USG / USG FLEX / ATP / VPN - Wie kann man den HTTPS-Web-GUI-Zugriff vom WAN aus ermöglichen?

Dieser Artikel bietet einen kurzen Überblick über die Aktivierung des sicheren HTTPS-Zugriffs auf die Management-Web-GUI Ihres Sicherheitsgeräts über das WAN. Um fortzufahren, verbinden Sie sich mit der Web-GUI unter Verwendung der IP-Adresse des Geräts und melden Sie sich mit dem Administratorkonto und dem entsprechenden Kennwort an.

Zulassen des Fernzugriffs über die Standardobjekte:

Configuration > Object > Service > Service Group > Default_Allow_WAN_To_ZyWALL > Edit

Bitte wählen Sie HTTPS, klicken Sie auf den markierten Pfeil und dann auf "OK".

Sie können nun über die WAN-Schnittstelle auf Ihr Sicherheitsgerät zugreifen.

Z.B. https://5. 234.65.17

Best Practice für einen sicheren Zugang:

Es ist generell ratsam, den Fernzugriff über das WAN noch weiter abzusichern, um Foul Play von bösen Akteuren zu verhindern. Wir sehen uns an, wie man das macht.

Ändern des HTTPS-Ports:

Configuration > System > WWW > Service Control

Bitte ändern Sie den HTTPS-Port auf etwas anderes.

Z.B. 8443

Danach klicken Sie bitte auf "Übernehmen" am unteren Rand der Seite.

Erstellen eines separaten Objekts für den Fernzugriff

Configuration > Object > Service > Service > Add

Nun müssen wir ein neues und separates Objekt für den HTTPS Service Port erstellen.

1. Name: "Ihr Dienstname"
2. IP-Protokoll: TCP
3. Startport: "HTTPS-Port aus dem vorherigen Schritt"
4. Klicken Sie auf "OK".

Erstellen einer separaten Regel für den Fernzugriff

Configuration > Security Policy > Policy Control > Policy > Add

Nun müssen wir eine neue/separate Regel erstellen:

1. Name: "Ihr Regelname" (Tipp: Verwenden Sie "sprechende Namen")
2. Von: WAN
3. An: ZyWall
4. Dienst: "Ihr HTTPS-Objekt"
5. Aktion: zulassen
6. Klicken Sie auf "OK".

Beschränkung des Zugriffs

Wir können und sollten nun den Zugriff auf die Webschnittstelle einschränken. Eine Möglichkeit, dies zu erreichen, besteht darin, nur bestimmte vertrauenswürdige IP-Adressen zuzulassen.

Configuration > Object > Address/Geo IP > Address > Add

Zunächst müssen wir ein Objekt mit einer vertrauenswürdigen IP-Adresse erstellen.

Wenn Ihr vertrauenswürdiger Peer keine statische öffentliche IP hat, können Sie FQDN-Objekte mit einem DDNS verwenden.

(Gleiches Verfahren, wählen Sie FQDN anstelle von Host)

1. Name: "Name des Objekts" (Tipp: Verwenden Sie "sprechende Namen")
2. Adress-Typ: HOST
3. IP-Adresse: Vertrauenswürdige IP
4. Klicken Sie auf "OK".

Configuration > Object > Address/Geo IP > Address Group > Add

Nun müssen wir eine Gruppe für das Objekt erstellen, um mehrere IPs/FQDNs hinzuzufügen, ohne für jede eine neue Sicherheitsrichtlinie zu erstellen.

1. Name: "Ihr Gruppenname" (Tipp: Verwenden Sie "sprechende Namen")
2. Adresstyp: Wählen Sie "Adresse" (Wenn Sie FQDN verwenden -> "FQDN")
3. Mitgliederliste: Wählen Sie das/die Objekt(e), die Sie zuvor erstellt haben.
4. Klicken Sie auf den "->"-Pfeil
5. Klicken Sie auf "OK".

Configuration > Security Policy > Policy Control > Policy > Choose Policy > Edit

Jetzt müssen wir unsere Gruppe als Quelle für die Sicherheitsrichtlinie hinzufügen, die wir zuvor erstellt haben.

1. Quelle: Wählen Sie die IP-Gruppe/FQDN-Gruppe
2. Klicken Sie auf "OK".
3. Klicken Sie auf "Anwenden" am unteren Rand der Seite.

Andere Typen

Sie können auch ein komplettes Land oder eine Region mit unserer GeoIP-Funktion sperren:

So verwenden Sie die GeoIP-Funktion

Fernzugriff für Support-Zwecke

Für den Fall, dass einer unserer Agenten um Fernzugriff bittet, können Sie den Zugriff auf unsere offiziellen öffentlichen IPs beschränken:

(HQ)
118.163.48.105
1.161.171.96
1.161.154.129
(Unterstützung Campus DE)
93.159.250.200