如何加強防火牆資訊安全,預防資安事件的威脅

Zyxel小編 Corey
Zyxel小編 Corey 文章數: 197  Zyxel Employee
First Answer First Comment Friend Collector Fifth Anniversary
已編輯 十一月 2022 防火牆 常見問題



  • 定期變更具有管理員權限帳號 (admin-type) 的密碼
        我們強烈建議您定期變更所有具有管理員權限帳號的密碼,達到更好的保護。 


        重複輸入兩次新的密碼,點選ok即可完成變更。




  • 若您需要透過網際網路或SSL VPN 通道連接防火牆網頁進行設備管理,建議依照以下步驟保護您的設備。

1.     新增信任的外部 IP 位址,或是受信任的國家位址,並於接下來設定的防火牆規則套用此限制

Configuration > Object > Address/GeoIP

  



2.     新增設備的管理頁面或SSL VPN 服務 Port 的物件(物件 --> 服務 ),並於接下來設定的防火
        牆規則套用此限制 (此範例將對管理頁面所使用的 Port 號由預設的 443 改為 17443 以減少探
        測攻擊的風險)

        您可視管理需要修改,變更的 Port 號不能與其他有使用的 Port 號衝突,建議使用 49152到
        65535 範圍

     


3.     新增防火牆規則,只允許信任的來源 IP 連接防火牆,並封鎖其他流量。

        第一條防火牆規則 : 設定允許外部網路連接的來源 IP 位址以及網頁管理介面及SSL VPN 服務
        Port 號

        第二條防火牆規則 : 封鎖所有往防火牆的網頁管理介面及SSL VPN 服務 Port 號

Configuration > Security Policy > Policy Control


        規則順序請勿錯置,如需調整規則順序可使用工具列的 " 移動 " 調整
        點選要移動的規則,再點選"移動",輸入要希望移動的規則順序編號後,按下 Enter 即可調整規
        則優先順序(以下為調整範例,若您的規則順序無誤則無須進行此動作)


        調整優先順序完成




4.     將防火牆預設值 HTTPS 443 Port 改為前面步驟修改的 Port 號 17443

        修改 Port 號之前,請確認是否已設定好上一個步驟的防火牆規則,否則外網將無法連入防火牆
        網頁管理介面

 Configuration > System > WWW. Change HTTPS connection port. e.g 17443


        防火牆 HTTPS 服務 Port 變更完成後,後續要連接防火牆時請在網址後方加入" :17443 ",使
        用新的 Port 登入防火牆,例如 : https://防火牆IP位址:17443


        SSL VPN 連線也需要在IP位址後方加入 :17443

        請確保您的外部 IP 位址在前面步驟設定的防火牆規則內,否則將無法成功連接。




  • 若無需透過外部網路連接防火牆管理介面/SSL VPN通道,則只需要檢查防火牆規則是否有啟用防火牆 HTTPS/HTTP 的服務即可。
        防火牆規則預設值會封鎖所有不允許的服務之流量。

        (預設值僅允許提供 IPSec VPN/VRRP/GRE 服務,建議保留設定)