如何加強防火牆資訊安全,預防資安事件的威脅
Zyxel Employee
- 定期變更具有管理員權限帳號 (admin-type) 的密碼
重複輸入兩次新的密碼,點選ok即可完成變更。
- 若您需要透過網際網路或SSL VPN 通道連接防火牆網頁進行設備管理,建議依照以下步驟保護您的設備。
1. 新增信任的外部 IP 位址,或是受信任的國家位址,並於接下來設定的防火牆規則套用此限制
Configuration > Object > Address/GeoIP
2. 新增設備的管理頁面或SSL VPN 服務 Port 的物件(物件 --> 服務 ),並於接下來設定的防火
牆規則套用此限制 (此範例將對管理頁面所使用的 Port 號由預設的 443 改為 17443 以減少探
測攻擊的風險)
您可視管理需要修改,變更的 Port 號不能與其他有使用的 Port 號衝突,建議使用 49152到
65535 範圍
3. 新增防火牆規則,只允許信任的來源 IP 連接防火牆,並封鎖其他流量。
第一條防火牆規則 : 設定允許外部網路連接的來源 IP 位址以及網頁管理介面及SSL VPN 服務
Port 號
第二條防火牆規則 : 封鎖所有往防火牆的網頁管理介面及SSL VPN 服務 Port 號
Configuration > Security Policy > Policy Control
規則順序請勿錯置,如需調整規則順序可使用工具列的 " 移動 " 調整
點選要移動的規則,再點選"移動",輸入要希望移動的規則順序編號後,按下 Enter 即可調整規
則優先順序(以下為調整範例,若您的規則順序無誤則無須進行此動作)
調整優先順序完成
4. 將防火牆預設值 HTTPS 443 Port 改為前面步驟修改的 Port 號 17443
修改 Port 號之前,請確認是否已設定好上一個步驟的防火牆規則,否則外網將無法連入防火牆
網頁管理介面
Configuration > System > WWW. Change HTTPS connection port. e.g 17443
防火牆 HTTPS 服務 Port 變更完成後,後續要連接防火牆時請在網址後方加入" :17443 ",使
用新的 Port 登入防火牆,例如 : https://防火牆IP位址:17443
SSL VPN 連線也需要在IP位址後方加入 :17443
請確保您的外部 IP 位址在前面步驟設定的防火牆規則內,否則將無法成功連接。
- 若無需透過外部網路連接防火牆管理介面/SSL VPN通道,則只需要檢查防火牆規則是否有啟用防火牆 HTTPS/HTTP 的服務即可。
(預設值僅允許提供 IPSec VPN/VRRP/GRE 服務,建議保留設定)
