Важное уведомление: |
Серия брандмауэров Zyxel предлагает возможность аутентификации 2FA через SMS для VPN и доступа администратора. Можно использовать как локальных пользователей брандмауэра, так и пользователей AD или Radius.
1. PORTAL eCall
2. Сервер уведомлений
3. Двухфакторная аутентификация
4. Политика безопасности
5. HTTPS Einstellungen
6. VPN-шлюз
1. ПОРТАЛ ECALL
Счет eCall можно открыть на сайте https://portal.ecall-messaging.com/ecall/. Открытие счета занимает немного времени.
После открытия учетной записи адрес отправителя межсетевого экрана можно ввести в разделе Интерфейсы > Интерфейс электронной почты с помощью кнопки "Добавить адрес". Кроме того, необходимо активировать опцию "Я разрешаю отправлять сообщения по электронной почте через мой аккаунт eCall.".
Дополнительные настройки не требуются.
Сервер уведомлений
Конфигурация > Система > Уведомление
- Почтовый сервер
Сначала настройте сервер электронной почты для отправки писем. Обычно для отправки используется порт 587, а также защита TLS и STARTLS при необходимости. Например, правильность настройки почтового сервера можно проверить, отправив ежедневный отчет.
- SMS
Для eCall можно использовать следующие настройки:
| Включить SMS |
активировать |
| Код страны по умолчанию для телефонного номера: | 41 для Швейцарии |
| Домен провайдера: | sms.ecall.ch |
| Автоматическое добавление в "почту для" | активировать |
| Тема письма: | +$номер_мобильного_телефона$ |
| Почта от: | Адрес электронной почты, записанный на портале eCall. В идеале он должен совпадать с адресом электронной почты в настройках почтового сервера. |
| Mail To: | +$mobile_number$ |
Кодом страны по умолчанию для номера телефона" также может быть "0". Однако тогда номер телефона пользователя должен быть задан с префиксом "+xx", например +41761234567.
- Настройки пользователя
Конфигурация > Объект > Пользователь/Группа > Пользователь
Пользователю добавляется номер мобильного телефона в формате 0761234567.
Кроме того, активируется 2FA.
Двухфакторная аутентификация
Конфигурация > Объект > Аутентификация. Метод > Двухфакторная аутентификация > VPN-доступ
Функция должна быть включена в качестве основного требования. Впоследствии определяется, для кого и при каком подключении должна быть активна 2FA. "URL авторизованной ссылки" - это адрес, указанный в SMS-сообщении. Доступ извне должен быть возможен через указанный порт извне. Для eCall необходимо использовать опцию "Использовать многоязычный файл".
Файл шаблона можно получить и адаптировать по ссылке для загрузки.
Затем этот файл можно загрузить обратно в брандмауэр.
Файл должен содержать заполнитель
Можно использовать следующие заполнители:
Valid Time > Время, в течение которого клиент может пройти аутентификацию.
Политика безопасности
Конфигурация > Политика безопасности > Управление политикой
Для аутентификации с помощью 2FA необходимо создать политику безопасности
От: wan
Кому: ZyWALL
Источник: при необходимости может быть ограничен, например, Швейцарией
Сервис: Wiz_2FA (порт настраивается динамически при изменении в меню 2FA))
Действие: разрешить
Настройка HTTPS
Конфигурация > Система > WWW > HTTPS > Управление услугами пользователей
Для "Управления услугами пользователей" должен быть разрешен доступ из зоны "WAN" или "ALL".
VPN-шлюз
Конфигурация > VPN > IPSec VPN > VPN-шлюз
Для IPSec VPN (L2TP/IKEv1/IKEv2) на VPN-шлюзе должна быть активирована функция 2FA.