar o firewall, a VPN, a AVpe, a
filtragem de conteúdo, o IDS/IPS, o LiveUpdate e todos os outros recursos
do equipamento de gateway. Ele é fornecido no formato PDF no CD-ROM
de software do Symantec Gateway Security 300.
■ Guia de Instalação do Symantec™ Gateway Security
Descreve em detalhes como instalar o equipamento de gateway de
segurança e como executar o Assistente de Instalação para obter
conectividade.
■ Cartão de Iniciação Rápida do Symantec™ Gateway Security 300
Este cartão fornece instruções resumidas sobre como instalar o
equipamento.
Capítulo 2
Administrando o gateway
de segurança
■ Acessando a Security Gateway Management Interface
■ Gerenciando o acesso administrativo
■ Gerenciando o gateway de segurança usando o console serial
Acessando a Security Gateway Management

Interface
A interface de gerenciamento do Symantec Gateway Security 300 chama-se
Interface do Security Gateway Management (SGMI, Security Gateway
Management Interface). A SGMI é um console independente para gerenciamento
local e exibição de registro. Este manual descreve como usar a SGMI para
gerenciar os equipamentos Symantec Gateway Security 300. A SGMI é um
console com base em navegador onde você pode criar configurações, exibir
status e acessar registros.
A Ajuda on-line é disponibilizada para cada guia quando você clica no círculo
azul com um ponto de interrogação no canto superior direito da tela.
A SGMI consiste nos seguintes recursos:
■ Opções do Menu Principal no painel esquerdo
■ Guias de menu no painel direito
■ Conteúdo do painel direito
■ Botões de comando no painel direito (inferior)
■ Botões da Ajuda
12 Administrando o gateway de segurança
Acessando a Security Gateway Management Interface
Os itens do Menu Principal estão sempre localizados no lado esquerdo da janela.
Figura 2-1 Security Gateway Management Console

Opções do Menu Principal no painel Opções da guia do menu superior Ajuda on-line
esquerdo
Botões de comando Conteúdo do painel direito
Nota: Os recursos sem fio não são exibidos na SGMI até uma opção de ponto de
acesso da WLAN do Symantec Gateway Security ser instalada corretamente.
Consulte o Guia de Implementação sem fio do Symantec Gateway Security 300
para obter mais informações.
Use um dos seguintes navegadores suportados da Web para conectar-se à SGMI:

■ Microsoft Internet Explorer versão 5.5 ou 6.0 SP1
■ Netscape versão 6.23 ou 7.0
Talvez seja necessário limpar as configurações proxy no navegador antes de
conectar-se à SGMI.
Instale o equipamento de acordo com as instruções do Cartão de Iniciação
Rápida do Symantec Gateway Security 300 antes de conectar-se à SGMI.
Administrando o gateway de segurança 13
Gerenciando o acesso administrativo
A interface exibida quando você se conecta à SGMI pode variar um pouco de

acordo com o modelo gerenciado. A Tabela 2-1 descreve as portas de cada
modelo.
Tabela 2-1 Interfaces por modelo
Modelo Número de portas Número de portas Número de portas

WAN LAN seriais (modem)
320 1 4 1
360/360R 2 8 1
Para conectar-se à SGMI

1 Procure o endereço IP do equipamento.
O endereço IP padrão é 192.168.0.1.
2 No teclado, pressione Enter.
A janela da Security Gateway Management Interface será exibida.
Usando a SGMI
A lista a seguir descreve a melhor forma de trabalhar na SGMI:
■ Para enviar um formulário, clique no botão correto na interface do usuário,
em vez de pressionar Enter no teclado.
■ Caso envie um formulário e receba um erro, clique no botão Voltar no
navegador da Web. Esse procedimento manterá os dados que foram
inseridos.
■ Nas caixas de texto Endereço IP, pressione a tecla Tab para alternar entre as
caixas.
■ Se, após clicar em um botão da interface do usuáriopara enviar o
formulário, o equipamento for reiniciado automaticamente, espere cerca de
um minuto antes de tentar acessar a SGMI mais uma vez.

Você gerencia o acesso administrativo definindo uma senha para o usuário
admin e definindo os endereços IP que podem acessar o equipamento no lado da
rede remota (WAN).
Nota: É preciso definir a senha de administração para ter acesso remoto à SGMI.
Definindo a senha de administração

A senha de administração oferece acesso seguro à SGMI. A definição e alteração
da senha limitam o acesso da SGMI às pessoas que receberam a senha. É preciso
instalar o equipamento e conectar o navegador à SGMI para definir a senha.
Consulte o Guia de Instalação do Symantec Gateway Security 300 para obter mais
informações sobre como configurar o equipamento.
Configure a senha de administração na guia Administração > Gerenciamento
básico ou no Assistente de Instalação. Você também pode configurar um
intervalo de endereços IP a partir do qual será possível gerenciar o equipamento
remotamente. O nome do usuário de administração é sempre admin.
Nota: Altere a senha de administração regularmente para manter um alto nível

de segurança.
Para definir a senha de administração

A senha de administração é definida inicialmente no Assistente de Instalação.
É possível alterá-la na SGMI, redefini-la manualmente ou reiniciar o
equipamento através do console serial, o que a redefine completamente.
O recarregamento do equipamento com a versão app.bin do firmware redefine a
senha.
Consulte "Fazendo upgrade de firmware manualmente" na página 136.
Aviso: Quando você define a senha manualmente pressionando o botão de

reinicialização, o endereço IP da rede LAN é redefinido com o valor padrão
(192.168.0.1) e o servidor DHCP é ativado.
Consulte "Descrições dos campos da guia Gerenciamento básico" na página 168.

Para configurar uma senha

1 No painel esquerdo da SGMI, clique em Administração.
2 No painel direito, na guia Gerenciamento básico, em Senha de
administração, na caixa de texto Senha, digite a senha.
3 Na caixa de texto Confirmar senha, digite a senha novamente.
4 Clique em Salvar.
Para redefinir a senha manualmente

1 Na parte traseira do equipamento, pressione o botão de reinicialização por
10 segundos.
2 Repita o procedimento de configuração de senha. Consulte "Para redefinir a
senha manualmente" na página 15.
Configurando o gerenciamento remoto

É possível acessar a SGMI remotamente no lado da WAN de um computador com
um endereço IP que esteja no intervalo configurado de endereços IP. O intervalo
é definido por um endereço IP de início e outro de fim configurados na seção
Gerenciamento remoto da guia Administração/Gerenciamento básico. Configure
o endereço IP para gerenciamento remoto ao conectar-se pela primeira vez à
SGMI. O gerenciamento remoto é enviado em hash MD5.
Nota: Por motivos de segurança, você deve executar todo o gerenciamento

remoto através de um túnel de VPN de gateway-para-gateway ou de cliente-
para-gateway. Esse procedimento garante um nível adequado de
confidencialidade à sessão de gerenciamento.
Consulte "Estabelecendo conexões VPN seguras" na página 81.
A Figura 2-2 mostra uma configuração de gerenciamento remoto.
Figura 2-2 Gerenciamento remoto
SGMI
Internet
Equipamento Symantec
Gateway Security 300
Dispositivos protegidos
Para configurar o gerenciamento remoto, especifique um endereço IP de início

e outro de fim. Se você deseja gerenciar remotamente a partir de um único
endereço IP, digite-o como o endereço IP de início e de fim. O endereço IP de
início seria o menor número do intervalo de endereços IP e o endereço IP de fim
seria o maior número desse intervalo. Deixe esses campos em branco se quiser
negar o acesso à SGMI.
Gerenciando o gateway de segurança usando o console serial
Para configurar o gerenciamento remoto

Consulte "Descrições dos campos da guia Gerenciamento básico" na página 168.
1 Na SGMI, no painel esquerdo, clique em Administração.
2 No painel direito, na guia Gerenciamento básico, em Gerenciamento
remoto, nas caixas de texto Endereço IP de início, digite o primeiro endereço
IP (menor do intervalo).
3 Nas caixas de texto Endereço IP de fim, digite o último endereço IP (maior
do intervalo).
Para permitir somente um endereço IP, digite o mesmo valor nas duas
caixas de texto.
4 Para ativar atualizações remotas do protocolo TFTP para o firmware do
equipamento a partir do intervalo de endereços IP configurados, selecione
Permitir upgrade de firmware remoto.
O padrão é desativado. Consulte "Fazendo upgrade de firmware
manualmente" na página 136.
5 Clique em Salvar.
6 Para acessar a SGMI remotamente, procure o <endereço IP do
equipamento>:8088, onde <endereço IP do equipamento> é o endereço IP da
WAN do equipamento.
Ao tentar acessar a SGMI remotamente, faça login com o nome de usuário
de administração e a senha.
Gerenciando o gateway de segurança usando o

console serial
Você pode configurar ou reinicializar o gateway de segurança através da porta
serial usando o cabo de modem nulo fornecido com o gateway. A configuração
do gateway de segurança dessa forma é útil para a instalação em uma rede
existente, pois impede que ele interfira na rede quando está conectado.
É possível configurar uma sub-rede de configurações através do console serial.
Essas configurações incluem o seguinte:
■ Endereço IP da LAN (endereço IP do gateway de segurança)
■ Máscara de rede da LAN
■ Ativação ou desativação do servidor DHCP
■ Intervalo de endereços IP para o servidor DHCP alocar
Para gerenciar o gateway de segurança usando o console serial

1 Na parte posterior do equipamento, conecte o cabo de modem nulo à
porta serial.
2 Conecte o cabo de modem nulo à porta COM do computador.
3 Na parte posterior do equipamento, vire a chave DIP 3 para cima (ligar).
4 No teclado, verifique se a tecla Scroll Lock está desativada.
5 Execute um programa de terminal, como o HyperTerminal.
6 Defina o programa de terminal para conectar-se diretamente à porta COM
no computador ao qual o equipamento está fisicamente conectado.
7 Defina as configurações de comunicação desta maneira:
Baud (Bits por segundo) 9600
Bits de dados 8
Paridade Nenhuma
Bits de parada 1
Controle de fluxo Nenhuma
8 Conecte-se ao equipamento.
9 Após a conexão do terminal ao equipamento, no painel posterior do

equipamento, pressione rapidamente o botão de reinicialização.
10 No prompt, proceda de uma das seguintes maneiras:
Endereço IP local Digite 1 para alterar o endereço IP do equipamento.
Máscara de rede local Digite 2 para alterar a máscara de rede do equipamento.
Servidor DHCP Digite 3 para ativar ou desativar o recurso de servidor DHCP

do equipamento.
Endereço IP de início Digite 4 para inserir o primeiro endereço IP no intervalo que o

servidor DHCP pode alocar.
Endereço IP de fim Digite 5 para inserir o último endereço IP no intervalo que o

servidor DHCP pode alocar.
Restaurar padrões Digite 6 para restaurar as configurações padrão do

equipamento para o endereço IP local, máscara de rede local,
servidor DHCP e intervalo DHCP.
11 Se você estiver alterando o endereço IP local, máscara de rede local,

servidor DHCP, endereço IP de início ou endereço IP de fim, proceda da
seguinte maneira:
■ Digite o novo valor para a configuração que está alterando.
■ Pressione Enter.
12 Se estiver restaurando os valores padrão do equipamento, pressione Enter.
13 Digite 7.
O equipamento é reiniciado.
14 Na parte posterior do equipamento, vire a chave DIP 3 para a posição baixo
(desligar).
15 Na parte de trás do equipamento, pressione o botão de reinicialização
rapidamente.
Capítulo 3
Configurando uma conexão
com a rede externa
■ Conceitos básicos sobre os tipos de conexão
■ Configurando a conectividade
■ Definindo configurações de conexão avançadas
■ Configurando o DNS dinâmico
■ Configurando roteamento
■ Definindo configurações avançadas de WAN/ISP

A funcionalidade WAN/ISP do Symantec Gateway Security 300 permite
conexões com o mundo exterior, o que inclui a Internet, uma rede corporativa
ou qualquer outra rede externa pública ou privada. A funcionalidade WAN/ISP
também pode ser configurada para conectar-se a uma LAN interna quando o
equipamento estiver protegendo uma sub-rede interna. Configure as conexões
WAN assim que instalar o equipamento.
É possível configurar ou alterar a conectividade do equipamento nas portas
WAN usando as janelas WAN/ISP ou o Assistente de Instalação, que é executado
na primeira vez que você acessa o equipamento após a instalação.
Antes de iniciar a configuração de uma conexão WAN, determine o tipo de
conexão que você possui com a rede externa e, com base nisso, obtenha
informações a serem usadas durante o procedimento de configuração. Consulte
o Guia de Instalação do Symantec Gateway Security 300 para obter planilhas
para serem usadas durante a configuração.
22 Configurando uma conexão com a rede externa
Exemplos de rede
O modelo 320 do Symantec Gateway Security 300 possui uma porta WAN para
ser configurada. Os equipamentos de modelo 360 e 360R possuem duas portas
WAN que podem ser configuradas separadamente e de forma distinta
dependendo de suas necessidades. Algumas configurações aplicam-se a
ambas as portas WAN, enquanto outras aplicam-se especificamente à WAN1 ou
à WAN2.
Aviso: Após reconfigurar as conexões WAN e reiniciar o equipamento, o tráfego

de rede será interrompido temporariamente e as conexões VPN serão
restabelecidas.
Após estabelecer a conectividade básica, é possível definir configurações

avançadas, como DNS, roteamento e alta disponibilidade/equilíbrio de carga
(HA/LB, high availability/load balancing).
Exemplos de rede
A Figura 3-1 mostra o diagrama de rede de um Symantec Gateway Security 300
conectado à Internet. O ponto terminal representa qualquer tipo de terminação
de rede. Esse dispositivo pode ser fornecido pelo provedor de Internet (ISP,
Internet Service Provider) ou por um comutador de rede. O computador usado
para o gerenciamento de equipamentos é conectado diretamente ao
equipamento por meio de uma de suas portas LAN, e usa um navegador para
conectar-se à Interface do Security Gateway Management (SGMI, Security
Gateway Management Interface). A rede protegida comunica-se através do
equipamento Symantec Gateway Security 300 com a Internet.
Configurando uma conexão com a rede externa 23
Exemplos de rede
Figura 3-1 Conexão com a Internet
Internet
Ponto de terminação
Symantec Gateway
Security 300
SGMI
Rede protegida
Exemplos de rede
A Figura 3-2 mostra um diagrama de rede de um equipamento conectado a uma

Intranet. Nessa situação, o equipamento protege um enclave da rede interna
maior contra usuários internos não-autorizados. O tráfego do enclave da rede
protegida passa através do Symantec Gateway Security 300 e do Symantec
Gateway Security 5400 até a Internet.
Figura 3-2 Conexão com a rede interna
Internet
Symantec Gateway
Security 5400
Roteador
Symantec Gateway
Security 300
SGMI
Rede protegida
Rede de enclave
Conceitos básicos sobre o Assistente de Instalação
Conceitos básicos sobre o Assistente de Instalação

O Assistente de Instalação é iniciado quando você navega pela primeira vez até o
equipamento. Ele o ajuda a configurar a conectividade básica com a Internet ou
com a sua Intranet. Se tiver executado o Assistente de Instalação com sucesso e
verificado a conectividade WAN com a rede externa, você não precisará de
configuração adicional para a WAN 1. Nos modelos 360 ou 360R, use a SGMI
para configurar a WAN 2. Consulte o Guia de Instalação do Symantec Gateway
Security 300 para obter mais informações sobre como usar o Assistente de
Instalação.
Nota: Para alterar o idioma em que a SGMI é exibida, execute o Assistente de

Instalação novamente e selecione outro idioma.
O Assistente de Instalação verifica o status atual da conexão WAN 1 antes de

prosseguir. Se a porta WAN (chamada de WAN 1 nos modelos 360 e 360R)
estiver conectada a uma rede ativa, o Assistente de Instalação o orientará
durante a configuração do LiveUpdate e da senha de administração. Se a porta
WAN não estiver ativa, o Assistente de Instalação o guiará durante as etapas
para inserir parâmetros de conexão específicos de ISP. Use as guias WAN/ISP
para definir configurações de conexão avançadas ou configurar a porta WAN 2.
O Assistente de Instalação pode ser executado novamente a qualquer momento
após a instalação inicial. Para executar o Assistente de Instalação, na janela
WAN/ISP > Configuração principal, clique em Executar o Assistente de
Instalação. Consulte o Guia de Instalação do Symantec Gateway Security 300
para obter mais informações.
Aviso: Tudo o que for digitado e salvo nas guias WAN/ISP sobrescreverá o que
foi digitado anteriormente no Assistente de Instalação. Com isso, poderá ocorrer
perda da conectividade da WAN.
Sobre os equipamentos de porta WAN dupla

Os equipamentos Symantec Gateway Security 300 de modelo 360 e 360R
possuem duas portas WAN: WAN 1 e WAN 2. Os modelos 360 e 360R suportam
diversos tipos de configurações de rede em cada uma de suas portas WAN. Por
exemplo, você pode usar uma conta IP estático como a conexão WAN primária
na sua empresa e uma conta IP dinâmico secundária (e menos cara) para uma
conexão de backup. Cada porta WAN é tratada como uma conexão
completamente diferente.
Sobre os equipamentos de porta WAN dupla
Algumas configurações aplicam-se a ambas as portas WAN e, para outras

configurações, é necessário configurar cada porta WAN separadamente.
A Tabela 3-1 indica a configuração e se ela se aplica a ambas as portas WAN
ou se é necessário configurá-las separadamente.
Tabela 3-1 Configurações de porta WAN
Configuração Que porta WAN?
Tipos de conexão Configure um tipo de conexão para cada porta WAN.

Consulte "Conceitos básicos sobre os tipos de conexão" na
página 27.
Conta de backup Você pode configurar uma conexão primária para a WAN1
e conectar um modem à porta serial na parte traseira do
equipamento para a conexão de backup. Consulte "Contas
dial-up" na página 38.
Configurações opcionais Você pode especificar configurações distintas para cada

de rede porta WAN. Consulte "Configurações opcionais de rede" na
página 54.
DNS dinâmico Aplica-se à WAN1 e WAN2. Consulte "Configurando o DNS

dinâmico" na página 45.
Gateway DNS Aplica-se à WAN1 e à WAN2. Consulte "Gateway DNS" na

página 53.
Indicador ativo Configure um indicador ativo para cada porta WAN.

"Contas dial-up" na página 38 ou "Definindo configurações
avançadas de WAN/ISP" na página 50.
Roteamento Configure roteamento para cada porta WAN. Consulte

"Configurando roteamento" na página 48.
Equilíbrio de carga da Defina a porcentagem do tráfego que você deseja enviar

porta WAN e agregação pela WAN1. O resto será enviado pela WAN2. Consulte
de largura de banda "Equilíbrio de carga" na página 51.
Conectar SMTP Conecte o SMTP à WAN1 ou à WAN2. Consulte "Conexão

SMTP" na página 52.
Alta disponibilidade Especifique se o recurso de alta disponibilidade é usado

para cada porta. Consulte "Alta disponibilidade" na
página 50.
Conceitos básicos sobre os tipos de conexão
Conceitos básicos sobre os tipos de conexão

Para conectar o equipamento a uma rede externa ou interna, é preciso conhecer
seu tipo de conexão.
Primeiro, determine se a conta é dial-up ou de banda larga. Se for dial-up,
vá para Dial-up/ISDN. Se for uma conta dedicada, determine o tipo de conexão
na tabela a seguir e vá para a seção de configuração adequada.
As contas dial-up comuns são analógicas (por uma linha telefônica normal
conectada a um modem externo) e ISDN (por uma linha telefônica especial).
As contas de banda larga normais são conexões de banda larga a cabo, DSL, T1/
E1 ou T3 com um adaptador de terminal.
Nota: Conectar apenas os cabos RJ-45 às portas WAN.
As tabelas a seguir descrevem os tipos de conexão suportados. A coluna Tipo de

conexão é o botão de opção em que você clica na guia Configuração principal
ou no Assistente de Instalação. A coluna Serviços indica os tipos de contas ou
protocolos associados ao tipo de conexão. A coluna Tipos de terminação de rede
relaciona os dispositivos físicos que determinado tipo de conexão geralmente
usa para conectar-se à Internet ou a uma rede.
A Tabela 3-2 relaciona os tipos de conexão dial-up suportados e como você pode
identificá-los.
Tabela 3-2 Tipos de conexão dial-up
Tipo de conexão Serviços Tipos de terminação de rede
Analógica ou ISDN Serviço telefônico Modem dial-up analógico

convencional (POTS,
Plain Old Telephone
Service)
Integrated Services Modem dial-up digital

Digital Network (ISDN) Um modem ISDN é muitas vezes
chamado de adaptador de terminal.
Configurando a conectividade
Se for uma conta de banda larga, consulte a Tabela 3-3 para determinar qual tipo
de conexão você tem.
Tabela 3-3 Tipos de conexão de banda larga
Tipo de conexão Serviços Tipos de terminação de rede
DHCP Banda larga a cabo Modem a cabo
Linha de assinante Modem DSL com cabo Ethernet

digital (DSL, Digital
Subscriber Line)
Conexão direta com a Cabo Ethernet (geralmente uma rede

Ethernet incorporada)
PPPoE PPPoE Modem ADSL com cabo Ethernet
IP estático (IP Banda larga a cabo Modem a cabo

estático e DNS)
Linha de assinante Modem DSL
digital (DSL, Digital
Subscriber Line)
T1 CSU/DSU (Channel Service Unit/

Digital Service Unit)
Conexão direta com a Cabo Ethernet (geralmente uma rede

Ethernet incorporada)
PPTP PPTP Modem DSL com cabo Ethernet
O provedor de Internet ou o administrador da rede também podem ajudá-lo a

determinar seu tipo de conexão.
Após determinar que tipo de conexão possui, você poderá configurar o
equipamento para conectar-se à Internet ou Intranet usando as configurações
apropriadas a essa conexão.
DHCP
O protocolo DHCP automatiza a configuração de computadores em rede.
Ele permite que uma rede com vários clientes extraia as informações de
configuração de um único servidor (servidor DHCP). No caso de uma conta
dedicada de Internet, os usuários são os clientes que extraem as informações do
servidor DHCP do ISP, e os endereços IP são atribuídos somente às contas
conectadas.
Sua conta com o provedor de Internet pode usar o DHCP para alocar endereços
IP. Os tipos de conta que geralmente usam DHCP são de banda larga a cabo e
DSL. Os provedores de Internet podem autenticar as conexões de banda larga a
cabo usando o endereço MAC ou o endereço físico do seu computador ou
gateway.
Consulte "Configurando a conectividade" na página 28 para obter informações
sobre como configurar o DHCP para alocar endereços IP para os seus nós.
Antes de configurar o DHCP para as suas portas WAN, selecione DHCP (IP
automático) como seu tipo de conexão na janela Configuração principal.
Para selecionar DHCP como seu tipo de conexão

Consulte "Descrições dos campos da guia Configuração principal" na página 175.
1 No painel esquerdo da SGMI, clique em WAN/ISP.
2 No modelo 320, proceda da seguinte maneira:
■ No painel direito, na guia Configuração principal, em Tipo de conexão,
clique em DHCP.
■ Clique em Salvar.
3 No modelo 360 ou 360R, proceda da seguinte maneira:
■ Para selecionar um tipo de conexão para a WAN1, em WAN1 (Externa),
na lista suspensa Tipo de conexão, clique em DHCP.
■ Para selecionar um tipo de conexão para a WAN2, em WAN2 (Externa),
na lista suspensa Tipo de conexão, clique em DHCP.
4 Clique em Salvar.
PPPoE
O protocolo é usado por vários fornecedores de linha de assinante digital
assimétrica (ASDL, Asymmetrical Digital Subscriber Line). É uma especificação
para conectar vários usuários de uma rede à Internet através de uma mídia única
dedicada, como uma conta DSL.
É possível especificar se você conecta ou desconecta sua conta PPPoE manual ou
automaticamente. Esse procedimento é útil para verificar a conectividade.
Você pode configurar o equipamento para conectar-se apenas quando uma
solicitação de Internet é feita por um usuário na LAN (por exemplo, navegando
em um website) e desconectar quando a conexão estiver ociosa (fora de uso).
Esse recurso é útil se o seu provedor de Internet cobra por tempo de uso.
Você pode usar vários logins (se a conta com o provedor de Internet permitir
PPPoE de várias sessões) para obter endereços IP adicionais para a WAN. Essas
são sessões PPPoE. O login pode ser o mesmo nome de usuário e senha da sessão
principal ou pode ser diferente para cada sessão, dependendo do seu provedor de
Internet. São permitidos até cinco sessões ou endereços IP para o modelo 320,
e até três sessões para cada porta WAN nos modelos 360 e 360R. Os hosts da
LAN são vinculados a uma sessão na guia Computadores. Consulte "Definindo
configurações IP da LAN" na página 58.
Nota: Vários endereços IP na porta WAN são suportados apenas em conexões

PPPoE.
Por padrão, todas as configurações são associadas à sessão 1. Para contas PPPoE
de várias sessões, configure cada sessão individualmente. Se você tem várias
contas PPPoE, atribua cada uma a uma sessão diferente na SGMI.
Antes de configurar as portas WAN para usar a conta PPPoE, obtenha as
seguintes informações:
■ Nome de usuário e senha
Todas as contas PPPoE exigem nomes de usuário e senhas. Obtenha essas
informações com o seu provedor de Internet antes de configurar o PPPoE.
■ Endereço IP estático
Você deve ter adquirido ou recebido um endereço IP estático para a conta
PPPoE.
Para configurar o PPPoE

Consulte "Descrições dos campos da guia PPPoE" na página 177.
clique em PPPoE (xDSL).
■ No painel direito, na guia Configuração principal, em WAN1 (Externa),
na lista suspensa Tipo de conexão, clique em PPPoE (xDSL).
■ Para usar a WAN 2, em WAN 2 (Externa), em Modo HA, clique em
Normal.
■ Para usar a WAN2, em WAN2 (externa), na lista suspensa Tipo de
conexão, clique em PPPoE (xDSL).
■ No painel direito, na guia PPPoE, em Porta WAN e sessões, proceda de
uma das seguintes maneiras:
■ Na lista suspensa Porta WAN, selecione uma porta WAN a ser
configurada.
4 Se tiver uma conta PPPoE de várias sessões, em Porta WAN e sessões, na
lista suspensa Sessão PPPoE, selecione a sessão apropriada.
5 Se você tiver uma conta PPPoE de sessão única, deixe a sessão PPPoE como
Sessão 1.
6 Em Conexão, selecione Conectar sob demanda.
Se deseja conectar-se a uma sessão PPPoE manualmente, desmarque a
opção Conectar sob demanda e, em Controle manual, clique em Conectar.
7 Na caixa de texto Tempo limite ocioso, digite o número de minutos de
inatividade após os quais você deseja que o equipamento seja desconectado
da conta PPPoE.
8 Se tiver uma conta de Internet PPPoE de IP estático, na caixa de texto
Endereço IP estático, digite o endereço IP.
Caso contrário, deixe o valor como 0.
9 Em Escolher serviço, clique em Pesquisar serviços.
Desconecte-se da conta PPPoE antes de usar esse recurso. Consulte
"Conectando-se à sua conta PPPoE manualmente" na página 32.
10 Na lista suspensa Serviço, selecione um serviço PPPoE.
Clique em Pesquisar serviços para selecionar um serviço.
11 Na caixa de texto Nome de usuário, digite o nome de usuário da conta
PPPoE.
12 Na caixa de texto Senha, digite sua senha da conta PPPoE.
13 Na caixa de texto Confirmar senha, digite novamente a senha da conta
PPPoE.
14 Clique em Salvar.
Verificando a conectividade do PPPoE

Após o equipamento estar configurado para usar a conta PPPoE, verifique se ele
se conecta corretamente.
Para verificar a conectividade

Consulte "Descrições dos campos da guia Status" na página 162.

2 No painel direito, na guia PPPoE, em Controle manual, clique em Conectar.
3 No painel esquerdo, clique em Registro/Monitoração.
No painel direito, na guia Status, em WAN1 (Porta externa), será exibido o status
de conexão.
Se não estiver conectado, verifique os seguintes itens:
■ O nome de usuário e a senha foram digitados corretamente. Alguns
provedores de Internet esperam que o nome de usuário seja usado como
formato de endereço de e-mail. Por exemplo johndoe@meuisp.net.
■ Verifique se todos os cabos estão firmemente conectados.
■ Verifique as informações da sua conta com o provedor de Internet e se a
conta está ativa.
Conectando-se à sua conta PPPoE manualmente

É possível conectar-se à conta PPPoE ou desconectar-se manualmente.
No modelo 360 ou 360R, você pode controlar manualmente a conexão para cada
porta WAN. Isso é útil para solucionar problemas de conexão com o provedor de
Internet.
Para controlar a conta PPPoE manualmente

É possível controlar a conta PPPoE manualmente através da SGMI.
Para conectar-se à conta PPPoE manualmente

2 No modelo 320, no painel direito, na guia PPPoE, em Controle manual,
clique em Conectar.
■ No painel direito, na guia PPPoE, em Porta WAN e sessões, na lista
suspensa Porta WAN, selecione a porta WAN para a conexão.
■ Na lista suspensa Sessão, selecione uma sessão PPPoE.
■ Em Controle manual, clique em Conectar.
Para desconectar-se da conta PPPoE manualmente

2 No modelo 320, no painel direito, na guia PPPoE, em Controle manual,
clique em Desconectar.
■ No painel direito, na guia PPPoE, em Porta WAN e sessões, na lista
suspensa Porta WAN, selecione a porta WAN para desconectar-se.
■ Na lista suspensa Sessão, selecione uma sessão PPPoE.
■ Em Controle manual, clique em Desconectar.
IP estático e DNS
Ao obter uma conta com o provedor de Internet, você pode optar por adquirir
um endereço IP estático (permanente). Com isso, você pode executar um
servidor, como Web ou FTP, pois o endereço nunca é alterado. Qualquer tipo de
conta (dial-up ou banda larga) pode ter um endereço IP estático.
O equipamento encaminha todas as solicitações de pesquisa de DNS ao servidor
DNS especificado para a resolução de nome. O equipamento suporta até três
servidores DNS. Quando você especifica vários servidores DNS, eles são usados
em seqüência. Por exemplo, depois que o primeiro servidor é usado, a próxima
solicitação é encaminhada para o segundo servidor e assim por diante.
Se você tiver um endereço IP estático com o provedor de Internet ou estiver
usando o equipamento protegido por outro dispositivo de gateway de segurança,
selecione IP estático e DNS como o tipo de conexão. É possível especificar o
endereço IP estático e os endereços IP dos servidores DNS que deseja usar para a
resolução de nome.
Antes de configurar o equipamento para conectar-se à conta IP estático, obtenha
as seguintes informações:
■ IP estático, máscara de rede e endereços de gateway padrão
Entre em contato com o departamento de TI ou o provedor de Internet para
obter essas informações.
■ Endereços DNS
Você deve especificar o endereço IP para no mínimo um servidor DNS, e no
máximo três. Entre em contato com o departamento de TI ou o provedor de
Internet para obter essas informações. Não é necessário ter entradas de
endereço IP do DNS para contas de Internet dinâmicas ou contas nas quais
um servidor DHCP atribua os endereços IP.
Se você tiver um endereço IP estático com PPPoE, configure o equipamento
para PPPoE.
Para configurar o IP estático

Especifique o endereço IP estático e o endereço IP para o DNS que deseja usar.
Digite no mínimo um DNS se tiver uma conta IP estático.
Consulte "Descrições dos campos da guia IP estático e DNS" na página 176.
Para configurar o IP estático

2 No painel direito, na guia Configuração principal, em Tipo de conexão,
clique em IP estático.
3 Clique em Salvar.
■ No painel direito, na guia IP estático e DNS, em IP da WAN, nas caixas
de texto Endereço IP, digite o endereço IP desejado do lado externo
(WAN) do equipamento Symantec Gateway Security 300.
■ Na caixa de texto Máscara de rede, digite a máscara de rede.
Só altere isso se o provedor de Internet solicitar.
■ Na caixa de texto Gateway padrão, digite o gateway de segurança
padrão.
■ Nas caixas de texto Servidores de nome de domínio, digite o endereço IP
de no mínimo um e no máximo três servidores de nome de domínio.
■ Em WAN1 (Externa), na lista suspensa Tipo de conexão, clique em
IP estático.
Normal.
■ Para usar a WAN2, em WAN2 (Externa), na lista suspensa Tipo de
conexão, clique em IP estático.
■ No painel direito, na guia IP estático e DNS, em IP da WAN 1 ou IP
da WAN2, nas caixas de texto Endereço IP, digite o endereço IP
desejado do lado externo (WAN) dos equipamentos Symantec Gateway
Security 300.
■ Na caixa de texto Máscara de rede, digite a máscara de rede.
■ Na caixa de texto Gateway padrão, digite o gateway de segurança

padrão.
O Symantec Gateway Security 300 envia os pacotes que ele não sabe
como rotear para o gateway de segurança padrão.
■ Nas caixas de texto Servidores de nome de domínio, digite o endereço IP
de no mínimo um e no máximo três servidores de nome de domínio.
6 Clique em Salvar.
PPTP
O protocolo PPTP (Point-to-Point-Tunneling Protocol) permite a transferência
segura de dados de um cliente para um servidor através da criação de um túnel
em uma rede com base em TCP/IP. Os equipamentos Symantec Gateway
Security 300 atuam como um cliente de acesso PPTP (PAC, PPTP access client)
quando você se conecta a um servidor de rede PPTP (PNS, PPTP Network
Server), geralmente com seu provedor de Internet.
Antes de começar a configuração do PPTP, obtenha as seguintes informações:
■ Endereço IP do servidor PPTP
Endereço IP do servidor PPTP no provedor de Internet.
■ Endereço IP estático
Endereço IP atribuído à sua conta.
■ Informações sobre a conta
Nome de usuário e senha para fazer login na conta.
Para configurar o PPTP

Consulte "Descrições dos campos da guia PPTP" na página 182.
clique em PPTP.

■ Em WAN1 (Externa), na lista suspensa Tipo de conexão, clique em
PPTP.
Normal.
■ Para usar a WAN2, em WAN2 (Externa), na lista suspensa Tipo de
conexão, clique em PPTP.
4 No painel direito, na guia PPTP, em Conexão, selecione Conectar sob
demanda.
5 Na caixa de texto Tempo limite ocioso, digite o número de minutos de
inatividade após os quais você deseja que o equipamento seja desconectado
da conexão PPTP.
6 Na caixa de texto Endereço IP do servidor, digite o endereço IP do servidor
PPTP.
7 Se tiver uma conta de Internet PPTP de IP estático, na caixa de texto
Endereço IP estático, digite o endereço IP.
Caso contrário, deixe o valor como 0.
8 Em Informações do usuário, na caixa de texto Nome de usuário, digite o
nome de usuário da sua conta ISP.
9 Na caixa de texto Senha, digite a senha da sua conta ISP.
10 Na caixa de texto Verificar, digite a senha da sua conta ISP.
11 Clique em Salvar.
Verificando a conectividade do PPTP

Após configurar o equipamento para usar a conta PPTP, verifique se ele se
conecta corretamente.
Para verificar a conectividade do PPTP

2 No modelo 320, no painel direito, na guia PPTP, em Controle manual, clique
em Conectar.
3 Nos modelos 360 e 360R, proceda da seguinte maneira:

■ No painel direito, na guia PPTP, em Porta WAN, na lista suspensa Porta
WAN, selecione a porta WAN para conectar-se.
No painel direito, na guia Status, em WAN1 (Porta externa), será exibido o status
de conexão.
Se você não estiver conectado, verifique se digitou o nome de usuário e a senha
corretamente. Se ainda não estiver conectado, entre em contato com o provedor
de Internet e verifique as informações da sua conta e se ela está ativa.
Conectando-se à sua conta PPTP manualmente

É possível conectar-se à sua conta PPTP ou desconectar-se manualmente.
No modelo 360 ou 360R, você pode controlar manualmente a conexão para
cada porta WAN. Esse procedimento é útil para solucionar problemas de
conectividade.
Para conectar-se à sua conta PPTP manualmente

No modelo 320, você pode conectar-se à sua conta PPTP ou desconectar-se dela.
No modelo 360 ou 360R, selecione a porta WAN a ser controlada e conecte-se ou
desconecte-se.
Para conectar-se à sua conta PPTP manualmente

em Conectar.
WAN, selecione a porta WAN para a conexão.
Para desconectar-se da sua conta PPTP manualmente

em Desconectar.

WAN, selecione a porta WAN para a conexão.
■ Em Controle manual, clique em Desconectar.
Contas dial-up
Existem dois tipos básicos de contas dial-up: analógicas e ISDN. As contas
analógicas usam um modem que se conecta a uma linha telefônica convencional
(conector RJ-11). As contas ISDN são um tipo de conta dial-up que usa uma linha
telefônica especial.
No equipamento, é possível usar uma conta dial-up como sua conexão primária
com a Internet ou como um backup da sua conta dedicada. No modo de backup, o
equipamento disca automaticamente para o provedor de Internet se houver
falha na conexão dedicada. O equipamento reativa a conta dedicada quando ela
se estabiliza. Uma falha da conexão primária com o modem ou do modem com a
conexão primária pode durar de 30 a 60 segundos.
Você pode configurar uma conta dial-up primária e uma conta dial-up de
backup. Você poderá configurar uma conta dial-up de backup se houver falha
em sua conta dedicada primária. Primeiro, conecte o modem ao equipamento.
Em seguida, use a SGMI para configurar a conta dial-up.
Você também pode conectar ou desconectar a sua conta manualmente quando
desejar.
Use um modem externo para contas dial-up. O modem, inclusive os modems
ISDN, é conectado ao equipamento através da porta serial na parte traseira do
equipamento. A Figura 3-3 mostra a porta serial no painel posterior do
equipamento de modelo 320.
Figura 3-3 Painel posterior do equipamento Symantec Gateway Security

modelo 320
Porta serial
A Figura 3-4 mostra a porta serial no painel posterior dos modelos de

equipamento 360 e 360R.
Figura 3-4 Painel posterior dos equipamentos Symantec Gateway Security

modelos 360 e 360R
Porta serial
Antes de configurar o equipamento para usar a conta dial-up como conexão

primária ou de backup, obtenha as informações e os itens a seguir:
Informações sobre a Nome de usuário, que pode ser diferente do nome da conta,
conta e a senha da conta dial-up.
Números de dial-up No mínimo um (e no máximo três) número de telefone para

a conta dial-up.
Endereço IP estático Alguns provedores de Internet atribuem endereços IP

estáticos às suas contas, ou você pode ter adquirido um
endereço IP estático.
Modem/cabos Um modem externo e um cabo serial para conectar o

modem à porta serial na parte de trás do equipamento.
Documentação do Talvez seja necessário consultar a documentação do seu

modem modem para saber as informações sobre comandos ou
modelos.
Para configurar contas dial-up

Primeiro, conecte o modem ao equipamento. Em seguida, use a SGMI para
configurar a conta dial-up.
Nota: Se o gateway do provedor de Internet bloquear solicitações de ICMP, como

PINGs, na guia Configuração principal, e se você deixar a caixa de texto
Indicador ativo IP ou URL do site em branco, o equipamento fará PING no
gateway padrão para determinar a conectividade.
Consulte "Descrições dos campos da guia Backup de dial-up e analógico/ISDN"

na página 178.
Para conectar seu modem

1 Conecte uma extremidade do cabo serial no modem.
2 Conecte uma extremidade do cabo serial à porta serial na parte traseira do
equipamento.
3 Se houver necessidade de energia externa, conecte-o a uma tomada de
parede.
4 Ligue o modem.
Para configurar sua conta dial-up primária

2 No painel direito, na guia Configuração principal, em Tipo de conexão,
clique em Analógico/ISDN.
3 Clique em Salvar.
4 Na guia Backup de dial-up e analógico/ISDN, em Informações da conta ISP,
proceda da seguinte maneira:
Nome do usuário Digite o nome de usuário da conta.
Senha Digite a senha da conta.
Confirmar senha Digite novamente a senha da conta.
Linha dial-up 1 Digite o número de telefone da linha dial-up.
Linha dial-up 2 Como alternativa, digite um número de telefone da linha dial-

up de backup.
Linha dial-up 3 Como alternativa, digite um número de telefone da linha dial-

up de backup.
5 Em Configurações do modem, proceda da seguinte maneira:
Modelo Selecione o modelo do seu modem.
Velocidade da linha Selecione a velocidade de conexão desejada.
Tipo de discagem Selecione o tipo de discagem.
String de rediscagem Digite uma string de rediscagem.

