Gilt für: Cloud-verwaltete Fireboxen
Sie können Erzwingen für Netzwerkzugriff für eine VPN-Verbindung zu einer Cloud-verwalteten Firebox aktivieren. Sie können Erzwingen für Netzwerkzugriff für Mobile VPN with SSL- und Mobile VPN with IKEv2-Benutzergruppen konfigurieren.
Mittels Erzwingen für Netzwerkzugriff für Cloud-verwaltete Fireboxen können Administratoren die Identität und Sicherheit eines Geräts überprüfen, das versucht, sich mit dem Firmennetzwerk zu verbinden.
Vor der Verbindung eines Endpoint-Geräts mit dem Netzwerk müssen folgende Sicherheitseinstellungen erfüllt sein:
- Bei Geräten mit installiertem WatchGuard Advanced EPDR, EPDR, EDR oder EPP muss Erweiterter Schutz im Hardening- oder Lock-Modus aktiviert sein. Oder es muss ein Virenschutz aktiviert sein und ausgeführt werden.
- Bei Geräten mit installiertem WatchGuard EDR Core muss Erweiterter Schutz aktiviert sein.
Der auf dem Gerät installierte WatchGuard Agent sammelt und sendet die Informationen, die die Firebox für die Prüfung des Geräts auf Erfüllung der erforderlichen Anforderungen benötigt. Der WatchGuard Agent und die Firebox prüfen, dass das Gerät einer Konto-UUID zugeordnet ist, die in den Einstellungen für das Erzwingen für Netzwerkzugriff und für die Netzwerkdienste (Registerkarte Erzwingen für Netzwerkzugriff) in der Endpoint Security-Verwaltungsoberfläche der Firebox festgelegt worden ist. Erfüllt das Endpoint-Gerät die Anforderungen nicht, lehnt die Firebox die Verbindung ab.
Um Erzwingen für Netzwerkzugriff für eine Cloud-verwaltete Firebox zu aktivieren, muss die Firebox Fireware v12.9 oder höher ausführen.
Funktionsweise
- Ein Endpoint-Gerät versucht, sich mit dem mobilen VPN auf der Cloud-verwalteten Firebox zu verbinden.
- Die Cloud-verwaltete Firebox lässt die VPN-Verbindung zu, erlaubt zuerst aber nur eine einseitige VPN-Kommunikation von der Firebox zum Gerät.
- Die Firebox verbindet sich über das VPN über den TCP-Port 33000 mit dem Gerät.
- Die Cloud-verwaltete Firebox prüft den Endpoint-Client und validiert, ob auf dem Gerät ein Endpoint Security-Produkt installiert ist.
- Die Cloud-verwaltete Firebox verifiziert, dass der Endpoint der Konto-UUID zugeordnet ist, die in den Einstellungen für Erzwingen für Netzwerkzugriff der Firebox und für die Netzwerkdienste in der Endpoint Security-Verwaltungsoberfläche vorgegebenen wurde.
- Sind alle Prüfungen bestanden, verbindet sich das Endpoint-Gerät über das mobile VPN mit dem Netzwerk.
Bevor Sie beginnen
Bevor Sie Erzwingen für Netzwerkzugriff konfigurieren:
- Kompatibilität des Betriebssystems verifizieren — Erzwingen für Netzwerkzugriff unterstützt die Betriebssysteme Windows, macOS und Android. Informationen zur Betriebssystem-Kompatibilität von Mobile VPN finden Sie im Abschnitt Kompatibilitätsmatrix für Betriebssysteme der Fireware Versionshinweise. Informationen zur Betriebssystem-Kompatibilität von WatchGuard Endpoint Security finden Sie im Abschnitt Installationsanforderungen der WatchGuard Endpoint Security Versionshinweise.
- Mindestens ein Mobile VPN konfigurieren — WatchGuard Cloud unterstützt Erzwingen für Netzwerkzugriff für Mobile VPN with SSL und Mobile VPN with IKEv2. Weitere Informationen finden Sie unter Über Mobile VPN für eine Cloud-verwaltete Firebox.
- Benutzer und Gruppen des Mobile VPN konfigurieren — Um Erzwingen für Netzwerkzugriff für Benutzer zu aktivieren, konfigurieren Sie Mobile VPN-Benutzer und -Gruppen. Weitere Informationen finden Sie unter Mobile VPN with SSL für eine Cloud-verwaltete Firebox konfigurieren oder Mobile VPN with IKEv2 für eine Cloud-verwaltete Firebox konfigurieren.
Erzwingen für Netzwerkzugriff erfordert eine Firebox mit einer Total Security Suite-Lizenz.
Erzwingen für Netzwerkzugriff in Endpoint Security aktivieren
Bevor Sie Erzwingen für Netzwerkzugriff für Mobile VPN einer Cloud-verwalteten Firebox aktivieren, müssen Sie zuerst Erzwingen für Netzwerkzugriff in WatchGuard Endpoint Security aktivieren und konfigurieren.
