USG FLEX řady H [Firewall] - Jak povolit přístup k webovému rozhraní HTTPS z WAN?

Tento článek se zabývá krátkým úvodem do zabezpečeného přístupu HTTPS k webovému grafickému rozhraní pro správu zařízení řady Security USG FLEX H přes síť WAN.

Disclaimer! Tento článek nabízí obecný přehled o řadě a nemusí platit jednotně pro každý model, verzi softwaru/firmwaru. Před zakoupením nebo používáním zařízení si prostudujte dokumentaci ke konkrétnímu modelu/verzi nebo se pro přesné informace obraťte na technickou podporu.

Poznámka: Přístup povolte pouze IP adresám uvedeným na konci článku, pokud o to technická podpora požádá.

Povolení vzdáleného přístupu přes výchozí objekty

• Prvním krokem je přidání protokolu HTTPS pro povolení přístupu ze sítě WAN.

Přejděte do části v levém menu:

Objekt > Služba > Skupina služeb > Výchozí_povolení_WAN_To_ZyWALL > Upravit.

• V seznamu vyberte protokol HTTPS a pomocí příslušného tlačítka jej přesuňte do pole Povoleno, jak je znázorněno na obrázku níže.

• Je velmi důležité, abyste po provedení změn v nastavení zařízení nezapomněli stisknout tlačítko"Apply".

Poté můžete přistupovat k vašemu bezpečnostnímu zařízení přes jeho rozhraní WAN. Důrazně však doporučujeme změnit port a omezit přístup k zařízení pouze z určitých důvěryhodných IP adres.

Osvědčené postupy pro bezpečný přístup

• Změna portu HTTPS

Přejděte do > Systém > Nastavení > Nastavení správy

• Změňte port HTTPS. Např. 8443
• Poté klikněte na tlačítko"Použít" v dolní části stránky.

• Vytvoření samostatného objektu pro vzdálený přístup

Je velmi důležité nezapomenout po provedení změn v nastavení zařízení stisknout tlačítko "Použít".

• Vytvoření samostatného pravidla pro vzdálený přístup

• Název: "(Doporučení: Použijte "Mluvící jména").
• Od:"WAN"
• Komu: "WAN"ZyWall"
• Služba:"Váš objekt HTTPS"
• Akce:"allow"
• Klikněte na"Apply"

Omezení přístupu

Je velmi důležité zajistit maximální bezpečnost místní sítě, a proto je nutné omezit přístup k webovému rozhraní. Jedním ze způsobů, jak toho dosáhnout, je povolit pouze určité důvěryhodné IP adresy.

Přejděte do nabídky > Objekt > Adresa > Přidat

• Nejprve musíme vytvořit objekt s důvěryhodnou IP.
• Pokud váš důvěryhodný partner nemá statickou veřejnou IP, můžete použít objekty FQDN s DDNS. (Stejný postup, místo Hostitel vyberte FQDN).

Poznámka: Objekt FQDN budeme podporovat ve třetím čtvrtletí roku 2024.

• Název: "(Doporučení: Použijte "Mluvící jména")
• Typ adresy:"HOST"
• IP adresa:"Trusted IP"
• Klikněte na"Apply" (Použít)

Pokud máte více adres a obecně pro zjednodušení správy je nutné vytvořit "Skupinu adres", abyste mohli přidat více IP adres/FQDN, aniž byste museli pro každou z nich vytvářet novou bezpečnostní politiku.

Přejděte na > Objekt > Adresa > Skupina adres > Přidat

• Název:"Název vaší skupiny" (Doporučení: Použijte "Mluvící jména").
• Typ adresy: Zvolte"Adresa"(Pokud používáte FQDN -> "FQDN").
• Seznam členů: Zvolte objekt(y), který(é) jste vytvořili dříve.
• Klikněte na šipku"->"
• Klikněte na tlačítko"Použít"

• Nyní musíme přidat naši skupinu jako zdroj pro zásady zabezpečení, které jsme vytvořili dříve.

Go to > Security Policy > Policy Control

• Vyberte požadovanou zásadu a klikněte na tlačítko "Upravit".

• Zdroj: Vyberte skupinu IP/FQDN
• V dolní části stránky klikněte na tlačítko"Použít".

Další typy

Pomocí funkce GeoIP můžete také zablokovat celou zemi nebo oblast:
Jak používat funkci Geo-IP

Vzdálený přístup pro účely podpory

V případě, že některý z našich agentů požádá o vzdálený přístup, můžete omezit přístup na naše oficiální veřejné IP adresy: (HQ)
1.161.171.96
61.222.75.14
61.220.247.157
61.220.247.158
61.220.247.160
(Podpora Campus DE)
93.159.250.200