String de Digite uma string de inicialização.

inicialização Se você selecionar um tipo de modem diferente de Outros, a
string de inicialização será fornecida. Se você selecionar
Outros, digite uma string de inicialização.
Tipo da linha Selecione o tipo de linha telefônica.
String de discagem Digite uma string de discagem.
Limite de tempo Digite o tempo, em minutos, após o qual a conexão será

ocioso fechada se estiver ociosa.
6 Clique em Salvar.
Após clicar em Salvar, o equipamento será reiniciado e a conectividade da rede
será interrompida.
Para ativar a conta dial-up de backup

2 Na guia Backup de dial-up e analógico/ISDN, em Modo de backup, proceda
da seguinte maneira:
■ Selecione Ativar modo de backup.
■ Na caixa de texto Indicador ativo IP ou URL do site, digite o endereço IP
ou nome passível de resolução do site a fim de verificar a conectividade.
3 Em Configurações do modem, clique em Salvar.
4 Siga os passos descritos em "Contas dial-up" na página 38.
Controlando sua conta dial-up manualmente

É possível forçar o equipamento a conectar-se ou desconectar-se da sua conta
dial-up. Esse procedimento é útil para a verificação da conectividade.
Para controlar a conta dial-up manualmente

na página 178.
2 Para conectar-se à conta dial-up, na guia Backup de dial-up e analógico/
ISDN, em Controle manual, clique em Discar.
3 Para desconectar-se da conta dial-up, na guia Backup de dial-up e analógico/
ISDN, em Controle manual, clique em Desligar.
Verificando a conectividade dial-up

Após configurar o equipamento para usar sua conta dial-up, verifique se ele se
conecta corretamente.
Para verificar a conectividade dial-up

na página 178.
2 No painel direito, na guia Backup de dial-up e analógico/ISDN, em Controle
manual, clique em Discar.
4 No painel direito, na guia Status, em WAN1 (Porta externa), ao lado de
Status da conexão, será exibido o status de conexão.
Se não estiver conectado, verifique os seguintes itens:
■ O nome de usuário e a senha estão digitados corretamente.
■ A string de inicialização é correta para seu modelo de modem. Verifique a
documentação do modem para obter mais informações.
■ Os cabos estão conectados com segurança.
■ A tomada de telefone na qual o modem está conectado está funcionando.
■ Verifique as informações da sua conta com o provedor de Internet e se a
conta está ativa.
Monitorando o status da conta dial-up

Você pode exibir e atualizar o status da sua conexão de conta dial-up.
Para monitorar o status da conta dial-up

na página 178.
2 Na guia Backup de dial-up e analógico/ISDN, role até Status analógico.
3 Para atualizar o status da conta dial-up, na guia Backup de dial-up e
analógico/ISDN, em Configurações do modem, clique em Atualizar.
Definindo configurações de conexão avançadas

As configurações de conexão avançadas permitem que você controle melhor os
parâmetros de conectividade. Se tiver uma conexão DHCP, você poderá definir
as configurações de renovação. Para as contas PPPoE, é possível configurar
solicitações de eco. Para todos os tipos de conexão, você pode especificar o
tamanho de pacote definindo a unidade máxima de transmissão (MTU,
Maximum Transfer Unit).
Configurações DHCP avançadas

Se selecionou DHCP como seu tipo de conexão, você poderá indicar quando
o equipamento deve enviar uma solicitação de renovação, o que informa ao
provedor de Internet que ele deve alocar um novo endereço IP para o
equipamento.
Você pode indicar, a qualquer momento, que o equipamento solicite um novo
endereço IP, forçando uma renovação DHCP. No entanto, somente faça isso
quando solicitado pelo Suporte técnico da Symantec.
Para definir configurações DHCP avançadas

É possível configurar o momento da renovação de tempo ocioso e forçar
manualmente uma solicitação de renovação DHCP.
Consulte "Descrições dos campos da guia Avançado" na página 187.
Para configurar a renovação de tempo ocioso

2 Na guia Avançado, em Configurações opcionais de conexão, na caixa de
texto Renovação de tempo ocioso de DHCP, digite o número de minutos
após os quais a assinatura de renovação será enviada.
3 Clique em Salvar.
Para forçar uma renovação DHCP

2 No modelo 320, na guia Avançado, em Configurações opcionais de conexão,
clique em Forçar renovação.
3 No modelo 360 ou 360R, proceda de uma das seguintes maneiras:
■ Para renovar a WAN1, na guia Avançado, em Configurações opcionais
de conexão, clique em Renovar WAN1.
■ Para renovar a WAN2, na guia Avançado, em Configurações opcionais
de conexão, clique em Renovar WAN2.
Configurações PPP avançadas

É possível configurar as solicitações de eco enviadas pelo equipamento para
verificar se ele está conectado à conta PPPoE.
Para definir configurações PPP

2 Na guia Avançado, em Configurações PPP, proceda da seguinte maneira:
■ Na caixa de texto Tempo limite, digite o número de segundos antes de
tentar outra solicitação de eco.
■ Na caixa de texto Tentativas, digite o número de vezes que o
equipamento tenta reconectar-se.
3 Clique em Salvar.
Aviso: Para redefinir as configurações de solicitação de eco, clique em Restaurar

padrões. Isso também redefine o número da MTU e as configurações Renovação
de tempo ocioso de DHCP com os seus valores padrão.
Unidade máxima de transmissão (MTU)

Você pode especificar o tamanho máximo dos pacotes que chegam e saem
do equipamento através da porta WAN que está sendo configurada.
Esse procedimento será útil se um computador ou outro equipamento ao longo
do caminho de transmissão exigir uma MTU menor. Nos modelos 360 e 360R, se
você estiver configurando a WAN1 e a WAN2, poderá definir uma MTU diferente
para cada porta.
Para especificar o tamanho da MTU

2 No painel direito, na guia Avançado, em Configurações opcionais de
conexão, na caixa de texto Porta WAN, digite o tamanho da MTU.
3 Clique em Salvar.
Aviso: Para redefinir o tamanho da MTU, clique em Restaurar padrões.

Esse procedimento também redefine as informações de solicitação de eco e
as configurações de Renovação de tempo ocioso de DHCP com os seus valores
padrão.
Configurando o DNS dinâmico

O Symantec Gateway Security 300 pode usar um DNS dinâmico para mapear
endereços IP dinâmicos para um nome de domínio ao qual os usuários podem se
conectar.
Se receber o endereço IP do provedor de Internet de forma dinâmica, os serviços
DNS dinâmico permitirão que você use seu próprio nome de domínio
(meusite.com, por exemplo) ou os nomes de domínio do provedor e o seu
subdomínio para conectar-se aos seus próprios serviços, como um gateway da
VPN, website ou FTP. Por exemplo, caso você configure um servidor Web virtual
e o seu provedor lhe atribua um endereço IP diferente toda vez que você se
conectar ao servidor, seus usuários sempre poderão acessar www.meusite.com.
Os equipamentos suportam dois tipos de serviços DNS dinâmico: padrão e TZO.
Você pode configurar qualquer um deles especificando informações da conta, ou
pode desativar o DNS dinâmico completamente.
Consulte as notas da versão do Symantec Gateway Security 300 para obter a lista
de serviços que têm suporte.
Ao criar uma conta com TZO, as seguintes informações são enviadas para que
você faça login e use a sua conta: chave (senha), e-mail (nome de usuário) e
domínio. Reúna essas informações antes de configurar o equipamento para
usar TZO. Para obter mais informações sobre o DNS dinâmico TZO, vá para
http://www.tzo.com.
Para usar o serviço padrão DNS, obtenha as seguintes informações:
■ Informações sobre a conta
Nome de usuário (que pode ser diferente do nome da conta) e senha para a
conta DNS dinâmico.
■ Servidor
Endereço IP ou nome passível de resolução do servidor DNS dinâmico.
Por exemplo, members.dyndns.org.
Para configurar o DNS dinâmico

No modelo 320, a porta WAN pode ser configurada para usar o DNS dinâmico.
No modelo 360 ou 360R, você pode configurar a WAN1, a WAN2 ou ambas as
portas para usar o DNS dinâmico.
Consulte "Descrições dos campos da guia DNS dinâmico" na página 183.
Para configurar o DNS dinâmico TZO

2 Na guia DNS dinâmico, em Tipo de serviço, clique em TZO.
3 Proceda de uma das seguintes maneiras:
■ No modelo 320, vá para o passo 4.
■ Nos modelos 360 e 360R, na lista suspensa Porta WAN, selecione a
porta WAN para a qual você está configurando o TZO.
4 Em Serviço DNS dinâmico TZO, proceda da seguinte maneira:
■ Na caixa de texto Chave, digite a chave que o TZO enviou quando a
conta foi criada.
■ Na caixa de texto E-mail, digite o endereço de e-mail que você
especificou ao criar a conta TZO.
■ Na caixa de texto Domínio, digite o nome de domínio tratado pelo TZO.
Por exemplo, marketing.meusite.com.
5 Clique em Salvar.
Para configurar o serviço padrão DNS

2 Na guia DNS dinâmico, em Tipo de serviço, clique em Padrão.
■ No modelo 320, vá para o passo 4.
■ Nos modelos 360 e 360R, na lista suspensa Porta WAN, selecione a
porta WAN para a qual você está configurando o DNS dinâmico.
4 Em Serviço padrão, proceda da seguinte maneira:
Nome de usuário Digite o nome de usuário da conta DNS dinâmico.
Senha Digite a senha da conta DNS dinâmico.
Confirmar senha Redigite a senha da conta DNS dinâmico.
Servidor Digite o endereço IP ou nome DNS passível de resolução do

servidor DNS dinâmico.
Nome do host Digite o nome do host que deseja usar.

5 Alternativamente, em Configurações opcionais padrão, proceda da seguinte

maneira:
■ Para acessar sua rede com *.seuhost.seudomínio.com, onde * é um
CNAME como FTP ou www, seuhost é o nome do host e seudomínio.com
é o seu nome de domínio, selecione Curingas.
■ Para usar um mail exchanger de backup, selecione MX de backup.
■ Na caixa de texto Mail Exchanger, digite o nome de domínio do mail
exchanger.
6 Clique em Salvar.
Forçando atualizações do DNS dinâmico

Quando você força a atualização de um DNS dinâmico, o equipamento envia
seu endereço IP, nome do host e domínio atuais ao serviço. Somente faça isso
quando solicitado pelo Suporte técnico da Symantec.
No modelo 320, é possível forçar uma atualização de DNS dinâmico para a
porta WAN. No modelo 360 ou 360R, você pode forçar uma atualização de
DNS dinâmico para a WAN1, a WAN2 ou ambas as portas.
Para forçar uma atualização de DNS

2 No modelo 320, na guia DNS dinâmico, em Tipo de serviço, clique em
Atualizar.
■ Na guia DNS dinâmico, em Tipo de serviço, na lista suspensa Porta
WAN, selecione a porta WAN para a qual está configurando o TZO.
■ Clique em Atualizar.
Desativando o DNS dinâmico

Você pode desativar o DNS dinâmico caso esteja hospedando seu próprio DNS.
No modelo 360 ou 360R, é possível desativar o DNS dinâmico para ambas as
portas WAN.
Para desativar o DNS dinâmico

2 No modelo 320, na guia DNS dinâmico, em Tipo de serviço, clique em
Desativar.
Configurando roteamento

■ Na guia DNS dinâmico, em Tipo de serviço, na lista suspensa Porta
WAN, selecione a porta WAN a ser desativada.
■ Clique em Desativar.
4 Clique em Salvar.
Se você instalar os equipamentos Symantec Gateway Security 300 em uma rede
com mais de um roteador conectado diretamente, especifique o roteador para o
qual deseja enviar o tráfego. O equipamento suporta dois tipos de roteamento:
dinâmico e estático. O roteamento dinâmico escolhe a melhor rota para pacotes
e os envia ao roteador adequado. O roteamento estático envia pacotes ao
roteador especificado por você. As informações sobre roteamento são mantidas
em uma tabela de roteamento.
O roteamento dinâmico é administrado com o protocolo RIP v2. Quando está
ativado, o equipamento escuta e envia solicitações de RIP nas interfaces interna
(LAN) e externa (WAN). O RIP v2 atualiza a tabela de roteamento com base em
informações de fontes não confiáveis. Portanto, somente use o roteamento
dinâmico para Intranets ou gateways de departamento quando puder utilizar
atualizações de roteamento confiáveis.
O roteamento ajuda o fluxo de tráfego quando há vários roteadores em uma
rede. Configure o roteamento dinâmico ou estático conforme suas necessidades.
Ativando o roteamento dinâmico

Você não precisa de informações sobre roteamento para usar o roteamento
dinâmico.
Para ativar o roteamento dinâmico

Consulte "Descrições dos campos da guia Roteamento" na página 186.
2 Na guia Roteamento, em Roteamento dinâmico, selecione Ativar RIP v2.
3 Clique em Salvar.
Configurando entradas de rotas estáticas

Antes de adicionar entradas de rotas estáticas à tabela de roteamento, obtenha o
IP de destino, a máscara de rede e os endereços de gateway referentes ao
roteador para o qual o tráfego será roteado. Entre em contato com o
departamento de TI para obter essas informações.
Você pode adicionar novas entradas de rotas, editar entradas existentes, excluir
entradas ou exibir uma tabela de entradas.
Nota: Se o NAT estiver ativado, somente seis rotas serão exibidas na lista de
roteamentos. Quando o NAT está desativado, todas as rotas configuradas são
exibidas na lista.
Para configurar entradas de rotas estáticas

É possível adicionar, editar ou excluir uma entrada de rota estática ou exibir a
lista de entradas existentes.
Consulte "Descrições dos campos da guia Roteamento" na página 186.
Para adicionar uma entrada de rota

2 Na guia Roteamento, em Rotas estáticas, proceda da seguinte maneira:
IP de destino Digite o endereço IP para o qual serão enviados pacotes.
Máscara de rede Digite a máscara de rede do roteador para o qual serão

enviados pacotes.
Gateway Digite o endereço IP da interface para a qual serão enviados

pacotes.
Interface Selecione a interface que envia o tráfego.
Medida Digite um número para representar a ordem na qual você

deseja que a entrada seja avaliada. Por exemplo, para avaliar a
terceira entrada, digite 3.
3 Clique em Adicionar.
Para editar uma entrada de rota

2 Na guia Roteamento, em Rotas estáticas, na lista suspensa Entrada de rota,
selecione uma entrada de rota.
3 Em Rotas estáticas, altere as informações em qualquer um dos campos.
4 Clique em Atualizar.
Definindo configurações avançadas de WAN/ISP
Para excluir uma entrada de rota

2 Na guia Roteamento, em Rotas estáticas, na lista suspensa Entrada de rota,
selecione uma entrada.
3 Clique em Excluir.
Para exibir a tabela da lista de roteamento

2 Na guia Roteamento, role até a parte inferior da página.

Você pode definir configurações avançadas de conectividade, como um gateway
DNS, HA/LB, conexão SMTP e falha geral. Também é possível definir
configurações opcionais de rede, que identificam o equipamento para uma rede.
Nota: Cada um dos equipamentos de modelo 320 tem uma porta WAN e não
suporta alta disponibilidade, equilíbrio de carga e agregação de largura de
banda.
Alta disponibilidade
É possível configurar alta disponibilidade para cada porta WAN de três
maneiras: Normal, Desligado ou Backup. A Tabela 3-4 descreve cada modo.
Tabela 3-4 Modos de alta disponibilidade
Modo Descrição
Normal As configurações de equilíbrio de carga aplicam-se à porta quando

ela está ativada e em operação.
Desligado A porta WAN está fora de uso.
Backup A porta WAN só aceita a passagem de tráfego se a outra porta

WAN não está funcionando.
Por padrão, a WAN1 é definida como Normal e a WAN2 como Desligado.

A agregação de largura de banda permite que você combine o volume de tráfego

que passa pela WAN1 e pela WAN2 a fim de aumentar a quantidade de largura
de banda que os clientes podem usar. Para a transferência de dados da WAN, a
agregação de dados pode até dobrar a transmissão da WAN, de acordo com as
características do tráfego.
Para configurar alta disponibilidade

2 Na guia Configuração principal, proceda da seguinte maneira:
■ Para configurar a porta WAN1, em WAN1, selecione o modo de alta
disponibilidade.
■ Para configurar a porta WAN2, em WAN2, selecione o modo de alta
disponibilidade.
3 Clique em Salvar.
Equilíbrio de carga
Os equipamentos Symantec Gateway Security 300 de modelo 360 e 360R têm,
cada um, duas portas WAN. Nesses equipamentos, é possível configurar a alta
disponibilidade e o equilíbrio de carga (HA/LB) entre as duas portas WAN.
Você pode definir a porcentagem dos pacotes que são enviados para a WAN1 ou
a WAN2. Digite uma porcentagem somente para a WAN1; o resto dos pacotes
serão enviados pela WAN2. Caso tenha uma conexão mais lenta, use um valor
mais baixo para a porta WAN a fim de obter um melhor desempenho.
Para configurar o equilíbrio de carga

2 Na guia Avançado, em Equilíbrio de carga, na caixa de texto Carga de WAN
1, digite a porcentagem de tráfego para passar pela WAN 1.
3 Clique em Salvar.
Conexão SMTP
Use a conexão SMTP quando tiver duas conexões distintas com a Internet com
provedores distintos usados em portas WAN distintas. Esse procedimento
assegura que o e-mail enviado por um cliente passe pela porta WAN associada ao
seu servidor de e-mail.
Se o servidor SMTP estiver na mesma sub-rede de uma das portas WAN, o
gateway de segurança conectará o servidor SMTP a essa porta WAN, e você não
terá que especificar as informações de conexão.
Para configurar a conexão SMTP

2 Na guia Avançado, em Equilíbrio de carga, na lista suspensa Conectar SMTP
à porta WAN, selecione uma opção de conexão.
3 Em Gateway DNS, clique em Salvar.
Conectando-se a outros protocolos

Você pode usar a funcionalidade de roteamento do firewall para conectar outros
tipos de tráfego. Adicione uma rota estática se quiser rotear o tráfego do
endereço IP do servidor de destino para uma porta WAN específica.
Consulte "Configurando roteamento" na página 48.
Falha geral
Você pode configurar o equipamento para testar a conectividade periodicamente
a fim de assegurar que a sua conexão esteja disponível para os clientes. Depois
do tempo especificado (por exemplo, 10 segundos), o equipamento executa um
comando PING no URL especificado como indicador ativo. Se você não
especificar um indicador ativo, o gateway padrão será usado.
Nota: Ao selecionar um URL para verificação, escolha um nome DNS ou

endereço IP que tenha certeza de que responderá a uma solicitação, ou você
poderá receber uma confirmação falsa quando a conexão estiver realmente
disponível.
Quando a porta WAN do modelo 320 falha, o gateway de segurança falha na

porta serial, que está conectada a um modem. No modelo 360 ou 360R, se uma
das portas WAN falha, o gateway de segurança falha na outra porta WAN. Se as
duas portas WAN falham, o gateway de segurança falha na porta serial.
Se alguma linha estiver fisicamente desconectada, ela será considerada

desconectada e o equipamento tentará rotear o tráfego para a porta serial ou
para a outra porta WAN.
Se o cabo não estiver fisicamente desconectado, o equipamento verificará a
linha regularmente para determinar se a linha está ativa. Se a linha falhar, ela
aparecerá como desconectada na guia Registro/Monitoração > Status, e uma
rota alternativa será tentada para o tráfego.
Consulte "Contas dial-up" na página 38 para configurar uma falha geral para
uma conta dial-up. Consulte "Conectando-se à sua conta PPPoE manualmente"
na página 32 para configurar uma solicitação de eco para contas que usam PPP.
Para configurar uma falha geral

2 Para configurar um indicador ativo para a WAN1, na guia Configuração
principal, em WAN1 (Externa), na caixa de texto Servidor de indicador ativo,
digite o endereço IP ou nome DNS passível de resolução de um servidor para
o qual serão enviados pacotes.
3 Para configurar um indicador ativo para a WAN2, na guia Configuração
principal, em WAN2 (Externa), na caixa de texto Servidor de indicador ativo,
digite o endereço IP ou nome DNS passível de resolução de um servidor para
o qual serão enviados pacotes.
4 Clique em Salvar.
Gateway DNS
Você pode especificar um gateway DNS para a resolução de nomes local e remota
na sua VPN. Para a resolução de nomes local e remota na VPN (gateway-para-
gateway ou cliente-para-gateway), o equipamento pode usar um gateway DNS.
Um gateway DNS de backup pode ser especificado. O gateway DNS trata da
resolução de nomes, mas se ele ficar indisponível, o backup (em geral, um
gateway DNS através do provedor de Internet) poderá assumir o controle.
Para configurar um gateway DNS

Você pode configurar um gateway DNS primário e de backup.
Para configurar um gateway DNS

2 Na guia Avançado, em Gateway DNS, nas caixas de texto Gateway DNS,
digite o endereço IP do gateway DNS.
3 Clique em Salvar.
Para configurar um gateway DNS de backup

2 Na guia Avançado, em Gateway DNS, selecione Ativar backup do
gateway DNS.
3 Clique em Salvar.
Configurações opcionais de rede

As configurações opcionais de rede identificam seu equipamento para o resto da
rede. Se planeja conectar-se ou referir-se ao seu equipamento por nome, defina
essas configurações.
Alguns provedores de Internet autenticam pelo endereço físico (MAC) da porta
Ethernet. Isso ocorre bastante com serviços de banda larga a cargo (DHCP). Você
pode duplicar o endereço de adaptador do seu computador para conectar-se ao
seu provedor de Internet com o Symantec Gateway Security 300. Isso se chama
duplicação ou máscara de MAC.
Se o equipamento vai ser um ponto de acesso sem fio, as configurações opcionais
de rede devem ser definidas. Consulte o Guia de Implementação sem fio do
Symantec Gateway Security 300.
No modelo 320, defina as configurações para a porta WAN. No modelo 360 ou
360R, é possível definir as configurações de rede para uma ou duas portas WAN.
Antes de definir as configurações opcionais de rede, obtenha as seguintes
informações:
Nome de host Nome do equipamento. Por exemplo, marketing.
Nome de domínio Nome usado para referir-se ao equipamento na Internet.

Por exemplo, meusite.com. Se o nome de host for marketing, o
equipamento será marketing.meusite.com.
Endereço MAC Endereço físico da WAN do equipamento. Se estiver executando

uma duplicação de MAC, obtenha o endereço MAC que o seu
provedor de Internet está esperando, e não o endereço do
equipamento.
Para definir configurações opcionais de rede

Consulte "Descrições dos campos da guia Atribuições de porta" na página 173.
■ No painel direito, na guia Configuração principal, em Configurações
opcionais de conexão, na caixa de texto Nome do host, digite um nome
de host.
Os nomes de host e domínio diferenciam maiúsculas de minúsculas.
■ Na caixa de texto Nome do domínio, digite o nome de domínio do
equipamento.
■ Nas caixas de texto Endereço MAC, digite o endereço do adaptador
(MAC) da rede WAN que você está duplicando.
3 Nos modelos 360 e 360R, proceda da seguinte maneira:
■ Para configurar a WAN1 ou a WAN2, no painel direito, na guia
Configuração principal, em Configurações opcionais de rede, em WAN1
(Externa), proceda da seguinte maneira:
Caixa de texto Nome Digite um nome de host.

do host
Os nomes de host e domínio diferenciam
maiúsculas de minúsculas.
Caixa de texto Nome de Digite um nome de domínio para o

domínio equipamento.
Caixas de texto Endereço Digite o endereço do adaptador (MAC) da

MAC rede WAN que você está duplicando.
4 Clique em Salvar.
Após clicar em Salvar, o equipamento será reiniciado e a conectividade da rede
será interrompida.
Capítulo 4
Configurando conexões
internas
■ Definindo configurações IP da LAN
■ Configurando o equipamento como servidor DHCP
■ Configurando atribuições de porta

As configurações de LAN permitem configurar o equipamento Symantec
Gateway Security 300 para que funcione em uma rede interna nova ou existente.
A cada equipamento é atribuído um endereço IP e uma máscara de rede por
padrão, que podem ser alterados por você. Assim, é possível especificar um
endereço IP e uma máscara de rede que sejam apropriados à sua rede.
Você também pode configurar o equipamento para que funcione como um
servidor DHCP para seus clientes. Com isso, endereços IP são atribuídos aos
clientes de forma dinâmica para que não seja necessário configurar cada cliente
para usar um endereço IP estático.
Nota: O modelo 320 possui quatro portas LAN e os modelos 360 e 360R possuem
oito. Para cada uma delas, especifique as configurações de porta usando as
atribuições de porta. Essas configurações são usadas para definir LANs seguras
com e sem fio.
58 Configurando conexões internas
Definindo configurações IP da LAN
Definindo configurações IP da LAN

Cada equipamento possui um endereço IP padrão 192.168.0.1 com uma máscara
de rede padrão 255.255.255.0. Você pode configurar o equipamento para usar
um endereço IP e uma máscara de rede diferentes para a LAN. Isso será útil se
desejar configurar uma LAN para usar uma sub-rede exclusiva para o seu
ambiente de rede. Por exemplo, se a sua rede já usa 192.168.0.x, você pode
alterar o endereço IP do equipamento para 10.10.10.x, de forma que não seja
preciso reconfigurar a rede já existente.
É possível alterar o endereço IP e a máscara de rede do equipamento a qualquer
momento. O endereço IP padrão é 192.168.0.1 e a máscara de rede padrão é
255.255.255.0. Certifique-se de que o valor do último octeto do endereço IP
escolhido para o equipamento não seja zero (0).
Não é possível definir o endereço IP do equipamento como 192.168.1.0.
Aviso: Após alterar o endereço IP da LAN do equipamento, navegue até o novo

endereço IP do equipamento para usar a SGMI. Se clicar no botão Voltar no
navegador, ele tentará acessar o endereço IP antigo.
Para alterar o endereço IP da LAN do equipamento

Consulte "Descrições dos campos da guia IP & DHCP da LAN" na página 171.
1 No painel esquerdo da SGMI, clique em LAN.
2 No painel direito, na guia IP e DHCP da LAN, em IP da LAN, nas caixas de
texto Endereço IP, digite o novo endereço IP.
3 Na caixa de texto Máscara de rede, digite a nova máscara de rede.
4 Clique em Salvar.
Configurando o equipamento como servidor DHCP

O protocolo DHCP (Dynamic Host Configuration Protocol) aloca endereços IP
locais para computadores na LAN sem atribuir manualmente a cada computador
seu próprio endereço IP. Isso elimina a necessidade de haver um endereço IP
estático (permanente) para cada computador na LAN, e é útil caso você possua
um número limitado de endereços IP disponíveis. Cada vez que um computador
conectado à LAN é ligado, um endereço IP do intervalo de endereços disponíveis
é atribuído a ele pelo DHCP.
Nota: Cada computador cliente no qual você deseja usar o DHCP deve ter a sua
própria configuração de rede definida para obter o endereço IP
automaticamente.
Configurando conexões internas 59
Por padrão, o intervalo de endereços IP que o equipamento pode atribuir é de

192.168.0.2 a 192.168.0.XXX, onde XXX é o número de clientes a serem
suportados, mais dois. Por exemplo, se você suporta 50 clientes no seu
equipamento, o último endereço IP no intervalo é 192.168.0.52. O servidor DHCP
no equipamento atende endereços IP de até 253 computadores conectados.
Se você alterar o endereço IP do equipamento, ajuste o intervalo de endereços IP
do DHCP adequadamente. Consulte "Para alterar o intervalo de endereços IP do
DHCP" na página 60.
A Tabela 4-1 mostra o endereço IP padrão de início e de fim para cada modelo.
O intervalo padrão baseia-se no número máximo recomendado de clientes
simultâneos para cada modelo. O número de clientes que pode ser suportado
pode variar de acordo com as características do tráfego.
Tabela 4-1 Intervalos de endereços IP do DHCP
Modelo Número de clientes Endereço IP de Endereço IP de fim

início
320 50 192.168.0.2 192.168.0.76
360 75 192.168.0.2 192.168.0.76
O servidor DHCP somente suporta redes de classe C. As redes de classe C têm

endereços de 192.0.0.0 a 223.255.255.0. O número da rede corresponde aos três
primeiros octetos, de 192.0.0 a 223.255.255. Toda rede de classe C pode ter um
octeto de hosts.
O equipamento pode ser colocado em qualquer classe de rede, mas o servidor
DHCP não as suporta.
Caso você possua uma combinação de clientes que usam endereços DHCP e IP
estático, os endereços IP estáticos devem estar fora do intervalo de endereços IP
do DHCP. Além disso, convém atribuir endereços IP estático a alguns serviços.
Por exemplo, se você tiver um servidor da Web no seu site, convém atribuir-lhe
um endereço estático.
O servidor DHCP do equipamento é ativado por padrão. Se você desativar o
servidor DHCP, a cada cliente que estiver conectando-se à LAN deverá ser
atribuído um endereço IP que esteja no intervalo. Se você ativar o trânsito no
equipamento como um ponto de acesso sem fio secundário, o servidor DHCP
será desativado.
Para configurar o equipamento como um servidor DHCP

Você pode ativar ou desativar o DHCP e definir o intervalo de endereços IP que o
equipamento aloca para os clientes.
Consulte "Descrições dos campos da guia IP & DHCP da LAN" na página 171.
Para ativar ou desativar o DHCP

2 No painel direito, na guia IP & DHCP da LAN, em DHCP, proceda de uma das
seguintes maneiras:
■ Para ativar o equipamento como um servidor DHCP, selecione Ativar.
■ Para desativar o equipamento como um servidor DHCP, selecione
Desativar.
3 Nas caixas de texto Endereço IP do início do intervalo, digite o primeiro
endereço IP.
4 Nas caixas de texto Endereço IP do fim do intervalo, digite o último
endereço IP.
5 Clique em Salvar.
Para alterar o intervalo de endereços IP do DHCP

2 No painel direito, na guia IP & DHCP da LAN, em DHCP, proceda da seguinte
maneira:
■ Nas caixas de texto Endereço IP do início do intervalo, digite o primeiro
endereço IP.
■ Nas caixas de texto Endereço IP do fim do intervalo, digite o último
endereço IP.
3 Clique em Salvar.
Monitorando o uso do DHCP

A tabela DHCP relaciona os endereços atribuídos a clientes conectados. Você
pode exibir o nome de host, endereço IP, endereço físico e status de cada cliente.
Depois que o equipamento for reinicializado, essa tabela poderá levar até uma
hora para ser atualizada.
Para exibir o uso do DHCP

Consulte "Descrições dos campos de LAN" na página 170.
◆ No painel esquerdo da SGMI, clique em LAN.
Configurando conexões internas 61
Configurando atribuições de porta

As atribuições de porta no gateway de segurança permitem especificar se a porta
LAN encontra-se em uma rede confiável ou não confiável. As portas confiáveis
destinam-se às redes que não utilizam autenticação de VPN para conectar-se à
LAN. As portas não confiáveis destinam-se a redes com ou sem fio que utilizam
clientes de VPN para conectar-se a recursos da LAN.
É possível conectar vários dispositivos de rede às portas LAN: roteadores,
switches, computadores-cliente ou outros equipamentos Symantec Gateway
Security 300. Para essas opções, selecione a atribuição de porta Padrão.
Se estiver conectando equipamentos Symantec Gateway Security 300
configurados como um ponto de acesso sem fio para uma porta LAN, você
poderá proteger a conexão sem fio usando a tecnologia VPN. Consulte o
Guia de Implementação sem fio do Symantec Gateway Security 300.
Depois que a atribuição de porta for definida, as portas não confiáveis
permitirão e aplicarão o tráfego de VPN criptografado, usando túneis globais
até o equipamento ou passagem de IPsec para extremidades do lado WAN.
Atribuição de porta padrão

Quando as portas LAN são designadas como portas padrão, o equipamento atua
como um típico switch: ele encaminha o tráfego com base em endereço MAC, e o
tráfego não alcança o mecanismo de gateway de segurança, a menos que seja
designado especificamente para esse fim.
Essa opção não suporta túneis de VPN cliente que terminam na LAN. Quando é
definida como padrão, uma porta LAN não é considerada parte da VLAN.
Quando você seleciona Padrão, o tráfego de VPN não é imposto ao switch, ou
seja, uma rede privada confiável assume o tráfego.
Para configurar atribuições de porta

Você pode definir uma porta LAN específica para usar uma atribuição de porta
ou restaurar as configurações de porta padrão.
Consulte "Descrições dos campos da guia Solução de problemas" na página 167.
Para configurar uma atribuição de porta

2 No painel direito, na guia Atribuição de porta, em Portas LAN físicas, na
lista suspensa de portas numeradas, selecione uma atribuição de porta.
3 Clique em Salvar.
O equipamento é reinicializado quando as configurações de porta são salvas.
Para restaurar as configurações padrão de atribuição de porta

2 No painel direito, na guia Atribuição de porta, em Portas LAN físicas, clique
em Restaurar padrões.
O equipamento é reinicializado quando as configurações de porta são salvas.
Capítulo 5
Controle de tráfego de rede
■ Planejando o acesso à rede
■ Conceitos básicos sobre computadores e grupos de computadores
■ Definindo o acesso de entrada
■ Definindo o acesso de saída
■ Configurando serviços
■ Configurando aplicativos especiais
■ Configurando opções avançadas
O equipamento Symantec Gateway Security 300 inclui tecnologia de firewall que
permite configurar o componente de firewall para atender aos seus requisitos de
política de segurança. Ao configurar o firewall, identifique todos os
computadores (nós) a serem protegidos na sua rede.
Nota: Este capítulo utiliza o termo computadores. Um computador é definido

como qualquer componente que tenha seu próprio endereço IP, por exemplo:
servidor terminal, fotocopiadora em rede, computador desktop, laptop, servidor,
servidor de impressão e assim por diante.
Planejando o acesso à rede

O desenvolvimento de uma política de segurança o ajuda a identificar o que
precisa ser configurado. Consulte o Guia de Instalação do Symantec Gateway
Security 300.
64 Controle de tráfego de rede
Conceitos básicos sobre computadores e grupos de computadores
Antes de configurar o gateway de segurança, considere o seguinte:

■ Informar-se sobre computadores e grupos de computadores. Consulte
"Conceitos básicos sobre computadores e grupos de computadores" na
página 64.
■ Que tipos de usuários serão protegidos pelo gateway de segurança? Todos os
usuários terão o mesmo acesso e os mesmos privilégios?
■ Que tipos de serviços você deseja que estejam disponíveis aos usuários
internos?
■ Que serviços de aplicativos padrão você deseja que estejam disponíveis aos
usuários externos?
■ Que tipos de serviços de aplicativos especiais você deseja oferecer a
usuários e hosts externos?
Conceitos básicos sobre computadores e grupos de

computadores
Computadores são todos os nós por trás do equipamento. Isso inclui laptops
permanentes residentes na LAN, servidores de aplicativos e qualquer host ou
impressora. O equipamento é configurado para reconhecer o computador pelo
seu endereço MAC (físico).
Os grupos de computadores permitem criar regras de saída e aplicá-las a
computadores que devem ter o mesmo acesso. Em vez de criar uma regra
de tráfego para cada computador individual na sua rede, defina grupos de
computadores, atribua cada computador a um grupo e crie regras para esse
grupo.
Por padrão, todos os computadores fazem parte do grupo Todos e podem
usar a Internet sem restrições até que eles sejam atribuídos a outro grupo de
computadores que tenha regras de tráfego configuradas. Você pode criar
regras que se apliquem ao grupo Todos ou, para um maior controle, dividir os
computadores em um dos quatro grupos existentes e atribuir regras diferentes a
cada grupo. Se um computador não estiver definido na tabela de computadores,
ele pertence ao grupo de computadores Todos.
Nota: O equipamento possui cinco grupos de computadores: Todos, Grupo 1,

Grupo 2, Grupo 3 e Grupo 4. Não é possível adicionar, excluir ou renomear
grupos de computadores.
Controle de tráfego de rede 65
Antes de criar regras de entrada e saída para administrar o tráfego, execute as

seguintes tarefas nesta ordem:
■ Defina os grupos de computadores.
Consulte "Definindo a associação do grupo de computadores" na página 65.
■ Defina computadores por trás do equipamento e atribua-os a grupos.
Definindo a associação do grupo de computadores

A configuração de computadores é o primeiro passo para configurar o
componente de firewall do equipamento.
Ao criar sua política de segurança, atribua o maior grupo de hosts ao grupo de
computadores Todos para minimizar a entrada e o gerenciamento de endereços
MAC. Por padrão, todos os hosts pertencem ao grupo de computadores Todos até
que você os configure para um dos outros quatro grupos.
Analise sua política de segurança para determinar de quantos grupos de
computadores você precisa (se necessário) e que usuários devem ser atribuídos a
cada grupo de computadores.
Na guia Computadores, você pode identificar cada computador digitando seu
endereço MAC, atribuir um endereço IP estático, atribuí-lo a um grupo de
computadores e conectá-lo a uma sessão PPPoE (caso seu provedor de Internet
ofereça várias sessões PPPoE). Consulte "PPPoE" na página 29.
Nota: Para localizar o endereço MAC de um computador com Microsoft

Windows, no prompt do DOS, digite ipconfig /all e procure o endereço físico.
Nos modelos 360 e 360R, você pode definir que o computador use somente uma
das portas WAN. Isso será útil caso você possua duas contas de banda larga (uma
para cada porta WAN) e deseje que determinado computador use somente uma.
Esse procedimento também é útil para servidores ou aplicativos que sempre
devem usar um IP específico, como FTP. O padrão é desativado.
Para configurar computadores

Caso esteja usando um provedor de Internet com sessões PPPoE, um host será
conectado a uma sessão (IP da WAN) nessa guia.
Para interromper o processo de configuração, clique em Cancelar a qualquer
momento durante a configuração de computadores. Para limpar todas as
informações da guia, clique em Limpar formulário a qualquer momento.
A opção Host de reserva marcada garante que o servidor DHCP sempre oferecerá
o endereço IP definido ao computador que está sendo configurado. Você também
pode definir esse endereço IP como um endereço estático no computador.
Consulte "Descrições dos campos da guia Computadores" na página 189.
Para configurar um novo computador

1 No painel esquerdo, clique em Firewall.
2 Na guia Computadores, na caixa de texto Nome do host, digite um nome
de host.
3 Na caixa de texto Endereço do adaptador (MAC), digite o endereço da placa
de interface de rede (NIC, network interface card) do host.
4 Se o computador for um servidor de aplicativos para o qual você deseja
permitir acesso a uma regra de entrada, ou reservar um endereço IP para
um computador que não seja um servidor de aplicativos, em Servidor de
aplicativos, selecione Host de reserva.
Consulte "Definindo o acesso de entrada" na página 68.
5 Na caixa de texto Endereço IP, digite o endereço IP do host.
6 Em Grupo de computadores, na lista suspensa Grupo de computadores,
selecione um grupo para o seu host ingressar.
As propriedades do grupo de computadores são definidas na guia Firewall >
Grupos de computadores. Consulte "Definindo o acesso de entrada" na
página 68.
7 Em Associação de sessão, na lista suspensa Conectar à sessão PPPoE,
selecione a sessão para conectar a este host.
Você precisa ter uma conta PPPoE de várias sessões com o provedor de
Internet, se deseja conectar um host a uma sessão PPPoE. Se não tiver uma
conta PPPoE com o provedor, deixe a lista suspensa Conectar à sessão
PPPoE na Sessão 1.
Para verificar se um host foi configurado, selecione Lista de hosts na parte
inferior da janela. Os campos na lista são mapeados para os campos inseridos
quando você configurou o host.
Depois de adicionar computadores a um grupo, você poderá configurar as
propriedades de cada grupo de computadores.
Para atualizar um computador existente

2 No painel direito, na guia Computadores, em Identidade do host, na lista
suspensa Host, selecione um host.
3 Faça as alterações nos campos de computadores.
O computador atualizado será exibido na Lista de hosts.
Para excluir um computador existente

2 No painel direito, na guia Computadores, em Identidade do host, na lista
suspensa Host, selecione um host.
Definindo grupos de computadores

Grupos de computadores são grupos lógicos de entidades de rede usados para
regras de saída. Configure e conecte todos os hosts locais (nós) ao grupo de
computadores no qual eles se encontram usando a guia Computadores. Consulte
"Definindo a associação do grupo de computadores" na página 65.
Você pode configurar as seguintes propriedades para um grupo de
computadores:
■ Aplicação da política antivírus.
Consulte "Como a aplicação da política antivírus (AVpe) funciona" na
página 108.
■ Filtragem de conteúdo.
Consulte "Controle avançado de tráfego de rede" na página 107.
■ Controle de acesso.
Para definir as propriedades do grupo de computadores

Consulte "Descrições dos campos da guia Grupos de computadores" na
página 191.
2 No painel direito, na guia Grupos de computadores, em Política de
segurança, na lista suspensa Grupo de computadores, selecione o grupo
de computadores que deseja configurar.
Definindo o acesso de entrada
3 Para ativar a AVpe, em Aplicação da política antivírus, selecione Ativar

Aplicação da política antivírus.
4 Se AVpe estiver ativada, clique em uma das seguintes opções:
■ Avisar somente
■ Bloquear conexões
5 Em Filtragem de conteúdo, se selecionar Ativar filtragem de conteúdo,
você também precisará selecionar uma das seguintes opções:
■ Usar lista de permissões
■ Usar lista de negações
6 Em Controle de acesso (regras de saída), selecione uma das seguintes
opções:
■ Sem restrições
■ Bloquear TODOS os acessos de saída
■ Usar regras definidas na tela Regras de saída
Consulte "Definindo o acesso de saída" na página 70.
7 Clique em Salvar.

