Zugang zu lokalen Diensten aus Zonen

Mit der lokalen Dienst-ACL (Access Control List) steuern Sie den Zugriff von benutzerdefinierten und Standardzonen auf die Verwaltungsdienste der Firewall.

Die Standardkonfiguration der Zugriffskontrollliste finden Sie in der folgenden Tabelle. Der Zugriff auf die Dienste ist aus den aufgeführten Zonen zulässig.

Leistungen	Zonen	Beschreibung
Verwaltungsdienste	UND W-lan	HTTPS: TCP-Port 4444 Ermöglicht den Zugriff auf die Webadministrationskonsole. SSH: TCP-Port 22 Ermöglicht den Zugriff auf die Befehlszeilenkonsole.
Authentifizierungsdienste	Keiner	AD SSO Ermöglicht die Benutzerauthentifizierung über Active Directory Single Sign-On (SSO) in den angegebenen Zonen. Wenn Sie AD SSO für alle Zonen deaktivieren, können Sie Kerberos oder NTLM nicht auf der Firewall verwenden.
UND W-lan	Captive Portal: TCP-Port 8090 Durch das Deaktivieren des Captive Portals werden keine Benutzerbenachrichtigungen mehr angezeigt, beispielsweise Webfilter und Zero-Day-Benachrichtigungen. RADIUS SSO Kunden: STAS und SATC: UDP-Port 6060 CAA: TCP-Port 9922 Ermöglicht Benutzern in den angegebenen Zonen die Verwendung von STAS, SATC oder Client Authentication Agent (CAA).
Keiner	Chromebook-SSO Ermöglicht die Authentifizierung von Benutzern und Clients in den angegebenen Zonen.
Netzwerkdienste	UND VAN W-lan	Ping/Ping6 Ermöglicht Ping-Anfragen an die WAN-IP-Adresse der Firewall.
UND W-lan	DNS Lässt DNS-Auflösungsanforderungen zu, wenn die Firewall der DNS-Server ist.
VPN-Dienste	Keiner	IPsec Lässt IPsec-Verbindungen in den angegebenen Zonen zu.
UND VAN DMZ W-lan	SSL VPN: TCP-Port 8443 Gehe zu Remote-Zugriff-VPN > SSL VPN > Globale SSL-VPN-Einstellungen um den Port zu ändern. Wir empfehlen, diesen Port nicht für andere Dienste zu verwenden. Selbst wenn Sie den WAN-Zugriff für andere lokale Dienste deaktivieren, bleiben diese über die WAN-Zone erreichbar, sofern sie den SSL-VPN-Port verwenden.
Keiner	VPN-Portal: TCP-Port 443 Ermöglicht Benutzern den Zugriff auf das VPN-Portal in den angegebenen Zonen. Siehe VPN-Portal.
ROT Ermöglicht den Zugriff auf RED-Dienste in den angegebenen Zonen.
Weitere Dienstleistungen	Keiner	Drahtloser Schutz Ermöglicht Zugriffspunkten in diesen Zonen, eine Verbindung mit der Firewall herzustellen. Schalten Sie dies aus, wenn Sie Ihre Zugriffspunkte in Sophos Central verwalten.
UND W-lan	Webproxy Ermöglicht direkten Proxy-Verkehr auf Port 3128. Die Firewall fungiert standardmäßig nicht nur als transparenter Proxy, sondern auch als direkter Proxy. Der Standardport für den direkten Proxy ist 3128. Sie können ihn ändern auf Web > Allgemeine Einstellungen.
UND	Benutzerportal: TCP-Port 4443 Ermöglicht Benutzern den Zugriff auf das Benutzerportal aus dieser Zone. Wenn Sie Benutzern den Zugriff auf das Benutzerportal aus der WAN-Zone gestatten, kann dies die Sicherheit gefährden.
Keiner	Dynamisches Routing Sendet und empfängt dynamische Routing-Updates aus den ausgewählten Zonen.
UND W-lan	SMTP-Relay Ermöglicht Hosts und Netzwerken aus diesen Zonen, die Firewall als Agent für die Übertragung eingehender und ausgehender E-Mails zu verwenden.
UND DMZ VPN W-lan	SNMP Wählen Sie die Zone aus, in der sich der SNMP-Server befindet.

