Важно известие: |
Серията защитни стени Zyxel предлага възможност за 2FA удостоверяване чрез SMS за VPN и администраторски достъп. Могат да се използват локални потребители на защитната стена, както и потребители на AD или Radius.
1. PORTAL eCall
2. Сървър за уведомяване
3. Двуфакторно удостоверяване на автентичността
4. Политика за сигурност
5. Инсталации на HTTPS
6. VPN шлюз
1. ПОРТАЛ НА ECALL
Акаунт в eCall може да бъде открит на адрес https://portal.ecall-messaging.com/ecall/. Откриването на акаунта се извършва за кратко време.
След като акаунтът бъде отворен, адресът на изпращача на защитната стена може да бъде въведен в менюто Интерфейси > Електронен интерфейс чрез бутона "Добавяне на адрес". Освен това трябва да се активира опцията "Разрешавам изпращането на съобщения по електронна поща чрез моя акаунт в eCall.".
Само за да знаете, че не са необходими допълнителни настройки.
Сървър за уведомяване
Конфигурация > Система > Известия
- Пощенски сървър
Първо, настройте сървър за електронна поща за изпращане на съобщения. Обикновено за изпращане се използва порт 587, както и TLS сигурност и STARTLS, ако е необходимо. Например, дали пощенският сървър е настроен правилно, може да се провери чрез изпращане на ежедневен отчет.
- SMS
Следните настройки могат да се използват за eCall:
| Разрешаване на SMS |
Активиране на |
| Код на държавата по подразбиране за телефонния номер: | 41 за Швейцария |
| Домейн на доставчика: | sms.ecall.ch |
| Автоматично добавяне към "mail to" | активиране на |
| Тема на пощата: | +$mobile_number$ |
| Поща от: | Имейл адресът се записва в портала eCall. В идеалния случай той е идентичен с адреса на електронната поща в настройките на пощенския сървър. |
| Поща до: | +$mobile_number$ |
Кодът на страната по подразбиране за телефонния номер" може да бъде и "0". Тогава обаче телефонният номер на потребителя трябва да бъде определен с префикс "+xx", например +41761234567.
- Настройки на потребителя
Конфигурация > Обект > Потребител/група > Потребител
Към потребителя се добавя мобилен номер във формат 0761234567.
Освен това се активира функцията 2FA.
Двуфакторно удостоверяване на автентичността
Конфигурация > Обект > Auth. Method > Two-factor Authentication > VPN Access
Функцията трябва да е включена като основно изискване. Впоследствие се определя за кого и за коя връзка трябва да бъде активна 2FA. "URL на оторизираната връзка" е адресът, определен в SMS съобщението. Достъпът отвън трябва да е възможен през посочения порт отвън. За eCall трябва да се използва опцията "Use Multilingual file" (Използване на многоезичен файл).
Шаблонният файл може да бъде получен и адаптиран чрез връзката за изтегляне.
След това файлът може да бъде зареден обратно в защитната стена.
Файлът трябва да съдържа заместителя
Могат да се използват следните заместващи символи:
Валидно време > Време, в което клиентът може да се удостовери.
Политика за сигурност
Конфигурация > Политика за сигурност > Контрол на политиката
Трябва да бъде създадена политика за сигурност за удостоверяване чрез 2FA
От: wan
Към: ZyWALL
Източник: може да бъде ограничен, ако е необходимо, например до Швейцария
Услуга: Wiz_2FA (портът се настройва динамично при промяна в менюто 2FA))
Действие: разрешаване
HTTPS Einstellungen
Конфигурация > Система > WWW > HTTPS > Контрол на потребителските услуги
За "User Service Control" (Контрол на потребителските услуги) трябва да бъде разрешен достъпът от зоната "WAN" или "ALL".
VPN шлюз
Конфигурация > VPN > IPSec VPN > VPN Gateway
За IPSec VPN (L2TP/IKEv1/IKEv2), 2FA трябва да бъде активирано в VPN шлюза.
Коментари
0 коментараВлезте в услугата, за да оставите коментар.