USG / USG FLEX / ATP / VPN - Как да разрешите HTTPS достъп до уеб графичния интерфейс от WAN?

Тази статия предоставя кратък преглед на разрешаването на HTTPS защитен достъп до уеб графичния интерфейс за управление на вашето устройство за сигурност през WAN. За да продължите, свържете се с уеб графичния интерфейс, като използвате IP адреса на устройството, и влезте в него с акаунта на администратора и съответната парола.

Разрешаване на отдалечен достъп през обектите по подразбиране:

Configuration > Object > Service > Service Group > Default_Allow_WAN_To_ZyWALL > Edit

Моля, изберете HTTPS, щракнете върху маркираната стрелка и след това върху "OK".

Сега можете да получите достъп до устройството за сигурност чрез неговия WAN интерфейс.

Напр. https://5. 234.65.17

Най-добра практика за сигурен достъп:

Добър съвет е отдалеченият достъп през WAN да бъде допълнително защитен, за да се предотврати нечестна игра от страна на лоши участници. Ще разгледаме как да направим това.

Промяна на HTTPS порта:

Configuration > System > WWW > Service Control

Моля, променете HTTPS порта на нещо друго.

Например 8443

След това, моля, кликнете върху "Приложи" в долната част на страницата.

Създаване на отделен обект за отдалечен достъп

Configuration > Object > Service > Service > Add

Сега трябва да създадем нов и отделен обект за порта на услугата HTTPS.

1. Име: "Вашето име на услугата"
2. IP протокол: TCP
3. Начален порт: "Портът на HTTPS от предишната стъпка"
4. Щракнете върху "OK"

Създаване на отделно правило за отдалечен достъп

Configuration > Security Policy > Policy Control > Policy > Add

Сега трябва да създадем ново/отделно правило:

1. Име: "Вашето име на правило" (Съвет: Използвайте "Говорещи имена")
2. От: WAN
3. Към: ZyWall
4. Услуга: "Вашият HTTPS обект"
5. Действие: разреши
6. Кликнете върху "OK"

Ограничаване на достъпа

Сега можем и трябва да ограничим достъпа до уеб интерфейса. Един от начините да постигнем това е като разрешим само определени доверени IP адреси.

Configuration > Object > Address/Geo IP > Address > Add

Първо, трябва да създадем обект с доверен IP адрес.

Ако вашият доверен партньор няма статичен публичен IP адрес, можете да използвате обекти с FQDN с DDNS.

(Същата процедура, но изберете FQDN вместо Host)

1. Име: "Име на обекта" (Съвет: Използвайте "Говорещи имена")
2. Тип на адреса: HOST
3. IP адрес: Доверен IP адрес
4. Щракнете върху "OK".

Configuration > Object > Address/Geo IP > Address Group > Add

Сега трябва да създадем група за обекта, за да добавим множество IP адреси/FQDN, без да създаваме нова политика за сигурност за всеки от тях.

1. Име: "Вашето име на групата" (Съвет: Използвайте "Говорещи имена")
2. Тип на адреса: Изберете "Address" (Ако използвате FQDN -> "FQDN")
3. Списък на членовете: Изберете обекта(ите), който(ито) сте създали преди това
4. Щракнете върху стрелката "->".
5. Щракнете върху "OK".

Configuration > Security Policy > Policy Control > Policy > Choose Policy > Edit

Сега трябва да добавим нашата група като източник за политиката за сигурност, която създадохме по-рано.

1. Източник: Изберете IP Group/FQDN Group
2. Щракнете върху "OK"
3. Щракнете върху "Apply" (Приложи) в долната част на страницата.

Други типове

Можете също така да блокирате цяла държава или регион, като използвате нашата функция GeoIP:

Как да използвате функцията GeoIP

Отдалечен достъп за целите на поддръжката

В случай че някой от нашите агенти поиска отдалечен достъп, можете да ограничите достъпа до нашите официални публични IP адреси:

(HQ)
118.163.48.105
1.161.171.96
1.161.154.129
(Support Campus DE)
93.159.250.200