Você está na página 1de 1513

Guia do Administrador do

SonicOS 6.2

| 1
Observaes, Cuidados e Avisos

OBSERVAO: indica informaes importantes que ajudam voc a utilizar melhor seu
sistema.

CUIDADO: indica risco de dano ao hardware ou perda de dados se as instrues no forem


seguidas.

AVISO: indica risco de dano a propriedades, ferimentos ou morte.

2014 Dell Inc.


Marcas comerciais: Dell, o logotipo da DELL, SonicWALL e todos os outros nomes de produtos e
servios da SonicWALL e slogans so marcas comerciais da Dell Inc.

Microsoft Windows 7, Windows Server 2010, Internet Explorer e Active Directory so marcas comerciais ou
registradas da Microsoft Corporation.

eDirectory e NetWare so marcas registradas da Novell, Inc.

Adobe, Acrobat e Acrobat Reader so marcas comerciais ou marcas comerciais registradas da Adobe
Systems Incorporated nos EUA e/ou em outros pases.

Outros nomes de produtos e empresas aqui mencionados podem ser marcas comerciais e/ou marcas
comerciais registradas de suas respectivas empresas e so de propriedade exclusiva dos respectivos
fabricantes.

2014 10 P/N 232-002597-00_Rev A

2 | Guia do Administrador do SonicOS 6.2


Sumrio

Parte 1. Introduo
Prefcio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
Aviso de direitos autorais . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
Garantia limitada . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
Sobre este guia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
Organizao deste guia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
Convenes do guia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
Suporte tcnico da Dell SonicWALL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
Mais informaes sobre os produtos Dell SonicWALL . . . . . . . . . . . . . . . . . . . . 36
Documentao atual . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
Captulo 1. Introduo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
Introduo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
Registrando o dispositivo de segurana da Dell SonicWALL . . . . . . . . . . . . . . . 37
Interface de gerenciamento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40

Parte 2. Painel
Captulo 2. Usando o Painel de visualizao do SonicOS . . . . . . . . . . . . . . . . . . . . 49
Painel de visualizao. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
Painel > Monitor multi-core . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
Habilitando o monitor em tempo real e coleta de AppFlow. . . . . . . . . . . . . . . . . 50
Painel > Monitor em tempo real . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
Usando a barra de ferramentas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
Monitor de aplicativos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
Fluxo de largura de banda de ingresso e de egresso. . . . . . . . . . . . . . . . . . . . . 58
Monitor de taxa de pacote. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
Monitor de tamanho de pacotes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
Monitor de contagem de conexes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
Fluxo de monitor de vrios ncleos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
Monitor em tempo real do IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
Painel > Trao AppFlow . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
Painel > Monitor AppFlow . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
Opes de filtro . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65

Sumrio | 3
Guias Monitor AppFlow . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
Barra de ferramentas de Monitor AppFlow . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
Opes de grupo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
Status do Monitor AppFlow . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
Exibies de Monitor AppFlow . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
Usando opes de filtragem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71
Gerando relatrio de visualizao de aplicativo . . . . . . . . . . . . . . . . . . . . . . . . . 72
Monitor do IPv6 no App Flow . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74
Painel > Relatrios AppFlow . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
Baixando assinaturas de servios de segurana da Dell SonicWALL . . . . . . . . 76
Exibindo relatrios AppFlow desde o momento do reincio. . . . . . . . . . . . . . . . . 76
Exibindo relatrios AppFlow desde o momento da ltima redefinio . . . . . . . . 76
Exibindo relatrios AppFlow na programao. . . . . . . . . . . . . . . . . . . . . . . . . . . 76
Painel > Relatrios de ameaas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78
Viso geral de relatrios de ameaas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78
Tarefas de configurao dos relatrios de ameaas. . . . . . . . . . . . . . . . . . . . . . 80
Painel > Monitor de usurio. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
Painel > Monitor BWM. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82
Painel > Monitor de conexes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82
Exibindo conexes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83
Filtrando conexes exibidas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83
Monitor de conexes do IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84
Painel > Monitor de pacotes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84
Usando o monitor de pacotes e o espelho de pacotes . . . . . . . . . . . . . . . . . . . 84
Painel > Monitor de log . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89

Parte 3. Sistema
Captulo 3. Exibindo informaes de status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
Sistema > Status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
Mensagens do sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94
Informaes do sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94
ltimos alertas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
Servios de segurana . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
Interfaces de rede . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96
Captulo 4. Gerenciando licenas da Dell SonicWALL . . . . . . . . . . . . . . . . . . . . . . . 97
Sistema > Licenas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
Status da licena de ns . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98
Resumo dos servios de segurana . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98
Gerenciar servios de segurana online . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
Atualizao manual . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100
Atualizao manual para ambientes fechados . . . . . . . . . . . . . . . . . . . . . . . . . 100

4 | Guia do Administrador do SonicOS 6.2


Captulo 5. Definindo as configuraes de administrao . . . . . . . . . . . . . . . . . . 103
Sistema > Administrao. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
Nome do firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104
Nome e senha do administrador . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104
Configuraes de segurana de login . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
Vrios administradores . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106
Configuraes de Gerenciamento da Web . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
Verificao de certificado de cliente com carto de acesso comum . . . . . . . . . 108
Configuraes de gerenciamento SSH . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112
Gerenciamento avanado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112
URL de download . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116
Seleo de idioma a UI: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116
Captulo 6. Gerenciando Certificados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
Sistema > Certificados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
Viso geral de certificados digitais . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
Certificados e solicitaes de certificados. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118
Detalhes do certificado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119
Importando certificados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119
Excluindo um certificado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121
Gerando uma solicitao de assinatura de certificado . . . . . . . . . . . . . . . . . . . 121
Configurando o protocolo de registro de certificado simples. . . . . . . . . . . . . . . 123
Criptografia do Suite B . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124
Captulo 7. Configurando definies de Hora . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
Sistema > Hora . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
Hora do sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128
Configuraes de NTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128
Captulo 8. Definindo programaes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129
Sistema > Programaes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129
Adicionando uma programao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131
Excluindo Programaes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132
Captulo 9. Gerenciando firmware de dispositivo de segurana da
Dell SonicWALL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133
Sistema > Configuraes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133
Configuraes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134
Gerenciamento de firmware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135
Atualizao automtica do firmware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137
FIPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137
NDPP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138
Captulo 10. Usando o Monitor de pacotes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141
Sistema > Monitor de pacotes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141
Viso geral do Monitor de pacotes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141

| 5
Configurando o Monitor de pacotes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144
Verificando as atividades do Monitor de pacotes . . . . . . . . . . . . . . . . . . . . . . . 155
Informaes relacionadas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158
Captulo 11. Usando ferramentas de diagnstico . . . . . . . . . . . . . . . . . . . . . . . . . 163
Sistema > Diagnsticos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163
Relatrio do suporte tcnico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164
Ferramentas de diagnstico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165
Verificar configuraes de rede. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166
Monitor de conexes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167
Monitor multi-core . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169
Monitor central. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170
Monitor de link . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171
Monitor de tamanho de pacotes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172
Pesquisa de nome DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173
Pesquisa de nome DNS do IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173
Encontrar caminho de rede . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174
Ping . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174
Monitor do processo do ncleo 0 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175
Pesquisa de lista negra em tempo real . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176
Resoluo de nome reversa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176
Resoluo de nome reverso do IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176
Limite de conexo TopX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177
Verificar a pesquisa de servidor de BOTNET e localizao geogrfica . . . . . . 177
Pesquisa de MX e verificao de faixa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177
Rota de rastreamento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178
Monitor de servidor web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179
Monitor de usurios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 180
Sistema > Reiniciar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181

Parte 4. Rede
Captulo 12. Configurar interfaces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185
Rede > Interfaces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185
Configuraes de interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 186
Estatsticas de trfego de interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 186
Interfaces fsicas e virtuais . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 187
Objetos seguros do SonicOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189
Modo transparente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 190
Modo de sniffer IPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 190
Configurar interfaces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 193
Configurar o modo de sniffer IPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210
Configurar o modo de cabo e de tap . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 214
Modo de cabo com agregao de links. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 217

6 | Guia do Administrador do SonicOS 6.2


Modo de ponte de camada 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219
Configurar modo de ponte de camada 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 240
Configurando interfaces para o IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249
Captulo 13. Configurando Interfaces do PortShield . . . . . . . . . . . . . . . . . . . . . . . 251
Rede > Grupos do PortShield . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 251
Modo esttico e Modo transparente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 252
Configurando grupos do PortShield . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 253
Captulo 14. Configurar failover e balanceamento de carga . . . . . . . . . . . . . . . . . 255
Rede > Failover e balanceamento de carga . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255
Failover e Balanceamento de carga . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255
Estatsticas de balanceamento de carga. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 259
Vrias WAN (MWAN) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 259
Captulo 15. Configurar zonas de rede . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263
Rede > Zonas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263
Como funcionam as zonas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 264
Zonas predefinidas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 265
Tipos de segurana . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 265
Permitir confiana de interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 266
Habilitar servios de segurana SonicWALL em zonas . . . . . . . . . . . . . . . . . . 266
A tabela de configuraes de zona . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267
Adicionar uma nova zona . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 268
Excluir uma zona . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 269
Configurar uma zona para acesso de convidado . . . . . . . . . . . . . . . . . . . . . . . 269
Configurar a zona de WLAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 271
Captulo 16. Definir configuraes de DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 273
Rede > DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 273
DNS e IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 274
Preveno contra ataque de religao de DNS . . . . . . . . . . . . . . . . . . . . . . . . 274
Captulo 17. Configurar objetos de endereos. . . . . . . . . . . . . . . . . . . . . . . . . . . . 275
Rede > Objetos de endereos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 275
Tipos de objetos de endereos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 275
Grupos de objetos de endereos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 276
Criar e gerenciar objetos de endereos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 277
Grupos e objetos de endereos padro . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 278
Adicionar um objeto de endereo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 278
Editar ou excluir um objeto de endereo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 280
Criar objetos de endereos de grupo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 280
Trabalhar com endereos dinmicos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 281
Objetos de endereos e IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 291
Captulo 18. Configurar grupos de servios e objetos de servios de rede . . . . . 293
Rede > Servios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 293

| 7
Viso geral de servios padro . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 294
Lista de tarefas de configurao de servios personalizados . . . . . . . . . . . . . . 294
Captulo 19. Configurar anncios de rota e polticas de rota . . . . . . . . . . . . . . . . 301
Rede > Roteamento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 301
Anncio de rota . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 302
Polticas de rota. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 304
Servios de roteamento avanado OSPF e RIP . . . . . . . . . . . . . . . . . . . . . . . . 309
Configurando os servios de roteamento avanado de RIP e OSPF . . . . . . . . 312
Configurar roteamento avanado do BGP . . . . . . . . . . . . . . . . . . . . . . . . . . . . 320
Roteamento com base em poltica e no IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . 321
Captulo 20. Configurar polticas de NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 323
Rede > Polticas de NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 323
Polticas de NAT e IPv6. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 324
Tabela de polticas de NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 325
Configuraes da poltica de NAT explicadas. . . . . . . . . . . . . . . . . . . . . . . . . . 326
Viso geral do balanceamento de carga de NAT . . . . . . . . . . . . . . . . . . . . . . . 328
Criar polticas de NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 331
Usar balanceamento de carga de NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 340
Captulo 21. Gerenciar trfego de ARP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 343
Rede > ARP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 343
Entradas ARP estticas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 344
Sub-redes secundrias com ARP esttico . . . . . . . . . . . . . . . . . . . . . . . . . . . . 344
Navegar e classificar a tabela de cache de ARP . . . . . . . . . . . . . . . . . . . . . . . 346
Navegar e classificar entradas da tabela de cache de ARP . . . . . . . . . . . . . . . 346
Liberar o cache de ARP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 346
Captulo 22. Configurando o Protocolo de Descoberta do Vizinho . . . . . . . . . . . . 347
Rede > Descoberta do vizinho (Somente IPv6) . . . . . . . . . . . . . . . . . . . . . . . . . . . 347
Captulo 23. Configurar antifalsificao de MAC-IP . . . . . . . . . . . . . . . . . . . . . . . . 349
Rede > Antifalsificao de MAC-IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 349
Viso geral da proteo de antifalsificao de MAC-IP . . . . . . . . . . . . . . . . . . 349
Configurar a proteo de antifalsificao de MAC-IP . . . . . . . . . . . . . . . . . . . . 350
Captulo 24. Configurar o servidor DHCP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 355
Rede > Servidor DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 355
Viso geral das opes do servidor DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . 357
Vrios escopos DHCP por interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 357
Configurar o servidor DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 359
Escopos de concesso de servidor DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . 361
Concesses de DHCP atuais . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 361
Configurar opes avanadas do servidor DHCP. . . . . . . . . . . . . . . . . . . . . . . 361
Configurar o servidor DHCP para intervalos dinmicos . . . . . . . . . . . . . . . . . . 366
Configurar entradas de DHCP estticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 370

8 | Guia do Administrador do SonicOS 6.2


Configurar opes genricas do DHCP para escopos de
concesso de DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 373
Nmeros de opes do DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 374
DHCP e IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 382
Captulo 25. Usar Auxiliar de IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 383
Rede > Auxiliar de IP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 383
Definir configuraes do auxiliar de IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 384
Configurar protocolos de retransmisso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 384
Configurar polticas do auxiliar de IP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 385
Captulo 26. Configurar encaminhamento de proxy da Web . . . . . . . . . . . . . . . . . 389
Rede > Proxy da Web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 389
Configurar o encaminhamento de proxy automtico (somente Web) . . . . . . . . 390
Configurar servidores proxy de usurio. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 391
Captulo 27. Configurar o DNS dinmico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 393
Rede > DNS dinmico. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 393
Provedores de DDNS suportados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 394
Configurar o DNS dinmico. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 394
Tabela de configuraes de DNS dinmico . . . . . . . . . . . . . . . . . . . . . . . . . . . 397
Captulo 28. Configurar o monitoramento de rede . . . . . . . . . . . . . . . . . . . . . . . . . 399
Rede > Monitoramento de rede. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 399
Adicionar uma nova poltica de monitoramento de rede . . . . . . . . . . . . . . . . . . 400
Configurar o roteamento baseado em poltica habilitado por investigao. . . . 402

Parte 5. Comutao
Captulo 29. Configurando a Comutao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 405
Comutao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 405
Viso geral da Comutao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 405
O que a Comutao? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 405
Vantagens da comutao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 406
Como funciona a comutao?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 407
Configurando a Comutao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 408
Configurando o Truncamento de VLAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 408
Configurando a Descoberta da Camada 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 411
Configurando a Agregao de links . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 412
Configurando o Espelhamento de portas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 414
Glossrio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 416

Parte 6. 3G/4G/Modem
Captulo 30. Seleo 3G/4G/Modem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 419
3G/4G/Modem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 419
Selecionar o status 3G/4G/Modem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 420

| 9
Captulo 31. Configurar 3G/4G . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 421
3G/4G . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 421
Viso geral de 3G/4G . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 421
3G/4G > Status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 427
3G/4G > Configuraes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 427
Conectar em dados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 428
Gerenciamento/Login do usurio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 428
3G/4G > Avanado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 429
Discagem acionada remotamente. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 429
Gerenciamento de largura de banda. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 430
Limite de conexo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 430
3G/4G > Perfis de conexo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 431
Guia Parmetros . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 433
Guia endereos IP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 434
Guia Programao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 435
Guia Limite de dados. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 436
Guia Avanado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 437
3G/4G > Uso de dados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 438
Habilitar a interface U0/U1/M0 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 439
Captulo 32. Configurando o modem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 441
Modem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 441
Modem > Status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 441
Modem > Configuraes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 442
Modem > Avanado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 443
Modem > Perfis de conexo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 445

Parte 7. Configuraes
Captulo 33. Gerenciando SonicPoints . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 455
SonicPoint > SonicPoints . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 455
Antes de gerenciar SonicPoints . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 456
Perfis de provisionamento do SonicPoint . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 456
Prticas recomendadas para implantao do SonicPoint . . . . . . . . . . . . . . . . . . . . 474
Pr-requisitos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 474
Comutadores testados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 475
Consideraes de fiao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 475
Canais . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 476
PoE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 477
rvore de abrangncia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 478
VTP e GVRP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 478
Agregao de porta . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 478
Transmisso de otimizao/tempestade de transmisso . . . . . . . . . . . . . . . . . 478
Problemas com VAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 479

10 | Guia do Administrador do SonicOS 6.2


Soluo de problemas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 479
Reconfigurando o SonicPoint . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 480
Dicas de programao do comutador . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 481
Captulo 34. Visualizao do Status da Estao . . . . . . . . . . . . . . . . . . . . . . . . . . 483
SonicPoint > Status da Estao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 483
Captulo 35. Servios de deteco de intruso do SonicPoint . . . . . . . . . . . . . . . 487
SonicPoint > IDS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 487
Verificando ponto de acesso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 489
Pontos de acesso autorizados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 490
Registro de eventos de Servios de deteco de intruso . . . . . . . . . . . . . . . . 491
Captulo 36. Configurando pontos de acesso virtuais . . . . . . . . . . . . . . . . . . . . . . 493
SonicPoint > Ponto de acesso virtual . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 493
Viso geral do SonicPoint VAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 493
Pr-requisitos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 496
Restries de implantao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 497
Lista de tarefas de configurao de AP Virtual do SonicPoint . . . . . . . . . . . . . 497
Pensando de forma crtica sobre VAPs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 509
Configuraes de amostra VAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 512
Captulo 37. Configurar monitoramento por RF . . . . . . . . . . . . . . . . . . . . . . . . . . . 529
Sonic Point > Monitoramento por RF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 529
Compreenso do Monitoramento por radiofrequncia . . . . . . . . . . . . . . . . . . . 529
Configurando o recurso de Monitoramento por RF . . . . . . . . . . . . . . . . . . . . . . 535
Aplicativos de Campo para Monitoramento por RF prticos . . . . . . . . . . . . . . . 538
Captulo 38. Usando a Anlise RF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 541
SonicPoint > Anlise RF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 541
Viso geral de Anlise RF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 541
Usando a Anlise RF em SonicPoint(s) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 542
Captulo 39. SonicPoint FairNet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 547
SonicPoint > FairNet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 547
Compreendendo o SonicPoint FairNet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 547
Configurando o SonicPoint FairNet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 551

Parte 8. Firewall
Captulo 40. Configurar regras de acesso do firewall . . . . . . . . . . . . . . . . . . . . . . 555
Firewall > Regras de acesso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 555
Viso geral de regras de acesso padro de inspeo de pacotes com
monitorao de estado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 556
Viso geral do uso do gerenciamento de largura de banda com
as regras de acesso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 557
Configurando regras de acesso para o IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . 558
Lista de tarefas de configurao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 558

| 11
Captulo 41. Configurando objetos de largura de banda . . . . . . . . . . . . . . . . . . . . 569
Firewall > Objetos de largura de banda . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 569
Gerenciamento avanado da largura de banda . . . . . . . . . . . . . . . . . . . . . . . . 569
Captulo 42. Configurar o Controle de aplicativos . . . . . . . . . . . . . . . . . . . . . . . . . 573
Controle de aplicativos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 573
Viso geral do Controle de aplicativos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 573
Licenciar o Controle de aplicativos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 606
Firewall > Controle de aplicativos avanado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 609
Firewall > Regras de acesso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 619
Configurar uma poltica de regras de aplicativos . . . . . . . . . . . . . . . . . . . . . . . 620
Usar o assistente de Controle de aplicativos . . . . . . . . . . . . . . . . . . . . . . . . . . 624
Firewall > Objetos de correspondncia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 627
Configurar objetos da lista de aplicativos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 630
Firewall > Objetos de ao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 631
Firewall > Objetos de endereos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 632
Firewall > Objetos de servios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 632
Firewall > Objetos de largura de banda . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 633
Firewall > Objetos de endereo de e-mail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 633
Verificar configurao do controle de aplicativos . . . . . . . . . . . . . . . . . . . . . . . 634
Casos de uso do controle de aplicativos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 641
Glossrio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 667

Parte 9. Configuraes de firewall


Captulo 43. Definir configuraes avanadas de firewall . . . . . . . . . . . . . . . . . . . 671
Configuraes de firewall > Avanado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 671
Preveno de deteco. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 672
Portas dinmicas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 672
Pacotes roteados de origem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 673
Conexes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 673
Opes de regras de acesso. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 674
Imposio de soma de verificao de IP e UDP . . . . . . . . . . . . . . . . . . . . . . . . 674
Quadro Jumbo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 674
Configuraes avanadas de IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 675
Captulo 44. Configurar gerenciamento de largura de banda . . . . . . . . . . . . . . . . 677
Configuraes de firewall > BWM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 677
Compreender o gerenciamento de largura de banda . . . . . . . . . . . . . . . . . . . . 678
Configurar a pgina Configuraes de firewall > BWM. . . . . . . . . . . . . . . . . . . 679
Gerenciamento avanado da largura de banda . . . . . . . . . . . . . . . . . . . . . . . . 693
Configurar o gerenciamento de largura de banda avanado . . . . . . . . . . . . . . 697
Atualizar o gerenciamento avanado da largura de banda . . . . . . . . . . . . . . . . 704
Glossrio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 706

12 | Guia do Administrador do SonicOS 6.2


Captulo 45. Configurar proteo contra inundao . . . . . . . . . . . . . . . . . . . . . . . 707
Configuraes de firewall > Proteo contra inundao . . . . . . . . . . . . . . . . . . . . . 707
Configuraes de TCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 708
Mtodos de proteo contra inundao SYN . . . . . . . . . . . . . . . . . . . . . . . . . . 709
Configurar a proteo contra inundao SYN de camada 3 . . . . . . . . . . . . . . . 711
Configurar a proteo contra inundao SYN/RST/FIN de camada 2 -
Lista negra MAC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 713
Proteo contra DDOS de WAN (Inundaes no-TCP) . . . . . . . . . . . . . . . . . 714
Configuraes UDP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 714
Proteo contra inundao UDP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 714
Proteo contra inundao ICMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 714
Estatsticas de trfego . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 715
Captulo 46. Definir configuraes de difuso seletiva do firewall . . . . . . . . . . . . 719
Configuraes de firewall > Difuso seletiva. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 719
Rastreamento de difuso seletiva . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 720
Polticas de difuso seletiva . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 720
Tabela de estados IGMP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 721
Habilitar difuso seletiva em interfaces dedicadas de LAN. . . . . . . . . . . . . . . . 721
Habilitar difuso seletiva atravs de uma VPN . . . . . . . . . . . . . . . . . . . . . . . . . 723
Captulo 47. Gerenciar a Qualidade de Servio . . . . . . . . . . . . . . . . . . . . . . . . . . . 725
Configuraes de firewall > Mapeamento QoS. . . . . . . . . . . . . . . . . . . . . . . . . . . . 725
Classificao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 725
Marcao. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 726
Condicionamento. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 727
QoS 802.1p e DSCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 728
Gerenciamento de largura de banda. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 739
Glossrio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 739
Captulo 48. Configurar o Controle SSL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 743
Configuraes de firewall > Controle SSL. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 743
Viso geral do Controle SSL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 743
Configurao de Controle SSL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 751
Habilitar o Controle de SSL em zonas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 753
Eventos do Controle SSL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 754

Parte 10. DPI-SSL


Captulo 49. Definir configuraes DPI-SSL de cliente . . . . . . . . . . . . . . . . . . . . . 759
DPI-SSL > SSL do cliente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 759
Viso geral de DPI-SSL. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 759
Configurar o DPI-SSL do cliente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 760
Captulo 50. Definir configuraes DPI-SSL do servidor . . . . . . . . . . . . . . . . . . . . 765
DPI-SSL > SSL do servidor. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 765
Viso geral de DPI-SSL. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 765

| 13
Definir configuraes DPI-SSL do servidor . . . . . . . . . . . . . . . . . . . . . . . . . . . . 766

Parte 11. VoIP


Captulo 51. Configurando o suporte de VoIP . . . . . . . . . . . . . . . . . . . . . . . . . . . . 773
VoIP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 773
Viso geral de VoIP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 773
O que VoIP? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 773
Segurana VoIP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 774
Protocolos de VoIP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 775
Recursos de VoIP da SonicWALL. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 776
Configuraes de VoIP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 783
Configurando recursos de VoIP da SonicWALL . . . . . . . . . . . . . . . . . . . . . . . . 783
Status de chamada VoIP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 791

Parte 12. Anti-spam


Captulo 52. Configurar o anti-spam. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 795
Anti-spam . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 795
Viso geral do anti-spam. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 795
O que anti-spam? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 796
Benefcios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 796
Como funciona o servio anti-spam? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 797
Adquirir uma licena de anti-spam . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 801
Anti-spam > Status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 802
Anti-spam > Configuraes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 803
Configurar o anti-spam do UTM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 804
Anti-spam > Estatsticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 807
Anti-spam > Filtro de lista negra em tempo real . . . . . . . . . . . . . . . . . . . . . . . . . . . 807
Anti-spam > Viso da caixa de lixo eletrnico. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 811
Anti-Spam > Configuraes da caixa de lixo eletrnico . . . . . . . . . . . . . . . . . . . . . 813
Anti-spam > Resumo de lixo eletrnico. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 814
Anti-spam > Configurao de exibio do usurio . . . . . . . . . . . . . . . . . . . . . . . . . 816
Anti-Spam > Catlogos de endereos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 817
Anti-spam > Gerenciar usurios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 819
Anti-Spam > Configurao LDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 820
Anti-spam > Avanado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 824
Anti-spam > Downloads . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 825

Parte 13. VPN


Captulo 53. Configurando polticas de VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 829
VPN > Configuraes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 829
Viso geral sobre VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 829
Configurando VPNs no SonicOS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 833

14 | Guia do Administrador do SonicOS 6.2


Configurando VPNs para o IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 836
Configurando polticas do GroupVPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 838
Configuraes VPN site a site. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 845
Criando polticas de VPN site a site . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 846
VPN baseado em Rota . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 859
Usando a VPN baseada em Rota . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 859
Adicionando uma Interface de tnel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 859
Criando uma rota esttica para a Interface de tnel . . . . . . . . . . . . . . . . . . . . . 860
Entradas de rota para diferentes segmentos de rede . . . . . . . . . . . . . . . . . . . . 861
Rotas estticas redundantes para uma rede. . . . . . . . . . . . . . . . . . . . . . . . . . . 861
Interface de tnel solta . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 861
Controle de regra de acesso VPN adicionada automaticamente . . . . . . . . . . . 862
Captulo 54. Definindo configuraes avanadas de VPN . . . . . . . . . . . . . . . . . . . 865
VPN > Avanado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 865
Definindo configuraes avanadas de VPN . . . . . . . . . . . . . . . . . . . . . . . . . . 866
Usando o OCSP com dispositivos de segurana de rede da
Dell SonicWALL. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 868
Captulo 55. Configurando o DHCP sobre VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . 871
VPN > DHCP sobre VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 871
Modo de retransmisso de DHCP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 871
Configurando o gateway central para DHCP sobre VPN . . . . . . . . . . . . . . . . . 872
Configurando o gateway remoto DHCP sobre VPN . . . . . . . . . . . . . . . . . . . . . 872
Concesses atuais de DHCP sobre VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 875
Captulo 56. Configurando servidores L2TP e Acesso de cliente de VPN . . . . . . . 877
VPN > Servidor L2TP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 877
Configurando o servidor L2TP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 878
Exibindo atualmente sesses L2TP ativas . . . . . . . . . . . . . . . . . . . . . . . . . . . . 880
Configurando o acesso de cliente de VPN L2TP do Microsoft Windows . . . . . 880
Configurando o acesso de cliente VPN L2TP do Google Android . . . . . . . . . . 882

Parte 14. SSL VPN


Captulo 57. Configurao SSL VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 887
SSL VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 887
SSL VPN NetExtender Viso geral . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 888
Configurao de Usurios para Acesso SSL VPN . . . . . . . . . . . . . . . . . . . . . . 890
SSL VPN > Status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 892
SSL VPN > Configuraes do Servidor. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 893
SSL VPN > Configuraes do Portal. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 894
SSL VPN > Configuraes do Cliente. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 896
SSL VPN > Rotas de clientes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 899
SSL VPN > Virtual Office. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 901
Acesso ao Portal SSL VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 901

| 15
Uso do NetExtender . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 901
Configurao de Marcadores SSL VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 927
Uso de Marcadores SSL VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 931

Parte 15. Virtual Assist


Captulo 58. Configurando o Virtual Assist . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 941
Virtual Assist . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 941
Viso geral do Virtual Assist . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 941
Virtual Assist > Status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 941
Virtual Assist > Configuraes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 942
Usando o Virtual Assist . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 945

Parte 16. Gerenciamento de usurio


Captulo 59. Gerenciando configuraes de usurios e de autenticao . . . . . . . 951
Gerenciamento de usurios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 951
Introduo ao Gerenciamento de usurios . . . . . . . . . . . . . . . . . . . . . . . . . . . . 951
Exibindo o status em Usurios > Status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 973
Definindo as configuraes em Usurios > Configuraes. . . . . . . . . . . . . . . . 973
Configurando os Usurios locais. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 983
Configurando Grupos locais . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 988
Configurando a autenticao RADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 993
Configurando a integrao do LDAP no SonicOS. . . . . . . . . . . . . . . . . . . . . . . 999
Configurandoo Login nico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1013
Configurando o Suporte para mltiplos administradores . . . . . . . . . . . . . . . . 1068
Captulo 60. Gerenciando servios para convidados
e contas de convidados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1075
Usurios > Servios de convidados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1075
Configuraes de convidados globais. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1076
Perfis de convidados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1076
Usurios > Contas de convidados. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1077
Exibindo estatsticas de conta de convidado. . . . . . . . . . . . . . . . . . . . . . . . . . 1078
Adicionando contas de convidados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1078
Habilitando contas de convidados. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1081
Habilitando Expurgar automaticamente para contas de convidados . . . . . . . 1081
Imprimindo detalhes da conta . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1082
Usurios > Status de convidados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1082
Efetuando login nas contas fora do dispositivo . . . . . . . . . . . . . . . . . . . . . . . . 1083

Parte 17. Alta disponibilidade


Captulo 61. Configurar a Alta disponibilidade . . . . . . . . . . . . . . . . . . . . . . . . . . 1087
Alta disponibilidade . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1087
Viso geral da Alta disponibilidade . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1087

16 | Guia do Administrador do SonicOS 6.2


Modos de Alta disponibilidade. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1088
Viso geral de AD ativa/em espera . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1092
Viso geral da Sincronizao estvel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1093
Viso geral de AD de DPI ativa/ativa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1095
Pr-requisitos de DPI ativa/em espera e ativa/ativa . . . . . . . . . . . . . . . . . . . . 1095
Conectando fisicamente seus dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . 1096
Registrar e associar dispositivos no MySonicWALL . . . . . . . . . . . . . . . . . . . . 1097
Licenciar recursos de alta disponibilidade. . . . . . . . . . . . . . . . . . . . . . . . . . . . 1098
Alta disponibilidade > Status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1101
Status de alta disponibilidade ativa/em espera . . . . . . . . . . . . . . . . . . . . . . . . 1101
Status de alta disponibilidade ativa/ativa. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1104
Alta disponibilidade > Configuraes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1104
Definir configuraes de alta disponibilidade ativa/em espera . . . . . . . . . . . . 1105
Definir configuraes de alta disponibilidade de DPI ativa/ativa . . . . . . . . . . . 1107
Alta disponibilidade > Avanado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1109
Configurar Alta disponibilidade > Avanado . . . . . . . . . . . . . . . . . . . . . . . . . . 1110
Alta disponibilidade > Monitoramento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1111
Monitoramento de alta disponibilidade ativa/em espera . . . . . . . . . . . . . . . . . 1112
Clustering ativo/ativo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1114
Viso geral do Clustering ativo/ativo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1114
Configurar o Clustering ativo/ativo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1129
Verificar a configurao de Clustering ativo/ativo . . . . . . . . . . . . . . . . . . . . . . 1139
Monitoramento da Alta disponibilidade do IPv6 . . . . . . . . . . . . . . . . . . . . . . . 1142
Definindo configuraes da interface e DHCP de rede. . . . . . . . . . . . . . . . . . 1143
Malha completa de clustering ativo/ativo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1148

Parte 18. Servios de segurana


Captulo 62. Gerenciando Servios de segurana do SonicWALL . . . . . . . . . . . 1157
Servios de segurana do SonicWALL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1157
Resumo dos servios de segurana . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1158
Gerenciando servios de segurana online . . . . . . . . . . . . . . . . . . . . . . . . . . 1159
Configurando Servios de segurana . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1160
Ativando servios de segurana . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1163
Captulo 63. Configurando o Content Filtering Service . . . . . . . . . . . . . . . . . . . . 1165
Servios de segurana > Filtro de contedo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1165
Implementao do SonicWALL CFS com Regras de aplicativo . . . . . . . . . . . 1166
Servio de filtragem de contedo de herana . . . . . . . . . . . . . . . . . . . . . . . . . 1167
Viso geral de Gerenciamento de Poltica CFS 3.0 . . . . . . . . . . . . . . . . . . . . 1167
Exemplos de configurao do CFS 3.0 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1170
Exemplos de filtragem de contedo de herana . . . . . . . . . . . . . . . . . . . . . . . 1175
Configurando as propriedades de filtro do SonicWALL herdado . . . . . . . . . . 1179
Configurando a filtragem de contedo Websense Enterprise . . . . . . . . . . . . . 1189

| 17
YouTube for School no suporte de filtragem de contedo . . . . . . . . . . . . . . . 1190
Captulo 64. Ativando o SonicWALL Client Anti-Virus . . . . . . . . . . . . . . . . . . . . . 1199
Servios de segurana > Antivrus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1199
Ativando o cliente antivrus do SonicWALL. . . . . . . . . . . . . . . . . . . . . . . . . . . 1199
Ativando uma AVALIAO GRATUITA do SonicWALL Client Anti-Virus . . . 1200
Configurando o servio do Client Anti-Virus . . . . . . . . . . . . . . . . . . . . . . . . . . 1201
Captulo 65. Configurao de Imposio do CF do cliente . . . . . . . . . . . . . . . . . 1203
Servios de segurana > Imposio do CF do cliente . . . . . . . . . . . . . . . . . . . . . 1203
Habilitao e configurao da Client CF Enforcement . . . . . . . . . . . . . . . . . . 1204
Habilitao do CFS do cliente em zonas da rede . . . . . . . . . . . . . . . . . . . . . . 1206
Captulo 66. Gerenciamento de Gateway do SonicWALL
Servio de antivrus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1209
Servios de segurana > Antivrus do Gateway . . . . . . . . . . . . . . . . . . . . . . . . . . 1209
Abordagem em vrias camadas do SonicWALL GAV . . . . . . . . . . . . . . . . . . 1210
Downloads de arquivo HTTP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1211
Arquitetura do SonicWALL GAV . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1212
Criando uma conta no mysonicwall.com . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1214
Registrando seu dispositivo de segurana de rede Dell SonicWALL . . . . . . . 1215
Ativando a licena do Gateway Anti-Virus, Anti-spyware e IPS . . . . . . . . . . . 1215
Ativando AVALIAES GRATUITAS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1217
Configurando a proteo SonicWALL Gateway Anti-Virus . . . . . . . . . . . . . . . 1217
Ativando o SonicWALL GAV . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1218
Aplicando a proteo SonicWALL GAV em interfaces . . . . . . . . . . . . . . . . . . 1218
Aplicando a proteo SonicWALL GAV em zonas . . . . . . . . . . . . . . . . . . . . . 1218
Visualizando informaes de status do SonicWALL GAV. . . . . . . . . . . . . . . . 1219
Atualizando assinaturas do GAV do SonicWALL . . . . . . . . . . . . . . . . . . . . . . 1220
Especificando filtragem de protocolo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1220
Habilitando inspeo de entrada . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1221
Habilitando a inspeo de sada . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1221
Restringindo transferncia de arquivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1222
Definindo as configuraes do gateway AV . . . . . . . . . . . . . . . . . . . . . . . . . . 1223
Configurando notificao sem cliente HTTP . . . . . . . . . . . . . . . . . . . . . . . . . . 1223
Configurando uma lista de excluso de SonicWALL GAV . . . . . . . . . . . . . . . 1224
Banco de dados do antivrus na nuvem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1224
Exibindo assinaturas do GAV do SonicWALL . . . . . . . . . . . . . . . . . . . . . . . . . 1225
Captulo 67. Ativando o Intrusion Prevention Service . . . . . . . . . . . . . . . . . . . . . 1229
Servios de Segurana > Intrusion Prevention Service . . . . . . . . . . . . . . . . . . . . 1229
Viso geral do Servio de preveno contra invases . . . . . . . . . . . . . . . . . . 1229
Configurando o Servio de preveno contra invases . . . . . . . . . . . . . . . . . 1237
Captulo 68. Ativando o servio anti-spyware . . . . . . . . . . . . . . . . . . . . . . . . . . . 1247
Servios de segurana > Anti-spyware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1247

18 | Guia do Administrador do SonicOS 6.2


Viso geral do anti-Spyware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1247
Ativao do SonicWALL Gateway Antivirus, Antispyware e IPS. . . . . . . . . . . 1248
Criando uma conta no mysonicwall.com . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1249
Registro de seu dispositivo de segurana de rede Dell SonicWALL. . . . . . . . 1250
Ativao de AVALIAES GRATUITAS . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1251
Ativao da licena do Gateway Anti-Virus, Anti-Spyware e IPS . . . . . . . . . . 1251
Ativao da proteo do servio anti-spyware . . . . . . . . . . . . . . . . . . . . . . . . 1253
Captulo 69. Configurando o SonicWALLLista negra em tempo real . . . . . . . . . . 1263
Filtragem de lista negra em tempo real . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1263
Captulo 70. Configurando os filtros de Geo-IP e Botnet . . . . . . . . . . . . . . . . . . . 1265
Servios de segurana > Filtro Geo-IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1265
Objeto de excluso de Geo-IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1267
Configuraes da pgina de bloqueio da Web . . . . . . . . . . . . . . . . . . . . . . . . 1267
Diagnsticos de Filtro Geo-IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1268
Servios de segurana > Filtro de botnets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1269
Verificando a localizao geogrfica e o status do servidor de botnet . . . . . . 1270
Objeto de excluso de botnets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1270
Configuraes da pgina de bloqueio da Web . . . . . . . . . . . . . . . . . . . . . . . . 1270
Diagnsticos de Filtro de botnets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1271

Parte 19. Acelerao de WAN


Captulo 71. Acelerao de WAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1275
Viso geral de Acelerao de WAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1275
Acelerao de WAN > Status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1276
Acelerao de WAN > Acelerao de TCP . . . . . . . . . . . . . . . . . . . . . . . . . . . 1277
Acelerao de WAN > acelerao de WFS . . . . . . . . . . . . . . . . . . . . . . . . . . 1277
Acelerao de WAN > Cache da Web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1278
Acelerao de WAN > Sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1279
Acelerao de WAN > Log . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1279

Parte 20. AppFlow


Captulo 72. Configurar o AppFlow . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1283
AppFlow > Relatrios de fluxo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1283
Estatsticas do relatrio de fluxo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1284
Configuraes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1284
Configuraes do servidor AppFlow . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1285
Configuraes do coletor externo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1285
Configuraes de relatrios de conexo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1287
Outras configuraes de relatrios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1288
Informaes de ativao e implantao do NetFlow. . . . . . . . . . . . . . . . . . . . 1288
Tarefas de configurao do usurio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1289
Tabelas do NetFlow. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1293

| 19
Tabelas dinmicas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1294
AppFlow > Servidor GMSFlow . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1299
AppFlow > Servidor AppFlow . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1301
Definir configuraes do servidor AppFlow . . . . . . . . . . . . . . . . . . . . . . . . . . . 1302
Verificar a configurao do servidor AppFlow . . . . . . . . . . . . . . . . . . . . . . . . . 1302
Implantar um servidor AppFlow de coletor externo . . . . . . . . . . . . . . . . . . . . . 1304
Visualizar os monitores de AppFlow a partir de um servidor AppFlow . . . . . . 1305
AppFlow > Monitor em tempo real . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1313
AppFlow > Trao AppFlow . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1314
AppFlow > Monitor de AppFlow . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1314
AppFlow > Relatrios AppFlow . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1314

Parte 21. Registrar


Captulo 73. Gerenciando eventos de log . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1317
Log > Monitoramento de log . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1317
Gerenciamento dos eventos de log. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1318
Funes da tabela do Monitor de log . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1320
Captulo 74. Definindo configuraes de log . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1329
Log > Configuraes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1329
Gravidade/prioridade do log . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1330
Captulo 75. Definir configuraes de syslog . . . . . . . . . . . . . . . . . . . . . . . . . . . 1341
Log > Syslog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1341
Configuraes de syslog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1342
Captulo 76. Configurar automao de log . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1347
Log > Automao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1347
Automao de log de e-mail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1348
Notificao por e-mail da verificao de integridade. . . . . . . . . . . . . . . . . . . . 1348
Configuraes do servidor de e-mail. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1349
Solera Capture Stack . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1350
Captulo 77. Configurar resoluo de nome . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1353
Log > Resoluo de nome . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1353
Selecionar configuraes de resoluo de nome . . . . . . . . . . . . . . . . . . . . . . 1354
Especificar o servidor DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1354
Captulo 78. Gerar relatrios de registros . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1355
Log > Relatrios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1355
Coleta de dados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1356
Visualizar dados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1356
Captulo 79. Configurar o analisador de log . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1357
Log > Analisador de log. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1357

20 | Guia do Administrador do SonicOS 6.2


Parte 22. Anexos
Apndice A. Guia de referncia de CLI . . . . . . . . . . . . . . . . . . . . . . . . . . 1361
Guia de CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1361
Convenes do texto. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1361
Especificao do formato de dados de entrada . . . . . . . . . . . . . . . . . . . . . . . 1362
Especificao de prompts da CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1362
Recursos de edio e concluso. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1362
Hierarquia de comandos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1364
Segurana da configurao. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1364
Senhas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1364
Redefinio de fbrica. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1364
Mtodos de gerenciamento para o dispositivo de segurana de rede
SonicWALL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1364
Iniciar uma sesso de gerenciamento utilizando a CLI . . . . . . . . . . . . . . . . . . 1365
Fazer login na CLI do SonicOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1366
Configurar o dispositivo de segurana de rede Dell SonicWALL . . . . . . . . . . 1366
Exemplo: Configurar uma VPN site a site usando a CLI. . . . . . . . . . . . . . . . . 1370
Apndice B. Roteamento avanado do BGP . . . . . . . . . . . . . . . . . . . . . . 1375
Roteamento avanado do BGP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1375
Viso geral do BGP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1375
Avisos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1382
Configurar o BGP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1383
Verificar a configurao do BGP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1394
BGP IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1397
Termos de BGP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1418
Apndice C. Usar os assistentes de configurao SonicWALL . . . . . . 1419
Assistentes > Assistente de configurao. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1419
Usar o assistente de configurao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1420
Configurar um endereo IP esttico com NAT habilitada . . . . . . . . . . . . . . . . 1420
Iniciar o assistente de configurao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1420
Assistentes > Assistente de servidor pblico . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1425
Assistentes > Assistente de VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1429
Usar o assistente de poltica de VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1430
Conectar os clientes de VPN globais . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1434
Configurar um VPN site a site usando o assistente de VPN. . . . . . . . . . . . . . 1434
Assistentes > Assistente de regras de aplicativos . . . . . . . . . . . . . . . . . . . . . . . . 1439
Apndice D. IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1443
IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1443
Viso geral do recurso. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1443
Configurar o IPv6. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1453

| 21
Visualizao de IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1498
Monitoramento de alta disponibilidade de IPv6. . . . . . . . . . . . . . . . . . . . . . . . 1499
Monitoramento e diagnstico de IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1500

22 | Guia do Administrador do SonicOS 6.2


Parte 1

Introduo

| 23
24 | Guia do Administrador do SonicOS 6.2
Prefcio

Prefcio

Aviso de direitos autorais


2014 Dell SonicWALL, Inc.
Todos os direitos reservados.
Segundo as leis de direitos autorais, este manual ou o software aqui descritos no podem ser
copiados, no seu todo ou em parte, sem autorizao por escrito do fabricante, exceto no uso
normal do software para fazer uma cpia de backup. Os avisos de direitos autorais e de
proprietrio mencionados devem ser includos em todas as cpias autorizadas conforme no
original. Essa exceo no permite que sejam efetuadas cpias para terceiros, sejam elas
vendidas ou no. Porm, todo o material comprado (com todas as cpias de backup) pode ser
vendido, oferecido ou emprestado a terceiros. Segundo a lei, as cpias incluem tambm
tradues para outros idiomas ou formatos.
As especificaes e descries esto sujeitas a atualizao sem aviso prvio.

Garantia limitada
Todos os dispositivos Dell SonicWALL vm com um ano de Garantia Limitada de Hardware,
que fornece entrega de peas de reposio importantes para peas defeituosas na garantia.
Alm disso, para 90 dias a contar da data de incio da garantia, alguns dispositivos Dell
SonicWALL tm direito a uma Garantia Limitada de Software, que fornece correes,
atualizaes e quaisquer verses de manuteno que ocorrerem durante o perodo de
cobertura. Visite a pgina de Informaes de garantia em
http://www.sonicwall.com/us/support/Services.html#tab=warranty
para obter detalhes sobre a garantia do produto.

Prefcio | 25
Sobre este guia
Bem-vindo ao Guia do Administrador do SonicOS 6.2 Este manual fornece as informaes que
voc precisa para ativar, configurar e administrar com xito os dispositivos de segurana de
rede Dell SonicWALL executando o SonicOS 6.2.
NSA 6600
NSA 5600
NSA 4600
NSA 3600
NSA 2600
SuperMassive 9600
SuperMassive 9400
SuperMassive 9200

Organizao deste guia


O Guia do Administrador do SonicOS 6.2 est estruturado nas seguintes partes que seguem
a estrutura de Interface de Gerenciamento na Web do SonicOS. Dentro dessas partes,
captulos individuais correspondem ao layout de interface de gerenciamento do SonicOS.

Parte 1 Introduo
Esta parte fornece uma viso geral dos novos recursos do SonicOS, convenes do guia,
informaes de suporte e uma viso geral da interface de gerenciamento do SonicOS.

Parte 2 Painel
O Painel de visualizao oferece aos administradores uma interface eficaz e eficiente para
monitorar visualmente a rede em tempo real, oferecendo eficientes grficos de fluxo de dados
em tempo real, regras personalizveis e configuraes flexveis de interface.
A parte de Painel contm as seguintes sees:
Monitor Multi-Core Exibe as estatsticas atualizadas dinamicamente da utilizao dos
ncleos individuais do Dispositivo de Segurana da Dell SonicWALL.
Monitor em tempo real Fornece aos administradores uma exibio multifuncional e
inclusiva, com informaes sobre aplicativos, uso de largura de banda, taxa de pacotes,
tamanho de pacote, taxa de conexo, contagem de conexes e monitoramento de vrios
ncleos.
Painel AppFlow Fornece as mesmas informaes fornecidas em Painel > Relatrios
AppFlow. Somente no Painel AppFlow as informaes so mostradas em grficos para o
primeiro de dez itens em cada categoria.
Monitoramento de AppFlow Fornece aos administradores de rede dados em tempo
real de entrada e sada. Vrios modos de exibio e opes personalizveis na Interface
de Monitoramento de AppFlow ajudam a visualizar os dados de trfego por aplicativos,
usurios, URLs, iniciadores, respondentes, ameaas, VoIP, VPN, dispositivos ou por
contedo.
Relatrios de AppFlow Fornece aos administradores relatrios agendados
configurveis por aplicativos, vrus, invases, spyware e classificao de URL. Estatsticas
de Relatrios de AppFlow permitem que os administradores de rede exibam um relatrio
agregado de nvel superior do que est acontecendo em sua rede.

26 | Guia do Administrador do SonicOS 6.2


Relatrios de ameaas Fornece relatrios sobre os dados mais recentes de ameaas
e proteo de um nico dispositivo Dell SonicWALL e dados de proteo de ameaa
agregados de Dispositivos de Segurana da Dell SonicWALL implantados em todo o
mundo.
Monitor de usurio Exibe detalhes de todas as conexes de usurio para o Dispositivo
de Segurana da Dell SonicWALL.
Monitoramento de BWM Exibe o gerenciamento por largura de banda por interface
para trfego de rede de ingresso e egresso. Os grficos de monitor BWM esto disponveis
para configuraes de poltica em tempo real, mais alto, alto, mdio-alto, mdio-baixo,
baixo e mais baixo.
Monitor de usurio Exibe detalhes de todas as conexes ativas para o Dispositivo de
Segurana da Dell SonicWALL.
Monitor de pacote Permite que voc monitore pacotes de dados individuais que
cruzam seu firewall. Os pacotes podem ser monitorados ou espelhados. Os pacotes
monitorados contm informaes de dados e de endereamento.
Monitoramento de log Fornece rastreamento de log de evento para ameaas de
segurana em potencial. O log exibido em uma tabela e pode ser classificado por coluna.
O Dispositivo de Segurana Dell SonicWALL pode alert-lo de eventos importantes, como
um ataque no firewall.

Parte 3 Sistema
Esta parte abrange controles de firewall variados para gerenciamento de informaes de status
do sistema, registro de firewall, ativao e gerenciamento de licenas, configurao de opes
de gerenciamento, gerenciamento de verses de firmware e uso de ferramentas de diagnstico
para soluo de problemas.
A parte de Sistema contm as seguintes sees:
Status Fornece informaes do sistema, como verso de firmware e tempo de atividade
do sistema, status de licena dos servios, mensagens de alerta de lmina por firewall e
atribuies de zona de interface de rede e status do link.
Licenas Descreve como ativar, fazer upgrade ou renovar licenas dos Servios de
segurana Dell SonicWALL. Nessa pgina, voc pode gerenciar todos os Servios de
segurana Dell SonicWALL licenciados para seu Dispositivo de Segurana Dell
SonicWALL.
Administrao Fornece definies para a configurao do Dispositivo de Segurana
da Dell SonicWALL para o gerenciamento remoto e seguro. Voc pode gerenciar o firewall
usando uma variedade de mtodos, incluindo HTTPS, SNMP ou Dell SonicWALL GMS.
Certificados Descreve como implementar o uso de certificados para polticas de VPN
e como localizar fontes para certificados de CA vlidos de servios de autoridade de
certificao de terceiros.
Hora Descreve como definir as configuraes de data e hora para eventos de log de
carimbo de data/hora, como atualizar automaticamente os servios de segurana e como
usar data e hora para outros fins internos.
Cronogramas Descreve como criar e gerenciar objetos para impor horrios de agenda
para uma variedade de recursos de firewall.
Configuraes Descreve como gerenciar as preferncias e verses do SonicOS do seu
firewall.
Monitor de pacote Descreve como monitorar pacotes de dados individuais que cruzam
seu firewall. O recurso de monitoramento de pacote fornece a funcionalidade para
examinar o trfego de rede sem o uso de utilitrios externos.
Diagnstico Fornece vrias ferramentas de diagnsticos que ajudam a solucionar
problemas de rede, bem como Conexes ativas, CPU e Monitores de processos.

| 27
Reiniciar Fornece instrues sobre como reiniciar o firewall a partir da interface de
Gerenciamento da Web.

Parte 4 Rede
Esta parte cobre a configurao do Dispositivo de segurana Dell SonicWALL para o seu
ambiente de rede. A seo de Rede da interface de gerenciamento inclui:
A parte de Rede contm as seguintes sees:
Interfaces Configura interfaces lgicas para conectividade. Configurar objetos de
interface que esto vinculados diretamente a interfaces fsicas. O esquema do SonicOS de
endereamento de interface funciona em conjunto com zonas de rede e objetos de
endereo.
Failover e LB Configura uma das interfaces definidas pelo usurio para agir como uma
porta WAN secundria para backup ou balanceamento de carga.
Zonas Configura zonas de segurana em sua rede.
DNS Define os servidores DNS para a resoluo de nome.
Objetos de endereos Configura host, rede e objetos de endereo. Objetos de
endereos uma das quatro classes de objeto (Endereo, Usurio, Servio e Cronograma)
no SonicOS. Esses Objetos de endereos permitem que entidades sejam definidas uma
vez e novamente sejam usadas em vrias instncias referenciais por toda a interface do
SonicOS.
Servios Configura objetos de servios a serem usados em regras de acesso de rede
para permitir ou negar o trfego para a rede. O Dispositivo de Segurana Dell SonicWALL
inclui os servios Padro. Os servios Padro so servios predefinidos que no so
editveis. E voc tambm pode criar Servios personalizados para configurar os servios
de firewall de forma a atender suas necessidades de negcios especficas.
Roteamento Visualiza a Tabela de Rota, Cache de ARP e configura o roteamento
esttico e dinmico por interface.
Polticas de NAT Cria polticas de NAT incluindo Um-para-um NAT, Muitos-para-um
NAT, Muitos-para-muitos NAT ou Um-para-muitos NAT.
ARP Visualiza as configuraes de ARP, limpa o cache de ARP e configura o tempo de
cache de ARP.
Antifalsificao de MAC-IP Configura a proteo Antifalsificao de MAC-IP no
SonicOS.
Servidor DHCP Configura o firewall como um Servidor DHCP na rede para atribuir
dinamicamente endereos IP a computadores em suas zonas LAN ou DMZ.
Auxiliar de IP Configura o firewall para encaminhar solicitaes DHCP com origem em
interfaces no firewall para um servidor centralizado em nome do cliente solicitante.
Proxy da Web Configura o firewall para encaminhar automaticamente todas as
solicitaes de proxy da Web para um servidor de proxy da rede.
DNS dinmico Configura o firewall para registrar dinamicamente seu endereo IP de
WAN com um provedor DDNS.
Monitoramento de rede Monitora a viabilidade do caminho de rede. Os resultados e
status deste monitoramento so exibidos dinamicamente na pgina de Monitoramento de
rede e so tambm fornecidos para componentes de cliente afetados e registrados no log
do sistema. Cada poltica de Monitoramento de rede personalizada define um destino de
Objeto de endereo a ser analisado. Este Objeto de endereo pode ser um Host, Grupo,
Intervalo ou FQDN. Quando o Objeto de endereo de destino for um Grupo, Intervalo ou
FQDN com vrios endereos resolvidos, o Monitoramento de rede investiga o destino de
investigao e deriva o estado da Poltica de Monitoramento de rede com base nos
resultados.

28 | Guia do Administrador do SonicOS 6.2


Parte 5 SonicPoint
O Dell SonicWALL SonicPoints so pontos de acesso sem fio especialmente projetados para
funcionarem com dispositivos de segurana SonicWALL UTM para fornecer acesso sem fio em
uma empresa.
A parte de SonicPoint contm as seguintes sees:
SonicPoint SonicPoints Descreve como usar o SonicPoints (pontos de acesso sem
fio) com dispositivos de segurana Dell SonicWALL para fornecer acesso sem fio em toda
a empresa e como gerenciar os SonicPoints conectados ao seu sistema.
Status da estao Exibe relatrios das estatsticas de cada SonicPoint.
Servios de deteco de intruso Exibe relatrios sobre todos os pontos de acesso
que podem ser encontrados atravs da varredura de banda de rdio 802.11a, 802.11g e
802.11n no SonicPoints.
Pontos de acesso virtuais Permite que vrios pontos de acesso virtuais existam em
um ponto nico de acesso fsico.
Monitoramento por RF Oferece monitoramento em tempo real do trfego de RF para
ameaas e fornece informaes para ajudar a utilizar melhor a largura de banda sem fio
com SonicPoints.
Anlise de RF Descreve como usar o recurso de Anlise de RF para utilizar melhor a
largura de banda sem fio com os dispositivos SonicPoint e SonicPoint-N.
Fairnet Fornece um mtodo fcil de usar para os administradores de rede controlarem
a largura de banda de clientes sem fio associados e verifica se ela distribuda
uniformemente entre eles. Os administradores podem configurar os limites de largura de
banda do SonicPoint FairNet para todos os clientes sem fio, intervalos de endereo IP
especficos ou clientes individuais para fornecer eficincia justa na rede.

Parte 6 Firewall
Esta parte descreve as Regras de acesso e Regras de aplicativos, que so polticas
especficas de aplicativos que fornecem controle granular sobre o trfego de rede ao nvel dos
usurios, usurios de e-mail, programaes e sub-redes de IP. A funcionalidade principal deste
recurso de camada de aplicativo regular a navegao na Web, a transferncia de arquivos,
as mensagens de e-mail e os anexos de e-mail.
A parte de Firewall contm as seguintes sees:
Regras de acesso
Regras de aplicativos
Controle de aplicativos avanado
Objetos de correspondncia
Objetos de ao
Objetos de endereos
Objetos de servio
Objetos de endereo de e-mail

Parte 7 Configuraes de firewall


Esta parte descreve as ferramentas de gerenciamento de como o Dispositivo de Segurana
Dell SonicWALL trata o trfego atravs do firewall.
A parte de Configuraes de Firewall contm as seguintes sees:
Avanado

| 29
BWM
Proteo contra inundao
Difuso seletiva
Mapeamento QoS
Controle de SSL

Parte 8 DPI-SSL
Esta parte descreve o recurso de Deep Packet Inspection of Secure Socket Layer (DPI-SSL)
para permitir a inspeo de trfego HTTPS criptografado e outro trfego baseado em SSL.
A parte de DPI-SSL contm as seguintes sees:
Cliente SSL O Cliente DPI-SSL usado para inspecionar o trfego HTTPS quando os
clientes na LAN do firewall do Dispositivo de Segurana Dell SonicWALL acessam
contedo localizado na WAN.
Servidor SSL O Servidor DPI-SSL usado para inspecionar o trfego HTTPS quando
clientes remotos estabelecem uma conexo por meio de WAN para acessar o contedo
localizado na LAN do Dispositivo de Segurana da Dell SonicWALL.

Parte 9 VoIP
Esta parte fornece instrues para configurar o Dispositivo de Segurana Dell SonicWALL para
oferecer suporte a conexes H.323 ou SIP Voice over IP (VoIP).
A parte de VoIP contm as seguintes sees:
Configuraes
Status de chamada

Parte 10 Anti-spam
Esta parte fornece um mtodo rpido, eficiente e eficaz de adicionar recursos anti-spam,
anti-phishing e antivrus ao seu firewall existente.
A parte de anti-spam contm as seguintes sees:
Status
Configuraes
Estatsticas
RBLFilter
Resumo da lixeira de e-mail
Exibio da Caixa de Lixo Eletrnico
Configuraes da Caixa de Lixo Eletrnico
Configurao de exibio do usurio
Catlogos de Endereos
Gerenciar Usurios
Configurao LDAP
Avanado
Downloads

30 | Guia do Administrador do SonicOS 6.2


Parte 11 VPN
Esta parte aborda como criar polticas de VPN no Dispositivo de Segurana Dell SonicWALL
para oferecer suporte a Clientes de VPN Globais, alm de criar polticas de VPN site-a-site
para conectar escritrios executando Dispositivos de Segurana Dell SonicWALL.
A parte de VPN contm as seguintes sees:
Configuraes
Avanado
DHCP sobre VPN
Servidor L2TP

Parte 12 SSL VPN


Esta parte descreve como configurar os recursos de SSL VPN no Dispositivo de Segurana
Dell SonicWALL. Os recursos de SSL VPN fornecem acesso remoto seguro e perfeito aos
recursos na rede local usando o cliente NetExtender.
A parte de SSL VPN contm as seguintes sees:
Status
Configuraes do servidor
Configuraes do portal
Configuraes de cliente
Rotas de cliente
Virtual Office

Parte 13 Virtual Assist


Esta parte descreve o recurso Virtual Assist que permite que os usurios ofeream suporte a
problemas tcnicos do cliente sem precisar estar no local com o cliente. Esse recurso atua
como uma enorme economia de tempo para equipe de suporte, ao adicionar flexibilidade em
como possvel responder s necessidades de suporte. Os usurios podem permitir ou
convidar clientes a associarem-se a uma "fila" para receber suporte e, em seguida, auxiliar
virtualmente cada cliente, assumindo o controle remotamente do computador de um cliente
para diagnosticar e corrigir problemas tcnicos.
A parte de Virtual Assist contm as seguintes sees:
Status
Configuraes

Parte 14 Gerenciamento de usurio


Esta parte cobre como configurar o Dispositivo de segurana Dell SonicWALL para
autenticao de nvel de usurio, assim como gerenciar servios de convidados.
A parte de Gerenciamento de usurio contm as seguintes sees:
Status
Configuraes
Usurios locais
Grupos locais
Servios para convidados
Contas de convidados

| 31
Status de convidados

Parte 15 Alta disponibilidade


Esta parte explica como configurar o Dispositivo de Segurana Dell SonicWALL para alta
disponibilidade para que, em caso de uma perda de conectividade de rede, outro Dispositivo
de Segurana Dell SonicWALL retome todas as conexes ativas.
A parte de Alta disponibilidade contm as seguintes sees:
Status
Configuraes
Avanado
Monitoramento

Parte 16 Servios de segurana


Esta parte inclui uma viso geral dos Servios de Segurana Dell SonicWALL disponveis, bem
como instrues para ativar o servio, incluindo avaliaes gratuitas. Esses servios com base
em assinatura incluem o Dell SonicWALL Gateway Anti-Virus, Dell SonicWALL Intrusion
Prevention Service, Dell SonicWALL Content Filtering Service, Dell SonicWALL Client Anti-
-Virus e outros servios.
A parte de Servios de segurana contm as seguintes sees:
Resumo
Filtro de contedo
Imposio de AV cliente
Antivrus do gateway
Preveno de intruso
Anti-Spyware
Filtro RBL
Filtro Geo-IP
Filtro de botnets

Parte 17 Acelerao de WAN


Esta parte fornece uma viso geral do dispositivo da srie Dell SonicWALL WXA, cenrios de
implantao bsicos e avanados e exemplos de configurao e verificao.
A parte de Acelerao de WAN contm as seguintes sees:
Status
Acelerao de TCP
Acelerao de WFS
Sistema
Logs
Configurando a acelerao de WAN

32 | Guia do Administrador do SonicOS 6.2


Parte 18 AppFlow
Esta parte aborda o gerenciamento das estatsticas do relatrio de fluxo do Dispositivo de
Segurana Dell SonicWALL e as definies configurveis para enviar dados do AppFlow e
dados em tempo real para servidores de coleta locais ou externos. O Dispositivo de Segurana
Dell SonicWALL AppFlow oferece suporte para formatos de relatrios AppFlow externos, como
a verso 5 do NetFlow, a verso 9 do NetFlow e IPFIX com extenses.
A parte de AppFlow contm as seguintes sees:
Relatrios de fluxo
Servidor AppFlow
Monitoramento em tempo real
Monitoramento de AppFlow
Relatrios AppFlow

Parte 19 Log
Esta parte cobre o gerenciamento do log, alerta e relatrios aprimorados do Dispositivo de
Segurana Dell SonicWALL. Os recursos de log do Dispositivo de Segurana Dell SonicWALL
oferecem um conjunto abrangente de categorias de log para monitorar as atividades de rede
e de segurana.
A parte de Log contm as seguintes sees:
Visualizao
Categorias
Log do sistema
Automao
Resoluo de nome
Relatrios
Relatrios do

Parte 20 Anexos
Anexo A: CLI
Este apndice aborda a interface de linha de comando (CLI) para o firewall. Fornece uma lista
de comandos CLI, descries de sintaxe e exemplos de configurao.

Anexo B: BGP
Este apndice fornece uma viso geral sobre a implementao do Border Gateway Protocol
(BGP), como funciona e como configur-lo para a sua rede.

Anexo C: Assistentes
Este apndice descreve como usar os Assistentes de Configurao para configurar o
dispositivo de segurana de rede Dell SonicWALL.
A parte de Log contm as seguintes sees:
O Assistente de instalao leva voc passo a passo na configurao de rede para
conectividade com a Internet.
O Assistente de servidor pblico leva voc passo a passo na adio de um servidor
sua rede, como um servidor de e-mail ou um servidor Web.

| 33
O Assistente de poltica de VPN acompanha-o passo a passo na configurao de VPNs
de grupo e VPNs site-a-site.
O Assistente de Regras de aplicativos leva voc passo a passo na criao de Regras
de aplicativo.

Anexo D: IPv6
Este apndice fornece uma viso geral da implementao de IPv6 do SonicOS, de como o IPv6
opera e de como configurar o IPv6 em sua rede.

34 | Guia do Administrador do SonicOS 6.2


Convenes do guia
As seguintes convenes so usadas neste guia:

Conveno Uso
Negrito Destaca itens que voc seleciona na interface de gerenciamento do
firewall.
Itlico Destaca um valor a ser inserido em um campo. Por exemplo, digite
192.168.168.168 no campo Endereo IP.
Item de menu > Item de Menu Indica opes de menu variadas na Interface de Gerenciamento.
Por exemplo, Servios de segurana > Filtro de contedo
significa selecionar Servios de Segurana e, em seguida,
selecionar Filtro de contedo.

cones usados neste manual


Essas mensagens especiais se referem a informaes importantes e incluem um smbolo para
identificao rpida:

NOTA: indica uma informao importante que ajuda voc a fazer melhor uso de seu sistema.

CUIDADO: indica um possvel dano ao hardware ou a perda de dados se as instrues no


forem seguidas.

ADVERTNCIA: indica possveis danos ao equipamento, leses pessoais ou morte.

