Zur Startseite gehen
0,00 €*

Bewährte Methoden

Wir empfehlen, den Zugriff auf die Webadministratorkonsole (HTTPS), die CLI-Konsole (SSH) und das Benutzerportal aus der WAN-Zone nicht zuzulassen.

Notiz

Sie können die Ports des Benutzerportals und der Webadministratorkonsole für keinen anderen Dienst verwenden.

Web-Admin-Konsole

Sie können den Zugriff auf die Webadministrationskonsole nicht von allen WAN-Quellen aus zulassen. Wenn Sie Zugriff gewähren müssen, befolgen Sie die folgenden Best Practices:

  • Erstellen Sie eine lokale ACL-Ausnahmeregel für den Dienst, die bestimmten Quell-IP-Adressen den Zugriff auf die Konsole aus der WAN-Zone ermöglicht.

    Sie können die Regel nicht erstellen, wenn Sie das Quellnetzwerk auf Beliebig oder die Quell-IP-Adresse auf 0.0.0.0, da die Firewall keinen Zugriff auf die Webadministrationskonsole von allen WAN-Quellen zulässt.

  • Verwenden Sie Sophos Central.

  • Verwenden Sie Remote-Zugriff oder Site-to-Site-VPNs.
  • Verwenden Sie Remote-Access-Clients wie Sophos Transparent Authentication Suite (STAS).

Notiz

Wenn Sie den Zugriff in einer früheren Version zugelassen haben, deaktiviert die Firewall ihn, wenn 90 Tage in Folge keine erfolgreichen Anmeldungen aus der WAN-Zone erfolgen. Dies gilt für alle Bereitstellungen. Der Zugriff auf bestimmte WAN-IP-Adressen und Netzwerke über eine Ausnahmeregel für die lokale Dienst-ACL ist hiervon nicht betroffen. Diese Quellen haben weiterhin Zugriff, auch wenn keine Anmeldungen erfolgen.

CLI-Konsole

Erstellen Sie eine lokale ACL-Ausnahmeregel für den Dienst, die bestimmten Quell-IP-Adressen den Zugriff auf die Konsole aus der WAN-Zone ermöglicht.

Für zusätzliche Sicherheit können Sie Folgendes tun:

  • Konfigurieren Sie die Public-Key-Authentifizierung auf Verwaltung > Gerätezugriff.
  • Verwenden Sie Remote-Zugriff oder Site-to-Site-VPNs.
  • Verwenden Sie Remote-Access-Clients wie Sophos Transparent Authentication Suite (STAS).

Benutzerportal

Verwenden Sie für einen sicheren Zugriff von externen Netzwerken VPNs und befolgen Sie diese Best Practices:

  • Verwenden Sie Remote-Zugriff oder Site-to-Site-VPNs.
  • Verwenden Sie Remote-Access-Clients wie Sophos Transparent Authentication Suite (STAS).

Für einen sicheren Zugriff auf Basis von Benutzerkonten können Sie Folgendes tun:

Notiz

Die Firewall deaktiviert den Zugriff auf das Benutzerportal von allen WAN-Quellen, wenn 90 Tage in Folge keine erfolgreichen Anmeldungen aus der WAN-Zone erfolgen. Dies gilt für alle Bereitstellungen. Der Zugriff auf bestimmte WAN-IP-Adressen und Netzwerke über eine lokale Dienst-ACL-Ausnahmeregel ist hiervon nicht betroffen. Diese Quellen haben weiterhin Zugriff, auch wenn keine Anmeldungen erfolgen.

SSL-VPN-Port

Standardmäßig verwenden alle Verwaltungsdienste eindeutige Ports. SSL VPN ist auf TCP-Port 8443 eingestellt.

Warnung

Wir empfehlen dringend, für die auf dieser Seite aufgeführten Dienste eine eindeutige Port-Protokoll-Kombination zu verwenden. Verwaltung > GerätezugriffWenn Sie den Zugriff auf einen Dienst aus einer Zone aktivieren, aktivieren Sie ihn für die Port-Protokoll-Kombination des Dienstes. Dadurch bleiben andere Dienste, die denselben Port und dasselbe Protokoll verwenden, aus der Zone zugänglich, auch wenn Sie den Zugriff auf sie deaktivieren.

Angenommen, Sie ändern den Standardport des SSL-VPNs auf TCP 443, den Standardport des VPN-Portals, und erlauben den SSL-VPN-Zugriff über das WAN. Das VPN-Portal ist dann auch dann zugänglich, wenn Sie den Zugriff über das WAN deaktivieren.

Unsere Website benutzt Cookies, die für den technischen Betrieb der Website erforderlich sind und stets gesetzt werden. Andere Cookies, die den Komfort bei Benutzung dieser Website erhöhen, der Direktwerbung dienen oder die Interaktion mit anderen Websites und sozialen Netzwerken vereinfachen sollen, werden nur mit Ihrer Zustimmung gesetzt. Zur Datenschutzerklärung