Как да си осигурим сигурен достъп (Remote Access) до Sophos XG

Owned by Vasilena Minkova (Unlicensed)
Last updated: Apr 27, 2020
4 min read

Тази статия описва стъпките за създаване на защитена връзка до устройството.

Отнася се за следните продукти и версии на Sophos 

Sophos Firewall 

 

Device access ви позволява да ограничите административния достъп до определени услуги от индивидуални и стандартни зони (LAN, WAN, DMZ, VPN, Wi-Fi).

1. Локална услуга Access Control List

По подразбиране, когато се свързва и включва за първи път, в Sophos XG има предифинирана ACL. Подробности за услугите и портовете може да видите по-долу. Кликнете, за да активирате или деактивирате услугите от посочените зони.

  • Admin services

LAN, Wi-Fi, WAN, DMZ и VPN зони: HTTPS (TCP порт 4444), Telnet (TCP порт 23) и SSH (TCP порт 22).

  • Authentication services

LAN и Wi-Fi зони: Client authentication (UDP порт 6060), captive portal authentication (TCP порт 8090) и RADIUS SSO.

  • Network services

LAN, WAN, и Wi-Fi зони: Ping/Ping6 и DNS

  • Other services

LAN и Wi-Fi зони: Wireless protection, web proxy and SMTP relay.

LAN, WAN, DMZ и Wi-Fi зони: SSL VPN (TCP порт 8443).

LAN и WAN зони: User portal and dynamic routing.

LAN, DMZ, VPN и Wi-Fi зони: SNMP.

Забележка: Услугите за удостоверяване на потребителя са необходими, за да се прилагат ограничения за интернет сърфиране, пренос на данни и др.

 

2. Конфигуриране на Access Control List

Използвайте ACL за разрешаване на достъпа до различни услуги на Sophos XG за определена мрежа или хост.

1.Отидете в Administration > Device access и кликнете върху Add под Local service ACL exception rule.

2. Въведете име.

3. Изберете Rule position.

4. Въведете описание.

5. Изберете IP version от изброените опции:

  • IPv4

  • IPv6

 

6. Изберете Source zone, за която ще важи правилото.

7. Кликнете върху Add new item и изберете source хост (въз основа на мрежа, IP адрес, обхват или списък), към които ще се прилага правилото. Кликнете върху Create new, за да създадете нова source мрежа или хост.

8. Кликнете върху Add new item и изберете IP адреса или interface-based destination hosts, към който ще се прилага правилото. Кликнете върху Create new, за да създадете нова destination мрежа или хост.

Определянето на destination хост ви позволява контрол на достъпа до услуга (пр. потребителски портал), с ограничен набор от destination IP адреси.

 

9. Кликнете върху Add new item и изберете услуги, за които да се прилага правилото:

  • HTTPS

  • Telnet

  • SSH

  • Web proxy

  • DNS

  • Ping/Ping6

  • SSL VPN

  • User portal

  • Dynamic routing

 

10. Изберете Action.

  • Accept

  • Drop

 

11. Кликнете върху Save.

 

3. Конфигуриране на сигурен отдалечен достъп ( Remote Access ) до устройството 

  1. За целта се навигира до Administration > Device Access > Custom ACL > Add:

  • Rule position: TOP

  • Source Zone: WAN

  • Source Network: Вашето публично IP ( конкретен публичен IP адрес, списък с адреси или цяла мрежа ).

Може да се ограничи достъпа и до конкретни публични IP адреси, базирани на геолокация. Например, при избиране на Bulgaria, достъпа ще бъде разрешен единствено на IP адреси от България). Въпреки това, нашите препоръки са винаги да описвате конкретни публични IP адреси, които да имат достъп до устройството.

 

  • Destination host: Физическия порт, на който е конфигуриран публичния адрес (Например Port2).

  • Services: Услугите, до които искате да осигурите достъп Най-често за администриране се използва уеб портала (HTTPS) и конзолен достъп (SSH).

  • Action: Accept.

(кликнете тук, за да видите изображението в пълен размер)

 

4. Конфигуриране на сигурен достъп ( Remote Access ) до потребителския портал

  1. За целта се навигира до Administration > Device Access > Custom ACL > Add:

  • Rule position: TOP

  • Source Zone: WAN

  • Source Network: Bulgaria

  • Destination host: Физическия порт, на който е конфигуриран публичния адрес (Например Port2).

  • Services: Услугите, до които искате да осигурите достъп. В конкретния пример - User Portal

  • Action: Accept.

(кликнете тук, за да видите изображението в пълен размер)

 

След като конфигурирате достъпите до администраторския и потребителски портал на Sophos XG, изключете глобалните настройки за HTTPS, SSH и User Portal от WAN зоната.

  1. Отидете в Administration > Device Access

  2. Премахнете отметките на HTTPS, SSH и User Portal от WAN зоната.

(кликнете тук, за да видите изображението в пълен размер)

 

За други възможности позволяващи сигурна отделечна администрация прегледайте статиите:

5. Как да активирате Sophos Central Management

6. Как да конфигурирате Sophos Connect Client

 

Свързани материали