Zugang zu lokalen Diensten aus Zonen
Mit der lokalen Dienst-ACL (Access Control List) steuern Sie den Zugriff von benutzerdefinierten und Standardzonen auf die Verwaltungsdienste der Firewall.
Die Standardkonfiguration der Zugriffskontrollliste finden Sie in der folgenden Tabelle. Der Zugriff auf die Dienste ist aus den aufgeführten Zonen zulässig.
| Leistungen | Zonen | Beschreibung |
|---|---|---|
| Verwaltungsdienste | UND W-lan | HTTPS: TCP-Port 4444 Ermöglicht den Zugriff auf die Webadministrationskonsole. SSH: TCP-Port 22 Ermöglicht den Zugriff auf die Befehlszeilenkonsole. |
| Authentifizierungsdienste | Keiner | AD SSO Ermöglicht die Benutzerauthentifizierung über Active Directory Single Sign-On (SSO) in den angegebenen Zonen. Wenn Sie AD SSO für alle Zonen deaktivieren, können Sie Kerberos oder NTLM nicht auf der Firewall verwenden. |
UND W-lan | Captive Portal: TCP-Port 8090 Durch das Deaktivieren des Captive Portals werden keine Benutzerbenachrichtigungen mehr angezeigt, beispielsweise Webfilter und Zero-Day-Benachrichtigungen. RADIUS SSO Kunden: STAS und SATC: UDP-Port 6060 CAA: TCP-Port 9922 Ermöglicht Benutzern in den angegebenen Zonen die Verwendung von STAS, SATC oder Client Authentication Agent (CAA). | |
| Keiner | Chromebook-SSO Ermöglicht die Authentifizierung von Benutzern und Clients in den angegebenen Zonen. | |
| Netzwerkdienste | UND VAN W-lan | Ping/Ping6 Ermöglicht Ping-Anfragen an die WAN-IP-Adresse der Firewall. |
UND W-lan | DNS Lässt DNS-Auflösungsanforderungen zu, wenn die Firewall der DNS-Server ist. | |
| VPN-Dienste | Keiner | IPsec Lässt IPsec-Verbindungen in den angegebenen Zonen zu. |
UND VAN DMZ W-lan | SSL VPN: TCP-Port 8443 Gehe zu Remote-Zugriff-VPN > SSL VPN > Globale SSL-VPN-Einstellungen um den Port zu ändern. Wir empfehlen, diesen Port nicht für andere Dienste zu verwenden. Selbst wenn Sie den WAN-Zugriff für andere lokale Dienste deaktivieren, bleiben diese über die WAN-Zone erreichbar, sofern sie den SSL-VPN-Port verwenden. | |
| Keiner | VPN-Portal: TCP-Port 443 Ermöglicht Benutzern den Zugriff auf das VPN-Portal in den angegebenen Zonen. Siehe VPN-Portal. | |
ROT Ermöglicht den Zugriff auf RED-Dienste in den angegebenen Zonen. | ||
| Weitere Dienstleistungen | Keiner | Drahtloser Schutz Ermöglicht Zugriffspunkten in diesen Zonen, eine Verbindung mit der Firewall herzustellen. Schalten Sie dies aus, wenn Sie Ihre Zugriffspunkte in Sophos Central verwalten. |
UND W-lan | Webproxy Ermöglicht direkten Proxy-Verkehr auf Port 3128. Die Firewall fungiert standardmäßig nicht nur als transparenter Proxy, sondern auch als direkter Proxy. Der Standardport für den direkten Proxy ist 3128. Sie können ihn ändern auf Web > Allgemeine Einstellungen. | |
| UND | Benutzerportal: TCP-Port 4443 Ermöglicht Benutzern den Zugriff auf das Benutzerportal aus dieser Zone. Wenn Sie Benutzern den Zugriff auf das Benutzerportal aus der WAN-Zone gestatten, kann dies die Sicherheit gefährden. | |
| Keiner | Dynamisches Routing Sendet und empfängt dynamische Routing-Updates aus den ausgewählten Zonen. | |
UND W-lan | SMTP-Relay Ermöglicht Hosts und Netzwerken aus diesen Zonen, die Firewall als Agent für die Übertragung eingehender und ausgehender E-Mails zu verwenden. | |
UND DMZ VPN W-lan | SNMP Wählen Sie die Zone aus, in der sich der SNMP-Server befindet. |