Erzwingen für Netzwerkzugriff bei Access Points

Gilt für: WatchGuard Cloud-verwaltete Access Points (AP130, AP330, AP332CR, AP430CR, AP432)

Erzwingen für Netzwerkzugriff bietet eine zusätzliche Schutzebene, wenn ein WLAN-Client sich mit dem Firmennetzwerk verbindet.

Wenn Sie Erzwingen für Netzwerkzugriff für einen Access Point für ein WLAN-Netzwerk aktivieren:

  • Auf einem WLAN-Client muss ein WatchGuard Endpoint Security-Produkt (Advanced EPDR, EPDR, EDR, EDR Core oder EPP) installiert sein, damit das Gerät sich mit dem WLAN-Netzwerk verbinden kann.
  • Falls der WLAN-Client die Anforderungen von Erzwingen für Netzwerkzugriff nicht erfüllt, darf sich der Client nicht mit dem WLAN-Netzwerk verbinden.

So können Sie nicht verwaltete Geräte aus Ihren sicheren Wi-Fi-Netzwerken ausschließen, wie z. B. Ihrem Firmennetzwerk. Ihre Firmennetzwerke sind sicherer, da sich nur Endpoints mit ihnen verbinden können, bei denen eine Kompromittierung durch Malware unwahrscheinlich ist.

Wie es funktioniert

Wenn ein WLAN-Client eine Verbindung zu einer Access Point-SSID mit aktiviertem Erzwingen für Netzwerkzugriff herzustellen versucht, geschieht Folgendes:

  1. Dem WLAN-Client eine Splash-Page angezeigt, während der Access Point den Schutz des Geräts durch ein WatchGuard Endpoint Security-Produkt überprüft.

Für die Splash-Page werden die in Ihrem WatchGuard Cloud-Konto konfigurierten Einstellungen für markenbezogene Abbildungen verwendet. Logo und Hintergrundbild der Splash-Page können auf der Seite Benutzerdefiniertes Branding angepasst werden.

Screen shot of the Network Access Enforcement validation splash page

Bei einer schnellen und erfolgreichen Validierung kann die Splash-Page eventuell nur kurz oder gar nicht angezeigt werden.

  1. Der Access Point prüft, dass auf dem WLAN-Client ein WatchGuard Endpoint Security-Produkt installiert und dieser dem Konto zugeordnet ist, das in WatchGuard Cloud und in den WatchGuard Endpoint Security-Einstellungen angegeben ist.
  2. Bei erfolgreicher Validierung darf sich der WLAN-Client mit der WLAN-Netzwerk-SSID verbinden und er wird zur WatchGuard-Website als Landing Page weitergeleitet.

Bei fehlgeschlagener Validierung wird dem WLAN-Client kein Zugriff auf das WLAN-Netzwerk gewährt. Hiervon ausgenommen sind die in Ihrer Walled Garden-Liste definierten Websites.

Screen shot of the Network Access Enforcement validation failure splash page

Die standardmäßige Session-Timeout nach der Validierung beträgt 24 Stunden. Nach dieser Zeitdauer muss der Access Point den WLAN-Client erneut validieren, um eine Verbindung des Geräts zum WLAN-Netzwerk zuzulassen.

Bevor Sie beginnen

Für die Nutzung von Erzwingen für Netzwerkzugriff mit einem Cloud-verwalteten Access Point müssen folgende Anforderungen erfüllt sein:

  • Access Points müssen eine gültige WatchGuard Standard- oder USP Wi-Fi Management-Lizenz aufweisen.
  • Auf den Access Points muss Firmware v2.1 oder höher laufen.
  • Access Points, die Erzwingen für Netzwerkzugriff nutzen, müssen im selben WatchGuard Cloud-Konto verwaltet werden.
  • Das WatchGuard Cloud-Konto muss über eine WatchGuard Endpoint Security-Lizenz verfügen. Weitere Informationen finden Sie unter Über Endpoint Security-Lizenzen.
  • Auf WLAN-Clients muss WatchGuard Advanced EPDR, EPDR, EDR, EDR Core oder EPP installiert sein und ausgeführt werden, und Echtzeitschutz muss aktiviert sein. Weitere Informationen finden Sie unter Über WatchGuard Endpoint Security.
  • Bei Geräten mit installiertem WatchGuard Advanced EPDR, EPDR, EDR oder EPP muss Erweiterter Schutz im Hardening- oder Lock-Modus aktiviert sein. Oder es muss ein Datei-Virenschutz aktiviert sein und ausgeführt werden. Bei Geräten mit installiertem WatchGuard EDR Core muss Advanced Protection aktiviert sein. Dies sind die Standard-Sicherheitseinstellungen.
  • WLAN-Clients, bei denen Sie Erzwingen für Netzwerkzugriff aktivieren wollen, müssen folgende Software ausführen:
    • Windows 8.1 oder höher
    • macOS Catalina 10.15 oder höher

iOS-, Android- und Linux-Geräte werden nicht unterstützt.

  • Access Points und WLAN-Clients müssen auf TCP-Port 33000 kommunizieren können.
  • Erzwingen für Netzwerkzugriff und die Captive Portal-Funktion können nicht gleichzeitig auf einer Access Point-SSID genutzt werden.

Erzwingen für Netzwerkzugriff auf einem Access Point aktivieren

Sie müssen die folgenden Schritte ausführen, um Erzwingen für Netzwerkzugriff auf einem Access Point zu aktivieren:

Erzwingen für Netzwerkzugriff in Endpoint Security aktivieren

Bevor Sie Erzwingen für Netzwerkzugriff für ein Cloud-verwaltetes Access Point-WLAN-Netzwerk aktivieren können, müssen Sie diese Funktion zuerst in WatchGuard Endpoint Security aktivieren und konfigurieren.

