Bewährte Verfahren
Wir empfehlen nicht, den Zugriff auf die Web-Administrationskonsole (HTTPS), die CLI-Konsole (SSH) und das Benutzerportal aus der WAN-Zone zu gestatten.
Notiz
Die Ports für das Benutzerportal und die Web-Administrationskonsole dürfen nicht für andere Dienste verwendet werden.
Web-Administrationskonsole
Der Zugriff auf die Web-Administrationskonsole kann nicht von allen WAN-Quellen aus zugelassen werden. Falls Sie den Zugriff gewähren müssen, beachten Sie bitte folgende Best Practices:
-
Erstellen Sie eine lokale Service-ACL-Ausnahmeregel, die es bestimmten Quell-IP-Adressen erlaubt, von der WAN-Zone aus auf die Konsole zuzugreifen.
Die Regel kann nicht erstellt werden, wenn das Quellnetzwerk auf festgelegt ist. Beliebig oder die Quell-IP-Adresse auf 0.0.0.0 zu setzen, da die Firewall den Zugriff auf die Web-Administrationskonsole nicht von allen WAN-Quellen zulässt.
-
Nutzen Sie Sophos Central.
- Nutzen Sie Fernzugriff oder Site-to-Site-VPNs.
- Verwenden Sie Remote-Access-Clients wie die Sophos Transparent Authentication Suite (STAS).
Notiz
Wenn Sie in einer früheren Version den Zugriff erlaubt haben, deaktiviert die Firewall diesen, falls 90 Tage lang keine erfolgreichen Anmeldungen aus der WAN-Zone erfolgen. Dies gilt für alle Bereitstellungen. Der Zugriff auf bestimmte WAN-IP-Adressen und Netzwerke über eine lokale Dienst-ACL-Ausnahmeregel ist davon nicht betroffen. Diese Quellen behalten ihren Zugriff auch ohne Anmeldungen.
CLI-Konsole
Erstellen Sie eine lokale Service-ACL-Ausnahmeregel, die es bestimmten Quell-IP-Adressen erlaubt, von der WAN-Zone aus auf die Konsole zuzugreifen.
Zur zusätzlichen Sicherheit können Sie eine der folgenden Maßnahmen ergreifen:
- Konfigurieren Sie die Public-Key-Authentifizierung auf Verwaltung > Gerätezugriff.
- Nutzen Sie Fernzugriff oder Site-to-Site-VPNs.
- Verwenden Sie Remote-Access-Clients wie die Sophos Transparent Authentication Suite (STAS).
Benutzerportal
Für einen sicheren Zugriff von externen Netzwerken verwenden Sie VPNs und befolgen Sie diese bewährten Vorgehensweisen:
- Nutzen Sie Fernzugriff oder Site-to-Site-VPNs.
- Verwenden Sie Remote-Access-Clients wie die Sophos Transparent Authentication Suite (STAS).
Für einen sicheren Zugriff basierend auf Benutzerkonten können Sie Folgendes tun:
- Verwenden Sie für Benutzerkonten, die auf der Sophos Firewall gespeichert sind, die Multi-Faktor-Authentifizierung (MFA) mit Einmalpasswörtern. Siehe Einstellungen für die Multi-Faktor-Authentifizierung (MFA).
- Nutzen Sie die von externen Verzeichnisdiensten bereitgestellten MFA-Optionen.
Notiz
Die Firewall deaktiviert den Zugriff auf das Benutzerportal von allen WAN-Quellen, wenn 90 Tage in Folge keine erfolgreichen Anmeldungen aus der WAN-Zone erfolgen. Dies gilt für alle Bereitstellungen. Der Zugriff auf bestimmte WAN-IP-Adressen und Netzwerke, der über eine lokale Dienst-ACL-Ausnahmeregel gewährt wird, ist davon nicht betroffen. Diese Quellen behalten ihren Zugriff auch bei fehlenden Anmeldungen.
SSL-VPN-Port
Standardmäßig verwenden alle Verwaltungsdienste eindeutige Ports. SSL-VPN ist auf TCP-Port 8443 eingestellt.
Warnung
Wir empfehlen dringend, für die aufgeführten Dienste eine eindeutige Port-Protokoll-Kombination zu verwenden. Verwaltung > Gerätezugriff: Wenn Sie den Zugriff auf einen Dienst aus einer Zone aktivieren, wird er für die Port-Protokoll-Kombination dieses Dienstes aktiviert. Daher sind andere Dienste, die denselben Port und dasselbe Protokoll verwenden, aus der Zone erreichbar, selbst wenn Sie den Zugriff auf diese Dienste deaktivieren.
Angenommen, Sie ändern den Standardport des SSL-VPN auf TCP 443, den Standardport des VPN-Portals, und erlauben den SSL-VPN-Zugriff aus dem WAN. Das VPN-Portal ist dann auch dann erreichbar, wenn Sie den Zugriff aus dem WAN deaktivieren.