Leistungen

Zonen

Beschreibung

Verwaltungsdienste

UND

W-lan

HTTPS: TCP-Port 4444

Ermöglicht den Zugriff auf die Webadministrationskonsole.

SSH: TCP-Port 22

Ermöglicht den Zugriff auf die Befehlszeilenkonsole.

Authentifizierungsdienste

Keiner

AD SSO

Ermöglicht die Benutzerauthentifizierung über Active Directory Single Sign-On (SSO) in den angegebenen Zonen.

Wenn Sie AD SSO für alle Zonen deaktivieren, können Sie Kerberos oder NTLM nicht auf der Firewall verwenden.

UND

W-lan

Captive Portal: TCP-Port 8090

Durch das Deaktivieren des Captive Portals werden keine Benutzerbenachrichtigungen mehr angezeigt, beispielsweise Webfilter und Zero-Day-Benachrichtigungen.

RADIUS SSO

Kunden:

STAS und SATC: UDP-Port 6060

CAA: TCP-Port 9922

Ermöglicht Benutzern in den angegebenen Zonen die Verwendung von STAS, SATC oder Client Authentication Agent (CAA).

Keiner

Chromebook-SSO

Ermöglicht die Authentifizierung von Benutzern und Clients in den angegebenen Zonen.

Netzwerkdienste

UND

VAN

W-lan

Ping/Ping6

Ermöglicht Ping-Anfragen an die WAN-IP-Adresse der Firewall.

UND

W-lan

DNS

Lässt DNS-Auflösungsanforderungen zu, wenn die Firewall der DNS-Server ist.

VPN-Dienste

Keiner

IPsec

Lässt IPsec-Verbindungen in den angegebenen Zonen zu.

UND

VAN

DMZ

W-lan

SSL VPN: TCP-Port 8443

Gehe zu Remote-Zugriff-VPN > SSL VPN > Globale SSL-VPN-Einstellungen um den Port zu ändern.

Wir empfehlen, diesen Port nicht für andere Dienste zu verwenden. Selbst wenn Sie den WAN-Zugriff für andere lokale Dienste deaktivieren, bleiben diese über die WAN-Zone erreichbar, sofern sie den SSL-VPN-Port verwenden.

Keiner

VPN-Portal: TCP-Port 443

Ermöglicht Benutzern den Zugriff auf das VPN-Portal in den angegebenen Zonen. Siehe VPN-Portal.

ROT

Ermöglicht den Zugriff auf RED-Dienste in den angegebenen Zonen.

Weitere Dienstleistungen

Keiner

Drahtloser Schutz

Ermöglicht Zugriffspunkten in diesen Zonen, eine Verbindung mit der Firewall herzustellen.

Schalten Sie dies aus, wenn Sie Ihre Zugriffspunkte in Sophos Central verwalten.

UND

W-lan

Webproxy

Ermöglicht direkten Proxy-Verkehr auf Port 3128.

Die Firewall fungiert standardmäßig nicht nur als transparenter Proxy, sondern auch als direkter Proxy. Der Standardport für den direkten Proxy ist 3128. Sie können ihn ändern auf Web > Allgemeine Einstellungen.

UND

Benutzerportal: TCP-Port 4443

Ermöglicht Benutzern den Zugriff auf das Benutzerportal aus dieser Zone.

Wenn Sie Benutzern den Zugriff auf das Benutzerportal aus der WAN-Zone gestatten, kann dies die Sicherheit gefährden.

Keiner

Dynamisches Routing

Sendet und empfängt dynamische Routing-Updates aus den ausgewählten Zonen.

UND

W-lan

SMTP-Relay

Ermöglicht Hosts und Netzwerken aus diesen Zonen, die Firewall als Agent für die Übertragung eingehender und ausgehender E-Mails zu verwenden.

UND

DMZ

VPN

W-lan

SNMP

Wählen Sie die Zone aus, in der sich der SNMP-Server befindet.