As regras de entrada controlam o tipo de fluxo de tráfego nos servidores de
aplicativos nas suas redes protegidas por equipamento. O estado padrão do
tráfego de entrada é que todo o tráfego será negado (automaticamente
bloqueado) até que você configure regras de entrada para cada tipo de tráfego
que deseje permitir. Se o tráfego de entrada contiver um protocolo ou aplicativo
que não fizer parte de uma regra ativada, a solicitação de conexão será negada e
registrada. O equipamento suporta 25 regras de entrada no máximo.
Ao criar regras de entrada, especifique o servidor de aplicativos, serviço,
protocolos, as portas permitidas pela regra e as informações de origem e destino
para cada regra. Quando existe uma regra de entrada, qualquer host externo
pode passar, com êxito, tráfego de entrada correspondente à regra.
As regras de entrada redirecionam o tráfego que chega nas portas WAN para
outro servidor interno na LAN protegida. Por exemplo, uma regra de entrada
ativada para HTTP faz com que todo o tráfego HTTP que chega na porta WAN
seja redirecionado para o servidor especificado como o servidor de aplicativos
HTTP. Defina o servidor antes de usá-lo em uma regra.
As regras de entrada não estão conectadas a um grupo de computadores.
Para definir o acesso de entrada

Para interromper o processo de configuração, clique em Cancelar ao configurar
computadores.
Para limpar todas as informações da guia, clique em Limpar formulário a
qualquer momento.
Consulte "Descrições dos campos de Regras de entrada" na página 193.
Para definir uma nova regra de entrada

1 No painel esquerdo da SGMI, clique em Firewall.
2 Para criar uma nova regra, no painel direito, na guia Regras de entrada, em
Definição da regra, na caixa de texto Nome, digite um nome exclusivo para a
regra de entrada.
3 Selecione Ativar regra.
4 Na lista suspensa Servidor de aplicativos, selecione um computador
definido.
Os computadores são definidos na guia Computadores da seção Firewall.
5 Na lista suspensa Serviço, selecione um serviço de entrada.
A regra configurada será exibida na Lista de regras de entrada.
Para atualizar uma regra de entrada existente

2 No painel direito, na guia Regras de entrada, na lista suspensa Regra,
selecione uma regra de entrada existente.
3 Clique em Selecionar.
4 Faça as alterações nos campos de regras de entrada.
A regra configurada será exibida na Lista de regras de entrada.
Para excluir uma regra de entrada

2 No painel direito, na guia Regras de entrada, na lista suspensa Regra,
selecione uma regra de entrada existente.
Definindo o acesso de saída

Por padrão, todos os grupos de computadores têm acesso de saída. Também por
padrão, todos os computadores protegidos por você encontram-se no grupo de
computadores Todos. Quando você define uma regra de saída para determinado
grupo de computadores e marca a caixa de seleção Usar regras definidas, na tela
Regras de saída, todos os outros tipos de tráfego serão bloqueados a não ser que
haja uma regra de saída definida para permiti-lo. Você deve designar um nome
exclusivo a cada regra de saída.
Especifique também o tipo de tráfego permitido pela regra. Com as regras de
saída, você pode definir que o tráfego será permitido, em vez de especificar que
ele será negado ou bloqueado. Depois que uma regra de saída for adicionada ao
grupo de computadores, todos os outros tipos de tráfego serão negados a não ser
que exista uma regra específica para deixá-lo passar.
A lista a seguir relaciona os serviços de saída predefinidos:
■ DNS
■ FTP
■ HTTP
■ HTTPS
■ Correio (SMTP)
■ Correio (POP3)
■ RADIUS Auth
■ Telnet
■ IPSec de VPN
■ PPTP de VPN
■ LiveUpdate
■ Servidor SESA
■ Agente SESA
■ RealAudio1
■ RealAudio2
■ RealAudio 3
■ TCP do PCA
■ UDP do PCA
■ TFTP
■ SNMP
Se você possui serviços que não estão nessa lista ou um serviço que não usa sua
porta padrão, poderá criar seus próprios serviços personalizados. Crie os
serviços personalizados antes de criar a regra de saída.
Consulte "Configurando serviços" na página 73.
Uma regra de saída ativada para o serviço FTP para o grupo de computadores 2
permite um serviço FTP de saída aos membros do grupo de computadores 2.
Uma regra de saída ativada para o serviço de correio (SMTP) do grupo de
computadores Todos permite que todos os membros desse grupo enviem
mensagens de e-mail. Uma regra de saída ativada para o serviço FTP do grupo de
computadores 2 permite um serviço FTP de saída aos membros do grupo 2. Se o
grupo de computadores 1 não tiver regras, todo o tráfego de saída será permitido
por padrão. A Figura 5-1 mostra um diagrama desses exemplos.
Figura 5-1 Exemplo de regras de saída
Regra de saída Regra de saída

Nome: E_Mail_1 Nome: FTP_2
Grupo de Grupo de
computadores: computadores:
Todos Grupo 2
Serviço: Correio Serviço: FTP
(SMTP)
Grupo de computadores Todos Grupo de Grupo de

computadores 1 computadores 2
Para definir o acesso de saída

Você pode gerenciar o seu acesso de saída criando uma regra, atualizando-a caso
suas necessidades mudem ou excluindo-a quando não precisar mais dela. Você
também pode desativar temporariamente o acesso de saída para solucionar
problemas ou controlar o tráfego.
Consulte "Descrições dos campos da guia Regras de saída" na página 194.
Para definir uma regra de saída

2 No painel direito, na guia Regras de saída, em Grupos de computadores, na
lista suspensa Grupo de computadores, selecione um grupo de
computadores.
Para ver uma lista de regras para o grupo de computadores selecionado,
clique em Exibir.
3 Na caixa de texto Nome, digite um nome exclusivo para a regra de saída.
4 Selecione Ativar regra.
5 Na lista suspensa Serviço, selecione um serviço de saída.
A regra configurada será exibida na Lista de regras de saída.
Para atualizar uma regra de saída existente

computadores.
clique em Exibir.
3 Na lista suspensa Regra, selecione uma regra de saída existente.
4 Faça as alterações nos campos de regras de saída.
A regra configurada será exibida na Lista de regras de saída.
Para excluir uma regra de saída

computadores.
clique em Exibir.
3 No painel direito, na guia Regras de saída, na lista suspensa Regra, selecione
uma regra de saída existente.
Configurando serviços
A guia Firewall > Serviços permite definir aplicativos de serviços adicionais
(que já não estejam abrangidos pelos serviços predefinidos) usados em regras
de entrada e saída para passagem de tráfego. Esses serviços precisam ser
configurados para poderem ser usados em regras. O nome do serviço deve
identificar o protocolo ou tipo de tráfego permitido pela regra.
O tipo de tráfego e o servidor de destino devem ser especificados para esse
tráfego. O tipo de tráfego é selecionado na lista de serviços predefinidos e
personalizados.
Nota: Nos modelos 360 e 360R, os servidores de aplicativos FTP devem ser
conectados a uma porta WAN, WAN 1 ou WAN 2. Todos os outros aplicativos,
como HTTP, não exigem conexão a uma porta WAN. Consulte "Conectando-se a
outros protocolos" na página 52.
Existem dois tipos de protocolos usados pelos serviços: TCP e UDP. O intervalo
de portas especifica que filtro de porta pode comunicar-se no equipamento. Nos
protocolos que permitem um intervalo de portas, especifique o número da porta
de escuta de início e de fim. Nos protocolos que usam um número de porta único,
o número da porta de escuta de início e de fim será o mesmo.
Redirecionando serviços
Você também pode configurar serviços para serem redirecionados das portas
em que eles normalmente entrariam (Porta de escuta) para outra porta (Porta de
redirecionamento). O redirecionamento de serviços somente se aplica a regras
de entrada. As regras de saída ignoram essa configuração.
Por exemplo, para redirecionar tráfego da Web de entrada na porta 80, usando o
protocolo TCP, para um servidor da Web interno aguardando TCP na porta 8080,
você cria um novo aplicativo de serviço chamado WEB_8080. Selecione TCP
como o protocolo e digite 80 para as portas de escuta de início e de fim. Para as
portas de redirecionamento de início e de fim, digite 8080. A seguir, crie e ative
uma regra de entrada para o servidor de aplicativos da Web que usa WEB_8080
como um serviço.
Nota: O tamanho das portas de redirecionamento deve ser igual aos intervalos
das portas de escuta. Por exemplo, se o intervalo da porta de escuta é de 21 a 25,
o intervalo da porta de redirecionamento também deve ser de quatro portas.
Para redirecionar tráfego de entrada para a porta de destino original, deixe os

campos de redirecionamento em branco.
Para configurar um serviço

Crie um serviço antes de adicioná-lo a uma regra de entrada. Após criar um
serviço, você pode atualizá-lo ou excluí-lo.
Consulte "Descrições dos campos da guia Serviços" na página 195.
Para configurar um serviço

2 Em Configurações do aplicativo, na caixa de texto Nome, digite um nome
para o serviço que representa o aplicativo.
3 Na lista suspensa Protocolo, selecione TCP ou UDP.
4 Na caixa de texto Escutar porta(s): Início, digite um número de porta.
5 Na caixa de texto Escutar porta(s): Fim, digite um número de porta.
6 Na caixa de texto Redirecionar para porta(s): Início, digite um número
de porta.
O redirecionamento somente se aplica a regras de entrada. Se estiver
criando um serviço para uma regra de saída, deixe as caixas de texto
Redirecionar para porta(s) em branco.
Para redirecionar tráfego de entrada para a porta de destino original, deixe
as caixas de texto Redirecionar em branco.
7 Na caixa de texto Redirecionar para porta(s): Fim, digite um número
de porta.
Para atualizar um serviço existente

2 No painel direito, na guia Serviços, na lista suspensa Aplicativo, selecione
um serviço existente.
3 Faça as alterações nos campos de serviços.
O serviço configurado será exibido na Lista de serviços.
Para excluir um serviço

2 No painel direito, na guia Serviços, na lista suspensa Aplicativo, selecione
um serviço existente.
Configurando aplicativos especiais

Aplicativos especiais são usados para o encaminhamento de porta dinâmica.
Para determinar que portas e protocolos um aplicativo precisa para a operação,
consulte a documentação do aplicativo a fim de obter informações sobre firewall
ou uso do NAT.
Alguns aplicativos podem precisar de mais de uma entrada definida e ativada;
por exemplo, quando há vários intervalos de portas em uso. Os aplicativos
especiais são globais no escopo e sobrescrevem todas as regras de entrada ou
saída específicas do grupo de computadores. Quando ativados, o tráfego
especificado pode passar em qualquer direção de qualquer host.
Certos aplicativos com comunicação bidirecional (como jogos e conferência
em vídeo) precisam de portas abertas no firewall. Normalmente, as portas são
abertas com a guia Regras de entrada. No entanto, as regras de entrada somente
abrem portas para o endereço IP do servidor de aplicativos definido nas
configurações, pois os firewalls que usam o NAT só podem abrir um serviço
definido para um computador único na LAN (quando usam um IP externo único).
A guia Aplicativos especiais oferece uma solução para essa limitação, pois
permite que você defina acionadores de porta. O equipamento aguarda tráfego
de saída em um intervalo de portas de computadores na LAN e, caso se depare
com tráfego, abre um intervalo de portas de entrada para esse computador.
Depois que a comunicação é estabelecida, o equipamento começa a aguardar
novamente, para que outro computador possa acionar as portas a serem abertas.
Os acionadores de porta podem ser usados muito rapidamente (milissegundos),
mas somente para um computador por vez. A velocidade com a qual os
acionadores de porta são usados dá a impressão de que vários computadores têm
as mesmas portas abertas.
As entradas de Aplicativos especiais funcionam melhor com aplicativos que
exigem uma taxa de transferência baixa. O desempenho pode ser prejudicado
devido à ativação do fluxo de mídia por vários computadores ou a um grande
volume de entradas ou saídas.
O equipamento somente aguarda tráfego na LAN. O computador na LAN ativa o
acionador, e não o tráfego externo. O tráfego deve ser iniciado pelo aplicativo da
LAN, e você precisa saber quais são as portas ou o intervalo de portas que ele usa
para configurar uma entrada de aplicativos especiais. Se o tráfego é iniciado
externamente, use uma regra de entrada.
Para configurar um aplicativo especial

Os aplicativos especiais ajudam no encaminhamento de pacotes dinâmicos.
Configure um aplicativo especial para a comunicação bidirecional. Você poderá
ou editá-lo ou excluí-lo de acordo com as suas necessidades.
Consulte "Descrições dos campos da guia Aplicativos especiais" na página 196.
Para configurar um aplicativo especial

2 No painel direito, na guia Aplicativos especiais, em Configurações do
aplicativo especial, na caixa de texto Nome, digite um nome que represente
o aplicativo.
3 Marque Ativar.
4 Na lista suspensa Protocolo de saída, selecione TCP ou UDP.
5 Na caixa de texto Porta(s) de saída: Início, digite o número da primeira porta
do intervalo de portas que estarão aguardando.
6 Na caixa de texto Porta(s) de saída: Fim, digite o número da última porta do
intervalo de portas que estarão aguardando.
7 Na caixa de texto Porta(s) de entrada: Início, digite o número da primeira
porta do intervalo a ser aberta.
8 Na caixa de texto Porta(s) de entrada: Fim, digite o número da última porta
do intervalo a ser aberta.
Para atualizar um aplicativo especial existente

2 No painel direito, na guia Aplicativos especiais, na lista suspensa Aplicativo
especial, selecione um aplicativo especial existente.
3 Faça as alterações nos campos de aplicativos especiais.
A regra configurada será exibida na Lista de aplicativos especiais.
Para excluir um aplicativo especial

2 No painel direito, na guia Aplicativos especiais, na lista suspensa Aplicativo,
selecione um aplicativo especial existente.
Configurando opções avançadas

O Symantec Gateway Security 300 possui várias opções avançadas de firewall
para circunstâncias especiais.
Ativando a porta IDENT

As consultas à porta IDENT (113) normalmente resultam no retorno das
informações de nome de host e de empresa. Esse serviço, no entanto, representa
um risco de segurança, pois essas informações podem ser usadas no
aperfeiçoamento da metodologia de ataque de invasores. Por padrão, o
equipamento define todas as portas para o modo furtivo. Com isso, o
computador é configurado para ficar invisível a quem estiver fora da rede.
Alguns servidores (de e-mail ou MIRC, por exemplo) exibem a porta IDENT do
sistema ao acessá-la.
É possível configurar o equipamento para ativar a porta IDENT. A ativação dessa
configuração faz com que a porta 113 esteja fechada (não aberta), e não furtiva.
Só será necessário ativar essa configuração se houver problemas ao acessar um
servidor (tempo limite do servidor).
Nota: Se houver problemas com tempo limite quando você usar seu serviço de
correio (SMTP), a ativação da porta IDENT talvez os solucione.
Para ativar a porta IDENT

segurança, selecione Ativar porta IDENT.
3 Clique em Salvar.
Desativando o modo NAT

Você pode configurar o gateway de segurança para que funcione como um
roteador de rede padrão, de modo a separar sub-redes diferentes em uma
rede interna. A desativação do modo NAT desativa as funções de segurança
de firewall. Essa configuração somente deve ser usada para implantações de
Intranet em que o gateway de segurança é usado como uma ponte em uma rede
protegida. Quando está configurado com o modo NAT, o gateway de segurança
comporta-se como um dispositivo 802.1D (ponte MAC).
Para desativar o modo NAT

segurança, selecione Desativar modo NAT.
3 Clique em Salvar.
Ativando a passagem de IPsec

A passagem de IPsec é suportada pelo gateway de segurança. Se o cliente de
VPN de Exposed Host (DMZ) apresentar problemas para conectar-se por trás
do gateway de segurança, use a configuração Nenhuma.
A lista a seguir inclui os tipos de IPsec suportados:
■ 1 SPI
ADI - Assured Digital
■ 2 SPI
Clientes padrão (Symantec, Cisco Pix e Nortel Contivity)
■ 2 SPI-C
Clientes Cisco Concentrator 30X0 Series
■ Outros
Redcreek Ravlin
■ Nenhuma
Nota: Altere a configuração de passagem de IPsec somente se for solicitado a

fazê-lo pelo Suporte técnico da Symantec.
Para definir as configurações de passagem de IPsec

2 Na guia Avançado, em Configurações de passagem do IPsec, clique no tipo
de IPSec.
3 Clique em Salvar.
Configurando um host exposto

O Host exposto abre todas as portas para que um computador em uma LAN
tenha comunicação bidirecional irrestrita com servidores ou usuários da
Internet. Esse recurso é útil para host de jogos ou aplicativos de servidores
especiais.
Todo o tráfego que não seja especificamente permitido por regras de entrada é
direcionado ao host exposto.
Aviso: Devido ao risco de segurança, somente ative o Host exposto quando

solicitado a fazê-lo.
Para configurar um host exposto

2 No painel direito, na guia Avançado, em Host exposto, selecione Ativar host
exposto.
3 Na caixa de texto Endereço IP da LAN, digite o endereço IP do host que
deseja expor.
4 Clique em Salvar.
Gerenciando solicitações de ICMP

Por padrão, o gateway de segurança não responde a solicitações de ICMP
externas enviadas às portas WAN. Você também pode configurar o gateway
de segurança para bloquear ou permitir solicitações de ICMP na WAN.
As solicitações de ICMP na LAN sempre respondem.
Para gerenciar solicitações de ICMP

segurança, proceda de uma das seguintes maneiras:
3 Para bloquear solicitações de ICMP, clique em Ativar.
4 Para permitir solicitações de ICMP, clique em Desativar.
5 Clique em Salvar.
Capítulo 6
Estabelecendo conexões
VPN seguras
■ Sobre como usar este capítulo
■ Criando políticas de segurança
■ Identificando usuários
■ Configurando túneis de gateway-para-gateway
■ Configurando túneis de VPN de cliente-para-gateway

■ Monitorando o status do túnel de VPN
As redes virtuais privadas (VPNs, Virtual Private Networks) permitem que você
estenda com segurança os limites da rede interna e use canais de comunicação
inseguros (como a Internet) a fim de transportar dados confidenciais com
segurança. As VPNs são usadas para permitir o acesso de um único usuário ou
uma rede remota aos recursos protegidos de outra rede.
Os equipamentos Symantec Gateway Security 300 suportam três tipos de túneis
de VPN: Gateway-para-gateway, cliente-para-gateway e cliente-para-gateway
sem fio. Para configurar túneis de cliente-para-gateway sem fio, consulte o Guia
de Implementação sem fio do Symantec Gateway Security 300.
A proteção das conexões de rede com a tecnologia VPN é uma etapa importante
para garantir a qualidade e integridade dos dados. Esta seção descreve alguns
conceitos e componentes importantes necessários para entender como
configurar e usar o recurso VPN do equipamento com eficácia.
Os túneis de VPN também podem suportar configurações dinâmicas e estáticas
de gateway-para-gateway, em que os parâmetros do túnel são criados em cada
gateway de segurança. As duas extremidades devem ter os mesmos parâmetros,
inclusive chaves secretas, índices do parâmetro de segurança (SPIs, security
parameter indexes), esquemas de autenticação e métodos de criptografia.
82 Estabelecendo conexões VPN seguras
Sobre como usar este capítulo
Sobre como usar este capítulo

Todas as seções começam com uma explicação sobre o recurso que será descrito
(por exemplo, o que é uma política de VPN, como ela funciona e como deve ser
usada). Se você for um administrador de rede ou TI experiente, poderá ir
diretamente para a última metade da seção para obter informações sobre
instruções de configuração.
Caso você não tenha experiência suficiente com rede ou TI, ou se nunca
configurou um gateway de segurança (Symantec ou não), leia a primeira metade
de cada seção antes de configurar o recurso.
No fim de "Configurando túneis de gateway-para-gateway" na página 89 e
"Configurando túneis de VPN de cliente-para-gateway" na página 98, há
planilhas para que você especifique as informações inseridas, o que facilita o
compartilhamento de informações de conexão com os clientes e
administradores de gateways remotos.
Criando políticas de segurança

A negociação do estabelecimento do túnel de VPN ocorre em duas fases. Na fase
1, a negociação IKE (Internet Key Exchange) cria uma associação de segurança
IKE com sua entidade homóloga a fim de proteger a fase 2, que determina a
associação de segurança de protocolo do túnel. Para as conexões de gateway-
para-gateway, qualquer um dos gateways de segurança podem iniciar a
renegociação da fase 1 ou 2 a qualquer momento. Os dois gateways de segurança
também podem especificar intervalos para o reinício da negociação. Para as
conexões de cliente-para-gateway, somente o cliente pode iniciar a renegociação
da fase 1 ou 2. A renegociação da fase 2 é conhecida como uma renegociação em
modo rápido.
Nota: O Symantec Gateway Security 300 não oferece suporte à compactação de

túnel de VPN. Para criar um túnel de gateway-para-gateway entre um
equipamento Symantec Gateway Security 300 e um Symantec Gateway Security
5400 ou Symantec Enterprise Firewall remoto, defina a compactação como
NENHUMA no gateway remoto.
Conceitos básicos sobre as políticas de VPN

Para cada fase de negociação, o equipamento usa uma política, que é um
conjunto predefinido de parâmetros. O equipamento oferece suporte a dois tipos
de política de segurança, global de IKE e VPN.
Estabelecendo conexões VPN seguras 83
Política global de IKE (fase 1, não-configurável, exceto pelo

parâmetro referente à vida útil da SA)
O gateway de segurança inclui uma política predefinida global de IKE que se
aplica automaticamente às negociações da fase 1 de IKE. A política global de IKE
funciona junto com a política de VPN configurada para as negociações da fase 2.
A política global de IKE oferece os parâmetros que definem as negociações da
fase 1 do túnel de IKE, enquanto a política de VPN configurada e selecionada
oferece os parâmetros para as negociações da fase 2.
O único parâmetro da política global de IKE cuja configuração pode ser alterada
é o referente à duração da Associação de Segurança (SA, Security Association),
que especifica o tempo (em minutos) para a reemissão do túnel. Esse parâmetro
está localizado em VPN > Avançado > Configurações globais do IKE (Nova chave
da fase 1).
Quando dois gateways de segurança negociam a fase 1, o primeiro gateway envia
uma lista de propostas, denominada lista de propostas de transformação. O
gateway de segurança com o qual ele está se conectando seleciona uma proposta
preferida da lista, em geral a opção mais segura que estiver disponível. Não é
possível alterar a lista de propostas de transformação no equipamento;
entretanto, essas informações podem ser úteis ao administrador do gateway
remoto. A Tabela 6-1 relaciona a ordem das propostas de IKE do Symantec
Gateway Security 300.
Tabela 6-1 Ordem de propostas do IKE
Privacidade de dados Integridade de dados Diffie-Hellman
3DES SHA1 Grupo 5
3DES MD5 Grupo 5
3DES SHA1 Grupo 2
3DES MD5 Grupo 2
DES SHA1 Grupo 1
DES MD5 Grupo 1
Algumas configurações podem ser definidas em um nível global para os túneis

de cliente-para-gateway. Consulte "Definindo configurações de política global
para túneis de VPN de cliente-para-gateway" na página 103.
Políticas de VPN (fase 2, configurável)

O gateway de segurança inclui um conjunto de quatro políticas de VPN
predefinidas e configuráveis que se aplicam às negociações de túnel da fase 2.
Em vez de configurar os algoritmos de privacidade, integridade e compactação
de dados para todos os túneis criados, o gateway de segurança permite que você
configure políticas de VPN padrão e reutilizáveis que poderão ser aplicadas
posteriormente a diversos túneis seguros. Para selecionar uma política
predefinida ou criar a sua própria, use a guia Políticas de VPN.
As políticas de VPN reúnem características comuns dos túneis e permitem a
configuração rápida de túneis adicionais com as mesmas características.
O gateway de segurança também inclui várias políticas de VPN usadas com
freqüência para túneis estáticos e dinâmicos.
Você pode definir mais de uma política de VPN, variando os componentes
selecionados para cada uma. Se fizer isso, verifique se as convenções de
nomeação permitem diferenciar as políticas que usam o mesmo modo de
encapsulação. Quando estiver pronto para criar túneis seguros, convenções de
nomeação claramente definidas facilitarão a seleção da política de VPN correta.
Nota: Não é possível excluir políticas de VPN predefinidas.
Criando políticas de VPN personalizadas da fase 2

As políticas de VPN são previamente definidas para as configurações de VPN
típicas. Se precisar de configurações personalizadas (para manter a
compatibilidade com equipamentos de terceiros, por exemplo), você poderá criar
uma política de fase 2 na guia Políticas de VPN.
Uma política de VPN reúne as características comuns dos túneis de VPN. Em vez
de configurar algoritmos de privacidade, integridade e compactação de dados
para todos os túneis criados, você pode configurar políticas de VPN padrão e
reutilizáveis e aplicá-las a vários túneis seguros.
Nota: A configuração de uma política de VPN é opcional para túneis dinâmicos.

Para criar uma política de VPN personalizada da fase 2

Consulte "Descrições dos campos da guia Políticas de VPN" na página 212.
1 Na SGMI, no painel esquerdo, clique em VPN.
2 No painel direito, na guia Políticas de VPN, em Parâmetros da associação
de segurança IPSec (Fase 2), na caixa de texto Nome, digite um nome para a
política de VPN.
3 Para editar uma política existente, na lista suspensa Política de VPN,
selecione uma política de VPN.
4 Na lista suspensa Integridade dos dados (autenticação), selecione uma
autenticação.
5 Na lista suspensa Confidencialidade dos dados (criptografia), selecione um
tipo de criptografia.
6 Na caixa de texto Vida útil da SA, digite o número de minutos que a
associação de segurança deve permanecer ativa antes que ocorra uma
reemissão.
O túnel de VPN é interrompido temporariamente quando ocorre uma
reemissão.
7 Na caixa de texto Limite do volume de dados, digite o número de quilobytes
de tráfego permitidos antes que ocorra uma reemissão.
8 Na caixa de texto Tempo limite de inatividade, digite o número de minutos
de inatividade antes que ocorra uma reemissão.
9 Para usar o Sigilo de encaminhamento perfeito, proceda da seguinte
maneira:
■ Na lista suspensa Sigilo de encaminhamento perfeito, selecione o grupo
Diffie-Hellman.
■ Ao lado de Sigilo de encaminhamento perfeito, clique em Ativar.
Identificando usuários
Exibindo a lista de políticas de VPN

A seção Lista de políticas de VPN da janela Políticas de VPN exibe um resumo
de cada política de VPN configurada no equipamento. A Tabela 6-2 define cada
campo no resumo da Lista de políticas de VPN.
Tabela 6-2 Campos da Lista de políticas de VPN
Campo Descrição
Nome Exibe o nome da política de VPN.
Método de criptografia Exibe o método de criptografia selecionado para a política

de VPN.
Vida útil da SA Exibe a configuração referente à vida útil da SA.
Limite do volume de dados Exibe a configuração referente ao limite de volume de

dados.
Tempo limite de inatividade Exibe a configuração referente ao tempo limite de

inatividade.
PFS Mostra a configuração do Sigilo de encaminhamento

perfeito.
O equipamento permite que você configure dois tipos de clientes que utilizam a
VPN: usuários e usuários com autenticação estendida.
Conceitos básicos sobre tipos de usuário

Os usuários realizam a autenticação diretamente com o gateway de segurança ao
se conectarem através de um túnel de VPN. Eles são definidos na guia Usuários
clientes do gateway de segurança. Os usuários com autenticação estendida não
são definidos no gateway de segurança, mas em um servidor de autenticação
RADIUS. É preciso configurar o equipamento para suportar a administração
remota de usuários com autenticação estendida.
Usuários dinâmicos
Os usuários dinâmicos não são definidos no equipamento; em vez disso, eles
usam autenticação estendida com RADIUS para autenticar seus túneis. Defina
os usuários dinâmicos no servidor RADIUS.
Quando um usuário dinâmico tenta efetuar a autenticação, o equipamento
procura o nome desse usuário na lista de usuários definida. Se não o encontrar,
ele usará o segredo compartilhado especificado no software cliente. Esse segredo
compartilhado deve corresponder ao segredo da tela Avançado do gateway de
segurança ao qual ele está se conectando. O equipamento iniciará a autenticação
estendida e solicitará ao usuário as informações exigidas pelo servidor RADIUS
(como nome de usuário ou senha). O servidor RADIUS autentica o usuário e
retorna o grupo RADIUS do usuário ao gateway de segurança. O gateway de
segurança verifica se o grupo corresponde a um dos túneis clientes e se tem
permissão para conectar-se à WAN, LAN ou WLAN. Em caso positivo, o túnel
do usuário é estabelecido.
Usuários
Os usuários realizam a autenticação com um ID de cliente (nome de usuário) e
uma chave pré-compartilhada que você atribui a eles. Eles inserem o nome de
usuário e a senha no software cliente. Essas informações são enviadas quando
eles tentam criar um túnel de VPN para o gateway de segurança.
Os usuários são definidos no equipamento e talvez também usem autenticação
estendida.
Definindo usuários
Verifique se é possível obter todas as informações de autenticação pertinentes
com o administrador do servidor RADIUS para passá-las aos usuários com
autenticação estendida.
Para definir usuários

Os usuários devem ser definidos no equipamento e talvez também usem
autenticação estendida. Os usuários dinâmicos devem usar autenticação
estendida e não são definidos no equipamento.
Para configurar usuários

Consulte "Descrições dos campos da guia Usuários de cliente" na página 211.
2 No painel direito, na guia Usuários de cliente, em Identidade do usuário da
VPN, na caixa de texto Nome do usuário, digite o nome de um novo usuário.
3 Para editar um usuário já existente, selecione um na lista suspensa Usuário.

4 Selecione Ativar.
5 Na caixa de texto Chave pré-compartilhada, digite a chave pré-
compartilhada.
6 Na lista suspensa Grupo de VPNs, selecione um grupo de VPNs para o
usuário ingressar.
Para ativar usuários com autenticação estendida

2 Na guia Avançado, na seção Configurações do cliente de VPN dinâmico,
proceda da seguinte maneira:
■ Selecione Ativar túneis do cliente de VPN dinâmico.
■ Na caixa de texto Chave pré-compartilhada, digite uma chave que os
usuários dinâmicos informarão no software cliente.
3 Na seção Configurações do RADIUS, proceda da seguinte maneira:
Servidor RADIUS primário Digite o endereço IP ou nome de domínio totalmente

qualificado do servidor RADIUS.
Servidor RADIUS Digite o endereço IP ou nome de domínio totalmente

secundário qualificado do servidor RADIUS que o gateway de
segurança usa para autenticação se o servidor primário
não estiver disponível.
Porta de autenticação Digite a porta no servidor RADIUS na qual o serviço

(UDP) RADIUS é executado.
Chave ou segredo Digite a chave do servidor RADIUS.

compartilhado
4 Clique em Salvar.
5 Na guia Túneis clientes, na lista suspensa Grupo de VPNs, selecione o grupo
de VPNs ao qual os usuários que usam a autenticação estendida pertencem.
Configurando túneis de gateway-para-gateway
6 Em Autenticação estendida de usuário, proceda da seguinte maneira:

■ Selecione Ativar a autenticação estendida de usuário.
■ Na caixa de texto Conexão ao grupo RADIUS, digite o nome do grupo
RADIUS do usuário.
O grupo RADIUS é atribuído ao usuário no servidor RADIUS. O servidor
RADIUS deve retornar o valor que você digitou na caixa de texto
Conexão ao grupo RADIUS no atributo filterID.
7 Clique em Salvar.
Exibindo a Lista de usuários

A seção Lista de usuários da janela Usuários de cliente exibe um resumo de cada
usuário estático configurado no equipamento. A Tabela 6-3 define cada campo
do resumo.
Tabela 6-3 Campos da Lista de usuários
Campo Descrição
Nome do usuário Nome inserido para o usuário de VPN estática.
Ativar Indica se um determinado usuário pode estabelecer túneis

de VPN para o gateway de segurança.
Chave pré-compartilhada Exibe a chave pré-compartilhada informada para o

usuário.
Grupo de VPNs Relaciona os grupos de VPNs para os quais o usuário está

configurado.

Os túneis de gateway-para-gateway ajudam a proteger a rede interna fornecendo
uma ponte segura a uma LAN externa. Há várias tarefas envolvidas na proteção
bem-sucedida da rede com túneis de gateway-para-gateway. A próxima seção
descreve os túneis de gateway-para-gateway e informa os procedimentos para
configurá-los.
Conceitos básicos sobre túneis de gateway-para-gateway

Convém disponibilizar os recursos de rede para um grupo externo, como outro
escritório da empresa. Em vez de exigir que cada usuário da segunda rede
estabeleça sua própria conexão privada e segura, você pode criar um túnel de
gateway-para-gateway, que colocará os recursos de uma rede à disposição da
outra. Este tipo de túnel é LAN-para-LAN, em vez de usuário-para-LAN.
O equipamento suporta as configurações de túnel de gateway-para-gateway.
Uma configuração de gateway-para-gateway é criada quando dois gateways
de segurança são conectados através de uma rede interna, ou da Internet, pelas
portas WAN.
Figura 6-1 Configuração de túnel de VPN de gateway-para-gateway
Em geral, esse tipo de configuração de rede conecta duas sub-redes da mesma

rede ou, como mostra a Figura 6-1, dois escritórios remotos através da Internet.
Depois que um túnel de VPN é estabelecido, os usuários protegidos por um
gateway de segurança em um local podem estabelecer uma conexão encapsulada
com o gateway de segurança que protege o local remoto. O usuário remoto pode
conectar-se e acessar os recursos da rede privada como se a estação de trabalho
remota estivesse localizada fisicamente na rede protegida.
O Symantec Gateway Security 300 pode conectar-se a outros equipamentos da
série 300 ou a um dos seguintes equipamentos:
■ Symantec Gateway Security 5400
■ Equipamento Symantec Firewall/VPN
Symantec Gateway Security 300. Os gateways de segurança suportam a criação

de um túnel de VPN para no máximo cinco sub-redes remotas por trás dos
equipamentos Symantec Enterprise Firewall ou Symantec Gateway Security
5400, mas não para outro equipamento Symantec Gateway Security 300 ou
Symantec Firewall/VPN. Os túneis entre dois equipamentos Symantec Gateway
Security 300 são criados apenas para a sub-rede do lado LAN do equipamento e
somente suportam o primeiro conjunto (sub-rede/máscara) dos cinco conjuntos
de campos, definidos nas guias VPN > Túneis dinâmicos ou VPN > Túneis
estáticos.
Se tiver outra sub-rede (adicional) no lado LAN do gateway de segurança do
Symantec Gateway Security 300, os túneis de VPN clientes do lado LAN do
gateway de segurança não serão suportados para computadores nessa sua sub-
rede separada. Somente os computadores que residem na sub-rede do
equipamento (encontrados na tela IP da LAN) são suportados para os túneis de
VPN do lado LAN/WLAN.
Nota: Os túneis de VPN de gateway-para-gateway são suportados nas portas

WAN do equipamento. Não é possível definir túneis de VPN de gateway-para-
gateway nas portas LAN ou WLAN do equipamento.
Túneis de VPN de gateway-para-gateway suportados

O equipamento Symantec Gateway Security 300 permite configurar dois tipos
de túneis de VPN de gateway-para-gateway:
Dinâmico O gateway de segurança contém uma política predefinida global de IKE

que se aplica automaticamente às negociações da fase 1 de IKE. Você pode
alterar a configuração do parâmetro Vida útil da SA na política global de
IKE. Esse parâmetro especifica o espaço de tempo (em minutos) para a
reemissão do túnel. Ele está localizado em VPN > Avançado > Configurações
globais do IKE (Nova chave da fase 1).
Estático As configurações de gateway-para-gateway estáticas exigem que você

insira manualmente os parâmetros de túnel em cada gateway de segurança.
As duas extremidades devem ter os mesmos parâmetros, inclusive chaves
secretas, índices do parâmetro de segurança (SPIs), esquemas de
autenticação e métodos de criptografia.
Consulte "Configurando túneis de gateway-para-gateway" na página 89.

Consulte "Configurando túneis de gateway-para-gateway estáticos" na
página 95.
Persistência e alta disponibilidade do túnel de VPN de

gateway-para-gateway
Depois que o gateway de segurança reiniciar, os túneis de VPN de gateway-para-
gateway dinâmicos serão restabelecidos. Os túneis de VPN de gateway-para-
gateway dinâmicos também serão restabelecidos se o status da porta WAN for
alterado de desconectado para conectado. Esse recurso reduz a quantidade de
gerenciamento fornecendo uma reconexão automática de túneis.
Se o túnel de VPN não for estabelecido após três tentativas, o gateway de
segurança aguardará de um a quatro minutos antes de tentar reconectar-se.
Esse processo continuará até que o túnel seja restabelecido.
Se houver uma falha da rede, o gateway de segurança restabelecerá
automaticamente o túnel de VPN por meio de uma porta de backup (porta WAN
ou porta serial). Se o endereço IP do gateway de segurança mudar, os túneis de
VPN de gateway-para-gateway serão restabelecidos com o gateway remoto
usando o novo endereço IP.
Interoperabilidade de túnel de VPN de gateway-para-

gateway
Quando o Symantec Gateway Security 5400 ou Symantec Enterprise Firewall
iniciar um túnel de gateway-para-gateway para um equipamento Symantec
Gateway Security 300, a negociação será iniciada no Modo principal. O modo de
definição do túnel de VPN do Symantec Gateway Security 300 deve ser o Modo
principal ou o túnel de VPN não será estabelecido.
O Symantec Gateway Security 5400 e Symantec Enterprise Firewall aceitam as
negociações de fase 1 do Modo principal ou Modo agressivo de um gateway
remoto. O equipamento Symantec Gateway Security 300 pode ser configurado
no Modo principal ou agressivo. O modo padrão é o principal. Ao iniciar um
túnel de VPN para o Symantec Gateway Security 5400 ou Symantec Enterprise
Firewall, configure o equipamento Symantec Gateway Security 300 para usar o
Modo principal, de forma que se o lado remoto for o iniciador do túnel de VPN,
ele não estabelecerá uma conexão.
Quando um gateway não-Symantec inicia um túnel de VPN para um
equipamento Symantec Gateway Security 300, o Symantec Gateway Security
300 aceita o modo que o administrador configurou ao definir o túnel.
Quando um equipamento Symantec Gateway Security 300 inicia um túnel de
VPN para um gateway de segurança não-Symantec, o Symantec Gateway
Security 300 deve usar o modo configurado pelo administrador ao definir o
túnel. A configuração padrão é o Modo principal. Se o Modo principal não for
usado, poderão ocorrer problemas de reemissão se o gateway de segurança
remoto tentar fazer a reemissão primeiro.
Criando túneis de VPN para clusters do Symantec Gateway

Security 5400
Para criar um túnel de VPN para clusters de alta disponibilidade e equilíbrio de
carga de um equipamento Symantec Gateway Security 5400, defina o túnel de
VPN usando o endereço IP virtual do cluster. Os túneis entre os equipamentos
Symantec Gateway 300 e Symantec Gateway Security 5400 são apenas
suportados em alta disponibilidade.
Configurando túneis de gateway-para-gateway dinâmicos

Os túneis dinâmicos, também conhecidos como IKE (Internet Key Exchange),
geram automaticamente chaves de autenticação e de criptografia.
Normalmente, é inserida uma senha longa, denominada "chave pré-
compartilhada" (também conhecida como segredo compartilhado). O gateway
de segurança de destino deve reconhecer essa chave para que a autenticação
seja bem-sucedida. Se a chave for reconhecida, o índice SPI e as chaves de
autenticação e criptografia são geradas automaticamente e o túnel é criado.
Em geral, o gateway de segurança faz a reemissão (gera uma nova chave)
automaticamente em intervalos definidos para garantir a integridade da chave.
Tarefas de configuração para túneis de gateway-para-

gateway dinâmicos
A Tabela 6-4 resume as tarefas necessárias para configurar túneis de VPN de
gateway-para-gateway dinâmicos.
Nota: Conclua cada etapa da Tabela 6-4 duas vezes: primeiro para o gateway de
segurança local e depois para o gateway de segurança remoto.
Tabela 6-4 Tarefas de configuração de gateway-para-gateway

dinâmico
Tarefa SGMI
Configurar uma política de VPN (negociação da VPN > Políticas de VPN

fase 2 de IKE).
(Opcional)
Criar um túnel dinâmico. VPN > Túneis dinâmicos
Definir parâmetros de associação de segurança VPN > Túneis dinâmicos > Associação
IPsec. de segurança IPSec
Selecionar política de VPN.
Tabela 6-4 Tarefas de configuração de gateway-para-gateway

dinâmico (Continuação)
Tarefa SGMI
Definir o gateway de segurança local. VPN > Túneis dinâmicos > Gateway de
segurança local
Definir o gateway de segurança remoto. VPN > Túneis dinâmicos > Gateway de
segurança remoto
Repita as etapas acima para o gateway de

segurança remoto.
Para adicionar um túnel de gateway-para-gateway dinâmico

Consulte "Descrições dos campos da guia Túneis dinâmicos" na página 202.
1 No painel esquerdo, clique em VPN.
2 Na guia Túneis dinâmicos, na caixa de texto Nome, digite um nome para o
novo túnel.
3 Para editar um túnel existente, na lista suspensa Túnel de VPN, selecione
um túnel de VPN.
4 Selecione Ativar túnel de VPN.
5 Na lista suspensa Política de VPN, selecione uma política de VPN à qual
deseja vincular o túnel.
6 Se você tiver uma conta PPPoE de várias sessões com o ISP, em Gateway de
segurança local, na lista suspensa Sessão PPPoE, selecione uma sessão
PPPoE à qual deseja vincular o túnel.
Se não tiver uma conta desse tipo, ignore esta etapa.
7 No modelo 360 ou 360R, na lista suspensa Extremidade local, selecione uma
extremidade para o túnel.
8 Na lista suspensa Tipo de ID, selecione um tipo de ID da fase 1.
9 Na caixa de texto ID de fase 1, digite o ID da fase 1.
10 Em Gateway de segurança remoto, proceda da seguinte maneira:
■ Na caixa de texto Endereço do gateway, digite o endereço do gateway
remoto.
■ Opcionalmente, na lista suspensa Tipo de ID, selecione um tipo de ID da
fase 1.
■ Opcionalmente, na caixa de texto ID de fase 1, digite o ID da fase 1.
■ Na caixa de texto Chave pré-compartilhada, digite uma chave.