DICA: fornece informaes teis sobre os recursos de segurana e as configuraes no seu


firewall.

Suporte tcnico da Dell SonicWALL


Para resoluo de problemas em tempo hbil do suporte tcnico, visite a Dell SonicWALL na
Internet em:
http://www.sonicwall.com/us/Support.html
Recursos baseados na Web esto disponveis para ajud-lo a resolver problemas tcnicos
mais importantes. Se voc no conseguir encontrar uma soluo para o seu problema tcnico
on-line, voc pode contatar o suporte tcnico da Dell SonicWALL por telefone. Consulte os
nmeros de telefone listados nas pginas da Web a seguir:
http://www.sonicwall.com/us/support/contact.html
http://www.sonicwall.com/us/company/286.html

| 35
Mais informaes sobre os produtos Dell SonicWALL
Entre em contato com Vendas e Suporte Dell SonicWALL para obter informaes sobre
produtos e servios Dell SonicWALL em:
Telefone e Web: http://www.sonicwall.com/us/company/286.html
E-mail: sales@sonicwall.com

Documentao atual
Verifique o site de documentao da Dell SonicWALL para as verses mais recentes deste
manual e todas as outras documentaes de produtos da Dell SonicWALL.
http://www.sonicwall.com/us/Support.html

36 | Guia do Administrador do SonicOS 6.2


Captulo 1
Introduo

Introduo
Esta seo fornece uma viso geral guiada da interface de gerenciamento do SonicOS.

Registrando o dispositivo de segurana da Dell SonicWALL


Uma vez estabelecida a conexo com a Internet, recomendvel registrar o dispositivo de
segurana da Dell SonicWALL. Registrar o dispositivo de segurana da Dell SonicWALL
oferece os seguintes benefcios:
Tentar uma avaliao gratuita de 30 dias do Dell SonicWALL Intrusion Prevention Service,
do Dell SonicWALL Gateway Anti-Virus, do Content Filtering Service e do Client Anti-Virus
Ativar o Dell SonicWALL Anti-Spam
Ativar upgrades e servios de segurana da Dell SonicWALL
Acessar a atualizaes de firmware do SonicOS
Obter suporte tcnico da Dell SonicWALL

Antes do registro
Se o dispositivo de segurana da Dell SonicWALL no estiver registrado, a seguinte
mensagem ser exibida na pasta Servios de segurana na pasta Sistema > Status na
interface de gerenciamento da Dell SonicWALL: A SonicWALL no est registrada. Clique
aqui para registrar a SonicWALL. necessrio uma conta mysonicwall.com para registrar o
dispositivo de segurana da Dell SonicWALL.
Se o dispositivo de segurana da Dell SonicWALL estiver conectado Internet, ser possvel
criar uma conta mysonicwall.com e registrar seu firewall diretamente da interface de
gerenciamento da Dell SonicWALL. Se voc j possuir uma conta mysonicwall.com, poder
registrar o firewall diretamente na interface de gerenciamento.
A conta mysonicwall.com pode ser acessada de qualquer conexo com a Internet que aponte
seu navegador da web para https://www.mysonicwall.com. mysonicwall.com usa o protocolo
HTTPS (Hypertext Transfer Protocol Secure) para proteger as informaes confidenciais.

Introduo | 37
Nota Certifique-se de que as configuraes Fuso horrio e DNS no firewall estejam corretas ao
registrar o dispositivo.

Nota As informaes de registro de mysonicwall.com no so vendidas ou compartilhadas com


qualquer outra empresa.

Tambm possvel registrar seu dispositivo de segurana no site https://www.mysonicwall.com


usando o Nmero de srie e o Cdigo de autenticao exibidos na seo Servios de
segurana. Clique no link da SonicWALL para acessar a conta mysonicwall.com. Voc
receber um cdigo de registro aps registrar o dispositivo de segurana. Insira o cdigo de
registro no campo abaixo do ttulo Voc receber um cdigo de registro, que dever ser
inserido abaixo de e clique em Atualizar.

Criar uma conta MySonicWALL


Criar uma conta MySonicWALL rpido, simples e gratuito. Simplesmente preencha um
formulrio de registro on-line na interface de gerenciamento da Dell SonicWALL. Para criar
uma conta MySonicWALL da interface de gerenciamento da Dell SonicWALL:

Etapa 1 Na seo Servios de segurana na pgina Sistema > Status, clique no link atualizar o
registro.

Etapa 2 Clique no link Caso no tenha uma conta mysonicwall, clique aqui para criar uma.

Etapa 3 Na pgina Conta MySonicWALL insira suas informaes nos campos Informaes de conta,
Informaes pessoais e Preferncias no formulrio da conta mysonicwall.com. Todos os
campos marcados com um * so os campos obrigatrios.

38 | Guia do Administrador do SonicOS 6.2


Nota Lembre-se do nome de usurio e da senha para acessar a conta mysonicwall.com.

Etapa 4 Clique em Enviar depois de preencher o formulrio Conta MySonicWALL.


Etapa 5 Quando o servidor de mysonicwall.com tiver concludo o processamento da conta, uma pgina
ser exibida confirmando que a conta foi criada. Clique em Continuar.
Etapa 6 Parabns! Sua conta mysonicwall.com est ativada. Agora necessrio fazer logon em
mysonicwall.com a partir do dispositivo de gerenciamento para registrar o dispositivo de
segurana da Dell SonicWALL.

Registrando o dispositivo de segurana da Dell SonicWALL


Se voc j possuir uma conta mysonicwall.com, siga estas etapas para registrar o dispositivo
de segurana:

Etapa 1 Na seo Servios de segurana na pgina Sistema > Status, clique no link registrar em A
SonicWALL no est registrada. Clique aqui para registrar a SonicWALL. A pgina Login
de mysonicwall exibida.
Etapa 2 Na pgina Login de mysonicwall.com, insira o nome de usurio e senha de mysonicwall.com
nos campos Nome do usurio e Senha e clique em Enviar.
Etapa 3 As prximas pginas o informam sobre avaliaes gratuitas disponveis para os servios de
segurana da SonicWALL:
Gateway Anti-Virus - protege sua rede toda contra vrus
Client Anti-Virus - protege os computadores de sua rede contra vrus
Premium Content Filtering Service - protege sua rede e melhora a produtividade,
limitando o acesso a sites improdutivos e inadequados
Intrusion Prevention Service - protege sua rede contra cavalos de Troia, vermes e
ataques na camada de aplicativos
Controle de aplicativos - impe como aplicativos e recursos de largura de banda so
usados na rede
Visualizao de aplicativos - permite que os administradores visualizem o trfego de
aplicativos usando grficos em tempo real e monitores de fluxo
Etapa 4 Clique em Continuar em cada pgina.
Etapa 5 Na parte superior da pgina Pesquisa do produto, insira um nome amigvel para o firewall no
campo Nome amigvel e conclua a pesquisa do produto opcional.
Etapa 6 Clique em Enviar.
Etapa 7 Quando o servidor de mysonicwall.com tiver concludo o processamento do registro, uma
pgina ser exibida, confirmando que o dispositivo de segurana da Dell SonicWALL est
registrado.
Etapa 8 Clique em Continuar. A tabela Gerenciar servios on-line na pgina Sistema > Licenas
exibida.

Introduo | 39
Interface de gerenciamento
O SonicOS fornece uma interface grfica fcil de usar para configurar seu dispositivo de
segurana de rede. As sees a seguir fornecem uma viso geral dos recursos principais da
interface de gerenciamento:
Interface de usurio dinmica na pgina 40
Navegar na interface de gerenciamento na pgina 41
cones comuns na interface de gerenciamento na pgina 41
Barra de status na pgina 42
Aplicar alteraes na pgina 42
Dicas de ferramenta na pgina 42
Navegar em tabelas dinmicas na pgina 44
Obter ajuda na pgina 45
Assistentes na pgina 45
Efetuar logout na pgina 45

Interface de usurio dinmica


As estatsticas de tabela e as entradas de log so atualizadas dinamicamente na interface de
usurio sem exigir que os usurios recarreguem seus navegadores. As conexes ativas,
sesses de usurio, chamadas VoIP e atividades semelhantes podem ser desconectadas ou
liberadas dinamicamente atravs de um nico clique no cone de excluso na coluna
Liberar ou Efetuar logout.
Essa interface dinmica leve foi projetada para no causar impacto no servidor da Web, na
utilizao da CPU, na largura de banda ou em outros fatores de desempenho. Voc pode
deixar sua janela do navegador em uma pgina de atualizao dinmica indefinidamente sem
afetar o desempenho do seu firewall.

40 | Guia do Administrador do SonicOS 6.2


Navegar na interface de gerenciamento
A navegao na interface de gerenciamento facilitada por uma hierarquia de botes de menu
na barra de navegao (lado esquerdo da janela de seu navegador). Quando voc clicar em
um boto de menu, as funes de gerenciamento relacionadas so exibidas como itens de
submenu na barra de navegao.

Se a barra de navegao continuar abaixo da parte inferior do seu navegador, exibido um


smbolo de seta para cima/para baixo no canto inferior direito da barra de navegao. Passe
o mouse sobre a seta para cima ou para baixo para rolar a barra de navegao para cima ou
para baixo.

cones comuns na interface de gerenciamento


O seguinte descreve as funes de cones comuns usados na interface de gerenciamento:
Ao clicar no cone de editar exibida uma janela para editar as configuraes.
Ao clicar no cone de excluir , excluda uma entrada da tabela
Se mover o ponteiro sobre o cone de comentrio , exibido texto de uma entrada do
campo Comentrio.

Introduo | 41
Barra de status
A barra Status na parte inferior da janela de interface de gerenciamento exibe o status de
aes executadas na interface de gerenciamento.

Aplicar alteraes
Clique no boto Aceitar na parte superior da interface de gerenciamento para salvar quaisquer
alteraes de configurao realizadas na pgina.

Se as configuraes estiverem includas em uma janela secundria na interface de


gerenciamento, as configuraes so aplicadas automaticamente ao firewall quando voc
clicar em OK.

Dicas de ferramenta
O SonicOS fornece dicas de ferramenta incorporadas ou pequenas janelas pop-up que so
exibidas quando voc passa seu mouse sobre um elemento na interface de gerenciamento.
Elas fornecem breves informaes que descrevem o elemento. As dicas de ferramentas so
exibidas para muitos formulrios, botes, ttulos de tabelas e entradas.

Nota Nem todos os elementos de interface do usurio tm dicas de ferramenta. Se no for


exibida uma dica de ferramenta aps passar o mouse sobre um elemento por alguns
segundos, voc pode concluir seguramente que ele no tem uma dica de ferramenta
associada.

42 | Guia do Administrador do SonicOS 6.2


Quando aplicvel, as dicas de ferramenta exibem os valores mnimo, mximo e padro para
entradas de formulrio. Essas entradas so geradas diretamente a partir do firmware do
SonicOS, para que os valores sejam os corretos para a combinao de firmware e plataforma
especfica que voc est usando.

O comportamento das dicas de ferramenta pode ser configurado na pgina Sistema >
Administrao.

As dicas de ferramenta esto habilitadas por padro. Para desabilitar as dicas de ferramenta,
desmarque a caixa de seleo Habilitar dica de ferramenta. possvel configurar o perodo
de tempo antes de as dicas de ferramenta serem exibidas:
Atraso de dica de ferramenta de formulrio durao, em milissegundos, antes de as dicas
de ferramenta serem exibidas para formulrios (as caixas onde voc insere texto).
Atraso de dica de ferramenta de boto durao, em milissegundos, antes de as dicas de
ferramenta serem exibidas para botes de opo e caixas de seleo.
Atraso de dica de ferramenta de texto durao, em milissegundos, antes de as dicas de
ferramenta serem exibidas para texto da interface de usurio.

Introduo | 43
Navegar em tabelas dinmicas
Na interface de usurio dinmica do SonicOS, as estatsticas de tabela e as entradas de log
so agora atualizadas dinamicamente na interface de usurio sem exigir que os usurios
recarreguem seus navegadores. Voc pode navegar em tabelas na interface de gerenciamento
com vrias entradas usando os botes de navegao localizados no canto superior direito da
tabela.

A barra de navegao em tabela inclui botes para deslocamento nas pginas da tabela.

Um nmero de tabelas agora inclui uma opo para especificar o nmero de itens exibidos por
pgina.
Muitas tabelas agora podem ser classificadas novamente clicando nos ttulos das vrias
colunas. Em tabelas que so classificveis, uma dica de ferramenta "Clique para classificar
por" aparece ao passar o mouse sobre os ttulos da coluna. Quando as tabelas so
classificadas, as entradas com o mesmo valor para a coluna so agrupadas em conjunto com
o valor comum sombreado como um subttulo. No exemplo a seguir, a tabela Conexes ativas
classificada por IP de origem.

As conexes ativas, sesses de usurio, chamadas VoIP e atividades semelhantes podem ser
desconectadas ou liberadas dinamicamente atravs de um nico clique no cone de excluso
na coluna Liberar ou Efetuar logout.

Vrias tabelas incluem um cone de estatsticas de tabela que exibe um resumo breve e
de atualizao dinmica de informaes relativas a essa entrada da tabela. As tabelas com o
cone de estatsticas incluem:
Polticas de NAT na pgina Rede > Polticas de NAT
Regras de acesso na pgina Firewall > Regras de acesso
Protocolos de retransmisso na pgina Rede > Auxiliar de IP
Polticas de regras de aplicativos na pgina Firewall > Regras de acesso

44 | Guia do Administrador do SonicOS 6.2


Vrias tabelas incluem uma dica de ferramenta que exibe o nmero mximo de entradas que
o firewall suporta. Por exemplo, a imagem a seguir mostra o nmero mximo de grupos de
endereos que o dispositivo suporta.

As tabelas que exibem a dica de ferramenta de entrada mxima incluem polticas de NAT,
regras de acesso, objetos de endereos e grupos de endereos.

Obter ajuda
O canto superior direito de cada pgina da interface de gerenciamento possui as quatro
opes seguintes nas quais voc pode clicar:
Assistentes
Ajuda
Efetuar logout
Modo: Configurao

Assistentes
Cada firewall inclui uma opo de Assistente de configurao que o orienta em vrias
configuraes de firewall, como configurao de rede WAN, configurao de rede LAN,
configurao de rede LAN sem fio e configurao de modem 3G/4G. Se clicar em Assistentes,
obtm acesso ao Assistente de configurao.

Ajuda
Cada firewall inclui ajuda on-line baseada na Web que explica como usar pginas de interface
de gerenciamento e como configurar o firewall. Se clicar em Ajuda, obtm acesso ajuda
sensvel ao contexto para a pgina.

Efetuar logout
Cada firewall inclui uma opo para Efetuar logout que finaliza a sesso de interface de
gerenciamento e exibe a pgina de autenticao para efetuar logon no firewall. Se clicar em
Efetuar logout, efetuado o seu logout do firewall.

Introduo | 45
Modo: Configurao
Cada firewall inclui uma opo Modo: Configurao que alterna o modo de configurao da
interface de gerenciamento entre o modo de Configurao e No configurao. No modo de
Configurao, voc pode realizar alteraes nas configuraes do firewall. No modo de No
configurao, voc pode somente visualizar as configuraes do firewall. Se clicar na seta
junto de Modo: Configurao, permitido alternar entre o modo de configurao e o modo de
no configurao.

46 | Guia do Administrador do SonicOS 6.2


Parte 2

Painel

| 47
48 | Guia do Administrador do SonicOS 6.2
Captulo 2
Usando o Painel de visualizao do
SonicOS

Painel de visualizao
O Painel de visualizao oferece aos administradores uma interface eficaz e eficiente para
monitorar visualmente a rede em tempo real, oferecendo eficientes grficos de fluxo de dados
em tempo real, regras personalizveis e configuraes flexveis de interface. Com o Painel de
visualizao, os administradores podem exibir com eficincia e classificar os dados de rede e
a largura de banda em tempo real para:
Identificar os aplicativos e sites com demandas de alta largura de banda
Ver o uso de aplicativos em uma base por usurio
Antecipar ataques e ameaas encontradas pela rede
Este documento contm as seguintes sees:
Painel > Monitor multi-core na pgina 50
Painel > Monitor em tempo real na pgina 53
Painel > Trao AppFlow na pgina 63
Painel > Monitor AppFlow na pgina 64
Painel > Relatrios AppFlow na pgina 75
Painel > Relatrios de ameaas na pgina 78
Painel > Monitor de usurio na pgina 81
Painel > Monitor BWM na pgina 82
Painel > Monitor de conexes na pgina 82
Painel > Monitor de pacotes na pgina 84
Painel > Monitor de log na pgina 89

Usando o Painel de visualizao do SonicOS | 49


Painel > Monitor multi-core
O Monitor multi-core exibe estatsticas atualizadas dinamicamente sobre a utilizao dos 24
a 32 ncleos individuais do dispositivo de segurana de rede da Dell SonicWALL. O nmero
de ncleos depende do modelo 9200, 9400 ou 9600.
O ncleo 1 lida com o plano de controle e seu uso exibido em verde no Monitor multi-core.
Os ncleos restantes manipulam o plano de dados. Para maximizar a flexibilidade do
processador, as funes no so dedicadas a ncleos especficos em vez disso, todos os
ncleos podem processar todas as tarefas de plano de dados. A memria compartilhada
entre todos os ncleos. Cada ncleo pode processar um fluxo separado simultaneamente,
permitindo que at 31 fluxos sejam processados em paralelo.

Nota Para maior convenincia e acessibilidade, o Monitor multi-core pode ser acessado na
pgina Painel > Monitor multi-more ou na pgina Sistema > Diagnstico. A exibio
Monitor multi-core idntica, independentemente da guia atravs da qual acessada.

Habilitando o monitor em tempo real e coleta de AppFlow


Os recursos de monitoramento de aplicativos em tempo real contam com o mecanismo de
coleta de fluxo para coletar e exibir dados. Antes que seja possvel exibir o grfico de
"aplicativos" no Monitor em tempo real, Monitor de AppFlow ou Relatrios de AppFlow, deve-
-se primeiro habilitar e configurar o recurso de coleta de fluxo.

Para habilitar a coleta de AppFlow interno e Monitoramento em tempo real:

Etapa 1 Navegue para a pgina AppFlow > Relatrio de fluxo na interface de gerenciamento do
SonicOS. Para a coleo de fluxo no dispositivo, marque a caixa de seleo Relatar AppFlow
para coletor interno.
a. Marque a caixa de seleo Habilitar coleta de dados em tempo real e selecione o menu
suspenso Coletar dados em tempo real para os relatrios que deseja ver capturados:
Principais aplicativos
Bits por segundo

50 | Guia do Administrador do SonicOS 6.2


Pacotes por segundo
Tamanho mdio do pacote
Conexes por segundo
Utilitrio de ncleo
Utilitrio de memria

b. Para habilitar esses relatrios, clique no boto Aceitar para salvar as alteraes.

Usando o Painel de visualizao do SonicOS | 51


c. Navegue at a pgina Rede > Interfaces. Clique no cone Configurar para a interface na
qual deseja habilitar relatrios de fluxo.

d. Na guia Avanado, verifique se a caixa de seleo Habilitar relatrios de fluxo est


marcada.
e. Clique no boto OK para salvar as alteraes.
f. Repita as etapas de 6 a 7 para cada interface que deseja monitorar.
Para obter mais informaes detalhadas sobre como definir configuraes de Relatrios de
fluxo, consulte Painel > Relatrios AppFlow na pgina 75.

52 | Guia do Administrador do SonicOS 6.2


Painel > Monitor em tempo real
O Monitor em tempo real fornece aos administradores uma exibio multifuncional, inclusive
com informaes sobre aplicativos, uso de largura de banda, taxa de pacotes, tamanho do
pacote, taxa de conexo, contagem de conexes e monitoramento de multi-core.

Usando o Painel de visualizao do SonicOS | 53


Esta seo contm as seguintes subsees:
Usando a barra de ferramentas na pgina 54
Monitor de aplicativos na pgina 56
Fluxo de largura de banda de ingresso e de egresso na pgina 58
Monitor de taxa de pacote na pgina 60
Monitor de tamanho de pacotes na pgina 60
Monitor de contagem de conexes na pgina 61
Fluxo de monitor de vrios ncleos na pgina 61

Usando a barra de ferramentas


A barra de ferramentas do Monitor em tempo real contm recursos para especificar a taxa de
atualizao, exportar detalhes, configurar paletas de cores, alterar a quantidade de dados
exibidos e pausar ou reproduzir o fluxo de dados. As alteraes feitas na barra de ferramentas
se aplicam a todos os fluxos de dados.

54 | Guia do Administrador do SonicOS 6.2


Opo Widget Descrio
Taxa de atualizao Determina a frequncia em que os dados so
atualizados. necessrio um nmero inteiro entre 1 e
10 segundos. Um segundo o padro.

Exportar Exporta o fluxo de dados em um arquivo (.csv) de


varivel separado por vrgulas. O nome de arquivo
padro sonicflow.csv.

Configurar Permite a personalizao da paleta de cores para o


Grfico de aplicativos e o Grfico de largura de banda.
Para personalizar a paleta de cor:
Insira os cdigos de cores hexadecimais desejados
nos campos de texto fornecidos.
Selecione Padro para obter um intervalo de cores
padro.
Selecione Gerar para gerar um intervalo aleatrio de
cores.
Se um gradiente for desejado, selecione a caixa Usar
gradiente localizada abaixo dos campos de textos.
Intervalo de Exibe dados pertencentes a um intervalo especfico de
exibio tempo. Dois minutos a configurao padro para o
intervalo de exibio.

Data e Hora Exibe a hora atual no formato de 24 horas (hh:mm:ss) e


a data atual no formato Ms/Dia.

Pausar Congela o fluxo de dados. A data e hora tambm sero


congeladas.
O boto Pausar ser exibido em cinza, se o fluxo de
dados tiver sido congelado.
Reproduzir Descongela o fluxo de dados. A data e hora sero
atualizadas, assim que o fluxo de dados for atualizado.
O boto Reproduzir ser exibido em cinza, se o fluxo de
dados estiver ativo.

Usando o Painel de visualizao do SonicOS | 55


Monitor de aplicativos
O fluxo de dados de aplicativos fornece uma representao visual dos aplicativos atuais que
acessam a rede.

As opes esto disponveis para exibir, dimensionar e ver a interface do aplicativo.

Opo Widget Descrio


Bloquear Bloqueia as opes de exibio para a interface do
aplicativo. A opo bloquear e desbloquear estar
disponvel ao selecionar "Aplicativos mais frequentes".
Aplicativos mais frequentes exibe os 25 principais
aplicativos, possvel usar a opo bloquear ou
desbloquear para manter o relatrio de alterao dos 25
principais aplicativos.
Desbloquear Desbloqueie as opes de exibio para a interface do
aplicativo.

Exibio de Especifica os aplicativos exibidos no Grfico de fluxo de


aplicativo aplicativo.
Um menu suspenso permite que o administrador
especifique Aplicativos mais frequentes, Todos os
aplicativos ou aplicativos individuais. Se desejar, vrios
aplicativos podem ser selecionados, clicando em mais
de uma caixa de seleo.

Escala Permite o Dimensionamento-Y automtico ou


dimensionamento personalizado do Grfico de fluxo do
aplicativo.
Os valores para dimensionamento personalizado devem
ser um nmero inteiro. Especificar uma unidade
opcional. Se uma unidade for desejada, estas sero as
opes disponveis:
K para quilo.
M para Mega.
G para Giga.
% para porcentagem.
Se uma escala personalizada de 100 Kbps for desejada,
"100K" dever ser inserido. O nmero inteiro 100
inserido seguido pela unidade K.

56 | Guia do Administrador do SonicOS 6.2


Opo Widget Descrio
Grfico de barras Exibe os dados de aplicativos em um formato de grfico
de barras.

Grfico de fluxo Exibe os dados de aplicativos em um formato de grfico


de fluxo.

Formatos disponveis
Os administradores so capazes de ver os grficos de fluxo do aplicativo em um formato de
grfico de barras ou de grfico de fluxo. O formato de grfico de barras exibe aplicativos
individualmente, permitindo que os administradores comparem os aplicativos. Neste grfico, o
eixo x exibe o nome dos aplicativos. O eixo y exibe a quantidade de trfego para cada
aplicativo. O exemplo a seguir uma exibio de "Grfico de fluxo".

O formato do grfico de fluxo exibe dados de aplicativos empilhados. Neste grfico, o eixo x
exibe a hora atual e o eixo y exibe o trfego para cada aplicativo. O exemplo a seguir uma
exibio de "Grfico de barras".

Usando o Painel de visualizao do SonicOS | 57


Fluxo de largura de banda de ingresso e de egresso
O fluxo de dados de largura de banda de ingresso e de egresso fornece uma representao
visual de trfego de largura de banda de entrada e sada. A porcentagem atual de total de
largura de banda usada, mdia de fluxo de trfego de largura de banda e a quantidade mnima
e mxima de trfego que passou por cada interface est disponvel na tela. Os administradores
so capazes de ver o grfico de fluxo de largura de banda ingresso e de egresso em um
formato de grfico de barras ou de grfico de fluxo.
O formato de grfico de barras exibe dados pertencentes s interfaces individuais em um
grfico de barras, permitindo que os administradores comparem as Interfaces individuais de
largura de banda. Neste grfico, o eixo x indica as Interfaces enquanto o eixo y indica o trfego
de largura de banda de ingresso e de egresso.
O formato do grfico de fluxo substitui as Interfaces de largura de banda, permitindo que os
administradores vejam todo o trfego de largura de banda de ingresso e de egresso, conforme
ele ocorrer. O eixo x exibe a hora atual e o eixo y exibe o trfego de largura de banda de
ingresso e de egresso.

58 | Guia do Administrador do SonicOS 6.2


Esto disponveis opes para personalizar a exibio, escala e visualizao da interface de
largura de banda de ingresso e de egresso.

Opo Widget Descrio


Exibio de taxa de Especifica quais interfaces so exibidas no Grfico de
interfaces fluxo de largura de banda.
Um menu suspenso fornece o administrador com
opes para especificar Taxas de todas as interfaces,
Todas as interfaces e interfaces individuais.
As interfaces individuais variam dependendo do nmero
de interfaces na rede do administrador. Vrias interfaces
podem ser selecionadas, se desejado.

Escala Permite o Dimensionamento-Y automtico ou o


dimensionamento personalizado do Grfico de fluxo da
largura de banda.
Os valores para dimensionamento personalizado devem
ser um nmero inteiro. Especificar uma unidade
opcional. Se uma unidade for desejada, quatro opes
estaro disponveis:
K para quilo.
M para Mega.
G para Giga.
% para porcentagem.
Se uma escala personalizada de 100 Kbps for desejada,
"100K" dever ser inserido. O nmero inteiro 100
inserido seguido pela unidade K.
Formato de grfico Exibe os dados de largura de banda em tempo real em
de barras um formato de grfico de barras.

Formato do grfico Exibe os dados de largura de banda em tempo real em


de fluxo um formato de grfico de fluxo.

Dicas de ferramentas
Rolar sobre as interfaces fornece dicas de ferramentas com informaes sobre a zona, o
endereo IP e o status atual da porta atribudos interface.

Usando o Painel de visualizao do SonicOS | 59


Nota Os grficos de fluxo de largura de banda no tm nenhuma correlao direta com os
grficos de fluxo de aplicativo.

Monitor de taxa de pacote


O Monitor de taxa de pacote fornece o administrador com informaes sobre a taxa de pacote
de ingresso e de egresso em pacotes por segundo (pps). Isso pode ser configurado para
mostrar taxa de pacotes por interface de rede. O grfico mostra a taxa mdia atual de pacotes,
a taxa mnima de pacotes e taxa mxima de pacotes para trfego de rede de ingresso e de
egresso.

Monitor de tamanho de pacotes


O Monitor de tamanho de pacote fornece o administrador com informaes sobre a taxa de
pacote de ingresso e de egresso em bytes (B). Isso pode ser configurado para mostrar o
tamanho de pacote por interface de rede. O grfico mostra a mdia atual de tamanho de
pacote, o tamanho mnimo do pacote e o tamanho mximo de pacotes para trfego de rede de
ingresso e de egresso.

60 | Guia do Administrador do SonicOS 6.2


Monitor de contagem de conexes
O fluxo de dados de Contagem de conexes fornece ao administrador uma representao
visual de nmero total "atual" de conexes, nmero de conexes de "pico" e mximo. Neste
exemplo, o eixo y exibe o nmero total de conexes de 0C (zero conexes) para 1KC (um quilo
de conexes).
.

Fluxo de monitor de vrios ncleos


O Monitor de vrios ncleos exibe estatsticas atualizadas dinamicamente na utilizao dos
ncleos individuais do firewall. O ncleo 1 at o ncleo 8 lida com o plano de controle. O uso
do ncleo 1 at o ncleo 8 exibido em verde no Monitor de vrios ncleos. Os ncleos
restantes manipulam o plano de dados. Para maximizar a flexibilidade do processador, as
funes no so dedicadas a ncleos especficos, em vez disso, todos os ncleos podem
processar todas as tarefas de plano de dados. A memria compartilhada entre todos os
ncleos. Cada ncleo pode processar um fluxo separado simultaneamente, permitindo que at
88 fluxos sejam processados em paralelo.
Os administradores so capazes de ver o grfico de fluxo Monitor de vrios ncleos em um
formato de grfico de barras ou de grfico de fluxo. O formato de grfico de barras exibe dados
relativos aos ncleos individuais. Nesse grfico o eixo x exibe os ncleos nos quais o eixo y
exibe a porcentagem de CPU usada.

Usando o Painel de visualizao do SonicOS | 61


O formato do grfico de fluxo substitui os dados do Monitor de vrios ncleos. O eixo x exibe
a hora atual e o eixo y exibe a porcentagem de CPU usada.

Escala e Exibio so as opes disponveis para personalizar a interface de Monitor de vrios


ncleos.

Opo Widget Descrio


Exibio agregada Especifica quais ncleos so exibidos no Grfico de
fluxo Monitor de vrios ncleos.
Um menu suspenso que permite ao administrador
especificar Atual (agregao), Mdia (agregao) e
ncleos individuais.
Os ncleos individuais variam dependendo do nmero
de ncleos disponveis. Vrios ncleos podem ser
selecionados, se desejado.

Escala Permite o Dimensionamento-Y automtico ou


dimensionamento personalizados do Grfico de fluxo
Monitor de vrios ncleos.
Os valores para dimensionamento personalizado devem
ser um nmero inteiro. Especificar uma unidade
opcional. Se uma unidade for desejada, as quatro
opes disponveis incluiro:
K para quilo.
M para Mega.
G para Giga.
% para porcentagem.
Se uma escala personalizada de 100 por cento for
desejada, "100%" dever ser inserido. O nmero inteiro
100 inserido seguido pela unidade %.
Formato de grfico Exibe os dados de Monitor de vrios ncleos em um
de barras formato de grfico de barras.

Formato do grfico Exibe os dados de Monitor de vrios ncleos em um


de fluxo formato de grfico de fluxo.

62 | Guia do Administrador do SonicOS 6.2


Monitor em tempo real do IPv6
Para obter informaes completas sobre a implementao do IPv6 do SonicOS,
consulte IPv6 na pgina 1443.

A Visualizao do Monitor em tempo real configurada da mesma forma no IPv6 e no IPv4:


selecione os botes de opo na lista suspensa para alterar a exibio/configurao.

Painel > Trao AppFlow


A pgina Painel > Trao AppFlow fornece as mesmas informaes fornecidas em Painel >
Relatrios AppFlow. Apenas em Trao AppFlow, as informaes so mostradas em grficos
de um a dez para os itens principais em cada categoria. O Trao AppFlow exibe grficos para
os seguintes itens:
Principais aplicativos
Principais usurios
Principais vrus
Principais intruses
Principal spyware
Principais classificaes de URL
Principais locais
Principais endereos IP

Usando o Painel de visualizao do SonicOS | 63


O grfico a seguir mostra os quatro primeiros grficos na pgina Trao AppFlow. Os grficos
para as outras categorias so semelhantes.

Painel > Monitor AppFlow


O Monitor AppFlow fornece administradores com dados de rede em tempo real, de entrada e
de sada. Vrios modos de exibio e opes personalizveis na interface de Monitoramento
de AppFlow ajudam a visualizar os dados de trfego por aplicativos, usurios, URLs,
iniciadores, respondentes, ameaas, VoIP, VPN, dispositivos ou por contedos.

Esta seo contm as seguintes subsees:


Opes de filtro na pgina 65
Guias Monitor AppFlow na pgina 65
Barra de ferramentas de Monitor AppFlow na pgina 65
Opes de grupo na pgina 67

64 | Guia do Administrador do SonicOS 6.2


Status do Monitor AppFlow na pgina 68
Exibies de Monitor AppFlow na pgina 69
Usando opes de filtragem na pgina 71
Gerando relatrio de visualizao de aplicativo na pgina 72

Opes de filtro
As Opes de filtro de Monitor AppFlow permitem que o administrador filtre os dados de
entrada e em tempo real. Os administradores podem aplicar, criar e excluir filtros
personalizados para personalizar as informaes que desejam ver. As Opes de filtro se
aplicam a todas as guias de Fluxo de aplicativo. Consulte Usando opes de filtragem na
pgina 71.

Guias Monitor AppFlow


As guias Monitor AppFlow contm detalhes sobre o trfego de rede de entrada e sada. Cada
guia oferece uma viso facetada do fluxo de rede. Os dados so organizados por Aplicativos,
Usurios, URLs, Iniciadores, Respondentes, Ameaas, VoIP, VPN, Dispositivos e Contedos.

A guia Aplicativos exibe uma lista de aplicativos que acessam a rede atualmente.
A guia Usurios exibe uma lista de usurios conectados rede atualmente.
A guia URLs exibe uma lista de URLs acessadas pelos usurios atualmente.
A guia Iniciadores exibe detalhes sobre iniciadores de conexo atual.
A guia Respondentes exibe detalhes sobre respondentes de conexo atual.
A guia Ameaas exibe uma lista de ameaas encontradas pela rede.
A guia VoIP exibe o trfego atual de VoIP e de mdia.
A guia VPN exibe uma lista de sesses VPN conectadas rede.
A guia Dispositivos exibe uma lista de dispositivos conectados atualmente rede.
A guia Contedos exibe informaes sobre o tipo de trfego que passa pela rede.

Barra de ferramentas de Monitor AppFlow


A barra de ferramentas AppFlow permite a personalizao da interface de Monitor AppFlow. A
capacidade de criar regras e adicionar itens nos filtros permite mais controle de usurio e
aplicativo. Exibies diferentes, pausam e reproduzem habilidades, intervalos de dados e
taxas de atualizao personalizveis tambm esto disponveis para auxiliar na exibio de
dados de entrada e em tempo real.

Usando o Painel de visualizao do SonicOS | 65


Opo Widget Descrio
Criar regra Inicia o assistente de controle de aplicativos. Para obter
mais informaes sobre como usar esse assistente,
consulte Controle de aplicativos na pgina 573.

Viso do filtro Inclui itens selecionados no filtro.

Intervalo O perodo de tempo em que os dados so coletados.

Grupo Categoriza as selees de acordo com as opes de


agrupamento disponveis que variam dependendo da
guia selecionada.
Consulte Opes de grupo na pgina 67.
Exibio de lista Fornece uma exibio de lista detalhada do fluxo de
dados.

Exibio de grfico Fornece uma exibio de grfico de pizza do fluxo de


de pizza dados.

Exibio de grfico Fornece uma exibio de grfico de fluxo do fluxo de


de fluxo dados.

Exportar Exporta o fluxo de dados no formato (.csv) de varivel


separado por vrgula.

Imprimir relatrio Gerar um relatrio de visualizao de aplicativo. Para


em PDF obter mais informaes, consulte Gerando relatrio de
visualizao de aplicativo na pgina 72.

Configurao Permite a personalizao da exibio habilitando ou


desabilitando colunas para Aplicativos, Sesses,
Pacotes, Bytes, Taxa e Ameaas. Tambm permite que
o administrador habilite ou desabilite vrgulas em
campos numricos.
Boto Atualizar Atualiza os dados em tempo real.

66 | Guia do Administrador do SonicOS 6.2


Opo Widget Descrio
Atualizao de Fornece atualizaes de status sobre assinaturas de
status Aplicativo, Banco de dados de GAV, Banco de dados de
Spyware, Banco de dados de IPS, Banco de dados do
pas, Fluxos mximos no Banco de dados e Status de
CFS. Consulte Status do Monitor AppFlow na
pgina 68 para obter mais informaes.
Um cone de status verde significa que todas as
assinaturas apropriadas e bancos de dados esto
ativos.
Um cone de status amarelo indica que alguns ou todos
os bancos de dados de assinatura ainda esto sendo
transferidos por download ou no podem ser ativados.
Taxa de atualizao Taxa em que os dados so atualizados.
Um nmero inteiro entre 10 e 999 deve ser especificado.
Se 300 for inserido no campo numrico, isso significa
que o fluxo de dados ser atualizado a cada 300
segundos.
Pausar/Reproduzir Congela e descongela o fluxo de dados. Fazer Isso
oferece a flexibilidade de administrador ao analisar
dados em tempo real.

Opes de grupo
A opo Grupo classifica os dados com base no grupo especificado. Cada guia contm opes
de agrupamentos diferentes.
A guia Aplicativos pode ser agrupada por:
Aplicativo: Exibe todo o trfego gerado por aplicativos individuais.
Categoria: Agrupa todo o trfego gerado por uma categoria de aplicativo.
A guia Usurios pode ser agrupada por:
Nome do usurio: Agrupa todo o trfego gerado por um usurio especfico.
Endereo IP: Agrupa todo o trfego gerado por um endereo IP especfico.
Nome de domnio: Agrupa todo o trfego gerado por um nome de domnio especfico.
Tipo de autenticao: Agrupa todo o trfego gerado por um mtodo de autorizao
especfico.
A guia URL pode ser agrupada de acordo com:
URL: Exibe todo o trfego gerado por cada URL.
Nome de domnio: Agrupa todo o trfego gerado por um nome de domnio.
Classificao: Agrupa todo o trfego gerado com base na classificao CFS.
A guia Iniciadores pode ser agrupada de acordo com:
Endereo IP: Agrupa todo o trfego gerado por um endereo IP especfico.
Interface: Agrupa todo o trfego de acordo com a interface do firewall.
Pas: Agrupa todo o trfego gerado por cada pas, com base no banco de dados do IP
do pas.
Nome de domnio: Agrupa todo o trfego gerado por um nome de domnio.
A guia Respondentes pode ser agrupada de acordo com:
Endereo IP: Agrupa todo o trfego por endereo IP.

Usando o Painel de visualizao do SonicOS | 67


Interface: Agrupa respondentes por interface.
Pas: Agrupa respondentes por cada pas, com base no banco de dados do IP do pas.
Nome de domnio: Agrupa respondentes por nome de domnio.
A guia Ameaas pode ser agrupada de acordo com:
Intruses: Exibe fluxos nos quais intruses foram identificadas.
Vrus: Exibe fluxos nos quais vrus foram identificados.
Spyware: Exibe fluxos nos quais spyware foi identificado.
Spam: Exibe todos os fluxos que entram na categoria de spam.
Tudo: Exibe todas as ameaas de qualquer tipo.
A guia VoIP pode ser agrupada de acordo com:
Tipo de mdia: Agrupa fluxos de VoIP de acordo com o tipo de mdia.
ID do chamador: Agrupa fluxos de VoIP de acordo com o ID do chamador.
A guia VPN pode ser agrupada de acordo com:
Endereo IP remoto: Agrupa acesso de fluxos VPN de acordo com o endereo IP
remoto.
Endereo IP local: Agrupa acesso de fluxos VPN de acordo com o endereo IP local.
Nome: Agrupa acesso de fluxos VPN de acordo com o nome de tnel.
A guia Dispositivos pode ser agrupada de acordo com:
Endereo IP: Agrupa fluxos por endereos IP dentro da rede.
Interface: Agrupa fluxos por interfaces no firewall.
Nome: Agrupa fluxos por nome de dispositivo ou endereo MAC.
A guia Contedo pode ser agrupada de acordo com:
Endereo de e-mail: Agrupa Contedo por endereo de e-mail.
Nome do arquivo: Agrupa fluxos por tipo de arquivo detectado.

Status do Monitor AppFlow


A caixa de dilogo Status de Monitor AppFlow ser exibida quando o cursor passar sobre o
boto Status na barra de ferramentas. O Status de Monitor AppFlow fornece atualizaes de
assinatura sobre Regras de aplicativo, Controle de aplicativos avanado, GAV, IPS, Anti-
-Spyware, CFS, Anti-Spam, BWM e bancos de dados do pas.

68 | Guia do Administrador do SonicOS 6.2


A opo para habilitar ou desabilitar a coleo de fluxos est disponvel na caixa de dilogo
Status. Se a caixa de dilogo Status no for desejada, clique em fechar no canto superior
direito.

Exibies de Monitor AppFlow


Trs exibies esto disponveis para o Monitor AppFlow: Exibio da lista detalhada, Exibio
do grfico de pizza e do grfico de fluxo. Cada exibio fornece ao administrador uma exibio
exclusiva de dados de entrada e em tempo real.
Esta seo contm as seguintes subsees:
Exibio de lista na pgina 69
Exibio de grfico na pgina 71

Exibio de lista
Na Exibio de lista, cada guia AppFlow composta por colunas que exibem dados em tempo
real. Essas colunas so organizadas em categorias classificveis.

Caixa de seleo: Permite que o administrador selecione o item de linha para a criao
de filtros.

Usando o Painel de visualizao do SonicOS | 69


Coluna principal: O ttulo da coluna principal dependente da guia selecionada. Por
exemplo, se a guia Usurios estiver selecionada, o cabealho da coluna principal ler
"Usurios". Nessa coluna, o nome dos Usurios conectados rede so exibidos. Clicar nos
itens nessa coluna abrir um pop-up com informaes relevantes sobre o item exibido.
Sesses: Clicar nesse nmero abrir uma tabela de todas as sesses ativas.
Pacotes: Exibe o nmero de pacotes de dados transferidos.
Bytes: Exibe o nmero de bytes transferidos.
Taxa (KBps): Exibe a taxa na qual os dados so transferidos.
Ameaas: Exibe o nmero de ameaas encontradas pela rede.
Total: Exibe o total de Sesses, Pacotes e Bytes enviados durante a durao do intervalo
atual.

Detalhes do aplicativo
Cada item listado na coluna principal fornece um link para uma caixa de dilogo Detalhes do
aplicativo. Uma exibio aparecer quando os links de item forem clicados. A caixa de dilogo
fornece:
Descrio do item
Informaes pertinentes categoria, nvel de ameaa, tipo de tecnologia no qual o item se
inclui e outras informaes adicionais
Os detalhes do aplicativo sero particularmente teis quando um Administrador no
reconhecer o nome de um aplicativo.

70 | Guia do Administrador do SonicOS 6.2


Exibio de grfico
A Exibio de grfico exibe os principais aplicativos e a porcentagem de largura de banda
usada. A porcentagem de largura de banda usada determinada tomando a quantidade total
de largura de banda usada pelos aplicativos principais e dividindo esse total pela quantidade
dos aplicativos principais.

Usando opes de filtragem


Usar as opes de filtragem permite que os administradores reduzam a quantidade de dados
vistos no Monitor AppFlow. Fazendo isso, os administradores podem se concentrar nos pontos
de interesse sem distrao de outros aplicativos. Para usar as Opes de filtragem, execute
as seguintes etapas:

Usando o Painel de visualizao do SonicOS | 71


Etapa 1 Navegue at Painel > Monitor de AppFlow > Aplicativos. Marque as caixas de seleo dos
aplicativos que deseja adicionar ao filtro. Nesse caso, Ventrilo selecionado.

g. Clique em Exibio de filtro para adicionar Ventrilo ao filtro.


h. Depois que o aplicativo for adicionado ao filtro, apenas Ventrilo ser visvel na guia
Aplicativos.
Mais informaes sobre Usurios, conectividade de mesmo nvel e pacotes enviados so
visveis nas guias Monitor AppFlow. Os Usurios que usam Ventrilo so visveis na guia
Usurios. Os Endereos IP desses usurios so visveis na guia Iniciadores. Os endereos IP
dos pontos conectados que esto compartilhando pacotes so visveis na guia Respondentes.

Gerando relatrio de visualizao de aplicativo


O recurso de controle e inteligncia de aplicativo permite que os administradores mantenham
o controle granular de aplicativos e usurios criando polticas de gerenciamento de largura de
banda com base em categorias predefinidas locais, aplicativos individuais ou ainda usurios e
grupos. Com o recurso Visualizao de aplicativo, os administradores so capazes de exibir
grficos de aplicativos em tempo real, largura de banda de ingresso e de egresso, sites
visitados e todas as atividades do usurio. Os administradores so capazes de ajustar polticas
de rede com base nessas observaes crticas. A janela Uso do aplicativo e relatrio de
risco combina os resultados desses dois recursos em um relatrio que pode ser transferido
por download listando as seguintes categorias:
Aplicativos de alto risco em uso
Principais categorias de URL em uso
Aplicativos com o uso mais alto de largura de banda

72 | Guia do Administrador do SonicOS 6.2


Uso do aplicativo por categoria e tecnologia
Principais descobertas de caractersticas de rede
Recomendaes com base nas principais descobertas
Navegue at a pgina Painel > Monitor de fluxo de aplicativo e clique no boto Baixar
relatrio em PDF na barra de ferramentas AppFlow. Em seguida, clique no boto Gerar
relatrio para obter um relatrio especfico gerado dinamicamente para o firewall. Note que o
relatrio pode levar alguns minutos para ser gerado e baixado.

Depois que o relatrio for gerado, um resumo executivo ser fornecido na parte superior do
relatrio para obter uma viso geral holstica da rede. O relatrio contm uma captura
instantnea em tempo real do trfego de rede para orient-lo na implementao de novas
polticas de gerenciamento de largura de banda. Um exemplo, o relatrio Uso do aplicativo e
anlise de risco fornecido abaixo listando os aplicativos com o uso mais alto de largura de
banda, sua categoria de aplicativo, o nmero de sesses, nvel de risco do aplicativo e uma
descrio detalhada do aplicativo.

Usando o Painel de visualizao do SonicOS | 73


Monitor do IPv6 no App Flow
Para obter informaes completas sobre a implementao do IPv6 do SonicOS,
consulte IPv6 na pgina 1443.

A Visualizao do Monitor no App Flow configurada da mesma forma no IPv6 e no IPv4:


alterne os botes de opo Exibir verso do IP para alterar a exibio/configurao.

74 | Guia do Administrador do SonicOS 6.2


Painel > Relatrios AppFlow
A pgina de Relatrios AppFlow oferece administradores com relatrios programados
configurveis por aplicativos, vrus, intruses, spyware e classificao de URL. Estatsticas de
Relatrios de AppFlow permitem que os administradores de rede exibam um relatrio
agregado de nvel superior do que est acontecendo em sua rede. Isso permite que os
administradores de rede respondam s perguntas seguintes com um resumo rpido:
Quais so os principais aplicativos mais usados em execuo na minha rede?
Quais aplicativos, em termos de nmero total de bytes e sesses, consumem a largura de
banda da minha rede?
Quais aplicativos possuem vrus, intruses e spyware?
Quais categorias de site esto sendo visitadas por meus usurios?
Os dados de relatrio podem ser exibidos do ponto da ltima reinicializao do sistema, desde
a reinicializao do sistema ou definindo um intervalo de programao. A pgina tambm
fornece a capacidade de programar um relatrio enviado por FTP ou e-mail.

Esta seo contm as seguintes subsees:


Baixando assinaturas de servios de segurana da Dell SonicWALL na pgina 76
Exibindo relatrios AppFlow desde o momento do reincio na pgina 76
Exibindo relatrios AppFlow desde o momento da ltima redefinio na pgina 76
Exibindo relatrios AppFlow na programao na pgina 76

Usando o Painel de visualizao do SonicOS | 75


Baixando assinaturas de servios de segurana da Dell
SonicWALL
O recurso Relatrios AppFlow requer que voc tenha os downloads de assinatura de servios
de segurana da Dell SonicWALL habilitados para as atualizaes de proteo dinmica mais
recentes. Clique no boto Status para exibir a lista de Servios de segurana habilitados,
conforme mostrado a seguir.

Exibindo relatrios AppFlow desde o momento do reincio


Para exibir um relatrio de AppFlow desde a ltima reinicializao ou reincio do firewall,
selecione Desde o reincio no menu suspenso Ver. Este relatrio mostra as estatsticas
agregadas desde a ltima reinicializao do dispositivo indicado em verde. Por exemplo,
indicado por data e hora:
DESDE: 22/11/2011 15h40min06s.

Exibindo relatrios AppFlow desde o momento da ltima


redefinio
Para exibir um relatrio AppFlow desde a ltima redefinio do firewall, selecione Desde a
ltima redefinio no menu suspenso Ver. Este relatrio mostra as estatsticas agregadas
desde a ltima vez que o administrador desmarcou as estatsticas pressionando o boto
Redefinir indicado em verde. Por exemplo, indicado por data e hora: DESDE: 23/11/2011
18h33min02s. A opo de redefinio permite que os administradores de rede exibam
rapidamente as estatsticas de relatrio AppFlow a partir de uma nova redefinio de fluxos de
rede. A redefinio desmarca os contadores vistos na parte inferior da pgina que exibe os
totais de contadores para o nmero de sesses, bytes de Iniciador e Respondente, para o
nmero de ameaas e intruses.

Exibindo relatrios AppFlow na programao


Para exibir um relatrio de AppFlow por uma hora de incio e de fim de uma programao
definida, selecione Na programao no menu suspenso Ver e clique no boto Configurar.
Este relatrio mostra estatsticas AppFlow coletadas durante o intervalo de tempo especificado
nas opes configurar definies. Depois de a hora de fim da programao ser atingida, as

76 | Guia do Administrador do SonicOS 6.2


estatsticas AppFlow programadas sero exportadas automaticamente para um servidor FTP
ou um servidor de e-mail. Os dados estatsticos AppFlow so exportados no formato de arquivo
CSV. Depois de as estatsticas de AppFlow serem exportadas, os dados sero atualizados e
desmarcados.
Para configurar um relatrio Na programao AppFlow, execute a seguinte configurao de
seleo de um servidor FTP ou de um servidor de e-mail para a exportao de arquivo CSV:

Etapa 1 Navegue at a pgina AppFlow > Relatrios AppFlow. Selecione Na programao no menu
suspenso Ver e clique no boto Configurar. A pgina de opes Programar relatrio exibida.

i. Selecione para ter os dados de Relatrios AppFlow enviados automaticamente a um


servidor FTP ou a um servidor de e-mail. Se o servidor de e-mail exigir autenticao SMTP,
insira o login e a senha do servidor SMTP.
j. Clique no boto Definir programao para definir uma programao de incio e de fim. A
pgina de opo de programao Relatrios AppFlow exibida.
k. No tipo de programao, selecione Uma vez para criar uma programao de uma vez,
selecione Recorrente para criar uma programao contnua ou selecione Misto para criar
uma programao de uma vez e uma programao contnua. As opes de programao
Uma vez permitem definir programaes de relatrios com base em um calendrio de data
de incio e de fim com o tempo em horas e minutos. As opes de programao Recorrente
permitem selecionar programaes contnuas com base em dias da semana e destinos de
tempo, de incio e de fim, em hora e minuto. A programao Recorrente exibe as selees
na lista de programaes.
l. Clique em OK para salvar a programao de Relatrios AppFlow.
m. Na pgina de opes Relatrios da programao, clique no boto Aplicar para comear a
usar as configuraes de objeto de programao Relatrios AppFlow.

Usando o Painel de visualizao do SonicOS | 77


Painel > Relatrios de ameaas
Esta seo descreve como usar o recurso Relatrios de ameaas em um dispositivo de
segurana da Dell SonicWALL. Esta seo contm as seguintes subsees:
Viso geral de relatrios de ameaas na pgina 78
Tarefas de configurao dos relatrios de ameaas na pgina 80

Viso geral de relatrios de ameaas


Esta seo fornece uma apresentao do recurso Relatrios de ameaas. Esta seo contm
as seguintes subsees:
O que so Relatrios de ameaas? na pgina 78
Benefcios na pgina 78
Como funcionam os relatrios de ameaas? na pgina 79

O que so Relatrios de ameaas?


Os Relatrios de ameaas fornecem relatrios dos dados de proteo contra as ameaas mais
recentes a partir de um nico dispositivo de segurana da Dell SonicWALL e dos dados
agregados de proteo contra ameaas a partir de dispositivos de segurana da Dell
SonicWALL implantados em todo o mundo. Os Relatrios de ameaas so exibidos
automaticamente na autenticao com xito para um dispositivo de segurana da Dell
SonicWALL e podem ser visualizados em qualquer momento navegando at o menu Painel >
Relatrios de ameaas no menu da esquerda.
Os relatrios nos Relatrios de ameaas incluem:
Vrus bloqueados
Intruses impedidas
Spyware bloqueado
Multimdia (mensagens Instantneas/P2P) detectada/bloqueada
Cada relatrio inclui um grfico de ameaas bloqueadas ao longo do tempo e uma tabela das
principais ameaas bloqueadas. Os relatrios, atualizados a cada hora, podem ser
personalizados para exibir dados para as ltimas 12 horas, 14 dias, 21 dias ou 6 meses. Para
facilitar a exibio, os Relatrios de ameaas podem ser transformados em um formato de
arquivo PDF com o clique de um boto.

Benefcios
Os Relatrios de ameaas fornecem as informaes de proteo contra ameaas mais
recentes para mant-lo informado sobre ameaas potenciais que esto sendo bloqueadas por
dispositivos de segurana da Dell SonicWALL. Se voc se inscrever em servios de segurana
da Dell SonicWALL, incluindo Gateway Anti-Virus, Gateway Anti-Spyware, Intrusion Prevention
Service (IPS) e Content Filtering Service, ser protegido automaticamente contra as ameaas
relatadas pelos Relatrios de ameaas da Dell SonicWALL. Os servios de segurana do
SonicOS incluem novas atualizaes de assinatura contnuas para proteo contra os ataques
de vrus e spyware mais recentes.

78 | Guia do Administrador do SonicOS 6.2


Como funcionam os relatrios de ameaas?
A pgina Relatrios de ameaas fornece estatsticas de proteo contra ameaas de nvel de
dispositivo e globais. No nvel de dispositivo, os dados de proteo contra ameaas do
dispositivo de segurana da Dell SonicWALL so exibidos. No nvel global, a pgina Relatrios
de ameaas atualizada a cada hora no servidor de back-end da Dell SonicWALL com os
dados agregados de proteo contra ameaas dos firewalls implantados em todo o mundo. Os
dados fornecidos pelo servidor de back-end da Dell SonicWALL esto armazenados em cache
localmente para entrega confivel.

Para ser protegido contra as ameaas relatadas nos Relatrios de ameaas da Dell
SonicWALL, recomendvel adquirir os servios de segurana da Dell SonicWALL. Para obter
mais informaes sobre os servios de segurana da Dell SonicWALL, consulte Servios de
segurana na pgina 1155.

Usando o Painel de visualizao do SonicOS | 79


Nota O dispositivo de segurana da Dell SonicWALL deve ter conectividade com a Internet
(incluindo a conexo a um servidor DNS) para receber as estatsticas de proteo contra
as ameaas mais recentes do servidor de back-end da Dell SonicWALL que relata dados
agregados dos firewalls implantados globalmente. Se voc perder a conectividade, os
dados armazenados em cache da ltima atualizao sero exibidos e os dados mais
recentes no estaro disponveis at que a conectividade seja restaurada.

Tarefas de configurao dos relatrios de ameaas


A pgina Relatrios de ameaas pode ser configurada para exibir estatsticas globais ou de
nvel de dispositivo, para exibir as estatsticas de diferentes perodos de tempo e para gerar
um arquivo PDF personalizado.
Os Relatrios de ameaas so exibidos automaticamente no login com xito para um
dispositivo de segurana da Dell SonicWALL. possvel acessar os Relatrios de ameaas a
qualquer momento, navegando at Painel > Relatrios de ameaas no menu da esquerda.
possvel ver a tela introdutria mostrada abaixo antes da exibio do painel.

Esta seo fornece as seguintes subsees:


Alternando para exibio global ou de nvel de dispositivo na pgina 80
Selecionando o intervalo de tempo personalizado na pgina 80
Gerando um Relatrios de ameaas em PDF na pgina 81

Alternando para exibio global ou de nvel de dispositivo


Para exibir relatrios globais de Relatrios de ameaas, selecione o boto de opo prximo
a Global na parte superior da tela Painel > Relatrios de ameaas. Para exibir relatrios de
nvel de dispositivo, selecione o boto de opo prximo ao nmero de srie do dispositivo.

Selecionando o intervalo de tempo personalizado


Relatrios de ameaas-padro para uma exibio de relatrios dos "ltimos 14 Dias" que
fornece uma exibio agregada de ameaas bloqueadas durante esse perodo de tempo.
possvel configurar cada relatrio a um dos quatro perodos de tempo opcionais. Cada relatrio
pode ser configurado para refletir um perodo de tempo diferente. Para alterar um relatrio para
refletir um perodo de tempo diferente, execute as seguintes etapas:

80 | Guia do Administrador do SonicOS 6.2


Etapa 1 Selecione o relatrio que deseja alterar:
Vrus bloqueados
Intruses impedidas
Spyware bloqueado
Multimdia (mensagens Instantneas/P2P) detectada/bloqueada
n. Prximo ao ttulo do relatrio selecionado, clique no menu suspenso e selecione uma das
seguintes opes:
ltimas 12 Horas - exibe informaes de ameaas das ltimas 12 horas
ltimos 14 Dias - exibe informaes de ameaas dos ltimos 14 dias
ltimos 21 Dias - exibe informaes de ameaas dos ltimos 21 dias
ltimos 6 meses - exibe informaes de ameaas dos ltimos 6 meses

Gerando um Relatrios de ameaas em PDF


Para criar uma verso em PDF dos Relatrios de ameaas, selecione a exibio desejada
(global ou de nvel de dispositivo) e o perodo de tempo desejado para cada relatrio (as
ltimas 12 horas, 14 dias, 21 dias ou 6 meses). Clique no boto na parte superior
direita.

Painel > Monitor de usurio


A pgina Painel > Monitor de usurio exibe detalhes em todas as conexes de usurio com
o dispositivo de segurana da Dell SonicWALL.

Usando o Painel de visualizao do SonicOS | 81


Painel > Monitor BWM
A pgina Painel > Monitor BWM exibe gerenciamento de largura de banda por interface para
trfego de rede de ingresso e de egresso. Os grficos de monitor BWM esto disponveis para
configuraes de poltica em tempo real, mais alto, alto, mdio-alto, mdio-baixo, baixo e mais
baixo. O intervalo de exibio configurvel em 60 segundos, 2 minutos, 5 minutos e 10
minutos (padro). A taxa de intervalo de atualizao configurvel de 3 a 30 segundos. A
prioridade de gerenciamento de largura de banda representada por garantida, mxima e
descartada.

Painel > Monitor de conexes


A pgina Painel > Monitor de conexes exibe detalhes em todas as conexes ativas para o
dispositivo de segurana da Dell SonicWALL.

82 | Guia do Administrador do SonicOS 6.2


Exibindo conexes
As conexes so listadas na tabela Monitor de conexes.

Filtrando conexes exibidas


possvel filtrar os resultados para exibir apenas as conexes que correspondem a
determinados critrios. possvel filtrar por IP de origem, IP de destino, Porta de destino,
Interface de orig em, Interface de dest ino e Protocolo. Insira os critrios de filtro na tabela
Configuraes do monitor de conexes.
Os campos nos quais foram inseridos valores so combinados em uma cadeia de caracteres
de pesquisa com um E lgico. Por exemplo, se voc inserir valores para IP de origem e IP de
destino, a cadeia de caracteres de pesquisa procurar conexes que correspondam a:
IP de origem E IP de Destino
Marque a caixa Grupo prxima a qualquer um dos dois ou mais critrios para combin-los com
um OU lgico. Por exemplo, se voc inserir valores para IP de origem, IP de destino e
Protocolo e marcar Grupo prximo ao IP de origem e IP de destino, a cadeia de caracteres
de pesquisa procurar conexes que correspondam a:
(IP de origem OU IP de destino) E Protocolo
Clique em Aplicar filtro para aplicar o filtro imediatamente tabela Ativar conexes. Clique
em Redefinir para limpar o filtro e exibir novamente os resultados no filtrados.
possvel exportar a lista de conexes ativas para um arquivo. Clique em Exportar
resultados e selecione se voc deseja que os resultados sejam exportados para um arquivo
de texto simples ou um arquivo CSV (valores separados por vrgula) para importao para uma
planilha, ferramenta de relatrio ou banco de dados. Se for solicitado a voc Abrir ou Salvar o
arquivo, selecione Salvar. Em seguida, insira um nome de arquivo e caminho e clique em OK.

Usando o Painel de visualizao do SonicOS | 83


Monitor de conexes do IPv6
Para obter informaes completas sobre a implementao do IPv6 do SonicOS,
consulte IPv6 na pgina 1443.

O Monitor de conexes configurado da mesma forma no IPv6 e no IPv4: alterne os botes


de opo Exibir verso do IP para alterar a exibio/configurao.

Painel > Monitor de pacotes


Nota Para maior convenincia e acessibilidade, a pgina Monitor de pacotes pode ser acessada
em Painel > Monitor de pacotes ou Sistema > Monitor de pacotes. A pgina idntica,
independentemente da guia por meio da qual acessada. Para obter informaes
detalhadas de viso geral e configurao sobre o Monitor de pacotes, consulte Painel >
Monitor de pacotes na pgina 84.

Usando o monitor de pacotes e o espelho de pacotes


Alm do boto Configurar, a parte superior da pgina Painel > Monitor de pacotes oferece
vrios botes para o controle geral de recurso e exibio do monitor de pacotes. Eles incluem
o seguinte:
Monitorar tudo redefine as configuraes atuais do filtro de monitor e configuraes
avanadas de pgina para que o trfego em todas as interfaces locais seja monitorado.
Uma caixa de dilogo de confirmao ser exibida ao clicar neste boto.

84 | Guia do Administrador do SonicOS 6.2


Monitor padro redefine as configuraes atuais do filtro do monitor e as configuraes
avanadas de pgina para as configuraes padro de fbrica. Uma caixa de dilogo de
confirmao ser exibida ao clicar neste boto.
Limpar limpa a fila de monitores de pacotes e as estatsticas exibidas para o buffer de
captura, espelhamento e criao de log FTP. Uma caixa de dilogo de confirmao ser
exibida ao clicar neste boto.
Atualizar atualiza as janelas de exibio de pacotes nesta pgina para mostrar novos
dados de buffer.
A pgina Painel > Monitor de pacotes mostrada abaixo:

Para obter explicaes sobre os indicadores de status na parte superior da pgina, consulte
Noes bsicas sobre os indicadores de status na pgina 155.
Os outros botes e exibies nesta pgina so descritos nas sees a seguir:
Iniciando e interrompendo a captura de pacotes na pgina 86
Iniciando e parando o espelho de pacotes na pgina 86
Exibindo pacotes capturados na pgina 86

Usando o Painel de visualizao do SonicOS | 85


Iniciando e interrompendo a captura de pacotes
possvel iniciar uma captura de pacotes que usa configuraes padro sem configurar
critrios especficos para captura de pacotes, exibio, exportao de FTP e outras
configuraes. Se voc iniciar uma captura de pacotes padro, o dispositivo de segurana da
Dell SonicWALL capturar todos os pacotes, exceto aqueles para comunicao interna e ser
interrompido quando o buffer estiver completo ou ao clicar em Parar captura.

Etapa 1 V at a pgina Painel > Monitor de pacotes.


a. Opcionalmente, clique em Limpar para definir as estatsticas de volta a zero.
b. Em Monitor de pacotes, clique em Iniciar captura.
c. Para atualizar as janelas de exibio de pacotes para mostrar novos dados de buffer, clique
em Atualizar.
d. Para parar a captura de pacotes, clique em Parar captura.
possvel exibir os pacotes capturados nas sees Pacotes capturados, Detalhes do pacote
e Despejo hexa da tela. Consulte Exibindo pacotes capturados na pgina 86.

Iniciando e parando o espelho de pacotes


possvel iniciar o espelhamento de pacotes que usa as configuraes do espelho
configurado clicando em Iniciar espelho. No necessrio configurar primeiro os critrios
especficos para exibio, criao de log, exportao de FTP e outras configuraes. O
espelhamento de pacotes ser interrompido ao clicar em Parar espelho.

Etapa 1 V at a pgina Painel > Monitor de pacotes.


a. Em Monitor de pacotes, clique em Iniciar espelho para iniciar o espelhamento de pacotes
de acordo com as configuraes definidas.
b. Para parar o espelhamento de pacotes, clique em Parar espelho.

Exibindo pacotes capturados


A pgina Painel > Monitor de pacotes fornece trs janelas para exibir diferentes vises de
pacotes capturados. As sees a seguir descrevem as janelas de exibio:
Sobre a janela de pacotes capturados na pgina 86
Sobre a janela Detalhes do pacote na pgina 88
Sobre a janela Transbordo hexa na pgina 88

Sobre a janela de pacotes capturados

A janela Pacotes capturados exibe as seguintes estatsticas sobre cada pacote:


N O nmero do pacote em relao ao incio da captura
Hora a data e a hora em que o pacote foi capturado

86 | Guia do Administrador do SonicOS 6.2


Entrada a interface do firewall na qual o pacote que chegou marcado com um asterisco
(*). A abreviao de tipo de subsistema mostrada entre parnteses. As abreviaes de
tipo de subsistema so definidas na tabela a seguir.

