USG FLEX H Series [Firewall] - Hvordan tillader jeg HTTPS Web GUI Access fra WAN?

Denne artikel giver en kort introduktion til HTTPS Secure Access til Management Web GUI for din Security USG FLEX H Series-enhed over WAN.

Ansvarsfraskrivelse! Denne artikel giver et generelt overblik over serien og gælder muligvis ikke ensartet for alle modeller og software/firmware-versioner . Før du køber eller bruger enheden, skal du læse den model-/versionsspecifikke dokumentation eller kontakte teknisk support for at få nøjagtige oplysninger.

Bemærk: Giv kun adgang til de IP-adresser, der er anført i slutningen af artiklen, hvis teknisk support beder om det.

Tilladelse til fjernadgang via standardobjekterne

• Det første skridt er at tilføje HTTPS-protokollen for at tillade adgang fra WAN.

Naviger til sektionen i menuen til venstre:

Objekt > Service > Servicegruppe > Default_Allow_WAN_To_ZyWALL > Rediger

• Vælg HTTPS-protokollen på listen, og brug den relevante knap til at flytte den til Allowed, som vist i figuren nedenfor.

• Det er meget vigtigt ikke at glemme at trykke på knappen"Anvend", når du har foretaget ændringer i enhedens indstillinger.

Du kan derefter få adgang til din sikkerhedsenhed via dens WAN-grænseflade. Men vi anbefaler på det kraftigste, at du ændrer porten og kun begrænser adgangen til din enhed fra visse betroede IP-adresser.

Bedste praksis for sikker adgang

• Ændring af HTTPS-porten

Gå til > System > Indstillinger > Administrationsindstillinger

• Skift venligst HTTPS-port. F.eks. 8443
• Klik derefter på"Anvend" nederst på siden.

• Oprettelse af et separat objekt til fjernadgang

Det er meget vigtigt ikke at glemme at trykke på knappen "Anvend", når du har foretaget ændringer i enhedens indstillinger.

• Oprettelse af en separat regel for fjernadgang

• Navn:"Dit regelnavn" (Råd: Brug "talende navne")
• Fra:"WAN"
• Til:"ZyWall"
• Service:"Dit HTTPS-objekt"
• Handling:"Tillad"
• Klik på"Anvend"

Begrænsning af adgangen

Det er meget vigtigt at give det lokale netværk maksimal sikkerhed, og derfor er det nødvendigt at begrænse adgangen til webgrænsefladen. En måde at gøre dette på er kun at tillade visse betroede IP-adresser.

Gå til > Objekt > Adresse > Tilføj

• Først skal vi oprette et objekt med en betroet IP.
• Hvis din betroede peer ikke har en statisk offentlig IP, kan du bruge FQDN-objekter med en DDNS. (Samme procedure, men vælg FQDN i stedet for Host)

Bemærk: Vi vil understøtte FQDN-objektet i 2024 Q3.

• Navn på objektet:"Objektets navn" (Råd: Brug "Speaking Names")
• Adressetype:"HOST"
• IP-adresse:"Betroet IP"
• Klik på"Anvend"

Hvis du har flere adresser, og generelt for at forenkle administrationen, er det nødvendigt at oprette en "adressegruppe" for at tilføje flere IP'er/FQDN'er uden at oprette en ny sikkerhedspolitik for hver.

Gå til > Objekt > Adresse > Adressegruppe > Tilføj

• Giv den et navn:"Dit gruppenavn" (Råd: Brug "Speaking Names")
• Adressetype: Vælg "Adresse" (hvis du bruger FQDN -> "FQDN")
• Medlemsliste: Vælg de(t) objekt(er), du har oprettet tidligere
• Klik på pilen"->"
• Klik på"Anvend"

• Nu skal vi tilføje vores gruppe som en kilde til den sikkerhedspolitik, vi oprettede tidligere

Go to > Security Policy > Policy Control

• Vælg den ønskede politik, og klik på "Rediger"

• Kilde: Vælg IP-gruppe/FQDN-gruppe
• Klik på"Anvend" nederst på siden

Andre typer

Du kan også blokere et helt land eller en region ved hjælp af vores GeoIP-funktion:
Sådan bruger du Geo-IP-funktionen

Fjernadgang til supportformål

Hvis en af vores agenter beder om fjernadgang, kan du begrænse adgangen til vores officielle offentlige IP-adresser:(HQ)
1.161.171.96
61.222.75.14
61.220.247.157
61.220.247.158
61.220.247.160
(Support Campus DE)
93.159.250.200