Changes between Version 1 and Version 2 of ZyfwUsgConfig


Ignore:
Timestamp:
Aug 9, 2020, 2:30:53 PM (5 years ago)
Author:
Johannes Lode
Comment:

--

Legend:

Unmodified
Added
Removed
Modified

  • ZyfwUsgConfig

    v1 v2  
    33[[PageOutline(2-6)]]
    44
     5== Wesentliche Einstellungen
     6
     7 DNS:: \\
    58> es können //leider// nur 8 DNS-Resolver zum forwarding eingetragen werden (die !ZyWall 2plus kann immerhin 14)
     9
     10 Session Control:: Zugriffspfad: `Configuration->Security Policy->Session Control` \\ Haken setzen bei Einstellung `Enable Session Limit`, an der Seiten-Unterkannte `Apply` drücken
     11
     12 statische Routen:: //leider// sind keine Namen möglich, max 128 Einträge, `zysh` Kommandos:
     13   * zwbvpn: `ip route 172.18.205.0 255.255.255.0 172.16.0.22`
     14   * zwb Verw : `ip route 192.168.0.0 255.255.255.0 172.16.0.22`
     15   * zwb web br: `ip route 192.168.40.0 255.255.255.0 172.16.0.22`
     16   * zwb virbr: `ip route 192.168.42.0 255.255.255.0 172.16.0.22`
     17   * zwb intr: `ip route 192.168.100.0 255.255.255.0 172.16.0.22`
     18   * mt-nest: `ip route 10.0.0.0 255.0.0.0 172.16.0.22`
     19   * tinc vpn: `ip route 172.16.11.0 255.255.255.0 172.16.0.22`
     20
    621
    722== Konfiguration absichern gegen Zugriffe von außen
     
    1025   FTP:: Policy mit `deny ALL` und davor `Zugriff nur für LAN1`
    1126   SSH:: Policy mit `deny ALL` und davor `Zugriff nur für LAN1`
    12    WWW:: !http:// (Port 80) abschalten \\ !https:// umstellen auf Port 2443, damit Port 443 für Server-Betrieb frei bleibt, \\ Security-Policy erstellen mit `deny ALL` und davor `Zugriff nur für LAN1`,  \\ evtl. reicht die Policy schon aus, um das WAN-Serverport frei zu machen, aber ggf. werden SSL VPN Applikationen gewünscht, welche dann ebenfalls über den SSL-Port der ZyWALL gehen und dann doch den WAN-Port blockieren.
     27   WWW:: !http:// (Port 80) abschalten \\ !https:// umstellen auf Port 2443, damit Port 443 für Server-Betrieb frei bleibt, \\ Security-Policy erstellen mit `deny ALL` und davor `Zugriff nur für LAN1`,  \\ evtl. reicht die Policy schon aus, um das WAN-Serverport frei zu machen, aber ggf. werden SSL VPN Applikationen gewünscht, welche dann ebenfalls über den SSL-Port der ZyWALL gehen und dann doch den WAN-Port blockieren. \\ An der Seiten-Unterkannte `Apply` drücken.
    1328   Admin-Passwort, Admin-User:: über das Web-Interface unter `Configuration->Object->User/Group` den Admin-User `admin` editieren und dort das Passwort ändern oder über die serielle Console/SSH/Web-Console mit folgenden Befehlen das Passwort ändern:
    1429{{{
     
    1833Router# _
    1934}}}
    20    
     35   Security-Policies:: Unter `Configuration->Security Policy->Policy Control` den Haken bei `Enable Policy Control` setzen und alle nicht benötigten Policies abschalten, initial sinnvoll erscheinen folgende (welche nicht abgeschaltet werden):
     36      * `Default` auf `deny` setzen (nicht abschaltbar)
     37      * `LAN1_Outgoing`
     38      * `LAN1_to_Device`
     39      * `Guest_Outgoing`
     40   an der Seiten-Unterkannte `Apply` drücken