How can I prevent access to the XG via SSH or HTTPS from S2S networks? (german / english)

Hallo zusammen,

Da wir mehr und mehr Kundennetze per S2S Tunnel an unsere XG anschließen, ist mir heute aufgefallen das der SSH Zugriff über die Local Service ACL generell für jeden in der Zone "VPN" möglich ist. Ich kann dies noch nicht einmal mit den Firewallregeln übersteuern?

Wie kann ich verhindern das Kundennetze Zugriff auf den SSH Port erhalten, ohne meine SSL VPN zu beeinträchtigen.

Muss ich hier eigene Zonen anlegen? Ich kann bei der Erstellung von neuen Zonen leider nicht den Typ "VPN" auswählen, sondern nur LAN oder DMZ oder ist das unerheblich?

// English

Hello everybody,
As we connect more and more customer networks via S2S tunnel to our XG, I noticed today that SSH access via the Local Service ACL is generally possible for everyone in the "VPN" zone. I can not even override this with the firewall rules?
How can I prevent the customer network from gaining access to the SSH port without affecting my SSL VPN.
Do I have to create my own zones? Unfortunately I can not select "VPN" type when creating new zones, only LAN or DMZ or is that irrelevant?