Abreviao Definio
i Interface
hc Criptografia ou descriptografia baseada em hardware
sc Criptografia ou descriptografia baseada em software
m Difuso seletiva
r Remontagem do pacote
s Pilha de sistema
IP Auxiliar de IP
f Fragmentao

Egresso a interface do firewall na qual o pacote foi capturado quando enviado


A abreviao de tipo de subsistema mostrada entre parnteses. Consulte a tabela
acima para definies de abreviaes de tipo de subsistema
IP de origem o endereo IP de origem do pacote
IP de destino o endereo IP de destino do pacote
Tipo de Ether o tipo de Ethernet do pacote de seu cabealho Ethernet
Tipo de pacote O tipo do pacote dependendo do tipo Ethernet, por exemplo:
Para os pacotes de IP, o tipo de pacote pode ser TCP, UDP ou outro protocolo
executado por IP
Para os pacotes de PPPoE, o tipo de pacote pode ser PPPoE Discovery ou PPPoE
Session
Para os pacotes ARP, o tipo de pacote pode ser Solicitao ou Resposta
Portas [Orig., Dest.] as portas TCP ou UDP de origem e destino do pacote
Status o campo de status para o pacote

Usando o Painel de visualizao do SonicOS | 87


O campo status mostra o estado do pacote em relao ao firewall. Um pacote pode ser
descartado, gerado, consumido ou encaminhado pelo dispositivo de segurana da Dell
SonicWALL. possvel posicionar o ponteiro do mouse sobre os pacotes descartados ou
consumidos para mostrar as informaes a seguir.

Status do
pacote Valor exibido Definio de valor exibido
Descartado ID do Mdulo = <nmero Valor para o ID do subsistema de protocolo
inteiro>
Cdigo de descarte = Motivo para descartar o pacote
<nmero inteiro>
ID de referncia: <cdigo> Dados especficos SonicWALL
Consumido ID do Mdulo = <nmero Valor para o ID do subsistema de protocolo
inteiro>

Comprimento [real] o valor de comprimento o nmero de bytes capturados no buffer


para este pacote. Valor real, entre colchetes, o nmero de bytes transmitidos no pacote.

Sobre a janela Detalhes do pacote

Ao clicar em um pacote na janela Pacotes capturados, os campos de cabealho de pacote


sero exibidos na janela Detalhes do pacote. A exibio variar dependendo do tipo de
pacote selecionado.

Sobre a janela Transbordo hexa

Ao clicar em um pacote na janela Pacotes capturados, os dados do pacote sero exibidos no


formato hexadecimal e ASCII na janela Despejo hexa. O formato hexadecimal mostrado no
lado esquerdo da janela, com os caracteres ASCII correspondentes exibidos direita de cada
linha. Quando o valor hexadecimal for zero, o valor ASCII ser exibido como um ponto.

88 | Guia do Administrador do SonicOS 6.2


Painel > Monitor de log
Nota Para maior convenincia e acessibilidade, a pgina Monitor de log pode ser acessada a
partir de Painel > Monitor de log ou Log > Ver. As duas pginas fornecem funcionalidade
idntica. Para obter informaes sobre como usar o Monitor de log, consulte Log >
Monitoramento de log na pgina 1317.

Usando o Painel de visualizao do SonicOS | 89


90 | Guia do Administrador do SonicOS 6.2
Parte 3

Sistema

| 91
92 | Guia do Administrador do SonicOS 6.2
Captulo 3
Exibindo informaes de status

Sistema > Status


A pgina Sistema > Status fornece informaes do sistema, como a verso de firmware e o
tempo de funcionamento do sistema, o status de licena de servios de segurana, por
mensagens de alerta de lmina de firewall e atribuies de zona de interface de rede e o status
do link.

Esta pgina de status inclui as informaes sobre o dispositivo de segurana da Dell


SonicWALL organizadas em cinco sees: Mensagens do sistema, Informaes do
sistema, Servios de segurana, ltimos alertas e Interfaces de rede.
Esta seo contm as seguintes subsees:
Mensagens do sistema na pgina 94
Informaes do sistema na pgina 94

Exibindo informaes de status | 93


ltimos alertas na pgina 95
Servios de segurana na pgina 95
Interfaces de rede na pgina 96

Mensagens do sistema
As informaes consideradas relativas a possveis problemas com as configuraes no
dispositivo de segurana da Dell SonicWALL como senha, mensagens de log, bem como as
notificaes de ofertas de servios de segurana da Dell SonicWALL, novas notificaes de
firmware e futuras expiraes do servio de segurana so exibidas na seo Mensagens do
sistema.

Informaes do sistema
As informaes a seguir so exibidas nesta seo:
Modelo produto Tipo de dispositivo de segurana da Dell SonicWALL.
Cdigo de produto o cdigo numrico para o modelo do Dispositivo de Segurana Dell
SonicWALL.
Nmero de srie tambm o endereo MAC do dispositivo de segurana da Dell
SonicWALL.
Cdigo de autenticao o cdigo alfanumrico usado para autenticar o dispositivo de
segurana da Dell SonicWALL no banco de dados de registro em https://www.mysonicwall.com.
Verso de firmware - a verso do firmware carregado no dispositivo de segurana da Dell
SonicWALL.
Verso de modo de segurana a verso de firmware de modo de segurana carregado
no dispositivo de segurana da Dell SonicWALL.
Verso de ROM indica a verso de ROM.
CPUs exibe o uso mdio de CPU nos ltimos 10 segundos e o tipo do processador do
dispositivo de segurana da Dell SonicWALL.
Memria total indica a quantidade de RAM e a memria flash.
Hora do sistema o tempo registrado no relgio interno no dispositivo de segurana da
Dell SonicWALL.
Tempo de funcionamento o perodo de tempo, em dias, horas e segundos em que o
dispositivo de segurana da Dell SonicWALL est ativo.
Conexes exibe o nmero mximo de conexes de rede que o dispositivo de segurana
da Dell SonicWALL pode suportar, o nmero mximo de conexes simultneas e o nmero
atual de conexes.
Uso da conexo a porcentagem do nmero mximo de conexes estabelecidas no
momento (por exemplo, essa porcentagem o nmero atual de conexes dividido pelo
nmero mximo de conexes).
ltima modificao por o endereo IP do usurio que modificou o sistema pela ltima
vez e o registro de data/hora da ltima modificao.
Cdigo de registro o cdigo de registro ser gerado quando o dispositivo de segurana
da Dell SonicWALL for registrado em http://www.mysonicwall.com.

94 | SonicOS 6.2 Administrator Guide


ltimos alertas
As mensagens relacionadas a erros do sistema ou ataques so exibidas nesta seo. As
mensagens de ataque incluem Alertas AV, anexos de e-mail proibidos, certificados
fraudulentos, etc. Os erros de sistema incluem IP da WAN alterado e erros de criptografia.
Clicar na seta azul exibe a pgina Log > Ver.
Para obter mais informaes sobre registro de dispositivo de segurana da Dell SonicWALL,
consulte Log > View on page 1261.

Servios de segurana
Se o dispositivo de segurana da Dell SonicWALL no estiver registrado em mysonicwall.com,
a seguinte mensagem ser exibida na pasta Servios de segurana: O dispositivo de
segurana da Dell SonicWALL no est registrado. Clique aqui para registrar o
dispositivo de segurana da Dell SonicWALL. necessrio uma conta mysonicwall.com
para registrar o dispositivo de segurana da Dell SonicWALL ou para ativar os servios de
segurana. possvel criar uma conta mysonicwall.com diretamente da interface de
gerenciamento da Dell SonicWALL.

Se o dispositivo de segurana da Dell SonicWALL estiver registrado, uma lista de servios de


segurana disponvel da Dell SonicWALL estar listada nesta seo com o status de
Licenciado ou No licenciado. Se Licenciado, a coluna Status exibir o nmero de licenas
e o nmero de licenas em uso. Clicar no cone seta exibe a pgina Sistema > Licenas na
interface de gerenciamento baseado na web da Dell SonicWALL. O registro de servios de
segurana da Dell SonicWALL e de dispositivo de segurana da Dell SonicWALL gerenciado
por mysonicwall.com.

Consulte Servios de segurana na pgina 1155 para obter mais informaes sobre os
servios de segurana da Dell SonicWALL e sobre como ativ-los no dispositivo de segurana
da Dell SonicWALL.

Exibindo informaes de status | 95


Interfaces de rede
As Interfaces de rede exibem informaes sobre as interfaces para o firewall. Clicar na seta
azul exibe a pgina Rede > Interfaces para configurar as definies de Rede. As interfaces
disponveis exibidas na seo de Interfaces de rede dependem do modelo do dispositivo de
segurana da Dell SonicWALL.

96 | SonicOS 6.2 Administrator Guide


Captulo 4
Gerenciando licenas da Dell SonicWALL

Sistema > Licenas


A pgina Sistema > Licenas fornece links para ativar, atualizar ou renovar as licenas dos
Servios de Segurana da Dell SonicWALL. Nessa pgina, na Interface de Gerenciamento da
Dell SonicWALL, possvel gerenciar todos os Servios de Segurana da Dell SonicWALL
licenciados para seu Dispositivo de Segurana Dell SonicWALL. As informaes listadas na
tabela Resumo de servios de segurana so atualizadas da sua conta do mysonicwall.com.
A pgina Sistema > Licenas tambm inclui links para avaliaes GRATUITAS dos Servios
de Segurana da Dell SonicWALL.

Gerenciando licenas da Dell SonicWALL | 97


Status da licena de ns
Um n um computador ou outro dispositivo conectado sua LAN com um endereo IP.
Se seu firewall estiver licenciado para ns ilimitados, a seo Status da licena de ns exibir
a mensagem: O SonicWALL est licenciado para um nmero ilimitado de Ns/Usurios.
Nenhuma outra configurao exibida.
Se seu firewall no estiver licenciado para ns ilimitados, a tabela Status da licena do n
lista o nmero de ns que seu dispositivo de segurana est licenciado para ter conectado a
qualquer momento, o nmero de ns que esto atualmente conectados e o nmero de ns em
sua Lista de excluso da licena do n.

A tabela Ns atualmente licenciados lista detalhes sobre cada n conectado ao seu


dispositivo de segurana. A tabela no ser exibida se nenhum n estiver conectado.

Excluindo um n
Ao excluir um n, possvel bloque-lo de se conectar sua rede por meio do dispositivo de
segurana. Excluir um n cria um objeto de endereo para esse endereo IP e o atribui ao
grupo de endereo da Lista de excluso da licena do n. Para excluir um n:

Etapa 1 Selecione o n que voc deseja excluir na tabela Ns atualmente licenciados na pgina
Sistema > Licenas e clique no cone da coluna Excluir desse n.
Etapa 2 Um aviso exibido, informando que a excluso desse n criar um objeto de endereo para
ele e o colocar no grupo de endereos da Lista de excluso da licena. Clique em OK para
excluir o n.
possvel gerenciar objetos de grupo e endereos da Lista de excluso da licena na pgina
Rede > Objetos de endereo da interface de gerenciamento. Clique no link Lista de excluso
da licena do n para ir para a pgina Rede > Objetos de endereo. Consulte para obter
instrues sobre como gerenciar os objetos de endereo.

Resumo dos servios de segurana


A tabela Resumo de servios de segurana lista os servios de segurana disponveis e
ativados no firewall.
A coluna Servio de segurana lista todos os Servios de Segurana da Dell SonicWALL
disponveis e atualizaes disponveis para o Dispositivo de Segurana Dell SonicWALL. A
coluna Status indica se o servio de segurana est ativado (Licenciado), disponvel para
ativao (No licenciado) ou se no est mais ativo (Expirado). O nmero de ns/usurios
permitido para a licena exibido na coluna Contagem. A coluna Expirao exibe a data de
expirao para os Servios de segurana licenciados.
As informaes listadas na tabela Resumo dos servios de segurana sero atualizadas da
sua conta do mysonicwall.com na prxima vez que o Dispositivo de Segurana Dell
SonicWALL sincronizar automaticamente com a sua conta do mysonicwall.com (uma vez por
dia) ou voc pode clicar no link em Para sincronizar licenas com o mysonicwall.com,
clique aqui na seo Gerenciar servios de segurana on-line.

98 | Guia do Administrador do SonicOS 6.2


Para obter mais informaes sobre os Servios de Segurana da Dell SonicWALL, consulte
Servios de segurana na pgina 1155.

Gerenciar servios de segurana online


Para ativar, atualizar ou renovar servios, clique no link em Para ativar, fazer upgrade ou
renovar servios, clique aqui. Clique no link em Para sincronizar licenas com o
mysonicwall.com, clique aqui para sincronizar sua conta do mysonicwall.com com a tabela
Resumo dos servios de segurana.

Tambm possvel obter assinaturas de avaliao grtis para o Dell SonicWALL Content Filter
Service e Client Anti-Virus, clicando no link Para avaliaes gratuitas, clique aqui. Ao clicar
nesses links, a pgina de Logon mysonicwall.com exibida.

Digite seu nome de usurio e sua senha no mySonicWALL.com nos campos Nome de usurio
e Senha e clique em Enviar. A pgina Gerenciar servios on-line exibida contendo
informaes sobre o licenciamento da sua conta do mysonicwall.com.

Gerenciando licenas da Dell SonicWALL | 99


Atualizao manual
A Atualizao manual permite a ativao de seus servios, por meio da digitao da chave
de ativao do servio fornecida com a assinatura do servio no ativado no mysonicwall.com.
Digite a chave de ativao do produto no campo Inserir chave de upgrade e clique em Enviar.

Atualizao manual para ambientes fechados


Se seu Dispositivo de Segurana Dell SonicWALL for implementado em um ambiente de alta
segurana que no permita a conectividade direta com a Internet a partir do Dispositivo de
Segurana Dell SonicWALL, possvel inserir as informaes da chave de licena
criptografada do http://www.mysonicwall.com manualmente na pgina Sistema > Licenas da
Interface de Gerenciamento da Dell SonicWALL.

Nota A atualizao manual do Conjunto de chaves criptografadas da licena vlida somente


para Ambientes fechados. Se seu firewall estiver conectado Internet, recomendvel
usar o registro automtico e os recursos de atualizao dos Servios de segurana do seu
dispositivo.

A partir de um computador conectado Internet

Etapa 1 Antes de continuar, verifique se voc possui uma conta no http://www.mysonicwall.com e se


seu Dispositivo de Segurana Dell SonicWALL est registrado para a conta.
Etapa 2 Depois de efetuar login no www.mysonicwall.com, clique no seu Dispositivo de Segurana Dell
SonicWALL registrado listado em Produtos registrados da SonicWALL.
Etapa 3 Clique no link Exibir conjunto de chaves da licena. O texto criptografado exibido na caixa
de texto o Conjunto de chaves da licena para o Dispositivo de Segurana Dell SonicWALL
selecionado e os Servios de segurana ativados. Copie o texto do Conjunto de chaves para
colar na pgina Sistema > Licenas ou imprima a pgina se voc deseja inserir manualmente
o Conjunto de chaves no Dispositivo de Segurana Dell SonicWALL.

100 | Guia do Administrador do SonicOS 6.2


A partir da Interface de Gerenciamento do Dispositivo de Segurana Dell SonicWALL

Etapa 1 Verifique se o Dispositivo de Segurana Dell SonicWALL est executando a verso mais
recente do SonicOS.
Etapa 2 Cole (ou insira) o Conjunto de chaves (da etapa 3) no campo do Conjunto de chaves na seo
Atualizao manual da pgina Sistema > Licenas(SonicOS).
Etapa 3 Clique no boto Enviar ou Aplicar para atualizar o Dispositivo de Segurana Dell SonicWALL.
O campo de status na parte inferior da pgina exibe a mensagem: "A configurao foi
atualizada".
Etapa 4 possvel gerar o Sistema > Diagnstico > Relatrio do suporte tcnico para verificar os
detalhes da atualizao.

Nota Aps a atualizao manual, a pgina Sistema > Licenas no conter nenhuma
informao do registro e da atualizao.

Cuidado A mensagem de aviso: necessrio fazer a Atualizao do registro do SonicWALL. Atualize


suas informaes do registro; elas permanecero na pgina Sistema > Status aps o
registro do Dispositivo de Segurana Dell SonicWALL. Ignorar esta mensagem.

Gerenciando licenas da Dell SonicWALL | 101


102 | Guia do Administrador do SonicOS 6.2
Captulo 5
Definindo as configuraes de
administrao

Sistema > Administrao


A pgina de Administrao de sistema fornece definies para a configurao do Dispositivo
de Segurana da Dell SonicWALL para o gerenciamento remoto e seguro.

Definindo as configuraes de administrao | 103


Voc pode gerenciar o firewall usando uma variedade de mtodos, incluindo HTTPS, SNMP
ou Sistema de gerenciamento global do SonicWALL (SonicWALL GMS).
Esta seo contm as seguintes subsees:
Nome do firewall na pgina 104
Nome e senha do administrador na pgina 104
Configuraes de segurana de login na pgina 105
Configuraes de Gerenciamento da Web na pgina 107
Configuraes de gerenciamento SSH na pgina 112
Gerenciamento avanado na pgina 112
URL de download na pgina 116

Nome do firewall
O Nome do firewall exclusivamente identifica o Dispositivo de Segurana Dell SonicWALL e
os padres para o nmero de srie do dispositivo de segurana de rede da Dell SonicWALL.
O nmero de srie tambm o endereo MAC da unidade. Para alterar o Nome do firewall,
digite um nome exclusivo alfanumrico no campo Nome do firewall. Deve ter pelo menos 8
caracteres de comprimento.

Nome e senha do administrador


O Nome do administrador pode ser alterado da configurao padro admin para qualquer
palavra usando caracteres alfanumricos at 32 caracteres de comprimento. Para criar um
novo nome de administrador, digite o novo nome no campo Nome do administrador. Clique
em Aceitar para que as alteraes tenham efeito no firewall.

Alterando a senha de administrador


Para definir uma nova senha para acesso na Interface de Gerenciamento do Dell SonicWALL,
digite a senha antiga no campo Senha antiga e a nova senha no campo Nova senha. Digite
a nova senha novamente no campo Confirmar nova senha e clique em Aceitar. Depois que
o firewall for atualizado, exibida uma mensagem confirmando a atualizao na parte inferior
da janela do navegador.

Dica Recomenda-se que voc altere a senha padro "senha" para sua prpria senha
personalizada.

Senha de uso nico


A Senha de uso nico (OTP) um esquema de autenticao de dois fatores que utiliza senhas
aleatrias geradas pelo sistema, alm de credenciais de nome de usurio e senha padro.
Uma vez que os usurios enviam as credenciais de login bsicas corretas, o sistema gera uma
senha de uso nico, que enviada para o usurio em um endereo de e-mail predefinido. O
usurio deve recuperar a senha de uso nico dos seus e-mails e digit-la na tela de login.

104 | Guia do Administrador do SonicOS 6.2


Configuraes de segurana de login
O Servidor Web Dell SonicWALL interno agora suporta apenas verso SSL 3.0 e TLS com
codificao seguras (12 bits ou superior) ao negociar sesses de gerenciamento HTTPS. No
h suporte a implementaes de SSL antes da verso 3.0 e cdigos fracos (codificao
simtrica menor que 128 bits). Esse nvel maior de segurana HTTPS protege contra possveis
vulnerabilidades de reverso de SSLv2 e garante a conformidade com a Indstria de Carto
de Pagamento (PCI) e outros padres de segurana e gerenciamento de riscos.

Dica O SonicOS usa tecnologias avanadas de navegador, como HTML5, que so suportadas
na maioria dos navegadores mais recentes. A Dell SonicWALL recomenda o uso dos
navegadores Chrome, Firefox, Internet Explorer ou Safari mais recentes para a
administrao do SonicOS. Navegadores de dispositivos mveis no so recomendados
para a administrao de sistema dos dispositivos Dell SonicWALL.

A configurao de imposio de restrio de senha do SonicOS garante que os


administradores e usurios estejam usando senhas seguras. Esta imposio da restrio de
senha pode satisfazer os requisitos de confidencialidade conforme definido por sistemas de
gerenciamento de segurana de informaes atuais ou requisitos de conformidade, como
Critrios Comuns e o padro da Indstria de Cartes de Pagamento (PCI).
As configuraes de A senha deve ser alterada a cada (dias) requer que os usurios alterem
suas senhas aps o nmero de dias designado decorrido. Quando um usurio tenta fazer login
com uma senha expirada, uma janela pop-up solicitar ao usurio para inserir uma nova
senha. A janela Status de login do usurio agora inclui um boto Alterar senha para que os
usurios possam alterar suas senhas a qualquer momento.
A configurao Barrar senhas repetidas aps este nmero de alteraes obriga os usurios
a usarem senhas nicas para um nmero especfico de alteraes de senha.
A configurao Impor um comprimento mnimo de senha de define a senha mnima
permitida.
O menu suspenso Impor complexidade da senha fornece as seguintes opes:
Necessita de caracteres numricos e alfabticos

Definindo as configuraes de administrao | 105


Necessita de caracteres alfabticos, numricos e simblicos
As caixas de seleo Aplicar restries de senha indicadas acima para especificam a quais
classes de usurios as restries de senha so aplicadas. A caixa de marcao administrador
se refere ao administrador padro com o nome de usurio admin.
A configurao de Tempo limite de inatividade do Administrador aps inatividade de
(minutos) permite que voc defina o perodo de tempo de inatividade decorrido antes que voc
seja conectado automaticamente sem a Interface de Gerenciamento. Por padro, o Dispositivo
de Segurana Dell SonicWALL registra logout do administrador aps cinco minutos de
inatividade. O tempo limite de inatividade pode variar de 1 a 99 minutos. Clique em Aceitar e
uma mensagem confirmando a atualizao exibida na parte inferior da janela do navegador.

Dica Se o Tempo limite de inatividade do administrador for estendida alm de cinco minutos,
voc dever encerrar cada sesso de gerenciamento clicando em Efetuar logout para
impedir o acesso no autorizado Interface de gerenciamento do firewall.

A configurao Habilitar bloqueio de administrador/usurio bloqueia os administradores de


acessarem o dispositivo aps o nmero especificado de tentativas de login incorretas.
Tentativas de login com falha por minuto antes do bloqueio especifica o nmero de
tentativas de login incorretas em um perodo de um minuto para acionar um bloqueio.
Perodo de bloqueio (minutos) especifica o nmero de minutos que o administrador est
bloqueado.

Vrios administradores
A configurao Em apropriao por outro administrador configura o que acontece quando
um administrador apropria outro administrador usando o recurso Mltiplos administradores. O
administrador superado pode ser convertido em modo de no configurao ou desconectado.
Para obter mais informaes sobre vrios administradores, consulte Viso geral do Suporte
para mltiplos administradores na pgina 969.
Passar para o modo no-config Selecione para permitir que mais de um administrador
acesse o dispositivo no modo no-config sem interromper o administrador atual.
Log-Out - Selecione para que o novo administrador substitua o administrador atual.
Permitir preempo por um administrador de prioridade mais baixa aps inatividade de
(minutos) Insere o nmero de minutos de inatividade do administrador atual que permitir
que um administrador de menor prioridade aproprie-se.
Habilitar sistema de mensagens entre administradores Selecione para permitir que os
administradores enviem mensagens de texto por meio da interface de gerenciamento para
outros administradores conectados no dispositivo. A mensagem aparecer na barra de status
do navegador.
Intervalo do sondagem para mensagens (segundos) Define a frequncia com que o
navegador do administrador ir verificar as mensagens entre administradores. Se houver a
probabilidade de vrios administradores precisarem acessar o dispositivo, isso deve ser
definido para um intervalo relativamente curto para garantir a entrega de mensagens em tempo
hbil.

106 | Guia do Administrador do SonicOS 6.2


Habilitar bloqueio de administrador/usurio
Voc pode configurar o firewall para bloqueio de um administrador ou de um usurio se as
credenciais de login estiverem incorretas. Selecione a caixa de seleo Habilitar bloqueio de
administrador/usurio em caso de falha de login para impedir que os usurios tentem fazer
login no firewall sem credenciais de autenticao adequadas. Digite o nmero de tentativas
falhadas antes que o usurio seja bloqueado no campo Tentativas de login com falha por
minuto antes do bloqueio. Insira a quantidade de tempo que dever decorrer antes de o
usurio tentar efetuar login no firewall novamente no campo Perodo de bloqueio (minutos).

Cuidado Se o administrador e um usurio esto efetuando login no firewall usando o mesmo


endereo IP de origem, o administrador tambm est bloqueado para o firewall. O bloqueio
baseado no Endereo IP de origem do usurio ou do administrador.

Configuraes de Gerenciamento da Web


O dispositivo de segurana SonicWALL pode ser gerenciado usando HTTP ou HTTPS e um
navegador da Web. O gerenciamento com base na Web HTTP est desabilitado por padro.
Use HTTPS para efetuar login na interface de gerenciamento do SonicOS com as
configuraes de fbrica padro.
Se voc desejar usar o gerenciamento de HTTP, uma caixa de seleo Permitir o
gerenciamento via HTTP est disponvel para permitir que o administrador habilite/desabilite
o gerenciamento HTTP globalmente:

O nmero da porta padro para gerenciamento HTTPS 443. Voc pode adicionar outra
camada de segurana para efetuar login no dispositivo de segurana SonicWALL ao alterar a
porta padro. Para configurar outra porta para o gerenciamento de HTTPS, digite o nmero da
porta preferencial no campo Porta e, em seguida, clique em Atualizar. Por exemplo, se voc

Definindo as configuraes de administrao | 107


configurar a Porta de gerenciamento HTTPS para ser 700, voc ento dever efetuar login do
SonicWALL usando o nmero da porta, bem como o Endereo IP, por exemplo, <https://
192.168.168.1:700> para acessar o SonicWALL.
A porta padro para HTTP a porta 80, mas voc pode configurar o acesso por meio de outra
porta. Digite o nmero da porta desejada no campo Porta e, em seguida, clique em Aceitar.
No entanto, se voc configurar outra porta para o gerenciamento de HTTP, voc deve incluir o
nmero da porta quando usar o endereo IP para efetuar login no dispositivo de segurana
SonicWALL. Por exemplo, se voc configurar a porta para ser 76, voc dever digitar em
seguida <Endereo IP da LAN: 76 > no navegador da Web, ou seja, <http://192.168.168.1:76>.
O menu Seleo de certificado permite que voc use um certificado autoassinado (Usar Use
Selfsigned Certificate) que permite que voc continue usando um certificado sem fazer o
download de um novo cada vez que voc efetuar login no dispositivo de segurana
SonicWALL. Voc tambm pode escolher Importar certificado para selecionar um certificado
importado da pgina Sistema > Certificados para usar para autenticao na interface de
gerenciamento.
O boto Excluir cookies remove todos os cookies do navegador salvos pelo dispositivo
SonicWALL. Excluir cookies far com que voc perca as alteraes no salvas feitas na
Interface de gerenciamento.
Para ver a pgina Painel > Principais Malwares globais primeiro ao efetuar login, selecione
a caixa de seleo Usar a viso do painel do sistema como pgina inicial.

Verificao de certificado de cliente com carto de acesso comum


Na pgina Sistema > Administrao, em Configuraes de gerenciamento da Web, os
administradores de sistema podem ativar uma Verificao de Certificado do cliente para uso
com ou sem um Carto de acesso comum (CAC).
O Carto de acesso comum (CAC) um smart card do Departamento de Defesa dos Estados
Unidos usado por equipes militares e outras equipes governamentais e no governamentais
que necessitam de acesso altamente seguro pela internet. Um CAC usa criptografia e
autenticao de PKI.

Nota Usar um CAC requer um leitor de carto externo conectado em uma porta USB.

A Verificao de certificado do cliente foi desenvolvida para uso com um CAC; no entanto,
ela til em qualquer cenrio que exija um certificado do cliente em uma conexo HTTPS/SSL.
O suporte do CAC est disponvel para a certificao de cliente somente em conexes
HTTPS.

Nota CACs podem no funcionar com navegadores que no sejam o Microsoft Internet Explorer.

A caixa Habilitar verificao de certificado do cliente permite que voc ative ou desative a
verificao de certificado do cliente e suporte de CAC no dispositivo de segurana SonicWALL.
O menu suspenso Emissor do certificado de cliente contm uma lista dos emissores de
certificado de Autoridade de Certificao (CA) que esto disponveis para assinar o certificado
de cliente. Se a autoridade de certificao apropriada no estiver na lista, voc precisar
importar dessa autoridade de certificao para o dispositivo de segurana SonicWALL.
A caixa Habilitar verificao de OCSP permite habilitar ou desabilitar a verificao do
Protocolo de Status do Certificado (OCSP) para o certificado do cliente verificar se o certificado
ainda vlido e no foi revogado.

108 | Guia do Administrador do SonicOS 6.2


O campo URL do respondente OCSP contm o URL do servidor que ir verificar o status do
certificado do cliente. O URL do respondente OCSP geralmente incorporado dentro do
certificado de cliente e no precisa ser inserido. Se o certificado de cliente no tiver um link
OCSP, voc pode digitar o link do URL. O link deve apontar para Interface de Gateway Comum
(CGI) no lado do servidor que processa a verificao de OCSP. Por exemplo: http://
10.103.63.251/ocsp
Se voc usar a verificao de certificado de cliente sem um CAC, voc deve importar o
certificado de cliente manualmente para o navegador.
Se voc usar a Verificao de certificado de cliente com um CAC, o certificado de cliente
instalado automaticamente no navegador pelo middleware. Quando voc iniciar uma sesso
de gerenciamento atravs de HTTPS, a janela de seleo de certificado exibida solicitando
que voc confirme o certificado.

Depois de voc selecionar o certificado de cliente no menu suspenso, a conexo HTTPS/SSL


reiniciada e o dispositivo de segurana SonicWALL verifica o Emissor de certificado de
cliente para verificar se o certificado de cliente est assinado pela autoridade de certificao.
Se uma correspondncia for encontrada, exibida a pgina de login de administrador. Se
nenhuma correspondncia for encontrada, o navegador exibe a mensagem de falha de
conexo do navegador-padro, como:
...no pode exibir a pgina da Web!
Se o OCSP estiver habilitado, antes da pgina de login do administrador ser exibido, o
navegador executa uma verificao de OCSP e exibe a seguinte mensagem enquanto estiver
verificando.
Verificao de OCSP de certificado de cliente...
Se uma correspondncia for encontrada, a pgina de login de administrador exibida e voc
pode usar suas credenciais de administrador para continuar gerenciando o dispositivo de
segurana SonicWALL.
Se nenhuma correspondncia for encontrada, o navegador exibe a seguinte mensagem:
Falha na verificao de OCSP! Entre em contato com o administrador do sistema!
Ao usar o recurso de certificado de cliente, essas situaes podem bloquear o usurio do
dispositivo de segurana SonicWALL:
Habilitar verificao de certificado de cliente est marcada, mas nenhum certificado de
cliente est instalado no navegador.
Habilitar verificao de certificado de cliente est marcada e um certificado de cliente
est instalado no navegador, mas o Emissor do certificado de cliente no est
selecionado ou o Emissor do certificado de cliente errado est selecionado.
Habilitar verificao de OSCP est habilitada, mas o servidor OSCP no est disponvel
ou um problema de rede est impedindo que o dispositivo de segurana SonicWALL
acesse o servidor OSCP.

Definindo as configuraes de administrao | 109


Para restaurar o acesso a um usurio que est bloqueado, os seguintes comandos CLI so
fornecidos:
desativar certificao de cliente do gerenciamento da web
desativar ocsp do gerenciamento da web

Alterando o Tamanho padro para tabelas da Interface de gerenciamento


A Interface de Gerenciamento da Dell SonicWALL permite que voc controle a exibio de
grandes tabelas de informaes em todas as tabelas na Interface de gerenciamento. Voc
pode alterar o tamanho de pgina de tabela-padro em todas as tabelas exibidas na Interface
de Gerenciamento do padro de 50 itens por pgina para qualquer tamanho desde 1 at 5000
itens. Algumas tabelas, incluindo Monitoramento de conexes ativas, Configuraes de VPN
e Viso de Log tm configuraes individuais para itens por pgina que so inicializadas no
momento do login para o valor configurado aqui. Assim que estas pginas forem visualizadas,
suas configuraes individuais so mantidas. As alteraes subsequentes efetuadas aqui
afetaro somente as seguintes pginas aps um novo login.
Para alterar o tamanho da tabela padro:

Etapa 1 Insira o nmero desejado de itens por pgina no campo Tamanho da tabela padro.
Etapa 2 Insira o intervalo desejado para atualizao automtica em segundo plano das tabelas de
Monitor (incluindo o Monitor do processo, Monitor de conexes ativas e de Estatsticas de
trfego de interface) em segundos no campo Intervalo de tempo para autoatualizao das
tabelas.
Etapa 3 Clique em Aceitar.

Dicas de ferramentas
O SonicOS inseriu dicas de ferramentas incorporadas para muitos elementos na UI do
SonicOS. Essas Dicas de ferramentas so pequenas janelas pop-up que so exibidas quando
voc passa o mouse sobre um elemento da interface do usurio. Elas fornecem breves
informaes que descrevem o elemento. As Dicas de ferramentas so exibidas em muitos
formulrios, botes, ttulos de tabela e entradas.

Nota Nem todos os elementos da interface do usurio tm Dicas de ferramentas. Se uma Dica
de ferramenta no for exibida aps posicionar seu mouse sobre um elemento por alguns
segundos, voc pode concluir com segurana que ele no tem uma Dica de ferramenta
associada.

110 | Guia do Administrador do SonicOS 6.2


Quando aplicvel, as Dicas de ferramentas exibem o mnimo, mximo e valores padro para
entradas do formulrio. Essas entradas so geradas diretamente a partir do firmware do
SonicOS para que os valores sejam corrigidos para a plataforma especfica e combinao de
firmware que voc est usando.

O comportamento das Dicas de ferramenta pode ser definido na pgina Sistema >
Administrao.

As Dicas de ferramenta esto habilitadas por padro. Para desabilitar as dicas de ferramenta,
desmarque a caixa de seleo Habilitar dica de ferramenta. possvel configurar o perodo
de tempo antes de as dicas de ferramenta serem exibidas:
Atraso de dica de ferramenta de formulrio durao, em milissegundos, antes de as
dicas de ferramenta serem exibidas para formulrios (as caixas onde voc insere texto).
Atraso de dica de ferramenta de boto durao, em milissegundos, antes de as dicas
de ferramenta serem exibidas para botes de opo e caixas de seleo.
Atraso de dica de ferramenta de texto durao, em milissegundos, antes de as dicas
de ferramenta serem exibidas para texto da interface de usurio.

Definindo as configuraes de administrao | 111


Configuraes de gerenciamento SSH

Se voc usar SSH para gerenciar o firewall, voc pode alterar a porta SSH para segurana
adicional. A porta SSH padro 22.

Gerenciamento avanado
Voc pode gerenciar o Dispositivo de Segurana Dell SonicWALL usando SNMP ou o Sistema
de gerenciamento global do SonicWALL. Esta seo contm as subsees seguintes:
Ativando o Gerenciamento SNMP na pgina 113
Ativando o gerenciamento GMS na pgina 115

Para mais informaes sobre os Sistema de gerenciamento global do SonicWALL, v a


http://www.sonicwall.com.

SNMPv2
A Verso 3 do Protocolo de Gerenciamento de Rede (SNMPv3) um protocolo baseado em
padres interoperveis para gerenciamento de rede. O SNMPv3 fornece acesso seguro a
dispositivos por uma combinao de autenticao e criptografia de pacotes pela rede. Os
recursos de segurana fornecidos no SNMPv3 so:
Mensagem de integridade Garante que um pacote no seja alterado em trnsito.
Autenticao Determina se a mensagem de uma fonte vlida.
Criptografia Mistura o contedo de um pacote para evitar que ele seja visto por uma
origem no autorizada.
O SNMPv3 fornece para ambos modelos de segurana e nveis de segurana. Um modelo de
segurana uma estratgia de autenticao que configurada para um usurio e o grupo no
qual o usurio reside. Um nvel de segurana o nvel permitido de segurana dentro de um
modelo de segurana. Uma combinao de um modelo de segurana e um nvel de segurana
ir determinar qual mecanismo de segurana empregado ao lidar com um pacote SNMP. Trs
modelos de segurana esto disponveis: SNMPv1, SNMPv2c e SNMPv3.

112 | Guia do Administrador do SonicOS 6.2


A tabela a seguir identifica o que as combinaes de modelos de segurana e os nveis
significam:

Modelo Nvel Autenticao Criptografia Descrio


v1 noAuthNoPriv Cadeia de caracteres No Usa uma correspondncia de
de comunidade sequncia de caracteres de
comunidade para autenticao.
v2c noAuthNoPriv Cadeia de caracteres No Usa uma correspondncia de
de comunidade sequncia de caracteres de
comunidade para autenticao.
v3 noAuthNoPriv Nome de usurio No Usa uma correspondncia de nome de
usurio para autenticao.
v3 authNoPriv MD5 ou SHA No Fornece autenticao baseada nos
algoritmos HMAC-MD5 ou
HMAC-SHA.
v3 authPriv MD5 ou SHA DES Fornece autenticao baseada nos
algoritmos HMAC-MD5 ou
HMAC-SHA. Fornece a criptografia de
56 bits DES alm da autenticao
baseada no padro CBC-DES
(DES-56).

Ativando o Gerenciamento SNMP


SNMP (Protocolo de Gerenciamento de Rede Simples) um protocolo de rede usado por
Protocolo de Datagrama de Usurio (UDP) que permite que os administradores de rede
monitorem o status do firewall e recebam notificaes de eventos crticos conforme eles
ocorrem na rede. O Dispositivo de Segurana Dell SonicWALL oferece suporte a SNMP v1/v2c
e todos os grupos de Base de Informao de Gerenciamento II (MIB) relevantes, exceto egp
e at. O firewall responde a comandos de obteno de SNMP para MIBII por meio de qualquer
interface e oferece suporte a um Dell SonicWALL MIB personalizado para gerar mensagens de
interceptao. O Dell SonicWALL MIB personalizado est disponvel para download no site da
Dell SonicWALL e pode ser carregado no software de gerenciamento de SNMP de terceiros,
como HP Openview, Tivoli ou SNMPC.

Definindo as configuraes de administrao | 113


Para habilitar o SNMP no Dispositivo de Segurana Dell SonicWALL, efetue login na interface de
gerenciamento e clique em Sistema e, ento, em Administrao. Selecione a caixa de seleo
Habilitar SNMP e, em seguida, clique em Configurar. A janela Configurar SNMP exibida.

Etapa 1 Digite o nome do host do firewall no campo Nome do sistema.


Etapa 2 Digite o nome do administrador da rede no campo Contato do sistema.
Etapa 3 Digite um endereo de e-mail, nmero de telefone ou nmero de pgina no campo Local do
sistema.
Etapa 4 Digite um nome para um grupo ou uma comunidade de administradores que podem visualizar
dados SNMP no campo Obter nome da comunidade.
Etapa 5 Digite um nome para um grupo ou uma comunidade de administradores que podem visualizar
as interceptaes SNMP no campo Capturar nome da comunidade.
Etapa 6 Digite o endereo IP ou o nome do host do sistema de gerenciamento SNMP recebendo
interceptaes SNMP nos campos Host 1 a Host 4. Voc deve configurar pelo menos um
endereo IP ou nome de host. Porm, possvel usar at quatro endereos ou nomes de host.
Etapa 7 Clique em OK.

Configurando Log/Configuraes de log para o SNMP


As mensagens de desvio so geradas apenas para as categorias de mensagem de alerta
normalmente enviadas pelo firewall. Por exemplo, ataques, erros de sistema ou sites da Web
bloqueados geram mensagens de interceptao. Se nenhuma das categorias estiver
selecionada na pgina Log > Configuraes, ento nenhuma mensagem de interceptao
gerada.

Configurando o SNMP como um servio e adicionando regras


Por padro, o SNMP est desativado no Dispositivo de Segurana Dell SonicWALL. Para ativar
o SNMP, voc deve habilitar primeiro o SNMP na pgina Sistema > Administrao e, em
seguida, ativ-lo para interfaces individuais. Para configurar isso, v a Rede > Interfaces e
clique no boto Configurar para a interface na qual deseja ativar o SNMP.
Para obter instrues sobre a adio de servios e regras para o Dispositivo de Segurana Dell
SonicWALL, consulte a seo de Firewall.

114 | Guia do Administrador do SonicOS 6.2


Se seu sistema de gerenciamento SNMP suportar a deteco, o firewall detectado
automaticamente na rede. Caso contrrio, voc deve adicionar o firewall na lista de
dispositivos gerenciados pelo SNMP no sistema de gerenciamento SNMP.

Ativando o gerenciamento GMS


Voc pode configurar o firewall para ser gerenciado pelo Sistema de gerenciamento global do
SonicWALL (Dell SonicWALL GMS).
Para configurar o firewall para o gerenciamento GMS:

Etapa 1 Marque a caixa de seleo Habilitar o gerenciamento usando GMS e, em seguida, clique em
Configurar. A janela Definir configuraes GMS exibida.

Etapa 2 Insira o nome de host GMS ou endereo IP do Console GMS no campo Nome de host GMS
ou endereo IP.
Etapa 3 Insira a porta no campo Porta do servidor de syslog GMS. O valor padro de 514.
Etapa 4 Selecione Enviar somente mensagens de status de pulsao para enviar somente status
de pulsao em vez de mensagens de log.
Etapa 5 Selecione GMS atrs de dispositivo NAT se o Console GMS estiver atrs de um dispositivo
usando NAT na rede. Digite o endereo IP do dispositivo NAT no campo Endereo IP do
dispositivo NAT.
Etapa 6 Selecione um dos seguintes modos GMS no menu Modo de gerenciamento.
Tnel de gerenciamento IPSEC - Selecionar esta opo permite que o firewall seja
gerenciados atravs de um tnel VPN IPsec para o console de gerenciamento GMS.
O padro de configurao IPsec VPN exibido. Selecione GMS atrs de dispositivo
NAT se aplicvel para a instalao do GMS e digite o endereo IP no campo Endereo
IP de dispositivo NAT. As configuraes de poltica VPN padro so exibidas na parte
inferior da janela Definir configuraes do GMS.
Tnel existente - Se essa opo for selecionada, o servidor GMS e o firewall j tm
um tnel VPN atravs da conexo. Insira o nome de host GMS ou endereo IP do
servidor no campo Nome de host GMS ou endereo IP. Insira o nmero da porta no
campo Porta do servidor de syslog.
HTTPS - Se essa opo for selecionada, o gerenciamento HTTPS permitido de dois
endereos IP: o Agente primrio de GMS e o endereo IP do Agente de espera. O
Dispositivo de Segurana Dell SonicWALL tambm envia pacotes criptografados
syslog e interceptaes SNMP usando 3DES e a senha do administrador do firewall.

Definindo as configuraes de administrao | 115


Enviar mensagens de Syslog para um Servidor de relatrios GMS distribudo -
Envia mensagens de pulsao regulares para ambos os GMS Primrio e endereo IP
do Agente de espera. As mensagens de pulsao regulares so enviadas para o
servidor de relatrio GMS especificado e para a porta do servidor de relatrios.
Endereo IP de servidor de relatrios GMS - Digite o endereo IP do Servidor de
relatrios do GMS se o servidor estiver separado do servidor de gerenciamento GMS.
Porta do servidor de relatrio GMS - Insira a porta para o Servidor de Relatrios
GMS. O valor padro de 514.
Etapa 7 Clique em OK.

URL de download
A seo URL de download fornece um campo para especificar o endereo do URL de um site
para fazer download de imagens do SonicPoint.

Especificar manualmente o URL da imagem SonicPoint-N - Se o seu firewall tem


conectividade com a Internet, ele far o download automaticamente da verso correta da
imagem do SonicPoint no servidor do Dell SonicWALL quando voc conectar um
dispositivo SonicPoint. Se o seu firewall no tiver acesso Internet ou tiver acesso
somente atravs de um servidor proxy, voc deve especificar manualmente um URL para
o firmware do SonicPoint. No necessrio incluir o prefixo http://, mas necessrio
incluir o nome do arquivo no final do URL. O nome de arquivo deve ter uma extenso .bin.
Aqui esto exemplos usando um endereo IP e um nome de domnio:
192.168.168.10/imagepath/sonicpoint.bin
software.sonicwall.com/applications/sonicpoint/sonicpoint.bin
Para obter mais informaes, consulte Atualizando firmware do SonicPoint na pgina 471.

Cuidado imperativo que voc faa download da imagem do SonicPoint correspondente para a
verso do firmware do SonicOS que est em execuo no seu firewall. O site da Web
mysonicwall.com fornece informaes sobre as verses correspondentes. Ao atualizar seu
firmware SonicOS, certifique-se de fazer o upgrade para a imagem SonicPoint correta.

Seleo de idioma a UI:


Se seu firmware contm outros idiomas alm do Portugus, eles podem ser selecionados no
menu suspenso Seleo de idioma.

Nota Alterar o idioma da UI do SonicOS requer que o firewall seja reinicializado.

116 | Guia do Administrador do SonicOS 6.2


Captulo 6
Gerenciando Certificados

Sistema > Certificados


Para implementar o uso de certificados para polticas de VPN, deve-se localizar uma origem
de um certificado de autoridade de certificao vlido de um servio de autoridade de
certificao de terceiros. Depois que voc tiver um certificado de autoridade de certificao
vlido, poder import-lo para o firewall para validar os certificados locais. Importe o certificado
de autoridade de certificao vlido para o firewall usando a pgina Sistema > Certificados.
Depois que voc importar o certificado de autoridade de certificao vlido, poder us-lo para
validar os certificados locais.
Esta seo contm as seguintes subsees:
Viso geral de certificados digitais na pgina 117
Certificados e solicitaes de certificados na pgina 118
Detalhes do certificado na pgina 119
Importando certificados na pgina 119
Excluindo um certificado na pgina 121
Gerando uma solicitao de assinatura de certificado na pgina 121
Configurando o protocolo de registro de certificado simples na pgina 123
Criptografia do Suite B na pgina 124

Viso geral de certificados digitais


Um certificado digital um meio eletrnico para verificar a identidade por um terceiro confivel
conhecido como uma autoridade de certificao (CA). O certificado padro X.509 v3 uma
especificao a ser usada com os certificados de criptografia e permite definir as extenses
que podem ser includas no certificado. SonicWALL implementou esse padro no suporte ao
certificado de terceiros.
possvel usar um certificado assinado e verificado por uma autoridade de certificao de
terceiro a ser usada com uma poltica de VPN de IKE (Troca de Chave de Internet). IKE uma
parte importante das solues de VPN de IPsec e pode usar certificados digitais para
autenticar dispositivos de mesmo nvel antes de configurar SAs. Sem certificados digitais, os
usurios de VPN devem se autenticar trocando manualmente as chaves simtricas ou

Gerenciando Certificados | 117


segredos compartilhados. Dispositivos ou clientes que usam assinaturas digitais no requerem
alteraes de configurao a cada vez que um novo dispositivo ou cliente for adicionado
rede.
Um certificado tpico consiste em duas sees: uma seo de dados e uma seo de
assinatura. A seo de dados normalmente contm informaes, como a verso do X.509
suportada pelo certificado, um nmero de srie do certificado, as informaes sobre a chave
pblica do usurio, o nome distinto (DN), o perodo de validao para o certificado e as
informaes opcionais, como o uso de destino do certificado. A seo de assinatura inclui o
algoritmo de criptografia usado pela emisso da autoridade de certificao e a assinatura
digital da autoridade de certificao.
Os dispositivos de segurana Dell SonicWALL interagem com qualquer provedor de
Certificados compatvel ao X.509v3. Os dispositivos de segurana Dell SonicWALL foram
testados com os seguintes fornecedores de Certificados de autoridade de certificao:
Entrust
Microsoft
OpenCA
OpenSSL
VeriSign

Certificados e solicitaes de certificados


A seo Certificado e solicitaes de certificados fornece todas as configuraes de
gerenciamento de autoridade de certificao e certificados locais.
O menu Ver estilo permite exibir o certificado na tabela Certificados e solicitaes de
certificados com base nos seguintes critrios:
Todos os certificados - exibe todos os certificados e solicitaes de certificados.
Certificados importados e solicitaes - exibe todos os certificados importados e as
solicitaes geradas dos certificados.

118 | Guia do Administrador do SonicOS 6.2


Certificados integrados - exibe todos os certificados includos com o dispositivo de
segurana Dell SonicWALL.
Incluir certificados expirados e integrados - exibe todos os certificados expirados e
integrados.
A tabela Certificados e solicitaes de certificados exibe as seguintes informaes sobre
os certificados:
Certificado - o nome do certificado.
Tipo -o tipo de certificado, que pode incluir a autoridade de certificao ou local.
Validado - as informaes de validao.
Expira - a data e a hora de expirao do certificado.
Detalhes - os detalhes do certificado. Mover o ponteiro sobre o cone exibe os
detalhes do certificado.
Configurar - exibe os cones Editar e Excluir para editar ou excluir uma entrada
de certificado.

Tambm exibe o cone Importar para importar as listas de revogao de


certificados (para certificados de autoridade de certificao) ou de certificados
assinados (para solicitaes pendentes).

Detalhes do certificado
Clicar no cone na coluna Detalhes da tabela Certificados e solicitaes de certificados
lista as informaes sobre o certificado, que podem incluir o seguinte, dependendo do tipo de
certificado:
Emissor de certificado
Nome distinto do assunto
Nmero de srie do certificado
Vlido de
Expira em
Status (para solicitaes e certificados locais pendentes)
Status de CRL (para certificados de autoridade de certificao)
Os detalhes mostrados no pop-up de mouseover Detalhes dependem do tipo de certificado.
Emissor de certificado, Nmero de srie do certificado, Vlido de, e Expira em no so
mostrados para solicitaes pendentes desde que essas informaes sejam geradas pelo
provedor de certificados. Da mesma forma, as informaes de Status de CRL so mostradas
apenas para certificados de autoridade de certificao e variam de acordo com a configurao
do certificado de autoridade de certificao.

Importando certificados
Aps o servio de autoridade de certificao ter emitido um certificado para a solicitao
pendente ou ter, de outra forma, fornecido um certificado local, ser possvel import-lo para
uso em autenticao de gerenciamento da web ou VPN. Os certificados de autoridade de
certificao tambm podem ser importados para verificar os certificados locais e certificados
de mesmo nvel usados na negociao IKE.

Gerenciando Certificados | 119


Importando um certificado de autoridade de certificao
Para importar um certificado de uma autoridade de certificao, execute estas etapas:

Etapa 1 Clique em Importar. A janela Importar certificado exibida.

Etapa 2 Selecione Importar um certificado de autoridade de certificao de um arquivo codificado


PKCSn7 (*.p7b) ou DER (.der ou .cer). As configuraes da janela Importar certificado so
alteradas.

Etapa 3 Insira o caminho para o arquivo de certificado no campo Selecione um arquivo a ser
importado ou clique em Procurar para localizar o arquivo de certificado e, em seguida, clique
em Abrir para definir o caminho do diretrio para o certificado.
Etapa 4 Clique em Importar para importar o certificado para o firewall. Depois que ele for importado,
ser possvel ver a entrada de certificado na tabela Certificados e solicitaes de
certificados.
Etapa 5 Mover o ponteiro para o cone na coluna Detalhes exibe as informaes de detalhes do
certificado.

120 | Guia do Administrador do SonicOS 6.2


Importando um certificado local
Para importar um certificado local, execute estas etapas:

Etapa 1 Clique em Importar. A janela Importar certificado exibida.

Etapa 2 Insira um nome de certificado no campo Nome de certificado.


Etapa 3 Insira a senha usada pela autoridade de certificao para criptografar o arquivo PKCSn12 no
campo Senha de gerenciamento de certificado.
Etapa 4 Insira o caminho para o arquivo de certificado no campo Selecione um arquivo a ser
importado ou clique em Procurar para localizar o arquivo de certificado e, em seguida, clique
em Abrir para definir o caminho do diretrio para o certificado.
Etapa 5 Clique em Importar para importar o certificado para o firewall. Depois que ele for importado,
ser possvel ver a entrada de certificado na tabela Certificados e solicitaes de
certificados.
Etapa 6 Mover o ponteiro para o cone na coluna Detalhes exibe as informaes de detalhes do
certificado.

Excluindo um certificado
Para excluir o certificado, clique no cone de excluso. Ser possvel excluir um certificado, se
ele tiver expirado ou, se voc decidir no usar certificados de terceiros para a autenticao de
VPN.

Gerando uma solicitao de assinatura de certificado

Dica Deve-se criar uma poltica de certificado a ser usado em conjunto com os certificados
locais. Uma poltica de certificado determina os requisitos de autenticao e os limites de
autoridade necessrios para a validao de um certificado.

Gerenciando Certificados | 121


Para gerar um certificado local, siga estas etapas:

Etapa 1 Clique no boto nova solicitao de assinatura. A janela de Solicitao de assinatura de


certificado exibida.

Etapa 2 Na seo Gerar solicitao de assinatura de certificado, insira um nome de alias para o
certificado no campo Alias de certificado.
Etapa 3 Selecione o tipo de campo Solicitao no menu, em seguida, insira as informaes para o
certificado nos campos Solicitao. Conforme voc insere as informaes nos campos de
solicitao, o nome distinto (DN) criado no campo Nome distinto do assunto.
Tambm possvel anexar um Nome alternativo do assunto ao certificado, como o
Nome de domnio ou o Endereo de e-mail.
Etapa 4 O tipo Chave de assunto predefinido como um algoritmo RSA. RSA um algoritmo de
criptografia de chave pblica usado para criptografar dados.
Etapa 5 Selecione um tamanho de chave de assunto no menu Tamanho da chave de assunto.

122 | Guia do Administrador do SonicOS 6.2


Nota Nem todos os tamanhos de chave so suportados por uma autoridade de certificao,
portanto, deve-se verificar com a autoridade de certificao os tamanhos de chave
suportados.

Etapa 6 Clique em Gerar para criar um arquivo de solicitao de assinatura de certificado. Depois que
a Solicitao de assinatura de certificado for gerada, uma mensagem que descreve o
resultado ser exibida.
Etapa 7 Clique em Exportar para baixar o arquivo no computador, em seguida, clique em Salvar para
salv-lo em um diretrio no computador. Voc gerou a Solicitao de certificado que
possvel enviar autoridade de certificao para validao.

Configurando o protocolo de registro de certificado simples


O SCEP (protocolo de registro de certificado simples) foi projetado para oferecer suporte
emisso de certificados para dispositivos de rede de maneira escalvel. H dois cenrios de
registro de SCEP:
A autoridade de certificao do servidor SCEP emite certificados automaticamente
A solicitao SCEP definida como PENDENTE e o administrador de autoridade de
certificao emite o certificado manualmente.
Mais informaes sobre SCEP podem ser encontradas em:
http://Tools.ietf.org/HTML/Draft-nourse-SCEP-18
White paper de implementao do Microsoft SCEP
Para usar SCEP para emitir certificados, siga estas etapas:

Etapa 1 Gere uma solicitao de assinatura, conforme descrito acima no Gerando uma solicitao de
assinatura de certificado na pgina 121.
Etapa 2 Role para o boto da pgina Sistema > Certificados e clique no boto SCEP. A janela
Configurao de SCEP exibida.

Etapa 3 No menu suspenso Lista de CSR, a interface com o usurio selecionar automaticamente uma
lista de CSR padro. Se voc tiver diversas listas de CSR configuradas, poder modificar isso.
Etapa 4 No campo URL de autoridade de certificado, insira a URL para a autoridade de certificao.

Gerenciando Certificados | 123


Etapa 5 Se estiver no campo Senha de desafio, digite a senha para a autoridade de certificao, se
uma for necessria.
Etapa 6 No campo Intervalo(s) de sondagem, possvel modificar o valor padro para a durao de
tempo em segundos entre quando as mensagens de pesquisa so enviadas.
Etapa 7 No campo Tempo(s) mximo(s) de pesquisa, possvel modificar o valor padro para a
durao de tempo em que o firewall aguardar uma resposta para uma mensagem de
sondagem antes do tempo limite.
Etapa 8 Clique no boto Scep para enviar o registro de SCEP.
O firewall, em seguida, entrar em contato com a autoridade de certificao para solicitar o
certificado. A durao de tempo que isso levar depende se a autoridade de certificao emite
certificados automaticamente ou manualmente. A pgina Log > Ver exibir mensagens sobre
o status do registro SCEP e da emisso do certificado. Depois que o certificado for emitido, ele
ser exibido na lista de certificados disponveis na pgina Sistema > Certificados, na
categoria Certificados e solicitaes importados.

Criptografia do Suite B
Suite B um conjunto de algoritmos criptogrficos promulgado pela Agncia de Segurana
Nacional, como parte de seu Programa de Modernizao de Criptografia. Ele serve como uma
base de criptografia interopervel para obter informaes confidenciais e no confidenciais. A
criptografia de Suite B aprovada pelo NIST (National Institute of Standards and Technology)
para uso do governo dos EUA.

Nota H tambm um Suite A, que definido pela ANS, mas utilizado principalmente em
aplicativos onde o Suite B no adequado.

A maioria dos componentes do Suite B so adotados da norma FIPS.


Os componentes do Suite B so os seguintes:
Advanced Encryption Standard (AES) com tamanhos de chave de 128 e 256 bits.
(Fornece proteo adequada para informaes confidenciais at o nvel SECRETO.)
Elliptic Curve Digital Signature Algorithm (ECDSA) - assinaturas digitais.
(Fornece proteo adequada para informaes confidenciais at o nvel SECRETO.)
Elliptic Curve Diffie-Hellman (ECDH) - contrato de chave.
(Fornece proteo adequada para informaes confidenciais at o nvel SECRETO.)
Secure Hash Algorithm 2 (SHA-256 e SHA-384) - resumo da mensagem.
(Fornece proteo adequada para informaes confidenciais at o nvel TOP SECRET.)

Configurao da criptografia do Suite B


Para configurar a criptografia do Suite B no SonicOS:

Etapa 1 Navegue at a pgina Sistema > Administrao.

124 | Guia do Administrador do SonicOS 6.2


Etapa 2 Selecione a opo Habilitar o modo suite B em HTTPS.

Etapa 3 Clique no boto Aceitar.


Etapa 4 Navegue at a pgina Sistema > Certificados.

Gerenciando Certificados | 125


Etapa 5 Clique no boto Importar. A caixa de dilogo Importar certificado exibida.

Etapa 6 Para Suite B, selecione a opo Importar um certificado de usurio final local com chave
privada de um arquivo codificado PKCS#12 (.p12 ou .pfx).
Etapa 7 Na caixa Nome do certificado, insira o nome do certificado ECDSA desejado.
Etapa 8 Na caixa Senha de gerenciamento de certificado, insira a senha para seu certificado.
Etapa 9 No menu Selecione um arquivo a ser importado, selecione o certificado ECDSA desejado.
Etapa 10 Clique no boto Importar.
Etapa 11 Gere uma solicitao de assinatura de certificado seguindo as etapas em Gerando uma
solicitao de assinatura de certificado na pgina 121.

126 | Guia do Administrador do SonicOS 6.2


Captulo 7
Configurando definies de Hora

Sistema > Hora


A pgina Sistema > Hora define as configuraes de data e hora para eventos de log de
registro de data/hora, para atualizar automaticamente os servios de segurana da
SonicWALL e para outros fins internos.

Por padro, o dispositivo de segurana da Dell SonicWALL usa uma lista interna de servidores
NTP pblicos para atualizar automaticamente a hora. O Network Time Protocol (NTP) um
protocolo usado para sincronizar as horas de relgio do computador em uma rede de
computadores. O NTP usa o Tempo Universal Coordenado (UTC) para sincronizar as horas de
relgio do computador para um milissegundo e, s vezes, para uma frao de um
milissegundo.

Configurando definies de Hora | 127


Hora do sistema
Para selecionar atualizar a hora automaticamente, escolha o fuso horrio no menu Fuso
horrio. Definir hora automaticamente usando NTP ativado, por padro, para usar
servidores NTP (Network Time Protocol) de uma lista interna para definir a hora
automaticamente. Ajustar o relgio automaticamente para a hora de vero tambm
ativado, por padro, para habilitar ajustes automticos para a hora de vero.
Se voc desejar definir sua hora manualmente, desmarque Definir hora automaticamente
usando NTP. Selecione a hora no formato de 24 horas usando os menus Hora (hh:mm:ss) e
a data nos menus Data.
Selecionar Exibir UTC nos logs (em vez de hora local) especifica o Tempo Universal
Coordenado (UTC), em vez da hora local para eventos de log.
Selecionar Exibir data no formato internacional exibe a data no formato internacional, com
o dia precedente ao ms.
Selecionar Usar apenas servidores NTP personalizados direciona o SonicOS a usar a lista
de servidores NTP inserida manualmente para definir o relgio do firewall, em vez de usar a
lista interna de servidores NTP.
Aps selecionar as configuraes de hora do sistema, clique em Aceitar.

Configuraes de NTP
Network Time Protocol (NTP) um protocolo usado para sincronizar as horas de relgio do
computador em uma rede de computadores. O NTP usa o Tempo Universal Coordenado (UTC)
para sincronizar as horas de relgio do computador para um milissegundo e, s vezes, para
uma frao de um milissegundo.

Dica O dispositivo de segurana da Dell SonicWALL usa uma lista interna de servidores NTP,
portanto, inserir manualmente um servidor NTP opcional.

Selecione Usar NTP para definir a hora automaticamente, se voc desejar usar o servidor
local para definir o relgio do firewall. Tambm possvel configurar Atualizar intervalo
(minutos) para que o servidor NTP atualize o firewall. O valor padro de 60 minutos.
Para adicionar um servidor NTP para a configurao do firewall

Etapa 1 Clique em Adicionar. A janela Adicionar servidor NTP exibida.


Etapa 2 Digite o endereo IP de um servidor NTP no campo Servidor NTP.
Etapa 3 Clique em OK.
Etapa 4 Clique em Aceitar na pgina Sistema > Hora para atualizar o firewall.
Para excluir um servidor NTP, destaque o endereo IP e clique em Excluir. Ou, clique em
Excluir tudo para excluir todos os servidores.

128 | Guia do Administrador do SonicOS 6.2


Captulo 8
Definindo programaes

Sistema > Programaes


A pgina Sistema > Programaes permite criar e gerenciar objetos de programao para
impor tempos de programao para uma variedade de recursos do dispositivo de segurana
da Dell SonicWALL.

Definindo programaes | 129


A tabela Programaes exibe todas as programaes predefinidas e personalizadas. Na
tabela Programaes, h trs programaes padro: Horas de trabalho, Horas aps e
Horas de final de semana. possvel modificar essas programaes clicando no cone de
edio na coluna Configurar para exibir a janela Editar programao.

Nota No possvel excluir as programaes padro Horas de trabalho, Horas aps ou Horas
de final de semana.

Aplique objetos de programao para o recurso de segurana especfico. Por exemplo, se


voc adicionar uma regra de acesso na pgina Firewall > Regras de acesso, a janela
Adicionar regra fornecer um menu suspenso de todos os objetos de programao
disponveis criados na pgina Sistema > Programaes.
Uma programao pode incluir vrios incrementos de dia e hora para a imposio de regra com
uma nica programao. Se uma programao incluir vrias entradas de dia e hora, um boto
de seta para a direita aparecer prximo ao nome da programao. Clicar no boto
expande a programao para exibir todas as entradas de dia e hora para a programao.

130 | Guia do Administrador do SonicOS 6.2


Adicionando uma programao
Para criar programaes, clique em Adicionar. A janela Adicionar programao exibida.

Etapa 1 Insira um nome descritivo para a programao no campo Nome.


Etapa 2 Selecione um dos seguintes botes de opo para o Tipo de programao.
Uma vez para uma programao de uma vez entre as datas e horas de incio e de fim.
Quando selecionado, os campos em Uma vez se tornaro ativos e os campos em
Recorrente se tornaro inativos.
Recorrente para a programao que ocorre repetidamente durante as mesmas horas e
dias da semana configurados, sem data de incio ou de fim. Quando selecionado, os
campos em Recorrente se tornaro ativos e os campos em Uma vez se tornaro inativos.

Definindo programaes | 131


Misto para uma programao que ocorre repetidamente durante as mesmas horas e dias
da semana configurados, entre as datas configuradas de incio e de fim. Quando
selecionado, todos os campos na pgina se tornaro ativos.
Etapa 3 Se os campos em Uma vez estiverem ativos, configure a data e hora de incio, selecionando
o Ano, Ms, Data, Hora e Minuto nas listas suspensas na linha Incio. A hora representada
no formato de 24 horas.
Etapa 4 Em Uma vez, configure a data e hora de encerramento, selecionando o Ano, Ms, Data, Hora
e Minuto nas listas suspensas na linha final. A hora representada no formato de 24 horas.
Etapa 5 Se os campos em Recorrente estiverem ativos, marque as caixas de seleo para os dias da
semana a serem aplicados programao ou selecione Todos.
Etapa 6 Em Recorrente, digite a hora do dia para que a programao seja iniciada no campo Iniciar.
A hora deve estar no formato de 24 horas, por exemplo, 17:00 para 5 horas da tarde.
Etapa 7 Em Recorrente, digite a hora do dia para que a programao pare no campo Parar. A hora
deve estar no formato de 24 horas, por exemplo, 17:00 para 5 horas da tarde.
Etapa 8 Clique em Adicionar.
Etapa 9 Clique em OK para adicionar a programao na Lista de programao.
Etapa 10 Para excluir dias e horas existentes da Lista de programao, selecione a linha e clique em
Excluir. Ou, para excluir todas as programaes existentes, clique em Excluir tudo.

