Bewährte Methoden
Wir empfehlen, den Zugriff auf die Webadministratorkonsole (HTTPS), die CLI-Konsole (SSH) und das Benutzerportal aus der WAN-Zone nicht zuzulassen.
Notiz
Sie können die Ports des Benutzerportals und der Webadministratorkonsole für keinen anderen Dienst verwenden.
Web-Admin-Konsole
Sie können den Zugriff auf die Webadministrationskonsole nicht von allen WAN-Quellen aus zulassen. Wenn Sie Zugriff gewähren müssen, befolgen Sie die folgenden Best Practices:
-
Erstellen Sie eine lokale ACL-Ausnahmeregel für den Dienst, die bestimmten Quell-IP-Adressen den Zugriff auf die Konsole aus der WAN-Zone ermöglicht.
Sie können die Regel nicht erstellen, wenn Sie das Quellnetzwerk auf Beliebig oder die Quell-IP-Adresse auf 0.0.0.0, da die Firewall keinen Zugriff auf die Webadministrationskonsole von allen WAN-Quellen zulässt.
-
Verwenden Sie Sophos Central.
- Verwenden Sie Remote-Zugriff oder Site-to-Site-VPNs.
- Verwenden Sie Remote-Access-Clients wie Sophos Transparent Authentication Suite (STAS).
Notiz
Wenn Sie den Zugriff in einer früheren Version zugelassen haben, deaktiviert die Firewall ihn, wenn 90 Tage in Folge keine erfolgreichen Anmeldungen aus der WAN-Zone erfolgen. Dies gilt für alle Bereitstellungen. Der Zugriff auf bestimmte WAN-IP-Adressen und Netzwerke über eine Ausnahmeregel für die lokale Dienst-ACL ist hiervon nicht betroffen. Diese Quellen haben weiterhin Zugriff, auch wenn keine Anmeldungen erfolgen.
CLI-Konsole
Erstellen Sie eine lokale ACL-Ausnahmeregel für den Dienst, die bestimmten Quell-IP-Adressen den Zugriff auf die Konsole aus der WAN-Zone ermöglicht.
Für zusätzliche Sicherheit können Sie Folgendes tun:
- Konfigurieren Sie die Public-Key-Authentifizierung auf Verwaltung > Gerätezugriff.
- Verwenden Sie Remote-Zugriff oder Site-to-Site-VPNs.
- Verwenden Sie Remote-Access-Clients wie Sophos Transparent Authentication Suite (STAS).
Benutzerportal
Verwenden Sie für einen sicheren Zugriff von externen Netzwerken VPNs und befolgen Sie diese Best Practices:
- Verwenden Sie Remote-Zugriff oder Site-to-Site-VPNs.
- Verwenden Sie Remote-Access-Clients wie Sophos Transparent Authentication Suite (STAS).
Für einen sicheren Zugriff auf Basis von Benutzerkonten können Sie Folgendes tun:
- Verwenden Sie die Multi-Faktor-Authentifizierung (MFA) mit Einmalkennwörtern für Benutzerkonten, die in der Sophos Firewall gespeichert sind. Siehe Einstellungen für die Multi-Faktor-Authentifizierung (MFA).
- Verwenden Sie die von externen Verzeichnisdiensten bereitgestellten MFA-Optionen.
Notiz
Die Firewall deaktiviert den Zugriff auf das Benutzerportal von allen WAN-Quellen, wenn 90 Tage in Folge keine erfolgreichen Anmeldungen aus der WAN-Zone erfolgen. Dies gilt für alle Bereitstellungen. Der Zugriff auf bestimmte WAN-IP-Adressen und Netzwerke über eine lokale Dienst-ACL-Ausnahmeregel ist hiervon nicht betroffen. Diese Quellen haben weiterhin Zugriff, auch wenn keine Anmeldungen erfolgen.
SSL-VPN-Port
Standardmäßig verwenden alle Verwaltungsdienste eindeutige Ports. SSL VPN ist auf TCP-Port 8443 eingestellt.
Warnung
Wir empfehlen dringend, für die auf dieser Seite aufgeführten Dienste eine eindeutige Port-Protokoll-Kombination zu verwenden. Verwaltung > GerätezugriffWenn Sie den Zugriff auf einen Dienst aus einer Zone aktivieren, aktivieren Sie ihn für die Port-Protokoll-Kombination des Dienstes. Dadurch bleiben andere Dienste, die denselben Port und dasselbe Protokoll verwenden, aus der Zone zugänglich, auch wenn Sie den Zugriff auf sie deaktivieren.
Angenommen, Sie ändern den Standardport des SSL-VPNs auf TCP 443, den Standardport des VPN-Portals, und erlauben den SSL-VPN-Zugriff über das WAN. Das VPN-Portal ist dann auch dann zugänglich, wenn Sie den Zugriff über das WAN deaktivieren.