■ Em cada caixa de texto IP da sub-rede remota, digite o endereço IP da
rede de destino.
Para criar um túnel global, digite 0.0.0.0.
■ Em cada caixa de texto Máscara, digite a máscara da rede de destino.
Configurando túneis de gateway-para-gateway estáticos

Os túneis estáticos não usam informações da política global de IKE (negociação
da fase 1). É preciso digitar manualmente todas as informações necessárias para
estabelecer o túnel. Entretanto, é possível definir uma política de VPN para a
negociação da fase 2.
Ao definir túneis estáticos, insira uma chave de autenticação e uma chave de
criptografia (se o recurso de criptografia for utilizado). Deve haver uma
correspondência entre as chaves nas duas extremidades da VPN. Além disso, um
índice SPI é digitado e incluído manualmente com cada pacote transmitido entre
os gateways de segurança. O SPI é um identificador de gateway exclusivo que
indica o conjunto de chaves pertencente a cada pacote.
Tamanhos das chaves de criptografia e autenticação

Quando você define um túnel estático, digite uma chave de criptografia e outra
de autenticação. Cada chave tem um tamanho específico no método escolhido.
Para cada método, é mostrado um tamanho de chave para os caracteres ASCII e
hexadecimais. A Tabela 6-5 define os tamanhos da chave de criptografia.
Tabela 6-5 Tamanhos da chave de criptografia
Método Tamanho da chave em bytes Tamanho da chave em

de caracteres números hexadecimais
DES 8 18 (0x + 16 dígitos

hexadecimais)
3DES 24 50 (0x +20 dígitos

hexadecimais)
AES-128 16 18 (0x +20 dígitos

hexadecimais)
AES-192 24 50 (0x +20 dígitos

hexadecimais)
Tabela 6-5 Tamanhos da chave de criptografia (Continuação)

AES-256 32 66 (0x +20 dígitos

hexadecimais)
A Tabela 6-6 define os tamanhos da chave de autenticação.
Tabela 6-6 Tamanhos da chave de autenticação

MD5 16 34 (0x + 16 dígitos

hexadecimais)
SHA1 20 42 (0x +20 dígitos

hexadecimais)
Tarefas de configuração para túneis de gateway-para-

gateway estáticos
A Tabela 6-7 descreve as tarefas necessárias para configurar um túnel de VPN de
gateway-para-gateway estático.
Nota: Conclua cada etapa da Tabela 6-7 duas vezes: primeiro para o gateway de
segurança local e depois para o gateway de segurança remoto.
Tabela 6-7 Tarefas de configuração de gateway-para-gateway estático
Tarefa SGMI

fase 2 de IKE).
(Opcional)
Criar um túnel estático. VPN > Túneis estáticos
Definir parâmetros de associação de segurança VPN > Túneis estáticos > Associação
Ipsec. de segurança IPSec
Definir o gateway de segurança remoto. VPN > Túneis estáticos > Gateway de
segurança remoto
Repita as etapas acima para o gateway de

segurança remoto.
Para adicionar um túnel de gateway-para-gateway estático

Consulte "Descrições dos campos da guia Túneis estáticos" na página 206.
2 No painel direito, na guia Túneis estáticos, em Associação de segurança
IPsec, na caixa de texto Nome do túnel, digite um nome para o túnel.
Para editar um túnel estático existente, na lista suspensa Túnel de VPN,
selecione um túnel de VPN.
3 Selecione Ativar túnel de VPN.
4 Se você tiver uma conta PPPoE de várias sessões com o ISP, em Gateway
de segurança local, na lista suspensa Sessão PPPoE, selecione uma sessão
PPPoE à qual deseja vincular o túnel. Se não tiver uma conta desse tipo,
ignore esta etapa.
5 Nos modelos 360 e 360R, na lista suspensa Extremidade local, selecione
uma extremidade para o túnel.
6 Na caixa de texto SPI de entrada, digite o SPI de entrada que corresponda ao
SPI remoto.
7 Na caixa de texto SPI de saída, digite o SPI de saída que corresponda ao SPI
local do lado remoto.
8 Na lista suspensa Política de VPN, selecione uma política de VPN à qual
deseja vincular o túnel.
Use uma política de VPN existente ou crie uma nova.
Consulte "Conceitos básicos sobre as políticas de VPN" na página 82.
9 Na caixa de texto Chave de criptografia, digite a chave de criptografia que
corresponda à política de VPN escolhida.
O tamanho da entrada deve corresponder à política de VPN escolhida.
10 Na caixa de texto Chave de autenticação, digite a chave de autenticação que
corresponda à política de VPN escolhida.
11 Em Gateway de segurança remoto, na caixa de texto Endereço do gateway,
digite o endereço do gateway usado pelo Symantec Enterprise VPN.
12 Ao lado de Difusão do NetBIOS, clique em Desativar.
13 Ao lado de Túnel global, clique em Desativar.
14 Nas caixas de texto IP da sub-rede remota, digite o endereço IP da sub-rede
remota para a rede de destino.
15 Nas caixas de texto Máscara, digite a máscara da rede de destino.
Configurando túneis de VPN de cliente-para-gateway
Compartilhando informações com o administrador do

gateway remoto
A Tabela 6-8 relaciona as informações que devem ser fornecidas ao
administrador do equipamento para o qual você está criando um túnel
de gateway-para-gateway.
Tabela 6-8 Informações para o administrador do gateway remoto
Informações Valor
Endereço IP
Chave de autenticação
(Túnel estático)
Chave de criptografia
(Túnel estático)
SPI (Túnel estático)
Chave pré-compartilhada
Sub-rede/máscara local
Método de criptografia da política de VPN
Método de autenticação da política de VPN
(Opcional) ID da fase 1 local
Configurando túneis de VPN de cliente-para-

gateway
Os túneis de VPN de cliente-para-gateway permitem aos usuários remotos que
executam o Symantec Client VPN (ou qualquer software cliente de VPN
compatível com IPsec) se conectarem com segurança através da Internet a uma
rede protegida por um gateway de segurança da Symantec.

O Symantec Gateway Security 300 suporta configurações de túnel de VPN de
cliente-para-gateway. Uma configuração de cliente-para-gateway é criada
quando uma estação de trabalho que esteja executando o software Symantec
Client VPN conecta-se ao gateway de segurança a partir da rede protegida ou a
partir de um local remoto através da Internet.
Nota: Os clientes em fio podem usar túneis de cliente-para-gateway para

proteger suas conexões. Consulte o Guia de Implementação sem fio do Symantec
Gateway Security 300.
Depois que um túnel de VPN é estabelecido, os usuários remotos podem

conectar-se aos recursos da rede privada e acessá-los através da Internet como
se a estação de trabalho remoto estivesse localizada fisicamente dentro da rede
protegida (consulte a Figura 6-2).
Figura 6-2 Configuração de túnel de VPN de cliente-para-gateway
Symantec Client VPN (LAN)
Internet
Symantec Gateway Symantec Client VPN (LAN)
Security 300
Symantec Client VPN (WAN)
Symantec Client VPN (LAN)
Neste diagrama, existe um cliente que estabelece um túnel remotamente (WAN)

e três clientes internos que estabelecem um túnel internamente (LAN).
Para cada grupo de VPNs, você pode definir configurações de rede que
sejam descarregadas para o cliente durante o modo de configuração da fase 1.
As configurações incluem os servidores DNS primário e secundário, os
servidores WINS e o controlador de domínio primário. Com o direcionamento
dessas informações para os clientes durante o modo de configuração, nenhum
cliente precisará definir as configurações por conta própria, o que economiza
tempo de gerenciamento e reduz a possibilidade de erro.
Para os túneis de cliente de VPN do lado da LAN, a única sub-rede que o cliente
pode acessar é aquela definida na tela IP da LAN.
Consulte "Definindo configurações IP da LAN" na página 58.
Os túneis de VPN de cliente-para-gateway da Symantec exigem uma ID de
cliente e uma chave compartilhada. Também é possível aplicar a autenticação
estendida usando um servidor RADIUS para túneis de VPN de cliente-para-
gateway para autenticação adicional.
Consulte "Definindo usuários" na página 87.
Você pode configurar dois tipos de usuários de cliente-para-gateway ao
configurar túneis de VPN: dinâmico e estático.
Consulte "Identificando usuários" na página 86.
Conceitos básicos sobre túneis globais

Quando um cliente estabelece um túnel de VPN na LAN, um túnel global (0.0.0.0)
é configurado para ele. Isso força todo o tráfego de cliente através do túnel de
VPN que termina no equipamento. Isso será útil para redes não confiáveis, como
sem fio, a fim de manter o tráfego seguro.
Ao estabelecer um túnel na WAN, a sub-rede do equipamento (192.168.0.0 por
padrão) é configurada para permitir um túnel dividido para que o cliente ainda
possa acessar a Internet diretamente e somente tráfego destinado para a LAN
seja enviado através do túnel de VPN.
Tarefas de configuração para túneis de VPN de cliente-para-

gateway
A Tabela 6-9 descreve as tarefas necessárias para configurar um túnel de VPN de
cliente-para-gateway.
Tabela 6-9 Configuração de tarefas de túnel de VPN

de cliente-para-gateway
Tarefa SGMI

fase 2 de IKE). É opcional.
Identificar usuários remotos. VPN > Usuários remotos > Identidade

do usuário da VPN
Ativar o túnel cliente do grupo de VPNs VPN > Túneis clientes > Definição dos
selecionado. túneis do grupo
Tabela 6-9 Configuração de tarefas de túnel de VPN

de cliente-para-gateway (Continuação)
Tarefa SGMI
Opcionalmente, configurar os parâmetros da VPN > Túneis clientes > Parâmetros

rede VPN (direcionados para o cliente durante as da rede VPN
negociações).
Opcionalmente, configurar a autenticação VPN > Túneis clientes > Autenticação

RADIUS. estendida de usuário
VPN > Avançado > Configurações do
RADIUS
Opcionalmente, configurar a aplicação da VPN > Túneis clientes > Política

política antivírus. antivírus
Selecionar a política de VPN que se aplica ao VPN > Avançado > Configurações do
túnel. cliente de VPN global
Definindo túneis de VPN cliente

Esta seção descreve como definir túneis de VPN cliente. A definição de túneis de
VPN cliente consiste nas seguintes tarefas:
■ Ativação de túneis clientes para grupos de VPNs selecionados para
conexões WAN e/ou LAN/WLAN.
■ Configuração de parâmetros da rede VPN impostos à VPN do cliente
durante negociações de túnel (opcional).
■ Configuração de autenticação RADIUS (opcional).
■ Configuração da aplicação de política antivírus (opcional).
■ Configuração de filtragem de conteúdo (opcional).
Se você ativar a filtragem de conteúdo para clientes de VPN do lado da
WAN, deve ter servidores DNS na LAN local. No Symantec Client VPN
versão 8.0, é possível definir dois túneis diferentes: uma para a WAN que
usa o nome de domínio e outro para a LAN, que usa o endereço IP. A seguir,
coloque esses túneis em um grupo de gateway. Assim, quando você cria o
túnel, caso o primeiro túnel falhe (porque o nome não pode ser resolvido,
por exemplo), o endereço IP poderá ser usado para conectar.
Consulte o Guia de Usuário do Symantec Client VPN.
Para definir túneis clientes

Consulte "Descrições dos campos da guia Túneis de cliente" na página 209.
2 No painel direito, na guia Túneis clientes, em Definição dos túneis do grupo,
na lista suspensa Grupo de VPNs, selecione um grupo de VPNs.
3 Para ativar as VPNs do cliente para o grupo de VPNs escolhido nas conexões
WAN ou WLAN/LAN, clique em uma das seguintes opções:
■ Ativar VPNs do cliente no lado da WAN
■ Ativar VPNs do cliente no lado da WLAN/LAN
4 Opcionalmente, em Parâmetros da rede VPN, na caixa de texto DNS
primário, digite o nome do servidor DNS primário.
5 Opcionalmente, na caixa de texto DNS secundário, digite o nome do servidor
DNS secundário.
O sistema ou serviço de nomes de domínio (DNS, Domain Name System/
Service) é um serviço da Internet que converte os nomes de domínio em
endereços IP.
6 Opcionalmente, na caixa de texto WINS primário, digite o nome do servidor
WINS primário.
Esta é uma etapa opcional. O serviço do Windows de cadastramento na
Internet (WINS, Windows Internet Naming Service) é um sistema que
determina o endereço IP associado a um computador de rede específico.
7 Opcionalmente, na caixa de texto WINS secundário, digite o nome do
servidor WINS secundário.
8 Opcionalmente, na caixa de texto PDC (Primary Domain Controller), digite o
nome do controlador de domínio primário.
9 (Opcional) Em Autenticação estendida de usuário, selecione Ativar a
autenticação estendida de usuário.
10 (Opcional) Na caixa de texto Conexão ao grupo RADIUS, digite o nome da
conexão com o grupo RADIUS.
O nome da conexão com o grupo RADIUS deve corresponder ao parâmetro
de ID retornado pelo servidor RADIUS.
11 Para ativar a AVpe, em Política de cliente WAN, proceda da seguinte
maneira:
■ Selecione Ativar aplicação da política antivírus.
■ Para registrar um aviso no Symantec Gateway Security de que há um
usuário estabelecendo conexão incompatível com a política AVpe,
clique em Avisar somente.
■ Para interromper o tráfego do usuário caso ele não seja compatível com
a política AVpe, clique em Bloquear conexões.
12 Para ativar a filtragem de conteúdo, em Política de cliente WAN, proceda da

seguinte maneira:
■ Selecione Ativar filtragem de conteúdo.
■ Para permitir tráfego e bloquear outro tráfego, clique em Usar lista de
permissões.
■ Para bloquear tráfego e permitir outro tráfego, clique em Usar lista de
negações.
Definindo configurações de política global para túneis de VPN

de cliente-para-gateway
Algumas configurações podem ser definidas em um nível global para os túneis
de VPN de cliente-para-gateway. Essas configurações definem o tipo de ID da
fase 1 para todos os túneis de VPN cliente que se conectam ao gateway de
segurança.
Elas são compartilhadas pelos três grupos de VPNs.
Para definir configurações de política global para túneis de VPN de cliente-

para-gateway
2 No painel direito, na guia Avançado, em Configurações do cliente de VPN
global, proceda da seguinte maneira:
■ Na lista suspensa Tipo de ID da fase 1 do gateway local, selecione um
tipo de ID.
■ Na caixa de texto ID da fase 1 do gateway local, digite o valor que
corresponde ao tipo de ID selecionado.
■ Na lista suspensa Política de VPN, selecione uma política de VPN a ser
aplicada a todos os túneis clientes.
3 Em Configurações do cliente de VPN dinâmico, proceda da seguinte
maneira:
■ Para ativar usuários dinâmicos para os três grupos de VPNs, clique em
Ativar túneis do cliente de VPN dinâmico.
■ Na caixa de texto Chave pré-compartilhada, digite uma string de
caracteres para a chave.
4 Clique em Salvar.
Monitorando o status do túnel de VPN
Compartilhando informações com os clientes

Depois de configurar o túnel de VPN de cliente-para-gateway, distribua as
informações do gateway entre os clientes para que eles possam conectar-se a ele.
Use a Tabela 6-10 para registrar as informações que serão oferecidas aos
clientes, de modo que eles possam conectar-se ao gateway de segurança.
Tabela 6-10 Informações para oferecer aos clientes
Informações Valor
Endereço IP ou nome de domínio

totalmente qualificado do gateway
Chave pré-compartilhada (usuário) Compartilhe essas informações

verbalmente ou por outros meios seguros.
ID do cliente
Nome de usuário RADIUS

(Opcional)
Segredo compartilhado RADIUS (usuário

com autenticação estendida)
(Opcional)
ID de fase 1
(Opcional)

A janela Status da VPN permite que você visualize o status de cada túnel de VPN
de gateway-para-gateway dinâmico e estático configurado. O status de túneis
estáticos é Ativado ou Desativado; o status de túneis dinâmicos é Conectado,
Ativado ou Desativado. O status de túneis estáticos nunca será conectado, pois
não há negociação para túneis estáticos.
As informações da janela Status são atualizadas quando selecionadas. As
condições podem mudar enquanto você visualiza a tela. Atualize a tela para
exibir as condições mais atuais.
Para monitorar o status do túnel de VPN

Para monitorar o status do túnel, verifique as duas extremidades do túnel e
monitore a janela Status.
Para verificar se o túnel está funcionando nas duas extremidades.

◆ Em um host local, execute um comando PING para um computador da rede
remota.
Para atualizar as informações na janela Status

2 No painel direito, na guia Status, na parte inferior da janela Status, clique
em Atualizar.
Capítulo 7
Controle avançado de
tráfego de rede
■ Como a aplicação da política antivírus (AVpe) funciona
■ Antes de iniciar a configuração da AVpe
■ Configurando a AVpe
■ Monitorando o status do antivírus
■ Verificando o funcionamento da AVpe
■ Sobre a filtragem de conteúdo
■ Gerenciando listas de filtragem de conteúdo

■ Monitorando a filtragem de conteúdo
Os recursos de controle avançado de tráfego de rede do equipamento Symantec
Gateway Security 300 incluem a aplicação da política antivírus (AVpe) e a
filtragem de conteúdo.
O recurso AVpe permite monitorar as configurações antivírus de cliente e, se
necessário, aplicar políticas de segurança para limitar o acesso à rede somente
aos clientes protegidos por software antivírus com as definições de vírus
estabelecidas pelo mestre.
O equipamento também suporta a filtragem de conteúdo básica para o tráfego de
saída. Use a filtragem de conteúdo para limitar os URLs aos quais os clientes têm
acesso. Por exemplo, para impedir que os usuários vejam sites de apostas,
configure a filtragem de conteúdo para negar acesso aos URLs de apostas
especificados.
108 Controle avançado de tráfego de rede
Como a aplicação da política antivírus (AVpe) funciona
Como a aplicação da política antivírus (AVpe)

funciona
A AVpe monitora a configuração antivírus de mestres de políticas e estações de
trabalho clientes conectados suportados da Symantec que tentam obter acesso à
rede corporativa. Consulte as Notas de Versão do Symantec Gateway Security
300 para ver a versão do produto que você está usando a fim de determinar os
produtos antivírus suportados e como sua configuração e utilização diferem das
informações a seguir.
A AVpe funciona em dois ambientes distintos: uma rede com um servidor
Symantec AntiVirus Corporate Edition interno que mantém informações
antivírus ou uma rede de clientes não gerenciados.
Se a rede tiver um servidor Symantec AntiVirus Corporate Edition interno,
ao configurar a AVpe, designe um servidor antivírus primário e secundário
(opcional) que possam ser acessados pela rede através de conexões LAN ou
WAN. Se a rede tiver clientes não gerenciados, designe um cliente como mestre
e todos os outros clientes terão que comparar suas versões às do mestre.
Na primeira vez que um cliente interno solicita uma conexão DHCP, ele tenta
uma conexão externa, ou quando um cliente inicia um túnel de VPN (originário
da LAN ou acessado remotamente pela Internet), o equipamento recupera a
configuração da política antivírus do cliente e a compara aos requisitos da
política antivírus. Se o cliente não for compatível, o tráfego será avisado ou
bloqueado (como indicado quando você configura a AVpe) e uma mensagem
será registrada.
É possível configurar o equipamento para monitorar configurações de cliente ou
servidor em intervalos específicos (a configuração padrão é a cada 10 minutos).
Depois que o cliente está conectado, o equipamento verifica novamente a
compatibilidade antivírus do cliente em intervalos definidos pelo usuário. Após
um intervalo especificado (o intervalo padrão é de oito horas), a compatibilidade
dos clientes é verificada novamente. Se o mestre da política antivírus mostra
que foram feitas atualizações, os clientes ainda serão compatíveis durante oito
horas (o intervalo do LiveUpdate padrão ou clientes não gerenciados) se tiverem
a última versão da definição do mestre da política antivírus. Após esse período,
eles serão considerados não compatíveis com a política antivírus.
Controle avançado de tráfego de rede 109
Como a aplicação da política antivírus (AVpe) funciona
A Tabela 7-1 descreve a compatibilidade do cliente e as ações subseqüentes

executadas.
Tabela 7-1 Ações de compatibilidade do cliente
Se o cliente for Então
Compatível com as políticas O cliente terá acesso ao firewall.

antivírus atuais
A proteção antivírus estiver A conexão poderá passar, mas o equipamento registrará

desatualizada um aviso ou bloqueará o acesso totalmente, de acordo
com a opção selecionada.
Os clientes cujo acesso foi negado podem conectar-se aos servidores do

Symantec AntiVirus Corporate Edition ou Symantec LiveUpdate para atualizar
suas definições de vírus.
Você determina se será aplicada a compatibilidade antivírus a todos os clientes
locais usando grupos de computadores. Todos os clientes locais pertencem a
grupos de computadores. Para cada grupo, ative ou desative a AVpe. O status
padrão da AVpe para todos os grupos de computadores é desativado. Consulte
"Conceitos básicos sobre computadores e grupos de computadores" na
página 64.
Se a filtragem de conteúdo e a aplicação da política antivírus estiverem ativadas
ao mesmo tempo, o processamento da filtragem de conteúdo terá prioridade
sobre o da aplicação da política antivírus apenas para o tráfego de saída.
Se ocorrer uma violação da filtragem de conteúdo e um cliente for impedido de
ver o conteúdo, uma mensagem será registrada e não serão processadas regras
de aplicação da política antivírus.
A AVpe é suportada apenas para conexões de saída e conexões de clientes
de VPN.
Nota: Coloque clientes UNIX/Linux, ou clientes com um cliente de antivírus não

suportado, em um grupo de computadores sem a AVpe.
Antes de iniciar a configuração da AVpe
Antes de iniciar a configuração da AVpe

Antes de configurar o equipamento Symantec Gateway Security 300, proceda da
seguinte maneira:
■ Inclua suas necessidades de AVpe na estratégia de atribuições de grupo.
A AVpe é suportada apenas para conexões de saída e conexões de clientes
de VPN. Determine os clientes cujas definições de vírus serão verificadas e
os clientes (se houver) que terão acesso condicional ou incondicional à rede.
Em seguida, atribua os usuários aos grupos de acesso ou VPNs apropriados,
e indique se os clientes incompatíveis que tentarem acessar a rede local
serão avisados ou bloqueados.
Nota: Coloque clientes UNIX/Linux ou clientes com um cliente de antivírus

não suportado em um grupo de computadores sem a AVpe.
Consulte "Definindo grupos de computadores" na página 67 ou "Exibindo a

Lista de usuários" na página 89.
■ Se você pretende usar os servidores Symantec AntiVirus Corporate Edition,
obtenha o nome dos servidores primário e secundário (opcional) usados
na rede.
■ Se a rede for composta de clientes não gerenciados e que acessam o
LiveUpdate diretamente para obterem as atualizações de antivírus, escolha
qual será o cliente mestre. O mestre deve estar sempre ativado, ter um
cliente antivírus da Symantec ativo e uma conexão com a Internet que possa
ser usada para o download de atualizações de definições de vírus.
■ Se a topologia da rede incluir uma configuração na qual estações de
trabalho clientes estiverem localizadas por trás de um firewall de enclave, e
se o firewall executar transformações de endereço que alteram o endereço
IP real do cliente, o gateway de segurança será incapaz de comunicar-se com
o cliente (conforme exigido para validar as definições de vírus do cliente).
Nessa configuração, o gateway de segurança entra em contato com o
firewall, e não com o cliente.
■ Verifique se o tráfego não está sendo bloqueado por um firewall pessoal.
Permita que a UDP/Porta 2967 seja utilizada por todos os firewalls pessoais.
Isso é definido por padrão no Symantec Client VPN versão 8.0.
Configurando a AVpe
Configurando a AVpe
A configuração da AVpe para um ambiente do Symantec AntiVirus Corporate
Edition assemelha-se à de uma rede somente cliente.
A configuração de servidores Symantec AntiVirus Corporate Edition envolve as
seguintes tarefas:
■ Definir o local de um servidor Symantec AntiVirus primário e secundário
(opcional), e verificar se um cliente possui o cliente Symantec AntiVirus
Corporate Edition instalado e se as definições de vírus e o mecanismo de
verificação nos computadores-cliente estão atualizados.
Consulte "Configurando a AVpe" na página 111.
■ Ativar a AVpe para grupos de computadores ou VPNs.
Consulte "Ativando a AVpe" na página 112.
A configuração de redes com clientes de antivírus não gerenciados (sem o
Symantec AntiVirus Corporate Edition) envolve as seguintes tarefas:
■ Definir o local do cliente mestre da política e verificar se ele possui um
cliente antivírus da Symantec suportado instalado e se as definições de
vírus e o mecanismo de verificação nos computadores-cliente estão
atualizados.
■ Ativar a AVpe para grupos de computadores ou VPNs.
Consulte "Ativando a AVpe" na página 112.
■ Configurar os clientes de antivírus.
Consulte "Configurando os clientes de antivírus" na página 114.
Para configurar a aplicação da política antivírus

Consulte "Descrições dos campos da guia AVpe" na página 219.
1 Na SGMI, no painel esquerdo, clique em Política antivírus.
2 Na caixa de texto AV-mestre primário, no painel direito, em Local do
servidor, digite o endereço IP ou o nome de domínio totalmente qualificado
do servidor antivírus primário ou cliente mestre.
3 Opcionalmente, na caixa de texto AV-mestre secundário, digite o endereço
IP ou nome de domínio totalmente qualificado de um servidor antivírus de
backup, caso seja suportado em seu ambiente.
4 Na caixa de texto Consultar servidor AV a cada, digite um intervalo (em
minutos) para que o equipamento consulte o servidor antivírus a fim de
obter definições de vírus atualizadas.
5 Para forçar uma atualização manual, clique em Consultar servidor-mestre.
Configurando a AVpe
6 Em Validação da política, ao lado de Verificar se o cliente de antivírus está

ativo, selecione uma das seguintes opções:
■ Último mecanismo do produto
Para verificar a configuração antivírus de um cliente a fim de garantir
que ele use um produto antivírus da Symantec suportado e que tenha o
mecanismo de verificação de produto mais recente.
■ Qualquer versão
Para verificar a configuração antivírus do cliente a fim de certificar-se
de que a versão correta de um produto antivírus da Symantec
suportado esteja instalada na estação de trabalho do cliente.
7 Para ativar o equipamento a fim de verificar se um cliente está usando as
definições de vírus mais recentes, selecione Verificar últimas definições
de vírus.
8 Na caixa de texto Consultar clientes a cada, digite um intervalo (em
minutos) para que o equipamento verifique se os clientes estão usando
definições de vírus atualizadas.
9 Clique em Salvar.
Ativando a AVpe
A AVpe é aplicada no nível do grupo de computadores e VPNs. Para ativar a
AVpe, primeiro selecione um grupo e depois ative a AVpe uma vez para todos os
membros desse grupo. Você também decide se deseja avisar ou negar o acesso à
WAN a clientes cuja configuração antivírus não seja compatível com as políticas
de segurança esperadas.
Para ativar a AVpe

Depois de configurar a AVpe, ative-a para cada grupo de computadores ou VPNs.
Nota: A ativação da AVpe para grupos de VPNs é apenas para clientes WAN.
Ative a AVpe para clientes VPN da LAN através da opção Grupos de
computadores na seção Firewall.
Consulte "Definindo túneis de VPN cliente" na página 101.

página 191.
Consulte "Descrições dos campos da guia Túneis de cliente" na página 209.
Configurando a AVpe
Para ativar a aplicação da política antivírus para grupos de computadores

1 Na SGMI, no painel esquerdo, clique em Firewall.
2 Na guia Grupos de computadores, em Política de segurança, na lista
suspensa Grupo de computadores, selecione o grupo de computadores
para o qual deseja ativar a AVpe.
3 Em Ativar a aplicação da política antivírus, selecione Ativar aplicação da
política antivírus e proceda de uma das seguintes maneiras:
■ Para registrar avisos para clientes com definições de vírus
desatualizadas, clique em Avisar somente.
■ Para bloquear totalmente as conexões de clientes com definições de
vírus desatualizadas, clique em Bloquear conexões.
4 Clique em Salvar.
5 Repita as etapas de 2 a 6 para ativar a AVpe em cada grupo de
computadores.
Para ativar a aplicação da política antivírus para grupos de VPNs

1 No painel esquerdo da Interface do Security Gateway Management (SGMI,
Security Gateway Management Interface), clique em VPN.
2 Na guia Túneis clientes, em Definição dos túneis do grupo, na lista suspensa
Grupo de VPNs, selecione o grupo de VPNs para o qual você deseja ativar
a AVpe.
3 Em Política de cliente WAN, selecione Ativar aplicação da política
antivírus e proceda de uma das seguintes maneiras:
■ Para registrar avisos para clientes com definições de vírus
desatualizadas, clique em Avisar somente.
■ Para bloquear totalmente as conexões de clientes com definições de
vírus desatualizadas, clique em Bloquear conexões.
4 Clique em Salvar.
5 Repita as etapas de 2 a 6 para ativar a AVpe em cada grupo de VPNs
desejado.
Monitorando o status do antivírus
Configurando os clientes de antivírus

Se os clientes da rede não forem gerenciados e usarem o LiveUpdate para
instalar mecanismos e definições de vírus atuais, configure cada cliente para que
possam ser validados com a AVpe. Cada cliente que você quiser validar com a
AVpe deve ter um produto antivírus da Symantec suportado instalado no modo
não gerenciado.
Durante a desinstalação do software cliente, as chaves de Registro criadas com
esse procedimento também serão removidas.
Aviso: Não use esse procedimento para clientes gerenciados por um servidor
Symantec Antivirus.
Para configurar clientes de antivírus

1 Instale ou configure o produto antivírus da Symantec suportado de cada
cliente no modo não gerenciado.
2 Insira o CD-ROM do Symantec Gateway Security 300 na unidade de
CD-ROM em um computador-cliente.
3 Na pasta Ferramentas, copie SGS300_AVpe_client_Activation.reg para a
área de trabalho do cliente.
4 Clique duas vezes no arquivo.
5 Repita as etapas de 2 a 4 para cada cliente que você deseja validar com a
AVpe.
Monitorando o status do antivírus

As seções Status do AV-mestre e do cliente AV da guia AVpe permitem que você
obtenha um status operacional dos servidores antivírus primário e secundário
configurados na rede.
Todas as alterações efetuadas na configuração do servidor antivírus primário ou
secundário são refletidas no campo Status do AV-mestre, depois de salvas.
Mensagens de registro
Quando você ativa a AVpe e uma conexão de cliente é negada (por estar
bloqueada ou sob aviso), uma mensagem é registrada. Essas mensagens de
registro podem ser verificadas periodicamente para monitorar o tráfego.
Verificando o funcionamento da AVpe
Para exibir mensagens de registro da AVpe

Consulte "Descrições dos campos da guia Exibir registro" na página 164.
1 No painel esquerdo da SGMI, clique em Registro/Monitoração.
2 Na guia Exibir registro, clique em Atualizar.
Verificando o funcionamento da AVpe

Depois de ativar a AVpe, teste seu funcionamento desativando o Symantec
AntiVirus Corporate Edition em uma estação de trabalho cliente e tente
conectar-se à rede local. Se o recurso aplicação da política antivírus estiver
configurado corretamente, na ausência de um software antivírus Symantec,
todas as tentativas de conexão serão bloqueadas ou avisadas.
O status do servidor antivírus secundário não será exibido exceto se o servidor
primário estiver inacessível.
Nota: A estação de trabalho cliente não recebe nenhuma notificação de que o

acesso à rede está bloqueado e uma mensagem é registrada.
Para testar o funcionamento da aplicação da política antivírus

Consulte "Descrições dos campos de registro/monitoração" na página 161.
1 Desinstale o Symantec AntiVirus Corporate Edition de uma estação de
trabalho cliente que tenha sido configurada como parte de um grupo de
computadores com a AVpe ativada e com conexões bloqueadas.
2 Abra um navegador da Web e tente conectar-se a www.symantec.com.br.
A tentativa de conexão deverá falhar e toda a comunicação através do
firewall deverá ser bloqueada.
3 No painel esquerdo da SGMI, clique em Registro/Monitoração.
4 Clique em Exibir registro e procure uma mensagem de aviso indicando que
todas as tentativas de conexão do cliente específico estão bloqueadas devido
a incompatibilidade com a política.
Se essa mensagem for exibida, o recurso AVpe está configurado
corretamente e em funcionamento.
5 Se você puder conectar-se a www.symantec.com.br, verifique novamente as
definições de configuração e atribuições de grupo da AVpe. Verifique se o
Symantec AntiVirus Corporate Edition foi desinstalado da estação de
trabalho cliente e se o cliente está associado a algum grupo que tenha a
AVpe ativada, com conexões bloqueadas. Repita as etapas de 1 a 4 acima.
Sobre a filtragem de conteúdo
Sobre a filtragem de conteúdo

O Symantec Gateway Security 300 suporta a filtragem básica de conteúdo para o
tráfego de saída. Use a filtragem de conteúdo para limitar o conteúdo ao qual os
clientes têm acesso. Por exemplo, para impedir que os usuários vejam sites de
apostas, configure a filtragem de conteúdo para negar acesso aos URLs de
apostas especificados.
A filtragem de conteúdo é administrada através de grupos de computadores e
VPNs. Um grupo de computadores é um grupo definido na seção Firewall que
utiliza as mesmas regras. Da mesma forma, um grupo de VPNs é um grupo de
usuários de VPN definido na seção VPN que utiliza as mesmas regras. Ao definir
um grupo de computadores, você especifica se o grupo utiliza uma lista de
negações ou permissões de filtragem de conteúdo. As listas de negações (listas
negras) bloqueiam o acesso interno a sites da lista e permitem o acesso a todos
os outros sites. As listas de permissões (listas brancas) permitem o acesso
interno a sites da lista e bloqueiam o acesso a todos os outros sites.
Nota: Por padrão, a filtragem de conteúdo é desativada para todos os grupos de

computadores.
A lista de permissões permite o tráfego em sites que correspondem exatamente

às entradas da lista. O mecanismo de filtragem de conteúdo elimina as
solicitações de conexão enviadas para um destino que não corresponde às
entradas da lista. Se a lista de permissões estiver vazia, todo o tráfego será
bloqueado.
Se a lista de negações estiver vazia, o tráfego não será filtrado. Depois que as
entradas são adicionadas à lista de negações, o mecanismo de filtragem de
conteúdo elimina as solicitações de conexão enviadas para um destino que
corresponda exatamente a uma entrada. O tráfego que não corresponder a
nenhuma entrada poderá passar.
Considerações especiais
Quando a filtragem de conteúdo e a AVpe estão ativadas simultaneamente, a
filtragem de conteúdo é realizada em primeiro lugar. Se a filtragem de conteúdo
resultar em uma conexão bloqueada, a AVpe não será processada; somente uma
mensagem de filtragem de conteúdo será registrada.
Gerenciando listas de filtragem de conteúdo
Se você efetuar alterações à filtragem de conteúdo do equipamento, limpe os

caches do DNS e do navegador no computador-cliente. Se um URL for acessado
por um cliente, mas as configurações de filtragem de conteúdo forem alteradas
para negar acesso a ele, o cache poderá ser usado e permitirá o acesso do cliente
ao URL. Consulte a documentação do seu sistema operacional para obter
informações sobre como limpar caches do DNS, e a documentação do navegador
sobre como limpar o cache do navegador.
Se você ativar a filtragem de conteúdo para clientes de VPN do lado da WAN,
você deverá ter servidores DNS na LAN local.

Ao criar listas de permissões e de negações, você fornece os nomes de domínio
totalmente qualificados permitidos ou negados. O equipamento filtra o tráfego
verificando as solicitações de pesquisa DNS. Deve haver uma correspondência
exata no destino para que a ação (bloqueio ou aviso) ocorra.
No caso da funcionalidade de caracteres curinga, especifique somente o nome de
domínio na lista de permissões ou negações para sites específicos. Por exemplo,
para permitir o tráfego em qualquer site da Symantec, adicione symantec.com à
lista de permissões. Dessa forma, o tráfego será permitido em
liveupdate.symantec.com, www.symantec.com.br, fileshare.symantec.com e
assim por diante.
A filtragem de conteúdo se aplica a todo o tráfego de saída, e não apenas ao
tráfego de HTTP (Web).
Considerações especiais
Se um site ou gateway de segurança usar redirecionamento para transferir
usuários de um URL para outro, inclua os dois URLs na lista. Por exemplo,
www.disney.com redireciona os usuários para www.disney.go.com. Para que os
usuários possam ver esse website, especifique www.disney.com e
www.disney.go.com na lista de permissões.
Se um site tiver conteúdo de outros sites, adicione os dois URLs à lista. Por
exemplo, www.cnn.com utiliza conteúdo de www.cnn.net.
Para gerenciar listas de permissões e negações

Por padrão, as listas de permissões e negações são vazias. Cada lista de filtragem
pode comportar até 100 entradas. Cada entrada pode ter até 128 caracteres.
Consulte "Descrições dos campos de filtragem de conteúdo" na página 222.
Para adicionar um URL a uma lista de permissões ou negações

1 No painel esquerdo, clique em Filtragem de conteúdo.
2 Em Selecionar lista, ao lado de Tipo de lista, selecione Permissão ou
Negação.
3 Na caixa de texto Inserir URL, digite o nome de um site que você deseja
adicionar à lista. Por exemplo, seusite.com ou meusite.com/pictures/
me.html.
Repita as duas etapas anteriores até adicionar todos os URLs à lista.
5 Clique em Salvar lista.
Para remover um URL de uma lista de permissões ou negações

2 Na lista suspensa Excluir URL, selecione o URL que deseja excluir.
3 Clique em Excluir entrada.
4 Clique em Salvar lista.
Ativando a filtragem de conteúdo para a LAN

Depois de configurar as listas de permissões ou negações, ative a filtragem de
conteúdo para cada grupo de computadores cujo tráfego você deseja filtrar.
Para ativar a filtragem de conteúdo para um grupo de computadores

página 191.
2 Na guia Grupos de computadores, em Política de segurança, na lista
suspensa Grupo de computadores, selecione o grupo de computadores para
o qual deseja ativar a filtragem de conteúdo.
3 Em Filtragem de conteúdo, selecione Ativar filtragem de conteúdo.
■ Para filtrar conteúdo baseado na lista de negações, clique em Usar lista
de negações.
■ Para filtrar conteúdo baseado na lista de permissões, clique em Usar
lista de permissões.
5 Clique em Salvar.
Monitorando a filtragem de conteúdo
Ativando a filtragem de conteúdo para a WAN

Ative a filtragem de conteúdo para a WAN através de túneis clientes de VPN.
Consulte "Definindo túneis de VPN cliente" na página 101.
Monitorando a filtragem de conteúdo

A filtragem de conteúdo registra uma mensagem nos arquivos de registro se os
pacotes forem rejeitados devido a uma tentativa do usuário de acessar um URL
da lista de negações ou de acessar um URL que não esteja permitido
especificamente na lista de permissões. Consulte "Registro, monitoração e
atualizações" na página 125.
Você pode exibir os URLs e seus status que estão na lista de permissões ou
negações.
Para exibir uma lista de URLs na lista de permissões ou negações

Consulte "Descrições dos campos de filtragem de conteúdo" na página 222.
2 Em Selecionar lista, em Tipo de lista, proceda de uma das seguintes
maneiras:
■ Para exibir os URLs da lista de negações, clique em Negação.
■ Para exibir os URLs da lista de permissões, clique em Permissão.
3 Clique em Exibir/Editar.
Capítulo 8
Evitando ataques
■ Como a detecção e prevenção de intrusões funciona
■ Configurando preferências de proteção
■ Ativando configurações de proteção avançadas

O equipamento Symantec Gateway Security 300 oferece serviços de detecção
e prevenção de intrusões (IDS e IPS). As funções do IDS e IPS são ativadas por
padrão e oferecem proteção atômica de pacotes. A funcionalidade de IDS e IPS
pode ser desativada a qualquer momento.
Nota: Uma assinatura IDS e IPS atômica é definida como uma assinatura
baseada em um único pacote IP.
Como a detecção e prevenção de intrusões funciona

O equipamento oferece defesa contra ataques de fragmentação de registros,
ataques de opções de IP, ataques de estouro de buffer, verificações de porta,
falsificação de pacotes grandes demais e ataques de excesso.
Qualquer tráfego dentro ou fora do equipamento com um conjunto incomum de
configurações de opções IP é bloqueado.
O IDS/IPS registra eventos que são identificados na tela Status. O registro do
IDS/IPS no lado da WAN é ativado por padrão. Se o registro do IDS estiver
desativado, o equipamento ainda bloqueará todas as tentativas de conexão de
entrada com um serviço não autorizado. Entretanto, quando o serviço de
pesquisa de Cavalo de Tróia é desativado, somente uma mensagem de acesso
negado é registrada.
122 Evitando ataques
Como a detecção e prevenção de intrusões funciona
O número de mensagens de registro acompanhadas depende do tipo de ataque.