Excluindo Programaes
possvel excluir programaes personalizadas, mas no possvel excluir as programaes
padro Horas de trabalho, Horas aps ou Horas de final de semana.

Excluindo programaes individuais


Para excluir os objetos de programao individual criados, execute as seguintes etapas:

Etapa 1 Na pgina Sistema > Programaes na tabela Programaes, marque a caixa de seleo
prxima entrada da programao para habilitar o boto Excluir.
Etapa 2 Clique em Excluir.

Excluindo todas as programaes


Para excluir todos os objetos de programao criados:

Etapa 1 Na pgina Sistema > Programaes na tabela Programaes, marque a caixa de seleo
prxima ao cabealho de coluna Nome para selecionar todas as programaes.
Etapa 2 Clique em Excluir.

132 | Guia do Administrador do SonicOS 6.2


Captulo 9
Gerenciando firmware de dispositivo de
segurana da Dell SonicWALL

Sistema > Configuraes


Essa pgina Sistema > Configuraes permite gerenciar as preferncias e as verses
SonicOS do firewall.

Esta seo contm as seguintes subsees:


Configuraes na pgina 134
Gerenciamento de firmware na pgina 135
Atualizao automtica do firmware na pgina 137
FIPS na pgina 137
NDPP na pgina 138

Gerenciando firmware de dispositivo de segurana da Dell SonicWALL | 133


Configuraes

Importar configuraes
Para importar um arquivo de preferncias salvo anteriormente para o firewall, siga estas
instrues:

Etapa 1 Clique em Importar configuraes para importar um arquivo de preferncias exportado


anteriormente para o firewall. A janela Importar configuraes exibida.
Etapa 2 Clique em Procurar para localizar o arquivo que tem uma extenso de nome de arquivo *.exp.
Etapa 3 Selecione o arquivo de preferncias.
Etapa 4 Clique em Importar e reinicie o firewall.

Exportar configuraes
Para exportar as definies de configurao do firewall, use as instrues a seguir:

Etapa 1 Clique em Exportar configuraes. A janela Exportar configuraes exibida.


Etapa 2 Clique em Exportar.
Etapa 3 Clique em Salvar e, em seguida, selecione um local para salvar o arquivo. O arquivo
denominado "sonicwall.exp", mas pode ser renomeado.
Etapa 4 Clique em Salvar. Esse processo pode levar at um minuto. O arquivo de preferncias
exportado poder ser importado para o firewall, se for necessrio reconfigurar o firmware.

Enviar relatrios de diagnstico


Clique em Enviar relatrios de diagnstico para enviar diagnsticos do sistema ao suporte
tcnico da SonicWALL. A barra de status na parte inferior da tela exibir "Aguarde!" ao enviar
o relatrio e, em seguida, exibir "Relatrios de diagnstico enviados com xito".

134 | Guia do Administrador do SonicOS 6.2


Gerenciamento de firmware
A seo Gerenciamento de firmware fornece as configuraes que permitem fcil
gerenciamento de atualizao e de preferncias de firmware. A seo Gerenciamento de
firmware permite:
Carregar e baixar imagens de firmware e configuraes do sistema.
Inicializar com sua escolha de configuraes de firmware e sistema.
Gerenciar backups de sistema.
Retornar facilmente seu dispositivo de segurana da Dell SonicWALL para o estado
anterior do sistema.

Nota O dispositivo de segurana da Dell SonicWALL SafeMode, que usa as mesmas


configuraes usadas em Gerenciamento de firmware, fornece recuperao rpida de
estados de configurao incertos.

Tabela Gerenciamento de firmware


A tabela Gerenciamento de firmware exibe as seguintes informaes:
Imagem de firmware - nessa coluna, os tipos de imagens de firmware so listados:
Firmware atual - firmware carregado no momento no firewall.
Firmware atual com configuraes padro de fbrica - reinicializar usando esta
imagem de firmware reconfigura o firewall para seus endereos IP, nome de usurio e
senha padro.
Firmware atual com configuraes de backup - uma imagem de firmware criada
clicando em Criar backup.
Firmware transferido por upload - a verso mais recente transferida por upload a
partir de mysonicwall.com.
Firmware transferido por upload com configuraes padro de fbrica - a verso
mais recente transferida por upload com as configuraes padro de fbrica.
Backup de sistema - as configuraes de backup e imagem de firmware de backup
para o dispositivo.
Verso - a verso do firmware.
Data - o dia, data e hora do download do firmware.
Tamanho - o tamanho do arquivo de firmware em Megabytes (MB).
Download - clicar no cone salva o arquivo de firmware em um novo local no computador
ou na rede. Apenas o firmware transferido por upload pode ser salvo em um local diferente.
Inicializar - clicar no cone reinicializa o firewall com a verso de firmware listada na
mesma linha.

Cuidado Clicar em Inicializar prximo a qualquer imagem de firmware substitui a imagem de


firmware atual existente tornando-a imagem de Firmware atual.

Cuidado Ao fazer upload de firmware no firewall, no deve-se interromper o navegador da web


fechando o navegador, clicando em um link ou carregando uma nova pgina. Se o
navegador for interrompido, o firmware poder ficar corrompido.

Gerenciando firmware de dispositivo de segurana da Dell SonicWALL | 135


Atualizando o firmware manualmente
Clique em Carregar novo firmware... para carregar o novo firmware no dispositivo de
segurana da Dell SonicWALL. A janela Carregar firmware exibida. Navegue at o arquivo
de firmware localizado no disco local. Clique em Carregar para carregar o novo firmware no
dispositivo de segurana da Dell SonicWALL.

Criando uma imagem de firmware de backup


Ao clicar em Criar backup..., o dispositivo de segurana da Dell SonicWALL tira uma "captura
instantnea" do estado atual do sistema, das preferncias de configurao e firmware e a torna
a nova imagem de firmware do backup do sistema. Clicar em Criar backup... substitui a
imagem de firmware do Backup do sistema, conforme necessrio.

Gerenciamento de firmware
A tabela Gerenciamento de firmware contm as seguintes colunas:
Imagem de firmware - nesta coluna, cinco tipos de imagens de firmware so listados:
Firmware atual, firmware carregado atualmente no firewall
Firmware atual com configuraes padro de fbrica, reinicializar usando esta
imagem de firmware reconfigura o firewall para seus endereos IP, nome de usurio e
senha padro
Backup do sistema - firmware inicial carregado no dispositivo de segurana da Dell
SonicWALL.
Verso - a verso do firmware est listada nessa coluna.
Data - o dia, data e hora do download do firmware.
Tamanho - o tamanho do arquivo de firmware em Megabytes (MB).
Download - clicar no cone salva o arquivo de firmware em um novo local no
computador ou na rede. Apenas o firmware transferido por upload pode ser salvo em um
local diferente.
Inicializar - clicar no cone reinicia o firewall com a verso do firmware listada na mesma
linha.

Nota Clicar em Inicializar prximo a qualquer imagem de firmware substitui a imagem de


firmware atual existente tornando-a a imagem de Firmware atual.

Clique em Inicializar na linha de firmware de sua escolha para reiniciar o dispositivo de


segurana da Dell SonicWALL.

136 | Guia do Administrador do SonicOS 6.2


Cuidado Selecione apenas a opo Inicializar com diagnsticos de firmware habilitado (se
disponvel), se instrudo pelo suporte tcnico da SonicWALL.

Atualizao automtica do firmware


O sistema operacional Sonic suporta o recurso de atualizao automtica do firmware, que
ajuda a garantir que o dispositivo de segurana da Dell SonicWALL tenha a verso mais
recente do firmware. A atualizao automtica do firmware contm as seguintes opes:
Habilitar atualizao automtica do firmware - exibir um cone de alerta quando uma
nova verso de firmware estiver disponvel.
Baixar novo firmware automaticamente quando disponvel - Baixa as verses do novo
firmware para o dispositivo de segurana da Dell SonicWALL, quando elas se tornarem
disponveis.

Cuidado As atualizaes de firmware esto disponveis somente para usurios registrados com um
contrato de suporte vlido. Voc deve registrar sua SonicWALL no
https://www.mysonicwall.com.

FIPS
Ao operar no Modo FIPS (Federal Information Processing Standard), o dispositivo de
segurana da Dell SonicWALL suporta a segurana compatvel ao FIPS 140-2. Entre os
recursos compatveis ao FIPS do dispositivo de segurana da Dell SonicWALL inclua PRNG
com base em SHA-1 e apenas algoritmos aprovados por FIPS suportados (DES, 3DES e AES
com SHA-1).

Nota O FIPS no SonicOS no est certificado com a Federal Information Processing Standard
(Norma Federal de Processamento de Informaes).

Selecione Habilitar modo FIPS para habilitar o dispositivo de segurana da Dell SonicWALL
em conformidade com FIPS. Ao verificar essa configurao, uma caixa de dilogo ser exibida
com a seguinte mensagem: Aviso! A modificao do modo FIPS desconectar todos os
usurios e reiniciar o dispositivo. Clique em OK para continuar.
Clique em OK para reinicializar o dispositivo de segurana no modo FIPS. Um segundo aviso
exibido. Clique em Sim para continuar a reinicializao. Para retornar operao normal,
desmarque a caixa de seleo Habilitar modo FIPS e reinicialize o firewall no modo no FIPS.

Cuidado Ao usar o dispositivo de segurana da Dell SonicWALL para operao compatvel ao FIPS,
o selo de evidncia de violao que fixado no dispositivo de segurana da Dell
SonicWALL deve permanecer no local e inalterado.

Para habilitar FIPPs e exibir uma lista de quais das suas configuraes atuais no so
permitidas ou no esto presentes:

Gerenciando firmware de dispositivo de segurana da Dell SonicWALL | 137


Etapa 1 Acesse a pgina Sistemas > Configuraes.
Etapa 2 Role at o final da pgina e selecione a opo Habilitar modo FIPS.

NDPP
Um dispositivo de segurana de rede Dell SonicWALL pode ser habilitado para ser compatvel
com o Perfil de Proteo do Dispositivo de Rede (NDPP), mas algumas configuraes de
firewall no so permitidas ou so obrigatrias.

Nota O NDPP faz parte dos Critrios Comuns (CC) de certificao. No entanto, o NDPP no
SonicOS no est atualmente certificado.

Os objetivos de segurana para um dispositivo que alega conformidade com um Perfil de


Proteo so definidos da seguinte forma:
As TOEs (Metas de Avaliao) compatveis fornecero a funcionalidade de segurana que
lidar com as ameaas TOE e implementaro polticas que so impostas por lei ou por
regulamentos. A funcionalidade de segurana fornecida inclui comunicaes protegidas para
e entre elementos da TOE; acesso administrativo TOE e seus recursos de configurao;
monitoramento do sistema para a deteco de eventos de segurana pertinentes; controle de
disponibilidade de recursos; e a capacidade de verificar a fonte de atualizaes para a TOE.

Nota A opo Habilitar modo NDPP no pode ser habilitada ao mesmo tempo que a caixa de
seleo Habilitar modo FIPS, que tambm est localizada na pgina Sistema >
Configuraes.

Habilite o NDPP selecionando a opo Habilitar modo NDPP na pgina Sistema >
Configuraes. Depois de fazer isso, uma janela pop-up exibida com a lista de verificao
de conformidade da definio do modo NDPP. A lista de verificao mostra todas as definies
em sua configurao atual do SonicOS que violam a conformidade com o NDPP, para que voc
possa alter-las. necessrio acessar a interface de gerenciamento do SonicOS para realizar
as alteraes. A lista de verificao de um dispositivo com configuraes padro de fbrica
mostrada no procedimento a seguir.
Para habilitar o NDPP e exibir uma lista de quais das suas configuraes atuais no so
permitidas ou no esto presentes:

Etapa 1 Acesse a pgina Sistemas > Configuraes.


Etapa 2 Role at o final da pgina e selecione a opo Habilitar modo NDPP.

138 | Guia do Administrador do SonicOS 6.2


A caixa de dilogo Verificao da definio do modo NDPP exibida juntamente com uma
lista de suas configuraes obrigatrias e no permitidas. Na parte inferior da caixa de dilogo,
as seguintes mensagens podem ser exibidas:
O Dell SonicWALL no pode funcionar no modo NDPP com as definies acima.
Em primeiro lugar, alterar ou desabilitar manualmente as configuraes para estar em
conformidade com o modo NDPP.

Etapa 3 Clique em OK ou Cancelar.


Para tornar o seu firewall compatvel com o NDPP, use a lista gerada para configurar seu firewall,
removendo as configuraes no permitidas e configurando as definies obrigatrias, conforme
listadas na caixa de dilogo Verificao da definio do modo NDPP.

Gerenciando firmware de dispositivo de segurana da Dell SonicWALL | 139


Configurao One-Touch
O recurso de substituio de configurao One-Touch est configurado na pgina Sistema >
Configuraes. Podemos consider-lo como um rpido ajuste para configuraes de
segurana do dispositivo de segurana de rede da Dell SonicWALL. Com um nico clique, a
substituio de configurao One-Touch aplica mais de sessenta definies de configurao
para implementar as melhores prticas recomendadas da Dell SonicWALL. Essas
configuraes garantem que o dispositivo esteja tirando proveito dos recursos de segurana
da Dell SonicWALL.
H dois conjuntos de configuraes de substituio de configurao One-Touch:
Segurana de firewall estvel e DPI para ambientes de rede com servios de
segurana de DPI (inspeo profunda de pacotes) habilitados, como Gateway Anti-Virus,
Intrusion Prevention, Anti-Spyware e Regras de aplicativos.
Segurana de firewall estvel para ambientes de rede que no possuem servios de
segurana de DPI habilitados, mas ainda desejam empregar melhores prticas
recomendadas de segurana do firewall estvel da SonicWALL.
Ambas as implantaes de substituio de configurao One-Touch implementam as
seguintes configuraes:
Configurar melhores prticas de segurana de administrador
Impor o login de HTTPS e desabilitar o ping
Configurar revinculao de DNS
Configurar as melhores prticas das regras de acesso
Configurar as melhores prticas de configuraes de firewall
Configurar as melhores prticas de proteo contra inundao de Firewall
Configurar as melhores prticas de configuraes avanadas de VPN
Configurar os nveis de log
Habilitar visualizao e relatrios de fluxo
A implantao de segurana de firewall estvel e DPI tambm define as seguintes
configuraes relacionadas a DPI:
Habilitar servios DPI em todas as zonas aplicveis
Habilitar regras de aplicativos
Configurar as melhores prticas do Gateway Anti-Virus
Configurar as melhores prticas do Intrusion Prevention
Configurar as melhores prticas do Anti-Spyware

Cuidado Esteja ciente de que a substituio de configurao One-Touch pode alterar o


comportamento do dispositivo de segurana da SonicWALL. Revise a lista de configuraes
antes de aplicar a substituio de configurao One-Touch.

Em especfico, as configuraes a seguir podem afetar a experincia do administrador:


- Requisitos de senha de administrador na pgina Sistema > Administrao.
- Requerer gerenciamento HTTPS.
- Desabilitar HTTP para redirecionamento HTTPS.
- Desabilitar o gerenciamento de ping.

140 | Guia do Administrador do SonicOS 6.2


Captulo 10
Usando o Monitor de pacotes

Sistema > Monitor de pacotes


Nota Para maior convenincia e acessibilidade, a pgina Monitor de pacotes pode ser acessada
em Painel > Monitor de pacotes ou Sistema > Monitor de pacotes. A pgina idntica,
independentemente da guia por meio da qual acessada. Para obter informaes sobre
como usar o Monitor de pacotes, consulte Sistema > Monitor de pacotes na pgina 141.

As sees a seguir fornecem procedimentos detalhados de viso geral e configurao do


Monitor de pacotes:
Viso geral do Monitor de pacotes na pgina 141
Configurando o Monitor de pacotes na pgina 144
Verificando as atividades do Monitor de pacotes na pgina 155

Viso geral do Monitor de pacotes


Esta seo fornece uma apresentao do recurso monitor de pacotes do SonicOS. Esta seo
contm as seguintes subsees:
Definio do Monitor de pacotes na pgina 141
Vantagens do Monitor de pacotes na pgina 142
Como funciona o Monitor de pacotes? na pgina 142
Definio do Espelhos de pacotes na pgina 144
Como funciona o Espelho de pacotes? na pgina 144

Definio do Monitor de pacotes


O Monitor de pacotes um mecanismo que permite o monitoramento de pacotes individuais
de dados que atravessam o dispositivo de firewall SonicWALL. Os pacotes podem ser
monitorados ou espelhados. Os pacotes monitorados contm informaes de dados e de
endereamento. As informaes de endereamento do cabealho do pacote incluem os
seguintes itens:
Identificao da interface

Usando o Monitor de pacotes | 141


Endereos MAC
Tipo de Ethernet
Tipo de Protocolo de Internet (IP)
Endereos IP de origem e destino
Nmeros de portas
Detalhes da carga L2TP
Detalhes das negociaes PPP
possvel configurar o recurso monitor de pacotes na interface de gerenciamento do SonicOS.
A interface de gerenciamento fornece uma maneira de configurar os critrios do monitor,
configuraes de exibio, configuraes de espelho e configuraes do arquivo de
exportao, alm de exibir os pacotes capturados.

Vantagens do Monitor de pacotes


O recurso monitor de pacotes do SonicOS fornece a funcionalidade e a flexibilidade que voc
precisa para examinar o trfego da rede sem o uso de utilitrios externos, como o Wireshark
(anteriormente conhecido como Ethereal). O Monitor de pacotes inclui os seguintes recursos:
Mecanismo de controle com granularidade avanada para filtragem personalizada (Filtro
do monitor)
Configuraes de filtro de exibio independentes das configuraes do filtro do monitor
O status do pacote indica se o pacote foi descartado, encaminhado, gerado ou consumido
pelo firewall
Sada com trs janelas na interface de gerenciamento:
Lista de pacotes
Sada decodificada do pacote selecionado
Despejo hexadecimal do pacote selecionado
Os recursos de exportao incluem formato de texto ou HTML com despejo hexadecimal
dos pacotes, alm do formato de arquivo CAP
Exportao automtica para o servidor FTP quando o buffer estiver cheio
Monitor de pacotes bidirecional com base na porta e endereo IP
Delimitao configurvel do buffer do monitor de pacotes quando estiver cheio

Como funciona o Monitor de pacotes?


Como administrador, possvel definir as configuraes gerais, filtro do monitor, filtro de
exibio, configuraes avanadas de filtro e configuraes de FTP da ferramenta do monitor
de pacotes. Conforme os pacotes da rede forem inseridos no subsistema do monitor de
pacotes, as configuraes de filtro do monitor so aplicadas e os pacotes resultantes so
gravados no buffer de captura. As configuraes de filtro de exibio so aplicadas conforme
o contedo do buffer exibido na interface de gerenciamento. possvel registrar o buffer de
captura para ser exibido na interface de gerenciamento ou configurar a transferncia
automtica para o servidor FTP quando o buffer estiver cheio.

142 | Guia do Administrador do SonicOS 6.2


As configuraes padro so fornecidas para que voc possa comear a usar o monitor de
pacotes sem configur-lo primeiro. A funcionalidade bsica a seguinte:

Iniciar: Clique em Iniciar captura para comear a captura de todos os pacotes, exceto daqueles
utilizados para a comunicao entre o firewall e a interface de gerenciamento do sistema
de seu console.
Parar: Clique em Parar captura para interromper a captura do pacote.
Limpar: Clique em Limpar para limpar os contadores de status que so exibidos na parte superior
da pgina do Monitor do pacote.
Atualizar: Clique em Atualizar para exibir novos dados do buffer na janela de Pacotes capturados.
Em seguida, possvel clicar em qualquer pacote na janela para exibir suas informaes
de cabealho e dados nas janelas Detalhes do pacote e Despejo hexadecimal.
Exportar Exibe ou salva um instantneo do buffer atual no formato de arquivo selecionado da lista
como: suspensa. Os arquivos salvos so colocados no sistema de gerenciamento local (onde a
interface de gerenciamento est sendo executada). Escolha um dos formatos a seguir:
Libpcap Selecione o formato Libpcap se deseja exibir os dados com o analisador de
protocolos de rede Wireshark (antigo Ethereal). Ele tambm conhecido como formato lib-
cap ou pcap. Uma caixa de dilogo permite que voc abra o arquivo do buffer com o
Wireshark ou salv-lo no disco rgido local com a extenso .pcap.
HTML Selecione Html para exibir os dados com um navegador. possvel usar
Arquivo > Salvar como para salvar uma cpia do buffer no disco rgido.
Texto Selecione Texto para exibir os dados em um editor de texto. Uma caixa de di-
logo permite que voc abra o arquivo do buffer com o editor de texto registrado ou salv-lo
no disco rgido local com a extenso .wri.
Dados de aplicativos Selecione Dados de aplicativos para exibir apenas os dados de
aplicativo contidos no pacote. Os pacotes que no contm nenhum dado de aplicativo so
ignorados durante a captura. Dados de aplicativos = pacote capturado menos os cabea-
lhos L2, L3 e L4.

Consulte a figura abaixo para exibir uma visualizao de alto nvel do subsistema do monitor
de pacotes. Ela mostra os diferentes filtros e como eles so aplicados.

Display filter is applied


before displaying packets
to the management interface.

Capture Buffer

Remote FTP Server Management Host

Monitor filter is applied


before copying the packet
into the capture buffer.
Packets
- Incoming
- Outgoing
- Generated
- Intermediate

Usando o Monitor de pacotes | 143


Definio do Espelhos de pacotes
O espelhamento de pacotes o processo de envio de uma cpia de pacotes visualizados em
uma interface para outra interface ou para um dispositivo SonicWALL remoto.
Existem dois aspectos de espelhamento:
Classificao Refere-se identificao de um conjunto selecionado de pacotes que sero
espelhados. Os pacotes de entrada e sada para e de uma interface so comparados com um
filtro. Se eles no forem correspondentes, a ao de espelhamento ser aplicada.
Ao Refere-se ao envio de uma cpia dos pacotes selecionados para uma porta ou um
destino remoto. Os pacotes que correspondem a um filtro de classificao so enviados a um
dos destinos de espelhamento. Um destino especfico de espelho faz parte do identificador de
ao.

Como funciona o Espelho de pacotes?


Cada filtro de classificao est associado a um identificador de ao. At dois identificadores
de ao podem ser definidos, que suportam dois destinos de espelho (uma porta fsica no
mesmo firewall e/ou um firewall SonicWALL remoto). Os identificadores de ao determinam
o modo como um pacote espelhado. Os seguintes tipos de identificadores de ao so
suportados:
Enviar uma cpia para uma porta fsica.
Encapsular o pacote e envi-lo para um dispositivo SonicWALL remoto.
Enviar uma cpia para uma porta fsica com uma VLAN configurada.
A classificao realizada nas guias Filtro do monitor e Filtro avanado do monitor da
janela Configurao do Monitor de pacotes.
Um firewall Sonicwall local pode ser configurado para receber o trfego espelhado
remotamente de um firewall SonicWALL remoto. No firewall local, o trfego espelhado recebido
pode ser salvo no buffer de captura ou enviado para outra interface local. Isso configurado
na seo Configuraes remotas do espelho (Receptor), na guia Espelho da janela de
Configurao do Monitor de pacotes.
O SonicOS oferece suporte para as seguintes opes de espelhamento de pacotes:
Espelhamento de pacotes para uma interface especificada (Espelhamento local).
Espelhamento do trfego selecionado apenas.
Espelhamento do trfego decodificado SSL.
Espelhamento completo de pacotes, incluindo os cabealhos das Camadas 2 e 3, bem
como a carga.
Espelhamento de pacotes para um firewall remoto (Transmisso do espelhamento
remoto).
Receba pacotes espelhados de um dispositivo SonicWALL remoto (Recepo do
espelhamento remoto).

Configurando o Monitor de pacotes


possvel acessar a ferramenta do monitor de pacotes na pgina Painel > Monitor de
pacotes da interface de gerenciamento do SonicOS. Existem seis reas principais de
configurao para o monitor de pacotes, uma das quais serve especificamente para o
espelhamento de pacotes. As sees a seguir descrevem as opes de configurao e
fornecem procedimentos para o acesso e definio das configuraes do filtro, configuraes
do registro e configuraes do espelho:

144 | Guia do Administrador do SonicOS 6.2


Definindo as configuraes gerais na pgina 145
Configurando o monitoramento com base em regras do firewall na pgina 146
Definindo as configuraes de filtro do monitor na pgina 147
Definindo as configuraes do filtro de exibio na pgina 148
Definindo as configuraes do registro em log na pgina 150
Definindo as configuraes avanadas de filtro do monitor na pgina 152
Definindo as configuraes do espelho na pgina 154

Definindo as configuraes gerais


Esta seo descreve como definir as configuraes gerais do monitor de pacotes, incluindo o
nmero de bytes que sero capturados por pacote e a opo de encapsulamento do buffer.
possvel especificar o nmero de bytes usando decimais ou hexadecimais, com um valor
mnimo de 64. A opo de encapsulamento do buffer permite que a captura de pacotes
continue mesmo quando o buffer se tornar cheio, substituindo o buffer desde o incio.
Para definir as configuraes gerais, siga as etapas a seguir:

Etapa 1 V at a pgina Painel > Monitor de pacotes e clique em Configurar.


Etapa 2 Na janela Configurao do Monitor de pacotes, clique na guia Configuraes.

Etapa 3 Em Configuraes gerais na caixa Nmero de bytes que sero capturados (por pacote),
digite o nmero de bytes que sero capturados de cada pacote. O valor mnimo 64.
Etapa 4 Para continuar a captura de pacotes aps o preenchimento do buffer, selecione a caixa de
seleo Encapsular buffer de captura quanto estiver cheio. Selecionar esta opo far com
que a captura de pacotes comece a registrar os pacotes capturados no incio do buffer
novamente aps o preenchimento total do buffer. Esta opo no ter nenhum efeito se o
registro em log do servidor FTP estiver habilitado na guia Registro em log, porque o buffer
automaticamente encapsulado quando o FTP estiver habilitado.
Etapa 5 Em Excluir filtro, selecione Excluir trfego de GMS criptografado para impedir a captura ou
o espelhamento do gerenciamento do trfego criptografado ou trfego do syslog de ou para o
SonicWALL GMS. Esta configurao afeta somente o trfego criptografado em um tnel de
GMS primrio ou secundrio configurado. O trfego de gerenciamento de GMS no ser
excludo se ele for enviado por meio de um tnel separado.
Etapa 6 Use as configuraes Excluir o trfego de gerenciamento para impedir a captura ou o
espelhamento do trfego de gerenciamento para o dispositivo. Marque a caixa de seleo para
cada tipo de trfego (HTTP/HTTPS, SNMP ou SSH) que ser excludo. Se o trfego de
gerenciamento for enviado por meio de um tnel, os pacotes no sero excludos.

Usando o Monitor de pacotes | 145


Etapa 7 Use as configuraes Excluir o trfego do syslog para impedir a captura ou o espelhamento
do trfego de syslog para os servidores do registro em log. Marque a caixa de seleo para
cada tipo de servidor (Servidores do syslog ou Servidor do GMS) que sero excludos. Se
o trfego do syslog for enviado por meio de um tnel, os pacotes no sero excludos.
Etapa 8 Use as configuraes Excluir o trfego interno para para impedir a captura ou o
espelhamento do trfego interno entre o firewall e seu parceiro de Alta Disponibilidade ou um
SonicPoint conectado. Marque a caixa de seleo para cada tipo de trfego (HA ou
SonicPoint) que ser excludo.
Etapa 9 Para salvar suas configuraes e sair da janela de configurao, clique em OK.

Configurando o monitoramento com base em regras do firewall


Os recursos do Monitor de pacotes e Relatrios de fluxo permitem que o trfego seja
monitorado com base em regras do firewall para fluxos de trfego de entrada ou sada
especficos. Esse conjunto de recursos habilitado ao selecionar o monitoramento de fluxos
na rea Firewall > Regras de acesso da interface de gerenciamento do SonicOS.
Para definir as configuraes gerais, siga as etapas a seguir:

Etapa 1 V at a pgina Firewall > Regras de acesso e clique no cone Configurar para a(s) regra(s)
para as quais deseja habilitar o monitoramento de pacotes ou o relatrio de fluxo.
Etapa 2 Selecione a caixa de seleo Habilitar monitor de pacotes para enviar as estatsticas de
monitoramento dos pacotes para esta regra.

Etapa 3 Clique no boto OK para salvar as alteraes.

Nota Um maior nmero de configuraes de filtro do monitor necessrio na pgina Painel >
Monitor de pacotes para habilitar o monitoramento com base em regras do firewall.

146 | Guia do Administrador do SonicOS 6.2


Definindo as configuraes de filtro do monitor
Todos os filtros definidos nesta pgina aplicam-se captura de pacotes e ao espelhamento de
pacotes. Para definir as configuraes do Filtro do monitor, siga as etapas a seguir:

Etapa 1 V at a pgina Painel > Monitor de pacotes e clique em Configurar.


Etapa 2 Na janela Configurao do Monitor de pacotes, clique na guia Filtro do monitor.

Etapa 3 Selecione Habilitar filtro com base em regras do firewall se voc estiver usando regras do
firewall para capturar o trfego especfico.

Nota Antes que a opo Habilitar filtro com base em regras do firewall seja selecionada,
verifique se voc selecionou uma ou mais regras de acesso para o monitoramento do
trfego de pacotes. Esta configurao feita na pgina Firewall > Regras de acesso da
interface de gerenciamento do SonicOS.

Etapa 4 Especifique o modo como o Monitor de pacotes filtrar os pacotes usando as opes a seguir:
Nome(s) da interface possvel especificar at dez interfaces separadas por
vrgulas. Consulte a tela Rede > Interfaces na interface de gerenciamento para obter
os nomes de interface disponveis. possvel usar um valor negativo para configurar
todas as interfaces exceto a(s) especificada(s); por exemplo: !X0 ou !LAN.
Tipos de Ethernet possvel especificar at dez tipos de Ethernet separadas por
vrgulas. Atualmente, existe suporte para os seguintes tipos de Ethernet: ARP, IP,
PPPoE-SES e PPPoE-DIS. As duas ltimas podem ser especificadas somente pela
PPPoE. Esta opo no diferencia maisculas de minsculas. Por exemplo, para
capturar todos os tipos suportados, voc poderia inserir: ARP, IP, PPPOE. possvel
usar um ou mais valores negativos para capturar todos os tipos de Ethernet, exceto
aqueles especificados; por exemplo: !ARP, !PPPoE. Tambm possvel usar valores
hexadecimais para representar os tipos de Ethernet ou misturar valores hexadecimais
com as representaes padro; por exemplo: ARP, 0x800, IP. Geralmente, voc usaria

Usando o Monitor de pacotes | 147


somente valores hexadecimais para os tipos de Ethernet que no so suportados por
acrnimo no SonicOS. Consulte Tipos de pacotes suportados na pgina 159.
Tipo(s) de IP possvel especificar at dez tipos de IP separados por vrgulas. Os
seguintes tipos IP so suportados: TCP, UDP, ICMP, GRE, IGMP, AH, ESP. Esta opo
no diferencia maisculas de minsculas. possvel usar um ou mais valores
negativos para capturar todos os tipos de IP, exceto aqueles especificados; por
exemplo: !TCP, !UDP. Tambm possvel usar valores hexadecimais para representar
os tipos de IP ou misturar valores hexadecimais com as representaes padro; por
exemplo: TCP, 0x1, 0x6. Consulte Tipos de pacotes suportados na pgina 159.
Endereo(s) IP de origem possvel especificar at dez endereos IP separados
por vrgulas; por exemplo: 10.1.1.1, 192.2.2.2. possvel usar um ou mais valores
negativos para capturar pacotes de todos os endereos, exceto os especificados; por
exemplo: !10.3.3.3, !10.4.4.4.
Porta(s) de origem possvel especificar at dez nmeros de porta TCP ou UDP
separadas por vrgulas; por exemplo: 20, 21, 22, 25. possvel usar um ou mais
valores negativos para capturar pacotes de todas as portas, exceto as especificadas;
por exemplo: !80, !8080.
Endereo(s) IP de destino possvel especificar at dez endereos IP separados
por vrgulas; por exemplo: 10.1.1.1, 192.2.2.2. possvel usar um ou mais valores
negativos para capturar pacotes destinados para todos os endereos, exceto os
especificados; por exemplo: !10.3.3.3, !10.4.4.4.
Porta(s) de destino possvel especificar at dez nmeros de porta TCP ou UDP
separadas por vrgulas; por exemplo: 20, 21, 22, 25. possvel usar um ou mais
valores negativos para capturar pacotes destinados para todas as portas, exceto as
especificadas; por exemplo: !80, !8080.
Correspondncia de portas e endereo bidirecional Quando essa opo
selecionada, as portas e endereos IP especificados nos campos de Origem ou
Destino nesta pgina sero comparados com os campos de origem e destino em cada
pacote.
Somente pacotes encaminhados Selecione esta opo para monitorar todos os
pacotes que so encaminhados pelo firewall.
Somente pacotes consumidos Selecione esta opo para monitorar todos os
pacotes que so consumidos por fontes internas dentro do firewall.
Somente pacotes descartados Selecione esta opo para monitorar todos os
pacotes que so descartados no permetro.

Nota Se um campo for deixado em branco, nenhuma filtragem feita nesse campo. Os pacotes
so capturados ou espelhados sem considerar o valor contido no campo de seus
cabealhos.

Etapa 5 Para salvar suas configuraes e sair da janela de configurao, clique em OK.

Definindo as configuraes do filtro de exibio


Esta seo descreve como definir as configuraes do filtro de exibio do monitor de pacotes.
Os valores fornecidos aqui so comparados com os campos correspondentes nos pacotes
capturados e somente os pacotes correspondentes so exibidos. Essas configuraes se
aplicam somente exibio dos pacotes capturados na interface de gerenciamento e no
afetam o espelhamento de pacotes.

148 | Guia do Administrador do SonicOS 6.2


Nota Se um campo for deixado em branco, nenhuma filtragem feita nesse campo. Os pacotes
so exibidos sem considerar o valor contido no campo de seus cabealhos.

Para definir as configuraes do filtro de exibio do Monitor de pacotes, siga as etapas a


seguir:

Etapa 1 V at a pgina Painel > Monitor de pacotes e clique em Configurar.


Etapa 2 Na janela Configurao do Monitor de pacotes, clique na guia Filtro de exibio.

Etapa 3 Na caixa Nome(s) da interface, insira as interfaces do firewall para as quais os pacotes
devero ser exibidos ou use o formato negativo (!X0) para exibir os pacotes capturados de
todas as interfaces, exceto aquelas especificadas. possvel especificar at dez interfaces
separadas por vrgulas. Consulte a tela Rede > Interfaces na interface de gerenciamento para
obter os nomes de interface disponveis.
Etapa 4 Na caixa Tipo(s) de Ethernet, insira os tipos de Ethernet para os quais voc deseja exibir os
pacotes ou use o formato negativo (!ARP) para exibir os pacotes de todos os tipos de Ethernet,
exceto aqueles especificados. possvel especificar at dez tipos de Ethernet separados por
vrgulas. Atualmente, existe suporte para os seguintes tipos de Ethernet: ARP, IP, PPPoE-SES
e PPPoE-DIS. As duas ltimas podem ser especificadas somente pela PPPoE. Tambm
possvel usar valores hexadecimais para representar os tipos de Ethernet ou misturar valores
hexadecimais com as representaes padro; por exemplo: ARP, 0x800, IP. Geralmente, voc
usaria somente valores hexadecimais para os tipos de Ethernet que no so suportados por
acrnimo no SonicOS. Consulte Tipos de pacotes suportados na pgina 159.
Etapa 5 Na caixa Tipo(s) de IP, insira os tipos de pacotes IP para os quais voc deseja exibir os
pacotes ou use o formato negativo (!UDP) para exibir os pacotes de todos os tipos de IP, exceto
aqueles especificados. possvel especificar at dez tipos de IP separados por vrgulas. Os
seguintes tipos IP so suportados: TCP, UDP, ICMP, GRE, IGMP, AH, ESP. Tambm possvel
usar valores hexadecimais para representar os tipos de IP ou misturar valores hexadecimais
com as representaes padro; por exemplo: TCP, 0x1, 0x6. Consulte Tipos de pacotes

Usando o Monitor de pacotes | 149


suportados na pgina 159. Para exibir todos os tipos de IP, deixe o campo em branco.
Etapa 6 Na caixa Endereo(s) IP de origem, insira os endereos IP dos quais voc deseja exibir os
pacotes ou use o formato negativo (!10.1.2.3) para exibir os pacotes capturados de todos os
endereos de origem, exceto aqueles especificados.
Etapa 7 Na caixa Porta(s) de origem, insira os nmeros de porta das quais voc deseja exibir os
pacotes ou use o formato negativo (!25) para exibir os pacotes capturados de todas as portas
de origem, exceto aquelas especificadas.
Etapa 8 Na caixa Endereo(s) IP de destino, insira os endereos IP para os quais voc deseja exibir
os pacotes ou use o formato negativo (!10.1.2.3) para exibir os pacotes com todos os
endereos de destino, exceto aqueles especificados.
Etapa 9 Na caixa Porta(s) de destino, insira os nmeros de porta para as quais voc deseja exibir os
pacotes ou use o formato negativo (!80) para exibir os pacotes com todas as portas de destino,
exceto aquelas especificadas.
Etapa 10 Para a correspondncia dos valores nos campos de origem e destino com as informaes de
origem ou destino de cada pacote capturado, selecione a caixa de seleo Habilitar
Correspondncia de portas e endereo bidirecional.
Etapa 11 Para exibir os pacotes capturados encaminhados pelo firewall, selecione a caixa de seleo
Encaminhados.
Etapa 12 Para exibir os pacotes capturados gerados pelo firewall, selecione a caixa de seleo
Gerados.
Etapa 13 Para exibir os pacotes capturados consumidos pelo firewall, selecione a caixa de seleo
Consumidos.
Etapa 14 Para exibir os pacotes capturados descartados pelo firewall, selecione a caixa de seleo
Descartados.
Etapa 15 Para salvar suas configuraes e sair da janela de configurao, clique em OK.

Definindo as configuraes do registro em log


Esta seo descreve como definir as configuraes do registro em log do Monitor de pacotes.
Essas configuraes fornecem uma maneira de configurar o registro automtico em log do
buffer de captura para um servidor FTP externo. Quando o buffer estiver cheio, os pacotes so
transferidos para o servidor FTP. A captura continua sem interrupo.
Se voc configurar o registro automtico em log do FTP, isso substituir a configurao de
encapsulamento do buffer quando ele estiver cheio. Com o registro automtico em log do FTP,
o buffer de captura encapsulado de forma eficaz quando ele estiver cheio, mas tambm
possvel manter todos os dados em vez de substitu-los sempre que o buffer for encapsulado.

150 | Guia do Administrador do SonicOS 6.2


Para definir as configuraes do registro em log, siga as etapas a seguir:

Etapa 1 V at a pgina Painel > Monitor de pacotes e clique em Configurar.


Etapa 2 Na janela Configurao do Monitor de pacotes, clique na guia Registro em log.

Etapa 3 Na caixa Endereo IP do servidor FTP, insira o endereo IP do servidor FTP.

Nota Verifique se o endereo IP do servidor FTP alcanvel pelo firewall. No h suporte para
um endereo IP que seja alcanvel somente por meio de um tnel VPN.

Etapa 4 Na caixa ID de login, insira o nome do login que o firewall deve usar para se conectar ao
servidor FTP.
Etapa 5 Na caixa ID de senha, insira o nome da senha que o firewall deve usar para se conectar ao
servidor FTP.
Etapa 6 Na caixa Caminho do diretrio, insira o local do diretrio para os arquivos transferidos. Os
arquivos so registrados neste local, referentes ao diretrio raiz do FTP padro. Para o formato
libcap, os arquivos so nomeados packet-log--<>.cap, onde o <> contm um nmero de
execuo e data, incluindo hora, dia, ms e ano. Por exemplo, packet-log--3-22-08292006.cap.
Para o formato HTML, os nomes dos arquivo esto no formulrio: packet-log_h-<>.html. Um
exemplo de um nome de arquivo HTML : packet-log_h-3-22-08292006.html.
Etapa 7 Para ativar a transferncia automtica do arquivo de captura para o servidor FTP quando o
buffer estiver cheio, selecione a caixa de seleo Registrar em log no servidor FTP
automaticamente. Os arquivos so transferidos nos formatos libcap e HTML.
Etapa 8 Para habilitar a transferncia do arquivo no formato HTML, bem como no formato libcap,
selecione Registrar em log o arquivo HTML junto com o arquivo .cap (FTP).
Etapa 9 Para testar a conexo com o servidor FTP e transferir o contedo do buffer de captura para
ele, clique em Registrar em log agora. Nesse caso, o nome do arquivo conter um F. Por
exemplo, packet-log-F-3-22-08292006.cap ou packet-log_h-F-3-22-08292006.html.
Etapa 10 Para salvar suas configuraes e sair da janela de configurao, clique em OK.

Usando o Monitor de pacotes | 151


Reiniciar o registro em log do FTP

Se o registro automtico em log do FTP estiver desativado devido a uma falha de conexo ou
uma conexo simplesmente desativada, possvel reinici-lo em Configurar > Registro em
log.

Etapa 1 V at a pgina Painel > Monitor de pacotes e clique em Configurar.


Etapa 2 Na janela Configurao do Monitor de pacotes, clique na guia Registro em log.
Etapa 3 Verifique se as configuraes esto corretas para todos os itens da pgina. Consulte Definindo
as configuraes do registro em log na pgina 150.
Etapa 4 Para alterar o status do registro em log do FTP na pgina principal do monitor de pacotes para
ativo, selecione a caixa de seleo Registrar em log no servidor FTP automaticamente .
Etapa 5 Para salvar suas configuraes e sair da janela de configurao, clique em OK.

Definindo as configuraes avanadas de filtro do monitor


Esta seo descreve como configurar o monitoramento dos pacotes gerados pelo firewall e
para o trfego intermedirio.

Etapa 1 V at a pgina Painel > Monitor de pacotes e clique em Configurar.


Etapa 2 Na janela Configurao do Monitor de pacotes, clique na guia Filtro avanado do monitor.

Etapa 3 Para monitorar os pacotes gerados pelo firewall, selecione a caixa de seleo Monitorar
pacotes gerados pelo firewall.

152 | Guia do Administrador do SonicOS 6.2


Mesmo quando outros filtros do monitor no forem correspondentes, essa opo garante que
os pacotes gerados pelo firewall sejam capturados. Isto inclui os pacotes gerados por
servidores HTTP(S), L2TP, DHCP, PPP, PPPOE e protocolos de roteamento. Os pacotes
capturados so marcados com s na rea de interface de entrada quando eles so
provenientes da pilha do sistema. Caso contrrio, a interface de entrada no ser especificada.
Etapa 4 Para monitorar os pacotes intermedirios gerados pelo firewall, selecione a caixa de seleo
Monitorar pacotes intermedirios. Selecionar esta caixa de seleo habilita, mas no
seleciona, as caixas de seleo subsequentes para o monitoramento de tipos especficos de
trfego intermedirio.
Etapa 5 Selecione a caixa de seleo para qualquer uma das opes a seguir para monitorar esse tipo
de trfego intermedirio:
Monitorar trfego intermedirio de multicast Captura ou espelha o trfego de
multicast replicado.
Monitorar trfego auxiliar intermedirio do IP Captura ou espelha Pacotes auxiliares
do IP replicados.
Monitorar trfego intermedirio reagrupado Captura ou espelha pacotes do IP
reagrupados.
Monitorar trfego intermedirio fragmentado Captura ou espelha pacotes
fragmentados pelo firewall.
Monitorar trfego espelhado intermedirio remoto Captura ou espelha pacotes
espelhados remotos aps o desencapsulamento.
Monitorar trfego intermedirio do IPsec Captura ou espelha pacotes do IPSec aps
a criptografia e decodificao.
Monitorar trfego intermedirio decodificado do SSL Captura ou espelha pacotes
SSL decodificados. Alguns campos do cabealho do IP e TCP podem no ser precisos
nos pacotes monitorados, incluindo as somas de verificao do IP e TCP e os nmeros
de porta TCP (remapeados para a porta 80). O DPI-SSL deve estar habilitado para
decodificar os pacotes.
Monitorar trfego intermedirio decodificado do LDAP sobre os pacotes TLS Captura
ou espelha os pacotes LDAPS decodificados. Os pacotes so marcados com (ldp)
nos campos de interface de entrada/sada e tero cabealhos Ethernet, IP e TCP
fictcios com alguns campos no precisos. O servidor do LDAP est definido para 389.
As senhas de solicitaes de ligao LDAP capturadas so confusas.
Monitorar mensagens decodificadas de agentes intermedirios de Login nico
Captura ou espelha mensagens decodificadas de ou para o Agente SSO. Os pacotes
so marcados com (sso) nos campos de interface de entrada/sada e tero
cabealhos Ethernet, IP e TCP fictcios com alguns campos no precisos.

Nota Os filtros do monitor ainda so aplicados a todos os tipos de trfego intermedirio.

Etapa 6 Para salvar suas configuraes e sair da janela de configurao, clique em OK.

Usando o Monitor de pacotes | 153


Definindo as configuraes do espelho
Esta seo descreve como definir as configuraes do espelho do Monitor de pacotes. As
configuraes do espelho fornecem uma maneira de enviar pacotes a uma porta fsica
diferente do mesmo firewall ou de enviar ou receber pacotes de um firewall SonicWALL remoto.
Para definir as configuraes do espelho, siga as etapas a seguir:

Etapa 1 V at a pgina Painel > Monitor de pacotes e clique em Configurar.


Etapa 2 Na janela Configurao do Monitor de pacotes, clique na guia Espelho.

Etapa 3 Em Configuraes do espelho, insira a taxa mxima do espelho desejada no campo Taxa
mxima do espelho (em quilobits por segundo). Se essa taxa for ultrapassada durante o
espelhamento, os pacotes em excesso no sero espelhados e sero contados como pacotes
ignorados. Esta configurao aplica-se ao espelhamento local e remoto. O valor padro e
mnimo de 100 kbps e o valor mximo de 1 Gbps.
Etapa 4 Selecione a caixa de seleo Espelhar somente pacotes do IP para impedir o espelhamento
de outros pacotes do tipo Ethernet, como ARP ou PPPoE. Se for selecionada, esta opo
substitui todos os tipos de Ethernet fora do IP selecionados na guia Filtro do monitor.
Etapa 5 Em Configuraes do espelho local, selecione a interface de destino para os pacotes
espelhados localmente na lista suspensa Espelhar pacotes filtrados para a interface.
Etapa 6 Em Configuraes do espelho remoto (Remetente), no campo Espelhar pacotes filtrados
para o firewall Sonicwall remoto (Endereo IP) insira o endereo IP do SonicWALL remoto
para o qual os pacotes espelhados sero enviados.

154 | Guia do Administrador do SonicOS 6.2


Nota O SonicWALL remoto deve ser configurado para receber os pacotes espelhados.

Etapa 7 No campo Criptografar pacotes espelhados remotos via IPSec (chave IKE pr-
compartilhada), insira a chave pr-compartilhada que ser utilizada para criptografar o trfego
ao enviar pacotes espelhados para o firewall remoto. Configurar este campo habilitar o tnel
do modo de transporte IPSec entre este dispositivo e o firewall remoto. Esta chave pr-
compartilhada utilizada pelo IKE para negociar as chaves do IPSec.
Etapa 8 Em Configuraes do espelho remoto (Receptor), no campo Receber pacotes espelhados
para o firewall Sonicwall remoto (Endereo IP) insira o endereo IP do SonicWALL remoto
para o qual os pacotes espelhados sero enviados.

Nota O SonicWALL remoto deve ser configurado para enviar os pacotes espelhados.

Etapa 9 No campo Decodificar pacotes espelhados remotos via IPSec (chave IKE pr-
compartilhada), insira a chave pr-compartilhada que ser utilizada para decodificar o trfego
ao receber pacotes espelhados do firewall remoto. Configurar este campo habilitar o tnel do
modo de transporte IPSec entre este dispositivo e o firewall remoto. Esta chave pr-
compartilhada utilizada pelo IKE para negociar as chaves do IPSec.
Etapa 10 Para espelhar os pacotes recebidos para outra interface no SonicWALL local, selecione a
interface na lista suspensa Enviar pacotes espelhados remotos recebidos para a interface.
Etapa 11 Para salvar os pacotes recebidos no buffer de captura local, selecione a caixa de seleo
Enviar pacotes espelhados remotos recebidos para o buffer de captura. Essa opo no
depende do envio dos pacotes recebidos para outra interface e as duas podem ser ativadas,
se desejado.
Etapa 12 Para salvar suas configuraes e sair da janela de configurao, clique em OK.

Verificando as atividades do Monitor de pacotes


Esta seo descreve como saber se seu monitor de pacotes, espelhamento ou registro em log
do FTP est funcionando corretamente de acordo com a configurao. Ela contm as
seguintes sees:
Noes bsicas sobre os indicadores de status na pgina 155
Limpando as informaes de status na pgina 158

Noes bsicas sobre os indicadores de status


A pgina principal do Monitor de pacotes exibe os indicadores de status para a captura de
pacotes, espelhamento e registro em log do FTP. Dicas de ferramentas com informaes em
pop-up esto disponveis para a exibio rpida das definies de configurao.

Usando o Monitor de pacotes | 155


Consulte as sees a seguir:
Status da captura de pacotes na pgina 156
Status de espelhamento na pgina 156
Status de registro em log do FTP na pgina 157
Estatsticas atuais do buffer na pgina 157
Configuraes atuais na pgina 158

Status da captura de pacotes


O indicador de status da captura de pacotes rotulado como Rastreamento e mostra uma das
trs condies a seguir:
Vermelho A captura foi interrompida
Verde A captura est sendo executada e o buffer no est cheio
Amarelo A captura est sendo executada, mas o buffer est cheio
A interface de gerenciamento tambm exibe o tamanho do buffer, o nmero de pacotes
capturados, a porcentagem de espao utilizada no buffer e a quantidade de perda do buffer.
Pacotes perdidos ocorrem quando o registro automtico em log do FTP est ativado, mas a
transferncia de arquivos est lenta, por algum motivo. Se a transferncia no estiver
concluda no momento em que o buffer estiver cheio novamente, os dados no buffer
preenchido recentemente sero perdidos.

Nota Embora a opo de encapsulamento do buffer limpe o buffer aps o encapsulamento


automtico at o incio, isso no considerado perda de dados.

Status de espelhamento
Existem trs indicadores de status do espelhamento de pacotes:

Espelhamento local Pacotes enviados a outra interface fsica no mesmo SonicWALL


Para o espelhamento local, o indicador de status mostra uma das trs condies a seguir:
Vermelho O espelhamento est desativado
Verde O espelhamento est ativado
Amarelo O espelhamento est ativado, mas foi desativado porque a interface de
espelhamento local no foi especificada
A linha do espelhamento local tambm exibe as estatsticas a seguir:
Espelhamento para interface A interface de espelhamento local especificada
Pacotes espelhados O nmero total de pacotes espelhados localmente
Pacotes ignorados O nmero total de pacotes que ignoraram o espelhamento devido a
pacotes de entrada/sada na interface para a qual o monitoramento est configurado
Taxa de pacotes ultrapassados O nmero total de pacotes que ignoraram o
espelhamento devido ao limite da taxa

Transmisso do espelhamento remoto Pacotes enviados a um SonicWALL remoto


Para a Transmisso do espelhamento remoto, o indicador de status mostra uma das trs
condies a seguir:
Vermelho O espelhamento est desativado
Verde O espelhamento est ativado e um endereo IP do SonicWALL remoto est
configurado
Amarelo O espelhamento est ativado, mas foi desativado porque o dispositivo remoto
rejeita os pacotes espelhados e envia mensagens do ICMP de porta inacessvel

156 | Guia do Administrador do SonicOS 6.2


A linha Transmisso do espelhamento remoto tambm exibe as seguintes estatsticas:
Espelhamento para O endereo IP remoto especificado do SonicWALL
Pacotes espelhados O nmero total de pacotes espelhados para um dispositivo remoto
do SonicWALL
Pacotes ignorados O nmero total de pacotes que ignoraram o espelhamento devido a
pacotes de entrada/sada na interface para a qual o monitoramento est configurado
Taxa de pacotes ultrapassados O nmero total de pacotes que no foram capazes de
serem espelhados para um SonicWALL remoto, devido a uma porta inacessvel ou a outros
problemas de rede

Recepo do espelhamento remoto Pacotes recebidos de um SonicWALL remoto


Para a Recepo do espelhamento remoto, o indicador de status mostra uma das duas
condies a seguir:
Vermelho O espelhamento est desativado
Verde O espelhamento est ativado e um endereo IP do SonicWALL remoto est
configurado
A linha Recepo do espelhamento remoto tambm exibe as seguintes estatsticas:
Recepo de O endereo IP remoto especificado do SonicWALL
Espelhar pacotes recebidos O nmero total de pacotes recebidos de um dispositivo
remoto do SonicWALL
Espelhar pacotes recebidos, mas ignorados O nmero total de pacotes recebidos de um
dispositivo SonicWALL remoto que no foram capazes de serem espelhados localmente
devido a erros nos pacotes

Status de registro em log do FTP


O indicador de status de registro em log do FTP mostra uma das trs condies a seguir:
Vermelho O registro automtico em log do FTP est desativado
Verde O registro automtico em log do FTP est ativado
Amarelo Falha na ltima tentativa de contatar o servidor FTP e o registro em log est
desativado no momento
Para reiniciar o registro automtico em log do FTP, consulte Reiniciar o registro em log do
FTP na pgina 152.
Ao lado do indicador de registro em log do FTP, a interface de gerenciamento tambm exibe o
nmero de tentativas com falhas e com xito de transferir o contedo do buffer para o servidor
FTP, o estado atual do segmento do processo do FTP e o status do buffer de captura.
Abaixo do indicador de registro em log do FTP, na linha Estatsticas atuais do buffer, a interface
de gerenciamento exibe o nmero de pacotes descartados, encaminhados, consumidos,
gerados ou desconhecidos.
Na linha Configuraes atuais, possvel passar o mouse sobre Filtros, Geral ou Registro em
log para exibir o valor atualmente configurado para cada configurao nessa categoria. A
exibio de Filtros inclui as configuraes do filtro de captura e do filtro de exibio. A exibio
de Geral inclui as configuraes geral e avanada. A exibio de Registro em log mostra as
configuraes de registro em log do FTP.

Estatsticas atuais do buffer


A linha Estatsticas atuais do buffer resume o contedo atual do buffer de captura local. Ela
mostra o nmero de pacotes descartados, encaminhados, consumidos, gerados e
desconhecidos.

Usando o Monitor de pacotes | 157


Configuraes atuais
A linha Configuraes atuais fornece exibies de informaes dinmicas para as
configuraes de filtro, geral, registro em log e espelhamento definidas. Ao passar o mouse
sobre um dos cones de informaes ou sobre seu rtulo, uma dica de ferramenta em pop-up
exibe as configuraes atuais para essa seleo.

Limpando as informaes de status


possvel limpar a fila do monitor de pacotes e as estatsticas exibidas do buffer de captura,
espelhamento e registro em log do FTP.

Etapa 1 V at a pgina Painel > Monitor de pacotes.


Etapa 2 Clique em Limpar.
Etapa 3 Clique em OK na caixa de dilogo de confirmao.

Informaes relacionadas
Esta seo contm as seguintes subsees:
Tipos de pacotes suportados na pgina 159
Formatos de arquivo para Exportar como na pgina 159

158 | Guia do Administrador do SonicOS 6.2


Tipos de pacotes suportados
Ao especificar os tipos de pacote Ethernet ou IP que voc deseja monitorar ou exibir, possvel
usar o acrnimo padro para o tipo, se houver suporte, ou a representao hexadecimal
correspondente. Para determinar o valor hexadecimal de um protocolo, consulte a RFC para
obter o nmero atribudo a ele pela IANA. Os acrnimos dos protocolos que a SonicOS
atualmente suporta so os seguintes:

Tipos de Ethernet suportados: ARP


IP
PPPoE-DIS
PPPoE-SES
Para especificar PPPoE-DIS e PPPoE-SES, basta usar o
PPPoE.
Tipos de IP suportados: TCP
UDP
ICMP
IGMP
GRE
AH
ESP

Formatos de arquivo para Exportar como


A opo Exportar como da pgina Painel > Monitor de pacotes permite que voc exiba ou
salve um instantneo do buffer atual no formato de arquivo selecionado na lista suspensa. Os
arquivos salvos so colocados no sistema de gerenciamento local (onde a interface de
gerenciamento est sendo executada). Escolha um dos formatos a seguir:
Libpcap Selecione o formato Libpcap se deseja exibir os dados com o analisador de
protocolos de rede Wireshark. Ele tambm conhecido como formato libcap ou pcap. Uma
caixa de dilogo permite que voc abra o arquivo do buffer com o Wireshark ou salv-lo no
disco rgido local com a extenso .pcap.
HTML Selecione Html para exibir os dados com um navegador. possvel usar Arquivo > Salvar
como para salvar uma cpia do buffer no disco rgido.
Texto Selecione Texto para exibir os dados em um editor de texto. Uma caixa de dilogo
permite que voc abra o arquivo do buffer com o editor de texto registrado ou salv-lo no
disco rgido local com a extenso .wri.
Dados de aplicativos Selecione Dados de aplicativos para exibir apenas os dados de
aplicativo contidos no pacote. Os pacotes que no contm nenhum dado de aplicativo so
ignorados durante a captura. Dados de aplicativos = pacote capturado menos os
cabealhos L2, L3 e L4.
Alguns exemplos de formatos de Texto e HTML so mostrados nas sees a seguir:
Formato HTML na pgina 160
Formato do arquivo de texto na pgina 161

Usando o Monitor de pacotes | 159


Formato HTML
possvel exibir o formato HTML em um navegador. Segue abaixo um exemplo que mostra o
cabealho e parte dos dados para o primeiro pacote no buffer.

160 | Guia do Administrador do SonicOS 6.2


Formato do arquivo de texto
possvel exibir a sada do formato de texto em um editor de texto. Segue abaixo um exemplo
que mostra o cabealho e parte dos dados para o primeiro pacote no buffer.

Usando o Monitor de pacotes | 161


162 | Guia do Administrador do SonicOS 6.2
Captulo 11
Usando ferramentas de diagnstico

Esta seo contm informaes sobre as ferramentas de diagnstico fornecidas por SonicOS.
Consulte as sees a seguir para obter mais informaes:
Sistema > Diagnsticos na pgina 163
Sistema > Reiniciar na pgina 181

Sistema > Diagnsticos


A pgina Sistema > Diagnsticos fornece vrias ferramentas de diagnstico que ajudam a
solucionar problemas de rede, bem como de conexes ativas, CPU e monitores de processos.

Usando ferramentas de diagnstico | 163


Relatrio do suporte tcnico
O Relatrio do suporte tcnico gera um relatrio detalhado da configurao e do status do
dispositivo de segurana da Dell SonicWALL e o salva no disco rgido local usando o boto
Baixar relatrio. Este arquivo pode ser enviado por e-mail ao suporte tcnico da SonicWALL
para ajudar na assistncia ao seu problema.

Dica Deve-se registrar o dispositivo de segurana da SonicWALL em mysonicwall.com para


receber suporte tcnico.

Antes de enviar o e-mail do relatrio do suporte tcnico equipe de suporte tcnico da Dell SonicWALL,
preencha um formulrio de solicitao de suporte tcnico em https://www.mysonicwall.com. Aps o
envio do formulrio, um nmero exclusivo de ocorrncia ser retornado. Inclua esse nmero
de ocorrncia em todas as correspondncias, visto que ele permite que o suporte tcnico da
SonicWALL fornea um servio melhor.

Gerando um relatrio do suporte tcnico

Etapa 1 Na seo Relatrio do suporte tcnico, selecione qualquer uma das seguintes opes de
relatrio:
Chaves de VPN - salva segredos compartilhados, criptografias e chaves de autenticao
para o relatrio.
Cache de ARP - salva uma tabela que relaciona endereos IP ao MAC ou endereos
fsicos correspondentes.
Associaes DHCP - salva entradas do servidor DHCP do firewall.
Informaes IKE - salva informaes atuais sobre configuraes ativas de IKE.
Diagnsticos SonicPointN - salva as informaes de diagnstico sobre SonicPoints.
Usurios atuais - salva informaes atuais sobre conexes de usurio ativo.
Detalhe de usurios - salva informaes detalhadas sobre os usurios ativos.
Cache de Geo-IP/Botnets - salva as informaes armazenadas em cache atualmente de
Geo-IP e Botnet.

164 | Guia do Administrador do SonicOS 6.2


Detalhe de usurios - salva informaes atuais sobre detalhes da sesso do usurio
ativo. A caixa de seleo de relatrio de usurios atuais deve ser habilitada primeiro para
obter esse relatrio detalhado.
Etapa 2 Clique em Baixar relatrio para salvar o arquivo no sistema. Ao clicar em Baixar relatrio,
uma mensagem de aviso ser exibida.
Etapa 3 Clique em OK para salvar o arquivo. Anexe o relatrio ao e-mail de solicitao de suporte
tcnico.
Etapa 4 Para enviar a TSR, as preferncias do sistema e o log de rastreamento engenharia da
SonicWALL (no ao suporte tcnico da SonicWALL), clique em Enviar relatrios de
diagnstico. O indicador de Status na parte inferior da pgina exibir "Aguarde!" enquanto o
relatrio for enviado e, em seguida, exibir "Relatrios de diagnstico enviados com xito".
Geralmente, isso feito aps a comunicao com o suporte tcnico.
Etapa 5 Para enviar periodicamente a TSR, as preferncias do sistema e o log de rastreamento
MySonicWALL para a engenharia da SonicWALL, marque a caixa de seleo Habilitar backup
peridico de segurana de relatrios de diagnstico para MySonicwall e insira o intervalo
em minutos entre os relatrios peridicos no campo Intervalo de tempo (minutos).

Ferramentas de diagnstico
Selecione a ferramenta de diagnstico na lista suspensa Ferramenta de diagnstico na
seo Ferramenta de diagnstico da pgina Sistema > Diagnsticos. As seguintes
ferramentas de diagnstico esto disponveis:
Verificar configuraes de rede na pgina 166
Monitor de conexes na pgina 167
Monitor multi-core na pgina 169
Monitor central na pgina 170
Monitor de link na pgina 171
Monitor de tamanho de pacotes na pgina 172
Pesquisa de nome DNS na pgina 173
Encontrar caminho de rede na pgina 174
Ping na pgina 174
Monitor do processo do ncleo 0 na pgina 175
Pesquisa de lista negra em tempo real na pgina 176
Resoluo de nome reversa na pgina 176
Limite de conexo TopX na pgina 177
Pesquisa de MX e verificao de faixa na pgina 177
Rota de rastreamento na pgina 178
Monitor de servidor web na pgina 179
Monitor de usurios na pgina 180

Usando ferramentas de diagnstico | 165


Verificar configuraes de rede
Verificar configuraes de rede uma ferramenta de diagnstico que verificar
automaticamente o servio e a conectividade de rede de vrias reas funcionais predefinidas
do SonicOS, retornar os resultados e tentar descrever as causas, se as excees forem
detectadas. Essa ferramenta ajudar os administradores a localizar a rea do problema
quando os usurios encontrarem um problema de rede.

Especificamente, a ferramenta Verificar configuraes de rede testa automaticamente as


seguintes funes:
Configuraes de gateway padro
Configuraes de DNS
Conectividade com o servidor MySonicWALL
Conectividade com o servidor Gerenciador de licenas
Conectividade com o servidor Filtro de contedo
Os dados de retorno consistem em duas partes:
Resultados do teste fornece um resumo do resultado do teste
Notas fornecer detalhes para ajudar a determinar a causa, se houver quaisquer
problemas
A ferramenta Verificar configuraes de rede dependente do recurso Monitoramento de
rede disponvel na pgina Rede > Monitoramento de rede da interface de gerenciamento do
SonicOS. Sempre que a ferramenta Verificar configuraes de rede estiver sendo executada

166 | Guia do Administrador do SonicOS 6.2


(exceto durante o teste Filtro de contedo), uma poltica de monitoramento de rede
correspondente ser exibida na pgina de Monitoramento de rede, com um nome de poltica
de ferramenta de diagnstico especial no formato "diagTestPolicyAuto_<IP_address>_0".

Para usar a ferramenta Verificar configuraes de rede, primeiro selecione-a na lista suspensa
Ferramentas de diagnstico e clique no boto Testar na linha do item ao qual deseja testar.
Os resultados so exibidos na mesma linha. Uma marca de seleo verde significa um
teste bem-sucedido e um X vermelho indica que h um problema.
Para testar vrios itens ao mesmo tempo, marque a caixa de seleo de cada item desejado
e clique no boto Testar todos os selecionados.
Se houver quaisquer investigaes com falha, ser possvel clicar na seta azul esquerda
do campo Endereo IP do item com falha para ir para a pgina de configurao para investigar
a causa raiz.

Monitor de conexes
O Monitor de conexes exibe visualizaes exportveis, em tempo real (texto simples ou
CSV), que podem ser filtradas de todas as conexes para/e atravs do firewall.

