USG / USG FLEX / ATP / VPN - Jak povolit přístup k webovému rozhraní HTTPS z WAN?

Tento článek poskytuje stručný přehled o povolení zabezpečeného přístupu HTTPS k webovému grafickému rozhraní pro správu bezpečnostního zařízení přes síť WAN. Chcete-li pokračovat, připojte se k webovému grafickému rozhraní pomocí IP adresy zařízení a přihlaste se pomocí účtu správce a příslušného hesla.

Povolení vzdáleného přístupu přes výchozí objekty:

Configuration > Object > Service > Service Group > Default_Allow_WAN_To_ZyWALL > Edit

Zvolte HTTPS, klikněte na označenou šipku a poté na "OK".

Nyní můžete přistupovat k bezpečnostnímu zařízení prostřednictvím jeho rozhraní WAN.

Např. https://5. 234.65.17

Doporučený postup pro bezpečný přístup:

Obecně se doporučuje vzdálený Přístup přes WAN ještě více zabezpečit, aby se zabránilo nečisté hře zlých aktérů. Podíváme se, jak to udělat.

Změna portu HTTPS:

Configuration > System > WWW > Service Control

Změňte port HTTPS na jiný.

Např. 8443

Poté klikněte na tlačítko "Použít" v dolní části stránky.

Vytvoření samostatného objektu pro vzdálený přístup

Configuration > Object > Service > Service > Add

Nyní musíme vytvořit nový a samostatný Objekt pro port služby HTTPS.

1. Název: Název: "Your Service Name"
2. Protokol IP: TCP
3. Počáteční port: "Port HTTPS z předchozího kroku"
4. Klikněte na "OK"

Vytvoření samostatného pravidla pro vzdálený přístup

Configuration > Security Policy > Policy Control > Policy > Add

Nyní musíme vytvořit nové/oddělené Pravidlo:

1. Název: "(Doporučení: Používejte "Mluvící názvy").
2. Od: WAN
3. Komu: ZyWall
4. Služba: "Váš objekt HTTPS"
5. Akce: povolit
6. Klikněte na "OK"

Omezení přístupu

Nyní můžeme a měli bychom omezit přístup k webovému rozhraní. Jedním ze způsobů, jak toho dosáhnout, je povolit pouze určité důvěryhodné IP adresy.

Configuration > Object > Address/Geo IP > Address > Add

Nejprve musíme vytvořit objekt s důvěryhodnou IP adresou.

Pokud váš důvěryhodný partner nemá statickou veřejnou IP adresu, můžete použít objekty FQDN s DDNS.

(Stejný postup, místo Hostitele zvolte FQDN).

1. Název: "(Doporučení: Použijte "Mluvící jména").
2. Typ adresy: HOST
3. IP adresa: Důvěryhodná IP adresa
4. Klikněte na "OK"

Configuration > Object > Address/Geo IP > Address Group > Add

Nyní musíme vytvořit skupinu pro objekt, abychom mohli přidat více IP adres/FQDN, aniž bychom pro každou z nich museli vytvářet novou zásadu zabezpečení.

1. Název: "(Doporučení: Použijte "Mluvící jména").
2. Typ adresy: Zvolte "Adresa" (Pokud používáte FQDN -> "FQDN").
3. Seznam členů: Zvolte objekt(y), který(é) jste vytvořili dříve.
4. Klikněte na šipku "->"
5. Klikněte na "OK"

Configuration > Security Policy > Policy Control > Policy > Choose Policy > Edit

Nyní musíme přidat naši skupinu jako zdroj pro zásady zabezpečení, které jsme vytvořili dříve.

1. Zdroj: Vyberte skupinu IP/FQDN
2. Klikněte na "OK"
3. Klikněte na "Apply" v dolní části stránky.

Další typy

Pomocí funkce GeoIP můžete také zablokovat celou zemi nebo oblast:

Jak používat funkci Geo-IP

Vzdálený přístup pro účely podpory

V případě, že některý z našich agentů požádá o vzdálený přístup, můžete omezit přístup na naše oficiální veřejné IP adresy:

(HQ)
118.163.48.105
1.161.171.96
1.161.154.129
(Support Campus DE)
93.159.250.200