強化網路安全:如何在 USG Flex H 系列防火牆啟用憑證登入
Zyxel Employee
前言
現代網路對外連線已經無法缺少標準的網路安全設備「防火牆」。防火牆不僅肩負對外阻擋惡意流量入侵的重責大任,對內更可以提供 DHCP 服務派發 IP 位址或管理無線基地台等功能,是維護網路環境安全的關鍵設備。
為了確保防火牆管理介面的安全性,除了傳統的帳號密碼與雙因素驗證 (2FA) 外,還可以導入更強大的安全機制 - "憑證" 驗證。憑證驗證透過數位簽章和加密技術,提供更嚴格的身份驗證,有效防止未經授權的存取,進一步提升防火牆的安全性。
什麼是憑證登入?
憑證登入是一種比傳統帳號密碼更安全的網路設備管理方式。它使用數位憑證(包含公鑰和私鑰)來驗證用戶身份。
優點:
- 安全性更高: 憑證登入可以有效防止密碼被竊取或暴力破解。
- 管理更方便: 不需要記住複雜的密碼,減少密碼管理的負擔。
總結:
憑證登入是一種更安全、更方便的網路設備管理方式。它利用公鑰和私鑰的加密機制來驗證用戶身份,提供比傳統帳號密碼更高的安全性。
如何運作?
- 產生憑證: 您需要先生成一對憑證(公鑰和私鑰)。公鑰會上傳到網路設備,私鑰則安全地保存在您的電腦或其他設備上。
- 登入: 當您嘗試登入網路設備時,設備會向您發送挑戰訊息。您的電腦使用私鑰對挑戰訊息進行簽名。
- 驗證: 網路設備使用預先上傳的公鑰來驗證簽名。如果驗證成功,您就被允許登入。
防火牆憑證登入設定教學
這次我們使用 USG Flex 100H 教大家使用最簡單的一種 "自簽憑證"
步驟一、前往設定位置
首先,使用一般登入方式進入 USG Flex 100H 防火牆管理介面,然後按照以下路徑進行設定:
系統 > 憑證
步驟二、憑證
會在頁面看到設備上已經有一個預設憑證
步驟三、新增一個憑證
點擊新增後會出現對話框, 依照設備本身環境設定需要的參數
設定完成後, 點 "套用" 儲存設定, 會看到新增的憑證列表在下方
步驟四、匯出憑證
接下來點剛剛新增的憑證, 選擇 "匯出".
先說明一下, 等會兒我們需要將這個新建立的憑證匯出兩次
一個是無須建立密碼的憑證給 USG Flex100H 使用,
另一個是需要建立密碼給瀏覽器使用
請參考以下步驟, 匯出無須建立密碼的憑證
這個是給瀏覽器使用的請建立密碼
現在我們有兩個檔案. 名稱分別是
USGFLEX100.pfx (有設定密碼的)
USGFLEX100.crt (沒有設定密碼的)
接下來是修改檔案名稱
USGFLEX100.pfx > USGFLEX100.p12
USGFLEX100.crt > USGFLEX100.cer
步驟五、憑證匯入防火牆
將 USGFLEX100.cer 匯入防火牆匯入到以下位置
系統 > 憑證 > 受信任憑證
匯入
完成
步驟六、啟用憑證驗證
啟用防火牆的登入檢查憑證功能
系統 > 設定 > 開啟 "驗證用戶端憑證"
步驟七、憑證匯入瀏覽器
將 USGFLEX100.pfx 匯入瀏覽器, 這邊以 Firefox 為例, 每個防火牆的位置大同小異, 請自行尋找
Firefox > 隱私權與安全性 > 憑證 > 檢視憑證
選擇你的憑證頁籤匯入
輸入稍早建立憑證時候的密碼
使用 Firefox 登入防火牆 https://192.168.168.1, 會看到瀏覽器跳出憑證訊息, 上面有顯示剛剛建立憑證的時候所輸入的參數
步驟八、測試結果
確認憑證後, 再輸入帳號與密碼就可以正常登入
使用另外一台沒有憑證的瀏覽器想要登入防火牆會被阻擋!
以上就是簡單的 "自簽憑證設定", 謝謝觀看
P.S.一起加入 Zyxel Taiwan 官方 FB 會有更多好康與QA唷