Usando ferramentas de diagnstico | 167


Configuraes do monitor de conexes ativas
possvel filtrar os resultados para exibir apenas as conexes que correspondem a
determinados critrios. possvel filtrar por IP de origem, IP de destino, Porta de destino,
Protocolo, Interface de orig. e Interface de dest. Insira os critrios de filtro na tabela
Configuraes de monitor de conexes ativas. Clique em um ttulo de coluna para
classificar por essa coluna.

Os campos nos quais foram inseridos valores so combinados em uma cadeia de caracteres
de pesquisa com um E lgico. Por exemplo, se voc inserir valores para IP de origem e IP de
destino, a cadeia de caracteres de pesquisa procurar conexes que correspondam a:
IP de origem E IP de Destino

Marque a caixa Grupo prxima a qualquer um dos dois ou mais critrios para combin-los com
um OU lgico. Por exemplo, se voc inserir valores para IP de origem, IP de destino e
Protocolo e marcar Grupo prximo ao IP de origem e IP de destino, a cadeia de caracteres
de pesquisa procurar conexes que correspondam a:
(IP de origem OU IP de Destino) E Protocolo

Clique em Aplicar Filtro para aplicar o filtro imediatamente tabela Monitor de conexes
ativas. Clique em Reconfigurar filtros para limpar o filtro e exibir novamente os resultados
no filtrados.
possvel exportar a lista de conexes ativas para um arquivo. Clique em Exportar
Resultados e selecione se voc deseja que os resultados sejam exportados para um arquivo
de texto simples ou um arquivo CSV (valores separados por vrgula) para importao para uma
planilha, ferramenta de relatrio ou banco de dados. Se for solicitado a voc Abrir ou Salvar o
arquivo, selecione Salvar. Em seguida, insira um nome de arquivo e caminho e clique em OK.

168 | Guia do Administrador do SonicOS 6.2


Monitor multi-core
O Monitor Multi-Core exibe estatsticas atualizadas dinamicamente sobre a utilizao dos
ncleos individuais do dispositivo de segurana da Dell SonicWALL. O ncleo 1 at o ncleo
8 lida com o plano de controle. O uso do ncleo 1 at o ncleo 8 exibido em verde sobre o
Monitor Multi-Core. Os ncleos restantes manipulam o plano de dados. Para maximizar a
flexibilidade do processador, as funes no so dedicadas a ncleos especficos, em vez
disso, todos os ncleos podem processar todas as tarefas de plano de dados. A memria
compartilhada entre todos os ncleos. Cada ncleo pode processar um fluxo separado
simultaneamente, permitindo que at 88 fluxos sejam processados em paralelo.

Usando ferramentas de diagnstico | 169


Monitor central
O Monitor central exibe as estatsticas atualizadas dinamicamente sobre a utilizao de um
nico ncleo especificado nos dispositivos de segurana da Dell SonicWALL. A opo Ver
estilo oferece uma ampla variedade de intervalos de tempo que podem ser exibidos para
revisar o uso do ncleo.

170 | Guia do Administrador do SonicOS 6.2


Monitor de link
O Monitor de link exibe a utilizao de largura de banda para as interfaces no firewall. A
utilizao de largura de banda mostrada como uma porcentagem da capacidade total. O
Monitor de link pode ser configurado para exibir o trfego de entrada, o trfego de sada ou
ambos para cada uma das interfaces fsicas no dispositivo.

Usando ferramentas de diagnstico | 171


Monitor de tamanho de pacotes
O Monitor de tamanho de pacotes exibe os tamanhos de pacotes em interfaces no firewall.
possvel selecionar a partir de quatro perodos de tempo, que vo desde os ltimos 30
segundos aos ltimos 30 dias. O Monitor de tamanho de pacotes pode ser configurado para
exibir o trfego de entrada, o trfego de sada ou ambos para cada uma das interfaces fsicas
no dispositivo.

Etapa 1 Selecione uma das seguintes opes na lista suspensa Ver estilo:
ltimos 30 segundos
ltimos 30 minutos
ltimas 24 horas
ltimos 30 dias
Etapa 2 Selecione a interface fsica a ser visualizada na lista suspensa Nome de interface.
Etapa 3 Na lista suspensa Direo, selecione uma das seguintes opes:
Ambos Selecionar para pacotes que viajam na entrada e na sada
Entrada Selecionar para pacotes que chegam na interface
Sada Selecionar para pacotes que saem da interface
Os pacotes so exibidos no grfico de Tamanho mdio do pacote, em que o eixo X especifica
quando os pacotes cruzaram a interface e o eixo Y especifica o tamanho mdio de pacotes
nesse momento. Os pacotes de entrada so exibidos em verde e os pacotes de sada so
exibidos em vermelho.

172 | Guia do Administrador do SonicOS 6.2


Pesquisa de nome DNS
O dispositivo de segurana da Dell SonicWALL tem uma ferramenta de pesquisa DNS que
retorna o endereo IP de um nome de domnio. Se voc inserir um endereo IP, ele retornar
o nome de domnio para esse endereo.

Para resolver um nome de host ou um endereo IP:


Insira o nome de host ou endereo IP no campo Procurar nome.
No adicione http no nome de host.
O firewall consulta o servidor DNS e exibe o resultado na seo Resultado. Ele tambm exibe
o endereo IP do servidor DNS usado para executar a consulta.
A seo Pesquisa de nome DNS tambm exibe os endereos IP dos servidores DNS
configurados no firewall. Se no houver nenhum endereo IP ou endereos IP nos campos
Servidor DNS, deve-se configur-los na pgina Rede > Configuraes.

Pesquisa de nome DNS do IPv6


Para obter informaes completas sobre a implementao do IPv6 do SonicOS,
consulte IPv6 na pgina 1443.

A ferramenta Pesquisa de nome DNS do IPv6 pesquisar o endereo IPv6 para um nome de
domnio. Como alternativa, se voc inserir um endereo IPv6, ele pesquisar o nome de
domnio para esse endereo.
Ao realizar a Pesquisa de DNS do IPv6 ou a Pesquisa de nome reverso do IPv6, digite o
endereo do servidor DNS. Pode ser usado um endereo IPv6 ou IPv4.
Para usar a ferramenta Pesquisa de nome DNS do IPv6, realize as seguintes etapas:

Etapa 1 Digite um endereo do servidor DNS no IPv4 no campo Servidor DNS (V4) ou um endereo
do servidor DNS no IPv6 no campo Servidor DNS (V6).
Etapa 2 No campo Pesquisa reversa do endereo IP, digite o nome de domnio do qual deseja saber
o endereo IPv6 ou o endereo IPv6 do qual deseja saber o nome de domnio.
Etapa 3 Clique em Ir.
O dispositivo retornar o par de correspondncia do endereo IPv6 e nome de domnio.

Usando ferramentas de diagnstico | 173


Encontrar caminho de rede
Insira um endereo IP para determinar que o caminho de rede, que est localizado em uma
interface de rede especfica, atingiu o endereo IP de gateway de um roteador, e atingiu por
meio de um endereo ethernet.

Ping
O teste Ping recupera um pacote desativado de uma mquina na Internet e o retorna ao
remetente. Esse teste mostra se o firewall capaz de entrar em contato com o host remoto.
Se os usurios na LAN estiverem tendo problemas ao acessar servios na Internet, tente
executar o ping do servidor DNS ou em outra mquina no local do ISP. Se o teste for
malsucedido, tente executar o ping de dispositivos fora do ISP. Se for possvel executar o ping
em dispositivos fora do ISP, em seguida, o problema estar com a conexo do ISP.

Etapa 1 Selecione Ping no menu Ferramenta de diagnstico.


Etapa 2 Insira o nome de host ou endereo IP do dispositivo de destino e clique em Ir.
Etapa 3 No menu suspenso Interface, selecione a partir de qual interface WAN deseja testar o ping.
Selecionar TODOS permite que o dispositivo escolha entre todas as interfaces incluindo
aquelas no listadas no menu suspenso.
Se o teste for bem-sucedido, o firewall retornar uma mensagem, informando que o endereo
IP est ativo e mostrando o tempo para retornar em milissegundos (ms).

174 | Guia do Administrador do SonicOS 6.2


Ping para IPv6
Para obter informaes completas sobre a implementao do IPv6 do SonicOS, consulte IPv6
na pgina 1443.
A ferramenta de ping inclui uma nova opo Preferir rede IPv6.

Ao executar ping em um domnio, usado o primeiro endereo IP que retornado e mostrado


o endereo de ping real. Se forem retornados um endereo IPv4 e um endereo IPv6, por
padro, o firewall executa ping no endereo IPv4.
Se a opo Preferir rede IPv6 estiver habilitada, o firewall executar o ping do endereo IPv6.

Monitor do processo do ncleo 0


O Monitor do processo do ncleo 0 mostra os processos de sistema individual no ncleo 0, sua
utilizao de CPU e sua hora do sistema. O monitor do processo do ncleo 0 est disponvel
nos dispositivos da srie SuperMassive 9000 multi-core e da srie NSA multi-core.

Usando ferramentas de diagnstico | 175


Pesquisa de lista negra em tempo real
A ferramenta Pesquisa de Lista negra em tempo real permite testar endereos IP de SMTP, servios
de RBL ou servidores DNS. Insira um endereo IP no campo Endereo IP, um FQDN para o RBL no
campo Domnio RBL e informaes do servidor DNS no campo Servidor DNS. Clique em Ir.

Resoluo de nome reversa


A ferramenta Resoluo de nome reversa semelhante ferramenta de pesquisa de nome
DNS, exceto se ela procurar um nome de servidor, determinado um endereo IP.

Insira um endereo IP no campo Pesquisa reversa de endereo IP e ela verificar todos os


servidores DNS configurados para o dispositivo de segurana para resolver o endereo IP em
um nome de servidor.

Resoluo de nome reverso do IPv6


Para obter informaes completas sobre a implementao do IPv6 do SonicOS, consulte IPv6
na pgina 1443.
A ferramenta de Resoluo de nome reverso do IPv6 pesquisar o nome do servidor para um
determinado endereo IPv6. Para usar a ferramenta, realize as seguintes etapas:

Etapa 1 Digite um endereo do servidor DNS no IPv4 no campo Servidor DNS (V4) ou um endereo
do servidor DNS no IPv6 no campo Servidor DNS (V6).
Etapa 2 Digite o endereo IPv6 do qual deseja saber o nome do servidor no campo Pesquisa reversa
do endereo IP.
Etapa 3 Clique em Ir.
O dispositivo retornar o nome do servidor para o endereo IPv6.

176 | Guia do Administrador do SonicOS 6.2


Limite de conexo TopX
A ferramenta Limite de conexo TopX lista as 10 principais conexes pelos endereos IP de
origem e destino. Antes de poder usar essa ferramenta, deve-se habilitar a limitao de IP de
origem e/ou a limitao de IP de destino para o dispositivo. Se elas no estiverem habilitadas,
a pgina exibir uma mensagem para inform-lo de que possvel habilit-las na pgina
Firewall > Avanado.

Verificar a pesquisa de servidor de BOTNET e localizao


geogrfica
O recurso de filtragem de Botnet e Geo-IP permite aos administradores bloquear conexes
para/de um local geogrfico com base no endereo IP e para/de servidores de controle e
comando de Botnet. A funcionalidade adicional para esse recurso est disponvel na pgina
Servios de segurana > Filtro Geo-IP e Botnet. Para obter detalhes completos, Servios
de segurana > Filtro Geo-IP na pgina 1265 e

Pesquisa de MX e verificao de faixa


A ferramenta Pesquisa de MX e verificao de faixa permite procurar um domnio ou
endereo IP. Os Servidores DNS configurados so exibidos nos campos Servidor DNS 1/2/3,
mas no so editveis. Aps digitar um nome de domnio, como "google.com" no campo IP ou
nome de pesquisa e clicar em Ir, a sada ser exibida em Resultado. Os resultados incluem
o nome de domnio ou de endereo IP inserido, o servidor DNS da lista usada, o nome de

Usando ferramentas de diagnstico | 177


domnio do servidor de e-mail resolvido e/ou endereo IP e a faixa recebida do servidor de
domnio ou uma mensagem informando que a conexo foi recusada. O contedo da faixa
depende do servidor que voc est pesquisando.

Rota de rastreamento
Rota de rastreamento um utilitrio de diagnstico para ajudar a diagnosticar e solucionar
problemas de conexes de roteador na Internet. Usando os pacotes de ecos do Protocolo de
Mensagem de Conexo de Internet (ICMP) semelhantes aos pacotes de Ping, a Rota de
rastreamento poder testar a interconectividade com roteadores e outros hosts que esto
cada vez mais distante do caminho de rede at que a conexo falhe ou at que o host remoto
responda.

Etapa 1 Selecione Rota de rastreamento no menu Ferramenta de diagnstico.


Etapa 2 Digite o nome de domnio ou o endereo IP do host de destino no campo TraceRoute deste
host ou endereo IP.
Etapa 3 No menu suspenso Interface, selecione a partir de qual interface deseja testar a rota de
rastreamento. Selecionar TODOS permite que o dispositivo escolha entre todas as interfaces
incluindo aquelas no listadas no menu suspenso.
Etapa 4 Clique em Ir.
Uma segunda janela exibida com cada salto para o host de destino. Seguindo a rota,
possvel diagnosticar onde a conexo falha entre o firewall e o destino.

178 | Guia do Administrador do SonicOS 6.2


TraceRoute para IPv6
Para obter informaes completas sobre a implementao do IPv6 do SonicOS, consulte IPv6
na pgina 1443.
A ferramenta TraceRoute inclui uma nova opo Preferir rede IPv6.

Ao testar a interconectividade com roteadores e outros hosts, ele usa o primeiro endereo IP
que retornado e mostra o endereo do TraceRoute real. Se um endereo IPv4 e IPv6 forem
retornados, por padro, o firewall executar o TraceRoute do endereo IPv4.
Se a opo Preferir rede IPv6estiver habilitada, o firewall executar o TraceRoute do
endereo IPv6.

Monitor de servidor web


A ferramenta Monitor de servidor web exibe a utilizao da CPU do servidor web em vrios
perodos de tempo. O intervalo de tempo do Monitor de servidor web pode ser alterado,
selecionando uma das opes a seguir no menu suspenso Ver estilo: ltimos 30 segundos,
ltimos 30 minutos, ltimas 24 horas ou ltimos 30 dias.

Usando ferramentas de diagnstico | 179


Monitor de usurios
A ferramenta Monitor de usurios exibe o nmeros de usurios registrados em vrios
perodos de tempo. O intervalo de tempo do Monitor de usurio pode ser alterado,
selecionando uma das opes a seguir no menu suspenso Ver estilo: ltimos 30 minutos,
ltimas 24 horas ou ltimos 30 dias.

180 | Guia do Administrador do SonicOS 6.2


Sistema > Reiniciar
O dispositivo de segurana da Dell SonicWALL pode ser reiniciado a partir da interface do
gerenciamento da web.

Etapa 1 V at a pgina Sistema > Reiniciar.


Etapa 2 Clique em Reiniciar.
O firewall leva cerca de 60 segundos para ser reiniciado.

Durante o tempo de reinicializao, o acesso Internet interrompido momentaneamente na


LAN.

Usando ferramentas de diagnstico | 181


182 | Guia do Administrador do SonicOS 6.2
Parte 4

Rede

| 183
184 | Guia do Administrador do SonicOS 6.2Guia do Administrador do SonicOS 6.2
Captulo 12
Configurar interfaces

Rede > Interfaces


A pgina Rede > Interfaces inclui objetos de interface que esto vinculados diretamente a
interfaces fsicas. O esquema do SonicOS de endereamento de interface funciona em
conjunto com zonas de rede e objetos de endereos.

Esta seo contm as seguintes subsees:


Configuraes de interface na pgina 186

Configurar interfaces | 185


Estatsticas de trfego de interface na pgina 186
Interfaces fsicas e virtuais na pgina 187
Objetos seguros do SonicOS na pgina 189
Modo transparente na pgina 190
Modo de sniffer IPS na pgina 190
Configurar interfaces na pgina 193
Configurar o modo de sniffer IPS na pgina 210
Configurar o modo de cabo e de tap na pgina 214
Modo de cabo com agregao de links na pgina 217
Modo de ponte de camada 2 na pgina 219
Configurar modo de ponte de camada 2 na pgina 240
Configurando interfaces para o IPv6 na pgina 249

Configuraes de interface
A tabela Configuraes de interface lista as seguintes informaes para cada interface:
Nome o nome da interface.
Zona LAN, WAN, DMZ e WLAN esto listadas por padro. Como as zonas esto
configuradas, os nomes so listados nesta coluna.
Grupo se a interface estiver atribuda a um grupo de balanceamento de carga, ele ser
exibido nesta coluna.
Endereo IP endereo IP atribudo interface.
Mscara de sub-rede a mscara de rede atribuda sub-rede.
Atribuio de IP os mtodos de atribuio de IP disponveis dependem da zona qual
a interface est atribuda:
LAN: Esttico, Transparente, Modo de ponte de camada 2, Modo de cabo, Modo de tap
WAN: Esttico, DHCP, PPPoE, PPTP, L2TP, Modo de cabo, Modo de tap
DMZ: Esttico, Transparente, Modo de ponte de camada 2, Modo de cabo, Modo de tap
WLAN: Esttico, Modo de ponte de camada 2
Status o status do link e a velocidade.
Comentrio todos os comentrios definidos pelo usurio.
Configurar clique no cone Configurar para exibir a caixa de dilogo Editar
interface que permite que voc defina as configuraes para a interface especificada.

Estatsticas de trfego de interface


A tabela Estatsticas de trfego de interface lista informaes recebidas e transmitidas para
todas as interfaces configuradas.
As seguintes informaes so exibidas para cada interface:
Pacotes Unicast Rx indica o nmero de comunicaes ponto a ponto recebidas pela
interface.
Pacotes de difuso Rx indica o nmero de comunicaes multiponto recebidas pela
interface.
Bytes Rx indica o volume de dados, em bytes, recebidos pela interface.
Pacotes Unicast Tx indica o nmero de comunicaes ponto a ponto transmitidas pela
interface.

186 | Guia do Administrador do SonicOS 6.2


Bytes de difuso Tx indica o nmero de comunicaes multiponto recebidas pela
interface.
Bytes Tx indica o volume de dados, em bytes, transmitidos pela interface.
Para limpar as estatsticas atuais, clique no boto Limpar na parte superior direita da pgina
Rede > Interfaces.

Interfaces fsicas e virtuais


As interfaces no SonicOS podem ser:
Interfaces fsicas as interfaces fsicas esto associadas a uma nica porta
Interfaces virtuais as interfaces virtuais so atribudas como subinterfaces a uma
interface fsica e permitem que a interface fsica transporte o trfego atribudo a vrias
interfaces.

Interfaces fsicas
As interfaces fsicas devem ser atribudas a uma zona para permitir a configurao de Regras
de acesso para controlar o trfego de entrada e de sada. As zonas de segurana esto
associadas a cada interface fsica onde atuam como um canal para o trfego de entrada e de
sada. Se no houver nenhuma interface, o trfego no consegue acessar a zona ou sair dela.
Para obter mais informaes sobre zonas, consulte Rede > Zonas na pgina 263.

Portas de SFP+ de Ethernet de 10 Gigabits

Nos dispositivos da srie SuperMassive 9000, as portas de fator de forma pequeno avanado
plugvel (SFP+), X16, X18 e X19 so designadas com um ponto para indicar que possuem
uma velocidade de processamento mxima direta para a CPU. Estas portas com pontos tm
um uplink dedicado (no compartilhado) para a CPU.
Isso benfico se voc tiver um backbone de rede corporativa de 10 Gb, e se estiver usando
um SuperMassive 9200 para o dispositivo de gateway de seu departamento. Voc deve
conectar uma das portas com pontos (X16, X18 ou X19) diretamente ao backbone. O motivo
que essas portas so conexes diretas da CPU ao que voc conectar a elas. Voc no deseja
que essas portas compartilhem largura de banda com usurios ou quaisquer outros
dispositivos na sua rede. Para obter mxima velocidade e eficincia, essas portas devem ser
conectadas diretamente ao backbone.
Normalmente, links essenciais para os negcios e muito multiplexados devem estar
conectados a uma interface pontilhada. Um exemplo de um caso de uso essencial para o
negcio pode envolver uma unidade administrativa conectada a uma rede backbone de 10 Gb.
Para desempenho mximo, a conexo backbone upstream deve se conectar atravs de uma
interface pontilhada. Isso garante que o trfego de backbone importante nunca seja perdido
devido a condies transitrias de alta carga nas outras interfaces no pontilhadas que
compartilham um uplink da CPU.
Um exemplo de um caso de uso muito multiplexado pode envolver vrios switches corporativos
downstream com uplinks de 10 Gb cada um. Para desempenho mximo, cada um deve ser
conectado atravs de uma interface pontilhada. Isso garante que diferentes domnios de
comutao de alto nvel no consigam esgotar recursos da CPU entre si.

Configurar interfaces | 187


Interfaces virtuais (VLAN)
Suportadas em dispositivos de segurana SonicWALL, as interfaces virtuais so subinterfaces
atribudas a uma interface fsica. As interfaces virtuais permitem que voc tenha mais de uma
interface em uma conexo fsica.
As interfaces virtuais fornecem muitos dos mesmos recursos das interfaces fsicas, incluindo
atribuio de zonas, servidor DHCP e controles de NAT e regras de acesso.
As redes locais virtuais (VLANs) podem ser descritas como uma "tecnologia de multiplexao
de LAN baseada em marca", uma vez que, atravs do uso de marcaes de cabealho IP, as
VLANs podem simular vrias LANs em uma nica LAN fsica. Tal como duas LANs
desconectadas e fisicamente distintas esto totalmente separadas uma da outra, o mesmo
acontece com duas VLANs diferentes, embora as duas VLANs possam existir na mesma rede.
As VLANs exigem dispositivos de rede que reconhecem VLAN para oferecer esse tipo de
virtualizao switches, roteadores e firewalls que tm a capacidade de reconhecer,
processar, remover e inserir marcas VLAN em conformidade com as polticas de segurana e
design da rede.
As VLANs so teis por diferentes motivos, estando a maioria desses motivos ligada
capacidade das VLANs de fornecer um domnio de difuso lgica em vez de fsica ou limites
de LAN. Isso funciona na segmentao de LANs fsicas maiores em LANs virtuais menores,
bem como na unio de LANs fisicamente distintas em uma LAN virtual contgua lgica. Os
benefcios disso incluem:
Aumento do desempenho a criao de domnios de difuso menores e particionados de
forma lgica diminui a utilizao geral da rede, enviando difuses somente para onde
precisam ser enviadas, deixando assim mais largura de banda disponvel para trfego de
aplicativos.
Custos menores historicamente, a segmentao da difuso era executada com
roteadores, exigindo hardware e configurao adicionais. Com VLANs, o papel funcional
do roteador revertido. Em vez de ser usado para inibir comunicaes, ele usado para
facilitar comunicaes entre VLANs separadas, conforme necessrio.

188 | Guia do Administrador do SonicOS 6.2


Grupos de trabalho virtuais os grupos de trabalho so unidades lgicas que normalmente
compartilham informaes, como um departamento de Marketing ou um departamento de
Engenharia. Por motivos de eficincia, os limites de domnio de difuso devem ser criados
de tal forma que fiquem alinhados com esses grupos de trabalho funcionais, mas isso no
sempre possvel: usurios de engenharia e de marketing podem estar misturados,
compartilhando o mesmo andar (e o mesmo switch de grupo de trabalho) em um edifcio
ou o oposto a equipe de engenharia poder estar espalhada em um campus. A tentativa
para solucionar isso com recursos complexos de cabeamento pode ser dispendiosa e
impossvel de manter com constantes adies e movimentaes. As VLANs permitem que
os switches sejam rapidamente reconfigurados para que o alinhamento lgico de rede
possa permanecer consistente com requisitos de grupo de trabalho.
Segurana os hosts em uma VLAN no podem se comunicar com hosts em outra VLAN,
a menos que algum dispositivo de rede facilite a comunicao entre eles.

Subinterfaces
O suporte de VLAN no SonicOS obtido por meio de subinterfaces que so interfaces lgicas
aninhadas abaixo de uma interface fsica. Cada ID exclusivo de VLAN requer sua prpria
subinterface. Por motivos de segurana e controle, o SonicOS no participa de qualquer
protocolo de truncamento VLAN, mas em vez disso requer que cada VLAN que deve ser
suportada seja configurada e atribuda com as caractersticas de segurana apropriadas.

Nota Os protocolos de truncamento VLAN dinmico, como VTP (Protocolo de truncamento


VLAN) ou GVRP (Protocolo de registro de VLAN genrico), no devem ser usados em links
de truncamento de outros dispositivos conectados ao firewall.

Os links de truncamento de switches compatveis com VLAN so suportados declarando os IDs


de VLAN relevantes como uma subinterface no firewall e configurando-os praticamente da
mesma forma que seria configurada uma interface fsica. Por outras palavras, apenas as
VLANs que so definidas como subinterfaces sero tratadas pelo firewall, sendo o restante
descartado como informaes irrelevantes. Esse mtodo tambm permite que a interface fsica
pai no firewall ao qual um link de truncamento est conectado opere como uma interface
convencional, fornecendo suporte para qualquer trfego VLAN (no marcado) nativo que
possa tambm existir no mesmo link. Como alternativa, a interface pai pode permanecer em
um estado "no atribudo".
As subinterfaces VLAN tm a maioria dos recursos e das caractersticas de uma interface
fsica, incluindo atribuio de zonas, servios de segurana, VPN de grupo, servidor DHCP,
auxiliar de IP, roteamento e controles de regras de acesso e polticas de NAT completas. Os
recursos excludos das subinterfaces VLAN no momento so o suporte de cliente dinmico
WAN e o suporte de difuso seletiva.

Objetos seguros do SonicOS


O esquema do SonicOS de endereamento de interface funciona em conjunto com zonas de
rede e objetos de endereos. Essa estrutura baseada em objetos seguros que so utilizados
por regras e polticas no SonicOS.
Os objetos seguros incluem objetos de interface que esto diretamente vinculados a interfaces
fsicas e so gerenciados na pgina Rede > Interfaces. Os objetos de endereos so definidos
na pgina Rede > Objetos de endereos. Os objetos de servio e agendamento so definidos
na seo Firewall da interface do usurio e os objetos de usurios so definidos na seo
Usurios.

Configurar interfaces | 189


As zonas so o pico hierrquico da arquitetura de objetos seguros do SonicOS. O SonicOS
inclui zonas predefinidas e tambm permite que voc defina suas prprias zonas. As zonas
predefinidas incluem LAN, DMZ, WAN, WLAN e Personalizado. As zonas podem incluir vrias
interfaces, no entanto, a zona de WAN est restrita a um total de duas interfaces. Na zona de
WAN, uma ou as duas interfaces de WAN podem estar ativamente passando trfego,
dependendo da configurao de balanceamento de carga e failover de WAN na pgina Rede
> Failover e LB de WAN.
Para obter mais informaes sobre o failover e o balanceamento de carga de WAN no
dispositivo de segurana da Dell SonicWALL, consulte Rede > Failover e balanceamento de
carga na pgina 255.
No nvel de configurao de zona, a configurao Permitir confiana de interface para zonas
automatiza os processos envolvidos na criao de uma regra de acesso permissiva entre
zonas. Ela cria um objeto de endereo abrangente para a zona inteira e uma regra de acesso
inclusivamente permissiva de endereo de zona para endereo de zona.

Modo transparente
O modo transparente no SonicOS usa interfaces como o nvel superior da hierarquia de
gerenciamento. O modo transparente suporta endereamento exclusivo e roteamento de
interface.

Modo de sniffer IPS


Suportado pelos dispositivos de segurana Dell SonicWALL, o modo de sniffer IPS uma
variao do modo de ponte de camada 2 que usado para deteco de intruses. A
configurao do modo de sniffer IPS permite que uma interface no firewall seja conectada a
uma porta espelhada em um switch para examinar o trfego de rede. Geralmente, essa
configurao usada com um switch dentro do gateway principal para monitorar o trfego na
intranet.
No diagrama de rede abaixo, o trfego flui para um switch na rede local e espelhado por meio
de uma porta de espelho do switch em uma interface do modo de sniffer IPS no dispositivo de
segurana Dell SonicWALL. O firewall inspeciona os pacotes de acordo com as configuraes
definidas no par de ponte. Os alertas podem disparar capturas de SNMP que so enviadas
para o gerenciador de SNMP especificado por meio de outra interface no firewall. O trfego de
rede descartado aps o firewall inspecion-lo.

190 | Guia do Administrador do SonicOS 6.2


A interface de WAN do firewall usada para conexo com o centro de dados do firewall para
atualizaes de assinatura ou outros dados.

Gateway

Main Mirrored Data


Data
Flow Network Security Appliance E7500

WAN Port
Incoming Event
Data Center Access
SNMP
Outgoing Alerts Bridge Mode
Reserved Port

E7500

No modo de sniffer de IPS, est configurada uma ponte de camada 2 entre duas interfaces na
mesma zona no firewall, como LAN-LAN ou DMZ-DMZ. Voc tambm pode criar uma zona
personalizada a ser usada para a ponte de camada 2. Apenas a zona de WAN no
apropriada para o modo de sniffer IPS.
O motivo para isso est relacionado com o fato de o SonicOS detectar todas as assinaturas no
trfego dentro da mesma zona, como o trfego de LAN-LAN, mas algumas assinaturas
direcionais especficas (lado do cliente em relao ao lado do servidor) no se aplicam a
alguns casos de LAN-WAN.
Qualquer interface da ponte de camada 2 pode ser conectada porta espelhada no switch.
Como o trfego de rede atravessa o switch, o trfego tambm enviado para a porta
espelhada e, a partir da, para o firewall para inspeo profunda de pacotes. Os eventos mal-
intencionados desencadeiam alertas e entradas de log e, se o SNMP estiver habilitado, so
enviadas capturas de SNMP para o endereo IP configurado do sistema gerenciador do SNMP.
O trfego no continua realmente para a outra interface da ponte de camada 2. O modo de
sniffer IPS no coloca o firewall em linha com o trfego de rede, ele apenas fornece uma forma
para inspecionar o trfego.
A tela Editar interfaces disponvel na pgina Rede > Interfaces fornece uma nova caixa de
seleo denominada Detectar somente trfego nesse par com ponte para ser usada ao
configurar o modo de sniffer IPS. Quando marcada, esta caixa de seleo faz com que o
firewall inspecione todos os pacotes que chegam ponte L2 a partir da porta do switch
espelhada. A caixa de seleo Nunca rotear trfego nesse par com ponte tambm deve ser
selecionada para o modo de sniffer IPS para garantir que o trfego da porta do switch
espelhada no seja enviado novamente para a rede.
Para obter instrues detalhadas sobre como configurar interfaces no modo de sniffer IPS,
consulte Configurar o modo de sniffer IPS na pgina 210.

Configurar interfaces | 191


Exemplo de topologia do modo de sniffer IPS
Esta seo fornece um exemplo de topologia que usa o modo de sniffer IPS do SonicWALL em
um ambiente de comutao ProCurve da Hewlett Packard. Esse cenrio depende da
capacidade dos pacotes de software de servidor ProCurve Manager Plus (PCM+) e Network
Immunity Manager (NIM) da HP para estrangular ou fechar portas das quais so provenientes
as ameaas.
Esse mtodo til em redes onde h um firewall existente que permanecer no local, mas voc
deseja usar os servios de segurana do firewall como um sensor.

Network Security Appliance E7500

SonicWALL NSA Appliance

HP HCM/
NIM + Server ISP
Third-party Firewall
Router

HP ProCurve
Switch

LAN Connection
X1 WAN Connection
Wireless File Email X0-LAN/ L2B Mode
Desktop
Client Client Server Server

Nesta implantao, a zona e a interface de WAN esto configuradas para o esquema de


endereamento da rede interna e conectadas rede interna. A porta X2 possui ponte de
camada 2 para a porta LAN, mas no ser conectada a nada. A porta LAN X0 est configurada
para uma segunda porta especialmente programada no switch ProCurve da HP. Essa porta
especial est definida para o modo de espelhamento ela encaminhar todas as portas do
servidor e todos os usurios internos para a porta de "deteco" no firewall. Isso permite que
o firewall analise todo o trfego da rede interna e, se qualquer trfego acionar as assinaturas
de segurana, ele capturar de imediato para o servidor PCM+/NIM atravs da interface WAN
X1 que, em seguida, poder executar a ao na porta especfica da qual a ameaa
proveniente.
Para configurar essa implantao, navegue at a pgina Rede > Interfaces e clique no cone
de configurao da interface X2. Na pgina Configuraes de X2, defina a Atribuio de IP
para "Modo de ponte de camada 2" e defina a interface Com ponte para: como "X0". Marque
a caixa de seleo Detectar somente trfego nesse par com ponte. Clique em OK para
salvar e ativar a alterao.

192 | Guia do Administrador do SonicOS 6.2


Em seguida, v para a pgina Rede > Interfaces e clique no cone de configurao da
interface WAN X1. Na pgina Configuraes de X1, atribua um endereo IP exclusivo ao
segmento de LAN interno de sua rede. Isso pode parecer errado, mas ser realmente a
interface a partir da qual voc gerenciar o dispositivo e tambm ser a interface a partir da
qual o dispositivo enviar suas capturas de SNMP, bem como a interface a partir da qual sero
obtidas atualizaes de assinatura de servios de segurana. Clique em OK.
Voc tambm deve modificar as regras de firewall para permitir trfego de LAN para WAN e de
WAN para LAN, caso contrrio, o trfego no passar com xito.
Conecte a porta do switch de alcance/espelho a X0 no firewall, no a X2 (na verdade X2 no
est conectada), e conecte X1 rede interna. Tenha cuidado ao programar as portas que esto
estendidas/espelhadas para X0.

Configurar interfaces
As sees a seguir descrevem a configurao da interface:
Configurar uma interface esttica na pgina 193
Configurar o modo roteado na pgina 196
Habilitar o gerenciamento de largura de banda na pgina 196
Configurar interfaces no modo de IP transparente (unir sub-rede L3) na pgina 197
Configurar interfaces sem fio na pgina 200
Configurar uma interface de WAN na pgina 202
Configurar agregao de links e redundncia de portas na pgina 206
Configurar subinterfaces de VLAN na pgina 209
Configurar o modo de sniffer IPS na pgina 210
Configurar modo de ponte de camada 2 na pgina 240

Configurar uma interface esttica


Esttico significa que voc atribui um endereo IP fixo interface.

Etapa 1 Clique no cone Configurar na coluna Configurar da interface que voc deseja configurar.
A caixa de dilogo Editar interface exibida.
Voc pode configurar X0 a X19 ou a interface MGMT.
Se voc desejar criar uma nova zona, selecione Criar nova zona. A janela Adicionar
zona exibida. Consulte Rede > Zonas na pgina 263 para obter instrues sobre
como adicionar uma zona.
Etapa 2 Selecione uma zona para atribuir interface. Voc pode selecionar LAN, WAN, DMZ, WLAN
ou uma zona personalizada.
Etapa 3 Selecione Esttico no menu Atribuio de IP.
Etapa 4 Digite o endereo IP e a mscara de sub-rede da interface nos campos Endereo IP e
Mscara de sub-rede.

Configurar interfaces | 193


Nota Voc no pode inserir um endereo IP que est na mesma sub-rede que outra zona.

Etapa 5 Se configurar uma interface de zona de WAN ou a interface de MGMT, digite o endereo IP do
dispositivo de gateway no campo Gateway padro. O dispositivo de gateway fornece acesso
entre esta interface e a rede externa quer seja a Internet ou uma rede privada. Um gateway
opcional para interfaces de zona de DMZ ou LAN.
Etapa 6 Se configurar uma interface de zona de WAN, digite os endereos IP de at trs servidores
DNS nos campos Servidor DNS. Eles podem ser servidores DNS pblicos ou privados. Para
obter mais informaes, consulte Configurar uma interface de WAN na pgina 202.
Etapa 7 Introduza qualquer texto de comentrio opcional no campo Comentrio. Este texto exibido
na coluna Comentrio da tabela Interface.
Etapa 8 Se voc desejar habilitar o gerenciamento remoto do firewall a partir desta interface, selecione
o(s) protocolo(s) de gerenciamento suportado(s): HTTPS, SSH, Ping, SNMP e/ou SSH.
Para permitir o acesso interface de WAN para gerenciamento de outra zona no mesmo
dispositivo, devem ser criadas regras de acesso. Para obter mais informaes, consulte
Permitir acesso ao IP primrio de WAN a partir da zona de LAN na pgina 566.
Etapa 9 Se voc desejar permitir que usurios selecionados com direitos de gerenciamento limitado
efetuem logon no dispositivo de segurana, selecione HTTP e/ou HTTPS em Login do
usurio.
Etapa 10 Clique em OK.

Nota A senha do administrador necessria para gerar novamente chaves de criptografia aps
alterar o endereo do firewall.

Definir configuraes avanadas para uma interface esttica

As opes disponveis na guia Avanado de uma interface esttica variaro de acordo com a
zona selecionada.

Etapa 1 Na caixa de dilogo Editar interface, clique na guia Avanado.


Etapa 2 Para Velocidade de link, se a opo Negociar automaticamente estiver selecionada por
padro, voc pode alter-la para uma velocidade de link especfica e duplex. Para aqueles em
que isto se aplica, deixar como Negociar automaticamente faz com que os dispositivos
conectados negociem automaticamente a velocidade e modo duplex da conexo Ethernet. Se
voc desejar especificar a velocidade de Ethernet e duplex forada, selecione uma das
seguintes opes no menu Velocidade de link:
Para interfaces de 1 Gbps, selecione:
1 Gbps Full Duplex
100 Mbps Full Duplex
100 Mbps Half Duplex
10 Mbps Full Duplex
10 Mbps Half Duplex
Para interfaces de 10 Gbps, a seleo nica 10 Gbps Full Duplex.

194 | Guia do Administrador do SonicOS 6.2


Cuidado Se voc selecionar uma velocidade de Ethernet e duplex especficos, voc deve forar
tambm a velocidade da conexo e o duplex da placa Ethernet para o firewall.

Etapa 3 Voc pode optar por substituir a opo Usar endereo MAC padro para a interface
selecionando Substituir endereo MAC padro e inserindo o endereo MAC no campo.
Etapa 4 Marque a caixa de seleo Porta de encerramento para colocar temporariamente essa
interface offline para manuteno ou por outros motivos. Se conectado, o link ficar inativo.
Desmarque a caixa de seleo para ativar a interface e permitir que o link fique novamente
ativo.
Etapa 5 Para o recurso AppFlow, marque a caixa de seleo Habilitar relatrios de fluxo para permitir
relatrios de fluxo em fluxos criados para esta interface.
Etapa 6 Marque a caixa de seleo Habilitar suporte a difuso seletiva para permitir a recepo de
difuso seletiva nesta interface.
Etapa 7 Marque a caixa de seleo Habilitar marcas 802.1p para marcar informaes passando nessa
interface com informaes de prioridade 802.1p para gerenciamento de Qualidade de Servio
(QoS). Os pacotes enviados por meio dessa interface so marcados com VLAN id=0 e
transmitem informaes de prioridade 802.1p. Para usar essas informaes de prioridade, os
dispositivos conectados a esta interface devem suportar quadros de prioridade. O
gerenciamento de QoS controlado por regras de acesso na pgina Firewall > Regras de
acesso. Para obter informaes sobre o gerenciamento de QoS e largura de banda, consulte
Configuraes de firewall > Mapeamento QoS na pgina 725.
Etapa 8 Como alternativa, selecione Agregao de links ou Redundncia de portas na lista
suspensa Redundncia/agregao de portas. Para obter mais informaes, consulte
Configurar agregao de links e redundncia de portas na pgina 206.
Etapa 9 Como alternativa, marque a caixa de seleo Usar modo roteado. Para obter mais
informaes sobre o Modo roteado, consulte Configurar o modo roteado na pgina 196.
Etapa 10 MTU da interface Especifica o maior tamanho de pacote que a interface pode encaminhar
sem fragmentar o pacote. Identifique o tamanho dos pacotes que a porta receber e
transmitir:
1500 Pacotes padro (padro)
9000 Pacotes do Quadro Jumbo
Observe que o suporte ao quadro jumbo deve ser habilitado antes que uma porta possa
processar quadros jumbo, conforme explicado em Quadro Jumbo na pgina 674.

Nota Devido aos requisitos de tamanho do buffer dos pacotes do quadro jumbo, os quadros
jumbo aumentam os requisitos de memria por um fator de 4.

Fragmentar pacotes de sada no VPN maiores que a MTU dessa interface


especifica todos os pacotes de sada no VPN maiores que a MTU da interface
fragmentados. A especificao da fragmentao de pacotes de sada VPN realizada
na pgina VPN > Avanado.
Ignorar bit no fragmentar (DF) substitui bits DF em pacotes.
Eliminar gerao de mensagem Fragmentao ICMP necessria bloqueia a
notificao de que esta interface pode receber pacotes fragmentados.
Etapa 11 Opcionalmente, habilite o gerenciamento de largura de banda para esta interface. Para obter
mais informaes sobre o gerenciamento de largura de banda, consulte Habilitar o
gerenciamento de largura de banda na pgina 196.

Configurar interfaces | 195


Configurar o modo roteado
O modo roteado uma alternativa a NAT para rotear trfego entre os intervalos de endereos
IP pblicos separados. Considere a topologia a seguir em que o firewall est roteando trfego
em dois intervalos de endereos IP pblicos:
10.50.26.0/24
172.16.6.0/24
Habilitando o modo roteado na interface para a rede 172.16.6.0, as converses de NAT sero
desabilitadas automaticamente para a interface e todo o trfego de entrada e sada ser
roteado para a interface de WAN configurada para a rede 10.50.26.0.

Nota O modo roteado est disponvel ao usar o modo de IP esttico para interfaces nas zonas
de LAN, DMZ e WLAN. Para DMZ, o modo tambm est disponvel ao usar o modo de ponte
de camada 2.

Para configurar o modo roteado, execute as seguintes etapas:

Etapa 1 Navegue at a pgina Rede > Interfaces. Clique no cone Configurar da interface apropriada.
A janela Editar interface ser exibida.
Etapa 2 Clique na guia Avanado.
Etapa 3 No ttulo Configuraes do modo especializado, marque a caixa de seleo Usar modo
roteado Adicionar poltica de NAT para impedir a converso de sada/entrada para
habilitar o modo roteado para a interface.
Etapa 4 Na lista suspensa Interface de sada/entrada com poltica de NAT, selecione a interface de
WAN que deve ser usada para rotear o trfego para a interface.
Etapa 5 Clique em OK.
O firewall cria ento as polticas de "no NAT" para a interface configurada e para a interface
de WAN selecionada. Essas polticas substituem quaisquer polticas de NAT M21 mais gerais
que podem ser configuradas para as interfaces.

Habilitar o gerenciamento de largura de banda


O Gerenciamento de largura de banda (BWM) permite que os administradores da rede
garantam a largura de banda mnima e priorizem o trfego. O BWM habilitado na pgina
Firewall > BWM. Ao controlar a quantidade de largura de banda para um aplicativo ou usurio,
o administrador de rede pode prevenir que um pequeno nmero de aplicativos ou usurios
consumam toda a largura de banda disponvel. O balanceamento da largura de banda alocada
a diferentes trfegos de rede e a atribuio de prioridades ao trfego melhoram o desempenho
da rede.
Trs tipos de gerenciamento de largura de banda podem ser habilitados na pgina Firewall >
BWM:
Avanado Permite que os administradores configurem limitaes da largura de banda
mxima de entrada e sada por interface, configurando objetos de largura de banda, regras de
acesso e polticas de aplicativo.
Global Permite que os administradores habilitem configuraes do BWM globalmente e
apliquem-nas a todas as interfaces. BWM Global a configurao padro do BWM.
Nenhum Desabilita o BWM.

196 | Guia do Administrador do SonicOS 6.2


Para obter informaes sobre a configurao do gerenciamento da largura de banda, consulte
Configuraes de firewall > BWMna pgina 677.
O SonicOS pode aplicar gerenciamento de largura de banda no trfego de egresso (sada) e
ingresso (entrada) em todas as interfaces. O gerenciamento de largura de banda de sada
realizado usando a o enfileiramento baseado em classe. O gerenciamento da largura de banda
de entrada realizado por meio da implementao do algoritmo de atraso ACK que usa o
comportamento intrnseco de TCP para controlar o trfego.
O enfileiramento baseado em classe (CBQ) fornece uma qualidade de servio (QoS) de largura
de banda mxima e garantida para o firewall. Todos os pacotes destinados interface so
enfileirados na fila de prioridade correspondente. Em seguida, o programador desenfileira os
pacotes e transmite-os no link, dependendo da largura de banda garantida para o fluxo e da
largura de banda disponvel no link.
Use a seo Gerenciamento de largura de banda da tela Editar interface para habilitar ou
desabilitar o gerenciamento de largura de banda de ingresso e egresso. A largura de banda de
ingresso e egresso disponvel do link pode ser usada para configurar as velocidades de
conexo upstream e downstream em quilobits por segundo.
Habilitar gerenciamento de largura de banda egressa habilita o gerenciamento de
largura de banda de sada.
Largura de banda egressa de interface disponvel (Kbps) especifica a largura de
banda disponvel para a interface em quilobits por segundo.
Habilitar gerenciamento de largura da banda ingressa habilita o gerenciamento de
largura de banda de entrada.
Largura de banda ingressa de interface disponvel (Kbps) especifica a largura de
banda disponvel para a interface em quilobits por segundo.

Configurar interfaces no modo de IP transparente (unir sub-rede L3)


O modo de IP transparente permite que o dispositivo de segurana Dell SonicWALL preencha
a sub-rede da WAN em uma interface interna. Para configurar uma interface para o modo
transparente, conclua as seguintes etapas:

Etapa 1 Clique no cone Configurar na coluna Configurar da Interface no atribuda que voc deseja
configurar. A caixa de dilogo Editar interface exibida.
Etapa 2 Selecione uma interface.
Se voc selecionar uma interface configurvel, selecione LAN ou DMZ para Zona.
Se voc deseja criar uma nova zona para a interface configurvel, selecione Criar uma
nova zona. A janela Adicionar zona exibida. Consulte Rede > Zonas na pgina 263
para obter instrues sobre como adicionar uma zona.
Etapa 3 Selecione Modo de IP transparente (unir sub-rede L3) no menu Atribuio de IP.
Etapa 4 No menu Intervalo transparente, selecione um objeto de endereo que contm o intervalo de
endereos IP que voc deseja acessar por meio dessa interface. O intervalo de endereos
deve estar dentro de uma zona interna, como LAN, DMZ ou outra zona confivel que
corresponda zona usada para a interface transparente interna. Se voc no tem um objeto
de endereo configurado que atenda s suas necessidades:
No menu Intervalo transparente, selecione Criar novo objeto de endereo.

Configurar interfaces | 197


Na janela Adicionar objeto de endereo, digite um nome para o intervalo de
endereos. Para Atribuio de zonas, selecione uma zona interna, como LAN, DMZ,
ou outra zona confivel.
O intervalo no deve incluir o endereo IP (X0) da interface LAN.
Para Tipo, selecione:
Host se desejar que apenas um dispositivo de rede se conecte a esta interface.
Intervalo para especificar um intervalo de endereos IP digitando os valores inicial
e final do intervalo.
Rede para especificar uma sub-rede, digitando o valor de incio e a mscara de
sub-rede. A sub-rede deve estar dentro do intervalo de endereos de WAN e no
pode incluir o endereo IP de interface de WAN.
c. Digite o endereo IP do host, os endereos de incio e de trmino do intervalo ou o
endereo IP ou a mscara de sub-rede da rede.
d. Clique em OK para criar o objeto de endereo e retornar caixa de dilogo Editar
interface.
Para obter mais informaes, consulte Rede > Objetos de endereos na pgina 275.
Etapa 5 Introduza qualquer texto de comentrio opcional no campo Comentrio. Este texto exibido
na coluna Comentrio da tabela Interface.
Etapa 6 Se voc desejar habilitar o gerenciamento remoto do firewall a partir desta interface, selecione
o(s) protocolo(s) de gerenciamento suportado(s): HTTPS, Ping, SNMP e/ou SSH.
Para permitir o acesso interface de WAN para gerenciamento de outra zona no mesmo
dispositivo, devem ser criadas regras de acesso. Para obter mais informaes, consulte
Permitir acesso ao IP primrio de WAN a partir da zona de LAN na pgina 566.
Etapa 7 Se voc desejar permitir que usurios selecionados com direitos de gerenciamento limitado
efetuem logon diretamente no dispositivo de segurana atravs desta interface, selecione
HTTP e/ou HTTPS em Login do usurio.
Etapa 8 Clique em OK.

Nota A senha do administrador necessria para gerar novamente chaves de criptografia aps
alterar o endereo do firewall.

Definir configuraes avanadas para uma interface do modo de IP transparente

Etapa 1 Na caixa de dilogo Editar interface, clique na guia Avanado.


Etapa 2 Para Velocidade de link, se a opo Negociar automaticamente estiver selecionada por
padro, voc pode alter-la para uma velocidade de link especfica e duplex. Para aqueles em
que isto se aplica, deixar como Negociar automaticamente faz com que os dispositivos
conectados negociem automaticamente a velocidade e modo duplex da conexo Ethernet. Se
voc desejar especificar a velocidade de Ethernet e duplex forada, selecione uma das
seguintes opes no menu Velocidade de link:
Para interfaces de 1 Gbps, selecione:
1 Gbps Full Duplex
100 Mbps Full Duplex
100 Mbps Half Duplex
10 Mbps Full Duplex
10 Mbps Half Duplex

198 | Guia do Administrador do SonicOS 6.2


Para interfaces de 10 Gbps, a seleo nica 10 Gbps Full Duplex.

Cuidado Se voc selecionar uma velocidade de Ethernet e duplex especficos, voc deve forar
tambm a velocidade da conexo e o duplex da placa Ethernet para o firewall.

Etapa 3 Voc pode optar por substituir a opo Usar endereo MAC padro para a interface
selecionando Substituir endereo MAC padro e inserindo o endereo MAC no campo.
Etapa 4 Marque a caixa de seleo Porta de encerramento para colocar temporariamente essa
interface offline para manuteno ou por outros motivos. Se conectado, o link ficar inativo.
Desmarque a caixa de seleo para ativar a interface e permitir que o link fique novamente
ativo.
Etapa 5 Para o recurso AppFlow, marque a caixa de seleo Habilitar relatrios de fluxo para permitir
relatrios de fluxo em fluxos criados para esta interface.
Etapa 6 Marque a caixa de seleo Habilitar suporte a difuso seletiva para permitir a recepo de
difuso seletiva nesta interface.
Etapa 7 Marque a caixa de seleo Habilitar marcas 802.1p para marcar informaes passando nessa
interface com informaes de prioridade 802.1p para gerenciamento de Qualidade de Servio
(QoS). Os pacotes enviados por meio dessa interface so marcados com VLAN id=0 e
transmitem informaes de prioridade 802.1p. Para usar essas informaes de prioridade, os
dispositivos conectados a esta interface devem suportar quadros de prioridade. O
gerenciamento de QoS controlado por regras de acesso na pgina Firewall > Regras de
acesso. Para obter informaes sobre o gerenciamento de QoS e largura de banda, consulte
Configuraes de firewall > Mapeamento QoS na pgina 725.
Etapa 8 Como alternativa, selecione Agregao de links ou Redundncia de portas na lista
suspensa Redundncia/agregao de portas. Para obter mais informaes, consulte
Configurar agregao de links e redundncia de portas na pgina 206.
Etapa 9 Marque a caixa de seleo Habilitar encaminhamento ARP gratuito para WAN para
encaminhar pacotes de ARP gratuitos recebidos nesta interface para a WAN, usando o
endereo MAC do hardware da interface de WAN como o endereo MAC de origem.
Etapa 10 Marque a caixa de seleo Habilitar gerao automtica de ARP gratuito para WAN para
enviar automaticamente pacotes de ARP gratuitos para a WAN sempre que uma nova entrada
adicionada tabela de ARP para um novo computador nesta interface. O endereo MAC do
hardware da interface de WAN usado como o endereo MAC de origem do pacote de ARP.
Etapa 11 Opcionalmente, habilite o gerenciamento de largura de banda para esta interface. Para obter
mais informaes sobre o gerenciamento de largura de banda, consulte Habilitar o
gerenciamento de largura de banda na pgina 196.

Configurar interfaces | 199


Configurar interfaces sem fio
Uma interface sem fio uma interface que foi atribuda a uma zona sem fio e usada para
suportar pontos de acesso seguro do SonicWALL SonicPoint.

Etapa 1 Clique no cone Configurar na coluna Configurar da interface que voc deseja configurar.
A caixa de dilogo Editar interface exibida.
Etapa 2 Na lista Zona, selecione WLAN ou uma zona sem fio personalizada.
Etapa 3 Para Atribuio de IP/modo, selecione o modo de IP esttico. Voc tambm pode selecionar
o Modo de ponte de camada 2. Consulte Modo de ponte de camada 2 na pgina 219 para obter
mais informaes.
Etapa 4 Digite o endereo IP e a mscara de sub-rede da zona nos campos Endereo IP e Mscara
de sub-rede.

Nota O limite superior da mscara de sub-rede determinado pelo nmero de SonicPoints que
voc selecionar no campo Limite de SonicPoints. Se voc estiver configurando vrias
interfaces ou subinterfaces como interfaces sem fio, convm usar uma sub-rede menor
(superior) para limitar o nmero de concesses DHCP possveis disponveis na interface.
Caso contrrio, se voc usar uma sub-rede de classe C (mscara de sub-rede de
255.255.255.0) para cada interface sem fio, voc poder exceder o limite de concesses
DHCP disponveis no dispositivo de segurana.

Etapa 5 No campo Limite de SonicPoints selecione o nmero mximo de SonicPoints permitidos


nesta interface.
Esse valor determina a mscara de sub-rede mais alta que voc pode inserir no campo
Mscara de sub-rede. A tabela a seguir mostra o limite da mscara de sub-rede para
cada seleo de Limite de SonicPoints e o nmero de concesses DHCP disponveis
na interface se voc digitar a mscara de sub-rede mxima permitida.
Os IPs de cliente disponveis assumem 1 IP para a interface de gateway do firewall,
alm da presena do nmero mximo de SonicPoints permitidos nesta interface, cada
um consumindo um endereo IP.

Mscara de sub-rede Total de


SonicPoints por interface mxima endereos IP IPs de cliente
utilizveis disponveis
Nenhum SonicPoint 30 bits 255.255.255.252 2 2
2 SonicPoints 29 bits 255.255.255.248 6 3
4 SonicPoints 29 bits 255.255.255.248 6 1
8 SonicPoints 28 bits 255.255.255.240 14 5
16 SonicPoints 27 bits 255.255.255.224 30 13
32 SonicPoints 26 bits 255.255.255.192 62 29
48 SonicPoints 25 bits 255.255.255.128 126 61
64 SonicPoints 25 bits 255.255.255.128 126 61
96 SonicPoints 24 bits 255.255.255.0 190 93
128 SonicPoints 23 bits 255.255.254.0 254 125

200 | Guia do Administrador do SonicOS 6.2


Nota A tabela acima mostra os tamanhos de mscara de sub-rede mximos permitidos. Voc
ainda pode usar sub-redes de classe completa (classe A, classe B ou classe C) ou qualquer
mscara de sub-rede de comprimento varivel que voc desejar em interfaces de WLAN.
Aconselhamos usar uma mscara de sub-rede menor (por exemplo, classe C de 24 bits
255.255.255.0 total de 254 IPs utilizveis), alocando assim mais espao de
endereamento IP para clientes se voc tiver a necessidade de suportar nmeros maiores
de clientes sem fio.

Etapa 6 Introduza qualquer texto de comentrio opcional no campo Comentrio. Este texto exibido
na coluna Comentrio da tabela Interface.
Etapa 7 Se voc desejar habilitar o gerenciamento remoto do firewall a partir desta interface, selecione
o(s) protocolo(s) de gerenciamento suportado(s): HTTPS, Ping, SNMP e/ou SSH.
Para permitir o acesso interface de WAN para gerenciamento de outra zona no mesmo
dispositivo, devem ser criadas regras de acesso. Para obter mais informaes, consulte
Permitir acesso ao IP primrio de WAN a partir da zona de LAN na pgina 566.
Etapa 8 Se voc desejar permitir que usurios selecionados com direitos de gerenciamento limitado
efetuem logon no dispositivo de segurana, selecione HTTP e/ou HTTPS em Login do
usurio.
Etapa 9 Clique em OK.

Definir configuraes avanadas para uma interface sem fio

Etapa 1 Na caixa de dilogo Editar interface, clique na guia Avanado.


Etapa 2 Para Velocidade de link, se a opo Negociar automaticamente estiver selecionada por
padro, voc pode alter-la para uma velocidade de link especfica e duplex. Para aqueles em
que isto se aplica, deixar como Negociar automaticamente faz com que os dispositivos
conectados negociem automaticamente a velocidade e modo duplex da conexo Ethernet. Se
voc desejar especificar a velocidade de Ethernet e duplex forada, selecione uma das
seguintes opes no menu Velocidade de link:
Para interfaces de 1 Gbps, selecione:
1 Gbps Full Duplex
100 Mbps Full Duplex
100 Mbps Half Duplex
10 Mbps Full Duplex
10 Mbps Half Duplex
Para interfaces de 10 Gbps, a seleo nica 10 Gbps Full Duplex.

Configurar interfaces | 201


Cuidado Se voc selecionar uma velocidade de Ethernet e duplex especficos, voc deve forar
tambm a velocidade da conexo e o duplex da placa Ethernet para o firewall.

Etapa 3 Voc pode optar por substituir a opo Usar endereo MAC padro para a interface
selecionando Substituir endereo MAC padro e inserindo o endereo MAC no campo.
Etapa 4 Marque a caixa de seleo Porta de encerramento para colocar temporariamente essa
interface offline para manuteno ou por outros motivos. Se conectado, o link ficar inativo.
Desmarque a caixa de seleo para ativar a interface e permitir que o link fique novamente
ativo.
Etapa 5 Para o recurso AppFlow, marque a caixa de seleo Habilitar relatrios de fluxo para permitir
relatrios de fluxo em fluxos criados para esta interface.
Etapa 6 Marque a caixa de seleo Habilitar suporte a difuso seletiva para permitir a recepo de
difuso seletiva nesta interface.
Etapa 7 Marque a caixa de seleo Habilitar marcas 802.1p para marcar informaes passando nessa
interface com informaes de prioridade 802.1p para gerenciamento de Qualidade de Servio
(QoS). Os pacotes enviados por meio dessa interface so marcados com VLAN id=0 e
transmitem informaes de prioridade 802.1p. Para usar essas informaes de prioridade, os
dispositivos conectados a esta interface devem suportar quadros de prioridade. O
gerenciamento de QoS controlado por regras de acesso na pgina Firewall > Regras de
acesso. Para obter informaes sobre o gerenciamento de QoS e largura de banda, consulte
Configuraes de firewall > Mapeamento QoS na pgina 725.
Etapa 8 Como alternativa, selecione Agregao de links ou Redundncia de portas na lista
suspensa Redundncia/agregao de portas. Para obter mais informaes, consulte
Configurar agregao de links e redundncia de portas na pgina 206.
Etapa 9 Como alternativa, marque a caixa de seleo Usar modo roteado. Para obter mais informaes
sobre o Modo roteado, consulte Configurar o modo roteado na pgina 196.
Etapa 10 Opcionalmente, habilite o gerenciamento de largura de banda para esta interface. Para obter
mais informaes sobre o gerenciamento de largura de banda, consulte Habilitar o
gerenciamento de largura de banda na pgina 196.

Configurar uma interface de WAN


A configurao de uma interface de WAN habilita a conectividade com a Internet. Voc pode
configurar at N menos 2 interfaces de WAN no dispositivo de segurana Dell SonicWALL, em
que N o nmero de interfaces definidas na unidade (ambas fsica e VLAN). Somente as
interfaces X0 e MGMT no podem ser configuradas como interfaces de WAN.
Comece por configurar sua interface de WAN na guia Geral da caixa de dilogo Editar
interface.

Etapa 1 Clique no cone Editar na coluna Configurar da interface que voc deseja configurar. A
caixa de dilogo Editar interface exibida.
Etapa 2 Se voc estiver configurando uma interface no atribuda, selecione WAN no menu Zona. Se
voc tiver selecionado a interface WAN padro, a opo WAN j est selecionada no menu
Zona.
Etapa 3 Selecione um dos seguintes modos de endereamento de rede de WAN no menu Atribuio
de IP. Dependendo da opo que voc escolher no menu Atribuio de IP, preencha os campos
correspondentes que so exibidos depois de selecionar a opo.

202 | Guia do Administrador do SonicOS 6.2


Esttico configura o firewall de uma rede que usa endereos IP estticos.
DHCP configura o firewall para solicitar configuraes de IP de um servidor DHCP
na Internet. NAT com cliente de DHCP um modo de endereamento de rede tpico
para clientes DSL e por cabo.
PPPoE usa o protocolo ponto a ponto na Ethernet (PPPoE) para se conectar
Internet. Se um nome de usurio e uma senha forem exigidos pelo seu ISP, insira-os
nos campos Nome do usurio e Senha do usurio. Esse protocolo normalmente
encontrado ao usar um modem DSL.
PPTP usa o PPTP (Protocolo de encapsulamento ponto a ponto) para se conectar a
um servidor remoto. Ele suporta implementaes de Microsoft Windows mais antigas
que exigem conectividade de encapsulamento.
L2TP usa IPsec para se conectar a um servidor L2TP (Protocolo de tunelamento de
camada 2) e criptografa todos os dados transmitidos do cliente para o servidor. No
entanto, ele no criptografa trfego de rede para outros destinos.
Modo de cabo (cabo de 2 portas) permite a insero do firewall em uma rede, no
modo Bypass, Inspecionar ou Proteger. Para obter informaes detalhadas, consulte
Configurar o modo de cabo e de tap na pgina 214.
Modo de tap (tap de 1 porta) permite a insero do firewall em uma rede para uso
com taps de rede, espelhos de porta ou portas SPAN. Para obter informaes
detalhadas, consulte Configurar o modo de cabo e de tap na pgina 214.
Etapa 4 Se estiver usando DHCP, digite opcionalmente um nome descritivo no campo Nome do host
e quaisquer comentrios desejados no campo Comentrio.
Etapa 5 Se estiver usando PPPoE, PPTP ou L2TP, so exibidos campos adicionais:
Se for exibido Cronograma, selecione o cronograma desejado na lista suspensa
durante o qual esta interface dever ser conectada.
Em Nome do usurio e Senha do usurio, digite o nome e a senha da conta
fornecidos pelo seu ISP.
Se o campo Endereo IP de servidor for exibido, insira o endereo IP do servidor
fornecido pelo seu ISP.
Se o campo Nome do host (cliente) for exibido, insira o nome do host do dispositivo.
Este o Nome do firewall da pgina Sistema>Administrao.
Se o campo Segredo compartilhado for exibido, insira o valor fornecido pelo seu ISP.
Etapa 6 Se voc desejar habilitar o gerenciamento remoto do firewall a partir desta interface, selecione
o(s) protocolo(s) de gerenciamento suportado(s): HTTPS, Ping, SNMP e/ou SSH.
Para permitir o acesso interface de WAN para gerenciamento de outra zona no mesmo
dispositivo, devem ser criadas regras de acesso. Para obter mais informaes, consulte
Permitir acesso ao IP primrio de WAN a partir da zona de LAN na pgina 566.
Etapa 7 Se estiver usando PPPoE, PPTP ou L2TP, so exibidos campos adicionais:
Para PPPoE, selecione um dos seguintes botes de opo:
Selecione Obter um endereo IP automaticamente para obter o endereo IP do
servidor PPPoE.
Selecione Especificar endereo IP e insira o endereo IP desejado no campo
para usar um endereo IP esttico para esta interface.
Para PPTP ou L2TP, configure as seguintes opes:

Configurar interfaces | 203


Marque a caixa de seleo Desconexo por inatividade e insira o nmero de
minutos de inatividade aps a qual a conexo ser encerrada. Limpe esta caixa de
seleo para desabilitar os tempos limite de inatividade.
Selecione DHCP ou Esttico na lista suspensa Atribuio de IP. Para DHCP, o
endereo IP, a mscara de sub-rede e o endereo de gateway sero
automaticamente configurados pelo servidor. Para Esttico, digite os valores
adequados para esses campos.
Etapa 8 Se estiver usando DHCP, marque opcionalmente as caixas de seleo seguintes:
Selecione Solicitar renovao de IP anterior ao inicializar para solicitar o mesmo
endereo IP da interface de WAN que anteriormente foi fornecido pelo servidor DHCP.
Selecione Renovar a concesso de DHCP em qualquer ocorrncia de link ativo
para enviar uma solicitao de renovao de concesso para o servidor DHCP a cada
vez que esta interface de WAN se reconectar aps ser desconectada.
Os campos exibidos abaixo dessas opes so fornecidos pelo servidor DHCP. Aps a
configurao, os botes Renovar, Liberar e Atualizar ficam disponveis:
Clique em Renovar para reiniciar a durao de concesso de DHCP para o endereo
IP atualmente atribudo.
Clique em Liberar para cancelar a concesso de DHCP para o endereo IP atual. A
conexo ser descartada. Voc precisar obter um novo endereo IP do servidor
DHCP para restabelecer a conectividade.
Clique em Atualizar para obter um novo endereo IP do servidor DHCP.
Etapa 9 Se voc desejar permitir que usurios selecionados com direitos de gerenciamento limitado
efetuem logon diretamente no dispositivo de segurana a partir desta interface, selecione
HTTP e/ou HTTPS em Login do usurio.
Etapa 10 Marque Adicionar regra para habilitar o redirecionamento de HTTP para HTTPS se desejar
que uma conexo HTTP seja redirecionada automaticamente para uma conexo HTTPS
segura no firewall.
Etapa 11 Continuar a configurao nas guias Avanado e Protocolo (se exibidas), conforme descrito
abaixo. Depois de concluir a configurao de WAN para seu Modo de endereamento de rede,
clique em OK.