Tentativas de login de gerenciamento ilimitadas são registradas. O registro
limita-se a um ataque em cinco segundos. Quando o ICMP está ativado, as
mensagens de registro não são limitadas.
O equipamento protege contra as seguintes assinaturas IDS/IPS atômicas:
■ Bonk
■ Back Orifice (canal de comunicação do Cavalo de Tróia)
■ Girlfriend (canal de comunicação do Cavalo de Tróia)
■ Fawx
■ Jolt
■ Land
■ Nestea
■ Newtear
■ Overdrop
■ Ping of Death
■ Portal of Doom (canal de comunicação do Cavalo de Tróia)
■ SubSeven (canal de comunicação do Cavalo de Tróia)
■ Syndrop
■ Teardrop
■ Winnuke
■ estouro de buffer de HTML
■ proteção contra excessos de TCP/UDP
Proteção contra Cavalo de Tróia

Qualquer tentativa de conexão com uma porta bloqueada que seja comumente
usada por programas de Cavalo de Tróia é registrada e classificada como um
possível ataque. A mensagem de registro avisa ao usuário que foi feita uma
tentativa de conexão ilegal e que o usuário deve fazer uma auditoria dos
sistemas internos a fim de verificar se eles estão comprometidos. A proteção
contra Cavalo de Tróia será ignorada se o tráfego for permitido explicitamente
em uma regra de entrada.
Evitando ataques 123
Configurando preferências de proteção
Configurando preferências de proteção

Para cada assinatura IDS/IPS atômica, você pode definir a ação a ser executada
quando cada assinatura individual for detectada, da seguinte maneira:
■ Bloquear e avisar
Remover e registrar pacotes identificados como os que contêm a assinatura
específica.
■ Bloquear/Não avisar
Eliminar o pacote, mas não registrar.
Você pode configurar as seguintes opções para ativar e desativar o registro e a
detecção de assinatura IDS/IPS:
■ Selecione Tudo para ativar ou desativar a detecção de TODAS as
assinaturas.
■ Ativar/desativar a detecção de cada assinatura individualmente.
Para definir as preferências de proteção

Consulte "Descrições dos campos da guia Proteção IDS" na página 217.
1 Na SGMI, no painel esquerdo, clique em IDS/IPS.
2 No painel direito, na guia Proteção de IDS, em Assinaturas IDS, na lista
suspensa Nome, selecione uma assinatura IDS.
Para aplicar as preferências a todas as assinaturas, clique em >>Selecionar
todos<<.
3 Em Configurações de proteção, ao lado de Ação, selecione uma ação.
4 Ao lado de Área de proteção, selecione uma interface a ser protegida.
Ativando configurações de proteção avançadas

As configurações de proteção avançadas ajudam a proteger a rede contra outros
ataques além daqueles que podem ser identificados por assinaturas atômicas.
Proteção contra falsificação de IP

Qualquer pacote de não-difusão ou difusão seletiva que chegue a uma interface
WAN com um endereço IP de origem que corresponda a uma sub-rede interna
será bloqueado e marcado como tentativa de falsificação de IP. As sub-redes
internas derivam-se do endereço de sub-rede do lado LAN do equipamento e das
entradas de rota estática no equipamento para a interface da LAN.
124 Evitando ataques
Ativando configurações de proteção avançadas
Da mesma forma, qualquer tráfego de não-difusão ou não-difusão seletiva que

chegue à interface interna ou sem fio com um endereço IP de origem que não
corresponda a uma rede interna predefinida será bloqueado e registrado como
uma tentativa interna de falsificação de IP. As redes internas derivam-se de
rotas estáticas no equipamento e do endereço LAN/WLAN interno do
equipamento. A proteção contra falsificação pode ser desativada para as LANs e
WAN internas.
Para configurar a proteção contra falsificação de IP

2 No painel direito, na guia Avançado, em Proteção contra falsificação de IP,
selecione WAN ou WLAN/LAN.
3 Clique em Salvar.
Validação de marca de TCP

Certas ferramentas de mapeamento de porta, como NMAP, usam combinações
inválidas de marca de TCP para detectar um firewall em uma rede ou mapear a
política de segurança implementada no firewall. O Symantec Gateway Security
300 bloqueia e registra todo tráfego com combinações ilegais de marca para o
tráfego que está sendo negado pela política de segurança. Qualquer tráfego
negado pela política de segurança que tenha uma ou mais combinações de marca
de TCP incorretas é classificado como uma das várias técnicas de verificação de
porta NMAP (NMAP Null Scan, NMAP Christmas Scan e assim por diante).
Para ativar a validação de marca de TCP

2 No painel direito, na guia Avançado, em Validação de marca de TCP,
selecione Ativar.
Capítulo 9
Registro, monitoração e
atualizações
■ Gerenciando registros
■ Atualizando o firmware
■ Fazendo backup e restaurando configurações
■ Interpretando LEDs
■ Seqüências de LED do LiveUpdate e de upgrades de firmware

O equipamento oferece recursos configuráveis para a visualização de registros
do sistema e monitoração do status do sistema.
Gerenciando registros
Os recursos firewall, IDS, IPS, VPN, filtragem de conteúdo e AVpe do produto
registram mensagens quando certos eventos ocorrem. Você pode configurar os
eventos que serão registrados para visualizar somente as mensagens de registro
necessárias.
É possível visualizar essas mensagens de registro através da SGMI, ou
encaminhá-las a serviços externos. As mensagens de registro são mantidas até o
equipamento ser reiniciado. Em todos os equipamentos, as 100 mensagens mais
atuais são disponíveis para visualização. Nos modelos 360 e 360R, os 100
eventos de registro mais atuais são mantidos, mesmo que o equipamento seja
reiniciado.
Quando o registro fica cheio, as novas entradas sobrescrevem as mais antigas.
Configure o encaminhamento de e-mail ou um servidor Syslog se quiser manter
as mensagens de registro antigas. Consulte "Enviando mensagens de registro
por e-mail" na página 126 ou "Usando o Syslog" na página 127.
126 Registro, monitoração e atualizações
Configurando preferências de registro

As preferências de registro permitem que você defina o modo de visualização
das mensagens de registro, o volume de registro realizado e o procedimento
adotado quando o registro fica cheio. As seguintes configurações ajudam você a
criar situações de registro adequadas às necessidades da rede:
■ Enviando mensagens de registro por e-mail
■ Usando o Syslog
■ Configurando e verificando o SNMP
■ Selecionando níveis de registro
■ Definindo horários de registro
Enviando mensagens de registro por e-mail

Você pode configurar o equipamento para enviar entradas de registro por e-mail
automaticamente quando o registro fica cheio ou caso algum ataque seja
detectado. O arquivo de registro é enviado como uma mensagem de texto.
Para configurar o encaminhamento de e-mail

Consulte "Descrições dos campos da guia Configurações do registro" na
página 165.
1 Na SGMI, no painel esquerdo, clique em Registro/Monitoração.
2 No painel direito, na guia Configurações do registro, na caixa de texto
Servidor SMTP, digite o endereço IP ou o nome DNS do servidor SMTP que
deseja receber o arquivo de registro.
3 Na caixa de texto Enviar e-mail de, digite o endereço eletrônico do
remetente do e-mail.
4 Na caixa de texto Enviar e-mail para, digite o endereço eletrônico do
destinatário do e-mail.
5 Clique em Salvar.
6 Para enviar as mensagens de registro atuais sem esperar que o registro
fique cheio, clique em Enviar registro por e-mail agora.
Registro, monitoração e atualizações 127
Usando o Syslog
O envio de mensagens de registro para um servidor Syslog permite que você
armazene essas mensagens por muito tempo. Um servidor Syslog aguarda as
entradas de registro encaminhadas pelo equipamento e armazena todas as
informações de registro para análises futuras. O servidor Syslog pode estar na
rede LAN ou WAN, ou por trás de um túnel de VPN.
Nota: A data e a hora das mensagens do servidor Syslog correspondem ao

momento em que elas chegam ao servidor Syslog, e não ao momento em que
o equipamento registra o evento que acionou a mensagem.
Para usar o Syslog

página 165.
2 No painel direito, na guia Configurações do registro, em Syslog, na caixa de
texto Servidor Syslog, digite o endereço IP de um host que esteja executando
um utilitário Syslog padrão para receber o arquivo de registro.
3 Clique em Salvar.
Configurando e verificando o SNMP

O equipamento suporta o protocolo SNMP (Simple Network Management
Protocol) versão 1.0. Além disso, ele gera mensagens de alerta de eventos da
rede, as copia para um comando TRAP ou GET do SNMP com o nome da
comunidade associado e as envia para os servidores SNMP registrados.
Esses recursos permitem que o equipamento reporte informações de status
aos aplicativos de gerenciamento com base em SNMP em toda a rede.
O equipamento gera mensagens de SNMP para os seguintes eventos:
■ Inicialização a frio do equipamento
■ Falha de autenticação da SGMI
■ Portas WAN Ethernet ativadas e desativadas
■ Sem interrupção quando as portas WAN ficam ativas como parte da
inicialização do sistema
■ Desconexão da WAN
■ WAN voltando após uma desconexão anterior
■ Porta WAN serial (PPPoE ou Analógica)
■ Link de WAN ativado (conectado)
■ Link de WAN desativado (desconectado)
Um comando GET é uma solicitação de informações de status do servidor SNMP

ao equipamento Symantec Gateway Security 300. O equipamento suporta todos
os MIBS (variáveis de informações) do SNMP v1 com a utilização de GETs. Um
comando TRAP coleta as informações de status enviadas pelo equipamento
Symantec Gateway Security 300 para o servidor SNMP.
A configuração do SNMP define os endereços IP dos servidores SNMP para que
recebam alertas de informações de status (TRAPS) do agente SNMP que estiver
em execução no equipamento. Esse recurso garante proteção mínima em uma
rede pública. Portanto, para obter segurança máxima, a administração do acesso
remoto deve ser feita através de um túnel de VPN.
Para monitorar o aplicativo no lado da LAN, navegue até o endereço IP da LAN
do equipamento (por padrão, 192.168.0.1) com um navegador MIB do SNMP v1.
Para permitir o acesso externo ao GET do SNMP no equipamento, selecione
Ativar monitoramento remoto.
Para configurar o SNMP

A configuração do SNMP consiste em duas etapas:
■ Configuração do SNMP
■ Verificação da comunicação entre o servidor SNMP e o equipamento
Symantec Gateway Security 300.
Antes de configurar o SNMP, colete as seguintes informações:
■ Para TRAPs, os servidores ou aplicativos do SNMP v 1.0 devem estar em
execução na rede para que você receba mensagens de alerta de eventos da
rede. Você também precisa dos endereços IP do servidor SNMP para
configurar o SNMP no equipamento.
■ Além disso, também é preciso ter a string da comunidade referente ao
servidor SNMP. O endereço IP do servidor SNMP e a string da comunidade
devem ser disponibilizados pelo administrador que estiver executando o
servidor SNMP.
■ Você poderá configurar o SNMP a qualquer momento depois que o
equipamento for instalado e os servidores SNMP estiverem em execução.
Consulte "Descrições dos campos de Administração" na página 167.
Para configurar o SNMP

1 No painel esquerdo, clique em Administração.
2 No painel direito, na guia SNMP, em Gerenciadores SNMP somente leitura
(GETS e TRAPS), na caixa de texto String da comunidade, digite o nome da
comunidade.
O padrão é Público.
3 Nas caixas de texto Endereço IP, digite os endereços IP dos gerenciadores
SNMP somente leitura (apenas para coleção do TRAP).
4 Clique em Salvar.
Para verificar a comunicação do SNMP

◆ Entre em contato com o administrador do servidor SNMP e solicite que ele
envie um comando GET do servidor SNMP para o seu equipamento.
O equipamento responde enviando informações de status para o servidor SNMP.
Se ele não responder, verifique se o endereço IP do servidor SNMP e a string da
comunidade estão corretos. Verifique também se o servidor SNMP pode ser
acessado pelo equipamento.
Selecionando níveis de registro

O arquivo de registro contém somente os tipos de informações escolhidos, o que
é útil para isolar um problema ou ataque.
Se você selecionar Informações de depuração, o desempenho poderá ser afetado
pelo número de mensagens criadas. Selecione essa opção somente para fins de
solução de problemas e desative-a quando terminar.
Para selecionar níveis de registro

Consulte "Descrições dos campos de registro/monitoração" na página 161.
2 No painel direito, na guia Configurações do registro, em Tipo de registro,
verifique os tipos de informações que devem ser registradas.
3 Clique em Salvar.
Definindo horários de registro

O NTP (Network Time Protocol) baseia-se em um protocolo padrão da Internet
que garante uma sincronização com a precisão de milissegundos em uma rede.
Se você não configurar um servidor NTP, os servidores NTP públicos padrão
serão usados. Se nenhum servidor NTP for acessado, quando ocorrer um evento,
o equipamento registrará o tempo (em segundos) decorrido desde a última
reinicialização.
Para definir horários de registro

página 165.
2 No painel direito, na guia Configurações do registro, em Hora, na caixa de
texto Servidor NTP, digite o endereço IP ou o nome de domínio totalmente
qualificado do servidor NTP não-público.
3 Clique em Salvar.
Gerenciando mensagens de registro

A guia Exibir registro mostra as condições atuais do equipamento. Os modelos
360 e 360R têm uma seção WAN 2 para o status da segunda porta WAN.
Quando você clica na guia Exibir registro, as informações que ela contém são
atualizadas. As condições podem mudar enquanto você visualiza a tela. Com o
comando Atualizar, a guia Exibir registro exibe as mensagens mais atuais.
É possível excluir o conteúdo do registro manualmente a qualquer momento.
Para gerenciar mensagens de registro

Depois que as mensagens de registro foram geradas, você pode exibi-las,
atualizá-las para ver as mensagens mais atuais ou limpar o registro se não as
quiser mais.
página 165.
Atualizando o firmware
Para exibir mensagens de registro

■ Na guia Exibir registro, exiba as mensagens de registro.
■ Para exibir as mensagens de registro mais antigas, clique em Próxima
página.
Para atualizar mensagens de registro

2 No painel direito, na guia Exibir registro, clique em Atualizar.
Para limpar mensagens de registro

2 No painel direito, na guia Exibir registro, clique em Limpar registro.
O equipamento é executado com um conjunto de instruções codificadas na
memória permanente, que se chama firmware. O firmware contém todos os
recursos e a funcionalidades do equipamento. Há dois tipos de atualizações
de firmware: destrutivo e não destrutivo. O firmware destrutivo pode ser
totalmente sobrescrito, incluindo todas as definições de configuração.
O firmware não destrutivo é atualizado, mas mantém as configurações intactas.
A Symantec lança atualizações de firmware periodicamente. Há três maneiras
de atualizar o firmware no equipamento: automaticamente usando o Agendador
do LiveUpdate, manualmente usando o LiveUpdate ou manualmente ao receber
firmware do Suporte técnico da Symantec e aplicá-lo com a ferramenta
symcftpw. Por padrão, o LiveUpdate procura atualizações quando o Assistente
de Instalação é concluído. Esse recurso pode ser desativado. Consulte o Guia de
Instalação do Symantec Gateway Security 300.
Aviso: A execução do upgrade manual do firmware com app.bin pode

sobrescrever as definições de configuração. Antes de fazer um upgrade, anote
as suas configurações. Não use um arquivo de backup de configuração do antigo
firmware no firmware mais recente. Os upgrades de firmware do LiveUpdate
nunca sobrescreverão suas configurações.
Quando você faz um upgrade do firmware manualmente ou através do

LiveUpdate, os LEDs piscam em uma seqüência exclusiva que indica o
andamento.
Consulte "Seqüências de LED do LiveUpdate e de upgrades de firmware" na
página 147.
Atualizando o firmware automaticamente

O LiveUpdate é uma tecnologia da Symantec que permite que você mantenha os
produtos da Symantec atualizados automaticamente com a última revisão. É
possível configurar o LiveUpdate para que procure atualizações
automaticamente, mas você também pode executá-lo manualmente quando
desejar procurar atualizações.
A Symantec lança atualizações de firmware periodicamente para garantir o
nível mais alto de segurança. Execute o LiveUpdate assim que o Symantec
Gateway Security 300 for conectado à Internet.
Consulte "Executando o LiveUpdate agora" na página 138.
Ao procurar atualizações de firmware, se algum pacote de firmware novo for
encontrado, o LiveUpdate fará o download e começará a aplicar o firmware
sem solicitar qualquer intervenção do administrador. Durante o download e a
aplicação, a SGMI exibe uma mensagem informando que uma atualização está
sendo aplicada e que é necessário aguardar alguns minutos para conectar-se à
SGMI. Depois disso, o equipamento pode ser reiniciado. Quando a aplicação do
firmware estiver completa, uma mensagem será registrada.
Se o LiveUpdate procurar atualizações de firmware e não houver nenhuma
disponível (o firmware está atualizado), uma mensagem será registrada.
A Symantec testa e valida todos os pacotes do LiveUpdate postados por ela.
Esses pacotes não sobrescrevem intencionalmente as suas configurações atuais.
Entretanto, eles determinam o reinício automático do equipamento. Para
minimizar o tempo de inatividade ou as interrupções da conectividade da rede,
use o recurso Hora preferida a fim de agendar as atualizações para que ocorram
fora do horário de expediente.
A funcionalidade do LiveUpdate oferece um mecanismo de segurança contra
falhas caso o equipamento fique inutilizado (em decorrência de interrupção de
energia durante o upload do LiveUpdate). Se o equipamento não puder passar
seu autoteste com um novo pacote do LiveUpdate, ele reverterá ao firmware de
fábrica armazenado na memória protegida. O LiveUpdate só faz o download e a
aplicação de firmware não destrutivo.
Agendando atualizações automáticas

O LiveUpdate é executado no modo automático ou manual. No modo automático,
o equipamento procura novas atualizações. Se você agendar atualizações
automáticas, cada vez que o equipamento for reiniciado, o LiveUpdate procurará
atualizações. Além disso, se alterar o equipamento de atualizações manuais para
automáticas, o LiveUpdate procurará atualizações na próxima vez que forem
feitas especificações na caixa de texto UTC.
Se o LiveUpdate fizer o download de uma nova atualização de firmware e aplicá-
la, o equipamento talvez seja reiniciado. Por esse motivo, agende atualizações
automáticas para que ocorram durante o tempo de inatividade da rede.
Para agendar o LiveUpdate para atualizações automáticas

Consulte "Descrições dos campos da guia LiveUpdate" na página 169.
2 No painel direito, no LiveUpdate, em Atualizações automáticas, selecione
Ativar Agendador.
3 Na lista suspensa Freqüência, selecione a freqüência com que o
equipamento deve procurar atualizações.
4 Na caixa de texto Hora preferida (GMT), digite o horário, em horas e
minutos, que deseja que o equipamento procure atualizações.
5 Clique em Salvar.
Permitindo atualizações automáticas através de um servidor

proxy HTTP
As configurações opcionais do LiveUpdate permitem que você configure uma
conexão a um servidor LiveUpdate através de um servidor proxy HTTP. Use esse
recurso somente nas seguintes situações:
■ O equipamento está localizado por trás de um equipamento Symantec
Gateway Security usando um servidor proxy HTTP.
■ O equipamento está localizado por trás de um dispositivo de terceiros
usando um servidor proxy HTTP.
■ O seu provedor da Internet usa um servidor proxy HTTP.
Para obter mais informações, consulte a documentação do Symantec
LiveUpdate.
Para permitir atualizações automáticas através de um servidor proxy HTTP

2 No painel direito, na guia LiveUpdate, em Configurações opcionais,
selecione Servidor proxy HTTP.
3 Na caixa de texto Endereço do servidor proxy, digite o endereço IP ou o
nome de domínio totalmente qualificado do servidor proxy HTTP.
4 Na caixa de texto Porta, digite o número da porta.
5 Na caixa de texto Nome do usuário, digite o nome do usuário do proxy.
6 Na caixa de texto Senha, digite a senha do proxy.
7 Clique em Salvar.
Alterando a localização do servidor do LiveUpdate

Por padrão, as configurações do LiveUpdate apontam para
liveupdate.symantec.com. O equipamento também pode ser configurado para
usar o seu próprio servidor de teste do LiveUpdate, em vez do site do Symantec
LiveUpdate.
Os servidores internos do LiveUpdate indicados na Figura 9-1 são configurados
com o Utilitário de administração do Symantec LiveUpdate. Em vez de entrar em
contato com os servidores Symantec para obter atualizações de produtos, o
equipamento pode entrar em contato com o servidor do LiveUpdate na rede
local. Esse procedimento reduz bastante o tráfego de rede e aumenta a
velocidade de transferência. Além disso, ele permite que você teste, gerencie e
valide as atualizações antes de aplicá-las. O Utilitário de administração do
LiveUpdate e as instruções para instalação estão disponíveis na página da Web
para o Suporte técnico da Symantec, em http://www.symantec.com/techsupp/.
A Figura 9-1 mostra várias configurações possíveis do LiveUpdate.
Figura 9-1 Configurações do LiveUpdate
Servidor do
Symantec
LiveUpdate
Symantec Gateway
Security 5400
Internet
Túnel de VPN
Servidor Symantec Gateway

interno do Security 300
LiveUpdate
Servidor
SGMI interno do
LiveUpdate
Dispositivos protegidos
A Tabela 9-1 mostra e relaciona as configurações do servidor LiveUpdate

indicadas na Figura 9-1.
Tabela 9-1 Configurações do servidor LiveUpdate
Local Descrição
1 Servidor LiveUpdate da Symantec: http://liveupdate.symantec.com.

Este é o site corporativo padrão do LiveUpdate da Symantec que
transmite a disponibilidade do firmware. É a configuração padrão no
seu equipamento.
2 O servidor interno do LiveUpdate em um local interno remoto,

protegido por um túnel de VPN.
3 O servidor interno do LiveUpdate em um ponto local.
Os servidores do LiveUpdate podem estar na WAN ou na LAN, ou podem ser

acessados através de um túnel de VPN de gateway-para-gateway.
Para alterar a localização do servidor do LiveUpdate

2 No painel direito, na guia LiveUpdate, em Configurações gerais, na caixa de
texto Servidor do LiveUpdate, digite o endereço IP ou o nome de domínio
totalmente qualificado do servidor do LiveUpdate.
3 Clique em Salvar.
Fazendo upgrade de firmware manualmente

Os upgrades de firmware estão disponíveis no website da Symantec. Não é
possível configurar o LiveUpdate para que faça o download dos upgrades de
firmware ou os aplique automaticamente. Se você foi instruído pelo Suporte
técnico da Symantec a fazer um upgrade manual, procure a última versão do
firmware no site da Symantec. Seu número de versão do firmware atual está
disponível na tela Status.
O arquivo de firmware que é disponibilizado pelo Suporte técnico da Symantec
chama-se all.bin. Ele sobrescreve as configurações de forma que, antes de iniciar
um upgrade de firmware manual, anote as suas configurações. A única
configuração que permanece intacta é a senha do administrador.
Consulte "Definindo a senha de administração" na página 14.
Aviso: O recarregamento do firmware com uma versão antiga apaga todas as

informações de configuração anteriores, inclusive a senha.
Aplique o firmware usando o utilitário FTP da Symantec (incluído no CD-ROM

do Symantec Gateway Security 300) ou o comando TFTP do DOS com a opção -i
(binário). Isso transfere o arquivo de firmware para o equipamento, o aplica e,
em seguida, reinicia o equipamento.
Carregando o firmware
Antes de fazer um upgrade manual de firmware, verifique se você possui os
seguintes itens:
■ Utilitário symcftpw
Localizado na pasta Ferramentas do CD-ROM fornecido com o equipamento.
Você também pode usar o comando TFTP para inserir o firmware no
equipamento.
■ Arquivo de firmware
Faça o download do último arquivo de firmware do website da Symantec.
Nota: Se o computador no qual você executa symcftpw possui o Norton Internet

Security instalado, configure uma regra de entrada e uma regra de saída no
Norton Internet Security para permitir o tráfego entre o computador e o
aplicativo.
A Figura 9-2 mostra o painel posterior do modelo 320. Este gráfico é apenas para
referência. A descrição completa dos recursos está disponível no Guia de
Instalação do Symantec Gateway Security 300.
Figura 9-2 Painel posterior do modelo 320
A Figura 9-3 mostra o painel posterior dos modelos 360 e 360R. Este gráfico é
apenas para referência. A descrição completa dos recursos está disponível no
Guia de Instalação do Symantec Gateway Security 300.
Figura 9-3 Painel posterior dos modelos 360 e 360R
Para carregar o firmware

1 Para desligar o equipamento, pressione o botão liga/desliga no painel
traseiro.
2 Vire as chaves DIP 1 e 2 (4) para cima (ligar).
3 Para ligar, pressione o botão liga/desliga (7).
4 Copie o arquivo de firmware e o utilitário symcftpw para uma pasta
temporária da unidade de disco rígido.
5 Clique duas vezes no ícone do symcftpw.
6 Na caixa de texto Endereço IP do servidor, digite o endereço IP do
equipamento.
O endereço IP padrão do equipamento é 192.168.0.1.
7 Na caixa de texto Arquivo local, digite um nome para o arquivo de upgrade
de firmware.
8 Clique em Colocar.
Aguarde vários minutos antes de reiniciar o equipamento. O carregamento
estará completo quando o symcftpw reportar que ele foi finalizado, os LEDs
2 e 3 pararem de piscar alternadamente, o equipamento tiver reiniciado e os
LEDs 1 e 3 ficarem acesos. Isso poderá levar alguns minutos.
9 Vire as chaves DIP 1 e 2 (4) para baixo (desligar).
Executando o LiveUpdate agora

Executar o LiveUpdate agora é o recurso manual do LiveUpdate. Esse recurso
procura imediatamente as atualizações de firmware mais recentes para o
equipamento e as instala. Caso você já esteja executando a versão mais recente, o
equipamento não será atualizado. As atualizações do LiveUpdate mantêm as
suas configurações.
Você também pode alterar o endereço do servidor do LiveUpdate para

verificação. Consulte "Alterando a localização do servidor do LiveUpdate" na
página 134.
Para executar o LiveUpdate agora

2 No painel direito, na guia LiveUpdate, em Status, clique em Executar o
LiveUpdate agora.
Forçando uma atualização de firmware

Se o carregamento manual do firmware não funcionar, você pode forçá-lo no
equipamento. Faça isso apenas se o carregamento de firmware descrito em
"Carregando o firmware" na página 137 não funcionar, ou se instruído pelo
Suporte técnico da Symantec.
Use a Figura 9-4 e Figura 9-5 para referência no seguinte procedimento.
Para forçar uma atualização de firmware

1 Anote todas as suas definições de configuração.
traseiro.
3 Vire as chaves DIP 2 e 4 (4) para cima (ligar).
4 Para ligar, pressione o botão liga/desliga (7).
5 No computador da LAN do qual você enviará o firmware via TFTP para o
equipamento, altere seu endereço IP para um endereço IP estático fora do
intervalo de endereços IP (192.168.0.2-1.92.168.0.52).
Além disso, não forneça o endereço IP estático 192.168.0.1 ao computador.
6 Copie o arquivo de firmware e o utilitário symcftpw para uma pasta
temporária da unidade de disco rígido.
equipamento.
9 Na caixa de texto Arquivo local, digite um nome para o arquivo de upgrade

de firmware.
10 Clique em Colocar.
Aguarde vários minutos antes de reiniciar o equipamento. O carregamento
estará completo quando o symcftpw reportar que ele foi finalizado, os LEDs
2 e 3 pararem de piscar alternadamente, o equipamento tiver reiniciado e os
LEDs 1 e 3 ficarem acesos. Isso poderá levar alguns minutos.
11 Vire as chaves DIP 2 e 4 (4) para baixo (desligar).
Verificando o status da atualização do firmware

A seção Status mostra a data e a versão da última atualização de firmware.
A última atualização mostra a data e a hora (se houver um serviço NTP
disponível) da última verificação do LiveUpdate. Essa verificação pode ou
não resultar no download de uma nova versão de firmware, o que depende
de a versão do firmware do equipamento ser a última.
No caso das atualizações automáticas, o LiveUpdate registra mensagens para os
seguintes eventos:
■ Download bem-sucedido do pacote de firmware
■ Download malsucedido do pacote de firmware
■ Ausência de novo pacote de firmware disponível; todos os componentes
são atuais
Se o LiveUpdate falhar devido a um erro de HTTP, a falha será registrada junto
com a mensagem de erro de HTTP reportada pelo cliente HTTP.
Para verificar o status da atualização do firmware

É importante saber a versão do firmware do equipamento caso você pretenda
entrar em contato com o Suporte técnico da Symantec.
Para exibir o status do pacote de firmware do LiveUpdate

2 No painel direito, na guia LiveUpdate, em Status, verifique a data da última
atualização e o número de versão.
Para verificar a versão atual do firmware do equipamento

2 No painel direito, na guia Status, em Unidade, verifique a Versão do
firmware.
Fazendo backup e restaurando configurações

Você pode fazer backup das configurações do equipamento quando desejar.
Faça isso após configurar o equipamento inicialmente ou antes de alterar a
configuração de forma significativa.
Nota: Não use um arquivo de backup de configuração de uma versão antiga do

firmware para restaurar suas configurações, exceto se instruído pelo Suporte
técnico da Symantec.
O arquivo de backup é criado na mesma pasta da unidade de disco rígido em que

o aplicativo symcftpw se encontra. No aplicativo symcftpw, é possível especificar
onde armazenar o arquivo de backup, como em um disquete. Isso é útil para
armazenar a configuração em um local seguro, como um cofre à prova de
incêndio.
Para fazer backup e restaurar configurações

Fazer backup das configurações é um método recomendável para garantir que
você possa restaurar as configurações se o equipamento falhar.
Para fazer backup das configurações do equipamento

traseiro.
2 Vire as chaves DIP 1 e 2 para cima (ligar).
3 Ligue o equipamento pressionando o botão liga/desliga.
4 Copie o utilitário symcftpw do CD-ROM para uma pasta da unidade de disco
rígido.
equipamento.
7 Na caixa de texto Arquivo local, digite um nome para o arquivo de backup.
8 Clique em Obter.
9 Vire as chaves DIP 1 e 2 para baixo (desligar).
10 Copie o arquivo de backup da unidade de disco rígido para um disquete e
guarde-o em local seguro.
Para restaurar as configurações do equipamento

traseiro.
2 Vire as chaves DIP 1 e 2 para cima (ligar).
3 Ligue o equipamento pressionando o botão liga/desliga.
4 Copie o utilitário symcftpw do CD para uma pasta da unidade de disco
rígido.
equipamento.
7 Na caixa de texto Arquivo local, digite um nome para o arquivo de backup.
8 Clique em Obter.
9 Vire as chaves DIP 1 e 2 para baixo (desligar).
Reinicializando o equipamento
Você pode reinicializar o equipamento de três maneiras distintas:
■ Reinicialização básica
Reinicia o equipamento. Assemelha-se a desligar e ligar o equipamento.
Todas as conexões atuais, inclusive os túneis de VPN cliente, são perdidas.
Os túneis de VPN de gateway-para-gateway conectados anteriormente são
restabelecidos quando o equipamento é reiniciado. Além disso, o
equipamento realiza um autoteste do hardware ao reiniciar.
■ Reinicialização com a configuração padrão
O endereço IP da sub-rede da LAN é redefinido para 101.168.0.0, o endereço
IP da LAN do equipamento é redefinido para 192.168.0.1, a funcionalidade
do servidor DHCP é ativada e a senha do administrador é redefinida em
branco.
■ Reinicialização com o aplicativo reservado
O firmware é reinicializado com o último arquivo de firmware all.bin usado
para carregar o equipamento. Esse é um firmware de fábrica ou um upgrade
de firmware descarregado do website da Symantec e aplicado ao
equipamento.
Nota: O LiveUpdate não faz o download dos upgrades de firmware all.bin,

nem os aplica.
Para reinicializar o equipamento

Há três tipos de reinicialização de fábrica, que podem ser realizados com uma
combinação das chaves DIP e do botão de reinicialização. Use um clipe de papel
ou a ponta de uma caneta para pressionar o botão de reinicialização. Consulte a
Figura 9-4 e a Figura 9-5 para ver a localização do botão de reinicialização e das
chaves DIP.
Instalação do S ymantec Gateway Security 300.

Interpretando LEDs
Para realizar uma reinicialização básica

◆ No painel posterior do equipamento, pressione o botão de reinicialização (1)
rapidamente.
Para realizar uma reinicialização com a configuração padrão

◆ No painel posterior do equipamento, mantenha o botão de reinicialização
(1) pressionado por cinco segundos.
Para realizar uma reinicialização com o aplicativo reservado

1 No painel posterior do equipamento, vire a chave DIP 4 (4) para cima (ligar).
2 Pressione o botão de reinicialização (1) rapidamente.
Interpretando LEDs
Os LEDs localizados na parte frontal dos equipamentos indicam o status do
equipamento. Existem seis LEDs; quatro para o equipamento e dois para sem fio.
Os LEDs sem fio geralmente só ficam acesos quando a opção de ponto de acesso
da WLAN do Symantec Gateway Security compatível é inserida.
Instalação do S ymantec Gateway Security 300.
Interpretando LEDs
A Tabela 9-2 descreve cada LED.
Tabela 9-2 LEDs
Local Símbolo Recurso Descrição
1 Alimentação Fica aceso quando o equipamento é

ligado.
2 Erro Fica aceso quando há um problema com o

equipamento.
3 Transmissão Fica aceso ou pisca quando o tráfego

passa pelas portas LAN ou WAN.
4 Backup Fica aceso ou pisca quando a porta serial

está em uso ou não está funcionando
corretamente.
5 Sem fio- Fica aceso quando a placa sem fio é

pronta inserida e funciona corretamente.
6 Sem fio-ativa Fica aceso ou pisca quando a placa sem

fio transmite ou recebe dados.
Interpretando LEDs
Os LEDs do painel frontal do equipamento possuem três estados: aceso, piscando

e apagado. A combinação dos estados de LEDs Erro e Transmissão indica o status
do equipamento. A Tabela 9-3 descreve as combinações de estados dos LEDs e o
status do equipamento que eles indicam.
Tabela 9-3 Estados dos LEDs e status do equipamento
Estado Erro do LED (2) Estado Transmissão Status do equipamento

do LED (3)
Apagado Aceso Funcionamento normal.
Apagado Piscando Transmitindo ou recebendo dados

da LAN.
Piscando Piscando ■ Endereço MAC não atribuído.

■ Problema de firmware.
Equipamento pronto para um
download forçado.
■ O equipamento detectou um
erro e não pode recuperá-lo.
Piscando Aceso Modo de configuração.
Aceso Aceso Problema de hardware.
Piscando uma vez Apagado Erro de RAM.
Piscando duas vezes Apagado Erro de temporizador.
Piscando três vezes Apagado Erro de DMA.
Aceso Piscando uma vez Erro de LAN.
Aceso Piscando duas vezes Erro de WAN.
Aceso Piscando três vezes Erro de série.
Apagado Apagado Desligado.
Piscando alternadamente ■ Download em andamento.

■ O equipamento está gravando
na memória flash.
Interpretando LEDs
Seqüências de LED do LiveUpdate e de upgrades de firmware

Quando você aplica um upgrade de firmware com o utilitário symcftpw ou TFTP,
ou quando o LiveUpdate faz o download de um upgrade de firmware e o aplica,
há uma seqüência exclusiva de LEDs que indica o andamento. A Tabela 9-4
descreve essas seqüências.
Tabela 9-4 Seqüências de LEDs do LiveUpdate
Descrição Alimentação Erro Transmissão
Recuperação de firmware da Ligado Ligado Piscando quando

Internet usando o LiveUpdate há tráfego.
ou fazendo o seu upload com as
ferramentas symcftpw ou
TFTP.
Firwmare descarregado e Ligado Desligado Desligado

verificado. Leva cerca de 10
segundos.
Aplicando o firmware. A Ligado Piscando Piscando

duração desse processo alternadamente alternadamente
depende do modelo. com com Erro
Transmissão
Atualização completa. Ligado Ligado Ligado
O equipamento reinicia. Todos Ligado Desligado Piscando quando

os LEDs ficam acessos e voltam há tráfego.
ao padrão de funcionamento
normal.
Apêndice A
Compatibilidade com
padrões regulamentares
■ Informações sobre a Classe A da FCC
■ Informação sobre a Classe A da CISPR
■ Informação sobre a Classe A no Japão (VCCI)
Informações sobre a Classe A da FCC

Este dispositivo é compatível com a Parte 15 das Regras da FCC. O
funcionamento está sujeito às seguintes condições: (1) este dispositivo não pode
causar interferência prejudicial e (2) deve aceitar qualquer interferência
recebida, inclusive interferências que possam causar um funcionamento
indesejado.
Este equipamento foi testado e ficou comprovada sua compatibilidade com os
limites para dispositivos digitais da Classe A, de acordo com a Parte 15 das
Regras da FCC. Esses limites destinam-se a garantir proteção razoável contra
interferências prejudiciais quando o equipamento for operado em um ambiente
comercial. Este equipamento gera, usa e pode irradiar energia de freqüência de
rádio e, se não for instalado e usado em concordância com o manual de
instruções, poderá causar interferência prejudicial nas comunicações de rádio. A
operação deste equipamento em uma área residencial pode provocar
interferência prejudicial, e nesse caso o usuário deverá corrigir a interferência
por conta própria.
As alterações ou modificações não aprovadas expressamente pelo responsável
pela compatibilidade podem anular a autoridade do usuário quanto à operação
do equipamento.
150 Compatibilidade com padrões regulamentares
Informação sobre a Classe A da CISPR
Informação sobre a Classe A da CISPR

Aviso: Este é um produto de classe A. Em um ambiente doméstico, este produto
pode causar interferência de rádio. Nesse caso, o usuário poderá ser solicitado a
tomar as medidas adequadas.
Informação sobre a Classe A no Japão (VCCI)

Aviso: Este é um produto de classe A. Em um ambiente doméstico, este produto
pode causar interferência de rádio. Nesse caso, o usuário poderá ser solicitado a
tomar as medidas adequadas. VCCI-A
Apêndice B
Solucionando problemas
■ Sobre a solução de problemas
■ Acessando informações sobre solução de problemas
Sobre a solução de problemas

O recursos Informações de depuração oferece um alto nível de detalhes das
informações de eventos do sistema no registro. O modo de depuração fornece
informações mais detalhadas no registro de status que são úteis para o Suporte
técnico da Symantec ou para a solução de problemas. O modo de usuário padrão
oferece informações gerais sobre as ações executadas definidas pela política de
segurança.
Aviso: A ativação do modo de depuração aumenta o número de eventos de

registro e afeta o desempenho. Por design, todas as mensagens de depuração
são apresentadas somente em inglês. Use o modo de depuração apenas
temporariamente para fins de solução de problemas e desative-o logo após a
depuração.
O recurso Encaminhar pacotes WAN para a LAN transmite todos os pacotes

do lado da WAN para a LAN para a captura (detecção) de pacotes. Essa é
potencialmente uma questão de segurança, para garantir que você desativará
esse recurso quando tiver terminado a solução de problemas.
O gateway de segurança também fornece as ferramentas de teste PING e
Pesquisa de DNS para verificar a conectividade da rede e a resolução de DNS.
Nota: A ferramenta de solução de problemas PING apenas deve ser usada para
emitir comandos PING para outros endereços IP; não é possível fazer PING no
próprio equipamento.
152 Solucionando problemas
Sobre a solução de problemas
A seção Resultado da janela Solução de problemas mostra o resultado da

execução de um teste PING ou Pesquisa de DNS.
Para solucionar problemas de equipamentos Symantec Gateway

Security 300
■ Consulte "Descrições dos campos de registro/monitoração" na página 161.
■ Consulte "Descrições dos campos da guia Solução de problemas" na
página 167.
Para definir níveis de registro

2 No painel direito, na guia Configurações do registro, em Tipo de registro,
verifique as informações que devem ser registradas.
A opção Informações de depuração captura uma grande quantidade de
informações. Use-a somente durante a solução de problemas.
3 Clique em Salvar.
Para ativar o encaminhamento de pacotes WAN para a LAN

2 No painel direito, na guia Solução de problemas, em Nível de depuração de
difusão, selecione Encaminhar pacotes WAN para a LAN.
O encaminhamento de pacotes recebidos nas portas WAN para a LAN para
fins de solução de problemas pode permitir tráfego normalmente negado
pelo gateway de segurança na rede interna. Use esse método apenas para
capturar pacotes WAN caso não possa usar um detector no lado WAN da
rede. Ative esse recurso somente como última opção, e desative-o
imediatamente depois de solucionar o problema.
3 Clique em Salvar.
Para executar um teste

2 No painel direito, na guia Solução de problemas, em Ferramentas de teste,
na caixa de texto Host de destino, digite o endereço IP ou o nome DNS que
deseja testar.
3 Na lista suspensa Ferramenta, selecione PING ou Pesquisa de DNS.
4 Clique em Executar ferramenta.
Os resultados do teste são exibidos em Resultado.
Solucionando problemas 153
Acessando informações sobre solução de problemas
Para testar a conectividade do gateway padrão

1 Verifique se o gateway padrão pode ser acessado com uma emissão de
solicitação PING ao seu endereço IP.
2 Se você não puder fazer um PING no host para obter seu endereço IP, existe
um problema com o link do provedor da Internet ou um problema de
roteamento.
3 Se você puder fazer um PING em um host por endereço IP, mas não por
nome DNS, existe um erro de configuração do servidor DNS ou o servidor
DNS não pode ser acessado (tente fazer um PING no servidor DNS por
endereço IP para verificar a conectividade).
4 Se puder resolver alguns nomes DNS, mas não outros, é mais provável que o
problema não esteja relacionado à sua configuração. Nesse caso, você terá
que trabalhar com a origem autorizada para que esse domínio DNS
solucione o problema.
Para testar a conectividade de WAN

1 Faça PING no gateway padrão.
2 Faça PING em um site da Internet por seu endereço IP.
3 Faça PING em um site da Internet por seu endereço DNS.
Nota: Alguns sites bloqueiam PINGs em seus firewalls. Verifique se o site pode
ser acessado antes de chamar o provedor da Internet ou o Suporte técnico da
Symantec.

