Appliance-Zugriff

Appliance-Zugriff ermöglicht es Ihnen, den administrativen Zugriff zu bestimmten Diensten von selbstdefinierten oder Standard-Zonen (LAN, WAN, DMZ, VPN, WLAN) zu beschränken.

  1. Zugriffssteuerungsliste (ZSL) für lokale Dienste Die Appliance enthält eine Standard-ZSL (Zugriffskontrollliste), wenn sie zum ersten Mal verbunden und angeschaltet wird. Details der Standarddienste und Ports finden Sie unten. Aktivieren oder deaktivieren Sie Zugriff auf die Dienste von bestimmten Zonen aus.
    Anmerkung Standardmäßig sind alle Dienste so konfiguriert, dass eindeutige Ports verwendet werden.
    Warnung Wenn Sie die Standardports manuell ändern, wird dringend empfohlen, für jeden Dienst einen eindeutigen Port zu verwenden. Dadurch wird sichergestellt, dass Dienste nicht von der WAN-Zone aus zugänglich sind, wenn sie deaktiviert wurden. Beispiel: Wenn Sie Port 443 sowohl für das Benutzerportal als auch für SSL-VPN verwenden, ist der Zugriff auf das Benutzerportal über die WAN-Zone möglich.
    Tabelle 1. Admin-Dienste

    Zone

    HTTPS

    (TCP-Port 4444)

    SSH

    (TCP-Port 22)

    LAN

    Aktiv-Statusanzeige

    Aktiv-Statusanzeige

    WAN

    Aktiv-Statusanzeige

    Aktiv-Statusanzeige

    WLAN

    Aktiv-Statusanzeige

    Aktiv-Statusanzeige

    Admin-Dienste
    LAN- und WLAN-Zonen: HTTPS (TCP-Port 4444) and SSH (TCP-Port 22)
    WAN-Zone: HTTPS (TCP-Port 443) and SSH (TCP-Port 22)
    Authentifizierungsdienste
    LAN- und WLAN-Zonen: Client-Authentifizierung (UDP-Port 6060), Captive-Portal-Authentifizierung (TCP-Port 8090), Active Directory SSO und RADIUS SSO.
    Netzwerkdienste
    LAN-, WAN und WLAN-Zonen: Ping/Ping6 und DNS
    Andere Dienste
    LAN- und WLAN-Zonen: Web-Proxy und SMTP-Relay
    LAN-, WAN-, DMZ- und WLAN-Zonen: SSL-VPN (TCP-Port 8443)
    LAN- und WAN-Zonen: Benutzerportal und dynamisches Routing
    LAN-, DMZ-, VPN- und WLAN-Zonen: SNMP
    Anmerkung Benutzerauthentifizierungsdienste sind für erforderlich, um Beschränkungen auf Basis von Benutzern bei Internetnutzung, Bandbreite und Datenübertragung zu ermöglichen. Diese sind nicht für administrative Funktionen erforderlich.
  2. ZSL-Ausnahmeregel für lokale Dienste: Sie können den Zugriff auf administrative Dienste der Appliance von bestimmten Netzwerken/Hosts aus erlauben. Eine Liste mit allen Regeln wird angezeigt.
    Anmerkung
    Wenn Sie ein Upgrade von SFOS v15 nach v16 durchführen:
    • Wenn HTTP in SFOS v15 aktiviert wurde, werden alle HTTP-Anfragen nach HTTPS umgeleitet.
    • HTTP-Regeln, in denen die Maßnahme auf Verwerfen eingestellt ist, werden gelöscht.
  3. Standard-Admin-Kennworteinstellungen:
    1. Ändern Sie das Standard-Kennwort sobald Sie die Appliance in Betrieb nehmen.
      Anmerkung Die Appliance wird mit einem Standard-Super-Admin mit dem Wort admin als Benutzername und Kennwort ausgeliefert. Mit diesen Zugangsdaten können Sie auf die Web-Admin-Oberfläche und CLI zugreifen. Dieser Administrator wird lokal authentifiziert, also über die Appliance.
    2. Klicken Sie auf Auf Standard zurücksetzen um das Standard-Kennwort wiederherzustellen.
  4. Administrator-Authentifizierung mit öffentlichem Schlüssel
    1. Aktivieren Sie Authentifizierung mit öffentlichem Schlüssel für Administrator um Zugriff zur Kommandozeile (CLI) mit dem SSH-Schlüssel zu erlauben.
      Anmerkung Nur Administratoren und der Support können einen SSH-Anmeldeschlüssel ohne Authentifizierung hinzufügen. Alle Benutzer müssen ein Kennwort bei der Authentifizierung vorweisen, bevor sie einen SSH-Schlüssel hinzufügen können.
    2. Fügen Sie die Liste Autorisierte Schlüssel für den Administrator hinzu. Erzeugen Sie diese SSH-Schlüssel mithilfe von SSH-Client-Werkzeugen (z.B.: PuTTY).