Definir configuraes avanadas para uma interface de WAN

Etapa 1 Na caixa de dilogo Editar interface, clique na guia Avanado.


Etapa 2 Para Velocidade de link, se a opo Negociar automaticamente estiver selecionada por
padro, voc pode alter-la para uma velocidade de link especfica e duplex. Para aqueles em
que isto se aplica, deixar como Negociar automaticamente faz com que os dispositivos
conectados negociem automaticamente a velocidade e modo duplex da conexo Ethernet. Se
voc desejar especificar a velocidade de Ethernet e duplex forada, selecione uma das
seguintes opes no menu Velocidade de link:
Para interfaces de 1 Gbps, selecione:
1 Gbps Full Duplex
100 Mbps Full Duplex
100 Mbps Half Duplex
10 Mbps Full Duplex
10 Mbps Half Duplex
Para interfaces de 10 Gbps, a seleo nica 10 Gbps Full Duplex.

204 | Guia do Administrador do SonicOS 6.2


Cuidado Se voc selecionar uma velocidade de Ethernet e duplex especficos, voc deve forar
tambm a velocidade da conexo e o duplex da placa Ethernet para o firewall.

Etapa 3 Voc pode optar por substituir a opo Usar endereo MAC padro para a interface
selecionando Substituir endereo MAC padro e inserindo o endereo MAC no campo.
Etapa 4 Marque a caixa de seleo Porta de encerramento para colocar temporariamente essa
interface offline para manuteno ou por outros motivos. Se conectado, o link ficar inativo.
Desmarque a caixa de seleo para ativar a interface e permitir que o link fique novamente
ativo.
Etapa 5 Para o recurso AppFlow, marque a caixa de seleo Habilitar relatrios de fluxo para permitir
relatrios de fluxo em fluxos criados para esta interface.
Etapa 6 Marque a caixa de seleo Habilitar suporte a difuso seletiva para permitir a recepo de
difuso seletiva nesta interface.
Etapa 7 Marque a caixa de seleo Habilitar marcas 802.1p para marcar informaes passando nessa
interface com informaes de prioridade 802.1p para gerenciamento de Qualidade de Servio
(QoS). Os pacotes enviados por meio dessa interface so marcados com VLAN id=0 e
transmitem informaes de prioridade 802.1p. Para usar essas informaes de prioridade, os
dispositivos conectados a esta interface devem suportar quadros de prioridade. O
gerenciamento de QoS controlado por regras de acesso na pgina Firewall > Regras de
acesso. Para obter informaes sobre o gerenciamento de QoS e largura de banda, consulte
Configuraes de firewall > Mapeamento QoS na pgina 725.
Etapa 8 Como alternativa, selecione Agregao de links ou Redundncia de portas na lista
suspensa Redundncia/agregao de portas. Para obter mais informaes, consulte
Configurar agregao de links e redundncia de portas na pgina 206.
Etapa 9 MTU da interface Especifica o maior tamanho de pacote que a interface pode encaminhar
sem fragmentar o pacote. Identifique o tamanho dos pacotes que a porta receber e
transmitir:
1500 Pacotes padro (padro)
9000 Pacotes do Quadro Jumbo
Observe que o suporte ao quadro jumbo deve ser habilitado antes que uma porta possa
processar quadros jumbo, conforme explicado em Quadro Jumbo na pgina 674.

Nota Devido aos requisitos de tamanho do buffer dos pacotes do quadro jumbo, os quadros
jumbo aumentam os requisitos de memria por um fator de 4.

Fragmentar pacotes de sada no VPN maiores que a MTU dessa interface


especifica todos os pacotes de sada no VPN maiores que a MTU da interface
fragmentados. A especificao da fragmentao de pacotes de sada VPN realizada
na pgina VPN > Avanado.
Ignorar bit no fragmentar (DF) substitui bits DF em pacotes.
Eliminar gerao de mensagem Fragmentao ICMP necessria bloqueia a
notificao de que esta interface pode receber pacotes fragmentados.
Etapa 10 Se estiver usando DHCP, as seguintes opes sero exibidas:
Marque a caixa de seleo Iniciar renovaes com uma descoberta ao usar DHCP
se for possvel alterar o servidor.

Configurar interfaces | 205


Marque a caixa de seleo Usar um intervalo de _ segundos entre descobertas de
DHCP durante a aquisio de concesso e ajuste o nmero de segundos do
intervalo se o servidor DHCP no responder imediatamente.
Etapa 11 Opcionalmente, habilite o gerenciamento de largura de banda para esta interface. Para obter
mais informaes sobre o gerenciamento de largura de banda, consulte Habilitar o
gerenciamento de largura de banda na pgina 196.

Definir configuraes de protocolo para uma interface de WAN

Se voc especificou uma atribuio de IP PPPoE, PPTP ou L2TP ao configurar a interface de


WAN, a caixa de dilogo Editar interface exibe a guia Protocolo.
O Provedor de servios de Internet (ISP) configura os campos (por exemplo, endereo IP,
mscara de sub-rede e endereo de gateway SonicWALL) na seo Configuraes
adquiridas via da guia Protocolo. Esses campos mostraro valores reais depois de conectar
o dispositivo ao ISP.
Alm disso, especificar PPPoE faz com que o SonicOS defina a opo MTU de interface na
guia Avanado para 1492 e fornece configuraes adicionais na guia Protocolo.
Para definir configuraes adicionais para PPPoE:

Etapa 1 Na caixa de dilogo Editar interface, clique na guia Protocolo.


Etapa 2 Marque as caixas de seleo para habilitar as opes seguintes na seo Configuraes de
cliente PPPoE:
Desconexo por inatividade (minutos): Insira o nmero de minutos (o padro 10)
aps o qual o SonicOS terminar a conexo se detectar que os pacotes no esto
sendo enviados.
Usar estritamente pacotes de eco LCP para keep-alive de servidor: Selecione esta
opo para que o SonicOS termine a conexo se detectar que o servidor PPoE no
enviou um pacote de "solicitao de eco de LCP ppp" em um minuto. Selecione esta
opo somente se o seu servidor PPPoE suportar a funo "enviar eco de LCP".
Reconectar o cliente PPPOE se o servidor no enviar trfego durante __ minutos:
Insira o nmero de minutos (o padro 5) aps o qual o SonicOS terminar a conexo
do servidor PPPoE e, em seguida, reconectar, se o servidor no enviar quaisquer
pacotes (incluindo a solicitao de eco de LCP).

Configurar agregao de links e redundncia de portas


A agregao de links e a redundncia de portas so configuradas na guia Avanado da caixa
de dilogo Editar interface na interface do usurio do SonicOS.
Agregao de links na pgina 207 agrupa vrias interfaces de Ethernet formando um
nico link lgico para suportar maior velocidade de processamento do que uma nica
interface fsica consegue suportar. Isso permite enviar trfego de multigigabits entre dois
domnios de Ethernet.

Nota A Agregao de links para as Interfaces de rede no suportada no NSA 2600.

Redundncia de portas na pgina 208 configura uma nica porta redundante para
qualquer interface fsica que pode ser conectada a um segundo switch para evitar perda
de conectividade nos casos em que a interface primria ou o switch primrio switch falhar.

206 | Guia do Administrador do SonicOS 6.2


Nota A Redundncia de portas para as Interfaces de rede no suportada no NSA 2600.

Nota A Agregao de links e a Redundncia de portas no so suportadas na Interface de


Controle de AD.

Nota A Agregao de links no suportada no Modo de Ponte de Camada 2.

Agregao de links

A agregao de links usada para aumentar a largura de banda disponvel entre o firewall e
um switch agregando at quatro interfaces em um nico link agregado, designado Grupo de
agregao de links (LAG). Todas as portas em um link agregado devem estar conectadas ao
mesmo switch. O firewall usa um algoritmo round-robin para balanceamento de carga de
trfego nas interfaces em um Grupo de agregao de links. A agregao de links tambm
fornece uma medida de redundncia, em que se uma interface no LAG ficar inativa, as outras
interfaces permanecero conectadas.
A agregao de links referenciada por meio de terminologia diferente por fornecedores
diferentes, incluindo Canal de porta, Canal de Ether, Truncamento e Agrupamento de portas.

Failover de agregao de links


A SonicWALL fornece vrios mtodos de proteo contra a perda de conectividade no caso de
falha de um link, incluindo Alta disponibilidade (HA), Grupos de balanceamento de carga
(Grupos de LB) e agora Agregao de links. Se estes trs recursos forem configurados em um
firewall, a seguinte ordem de prioridade seguida no caso de falha de um link:
1. Alta disponibilidade
2. Agregao de links
3. Grupos de balanceamento de carga
A HA prevalece sobre a agregao de links. Uma vez que cada link no LAG possui um
compartilhamento igual da carga, a perda de um link no firewall Ativo forar um failover no
firewall Ocioso (se todos os seus links permanecerem conectados). O monitoramento fsico
precisa ser configurado apenas na porta de agregado primria.
Quando a agregao de links usada com um grupo de LB, a agregao de links ter
precedncia. O LB assumir somente se todas as portas no link agregado estiverem inativas.

Limitaes da agregao de links


Atualmente somente o endereamento esttico suportado para agregao de links
O Protocolo de controle de agregao de links (LACP) no suportado atualmente

Configurao da agregao de links

Para configurar a agregao de links, execute as seguintes tarefas:

Configurar interfaces | 207


Etapa 1 Na pgina Rede > Interfaces, clique no cone Configurar da interface que deve ser designada
a mestre do grupo de agregao de links. A caixa de dilogo Editar interface exibida.
Etapa 2 Clique na guia Avanado.
Etapa 3 No menu suspenso Redundncia/agregao de portas selecione Agregao de links.
Etapa 4 A opo Porta de agregado exibida com uma caixa de seleo para cada uma das interfaces
no atribudas atualmente no firewall. Selecione at trs interfaces diferentes para atribuir ao
LAG.

Nota Depois de uma interface ser atribuda a um Grupo de agregao de links, sua configurao
regida pela interface mestre da agregao de links e no pode ser configurada de forma
independente. Na tabela Configuraes de interface, a zona da interface exibida como
"Porta de agregado" e o cone de configurao removido.

Etapa 5 Defina a Velocidade de link da interface para Negociar automaticamente.


Etapa 6 Clique em OK.

Nota A agregao de links exige uma configurao correspondente no switch. O mtodo do


switch de balanceamento de carga depender consideravelmente do fornecedor. Consulte
a documentao do switch para obter informaes sobre como configurar a agregao de
links. Lembre-se de que ela pode ser designada como Canal de porta, Canal de Ether,
Truncamento ou Agrupamento de portas.

Redundncia de portas

A redundncia de portas fornece um mtodo simples para configurar uma porta redundante
para uma porta fsica de Ethernet. Este um recurso valioso, principalmente em implantaes
avanadas, para proteo contra falhas de switch como um ponto nico de falha.
Quando a interface primria est ativa, ela processa todo o trfego de e para a interface. Se a
interface primria ficar inativa, a interface secundria assumir todo o trfego de entrada e de
sada. A interface secundria assume o endereo MAC da interface primria e envia o ARP
gratuito apropriado em um evento de failover. Quando a interface primria fica ativa
novamente, ela retomar a responsabilidade por todo o trfego, tratando das obrigaes da
interface secundria.
Em uma configurao tpica de redundncia de portas, as interfaces primria e secundria
esto conectadas a switches diferentes. Isso fornece um caminho de failover no caso de o
switch primrio ficar inativo. Os dois switches devem estar no mesmo domnio de Ethernet. A
redundncia de portas tambm pode ser configurada com ambas as interfaces conectadas ao
mesmo switch.

Failover de redundncia de portas


A SonicWALL fornece vrios mtodos de proteo contra a perda de conectividade no caso de
falha de um link, incluindo Alta disponibilidade (HA), Grupos de balanceamento de carga
(Grupos de LB) e agora Redundncia de portas. Se estes trs recursos forem configurados em
um firewall, a seguinte ordem de prioridade seguida no caso de falha de um link:
1. Redundncia de portas
2. HA
3. Grupo de LB

208 | Guia do Administrador do SonicOS 6.2


Quando a redundncia de portas usada com HA, a redundncia de portas ter precedncia.
Normalmente um failover de interface causar a ocorrncia de um failover de HA, mas se uma
porta redundante estiver disponvel para essa interface, ocorrer ento um failover de
interface, mas no um failover de HA. Se as duas portas redundantes primria e secundria
ficarem inativas, ocorrer um failover de HA (supondo que o firewall secundrio tem a porta
correspondente ativa).
Quando a redundncia de portas usada com um grupo de LB, a redundncia de portas ter
novamente precedncia. Qualquer falha de porta nica (primria ou secundria) ser
manipulada pela redundncia de portas exatamente como com a HA. Quando as duas portas
esto inativas, o LB acionado e tenta encontrar uma interface alternativa.

Configurao de redundncia de portas

Para configurar a redundncia de portas, execute as seguintes tarefas:

Etapa 1 Na pgina Rede > Interfaces, clique no cone Configurar da interface que deve ser designada
a mestre do grupo de agregao de links. A caixa de dilogo Editar interface exibida.
Etapa 2 Clique na guia Avanado.
Etapa 3 No menu suspenso Redundncia/agregao de portas selecione Redundncia de portas.
Etapa 4 O menu suspenso Porta redundante exibido com todas as interfaces no atribudas
atualmente disponveis. Selecione uma das interfaces.

Nota Depois de selecionar uma interface como uma porta redundante, a sua configurao ser
regida pela interface primria e no pode ser configurada de forma independente. Na tabela
Configuraes de interface, a zona da interface exibida como "Porta redundante" e o
cone de configurao removido.

Etapa 5 Defina a Velocidade de link da interface para Negociar automaticamente.


Etapa 6 Clique em OK.

Configurar subinterfaces de VLAN


Quando voc adiciona uma subinterface de VLAN, voc precisa atribu-la a uma zona, a uma
marca VLAN e a uma interface fsica. Com base em sua atribuio de zonas, voc deve
configurar a subinterface de VLAN da mesma forma que configurou uma interface fsica na
mesma zona.

Adicionar uma interface virtual

Etapa 1 No menu de navegao esquerda, clique em Rede e, em seguida, Interfaces para exibir a
pgina Rede > Interfaces.
Etapa 2 Na parte inferior da tabela Configuraes de interface, clique em Adicionar interface. A caixa
de dilogo Editar interface exibida.
Etapa 3 Selecione uma zona para atribuir interface. Voc pode selecionar LAN, WAN, DMZ, WLAN
ou uma zona personalizada. A atribuio de zonas no precisa ser a mesmo que a interface
(fsica) pai. Na verdade, a interface pai ainda pode permanecer No atribuda.
Suas opes de configurao para as configuraes de rede da subinterface dependem da
zona que voc selecionar.
LAN, DMZ ou uma zona personalizado de tipo Confivel: Esttico ou Transparente

Configurar interfaces | 209


WLAN ou uma zona sem fio personalizada: somente IP esttico (nenhuma lista de
atribuio de IP).
Etapa 4 Atribua uma marca VLAN (ID) subinterface. Os IDs de VLAN vlidos so 1 a 4094, embora
alguns switches reservem a VLAN 1 para designao de VLAN nativa. Ser necessrio criar
uma subinterface de VLAN com um ID de VLAN correspondente para cada VLAN que desejar
proteger com seu dispositivo de segurana.
Etapa 5 Declare a interface (fsica) pai qual esta subinterface pertencer. No h nenhum limite por
interface para o nmero de subinterfaces que voc pode atribuir. Voc poder atribuir
subinterfaces at o limite do sistema.
Etapa 6 Defina as configuraes de rede de subinterface com base na zona selecionada. Consulte as
instrues de configurao de interface nesta seo:
Configurar uma interface esttica na pgina 193
Definir configuraes avanadas para uma interface esttica na pgina 194
Configurar interfaces no modo de IP transparente (unir sub-rede L3) na pgina 197
Configurar interfaces sem fio na pgina 200
Configurar uma interface de WAN na pgina 202
Configurar subinterfaces de VLAN na pgina 209
Etapa 7 Selecione os mtodos de gerenciamento e login do usurio da subinterface.
Etapa 8 Clique em OK.

Configurar o modo de sniffer IPS


Para configurar o firewall para o modo de Sniffer IPS, voc usar duas interfaces na mesma
zona para o par de ponte L2. Voc pode usar qualquer interface, exceto a interface de WAN.
Para esse exemplo, vamos usar X2 e X3 para o par de ponte e configur-las para estarem na
zona da LAN. A interface de WAN (X1) usada pelo firewall para acesso ao Centro de Dados
do firewall, conforme necessrio. A porta espelhada no switch ir se conectar a uma das
interfaces no par de ponte.
Esta seo contm os tpicos seguintes:
Lista de tarefas de configurao para o modo de sniffer IPS na pgina 210
Configurar a interface de ponte primria na pgina 211
Configurar a interface de ponte secundria na pgina 211
Habilitar e configurar SNMP na pgina 212
Configurar servios de segurana (gerenciamento unificado de ameaas) na pgina 213
Configurar o log na pgina 213
Conectar a porta do switch espelhada a uma interface de modo de sniffer IPS na
pgina 213
Conectar e configurar a interface de WAN no centro de dados na pgina 214

Lista de tarefas de configurao para o modo de sniffer IPS


Configurar a interface de ponte primria
Selecionar a LAN como a zona da interface de ponte primria
Atribuir um endereo IP esttico
Configurar a interface de ponte secundria
Selecionar a LAN como a zona da interface de ponte secundria

210 | Guia do Administrador do SonicOS 6.2


Habilitar a ponte L2 na interface de ponte primria
Habilitar SNMP e configurar o endereo IP do sistema gerenciador de SNMP onde podem
ser enviadas capturas
Configurar servios de segurana (UTM) para trfego de LAN
Definir configuraes de alerta de log para "Alerta" ou inferior
Conectar a porta espelhada no switch a qualquer uma das interfaces no par de ponte
Conectar e configurar a WAN para permitir o acesso a dados de assinatura dinmica pela
Internet

Configurar a interface de ponte primria

Etapa 1 Selecione a guia Rede, a pasta Interfaces no painel de navegao.


Etapa 2 Clique no cone Configurar na coluna direita da interface X2.
Etapa 3 Na caixa de dilogo Editar interface na guia Geral, selecione LAN na lista suspensa Zona.
Observe que no necessrio definir as configuraes nas guias Avanado ou Filtragem
VLAN.
Etapa 4 Para a Atribuio de IP, selecione Esttico na lista suspensa.
Etapa 5 Configure a interface com um endereo IP esttico (por exemplo, 10.1.2.3). O endereo IP que
voc escolher no deve entrar em conflito com nenhuma das redes que so vistas pelo switch.

Nota A interface de ponte primria deve ter uma atribuio de IP esttico.

Etapa 6 Configure a mscara de sub-rede.


Etapa 7 Insira um comentrio descritivo.
Etapa 8 Selecione as opes de gerenciamento da interface (HTTP, HTTPS, Ping, SNMP, SSH, Logins
do usurio, Redirecionamentos HTTP).
Etapa 9 Clique em OK.

Configurar a interface de ponte secundria


Nosso exemplo continua com X3 como a interface de ponte secundria.

Etapa 1 Selecione a guia Rede, a pasta Interfaces no painel de navegao.


Etapa 2 Clique no cone Configurar na coluna direita da interface X3.
Etapa 3 Na caixa de dilogo Editar interface na guia Geral, selecione LAN na lista suspensa Zona.

Configurar interfaces | 211


Observe que no necessrio definir as configuraes nas guias Avanado ou Filtragem
VLAN.
Etapa 4 Na lista suspensa Atribuio de IP, selecione Modo de ponte de camada 2.
Etapa 5 Na lista suspensa Ponte para, selecione a interface X2.
Etapa 6 No habilite a configurao Bloquear todo o trfego no IPv4 se desejar monitorar o trfego
no IPv4.
Etapa 7 Selecione Nunca rotear trfego nesse par com ponte para garantir que o trfego da porta
do switch espelhada no enviado novamente para a rede.
Etapa 8 Selecione Detectar somente trfego nesse par com ponte para permitir a deteco ou o
monitoramento de pacotes que chegam ponte L2 da porta do switch espelhada.
Etapa 9 Selecione Desabilitar inspeo estvel nesse par com ponte para isentar essas interfaces
de inspeo de alta disponibilidade estvel. Se os servios de inspeo profunda de pacotes
estiverem habilitados para essas interfaces, os servios de DPI continuaro sendo aplicados.
Etapa 10 Configure o gerenciamento (HTTP, HTTPS, Ping, SNMP, SSH, Logins do usurio,
Redirecionamentos HTTP).
Etapa 11 Clique em OK.

Habilitar e configurar SNMP


Quando o SNMP habilitado, as capturas de SNMP so acionadas automaticamente para
muitos eventos que so gerados pelos servios de segurana da SonicWALL como Preveno
de intruso e Antivrus do gateway.
Mais de 50 eventos de IPS e GAV acionam atualmente capturas de SNMP. O SonicOS Log
Event Reference Guide contm uma lista de eventos que so registrados pelo SonicOS e inclui
o nmero de captura de SNMP, se aplicvel. O guia est disponvel online em
http://www.sonicwall.com/us/Support.html digitando Evento de log no campo de pesquisa na
parte superior da pgina.
Para determinar as capturas que so possveis usando o modo de sniffer IPS com a preveno
de intruso habilitada, procure Intruso na tabela encontrada na seo do ndice de
mensagens de eventos de log no SonicOS Log Event Reference Guide. O nmero de captura
de SNMP, se estiver disponvel para esse evento, impresso na coluna Tipo de captura de
SNMP da tabela.
Para determinar as possveis capturas com o Antivrus do gateway habilitado, pesquise na
tabela Servios de segurana e visualize o nmero de captura de SNMP na coluna Tipo de
captura de SNMP.

212 | Guia do Administrador do SonicOS 6.2


Para habilitar e configurar o SNMP:

Etapa 1 Selecione a guia Sistema, pasta Administrao no painel de navegao.


Etapa 2 Role para baixo at a seo Gerenciamento avanado.
Etapa 3 Marque a caixa de seleo Habilitar SNMP. O boto Configurar fica ativo.
Etapa 4 Clique em Configurar. exibida a caixa de dilogo Configuraes de SNMP.
Etapa 5 Na caixa de dilogo Configuraes de SNMP, para o Nome do sistema, digite o nome do
sistema gerenciador de SNMP que receber as capturas enviadas do firewall.
Etapa 6 Insira o nome ou endereo de e-mail da pessoa de contato para Contato de SNMP
Etapa 7 Digite uma descrio do local do sistema, como "laboratrio do 3 andar".
Etapa 8 Insira o nmero de ativo do sistema.
Etapa 9 Para Obter nome da comunidade, digite o nome de comunidade que tem permisses para
recuperar informaes de SNMP do firewall, por exemplo, pblico.
Etapa 10 Para Capturar nome da comunidade, digite o nome da comunidade que ser usada para enviar
capturas de SNMP do firewall para o gerenciador de SNMP, por exemplo, pblico.
Etapa 11 Para os campos Host, digite os endereos IP dos sistemas gerenciadores de SNMP que
recebero as capturas.
Etapa 12 Clique em OK.

Configurar servios de segurana (gerenciamento unificado de ameaas)


As configuraes que voc habilitar nesta seo controlaro o tipo de trfego mal-intencionado
que voc detectar no modo de sniffer IPS. Normalmente voc ir querer habilitar a preveno
de intruso, mas tambm poder querer habilitar outros servios de segurana como o Anti-
spyware ou o Antivrus do gateway.
Para habilitar os servios de segurana, seu SonicWALL deve ter as respectivas licenas e as
assinaturas devem ser baixadas do centro de dados do firewall. Para concluir as instrues
sobre como habilitar e configurar IPS, GAV e Anti-spyware, consulte a seo de Servios de
segurana neste guia.

Configurar o log
Voc pode configurar o log para registrar entradas de ataques detectados pelo firewall.
Para habilitar o log, execute as seguintes etapas:

Etapa 1 Selecione a guia Log, a pasta Categorias no painel de navegao.


Etapa 2 Em Categorias de log, selecione Todas as categorias na lista suspensa Ver estilo.
Etapa 3 Na categoria de ataques, habilite as caixas de seleo de Log, Alertas e Syslog.
Etapa 4 Clique em Aplicar.

Conectar a porta do switch espelhada a uma interface de modo de sniffer IPS


Use um cabo Ethernet de categoria 5 padro para conectar a porta do switch espelhada a uma
das interfaces no par de ponte. O trfego de rede ser enviado automaticamente do switch
para o firewall onde pode ser inspecionado.

Configurar interfaces | 213


Consulte a documentao do switch para obter instrues sobre como configurar a porta
espelhada.

Conectar e configurar a interface de WAN no centro de dados


Conecte a porta WAN no firewall, geralmente a porta X1, ao seu gateway ou a um dispositivo
com acesso ao gateway. O firewall comunica automaticamente com o respectivo centro de
dados. Para obter instrues detalhadas sobre como configurar a interface de WAN, consulte
Configurar uma interface de WAN na pgina 202.

Configurar o modo de cabo e de tap


O SonicOS suporta o modo de cabo e o modo de tap, os quais fornecem novos mtodos no
prejudiciais e de insero incremental em redes.

Configurao do
modo de cabo Descrio
Modo de bypass O modo de bypass permite a Introduo rpida e relativamente contnua de
hardware de firewall em uma rede. Ao selecionar um ponto de insero em uma
rede (por exemplo, entre um switch central e um firewall de permetro, na frente de
um farm de servidor VM, em um ponto de transio entre domnios de classificao
de dados), o firewall inserido no caminho de dados fsicos, exigindo uma janela
de manuteno muito curta. Um ou mais pares de portas do switch no firewall so
usados para encaminhar todos os pacotes em segmentos a taxas de linha
completas, ficando todos os pacotes na malha do switch de 240 Gbps do firewall
em vez de passarem para o caminho de imposio e inspeo de vrios ncleos.
Enquanto o modo de bypass no oferece qualquer inspeo ou aplicao de
firewall, esse modo permite que o administrador introduza fisicamente o firewall na
rede com um mnimo de tempo de inatividade e risco e obtenha um nvel de
conforto com o componente recentemente inserido da infraestrutura de rede e
segurana. O administrador pode ento fazer a transio instantaneamente do
modo Bypass para o modo Inspecionar ou Proteger atravs de uma simples
reconfigurao orientada pela interface do usurio.
Modo Inspecionar O modo Inspecionar estende o modo Bypass sem alterar funcionalmente o
caminho do pacote de baixo risco e latncia zero. Os pacotes continuam a passar
pela malha do switch do firewall, mas eles tambm so espelhados no mecanismo
RF-DPI de vrios ncleos para fins de inspeo passiva, classificao e relatrios
de fluxo. Isso revela recursos de deteco de ameaas e inteligncia de aplicativo
do firewall sem qualquer processamento intermedirio real.
Modo Proteger O modo Proteger a progresso do modo Inspecionar, interpondo ativamente
processadores de vrios ncleos do firewall no caminho de processamento de
pacotes. Isso amplia o conjunto completo de recursos dos mecanismos de
inspeo e poltica, incluindo controle e inteligncia de aplicativo, servios de
preveno de intruso, antivrus baseado em gateway e em nuvem, anti-spyware e
filtragem de contedo. O modo Proteger proporciona o mesmo nvel de visibilidade
e imposio que as implantaes convencionais de NAT ou modo de ponte L2,
mas sem quaisquer transformaes de L3/L4 e sem alteraes de ARP ou
comportamento de roteamento. O modo Proteger fornece assim uma implantao
NGFW incrementalmente atingvel, no exigindo alteraes lgicas, apenas
alteraes fsicas mnimas, nos designs de rede existentes.

214 | Guia do Administrador do SonicOS 6.2


Configurao do
modo de cabo Descrio
Modo de tap O modo de tap oferece a mesma visibilidade que o modo Inspecionar, mas difere
deste, pois consome um fluxo de pacotes espelhados por meio de uma porta de
switch nica no firewall, eliminando a necessidade de insero fisicamente
intermediria. O modo de tap foi projetado para uso em ambientes empregando
taps de rede, taps inteligentes, espelhos de porta ou portas SPAN para transmitir
pacotes a dispositivos externos para inspeo ou coleta. Tal como acontece com
todas as outras formas de Modo de cabo, o Modo de tap pode operar em vrias
instncias de porta simultneas, suportando fluxos discretos de vrios taps.

Para resumir as principais diferenas funcionais entre os modos de configurao da interface:

Modo Modos Ponte L2,


Modo de Inspecio Modo Modo de Transparente,
bypass nar Proteger tap NAT, Rota
Clustering ativo/ativo a No No No No Sim

Controle de aplicativos No No Sim No Sim


Visibilidade de aplicativos No Sim Sim Sim Sim

ARP/Roteamento/NAT a No No No No Sim

Servio anti-spam abrangente a No No No No Sim

Filtragem de contedo No No Sim No Sim

Servidor DHCP a No No No No Sim b


Deteco de DPI No Sim Sim Sim Sim
Preveno de DPI No No Sim No Sim

DPI-SSLa No No No No Sim

Alta disponibilidade Sim Sim Sim Sim Sim

Propagao do estado de link c Sim Sim Sim No No

SPI No Sim Sim Sim Sim

Imposio de handshake TCP d No No No No Sim

Grupos virtuais a No No No No Sim


a. Essas funes ou servios no esto disponveis em interfaces configuradas no Modo de cabo, mas permanecem disponveis em
um nvel de sistema para quaisquer interfaces configuradas em outros modos de operao compatveis.
b. Indisponvel no modo de ponte L2.
c.A Propagao do estado de link um recurso atravs do qual as interfaces em um par de Modo de cabo espelham o estado de
link acionado por transies de seus parceiros. Isso essencial para operaes adequadas em redes de caminho redundante.
d. Desabilitada por design no Modo de cabo para permitir que eventos de failover ocorram em outro lugar na rede para serem
suportados quando estiverem sendo usados vrios caminhos de Modo de cabo ou vrias unidades de firewall ao longo de
caminhos redundantes ou assimtricos.

Nota Ao operar no Modo de cabo, a interface dedicada de "Gerenciamento" do firewall ser


usada para gerenciamento local. Para habilitar o gerenciamento remoto e atualizaes de
inteligncia de aplicativos e servios de segurana dinmica, deve ser configurada uma
interface de WAN (separada das interfaces do Modo de cabo) para conectividade com a
Internet. Isso feito facilmente, pois o SonicOS suporta interfaces em modo mistos de
praticamente qualquer combinao.

Configurar interfaces | 215


Configurar uma interface para o modo de cabo
Para configurar uma interface para o modo de cabo, realize as seguintes etapas:

Etapa 1 Na pgina Rede > Interfaces, clique no boto Configurar da interface que deseja configurar
para o modo de cabo.
Etapa 2 No menu suspenso Zona, selecione qualquer tipo de zona, exceto WLAN.
Etapa 3 Para configurar a Interface para o Modo de tap, no menu suspenso Atribuio de IP/modo
selecione Modo de tap (tap de 1 porta).
Para configurar a Interface para Modo de cabo, no menu suspenso Atribuio de IP/
modo selecione Modo de cabo (cabo de 2 portas).
Etapa 4 No menu suspenso Tipo de modo de cabo selecione o modo apropriado:
Ignorar (por meio de comutador interno/retransmisso)
Inspecionar (DPI passiva de trfego espelhado)
Assegurar (DPI ativo de trfego embutido)
Etapa 5 No menu suspenso Interface emparelhada selecione a interface que ser conectada ao
firewall upstream. As interfaces emparelhadas devem ser do mesmo tipo (duas interfaces de
1 GB ou duas interfaces de 10 GB).

Nota Somente esto disponveis interfaces no atribudas no menu suspenso Interface


emparelhada. Para tornar uma interface no atribuda, clique no boto Configurar da
interface e, no menu suspenso Zona, selecione No atribudo.

Etapa 6 Clique em OK.


O Modo de cabo pode ser configurado na WAN, LAN, DMZ e em zonas personalizadas (exceto
zonas sem fio). O modo de cabo uma forma simplificada de modo de ponte de camada 2 e
est configurado como um par de interfaces. No modo de cabo, a zona de destino a Zona de
interface emparelhada. As regras de acesso so aplicadas ao par do modo de cabo com base
na direo do trfego entre a Zona de origem e a sua Zona de interface emparelhada. Por
exemplo, se a Zona de origem for WAN e a Zona de interface emparelhada for LAN, ento
sero aplicadas regras de WAN para LAN e LAN para WAN, dependendo da direo do
trfego.
No Modo de cabo, os administradores podem habilitar a Propagao do estado de link que
propaga o status de link de uma interface sua interface emparelhada. Se uma interface ficar
inativa, forada a inatividade da respectiva interface emparelhada para espelhar o status de
link da primeira interface. As duas interfaces em um par de modo de cabo sempre tm o mesmo
status de link.
No Modo de cabo, os administradores podem Desabilitar a inspeo estvel. Quando a
opo Desabilitar inspeo estvel estiver selecionada, a inspeo de pacotes estvel (SPI)
desativada. Quando a opo Desabilitar inspeo estvel no estiver selecionada, podem
ser estabelecidas novas conexes sem impor um handshake TCP de trs vias. A opo
Desabilitar inspeo estvel deve ser selecionada se forem implantadas rotas assimtricas.

Configurar o modo de cabo para um par de zona de WAN/LAN


A configurao a seguir um exemplo de como o Modo de cabo pode ser configurado. Este
exemplo destina-se a uma zona de WAN emparelhada com uma zona de LAN. O Modo de cabo
tambm pode ser configurado para zonas personalizadas e DMZ.

216 | Guia do Administrador do SonicOS 6.2


Para configurar o Modo de cabo para um par de zona de WAN/LAN:

Etapa 1 Navegue at Rede > Interfaces.


Etapa 2 Clique no boto Adicionar interface.
ou
Clique no boto Configurar da interface que voc deseja configurar.
Etapa 3 Na guia Geral, na lista Atribuio de IP, selecione Modo de cabo (cabo de 2 portas).

Etapa 4 Na lista Zona selecione WAN.


Etapa 5 Na lista Zona de Interface emparelhada selecione LAN.

Etapa 6 Selecione a opo Desabilitar inspeo estvel.

Etapa 7 Selecione a opo Habilitar propagao do estado de link.

Etapa 8 Clique no boto OK.

Modo de cabo com agregao de links


A agregao de links (LAG) usada para agrupar vrios links em uma nica interface para
aumentar a largura de banda. Para inspecionar o trfego atravs de uma interface de LAG,
possvel conectar um dispositivo de segurana de rede Dell SonicWALL em linha, permitindo
a transio de forma transparente dos pacotes enviados em um link para o destino. Os
recursos de modo de cabo existentes, como propagao do estado de link, so suportados.
At 8 membros por LAG so suportados.
O Modo de cabo e a Agregao de links so configurados na pgina Rede > Interfaces no
SonicOS. Na guia Avanado da tela de configurao da interface exibida a lista de interfaces
no atribudas. O administrador pode selecionar interfaces de membros para cada lado da
conexo do Modo de cabo. O nmero de membros em cada lado deve ser igual.
recomendvel que o tipo e o tamanho da largura de banda das interfaces de membros tambm
correspondam.
Para configurar o Modo de cabo com LAG:

Etapa 1 Navegue at a pgina Rede > Interfaces.


Etapa 2 Clique no cone de configurao da interface que voc deseja configurar.

Configurar interfaces | 217


Na guia Geral:
Etapa 3 No menu Zona, selecione a zona desejada.
Etapa 4 No menu Atribuio de IP/modo, selecione Modo de cabo (cabo de 2 portas).
Etapa 5 No menu Tipo de modo de cabo, selecione Assegurar (DPI ativa de trfego embutido).
Etapa 6 No menu Interface emparelhada, selecione a interface desejada.
Etapa 7 No menu Zona de interface emparelhada, selecione a interface desejada.

Etapa 8 (Opcional) Selecione a opo Desabilitar inspeo estvel se desejar.


Etapa 9 (Opcional) Selecione a opo Habilitar propagao do estado de link se desejar.

218 | Guia do Administrador do SonicOS 6.2


Na guia Avanado:
Etapa 10 No menu Redundncia/Agregao de portas, selecione Agregao de links.
Etapa 11 Para Porta de agregado, selecione a porta desejada.
Etapa 12 Para Agregao de portas da interface emparelhada, selecione a porta desejada.

Etapa 13 Clique em OK.


A configurao exibida na tabela na pgina Rede > Interfaces.

Modo de ponte de camada 2


O SonicOS inclui Modo de ponte L2 (camada 2), um mtodo discreto de integrao de um
firewall em qualquer rede Ethernet. O Modo de ponte L2 aparentemente semelhante ao
Modo transparente do SonicOS, pois permite que um firewall compartilhe uma sub-rede
comum entre duas interfaces e realize uma inspeo estvel e profunda de pacotes em todo o
trfego de IP transmitido, mas funcionalmente muito mais verstil.
Em particular, o Modo de ponte L2 emprega uma arquitetura de ponte de aprendizado segura,
permitindo que passe e inspecione tipos de trfego que no podem ser tratados por muitos
outros mtodos de integrao de dispositivo de segurana transparente. Usando o Modo de
ponte L2, possvel adicionar de forma ininterrupta um dispositivo de segurana Dell
SonicWALL a qualquer rede Ethernet para fornecer uma inspeo profunda de pacotes em

Configurar interfaces | 219


linha para todo o trfego TCP e UDP IPv4 transmitido. Nesse cenrio, o firewall no usado
para imposio de segurana, mas em vez disso para verificao bidirecional, bloqueando
vrus e spyware e interrompendo tentativas de intruso.
Ao contrrio de outras solues transparentes, o modo de ponte L2 pode passar todos os tipos
de trfego, incluindo VLANs 802.1Q IEEE, Protocolo de rvore de extenso, difuso seletiva,
difuso e IPv6, garantindo que todas as comunicaes de rede continuam sem interrupes.
Outro aspecto da versatilidade do Modo de ponte L2 que voc pode us-lo para configurar o
Modo de sniffer IPS. Suportado em dispositivos de segurana Dell SonicWALL, o Modo de
Sniffer IPS usa uma nica interface de um par de ponte para monitorar o trfego de rede de
uma porta espelhada em um switch. O Modo de sniffer IPS oferece deteco de intruses, mas
no consegue bloquear trfego malicioso porque o firewall no est conectado em linha ao
fluxo de trfego. Para obter mais informaes sobre o Modo de sniffer IPS, consulte Modo de
sniffer IPS na pgina 190.
O Modo de ponte L2 fornece uma soluo ideal para redes que j tm um firewall e no tm
planos imediatos para substituir seu firewall existente, mas desejam adicionar a segurana da
inspeo profunda de pacotes do Gerenciamento unificado de ameaas (UTM) da SonicWALL,
como Servios de preveno de intruso, Antivrus de gateway e Anti-spyware de gateway. Se
voc no tiver assinaturas de servios de segurana de UTM da SonicWALL, voc pode se
inscrever para avaliaes gratuitas na pgina Servio de segurana > Resumo de seu
SonicWALL.
Voc tambm pode usar o Modo de ponte L2 em uma implantao de Alta disponibilidade.
Esse cenrio explicado em Modo de ponte de camada 2 com alta disponibilidade na
pgina 237.

Nota A Agregao de links no suportada no Modo de Ponte de Camada 2.

Consulte as sees a seguir:


Recursos principais do modo de ponte de camada 2 do SonicOS na pgina 220
Conceitos principais para configurar o modo de ponte L2 e o modo transparente na
pgina 221
Comparar o modo de ponte L2 com o modo transparente na pgina 223
Determinao de caminho de ponte L2 na pgina 231
Seleo de zona de interface de ponte L2 na pgina 232
Exemplos de topologias na pgina 234

Recursos principais do modo de ponte de camada 2 do SonicOS


A tabela a seguir descreve os benefcios de cada recurso principal do modo de ponte de
camada 2:

Recurso Benefcio
Ponte L2 com inspeo profunda de Esse mtodo de operao transparente significa que um
pacotes dispositivo de segurana Dell SonicWALL pode ser adicionado
a qualquer rede sem a necessidade de novo endereamento
ou reconfigurao, permitindo a adio de servios de
segurana de inspeo profunda de pacotes sem causar
interrupes nos designs de rede existentes. Desenvolvido
levando em conta a conectividade e a segurana de igual
forma, o Modo de ponte L2 consegue passar todos os tipos de
quadro de Ethernet, garantindo integrao perfeita.

220 | Guia do Administrador do SonicOS 6.2


Recurso Benefcio
Arquitetura de ponte de aprendizado O verdadeiro comportamento de L2 significa que todo o trfego
segura permitido flui nativamente por meio da ponte L2. Enquanto
outros mtodos de operao transparente dependem de
manipulao de ARP e rota para alcanar transparncia, o que
frequentemente se comprova ser problemtico, o Modo de
ponte L2 aprende dinamicamente a topologia da rede para
determinar caminhos de trfego ideais.
Suporte de tipo de quadro de Ethernet Todo o trfego de Ethernet pode ser transmitido atravs de
universal uma ponte L2, o que significa que todas as comunicaes de
rede continuaro sem interrupes. Embora muitos outros
mtodos de operao transparente suportem somente trfego
IPv4, o Modo de ponte L2 inspecionar todo o trfego IPv4 e
transmitir (ou bloquear, se desejado) todo o outro trfego,
incluindo LLC, todos os tipos ether e at mesmo formatos de
quadro proprietrios.
Operao de modo misto O modo de ponte L2 pode simultaneamente fornecer ponte L2
e servios convencionais de dispositivo de segurana, como
roteamento, NAT, VPN e operaes sem fio. Isso significa que
ele pode ser usado como uma ponte L2 para um segmento da
rede, fornecendo tambm um conjunto completo de servios
de segurana para a parte restante da rede. Isso tambm
permite a Introduo do dispositivo de segurana Dell
SonicWALL como uma ponte L2 pura, com um caminho de
migrao suave para operao completa de servios de
segurana.
Ponte de camada 2 sem fio Use uma nica sub-rede IP em vrios tipos de zona, incluindo
LAN, WLAN, DMZ ou zonas personalizadas. Esse recurso
permite que clientes sem fio e com fio compartilhem
diretamente os mesmos recursos de rede, incluindo endereos
DHCP. O protocolo de camada 2 pode ser executado entre
interfaces emparelhadas, permitindo que vrios tipos de
trfego passem a ponte, incluindo pacotes de difuso e no ip.

Conceitos principais para configurar o modo de ponte L2 e o modo transparente


Os termos a seguir sero usados para se referir operao e configurao do modo de ponte
L2:
Modo de ponte L2 um mtodo de configurao de um dispositivo de segurana Dell
SonicWALL que permite que o firewall seja embutido em uma rede existente com
transparncia absoluta, mesmo alm daquele fornecido pelo Modo transparente. O Modo
de ponte de camada 2 refere-se tambm configurao de Atribuio de IP que
selecionada para Interfaces de ponte secundrias que so colocadas em um Par de ponte.
Modo transparente um mtodo de configurao de um dispositivo de segurana Dell
SonicWALL que permite que o firewall seja inserido em uma rede existente sem a
necessidade de reconfigurao de IP, abrangendo uma nica sub-rede IP em duas ou mais
interfaces atravs do uso de ARP automaticamente aplicado e lgica de roteamento.
Atribuio de IP ao configurar uma interface Confivel (LAN) ou Pblica (DMZ), a
atribuio de IP para a interface pode ser:
Esttico o endereo IP da interface inserido manualmente.

Configurar interfaces | 221


Modo transparente o endereo IP da interface atribudo usando um Objeto de
endereo (Host, Intervalo ou Grupo) que esteja dentro da sub-rede IP primria de
WAN, abrangendo efetivamente a sub-rede da interface de WAN para a interface
atribuda.
Modo de ponte de camada 2 uma interface colocada nesse modo torna-se a
Interface de ponte secundria para a Interface de ponte primria com a qual est
emparelhada. O par de ponte resultante comporta-se ento como uma ponte de
aprendizado de duas portas com transparncia L2 completa e todo o trfego IP que
transmitido estar sujeito a failover estvel completo e inspeo profunda de pacotes.
Par de ponte o conjunto de interface lgica composto por uma Interface de ponte
primria e uma Interface de ponte secundria. Os termos primrio e secundrio no
implicam qualquer nvel inerente de domnio ou subordinao operacional; as duas
interfaces continuam sendo tratadas de acordo com seu tipo de zona e transmitindo trfego
IP de acordo com suas regras de acesso configuradas. O trfego no IPv4 no par de ponte
controlado pela configurao Bloquear todo o trfego no IPv4 na Interface de ponte
secundria. Um sistema pode suportar tantos pares de ponte quantos os pares de interface
disponveis. Por outras palavras, o nmero mximo de pares de ponte igual a do
nmero de interfaces fsicas na plataforma. A participao em um par de ponte no impede
uma interface de comportamento convencional. Por exemplo, se X1 for configurada como
uma Interface de ponte primria emparelhada com X3 como uma Interface de ponte
secundria, X1 pode operar simultaneamente em sua funo tradicional como a WAN
primria, executando a NAT para trfego de Internet por meio da Poltica de NAT padro
de X1 adicionada automaticamente.
Interface de ponte primria uma designao que atribuda a uma interface assim que
uma Interface de ponte secundria for emparelhada com ela. Uma Interface de ponte
primria pode pertencer a uma zona No confivel (WAN), Confivel (LAN) ou Pblica
(DMZ).
Interface de ponte secundria uma designao que atribuda a uma interface cuja
Atribuio de IP foi configurada para o Modo de ponte de camada 2. Uma Interface de
ponte secundria pode pertencer a uma zona Confivel (LAN) ou Pblica (DMZ).
Endereo de gerenciamento de ponte o endereo da interface de ponte primria
compartilhado pelas duas interfaces do Par de ponte. Se a Interface de ponte primria
tambm for a Interface de WAN primria, esse endereo que usado para comunicaes
de sada pelo firewall, como atualizaes de NTP e Gerenciador de licenas. Os hosts que
esto conectados a qualquer segmento do par de ponte tambm podem usar o endereo
de gerenciamento de ponte como gateway, pois ser comum nas implantaes de Modo
misto.
Parceiro de ponte o termo usado para se referir a "outro" membro de um Par de ponte.
Trfego no IPv4 o SonicOS suporta os seguintes tipos de protocolo IP: ICMP (1), IGMP
(2), TCP (6), UDP (17), GRE (47), ESP (50), AH (51), EIGRP (88), OSPF (89), PIM-SM
(103), L2TP (115). Os tipos IP mais complexos, como Combat Radio Transport Protocol
(126), no so tratados nativamente pelo firewall nem so tipos de trfego no IPv4, como
IPX ou (atualmente) IPv6. O modo de ponte L2 pode ser configurado para transmitir ou
descartar o trfego no IPv4.
Modo de ponte cativa esse modo opcional de operao de ponte L2 impede que o
trfego que entrou em uma ponte L2 seja encaminhado para uma interface de no par
ponte. Por padro, a lgica de ponte L2 encaminhar o trfego que entrou na ponte L2 para
seu destino ao longo do caminho ideal, conforme determinado pelo ARP e pelas tabelas
de roteamento. Em alguns casos, o caminho ideal pode envolver roteamento ou
recebimento de NAT para uma interface de no par de ponte. A ativao do modo de ponte
cativa garante que o trfego que entra em uma ponte L2 sai da ponte L2 em vez de assumir

222 | Guia do Administrador do SonicOS 6.2


seu caminho ideal de forma lgica. Em geral, esse modo de operao s necessrio em
redes complexas com caminhos redundantes, onde necessria a conformidade estrita
com o caminho.
Topologia de ponte L2 pura refere-se a implantaes onde o firewall ser usado
estritamente no Modo de ponte L2 para fins de fornecimento de segurana embutida em
uma rede. Isso significa que todo o trfego que entra em um lado do Par de ponte estar
vinculado ao outro lado e no ser roteado/no receber NAT por meio de uma interface
diferente. Isso ser comum em casos em que h um dispositivo de segurana de permetro
existente ou em que desejada segurana embutida ao longo de algum caminho (por
exemplo, entre departamentos ou em um link truncado entre dois switches) de uma rede
existente. A topologia de ponte L2 pura no uma limitao funcional, mas em vez disso
uma descrio topolgica de uma implantao comum em ambientes heterogneos.
Topologia de modo misto refere-se a implantaes onde o Par de ponte no ser o
nico ponto de ingresso/egresso atravs do firewall. Isso significa que o trfego que entra
em um lado do Par de ponte poder destinar-se a ser roteado/receber NAT por meio de
uma interface diferente. Isso ser comum quando o firewall for usado simultaneamente
para fornecer segurana para um ou mais pares de ponte enquanto tambm fornece:
Segurana do permetro, como conectividade WAN, para hosts no par de ponte ou em
outras interfaces.
Servios de firewall e segurana para segmentos adicionais, como interface Confivel
(LAN) ou Pblica (DMZ), onde as comunicaes ocorrero entre hosts nesses
segmentos e hosts no par de ponte.
Servios sem fio com SonicPoints, onde as comunicaes ocorrero entre clientes sem
fio e os hosts no par de ponte.

Comparar o modo de ponte L2 com o modo transparente


Esta comparao de modo de ponte L2 e modo transparente contm as sees a seguir:
ARP no modo transparente na pgina 224
Suporte de VLAN no modo transparente na pgina 224
Vrias sub-redes no modo transparente na pgina 224
Trfego no IPv4 no modo transparente na pgina 224
ARP no modo de ponte L2 na pgina 224
ARP no modo de ponte L2 na pgina 224
Suporte de VLAN no modo de ponte L2 na pgina 225
Caminho de pacotes IP de ponte L2 na pgina 226
Vrias sub-redes no modo de ponte L2 na pgina 227
Trfego no IPv4 no modo de ponte L2 na pgina 228
Comparao de modo de ponte L2 com o modo transparente na pgina 229
Benefcios do modo transparente comparativamente ao modo de ponte L2 na pgina 230
Enquanto o Modo transparente permite que um dispositivo de segurana executando o
SonicOS seja introduzido em uma rede existente sem a necessidade de novo endereamento,
ele apresenta um certo nvel de quebra, especialmente em relao a ARP, suporte de VLAN,
vrias sub-redes e tipos de trfego no IPv4. Considere o diagrama abaixo, em uma situao
em que um dispositivo SonicWALL de Modo transparente acabou de ser adicionado rede com
o objetivo de integrao com o mnimo de interrupes, em particular o seguinte:
Tempo de inatividade insignificante ou no agendado
Sem necessidade de novo endereamento de qualquer parte da rede
Sem necessidade de reconfigurao ou, de outra forma, modificao do roteador do
gateway (como comum quando o roteador de propriedade do IPS)

Configurar interfaces | 223


ARP no modo transparente

ARP Protocolo de resoluo de endereo (o mecanismo pelo qual endereos de hardware


exclusivos nas placas de interface de rede esto associados a endereos IP) aplicado com
proxy no Modo transparente. Se a estao de trabalho no servidor esquerda resolveu
anteriormente o Roteador (192.168.0.1) para seu endereo MAC 00:99:10:10:10:10, essa
entrada de ARP em cache precisaria ser excluda antes que esses hosts conseguissem
comunicar atravs do firewall. Isso ocorre porque o firewall aplica proxies (ou respostas em
nome de) ao IP do gateway (192.168.0.1) para hosts conectados a interfaces operando no
Modo transparente. Por isso, quando a estao de trabalho esquerda tenta resolver
192.168.0.1, a solicitao do ARP que envia respondida pelo firewall com seu prprio
endereo MAC X0 (00:06:B1:10:10:10).
O firewall tambm aplica proxy aos ARPs dos endereos IP especificados no Intervalo
transparente (192.168.0.100 a 192.168.0.250) atribudo a uma interface no Modo transparente
para solicitaes de ARP recebidas na interface X1 (WAN primria). Se o Roteador resolveu
anteriormente o Servidor (192.168.0.100) para seu endereo MAC 00:AA:BB:CC:DD:EE, essa
entrada de ARP em cache precisaria ser excluda antes que o roteador conseguisse comunicar
com o host atravs do firewall. Isso geralmente requer uma liberao de cache de ARP do
roteador a partir de sua interface de gerenciamento ou atravs de reinicializao. Depois de a
cache de ARP do roteador ser excluda, possvel enviar uma nova solicitao de ARP para
192.168.0.100, qual o firewall responder com o seu endereo MAC X1 00:06:B1:10:10:11.

Suporte de VLAN no modo transparente

Embora a rede mostrada no diagrama acima seja simples, no incomum para redes maiores
usar VLANs para segmentao de trfego. Se esta fosse esse tipo de rede, onde o link entre
o switch e o roteador era um tronco de VLAN, um SonicWALL de modo transparente teria sido
capaz de encerrar as VLANs para subinterfaces em ambos os lados do link, mas isso exigiria
o endereamento exclusivo, isto , seria necessrio novo endereamento em, pelo menos, um
lado da operao de no modo transparente. Isso ocorre porque apenas a interface de WAN
primria pode ser usada como a origem do espao de endereo do modo transparente.

Vrias sub-redes no modo transparente

Tambm comum para redes maiores empregar vrias sub-redes, sejam elas em um nico
cabo, em VLANs separadas, cabos mltiplos ou alguma combinao. Enquanto o Modo
transparente capaz de suportar vrias sub-redes com o uso de entradas de Rota e ARP
esttico, como a nota tcnica http://www.sonicwall.com/us/support/2134_3468.html descreve,
no um processo sem esforo.

Trfego no IPv4 no modo transparente

O modo transparente descartar (e, geralmente, registrar) todo o trfego no IPv4, evitando
que passe outros tipos de trfego, como IPX ou tipos IP no tratados.
O modo de ponte L2 trata esses problemas comuns de implantao de Modo transparente, os
quais esto descritos na seo a seguir.

ARP no modo de ponte L2

O Modo de ponte L2 usa um design de ponte de aprendizado, determinando dinamicamente


que hosts se encontram em uma interface especfica de uma ponte L2 (designados como Par
de ponte). O ARP passa de forma nativa, o que significa que um host que comunica em uma
ponte L2 ver os endereos MAC de host reais de seus pares. Por exemplo, a estao de
trabalho que comunica com o roteador (192.168.0.1) ver o roteador como 00:99:10:10:10:10
e o roteador ver a estao de trabalho (192.168.0.100) como 00:AA:BB:CC:DD:EE.

224 | Guia do Administrador do SonicOS 6.2


Esse comportamento permite que um SonicWALL operando no Modo de ponte L2 seja
introduzido em uma rede existente sem interromper a maioria das comunicaes de rede que
no aquelas causadas pela descontinuidade momentnea da insero fsica.
Observe que as comunicaes de protocolos TCP com base em fluxo (por exemplo, uma
sesso FTP entre um cliente e um servidor) precisaro ser restabelecidas aps a insero de
um firewall de Modo de ponte L2. Isto se deve ao design, para manter a segurana
proporcionada pela inspeo de pacotes estvel (SPI). Uma vez que o mecanismo de SPI no
pode ter conhecimento das conexes TCP que existiam previamente, ele descartar esses
pacotes estabelecidos com um evento de log, como Pacote TCP recebido em conexo no
existente/fechada; Pacote TCP descartado.

Suporte de VLAN no modo de ponte L2

Em dispositivos de segurana Dell SonicWALL, o modo de ponte L2 oferece controle detalhado


do trfego de VLAN 802.1Q atravessando uma ponte L2. O tratamento padro de VLANs
permitir e preservar todas as marcas de VLAN 802.1Q medida que passam por uma ponte
L2, aplicando ainda todas as regras de firewall e inspeo estvel e profunda de pacotes ao
trfego encapsulado. ainda possvel especificar listas brancas/negras para IDs de VLAN
permitidos/no permitidos atravs da ponte L2.
Isso permite que um SonicWALL operando no modo de ponte L2 seja inserido, por exemplo,
de forma embutida em um tronco de VLAN com qualquer nmero de VLANs e fornea servios
de segurana completos para todo o trfego IPv4 passando a VLAN sem a necessidade de
configurao explcita de qualquer ID de VLAN ou sub-rede. As regras de acesso do firewall
tambm podem, opcionalmente, ser aplicadas a todo o trfego VLAN que passa atravs do
modo de ponte L2 devido ao mtodo de tratamento do trfego de VLAN.

Configurar interfaces | 225


Caminho de pacotes IP de ponte L2

A seguinte sequncia de eventos descreve o diagrama de fluxo acima:


1. O quadro encapsulado 802.1Q entra em uma interface de ponte L2 (essa primeira, a
prxima etapa e a etapa final se aplicam somente ao trfego de VLAN 802.1Q).
2. O ID de VLAN 802.1Q verificado em relao lista branca/negra de IDs de VLAN:
Se o ID de VLAN no for permitido, o pacote ser descartado e registrado.
Se o ID de VLAN for permitido, o pacote ser desencapsulado, o ID de VLAN ser
armazenado e o pacote interno (incluindo o cabealho IP) ser transmitido atravs do
manipulador de pacotes completos.
3. Uma vez que qualquer nmero de sub-redes suportado por ponte L2, no realizada
qualquer verificao de falsificao de IP de origem no IP de origem do pacote. possvel
configurar pontes L2 para oferecer suporte apenas a uma determinada sub-rede ou sub-
redes usando Regras de acesso do firewall.
4. realizao a verificao de inundao SYN.
5. Uma pesquisa de rota de destino executada para a zona de destino, para que a regra de
acesso do firewall apropriada possa ser aplicada. Qualquer zona um destino vlido,
incluindo a mesma zona que a zona de origem (por exemplo, LAN para LAN), a zona no
confivel (WAN), a zona criptografada (VPN), a zona sem fio (WLAN), a zona de difuso
seletiva ou zonas personalizadas de qualquer tipo.

226 | Guia do Administrador do SonicOS 6.2


6. Uma pesquisa de NAT executada e aplicada, conforme necessrio.
Em geral, o destino de pacotes que entram em uma ponte L2 ser a interface Parceiro
de ponte (ou seja, o outro lado da ponte). Nesses casos, nenhuma converso ser
executada.
Em casos em que o endereo de gerenciamento de ponte L2 o gateway, como por
vezes ser o caso em topologias de modo misto, a NAT ser aplicada conforme
necessrio (consulte a seo Determinao de caminho de ponte L2 para obter mais
detalhes).
7. As regras de acesso do firewall so aplicadas ao pacote. Por exemplo, em dispositivos de
segurana Dell SonicWALL, a seguinte decodificao de pacote mostra um pacote ICMP
com ID 10 de VLAN, endereo IP de origem 110.110.110.110 destinado ao endereo IP
4.2.2.1.

possvel criar uma regra de acesso do firewall para controlar qualquer pacote IP,
independente de sua associao VLAN, por qualquer um dos seus elementos IP, como IP
de origem, IP de destino ou tipo de servio. Se o pacote no for permitido, ele ser
descartado e conectado. Se o pacote for permitido, ele continuar.
8. realizada uma entrada em cache de conexo para o pacote e as converses de NAT
necessrias (se existirem) so executadas.
9. As transformaes e a inspeo de pacotes estvel so executadas para TCP, VoIP, FTP,
MSN, Oracle, RTSP e outros fluxos de mdia, PPTP e L2TP. Se o pacote no for permitido,
ele ser descartado e conectado. Se o pacote for permitido, ele continuar.
10. A inspeo profunda de pacotes, incluindo GAV, IPS, Anti-spyware, CFS e filtragem de e-
mail, executada. Se o pacote no for permitido, ele ser descartado e conectado. Se o
pacote for permitido, ele continuar. A notificao de cliente ser executada conforme
configurado.
11. Se o pacote se destinar zona criptografada (VPN), zona no confivel (WAN) ou a outra
interface conectada (poder ser o caso das ltimas duas em topologias de modo misto), o
pacote ser enviado por meio do caminho apropriado.
12. Se o pacote no se destinar interface VPN/WAN/Conectada, a marca VLAN armazenada
ser restaurada e o pacote (novamente com a marca VLAN original) ser enviado para a
interface Parceiro de ponte.

Vrias sub-redes no modo de ponte L2

O modo de ponte L2 capaz de lidar com qualquer nmero de sub-redes atravs da ponte,
conforme descrito acima. O comportamento padro permitir que todas as sub-redes, exceto
regras de acesso, possam ser aplicadas para controlar o trfego, conforme necessrio.

Configurar interfaces | 227


Trfego no IPv4 no modo de ponte L2

O trfego no suportado ser, por padro, passado de uma interface de ponte L2 para a
interface de parceiro de ponte. Isso permite que o firewall passe outros tipos de trfego,
incluindo pacotes LLC como rvore de extenso, outros tipos ether, como pacotes comutados
de rtulo MPLS (tipo ether 0x8847), Appletalk (tipo ether 0x809b) e os sempre populares
Banyan Vines (tipo ether 0xbad). Esses pacotes no IPv4 s sero passados na ponte, eles
no sero inspecionados ou controlados pelo manipulador de pacotes. Se esses tipos de
trfego no forem necessrias ou desejados, o comportamento de ponte pode ser alterado
habilitando a opo Bloquear todo o trfego no IPv4 na pgina de configurao Interface
de ponte secundria.

228 | Guia do Administrador do SonicOS 6.2


Comparao de modo de ponte L2 com o modo transparente

Atributo Modo de ponte de camada 2 Modo transparente


Camada de operao Camada 2 (MAC) Camada 3 (IP)
Comportamento de ARP As informaes de ARP (Protocolo de resoluo aplicado proxy a ARP pelas interfaces
de endereo) esto inalteradas. Os endereos operando no modo transparente.
MAC atravessam nativamente a ponte L2. Os
pacotes que so destinados a endereos MAC da
SonicWALL sero processados, outros sero
passados e os de origem e de destino sero
aprendidos e armazenados em cache.
Definio de caminho Os hosts em ambos os lados de um par de ponte A interface de WAN primria sempre o ponto
so dinamicamente aprendidos. No h de ingresso/egresso mestre para o trfego do
necessidade de declarar afinidades de interface. modo transparente e para a determinao de
espao de sub-rede. Os hosts que compartilham
de forma transparente esse espao de sub-rede
devem ser declarados explicitamente atravs do
uso de atribuies de objeto de endereo.
Interfaces mximas Duas interfaces, uma interface de ponte primria e Duas ou mais interfaces. A interface mestre
uma interface de ponte secundria. sempre a WAN primria. Podem existir tantas
interfaces subordinadas transparentes quantas
interfaces disponveis.
Emparelhamentos mximos O nmero mximo de pares de ponte permitido O modo transparente permite apenas que a sub-
limitado apenas pelas interfaces fsicas rede de WAN primria seja estendida a outras
disponveis. Isso pode ser descrito como "muitos interfaces, embora permita que vrias interfaces
emparelhamentos de um para um". operem simultaneamente como parceiros
transparentes para a WAN primria. Isso pode
ser descrito como "um nico emparelhamento
um para um" ou "um nico emparelhamento um
para muitos".
Restries de zona A interface de ponte primria pode ser No As interfaces em um par de modo transparente
confivel, Confivel ou Pblica. A interface de devem consistir em uma interface no confivel
ponte secundria pode ser Confivel ou Pblica. (a WAN primria, como o mestre da sub-rede do
par) e uma ou mais interfaces confiveis/pblicas
(por exemplo, LAN ou DMZ).
Sub-redes suportadas Qualquer nmero de sub-redes suportado. As Na sua configurao padro, o modo
regras de acesso do firewall podem ser gravadas transparente suporta apenas uma nica sub-rede
para controlar o trfego de/para qualquer uma das (que est atribuda a e estendida da WAN
sub-redes, conforme necessrio. primria). possvel adicionar manualmente
suporte para sub-redes adicionais atravs do uso
de entradas e rotas de ARP.
Trfego no IPv4 Todo o trfego no IPv4, por padro, ligado com O trfego no IPv4 no tratado pelo modo
ponte de uma interface de par de ponte interface transparente e descartado e conectado.
de parceiro de ponte, a menos que desabilitado na
pgina de configurao Interface de ponte
secundria. Isso inclui trfego IPv6, STP
(Protocolo de rvore de extenso) e tipos IP no
reconhecidos.
Trfego de VLAN O trfego de VLAN passado pela ponte L2 e As subinterfaces de VLAN podem ser criadas e
totalmente inspecionado pelos mecanismos de podem ser fornecidas com atribuies de objeto
inspeo estvel e profunda de pacotes. de endereo de modo transparente, mas as
VLANs sero encerradas pelo firewall, em vez de
serem passadas.