Bevor Sie Erzwingen für Netzwerkzugriff für eine Cloud-verwaltete Firebox Mobile VPN oder ein Access Point-WLAN Netzwerk aktivieren können, müssen Sie diese Funktion zuerst in WatchGuard Endpoint Security aktivieren und konfigurieren.
Die Konfiguration für das Erzwingen für Netzwerkzugriff in Endpoint Security erfordert die Konto-UUID und den Authentifizierungsschlüssel des WatchGuard Cloud-Kontos, das Ihre Geräte verwaltet.
Diese Informationen sind auf der Seite Administration > Mein Konto in WatchGuard Cloud aufgeführt. Sie sollten sich diese Informationen notieren, bevor Sie mit der Konfiguration von Erzwingen für Netzwerkzugriff in Endpoint Security fortfahren.
So konfigurieren Sie Erzwingen für Netzwerkzugriff in Endpoint Security:
- Wählen Sie in WatchGuard Cloud Konfigurieren > Endpoints.
- Wählen Sie Einstellungen.
- Wählen Sie im linken Fenster Netzwerkdienste.
- Wählen Sie Erzwingen für Netzwerkzugriff.
- Aktivieren Sie den Schalter Erzwingen für Netzwerkzugriff aktivieren.
- Geben Sie in die Textfelder Konto-UUID und Authentifizierungsschlüssel die UUID und den Authentifizierungsschlüssel für das WatchGuard Cloud-Konto ein, das Ihre Geräte verwaltet.
Falls ein Endpoint-Gerät gestohlen oder kompromittiert wurde, können Sie einen neuen Authentifizierungsschlüssel für Geräte generieren, um sich mit Erzwingen für Netzwerkzugriff neu zu authentifizieren. Klicken Sie auf der Seite Administration > Mein Konto in WatchGuard Cloud auf das Aktualisierungssymbol neben Authentifizierungsschlüssel, um einen neuen Schlüssel zu generieren. Wenn Sie einen neuen Schlüssel generiert haben, wird WatchGuard Cloud das aktualisierte Schlüsselpaar automatisch auf dem Gerät bereitstellen. Achten Sie darauf, diese Werte in der Konfiguration von Erzwingen für Netzwerkzugriff in Endpoint Security zu aktualisieren.
Diese Informationen sind auf der Seite Administration > Mein Konto in WatchGuard Cloud aufgeführt.
- Klicken Sie auf Änderungen speichern.
Es kann einige Minuten dauern, bis die Konfiguration für das Erzwingen für Netzwerkzugriff für Ihre Geräte bereitgestellt wurde.
Weitere Informationen zum Erzwingen für Netzwerkzugriff und zu Endpoint Security finden Sie unter Durchsetzung des Netzwerkzugriffs in WatchGuard Endpoint Security konfigurieren.
Erzwingen für Netzwerkzugriff für eine Mobile VPN-Gruppe aktivieren
Als nächstes aktivieren Sie Erzwingen für Netzwerkzugriff für eine oder mehrere Mobile VPN-Gruppen in Ihrer Cloud-verwalteten Firebox-Konfiguration. Sie können Erzwingen für Netzwerkzugriff nicht für einzelne Mobile VPN-Benutzer aktivieren.
Wenn eine Gruppe Mitglied eines Mobile VPN-Typs ist und Sie Erzwingen für Netzwerkzugriff für die Gruppe von einem anderen Mobile VPN-Typ aktivieren, zu der die Gruppe ebenfalls gehört, wird Erzwingen für Netzwerkzugriff für die Gruppe in beiden Mobile VPN-Typen aktiviert.
- Melden Sie sich unter cloud.watchguard.com bei WatchGuard Cloud an.
- Als Service-Provider wählen Sie zuerst ein Konto.
- Wählen Sie Konfigurieren > Geräte.
- Wählen Sie die Cloud-verwaltete Firebox aus.
- Klicken Sie auf Gerätekonfiguration.
- Klicken Sie im Abschnitt VPN auf die Kachel Mobile VPN.
- Wählen Sie ein Mobile VPN (IKEv2 oder SSL).
- Navigieren Sie in der Mobile VPN-Konfiguration zum Abschnitt Benutzer und Gruppen.
- Markieren Sie in der Spalte Name für eine Gruppe das Kontrollkästchen neben einer oder mehreren Gruppen.
- Wählen Sie Aktionen > Erzwingen für Netzwerkzugriff aktivieren.
- Klicken Sie auf Speichern.
- Stellen Sie die Konfigurationsänderungen für Ihre Cloud-verwaltete Firebox bereit.
Video-Tutorial: Erzwingen für Netzwerkzugriff
Übersicht über die Funktion Erzwingen für Netzwerkzugriff
Mobile VPN with SSL für eine Cloud-verwaltete Firebox konfigurieren
Mobile VPN with IKEv2 für eine Cloud-verwaltete Firebox konfigurieren