Use o seguinte procedimento para acessar informações sobre solução de
problemas no Symantec Knowledge Base (base de dados da Symantec).
Para acessar informações sobre solução de problemas

1 Vá para www.symantec.com (site em inglês).
2 No parte superior da página principal, clique em support (suporte).
3 Em product Support (suporte do produto)> enterprise (empresa), clique em
Continue (Continuar).
4 Na página Support enterprise Suporte corporativo), em Technical Support
(Suporte técnico), clique em knowledge base.
154 Solucionando problemas
5 Em select a knowledge base (selecionar uma base de dados), role para baixo
e clique em Symantec Gateway Security 300.
6 Clique no nome e modelo específico para o seu produto.
7 Na página do knowledge base do modelo do seu equipamento, proceda de
uma das seguintes maneiras:
■ Na guia Hot Topics (Tópicos úteis), clique em um dos itens para ver uma
lista detalhada de artigos do knowledge base sobre o assunto em
questão.
■ Na guia Search (Pesquisar), na caixa de texto, digite uma string com sua
pergunta. Use a lista suspensa para determinar como a pesquisa será
realizada e clique em Search (Pesquisar).
■ Na guia Browse (Procurar), expanda um título para ver artigos do
knowledge base relacionados a esse tópico.
Apêndice C
Licença
■ Licença de sessão para as funções de cliente-para-gateway VPN

do Symantec Gateway Security 300
■ CONTRATO DE LICENÇA E GARANTIA DO EQUIPAMENTO

SYMANTEC GATEWAY SECURITY
Licença de sessão para as funções de cliente-para-

gateway VPN do Symantec Gateway Security 300
O software Symantec Client VPN pode ser licenciado para um equipamento.
A versão do software Symantec Client VPN deve estar relacionada como
suportada nas Notas de versão do Symantec Gateway Security 300.
O complemento Cliente-para-gateway VPN é licenciado pelo número máximo
de sessões VPN simultâneas permitidas. É possível adquirir licenças adicionais
para sessões VPN simultâneas. Por exemplo, você talvez tenha 15 usuários que
precisam de acesso VPN como parte de seus hábitos normais de trabalho. Porém
a qualquer momento, somente 10 usuários estão conectados de fato através
da VPN.
Nessa situação, você precisa apenas de uma licença para 10 sessões VPN
simultâneas. Você deve obter licenças adicionais conforme necessário
para permitir o número máximo de sessões simultâneas exigidas. Você está
licenciado a carregar o software cliente nos nós que desejar, mas esses clientes
estão licenciados para uso apenas com o equipamento Symantec Gateway
Security que o acompanha.
156 Licença
CONTRATO DE LICENÇA E GARANTIA DO EQUIPAMENTO SYMANTEC GATEWAY SECURITY
Licenças de sessão adicionais

Licenças de sessão adicionais estão disponíveis para funções de cliente-para-
gateway VPN. As licenças de sessão cliente-para-gateway VPN são
independentes das licenças básicas de função e o número máximo de sessões
simultâneas pode ser limitado pelo desempenho do hardware, pela
implementação da rede ou pelas características de tráfego.
CONTRATO DE LICENÇA E GARANTIA DO

EQUIPAMENTO SYMANTEC GATEWAY SECURITY
A SYMANTEC CORPORATION E/OU SUAS SUBSIDIÁRIAS ("SYMANTEC") CONCORDA
EM CONCEDER LICENÇA DO SOFTWARE INCLUÍDO COM O EQUIPAMENTO ADQUIRIDO
AO LICENCIADO ENQUANTO PESSOA FÍSICA, PESSOA JURÍDICA OU ENTIDADE LEGAL
QUE IRÁ UTILIZAR O SOFTWARE (DORAVANTE DENOMINADO "VOCÊ") E EM
FORNECER GARANTIAS NO EQUIPAMENTO APENAS SOB A CONDIÇÃO DE ACEITAÇÃO
DE TODOS OS TERMOS DESTE CONTRATO DE LICENÇA E GARANTIA. LEIA
CUIDADOSAMENTE OS TERMOS E CONDIÇÕES DESTE CONTRATO DE LICENÇA E
GARANTIA ANTES DE USAR O EQUIPAMENTO. ESTE CONTRATO LEGAL E
EXECUTÁVEL SE REALIZA ENTRE VOCÊ E A SYMANTEC. AO ABRIR ESTA EMBALAGEM,
ROMPER O LACRE, CLICAR NO BOTÃO "CONCORDO" OU "SIM" OU DE OUTRA FORMA
INDICAR CONSENTIMENTO POR MEIO ELETRÔNICO, SOLICITAR UMA CHAVE DE
LICENÇA OU UTILIZAR O SOFTWARE E O EQUIPAMENTO, VOCÊ CONCORDA COM OS
TERMOS E CONDIÇÕES DESTE CONTRATO. SE VOCÊ NÃO CONCORDAR COM ESTES
TERMOS E CONDIÇÕES, CLIQUE NO BOTÃO "NÃO CONCORDO" OU "NÃO" SE
APLICÁVEL E NÃO UTILIZE O SOFTWARE E O EQUIPAMENTO.
1. Licença do software:
O software (o "Software") que acompanha o equipamento (o "Equipamento") adquirido
por você é propriedade da Symantec ou de seus licenciadores, sendo protegido por leis
de copyright. Embora a Symantec continue sendo a proprietária do Software, você terá
alguns direitos de uso do mesmo mediante aceitação desta licença. Esta licença rege as
versões, revisões ou aperfeiçoamentos do Software que o Licenciador venha a fornecer a
você. Exceto quando modificado por um certificado, cupom ou chave de licença da
Symantec (cada um sendo um "Módulo de licença") que acompanhe, preceda ou siga
essa licença, e quando for posteriormente definido na documentação do usuário que
acompanha o Equipamento e/ou o Software, seus direitos e obrigações com relação ao
uso do Software estão especificados abaixo:
Você pode:
A. Usar o Software unicamente como parte do Equipamento.
B. Fazer cópias da documentação impressa que acompanha o Equipamento como
necessário para suportar o seu uso autorizado do Equipamento; e
C. Depois de um aviso por escrito à Symantec e em relação a uma transferência do
Equipamento, transferir o Software permanentemente a outra pessoa ou entidade. Desde
que você não retenha cópia alguma do Software, a Symantec consente na transferência e
quem recebe a transferência deve concordar com os termos e condições deste contrato.
Licença 157
Você não pode:

A. Sublicenciar, alugar ou fazer leasing de qualquer parte do Software; fazer engenharia
reversa, descompilar, desmontar, modificar, converter, fazer qualquer tentativa de
descobrir o código-fonte do Software ou criar trabalhos derivados do Software;
B. Usar, caso tenha recebido o Software distribuído em um Equipamento que contenha
vários produtos da Symantec, qualquer software da Symantec no meio para o qual você
não recebeu permissão no Módulo de licença; ou
C. Usar o Software de qualquer maneira não autorizada por esta licença.
2. Atualizações de conteúdo:
Alguns produtos do software da Symantec utilizam conteúdo atualizado freqüentemente
(produtos de antivírus utilizam definições de vírus atualizadas; produtos de filtragem de
conteúdo utilizam listas de URL atualizadas; produtos de firewall utilizam regras de
firewall atualizadas; produtos de avaliação de vulnerabilidade utilizam dados de
vulnerabilidade atualizados, etc.; coletivamente, esses produtos são denominados
"Atualizações de conteúdo"). É possível obter Atualizações de conteúdo para cada
funcionalidade do Software adquirido e ativado para uso com o Equipamento para
qualquer período para o qual você tenha (i) adquirido a assinatura das Atualizações
de conteúdo para tal funcionalidade do Software; (ii) concordado com um contrato de
manutenção que inclui Atualizações de conteúdo para tal funcionalidade do Software;
ou (iii) adquirido separadamente o direito de obter Atualizações de conteúdo para tal
funcionalidade do Software. Caso contrário, esta licença não permite que você obtenha e
use as Atualizações de conteúdo.
3. Garantia limitada:
A Symantec garante que o Software será executado no Equipamento substancialmente de
acordo com a documentação impressa que acompanha o Equipamento por um período de
trinta (30) dias a partir da data de compra original do Equipamento. Em caso de quebra
desta garantia, a única opção que lhe estará assegurada será que a Symantec, a seu
critério, irá reparar ou substituir qualquer Software devolvido à Symantec dentro do
prazo da garantia ou reembolsar o dinheiro pago pelo Equipamento.
A Symantec garante que o componente de hardware do Equipamento (o "Hardware")

estará isento de defeitos de material e de mão-de-obra sob uso e serviço normal e estará
substancialmente de acordo com a documentação impressa que acompanha o
Equipamento por um período de trezentos e sessenta e cinco (365) dias a partir da data de
compra original do Equipamento. Em caso da quebra desta garantia, a única opção que lhe
estará assegurada será que a Symantec, a seu critério, irá reparar ou substituir qualquer
Hardware devolvido à Symantec dentro do prazo da garantia ou reembolsar o dinheiro
pago pelo Equipamento.
As garantias contidas neste contrato não se aplicarão a qualquer Software ou

Hardware que:
A. Tenha sido alterado, suplementado, sofrido upgrade ou modificado de alguma maneira;

ou
B. Tenha sido reparado exceto pela Symantec ou seu designado.
158 Licença
Além disso, as garantias contidas neste contrato não se aplicam a reparos ou reposições
causadas ou exigidas por: (i) eventos ocorridos após risco ou perdas passadas a você como
perda ou danos durante o envio; (ii) atos de Deus incluindo sem limitação atos naturais
como incêndios, inundações, terremotos, furacões, tempestades ou desastres similares;
(iii) ambiente, instalação, fornecimento elétrico ou uso inadequado, manutenção
inadequada ou qualquer outro uso não apropriado; (iv) ações ou inações governamentais;
(v) greves ou interrupções no trabalho; (vi) seu não cumprimento das instruções de uso,
manuais ou instruções de operação aplicáveis; (vii) seu não cumprimento em implementar,
ou em permitir à Symantec ou seu designado implementar, quaisquer correções ou
modificações ao Equipamento disponibilizadas a você pela Symantec; ou (viii) outros
eventos fora do controle razoável da Symantec.
Mediante a descoberta de qualquer falha do Hardware, ou seu componente, de

conformidade com a garantia aplicável durante o período de garantia aplicável, você
deverá entrar em contato conosco dentro do prazo de dez (10) dias após tal falha para
obter o número de autorização de retorno de material ("RMA"). A Symantec irá
prontamente emitir a RMA solicitada desde que seja determinado que você atende às
condições para o serviço de garantia. O Equipamento alegadamente defeituoso, ou seu
componente, será devolvido à Symantec, de forma segura e embalado adequadamente,
com o frete e seguro pagos previamente, com o número da RMA exibido de forma
proeminente no exterior da embalagem de envio e junto com o Equipamento. A Symantec
não terá obrigação em aceitar qualquer Equipamento devolvido sem um número de RMA.
Após a conclusão do reparo ou se a Symantec decidir, de acordo com a garantia, substituir

um Equipamento defeituoso, a Symantec retornará tal Equipamento reparado ou de
reposição a você, com o frete e o seguro pré-pagos. Caso a Symantec, a seu critério,
determine que não é possível substituir ou reparar o Hardware, a Symantec reembolsará
o preço FOB que você pagou pelo Equipamento defeituoso. Equipamentos defeituosos
devolvidos à Symantec se tornarão propriedade da Symantec.
A Symantec não garante que o Equipamento irá satisfazer suas expectativas, que a
operação do Equipamento será ininterrupta ou que o Equipamento não terá erros.
Para exercitar quaisquer dos direitos de garantia contidos neste Contrato, você deve
apresentar o recibo de vendas ou nota fiscal original demonstrando prova de compra
com sua reclamação de garantia.
PELA EXTENSÃO MÁXIMA PERMITIDA PELA LEI APLICÁVEL, A GARANTIA ACIMA É

EXCLUSIVA E SUBSTITUI TODAS AS OUTRAS GARANTIAS, SEJAM ELAS EXPLÍCITAS
OU IMPLÍCITAS, INCLUSIVE AS GARANTIAS IMPLÍCITAS DE ADEQUAÇÃO COMERCIAL,
ADEQUAÇÃO A QUALQUER FIM ESPECÍFICO E DE NÃO INFRAÇÃO À LEI DOS DIREITOS
DE PROPRIEDADE INTELECTUAL. ESTA GARANTIA LHE DÁ DIREITOS LEGAIS
ESPECÍFICOS. VOCÊ PODE TER OUTROS DIREITOS, QUE VARIAM DE ESTADO PARA
ESTADO E DE PAÍS PARA PAÍS.
Licença 159
4. Isenção de responsabilidade sobre danos:

ALGUNS ESTADOS E PAÍSES, INCLUSIVE PAÍSES MEMBROS DA COMUNIDADE
ECONÔMICA EUROPÉIA, NÃO PERMITEM AS LIMITAÇÕES OU A EXCLUSÃO DE
RESPONSABILIDADE POR DANOS INCIDENTAIS OU CONSEQÜENCIAIS. NESSE CASO,
AS LIMITAÇÕES OU EXCLUSÕES ABAIXO PODEM NÃO SE APLICAR A VOCÊ.
PELA EXTENSÃO MÁXIMA PERMITIDA PELA LEI APLICÁVEL E INDEPENDENTEMENTE

DE QUE QUALQUER GARANTIA AQUI ESTABELECIDA VENHA A FALHAR EM SEU
PROPÓSITO ESSENCIAL, EM NENHUM CASO A SYMANTEC OU SEUS LICENCIADORES
PODERÁ SER RESPONSABILIZADA POR QUAISQUER DANOS ESPECIAIS,
CONSEQÜENCIAIS, INDIRETOS OU SIMILARES, INCLUSIVE QUALQUER PERDA DE
LUCROS OU DE DADOS QUE RESULTEM DO USO CORRETO OU INCORRETO DO
SOFTWARE, MESMO QUE A SYMANTEC TENHA SIDO ADVERTIDA PREVIAMENTE
SOBRE A POSSIBILIDADE DE TAIS DANOS.
EM NENHUM CASO, A RESPONSABILIDADE DA SYMANTEC OU DE SEUS

LICENCIADORES EXCEDERÁ O PREÇO DE COMPRA DO EQUIPAMENTO. As isenções e
limitações definidas acima serão aplicáveis independentemente de você aceitar ou não o
Software ou o Equipamento.
5. Direitos restritos do governo dos Estados Unidos da América:

CITAÇÃO DE DIREITOS RESTRITOS. Todos os produtos e documentação da Symantec
são de natureza comercial. O software e a documentação do software são considerados
"Commercial Items", conforme definido em 48 C.F.R. seção 2.101, constituindo de
"Commercial Computer Software" e "Commercial Computer Software Documentation",
conforme definidos em 48 C.F.R. seção 252.227-7014(a)(5) e 48 C.F.R. seção 252.227-
7014(a)(1), e usados em 48 C.F.R. seção 12.212 e 48 C.F.R. seção 227.7202, se aplicável.
De acordo com 48 C.F.R. seção 12.212, 48 C.F.R. seção 252.227-7015, 48 C.F.R. seção
227.7202 até 227.7202-4, 48 C.F.R. seção 52.227-14, e outras seções relevantes do Code of
Federal Regulations, se aplicável, o software de computador e a documentação de software
da Symantec são licenciados para os usuários finais do governo dos Estados Unidos da
América com somente esses direitos concedidos para todos os outros usuários finais, de
acordo com os termos e condições contidos neste acordo de licença. O fabricante é a
Symantec Corporation, 20330 Stevens Creek Boulevard, Cupertino, CA 95014.
6. Regulamentos para exportação:

Determinados produtos da Symantec estão sujeitos a controles de exportação pelo
Departamento de Comércio dos Estados Unidos (DOC, Department of Commerce), sob os
Regulamentos de Administração de Exportação (EAR, Export Administration Regulations)
(consulte www.bxa.doc.gov). A violação da lei norte-americana é estritamente proibida. O
Licenciado concorda em cumprir os requisitos do EAR e todos os regulamentos, leis locais
e regionais, estaduais, nacionais e internacionais aplicáveis, inclusive quaisquer restrições
de uso e importação aplicáveis. Atualmente, é proibido exportar ou reexportar produtos da
Symantec para Cuba, Coréia do Norte, Irã, Iraque, Líbia, Síria e Sudão ou a qualquer país
sujeito a sanções comerciais aplicáveis. O Licenciado concorda em não exportar ou
reexportar, direta ou indiretamente, qualquer produto a qualquer país relacionado no
EAR, nem a qualquer indivíduo ou entidade nas listas DOC Denied Persons, Entities and
Unverified, Department of State's Debarred ou nas listas do Departamento de Tesouro dos
Estados Unidos de Specially Designated Nationals, Specially Designated Narcotics
Traffickers ou Specially Designated Terrorists. Além disso, o Licenciado concorda em não
exportar ou reexportar produtos da Symantec a qualquer entidade militar não aprovada
sob o EAR, ou a qualquer outra entidade para propósitos militares, nem em vender
qualquer produto da Symantec para uso em conexão a armas nucleares, biológicas ou
químicas ou mísseis capazes de carregar tais armas.
160 Licença
7. Informações gerais:
Se você estiver na América do Norte ou na América Latina, este Contrato será regido pelas
leis do Estado da Califórnia, Estados Unidos da América. Caso contrário, este Contrato será
regido pelas leis da Inglaterra. Este Contrato e o Módulo de licença relacionado é o
contrato na íntegra entre Você e a Symantec em relação ao Equipamento e: (i) substitui
todas representações, propostas e comunicações escritas ou orais, sejam elas anteriores ou
contemporâneas, levando em consideração o assunto em questão; e (ii) prevalece sobre
quaisquer conflitos ou termos adicionais de qualquer citação, ordem, confirmação ou
comunicações similares entre as partes. Este Contrato somente pode ser modificado por
um Módulo de licença ou por um documento por escrito assinado por Você e a Symantec.
Este Contrato deverá ser encerrado caso você quebre um termo aqui estabelecido, e você
deverá interromper o uso e destruir todas as cópias do Software e devolver o Equipamento
à Symantec. As isenções de garantias, danos e limitações de responsabilidade serão
conseqüentes ao término do contrato. Se você tiver alguma dúvida sobre este Contrato ou
se desejar entrar em contato com a Symantec por qualquer razão, escreva para: (i)
Symantec Customer Service, 555 International Way, Springfield, OU 97477, E.U.A, ou (ii)
Symantec Customer Service Center, PO BOX 5689, Dublin 15, Irlanda.
Apêndice D
Descrições de campos
■ Descrições dos campos de registro/monitoração
■ Descrições dos campos de Administração
■ Descrições dos campos de LAN
■ Descrições dos campos de WAN/ISP
■ Descrições dos campos de Firewall
■ Descrições dos campos de VPN
■ Descrições dos campos de IDS/IPS
■ Descrições dos campos da guia AVpe
■ Descrições dos campos de filtragem de conteúdo
Descrições dos campos de registro/monitoração

O Symantec Gateway Security 300 Series oferece guias e recursos configuráveis
de registro de sistema para a exibição de registros do sistema e monitoração do
status do sistema. Além disso, dispõe de ferramentas de teste internas para
solucionar problemas e verificar a conectividade.
Esta seção contém os tópicos a seguir:
■ Descrições dos campos da guia Status
■ Descrições dos campos da guia Exibir registro
■ Descrições dos campos da guia Configurações do registro
■ Descrições dos campos da guia Solução de problemas
162 Descrições de campos
Descrições dos campos da guia Status

A guia Status mostra as condições e configurações atuais do gateway de
segurança.
Tabela D-1 Descrições dos campos da guia Status
Seção Campo Descrição
Modelo 320: Status da conexão Indica se a porta WAN está conectada ou

WAN (porta desconectada da Internet ou de uma rede
interna.
externa)
Modelo 360/360R: Máscara de rede Obtida da configuração DHCP ou IP estático.
WAN 1 Endereço IP Exibe o endereço IP da porta WAN com base em

(porta externa) sua configuração local.
WAN 2
Endereço físico Endereço MAC do gateway de segurança.
(porta externa)
Gateway padrão Exibe um endereço IP com base em sua
configuração local. Utilizado pelo gateway
de segurança para rotear qualquer pacote
destinado a qualquer rede não reconhecida.
Em quase todas as configurações, trata-se do
endereço IP do roteador do ISP.
Cliente DHCP Pode estar ativado ou desativado. Se essa opção

estiver ativada, o gateway de segurança, quando
iniciado, utiliza o DHCP para solicitar um
endereço IP, um servidor DNS e informações
de roteamento do ISP ou da intranet.
Endereço(s) IP do Exibe um endereço IP fornecido pelo ISP.

DNS
Tempo de Se a opção Cliente DHCP estiver ativada, será

assinatura do exibido o tempo durante o qual o gateway de
DHCP segurança possuirá o endereço IP. Esse valor é
obtido quando você inicia o gateway de
segurança.
Descrições de campos 163
Tabela D-1 Descrições dos campos da guia Status (Continuação)
LAN (porta Endereço IP Exibe o endereço IP do gateway de segurança. O

externa) valor padrão é 192.168.0.1.
Endereço físico Exibe o endereço físico (MAC) da porta LAN do

gateway de segurança. O valor padrão é a
configuração de fábrica.
Máscara de rede Exibe o endereço da máscara de rede conforme

definido na guia LAN. O valor padrão é
255.255.255.0.
Servidor DHCP Pode estar ativado ou desativado, dependendo

de o gateway de segurança estar ou não atuando
como servidor DHCP para clientes conectados.
Unidade Versão do Exibe a versão de fábrica do firmware ou a

firmware versão de firmware do LiveUpdate mais recente
ou atualização manual.
Versão do idioma Exibe a versão de fábrica da atualização mais

recente.
Modelo Exibe o número do modelo do gateway de

segurança.
Host exposto Estará ativado caso você tenha ativado um

computador na rede como host exposto.
Aplicativos Pode estar ativado ou desativado. Se você tiver

especiais configurado aplicativos especiais, esse campo
estará ativado.
Modo NAT Pode estar ativado ou desativado.

Se você desativar o modo NAT, serão
desativadas as funções de segurança do firewall,
e o gateway de segurança terá o comportamento
de um roteador padrão. Somente utilize essa
configuração nas implantações de gateway de
segurança de intranet nas quais, por exemplo, o
gateway de segurança será usado como ponte
sem fio em uma rede protegida.
Quando o modo NAT está ativado, o gateway
de segurança tem o comportamento de um
dispositivo de ponte de rede 802.1D.
Descrições dos campos da guia Exibir registro

A guia Exibir registro mostra uma lista de eventos do sistema.
Tabela D-2 Descrições dos campos de Exibir registro
Exibir registro Hora (GMT) Horário médio de Greenwich (GMT, Greenwich

Mean time) em que a mensagem foi registrada.
Se o gateway de segurança não puder obter o
horário atual de um servidor NTP (Network
Time Protocol), ele exibirá o número de
segundos a partir do momento em que o
gateway de segurança foi reiniciado para
cada evento.
Mensagem Exibe o texto do evento registrado.
Origem Exibe a origem do pacote.
Destino Exibe o destino pretendido do pacote.
Nota: Exibe o nome ou número do protocolo, ou

informações adicionais sobre solução de
problemas.
Descrições dos campos da guia Configurações do registro

A guia Configurações do registro permite definir as configurações que
controlam a notificação de e-mail, os tipos de mensagens registradas e o
tempo de cada mensagem de registro.
Tabela D-3 Descrições dos campos de Configurações do registro
Encaminhamen Servidor SMTP Endereço IP ou nome de domínio

to de e-mail completamente qualificado do servidor SMTP a
ser usado para enviar o registro.
Para enviar registros por e-mail, este é um
campo necessário.
Enviar e-mail de Endereço de e-mail do remetente. O número

máximo de caracteres é 39.
campo necessário.
Enviar e-mail Endereço de e-mail do destinatário. O número

para máximo de caracteres é 39. Para incluir vários
destinatários, separe cada endereço com uma
vírgula.
campo necessário.
Enviar registro Após haver digitado o servidor SMTP e os

por e-mail agora endereços de e-mail do remetente e destinatário,
você poderá clicar em Enviar registro por e-mail
agora para enviar um e-mail do registro como
está agora.
Syslog Servidor syslog Endereço IP de um host executando um

utilitário de syslog padrão capaz de receber o
arquivo de registro.
Tabela D-3 Descrições dos campos de Configurações do registro (Continuação)
Tipo de registro Atividade do Registra toda a atividade do sistema e o status

sistema, status da da conexão. Esse tipo é selecionado por padrão.
conexão
Conexões Registra todas as conexões permitidas por

PERMITIDAS por políticas de regras de saída.
regras de saída
Conexões Registra todas as tentativas de conexões

NEGADAS por negadas por política de regra de saída, aplicação
regras de saída da política antivírus (AVpe) e filtragem de
conteúdo.
Conexões Registra todas as conexões permitidas por

PERMITIDAS por regras de entrada.
regras de entrada
Conexões Registra todas as tentativas de conexões

NEGADAS por negadas por regras de entrada.
regras de entrada
Ataque detectado Registra todos os ataques detectados, incluindo

verificação de portas, fragmentação e ataques
por Cavalo de Tróia. Esse tipo é selecionado por
padrão.
Informações de Exibe informações adicionais de depuração,

depuração úteis para a solução de problemas. Somente use
essa opção quando estiver solucionando um
problema; desative-a depois de ter resolvido o
problema.
Tempo Servidor NTP Endereço IP do servidor NTP não-público.

Descrições dos campos de Administração
Descrições dos campos da guia Solução de problemas

A guia Solução de problemas o ajuda a solucionar problemas do gateway de
segurança com opções de depuração e ferramentas de teste.
Tabela D-4 Descrições dos campos da guia Solução de problemas

Nível de Encaminhar Possibilita o encaminhamento de pacotes WAN
depuração de pacotes WAN para a LAN. Isso é útil para procurar solução de
difusão para a LAN problemas nos pacotes WAN sem precisar
configurar equipamento adicional.
Ferramentas de Host de destino Endereço IP ou nome de domínio totalmente

teste qualificado do host a ser testado com uma das
ferramentas.
O endereço não será validado, portanto, digite-o
com exatidão.
Ferramenta Ferramentas de solução de problemas. As

(Modelo 320) opções incluem:
■ PING
■ Pesquisa de DNS
Clique em Executar ferramenta.
Ferramenta Ferramentas de solução de problemas. As

(Modelo 360/ opções incluem:
360R) ■ PING
■ Pesquisa de DNS
Clique em Executar na WAN 1 ou Executar na
WAN 2, dependendo da porta WAN que você
deseja solucionar.
Resultado Resultado Exibe o resultado do teste de ferramenta.

O recurso Administração do gateway de segurança permite que você gerencie o
acesso do administrador à SGMI com uma senha e endereços IP permitidos. Você
também pode configurar o SNMP para monitorar o sistema e o LiveUpdate para
receber atualizações de firmware.
■ Descrições dos campos da guia Gerenciamento básico
■ Descrições dos campos da guia SNMP
■ Descrições dos campos da guia LiveUpdate
Descrições dos campos da guia Gerenciamento básico

A guia Gerenciamento Básico o ajuda a controlar o acesso à SGMI com a senha de
administração e endereços IP permitidos.
Tabela D-5 Descrições dos campos da guia Gerenciamento básico
Senha de Senha do Senha usada para acessar a SGMI.

administração administrador O nome do usuário é sempre admin. O login
diferencia maiúsculas de minúsculas.
Confirmar senha Redigite a senha do administrador.
Gerenciamento Endereço IP de início Primeiro endereço IP no intervalo de

remoto endereços que têm sua permissão para
acessar a SGMI.
Para excluir um endereço IP, digite 0 em
cada uma das caixas de texto.
Endereço IP de fim Último endereço IP no intervalo de

endereços que têm sua permissão para
acessar a SGMI.
Para excluir um endereço IP, digite 0 em
cada uma das caixas de texto.
Permitir upgrade de Permite um upgrade de firmware a partir

firmware remoto do intervalo de endereços IP.
Descrições dos campos da guia SNMP

A guia SNMP permite configurar o gateway de segurança para monitoração com
servidores SNMP.
Tabela D-6 Descrições dos campos da guia SNMP
Gerenciadores String da Pode ser que uma string da comunidade

SNMP somente comunidade seja exigida pelo servidor SNMP.
leitura (GETS e
TRAPS) Endereço IP 1, Endereço IP dos receptores TRAP SNMP.
Endereço IP 2, TRAPs são encaminhados para esses
Endereço IP 3 endereços.
Descrições dos campos da guia LiveUpdate

A guia LiveUpdate permite configurar sua conexão com um servidor do
LiveUpdate e agendar atualizações de firmware para seu gateway de segurança.
Tabela D-7 Descrições dos campos da guia LiveUpdate
Configurações Servidor do Endereço IP ou nome de domínio

gerais LiveUpdate completamente qualificado do servidor
do LiveUpdate do qual obter atualizações
de firmware. O endereço padrão é
http://liveupdate.symantec.com.
Atualizações Ativar Agendador Ativa o agendador do LiveUpdate. Permite

automáticas agendar horários para que o gateway de
segurança procure e aplique atualizações
de firmware automaticamente.
Freqüência Freqüência com que o gateway de

segurança procura atualizações. A hora de
início para a freqüência é baseada na
reinicialização mais recente do aplicativo.
As opções incluem:
■ Diariamente
■ Semanalmente
■ A cada duas semanas
■ Mensalmente
Hora preferida Horas e minutos em que o gateway de

(GMT) segurança procura atualizações
automaticamente. O formato é HH:MM,
onde HH indica a hora entre 0 e 24 e MM
indica os minutos entre 0 e 59. Por
exemplo, para procurar atualizações às
7:30 da noite, digite 19:30.
A configuração de GMT depende do acesso
a um servidor NTP. Use somente caracteres
numéricos e dois-pontos nessa caixa de
texto.
Descrições dos campos de LAN
Tabela D-7 Descrições dos campos da guia LiveUpdate (Continuação)
Configurações Servidor proxy Permite que o gateway de segurança entre

opcionais HTTP em contato com o servidor do LiveUpdate
por meio de um servidor proxy HTTP.
Endereço do Endereço IP do servidor proxy HTTP pelo

servidor proxy qual o servidor do LiveUpdate obtém as
atualizações de firmware.
Porta Número da porta associada ao servidor

proxy HTTP pelo qual o servidor do
LiveUpdate obtém a atualização de
firmware.
O valor máximo é 65535. A porta padrão é
80.
Nome do usuário Nome do usuário associado ao servidor

proxy HTTP pelo qual o LiveUpdate obtém
a atualização de firmware.
Senha Senha associada ao servidor HTTP.
Status Última atualização Data da atualização mais recente.
Versão da última Número de versão da atualização mais

atualização recente.

As configurações de LAN permitem configurar o gateway de segurança para
funcionar em uma rede interna nova ou existente. As configurações de LAN
incluem o endereço IP do gateway de segurança, indicam se ele atua como
servidor DHCP para os nós que protege e as configurações de porta LAN.
■ Descrições dos campos da guia IP & DHCP da LAN
■ Descrições dos campos da guia Atribuições de porta
Descrições dos campos da guia IP & DHCP da LAN

A guia IP & DHCP da LAN permite definir o endereço IP do gateway de segurança
e configurar o gateway de segurança para atuar como servidor DHCP.
Tabela D-8 Descrições dos campos da guia IP & DHCP da LAN
IP da LAN Endereço IP Endereço IP da interface interna do gateway de

segurança. O endereço IP atual é exibido nas caixas de
texto.
O valor padrão é 192.168.0.1. Não é possível definir o

endereço de ip do gateway de segurança em
192.168.01.
Máscara de rede Máscara de rede do gateway de segurança. A máscara

de rede atual é exibida nas caixas de texto. O valor
padrão é 255.255.255.0.
DHCP Servidor DHCP Faz com que o gateway de segurança atue como
servidor DHCP. Para usar outro servidor DHCP, ou se
os clientes utilizam endereços IP estáticos, clique em
Desativar.
Endereço IP do Primeiro endereço IP no intervalo de endereços IP que

início do o gateway de segurança deverá atribuir aos clientes.
intervalo
Por exemplo, para que o gateway de segurança
atribua endereços IP no intervalo de 172.16.0.2 a
172.16.0.75, digite 172.16.0.2 nas caixas de texto
Endereço IP do início do intervalo.
Endereço IP do Último endereço IP no intervalo de endereços IP que o

fim do intervalo gateway de segurança deverá atribuir aos clientes.
No exemplo anterior, digite 172.16.0.75 nas caixas de
texto Endereço IP do fim do intervalo.
Tabela D-8 Descrições dos campos da guia IP & DHCP da LAN (Continuação)
Tabela do Nome do host Nome do computador ao qual o gateway de segurança

DHCP atribuiu um endereço IP.
Endereço IP Endereço IP do intervalo indicado que o gateway de

segurança atribuiu ao computador.
Endereço físico Endereço físico (MAC) da placa de interface de rede

(NIC, network interface card) no computador ao qual
foi atribuído um endereço IP.
Status Status da assinatura do DHCP no endereço IP que foi

atribuído ao computador.
As opções são:
■ Alugado
■ Reservado
Descrições dos campos da guia Atribuições de porta

As atribuições de porta permitem especificar se a porta LAN encontra-se em
uma VLAN confiável ou não confiável. A VLAN confiável destina-se a conexões
com fio e a não confiável destina-se a conexões sem fio.
Tabela D-9 Descrições dos campos da guia Atribuições de porta
Portas LAN físicas Porta 1, Porta 2, Atribui portas na função de switch do gateway
Porta 3, Porta 4 de segurança como confiáveis ou não confiáveis.
(Modelo 320)
Essa opção ativa a segurança da VPN com base
Porta 1, Porta 2, em LAN com e sem fio, através dos recursos de
Porta 3, Porta 4, rede virtual baseada em portas da função de
Porta 5, Porta 6, switch no gateway de segurança, além de
Porta 7, oferecer suporte a túneis globais de LAN
Porta 8 diretamente para a interface sem fio.
(Modelo 360/ A extremidade do túnel estará no gateway
360R) principal para cada sub-rede da LAN.
■ Padrão
Use essa atribuição para todos os
dispositivos LAN com fio. Todo o tráfego
é implicitamente tratado como confiável,
tendo permissão para passar entre VLANs.
■ Ponto de acesso protegido do SGS
Permite que a segurança da VPN seja
aplicada no ponto de acesso ou nível de
switch em trânsito.
■ Aplicar túneis de VPN/Permitir passagem
de IPsec
Associação explícita não confiável. Requer
um túnel obrigatório entre o cliente VPN
sem fio e o gateway de segurança. O tráfego
de IPsec tem permissão para passar por um
switch subsidiário com pontos de
terminação de túnel localizados no
gateway de segurança primário e no
cliente.
Descrições dos campos de WAN/ISP

A funcionalidade WAN/ISP do Symantec Gateway Security 300 Series
proporciona conexões com o mundo exterior. Isso inclui a Internet, uma rede
corporativa ou qualquer outra rede externa pública ou privada. A funcionalidade
WAN/ISP também pode ser configurada de modo a fazer conexão com uma LAN
interna quando o gateway de segurança estiver protegendo uma sub-rede
interna.
■ Descrições dos campos da guia Configuração principal
■ Descrições dos campos da guia IP estático e DNS
■ Descrições dos campos da guia PPPoE
■ Descrições dos campos da guia Backup de dial-up e analógico/ISDN
■ Descrições dos campos da guia PPTP
■ Descrições dos campos da guia DNS dinâmico
■ Descrições dos campos da guia Roteamento
■ Descrições dos campos da guia Avançado
Descrições dos campos da guia Configuração principal

Na guia Configuração principal, você seleciona seu tipo de conexão e define as
configurações de identificação do gateway de segurança.
Tabela D-10 Descr ições dos campos da guia Configuração
principal
Seção Campos Descrição

Modelo 320: Tipo Tipo de conexão Os tipos de conexão a seguir são suportados:
de conexão ■ DHCP (IP automático)
Modelo 360/360R: O ISP lhe atribui um endereço IP
WAN 1 (externa) automaticamente toda vez que você se
ou WAN 2 conecta.
(externa) ■ PPPoE
Protocolo ponto-a-ponto na Ethernet
(PPPoE, Point-to-Point Protocol over
Ethernet) é uma especificação para
conectar usuários de uma LAN Ethernet à
Internet.
■ Analógica ou ISDN
Conta dial-up.
■ IP estático
O ISP atribui ou você adquiriu um endereço
IP permanente.
■ PPTP
O ISP utiliza o PPTP (Point-to-Point
Tunneling Protocol).
Modo HA (Modelo Os modos de alta disponibilidade (high
360/360R) availability) a seguir estão disponíveis para as
portas WAN:
■ Normal
As configurações de equilíbrio de carga
aplicam-se à porta quando ela está ativada
e em operação.
■ Desligado
A porta WAN está fora de uso.
■ Backup
A porta WAN só passa o tráfego se a outra
porta WAN não estiver funcionando.
URL do indicador URL de um site para o qual o gateway de
ativo (Modelo segurança envia solicitação de PING ou eco para
360/360R) testar a conectividade.
Se um URL não for especificado, o gateway de
segurança usará o endereço do gateway padrão.
Tabela D-10 Descr ições dos campos da guia Configuração

principal (Continuação)
Seção Campos Descrição
Configurações Nome do host Nome do gateway de segurança na rede. Uma
opcionais de rede valor padrão com base no número do modelo e
no endereço MAC é fornecido no Assistente de
Instalação.
Nome do domínio Nome do domínio pelo qual os usuários externos
acessam o gateway de segurança. Por exemplo,
meusite.com.
Endereço MAC Endereço físico (MAC) do gateway de segurança.
O valor padrão é definido na fábrica.
É possível alterar esse valor caso haja
expectativa de um determinado endereço MAC
por parte do ISP (falsificação ou duplicação de
MAC).
Descrições dos campos da guia IP estático e DNS

Use a guia IP estático e DNS a fim de configurar o gateway de segurança para
conectar-se à Internet com um endereço IP estático e servidores DNS, ou para
conectar-se à sua intranet.
Tabela D-11 Descrições dos campos da guia IP estático e DNS

Modelo 320: Endereço IP Endereço IP estático da sua conta.
IP da WAN Se você digitar um endereço IP, também deverá
digitar uma máscara de rede e um gateway
Modelo 360/360R:
padrão.
IP da WAN 1, IP
Máscara de rede Máscara de rede da sua conta. A máscara de rede
da WAN 2
determina se são enviados pacotes ao gateway
padrão.
Se você digitar uma máscara de rede, também
deverá digitar um endereço IP e um gateway
padrão.
Gateway padrão Endereço IP do gateway padrão.
O gateway de segurança envia qualquer pacote
que não souber como rotear para o gateway
padrão.
Se você digitar um gateway padrão, também
deverá digitar um endereço IP e uma máscara
de rede.
Servidores de DNS 1, DNS 2, É preciso especificar no mínimo um e no
nome de domínio DNS 3 máximo três servidores DNS para usar na
resolução de endereços IP e de host.
Descrições dos campos da guia PPPoE

Use a guia PPPoE a fim de configurar o gateway de segurança para conectar-se à
Internet usando uma conta que utiliza PPPoE para autenticação.
Tabela D-12 Descrições dos campos da guia PPPoE
Modelo 320: Porta WAN Selecione a porta WAN para a qual configurar
Modelo 360: Porta (Modelo 360/ PPPoE.
WAN e sessões 360R)
Sessão Permite configurar como a porta WAN utiliza

PPPoE.
Para configurar uma conta PPPoE de sessão
única, clique em Sessão 1 e em Selecionar. Para
configurar uma conta PPPoE de várias sessões,
selecione a sessão a configurar e clique em
Selecionar.
Conexão Conectar sob Permite que o gateway de segurança crie uma

demanda conexão com a conta PPPoE somente quando um
usuário interno faz uma solicitação, como ao
navegar em uma página da Web.
Esse campo, combinado ao Tempo limite ocioso,
é útil quando a cobrança do ISP se baseia no
tempo de uso.
Tempo limite Número de minutos em que a conexão pode

ocioso permanecer ociosa (sem uso) antes de
desconectar.
Digite 0 para manter a conexão sempre ativa e
impedir a desconexão do gateway de segurança.
Se o valor for maior que 0, marque a caixa
Conectar sob demanda para reconectar-se
automaticamente quando necessário.
Quando combinada a Conectar sob demanda, a
conexão com o ISP só é feita quando um cliente a
estiver usando.
Endereço IP Se você recebeu do ISP um endereço IP estático

estático para a conta PPPoE, digite-o aqui.
Tabela D-12 Descrições dos campos da guia PPPoE (Continuação)
Escolher serviço Pesquisar Quando você clica em Pesquisar serviços, o

serviços gateway de segurança conecta-se ao ISP e
determina quais serviços estão disponíveis.
É preciso desconectar-se da conta PPPoE antes
de usar esse recurso.
Serviço Selecione um serviço para a conta PPPoE. Para

determinar quais serviços estão disponíveis,
clique em Pesquisar serviços.
Informações Nome do usuário Nome do usuário da conta PPPoE. Poderá ser

sobre o usuário diferente do nome da conta.
Alguns ISPs esperam o formato de endereço
de e-mail como nome de usuário, por exemplo,
johndoe@meuisp.net.
Senha Senha da conta PPPoE.
Confirmar senha Redigite a senha da conta PPPoE.
Controle manual Conectar Cria uma conexão com a conta PPPoE.
Desconectar Fecha uma conexão aberta com a conta PPPoE.
Descrições dos campos da guia Backup de dial-up e analógico/ISDN

O Backup de dial-up e analógico/ISDN permite configurar o gateway de
segurança para conectar-se à Internet com uma conta dial-up primária, uma
conta dial-up ISDN primária ou uma conta dial-up de backup.
Tabela D-13 Descrições dos campos da guia Dialup ou ISDN

Modo de backup Ativar modo de Caso você use uma conta dedicada como
backup conexão primária, poderá especificar uma conta
dial-up como backup, para quando a conexão
com a conta falhar.
Tabela D-13 Descrições dos campos da guia Dialup ou ISDN (Continuação)

Informações da Nome do usuário Nome do usuário da conta dial-up.
conta ISP
Senha Senha da conta dial-up.
Confirmar senha Redigite a senha da conta dial-up.
Endereço IP Se você tem endereço IP estático no ISP, digite-o

aqui. Caso contrário, o ISP lhe atribui um
endereço IP de forma dinâmica.
Linha dial-up 1, Número de telefone para o gateway de
Linha dial-up 2, segurança conectar-se com a conta dial-up.
Linha dial-up 3 É preciso especificar no mínimo um e no
máximo três números dial-up. Se a Linha dial-up
1 não conseguir conexão, o gateway de
segurança discará a Linha dial-up 2 e assim por
diante.
Se o gateway de segurança precisar discar 9 para
obter linha externa, digite 9 e uma vírgula antes
do número de telefone. Por exemplo:
9,18005551212.
Essa caixa de texto permite números, vírgulas e
espaços.

