強化網路安全:如何在 USG Flex H 系列防火牆啟用憑證登入

Zyxel小編 YM
Zyxel小編 YM 文章數: 179  Zyxel Employee
Zyxel Certified Network Engineer Level 2 - WLAN Zyxel Certified Network Engineer Level 2 - Switch Zyxel Certified Network Engineer Level 2 - Security Zyxel Certified Network Engineer Level 2 - Nebula
已編輯 9月 11 日 防火牆 常見問題

前言

現代網路對外連線已經無法缺少標準的網路安全設備「防火牆」。防火牆不僅肩負對外阻擋惡意流量入侵的重責大任,對內更可以提供 DHCP 服務派發 IP 位址或管理無線基地台等功能,是維護網路環境安全的關鍵設備。

為了確保防火牆管理介面的安全性,除了傳統的帳號密碼與雙因素驗證 (2FA) 外,還可以導入更強大的安全機制 - "憑證" 驗證。憑證驗證透過數位簽章和加密技術,提供更嚴格的身份驗證,有效防止未經授權的存取,進一步提升防火牆的安全性。

什麼是憑證登入?

憑證登入是一種比傳統帳號密碼更安全的網路設備管理方式。它使用數位憑證(包含公鑰和私鑰)來驗證用戶身份。

優點:

  • 安全性更高: 憑證登入可以有效防止密碼被竊取或暴力破解。
  • 管理更方便: 不需要記住複雜的密碼,減少密碼管理的負擔。

總結:

憑證登入是一種更安全、更方便的網路設備管理方式。它利用公鑰和私鑰的加密機制來驗證用戶身份,提供比傳統帳號密碼更高的安全性。

如何運作?

  1. 產生憑證: 您需要先生成一對憑證(公鑰和私鑰)。公鑰會上傳到網路設備,私鑰則安全地保存在您的電腦或其他設備上。
  2. 登入: 當您嘗試登入網路設備時,設備會向您發送挑戰訊息。您的電腦使用私鑰對挑戰訊息進行簽名。
  3. 驗證: 網路設備使用預先上傳的公鑰來驗證簽名。如果驗證成功,您就被允許登入。

防火牆憑證登入設定教學

這次我們使用 USG Flex 100H 教大家使用最簡單的一種 "自簽憑證"

步驟一、前往設定位置

首先,使用一般登入方式進入 USG Flex 100H 防火牆管理介面,然後按照以下路徑進行設定:

系統 > 憑證

步驟二、憑證

會在頁面看到設備上已經有一個預設憑證

步驟三、新增一個憑證

點擊新增後會出現對話框, 依照設備本身環境設定需要的參數

設定完成後, 點 "套用" 儲存設定, 會看到新增的憑證列表在下方

步驟四、匯出憑證

接下來點剛剛新增的憑證, 選擇 "匯出".

先說明一下, 等會兒我們需要將這個新建立的憑證匯出兩次

一個是無須建立密碼的憑證給 USG Flex100H 使用,

另一個是需要建立密碼給瀏覽器使用

請參考以下步驟, 匯出無須建立密碼的憑證

這個是給瀏覽器使用的請建立密碼

現在我們有兩個檔案. 名稱分別是

USGFLEX100.pfx (有設定密碼的)

USGFLEX100.crt (沒有設定密碼的)

接下來是修改檔案名稱

USGFLEX100.pfx > USGFLEX100.p12
USGFLEX100.crt > USGFLEX100.cer

步驟五、憑證匯入防火牆

將 USGFLEX100.cer 匯入防火牆匯入到以下位置

系統 > 憑證 > 受信任憑證

匯入

完成

步驟六、啟用憑證驗證

啟用防火牆的登入檢查憑證功能

系統 > 設定 > 開啟 "驗證用戶端憑證"

步驟七、憑證匯入瀏覽器

將 USGFLEX100.pfx 匯入瀏覽器, 這邊以 Firefox 為例, 每個防火牆的位置大同小異, 請自行尋找

Firefox > 隱私權與安全性 > 憑證 > 檢視憑證

選擇你的憑證頁籤匯入

輸入稍早建立憑證時候的密碼

使用 Firefox 登入防火牆 https://192.168.168.1, 會看到瀏覽器跳出憑證訊息, 上面有顯示剛剛建立憑證的時候所輸入的參數

步驟八、測試結果

確認憑證後, 再輸入帳號與密碼就可以正常登入

使用另外一台沒有憑證的瀏覽器想要登入防火牆會被阻擋!

以上就是簡單的 "自簽憑證設定", 謝謝觀看

P.S.一起加入 Zyxel Taiwan 官方 FB 會有更多好康與QA唷