Die Konfiguration für das Erzwingen für Netzwerkzugriff in WatchGuard Endpoint Security erfordert die Konto-UUID und den Authentifizierungsschlüssel des WatchGuard Cloud-Kontos, das Ihre Geräte verwaltet.

Diese Informationen sind auf der Seite Administration > Mein Konto in WatchGuard Cloud aufgeführt. Sie sollten sich diese Informationen notieren, bevor Sie mit der Konfiguration von Erzwingen für Netzwerkzugriff in Endpoint Security fortfahren.

Screen shot of the Network Access Enforcement UUID and Authentication Key for a WatchGuard Cloud account

So konfigurieren Sie Erzwingen für Netzwerkzugriff in WatchGuard Endpoint Security:

  1. Wählen Sie in WatchGuard Cloud Konfigurieren > Endpoints.
  2. Wählen Sie Einstellungen.
  3. Wählen Sie im linken Fenster Netzwerkdienste.

Screen shot of Network Services, Network Access Enforcement tab

  1. Wählen Sie Erzwingen für Netzwerkzugriff.
  2. Aktivieren Sie den Schalter Erzwingen für Netzwerkzugriff aktivieren.

Screen shot of Network Services, Network Access Enforcement enabled

  1. Geben Sie in die Textfelder Konto-UUID und Authentifizierungsschlüssel die UUID und den Authentifizierungsschlüssel für das WatchGuard Cloud-Konto ein, das Ihre Geräte verwaltet.

Falls ein Endpoint-Gerät gestohlen oder kompromittiert wurde, können Sie einen neuen Authentifizierungsschlüssel für Geräte generieren, um sich mit Erzwingen für Netzwerkzugriff neu zu authentifizieren. Klicken Sie auf der Seite Administration > Mein Konto in WatchGuard Cloud auf das Aktualisierungssysmbol neben Authentifizierungsschlüssel, um einen neuen Schlüssel zu generieren. Wenn Sie einen neuen Schlüssel generiert haben, wird WatchGuard Cloud das aktualisierte Schlüsselpaar automatisch auf dem Gerät bereitstellen. Achten Sie darauf, diese Werte in der Konfiguration von Erzwingen für Netzwerkzugriff in WatchGuard Endpoint Security zu aktualisieren.

Diese Informationen sind auf der Seite Administration > Mein Konto in WatchGuard Cloud aufgeführt.

  1. Klicken Sie auf Änderungen speichern.

Es kann einige Minuten dauern, bis die Konfiguration für das Erzwingen für Netzwerkzugriff für Ihre Geräte bereitgestellt wurde.

Weitere Informationen zum Erzwingen für Netzwerkzugriff und zu Endpoint Security finden Sie unter Durchsetzung des Netzwerkzugriffs in WatchGuard Endpoint Security konfigurieren.

Erzwingen für Netzwerkzugriff auf einer Access Point-SSID aktivieren

Nach der Aktivierung von Erzwingen für Netzwerkzugriff in WatchGuard Endpoint Security aktivieren Sie es für die Access Point-SSID.

Sie können Erzwingen für Netzwerkzugriff auch in einer Access Point Site konfigurieren und die Konfiguration auf mehrere Access Points anwenden. Weitere Informationen finden Sie unter Über Access Point Sites.

  1. Wählen Sie Konfigurieren > Geräte.
  2. Wählen Sie den Access Point oder die Access Point Site, den/die Sie konfigurieren möchten.
  3. Wählen Sie Gerätekonfiguration.

    Die Seite Gerätekonfiguration wird geöffnet.

Screen shot of the main Device Configuration page for access points in WatchGuard Cloud

  1. Klicken Sie in der Kachel Wi-Fi-Netzwerke auf SSIDs.
  2. Wählen Sie eine vorhandene SSIS aus oder fügen Sie eine neue SSID hinzu.
  3. Wählen Sie die Registerkarte Erweitert.
  4. Aktivieren Sie Erzwingen für Netzwerkzugriff.

Screen shot of the Network Access Enforcement configuration in an SSID in WatchGuard Cloud

  1. Konfigurieren Sie Ihre Walled Garden-Einstellungen. Walled Garden ist eine Liste von Domänen und IP-Adressen, mit denen WLAN-Clients sich vor der Überprüfung der Anforderungen für Erzwingen für Netzwerkzugriff oder bei deren Nichterfüllung verbinden können. Sie könnten zum Beispiel Ihre Website mit Firmen- und Support-Informationen zu Ihrem Walled Garden hinzufügen, damit Benutzer vor und nach der versuchten Verbindung auf Hilfe zugreifen können. Um Domänennamen oder Netzwerk IPv4-IP-Adressen hinzuzufügen, klicken Sie auf Ziel hinzufügen.

Die Walled Garden-Liste unterstützt keine Wildcard-Domänen. Beispielsweise können Sie keine Domäne wie *.watchguard.com angeben.

Der Walled Garden beinhaltet bereits standardmäßige interne Domänen für Branding-Bilder von WatchGuard Cloud und Schriftarten von fonts.googleapis.com und fonts.gstatic.com.

  1. Klicken Sie auf Speichern.
  2. Stellen Sie die Konfigurationsänderungen für Ihren Access Point bereit.

Related Topics

Übersicht über die Funktion Erzwingen für Netzwerkzugriff

Über WatchGuard Endpoint Security

Durchsetzung des Netzwerkzugriffs in WatchGuard Endpoint Security konfigurieren