Configurações do Modelo Tipo do modelo do seu modem. Se o seu tipo
modem de modelo específico não estiver relacionado,
clique em Outro.
String de Comando do modem que o gateway de

inicialização segurança envia ao modem para começar a
discar para o ISP. Somente especifique esse
valor ao selecionar Outro como modelo do
modem.
Velocidade da Velocidade desejada para o modem conectar-se

linha à conta dial-up.
Se o gateway de segurança tiver problema para
se conectar, reduza a velocidade da linha.
Tipo da linha Tipo de linha da sua conta.

■ Linha dial-up
Esse tipo de linha é geralmente usado se
uma conexão à Internet não estiver ativa
todo o tempo.
■ Linha alugada
Esse tipo de linha fornece uma conexão
permanente à Internet.
Tipo de discagem Digite o sinal que o seu modem usa para discar o
número de telefone dial-up.
■ pulso
■ tom
■ outro
String de Comando do modem para iniciar a discagem do
discagem número de telefone dial-up.
desconectar.
String de Comando do modem que instrui a rediscagem do

rediscagem número de telefone dial-up se a conexão inicial
falhar.
String de Comando do modem para iniciar a discagem do

discagem número de telefone dial-up.

Controle manual Discar Abre uma conexão com a conta dial-up.
Desligar Fecha uma conexão aberta com a conta dial-up.
Status analógico Status da porta Descreve o status da porta serial do gateway de

segurança na qual o modem está conectado.
Status de porta possíveis:

■ Ocioso
■ Discando
■ Acesso à Internet
■ Desligando
Conexão física Indica se o modem está conectado ao número de
telefone.
Status possíveis de conexão física:
■ Desligado
■ Ligado
Conexão PPP Status possíveis de conexão PPP:
■ Autenticado pelo usuário por PPP (Nome de
usuário/senha corretos)
■ Desligado
■ Ligado
Endereço IP do Endereço IP atribuído à sua conta quando você

PPP se conecta. Se você tem um endereço IP estático,
ele será o mesmo todas as vezes. Se o ISP atribui
endereços IP de forma dinâmica, o endereço IP
poderá ser diferente cada vez que uma conexão
for estabelecida.
Valores possíveis de endereço IP do PPP:

■ 0.0.0.0
■ IP do ISP
onde IP do ISP é o endereço IP alocado de
forma dinâmica quando você se conecta.
Velocidade da Velocidade em que o modem se conecta ao ISP.

linha telefônica
Velocidades possíveis de linha telefônica:
■ Desconhecido
■ #####
onde ##### é um número que representa a
velocidade do telefone. Por exemplo,
48800.
Descrições dos campos da guia PPTP

Configure o gateway de segurança para conectar-se à Internet usando uma conta
que utiliza PPTP para autenticação.
Tabela D-14 Descrições dos campos da guia PPTP
Porta WAN: Porta WAN Porta WAN para a qual configurar PPTP.
Modelo 360/360R (Modelo 360/
360R)
Conexão Conectar sob Quando essa opção está ativada, uma conexão é
demanda estabelecida somente quando há solicitação,
como no caso de um usuário que navega em uma
página da Web.

desconectar.
Digite 0 para manter a conexão sempre ativa e
impedir a desconexão do gateway de segurança.
Para valores acima de 0, marque Conectar sob
demanda a fim de reconectar-se
automaticamente quando necessário.
Endereço IP do Endereço IP do servidor PPTP.

servidor
O valor padrão do primeiro octeto é 10. O valor
padrão do último octeto é 138.
Endereço IP Somente para contas PPTP estáticas. Endereço

estático IP estático da sua conta, caso você a tenha
adquirido no ISP ou ele lhe tenha atribuído uma.
Informações Nome do usuário Nome do usuário da conta PPTP.

sobre o usuário
Senha Senha da sua conta PPTP.
Confirmar senha Redigite a senha da conta PPTP.
Controle manual Conectar Abre uma conexão com a conta PPTP.
Desconectar Fecha uma conexão aberta com a conta PPTP.

Descrições dos campos da guia DNS dinâmico

Os serviços DNS dinâmico permitem que você use seu próprio nome de domínio
(meusite.com, por exemplo) ou os nomes de domínio deles e seu subdomínio para
conectar-se a seus serviços, como gateway VPN, website ou FTP. Por exemplo, se
você configurar um servidor Web virtual e o seu ISP atribuir-lhe um endereço IP
diferente toda vez que você se conectar, seus usuários poderão sempre acessar
www.meusite.com.
Tabela D-15 Descrições dos campos da guia DNS dinâmico
Tipo de serviço Serviço DNS Serviços a partir de onde se obtem os serviços

dinâmico DNS dinâmicos.
■ TZO
Um serviço DNS dinâmico.
■ Padrão
Existem muitos serviços DNS dinâmico
padrão. Consulte as notas da versão do
Symantec Gateway Security 300 Series para
obter a lista de serviços com suporte.
■ Desativar
O gateway de segurança não usa DNS
dinâmico.
Porta WAN Porta WAN para configurar DNS dinâmico.

(Modelo 360/
360R)
Forçar Envia informações atualizadas de IP para o

atualização do serviço DNS dinâmico.
DNS
Somente faça isso quando solicitado pelo
Suporte técnico da Symantec.
Tabela D-15 Descrições dos campos da guia DNS dinâmico (Continuação)
Serviço DNS Chave String de caracteres alfanuméricos que atua

dinâmico TZO como senha da conta TZO. O TZO envia a chave
quando a conta é criada.
O tamanho máximo da chave de TZO é 16
caracteres.
E-mail Endereço de e-mail que atua como nome de

usuário no serviço TZO.
Domínio Nome de domínio que você deseja gerenciar com

o serviço TZO. Por exemplo,
marketing.meusite.com.
Serviço padrão Nome do usuário Nome de usuário da conta criada com um

serviço DNS dinâmico.
Senha Senha da conta criada com um serviço DNS

dinâmico.
Confirmar senha Redigite a senha da conta DNS dinâmico.
Servidor Endereço IP ou nome DNS passível de resolução

do servidor que oferece o serviço DNS dinâmico.
Por exemplo, members.dyndns.org.
Nome do host Nome a ser atribuído ao gateway de segurança.

Por exemplo, se você deseja que o nome do host
seja marketing, sendo que o nome do domínio é
meusite.com, o acesso ao gateway de segurança
é feito por marketing.meusite.com.
Tabela D-15 Descrições dos campos da guia DNS dinâmico (Continuação)
Configurações Curingas Ativa o acesso externo a

opcionais padrão *.seusite.seudomínio.com, onde:
■ * é um CNAME como www, mail, irc ou ftp.
■ seusite é o nome do host.
■ seudomínio.com é o nome do seu domínio.
MX de backup Ativa um mail exchanger de backup. Se você

marcar essa caixa de seleção, o mail exchanger
especificado na caixa de texto Mail Exchanger
será usado primeiro; se houver falha, será usado
o mail exchanger de backup (fornecido pelo
serviço DNS dinâmico).
Mail Exchanger Os mail exchangers especificam o servidor do

qual você deseja tratar e-mail enviado a um
nome de domínio.
Por exemplo, você tem www.meusite.com e
mail.meusite.com. Seu servidor Web está
configurado para permitir a navegação em
www.meusite.com e meusite.com. Você quer que
o e-mail proveniente de @meusite.com seja
tratado pelo servidor de correio e não pelo
servidor Web. Configure um mail exchanger
para redirecionar o e-mail de @meusite.com
para mail.meusite.com.
Os nomes de host nos mail exchangers não
podem ser CNAMEs. Não é possível especificar
seu mail exchanger usando um endereço IP.
Consulte a documentação do serviço DNS para
obter mais informações.
Descrições dos campos da guia Roteamento

Use a tabela de roteamento para configurar o roteamento estático ou dinâmico
para seu gateway de segurança.
Tabela D-16 Descrições dos campos da guia Roteamento
Roteamento Ativar RIP v2 Ativa o roteamento dinâmico. Somente use essa

dinâmico opção para intranet ou gateways de
departamento.
Rotas estáticas Entrada da rota Selecione uma entrada da lista para editar ou
excluir.
IP de destino Endereço IP/sub-rede para tráfego que requer

roteamento.
Máscara de rede Máscara (usada com o endereço IP de destino)

para definir o intervalo de endereços IP para
tráfego que requer roteamento.
Gateway Endereço IP do roteador ao qual enviar tráfego,

que corresponde à combinação de endereço IP e
máscara de endereço IP de destino e máscara de
rede.
Interface Interface do aplicativo para o qual o tráfego

definido é roteado.
■ LAN interna
■ WAN externa 1
■ WAN externa 2
Medida Número inteiro que representa a ordem

desejada para a execução da instrução de
roteamento. Por exemplo, 1 é executado
primeiro.
Descrições dos campos da guia Avançado

Use a guia Avançado para definir configurações opcionais de conexão e o
gateway DNS.
Tabela D-17 Descrições dos campos da guia Avançado
Equilíbrio de Carga WAN 1 Porcentagem de tráfego que passará por WAN 1.

carga (Modelo 360/ O resto do tráfego passará por WAN 2. Por
360R) exemplo, se você digitar 80%, WAN 1 passará
80% do tráfego e WAN 2 passará 20%.
A porcentagem padrão é 50%.
Conecta o SMTP à Determina a porta WAN (e subseqüentemente,

porta WAN que ISP) pela qual o e-mail é enviado. Isso será
(Modelo 360/ útil se você tiver dois ISPs diferentes
360R) configurados, um para cada porta WAN. Nesse
caso, o e-mail de saída é enviado pela porta WAN
à qual se conecta o SMTP.
O e-mail de saída enviado por um cliente é
enviado pela porta WAN que ele está usando e,
portanto, passa pelo ISP (tipo de conexão)
configurado para essa porta.
■ Nenhuma (qualquer uma)
Envia o e-mail por qualquer porta WAN.
■ WAN1
Conecta o SMTP à WAN1.
■ WAN2
Conecta o SMTP à WAN2.
Tabela D-17 Descrições dos campos da guia Avançado (Continuação)
Configurações Renovação de Número de minutos após os quais o gateway de

opcionais de tempo ocioso de segurança envia uma solicitação para renovar a
conexão DHCP assinatura do DHCP, caso não haja tráfego de
LAN para WAN ou vice-versa.
Para desativar esse recurso, digite 0.
Forçar renovação Envia uma solicitação ao ISP para renovar a

(Modelo 320) assinatura do DHCP.
Renovar WAN1, Envia uma solicitação ao ISP para renovar a

Renovar WAN2 assinatura do DHCP para WAN1 ou WAN2.
(Modelo 360/
360R)
Porta WAN 1 Tamanho máximo (em bytes) dos pacotes que

Porta WAN 2 saem pela porta WAN que você está
configurando.
(Modelo 360/
360R) O valor padrão é 1500 bytes. Para o PPPoE, o
valor padrão em bytes é 1472.
Configurações Tempo limite Número de segundos entre as solicitações de

PPP eco.
Tentativas Número de vezes que o gateway de segurança

envia solicitações de eco.
Gateway DNS Gateway DNS Endereço IP de um gateway DNS não-ISP

(privado ou interno) para usar como resolução
de nome.
Ativar backup do Se você especificar um gateway DNS e ele ficar

gateway DNS indisponível, isso permitirá que o aplicativo use
os servidores DNS do seu ISP como backup.
Descrições dos campos de Firewall

O gateway de segurança Symantec Gateway Security 300 Series inclui a
tecnologia de firewall, que permite definir as regras de entrada e saída para
administrar o tráfego que passa pelo gateway de segurança. Ao configurar o
firewall, você precisa identificar todos os nós (computadores) protegidos na
sua rede.
■ Descrições dos campos da guia Computadores
■ Descrições dos campos da guia Grupos de computadores
■ Descrições dos campos de Regras de entrada
■ Descrições dos campos da guia Regras de saída
■ Descrições dos campos da guia Serviços
■ Descrições dos campos da guia Aplicativos especiais
Descrições dos campos da guia Computadores

Antes de configurar as regras de entrada ou saída, é necessário identificar os nós
na guia Computadores.
Tabela D-18 Descrições dos campos da guia Computadores

Identidade do Host Selecione um nome de host (nome de rede) na
host lista para editar ou excluir.
Nome do host Define o nome do host (um computador na rede
interna). Use um nome descritivo curto. Você
deverá usar o nome do host ou nome DNS nas
propriedades de rede do computador.
Endereço do Endereço físico da placa de interface de rede
adaptador (MAC) (NIC, network interface card) do host,
geralmente uma placa Ethernet ou sem fio.
Grupo de Exibe todos os grupos de computadores aos
computadores quais é possível conectar hosts. Os grupos de
computadores reúnem os computadores aos
quais serão aplicadas as mesmas regras.
■ Todos
■ Grupo 1
■ Grupo 2
■ Grupo 3
■ Grupo 4
Tabela D-18 Descrições dos campos da guia Computadores (Continuação)

Servidor de Host de reserva Adiciona o endereço MAC (especificado na caixa
aplicativos de texto Endereço do adaptador (MAC)) ao
servidor DHCP do aplicativo para que ele seja
sempre atribuído ao endereço IP que você
especificou na caixa de texto Endereço IP. Isso é
necessário para servidores de aplicativos.
Marcar esta caixa de seleção garante que o
servidor DHCP sempre oferecerá o endereço
IP definido ao computador que está sendo
configurado. Você também pode definir esse
endereço IP como um endereço estático no
computador.
Endereço IP Define o endereço IP do servidor de aplicativos.
Associações de Conectar à porta Conecta o computador a uma porta WAN
sessão - opcional WAN (Modelo específica de modo que seu tráfego saia somente
360/360R) por essa porta WAN. Isso é útil quando você tem
duas contas de banda larga configuradas, uma
para cada porta WAN, e deseja que o tráfego do
computador passe por apenas um dos ISPs.
Conectar à sessão Exibe todas as sessões PPPoE que podem ser
PPPoE conectadas a grupos e regras de acesso:
■ Sessão 1
■ Sessão 2
■ Sessão 3
■ Sessão 4
■ Sessão 5
Somente selecione uma sessão se o serviço do
ISP incluir várias sessões PPPoE.
Lista de hosts Nome do host Nome do host (um computador na rede interna).
Endereço do Endereço físico da placa NIC do host, geralmente
adaptador (MAC) uma placa Ethernet ou sem fio.
Servidor de Endereço IP do servidor de aplicativos.
aplicativos
Grupo de Grupo de computadores ao qual o host é
computadores atribuído.
Sessão PPPoE Sessão PPPoE à qual o host está conectado.
Descrições dos campos da guia Grupos de computadores

Os grupos de computadores o ajudam a agrupar os computadores (definidos na
guia Computadores) para aplicar regras de entrada e saída.
Tabela D-19 Descrições dos campos da guia Grupos de computadores
Política de Grupo de Selecione um grupo de computadores para

segurança computadores editar ou excluir.
Aplicação da Ativar aplicação Se você ativar a aplicação da política antivírus

política antivírus da política para o grupo de computadores selecionado, o
antivírus gateway de segurança irá monitorar as estações
de trabalho clientes para determinar sua
compatibilidade com o software antivírus e as
políticas de segurança atuais.
Para cada grupo, as opções incluem:
■ Avisar somente (padrão)
Um cliente com software antivírus ou
definições de vírus não compatíveis
continua tendo permissão de acesso.
Uma mensagem de registro avisa o
administrador de que o cliente não
é compatível.
■ Bloquear conexões
Um cliente com software antivírus ou
definições de vírus não compatíveis não
tem permissão de acesso à rede externa.
O cliente pode acessar o servidor do
Symantec AntiVirus CE ou o servidor do
LiveUpdate para tornar compatíveis suas
definições de vírus.
Filtragem de Ativar filtragem Se você ativar a filtragem de conteúdo para o

conteúdo de conteúdo grupo de computadores selecionado, o gateway
de segurança permitirá ou bloqueará o acesso
aos URLs contidos nas listas de permissões e
negações da Filtragem de conteúdo.
Para cada grupo, as opções incluem:
■ Usar lista de negações
Lista de URLs bloqueados; todos os outros
têm permissão.
■ Usar lista de permissões
Lista de URLs com permissão de acesso aos
sites; todos os outros sites são bloqueados.
Tabela D-19 Descrições dos campos da guia Grupos de computadores
Controle de Sem restrições Um host atribuído a esse grupo pode passar

acesso (regras de qualquer tráfego para a rede externa. Não é
saída) preciso definir regras para grupos de acesso
nesta categoria. A configuração Sem restrições
substitui todas as regras de saída. Essa é a
configuração padrão.
Bloquear TODOS Quando um grupo de acesso está configurado

os acessos de para bloquear todo o comportamento de acesso
saída à Internet, todo o tráfego de saída é bloqueado.
Um host atribuído a esse grupo não pode passar
nenhum tráfego pelo gateway de segurança. Não
é preciso definir regras para grupos de acesso
nesta categoria. Isso é útil para nós que apenas
exigem acesso à LAN e não à rede externa, por
exemplo, impressoras de rede.
Usar regras Quando um grupo de acesso está configurado

definidas na tela para usar as regras definidas na guia Regras de
Regras de saída saída, é preciso especificar o tipo de tráfego que
o host poderá passar como membro do grupo
lógico. Para fazer isso, crie uma regra de saída.
Quando essa opção é usada, os hosts somente
têm permissão para passar tráfego que
corresponda à lista de regras de saída desse
grupo de acesso.
O estado de saída padrão do gateway de
segurança é o bloqueio de todo o tráfego de saída
até que as regras de saída sejam configuradas
para permitir determinados tipos de tráfego
de saída.
Descrições dos campos de Regras de entrada

A guia Regras de entrada permite definir o tráfego que pode acessar sua rede
interna.
Tabela D-20 Descrições dos campos de Regras de entrada
Regras de entrada Regra Selecione uma regra de entrada para editar ou

excluir.
Definição da regra Nome Digite um novo nome ao adicionar uma regra.
Ativar regra Selecione para ativar a regra de entrada.
Servidor de Mostra os servidores de aplicativos

aplicativos configurados que estão disponíveis para regras
de entrada. Esses servidores de aplicativos são
configurados na guia Computadores.
Serviço Tipo de tráfego aplicado à regra. Inclui a lista de

serviços predefinidos e quaisquer serviços
personalizados que você tenha criado.
Lista de regras de Permitida? Indica se a regra de entrada está ativada para

entrada uso.
Nome Nome da regra de entrada.
Destino Endereço IP do destino do tráfego.
Serviço Serviço administrado por essa regra de entrada,

como HTTP ou FTP.
Descrições dos campos da guia Regras de saída

A guia Regras de saída define o tráfego que pode sair da sua rede para acessar
outras redes ou a Internet.
Tabela D-21 Descrições dos campos da guia Regras de saída
Grupos de Grupo de Selecione um grupo para editar ou adicionar

computadores computadores regras para o grupo.
Regras de saída Regra Selecione uma regra de saída para atualizar ou

excluir.
Nome da regra Nome da regra de saída.
Ativar regra Selecione para ativar a regra de saída.
Serviço Serviço administrado pela regra de saída.
Lista de regras de Permitida? Pode ser S ou N. Indica se a regra de saída está

saída ativada para uso.
Nome Nome da regra de saída.
Serviço Serviço administrado pela regra de saída.

Descrições dos campos da guia Serviços

Define, na guia Serviços, os serviços a serem usados nas regras de entrada e
saída de firewall.
Tabela D-22 Descrições dos campos da guia Serviços
Serviços Aplicativo Selecione um aplicativo disponível para serviços

a serem editados ou excluídos.
Configurações do Nome Nome do serviço que você está criando.

aplicativo
Protocolo Selecione o protocolo associado ao serviço.
■ TCP
■ UDP
Escutar porta(s) Define o intervalo de portas que ficarão à escuta

de pacotes.
■ Início
Digite a primeira porta do intervalo de
portas de escuta.
■ Fim
Digite a última porta do intervalo de portas
de escuta.
A quantidade de portas do intervalo deve
coincidir com Redirecionar para porta(s). Por
exemplo, se você definir o intervalo de escuta
como 20 a 27, Redirecionar para porta(s)
também deve ser 7 portas.
Redirecionar para Define o intervalo de portas para as quais serão

porta(s) redirecionados os pacotes.
■ Início
Digite a primeira porta do intervalo de
portas de redirecionamento.
■ Fim
Digite a última porta do intervalo de portas
de redirecionamento.
A quantidade de portas do intervalo deve
coincidir com Escutar porta(s). Por exemplo,
se você definir o intervalo de redirecionamento
como 20 a 27, Escutar porta(s) também deve ser
7 portas.
Tabela D-22 Descrições dos campos da guia Serviços (Continuação)
Lista de serviços Nome Nome do serviço.
Protocolo Protocolo associado ao serviço.
Escutar porta Primeira porta no intervalo de escuta.

de início
Escutar porta Última porta no intervalo de escuta.

de fim
Redirecionar para Primeira porta no intervalo de

porta de início redirecionamento.
Redirecionar para Última porta no intervalo de redirecionamento.

porta de fim
Descrições dos campos da guia Aplicativos especiais

Certos aplicativos com comunicação bidirecional (jogos, vídeo ou
teleconferência) exigem portas dinâmicas no gateway de segurança.
Use a guia Aplicativos especiais para definir esses aplicativos.
Tabela D-23 Descrições dos campos da guia Aplicativos especiais
Aplicativos Aplicativo Selecione um aplicativo especial para atualizar

especiais ou excluir.
Tabela D-23 Descrições dos campos da guia Aplicativos especiais (Continuação)
Configurações Nome Nome do aplicativo especial.

do aplicativo
Ativar Ativa o aplicativo especial para todos os grupos
especial
de computadores.
Protocolo de saída Protocolo dos pacotes de saída.
■ TCP
■ UDP
Porta(s) de saída Intervalo de portas em que os pacotes são

enviados.
■ Início
Primeira porta do intervalo de portas de
saída.
■ Fim
Última porta do intervalo de portas de
saída.
Protocolo de Protocolo dos pacotes de entrada.

entrada
■ TCP
■ UDP
Porta(s) de Intervalo de portas em que os pacotes são

entrada recebidos.
■ Início
Primeira porta do intervalo de portas de
entrada.
■ Fim
Última porta do intervalo de portas de
entrada.
Tabela D-23 Descrições dos campos da guia Aplicativos especiais (Continuação)
Lista de Nome Nome do aplicativo especial.

aplicativos
especiais
Ativado Indica se o aplicativo especial está ativado para

todos os grupos de computadores.
Protocolo de saída Protocolo dos pacotes de saída.
Porta de início de Primeira porta do intervalo de portas de saída.

saída
Porta de fim de Última porta do intervalo de portas de saída.

saída
Protocolo de Protocolo dos pacotes de entrada.

entrada
Porta de início de Primeira porta do intervalo de portas de

entrada entrada.
Porta de fim de Última porta do intervalo de portas de entrada.

entrada

As configurações avançadas de firewall, como passagem de IPsec, são definidas
na guia Avançado.
Configurações Ativar porta A desativação da porta IDENT faz com que a

opcionais de IDENT porta 113 fique fechada, não dissimulada (não
segurança aberta). Só é preciso ativar essa configuração se
houver problemas ao acessar um servidor.
A porta IDENT normalmente contém
informações sobre nome do host ou nome da
empresa. Por padrão, o gateway de segurança
define todas as portas com o modo furtivo.
Assim, um computador fica invisível fora da
rede. Alguns servidores (de e-mail ou MIRC,
por exemplo) exibem a porta IDENT do sistema
acessando-a.
Desativar modo A desativação do modo NAT desativa as funções

NAT de segurança do firewall. Somente utilize essa
configuração nas implantações de gateway de
segurança de intranet nas quais, por exemplo,
o gateway de segurança é usado como ponte em
uma rede protegida.
Quando o gateway de segurança está
configurado com o modo NAT, ele comporta-se
como um dispositivo de ponte 802.1D.
Bloquear Bloqueia solicitações de ICMP, como PING e

solicitações traceroute, às portas WAN.
de ICMP
Configurações de Tipo de IPsec Esses valores são usados nas VPNs de IPsec ESP
passagem do de alguns fornecedores para seus clientes de
IPSec software, visando a compatibilidade da
passagem de IPsec. Essas configurações não se
aplicam ao gateway da VPN no gateway de
segurança.
Mantenha a configuração em 2 SPI, exceto se
instruído pelo Suporte técnico da Symantec a
alterá-la.
A configuração Nenhum permite o uso de
clientes da VPN no modo de host exposto, caso
haja problemas de conexão partindo de trás do
gateway de segurança.
■ 1 SPI
ADI (Assured Digital)
■ 2 SPI
Normal (Cisco Client, Symantec Client
VPN, Nortel Extranet, Checkpoint
SecureRemote)
■ 2 SPI-C
(Cisco VPN Concentrator 30x0 series -
antigo Altiga)
■ Outros
Redcreek Ravlin Client
■ Nenhuma
Use somente para clientes de depuração.
Host exposto Ativar host Selecione para ativar um host exposto.

exposto
Ative esse recurso somente quando necessário.
Isso permite que um computador na LAN tenha
comunicação bidirecional irrestrita com
servidores ou usuários da Internet. Esse recurso
é útil para host de jogos ou servidores ou
aplicativos especiais.
Endereço IP da Endereço IP do host exposto.

LAN
Se um host for definido como exposto, todo o
tráfego não permitido especificamente por
uma regra de entrada será redirecionado
automaticamente para o host exposto.
Descrições dos campos de VPN

As redes privadas virtuais (VPNs, Virtual Private Networks) permitem que
você estenda com segurança os limites da rede interna para usar canais de
comunicação inseguros (como a Internet) a fim de transportar dados
confidenciais. As VPNs são usadas para permitir o acesso de um único usuário
ou uma rede remota aos recursos protegidos de outra rede.
Os gateways de segurança Symantec Gateway Security 300 Series suportam
dois tipos de túneis da VPN: gateway para gateway e cliente para gateway.
■ Descrições dos campos da guia Túneis dinâmicos
■ Descrições dos campos da guia Túneis estáticos
■ Descrições dos campos da guia Túneis de cliente
■ Descrições dos campos da guia Usuários de cliente
■ Descrições dos campos da guia Políticas de VPN
■ Descrições dos campos da guia Status
Descrições dos campos da guia Túneis dinâmicos

Esta tabela descreve os campos da guia Túneis dinâmicos, usados para
configurar túneis dinâmicos gateway para gateway da VPN.
Tabela D-25 Descrições dos campos de Túneis dinâmicos
Associação de Túnel da VPN Selecione um túnel para atualizar ou excluir.

segurança IPSec
Nome Nome do túnel.
O nome do túnel pode ter até 25 caracteres
alfanuméricos, hifens e sublinhados. Esse nome
é usado apenas para referência na SGMI.
Pode-se criar até 50 túneis.
Ativar túnel da Permite que os usuários da VPN utilizem o túnel

VPN a ser definido.
Para desativar o túnel temporariamente, cancele
a seleção dessa caixa e clique em Atualizar. Para
desativar o túnel permanentemente, clique em
Excluir.
Tipo fase 1 Modo de negociação da fase 1.
■ Modo principal
Negocia com um endereço IP de origem.
■ Modo agressivo
Negocia com um identificador, como um
nome. O software cliente da VPN
normalmente negocia no modo agressivo.
O valor padrão é Modo principal.
Política de VPN Política que determina as configurações de

autenticação, criptografia e tempo limite.
A lista contém as políticas predefinidas da
Symantec e as políticas criadas na guia Política
de VPN.
Tabela D-25 Descrições dos campos de Túneis dinâmicos (Continuação)
Gateway de Sessão PPPoE A sessão PPPoE padrão é Sessão 1.

segurança local
O recurso exige uma conta ISP PPPoE. Se você
tiver uma conta PPPoE de sessão única, deixe a
sessão PPPoE como Sessão 1.
Extremidade local Porta do gateway de segurança na qual você

(Modelo 360/ deseja que o túnel termine.
360R)
■ WAN1
■ WAN2
Tipo de ID Tipo de ID usado para a negociação ISAKMP.
■ Endereço IP
■ Nome exclusivo
O valor padrão é Endereço IP.
ID de fase 1 Valor que corresponde ao Tipo de ID. Esse valor

é usado para identificar o gateway de segurança
durante as negociações da fase 1.
Se você selecionou Endereço IP, digite um
endereço IP. Se selecionou Nome exclusivo,
digite um nome de domínio totalmente
qualificado. Caso selecione Endereço IP e
deixe esse campo em branco, o valor padrão é o
endereço IP da interface interna do gateway de
segurança.
O valor máximo é 31 caracteres alfanuméricos.
Difusão do Permite navegar a rede VPN no Ambiente de

NetBIOS rede e compartilhamento de arquivos em um
computador Microsoft Windows. É necessário
um host WINS para aceitar o tráfego.
A difusão do NetBIOS é desativada por padrão.
Gateway de Túnel global Normalmente, somente as solicitações

segurança local destinadas à rede protegida pelo gateway de
(Continuação) VPN remota são encaminhadas pela VPN. Outro
tipo de tráfego, como a navegação na Web, é
encaminhado diretamente para fora da Internet.
A ativação do Túnel global força todo o tráfego
externo para o gateway de VPN superior. Isso
permite que o firewall do escritório principal
filtre o tráfego antes de enviar a solicitação na
Internet. Isso fornece ao site remoto proteção de
firewall a partir do site principal. As redes de
destino deverão ficar em branco quando o Túnel
global for ativado. A ativação do Túnel global
também desativa todos os outros SAs, visto que
todo o tráfego deve ser roteado através do
gateway de túnel global.
O túnel global é desativado por padrão.
Gateway de Endereço do Endereço IP ou nome de domínio totalmente

segurança remoto gateway qualificado do gateway remoto (gateway ao qual
o túnel se conectará).
O número máximo de caracteres alfanuméricos
nessa caixa de texto é 128.
Tipo de ID Tipo de ID usado para a negociação ISAKMP.
■ Endereço IP
■ Nome exclusivo
O valor padrão é Endereço IP.
ID de fase 1 Valor que corresponde ao Tipo de ID.

Se você selecionou Endereço IP, digite um
endereço IP. Se selecionou Nome exclusivo,
qualificado.
nessa caixa de texto é 31.
Chave pré- Chave para autenticar ISAKMP (IKE). Autentica

compartilhada a extremidade remota do túnel.
A chave pré-compartilhada possui de 20 a 64
caracteres alfanuméricos. A chave pré-
compartilhada na extremidade remota desse
túnel deve corresponder a esse valor.
IP da sub-rede Endereço IP da sub-rede remota.

remota
Máscara Máscara da sub-rede remota.

Descrições dos campos da guia Túneis estáticos

Esta tabela descreve os campos da guia Túneis estáticos, usados para configurar
túneis estáticos gateway para gateway da VPN para o gateway de segurança.
Tabela D-26 Descrições dos campos da guia Túneis estáticos
Associação de Túnel da VPN Selecione um túnel para atualizar ou excluir.

segurança IPSec
Nome do túnel Nome do túnel estático.
Esse nome é usado apenas para referência na
SGMI.
Pode-se criar até 50 túneis estáticos.
O comprimento máximo do nome do túnel é 50
caracteres.
Ativar túnel da Permite que os usuários da VPN utilizem o túnel

VPN a ser definido.
Para desativar o túnel temporariamente, cancele
a seleção dessa caixa e clique em Atualizar. Para
desativar o túnel permanentemente, clique em
Excluir.
Sessão PPPoE O recurso exige uma conta ISP PPPoE.

A sessão PPPoE padrão é Sessão 1. Se você tiver
uma conta PPPoE de sessão única, deixe a sessão
PPPoE como Sessão 1.
Extremidade local Porta do gateway de segurança na qual você está

(Modelo 360) trabalhando e deseja que o túnel termine.
SPI de entrada Índice de entrada do parâmetro de segurança no

pacote IPsec.
O valor padrão é um número decimal. Anteceda
o valor com 0x para números hexadecimais. O
índice de parâmetro de segurança (SPI, Security
Parameter Index) é um número entre 257 e 8192
que identifica o túnel.
Esse valor deve corresponder ao SPI de saída na
extremidade remota do túnel.
Tabela D-26 Descrições dos campos da guia Túneis estáticos (Continuação)
Associação de SPI de saída Índice de saída do parâmetro de segurança no

segurança IPSec pacote IPsec.
(Continuação) O valor padrão é um número decimal. Anteceda
o valor com 0x para números hexadecimais.
O SPI é um número entre 257 e 8192 que
identifica o túnel. Trata-se do SPI com o qual
os pacotes são enviados.
Esse valor deve corresponder ao SPI de entrada
na extremidade remota do túnel.
Política de VPN Política que determina as configurações de

autenticação, criptografia e tempo limite.
A lista contém as políticas predefinidas da
Symantec e as políticas criadas na guia Política
de VPN.
Chave de Chave para criptografar a seção de dados do

criptografia pacote IPsec. A chave embaralha e
desembaralha os dados transmitidos.
O tipo de número padrão é decimal. Para
números hexadecimais, anteceda o valor com
0x. O tamanho da chave depende da intensidade
da criptografia especificada na política de VPN.
Insira uma chave de criptografia
correspondente na extremidade remota
do túnel.
Chave de Chave para autenticar pacotes IPsec.

autenticação O tipo de número padrão é decimal. Para
números hexadecimais, anteceda o valor com
0x. O tamanho da chave depende do tipo de
autenticação (MD5, SHA1 e assim por diante)
selecionado na política de VPN.
Tabela D-26 Descrições dos campos da guia Túneis estáticos (Continuação)
Gateway de Endereço do Endereço IP ou o nome de domínio totalmente

segurança remoto gateway qualificado do gateway de segurança para o qual
você está criando um túnel.
O comprimento máximo desse campo é 128
caracteres alfanuméricos.
Difusão do Permite navegar a rede VPN no Ambiente de

NetBIOS rede e compartilhamento de arquivos em um
computador Microsoft Windows. É necessário
um host WINS para aceitar o tráfego.
A difusão do NetBIOS é desativada por padrão.
Túnel global Normalmente, somente as solicitações

destinadas à rede protegida pelo gateway de
VPN remota são encaminhadas pela VPN. Outro
tipo de tráfego, como a navegação na Web, é
encaminhado diretamente para fora da Internet.
A ativação do Túnel global força todo o tráfego
externo para o gateway de VPN superior. Isso
permite que o firewall do escritório principal
filtre o tráfego antes de enviar a solicitação na
Internet. Isso fornece ao site remoto proteção de
firewall a partir do site principal. As redes de
destino deverão ficar em branco quando o Túnel
global for ativado. A ativação do Túnel global
também desativa todos os outros SAs, visto que
todo o tráfego deve ser roteado através do
gateway de túnel global.
O túnel global é desativado por padrão.
IP da sub-rede Endereço IP da sub-rede remota.

remota
Máscara Máscara da sub-rede remota.

Descrições dos campos da guia Túneis de cliente

Use a guia Túneis de cliente para definir os túneis cliente para gateway.
Verifique se você definiu seus usuários na guia Usuários clientes antes de
definir o túnel.
Tabela D-27 Descrições dos campos da guia Túneis de cliente
Definição dos Grupo de VPNs Selecione um Grupo de VPNs para atualizar

túneis do grupo ou excluir.
É possível modificar a associação desses
três grupos. Não é possível adicionar grupos
de VPNs.
Ativar VPNs do Permite que os usuários definidos da

cliente no lado VPN conectem-se à interface da WAN.
da WAN
Ativar VPNs do Permite que os usuários definidos da VPN

cliente no lado da conectem-se à LAN e à interface da LAN sem fio.
WLAN/LAN
Parâmetros da DNS primário Endereço IP do servidor DNS primário que o

rede VPN usuário da VPN utiliza para a resolução de
nomes.
DNS secundário Endereço IP do servidor DNS secundário que

o usuário da VPN utiliza para a resolução de
nomes.
WINS primário Endereço IP do servidor WINS primário.

O Serviço de cadastramento na Internet do
Windows (WINS, Windows Internet Naming
Service) é um sistema que determina o endereço
IP associado a um computador de rede
específico.
WINS secundário Endereço IP do servidor WINS secundário.
Controlador de Endereço IP do controlador de domínio

domínio primário primário.
(PDC, Primary
Domain
Controller)
Tabela D-27 Descrições dos campos da guia Túneis de cliente (Continuação)
Autenticação Ativar a Requer que todos os usuários do grupo de VPNs

estendida de autenticação selecionado utilizem RADIUS para autenticação
usuário estendida de estendida após a fase 1 e antes da fase 2.
usuário
Conexão ao grupo Se for especificada uma conexão ao grupo

RADIUS RADIUS, o usuário remoto deverá ser um
membro desse grupo no servidor RADIUS.
O ID de filtro retornado do RADIUS deve
corresponder a esse valor para autenticar o
usuário.
Na especificação de conexões ao grupo RADIUS,
nenhum túnel para dois clientes poderá ter a
mesma configuração para a conexão ao grupo.
O comprimento máximo do valor é 25
caracteres.
Ativar filtragem Ativar filtragem O tráfego para todos os clientes no grupo VPN
de conteúdo de conteúdo selecionado está sujeito às regras de filtragem
de conteúdo estabelecidas nas listas de
permissões e negações.
Usar lista de A filtragem de conteúdo usa a lista de negações,

negações uma lista de URLs que os clientes não têm
permissão para exibir, permitindo qualquer
outro tráfego.
Usar lista de A filtragem de conteúdo usa a lista de

permissões permissões, uma lista de URLs que os clientes
têm permissão para exibir, bloqueando qualquer
outro tráfego.
Ativar aplicação Requer que todos os usuários do grupo de VPNs

da política selecionado tenham software antivírus com as
antivírus definições de vírus mais atuais.
Avisar somente Se o usuário não tiver software antivírus com as

definições de vírus mais atuais, uma mensagem
de texto será registrada.
Bloquear Se o usuário não tiver software antivírus com

conexões as definições de vírus mais atuais, o tráfego não
será permitido.
Descrições dos campos da guia Usuários de cliente

Use a guia Usuários de cliente para definir os usuários remotos que acessarão
sua rede com um túnel VPN.
Tabela D-28 Descrições dos campos da guia Usuários de cliente
Identidade do Usuário Selecione um usuário para atualizar ou excluir.

usuário da VPN
Ativar Permite que um usuário utilize um túnel
de VPN.
Para suspender um usuário temporariamente,
cancele a seleção de Ativar e clique em
Atualizar. Para remover um usuário
permanentemente, clique em Excluir.
Nome do usuário Nome do usuário de cliente.

para esse valor é 31. Deverá corresponder ao ID
de cliente remoto no software do Symantec
Client VPN.
Pode-se adicionar até 50 usuários de cliente.
Chave pré- Chave de autenticação ISAKMP (IKE). Ela é

compartilhada exclusiva ao usuário.
Digite uma chave pré-compartilhada. O número
máximo de caracteres alfanuméricos para esse
valor é 64. Deverá corresponder à chave pré-
compartilhada oferecida pelo cliente da VPN
remota.
Grupo de VPNs Define o grupo de VPNs (definição de túnel) para

o usuário em questão.
Descrições dos campos da guia Políticas de VPN

Selecione uma política de VPN para cada túnel. Use a guia Políticas de VPN para
definir cada política ou editar uma política padrão.
Tabela D-29 Descrições dos campos de Políticas de VPN
Parâmetros da Política de VPN Selecione uma política para atualizar ou excluir.

associação de
Nota: Não é possível excluir políticas predefinidas
segurança
da Symantec.
IPsec (Fase 2)
■ ike_default_crypto
■ ike_default_crypto_strong
■ Static_default_crypto
■ Static_default_crypto_strong
■ Quaisquer políticas de VPN criadas
Nome Nome a ser atribuído à política.