Configurar interfaces | 229


Subinterfaces de VLAN As subinterfaces de VLAN podem ser As subinterfaces de VLAN podem ser atribudas
configuradas em interfaces de par de ponte, mas a interfaces fsicas operando no modo
elas passaro pela ponte para o parceiro de transparente, mas seu modo de operao ser
ponte, a menos que o endereo IP de destino no independente de seu pai. Essas subinterfaces de
quadro de VLAN coincida com o endereo IP da VLAN tambm podem ser fornecidas com
subinterface de VLAN no firewall. Em qualquer um atribuies de objeto de endereo de modo
dos casos elas sero processadas (por exemplo, transparente, mas as subinterfaces de VLAN em
como trfego de gerenciamento). nenhum caso sero encerradas em vez de
serem passadas.
Endereamento dinmico Embora uma interface de ponte primria possa ser Apesar de o modo transparente empregar a
atribuda zona de WAN, somente o WAN primria como uma interface mestre,
endereamento esttico permitido para somente o endereamento esttico permitido
interfaces de ponte primria. para o modo transparente.
Suporte de VPN A operao de VPN suportada com uma rota A operao de VPN suportada sem requisitos
adicional configurada. Consulte Integrao de especiais de configurao.
VPN com o modo de ponte de camada 2 na
pgina 248 para obter detalhes.
Suporte de DHCP O DHCP pode ser transmitido por meio de um par As interfaces operando no modo transparente
de ponte. podem fornecer servios DHCP ou podem
transmitir DHCP usando um Auxiliar de IP.
Roteamento e NAT A entrada/sada de trfego sero inteligentemente O trfego ser roteado de forma inteligente de/
roteadas do par de ponte L2 de/para outros para outros caminhos. Por padro, o trfego no
caminhos. Por padro, o trfego no receber receber NAT de/para a WAN para/da interface
NAT de uma interface de par de ponte para o de modo transparente, mas pode receber NAT
parceiro de ponte, mas pode receber NAT para para outros caminhos, conforme necessrio. As
outros caminhos, conforme necessrio. As rotas rotas personalizadas e as polticas de NAT
personalizadas e as polticas de NAT podem ser podem ser adicionadas conforme necessrio.
adicionadas conforme necessrio.
Inspeo de pacotes A inspeo de pacotes estvel completa ser A inspeo de pacotes estvel completa ser
estvel aplicada a todo o trfego IPv4 passando a ponte aplicada ao trfego de/para as sub-redes
L2 para todas as sub-redes, incluindo trfego definidas por atribuio de objeto de endereo de
VLAN em firewalls. modo transparente.
Servios de segurana Todos os servios de segurana (GAV, IPS, Anti- Todos os servios de segurana (GAV, IPS, Anti-
Spy, CFS) so totalmente suportados. Todo o Spy, CFS) so totalmente suportados de/para as
trfego regular de IP, bem como todo o trfego de sub-redes definidas por atribuio de objeto de
VLAN encapsulado 802.1Q. endereo de modo transparente.
Trfego de difuso O trfego de difuso passado da interface do par O trfego de difuso descartado e conectado,
de ponte de recebimento para a interface de com a possvel exceo de NetBIOS que pode
parceiro de ponte. ser tratado por um Auxiliar de IP.
Trfego de difuso seletiva O trfego de difuso seletiva inspecionado e O trfego de difuso seletiva, com dependncia
transmitido atravs de pares de ponte L2 se a de IGMP, inspecionado e passado pelo modo
difuso seletiva tiver sido habilitada na pgina transparente se a difuso seletiva tiver sido
Firewall > Difuso seletiva. No dependente do ativada na pgina Firewall > Difuso seletiva e o
sistema de mensagens IGMP nem necessrio suporte de difuso seletiva tiver sido habilitado
habilitar o suporte de difuso seletiva nas nas interfaces relevantes.
interfaces individuais.

Benefcios do modo transparente comparativamente ao modo de ponte L2

As duas interfaces so o mximo permitido em um par de ponte L2. Se forem necessrias mais
de duas interfaces para operar na mesma sub-rede, o modo transparente dever ser
considerado.

230 | Guia do Administrador do SonicOS 6.2


Determinao de caminho de ponte L2
Os pacotes recebidos pelo firewall em interfaces de par de ponte devem ser encaminhados ao
longo do caminho ideal e apropriado para o seu destino, quer esse caminho seja o parceiro de
ponte, outra interface ou subinterface fsica ou um tnel de VPN. Da mesma forma, os pacotes
que chegam de outros caminhos (fsicos, virtuais ou VPN) associados a um host em um par de
ponte devem ser enviados pela interface de par de ponte correta. O resumo a seguir descreve,
por ordem, a lgica que aplicada a determinaes de caminho para esses casos:
1. Se estiver presente, a rota no padro mais especfica para o destino escolhida. Isso
abrangeria, por exemplo:
a. Um pacote que chega em X3 (LAN de ponte no L2) destinado sub-rede de host
15.1.1.100, onde existe uma rota para a sub-rede 15.1.1.0/24 por meio de
192.168.0.254 via interface X0 (interface de ponte secundria, LAN). O pacote deveria
ser encaminhado via X0 para o endereo MAC de destino de 192.168.0.254, com o
endereo IP de destino 15.1.1.100.
b. Um pacote que chega em X4 (interface de ponte primria, LAN) destinado ao host
10.0.1.100, onde existe uma rota para 10.0.1.0/24 por meio de 192.168.10.50 via
interface X5 (DMZ). O pacote deveria ser encaminhado via X5 para o endereo MAC
de destino de 192.168.10.50, com o endereo IP de destino 10.0.1.100.
2. Se no existir uma rota especfica para o destino, ser executada uma pesquisa de cache
de ARP para o endereo IP de destino. Uma correspondncia indicar a interface de
destino apropriada. Isso abrangeria, por exemplo:
a. Um pacote que chega em X3 (LAN de ponte no L2) destinado ao host 192.168.0.100
(que reside na interface X2 de ponte primria L2). O pacote deveria ser encaminhado
via X2 para os endereos MAC e IP de destino conhecidos de 192.168.0.100, conforme
derivado do cache de ARP.
b. Um pacote que chega em X4 (interface de ponte primria, LAN) destinado ao host
10.0.1.10 (que reside em X5 DMZ). O pacote deveria ser encaminhado via X5 para
os endereos MAC e IP de destino conhecidos de 10.0.1.10, conforme derivado do
cache de ARP.
3. Se no for encontrada nenhuma entrada de ARP:
a. Se o pacote chegar em uma interface de par de ponte, ele enviado para a interface
de parceiro de ponte.
b. Se o pacote chegar de outro caminho, o firewall ir enviar uma solicitao de ARP para
as duas interfaces do par de ponte para determinar em qual segmento reside o IP de
destino.
Neste ltimo caso, uma vez que o destino desconhecido at ser recebida uma
resposta de ARP, a zona de destino tambm permanecer desconhecida at esse
momento. Isso impede que o firewall seja capaz de aplicar a regra de acesso
apropriada at a determinao de caminho estar concluda. Aps a concluso, a regra
de acesso correta ser aplicada ao trfego relacionado subsequente.
Com relao converso de endereos (NAT) de trfego que chega em uma interface de par
de ponte L2:
1. Se for determinada a associao interface de parceiro de ponte, no ser executada
nenhuma converso de IP (NAT).
2. Se for determinada a associao a um caminho diferente, sero aplicadas polticas de NAT
apropriadas:

Configurar interfaces | 231


a. Se o caminho for outra interface (local) conectada, provavelmente no ocorrer
nenhuma converso. Isto , ele ser efetivamente roteado como resultado do clique no
ltimo recurso Qualquer->Poltica de NAT original.
b. Se se determinar que o caminho atravs da WAN, ser aplicada a Poltica de NAT de
sada [interface] adicionada automaticamente para WAN X1 padro e a origem do
pacote ser convertida para entrega Internet. Isso comum no caso de topologias
de modo misto, conforme descrito em Segurana interna na pgina 236.

Seleo de zona de interface de ponte L2


A atribuio de zonas de interface de par de ponte deve ser realizada de acordo com os
requisitos de fluxo de trfego da sua rede. Ao contrrio do modo transparente, o qual impe
um sistema de "mais confivel para menos confivel", exigindo que a interface de origem seja
a WAN primria e a interface transparente seja Confivel ou Pblica, o modo de ponte L2
permite maior controle dos nveis operacionais de confiana. Especificamente, o modo de
ponte L2 permite que as Interfaces de ponte primria e secundria sejam atribudas s
mesmas zonas ou a zonas diferentes (por exemplo, LAN+LAN, LAN+DMZ, WAN+CustomLAN,
etc.). Isso afetar no apenas as Regras de acesso padro que so aplicadas ao trfego, mas
tambm a forma como os servios de segurana de inspeo profunda de pacotes so
aplicados no trfego que atravessa a ponte. As reas importantes a considerar ao escolher e
configurar interfaces para usar em um par de ponte so os Servios de segurana, as Regras
de acesso e a Conectividade de WAN:

Direcionalidade de servios de segurana

Como ser uma das admisses primrias do modo de ponte L2, compreender a aplicao de
servios de segurana importante para a seleo de zona apropriada para interfaces de par
de ponte. A aplicabilidade de servios de segurana baseia-se nos seguintes critrios:
1. A direo do servio:
GAV essencialmente um servio de entrada, inspecionando fluxos de entrada HTTP,
FTP, IMAP, SMTP, POP3 e TCP. Ele tambm possui um elemento de sada adicional
para SMTP.
O Anti-spyware essencialmente um servio de entrada, inspecionando HTTP, FTP,
IMAP, SMTP, POP3 de entrada para a entrega (ou seja, recuperao) de componentes
de spyware como geralmente reconhecido pelos respectivos IDs de classe. Ele
tambm possui um componente de sada adicional, onde a sada usada em relao
direcionalidade (nomeadamente, Sada) atribuda pelas assinaturas de IPS que
acionam o reconhecimento desses componentes de Spyware. O classificador de Sada
(descrito na tabela a seguir) usado porque esses componentes geralmente so
recuperados pelo cliente (por exemplo, host de LAN) via HTTP de um servidor Web na
Internet (host de WAN). Consultando a tabela abaixo, essa seria uma conexo de
Sada e requer uma assinatura com uma classificao direcional de Sada.
O IPS tem trs direes: Recebida, enviada e bidirecional. Recebida e Enviada so
descritas na tabela abaixo e Bidirecional refere-se a todos os pontos de interseo na
tabela.
Para preciso adicional, tambm so considerados outros elementos, como o estado
da conexo (por exemplo, SYN ou estabelecida) e a origem do pacote em relao ao
fluxo (por exemplo, iniciador ou respondente).
2. A direo do trfego. A direo do trfego relacionada IPS essencialmente
determinada pela zona de origem e de destino do fluxo de trfego. Quando um pacote
recebido pelo firewall, a sua zona de origem geralmente conhecida de imediato e a zona
de destino determinada rapidamente fazendo uma pesquisa de rota (ou VPN).

232 | Guia do Administrador do SonicOS 6.2


Com base na origem e no destino, a direcionalidade do pacote categorizada como
Recebida ou Enviada (no podem ser confundidas com Entrada e Sada), em que os
critrios a seguir so usados para a determinao:

Destino No Criptografa Difuso


Origem confivel Pblico Sem fio do Confivel seletiva
No Recebido Recebido Recebido Recebido Recebido Recebido
confivel

Pblico Enviado Enviado Enviado Recebido Recebido Recebido

Sem fio Enviado Enviado Confivel Confivel Confivel Recebido

Criptograf Enviado Enviado Confivel Confivel Confivel Enviado


ado

Confivel Enviado Enviado Confivel Confivel Confivel Enviado

Os dados da tabela esto sujeitos a alterao.


Alm dessa categorizao, os pacotes que viajam para/de zonas com nveis de confiana
adicional, os quais proporcionam inerentemente nveis avanados de segurana (LAN|
Sem fio|Criptografado<-->LAN|Sem fio|Criptografado), recebem a classificao especial
Confivel. O trfego com a classificao Confivel tem todas as assinaturas aplicadas
(Recebido, Enviado e Bidirecional).
3. A direo da assinatura. Isso se refere essencialmente ao IPS, onde cada assinatura
recebe uma direo pela equipe de desenvolvimento de assinatura da SonicWALL. Isso
feito como uma otimizao para minimizar falsos positivos. As direes de assinatura so:
Recebida aplica-se a Recebido e Confivel. A maioria das assinaturas so
Recebidas e incluem todas as formas de explorao de aplicativos e todas as
tentativas de enumerao e volume de memria. Aproximadamente 85% das
assinaturas so Recebidas.
Enviada aplica-se a Enviado e Confivel. Exemplos de assinaturas Enviadas
incluiriam tentativas de login de mensagens instantneas e P2P e respostas a
exploraes iniciadas com xito (por exemplo, respostas a ataques).
Aproximadamente 10% das assinaturas so Enviadas.
Bidirecional aplica-se a tudo. Exemplos de assinaturas Bidirecionais incluiriam
transferncias de arquivos de mensagens instantneas, vrios ataques de NetBIOS
(por exemplo, comunicaes Sasser) e uma variedade de ataques DoS (por exemplo,
trfego UDP/TCP destinado porta 0). Aproximadamente 5% das assinaturas so
Bidirecionais.
4. Aplicao de zona. Para que uma assinatura seja acionada, o servio de segurana
desejado deve estar ativo em pelo menos uma das zonas que atravessa. Por exemplo, um
host na Internet (X1, WAN) acessando um servidor de terminal da Microsoft (em X3,
interface de ponte secundria, LAN) acionar a assinatura Recebida "Alerta de deteco
de IPS: solicitao de servidor de terminal da MS MISC, SID: 436, prioridade: baixa" se o
IPS estiver ativo na WAN, na LAN ou em ambas.

Configurar interfaces | 233


Padres de regras de acesso

Regras de acesso de zona para zona padro. As regras de acesso padro devem ser
consideradas, embora elas possam ser modificadas conforme necessrio. Os padres so os
seguintes:

Conectividade de WAN

A conectividade com a Internet (WAN) necessria para comunicaes em pilha, como


licenciamento, downloads de assinaturas de servios de segurana, NTP (sincronizao de
hora) e CFS (Servios de filtragem de contedo). No momento, essas comunicaes s podem
ocorrer por meio da interface de WAN primria. Se voc precisar desses tipos de comunicao,
a WAN primria deve ter um caminho para a Internet. Caso a WAN primria seja empregada
ou no como parte de um par de ponte, tal no afetar sua capacidade de fornecer essas
comunicaes de pilha.

Nota Se a conectividade com a Internet no estiver disponvel, o licenciamento poder ser


executado manualmente e as atualizaes de assinatura tambm podem ser executadas
manualmente (http://www.sonicwall.com/us/support/2134_4170.html).

Exemplos de topologias
A seguir encontram-se exemplos de topologias que descrevam implantaes comuns. O Modo
de ponte de camada 2 embutido representa a adio de um dispositivo de segurana Dell
SonicWALL para fornecer servios de segurana em uma rede em que se encontra um firewall
no lugar. A Segurana de permetro representa a adio de um dispositivo de segurana Dell
SonicWALL no Modo de ponte L2 puro a uma rede existente, onde o firewall est colocado
perto do permetro da rede. A Segurana interna representa a integrao completa de um
dispositivo de segurana Dell SonicWALL em modo misto, em que fornece ponte L2, servios
de WLAN e acesso de WAN com NAT em simultneo. O Modo de ponte de camada 2 com
alta disponibilidade representa o cenrio de modo misto onde o par de HA do firewall fornece
alta disponibilidade juntamente com ponte L2. O Modo de ponte de camada 2 com VPN SSL
representa o cenrio em que um dispositivo da srie SonicWALL Aventail SSL VPN ou
SonicWALL SSL VPN implantado junto com o Modo de ponte L2.
Consulte as sees a seguir:
Ponte de camada 2 sem fio na pgina 235
Modo de ponte de camada 2 embutido na pgina 235

234 | Guia do Administrador do SonicOS 6.2


Segurana de permetro na pgina 236
Segurana interna na pgina 236
Modo de ponte de camada 2 com alta disponibilidade na pgina 237
Modo de ponte de camada 2 com SSL VPN na pgina 238

Ponte de camada 2 sem fio

No modo sem fio, depois de aplicar ponte na interface sem fio (WLAN) a uma zona de LAN ou
DMZ, a zona de WLAN torna-se a interface com ponte secundria, permitindo que os clientes
sem fio compartilhem a mesma sub-rede e o pool de DHCP como seus equivalentes com fio.
Para configurar uma ponte de interface de camada 2 de WLAN para LAN:

Etapa 1 Navegue at a pgina Rede > Interfaces na interface de gerenciamento do SonicOS.


Etapa 2 Clique no cone Configurar da interface sem fio qual deseja aplicar ponte. A caixa de dilogo
Editar interface exibida.
Etapa 3 Selecione o Modo de ponte de camada 2 como a Atribuio de IP.

Nota Embora seja criada automaticamente uma regra geral para permitir o trfego entre a zona
de WLAN e sua interface de ponte selecionada, ainda se aplicam as propriedades de
segurana do tipo de zona de WLAN. Qualquer regra especfica deve ser adicionada
manualmente.

Etapa 4 Selecione a interface qual a WLAN deve ter Ponte para. Neste exemplo, X0 (zona de LAN
padro) escolhida.
Etapa 5 Configure as opes restantes normalmente. Para obter mais informaes sobre a
configurao de interfaces de WLAN, consulte Configurar interfaces sem fio na pgina 200.

Modo de ponte de camada 2 embutido

Esse mtodo til em redes onde h um firewall existente que permanecer no local, mas voc
deseja usar os servios de segurana do firewall sem efetuar grandes alteraes na rede.
Colocando o firewall no Modo de ponte de camada 2, as interfaces X0 e X1 se tornaro parte
do mesmo domnio/rede de difuso (da interface de WAN X1).
Este exemplo refere-se a um dispositivo de segurana Dell SonicWALL instalado em um
ambiente de comutao Hewlett Packard ProCurve. A SonicWALL um membro da ProCurve
Alliance da HP. Podem ser encontrados mais detalhes no site que se segue:
http://www.procurve.com/alliance/members/sonicwall.htm.
Os pacotes de software de servidor ProCurve Manager Plus (PCM+) e Network Immunity
Manager (NIM) da HP podem ser usados para gerenciar os switches, bem como alguns
aspectos do dispositivo de segurana Dell SonicWALL.
Para configurar o firewall para esse cenrio, navegue at a pgina Rede > Interfaces e clique
no cone de configurao da interface LAN X0. Na pgina Configuraes de X0, defina a
Atribuio de IP para "Modo de ponte de camada 2" e defina a interface Com ponte para:
como "X1". Certifique-se tambm de que a interface esteja configurada para HTTP e SNMP
para que possa ser gerenciada a partir da DMZ por PCM+/NIM. Clique em OK para salvar e
ativar a alterao.
Voc tambm precisar certificar-se de modificar as regras de acesso do firewall para permitir
trfego de LAN para WAN e de WAN para LAN, caso contrrio, o trfego no passar com
xito. Tambm poder precisar modificar informaes de roteamento em seu firewall se seu
servidor PCM+/NIM se encontrar na DMZ.

Configurar interfaces | 235


Segurana de permetro

A segurana de permetro um cenrio de rede em que o firewall adicionado ao permetro


para fornecer servios de segurana (a rede poder ou no ter um firewall existente entre o
firewall e o roteador). Nesse cenrio, tudo o que se encontra abaixo do firewall (o segmento
Interface de ponte primria) geralmente ser considerado como tendo um nvel inferior de
confiana em relao a tudo o que se encontra esquerda do firewall (o segmento Interface
de ponte secundria). Por esse motivo, seria apropriado usar X1 (WAN primria) como a
Interface de ponte primria.
O envio de trfego de hosts conectados Interface de ponte secundria (LAN) seria permitido
atravs do firewall para seus gateways (interfaces de VLAN no switch L3 e, em seguida, por
meio do roteador), enquanto o recebimento do trfego da Interface de ponte primria (WAN)
no seria, por padro, permitido.
Se houvesse servidores pblicos, por exemplo, um servidor de e-mail e Web, no segmento
Interface de ponte secundria (LAN), poderia ser adicionada uma regra de acesso permitindo
o trfego de LAN->WAN para os servios e endereos IP apropriados para permitir trfego de
entrada para esses servidores.

Segurana interna

Um cenrio de rede em que o firewall atuar como o dispositivo de segurana de permetro e


a plataforma sem fio segura. Simultaneamente, ele fornecer segurana de ponte L2 entre os
segmentos da estao de trabalho e do servidor da rede sem precisar enderear novamente
qualquer servidor ou estao de trabalho.
Essa implantao tpica de topologia de modo misto interdepartamental demonstra como o
firewall consegue simultaneamente fazer ponte e rota/NAT. O trfego para/do segmento
Interface de ponte primria (servidor) de/para o segmento Interface de ponte secundria
(estao de trabalho) passar atravs da ponte L2.
Como ambas as interfaces do par de ponte so atribudas a uma zona Confivel (LAN), ser
aplicado o seguinte:
Todo o trfego ser permitido por padro, mas as regras de acesso podem ser construdas
conforme necessrio.
Considere, para o ponto de contraste, o que poderia ocorrer se a X2 (interface de ponte
primria) fosse, em vez disso, atribuda a uma zona Pblica (DMZ): Todas as estaes de
trabalho seriam capazes de acessar os servidores, mas os servidores no seriam capazes
de estabelecer comunicaes com as estaes de trabalho. Enquanto isso provavelmente
suportaria os requisitos de fluxo de trfego (por exemplo, estaes de trabalho iniciando
sesses em servidores), teria no entanto dois efeitos indesejveis:
O servidor DHCP estaria na DMZ. As solicitaes de DHCP das estaes de trabalho
passariam pela ponte L2 para o servidor DHCP (192.168.0.100), mas as ofertas de DHCP
do servidor seriam descartadas pela regra de acesso padro de negao de DMZ->LAN.
Uma regra de acesso teria de ser adicionada ou o padro modificado para permitir esse
trfego da DMZ para a LAN.
A direcionalidade dos servios de segurana seria classificada como Enviada para trfego
de estaes de trabalho para o servidor, pois o trfego teria uma zona de origem Confivel
e uma zona de destino Pblica. Isso pode no ser totalmente ideal, pois proporcionaria
menos controle do que as classificaes Recebida ou (idealmente) Confivel.
A direcionalidade de servios de segurana seria classificada como Confivel e todas as
assinaturas (Recebida, Enviada e Bidirecional) seriam aplicadas, oferecendo o mais alto
nvel de segurana para/de ambos os segmentos.
Para obter instrues detalhadas sobre como configurar interfaces no Modo de ponte de
camada 2, consulte Configurar modo de ponte de camada 2 na pgina 240.

236 | Guia do Administrador do SonicOS 6.2


Modo de ponte de camada 2 com alta disponibilidade

Este mtodo apropriado em redes em que a alta disponibilidade e o modo de ponte de


camada 2 so desejados. Este exemplo destina-se a dispositivos de segurana Dell
SonicWALL e assume o uso de switches com VLANs configuradas.

Server

VLAN 100 172.27.100./21


VLAN 200 172.27.200./21
IP Routing Enabled
VLAN 100 tagged on ports
d Core C2-1 and D2-1
ge
ag VLAN 200 used to test routing
0T Switch - HP 100z status during failover
10
AN
VL

NSA 3500 HA Pair


Layer 2 Bridge Mode C24 D24
X0 bridged to X2
X1 left as WAN with X5 HA Link
management
IP address to access UI

Third-party Firewall Third-party Firewall

Port 23 Port 24

VLAN 100 - tagged on ports


Edge 23 and 24

Switch - HP 3500yl

VLAN 100 172.27.100.20/24

HP ProCurve
Switch

O par de HA do firewall consiste em dois firewalls, conectados em conjunto na porta X5, a porta
de HA designada. A porta X1 em cada dispositivo est configurada para conectividade de WAN
normal e usada para acessar a interface de gerenciamento desse dispositivo. O modo de
ponte de camada 2 implementado com a porta X0 com ponte para a porta X2.
Ao configurar esse cenrio, h vrios aspectos a levar em considerao relativamente aos
firewalls e aos switches.
Nos firewalls:
No habilite a opo MAC virtual durante a configurao de Alta disponibilidade. Em uma
configurao de Modo de ponte de camada 2, essa funo no til.
No recomendvel habilitar o Modo de preempo em um ambiente embutido como
esse. Se o Modo de preempo for necessrio, siga as recomendaes na documentao
de seus switches, pois os valores de acionamento e perodo de failover desempenham um
papel fundamental aqui.

Configurar interfaces | 237


Considere reservar uma interface para a rede de gerenciamento (este exemplo usa a X1).
Se for necessrio atribuir endereos IP s interfaces de ponte para fins de teste ou por
outros motivos, a SonicWALL recomenda usar a rede VLAN de gerenciamento atribuda
aos switches para fins administrativos e de segurana. Observe que os endereos IP
atribudos para fins de HA no interagem diretamente com o fluxo de trfego real.
Nos switches:
Usar vrias portas de marca: Conforme mostrado no diagrama acima, foram criadas duas
portas de marca (802.1q) para VLAN 100 no switch de limite (portas 23 e 24) e no switch
central (C24 D24). Os dispositivos so conectados de forma embutida entre esses dois
switches. Em um ambiente de alto desempenho, geralmente recomendvel ter
Agregao de links/Truncamento de portas, LACP dinmico ou at um link completamente
separado designado para tal implantao (usando OSPF) e a tolerncia a falhas de cada
um dos switches deve ser considerada. Consulte a documentao do seu switch para obter
mais informaes.
Em switches ProCurve da HP, quando duas portas so marcadas na mesma VLAN, o grupo
de portas ser automaticamente colocado em uma configurao de failover. Nesse caso,
assim que uma porta falhar, a outra ficar ativa.

Modo de ponte de camada 2 com SSL VPN

Essa topologia de amostra abrange a adequada instalao de um dispositivo de segurana de


rede SonicWALL em seu ambiente de rede SonicWALL EX-Series SSL VPN ou SonicWALL
SSL VPN existente. Colocando o dispositivo no Modo de ponte de camada 2, com uma
conexo interna e privada para o dispositivo SSL VPN, voc pode verificar se existem vrus,
spyware e intruses em ambas as direes. Nesse cenrio, o firewall no usado para
imposio de segurana, mas em vez disso para verificao bidirecional, bloqueando vrus e
spyware e interrompendo tentativas de intruso. Quando programado corretamente, o
dispositivo de segurana de rede no interromper o trfego de rede, a menos que o
comportamento ou o contedo do trfego seja determinado para ser indesejvel. As duas
implantaes de uma e duas portas do dispositivo de segurana Dell SonicWALL so
abordadas nesta seo.

Regras de acesso de WAN para LAN

Uma vez que o dispositivo de segurana de rede ser usado nesse cenrio de implantao
somente como um ponto de imposio de antivrus, anti-spyware e preveno de intruso, a
poltica de segurana existente deve ser modificada para permitir que o trfego passe em
ambas as direes entre a WAN e a LAN.
Na pgina Firewall > Regras de acesso, clique no cone Configurar para a interseo do
trfego de WAN para LAN. Clique no cone Configurar ao lado da regra padro que bloqueia
implicitamente trfego no iniciado da WAN para a LAN. Na janela Editar regra, selecione
Permitir para a configurao Ao e, em seguida, clique em OK.

Configurar as interfaces de rede e ativar o modo de L2B

Neste cenrio, a interface de WAN usada para o seguinte:


Acesso interface de gerenciamento para o administrador
Atualizaes de servio de assinatura no MySonicWALL
A rota padro do dispositivo e, subsequentemente, o "prximo salto" do trfego interno do
dispositivo SSL VPN (isto porque a interface de WAN deve estar no mesmo segmento de
IP da interface interna do dispositivo SSL VPN)

238 | Guia do Administrador do SonicOS 6.2


A interface de LAN no dispositivo de segurana de rede usada para monitorar o trfego de
cliente no criptografado proveniente da interface externa do dispositivo SSL VPN. Este o
motivo para execuo no Modo de ponte de camada 2 (em vez de reconfigurar a interface
externa do dispositivo SSL VPN para ver a interface de LAN como a rota padro).
Na pgina Rede > Interfaces da interface de gerenciamento do SonicOS, clique no cone
Configurar da interface de WAN e, em seguida, atribua um endereo que possa acessar a Internet
para que o dispositivo consiga obter atualizaes de assinatura e se comunicar com NTP.
As configuraes de endereo DNS de gateway e interno/externo correspondero s de seu
dispositivo SSL VPN:
Endereo IP: Isso deve corresponder ao endereo da interface interna no dispositivo SSL
VPN.
Mscara de sub-rede, Gateway padro e Servidor(es) DNS: Faa a correspondncia
desses endereos s configuraes do dispositivo SSL VPN.
Para a configurao Gerenciamento, marque as caixas de seleo HTTPS e Ping. Clique em
OK para salvar e ativar as alteraes.
Para configurar as definies de interface LAN, navegue at a pgina Rede > Interfaces e
clique no cone Configurar da interface de LAN.
Para a configurao Atribuio de IP, selecione Modo de ponte de camada 2. Para a
configurao Ponte para, selecione X1.
Se voc tambm precisar passar trfego marcado de VLAN, suportado em firewalls, clique na
guia Filtragem VLAN e adicione todas as VLANs que precisaro ser passadas.
Clique em OK para salvar e ativar a alterao. Voc poder ser desconectado
automaticamente da interface de gerenciamento do dispositivo de segurana de rede. Agora
voc pode desconectar seu laptop ou desktop de gerenciamento a partir da interface X0 do
dispositivo e desligar o dispositivo antes de conect-lo fisicamente sua rede.

Instalar o dispositivo de segurana Dell SonicWALL entre a rede e o dispositivo SSL VPN

Independentemente de seu mtodo de implantao (hospedagem nica ou dupla), o firewall


dever ser colocado entre a interface X0/LAN do dispositivo SSL VPN e a conexo com sua
rede interna. Isso permite que o dispositivo se conecte aos servidores de atualizao de
assinatura e licenciamento da SonicWALL e verifique o trfego descriptografado de clientes
externos solicitando acesso a recursos de rede interna.
Se seu dispositivo SSL VPN estiver no modo de duas portas atrs de um firewall de terceiros,
ele tem hospedagem dupla. Para conectar um dispositivo SSL VPN de hospedagem dupla,
siga estas etapas:
1. Conecte a porta X0/LAN no dispositivo de segurana de rede porta X0/LAN no dispositivo
SSL VPN.
2. Conecte a porta X1/WAN no dispositivo de segurana de rede porta onde o SSL VPN foi
conectado anteriormente.
3. Ligue o dispositivo.
Se seu dispositivo SSL VPN estiver no modo de uma porta na DMZ de um firewall de terceiros,
ele tem hospedagem nica. Para conectar um dispositivo SSL VPN de hospedagem nica, siga
estas etapas:
1. Conecte a porta X0/LAN no dispositivo de segurana de rede porta X0/LAN do dispositivo
SSL VPN.
2. Conecte a porta X1/WAN no dispositivo de segurana de rede porta onde o SSL VPN foi
conectado anteriormente.
3. Ligue o dispositivo.

Configurar interfaces | 239


Definir ou verificar configuraes

Em uma estao de gerenciamento na sua rede interna, voc dever agora ser capaz de
acessar a interface de gerenciamento do dispositivo de segurana de rede usando seu
endereo IP de WAN.
Certifique-se de que todos os servios de segurana do dispositivo de segurana Dell
SonicWALL esto habilitados. Consulte Licenciar servios na pgina 241 e Ativar servios de
segurana em cada zona na pgina 241.
O servio de filtragem de contedo SonicWALL deve ser desabilitado antes de o dispositivo
ser implantado junto com um dispositivo SonicWALL Aventail SSL VPN. Na pgina Rede >
Zonas, clique em Configurar ao lado de zona de LAN (X0), desmarque a caixa de seleo
Impor servio de filtragem de contedo e, em seguida, clique em OK.
Se voc ainda no alterou a senha administrativa no dispositivo de segurana Dell SonicWALL,
voc pode faz-lo na pgina Sistema > Administrao.
Para testar o acesso sua rede a partir de um cliente externo, conecte-se ao dispositivo SSL
VPN e efetue login. Uma vez conectado, tente acessar os recursos da rede interna. Em caso
de problemas, analise sua configurao e consulte Definir as configuraes comuns de
implantaes de modo de ponte L2 na pgina 241.

Configurar modo de ponte de camada 2


Consulte as sees a seguir:
Lista de tarefas de configurao para o modo de ponte de camada 2 na pgina 240
Configurar o procedimento do modo de ponte de camada 2 na pgina 244
Integrao de VLAN com o modo de ponte de camada 2 na pgina 247
Integrao de VPN com o modo de ponte de camada 2 na pgina 248

Lista de tarefas de configurao para o modo de ponte de camada 2


Escolha uma topologia que se adapte sua rede
Definir as configuraes comuns de implantaes de modo de ponte L2 na pgina 241
Licencie servios de segurana
Desabilite o servidor DHCP
Configure e habilite o gerenciamento de SNMP e HTTP/HTTPS
Habilite syslog
Ative os servios de segurana em zonas afetadas
Crie regras de acesso do firewall
Defina configuraes de log
Defina configuraes da zona sem fio
Configurar a interface de ponte primria na pgina 244
Selecione a zona para a interface de ponte primria
Ative o gerenciamento
Ative os servios de segurana
Configurar a interface de ponte secundria na pgina 245
Selecione a zona para a interface de ponte secundria

240 | Guia do Administrador do SonicOS 6.2


Ative o gerenciamento
Ative os servios de segurana
Aplique servios de segurana s zonas apropriadas

Definir as configuraes comuns de implantaes de modo de ponte L2


As configuraes a seguir precisam ser definidas em seu dispositivo de segurana Dell
SonicWALL antes de us-lo na maioria das topologias de Modo de ponte de camada 2.

Licenciar servios

Quando o dispositivo for registrado com xito, v para a pgina Sistema > Licenas e clique
em Sincronizar em Gerenciar servios de segurana online. Isso contatar o servidor de
licenciamento do firewall e certifique-se de que o dispositivo esteja licenciado corretamente.
Para verificar o status de licenciamento, v para a pgina Sistema > Status e visualize o status
da licena de todos os servios UTM (Antivrus do gateway, Anti-spyware e Preveno de
intruso).

Desabilitar o servidor DHCP

Ao usar um dispositivo de segurana Dell SonicWALL no Modo de ponte de camada 2 em uma


configurao de rede em que outro dispositivo est atuando como o servidor DHCP, voc deve
desabilitar primeiro seu mecanismo de DHCP interno que est configurado e em execuo por
padro. Na pgina Rede > Servidor DHCP, desmarque a caixa de seleo Habilitar servidor
DHCP e, em seguida, clique no boto Aceitar na parte superior da tela.

Definir configuraes de SNMP

Na pgina Sistema > Administrao, verifique se a caixa de seleo junto a Habilitar SNMP
est marcada e, em seguida, clique no boto Aceitar na parte superior da tela.
Em seguida, clique no boto Configurar. Na pgina Configuraes de SNMP, digite todas as
informaes relevantes para seu dispositivo: os nomes de comunidade de SNMP OBTER e
CAPTURAR que o servidor SNMP espera e o endereo IP do servidor SNMP. Clique em OK
para salvar e ativar as alteraes.

Habilitar SNMP e HTTPS nas Interfaces

Na pgina Rede > Interfaces, habilite SNMP e HTTP/HTTPS na interface por meio da qual
voc gerenciar o dispositivo.

Habilitar syslog

Na pgina Log > Syslog, clique no boto Adicionar e crie uma entrada para o servidor syslog.
Clique em OK para salvar e ativar a alterao.

Ativar servios de segurana em cada zona

Na pgina Rede > Zonas, para cada zona que voc usar, certifique-se de que os servios de
segurana estejam ativados.
Em seguida, na pgina Servios de segurana de cada servio, ative e defina as
configuraes que so mais adequadas para o seu ambiente.

Configurar interfaces | 241


Um exemplo de configuraes de Antivrus do gateway mostrado abaixo:

Um exemplo de configuraes de Preveno de intruso mostrado abaixo:

242 | Guia do Administrador do SonicOS 6.2


Um exemplo de configuraes de Anti-spyware mostrado abaixo:

Criar regras de acesso do firewall

Se voc planeja gerenciar o dispositivo a partir de uma zona diferente ou se voc planejar usar
um servidor como o PCM+/NIM da HP para servios de gerenciamento, SNMP ou syslog, crie
regras de acesso para trfego entre as zonas. Na pgina Firewall > Regras de acesso, clique
no cone da interseo da zona do servidor e da zona que tem usurios e servidores (seu
ambiente pode ter mais de uma dessas intersees). Crie uma nova regra para permitir que o
servidor comunique com todos os dispositivos nessa zona.

Configurar interfaces | 243


Definir configuraes de log

Na pgina Log > Categorias, defina o Nvel de log para Informacional e o Nvel de alerta
para Crtico. Clique em Aceitar para salvar e ativar a alterao.

Em seguida, v para a pgina Log > Resoluo de nome e defina o Mtodo de resoluo
de nome para DNS, em seguida, NetBios. Clique em Aceitar para salvar e ativar a alterao.

Definir configuraes da zona sem fio

Se voc estiver usando um sistema PCM+/NIM da HP e ele se destinar a gerenciar um


switch ProCurve da HP em uma interface atribuda a uma zona de WLAN/sem fio, voc
precisar desativar dois recursos, caso contrrio, no ser possvel gerenciar o switch.
V para a pgina Rede > Zonas e selecione sua zona sem fio. Na guia Sem fio, desmarque
as caixas de seleo junto de Apenas permitir trfego gerado por um SonicPoint e
Imposio de WiFiSec. Clique em OK para salvar e ativar a alterao.

Configurar o procedimento do modo de ponte de camada 2


Consulte Seleo de zona de interface de ponte L2 na pgina 232 para escolher uma topologia
que melhor se adapte sua rede. Neste exemplo, vamos usar uma topologia que se parece
mais com a topologia de ponte L2 simples.
Escolha uma interface para atuar como a interface de ponte primria. Consulte Seleo de
zona de interface de ponte L2 na pgina 232 para obter informaes sobre essa seleo.
Neste exemplo, usaremos X1 (atribuda automaticamente WAN primria):

Configurar a interface de ponte primria

Etapa 1 Selecione a guia Rede, a pasta Interfaces no painel de navegao.


Etapa 2 Clique no cone Configurar na coluna direita da interface X1 (WAN).
Etapa 3 Configure a interface com um endereo IP esttico (por exemplo, 192.168.0.12).

244 | Guia do Administrador do SonicOS 6.2


Nota A interface de ponte primria deve ter uma atribuio de IP esttico.

Etapa 4 Configure o gateway padro. Isso necessrio para o prprio dispositivo de segurana
acessar a Internet. (Isto se aplica somente a interfaces de WAN.)
Etapa 5 Configure o servidor DNS. (Isto se aplica somente a interfaces de WAN.)
Etapa 6 Configure o gerenciamento (HTTP, HTTPS, Ping, SNMP, SSH, Logins do usurio,
Redirecionamentos HTTP).
Etapa 7 Clique em OK.
Escolha uma interface para atuar como a interface de ponte secundria. Consulte Seleo de
zona de interface de ponte L2 para obter informaes sobre essa seleo. Neste exemplo,
usaremos X0 (automaticamente atribuda LAN):

Configurar a interface de ponte secundria

Etapa 1 Na pgina Rede > Interfaces, clique no cone Configurar na coluna direita da interface
X0 (LAN).
Etapa 2 Na lista suspensa Atribuio de IP, selecione Modo de ponte de camada 2.
Etapa 3 Na lista suspensa Ponte para, selecione a interface X1.
Etapa 4 Configure o gerenciamento (HTTP, HTTPS, Ping, SNMP, SSH, Logins do usurio,
Redirecionamentos HTTP).
Etapa 5 Opcionalmente, voc pode habilitar a configurao Bloquear todo o trfego no IPv4 para
impedir que a ponte L2 passe trfego no IPv4.

Filtragem VLAN
Voc tambm pode navegar para a guia Filtragem VLAN para controlar o trfego de VLAN
por meio da ponte L2. Por padro, todas as VLANs so permitidas:
Selecione Bloquear VLANs listadas (lista negra) na lista suspensa e adicione as
VLANs que desejar bloquear do painel esquerdo para o painel direito. Todas as VLANs
adicionadas ao painel direito sero bloqueadas e todas as VLANs restantes no painel
esquerda sero permitidas.
Selecione Permitir VLANs listadas (lista branca) na lista suspensa e adicione as VLANs
que desejar permitir explicitamente do painel esquerdo para o painel direito. Todas as
VLANs adicionadas ao painel direito sero permitidas e todas as VLANs restantes no
painel esquerda sero bloqueadas.
Etapa 6 Clique em OK.
A pgina Rede > Interfaces exibe a configurao atualizada:
Agora voc pode aplicar os servios de segurana nas zonas apropriadas, conforme
desejado. Neste exemplo, eles devem ser aplicados na LAN, WAN ou em ambas as zonas.

Configurar interfaces | 245


Configurando um Desvio L2 para falhas de hardware

Um desvio L2 permite realizar um desvio fsico do firewall quando uma interface


compartilhada com outra interface com a funcionalidade de desvio da LAN. Isso permite que o
trfego da rede continue fluindo se ocorrer um erro de firewall irrecupervel.
Quando o rel do desvio L2 estiver fechado, os cabos de rede conectados s interfaces
ignoradas (X0 e X1) so fisicamente conectados, como se fossem um nico cabo de rede
contnuo. A opo Acionar desvio fsico em funcionamento incorreto fornece ao usurio a
opo de evitar a interrupo do trfego de rede, ignorando o firewall no caso de um
funcionamento incorreto.
O desvio L2 s aplicvel s interfaces no Modo de Ponte de Camada 2. A opo Acionar
desvio fsico em funcionamento incorreto somente exibida quando a opoModo de
Ponte de Camada 2 estiver selecionada no menu Atribuio de IP/modo. Esta opo no
ser exibida a menos que exista um rel de desvio fsico entre as duas interfaces do par de
ponte.
Quando a opo Acionar desvio fsico em funcionamento incorreto estiver habilitada, as
outras opes de Modo de Ponte de Camada 2 sero automaticamente definidas para as
seguintes:
Bloquear todo o trfego no proveniente do IPv4 desabilitada. Quando habilitada,
esta opo bloqueia todos os quadros Ethernet no pertencentes ao IPv4. Assim, esta
opo est desabilitada.
Nunca rotear trfego nesse par-ponte habilitada. Quando habilitada, esta opo
previne que os pacotes sejam encaminhados para uma rede diferente da rede de par do
par de ponte. Assim, esta opo est habilitada.
Detectar somente trfego nesse par-ponte desabilitada. Quando habilitada, o trfego
recebido na interface do par de ponte nunca encaminhado. Assim, esta opo est
desabilitada.
Desabilitar inspeo estvel nesse par de ponte inalterado. Esta opo no afetada.
Para configurar um desvio L2:

Etapa 1 Acesse a pgina Rede > Interfaces.

Etapa 2 Clique no cone Editar na coluna Configurar da interface que voc deseja configurar. A
janela Editar interface exibida.

246 | Guia do Administrador do SonicOS 6.2


Etapa 3 Selecione a caixa de seleo Acionar desvio fsico em funcionamento incorreto

Nota A caixa de seleo Acionar desvio fsico em funcionamento incorreto est disponvel
somente quando as interfaces X0 e X1 so compartilhadas em conjunto em um NSA- 6600
ou superior.

Etapa 4 Clique em OK para configurar a interface.

Integrao de VLAN com o modo de ponte de camada 2


As VLANs so suportadas em dispositivos de segurana Dell SonicWALL. Quando um pacote
com uma marca VLAN chega em uma interface fsica, o ID da VLAN avaliado para determinar
se ele suportado. A marca VLAN removida e o processamento de pacotes continua como
aconteceria com qualquer outro trfego. Uma exibio simplificada do caminho do pacote de
entrada e sada inclui as seguintes etapas potencialmente reiterativas:
Validao e reagrupamento de IP
Desencapsulamento (802.1q, PPP)
Descriptografia
Gerenciamento e pesquisa de cache de conexo
Pesquisa de poltica de rota
Pesquisa de poltica de NAT
Pesquisa de regra (poltica) de acesso
Gerenciamento de largura de banda
Converso de NAT
Manipulao de pacotes avanada (conforme aplicvel)
Validao de TCP
Manipulao de trfego de gerenciamento
Filtragem de contedo
Transformaes e anlise de fluxo (em dispositivos de segurana Dell SonicWALL):
H.323, SIP, RTSP, ILS/LDAP, FTP, Oracle, NetBIOS, Real Audio, TFTP
IPS e GAV
Neste ponto, se o pacote tiver sido validado como trfego aceitvel, ele encaminhado para
seu destino. O caminho de egresso do pacote inclui:
Criptografia
Encapsulamento
Fragmentao de IP
No egresso, se a pesquisa de poltica de rota determinar que a interface de gateway uma
subinterface de VLAN, o pacote marcado (encapsulado) com o cabealho de ID de VLAN
apropriado. A criao de subinterfaces de VLAN atualiza automaticamente a tabela de poltica
de roteamento do firewall:
A criao automtica de polticas de NAT, as regras de acesso em relao a subinterfaces de
VLAN se comportam exatamente da mesma forma como com interfaces fsicas. A
personalizao das regras e polticas que regem o trfego entre VLANs pode ser executada
com a eficincia e facilidade habituais do SonicOS.
Ao criar uma zona (como parte da administrao geral ou como uma etapa na criao de uma
subinterface), ser apresentada uma caixa de seleo na pgina de criao de zona para
controlar a criao automtica de um VPN de grupo para essa zona. Por padro, somente

Configurar interfaces | 247


zonas de tipo sem fio recm-criadas tero a opo "Criar VPN de grupo para esta zona"
habilitada, embora a opo possa ser habilitada para outros tipos de zona marcando a caixa
de seleo durante a criao.
O gerenciamento de servios de segurana entre subinterfaces de VLAN realizado ao nvel
de zona. Todos os servios de segurana so configurveis e aplicveis a zonas que incluem
interfaces fsicas, subinterfaces de VLAN ou combinaes de subinterfaces fsicas e de VLAN.
Os servios de antivrus do gateway e de preveno de intruso entre os diferentes grupos de
trabalho podem facilmente ser empregados com o uso de segmentao de VLAN, evitando a
necessidade de interfaces fsicas dedicados para cada segmento protegido.
O suporte a VLAN permite que as organizaes ofeream segurana interna significativa (em
oposio filtragem de pacotes simples) entre vrios grupos de trabalho e entre grupos de
trabalho e farms de servidores, sem precisar usar interfaces fsicas dedicadas no firewall.
Aqui, a capacidade para atribuir subinterfaces de VLAN zona de WAN e usar o modo de
cliente de WAN (apenas o endereamento esttico suportado em subinterfaces de VLAN
atribudas zona de WAN) ilustrada, alm da capacidade de suporte de failover e
balanceamento de carga de WAN. A distribuio de SonicPoints tambm demonstrada por
toda a rede por meio da sua conexo s portas de VLAN de modo de acesso em switches de
grupo de trabalho. Essas opes so ento devolvidas ao switch central, o qual conecta todas
as VLANs ao dispositivo por meio de um link de tronco.

Integrao de VPN com o modo de ponte de camada 2


Ao configurar uma VPN em uma interface que tambm esteja configurada para o modo de
ponte de camada 2, voc deve configurar uma rota adicional para garantir que o trfego de
VPN de recebido percorre corretamente o firewall. Navegue at a pgina Rede > Roteamento,
role at o final da pgina e clique no boto Adicionar. Na janela Adicionar poltica de rota,
configure a rota da seguinte forma:
Origem: QUALQUER
Destino: objeto-endereo-VPN-personalizado (Esse o objeto de endereo do intervalo de
endereos IP de tnel de VPN local.)
Servio: QUALQUER
Gateway: 0.0.0.0
Interface: X0

248 | Guia do Administrador do SonicOS 6.2


Configurando interfaces para o IPv6
Para obter informaes completas sobre a implementao do IPv6 do SonicOS,
consulte IPv6 na pgina 1443.

As interfaces do IPv6 so configuradas na pgina Rede > Interfaces, clicando na opo IPv6
do boto de opo Exibir verso do IP localizado na parte superior esquerda da pgina.

Por padro, todas as interfaces do IPv6 so exibidas como encaminhadas sem nenhum
endereo IP. Vrios endereos IPv6 podem ser adicionados na mesma interface. A atribuio
de IP automtica s pode ser configurada em interfaces da WAN.
Cada interface poder ser configurada para receber ou no o anncio do roteador. O IPv6 pode
ser habilitado ou desabilitado em cada uma das interfaces.
A atribuio de zona para uma interface deve ser configurada por meio da pgina de interface
do IPv4 antes de alternar para o modo do IPv6.

Configurar interfaces | 249


250 | Guia do Administrador do SonicOS 6.2
Captulo 13
Configurando Interfaces do PortShield

Rede > Grupos do PortShield


A arquitetura do PortShield permite que voc configure algumas ou todas as portas da LAN em
contextos de segurana separados, possibilitando a proteo no apenas da WAN e DMZ, mas
tambm entre os dispositivos em sua rede. De forma efetiva, cada contexto tem o seu prprio
PortShield com velocidade de fios, que aproveita a proteo de um firewall dedicado de
inspeo profunda de pacotes.

Dica As zonas podem ser sempre aplicadas a mltiplas interfaces na pgina Rede > Interfaces,
mesmo sem o uso de agrupamentos do PortShield. No entanto, essas interfaces no
compartilharo a mesma sub-rede, a menos que elas sejam agrupadas com o uso do
PortShield.

possvel atribuir qualquer combinao de portas em uma interface do PortShield. Todas as


portas que voc no atribuir a uma interface do PortShield so atribudas interface da LAN.

Configurando Interfaces do PortShield | 251


A pgina Rede > Grupos do PortShield permite gerenciar as atribuies de portas s
interfaces do PortShield.

Modo esttico e Modo transparente


Uma interface do PortShield uma interface virtual com um conjunto de portas atribudas a
ela. Existem dois mtodos de atribuio de IP que podem ser implantados para criar interfaces
do PortShield. Eles so denominados modo esttico e modo transparente. As duas sees a
seguir descrevem esses modos.

Trabalhando no Modo esttico


Ao criar uma interface do PortShield no Modo esttico, voc cria manualmente um endereo
explcito que ser aplicado interface do PortShield. Todas as portas mapeadas para a
interface so identificadas por esse endereo. O Modo esttico est disponvel em interfaces
atribudas a zonas Confiveis, Pblicas ou Sem fio.

Nota Ao criar uma interface do PortShield no Modo esttico, verifique se o endereo IP atribudo
interface no est sendo usado por outra interface do PortShield.

252 | Guia do Administrador do SonicOS 6.2


Trabalhando no Modo transparente
O endereamento do Modo transparente permite que a sub-rede da WAN seja compartilhada
pela interface atual usando as atribuies do Objeto de endereo. O endereo IP da interface
o mesmo que o endereo IP da interface da WAN. O Modo transparente est disponvel em
interfaces atribudas a zonas Confiveis e Pblicas.

Nota Verifique se o endereo IP atribudo interface do PortShield est em uma sub-rede da


WAN.

Ao criar uma interface do PortShield no Modo transparente, voc cria um intervalo de


endereos que sero aplicados interface do PortShield. Voc inclui esses endereos em uma
entidade denominada Objeto de endereo. Os Objetos de endereos permitem que entidades
sejam definidas uma vez e novamente sejam usadas em vrias instncias referenciais por toda
a interface do SonicOS. Ao criar uma interface do PortShield usando um objeto de endereo,
todas as portas mapeadas para a interface so identificadas por qualquer um dos endereos
especificados no intervalo de endereos.

Nota Cada interface do PortShield estaticamente endereada deve estar em uma sub-rede
exclusiva. No possvel sobrepor as interfaces do PortShield em mltiplas sub-redes.

Configurando grupos do PortShield


Os grupos do PortShield podem ser configurados em vrias pginas diferentes na interface de
gerenciamento do SonicOS:
Configurando Interfaces do PortShield em Rede > Interfaces na pgina 253
Configurando Interfaces do PortShield em Rede > Grupos do PortShield na pgina 254

Configurando Interfaces do PortShield em Rede > Interfaces


Para configurar uma interface do PortShield, realize as seguintes etapas:

Etapa 1 Clique na pgina Rede > Interfaces.

Etapa 2 Clique no boto Configurar da interface que voc deseja configurar. A janela Editar interface
ser exibida.

Etapa 3 No menu suspenso Zona, selecione a opo de tipo de zona para a qual voc deseja mapear
a interface.

Nota possvel adicionar interfaces do PortShield somente em zonas Confiveis, P blicas e


Sem fio.

Etapa 4 No menu suspenso Atribuio de IP/modo , selecione Modo do comutador do PortShield.


Etapa 5 No menu suspenso PortShield para, selecione a interface para a qual voc deseja mapear
esta porta. Somente as portas que correspondem zona selecionada sero exibidas.

Configurando Interfaces do PortShield | 253


Configurando Interfaces do PortShield em Rede > Grupos do PortShield
A pgina Rede > Grupos do PortShield exibe uma representao grfica da configurao
atual das interfaces do PortShield.

As interfaces em preto no fazem parte de um grupo do PortShield.


As interfaces em amarelo foram selecionadas para serem configuradas.
As interfaces que so da mesma cor (que no seja preto ou amarelo) fazem parte de um
grupo do PortShield, com a interface principal com um contorno branco em torno da cor.
As interfaces que esto esmaecidas no podem ser adicionadas a um grupo do PortShield.
Na pgina Rede> Grupos do PortShield, possvel agrupar portas manualmente usando a
interface grfica dos Grupos do PortShield. O agrupamento de portas permite que eles
compartilhem uma sub-rede comum, bem como configuraes de zona comuns.

Nota As interfaces devem ser configuradas antes de serem agrupadas com o PortShield.

Para configurar grupos do PortShield, realize as seguintes etapas:

Etapa 1 No grfico, selecione a(s) interface(s) que voc deseja configurar como parte de um grupo do
PortShield. As interfaces ficaro amarelas.
Etapa 2 Clique no boto Configurar.

Etapa 3 No menu suspenso Porta habilitada, selecione se deseja habilitar ou desabilitar as interfaces.
Etapa 4 No menu suspenso PortShield Interface, selecione a interface que deseja atribuir como a
interface principal para essas interfaces do PortShield.
Etapa 5 No menu suspenso Velocidade do link, selecione a velocidade de conexo para as interfaces.

254 | Guia do Administrador do SonicOS 6.2


Captulo 14
Configurar failover e balanceamento de
carga

Rede > Failover e balanceamento de carga


Esta seo contm as seguintes subsees:
Failover e Balanceamento de carga na pgina 255
Estatsticas de balanceamento de carga na pgina 259
Vrias WAN (MWAN) na pgina 259

Failover e Balanceamento de carga


Para o Failover e Balanceamento de carga (LB), membros de vrias WAN so suportados (N
1), onde N o nmero total de interfaces em uma plataforma de hardware. Por exemplo:
Interface Ethernet de WAN primria
WAN alternativa 1
WAN alternativo 2
WAN alternativa <n1> . . .

A Interface Ethernet de WAN primria tem o mesmo significado que conceito de "WAN
primria" do firmware anterior. a interface de WAN de classificao mais alta no grupo de LB.
A WAN alternativa 1 corresponde "WAN secundria", tem uma classificao mais baixa que
a WAN primria, mas tem uma classificao mais alta que as prximas duas alternativas. As
outras, WAN alternativa 2 e WAN alternativa <n1>, so novas, sendo WAN alternativa <n
1> a mais baixa em termos de classificao entre os quatro membros da WAN do grupo de LB.
As configuraes de failover e balanceamento de carga esto descritas abaixo:
Habilitar balanceamento de carga esta opo deve ser habilitada para que o usurio
acesse a seo Grupos de LB e estatsticas de LB da configurao de Failover e
balanceamento de carga. Se estiver desabilitada, no esto disponveis opes para
Failover e balanceamento de carga para configurao.
Responder a investigaes quando a opo est habilitada, o dispositivo pode
responder a pacotes de solicitao de investigao que cheguem a qualquer uma das
interfaces do dispositivo.

Configurar failover e balanceamento de carga | 255


Qualquer TCP-SYN para porta esta opo est disponvel quando a opo Responder
a investigaes est habilitada. Quando selecionada, o dispositivo responder somente
a pacotes de solicitao de investigao TCP com o mesmo nmero de porta TCP de
endereo de destino de pacote que o valor configurado.

Realizar o balanceamento de carga de membros e grupos


Os membros de LB adicionados a um grupo de LB assumem determinadas "funes". Um
membro s pode trabalhar em uma das funes a seguir:
Primrio apenas um membro pode ser o Primrio por Grupo. Este membro sempre
aparece primeiro ou na parte superior da lista de membros. Observe que, embora um grupo
possa ser configurado com uma lista de membros vazia, impossvel ter membros sem um
Primrio.
Alternativo mais de um membro pode ser Alternativo, no entanto, no possvel ter um
Grupo de membros somente Alternativos.
ltimo recurso apenas um membro pode ser projetado como ltimo recurso. O ltimo
recurso s pode ser configurado com outros membros do grupo.
Cada membro em um grupo tem uma classificao. Os membros so exibidos por ordem
decrescente de classificao. A classificao determinada pela ordem de interfaces como
aparecem na lista de membros do grupo. A ordem importante para determinar as
preferncias de uso das interfaces, bem como o nvel de precedncia dentro do grupo. Assim,
duas interfaces dentro de um grupo no tero a mesma classificao; cada interface ter uma
classificao distinta.

256 | Guia do Administrador do SonicOS 6.2


Guia Geral
Para definir as configuraes de Classificao de membros do grupo, clique no cone
Configurar do Grupo que voc deseja configurar na pgina Rede > Failover e LB. A tela da
guia Geral ser exibida.

A guia Geral permite que o usurio modifique as configuraes a seguir:


Nome de exibio edite o nome de exibio do Grupo
Tipo (ou mtodo) de LB escolha o tipo de LB na lista suspensa (Failover ativo/passivo
bsico, Round Robin, Com base em spillover ou Com base na porcentagem).
Failover ativo/passivo bsico as quatro interfaces de WAN usam a "classificao"
para determinar a ordem de preempo quando a caixa de seleo Preempo for
habilitada. Somente uma interface com uma classificao superior pode realizar a
preempo de uma interface de WAN ativa.
Round Robin esta opo agora permite que o usurio reordene as interfaces de
WAN para seleo de Round Robin. A ordem a seguinte: WAN primria, WAN
alternativa 1, WAN alternativa 2 e WAN alternativa 3; o Round Robin ser novamente
repetido para a WAN primria e a ordem continuar.
Transbordo o limite de largura de banda se aplica WAN primria. Depois que o
limite seja excedido, novos fluxos de trfego so alocados s Alternativas de uma
maneira Round Robin. Depois de a largura de banda de WAN primria ficar abaixo do
limite configurado, o Round Robin para e comearo sendo enviados novos fluxos de
sada somente atravs da WAN primria. Observe que os fluxos existentes
permanecero associados s Alternativas (pois j esto em cache) at que o tempo
limite seja atingido normalmente.

Configurar failover e balanceamento de carga | 257


Taxa existem agora quatro campos para que possam ser definidas porcentagens
para cada WAN no grupo de LB. Para evitar problemas associados a erros de
configurao, certifique-se de que a porcentagem corresponda corretamente
interface de WAN indicada.
Adicionar/excluir interfaces de membros podem ser adicionados membros selecionando
uma interface exibida na coluna "Membros do grupo:" e, em seguida, clicando no boto
Adicionar>>. Observe que a interface listada na parte superior da lista a Primria. Os
membros podem ser excludos da coluna "Selecionado(s):" selecionando a interface
exibida e, em seguida, clicando no boto Remover>>.

Nota A classificao da interface no especifica a operao que ser executada no membro


individual. A operao que ser executada especificada pelo Tipo de grupo.

Guia Investigao
Quando a investigao lgica est habilitada, os pacotes de teste podem ser enviados para
destinos de investigao remotos para verificar a disponibilidade do caminho de WAN. Foi
fornecida uma nova opo para permitir a investigao por meio das interfaces de WAN
adicionais: WAN alternativa 3 e WAN alternativa 4.

Nota As VLANs para WANs alternativas no suportam encerramento de VPN ou QoS.

Para configurar as opes de investigao para um Grupo especfico, clique no cone


Configurar do Grupo que deseja configurar na pgina Rede > Failover e LB. Em seguida,
clique na guia Investigao.

A guia Investigao permite ao usurio modificar as configuraes a seguir:


Verificar interface o intervalo de verificaes de integridade em unidades de segundos
Desativar interface depois de uma srie de verificaes de integridade falhadas, a
interface definida como "Failover"
Reativar interface depois de uma srie de verificaes de integridade com xito, a
interface definida como "Disponvel"
Investigar responder.global.sonicwall.com em todas as interfaces neste grupo
habilite esta caixa de seleo para definir automaticamente o Monitoramento lgico/de
investigao em todas as interfaces do Grupo. Quando habilitada, ela envia pacotes de
investigao TCP para o host SNWL global que responde a pacotes TCP SNWL,
responder.global.sonicwall.com, usando um endereo de destino de investigao de
destino de 204.212.170.23:50000. Uma vez marcada esta caixa de seleo, a restante
configurao da investigao habilitar automaticamente configuraes internas. A

258 | Guia do Administrador do SonicOS 6.2


mesma investigao ser aplicada s quatro interfaces de Ethernet de WAN. Observe que
a configurao de investigao de WAN de discagem tambm tem as configuraes
internas padro.

Estatsticas de balanceamento de carga


A tabela Estatsticas de balanceamento de carga exibe as seguintes estatsticas de grupo
de LB do firewall:
Total de conexes
Nova conexo
Taxa atual
Taxa mdia
Total de bytes de unicast
Unicast Rx
Bytes Rx
Unicast Tx
Bytes Tx
Processamento (KB/s)
Processamento (Kbits/s)
No menu suspenso Exibir estatsticas para, selecione para qual grupo de LB voc deseja
exibir estatsticas.
Clique no boto Limpar estatsticas na parte inferior direita da pgina Rede > Failover e LB
para limpar as informaes da tabela Estatsticas de balanceamento de carga.

Vrias WAN (MWAN)


O recurso Vrias WAN (MWAN) permite que o administrador configure todas as interfaces do
dispositivo, exceto uma, para roteamento de rede de WAN (uma interface deve permanecer
configurada para a zona de LAN para administrao local). Todas as interfaces de WAN podem
ser investigadas usando o host Respondente global SNWL.

Configurar failover e balanceamento de carga | 259


Interfaces de rede
A pgina Interfaces de rede permite que mais de duas interfaces de WAN sejam configuradas
para roteamento. possvel configurar interfaces de WAN na pgina Interfaces de rede, mas
no possvel inclu-las no Failover e LB. Somente a Interface Ethernet de WAN primria
necessria para fazer parte do grupo de LB sempre que o LB for habilitado. Qualquer interface
de WAN que no pertena ao grupo de LB no est includa na funo de LB, mas executa
funes normais de roteamento de WAN.

Nota Uma interface de WAN virtual pode pertencer ao grupo de LB. No entanto, antes de usar
dentro do grupo de LB, certifique-se de que a rede de WAN virtual seja totalmente rotevel
como a de uma WAN fsica.

260 | Guia do Administrador do SonicOS 6.2


Rotear os gateways padro e secundrio
Como os objetos de endereos de gateway anteriormente associados WAN primria e WAN
secundria foram substitudos, ser necessrio recriar rotas estticas configuradas pelo
usurio para usar os objetos de endereos de gateway corretos associados s interfaces de
WAN. Isso ter de ser configurado manualmente como parte do procedimento de atualizao
do firmware.

O Gateway padro do objeto de endereo antigo corresponde ao gateway padro associado


WAN primria no grupo de LB. O Gateway padro secundrio corresponde ao gateway padro
associado WAN alternativa 1.

Nota Depois de adicionar novamente as rotas, exclua as antigas referindo-se aos Gateways
padro e secundrio.

Nota Dependendo do seu local, alguns Servidores DNS podem responder mais rapidamente que
outros. Verifique se esses servidores funcionam corretamente antes de usar o seu
dispositivo de segurana Dell SonicWALL.

Configurar failover e balanceamento de carga | 261


262 | Guia do Administrador do SonicOS 6.2
Captulo 15
Configurar zonas de rede

Rede > Zonas


Uma zona um agrupamento lgico de uma ou mais interfaces projetadas para tornar o
gerenciamento, como a definio e a aplicao de Regras de acesso, um processo mais
simples e intuitivo do que seguir o esquema estrito de interface fsica. A segurana baseada
em zona um mtodo poderoso e flexvel de gerenciamento de segmentos de redes interna e
externa, permitindo que o administrador separe e proteja recursos essenciais da rede interna
contra acesso no aprovado ou ataque.

Uma zona de segurana de rede simplesmente um mtodo lgico de agrupamento de uma


ou mais interfaces com nomes amigveis configurveis pelo usurio e de aplicao de regras
de segurana medida que o trfego passa de uma zona para outra zona. As zonas de
segurana fornecem uma camada adicional, mais flexvel, de segurana do firewall. Com a
segurana baseada em zona, o administrador pode agrupar interfaces semelhantes e aplicar
as mesmas polticas nelas, em vez de ter de gravar a mesma poltica para cada interface. Para
obter mais informaes sobre a configurao de interfaces, consulte Rede > Interfaces na
pgina 185.

