如何保護分散式網路基礎設施

Zyxel_Kenny
Zyxel_Kenny 文章數: 78  Zyxel Employee
First Comment Friend Collector Third Anniversary
防火牆 常見問題

後疫情時代,越來越多人轉為在家工作,人們上網和存取企業資源的方式已經永遠改變。隨著網路邊界不再固定於辦公室,為支持更靈活的工作模式,確保分散式網路基礎設施的安全已成為 IT 人員的一大挑戰。

提升網路基礎設施安全性的方法是透過安全設定來保護網路設備。管理員應採取以下建議來確保網路基礎設施的安全:

1.  限制遠端管理的安全設定

  • 如果可以,請禁用 HTTP、HTTPS、PING、SSH、SSL VPN 和 TELNET 服務對防火牆的存取。

        - 在 Web 介面中,前往 Configuration > Object > Service > Service Group,選擇 Default_Allow_WAN_To_ZyWALL,移除所有不必要的服務。

xp096vyfzn1a.png
  • 限制來自受信任主機的存取
    若允許遠端存取 Web 管理和 SSL VPN 服務,Zyxel 防火牆會自動掃描當前設備設定,並在發現安全風險後登入時顯示警告視窗。為減少攻擊:

  - 僅允許受信任主機/地區的存取。
將服務的監聽埠更改為非標準埠號。

7je8yh6q135g.png

2.  權限帳戶控制、監控與警示

  • 持續監控設備上的所有使用者帳戶。

        - 注意內建與自定義的使用者帳戶:
內建使用者帳戶:由設備建立,用於存取設備(如管理員帳戶)或輕鬆管理外部及訪客使用者(如 ad-users/ldap-users/radius-users/ua-users)。這些帳戶無法刪除。
自定義使用者帳戶:由設備管理員建立,可修改或刪除。

q0h564heau1w.png
  • 應持續監控和審查高權限帳戶,以辨識被盜憑證的外部人員。移除未使用或未授權的帳戶,並將管理員帳戶數量限制到最少。
    Zyxel 設備將本地管理員與其他使用者(本地使用者、外部使用者、受限管理員)分為兩個表格,便於簡化權限存取管理。本地管理員可設定並監控密碼到期日。

ba91t8zoppr1.png
  • 透過掃描使用者名稱或建立日期檢測可疑帳戶。如果在設備上發現任何未知帳戶,請審查並調整安全設定以確保網路安全。
0sa4o5rjisw2.png
  • 監控登入使用者
    Zyxel 設備提供登入使用者頁面,幫助管理員可輕鬆檢視當前登入使用者的資訊,例如使用者名稱、IP 位址、存取類型及實體位置。
       - 路徑:Monitor > System Status > Login Users
kv6h1rpozrb9.png
  • 設定可疑登入活動的Email警示
    Zyxel 設備也支援在使用者帳戶變更或發現可疑登入活動時發送Email警示。
     - 前往 Configuration > Log & Report > Log Settings,設定郵件伺服器、發件人及收件人Email。
i2zjq692q77v.png

 - 啟用 User log 類別的警示

8q57qiufyttv.png

這樣的警示可幫助管理員即時發現並處理潛在的安全威脅。

1gp1bcjak3td.png

 

3.  定期提醒管理員更換密碼

建議定期更換管理員帳戶密碼。不僅應強制要求本地管理員定期更換密碼,Zyxel 設備還能檢查新密碼是否符合密碼難度規定。
 - 路徑:Configuration > Object > User/Group > Setting

77eb18n2t0s0.png

本地管理員在登入時將收到有關上次密碼更換和到期日的通知。

tgmriejnmoci.png

4.  韌體升級推播與警示(安裝更新檔!)

保持基礎設施免受網路威脅一定要確保設備的韌體有更新到最新。

當有新的韌體版本可用時,Zyxel 設備會在 Web GUI 顯示通知圖示。您可以點擊該圖示查看優化的功能,然後再決定是否進行升級。 
 - 路徑:Maintenance > File Manager > Firmware Management

kwh6pj6y32iz.png
ur05mev3j9q9.png

5.  使用兩階段驗證 (2FA)

兩階段驗證是對認證過程的額外安全層級,能使攻擊者即使竊取了受害者的密碼,也更難取得網路存取權。啟用兩階段驗證後,使用者不僅需要輸入使用者名稱/密碼,還必須提交驗證碼才能進行存取。Zyxel 設備提供 2FA 支援本地管理員、本地使用者以及 VPN 存取。

  • 本地管理員和使用者可選擇 Google Authenticator 或Email/SMS 來接收驗證碼。
     - 路徑:Configuration > Object > User/Group > User
3in2z3hh23pc.png
  • 對於管理員,您可以為 Web、SSH 和 Telnet 存取應用兩階段驗證 (2FA)。
     - 路徑:Configuration > Object > Auth. Method > Two-factor Authentication
image.png
  • VPN 使用者可以透過電子郵件/SMS 獲得授權連結 URL 及驗證碼,用於 SSL、IPSec 和 L2TP/IPSec VPN 存取。
     - 路徑:Configuration > Object > Auth. Method > Two-factor Authentication
image.png

6.  備份設備設定

我們建議您定期安排設備設定的備份。透過備份配置檔,您可以在設備故障後迅速恢復網路設備的功能。

Zyxel 設備提供完全自動化的設定備份,並能在預定時間將運行中的設定備份通過Email發送。設備也可以將設定檔加密為 ZIP 檔案,並設置使用者定義的密碼進行保護。
 - 路徑:Maintenance > File Manager > Configuration File > Schedule Backup

image.png

您也可以手動選擇特定的設定檔進行下載或發送。
 - 路徑:Maintenance > File Manager > Configuration File > Configuration

image.png


7.  為設定檔加入私人加密金鑰

kh3mjqqj2csv.png

分類

Zyxel Help Center

EnglishTiếng ViệtРусскийไทย中文(台灣)