Esse nome é usado apenas para referência na SGMI.
Integridade dos As opções incluem:

dados ■ ESP MD5 (padrão)
(autenticação)
■ ESP SHA1
■ AH MD5
■ AH SHA1
Essa seleção deve corresponder ao gateway de
segurança remoto.
Confidencialidade As opções incluem:

dos dados ■ DES
(criptografia)
■ 3DES
■ AES_VERY_STRONG
■ AES_STRONG
■ AES
■ NULL (Nenhuma)
Se você selecionou uma autenticação da
integridade dos dados AH, não precisará selecionar
um tipo de criptografia.
Tabela D-29 Descrições dos campos de Políticas de VPN (Continuação)
Parâmetros da Vida útil do SA Tempo, em minutos, antes da fase 2 da

associação de renegociação das chaves de criptografia e
segurança autenticação para o túnel.
IPsec (Fase 2)
O valor padrão é 1080 minutos. O valor máximo é
(Continuação)
2.147.483.647 minutos.
Limite do volume Número máximo de kilobytes permitidos através de

de dados um túnel antes que seja necessária uma nova
chave.
O valor padrão é 2100000 KB (2050 MB). O valor
máximo é 4200000 KB (4101 MB).
Tempo limite de Número de minutos que um túnel pode ficar inativo

inatividade antes de ser redigitado.
Digite 0 para nenhum tempo limite.
Sigilo de O sigilo de encaminhamento perfeito (PFS, Perfect

encaminhamento Forward Secrecy) oferece proteção adicional contra
perfeito invasores que tentam adivinhar a chave ISKAMP
atual. Nem todos os clientes e gateways de
segurança são compatíveis com o sigilo de
encaminhamento perfeito.
■ DH Grupo 1
■ DH Grupo 2
■ DH Grupo 5
Descrições dos campos da guia Status

A guia Status mostra o status dos túneis de VPN e usuários de cliente.
Tabela D-30 Descrições dos campos da guia Status
Túneis de VPN Status Status do túnel selecionado.

dinâmicos
Nome Nome do túnel selecionado.
Tipo de Tipo de negociação configurado.

negociação Esse campo é aplicado somente a túneis de VPN
dinâmicos.
Gateway de Nome do gateway de segurança selecionado.

segurança
Sub-rede remota Endereço da sub-rede remota.
Método de Método de criptografia configurado.

criptografia
Túneis de VPN Status Pode estar conectado ou desconectado.

estáticos
Nome Nome do túnel estático selecionado.
Gateway de Endereço IP do gateway remoto ao qual o túnel é

segurança conectado.
Sub-rede remota Sub-rede do gateway remoto ao qual o túnel é

conectado.
Método de Método de autenticação para o túnel.

criptografia

Use a guia Avançado para definir configurações avançadas de VPN para a fase 1
da negociação, que se aplica a todos os clientes.
Configurações do Tipo de ID da fase ID da fase 1 (ISAKMP) usado pelo gateway local

cliente de VPN 1 do gateway local para clientes da VPN.
global
■ Endereço IP
Caso selecione Endereço IP, deixe a caixa de
texto Tipo de ID da fase 1 do gateway local
em branco.
■ Nome exclusivo
Caso selecione Nome exclusivo, na caixa de
texto Tipo de ID da fase 1 do gateway local,
digite um ID de fase 1 do gateway local para
ser usado por todos os clientes.
ID da fase 1 do Valor que corresponde ao Tipo de ID.

gateway local
Se selecionou endereço IP, deixe essa caixa de
texto em branco. Se selecionou Nome exclusivo,
qualificado. Qualquer cliente conectado ao
gateway de segurança deve usar este ID de fase 1
ao definir a sua extremidade do gateway remoto
no cliente.
Política de VPN Política de VPN para túneis de cliente da VPN

para a fase 2 da negociação de túnel.
A lista mostra as políticas predefinidas da
Symantec e as políticas que você criou na guia
Política de VPN.
Configurações do Ativar túneis do Permite que os clientes da VPN indefinidos

cliente de VPN cliente de VPN conectem-se ao gateway de segurança visando a
dinâmico dinâmico autenticação estendida.
Chave pré- Chave para autenticar ISAKMP (IKE). Autentica

compartilhada a extremidade remota do túnel.
A chave pré-compartilhada possui de 20 a 64
caracteres alfanuméricos. A chave pré-
compartilhada na extremidade remota desse
túnel deve corresponder a esse valor.
Configurações Vida útil do SA Tempo, em minutos, antes da fase 1 de

globais do IKE renegociação das chaves de criptografia e
(Nova chave da autenticação para o túnel.
fase 1)
O valor padrão é 480 minutos. O valor máximo é
2.147.483.647 minutos.
Configurações do Servidor RADIUS Endereço IP ou nome de domínio totalmente

RADIUS primário qualificado do servidor usado para processar
trocas de autenticação estendidas com clientes
da VPN.
Servidor RADIUS Endereço IP ou nome de domínio totalmente

secundário qualificado do servidor alternativo usado para
processar trocas de autenticação estendidas
com clientes da VPN.
Porta de Porta no servidor RADIUS usada para

autenticação autenticação.
(UDP) O valor padrão é 1812. O valor máximo é 65535.
Chave ou segredo Chave de autenticação usada pelo servidor

compartilhado RADIUS.
Descrições dos campos de IDS/IPS

O gateway de segurança Symantec Gateway Security 300 Series proporciona
detecção e prevenção contra intrusão (IDS/IPS). As funções de IDS/IPS são
ativadas por padrão e fornecem proteção de pacotes diminutos com proteção
contra falsificação e IP. Você pode desativar a funcionalidade de IDS/IPS a
qualquer momento.
Os tipos de proteção a seguir são oferecidos com o recurso IDS/IPS:
■ Proteção contra falsificação de IP
■ Verificação de opções de IP
■ Validação de marca de TCP
■ Proteção contra Cavalo de Tróia
■ Detecção de verificação de porta
■ Descrições dos campos da guia Proteção IDS
Descrições dos campos da guia Proteção IDS

Configure a proteção IDS básica na guia Proteção IDS.
Tabela D-32 Descrições dos campos da guia Proteção IDS
Assinaturas IDS Nome Selecione uma assinatura para atualizar.

* Um asterisco indica detecção de porta por
Cavalo de Tróia. A opção para bloquear e
avisar será desativada se o tráfego for
explicitamente permitido nas regras de
entrada.
Configurações de Bloquear e avisar Se for detectado um ataque, bloqueia o

proteção tráfego e registra uma mensagem.
Bloquear/Não avisar Se for detectado um ataque, bloqueia o

tráfego sem registrar uma mensagem.
WAN Ativa a proteção da WAN.
WLAN/LAN Ativa a proteção de LAN e LAN sem fio.

Tabela D-32 Descrições dos campos da guia Proteção IDS (Continuação)
Lista de proteção Nome do ataque Nome das assinaturas IDS.
Bloquear e avisar Pode ser S para sim ou N para não. Indica

se a configuração da proteção Bloquear e
avisar está ativada para essa assinatura.
Bloquear/Não avisar Pode ser S para sim ou N para não. Indica

se a configuração da proteção Bloquear/
Não avisar está ativada para essa
assinatura.
WAN Pode ser S para sim ou N para não. Indica

se a WAN está protegida.
WLAN/LAN Pode ser S para sim ou N para não. Indica

se a LAN e a LAN sem fio estão protegidas.

Configure a proteção contra falsificação na guia Avançado.
Proteção contra WAN Ativa a proteção contra falsificação na

falsificação de IP LAN.
WLAN/LAN Ativa a proteção contra falsificação na LAN

e LAN sem fio.
Validação de marca Validação de marca Bloqueia e registra tráfego com

de TCP de TCP combinações de marca ilegais para tráfego
que não está sendo negado pela política de
segurança. Qualquer tráfego negado pela
política de segurança que tenha uma ou
mais combinações de marca de TCP
incorretas é classificado como uma das
várias técnicas de verificação de porta
NMAP (NMAP Null Scan, NMAP Christmas
Scan e assim por diante).
Descrições dos campos da guia AVpe

O recurso Aplicação da política antivírus (AVpe) permite monitorar as
configurações de AVpe de cliente e, se necessário, aplicar políticas de segurança
para restringir o acesso à rede somente aos clientes protegidos por software
antivírus com as definições de vírus mais atuais.
Tabela D-34 Descrições dos campos da guia AVpe
Local do servidor Mestre AV Define o servidor antivírus primário em sua

primário rede. Isto é, o servidor para o qual você deseja
que o gateway de segurança se conecte para
verificar as definições de vírus de clientes.
Mestre AV Define um servidor antivírus secundário. O

secundário gateway de segurança conecta-se a esse servidor
para verificar as definições de vírus de clientes,
caso não possa acessar o servidor antivírus
primário.
Consultar mestre Digite um intervalo (em minutos) para que o

AV a cada gateway de segurança consulte o servidor
antivírus.
Por exemplo, se você digitar 10 minutos, o
gateway de segurança consultará o servidor
antivírus a cada 10 minutos para obter a lista de
definições de vírus mais recente.
A configuração padrão é 10 minutos. Digite um
valor maior que 0.
Consultar mestre Esse botão permite substituir o intervalo de

tempo definido no campo Consultar servidor AV
a cada. Quando clicado, o gateway de segurança
consulta o servidor antivírus quanto às
definições de vírus mais recentes.
Antes de clicar nesse botão, digite os endereços
IP de mestre AV primário e secundário e clique
em Salvar.
Ao ativar o AVpe pela primeira vez, use esse
botão para forçar o gateway de segurança a
conectar-se ao servidor antivírus primário ou
secundário a fim de obter definições de vírus
atuais.
Tabela D-34 Descrições dos campos da guia AVpe (Continuação)
Validação da Verificar se o Quando ativado, esse campo permite verificar se

política cliente AV está o software antivírus da Symantec está instalado
ativo e ativo na estação de trabalho de um cliente.
■ Último mecanismo do produto (padrão)
Verifica se o software antivírus da
Symantec está ativo e se contém o
mecanismo de verificação mais recente do
produto.
■ Qualquer versão
Verifica se o software antivírus da
Symantec está ativo com qualquer versão
qualificada do mecanismo de verificação do
produto.
Nota: Verifique se UDP/Porta 2967 é permitida

por firewalls pessoais.
Verificar últimas Permite verificar se as definições de vírus mais

definições de recentes estão instaladas na estação de trabalho
vírus de um cliente antes de permitir acesso à rede.
O campo é ativado por padrão.
Consultar clientes Digite um intervalo (em minutos) para que o

a cada gateway de segurança consulte as estações de
trabalho de cliente a fim de verificar as
definições de vírus.
Por exemplo, se você digitar 10 minutos, o
gateway de segurança consultará as estações de
trabalho de cliente a cada 10 minutos para
verificar se elas possuem as definições de vírus
mais recentes aplicadas.
A configuração padrão é 480 minutos (8 horas).
Status do mestre Mestre AV Identifica o servidor antivírus (primário ou

AV secundário) para o qual as informações de
resumo são exibidas.
Status Indica o status operacional do servidor

antivírus. Aparecerá como ativo quando o
servidor estiver on-line e em funcionamento;
inativo quando o servidor estiver off-line.
Última Exibe a data (numérica) em que o gateway de

atualização segurança consultou o servidor pela última vez
quanto aos arquivos de definições de vírus; por
exemplo: 5/14/2003.
Host Exibe o endereço IP (ou nome de domínio

qualificado) do servidor antivírus primário ou
secundário.
Produto Exibe a versão atual de produto do Symantec

AntiVirus Corporate Edition em execução no
servidor antivírus; por exemplo: 7.61.928.
Mecanismo Exibe a versão atual do mecanismo de

verificação do Symantec AntiVirus Corporate
Edition em execução no servidor antivírus; por
exemplo: NAV 4.1.0.15.
Padrão Exibe a versão mais recente do arquivo de

definições de vírus no servidor antivírus; por
exemplo: 155c08 r6 (14/5/2003).
Status do cliente Cliente AV Endereço IP dos clientes DHCP.

AV
Política Pode estar ativado ou desativado. Indica se o
cliente tem políticas antivírus aplicadas.
Status Indica se o cliente é compatível.
Grupo Grupo de computadores ao qual o cliente é

atribuído.
Última Data e hora da última vez que a compatibilidade

atualização antivírus do cliente foi verificada.
Produto Nome do produto antivírus da Symantec que o

cliente está usando.
Mecanismo Versão do mecanismo de verificação do produto

antivírus da Symantec que o cliente está usando.
Padrão Versão das definições de vírus mais recentes do

cliente.
Descrições dos campos de filtragem de conteúdo

O gateway de segurança suporta a filtragem de conteúdo básica para o tráfego de
saída. Você usa a filtragem de conteúdo para limitar o conteúdo ao qual os
clientes têm acesso. Por exemplo, para impedir que seus usuários vejam sites de
apostas, configure a filtragem de conteúdo para negar acesso aos URLs de
apostas que você especificar.
Tabela D-35 Campos de configuração da filtragem de conteúdo
Selecionar lista Tipo de lista Tipos de lista possíveis:

■ Negação
■ Permissão
Uma lista de negação especifica o conteúdo que
você não deseja que os clientes vejam. Uma lista
de permissão especifica o conteúdo que você
permite que os clientes vejam.
Selecione uma lista e clique em Exibir/Editar.
Descrições dos campos de filtragem de conteúdo
Tabela D-35 Campos de configuração da filtragem de conteúdo (Continuação)
Modificar lista Inserir URL Digite um URL para adicionar à lista de negação
ou permissão. Por exemplo,
www.symantec.com.br ou meusiteadulto.com/
minhasfiguras/eu.html.
O comprimento máximo de um URL é 128
caracteres. Cada lista de filtragem pode
comportar até 100 entradas. Os URLs são
adicionados um por vez.
É necessário usar um nome de domínio
totalmente qualificado. A filtragem de conteúdo
não pode ser executada com um endereço IP.
Excluir URL Na lista suspensa, selecione um URL que deseje

excluir e clique em Excluir entrada.
Lista atual URL Dependendo da lista selecionada, mostra todos

os URLs nela inseridos.
Índice
Números BattleNet 75
Bonk 122
3DES 95
A C
carregando 14
acesso à rede, planejando 63
carregar o firmware 138
acesso administrativo 13
clientes de antivírus 114
administrador do gateway remoto, compartilhando
informações 98 clusters
AES-128 95 criando túneis para clusters do Symantec
Gateway Security 5400 93
AES-192 95
compactação de túnel 82
AES-256 95
compactação, túnel 82
ajuda 11
computadores e grupos de computadores 64
ajuda on-line 11
conceitos básicos sobre tipos de conexão 27
all.bin 136
alta disponibilidade 50 conectando-se manualmente, PPPoE 32
alterar conectividade do modem 40
endereço IP da LAN do equipamento 58 Conectividade DSL 28
intervalo de endereços IP do DHCP 60 conectividade por modem a cabo 28
analógicas 27 conectividade T1 28
aplicativos especiais 75 conectividade, configurando 28
assinaturas IDS/IPS atômicas 121 conexão com a rede externa 21
assinaturas, atômicas 121 conexão de banda larga 28
Assistente de Instalação 25 conexão dial-up 27
seleção de idioma 25 conexão ISDN 27
associação do grupo de computadores 65 Conexão PPTP 28
ataques 121 Conexão SMTP 52
ativando conexão, exemplos de rede 22
passagem de IPsec 78 Conexões analógicas 27
porta IDENT 77 conexões de rede 27
ativando o DHCP 60 conexões internas 57
Atribuições de porta 61 Conexões ISDN 27
atualizações automáticas 133 conexões VPN seguras 81
atualizando o firmware 131 conferência em vídeo 75
avançadas, configurações PPP 44 Configuração de porta WAN 26
AVpe 108 configuração, fazendo backup e restaurando 141
configurando 110 configurações avançadas de WAN/ISP 50
mensagens de registro 115 configurações da rede
opcionais 54
Configurações de conexão avançadas 43
B configurações de política global, túneis de cliente-
Back Orifice 122 para-gateway 103
226 Índice
configurações de proteção avançadas 123 conta de backup 38

configurações de túnel monitorando o status 42
VPN verificando a conectividade 42
gateway-para-gateway 90 contas dial-up manuais 41
configurações DHCP controle de tráfego de rede 63
configurações avançadas 43 controle de tráfego de rede, avançado 107
configurações IP da LAN 58 criando
configurações opcionais de rede 54 políticas de segurança 82
configurações padrão, restaurar atribuição de políticas de VPN personalizadas da fase 2 84
porta 62
configurando
aplicativos especiais 75
D
atribuições de porta 61 definindo
AVpe 110 acesso de entrada 68
computadores 65 acesso de saída 70
conectividade 28 associação do grupo de computadores 65
conexão com a rede externa 21 configurações de proteção avançadas 123
conexões internas 57 definindo configurações IP da LAN 58
configurações avançadas de WAN/ISP 50 definindo grupos de computadores 67
configurações de conexão avançadas 43 DES 95
configurações PPP avançadas 44 desativando
contas dial-up 39 DNS dinâmico 47
entradas de rotas estáticas 48 modo NAT 77
equipamento como servidor DHCP 58 desconectar
falha geral 52 conexões PPPoE ociosas 29
gerenciamento remoto 15 DHCP 28
host exposto 79 ativando 60
IP estático 34 desativando 60
novos computadores 65 intervalo de endereços IP 60
opções avançadas 77 uso 60
porta WAN 26 dinâmico, roteamento 48
PPTP 35 DNS dinâmico
preferências de registro 126 desativando 47
renovação de tempo ocioso 43 forçando atualizações 47
roteamento 48 TZO 45
túneis de cliente-para-gateway 98 documentação
túneis de gateway-para-gateway 89 ajuda on-line 11
túneis de gateway-para-gateway dinâmicos 93 DSL 27
Unidade máxima de transmissão (MTU) 44
configurar senha 15
console serial 17 E
HyperTerminal 18 endereço IP da LAN 58
scroll lock 18 entradas de rotas estáticas 48
conta dial-up de backup 38, 41 enviando mensagens de registro por e-mail 126
contas de banda larga 27 Enviar registro por e-mail agora 126
contas dial-up 38 equilíbrio de carga 51
backup 41 equipamento, LEDs do painel frontal 144
conectando-se manualmente 41 estouro de buffer de HTML 122
configurando 39 evitando ataques 121
Índice 227
F IP estático 28
falha geral 52 configurando 34
Fawx 122
fazendo backup e restaurando J
configurações 141 jogos 75
fazendo upgrade de firmware
Jolt 122
Norton Internet Security 137
filtragem de conteúdo 116
gerenciando listas 117 L
LAN 118 Land 122
lista de permissões 116 LB. Consulte equilíbrio de carga
listas de negações 116 LEDs 144
WAN 103, 119 LEDs do painel frontal 144
firewall, lista de hosts 66 Licença 155
firmware 14, 132, 133, 136 Linha de assinante digital assimétrica (ASDL) 29
app.bin 131
linha telefônica especial
atualizações 131
ISDN 27
fazendo o upgrade manualmente 136
Lista de hosts 66
firmware app.bin 131
lista de permissões 116
fluxo de tráfego
acesso de entrada 68 listas de negações 116
acesso de saída 70 LiveUpdate 138
forçando atualizações do DNS dinâmico 47 atualizações 133
Forçar renovação 188 servidor 134
G M
Gateway DNS 53 manualmente
Gateway-para-gateway 89 conectar-se à conta PPTP 37
persistência e alta disponibilidade do túnel 92 fazendo upgrade de firmware 136
túneis dinâmicos 93 mensagens de registro 130, 131
gateway-para-gateway mensagens de registro, encaminhamento de e-
túneis de VPN suportados 91 mail 126
gerenciamento remoto 15 Menu Principal 12
gerenciando modo NAT 77
acesso administrativo 13 monitorando
listas de filtragem de conteúdo 117 contas dial-up 42
solicitações de ICMP 79 status do servidor antivírus 114
usando o console serial 17 uso do DHCP 60
Girlfriend 122 monitorando status do túnel de VPN 104
H N
HA. Consulte alta disponibilidade
negociações de túnel
host exposto 79
Fase 1 84
Fase 2 84
I Nestea 122
IDS/IPS 121 Newtear 122
indicador ativo 26, 53 Norton Internet Security 137
228 Índice
O Proteção contra Cavalo de Tróia 122

proteção contra excessos de TCP/UDP 122
opções avançadas 77
Proteção contra falsificação de IP 123
Overdrop 122
Protocolo de configuração dinâmica de host
Forçar renovação 188
P Protocolo PPPoE (Point to Point Protocol over
painel posterior Ethernet). Consulte PPPoE
360 e 360R 38
equipamento 320 38 R
passagem de IPsec 78
rede com base em TCP/IP, PPTP 35
Pesquisar serviços 178
rede externa
Ping of Death 122
configurando conexão 21
planejando acesso à rede 63
redefinir senha manualmente 15
Point-to-Point Protocol over Ethernet (PPPoE) 29
Point-to-Point-Tunneling Protocol (PPTP) 35 redirecionando serviços 73
Política global de IKE 83 regras de entrada 68
política, global de IKE 83 regras de saída 70
políticas de segurança 82 reinicializando o equipamento 142
ponto de interrogação 11 renovação de tempo ocioso 43
porta IDENT 77 restaurar configurações padrão de atribuição de
porta WAN porta 62
conexão 21 roteamento 48
configurando a MTU 44 roteamento dinâmico 48
porta WAN dupla 25
Portal of Doom 122 S
PPPoE scroll lock 18
conectando-se manualmente 32 Security Gateway Management Interface 13
conectividade 28 Security Gateway Management Interface (SGMI) 11
Pesquisar serviços 178 seleção de idioma 25
verificando a conectividade 31 senha
PPTP administração 14
conectando-se manualmente 37 configurar 15
conexão manual 37 redefinir manualmente 15
configurando a conectividade 35 senha de administração 14
rede com base em TCP/IP 35 servidor DHCP 58
verificando a conectividade 36 SGMI 13
preferências de proteção solicitações de ICMP 79
configurações 123 Solução de problemas 149, 151
configurando status do servidor antivírus 114
configurações de preferências de sub-rede 91
proteção 123 SubSeven 122
preferências de registro 126 suporte técnico 154
prevenção contra ataques 121 Symantec Gateway Security 5400 91, 93
Back Orifice 122 Syndrop 122
Cavalo de Tróia 122
Girlfriend 122
proteção T
falsificação de IP 123 T3 27
Validação de marca de TCP 124 Teardrop 122
Índice 229
tempo limite do SMTP 77 túneis de gateway-para-gateway

tempo limite, SMTP 77 suportados 91
testando a conectividade 52
TFTP 137
W
tipos de conexão, conceitos básicos 27
WAN/ISP
túneis
configurações avançadas 50
Cliente-para-gateway 98
configurando renovação de tempo ocioso 43
gateway-para-gateway dinâmicos 93
vários endereços IP 30
túneis de cliente-para-gateway 98
Winnuke 122
Túneis de cliente-para-gateway, configurações de
política global 103
túneis de gateway-para-gateway dinâmicos 93
túneis de gateway-para-gateway estáticos 95
túneis de IKE, gateway-para-gateway 93
Túnel de VPN
gerenciamento remoto 15
TZO 45
U
Unidade máxima de transmissão (MTU) 44
V
Validação de marca de TCP 124
verificando conectividade do PPPoE 31
VPN
alta disponibilidade do túnel 92
compactação de túnel 82
conexões seguras 81
configurações de política global 103
configurações de túnel 90
Cliente-para-gateway 98
gateway-para-gateway 90
configurando túneis de cliente-para-
gateway 98
criando políticas personalizadas da fase 2 84
criando túneis para clusters do Symantec
Gateway Security 5400 93
fase 2, configurável 84
monitorando status do túnel 104
negociações de túnel
Fase 1 83
Fase 2 83
persistência do túnel 92
políticas 82
status do túnel 104
sub-rede 91
tamanhos da chave de autenticação 95
tamanhos da chave de criptografia 95
Suporte
Soluções de serviço e suporte

A Symantec está comprometida em prestar um excelente serviço em todo o
mundo. A nossa meta é fornecer assistência profissional na utilização de nossos
programas e serviços onde quer que você esteja.
O Suporte técnico e o Serviço de Atendimento ao Cliente variam de um país
para outro.
Se tiver alguma pergunta sobre os nossos serviços descritos abaixo, consulte a
seção "Informações de contato para o serviço e suporte mundial" no final desse
capítulo.
Licenciamento e registro
Se o produto que estiver implementando necessitar de registro ou de um código
de licença, a maneira mais fácil e rápida de registrar seu serviço é através do
nosso site de registro e licenciamento: www.symantec.com/certificate
Alternativamente, você pode acessar o site http://www.symantec.com/
techsupp/ent/enterprise.html, selecionar o produto que deseja registrar e, na
homepage do produto, selecionar o link para registro e licenciamento.
Se você adquiriu uma assinatura de suporte, terá direito a receber assistência
técnica da Symantec por telefone e pela Internet. Quando entrar em contato
com o Suporte pela primeira vez, tenha disponível o número de licença do seu
certificado ou seu ID de contato gerado através do registro de suporte
disponível, para que o Suporte possa verificar seus direitos a ele. Se você não
adquiriu uma assinatura de suporte, entre em contato com o seu revendedor, ou
com o Serviço de Atendimento ao Cliente para obter detalhes sobre como obter
suporte técnico da Symantec.
232 Soluções de serviço e suporte
Atualizações de segurança
Para obter as informações mais recentes sobre vírus e ameaças de segurança,
acesse o website do Symantec Security Response (previamente conhecido como
Antivirus Research Center):
http://www.symantec.com.br/region/br/avcenter/
Esse site contém várias informações on-line sobre vírus e ameaças de segurança,
além das definições de vírus mais recentes. As definições de vírus podem
também ser obtidas através de download, usando o recurso LiveUpdate em seu
produto.
Renovações de assinaturas de atualizações de vírus

Ao adquirir um contrato de manutenção juntamente com o produto, você terá
direito a fazer o download gratuito de definições de vírus durante o período de
duração desse contrato. Se o seu contrato de manutenção expirou, entre em
contato com o seu revendedor ou com o Serviço de Atendimento ao Cliente da
Symantec, para obter informações sobre a sua renovação.
Websites da Symantec:
Homepage da Symantec (por idioma):

Alemão: http://www.symantec.de
Espanhol: http://www.symantec.com/region/es
http://www.symantec.com/mx
Francês: http://www.symantec.fr
Holandês: http://www.symantec.nl
Inglês: http://www.symantec.com
Italiano: http://www.symantec.it
Português: http://www.symantec.com.br
Soluções de serviço e suporte 233
Symantec Security Response:

Página de suporte e serviços do Symantec Enterprise:

http://www.symantec.com.br/region/br/techsupp/enterprise/index.html
Boletins de notícias específicos de produtos:

EUA, Pacífico Asiático/Inglês:
http://www.symantec.com/techsupp/bulletin/index.html
Europa, Oriente Médio e África/Inglês:

http://www.symantec.com/region/reg_eu/techsupp/bulletin/index.html
Alemão:
http://www.symantec.com/region/de/techsupp/bulletin/index.html
Francês:
http://www.symantec.com/region/fr/techsupp/bulletin/index.html.
Holandês:
http://www.symantec.com/region/nl/techsupp/bulletin/index.html
Italiano:
http://www.symantec.com/region/it/techsupp/bulletin/index.html
América Latina
Espanhol:
http://www.symantec.com/region/mx/techsupp/bulletin/index.html
Português:
http://www.symantec.com/region/br/techsupp/bulletin/index.html
Suporte Técnico
Suporte Técnico
Como parte do Symantec Security Response, nosso grupo de suporte técnico
global mantém centros de suporte em todo o mundo. Nossa função principal
é responder a perguntas específicas sobre recursos e funções dos produtos,
instalação, configuração e conteúdo do nosso Knowledge Base, acessível na Web.
Trabalhamos em conjunto com outras áreas da Symantec, para responder às
suas perguntas o mais rápido possível. Trabalhamos, por exemplo, com a equipe
de engenharia de produtos ou com os Centro de Pesquisa de Segurança para
fornecer serviços de alertas, Atualizações de definições de vírus para epidemias
e alertas de segurança. Os principais recursos que oferecemos incluem:
■ Uma variedade de opções de suporte, oferecendo-o flexibilidade para
selecionar o serviço ideal para empresas de qualquer porte
■ Componentes de suporte por telefone ou pela Web, fornecendo resposta
rápida e informações atualizadas
■ Atualizações de produtos que fornecem proteção automática através da
atualização de programas
■ Atualizações de conteúdo para definições de vírus e assinaturas de
segurança garantem o mais alto nível de proteção
■ O Suporte global dos especialistas do Symantec Security Response está
disponível 24 horas por dia, 7 dias da semana em todo o mundo, em vários
idiomas
■ Recursos avançados como o serviços de alerta da Symantec e o Gerente
técnico de contas aprimoram a resposta e o suporte dinâmico de segurança
Consulte nosso website para obter informações atuais sobre os Programas de
Suporte.
Contatando o Suporte
Clientes com um contrato de suporte atual podem contatar a equipe de suporte
técnico por telefone ou através da Web, usando a seguinte URL ou os sites
regionais de suporte, relacionados neste documento.
http://www.symantec.com.br/region/br/techsupp/enterprise/index.html
Atendimento ao cliente
Forneça as seguintes informações ao contatar o Suporte

■ Versão do produto
■ Informações de hardware
■ Memória disponível, espaço em disco e informações sobre o NIC
(Network Interface Card)
■ Sistema operacional
■ Versão do produto e patch
■ Topologia da rede
■ Informações sobre o roteador, gateway e endereço IP
■ Descrição do problema
■ Mensagens de erro/Arquivos de registro
■ Soluções executadas para o problema, antes de contatar a Symantec
■ Alterações recentes na configuração do programa e/ou alterações na rede.
Atendimento ao cliente
O Centro de serviços de atendimento ao cliente pode ajudá-lo com questões não
técnicas, como:
■ Informações gerais do produto (ex: recursos, disponibilidade de idiomas,
revendedores na sua área, etc.)
■ Soluções básicas de problemas, como verificação da versão do seu produto
■ Informações mais recentes sobre atualizações do produto
■ Como atualizar seu produto
■ Como registrar seu produto e/ou licenças
■ Informações sobre o Symantec Licence Program
■ Informações sobre a garantia de Upgrade e contratos de manutenção
■ Reposição de CDs e manuais
■ Atualização do registro do seu produto para refletir mudança de nome ou
endereço
■ Assistência em opções de suporte técnico
Informações mais abrangentes sobre o Serviço de Atendimento ao Cliente
podem ser encontradas no website de serviço e suporte da Symantec, e podem
também ser obtidas por telefone, ligando para o Centro de serviços de
atendimento ao cliente da Symantec. Consulte "Informações de contato para o
serviço e suporte mundial" no final desse capítulo, para obter o número do
Serviço de Atendimento ao Cliente e os endereços da Web.
Informações de contato para o serviço e suporte mundial
Informações de contato para o serviço

e suporte mundial
Europa, Oriente Médio, África e América Latina
Websites de serviços e suporte da Symantec

Alemão: www.symantec.de/desupport/
Espanhol: www.symantec.com/region/mx/techsupp/
Francês: www.symantec.fr/frsupport
Inglês: www.symantec.com/eusupport/
Italiano: www.symantec.it/itsupport/
Holandês: www.symantec.nl/nlsupport/
Português: www.symantec.com/region/br/techsupp/
FTP da Symantec: ftp.symantec.com
(Faça o download de notas técnicas e dos patches mais recentes)
Acesse o site de Serviços e suporte da Symantec para obter maiores informações
sobre seu produto.
Symantec Security Response:

Boletins de notícias específicos de produtos:

EUA/Inglês:
http://www.symantec.com/techsupp/bulletin/index.html
Europa, Oriente Médio e África/Inglês:

http://www.symantec.com/region/reg_eu/techsupp/bulletin/index.html
Alemão:
http://www.symantec.com/region/de/techsupp/bulletin/index.html
Espanhol:
http://www.symantec.com/region/mx/techsupp/bulletin/index.html
Francês:
http://www.symantec.com/region/fr/techsupp/bulletin/index.html
Holandês:
http://www.symantec.com/region/nl/techsupp/bulletin/index.html
Italiano:
http://www.symantec.com/region/it/techsupp/bulletin/index.html
Português:
http://www.symantec.com/region/br/techsupp/bulletin/index.html
Serviço de Atendimento ao Cliente

Fornece assistência e informações não técnicas por telefone nos seguintes
idiomas: Inglês, Alemão, Francês e Italiano.
África do Sul + (27) 11 797 6639
Alemanha + (49) 69 6641 0315
Áustria + (43) 1 50 137 5030
Bélgica + (32) 2 2750173
Dinamarca + (45) 35 44 57 04
Espanha + (34) 91 7456467
Finlândia + (358) 9 22 906003
França + (33) 1 70 20 00 00
Holanda + (31) 20 5040698
Irlanda + (353) 1 811 8093
Itália + (39) 02 48270040
Luxemburgo + (352) 29 84 79 50 30
Noruega + (47) 23 05 33 05
Reino Unido + (44) 20 7744 0367
Suécia + (46) 8 579 29007
Suíça + (41) 2 23110001
Outros países + (353) 1 811 8093
(Serviços somente em inglês)
Serviço de Atendimento ao Cliente da Symantec – Endereço

para correspondência
Symantec Ltd
Customer Service Centre
Europa, Oriente Médio e África (EMEA)
PO Box 5689
Dublin 15
Irlanda
Para a América Latina

A Symantec fornece Serviço de Atendimento ao Cliente e Suporte Técnico em
todo o mundo. Os serviços podem variar de acordo com o país e inclui parceiros
internacionais que representam a Symantec em regiões onde não existem
escritórios regionais. Para obter informações gerais, contate o escritório de
serviço e suporte da Symantec na sua região.
Argentina
Pte. Roque Saenz Peña 832 - Piso 6
C1035AAQ, Ciudad de Buenos Aires
Argentina
Telefone principal +54 (11) 5811-3225

Website http://www.service.symantec.com/mx
Suporte Gold 0800-333-0306
Venezuela
Avenida Francisco de Miranda. Centro Lido
Torre D. Piso 4, Oficina 40
Urbanización el Rosal
1050, Caracas D.F.
Venezuela

Suporte Gold 0800-1-00-2543
Colombia
Carrera 18# 86A-14
Oficina 407, Bogotá D.C.
Colombia

Brasil
Symantec Brasil
Market Place Tower
Av. Dr. Chucri Zaidan, 920
12° andar
São Paulo - SP
CEP: 04583-904
Brasil
Fax +55 (11) 5189-6210
Website http://www.service.symantec.com/br
Suporte Gold 000814-550-4172
Chile
Alfredo Barros Errazuriz 1954
Oficina 1403
Providencia,
Santiago de Chile
Chile
México
Boulevard Adolfo Ruiz Cortines 3642 Piso 8,
Colonia Jardines del Pedregal,
01900, México D.F.
México
Suporte Gold 001880-232-4615
Resto da América Latina

9155 South Dadeland Blvd.
Suite 1100,
Miami, FL 33156
U.S.A
Suporte Gold Costa Rica 800-242-9445
Panama 800-234-4856
Puerto Rico 800-232-4615
Para o Pacífico Asiático

A Symantec fornece Serviço de Atendimento ao Cliente e Suporte Técnico em
todo o mundo. Os serviços podem variar de acordo com o país e inclui parceiros
internacionais que representam a Symantec em regiões onde não existem
escritórios regionais. Para obter informações gerais, contate o escritório de
serviço e suporte da Symantec na sua região.
Escritórios de serviços e suporte

AUSTRÁLIA
Symantec Australia
Level 2, 1 Julius Avenue
North Ryde, NSW 2113
Austrália
Telefone principal +61 2 8879 1000

Fax +61 2 8879 1001
Website http://service.symantec.com
Suporte Gold 1800 805 834 gold.au@symantec.com

Admin. dos contratos 1800 808 089 contractsadmin@symantec.com
de suporte
CHINA
Symantec China
Unit 1-4, Level 11
Tower E3, The Towers, Oriental Plaza. No.1 East Chang An Ave.
Dong Cheng District
Beijing 100738
China P.R.C.

Suporte técnico +86 10 8518 6923
Fax +86 10 8518 6928
Website http://www.symantec.com.cn
HONG KONG
Symantec Hong Kong
Central Plaza
Suite #3006
30th Floor, 18 Harbour Road
Wanchai
Hong Kong
Telefone principal +852 2528 6206

Suporte técnico +852 2528 6206
Fax +852 2526 2646
Website http://www.symantec.com.hk
ÍNDIA
Symantec India
Suite #801
Senteck Centrako
MMTC Building
Bandra Kurla Complex
Bandra (East)
Mumbai 400051, Índia
Telefone principal +91 22.652 0658
Fax +91 22 652 0671
Website http://www.symantec.com/india
Suporte técnico: +91 22 657 0669
CORÉIA
Symantec Korea
15,16th Floor
Dukmyung B/D
170-9 Samsung-Dong
KangNam-Gu
Seoul 135-741
Coréia do Sul

Fax +822 3452 1610
Website http://www.symantec.co.kr
MALÁSIA
Symantec Corporation (Malaysia) Sdn Bhd
31-3A Jalan SS23/15
Taman S.E.A.
47400 Petaling Jaya
Selangor Darul Ehsan
Malásia

Fax +603 7804 9280
E-mail corporativo gold.apac@symantec.com
Corporativo gratuito +1800 805 104
Website http://www.symantec.com.my
NOVA ZELÂNDIA
Symantec New Zealand
Level 5, University of Otago Building
385 Queen Street
Auckland Central 1001
Nova Zelândia
Telefone principal +64 9.375 4100

Fax +64 9.375 4101
Website de suporte http://service.symantec.co.nz
Suporte Gold 0800 174 045 gold.nz@symantec.com

Admin. dos contratos
de suporte 0800 445 450 contractsadmin@symantec.com
CINGAPURA
Symantec Singapore
3 Phillip Street
#17-00 & #19-00 Commerce Point
Cingapura 048693
Fax +65 6239 2001
Website http://www.symantec.com.sg
FORMOSA
Symantec Taiwan
2F-7, No.188 Sec.5
Nanjing E. Rd.,
105 Taipei
Formosa

Suporte corporativo +886 2 8761 5800
Fax +886 2 2742 2838
Website http://www.symantec.com.tw
O máximo esforço foi feito para garantir que este documento esteja correto.
Porém, as informações aqui contidas estão sujeitas a alterações sem aviso
prévio. A Symantec Corporation se reserva o direito de tais alterações sem
nenhum aviso prévio.

BP SGS300AdminGuide PDF

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

BP SGS300AdminGuide PDF

Hochgeladen von

Copyright:

Verfügbare Formate

Guia do Administrador do

Capítulo 1 Introdução ao Symantec Gateway Security 300

Capítulo 2 Administrando o gateway de segurança

Capítulo 3 Configurando uma conexão com a rede externa

Definindo configurações avançadas de WAN/ISP .......................................... 50

Capítulo 4 Configurando conexões internas

Capítulo 5 Controle de tráfego de rede

Capítulo 6 Estabelecendo conexões VPN seguras

Identificando usuários ........................................................................................ 86

Capítulo 7 Controle avançado de tráfego de rede

Capítulo 8 Evitando ataques

Capítulo 9 Registro, monitoração e atualizações

Apêndice A Compatibilidade com padrões regulamentares

Apêndice B Solucionando problemas

Apêndice D Descrições de campos

Descrições dos campos da guia SNMP ....................................................168

■ Onde obter mais informações

Todos os modelos do Symantec Gateway Security 300 podem ser usados em

Onde obter mais informações

■ Acessando a Security Gateway Management Interface

■ Gerenciando o acesso administrativo

■ Gerenciando o gateway de segurança usando o console serial

Acessando a Security Gateway Management

Os itens do Menu Principal estão sempre localizados no lado esquerdo da janela.

Figura 2-1 Security Gateway Management Console

Botões de comando Conteúdo do painel direito

Use um dos seguintes navegadores suportados da Web para conectar-se à SGMI:

A interface exibida quando você se conecta à SGMI pode variar um pouco de

Tabela 2-1 Interfaces por modelo

Modelo Número de portas Número de portas Número de portas

Para conectar-se à SGMI

Gerenciando o acesso administrativo

Definindo a senha de administração

Nota: Altere a senha de administração regularmente para manter um alto nível

Para definir a senha de administração

Aviso: Quando você define a senha manualmente pressionando o botão de

Consulte "Descrições dos campos da guia Gerenciamento básico" na página 168.

Para configurar uma senha

Para redefinir a senha manualmente

Configurando o gerenciamento remoto

Nota: Por motivos de segurança, você deve executar todo o gerenciamento

A Figura 2-2 mostra uma configuração de gerenciamento remoto.

Figura 2-2 Gerenciamento remoto

Para configurar o gerenciamento remoto, especifique um endereço IP de início

Para configurar o gerenciamento remoto

Gerenciando o gateway de segurança usando o

Para gerenciar o gateway de segurança usando o console serial

Baud (Bits por segundo) 9600

Controle de fluxo Nenhuma

9 Após a conexão do terminal ao equipamento, no painel posterior do

Endereço IP local Digite 1 para alterar o endereço IP do equipamento.

Máscara de rede local Digite 2 para alterar a máscara de rede do equipamento.

Servidor DHCP Digite 3 para ativar ou desativar o recurso de servidor DHCP

Endereço IP de início Digite 4 para inserir o primeiro endereço IP no intervalo que o

Endereço IP de fim Digite 5 para inserir o último endereço IP no intervalo que o

Restaurar padrões Digite 6 para restaurar as configurações padrão do

11 Se você estiver alterando o endereço IP local, máscara de rede local,

■ Conceitos básicos sobre os tipos de conexão

■ Definindo configurações de conexão avançadas

■ Configurando o DNS dinâmico

■ Definindo configurações avançadas de WAN/ISP

Aviso: Após reconfigurar as conexões WAN e reiniciar o equipamento, o tráfego

Após estabelecer a conectividade básica, é possível definir configurações