Configurar zonas de rede | 263


As zonas do SonicOS permitem que voc aplique polticas de segurana no interior da rede.
Isso permite que o administrador faa isso organizando recursos de rede para diferentes zonas
e permitindo ou restringindo o trfego entre essas zonas. Dessa forma, o acesso a recursos
internos essenciais, como servidores da folha de pagamento ou servidores de cdigo de
engenharia, pode ser estritamente controlado.
As zonas tambm permitem exposio total da tabela de NAT para permitir o controle do
administrador sobre o trfego nas interfaces, controlando os endereos de origem e destino
medida que o trfego passa de uma zona para outra. Isso significa que a NAT pode ser
aplicada internamente ou atravs de tneis de VPN, sendo esse um recurso j muito solicitado
pelos usurios. Os firewalls tambm podem orientar o trfego VPN por meio da poltica de NAT
e poltica de zona, pois as VPNs esto agora agrupadas de forma lgica em suas prprias
zonas de VPN.

Como funcionam as zonas


Uma forma fcil de visualizar como as zonas de segurana funcionam imaginar um grande
edifcio novo, com vrias divises e um grupo de novos funcionrios que no conhece o
edifcio. Esse edifcio tem uma ou mais sadas que podem ser consideradas como interfaces
de WAN. As divises dentro do edifcio tm uma ou mais portas que podem ser consideradas
como interfaces. Pode considerar-se que essas divises consideradas como zonas dentro de
cada diviso so um nmero de pessoas. As pessoas so categorizadas e atribudas a
divises separadas no edifcio. As pessoas em cada diviso que se dirigem para outra diviso
ou saem do edifcio devem falar com um porteiro sada de cada sala. Este porteiro a poltica
de segurana entre zonas/dentro de zonas e a funo dele consultar uma lista e certificar-se
de que a pessoa tenha permisso para se dirigir para outra sala ou sair do edifcio. Se a pessoa
tiver permisso (ou seja, se a poltica de segurana atribuir permisso), ela pode sair da
diviso pela porta (a interface).
Aps entrar no corredor, a pessoa precisa consultar o responsvel do corredor para descobrir
onde a sala ou onde se encontra a porta para sair do edifcio. Este responsvel do corredor
fornece o processo de roteamento porque ele sabe onde todas as salas esto localizadas e
como entrar e sair do edifcio. O monitor tambm sabe os endereos de qualquer um dos
escritrios remotos que podem ser considerados VPNs. Se o edifcio possuir mais de uma
entrada/sada (interfaces de WAN), o responsvel do corredor pode direcionar pessoas para
usar a entrada/sada secundria, dependendo do modo que foi indicado (ou seja, somente em
caso de emergncia ou para distribuir o trfego recebido e enviado da entrada/sada). Essa
funo pode ser considerada como o balanceamento de carga de WAN.
H momentos em que as divises dentro do edifcio tm mais de uma porta e outros momentos
em que h grupos de pessoas na diviso que no esto familiarizadas entre si. Neste exemplo,
um grupo de pessoas usa apenas uma porta e outro grupo usa a outra porta, mesmo estando
os grupos na mesma diviso. Como as pessoas tambm no se reconhecem, para falar com
algum em outro grupo, os usurios devem pedir ao porteiro (a poltica de segurana) para
indicar a pessoa do outro grupo com a qual desejam falar. O porteiro tem a opo de no
permitir que um grupo de pessoas converse com os outros grupos na diviso. Este um
exemplo de quando as zonas tm mais de uma interface ligada a elas e quando o trfego
dentro das zonas no permitido.
Por vezes, as pessoas desejaro visitar escritrios remotos e podero chegar pessoas de
escritrios remotos para visitar pessoas em divises especficas no edifcio. Estes so os
tneis de VPN. Os responsveis do corredor e da entrada verificam se tal ou no permitido
e permitem o trfego. O porteiro tambm pode optar por forar pessoas a colocar um disfarce
antes de viajar para outra sala, para a sada ou para outro escritrio remoto. Isso oculta a
identidade verdadeira da pessoa, mascarando a pessoa como outra diferente. Esse processo
pode ser considerado como a poltica de NAT.

264 | Guia do Administrador do SonicOS 6.2


Zonas predefinidas
As zonas predefinidas no seu firewall dependem do dispositivo. As zonas de segurana
predefinidas no dispositivo de segurana Dell SonicWALL no so modificveis e esto
definidas como se segue:
DMZ: Esta zona normalmente usada para servidores publicamente acessveis. Esta zona
pode ser composta por uma a quatro interfaces, dependendo do design da sua rede.
LAN: Essa zona pode ser composta por vrias interfaces, dependendo do design da sua
rede. Embora cada interface tenha uma sub-rede de rede diferente conectada a ela,
quando so agrupadas podem ser gerenciadas como uma nica entidade.
MGMT: Esta zona usada para gerenciamento de dispositivos e inclui somente a interface
de MGMT. As interfaces em outras zonas tambm podem ser habilitadas para o
gerenciamento de SonicOS, mas a interface/zona de MGMT fornece a segurana adicional
de uma zona separada apenas para gerenciamento.
DIFUSO SELETIVA: Esta zona oferece suporte para difuso seletiva de IP, que um
mtodo de envio de pacotes de entrada de uma nica origem simultaneamente para vrios
hosts.
SSLVPN: Esta zona usada para proteger o acesso remoto usando o cliente NetExtender
da Dell SonicWALL.
VPN: Esta zona virtual usada para simplificar a conectividade remota e segura.
WLAN: Esta zona oferece suporte aos SonicPoints da SonicWALL. Quando atribuda
porta Opt, ela realiza a imposio do SonicPoint, descartando automaticamente todos os
pacotes recebidos de dispositivos no SonicPoint. A zona de WLAN suporta o Protocolo
de descoberta do SonicPoint (SDP) para pesquisar e identificar SonicPoints conectados
automaticamente. Ela tambm suporta o Protocolo de provisionamento simples da
SonicWALL para configurar os SonicPoints usando perfis.
WAN: Essa zona pode consistir em vrias interfaces. Se voc estiver usando o recurso de
failover de WAN do dispositivo de segurana, voc precisar adicionar a segunda interface
da Internet zona de WAN.

Nota Mesmo que voc possa agrupar interfaces em uma zona de segurana, isso no impede
que voc efetue o endereamento de uma nica interface dentro da zona.

Tipos de segurana
Cada zona tem um tipo de segurana que define o nvel de confiana atribudo a essa zona.
Existem seis tipos de segurana:
Confivel: Confivel um tipo de segurana que oferece o mais alto nvel de confiana, o
que significa que o mnimo de fiscalizao aplicado ao trfego proveniente de zonas
confiveis. A segurana confivel pode ser considerada como estando no lado da LAN
(protegido) do dispositivo de segurana. A zona de LAN sempre Confivel.
Gerenciamento: O tipo de segurana de Gerenciamento exclusivo para a zona de
MGMT e para a interface de MGMT e tambm fornece o mais alto nvel de confiana.
Criptografado: Criptografado um tipo de segurana usado exclusivamente por zonas de
VPN e SSLVPN. Todo o trfego para e de uma zona Criptografada est criptografado.
Sem fio: Sem fio um tipo de segurana aplicado zona de WLAN ou a qualquer zona
onde a nica interface para a rede consiste em dispositivos SonicPoint da SonicWALL. O
tipo de segurana sem fio projetado especificamente para uso com dispositivos
SonicPoint. Colocar uma interface em uma zona sem fio ativa o SDP (Protocolo de
descoberta da SonicWALL) e o SSPP (Protocolo de provisionamento simples da

Configurar zonas de rede | 265


SonicWALL) nessa interface para a descoberta e o provisionamento automticos de
dispositivos SonicPoint. Somente o trfego que passa por um SonicPoint permitido por
meio de uma zona sem fio. Todo o trfego restante ser descartado.
Pblico: Um tipo de segurana Pblico oferece um nvel mais alto de confiana do que
uma zona No confivel, mas um nvel mais baixo de confiana do que uma zona
Confivel. As zonas pblicas podem ser consideradas como sendo uma rea segura entre
o lado da LAN (protegido) do dispositivo de segurana e o lado da WAN (desprotegido). A
DMZ, por exemplo, uma zona pblica porque o trfego flui dele para a LAN e a WAN. Por
padro, o trfego de DMZ para LAN negado. Mas o trfego de LAN para QUALQUER
permitido. Isso significa que somente conexes iniciadas pela LAN tero o trfego entre
DMZ e LAN. A DMZ somente ter acesso padro WAN, no LAN.
No confivel: O tipo de segurana No confivel representa o nvel mais baixo de
confiana. Ele usado pela WAN e pela zona de difuso seletiva virtual. Uma zona No
confivel pode ser considerada como estando no lado da WAN (desprotegido) do
dispositivo de segurana. Por padro, no permitida a entrada de trfego de zonas No
confiveis em qualquer outro tipo de zona sem regras explcitas, mas o trfego de tipos de
zonas alternados permitido em zonas No confiveis.

Permitir confiana de interface


A configurao Permitir confiana de interface na janela Adicionar zona automatiza a
criao de Regras de acesso para permitir que o trfego flua entre a interface de uma instncia
de zona. Por exemplo, se a zona de LAN possuir as interfaces LAN e X3 associadas a ela, a
marcao de Permitir confiana de interface na zona de LAN vai criar as Regras de acesso
necessrias para permitir que os hosts nessas interfaces comuniquem entre eles.

Habilitar servios de segurana SonicWALL em zonas


Voc pode habilitar servios de segurana SonicWALL para o trfego entre zonas. Por
exemplo, voc pode habilitar o servio de preveno de intruso da SonicWALL para trfego
de entrada e sada na zona de WLAN para adicionar mais segurana ao trfego de rede
interno. Voc pode habilitar os seguintes servios de segurana SonicWALL em zonas:
Impor servio de filtragem de contedo impe a filtragem de contedo em vrias
interfaces nas mesmas zonas Confivel, Pblica e WLAN.
Impor o Client Anti-Virus Service impe a proteo antivrus em vrias interfaces nas
mesmas zonas Confivel, Pblica ou WLAN.
Habilitar antivrus do gateway impe a proteo antivrus do gateway em vrias
interfaces nas mesmas zonas Confivel, Pblica ou WLAN.
Habilitar IPS impe a deteco e a preveno de intruses em vrias interfaces nas
mesmas zonas Confivel, Pblica ou WLAN.
Habilitar o servio de controle de aplicativos impe servios de poltica de controle
de aplicativos em vrias interfaces nas mesmas zonas Confivel, Pblica ou WLAN.
Habilitar servio anti-spyware impe deteco e preveno anti-spyware em vrias
interfaces nas mesmas zonas Confivel, Pblica ou WLAN.
Impor o Global Security Client impe a proteo Global Security Client (GSC) em
vrias interfaces nas mesmas zonas Confivel, Pblica ou WLAN.
Criar VPN de grupo cria uma poltica de VPN de grupo para a zona, a qual exibida na
tabela Polticas de VPN na pgina VPN > Configuraes. Voc pode personalizar a
poltica VPN de grupo na pgina VPN > Configuraes. Se voc desmarcar Criar VPN de
grupo, a poltica VPN de grupo removida da pgina VPN > Configuraes.

266 | Guia do Administrador do SonicOS 6.2


Habilitar controle de SSL habilita o controle de SSL na zona. Todas as novas conexes
SSL iniciadas a partir dessa zona estaro agora sujeitas a inspeo. O controle de SSL
deve ser habilitado primeiro globalmente na pgina Firewall > Controle de SSL.
Habilitar acesso a SSLVPN habilita o acesso remoto seguro a SSLVPN na zona.

A tabela de configuraes de zona


A tabela Configuraes de zona mostra uma lista de todas as zonas predefinidas padro do
firewall, bem como todas as zonas que voc criar. A tabela exibe as seguintes informaes de
status sobre a configurao de cada zona:

Nome: Lista o nome da zona. Os nomes predefinidos de zonas LAN, WAN, WLAN, VPN
e Criptografado no podem ser alterados.
Tipo de segurana: Exibe o tipo de segurana: Confivel, No confivel, Pblico, Sem
fio ou Criptografado.
Interfaces de membros: Exibe as interfaces que so membros da zona.
Confiana de interface: Uma marca de seleo indica que a configurao Permitir
confiana de interface est habilitada para a zona.
Filtragem de contedo: Uma marca de seleo indica que o servio de filtragem de
contedo da SonicWALL est habilitado para trfego de entrada e sada da zona.
Client Anti-Virus: Uma marca de seleo indica que o Client Anti-Virus da SonicWALL
est habilitado para o trfego de entrada e sada da zona. O Client Anti-Virus da
SonicWALL gerencia um aplicativo de cliente antivrus em todos os clientes na zona.
Antivrus no gateway: Uma marca de seleo indica que o Antivrus do gateway da
SonicWALL est habilitado para o trfego de entrada e sada da zona. O Antivrus do
gateway da SonicWALL gerencia o servio de antivrus no firewall.
Servio anti-spyware: Uma marca de seleo indica se a deteco e a preveno de Anti-
spyware da SonicWALL esto habilitadas para o trfego por meio de interfaces na zona.
IPS: Uma marca de seleo indica que o servio de preveno de intruso da SonicWALL
est habilitado para trfego de entrada e sada da zona.
Controle de aplicativos: Uma marca de seleo indica que o servio de controle de
aplicativos est habilitado para trfego de entrada e sada da zona.
GSC: Uma marca de seleo indica que o Global Security Client est habilitado para o
trfego de entrada e sada da zona. O GSC da SonicWALL gerencia um aplicativo antivrus
de cliente e um aplicativo de cliente de VPN em todos os clientes na zona.

Configurar zonas de rede | 267


Controle de SSL: Uma marca de seleo indica que o Controle de SSL est habilitado
para o trfego de entrada e sada da zona. Todas as novas conexes SSL iniciadas a partir
dessa zona estaro agora sujeitas a inspeo.
Acesso a SSLVPN: Uma marca de seleo indica que o acesso remoto seguro de SSL
VPN est habilitado para trfego de entrada e sada da zona.
Configurar: Se clicar no cone , ser exibida a janela Editar zona. Se clicar no cone
de excluso , a zona ser excluda. O cone de excluso ficar esmaecido para as zonas
predefinidas. Voc no pode excluir essas zonas.

Adicionar uma nova zona


Para adicionar uma nova zona, clique em Adicionar na tabela Configuraes de zona. A
janela Adicionar zona exibida.

Etapa 1 Digite um nome para a nova zona no campo Nome.


Etapa 2 Selecione um tipo de segurana Confivel, Pblico ou Sem fio no menu Tipo de segurana.
Use Confivel para zonas s quais voc deseja atribuir o mais alto nvel de confiana, como
segmentos de LAN interna. Use Pblico para zonas com um nvel mais baixo de requisitos de
confiana, como uma interface de DMZ. Use Sem fio para a interface de WLAN.
Etapa 3 Se voc deseja permitir comunicaes entre zonas, selecione Permitir confiana de
interface. Se no desejar, marque a caixa de seleo Permitir confiana de interface.
Etapa 4 Para que o SonicOS crie automaticamente regras de acesso entre esta zona e outras zonas
de vrios tipos de segurana, marque as caixas de seleo desejadas de Gerar
automaticamente regras de acesso.
Etapa 5 Selecione qualquer um dos servios de segurana do firewall voc deseja impor na zona. Voc
pode selecionar o seguinte:
Impor servio de filtragem de contedo impe a filtragem de contedo em vrias
interfaces nas mesmas zonas Confivel, Pblica e WLAN. Para aplicar uma poltica de
Servio de filtragem de contedo (CFS) na zona, selecione a poltica no menu
suspenso Poltica de CFS.
Habilitar imposio do AV cliente impe a proteo antivrus de cliente em vrias
interfaces nas mesmas zonas Confivel, Pblica ou WLAN, usando o cliente de
antivrus do cliente em seus hosts de rede.
Habilitar servio de antivrus do gateway impe a proteo antivrus do gateway
no seu firewall para todos os clientes conectados a esta zona. O Antivrus do gateway
da SonicWALL gerencia o servio de antivrus no firewall.
Habilitar IPS impe a deteco e a preveno de intruses em vrias interfaces nas
mesmas zonas Confivel, Pblica ou WLAN.
Habilitar o servio de controle de aplicativos impe servios de poltica de
controle de aplicativos em vrias interfaces nas mesmas zonas Confivel, Pblica ou
WLAN.
Habilitar servio anti-spyware impe deteco e preveno anti-spyware em vrias
interfaces nas mesmas zonas Confivel, Pblica ou WLAN.
Criar VPN de grupo cria automaticamente uma poltica de VPN de grupo da
SonicWALL para esta zona. Voc pode personalizar a Poltica de VPN de grupo na
pgina VPN > Configuraes.

268 | Guia do Administrador do SonicOS 6.2


Cuidado Se desabilitar a caixa de seleo Criar VPN de grupo, qualquer poltica de VPN de grupo
correspondente ser removida.

Habilitar controle de SSL habilita o controle de SSL na zona. Todas as novas


conexes SSL iniciadas a partir dessa zona estaro agora sujeitas a inspeo.
Observe que o controle de SSL deve ser habilitado primeiro globalmente na pgina
Firewall > Controle de SSL. Para obter mais informaes, consulte Configuraes de
firewall > Controle SSL na pgina 743.
Habilitar acesso a SSLVPN habilita o acesso remoto seguro a SSLVPN na zona.
Etapa 6 Clique em OK. A nova zona agora adicionada ao firewall.

Excluir uma zona


Voc pode excluir uma zona criada por usurio clicando no cone de excluso na coluna
Configurar. O cone Excluir est indisponvel para as zonas predefinidas. Voc no pode
excluir essas zonas. Quaisquer zonas que voc criar podem ser excludas.

Configurar uma zona para acesso de convidado


Os servios para convidados de usurio da SonicWALL fornecem aos administradores de rede
uma soluo simples para a criao de passes para convidados com e sem fio e/ou acesso
rede somente de Internet bloqueado para os visitantes ou ns de rede no confiveis. Essa
funcionalidade pode ser estendida a usurios com ou sem fio na zona de WLAN, LAN, DMZ ou
pblica/semipblica de sua preferncia.
Para configurar o recurso Servios para convidados:

Configurar zonas de rede | 269


Etapa 1 Navegue at a pgina Rede > Zonas na interface de gerenciamento do SonicOS.
Etapa 2 Clique no boto Configurar da zona qual deseja adicionar os Servios para convidados.

Etapa 3 Clique na guia Servios para convidados. Escolha entre as seguintes opes de
configurao para Servios para convidados:
Habilitar servios para convidados habilita servios para convidados na zona de
WLAN.
Habilitar comunicao entre convidados permite que os convidados comuniquem
diretamente com outros usurios que esto conectados a esta zona.
Ignorar verificao de AV para convidados permite que o trfego de convidados
ignore a proteo antivrus.
Habilitar autenticao de convidados externos requer que os convidados
conectando a partir do dispositivo ou rede que voc selecionar se autentiquem antes
de obter acesso.
Habilitar pgina de poltica sem autenticao direciona os usurios para uma
pgina de poltica de uso de servios para convidados que no exige autenticao.
Clique em Configurar para configurar uma pgina de uso de polticas personalizveis
de HTML.
Pgina Autenticao personalizada redireciona os usurios para uma pgina de
autenticao personalizada quando eles se conectam pela primeira vez rede. Clique
em Configurar para configurar a pgina de autenticao personalizada. Insira um URL
para uma pgina de autenticao ou uma instruo de desafio personalizada no campo
de texto e clique em OK.
Pgina de ps-autenticao direciona os usurios para a pgina especificada
imediatamente aps autenticao com xito. Insira um URL para a pgina de ps-
autenticao no campo.

270 | Guia do Administrador do SonicOS 6.2


Ignorar autenticao de convidados permite que o recurso Servios para
convidados se integre em ambientes j usando alguma forma de autenticao de nvel
de usurio. Esse recurso automatiza o processo de autenticao, permitindo que os
usurios sem fio acessem recursos Servios para convidados sem precisar de
autenticao. Este recurso s deve ser usado quando o acesso irrestrito de Servios
para convidados for desejado ou quando outro dispositivo upstream estiver impondo
autenticao.
Redirecionar trfego SMTP para redireciona trfego SMTP de entrada nesta zona
para um servidor SMTP que voc especificar. Selecione o objeto de endereo para o
qual redirecionar o trfego.
Negar redes bloqueia trfego para as redes que voc nomear. Selecione a sub-rede,
o grupo de endereos ou o endereo IP para bloquear trfego.
Aprovar redes permite trfego por meio da zona habilitada por Servios para
convidados para as redes que voc selecionar.
Mximo de convidados especifica o nmero mximo de usurios convidados com
permisso para conexo a esta zona. A configurao padro 10.

Recursos especiais dos servios para convidados para zonas sem fio
Habilitar converso dinmica de endereos (DAT) os Servios para convidados
fornecem acesso a "hotspots" no momento a convidados e visitantes sem fio. Para fcil
conectividade, os Servios para convidados permitem que usurios sem fio se
autentiquem e associem, obtenham as configuraes de IP e autentiquem usando
qualquer navegador da Web. Sem DAT, se um usurio convidado no for um cliente de
DHCP, mas em vez disso possuir configuraes de IP esttico incompatveis com as
configuraes de rede WLAN sem fio, a conectividade de rede ser impedida at que
as configuraes do usurio sejam alteradas para valores compatveis. A converso
de endereo dinmico (DAT) uma forma de converso de endereo de rede (NAT)
que permite que o sistema suporte qualquer esquema de endereamento IP para
usurios convidados. Por exemplo, a interface de WLAN sem fio configurada com
seu endereo padro de 172.16.31.1 e um cliente convidado tem um endereo IP
esttico de 192.168.0.10 e um gateway padro de 192.168.0.1, enquanto o outro tem
um endereo IP esttico de 10.1.1.10 e um gateway de 10.1.1.1, permitindo a DAT a
comunicao de rede para esses dois clientes.
Etapa 4 Clique em OK para aplicar essas configuraes para esta zona.

Configurar a zona de WLAN


Etapa 1 Clique no cone Editar da zona de WLAN. A janela Editar zona exibida.
Etapa 2 Na guia Geral, selecione a configurao Permitir confiana de interface para automatizar a
criao de Regras de acesso para permitir que o trfego flua entre as interfaces de uma
instncia da zona. Por exemplo, se a zona de LAN possuir as interfaces LAN e X3 associadas
a ela, a marcao de Permitir confiana de interface na zona de LAN vai criar as Regras de
acesso necessrias para permitir que os hosts nessas interfaces comuniquem entre eles.
Etapa 3 Habilite servios de segurana na zona de WLAN.
Etapa 4 Clique na guia Sem fio. Na seo Configuraes sem fio, marque Apenas permitir trfego
gerado por um SonicPoint para permitir que somente trfego de SonicPoints da SonicWALL
entre na interface da zona de WLAN. Isso permite segurana mxima de sua WLAN.
Desmarque esta opo se desejar permitir qualquer trfego em sua zona de WLAN
independentemente de ser ou no de uma conexo sem fio.

Configurar zonas de rede | 271


Dica Desmarque Apenas permitir trfego gerado por um SonicPoint e use a zona em uma
interface com fio para permitir servios para convidados nessa interface.

Etapa 5 Selecione Imposio de VPN SSL para exigir que todo o trfego que entra na zona de WLAN
seja autenticado por meio de um dispositivo SRA da SonicWALL.
Etapa 6 Na lista Servidor SSL VPN, selecione um objeto de endereo para direcionar o trfego para o
dispositivo SSL VPN.
Etapa 7 Na lista Servio SSL VPN, selecione o servio ou grupo de servios para os quais voc deseja
permitir clientes autenticados por meio de SSL VPN.
Etapa 8 No ttulo Configuraes do SonicPoint, selecione o Perfil de provisionamento do
SonicPoint desejado para aplicar a todos os SonicPoints conectados a esta zona. Sempre que
um SonicPoint se conectar a esta zona, ele ser provisionado automaticamente pelas
configuraes no Perfil de provisionamento do SonicPoint, a menos que voc o tenha definido
individualmente com configuraes diferentes.
Etapa 9 Selecione Apenas permitir trfego gerado por um SonicPoint para bloquear trfego sem fio
no SonicPoint.

Nota Para obter informaes de configurao de Servios para convidados, consulte Configurar
uma zona para acesso de convidado na pgina 269.

Etapa 10 Clique em OK para aplicar essas configuraes zona de WLAN.

272 | Guia do Administrador do SonicOS 6.2


Captulo 16
Definir configuraes de DNS

Rede > DNS


O Domain Name System (DNS) um sistema hierrquico distribudo que fornece um mtodo
para identificar hosts na Internet usando nomes alfanumricos denominados nomes de
domnio totalmente qualificados (FQDNs) em vez de usar endereos IP numricos difceis de
lembrar. A pgina Rede > DNS permite que voc configure manualmente suas configuraes
de DNS, se necessrio.

Na seo Configuraes de DNS, selecione Especificar servidores DNS manualmente e digite


o(s) endereo(s) IP nos campos Servidor DNS. Clique em Aceitar para salvar suas alteraes.
Para usar as configuraes de DNS definidas para a zona de WAN, selecione Herdar
configuraes de DNS dinamicamente da zona de WAN. Clique em Aceitar para salvar suas
alteraes.

Definir configuraes de DNS | 273


DNS e IPv6
Para obter informaes completas sobre a implementao do IPv6 do SonicOS,
consulte IPv6 na pgina 1443.

O DNS para IPv6 configurado no mesmo mtodo que para o IPv4. Basta clicar na opo IPv6
no boto de opo Exibir verso do IP localizado na parte superior esquerda da pgina Rede
> DNS.
Na seo Configuraes de DNS, selecione Especificar servidores DNS manualmente e
digite o(s) endereo(s) IP nos campos Servidor DNS. Clique em Aceitar para salvar suas
alteraes. Para usar as configuraes de DNS definidas para a zona de WAN, selecione
Herdar configuraes de DNS dinamicamente da zona de WAN. Clique em Aceitar para
salvar suas alteraes

Preveno contra ataque de religao de DNS


A religao de DNS um ataque baseado em DNS no cdigo incorporado em pginas da Web.
Normalmente as solicitaes do cdigo incorporado em pginas da Web (JavaScript, Java e
Flash) so vinculadas ao site da Web no qual tm origem (consulte Poltica de mesma origem).
Um ataque de religao de DNS pode ser usado para melhorar a capacidade de malware
baseado em JavaScript para penetrar em redes privadas e subverter a poltica de mesma
origem do navegador.
Invasores de religao de DNS registram um domnio que delegado a um servidor DNS que
controlam. O servidor est configurado para responder com um parmetro de TTL muito curto,
o que impede que o resultado seja armazenado em cache. A primeira resposta contm o
endereo IP do servidor que hospeda o cdigo mal-intencionado. Quaisquer solicitaes
subsequentes contm endereos IP de rede privada (RFC 1918), presumivelmente atrs de
um firewall, sendo o destino do invasor. Como ambas so respostas DNS totalmente vlidas,
elas autorizam o script em reas restritas para acessar hosts em uma rede privada. Fazendo
a iterao de endereos nestas respostas DNS de curto prazo, mas ainda assim vlidas, o
script capaz de verificar a rede e executar outras atividades mal-intencionadas.
Marque a caixa de seleo Habilitar preveno contra ataque de religao de DNS. No menu
suspenso Ao, selecione uma ao a ser executada quando um ataque de religao de DNS
for detectado:
0 Registrar ataque
1 Registrar ataque e retornar uma reposta recusada de consulta
2 Registrar ataque e descartar resposta de DNS
Objeto/grupo de endereos FQDN de domnios permitidos contendo nomes de domnio
permitidos (como *.sonicwall.com) para os quais sub-redes conectadas/roteadas localmente
devem ser consideradas respostas legais.

274 | Guia do Administrador do SonicOS 6.2


Captulo 17
Configurar objetos de endereos

Rede > Objetos de endereos


Os objetos de endereos so uma das quatro classes de objeto (Endereo, Usurio, Servio e
Cronograma) no SonicOS. Esses objetos de endereos permitem a definio de entidades
uma vez e que estas sejam novamente usadas em vrias instncias de referncia na interface
do SonicOS. Por exemplo, considere um servidor Web interno com um endereo IP de
67.115.118.80. Em vez de repetidamente digitar o endereo IP durante a criao de Regras de
acesso ou Polticas de NAT, os objetos de endereos permitem que voc crie uma nica
entidade denominada "Meu servidor Web" como um objeto de endereo de host com um
endereo IP de 67.115.118.80. Este objeto de endereo, "Meu servidor Web", pode ser
selecionado de forma fcil e eficiente a partir de um menu suspenso em qualquer tela de
configurao que utiliza objetos de endereos como um critrio de definio.

Tipos de objetos de endereos


Uma vez que existem vrios tipos de expresses de endereos de rede, existem atualmente
os seguintes tipos de objetos de endereos:
Host os objetos de endereos de host definem um nico host atravs do seu endereo
IP. A mscara de rede de um objeto de endereo de host ser automaticamente definida
para 32 bits (255.255.255.255) para identific-lo como um nico host. Por exemplo, "Meu
servidor Web" com um endereo IP de "67.115.118.110" e uma mscara de rede padro de
"255.255.255.255".
Intervalo os objetos de endereos de intervalo definem um intervalo de endereos IP
contguos. Nenhuma mscara de rede est associada aos objetos de endereos de
intervalo, mas a lgica interna geralmente trata cada membro do intervalo especificado
como um objeto de host mascarado de 32 bits. Por exemplo, "Meus servidores pblicos"
com um endereo IP de valor inicial de "67.115.118.66" e valor final de "67.115.118.90". Os
25 endereos de host individuais nesse intervalo deveriam ser compostos por este objeto
de endereo de intervalo.
Rede os objetos de endereos de rede so como objetos de intervalo por inclurem vrios
hosts, mas em vez de estarem ligados por delimitadores de intervalo superiores e
inferiores especificados, os limites so definidos por uma mscara de rede vlida. Os
objetos de endereos de rede devem ser definidos pelo endereo da rede e uma mscara
de rede correspondente. Por exemplo, "Minha rede pblica" com um valor de rede de

Configurar objetos de endereos | 275


"67.115.118.64" e uma mscara de rede de "255.255.255.224" incluiriam endereos de
67.115.118.64 a 67.115.118.95. Como regra geral, o primeiro endereo em uma rede (o
endereo de rede) e o ltimo endereo em uma rede (o endereo de difuso) so
inutilizveis.
Endereo MAC os objetos de endereo MAC permitem a identificao de um host pelo
seu endereo de hardware ou endereo MAC (Media Access Control Controle de acesso
mdia). Os endereos MAC so atribudos exclusivamente a cada parte do dispositivo de
rede com ou sem fio por seus fabricantes de hardware e devem ser imutveis. Os
endereos MAC so valores de 48 bits expressos em notao hexadecimal de 6 bytes. Por
exemplo, "Meu ponto de acesso" com um endereo MAC de "00:06:01:AB:02:CD". Os
endereos MAC so resolvidos para um endereo IP fazendo referncia ao cache de ARP
no dispositivo de segurana. Os objetos de endereo MAC so usados por vrios
componentes de configuraes sem fio no SonicOS.
Endereo de FQDN os objetos de endereo de FQDN permitem a identificao de um
host pelo seu FQDN (Fully Qualified Domain Name Nome de domnio totalmente
qualificado), como "www.sonicwall.com". Os FQDNs so resolvidos para o seu endereo
IP (ou endereos IP) usando o servidor DNS configurado no dispositivo da segurana. As
entradas de curinga so suportadas por meio da coleta de respostas a consultas enviadas
para os servidores DNS sancionados.

Grupos de objetos de endereos


O SonicOS tem a capacidade de agrupar Objetos de endereos em Grupos de objetos de
endereos. Os grupos de objetos de endereos podem ser definidos para apresentar ainda
mais eficincia referencial. Os grupos podem incluir qualquer combinao de Objetos de
endereos de Host, Intervalo ou Rede. Os objetos de endereos MAC devem ser agrupados
separadamente, embora eles possam ser adicionados com segurana a grupos de objetos de
endereos baseados em IP, nos quais eles sero ignorados quando a sua referncia for
contextualmente irrelevante (por exemplo, em uma Poltica de NAT). Por exemplo, o "Meu
grupo pblico" pode conter o objeto de endereo de host "Meu servidor Web" e o objeto de
endereo de intervalo "Meus servidores pblicos", representando efetivamente os endereos
IP de 67.115.118.66 a 67.115.118.90 e o endereo IP 67.115.118.110.

276 | Guia do Administrador do SonicOS 6.2


Criar e gerenciar objetos de endereos
A pgina Rede > Objetos de endereos permite que voc crie e gerencie seus objetos de
endereos.

Voc pode visualizar objetos de endereos das seguintes formas usando o menu Ver estilo:
Todos os objetos de endereos exibe todos os objetos de endereos configurados.
Objetos de endereos personalizados exibe os objetos de endereos com
propriedades personalizadas.
Objetos de endereos padro exibe os objetos de endereos configurados por padro
no firewall.
A classificao de objetos de endereos permite que voc localize de forma fcil e rpida os
objetos de endereos configurados no firewall.

Nota Um objeto de endereo deve ser definido antes de configurar Polticas de NAT, Regras de
acesso e Servios.

Navegar e classificar as entradas de objetos de endereos e de grupos de endereos


As tabelas de objetos de endereos e grupos de endereos fornecem fcil paginao para a
visualizao de um grande nmero de objetos e grupos de endereos. Voc pode navegar em
um grande nmero de entradas listadas nas tabelas de objetos de endereos ou grupos de
endereos usando a barra de controle de navegao localizada na parte superior direita das
tabelas. A barra de controle de navegao inclui quatro botes. O boto mais esquerda exibe
a primeira pgina da tabela. O boto mais direita exibe a ltima pgina. Os botes de seta
interiores para a esquerda e para a direita movem a pgina anterior ou seguinte,
respectivamente.
Voc pode inserir o nmero da poltica (o nmero listado antes do nome da poltica na coluna
# Nome) no campo Itens para avanar para uma entrada especfica. A configurao de tabela
padro exibe 50 entradas por pgina. Voc pode alterar esse nmero padro de entradas de
tabelas na pgina Sistema > Administrao.

Configurar objetos de endereos | 277


Voc pode classificar as entradas na tabela clicando no cabealho da coluna. As entradas so
classificadas por ordem crescente ou decrescente. A seta para a direita da entrada da coluna
indica o status de classificao. Uma seta para baixo significa ordem crescente. Uma seta para
cima indica uma ordem decrescente.

Grupos e objetos de endereos padro


A visualizao Objetos de endereos padro exibe Objetos de endereos e Grupos de
endereos padro para o seu firewall. As entradas Objetos de endereos padro no podem
ser modificadas ou excludas. Portanto, os cones Editar e Excluir so esmaecidos.

Adicionar um objeto de endereo


Para adicionar um Objeto de endereo, clique no boto Adicionar na tabela Objetos de
endereos, nas visualizaes Todos os objetos de endereos ou Objetos de endereos
personalizados para exibir a janela Adicionar objeto de endereo.

Etapa 1 Insira um nome para o objeto de rede no campo Nome.


Etapa 2 Selecione Host, Intervalo, Rede, MAC ou FQDN no menu Tipo.

278 | Guia do Administrador do SonicOS 6.2


Se voc selecionar Host, digite o endereo IP e a mscara de rede nos campos
Endereo IP e Mscara de rede.

Se voc tiver selecionado Intervalo, digite os endereos IP inicial e final nos campos
Endereo IP de incio e Endereo IP de trmino.

Se voc tiver selecionado Rede, insira o endereo IP de rede e a mscara de rede nos
campos Rede e Mscara de rede.

Se voc tiver selecionado MAC, insira o endereo MAC e a mscara de rede nos
campos Rede e Endereo MAC.

Configurar objetos de endereos | 279


Se voc tiver selecionado FQDN, digite o nome de domnio para o site individual ou o
intervalo de sites (com um curinga) no campo FQDN.

Etapa 3 Selecione a zona a atribuir ao objeto de endereo no menu Atribuio de zonas.

Editar ou excluir um objeto de endereo


Para editar um objeto de endereo, clique no cone de edio na coluna Configurar na
tabela Objetos de endereos. A janela Editar objeto de endereo exibida, a qual tem as
mesmas configuraes da janela Adicionar objeto de endereo.
Para excluir um Objeto de endereo, clique no cone Excluir na coluna Configurar para o
objeto de endereo que deseja excluir. Uma caixa de dilogo exibida solicitando que voc
confirme a excluso. Clique em OK para excluir o objeto de endereo. Para excluir vrios
objetos de endereos ativos, selecione-os e clique no boto Excluir.

Criar objetos de endereos de grupo


Como so adicionados cada vez mais objetos de endereos ao firewall, voc pode simplificar
o gerenciamento dos endereos e das polticas de acesso com a criao de grupos de
endereos. As alteraes realizadas no grupo so aplicadas a cada endereo no grupo. Para
adicionar um grupo de objetos de endereos, realize as seguintes etapas:

Etapa 1 Clique em Adicionar grupo para exibir a janela Adicionar grupo de objetos de endereo.

Etapa 2 Crie um nome para o grupo no campo Nome.


Etapa 3 Selecione o objeto de endereo da lista e clique na seta para a direita. Ele adicionado ao
grupo. possvel selecionar vrios objetos clicando neles enquanto pressiona a tecla Ctrl.
Etapa 4 Clique em OK.

280 | Guia do Administrador do SonicOS 6.2


Dica Para remover um endereo ou uma sub-rede do grupo, selecione o endereo IP ou a sub-
rede na coluna direita e clique na seta para a esquerda. O item selecionado movido da
coluna da direita para a coluna da esquerda.

Editar ou excluir grupos de endereos


Para editar um grupo, clique no cone de edio na coluna Configurar da tabela Grupos
de endereos. A janela Editar grupo de objetos de endereo exibida. Realize suas
alteraes e, em seguida, clique em OK.
Para excluir um grupo, clique no cone Excluir na coluna Configurar para excluir um grupo
de endereos individual. Uma caixa de dilogo exibida solicitando que voc confirme a
excluso. Clique em OK para excluir o grupo de endereos. Para excluir vrios grupos de
endereos ativos, selecione-os e clique no boto Excluir.

Trabalhar com endereos dinmicos


Desde sua criao que o SonicOS tem usado objetos de endereos (AOs) para representar
endereos IP na maioria das reas por toda a interface do usurio. Os objetos de endereos
possuem as seguintes variedades:
Host uma associao individual de endereo IP, mscara de rede e zona.
MAC (original) controle de acesso a mdia ou o endereo de hardware exclusivo de um
host de Ethernet. Os AOs MAC so usados para:
Identificar SonicPoints
Permitir que hosts ignorem a autenticao de servios para convidados
Autorizar o BSSID (Identificador do conjunto de servios ou MAC de WLAN) de pontos
de acesso sem fio detectados durante varreduras sem fio.
Os AOs MAC eram originalmente destinos no permitidos em outras reas da interface
de gerenciamento, como Regras de acesso, por isso no poderiam ser usados
historicamente para controlar o acesso de um host atravs de seu endereo de
hardware.
Intervalo um endereo IP inicial e um final, incluindo todos os endereos intermdios.
Grupo uma coleo de objetos de endereos de qualquer variedade de tipos. Os grupos
podem conter outros objetos de endereos de Grupos, Host, MAC, Intervalo ou FQDN.
O SonicOS redefiniu a operao dos AOs MAC e suporta AOs totalmente de nome de domnio
totalmente qualificado (FQDN):
MAC o SonicOS resolve AOs MAC para um endereo IP fazendo referncia ao cache de
ARP no firewall.
FQDN os nomes de domnio totalmente qualificados, como
"www.reallybadWebsite.com", sero resolvidos para o seu endereo IP (ou endereos IP)
usando o servidor DNS configurado no firewall. As entradas de curinga so suportadas por
meio da coleta de respostas a consultas enviadas para os servidores DNS sancionados.
Embora esteja envolvido mais esforo na criao de um objeto de endereo alm de inserir
simplesmente um endereo IP, os AOs foram implementados para complementar o esquema
de gerenciamento do SonicOS, fornecendo as seguintes caractersticas:

Configurar objetos de endereos | 281


Associao de zona quando definido, os AOs de host, MAC e FQDN exigem uma
designao de zona explcita. Na maioria das reas da interface (por exemplo, Regras de
acesso) isso usado apenas referencialmente. O aplicativo funcional inclui os
preenchimentos contextualmente precisos de listas suspensas do objeto de endereo e a
rea de definies de "Acesso de VPN" atribudas a Usurios e Grupos. Quando os AOs
so usados para definir o Acesso de VPN, o processo de criao automtica de Regra de
acesso se refere zona do AO para determinar a interseo correta de VPN [zona] para
posicionamento de regra. Por outras palavras, se o AO do "Host 192.168.168.200" que
pertence zona de LAN foi adicionado a "Acesso de VPN" do Grupo de usurios "Usurios
confiveis", a Regra de acesso criada automaticamente seria atribuda zona de LAN de
VPN .
Gerenciamento e manipulao a famlia verstil de tipos de objetos de endereos pode
ser facilmente usada em toda a interface do SonicOS, permitindo que as manipulaes
(por exemplo, de Regras de acesso) sejam rapidamente definidas e gerenciadas. A
capacidade de simplesmente adicionar ou remover membros de grupos de objetos de
endereos permite efetivamente modificaes de regras e polticas de referenciamento
sem a necessidade de manipulao direta.
Reutilizao os objetos somente precisam ser definidos uma vez e podem ser
referenciados facilmente quantas vezes for necessrio.

282 | Guia do Administrador do SonicOS 6.2


Recursos principais de objetos de endereos dinmicos
O termo de Objeto de endereo dinmico (DAO) descreve a estrutura subjacente permitindo
AOs MAC e FQDN. Transformando AOs de estruturas estticas para dinmicas, a opo
Firewall > Regras de acesso pode responder automaticamente s alteraes na rede.

Recurso Benefcio
Suporte de Os objetos de endereos de FQDN suportam entradas com curingas, tais como
curingas FQDN "*.somedomainname.com", resolvendo primeiro o nome de domnio base para todos os
seus endereos IP de host definidos e, em seguida, coletando ativa e constantemente
respostas de DNS conforme elas passam pelo firewall.
Por exemplo, a criao de um AO FQDN para "*.myspace.com" usar primeiro os
servidores DNS configurados no firewall para resolver "myspace.com" para
63.208.226.40, 63.208.226.41, 63.208.226.42 e 63.208.226.43 (como pode ser
confirmado por nslookup myspace.com ou equivalente). Uma vez que a maioria dos servidores
DNS no permitem transferncias de zonas, normalmente no possvel enumerar
automaticamente todos os hosts em um domnio. Em vez disso, o firewall procurar respostas
de DNS provenientes de servidores DNS sancionados medida que atravessam o firewall. Por
isso, se um host por trs do firewall consultar um servidor DNS externo que tambm um
servidor DNS configurado/definido no firewall, o firewall analisar a resposta para ver se ele
corresponde ao domnio de qualquer AO FQDN com caractere curinga.
Nota: Os servidores DNS sancionados so os servidores DNS configurados para uso pelo
firewall. O motivo da utilizao de respostas de apenas servidores DNS
sancionados no processo de aprendizado de curingas a proteo contra a
possibilidade de envenenamento do AO FQDN atravs do uso de servidores DNS
no sancionados com entradas de host deliberadamente incorretas. Verses
futuras do SonicOS podem oferecer a opo para suportar respostas de todos os
servidores DNS. O uso de servidores DNS sancionados pode ser aplicado com o
uso de Regras de acesso, como descrito posteriormente na seo "Impor o uso de
servidores sancionados na rede".

Por exemplo, suponha que o firewall est configurado para usar servidores DNS 4.2.2.1 e
4.2.2.2 e est fornecendo esses servidores DNS a todos os clientes com firewall por meio de
DHCP. Se o cliente A com firewall realizar uma consulta de DNS relativamente a 4.2.2.1 ou
4.2.2.2 para "vids.myspace.com", a resposta ser examinada pelo firewall e ser feita a
correspondncia ao AO FQDN "*.myspace.com" definido. O resultado (63.208.226.224) ser
ento adicionado aos valores resolvidos do DAO "*.myspace.com".
Nota: Se a estao de trabalho (cliente A) no exemplo acima tivesse resolvido e
armazenado em cache vids.myspace.com antes da criao do AO
"*.myspace.com", vids.myspace.com no seria resolvido pelo firewall porque o
cliente iria usar o cache de seu resolvedor em vez de emitir de uma nova solicitao
de DNS. Como resultado, o firewall no teria a oportunidade de aprender sobre
vids.myspace.com, a menos que o problema fosse resolvido por outro host. Em
uma estao de trabalho com Microsoft Windows, possvel limpar o cache do
resolvedor local usando o comando ipconfig /flushdns. Isso forar o cliente a
resolver todos os FQDNs, permitindo que o firewall faa o aprendizado deles
medida que vo sendo acessados.

As entradas de FQDN com curingas resolvero todos os nomes de host dentro do


contexto do nome de domnio, at 256 entradas por AO. Por exemplo, "*.sonicwall.com"
resolver www.sonicwall.com, software.sonicwall.com, licensemanager.sonicwall.com
para seus respectivos endereos IP, mas ele no resolver sslvpn.demo.sonicwall.com
porque est em um contexto diferente. Para que sslvpn.demo.sonicwall.com seja
resolvido por um AO FQDN com curinga, a entrada "*.demo.sonicwall.com" seria
necessria e tambm iria resolver sonicos-enhanced.demo.sonicwall.com,
csm.demo.sonicwall.com, sonicos-standard.demo.sonicwall.com, etc.
Nota: Os caracteres curinga suportam somente correspondncias completas e no
correspondncias parciais. Por outras palavras, "*.sonicwall.com" uma entrada
legtima, mas "w*.sonicwall.com", "*w.sonicwall.com" e "w*w.sonicwall.com" no
so. Um caractere curinga pode ser especificado somente uma vez por entrada,
portanto "*.*.sonicwall.com", por exemplo, no ser funcional.

Configurar objetos de endereos | 283


Recurso Benefcio
Resoluo de Os objetos de endereos de FQDN so resolvidos usando servidores DNS configurados
FQDN usando no firewall, na pgina Rede > DNS. Como comum as entradas DNS resolverem para
DNS vrios endereos IP, o processo de resoluo de DAO FQDN recuperar todos os
endereos para os quais um nome de host resolve, at 256 entradas por AO. Alm de
resolver o FQDN para seus IPs, o processo de resoluo tambm associar a TTL (vida
til) da entrada como configurado pelo administrador do DNS. A TTL ser ento
respeitada para garantir que as informaes de FQDN no se tornam obsoletas.
Cache de Os valores FQDN resolvidos sero armazenados em cache no caso de falhas de
entrada de FQDN tentativa de resoluo aps a resoluo inicial. Por outras palavras, se
"www.moosifer.com" resolver para 71.35.249.153 com uma TTL de 300, mas falhar ao
resolver aps a expirao de TTL (por exemplo, devido indisponibilidade temporria do
servidor DNS), o 71.35.249.153 ser armazenado em cache e usado como vlido at
que a resoluo seja bem-sucedida ou eliminada manualmente. As entradas FQDN
recm-criadas que nunca so resolvidas com xito ou as entradas que so eliminadas e,
em seguida, falham na resoluo sero exibidas em um estado de no resolvidas.
Resoluo de Quando um n detectado em qualquer um dos segmentos fsicos do firewall atravs do
endereo MAC mecanismo ARP (Protocolo de resoluo de endereo), o cache de ARP do firewall
usando dados atualizado com os endereos MAC e IP desse n. Quando essa atualizao ocorre, se
dinmicos de estiver presente um objeto de endereo MAC referenciando o MAC desse n, ele ser
cache de ARP atualizado instantaneamente com o emparelhamento de endereo resolvido. Quando o
tempo de um n expira do cache de ARP devido a desuso (por exemplo, o host no est
mais conectado com L2 ao firewall), o AO MAC far a transio para um estado "no
resolvido".
Suporte de Os AOs MAC podem ser configurados para suportar ns de mltiplas home pages, em
mltiplas home que mltiplas home pages se referem a ns com mais de um endereo IP por interface
pages do objeto fsica. So permitidas at 256 entradas resolvidas por AO. Dessa forma, se um nico
de endereo endereo MAC for resolvido para vrios IPs, todos os IPs sero aplicveis s regras de
MAC acesso, etc., que se referem ao AO MAC.
Processos de As entradas de AO MAC so sincronizadas automaticamente ao cache de ARP do
atualizao firewall e as entradas de AO FQDN obedecem aos valores de TTL da entrada de DNS,
automtica e garantindo que os valores resolvidos estejam sempre atualizados. Alm desses
manual processos de atualizao automtica, os recursos de Atualizao e Eliminao manuais
so fornecidos para DAOs individuais ou para todos os DAOs definidos.
Resoluo de Os objetos de endereos de FQDN so resolvidos usando servidores DNS configurados
FQDN usando no firewall, na pgina Rede > DNS. Como comum as entradas DNS resolverem para
DNS vrios endereos IP, o processo de resoluo de DAO FQDN recuperar todos os
endereos para os quais um nome de host resolve, at 256 entradas por AO. Alm de
resolver o FQDN para seus IPs, o processo de resoluo tambm associar a TTL (vida
til) da entrada como configurado pelo administrador do DNS. A TTL ser ento
respeitada para garantir que as informaes de FQDN no se tornam obsoletas.

Impor o uso de servidores sancionados na rede


Embora no seja um requisito, recomendvel impor o uso de servidores autorizados ou
sancionados na rede. Esta prtica pode ajudar a reduzir a atividade de rede ilcita e tambm
servir para garantir a confiabilidade do processo de resoluo de curingas de FQDN. Em
geral, uma boa prtica definir os pontos terminais de comunicaes de protocolo conhecidas
quando possvel. Por exemplo:

284 | Guia do Administrador do SonicOS 6.2


Criar grupos de objetos de endereo de servidores sancionados (por exemplo, SMTP,
DNS, etc.).

Criar regras de acesso nas zonas relevantes, permitindo que apenas os servidores SMTP
autorizados em sua rede comuniquem SMTP de sada; bloquear todo o outro trfego SMTP
de sada para impedir spam de sada intencional ou no intencional.

Criar regras de acesso nas zonas relevantes, permitindo que os servidores DNS
autorizados na sua rede comuniquem com todos os hosts de destino usando protocolos
DNS (TCP/UDP 53). Certifique-se de que essa regra esteja implementada se voc tiver
servidores DNS em sua rede e se desejar configurar a regra de DNS restritiva que segue.
Criar regras de acesso nas zonas relevantes, permitindo que hosts com firewall
comuniquem somente DNS (TCP/UDP 53) com servidores DNS sancionados; bloquear
todo o outro acesso a DNS para impedir comunicaes com servidores DNS no
autorizados.

As tentativas de acesso no sancionadas sero assim exibidas nos logs.

Usar objetos de endereos dinmicos MAC e FQDN


Os DAOs MAC e FQDN fornecem uma ampla flexibilidade de construo de regras de acesso.
Os AOs MAC e FQDN so configurados da mesma forma que os objetos de endereos
estticos, ou seja, na pgina Rede > Objetos de endereos. Uma vez criados, o status pode
ser visualizado passando o mouse sobre eles e os eventos de log gravaro suas adies e
excluses.

Os objetos de endereos dinmicos so apropriados para muitos aplicativos. A seguir esto


alguns exemplos de como eles podem ser usados. Verses futuras do SonicOS podem
expandir sua versatilidade ainda mais.

Configurar objetos de endereos | 285


Bloquear o acesso a todos os protocolos a um domnio usando DAOs FQDN

Pode haver casos em que voc deseja bloquear o acesso a todos os protocolos a um IP de
destino especfico devido a portas no padro de operaes, uso de protocolo desconhecido
ou obscurecimento intencional de trfego atravs de criptografia, encapsulamento ou ambas
as opes. Um exemplo seria um usurio que configurou um servidor proxy HTTPS (ou outro
mtodo de encaminhamento/encapsulamento de portas em portas "confiveis", como 53, 80,
443, e tambm em portas no padro, como 5734, 23221 e 63466) em sua rede domstica de
modem por cabo ou DSL com o objetivo de obscurecer o trfego atravs do seu
encapsulamento por meio da rede domstica. A falta de previsibilidade de porta geralmente
ainda mais complicada pelo endereamento dinmico dessas redes, tornando o endereo IP
igualmente imprevisvel.
Uma vez que esses cenrios geralmente empregam registros de DNS dinmico (DDNS) para
permitir que os usurios localizem a rede domstica, os AOs FQDN pode ser definidos para
uso agressivo para bloquear o acesso a todos os hosts em um registrador DDNS.

Nota Um destino DDNS usado neste exemplo para ilustrao. Os domnios de destino no
DDNS tambm podem ser usados.

Suposies
O firewall est configurado para usar o servidor DNS 10.50.165.3, 10.50.128.53.
O firewall est fornecendo concesses DHCP para todos os usurios com firewall. Todos
os hosts na rede usam os servidores DNS configurados acima para resoluo.
As comunicaes de DNS para servidores DNS no sancionados podem ser
opcionalmente bloqueadas com regras de acesso, conforme descrito na seo "Impor
o uso de servidores sancionados na rede".
O usurio de DSL domstico est registrando o nome do host moosifer.dyndns.org com o
provedor DDNS DynDNS. Para esta sesso, o ISP atribuiu conexo DSL o endereo
71.35.249.153.
Um AO FQDN com caractere curinga usado para ilustrao porque outros nomes de
host poderiam facilmente ser registrados para o mesmo endereo IP. As entradas de
outros provedores DDNS tambm podem ser adicionadas, conforme necessrio.

Etapa 1 Criar o objeto de endereo de FQDN


Em Rede > Objetos de endereos, selecione Adicionar e crie o objeto de endereo
seguinte:

Quando for criada pela primeira vez, essa entrada resolver apenas para o endereo de
dyndns.org, por exemplo, 63.208.196.110.

286 | Guia do Administrador do SonicOS 6.2


Etapa 2 Criar a regra de acesso do firewall
Na pgina Firewall > Regras de acesso, interseo de zona LAN->WAN, adicione uma
regra de acesso da seguinte forma:

Nota Em vez de especificar "Sub-redes LAN" como a origem, uma fonte mais especfica poder
ser especificada, conforme apropriado, para que somente seja negado o acesso de
determinados hosts aos destinos.

Quando um host por trs do firewall tenta resolver moosifer.dyndns.org usando um servidor
DNS sancionado, os endereos IP retornados na resposta da consulta sero adicionados
dinamicamente ao AO FQDN.
Qualquer acesso de protocolo a hosts de destino nesse FQDN ser bloqueado e a tentativa
de acesso ser registrada:

Usar um servidor DNS interno para regras de acesso com base em FQDN

comum para ambientes de rede configurados dinamicamente (DHCP) trabalhar em


combinao com servidores DNS internos para fins de registro dinmico de hosts internos
um exemplo comum inclui os servios DHCP e DNS da Microsoft. Os hosts nessas redes
podem ser configurados facilmente para atualizar dinamicamente os registros DNS em um
servidor DNS devidamente configurado (por exemplo, consulte o artigo da Microsoft
Knowledgebase "How to configure DNS dynamic updates in Windows Server 2003" (Como
configurar atualizaes dinmicas de DNS no Windows Server 2003) em
http://support.microsoft.com/kb/816592/en-us).

Configurar objetos de endereos | 287


A seguir ilustrada uma anlise de pacote de um processo tpico de atualizao dinmica de
DNS, mostrando o host configurado dinamicamente 10.50.165.249 registrando seu nome de
host completo bohuymuth.moosifer.com com o servidor DNS (DHCP fornecido) 10.50.165.3:

Nesses ambientes, poder ser til usar AOs FQDN para controlar o acesso por nome do host.
Isso seria mais aplicvel em redes em que os nomes de host so conhecidos, como onde as
listas de nomes de host so mantidas ou onde uma conveno de nomenclatura previsvel
usada.

Controlar o acesso de rede de um host dinmico por endereo MAC

Como o DHCP muito mais comum do que o endereamento esttico na maioria das redes,
por vezes difcil prever o endereo IP de hosts configurados dinamicamente, especialmente
na ausncia de atualizaes de DNS dinmico ou nomes de host confiveis. Nessas situaes,
possvel usar objetos de endereos MAC para controlar o acesso de um host atravs do seu
endereo MAC (hardware) relativamente imutvel.
Tal como acontece com outros mtodos de controle de acesso, isto pode ser utilizado
inclusivamente, por exemplo, para negar acesso de/para um host especfico ou um grupo de
hosts, ou exclusivamente, onde somente concedido acesso a um host especfico ou grupo
de hosts e negado acesso a todos os outros. Neste exemplo, ilustraremos a ltima situao.
Supondo que voc tinha um conjunto de clientes sem fio habilitados por DHCP executando um
sistema operacional proprietrio que impedia qualquer tipo de autenticao de nvel de usurio
e que voc desejava permitir somente o acesso desses clientes a um servidor especfico de
aplicativo (por exemplo, 10.50.165.2) na sua LAN. O segmento WLAN est usando WPA-PSK
para segurana e esse conjunto de clientes s deve ter acesso ao servidor 10.50.165.2, mas
no a outros recursos da LAN. Todos os outros clientes sem fio no devem ser capazes de
acessar o servidor 10.50.165.2, mas devem ter acesso ilimitado a tudo o resto.

288 | Guia do Administrador do SonicOS 6.2


Etapa 1 Criar os objetos de endereos MAC
Em Rede > Objetos de endereos, selecione Adicionar e crie o objeto de endereo
seguinte (hospedagem mltipla opcional, conforme necessrio):

Uma vez criados, se os hosts estiverem presentes no cache de ARP do firewall, eles sero
resolvidos imediatamente, caso contrrio, eles aparecero em um estado no resolvido na
tabela Objetos de endereos at que sejam ativados e descobertos por meio de ARP:

Crie um grupo de objetos de endereos incluindo os dispositivos portteis:

Etapa 2 Criar as regras de acesso do firewall


Para criar regras de acesso, navegue at a pgina Firewall > Regras de acesso, clique
no boto de opo Todas as regras e role at o final da pgina e clique no boto
Adicionar.
Crie as quatro regras de acesso seguintes:

Configurao Regra de acesso 1 Regra de acesso 2 Regra de acesso 3 Regra de acesso 4


Da zona WLAN WLAN WLAN WLAN
Para a zona LAN LAN LAN LAN
Servio Servios MediaMoose Servios MediaMoose Qualquer Qualquer
Origem Dispositivos portteis Qualquer Dispositivos Qualquer
portteis
Destino 10.50.165.3 10.50.165.3 Qualquer Qualquer

Configurar objetos de endereos | 289


Configurao Regra de acesso 1 Regra de acesso 2 Regra de acesso 3 Regra de acesso 4
Usurios Tudo Tudo Tudo Tudo
permitidos
Cronograma Sempre ativo Sempre ativo Sempre ativo Sempre ativo

Nota O servio "Servios MediaMoose" usado para representar o aplicativo especfico usado
pelos dispositivos portteis. A declarao de um servio especfico opcional, conforme
necessrio.

Acesso de gerenciamento de largura de banda a um domnio inteiro

A mdia de streaming um dos consumidores mais extravagantes de largura de banda de rede.


Mas tentar controlar o acesso ou gerenciar largura de banda distribuda nesses sites difcil
porque a maioria dos sites que servem mdia de streaming tende a faz-lo fora de grandes
farms de servidores. Alm disso, esses sites frequentemente codificam de novo a mdia e
transmitem-na por HTTP, dificultando ainda mais a classificao e o isolamento. O
gerenciamento manual de listas de servidores uma tarefa difcil, mas os objetos de
endereos FQDN com curinga podem ser usados para simplificar esse esforo.

Etapa 1 Criar o objeto de endereo de FQDN


Em Rede > Objetos de endereos, selecione Adicionar e crie o objeto de endereo
seguinte:

Aps a criao inicial, youtube.com ser resolvido para os endereos IP 208.65.153.240,


208.65.153.241, 208.65.153.242, mas, depois de um host interno comear a resolver hosts
para todos os elementos no domnio youtube.com, as entradas de host aprendidas sero
adicionadas, como a entrada para o servidor v87.youtube.com (208.65.154.84).

290 | Guia do Administrador do SonicOS 6.2


Etapa 2 Criar a regra de acesso do firewall
Na pgina Firewall > Regras de acesso, interseo de zona LAN->WAN, adicione uma
regra de acesso da seguinte forma:

Nota Se voc no visualizar a guia Largura de banda, voc pode habilitar o gerenciamento de
largura de banda declarando a largura de banda em suas interfaces WAN.

Nota O cone BWM ser exibido na tabela Regra de acesso indicando que o BWM est ativo e
fornecendo estatsticas. O acesso a todos os hosts de *.youtube.com usando qualquer
protocolo ser agora cumulativamente limitado a 2% da sua largura de banda total
disponvel para todas as sesses do usurio.

Objetos de endereos e IPv6


Para obter informaes completas sobre a implementao do IPv6 da Dell
SonicWALL, consulte IPv6 na pgina 1443.

Objetos de endereo IPv6 ou grupos de endereos podem ser adicionados da mesma forma
que os objetos de endereo IPv4. Na pgina Rede > Objetos de endereo, o boto de opo
Exibir verso do IP contm trs opes: Somente IPv4, Somente IPv6 ou IPv4 e IPv6.

Configurar objetos de endereos | 291


Nota So suportados objetos de endereos do tipo Host, Intervalo e Rede. Os objetos de
endereos dinmicos para MAC e FQDN no so atualmente suportados para hosts IPv6.

As interfaces IPv4 definem um par de objetos de endereos padro (DAO) e um grupo de


objetos de endereos para cada interface. A regra bsica para DAO de IPv4 que cada
endereo IPv4 corresponde a 2 objetos de endereos: IP de interface e sub-rede de interface.
Existem tambm pares de grupos AO para IP de interfaces de zonas, sub-redes de zonas,
todos os IP de interfaces, todos os IP de gerenciamento de interfaces, etc.
A interface IPv6 prepara o mesmo conjunto DAO para cada interface. Uma vez que possvel
atribuir mltiplos IPv6 a uma interface, todos esses endereos podem ser adicionados,
editados e excludos dinamicamente. Por conseguinte, os DAO de IPv6 precisam ser criados
e excludos dinamicamente.
Para tratar disso, os DAO no so gerados dinamicamente para interfaces IPv6. So criados
somente DAO de interface limitados, o que resulta em suporte limitado para outro mdulo que
precise acessar DAO de interface.

292 | Guia do Administrador do SonicOS 6.2


Captulo 18
Configurar grupos de servios e objetos
de servios de rede

Rede > Servios


O SonicOS suporta um suporte de protocolo IP expandido para permitir que os usurios criem
servios e regras de acesso com base nesses protocolos. Consulte Protocolos suportados na
pgina 294 para obter uma lista de protocolos predefinidos. E consulte Adicionar servios de
tipo de IP personalizado na pgina 296 para adicionar protocolos IP especficos necessrios
para sua rede.
Os servios so usados pelo dispositivo de segurana Dell SonicWALL para configurar regras
de acesso de rede para permitir ou negar o trfego para a rede. O dispositivo de segurana
Dell SonicWALL inclui Servios padro. Os Servios padro so servios predefinidos que
no so editveis. E voc tambm pode criar Servios personalizados para configurar os
servios de firewall para atenderem aos seus requisitos de negcios especficos.

A seleo de Todos os servios em Ver estilo exibe Servios personalizados e Servios


padro.

Configurar grupos de servios e objetos de servios de rede | 293


Viso geral de servios padro
A visualizao Servios padro exibe os servios padro do dispositivo de segurana Dell
SonicWALL na tabela Servios e na tabela Grupos de servios. A tabela Grupos de servios
exibe clusters de vrios servios padro como um objeto de servio nico. Voc no pode
excluir ou editar esses servios predefinidos. A tabela Servios exibe os seguintes atributos
dos servios:
Nome o nome do servio.
Protocolo o protocolo do servio.
Incio de porta o nmero de porta inicial do servio.
Fim de porta o nmero de porta final do servio.
Configurar exibe os cones indisponveis Editar e Excluir (os servios padro
no podem ser editados ou excludos, voc precisar adicionar um novo servio para que
os cones Editar e Excluir fiquem disponveis).
Comentrios exibe para o grupo de servios os objetos de endereo de rede, objetos de
servio de firewall e regras de acesso de rede aplicveis de Fonte de pesquisa por, bem
como o tipo de grupo de aplicativos ou servios Grupos (membro de).
Os servios que se aplicam a aplicativos comuns so agrupados como Grupos de servios
padro. Esses grupos no podem ser alterados ou excludos. Se clicar em + esquerda da
entrada de Grupos de servios padro, sero exibidos todos os servios padro individuais
includos no grupo. Por exemplo, a entrada DNS (Servio de Nome) tem dois servios
rotulados como DNS (Servio de Nome) TCP para a porta 53 e DNS (Servio de Nome) UDP
para a porta 53. Essas vrias entradas com o mesmo nome so agrupadas e tratadas como
um nico servio. Os grupos de servios padro no podem ser editados ou excludos.

Lista de tarefas de configurao de servios personalizados


A lista a seguir fornece as tarefas de configurao para Servios personalizados:
Adicionar servios personalizados
Editar servios personalizados
Excluir servios personalizados
Adicionar grupos de servios personalizados
Editar grupos de servios personalizados
Excluir grupos de servios persona